一种基于容器的虚拟安全组件跨云系统及方法技术方案

本发明专利技术公开了一种基于容器的虚拟安全组件跨云系统，该系统的本地虚拟机中部署的第一Open VSwitch分别与每个第一业务容器和每个第一虚拟安全组件容器连接，远端虚拟机中部署的第二Open VSwitch分别与每个第二业务容器和每个第二虚拟安全组件容器连接，本地管理中心通过代理向Open VSwitch下发安全服务链的转发规则，Open VSwitch获得目标数据包后，可以对目标数据包进行相应操作处理后转发目标数据包。应用本发明专利技术实施例所提供的技术方案，方便实现对跨云架构中的虚拟安全组件进行统一管理，减少部署成本开销。本发明专利技术还公开了一种基于容器的虚拟安全组件跨云方法，具有相应技术效果。

A container based cross cloud system and method for virtual security components

The invention discloses a cross cloud system virtual security component container based on the deployment of the local virtual machine of the system in the first Open VSwitch are respectively connected with each of the first service container and each of the first virtual security container, were deployed second Open VSwitch remote virtual machine connected with each of the second containers and each of the second business secure virtual container, local forwarding rules management center security service chain to Open VSwitch by proxy, Open VSwitch to obtain the target data packets, can target packet forwarding packets on target for the corresponding operation after treatment. The technical proposal provided by the embodiment of the invention can facilitate the unified management of the virtual security components in the cross Cloud Architecture and reduce the cost of deployment. The invention also discloses a virtual security component based on the container - based cross - cloud method, and has the corresponding technical effect.

【技术实现步骤摘要】
一种基于容器的虚拟安全组件跨云系统及方法
本专利技术涉及云计算
，特别是涉及一种基于容器的虚拟安全组件跨云系统及方法。
技术介绍
随着云计算技术的快速发展，基于异构云、混合云跨云部署的数据中心越来越常见。在多地数据中心的异构云、混合云等场景下，不同厂商的底层云平台框架不同，安全组件的原理和具体实现方式不同，使得多地异构云的虚拟安全组件的统一管理具有一定难度。目前主要有两种方法进行多地异构云的虚拟安全组件的统一管理：一种是引流回原平台处理。本地数据中心用A厂商的，并在源端公有云上租用物理设备，在物理设备上部署本地A厂商的云计算软件产品，便可将远端(公有云)也纳入该A厂商云平台的管理平台，实现本地(私有云)和远端(公有云)的统一管理。这种方法的缺点在于并不是所有的公有云都提供物理设备的租用，而且物理设备的租用加上云产品软件的部署，时间开销较大。另一种方法是利用远端云平台提供的虚拟安全组件，常见于有深度技术合作的厂商，多地异构云的不同云计算软件产品厂商通过互相提供计算、存储、网络相关的API并进行二次开发，让客户的业务虚拟机、网络拓扑、虚拟网络和安全设备、存储数据可以在异构云上进行统本文档来自技高网...

【技术保护点】
一种基于容器的虚拟安全组件跨云系统，其特征在于，包括本地管理中心、本地虚拟机、本地虚拟机监视器、远端虚拟机、远端虚拟机监视器；所述本地虚拟机中部署有第一开放虚拟交换机OpenVSwitch、第一代理、一个或多个第一业务容器、一个或多个第一虚拟安全组件容器，所述第一Open VSwitch分别与每个第一业务容器和每个第一虚拟安全组件容器连接；所述远端虚拟机中部署有第二OpenVSwitch、第二代理、一个或多个第二业务容器、一个或多个第二虚拟安全组件容器，所述第二Open VSwitch分别与每个第二业务容器和每个第二虚拟安全组件容器连接；其中，所述本地管理中心，用于根据用户需求和网络资源情况，...

【技术特征摘要】
1.一种基于容器的虚拟安全组件跨云系统，其特征在于，包括本地管理中心、本地虚拟机、本地虚拟机监视器、远端虚拟机、远端虚拟机监视器；所述本地虚拟机中部署有第一开放虚拟交换机OpenVSwitch、第一代理、一个或多个第一业务容器、一个或多个第一虚拟安全组件容器，所述第一OpenVSwitch分别与每个第一业务容器和每个第一虚拟安全组件容器连接；所述远端虚拟机中部署有第二OpenVSwitch、第二代理、一个或多个第二业务容器、一个或多个第二虚拟安全组件容器，所述第二OpenVSwitch分别与每个第二业务容器和每个第二虚拟安全组件容器连接；其中，所述本地管理中心，用于根据用户需求和网络资源情况，生成安全服务链的转发规则，通过所述第一代理向所述第一OpenVSwitch下发所述安全服务链的转发规则，通过所述第二代理向所述第二OpenVSwitch下发所述安全服务链的转发规则；所述第一OpenVSwitch或所述第二OpenVSwitch，用于在获得目标数据包时，根据所述安全服务链的转发规则，对所述目标数据包进行相应操作处理后转发所述目标数据包。2.根据权利要求1所述的系统，其特征在于，所述第一OpenVSwitch，具体用于在所述目标数据包为数据源发送的数据包时，根据所述安全服务链的转发规则，确定所述目标数据包对应的目标安全服务链，在所述目标数据包中添加安全服务链相关标志，对所述目标数据包进行相应操作处理后转发所述目标数据包。3.根据权利要求1所述的系统，其特征在于，所述第一OpenVSwitch或所述第二OpenVSwitch，具体用于在所述目标数据包中携带有安全服务链相关标志时，根据所述安全服务链相关标志，确定所述目标数据包对应的目标安全服务链及最近经过的目标虚拟安全组件，基于所述安全服务链的转发规则，对所述目标数据包进行相应操作处理后转发所述目标数据包。4.根据权利要求3所述的系统，其特征在于，所述第一OpenVSwitch，具体用于根据所述目标安全服务链和所述目标虚拟安全组件，确定所述目标虚拟安全组件的下一虚拟安全组件，如果所述下一虚拟安全组件为所述远端虚拟机中的虚拟安全组件，则基于所述安全服务链的转发规则，对所述目标数据包进行相应操作处理后，经由所述本地虚拟机监视器中的本地虚拟设备、所述远端虚拟机监视器中的远端虚拟设备将所述目标数据包转发给所述第二OpenVSwitch。5.根据权利要求4所述的系统，其特征在于，所述本地虚拟机监视器中的本地虚拟设备和所述远端虚拟机监视器中的远端虚拟设备支持的最大传输单元MTU均大于1500B。6.根据权利要求4所述的系统，其特征在于，所述本地虚拟设备为本地虚拟交换机或者本地虚拟路由器；所述远端虚拟设备为远端虚拟交换机或者远端虚拟路由器。7.根据权利要求1至6之中任一项所述的系统，其特征在于，任意一个第一虚拟安全组件容器，用于在对本地存储写入第一数据时，调用远端存储的接口，将所述第一数据同步到所述远端存储上；任意一个第二虚拟安全组件容器，用于在对所述远端存储写...

【专利技术属性】
技术研发人员：陈晓帆，马耀泉，古亮，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44