一种基于openstack的代理部署系统及方法技术方案

一种基于openstack的代理部署系统及方法，涉及云计算领域，包括服务器、第一管理接入交换机、第二管理接入交换机、管理核心交换机和至少一个计算节点，所述服务端通过第二管理接入交换机连接管理核心交换机，管理核心交换机连接第一管理接入交换机，其特征在于：每个计算节点包括代理虚拟机和管理虚拟交换机，所述代理虚拟机的代理管理网卡绑定至管理虚拟交换机；每个计算节点对应一个计算节点管理网卡，计算节点管理网卡接入所述第一管理接入交换机的端口，管理虚拟交换机绑定计算节点管理网卡。本发明专利技术在符合等保三级要求下，减少转发路径，提升网络转发性能，减少运维人员后期工作量。

Agent deployment system and method based on openstack

An agent deployment system and method based on openstack, relates to the field of cloud computing, including server management, the first access switch and second management access switches and management core switch and at least one computing node, the server connection management core switches through second management access switches, management core switches connecting the first management access switch, which is characterized in that each computing node agent including virtual machine and virtual switch card management, agent management is bound to the management virtual switch the proxy virtual machine; each computing node corresponds to a node management card, access card management computing node of the first access switch port management, management of virtual computing node management card binding switch. The invention reduces the forwarding path, improves the forwarding performance of the network and reduces the workload of the operation and maintenance personnel in accordance with the requirements of three levels of equal protection.

【技术实现步骤摘要】

本专利技术涉及云计算领域，具体来讲涉及一种基于openstack的代理部署系统及方法。
技术介绍
在基于openstack建设云计算的IAAS(InfrastructureasaService，基础设施即服务)时，在满足等保三级的情况下，需要部署一些代理，如监控代理、防病毒代理和数据库审计等。一般情况下，在部署符合等保三级的云计算IAAS平台时，在网络上要划分成三个网络：管理网络、业务网络以及存储网络，且三个网络必须相互隔离。如图1所示，在符合等保三级的云数据中心中，运维监控管理系统、数据库审计系统、以及云杀毒系统等必须部署到运维管理区，而这些系统要能正常工作，必须以虚拟机的形式在租户的网络里面部署代理；这样就会产生以下几个问题：(1)如图1所示，由于openstack架构上的设计，虚拟机只能通过业务网络与外界通讯，而业务网络与管理网络无法互访，导致代理无法与服务端进行通讯，因为服务端是部署在运维管理区。如果要让系统正常工作，就必须打通管理平面与业务平面，如图2所示，在管理防火墙与业务防火墙之间连接一根网线；但是这样就会留有安全隐患，不符合等保三级要求。(2)如图2所示，在强行打通管理网络与业务网络的情况下，代理与服务端通讯，数据流路径就变为：代理→业务虚拟交换机→业务接入交换机→业务核心交换机→业务防火墙→管理防火墙→管理核心交换机→管理接入交换机→服务端；转发路径非常长，导致代理效率降低，影响代理虚拟机的网络转发性能。(3)在强行打通管理网络与业务网络的情况下，必须设置相应的防火墙安全策略，进行相应网段隔离，这样就增加了额外的配置工作，随着租户的增多，策略也随之增加；大大增加运维人员后期的工作量。
技术实现思路
针对现有技术中存在的缺陷，本专利技术的目的在于提供一种基于openstack的代理部署系统及方法，在符合等保三级要求下，减少转发路径，提升网络转发性能，减少运维人员后期工作量。为达到以上目的，本专利技术采取一种基于openstack的代理部署系统，包括服务器、第一管理接入交换机、第二管理接入交换机、管理核心交换机和至少一个计算节点，所述服务端通过第二管理接入交换机连接管理核心交换机，管理核心交换机连接第一管理接入交换机，每个计算节点包括代理虚拟机和管理虚拟交换机，所述代理虚拟机的代理管理网卡绑定至管理虚拟交换机；每个计算节点对应一个计算节点管理网卡，计算节点管理网卡接入所述第一管理接入交换机的端口，管理虚拟交换机绑定计算节点管理网卡。在上述技术方案的基础上，所述计算节点包括用户虚拟机和业务虚拟交换机，用户虚拟机的虚拟机业务网卡绑定至述业务虚拟交换机，业务虚拟交换机绑定代理虚拟机的代理业务网卡。在上述技术方案的基础上，包括业务接入交换机和业务核心交换机，计算节点的计算节点业务网卡绑定至业务接入交换机，业务接入交换机连接业务核心交换机。本专利技术还提供一种代理部署方法，包括步骤：S1.每个计算节点添加管理虚拟交换机，并将计算节点管理网卡绑定到对应的管理虚拟交换机；S2.创建管理网段，由openstack分配管理vlan；S3.每个计算节点创建代理虚拟机，选择所述管理vlan，将代理虚拟机的代理管理网卡绑定到管理虚拟交换机；S4.将第一管理接入交换机接入计算节点管理网卡的端口配置成trunk模式，允许所述管理vlan通过；S5.在代理虚拟机里配置去往服务端的明细路由；S6.通过openstack设置安全组，允许代理虚拟机访问服务端的TCP或者UDP端口；S7.在代理虚拟机与服务端连通的前提下，接收代理发送的信息。在上述技术方案的基础上，所述S1中，通过修改openstack代码，在服务启动时，调用openvswitch命令为每个计算节点添加管理虚拟交换机。在上述技术方案的基础上，所述S2中，管理网段由云平台租户管理员通过openstack用户界面创建。在上述技术方案的基础上，所述S3中，代理虚拟机由云平台租户管理员通过openstack用户界面创建。在上述技术方案的基础上，所述S3中，通过代理虚拟机的代理管理网卡绑定到管理虚拟交换机，将代理管理网卡和计算节点管理网卡通过管理虚拟交换机连接。在上述技术方案的基础上，所述S7的具体步骤为，S701.在代理虚拟机里，用telnet或者ping命令测试与服务端的连通性，判断是否连通，若是，进入S702；若否，进入S703；S702.通过服务端，判断是否收到代理发来的信息，若是，结束；若否，进入S703；S703.检测通过openstack设置的安全组设置是否正确，若是，进入S702；若否，进入S704；S704.进行纠错后，进入S702。本专利技术的有益效果在于：由于在每个计算节点上部署管理虚拟交换机，将计算节点的管理网卡绑定到该管理虚拟交换机上，代理虚拟机(即虚拟机形态的代理)的代理管理网卡连接到该计算节点的管理虚拟交换机上.这样每个代理就可以使用自己的代理管理网卡通过计算节点上的管理虚拟交换机，通过计算节点上的计算节点管理网卡与服务端通讯，其具备以下好处：(1)代理虚拟机通过业务虚拟交换机采集信息，从计算机管理网卡、通过管理网络与服务端交互，这样就没有打破三个网络相互隔离的要求，符合安全等保三级。(2)数据流的路途变成：代理→管理虚拟交换机→管理接入交换机→管理核心交换机→管理防火墙→管理接入交换机→服务端，整个路径相对于
技术介绍
中的系统路径缩短至将近1/2，并且少了管理防火墙与业务防火墙之间策略过滤，从而提高了整个代理效率以及网络的转发性能。(3)代理虚拟机形态从管理网络向服务端上报采集到的相关信息，因此就不需要强行打通业务网络与管理网络，就不需要再两个网络相应的防火墙配置安全策略，最终减轻了运维人员后期的工作量，提升运维效率。附图说明图1为
技术介绍
中等保三级的云数据中心示意图；图2为
技术介绍
中代理部署系统示意图；图3为本专利技术实施例基于openstack的代理部署系统示意图；图4为本专利技术实施例基于openstack的代理部署方法流程图。图5为图4中S7的具体步骤。具体实施方式以下结合附图及实施例对本专利技术作进一步详细说明。如图3所示，本专利技术基于openstack的代理部署系统，包括服务器、第一管理接入交换机、第二管理接入交换机、管理核心交换机和至少一个计算节点；所述服务端通过第二管理接入交换机连接管理核心交换机，管理核心交换机设置管理防火墙，管理核心交换机连接第一管理接入交换机。每个计算节点包括用户虚拟机、业务虚拟交换机(br-int)、代理虚拟机和管理虚拟交换机(br-mgnt)；每个计算节点对应一个计算节点管理网卡，计算节点管理网卡接入所述第一管理接入交换机的端口，管理虚拟交换机绑定计算节点管理网卡，所述代理虚拟机的代理管理网卡绑定至管理虚拟交换机。代理虚拟机的代理业务网卡绑定至业务虚拟交换机，所述用户虚拟机的虚拟机业务网卡绑定至述业务虚拟交换机。本实施例openstack的代理部署系统，还包括业务接入交换机和业务核心交换机，业务核心交换机设置业务防火墙，计算节点的计算节点业务网卡绑定至业务接入交换机，业务接入交换机连接业务核心交换机。如图4所示，本专利技术实施例基于openstack的代理部署方法，包括步骤：S1.通过修改openstack代码，在服务启本文档来自技高网...

【技术保护点】
一种基于openstack的代理部署系统，包括服务器、第一管理接入交换机、第二管理接入交换机、管理核心交换机和至少一个计算节点，所述服务端通过第二管理接入交换机连接管理核心交换机，管理核心交换机连接第一管理接入交换机，其特征在于：每个计算节点包括代理虚拟机和管理虚拟交换机，所述代理虚拟机的代理管理网卡绑定至管理虚拟交换机；每个计算节点对应一个计算节点管理网卡，计算节点管理网卡接入所述第一管理接入交换机的端口，管理虚拟交换机绑定计算节点管理网卡。

【技术特征摘要】
1.一种基于openstack的代理部署系统，包括服务器、第一管理接入交换机、第二管理接入交换机、管理核心交换机和至少一个计算节点，所述服务端通过第二管理接入交换机连接管理核心交换机，管理核心交换机连接第一管理接入交换机，其特征在于：每个计算节点包括代理虚拟机和管理虚拟交换机，所述代理虚拟机的代理管理网卡绑定至管理虚拟交换机；每个计算节点对应一个计算节点管理网卡，计算节点管理网卡接入所述第一管理接入交换机的端口，管理虚拟交换机绑定计算节点管理网卡。2.如权利要求1所述的基于openstack的代理部署系统，其特征在于：所述计算节点包括用户虚拟机和业务虚拟交换机，用户虚拟机的虚拟机业务网卡绑定至述业务虚拟交换机，业务虚拟交换机绑定代理虚拟机的代理业务网卡。3.如权利要求1所述的基于openstack的代理部署系统，其特征在于：包括业务接入交换机和业务核心交换机，计算节点的计算节点业务网卡绑定至业务接入交换机，业务接入交换机连接业务核心交换机。4.一种基于权利要求1所述系统的代理部署方法，其特征在于，包括步骤：S1.每个计算节点添加管理虚拟交换机，并将计算节点管理网卡绑定到对应的管理虚拟交换机；S2.创建管理网段，由openstack分配管理vlan；S3.每个计算节点创建代理虚拟机，选择所述管理vlan，将代理虚拟机的代理管理网卡绑定到管理虚拟交换机；S4.将第一管理接入交换机接入计算节点管理网卡的端口配置成tru...

【专利技术属性】
技术研发人员：胡新辉，田松，
申请(专利权)人：武汉烽火信息集成技术有限公司，
类型：发明
国别省市：湖北;42