CN114374611B

CN114374611B - 公有云vpc环境下管理业务平面分离的实现方法和设备

Info

Publication number: CN114374611B
Application number: CN202210013248.6A
Authority: CN
Inventors: 赵海阳; 范渊; 杨勃
Original assignee: DBAPPSecurity Co Ltd
Current assignee: DBAPPSecurity Co Ltd
Priority date: 2022-01-06
Filing date: 2022-01-06
Publication date: 2024-04-19
Anticipated expiration: 2042-01-06
Also published as: CN114374611A

Abstract

本申请公开了一种公有云VPC环境下管理业务平面分离的实现方法和设备，该方法包括：在公有云平台资源池的业务VPC网络内开通安全实例，以便安全实例自动挂载业务VPC网卡；在公有云上创建管理VPC网络；在管理VPC网络中创建门户网关，以便门户网关自动挂载管理VPC网卡；通过linux的策略路由对业务VPC网卡和管理VPC网卡进行隔离。这样通过双网卡技术配置策略路由实现网卡隔离，进而实现安全资源池内的云主机管理VPC和业务VPC完全隔离，满足网络安全等级保护的需求，解决了云安全资源池里，安全实例如何同时使用管理VPC和业务VPC并能正常工作的问题，让管理层面和业务层面切实的分离，增强了业务的安全性。

Description

公有云VPC环境下管理业务平面分离的实现方法和设备

技术领域

本发明涉及云计算技术领域，特别是涉及一种公有云VPC环境下管理业务平面分离的实现方法和设备。

背景技术

随着云计算的发展，云计算规模的日益成熟，用户的业务上云越来越方便，而且建设成本也越来越低，诸多因素推动着用户业务上云的需求。云计算发展的同时面临着云上的安全问题，云安全资源池云计算的理念，以资源弹性和按需调配原则，动态的管理安全组件的全生命周期，包括拉起VM(云环境中的虚拟机)、开通、扩容、销毁。

目前，在私有门户管理平台环境中，安全资源池内的虚拟机往往采用单网卡的方式。门户管理平台，云上租户的业务系统都通过网络地址转换(Network AddressTranslation，NAT)的方式和该地址网络打通进行通信。这种方式存在的问题就是，云平台侧需要去配置维护这种映射关系，相对来说增加了工作量。同时映射出来的地址需要能同时被管理VPC(Virtual Private Cloud，私有网络)和业务VPC访问，在某些管理VPC网络、业务VPC网络严格隔离的环境下是不能够直接使用的。与此同时，在等级保护的要求下，等保合规里会强调两个平面，因此需要考虑将云资源池内的管理VPC和业务VPC给分离。而租户安全资源池和租户业务系统之间的互通往往依赖于外界的设置，遇到复杂的云化环境，不能够满足防护要求。前者的业务上线时间较为延长，因为每一个安全实例虚拟机，从创建开始，都需要给其去设置维护这种映射关系。最后，用户无法看到真实的安全实例的IP地址信息，看到的是映射过后的地址。在某些应用层携带IP限制的场景下，需要有设备支持这种应用层的IP转换关系，较为复杂。

发明内容

有鉴于此，本发明的目的在于提供一种公有云VPC环境下管理业务平面分离的实现方法和设备，可以使安全资源池内的云主机管理VPC和业务VPC完全隔离，满足网络安全等级保护的需求。其具体方案如下：

一种公有云VPC环境下管理业务平面分离的实现方法，包括：

在公有云平台资源池的业务VPC网络内开通安全实例，以便所述安全实例自动挂载业务VPC网卡；

在公有云上创建管理VPC网络；

在所述管理VPC网络中创建门户网关，以便所述门户网关自动挂载管理VPC网卡；

通过linux的策略路由对所述业务VPC网卡和所述管理VPC网卡进行隔离。

优选地，在本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法中，在公有云上创建管理VPC网络，包括：

在云平台上部署一套门户管理平台，并挂载弹性IP；

在所述门户管理平台上添加云资源账号信息，通过API接口识别已有的VPC网络；

从识别出的VPC网络中自动创建一个管理VPC网络。

优选地，在本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法中，在所述管理VPC网络中创建门户网关，包括：

在所述管理VPC网络中通过固定命名、打上标签、镜像手动的方式创建门户网关，以便所述门户网关与所述门户管理平台进行通信。

优选地，在本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法中，在所述门户网关自动挂载管理VPC网卡的同时，还包括：

在所述门户网关挂载弹性IP；所述门户网关的虚拟机通过弹性IP和所述门户管理平台进行通信，以及和所述安全实例的管理网卡进行通信。

优选地，在本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法中，所述门户网关自动挂载管理VPC网卡，包括：

在所述门户管理平台内设置开通安全产品自动挂载对应标签的网络；

当第二张挂载的网络为开通时，选定管理VPC网卡；

通过所述门户管理平台将网络信息传递至所述门户网关，以使所述门户网关找寻与自身可通的IP地址并通过API接口传递至虚拟机的网卡配置文件里，实现所述管理VPC网卡的自动挂载。

优选地，在本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法中，通过linux的策略路由对所述业务VPC网卡和所述管理VPC网卡进行隔离，包括：

根据所述业务VPC网卡和所述管理VPC网卡的网关参数生成缺省路由，通过内置的脚本把指向管理口的全局缺省路由删除；

读取所述业务VPC网卡和所述管理VPC网卡的配置文件信息；

根据所述配置文件信息生成策略路由表；所述策略路由表的目的地址为管理口地址，源地址为管理口地址的数据包。

优选地，在本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法中，还包括：

通过动态改变部署在所述门户管理平台以及所述门户网关上的nginx配置进行安全组件的反向代理，以使用户无感知的使用所述门户管理平台和所述安全组件。

在登录所述门户管理平台并输入账号密码后，通过安全产品单点登录进入安全产品内部；

在点击使用云日志审计时，重定向到所述门户网关的对应端口，从所述门户网关跳转到日志审计的管理地址。

本发明实施例还提供了一种公有云VPC环境下管理业务平面分离的实现设备，包括处理器和存储器，其中，所述处理器执行所述存储器中存储的计算机程序时实现如本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法。

本发明实施例还提供了一种计算机可读存储介质，用于存储计算机程序，其中，所述计算机程序被处理器执行时实现如本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法。

从上述技术方案可以看出，本发明所提供的一种公有云VPC环境下管理业务平面分离的实现方法，包括：在公有云平台资源池的业务VPC网络内开通安全实例，以便安全实例自动挂载业务VPC网卡；在公有云上创建管理VPC网络；在管理VPC网络中创建门户网关，以便门户网关自动挂载管理VPC网卡；通过linux的策略路由对业务VPC网卡和管理VPC网卡进行隔离。

本发明提供的上述公有云VPC环境下管理业务平面分离的实现方法，通过设计的双网卡技术配置策略路由实现网卡隔离，进而实现安全资源池内的云主机管理VPC和业务VPC完全隔离，满足网络安全等级保护的需求，解决了云安全资源池里，安全实例如何同时使用管理VPC和业务VPC并能正常工作的问题，让云安全资源池内的管理层面和业务层面切实的分离，增强了业务的安全性。

此外，本发明还针对公有云VPC环境下管理业务平面分离的实现方法提供了相应的设备及计算机可读存储介质，进一步使得上述方法更具有实用性，该设备及计算机可读存储介质具有相应的优点。

附图说明

为了更清楚地说明本发明实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的公有云VPC环境下管理业务平面分离的实现方法的流程图；

图2为本发明实施例提供的公有云VPC环境下管理业务平面分离的实现架构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供一种公有云VPC环境下管理业务平面分离的实现方法，如图1所示，包括以下步骤：

S101、在公有云平台资源池的业务VPC网络内开通安全实例，以便安全实例自动挂载业务VPC网卡；

在实际应用中，公有云平台资源池包括实体用户拥有的不同公有云账号，比如多个不同云的账号，以及相同公有云下不同的云账号。这里的业务VPC网络在公有云平台资源池中形成，是云安全实例和用户待防护的业务主机之间通信的VPC网络，真实的业务流量是通过业务VPC网络进行转发。安全实例可以通过服务化的方式归属到业务VPC网络，安全实例在以虚拟机的方式下发生成过程中，会自动挂载该业务VPC网卡。

S102、在公有云上创建管理VPC网络；

需要指出的是，这里的管理VPC网络是门户网关实例所在的VPC，用户登录门户管理平台对公有云上的安全实例进行管理的网络，以及门户网关和安全组件之间通信的VPC网络。由于用户需要使用门户管理平台去管理安全组件，要将门户管理平台部署到管理VPC网络。

S103、在管理VPC网络中创建门户网关，以便门户网关自动挂载管理VPC网卡；

需要说明的是，门户网关部署在公有云的VPC环境下，用于和门户管理平台通信，同时代理访问该用户公有云环境内的安全实例。在本发明中，在公有云上单独创建一个管理VPC网络后，可以给安全组件的虚拟机下发两张网卡，一张是业务VPC网卡，另一张是管理VPC网卡。

S104、通过linux的策略路由对业务VPC网卡和管理VPC网卡进行隔离。

具体地，如图2所示，在安全实例内部可以通过linux原生的策略路由实现双网卡隔离，满足部分安全实例同时具备两个网关的需求。

在本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法中，通过设计的双网卡技术配置策略路由实现网卡隔离，进而实现安全资源池内的云主机管理VPC和业务VPC完全隔离，满足网络安全等级保护的需求，解决了云安全资源池里，安全实例如何同时使用管理VPC和业务VPC并能正常工作的问题，让云安全资源池内的管理层面和业务层面切实的分离，增强了业务的安全性。

在具体实施时，在本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法中，步骤S102在公有云上创建管理VPC网络，具体可以包括：首先，在云平台上部署一套门户管理平台，并在部署后挂载弹性IP；然后，在门户管理平台上添加用户的云资源账号信息，通过API接口识别该用户下已有的VPC网络；之后，从识别出的VPC网络中自动创建一个管理VPC网络。

需要说明的是，云平台是基于软件定义安全技术的安全能力交付平台。只需要通过公有云虚拟机环境下部署门户管理平台，就能够以安全组件的形式提供丰富的安全能力。门户管理平台向下兼容不同云平台，向上兼容不同的安全产品，通过不断汇聚安全能力，赋能云平台，从云监测、云防御、云审计、云服务四个方面，为用户提供覆盖云安全的全生命周期的综合解决方案CAS：统一单点认证中心。安全组件是对用户的业务系统进行防护的安全能力，以软件方式交付，如云数据库审计、云web防火墙、综合漏洞扫描等，安全组件依靠统一代门户管理平台进行管理。

考虑到业务的安全性，本发明需要将和用户对接的安全产品开通到业务VPC里，在云计算环境中用户的业务VPC和管理VPC是隔离的，从而增强安全性。

在具体实施时，在本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法中，步骤S103在管理VPC网络中创建门户网关，具体可以包括：在管理VPC网络中通过固定命名、打上标签、镜像手动的方式创建门户网关，以便门户网关与门户管理平台进行通信。

需要说明的是，安全资源池基于安全实例镜像去开通门户网关虚拟机，安全实例镜像为各个安全产品的虚拟机文件。在本发明中，管理VPC网络在云平台上设置的时候可以采用固定的命名方式，通过打上标记方式，比如打上mgt类标签，并通过镜像手动创建一个门户网关，保证门户网关与门户管理平台可通。

在具体实施时，在本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法中，在执行步骤S103门户网关自动挂载管理VPC网卡的同时，还可以包括：在门户网关挂载弹性IP；门户网关的虚拟机通过弹性IP和门户管理平台进行通信，以及和安全实例的管理网卡进行通信。具体地，门户网关挂载管理VPC网卡以及弹性IP，门户管理平台就可以能够和门户网关虚拟机的弹性IP通信，门户网关虚拟机能够通过管理IP和云上安全实例管理网卡通信。

在具体实施时，在本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法中，步骤S103门户网关自动挂载管理VPC网卡，具体可以包括：在门户管理平台内设置开通安全产品自动挂载对应标签的网络；当第二张挂载的网络为开通时，选定管理VPC网卡；通过门户管理平台将网络信息(如IP，子网，网关)传递至门户网关，以使门户网关找寻与自身可通的IP地址并通过API接口传递至虚拟机的网卡配置文件里，实现管理VPC网卡的自动挂载。

在具体实施时，在本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法中，步骤S104通过linux的策略路由对业务VPC网卡和管理VPC网卡进行隔离，具体可以包括：首先，根据业务VPC网卡和管理VPC网卡的网关参数生成缺省路由，通过内置的脚本把指向管理口的全局缺省路由删除；然后，读取业务VPC网卡和管理VPC网卡的配置文件信息；根据配置文件信息生成策略路由表；策略路由表的目的地址为管理口地址，源地址为管理口地址的数据包。

在具体实施时，在本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法中，还可以包括：通过动态改变部署在门户管理平台以及门户网关上的nginx配置进行安全组件的反向代理，以使用户无感知的使用门户管理平台和安全组件。需要说明的是，nginx是一个高性能的HTTP和反向代理web服务器，通过nginx可以实现一url跳转多个安全实例IP。

在具体实施时，在本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法中，还可以包括：在登录门户管理平台并输入账号密码后，通过安全产品单点登录进入安全产品内部；在点击使用云日志审计时，重定向到门户网关的对应端口，从门户网关跳转到日志审计的管理地址。之后就可以直接单点登录到安全产品内部。

下面以一个具体实例对本发明实施例提供的上述公有云VPC环境下管理业务平面分离的实现方法进行详细说明，具体可以包括以下步骤：

步骤一、在云平台上部署一套门户管理平台，部署后需要挂载弹性IP，在门户平台添加用户云资源账号信息，通过API接口识别该用户下已有的VPC网络，自动创建一个管理VPC网络。

步骤二、管理VPC在云平台上设置的时候采用固定的命名方式，通过打上标记方式，比如打上mgt类标签，并通过镜像手动创建一个门户网关，保证门户网关与门户管理平台可通。

步骤三、门户管理平台的代码里，设置开通安全产品会自动挂载对应标签的网络，第二张挂载的网络为开通时候选定的创建的管理VPC网卡。以云日志审计开通举例：云日志审计创建在用户的业务网络中，创建之后找寻mgt标签的vpc网络自动挂载。

步骤四、管理VPC和业务VPC都带有各自网关，门户管理平台先把把网络的信息(如IP，子网，网关)传递给该账号下的门户网关，门户网关找寻与自身可通的IP地址，再通过API接口方式传递到虚拟机的网卡配置文件里。

步骤五、内部会同时存在2张网卡eth0和eth1，每个网卡都有网关。以云日志审计举例，管理VPC和业务VPC都带网关参数，云日志审计根据网关生成缺省路由，通过内置的脚本要把指向管理口的全局缺省路由删除。

步骤六、云日志审计内置开机启动脚本，脚本的内容是读取网卡配置文件信息，例如读取eth0网卡的配置文件信息。

同时根据配置文件信息，生成特别的策略路由表，效果如下：

目的地址是管理口地址，以及源地址是管理口地址的数据包，查询路由表的时候查找单独设置的路由表，routetable 100。

在routetable 1里添加一跳缺省路由，下一跳地址从网卡eth0的配置文件里读取网关的IP信息，写入到路由表里。

步骤七、安全产品启动完毕后，需要对配置信息进行检查。

步骤八、用户登录门户管理平台，输入账号密码。

步骤九、通过安全产品单点登录进入安全产品内部，在点击使用云日志审计的时候，首先会重定向到门户网关的对应端口，再从门户网关跳转到日志审计真实的管理地址。

步骤十、单点登录生效，直接登录到安全产品内部。

需要说明的是，本发明可以应用在公有云环境，门户管理平台和安全实例之间使用了CAS技术实现了单点登录，门户平台对所有安全实例进行统一认证的场景，通过多网卡来实现管理VPC和业务VPC的隔离下的激活与使用，以及通过linux的策略路由方式，满足路由表的隔离。这样通过对安全资源池内的网络层面和业务层面进行分离，将管理VPC络和业务VPC络完全隔离，实现了云上安全实例的更高的安全性。

相应地，本发明实施例还公开了一种公有云VPC环境下管理业务平面分离的实现设备，包括处理器和存储器；其中，处理器执行存储器中存储的计算机程序时实现前述实施例公开的公有云VPC环境下管理业务平面分离的实现方法。

关于上述方法更加具体的过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。

进一步地，本发明还公开了一种计算机可读存储介质，用于存储计算机程序；计算机程序被处理器执行时实现前述公开的公有云VPC环境下管理业务平面分离的实现方法。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的设备、存储介质而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

综上，本发明实施例提供的一种公有云VPC环境下管理业务平面分离的实现方法，包括：在公有云平台资源池的业务VPC网络内开通安全实例，以便安全实例自动挂载业务VPC网卡；在公有云上创建管理VPC网络；在管理VPC网络中创建门户网关，以便门户网关自动挂载管理VPC网卡；通过linux的策略路由对业务VPC网卡和管理VPC网卡进行隔离。这样通过设计的双网卡技术配置策略路由实现网卡隔离，进而实现安全资源池内的云主机管理VPC和业务VPC完全隔离，满足网络安全等级保护的需求，解决了云安全资源池里，安全实例如何同时使用管理VPC和业务VPC并能正常工作的问题，让云安全资源池内的管理层面和业务层面切实的分离，增强了业务的安全性。此外，本发明还针对公有云VPC环境下管理业务平面分离的实现方法提供了相应的设备及计算机可读存储介质，进一步使得上述方法更具有实用性，该设备及计算机可读存储介质具有相应的优点。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明所提供的公有云VPC环境下管理业务平面分离的实现方法和设备进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.一种公有云VPC环境下管理业务平面分离的实现方法，其特征在于，包括：

在公有云上创建管理VPC网络；

通过linux的策略路由对所述业务VPC网卡和所述管理VPC网卡进行隔离，包括：根据所述业务VPC网卡和所述管理VPC网卡的网关参数生成缺省路由，通过内置的脚本把指向管理口的全局缺省路由删除；读取所述业务VPC网卡和所述管理VPC网卡的配置文件信息；根据所述配置文件信息生成策略路由表；所述策略路由表的目的地址为管理口地址，源地址为管理口地址的数据包。

2.根据权利要求1所述的公有云VPC环境下管理业务平面分离的实现方法，其特征在于，在公有云上创建管理VPC网络，包括：

在云平台上部署一套门户管理平台，并挂载弹性IP；

从识别出的VPC网络中自动创建一个管理VPC网络。

3.根据权利要求2所述的公有云VPC环境下管理业务平面分离的实现方法，其特征在于，在所述管理VPC网络中创建门户网关，包括：

4.根据权利要求3所述的公有云VPC环境下管理业务平面分离的实现方法，其特征在于，在所述门户网关自动挂载管理VPC网卡的同时，还包括：

5.根据权利要求4所述的公有云VPC环境下管理业务平面分离的实现方法，其特征在于，所述门户网关自动挂载管理VPC网卡，包括：

当第二张挂载的网络为开通时，选定管理VPC网卡；

通过所述门户管理平台将网络信息传递至所述门户网关，以使所述门户网关找寻与自身通信的IP地址并通过API接口传递至虚拟机的网卡配置文件里，实现所述管理VPC网卡的自动挂载。

6.根据权利要求5所述的公有云VPC环境下管理业务平面分离的实现方法，其特征在于，还包括：

7.根据权利要求6所述的公有云VPC环境下管理业务平面分离的实现方法，其特征在于，还包括：

8.一种公有云VPC环境下管理业务平面分离的实现设备，其特征在于，包括处理器和存储器，其中，所述处理器执行所述存储器中存储的计算机程序时实现如权利要求1至7任一项所述的公有云VPC环境下管理业务平面分离的实现方法。

9.一种计算机可读存储介质，其特征在于，用于存储计算机程序，其中，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的公有云VPC环境下管理业务平面分离的实现方法。