CN105429995A - 一种基于Openflow的私有云网络动态安全隔离系统及其隔离方法 - Google Patents
一种基于Openflow的私有云网络动态安全隔离系统及其隔离方法 Download PDFInfo
- Publication number
- CN105429995A CN105429995A CN201510939692.0A CN201510939692A CN105429995A CN 105429995 A CN105429995 A CN 105429995A CN 201510939692 A CN201510939692 A CN 201510939692A CN 105429995 A CN105429995 A CN 105429995A
- Authority
- CN
- China
- Prior art keywords
- virtual
- openflow
- network
- virtual machine
- privately owned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及云计算安全技术领域,特别是一种基于Openflow的私有云网络动态安全隔离系统及其隔离方法。本发迷宫系统包括:虚拟机运行平台、虚拟化的用户操作平台、虚拟网络连接平台。虚拟机运行平台用于运行虚拟机以承载不同类型的应用,允许应用的虚拟机在物理机上随机分布;虚拟化的用户操作平台用于用户使用不同的终端对后端的应用服务进行访问;虚拟网络连接平台用于使用Openflow技术对私有云网络按需进行隔离和动态调整。本发明结合Openflow技术对私有云网络进行设计,解决传统隔离方法隔离粒度过粗、不灵活的问题,提出一种动态安全隔离的系统和方法;可以用于私有云网络动态安全隔离。
Description
技术领域
本发明涉及云计算安全技术领域,特别是一种基于Openflow的私有云网络动态安全隔离系统及其隔离方法。
背景技术
随着云计算模式的流行,许多机构希望建设私有云,私有云的建设无疑为IT部门带来了诸多好处;如可以实现信息资源的集中管理、IT基础设施能够得到更高效的利用等。但是在带来这些优点的同时,由于私有云会对网络架构进行一些调整,因此也会产生一些新的问题,主要体现在以下几点:
1)计算资源的集中部署使得安全隔离的问题日益凸显。首先,在内网中,不同类型的应用(例如业务应用、财务应用和人事应用等)彼此之间应当保证一定程度的隔离,以避免不同种类的信息产生混淆。但是云计算的一大特征是将计算资源虚拟化为细粒度的资源池,这使得传统的隔离手段或粒度过于粗放(如基于主机的隔离),或不够灵活(如基于VLAN的隔离)。
2)当虚拟服务器需要在不同的物理服务器之间进行迁移时,VLAN配置会随之丢失,造成隔离失效。
Openflow(简写OVS)是一种将网络设备的数据平面(Data-Panel)和控制平面(ControlPanel)相分离的技术,使用逻辑上的控制器(Controller)对整个网络进行管理,提高了网络管理的灵活性,降低了网络维护的复杂度。Openflow是SDN(SoftwareDefinedNetwork,软件定义网络)的代表技术之一,甚至在一定程度上被认为与SDN技术等价,Openflow和SDN技术被建议在未来的企业私有云和云平台的建设中采用,来优化云内部的虚拟网络。
发明内容
本发明解决的技术问题之一在于提供基于Openflow的私有云网络动态安全隔离系统,解决传统隔离方法隔离粒度过粗、不灵活的问题。
本发明解决的技术问题之二在于提供基于Openflow的私有云网络动态安全隔离方法,解决传统隔离方法隔离粒度过粗、不灵活的问题。
本发明解决上述技术问题之一的技术方案:
所述的系统包括虚拟机运行平台、虚拟化的用户操作平台、虚拟网络连接平台;
所述的虚拟机运行平台,用于运行虚拟机以承载不同类型的应用,允许应用的虚拟机在物理机上随机分布;
所述的虚拟化的用户操作平台,用于用户使用不同的终端对后端的应用服务进行访问;
所述的虚拟网络连接平台,用于使用Openflow技术对私有云网络按需进行隔离和动态调整。
所述虚拟机运行平台运行私有云的内网应用,不同类型的应用按照私有云平台的资源分配原则被随机地分配到物理服务器上;同一应用的虚拟机既可以运行在同一台物理服务器上,也可以运行在不同的物理服务器上;同一台物理服务器上既可以运行一个应用的虚拟机,也可以运行不同应用的虚拟机。
所述虚拟网络连接平台使用Openflow技术对虚拟网络进行控制,实现使用软件方式对虚拟网络进行快速调整,满足私有云对网络的动态需求。
本发明解决上述技术问题之二的技术方案:
所述方法是在物理服务器与物理服务器之间的链路采用现有的交换机进行连接;包括承载不同应用的虚拟机在内的不同的虚拟平台问采用虚拟交换机OVS进行连接,实现网络中对Openflow的支持;用于管理OVS交换机来控制虚拟服务器(组)之间隔离的控制器与各台物理服务器相独立,并与物理服务器之间使用Openflow协议进行通信;用于管理从虚拟桌面终端到虚拟机之间的访问控制的应用监视器在逻辑上与控制器相结合。
所述控制器用于对各虚拟交换机进行管理,可以在控制器上为其管理的OVS交换机上的端口远程添加/删除/修改VLAN-TAG。
所述控制器在虚拟机在物理之间迁移是在控制器上将原OVS端口的VLAN-TAG删除,而在现OVS端口上添加对应的VLAN-TAG。
本发明的有益效果:
1、本发明的系统和方法是一种小粒度的、灵活的虚拟网络管理方法,能构建有效的、动态的虚拟化网络;
2、本发明是一种安全的虚拟网络管理方法,由于控制器中集中控制整个虚拟网络的信息,本发明能确保访问控制机制对实施访问的主体(虚拟桌面或其他终端)和客体(虚拟服务器)来说是透明的,避免访问控制机遭到篡改。
本发明结合Openflow技术对私有云网络进行设计,解决传统隔离方法隔离粒度过粗、不灵活的问题,提出一种动态安全隔离的系统和方法。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明系统结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
首先按照图1所示进行物理服务器、虚拟机和OVS交换机的部署。
虚拟服务器之间的隔离通过基于动态安装流的访问控制实现。分别为图中标记为APP1、APP2、APP3的虚拟机添加不同的VLAN-TAG。
可以看到,在添加VLAN-TAG后,原来可以相互通信的两台虚拟机APP1和APP2无法正常通信,证实了虚拟机之间隔离的有效性。
Claims (7)
1.一种基于Openflow的私有云网络动态安全隔离系统,其特征在于:所述的系统包括虚拟机运行平台、虚拟化的用户操作平台、虚拟网络连接平台;
所述的虚拟机运行平台,用于运行虚拟机以承载不同类型的应用,允许应用的虚拟机在物理机上随机分布;
所述的虚拟化的用户操作平台,用于用户使用不同的终端对后端的应用服务进行访问;
所述的虚拟网络连接平台,用于使用Openflow技术对私有云网络按需进行隔离和动态调整。
2.根据权利要求1所述一种基于Openflow的私有云网络动态安全隔离系统,其特征在于:所述虚拟机运行平台运行私有云的内网应用,不同类型的应用按照私有云平台的资源分配原则被随机地分配到物理服务器上;同一应用的虚拟机既可以运行在同一台物理服务器上,也可以运行在不同的物理服务器上;同一台物理服务器上既可以运行一个应用的虚拟机,也可以运行不同应用的虚拟机。
3.根据权利要求1所述一种基于Openflow的私有云网络动态安全隔离系统,其特征在于,所述虚拟网络连接平台使用Openflow技术对虚拟网络进行控制,实现使用软件方式对虚拟网络进行快速调整,满足私有云对网络的动态需求。
4.根据权利要求2所述一种基于Openflow的私有云网络动态安全隔离系统,其特征在于,所述虚拟网络连接平台使用Openflow技术对虚拟网络进行控制,实现使用软件方式对虚拟网络进行快速调整,满足私有云对网络的动态需求。
5.权利要求1至4任一项所述的基于Openflow的私有云网络动态安全隔离系统的隔离方法,其特征在于:所述方法是在物理服务器与物理服务器之间的链路采用现有的交换机进行连接;包括承载不同应用的虚拟机在内的不同的虚拟平台间采用虚拟交换机OVS进行连接,实现网络中对Openflow的支持;用于管理OVS交换机来控制虚拟服务器(组)之间隔离的控制器与各台物理服务器相独立,并与物理服务器之间使用Openflow协议进行通信;用于管理从虚拟桌面终端到虚拟机之间的访问控制的应用监视器在逻辑上与控制器相结合。
6.根据权利要求5所述的方法,其特征在于,所述控制器用于对各虚拟交换机进行管理,可以在控制器上为其管理的OVS交换机上的端口远程添加/删除/修改VLAN-TAG。
7.根据权利要求6所述的方法,其特征在于,所述控制器在虚拟机在物理之间迁移是在控制器上将原OVS端口的VLAN-TAG删除,而在现OVS端口上添加对应的VLAN-TAG。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510939692.0A CN105429995A (zh) | 2015-12-15 | 2015-12-15 | 一种基于Openflow的私有云网络动态安全隔离系统及其隔离方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510939692.0A CN105429995A (zh) | 2015-12-15 | 2015-12-15 | 一种基于Openflow的私有云网络动态安全隔离系统及其隔离方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105429995A true CN105429995A (zh) | 2016-03-23 |
Family
ID=55507936
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510939692.0A Withdrawn CN105429995A (zh) | 2015-12-15 | 2015-12-15 | 一种基于Openflow的私有云网络动态安全隔离系统及其隔离方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105429995A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106161652A (zh) * | 2016-08-30 | 2016-11-23 | 叠云(北京)科技股份有限公司 | 基于Zstack请求的私有云平台及其调度方法 |
CN106656867A (zh) * | 2016-11-10 | 2017-05-10 | 北京大学(天津滨海)新代信息技术研究院 | 一种基于虚拟网络的应用感知的动态sdn配置方法 |
CN108619743A (zh) * | 2017-03-20 | 2018-10-09 | 吴志成 | 动态植物迷宫系统 |
CN109787938A (zh) * | 2017-11-14 | 2019-05-21 | 中国电信股份有限公司 | 实现访问虚拟私有云的方法、装置及计算机可读存储介质 |
CN110162383A (zh) * | 2019-05-28 | 2019-08-23 | 浪潮商用机器有限公司 | 一种虚拟机的管理网络隔离方法、系统及相关装置 |
US10469479B2 (en) | 2017-06-13 | 2019-11-05 | Microsoft Technology Licensing, Llc | Cross cloud tenant discovery |
US10511593B2 (en) | 2017-06-13 | 2019-12-17 | Microsoft Technology Licensing, Llc | Cross cloud application access |
-
2015
- 2015-12-15 CN CN201510939692.0A patent/CN105429995A/zh not_active Withdrawn
Non-Patent Citations (1)
Title |
---|
马威等: "基于Openflow的私有云虚拟网络结构设计", 《北京交通大学学报》 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106161652A (zh) * | 2016-08-30 | 2016-11-23 | 叠云(北京)科技股份有限公司 | 基于Zstack请求的私有云平台及其调度方法 |
CN106656867A (zh) * | 2016-11-10 | 2017-05-10 | 北京大学(天津滨海)新代信息技术研究院 | 一种基于虚拟网络的应用感知的动态sdn配置方法 |
CN106656867B (zh) * | 2016-11-10 | 2019-11-05 | 北京大学(天津滨海)新一代信息技术研究院 | 一种基于虚拟网络的应用感知的动态sdn配置方法 |
CN108619743A (zh) * | 2017-03-20 | 2018-10-09 | 吴志成 | 动态植物迷宫系统 |
US10469479B2 (en) | 2017-06-13 | 2019-11-05 | Microsoft Technology Licensing, Llc | Cross cloud tenant discovery |
US10511593B2 (en) | 2017-06-13 | 2019-12-17 | Microsoft Technology Licensing, Llc | Cross cloud application access |
CN109787938A (zh) * | 2017-11-14 | 2019-05-21 | 中国电信股份有限公司 | 实现访问虚拟私有云的方法、装置及计算机可读存储介质 |
CN109787938B (zh) * | 2017-11-14 | 2021-04-30 | 中国电信股份有限公司 | 实现访问虚拟私有云的方法、装置及计算机可读存储介质 |
CN110162383A (zh) * | 2019-05-28 | 2019-08-23 | 浪潮商用机器有限公司 | 一种虚拟机的管理网络隔离方法、系统及相关装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105429995A (zh) | 一种基于Openflow的私有云网络动态安全隔离系统及其隔离方法 | |
US8027354B1 (en) | Network consolidation for virtualized servers | |
US9575798B2 (en) | Method of managing tenant network configuration in environment where virtual server and non-virtual server coexist | |
US9916175B2 (en) | Multi-session zero client device and network for transporting separated flows to device sessions via virtual nodes | |
EP2922238B1 (en) | Resource allocation method | |
CN102882864B (zh) | 一种基于InfiniBand云计算网络的虚拟化系统 | |
EP3276490B1 (en) | Extension of a private cloud end-point group to a public cloud | |
CN108293022A (zh) | 一种报文传输的方法、装置和系统 | |
JP2003507817A (ja) | 拡張可能なコンピューティング・システム | |
JP2004508616A (ja) | 拡張可能コンピューティングシステムの制御方法および装置 | |
EP2867763B1 (en) | Data storage with virtual appliances | |
CN112600903B (zh) | 一种弹性虚拟网卡迁移方法 | |
CN110830574A (zh) | 一种基于docker容器实现内网负载均衡的方法 | |
CN202798790U (zh) | 一种基于InfiniBand云计算网络的虚拟化系统 | |
KR101644678B1 (ko) | 네크워크 입출력 가상화 환경에서 가상 머신의 이동성 지원 방법 및 이를 수행하는 장치 | |
WO2015051528A1 (zh) | 归属管理设备虚拟化方法、装置及系统 | |
CN104113791A (zh) | 一种自动交换光网络演进系统及方法 | |
CN105046393B (zh) | 基于云计算的交通资源管理系统 | |
CN112346814A (zh) | 实现数据中心资源统一管理及自助服务的方法及平台 | |
US10915493B2 (en) | Component building blocks and optimized compositions thereof in disaggregated datacenters | |
US20200021631A1 (en) | Stream processing without central transportation planning | |
CN114465765B (zh) | 一种云桌面系统的客户端安全管理系统及方法 | |
CN107769983B (zh) | 一种基于扩展vSDN的网络功能共享方法及系统 | |
US10936373B2 (en) | Tag-based control of hosted compute resources | |
KR102616104B1 (ko) | 클라우드 서비스 제공 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20160323 |
|
WW01 | Invention patent application withdrawn after publication |