CN113472799A - 一种基于云平台的互联管理方法、装置及设备 - Google Patents

一种基于云平台的互联管理方法、装置及设备 Download PDF

Info

Publication number
CN113472799A
CN113472799A CN202110767793.XA CN202110767793A CN113472799A CN 113472799 A CN113472799 A CN 113472799A CN 202110767793 A CN202110767793 A CN 202110767793A CN 113472799 A CN113472799 A CN 113472799A
Authority
CN
China
Prior art keywords
interface
interconnection
plug
hardware interface
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110767793.XA
Other languages
English (en)
Other versions
CN113472799B (zh
Inventor
申志鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Big Data Technologies Co Ltd
Original Assignee
New H3C Big Data Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Big Data Technologies Co Ltd filed Critical New H3C Big Data Technologies Co Ltd
Priority to CN202110767793.XA priority Critical patent/CN113472799B/zh
Publication of CN113472799A publication Critical patent/CN113472799A/zh
Application granted granted Critical
Publication of CN113472799B publication Critical patent/CN113472799B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L2012/4629LAN interconnection over a backbone network, e.g. Internet, Frame Relay using multilayer switching, e.g. layer 3 switching
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种基于云平台的互联管理方法、装置及设备。本申请可以基于在云平台中的虚拟路由器上创建的绑定网关设备上第一硬件接口的第一虚拟端口和绑定防火墙设备上第二硬件接口的第二虚拟端口,分别为第一硬件接口分配第一互联信息,为第二硬件接口分配第二互联信息,通过标准应用程序接口API分别向SDN控制器和防火墙设备发送第一互联信息和第二互联信息,以在由SDN控制器将第一互联信息下发给网关设备之后,网关设备和防火墙设备可以基于接收到的第一互联信息和第二互联信息进行互联。由于本申请中云平台采用标准API发送互联信息,不需要防火墙设备针对不同SDN控制器厂商开发API,减少了API的开发负担。

Description

一种基于云平台的互联管理方法、装置及设备
技术领域
本申请涉及通信领域,特别涉及一种基于云平台的互联管理方法、装置及设备。
背景技术
相关技术中,SDN控制器在第三方防火墙厂商的防火墙设备互联时,SDN控制器需要为防火墙设备和网关设备分别分配互联接口的互联信息。而防火墙设备在获取互联信息时,需要调用SDN控制器提供的互联接口API(Application Programming Interface,应用程序接口),而不同SDN控制器厂商生产的SDN控制器的互联接口API差异较大,防火墙设备需要针对不同SDN控制器的互联接口API开发相应的互联接口API,增加了互联接口API开发负担。
发明内容
本申请公开了一种基于云平台的互联管理方法、装置及设备,以由云平台通过标准API向防火墙设备和SDN设备分别发送互联接口的互联信息,减少了API的开发负担。
根据本申请实施例的第一方面,提供一种基于云平台的互联管理方法,所述云平台至少包括用于实现网络功能的网络Neutron组件,所述Neutron组件中运行三层网络L3插件和模块二层网络ML2插件,所述L3插件用于实现三层网络功能,所述ML2插件用于实现二层网络功能,该方法应用于云平台,包括:
通过所述L3插件调用所述ML2插件为已创建的互联网络中的虚拟路由器Router创建2个虚拟端口;所述2个虚拟端口中的第一虚拟端口与网关设备上第一硬件接口绑定,第二虚拟端口与防火墙设备上第二硬件接口绑定,所述网关设备和所述防火墙设备分别通过第一硬件接口和第二硬件接口互联;
通过所述ML2插件为所述第一虚拟端口绑定的第一硬件接口分配用于和所述第二硬件接口互联的第一互联信息,并通过标准应用程序接口API将所述第一互联信息发送至SDN控制器,以通过SDN控制器将所述第一互联信息下发至所述网关设备,由所述网关设备基于所述第一互联信息通过第一硬件接口与所述防火墙设备互联;
通过所述ML2插件为所述第二虚拟端口绑定的第二硬件接口分配用于和所述第一硬件接口互联的第二互联信息,并通过标准应用程序接口API将所述第二互联信息发送至防火墙设备,以由防火墙设备基于所述第二互联信息通过第二硬件接口与所述网关设备互联。
根据本申请实施例的第二方面,提供一种基于云平台的互联管理装置,所述云平台至少包括用于实现网络功能的网络Neutron组件,所述Neutron组件中运行三层网络L3插件和模块二层网络ML2插件,所述L3插件用于实现三层网络功能,所述ML2插件用于实现二层网络功能,该装置应用于云平台,包括:
虚拟端口创建单元,用于通过所述L3插件调用所述ML2插件为已创建的互联网络中的虚拟路由器Router创建2个虚拟端口;所述2个虚拟端口中的第一虚拟端口与网关设备上第一硬件接口绑定,第二虚拟端口与防火墙设备上第二硬件接口绑定,所述网关设备和所述防火墙设备分别通过第一硬件接口和第二硬件接口互联;
第一互联信息发送单元,用于通过所述ML2插件为所述第一虚拟端口绑定的第一硬件接口分配用于和所述第二硬件接口互联的第一互联信息,并通过标准应用程序接口API将所述第一互联信息发送至SDN控制器,以通过SDN控制器将所述第一互联信息下发至所述网关设备,由所述网关设备基于所述第一互联信息通过第一硬件接口与所述防火墙设备互联;
第二互联信息发送单元,用于通过所述ML2插件为所述第二虚拟端口绑定的第二硬件接口分配用于和所述第一硬件接口互联的第二互联信息,并通过标准应用程序接口API将所述第二互联信息发送至防火墙设备,以由防火墙设备基于所述第二互联信息通过第二硬件接口与所述网关设备互联。
根据本申请实施例的第三方面,提供一种电子设备,该电子设备包括:处理器和存储器;
所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如上所述的基于云平台的互联管理方法。
本申请的实施例提供的技术方案可以包括以下有益效果:
由以上技术方案可知,本申请提供的方案可以在云平台中的虚拟路由器上创建绑定网关设备上第一硬件接口的第一虚拟端口和绑定防火墙设备上第二硬件接口的第二虚拟端口,基于第一虚拟端口和第二虚拟端口分别为第一硬件接口分配第一互联信息,为第二硬件接口分配第二互联信息,通过标准应用程序接口API分别向SDN控制器和防火墙设备发送第一互联信息和第二互联信息,以在由SDN控制器将第一互联信息下发给网关设备之后,网关设备和防火墙设备可以基于接收到的第一互联信息和第二互联信息进行互联。由于本申请中云平台采用标准API发送互联信息,不需要防火墙设备针对不同SDN控制器厂商开发API,减少了API的开发负担。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1是本申请实施例提供的基于云平台的互联管理的方法流程图;
图2是本申请实施例提供的云平台中运行的插件示意图;
图3是本申请实施例提供的基于云平台的互联管理的装置示意图;
图4是本申请实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
参见图1,图1为本申请实施例提供的基于云平台的互联管理的方法流程图。作为一个实施例,图1所示的流程可以应用于云平台,比如OpenStack云平台等。如图2所示,该云平台至少包括用于实现网络功能的网络Neutron组件,所述Neutron组件中运行L3插件(Layer 3Plugin,三层网络插件)和ML2插件(Modular Layer 2Plugin,模块二层网络插件),其中L3插件用于实现云平台上的三层网络功能,ML2插件用于实现云平台上的二层网络功能。
需要说明的是,本申请实施例基于云平台的互联管理是针对网关设备和防火墙设备的互联管理,本申请实施例之所以要对网关设备和防火墙设备的互联进行管理,是因为在云平台下的虚拟机上创建的虚拟防火墙时,该虚拟防火墙功能的实现需要依据真实的防火墙设备,而虚拟机在从防火墙设备获取防火墙资源时,需要经过网关设备,因此,在网关设备和防火墙设备互联的情况下,才能在虚拟机上创建可使用的虚拟防火墙,所以对网关设备和防火墙设备的互联进行管理是有必要的。
在介绍本申请所提供的技术方案之前,下面先对本申请实施例中涉及的插件和层次化端口绑定技术进行简述:
Neutron是云平台中用于实现网络功能的核心组件。在Neutron组件中,为了实现云平台上的网络功能,将Layer 2(二层网络)/Layer 3(三层网络)/Firewall(防火墙)等网络功能分别抽象并实现为一个插件,并且不同插件可以由不同的厂商提供,由不同厂商插件配合完成整个云平台上的网络交付。下面对上述三种网络功能所抽象并实现的三种插件进行简介:
ML2插件:Neutron中将Layer 2网络功能抽象并实现为ML2插件,用于实现Layer 2网络功能,比如分配VLAN、IP地址等功能。
L3插件:Neutron中将Layer 3网络功能抽象并实现为L3插件,用于实现Layer 3网络功能,比如建立路由通道等功能。这里L3插件需要和FW(Firewall,防火墙)插件建立额外的通信通道,以指导FW插件转发报文。
FW插件:Neutron中将Firewall网络功能抽象并实现为FW插件,用于实现防火墙的网络功能。这里FW插件需要和L3插件建立额外通信通道,以接收L3插件的指令转发报文。
进一步的,为了突破VLAN(Virtual Local Area Network,虚拟局域网)网络的数量限制,Neutron中制定了用来实现计算节点VLAN接入Overlay网络(基于物理网络构建的虚拟网络)的技术规范:层次化端口绑定。层次化端口绑定是由上述ML2插件实现的,通过为虚拟机上的虚拟端口分配VXLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网),并将该虚拟端口与物理设备的网络接口绑定,进而在物理设备为网络接口分配VLAN时,将该VLAN与上述虚拟端口绑定,进而实现Overlay网络中VXLAN和实际物理网络中VLAN之间的映射。
下面结合图1对本申请实施例提供的基于云平台的互联管理的方法流程进行描述:
如图1所示,该流程可以包括以下步骤:
步骤101,通过L3插件调用ML2插件为已创建的互联网络中的虚拟路由器Router创建2个虚拟端口;上述2个虚拟端口中的第一虚拟端口与网关设备上第一硬件接口绑定,第二虚拟端口与防火墙设备上第二硬件接口绑定。
在本申请实施例之前,需要先在云平台上创建用于实现防火墙业务通信的互联网络,基于该互联网络,若在云平台中创建用于与防火墙设备进行通信的虚拟路由器Router,将触发L3插件调用ML2插件,由ML2插件在虚拟路由器Router上创建2个虚拟端口,以及若在云平台中删除用于与防火墙设备进行通信的虚拟路由器Router时,将触发L3插件调用ML2插件删除在虚拟路由器Router上创建的虚拟端口。
作为一个实施例,在通过L3插件调用ML2插件创建2个虚拟端口时,需要将L3插件配置文件中已记录的互联接口信息发送给ML2插件。其中,互联接口信息至少包括:上述已创建的互联网络的网络ID、网关设备上第一硬件接口的第一接口标识、防火墙设备上第二硬件接口的第二接口标识。本实施例中网关设备和防火墙设备可以分别通过第一硬件接口和第二硬件接口互联,而为了实现网关设备和防火墙设备互联,需要对网关设备上的第一硬件接口和防火墙设备上的第二硬件接口配置互联信息。
进一步的,通过所述ML2插件按照所述互联接口信息为所述网络ID对应的所述互联网络中的虚拟路由器Router创建与所述第一接口标识对应的第一硬件接口相绑定的第一虚拟端口,以及创建与所述第二接口标识对应的第二硬件接口相绑定的第二虚拟端口。
本申请实施例中,由于相关技术中ML2插件创建的虚拟端口的接口类型中,不包括用于防火墙设备和网关设备互联的接口的接口类型。因此,本实施例中新增了两种接口类型:用于标识网关设备侧互联接口的接口类型和用于标识防火墙设备侧互联接口的接口类型。
示例性的,以OpenStack云平台为例,本实施例所采用标准应用程序接口API可以为Neutron规范的层次化端口绑定技术中的标准API。针对该标准API,本实施例中新增的两种接口类型可以如下所示:用于标识网关设备侧互联接口的接口类型:neutron:interconn-gateway;用于标识防火墙设备侧互联接口的接口类型:neutron:interconn-firewall。
基于上述新增的接口类型,可以采用标准应用程序接口API的格式创建第一虚拟端口和第二虚拟端口,其中第一虚拟端口的接口类型为网关设备侧互联接口,第二虚拟端口的接口类型为防火墙设备侧互联接口,第一虚拟端口和第二虚拟端口的创建过程可以参照上述OpenStack云平台中标准API创建的相关技术,这里不再赘述。
需要说明的是,本申请并未改变标准应用程序接口API的字段格式,而是扩展了标准应用程序接口API中用于指示接口类型的字段的取值范围,因此上述第一虚拟接口和第二虚拟接口都属于标准API。
步骤102,通过所述ML2插件为所述第一虚拟端口绑定的第一硬件接口分配用于和所述第二硬件接口互联的第一互联信息,并通过标准应用程序接口API将所述第一互联信息发送至SDN控制器,以通过SDN控制器将所述第一互联信息下发至所述网关设备,由所述网关设备基于所述第一互联信息通过第一硬件接口与所述防火墙设备互联。
作为一个实施例,上述的第一互联信息至少包括第一硬件接口的第一接口标识、目标VLAN和第一IP地址。在上述虚拟路由器Router上的两个虚拟端口创建完成后,可以通知SDN控制器在其网络中创建一个与上述虚拟路由器Router完全一样的虚拟路由器Router,以便SDN控制器获知云平台的网络资源,基于该网络资源与云平台进行通信。
进一步的,SDN控制器在创建虚拟路由器Router之后,将基于上述SDN创建的虚拟路由器的路由器id和绑定网关设备上第一硬件接口的第一虚拟端口的接口类型,触发ML2插件通过标准应用程序接口API向SDN控制器发送第一互联信息。
本实施例中,在SDN控制器将上述第一互联信息下发给网络设备之后,网络设备可以依据第一互联信息中的第一接口标识查找到用于和防火墙设备互联的第一硬件接口,利用第一互联信息中的目标VLAN和第一IP地址配置第一硬件接口,以便使用第一硬件接口与防火墙设备互联。
步骤103,通过所述ML2插件为所述第二虚拟端口绑定的第二硬件接口分配用于和所述第一硬件接口互联的第二互联信息,并通过标准应用程序接口API将所述第二互联信息发送至防火墙设备,以由防火墙设备基于所述第二互联信息通过第二硬件接口与所述网关设备互联。
作为一个实施例,上述的第二互联信息至少包括第二硬件接口的第二接口标识、目标VLAN和第二IP地址。当云平台下的虚机上创建虚拟防火墙时,可以触发云平台上运行的用于实现防火墙功能的FW(Firewall)防火墙插件,FW插件将依据虚拟路由器的路由器id和绑定防火墙设备上第二硬件接口的第二虚拟端口的接口类型,从ML2插件处获取防火墙设备上用于与网关设备互联的第二硬件接口的第二互联信息,并通过标准应用程序接口API向防火墙设备下发第二互联信息。
示例性的,以OpenStack云平台为例,上述ML2插件发送第一互联消息和第二互联消息的标准应用程序接口API也为Neutron规范的层次化端口绑定技术中的标准API。
进一步的,防火墙设备可以依据第二互联信息中的第二接口标识查找到用于和网关设备互联的第二硬件接口,利用第二互联信息中包括的目标VLAN和第二IP地址配置第二硬件接口,以便使用第二硬件接口与网关设备互联。
可选的,上述第一互联信息和第二互联信息中的目标VLAN可以通过ML2插件已获得的记录在L3插件中的互联接口信息确定,这里L3插件中的互联接口信息中至少包括用于提供VLAN资源的物理网络Physical Network,Physical Network是在创建云平台的过程中预先配置的物理网络资源,可以用于提供VLAN资源。
上述ML2插件可以从物理网络Physical Network上划分的VLAN范围中选择一个未使用的VLAN,将选择的未使用的VLAN确定为目标VLAN,比如当Physical Network上划分的VLAN范围为0-4095,可以从该VLAN范围中选择一个未使用的VLAN,将该未使用的VLAN分配给所述第一硬件接口和所述第二硬件接口,将分配给所述第一硬件接口和所述第二硬件接口的VLAN确定为第一互联信息和第二互联信息中的目标VLAN。
需要说明的是,由于同一VLAN下的两个硬件接口可以相互通信,因此本申请中针对同一虚拟路由器上的不同虚拟端口绑定的硬件接口分配的VLAN是相同的,如上述属于同一虚拟路由器的第一虚拟端口对应的第一硬件接口,和第二虚拟端口对应的第二硬件接口被分配的VLAN都为目标VLAN,以保证网关设备和防火墙设备基于同一VLAN进行互联。
至此,完成图1所示流程。
通过图1所示的流程可以看出,本申请实施例可以在云平台中的虚拟路由器上创建绑定网关设备上第一硬件接口的第一虚拟端口和绑定防火墙设备上第二硬件接口的第二虚拟端口,基于第一虚拟端口和第二虚拟端口分别为第一硬件接口分配第一互联信息,为第二硬件接口分配第二互联信息,通过标准应用程序接口API分别向SDN控制器和防火墙设备发送第一互联信息和第二互联信息,以在由SDN控制器将第一互联信息下发给网关设备之后,网关设备和防火墙设备可以基于接收到的第一互联信息和第二互联信息进行互联。由于本申请中云平台采用标准API发送互联信息,不需要防火墙设备针对不同SDN控制器厂商开发API,减少了API的开发负担。
下面以OpenStack云平台为例,对第一虚拟端口和第二虚拟端口的格式进行描述,采用标准应用程序接口API的格式的第一虚拟端口至少包括如下内容:
Figure BDA0003152557070000101
如上第一虚拟端口的格式所示,标准应用程序接口API中用于标识第一虚拟端口的接口类型的device_owner字段,其对应的取值为上述新增的用于标识网关设备侧互联接口的接口类型:neutron:interconn-gateway;用于标识第一虚拟端口接入配置的binding:profile字段对应的取值至少包括第一硬件接口对应的第一硬件标识,这里binding:profile字段对应的取值是由本实施例自定义的;用于标识第一虚拟端口所在主机名称的binding:host_id对应的取值为上述云平台中创建的虚拟路由器的路由器id(比如路由器id为router-X时,其取值为router-X);用于标识分配给第一虚拟端口绑定的第一硬件接口的IP地址的ip_address字段的取值为ML2插件分配给第一硬件接口的IP地址。
类似的,采用标准应用程序接口API的格式的第二虚拟端口至少包括如下内容:
Figure BDA0003152557070000102
如上第一虚拟端口的格式所示,标准应用程序接口API中用于标识第一虚拟端口的接口类型的device_owner字段,其用于标识第二虚拟端口的接口类型的device_owner字段对应的取值为上述新增的用于标识网关设备侧互联接口的接口类型:neutron:interconn-firewall;用于标识第二虚拟端口接入配置的binding:profile字段对应的取值至少包括第二硬件接口对应的第二硬件标识,这里binding:profile字段对应的取值是由本实施例自定义的;用于标识第二虚拟端口所在主机名称的binding:host_id对应的取值为上述云平台中创建的虚拟路由器的路由器id(比如路由器id为router-X时,其取值为router-X),该路由器id与上述第一虚拟端口的格式中的路由器id一致;用于标识分配给第二虚拟端口绑定的第二硬件接口的IP地址的ip_address字段的取值为ML2插件分配给第二硬件接口的IP地址。
示例性的,基于上述OpenStack云平台上创建的虚拟端口,SDN控制器可以依据device_owner字段对应的取值为neutron:interconn-gateway,和binding:host_id字段对应的取值为router-X,从ML2插件中获取第一虚拟端口中携带的第一互联信息,而FW插件可以依据device_owner字段对应的取值为neutron:interconn-firewall,和binding:host_id字段对应的取值为router-X,从ML2插件中获取第二虚拟端口中携带的第二互联信息。
需要说明的是,本实施例中OpenStack平台中的ML2插件针对第一虚拟端口绑定的第一硬件接口、和第二虚拟端口绑定的第二硬件接口分配的VLAN可以依据相关技术中VLAN分配的方法,这里不再赘述。
上述基于OpenStack云平台的举例仅为了便于理解,本申请并不具体限定云平台的类型,并且,基于不同云平台,本申请实施例可以采用不同云平台对应的标准API实现。
以上对本申请实施例提供的方法进行了描述。下面对本申请实施例提供的装置进行描述:
参见图3,图3为本申请实施例提供的一种实现基于云平台的互联管理的装置示意图,所述云平台至少包括用于实现网络功能的网络Neutron组件,所述Neutron组件中运行L3插件和ML2插件,所述L3插件用于实现三层网络功能,所述ML2插件用于实现二层网络功能,该装置应用于云平台。该装置包括:
虚拟端口创建单元301,用于通过所述L3插件调用所述ML2插件为已创建的互联网络中的虚拟路由器Router创建2个虚拟端口;所述2个虚拟端口中的第一虚拟端口与网关设备上第一硬件接口绑定,第二虚拟端口与防火墙设备上第二硬件接口绑定,所述网关设备和所述防火墙设备分别通过第一硬件接口和第二硬件接口互联。
第一互联信息发送单元302,用于通过所述ML2插件为所述第一虚拟端口绑定的第一硬件接口分配用于和所述第二硬件接口互联的第一互联信息,并通过标准应用程序接口API将所述第一互联信息发送至SDN控制器,以通过SDN控制器将所述第一互联信息下发至所述网关设备,由所述网关设备基于所述第一互联信息通过第一硬件接口与所述防火墙设备互联。
第二互联信息发送单元303,用于通过所述ML2插件为所述第二虚拟端口绑定的第二硬件接口分配用于和所述第一硬件接口互联的第二互联信息,并通过标准应用程序接口API将所述第二互联信息发送至防火墙设备,以由防火墙设备基于所述第二互联信息通过第二硬件接口与所述网关设备互联。
可选的,所述虚拟端口创建单元301通过所述L3插件调用所述ML2插件创建2个虚拟端口包括:
在通过所述L3插件调用所述ML2插件时,将L3插件配置文件中已记录的互联接口信息发送给所述ML2插件,所述互联接口信息至少包括:所述互联网络的网络ID、网关设备上第一硬件接口的第一接口标识、防火墙设备上第二硬件接口的第二接口标识;
通过所述ML2插件按照所述互联接口信息为所述网络ID对应的所述互联网络中的虚拟路由器Router创建与所述第一接口标识对应的第一硬件接口相绑定的第一虚拟端口,以及创建与所述第二接口标识对应的第二硬件接口相绑定的第二虚拟端口。
可选的,所述第一互联信息至少包括第一硬件接口的第一接口标识、目标VLAN和第一IP地址;
所述第二互联信息至少包括第二硬件接口的第二接口标识、目标VLAN和第二IP地址。
可选的,所述目标VLAN通过以下步骤确定:
通过所述ML2插件已获得的记录在L3插件中的互联接口信息,所述互联接口信息至少包括用于提供VLAN资源的物理网络,从所述物理网络上划分的VLAN范围中选择一个未使用的VLAN,将该未使用的VLAN分配给所述第一硬件接口和所述第二硬件接口;其中,同一虚拟路由器Router上不同虚拟端口绑定的硬件接口被分配的VLAN是相同的;
将分配给所述第一硬件接口和所述第二硬件接口的VLAN确定为第一互联信息和第二互联信息中的目标VLAN。
可选的,所述第一虚拟端口和第二虚拟端口采用标准应用程序接口API的格式,所述第一虚拟端口的接口类型为网关设备侧互联接口,所述第二虚拟端口的接口类型为防火墙设备侧互联接口。
至此,完成图3所示装置实施例的结构图。
对应地,本申请实施例还提供了一种电子设备的硬件结构图,具体如图4所示,该电子设备可以为上述实施基于云平台的互联管理方法的设备。如图4所示,该硬件结构包括:处理器和存储器。
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如上所示的所对应的基于云平台的互联管理的方法实施例。
作为一个实施例,存储器可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,存储器可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,存储器可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
至此,完成图4所示电子设备的描述。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种基于云平台的互联管理方法,所述云平台至少包括用于实现网络功能的网络Neutron组件,所述Neutron组件中运行三层网络L3插件和模块二层网络ML2插件,所述L3插件用于实现三层网络功能,所述ML2插件用于实现二层网络功能,其特征在于,该方法应用于云平台,包括:
通过所述L3插件调用所述ML2插件为已创建的互联网络中的虚拟路由器Router创建2个虚拟端口;所述2个虚拟端口中的第一虚拟端口与网关设备上第一硬件接口绑定,第二虚拟端口与防火墙设备上第二硬件接口绑定,所述网关设备和所述防火墙设备分别通过第一硬件接口和第二硬件接口互联;
通过所述ML2插件为所述第一虚拟端口绑定的第一硬件接口分配用于和所述第二硬件接口互联的第一互联信息,并通过标准应用程序接口API将所述第一互联信息发送至SDN控制器,以通过SDN控制器将所述第一互联信息下发至所述网关设备,由所述网关设备基于所述第一互联信息通过第一硬件接口与所述防火墙设备互联;
通过所述ML2插件为所述第二虚拟端口绑定的第二硬件接口分配用于和所述第一硬件接口互联的第二互联信息,并通过标准应用程序接口API将所述第二互联信息发送至防火墙设备,以由防火墙设备基于所述第二互联信息通过第二硬件接口与所述网关设备互联。
2.根据权利要求1所述的方法,其特征在于,所述通过所述L3插件调用所述ML2插件创建2个虚拟端口包括:
在通过所述L3插件调用所述ML2插件时,将L3插件配置文件中已记录的互联接口信息发送给所述ML2插件,所述互联接口信息至少包括:所述互联网络的网络ID、网关设备上第一硬件接口的第一接口标识、防火墙设备上第二硬件接口的第二接口标识;
通过所述ML2插件按照所述互联接口信息为所述网络ID对应的所述互联网络中的虚拟路由器Router创建与所述第一接口标识对应的第一硬件接口相绑定的第一虚拟端口,以及创建与所述第二接口标识对应的第二硬件接口相绑定的第二虚拟端口。
3.根据权利要求1所述的方法,其特征在于,所述第一互联信息至少包括第一硬件接口的第一接口标识、目标VLAN和第一IP地址;
所述第二互联信息至少包括第二硬件接口的第二接口标识、目标VLAN和第二IP地址。
4.根据权利要求3所述的方法,其特征在于,所述目标VLAN通过以下步骤确定:
通过所述ML2插件已获得的记录在L3插件中的互联接口信息,所述互联接口信息至少包括用于提供VLAN资源的物理网络,从所述物理网络上划分的VLAN范围中选择一个未使用的VLAN,将该未使用的VLAN分配给所述第一硬件接口和所述第二硬件接口;其中,同一虚拟路由器Router上不同虚拟端口绑定的硬件接口被分配的VLAN是相同的;
将分配给所述第一硬件接口和所述第二硬件接口的VLAN确定为第一互联信息和第二互联信息中的目标VLAN。
5.根据权利要求1所述的方法,其特征在于,所述第一虚拟端口和第二虚拟端口采用标准应用程序接口API的格式,所述第一虚拟端口的接口类型为网关设备侧互联接口,所述第二虚拟端口的接口类型为防火墙设备侧互联接口。
6.一种基于云平台的互联管理装置,所述云平台至少包括用于实现网络功能的网络Neutron组件,所述Neutron组件中运行三层网络L3插件和模块二层网络ML2插件,所述L3插件用于实现三层网络功能,所述ML2插件用于实现二层网络功能,其特征在于,该装置应用于云平台,包括:
虚拟端口创建单元,用于通过所述L3插件调用所述ML2插件为已创建的互联网络中的虚拟路由器Router创建2个虚拟端口;所述2个虚拟端口中的第一虚拟端口与网关设备上第一硬件接口绑定,第二虚拟端口与防火墙设备上第二硬件接口绑定,所述网关设备和所述防火墙设备分别通过第一硬件接口和第二硬件接口互联;
第一互联信息发送单元,用于通过所述ML2插件为所述第一虚拟端口绑定的第一硬件接口分配用于和所述第二硬件接口互联的第一互联信息,并通过标准应用程序接口API将所述第一互联信息发送至SDN控制器,以通过SDN控制器将所述第一互联信息下发至所述网关设备,由所述网关设备基于所述第一互联信息通过第一硬件接口与所述防火墙设备互联;
第二互联信息发送单元,用于通过所述ML2插件为所述第二虚拟端口绑定的第二硬件接口分配用于和所述第一硬件接口互联的第二互联信息,并通过标准应用程序接口API将所述第二互联信息发送至防火墙设备,以由防火墙设备基于所述第二互联信息通过第二硬件接口与所述网关设备互联。
7.根据权利要求6所述的装置,其特征在于,所述虚拟端口创建单元通过所述L3插件调用所述ML2插件创建2个虚拟端口包括:
在通过所述L3插件调用所述ML2插件时,将L3插件配置文件中已记录的互联接口信息发送给所述ML2插件,所述互联接口信息至少包括:所述互联网络的网络ID、网关设备上第一硬件接口的第一接口标识、防火墙设备上第二硬件接口的第二接口标识;
通过所述ML2插件按照所述互联接口信息为所述网络ID对应的所述互联网络中的虚拟路由器Router创建与所述第一接口标识对应的第一硬件接口相绑定的第一虚拟端口,以及创建与所述第二接口标识对应的第二硬件接口相绑定的第二虚拟端口。
8.根据权利要求6所述的装置,其特征在于,所述第一互联信息至少包括第一硬件接口的第一接口标识、目标VLAN和第一IP地址;
所述第二互联信息至少包括第二硬件接口的第二接口标识、目标VLAN和第二IP地址。
9.根据权利要求8所述的装置,其特征在于,所述目标VLAN通过以下步骤确定:
通过所述ML2插件已获得的记录在L3插件中的互联接口信息,所述互联接口信息至少包括用于提供VLAN资源的物理网络,从所述物理网络上划分的VLAN范围中选择一个未使用的VLAN,将该未使用的VLAN分配给所述第一硬件接口和所述第二硬件接口;其中,同一虚拟路由器Router上不同虚拟端口绑定的硬件接口被分配的VLAN是相同的;
将分配给所述第一硬件接口和所述第二硬件接口的VLAN确定为第一互联信息和第二互联信息中的目标VLAN。
10.一种电子设备,其特征在于,该电子设备包括:处理器和存储器;
所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如权利要求1到5任一项所述的方法。
CN202110767793.XA 2021-07-07 2021-07-07 一种基于云平台的互联管理方法、装置及设备 Active CN113472799B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110767793.XA CN113472799B (zh) 2021-07-07 2021-07-07 一种基于云平台的互联管理方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110767793.XA CN113472799B (zh) 2021-07-07 2021-07-07 一种基于云平台的互联管理方法、装置及设备

Publications (2)

Publication Number Publication Date
CN113472799A true CN113472799A (zh) 2021-10-01
CN113472799B CN113472799B (zh) 2023-04-07

Family

ID=77879170

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110767793.XA Active CN113472799B (zh) 2021-07-07 2021-07-07 一种基于云平台的互联管理方法、装置及设备

Country Status (1)

Country Link
CN (1) CN113472799B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553492A (zh) * 2022-01-25 2022-05-27 杭州迪普科技股份有限公司 基于云平台的操作请求处理方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140123135A1 (en) * 2012-10-28 2014-05-01 Citrix Systems, Inc. Network offering in cloud computing environment
CN106411785A (zh) * 2015-08-03 2017-02-15 上海宽带技术及应用工程研究中心 基于全OPENFLOW物理交换机网络的Openstack网络系统及实现方法
CN107357660A (zh) * 2017-07-06 2017-11-17 华为技术有限公司 一种虚拟资源的分配方法及装置
CN110417774A (zh) * 2019-07-26 2019-11-05 苏州浪潮智能科技有限公司 一种sdn网络中安全资源管控方法和装置
CN111083160A (zh) * 2019-12-27 2020-04-28 杭州迪普科技股份有限公司 资源信息恢复方法及装置
CN111224821A (zh) * 2019-12-31 2020-06-02 北京山石网科信息技术有限公司 安全服务部署系统、方法及装置
CN112968879A (zh) * 2021-02-01 2021-06-15 浪潮思科网络科技有限公司 一种实现防火墙管理的方法及设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140123135A1 (en) * 2012-10-28 2014-05-01 Citrix Systems, Inc. Network offering in cloud computing environment
CN106411785A (zh) * 2015-08-03 2017-02-15 上海宽带技术及应用工程研究中心 基于全OPENFLOW物理交换机网络的Openstack网络系统及实现方法
CN107357660A (zh) * 2017-07-06 2017-11-17 华为技术有限公司 一种虚拟资源的分配方法及装置
CN110417774A (zh) * 2019-07-26 2019-11-05 苏州浪潮智能科技有限公司 一种sdn网络中安全资源管控方法和装置
CN111083160A (zh) * 2019-12-27 2020-04-28 杭州迪普科技股份有限公司 资源信息恢复方法及装置
CN111224821A (zh) * 2019-12-31 2020-06-02 北京山石网科信息技术有限公司 安全服务部署系统、方法及装置
CN112968879A (zh) * 2021-02-01 2021-06-15 浪潮思科网络科技有限公司 一种实现防火墙管理的方法及设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
黄志兰等: "云资源池集成虚拟防火墙方案及关键技术", 《电信科学》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553492A (zh) * 2022-01-25 2022-05-27 杭州迪普科技股份有限公司 基于云平台的操作请求处理方法及装置
CN114553492B (zh) * 2022-01-25 2023-07-07 杭州迪普科技股份有限公司 基于云平台的操作请求处理方法及装置

Also Published As

Publication number Publication date
CN113472799B (zh) 2023-04-07

Similar Documents

Publication Publication Date Title
US11658936B2 (en) Resizing virtual private networks in provider network environments
CN111066301B (zh) 用于强制执行统一全局策略的方法、系统及存储介质
US10374949B2 (en) Linking resource instances to virtual network in provider network environments
US10063470B2 (en) Data center network system based on software-defined network and packet forwarding method, address resolution method, routing controller thereof
EP2648370B1 (en) Location-Aware Virtual Service Provisioning in a Hybrid Cloud Environment
US7346909B1 (en) Network-like communication and stack synchronization for different virtual machines on the same physical device
CN111885075A (zh) 容器通信方法、装置、网络设备及存储介质
US11064017B2 (en) Peripheral device enabling virtualized computing service extensions
CN112688814B (zh) 一种设备接入方法、装置、设备及机器可读存储介质
CN111556110B (zh) 一种用于私有云系统的不同物理业务网络自动化适配方法
US11520530B2 (en) Peripheral device for configuring compute instances at client-selected servers
CN112910917B (zh) 网络隔离方法、装置、设备及可读存储介质
CN111756629B (zh) 设备接入overlay网络及通信的方法、装置、设备、网络及介质
CN115604272B (zh) 负载均衡方法、装置、系统及系统创建方法及设备和介质
CN106685860B (zh) 网络虚拟化方法及设备
CN107517129B (zh) 一种基于OpenStack配置设备上行接口的方法和装置
CN113472799B (zh) 一种基于云平台的互联管理方法、装置及设备
CN107547258B (zh) 一种网络策略的实现方法和装置
CN105721487A (zh) 信息处理方法及电子设备
CN107547247B (zh) 智能弹性架构中的三层管理网ip地址分配方法和装置
CN114071488B (zh) 策略配置方法、装置、设备及存储介质
US7568216B2 (en) Methods for defining and naming iSCSI targets using volume access and security policy
CN113347285B (zh) 一种管理ip地址的自动分配方法、装置及设备
WO2017215483A1 (zh) 一种组网系统、网络共享方法和系统
CN113328942B (zh) 一种配置下发方法及装置、计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant