Switch和三層交換機L3Switch��。
[0102]假設(shè)當(dāng)前云計算平臺為兩個租戶提供服務(wù)��,為了表述清楚,圖6中��,橢圓的框線代表為租戶1提供服務(wù)的資源�����,矩形的框線代表為租戶2提供服務(wù)的資源��,梯形的框線代表租戶1與租戶2的共享資源�。
[0103]ClusterB包括兩臺物理服務(wù)器Host2和Host3。Host2中����,租戶1占用了兩臺虛擬機VM�,租戶2占用了 1臺虛擬機VM��。Host3中��,租戶1占用1臺虛擬機VM�����,租戶2占用了 2臺虛擬機VM���。
[0104]ClusterB中的虛擬機通過第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層連接二層交換機L2 Switch�����。第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層包括物理網(wǎng)卡ethO�����、ethl���,邏輯網(wǎng)卡bondO和邏輯網(wǎng)橋brlOO、br200�����。Host2上的物理網(wǎng)卡ethO、ethl綁定于邏輯網(wǎng)卡bondO���,邏輯網(wǎng)卡bondO具有兩個邏輯網(wǎng)卡子接口bond0.100和bond0.200���,其中bond0.100為租戶1提供服務(wù),bond0.200為租戶2提供服務(wù)����。bond0.100連接邏輯網(wǎng)橋brl00,bond0.200連接邏輯網(wǎng)橋br200�����。brlOO連接為租戶1提供服務(wù)的2臺虛擬機��,br200連接為租戶2提供服務(wù)的1臺虛擬機����。Host3上的物理網(wǎng)卡eth0���、ethl綁定于邏輯網(wǎng)卡bondO���,邏輯網(wǎng)卡bondO具有兩個邏輯網(wǎng)卡子接口 bond0.100和bond0.200�,其中bond0.100為租戶1提供服務(wù)����,bond0.200為租戶2提供服務(wù)。bond0.100連接邏輯網(wǎng)橋brlOO��,bond0.200連接邏輯網(wǎng)橋br200����。brlOO連接為租戶1提供服務(wù)的1臺虛擬機,br200連接為租戶2提供服務(wù)的2臺虛擬機����。
[0105]硬件防火墻hostl中劃分出2個邏輯防火墻單元,每個邏輯防火墻單元對應(yīng)一個租戶�����,用于監(jiān)控ClusterB中該租戶的虛擬機VM與Network之間的通信��。
[0106]硬件防火墻包括物理網(wǎng)卡ethO��、ethl�。其中,物理網(wǎng)卡ethO連接二層交換機L2Switch的trunk端口����,物理網(wǎng)卡ethl分別連接ClusterB中的物理服務(wù)器的物理網(wǎng)卡ethO�����、ethl ο
[0107]二層交換機L2 Switch的trunk接口連接至三層交換機L3Switch�,三層交換機L3Switch 連接 Network 網(wǎng)絡(luò)�����。
[0108]為租戶的資源設(shè)備分配IP地址�����。
[0109]設(shè)置ClusterB中租戶1的所有的虛擬機的私有IP地址分別為:192.188.60.2 ����;192.188.60.3 ;192.188.60.4��。
[0110]設(shè)置ClusterB中租戶2的所有的虛擬機的私有IP地址分別為:192.188.61.2 �����;192.188.61.3 �����;192.188.61.4��。
[0111]當(dāng)位于Host2上的租戶1的IP地址為:192.188.60.2的虛擬機VM將預(yù)將報文發(fā)送至Network網(wǎng)絡(luò)時�����,當(dāng)位于Hostl上租戶1的邏輯防火墻單元根據(jù)報文的標(biāo)簽識別到該報文屬于其監(jiān)控范圍��,根據(jù)邏輯防火墻單元的預(yù)設(shè)攔截規(guī)則對該報文進(jìn)行處理�。
[0112]應(yīng)當(dāng)理解的是,本發(fā)明的上述【具體實施方式】僅僅用于示例性說明或解釋本發(fā)明的原理�,而不構(gòu)成對本發(fā)明的限制。因此�,在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改、等同替換�、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。此外,本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界��、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例。
【主權(quán)項】
1.一種云計算網(wǎng)絡(luò)中南北向流量安全防護(hù)部署系統(tǒng)����,其特征在于,包括:租戶占用的虛擬機和用于監(jiān)控當(dāng)前租戶所占用的虛擬機與Network網(wǎng)絡(luò)的通信的虛擬防火墻�����、第一網(wǎng)絡(luò)轉(zhuǎn)發(fā)層和第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層�; 所述第一網(wǎng)絡(luò)轉(zhuǎn)發(fā)層,用于通過對接收的報文的標(biāo)簽的識別判斷該報文的來源�,如果來源為虛擬機,則將所述報文轉(zhuǎn)發(fā)至當(dāng)前虛擬機的租戶所對應(yīng)的虛擬防火墻���,并將經(jīng)過該虛擬防火墻處理后的報文經(jīng)過二層交換機和三層交換機發(fā)送至Network網(wǎng)絡(luò)��,如果來源為Network網(wǎng)絡(luò)�,則將所述報文轉(zhuǎn)發(fā)至該報文的標(biāo)簽所指示的虛擬防火墻�����,并將經(jīng)過該虛擬防火墻處理后的報文經(jīng)過二層交換機發(fā)送至第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層��; 所述第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層���,用于接收來自Network網(wǎng)絡(luò)的報文時��,通過對報文的標(biāo)簽的識別判斷該報文所歸屬的租戶���,并將該報文下發(fā)至該報文的標(biāo)簽所指示的租戶所對應(yīng)的虛擬機,還用于將虛擬機發(fā)送的報文轉(zhuǎn)發(fā)至二層交換機����。2.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于��,所述第一網(wǎng)絡(luò)轉(zhuǎn)發(fā)層和虛擬防火墻運行于第一服務(wù)器群集�,所述第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層和虛擬機運行于第二服務(wù)器集群。3.根據(jù)權(quán)利要求2所述的系統(tǒng)�,其特征在于,所述第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層包括物理網(wǎng)卡�、邏輯網(wǎng)卡和邏輯網(wǎng)橋; 所述第二服務(wù)器群集包括多個物理服務(wù)器���,同一個物理服務(wù)器包括多張所述物理網(wǎng)卡��,該多張物理網(wǎng)卡綁定于同一張所述邏輯網(wǎng)卡���,該邏輯網(wǎng)卡具有與當(dāng)前物理服務(wù)器上的租戶數(shù)量相同的邏輯網(wǎng)卡子接口��,每個邏輯網(wǎng)卡子接口連接一個所述邏輯網(wǎng)橋���,每個邏輯網(wǎng)橋連接運行于當(dāng)前物理服務(wù)器上的同一個租戶的一個或多個虛擬機。4.根據(jù)權(quán)利要求2所述的系統(tǒng)�����,其特征在于�,所述第一網(wǎng)絡(luò)轉(zhuǎn)發(fā)層包括物理網(wǎng)卡、邏輯網(wǎng)卡和邏輯網(wǎng)橋��; 所述第一服務(wù)器集群的物理服務(wù)器上具有多張所述物理網(wǎng)卡����,該多張物理網(wǎng)卡綁定于同一張所述邏輯網(wǎng)卡,該邏輯網(wǎng)卡除了具有與所述租戶一一對應(yīng)的邏輯網(wǎng)卡子接口外��,還具有接收來自于Network網(wǎng)絡(luò)報文的邏輯網(wǎng)卡子接口����,每個邏輯網(wǎng)卡子接口連接一個所述邏輯網(wǎng)橋,邏輯網(wǎng)橋連接其所對應(yīng)的租戶的虛擬防火墻��。5.根據(jù)權(quán)利要求3所述的系統(tǒng)��,其特征在于,所述第一網(wǎng)絡(luò)轉(zhuǎn)發(fā)層包括物理網(wǎng)卡�、邏輯網(wǎng)卡和邏輯網(wǎng)橋; 所述第一服務(wù)器集群的物理服務(wù)器上具有多張所述物理網(wǎng)卡�,該多張物理網(wǎng)卡綁定于同一張所述邏輯網(wǎng)卡����,該邏輯網(wǎng)卡連接所述邏輯網(wǎng)橋,所述邏輯網(wǎng)橋分別連接運行虛擬防火墻的虛擬機的Tap接口��。6.根據(jù)權(quán)利要求5所述的系統(tǒng)�����,其特征在于��,當(dāng)所述虛擬防火墻工作在路由模式時�,所述虛擬防火墻內(nèi)部配置有VLAN和網(wǎng)關(guān)。7.根據(jù)權(quán)利要求5所述的系統(tǒng)��,其特征在于����,當(dāng)所述虛擬防火墻工作在透明模式時,在所述三層交換機上連接硬件防火墻�,并在該三層交換機上配置路由網(wǎng)關(guān)和Nat����。8.根據(jù)權(quán)利要求3所述的系統(tǒng)�,其特征在于, 所述第一服務(wù)器集群的物理服務(wù)器上運行一臺虛擬機���,該虛擬機上運行與所述租戶--對應(yīng)的虛擬防火墻����, 所述第一網(wǎng)絡(luò)轉(zhuǎn)發(fā)層包括物理網(wǎng)卡和邏輯網(wǎng)卡�����; 所述第一服務(wù)器集群的物理服務(wù)器上具有多張所述物理網(wǎng)卡�����,該多張物理網(wǎng)卡綁定于同一張所述邏輯網(wǎng)卡�����,該邏輯網(wǎng)卡連接每個租戶所對應(yīng)的虛擬防火墻����。9.一種云計算網(wǎng)絡(luò)中南北向流量安全防護(hù)部署系統(tǒng)���,其特征在于,包括:租戶占用的虛擬機和用于監(jiān)控當(dāng)前租戶所占用的虛擬機與Network網(wǎng)絡(luò)的通信的硬件防火墻�����; 所述硬件防火墻部署于三層交換機��,硬件防火墻內(nèi)部包括與各租戶一一對應(yīng)的邏輯防火墻單元���,各邏輯防火墻單元分別連接物理網(wǎng)卡,該物理網(wǎng)卡連接二層交換機���; 所述虛擬機運行于第二服務(wù)器群集��,所述第二服務(wù)器群集包括多個物理服務(wù)器����,同一個物理服務(wù)器包括多張所述物理網(wǎng)卡�,該多張物理網(wǎng)卡綁定于同一張所述邏輯網(wǎng)卡,該邏輯網(wǎng)卡具有與當(dāng)前物理服務(wù)器上的租戶數(shù)量相同的邏輯網(wǎng)卡子接口��,每個邏輯網(wǎng)卡子接口連接一個所述邏輯網(wǎng)橋���,每個邏輯網(wǎng)橋連接運行于當(dāng)前物理服務(wù)器上的同一個租戶的一個或多個虛擬機����。10.一種云計算網(wǎng)絡(luò)中南北向流量安全防護(hù)部署系統(tǒng),其特征在于��,包括:租戶占用的虛擬機和用于監(jiān)控當(dāng)前租戶所占用的虛擬機與Network網(wǎng)絡(luò)的通信的硬件防火墻����; 所述虛擬機運行于服務(wù)器群集,所述服務(wù)器群集包括多個物理服務(wù)器�����,同一個物理服務(wù)器包括多張所述物理網(wǎng)卡���,該多張物理網(wǎng)卡綁定于同一張所述邏輯網(wǎng)卡��,該邏輯網(wǎng)卡具有與當(dāng)前物理服務(wù)器上的租戶數(shù)量相同的邏輯網(wǎng)卡子接口�,每個邏輯網(wǎng)卡子接口連接一個所述邏輯網(wǎng)橋��,每個邏輯網(wǎng)橋連接運行于當(dāng)前物理服務(wù)器上的同一個租戶的一個或多個虛擬機����; 所述硬件防火墻內(nèi)部包括與各租戶一一對應(yīng)的邏輯防火墻單元�����,各邏輯防火墻單元分別連接置于硬件防火墻的各個物理網(wǎng)卡�,部分物理網(wǎng)卡連接運行虛擬機的服務(wù)器群集中的物理網(wǎng)卡�,部分物理網(wǎng)卡通過二層交換機和三層交換機連接至Network網(wǎng)絡(luò)。
【專利摘要】一種云計算網(wǎng)絡(luò)中南北向流量安全防護(hù)部署系統(tǒng)�����,包括:租戶占用的虛擬機�;用于監(jiān)控當(dāng)前租戶所占用的虛擬機與Network網(wǎng)絡(luò)的通信的虛擬防火墻��;第一網(wǎng)絡(luò)轉(zhuǎn)發(fā)層�����,用于通過對接收的報文的標(biāo)簽的識別判斷該報文的來源�,如果來源為虛擬機,則將報文轉(zhuǎn)發(fā)至當(dāng)前虛擬機的租戶所對應(yīng)的虛擬防火墻�,并將經(jīng)過該虛擬防火墻處理后的報文經(jīng)過二層交換機和三層交換機發(fā)送至Network網(wǎng)絡(luò);第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層�,用于接收來自Network網(wǎng)絡(luò)的報文時,通過對報文的標(biāo)簽的識別判斷該報文所歸屬的租戶,并將該報文下發(fā)至該報文的標(biāo)簽所指示的租戶所對應(yīng)的虛擬機����,還用于將虛擬機發(fā)送的報文轉(zhuǎn)發(fā)至二層交換機。
【IPC分類】G06F9/455, H04L29/06
【公開號】CN105245504
【申請?zhí)枴緾N201510574191
【發(fā)明人】王智民
【申請人】北京漢柏科技有限公司
【公開日】2016年1月13日
【申請日】2015年9月10日