亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于openstack的代理部署系統(tǒng)及方法與流程

文檔序號:11064744閱讀:1069來源:國知局
一種基于openstack的代理部署系統(tǒng)及方法與制造工藝

本發(fā)明涉及云計算領(lǐng)域,具體來講涉及一種基于openstack的代理部署系統(tǒng)及方法。



背景技術(shù):

在基于openstack建設(shè)云計算的IAAS(Infrastructure as a Service,基礎(chǔ)設(shè)施即服務(wù))時,在滿足等保三級的情況下,需要部署一些代理,如監(jiān)控代理、防病毒代理和數(shù)據(jù)庫審計等。一般情況下,在部署符合等保三級的云計算IAAS平臺時,在網(wǎng)絡(luò)上要劃分成三個網(wǎng)絡(luò):管理網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)以及存儲網(wǎng)絡(luò),且三個網(wǎng)絡(luò)必須相互隔離。

如圖1所示,在符合等保三級的云數(shù)據(jù)中心中,運維監(jiān)控管理系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、以及云殺毒系統(tǒng)等必須部署到運維管理區(qū),而這些系統(tǒng)要能正常工作,必須以虛擬機的形式在租戶的網(wǎng)絡(luò)里面部署代理;這樣就會產(chǎn)生以下幾個問題:

(1)如圖1所示,由于openstack架構(gòu)上的設(shè)計,虛擬機只能通過業(yè)務(wù)網(wǎng)絡(luò)與外界通訊,而業(yè)務(wù)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)無法互訪,導(dǎo)致代理無法與服務(wù)端進行通訊,因為服務(wù)端是部署在運維管理區(qū)。如果要讓系統(tǒng)正常工作,就必須打通管理平面與業(yè)務(wù)平面,如圖2所示,在管理防火墻與業(yè)務(wù)防火墻之間連接一根網(wǎng)線;但是這樣就會留有安全隱患,不符合等保三級要求。

(2)如圖2所示,在強行打通管理網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)的情況下,代理與服務(wù)端通訊,數(shù)據(jù)流路徑就變?yōu)椋捍怼鷺I(yè)務(wù)虛擬交換機→業(yè)務(wù)接入交換機→業(yè)務(wù)核心交換機→業(yè)務(wù)防火墻→管理防火墻→管理核心交換機→管理接入交換機→服務(wù)端;轉(zhuǎn)發(fā)路徑非常長,導(dǎo)致代理效率降低,影響代理虛擬機的網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能。

(3)在強行打通管理網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)的情況下,必須設(shè)置相應(yīng)的防火墻安全策略,進行相應(yīng)網(wǎng)段隔離,這樣就增加了額外的配置工作,隨著租戶的增多,策略也隨之增加;大大增加運維人員后期的工作量。



技術(shù)實現(xiàn)要素:

針對現(xiàn)有技術(shù)中存在的缺陷,本發(fā)明的目的在于提供一種基于openstack的代理部署系統(tǒng)及方法,在符合等保三級要求下,減少轉(zhuǎn)發(fā)路徑,提升網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能,減少運維人員后期工作量。

為達到以上目的,本發(fā)明采取一種基于openstack的代理部署系統(tǒng),包括服務(wù)器、第一管理接入交換機、第二管理接入交換機、管理核心交換機和至少一個計算節(jié)點,所述服務(wù)端通過第二管理接入交換機連接管理核心交換機,管理核心交換機連接第一管理接入交換機,每個計算節(jié)點包括代理虛擬機和管理虛擬交換機,所述代理虛擬機的代理管理網(wǎng)卡綁定至管理虛擬交換機;每個計算節(jié)點對應(yīng)一個計算節(jié)點管理網(wǎng)卡,計算節(jié)點管理網(wǎng)卡接入所述第一管理接入交換機的端口,管理虛擬交換機綁定計算節(jié)點管理網(wǎng)卡。

在上述技術(shù)方案的基礎(chǔ)上,所述計算節(jié)點包括用戶虛擬機和業(yè)務(wù)虛擬交換機,用戶虛擬機的虛擬機業(yè)務(wù)網(wǎng)卡綁定至述業(yè)務(wù)虛擬交換機,業(yè)務(wù)虛擬交換機綁定代理虛擬機的代理業(yè)務(wù)網(wǎng)卡。

在上述技術(shù)方案的基礎(chǔ)上,包括業(yè)務(wù)接入交換機和業(yè)務(wù)核心交換機,計算節(jié)點的計算節(jié)點業(yè)務(wù)網(wǎng)卡綁定至業(yè)務(wù)接入交換機,業(yè)務(wù)接入交換機連接業(yè)務(wù)核心交換機。

本發(fā)明還提供一種代理部署方法,包括步驟:

S1.每個計算節(jié)點添加管理虛擬交換機,并將計算節(jié)點管理網(wǎng)卡綁定到對應(yīng)的管理虛擬交換機;

S2.創(chuàng)建管理網(wǎng)段,由openstack分配管理vlan;

S3.每個計算節(jié)點創(chuàng)建代理虛擬機,選擇所述管理vlan,將代理虛擬機的代理管理網(wǎng)卡綁定到管理虛擬交換機;

S4.將第一管理接入交換機接入計算節(jié)點管理網(wǎng)卡的端口配置成trunk模式,允許所述管理vlan通過;

S5.在代理虛擬機里配置去往服務(wù)端的明細路由;

S6.通過openstack設(shè)置安全組,允許代理虛擬機訪問服務(wù)端的TCP或者UDP端口;

S7.在代理虛擬機與服務(wù)端連通的前提下,接收代理發(fā)送的信息。

在上述技術(shù)方案的基礎(chǔ)上,所述S1中,通過修改openstack代碼,在服務(wù)啟動時,調(diào)用openvswitch命令為每個計算節(jié)點添加管理虛擬交換機。

在上述技術(shù)方案的基礎(chǔ)上,所述S2中,管理網(wǎng)段由云平臺租戶管理員通過openstack用戶界面創(chuàng)建。

在上述技術(shù)方案的基礎(chǔ)上,所述S3中,代理虛擬機由云平臺租戶管理員通過openstack用戶界面創(chuàng)建。

在上述技術(shù)方案的基礎(chǔ)上,所述S3中,通過代理虛擬機的代理管理網(wǎng)卡綁定到管理虛擬交換機,將代理管理網(wǎng)卡和計算節(jié)點管理網(wǎng)卡通過管理虛擬交換機連接。

在上述技術(shù)方案的基礎(chǔ)上,所述S7的具體步驟為,

S701.在代理虛擬機里,用telnet或者ping命令測試與服務(wù)端的連通性,判斷是否連通,若是,進入S702;若否,進入S703;

S702.通過服務(wù)端,判斷是否收到代理發(fā)來的信息,若是,結(jié)束;若否,進入S703;

S703.檢測通過openstack設(shè)置的安全組設(shè)置是否正確,若是,進入S702;若否,進入S704;

S704.進行糾錯后,進入S702。

本發(fā)明的有益效果在于:

由于在每個計算節(jié)點上部署管理虛擬交換機,將計算節(jié)點的管理網(wǎng)卡綁定到該管理虛擬交換機上,代理虛擬機(即虛擬機形態(tài)的代理)的代理管理網(wǎng)卡連接到該計算節(jié)點的管理虛擬交換機上.這樣每個代理就可以使用自己的代理管理網(wǎng)卡通過計算節(jié)點上的管理虛擬交換機,通過計算節(jié)點上的計算節(jié)點管理網(wǎng)卡與服務(wù)端通訊,其具備以下好處:

(1)代理虛擬機通過業(yè)務(wù)虛擬交換機采集信息,從計算機管理網(wǎng)卡、通過管理網(wǎng)絡(luò)與服務(wù)端交互,這樣就沒有打破三個網(wǎng)絡(luò)相互隔離的要求,符合安全等保三級。

(2)數(shù)據(jù)流的路途變成:代理→管理虛擬交換機→管理接入交換機→管理核心交換機→管理防火墻→管理接入交換機→服務(wù)端,整個路徑相對于背景技術(shù)中的系統(tǒng)路徑縮短至將近1/2,并且少了管理防火墻與業(yè)務(wù)防火墻之間策略過濾,從而提高了整個代理效率以及網(wǎng)絡(luò)的轉(zhuǎn)發(fā)性能。

(3)代理虛擬機形態(tài)從管理網(wǎng)絡(luò)向服務(wù)端上報采集到的相關(guān)信息,因此就不需要強行打通業(yè)務(wù)網(wǎng)絡(luò)與管理網(wǎng)絡(luò),就不需要再兩個網(wǎng)絡(luò)相應(yīng)的防火墻配置安全策略,最終減輕了運維人員后期的工作量,提升運維效率。

附圖說明

圖1為背景技術(shù)中等保三級的云數(shù)據(jù)中心示意圖;

圖2為背景技術(shù)中代理部署系統(tǒng)示意圖;

圖3為本發(fā)明實施例基于openstack的代理部署系統(tǒng)示意圖;

圖4為本發(fā)明實施例基于openstack的代理部署方法流程圖。

圖5為圖4中S7的具體步驟。

具體實施方式

以下結(jié)合附圖及實施例對本發(fā)明作進一步詳細說明。

如圖3所示,本發(fā)明基于openstack的代理部署系統(tǒng),包括服務(wù)器、第一管理接入交換機、第二管理接入交換機、管理核心交換機和至少一個計算節(jié)點;所述服務(wù)端通過第二管理接入交換機連接管理核心交換機,管理核心交換機設(shè)置管理防火墻,管理核心交換機連接第一管理接入交換機。每個計算節(jié)點包括用戶虛擬機、業(yè)務(wù)虛擬交換機(br-int)、代理虛擬機和管理虛擬交換機(br-mgnt);每個計算節(jié)點對應(yīng)一個計算節(jié)點管理網(wǎng)卡,計算節(jié)點管理網(wǎng)卡接入所述第一管理接入交換機的端口,管理虛擬交換機綁定計算節(jié)點管理網(wǎng)卡,所述代理虛擬機的代理管理網(wǎng)卡綁定至管理虛擬交換機。代理虛擬機的代理業(yè)務(wù)網(wǎng)卡綁定至業(yè)務(wù)虛擬交換機,所述用戶虛擬機的虛擬機業(yè)務(wù)網(wǎng)卡綁定至述業(yè)務(wù)虛擬交換機。本實施例openstack的代理部署系統(tǒng),還包括業(yè)務(wù)接入交換機和業(yè)務(wù)核心交換機,業(yè)務(wù)核心交換機設(shè)置業(yè)務(wù)防火墻,計算節(jié)點的計算節(jié)點業(yè)務(wù)網(wǎng)卡綁定至業(yè)務(wù)接入交換機,業(yè)務(wù)接入交換機連接業(yè)務(wù)核心交換機。

如圖4所示,本發(fā)明實施例基于openstack的代理部署方法,包括步驟:

S1.通過修改openstack代碼,在服務(wù)啟動時,調(diào)用openvswitch命令為每個計算節(jié)點添加管理虛擬交換機,命令:ovs-vsctl add-br br-mgnt。并將計算節(jié)點管理網(wǎng)卡綁定到對應(yīng)的管理虛擬交換機,命令:ovs-vsctl add-port br-mgnt管理網(wǎng)卡名稱根據(jù)前期規(guī)劃的計算節(jié)點管理網(wǎng)卡而定。

S2.云平臺租戶管理員,通過openstack用戶界面創(chuàng)建管理網(wǎng)段,由openstack程序自動分配管理vlan。

S3.云平臺租戶管理員通過openstack用戶界面創(chuàng)建代理虛擬機,在創(chuàng)建代理虛擬機的選擇網(wǎng)絡(luò)步驟中選擇所述管理vlan。openstack在創(chuàng)建代理虛擬機時,通過程序?qū)⒋硖摂M機的代理管理網(wǎng)卡綁定到管理虛擬交換機上,這樣,代理管理網(wǎng)卡和計算節(jié)點管理網(wǎng)卡就通過管理虛擬交換機連接在一起。

S4.將管理接入交換機接入計算節(jié)點管理網(wǎng)卡的端口配置成trunk模式,允許所述管理vlan通過。

S5.在代理虛擬機里配置去往服務(wù)端的明細路由。

S6.通過openstack用戶界面,設(shè)置相應(yīng)的安全組策略,允許代理虛擬機訪問服務(wù)端的TCP或者UDP端口,具體根據(jù)服務(wù)端使用的協(xié)議來決定。

S7.在代理虛擬機與服務(wù)端連通的前提下,接收代理發(fā)送的信息。

具體的,所述S7的步驟為:

S701.在代理虛擬機里,用telnet或者ping命令測試與服務(wù)端的連通性,判斷是否連通,若是,進入S702;若否,進入S703;

S702.通過服務(wù)端,判斷是否收到代理發(fā)來的信息,若是,結(jié)束;若否,進入S703;

S703.檢測通過openstack設(shè)置的安全組設(shè)置是否正確,若是,進入S702;若否,進入S704;

S704.進行糾錯后,進入S702。

本發(fā)明不局限于上述實施方式,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也視為本發(fā)明的保護范圍之內(nèi)。本說明書中未作詳細描述的內(nèi)容屬于本領(lǐng)域?qū)I(yè)技術(shù)人員公知的現(xiàn)有技術(shù)。

當前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1