【技术实现步骤摘要】
一种基于应用组的转发方法、设备以及系统
本专利技术关于数据处理
,特别是关于虚拟机的隔离技术,具体的讲是一种基于应用组的转发方法、基于应用组的转发系统、计算机设备以及计算机可读存储介质。
技术介绍
本部分旨在为权利要求书中陈述的本专利技术的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。在数据中心有成千上万的虚拟机。随着东西向流量的增长,虚拟机之间的互访也越来越复杂。为了防止虚拟机攻击的横向扩展,需要通过安全策略将虚拟之间隔离,仅允许需要访问的虚拟机之间彼此通信。基于IP地址的Openflow的流表项,随着主机的扩容,使得与该业务相关的所有的策略都得进行调整,即表项是成倍增长;同时随着虚拟机的迁移,需要调整原有策略,会影响到一条甚至多条策略。因此,如何提供一种新的方案,其能够解决上述技术缺陷是本领域亟待解决的技术难题。
技术实现思路
有鉴于此,本专利技术提供了一种基于应用组的转发方法、基于应用组的转发系统、计算机设备以及计算机可读存储介质,根据实际的应用为具...
【技术保护点】
1.一种基于应用组的转发方法,其特征在于,所述方法包括:/n获取安全策略申请;/n确定所述安全策略申请对应的应用组访问关系信息;/n将所述应用组访问关系信息分解到多级流表,以实现基于应用组的转发。/n
【技术特征摘要】
1.一种基于应用组的转发方法,其特征在于,所述方法包括:
获取安全策略申请;
确定所述安全策略申请对应的应用组访问关系信息;
将所述应用组访问关系信息分解到多级流表,以实现基于应用组的转发。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将具有相同属性的应用和主机划分到相同的组,并分配唯一的身份标识。
3.根据权利要求2所述的方法,其特征在于,确定所述安全策略申请对应的应用组访问关系信息包括:
确定所述安全策略申请对应的源地址、源地址所属的主机组标识以及所述源地址需要访问的目的应用组相关的身份标识;
根据所述身份标识将所述安全策略申请映射为由所述身份标识构成的应用组访问关系信息。
4.根据权利要求3所述的方法,其特征在于,将所述应用组访问关系信息分解到多级流表,以实现基于应用组的转发包括:
根据所述应用访问关系信息与所述身份标识的映射关系,将所述应用组访问关系信息进行分解,得到多级流表;
将每一级流表通过应用组访问关系信息进行串联,以实现基于应用组的转发。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
将所述流表下发到相应的交换机;
根据控制器定义的转发行为,实现报文的转发。
6.一种基于应用组的转发系统,其特征在于,所述系统包括:
策略申请获取模块,用于获取安全策略申请;
关系信息确定模块,用于确定所述安全策略申请对应的应用组访问关系信息;
关系信息分解模块,用于将所述应用组访问关系信息分...
【专利技术属性】
技术研发人员:何文娟,
申请(专利权)人:中盈优创资讯科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。