本發明提供了一種基于OpenStack實現云主機安全組規則優先級的實現方法，包括如下步驟：1)在OpenStack的neutron組件中為安全組規則新增優先級屬性，重新定義neutron組件中創建安全組規則的API，使其可以接收優先級參數；2)在neutron DB中定義持久化的安全組規則優先級的表結構；3)將安全組規則優先級下發到云主機所在的宿主機的OpenVSwitch組件；4)在OpenVSwitch中為云主機的虛擬網卡配置流表規則，同時配置優先級。本發明在OpenStack中引入安全組規則優先級的概念，通過對優先級數值的判斷，可以清晰的解決多條安全組規則中存在的沖突，明確在沖突中優先保證被執行的是哪條安全組規則，避免多條沖突的安全組規則導致的云主機的流量限制不符合預期。

技術領域

本發明屬于云計算技術領域，尤其是涉及一種基于OpenStack實現云主機安全組規則優先級的實現方法及系統。

背景技術

在目前云計算領域，資源管理與調度層的工具中，應用最為廣泛的當屬開源的OpenStack項目，在我國業內，眾多的私有云和相當一部分公有云也是基于OpenStack來搭建的，足見其巨大的行業影響力和業內認可度。但是，原生的OpenStack項目并不能滿足全部的公有云業務場景，其中，在安全組規則的定義中，就缺少對安全組規則優先級的設置。

安全組規則是對云主機的入向和出向進行流量限制，通過添加安全組規則，可以允許或禁止云主機對公網或私網的訪問。但是，當我同時定義了兩個互相沖突的安全組規則，比如安全組規則1禁止了一個端口范圍(比如7000～9000)的TCP入向流量，安全組規則2中又允許指定了某一個端口并且這個端口被包含在了之前禁止的端口范圍內(比如8080端口)的TCP入向流量，那么這兩個安全組規則如何同時產生效力呢。

這個正是當前原生的OpenStack沒有明確解決的問題，可以說，原生的OpenStack在對安全組規則的定義與使用上，存在缺陷與不足，當多條安全組規則互相沖突時，OpenStack并不能提供清晰的安全組規則定義，更不能保證我們對云主機所做的流量限制完全符合我們的預期。

從云計算服務的使用者的角度而言，流量控制對云主機的網絡安全至關重要，可以有效避免服務器被惡意攻擊，而一旦流量限制出現混亂，很有可能造成云主機內的服務因網絡不通而不可用，影響服務質量。

發明內容

有鑒于此，本發明旨在提出一種基于OpenStack實現云主機安全組規則優先級的實現方法及系統，以解決多條安全組規則互相沖突問題，保證對云主機所做的流量限制完全符合預期。

為達到上述目的，本發明的技術方案是這樣實現的：

為了解決上述問題，本發明在OpenStack中引入安全組規則優先級的概念，通過對優先級數值的判斷，可以清晰的解決多條安全組規則中存在的沖突，明確在沖突中優先保證被執行的是哪條安全組規則，該讓步的是哪條，避免多條沖突的安全組規則導致的云主機的流量限制不符合預期。

比如在前文的例子中，定義安全組規則優先級的數值越高則優先級越高，將安全組規則1的優先級定義為30，將安全組規則2的優先級定義為55，則明顯安全組規則2的優先級高于安全組規則1，從而可以保證在禁止了7000～9000端口范圍的TCP入向流量的同時，又對8080端口的TCP入向流量做了放行，防止安全組規則2被安全組規則1覆蓋從而導致8080端口的TCP入向流量一樣被禁止。具體的，

第一方面，本發明提供一種基于OpenStack實現云主機安全組規則優先級的實現方法，包括如下步驟：

1)在OpenStack的neutron組件中為安全組規則新增優先級屬性，重新定義neutron組件中創建安全組規則的API，使其可以接收優先級參數；

2)在neutron DB中定義持久化的安全組規則優先級的表結構；