一种裸金属安全组的实现方法

技术领域

本发明涉及电通信技术领域，尤其涉及一种裸金属安全组的实现方法。

背景技术

裸金属服务器，是一台传统物理服务器的升级版，既具备传统物理服务器卓越性能，又具备云主机一样的便捷管理平台，为用户带来卓越的计算性能，能满足核心应用场景对高性能及稳定性的需求；

现有的裸金属安全组的实现方法对安全组功能的需求是通过安装智能网卡来完成；

但是额外需要安装软件，智能网卡的研发成本较高，从而增加了裸金属安全组的实现方法的运营成本。

发明内容

本发明的目的在于提供一种裸金属安全组的实现方法，旨在解决裸金属安全组的实现方法的运营成本较高的问题。

为实现上述目的，本发明提供了一种裸金属安全组的实现方法，包括：

将裸金属服务器连接管理区和所述Leaf交换机；

所述Leaf交换机连接Border边界交换机和防火墙设备；

在所述管理区中部署SDN控制器；

在所述裸金属服务器中创建安全组。

其中，所述Leaf交换机支持OpenFlow流表，且OpenFlow流表使能配置为打开状态。

其中，所述管理区，用于对所述裸金属服务器做镜像管理和基础配置管理。

其中，所述Leaf交换机，用于为所述裸金属服务器提供网络交换。

其中，所述SDN控制器，用于控制并配置所述Leaf交换机、所述Border边界交换机和所述防火墙设备。

其中，在所述裸金属服务器中创建安全组中的具体方式为：创建裸金属安全组规则；对安全组规则进行校验，若校验成功，所述SDN控制器按照安全组规则转换成流表规则并下发到所述Leaf交换机上。

本发明的一种裸金属安全组的实现方法，将裸金属服务器连接管理区和所述Leaf交换机；Leaf交换机连接Border边界交换机和防火墙设备；在管理区中部署SDN控制器；在裸金属服务器中创建安全组，所述Leaf交换机支持OpenFlow流表，且OpenFlow流表使能配置为打开状态，所述管理区，用于对所述裸金属服务器做镜像管理和基础配置管理，所述SDN控制器，用于控制并配置所述Leaf交换机、所述Border边界交换机和所述防火墙设备，所述Leaf交换机、所述Border边界交换机和所述防火墙设备上的配置全部由所述SDN控制器下发，解决了裸金属安全组的实现方法的运营成本较高的问题，解决了裸金属安全组的实现方法的运营成本较高的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的一种裸金属安全组的实现方法的流程图；

图2是S4的具体流程图；

图3是实施例1的流程图；

图4是实施例2的流程图；

图5是本发明提供的一种裸金属安全组的实现方法的网络系统整体拓扑图；

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

在本发明的描述中，需要理解的是，术语“长度”、“宽度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

请参阅图1至图5，本发明提供一种裸金属安全组的实现方法，包括：

S1、将裸金属服务器连接管理区和所述Leaf交换机；

所述Leaf交换机支持OpenFlow流表，且OpenFlow流表使能配置为打开状态。所述管理区，用于对所述裸金属服务器做镜像管理和基础配置管理。

S2、所述Leaf交换机连接Border边界交换机和防火墙设备；

路由器提供的网络通过Spine和所述Leaf交换机提供给所述裸金属服务器，所述Border边界交换机和所述防火墙设备通过汇聚交换机与路由器连接。

S3、在所述管理区中部署SDN控制器；

所述SDN控制器，用于控制并配置所述Leaf交换机、所述Border边界交换机和所述防火墙设备。所述Leaf交换机、所述Border边界交换机和所述防火墙设备上的配置全部由所述SDN控制器下发。

S4、在所述裸金属服务器中创建安全组。

具体方式为：

S41、创建裸金属安全组规则并进行校验；

S42、对安全组规则进行校验，若校验成功，所述SDN控制器按照安全组规则转换成流表规则并下发到所述Leaf交换机上。

实施例1、两个虚拟专有云里的专有云虚拟机之间安全组由专有云虚拟机物理服务器上的OVS通过OVS流表来实现，所述专有云虚拟机物理服务器有唯一的OVS，两个所述专有云虚拟机共用一个OVS，在两个所述专有云虚拟机通讯时，OVS通过OVS流表来实现安全组的功能，控制所述专有云虚拟机的东西向流量和南北向流量的转发；所述Leaf交换机充当OVS来实现安全策略；所述SDN控制器统一下发所述Leaf交换机上的流表规则；当所述裸金属服务器想要访问南北向流量时：

S101、所述专有云虚拟机向所述裸金属服务器发出请求报文；

S102、请求报文到达所述裸金属服务器所连的所述Leaf交换机，并匹配流表规则；

S103、匹配成功，进入所述Border边界交换机，然后进入所述防火墙设备；

在所述防火墙设备上可以做一些安全策略和NAT转换。

S104、再过所述Border边界交换机出南北向流量。

回程报文流程相同，但是因为所述Leaf交换机是没有Session会话机制的，所以需要同时在所述Leaf交换机的出方向和入方向同时下发规则才能生效，这是与OVS流表不同的地方。

实施例2、同一个虚拟私有云内部流量互通，即东西向流量，当同一个虚拟私有云虚拟机想要和所述裸金属服务器互通时：

S201、所述私有云虚拟机发出请求报文；

S202、请求报文经过私有云虚拟机物理服务器上的OVS，匹配OVS流表规则后进入Leaf交换机；

S203、所述SDN控制器控制所述Leaf交换机的出方向和入方向上下发的流表规则；

S204、请求报文满足所述Leaf交换机上的流表规则，则进入所述裸金属服务器，所述裸金属服务器解析请求报文，并给予响应；

S205、回程报文再经过所述Leaf交换机，匹配所述Leaf交换机上出方向和入方向的流表规则后，进入所述私有云虚拟机所在的所述私有云虚拟机物理服务器上，再经过所述私有云虚拟机物理服务器上的OVS，匹配规则OVS流表规则，最终到达所述私有云虚拟机。

本发明的一种裸金属安全组的实现方法，将裸金属服务器连接管理区和所述Leaf交换机；Leaf交换机连接Border边界交换机和防火墙设备；在管理区中部署SDN控制器；在裸金属服务器中创建安全组，所述Leaf交换机支持OpenFlow流表，且OpenFlow流表使能配置为打开状态，所述管理区，用于对所述裸金属服务器做镜像管理和基础配置管理，所述SDN控制器，用于控制并配置所述Leaf交换机、所述Border边界交换机和所述防火墙设备，所述Leaf交换机、所述Border边界交换机和所述防火墙设备上的配置全部由所述SDN控制器下发，解决了现有的裸金属安全组的实现方法中通过安装智能网卡实现的裸金属服务器安全组功能，成本较高的问题，还解决了利用防火墙访问控制策略实现裸金属安全组的功能，只能在东西向流量方向做限制，南北向流量无法控制的问题，本发明的裸金属安全组的实现方法利用所述SDN控制器向所述Leaf交换机下发流表的方式可以利用现成的资源，既可以控制东西向流量，又可以控制南北向流量，对现有资源合理利用，就可以起到简易安全组的功能，有效的节约运营成本，可以满足裸金属服务器对于安全组功能的基本需求，所述Leaf交换机上的流表由所述SDN控制器统一管控，可以对所述裸金属服务器的访问控制策略进行整体把控，利用现有的设备来实现安全组功能，节约运营成本，不会影响所述Leaf交换机本身的转发功能实现，可以完美兼容。

以上所揭露的仅为本发明一种裸金属安全组的实现方法较佳实施例而已，当然不能以此来限定本发明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。