CN107454010A - 一种云平台东西流量管控方法 - Google Patents

一种云平台东西流量管控方法 Download PDF

Info

Publication number
CN107454010A
CN107454010A CN201710876846.5A CN201710876846A CN107454010A CN 107454010 A CN107454010 A CN 107454010A CN 201710876846 A CN201710876846 A CN 201710876846A CN 107454010 A CN107454010 A CN 107454010A
Authority
CN
China
Prior art keywords
management
control
virtual
container
virtual machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710876846.5A
Other languages
English (en)
Inventor
罗义兵
季统凯
杨松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
G Cloud Technology Co Ltd
Original Assignee
G Cloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by G Cloud Technology Co Ltd filed Critical G Cloud Technology Co Ltd
Priority to CN201710876846.5A priority Critical patent/CN107454010A/zh
Publication of CN107454010A publication Critical patent/CN107454010A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/4557Distribution of virtual machine instances; Migration and load balancing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及云计算网络技术领域,特别是一种云平台东西流量管控方法。本发明的方法是首先给被管控东西流量的虚拟机、容器、物理机新建一个管控虚拟机或容器;给管控虚拟机或容器创建两个虚拟接口;将一个虚拟接口后端和被管控者的网络对接,另外一个虚拟接口后端接入到东西流向的虚拟交换机上;在管控的虚拟机或容器上装入管控模块,实现东西流量管控。本发明可以满足云平台内部不同网络安全传输需求,提供防病毒、防SQL注入等不同类型或级别的安全功能。

Description

一种云平台东西流量管控方法
技术领域
本发明涉及云计算网络技术领域,特别是一种云平台东西流量管控方法。
背景技术
随着云平台的发展,很多应用系统都迁入到的虚拟机、容器、物理机的云管理平台中。云平台的流量主要分为东西流量、南北流量,大部分的南北流量会通过内部转换为连接存储、数据库、中间件的流量,而这些流量主要是东西流量;其流量涉及到重要的数据资源的访问,因此云平台中东西流量在整个平台中的比重很高,其资源的比较重要。
云平台外部边界上有防火墙、入侵检测等相关设备,来保证外界的安全。而云平台内部的安全一般是通过宿主机上的虚拟防火墙来实现的,但是这个虚拟防火墙的功能比较有限,一般只能设置安全访问规则功能。
随着病毒等渗透到云平台内部后,如果没有东西流量的病毒检测工具将会加大云平台内部病毒扩散的速度,传统的方式是在虚拟机内部装入相关杀毒软件,但是这种方式和虚拟机结合得太紧密了,在一定程度上影响了虚拟机的正常使用。
发明内容
本发明解决的技术问题在于提出一种云平台东西流量管控方法;实现对东西流量的网络安全等管控。
本发明解决上述技术问题的技术方案是:
所述的方法主要步骤如下:
(1)给被管控东西流量的虚拟机、容器、物理机新建一台管控虚拟机或容器;
(2)给管控虚拟机或容器创建两个虚拟接口;
(3)将一个虚拟接口后端和被管控者的网络对接,另外一个虚拟接口后端接入到东西流向的虚拟交换机上;
(4)在管控的虚拟机或容器上装入管控模块,实现东西流量管控;所述的管控模块实现病毒检测、SQL注入检测、防火墙、安全审计等。
所述的东西流量是指虚拟机、容器或物理机的局域网内部通信流量;所述的管控东西流量是根据用户的需求提供对应的管控功能,包括能够控制通信的流量大小、能防止SQL注入和病毒入侵。
所述的管控虚拟机或容器,
(1)其内部网络为数据交换模式,提供二层网络数据的转发;
(2)支持管控模块的设置,在转发的出、入口进行网络数据传输的管控。
所述管控者的一个虚拟接口的后端和被管控的虚拟接口后端处于同一网桥上,该网桥上只允许管控者和被管控者的一个虚拟接口后端存在;
管控者的另一个虚拟接口后端和宿主机上的骨干网桥对接,骨干网桥作为局域网内部通信的桥梁;
管控者的两个虚拟接口处于交换模式;所有虚拟接口处于同一个局域网中。
本发明方案的有益效果如下:
(1)在被管控的外部采用特定管控模块来管控虚拟机、容器、物理机的东西流量,减少对业务系统的影响;
(2)可以满足云平台内部不同网络安全传输需求。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明的流程图。
具体实施方式
见图1所示,本发明的基本流程如下:
1、在云平台上创建三台虚拟机,虚拟机FC3A3DFC为局域网测试虚拟机,EC5A3D8为被控虚拟机,797C33D1管控虚拟机。
2、给797C33D1管控虚拟机分配局域网两个的虚拟网卡
给EC5A3D8被控虚拟机分配一个相同局域网的虚拟网卡
给FC3A3DFC测试虚拟机分配一个相同局域网的虚拟网卡
具体操作命令如下:
(1)新建797C33D1和EC5A3D8共用的虚拟网桥br-797EC5
(2)在br-797EC5网桥上给797C33D1(管控虚拟机)、EC5A3D8(被管控虚拟机)新建一个虚拟网卡,具体配置如下:
797C33D1的libvirt部分网络配置部分如下:
<interface type=′bridge′>
<mac address=′fa:16:3e:f7:a0:2b′/>
<source bridge=′br-797EC5′/>
<virtualport type=′openvswitch′>
</virtualport>
<target dev=′tapa076858b-ce′/>
</interface>
EC5A3D8的libvirt网络配置部分如下:
<interface type=′bridge′>
<mac address=′fa:16:3e:d6:d3:4c′/>
<source bridge=′br-797EC5/>
<virtualport type=′openvswitch′>
</virtualport>
<target dev=′tap0afd8023-79′/>
<model type=′virtio′/>
</interface>
(3)网络对接
a)骨干局域网以br-int作为通信网桥
在br-int网桥上给797C33D1(管控虚拟机)、FC3A3DFC(测试虚拟机)新建一个虚拟网卡,具体配置如下:
797C33D1的libvirt部分网络配置如下:
<interface type=′bridge′>
<mac address=′fa:16:3e:35:aa:c5′/>
<source bridge=′br-int′/>
<targetdev=′tapdd3101ab-cd′/>
<modeltype=′virtio′/>
</interface>
FC3A3DFC的libvirt网络配置如下:
<interfacetype=′bridge′>
<macaddress=′fa:16:3e:29∶64:e7′/>
<source bridge=′br-int′/>
<target dev=′tapce12b47d-44′/>
<model type=′virtio′/>
<driver name=′qemu′/>
</interface>
b)设置797C33D1管控虚拟机内部的虚拟接口为交换模式,其内部网卡为eth0和eth1
brctl addbr br0
brctl addif br0 eth0
brctl addifbr0 eth1
ifconfig br0 up
ifconfig eth0 0
c)设置虚拟机后端的tag为5,组成一个局域网
ovs set port tap0afd8023-79tag=5
ovs set port tapa076858b-ce tag=5
ovs set port apce12b47d-44tag=5
(4)在管控虚拟机上装入管控模块
根据业务需求,提供相应的虚拟机以及虚拟机上的管控模块,本文不再描述。

Claims (5)

1.一种云平台东西流量管控方法,其特征在于,所述的方法主要步骤如下:
(1)给被管控东西流量的虚拟机、容器、物理机新建一台管控虚拟机或容器;
(2)给管控虚拟机或容器创建两个虚拟接口;
(3)将一个虚拟接口后端和被管控者的网络对接,另外一个虚拟接口后端接入到东西流向的虚拟交换机上;
(4)在管控的虚拟机或容器上装入管控模块,实现东西流量管控;所述的管控模块实现病毒检测、SQL注入检测、防火墙、安全审计等。
2.根据权利要求1所述的方法,其特征在于:所述的东西流量是指虚拟机、容器或物理机的局域网内部通信流量;所述的管控东西流量是根据用户的需求提供对应的管控功能,包括能够控制通信的流量大小、能防止SQL注入和病毒入侵。
3.根据权利要求1所述的方法,其特征在于,所述的管控虚拟机或容器,
(1)其内部网络为数据交换模式,提供二层网络数据的转发;
(2)支持管控模块的设置,在转发的出、入口进行网络数据传输的管控。
4.根据权利要求2所述的方法,其特征在于,所述的管控虚拟机或容器,
(1)其内部网络为数据交换模式,提供二层网络数据的转发;
(2)支持管控模块的设置,在转发的出、入口进行网络数据传输的管控。
5.根据权利要求1至4任一项所述的方法,其特征在于:
所述管控者的一个虚拟接口的后端和被管控的虚拟接口后端处于同一网桥上,该网桥上只允许管控者和被管控者的一个虚拟接口后端存在;
管控者的另一个虚拟接口后端和宿主机上的骨干网桥对接,骨干网桥作为局域网内部通信的桥梁;
管控者的两个虚拟接口处于交换模式;所有虚拟接口处于同一个局域网中。
CN201710876846.5A 2017-09-25 2017-09-25 一种云平台东西流量管控方法 Pending CN107454010A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710876846.5A CN107454010A (zh) 2017-09-25 2017-09-25 一种云平台东西流量管控方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710876846.5A CN107454010A (zh) 2017-09-25 2017-09-25 一种云平台东西流量管控方法

Publications (1)

Publication Number Publication Date
CN107454010A true CN107454010A (zh) 2017-12-08

Family

ID=60498106

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710876846.5A Pending CN107454010A (zh) 2017-09-25 2017-09-25 一种云平台东西流量管控方法

Country Status (1)

Country Link
CN (1) CN107454010A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109194640A (zh) * 2018-08-27 2019-01-11 北京安数云信息技术有限公司 一种虚拟化平台东西向流量隔离防护方法
CN109450848A (zh) * 2018-09-21 2019-03-08 北京奇安信科技有限公司 一种Docker东西向流量入侵防御方法及装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109194640A (zh) * 2018-08-27 2019-01-11 北京安数云信息技术有限公司 一种虚拟化平台东西向流量隔离防护方法
CN109450848A (zh) * 2018-09-21 2019-03-08 北京奇安信科技有限公司 一种Docker东西向流量入侵防御方法及装置
CN109450848B (zh) * 2018-09-21 2021-05-25 奇安信科技集团股份有限公司 一种Docker东西向流量入侵防御方法及装置

Similar Documents

Publication Publication Date Title
CN105100026B (zh) 一种报文安全转发方法及装置
CN108964959A (zh) 一种用于虚拟化平台的网卡直通系统及数据包监管方法
US10972449B1 (en) Communication with components of secure environment
CN109314726A (zh) 操作系统容器之间通讯的系统和方法
EP3506582B1 (en) Method and device for deploying security policy
CN106330575A (zh) 一种安全服务平台及安全服务部署方法
CN103685608B (zh) 一种自动配置安全虚拟机ip地址的方法及装置
CN102884761A (zh) 用于云计算的虚拟交换覆盖
CN109379347B (zh) 一种安全防护方法及设备
CN102244622A (zh) 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统
CN114500623B (zh) 网络靶场互联互通方法、装置、设备及可读存储介质
CN109639455A (zh) 一种容器云平台的网络管理方法及系统
US20200159555A1 (en) Provider network service extensions
CN104468587B (zh) 一种云计算环境下的虚拟机单点登录方法和系统
CN107733871A (zh) 网络安全隔离系统
CN103500304A (zh) 基于Xen的虚拟机个性化安全监控系统及监控方法
CN105939286A (zh) 令牌桶管理方法及装置
DE102018004111A1 (de) Datencenter-Leistungsmanagement
CN108228309A (zh) 基于虚拟机的数据包发送和接收方法及装置
CN107454010A (zh) 一种云平台东西流量管控方法
CN104468311A (zh) 一种物理网卡虚拟成多个虚拟网卡的方法及系统
CN106657279B (zh) 一种网络业务加速方法和设备
KR20150081497A (ko) 네트워크 인터페이스 가상화 장치 및 방법
CN114968470A (zh) 基于k8s集群的容器检测方法、装置、电子设备及存储装置
CN106817291A (zh) Vxlan实现装置及其工作方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20171208