本發(fā)明實(shí)施例提供了一種確定安全組規(guī)則鏈的方法和裝置，能夠快速確定與目標(biāo)虛擬端口所對(duì)應(yīng)的安全組規(guī)則鏈，提高系統(tǒng)性能，從而提升用戶體驗(yàn)。該方法包括：確定待匹配虛擬端口名稱，該待匹配虛擬端口名稱包括M個(gè)字符；根據(jù)該待匹配虛擬端口名稱，確定查詢樹(shù)，該查詢樹(shù)的根節(jié)點(diǎn)的名稱與該待匹配虛擬端口名稱的N個(gè)字符相同；從該查詢樹(shù)的根節(jié)點(diǎn)開(kāi)始逐層匹配該待匹配虛擬端口名稱的部分字符，直到確定出第一葉子節(jié)點(diǎn)，該第一葉子節(jié)點(diǎn)對(duì)應(yīng)至少一個(gè)虛擬端口的名稱；在該至少一個(gè)虛擬端口的名稱中，確定與該待匹配虛擬端口名稱的全部字符相同的目標(biāo)虛擬端口名稱；獲取該目標(biāo)虛擬端口名稱對(duì)應(yīng)的目標(biāo)安全組規(guī)則鏈。

技術(shù)領(lǐng)域

本發(fā)明實(shí)施例涉及計(jì)算機(jī)領(lǐng)域，更具體地，涉及確定安全組規(guī)則鏈的方法和裝置。

背景技術(shù)

虛擬機(jī)是指通過(guò)虛擬化技術(shù)將一臺(tái)計(jì)算機(jī)虛擬為多臺(tái)邏輯計(jì)算機(jī)。每個(gè)虛擬機(jī)可運(yùn)行不同的操作系統(tǒng)，并且應(yīng)用程序都可以在相互獨(dú)立的空間內(nèi)運(yùn)行而互不影響，從而顯著提高計(jì)算機(jī)的工作效率。安全組是一些規(guī)則的集合，用來(lái)對(duì)進(jìn)出虛擬機(jī)的報(bào)文加以限制。例如，Linux操作系統(tǒng)采用安全組規(guī)則，實(shí)現(xiàn)了對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾的功能，即Linux防火墻，它由netfilter組件和iptables組件兩部分組成。netfilter組件也稱為內(nèi)核空間，是內(nèi)核的一部分，由一些信息包過(guò)濾表組成，這些表包含內(nèi)核用來(lái)控制信息包過(guò)濾處理的安全組規(guī)則鏈，安全組規(guī)則鏈中包括用戶設(shè)置的過(guò)濾規(guī)則，用于對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾操作。iptables組件是一種工具，也稱為用戶空間，它使插入、修改和除去信息包過(guò)濾表中的安全組規(guī)則變得容易。

在現(xiàn)有的云計(jì)算管理平臺(tái)，例如，在Openstack中，在計(jì)算節(jié)點(diǎn)上為每個(gè)虛擬機(jī)的虛擬網(wǎng)卡創(chuàng)建了Linux網(wǎng)橋，將和虛擬網(wǎng)卡相連的虛擬端口掛接在Linux網(wǎng)橋上，通過(guò)一個(gè)veth虛擬網(wǎng)絡(luò)設(shè)備對(duì)連接到虛擬交換機(jī)上。安全組規(guī)則作用在Linux網(wǎng)橋的虛擬端口上，對(duì)進(jìn)出與該虛擬端口對(duì)應(yīng)的虛擬機(jī)的報(bào)文進(jìn)行過(guò)濾。每個(gè)虛擬端口配置有自身的安全組規(guī)則鏈，安全組規(guī)則鏈中包括用于過(guò)濾報(bào)文的至少一個(gè)安全組規(guī)則。但對(duì)于一臺(tái)計(jì)算機(jī)而言，安全組規(guī)則鏈統(tǒng)一存放在主機(jī)中，因此，在對(duì)進(jìn)出某個(gè)虛擬端口的數(shù)據(jù)包進(jìn)行過(guò)濾時(shí)，需要從主機(jī)中的所有安全組規(guī)則鏈中確定出與該虛擬端口對(duì)應(yīng)的安全組規(guī)則鏈。

現(xiàn)有的確定安全組規(guī)則鏈的方法，采用順序匹配的方式，依次查找主機(jī)中存儲(chǔ)的安全組規(guī)則鏈，從中確定出于目標(biāo)虛擬端口名稱相匹配的安全組規(guī)則鏈。但是，這樣的方式效率比較低，當(dāng)計(jì)算節(jié)點(diǎn)上存在較多虛擬端口的時(shí)候，會(huì)嚴(yán)重影響系統(tǒng)的性能。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例提供了一種確定安全組規(guī)則鏈的方法和裝置，能夠快速確定與目標(biāo)虛擬端口所對(duì)應(yīng)的安全組規(guī)則鏈，提高系統(tǒng)性能，從而提升用戶體驗(yàn)。

第一方面，提供了一種確定安全組規(guī)則鏈的方法，包括：確定待匹配虛擬端口名稱，該待匹配虛擬端口名稱為數(shù)據(jù)包需要流經(jīng)的虛擬端口的名稱，該待匹配虛擬端口名稱包括M個(gè)字符；根據(jù)該待匹配虛擬端口名稱，確定查詢樹(shù)，該查詢樹(shù)的根節(jié)點(diǎn)的名稱與該待匹配虛擬端口名稱的N個(gè)字符相同；從該查詢樹(shù)的根節(jié)點(diǎn)開(kāi)始逐層匹配該待匹配虛擬端口名稱的部分字符，直到確定出第一葉子節(jié)點(diǎn)，其中，該第一葉子節(jié)點(diǎn)的名稱為包括該N個(gè)字符的P個(gè)字符，該第一葉子節(jié)點(diǎn)對(duì)應(yīng)至少一個(gè)虛擬端口的名稱，該P(yáng)個(gè)字符為該至少一個(gè)虛擬端口的名稱中的公共字符；在該至少一個(gè)虛擬端口的名稱中，對(duì)該待匹配虛擬端口名稱的全部字符進(jìn)行匹配，確定與該待匹配虛擬端口名稱的全部字符相同的目標(biāo)虛擬端口名稱；獲取該目標(biāo)虛擬端口名稱對(duì)應(yīng)的目標(biāo)安全組規(guī)則鏈，該目標(biāo)安全組規(guī)則鏈包括至少一個(gè)目標(biāo)安全組規(guī)則，該至少一個(gè)目標(biāo)安全組規(guī)則用于對(duì)流經(jīng)該目標(biāo)虛擬端口的該數(shù)據(jù)包進(jìn)行過(guò)濾；其中，該M、該N和該P(yáng)均為大于0的整數(shù)，且該M大于或等于該N與該P(yáng)之和。

可選地，上述N個(gè)字符可以是待匹配虛擬端口名稱的前綴字符，即先在所有虛擬端口中對(duì)該待匹配虛擬端口名稱的前綴字符進(jìn)行匹配，再在前綴字符相同的虛擬端口中對(duì)該待匹配虛擬端口名稱的P個(gè)字符進(jìn)行匹配，該P(yáng)個(gè)字符可以為M個(gè)字符中包括該前綴字符的部分字符，本發(fā)明實(shí)施例對(duì)此不作限定。