CN114679450A - 一种访问控制方法、装置、电子设备及存储介质 - Google Patents
一种访问控制方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114679450A CN114679450A CN202210129505.2A CN202210129505A CN114679450A CN 114679450 A CN114679450 A CN 114679450A CN 202210129505 A CN202210129505 A CN 202210129505A CN 114679450 A CN114679450 A CN 114679450A
- Authority
- CN
- China
- Prior art keywords
- host
- router
- information
- controller
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 230000001360 synchronised effect Effects 0.000 claims abstract description 35
- 210000001503 joint Anatomy 0.000 claims abstract description 11
- 238000003032 molecular docking Methods 0.000 claims description 22
- 230000008676 import Effects 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 6
- 238000001514 detection method Methods 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000002071 nanotube Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/354—Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种访问控制方法、装置、电子设备及存储介质。所述方法包括:为路由器属性新增站点属性,包括单站点属性或跨站点属性,配置不同控制器之间的对接配置,当有主机上线后,创建该主机对应的端口信息和路由器信息,在判断端口信息关联的安全组规则为同组可入/出规则,且路由器属性为跨站点属性后,通过对接配置将端口信息同步至对端控制器,并根据对端控制器同步的端口信息共同确认同组可入/出规则对应的所有主机信息,根据所有主机信息生成访问控制流表,下发至同组可入/出规则对应的所有主机关联的虚拟交换机,实现了边缘云场景下归属于不同控制器管理的站点间主机通过远端安全组进行访问策略控制的技术。
Description
技术领域
本发明实施例涉及通信技术领域,具体涉及一种访问控制方法、装置、电子设备及存储介质。
背景技术
边缘云计算,简称边缘云,是基于云计算技术的核心和边缘计算的能力,构筑在边缘基础设施之上的云计算平台,形成边缘位置的计算、网络、存储、安全等能力全面的弹性云平台,并与中心云和物联网终端形成“云边端三体协同”的端到端的技术架构,通过将网络转发、存储、计算,智能化数据分析等工作放在边缘处理,降低响应时延、减轻云端压力、降低带宽成本,并提供全网调度、算力分发等云服务。拉远边缘云方案是在移动公有云的基础上,建设边缘云站点,并将边缘云站点连接到公有云数据中心,实现云边协同、计算下沉。其中,公有云解决方案是基于软件定义网络(Software Defined Network,SDN)控制器实现。从纵向层次上看,可分为4个层次:服务层、网络层、控制层、业务层。业务层负责统一管理业务资源,实现计算、存储、网络资源的协同调度。控制层即SDN控制器,北向对接云平台,实现网络资源协同调度,南向纳管网络设备,物理网络Underlay/虚拟网络Overlay统一控制独立界面完成业务编排,租户网络部署自动化。网络层,由物理网络设备组成的Underlay网络,接入层Leaf设备与汇聚层Spine设备全连接,等价多路径提高了网络的可用性。
在边缘云场景下,主站点(例如省节点)和边缘站点分别部署各自的控制器(OpenNetworking Controller,ONC),ONC之间相互独立。当主站点主机上线时,云平台上的主机端口Port信息下发到主站点ONC,边缘站点主机上线时,云平台上的主机端口Port信息下发到边缘站点ONC,ONC根据Port绑定的安全组规则在虚拟交换机VSW上下发开放流openflow流表放通流量。当安全规则策略为同组可入/出时,ONC查询所有绑定了相同安全组的Port,根据Port的IP下发流表,在VSW放通相关流量。
现有技术中,当同一个虚拟私有云(Virtual Private Cloud,VPC)下绑定相同安全规则的主机同时在主站点和边缘站点上线,并且安全组内的安全规则为远端安全组时,由于主站点和边缘站点的ONC是独立部署,互相没有对端的Port信息,因此下发的流表不包含放通对端主机IP的表项,主机间无法互相访问。
发明内容
针对现有技术中的缺陷,本发明实施例提供了一种访问控制方法、装置、电子设备及存储介质。
第一方面,本发明实施例提供一种访问控制方法,应用于边缘云场景中,所述边缘云场景中包括云平台和至少两个控制器,所述方法应用于所述控制器中,所述方法包括:
接收云平台发送的第一通告,所述第一通告是所述云平台在检测到所述控制器关联的第一主机上线后,创建所述第一主机在所述云平台上的端口信息并确定所述第一主机所属的虚拟私有云对应的路由器信息之后发送的,其中所述路由器信息包括路由器属性,所述路由器属性包括单站点属性或跨站点属性,所述云平台根据与所述第一主机属于同一虚拟私有云内所有上线主机对应的控制器数量确定的路由器属性;
根据所述第一通告,同步所述第一主机在所述控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;
若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;
若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;
根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
如上述方法,可选地,所述边缘云场景包括第一控制器和第二控制器,所述第一控制器关联主站点主机,所述第二控制器关联所有边缘站点主机;
或,
所述第一控制器关联所有边缘站点主机,所述第二控制器关联主站点主机。
如上述方法,可选地,在接收云平台发送的第一通告之前还包括:
获取所述其他控制器的配置信息,根据所述配置信息设置预设对接配置。
如上述方法,可选地,所述创建所述第一主机在所述控制器上对应的端口信息,包括:
接收用户输入的安全组规则,根据所述第一主机在所述云平台上的端口信息创建所述第一主机在所述控制器上对应的端口信息,并设置所述端口信息关联的安全组规则为所述用户输入的安全组规则。
如上述方法,可选地,所述获取所述同组可入/出规则关联的所有主机信息之前,还包括:
接收其他控制器同步的端口信息,所述端口信息包括关联的安全组规则;
确定同步的端口信息中安全组规则为所述同组可入/出规则的端口信息对应的主机信息。
第二方面,本发明实施例提供一种访问控制方法,应用于边缘云场景中,所述边缘云场景中包括云平台和控制器,所述方法应用于所述云平台中,所述方法包括:
检测到第一控制器关联第一主机上线后,确定所述第一主机对应的虚拟私有云内所有上线主机对应的控制器数量;
创建所述第一主机在所述云平台上的端口信息,并确定虚拟私有云对应的路由器信息,所述路由器信息包括路由器属性;
根据所述控制器数量设置所述路由器属性,所述路由器属性包括单站点属性或跨站点属性;
向所述第一控制器发送第一通告,以便所述第一控制器根据所述第一通告执行以下步骤:同步所述第一主机在所述第一控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
如上述方法,可选地,所述根据控制器数量设置所述路由器属性,包括:
若所述控制器数量大于1,则设置所述路由器属性为跨站点属性,否则设置所述路由器属性为单站点属性。
如上述方法,可选地,所述确定虚拟私有云对应的路由器信息,包括:
判断所述第一控制器上是否已创建所述虚拟私有云对应的路由器信息;
若未创建,则确定所述第一控制器上待创建的所述虚拟私有云对应的路由器信息,并确定所述路由器属性;
相应地,所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息和所述第一控制器待创建的路由器信息;
若已创建,则判断所述第一控制器上所述路由器信息中的路由器属性是否发生改变;
若所述路由器属性发生改变,则确定所述第一控制器上待更新的路由器信息;
相应地,所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息和所述第一控制器上待更新的路由器信息;
若所述路由器属性未发生改变,则所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息。
如上述方法,可选地,所述确定虚拟私有云对应的路由器信息,包括:
判断所述云平台中所述第一主机关联的路由器信息中的路由器属性是否发生改变;
若所述路由器属性发生改变,则更新路由器信息;
相应地,所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息和更新的路由器信息;
若所述路由器属性未发生改变,则所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息。
第三方面,本发明实施例提供一种控制器,应用于边缘云场景中,所述边缘云场景中包括云平台和至少两个控制器,所述控制器包括:
接收模块,用于接收云平台发送的第一通告,所述第一通告是所述云平台在检测到所述控制器关联的有第一主机上线后,创建所述第一主机在所述云平台上的端口信息并确定所述第一主机所属的虚拟私有云对应的路由器信息之后发送的,其中所述路由器信息包括路由器属性,所述路由器属性包括单站点属性或跨站点属性,所述云平台根据与所述第一主机属于同一虚拟私有云内所有上线主机对应的控制器数量确定的路由器属性;
第一同步模块,用于根据所述第一通告,同步所述第一主机在所述控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;
第二同步模块,用于若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;
第一获取模块,用于若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;
访问控制模块,用于根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
如上述控制器,可选地,所述边缘云场景包括第一控制器和第二控制器,所述第一控制器关联主站点主机,所述第二控制器的关联所有边缘站点主机;
或,
所述第一控制器关联所有边缘站点主机,所述第二控制器关联主站点主机。
如上述控制器,可选地,还包括:第二获取模块;
所述第二获取模块用于在接收云平台发送的第一通告之前获取所述其他控制器的配置信息,根据所述配置信息设置预设对接配置。
如上述控制器,可选地,所述第一同步模块具体用于:
接收用户输入的安全组规则,根据所述第一主机在所述云平台上的端口信息创建所述第一主机在所述控制器上对应的端口信息,并设置所述端口信息关联的安全组规则为所述用户输入的安全组规则。
如上述控制器,可选地,所述接收模块还用于:
在获取所述同组可入/出规则关联的所有主机信息之前,接收其他控制器同步的端口信息,所述端口信息包括关联的安全组规则;
确定同步的端口信息中安全组规则为所述同组可入/出规则的端口信息对应的主机信息。
第四方面,本发明实施例提供一种云平台,应用于边缘云场景中,所述边缘云场景中还包括所述云平台和至少两个控制器,所述云平台包括:
检测模块,用于检测到第一控制器关联的第一主机上线后,确定所述第一主机对应的虚拟私有云内所有上线主机对应的控制器数量;
创建模块,用于创建所述第一主机在所述云平台上的端口信息,并确定虚拟私有云对应的路由器信息,所述路由器信息包括路由器属性;
设置模块,用于根据所述控制器数量设置所述路由器属性,所述路由器属性包括单站点属性或跨站点属性;
发送模块,用于向所述第一控制器发送第一通告,以便所述第一控制器根据所述第一通告执行以下步骤:同步所述第一主机在所述第一控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
如上述云平台,可选地,所述创建模块具体用于:
若所述控制器数量大于1,则设置所述路由器属性为跨站点属性,否则设置所述路由器属性为单站点属性。
如上述云平台,可选地,所述创建模块具体用于:
判断所述云平台上是否已创建所述虚拟私有云对应的路由器信息;
若未创建,则创建所述虚拟私有云对应的路由器信息,并确定所述路由器属性;
相应地,所述发送模块具体用于:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息和创建的路由器信息;
若已创建,则判断所述路由器信息中的路由器属性是否发生改变;
若所述路由器属性发生改变,则更新路由器属性;
相应地,所述发送模块具体用于:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息和更新的路由器信息;
若所述路由器属性未发生改变,则所述发送模块具体用于:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息。
第五方面,本发明实施例提供一种访问控制系统,包括如上所述的云平台和控制器和至少两个如上所述的控制器。
第六方面,本发明实施例提供一种电子设备,包括:
存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如下方法:接收云平台发送的第一通告,所述第一通告是所述云平台在检测到所述控制器关联的第一主机上线后,创建所述第一主机在所述云平台上的端口信息并确定所述第一主机所属的虚拟私有云对应的路由器信息之后发送的,其中所述路由器信息包括路由器属性,所述路由器属性包括单站点属性或跨站点属性,所述云平台根据与所述第一主机属于同一虚拟私有云内所有上线主机对应的控制器数量确定的路由器属性;根据所述第一通告,同步所述第一主机在所述控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
第七方面,本发明实施例提供一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如下方法:接收云平台发送的第一通告,所述第一通告是所述云平台在检测到所述控制器关联的第一主机上线后,创建所述第一主机在所述云平台上的端口信息并确定所述第一主机所属的虚拟私有云对应的路由器信息之后发送的,其中所述路由器信息包括路由器属性,所述路由器属性包括单站点属性或跨站点属性,所述云平台根据与所述第一主机属于同一虚拟私有云内所有上线主机对应的控制器数量确定的路由器属性;根据所述第一通告,同步所述第一主机在所述控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
本发明实施例提供的访问控制方法,为路由器属性信息新增站点属性,包括单站点属性或跨站点属性,配置节点控制器和边缘站点控制器的对接配置,当有主机上线后,创建该主机对应的端口信息和路由器信息,在判断端口信息关联的安全组规则为同组可入/出规则,且路由器属性为跨站点属性后,通过对接配置将端口信息同步至对端控制器,并根据对端控制器同步的端口信息共同确认同组可入/出规则对应的所有主机信息,根据所有主机信息生成访问控制流表,下发至同组可入/出规则对应的所有主机关联的虚拟交换机,通过对接配置实现控制器之间的交互,同步本端的端口信息到对端的控制器,当同一虚拟私有云下主机上线在不同站点时,通过远端安全组规则对应的访问控制流表控制主机之间的互通,实现了边缘云场景下归属于不同控制器管理的站点间主机通过远端安全组进行访问策略控制的技术。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的访问控制系统结构示意图;
图2为本发明实施例提供的访问控制方法流程示意图;
图3为本发明又一实施例提供的访问控制方法流程示意图;
图4为本发明另一实施例提供的访问控制方法流程示意图;
图5为本发明实施例提供的控制器的结构示意图;
图6为本发明实施例提供的云平台的结构示意图;
图7为本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的访问控制系统结构示意图,如图1所示,访问控制系统包括云平台、主站点和边缘站点,主站点和边缘站点的数量可以为多个,一个主站点对应多个边缘站点,主站点按位置分布可以划分为中心节点和省节点等,每个主站点对应一个控制器,记为主站点控制器ONC1,当主站点关联的主机(记为第一主机)上线,即主机在主站点可用区(Available Zone,AZ)上线时,云平台将主机相关配置下发到主站点控制器ONC1,可用区是指节点所管理的区域范围。其中,主机在主站点AZ上线是指,主机在主站点控制器ONC1纳管的虚拟交换机(Visual Switch,VSW)上线,每个VSW只能对应一套ONC,VSW部署在主站点AZ内,例如以图1为例,主站点包括VSW1、VSW2、VSW3和VSW4等,这些VSW共同被主站点控制器ONC1所管理。
访问控制系统中一个主站点可对应多个边缘站点,多个边缘站点中每个边缘站点对应一个AZ,不同的边缘站点对应不同的AZ,边缘站点AZ内虚拟交换机/裸金属服务器应考虑支持虚拟网络Overlay与物理网络Underlay双向互访需求。边缘站点AZ应考虑采用独立南北向出口或共享南北向出口,支持CMNET(中国移动互联网)、IP承载网、专线接入网络需求实现以及相关NATGW(网络地址转换网关)、LB(LoadBalancer,负载均衡器)、IPSecVPN、安全套接层协议SSLVPN、浮动地址FIP、防火墙FW、IPv4&IPv6双栈等功能。边缘站点AZ内、边缘站点AZ之间、边缘站点AZ与省节点/中心节点AZ间应考虑支持虚拟私有云(VirtualPrivate Cloud,VPC)内互通、同AZ和跨AZ的VPC间互通场景。边缘站点可以对应至少一个控制器,记为边缘站点控制器ONC2,例如,所有边缘站点对应一个边缘站点控制器ONC2,当主机在边缘站点AZ上线时,云平台将主机相关配置下发到边缘站点控制器ONC2,其中,主机在边缘站点AZ上线是指,主机在边缘站点控制器ONC2纳管的VSW上线,每个VSW只能对应一套ONC,VSW部署在边缘站点AZ内,例如以图1为例,边缘站点包括边缘站点1和边缘站点2,边缘站点1包括VSW5、VSW6、VSW7等,边缘站点2包括VSW8、VSW9等,边缘站点1和边缘站点2共用一套控制器,则这些VSW共同被边缘站点控制器ONC2所管理。
由于预先已经知道了各个控制器信息,因此,同一云平台管理的控制器之间可以预先获取其他控制器的配置信息,例如,通过用户输入的控制器地址信息和认证方式,在本地控制器上设置对端控制器的预设对接配置。
基于上述系统,本发明实施例提供一种访问控制方法,应用于边缘云场景中,所述边缘云场景中包括云平台和至少两个控制器,所述方法应用于所述控制器中,如图2所示,该方法包括:
步骤S21、接收云平台发送的第一通告;
具体地,当有主机在VSW上线后,云平台通过VSW确定上线主机对应的可用区AZ、虚拟私有云和控制器,并判断与该上线主机(记为第一主机)属于同一虚拟私有云的上线主机对应的控制器数量,在云平台上创建该上线主机(第一主机)在云平台上的端口信息,并确定第一主机所属的虚拟私有云对应的路由器信息。
在一种可能的实施方式中,云平台与控制器上路由器信息是不同步的,云平台可以判断控制器上是否创建了第一主机所属虚拟私有云对应的路由器信息,如果创建了,则继续判断控制器上的路由器信息是否发生了改变。具体地,若控制器上未创建第一主机所属虚拟私有云对应的路由器信息,则确定控制器上待创建的第一主机在云平台上路由器信息,路由器信息包括路由器属性,当同一虚拟私有云的上线主机对应的控制器数量为1时,则设置路由器属性为单站点属性,当同一虚拟私有云的上线主机对应的控制器数量大于1时,则设置路由器属性为跨站点属性。
若控制器上已经创建虚拟私有云对应的路由器信息,则获取控制器上路由器属性,判断路由器信息中的路由器属性是否发生改变,若是则确定控制器待更新的路由器属性,例如路由器属性从单站点属性变为跨站点属性,或路由器属性由跨站点属性变为单站点属性,则相应地,更新路由器属性为跨站点属性或单站点属性。
之后,云平台向第一主机对应的控制器发送第一通告,第一通告携带云平台为第一主机创建的端口信息,端口信息包括端口IP等,此外,若控制器上需要创建路由器信息,则第一通告中还包括了控制器待创建的路由器信息,若控制器需要更新路由器信息,则第一通告中还包括了控制器待更新的路由器信息,若控制器上既不需要创建新的路由器信息且不需要更改已有路由器的属性信息,则第一通告中不再包括路由器信息,仅携带云平台为第一主机创建的端口信息。
在一种可能的实施方式中,云平台与控制器上的路由器信息是同步的。云平台创建、更新路由器信息时,控制器同步创建、更新路由器信息。具体地,当第一主机关联到路由器时,云平台判断路由器信息中的路由器属性是否发生改变,若是则更新路由器属性,例如路由器属性从单站点属性变为跨站点属性,或路由器属性由跨站点属性变为单站点属性,则相应地,更新路由器属性为跨站点属性或单站点属性。
之后,云平台向第一主机对应的控制器发送第一通告,第一通告携带云平台为第一主机创建的端口信息,端口信息包括端口IP等,此外,若云平台更新了路由器信息,则第一通告中还包括了更新的路由器信息,若云平台未更新路由器信息,则第一通告中不再包括路由器信息,仅携带云平台为第一主机创建的端口信息。需要说明的是,云平台与控制器上的路由器信息是同步的情况下,路由器信息可以是在主机上线之前就已经在云平台上创建并在控制器同步的,主机上线后,关联相应的路由器即可。
步骤S22、根据所述第一通告,同步所述第一主机在所述控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;
具体地,控制器首先根据第一通告创建第一主机在控制器上对应的端口信息,端口信息包括关联的安全组规则,其中安全组规则可以是租户默认的安全组规则,也可以是用户自定义创建的安全组规则,控制器在控制器本地根据第一主机在云平台上的端口信息创建第一主机在所述控制器上对应的端口信息,并设置端口信息关联的安全组规则为用户输入的安全组规则。之后,控制器分析第一通告中是否携带路由器信息,若第一通告中携带了更新的路由器信息,则控制器根据第一主机更新的路由器信息更新第一主机在控制器上对应的路由器信息;若第一通告中未携带路由器信息,则控制器不处理路由器信息,其中路由器信息包括了路由器属性。在实际应用中,云平台在创建第一主机的端口信息并确定路由器信息时,还可以设置第一主机的网络信息,例如将第一主机所在的虚拟私有云设置为第一主机的网络信息,同样的,控制器在接收到第一通告之后,可以根据云平台的设置信息设置第一主机的网络信息。
步骤S23、若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;
具体地,如果第一主机对应的路由器属性为跨站点属性,则通过预设的对接配置将第一主机的端口信息同步至与第一主机属于同一虚拟私有云的其他控制器,同步的端口信息包括了端口关联的安全组规则。
步骤S24、若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息;
具体地,如果该端口关联的安全组规则为同组可入/出规则(即同组可入或同组可出规则),则获取该同组可入/出规则关联的所有主机信息,由于该端口对应的路由器属性为跨站点属性且端口关联的安全组规则为同组可入/出规则,即端口关联的为远端安全组规则,通过远端安全组进行控制的安全规则,虚拟交换机上主机对应方向放通绑定远端安全组的主机地址。因此,该同组可入/出规则关联的所有主机信息既包括在自身控制的AZ内绑定了相同安全组的主机,还包括了其他控制器同步绑定了相同安全组的其他主机信息。具体地,接收其他控制器同步的端口信息,同步的端口信息包括关联的安全组规则,确定同步的端口信息中安全组规则为第一主机相同的同组可入/出规则的端口信息对应的主机信息,之后结合自身AZ内关联了相同的同组可入/出规则的端口信息对应的主机信息,将上述两种主机信息共同作为该同组可入/出规则关联的所有主机信息。
步骤S25、根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
具体地,控制器根据主机信息生成访问控制流表,包括安全控制的表项、到同一虚拟私有云下主机路由转发的表项以及默认转发表项,将访问控制流表下发至控制器的可用区内与同组可入/出规则对应的所有主机关联的虚拟交换机,从而跨站点主机之间可通过访问控制流表实现互访。
本发明实施例提供的访问控制方法,为路由器属性信息新增站点属性,包括单站点属性或跨站点属性,配置节点控制器和边缘站点控制器的对接配置,当有主机上线后,创建该主机对应的端口信息并确定路由器信息,在判断端口信息关联的安全组规则为同组可入/出规则,且路由器属性为跨站点属性后,通过对接配置将端口信息同步至对端控制器,并根据对端控制器同步的端口信息共同确认同组可入/出规则对应的所有主机信息,根据所有主机信息生成访问控制流表,下发至同组可入/出规则对应的所有主机关联的虚拟交换机,通过对接配置实现控制器之间的交互,同步本端的端口信息到对端的控制器,当同一虚拟私有云下主机上线在不同站点时,通过远端安全组规则对应的访问控制流表控制主机之间的互通,实现了边缘云场景下归属于不同控制器管理的站点间主机通过远端安全组进行访问策略控制的技术。
基于同一发明构思,本发明实施例还提供一种访问控制方法,应用于边缘云场景中,所述边缘云场景中包括云平台和控制器,所述方法应用于所述云平台中,如图3所示,该方法包括:
步骤S31、检测到第一控制器关联的第一主机上线后,确定所述第一主机对应的虚拟私有云内所有上线主机对应的控制器数量;
步骤S32、创建所述第一主机在所述云平台上的端口信息,并确定所述路由器信息,所述路由器信息包括路由器属性;
步骤S33、根据所述控制器数量设置所述路由器属性,所述路由器属性包括单站点属性或跨站点属性;
步骤S34、向所述第一控制器发送第一通告,以便所述第一控制器根据所述第一通告执行以下步骤:同步所述第一主机在所述第一控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
如上述方法,可选地,所述根据控制器数量设置所述路由器属性,包括:
若所述控制器数量大于1,则设置所述路由器属性为跨站点属性,否则设置所述路由器属性为单站点属性。
如上述方法,可选地,所述确定虚拟私有云对应的路由器信息,包括:
判断所述第一控制器上是否已创建所述虚拟私有云对应的路由器信息;
若未创建,则确定所述第一控制器上待创建的所述虚拟私有云对应的路由器信息,并确定所述路由器属性;
相应地,所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息和所述第一控制器待创建的路由器信息;
若已创建,则判断所述第一控制器上所述路由器信息中的路由器属性是否发生改变;
若所述路由器属性发生改变,则确定所述第一控制器上待更新的路由器信息;
相应地,所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息和所述第一控制器上待更新的路由器信息;
若所述路由器属性未发生改变,则所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息。
如上述方法,可选地,所述确定虚拟私有云对应的路由器信息,包括:
判断所述云平台中所述第一主机关联的路由器信息中的路由器属性是否发生改变;
若所述路由器属性发生改变,则更新路由器信息;
相应地,所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息和更新的路由器信息;
若所述路由器属性未发生改变,则所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息。
在具体实施时,边缘云场景中可设置第一控制器和第二控制器,所述第一控制器关联主站点主机,所述第二控制器关联所有边缘站点主机;或者,所述第一控制器关联所有边缘站点主机,所述第二控制器关联主站点主机,主站点可以为省节点或中心节点,同一虚拟私有云下,主站点对应一个控制器,所有边缘站点对应一个控制器。
云平台网络服务进程Neutron通过判断同一虚拟私有云VPC下的主机是否属于多个控制器ONC,创建或更新单站点或者是跨站点属性的路由器Router;控制器ONC根据端口绑定的安全规则是不是远端安全组决定是否要查询Port信息;ONC根据Port关联的Router属性是不是跨站点属性,决定是否同步对端ONC端口信息,对端ONC的信息通过对接配置获取;流管理模块根据根据本地和对端同步的端口信息生成对应的Openflow流表,流管理模块将生成的Openflow流表下发到VSW,由于Openflow流表中包含对端控制器可用区AZ内的主机信息,因此不同控制器的主机之间可互相访问。
图4为本发明另一实施例提供的访问控制方法流程示意图,以边缘云场景包括云平台Openstack、省节点和多个边缘站点为例,如图4所示,该方法包括:
步骤S401、云平台检测到虚拟私有云VPC上线业务主机;
步骤S402、云平台为上线业务主机创建端口Port,包括Port IP等信息;
步骤S403、云平台判断该VPC业务主机是否跨省节点和边缘站点,若是,则执行步骤S404,否则执行步骤S405;
步骤S404、更新路由器Router信息,Router属性为跨站点属性;
步骤S405、更新路由器Router信息,Router属性为单站点属性;
步骤S406、云平台上的网络服务驱动Networking odl通告上线主机对应的控制器ONC创建或更新该主机对应的Router(路由器)、Network(网络)、Port(端口)、Security-Group(安全组)等相关信息;其中云平台已有上线主机在云平台上的路由器Router信息,则确定Router属性是否有改变,若是,则通告中携带更新的路由器信息;若未改变,则通告中仅携带端口信息,若未创建上线主机在云平台上的路由器Router信息,则通告中携带待创建的路由器Router信息和端口信息。
步骤S407、ONC根据通告信息创建或更新上线主机在ONC上的Router、Network、Port、Security-Group等相关配置;其中,若通告中仅携带Port信息,则创建Port,若通告中还携带了更新的Router信息,则更新Router,若通告中携带了待创建的Router信息,则创建Router。
步骤S408、ONC判断Router属性是否为跨站点属性,若是执行步骤S409,否则执行步骤S410;
步骤S409、ONC同步对端ONC的port信息;
步骤S410、ONC判断端口关联的安全组规则是否为同组可入或同组可出,若是,则执行步骤S411,若否,则执行步骤S412;
步骤S411、ONC查询绑定安全组规则的Port,获取Port信息;
步骤S412、ONC根据Port信息和安全规则通告流管理模块生成表项;
步骤S413、ONC通告本地流管理模块生成表项;
步骤S414、流管理模块通过Openflow下发表项;
步骤S416、VSW配置安装Openflow表项,由于流表中包含对端信息,因此,VSW之间可以互访。
本发明实施例通过实现ONC之间的交互,同步本端的Port信息到对端的ONC,实现了同一VPC下归属于不同控制器管理的站点间主机可以通过远端安全组的安全策略控制主机之间的互通的技术方案。
基于同一发明构思,本发明实施例还提供一种控制器,应用于边缘云场景中,所述边缘云场景中包括云平台和至少两个控制器,如图5所示,所述控制器包括:接收模块51、第一同步模块52、第二同步模块53、第一获取模块54和访问控制模块55,其中:
接收模块51用于接收云平台发送的第一通告,所述第一通告是所述云平台在检测到所述控制器关联的第一主机上线后,创建所述第一主机在所述云平台上的端口信息并确定所述第一主机所属的虚拟私有云对应的路由器信息之后发送的,其中所述路由器信息包括路由器属性,所述路由器属性包括单站点属性或跨站点属性,所述云平台根据与所述第一主机属于同一虚拟私有云内所有上线主机对应的控制器数量确定的路由器属性;第一同步模块52用于根据所述第一通告,同步所述第一主机在所述控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;第二同步模块53用于若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;第一获取模块54用于若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;访问控制模块55用于根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
如上述控制器,可选地,所述边缘云场景包括第一控制器和第二控制器,所述第一控制器关联主站点主机,所述第二控制器关联所有边缘站点主机;
或,
所述第一控制器关联所有边缘站点主机,所述第二控制器关联主站点主机。
如上述控制器,可选地,还包括:第二获取模块;
所述第二获取模块用于在接收云平台发送的第一通告之前获取所述其他控制器的配置信息,根据所述配置信息设置预设对接配置。
如上述控制器,可选地,所述第一同步模块52具体用于:
接收用户输入的安全组规则,根据所述第一主机在所述云平台上的端口信息创建所述第一主机在所述控制器上对应的端口信息,并设置所述端口信息关联的安全组规则为所述用户输入的安全组规则。
如上述控制器,可选地,所述接收模块还用于:
在获取所述同组可入/出规则关联的所有主机信息之前,接收其他控制器同步的端口信息,所述端口信息包括关联的安全组规则;
确定同步的端口信息中安全组规则为所述同组可入/出规则的端口信息对应的主机信息。
基于同样的发明构思,本发明实施例还提供一种云平台,应用于边缘云场景中,所述边缘云场景中还包括所述云平台和至少两个控制器,如图6所示,所述云平台包括:检测模块61、创建模块62、设置模块63和发送模块64,其中:
检测模块61用于检测到第一控制器关联的第一主机上线后,确定所述第一主机对应的虚拟私有云内所有上线主机对应的控制器数量;创建模块62用于创建所述第一主机在所述云平台上的端口信息,并确定虚拟私有云对应的路由器信息,所述路由器信息包括路由器属性;设置模块63用于根据所述控制器数量设置所述路由器属性,所述路由器属性包括单站点属性或跨站点属性;发送模块64用于向所述第一控制器发送第一通告,以便所述第一控制器根据所述第一通告执行以下步骤:同步所述第一主机在所述第一控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
如上述云平台,可选地,所述创建模块62具体用于:
若所述控制器数量大于1,则设置所述路由器属性为跨站点属性,否则设置所述路由器属性为单站点属性。
如上述云平台,可选地,所述创建模块62具体用于:
判断所述第一控制器上是否已创建所述虚拟私有云对应的路由器信息;
若未创建,则确定所述第一控制器上待创建的所述虚拟私有云对应的路由器信息,并确定所述路由器属性;
相应地,所述发送模块64具体用于:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息和所述第一控制器待创建的路由器信息;
若已创建,则判断所述第一控制器上所述路由器信息中的路由器属性是否发生改变;
若所述路由器属性发生改变,则确定所述第一控制器上待更新的路由器信息;
相应地,所述发送模块64具体用于:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息和所述第一控制器上待更新的路由器信息;
若所述路由器属性未发生改变,则所述发送模块64具体用于:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息。
如上述云平台,可选地,所述创建模块62具体用于:
判断所述云平台中所述第一主机关联的路由器信息中的路由器属性是否发生改变;
若所述路由器属性发生改变,则更新路由器信息;
相应地,所述发送模块64具体用于:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息和更新的路由器信息;
若所述路由器属性未发生改变,则所述发送模块64具体用于:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息。
本发明实施例提供的装置,用于实现上述方法,其功能具体参照上述方法实施例,此处不再赘述。
图7为本发明实施例提供的电子设备的结构示意图,如图7所示,所述设备包括:处理器(processor)71、存储器(memory)72和总线73;
其中,处理器71和存储器72通过所述总线73完成相互间的通信;
处理器71用于调用存储器72中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:接收云平台发送的第一通告,所述第一通告是所述云平台在检测到所述控制器关联的第一主机上线后,创建所述第一主机在所述云平台上的端口信息并确定所述第一主机所属的虚拟私有云对应的路由器信息之后发送的,其中所述路由器信息包括路由器属性,所述路由器属性包括单站点属性或跨站点属性,所述云平台根据与所述第一主机属于同一虚拟私有云内所有上线主机对应的控制器数量确定的路由器属性;根据所述第一通告,同步所述第一主机在所述控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:接收云平台发送的第一通告,所述第一通告是所述云平台在检测到所述控制器关联的第一主机上线后,创建所述第一主机在所述云平台上的端口信息并确定所述第一主机所属的虚拟私有云对应的路由器信息之后发送的,其中所述路由器信息包括路由器属性,所述路由器属性包括单站点属性或跨站点属性,所述云平台根据与所述第一主机属于同一虚拟私有云内所有上线主机对应的控制器数量确定的路由器属性;根据所述第一通告,同步所述第一主机在所述控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:接收云平台发送的第一通告,所述第一通告是所述云平台在检测到所述控制器关联的第一主机上线后,创建所述第一主机在所述云平台上的端口信息并确定所述第一主机所属的虚拟私有云对应的路由器信息之后发送的,其中所述路由器信息包括路由器属性,所述路由器属性包括单站点属性或跨站点属性,所述云平台根据与所述第一主机属于同一虚拟私有云内所有上线主机对应的控制器数量确定的路由器属性;根据所述第一通告,同步所述第一主机在所述控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明的实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的各实施例技术方案的范围。
Claims (14)
1.一种访问控制方法,其特征在于,应用于边缘云场景中,所述边缘云场景中包括云平台和至少两个控制器,所述方法应用于所述控制器中,所述方法包括:
接收云平台发送的第一通告,所述第一通告是所述云平台在检测到所述控制器关联的第一主机上线后,创建所述第一主机在所述云平台上的端口信息并确定所述第一主机所属的虚拟私有云对应的路由器信息之后发送的,其中所述路由器信息包括路由器属性,所述路由器属性包括单站点属性或跨站点属性,所述云平台根据与所述第一主机属于同一虚拟私有云内所有上线主机对应的控制器数量确定的路由器属性;
根据所述第一通告,同步所述第一主机在所述控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;
若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;
若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;
根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
2.根据权利要求1所述的方法,其特征在于,所述边缘云场景包括第一控制器和第二控制器,所述第一控制器关联主站点主机,所述第二控制器关联所有边缘站点主机;
或,
所述第一控制器关联所有边缘站点主机,所述第二控制器关联主站点主机。
3.根据权利要求1所述的方法,其特征在于,在接收云平台发送的第一通告之前还包括:
获取所述其他控制器的配置信息,根据所述配置信息设置预设对接配置。
4.根据权利要求1所述的方法,其特征在于,所述创建所述第一主机在所述控制器上对应的端口信息,包括:
接收用户输入的安全组规则,根据所述第一主机在所述云平台上的端口信息创建所述第一主机在所述控制器上对应的端口信息,并设置所述端口信息关联的安全组规则为所述用户输入的安全组规则。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述获取所述同组可入/出规则关联的所有主机信息之前,还包括:
接收其他控制器同步的端口信息,所述端口信息包括关联的安全组规则;
确定同步的端口信息中安全组规则为所述同组可入/出规则的端口信息对应的主机信息。
6.一种访问控制方法,其特征在于,应用于边缘云场景中,所述边缘云场景中包括云平台和控制器,所述方法应用于所述云平台中,所述方法包括:
检测到第一控制器关联的第一主机上线后,确定所述第一主机对应的虚拟私有云内所有上线主机对应的控制器数量;
创建所述第一主机在所述云平台上的端口信息,并确定虚拟私有云对应的路由器信息,所述路由器信息包括路由器属性;
根据所述控制器数量设置所述路由器属性,所述路由器属性包括单站点属性或跨站点属性;
向所述第一控制器发送第一通告,以便所述第一控制器根据所述第一通告执行以下步骤:同步所述第一主机在所述第一控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
7.根据权利要求6所述的方法,其特征在于,所述根据控制器数量设置所述路由器属性,包括:
若所述控制器数量大于1,则设置所述路由器属性为跨站点属性,否则设置所述路由器属性为单站点属性。
8.根据权利要求7所述的方法,其特征在于,所述确定虚拟私有云对应的路由器信息,包括:
判断所述第一控制器上是否已创建所述虚拟私有云对应的路由器信息;
若未创建,则确定所述第一控制器上待创建的所述虚拟私有云对应的路由器信息,并确定所述路由器属性;
相应地,所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息和所述第一控制器待创建的路由器信息;
若已创建,则判断所述第一控制器上所述路由器信息中的路由器属性是否发生改变;
若所述路由器属性发生改变,则确定所述第一控制器上待更新的路由器信息;
相应地,所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息和所述第一控制器上待更新的路由器信息;
若所述路由器属性未发生改变,则所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息。
9.根据权利要求7所述的方法,其特征在于,所述确定虚拟私有云对应的路由器信息,包括:
判断所述云平台中所述第一主机关联的路由器信息中的路由器属性是否发生改变;
若所述路由器属性发生改变,则更新路由器信息;
相应地,所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息和更新的路由器信息;
若所述路由器属性未发生改变,则所述向所述第一控制器发送第一通告,包括:
向所述第一控制器发送第一通告,所述第一通告携带所述第一主机在所述云平台上的端口信息。
10.一种控制器,其特征在于,应用于边缘云场景中,所述边缘云场景中包括云平台和至少两个控制器,所述控制器包括:
接收模块,用于接收云平台发送的第一通告,所述第一通告是所述云平台在检测到所述控制器关联的第一主机上线后,创建所述第一主机在所述云平台上的端口信息并确定所述第一主机所属的虚拟私有云对应的路由器信息之后发送的,其中所述路由器信息包括路由器属性,所述路由器属性包括单站点属性或跨站点属性,所述云平台根据与所述第一主机属于同一虚拟私有云内所有上线主机对应的控制器数量确定的路由器属性;
第一同步模块,用于根据所述第一通告,同步所述第一主机在所述控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;
第二同步模块,用于若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;
第一获取模块,用于若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;
访问控制模块,用于根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
11.一种云平台,其特征在于,应用于边缘云场景中,所述边缘云场景中还包括所述云平台和至少两个控制器,所述云平台包括:
检测模块,用于检测到第一控制器关联的第一主机上线后,确定所述第一主机对应的虚拟私有云内所有上线主机对应的控制器数量;
创建模块,创建所述第一主机在所述云平台上的端口信息,并确定虚拟私有云对应的路由器信息,所述路由器信息包括路由器属性;
设置模块,用于根据所述控制器数量设置所述路由器属性,所述路由器属性包括单站点属性或跨站点属性;
发送模块,用于向所述第一控制器发送第一通告,以便所述第一控制器根据所述第一通告执行以下步骤:同步所述第一主机在所述第一控制器上对应的端口信息和路由器信息,所述端口信息包括关联的安全组规则;若所述路由器属性为跨站点属性,则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器;若所述安全组规则为同组可入/出规则,则获取所述同组可入/出规则关联的所有主机信息,其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息;根据所述所有主机信息生成访问控制流表,将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
12.一种访问控制系统,其特征在于,包括如权利要求11所述的云平台和控制器和至少两个如权利要求10所述的控制器。
13.一种电子设备,其特征在于,包括:
存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至9任一项所述的方法。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至9任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210129505.2A CN114679450A (zh) | 2022-02-11 | 2022-02-11 | 一种访问控制方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210129505.2A CN114679450A (zh) | 2022-02-11 | 2022-02-11 | 一种访问控制方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114679450A true CN114679450A (zh) | 2022-06-28 |
Family
ID=82071601
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210129505.2A Pending CN114679450A (zh) | 2022-02-11 | 2022-02-11 | 一种访问控制方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114679450A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115297004A (zh) * | 2022-07-25 | 2022-11-04 | 紫光云技术有限公司 | 一种单可用区内vpc对等连接实现方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106936715A (zh) * | 2015-12-31 | 2017-07-07 | 新华三技术有限公司 | 虚拟机报文控制方法及装置 |
CN107959689A (zh) * | 2018-01-10 | 2018-04-24 | 北京工业大学 | 一种云平台租户网络隔离测试方法 |
EP3435599A1 (en) * | 2017-07-28 | 2019-01-30 | Juniper Networks, Inc. | Service level agreement based next-hop selection |
US20190182213A1 (en) * | 2017-12-13 | 2019-06-13 | Teloip Inc. | System, apparatus and method for providing a unified firewall manager |
CN111106991A (zh) * | 2018-10-29 | 2020-05-05 | 中国移动通信集团浙江有限公司 | 一种云专线系统及其业务发放和开通方法 |
CN111934919A (zh) * | 2020-07-28 | 2020-11-13 | 厦门潭宏信息科技有限公司 | 一种网络融合及其组网方法、设备及存储介质 |
CN113316919A (zh) * | 2019-01-18 | 2021-08-27 | 思科技术公司 | 无缝多云路由和策略互连 |
CN113760450A (zh) * | 2021-07-23 | 2021-12-07 | 苏州浪潮智能科技有限公司 | 私有云虚拟机自动安全管理方法、装置、终端及存储介质 |
-
2022
- 2022-02-11 CN CN202210129505.2A patent/CN114679450A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106936715A (zh) * | 2015-12-31 | 2017-07-07 | 新华三技术有限公司 | 虚拟机报文控制方法及装置 |
EP3435599A1 (en) * | 2017-07-28 | 2019-01-30 | Juniper Networks, Inc. | Service level agreement based next-hop selection |
US20190182213A1 (en) * | 2017-12-13 | 2019-06-13 | Teloip Inc. | System, apparatus and method for providing a unified firewall manager |
CN107959689A (zh) * | 2018-01-10 | 2018-04-24 | 北京工业大学 | 一种云平台租户网络隔离测试方法 |
CN111106991A (zh) * | 2018-10-29 | 2020-05-05 | 中国移动通信集团浙江有限公司 | 一种云专线系统及其业务发放和开通方法 |
CN113316919A (zh) * | 2019-01-18 | 2021-08-27 | 思科技术公司 | 无缝多云路由和策略互连 |
CN111934919A (zh) * | 2020-07-28 | 2020-11-13 | 厦门潭宏信息科技有限公司 | 一种网络融合及其组网方法、设备及存储介质 |
CN113760450A (zh) * | 2021-07-23 | 2021-12-07 | 苏州浪潮智能科技有限公司 | 私有云虚拟机自动安全管理方法、装置、终端及存储介质 |
Non-Patent Citations (1)
Title |
---|
施巍松;孙辉;曹杰;张权;刘伟;: "边缘计算:万物互联时代新型计算模型", 计算机研究与发展, no. 05 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115297004A (zh) * | 2022-07-25 | 2022-11-04 | 紫光云技术有限公司 | 一种单可用区内vpc对等连接实现方法 |
CN115297004B (zh) * | 2022-07-25 | 2024-05-24 | 紫光云技术有限公司 | 一种单可用区内vpc对等连接实现方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9906407B1 (en) | Methods and apparatus for scalable resilient networks | |
CN104702512B (zh) | 为软件定义网络提供网络管理的分级控制系统及计算机实现方法 | |
CN109478179A (zh) | IoT设备连接、发现和联网 | |
CN104113879B (zh) | 部署有云AC的WiFi通信系统和通信方法 | |
WO2015117401A1 (zh) | 信息的处理方法及装置 | |
CN106487556B (zh) | 业务功能sf的部署方法及装置 | |
US10630508B2 (en) | Dynamic customer VLAN identifiers in a telecommunications network | |
CN102571587B (zh) | 报文转发方法和设备 | |
EP3909208B1 (en) | Software defined access fabric without subnet restriction to a virtual network | |
CN107544841B (zh) | 虚拟机热迁移方法和系统 | |
CN104429028B (zh) | 基于sdn的网络配置方法、装置及系统 | |
CN106452857A (zh) | 生成配置信息的方法和网络控制单元 | |
CN104090825A (zh) | 动态迁移计算机网络 | |
CN107733795B (zh) | 以太网虚拟私有网络evpn与公网互通方法及其装置 | |
JP2018536345A (ja) | ファイアウォールクラスタ | |
CN112822085B (zh) | 网络部署的方法及系统 | |
CN110932876B (zh) | 一种通信系统、方法及装置 | |
CN104092621A (zh) | 一种负载分担方法和装置 | |
JP2019519146A (ja) | ルーティング確立、パケット送信 | |
CN102724767A (zh) | 一种移动用户的虚拟专用网接入方法及其装置 | |
CN115955456A (zh) | 基于IPv6的企业园区网及组网方法 | |
CN106357723A (zh) | 一种基于云主机的多集群缓存信息同步系统和方法 | |
CN114679450A (zh) | 一种访问控制方法、装置、电子设备及存储介质 | |
CN114650290B (zh) | 网络连通的方法、处理装置、终端及存储介质 | |
CN102638396B (zh) | 负载均衡方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |