CN115904626A - 一种部署云资源池架构的方法及系统 - Google Patents
一种部署云资源池架构的方法及系统 Download PDFInfo
- Publication number
- CN115904626A CN115904626A CN202211538189.0A CN202211538189A CN115904626A CN 115904626 A CN115904626 A CN 115904626A CN 202211538189 A CN202211538189 A CN 202211538189A CN 115904626 A CN115904626 A CN 115904626A
- Authority
- CN
- China
- Prior art keywords
- resource pool
- flow
- application
- traffic
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开实施例公开了一种部署云资源池架构方法及系统。其中,该方法包括在资源池的流量网关容器中创建虚拟接口,以构建所述资源池的容器网络与应用网络之间全双工IP地址;在通过所述应用网络接收到带有预设的产品类型的防护请求后,根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系,确定出所述产品类型对应的调用指令函数类型;基于所述对应的调用指令函数类型调用对应的安全指令,通过所述IP地址执行所述安全指令以完成对所述防护请求的响应。该方法/系统能够实现了节省主机资源、支持快速扩展的技术效果。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种部署云资源池架构的方法及系统。
背景技术
虚拟化安全资源池方案是为云计算或虚拟化资源池环境提供池化安全能力的解决方案。是采用虚拟化技术,将安全产品的软件从硬件中分离出来并运行在池化的虚拟环境中,使得多种安全产品可以直接运行在通用的物理服务器上,并由多台设备共同构成资源池。
通常,企业将安全资源池部署在传统机房的服务器主机的虚拟机(VirtualMachine,VM)上,由于安全资源池底座受到虚拟机的限制,性能无法得到较好的扩展,出现加载时间慢和扩容困难,容易造成安全资源池的资源利用不充分、以及使安全指令性能受限等问题。
发明内容
有鉴于此,本公开实施例提供了一种部署云资源池架构方法及系统,能够解决现有技术中安全资源池的资源利用受到虚拟机限制的技术问题。
第一方面,本公开实施例提供了一种部署云资源池架构方法,采用如下技术方案:
在资源池的流量网关容器中创建虚拟接口,以构建所述资源池的容器网络与应用网络之间全双工IP地址;
在通过所述应用网络接收到带有预设的产品类型的防护请求后,根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系,确定出所述产品类型对应的调用指令函数类型;
基于所述对应的调用指令函数类型调用对应的安全指令,通过所述IP地址执行所述安全指令以完成对所述防护请求的响应。
可选的,所述在资源池包括流量网关容器、容器网络,所述在资源池的流量网关容器中创建虚拟接口,包括:
根据所述流量网关容器的接口信息创建对应的网桥和虚拟逻辑接口;
将所述虚拟逻辑接口添加至所述网桥中创建出所述虚拟接口。
可选的,在所述在资源池的流量网关容器中创建虚拟接口之后,该方法还包括:
利用所述虚拟接口与主机的多层虚拟链路连接,并结合预设的网络架构,以使所述资源池的容器网络具有转发应用流量的能力。
可选的,所述预设的网络架构,包括:
利用OVS-VSWITCHD虚拟交换机与DPDK应用程序构建所述网络架构。
可选的,所述预设的产品类型,包括流量类型产品,所述流量类型产品对应的防护请求包括:将所述流量类型产品的应用流量经过所述资源池进行流量清洗,及将清洗后的所述应用流量推送至对应的被防护资源。
可选的,所述将所述流量类型产品的应用流量经过所述资源池进行流量清洗,包括:
检测所述应用流量是否存在攻击流量;若所述应用流量存在攻击流量,则生成与所述攻击流量对应的流量清洗路由;其中,所述流量清洗路由至少包括用于指示所述攻击流量对应的分支路由设备的设备标识;
根据所述流量清洗路由对所述应用流量进行流量清洗,将流量清洗后的应用流量回注至容器网络的汇聚路由模块,以使流量清洗后的应用流量被所述汇聚路由模块转发。
可选的,所述预设的产品类型,包括非流量类型产品,所述流量类型产品对应的防护请求为通过对应的安全指令对非流量类型产品进行防护。
可选的,在所述根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系之前,该方法还包括:
获取每个预先确定的产品类型的归属文件夹与存储区域标识的关联关系,
根据所述关联关系建立每个预先确定的产品类型与所述调用指令函数类型的映射关系并存储至所述资源池的存储空间。
可选的,所述基于所述对应的调用指令函数类型调用对应的安全指令,包括:
接收调用指令函数类型创建安全指令的请求,向所述资源池的安全指令管理组件发送安全指令创建消息;
根据所述安全指令创建消息启动容器虚拟机启动,并调用所述容器虚拟机内的容器生产代理子组件在容器虚拟机内生产容器,以创建所述安全指令。
可选的,所述通过所述IP地址执行所述安全指令以完成对所述防护请求的响应,包括:
根据所述安全指令对应的预先定义的应用规则对所述防护请求的执行防护操作,得到所述防护请求的响应。
为实现上述目的,本公开实施例还提供一种部署云资源池架构系统,包括:
构建模块:用于在资源池的流量网关容器中创建虚拟接口,以构建所述资源池的容器网络与应用网络之间全双工IP地址;
接收模块:用于在通过所述应用网络接收到带有预设的产品类型的防护请求后,根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系,确定出所述产品类型对应的调用指令函数类型;
响应模块:用于基于所述对应的调用指令函数类型调用对应的安全指令,通过所述IP地址执行所述安全指令以完成对所述防护请求的响应。
第二方面,本公开实施例还提供了一种电子设备,采用如下技术方案:
所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述部署云资源池架构方法。
第四方面,本公开实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行上述部署云资源池架构方法。
本公开实施例提供的部署云资源池架构方法,通过资源池网络设计的场景中,在资源池的流量网关容器中创建虚拟接口,以构建所述资源池的容器网络与应用网络之间全双工IP地址,以使资源池的容器网络具有高性能转发应用流量的能力;
通过资源池部署架构的场景中,资源池以独立服务器的形式,作为应用流量的中间节点部署。根据安全指令的实例能力,可以分为流量类型产品和非流量类型产品进行防护,缓解现有技术中安全资源池部署在传统机房服务器的虚拟机(VM),实现了节省主机资源、支持快速扩展的技术效果,缓解现有技术中安全资源池部署在传统机房服务器的虚拟机(VM),造成安全资源池的资源利用不充分、扩容困难及安全指令性能受限于资源池底座的问题。
上述说明仅是本公开技术方案的概述,为了能更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为让本公开的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本公开实施例提供的部署云资源池架构方法的结构示意图;
图2为本公开实施例提供的部署云资源池架构方法的流程示意图;
图3为本公开实施例提供的部署云资源池架构系统的模块示意图;
图4为本公开实施例提供的一种电子设备的原理框图。
具体实施方式
下面结合附图对本公开实施例进行详细描述。
应当明确,以下通过特定的具体实例说明本公开的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本公开的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目各方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
还需要说明的是,以下实施例中所提供的图示仅以示意方式说明本公开的基本构想,图式中仅显示与本公开中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
另外,在以下描述中,提供具体细节是为了便于透彻理解实例。然而,所属领域的技术人员将理解,可在没有这些特定细节的情况下实践所述方面。
本公开提供一种部署云资源池架构方法。参照图1所示,为本公开实施例提供的部署云资源池架构方法的结构示意图。所述资源池的服务器包括资源池、管理网络、应用网络,及所述资源池配置的安全指令。
资源池接收两种流量,第一种流量是管理交换机传输过来的管理流量,管理流量是指运维人员通过管理网络在后台发出的管理应用,管理应用包括哪些需要被防护的应用、具体的防护配置以及完成防护配置的下发步骤等。
第二种流量是应用交换机传输过来的应用流量,流量引入到应用网络中;将应用流量引入至资源池中创建的对应的安全指令中,安全指令对应用流量进行流量清洗,将清洗后的应用流量再回注到应用网络中,通过应用交换机转换完成正常的应用流量路径,最后送入到被防护资源中。
参照图2所示,为本公开实施例提供的部署云资源池架构方法的流程示意图。该方法可以由一个电子设备执行,该电子设备可以由软件和/或硬件实现。部署云资源池架构方法,该方法包括:
步骤S10:在资源池的流量网关容器中创建虚拟接口,以构建所述资源池的容器网络与应用网络之间全双工IP地址。
本实施例中,资源池由多台物理服务器组成的集群组成,以容器的方式运行流量安全网关产品。资源池接收两种流量,第一种流量是管理交换机传输过来的管理流量,管理流量是指运行维护的管理人员通过管理网络在后台发出的管理应用,管理应用包括哪些需要被防护的应用、具体的防护配置以及完成防护配置的下发步骤等。
第二种流量是应用交换机传输过来的应用流量,应用流量是指外部产品(例如审计产品)通过应用网络发起的防护资源的日志应用等。
全双工是指容器A所在的网络可以访问容器B所在的网络,同时容器B所在的网络也可以访问容器A所在的网络;通过创建虚拟接口在应用网络中实现容器间的双向通信。可以解决现有技术中资源池部署在服务器主机的VM的虚拟IP地址来回变化的问题。
本公开提出的部署云资源池架构方法涉及三个场景,包括资源池网络设计、资源池部署架构、安全指令(下一代防火墙)网络设计,接下来会分别对三个场景进行介绍。
在一个实施例中,所述在资源池包括流量网关容器、容器网络,所述在资源池的流量网关容器中创建虚拟接口,包括:
根据所述流量网关容器的接口信息创建对应的网桥和虚拟逻辑接口;
将所述虚拟逻辑接口添加至所述网桥中创建出所述虚拟接口。
在资源池网络设计场景中,资源池的虚拟链路通过物理网卡以trunk模式与外部网关相连,不同租户的流量以vlan方式隔离。对于容器网络本身需要能够实现802.1qvlan标签,容器本身通过vlan标签接收流量。
本实施例扩展改造主流的容器网络方案(基于linux协议栈)支持在流量网关容器中创建虚拟接口(例如vhostuser/memif),创建虚拟接口的具体步骤如下:
步骤A10、创建网桥br0,添加物理接口eth0到网桥br0;
步骤A20、创建虚拟逻辑接口veth;
步骤A30、将虚拟逻辑接口veth添加到网桥br0,得到虚拟接口。
例如,在用户态下创建网桥br0,按照需要添加多个物理接口到网桥br0,这里的物理接口为eth0,eth1,……,ethN,以物理接口eth0为例,为物理接口eth0创建多对虚拟逻辑接口veth,如veth0-veth1,veth2-veth3,……,veth2N-veth(2N+1),将这些虚拟逻辑接口veth添加到网桥br0,虚拟逻辑接口veth中的veth0,veth2,……,veth2N与网桥br0连接,虚拟逻辑接口veth的另一端veth1,veth3,……,veth(2N+1)输出到下一级。其中,
veth2N-veth(2N+1)中,veth2N与veth(2N+1)互为数据输入端和数据输出端。
在一个实施例中,在所述在资源池的流量网关容器中创建虚拟接口之后,该方法还包括:
利用所述虚拟接口与主机的多层虚拟链路连接,并结合预设的网络架构,以使所述资源池的容器网络具有转发应用流量的能力。
在一个实施例中,所述预设的网络架构,包括:
利用OVS-VSWITCHD虚拟交换机与DPDK应用程序构建所述网络架构。
OVS-VSWITCHD虚拟交换机是指为物理机上的VM提供二层网络接入,和云环境中的其它物理交换机并行工作在Layer2的多层虚拟交换机;DPDK应用程序是指基于高性能用户空间(userspace)网卡驱动、大页内存、无锁化结构设计的应用程序,DPDK应用程序可以轻易实现万兆网卡线速的性能。将OVS-VSWITCHD虚拟交换机与DPDK应用程序结合得到ovs-dpdk网络架构。
ovs-dpdk网络架构使vm到vm和nic到vm的整个数据传输都工作在用户态,极大的提升了容器网络的性能。
多层虚拟链路是指使用网桥搭建一个局域网,而虚拟机和容器和宿主机是局域网内同等级别节点,网桥技术将宿主机和虚拟机和容器搭建成局域网,实现虚拟机和宿主机之间可以通信。
本发明通过该OVS-DPDK架构,使得对应用流量的处理可以在用户空间进行,无需通过传统OVS架构的内核空间,可以提高对应用流量的处理效率,降低后续应用程序的开发维护难度。
在资源池网络设计场景的外部流量引入模式上,使用基于策略路由迁移流量的设计,根据流量引入编排的实际需求,在容器网络与外部建立全双工独立IP地址,用以实现流量引入、外部数据推送等能力。
步骤S20:在通过所述应用网络接收到带有预设的产品类型的防护请求后,根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系,确定出所述产品类型对应的调用指令函数类型。
本实施例中,在资源池部署架构场景中,资源池以独立服务器的形式,作为应用流量的中间节点部署。外部数据(应用流量)发出的产品类型的防护请求通过应用交换机流量引入至资源池,资源池接收到防护请求后,根据资源池的预先确定的产品类型与调用指令函数类型的映射关系,利用资源池的安全指令的实例能力对产品类型进行防护,可以分为流量型防护和非流量型防护,将产品类型进行分类防护可以实现清除产品的层次结构,避免了重叠使用系统资源。通过确定出产品类型对应的调用指令函数类型节省栈空间,减少建立和撤销栈框架的指令后,简化了代码。
在一个实施例中,所述预设的产品类型,包括流量类型产品,所述流量类型产品对应的防护请求包括:将所述流量类型产品的应用流量经过所述资源池进行流量清洗,及将清洗后的所述应用流量推送至对应的被防护资源。
对于流量类型产品的防护,流量类型产品为防火墙等能力部署,进行能力部署后原先的应用流量需先经过资源池进行流量清洗后才会送达被防护资源。例如,一般情况下会使用应用交换机三层流量引入的方式,将应用流量经过应用交换机流量引入到应用网络中;将应用流量引入至资源池中创建的对应的安全指令中;安全指令对应用流量进行流量清洗;将清洗后的应用流量再回注到应用网络中,通过应用交换机转换完成正常的应用流量路径,最后送入到被防护资源中。
在一个实施例中,所述将所述流量类型产品的应用流量经过所述资源池进行流量清洗,包括:
步骤B10、检测所述应用流量是否存在攻击流量;若所述应用流量存在攻击流量,则生成与所述攻击流量对应的流量清洗路由;其中,所述流量清洗路由至少包括用于指示所述攻击流量对应的分支路由设备的设备标识;
资源池的流量清洗模块接收来自应用网络的应用流量,应用流量为来自应用网络的分支路由设备转发出的应用流量,在实际应用中,上述流量清洗模块可以包括基于分布式管理的网络设备及服务设备的流量清洗技术的流量清洗系统。
可以使用netflow流量检测机制、netstream流量检测机制、sflow流量检测机制中的任意一种或多种组合进行检测应用流量是否存在攻击流量,攻击流量是指DoS/DDoS攻击流量;上述流量检测机制对攻击流量检测,得到对应的攻击日志信息;攻击日志信息至少包括与上述攻击流量的目的IP地址、与上述攻击流量对应的分支路由设备的IP地址。
步骤B20、根据所述流量清洗路由对所述应用流量进行流量清洗,将流量清洗后的应用流量回注至容器网络的汇聚路由模块,以使流量清洗后的应用流量被所述汇聚路由模块转发。
上述流量检测机制将上述攻击日志信息进行上报,以使上述流量清洗模块对上述应用流量进行流量清洗,基于攻击日志信息中的与攻击流量对应的分支路由设备BR-A的IP地址,流量清洗管理平台得到与攻击流量对应的分支路由设备BR-A的设备标识DevA。
根据设备BR-A的IP地址和设备标识DevA对应的流量清洗路由,例如,流量清洗路由为guard路由;guard路由用于上述流量清洗设备与上述攻击流量对应的分支路由设备进行流量引入,guard路由并且需要与BGP协议配合使用,通过BGP协议引入到BGP路由表并向BGP对等体发布,从而将BGP对等体本来要发给其它设备的应用流量牵引到流量清洗设备上来,继而在流量清洗设备上对流量进行流量清洗。
通过对应用流量进行流量清洗,可以帮助用户解决带宽消耗型的DoS/DDoS攻击行为。
在一个实施例中,所述预设的产品类型,包括非流量类型产品,所述流量类型产品对应的防护请求为通过对应的安全指令对非流量类型产品进行防护。
对于非流量类型产品的防护,非流量类型产品为各类审计产品、堡垒机等能力部署;要求安全指令对于安全指令在三层或四层网络上可达的应用流量,这些应用流量通常用于传输syslog日志、agent通信、kafka数据等。
首先非流量类型产品通过应用交换机到达应用网络中,非流量类型产品从应用网络中到达安全指令中,安全指令接收数据完成防护,安全指令直接发起对非流量类型产品、日志、访问、监控数据等完成防护。
在一个实施例中,在所述根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系之前,该方法还包括:
获取每个预先确定的产品类型的归属文件夹与存储区域标识的关联关系,
根据所述关联关系建立每个预先确定的产品类型与所述调用指令函数类型的映射关系并存储至所述资源池的存储空间。
对每个预先确定的产品类型进行解析,以获取产品类型中各个调用指令函数类型的归属文件夹,获取归属文件夹与存储区域标识的映关联关系,并根据关联关系建立各个调用指令函数类型与每个预先确定的产品类型的映射关系并存储至资源池的存储空间。将所有的产品类型和调用指令函数类型映射至指定的存储区域标识,从而映射至指定的存储空间。降低了多级存储方式实现的复杂度,缩减了开发工作量,并且易于修改,降低了维护成本。
步骤S30:基于所述对应的调用指令函数类型调用对应的安全指令,通过所述IP地址执行所述安全指令以完成对所述防护请求的响应。
本实施例中,若预设的产品类型为流量类型产品,则通过对应的调用指令函数类型调用对应的安全指令对流量类型产品进行防护,例如,使用应用交换机三层流量引入的方式,将应用流量经过应用交换机流量引入到应用网络中;将应用流量引入至资源池中创建的对应的安全指令中;安全指令对应用流量进行流量清洗;将清洗后的应用流量再回注到应用网络中,通过应用交换机转换完成正常的应用流量路径,最后送入到被防护资源中。
若预设的产品类型为非流量类型产品,则调用对应的安全指令对非流量类型产品进行防护,例如,要求安全指令对于安全指令在三层或四层网络上可达的应用流量,这些应用流量通常用于传输syslog日志、agent通信等;首先非流量类型产品通过应用交换机到达应用网络中,非流量类型产品从应用网络中到达安全指令中,安全指令接收数据完成防护,安全指令直接发起对非流量类型产品、日志、访问、监控数据等完成防护。
最后将安全指令以完成对防护请求的处理结果,通过应用网络输送至应用交换机并返回给请求方。
在一个实施例中,所述基于所述对应的调用指令函数类型调用对应的安全指令,包括:
步骤C10、接收调用指令函数类型创建安全指令的请求,向所述资源池的安全指令管理组件发送安全指令创建消息;
安全指令管理组件接收的安全指令创建请求,可以是用户设备直接发送的,也可以通过容器服务管控服务器发送的;在一些情况下,安全指令管理组件无法直接处理安全指令创建请求,需要通过其他组件将安全指令创建请求转换成安全指令管理组件可以处理的指令,这种情况下,安全指令管理组件包括安全指令管理子组件和创建请求代理子组件,安全指令子组件一般包括如kublet等的负责管理运行中的pod的组件,和如containerd等的容器运行时(即不存在创建请求代理子组件的情况下,安全指令管理组件和安全指令管理子组件的含义等同),创建请求代理子组件对接容器服务的管控服务器,用于接收安全指令创建请求;
或者创建请求代理子组件直接对接用户设备,直接接收用户设备发送的安全指令创建请求。创建请求代理子组件接收到安全指令创建请求后,将安全指令创建请求转换为安全指令管理子组件可以处理的语句,并向安全指令管理子组件发送安全指令创建请求。
步骤C20、根据所述安全指令创建消息启动容器虚拟机启动,并调用所述容器虚拟机内的容器生产代理子组件在容器虚拟机内生产容器,以创建所述安全指令。
在容器虚拟机中创建安全指令,而并非直接在宿主机内创建的理由是:由于计算节点为多个用户提供容器服务,换言之,计算节点上会存在多个不同用户的安全指令,那么就需要将不同的安全指令分割开来,以防多个安全指令互相影响,因此,考虑虚拟机具有强隔离功能,通过容器虚拟机将不同的安全指令分割开来。
在容器虚拟机启动后,安全指令管理组件需要向容器虚拟机内的容器生产代理子组件发送生产指令,以控制生产容器创建安全指令,生产指令中至少包含上文提及的配置信息,以及获取的虚拟网卡的信息。
通过预先创建的虚拟接口与主机的多层虚拟链路相连接,在创建安全指令的情况下,无需重新获取虚拟接口,提升了创建安全指令的速度,且提高了并发效率。此外,同一用户的多个安全指令可以使用同样的虚拟接口,提升了资源利用效率。
在一个实施例中,所述通过所述IP地址执行所述安全指令以完成对所述防护请求的响应,包括:
根据所述安全指令对应的预先定义的应用规则对所述防护请求的执行防护操作,得到所述防护请求的响应。
每个安全指令对应的预先定义的应用规则是指运维人员提前对不同的安全指令需要被防护的应用、具体的防护配置以及完成防护配置的下发步骤。
在一个实施例中,所述根据所述安全指令对应的预先定义的应用规则对所述防护请求的执行防护操作,得到所述防护请求的响应,包括:
在所述资源池的流量引入二层网络中创建三层流量引入地址段;
将所述IP地址分配下一代防火墙对应的应用流量口,并将所述IP地址转发至所述三层流量引入地址段的网关接口,以使所述防护请求的下一跳的地址指向所述下一代防火墙的IP来完成防护操作并得到所述防护请求的响应。
交换机有多个网络端口,通过识别应用流量的数据帧的目标MAC地址,根据MAC地址表决定从哪个端口发送数据。MAC地址表不需要在交换机上手工设置,而是可以自动创建三层流量引入地址段。
在路由表中查找匹配IP地址的路由条目并分配下一代防火墙对应的应用流量口,IP地址与各个路由条目的网段地址的网关接口先进行二进制与(AND)运算,再将运算结果与路由条目的网段地址进行比较,若一致则该条目与目的IP地址相匹配,则将防护请求的下一跳的地址指向下一代防火墙的IP地址来完成防护操作。
在安全指令(下一代防火墙)网络设计场景中,资源池是单台或多台物理服务器组成的集群,通过基于策略路由的方式将应用流量迁移至资源池的虚拟流量安全网关的安全指令进行流量防护。
在步骤S10-30中,通过资源池网络设计、资源池部署架构、安全指令网络设计这三个场景同时生效,通过资源池容器化部署、应用流量接入、流量分发及流量引入至安全指令构成了本公开的部署云资源池架构方法;
解决现有技术中未能将容器技术应用与安全资源池结合,仍使用较为传统的VM虚拟机实现安全资源池部署的技术方案,本公开将容器技术与安全资源池结合后,可以充分发挥容器本身轻量级、处理快、弹性扩缩容等优势,有效地节省主机资源、支持快速扩展等优势。
参照图3所示,为本公开实施例提供的部署云资源池架构系统的模块示意图。
本公开所述部署云资源池架构方法较佳实施例的模块可以安装于电子设备中。根据实现的功能,所述部署云资源池架构方法较佳实施例的模块可以包括构建模块110、接收模块120、响应模块130。本发所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
本实施例,关于各模块/单元的功能如下:
构建模块110:用于在资源池的流量网关容器中创建虚拟接口,以构建所述资源池的容器网络与应用网络之间全双工IP地址;
接收模块120:用于在通过所述应用网络接收到带有预设的产品类型的防护请求后,根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系,确定出所述产品类型对应的调用指令函数类型;
响应模块130:用于基于所述对应的调用指令函数类型调用对应的安全指令,通过所述IP地址执行所述安全指令以完成对所述防护请求的响应。
在一个实施例中,所述在资源池包括流量网关容器、容器网络,所述在资源池的流量网关容器中创建虚拟接口,包括:
根据所述流量网关容器的接口信息创建对应的网桥和虚拟逻辑接口;
将所述虚拟逻辑接口添加至所述网桥中创建出所述虚拟接口。
在一个实施例中,在所述在资源池的流量网关容器中创建虚拟接口之后,该方法还包括:
利用所述虚拟接口与主机的多层虚拟链路连接,并结合预设的网络架构,以使所述资源池的容器网络具有转发应用流量的能力。
在一个实施例中,所述预设的网络架构,包括:
利用OVS-VSWITCHD虚拟交换机与DPDK应用程序构建所述网络架构。
在一个实施例中,所述预设的产品类型,包括流量类型产品,所述流量类型产品对应的防护请求包括:将所述流量类型产品的应用流量经过所述资源池进行流量清洗,及将清洗后的所述应用流量推送至对应的被防护资源。
在一个实施例中,所述将所述流量类型产品的应用流量经过所述资源池进行流量清洗,包括:
检测所述应用流量是否存在攻击流量;若所述应用流量存在攻击流量,则生成与所述攻击流量对应的流量清洗路由;其中,所述流量清洗路由至少包括用于指示所述攻击流量对应的分支路由设备的设备标识;
根据所述流量清洗路由对所述应用流量进行流量清洗,将流量清洗后的应用流量回注至容器网络的汇聚路由模块,以使流量清洗后的应用流量被所述汇聚路由模块转发。
在一个实施例中,所述预设的产品类型,包括非流量类型产品,所述流量类型产品对应的防护请求为通过对应的安全指令对非流量类型产品进行防护。
在一个实施例中,在所述根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系之前,该方法还包括:
获取每个预先确定的产品类型的归属文件夹与存储区域标识的关联关系,
根据所述关联关系建立每个预先确定的产品类型与所述调用指令函数类型的映射关系并存储至所述资源池的存储空间。
在一个实施例中,所述基于所述对应的调用指令函数类型调用对应的安全指令,包括:
接收调用指令函数类型创建安全指令的请求,向所述资源池的安全指令管理组件发送安全指令创建消息;
根据所述安全指令创建消息启动容器虚拟机启动,并调用所述容器虚拟机内的容器生产代理子组件在容器虚拟机内生产容器,以创建所述安全指令。
在一个实施例中,所述通过所述IP地址执行所述安全指令以完成对所述防护请求的响应,包括:
根据所述安全指令对应的预先定义的应用规则对所述防护请求的执行防护操作,得到所述防护请求的响应。
根据本公开实施例的电子设备包括存储器和处理器。该存储器用于存储非暂时性计算机可读指令。具体地,存储器可以包括一个或多个计算机程序产品,该计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。该易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。该非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。
该处理器可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其它形式的处理单元,并且可以控制电子设备中的其它组件以执行期望的功能。在本公开的一个实施例中,该处理器用于运行该存储器中存储的该计算机可读指令,使得该电子设备执行前述的本公开各实施例的部署云资源池架构方法全部或部分步骤。
本领域技术人员应能理解,为了解决如何获得良好用户体验效果的技术问题,本实施例中也可以包括诸如通信总线、接口等公知的结构,这些公知的结构也应包含在本公开的保护范围之内。
如图4为本公开实施例提供的一种电子设备的结构示意图。其示出了适于用来实现本公开实施例中的电子设备的结构示意图。图4示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图4所示,电子设备可以包括处理系统(例如中央处理器、图形处理器等),其可以根据存储在只读存储器(ROM)中的程序或者从存储系统加载到随机访问存储器(RAM)中的程序而执行各种适当的动作和处理。在RAM中,还存储有电子设备操作所需的各种程序和数据。处理系统、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。
通常,以下系统可以连接至I/O接口:包括例如传感器或者视觉信息采集设备等的输入系统;包括例如显示屏等的输出系统;包括例如磁带、硬盘等的存储系统;以及通信系统。通信系统可以允许电子设备与其他设备(比如边缘计算设备)进行无线或有线通信以交换数据。虽然图4示出了具有各种系统的电子设备,但是应理解的是,并不要求实施或具备所有示出的系统。可以替代地实施或具备更多或更少的系统。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信系统从网络上被下载和安装,或者从存储系统被安装,或者从ROM被安装。在该计算机程序被处理系统执行时,执行本公开实施例的部署云资源池架构方法的全部或部分步骤。
有关本实施例的详细说明可以参考前述各实施例中的相应说明,在此不再赘述。
根据本公开实施例的计算机可读存储介质,其上存储有非暂时性计算机可读指令。当该非暂时性计算机可读指令由处理器运行时,执行前述的本公开各实施例的部署云资源池架构方法的全部或部分步骤。
上述计算机可读存储介质包括但不限于:光存储介质(例如:CD-ROM和DVD)、磁光存储介质(例如:MO)、磁存储介质(例如:磁带或移动硬盘)、具有内置的可重写非易失性存储器的媒体(例如:存储卡)和具有内置ROM的媒体(例如:ROM盒)。
有关本实施例的详细说明可以参考前述各实施例中的相应说明,在此不再赘述。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本公开为必须采用上述具体的细节来实现。
在本公开中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序,本公开中涉及的器件、系统、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、系统、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
另外,如在此使用的,在以“至少一个”开始的项的列举中使用的“或”指示分离的列举,以便例如“A、B或C的至少一个”的列举意味着A或B或C,或AB或AC或BC,或ABC(即A和B和C)。此外,措辞“示例的”不意味着描述的例子是可选的或者比其他例子更好。
还需要指出的是,在本公开的系统和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。
可以不脱离由所附权利要求定义的教导的技术而进行对在此所述的技术的各种改变、替换和更改。此外,本公开的权利要求的范围不限于以上所述的处理、机器、制造、事件的组成、手段、方法和动作的具体方面。可以利用与在此所述的相应方面进行基本相同的功能或者实现基本相同的结果的当前存在的或者稍后要开发的处理、机器、制造、事件的组成、手段、方法或动作。因而,所附权利要求包括在其范围内的这样的处理、机器、制造、事件的组成、手段、方法或动作。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此,本公开不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
Claims (10)
1.一种部署云资源池架构的方法,其特征在于,包括:
在资源池的流量网关容器中创建虚拟接口,以构建所述资源池的容器网络与应用网络之间全双工IP地址;
在通过所述应用网络接收到带有预设的产品类型的防护请求后,根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系,确定出所述产品类型对应的调用指令函数类型;
基于所述对应的调用指令函数类型调用对应的安全指令,通过所述IP地址执行所述安全指令以完成对所述防护请求的响应。
2.根据权利要求1所述的部署云资源池架构方法,其特征在于,所述在资源池包括流量网关容器、容器网络,所述在资源池的流量网关容器中创建虚拟接口,包括:
根据所述流量网关容器的接口信息创建对应的网桥和虚拟逻辑接口;
将所述虚拟逻辑接口添加至所述网桥中创建出所述虚拟接口。
3.根据权利要求1或2所述的部署云资源池架构方法,其特征在于,在所述在资源池的流量网关容器中创建虚拟接口之后,该方法还包括:
利用所述虚拟接口与主机的多层虚拟链路连接,并结合预设的网络架构,以使所述资源池的容器网络具有转发应用流量的能力,其中,所述预设的网络架构为利用OVS-VSWITCHD虚拟交换机与DPDK应用程序构建所述网络架构。
4.根据权利要求1所述的部署云资源池架构方法,其特征在于,所述预设的产品类型,包括流量类型产品,所述流量类型产品对应的防护请求包括:将所述流量类型产品的应用流量经过所述资源池进行流量清洗,及将清洗后的所述应用流量推送至对应的被防护资源。
5.根据权利要求4所述的部署云资源池架构方法,其特征在于,所述将所述流量类型产品的应用流量经过所述资源池进行流量清洗,包括:
检测所述应用流量是否存在攻击流量;若所述应用流量存在攻击流量,则生成与所述攻击流量对应的流量清洗路由;其中,所述流量清洗路由至少包括用于指示所述攻击流量对应的分支路由设备的设备标识;
根据所述流量清洗路由对所述应用流量进行流量清洗,将流量清洗后的应用流量回注至容器网络的汇聚路由模块,以使流量清洗后的应用流量被所述汇聚路由模块转发。
6.根据权利要求1所述的部署云资源池架构方法,其特征在于,所述预设的产品类型,包括非流量类型产品,所述流量类型产品对应的防护请求为通过对应的安全指令对非流量类型产品进行防护。
7.根据权利要求1所述的部署云资源池架构方法,其特征在于,在所述根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系之前,该方法还包括:
获取每个预先确定的产品类型的归属文件夹与存储区域标识的关联关系,
根据所述关联关系建立每个预先确定的产品类型与所述调用指令函数类型的映射关系并存储至所述资源池的存储空间。
8.根据权利要求1所述的部署云资源池架构方法,其特征在于,所述基于所述对应的调用指令函数类型调用对应的安全指令,包括:
接收调用指令函数类型创建安全指令的请求,向所述资源池的安全指令管理组件发送安全指令创建消息;
根据所述安全指令创建消息启动容器虚拟机启动,并调用所述容器虚拟机内的容器生产代理子组件在容器虚拟机内生产容器,以创建所述安全指令。
9.根据权利要求1所述的部署云资源池架构方法,其特征在于,所述通过所述IP地址执行所述安全指令以完成对所述防护请求的响应,包括:
根据所述安全指令对应的预先定义的应用规则对所述防护请求的执行防护操作,得到所述防护请求的响应。
10.一种部署云资源池架构的系统,其特征在于,包括:
构建模块:用于在资源池的流量网关容器中创建虚拟接口,以构建所述资源池的容器网络与应用网络之间全双工IP地址;
接收模块:用于在通过所述应用网络接收到带有预设的产品类型的防护请求后,根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系,确定出所述产品类型对应的调用指令函数类型;
响应模块:用于基于所述对应的调用指令函数类型调用对应的安全指令,通过所述IP地址执行所述安全指令以完成对所述防护请求的响应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211538189.0A CN115904626A (zh) | 2022-12-02 | 2022-12-02 | 一种部署云资源池架构的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211538189.0A CN115904626A (zh) | 2022-12-02 | 2022-12-02 | 一种部署云资源池架构的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115904626A true CN115904626A (zh) | 2023-04-04 |
Family
ID=86481126
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211538189.0A Pending CN115904626A (zh) | 2022-12-02 | 2022-12-02 | 一种部署云资源池架构的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115904626A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116436727A (zh) * | 2023-04-19 | 2023-07-14 | 北京志凌海纳科技有限公司 | 一种虚拟机容器混合编排系统及其IPv6网络实现方法 |
-
2022
- 2022-12-02 CN CN202211538189.0A patent/CN115904626A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116436727A (zh) * | 2023-04-19 | 2023-07-14 | 北京志凌海纳科技有限公司 | 一种虚拟机容器混合编排系统及其IPv6网络实现方法 |
| CN116436727B (zh) * | 2023-04-19 | 2023-12-05 | 北京志凌海纳科技有限公司 | 一种虚拟机容器混合编排系统及其IPv6网络实现方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210344692A1 (en) | Providing a virtual security appliance architecture to a virtual cloud infrastructure | |
| US10986139B2 (en) | Micro-segmentation in virtualized computing environments | |
| CN107947961B (zh) | 基于SDN的Kubernetes网络管理系统与方法 | |
| US10411947B2 (en) | Hot swapping and hot scaling containers | |
| US10191758B2 (en) | Directing data traffic between intra-server virtual machines | |
| US10419550B2 (en) | Automatic service function validation in a virtual network environment | |
| US9871720B1 (en) | Using packet duplication with encapsulation in a packet-switched network to increase reliability | |
| KR102014433B1 (ko) | 미들웨어 머신 환경에서 기능이 저하된 팻-트리들을 디스커버링 및 라우팅하는 것을 지원하는 시스템 및 방법 | |
| US11700236B2 (en) | Packet steering to a host-based firewall in virtualized environments | |
| US9910687B2 (en) | Data flow affinity for heterogenous virtual machines | |
| US20090063706A1 (en) | Combined Layer 2 Virtual MAC Address with Layer 3 IP Address Routing | |
| US10103980B1 (en) | Methods and apparatus for maintaining an integrated routing and bridging interface | |
| US9112769B1 (en) | Programatically provisioning virtual networks | |
| CN104734955A (zh) | 网络功能虚拟化的实现方法、宽带网络网关以及控制装置 | |
| US11531564B2 (en) | Executing multi-stage distributed computing operations with independent rollback workflow | |
| CN105704042A (zh) | 报文处理方法、bng及bng集群系统 | |
| CN115904626A (zh) | 一种部署云资源池架构的方法及系统 | |
| CN111800523A (zh) | 虚拟机网络的管理方法、数据处理方法及系统 | |
| CN110795209B (zh) | 一种控制方法和装置 | |
| KR20220104241A (ko) | 네트워크 작업 방법, 장치, 설비 및 저장매체 | |
| CN110365577B (zh) | 一种安全资源池的引流系统及安全检查方法 | |
| Herker et al. | Evaluation of data-center architectures for virtualized Network Functions | |
| US20230105269A1 (en) | Virtualized network service deployment method and apparatus | |
| US11281451B2 (en) | Distributed backup and restoration in virtualized computing environments | |
| US10892999B1 (en) | Detection of hardware assistance for an overlay network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |