Switch和三层交换机L3Switch。
[0102]假设当前云计算平台为两个租户提供服务,为了表述清楚,图6中,椭圆的框线代表为租户1提供服务的资源,矩形的框线代表为租户2提供服务的资源,梯形的框线代表租户1与租户2的共享资源。
[0103]ClusterB包括两台物理服务器Host2和Host3。Host2中,租户1占用了两台虚拟机VM,租户2占用了 1台虚拟机VM。Host3中,租户1占用1台虚拟机VM,租户2占用了 2台虚拟机VM。
[0104]ClusterB中的虚拟机通过第二网络转发层连接二层交换机L2 Switch。第二网络转发层包括物理网卡ethO、ethl,逻辑网卡bondO和逻辑网桥brlOO、br200。Host2上的物理网卡ethO、ethl绑定于逻辑网卡bondO,逻辑网卡bondO具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥brl00,bond0.200连接逻辑网桥br200。brlOO连接为租户1提供服务的2台虚拟机,br200连接为租户2提供服务的1台虚拟机。Host3上的物理网卡eth0、ethl绑定于逻辑网卡bondO,逻辑网卡bondO具有两个逻辑网卡子接口 bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥brlOO,bond0.200连接逻辑网桥br200。brlOO连接为租户1提供服务的1台虚拟机,br200连接为租户2提供服务的2台虚拟机。
[0105]硬件防火墙hostl中划分出2个逻辑防火墙单元,每个逻辑防火墙单元对应一个租户,用于监控ClusterB中该租户的虚拟机VM与Network之间的通信。
[0106]硬件防火墙包括物理网卡ethO、ethl。其中,物理网卡ethO连接二层交换机L2Switch的trunk端口,物理网卡ethl分别连接ClusterB中的物理服务器的物理网卡ethO、ethl ο
[0107]二层交换机L2 Switch的trunk接口连接至三层交换机L3Switch,三层交换机L3Switch 连接 Network 网络。
[0108]为租户的资源设备分配IP地址。
[0109]设置ClusterB中租户1的所有的虚拟机的私有IP地址分别为:192.188.60.2 ;192.188.60.3 ;192.188.60.4。
[0110]设置ClusterB中租户2的所有的虚拟机的私有IP地址分别为:192.188.61.2 ;192.188.61.3 ;192.188.61.4。
[0111]当位于Host2上的租户1的IP地址为:192.188.60.2的虚拟机VM将预将报文发送至Network网络时,当位于Hostl上租户1的逻辑防火墙单元根据报文的标签识别到该报文属于其监控范围,根据逻辑防火墙单元的预设拦截规则对该报文进行处理。
[0112]应当理解的是,本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
【主权项】
1.一种云计算网络中南北向流量安全防护部署系统,其特征在于,包括:租户占用的虚拟机和用于监控当前租户所占用的虚拟机与Network网络的通信的虚拟防火墙、第一网络转发层和第二网络转发层; 所述第一网络转发层,用于通过对接收的报文的标签的识别判断该报文的来源,如果来源为虚拟机,则将所述报文转发至当前虚拟机的租户所对应的虚拟防火墙,并将经过该虚拟防火墙处理后的报文经过二层交换机和三层交换机发送至Network网络,如果来源为Network网络,则将所述报文转发至该报文的标签所指示的虚拟防火墙,并将经过该虚拟防火墙处理后的报文经过二层交换机发送至第二网络转发层; 所述第二网络转发层,用于接收来自Network网络的报文时,通过对报文的标签的识别判断该报文所归属的租户,并将该报文下发至该报文的标签所指示的租户所对应的虚拟机,还用于将虚拟机发送的报文转发至二层交换机。2.根据权利要求1所述的系统,其特征在于,所述第一网络转发层和虚拟防火墙运行于第一服务器群集,所述第二网络转发层和虚拟机运行于第二服务器集群。3.根据权利要求2所述的系统,其特征在于,所述第二网络转发层包括物理网卡、逻辑网卡和逻辑网桥; 所述第二服务器群集包括多个物理服务器,同一个物理服务器包括多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡具有与当前物理服务器上的租户数量相同的逻辑网卡子接口,每个逻辑网卡子接口连接一个所述逻辑网桥,每个逻辑网桥连接运行于当前物理服务器上的同一个租户的一个或多个虚拟机。4.根据权利要求2所述的系统,其特征在于,所述第一网络转发层包括物理网卡、逻辑网卡和逻辑网桥; 所述第一服务器集群的物理服务器上具有多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡除了具有与所述租户一一对应的逻辑网卡子接口外,还具有接收来自于Network网络报文的逻辑网卡子接口,每个逻辑网卡子接口连接一个所述逻辑网桥,逻辑网桥连接其所对应的租户的虚拟防火墙。5.根据权利要求3所述的系统,其特征在于,所述第一网络转发层包括物理网卡、逻辑网卡和逻辑网桥; 所述第一服务器集群的物理服务器上具有多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡连接所述逻辑网桥,所述逻辑网桥分别连接运行虚拟防火墙的虚拟机的Tap接口。6.根据权利要求5所述的系统,其特征在于,当所述虚拟防火墙工作在路由模式时,所述虚拟防火墙内部配置有VLAN和网关。7.根据权利要求5所述的系统,其特征在于,当所述虚拟防火墙工作在透明模式时,在所述三层交换机上连接硬件防火墙,并在该三层交换机上配置路由网关和Nat。8.根据权利要求3所述的系统,其特征在于, 所述第一服务器集群的物理服务器上运行一台虚拟机,该虚拟机上运行与所述租户--对应的虚拟防火墙, 所述第一网络转发层包括物理网卡和逻辑网卡; 所述第一服务器集群的物理服务器上具有多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡连接每个租户所对应的虚拟防火墙。9.一种云计算网络中南北向流量安全防护部署系统,其特征在于,包括:租户占用的虚拟机和用于监控当前租户所占用的虚拟机与Network网络的通信的硬件防火墙; 所述硬件防火墙部署于三层交换机,硬件防火墙内部包括与各租户一一对应的逻辑防火墙单元,各逻辑防火墙单元分别连接物理网卡,该物理网卡连接二层交换机; 所述虚拟机运行于第二服务器群集,所述第二服务器群集包括多个物理服务器,同一个物理服务器包括多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡具有与当前物理服务器上的租户数量相同的逻辑网卡子接口,每个逻辑网卡子接口连接一个所述逻辑网桥,每个逻辑网桥连接运行于当前物理服务器上的同一个租户的一个或多个虚拟机。10.一种云计算网络中南北向流量安全防护部署系统,其特征在于,包括:租户占用的虚拟机和用于监控当前租户所占用的虚拟机与Network网络的通信的硬件防火墙; 所述虚拟机运行于服务器群集,所述服务器群集包括多个物理服务器,同一个物理服务器包括多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡具有与当前物理服务器上的租户数量相同的逻辑网卡子接口,每个逻辑网卡子接口连接一个所述逻辑网桥,每个逻辑网桥连接运行于当前物理服务器上的同一个租户的一个或多个虚拟机; 所述硬件防火墙内部包括与各租户一一对应的逻辑防火墙单元,各逻辑防火墙单元分别连接置于硬件防火墙的各个物理网卡,部分物理网卡连接运行虚拟机的服务器群集中的物理网卡,部分物理网卡通过二层交换机和三层交换机连接至Network网络。
【专利摘要】一种云计算网络中南北向流量安全防护部署系统,包括:租户占用的虚拟机;用于监控当前租户所占用的虚拟机与Network网络的通信的虚拟防火墙;第一网络转发层,用于通过对接收的报文的标签的识别判断该报文的来源,如果来源为虚拟机,则将报文转发至当前虚拟机的租户所对应的虚拟防火墙,并将经过该虚拟防火墙处理后的报文经过二层交换机和三层交换机发送至Network网络;第二网络转发层,用于接收来自Network网络的报文时,通过对报文的标签的识别判断该报文所归属的租户,并将该报文下发至该报文的标签所指示的租户所对应的虚拟机,还用于将虚拟机发送的报文转发至二层交换机。
【IPC分类】G06F9/455, H04L29/06
【公开号】CN105245504
【申请号】CN201510574191
【发明人】王智民
【申请人】北京汉柏科技有限公司
【公开日】2016年1月13日
【申请日】2015年9月10日