一种新型KVM云主机微隔离方法

本发明公开了一种新型KVM云主机微隔离方法，包括：基于Netfilter框架实现的虚拟机内核微隔离模块、实现半虚拟化通道的宿主机后端处理模块和用于提供云用户配置管理云主机的网络策略配置交互能力的云主机微隔离管理平台，其有益效果为：基于半虚拟化技术和内核Netfilter框架Hook技术，实现对虚拟机网络的内核层配置能力，同时通过策略优先级管控，避免因为应用层恶意或错误配置导致的安全管控失效问题；基于半虚拟化通道，通过宿主机的处理后端和云主机微隔离管理平台实现配置数据交互，使用宿主机网络，不使用租户网络，在策略配置错误时，可通过该条配置通道修复，避免由于网络策略配置错误导致云主机失联问题。