CN114416348A - 一种基于安全联动的云主机网络部署方法 - Google Patents

一种基于安全联动的云主机网络部署方法 Download PDF

Info

Publication number
CN114416348A
CN114416348A CN202111594695.7A CN202111594695A CN114416348A CN 114416348 A CN114416348 A CN 114416348A CN 202111594695 A CN202111594695 A CN 202111594695A CN 114416348 A CN114416348 A CN 114416348A
Authority
CN
China
Prior art keywords
network
security
deployment
cloud
linkage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111594695.7A
Other languages
English (en)
Inventor
杨胜朝
龙力
覃雄宁
陶伟健
徐超礼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangxi Zhuang Autonomous Region Public Information Industry Co ltd
Original Assignee
Guangxi Zhuang Autonomous Region Public Information Industry Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangxi Zhuang Autonomous Region Public Information Industry Co ltd filed Critical Guangxi Zhuang Autonomous Region Public Information Industry Co ltd
Priority to CN202111594695.7A priority Critical patent/CN114416348A/zh
Publication of CN114416348A publication Critical patent/CN114416348A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5072Grid computing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5083Techniques for rebalancing the load in a distributed system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于安全联动的云主机网络部署方法,包括以下步骤:①首先在虚拟化管理平台中新增安全联动VM部署模块,在SDN控制器中新增网络安全推荐训练模块;②VDS根据推送的信息,将计算节点属性与网络进行匹配,并与控制器通信,协同虚拟化管理平台实现计算节点与网络的部署和接入。本发明通过增加Portgroup标识实现云资源、安全资源、网络资源的联动训练,选择云主机的网络部署方法,提高云网整体利用率与服务能力。

Description

一种基于安全联动的云主机网络部署方法
技术领域
本发明涉及计算机领域,具体为一种基于安全联动的云主机网络部署方法。
背景技术
在主机Overlay方案中,VTEP、VXLANGW、VXLANIP GW均通过安装在服务器上的软件实现,当访问量大时,vRouter会成为系统瓶颈。
在三层网络中,业务流在运行过程中通常会进行往返路径的选取,如果出现电路质差或者中断,会重新选择线路。基于5G移动承载业务的SLA保障和运维诉求,结合现有性能检测技术的优缺点,华为提出创新的iFIT(in-situ Flow Information Telemetry,随流检测)方案应运而生。需要基于端到端的随流检测模式分析业务质差或者中断的情况,进而转换成逐跳的检测模式,对电路问题点进行定位,并重新规划路线。针对重新规划的路线,需要在原始业务性能数据基础上增加新业务的性能数据,并基于客户喜好以及网络性能进行备选路径预判,以实现业务流的高效运转,进而提升用户感知。
经检索涉及云主机网络部署方法的公开中国专利文献有:
1、网格网络部署方法及装置,申请(专利)号:CN201510131542.7申请日:2015.03.25,提出网格网络部署方法及装置。方法包括:网络部署单元根据预先规划的要部署接入点AP的无线网络位置,选择一个还未部署AP的无线网络位置m;从还未部署的AP中任意选择一个AP m;根据预先规划的各个无线网络位置之间的邻居关系,确定位置m的邻居位置列表;对于位置m的任一邻居位置,判断该邻居位置上是否已经部署了AP,若是,指示网络部署人员将AP m与该邻居位置上的AP进行碰触,以使得:该两AP都学习到对方的MAC地址,并将对方的MAC地址添加到自身的邻居AP列表中,并指示网络部署人员在碰触后将AP m部署到位置m上。提高了Mesh网络部署的速度和准确度。
2、一种云负载均衡的优化方法及系统,申请(专利)号:CN201910977767.2申请日:2019.10.15,公开了一种云负载均衡的优化方法及系统,通过分别对云节点、虚拟交换机和云主机中的参数进行配置,实现了云节点的网卡队列,云节点的轮询线程,虚拟交换机的DPDK端口队列,虚拟交换机的vhost端口队列,云主机的网卡队列,云主机的负载均衡服务进程一一对应,从而使得数据包可以在云节点的内核层与云主机的负载均衡服务进程之间直接共享,同时轮询线程与cpu绑定以及轮询线程的主动轮询机制,消除了锁和cpu上下文切换,相比于现有技术,本发明的技术方案解决了传统云负载均衡网络IO路径长,以及数据拷贝、锁开销、CPU上下文切换等引出的低效率问题,同时让云负载均衡具有灵活的流量控制、热迁移、弹性伸缩等特性。实现高性能的云负载均衡。
3、评估云主机资源的方法、装置、设备及存储介质,申请(专利)号:CN201910885428.1申请日:2019.09.19,涉及云服务领域,提供一种评估云主机资源的方法、装置、设备及存储介质,方法包括:通过训练所得的资源监控模型对目标项目信息、多个云主机的使用资源类型和使用资源情况进行分析,以获取待评估云主机以及所述待评估云主机的待评估资源,获取所述待评估资源的第一采样数据和和第二采样数据,根据所述第一采样数据和所述第二采样数据获取预测信息,根据所述第一采样数据、所述第二采样数据和所述预测信息获取评估评估信息,根据所述评估信息生成与所述评估信息对应的优化配置策略。采用本方案,能够提高云主机的资源利用率。
虽然上述文献对云主机进行了一定程度的优化,但是在云网融合场景下,对于现有云资源池中心的虚拟管理平台无法感知网络的负载,在部署计算云主机时只能凭人工经验,无法选择接入最优网络,导致部分网络VTEP/vFW超负荷运行,影响网络服务。
因此,本发明提出一种基于安全联动的云主机网络部署方法,通过增加Portgroup标识实现云资源、安全资源、网络资源的联动训练,选择云主机的网络部署方法,提高云网整体利用率与服务能力。
发明内容
针对以上问题,本发明提出一种基于安全联动的云主机网络部署方法,通过增加Portgroup标识实现云资源、安全资源、网络资源的联动训练,选择云主机的网络部署方法,提高云网整体利用率与服务能力。
为实现上述目的,本发明提供如下技术方案:
一种基于安全联动的云主机网络部署方法,包括以下步骤:
①首先在虚拟化管理平台中新增安全联动VM部署模块,在SDN控制器中新增网络安全推荐训练模块;
②VDS根据推送的信息,将计算节点属性与网络进行匹配,并与控制器通信,协同虚拟化管理平台实现计算节点与网络的部署和接入。
需要进一步说明的是,所述安全联动VM部署模块的部署包括以下步骤:
Step1:添加云资源集群管理中心,绑定VDS,建链;
Step2:通过LLDP发现物理服务器主机的网络位置;
Step3:GBP将端口组PortGroup绑定到LogicSwitch;
Step4:由SDN控制器向云资源集群管理中心的VDS推送PortGroup信息;
Step5:VM部署或上线时间通知SDN控制器,配置打通物理网络;
Step6:SDN控制器前台显示VM及其拓扑信息。
需要进一步说明的是,所述网络安全推荐训练模块将网络资源及安全资源的优先级由SDN控制器,通过PortGroup属性携带给虚拟化管理平台。
需要进一步说明的是,所述网络安全推荐训练模块的训练模型参数包括VTEP负载率、vFW使用率、网络时延、丢包率和VDS负载率。
需要进一步说明的是,所述网络安全推荐训练模块对部署前的虚拟机网络及安全性能进行预测后,与实际部署后进行差异分析训练。
需要进一步说明的是,所述网络安全推荐训练模块的训练模型使用LightGBM算法进行预测:
fm(x)=fm-1(x)+T(x;θm)
其中,x为预测样本,T(x;θm)表示决策树,θm表示决策树参数,包括VTEP负载率、vFW使用率、网络时延、丢包率、VDS负载率,m为树的个数,fm(x)为样本预测值;
训练差异函数表示为:L(yi,fm(xi))=0.5(yi-fm(xi))2
其中,yi为第i个样本的真实值,fm(xi)为第i个样本的预测值;
计算推荐权值:
Figure BDA0003430735000000041
i=1,2,3,4,5
其中,wi为参数权重,xi为上面定义的训练参数样本值,μi是5个参数样本各自对应的均值,σi为参数样本各自对应的标准差;y值越大,表示推荐程度越大。
本申请涉及到的名词解释:
VDS是Virus Detection System的缩写,是一种基于旁路接入方式,能够对网络传输中的数据进行计算机病毒相关检测的设备型产品形态的总称。VDS类网络安全设备为传统的主机协同防病毒机制增加了一条全网警戒线,能够增强大规模网络病毒防范的及时性和准确性,为大规模网络提供网络病毒现状的全局监控视图。另一个是VDS独立代理系统,简而言之就是在Easyweb2.0虚拟主机管理平台基础上增加了代理商/大型企业直接管理其域名、用户、站点的管理界面一种低成本、高可靠性、功能强大、使用简单、维护方便的虚拟独立服务器管理系统。
VDS使用的是全虚拟化技术(Full-virtualization),提供了一个完全独立的虚拟服务器环境,即相当于一台真正的物理机器。在VDS上可以同时运行各种类型的操作系统。典型的技术平台有VMware,Hyper-V等。
VM:虚拟机,虚拟机(Virtual Machine)指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在实体计算机中能够完成的工作在虚拟机中都能够实现。在计算机中创建虚拟机时,需要将实体机的部分硬盘和内存容量作为虚拟机的硬盘和内存容量。每个虚拟机都有独立的CMOS、硬盘和操作系统,可以像使用实体机一样对虚拟机进行操作。
LLDP指链路层发现协议。链路层发现协议(Link Layer Discovery Protocol,LLDP)是一种数据链路层协议。
网络设备可以通过在本地网络中发送LLDPDU(Link Layer Discovery ProtocolData Unit)来通告其他设备自身的状态。是一种能够使网络中的设备互相发现并通告状态、交互信息的协议。
GBP,group-based policy,基于组的策略,提供了声明式的、从使用者意图出发的一种架构。在这个模式下,用户面对的是应用架构本身,而不是Neutron中的各种网络元素。在使用时,用户定义各种“组”,然后定义“组”之间的网络特性,包括安全,性能,网络服务等。
实现GBP的项目比较多,比如OpenStack的GBP,OpenDaylight的GBP和思科的ACI。OpenStack的GBP除了可以驱动Neutron外,还能和OpenDaylight GBP和思科的ACI集成。
Port-group是端口组的意思。Port-group命令就是将要进行同样操纵的端口添加到一个组里,在这个组里进行操作就行了。当然和虚拟局域网一样,Port-group也是可以编号的,可以编多少个没有上限。
SDN控制器是软件定义网络(SDN)中的应用程序,负责流量控制以确保智能网络。SDN控制器是基于如OpenFlow等协议的,允许服务器告诉交换机向哪里发送数据包。
OpenFlow,一种网络通信协议,属于数据链路层,能够控制网上交换器或路由器的转发平面(forwarding plane),借此改变网络数据包所走的网络路径。
与现有技术相比,本发明的有益效果是:
(1)本发明通过智能模型算法训练,根据安全负载、网络负载及网络性能等训练参数因子,并增加Portgroup标识实现云资源、安全资源、网络资源的联动决策;
(2)本发明通过在网络侧标识PortGroup新增HostName属性用于标识VM选择推荐最优网络的主机位置,由云资源管理器进行云主机部署并自动绑定PortGroup,根据新增PortGroup属性可选择接入到空闲的网络设备端口,从而提升整个云网融合资源池内云主机与安全的均衡调度能力;
(3)本发明将安全网络负载信息推送给云资源管理器,通过迭代训练后,由云管理器选择云主机上线的承载物理主机,选择推荐最优安全网络的主机位置,通过自动且智能的方式,实现网络资源均衡利用率。
附图说明
图1为本申请实施例提供安全联动VM部署模块的部署流程示意图;
图2为本申请实施例提出一种安全训练推荐系统的架构图;
图3为传统部署方法和本申请网络部署方法的区别示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供的一种实施例:一种基于安全联动的云主机网络部署方法,包括以下步骤:
①首先在虚拟化管理平台中新增安全联动VM部署模块,在SDN控制器中新增网络安全推荐训练模块;
②VDS根据推送的信息,将计算节点属性与网络进行匹配,并与控制器通信,协同虚拟化管理平台实现计算节点与网络的部署和接入。
请参阅图1,所述安全联动VM部署模块的部署包括以下步骤:
Step1:添加云资源集群管理中心,绑定VDS,建链;
Step2:通过LLDP发现物理服务器主机的网络位置;
Step3:GBP将端口组PortGroup绑定到LogicSwitch;
Step4:由SDN控制器向云资源集群管理中心的VDS推送PortGroup信息;
Step5:VM部署或上线时间通知SDN控制器,配置打通物理网络;
Step6:SDN控制器前台显示VM及其拓扑信息。
所述网络安全推荐训练模块将网络资源及安全资源的优先级由SDN控制器,通过PortGroup属性携带给虚拟化管理平台。
以私有云中部署一台虚拟机为例,资源池中使用VMware的SDN控制器及vFW,选择VTEP负载率、vFW使用率、网络时延、丢包率、VDS负载率为推荐模型的训练参数。
提出一种安全训练推荐系统,其架构见图2,将云主机最优网络部署作为一个非线性规划模型进行推荐训练,将VTEP负载率、vFW使用率、网络时延、丢包率、VDS负载率作为训练模型参数;对部署前的虚拟机网络及安全性能进行预测后,与实际部署后的进行差异分析训练。
使用LightGBM算法进行预测:
fm(x)=fm-1(x)+T(x;θm)
其中,x为预测样本,T(x;θm)表示决策树,θm表示决策树参数,包括VTEP负载率、vFW使用率、网络时延、丢包率、VDS负载率,m为树的个数,fm(x)为样本预测值;
训练差异函数表示为:L(yi,fm(xi))=0.5(yi-fm(xi))2
其中,yi为第i个样本的真实值,fm(xi)为第i个样本的预测值。
计算推荐权值:
Figure BDA0003430735000000081
i=1,2,3,4,5
其中,wi为参数权重,xi为上面定义的训练参数样本值,μi是5个参数样本各自对应的均值,σi为参数样本各自对应的标准差;y值越大,表示推荐程度越大。
如图3所示,传统的云主机网络部署方法和本申请的云主机网络部署方法区别在于(左边为传统方法,右边虚线内为本申请引入的方法):
1.定义一种智能训练模型与云主机联动部署流程,将网络资源及安全资源的优先级由SDN控制器,通过PortGroup属性携带给云资源管理平台,实现了云资源、安全资源、网络资源的联动决策。
2.新增定义网络侧标识PortGroup新增安全推荐优先属性Security priority,将安全网络负载信息推送给云资源管理器,通过迭代训练后,由云管理器选择云主机上线的承载物理主机,选择推荐最优安全网络的主机位置,通过自动智能方式,实现网络资源均衡利用率。

Claims (6)

1.一种基于安全联动的云主机网络部署方法,其特征在于:包括以下步骤:
①首先在虚拟化管理平台中新增安全联动VM部署模块,在SDN控制器中新增网络安全推荐训练模块;
②VDS根据推送的信息,将计算节点属性与网络进行匹配,并与控制器通信,协同虚拟化管理平台实现计算节点与网络的部署和接入。
2.根据权利要求1所述基于安全联动的云主机网络部署方法,其特征在于:所述安全联动VM部署模块的部署包括以下步骤:
Step1:添加云资源集群管理中心,绑定VDS,建链;
Step2:通过LLDP发现物理服务器主机的网络位置;
Step3:GBP将端口组PortGroup绑定到LogicSwitch;
Step4:由SDN控制器向云资源集群管理中心的VDS推送PortGroup信息;
Step5:VM部署或上线时间通知SDN控制器,配置打通物理网络;
Step6:SDN控制器前台显示VM及其拓扑信息。
3.根据权利要求1所述基于安全联动的云主机网络部署方法,其特征在于:所述网络安全推荐训练模块将网络资源及安全资源的优先级由SDN控制器,通过PortGroup属性携带给虚拟化管理平台。
4.根据权利要求1所述基于安全联动的云主机网络部署方法,其特征在于:所述网络安全推荐训练模块的训练模型参数包括VTEP负载率、vFW使用率、网络时延、丢包率和VDS负载率。
5.根据权利要求1所述基于安全联动的云主机网络部署方法,其特征在于:所述网络安全推荐训练模块对部署前的虚拟机网络及安全性能进行预测后,与实际部署后进行差异分析训练。
6.根据权利要求4所述基于安全联动的云主机网络部署方法,其特征在于:所述网络安全推荐训练模块的训练模型使用LightGBM算法进行预测:
fm(x)=fm-1(x)+T(x;θm)
其中,x为预测样本,T(x;θm)表示决策树,θm表示决策树参数,包括VTEP负载率、vFW使用率、网络时延、丢包率、VDS负载率,m为树的个数,fm(x)为样本预测值;
训练差异函数表示为:L(yi,fm(xi))=0.5(yi-fm(xi))2
其中,yi为第i个样本的真实值,fm(xi)为第i个样本的预测值;
计算推荐权值:
Figure FDA0003430734990000021
i=1,2,3,4,5
其中,wi为参数权重,xi为上面定义的训练参数样本值,μi是5个参数样本各自对应的均值,σi为参数样本各自对应的标准差;y值越大,表示推荐程度越大。
CN202111594695.7A 2021-12-24 2021-12-24 一种基于安全联动的云主机网络部署方法 Pending CN114416348A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111594695.7A CN114416348A (zh) 2021-12-24 2021-12-24 一种基于安全联动的云主机网络部署方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111594695.7A CN114416348A (zh) 2021-12-24 2021-12-24 一种基于安全联动的云主机网络部署方法

Publications (1)

Publication Number Publication Date
CN114416348A true CN114416348A (zh) 2022-04-29

Family

ID=81268470

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111594695.7A Pending CN114416348A (zh) 2021-12-24 2021-12-24 一种基于安全联动的云主机网络部署方法

Country Status (1)

Country Link
CN (1) CN114416348A (zh)

Similar Documents

Publication Publication Date Title
CN109561108B (zh) 一种基于策略的容器网络资源隔离控制方法
CN104521199B (zh) 用于分布式虚拟交换机的适应性方法、装置以及设备
CN109802985B (zh) 数据传输方法、装置、设备及可读取存储介质
EP3229405B1 (en) Software defined data center and scheduling and traffic-monitoring method for service cluster therein
Bozakov et al. Autoslice: automated and scalable slicing for software-defined networks
CN102884763B (zh) 跨数据中心的虚拟机迁移方法、服务控制网关及系统
Dai et al. Enabling network innovation in data center networks with software defined networking: A survey
CN104363159A (zh) 一种基于软件定义网络的开放虚拟网络构建系统和方法
EP2774048B1 (en) Affinity modeling in a data center network
CN106850459B (zh) 一种实现虚拟网络负载均衡的方法及装置
CN111638957B (zh) 一种集群共享式公有云负载均衡的实现方法
CN115004661A (zh) 通信服务提供商网络内托管的云计算实例的移动性
CN104584484A (zh) 提供基于策略的数据中心网络自动化的系统和方法
WO2015109803A1 (zh) 一种负荷均衡的方法及系统
Adami et al. An SDN orchestrator for cloud data center: System design and experimental evaluation
Zhang et al. Performance evaluation of Software-Defined Network (SDN) controllers using Dijkstra’s algorithm
Chaudhary et al. A comprehensive survey on software‐defined networking for smart communities
CN114024747A (zh) 基于软件定义nfv的安全服务链编排部署方法及系统
CN116708246A (zh) 传输链路的检测方法及装置、设备及存储介质
CN114416348A (zh) 一种基于安全联动的云主机网络部署方法
Bays et al. Flow based load balancing: Optimizing web servers resource utilization
Chaturvedi et al. Comparative Analysis of Traditional Virtual-LAN with Hybrid Software Defined Networking Enabled Network
Martin de Pozuelo et al. Software defined utility: A step towards a flexible, reliable and low-cost smart grid
Ghorab et al. Sdn-based service discovery and assignment framework to preserve service availability in telco-based multi-access edge computing
Chen et al. A dynamic security traversal mechanism for providing deterministic delay guarantee in SDN

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination