CN115801391A - 一种使用Openstack安全组纳管云物理主机的方法及系统 - Google Patents
一种使用Openstack安全组纳管云物理主机的方法及系统 Download PDFInfo
- Publication number
- CN115801391A CN115801391A CN202211421451.3A CN202211421451A CN115801391A CN 115801391 A CN115801391 A CN 115801391A CN 202211421451 A CN202211421451 A CN 202211421451A CN 115801391 A CN115801391 A CN 115801391A
- Authority
- CN
- China
- Prior art keywords
- switch
- rule
- security group
- openstack
- configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000006243 chemical reaction Methods 0.000 claims abstract description 27
- 238000012545 processing Methods 0.000 claims abstract description 8
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 238000012423 maintenance Methods 0.000 abstract description 2
- 238000011144 upstream manufacturing Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000001914 filtration Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 101100513046 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) eth-1 gene Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及云计算技术领域,具体为一种使用Openstack安全组纳管云物理主机的方法包括以下步骤:接收前端发送过来的原生网络端口安全组配置信息;自动判断端口的类型,对于计算节点上的tap设备的规则,交还给neutron处理;将安全组的规则内容根据ACL规则的特点进行规则转化;有益效果为:本发明提出的使用Openstack安全组纳管云物理主机的方法及系统通过接收openstack内部安全组格式的配置信息,筛选出其中安全组配置端口为物理机的部分,对安全组规则进行转化,将其变为ACL规则,创建与交换机的会话窗口,配置ACL规则;实现了云虚机与云物理机安全规则的统一纳管,解决了云物理机ACL规则需要运维手动配置的问题。
Description
技术领域
本发明涉及云计算技术领域,具体为一种使用Openstack安全组纳管云物理主机的方法及系统。
背景技术
Openstack安全组被称为Security group,其作用是通过一种类似于白名单的机制管理或限制云计算机的进出流量,如果云上机器启用了安全组功能,则只有被写在白名单里的地址的流量可以通过。
现有技术中,Openstack安全组最早是通过Nova来管理,引入Neutron后,新Openstack安全组交给Neutron管理,Neutron专门负责的是管理虚拟网络,其中安全组和虚拟机的port相关联,因此Security group在计算节点的tap设备上做。云物理主机直接连接在物理交换机上,再通过交换机与open stack的控制节点互联,因此物理机网络不受Neutron的直接控制。Openstack安全组的规则无法下发到云物理机的端口。物理交换机一般具有ACL(访问控制列表)的功能,通常用来规划网络中的访问层次.以期达到优化网络流量,加强网络安全的作用,与安全组使用方式不同但是可以实现绝大部分安全组的功能,本发明所使用的实验环境中,使用的交换机CN61108类属Cisco Nexus 3000系列,ACL可以通过Web方式或者命令行方式配置,一般推荐使用命令行方式,因为每一张ACL都是由具体的一条条规则组成。
但是,目前物理交换机上的ACL规则通常由网络运维手动配置,为了解决统一管理网络问题,需要额外开发网络管理插件用于连接物理交换机并配置安全规则。
发明内容
本发明的目的在于提供一种使用Openstack安全组纳管云物理主机的方法及系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种使用Openstack安全组纳管云物理主机的方法,所述使用Openstack安全组纳管云物理主机的方法包括以下步骤:
接收前端发送过来的原生网络端口安全组配置信息;
自动判断端口的类型,对于计算节点上的tap设备的规则,交还给neutron处理;
将安全组的规则内容根据ACL规则的特点进行规则转化;
在存储neutron网络资源信息安全组信息的同时,为转化后的数据做分类存储;
将配置转化输出的适用于交换机的ACL规则翻译成适用于交换机命令行输入的语句。
优选的,在openstack的控制节点当中,为neutron服务中的一个API接收器规定URL的地址和数据格式。
优选的,将安全组的规则内容根据ACL规则的特点进行规则转化,生成一套适用于物理交换的ACL数据,转换后的数据与安全组数据并非一一对应的关系,该模块根据具体情况来判断物理交换机上的操作。
优选的,从本地或远程配置信息中获取交换机远程登陆认证信息,从genericswitch的配置文件中读取信息。
优选的,远程物理交换机的连接驱动,管理与交换机和命令行会话、信息过滤与输出。
一种使用Openstack安全组纳管云物理主机的系统,该系统由指令接收模块、信息分流模块、配置转化模块、数据库连接模块以及交换机配置模块构成;
指令接收模块,用于接收前端发送过来的原生网络端口安全组配置信息;
信息分流模块,用于自动判断端口的类型,对于计算节点上的tap设备的规则,交还给neutron处理;
配置转化模块,用于将安全组的规则内容根据ACL规则的特点进行规则转化;
数据库连接模块,用于在存储neutron网络资源信息安全组信息的同时,为转化后的数据做分类存储;
交换机配置模块,用于将配置转化输出的适用于交换机的ACL规则翻译成适用于交换机命令行输入的语句。
优选的,所述指令接收模块中,在openstack的控制节点当中,为neutron服务中的一个API接收器规定URL的地址和数据格式。
优选的,所述配置转化模块中,将安全组的规则内容根据ACL规则的特点进行规则转化,生成一套适用于物理交换的ACL数据,转换后的数据与安全组数据并非一一对应的关系,该模块根据具体情况来判断物理交换机上的操作。
优选的,所述交换机配置模块中,从本地或远程配置信息中获取交换机远程登陆认证信息,从genericswitch的配置文件中读取信息。
优选的,所述交换机配置模块中,远程物理交换机的连接驱动,管理与交换机和命令行会话、信息过滤与输出。
与现有技术相比,本发明的有益效果是:
本发明提出的使用Openstack安全组纳管云物理主机的方法及系统通过接收openstack内部安全组格式的配置信息,筛选出其中安全组配置端口为物理机的部分,对安全组规则进行转化,将其变为ACL规则,创建与交换机的会话窗口,配置ACL规则;实现了云虚机与云物理机安全规则的统一纳管,解决了云物理机ACL规则需要运维手动配置的问题,解决了交换机下行端口不支持OUT方向ACL的问题,通过中间件翻译、转化数据的方式,保证了前台显示数据的统一,无需额外提供对物理机安全组的管理页面。
附图说明
图1为本发明系统模块架构图;
图2为交换机端口示例图;
图3为交换机ACL规则示例图。
具体实施方式
为了使本发明的目的、技术方案进行清楚、完整地描述,及优点更加清楚明白,以下结合附图对本发明实施例进行进一步详细说明。应当理解,此处所描述的具体实施例是本发明一部分实施例,而不是全部的实施例,仅仅用以解释本发明实施例,并不用于限定本发明实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“中”、“上”、“下”、“左”、“右”、“内”、“外”、“顶”、“底”、“侧”、“竖直”、“水平”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“一”、“第一”、“第二”、“第三”、“第四”、“第五”、“第六”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
出于简明和说明的目的,实施例的原理主要通过参考例子来描述。在以下描述中,很多具体细节被提出用以提供对实施例的彻底理解。然而明显的是,对于本领域普通技术人员,这些实施例在实践中可以不限于这些具体细节。在一些实例中,没有详细地描述公知方法和结构,以避免无必要地使这些实施例变得难以理解。另外,所有实施例可以互相结合使用。
实施例一
本发明提供一种技术方案:一种使用Openstack安全组纳管云物理主机的方法,所述使用Openstack安全组纳管云物理主机的方法包括以下步骤:
接收前端发送过来的原生网络端口安全组配置信息;在openstack的控制节点当中,为neutron服务中的一个API接收器规定URL的地址和数据格式;
自动判断端口的类型,对于计算节点上的tap设备的规则,交还给neutron处理;
将安全组的规则内容根据ACL规则的特点进行规则转化;将安全组的规则内容根据ACL规则的特点进行规则转化,生成一套适用于物理交换的ACL数据,转换后的数据与安全组数据并非一一对应的关系,该模块根据具体情况来判断物理交换机上的操作;
在存储neutron网络资源信息安全组信息的同时,为转化后的数据做分类存储;
将配置转化输出的适用于交换机的ACL规则翻译成适用于交换机命令行输入的语句,从本地或远程配置信息中获取交换机远程登陆认证信息,从genericswitch的配置文件中读取信息,远程物理交换机的连接驱动,管理与交换机和命令行会话、信息过滤与输出。
实施例二
一种使用Openstack安全组纳管云物理主机的方法,包括以下步骤:
[1]首先用户通过标准API执行安全组的创建流程,创建安全组。系统保存一个neu_sg数据。
[2]用户通过标准API执行安全规则的添加流程,系统为每一个安全组规则保存一个neu_rule数据。
[3]用户通过标准API执行安全组绑定端口的动作,系统分流模块为每一个绑定了安全组的物理机端口保存neu_port数据,其中额外包含对应的安全组id。
[4]当物理机的端口绑定了拥有规则的安全组后,系统安全规则转化模块开始工作。
[5]系统创建物理机端口安全组sg_binding,该数据额外包含交换机名称switch_info、端口名port(例:Eth1/40)
[6]系统创建交换机上行端口安全组sg_binding,该数据额外包含上行端口标识
Assemble
[7]查询安全组中的egress规则,将这些规则放入物理机端口安全组中
[8]查询安全组中的ingress规则,将这些规则放入上行端口安全组中,目的ip改为下行端口ip。此处由于同交换机端口共用一个上行端口安全组,还需要查询同交换机的其他端口ingress规则,将这些规则放入上行端口安全组中,目的ip改为其他端口各自的ip。
[9]交换机信息获取模块读取genericswitch的配置文件,获取交换机名称与登录认证信息,将这些信息交给交换机连接模块。
[10]交换机连接模块根据物理机端口所连接的交换机名称创建与交换机连接的命令行交互会话。另外负责会话过程中的信息过滤、数据处理格式化,为ACL配置模块的特定操作提供函数接口。
[11]建立连接后,首先要获取交换机上所有的端口信息,找出所有的上行端口,本系统使用的L3交换机的上行端口包括Trunk口与Routed口。
[12]为所有上行端口创建入方向安全规则ACL-in-assemble,如果该规则名称已存在,则更新其内容。
[13]交换机ACL组的运行方式为按照先后顺序(序号)依次判断是否符合条件,在创建后会有一条隐藏的【deny any any】规则丢弃所有流量,据此,需要将安全组规则重新整理排序为【deny ipip】(自定义拒绝)优先于【permit ipip】(自定义允许)优先于【denyany any】(默认丢弃)的顺序。
[14]为对应的下行端口创建安全规则ACL-in-EthX/Y(X/Y为端口编号),如果已存在,更新其内容。
[15]系统退出ACL配置会话,执行交换机配置保存操作。
实施例三
一种使用Openstack安全组纳管云物理主机的方法,包括以下步骤:
首先对于openstack安全组的创建流程来说,分为三个步骤:创建安全组、为安全组添加规则、为安全组指定使用该安全组的端口。添加规则和指定端口的顺序不固定。在用户以正常流程调用标准的openstack API创建安全组时,系统会接收并保存安全组、安全组规则、端口与安全组的关系三组数据。
对于交换机所支持的ACL,其规则作用于交换机端口上,且绝大部分端口仅支持IN方向ACL规则。安全组的安全规则的方向分为egress与ingress,其判断方向的根据是虚机端口,易得知转化规则一,egress方向的安全规则应对应于物理机所连接端口的IN方向ACL规则。而ingress规则用于控制进入虚机的流量,在本系统中,由于交换机的规则限制,将这本分规则统一写入物理机所连接的交换机的上行端口的ACL规则中。于是有转化规则二:ingress规则变为交换机上行端口的IN规则,并且指定目的ip为物理机的ip。
对于交换机的端口,通常在一个支持vlan网络三层交换机中,ETH口负责连接下属的物理机,连接物理机的交换机被称为边缘交换机,为了划分vlan网络,交换机上会有支持信息在同一个vlan域内传播信息的trunk口,同时,交换机上还有和核心交换机相连接的Routed口,在本发明中,把Routed口和Trunk口作为上行端口。对于支持vxlan网络并且支持在交换机上的虚拟vxlan端口上配置ACL的交换机,可以把虚拟vxlan端口也作为上行端口之一。
最后对于安全组的解绑/删除规则操作,本发明所提供的纳管物理交换机ACL的系统,需要根据安全组之前所绑定的端口所在的交换机,寻找上行端口,之后从上行端口的ACL中根据端口ip删除对应规则。
实施例四
参照附图1至图3,一种使用Openstack安全组纳管云物理主机的系统,该系统由指令接收模块、信息分流模块、配置转化模块、数据库连接模块以及交换机配置模块构成;
指令接收模块,用于接收前端发送过来的原生网络端口安全组配置信息,在openstack的控制节点当中,为neutron服务中的一个API接收器规定URL的地址和数据格式;
信息分流模块,用于自动判断端口的类型,对于计算节点上的tap设备的规则,交还给neutron处理;
配置转化模块,用于将安全组的规则内容根据ACL规则的特点进行规则转化;将安全组的规则内容根据ACL规则的特点进行规则转化,生成一套适用于物理交换的ACL数据,转换后的数据与安全组数据并非一一对应的关系,该模块根据具体情况来判断物理交换机上的操作;
数据库连接模块,用于在存储neutron网络资源信息安全组信息的同时,为转化后的数据做分类存储;
交换机配置模块,用于将配置转化输出的适用于交换机的ACL规则翻译成适用于交换机命令行输入的语句,从本地或远程配置信息中获取交换机远程登陆认证信息,从genericswitch的配置文件中读取信息,远程物理交换机的连接驱动,管理与交换机和命令行会话、信息过滤与输出。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (10)
1.一种使用Openstack安全组纳管云物理主机的方法,其特征在于:所述使用Openstack安全组纳管云物理主机的方法包括以下步骤:
接收前端发送过来的原生网络端口安全组配置信息;
自动判断端口的类型,对于计算节点上的tap设备的规则,交还给neutron处理;
将安全组的规则内容根据ACL规则的特点进行规则转化;
在存储neutron网络资源信息安全组信息的同时,为转化后的数据做分类存储;
将配置转化输出的适用于交换机的ACL规则翻译成适用于交换机命令行输入的语句。
2.根据权利要求1所述的一种使用Openstack安全组纳管云物理主机的方法,其特征在于:在openstack的控制节点当中,为neutron服务中的一个API接收器规定URL的地址和数据格式。
3.根据权利要求2所述的一种使用Openstack安全组纳管云物理主机的方法,其特征在于:将安全组的规则内容根据ACL规则的特点进行规则转化,生成一套适用于物理交换的ACL数据,转换后的数据与安全组数据并非一一对应的关系,该模块根据具体情况来判断物理交换机上的操作。
4.根据权利要求1所述的一种使用Openstack安全组纳管云物理主机的方法,其特征在于:从本地或远程配置信息中获取交换机远程登陆认证信息,从genericswitch的配置文件中读取信息。
5.根据权利要求1所述的一种使用Openstack安全组纳管云物理主机的方法,其特征在于:远程物理交换机的连接驱动,管理与交换机和命令行会话、信息过滤与输出。
6.一种如上述权利要求1-5任意一项所述的使用Openstack安全组纳管云物理主机的系统,其特征在于:该系统由指令接收模块、信息分流模块、配置转化模块、数据库连接模块以及交换机配置模块构成;
指令接收模块,用于接收前端发送过来的原生网络端口安全组配置信息;
信息分流模块,用于自动判断端口的类型,对于计算节点上的tap设备的规则,交还给neutron处理;
配置转化模块,用于将安全组的规则内容根据ACL规则的特点进行规则转化;
数据库连接模块,用于在存储neutron网络资源信息安全组信息的同时,为转化后的数据做分类存储;
交换机配置模块,用于将配置转化输出的适用于交换机的ACL规则翻译成适用于交换机命令行输入的语句。
7.根据权利要求6所述的一种使用Openstack安全组纳管云物理主机的系统,其特征在于:所述指令接收模块中,在openstack的控制节点当中,为neutron服务中的一个API接收器规定URL的地址和数据格式。
8.根据权利要求7所述的一种使用Openstack安全组纳管云物理主机的系统,其特征在于:所述配置转化模块中,将安全组的规则内容根据ACL规则的特点进行规则转化,生成一套适用于物理交换的ACL数据,转换后的数据与安全组数据并非一一对应的关系,该模块根据具体情况来判断物理交换机上的操作。
9.根据权利要求8所述的一种使用Openstack安全组纳管云物理主机的系统,其特征在于:所述交换机配置模块中,从本地或远程配置信息中获取交换机远程登陆认证信息,从genericswitch的配置文件中读取信息。
10.根据权利要求9所述的一种使用Openstack安全组纳管云物理主机的系统,其特征在于:所述交换机配置模块中,远程物理交换机的连接驱动,管理与交换机和命令行会话、信息过滤与输出。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211421451.3A CN115801391A (zh) | 2022-11-14 | 2022-11-14 | 一种使用Openstack安全组纳管云物理主机的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211421451.3A CN115801391A (zh) | 2022-11-14 | 2022-11-14 | 一种使用Openstack安全组纳管云物理主机的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115801391A true CN115801391A (zh) | 2023-03-14 |
Family
ID=85437456
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211421451.3A Pending CN115801391A (zh) | 2022-11-14 | 2022-11-14 | 一种使用Openstack安全组纳管云物理主机的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115801391A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105634998A (zh) * | 2016-03-30 | 2016-06-01 | 中国联合网络通信集团有限公司 | 针对多租户环境下物理机与虚拟机统一监控的方法及系统 |
| US20180007005A1 (en) * | 2016-06-29 | 2018-01-04 | Nicira, Inc. | Implementing logical network security on a hardware switch |
| CN109254831A (zh) * | 2018-09-06 | 2019-01-22 | 山东师范大学 | 基于云管理平台的虚拟机网络安全管理方法 |
| CN110011836A (zh) * | 2019-03-15 | 2019-07-12 | 启迪云计算有限公司 | 一种分布式虚拟交换机和配置方法 |
| CN112334901A (zh) * | 2018-06-27 | 2021-02-05 | 亚马逊科技公司 | 自动化无分组网络可达性分析 |
-
2022
- 2022-11-14 CN CN202211421451.3A patent/CN115801391A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105634998A (zh) * | 2016-03-30 | 2016-06-01 | 中国联合网络通信集团有限公司 | 针对多租户环境下物理机与虚拟机统一监控的方法及系统 |
| US20180007005A1 (en) * | 2016-06-29 | 2018-01-04 | Nicira, Inc. | Implementing logical network security on a hardware switch |
| CN112334901A (zh) * | 2018-06-27 | 2021-02-05 | 亚马逊科技公司 | 自动化无分组网络可达性分析 |
| CN109254831A (zh) * | 2018-09-06 | 2019-01-22 | 山东师范大学 | 基于云管理平台的虚拟机网络安全管理方法 |
| CN110011836A (zh) * | 2019-03-15 | 2019-07-12 | 启迪云计算有限公司 | 一种分布式虚拟交换机和配置方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104753715B (zh) | 混合sdn控制器 | |
| JP3097525B2 (ja) | 情報フィルタリング処理を行うデータ伝送方法 | |
| EP3869855A1 (en) | Information transmission method and apparatus thereof | |
| CN103825954A (zh) | 一种OpenFlow控制方法及相应插件、平台和网络 | |
| CN106488525B (zh) | 一种ip动态绑定的无线网络构建方法及相应网络架构 | |
| CN105763356A (zh) | 一种资源虚拟化处理的方法、装置及控制器 | |
| CN110209719A (zh) | 一种基于微服务架构的多种数据库统一访问系统及方法 | |
| CN110166277A (zh) | 一种命令行命令树构建方法和命令行动态加载的方法 | |
| CN104092684A (zh) | 一种OpenFlow协议支持VPN的方法及设备 | |
| RU2602333C2 (ru) | Сетевая система, способ обработки пакетов и носитель записи | |
| WO2021121086A1 (zh) | 一种流量调度方法、电子设备及存储介质 | |
| CN104734930B (zh) | Vlan接入vf网络的实现方法及装置、fcf | |
| CN110764987A (zh) | 基于虚拟化技术的网络仿真测试系统中硬件设备接入方法 | |
| CN106953752A (zh) | 实现多网络共存并同时被访问的系统及方法 | |
| CN100502298C (zh) | 一种在网络管理系统中实现管理授权的方法 | |
| CN112333711B (zh) | 无线网络提供方法、装置及存储介质 | |
| CN105245376A (zh) | 基于sdn的住宅小区网络控制系统 | |
| CN115801391A (zh) | 一种使用Openstack安全组纳管云物理主机的方法及系统 | |
| CN105897541B (zh) | Ipran系统中兼容super vlan与vlanif的方法 | |
| WO2017017971A1 (ja) | データセンタ連携システム、および、その方法 | |
| WO2018006668A1 (zh) | 流量管理方法及装置 | |
| CN104378699B (zh) | Pon设备中实现通信的方法 | |
| Cisco | Creating and Maintaining VLANs | |
| CN101252779B (zh) | 策略执行点选择方法及设备 | |
| CN109327537B (zh) | 多客户端的信息交互方法、系统及管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |