一種云資源池中跨安全域資源共享的方法及系統(tǒng)的制作方法【專利摘要】本發(fā)明公開了一種云資源池中跨安全域資源共享的方法及系統(tǒng),其中,該方法包括:云計算資源管理平臺配置資源池,將多個網絡安全域規(guī)劃在同一個資源池中;云計算資源管理平臺采集包括服務器在內的各個網元的數據,以進行性能分析,得到資源需求;云計算資源管理平臺采取預配置的服務器安全策略,根據所述資源需求進行所述同一個資源池中的資源動態(tài)調度,以動態(tài)變更服務器的業(yè)務網絡設置及網絡安全設置,使服務器在同一資源池內跨安全域遷移,實現服務器跨安全域的動態(tài)資源共享?!緦@f明】一種云資源池中跨安全域資源共享的方法及系統(tǒng)
技術領域:
[0001]本發(fā)明涉及共享技術,尤其涉及一種云資源池中跨安全域資源共享的方法及系統(tǒng)?!?br>背景技術:
】[0002]本申請發(fā)明人在實現本申請實施例技術方案的過程中,至少發(fā)現相關技術中存在如下技術問題:[0003]在多個安全域網絡環(huán)境中,利用成熟的技術對IT基礎架構進行資源整合,要求在服務器數量大幅減少的情況下,提高計算資源的靈活共享,并盡可能地維持原有安全域環(huán)境,以滿足企業(yè)的網絡安全規(guī)范要求。對于未做虛擬化的物理服務器,常規(guī)的思路是:為服務器添加盡可能多的網卡,以滿足多個網絡安全域的接入需要。而服務器網卡擴展能力比較有限,因此目前常見的設計方法是:[0004]方案1、對于安全性要求比較高的應用系統(tǒng),著重考慮安全性的要求,分別為相應安全域規(guī)劃獨立的資源池,以獨立資源池的方式來構造,從如圖1所示的獨立安全域與資源池的構造示意圖可以看出:是以一個資源池對應一個安全域,更好地為計算資源及應用環(huán)境的安全性提供保障。[0005]方案2、對于安全性要求一般的應用系統(tǒng),著重考慮計算資源的靈活共享要求,可將原有的多個安全域整合為一個大的安全域,同時規(guī)劃一個大的資源池,從如圖2所示的整合安全域與資源池的構造示意圖可以看出:是以一個大的資源池對應一個大的安全域,更好地實現計算資源的靈活共享和動態(tài)迀移。[0006]通過對上述方案的分析可知,現有技術存在的缺點為:傳統(tǒng)思路下進行IT基礎架構整合,安全與資源利用率之間必須做出選擇。對安全性要求高的應用系統(tǒng)適用于"獨立安全域與資源池"方式,維持原有安全規(guī)范的要求可以得到保障,但這種方式使不同安全域之間的資源無法實現共享,資源利用率比較低;對安全性要求一般的應用系統(tǒng)適用于"整合安全域與資源池"方式,資源池內的物理服務器資源可以實現有限范圍內資源共享,但所有應用部署在一個大的安全域內,應用系統(tǒng)的安全性較整合前將會有所降低。[0007]如果簡單的采用"一個資源池對應多個安全域"的接入方式,將增大后期的運維工作量和風險。比如,計算資源需要從安全域1變更到安全域2,將面臨機房空間(準備與搬迀)、電力、跳線、網絡配置更新、系統(tǒng)重新部署等變更工作,且對資源的手工簡單調整在一個整合集中式環(huán)境中無疑是一個巨大的風險點。[0008]綜上所述,現有的跨安全域技術只能實現跨安全域的訪問,但無法實現物理服務器資源的跨安全域動態(tài)迀移,所以存在安全與資源利用率之間無法兼得的局限?!?br/>發(fā)明內容】[0009]有鑒于此,本發(fā)明實施例希望提供一種云資源池中跨安全域資源共享的方法及系統(tǒng),至少解決了現有技術存在的問題。[0010]本發(fā)明實施例的技術方案是這樣實現的:[0011]本發(fā)明實施例的一種云資源池中跨安全域資源共享的方法,該方法包括:[0012]云計算資源管理平臺配置資源池,將多個網絡安全域規(guī)劃在同一個資源池中;[0013]云計算資源管理平臺采集包括服務器在內的各個網元的數據,以進行性能分析,得到資源需求;[0014]云計算資源管理平臺采取預配置的服務器安全策略,根據所述資源需求進行所述同一個資源池中的資源動態(tài)調度,以動態(tài)變更服務器的業(yè)務網絡設置及網絡安全設置,使服務器在同一資源池內跨安全域迀移,實現服務器跨安全域的動態(tài)資源共享。[0015]上述方案中,所述云計算資源管理平臺采取預配置的服務器安全策略,根據所述資源需求進行所述同一個資源池中的資源動態(tài)調度,以動態(tài)變更服務器的業(yè)務網絡設置及網絡安全設置,包括:[0016]云計算資源管理平臺根據資源需求進行調度時進行判斷,得到判斷結果;[0017]如果所述判斷結果為能回收符合所述資源需求的服務器資源,則由所述云計算資源管理平臺重新配置;[0018]如果所述判斷結果為不能回收符合所述資源需求的服務器資源,則所述云計算資源管理平臺處于回收輪詢狀態(tài),直到回收到所述資源需求的服務器資源后重新分配。[0019]上述方案中,所述云計算資源管理平臺采取預配置的服務器安全策略,根據所述資源需求進行所述同一個資源池中的資源動態(tài)調度,以動態(tài)變更服務器的業(yè)務網絡設置及網絡安全設置,還進一步包括:[0020]云計算資源管理平臺根據資源調度結果,確認需要動態(tài)共享調整的服務器集合;[0021]云計算資源管理平臺根據對應所述資源需求的安全域,動態(tài)配置所述服務器集合中服務器的網絡IP配置及網絡安全策略,并調用至少包括IPtables的網元進行網絡安全控制。[0022]上述方案中,所云計算資源管理平臺配置資源池,包括:[0023]將所述資源池劃分為預設固定資源和可調動態(tài)資源;[0024]所述預設固定資源為:根據系統(tǒng)架構規(guī)劃而預先配置好資源,不需要進行更改;[0025]所述可調動態(tài)資源為:基于資源的實際使用情況,根據業(yè)務計算需要進行動態(tài)調度的資源。[0026]上述方案中,所述方法還包括:[0027]通過將所述資源池的業(yè)務網與管理網分別從服務器的不同網絡端口接入不同的交換機,將所述資源池在業(yè)務網與管理網上實現物理上的相互獨立,從物理層面上實現了完全的隔離;[0028]所述管理網為所述資源池提供管理服務;所述業(yè)務網為所述資源池上各服務器對外提供服務的網絡,承載各個業(yè)務系統(tǒng)的數據。[0029]上述方案中,所述可調動態(tài)資源包括:[0030]服務器安全策略、業(yè)務IP地址和業(yè)務網絡VLAN;[0031]所述方法還包括:[0032]在所述服務器上根據運行的業(yè)務,基于所述服務器安全策略,執(zhí)行所述管理網與所述業(yè)務網之間的隔離,從物理層面上實現不可互訪;[0033]在所述交換機上,通過所述業(yè)務網絡VLAN的方式從邏輯層面上隔離不同安全域的數據,且使交換機與防火墻上的端口物理隔離,實現二層網絡隔離。[0034]上述方案中,所述根據所述分析結果進行所述同一個資源池中的資源動態(tài)調度,使服務器在同一資源池內跨安全域迀移,實現服務器跨安全域的動態(tài)資源共享,包括:[0035]獲取所述同一資源池中當前安全域資源申請,根據所述分析結果得到當前可供調度的所述可調動態(tài)資源;[0036]通過所述可調動態(tài)資源來實現對服務器跨安全域的資源共享。[0037]上述方案中,所述通過所述可調動態(tài)資源來實現對服務器跨安全域的資源共享,包括:[0038]所述第一服務器集合中的至少一個服務器初始工作于所述業(yè)務網中的第一安全域;[0039]當檢測到所述第一服務器集合中有服務器取消與第一安全域的關聯(lián)并從所述第一安全域中釋放出來,處于空閑狀態(tài)時,將所述服務器確定為閑置服務器,通過所述閑置服務器構成第二服務器集合;[0040]獲取第二安全域的資源申請或第二安全域至第j安全域的資源申請,所述云計算資源管理平臺調度所述第二服務器集合中的閑置服務器與所述第二安全域或所述第二安全域至第j安全域進行對應關聯(lián),使所述第二服務器集合中的閑置服務器工作于所述第二安全域或所述第二安全域至第j安全域,以實現對服務器跨安全域的資源共享。[0041]本發(fā)明實施例的一種云資源池中跨安全域資源共享的系統(tǒng),該系統(tǒng)包括:[0042]云計算資源池管理平臺,用于配置資源池,將多個網絡安全域規(guī)劃在同一個資源池中;采集包括服務器在內的各個網元的數據,以進行性能分析,得到資源需求;采取預配置的服務器安全策略,根據所述資源需求進行所述同一個資源池中的資源動態(tài)調度,以動態(tài)變更服務器的業(yè)務網絡設置及網絡安全設置,使服務器在同一資源池內跨安全域迀移,實現服務器跨安全域的動態(tài)資源共享;[0043]所述服務器,用于接受所述云計算資源池管理平臺的動態(tài)調度,以在同一資源池內跨安全域迀移,實現跨安全域的動態(tài)資源共享。[0044]上述方案中,所述云計算資源管理平臺,進一步用于根據資源需求進行調度時進行判斷,得到判斷結果;如果所述判斷結果為能回收符合所述資源需求的服務器資源,則由所述云計算資源管理平臺重新配置;如果所述判斷結果為不能回收符合所述資源需求的服務器資源,則所述云計算資源管理平臺處于回收輪詢狀態(tài),直到回收到所述資源需求的服務器資源后重新分配。[0045]上述方案中,所述云計算資源管理平臺,進一步用于根據資源調度結果,確認需要動態(tài)共享調整的服務器集合;根據對應所述資源需求的安全域,動態(tài)配置所述服務器集合中服務器的網絡IP配置及網絡安全策略,并調用至少包括IPtables的網元進行網絡安全控制。[0046]上述方案中,所述云計算資源管理平臺,進一步用于在所述第一服務器集合中的至少一個服務器初始工作于所述業(yè)務網中的第一安全域的情況下,當檢測到所述第一服務器集合中有服務器取消與第一安全域的關聯(lián)并從所述第一安全域中釋放出來,處于空閑狀態(tài)時,將所述服務器確定為閑置服務器,通過所述閑置服務器構成第二服務器集合;獲取第二安全域的資源申請或第二安全域至第j安全域的資源申請,所述云計算資源管理平臺調度所述第二服務器集合中的閑置服務器與所述第二安全域或所述第二安全域至第j安全域進行對應關聯(lián),使所述第二服務器集合中的閑置服務器工作于所述第二安全域或所述第二安全域至第j安全域,以實現對服務器跨安全域的資源共享。[0047]本發(fā)明實施例的云資源池中跨安全域資源共享的方法,該方法包括:云計算資源管理平臺配置資源池,將多個網絡安全域規(guī)劃在同一個資源池中;云計算資源管理平臺采集包括服務器在內的各個網元的數據,以進行性能分析,得到資源需求;云計算資源管理平臺采取預配置的服務器安全策略,根據所述資源需求進行所述同一個資源池中的資源動態(tài)調度,以動態(tài)變更服務器的業(yè)務網絡設置及網絡安全設置,使服務器在同一資源池內跨安全域迀移,實現服務器跨安全域的動態(tài)資源共享。[0048]采用本發(fā)明實施例,通過云計算資源管理平臺的調配,能進行所述同一個資源池中的資源動態(tài)調度,使服務器在同一資源池內跨安全域迀移,實現了服務器跨安全域的動態(tài)資源共享?!靖綀D說明】[0049]圖1為現有獨立安全域與資源池的構造示意圖;[0050]圖2為現有整合安全域與資源池的構造示意圖;[0051]圖3為本發(fā)明實施例的方法流程示意圖;[0052]圖4為應用本發(fā)明實施例的多安全域共享資源池場景的架構示意圖;[0053]圖5為應用本發(fā)明實施例的二層組網場景的安全隔離示意圖;[0054]圖6為應用本發(fā)明實施例的資源池邏輯組成場景的示意圖;[0055]圖7為應用本發(fā)明實施例的物理服務器動態(tài)調度場景的流程圖?!揪唧w實施方式】[0056]下面結合附圖對技術方案的實施作進一步的詳細描述。[0057]本發(fā)明實施例的一種云資源池中跨安全域資源共享的方法,如圖3所示,該方法包括:[0058]步驟101、云計算資源管理平臺配置資源池,將多個網絡安全域規(guī)劃在同一個資源池中;[0059]步驟102、云計算資源管理平臺采集包括服務器在內的各個網元的數據,以進行性能分析,得到資源需求;[0060]步驟103、云計算資源管理平臺采取預配置的服務器安全策略,根據所述資源需求進行所述同一個資源池中的資源動態(tài)調度,以動態(tài)變更服務器的業(yè)務網絡設置及網絡安全設置,使服務器在同一資源池內跨安全域迀移,實現服務器跨安全域的動態(tài)資源共享。[0061]在本發(fā)明實施例一實施方式中,所述云計算資源管理平臺采取預配置的服務器安全策略,根據所述資源需求進行所述同一個資源池中的資源動態(tài)調度,以動態(tài)變更服務器的業(yè)務網絡設置及網絡安全設置,包括:云計算資源管理平臺根據資源需求進行調度時進行判斷,得到判斷結果;如果所述判斷結果為能回收符合所述資源需求的服務器資源,則由所述云計算資源管理平臺重新配置;如果所述判斷結果為不能回收符合所述資源需求的服務器資源,則所述云計算資源管理平臺處于回收輪詢狀態(tài),直到回收到所述資源需求的服務器資源后重新分配。[0062]在本發(fā)明實施例一實施方式中,所述云計算資源管理平臺采取預配置的服務器安全策略,根據所述資源需求進行所述同一個資源池中的資源動態(tài)調度,以動態(tài)變更服務器的業(yè)務網絡設置及網絡安全設置,還進一步包括:云計算資源管理平臺根據資源調度結果,確認需要動態(tài)共享調整的服務器集合;云計算資源管理平臺根據對應所述資源需求的安全域,動態(tài)配置所述服務器集合中服務器的網絡IP配置及網絡安全策略,并調用至少包括IPtables的網元進行網絡安全控制。[0063]在本發(fā)明實施例一實施方式中,所云計算資源管理平臺配置資源池,包括:[0064]將所述資源池劃分為預設固定資源和可調動態(tài)資源;[0065]所述預設固定資源為:根據系統(tǒng)架構規(guī)劃而預先配置好資源,不需要進行更改;[0066]所述可調動態(tài)資源為:基于資源的實際使用情況,根據業(yè)務計算需要進行動態(tài)調度的資源。[0067]在本發(fā)明實施例一實施方式中,所述方法還包括:通過將所述資源池的業(yè)務網與管理網分別從服務器的不同網絡端口接入不同的交換機,將所述資源池在業(yè)務網與管理網上實現物理上的相互獨立,從物理層面上實現了完全的隔離。[0068]其中,所述管理網為所述資源池提供管理服務;所述業(yè)務網為所述資源池上各服務器對外提供服務的網絡,承載各個業(yè)務系統(tǒng)的數據。[0069]在本發(fā)明實施例一實施方式中,所述可調動態(tài)資源包括:服務器安全策略、業(yè)務IP地址和業(yè)務網絡VLAN;[0070]所述方法還包括:在所述服務器上根據運行的業(yè)務,基于所述服務器安全策略,執(zhí)行所述管理網與所述業(yè)務網之間的隔離,從物理層面上實現不可互訪;在所述交換機上,通過所述業(yè)務網絡VLAN的方式從邏輯層面上隔離不同安全域的數據,且使交換機與防火墻上的端口物理隔離,實現二層網絡隔離。[0071]在本發(fā)明實施例一實施方式中,所述根據所述分析結果進行所述同一個資源池中的資源動態(tài)調度,使服務器在同一資源池內跨安全域迀移,實現服務器跨安全域的動態(tài)資源共享,包括:獲取所述同一資源池中當前安全域資源申請,根據所述分析結果得到當前可供調度的所述可調動態(tài)資源;通過所述可調動態(tài)資源來實現對服務器跨安全域的資源共享。[0072]在本發(fā)明實施例一實施方式中,所述通過所述可調動態(tài)資源來實現對服務器跨安全域的資源共享,包括:[0073]al、所述第一服務器集合中的至少一個服務器初始工作于所述業(yè)務網中的第一安全域;[0074]a2、當檢測到所述第一服務器集合中有服務器取消與第一安全域的關聯(lián)并從所述第一安全域中釋放出來,處于空閑狀態(tài)時,將所述服務器確定為閑置服務器,通過所述閑置服務器構成第二服務器集合;[0075]a3、獲取第二安全域的資源申請或第二安全域至第j安全域的資源申請,所述云計算資源管理平臺調度所述第二服務器集合中的閑置服務器與所述第二安全域或所述第二安全域至第j安全域進行對應關聯(lián),使所述第二服務器集合中的閑置服務器工作于所述第二安全域或所述第二安全域至第j安全域,以實現對服務器跨安全域的資源共享。[0076]本發(fā)明實施例的一種云資源池中跨安全域資源共享的系統(tǒng),該系統(tǒng)包括:云計算資源池管理平臺和服務器,其中,云計算資源池管理平臺用于配置資源池,將多個網絡安全域規(guī)劃在同一個資源池中;采集包括服務器在內的各個網元的數據,以進行性能分析,得到資源需求;采取預配置的服務器安全策略,根據所述資源需求進行所述同一個資源池中的資源動態(tài)調度,以動態(tài)變更服務器的業(yè)務網絡設置及網絡安全設置,使服務器在同一資源池內跨安全域迀移,實現服務器跨安全域的動態(tài)資源共享享;所述服務器用于接受所述云計算資源池管理平臺的動態(tài)調度,以在同一資源池內跨安全域迀移,實現跨安全域的動態(tài)資源共早。[0077]在本發(fā)明實施例一實施方式中,所述云計算資源管理平臺,進一步用于根據資源需求進行調度時進行判斷,得到判斷結果;如果所述判斷結果為能回收符合所述資源需求的服務器資源,則由所述云計算資源管理平臺重新配置;如果所述判斷結果為不能回收符合所述資源需求的服務器資源,則所述云計算資源管理平臺處于回收輪詢狀態(tài),直到回收到所述資源需求的服務器資源后重新分配。[0078]在本發(fā)明實施例一實施方式中,所述云計算資源管理平臺,進一步用于根據資源調度結果,確認需要動態(tài)共享調整的服務器集合;根據對應所述資源需求的安全域,動態(tài)配置所述服務器集合中服務器的網絡IP配置及網絡安全策略,并調用至少包括IPtables的網元進行網絡安全控制。[0079]在本發(fā)明實施例一實施方式中,所云計算資源管理平臺,進一步用于配置資源池時,將所述資源池劃分為預設固定資源和可調動態(tài)資源;[0080]其中,所述預設固定資源為:根據系統(tǒng)架構規(guī)劃而預先配置好資源,不需要進行更改;所述可調動態(tài)資源為:基于資源的實際使用情況,根據業(yè)務計算需要進行動態(tài)調度的資源。[0081]在本發(fā)明實施例一實施方式中,所述系統(tǒng)還包括:管理網和業(yè)務網;[0082]所述管理網,用于為所述資源池提供管理服務,所述云計算資源池管理平臺位于所述管理網;所述業(yè)務網,用于為所述資源池上各服務器對外提供服務的網絡,承載各個業(yè)務系統(tǒng)的數據;所述多個網絡安全域和所述資源池位于所述業(yè)務網;[0083]所述云計算資源池管理平臺,進一步用于通過所述管理網實現對資源池的調度管理,通過將所述資源池的業(yè)務網與管理網分別從服務器的不同網絡端口接入不同的交換機,將所述資源池在業(yè)務網與管理網上實現物理上的相互獨立,從物理層面上實現了完全的隔離。[0084]在本發(fā)明實施例一實施方式中,所述可調動態(tài)資源包括:服務器安全策略、業(yè)務IP地址和業(yè)務網絡VLAN;[0085]所述云計算資源池管理平臺,進一步用于控制在所述服務器上根據運行的業(yè)務,基于所述服務器安全策略,執(zhí)行所述管理網與所述業(yè)務網之間的隔離,從物理層面上實現不可互訪;[0086]以及,控制在所述交換機上,通過所述業(yè)務網絡VLAN的方式從邏輯層面上隔離不同安全域的數據,且使交換機與防火墻上的端口物理隔離,實現二層網絡隔離。[0087]在本發(fā)明實施例一實施方式中,所述云計算資源池管理平臺,進一步用于獲取所述同一資源池中當前安全域資源申請,根據所述分析結果得到當前可供調度的所述可調動態(tài)資源;通過所述可調動態(tài)資源來實現對服務器跨安全域的資源共享。[0088]在本發(fā)明實施例一實施方式中,所述云計算資源池管理平臺,進一步用于在所述第一服務器集合中的至少一個服務器初始工作于所述業(yè)務網中的第一安全域的情況下,當檢測到所述第一服務器集合中有服務器取消與第一安全域的關聯(lián)并從所述第一安全域中釋放出來,處于空閑狀態(tài)時,將所述服務器確定為閑置服務器,通過所述閑置服務器構成第二服務器集合;獲取第二安全域的資源申請或第二安全域至第j安全域的資源申請,所述云計算資源管理平臺調度所述第二服務器集合中的閑置服務器與所述第二安全域或所述第二安全域至第j安全域進行對應關聯(lián),使所述第二服務器集合中的閑置服務器工作于所述第二安全域或所述第二安全域至第j安全域,以實現對服務器跨安全域的資源共享。[0089]以下對應用本發(fā)明實施例的應用場景描述如下:[0090]針對X86架構機架式PC服務器的場景而言,應用本發(fā)明實施例,具體為一種云資源池中x86架構機架式PC服務器跨安全域資源共享的方案,簡單來說,是通過設備組網設計和服務器與交換機鏈接方式的調整,以云計算資源管理平臺作為管控工具,實現X86架構機架式PC服務器在同一資源池內跨安全域浮動,做到同一資源池內計算資源共享,BP:能實現X86架構機架式PC服務器資源的跨安全域動態(tài)迀移,以解決物理服務器跨安全域的動態(tài)資源共享問題,既提高資源的利用率,又能滿足網絡安全域的安全規(guī)范要求,做到既確保網絡安全,又可以同時提高資源利用率,兼顧二者的需求。[0091]具體的,采用"一個資源池內各安全域之間資源共享"的方式,即為各網絡安全域共同規(guī)劃一個大的資源池,同時利用云計算資源池管理平臺對資源池內的資源進行性能采集、分析告警和動態(tài)調度,從而靈活地實現不同安全域之間的資源共享;同時,在資源池內采用二層組網技術,實現不同安全域資源的邏輯安全隔離,從而確保現有安全域的安全邊界保持不變,主要包括以下內容:[0092]一、在物理服務器構成的云資源池中,通過對動態(tài)資源的靈活調度控制來實現物理服務器跨安全域資源共享。云資源池的業(yè)務網與管理網物理上相互獨立,管理網絡和業(yè)務網絡分別從物理主機的不同的網絡端口接入不同的物理網絡交換機,從物理層面實現了完全的隔離。其中,管理網是為云資源池的管理服務,屬于內部管理系統(tǒng),云計算資源池管理平臺位于該管理網,該管理網承載包括資源池配置管理、數據收集、資源動態(tài)調整、性能數據和告警等數據;業(yè)務網是云資源池上各應用服務器對外提供服務的網絡,承載的數據是各個業(yè)務系統(tǒng)的數據。[0093]二、核心是云計算資源池管理平臺,云計算資源管理平臺通過管理網實現對資源池的調度管理;將云資源池劃分為:預設固定資源和可調動態(tài)資源兩部分。通過對可調動態(tài)資源的靈活調度控制來實現物理服務器跨安全域資源共享,是本發(fā)明的核心技術??烧{動態(tài)資源是指需要根據資源的實際使用情況,根據業(yè)務計算需要進行動態(tài)調度的資源。通過資源的動態(tài)調度,可方便靈活地實現資源的跨安全域共享,提高資源利用率。[0094]三、動態(tài)資源主要包括:服務器安全策略、業(yè)務IP地址和業(yè)務網絡VLAN;服務器根據運行的業(yè)務,配置具體的安全策略,做到管理網絡和業(yè)務網絡之間隔離,不可互訪;在交換機上,通過VLAN方式邏輯隔離不同安全域數據,交換機與防火墻上端口物理隔離,實現真正的二層網絡隔離的跨安全域的物理服務器資源共享。[0095]圖4為應用本發(fā)明實施例的多安全域共享資源池場景的架構示意圖,該架構中主要涉及云資源池(如x86架構機架式PC服務器)、云計算資源池管理平臺、管理網、業(yè)務網以及各網絡安全域。其中,業(yè)務網與管理網相互獨立,云計算資源管理平臺位于所述管理網,并通過管理網實現對資源池的調度管理,提高管理平臺的安全性,避免受生產網業(yè)務流量的影響。多個網絡安全域(網絡安全域1-網絡安全域η)在一個云資源池中,被所述云計算資源池管理平臺所控制,動態(tài)進行資源調度。多個網絡安全域和該云資源池位于業(yè)務網。[0096]圖5為應用本發(fā)明實施例的二層組網場景的安全隔離示意圖,資源池的系統(tǒng)邏輯架構如圖5所示,具體包括物理服務器、業(yè)務網絡接口綁定設備(BOND)、交換機、管理平臺和網絡安全域(SecureZone)等部分,本發(fā)明實施例通過對邏輯架構中各組件的規(guī)劃配置和靈活調度,實現資源的跨網絡安全域資源共享和安全域的邊界安全。不同安全域服務器之間的數據流如圖5中的粗體虛線所示。[0097]圖6為應用本發(fā)明實施例的資源池邏輯組成場景的示意圖,由圖6可見,資源池邏輯組成主要包括:[0098](1)管理網絡交換機(Μ-SW):用于資源池設備與管理平臺互連;[0099](2)服務器管理端口(ethO):用于連接管理網絡;[0100](3)服務器管理IP地址:服務器與管理網絡通信用IP地址;[0101](4)服務器安全策略:控制服務器與管理網絡和業(yè)務網絡信息交互的策略,基本的安全策略原則:a、管理網絡與業(yè)務網絡之間不互通;b、服務器管理網絡只對管理平臺開放,不允許其他服務器之間通過管理網絡互通;c、服務器業(yè)務網絡只提供指定業(yè)務數據交互,不支持系統(tǒng)用戶通過業(yè)務網絡登錄服務器;d、安全策略由管理平臺動態(tài)調整;[0102](5)服務器業(yè)務IP地址:用于提供業(yè)務數據交互的IP地址,該地址由資源管理平臺根據具體業(yè)務需求動態(tài)設定,該IP地址配置在虛擬接口bondo.XXX,其中XXX表示業(yè)務IP地址所在VLAN的VLANID。[0103](6)服務器業(yè)務網絡端口綁定(bondO):業(yè)務網絡接口綁定設備,默認為bondO;[0104](7)服務器業(yè)務網絡接口:連接業(yè)務交換機的服務器網絡接口,默認為2個網絡接P;[0105](8)業(yè)務鏈路:服務器業(yè)務網絡接口與業(yè)務交換機之間的互連鏈路,該鏈路在交換機上的網絡接口,須工作在trunk模式;[0106](9)業(yè)務VLAN:業(yè)務交換機(S-SW)上的VLAN,云計算資源管理平臺將根據業(yè)務需求動態(tài)地對交換機中的VLAN進行調整;[0107](10)安全鏈路:業(yè)務交換機與防火墻之間的數據鏈路。[0108](ll)SecureZone:網絡安全域,原生產網規(guī)劃的網絡安全域,有明確的網絡安全邊界和安全規(guī)范要求,不同安全域之間通過核心交換區(qū)實現網絡互連互通。[0109]云計算資源池管理平臺通過管理網實現對資源池的調度管理的前提是:本發(fā)明實施例預先將資源池劃分為兩個部分:預設固定資源和可調動態(tài)資源。通過對其中的所述可調動態(tài)資源的靈活調度控制來實現物理服務器跨安全域資源共享,是本發(fā)明的核心,以下具體闡述:[0110]1)預設固定資源[0111]預設固定資源是指根據系統(tǒng)架構規(guī)劃,可預先配置好的資源,一般情況下這部分資源配置不需要進行更改,確保整個云計算網絡架構的穩(wěn)定、可靠和安全性。固定資源主要包括(l)M-SW、⑵服務器網絡接口、(3)服務器管理IP地址、(6)業(yè)務網絡接口綁定、(7)服務器業(yè)務網絡接口、(8)業(yè)務數據鏈路、(10)安全鏈路和(lDSecureZone等部分,其部署方式如下:[0112]第一部分:上述(1)-(2)-(7)-(8)-(10)-(11)部分,是根據資源池預先規(guī)劃互連并配置好,實現整個資源池設備之間的物理鏈路固定,同時為(2)配上IP地址(3);[0113]第二部分:上述(6)服務器業(yè)務網絡端口綁定(bondO)的bond部分,將服務器上兩個業(yè)務網絡接口進行綁定,綁定設備bindO工作模式應為4(B0NDING_0PTS="mode=4");[0114]2)可調動態(tài)資源[0115]可調動態(tài)資源是指需要根據資源的實際使用情況,根據業(yè)務計算需要進行動態(tài)調度的資源。通過資源的動態(tài)調度,可方便靈活地實現資源的跨安全域共享,提高資源利用率。動態(tài)資源主要包括:[0116]第一部分:上述(4)服務器安全策略,根據服務器上運行實際業(yè)務,由資源管理平臺對其進行動態(tài)調整;[0117]第二部分:上述(5)服務器業(yè)務IP地址,該地址由云計算資源管理平臺動態(tài)進行分配和回收,業(yè)務IP地址設置在虛擬接口bondO.XXX(XXX代表業(yè)務IP地址所在VLAN的VLANID),同時進行分配和回收的資源還包括業(yè)務網段網關;[0118]第三部分:上述(9)業(yè)務網絡VLAN,云計算資源管理平臺將根據實際情況調整交換機中的VLAN,以及與服務器互連端口所允許通過的具體VLAN流量。[0119]圖7為應用本發(fā)明實施例的物理服務器動態(tài)調度場景的流程圖,本發(fā)明實施例針對資源動態(tài)共享實現而言,是通過云計算資源池管理平臺對預設固定資源和可調動態(tài)資源的信息采用分析、資源分配、安全域網絡接入檢查、資源調度關聯(lián)等,實現計算資源跨安全域快速部署和動態(tài)分配,滿足同一資源池中各安全域的資源申請需要;同時,對空閑的資源可通過取消相應安全域的動態(tài)資源關聯(lián),進行資源釋放回收,真正實現云計算環(huán)境下資源池的靈活性和可伸縮性。結合圖7,說明跨安全域資源共享的具體流程,包括以下初始配置過程及步驟201-208的應用資源共享的過程。[0120]初始配置過程包括:待分配的物理服務器處于默認配置狀態(tài),此時服務器遠程帶外管理接口可遠程訪問,系統(tǒng)管理接口可遠程訪問;業(yè)務網絡接口上無IP地址,同時業(yè)務接口與業(yè)務交換機之間通過TRUNK接口互連,鏈路狀態(tài)為物理UP,邏輯DOWN;服務器的安全配置為只允許指定系統(tǒng)用戶(scmcc)從指定IP地址(管理網絡)通過ssh遠程登陸,其它任何用戶不允許遠程登陸,除了SSH之外,服務器不對外提供任何服務。一句話,處于待分配狀態(tài)的物理服務器,只提供受限SSH服務,無任何其它服務對外提供。[0121]步驟201,用戶向云資源池管理平臺提交物理服務器的資源需求,資源需求中包含資源數量、資源配置需求、資源用途以及資源所屬的安全域等信息,如下表1所示;[0122][0123]表1[0124]需要指出的是,表1中的網絡端口bondx.12,bondx是指業(yè)務網絡所用的網絡接口(如bondO,或者bondl),12是指具體該服務IP地址所在的vlanID。[0125]步驟202,云資源池管理平臺根據用戶的資源需求,對資源池中空閑物理服務器狀態(tài)進行匹配,如果目前資源池有足夠的閑置資源可以滿足需求,則進行步驟204,如果沒有閑置資源,則進行步驟203;[0126]這里,空閑物理服務器,可以通過管理網絡與管理平臺進行通信,但該服務器不屬于任何業(yè)務網絡安全域。本方案中所說的"跨安全域"是指跨業(yè)務網絡的安全域。舉例:某臺物理服務器一開始工作在業(yè)務網絡的安全域X中;一段時間后,該服務器被從業(yè)務網絡的安全域X中釋放出來,處于空閑狀態(tài);當業(yè)務網絡的安全域Y需要增加物理服務器時,則該服務器可以通過管理平臺使其工作在業(yè)務網絡的安全域Y中。[0127]步驟203,云資源池管理平臺根據資源需求進行調度,如果能回收足夠的物理服務器資源交給云資源池管理平臺重新配置,如果不能回收足夠的物理服務器則處于回收輪詢狀態(tài),知道回收夠的物理服務器,并將其交給資源池管理平臺重新分配。[0128]步驟204,云資源池管理平臺根據資源調度結果,確認需要動態(tài)共享調整的服務器集合A;[0129]步驟205,云資源池管理平臺根據需求的安全域,動態(tài)配置服務器集合A中物理服務器的網絡ip配置及網絡安全策略,如下表2所示;[0130][0131]表2[0132]本步驟中,首先,通過云計算資源管理平臺檢查服務器上的操作系統(tǒng)是否滿足要求,如果不滿足則調用安裝部署系統(tǒng)進行操作系統(tǒng)制備,通過用戶的申請內容,云計算資源管理平臺將進行操作系統(tǒng)管理網絡設置,包括管理IP地址和網關。接下來進行業(yè)務服務IP地址及其網關的設置。[0133]然后,云計算資源管理平臺將通過運維工具,通過下發(fā)配置文件的方式對操作系統(tǒng)進行安全設置,包括兩個部分:通用安全設置,以及針對具體業(yè)務的單獨的安全設置。這里會用到Iptables、PAM、RBAC等安全技術。[0134]針對通用安全設置而言,1)對于網絡安全方面來說,是通過IPtables工具只允許云計算資源管理平臺和跳板機允許訪問服務器的SSH服務以及ping服務器的管理IP地址,拒絕任何其它網絡流量;2)對于操作系統(tǒng)安全方面來說,是修改遠程登陸服務SSH的服務端口,將默認的TCP22端口修改為大于1024的高端口,如TCP41022端口。通過PAM,只允許用于操作系統(tǒng)管理的用戶,如osadm,能遠程登陸操作系統(tǒng),拒絕其它所有用戶登錄系統(tǒng);只允許操作系統(tǒng)管理用戶(osadm)進行用戶切換(su);對用戶的密碼強度和復雜度進行強制校驗。[0135]針對具體業(yè)務的安全設置而言,1)對于網絡安全方面來說,是通過IPtables在業(yè)務網絡上放開具體的服務端口,例如,放開業(yè)務網絡的TCP80服務;允許通過業(yè)務網絡ping通該服務器的業(yè)務IP地址;2)對于系統(tǒng)安全方面來說,是通過PAM,允許與該業(yè)務相關的操作系統(tǒng)用戶,如oracle,從跳板機通過SSH登陸系統(tǒng);限制業(yè)務相關操作系統(tǒng)用戶不能通過服務器登陸其它系統(tǒng)(由于業(yè)務需求,做了信任的服務器除外)。[0136]下表3所示是管理地址為10.95.1.4的服務器(歸屬于服務器集合A),通過云管理平臺配置后的網絡安全對比:[0137][0138]表3[0139]從表3可以看出,服務器未分配之前管理網絡是可用的,而業(yè)務網絡則未做任何配置,即該服務器不屬于任何業(yè)務網絡。因此,服務器未分配之前只能與云管理平臺進行通信。服務器被分配之后,則服務器管理網絡仍然保持不變,單新增了業(yè)務網絡,從業(yè)務網絡的安全策略可以看出,業(yè)務網絡只對外提供業(yè)務信息,非業(yè)務信息無法通過業(yè)務網絡進行交互,所有的管理相關的操作必須通過管理平臺或者指定的跳板機登陸服務器進行相關操作。[0140]物理服務器跨安全域的核心就是通過云管理平臺動態(tài)變更服務器的業(yè)務網絡設置,并調用IPtables進行網絡安全控制。同時,采用PAM以及RBAC等技術進行系統(tǒng)用戶安全限制,以增強系統(tǒng)的安全性。[0141]步驟206,云資源池管理平臺部署系統(tǒng)根據需求在服務器集合A上進行業(yè)務部署,包括操作系統(tǒng)用戶的創(chuàng)建等。[0142]步驟207,云資源池管理平臺根據業(yè)務IP地址所在VLAN,在對應的交換機上進行相應設置,限制交換機互連端口上的VLAN流量,無關VLAN的流量拒絕通信。[0143]步驟208,云資源池管理平臺根據資源共享調度結果更新資源池信息,將調度的資源交付請求的用戶;[0144]至此,跨安全域資源共享的流程結束。[0145]采用本發(fā)明實施例,基于云計算資源管理平臺對x86架構機架式PC服務器與交換機之間聯(lián)動管理,以及對物理服務器網絡和操作系統(tǒng)的安全策略實施,實現了資源動態(tài)調度,相對應現有技術相比,在確保滿足現有安全域網絡架構和安全策略保持不變的同時,真正實現了在同一資源池中各安全域共享物理服務器資源。[0146]本發(fā)明實施例所述集成的模塊如果以軟件功能模塊的形式實現并作為獨立的產品銷售或使用時,也可以存儲在一個計算機可讀取存儲介質中?;谶@樣的理解,本發(fā)明實施例的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟件產品的形式體現出來,該計算機軟件產品存儲在一個存儲介質中,包括若干指令用以使得一臺計算機設備(可以是個人計算機、服務器、或者網絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分。而前述的存儲介質包括:U盤、移動硬盤、只讀存儲器(ROM,Read-OnlyMemory)、隨機存取存儲器(RAM,RandomAccessMemory)、磁碟或者光盤等各種可以存儲程序代碼的介質。這樣,本發(fā)明實施例不限制于任何特定的硬件和軟件結合。[0147]相應的,本發(fā)明實施例還提供一種計算機存儲介質,其中存儲有計算機程序,該計算機程序用于執(zhí)行本發(fā)明實施例的云資源池中跨安全域資源共享的方法。[0148]以上所述,僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍?!局鳈囗棥?.一種云資源池中跨安全域資源共享的方法,其特征在于,該方法包括:云計算資源管理平臺配置資源池,將多個網絡安全域規(guī)劃在同一個資源池中;云計算資源管理平臺采集包括服務器在內的各個網元的數據,以進行性能分析,得到資源需求;云計算資源管理平臺采取預配置的服務器安全策略,根據所述資源需求進行所述同一個資源池中的資源動態(tài)調度,以動態(tài)變更服務器的業(yè)務網絡設置及網絡安全設置,使服務器在同一資源池內跨安全域迀移,實現服務器跨安全域的動態(tài)資源共享。2.根據權利要求1所述的方法,其特征在于,所述云計算資源管理平臺采取預配置的服務器安全策略,根據所述資源需求進行所述同一個資源池中的資源動態(tài)調度,以動態(tài)變更服務器的業(yè)務網絡設置及網絡安全設置,包括:云計算資源管理平臺根據資源需求進行調度時進行判斷,得到判斷結果;如果所述判斷結果為能回收符合所述資源需求的服務器資源,則由所述云計算資源管理平臺重新配置;如果所述判斷結果為不能回收符合所述資源需求的服務器資源,則所述云計算資源管理平臺處于回收輪詢狀態(tài),直到回收到所述資源需求的服務器資源后重新分配。3.根據權利要求2所述的方法,其特征在于,所述云計算資源管理平臺采取預配置的服務器安全策略,根據所述資源需求進行所述同一個資源池中的資源動態(tài)調度,以動態(tài)變更服務器的業(yè)務網絡設置及網絡安全設置,還進一步包括:云計算資源管理平臺根據資源調度結果,確認需要動態(tài)共享調整的服務器集合;云計算資源管理平臺根據對應所述資源需求的安全域,動態(tài)配置所述服務器集合中服務器的網絡IP配置及網絡安全策略,并調用至少包括IPtables的網元進行網絡安全控制。4.根據權利要求1至3中任一項所述的方法,其特征在于,所云計算資源管理平臺配置資源池,包括:將所述資源池劃分為預設固定資源和可調動態(tài)資源;所述預設固定資源為:根據系統(tǒng)架構規(guī)劃而預先配置好資源,不需要進行更改;所述可調動態(tài)資源為:基于資源的實際使用情況,根據業(yè)務計算需要進行動態(tài)調度的資源。5.根據權利要求1至3中任一項所述的方法,其特征在于,所述方法還包括:通過將所述資源池的業(yè)務網與管理網分別從服務器的不同網絡端口接入不同的交換機,將所述資源池在業(yè)務網與管理網上實現物理上的相互獨立,從物理層面上實現了完全的隔離;所述管理網為所述資源池提供管理服務;所述業(yè)務網為所述資源池上各服務器對外提供服務的網絡,承載各個業(yè)務系統(tǒng)的數據。6.根據權利要求5所述的方法,其特征在于,所述可調動態(tài)資源包括:服務器安全策略、業(yè)務IP地址和業(yè)務網絡VLAN;所述方法還包括:在所述服務器上根據運行的業(yè)務,基于所述服務器安全策略,執(zhí)行所述管理網與所述業(yè)務網之間的隔離,從物理層面上實現不可互訪;在所述交換機上,通過所述業(yè)務網絡VLAN的方式從邏輯層面上隔離不同安全域的數據,且使交換機與防火墻上的端口物理隔離,實現二層網絡隔離。7.根據權利要求6所述的方法,其特征在于,所述根據所述分析結果進行所述同一個資源池中的資源動態(tài)調度,使服務器在同一資源池內跨安全域迀移,實現服務器跨安全域的動態(tài)資源共孚,包括:獲取所述同一資源池中當前安全域資源申請,根據所述分析結果得到當前可供調度的所述可調動態(tài)資源;通過所述可調動態(tài)資源來實現對服務器跨安全域的資源共享。8.根據權利要求7所述的方法,其特征在于,所述通過所述可調動態(tài)資源來實現對服務器跨安全域的資源共享,包括:所述第一服務器集合中的至少一個服務器初始工作于所述業(yè)務網中的第一安全域;當檢測到所述第一服務器集合中有服務器取消與第一安全域的關聯(lián)并從所述第一安全域中釋放出來,處于空閑狀態(tài)時,將所述服務器確定為閑置服務器,通過所述閑置服務器構成第二服務器集合;獲取第二安全域的資源申請或第二安全域至第j安全域的資源申請,所述云計算資源管理平臺調度所述第二服務器集合中的閑置服務器與所述第二安全域或所述第二安全域至第j安全域進行對應關聯(lián),使所述第二服務器集合中的閑置服務器工作于所述第二安全域或所述第二安全域至第j安全域,以實現對服務器跨安全域的資源共享。9.一種云資源池中跨安全域資源共享的系統(tǒng),其特征在于,該系統(tǒng)包括:云計算資源池管理平臺,用于配置資源池,將多個網絡安全域規(guī)劃在同一個資源池中;采集包括服務器在內的各個網元的數據,以進行性能分析,得到資源需求;采取預配置的服務器安全策略,根據所述資源需求進行所述同一個資源池中的資源動態(tài)調度,以動態(tài)變更服務器的業(yè)務網絡設置及網絡安全設置,使服務器在同一資源池內跨安全域迀移,實現服務器跨安全域的動態(tài)資源共享;所述服務器,用于接受所述云計算資源池管理平臺的動態(tài)調度,以在同一資源池內跨安全域迀移,實現跨安全域的動態(tài)資源共享。10.根據權利要求9所述的系統(tǒng),其特征在于,所述云計算資源管理平臺,進一步用于根據資源需求進行調度時進行判斷,得到判斷結果;如果所述判斷結果為能回收符合所述資源需求的服務器資源,則由所述云計算資源管理平臺重新配置;如果所述判斷結果為不能回收符合所述資源需求的服務器資源,則所述云計算資源管理平臺處于回收輪詢狀態(tài),直到回收到所述資源需求的服務器資源后重新分配。11.根據權利要求10所述的系統(tǒng),其特征在于,所述云計算資源管理平臺,進一步用于根據資源調度結果,確認需要動態(tài)共享調整的服務器集合;根據對應所述資源需求的安全域,動態(tài)配置所述服務器集合中服務器的網絡IP配置及網絡安全策略,并調用至少包括IPtables的網元進行網絡安全控制。12.根據權利要求10所述的系統(tǒng),其特征在于,所述云計算資源管理平臺,進一步用于在所述第一服務器集合中的至少一個服務器初始工作于所述業(yè)務網中的第一安全域的情況下,當檢測到所述第一服務器集合中有服務器取消與第一安全域的關聯(lián)并從所述第一安全域中釋放出來,處于空閑狀態(tài)時,將所述服務器確定為閑置服務器,通過所述閑置服務器構成第二服務器集合;獲取第二安全域的資源申請或第二安全域至第j安全域的資源申請,所述云計算資源管理平臺調度所述第二服務器集合中的閑置服務器與所述第二安全域或所述第二安全域至第j安全域進行對應關聯(lián),使所述第二服務器集合中的閑置服務器工作于所述第二安全域或所述第二安全域至第j安全域,以實現對服務器跨安全域的資源共享?!疚臋n編號】H04L12/867GK105991738SQ201510089965【公開日】2016年10月5日【申請日】2015年2月27日【發(fā)明人】何淼,劉三蘇,梁宇【申請人】中國移動通信集團四川有限公司