技术领域 本发明涉及通信领域， 具体而言， 涉及一种虚拟机安全组的配置方法及装置。 背景技术 虚拟化技术是云服务平台构建的基础。 虚拟化技术是指在物理服务器上， 通过虚 拟化管理软件 Hypervisor将物理资源分割为多个逻辑分区， 每个逻辑分区相互隔离， 各自成为独立的虚拟机。对操作系统和应用程 序来说，虚拟机与物理服务器没有区别， 它们可以共享同一台物理服务器的资源。 安全组是用于控制数据流进入和外发一组虚拟 机的访问控制规则， 也指满足这些 规则的虚拟机组。 即在虚拟化平台中， 为了满足用户的应用部署的需求， 即将用户申 请的虚拟机进行分组， 每组虚拟机都有各自的数据流访问控制规则， 只有满足该虚拟 机组所配置的进入访问控制规则的数据流才允 许进入该虚拟机组， 其他的数据流将被 禁止转入该虚拟机组。 同时， 对于一些虚拟化平台也支持对虚拟机组发出的 数据流按 配置的访问规则进行控制， 即该虚拟机组内虚拟机所外发的数据流中只有 满足该虚拟 机组所配置的外出访问控制规则的数据流才允 许转发出该虚拟机组， 其他的数据流将 被禁止转发出该虚拟机组。 图 1根据相关技术的安全组的模型示意图。 如图 1所示， 该安全组的模型包括- 安全组管理器 101， 用于管理用户的安全组， 包括对用户发起的安全组创建、 更新、 查询和删除等操作， 以及安全组规则等管理请求进行处理； 配置信息 102， 包含用户 的安全组及其规则配置信息； 物理服务器 103， 通过虚拟化管理软件 Hypervisor提供 虚拟机； 虚拟交换机 104， 即物理网卡虚拟化后为物理主机内部的虚拟机 提供虚拟交 换功能； 虚拟机 105是封装了 CPU、 内存、 本地磁盘和网络等虚拟化的资源实体； 安 全组执行器 106， 即主机内为属于安全组的虚拟机执行安全策略 的实体； 安全组存放 设备 107即用户将配置的安全组及其规则进行导入所 存放的位置。 图 2根据相关技术的安全组的结构示意图。 如图 2所示， 该安全组的结构包括： 安全组管理器 201， 其具体功能如图 1中的安全组管理器 101所描述； 配置信息 202， 其具体功能如图 1中的配置信息 102所描述； 虚拟化平台 203， 是虚拟机资源服务管 理平台， 安全组功能是在虚拟化平台上实现的； 安全组 210， 即为用户所创建的管理 用于该用户一组虚拟机的访问控制策略； 规则集 211， 描述安全组中的规则， 规则包 括数据包的进入规则和数据包的发出规则； 虚拟机 212， 指用户申请的属于某安全组 的虚拟化服务器。 图 3根据相关技术的安全组的网络模型图。 如图 3所示， 该安全组的网络模型包 括： 外部网络 301， 该外部网络可以是 Internet或其他私有网络， 该外部网络可以访问 内部网络中的虚拟机； 内部网络 302， 即在图 2中虚拟化平台 203的基础上构建的网 络； 安全组管理器 303， 即图 1中的安全组管理器 101 ; 虚拟机 304， 即图 2中的虚拟 机 212， 该虚拟机可以属于多个安全组； 配置信息 305， 其具体功能如图 1中的配置信 息 102所描述； 安全组 306， 具体功能即图 2中的安全组 210的描述， 安全组可以包 含多个虚拟机。 图 4根据相关技术的创建虚拟机时配置默认安全� �的流程图。 如图 4所示， 该流 程包括以下步骤：

S401 , 虚拟化平台在用户管理时为该用户创建默认安 全组。 默认安全组不包含任 何规则， 即默认安全组允许所有外出的网络流， 禁止所有进入的网络流， 并允许安全 组内的虚拟机互相访问。 S402, 用户向虚拟化平台发起虚拟机创建请求， 该创建请求没有为该虚拟机指定 任何安全组。

5403, 虚拟化平台的安全组管理器为该虚拟机指定用 户的默认安全组。

5404, 加载安全组规则到虚拟机所在主机的安全组执 行器。

5405, 虚拟化平台向用户返回虚拟机创建完成响应， 其中携带已创建虚拟机的 ID 和默认安全组标识。

5406, 可选的， 用户可以修改默认安全组中的规则， 如果用户增加了出口规则， 则将禁止除满足出口规则外的网络流。

5407, 安全组执行器根据安全组的规则对默认安全组 的网络流进行控制。

5408, 安全组执行器分发满足安全组规则的网络流。 图 5根据相关技术的创建虚拟机时配置指定安全� �的流程图。 如图 5所示， 该流 程包括以下步骤：

S501 , 用户在创建虚拟机之前， 先创建完成该虚拟机所属的安全组及其规则。 5502, 用户向虚拟化平台发起虚拟机创建请求， 其中携带该虚拟机所属的安全组 标识 （本实施例假定为安全组 1 )。

5503, 虚拟化平台的安全组管理器更新安全组 1的配置信息， 即增加属于该安全 组的虚拟机。 S504, 加载安全组规则到虚拟机所在主机的安全组执 行器。

5505, 虚拟化平台向用户返回虚拟机创建完成响应， 其中携带已创建虚拟机的 ID 和安全组 1。

5506, 可选的， 用户可以修改安全组 1中的规则。

5507, 安全组执行器根据安全组的规则对安全组的网 络流进行控制。 S508, 安全组执行器分发满足安全组规则的网络流。 目前的虚拟化平台为用户申请的虚拟机组提供 安全组功能， 但是目前的虚拟化平 台都要求用户先配置安全组， 然后在创建虚拟机时进行与安全组的绑定， 并且在虚拟 机的整个生命期无法修改虚拟机与安全组的关 系； 而且， 目前的安全组一般能够最大 支持上百条规则， 如果用户创建一个类似的安全组， 则需要对安全组规则一个一个输 入， 这显然不方便安全组的快速创建， 造成这些问题的原因在于当前配置的安全组的 功能较弱， 例如， 缺乏以下功能： （1 ) 安全组与虚拟机的绑定和解绑定功能； （2) 安 全组与虚拟机的更新功能； （3 ) 安全组的导入和导出功能等， 同时这些原因也使得当 前的虚拟化平台无法为用户提供灵活的安全组 操作， 导致用户不能根据应用服务的需 求灵活地对虚拟机与安全组进行相应处理。 针对相关技术中用户创建安全组的过程较为繁 杂、 虚拟机与安全组的关系无法修 改以及用户不能根据应用服务的需求灵活地对 虚拟机与安全组进行相应处理的问题， 目前尚未提出有效的解决方案。 发明内容 本发明提供了一种虚拟机安全组的配置方法及 装置， 以至少解决上述问题。 根据本发明的一个方面， 提供了一种虚拟机安全组的配置方法， 包括： 当接收到 对虚拟机与安全组进行绑定、 更新或解绑定的操作请求时， 虚拟化平台对虚拟机与安 全组进行绑定、更新或解绑定； 当接收到对指定安全组进行导入和导出的操作 请求时， 虚拟化平台对指定安全组进行导入和导出。 优选地， 对虚拟机与安全组进行绑定是指将虚拟机加入 到安全组中。 优选地， 对虚拟机与安全组进行更新是指将虚拟机从当 前已经加入到的一个安全 组中迁移到另外一个安全组中。 优选地， 对虚拟机与安全组进行解绑定是指将虚拟机从 当前已经加入到的安全组 中移除。 优选地， 在虚拟化平台完成对虚拟机与安全组的解绑定 之后， 该方法还包括： 在 解绑定后的虚拟机不再关联其他安全组的情况 下， 虚拟化平台将解绑定后的虚拟机放 入到缺省安全组中。 优选地， 对虚拟机与安全组进行的绑定、 更新或解绑定是在虚拟机已经创建完成 且未运行的状态下或者在虚拟机已经创建完成 且已经运行的状态下进行的。 优选地， 虚拟机能够同时属于多个安全组， 安全组能够同时包含多个虚拟机。 优选地， 对虚拟机与安全组进行绑定、 更新或解绑定时， 能够同时针对一个虚拟 机所属的一个或多个安全组进行。 优选地， 对虚拟机与安全组进行绑定、 更新或解绑定时， 能够同时针对一个安全 组所属的一个或多个虚拟机进行。 优选地， 安全组的创建时间与虚拟机的创建时间没有先 后顺序。 优选地， 在虚拟化平台对虚拟机与安全组进行绑定、 更新或解绑定的过程中， 虚 拟机处于停止、 运行或挂起状态。 优选地， 在虚拟化平台完成对虚拟机与安全组的绑定、 更新或解绑定之后， 虚拟 机对应的安全组规则立即生效。 优选地， 当虚拟机属于多个安全组时， 虚拟机的入口流量只有在满足全部安全组 的入口规则时才能进人， 虚拟机的出口流量只有在满足全部安全组的出 口规则时才能 发出。 优选地， 在对指定安全组进行导出时， 虚拟化平台将指定安全组及指定安全组的 规则存放在指定的路径。 优选地， 在对指定安全组进行导入时， 虚拟化平台按照指定的路径， 根据指定安 全组的名称和描述信息创建一个新的安全组， 并为新的安全组分配一个安全组标识 (ID)。 根据本发明的另一方面， 提供了一种虚拟机安全组的配置装置， 包括： 第一处理 模块， 设置为当接收到对虚拟机与安全组进行绑定、 更新或解绑定的操作请求时， 对 虚拟机与安全组进行绑定、 更新或解绑定； 第二处理模块， 设置为当接收到对指定安 全组进行导入和导出的操作请求时， 对指定安全组进行导入和导出。 优选地， 对虚拟机与安全组进行绑定是指将虚拟机加入 到安全组中。 优选地， 对虚拟机与安全组进行更新是指将虚拟机从当 前已经加入到的一个安全 组中迁移到另外一个安全组中。 优选地， 对虚拟机与安全组进行解绑定是指将虚拟机从 当前已经加入到的安全组 中移除。 优选地， 该装置还包括： 放入模块， 设置为在所述解绑定后的虚拟机不再关联其 他安全组的情况下， 将解绑定后的虚拟机放入到缺省安全组中。 优选地， 对虚拟机与安全组进行的绑定、 更新或解绑定是在虚拟机已经创建完成 且未运行的状态下或者在虚拟机已经创建完成 且已经运行的状态下进行的。 优选地， 虚拟机能够同时属于多个安全组， 安全组能够同时包含多个虚拟机。 优选地， 当虚拟机属于多个安全组时， 虚拟机的入口流量只有在满足全部安全组 的入口规则时才能进人， 虚拟机的出口流量只有在满足全部安全组的出 口规则时才能 发出。 优选地， 第二处理模块包括： 存放单元， 设置为将指定安全组及指定安全组的规 则存放在指定的路径。 优选地， 第二处理模块包括： 创建单元， 设置为按照指定的路径根据指定安全组 的名称和描述信息创建一个新的安全组； 分配单元， 设置为为新的安全组分配一个安 全组标识 （ID)。 通过本发明， 采用增加安全组与虚拟机的绑定、 更新以及解绑定功能， 增加安全 组的导入和导出功能的方式， 解决了用户创建安全组的过程较为繁杂、 虚拟机与安全 组的关系无法修改以及用户不能根据应用服务 的需求灵活地对虚拟机与安全组进行相 应处理的问题， 进而达到了方便用户根据应用服务的需求灵活 地对虚拟机与安全组进 行配置的效果。 附图说明 此处所说明的附图用来提供对本发明的进一步 理解， 构成本申请的一部分， 本发 明的示意性实施例及其说明用于解释本发明， 并不构成对本发明的不当限定。 在附图 中- 图 1根据相关技术的安全组的模型示意图； 图 2根据相关技术的安全组的结构示意图； 图 3根据相关技术的安全组的网络模型图； 图 4根据相关技术的创建虚拟机时配置默认安全� �的流程图； 图 5根据相关技术的创建虚拟机时配置指定安全� �的流程图； 图 6是根据本发明实施例的虚拟机安全组的配置� �法流程图； 图 7是根据本发明优选实施例的虚拟机安全组的� �建流程图； 图 8是根据本发明优选实施例的虚拟机创建后绑� �安全组的流程图； 图 9是根据本发明优选实施例的虚拟机创建后更� �安全组的流程图； 图 10 是根据本发明优选实施例的虚拟机创建后解绑 定部分用户创建的安全组的 流程图； 图 11 是根据本发明优选实施例的虚拟机创建后解绑 定最后一个用户创建的安全 组的流程图； 图 12是根据本发明优选实施例的安全组导出流程� ��； 图 13是根据本发明优选实施例的安全组导入流程� ��; 图 14是根据本发明实施例的虚拟机安全组的配置� ��置的结构框图； 以及 图 15是根据本发明优选实施例的虚拟机安全组的� ��置装置的结构框图。 具体实施方式 下文中将参考附图并结合实施例来详细说明本 发明。 需要说明的是， 在不冲突的 情况下， 本申请中的实施例及实施例中的特征可以相互 组合。 图 6是根据本发明实施例的虚拟机安全组的配置� �法流程图， 如图 6所示， 该方 法主要包括以下步骤 （步骤 S602-步骤 S604): 步骤 S602， 当接收到对虚拟机与安全组进行绑定、 更新或解绑定的操作请求时， 虚拟化平台对虚拟机与安全组进行绑定、 更新或解绑定。 步骤 S604， 当接收到对指定安全组进行导入和导出的操作 请求时， 虚拟化平台对 指定安全组进行导入和导出。 在本实施例中， 对虚拟机与安全组进行绑定是指将虚拟机加入 到安全组中。 在实 际应用中， 虚拟机和安全组都可以是已经创建完成的。 在本实施例中， 对虚拟机与安全组进行更新是指将虚拟机 （例如， 可以是已创建 完成的虚拟机） 从当前已经加入到的一个安全组中迁移到另外 一个安全组中。 在本实施例中， 对虚拟机与安全组进行解绑定是指将虚拟机 （例如， 可以是已创 建完成的虚拟机） 从当前已经加入到的安全组中移除。 在本实施例中， 在虚拟化平台完成对虚拟机与安全组的解绑定 之后， 该方法还包 括： 在解绑定后的虚拟机不再关联其他安全组的情 况下， 虚拟化平台将解绑定后的虚 拟机放入到缺省安全组 （可以是当前用户的） 中。 在本实施例中， 对虚拟机与安全组进行的绑定、 更新或解绑定是在虚拟机已经创 建完成且未运行的状态下或者在虚拟机已经创 建完成且已经运行的状态下进行的。 在本实施例中， 虚拟机能够同时属于多个安全组， 安全组能够同时包含多个虚拟 机。 在本实施例中， 对虚拟机与安全组进行绑定、 更新或解绑定时， 能够同时针对一 个虚拟机所属的一个或多个安全组进行。 在本实施例中， 对虚拟机与安全组进行绑定、 更新或解绑定时， 能够同时针对一 个安全组所属的一个或多个虚拟机进行。 在本实施例中， 安全组的创建时间与虚拟机的创建时间没有先 后顺序。 在本实施例中， 在虚拟化平台对虚拟机与安全组进行绑定、 更新或解绑定的过程 中， 虚拟机处于停止、 运行或挂起状态。 在本实施例中，在虚拟化平台完成对虚拟机与 安全组的绑定、更新或解绑定之后， 虚拟机对应的安全组规则立即生效。 在本实施例中， 当虚拟机属于多个安全组时， 虚拟机的入口流量只有在满足全部 安全组的入口规则时才能进人， 虚拟机的出口流量只有在满足全部安全组的出 口规则 时才能发出。 在本实施例中， 在对指定安全组进行导出时， 虚拟化平台将指定安全组及指定安 全组的规则存放在指定的路径。 在本实施例中， 在对指定安全组进行导入时， 虚拟化平台按照指定的路径， 根据 指定安全组的名称和描述信息创建一个新的安 全组， 并为新的安全组分配一个安全组 标识 （ID)。 下面结合图 7至图 13以及优选实施例对上述实施例提供的虚拟机� ��全组的配置方 法进行更加详细的描述。 图 7是根据本发明优选实施例的虚拟机安全组的� �建流程图， 如图 7所示， 该流 程包括以下步骤 （步骤 S702-步骤 S706): 步骤 S702，用户创建虚拟机，并从已创建的安全组� �选择该虚拟机所属的安全组; 如果没有选择， 则创建的虚拟机属于用户的缺省安全组。 步骤 S704， 虚拟机创建后， 用户可以根据应用服务的需求， 绑定、 解绑定虚拟机 与其安全组， 或迁移该虚拟机到其他安全组中。 步骤 S706， 用户将安全组及其规则导入到某个位置进行保 存， 并通过导出操作快 速创建一个类似的新的安全组。 图 8是根据本发明优选实施例的虚拟机创建后绑� �安全组的流程图，如图 8所示， 该流程包括以下步骤 （步骤 S802-步骤 S816): 步骤 S802， 用户创建虚拟机， 虚拟化平台为用户已创建缺省安全组。 步骤 S804， 用户创建安全组及其规则（用户创建安全组和 创建虚拟机没有顺序关 系要求）。 步骤 S806， 用户发起安全组与虚拟机绑定请求， 其中， 携带已创建的安全组 ID 和已创建的虚拟机 ID。 步骤 S808， 安全组管理器判断安全组绑定请求的合法性， 例如根据安全组 ID判 断该安全组是否存在，根据虚拟机 ID判断虚拟机是否存在，该虚拟机与安全组是� ��已 绑定。 如果满足条件， 则安全组管理器更新安全组配置信息。 步骤 S810， 安全组管理器通知负责该虚拟机网络流接入控 制的安全组执行器， 加 载该安全组的规则。 步骤 S812， 安全组管理器向用户返回安全组与虚拟机绑定 成功响应。 步骤 S814， 安全组执行器根据安全组的规则对安全组的网 络流进行控制。 步骤 S816， 安全组执行器分发满足安全组规则的网络流。 图 9是根据本发明优选实施例的虚拟机创建后更� �安全组的流程图，如图 9所示， 该流程包括以下步骤 （步骤 S902-步骤 S920): 步骤 S902， 用户创建安全组及其规则， 假定用户创建了安全组 1和安全组 2。 步骤 S904， 用户创建虚拟机， 并设置该虚拟机属于安全组 1。 步骤 S906， 安全组执行器根据安全组的规则对安全组的网 络流进行控制。 步骤 S908， 安全组执行器分发满足安全组规则的网络流。 需要说明的是， 步骤 S902和步骤 S908是预置步骤， 即虚拟机首先属于安全组 1， 并且在安全组 1下网络流能够正常控制， 然后更新到安全组 2下。 步骤 S910， 用户发起安全组与虚拟机更新请求， 其中携带虚拟机 ID、 源安全组 1 和要迁移到的安全组 2。 步骤 S912， 安全组管理器判断安全组更新请求的合法性， 比如源安全组和目标安 全组是否存在， 要迁移的虚拟机是否存在， 该虚拟机与源安全组是否已绑定。 如果满 足条件， 则安全组管理器更新安全组配置信息， 即解绑定虚拟机与源安全组的关系， 绑定与目标安全组的关系。 步骤 S914， 安全组管理器通知负责该虚拟机网络流接入控 制的安全组执行器， 更 新安全组规则。 步骤 S916， 安全组管理器向用户返回虚拟机安全组更新成 功响应。 步骤 S918， 安全组执行器根据安全组的规则对安全组的网 络流进行控制。 步骤 S920， 安全组执行器分发满足安全组规则的网络流。 图 10 是根据本发明优选实施例的虚拟机创建后解绑 定部分用户创建的安全组的 流程图， 如图 10所示， 该流程包括以下步骤 （步骤 S1002-步骤 S1020): 步骤 S1002, 用户创建安全组 1和安全组 2及其入口和 /或出口规则。 步骤 S1004, 用户创建虚拟机， 该虚拟机绑定安全组 1和安全组 2 (用户创建安全 组和创建虚拟机没有顺序关系要求）。 步骤 S1006, 安全组执行器根据安全组 1和安全组 2的规则对安全组的网络流进 行控制。 步骤 S1008, 安全组执行器分发满足安全组规则的网络流。 需要说明的是， 步骤 S1002和步骤 S1008是预置步骤， 即虚拟机首先属于安全组 1和安全中， 并且网络流受控于安全组 1和安全中， 然后解绑定安全组 2。 步骤 S1010, 用户发起安全组与虚拟机解绑定请求， 其中携带已创建的虚拟机 ID 和要解绑定的安全组 2。 步骤 S1012, 安全组管理器判断安全组绑定请求的合法性， 比如判断安全组 2是 否存在， 虚拟机是否存在， 该虚拟机与安全组 2是否已绑定。 如果满足条件， 则安全 组管理器更新安全组配置信息。 步骤 S1014, 安全组管理器通知负责该虚拟机网络流接入控 制的安全组执行器， 更新安全组的规则。 步骤 S1016, 安全组管理器向用户返回安全组与虚拟机解绑 定成功响应。 步骤 S1018， 安全组执行器根据安全组的规则对安全组的网 络流进行控制。 步骤 S1020, 安全组执行器分发满足安全组规则的网络流。 图 11 是根据本发明优选实施例的虚拟机创建后解绑 定最后一个用户创建的安全 组的流程图， 如图 11所示， 该流程包括以下步骤 （步骤 S1102-步骤 S1104): 步骤 S1102, 用户创建安全组 1及其规则。 步骤 S1104, 用户创建虚拟机， 该虚拟机绑定安全组 1 (用户创建安全组和创建虚 拟机没有顺序关系要求）。 步骤 S1106, 安全组执行器根据安全组 1的规则对安全组的网络流进行控制。 步骤 S1108, 安全组执行器分发满足安全组规则的网络流。 需要说明的是， 步骤 S1102和步骤 S1108是预置步骤， 即虚拟机当前只关联最后 一个用户定义的安全组中， 然后解绑定该安全组。 步骤 S1110, 用户发起安全组与虚拟机解绑定请求， 其中携带已创建的虚拟机 ID 和要解绑定的安全组 1。 步骤 S1112, 安全组管理器判断安全组绑定请求的合法性， 比如判断安全组 1是 否存在， 虚拟机是否存在， 该虚拟机与安全组 1是否已绑定。 如果满足条件， 则安全 组管理器更新安全组配置信息， 即解绑定安全组 1， 然后将虚拟机加入到用户的缺省 安全组中。 步骤 S1114, 安全组管理器通知负责该虚拟机网络流接入控 制的安全组执行器， 更新安全组的规则为用户缺省安全组的规则。 步骤 S1116, 安全组管理器向用户返回安全组与虚拟机解绑 定成功响应。 步骤 S1118, 安全组执行器根据缺省安全组的规则对安全组 的网络流进行控制。 步骤 S1120, 安全组执行器分发满足缺省安全组规则的网络 流。 图 12是根据本发明优选实施例的安全组导出流程� ��， 如图 12所示， 该流程包括 以下步骤 （步骤 S1202-步骤 S1212): 步骤 S1202, 用户创建安全组及其规则。 步骤 S1204， 用户创建虚拟机及其所属的安全组。 需要说明的是，步骤 S 1202和步骤 S 1204是预置步骤，类似步骤 S1102到步骤 S 1108 执行虚拟机和安全组的创建， 以及根据安全组规则进行网络流的控制。 步骤 S1206, 用户发起安全组导出请求， 其中携带安全组 ID和安全组及其规则的 存放路径等信息。 步骤 S1208, 安全组管理器判断安全组导出请求的合法性， 比如判断安全组 ID是 否存在。 如果满足条件， 则安全组管理器读取安全组配置信息。 步骤 S1210, 安全组管理器将该安全组及其规则存放在指定 的存储位置。 步骤 S1212, 安全组管理器向用户返回安全组导出成功响应 。 图 13是根据本发明优选实施例的安全组导入流程� ��， 如图 13所示， 该流程包括 以下步骤 （步骤 S1302-步骤 S1312): 步骤 S1302, 用户创建安全组及其规则。 步骤 S1304, 用户创建虚拟机及其所属的安全组。 需要说明的是，步骤 S 1302和步骤 S 1304是预置步骤，类似步骤 S1102到步骤 S 1108 执行虚拟机和安全组的创建， 以及根据安全组规则进行网络流的控制。 步骤 S1306, 用户发起安全组导入请求， 其中携带安全组名称和已存放的安全组 及其规则的路径等信息。 步骤 S1308, 安全组管理器判断安全组导入请求的合法性， 比如判断该存放路径 的有效性， 用户的读取权限等。 如果满足条件， 则安全组管理器从存储器读取已存储 的安全组配置信息。 步骤 S1310, 安全组管理器根据存储的安全组及其规则创建 一个新的安全组。 步骤 S1312, 安全组管理器向用户返回安全组导入成功响应 ， 并携带新创建的安 全组 ID。 采用上述实施例提供的虚拟机安全组的配置方 法， 可以增加安全组与虚拟机的绑 定、 更新以及解绑定功能， 增加安全组的导入和导出功能， 达到了方便用户根据应用 服务的需求灵活地对虚拟机与安全组进行配置 的效果。 图 14是根据本发明实施例的虚拟机安全组的配置� ��置的结构框图，该装置用以实 现上述方法实施例提供的虚拟机安全组的配置 ， 如图 14所示， 该装置主要包括： 第一 处理模块 10和第二处理模块 20。 其中， 第一处理模块 10， 设置为当接收到对虚拟机 与安全组进行绑定、 更新或解绑定的操作请求时， 对虚拟机与安全组进行绑定、 更新 或解绑定； 第二处理模块 20， 设置为当接收到对指定安全组进行导入和导出 的操作请 求时， 对指定安全组进行导入和导出。 在本实施例中， 对虚拟机与安全组进行绑定是指将虚拟机加入 到安全组中。 在实 际应用中， 虚拟机和安全组都可以是已经创建完成的。 在本实施例中，对虚拟机与安全组进行更新是 指将虚拟机（可以是已创建完成的） 从当前已经加入到的一个安全组中迁移到另外 一个安全组中。 在本实施例中， 对虚拟机与安全组进行解绑定是指将虚拟机 （可以是已创建完成 的） 从当前已经加入到的安全组中移除。 在本实施例中， 对虚拟机与安全组进行的绑定、 更新或解绑定是在虚拟机已经创 建完成且未运行的状态下或者在虚拟机已经创 建完成且已经运行的状态下进行的。 在本实施例中， 虚拟机能够同时属于多个安全组， 安全组能够同时包含多个虚拟 机。 在本实施例中， 当虚拟机属于多个安全组时， 虚拟机的入口流量只有在满足全部 安全组的入口规则时才能进人， 虚拟机的出口流量只有在满足全部安全组的出 口规则 时才能发出。 图 15是根据本发明优选实施例的虚拟机安全组的� ��置装置的结构框图， 如图 15 所示， 在该优选实施例提供的虚拟机安全组的配置装 置中， 还包括： 放入模块 30， 连 接至第一处理模块 10， 设置为在解绑定后的虚拟机不再关联其他安全 组的情况下， 将 解绑定后的虚拟机放入缺省安全组 （可以是当前用户的） 中。 优选地， 第二处理模块 20包括： 存放单元 22， 设置为将指定安全组及指定安全 组的规则存放在指定的路径。 优选地， 第二处理模块 20包括： 创建单元 24， 设置为按照指定的路径根据指定 安全组的名称和描述信息创建一个新的安全组 ； 分配单元 26， 连接至创建单元 24， 设 置为为新的安全组分配一个安全组标识 （ID)。 采用上述实施例提供的虚拟机安全组的配置装 置， 可以增加安全组与虚拟机的绑 定、 更新以及解绑定功能， 增加安全组的导入和导出功能， 达到了方便用户根据应用 服务的需求灵活地对虚拟机与安全组进行配置 的效果。 从以上的描述中， 可以看出， 本发明实现了如下技术效果： 为安全组与虚拟机增 加绑定、 更新以及解绑定功能， 为安全组增加导入和导出功能， 通过这种方式， 解决 了用户创建安全组的过程较为繁杂、 虚拟机与安全组的关系无法修改以及用户不能 根 据应用服务的需求灵活地对虚拟机与安全组进 行相应处理的问题， 进而达到了方便用 户根据应用服务的需求灵活地对虚拟机与安全 组进行配置的效果。 显然， 本领域的技术人员应该明白， 上述的本发明的各模块或各步骤可以用通用 的计算装置来实现， 它们可以集中在单个的计算装置上， 或者分布在多个计算装置所 组成的网络上， 可选地， 它们可以用计算装置可执行的程序代码来实现 ， 从而， 可以 将它们存储在存储装置中由计算装置来执行， 并且在某些情况下， 可以以不同于此处 的顺序执行所示出或描述的步骤， 或者将它们分别制作成各个集成电路模块， 或者将 它们中的多个模块或步骤制作成单个集成电路 模块来实现。 这样， 本发明不限制于任 何特定的硬件和软件结合。 以上所述仅为本发明的优选实施例而已， 并不用于限制本发明， 对于本领域的技 术人员来说， 本发明可以有各种更改和变化。 凡在本发明的精神和原则之内， 所作的 任何修改、 等同替换、 改进等， 均应包含在本发明的保护范围之内。