[发明专利]一种使用Openstack安全组纳管云物理主机的方法及系统

说明书

本发明涉及云计算技术领域，具体为一种使用Openstack安全组纳管云物理主机的方法包括以下步骤：接收前端发送过来的原生网络端口安全组配置信息；自动判断端口的类型，对于计算节点上的tap设备的规则，交还给neutron处理；将安全组的规则内容根据ACL规则的特点进行规则转化；有益效果为：本发明提出的使用Openstack安全组纳管云物理主机的方法及系统通过接收openstack内部安全组格式的配置信息，筛选出其中安全组配置端口为物理机的部分，对安全组规则进行转化，将其变为ACL规则，创建与交换机的会话窗口，配置ACL规则；实现了云虚机与云物理机安全规则的统一纳管，解决了云物理机ACL规则需要运维手动配置的问题。

技术领域

本发明涉及云计算技术领域，具体为一种使用Openstack安全组纳管云物理主机的方法及系统。

背景技术

Openstack安全组被称为Security group，其作用是通过一种类似于白名单的机制管理或限制云计算机的进出流量，如果云上机器启用了安全组功能，则只有被写在白名单里的地址的流量可以通过。

现有技术中，Openstack安全组最早是通过Nova来管理，引入Neutron后，新Openstack安全组交给Neutron管理，Neutron专门负责的是管理虚拟网络，其中安全组和虚拟机的port相关联，因此Security group在计算节点的tap设备上做。云物理主机直接连接在物理交换机上，再通过交换机与open stack的控制节点互联，因此物理机网络不受Neutron的直接控制。Openstack安全组的规则无法下发到云物理机的端口。物理交换机一般具有ACL(访问控制列表)的功能，通常用来规划网络中的访问层次.以期达到优化网络流量，加强网络安全的作用，与安全组使用方式不同但是可以实现绝大部分安全组的功能，本发明所使用的实验环境中，使用的交换机CN61108类属Cisco Nexus 3000系列，ACL可以通过Web方式或者命令行方式配置,一般推荐使用命令行方式，因为每一张ACL都是由具体的一条条规则组成。

但是，目前物理交换机上的ACL规则通常由网络运维手动配置，为了解决统一管理网络问题，需要额外开发网络管理插件用于连接物理交换机并配置安全规则。

发明内容

本发明的目的在于提供一种使用Openstack安全组纳管云物理主机的方法及系统，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种使用Openstack安全组纳管云物理主机的方法，所述使用Openstack安全组纳管云物理主机的方法包括以下步骤：

接收前端发送过来的原生网络端口安全组配置信息；

自动判断端口的类型，对于计算节点上的tap设备的规则，交还给neutron处理；

将安全组的规则内容根据ACL规则的特点进行规则转化；

在存储neutron网络资源信息安全组信息的同时，为转化后的数据做分类存储；

将配置转化输出的适用于交换机的ACL规则翻译成适用于交换机命令行输入的语句。

优选的，在openstack的控制节点当中，为neutron服务中的一个API接收器规定URL的地址和数据格式。

优选的，将安全组的规则内容根据ACL规则的特点进行规则转化，生成一套适用于物理交换的ACL数据，转换后的数据与安全组数据并非一一对应的关系，该模块根据具体情况来判断物理交换机上的操作。

优选的，从本地或远程配置信息中获取交换机远程登陆认证信息，从genericswitch的配置文件中读取信息。

优选的，远程物理交换机的连接驱动，管理与交换机和命令行会话、信息过滤与输出。