CN109150609B - 一种openstack网络系统规范化命名的安全组配置方法 - Google Patents

一种openstack网络系统规范化命名的安全组配置方法 Download PDF

Info

Publication number
CN109150609B
CN109150609B CN201810989591.8A CN201810989591A CN109150609B CN 109150609 B CN109150609 B CN 109150609B CN 201810989591 A CN201810989591 A CN 201810989591A CN 109150609 B CN109150609 B CN 109150609B
Authority
CN
China
Prior art keywords
virtual
slave
virtual slave
network
network port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810989591.8A
Other languages
English (en)
Other versions
CN109150609A (zh
Inventor
王晓宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Yunhai Information Technology Co Ltd
Original Assignee
Zhengzhou Yunhai Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Yunhai Information Technology Co Ltd filed Critical Zhengzhou Yunhai Information Technology Co Ltd
Priority to CN201810989591.8A priority Critical patent/CN109150609B/zh
Publication of CN109150609A publication Critical patent/CN109150609A/zh
Application granted granted Critical
Publication of CN109150609B publication Critical patent/CN109150609B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Cardiology (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种openstack网络系统规范化命名的安全组配置方法,实现配置了系统与外部网络连接的接口,并创建系统内部子网连接接口;创建路由器,路由器的外网接口通过外部网络连接接口连接外网;在路由器的路由接口连接子网连接接口;配置系统各虚拟从机,各虚拟从机分别与路由器的路由接口连接,形成内部子网,内部子网中的各虚拟从机通过路由器的外网接口与外部网络连接接口连接至外网;还配置了虚拟主机接口和安全组模块。实现了虚拟主机通过虚拟主机接口连接路由器,虚拟主机通过安全组模块对内部子网中的各虚拟从机之间的连接通断进行管理,并对各虚拟从机与外部网络连接的网络流量进行管理。

Description

一种openstack网络系统规范化命名的安全组配置方法
技术领域
本发明涉及服务器网络领域,尤其涉及一种openstack网络系统规范化命名的安全组配置方法。
背景技术
OpenStack是一个开源的云计算管理平台项目,由几个主要的组件组合起来完成具体工作。OpenStack支持几乎所有类型的云环境,项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。OpenStack通过各种互补的服务提供了基础设施即服务(IaaS)的解决方案,每个服务提供API以进行集成。安全组是Neutron为instance提供的管理网络安全的方法,安全组的原理是通过iptables对instance所在虚拟机的网络流量进行过滤。在创建租户的同时,会默认产生默认的安全组,“default”安全组有四条规则,其作用是:允许所有外出(Egress)的流量,但禁止所有进入(Ingress)的流量。也可以配置每个虚拟机的网络流量。
基于预设条件采用了安全组自动设置各个虚拟机的网络流量。但是由于在设置各个虚拟机的网络流量时,需要访问每个虚拟机,系统中需要基于虚拟机的地址信息和网口名信息二者同时结合后,来访问一个虚拟机。
由于系统中配置虚拟机地址方式的不同,协议配置方式不同以及网口名信息命名方式不同导致,各虚拟机的地址信息和网口名信息随时变化。比如有的虚拟机在不同的使用环境下网口名信息出现了变化,虚拟机的地址信息为动态的,每次虚拟机地址信息也在变化。这样如果自动设置各个虚拟机的网络流量,增加了查找虚拟机的难度,容易造成未按照预设的网络流量设置对应的虚拟机,造成网络系统无法进行有效服务,出现网络系统网络延迟和阻塞等问题。
发明内容
为了克服上述现有技术中的不足,本发明提供一种openstack网络系统规范化命名的安全组配置方法,方法包括:
步骤一,创建系统与外部网络连接的接口,并创建系统内部子网连接接口;
步骤二,创建路由器,路由器的外网接口通过外部网络连接接口连接外网;在路由器的路由接口连接子网连接接口;
步骤三,配置系统各虚拟从机,各虚拟从机分别与路由器的路由接口连接,形成内部子网,内部子网中的各虚拟从机通过路由器的外网接口与外部网络连接接口连接至外网;
步骤四,在路由器配置虚拟主机接口和安全组模块,虚拟主机通过虚拟主机接口连接路由器,虚拟主机通过安全组模块对内部子网中的各虚拟从机之间的连接通断进行管理,并对各虚拟从机与外部网络连接的网络流量进行管理;
步骤五,虚拟主机调取各虚拟从机的网络配置文件,查找网络配置文件中的BOOTPROTO文件;
步骤六,虚拟主机设置各虚拟从机的BOOTPROTO字段为静态路由协议,并定义集群中各虚拟从机的IP地址;
步骤七,虚拟主机配置各个虚拟从机的flavor模板,将每个虚拟从机的flavor模板与虚拟从机的IP地址相对应;
步骤八,虚拟主机根据虚拟从机的IP地址查找对应的虚拟从机,将flavor模板配置到对应的虚拟从机,对虚拟从机的网络流量上下限进行配置;
步骤九,配置完成后,将各虚拟从机的配置状态以可读文本保存至路由器的存储装置中。
优选地,步骤四还包括:虚拟主机关闭各虚拟从机的防火墙;
虚拟主机对各虚拟从机配置ICMP出口和入口的协议;
虚拟主机通过ping的方式检测虚拟主机与各虚拟从机的通信状态是否正常;
虚拟主机通过ssh登陆的方式检验安全组模块的运行功能是否正常。
优选地,步骤三还包括:
虚拟主机获取各个虚拟从机的udev规则文件;
虚拟主机在各个虚拟从机的udev规则文件中,配置/etc/udev/rules.d/目录,在/etc/udev/rules.d/目录下建立一个以.rules结尾的udev规则文件;
各个虚拟从机基于udev命名规则设置各个虚拟从机网口名,将各个虚拟从机网口名与网口的IP地址绑定;
虚拟主机配置各个虚拟从机的flavor模板,将每个虚拟从机的flavor模板,虚拟从机网口名以及网口的IP地址绑定;
虚拟主机根据虚拟从机的IP地址和虚拟从机网口名查找对应的虚拟从机,将flavor模板配置到对应的虚拟从机,对虚拟从机的网络参数进行配置;
配置完成后,虚拟主机将各虚拟从机的配置状态以可读文本保存至集群存储器。
优选地,步骤将各个虚拟从机网口名与网口的IP地址绑定之后还包括:
虚拟主机切断与某一个或几个虚拟从机与系统连接关系,并经过预设的时长后,获取断开连接虚拟从机的连接信息,使所述虚拟从机与集群服务器建立通信连接;
虚拟主机通过所述虚拟从机的ifconfig查看虚拟从机网口名是否与预设的网口名发生变化;如无变化,则命名完成。
优选地,当虚拟从机的网口名与预设的网口名发生变化,在所述虚拟从机的udev规则文件中,判断是否存在/etc/udev/rules.d/目录,如存在,在/etc/udev/rules.d/目录下判断是否存在以.rules结尾的udev规则文件;
如不存在,
配置/etc/udev/rules.d/目录,在/etc/udev/rules.d/目录下建立一个以.rules结尾的udev规则文件;
虚拟主机基于udev命名规则配置所述虚拟从机网口名,将网口名与网口的IP地址绑定。
优选地,虚拟主机实时监测路由器的路由接口当前新接入的虚拟从机;
当出现新接入的虚拟从机时,虚拟主机调取新接入虚拟从机的网络配置文件,查找网络配置文件中的BOOTPROTO文件;
虚拟主机根据预设条件设置新接入虚拟从机的BOOTPROTO字段,并定义新接入虚拟从机的IP地址;
虚拟主机获取新接入虚拟从机网口的IP地址;
将以预设字段结尾的udev命名规则,配置到新接入虚拟从机;
新接入虚拟从机基于udev命名规则设置网口名;
将新接入虚拟从机网口名与网口的IP地址绑定;
虚拟主机获取新接入虚拟从机的flavor模板;虚拟主机根据新接入虚拟从机的IP地址和新接入虚拟从机网口名查找对应的虚拟从机,将flavor模板配置到新接入的虚拟从机,对虚拟从机的网络流量上下限进行配置;
配置完成后,虚拟主机将新接入虚拟从机的配置状态以可读文本保存至路由器的存储装置中。
优选地,以预设字段结尾的udev命名规则配置出多个虚拟从机网口名,其中虚拟从机网口名数量多于已配置的IP地址数量;
将多个虚拟从机网口名按照预设的次序,将网口名配置成网口名队列;
集群服务器将各个虚拟从机网口的IP地址按照预设的次序进行排列,形成IP地址队列;
集群服务器将网口名队列中的虚拟从机网口名与IP地址队列中的IP地址一一对应;网口名队列中的虚拟从机网口名已被使用的标识为已用;
对应后,IP地址所对应的虚拟从机网口名即为IP地址所涉及虚拟从机网口的网口名。
优选地,实时监测系统当前已接入的虚拟从机;当出现已接入的虚拟从机断开与集群连接,且经过预设的断开时长后,将断开集群连接虚拟从机的网口名释放;使所述网口名在网口名队列中标识为空闲。
从以上技术方案可以看出,本发明具有以下优点:
本发明中,实现配置了系统与外部网络连接的接口,并创建系统内部子网连接接口;创建路由器,路由器的外网接口通过外部网络连接接口连接外网;在路由器的路由接口连接子网连接接口;配置系统各虚拟从机,各虚拟从机分别与路由器的路由接口连接,形成内部子网,内部子网中的各虚拟从机通过路由器的外网接口与外部网络连接接口连接至外网;这样将搭建成基于用户需要的内网和外网。还配置了虚拟主机接口和安全组模块。实现了虚拟主机通过虚拟主机接口连接路由器,虚拟主机通过安全组模块对内部子网中的各虚拟从机之间的连接通断进行管理,并对各虚拟从机与外部网络连接的网络流量进行管理;
虚拟主机设置各虚拟从机的BOOTPROTO字段为静态路由协议,并定义集群中各虚拟从机的IP地址;虚拟主机根据虚拟从机的IP地址查找对应的虚拟从机,将flavor模板配置到对应的虚拟从机,对虚拟从机的网络参数进行配置,实现了各虚拟从机的统一配置。而且每个虚拟从机的IP地址都是基于虚拟主机统一设置,具有固定的设置规则,避免了当虚拟机个数比较多的时候,这样的操作严重浪费时间,而且很容易造成一些人为的数据错误。
虚拟主机获取各个虚拟从机的udev规则文件,基于统一的命名规则对每个虚拟从机网口名进行统一命名。将各个虚拟从机网口名与网口的IP地址绑定;虚拟主机配置各个虚拟从机的flavor模板,将每个虚拟从机的flavor模板,虚拟从机网口名以及网口的IP地址绑定,实现了三者的统一。将flavor模板配置到对应的虚拟从机,对虚拟从机的网络参数进行配置;降低了查找各个虚拟机的难度,避免了造成未按照预设的网络参数设置方式设置对应的虚拟机,造成集群无法进行有效服务。虚拟主机基于预设参数配置每个虚拟从机的flavor模板,并对每个虚拟从机进行配置,还可以检测网络安全组状态,提升系统测试和开发效率。
附图说明
为了更清楚地说明本发明的技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为openstack网络系统规范化命名的安全组配置方法流程图。
具体实施方式
本发明提供一种openstack网络系统规范化命名的安全组配置方法,如图1所示,方法包括:
步骤一,创建系统与外部网络连接的接口,并创建系统内部子网连接接口;
步骤二,创建路由器,路由器的外网接口通过外部网络连接接口连接外网;在路由器的路由接口连接子网连接接口;
步骤三,配置系统各虚拟从机,各虚拟从机分别与路由器的路由接口连接,形成内部子网,内部子网中的各虚拟从机通过路由器的外网接口与外部网络连接接口连接至外网;
步骤四,在路由器配置虚拟主机接口和安全组模块,虚拟主机通过虚拟主机接口连接路由器,虚拟主机通过安全组模块对内部子网中的各虚拟从机之间的连接通断进行管理,并对各虚拟从机与外部网络连接的网络流量进行管理;
步骤五,虚拟主机调取各虚拟从机的网络配置文件,查找网络配置文件中的BOOTPROTO文件;
步骤六,虚拟主机设置各虚拟从机的BOOTPROTO字段为静态路由协议,并定义集群中各虚拟从机的IP地址;
步骤七,虚拟主机配置各个虚拟从机的flavor模板,将每个虚拟从机的flavor模板与虚拟从机的IP地址相对应;
步骤八,虚拟主机根据虚拟从机的IP地址查找对应的虚拟从机,将flavor模板配置到对应的虚拟从机,对虚拟从机的网络流量上下限进行配置;
步骤九,配置完成后,将各虚拟从机的配置状态以可读文本保存至路由器的存储装置中。用户通过可读文本可以为output.txt,可查看openstack网络系统规范化命名的安全组配置方法过程数据。
其中步骤虚拟主机配置各个虚拟从机的flavor模板还包括:虚拟主机配置各个虚拟从机的RAM的大小,硬盘大小,CPU核数以及每个虚拟从机在集群中通信的上行带宽,下行速率。flavor模板可以是基于集群管理人员根据各虚拟从机的设置条件来配置,各虚拟从机的flavor模板配置完成后,由虚拟主机配置到各虚拟从机。也可以在集群运行过程中,集群管理人员根据各虚拟从机的当前需要来实时配置,配置完成后,由虚拟主机配置到各虚拟从机。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将运用具体的实施例及附图,对本发明保护的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本专利中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利保护的范围。
本发明提供的实施例中,步骤四还包括:虚拟主机关闭各虚拟从机的防火墙;
虚拟主机对各虚拟从机配置ICMP出口和入口的协议;
虚拟主机通过ping的方式检测虚拟主机与各虚拟从机的通信状态是否正常;
虚拟主机通过ssh登陆的方式检验安全组模块的运行功能是否正常。
设置安全组,对于项目下的安全组需要添加所有icmp出口和入口的协议,这个协议可以通过ping的方式检验安全组功能是否正常。也可以添加所有TCP出口和入口的协议,这个协议可以通过ssh登陆的方式检验安全组功能是否正常。
登陆虚拟机的控制台,关闭虚拟机的防火墙,如果防火墙没有关闭,所有的流量都不能通过。如果通过ping的方式检验安全组,只需在虚机控制台ping一下百度的网址就可以验证安全组功能是否正常。如果通过ssh的方式,则需打开本地xshell软件,通过ssh浮动ip从而登陆到虚机控制台,则能证明安全组功能正常。
本发明提供的实施例中,步骤三还包括:
虚拟主机获取各个虚拟从机的udev规则文件;
虚拟主机在各个虚拟从机的udev规则文件中,配置/etc/udev/rules.d/目录,在/etc/udev/rules.d/目录下建立一个以.rules结尾的udev规则文件;
各个虚拟从机基于udev命名规则设置各个虚拟从机网口名,将各个虚拟从机网口名与网口的IP地址绑定;
虚拟主机配置各个虚拟从机的flavor模板,将每个虚拟从机的flavor模板,虚拟从机网口名以及网口的IP地址绑定;
虚拟主机根据虚拟从机的IP地址和虚拟从机网口名查找对应的虚拟从机,将flavor模板配置到对应的虚拟从机,对虚拟从机的网络参数进行配置;
配置完成后,虚拟主机将各虚拟从机的配置状态以可读文本保存至集群存储器。
其中,虚拟主机在对各个虚拟从机的命名过程以及配置IP地址过程可以同步进行,也可以根据需要配置先后次序。
如果在硬件中实现,本发明涉及一种装置,例如可以作为处理器或者集成电路装置,诸如集成电路芯片或芯片组。可替换地或附加地,如果软件或固件中实现,所述技术可实现至少部分地由计算机可读的数据存储介质,包括指令,当执行时,使处理器执行一个或更多的上述方法。例如,计算机可读的数据存储介质可以存储诸如由处理器执行的指令。
本发明提供的实施例中,步骤将各个虚拟从机网口名与网口的IP地址绑定之后还包括:
虚拟主机切断与某一个或几个虚拟从机与系统连接关系,并经过预设的时长后,获取断开连接虚拟从机的连接信息,使所述虚拟从机与集群服务器建立通信连接;虚拟主机通过所述虚拟从机的ifconfig查看虚拟从机网口名是否与预设的网口名发生变化;如无变化,则命名完成。
本发明中,每个虚拟从机及集群服务器配置Linux系统。其中udev是Linux内核的设备管理器,位于用户空间,主要负责/dev目录下设备节点的管理,能够动态管理各个虚拟从机发起的事件,比如硬件设备的热插拔。集群服务器通过自定义的规则文件,为各个虚拟从机灵活地产生标识性强的设备文件名。本发明利用udev规则可以为各个虚拟从机重命名的特性,通过建立一套特殊的命名规则,避免集群导致网口命名乱序的命名规则,解决网口命名乱序问题。而且由集群服务器建立一个以预设字段结尾的udev命名规则,将预设字段结尾的udev命名规则配置到各个虚拟从机;统一对各个虚拟从机进行有效的,统一的命名,避免了命名混乱,影响集群系统的数据通信传输,以及相互之间的登录访问。
具体的可以采用在/etc/udev/rules.d/目录下建立一个以.rules结尾的udev规则文件10-netname.rules,并在该文件中增加网卡命名规则,将新的名字与网口的IP地址绑定,因为IP地址是唯一固定的,所以新的命名也将是固定的。
在一些实施例中,所述设备中的一个或多个设备的部分或所有功能或处理由计算机程序实现或支持,计算机程序由计算机可读程序代码形成并且被包括在计算机可读介质中。短语“计算机可读程序代码”包括任何类型的计算机代码,包括源代码、目标代码和可执行代码。短语“计算机可读介质”包括能够被计算机访问的任何类型的介质,诸如只读存储器(ROM)、随机存取存储器(RAM)、硬盘驱动器、光盘(CD)、数字视频盘(DVD)、或任何其他类型的存储器。
本发明提供的实施例中,当虚拟从机的网口名与预设的网口名发生变化,在所述虚拟从机的udev规则文件中,判断是否存在/etc/udev/rules.d/目录,如存在,在/etc/udev/rules.d/目录下判断是否存在以.rules结尾的udev规则文件;
如不存在,
配置/etc/udev/rules.d/目录,在/etc/udev/rules.d/目录下建立一个以.rules结尾的udev规则文件;
虚拟主机基于udev命名规则配置所述虚拟从机网口名,将网口名与网口的IP地址绑定。
这样可以测试当虚拟从机断开与集群后,重新再连接是否与预设的网口名发生变化。如无变化,则命名与网口的IP地址绑定完成。这样固定了虚拟从机在集群中的网口名,无论与集群系统连接与否都保证虚拟从机的稳定,避免命名混乱。
所述代码或指令可以是软件和/或固件由处理电路包括一个或多个处理器执行,如一个或多个数字信号处理器(DSP),通用微处理器,特定应用集成电路(ASICs),现场可编程门阵列(FPGA),或者其它等价物把集成电路或离散逻辑电路。因此,术语“处理器,”由于在用于本文时可以指任何前述结构或任何其它的结构更适于实现的这里所描述的技术。另外,在一些方面,本公开中所描述的功能可以提供在软件模块和硬件模块。
本发明提供的实施例中,虚拟主机实时监测路由器的路由接口当前新接入的虚拟从机;
当出现新接入的虚拟从机时,虚拟主机调取新接入虚拟从机的网络配置文件,查找网络配置文件中的BOOTPROTO文件;
虚拟主机根据预设条件设置新接入虚拟从机的BOOTPROTO字段,并定义新接入虚拟从机的IP地址;
虚拟主机获取新接入虚拟从机网口的IP地址;
将以预设字段结尾的udev命名规则,配置到新接入虚拟从机;
新接入虚拟从机基于udev命名规则设置网口名;
将新接入虚拟从机网口名与网口的IP地址绑定;
虚拟主机获取新接入虚拟从机的flavor模板;虚拟主机根据新接入虚拟从机的IP地址和新接入虚拟从机网口名查找对应的虚拟从机,将flavor模板配置到新接入的虚拟从机,对虚拟从机的网络流量上下限进行配置;
配置完成后,虚拟主机将新接入虚拟从机的配置状态以可读文本保存至路由器的存储装置中。
基于集群中虚拟从机会发生变化,比如出现新增虚拟从机,或删除虚拟从机。上述实施例说明了出现新增虚拟从机的状况,这样可以实现对新增的虚拟从机进行统一命名,避免混乱。
本发明提供的实施例中,以预设字段结尾的udev命名规则配置出多个虚拟从机网口名,其中虚拟从机网口名数量多于已配置的IP地址数量;
将多个虚拟从机网口名按照预设的次序,将网口名配置成网口名队列;
集群服务器将各个虚拟从机网口的IP地址按照预设的次序进行排列,形成IP地址队列;
集群服务器将网口名队列中的虚拟从机网口名与IP地址队列中的IP地址一一对应;网口名队列中的虚拟从机网口名已被使用的标识为已用;
对应后,IP地址所对应的虚拟从机网口名即为IP地址所涉及虚拟从机网口的网口名。
将多个虚拟从机网口名按照预设的次序,将网口名配置成网口名队列;按照预设的次序可以采用网口名首字母的作为排列次序,如首字母相同可以采用次字母作为排列次序。还可以以设置虚拟从机权限级别排列网口名次序,还可以以虚拟从机连接集群的频次时长排列网口名次序等等。
可能以许多方式来实现本发明的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
其中,在本实施例中,集群服务器实时监测系统当前已接入的虚拟从机;当出现已接入的虚拟从机断开与集群连接,且经过预设的断开时长后,将断开集群连接虚拟从机的网口名释放;使所述网口名在网口名队列中标识为空闲。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (8)

1.一种openstack网络系统规范化命名的安全组配置方法,其特征在于,方法包括:
步骤一,创建openstack网络系统与外部网络连接的接口,并创建openstack网络系统内部子网连接接口;
步骤二,创建路由器,路由器的外网接口通过外部网络连接接口连接外网;在路由器的路由接口连接子网连接接口;
步骤三,配置系统各虚拟从机,各虚拟从机分别与路由器的路由接口连接,形成内部子网,内部子网中的各虚拟从机通过路由器的外网接口与外部网络连接接口连接至外网;
步骤四,在路由器配置虚拟主机接口和安全组模块,虚拟主机通过虚拟主机接口连接路由器,虚拟主机通过安全组模块对内部子网中的各虚拟从机之间的连接通断进行管理,并对各虚拟从机与外部网络连接的网络流量进行管理;
步骤五,虚拟主机调取各虚拟从机的网络配置文件,查找网络配置文件中的BOOTPROTO文件;
步骤六,虚拟主机设置各虚拟从机的BOOTPROTO字段为静态路由协议,并定义集群中各虚拟从机的IP地址;
步骤七,虚拟主机配置各个虚拟从机的flavor模板,将每个虚拟从机的flavor模板与虚拟从机的IP地址相对应;
步骤八,虚拟主机根据虚拟从机的IP地址查找对应的虚拟从机,将flavor模板配置到对应的虚拟从机,对虚拟从机的网络流量上下限进行配置;
步骤九,配置完成后,将各虚拟从机的配置状态以可读文本保存至路由器的存储装置中。
2.根据权利要求1所述的openstack网络系统规范化命名的安全组配置方法,其特征在于,
步骤四还包括:虚拟主机关闭各虚拟从机的防火墙;
虚拟主机对各虚拟从机配置ICMP出口和入口的协议;
虚拟主机通过ping的方式检测虚拟主机与各虚拟从机的通信状态是否正常;
虚拟主机通过ssh登陆的方式检验安全组模块的运行功能是否正常。
3.根据权利要求1或2所述的openstack网络系统规范化命名的安全组配置方法,其特征在于,步骤三还包括:
虚拟主机获取各个虚拟从机的udev规则文件;
虚拟主机在各个虚拟从机的udev规则文件中,配置/etc/udev/rules.d/目录,在/etc/udev/rules.d/目录下建立一个以.rules结尾的udev规则文件;
各个虚拟从机基于udev命名规则设置各个虚拟从机网口名,将各个虚拟从机网口名与网口的IP地址绑定;
虚拟主机配置各个虚拟从机的flavor模板,将每个虚拟从机的flavor模板,虚拟从机网口名以及网口的IP地址绑定;
虚拟主机根据虚拟从机的IP地址和虚拟从机网口名查找对应的虚拟从机,将flavor模板配置到对应的虚拟从机,对虚拟从机的网络参数进行配置;
配置完成后,虚拟主机将各虚拟从机的配置状态以可读文本保存至集群存储器。
4.根据权利要求3所述的openstack网络系统规范化命名的安全组配置方法,其特征在于,
步骤将各个虚拟从机网口名与网口的IP地址绑定之后还包括:
虚拟主机切断与某一个或几个虚拟从机与系统连接关系,并经过预设的时长后,获取断开连接虚拟从机的连接信息,使所述虚拟从机与集群服务器建立通信连接;
虚拟主机通过所述虚拟从机的ifconfig查看虚拟从机网口名是否与预设的网口名发生变化;如无变化,则命名完成。
5.根据权利要求3所述的openstack网络系统规范化命名的安全组配置方法,其特征在于,
当虚拟从机的网口名与预设的网口名发生变化,在所述虚拟从机的udev规则文件中,判断是否存在/etc/udev/rules.d/目录,如存在,在/etc/udev/rules.d/目录下判断是否存在以.rules结尾的udev规则文件;
如不存在,
配置/etc/udev/rules.d/目录,在/etc/udev/rules.d/目录下建立一个以.rules结尾的udev规则文件;
虚拟主机基于udev命名规则配置所述虚拟从机网口名,将网口名与网口的IP地址绑定。
6.根据权利要求3所述的openstack网络系统规范化命名的安全组配置方法,其特征在于,
虚拟主机实时监测路由器的路由接口当前新接入的虚拟从机;
当出现新接入的虚拟从机时,虚拟主机调取新接入虚拟从机的网络配置文件,查找网络配置文件中的BOOTPROTO文件;
虚拟主机根据预设条件设置新接入虚拟从机的BOOTPROTO字段,并定义新接入虚拟从机的IP地址;
虚拟主机获取新接入虚拟从机网口的IP地址;
将以预设字段结尾的udev命名规则,配置到新接入虚拟从机;
新接入虚拟从机基于udev命名规则设置网口名;
将新接入虚拟从机网口名与网口的IP地址绑定;
虚拟主机获取新接入虚拟从机的flavor模板;虚拟主机根据新接入虚拟从机的IP地址和新接入虚拟从机网口名查找对应的虚拟从机,将flavor模板配置到新接入的虚拟从机,对虚拟从机的网络流量上下限进行配置;
配置完成后,虚拟主机将新接入虚拟从机的配置状态以可读文本保存至路由器的存储装置中。
7.根据权利要求3所述的openstack网络系统规范化命名的安全组配置方法,其特征在于,
以预设字段结尾的udev命名规则配置出多个虚拟从机网口名,其中虚拟从机网口名数量多于已配置的IP地址数量;
将多个虚拟从机网口名按照预设的次序,将网口名配置成网口名队列;
集群服务器将各个虚拟从机网口的IP地址按照预设的次序进行排列,形成IP地址队列;
集群服务器将网口名队列中的虚拟从机网口名与IP地址队列中的IP地址一一对应;网口名队列中的虚拟从机网口名已被使用的标识为已用;
对应后,IP地址所对应的虚拟从机网口名即为IP地址所涉及虚拟从机网口的网口名。
8.根据权利要求7所述的openstack网络系统规范化命名的安全组配置方法,其特征在于,
实时监测系统当前已接入的虚拟从机;当出现已接入的虚拟从机断开与集群连接,且经过预设的断开时长后,将断开集群连接虚拟从机的网口名释放;使所述网口名在网口名队列中标识为空闲。
CN201810989591.8A 2018-08-28 2018-08-28 一种openstack网络系统规范化命名的安全组配置方法 Active CN109150609B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810989591.8A CN109150609B (zh) 2018-08-28 2018-08-28 一种openstack网络系统规范化命名的安全组配置方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810989591.8A CN109150609B (zh) 2018-08-28 2018-08-28 一种openstack网络系统规范化命名的安全组配置方法

Publications (2)

Publication Number Publication Date
CN109150609A CN109150609A (zh) 2019-01-04
CN109150609B true CN109150609B (zh) 2021-06-15

Family

ID=64828704

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810989591.8A Active CN109150609B (zh) 2018-08-28 2018-08-28 一种openstack网络系统规范化命名的安全组配置方法

Country Status (1)

Country Link
CN (1) CN109150609B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106209677A (zh) * 2016-07-15 2016-12-07 深圳市永达电子信息股份有限公司 基于Openstack的neutron实现网络QOS的方法
CN106406982A (zh) * 2016-10-21 2017-02-15 郑州云海信息技术有限公司 一种虚拟化平台监控的方法
CN106911695A (zh) * 2017-02-28 2017-06-30 郑州云海信息技术有限公司 一种基于Fuel的OpenStack部署方法及装置
CN107203333A (zh) * 2016-09-28 2017-09-26 郑州云海信息技术有限公司 OpenStack云计算平台中块存储自动接入的方法
CN107301083A (zh) * 2017-06-16 2017-10-27 郑州云海信息技术有限公司 一种创建OpenStack虚拟机方法及OpenStack虚拟机系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104731521B (zh) * 2013-12-23 2018-02-16 伊姆西公司 用于配置数据中心的方法及设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106209677A (zh) * 2016-07-15 2016-12-07 深圳市永达电子信息股份有限公司 基于Openstack的neutron实现网络QOS的方法
CN107203333A (zh) * 2016-09-28 2017-09-26 郑州云海信息技术有限公司 OpenStack云计算平台中块存储自动接入的方法
CN106406982A (zh) * 2016-10-21 2017-02-15 郑州云海信息技术有限公司 一种虚拟化平台监控的方法
CN106911695A (zh) * 2017-02-28 2017-06-30 郑州云海信息技术有限公司 一种基于Fuel的OpenStack部署方法及装置
CN107301083A (zh) * 2017-06-16 2017-10-27 郑州云海信息技术有限公司 一种创建OpenStack虚拟机方法及OpenStack虚拟机系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
IaaS云数据中心虚拟机调度优化问题研究;常耀辉;《数字技术与应用》;20161015;全文 *
大规模快速部署Linux 的实现方法;么罗野;《计算机与现代化》;20110531;全文 *

Also Published As

Publication number Publication date
CN109150609A (zh) 2019-01-04

Similar Documents

Publication Publication Date Title
CN108509210B (zh) 自动更新基本输入输出系统的系统与方法
CN106850324B (zh) 虚拟网络接口对象
US10057112B2 (en) Fault detection of service chains in a SDN/NFV network environment
US11533340B2 (en) On-demand security policy provisioning
CN109067877B (zh) 一种云计算平台部署的控制方法、服务器及存储介质
CN111030912B (zh) 虚拟私有云vpc之间互通的方法
WO2016029821A1 (zh) 一种虚拟网络实例的创建方法以及设备
WO2018157299A1 (zh) 一种光线路终端olt设备虚拟方法及相关设备
CN110785963B (zh) 从网络收集网络模型和节点信息
CN109039764B (zh) 一种分布式存储系统的网络参数配置方法
US10361970B2 (en) Automated instantiation of wireless virtual private networks
CN104718723A (zh) 用于虚拟网络中的联网和安全服务的框架
CN109995639B (zh) 一种数据传输方法、装置、交换机及存储介质
CN112671860A (zh) 用于kubernetes集群的服务访问方法、系统、电子设备及介质
CN110691110B (zh) 一种通信方法、装置、系统、终端、设备及介质
CN115567398A (zh) 一种数据中心网络构建系统及其实现方法
WO2021147358A1 (zh) 一种网络接口的建立方法、装置及系统
US8117321B2 (en) Network connection management using connection profiles
CN112073330A (zh) 一种云平台容器网络限流方法
CN109005068B (zh) 一种集群虚拟机qos的配置方法
WO2021103657A1 (zh) 网络操作方法、装置、设备和存储介质
US8289969B2 (en) Network edge switch configuration based on connection profile
CN109150609B (zh) 一种openstack网络系统规范化命名的安全组配置方法
CN105959248B (zh) 报文访问控制的方法及装置
CN109039823B (zh) 一种网络系统防火墙检测方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant