[發(fā)明專利]基于OpenStack實(shí)現(xiàn)云主機(jī)安全組規(guī)則優(yōu)先級(jí)的實(shí)現(xiàn)方法及系統(tǒng)在審
| 申請(qǐng)?zhí)枺?/td> | 201911319635.7 | 申請(qǐng)日: | 2019-12-19 |
| 公開(kāi)(公告)號(hào): | CN111131071A | 公開(kāi)(公告)日: | 2020-05-08 |
| 發(fā)明(設(shè)計(jì))人: | 李明澤 | 申請(qǐng)(專利權(quán))人: | 紫光云技術(shù)有限公司 |
| 主分類號(hào): | H04L12/851 | 分類號(hào): | H04L12/851;H04L29/06 |
| 代理公司: | 天津?yàn)I海科緯知識(shí)產(chǎn)權(quán)代理有限公司 12211 | 代理人: | 耿樹(shù)志 |
| 地址: | 300459 天津市濱海新區(qū)*** | 國(guó)省代碼: | 天津;12 |
| 權(quán)利要求書(shū): | 查看更多 | 說(shuō)明書(shū): | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 openstack 實(shí)現(xiàn) 主機(jī) 安全 規(guī)則 優(yōu)先級(jí) 方法 系統(tǒng) | ||
本發(fā)明提供了一種基于OpenStack實(shí)現(xiàn)云主機(jī)安全組規(guī)則優(yōu)先級(jí)的實(shí)現(xiàn)方法,包括如下步驟:1)在OpenStack的neutron組件中為安全組規(guī)則新增優(yōu)先級(jí)屬性,重新定義neutron組件中創(chuàng)建安全組規(guī)則的API,使其可以接收優(yōu)先級(jí)參數(shù);2)在neutron DB中定義持久化的安全組規(guī)則優(yōu)先級(jí)的表結(jié)構(gòu);3)將安全組規(guī)則優(yōu)先級(jí)下發(fā)到云主機(jī)所在的宿主機(jī)的OpenVSwitch組件;4)在OpenVSwitch中為云主機(jī)的虛擬網(wǎng)卡配置流表規(guī)則,同時(shí)配置優(yōu)先級(jí)。本發(fā)明在OpenStack中引入安全組規(guī)則優(yōu)先級(jí)的概念,通過(guò)對(duì)優(yōu)先級(jí)數(shù)值的判斷,可以清晰的解決多條安全組規(guī)則中存在的沖突,明確在沖突中優(yōu)先保證被執(zhí)行的是哪條安全組規(guī)則,避免多條沖突的安全組規(guī)則導(dǎo)致的云主機(jī)的流量限制不符合預(yù)期。
技術(shù)領(lǐng)域
本發(fā)明屬于云計(jì)算技術(shù)領(lǐng)域,尤其是涉及一種基于OpenStack實(shí)現(xiàn)云主機(jī)安全組規(guī)則優(yōu)先級(jí)的實(shí)現(xiàn)方法及系統(tǒng)。
背景技術(shù)
在目前云計(jì)算領(lǐng)域,資源管理與調(diào)度層的工具中,應(yīng)用最為廣泛的當(dāng)屬開(kāi)源的OpenStack項(xiàng)目,在我國(guó)業(yè)內(nèi),眾多的私有云和相當(dāng)一部分公有云也是基于OpenStack來(lái)搭建的,足見(jiàn)其巨大的行業(yè)影響力和業(yè)內(nèi)認(rèn)可度。但是,原生的OpenStack項(xiàng)目并不能滿足全部的公有云業(yè)務(wù)場(chǎng)景,其中,在安全組規(guī)則的定義中,就缺少對(duì)安全組規(guī)則優(yōu)先級(jí)的設(shè)置。
安全組規(guī)則是對(duì)云主機(jī)的入向和出向進(jìn)行流量限制,通過(guò)添加安全組規(guī)則,可以允許或禁止云主機(jī)對(duì)公網(wǎng)或私網(wǎng)的訪問(wèn)。但是,當(dāng)我同時(shí)定義了兩個(gè)互相沖突的安全組規(guī)則,比如安全組規(guī)則1禁止了一個(gè)端口范圍(比如7000~9000)的TCP入向流量,安全組規(guī)則2中又允許指定了某一個(gè)端口并且這個(gè)端口被包含在了之前禁止的端口范圍內(nèi)(比如8080端口)的TCP入向流量,那么這兩個(gè)安全組規(guī)則如何同時(shí)產(chǎn)生效力呢。
這個(gè)正是當(dāng)前原生的OpenStack沒(méi)有明確解決的問(wèn)題,可以說(shuō),原生的OpenStack在對(duì)安全組規(guī)則的定義與使用上,存在缺陷與不足,當(dāng)多條安全組規(guī)則互相沖突時(shí),OpenStack并不能提供清晰的安全組規(guī)則定義,更不能保證我們對(duì)云主機(jī)所做的流量限制完全符合我們的預(yù)期。
從云計(jì)算服務(wù)的使用者的角度而言,流量控制對(duì)云主機(jī)的網(wǎng)絡(luò)安全至關(guān)重要,可以有效避免服務(wù)器被惡意攻擊,而一旦流量限制出現(xiàn)混亂,很有可能造成云主機(jī)內(nèi)的服務(wù)因網(wǎng)絡(luò)不通而不可用,影響服務(wù)質(zhì)量。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明旨在提出一種基于OpenStack實(shí)現(xiàn)云主機(jī)安全組規(guī)則優(yōu)先級(jí)的實(shí)現(xiàn)方法及系統(tǒng),以解決多條安全組規(guī)則互相沖突問(wèn)題,保證對(duì)云主機(jī)所做的流量限制完全符合預(yù)期。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
為了解決上述問(wèn)題,本發(fā)明在OpenStack中引入安全組規(guī)則優(yōu)先級(jí)的概念,通過(guò)對(duì)優(yōu)先級(jí)數(shù)值的判斷,可以清晰的解決多條安全組規(guī)則中存在的沖突,明確在沖突中優(yōu)先保證被執(zhí)行的是哪條安全組規(guī)則,該讓步的是哪條,避免多條沖突的安全組規(guī)則導(dǎo)致的云主機(jī)的流量限制不符合預(yù)期。
比如在前文的例子中,定義安全組規(guī)則優(yōu)先級(jí)的數(shù)值越高則優(yōu)先級(jí)越高,將安全組規(guī)則1的優(yōu)先級(jí)定義為30,將安全組規(guī)則2的優(yōu)先級(jí)定義為55,則明顯安全組規(guī)則2的優(yōu)先級(jí)高于安全組規(guī)則1,從而可以保證在禁止了7000~9000端口范圍的TCP入向流量的同時(shí),又對(duì)8080端口的TCP入向流量做了放行,防止安全組規(guī)則2被安全組規(guī)則1覆蓋從而導(dǎo)致8080端口的TCP入向流量一樣被禁止。具體的,
第一方面,本發(fā)明提供一種基于OpenStack實(shí)現(xiàn)云主機(jī)安全組規(guī)則優(yōu)先級(jí)的實(shí)現(xiàn)方法,包括如下步驟:
1)在OpenStack的neutron組件中為安全組規(guī)則新增優(yōu)先級(jí)屬性,重新定義neutron組件中創(chuàng)建安全組規(guī)則的API,使其可以接收優(yōu)先級(jí)參數(shù);
2)在neutron DB中定義持久化的安全組規(guī)則優(yōu)先級(jí)的表結(jié)構(gòu);
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于紫光云技術(shù)有限公司,未經(jīng)紫光云技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買(mǎi)此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201911319635.7/2.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 基于全OPENFLOW物理交換機(jī)網(wǎng)絡(luò)的Openstack網(wǎng)絡(luò)系統(tǒng)及實(shí)現(xiàn)方法
- 一種快速布置OpenStack虛擬桌面的方法及裝置
- 一種OpenStack多節(jié)點(diǎn)自動(dòng)化安裝方法及系統(tǒng)
- openstack組件容器化的構(gòu)建方法
- 一種部署OpenStack的方法及系統(tǒng)
- 一種容災(zāi)管理方法、裝置、存儲(chǔ)介質(zhì)和計(jì)算機(jī)設(shè)備質(zhì)
- 一種OpenStack的高可用部署方法及裝置
- 接口測(cè)試方法、裝置及服務(wù)器
- 一種OpenStack單租戶實(shí)現(xiàn)企業(yè)多用戶資源管理的方法
- OpenStack云平臺(tái)升級(jí)方法及裝置
- 互動(dòng)業(yè)務(wù)終端、實(shí)現(xiàn)系統(tǒng)及實(shí)現(xiàn)方法
- 街景地圖的實(shí)現(xiàn)方法和實(shí)現(xiàn)系統(tǒng)
- 游戲?qū)崿F(xiàn)系統(tǒng)和游戲?qū)崿F(xiàn)方法
- 圖像實(shí)現(xiàn)裝置及其圖像實(shí)現(xiàn)方法
- 增強(qiáng)現(xiàn)實(shí)的實(shí)現(xiàn)方法以及實(shí)現(xiàn)裝置
- 軟件架構(gòu)的實(shí)現(xiàn)方法和實(shí)現(xiàn)平臺(tái)
- 數(shù)值預(yù)報(bào)的實(shí)現(xiàn)方法及實(shí)現(xiàn)系統(tǒng)
- 空調(diào)及其冬眠控制模式實(shí)現(xiàn)方法和實(shí)現(xiàn)裝置以及實(shí)現(xiàn)系統(tǒng)
- 空調(diào)及其睡眠控制模式實(shí)現(xiàn)方法和實(shí)現(xiàn)裝置以及實(shí)現(xiàn)系統(tǒng)
- 輸入設(shè)備實(shí)現(xiàn)方法及其實(shí)現(xiàn)裝置





