本申請(qǐng)實(shí)施例提供一種防火墻配置、報(bào)文發(fā)送方法和裝置，應(yīng)用于云計(jì)算管理平臺(tái)，防火墻配置方法包括：計(jì)算節(jié)點(diǎn)確定接收到的防火墻策略信息所關(guān)聯(lián)的子網(wǎng)，計(jì)算節(jié)點(diǎn)確定計(jì)算節(jié)點(diǎn)中部署有屬于子網(wǎng)的虛擬機(jī)，計(jì)算節(jié)點(diǎn)將防火墻策略信息下發(fā)至子網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)訪問控制鏈，網(wǎng)絡(luò)訪問控制鏈與虛擬機(jī)的虛擬機(jī)網(wǎng)橋的本地鏈為跳轉(zhuǎn)關(guān)系。通過將防火墻策略信息下發(fā)至子網(wǎng)包括的各虛擬機(jī)對(duì)應(yīng)的虛擬機(jī)網(wǎng)橋，使得虛擬機(jī)通過虛擬機(jī)網(wǎng)橋發(fā)送接收?qǐng)?bào)文時(shí)，屬于同一個(gè)流的訪問報(bào)文和響應(yīng)報(bào)文均需通過部署在虛擬機(jī)網(wǎng)橋中的防火墻，確保了防火墻可以實(shí)現(xiàn)報(bào)文訪問控制，本申請(qǐng)實(shí)施例提供的防火墻配置、報(bào)文發(fā)送方法和裝置適用于分布式路由系統(tǒng)。

技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)技術(shù)，尤其涉及一種防火墻配置、報(bào)文發(fā)送方法和裝置。

背景技術(shù)

云計(jì)算管理平臺(tái)(Openstack)是一個(gè)旨在為虛擬公有云及虛擬私有云(VirtualPrivate Cloud，VPC)的建設(shè)與管理提供軟件的開源項(xiàng)目，覆蓋了網(wǎng)絡(luò)、虛擬化、操作系統(tǒng)、服務(wù)器等各個(gè)方面，基于云計(jì)算管理平臺(tái)的虛擬公有云及VPC的建設(shè)可實(shí)現(xiàn)大規(guī)模的物理資源的充分利用。

虛擬公有云及VPC的網(wǎng)絡(luò)架構(gòu)通常包括若干個(gè)具有不同的訪問控制策略的子網(wǎng)。不同子網(wǎng)間的路由方式通常采用集中式路由方式。采用集中式路由的虛擬網(wǎng)絡(luò)架構(gòu)中，訪問控制策略通常通過設(shè)置在路由器的防火墻實(shí)現(xiàn)，現(xiàn)有防火墻設(shè)置在路由器的命名空間中，利用linux操作系統(tǒng)自帶的iptables技術(shù)實(shí)現(xiàn)。

隨著訪問流量的增大，虛擬網(wǎng)絡(luò)架構(gòu)越來越多的開始采用分布式虛擬路由器(DVR，Distributed Virtual Routing)的技術(shù)，以克服集中式路由架構(gòu)存在的網(wǎng)絡(luò)節(jié)點(diǎn)處理能力不足的問題。圖1為現(xiàn)有虛擬網(wǎng)絡(luò)架構(gòu)實(shí)施例的示意圖，對(duì)應(yīng)的，分布式路由的虛擬網(wǎng)絡(luò)架構(gòu)中，防火墻則部署在集成網(wǎng)橋的命名空間中。如圖1所示，在分布式路由技術(shù)中，跨計(jì)算節(jié)點(diǎn)不同子網(wǎng)的虛擬機(jī)之間的報(bào)文的往返通信路徑并不一致。但是根據(jù)iptables技術(shù)原理，當(dāng)防火墻未接收到請(qǐng)求報(bào)文的響應(yīng)報(bào)文時(shí)，防火墻將丟棄請(qǐng)求報(bào)文，無法建立請(qǐng)求報(bào)文所屬的流的連接跟蹤，無法實(shí)現(xiàn)訪問控制。因此，現(xiàn)有集中式路由技術(shù)中的防火墻不適用于分布式虛擬路由網(wǎng)絡(luò)架構(gòu)。

發(fā)明內(nèi)容

本申請(qǐng)?zhí)峁┮环N防火墻配置、報(bào)文發(fā)送方法和裝置，用于解決現(xiàn)有集中式路由技術(shù)中的防火墻不適用于分布式虛擬路由網(wǎng)絡(luò)架構(gòu)的問題。

本申請(qǐng)第一方面提供一種防火墻配置方法，應(yīng)用于云計(jì)算管理平臺(tái)的計(jì)算節(jié)點(diǎn)中，該方法包括：

計(jì)算節(jié)點(diǎn)確定接收到的防火墻策略信息所關(guān)聯(lián)的子網(wǎng)，計(jì)算節(jié)點(diǎn)確定計(jì)算節(jié)點(diǎn)中部署有屬于子網(wǎng)的虛擬機(jī)，計(jì)算節(jié)點(diǎn)將防火墻策略信息下發(fā)至子網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)訪問控制鏈，其中，網(wǎng)絡(luò)訪問控制鏈與虛擬機(jī)的虛擬機(jī)網(wǎng)橋的本地鏈為跳轉(zhuǎn)關(guān)系。

通過將防火墻策略信息下發(fā)至子網(wǎng)包括的各虛擬機(jī)對(duì)應(yīng)的虛擬機(jī)網(wǎng)橋，使得虛擬機(jī)通過虛擬機(jī)網(wǎng)橋發(fā)送接收?qǐng)?bào)文時(shí)，屬于同一個(gè)流的訪問報(bào)文和響應(yīng)報(bào)文均需通過部署在虛擬機(jī)網(wǎng)橋中的防火墻，確保了防火墻可以實(shí)現(xiàn)報(bào)文訪問控制，本實(shí)施提供的防火墻配置方法適用于分布式路由系統(tǒng)。

在第一方面的一種可能的實(shí)現(xiàn)方式中，計(jì)算節(jié)點(diǎn)將防火墻策略信息下發(fā)至子網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)訪問控制鏈之前，還在確定不存在子網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)訪問控制鏈時(shí)，創(chuàng)建子網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)訪問控制鏈。

在第一方面的一種可能的實(shí)現(xiàn)方式中，計(jì)算節(jié)點(diǎn)確定接收到的防火墻策略信息所關(guān)聯(lián)的子網(wǎng)之前，計(jì)算節(jié)點(diǎn)還接收防火墻策略信息；防火墻配置方法還包括：

計(jì)算節(jié)點(diǎn)確定接收到的防火墻策略信息未關(guān)聯(lián)子網(wǎng)，在計(jì)算節(jié)點(diǎn)中的所有網(wǎng)絡(luò)訪問控制鏈中刪除與防火墻策略信息所包含的規(guī)則相同的規(guī)則。

通過在防火墻策略信息不與子網(wǎng)關(guān)聯(lián)時(shí)，進(jìn)行防火墻策略信息的刪除，避免了防火墻策略信息刪除過程中過多的信息交互，簡化了防火墻策略信息刪除過程。

在第一方面的一種可能的實(shí)現(xiàn)方式中，計(jì)算節(jié)點(diǎn)在接收防火墻策略信息之后，還