CN111131212A - 一种基于OpenStack绑定安全组方法 - Google Patents

一种基于OpenStack绑定安全组方法 Download PDF

Info

Publication number
CN111131212A
CN111131212A CN201911306787.3A CN201911306787A CN111131212A CN 111131212 A CN111131212 A CN 111131212A CN 201911306787 A CN201911306787 A CN 201911306787A CN 111131212 A CN111131212 A CN 111131212A
Authority
CN
China
Prior art keywords
security group
security
visible
openstack
binding
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911306787.3A
Other languages
English (en)
Inventor
李明泽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Unicloud Nanjing Digital Technology Co Ltd
Original Assignee
Unicloud Nanjing Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Unicloud Nanjing Digital Technology Co Ltd filed Critical Unicloud Nanjing Digital Technology Co Ltd
Priority to CN201911306787.3A priority Critical patent/CN111131212A/zh
Publication of CN111131212A publication Critical patent/CN111131212A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/54Presence management, e.g. monitoring or registration for receipt of user log-on information, or the connection status of the users

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于OpenStack绑定安全组方法,预先在各个机房创建对应后台管理的网安全组,定义流量放行的策略;改写OpenStack中创建、修改安全组的API,增加新的接口参数is_visible,用以标识安全组是否可见;在neutron DB中增加持久化安全组规则is_visible的表结构;修改port与安全组绑定的方法,在完成原有的绑定逻辑后,再额外将对应后台管理的网安全组绑定到该port上;修改port的查询和列表接口,过滤掉字段中is_visible=false的安全组。本发明用于为云主机绑定后台安全组,可以为管理网的流量放行,同时避免用户修改。

Description

一种基于OpenStack绑定安全组方法
技术领域
本发明涉及基于OpenStack绑定安全组方法的技术领域。
背景技术
OpenStack经过长期以来的不断迭代与优化,已经成为云计算领域重要的一部分,众多公有云和私有云厂商都会基于OpenStack进行二次开发进而输出云服务,但是原生的OpenStack实现商业化应用还有很多工作需要完善,绑定安全组就有如下一个特殊场景。
现有的OpenStack绑定安全组,调用的是port的create或update接口,在接口的参数security_groups中设定或变更绑定的安全组。这样绑定的安全组,可以在port列表接口中被用户查询到或更改,这是正常而又单纯的使用场景,也是没有问题的。但是实际生产环境中,会有一些特殊场景,需要为用户的虚拟网卡(或者云主机)绑定安全组并在组内定义一些规则,并且不希望用户有所感知,更不希望用户查询到被绑定的安全组甚至去解绑安全组或者修改组内的规则。
例如,一般公有云集群内的网络会划分成租户网络和管理网络或某类专有网络,一些用户的所使用的服务会依赖用户所在租户网络以外的服务的支撑,比如租户使用的LB(负载均衡)服务会依赖管理网中LB健康监测服务,这时候就需要为用户LB下挂载的实例放开LB健康监测服务流量访问,即配置安全组对应的规则将流量放行,而这样的安全组规则是不需要用户感知的,更不希望用户对组内的规则进行修改或误操作,以免服务不可用。
因此,作为公有云服务商,有必要在用户不感知的情况下,默认绑定一个用户不感知(即不可见的)安全组,放行基础服务的访问流量,以便更灵活的实现自身的产品功能,并更好更稳定的为用户提供的产品支撑。
发明内容
本发明的基于OpenStack绑定安全组方法,在原生的OpenStack中,提出一种用户无感知的方法,用于为云主机绑定后台安全组,可以为管理网的流量放行,同时避免用户修改。
基于OpenStack绑定安全组方法,修改原生的安全组API增加新属性,在port绑定其他安全组的同时将我们的对应后台管理的网安全组绑定到该port上,并且在port的查询和列表接口,对不可见的安全组进行处理。
本发明的基于OpenStack绑定安全组方法,具体包括如下步骤:
(1)预先在各个机房创建对应后台管理的网安全组,并根据各个机房的管理网IP地址,在安全组中创建对应的安全组规则,定义流量放行的策略;
(2)改写OpenStack中创建、修改安全组的API,增加新的接口参数is_visible,用以标识安全组是否可见,其中默认true表示可见,false表示不可见;并在安全组查询或列表接口中增加对该字段的条件判断,默认返回is_visible=true的安全组;
(3)在neutron DB中增加持久化安全组规则is_visible的表结构;
(4)修改port与安全组绑定的方法,在完成原有的绑定逻辑后,再额外将对应后台管理的网安全组绑定到该port上;
(5)修改port的查询和列表接口,过滤掉字段中is_visible=false的安全组。
本发明的OpenStack是一个为公共及私有云的建设与管理提供软件的开源项目,OpenStack作为基础设施即服务资源的通用前端。
本发明在用户不感知的情况下,默认绑定一个用户不感知(即不可见的)安全组,放行基础服务的访问流量,以便更灵活的实现自身的产品功能,并同时避免用户修改该安全组,可以更好更稳定的为用户提供的产品支撑。
具体实施方式
基于OpenStack绑定安全组方法,为了实现用户无感知的绑定安全组,我们需要修改原生的安全组API增加新属性,同时在port绑定其他安全组的同时也将我们的对应后台管理的网安全组绑定到该port上,并且在port的查询和列表接口,对不可见的安全组进行处理。具体需要分以下几个步骤实现:
(1)预先在各个机房创建对应后台管理的网安全组,并根据各个机房的不通管理网IP地址,在安全组中创建对应的安全组规则,定义流量放行的策略;
(2)改写OpenStack中创建、修改安全组的API,增加新的接口参数is_visible,用以标识安全组是否可见,其中true表示可见(默认值),false表示不可见;并在安全组查询或列表接口中增加对该字段的条件判断(默认返回is_visible=true的安全组);
(3)在neutron DB中增加持久化安全组规则is_visible的表结构;
(4)修改port与安全组绑定的方法,在完成原有的绑定逻辑后,再额外将对应后台管理的网安全组绑定到该port上;
(5)修改port的查询和列表接口,因为该接口的security_groups中会返回该port绑定安全组信息,此时则需要从中过滤掉字段中is_visible=false的安全组,以此达到用户不可见不感知的目的,防止用户修改或解绑等误操作。
本发明的系统架构为:
为了实现用户无感知的绑定安全组,需要自顶向下修改云计算中网络模块所涉及的各个系统,包括:
云计算管理控制台系统:面向用户来管理该用户的云计算资源,包括可视化页面和后台服务,在本发明中用于为用户提供创建、查询等安全组的入口界面,此次需要在向下调用neutron的时候对于新增加的参数is_visible不传值或者传值为true,以确保控制台层处理或获取的安全组中没有不可见的安全组。
OpenStack网络管理组件Neutron:云计算资源管理与调度层的工具,在本发明中该系统提供了安全组的增删改查接口和port与安全组的展示与绑定接口,并将结果持久化到数据库中。
计算节点:云主机的载体,同时也是OpenVSwitch的载体,在本发明中用于定义流表规则限制到云主机的流量。

Claims (3)

1.一种基于OpenStack绑定安全组方法,其特征在于修改原生的安全组API增加新属性,在port绑定其他安全组的同时将我们的对应后台管理的网安全组绑定到该port上,并且在port的查询和列表接口,对不可见的安全组进行处理。
2.根据权利要求1所述的基于OpenStack绑定安全组方法,其特征在于包括如下步骤:
(1)预先在各个机房创建对应后台管理的网安全组,并根据各个机房的管理网IP地址,在安全组中创建对应的安全组规则,定义流量放行的策略;
(2)改写OpenStack中创建、修改安全组的API,增加新的接口参数is_visible,用以标识安全组是否可见,其中默认true表示可见,false表示不可见;并在安全组查询或列表接口中增加对该字段的条件判断,默认返回is_visible=true的安全组;
(3)在neutron DB中增加持久化安全组规则is_visible的表结构;
(4)修改port与安全组绑定的方法,在完成原有的绑定逻辑后,再额外将对应后台管理的网安全组绑定到该port上;
(5)修改port的查询和列表接口,过滤掉字段中is_visible=false的安全组。
3.根据权利要求2所述的基于OpenStack绑定安全组方法,其特征在于上述步骤(2)中的OpenStack是一个为公共及私有云的建设与管理提供软件的开源项目,OpenStack作为基础设施即服务资源的通用前端。
CN201911306787.3A 2019-12-17 2019-12-17 一种基于OpenStack绑定安全组方法 Pending CN111131212A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911306787.3A CN111131212A (zh) 2019-12-17 2019-12-17 一种基于OpenStack绑定安全组方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911306787.3A CN111131212A (zh) 2019-12-17 2019-12-17 一种基于OpenStack绑定安全组方法

Publications (1)

Publication Number Publication Date
CN111131212A true CN111131212A (zh) 2020-05-08

Family

ID=70499420

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911306787.3A Pending CN111131212A (zh) 2019-12-17 2019-12-17 一种基于OpenStack绑定安全组方法

Country Status (1)

Country Link
CN (1) CN111131212A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112688913A (zh) * 2020-11-25 2021-04-20 紫光云技术有限公司 一种OpenStack安全组优化方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180234459A1 (en) * 2017-01-23 2018-08-16 Lisun Joao Kung Automated Enforcement of Security Policies in Cloud and Hybrid Infrastructure Environments
CN109254831A (zh) * 2018-09-06 2019-01-22 山东师范大学 基于云管理平台的虚拟机网络安全管理方法
CN109347663A (zh) * 2018-09-28 2019-02-15 南京易捷思达软件科技有限公司 一种OpenStack云平台中资源可视化编排方法
CN110417741A (zh) * 2019-06-28 2019-11-05 苏州浪潮智能科技有限公司 一种过滤安全组的方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180234459A1 (en) * 2017-01-23 2018-08-16 Lisun Joao Kung Automated Enforcement of Security Policies in Cloud and Hybrid Infrastructure Environments
CN109254831A (zh) * 2018-09-06 2019-01-22 山东师范大学 基于云管理平台的虚拟机网络安全管理方法
CN109347663A (zh) * 2018-09-28 2019-02-15 南京易捷思达软件科技有限公司 一种OpenStack云平台中资源可视化编排方法
CN110417741A (zh) * 2019-06-28 2019-11-05 苏州浪潮智能科技有限公司 一种过滤安全组的方法和装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112688913A (zh) * 2020-11-25 2021-04-20 紫光云技术有限公司 一种OpenStack安全组优化方法
CN112688913B (zh) * 2020-11-25 2023-03-24 紫光云技术有限公司 一种OpenStack安全组优化方法

Similar Documents

Publication Publication Date Title
AU2014278314B2 (en) Distributed lock management in a cloud computing environment
AU2019216649B9 (en) Method and system for providing reference architecture pattern-based permissions management
WO2021017279A1 (zh) 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质
US9680706B2 (en) Federated firewall management for moving workload across data centers
CN110710168B (zh) 跨隔离的网络堆栈的智能线程管理
US10505796B2 (en) Network function virtualization
US20180048623A1 (en) Firewall rule management
US9417997B1 (en) Automated policy based scheduling and placement of storage resources
CN108830101A (zh) 基于数据表的应用权限配置方法及装置
CN112600903B (zh) 一种弹性虚拟网卡迁移方法
US10348765B2 (en) Policy enforcement based on dynamically attribute-based matched network objects
CN111131212A (zh) 一种基于OpenStack绑定安全组方法
CN114650170B (zh) 跨集群资源管理方法、装置、设备和存储介质
CN112887330A (zh) 一种网络acl隔离浮动ip的实现结构及方法
CN115604103A (zh) 云计算系统的配置方法、装置、存储介质以及电子设备
KR101880828B1 (ko) 네트워크 운영 지원 체제(noss)를 기반으로 하는 가상 네트워크 엔티티(vne)를 위한 방법 및 시스템
CN111104202A (zh) 基于OpenStack安全组规则实现流量禁止的方法和系统
CN110365715A (zh) 一种多租户操作权限确定方法及装置
CN108304216A (zh) 一种设备通信方法及通信设备
CN111125642B (zh) 一种管理api的方法、装置、存储介质及计算机设备
CN111147467A (zh) 一种云平台下PaaS类产品的安全策略设置方法及装置
EP4220401A1 (de) Verfahren und system zur bereitstellung von steuerungsanwendungen
CN118283043A (zh) 资源交付方法及相关设备
CN118713869A (zh) 多租户共享集群的权限控制方法及装置、介质、设备
CN113992574A (zh) 一种设置路由器绑定节点优先级方法、系统及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200508

RJ01 Rejection of invention patent application after publication