亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種報(bào)文處理方法和裝置與流程

文檔序號:12729245閱讀:382來源:國知局
一種報(bào)文處理方法和裝置與流程

本申請涉及通信技術(shù)領(lǐng)域,尤其涉及一種報(bào)文處理方法和裝置。



背景技術(shù):

云平臺包括了計(jì)算節(jié)點(diǎn)、控制節(jié)點(diǎn)和存儲節(jié)點(diǎn),控制節(jié)點(diǎn)對外提供登陸頁面,用戶可以通過登陸頁面與計(jì)算節(jié)點(diǎn)通信。

登陸頁面是控制節(jié)點(diǎn)為用戶提供的訪問計(jì)算節(jié)點(diǎn)的入口,但是目前,登陸頁面也成為了外界攻擊云平臺內(nèi)部管理網(wǎng)絡(luò)的入口,給云平臺的安全性帶來了較大的風(fēng)險(xiǎn)。



技術(shù)實(shí)現(xiàn)要素:

有鑒于此,本申請?zhí)峁┮环N報(bào)文處理方法和裝置,用以保護(hù)云平臺內(nèi)部管理網(wǎng)絡(luò)。

具體地,本申請是通過如下技術(shù)方案實(shí)現(xiàn)的:

本申請第一方面,提供了一種報(bào)文處理方法,所述方法應(yīng)用于云平臺內(nèi)部管理網(wǎng)絡(luò)中的本端節(jié)點(diǎn),所述方法包括:

接收報(bào)文;

在本端節(jié)點(diǎn)包括的多個(gè)功能模塊中找到與所述報(bào)文攜帶的目的IP地址和VLAN ID相匹配的第一功能模塊;

利用所述第一功能模塊處理所述報(bào)文;

其中,所述本端節(jié)點(diǎn)包括的多個(gè)功能模塊所屬的IP網(wǎng)段和VLAN各不相同。

本申請第二方面,提供了一種報(bào)文處理裝置,所述裝置應(yīng)用于云平臺內(nèi)部管理網(wǎng)絡(luò)中的本端節(jié)點(diǎn),具有實(shí)現(xiàn)上述方法的功能。所述功能可以通過硬件實(shí)現(xiàn),也可以通過硬件執(zhí)行相應(yīng)的軟件實(shí)現(xiàn)。所述硬件或軟件包括一個(gè)或多個(gè)與上述功能相對應(yīng)的模塊或單元。

一種可能的實(shí)現(xiàn)方式中,所述裝置包括:

接收單元,用于接收報(bào)文;

模塊查找單元,用于在本端節(jié)點(diǎn)包括的多個(gè)功能模塊中找到與所述報(bào)文攜帶的目的IP地址和VLAN ID相匹配的第一功能模塊;其中,所述本端節(jié)點(diǎn)包括的多個(gè)功能模塊所屬的IP網(wǎng)段和VLAN各不相同;

報(bào)文處理單元,用于利用所述第一功能模塊處理所述報(bào)文。

另一種可能的實(shí)現(xiàn)方式中,所述裝置包括通信接口、處理器、存儲器和總線,所述通信接口、所述處理器和所述存儲器之間通過總線相互連接;所述處理器通過讀取所述存儲器中存儲的邏輯指令,執(zhí)行本申請第一方面所述的報(bào)文處理方法。

本申請?zhí)峁┑募夹g(shù)方案通過對云平臺內(nèi)部的管理網(wǎng)絡(luò)的功能進(jìn)行劃分,根據(jù)節(jié)點(diǎn)所執(zhí)行的管理網(wǎng)絡(luò)功能在節(jié)點(diǎn)內(nèi)部劃分出多個(gè)功能模塊,并為執(zhí)行不同管理網(wǎng)絡(luò)功能的功能模塊分配不同IP網(wǎng)段的IP地址和不同的VLAN ID,從而在管理網(wǎng)絡(luò)的不同功能之間實(shí)現(xiàn)網(wǎng)絡(luò)隔離,這樣即使外界發(fā)起對頁面登陸模塊的攻擊,該攻擊也不會影響管理網(wǎng)絡(luò)的其他網(wǎng)段,從而提高了云平臺運(yùn)行的可靠性和穩(wěn)定性。

附圖說明

圖1是本申請一示例性實(shí)施例示出的一種云平臺的架構(gòu)圖;

圖2是本申請一示例性實(shí)施例示出的一種報(bào)文處理方法的流程圖;

圖3是本申請一示例性實(shí)施例示出的一種云平臺內(nèi)部管理網(wǎng)絡(luò)的組網(wǎng)示意圖;

圖4是本申請一示例性實(shí)施例示出的一種報(bào)文處理裝置的功能模塊框圖;

圖5是本申請一示例性實(shí)施例示出的一種報(bào)文處理裝置的硬件架構(gòu)圖。

具體實(shí)施方式

這里將詳細(xì)地對示例性實(shí)施例進(jìn)行說明,其示例表示在附圖中。下面的描述涉及附圖時(shí),除非另有表示,不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本申請相一致的所有實(shí)施方式。相反,它們僅是與如所附權(quán)利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。

在本申請使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的,而非旨在限制本申請。在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式,除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解,本文中使用的術(shù)語“和/或”是指并包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。

應(yīng)當(dāng)理解,盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息,但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如,在不脫離本申請范圍的情況下,第一信息也可以被稱為第二信息,類似地,第二信息也可以被稱為第一信息。取決于語境,如在此所使用的詞語“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”。

下面結(jié)合說明書附圖和各實(shí)施例對本申請技術(shù)方案進(jìn)行說明。

目前云平臺內(nèi)部的管理網(wǎng)絡(luò)只使用一個(gè)網(wǎng)段,這意味著,外界可以通過控制節(jié)點(diǎn)提供的登陸頁面,知道云平臺內(nèi)部的管理網(wǎng)絡(luò)的網(wǎng)段。如此,登陸頁面無疑成了外界攻擊云平臺的入口,外界只要對頁面登陸模塊發(fā)起攻擊,就可以干擾云平臺內(nèi)部管理網(wǎng)絡(luò)的通信。

為了解決上述問題,本申請?zhí)岢隽艘环N報(bào)文處理方法和裝置,通過對云平臺內(nèi)部的管理網(wǎng)絡(luò)的功能進(jìn)行劃分,根據(jù)節(jié)點(diǎn)所執(zhí)行的管理網(wǎng)絡(luò)功能在節(jié)點(diǎn)內(nèi)部劃分出多個(gè)功能模塊,并為執(zhí)行同一類管理網(wǎng)絡(luò)功能的功能模塊分配同一個(gè)IP網(wǎng)段的IP地址和同一個(gè)VLAN ID,為執(zhí)行不同管理網(wǎng)絡(luò)功能的功能模塊分配不同IP網(wǎng)段的IP地址和不同的VLANID,從而在管理網(wǎng)絡(luò)的不同功能之間實(shí)現(xiàn)網(wǎng)絡(luò)隔離,這樣即使外界發(fā)起對頁面登陸模塊的攻擊,該攻擊也不會影響管理網(wǎng)絡(luò)的其他網(wǎng)段,從而提高了云平臺運(yùn)行的可靠性和穩(wěn)定性。

下面通過圖1對云平臺的架構(gòu)進(jìn)行介紹,圖1中按角色可分為控制節(jié)點(diǎn)、計(jì)算節(jié)點(diǎn)和存儲節(jié)點(diǎn),三者之間通過管理網(wǎng)絡(luò)通信。

本申請中,對云平臺的管理網(wǎng)絡(luò)的功能進(jìn)行了細(xì)分,一種可選的劃分方式如下,該方式將管理網(wǎng)絡(luò)的功能分成了以下4點(diǎn):

第一點(diǎn):云平臺的頁面登陸功能,控制節(jié)點(diǎn)可以為用戶提供登陸頁面(dashboard),使得用戶可以登陸云平臺進(jìn)行相關(guān)操作,如通過指令指示控制節(jié)點(diǎn)向計(jì)算節(jié)點(diǎn)下發(fā)創(chuàng)建虛擬機(jī)的觸發(fā)命令。

第二點(diǎn):云平臺的存儲訪問功能,控制節(jié)點(diǎn)和計(jì)算節(jié)點(diǎn)可以對云平臺的存儲節(jié)點(diǎn)進(jìn)行讀寫操作。

第三點(diǎn):虛擬機(jī)(VM)操作控制功能,控制節(jié)點(diǎn)可以通過VNC(Virtual Network Console,虛擬網(wǎng)絡(luò)控制臺)和計(jì)算節(jié)點(diǎn)通信,從而登陸計(jì)算節(jié)點(diǎn)上已創(chuàng)建的虛擬機(jī),對虛擬機(jī)進(jìn)行操作控制。

第四點(diǎn):云平臺的內(nèi)部通信功能,主要用于完成除上述三個(gè)功能之外的其它管理網(wǎng)絡(luò)功能,如同步配置、內(nèi)部監(jiān)聽各個(gè)計(jì)算節(jié)點(diǎn)的進(jìn)程狀態(tài),內(nèi)部消息處理,創(chuàng)建虛擬網(wǎng)絡(luò),創(chuàng)建虛擬機(jī),創(chuàng)建防火墻等。

需要注意的是,考慮到管理網(wǎng)絡(luò)功能劃分標(biāo)準(zhǔn)的多樣性以及未來云平臺管理網(wǎng)絡(luò)可能實(shí)現(xiàn)更多新的功能,本申請并不限制管理網(wǎng)絡(luò)功能的劃分方式,以上僅為一種具體示例。

針對管理網(wǎng)絡(luò)的不同功能,可以預(yù)先為每個(gè)功能分配一個(gè)IP網(wǎng)段和一個(gè)VLAN(Virtual Local Area Network,虛擬局域網(wǎng))。例如,可以規(guī)定用于實(shí)現(xiàn)上述第一點(diǎn)——云平臺的頁面登陸功能的通信網(wǎng)絡(luò)為1.0.0.0/24,VLAN ID為100;用于實(shí)現(xiàn)上述第二點(diǎn)——云平臺的存儲訪問功能的通信網(wǎng)絡(luò)為2.0.0.0/24,VLAN ID為101;用于實(shí)現(xiàn)上述第三點(diǎn)——虛擬機(jī)操作控制功能的通信網(wǎng)絡(luò)為3.0.0.0/24,VLAN ID為102;用于實(shí)現(xiàn)上述第四點(diǎn)——云平臺的內(nèi)部通信功能的通信網(wǎng)絡(luò)為4.0.0.0/24,VLAN ID為104。

與上述劃分出的管理網(wǎng)絡(luò)功能相對應(yīng)的,可以在控制節(jié)點(diǎn)和計(jì)算節(jié)點(diǎn)內(nèi)部劃分出多個(gè)功能模塊,同一節(jié)點(diǎn)上的不同功能模塊分別用于執(zhí)行不同的管理網(wǎng)絡(luò)功能;然后,控制節(jié)點(diǎn)和計(jì)算節(jié)點(diǎn)根據(jù)上述為管理網(wǎng)絡(luò)的不同功能預(yù)分配的IP網(wǎng)段和VLAN,為各功能模塊分配相應(yīng)的IP地址和VLAN ID,使得同一節(jié)點(diǎn)上的多個(gè)功能模塊處于不同的IP網(wǎng)段和VLAN,不同節(jié)點(diǎn)上用于執(zhí)行同一類管理網(wǎng)絡(luò)功能的功能模塊處于同一個(gè)IP網(wǎng)段和同一個(gè)VLAN中。

例如,根據(jù)上述例舉的管理網(wǎng)絡(luò)的四個(gè)功能,可以在控制節(jié)點(diǎn)內(nèi)部劃分出四個(gè)功能模塊,分別為:頁面登陸模塊,用于提供登陸頁面;第一存儲訪問模塊,用于對云平臺內(nèi)部管理網(wǎng)絡(luò)中的存儲節(jié)點(diǎn)進(jìn)行讀寫操作;第一虛擬機(jī)控制模塊,用于對計(jì)算節(jié)點(diǎn)上已創(chuàng)建的虛擬機(jī)進(jìn)行操作控制;第一內(nèi)部通信模塊,用于完成其它管理網(wǎng)絡(luò)功能。

在計(jì)算節(jié)點(diǎn)內(nèi)部可以劃分出三個(gè)功能模塊,分別為:第二存儲訪問模塊,用于對云平臺內(nèi)部管理網(wǎng)絡(luò)中的存儲節(jié)點(diǎn)進(jìn)行讀寫操作;第二虛擬機(jī)控制模塊,用于配合控制節(jié)點(diǎn)(具體是配合控制節(jié)點(diǎn)上的第一虛擬機(jī)控制模塊)完成對本端節(jié)點(diǎn)上已創(chuàng)建的虛擬機(jī)進(jìn)行的操作控制;第二內(nèi)部通信模塊,用于配合控制節(jié)點(diǎn)(具體是配合控制節(jié)點(diǎn)上的第一內(nèi)部通信模塊)完成其他管理網(wǎng)絡(luò)功能。

這里,控制節(jié)點(diǎn)上的第一存儲訪問模塊和計(jì)算節(jié)點(diǎn)上的第二存儲訪問模塊,控制節(jié)點(diǎn)上的第一虛擬機(jī)控制模塊和計(jì)算節(jié)點(diǎn)上的第二虛擬機(jī)控制模塊,以及控制節(jié)點(diǎn)上的第一內(nèi)部通信模塊和計(jì)算節(jié)點(diǎn)上的第二內(nèi)部通信模塊,即為不同節(jié)點(diǎn)上執(zhí)行同一類管理網(wǎng)絡(luò)功能的功能模塊。

同樣,本申請可以根據(jù)上述為管理網(wǎng)絡(luò)的不同功能預(yù)分配的IP網(wǎng)段和VLAN,為存儲節(jié)點(diǎn)分配相應(yīng)的IP地址和VLAN ID,使得控制節(jié)點(diǎn)上的第一存儲訪問模塊、計(jì)算節(jié)點(diǎn)上的第二存儲訪問模塊和存儲節(jié)點(diǎn)處于同一個(gè)IP網(wǎng)段和同一個(gè)VLAN。

控制節(jié)點(diǎn)和計(jì)算節(jié)點(diǎn)可以分別在本端節(jié)點(diǎn)上啟動一個(gè)OVS(Open vSwitch,虛擬交換機(jī)),OVS的出口即是與云平臺內(nèi)部管理網(wǎng)絡(luò)綁定的物理網(wǎng)卡??刂乒?jié)點(diǎn)和計(jì)算節(jié)點(diǎn)可以按照自身的功能模塊劃分結(jié)果,為每個(gè)功能模塊在自身的OVS上分配一個(gè)唯一的端口,保證同一節(jié)點(diǎn)上的任一個(gè)功能模塊對應(yīng)的端口IP地址不與其它功能模塊對應(yīng)的端口IP地址沖突;后續(xù),各功能模塊發(fā)出的報(bào)文將攜帶該功能模塊被分配的VLAN ID,通過OVS進(jìn)入管理網(wǎng)絡(luò),經(jīng)管理網(wǎng)絡(luò)轉(zhuǎn)發(fā)到對端節(jié)點(diǎn)。

具體地,云平臺內(nèi)部管理網(wǎng)絡(luò)中的報(bào)文處理方法可以通過圖2所示的方法流程說明。該方法可以應(yīng)用于云平臺內(nèi)部管理網(wǎng)絡(luò)中的本端節(jié)點(diǎn),該本端節(jié)點(diǎn)可以是控制節(jié)點(diǎn)或者計(jì)算節(jié)點(diǎn),該方法可包括以下步驟:

步驟201:接收報(bào)文。

步驟202:在本端節(jié)點(diǎn)包括的多個(gè)功能模塊中找到與所述報(bào)文攜帶的目的IP地址和VLAN ID相匹配的第一功能模塊;其中,所述本端節(jié)點(diǎn)包括的多個(gè)功能模塊所屬的IP網(wǎng)段和VLAN各不相同。

步驟203:利用所述第一功能模塊處理所述報(bào)文。

當(dāng)所述本端節(jié)點(diǎn)為控制節(jié)點(diǎn)時(shí),所述第一功能模塊可以是以下其中一個(gè)功能模塊:頁面登陸模塊,用于提供登陸界面;第一存儲訪問模塊,用于對云平臺內(nèi)部管理網(wǎng)絡(luò)中的存儲節(jié)點(diǎn)進(jìn)行讀寫操作;第一虛擬機(jī)控制模塊,用于對計(jì)算節(jié)點(diǎn)上已創(chuàng)建的虛擬機(jī)進(jìn)行操作控制;第一內(nèi)部通信模塊,用于完成其它管理網(wǎng)絡(luò)功能。

當(dāng)所述本端節(jié)點(diǎn)為計(jì)算節(jié)點(diǎn)時(shí),所述第一功能模塊可以是以下其中一個(gè)功能模塊:第二存儲訪問模塊,用于對云平臺內(nèi)部管理網(wǎng)絡(luò)中的存儲節(jié)點(diǎn)進(jìn)行讀寫操作;第二虛擬機(jī)控制模塊,用于配合控制節(jié)點(diǎn)完成對本端節(jié)點(diǎn)上已創(chuàng)建的虛擬機(jī)進(jìn)行的操作控制;第二內(nèi)部通信模塊,用于配合控制節(jié)點(diǎn)完成其他管理網(wǎng)絡(luò)功能。

特別地,步驟201中本端節(jié)點(diǎn)接收的報(bào)文可以來自于云平臺內(nèi)部管理網(wǎng)絡(luò)中的對端節(jié)點(diǎn)上的第二功能模塊。所述第一功能模塊和所述第二功能模塊為不同節(jié)點(diǎn)上用于執(zhí)行同一類管理網(wǎng)絡(luò)功能的功能模塊,所述第一功能模塊的IP地址與所述第二功能模塊的IP地址處于同一個(gè)IP網(wǎng)段,所述第一功能模塊與所述第二功能模塊屬于同一個(gè)VLAN。

所謂同一類的管理網(wǎng)絡(luò)功能,例如,當(dāng)?shù)谝还δ苣K為控制節(jié)點(diǎn)上的第一內(nèi)部通信模塊,第二功能模塊為計(jì)算節(jié)點(diǎn)上的第二內(nèi)部通信模塊時(shí),第二內(nèi)部通信模塊可以根據(jù)第一內(nèi)部通信模塊下發(fā)的創(chuàng)建虛擬機(jī)的指令以及創(chuàng)建虛擬機(jī)需要的參數(shù),在計(jì)算節(jié)點(diǎn)上部署虛擬機(jī),這兩個(gè)功能模塊之間執(zhí)行的便是同一類的管理網(wǎng)絡(luò)功能。

所述本端節(jié)點(diǎn)可以在本節(jié)點(diǎn)上創(chuàng)建一個(gè)OVS,并在該OVS上為所述第一功能模塊分配一個(gè)唯一的端口,該OVS的出口為與云平臺內(nèi)部管理網(wǎng)絡(luò)綁定的物理網(wǎng)卡。

所述第一功能模塊發(fā)出的報(bào)文可以通過其在OVS上的端口進(jìn)入該OVS,并通過該OVS連接的物理網(wǎng)卡進(jìn)入云平臺內(nèi)部管理網(wǎng)絡(luò)。該報(bào)文經(jīng)過管理網(wǎng)絡(luò)轉(zhuǎn)發(fā)后進(jìn)入對端節(jié)點(diǎn)。

舉例來說,如圖3所示,假設(shè)控制節(jié)點(diǎn)上的第一內(nèi)部通信模塊的IP地址為4.0.0.1,VLAN ID為104,在OVS 1上的端口為a;計(jì)算節(jié)點(diǎn)上的第二內(nèi)部通信模塊的IP地址為4.0.0.2,VLAN ID為104,在OVS 2上的端口為b。則第一內(nèi)部通信模塊發(fā)出的報(bào)文的轉(zhuǎn)發(fā)過程為:

1、第一內(nèi)部通信模塊生成報(bào)文,該報(bào)文的源地址為本模塊的IP地址4.0.0.1,目的地址為計(jì)算節(jié)點(diǎn)上的第二內(nèi)部通信模塊的IP地址4.0.0.2,且該報(bào)文攜帶了VLAN ID 104。

2、控制節(jié)點(diǎn)內(nèi),該報(bào)文從端口a進(jìn)入OVS 1。支持OpenFlow的OVS 1將根據(jù)預(yù)先保存的流表對該報(bào)文進(jìn)行匹配,發(fā)現(xiàn)匹配成功,則將該報(bào)文發(fā)送到與OVS 1相連的物理網(wǎng)卡上,進(jìn)而該報(bào)文被轉(zhuǎn)發(fā)到管理網(wǎng)絡(luò)中。

3、管理網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)設(shè)備根據(jù)該報(bào)文的目的IP地址和VLAN ID,將該報(bào)文發(fā)送到計(jì)算節(jié)點(diǎn),該報(bào)文通過計(jì)算節(jié)點(diǎn)的物理網(wǎng)卡進(jìn)入與該物理網(wǎng)卡相連的OVS 2。

4、計(jì)算節(jié)點(diǎn)內(nèi),OVS 2根據(jù)自身保存的流表對該報(bào)文進(jìn)行匹配,根據(jù)該報(bào)文的目的IP地址和VLAN ID可以匹配到端口b,則將該報(bào)文通過端口b發(fā)送到計(jì)算節(jié)點(diǎn)包括的第二內(nèi)部通信模塊進(jìn)行處理。

至此,完成對圖3的描述。

本申請中,由于節(jié)點(diǎn)之間來往的報(bào)文都攜帶了特定的VLAN ID,因此保證了網(wǎng)絡(luò)隔離,即使管理網(wǎng)絡(luò)的某一個(gè)網(wǎng)段內(nèi)的流量再大,也不會影響管理網(wǎng)絡(luò)的其他網(wǎng)段的通信;同時(shí),當(dāng)外界發(fā)起對頁面登陸模塊攻擊時(shí),該攻擊也無法進(jìn)入管理網(wǎng)絡(luò)的其它網(wǎng)段,大大保證了云平臺運(yùn)行的穩(wěn)定性。

針對這一問題,本申請也提出了一種解決策略,具體陳述如下:

所述本端節(jié)點(diǎn)可以在本節(jié)點(diǎn)上啟動第一虛擬機(jī);所述第一虛擬機(jī)的IP地址與所述第一功能模塊的IP地址處于同一個(gè)IP網(wǎng)段,且所述第一虛擬機(jī)與所述第一功能模塊屬于同一個(gè)VLAN。

對于源地址為所述第一功能模塊的IP地址的報(bào)文,由所述第一虛擬機(jī)將該報(bào)文的源地址修改為所述第一虛擬機(jī)的IP地址,再將修改后的報(bào)文轉(zhuǎn)發(fā)給該報(bào)文的目的地址對應(yīng)的節(jié)點(diǎn);對于目的地址為所述第一虛擬機(jī)的IP地址的報(bào)文,由所述第一虛擬機(jī)將該報(bào)文轉(zhuǎn)發(fā)給所述第一功能模塊進(jìn)行處理。

由于所述第一虛擬機(jī)對外“隱瞞”了所述第一功能模塊的IP地址,故所述本端節(jié)點(diǎn)外的其它節(jié)點(diǎn)不直接與所述本端節(jié)點(diǎn)的第一功能模塊通信。

當(dāng)所述第一虛擬機(jī)的CPU(Central Processing Unit,中央處理器)的利用率超過設(shè)定閾值時(shí),所述本端節(jié)點(diǎn)可以在本節(jié)點(diǎn)上啟動新的第二虛擬機(jī),并由所述第二虛擬機(jī)接替執(zhí)行所述第一虛擬機(jī)的功能;所述第二虛擬機(jī)的IP地址不同于所述第一虛擬機(jī)的IP地址,且所述第二虛擬機(jī)的IP地址與所述第一功能模塊的IP地址處于同一個(gè)IP網(wǎng)段,且所述第二虛擬機(jī)與所述第一功能模塊屬于同一個(gè)VLAN。以如何通過虛擬機(jī)解決登陸頁面受到的訪問攻擊為例,控制節(jié)點(diǎn)可以在本端節(jié)點(diǎn)上啟動第一虛擬機(jī);所述第一虛擬機(jī)的IP地址與控制節(jié)點(diǎn)上的頁面登陸模塊的IP地址處于同一個(gè)IP網(wǎng)段,且所述第一虛擬機(jī)與所述頁面登陸模塊屬于同一個(gè)VLAN。

控制節(jié)點(diǎn)對外通告的頁面登陸模塊的IP地址為該第一虛擬機(jī)的IP地址,則用戶通過用戶設(shè)備發(fā)送的用于登陸云平臺的訪問報(bào)文的目的IP地址即為第一虛擬機(jī)的IP地址。第一虛擬機(jī)在接收到該訪問報(bào)文后,將該報(bào)文轉(zhuǎn)發(fā)給頁面登陸模塊。當(dāng)頁面登陸模塊需要向該用戶設(shè)備發(fā)送響應(yīng)報(bào)文時(shí),則先將該響應(yīng)報(bào)文發(fā)送至第一虛擬機(jī),此時(shí)該響應(yīng)報(bào)文的目的地址為該用戶設(shè)備的地址,源地址為頁面登陸模塊的地址。第一虛擬機(jī)在接收到該響應(yīng)報(bào)文后,將該響應(yīng)報(bào)文的源地址修改為第一虛擬機(jī)的IP地址,然后再將修改地址后的響應(yīng)報(bào)文,發(fā)送給用戶設(shè)備。

在啟動所述第一虛擬機(jī)之后,控制節(jié)點(diǎn)對所述第一虛擬機(jī)進(jìn)行監(jiān)控,當(dāng)所述第一虛擬機(jī)的CPU利用率超過設(shè)定閾值時(shí),表明所述第一虛擬機(jī)過于繁忙,頁面登陸模塊很有可能受到了訪問攻擊,此時(shí)控制節(jié)點(diǎn)可以發(fā)出告警通知工作人員排查故障,并在本端節(jié)點(diǎn)上啟動新的第二虛擬機(jī),所述第二虛擬機(jī)的IP地址不同于所述第一虛擬機(jī)的IP地址,且所述第二虛擬機(jī)的IP地址與所述頁面登陸模塊的IP地址處于同一個(gè)IP網(wǎng)段,且所述第二虛擬機(jī)與所述頁面登陸模塊屬于同一個(gè)VLAN。之后便由所述第二虛擬機(jī)接替執(zhí)行所述第一虛擬機(jī)的功能,以提供一個(gè)新的對外的IP地址供正常的用戶登陸需求使用,而原來的訪問攻擊則會通過之前與第一虛擬機(jī)建立的連接到達(dá)第一虛擬機(jī),不會對第二虛擬機(jī)和頁面登陸模塊造成影響。

綜上所述,本申請?zhí)峁┑募夹g(shù)方案通過對云平臺內(nèi)部的管理網(wǎng)絡(luò)的功能進(jìn)行劃分,根據(jù)節(jié)點(diǎn)所執(zhí)行的管理網(wǎng)絡(luò)功能在節(jié)點(diǎn)內(nèi)部劃分出多個(gè)功能模塊,并為執(zhí)行不同管理網(wǎng)絡(luò)功能的功能模塊分配不同IP網(wǎng)段的IP地址和不同的VLAN ID,從而在管理網(wǎng)絡(luò)的不同功能之間實(shí)現(xiàn)網(wǎng)絡(luò)隔離,這樣即使外界發(fā)起對頁面登陸模塊的攻擊,該攻擊也不會影響管理網(wǎng)絡(luò)的其他網(wǎng)段,從而提高了云平臺運(yùn)行的可靠性和穩(wěn)定性。以及,本申請通過將云平臺易于被攻擊的管理網(wǎng)絡(luò)功能用虛擬機(jī)來提供保護(hù),可以保證云平臺的控制器節(jié)點(diǎn)不會受到攻擊影響,也提高了云平臺的可靠性。

以上對本申請?zhí)峁┑姆椒ㄟM(jìn)行了描述。下面對本申請?zhí)峁┑难b置進(jìn)行描述。

參見圖4,為本申請實(shí)施例提供的一種報(bào)文處理裝置的功能模塊框圖,該裝置可以應(yīng)用于云平臺內(nèi)部管理網(wǎng)絡(luò)中的本端節(jié)點(diǎn)。所述裝置包括:

接收單元401,用于接收報(bào)文。

模塊查找單元402,用于在本端節(jié)點(diǎn)包括的多個(gè)功能模塊中找到與所述報(bào)文攜帶的目的IP地址和VLAN ID相匹配的第一功能模塊;其中,所述本端節(jié)點(diǎn)包括的多個(gè)功能模塊所屬的IP網(wǎng)段和VLAN各不相同。

報(bào)文處理單元403,用于利用所述第一功能模塊處理所述報(bào)文。

可選的,所述報(bào)文來自所述云平臺內(nèi)部管理網(wǎng)絡(luò)中的對端節(jié)點(diǎn)上的第二功能模塊;所述第一功能模塊和所述第二功能模塊為不同節(jié)點(diǎn)上用于執(zhí)行同一類管理網(wǎng)絡(luò)功能的功能模塊,所述第一功能模塊的IP地址與所述第二功能模塊的IP地址處于同一個(gè)IP網(wǎng)段,所述第一功能模塊與所述第二功能模塊屬于同一個(gè)VLAN。

可選的,當(dāng)所述本端節(jié)點(diǎn)為控制節(jié)點(diǎn)時(shí),所述第一功能模塊可以為以下其中一個(gè)功能模塊:頁面登陸模塊,用于提供登陸界面;第一存儲訪問模塊,用于對云平臺內(nèi)部管理網(wǎng)絡(luò)中的存儲節(jié)點(diǎn)進(jìn)行讀寫操作;第一虛擬機(jī)控制模塊,用于對計(jì)算節(jié)點(diǎn)上已創(chuàng)建的虛擬機(jī)進(jìn)行操作控制;第一內(nèi)部通信模塊,用于完成其它管理網(wǎng)絡(luò)功能。

可選的,當(dāng)所述本端節(jié)點(diǎn)為計(jì)算節(jié)點(diǎn)時(shí),所述第一功能模塊可以為以下其中一個(gè)功能模塊:第二存儲訪問模塊,用于對云平臺內(nèi)部管理網(wǎng)絡(luò)中的存儲節(jié)點(diǎn)進(jìn)行讀寫操作;第二虛擬機(jī)控制模塊,用于配合控制節(jié)點(diǎn)完成對本端節(jié)點(diǎn)上已創(chuàng)建的虛擬機(jī)進(jìn)行的操作控制;第二內(nèi)部通信模塊,用于配合控制節(jié)點(diǎn)完成其他管理網(wǎng)絡(luò)功能。

可選的,所述裝置還可以包括:

虛擬機(jī)啟動單元,用于在本端節(jié)點(diǎn)上啟動第一虛擬機(jī);所述第一虛擬機(jī)的IP地址與所述第一功能模塊的IP地址處于同一個(gè)IP網(wǎng)段,且所述第一虛擬機(jī)與所述第一功能模塊屬于同一個(gè)VLAN;對于源地址為所述第一功能模塊的IP地址的報(bào)文,由所述第一虛擬機(jī)將該報(bào)文的源地址修改為所述第一虛擬機(jī)的IP地址,再將修改后的報(bào)文轉(zhuǎn)發(fā)給該報(bào)文的目的地址對應(yīng)的節(jié)點(diǎn);對于目的地址為所述第一虛擬機(jī)的IP地址的報(bào)文,由所述第一虛擬機(jī)將該報(bào)文轉(zhuǎn)發(fā)給所述第一功能模塊進(jìn)行處理。

可選的,所述虛擬機(jī)啟動單元,還可以用于當(dāng)所述第一虛擬機(jī)的CPU的利用率超過設(shè)定閾值時(shí),在本端節(jié)點(diǎn)上啟動新的第二虛擬機(jī),并由所述第二虛擬機(jī)接替執(zhí)行所述第一虛擬機(jī)的功能;所述第二虛擬機(jī)的IP地址不同于所述第一虛擬機(jī)的IP地址,且所述第二虛擬機(jī)的IP地址與所述第一功能模塊的IP地址處于同一個(gè)IP網(wǎng)段,且所述第二虛擬機(jī)與所述第一功能模塊屬于同一個(gè)VLAN。

可選的,所述裝置還可以包括:

虛擬交換機(jī)創(chuàng)建單元,用于在本端節(jié)點(diǎn)上創(chuàng)建虛擬交換機(jī),并在所述虛擬交換機(jī)上為所述第一功能模塊分配唯一的端口,所述虛擬交換機(jī)的出口為與云平臺內(nèi)部管理網(wǎng)絡(luò)綁定的物理網(wǎng)卡;所述第一功能模塊發(fā)出的報(bào)文通過所述端口進(jìn)入所述虛擬交換機(jī),并通過所述虛擬交換機(jī)連接的物理網(wǎng)卡進(jìn)入云平臺內(nèi)部管理網(wǎng)絡(luò)。

需要說明的是,本發(fā)明實(shí)施例中對單元的劃分是示意性的,僅僅為一種邏輯功能劃分,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式。在本申請的實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中,也可以是各個(gè)單元單獨(dú)物理存在,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn),也可以采用軟件功能單元的形式實(shí)現(xiàn)。

如圖5所示,本申請實(shí)施例還提供一種報(bào)文處理裝置,所述裝置包括通信接口501、處理器502、存儲器503和總線504;其中,通信接口501、處理器502、存儲器503通過總線504完成相互間的通信。

其中,通信接口501,用于與云平臺內(nèi)部管理網(wǎng)絡(luò)中的其它節(jié)點(diǎn)通信。處理器502可以是一個(gè)CPU,存儲器503可以是非易失性存儲器(non-volatile memory),并且存儲器503中存儲有報(bào)文處理邏輯指令,處理器502可以執(zhí)行存儲器503中存儲的報(bào)文處理邏輯指令,以實(shí)現(xiàn)圖2所示的報(bào)文處理方法,具體可參見圖2所示的流程。

以上所述僅為本申請的較佳實(shí)施例而已,并不用以限制本申請,凡在本申請的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本申請保護(hù)的范圍之內(nèi)。

當(dāng)前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1