CN111131071A - 基于OpenStack实现云主机安全组规则优先级的实现方法及系统 - Google Patents
基于OpenStack实现云主机安全组规则优先级的实现方法及系统 Download PDFInfo
- Publication number
- CN111131071A CN111131071A CN201911319635.7A CN201911319635A CN111131071A CN 111131071 A CN111131071 A CN 111131071A CN 201911319635 A CN201911319635 A CN 201911319635A CN 111131071 A CN111131071 A CN 111131071A
- Authority
- CN
- China
- Prior art keywords
- security group
- priority
- rule
- openstack
- cloud host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 12
- 230000002688 persistence Effects 0.000 claims description 3
- 230000000007 visual effect Effects 0.000 claims description 3
- 230000007547 defect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于OpenStack实现云主机安全组规则优先级的实现方法,包括如下步骤:1)在OpenStack的neutron组件中为安全组规则新增优先级属性,重新定义neutron组件中创建安全组规则的API,使其可以接收优先级参数;2)在neutron DB中定义持久化的安全组规则优先级的表结构;3)将安全组规则优先级下发到云主机所在的宿主机的OpenVSwitch组件;4)在OpenVSwitch中为云主机的虚拟网卡配置流表规则,同时配置优先级。本发明在OpenStack中引入安全组规则优先级的概念,通过对优先级数值的判断,可以清晰的解决多条安全组规则中存在的冲突,明确在冲突中优先保证被执行的是哪条安全组规则,避免多条冲突的安全组规则导致的云主机的流量限制不符合预期。
Description
技术领域
本发明属于云计算技术领域,尤其是涉及一种基于OpenStack实现云主机安全组规则优先级的实现方法及系统。
背景技术
在目前云计算领域,资源管理与调度层的工具中,应用最为广泛的当属开源的OpenStack项目,在我国业内,众多的私有云和相当一部分公有云也是基于OpenStack来搭建的,足见其巨大的行业影响力和业内认可度。但是,原生的OpenStack项目并不能满足全部的公有云业务场景,其中,在安全组规则的定义中,就缺少对安全组规则优先级的设置。
安全组规则是对云主机的入向和出向进行流量限制,通过添加安全组规则,可以允许或禁止云主机对公网或私网的访问。但是,当我同时定义了两个互相冲突的安全组规则,比如安全组规则1禁止了一个端口范围(比如7000~9000)的TCP入向流量,安全组规则2中又允许指定了某一个端口并且这个端口被包含在了之前禁止的端口范围内(比如8080端口)的TCP入向流量,那么这两个安全组规则如何同时产生效力呢。
这个正是当前原生的OpenStack没有明确解决的问题,可以说,原生的OpenStack在对安全组规则的定义与使用上,存在缺陷与不足,当多条安全组规则互相冲突时,OpenStack并不能提供清晰的安全组规则定义,更不能保证我们对云主机所做的流量限制完全符合我们的预期。
从云计算服务的使用者的角度而言,流量控制对云主机的网络安全至关重要,可以有效避免服务器被恶意攻击,而一旦流量限制出现混乱,很有可能造成云主机内的服务因网络不通而不可用,影响服务质量。
发明内容
有鉴于此,本发明旨在提出一种基于OpenStack实现云主机安全组规则优先级的实现方法及系统,以解决多条安全组规则互相冲突问题,保证对云主机所做的流量限制完全符合预期。
为达到上述目的,本发明的技术方案是这样实现的:
为了解决上述问题,本发明在OpenStack中引入安全组规则优先级的概念,通过对优先级数值的判断,可以清晰的解决多条安全组规则中存在的冲突,明确在冲突中优先保证被执行的是哪条安全组规则,该让步的是哪条,避免多条冲突的安全组规则导致的云主机的流量限制不符合预期。
比如在前文的例子中,定义安全组规则优先级的数值越高则优先级越高,将安全组规则1的优先级定义为30,将安全组规则2的优先级定义为55,则明显安全组规则2的优先级高于安全组规则1,从而可以保证在禁止了7000~9000端口范围的TCP入向流量的同时,又对8080端口的TCP入向流量做了放行,防止安全组规则2被安全组规则1覆盖从而导致8080端口的TCP入向流量一样被禁止。具体的,
第一方面,本发明提供一种基于OpenStack实现云主机安全组规则优先级的实现方法,包括如下步骤:
1)在OpenStack的neutron组件中为安全组规则新增优先级属性,重新定义neutron组件中创建安全组规则的API,使其可以接收优先级参数;
2)在neutron DB中定义持久化的安全组规则优先级的表结构;
3)将安全组规则优先级下发到云主机所在的宿主机的OpenVSwitch组件;
4)在OpenVSwitch中为云主机的虚拟网卡配置流表规则,同时配置优先级。
第二方面,本发明提供一种基于OpenStack的对云主机安全组规则提供优先级的系统,包括:
云计算管理控制台系统:包括可视化页面和后台服务,为用户提供设置安全组规则优先级的界面,并将数据请求发送至OpenStack网络管理组件Neutron;
OpenStack网络管理组件Neutron:提供安全组规则的定义与持久化功能,并将请求发送至云主机所在的宿主机的OpenVSwitch工具;
OpenVSwitch:用于配置流表来对云主机入向和出向的网卡流量限制,支持对流表定义优先级属性。
相对于现有技术,本发明具有以下优势:
本发明在OpenStack中引入安全组规则优先级的概念,通过对优先级数值的判断,可以清晰的解决多条安全组规则中存在的冲突,明确在冲突中优先保证被执行的是哪条安全组规则,该让步的是哪条,避免多条冲突的安全组规则导致的云主机的流量限制不符合预期。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例所述基于OpenStack的对云主机安全组规则提供优先级的系统的结构框图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
下面将参考附图并结合实施例来详细说明本发明。
为了使安全组规则的优先级能够被定义、保存、下发并绑定到云主机,分以下几个步骤实现:
第一步,在OpenStack的neutron组件中为安全组规则新增优先级属性;重新定义OpenStack的neutron组件中创建安全组规则的API,使其可以接收新的参数,安全组规则优先级——priority;
2)在neutron DB中定义持久化的安全组规则优先级的表结构;
3)将安全组规则优先级下发到云主机所在的宿主机的OpenVSwitch组件;
4)在开源工具OpenVSwitch中为云主机的虚机网卡配置流表规则,同时设置配置优先级;其中OpenVSwitch的流表即最终实现对云主机入向和出向的网卡流量限制,即实现了安全组规则的实际功能,并原生即支持对流表定义优先级属性。
具体的,为了实现安全组规则优先级的定义及下发,需要自顶向下修改云计算中网络模块所涉及的各个系统,基于OpenStack的对云主机安全组规则提供优先级的系统,如图1所示,包括:
云计算管理控制台系统:面向用户来管理该用户的云计算资源,包括可视化页面和后台服务,在本发明中需提供用于为用户提供设置安全组规则优先级的界面,并将数据请求至下一个系统。
OpenStack网络管理组件Neutron:云计算资源管理与调度层的工具,在本发明中该系统提供了安全组规则的定义与持久化功能,并将请求发送至云主机所在的宿主机的OpenVSwitch工具。
OpenVSwitch:开源的流表控制软件,用于配置流表来对云主机入向和出向的网卡流量限制,即实现了安全组规则的实际功能,并原生即支持对流表定义优先级属性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.基于OpenStack实现云主机安全组规则优先级的实现方法,其特征在于,包括如下步骤:
1)在OpenStack的neutron组件中为安全组规则新增优先级属性,重新定义neutron组件中创建安全组规则的API,使其可以接收优先级参数;
2)在neutron DB中定义持久化的安全组规则优先级的表结构;
3)将安全组规则优先级下发到云主机所在的宿主机的OpenVSwitch组件;
4)在OpenVSwitch中为云主机的虚拟网卡配置流表规则,同时配置优先级。
2.基于OpenStack的对云主机安全组规则提供优先级的系统,其特征在于:包括:
云计算管理控制台系统:包括可视化页面和后台服务,为用户提供设置安全组规则优先级的界面,并将数据请求发送至OpenStack网络管理组件Neutron;
OpenStack网络管理组件Neutron:提供安全组规则的定义与持久化功能,并将请求发送至云主机所在的宿主机的OpenVSwitch工具;
OpenVSwitch:用于配置流表来对云主机入向和出向的网卡流量限制,支持对流表定义优先级属性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911319635.7A CN111131071A (zh) | 2019-12-19 | 2019-12-19 | 基于OpenStack实现云主机安全组规则优先级的实现方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911319635.7A CN111131071A (zh) | 2019-12-19 | 2019-12-19 | 基于OpenStack实现云主机安全组规则优先级的实现方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111131071A true CN111131071A (zh) | 2020-05-08 |
Family
ID=70500250
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911319635.7A Pending CN111131071A (zh) | 2019-12-19 | 2019-12-19 | 基于OpenStack实现云主机安全组规则优先级的实现方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111131071A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116015827A (zh) * | 2022-12-15 | 2023-04-25 | 北京秒如科技有限公司 | 一种实现安全组流表最小化的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050276262A1 (en) * | 2004-06-15 | 2005-12-15 | Sun Microsystems, Inc. | Rule set conflict resolution |
| CN104202303A (zh) * | 2014-08-11 | 2014-12-10 | 华中科技大学 | 一种sdn应用的策略冲突检测方法及系统 |
| CN106656591A (zh) * | 2016-12-15 | 2017-05-10 | 西安电子科技大学 | 一种软件定义网络中多应用间的规则冲突检测与消除方法 |
| CN108293019A (zh) * | 2016-03-09 | 2018-07-17 | 华为技术有限公司 | 流表处理方法及装置 |
-
2019
- 2019-12-19 CN CN201911319635.7A patent/CN111131071A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050276262A1 (en) * | 2004-06-15 | 2005-12-15 | Sun Microsystems, Inc. | Rule set conflict resolution |
| CN104202303A (zh) * | 2014-08-11 | 2014-12-10 | 华中科技大学 | 一种sdn应用的策略冲突检测方法及系统 |
| CN108293019A (zh) * | 2016-03-09 | 2018-07-17 | 华为技术有限公司 | 流表处理方法及装置 |
| CN106656591A (zh) * | 2016-12-15 | 2017-05-10 | 西安电子科技大学 | 一种软件定义网络中多应用间的规则冲突检测与消除方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李健: "基于OpenStack的可编程数据转发平面构建", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116015827A (zh) * | 2022-12-15 | 2023-04-25 | 北京秒如科技有限公司 | 一种实现安全组流表最小化的方法 |
| CN116015827B (zh) * | 2022-12-15 | 2024-06-04 | 北京秒如科技有限公司 | 一种实现安全组流表最小化的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10659471B2 (en) | Method for virtual machine to access physical server in cloud computing system, apparatus, and system | |
| US10616133B2 (en) | Resource configuration method and network device thereof | |
| EP3461087B1 (en) | Network-slice resource management method and apparatus | |
| US9690605B2 (en) | Configuration of an edge switch downlink port with a network policy of a published network configuration service type | |
| EP3319282B1 (en) | Flow control method and device under nfv architecture | |
| US9467395B2 (en) | Cloud computing nodes for aggregating cloud computing resources from multiple sources | |
| US10924966B2 (en) | Management method, management unit, and system | |
| US9282119B2 (en) | Policy enforcement in computing environment | |
| US11924167B2 (en) | Remote session based micro-segmentation | |
| EP3661291A1 (en) | Method for managing network component, and network device | |
| WO2016028927A1 (en) | Methods and system for allocating an ip address for an instance in a network function virtualization (nfv) system | |
| US20130086234A1 (en) | Cloud management system and method | |
| CN104902005A (zh) | 一种混合云中的资源调度方法、系统和私有云 | |
| CN113709810A (zh) | 一种网络服务质量的配置方法、设备和介质 | |
| CN111131071A (zh) | 基于OpenStack实现云主机安全组规则优先级的实现方法及系统 | |
| CN111124593A (zh) | 信息处理方法及装置、网元及存储介质 | |
| US20130086140A1 (en) | Cloud management system and method | |
| CN108768744B (zh) | 一种对云平台创建网络的管理方法和装置 | |
| CN115686843A (zh) | 一种异构虚拟化多租户资源隔离调度方法及设备 | |
| EP3376711A1 (en) | Management method and device for managing instruction transmission and automatic vnf scaling function | |
| WO2018014351A1 (zh) | 一种资源配置方法及装置 | |
| CN111104202A (zh) | 基于OpenStack安全组规则实现流量禁止的方法和系统 | |
| WO2019026061A1 (en) | NETWORK SENSITIVE ELEMENT AND METHOD OF USE | |
| US20240007463A1 (en) | Authenticating commands issued through a cloud platform to execute changes to inventory of virtual objects deployed in a software-defined data center | |
| WO2022267995A1 (zh) | 通信方法、装置、相关设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200508 |