CN117082009A - 基于软件定义安全的云资源管理方法及管理系统 - Google Patents
基于软件定义安全的云资源管理方法及管理系统 Download PDFInfo
- Publication number
- CN117082009A CN117082009A CN202311329416.3A CN202311329416A CN117082009A CN 117082009 A CN117082009 A CN 117082009A CN 202311329416 A CN202311329416 A CN 202311329416A CN 117082009 A CN117082009 A CN 117082009A
- Authority
- CN
- China
- Prior art keywords
- resource
- user
- users
- cloud
- cloud resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 33
- 239000002245 particle Substances 0.000 claims abstract description 98
- 238000013507 mapping Methods 0.000 claims abstract description 97
- 238000013468 resource allocation Methods 0.000 claims abstract description 49
- 238000000034 method Methods 0.000 claims description 19
- 238000005457 optimization Methods 0.000 claims description 14
- 230000008569 process Effects 0.000 claims description 12
- 238000010276 construction Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 5
- 230000001133 acceleration Effects 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000010606 normalization Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 12
- 230000006399 behavior Effects 0.000 description 5
- 238000011161 development Methods 0.000 description 4
- 230000004075 alteration Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 235000012907 honey Nutrition 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/821—Prioritising resource allocation or reservation requests
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及基于软件定义安全的云资源管理方法及管理系统,基于安全服务接入多用户中产生的资源抢占和调度问题,采用带权的最大最小公平算法计算用户集中各用户能够从网络切片分取的资源量,在保障所有用户满足最小共享资源量的条件下,将还未分配的资源集中起来分配给需要“大资源”用量的用户,使用户总是按照递增的顺序获得资源,每个用户不可能获得比自己需求更多的资源,当用户的剩余需求都不能够被满足时,总是会等价地对切片的剩余资源进行公平分享,从而改善了资源分配的公平性问题,还采用粒子群算法对网络切片的云资源映射策略集进行优化,使资源分配结果在符合公平分配原则的基础上,尽最大程度保障了多数用户的服务质量。
Description
技术领域
本发明涉及软件定义安全领域,具体涉及基于软件定义安全的云资源管理方法及管理系统。
背景技术
软件定义网络(Software Defined Network,SDN)是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制平面与数据平面分离开来,控制平面的逻辑控制功能是由SDN控制器实现的,SDN交换机实现数据平面的数据转发功能,这种网络架构通过逻辑上集中的SDN控制器和开放的OpenFlow标准接口,由控制器根据业务逻辑需求以软件定义的方式实现灵活、快速的转发行为,减轻了数据平面的负担,从而提升网络管理的效率和网络性能。
随着SDN的逐渐发展,它在控制层与数据层的分离、开放的API 接口和软件编程的优势受到广泛关注,将这些网络演进的特征应用于安全领域,产生了软件定义安全(Software Defined Security,SDS)的概念,通过控制平面和安全数据平面相分离,将网络安全设备的接入模式、实现功能、部署方式解耦,在底层将网络安全设备虚拟化形成安全资源池,顶层通过软件定义的方式进行自动化管理,实现新业务安全需求的快速开发和部署。
然而由于现代通信技术的发展,应用场景多变,业务请求多种多样,数据流量爆发式增长,使得传统的安全资源管理与分配方式已不适合SDS等应用环境,而基于SDN/NFV 架构的网络切片正是解决这些问题的关键技术。网络切片通过网络功能虚拟化(NetworkFunction Virtualization,NFV)与SDN技术相结合,将底层物理网络资源抽象为虚拟资源,同时将物理网络抽象为逻辑网络,通过差异化地定制网络切片实例(Network SliceInstance,NSI)来为切片用户提供功能化服务,以提供更加完整的隔离、差异化、高效和友好运营的网络能力。网络切片要求切片具备统一编排和自适应的调整能力,现有的网络切片编排技术尚不成熟,主要是以资源整体利用率为优化目标,由于不同用户的资源需求量、需求资源的类型、已占用的资源量差异化较大,一味地寻求资源利用最大化会导致用户之间对稀缺的安全资源发生恶性竞争,使得安全资源分配的公平性失衡,严重降低了部分用户的服务质量。
发明内容
为克服现有的安全资源分配策略缺乏公平性的问题,本发明提供一种基于软件定义安全的云资源管理方法及管理系统,通过采集用户已使用的安全服务资源的历史记录,分析并生成用户资源再分配的优先权值,利用带权的公平算法为用户公平地分配资源。
为实现上述目的,本发明提供的基于软件定义安全的云资源管理方法,所述的方法包括:
步骤1)统计具有相同安全服务需求的用户组成用户集,根据用户的安全服务需求生成网络切片,所述的网络切片包含一组有序连接的VNF,每个VNF用于实现相应的安全服务功能;
步骤2)随机生成一个粒子群,并对群中各粒子位置进行初始化,每个粒子位置均表示网络切片的一个云资源映射策略集,所述的云资源映射策略集包含网络切片中所有VNF的云资源映射策略;
步骤3)统计用户在一段时间内已占用的云资源,利用云资源占用信息为用户生成资源优先分配权值;
步骤4)根据用户的资源优先分配权值和网络切片的云资源映射策略集,为用户生成对应的公平权重系数,利用最大最小公平算法按公平权重系数计算用户集中各用户能够从网络切片分取的资源量,组成云资源分配策略集;
步骤5)累计已满足资源需求的用户数量,将用户数量作为优化目标,采用粒子群算法对目标进行优化,在最大迭代运算次数完成后输出最优位置上的粒子所对应的云资源映射策略集;
步骤6)依照最优的云资源映射策略集对各VNF执行云资源映射,并按云资源分配策略集为各用户分配资源。
进一步优选地,所述的步骤2)包括:为粒子群构建一个多维空间,粒子在多维空间中的位置表示为一个多维向量,多维向量的每一维表示网络切片中一个VNF的云资源映射策略。
进一步优选地,所述的步骤3)包括:
为每个用户设置相同时间长度的观察窗,在观察窗中查询每个单位时间内已占用云资源的资源量和安全服务等级,根据时间衰减规则计算用户对云资源的占用度值:
其中,表示时间衰减参数,/>和/>分别表示用户u在第i个单位时间内已占用云资源的资源量和安全服务等级值,n表示观察窗内单位时间总计数;
进一步定义用户的资源优先分配权值:
其中,表示设定的资源优先分配权值的最大值。
进一步优选地,所述的步骤4)中公平权重系数生成过程为:
根据云资源映射策略集统计网络切片中所有VNF的云资源映射总量,以资源属性计算每个用户资源需求量与云资源映射总量之间的相关度值:
其中,、/>和/>表示用户u关于带宽、计算和存储属性的资源需求量,/>、/>和/>表示网络切片关于带宽、计算和存储属性的云资源映射总量,、/>和/>表示用户u关于带宽、计算和存储属性的偏好系数;
进一步计算用户关于当前云资源映射策略集的公平权重系数:
然后对公平权重系数进行归一化处理,得到归一化的公平权重系数:
其中,和/>分别表示用户集中公平权重系数的最小值和最大值。
进一步优选地,所述的步骤4)中计算用户集中各用户能够从网络切片分取的资源量过程为:
步骤401)根据用户资源需求量和公平权重系数计算用户的单位权重资源需求量:
根据云资源映射总量和各用户的公平权重系数计算单位权重资源分配量:
其中,表示第u个用户的资源需求量,m表示用户集中用户总计数,/>表示云资源映射总量;
步骤402)为各用户执行第一次资源分配:
其中,表示第u个用户在第一次分配中获得的资源量,/>表示最小值输出函数;
步骤403)如果不存在第u个用户满足,执行步骤407),否则执行步骤404);
步骤404)判断如果网络切片的资源无剩余,执行步骤407),如果资源有剩余,则计算网络切片的资源剩余量:
从用户集中移除的用户,重新计算剩余用户的单位权重资源分配量:
其中,表示用户集中剩余用户总计数,/>表示第t个剩余用户的公平权重系数;
计算剩余用户的单位权重资源剩余需求量:
其中,表示第t个剩余用户的单位权重资源需求量;进一步判断用户集中如果不存在/>的剩余用户,则执行步骤406),否则执行步骤405);
步骤405)为剩余用户执行第二次资源分配:
其中,表示第t个剩余用户在第二次分配中获得的资源量,/>表示第t个剩余用户的单位权重资源剩余需求量,然后重复执行步骤404)和步骤405);
步骤406)将网络切片的资源剩余量平均分配给所有剩余用户,执行步骤407);
步骤407)结束资源分配过程。
进一步优选地,所述的步骤5)进一步包括:
对粒子的速度和位置进行迭代更新:
其中,表示第j个粒子在第k次迭代中第d维的速度,/>和/>表示加速系数,分别调节向个体最优粒子和全局最优粒子移动的最大步长,令/>和/>,表示第k次迭代中生成的两个随机数,/>表示第j个粒子在第k次迭代中第d维上的位置,表示第j个粒子在第k次迭代中第d维上个体极值点的位置,/>表示粒子群在第k次迭代中第d维上全局极值点的位置。
本发明还提供了一种基于软件定义安全的云资源管理系统,所述的系统包括:切片生成模块、粒子群构建模块、分配权值生成模块、资源公平分配模块、资源配置优化模块、资源调度模块;
切片生成模块:统计具有相同安全服务需求的用户组成用户集,根据用户的安全服务需求生成网络切片,所述的网络切片包含一组有序连接的VNF,每个VNF用于实现相应的安全服务功能;
粒子群构建模块:随机生成一个粒子群,并对群中各粒子位置进行初始化,每个粒子位置均表示网络切片的一个云资源映射策略集,所述的云资源映射策略集包含网络切片中所有VNF的云资源映射策略;
分配权值生成模块:统计用户在一段时间内已占用的云资源,利用云资源占用信息为用户生成资源优先分配权值;
资源公平分配模块:根据用户的资源优先分配权值和网络切片的云资源映射策略集,为用户生成对应的公平权重系数,利用最大最小公平算法按公平权重系数计算用户集中各用户能够从网络切片分取的资源量,组成云资源分配策略集;
资源配置优化模块:累计已满足资源需求的用户数量,将用户数量作为优化目标,采用粒子群算法对目标进行优化,在最大迭代运算次数完成后输出最优位置上的粒子所对应的云资源映射策略集;
资源调度模块:依照最优的云资源映射策略集对各VNF执行云资源映射,并按云资源分配策略集为各用户分配资源。
本发明的云资源管理方法及管理系统的有益效果:
基于安全服务接入多用户中产生的资源抢占和调度问题,本发明采用带权的最大最小公平算法计算用户集中各用户能够从网络切片分取的资源量,在保障所有用户满足最小共享资源量的条件下,将还未分配的资源集中起来分配给需要“大资源”用量的用户,使用户总是按照递增的顺序获得资源,每个用户不可能获得比自己需求更多的资源,当用户的剩余需求都不能够被满足时,总是会等价地对切片的剩余资源进行公平分享,从而改善了资源分配的公平性问题。
通过统计用户在一段时间内已占用的云资源,即观察用户已占用云资源的资源量和安全服务等级信息,然后根据时间衰减规则计算用户的资源优先分配权值,利用资源优先分配权值生成与公平算法相关的公平权重系数,资源优先分配权值反应的是用户对资源占用程度的历史情况,用户曾经占用的资源越多,则计算得到的资源优先分配权值和公平权重系数越低,其再次被分配到的资源也就越少,反之则被分配到的资源越多,进一步提高了资源分配的公平性。
本发明还采用粒子群算法对网络切片的云资源映射策略集进行优化,累计已满足资源需求的用户数量并作为优化目标,采用粒子群算法对目标进行优化,在最大迭代运算次数内找到满足用户数量最多的云资源映射策略集,然后依照最优的云资源映射策略集对网络切片编排,最后按照已生成的云资源分配策略集从编排好的网络切片中分配资源给用户;通过将粒子群算法与公平分配算法相结合,使资源分配结果在符合公平分配原则的基础上,尽最大程度保障了多数用户的服务质量。
附图说明
图1为基于SDN/NFV技术的软件定义安全系统架构示意图;
图2为本发明提供的基于软件定义安全的云资源管理方法流程图;
图3为本发明提供的基于软件定义安全的云资源管理系统结构图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,所描述的实施例不应视为对本申请的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
软件定义安全(Software Defined Security,SDS)架构体系根据SDN技术,将安全的控制平面与数据平面解耦,将安全设备(安全网元)虚拟化,使控制层和网元层分开,由安全网元提供安全防护,控制层进行策略下发和网元管理。底层通过网络功能虚拟化(Network Function Virtualization,NFV)技术将安全设备虚拟化形成安全资源池,顶层通过软件定义的方式进行自动化管理,实现新业务安全需求的快速开发和部署。
如图1所示,结合了SDN/NFV技术的SDS系统架构可分为四个部分:安全应用接口,实现安全功能的安全资源池,软件定义的安全控制器和软件定义的SDN控制器。其中,安全应用接口:位于架构的顶层,向安全控制器推送用户定义的安全需求,并接收来自安全控制器的日志警告数据;安全资源池:由安全防护设备、虚拟化安全防护设备组成,如防火墙、IDS、IPS等安全设备,通过安全能力抽象和资源池化,将安全设备抽象为具有安全能力的资源池,提供基础的安全防护能力,并向安全控制器发送资源动态的日志告警数据;安全控制器:安全控制器北向与安全应用进行数据和安全需求的交互,南向提供对基础安全防护组件的注册、调度的管理,通过解析资源配置策略进行资源调度,西向与SDN控制器对接,生成需要的逻辑拓扑、数据流的调度指令;SDN控制器:维护全网视图,监控全网拓扑,解析安全控制器传递的流指令,并下发到交换机控制数据转发,实现网络流量重定向的功能。
而为了实现上述安全网元的灵活调度,需要根据用户提出的安全服务需求,通过差异化地定制网络切片实例来提供相应的安全服务功能。具体地,网络切片由 5G 网络中部署的NFVI(NFV Infrastructure,网络功能虚拟化基础设施)上的各种VNF(Virtualization Network Functions,虚拟网络功能)动态组合而成,运营商可以根据不同的需求,利用网络切片构造技术和虚拟资源管理技术对VNF进行统一的动态编排、部署和调度,在通用的硬件基础设施或者NFVI上切分出多个网络切片。因此,网络切片可以看做是一个针对不同需求提供定制化服务并独立运维的虚拟网络,可适用于各种不同特征的服务。使系统可以对安全网元的功能进行定制,灵活部署安全网元,进行网络模板编排,按需调整网元的结构,对用户虚拟机的安装状态进行监测,调整用户的安全网元的网络结构,进行补丁推送以及防火墙策略调整,并在安全资源池中引入基于容器的蜜罐,收集攻击信息,进行安全追踪。进而,可以形成从安全需求(安全变化)到安全服务及网元结构调整,以及安全追踪的自适应闭环体系。根据自身面临的安全问题,调整包括系统补丁、网络策略和业务安全方案。
网络切片涉及资源编排和部署两个阶段,资源编排就是将VNF映射到底层网络资源上,资源部署是实现网络切片资源的分配,在对网络切片进行编排和部署过程中,为了提高资源利用效率,允许网络运营商为相同安全服务需求的多个用户、应用程序或其他网络运营商共享同一功能类型的网络切片,用户可以通过相同的VNF分配到各自需求的安全资源,并且使用户与用户之间保持安全隔离,实现这种功能的关键是VNF具有在虚拟机上部署的灵活性。在虚拟网络功能部署问题中,物理节点并非指的是物理实体的服务器、工控机、处理刀片、磁盘阵列、交换机等通用的计算、存储和交换资源,在研究过程中所指的物理节点通常是经过虚拟化层抽象之后形成的虚拟机VM(Virtual Machine)。而VNF和虚拟机之间存在以下三种关系:
一个VNF映射到一个虚拟机,网络功能虚拟化编排器可以根据VNF的具体情况,调用与之资源需求相匹配的虚拟机运行VNF;
多个VNF映射到一个虚拟机,例如一个物理设备上可以运行多个软件。VM代表了物理节点可提供的物理资源容量,因此当VM满足VNF资源需求的情况下,可以部署多个VNF,但是在业务提供的过程中,同一个VM上只能同时实例化(运行)一个VNF;
一个VNF映射到多个虚拟机,由于VNF自身就是网络功能虚拟化的产物,所以当一个VNF映射到多个虚拟机上时,可以对VNF进行拆分,将其看作多个功能相同的子VNF运行在不同虚拟机上。
因此,实施VNF多样化的虚拟资源映射模式能够将具有相同服务功能的资源重新整合,便于将具有相同安全服务需求的业务进行集中化管理和资源分配,提高资源利用效率。对于一个有序的VNF集组成的网络切片,其关键在于根据用户需求如何实现合理的切片资源编排,现有的网络切片编排技术尚不成熟,主要集中在通过编排提高资源利用率和降低业务时延,VNF实例的性能不仅涉及开销、时延、可靠性等多个性能指标,还涉及资源占用的公平性,资源分配公平性失衡会严重降低部分用户的服务质量。
为此,本发明提出基于公平机制的安全资源管理方案,如图2所示,本发明提供的一种基于软件定义安全的云资源管理方法,该方法包括以下步骤:
步骤1)统计具有相同安全服务需求的用户组成用户集,根据用户的安全服务需求生成网络切片,所述的网络切片包含一组有序连接的VNF,每个VNF用于实现相应的安全服务功能;
步骤2)随机生成一个粒子群,并对群中各粒子位置进行初始化,每个粒子位置均表示网络切片的一个云资源映射策略集,所述的云资源映射策略集包含网络切片中所有VNF的云资源映射策略;
步骤3)统计用户在一段时间内已占用的云资源,利用云资源占用信息为用户生成资源优先分配权值;
步骤4)根据用户的资源优先分配权值和网络切片的云资源映射策略集,为用户生成对应的公平权重系数,利用最大最小公平算法按公平权重系数计算用户集中各用户能够从网络切片分取的资源量,组成云资源分配策略集;
步骤5)累计已满足资源需求的用户数量,将用户数量作为优化目标,采用粒子群算法对目标进行优化,在最大迭代运算次数完成后输出最优位置上的粒子所对应的云资源映射策略集;
步骤6)依照最优的云资源映射策略集对各VNF执行云资源映射,并按云资源分配策略集为各用户分配资源。
参考图1所示,安全控制器根据安全应用接口提供的用户需求,利用安全资源池和编排算法知识库匹配对应的网络切片编排算法,构造切片编排信息生成对应的网络切片实例,通过动态感知底层的网络拓扑和资源信息,将设备状态和拓扑状态收集至SDN控制器进行信息的一体化管理,并负责将网络切片映射到底层网络节点,即由云资源映射策略集实施底层网络资源映射,然后再利用云资源分配策略集为每个用户分配切片资源。
对于底层网络拓扑可以使用有向图表示为,其中N表示网络拓扑节点集,L表示网络拓扑链路集,R表示网络拓扑资源集,包括链路带宽、节点计算和存储能力等属性在内的属性值,由于网络切片是由一组有序的VNF组成的安全服务功能链,因此网络切片也具有相应的网络拓扑结构,假设有v个网络切片映射到底层网络,则切片拓扑用有向图可以表示为/>,其中/>表示切片拓扑中的VNF节点集,/>表示切片拓扑中的VNF链路集,/>表示切片拓扑资源集,相应地,切片拓扑中的第j个网络切片表示为。
本发明采用带权的最大最小公平算法参与资源分配过程,最大最小公平算法的基本含义是公平地将资源分配给每个用户想要的最小需求,然后将没有使用的资源集中起来分配给需要“大资源”用量的用户,用户之间资源分配量的差异由公平权重系数衡量。所述的公平权重系数与用户对资源占用程度的历史情况相关,用户曾经占用的资源越多,则计算得到的公平权重系数越低,其再次被分配到的资源也就越少,反之则被分配到的资源越多,以此实现资源公平分配机制。
在本发明提供的一个实施例中,通过以下过程计算与公平权重系数相关的资源优先分配权值:
为每个用户设置相同时间长度的观察窗,在观察窗中查询每个单位时间内已占用云资源的资源量和安全服务等级,根据时间衰减规则计算用户对云资源的占用度值:
其中,表示时间衰减参数,/>和/>分别表示用户u在第i个单位时间内已占用云资源的资源量和安全服务等级值,n表示观察窗内单位时间总计数;
进一步定义用户的资源优先分配权值:
其中,表示设定的资源优先分配权值的最大值。当用户在整个观察时长内未使用过资源时,令该用户的资源优先分配权值为最大值/>,表明当前用户拥有最高的资源分配权,/>为系统定义值,其高于所有相同服务需求的用户的资源优先分配权值。
为了精确地反映用户对资源占用的历史情况,本实施例中首先设置一个时间观察窗来限制历史行为的记录时长,时间观察窗的末端记为当前时刻,以单位时间为步长在时间轴上移动,并移除观察窗最前端记录的历史数据;然后使用基于时间关系的指数衰减函数计算用户对云资源的占用程度,该算法对用户占用资源的历史行为进行时间衰减,使得时间越近的行为对占用度值影响越大,同时削弱时间较远的行为对占用度值的影响。另外,用户对云资源的占用度值与资源占用量、安全服务等级相关,系统根据用户请求的业务类型确定相应的安全服务等级,资源占用量和安全服务等级越高,占用度值也就越高,反之占用度值越低。
由于不同用户业务对资源的属性偏好不同,例如:对时延比较敏感的用户业务要求分配的资源拥有较高的带宽,计算复杂度较高的用户业务要求分配的资源节点具有较强的运算能力,而对于大数据流转发的业务则需要为其分配足够的缓存空间,防止数据溢出,如果将资源随机分配给用户,会导致业务自身需求的某类属性资源无法得到满足,但同时又占用了大量需求不高的其他类属性资源。因此,考虑将部分属性上具有凸显能力的网络切片资源优先分配给对应偏好的用户,待释放出大量资源后再执行其他非优先用户业务,使得资源分配更为合理,提高系统运行效率。为此,在本发明提供的一个实施例中,根据已有的云资源映射策略,通过资源偏好函数计算用户需求的资源与网络切片资源的相似度,相关度值越高的业务请求,则优先分配资源的权限越高。同时将资源优先分配权值作为惩罚系数,削弱资源占用度较高的用户再次分配资源的优先权限。具体地,受资源优先分配权值和资源属性偏好双重约束的公平权重系数生成过程为:
根据云资源映射策略集统计网络切片中所有VNF的云资源映射总量,以资源属性计算每个用户资源需求量与云资源映射总量之间的相关度值:
其中,、/>和/>表示用户u关于带宽、计算和存储属性的资源需求量,/>、/>和/>表示网络切片关于带宽、计算和存储属性的云资源映射总量,、/>和/>表示用户u关于带宽、计算和存储属性的偏好系数;
进一步计算用户关于当前云资源映射策略集的公平权重系数:
然后对公平权重系数进行归一化处理,得到归一化的公平权重系数:
其中,和/>分别表示用户集中公平权重系数的最小值和最大值,通过对系数值进行线性变换,以便将系数值映射到/>之间。
本实施例将资源分为三类属性,同时将业务也按照其对资源需求的特点归为对应的计算偏好型、带宽偏好型和存储偏好型,资源优先分配权值和相关度值越高的业务需求,其公平权重系数就越高,依照公平算法分配的资源量也就越多。
最大最小公平算法是一种递归算法,对于带权的公平算法,一般是先计算用户的公平权重系数在用户集总权重值中的占比,从网络切片的云资源分配总量中获取对应比例的资源分配量,该资源分配量就是每个用户想要的最小需求,如果用户初次分配的资源量高于用户资源需求量,需要将多余资源释放到网络切片的安全资源池;在执行第二次资源分配之前,先统计安全资源池中资源剩余量,剔除用户集中已满足需求的用户并重新计算用户集总权重值,然后按以上分配方式继续执行第二次资源分配,重复执行该分配过程,使用户总是按照递增的顺序获得资源,当用户的剩余需求都不能够被满足时,将剩余资源平均分给剩余的所有用户。该算法结合了云环境下多用户最小共享资源量实现对用户的最小资源量的保证,并且解决了多业务之间的资源抢占问题。
在本发明提供的以下实施例中,实施改进的最大最小公平算法,首先计算用户的单位权重资源需求量,与单位权重资源分配量/>进行比较,优先把资源分配给/>的用户,因为这类用户是在资源池枯竭前有能力满足的,在满足所有用户的最小需求,即完成第一次资源分配后,重复执行的每次资源分配过程都是尽最大程度满足用户剩余需求,使被满足的用户数量最大化,同时减少资源在用户之间交换的频次,降低资源调度负载。具体地,利用最大最小公平算法进行资源分配的过程具体包括以下步骤:
步骤401)根据用户资源需求量和公平权重系数计算用户的单位权重资源需求量:
根据云资源映射总量和各用户的公平权重系数计算单位权重资源分配量:
其中,表示第u个用户的资源需求量,m表示用户集中用户总计数,/>表示云资源映射总量;
步骤402)为各用户执行第一次资源分配:
其中,表示第u个用户在第一次分配中获得的资源量,/>表示最小值输出函数;
步骤403)如果不存在第u个用户满足,表明所有用户需求在第一次资源分配过后都会得到满足,执行步骤407),否则表明用户集中还存在部分用户需求未得到满足,执行步骤404);
步骤404)判断如果网络切片的资源无剩余,执行步骤407),如果资源有剩余,则计算网络切片的资源剩余量:
从用户集中移除的用户,重新计算剩余用户的单位权重资源分配量:
其中,表示用户集中剩余用户总计数,/>表示第t个剩余用户的公平权重系数;
计算剩余用户的单位权重资源剩余需求量:
其中,表示第t个剩余用户的单位权重资源需求量;
进一步判断用户集中如果不存在的剩余用户,表明剩余的所有用户需求都无法再得到满足,则执行步骤406),否则执行步骤405);
步骤405)为剩余用户执行第二次资源分配:
其中,表示第t个剩余用户在第二次分配中获得的资源量,/>表示第t个剩余用户的单位权重资源剩余需求量,然后重复执行步骤404)和步骤405);
步骤406)将网络切片的资源剩余量平均分配给所有剩余用户,执行步骤407);
步骤407)结束资源分配过程。
本发明采用粒子群算法对云资源映射策略集进行优化,通过有限次的迭代运算寻找能够满足最多用户的云资源映射策略集,使资源分配结果在符合公平分配原则的基础上,尽最大程度保证了多数用户的服务质量。由于粒子群算法(Particle SwarmOptimization, PSO)具有搜索速度快、效率高、复杂度低等特点,特别适用于处理时效性要求较高的云资源配置事务。
粒子群优化算法的核心是利用群体中粒子之间的共享信息,在搜索空间内合理有序地控制群体向问题的最优解移动。通过初始化一群具有随机值的粒子,然后由后续的迭代来找到最优解决方案。在每一次的迭代中,种群中的个体会通过两个极值来更新自身的方位和速度。第一个极值是粒子个体搜索的局部最优方案,这个极值称为个体极值,另一个极值就是整个粒子群当前能够找到的最优方案,称为全局极值。在本发明中,为粒子群构建一个多维空间,粒子在多维空间中的位置表示为一个多维向量,多维向量的每一维表示网络安全切片中一个VNF的云资源映射策略。假设处于D维的优化空间内,有N个粒子组成一个种群,种群中第j个粒子具有D维属性,并且可以表示为D维向量,其中任意元素/>表示在第j个粒子对应的云资源映射策略集中,网络切片的第d个VNF的云资源映射策略,D表示网络切片中VNF总数。同样地,第j个粒子的速度也可以表示一个D维向量/>, 其中任意元素/>表示在第j个粒子对应的云资源映射策略集中,网络切片的第d个VNF的云资源映射策略更新速度。在第k次迭代运算中,对粒子的速度和位置进行迭代更新:
其中,表示第j个粒子在第k次迭代中第d维的速度,/>和/>表示加速系数,分别调节向个体最优粒子和全局最优粒子移动的最大步长,令/>和/>,表示第k次迭代中生成的两个随机数,/>表示第j个粒子在第k次迭代中第d维上的位置,/>表示第j个粒子在第k次迭代中第d维上个体极值点的位置,/>表示粒子群在第k次迭代中第d维上全局极值点的位置。
结合以上实施例,利用粒子群算法对云资源映射策略集优化的过程为:
步骤一,统计具有相同安全服务需求的用户组成用户集,根据用户的安全服务需求生成对应的网络切片;
步骤二,为云资源映射策略集随机生成一个粒子群,并对群中各粒子位置进行初始化,其中每个粒子位置均表示网络切片的一个云资源映射策略集,形成初始的多个云资源映射策略集,所述的云资源映射策略集是网络切片中所有VNF的云资源映射策略组成的集合,
步骤三,利用云资源映射策略集对网络切片编排,即将网络切片中的所有VNF映射到底层网络资源上,形成多个编排好的网络切片;
步骤四,根据时间衰减函数计算用户在时间观察窗内对云资源的占用度值,以及对应的资源优先分配权值,计算用户与每个编排好的网络切片之间关于资源偏好特性的相关度值;
步骤五,将资源优先分配权值作为惩罚系数,与相关度值结合生成用户的公平权重系数,然后按照改进的最大最小公平算法为用户分配切片资源,将所有用户的切片资源分配结果组成云资源分配策略集,由于每个编排的网络切片都会得到一个对应的云资源分配策略集,而每个编排的网络切片又是由唯一的云资源映射策略集生成的,因此每个云资源映射策略集都与一个云资源分配策略集对应;
步骤六,统计每个云资源分配策略集能够满足资源需求的用户数量,也就是由每个粒子位置所反馈的优化目标值,在对粒子位置实施更新之前,需要先对个体极值点和全局极值点进行更新,每个粒子都拥有一组个体极值点,组内极值点个数与搜索空间维数一致,粒子从历次迭代运算产生的自身位置中选择用户数量最多的位置,作为当前粒子的一组个体极值点,每个粒子群只有一组全局极值点,粒子群从历次迭代运算产生的所有粒子位置中选择用户数量最多的位置,作为当前粒子群的一组全局极值点;
步骤七,依照粒子群算法对粒子位置进行更新,即根据寻优规则为每个粒子重新生成改进的云资源映射策略集,然后返回步骤三,利用改进的云资源映射策略集继续执行相应操作,直至完成最大迭代运算次数后,选出最优位置上的粒子所对应的云资源映射策略集;
步骤八,依照最优的云资源映射策略集对各VNF执行云资源映射,并按该最优云资源映射策略集对应的云资源分配策略集为各用户分配资源。
为了实现上述云资源管理方法,本发明还提供了一种基于软件定义安全的云资源管理系统,如图3所示,所述的系统包括:切片生成模块、粒子群构建模块、分配权值生成模块、资源公平分配模块、资源配置优化模块、资源调度模块;
切片生成模块:统计具有相同安全服务需求的用户组成用户集,根据用户的安全服务需求生成网络切片,所述的网络切片包含一组有序连接的VNF,每个VNF用于实现相应的安全服务功能;
粒子群构建模块:随机生成一个粒子群,并对群中各粒子位置进行初始化,每个粒子位置均表示网络切片的一个云资源映射策略集,所述的云资源映射策略集包含网络切片中所有VNF的云资源映射策略;
分配权值生成模块:统计用户在一段时间内已占用的云资源,利用云资源占用信息为用户生成资源优先分配权值;
资源公平分配模块:根据用户的资源优先分配权值和网络切片的云资源映射策略集,为用户生成对应的公平权重系数,利用最大最小公平算法按公平权重系数计算用户集中各用户能够从网络切片分取的资源量,组成云资源分配策略集;
资源配置优化模块:累计已满足资源需求的用户数量,将用户数量作为优化目标,采用粒子群算法对目标进行优化,在最大迭代运算次数完成后输出最优位置上的粒子所对应的云资源映射策略集;
资源调度模块:依照最优的云资源映射策略集对各VNF执行云资源映射,并按云资源分配策略集为各用户分配资源。
本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (7)
1.一种基于软件定义安全的云资源管理方法,其特征在于,所述的方法包括:
步骤1)统计具有相同安全服务需求的用户组成用户集,根据用户的安全服务需求生成网络切片,所述的网络切片包含一组有序连接的VNF,每个VNF用于实现相应的安全服务功能;
步骤2)随机生成一个粒子群,并对群中各粒子位置进行初始化,每个粒子位置均表示网络切片的一个云资源映射策略集,所述的云资源映射策略集包含网络切片中所有VNF的云资源映射策略;
步骤3)统计用户在一段时间内已占用的云资源,利用云资源占用信息为用户生成资源优先分配权值;
步骤4)根据用户的资源优先分配权值和网络切片的云资源映射策略集,为用户生成对应的公平权重系数,利用最大最小公平算法按公平权重系数计算用户集中各用户能够从网络切片分取的资源量,组成云资源分配策略集;
步骤5)累计已满足资源需求的用户数量,将用户数量作为优化目标,采用粒子群算法对目标进行优化,在最大迭代运算次数完成后输出最优位置上的粒子所对应的云资源映射策略集;
步骤6)依照最优的云资源映射策略集对各VNF执行云资源映射,并按云资源分配策略集为各用户分配资源。
2.根据权利要求1所述的基于软件定义安全的云资源管理方法,其特征在于,所述的步骤2)包括:为粒子群构建一个多维空间,粒子在多维空间中的位置表示为一个多维向量,多维向量的每一维表示网络切片中一个VNF的云资源映射策略。
3.根据权利要求1所述的基于软件定义安全的云资源管理方法,其特征在于,所述的步骤3)包括:
为每个用户设置相同时间长度的观察窗,在观察窗中查询每个单位时间内已占用云资源的资源量和安全服务等级,根据时间衰减规则计算用户对云资源的占用度值:
;
其中,表示时间衰减参数,/>和/>分别表示用户u在第i个单位时间内已占用云资源的资源量和安全服务等级值,n表示观察窗内单位时间总计数;
进一步定义用户的资源优先分配权值:
;
其中,表示设定的资源优先分配权值的最大值。
4.根据权利要求1所述的基于软件定义安全的云资源管理方法,其特征在于,所述的步骤4)中公平权重系数生成过程为:
根据云资源映射策略集统计网络切片中所有VNF的云资源映射总量,以资源属性计算每个用户资源需求量与云资源映射总量之间的相关度值:
;
其中,、/>和/>表示用户u关于带宽、计算和存储属性的资源需求量,、/>和/>表示网络切片关于带宽、计算和存储属性的云资源映射总量,、/>和/>表示用户u关于带宽、计算和存储属性的偏好系数;
进一步计算用户关于当前云资源映射策略集的公平权重系数:
;
然后对公平权重系数进行归一化处理,得到归一化的公平权重系数:
;
其中,和/>分别表示用户集中公平权重系数的最小值和最大值。
5.根据权利要求1所述的基于软件定义安全的云资源管理方法,其特征在于,所述的步骤4)中计算用户集中各用户能够从网络切片分取的资源量过程为:
步骤401)根据用户资源需求量和公平权重系数计算用户的单位权重资源需求量:
;
根据云资源映射总量和各用户的公平权重系数计算单位权重资源分配量:
;
其中,表示第u个用户的资源需求量,m表示用户集中用户总计数,/>表示云资源映射总量;
步骤402)为各用户执行第一次资源分配:
;
其中,表示第u个用户在第一次分配中获得的资源量,/>表示最小值输出函数;
步骤403)如果不存在第u个用户满足,执行步骤407),否则执行步骤404);
步骤404)判断如果网络切片的资源无剩余,执行步骤407),如果资源有剩余,则计算网络切片的资源剩余量:
;
从用户集中移除的用户,重新计算剩余用户的单位权重资源分配量:
;
其中,表示用户集中剩余用户总计数,/>表示第t个剩余用户的公平权重系数;
计算剩余用户的单位权重资源剩余需求量:
;
其中,表示第t个剩余用户的单位权重资源需求量;进一步判断用户集中如果不存在/>的剩余用户,则执行步骤406),否则执行步骤405);
步骤405)为剩余用户执行第二次资源分配:
;
其中,表示第t个剩余用户在第二次分配中获得的资源量,/>表示第t个剩余用户的单位权重资源剩余需求量,然后重复执行步骤404)和步骤405);
步骤406)将网络切片的资源剩余量平均分配给所有剩余用户,执行步骤407);
步骤407)结束资源分配过程。
6.根据权利要求1所述的基于软件定义安全的云资源管理方法,其特征在于,所述的步骤5)进一步包括:
对粒子的速度和位置进行迭代更新:
;
;
其中,表示第j个粒子在第k次迭代中第d维的速度,/>和/>表示加速系数,分别调节向个体最优粒子和全局最优粒子移动的最大步长,令/>和/>,表示第k次迭代中生成的两个随机数,/>表示第j个粒子在第k次迭代中第d维上的位置,/>表示第j个粒子在第k次迭代中第d维上个体极值点的位置,/>表示粒子群在第k次迭代中第d维上全局极值点的位置。
7.一种基于软件定义安全的云资源管理系统,其特征在于,所述的系统包括:切片生成模块、粒子群构建模块、分配权值生成模块、资源公平分配模块、资源配置优化模块、资源调度模块;
切片生成模块:统计具有相同安全服务需求的用户组成用户集,根据用户的安全服务需求生成网络切片,所述的网络切片包含一组有序连接的VNF,每个VNF用于实现相应的安全服务功能;
粒子群构建模块:随机生成一个粒子群,并对群中各粒子位置进行初始化,每个粒子位置均表示网络切片的一个云资源映射策略集,所述的云资源映射策略集包含网络切片中所有VNF的云资源映射策略;
分配权值生成模块:统计用户在一段时间内已占用的云资源,利用云资源占用信息为用户生成资源优先分配权值;
资源公平分配模块:根据用户的资源优先分配权值和网络切片的云资源映射策略集,为用户生成对应的公平权重系数,利用最大最小公平算法按公平权重系数计算用户集中各用户能够从网络切片分取的资源量,组成云资源分配策略集;
资源配置优化模块:累计已满足资源需求的用户数量,将用户数量作为优化目标,采用粒子群算法对目标进行优化,在最大迭代运算次数完成后输出最优位置上的粒子所对应的云资源映射策略集;
资源调度模块:依照最优的云资源映射策略集对各VNF执行云资源映射,并按云资源分配策略集为各用户分配资源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311329416.3A CN117082009B (zh) | 2023-10-16 | 2023-10-16 | 基于软件定义安全的云资源管理方法及管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311329416.3A CN117082009B (zh) | 2023-10-16 | 2023-10-16 | 基于软件定义安全的云资源管理方法及管理系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117082009A true CN117082009A (zh) | 2023-11-17 |
| CN117082009B CN117082009B (zh) | 2024-02-27 |
Family
ID=88719814
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311329416.3A Active CN117082009B (zh) | 2023-10-16 | 2023-10-16 | 基于软件定义安全的云资源管理方法及管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117082009B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965024A (zh) * | 2018-08-01 | 2018-12-07 | 重庆邮电大学 | 一种5g网络切片基于预测的虚拟网络功能调度方法 |
| CN110275758A (zh) * | 2019-05-09 | 2019-09-24 | 重庆邮电大学 | 一种虚拟网络功能智能迁移方法 |
| WO2020185794A1 (en) * | 2019-03-11 | 2020-09-17 | Intel Corporation | Multi-slice support for mec-enabled 5g deployments |
| CN112738723A (zh) * | 2019-10-11 | 2021-04-30 | 中国电信股份有限公司 | 网络资源的调配方法、装置和计算机可读存储介质 |
| CN113491094A (zh) * | 2019-02-26 | 2021-10-08 | 瑞典爱立信有限公司 | 利用联合网络和云资源管理的服务递送 |
| CN116112952A (zh) * | 2022-12-08 | 2023-05-12 | 重庆邮电大学 | 基于软件定义网络和终端安全的网络切片选择方法 |
| CN116112934A (zh) * | 2023-02-22 | 2023-05-12 | 东南大学 | 一种基于机器学习的端到端网络切片资源分配方法 |
-
2023
- 2023-10-16 CN CN202311329416.3A patent/CN117082009B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965024A (zh) * | 2018-08-01 | 2018-12-07 | 重庆邮电大学 | 一种5g网络切片基于预测的虚拟网络功能调度方法 |
| CN113491094A (zh) * | 2019-02-26 | 2021-10-08 | 瑞典爱立信有限公司 | 利用联合网络和云资源管理的服务递送 |
| WO2020185794A1 (en) * | 2019-03-11 | 2020-09-17 | Intel Corporation | Multi-slice support for mec-enabled 5g deployments |
| CN110275758A (zh) * | 2019-05-09 | 2019-09-24 | 重庆邮电大学 | 一种虚拟网络功能智能迁移方法 |
| CN112738723A (zh) * | 2019-10-11 | 2021-04-30 | 中国电信股份有限公司 | 网络资源的调配方法、装置和计算机可读存储介质 |
| CN116112952A (zh) * | 2022-12-08 | 2023-05-12 | 重庆邮电大学 | 基于软件定义网络和终端安全的网络切片选择方法 |
| CN116112934A (zh) * | 2023-02-22 | 2023-05-12 | 东南大学 | 一种基于机器学习的端到端网络切片资源分配方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117082009B (zh) | 2024-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110704186B (zh) | 基于混合分布架构的计算资源分配方法、装置和存储介质 | |
| CN107404523A (zh) | 云平台自适应资源调度系统和方法 | |
| CN112153700B (zh) | 一种网络切片资源管理方法及设备 | |
| CN108243044B (zh) | 业务部署的方法与装置 | |
| CN110297699B (zh) | 调度方法、调度器、存储介质及系统 | |
| US9317336B2 (en) | Method and apparatus for assignment of virtual resources within a cloud environment | |
| WO2017214932A1 (zh) | 一种网络切片的资源管理方法和装置 | |
| CN108897606B (zh) | 多租户容器云平台虚拟网络资源自适应调度方法及系统 | |
| Tseng et al. | Task scheduling for edge computing with agile VNFs on‐demand service model toward 5G and beyond | |
| WO2017010922A1 (en) | Allocation of cloud computing resources | |
| CN112130963A (zh) | 虚拟机任务的调度方法、装置、计算机设备及存储介质 | |
| US20130081045A1 (en) | Apparatus and method for partition scheduling for manycore system | |
| US7321940B1 (en) | Iterative architecture for hierarchical scheduling | |
| CN113672391A (zh) | 一种基于Kubernetes的并行计算任务调度方法与系统 | |
| Al Muktadir et al. | Multi-target classification based automatic virtual resource allocation scheme | |
| CN117082009B (zh) | 基于软件定义安全的云资源管理方法及管理系统 | |
| CN115562841B (zh) | 一种云视频服务自适应资源调度系统和方法 | |
| Siapoush et al. | Software-defined networking enabled big data tasks scheduling: A tabu search approach | |
| CN110086662B (zh) | 一种需求定义网络的实现方法及网络架构 | |
| KR20180134219A (ko) | 가상머신 패킷의 처리방법과 그 장치 | |
| CN112860384A (zh) | 一种面向多维资源负载均衡的vnf复用和迁移方法 | |
| Pretto et al. | Boosting HPC applications in the cloud through JIT traffic-aware path provisioning | |
| CN117097681B (zh) | 网络资源的调度方法、装置和存储介质及电子设备 | |
| Singh et al. | A survey on QoS based task scheduling approach in grid computing | |
| CN117076133B (zh) | 云游戏平台异构资源分配方法、计算机装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20240129 Address after: Chinatelecom tower, No. 19, Chaoyangmen North Street, Dongcheng District, Beijing 100010 Applicant after: Tianyi Safety Technology Co.,Ltd. Country or region after: China Address before: Room O-412, 4th Floor, Lido Hotel, No. 6 Jiangtai Road, Chaoyang District, Beijing, 100016 Applicant before: Thales Digital Technology (Beijing) Co.,Ltd. Country or region before: China |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |