CN107612923B - 一种基于网络策略组的业务访问方法及装置 - Google Patents
一种基于网络策略组的业务访问方法及装置 Download PDFInfo
- Publication number
- CN107612923B CN107612923B CN201710931350.3A CN201710931350A CN107612923B CN 107612923 B CN107612923 B CN 107612923B CN 201710931350 A CN201710931350 A CN 201710931350A CN 107612923 B CN107612923 B CN 107612923B
- Authority
- CN
- China
- Prior art keywords
- policy
- group
- internal
- virtual machine
- rule set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及计算机网络技术领域,尤其涉及一种基于网络策略组的业务访问方法及装置,包括:在确认虚拟机访问的外部地址属于所述虚拟机对应的地址池时,创建所述外部地址对应的第一内部策略组,所述第一内部策略组与所述虚拟机所属的第二内部策略组属于同一个三层策略组;创建所述第一内部策略组的第一策略规则集;从所述三层策略组对应的公共子网中确定所述第一策略规则集对应的第一公共子网,从而完成所述第一策略规则集对应的第一访问路由的设置。可以看出,当外部地址属于虚拟机对应的地址池时,虚拟机依然能够正常访问该外部地址,扩大了网络范围。
Description
技术领域
本发明实施例涉及计算机网络技术领域,尤其涉及一种基于网络策略组的业务访问方法及装置。
背景技术
目前,虚拟化网络服务发挥着极为重要的作用,网络策略组是虚拟化网络服务面向用户的一种网络资源优化方法,可以利用网络策略组来规划不同业务之间的访问规则,如三层策略组、二层策略组、内部策略组、策略规则集和外部连接等方面。不同的内部策略组之间可以通过策略规则集进行连通,也可以通过策略规则集对不同内部策略组下面的虚拟机的网络访问进行定制化规则限制。而外部连接是指对内部策略组里面的虚拟机设置不同外部网络访问规则,并对三层策略组开通外部网关,保证虚机的网络流量和外部网络进行连通。
外部网络的接入访问以及外部策略管理是网络策略组模型的重要功能点之一,目前在用户使用时,需要先指定一个统一的外部连通网关,然后再开通外部网段策略规则。在创建三层策略组的时候,需要先规划一个地址池,后续在创建虚机子网的时候,所有的子网都要属于这个地址池,而在开通外部的访问策略的时候,如果用户开通的外部网络的地址也属于这个地址池,按照现有的协议标准,那么虚机子网与外部网络之间的访问策略规则便不会正常的下发,因此,现有技术中不允许用户开通属于这个地址池中网段的访问策略,这样就使得用户的使用网络范围受到限制。
发明内容
本发明实施例提供一种基于网络策略组的业务访问方法及装置,用以解决现有技术中不允许用户开通属于预设地址池中网段的访问策略,使得网络范围受到限制的技术问题。
本发明实施例提供一种基于网络策略组的业务访问方法,包括:
在确认虚拟机访问的外部地址属于所述虚拟机对应的地址池时,创建所述外部地址对应的第一内部策略组,所述第一内部策略组与所述虚拟机所属的第二内部策略组属于同一个三层策略组;
创建所述第一内部策略组的第一策略规则集,所述第一策略规则集用于设定所述虚拟机与所述外部地址的访问关系;
从所述三层策略组对应的公共子网中确定所述第一策略规则集对应的第一公共子网,从而完成所述第一策略规则集对应的第一访问路由的设置。
较佳的,在确认虚拟机访问的外部地址属于所述虚拟机对应的地址池之前,还包括:
创建所述三层策略组并为所述三层策略组配置所述地址池;
在所述三层策略组内根据业务类型设置不同的二层策略组;
在每个二层策略组内根据网段设置不同的内部策略组;
在每个内部策略组内配置不同的虚拟机;
为每个内部策略组设置对应的策略规则集和访问路由。
较佳的,所述为每个内部策略组设置对应的策略规则集和访问路由,包括:
从所述三层策略组对应的公共子网中确定第二公共子网,将策略规则集中目的地址不属于所述地址池的外部地址设置为通过所述第二公共子网进行访问。
较佳的,每个策略规则集对应一个访问路由,所述策略规则集包括源策略规则和目的策略规则。
本发明实施提供一种基于网络策略组的业务访问装置,包括:
创建模块,用于在确认虚拟机访问的外部地址属于所述虚拟机对应的地址池时,创建所述外部地址对应的第一内部策略组,所述第一内部策略组与所述虚拟机所属的第二内部策略组属于同一个三层策略组;
访问策略模块,用于创建所述第一内部策略组的第一策略规则集,所述第一策略规则集用于设定所述虚拟机与所述外部地址的访问关系;
访问连接模块,用于从所述三层策略组对应的公共子网中确定所述第一策略规则集对应的第一公共子网,从而完成所述第一策略规则集对应的第一访问路由的设置。
较佳的,所述创建模块,用于在确认虚拟机访问的外部地址属于所述虚拟机对应的地址池之前,创建所述三层策略组并为所述三层策略组配置所述地址池;在所述三层策略组内根据业务类型设置不同的二层策略组;在每个二层策略组内根据网段设置不同的内部策略组;在每个内部策略组内配置不同的虚拟机;
所述访问策略模块,还用于为每个内部策略组设置对应的策略规则集和访问路由。
较佳的,所述访问策略模块,具体用于:
从所述三层策略组对应的公共子网中确定第二公共子网,将策略规则集中目的地址不属于所述地址池的外部地址设置为通过所述第二公共子网进行访问。
较佳的,每个策略规则集对应一个访问路由,所述策略规则集包括源策略规则和目的策略规则。
本发明另一实施例提供了一种计算设备,其包括存储器和处理器,其中,所述存储器用于存储程序指令,所述处理器用于调用所述存储器中存储的程序指令,按照获得的程序执行上述任一种方法。
本发明另一实施例提供了一种计算机存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行上述任一种方法。
上述实施例提供的一种基于网络策略组的业务访问方法及装置,包括:在确认虚拟机访问的外部地址属于所述虚拟机对应的地址池时,创建所述外部地址对应的第一内部策略组,所述第一内部策略组与所述虚拟机所属的第二内部策略组属于同一个三层策略组;创建所述第一内部策略组的第一策略规则集,所述第一策略规则集用于设定所述虚拟机与所述外部地址的访问关系;从所述三层策略组对应的公共子网中确定所述第一策略规则集对应的第一公共子网,从而完成所述第一策略规则集对应的第一访问路由的设置。可以看出,在确认虚拟机访问的外部地址属于虚拟机对应的地址池时,首先创建该外部地址对应的第一内部策略组,然后创建第一内部策略组的第一策略规则集,最后通过第一策略规则集对应的第一公共子网从完成第一策略规则集对应的第一访问路由的设置,因此,当外部地址属于虚拟机对应的地址池时,虚拟机依然能够正常访问该外部地址,扩大了网络访问范围,从而虚拟机能够快速的进行业务的扩展,进而保证了业务的高可用性和稳定性。此外,通过本发明实施例提供的一种基于网络策略组的业务访问方法,还能够提升外部业务网络编排的灵活性以及可扩展性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍。
图1为本发明实施例提供的一种网络策略组的业务访问方法的流程示意图;
图2为本发明实施例提供的创建内部策略组的方法流程示意图;
图3为本发明实施例提供的一种网络策略组的业务访问装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1示例性示出了本发明实施例提供的一种网络策略组的业务访问方法的流程示意图,如图1所示,该方法可包括:
S101、在确认虚拟机访问的外部地址属于所述虚拟机对应的地址池时,创建所述外部地址对应的第一内部策略组,所述内部第一策略组与所述虚拟机所属的第二内部策略组属于同一个三层策略组。
S102、创建第一内部策略组的第一策略规则集,第一策略规则集用于设定虚拟机与外部地址的访问关系。
第一策略规则集包括源策略规则和目的策略规则,并且目的策略规则中的目的地址与虚拟机同属于一个地址池,其中,源策略规则可以应用到虚拟机上,而目的策略规则。
此外,策略开通的方向可以是单向的也可以是双向的,例如,当开通的策略是单向的时候,可开通虚拟机能够访问到外部网络;当开通的策略是双向的时候,虚拟机与外部网络之间可以进行互相访问。
在具体实施时,源策略规则和目的策略规则可以用网络协议的协议类型和端口号表示,目的网段和下一跳则是指开通外部网络的地址段,以使网络流量通过公共网路和公共子网出去。
S103、从三层策略组对应的公共子网中确定第一策略规则集对应的第一公共子网,从而第一策略规则集对应的第一访问路由的设置。
其中,访问路由的设置包括设置目的网段以及设置路由的下一跳地址,将策略规则集绑定到需要开通外网目的网段的路由规则集上,从而能够允许内部策略组里面的虚拟机访问外部网络。
可选的,在确认虚拟机访问的外部地址属于该虚拟机对应的地址池之前,还可执行图2所述的方法流程。
S201、创建三层策略组并为该三层策略组配置地址池。
S202、在三层策略组内根据业务类型设置不同的二层策略组。
其中,业务可以是应用程序、数据库、web网站等。
S203、在每个二层策略组内根据网段设置不同的内部策略组。
S204、在每个内部策略组内配置不同的虚拟机。
S205、为每个内部策略组设置对应的策略规则集和访问路由。
具体的,可根据业务创建三层策略组,并为该三层策略组配置IP地址资源池,也可根据业务先创建一个三层策略组,然后将这个三层策略组和规划好的IP地址池关联起来,接着创建不同的二层策略组,再从IP地址池中创建不同的子网,然后根据子网创建不同的内部策略组,最后在内部策略组内创建虚拟机。
其中,内部策略组可以是创建的逻辑网络,二层策略组是指二层网络广播域,例如,二层策略组可以是指可达的网络广播域,三层策略组是指网络路由域,可以包括多个二层策略组。
具体的,在为每个内部策略组设置对应的策略规则集和访问路由时,需要先判断该内部策略组是否包含外部网络的地址,,若是,则为该内部策略组配置第一策略规则集,第一策略规则集包括源策略规则和目的策略规则,其中,目的策略规则中的目的地址所对应的外部地址均是属于预先设定的地址池中的地址;如果该内部策略组不包含外部网络的地址,则为该内部策略组配置第二策略规则集,第二策略规则集也包括包括源策略规则和目的策略规则,只不过第二策略规则集的目的策略规则中的目的地址对应的外部地址不属于预设地址池中的地址。
如果内部策略组为包含外部地址的第一内部策略组,并且也为该内部策略组配置第一策略规则集之后,则可从三层策略组对应的公共子网中确定第一策略规则集对应的第一公共子网,从而完成第一策略规则集对应的第一访问路由的设置。而针对不包含外部地址的内部策略组,则在为该内部策略组配置第二策略规则集之后,可从三层策略组对应的公共子网中确定第二公共子网,从而将策略规则集中的目的地址不属于地址池的外部地址设置为通过第二公共子网进行访问。
此外,第一策略规则集中还可包括用于内部策略组之间进行互访的策略,第二策略规则集中也可包括用于内部策略组之间进行互访的策略。
在具体实施时,可以存在多个第一策略规则集以及存在多个第二策略规则集,只要保证一个策略规则集关联一个访问路由规则集即可。
需要说明的是,在具体实施时,第一公共子网与第二公共子网可以是同一公共子网,当然,也可以是不同的公共子网。
可选的,也可在确认虚拟机访问的外部地址属于该虚拟机对应的地址池之后,创建三层策略组,并为该三层策略组配置IP地址资源池,然后在三层策略组内根据业务类型设置不同的二层策略组,在每个二层策略组内根据网段设置不同的内部策略组,在每个内部策略组内配置不同的虚拟机,最后为每个内部策略组设置对应的策略规则集和访问路由。
下面通过一个具体的例子,对上述的方法流程进行详细的解释说明。
假设规划好的IP地址资源池所占用的IP地址段为192.168.1.1-192.168.1.20,并假设192.168.1.16和192.168.2.0为外部网络的IP地址,进一步假设192.168.2.20所属的网段用cidr5表示。
基于规划好的IP地址段“192.168.1.1-192.168.1.20”创建一个三层策略组L3,然后基于三层策略组L3创建两个二层策略组L21和L22,其中,二层策略组L21所占用的IP地址段为192.168.1.1-192.168.1.10,二层策略组L22所占用的IP地址段为192.168.1.11-192.168.1.20。
之后,基于二层策略组L21“192.168.1.1-192.168.1.10”创建两个内部策略组,分别为内部策略组1和内部策略组2,其中,内部策略组1所占用的IP地址段为192.168.1.1-192.168.1.5,内部策略组2所占用的IP地址段为192.168.1.6-192.168.1.10,并且在内部策略组1和内部策略组2内分别创建虚拟机;基于二层策略组L22“192.168.1.11-192.168.1.20”也创建两个内部策略组,分别为内部策略组3和内部策略组4,其中,内部策略组3所占用的IP地址段为192.168.1.11-192.168.1.15,内部策略组4所占用的IP地址段为192.168.1.16-192.168.1.20,此时,只在内部策略组3中创建虚拟机,在内部策略组4中并未创建虚拟机。
进一步假设内部策略组1所占用的IP地址段“192.168.1.1-192.168.1.5”,用cidr1表示;内部策略组2所占用的IP地址段“192.168.1.6-192.168.1.10”用cidr2表示;内部策略组3所占用的IP地址段“192.168.1.11-192.168.1.15”用cidr3表示;内部策略组4所占用的IP地址段“192.168.1.16-192.168.1.20”用cidr4表示。因此,IP地址为192.168.1.16的外部网络所属的IP地址段用cidr4表示。
之后,针对内部策略组1、内部策略组2、内部策略组3中的虚拟机配置访问策略规则的时候,由于内部策略组1、内部策略组2、内部策略组3中的虚拟机所访问的外部网络分为两种类型的外部网络,第一种类型的外部网络的IP地址与内部策略组1、内部策略组2、内部策略组3对应的IP地址段同属于一个IP地址池,第二种类型的外部网络的IP地址与内部策略组1、内部策略组2、内部策略组3对应的IP地址段不属于一个IP地址池,为了描述简便起见,将第内部策略组1、内部策略组2、内部策略组3中的虚拟机所访问的第一种类型的外部网络,记为外部网络1,将内部策略组1、内部策略组2、内部策略组3中的虚拟机所访问的第二种类型的外部网络,记为外部网络2。
因此,当内部策略组1、内部策略组2、内部策略组3中的虚拟机想访问外部网络1时,需要通过网络服务组件下发第一类型的策略规则集,第一类型的策略规则集中目的策略规则中的IP地址为外部网络1所对应的IP地址,并针对第一类型的策略规则集配置对应的第一类型的访问路由规则集,第一类型的访问路由规则集中的目的网段为外部网络1所对应的网段,例如,为cidr4。当针对内部策略组1、内部策略组2、内部策略组3中下发的第一类型的策略规则集中目的策略规则中的地址段为cidr4的时候,其实也就是开通内部策略组1、内部策略组2、内部策略组3访问内部策略组4之间策略的过程。
需要说明的是,如果想让内部策略组4也能够访问到内部策略组1、内部策略组2、内部策略组3中的虚拟机,也需要通过网路服务组件下发第一类型的策略规则集,此时,第一类型的策略规则集中的源策略规则中的IP地址段为cidr4,目的策略规则中的IP地址段为cidr1、cidr2、cidr3。
当内部策略组1、内部策略组2、内部策略组3中的虚拟机想访问外部网络2时,需要通过网络服务组件下发第二类型的策略规则集,第二类型的策略规则集中目的策略规则中的IP地址为外部网络2所对应的IP地址,并针对第二类型的策略规则集配置对应的第二类型的访问路由规则集,第二类型的访问路由规则集中的目的网段为外部网络2所对应的网段,例如,为cidr5。
需要说明的是,如果想让外部网络2也能够访问到内部策略组1、内部策略组2、内部策略组3中的虚拟机,也需要通过网路服务组件下发第二类型的策略规则集,此时,第二类型的策略规则集中的源策略规则中的IP地址段为cidr5,目的策略规则中的IP地址段为cidr1、cidr2、cidr3。
在为内部策略组1、内部策略组2、内部策略组3中的各虚拟机配置了第一类型的策略规则集及对应的第一类型的访问路由规则集,以及为内部策略组1、内部策略组2、内部策略组3中的各虚拟机配置了第二类型的策略规则集及对应的第二类型的访问路由规则集以后,内部策略组1、内部策略组2、内部策略组3中的各虚拟机不仅能够访问到第二类型的外部网路,内部策略组1、内部策略组2、内部策略组3中的各虚拟机还能够访问到第二类型的外部网络,即内部策略组1、内部策略组2、内部策略组3中的各虚拟机不仅能够访问到不属于预先规划好的IP地址池中的外部网络,而且内部策略组1、内部策略组2、内部策略组3中的各虚拟机还能够访问到属于预先规划好的IP地址池中的外部网路,从而扩大了虚拟机的网络访问范围。
根据以上内容可以看出,在确认虚拟机访问的外部地址属于虚拟机对应的地址池时,首先创建该外部地址对应的第一内部策略组,然后创建第一内部策略组的第一策略规则集,最后通过第一策略规则集对应的第一公共子网从完成第一策略规则集对应的第一访问路由的设置,因此,当外部地址属于虚拟机对应的地址池时,虚拟机依然能够正常访问该外部地址,扩大了网络访问范围,从而虚拟机能够快速的进行业务的扩展,进而保证了业务的高可用性和稳定性。此外,通过本发明实施例提供的一种基于网络策略组的业务访问方法,还能够提升外部业务网络编排的灵活性以及可扩展性。
基于相同的技术构思,本发明实施例还提供了一种基于网络策略组的业务访问装置,如图3所示,该业务访问装置可包括:
创建模块301,用于在确认虚拟机访问的外部地址属于所述虚拟机对应的地址池时,创建所述外部地址对应的第一内部策略组,所述第一内部策略组与所述虚拟机所属的第二内部策略组属于同一个三层策略组;
访问策略模块302,用于创建所述第一内部策略组的第一策略规则集,所述第一策略规则集用于设定所述虚拟机与所述外部地址的访问关系;
访问连接模块303,用于从所述三层策略组对应的公共子网中确定所述第一策略规则集对应的第一公共子网,从而完成所述第一策略规则集对应的第一访问路由的设置。
较佳的,创建模块301,用于在确认虚拟机访问的外部地址属于所述虚拟机对应的地址池之前,创建所述三层策略组并为所述三层策略组配置所述地址池;在所述三层策略组内根据业务类型设置不同的二层策略组;在每个二层策略组内根据网段设置不同的内部策略组;在每个内部策略组内配置不同的虚拟机;
访问策略模块302,还用于为每个内部策略组设置对应的策略规则集和访问路由。
较佳的,所述访问策略模块302,具体用于:
从所述三层策略组对应的公共子网中确定第二公共子网,将策略规则集中目的地址不属于所述地址池的外部地址设置为通过所述第二公共子网进行访问。
较佳的,每个策略规则集对应一个访问路由,所述策略规则集包括源策略规则和目的策略规则。
需要注意的是,本发明实施例提供的一种网络策略组的业务访问方法及装置,可应用于IaaS(Infrastructure as a Service,基础设施即服务)平台的虚拟化网络领域,当然也可应用于其它平台的虚拟化网络领域,本发明实施例对应用的场景不进行任何限定,只要采用上述实施例提供的方法流程或装置均属于本发明的保护范围。
本发明实施例提供了一种计算设备,该计算设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)等。如图2所示,该计算设备可以包括中央处理器(Center Processing Unit,CPU)、存储器、输入/输出设备等,输入设备可以包括键盘、鼠标、触摸屏等,输出设备可以包括显示设备,如液晶显示器(Liquid Crystal Display,LCD)、阴极射线管(Cathode Ray Tube,CRT)等。
存储器可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器提供存储器中存储的程序指令和数据。在本发明实施例中,存储器可以用于存储基于交易数据的异常监测方法的程序。
处理器通过调用存储器存储的程序指令,处理器用于按照获得的程序指令执行:在确认虚拟机访问的外部地址属于所述虚拟机对应的地址池时,创建所述外部地址对应的第一内部策略组,所述第一内部策略组与所述虚拟机所属的第二内部策略组属于同一个三层策略组;创建所述第一内部策略组的第一策略规则集,所述第一策略规则集用于设定所述虚拟机与所述外部地址的访问关系;从所述三层策略组对应的公共子网中确定所述第一策略规则集对应的第一公共子网,从而完成所述第一策略规则集对应的第一访问路由的设置。
本发明实施例提供了一种计算机存储介质,用于储存为上述计算设备所用的计算机程序指令,其包含用于执行上述基于网络策略组的业务访问方法。
所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种基于网络策略组的业务访问方法,其特征在于,包括:
在确认虚拟机访问的外部地址属于所述虚拟机对应的地址池时,创建所述外部地址对应的第一内部策略组,所述第一内部策略组与所述虚拟机所属的第二内部策略组属于同一个三层策略组;
创建所述第一内部策略组的第一策略规则集,所述第一策略规则集用于设定所述虚拟机与所述外部地址的访问关系;
从所述三层策略组对应的公共子网中确定所述第一策略规则集对应的第一公共子网,从而完成所述第一策略规则集对应的第一访问路由的设置。
2.如权利要求1所述的方法,其特征在于,在确认虚拟机访问的外部地址属于所述虚拟机对应的地址池之前,还包括:
创建所述三层策略组并为所述三层策略组配置所述地址池;
在所述三层策略组内根据业务类型设置不同的二层策略组;
在每个二层策略组内根据网段设置不同的内部策略组;
在每个内部策略组内配置不同的虚拟机;
为每个内部策略组设置对应的策略规则集和访问路由。
3.如权利要求2所述的方法,其特征在于,所述为每个内部策略组设置对应的策略规则集和访问路由,包括:
从所述三层策略组对应的公共子网中确定第二公共子网,将策略规则集中目的地址不属于所述地址池的外部地址设置为通过所述第二公共子网进行访问。
4.如权利要求2所述的方法,其特征在于,每个策略规则集对应一个访问路由,所述策略规则集包括源策略规则和目的策略规则。
5.一种基于网络策略组的业务访问装置,其特征在于,包括:
创建模块,用于在确认虚拟机访问的外部地址属于所述虚拟机对应的地址池时,创建所述外部地址对应的第一内部策略组,所述第一内部策略组与所述虚拟机所属的第二内部策略组属于同一个三层策略组;
访问策略模块,用于创建所述第一内部策略组的第一策略规则集,所述第一策略规则集用于设定所述虚拟机与所述外部地址的访问关系;
访问连接模块,用于从所述三层策略组对应的公共子网中确定所述第一策略规则集对应的第一公共子网,从而完成所述第一策略规则集对应的第一访问路由的设置。
6.如权利要求5所述的装置,其特征在于,所述创建模块,用于在确认虚拟机访问的外部地址属于所述虚拟机对应的地址池之前,创建所述三层策略组并为所述三层策略组配置所述地址池;在所述三层策略组内根据业务类型设置不同的二层策略组;在每个二层策略组内根据网段设置不同的内部策略组;在每个内部策略组内配置不同的虚拟机;
所述访问策略模块,还用于为每个内部策略组设置对应的策略规则集和访问路由。
7.如权利要求6所述的装置,其特征在于,所述访问策略模块,具体用于:
从所述三层策略组对应的公共子网中确定第二公共子网,将策略规则集中目的地址不属于所述地址池的外部地址设置为通过所述第二公共子网进行访问。
8.如权利要求6所述的装置,其特征在于,每个策略规则集对应一个访问路由,所述策略规则集包括源策略规则和目的策略规则。
9.一种计算设备,其特征在于,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行1至4任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行权利要求1至4任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710931350.3A CN107612923B (zh) | 2017-10-09 | 2017-10-09 | 一种基于网络策略组的业务访问方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710931350.3A CN107612923B (zh) | 2017-10-09 | 2017-10-09 | 一种基于网络策略组的业务访问方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107612923A CN107612923A (zh) | 2018-01-19 |
| CN107612923B true CN107612923B (zh) | 2020-05-01 |
Family
ID=61067715
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710931350.3A Active CN107612923B (zh) | 2017-10-09 | 2017-10-09 | 一种基于网络策略组的业务访问方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107612923B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110519404B (zh) * | 2019-08-02 | 2022-04-26 | 锐捷网络股份有限公司 | 一种基于sdn的策略管理方法、装置及电子设备 |
| CN112311851B (zh) * | 2020-09-25 | 2022-04-01 | 新华三大数据技术有限公司 | 一种网络策略配置方法及装置 |
| CN112242925B (zh) * | 2020-09-30 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种安全管理方法及设备 |
| CN115118466B (zh) * | 2022-06-14 | 2024-04-12 | 深信服科技股份有限公司 | 一种策略生成方法、装置、电子设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102136931A (zh) * | 2010-09-20 | 2011-07-27 | 华为技术有限公司 | 虚端口网络策略配置方法、一种网络管理中心和相关设备 |
| CN103026660A (zh) * | 2011-08-01 | 2013-04-03 | 华为技术有限公司 | 网络策略配置方法、管理设备以及网络管理中心设备 |
| CN103581183A (zh) * | 2013-10-30 | 2014-02-12 | 华为技术有限公司 | 一种虚拟化安全隔离方法与装置 |
| CN105227454A (zh) * | 2014-06-18 | 2016-01-06 | 中兴通讯股份有限公司 | 虚拟路由系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7836140B2 (en) * | 2008-06-02 | 2010-11-16 | International Business Machines Corporation | Team-based task invitations |
-
2017
- 2017-10-09 CN CN201710931350.3A patent/CN107612923B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102136931A (zh) * | 2010-09-20 | 2011-07-27 | 华为技术有限公司 | 虚端口网络策略配置方法、一种网络管理中心和相关设备 |
| CN103026660A (zh) * | 2011-08-01 | 2013-04-03 | 华为技术有限公司 | 网络策略配置方法、管理设备以及网络管理中心设备 |
| CN103581183A (zh) * | 2013-10-30 | 2014-02-12 | 华为技术有限公司 | 一种虚拟化安全隔离方法与装置 |
| CN105227454A (zh) * | 2014-06-18 | 2016-01-06 | 中兴通讯股份有限公司 | 虚拟路由系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107612923A (zh) | 2018-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107612923B (zh) | 一种基于网络策略组的业务访问方法及装置 | |
| CN115516831A (zh) | Sd-wan集线器和辐条的自动配设 | |
| CN111698228A (zh) | 系统访问权限授予方法、装置、服务器及存储介质 | |
| US9813374B1 (en) | Automated allocation using spare IP addresses pools | |
| CN109981493B (zh) | 一种用于配置虚拟机网络的方法和装置 | |
| CN110324399B (zh) | 将集群意识纳入设施管理门户 | |
| CN110808857B (zh) | 实现Kubernetes集群的网络互通方法、装置、设备以及存储介质 | |
| CN103888928A (zh) | 一种业务策略控制方法及系统 | |
| CN106951795B (zh) | 一种应用程序数据访问隔离方法及装置 | |
| WO2011144560A1 (en) | Message broadcasting in a clustered computing environment | |
| US11102145B2 (en) | Resource sharing method, computer device, and storage medium | |
| CN102316043A (zh) | 端口虚拟化方法、交换机及通信系统 | |
| CN111585887A (zh) | 基于多个网络的通信方法、装置、电子设备及存储介质 | |
| CN106873958A (zh) | 一种应用编程接口的调用方法及装置 | |
| CN109428900B (zh) | 一种数据处理的方法及装置 | |
| CN115567398A (zh) | 一种数据中心网络构建系统及其实现方法 | |
| US20200235935A1 (en) | Data access control for edge devices using a cryptographic hash | |
| US11042660B2 (en) | Data management for multi-tenancy | |
| CN115604103A (zh) | 云计算系统的配置方法、装置、存储介质以及电子设备 | |
| US10231269B2 (en) | Dynamic generation of geographically bound manet IDs | |
| CN106357704A (zh) | 一种基于开发环境的服务调用方法及装置 | |
| CN111511041A (zh) | 一种远程连接方法及装置 | |
| CN108965412A (zh) | 多网卡并存通信方法,装置,存储介质和终端设备 | |
| CN113918504A (zh) | 一种隔离组的实现方法及装置 | |
| CN112291241A (zh) | 防火墙开墙方法、防火墙开墙装置及终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |