CN106612225A - 一种基于openstack的代理部署系统及方法 - Google Patents

Abstract

一种基于openstack的代理部署系统及方法，涉及云计算领域，包括服务器、第一管理接入交换机、第二管理接入交换机、管理核心交换机和至少一个计算节点，所述服务端通过第二管理接入交换机连接管理核心交换机，管理核心交换机连接第一管理接入交换机，其特征在于：每个计算节点包括代理虚拟机和管理虚拟交换机，所述代理虚拟机的代理管理网卡绑定至管理虚拟交换机；每个计算节点对应一个计算节点管理网卡，计算节点管理网卡接入所述第一管理接入交换机的端口，管理虚拟交换机绑定计算节点管理网卡。本发明在符合等保三级要求下，减少转发路径，提升网络转发性能，减少运维人员后期工作量。

Description

一种基于openstack的代理部署系统及方法

技术领域

本发明涉及云计算领域，具体来讲涉及一种基于openstack的代理部署系统及方法。

背景技术

在基于openstack建设云计算的IAAS(Infrastructure as a Service，基础设施即服务)时，在满足等保三级的情况下，需要部署一些代理，如监控代理、防病毒代理和数据库审计等。一般情况下，在部署符合等保三级的云计算IAAS平台时，在网络上要划分成三个网络：管理网络、业务网络以及存储网络，且三个网络必须相互隔离。

如图1所示，在符合等保三级的云数据中心中，运维监控管理系统、数据库审计系统、以及云杀毒系统等必须部署到运维管理区，而这些系统要能正常工作，必须以虚拟机的形式在租户的网络里面部署代理；这样就会产生以下几个问题：

(1)如图1所示，由于openstack架构上的设计，虚拟机只能通过业务网络与外界通讯，而业务网络与管理网络无法互访，导致代理无法与服务端进行通讯，因为服务端是部署在运维管理区。如果要让系统正常工作，就必须打通管理平面与业务平面，如图2所示，在管理防火墙与业务防火墙之间连接一根网线；但是这样就会留有安全隐患，不符合等保三级要求。

(2)如图2所示，在强行打通管理网络与业务网络的情况下，代理与服务端通讯，数据流路径就变为：代理→业务虚拟交换机→业务接入交换机→业务核心交换机→业务防火墙→管理防火墙→管理核心交换机→管理接入交换机→服务端；转发路径非常长，导致代理效率降低，影响代理虚拟机的网络转发性能。

(3)在强行打通管理网络与业务网络的情况下，必须设置相应的防火墙安全策略，进行相应网段隔离，这样就增加了额外的配置工作，随着租户的增多，策略也随之增加；大大增加运维人员后期的工作量。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种基于openstack的代理部署系统及方法，在符合等保三级要求下，减少转发路径，提升网络转发性能，减少运维人员后期工作量。

为达到以上目的，本发明采取一种基于openstack的代理部署系统，包括服务器、第一管理接入交换机、第二管理接入交换机、管理核心交换机和至少一个计算节点，所述服务端通过第二管理接入交换机连接管理核心交换机，管理核心交换机连接第一管理接入交换机，每个计算节点包括代理虚拟机和管理虚拟交换机，所述代理虚拟机的代理管理网卡绑定至管理虚拟交换机；每个计算节点对应一个计算节点管理网卡，计算节点管理网卡接入所述第一管理接入交换机的端口，管理虚拟交换机绑定计算节点管理网卡。

在上述技术方案的基础上，所述计算节点包括用户虚拟机和业务虚拟交换机，用户虚拟机的虚拟机业务网卡绑定至述业务虚拟交换机，业务虚拟交换机绑定代理虚拟机的代理业务网卡。

在上述技术方案的基础上，包括业务接入交换机和业务核心交换机，计算节点的计算节点业务网卡绑定至业务接入交换机，业务接入交换机连接业务核心交换机。

本发明还提供一种代理部署方法，包括步骤：

S1.每个计算节点添加管理虚拟交换机，并将计算节点管理网卡绑定到对应的管理虚拟交换机；

S2.创建管理网段，由openstack分配管理vlan；

S3.每个计算节点创建代理虚拟机，选择所述管理vlan，将代理虚拟机的代理管理网卡绑定到管理虚拟交换机；

S4.将第一管理接入交换机接入计算节点管理网卡的端口配置成trunk模式，允许所述管理vlan通过；

S5.在代理虚拟机里配置去往服务端的明细路由；

S6.通过openstack设置安全组，允许代理虚拟机访问服务端的TCP或者UDP端口；

S7.在代理虚拟机与服务端连通的前提下，接收代理发送的信息。

在上述技术方案的基础上，所述S1中，通过修改openstack代码，在服务启动时，调用openvswitch命令为每个计算节点添加管理虚拟交换机。

在上述技术方案的基础上，所述S2中，管理网段由云平台租户管理员通过openstack用户界面创建。

在上述技术方案的基础上，所述S3中，代理虚拟机由云平台租户管理员通过openstack用户界面创建。

在上述技术方案的基础上，所述S3中，通过代理虚拟机的代理管理网卡绑定到管理虚拟交换机，将代理管理网卡和计算节点管理网卡通过管理虚拟交换机连接。

在上述技术方案的基础上，所述S7的具体步骤为，

S701.在代理虚拟机里，用telnet或者ping命令测试与服务端的连通性，判断是否连通，若是，进入S702；若否，进入S703；

S702.通过服务端，判断是否收到代理发来的信息，若是，结束；若否，进入S703；

S703.检测通过openstack设置的安全组设置是否正确，若是，进入S702；若否，进入S704；

S704.进行纠错后，进入S702。

本发明的有益效果在于：

由于在每个计算节点上部署管理虚拟交换机，将计算节点的管理网卡绑定到该管理虚拟交换机上，代理虚拟机(即虚拟机形态的代理)的代理管理网卡连接到该计算节点的管理虚拟交换机上.这样每个代理就可以使用自己的代理管理网卡通过计算节点上的管理虚拟交换机，通过计算节点上的计算节点管理网卡与服务端通讯，其具备以下好处：

(1)代理虚拟机通过业务虚拟交换机采集信息，从计算机管理网卡、通过管理网络与服务端交互，这样就没有打破三个网络相互隔离的要求，符合安全等保三级。

(2)数据流的路途变成：代理→管理虚拟交换机→管理接入交换机→管理核心交换机→管理防火墙→管理接入交换机→服务端，整个路径相对于背景技术中的系统路径缩短至将近1/2，并且少了管理防火墙与业务防火墙之间策略过滤，从而提高了整个代理效率以及网络的转发性能。

(3)代理虚拟机形态从管理网络向服务端上报采集到的相关信息，因此就不需要强行打通业务网络与管理网络，就不需要再两个网络相应的防火墙配置安全策略，最终减轻了运维人员后期的工作量，提升运维效率。

附图说明

图1为背景技术中等保三级的云数据中心示意图；

图2为背景技术中代理部署系统示意图；

图3为本发明实施例基于openstack的代理部署系统示意图；

图4为本发明实施例基于openstack的代理部署方法流程图。

图5为图4中S7的具体步骤。

具体实施方式

以下结合附图及实施例对本发明作进一步详细说明。

如图3所示，本发明基于openstack的代理部署系统，包括服务器、第一管理接入交换机、第二管理接入交换机、管理核心交换机和至少一个计算节点；所述服务端通过第二管理接入交换机连接管理核心交换机，管理核心交换机设置管理防火墙，管理核心交换机连接第一管理接入交换机。每个计算节点包括用户虚拟机、业务虚拟交换机(br-int)、代理虚拟机和管理虚拟交换机(br-mgnt)；每个计算节点对应一个计算节点管理网卡，计算节点管理网卡接入所述第一管理接入交换机的端口，管理虚拟交换机绑定计算节点管理网卡，所述代理虚拟机的代理管理网卡绑定至管理虚拟交换机。代理虚拟机的代理业务网卡绑定至业务虚拟交换机，所述用户虚拟机的虚拟机业务网卡绑定至述业务虚拟交换机。本实施例openstack的代理部署系统，还包括业务接入交换机和业务核心交换机，业务核心交换机设置业务防火墙，计算节点的计算节点业务网卡绑定至业务接入交换机，业务接入交换机连接业务核心交换机。

如图4所示，本发明实施例基于openstack的代理部署方法，包括步骤：

S1.通过修改openstack代码，在服务启动时，调用openvswitch命令为每个计算节点添加管理虚拟交换机，命令：ovs-vsctl add-br br-mgnt。并将计算节点管理网卡绑定到对应的管理虚拟交换机，命令：ovs-vsctl add-port br-mgnt管理网卡名称根据前期规划的计算节点管理网卡而定。

S2.云平台租户管理员，通过openstack用户界面创建管理网段，由openstack程序自动分配管理vlan。

S3.云平台租户管理员通过openstack用户界面创建代理虚拟机，在创建代理虚拟机的选择网络步骤中选择所述管理vlan。openstack在创建代理虚拟机时，通过程序将代理虚拟机的代理管理网卡绑定到管理虚拟交换机上，这样，代理管理网卡和计算节点管理网卡就通过管理虚拟交换机连接在一起。

S4.将管理接入交换机接入计算节点管理网卡的端口配置成trunk模式，允许所述管理vlan通过。

S5.在代理虚拟机里配置去往服务端的明细路由。

S6.通过openstack用户界面，设置相应的安全组策略，允许代理虚拟机访问服务端的TCP或者UDP端口，具体根据服务端使用的协议来决定。

S7.在代理虚拟机与服务端连通的前提下，接收代理发送的信息。

具体的，所述S7的步骤为：

S701.在代理虚拟机里，用telnet或者ping命令测试与服务端的连通性，判断是否连通，若是，进入S702；若否，进入S703；

S702.通过服务端，判断是否收到代理发来的信息，若是，结束；若否，进入S703；

S703.检测通过openstack设置的安全组设置是否正确，若是，进入S702；若否，进入S704；

S704.进行纠错后，进入S702。

本发明不局限于上述实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。

Claims (9)

1.一种基于openstack的代理部署系统，包括服务器、第一管理接入交换机、第二管理接入交换机、管理核心交换机和至少一个计算节点，所述服务端通过第二管理接入交换机连接管理核心交换机，管理核心交换机连接第一管理接入交换机，其特征在于：每个计算节点包括代理虚拟机和管理虚拟交换机，所述代理虚拟机的代理管理网卡绑定至管理虚拟交换机；每个计算节点对应一个计算节点管理网卡，计算节点管理网卡接入所述第一管理接入交换机的端口，管理虚拟交换机绑定计算节点管理网卡。

2.如权利要求1所述的基于openstack的代理部署系统，其特征在于：所述计算节点包括用户虚拟机和业务虚拟交换机，用户虚拟机的虚拟机业务网卡绑定至述业务虚拟交换机，业务虚拟交换机绑定代理虚拟机的代理业务网卡。

3.如权利要求1所述的基于openstack的代理部署系统，其特征在于：包括业务接入交换机和业务核心交换机，计算节点的计算节点业务网卡绑定至业务接入交换机，业务接入交换机连接业务核心交换机。

4.一种基于权利要求1所述系统的代理部署方法，其特征在于，包括步骤：

S1.每个计算节点添加管理虚拟交换机，并将计算节点管理网卡绑定到对应的管理虚拟交换机；

S2.创建管理网段，由openstack分配管理vlan；

S3.每个计算节点创建代理虚拟机，选择所述管理vlan，将代理虚拟机的代理管理网卡绑定到管理虚拟交换机；

S4.将第一管理接入交换机接入计算节点管理网卡的端口配置成trunk模式，允许所述管理vlan通过；

S5.在代理虚拟机里配置去往服务端的明细路由；

S6.通过openstack设置安全组，允许代理虚拟机访问服务端的TCP或者UDP端口；

S7.在代理虚拟机与服务端连通的前提下，接收代理发送的信息。

5.如权利要求4所述的代理部署方法，其特征在于：所述S1中，通过修改openstack代码，在服务启动时，调用openvswitch命令为每个计算节点添加管理虚拟交换机。

6.如权利要求4所述的代理部署方法，其特征在于：所述S2中，管理网段由云平台租户管理员通过openstack用户界面创建。

7.如权利要求4所述的代理部署方法，其特征在于：所述S3中，代理虚拟机由云平台租户管理员通过openstack用户界面创建。

8.如权利要求4所述的代理部署方法，其特征在于：所述S3中，通过代理虚拟机的代理管理网卡绑定到管理虚拟交换机，将代理管理网卡和计算节点管理网卡通过管理虚拟交换机连接。

9.如权利要求4所述的代理部署方法，其特征在于：所述S7的具体步骤为，

S701.在代理虚拟机里，用telnet或者ping命令测试与服务端的连通性，判断是否连通，若是，进入S702；若否，进入S703；

S702.通过服务端，判断是否收到代理发来的信息，若是，结束；若否，进入S703；

S703.检测通过openstack设置的安全组设置是否正确，若是，进入S702；若否，进入S704；

S704.进行纠错后，进入S702。