CN106506648A - 负载均衡服务管理方法及系统 - Google Patents

Abstract

本申请提供了负载均衡服务管理方法及系统，其中，负载均衡服务管理方法包括：驱动装置获取所述负载均衡的初始配置信息和当前租户的信息，以及，SMC获取所述当前租户的初始安全防护策略；响应于所述驱动装置将所述初始配置信息和当前租户的信息发送至所述SMC，所述SMC将所述初始配置信息发送至当前负载均衡模块，并保存当前租户、初始安全防护策略、初始配置信息和当前均衡处理装置之间的对应关系；其中，所述当前负载均衡模块为：与所述当前租户对应的当前均衡处理装置中的负载均衡模块。采用本申请实施例，可以统一对云平台中的租户的负载均衡服务进行管理，并且保证租户在云平台中的安全访问。

Description

负载均衡服务管理方法及系统

技术领域

本申请涉及云平台技术领域，特别涉及一种基于OpenStack云平台的负载均衡服务管理方法及系统。

背景技术

OpenStack是一个开源的云计算管理平台项目，由几个主要的组件组合起来完成具体工作。OpenStack支持几乎所有类型的云环境，可以提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。基于OpenStack的云平台由于需要存储海量数据，所以云平台自身的稳定性和安全性就非常重要。但是OpenStack作为一种云计算框架，虽然是IAAS层的云服务，但是用户实际上会在虚拟机上部署许多web应用，通过虚拟网关与外界互联，对外提供web服务。

发明内容

但是发明人在研究过程中发现，现有技术中基于OpenStack的云平台仅仅提供了负载均衡服务，并不能对租户的访问的安全性有所保证。并且，由于OpenStack具有多个租户之间相互隔离的特性，因此，各个租户之间的安全访问需要分别独立保障，避免多个租户之间安全防护之间进行冲突的问题。

基于此，本申请提供了基于OpenStack云平台的负载均衡服务管理方法，用以解决现有技术中无法对云平台中的多个租户的负载均衡服务进行统一管理的问题，包括负载均衡服务动态创建、动态删除、动态修改，云平台系统可以高效、便捷地提供负载均衡服务；以及，基于OpenStack云平台的安全防护方法，还可以用以解决现有技术问题中多个租户之间无法独立的进行安全防护的问题，租户web层安全防御功能缺失的问题，以及租户业务弹性扩缩后安全防御功能失效的问题。

本申请还提供了一种基于OpenStack云平台的负载均衡服务管理系统，用以保证上述方法在实际中的实现及应用。

为了解决上述问题，本申请公开了一种基于OpenStack云平台的负载均衡服务管理方法，该方法应用于负载均衡服务管理系统上，所述负载均衡服务管理系统包括：驱动装置、安全管理装置SMC和多个均衡处理装置，所述均衡处理装置包括：负载均衡模块和安全防护模块；该方法包括：

响应于当前租户对负载均衡进行配置，所述驱动装置获取所述负载均衡的初始配置信息和当前租户的信息，以及，响应于当前租户对安全防护进行配置，所述SMC获取所述当前租户的初始安全防护策略；

响应于所述驱动装置将所述初始配置信息和当前租户的信息发送至所述SMC，所述SMC将所述初始配置信息发送至当前负载均衡模块，并保存当前租户、初始安全防护策略、初始配置信息和当前均衡处理装置之间的对应关系；

其中，所述当前负载均衡模块为：与所述当前租户对应的当前均衡处理装置中的负载均衡模块。

其中，所述SMC将所述初始配置信息发送至与当前负载均衡模块，包括：

从未关联租户的均衡处理装置中，按照轮训的方式为所述当前租户确定一一对应的当前均衡处理装置；

所述SMC将所述初始配置信息发送至所述确定的当前均衡处理装置中的负载均衡模块。

其中，所述方法还包括：

所述SMC判断剩余均衡处理装置的个数是否小于预设第一个数阈值以及是否大于预设第二个数阈值，其中，所述第一个数阈值小于所述预设第二个数阈值；所述剩余均衡处理装置为：当前未建立与租户之间的对应关系的均衡处理装置；

如果小于预设第一个数阈值，则参考所述预设第一个数阈值，配置若干个均衡处理装置；

如果大于预设第二个数阈值，则释放若干个均衡处理装置，直至剩余均衡处理装置的个数不大于所述第二预设个数阈值。

其中，所述初始配置信息包括：负载均衡的虚拟IP、包括多个成员服务器的资源池、所述多个成员服务器、负载均衡算法和健康检查策略，则还包括：

在所述当前租户更新所述初始配置信息的情况下，所述SMC将更新的初始配置信息发送至当前租户对应的当前均衡处理装置中的负载均衡模块，以及，保存所述当前租户与更新的初始配置信息之间的对应关系；或者，

在所述当前租户更新初始安全防护策略的情况下，所述SMC保存所述当前租户与更新的安全防护策略的对应关系。

其中，所述方法还包括：

在当前租户删除所述初始安全防护策略的情况下，所述SMC从当前租户对应的均衡处理装置中释放安全防护模块；或者，在当前租户删除负载均衡的初始配置信息的情况下，所述SMC从当前租户的对应的当前均衡处理装置中释放安全防护模块和负载均衡模块。

其中，所述初始配置信息包括：虚拟IP地址，所述安全防护模块中保存有安全防护策略，所述安全防护模块包括：第二判断模块和安全处理模块，所述方法还包括：

响应于虚拟IP地址接收到当前租户发送的网络流量请求，当前安全防护模块中的第二判断模块依据保存的当前安全防护策略判断所述网络流量请求是否合法，如果是，则当前负载均衡模块依据保存的当前配置信息将所述网络流量请求分发至成员服务器，所述成员服务器用于响应所述网络流量请求；如果否，则当前安全防护模块中的安全处理模块对所述网络流量请求进行安全处理；

其中，所述当前安全防护模块为：与所述当前租户对应的当前均衡处理装置中的安全防护模块，所述当前负载均衡模块为：与所述当前租户对应的当前均衡处理装置中的负载均衡模块。

其中，不同的安全防护策略对应不同的数据包特征，所述安全防护策略包括：防御跨站脚本攻击策略、防御DDOS攻击策略、防御SQL注入策略和/或防御目录遍历策略；所述当前安全防护模块依据所述当前安全防护策略判断所述网络流量请求是否合法，包括：

所述当前安全防护模块获取所述网络流量请求中与当前安全防护策略对应的当前数据包特征；

所述当前安全防护模块依据所述当前数据包特征判断所述网络流量请求是否合法。

其中，所述初始配置信息包括：负载均衡的虚拟IP地址、多个成员服务器的资源池、所述多个成员服务器、负载均衡算法和健康检查策略，在所述当前租户在所述资源池中添加或删除成员服务器的情况下，所述当前负载均衡模块依据所述当前配置信息将所述网络流量请求分发至成员服务器，包括：

按照预先配置的负载均衡算法从更新服务器中计算得到候选的成员服务器；所述更新服务器包括：添加的成员服务器和未添加之前资源池中的成员服务器，或者，删除成员服务器后资源池中剩余的服务器；

将所述网络流量请求分发至所述候选的成员服务器。

本申请还提供了一种基于OpenStack云平台的负载均衡服务管理系统，该系统包括：驱动装置、安全管理装置SMC和多个均衡处理装置，所述均衡处理装置包括：负载均衡模块和安全防护模块；

所述驱动装置，用于响应于当前租户对负载均衡进行配置，获取负载均衡的初始配置信息和当前租户的信息；

所述SMC包括：获取模块、发送模块和保存模块；其中，所述获取模块用于响应于当前租户对安全防护进行配置，获取所述当前租户的初始安全防护策略；所述发送模块用于响应于所述驱动装置发送所述初始配置信息和当前租户的信息，将所述初始配置信息发送至至当前负载均衡模块，以及，所述保存模块用于保存当前租户、初始安全防护策略、初始配置信息和所述当前均衡处理装置之间的对应关系；其中，所述当前负载均衡模块为：与所述当前租户对应的当前均衡处理装置中的负载均衡模块。

其中，所述发送模块包括：

选择子模块，用于从未关联租户的均衡处理装置中，按照轮训的方式为所述当前租户确定一一对应的当前均衡处理装置；发送子模块，用于将所述初始配置信息发送至所述确定的当前均衡处理装置中的负载均衡模块。

其中，所述SMC还包括：

第一判断模块，用于判断剩余均衡处理装置的个数是否小于预设第一个数阈值以及是否大于预设第二个数阈值；其中，所述第一个数阈值小于所述预设第二个数阈值；所述剩余均衡处理装置为：当前未建立与租户之间的对应关系的均衡处理装置；

配置模块，用于在所述第一判断模块的结果为小于预设第一个数阈值的情况下，参考预先设置的个数阈值，配置若干个均衡处理装置；

释放模块，用于在在所述第一判断模块的结果为大于预设第二个数阈值的情况下，释放若干个均衡处理装置，直至剩余均衡处理装置的个数不大于所述第二预设个数阈值。

其中，所述初始配置信息包括：负载均衡的虚拟IP、包括多个成员服务器的资源池、所述多个成员服务器、负载均衡算法和健康检查策略，则所述SMC还包括：

更新模块，用于在所述当前租户更新所述初始配置信息的情况下，所述SMC将更新的初始配置信息发送至当前租户对应的当前均衡处理装置中的负载均衡模块，以及，保存所述当前租户与更新的初始配置信息之间的对应关系；或者，在所述当前租户更新初始安全防护策略的情况下，所述SMC保存所述当前租户与更新的安全防护策略的对应关系。

其中，所述SMC还包括：

删除模块，用于在当前租户删除所述初始安全防护策略的情况下，所述SMC从当前租户对应的均衡处理装置中释放安全防护模块；或者，在当前租户删除负载均衡的初始配置信息的情况下，所述SMC从所述当前租户对应的当前均衡处理装置释放安全防护模块和负载均衡模块。

其中，所述初始配置信息包括：虚拟IP地址；所述安全防护模块中保存有安全防护策略，所述安全防护模块包括：第二判断模块和安全处理模块；当前安全防护模块中的第二判断模块，用于响应于虚拟IP地址接收到当前租户发送的网络流量请求，依据保存的当前安全防护策略判断所述网络流量请求是否合法；

当前安全防护模块中的安全处理模块，用于在所述第二判断模块的结果为否的情况下，对所述网络流量请求进行安全处理；

所述负载均衡模块，用于在所述第二判断模块的判断结果为是的情况下，依据保存的当前配置信息将所述网络流量请求分发至成员服务器。

其中，不同的安全防护策略对应不同的数据包特征，所述安全防护策略包括：防御跨站脚本攻击策略、防御DDOS攻击策略、防御SQL注入策略和/或防御目录遍历策略所述第二判断模块包括：

获取子模块，用于获取所述网络流量请求中与当前安全防护策略对应当前数据包特征；

判断子模块，用于判断所述依据所述当前数据包特征判断所述网络流量请求是否合法。

其中，所述初始配置信息包括：负载均衡的虚拟IP、包括多个成员服务器的资源池、所述多个成员服务器、负载均衡算法和健康检查策略，在所述当前租户在所述资源池中添加或删除成员服务器的情况下，所述负载均衡模块包括：

计算子模块，用于按照预先配置的负载均衡算法从更新服务器中确定候选的成员服务器；所述更新服务器包括：添加的成员服务器和未添加之前资源池中的成员服务器，或者，包括删除成员服务器后资源池中剩余的服务器；

分发子模块，用于将所述网络流量请求分发至所述候选的成员服务器。

与现有技术相比，本申请包括以下优点：

本申请实施例中的SMC可以获得OpenStack云平台中各个租户对负载均衡的配置信息和安全防护策略，因此可以综合性的对各个租户的负载均衡和安全策略进行管理。并且，每个租户都分别与一个或多个不同的均衡处理装置相对应，因此，各个租户之间都能独立的使用均衡处理装置。本申请的安全访问方法能够保证云平台的安全性。并且由于成员服务器配置到均衡处理装置上，当后端的成员服务器扩容或减容的时候，安全防护模块也能够保证在弹性扩容或减容场景下云平台的安全访问。

当然，实施本申请的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本申请基于OpenStack云平台的负载均衡服务管理系统的场景架构图；

图2是本申请实施例中SMC的结构框图；

图3是本申请的基于OpenStack云平台的负载均衡服务管理方法的流程图；

图4是本申请的基于OpenStack云平台的安全访问系统的场景架构图；

图5是本申请基于OpenStack云平台的安全访问方法的流程图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

参考图1所示，为本申请中基于OpenStack云平台的负载均衡服务管理系统的场景架构图。在图1中，本申请实施例的负载均衡服务管理系统10可以与现有技术中的OpenStack LBAAS标准框架相连接，该OpenStack LBAAS标准框架可以对云平台的租户提供标准的LB API接口，如果OpenStack云平台的租户对负载均衡进行配置，例如，配置了负载均衡的虚拟IP(VIP)，资源池(该资源池中包括了多个成员服务器)，各个成员服务器的信息，和，负载均衡算法，用来将网络请求转发至成员服务器；还可以配置健康检查策略(例如，周期性地对各个成员服务器进行在线检查等)，租户会将负载均衡的这些初始配置信息以API请求的方式提交给OpenStack LBAAS标准框架。

其中，VIP用于表示云平台中该租户的虚拟访问地址，该虚拟访问地址用来接收网络流量请求的地址，资源池用于表示该租户可以使用的成员服务器(采用虚拟机或物理机都可以实现)都有哪些，成员服务器则是一个以虚拟机或物理机的形式存在的、可以提供网络服务的服务器；负载均衡算法，用来将网络请求转发至成员服务器；健康检查策略，用于检查资源池内的成员服务器的状态是否在线，对于不在线的成员服务器，不会为其分发网络流量请求。租户可以是一个实际中的用户，也可以是一个包括多个用户的单位或者用户群。该OpenStack LBAAS标准框架中的网络服务功能(Neutron Server)可以接收租户发送的API请求，并将API请求转发至负载均衡服务插件(LBAAS plugin)，LBAAS plugin会将租户发送的API请求进行预处理，进行预处理后的消息可以包括：负载均衡的初始配置信息，LBAAS plugin再将预处理后的消息发送给负载均衡服务管理系统10。

而本申请中的负载均衡服务管理系统10可以包括：驱动装置101、安全管理装置SMC102和多个均衡处理装置103，所述均衡处理装置103又可以包括：负载均衡模块1031和安全防护模块1032。其中，驱动装置101在当前租户对负载均衡进行配置后，可以从LBAASplugin获取到负载均衡的初始配置信息，以及，租户的信息，例如租户标识，该租户标识用来唯一区别每一个不同的租户。

此外，在本申请实施例中，租户还可以通过负载均衡服务管理系统10中的安全管理装置SMC102提供的用户界面对安全防护进行配置，例如，是否启用防御跨站脚本攻击、防御DDOS攻击、防御SQL注入、防御目录遍历等常见web攻击，则安全管理装置SMC102在当前用户对安全防护进行配置后，可以获取到租户配置的上述初始安全防护策略。当然，安全防护并不仅限于上述举例示意的攻击方式，其他的web攻击方式也可以由本领域技术人员自主设置。

参考图2所示，为本申请实施例中SMC的结构框图。在本申请实施例中，SMC102具体可以包括：获取模块201、发送模块202和保存模块203。其中，所述获取模块201用于响应于当前租户对安全防护进行配置，获取所述当前租户的初始安全防护策略；发送模块202响应于所述驱动装置发送所述初始配置信息和当前租户的信息，可以将该初始配置信息发送至与租户对应的均衡处理装置103中的当前负载均衡模块1031。具体的，所述发送模块202可以包括：选择子模块和发送子模块，选择子模块用于从未关联租户的均衡处理装置中，按照轮训的方式为所述当前租户确定一一对应的当前均衡处理装置；而发送子模块，用于将所述初始配置信息发送至所述确定的当前均衡处理装置中的负载均衡模块。

其中，租户在SMC上可以配置对均衡处理装置的需求，例如，仅关联唯一对应的一个均衡处理装置，则SMC可以按照轮训的方式，选择任意一个未关联租户的均衡处理装置作为该租户对应的当前均衡处理装置，并向该当前均衡处理装置发送初始配置信息即可。当然，一个租户也可以设置关联多个均衡处理装置，SMC可以按照预先设置好的选择方式，为该租户仍然按照轮训的方式，选择多个未关联租户的均衡处理装置，或者，通过其他的方式为租户确定与哪几个均衡处理装置进行关联。如何选择多个均衡处理装置并不影响本申请的实现，因此本申请对此不作限定。

而SMC102中的保存模块203则可以保存租户、租户配置的初始安全防护策略、负载均衡的初始配置信息和该租户的各个均衡处理装置之间的对应关系。

需要说明的是，本申请实施例中的均衡处理装置103是预先配置的，可以与租户相对应，例如，一个租户对应配置一个均衡处理装置，每个均衡处理装置都连接了与该均衡处理装置对应的那个租户配置的、资源池中的各个成员服务器。例如，租户A只配置了一个均衡处理装置(均衡处理装置1)，而租户A在初始配置信息里配置的资源池中有两个成员服务器(webserver)，则这两个成员服务器都和均衡处理装置1相连。

在实际应用中，SMC可以预先配置好一定个数的均衡处理装置，例如，预先配置10个，则SMC可以分别为OpenStack云平台中的租户来分配各自对应的均衡处理装置。而随着租户的不断增加，为新租户可以配置的空闲的均衡处理装置也就越来越少，因此，如果均衡处理装置的个数太少，可能会出现为某个新租户分配的均衡处理装置不够用的情况，因此，SMC还可以设置一个第一个数阈值，假设为10个，则SMC可以周期性的或者实时的，判断当前未建立对应关系的均衡处理装置的个数，即剩余均衡处理装置的个数是否小于一个预设第一个数阈值，并在剩余均衡处理装置的个数小于预设第一个数阈值的情况下，参考预先设置的个数阈值，重新配置均衡处理装置，以使剩余均衡处理装置的个数达到第一个数阈值。假设现在剩余均衡处理装置的个数为4，参考预先设置的个数阈值(10个)，重新配置6个均衡处理装置。SMC还可以设置大于第一个数阈值的第二个数阈值，而当剩余均衡处理装置的个数超过第二个数阈值，例如剩余均衡处理装置的个数为25，第二阈值为20，则释放均衡处理装置个数为5。

则参考图2所示，所述SMC还可以包括：第一判断模块204，用于判断剩余均衡处理装置的个数是否小于预设第一个数阈值以及是否大于预设第二个数阈值，其中，所述第一个数阈值小于所述预设第二个数阈值；所述剩余均衡处理装置为：当前未建立与租户之间的对应关系的均衡处理装置；和，配置模块205，用于在所述第一判断模块的结果为小于预设第一个数阈值的情况下，参考所述预设第一个数阈值，配置若干个均衡处理装置；以及释放模块206，用于在所述第一判断模块的结果为大于预设第二个数阈值的情况下，则释放若干个均衡处理装置，直至剩余均衡处理装置的个数不大于所述第二预设个数阈值；其中，所述剩余均衡处理装置即当前未建立对应关系的均衡处理装置。

在实际应用中，租户对负载均衡配置时的初始配置信息可以包括：负载均衡的虚拟IP(VIP)、包括多个成员服务器的资源池、所述多个成员服务器、负载均衡算法和健康检查策略，都可以修改或者删除。例如，某个租户修改了VIP，或者，对成员服务器进行了扩容(增加了成员服务器)，或者删除了某个均衡处理装置上配置的成员服务器(减容)等。租户更新负载均衡配置信息或者安全配置信息后，会在SMC上做好记录，其中，SMC上保存的租户与均衡处理装置之间的关系维持不变，因为租户进行更新操作的前提就是通过租户与均衡处理装置之间的对应关系进行的。

参考图2所示，SMC还可以包括一个删除模块207，用于在当前租户删除所述初始安全防护策略的情况下，从当前租户对应的均衡处理装置中释放安全防护模块；或者，在当前租户删除负载均衡的初始配置信息的情况下，从当前租户对应的当前均衡处理装置同时释放安全防护模块和负载均衡模块。在本实施例中，租户可以删除负载均衡模块的初始配置信息，该初始配置信息将在SMC上也删除，SMC将该负载均衡模块所在的均衡处理装置回收，即，租户将不再拥有均衡处理装置中的安全防护模块和负载均衡模块。当然，租户也可以删除安全防护策略，删除后的安全防护策略，租户将不再拥有。其中，可以理解的是，负载均衡的初始配置信息删除，相当于所在的均衡处理装置都被释放，自然安全防护策略此时也将被删除。

例如，租户A配置的初始安全防护策略为防御跨站脚本攻击策略，修改后的安全防护策略为防御DDOS攻击，或者，租户A对负载均衡的初始配置信息中成员服务器为websever1和websever2，后来又增加了websever3和websever4，再或者，租户A初始配置的成员服务器为websever5、websever6和websever7，后来又删除了websever7，等等，则租户可以通过OpenStack的标准框架修改初始配置信息并在SMC上进行记录。同时，租户还可以在SMC提供的用户界面上输入修改后的安全防护策略，在租户提交修改后的安全防护策略后SMC再根据租户修改后的安全防护策略，来更新租户、安全防护策略和负载均衡的配置信息之间的对应关系等。

需要说明的是，本申请实施例中的均衡处理装置103，在实际应用中可以采用应用集成安全交付网关(ADSG)以虚拟形态部署到OpenStack云平台中，ADSG作为LBAAS标准接口的具体实现模块，可以实现负载均衡服务，安全防护等。

通过图1所示的负载均衡服务管理系统，本申请实施例中的SMC可以获得OpenStack云平台中各个租户对负载均衡的配置信息和安全防护策略，因此可以综合性的对各个租户的负载均衡服务和安全策略进行管理。并且，每个租户都分别与一个或多个不同的均衡处理装置相对应，因此，各个租户之间都能独立的使用均衡处理装置。

基于图1所示的负载均衡服务管理系统10，本申请还提供一种基于OpenStack云平台的负载均衡服务管理方法，该方法可以应用于负载均衡服务管理系统10上，所述负载均衡服务管理系统10可以包括：驱动装置101、安全管理装置SMC102和多个均衡处理装置103，所述均衡处理装置103可以包括：负载均衡模块1031和安全防护模块1032；参考图3所示，该方法可以包括：

步骤301：响应于当前租户对负载均衡进行配置，所述驱动装置获取所述负载均衡的初始配置信息和当前租户的信息，以及，响应于当前租户对安全防护进行配置，所述SMC获取所述当前租户的初始安全防护策略。

在租户A对负载均衡进行配置的情况下，驱动装置101可以从LBAAS plugin处获得负载均衡的配置信息和租户A的信息，以及，在租户A通过SMC提供的用户界面对安全防护进行配置的情况下，SMC可以获得租户A的初始安全防护策略。需要说的是，本申请实施例中以租户A为例进行介绍，在实际应用中对云平台的所有租户都基于和租户A相同的方式进行配置。

步骤302：响应于所述驱动装置将所述初始配置信息和当前租户的信息发送至所述SMC，所述SMC将所述初始配置信息发送至当前负载均衡模块，并保存当前租户、初始安全防护策略、初始配置信息和当前均衡处理装置之间的对应关系。

在本步骤中，与当前租户对应的一个或多个均衡处理装置为当前均衡处理装置，当前均衡处理装置中的负载均衡模块为所述当前负载均衡模块。驱动装置在将租户A对负载均衡的初始配置信息和租户A的信息发送给SMC后，在租户确定关联唯一对应的一个均衡处理装置的情况下，SMC可以按照轮训的方式，从未关联租户的均衡处理装置中选择一个均衡处理装置，作为所述当前租户对应的当前均衡处理装置，并向该当前均衡处理装置中的负载均衡模块发送初始配置信息。当然，租户也可以设置关联多个均衡处理装置，SMC也可以按照轮训的方式来确定该租户关联的多个均衡处理装置，当然，SMC也可以按照其他方式来确定租户关联的多个均衡处理装置。如何确定多个均衡处理装置的过程并不影响本申请的实现，因此，本申请对此不作限定。

具体的，SMC可以为租户A按照预先设置的选择策略，确定对应的一个或多个均衡处理装置。例如，SMC可以查询当前还有哪些均衡处理装置未被使用，再从未被使用的均衡处理装置中随机选择(或者轮询选择等，只要预先进行设置即可)一个或多个均衡处理装置和租户A确定对应关系，接着SMC再将租户A配置的初始配置信息发送至确定的一个或多个均衡处理装置。

在一种可能的实施方式中，在步骤302之后还可以包括：

步骤303：所述SMC判断剩余均衡处理装置的个数是否小于预设第一个数阈值以及大于预设第二个数阈值，如果小于预设第一个数阈值，则进入步骤304，如果大于预设第二个数阈值，则进入步骤305。

其中，第二个数阈值的大小大于第一个数阈值。所述剩余均衡处理装置为：当前未建立对应关系的均衡处理装置。

步骤304：参考预先设置的个数阈值，配置若干个均衡处理装置。

在SMC判断得到剩余均衡处理装置的个数小于预设个数阈值的情况下，例如10个，则SMC参考预先设置个数阈值，再配置10个均衡处理装置。如果步骤303中的判断结果为否，则可以不执行步骤304。

步骤305：释放若干个均衡处理装置，直至剩余均衡处理装置的个数不大于所述第二预设个数阈值。

其中，租户对负载均衡的初始配置信息可以包括：VIP、包括多个成员服务器的资源池、所述多个成员服务器、负载均衡算法和健康检查策略，则在步骤302之后还可以包括：

步骤A：在所述当前租户更新所述初始配置信息的情况下，所述SMC将更新的初始配置信息发送至当前租户对应的当前均衡处理装置中的负载均衡模块，以及，保存所述当前租户与更新的初始配置信息之间的对应关系；或者，在所述当前租户更新初始安全防护策略的情况下，所述SMC保存所述当前租户与更新的安全防护策略的对应关系。

如果租户A通过标准框架更新了负载均衡的初始配置信息，或者通过SMC更改了安全防护策略，SMC都可以根据租户A的修改，来更新当前租户、当前租户的初始安全防护策略和初始配置信息之间的任意对应关系。

在不同的实施例中，在步骤302之后还可以包括：

步骤B：在当前租户删除所述初始安全防护策略的情况下，所述SMC从当前租户对应的均衡处理装置中释放安全防护模块；或者，在当前租户删除负载均衡的初始配置信息的情况下，从所述当前租户对应的当前均衡处理装置中释放安全防护模块和负载均衡模块。

在本申请实施例中，SMC可以获得OpenStack云平台中各个租户对负载均衡的配置信息和安全防护策略，因此可以综合性的对各个租户的负载均衡服务和安全策略进行管理。并且，每个租户都分别与一个或多个不同的均衡处理装置相对应，因此，各个租户之间都能独立的使用均衡处理装置。

参考图4所示，为本申请公开的基于OpenStack云平台的负载均衡服务管理系统进行安全访问时的场景架构图。负载均衡模块中保存有负载均衡的初始配置信息，所述初始配置信息包括：虚拟IP地址；所述安全防护模块中保存有安全防护策略，所述安全防护模块包括：第二判断模块和安全处理模块。

对于OpenStack云平台中的租户来说，或者某个租户中的某个用户来说，如果发起网络流量请求，则OpenStack云平台会将该网络流量请求转发至负载均衡模块中配置的虚拟IP地址上，假设某个虚拟IP地址接收到租户A中的一个用户发送的网络流量请求，则对应的负载均衡模块所处的均衡处理装置即为当前均衡处理装置，该当前均衡处理装置中的安全防护模块即为对应的当前安全防护模块。

而本申请实施例中，安全防护模块可以包括第二判断模块和拒绝模块，其中，第二判断模块用于响应于虚拟IP地址接收到当前租户发送的网络流量请求，依据保存的当前安全防护策略判断所述网络流量请求是否合法。具体的，第二判断模块可以包括：获取子模块，用于获取所述网络流量请求中与当前安全防护策略对应的当前数据包特征；以及，判断子模块，用于依据所述当前数据包特征判断所述网络流量请求是否合法。其中，所述安全处理模块，用于在所述当前安全防护模块的结果为否的情况下，对所述网络流量请求进行安全处理。其中，不同的安全防护策略，侧重与对不同的数据包特征进行判断，例如防御跨站脚本攻击策略，会依据数据包中的“动作操作”特征来判断对应的网络流量请求是否合法，而防御SQL注入攻击，则会依据数据包中的SQL语句内容判定网络流量请求是否合法。

而负载均衡模块则可以用于在所述第二判断模块的判断结果为是的情况下，依据所述当前配置信息将所述网络流量请求分发至对应的成员服务器。具体的，假设一个负载均衡模块连接的成员服务器有4个，参考图4中成员服务器1、成员服务器2、成员服务器3和成员服务器4，则负载均衡模块可以根据负载均衡策略选择其中的成员服务器1来发送网络流量请求，也可以选择成员服务器2和3来发送网络流量请求等。具体选择哪一个或哪些成员服务器，可以根据该负载均衡模块上预先配置的负载均衡策略来实现。例如，最小轮循均衡策略，权重轮循均衡策略，随机均衡策略，响应速度均衡策略等。

在实际应用中，因为各个成员服务器会存在弹性扩容或减容的场景，即，一个均衡处理装置上配置的成员服务器的个数增多或减少。例如，参考图4来说，均衡处理装置n本来仅连接成员服务器1和2，随后与该均衡处理服务器对应的租户A进行了扩容，通过修改负载均衡的配置信息(在资源池中新增了成员服务器的信息)新增了成员服务器3和4，则负载均衡模块在按照预先配置的负载均衡算法选择成员服务器的时候，就可以将新增的成员服务器也作为待选择的对象。在这种情况下，负载均衡模块还可以包括：计算子模块，用于按照预先配置的负载均衡算法从更新服务器中计算得到候选的成员服务器；其中，更新服务器包括添加的成员服务器和未添加之前资源池中的成员服务器，和，分发子模块，用于将所述网络流量请求分发至所述候选的成员服务器。例如，第一确定子模块可以根据预先配置的随机轮训策略，从成员服务器1、2、3和4中按照顺序选择了成员服务器3作为候选的成员服务器，进而第一分发子模块将网络流量请求发送给成员服务器3，当然，也有可能按照负载均衡算法计算得到的候选服务器还是成员服务器1或2。

还有一种情况是，有可能租户A在所述资源池中删除成员服务器的情况下，例如，仍然参考图4所示，均衡处理装置1原本连接了成员服务器5、6和7，随后租户A在配置信息中删除了成员服务器7，则所述计算子模块，就用于按照预先配置的负载均衡算法从资源池中的剩余服务器中确定候选的成员服务器。即，计算子模块也可以从剩余服务器(成员服务器5和6)中确定出成员服务器5作为候选的成员服务器，进而由分发子模块将网络流量请求分发至成员服务器5。

在本实施例中，基于OpenStack云平台的负载均衡服务管理系统在接收到用户的网络流量访问请求时，通过租户预先配置的安全防护策略，对网络流量请求是否属于恶意请求进行判断，如果不符合当前安全防护规则进行拦截，因此，相比现有技术来讲，本申请中的负载均衡服务管理系统在进行安全访问时能够保证云平台的安全性。并且由于成员服务器配置到均衡处理装置上，当后端的成员服务器扩容或减容的时候，安全防护模块也能够保证在弹性扩容和减容场景下云平台的安全访问。

基于图4所示的安全访问的场景架构图，参考图5所示，为本申请实施例公开的一种基于OpenStack云平台的负载均衡服务进行安全访问的方法流程图，负载均衡模块中保存有负载均衡的初始配置信息，所述初始配置信息包括：虚拟IP地址；所述安全防护模块中保存有安全防护策略，所述安全防护模块包括：第二判断模块和安全处理模块；在步骤302之后，还可以包括：

步骤501：响应于虚拟IP地址接收到当前租户发送的网络流量请求，当前安全防护模块中的第二判断模块依据保存的当前安全防护策略判断所述网络流量请求是否合法，如果是，则进入步骤502；如果否，则进入步骤503。

当前安全防护模块可以为：与所述当前租户对应的当前均衡处理装置中的安全防护模块，不同的安全防护策略对应不同的数据包特征，所述安全防护策略包括：防御跨站脚本攻击策略、防御DDOS攻击策略、防御SQL注入策略和/或防御目录遍历策略；所述当前安全防护模块依据所述当前安全防护策略判断所述网络流量请求是否合法，具体可以包括：

所述当前安全防护模块获取所述网络流量请求中与当前安全防护策略对应的当前数据包特征，并依据所述当前数据包特征判断所述网络流量请求是否合法。

步骤502：当前负载均衡模块依据保存的当前配置信息将所述网络流量请求分发至对应的成员服务器。

其中，当前负载均衡模块可以为：与所述当前租户对应的当前均衡处理装置中的负载均衡模块。在第一种情况下，在所述当前租户在所述资源池中添加成员服务器的情况下，所述步骤502可以包括：先按照预先配置的负载均衡算法从更新服务器中计算得到候选的成员服务器；再将所述网络流量请求分发至所述候选的成员服务器。所述更新服务器包括：添加的成员服务器和未添加之前资源池中的成员服务器，或者，删除成员服务器后资源池中剩余的服务器。

步骤503：安全处理模块对所述网络流量请求进行安全处理。

如果某个网络流量请求不合法，则安全处理模块对所述网络流量请求进行安全处理，例如，拒绝或丢弃该网络流量请求，负载均衡模块也不会将该网络流量请求分发至任意一个成员服务器。

本申请的负载均衡服务管理系统在进行安全防护时，能够在接收到网络流量请求的时候，通过租户预先配置的安全防护策略，对网络流量请求是否属于恶意请求进行判断，如果不符合当前安全防护规则进行拦截，因此，相比现有技术来讲，本申请中的负载均衡服务管理系统进行安全访问的方法能够保证云平台的安全性。并且由于成员服务器配置到均衡处理装置上，当后端的成员服务器扩容或减容的时候，安全防护模块也能够保证在弹性扩容或减容场景下云平台的安全访问。

对于前述的方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本申请所提供的负载均衡服务管理方法及系统进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种基于OpenStack云平台的负载均衡服务管理方法，其特征在于，该方法应用于负载均衡服务管理系统上，所述负载均衡服务管理系统包括：驱动装置、安全管理装置SMC和多个均衡处理装置，所述均衡处理装置包括：负载均衡模块和安全防护模块；该方法包括：

响应于当前租户对负载均衡进行配置，所述驱动装置获取所述负载均衡的初始配置信息和当前租户的信息，以及，响应于当前租户对安全防护进行配置，所述SMC获取所述当前租户的初始安全防护策略；

响应于所述驱动装置将所述初始配置信息和当前租户的信息发送至所述SMC，所述SMC将所述初始配置信息发送至当前负载均衡模块，并保存当前租户、初始安全防护策略、初始配置信息和当前均衡处理装置之间的对应关系；

其中，所述当前负载均衡模块为：与所述当前租户对应的当前均衡处理装置中的负载均衡模块。

2.根据权利要求1所述的方法，其特征在于，所述SMC将所述初始配置信息发送至与当前负载均衡模块，包括：

从未关联租户的均衡处理装置中，按照轮训的方式为所述当前租户确定一一对应的当前均衡处理装置；

所述SMC将所述初始配置信息发送至所述确定的当前均衡处理装置中的负载均衡模块。

3.根据权利要求1所述的方法，其特征在于，还包括：

所述SMC判断剩余均衡处理装置的个数是否小于预设第一个数阈值以及是否大于预设第二个数阈值，其中，所述第一个数阈值小于所述预设第二个数阈值；所述剩余均衡处理装置为：当前未建立与租户之间的对应关系的均衡处理装置；

如果小于预设第一个数阈值，则参考所述预设第一个数阈值，配置若干个均衡处理装置；

如果大于预设第二个数阈值，则释放若干个均衡处理装置，直至剩余均衡处理装置的个数不大于所述第二预设个数阈值。

4.根据权利要求1所述的方法，其特征在于，所述初始配置信息包括：负载均衡的虚拟IP、包括多个成员服务器的资源池、所述多个成员服务器、负载均衡算法和健康检查策略，则还包括：

在所述当前租户更新所述初始配置信息的情况下，所述SMC将更新的初始配置信息发送至当前租户对应的当前均衡处理装置中的负载均衡模块，以及，保存所述当前租户与更新的初始配置信息之间的对应关系；或者，

在所述当前租户更新初始安全防护策略的情况下，所述SMC保存所述当前租户与更新的安全防护策略的对应关系。

5.根据权利要求1所述的方法，其特征在于，还包括：

在当前租户删除所述初始安全防护策略的情况下，所述SMC从当前租户对应的均衡处理装置中释放安全防护模块；或者，在当前租户删除负载均衡的初始配置信息的情况下，所述SMC从当前租户的对应的当前均衡处理装置中释放安全防护模块和负载均衡模块。

6.根据权利要求1所述的方法，其特征在于，所述初始配置信息包括：虚拟IP地址，所述安全防护模块中保存有安全防护策略，所述安全防护模块包括：第二判断模块和安全处理模块，所述方法还包括：

响应于虚拟IP地址接收到当前租户发送的网络流量请求，当前安全防护模块中的第二判断模块依据保存的当前安全防护策略判断所述网络流量请求是否合法，如果是，则当前负载均衡模块依据保存的当前配置信息将所述网络流量请求分发至成员服务器，所述成员服务器用于响应所述网络流量请求；如果否，则当前安全防护模块中的安全处理模块对所述网络流量请求进行安全处理；

其中，所述当前安全防护模块为：与所述当前租户对应的当前均衡处理装置中的安全防护模块，所述当前负载均衡模块为：与所述当前租户对应的当前均衡处理装置中的负载均衡模块。

7.根据权利要求6所述的方法，其特征在于，不同的安全防护策略对应不同的数据包特征，所述安全防护策略包括：防御跨站脚本攻击策略、防御DDOS攻击策略、防御SQL注入策略和/或防御目录遍历策略；所述当前安全防护模块依据所述当前安全防护策略判断所述网络流量请求是否合法，包括：

所述当前安全防护模块获取所述网络流量请求中与当前安全防护策略对应的当前数据包特征；

所述当前安全防护模块依据所述当前数据包特征判断所述网络流量请求是否合法。

8.根据权利要求6所述的方法，其特征在于，所述初始配置信息包括：负载均衡的虚拟IP地址、多个成员服务器的资源池、所述多个成员服务器、负载均衡算法和健康检查策略，在所述当前租户在所述资源池中添加或删除成员服务器的情况下，所述当前负载均衡模块依据所述当前配置信息将所述网络流量请求分发至成员服务器，包括：

按照预先配置的负载均衡算法从更新服务器中计算得到候选的成员服务器；所述更新服务器包括：添加的成员服务器和未添加之前资源池中的成员服务器，或者，删除成员服务器后资源池中剩余的服务器；

将所述网络流量请求分发至所述候选的成员服务器。

9.一种基于OpenStack云平台的负载均衡服务管理系统，其特征在于，该系统包括：驱动装置、安全管理装置SMC和多个均衡处理装置，所述均衡处理装置包括：负载均衡模块和安全防护模块；

所述驱动装置，用于响应于当前租户对负载均衡进行配置，获取负载均衡的初始配置信息和当前租户的信息；

所述SMC包括：获取模块、发送模块和保存模块；其中，所述获取模块用于响应于当前租户对安全防护进行配置，获取所述当前租户的初始安全防护策略；所述发送模块用于响应于所述驱动装置发送所述初始配置信息和当前租户的信息，将所述初始配置信息发送至至当前负载均衡模块，以及，所述保存模块用于保存当前租户、初始安全防护策略、初始配置信息和所述当前均衡处理装置之间的对应关系；其中，所述当前负载均衡模块为：与所述当前租户对应的当前均衡处理装置中的负载均衡模块。

10.根据权利要求9所述的系统，其特征在于，所述初始配置信息包括：虚拟IP地址；所述安全防护模块中保存有安全防护策略，所述安全防护模块包括：第二判断模块和安全处理模块；当前安全防护模块中的第二判断模块，用于响应于虚拟IP地址接收到当前租户发送的网络流量请求，依据保存的当前安全防护策略判断所述网络流量请求是否合法；

当前安全防护模块中的安全处理模块，用于在所述第二判断模块的结果为否的情况下，对所述网络流量请求进行安全处理；

所述负载均衡模块，用于在所述第二判断模块的判断结果为是的情况下，依据保存的当前配置信息将所述网络流量请求分发至成员服务器。