功能服务管理方法及装置与流程

本发明涉及网络通信领域，具体而言，涉及一种功能服务管理方法及装置。

背景技术：

在网络环境中，包含各种各样的网络功能服务，如防火墙、入侵检测、WAF、负载均衡等等网络功能。而传统网络中的网络功能服务存在诸多问题：网络功能服务只能为用户提供专属服务，例如一个防火墙接入了一个子网以后，这个防火墙就无法为其他的子网进行服务，除非改变网络的结构和配置，所以就产生了网络功能服务链的概念。而所谓服务链，即将这些特定的网络应用功能按照业务逻辑有序的组合起来，让业务网络流量通过这些网络服务功能，为业务提供安全、可靠、稳定的服务，从而形成网络功能服务链。而传统的网络功能服务链是通过堆砌硬件网络功能服务设备的方式实现服务链，从而使得业务与网络拓扑紧密耦合，且部署、维护复杂；传统的网络功能服务链没有充分考虑到当前许多功能服务是以软件的形态存在的，即其不能很好的将基于软件的、虚拟机的、硬件的功能服务在一个资源池内灵活调度；在服务链变更、扩容时，都需变动网络拓扑、重新配置网络设备；大量硬件堆砌导致投入成本和运维成本大大增加；同时传统网络功能服务链也无法满足动态性、高流动性、规模易变化的云化业务系统。

技术实现要素：

有鉴于此，本发明的目的是提供一种功能服务管理方法及装置，使得业务流量可以井然有序、安全高效的调度到规划的功能服务节点上。

本发明实施方式中提供的一种功能服务管理装置，包括资源池建立模块、编排模块、服务链构建模块、数据流拾取模块、着色模块、导入模块。资源池建立模块用于构建一个服务功能资源池；编排模块用于依据用户需求从服务功能资源池中选择至少一个功能服务节点；服务链构建模块用于依据选择的所述功能服务节点构建服务链；数据流拾取模块设定所述服务链的颗粒度，所述颗粒度为进入所述服务链的数据的选择标准；着色模块用于接收匹配所述颗粒度的数据流，并对所述数据流进行着色；导入模块用于将着色的所述数据流导入到所述服务链。

优选地，所述功能服务节点包括虚拟服务节点和/或物理服务节点。

优选地，所述服务链构建模块还用于：设定连接所述功能服务节点的物理端口；设定所述功能服务节点的工作模式和配置参数。

优选地，所述着色的所述数据流包括所述网络中的唯一标示，所述唯一标示可用于对所述数据流进行区分、监控和管理。

优选地，所述服务链构建模块还应用于在数据流进入所述选中的功能服务节点前或/和后增加流量监控探针，还根据每个所述功能服务节点的配置要求和特点对所述数据流进入该功能服务节点前和离开此功能服务节点后进行相应的修改以使得其与服务功能配合并达到正常的工作效果。

本发明又一实施方式中提供的一种功能服务管理方法，该方法包括：构建一个服务功能资源池；依据用户需求从服务功能资源池中选择至少一个功能服务节点；依据选择的所述功能服务节点构建服务链；设定所述服务链的颗粒度，所述颗粒度为进入所述服务链的数据的选择标准；接收匹配所述颗粒度的数据流，并对所述数据流进行着色；将着色的所述数据流导入到所述服务链。

优选地，所述功能服务节点包括虚拟服务节点和/或物理服务节点。

优选地，所述依据所述功能服务节点构建服务链的步骤还包括：设定连接所述功能服务节点的物理端口；设定所述功能服务节点的工作模式和配置参数。

优选地，所述着色的所述数据流包括所述网络中的唯一标示，所述唯一标示可用于对所述数据流进行区分、监控和管理。

优选地，所述方法还包括：在数据流进入所述选中的功能服务节点前或/和后增加流量监控探针，并根据每个所述功能服务节点的配置要求和特点对所述数据流进入该功能服务节点前和离开此功能服务节点后进行相应的修改以使得其与服务功能配合并达到正常的工作效果。

上述功能服务管理方法及装置，可以使得业务流量可以井然有序、安全高效的调度到规划的功能服务节点上，同时提高了网络资源利用率。

以下结合附图和具体实施例对本发明进行详细描述，但不作为对本发明的限定。

附图说明

图1为本发明一种功能服务管理装置10一实施方式的应用环境图。

图2为本发明一种功能服务管理装置10一实施方式的功能模块图。

图3为本发明一实施方式中用户需求的示意图。

图4为本发明一种功能服务管理装置10又一实施方式的功能模块图。

图5为本发明一种功能服务管理方法一实施方式的流程图。

主要元件符号说明

功能服务管理装置 10

SDN控制器 1

SDN网络 2

功能服务资源池 3

被访问的业务系统 4

访问源所在的网络 5

资源池建立模块 100

编排模块 102

服务链构建模块 104

数据流拾取模块 106

着色模块 108

导入模块 110

存储器 112

处理器 114

如下具体实施方式将结合上述附图进一步说明本发明。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明功能服务管理装置10一实施方式的应用环境图。在本实施方式中，功能服务管理装置10位于SDN控制器1中，所述SDN控制器1连接SDN网络2及功能服务资源池3，SDN网络2还连接功能服务资源池3以及被访问的业务系统4。其中功能服务管理装置10构建的服务链依存于SDN网络2，当访问源在访问源所在的网络5向被访问的业务系统4发起业务访问请求，业务数据流可通过基于SDN网络2构建的服务链实现连通，同时可由SDN控制器1上的功能服务管理装置10进行监控、管理和调配。在本实施方式中，SDN网络2包括SDN物理网络和SDN虚拟网络中任何一种或者二者组合。

图2为本发明功能服务管理装置10一实施方式的功能模块图。在本实施方式中，功能服务管理装置10位于SDN控制器1中，包括资源池建立模块100、编排模块102、服务链构建模块104、数据流拾取模块106、着色模块108、导入模块110。

资源池建立模块100用于建立一个功能服务资源池3。在本实施方式中，功能服务资源池3的建立过程例如：将物理和虚拟的功能服务资源加入到对应的功能服务资源池中。例如防火墙服务资源池,可以将A厂家的物理防火墙和A厂家的虚拟防火墙和B厂家的虚拟防火墙加入防火墙资源池中以备构建服务链的时候选择并使用。

编排模块102用于依据用户需求从功能服务资源池中选择至少一个功能服务节点。在本实施方式中，功能服务节点可以为虚拟功能服务节点，也可以为物理功能服务节点，其中虚拟功能服务节点和物理功能服务节点指的是服务资源，诸如虚拟机、防火墙、负载均衡、IDS、WAF等等。其中所谓用户需求是例如：来自某个IP地址段且访问某一web服务器(被访问的业务系统4)的数据流需要依次经过IDS、防火墙两个服务进行攻击防护和报文安全过滤，且IDS服务需要配置一对主备模式的IDS、防火墙需要使用透明模式进行工作，从web服务器返回的数据流不需要经过所述防火墙和IDS而是直接返回到发送数据流的端口，其具体过程如图3所示。

服务链构建模块104依据选择的功能服务节点构建服务链。在本实施方式中，将所选择的功能服务节点，如防火墙、虚拟机、负载均衡、IDS、WAF等功能服务节点进行逻辑串联，进而构建一条服务链。另外，在服务链构建模块102构建服务链的过程中，服务链构建模块102还用于设定服务链对应所述功能服务节点的工作模式和配置参数，比如：1.防火墙功能是选择路由模式还是透明模式，对于路由模式的防火墙的网关地址和MAC地址如何；2.资源池中对应的两台功能服务设备(如IDS)是否为主备模式还是主主模式，对于主备模式的设备如果需要服务链构建模块主动探测主、备服务的工作状态还需要设置探测接口例如ping或其他的API接口，同时当判断主模块已经无法工作的情况下还需要自动将数据流导入到备用模块；3.如果两台功能服务设备为主主模式，则需要设置其流量负载分担规则，例如全均分模式、比例分担模式、阈值分担模式等等。另外，服务链构建模块102还用于设定连接所述功能服务节点的物理端口以便于实现数据流导入、导出该功能服务节点。

数据流拾取模块106设定所述服务链的颗粒度。在本实施方式中，所谓颗粒度为进入所述服务链的数据的选择标准，比如该颗粒度即选择标准可以为某一SDN交换机的至少一个物理端口或源MAC地址或目的MAC地址或源IP地址或目的IP地址源端口号或目的端口号，甚至亦可以是用户身份，如果使用用户身份进行颗粒度选择则需要将用户身份在用户身份认证机制中翻译成其身份对应的IP地址或MAC地址或物理端口等信息以用于数据流拾取模块106选择该数据流。

着色模块108接收匹配所述颗粒度的数据流，并对所述数据流进行着色。在本实施方式中，所谓对数据流进行着色是指针对匹配所述颗粒度的数据流本身加上本网络内的唯一标示，进而在数据流流通过程中可以对该数据流进行区分、监控和管理。

导入模块110用于将着色的所述数据流导入到所述服务链。在本实施方式中，通过将数据流导入到了上述构建完成的服务链中，进而实现了功能服务链的成功部署。

另外，上述服务链构建模块102还用于在数据流进入所述选中的功能服务节点前或/和后增加流量监控探针，进而方便流量的监控。例如将进入防火墙前的数据流量无干扰复制一份后进行图形界面显示，同时将从防火墙输出的该数据流量也进行无干扰复制并进行图形界面显示，即可比较进入防火墙前、后流量的变化等等。另外也根据每个所述功能服务节点的配置要求和特点对所述数据流进入该功能服务节点前和离开此功能服务节点后进行相应的修改以使得其达到正常的工作效果。例如当防火墙设置为路由模式的时候，需要自动的将进入防火墙之前的数据报文的MAC地址改为该防火墙的路由节点的MAC地址以使得数据通信正常进行，即为了让用户插入某个三层功能服务节点而不需要重新配置相关的路由信息且不需要经过所谓的ARP过程，则需要在报文进入该新插入节点前修改报文的目的MAC，在报文离开此新插入的节点后修改报文的源MAC地址，以实现高效、安全、低延迟、透明的加入和移除服务节点。

图4为本发明功能服务管理装置10又一实施方式的功能模块图。在本实施方式中，功能服务管理装置10不仅包括资源池建立模块100、编排模块102、服务链构建模块104、数据流拾取模块106、着色模块108、导入模块110，还包括存储器112和处理器114。其中资源池建立模块100、编排模块102、服务链构建模块104、数据流拾取模块106、着色模块108、导入模块110均为程序功能模块，以程序代码的形式存储于存储器112中，并由处理器114执行所述功能。

图5为本发明功能服务管理方法一实施方式的流程图。该方法由上述功能服务管理装置10执行，进而实现相应功能。

在步骤S500，资源池建立模块100用于建立一个功能服务资源池3。在本实施方式中，功能服务资源池3的建立过程例如：将物理和虚拟的功能服务资源,加入到对应的功能服务资源池中。例如防火墙服务资源池,可以将A厂家的物理防火墙和A厂家的虚拟防火墙和B厂家的虚拟防火墙加入防火墙资源池中以备构建服务链的时候选择并使用。

在步骤S502，编排模块102用于依据用户需求从功能服务资源池中选择至少一个功能服务节点。在本实施方式中，功能服务节点可以为虚拟功能服务节点，也可以为物理功能服务节点，其中虚拟功能服务节点和物理功能服务节点指的是服务资源，诸如虚拟机、防火墙、负载均衡、IDS、WAF等等。其中所谓用户需求是例如来自某个IP地址段且访问某一web服务器(被访问的业务系统4)的数据流需要依次经过IDS、防火墙两个服务进行攻击防护和报文安全过滤，且IDS服务需要配置一对主备模式的IDS、防火墙需要使用透明模式进行工作，从web服务器返回的数据流不需要经过所述防火墙和IDS而是直接返回到发送数据流的端口，其具体过程如图3所示。

在步骤S504，服务链构建模块104依据选择的功能服务节点构建服务链。在本实施方式中，将所选择的功能服务节点，如防火墙、虚拟机、负载均衡、IDS、WAF等功能服务节点进行逻辑串联，进而构建一条服务链。另外，在服务链构建模块102构建服务链的过程中，服务链构建模块102还用于设定服务链对应所述功能服务节点的工作模式和配置参数，比如：1.防火墙功能是选择路由模式还是透明模式，对于路由模式的防火墙的网关地址和MAC地址如何；2.资源池中对应的两台功能服务设备(如IDS)是否为主备模式还是主主模式，对于主备模式的设备如果需要服务链构建模块主动探测主、备服务的工作状态还需要设置探测接口例如ping或其他的API接口，同时当判断主模块已经无法工作的情况下还需要自动将数据流导入到备用模块；3.如果两台功能服务设备为主主模式，则需要设置其流量负载分担规则，例如全均分模式、比例分担模式、阈值分担模式等等。另外，服务链构建模块102还用于设定连接所述功能服务节点的物理端口以便于实现数据流导入、导出该功能服务节点。

在步骤S506，数据流拾取模块106设定所述服务链的颗粒度。在本实施方式中，所谓颗粒度为进入所述服务链的数据的选择标准，比如该颗粒度即选择标准可以为某一SDN交换机的至少一个物理端口或源MAC地址或目的MAC地址或源IP地址或目的IP地址源端口号或目的端口号，甚至亦可以是用户身份，如果使用用户身份进行颗粒度选择则需要将用户身份在用户身份认证机制中翻译成其身份对应的IP地址或MAC地址或物理端口等信息以用于数据流拾取模块106选择该数据流。

在步骤S508，着色模块108接收匹配所述颗粒度的数据流，并对所述数据流进行着色。在本实施方式中，所谓对数据流进行着色是指针对匹配所述颗粒度的数据流本身加上本网络内的唯一标示，进而在数据流流通过程中可以对该数据流进行区分、监控和管理。

在步骤S510，导入模块110用于将着色的所述数据流导入到所述服务链。在本实施方式中，通过将数据流导入到了上述构建完成的服务链中，进而实现了功能服务链的成功部署。

在上述方法中，上述服务链构建模块102还用于在数据流进入所述选中的功能服务节点前或/和后增加流量监控探针，进而方便流量的监控。例如将进入防火墙前的数据流量无干扰复制一份后进行图形界面显示，同时将从防火墙输出的该数据流量也进行无干扰复制并进行图形界面显示，即可比较进入防火墙前、后流量的变化等等。另外也根据每个所述功能服务节点的配置要求和特点对所述数据流进入该功能服务节点前和离开此功能服务节点后进行相应的修改以使得其达到正常的工作效果，例如当防火墙设置为路由模式的时候，需要自动的将进入防火墙之前的数据报文的MAC地址改为该防火墙的路由节点的MAC地址以使得数据通信正常进行，即为了让用户插入某个三层功能服务节点而不需要重新配置相关的路由信息且不需要经过所谓的ARP过程，则需要在报文进入该新插入节点前修改报文的目的MAC，在报文离开此新插入的节点后修改报文的源MAC地址，以实现高效、安全、低延迟、透明的加入和移除服务节点。需要补充的是，上面描述的针对功能服务节点的操作处理方法同样适用于发出访问请求的所述“访问源”和接收请求的所述“被访问的业务系统”，例如可以将被访问的业务系统放入一资源池中，并通过SDN网络对该资源池进行连接、管理和监控，当有遇到访问请求时，可将此资源池中的业务系统根据需求和规则挑选出来供所述访问源进行访问。

通过功能服务管理装置10执行上述功能服务管理方法，使得业务流量可以井然有序、安全高效的调度到规划的功能服务节点上，同时提高了网络资源利用率。

需要说明的是，上文所述实施方式，并不构成对发明保护范围的限定。任何在本发明的精神和原则内所作的修改，等同替换和改进等，均应包含在本发明的保护范围内。