CN114006764A

CN114006764A - 一种基于超融合系统的安全网元的部署方法和装置

Info

Publication number: CN114006764A
Application number: CN202111287937.8A
Authority: CN
Inventors: 张朝潞
Original assignee: Beijing Topsec Technology Co Ltd; Beijing Topsec Network Security Technology Co Ltd; Beijing Topsec Software Co Ltd
Current assignee: Beijing Topsec Technology Co Ltd; Beijing Topsec Network Security Technology Co Ltd; Beijing Topsec Software Co Ltd
Priority date: 2021-11-02
Filing date: 2021-11-02
Publication date: 2022-02-01
Anticipated expiration: 2041-11-02
Also published as: CN114006764B

Abstract

本申请实施例提供一种基于超融合系统的安全网元的部署方法和装置，该部署方法包括：获取多个网络跳数、多个可用网络带宽和多个网络延迟；根据多个网络跳数中每个网络跳数及其对应的可用网络带宽，计算多个带宽开销；根据每个网络跳数及其对应的网络延迟，计算多个延迟开销；根据多个带宽开销和多个延迟开销，从多个物理服务器中选取目标物理服务器，其中，目标物理服务器用于部署与源安全网元通信的目标安全网元。借助于上述技术方案，本申请实施例能够有效提高超融合系统的使用效率。

Description

一种基于超融合系统的安全网元的部署方法和装置

技术领域

本申请涉及计算机技术领域，尤其涉及一种基于超融合系统的安全网元的部署方法和装置。

背景技术

超融合系统是基于通用服务器，融合计算、存储、网络和安全等多种资源，在安全方面比较常用的方式是将原本物理的安全设备，通过虚拟化方式转化成安全网元的形式。以及，超融合系统通过管理虚拟的安全网元的生命周期，为系统本身和用户提供安全能力。

目前，现有的安全网元的部署方法通常是按照负载均衡的方式来进行部署的。

但是，在实现本发明的过程中，发明人发现现有技术中存在如下问题：现有的安全网元的部署方法容易导致超融合系统的使用效率不高的问题。例如，在按照负载均衡的方式进行安全网元的部署后，两个安全网元之间的通信需要经过较长的网络路径，从而导致对超融合系统的网络资源消耗比较大，进而引起了超融合系统的使用效率不高的问题。

发明内容

本申请实施例的目的在于提供一种基于超融合系统的安全网元的部署方法和装置，以解决现有技术中存在着的超融合系统的使用效率不高的问题。

第一方面，本申请实施例提供了一种基于超融合系统的安全网元的部署方法，超融合系统包括多个物理服务器，多个物理服务器包括部署有源安全网元的源物理服务器，部署方法包括：获取多个网络跳数、多个可用网络带宽和多个网络延迟；其中，多个网络跳数表示源物理服务器和多个物理服务器中每个物理服务器之间的网络跳数，多个可用网络带宽表示源物理服务器和每个物理服务器之间的可用网络带宽，多个网络延迟表示源物理服务器和每个物理服务器之间的网络延迟；根据多个网络跳数中每个网络跳数及其对应的可用网络带宽，计算多个带宽开销；根据每个网络跳数及其对应的网络延迟，计算多个延迟开销；根据多个带宽开销和多个延迟开销，从多个物理服务器中选取目标物理服务器，其中，目标物理服务器用于部署与源安全网元通信的目标安全网元。

借助于上述技术方案，相比于现有的部署方法，本申请实施例通过网络的带宽和延迟两个维度的数据来确定目标物理服务器，从而能够解决安全网元带来的带宽占用，还能够尽可能的减少网络路径，从而能够最大限度地降低网络资源的开销，进而能够有效提高超融合系统的使用效率。

在一个可能的实施例中，安全网元的多种类型中每种类型均对应有一个带宽敏感系数；

其中，根据多个网络跳数中每个网络跳数及其对应的可用网络带宽，计算多个带宽开销，包括：确定目标安全网元的类型；根据目标安全网元的类型，确定目标安全网元的类型对应的目标带宽敏感系数；计算目标带宽敏感系数、当前网络跳数和当前网络跳数对应的可用网络带宽的第一乘积值，并将第一乘积值作为当前带宽开销。

在一个可能的实施例中，安全网元的多种类型中每种类型均对应有一个延迟敏感系数；

其中，根据每个网络跳数及其对应的网络延迟，计算多个延迟开销，包括：确定目标安全网元的类型；根据目标安全网元的类型，确定目标安全网元的类型对应的目标延迟敏感系数；计算目标延迟敏感系数、当前网络跳数和当前网络跳数对应的网络延迟的第二乘积值，并将第二乘积值作为当前延时开销。

在一个可能的实施例中，安全网元的类型包括代理类型、旁路类型和管理类型。

在一个可能的实施例中，获取多个可用网络带宽的过程，包括：通过查询预先构建的网络带宽量化表，获取当前网络跳数对应的网络路径，其中，网络带宽量化表用于记录超融合系统中任意两个设备之间的可用网络带宽，网络路径为从源物理服务器到当前物理服务器的网络路径；根据网络路径，从网络带宽量化表中查找与网络路径匹配的至少一个可用网络带宽，其中，至少一个可用网络带宽中每个可用网络带宽为网络路径中两个直连的设备之间的可用网络带宽；将至少一个可用网络带宽中最小的可用网络带宽作为源物理服务器和当前物理服务器之间的可用网络带宽。

在一个可能的实施例中，获取多个网络延迟的过程，包括：通过查询预先构建的网络延迟量化表，获取当前网络跳数对应的网络路径，其中，网络延迟量化表用于记录超融合系统中任意两个设备之间的网络延迟，网络路径为从源物理服务器到当前物理服务器的网络路径；根据网络路径，从网络延迟量化表中查找与网络路径匹配的至少一个网络延迟，其中，至少一个网络延迟中每个网络延迟为网络路径中两个直连的设备之间的网络延迟；将至少一个网络延迟中所有网络延迟的和值作为源物理服务器和当前物理服务器之间的网络延迟。

第二方面，本申请实施例提供了一种基于超融合系统的安全网元的部署装置，超融合系统包括多个物理服务器，多个物理服务器包括部署有源安全网元的源物理服务器，部署装置包括：获取模块，用于获取多个网络跳数、多个可用网络带宽和多个网络延迟；其中，多个网络跳数表示源物理服务器和多个物理服务器中每个物理服务器之间的网络跳数，多个可用网络带宽表示源物理服务器和每个物理服务器之间的可用网络带宽，多个网络延迟表示源物理服务器和每个物理服务器之间的网络延迟；计算模块，用于根据多个网络跳数中每个网络跳数及其对应的可用网络带宽，计算多个带宽开销；计算模块，还用于根据每个网络跳数及其对应的网络延迟，计算多个延迟开销；选取模块，用于根据多个带宽开销和多个延迟开销，从多个物理服务器中选取目标物理服务器，其中，目标物理服务器用于部署与源安全网元通信的目标安全网元。

计算模块，具体用于：确定目标安全网元的类型；根据目标安全网元的类型，确定目标安全网元的类型对应的目标带宽敏感系数；计算目标带宽敏感系数、当前网络跳数和当前网络跳数对应的可用网络带宽的第一乘积值，并将第一乘积值作为当前带宽开销。

计算模块，还具体用于：确定目标安全网元的类型；根据目标安全网元的类型，确定目标安全网元的类型对应的目标延迟敏感系数；计算目标延迟敏感系数、当前网络跳数和当前网络跳数对应的网络延迟的第二乘积值，并将第二乘积值作为当前延时开销。

在一个可能的实施例中，获取模块，具体用于：通过查询预先构建的网络带宽量化表，获取当前网络跳数对应的网络路径，其中，网络带宽量化表用于记录超融合系统中任意两个设备之间的可用网络带宽，网络路径为从源物理服务器到当前物理服务器的网络路径；根据网络路径，从网络带宽量化表中查找与网络路径匹配的至少一个可用网络带宽，其中，至少一个可用网络带宽中每个可用网络带宽为网络路径中两个直连的设备之间的可用网络带宽；将至少一个可用网络带宽中最小的可用网络带宽作为源物理服务器和当前物理服务器之间的可用网络带宽。

在一个可能的实施例中，获取模块，具体用于：通过查询预先构建的网络延迟量化表，获取当前网络跳数对应的网络路径，其中，网络延迟量化表用于记录超融合系统中任意两个设备之间的网络延迟，网络路径为从源物理服务器到当前物理服务器的网络路径；根据网络路径，从网络延迟量化表中查找与网络路径匹配的至少一个网络延迟，其中，至少一个网络延迟中每个网络延迟为网络路径中两个直连的设备之间的网络延迟；将至少一个网络延迟中所有网络延迟的和值作为源物理服务器和当前物理服务器之间的网络延迟。

第三方面，本申请实施例提供了一种存储介质，该存储介质上存储有计算机程序，该计算机程序被处理器运行时执行第一方面或第一方面的任一可选的实现方式所述的方法。

第四方面，本申请实施例提供了一种电子设备，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当所述电子设备运行时，所述处理器与所述存储器之间通过总线通信，所述机器可读指令被所述处理器执行时执行第一方面或第一方面的任一可选的实现方式所述的方法。

第五方面，本申请提供一种计算机程序产品，所述计算机程序产品在计算机上运行时，使得计算机执行第一方面或第一方面的任意可能的实现方式中的方法。

为使本申请实施例所要实现的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了现有技术中的一种超融合系统的示意图；

图2示出了本申请实施例提供的一种基于超融合系统的安全网元的部署方法的流程图；

图3示出了本申请实施例提供的一种获取网络路径的方法的流程图；

图4示出了本申请实施例提供的一种基于超融合系统的安全网元的部署装置的结构框图；

图5示出了本申请实施例提供的一种电子设备的结构框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

目前，为了实现超融合系统环境的安全，通常是多个安全网元的协同合作，每个安全网元可通过IP网络或者服务链完成流量的转发或者分发到下一个网元。

请参见图1，图1示出了现有技术中的一种超融合系统的示意图。如图1所示，该超融合系统包括路由器、交换机A、交换机B、物理服务器A、物理服务器B、物理服务器C和物理服务器D。

这里需要说明的是，如图1中的超融合集群是将物理服务器的计算、存储和网络资源抽象成资源池，并将资源池划分为更小粒度的安全网元给客户使用。其中，安全网元可以是虚拟机(Virtual Machine，VM)等，即安全网元的具体形式可根据需求来进行设置，本申请实施例并不局限于此。例如，安全网元可以是防火墙，也可以是WAF(即Web应用防火墙)等。

继续参见图1，网站Web是最终的应用程序，并通过防火墙和WAF对网站Web应用程序进行安全防护。

以及，如图1所示，超融合系统按照负载均衡的模式，可将虚拟机部署如下：防火墙VM部署在物理服务器A上；WAF的VM部署在物理服务器C上；两台相同的网站Web VM分别部署在物理服务器B和物理服务器D上。

从而，在上述部署方式的基础上，防火墙VM接收到访问网站的流量后，执行完防火墙的安全策略后，将合法的流量转发给WAF，WAF执行完应用层策略后，再根据请求的地址，转发给对应的网站Web VM。

但是，按照现有的部署方法部署后，其存在着占用网络带宽和网络路径比较长的问题。

例如，如图1中的逻辑流量1对应的真实的流量路径是由防火墙VM到物理服务器A，然后再由物理服务器A到交换机A，然后再由交换机A到物理服务器C，最后再由物理服务器C到WAF VM；如图1中的一个逻辑流量2对应的真实的流量路径是由WAF VM到物理服务器C，然后再由物理服务器C到交换机A，然后再由交换机A到路由器，然后再由路由器到交换机B，然后由交换机B到物理服务器D，最后由物理服务器D到网站Web VM。如上所示，一个网络请求需要经过的网络路径是非常长的，从而对系统的网络资源消耗很大，进而导致了请求的延迟也非常大。

此外，当超融合系统的网络出现局部拥塞时，网络请求将进一步造成网络拥塞，从而可能导致超融合系统无法继续提供服务的情况，即其存在着无法自适应调整流量以及容易出现雪崩的情况。

例如，如图1所示，在物理服务器A的网络负载过高，网络请求堆积在物理服务器A上，就算网站Web VM都很空闲，对外服务的质量也将会下降。

基于此，本申请实施例提供了一种基于超融合系统的安全网元的部署方案，通过获取多个网络跳数、多个可用网络带宽和多个网络延迟；其中，多个网络跳数表示源物理服务器和多个物理服务器中每个物理服务器之间的网络跳数，多个可用网络带宽表示源物理服务器和每个物理服务器之间的可用网络带宽，多个网络延迟表示源物理服务器和每个物理服务器之间的网络延迟，随后根据多个网络跳数中每个网络跳数及其对应的可用网络带宽，计算多个带宽开销，随后根据每个网络跳数及其对应的网络延迟，计算多个延迟开销，最后根据多个带宽开销和多个延迟开销，从多个物理服务器中选取目标物理服务器，其中，目标物理服务器用于部署与源安全网元通信的目标安全网元。

为了便于理解本申请实施例，下面对本申请涉及的一些术语进行解释如下：

“代理类型”：它可以是指用于转发数据的安全网元。

例如，防火墙、WAF、虚拟专用网络(Virtual Private Network，VPN)和数据防泄漏等。

“旁路类型”：它可以是指用于审计流量数据的安全网元。

例如，网络审计、漏洞扫描、数据库审计和日志审计等。

“管理类型”：它可以是指对转发的数据和需要审计的流量数据进行管理的安全网元。

例如，基线安全和安全管理平台等。

请参见图2，图2示出了本申请实施例提供的一种基于超融合系统的安全网元的部署方法的流程图。应理解，如图2所示的部署方法可以是由基于超融合系统的安全网元的部署装置执行，并且该部署装置可以是图4所示的基于超融合系统的安全网元的部署装置。以及，该部署装置的具体装置可根据实际需求来进行设置，例如，该部署装置可以是超融合系统中的控制服务器等。具体地，该超融合系统包括多个物理服务器，多个物理服务器包括部署有源安全网元的源物理服务器，该部署方法包括：

步骤S210，获取多个网络跳数、多个可用网络带宽和多个网络延迟。其中，多个网络跳数表示源物理服务器和多个物理服务器中每个物理服务器之间的网络跳数，多个可用网络带宽表示源物理服务器和每个物理服务器之间的可用网络带宽，多个网络延迟表示源物理服务器和每个物理服务器之间的网络延迟。

这里需要说明的是，本申请实施例的安全网元的部署方法的触发条件可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，目标安全网元可以是待创建的新的安全网元。

再例如，在系统确定整体网络负载带宽超过预设值的情况下，该目标安全网元可以是由超融合系统自动触发的从安全网元中选择出的待迁移的安全网元。其中，预设值可根据实际需求来进行设置，例如，预设值可以为60％。

也就是说，本申请实施例中的部署方法可以是根据客户的业务需求进行的，也可以是通过判断预设值的方案来自动进行规划的，本申请实施例并不局限于此。

应理解，该超融合系统中的物理服务器的具体数量可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，该超融合系统可包含5个物理服务器。

还应理解，获取多个网络跳数、多个可用网络带宽和多个网络延迟的具体过程可根据实际需求来进行设置，本申请实施例并不局限于此。

可选地，可计算超融合系统中的任意两个设备(例如，路由器和交换机；再例如，交换机和物理服务器等)之间的可用网络带宽，并可根据计算获得的多个可用网络带宽，构建用于记录超融合系统中任意两个设备之间的可用网络带宽的网络带宽量化表。其中，该网络带宽量化表的首行可以是超融合系统中的各个设备，以及该网络带宽量化表的首列也可以是超融合系统中的各个设备，从而某行和某列的交点可以是对应的两个设备的可用网络带宽。

应理解，计算可用网络带宽的具体方法可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，当两个设备通过网线接通时，可以两个设备协商的网络带宽数值为基数，再根据预设时间内的平均带宽占用百分比，来计算可用带宽，具体地：可用网络带宽＝带宽基数×(1-平均带宽占用百分比)。其中，预设时间的具体时间段可根据实际需求来进行设置，本申请实施例并不局限于此。

这里还需要说明的是，由于网络中是存在波动等情况下，故网络带宽量化表中的可用网络带宽也是可以进行实时动态更新的。

以及，在构建好网络带宽量化表的情况下，可通过查询预先构建的网络带宽量化表，当前网络跳数对应的网络路径(或者说，获取源物理设备和当前物理服务器之间的网络路径)，随后，可根据网络路径，从网络带宽量化表中查找与网络路径匹配的至少一个可用网络带宽。其中，至少一个可用网络带宽中每个可用网络带宽为网络路径中两个直连的设备之间的可用网络带宽，最后可将至少一个可用网络带宽中最小的可用网络带宽作为源物理服务器和当前物理服务器之间的可用网络带宽。

应理解，获取源物理设备和当前物理服务器之间的网络路径的方法可根据实际需求来进行设置，本申请实施例并不局限于次。

可选地，请参见图3，图3示出了本申请实施例提供的一种获取网络路径的方法的流程图。如图3所示的方法包括：

步骤S310，从表中查询当前设备所在的行。

应理解，当前设备可以是源物理服务器，也可以是通过一轮查找流程确定出的最大的可用网络带宽的表头对应的设备。

步骤S320，判断该行是否可直达当前物理服务器。其中，当前物理服务器可以是多个服务器中的一个服务器。

若可直达当前物理服务器，则执行步骤S350；若不可直达当前物理服务器，则可执行步骤S330。

步骤S330，在该行中查找除自身外的可用网络带宽的最大值。

步骤S340，将最大值对应的表头对应的设备设置成当前设备，并返回步骤S310。

步骤S350，结束。

这里需要说明的是，虽然图3是以网络带宽量化表为例来进行描述的，但本领域的技术人员应当理解，其还可通过后续描述的预先构建的网络延迟量化表来确定网路路径，只需要将步骤S330修改成“在该行中查找除自身外的网路延迟的最小值”，以及将步骤S340修改成“将最小值对应的表头对应的设备设置成当前设备”即可，本申请实施例并不局限于此。

此外，还可计算超融合系统中的任意两个设备之间的网络延迟，并可根据计算获得的多个网络延迟，构建用于记录所述超融合系统中任意两个设备之间的网络延迟的网络延迟量化表。其中，该网络延迟量化表的首行可以是超融合系统中的各个设备，以及该网络带宽量化表的首列也可以是超融合系统中的各个设备，从而某行和某列的交点可以是对应的两个设备的网络延迟。

应理解，计算网络延迟的具体方法可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，可获取系统采集的每分钟的设备到设备之间的网络延迟数字，并在量化的过程中，采用加权平均值的算法来进行计算。其中，时间距离现在越近，权重值就可越大。具体地：

Y＝∑(k₁a₁,k₂a₂,......,k_na_n)；

其中，Y表示网络延迟，k_n表示第n次采集的网络延迟对应的系数，a_n表示第n次采集的网络延迟。

这里还需要说明的是，由于网络中是存在波动等情况下，故网络延迟量化表中的网络延迟也是可以进行实时动态更新的。

以及，在构建好网络延迟量化表的情况下，通过查询预先构建的网络延迟量化表，获取当前网络跳数对应的网络路径，随后可根据网络路径，从网络延迟量化表中查找与网络路径匹配的至少一个网络延迟，其中，至少一个网络延迟中每个网络延迟为网络路径中两个直连的设备之间的网络延迟，最后将至少一个网络延迟中所有网络延迟的和值作为源物理服务器和当前物理服务器之间的网络延迟。

步骤S220，根据多个网络跳数中每个网络跳数及其对应的可用网络带宽，计算多个带宽开销。

应理解，根据多个网络跳数中每个网络跳数及其对应的可用网络带宽，计算多个带宽开销的具体过程可根据实际需求来进行设置，本申请实施例并不局限于此。

这里需要说明的是，为了便于理解步骤S220，下面以多个物理设备中一个物理设备相关的数据进行描述，其他的物理服务器过程是类似的，后续不再赘述。

可选地，在获取到由源物理服务器到当前服务器之间的网络跳数的情况下，可获取到源物理服务器到当前服务器之间的可用网络带宽。

此外，本申请实施例可对安全网元进行分类，即可将安全网元分为代理类型、旁路类型和管理类型，并且可为每种类型的安全网元设置对应的带宽敏感系数。

应理解，每种类型的安全网元对应的带宽敏感系数的具体值可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，对于代理类型来说，其对应的带宽敏感系数可以为0.5。

再例如，对于旁路类型来说，其对应的带宽敏感系数可以为0.9。

再例如，对于管理类型来说，其对应的带宽敏感系数可以为0.2。

随后，可确定目标安全网元的类型，随后根据目标安全网元的类型，确定目标安全网元的类型对应的目标带宽敏感系数，最后计算目标带宽敏感系数、当前网络跳数和当前网络跳数对应的可用网络带宽的第一乘积值，并将第一乘积值作为当前带宽开销。

步骤S230，根据每个网络跳数及其对应的网络延迟，计算多个延迟开销。

应理解，根据每个网络跳数及其对应的网络延迟，计算多个延迟开销的具体过程可根据实际需求来进行设置，本申请实施例并不局限于此。

这里需要说明的是，为了便于理解步骤S230，下面以多个物理设备中一个物理设备相关的数据进行描述，其他的物理服务器过程是类似的，后续不再赘述。

可选地，在获取到由源物理服务器到当前服务器之间的网络跳数的情况下，可获取到源物理服务器到当前服务器之间的网络延迟。

此外，本申请实施例也可为每种类型的安全网元设置对应的延迟敏感系数。

应理解，每种类型的安全网元对应的延迟敏感系数的具体值可根据实际需求来进行设置，只要保证同一种类型的带宽敏感系数和延迟敏感系数的和为1即可，本申请实施例并不局限于此。

例如，对于代理类型来说，其对应的延迟敏感系数可以为0.5。

再例如，对于旁路类型来说，其对应的延迟敏感系数可以为0.1。

再例如，对于管理类型来说，其对应的延迟敏感系数可以为0.8。

随后，可确定目标安全网元的类型，随后根据目标安全网元的类型，确定目标安全网元的类型对应的目标延迟敏感系数，最后计算目标延迟敏感系数、当前网络跳数和当前网络跳数对应的网络延迟的第二乘积值，并将第二乘积值作为当前延时开销。

步骤S240，根据多个带宽开销和多个延迟开销，从多个物理服务器中选取目标物理服务器。其中，目标物理服务器用于部署与源安全网元通信的目标安全网元。

应理解，根据多个带宽开销和多个延迟开销，从多个物理服务器中选取目标物理服务器的具体过程可根据实际需求来进行设置，本申请实施例并不局限于此。

例如，可利用加权算法，对带宽开销及其对应的延迟开销进行加权计算，以获取网络开销。随后，可根据网络开销，从多个物理服务器中选取目标物理服务器。

这里需要说明的是，在源物理服务器具有足够的资源的情况下，目标物理服务器和源物理服务器可以是同一个服务器；在源物理服务器没有足够的资源的情况下，目标物理服务器和源物理服务器可以不是同一个服务器。

因此，考虑到代理类型的安全网元和旁路类型的安全网络的网络流量比较大，故可通过上述方法，进行合理的网络规划，以最大限度的降低网络资源的开销，从而能够提升超融合系统的使用效率。

此外，基于监控系统上报的数据，可动态更新网络带宽量化表和网络延迟量化表，并且其所需要的系统资源很小，从而能够实现重新规划和动态调整安全网元的布局，进而能够提升超融合系统的整体效率，避免环境局部拥塞的情况。

为了便于理解本申请实施例，下面通过具体的实施例来进行描述。

这里需要说明的是，下面的实施例是为了实现对图1中的WAF的重新部署。

具体地，在图1所示的超融合系统的结构的基础上，本申请实施例可预先构建如下表1所示的网络带宽量化表和如下表2所示的网络延迟量化表。

表1

对于表1中的数据，如B_SwA-R，其中SwA表示交换机A，R表示路由器，整体是表示交换机A到路由器的点对点链路的可用网络带宽数值；如B_SC-SwA，其中SC表示服务器C，整体表示从服务器C到交换机A点对点的链路的可用网络带宽数值；B_max表示同一服务器内网络交换的性能；-INF表示负的最大值，代表网络不能点到点直达。

表2

对于表2中的数据，如D_R-SwA，其中SwA表示交换机A，R表示路由器，整体是表示交换机A到路由器点对点链路的网络延迟值；如D_SC-SwA，其中SC表示服务器C，整体表示从服务器C到交换机A点对点的链路的网络延迟值；0表示同一服务器内网络交换延迟开销非常小；INF表示正的最大值，表示网络不能点到点直达。

在预先构建有上述表1和表2的情况下，可通过表2获取由物理服务器A(即源物理服务器)到多个物理服务器中的任意一个服务器的网络路径。

为了便于理解，下面以由物理服务器A到物理服务器D为例来进行描述。

具体地，第一次遍历查找：找到物理服务器A所在的行，发现物理服务器A与物理服务器D的交汇单元格的值为INF，表示不可直达。于是找与路由器、交换机A、交换机B的交汇单元格的最小值，最终找到与交换机A交汇的值最小；

第二次遍历查找：基于第一次找到的交换机A，找到交换机A所在的行，发现交换机A与物理服务器D的交汇单元格的值为INF，表示不可直达。于是找与路由器、交换机B的交汇单元格的最小值，最终找到路由器交汇的值最小；

第三次遍历查找：基于第二次找到的路由器，找到路由器所在的行，发现路由器与物理服务器D的交汇单元格的值为INF，表示不可直达。于是找交换机B的交汇单元，仅有这一条路径，自然为最小值；

第四次遍历查找：基于第三次找到的交换机B，找到交换机B，发现路由器与物理服务器D的交汇单元格是有效值。于是完成查表，确定了网络路径。

随后，可通过表1，计算出服务器A到服务器D的可用网络带宽：

B_SA-SD＝MIN(B_SA-SwA，B_SwA-R，B_R-SwB，B_SwB-SD)；

其中，MIN表示最小值，即取所经过的网络路径中点到点之间最小的可用带宽值。

以及，可通过表2，计算出服务器A到服务器D的可用网络延迟值：

D_SA-SD＝SUM(D_SA-SwA，D_SwA-R，D_R-SwB，D_SwB-SD)；

其中，SUM表示取和，即取所经过的网络路径中点到点之间的延迟之和。

这里需要说明的是，上面是以服务器A到服务器D为例来进行描述的，但本领域的技术人员应当理解，其他的物理服务器也可参照上述过程，本申请实施例并不局限于此。

此外，对比表1和表2可以确定，表格结构是相同的，只是数值不同，而在网络资源消耗，网络跳数也是非常重要的衡量指标。

另外，超融合系统在调度安全网元时，采用局部最优方法，最终达到全局最优，避免过于复杂的计算。以图1为例，调度防火墙网元时，超融合系统选择综合负载低的物理服务器运行防火墙网元(假设为物理服务器A)。再次调度WAF网元时，计算以下4中情况：

调度到物理服务器A：带宽开销和延迟开销均为0；

调度到物理服务器B：带宽开销Rb＝m×L_SA-SB×B_SA-SB；延迟开销Rd＝n×L_SA-SB×B_SA-SB；其中，m为带宽敏感系数，n为延迟敏感系数；

调度到物理服务器C：带宽开销Rb＝m×L_SA-SC×B_SA-SC；延迟开销Rd＝n×L_SA-SC×D_SA-SC；

调度到物理服务器D：带宽开销Rb＝m×L_SA-SD×B_SA-SD；延迟开销Rd＝n×L_SA-SD×D_SA-SD。

从而，可以推算，物理服务器A部署WAF网元网络开销(网络流量开销)即为0，故其为最优先选择，并且此时缩短了网络路径，节省了集群网络资源，提升网站web服务质量。

但是，当超融合调度系统发现物理服务器A没有足够的资源，即从物理服务器B、物理服务器C和物理服务器D中，通过选择排序方式，挑选最合适的物理服务器承载WAF网元。

此外，表1和表2的数据是基于监控系统的数据实时更新，以获得更加准确的完成安全网元调度。当监控系统上报网络拥塞时，将拥塞的设备进行二次调度，以缓解拥塞的设备。

例如，如图1所示，当监控上报交换机A发生网络拥塞时，将重新触发计算防火墙网元的位置，进而再将WAF网元随着防火墙网元位置再次重新计算其调度位置。在安全网元调整位置时，采用超融合系统的虚拟机在线迁移技术，在业务无感知的情况下，完成网络路径的重新规划。

这里需要说明的是，虽然上面是以先获取网络路径再获取对应的可用网络带宽或者网络延迟为例来进行描述的，但在实际过程中，通过查询网络路径的过程中，就可获取对应的可用网络带宽或者网络延迟，本申请实施例并不局限于此。

应理解，上述基于超融合系统的安全网元的部署方法仅是示例性的，本领域技术人员根据上述的方法可以进行各种变形，修改或变形之后的内容也在本申请保护范围内。

请参见图4，图4示出了本申请实施例提供的一种基于超融合系统的安全网元的部署装置400的结构框图，应理解，该部署装置400与上述方法实施例对应，能够执行上述方法实施例涉及的各个步骤，该部署装置400具体的功能可以参见上文中的描述，为避免重复，此处适当省略详细描述。该部署装置400包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在部署装置400的操作系统(operating system，OS)中的软件功能模块。具体地，超融合系统包括多个物理服务器，多个物理服务器包括部署有源安全网元的源物理服务器，该部署装置400包括：

获取模块410，用于获取多个网络跳数、多个可用网络带宽和多个网络延迟；其中，多个网络跳数表示源物理服务器和多个物理服务器中每个物理服务器之间的网络跳数，多个可用网络带宽表示源物理服务器和每个物理服务器之间的可用网络带宽，多个网络延迟表示源物理服务器和每个物理服务器之间的网络延迟；

计算模块420，用于根据多个网络跳数中每个网络跳数及其对应的可用网络带宽，计算多个带宽开销；

计算模块420，还用于根据每个网络跳数及其对应的网络延迟，计算多个延迟开销；

选取模块430，用于根据多个带宽开销和多个延迟开销，从多个物理服务器中选取目标物理服务器，其中，目标物理服务器用于部署与源安全网元通信的目标安全网元。

计算模块420，具体用于：确定目标安全网元的类型；根据目标安全网元的类型，确定目标安全网元的类型对应的目标带宽敏感系数；计算目标带宽敏感系数、当前网络跳数和当前网络跳数对应的可用网络带宽的第一乘积值，并将第一乘积值作为当前带宽开销。

计算模块420，还具体用于：确定目标安全网元的类型；根据目标安全网元的类型，确定目标安全网元的类型对应的目标延迟敏感系数；计算目标延迟敏感系数、当前网络跳数和当前网络跳数对应的网络延迟的第二乘积值，并将第二乘积值作为当前延时开销。

在一个可能的实施例中，获取模块410，具体用于：通过查询预先构建的网络带宽量化表，获取当前网络跳数对应的网络路径，其中，网络带宽量化表用于记录超融合系统中任意两个设备之间的可用网络带宽，网络路径为从源物理服务器到当前物理服务器的网络路径；根据网络路径，从网络带宽量化表中查找与网络路径匹配的至少一个可用网络带宽，其中，至少一个可用网络带宽中每个可用网络带宽为网络路径中两个直连的设备之间的可用网络带宽；将至少一个可用网络带宽中最小的可用网络带宽作为源物理服务器和当前物理服务器之间的可用网络带宽。

在一个可能的实施例中，获取模块410，具体用于：通过查询预先构建的网络延迟量化表，获取当前网络跳数对应的网络路径，其中，网络延迟量化表用于记录超融合系统中任意两个设备之间的网络延迟，网络路径为从源物理服务器到当前物理服务器的网络路径；根据网络路径，从网络延迟量化表中查找与网络路径匹配的至少一个网络延迟，其中，至少一个网络延迟中每个网络延迟为网络路径中两个直连的设备之间的网络延迟；将至少一个网络延迟中所有网络延迟的和值作为源物理服务器和当前物理服务器之间的网络延迟。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法中的对应过程，在此不再过多赘述。

请参见图5，图5示出了本申请实施例提供的一种电子设备500的结构框图。电子设备500可以包括处理器510、通信接口520、存储器530和至少一个通信总线540。其中，通信总线540用于实现这些组件直接的连接通信。其中，本申请实施例中的通信接口520用于与其他设备进行信令或数据的通信。处理器510可以是一种集成电路芯片，具有信号的处理能力。上述的处理器510可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器510也可以是任何常规的处理器等。

存储器530可以是，但不限于，随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-OnlyMemory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。存储器530中存储有计算机可读取指令，当所述计算机可读取指令由所述处理器510执行时，电子设备500可以执行上述方法实施例中的各个步骤。

电子设备500还可以包括存储控制器、输入输出单元、音频单元、显示单元。

所述存储器530、存储控制器、处理器510、外设接口、输入输出单元、音频单元、显示单元各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通信总线540实现电性连接。所述处理器510用于执行存储器530中存储的可执行模块。并且，电子设备500用于执行下述方法：获取多个网络跳数、多个可用网络带宽和多个网络延迟；其中，多个网络跳数表示所述源物理服务器和所述多个物理服务器中每个物理服务器之间的网络跳数，所述多个可用网络带宽表示所述源物理服务器和所述每个物理服务器之间的可用网络带宽，所述多个网络延迟表示所述源物理服务器和所述每个物理服务器之间的网络延迟；根据所述多个网络跳数中每个网络跳数及其对应的可用网络带宽，计算多个带宽开销；根据所述每个网络跳数及其对应的网络延迟，计算多个延迟开销；根据所述多个带宽开销和所述多个延迟开销，从所述多个物理服务器中选取目标物理服务器，其中，所述目标物理服务器用于部署与所述源安全网元通信的目标安全网元。

输入输出单元用于提供给用户输入数据实现用户与所述服务器(或本地终端)的交互。所述输入输出单元可以是，但不限于，鼠标和键盘等。

音频单元向用户提供音频接口，其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。

显示单元在所述电子设备与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中，所述显示单元可以是液晶显示器或触控显示器。若为触控显示器，其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作，并将该感应到的触控操作交由处理器进行计算和处理。

可以理解，图5所示的结构仅为示意，所述电子设备500还可包括比图5中所示更多或者更少的组件，或者具有与图5所示不同的配置。图5中所示的各组件可以采用硬件、软件或其组合实现。

本申请还提供一种存储介质，该存储介质上存储有计算机程序，该计算机程序被处理器运行时执行方法实施例所述的方法。

本申请还提供一种计算机程序产品，所述计算机程序产品在计算机上运行时，使得计算机执行方法实施例所述的方法。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统的具体工作过程，可以参考前述方法中的对应过程，在此不再过多赘述。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims

1.一种基于超融合系统的安全网元的部署方法，其特征在于，所述超融合系统包括多个物理服务器，所述多个物理服务器包括部署有源安全网元的源物理服务器，所述部署方法包括：

获取多个网络跳数、多个可用网络带宽和多个网络延迟；其中，多个网络跳数表示所述源物理服务器和所述多个物理服务器中每个物理服务器之间的网络跳数，所述多个可用网络带宽表示所述源物理服务器和所述每个物理服务器之间的可用网络带宽，所述多个网络延迟表示所述源物理服务器和所述每个物理服务器之间的网络延迟；

根据所述多个网络跳数中每个网络跳数及其对应的可用网络带宽，计算多个带宽开销；

根据所述每个网络跳数及其对应的网络延迟，计算多个延迟开销；

根据所述多个带宽开销和所述多个延迟开销，从所述多个物理服务器中选取目标物理服务器，其中，所述目标物理服务器用于部署与所述源安全网元通信的目标安全网元。

2.根据权利要求1所述的部署方法，其特征在于，所述安全网元的多种类型中每种类型均对应有一个带宽敏感系数；

其中，所述根据所述多个网络跳数中每个网络跳数及其对应的可用网络带宽，计算多个带宽开销，包括：

确定所述目标安全网元的类型；

根据所述目标安全网元的类型，确定所述目标安全网元的类型对应的目标带宽敏感系数；

计算所述目标带宽敏感系数、当前网络跳数和所述当前网络跳数对应的可用网络带宽的第一乘积值，并将所述第一乘积值作为当前带宽开销。

3.根据权利要求1所述的部署方法，其特征在于，所述安全网元的多种类型中每种类型均对应有一个延迟敏感系数；

其中，所述根据所述每个网络跳数及其对应的网络延迟，计算多个延迟开销，包括：

确定所述目标安全网元的类型；

根据所述目标安全网元的类型，确定所述目标安全网元的类型对应的目标延迟敏感系数；

计算所述目标延迟敏感系数、当前网络跳数和所述当前网络跳数对应的网络延迟的第二乘积值，并将所述第二乘积值作为当前延时开销。

4.根据权利要求2或3所述的部署方法，其特征在于，所述安全网元的类型包括代理类型、旁路类型和管理类型。

5.根据权利要求1所述的部署方法，其特征在于，获取所述多个可用网络带宽的过程，包括：

通过查询预先构建的网络带宽量化表，获取当前网络跳数对应的网络路径，其中，所述网络带宽量化表用于记录所述超融合系统中任意两个设备之间的可用网络带宽，所述网络路径为从所述源物理服务器到当前物理服务器的网络路径；

根据所述网络路径，从所述网络带宽量化表中查找与所述网络路径匹配的至少一个可用网络带宽，其中，所述至少一个可用网络带宽中每个可用网络带宽为所述网络路径中两个直连的设备之间的可用网络带宽；

将所述至少一个可用网络带宽中最小的可用网络带宽作为所述源物理服务器和所述当前物理服务器之间的可用网络带宽。

6.根据权利要求1所述的部署方法，其特征在于，获取所述多个网络延迟的过程，包括：

通过查询预先构建的网络延迟量化表，获取当前网络跳数对应的网络路径，其中，所述网络延迟量化表用于记录所述超融合系统中任意两个设备之间的网络延迟，所述网络路径为从所述源物理服务器到当前物理服务器的网络路径；

根据所述网络路径，从所述网络延迟量化表中查找与所述网络路径匹配的至少一个网络延迟，其中，所述至少一个网络延迟中每个网络延迟为所述网络路径中两个直连的设备之间的网络延迟；

将所述至少一个网络延迟中所有网络延迟的和值作为所述源物理服务器和所述当前物理服务器之间的网络延迟。

7.一种基于超融合系统的安全网元的部署装置，其特征在于，所述超融合系统包括多个物理服务器，所述多个物理服务器包括部署有源安全网元的源物理服务器，所述部署装置包括：

获取模块，用于获取多个网络跳数、多个可用网络带宽和多个网络延迟；其中，多个网络跳数表示所述源物理服务器和所述多个物理服务器中每个物理服务器之间的网络跳数，所述多个可用网络带宽表示所述源物理服务器和所述每个物理服务器之间的可用网络带宽，所述多个网络延迟表示所述源物理服务器和所述每个物理服务器之间的网络延迟；

计算模块，用于根据所述多个网络跳数中每个网络跳数及其对应的可用网络带宽，计算多个带宽开销；

所述计算模块，还用于根据所述每个网络跳数及其对应的网络延迟，计算多个延迟开销；

选取模块，用于根据所述多个带宽开销和所述多个延迟开销，从所述多个物理服务器中选取目标物理服务器，其中，所述目标物理服务器用于部署与所述源安全网元通信的目标安全网元。

8.根据权利要求7所述的部署装置，其特征在于，所述安全网元的多种类型中每种类型均对应有一个带宽敏感系数；

所述计算模块，具体用于：确定所述目标安全网元的类型；根据所述目标安全网元的类型，确定所述目标安全网元的类型对应的目标带宽敏感系数；计算所述目标带宽敏感系数、当前网络跳数和所述当前网络跳数对应的可用网络带宽的第一乘积值，并将所述第一乘积值作为当前带宽开销。

9.根据权利要求7所述的部署装置，其特征在于，所述安全网元的多种类型中每种类型均对应有一个延迟敏感系数；

所述计算模块，还具体用于：确定所述目标安全网元的类型；根据所述目标安全网元的类型，确定所述目标安全网元的类型对应的目标延迟敏感系数；计算所述目标延迟敏感系数、当前网络跳数和所述当前网络跳数对应的网络延迟的第二乘积值，并将所述第二乘积值作为当前延时开销。

10.根据权利要求8或9所述的部署装置，其特征在于，所述安全网元的类型包括代理类型、旁路类型和管理类型。

11.根据权利要求7所述的部署装置，其特征在于，所述获取模块，具体用于：通过查询预先构建的网络带宽量化表，获取当前网络跳数对应的网络路径，其中，所述网络带宽量化表用于记录所述超融合系统中任意两个设备之间的可用网络带宽，所述网络路径为从所述源物理服务器到当前物理服务器的网络路径；根据所述网络路径，从所述网络带宽量化表中查找与所述网络路径匹配的至少一个可用网络带宽，其中，所述至少一个可用网络带宽中每个可用网络带宽为所述网络路径中两个直连的设备之间的可用网络带宽；将所述至少一个可用网络带宽中最小的可用网络带宽作为所述源物理服务器和所述当前物理服务器之间的可用网络带宽。

12.根据权利要求7所述的部署装置，其特征在于，所述获取模块，具体用于：通过查询预先构建的网络延迟量化表，获取当前网络跳数对应的网络路径，其中，所述网络延迟量化表用于记录所述超融合系统中任意两个设备之间的网络延迟，所述网络路径为从所述源物理服务器到当前物理服务器的网络路径；根据所述网络路径，从所述网络延迟量化表中查找与所述网络路径匹配的至少一个网络延迟，其中，所述至少一个网络延迟中每个网络延迟为所述网络路径中两个直连的设备之间的网络延迟；将所述至少一个网络延迟中所有网络延迟的和值作为所述源物理服务器和所述当前物理服务器之间的网络延迟。

13.一种存储介质，其特征在于，所述存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行如权利要求1至7任一所述的基于超融合系统的安全网元的部署方法。

14.一种电子设备，其特征在于，所述电子设备包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当所述电子设备运行时，所述处理器与所述存储器之间通过总线通信，所述机器可读指令被所述处理器执行时执行如权利要求1至7任一所述的基于超融合系统的安全网元的部署方法。