一种裸金属安全组的实现方法技术

本发明专利技术涉及电通信技术领域，具体涉及一种裸金属安全组的实现方法，将裸金属服务器连接管理区和Leaf交换机；Leaf交换机连接Border边界交换机和防火墙设备；在管理区中部署SDN控制器；在裸金属服务器中创建安全组，Leaf交换机支持OpenFlow流表，且OpenFlow流表使能配置为打开状态，管理区对裸金属服务器做镜像管理和基础配置管理，SDN控制器整体把控整个网络的运行，SDN控制器直接纳管Leaf交换机、Border边界交换机和防火墙设备，Leaf交换机、Border边界交换机和防火墙设备上的配置全部由SDN控制器下发，解决了裸金属安全组的实现方法的运营成本较高的问题。营成本较高的问题。营成本较高的问题。

【技术实现步骤摘要】
一种裸金属安全组的实现方法


[0001]本专利技术涉及电通信
，尤其涉及一种裸金属安全组的实现方法。

技术介绍

[0002]裸金属服务器，是一台传统物理服务器的升级版，既具备传统物理服务器卓越性能，又具备云主机一样的便捷管理平台，为用户带来卓越的计算性能，能满足核心应用场景对高性能及稳定性的需求；
[0003]现有的裸金属安全组的实现方法对安全组功能的需求是通过安装智能网卡来完成；
[0004]但是额外需要安装软件，智能网卡的研发成本较高，从而增加了裸金属安全组的实现方法的运营成本。

技术实现思路

[0005]本专利技术的目的在于提供一种裸金属安全组的实现方法，旨在解决裸金属安全组的实现方法的运营成本较高的问题。
[0006]为实现上述目的，本专利技术提供了一种裸金属安全组的实现方法，包括：
[0007]将裸金属服务器连接管理区和所述Leaf交换机；
[0008]所述Leaf交换机连接Border边界交换机和防火墙设备；
[0009]在所述管理区中部署SDN控制器；
[0010]在所述裸金属服务器中创建安全组。
[0011]其中，所述Leaf交换机支持OpenFlow流表，且OpenFlow流表使能配置为打开状态。
[0012]其中，所述管理区，用于对所述裸金属服务器做镜像管理和基础配置管理。
[0013]其中，所述Leaf交换机，用于为所述裸金属服务器提供网络交换。
[0014]其中，所述SDN控制器，用于控制并配置所述Leaf交换机、所述Border边界交换机和所述防火墙设备。
[0015]其中，在所述裸金属服务器中创建安全组中的具体方式为：创建裸金属安全组规则；对安全组规则进行校验，若校验成功，所述SDN控制器按照安全组规则转换成流表规则并下发到所述Leaf交换机上。
[0016]本专利技术的一种裸金属安全组的实现方法，将裸金属服务器连接管理区和所述Leaf交换机；Leaf交换机连接Border边界交换机和防火墙设备；在管理区中部署SDN控制器；在裸金属服务器中创建安全组，所述Leaf交换机支持OpenFlow流表，且OpenFlow流表使能配置为打开状态，所述管理区，用于对所述裸金属服务器做镜像管理和基础配置管理，所述SDN控制器，用于控制并配置所述Leaf交换机、所述Border边界交换机和所述防火墙设备，所述Leaf交换机、所述Border边界交换机和所述防火墙设备上的配置全部由所述SDN控制器下发，解决了裸金属安全组的实现方法的运营成本较高的问题，解决了裸金属安全组的实现方法的运营成本较高的问题。
附图说明
[0017]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0018]图1是本专利技术提供的一种裸金属安全组的实现方法的流程图；
[0019]图2是S4的具体流程图；
[0020]图3是实施例1的流程图；
[0021]图4是实施例2的流程图；
[0022]图5是本专利技术提供的一种裸金属安全组的实现方法的网络系统整体拓扑图；
具体实施方式
[0023]下面详细描述本专利技术的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本专利技术，而不能理解为对本专利技术的限制。
[0024]在本专利技术的描述中，需要理解的是，术语“长度”、“宽度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本专利技术和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本专利技术的限制。此外，在本专利技术的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
[0025]请参阅图1至图5，本专利技术提供一种裸金属安全组的实现方法，包括：
[0026]S1、将裸金属服务器连接管理区和所述Leaf交换机；
[0027]所述Leaf交换机支持OpenFlow流表，且OpenFlow流表使能配置为打开状态。所述管理区，用于对所述裸金属服务器做镜像管理和基础配置管理。
[0028]S2、所述Leaf交换机连接Border边界交换机和防火墙设备；
[0029]路由器提供的网络通过Spine和所述Leaf交换机提供给所述裸金属服务器，所述Border边界交换机和所述防火墙设备通过汇聚交换机与路由器连接。
[0030]S3、在所述管理区中部署SDN控制器；
[0031]所述SDN控制器，用于控制并配置所述Leaf交换机、所述Border边界交换机和所述防火墙设备。所述Leaf交换机、所述Border边界交换机和所述防火墙设备上的配置全部由所述SDN控制器下发。
[0032]S4、在所述裸金属服务器中创建安全组。
[0033]具体方式为：
[0034]S41、创建裸金属安全组规则并进行校验；
[0035]S42、对安全组规则进行校验，若校验成功，所述SDN控制器按照安全组规则转换成流表规则并下发到所述Leaf交换机上。
[0036]实施例1、两个虚拟专有云里的专有云虚拟机之间安全组由专有云虚拟机物理服务器上的OVS通过OVS流表来实现，所述专有云虚拟机物理服务器有唯一的OVS，两个所述专有云虚拟机共用一个OVS，在两个所述专有云虚拟机通讯时，OVS通过OVS流表来实现安全组
的功能，控制所述专有云虚拟机的东西向流量和南北向流量的转发；所述Leaf交换机充当OVS来实现安全策略；所述SDN控制器统一下发所述Leaf交换机上的流表规则；当所述裸金属服务器想要访问南北向流量时：
[0037]S101、所述专有云虚拟机向所述裸金属服务器发出请求报文；
[0038]S102、请求报文到达所述裸金属服务器所连的所述Leaf交换机，并匹配流表规则；
[0039]S103、匹配成功，进入所述Border边界交换机，然后进入所述防火墙设备；
[0040]在所述防火墙设备上可以做一些安全策略和NAT转换。
[0041]S104、再过所述Border边界交换机出南北向流量。
[0042]回程报文流程相同，但是因为所述Leaf交换机是没有Session会话机制的，所以需要同时在所述Leaf交换机的出方向和入方向同时下发规则才能生效，这是与OVS流表不同的地方。
[0043]实施例2、同一个虚拟私有云内部流量互通，即东西向流量，当同一个虚拟私有云虚拟机想要和所述裸金属服务器互通时：
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种裸金属安全组的实现方法，其特征在于，包括：将裸金属服务器连接管理区和所述Leaf交换机；所述Leaf交换机连接Border边界交换机和防火墙设备；在所述管理区中部署SDN控制器；在所述裸金属服务器中创建安全组。2.如权利要求1所述的裸金属安全组的实现方法，其特征在于，所述Leaf交换机支持OpenFlow流表，且OpenFlow流表使能配置为打开状态。3.如权利要求1所述的裸金属安全组的实现方法，其特征在于，所述管理区，用于对所述裸金属服务器做镜像管理和基础配置管理。4.如权利要求1所...

【专利技术属性】
技术研发人员：范生越，
申请(专利权)人：紫光云南京数字技术有限公司，
类型：发明
国别省市：