.200连接逻辑网桥br200。brlOO连接为租户1提供服务的2台虚拟机,br200连接为租户2提供服务的1台虚拟机。Host3上的物理网卡eth0、ethl绑定于逻辑网卡bondO,逻辑网卡bondO具有两个逻辑网卡子接口 bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥brlOO,bond0.200连接逻辑网桥br200。brlOO连接为租户1提供服务的1台虚拟机,br200连接为租户2提供服务的2台虚拟机。
[0043]ClusterA中虚拟机上的虚拟防火墙通过第一网络转发层连接二层交换机L2Switch。第一网络转发层包括物理网卡ethO、ethl,逻辑网卡bondO和逻辑网桥brlOO、br200、br400。Hostl上的物理网卡ethO、ethl绑定于逻辑网卡bondO,逻辑网卡bondO具有3个逻辑网卡子接口 bond0.100和bond0.200和bond0.400,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务,bond0.400连接外部Network网络,并同时为租户1和租户2提供服务。bond0.100连接逻辑网桥brlOO,bond0.200连接逻辑网桥br200,bond0.400连接逻辑网桥br400。brlOO连接为租户1提供服务的虚拟防火墙,br200连接为租户2提供服务的虚拟防火墙,br400同时连接为租户1提供服务的虚拟防火墙和为租户2提供服务的虚拟防火墙。
[0044]为租户的资源设备分配IP地址。
[0045]设置Hostl上的租户1的虚拟防火墙私有IP地址为:192.188.60.1。设置ClusterB中租户1的所有的虚拟机的私有IP地址分别为:192.188.60.2 ;192.188.60.3 ;192.188.60.4o
[0046]设置Hostl上的租户2的虚拟防火墙私有IP地址为:192.188.61.1。设置ClusterB中租户2的所有的虚拟机的私有IP地址分别为:192.188.61.2 ;192.188.61.3 ;192.188.61.4o
[0047]当位于Host2上的租户1的IP地址为:192.188.60.2的虚拟机VM将预将报文发送至Network网络时,当位于Hostl上租户1的虚拟防火墙根据报文的标签识别到该报文属于其监控范围,根据虚拟防火墙的预设拦截规则对该报文进行处理。
[0048]图2是根据本发明第二实施方式的部署结构示意图。
[0049]该部署结构适用的场景为租户需要独立的具有路由功能的安全系统,同时租户的识别依赖于安全系统,而不是虚拟化平台。
[0050]如图2所示,云计算网络中南北向流量安全防护部署系统包括:第一服务器群集ClusterA和第二服务器集群ClusterB、二层交换机L2 Switch和三层交换机L3 Switch。
[0051]假设当前云计算平台为两个租户提供服务,为了表述清楚,图2中,椭圆的框线代表为租户1提供服务的资源,矩形的框线代表为租户2提供服务的资源,梯形的框线代表租户1与租户2的共享资源。
[0052]ClusterB包括两台物理服务器Host2和Host3。Host2中,租户1占用了两台虚拟机VM,租户2占用了 1台虚拟机VM。Host3中,租户1占用1台虚拟机VM,租户2占用了 2台虚拟机VM。
[0053]ClusterA中的物理服务器Hostl中运行了 2台虚拟机VM,每台虚拟机上运行一个虚拟防火墙VFW (Virtual firewal),该虚拟防火墙VFW内部配置V1AN和网关。两个VFW共同监控ClusterB中租户1的VM和租户2的虚拟机VM。其中,每台虚拟机VM具有2个逻辑网卡Tap,其中,一台虚拟机的一个逻辑网卡Tap 口用于为租户1提供服务,另一台虚拟机的一个逻辑网卡Tap 口用于为租户2提供服务。
[0054]ClusterB中的虚拟机通过第二网络转发层连接二层交换机L2 Switch。第二网络转发层包括物理网卡ethO、ethl,逻辑网卡bondO和逻辑网桥brlOO、br200。Host2上的物理网卡ethO、ethl绑定于逻辑网卡bondO,逻辑网卡bondO具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥brl00,bond0.200连接逻辑网桥br200。brlOO连接为租户1提供服务的2台虚拟机,br200连接为租户2提供服务的1台虚拟机。Host3上的物理网卡eth0、ethl绑定于逻辑网卡bondO,逻辑网卡bondO具有两个逻辑网卡子接口 bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥brlOO,bond0.200连接逻辑网桥br200。brlOO连接为租户1提供服务的1台虚拟机,br200连接为租户2提供服务的2台虚拟机。
[0055]ClusterA中虚拟机上的虚拟防火墙通过第一网络转发层连接二层交换机L2Switch的trunk端口。第一网络转发层包括物理网卡ethO、ethl,逻辑网卡bondO和逻辑网桥brO。Hostl上的物理网卡eth0、ethl绑定于逻辑网卡bondO,逻辑网卡bondO连接逻辑网桥brO。brO分别连接为租户1和租户2提供服务的虚拟防火墙所运行的虚拟机的Tap接口。
[0056]为租户的资源设备分配IP地址。
[0057]设置Hostl上为租户1提供服务的Tap端口的私有IP地址为:192.188.60.1。
[0058]设置ClusterB中租户1的所有的虚拟机的私有IP地址分别为:192.188.60.2 ;192.188.60.3 ;192.188.60.4。
[0059]设置Hostl上为租户2提供服务的Tap端口的私有IP地址为:192.188.61.1。设置ClusterB中租户2的所有的虚拟机的私有IP地址分别为:192.188.61.2 ;192.188.61.3 ;192.188.61.4o
[0060]设置Hostl上连接外部Network网络以及同时为租户1和租户2提供服务的两个Tap 端口的私有 IP 地址分别为:192.188.63.1 和 192.188.63.2。
[0061]当位于Host2上的租户1的IP地址为:192.188.60.2的虚拟机VM将预将报文发送至Network网络时,当位于Hostl上租户1的虚拟防火墙根据报文的标签识别到该报文属于其监控范围,根据虚拟防火墙的预设拦截规则对该报文进行处理。
[0062]图3是根据本发明第三实施方式的部署结构示意图。
[0063]该部署结构适用的场景为租户需要独立的透明接入安全系统(IPS、AV等),同时租户的识别依赖于安全系统,而不是虚拟化平台。
[0064]如图3所示,云计算网络中南北向流量安全防护部署系统包括:第一服务器群集ClusterA和第二服务器集群ClusterB、二层交换机L2 Switch和三层交换机L3 Switch。
[0065]假设当前云计算平台为两个租户提供服务,为了表述清楚,图3中,椭圆的框线代表为租户1提供服务的资源,矩形的框线代表为租户2提供服务的资源,梯形的框线代表租户1与租户2的共享资源。
[0066]ClusterB包括两台物理服务器Host2和Host3。Host2中,租户1占用了两台虚拟机VM,租户2占用了 1台虚拟机VM。Host3中,租户1占用1台虚拟机VM,租户2占用了 2台虚拟机VM。
[0067]ClusterA中的物理服务器Hostl中运行了 2台虚拟机VM,每台虚拟机上运行一个虚拟防火墙VFW(Virtual firewal)。两个VFW共同监控ClusterB中租户1的VM和租户2的虚拟机VM。其中,每台虚拟机VM具有2个逻辑网卡Tap,一台虚拟机的一个逻辑网卡Tap口用于为租户1提供服务,另一台虚拟机的一个逻辑网卡Tap 口用于为租户2提供服务。
[0068]ClusterB中的虚拟机通过第二网络转发层连接二层交换机L2 Switch。第二网络转发层包括物理网卡ethO、ethl,逻辑网卡bondO和逻辑网桥brlOO、br200。Host2上的物理网卡ethO、ethl绑定于逻辑网卡bondO,逻辑网卡bondO具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥brl00,bond0.200连接逻辑网桥br200。brlOO连接为租户1提供服务的2台虚拟机,br200连接为租户2提供服务的1台虚拟机。Host3上的物理网卡eth0、ethl绑定于逻辑网卡bondO,逻辑网卡bondO具有两个逻辑网卡子接口 bond0.100和bond0.200,其中bond