(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111420150.4 (22)申请日 2021.11.26 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 王洋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 李飞 (51)Int.Cl. G06F 9/455(2006.01) H04L 9/40(2022.01) (54)发明名称 一种虚拟机与容器之间的访问方法及装置 (57)摘要 本申请提供一种虚拟机与容器之间的访问 方法及装置， 应用于网络安全领域， 其中， 可以通 过在虚拟 机环境中对虚拟机的标签化， 实现虚拟 机IP与标签的绑定， 再通过将虚拟机环境中标签 化后得到的标签与从容器环境中提取的标签进 行统一管 理， 并在两种环境中分别将基于标签配 置的原始访问控制规则进行本地翻译， 得到适用 于虚拟机环境的虚拟机访问控制规则以及适用 于容器环 境的容器访问控制规则， 从而可以基于 上述虚拟机访问控制规则以及容器访问控制规 则实现两种类型 单元的互相访问。 权利要求书2页 说明书12页 附图3页 CN 114116130 A 2022.03.01 CN 114116130 A 1.一种虚拟机与容器之间的访问方法， 其特 征在于， 应用于虚拟化防火墙， 包括： 获取虚拟机与容器之间访 问的原始访 问控制规则； 其中， 所述原始访 问控制规则包括 所述虚拟机对应的虚拟机标签以及所述容器对应的容器标签， 所述虚拟机标签与所述虚拟 机IP对应； 对所述原始访 问控制规则进行翻译， 得到在虚拟机环境下的虚拟机访 问控制规则， 以 基于所述虚拟机访问控制规则实现所述虚拟机与所述容器之间的访问； 其中， 所述虚拟机 访问控制规则包括所述虚拟机IP以及所述 容器所在主机的主机IP。 2.根据权利要求1所述的虚拟机与容器之间的访问方法， 其特征在于， 所述基于所述虚 拟机访问控制规则实现所述虚拟机与所述 容器之间的访问， 包括： 接收所述虚拟机发送的虚拟机数据包； 基于所述虚拟机访 问控制规则对所述虚拟机数据包中的源IP以及目的IP进行规则匹 配； 若所述虚拟机数据包中的源IP以及目的IP匹配通过， 则将所述虚拟机数据包转发至网 卡， 以通过 所述网卡将所述虚拟机数据包发送给 所述容器。 3.根据权利要求1所述的虚拟机与容器之间的访问方法， 其特征在于， 所述基于所述虚 拟机访问控制规则实现所述虚拟机与所述 容器之间的访问， 包括： 接收所述 容器发送的容器数据包； 基于所述虚拟机访问控制规则对所述 容器数据包中的源IP以及目的IP进行规则匹配； 若所述容器数据包中的源IP以及目的IP匹配通过， 则将所述容器数据包转发至所述虚 拟机。 4.一种虚拟机与容器之间的访问方法， 其特 征在于， 应用于容器主机， 包括： 获取虚拟机与容器之间访 问的原始访 问控制规则； 其中， 所述原始访 问控制规则包括 所述虚拟机对应的虚拟机标签以及所述容器对应的容器标签， 所述虚拟机标签与所述虚拟 机IP对应； 对所述原始访 问控制规则进行翻译， 得到在容器环境下的容器访 问控制规则， 以基于 所述容器访问控制规则实现所述虚拟机与所述容器之间的访问； 其中， 所述容器访问控制 规则包括所述虚拟机IP以及所述 容器的容器IP。 5.根据权利要求4所述的虚拟机与容器之间的访问方法， 其特征在于， 所述基于所述容 器访问控制规则实现所述虚拟机与所述 容器之间的访问， 包括： 获取所述容器发送的容器数据包； 基于所述 容器访问控制规则对所述 容器数据包中的源IP以及目的IP进行规则匹配； 若所述容器数据包中的源IP以及目的IP匹配通过， 则 对所述容器数据包进行NAT转换， 并将所述 容器数据包转发至网卡， 以通过 所述网卡将所述 容器数据包发送给 所述虚拟机 。 6.根据权利要求4所述的虚拟机与容器之间的访问方法， 其特征在于， 所述基于所述容 器访问控制规则实现所述虚拟机与所述 容器之间的访问， 包括： 获取所述虚拟机发送的虚拟机数据包； 基于所述 容器访问控制规则对所述虚拟机数据包中的源IP以及目的IP进行规则匹配； 若所述虚拟机数据包中的源IP以及目的IP匹配通过， 则将所述虚拟机数据包转发至所 述容器。权　利　要　求　书 1/2 页 2 CN 114116130 A 27.一种虚拟机与容器之间的访问装置， 其特 征在于， 应用于虚拟化防火墙， 包括： 第一获取模块， 用于获取虚拟机与容器之间访问的原始访问控制规则； 其中， 所述原始 访问控制规则包括所述虚拟机对应的虚拟机标签以及所述容器对应的容器标签， 所述虚拟 机标签与所述虚拟机IP对应； 第一翻译模块， 用于对所述原始访 问控制规则进行翻译， 得到在虚拟机环境下的虚拟 机访问控制规则， 以基于所述虚拟机访问控制规则实现所述虚拟机与所述容器之间的访 问； 其中， 所述虚拟机访问控制规则包括所述虚拟机IP以及所述 容器所在主机的主机IP。 8.一种虚拟机与容器之间的访问装置， 其特 征在于， 应用于容器主机， 包括： 第二获取模块， 用于获取虚拟机与容器之间访问的原始访问控制规则； 其中， 所述原始 访问控制规则包括所述虚拟机对应的虚拟机标签以及所述容器对应的容器标签， 所述虚拟 机标签与所述虚拟机IP对应； 第二翻译模块， 用于对所述原始访 问控制规则进行翻译， 得到在容器环境下的容器访 问控制规则， 以基于所述容器访问控制规则实现所述虚拟 机与所述容器之 间的访问； 其中， 所述容器访问控制规则包括所述虚拟机IP以及所述 容器的容器IP。 9.一种电子设备， 其特 征在于， 包括： 处 理器、 存储器和总线； 所述处理器和所述存 储器通过 所述总线完成相互间的通信； 所述存储器存储有可被所述处理器执行的计算机程序指令， 所述处理器调用所述计算 机程序指令能够执 行如权利要求1 ‑6任一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储计算机程序 指令， 所述计算机程序指 令被计算机运行时， 使 所述计算机执行如权利要求 1‑6任一项所述 的方法。权　利　要　求　书 2/2 页 3 CN 114116130 A 3