CN115484208A - 一种基于云安全资源池的分布式引流系统和方法 - Google Patents
一种基于云安全资源池的分布式引流系统和方法 Download PDFInfo
- Publication number
- CN115484208A CN115484208A CN202211127626.XA CN202211127626A CN115484208A CN 115484208 A CN115484208 A CN 115484208A CN 202211127626 A CN202211127626 A CN 202211127626A CN 115484208 A CN115484208 A CN 115484208A
- Authority
- CN
- China
- Prior art keywords
- resource pool
- configuration information
- cloud security
- logic configuration
- security resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 230000015556 catabolic process Effects 0.000 claims abstract description 24
- 238000006731 degradation reaction Methods 0.000 claims abstract description 24
- 230000002159 abnormal effect Effects 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 15
- 230000001360 synchronised effect Effects 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 abstract 1
- 238000012544 monitoring process Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 238000012423 maintenance Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0668—Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/24—Multipath
- H04L45/245—Link aggregation, e.g. trunking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/28—Routing or path finding of packets in data switching networks using route fault recovery
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于云安全资源池的分布式引流系统和方法,其中,该基于云安全资源池的分布式引流方法包括:为云安全资源池中的每个物理服务器都创建至少一个ovs交换机和至少一个控制器;控制器用于检测对应的物理服务器上的安全网元状态、向对应的物理服务器上的ovs交换机下发流表及控制ovs交换机根据流表实现流量引流;接收控制器发送的告警信号;根据接收到的告警信号触发服务降级生成新的逻辑配置信息,并下发所述新的逻辑配置信息至云安全资源池,通过本申请,解决了云安全资源池引流防护失效的问题,实现了某个节点故障不影响整体流量链路,只损失故障节点的防护能力,最大限度保障防护能力。
Description
技术领域
本发明属于安全资源池流量引流系统领域,具体是涉及一种基于云安全资源池的分布式引流系统和方法。
背景技术
随着云计算技术的火热,云计算安全获得了更多关注,被各行各业用户所重视。企业将其业务上云后,需要云安全。不想投入过多安全运维成本时,同样需要云安全。而云安全发挥作用基于云安全产品的引流,即将用户流量访问用户业务之前先经过云安全产品,经过安全产品的防护拦截后最终到达用户资产。因此云安全产品作为用户业务的一道网关,其可用性至关重要。
中国专利CN113300952B公开了一种云安全资源池中分布式引流方法及系统,引入了SDN交换机,由于SDN交换机可以通过Open Flow协议连接SDN控制器,接收SDN服务器对其下发的流表,也可以对其内部接口对数据包的接收和发送以及bypass路径进行设置,由此使兼顾高可靠性的和高灵活性的引流需求成为可能,通过使用SDN技术解决了云安全产品引流的技术问题,但忽略了SDN交换机或者安全网元故障导致的流量链路中断问题。方案描述的引流方案中只考虑SDN交换机中某个接口故障后进行流表变配将流量引流至其他接口,但当被引流的网元出现故障时,流量链路将被中断,轻则整个安全资源池防护失效,重则导致被防护业务故障。
并且该方案中SDN交换机与最终需要与安全资源池链接,而安全资源池载体通常为裸金属服务器,其网口数量有限,因此其具备的容灾能力有限。因此该技术重点在于通过SDN控制器下发openflow流表将流量的引流而非体现安全资源池的高可用性。
针对相关技术中存在云安全资源池引流防护失效问题,目前还没有提出有效的解决方案。
发明内容
在本实施例中提供了一种基于云安全资源池的分布式引流系统和方法,以解决相关技术中存在云安全资源池引流高可用的问题。
第一个方面,在本实施例中提供了一种基于云安全资源池的分布式引流系统,所述系统包括云安全资源池、控制模块、核心交换机;
所述云安全资源池包括多个物理服务器,每个所述物理服务器包括至少一个ovs交换机、至少一个控制器和多个安全网元;
所述控制器,向对应的所述物理服务器的ovs交换机下发流表,并控制所述ovs交换机根据所述流表实现流量引流,以及检测对应的所述物理服务器上的安全网元状态,当所述安全网元状态异常时,向所述控制模块发送告警信号;
所述控制模块,根据接收到的告警信号触发服务降级生成新的逻辑配置信息,并下发所述新的逻辑配置信息至所述云安全资源池;
每个所述物理服务器包含两个网口,所述物理服务器通过其中一个所述网口与所述核心交换机连接、通过另一个所述网口与所述物理服务器连接。
在其中的一些实施例中,所述控制模块接收所述核心交换机传输的数据包,根据所述数据包编排所述云安全资源池的流量链路,根据所述流量链路下发逻辑配置信息。
在其中的一些实施例中,所述系统还包括存储模块;所述存储模块与所述控制模块和所述云安全资源池连接;所述存储模块为etcd集群,所述存储模块包括多个存储节点,所述多个存储节点之间可以同步信息;所述存储模块接收所述控制模块下发的逻辑配置信息。
在其中的一些实施例中,每个所述控制器,监听所述存储模块中所述逻辑配置信息是否发生变化,若发生变化,获取新的逻辑配置信息,将所述新的逻辑配置信息转化为新的流表,并根据所述新的流表修改对应的所述ovs交换机的流表。
在其中的一些实施例中,所述服务降级为根据当前流量链路,排除当前异常网元,得到新的链路,根据所述新的链路生成所述新的逻辑配置信息,并下发所述新的逻辑配置信息。
第二个方面,在本实施例中提供了一种基于云安全资源池的分布式引流方法,为所述云安全资源池中的每个物理服务器都创建至少一个ovs交换机和至少一个控制器;所述控制器用于检测对应的所述物理服务器上的安全网元状态、向对应的所述物理服务器上的ovs交换机下发流表及控制所述ovs交换机根据所述流表实现流量引流;
接收所述控制器发送的告警信号;所述告警信号为所述控制器检测到所述安全网元状态异常时发送的信号;
根据接收到的告警信号触发服务降级生成新的逻辑配置信息,并下发所述新的逻辑配置信息至所述云安全资源池。
在其中的一些实施例中,所述根据接收到的告警信号触发服务降级生成新的逻辑配置信息包括:
根据当前流量链路,排除当前异常网元,得到新的链路,根据所述新的链路生成所述新的逻辑配置信息,并下发所述新的逻辑配置信息。
第三个方面,在本实施例中提供了一种基于云安全资源池的分布式引流装置,所述装置包括:
创建模块,用于为所述云安全资源池中的每个物理服务器都创建至少一个ovs交换机和至少一个控制器;所述控制器用于检测对应的所述物理服务器上的安全网元状态、向对应的所述物理服务器上的ovs交换机下发流表及控制所述ovs交换机根据所述流表实现流量引流;
接收模块,用于接收所述控制器发送的告警信号;所述告警信号为所述控制器检测到所述安全网元状态异常时发送的信号;
生成模块,用于根据接收到的告警信号触发服务降级生成新的逻辑配置信息,并下发所述新的逻辑配置信息至所述云安全资源池。
第四个方面,在本实施例中提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第二个方面所述的基于云安全资源池的分布式引流方法。
第五个方面,在本实施例中提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第二个方面所述的基于云安全资源池的分布式引流方法。
与相关技术相比,在本实施例中通过为云安全资源池中的每个物理服务器都创建至少一个ovs交换机和至少一个控制器;控制器用于检测对应的物理服务器上的安全网元状态、向对应的物理服务器上的ovs交换机下发流表及控制所述ovs交换机根据流表实现流量引流;接收控制器发送的告警信号;告警信号为控制器检测到安全网元状态异常时发送的信号;根据接收到的告警信号触发服务降级生成新的逻辑配置信息,并下发所述新的逻辑配置信息至云安全资源池,解决了云安全资源池引流防护失效的问题,实现了某个节点故障不影响整体流量链路,只损失故障节点的防护能力,最大限度保障防护能力。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本实施例的一种基于云安全资源池的分布式引流方法的终端的硬件结构框图;
图2是本实施例的一种基于云安全资源池的分布式引流系统的结构示意图;
图3是本优选实施例的一种基于云安全资源池的分布式引流系统的结构示意图;
图4是本实施例的一种基于云安全资源池的分布式引流方法的流程图;
图5是本优选实施例的一种基于云安全资源池的分布式引流方法的流程图;
图6是本实施例的一种基于云安全资源池的分布式引流装置的结构示意图。
具体实施方式
为更清楚地理解本申请的目的、技术方案和优点,下面结合附图和实施例,对本申请进行了描述和说明。
除另作定义外,本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制,它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体,其目的是涵盖不排他的包含;例如,包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元),而可包括未列出的步骤或模块(单元),或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接,而可以包括电气连接,无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。通常情况下,字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等,只是对相似对象进行区分,并不代表针对对象的特定排序。
在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行,图1是本实施例的一种基于云安全资源池的分布式引流方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104,其中,处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限制。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示出的不同配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如在本实施例中的一种基于云安全资源池的分布式引流方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(NetworkInterface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种基于云安全资源池的分布式引流系统,图2是本实施例的一种基于云安全资源池的分布式引流系统的结构示意图,如图2所示,该基于云安全资源池的分布式引流系统包括:云安全资源池10、控制模块20、核心交换机30。
云安全资源池10包括多个物理服务器11,每个物理服务器11包括至少一个ovs交换机112、至少一个控制器111和多个安全网元113;
控制器111,向对应的物理服务器的ovs交换机112下发流表,并控制ovs交换机112根据流表实现流量引流,以及检测对应的物理服务器上的安全网元状态,当安全网元状态异常时,向控制模块20发送告警信号;
控制模块20,根据接收到的告警信号触发服务降级生成新的逻辑配置信息,并下发新的逻辑配置信息至云安全资源池10;
每个物理服务器11包含两个网口,物理服务器11通过其中一个网口与核心交换机连接、通过另一个网口与其他物理服务器连接。
在其中的一些实施例中,控制模块20接收核心交换机30传输的数据包,根据数据包编排云安全资源池的流量链路,根据流量链路下发逻辑配置信息。
具体的,控制模块20接收到核心交换机30传输的数据包,解析数据包中的信息,根据解析的信息,编排云安全资源池的流量链路,根据流量链路下发逻辑配置信息。控制器根据下发逻辑配置信息,生成最新的流表,让物理节点上的OVS交换机根据最新的流表使流量经过不同物理节点上的网元。
进一步的,还可以是控制模块提供管理页面供运维人员记录各个安全资源池网元信息,编排配置安全资源池中的流量逻辑链路,将编排后的流量逻辑链路通过算法转换为逻辑配置信息下发给存储模块。控制器监测存储模块中的逻辑配置信息是否发生变化,当发生变化,则根据最新的逻辑配置信息生成最新的流表,让物理节点上的OVS交换机根据最新的流表使流量经过不同物理节点上的网元。
在其中的一些实施例中,系统还包括存储模块40;存储模块40与控制模块20和云安全资源池10连接;存储模块40为etcd集群,存储模块40包括多个存储节点,多个存储节点之间可以同步信息;存储模块40接收控制模块20下发的逻辑配置信息。
具体的,etcd集群是一个分布式系统,由多个节点相互通信构成整体对外服务,每个节点都存储了完整的数据,并且通过Raft协议保证每个节点维护的数据是一致的,当其中一个节点接收到控制模块下发的配置信息,会可靠的同步到其他节点。
进一步的,存储模块基于etcd实现,用于存储CTL下发给安全资源池物理机节点agent的配置、安全资源池内各节点心跳信息、配置版本等信息。etcd自身具备分布式及集群特性保障了存储模块的高可用性。同时控制模块数据存储于存储模块,业务本身无状态,依赖etcd的高可用特性通过多业务节点来实现控制模块的高可用。
在其中的一些实施例中,每个控制器,监听存储模块中逻辑配置信息是否发生变化,若发生变化,获取新的逻辑配置信息,将新的逻辑配置信息转化为新的流表,并根据新的流表修改对应的ovs交换机的流表。
在其中的一些实施例中,服务降级为根据当前流量链路,排除当前异常网元,得到新的链路,根据新的链路生成新的逻辑配置信息,并下发新的逻辑配置信息。
具体的,示例性的,当前流量链路为A1-B3-C5,但检测到安全网元B3故障,此时控制模块响应于告警信息,实施服务降级,将当前异常网元B3排除,得到新的链路为A1-C5,根据新的链路A1-C5生成新的逻辑配置信息,并下发新的逻辑配置信息。
图3是本优选实施例的基于云安全资源池的分布式引流系统的结构示意图,如图3所示,该系统包括:控制模块20,存储模块40,转发模块50,监控模块60和核心交换机30。
转发模块50基于OpenvSwitch交换机实现;存储模块40基于etcd集群存储转发模块50中openflow流表规则的逻辑配置;监控模块60用于监听云安全资源池、转发节点等资源心跳,通知控制模块20下发降级策略,通知运维人员应急相应;控制模块20负责编排下发引流策略,管理转发模块50openflow流表规则。
CTL代表控制模块20(以下简称CTL),提供管理页面供运维人员记录云安全资源池中的各个网元信息,编排配置云安全资源池中的防护链路,控制模块20可将编排后的逻辑链路通过算法转换为配置下发给存储模块40。
存储模块40基于etcd实现,用于存储CTL下发给云安全资源池物理机节点agent(以下简称LET)的配置、云安全资源池内各节点心跳信息、配置版本等信息。etcd自身具备分布式及集群特性保障了存储模块的高可用性。同时控制模块数据存储于存储模块,业务本身无状态,依赖etcd的高可用特性通过多业务节点来实现控制模块的高可用。
具体的,etcd是一种分布式高可用键值对存储数据库。
转发模块50主要包含由多个物理服务器组成的云安全资源池以及每个物理服务器中的ovs交换机和LET。其中LET作为agent监听存储模块中配置逻辑的变化,从而控制本物理服务器节点上的ovs交换机流表实现流量引流,并且时刻监听本节点网元心跳状态,向监控模块60上报数据。物理服务器提供两个网口,一个用于与核心交换机30链接,用于收发业务流量,另一个用于节点间互联。
监控模块60基于收集各物理节点上报的监控数据,当出现节点故障时,向CTL告警,促使CTL触发降级策略,并通知运维人员及时处理故障。
本系统将控制面与转发面解藕,提高了云安全资源池引流的高可用性、拓展性及伸缩性,缩短引流策略变更用时消耗,保障业务流量连续性,提升整体业务的健壮性。
在本实施例中还提供了一种基于云安全资源池的分布式引流方法。图4是本实施例的一种基于云安全资源池的分布式引流方法的流程图,如图4所示,该流程包括如下步骤:
步骤S401,为云安全资源池中的每个物理服务器都创建至少一个ovs交换机和至少一个控制器;控制器用于检测对应的物理服务器上的安全网元状态、向对应的物理服务器上的ovs交换机下发流表及控制ovs交换机根据流表实现流量引流;
步骤S402,接收控制器发送的告警信号;告警信号为控制器检测到安全网元状态异常时发送的信号;
步骤S403,根据接收到的告警信号触发服务降级生成新的逻辑配置信息,并下发新的逻辑配置信息至云安全资源池。
通过上述步骤,为云安全资源池中的每个物理服务器都创建至少一个ovs交换机和至少一个控制器;通过控制器检测对应的物理服务器上的安全网元状态和向对应的物理服务器上的ovs交换机下发流表及控制ovs交换机根据流表实现流量引流,当控制器检测到安全网元状态异常时发送的告警信号给控制模块,控制模块接收到的告警信号触发服务降级生成新的逻辑配置信息,并下发新的逻辑配置信息至云安全资源池,控制器监测到新的逻辑配置信息,生成最新的流表,删除之前下发的bypass流表,控制本节点ovs交换机按照最新的流表,实现流量引流。实现了在安全资源池的各物理节点中提供agent,将整个资源池由大化小,各节点自洽,保证了某个节点故障不影响整体流量链路,只损失故障节点的防护能力,而不是全局bypass导致整体防护能力丧失。
在其中的一些实施例中,根据接收到的告警信号触发服务降级生成新的逻辑配置信息包括:根据当前流量链路,排除当前异常网元,得到新的链路,根据新的链路生成新的逻辑配置信息,并下发新的逻辑配置信息。
下面通过优选实施例对本实施例进行描述和说明。
图5是本优选实施例的一种基于云安全资源池的分布式引流方法的流程图,如图3和图5所示,该一种基于云安全资源池的分布式引流方法包括如下步骤:
步骤S501,编排流量链路,下发逻辑配置;
具体的,控制模块20提供流量编排能力,例如某业务场景需要流量经过3种安全网元:下一代防火墙-IPSec-流量审计。安全资源池提供由多个同类型网元组成的网元组,示例性的,假设A代表防火墙网元组,B代表IPSec网元组,C代表流量审计网元组,A1为防火墙1,A2为防火墙2,B1为IPSec1,B2为IPSec2以此类推,各网元负载在不同的物理节点上。控制模块20根据负载均衡策略编排出流量链路为A1-B3-C5,因此下发逻辑配置,让节点上的OVS交换机控制流表使流量经过不同物理节点上的网元。
步骤S502,接收告警信号,实施服务降级。
具体的,转发模块50中各节点的agent(LET)监听存储模块40中配置键值发生变化,拉取新配置,将配置转化为流表规则向本地ovs交换机下发指令,从而修改本地ovs交换机流表。
进一步的,将物理节点Host1的入口流量转发到节点虚拟机A1入口上,将A1出口流量转发到Host2入口;Host2交换机控制入口流量转发到B3上并控制B3出来的流量通过Host2出口转到Host3;Host3交换机控制入口流量转发到C5入口,并将C5出口流量通过Host3出口回到核心交换机30转向业务,从而完成引流。
进一步的,LET还具备心跳检测机制,收集本地节点运行的各网元状态,并向监控节点上报健康信息。如果LET监听本节点存在网元故障下线,例如Host2节点的LET发现B3不通。将向监控模块60上报信息,并且下发本地最高优先级bypass流表,让原本需要经过B3的流量直接从Host2入口转发向Host2出口,从而在配置更新前保障业务流量不中断,实现降级处理。
进一步的,当监控节点检测到某节点网元故障,例如B3故障下线,向控制模块20推送故障时间并通过预设的邮件/短信等手段告知运维人员。控制模块20可给该业务重新负载一台B类网元,并重新下发配置;也可运维人员响应处理,恢复B3后可操作控制模块20恢复原本链路配置。当Host2中LET监听到配置更新,删除之前下发的bypass流表,控制本节点ovs交换机生成新的流表,重新将Host2的入口流量引流到配置的节点,从而恢复流量的防护效果。
进一步的,存储模块40接收控制模块20下发的配置信息,存储并同步到其他存储节点,从而保障配置数据的高可用。
进一步的,在主备的场景下,监控模块起到仲裁效果,视为第三方仲裁者,监控集群与控制集群实现第三方仲裁效果,避免双链路备份的脑裂问题。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中还提供了一种基于云安全资源池的分布式引流装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图6是本实施例的一种基于云安全资源池的分布式引流装置的结构框图,如图6所示,该装置包括:创建模块70、接收模块80、生成模块90。
创建模块70,用于为云安全资源池中的每个物理服务器都创建至少一个ovs交换机和至少一个控制器;控制器用于检测对应的物理服务器上的安全网元状态、向对应的物理服务器上的ovs交换机下发流表及控制ovs交换机根据流表实现流量引流;
接收模块80,用于接收控制器发送的告警信号;告警信号为控制器检测到安全网元状态异常时发送的信号;
生成模块90,用于根据接收到的告警信号触发服务降级生成新的逻辑配置信息,并下发新的逻辑配置信息至云安全资源池。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
在本实施例中还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,为云安全资源池中的每个物理服务器都创建至少一个ovs交换机和至少一个控制器;控制器用于检测对应的物理服务器上的安全网元状态、向对应的物理服务器上的ovs交换机下发流表及控制ovs交换机根据流表实现流量引流;
S2,接收控制器发送的告警信号;告警信号为控制器检测到安全网元状态异常时发送的信号;
S3,根据接收到的告警信号触发服务降级生成新的逻辑配置信息,并下发新的逻辑配置信息至云安全资源池。
需要说明的是,在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,在本实施例中不再赘述。
此外,结合上述实施例中提供的一种基于云安全资源池的分布式引流方法,在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种基于云安全资源池的分布式引流方法。
应该明白的是,这里描述的具体实施例只是用来解释这个应用,而不是用来对它进行限定。根据本申请提供的实施例,本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例,均属本申请保护范围。
显然,附图只是本申请的一些例子或实施例,对本领域的普通技术人员来说,也可以根据这些附图将本申请适用于其他类似情况,但无需付出创造性劳动。另外,可以理解的是,尽管在此开发过程中所做的工作可能是复杂和漫长的,但是,对于本领域的普通技术人员来说,根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段,不应被视为本申请公开的内容不足。
“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例,也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是,本申请中描述的实施例在没有冲突的情况下,可以与其它实施例结合。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对专利保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于云安全资源池的分布式引流系统,其特征在于,所述系统包括云安全资源池、控制模块、核心交换机;
所述云安全资源池包括多个物理服务器,每个所述物理服务器包括至少一个ovs交换机、至少一个控制器和多个安全网元;
所述控制器,向对应的所述物理服务器的ovs交换机下发流表,并控制所述ovs交换机根据所述流表实现流量引流,以及检测对应的所述物理服务器上的安全网元状态,当所述安全网元状态异常时,向所述控制模块发送告警信号;
所述控制模块,根据接收到的告警信号触发服务降级生成新的逻辑配置信息,并下发所述新的逻辑配置信息至所述云安全资源池;
每个所述物理服务器包含两个网口,所述物理服务器通过其中一个所述网口与所述核心交换机连接、通过另一个所述网口与其他所述物理服务器连接。
2.根据权利要求1所述的基于云安全资源池的分布式引流系统,其特征在于,所述控制模块接收所述核心交换机传输的数据包,根据所述数据包编排所述云安全资源池的流量链路,根据所述流量链路下发逻辑配置信息。
3.根据权利要求2所述的基于云安全资源池的分布式引流系统,其特征在于,所述系统还包括存储模块;
所述存储模块与所述控制模块和所述云安全资源池连接;所述存储模块为etcd集群,所述存储模块包括多个存储节点,所述多个存储节点之间可以同步信息;
所述存储模块接收所述控制模块下发的逻辑配置信息。
4.根据权利要求3所述的基于云安全资源池的分布式引流系统,其特征在于,
每个所述控制器,监听所述存储模块中所述逻辑配置信息是否发生变化,若发生变化,获取新的逻辑配置信息,将所述新的逻辑配置信息转化为新的流表,并根据所述新的流表修改对应的所述ovs交换机的流表。
5.根据权利要求1所述的基于云安全资源池的分布式引流系统,其特征在于,所述服务降级为根据当前流量链路,排除当前异常网元,得到新的链路,根据所述新的链路生成所述新的逻辑配置信息,并下发所述新的逻辑配置信息。
6.一种基于云安全资源池的分布式引流方法,其特征在于,所述方法包括:
为所述云安全资源池中的每个物理服务器都创建至少一个ovs交换机和至少一个控制器;所述控制器用于检测对应的所述物理服务器上的安全网元状态、向对应的所述物理服务器上的ovs交换机下发流表及控制所述ovs交换机根据所述流表实现流量引流;
接收所述控制器发送的告警信号;所述告警信号为所述控制器检测到所述安全网元状态异常时发送的信号;
根据接收到的告警信号触发服务降级生成新的逻辑配置信息,并下发所述新的逻辑配置信息至所述云安全资源池。
7.根据权利要求6所述的基于云安全资源池的分布式引流方法,其特征在于,所述根据接收到的告警信号触发服务降级生成新的逻辑配置信息包括:
根据当前流量链路,排除当前异常网元,得到新的链路,根据所述新的链路生成所述新的逻辑配置信息,并下发所述新的逻辑配置信息。
8.一种基于云安全资源池的分布式引流装置,其特征在于,所述装置包括:
创建模块,用于为所述云安全资源池中的每个物理服务器都创建至少一个ovs交换机和至少一个控制器;所述控制器用于检测对应的所述物理服务器上的安全网元状态、向对应的所述物理服务器上的ovs交换机下发流表及控制所述ovs交换机根据所述流表实现流量引流;
接收模块,用于接收所述控制器发送的告警信号;所述告警信号为所述控制器检测到所述安全网元状态异常时发送的信号;
生成模块,用于根据接收到的告警信号触发服务降级生成新的逻辑配置信息,并下发所述新的逻辑配置信息至所述云安全资源池。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求6或7所述的基于云安全资源池的分布式引流方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求6或7所述的基于云安全资源池的分布式引流方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211127626.XA CN115484208A (zh) | 2022-09-16 | 2022-09-16 | 一种基于云安全资源池的分布式引流系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211127626.XA CN115484208A (zh) | 2022-09-16 | 2022-09-16 | 一种基于云安全资源池的分布式引流系统和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115484208A true CN115484208A (zh) | 2022-12-16 |
Family
ID=84423523
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211127626.XA Withdrawn CN115484208A (zh) | 2022-09-16 | 2022-09-16 | 一种基于云安全资源池的分布式引流系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115484208A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116582424A (zh) * | 2023-07-12 | 2023-08-11 | 北京安数云信息技术有限公司 | 交换机配置方法、装置、存储介质及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160373345A1 (en) * | 2014-03-31 | 2016-12-22 | China Mobile Communications Corporation | Communication method, communication system, resource pool management system, switch device and control device |
| CN107819683A (zh) * | 2017-10-25 | 2018-03-20 | 杭州安恒信息技术有限公司 | 安全资源池实现租户业务流量编排的方法、装置及电子设备 |
| CN109547437A (zh) * | 2018-11-23 | 2019-03-29 | 北京奇安信科技有限公司 | 一种安全资源池的引流处理方法及装置 |
| CN109922021A (zh) * | 2017-12-12 | 2019-06-21 | 中国电信股份有限公司 | 安全防护系统以及安全防护方法 |
| CN109981355A (zh) * | 2019-03-11 | 2019-07-05 | 北京网御星云信息技术有限公司 | 用于云环境的安全防御方法及系统、计算机可读存储介质 |
-
2022
- 2022-09-16 CN CN202211127626.XA patent/CN115484208A/zh not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160373345A1 (en) * | 2014-03-31 | 2016-12-22 | China Mobile Communications Corporation | Communication method, communication system, resource pool management system, switch device and control device |
| CN107819683A (zh) * | 2017-10-25 | 2018-03-20 | 杭州安恒信息技术有限公司 | 安全资源池实现租户业务流量编排的方法、装置及电子设备 |
| CN109922021A (zh) * | 2017-12-12 | 2019-06-21 | 中国电信股份有限公司 | 安全防护系统以及安全防护方法 |
| CN109547437A (zh) * | 2018-11-23 | 2019-03-29 | 北京奇安信科技有限公司 | 一种安全资源池的引流处理方法及装置 |
| CN109981355A (zh) * | 2019-03-11 | 2019-07-05 | 北京网御星云信息技术有限公司 | 用于云环境的安全防御方法及系统、计算机可读存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116582424A (zh) * | 2023-07-12 | 2023-08-11 | 北京安数云信息技术有限公司 | 交换机配置方法、装置、存储介质及电子设备 |
| CN116582424B (zh) * | 2023-07-12 | 2023-09-05 | 北京安数云信息技术有限公司 | 交换机配置方法、装置、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105743692B (zh) | 用于应用管理的基于策略的框架 | |
| EP1982447B1 (en) | System and method for detecting and recovering from virtual switch link failures | |
| CN109344014B (zh) | 一种主备切换方法、装置及通信设备 | |
| US9385944B2 (en) | Communication system, path switching method and communication device | |
| US20140095925A1 (en) | Client for controlling automatic failover from a primary to a standby server | |
| US11095476B2 (en) | Spanning tree protocol enabled n-node link aggregation system | |
| US10911295B2 (en) | Server apparatus, cluster system, cluster control method and program | |
| CN104113428B (zh) | 一种设备管理装置和方法 | |
| CN112491700A (zh) | 网络路径调整方法、系统、装置、电子设备及存储介质 | |
| EP3680780B1 (en) | Cluster system, control method, and corresponding computer program | |
| CN109547873A (zh) | 一种基于单向光闸的实现双机热备的处理方法及装置 | |
| CN115484208A (zh) | 一种基于云安全资源池的分布式引流系统和方法 | |
| US11985027B2 (en) | Systems and methods for seamless failover in branch deployments by superimposing clustering solution on VRRP | |
| CN114760224A (zh) | 用于监控网络通道的状态的系统、方法、设备和存储介质 | |
| CN107071189A (zh) | 一种通讯设备物理接口的连接方法 | |
| Aglan et al. | Reliability and scalability in SDN networks | |
| KR101358995B1 (ko) | 고가용성 관리 방법 및 시스템 | |
| US20150372895A1 (en) | Proactive Change of Communication Models | |
| Lee et al. | SAFE: A scalable autonomous fault-tolerant ethernet scheme for large-scale star networks | |
| Kotani et al. | Fast failure detection of OpenFlow channels | |
| CN114390059B (zh) | 一种业务处理系统及业务处理方法 | |
| US20200136946A1 (en) | System and method for determining branch gateway device availability in computer networks | |
| Pashkov et al. | On high availability distributed control plane for software-defined networks | |
| CN113824595B (zh) | 链路切换控制方法、装置和网关设备 | |
| JP6790667B2 (ja) | クラスタシステム、サーバ、動作方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20221216 |