CN112688913A - 一种OpenStack安全组优化方法 - Google Patents
一种OpenStack安全组优化方法 Download PDFInfo
- Publication number
- CN112688913A CN112688913A CN202011342708.7A CN202011342708A CN112688913A CN 112688913 A CN112688913 A CN 112688913A CN 202011342708 A CN202011342708 A CN 202011342708A CN 112688913 A CN112688913 A CN 112688913A
- Authority
- CN
- China
- Prior art keywords
- security group
- openstack
- tenant
- management network
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种OpenStack安全组优化方法,租户自己创建自定义安全组,租户开通自动创建一个管理网安全组、租户进行购买指令、虚拟网卡更新,购买指令传递到控制层,控制层将信息传递给OpenStack的Neutron层、租户开始选择安全组、Openstack层攒好的配置通过agent的driver驱动下发到物理设备上,本发明所述的一种OpenStack安全组优化方法,有OpenStack上面的控制层来控制所有安全组的操作,虚拟机的安全性更高,租管互通是PaaS类产品的内部操作,租管互通需要放行的IP地址,租户不感知,利用管理网安全组自动绑定虚拟机,满足租管互通的放行管理网IP地址需求,管理网安全组的安全组规则放行的IP地址可控、灵活性高。
Description
技术领域
本发明属于云计算与虚拟化领域,尤其是涉及一种OpenStack安全组优化方法。
背景技术
OpenStack Neutron为ECS实例提供了两种网络安全方式:安全组和虚拟防火墙。安全组的原理是利用iptables对ECS实例所在的计算节点的网络流量进行过滤,虚拟防火墙底层也是通过iptables在Router上对网络报文进行过滤。安全组具有状态检测和数据包过滤的能力,在云计算领域,利用安全组在云端划分安全域,通过设置安全组规则来实现控制安全组内ECS实例的入流量和出流量;OpenStack中提供的安全组方案,每一个租户都会自动创建一个命名为default的默认安全组,使用default安全组的虚拟机允许向外部发送数据报文,但禁止所有外部流量进入虚拟机(两个ECS实例使用同一个default安全组除外),租户在创建ECS实例时如果未创建新的安全组,则会被强制使用default安全组;
租户在创建ECS虚拟机实例时,如果除了default安全组没有其他自建的安全组可供选择,则会被强制使用default安全组,但是default安全组有以下几个弊端:
default安全组规则全部放行,存在安全风险;
一些依赖ECS虚拟机的PaaS类产品,如RDS数据库,容器,KAFKA等产品,租户在购买这个产品后,由于这些产品要依赖虚拟机来实现,如果要做高可用就需要更多的虚拟机,这些虚拟机都会使用default安全组,但是租户对这些产品支撑所用的虚拟机并不感知,一旦default安全组规则有改动,则会影响这些产品的正常使用;
由于很多场景的需求,有些产品要实现租户网与管理网的互通(以下简称租管互通),租管互通需要打通管理网与租户网之间的通讯壁垒,进入虚拟机的流量不能完全被禁止,来自管理网的流量报文需要进入虚拟机,使用default安全组的虚拟机就会将管理网的流量过滤掉,就不能满足租管互通的需求。
发明内容
有鉴于此,本发明旨在提出一种OpenStack安全组优化方法,以解决default安全组固有的限制性问题。
为达到上述目的,本发明的技术方案是这样实现的:
一种OpenStack安全组优化方法,包括以下步骤
S1:租户自己创建自定义安全组,租户开通自动创建一个管理网安全组;
S2:租户进行购买指令;
S3:虚拟网卡更新,购买指令传递到控制层,控制层需要根据租户购买的产品类型来判断虚拟机是否需要使用租管互通,放行管理网地址,将信息传递给OpenStack的Neutron层;
S4:Neutron层根据控制层传递的信息,若虚拟机绑定安全组时需要使用租管互通,则自动将管理网安全组与虚拟机绑定,储存绑定关系,待虚拟机删除时,将虚拟机与管理网安全组进行解绑操作,自动将管理网安全组与虚拟机绑定之后进行步骤S5,若不需要用租管互通,租户则直接进行步骤S5;
S5:租户开始选择安全组,若没有选择的安全组则直接进行步骤S6,然后进行步骤S6,若有选择的安全组,租户则自行选择之前租户创建的自定义安全组,自定义安全组与虚拟机绑定,绑定之后进行步骤S6;
S6:Openstack层攒好的配置通过agent的driver驱动下发到物理设备上
进一步的,所述管理网安全组在出方向和入方向上放行需要放行的管理网IP地址,此管理网安全组所有租户共用。
进一步的,所述租管互通需要安全组将管理网放行。
进一步的,所述租管互通是PaaS类产品的内部操作。
进一步的,所述租管互通需要放行IP地址,管理网安全组是租户不可见、不感知的。
进一步的,所述自定义安全组是租户可见、可感知的。
进一步的,所述OpenStack上面的控制层来控制所有安全组的操作。
相对于现有技术,本发明所述的一种OpenStack安全组优化方法具有以下优势:
(1)本发明所述的一种OpenStack安全组优化方法,主要有两个方面的修改,一是将default安全组在Neutron中移除,有OpenStack上面的控制层来控制所有安全组的操作,虚拟机的安全性更高,不再使用OpenStack自带的default安全组,虚拟机出方向和入方向流量默认全部禁止,对于虚拟机安全性更高,删除default安全组后,虚拟机的安全性更高,且租户所有的安全组完全自主可控;二是租管互通需要安全组将管理网放行,租管互通是PaaS类产品的内部操作,租管互通需要放行的IP地址,租户不感知,利用管理网安全组自动绑定虚拟机,满足租管互通的放行管理网IP地址需求,管理网安全组的安全组规则放行的IP地址可控、灵活性高,本发明需要创建一个管理网安全组,安全组规则中放行租管互通的IP地址,再将管理网安全组与虚拟机自动绑定,达到放行管理网IP的目的。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例所述的一种OpenStack安全组优化的结构图;
图2为本发明实施例所述的OpenStack Neutron部分的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本发明中的具体含义。
下面将参考附图并结合实施例来详细说明本发明。
名词解释:
Neutron是OpenStack项目中负责提供网络服务的组件,它基于软件定义网络的思想,实现了网络虚拟化下的资源管理。
ECS(Elastic Compute Service,云服务器)是一种简单高效、安全可靠、处理能力可弹性伸缩的计算服务。
OpenStack是一个开源的云计算管理平台项目,是一系列软件开源项目的组合。
PaaS是(Platform as a Service)的缩写,是指平台即服务。把服务器平台作为一种服务提供的商业模式,通过网络进行程序提供的服务称之为SaaS(Software as aService),而云计算时代相应的服务器平台或者开发环境作为服务进行提供就成为了PaaS(Platform as a Service)。
IPTABLES是与最新的3.5版本Linux内核集成的IP信息包过滤系统。
RDS是关系型数据库服务(Relational Database Service)的简称,是一种即开即用、稳定可靠、可弹性伸缩的在线数据库服务。
driver是给硬件设备下配置的。
默认安全组:即default安全组,default安全组也是默认安全组。。
如图1-2所示,一种OpenStack安全组优化方法包括以下步骤:
S1:租户自己创建自定义安全组,自定义安全组供租户在之后自己选择安全组的时候选择,租户开通自动创建一个管理网安全组,管理网安全组的安全组规则放行的IP地址可控、灵活性高,设置管理网安全组,安全组规则放行管理网IP地址,租户既不感知,又满足了PaaS类产品对于放行管理网IP的需求;
S2:租户进行购买指令;
S3:虚拟网卡更新,购买指令传递到控制层,控制层需要根据租户购买的产品类型来判断虚拟机是否需要使用租管互通,放行管理网地址,将信息传递给OpenStack的Neutron层,因为租管互通需要放行IP地址;
S4:Neutron层根据控制层传递的信息,若虚拟机绑定安全组时需要使用租管互通,则自动将管理网安全组与虚拟机绑定,储存绑定关系,待虚拟机删除时,将虚拟机与管理网安全组进行解绑操作,自动将管理网安全组与虚拟机绑定之后进行步骤S5,便于实现租管互通,若不需要用租管互通,租户则直接进行步骤S5;
S5:租户开始选择安全组,若没有选择的安全组则直接进行步骤S6,然后进行步骤S6,若有选择的安全组,租户则自行选择之前租户创建的自定义安全组,自定义安全组与虚拟机绑定,绑定之后进行步骤S6,租户有一定的选择权利,提高了灵活性;
S6:Openstack层攒好的配置通过agent的driver驱动下发到物理设备上;
所述管理网安全组在出方向和入方向上放行需要放行的管理网IP地址,此管理网安全组所有租户共用;所述租管互通需要安全组将管理网放行;所述租管互通是PaaS类产品的内部操作;所述租管互通需要放行IP地址,管理网安全组是租户不可见、不感知的,管理网安全组的安全组规则放行的IP地址可控、灵活性高;所述自定义安全组是租户可见、可感知的;所述OpenStack上面的控制层来控制所有安全组的操作,虚拟机的安全性更高。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种OpenStack安全组优化方法,其特征在于:包括以下步骤
S1:租户自己创建自定义安全组,租户开通自动创建一个管理网安全组;
S2:租户进行购买指令;
S3:虚拟网卡更新,购买指令传递到控制层,控制层需要根据租户购买的产品类型来判断虚拟机是否需要使用租管互通,放行管理网地址,将信息传递给OpenStack的Neutron层;
S4:Neutron层根据控制层传递的信息,若虚拟机绑定安全组时需要使用租管互通,则自动将管理网安全组与虚拟机绑定,储存绑定关系,待虚拟机删除时,将虚拟机与管理网安全组进行解绑操作,自动将管理网安全组与虚拟机绑定之后进行步骤S5,若不需要用租管互通,租户则直接进行步骤S5;
S5:租户开始选择安全组,若没有选择的安全组则直接进行步骤S6,然后进行步骤S6,若有选择的安全组,租户则自行选择之前租户创建的自定义安全组,自定义安全组与虚拟机绑定,绑定之后进行步骤S6;
S6:Openstack层攒好的配置通过agent的driver驱动下发到物理设备上。
2.根据权利要求1所述的一种OpenStack安全组优化方法,其特征在于:所述管理网安全组在出方向和入方向上放行需要放行的管理网IP地址,此管理网安全组所有租户共用。
3.根据权利要求1所述的一种OpenStack安全组优化方法,其特征在于:所述租管互通需要安全组将管理网放行。
4.根据权利要求1所述的一种OpenStack安全组优化方法,其特征在于:所述租管互通是PaaS类产品的内部操作。
5.根据权利要求1所述的一种OpenStack安全组优化方法,其特征在于:所述租管互通需要放行IP地址,管理网安全组是租户不可见、不感知的。
6.根据权利要求1所述的一种OpenStack安全组优化方法,其特征在于:所述自定义安全组是租户可见、可感知的。
7.根据权利要求1所述的一种OpenStack安全组优化方法,其特征在于:所述OpenStack上面的控制层来控制所有安全组的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011342708.7A CN112688913B (zh) | 2020-11-25 | 2020-11-25 | 一种OpenStack安全组优化方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011342708.7A CN112688913B (zh) | 2020-11-25 | 2020-11-25 | 一种OpenStack安全组优化方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112688913A true CN112688913A (zh) | 2021-04-20 |
| CN112688913B CN112688913B (zh) | 2023-03-24 |
Family
ID=75446834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011342708.7A Active CN112688913B (zh) | 2020-11-25 | 2020-11-25 | 一种OpenStack安全组优化方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112688913B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07273764A (ja) * | 1994-04-01 | 1995-10-20 | Fujitsu Ltd | ネットワーク管理システム |
| US6832120B1 (en) * | 1998-05-15 | 2004-12-14 | Tridium, Inc. | System and methods for object-oriented control of diverse electromechanical systems using a computer network |
| CN104007997A (zh) * | 2013-02-22 | 2014-08-27 | 中兴通讯股份有限公司 | 虚拟机安全组的配置方法及装置 |
| US20140289399A1 (en) * | 2013-03-19 | 2014-09-25 | Fujitsu Limited | Apparatus and method of detecting migration completion of virtual machine |
| CN105554015A (zh) * | 2015-12-31 | 2016-05-04 | 北京轻元科技有限公司 | 多租户容器云计算系统的管理网络及方法 |
| CN111131212A (zh) * | 2019-12-17 | 2020-05-08 | 紫光云(南京)数字技术有限公司 | 一种基于OpenStack绑定安全组方法 |
-
2020
- 2020-11-25 CN CN202011342708.7A patent/CN112688913B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07273764A (ja) * | 1994-04-01 | 1995-10-20 | Fujitsu Ltd | ネットワーク管理システム |
| US6832120B1 (en) * | 1998-05-15 | 2004-12-14 | Tridium, Inc. | System and methods for object-oriented control of diverse electromechanical systems using a computer network |
| CN104007997A (zh) * | 2013-02-22 | 2014-08-27 | 中兴通讯股份有限公司 | 虚拟机安全组的配置方法及装置 |
| US20140289399A1 (en) * | 2013-03-19 | 2014-09-25 | Fujitsu Limited | Apparatus and method of detecting migration completion of virtual machine |
| CN105554015A (zh) * | 2015-12-31 | 2016-05-04 | 北京轻元科技有限公司 | 多租户容器云计算系统的管理网络及方法 |
| CN111131212A (zh) * | 2019-12-17 | 2020-05-08 | 紫光云(南京)数字技术有限公司 | 一种基于OpenStack绑定安全组方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112688913B (zh) | 2023-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11218420B2 (en) | Virtual network interface objects | |
| RU2643451C2 (ru) | Система и способ виртуализации функции мобильной сети | |
| CN103765386B (zh) | 为虚拟网络构建基础设施的系统和方法 | |
| CN101800658B (zh) | 用于管理网络接口组件的预订请求的装置和方法 | |
| US7925737B2 (en) | System and method for dynamic configuration of network resources | |
| WO2016034074A1 (zh) | 一种软件定义网络sdn的实现方法、装置和系统 | |
| EP2731313B1 (en) | Distributed cluster processing system and message processing method thereof | |
| US20080195756A1 (en) | Method and system to access a service utilizing a virtual communications device | |
| CN101009683A (zh) | 处理网络流量的计算机系统及方法 | |
| CN105530259A (zh) | 报文过滤方法及设备 | |
| CN105100026A (zh) | 一种报文安全转发方法及装置 | |
| KR102355746B1 (ko) | 서비스 계층 등록 | |
| CN112422397B (zh) | 业务转发方法及通信装置 | |
| CN106131122A (zh) | 一种部署负载均衡服务的方法及装置 | |
| CN117997734A (zh) | 一种针对多资源池网络的管理方法及系统 | |
| CN108063761A (zh) | 网络处理方法、云平台和软件定义网络sdn控制器 | |
| KR101527377B1 (ko) | Sdn 기반의 서비스 체이닝 시스템 | |
| CN105721487B (zh) | 信息处理方法及电子设备 | |
| CN112688913B (zh) | 一种OpenStack安全组优化方法 | |
| CN110417774A (zh) | 一种sdn网络中安全资源管控方法和装置 | |
| US20130258901A1 (en) | Communication interface apparatus, computer-readable recording medium for recording communication interface program, and virtual network constructing method | |
| CN109005068A (zh) | 一种集群虚拟机qos的配置方法 | |
| CN101170502B (zh) | 一种实现堆叠成员间互访的方法及系统 | |
| CN114978563A (zh) | 一种封堵ip地址的方法及装置 | |
| CN100373800C (zh) | 可继承主接口业务特性的备份方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |