本發(fā)明提供了一種基于OpenStack實(shí)現(xiàn)云主機(jī)安全組規(guī)則優(yōu)先級(jí)的實(shí)現(xiàn)方法，包括如下步驟：1)在OpenStack的neutron組件中為安全組規(guī)則新增優(yōu)先級(jí)屬性，重新定義neutron組件中創(chuàng)建安全組規(guī)則的API，使其可以接收優(yōu)先級(jí)參數(shù)；2)在neutron DB中定義持久化的安全組規(guī)則優(yōu)先級(jí)的表結(jié)構(gòu)；3)將安全組規(guī)則優(yōu)先級(jí)下發(fā)到云主機(jī)所在的宿主機(jī)的OpenVSwitch組件；4)在OpenVSwitch中為云主機(jī)的虛擬網(wǎng)卡配置流表規(guī)則，同時(shí)配置優(yōu)先級(jí)。本發(fā)明在OpenStack中引入安全組規(guī)則優(yōu)先級(jí)的概念，通過(guò)對(duì)優(yōu)先級(jí)數(shù)值的判斷，可以清晰的解決多條安全組規(guī)則中存在的沖突，明確在沖突中優(yōu)先保證被執(zhí)行的是哪條安全組規(guī)則，避免多條沖突的安全組規(guī)則導(dǎo)致的云主機(jī)的流量限制不符合預(yù)期。

技術(shù)領(lǐng)域

本發(fā)明屬于云計(jì)算技術(shù)領(lǐng)域，尤其是涉及一種基于OpenStack實(shí)現(xiàn)云主機(jī)安全組規(guī)則優(yōu)先級(jí)的實(shí)現(xiàn)方法及系統(tǒng)。

背景技術(shù)

在目前云計(jì)算領(lǐng)域，資源管理與調(diào)度層的工具中，應(yīng)用最為廣泛的當(dāng)屬開(kāi)源的OpenStack項(xiàng)目，在我國(guó)業(yè)內(nèi)，眾多的私有云和相當(dāng)一部分公有云也是基于OpenStack來(lái)搭建的，足見(jiàn)其巨大的行業(yè)影響力和業(yè)內(nèi)認(rèn)可度。但是，原生的OpenStack項(xiàng)目并不能滿足全部的公有云業(yè)務(wù)場(chǎng)景，其中，在安全組規(guī)則的定義中，就缺少對(duì)安全組規(guī)則優(yōu)先級(jí)的設(shè)置。

安全組規(guī)則是對(duì)云主機(jī)的入向和出向進(jìn)行流量限制，通過(guò)添加安全組規(guī)則，可以允許或禁止云主機(jī)對(duì)公網(wǎng)或私網(wǎng)的訪問(wèn)。但是，當(dāng)我同時(shí)定義了兩個(gè)互相沖突的安全組規(guī)則，比如安全組規(guī)則1禁止了一個(gè)端口范圍(比如7000～9000)的TCP入向流量，安全組規(guī)則2中又允許指定了某一個(gè)端口并且這個(gè)端口被包含在了之前禁止的端口范圍內(nèi)(比如8080端口)的TCP入向流量，那么這兩個(gè)安全組規(guī)則如何同時(shí)產(chǎn)生效力呢。

這個(gè)正是當(dāng)前原生的OpenStack沒(méi)有明確解決的問(wèn)題，可以說(shuō)，原生的OpenStack在對(duì)安全組規(guī)則的定義與使用上，存在缺陷與不足，當(dāng)多條安全組規(guī)則互相沖突時(shí)，OpenStack并不能提供清晰的安全組規(guī)則定義，更不能保證我們對(duì)云主機(jī)所做的流量限制完全符合我們的預(yù)期。

從云計(jì)算服務(wù)的使用者的角度而言，流量控制對(duì)云主機(jī)的網(wǎng)絡(luò)安全至關(guān)重要，可以有效避免服務(wù)器被惡意攻擊，而一旦流量限制出現(xiàn)混亂，很有可能造成云主機(jī)內(nèi)的服務(wù)因網(wǎng)絡(luò)不通而不可用，影響服務(wù)質(zhì)量。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明旨在提出一種基于OpenStack實(shí)現(xiàn)云主機(jī)安全組規(guī)則優(yōu)先級(jí)的實(shí)現(xiàn)方法及系統(tǒng)，以解決多條安全組規(guī)則互相沖突問(wèn)題，保證對(duì)云主機(jī)所做的流量限制完全符合預(yù)期。

為達(dá)到上述目的，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：

為了解決上述問(wèn)題，本發(fā)明在OpenStack中引入安全組規(guī)則優(yōu)先級(jí)的概念，通過(guò)對(duì)優(yōu)先級(jí)數(shù)值的判斷，可以清晰的解決多條安全組規(guī)則中存在的沖突，明確在沖突中優(yōu)先保證被執(zhí)行的是哪條安全組規(guī)則，該讓步的是哪條，避免多條沖突的安全組規(guī)則導(dǎo)致的云主機(jī)的流量限制不符合預(yù)期。

比如在前文的例子中，定義安全組規(guī)則優(yōu)先級(jí)的數(shù)值越高則優(yōu)先級(jí)越高，將安全組規(guī)則1的優(yōu)先級(jí)定義為30，將安全組規(guī)則2的優(yōu)先級(jí)定義為55，則明顯安全組規(guī)則2的優(yōu)先級(jí)高于安全組規(guī)則1，從而可以保證在禁止了7000～9000端口范圍的TCP入向流量的同時(shí)，又對(duì)8080端口的TCP入向流量做了放行，防止安全組規(guī)則2被安全組規(guī)則1覆蓋從而導(dǎo)致8080端口的TCP入向流量一樣被禁止。具體的，

第一方面，本發(fā)明提供一種基于OpenStack實(shí)現(xiàn)云主機(jī)安全組規(guī)則優(yōu)先級(jí)的實(shí)現(xiàn)方法，包括如下步驟：

1)在OpenStack的neutron組件中為安全組規(guī)則新增優(yōu)先級(jí)屬性，重新定義neutron組件中創(chuàng)建安全組規(guī)則的API，使其可以接收優(yōu)先級(jí)參數(shù)；

2)在neutron DB中定義持久化的安全組規(guī)則優(yōu)先級(jí)的表結(jié)構(gòu)；