CN107896191B - 一种基于容器的虚拟安全组件跨云系统及方法 - Google Patents
一种基于容器的虚拟安全组件跨云系统及方法 Download PDFInfo
- Publication number
- CN107896191B CN107896191B CN201711207845.8A CN201711207845A CN107896191B CN 107896191 B CN107896191 B CN 107896191B CN 201711207845 A CN201711207845 A CN 201711207845A CN 107896191 B CN107896191 B CN 107896191B
- Authority
- CN
- China
- Prior art keywords
- virtual
- container
- security component
- local
- service chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
- H04L12/4666—Operational details on the addition or the stripping of a tag in a frame, e.g. at a provider edge node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于容器的虚拟安全组件跨云系统,该系统的本地虚拟机中部署的第一Open VSwitch分别与每个第一业务容器和每个第一虚拟安全组件容器连接,远端虚拟机中部署的第二Open VSwitch分别与每个第二业务容器和每个第二虚拟安全组件容器连接,本地管理中心通过代理向Open VSwitch下发安全服务链的转发规则,Open VSwitch获得目标数据包后,可以对目标数据包进行相应操作处理后转发目标数据包。应用本发明实施例所提供的技术方案,方便实现对跨云架构中的虚拟安全组件进行统一管理,减少部署成本开销。本发明还公开了一种基于容器的虚拟安全组件跨云方法,具有相应技术效果。
Description
技术领域
本发明涉及云计算技术领域,特别是涉及一种基于容器的虚拟安全组件跨云系统及方法。
背景技术
随着云计算技术的快速发展,基于异构云、混合云跨云部署的数据中心越来越常见。在多地数据中心的异构云、混合云等场景下,不同厂商的底层云平台框架不同,安全组件的原理和具体实现方式不同,使得多地异构云的虚拟安全组件的统一管理具有一定难度。
目前主要有两种方法进行多地异构云的虚拟安全组件的统一管理:一种是引流回原平台处理。本地数据中心用A厂商的,并在源端公有云上租用物理设备,在物理设备上部署本地A厂商的云计算软件产品,便可将远端(公有云)也纳入该A厂商云平台的管理平台,实现本地(私有云)和远端(公有云)的统一管理。这种方法的缺点在于并不是所有的公有云都提供物理设备的租用,而且物理设备的租用加上云产品软件的部署,时间开销较大。
另一种方法是利用远端云平台提供的虚拟安全组件,常见于有深度技术合作的厂商,多地异构云的不同云计算软件产品厂商通过互相提供计算、存储、网络相关的API并进行二次开发,让客户的业务虚拟机、网络拓扑、虚拟网络和安全设备、存储数据可以在异构云上进行统一管理。这种方法的缺点在于需要厂商间的深度合作,甚至需要提供一些不公开的API,往往不容易实现。
发明内容
本发明的目的是提供一种基于容器的虚拟安全组件跨云系统及方法,以方便实现对跨云架构中的虚拟安全组件进行统一管理,减少部署成本开销。
为解决上述技术问题,本发明提供如下技术方案:
一种基于容器的虚拟安全组件跨云系统,包括本地管理中心、本地虚拟机、本地虚拟机监视器、远端虚拟机、远端虚拟机监视器;所述本地虚拟机中部署有第一开放虚拟交换机Open VSwitch、第一代理、一个或多个第一业务容器、一个或多个第一虚拟安全组件容器,所述第一Open VSwitch分别与每个第一业务容器和每个第一虚拟安全组件容器连接;所述远端虚拟机中部署有第二Open VSwitch、第二代理、一个或多个第二业务容器、一个或多个第二虚拟安全组件容器,所述第二Open VSwitch分别与每个第二业务容器和每个第二虚拟安全组件容器连接;其中,
所述本地管理中心,用于根据用户需求和网络资源情况,生成安全服务链的转发规则,通过所述第一代理向所述第一Open VSwitch下发所述安全服务链的转发规则,通过所述第二代理向所述第二Open VSwitch下发所述安全服务链的转发规则;
所述第一Open VSwitch或所述第二Open VSwitch,用于在获得目标数据包时,根据所述安全服务链的转发规则,对所述目标数据包进行相应操作处理后转发所述目标数据包。
在本发明的一种具体实施方式中,
所述第一Open VSwitch,具体用于在所述目标数据包为数据源发送的数据包时,根据所述安全服务链的转发规则,确定所述目标数据包对应的目标安全服务链,在所述目标数据包中添加安全服务链相关标志,对所述目标数据包进行相应操作处理后转发所述目标数据包。
在本发明的一种具体实施方式中,
所述第一Open VSwitch或所述第二Open VSwitch,具体用于在所述目标数据包中携带有安全服务链相关标志时,根据所述安全服务链相关标志,确定所述目标数据包对应的目标安全服务链及最近经过的目标虚拟安全组件,基于所述安全服务链的转发规则,对所述目标数据包进行相应操作处理后转发所述目标数据包。
在本发明的一种具体实施方式中,
所述第一Open VSwitch,具体用于根据所述目标安全服务链和所述目标虚拟安全组件,确定所述目标虚拟安全组件的下一虚拟安全组件,如果所述下一虚拟安全组件为所述远端虚拟机中的虚拟安全组件,则基于所述安全服务链的转发规则,对所述目标数据包进行相应操作处理后,经由所述本地虚拟机监视器中的本地虚拟设备、所述远端虚拟机监视器中的远端虚拟设备将所述目标数据包转发给所述第二Open VSwitch。
在本发明的一种具体实施方式中,所述本地虚拟机监视器中的本地虚拟设备和所述远端虚拟机监视器中的远端虚拟设备支持的最大传输单元MTU均大于1500B。
在本发明的一种具体实施方式中,所述本地虚拟设备为本地虚拟交换机或者本地虚拟路由器;所述远端虚拟设备为远端虚拟交换机或者远端虚拟路由器。
在本发明的一种具体实施方式中,
任意一个第一虚拟安全组件容器,用于在对本地存储写入第一数据时,调用远端存储的接口,将所述第一数据同步到所述远端存储上;
任意一个第二虚拟安全组件容器,用于在对所述远端存储写入第二数据时,调用所述本地存储的接口,将所述第二数据同步到所述本地存储上。
在本发明的一种具体实施方式中,
所述本地管理中心,还用于在需要进行虚拟安全组件迁移时,在所述第一虚拟安全组件容器中确定待迁出的目标虚拟安全组件,通过所述第二代理在所述第二虚拟机中安装迁入容器,将所述目标虚拟安全组件的会话和状态信息通过所述第一代理和所述第二代理更新到所述第二Open VSwitch和所述迁入容器中,启动所述迁入容器,更新所述第一Open VSwitch的配置并停止对应容器。
在本发明的一种具体实施方式中,
所述本地管理中心,还用于周期性接收所述第一代理和所述第二代理发送的心跳信息和事件信息。
在本发明的一种具体实施方式中,
所述第一代理,还用于基于预设的第一参数和所述本地管理中心下发的管理指令,对所述第一虚拟机内每个第一业务容器和每个第一虚拟安全组件容器进行生命周期管理;
所述第二代理,还用于基于预设的第二参数和所述本地管理中心下发的管理指令,对所述第二虚拟机内每个第二业务容器和每个第二虚拟安全组件容器进行生命周期管理。
一种基于容器的虚拟安全组件跨云方法,应用于基于容器的虚拟安全组件跨云系统中的本地管理中心,所述系统还包括本地虚拟机、本地虚拟机监视器、远端虚拟机、远端虚拟机监视器;所述本地虚拟机中部署有第一开放虚拟交换机Open VSwitch、第一代理、一个或多个第一业务容器、一个或多个第一虚拟安全组件容器,所述第一Open VSwitch分别与每个第一业务容器和每个第一虚拟安全组件容器连接;所述远端虚拟机中部署有第二Open VSwitch、第二代理、一个或多个第二业务容器、一个或多个第二虚拟安全组件容器,所述第二Open VSwitch分别与每个第二业务容器和每个第二虚拟安全组件容器连接;所述方法包括:
根据用户需求和网络资源情况,生成安全服务链的转发规则;
通过所述第一代理向所述第一Open VSwitch下发所述安全服务链的转发规则,以使所述第一Open VSwitch在获得目标数据包时,根据所述安全服务链的转发规则,对所述目标数据包进行相应操作处理后转发所述目标数据包;
通过所述第二代理向所述第二Open VSwitch下发所述安全服务链的转发规则,以使所述第二Open VSwitch在获得目标数据包时,根据所述安全服务链的转发规则,对所述目标数据包进行相应操作处理后转发所述目标数据包。
在本发明的一种具体实施方式中,还包括:
在需要进行虚拟安全组件迁移时,在所述第一虚拟安全组件容器中确定待迁出的目标虚拟安全组件;
通过所述第二代理在所述第二虚拟机中安装迁入容器;
将所述目标虚拟安全组件的会话和状态信息通过所述第一代理和所述第二代理更新到所述第二Open VSwitch和所述迁入容器中;
启动所述迁入容器;
更新所述第一Open VSwitch的配置并停止对应容器。
在本发明的一种具体实施方式中,还包括:
周期性接收所述第一代理和所述第二代理发送的心跳信息和事件信息。
应用本发明实施例所提供的技术方案,本地虚拟机中部署有第一Open VSwitch、第一代理、一个或多个第一业务容器、一个或多个第一虚拟安全组件容器,所述第一OpenVSwitch分别与每个第一业务容器和每个第一虚拟安全组件容器连接,远端虚拟机中部署有第二Open VSwitch、第二代理、一个或多个第二业务容器、一个或多个第二虚拟安全组件容器,所述第二Open VSwitch分别与每个第二业务容器和每个第二虚拟安全组件容器连接,本地管理中心通过代理向Open VSwitch下发安全服务链的转发规则,Open VSwitch获得目标数据包后,根据安全服务链的转发规则,可以对目标数据包进行相应操作处理后转发目标数据包。相当于在每个虚拟机上部署一个微型容器云,在云平台上实现一层覆盖网,将用户的网络与底层云平台解耦,实现虚拟安全组件的跨云部署,方便实现对跨云架构中的虚拟安全组件进行统一管理,减少部署成本开销。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中基于容器的虚拟安全组件跨云系统的一种结构示意图;
图2为本发明实施例中基于容器的虚拟安全组件跨云系统的一种示例图;
图3为本发明实施例中安全服务链的转发规则示意图;
图4为本发明实施例中基于容器的虚拟安全组件跨云系统的通信示意图;
图5为本发明实施例中一种基于容器的虚拟安全组件跨云方法的实施流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1所示,为本发明实施例所提供的一种基于容器的虚拟安全组件跨云系统的结构示意图,该系统可以包括本地管理中心100、本地虚拟机200、本地虚拟机监视器300、远端虚拟机400、远端虚拟机监视器500;本地虚拟机200中部署有第一开放虚拟交换机OpenVSwitch、第一代理、一个或多个第一业务容器、一个或多个第一虚拟安全组件容器,第一Open VSwitch分别与每个第一业务容器和每个第一虚拟安全组件容器连接;远端虚拟机400中部署有第二Open VSwitch、第二代理、一个或多个第二业务容器、一个或多个第二虚拟安全组件容器,第二Open VSwitch分别与每个第二业务容器和每个第二虚拟安全组件容器连接;
其中,本地管理中心100,用于根据用户需求和网络资源情况,生成安全服务链的转发规则,通过第一代理向第一Open VSwitch下发安全服务链的转发规则,通过第二代理向第二Open VSwitch下发安全服务链的转发规则;
第一Open VSwitch或第二Open VSwitch,用于在获得目标数据包时,根据安全服务链的转发规则,对目标数据包进行相应操作处理后转发目标数据包。
在本发明实施例中,基于容器的虚拟安全组件跨云系统包括本地管理中心100、本地虚拟机200、本地虚拟机监视器300、远端虚拟机400、远端虚拟机监视器500。其中,虽然在图1和图2中仅示出了存在一个本地虚拟机200和一个远端虚拟机400的情况,但实际上本地虚拟机200和远端虚拟机400均可以有多个,本发明实施例对此不做限制。
虚拟机监视器Hypervisor,为所有虚拟化技术的核心。具有非中断地支持多工作负载迁移的能力。当服务器启动并执行Hypervisor时,可以给每一台虚拟机分配适量的内存、CPU、网络和磁盘,并加载所有虚拟机的客户操作系统。虚拟机VM是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。
本地虚拟机200中部署有第一开放虚拟交换机Open VSwitch、第一代理、一个或多个第一业务容器、一个或多个第一虚拟安全组件容器,第一Open VSwitch可以分别与每个第一业务容器和每个第一虚拟安全组件容器连接。具体如图2所示,本地虚拟机200中部署有业务1容器、业务2容器、vAD容器、vSSL容器,每个容器分别与第一Open VSwitch连接。远端虚拟机400中部署有第二Open VSwitch、第二代理、一个或多个第二业务容器、一个或多个第二虚拟安全组件容器,第二Open VSwitch分别与每个第二业务容器和每个第二虚拟安全组件容器连接。具体如图2所示,远端虚拟机400中部署有vSSL容器、vAF容器、业务3容器,每个容器分别与第二Open VSwitch连接。
Open VSwitch为SDN的一款商用级交换机。虚拟安全组件为运行在虚拟机或容器中,对外提供服务的安全软件。虚拟安全组件可以为vAF(虚拟应用防火墙)、vAC(虚拟接入控制)、vAD(虚拟应用交付/负载均衡)、vSSL(虚拟SSL/IPSec VPN)、vWOC(虚拟广域网加速)。
在本发明实施例中,本地可以是公有云或私有云,远端可以是公有云或混合云。混合云是指同时使用私有云和公有云。业务和虚拟安全组件运行在容器中。Open VSwitch为业务覆盖隧道的终结点,负责虚拟机内部容器间通信、分布式防火墙、安全服务链。分布式防火墙是指L2-L4层的访问控制规则。
本地管理中心100可以根据用户需求和网络资源情况,生成安全服务链的转发规则。也就是说,本地管理中心100负责安全服务链的逻辑实现,依据用户需求和网络资源情况,可以形成安全服务链相关的转发规则。本地管理中心100与各个虚拟机中安装的代理连接,通过第一代理可以向第一Open VSwitch下发安全服务链的转发规则,通过第二代理可以向第二Open VSwitch下发安全服务链的转发规则。
如图3所示,本地管理中心100通过第一代理向第一Open VSwitch下发安全服务链的转发规则,安全服务链的转发规则可以包括路径标志、位置标志、操作:转发/增删改标志,路径标志和位置标志可以称为安全服务链相关标志。安全服务链相关标志可以为数据包L2-L4层的包头信息,还可以为基于隧道技术(VXLAN/NVGRE/GENEVE等)的空闲字段形成的特定标志。其中,路径标志具有全局唯一性,与每个安全服务链唯一对应,位置标志表明数据包最近经过的虚拟安全组件。
在本发明实施例中,代理可以给Open VSwitch下发配置,如转发配置、防火墙和访问控制策略、隧道终结点的配置等。本地管理中心100可以周期性接收第一代理和第二代理发送的心跳信息和事件信息。事件信息可以包括网络拓扑变化、容器、虚拟机和物理节点的增删、状态修改和迁移等。
第一代理还可以基于预设的第一参数和本地管理中心100下发的管理指令,对第一虚拟机内每个第一业务容器和每个第一虚拟安全组件容器进行生命周期管理。
同样,第二代理还可以基于预设的第二参数和本地管理中心100下发的管理指令,对第二虚拟机内每个第二业务容器和每个第二虚拟安全组件容器进行生命周期管理。
第一Open VSwitch或第二Open VSwitch,可以在获得目标数据包时,根据安全服务链的转发规则,对目标数据包进行相应操作处理后转发目标数据包。
具体的,第一Open VSwitch可以在目标数据包为数据源发送的数据包时,根据安全服务链的转发规则,确定目标数据包对应的目标安全服务链,在目标数据包中添加安全服务链相关标志,对目标数据包进行相应操作处理后转发目标数据包。
如果目标数据包为数据源发送的数据包,第一Open VSwitch根据安全服务链的转发规则,可以确定目标数据包对应的目标安全服务链,得到安全服务链相关标志,并在目标数据包中添加安全服务链相关标志。根据安全服务链的转发规则中的操作标志,可以对目标数据包进行相应操作处理,然后转发目标数据包。
在本发明的一种具体实施方式中,第一Open VSwitch或第二Open VSwitch,具体用于在目标数据包中携带有安全服务链相关标志时,根据安全服务链相关标志,确定目标数据包对应的目标安全服务链及最近经过的目标虚拟安全组件,基于安全服务链的转发规则,对目标数据包进行相应操作处理后转发目标数据包。
具体的,第一Open VSwitch可以根据目标安全服务链和目标虚拟安全组件,确定目标虚拟安全组件的下一虚拟安全组件,如果下一虚拟安全组件为远端虚拟机400中的虚拟安全组件,则基于安全服务链的转发规则,对目标数据包进行相应操作处理后,经由本地虚拟机监视器300中的本地虚拟设备、远端虚拟机监视器500中的远端虚拟设备将目标数据包转发给第二Open VSwitch。
以图2为例,在目标数据包中携带有安全服务链相关标志时,假设可以根据安全服务链相关标志,确定目标数据包对应的目标安全服务链为安全服务链2,最近经过的目标虚拟安全组件为本地vSSL,则第一Open VSwitch可以确定本地vSSL的下一虚拟安全组件为远端vSSL。下一虚拟安全组件为远端虚拟机400中的虚拟安全组件,基于安全服务链的转发规则,第一Open VSwitch可以对目标数据包进行相应操作处理后,可以经由本地虚拟机监视器300中的本地虚拟设备、远端虚拟机监视器500中的远端虚拟设备将目标数据包转发给第二Open VSwitch。通过每个Open VSwitch的类似操作,可以将数据包一步步迁移牵引到安全服务链中下一个虚拟安全组件处进行处理。
本发明实施例通过本地管理中心100和Open VSwitch实现安全服务链技术的应用,可以让网络流量按照一定先后顺序经过不同的虚拟安全组件,实现流量的监测和过滤。
如图4所示,虚拟机对外的IP为隧道终结点的IP。本地和远端的容器的IP可以在同一个二层网络下,可以是跨三层网络的不同IP段,容器的IP和隧道终结点的IP无关,容器的IP被封装在隧道数据包的载荷里,Hypervisor里的虚拟设备无法感知容器IP,从而实现业务网络的覆盖。覆盖网Overlay Network就是指在底层网络上,通过隧道等技术,搭建起来的逻辑网络。上层覆盖网对于底层网络来说是透明的,底层网络无法感知上层覆盖网的存在。
容器之间构成业务覆盖,通过容器IP通信,Open VSwitch之间通过终结点IP通信,本地虚拟设备和远端虚拟设备之间通过本地和远端的出入口网关IP通信。
在本发明实施例中,应用Open VSwitch负责虚拟机内部容器间通信,相较于使用linux网桥,Open VSwitch的功能比linux网桥丰富,而且性能和linux网桥相当。此外,linux网桥需要结合iptable,才能实现防火墙功能,而Open VSwitch本身就可以实现该功能。另外,在现有技术所应用的方法中,Open VSwitch均部署在Hypervisor中,存在一定的缺陷,如果本地的Hypervisor可以被X厂商控制,可以在其上部署Open VSwitch,而远端的Hypervisor,一般是其他厂商控制的,X厂商无法在上面随意部署Open VSwitch。即无法在本地和远端搭建覆盖overlay隧道,无法形成本地和远端的大二层overlay,而如今很多用户的业务或网络的正常运行都需要实现跨多地的大二层overlay技术。由于Open VSwtich上移到虚拟机中,对数据包的影响是增加了一层隧道包头,增加数据包的长度,会导致数据包最大长度变大,这需要Hypervisor层的虚拟设备,如vswitch/vrouter能支持MTU(最大传输单元)大于1500B。即,本地虚拟机监视器300中的本地虚拟设备和远端虚拟机监视器500中的远端虚拟设备支持的最大传输单元MTU均大于1500B。
本地虚拟设备可以为本地虚拟交换机vswitch或者本地虚拟路由器vrouter,远端虚拟设备可以为远端虚拟交换机vswitch或者远端虚拟路由器vrouter。
在本发明的一个实施例中,任意一个第一虚拟安全组件容器,用于在对本地存储写入第一数据时,调用远端存储的接口,将第一数据同步到远端存储上;
任意一个第二虚拟安全组件容器,用于在对远端存储写入第二数据时,调用本地存储的接口,将第二数据同步到本地存储上。
在本发明实施例中,通过异步复制可以实现虚拟安全组件相关的数据在本地和远端的一致。任意一个第一虚拟安全组件容器在对本地存储写入第一数据时,可以调用远端存储的接口,将第一数据同步到远端存储上,任意一个第二虚拟安全组件容器在对远端存储写入第二数据时,可以调用本地存储的接口,将第二数据同步到本地存储上。
在本发明的一个实施例中,本地管理中心100,还用于在需要进行虚拟安全组件迁移时,在第一虚拟安全组件容器中确定待迁出的目标虚拟安全组件,通过第二代理在第二虚拟机中安装迁入容器,将目标虚拟安全组件的会话和状态信息通过第一代理和第二代理更新到第二Open VSwitch和迁入容器中,启动迁入容器,更新第一Open VSwitch的配置并停止对应容器。
在需要进行虚拟安全组件迁移时,可以先在迁入点调用API接口启动虚拟机,再调用API接口安装相应代理,并对代理进行配置,配置信息包括本地管理中心100的IP等。通过代理可以安装Open VSwitch和容器。本地管理中心100可以通过代理对Open VSwitch进行配置。
在本发明实施例中,如果要将第一虚拟机中的虚拟安全组件迁移到第二虚拟机中,则可以在第一虚拟机安全组件容器中确定待迁出的目标虚拟安全组件,通过第二代理在第二虚拟机中安装迁入容器,将目标虚拟安全组件的会话和状态信息通过第一代理和第二代理更新到第二Open VSwitch和迁入容器中,启动迁入容器,更新第一Open VSwitch的配置并停止对应容器,即可完成虚拟安全组件的迁移过程。
需要说明的是,本地管理中心100可以单点或者集群部署,还可以部署在独立的物理设备上,还可以部署在虚拟机或者容器上。主要根据用户的指令和收集的事件信息,对代理下发配置命令。通过本地管理中心100,可以实现异构云的同一部署和管理,实现业务在跨云资源池间的调度。
应用本发明实施例所提供的系统,本地虚拟机中部署有第一Open VSwitch、第一代理、一个或多个第一业务容器、一个或多个第一虚拟安全组件容器,第一Open VSwitch分别与每个第一业务容器和每个第一虚拟安全组件容器连接,远端虚拟机中部署有第二OpenVSwitch、第二代理、一个或多个第二业务容器、一个或多个第二虚拟安全组件容器,第二Open VSwitch分别与每个第二业务容器和每个第二虚拟安全组件容器连接,本地管理中心通过代理向Open VSwitch下发安全服务链的转发规则,Open VSwitch获得目标数据包后,根据安全服务链的转发规则,可以对目标数据包进行相应操作处理后转发目标数据包。相当于在每个虚拟机上部署一个微型容器云,在云平台上实现一层覆盖网,将用户的网络与底层云平台解耦,实现虚拟安全组件的跨云部署,方便实现对跨云架构中的虚拟安全组件进行统一管理,减少部署成本开销。
相应于上面的系统实施例,本发明实施例还提供了一种基于容器的虚拟安全组件跨云方法,该方法应用于基于容器的虚拟安全组件跨云系统中的本地管理中心,系统还包括本地虚拟机、本地虚拟机监视器、远端虚拟机、远端虚拟机监视器;本地虚拟机中部署有第一开放虚拟交换机Open VSwitch、第一代理、一个或多个第一业务容器、一个或多个第一虚拟安全组件容器,第一Open VSwitch分别与每个第一业务容器和每个第一虚拟安全组件容器连接;远端虚拟机中部署有第二Open VSwitch、第二代理、一个或多个第二业务容器、一个或多个第二虚拟安全组件容器,第二Open VSwitch分别与每个第二业务容器和每个第二虚拟安全组件容器连接。下文描述的一种基于容器的虚拟安全组件跨云方法与上文描述的一种基于容器的虚拟安全组件跨云系统可相互对应参照。
参见图5所示,该方法包括:
S510:根据用户需求和网络资源情况,生成安全服务链的转发规则;
S520:通过第一代理向第一Open VSwitch下发安全服务链的转发规则,以使第一Open VSwitch在获得目标数据包时,根据安全服务链的转发规则,对目标数据包进行相应操作处理后转发目标数据包;
S530:通过第二代理向第二Open VSwitch下发安全服务链的转发规则,以使第二Open VSwitch在获得目标数据包时,根据安全服务链的转发规则,对目标数据包进行相应操作处理后转发目标数据包。
应用本发明实施例所提供的方法,本地虚拟机中部署有第一Open VSwitch、第一代理、一个或多个第一业务容器、一个或多个第一虚拟安全组件容器,第一Open VSwitch分别与每个第一业务容器和每个第一虚拟安全组件容器连接,远端虚拟机中部署有第二OpenVSwitch、第二代理、一个或多个第二业务容器、一个或多个第二虚拟安全组件容器,第二Open VSwitch分别与每个第二业务容器和每个第二虚拟安全组件容器连接,本地管理中心通过代理向Open VSwitch下发安全服务链的转发规则,Open VSwitch获得目标数据包后,根据安全服务链的转发规则,可以对目标数据包进行相应操作处理后转发目标数据包。相当于在每个虚拟机上部署一个微型容器云,在云平台上实现一层覆盖网,将用户的网络与底层云平台解耦,实现虚拟安全组件的跨云部署,方便实现对跨云架构中的虚拟安全组件进行统一管理,减少部署成本开销。
在本发明的一种具体实施方式中,还包括:
在需要进行虚拟安全组件迁移时,在第一虚拟安全组件容器中确定待迁出的目标虚拟安全组件;
通过第二代理在第二虚拟机中安装迁入容器;
将目标虚拟安全组件的会话和状态信息通过第一代理和第二代理更新到第二Open VSwitch和迁入容器中;
启动迁入容器;
更新第一Open VSwitch的配置并停止对应容器。
在本发明的一种具体实施方式中,还包括:
周期性接收第一代理和第二代理发送的心跳信息和事件信息。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的方法而言,由于其与实施例公开的系统相对应,所以描述的比较简单,相关之处参见系统部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (13)
1.一种基于容器的虚拟安全组件跨云系统,其特征在于,包括本地管理中心、本地虚拟机、本地虚拟机监视器、远端虚拟机、远端虚拟机监视器;所述本地虚拟机中部署有第一开放虚拟交换机Open VSwitch、第一代理、一个或多个第一业务容器、一个或多个第一虚拟安全组件容器,所述第一Open VSwitch分别与每个第一业务容器和每个第一虚拟安全组件容器连接;所述远端虚拟机中部署有第二Open VSwitch、第二代理、一个或多个第二业务容器、一个或多个第二虚拟安全组件容器,所述第二Open VSwitch分别与每个第二业务容器和每个第二虚拟安全组件容器连接;其中,
所述本地管理中心,用于根据用户需求和网络资源情况,生成安全服务链的转发规则,通过所述第一代理向所述第一Open VSwitch下发所述安全服务链的转发规则,通过所述第二代理向所述第二Open VSwitch下发所述安全服务链的转发规则;
所述第一Open VSwitch或所述第二Open VSwitch,用于在获得目标数据包时,根据所述安全服务链的转发规则,对所述目标数据包进行相应操作处理后转发所述目标数据包;
其中,所述安全服务链的转发规则包括路径标志、位置标志、操作:转发/增删改标志,所述路径标志具有全局唯一性,与每个安全服务链唯一对应,所述位置标志表明数据包最近经过的虚拟安全组件;所述虚拟安全组件为运行在虚拟机或容器中,对外提供服务的安全软件;所述路径标志和所述位置标志为安全服务链相关标志。
2.根据权利要求1所述的系统,其特征在于,
所述第一Open VSwitch,具体用于在所述目标数据包为数据源发送的数据包时,根据所述安全服务链的转发规则,确定所述目标数据包对应的目标安全服务链,在所述目标数据包中添加所述安全服务链相关标志,对所述目标数据包进行相应操作处理后转发所述目标数据包。
3.根据权利要求1所述的系统,其特征在于,
所述第一Open VSwitch或所述第二Open VSwitch,具体用于在所述目标数据包中携带有所述安全服务链相关标志时,根据所述安全服务链相关标志,确定所述目标数据包对应的目标安全服务链及最近经过的目标虚拟安全组件,基于所述安全服务链的转发规则,对所述目标数据包进行相应操作处理后转发所述目标数据包。
4.根据权利要求3所述的系统,其特征在于,
所述第一Open VSwitch,具体用于根据所述目标安全服务链和所述目标虚拟安全组件,确定所述目标虚拟安全组件的下一虚拟安全组件,如果所述下一虚拟安全组件为所述远端虚拟机中的虚拟安全组件,则基于所述安全服务链的转发规则,对所述目标数据包进行相应操作处理后,经由所述本地虚拟机监视器中的本地虚拟设备、所述远端虚拟机监视器中的远端虚拟设备将所述目标数据包转发给所述第二Open VSwitch。
5.根据权利要求4所述的系统,其特征在于,所述本地虚拟机监视器中的本地虚拟设备和所述远端虚拟机监视器中的远端虚拟设备支持的最大传输单元MTU均大于1500B。
6.根据权利要求4所述的系统,其特征在于,所述本地虚拟设备为本地虚拟交换机或者本地虚拟路由器;所述远端虚拟设备为远端虚拟交换机或者远端虚拟路由器。
7.根据权利要求1至6之中任一项所述的系统,其特征在于,
任意一个第一虚拟安全组件容器,用于在对本地存储写入第一数据时,调用远端存储的接口,将所述第一数据同步到所述远端存储上;
任意一个第二虚拟安全组件容器,用于在对所述远端存储写入第二数据时,调用所述本地存储的接口,将所述第二数据同步到所述本地存储上。
8.根据权利要求7所述的系统,其特征在于,
所述本地管理中心,还用于在需要进行虚拟安全组件迁移时,在所述第一虚拟安全组件容器中确定待迁出的目标虚拟安全组件,通过所述第二代理在所述第二虚拟机中安装迁入容器,将所述目标虚拟安全组件的会话和状态信息通过所述第一代理和所述第二代理更新到所述第二Open VSwitch和所述迁入容器中,启动所述迁入容器,更新所述第一OpenVSwitch的配置并停止对应容器。
9.根据权利要求8所述的系统,其特征在于,
所述本地管理中心,还用于周期性接收所述第一代理和所述第二代理发送的心跳信息和事件信息。
10.根据权利要求9所述的系统,其特征在于,
所述第一代理,还用于基于预设的第一参数和所述本地管理中心下发的管理指令,对所述第一虚拟机内每个第一业务容器和每个第一虚拟安全组件容器进行生命周期管理;
所述第二代理,还用于基于预设的第二参数和所述本地管理中心下发的管理指令,对所述第二虚拟机内每个第二业务容器和每个第二虚拟安全组件容器进行生命周期管理。
11.一种基于容器的虚拟安全组件跨云方法,其特征在于,应用于基于容器的虚拟安全组件跨云系统中的本地管理中心,所述系统还包括本地虚拟机、本地虚拟机监视器、远端虚拟机、远端虚拟机监视器;所述本地虚拟机中部署有第一开放虚拟交换机Open VSwitch、第一代理、一个或多个第一业务容器、一个或多个第一虚拟安全组件容器,所述第一OpenVSwitch分别与每个第一业务容器和每个第一虚拟安全组件容器连接;所述远端虚拟机中部署有第二Open VSwitch、第二代理、一个或多个第二业务容器、一个或多个第二虚拟安全组件容器,所述第二Open VSwitch分别与每个第二业务容器和每个第二虚拟安全组件容器连接;所述方法包括:
根据用户需求和网络资源情况,生成安全服务链的转发规则;
通过所述第一代理向所述第一Open VSwitch下发所述安全服务链的转发规则,以使所述第一Open VSwitch在获得目标数据包时,根据所述安全服务链的转发规则,对所述目标数据包进行相应操作处理后转发所述目标数据包;
通过所述第二代理向所述第二Open VSwitch下发所述安全服务链的转发规则,以使所述第二Open VSwitch在获得目标数据包时,根据所述安全服务链的转发规则,对所述目标数据包进行相应操作处理后转发所述目标数据包;
其中,所述安全服务链的转发规则包括路径标志、位置标志、操作:转发/增删改标志,所述路径标志具有全局唯一性,与每个安全服务链唯一对应,所述位置标志表明数据包最近经过的虚拟安全组件;所述虚拟安全组件为运行在虚拟机或容器中,对外提供服务的安全软件;所述路径标志和所述位置标志为安全服务链相关标志。
12.根据权利要求11所述的方法,其特征在于,还包括:
在需要进行虚拟安全组件迁移时,在所述第一虚拟安全组件容器中确定待迁出的目标虚拟安全组件;
通过所述第二代理在所述第二虚拟机中安装迁入容器;
将所述目标虚拟安全组件的会话和状态信息通过所述第一代理和所述第二代理更新到所述第二Open VSwitch和所述迁入容器中;
启动所述迁入容器;
更新所述第一Open VSwitch的配置并停止对应容器。
13.根据权利要求12所述的方法,其特征在于,还包括:
周期性接收所述第一代理和所述第二代理发送的心跳信息和事件信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711207845.8A CN107896191B (zh) | 2017-11-27 | 2017-11-27 | 一种基于容器的虚拟安全组件跨云系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711207845.8A CN107896191B (zh) | 2017-11-27 | 2017-11-27 | 一种基于容器的虚拟安全组件跨云系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107896191A CN107896191A (zh) | 2018-04-10 |
| CN107896191B true CN107896191B (zh) | 2020-11-27 |
Family
ID=61806822
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711207845.8A Active CN107896191B (zh) | 2017-11-27 | 2017-11-27 | 一种基于容器的虚拟安全组件跨云系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107896191B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108833548A (zh) * | 2018-06-20 | 2018-11-16 | 中国联合网络通信集团有限公司 | Sd-wan网络系统以及用于网络流量加速优化方法 |
| CN109309581B (zh) * | 2018-08-22 | 2021-07-13 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 跨硬件架构的容器管理系统 |
| CN111130973B (zh) * | 2018-11-01 | 2021-09-17 | 深信服科技股份有限公司 | 一种异构云网络互通系统及方法 |
| CN111225071B (zh) * | 2018-11-23 | 2022-11-22 | 深信服科技股份有限公司 | 一种云平台及跨云平台网络互通系统、方法 |
| CN109669761B (zh) * | 2018-12-21 | 2023-01-13 | 合肥时代智慧高新投资管理有限公司 | 一种sdn控制器系统 |
| CN109901922B (zh) * | 2019-03-05 | 2021-06-18 | 北京工业大学 | 一种面向多层服务的容器云资源调度优化方法 |
| CN111556047B (zh) * | 2020-04-24 | 2022-07-12 | 杭州安恒信息技术股份有限公司 | 一种私有云环境下安全服务的部署方法 |
| CN111597013A (zh) * | 2020-05-20 | 2020-08-28 | 山东汇贸电子口岸有限公司 | 一种使用容器搭建大规模虚拟数据中心的方法 |
| CN114024746B (zh) * | 2021-11-04 | 2023-11-28 | 北京天融信网络安全技术有限公司 | 网络报文的处理方法、虚拟交换机以及处理系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685250A (zh) * | 2013-12-04 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的虚拟机安全策略迁移的系统及方法 |
| CN103812864A (zh) * | 2014-01-26 | 2014-05-21 | 中国人民解放军国防科学技术大学 | 在线社会网络中Sybil攻击检测方法 |
| CN105049450A (zh) * | 2015-08-24 | 2015-11-11 | 北京汉柏科技有限公司 | 一种基于虚拟网络环境的云安全系统及其部署框架 |
| CN106776212A (zh) * | 2016-12-09 | 2017-05-31 | 中电科华云信息技术有限公司 | 容器集群部署多进程应用的监管系统及方法 |
| CN107204980A (zh) * | 2017-05-25 | 2017-09-26 | 深信服科技股份有限公司 | 一种安全服务交付方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101535502B1 (ko) * | 2014-04-22 | 2015-07-09 | 한국인터넷진흥원 | 보안 내재형 가상 네트워크 제어 시스템 및 방법 |
-
2017
- 2017-11-27 CN CN201711207845.8A patent/CN107896191B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685250A (zh) * | 2013-12-04 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的虚拟机安全策略迁移的系统及方法 |
| CN103812864A (zh) * | 2014-01-26 | 2014-05-21 | 中国人民解放军国防科学技术大学 | 在线社会网络中Sybil攻击检测方法 |
| CN105049450A (zh) * | 2015-08-24 | 2015-11-11 | 北京汉柏科技有限公司 | 一种基于虚拟网络环境的云安全系统及其部署框架 |
| CN106776212A (zh) * | 2016-12-09 | 2017-05-31 | 中电科华云信息技术有限公司 | 容器集群部署多进程应用的监管系统及方法 |
| CN107204980A (zh) * | 2017-05-25 | 2017-09-26 | 深信服科技股份有限公司 | 一种安全服务交付方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107896191A (zh) | 2018-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107896191B (zh) | 一种基于容器的虚拟安全组件跨云系统及方法 | |
| CN114946166B (zh) | 在包括云边缘位置的异构计算环境中的动态资源移动的方法和系统 | |
| US11159362B2 (en) | System and method for managing configuration of virtual switches in a virtual machine network | |
| US11210123B2 (en) | Securing live migration of a virtual machine including blocking communication with other virtual machines | |
| CN114902182B (zh) | 通信服务提供商网络中的云计算 | |
| US20220377045A1 (en) | Network virtualization of containers in computing systems | |
| US10545750B2 (en) | Distributed upgrade in virtualized computing environments | |
| CN107911463B (zh) | 一种业务跨云架构及其创建方法、管理方法 | |
| CN115004661B (zh) | 通信服务提供商网络内托管的云计算实例的移动性 | |
| US10708342B2 (en) | Dynamic troubleshooting workspaces for cloud and network management systems | |
| CN114902183B (zh) | 云计算实例在通信服务提供商网络中的基于延时的布局 | |
| CN109194502B (zh) | 多租户容器云计算系统的管理方法 | |
| EP3731461A1 (en) | Multi-cluster configuration controller for software defined networks | |
| US20150156068A1 (en) | Automated orchestration between physical and virtual computing systems | |
| CN108737468A (zh) | 云平台服务集群、构建方法及装置 | |
| CN111221619A (zh) | 一种业务开通和编排的方法、装置及设备 | |
| US20220303335A1 (en) | Relaying network management tasks using a multi-service receptor network | |
| CN102412978A (zh) | 一种针对虚拟主机进行网络配置的方法和系统 | |
| US10116622B2 (en) | Secure communication channel using a blade server | |
| CN114945903A (zh) | 使用边缘优化计算实例在提供商底层扩展处执行用户工作负载 | |
| CN104468791A (zh) | 私有云IaaS平台的构建方法 | |
| CN115941241A (zh) | 云本地软件定义网络架构中基于角色的访问控制自动生成 | |
| US11573819B2 (en) | Computer-implemented method for reducing service disruption times for a universal customer premise equipment, uCPE, device with resource constraint in a network functions virtualization, NFV, network infrastructure | |
| US11900139B2 (en) | Multisite service personalization hybrid workflow engine | |
| US11831610B2 (en) | System and method for using private native security groups and private native firewall policy rules in a public cloud |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |