一种基于Openflow的私有云网络动态安全隔离系统及其隔离方法
【技术领域】
[0001] 本发明设及云计算安全技术领域,特别是一种基于化enflow的私有云网络动态 安全隔离系统及其隔离方法。
【背景技术】
[0002] 随着云计算模式的流行,许多机构希望建设私有云,私有云的建设无疑为IT部口 带来了诸多好处;如可W实现信息资源的集中管理、IT基础设施能够得到更高效的利用 等。但是在带来运些优点的同时,由于私有云会对网络架构进行一些调整,因此也会产生一 些新的问题,主要体现在W下几点:
[0003] 1)计算资源的集中部署使得安全隔离的问题日益凸显。首先,在内网中,不同类 型的应用(例如业务应用、财务应用和人事应用等)彼此之间应当保证一定程度的隔离,W 避免不同种类的信息产生混淆。但是云计算的一大特征是将计算资源虚拟化为细粒度的资 源池,运使得传统的隔离手段或粒度过于粗放(如基于主机的隔离),或不够灵活(如基于 VLAN的隔离)。
[0004] 2)当虚拟服务器需要在不同的物理服务器之间进行迁移时,VLAN配置会随之丢 失,造成隔离失效。 阳0化]化enf low(简写OV巧是一种将网络设备的数据平面值ata-Panel)和控制平 面(Control Panel)相分离的技术,使用逻辑上的控制器(Controller)对整个网络进行 管理,提高了网络管理的灵活性,降低了网络维护的复杂度。化enflow是SDN(Software Defined化twork,软件定义网络)的代表技术之一,甚至在一定程度上被认为与SDN技术 等价,化enf low和SDN技术被建议在未来的企业私有云和云平台的建设中采用,来优化云 内部的虚拟网络。
【发明内容】
[0006] 本发明解决的技术问题之一在于提供基于化enflow的私有云网络动态安全隔离 系统,解决传统隔离方法隔离粒度过粗、不灵活的问题。
[0007] 本发明解决的技术问题之二在于提供基于化enflow的私有云网络动态安全隔离 方法,解决传统隔离方法隔离粒度过粗、不灵活的问题。
[0008] 本发明解决上述技术问题之一的技术方案:
[0009] 所述的系统包括虚拟机运行平台、虚拟化的用户操作平台、虚拟网络连接平台;
[0010] 所述的虚拟机运行平台,用于运行虚拟机W承载不同类型的应用,允许应用的虚 拟机在物理机上随机分布;
[0011] 所述的虚拟化的用户操作平台,用于用户使用不同的终端对后端的应用服务进行 访问;
[0012] 所述的虚拟网络连接平台,用于使用化enflow技术对私有云网络按需进行隔离 和动态调整。
[0013] 所述虚拟机运行平台运行私有云的内网应用,不同类型的应用按照私有云平台的 资源分配原则被随机地分配到物理服务器上;同一应用的虚拟机既可W运行在同一台物理 服务器上,也可W运行在不同的物理服务器上;同一台物理服务器上既可W运行一个应用 的虚拟机,也可W运行不同应用的虚拟机。
[0014] 所述虚拟网络连接平台使用化enflow技术对虚拟网络进行控制,实现使用软件 方式对虚拟网络进行快速调整,满足私有云对网络的动态需求。
[0015] 本发明解决上述技术问题之二的技术方案:
[0016] 所述方法是在物理服务器与物理服务器之间的链路采用现有的交换机进行连接; 包括承载不同应用的虚拟机在内的不同的虚拟平台问采用虚拟交换机OVS进行连接,实现 网络中对化enflow的支持;用于管理OVS交换机来控制虚拟服务器(组)之间隔离的控制 器与各台物理服务器相独立,并与物理服务器之间使用化enflow协议进行通信;用于管理 从虚拟桌面终端到虚拟机之间的访问控制的应用监视器在逻辑上与控制器相结合。
[0017] 所述控制器用于对各虚拟交换机进行管理,可W在控制器上为其管理的OVS交换 机上的端口远程添加/删除/修改VLAN-TAG。
[0018] 所述控制器在虚拟机在物理之间迁移是在控制器上将原OVS端口的VLAN-TAG删 除,而在现OVS端口上添加对应的VLAN-TAG。
[0019] 本发明的有益效果:
[0020] 1、本发明的系统和方法是一种小粒度的、灵活的虚拟网络管理方法,能构建有效 的、动态的虚拟化网络;
[0021] 2、本发明是一种安全的虚拟网络管理方法,由于控制器中集中控制整个虚拟网络 的信息,本发明能确保访问控制机制对实施访问的主体(虚拟桌面或其他终端)和客体 (虚拟服务器)来说是透明的,避免访问控制机遭到篡改。
[0022] 本发明结合化enflow技术对私有云网络进行设计,解决传统隔离方法隔离粒度 过粗、不灵活的问题,提出一种动态安全隔离的系统和方法。
【附图说明】
[0023] 下面结合附图对本发明进一步说明:
[0024] 图1为本发明系统结构图。
【具体实施方式】
[0025] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[00%] 首先按照图1所示进行物理服务器、虚拟机和OVS交换机的部署。
[0027] 虚拟服务器之间的隔离通过基于动态安装流的访问控制实现。分别为图中标记为 APP1、APP2、APP3的虚拟机添加不同的VLAN-TAG。
[0028] root感ub阳肋-讯巧:~留QVS-V瓣1:1.S娩Porttap!切n)〇t(@ubun1;u-ovs:~#ovs-VSCtlshow 11c8ea12-ab45-7653-a8741 -巧87b8246ad Bridge"ovsbrO" Port"ovsbrCr 拉抢渝携"ovsbrO"iype;internal Port"tapr#为APP2 添加 2 的VLAN-TAG tag: 2 In化rface"tapI" :pQrt"ovsbrOpr In化il'ace"ovsbrOpI"type:internal
[0029] 齡巧嘴诚,, In化计ace"e出()'' Port"tapO" #为APPl添加 1 的VLAN-TAGtag. 1 虹愤:技战心;卿0的 〇¥s_version; "1.4.6''rootf嫂ubunixi-ovs:~冉 添加VLAN-TAG后测试APPl和APP2的连通性APPh (?:\[)0技11放6田ts:过11过.S后地;n答s\iVdi沮虹is:trator>p:iiigI.0..0.0 22 Pinging!0.0.0.22with32bytesofdata: ReplyfromlO.Q.0.22:bytes=32 TTL=128 .Replyfrom10.0.0.22:by1;es=32tirnecImsTTL=:.OS民ejpiyfrom10.0.0.22:by1;es二32time<lmsTTL二 12S 民eplyfrom10.0.0.22:b>'tes=32time<ImsTTL= 12S 於打装statis垃傑份r10.0.0.22: Packets:Send:= 4,Received= 4、Lost:= 0 (0%Loss),Approximateroundtriptimesinmilli-seconds: Mininum0msMaxinum二 0ms,Average二 0ms
[0030] C:'\Docuroe如S孤idSett虹gs\A;dm虹i.说rator>p'ing10..0,0.22Pinging10,0.0,22whh32bytesofdal;a: Requesttimedout. Requesttimedout. Requesttimedout. APP2: C:\DocumentsandSettings\Administrator>ping10.0.0.2 Pinging10.0.0.2with32bytesofdata: 民epiyfrom!0.0.0.2:by化S二32time<lmsTTL二 12S Replyfroml0.0.0.2:byt:es=^time<lmsTTL^128 Re_p]yfrom10.0.0.2:byl;es二32time<lmsTTL二12S 艮eplyfrom10.0.0.2:byl;es=32time<lmsTTL= 128 Pingstatisticsfor10.0.0.2; Packets:Send二 4,Received二-4,Lost= 0 (0%Loss),Appro姑描姐eroundtripti風民Smm出i-seconds::..
[0031] Minimim=OmSsMaximiin= 0ms,Average=Oms C:\DocumentsandSe!:tiiigs\Administrator>ping10.0.0.2 Pinging10.0.0.2with32byksofdaia: Requesttimedout. Requesttimedout. Requesttimedout. 阳03引可W看到,在添加VLAN-TAG后,原来可W相互通f目的两台虚拟机APPl和APP2无 法正常通信,证实了虚拟机之间隔离的有效性。
【主权项】
1. 一种基于openflow的私有云网络动态安全隔离系统,其特征在于:所述的系统包括 虚拟机运行平台、虚拟化的用户操作平台、虚拟网络连接平台; 所述的虚拟机运行平台,用于运行虚拟机以承载不同类型的应用,允许应用的虚拟机 在物理机上随机分布; 所述的虚拟化的用户操作平台,用于用户使用不同的终端对后端的应用服务进行访 问; 所述的虚拟网络连接平台,用于使用Openflow技术对私有云网络按需进行隔离和动 态调整。2. 根据权利要求1所述一种基于Openflow的私有云网络动态安全隔离系统,其特征在 于:所述虚拟机运行平台运行私有云的内网应用,不同类型的应用按照私有云平台的资源 分配原则被随机地分配到物理服务器上;同一应用的虚拟机既可以运行在同一台物理服务 器上,也可以运行在不同的物理服务器上;同一台物理服务器上既可以运行一个应用的虚 拟机,也可以运行不同应用的虚拟机。3. 根据权利要求1所述一种基于Openflow的私有云网络动态安全隔离系统,其特征在 于,所述虚拟网络连接平台使用Openflow技术对虚拟网络进行控制,实现使用软件方式对 虚拟网络进行快速调整,满足私有云对网络的动态需求。4. 根据权利要求2所述一种基于Openflow的私有云网络动态安全隔离系统,其特征在 于,所述虚拟网络连接平台使用Openflow技术对虚拟网络进行控制,实现使用软件方式对 虚拟网络进行快速调整,满足私有云对网络的动态需求。5. 权利要求1至4任一项所述的基于Openflow的私有云网络动态安全隔离系统的隔 离方法,其特征在于:所述方法是在物理服务器与物理服务器之间的链路采用现有的交换 机进行连接;包括承载不同应用的虚拟机在内的不同的虚拟平台间采用虚拟交换机0VS进 行连接,实现网络中对Openflow的支持;用于管理0VS交换机来控制虚拟服务器(组)之 间隔离的控制器与各台物理服务器相独立,并与物理服务器之间使用Openflow协议进行 通信;用于管理从虚拟桌面终端到虚拟机之间的访问控制的应用监视器在逻辑上与控制器 相结合。6. 根据权利要求5所述的方法,其特征在于,所述控制器用于对各虚拟交换机进行管 理,可以在控制器上为其管理的0VS交换机上的端口远程添加/删除/修改VLAN-TAG。7. 根据权利要求6所述的方法,其特征在于,所述控制器在虚拟机在物理之间迀移是 在控制器上将原0VS端口的VLAN-TAG删除,而在现0VS端口上添加对应的VLAN-TAG。
【专利摘要】本发明涉及云计算安全技术领域,特别是一种基于Openflow的私有云网络动态安全隔离系统及其隔离方法。本发迷宫系统包括:虚拟机运行平台、虚拟化的用户操作平台、虚拟网络连接平台。虚拟机运行平台用于运行虚拟机以承载不同类型的应用,允许应用的虚拟机在物理机上随机分布;虚拟化的用户操作平台用于用户使用不同的终端对后端的应用服务进行访问;虚拟网络连接平台用于使用Openflow技术对私有云网络按需进行隔离和动态调整。本发明结合Openflow技术对私有云网络进行设计,解决传统隔离方法隔离粒度过粗、不灵活的问题,提出一种动态安全隔离的系统和方法;可以用于私有云网络动态安全隔离。
【IPC分类】H04L12/46, H04L29/06
【公开号】CN105429995
【申请号】CN201510939692
【发明人】莫展鹏, 杨松, 季统凯
【申请人】国云科技股份有限公司
【公开日】2016年3月23日
【申请日】2015年12月15日