一种访问控制方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术实施例提供一种访问控制方法、装置、电子设备及存储介质。所述方法包括：为路由器属性新增站点属性，包括单站点属性或跨站点属性，配置不同控制器之间的对接配置，当有主机上线后，创建该主机对应的端口信息和路由器信息，在判断端口信息关联的安全组规则为同组可入/出规则，且路由器属性为跨站点属性后，通过对接配置将端口信息同步至对端控制器，并根据对端控制器同步的端口信息共同确认同组可入/出规则对应的所有主机信息，根据所有主机信息生成访问控制流表，下发至同组可入/出规则对应的所有主机关联的虚拟交换机，实现了边缘云场景下归属于不同控制器管理的站点间主机通过远端安全组进行访问策略控制的技术。机通过远端安全组进行访问策略控制的技术。机通过远端安全组进行访问策略控制的技术。

【技术实现步骤摘要】
一种访问控制方法、装置、电子设备及存储介质


[0001]本专利技术实施例涉及通信
，具体涉及一种访问控制方法、装置、电子设备及存储介质。

技术介绍

[0002]边缘云计算，简称边缘云，是基于云计算技术的核心和边缘计算的能力，构筑在边缘基础设施之上的云计算平台，形成边缘位置的计算、网络、存储、安全等能力全面的弹性云平台，并与中心云和物联网终端形成“云边端三体协同”的端到端的技术架构，通过将网络转发、存储、计算，智能化数据分析等工作放在边缘处理，降低响应时延、减轻云端压力、降低带宽成本，并提供全网调度、算力分发等云服务。拉远边缘云方案是在移动公有云的基础上，建设边缘云站点，并将边缘云站点连接到公有云数据中心，实现云边协同、计算下沉。其中，公有云解决方案是基于软件定义网络(Software Defined Network，SDN)控制器实现。从纵向层次上看，可分为4个层次：服务层、网络层、控制层、业务层。业务层负责统一管理业务资源，实现计算、存储、网络资源的协同调度。控制层即SDN控制器，北向对接云平台，实现网络资源协同调度，南向纳管网络设备，物理网络Underlay/虚拟网络Overlay统一控制独立界面完成业务编排，租户网络部署自动化。网络层，由物理网络设备组成的Underlay网络，接入层Leaf设备与汇聚层Spine设备全连接，等价多路径提高了网络的可用性。
[0003]在边缘云场景下，主站点(例如省节点)和边缘站点分别部署各自的控制器(Open Networking Controller，ONC)，ONC之间相互独立。当主站点主机上线时，云平台上的主机端口Port信息下发到主站点ONC，边缘站点主机上线时，云平台上的主机端口Port信息下发到边缘站点ONC，ONC根据Port绑定的安全组规则在虚拟交换机VSW上下发开放流openflow流表放通流量。当安全规则策略为同组可入/出时，ONC查询所有绑定了相同安全组的Port，根据Port的IP下发流表，在VSW放通相关流量。
[0004]现有技术中，当同一个虚拟私有云(Virtual Private Cloud，VPC)下绑定相同安全规则的主机同时在主站点和边缘站点上线，并且安全组内的安全规则为远端安全组时，由于主站点和边缘站点的ONC是独立部署，互相没有对端的Port信息，因此下发的流表不包含放通对端主机IP的表项，主机间无法互相访问。

技术实现思路

[0005]针对现有技术中的缺陷，本专利技术实施例提供了一种访问控制方法、装置、电子设备及存储介质。
[0006]第一方面，本专利技术实施例提供一种访问控制方法，应用于边缘云场景中，所述边缘云场景中包括云平台和至少两个控制器，所述方法应用于所述控制器中，所述方法包括：
[0007]接收云平台发送的第一通告，所述第一通告是所述云平台在检测到所述控制器关联的第一主机上线后，创建所述第一主机在所述云平台上的端口信息并确定所述第一主机所属的虚拟私有云对应的路由器信息之后发送的，其中所述路由器信息包括路由器属性，
所述路由器属性包括单站点属性或跨站点属性，所述云平台根据与所述第一主机属于同一虚拟私有云内所有上线主机对应的控制器数量确定的路由器属性；
[0008]根据所述第一通告，同步所述第一主机在所述控制器上对应的端口信息和路由器信息，所述端口信息包括关联的安全组规则；
[0009]若所述路由器属性为跨站点属性，则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器；
[0010]若所述安全组规则为同组可入/出规则，则获取所述同组可入/出规则关联的所有主机信息，其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息；
[0011]根据所述所有主机信息生成访问控制流表，将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
[0012]如上述方法，可选地，所述边缘云场景包括第一控制器和第二控制器，所述第一控制器关联主站点主机，所述第二控制器关联所有边缘站点主机；
[0013]或，
[0014]所述第一控制器关联所有边缘站点主机，所述第二控制器关联主站点主机。
[0015]如上述方法，可选地，在接收云平台发送的第一通告之前还包括：
[0016]获取所述其他控制器的配置信息，根据所述配置信息设置预设对接配置。
[0017]如上述方法，可选地，所述创建所述第一主机在所述控制器上对应的端口信息，包括：
[0018]接收用户输入的安全组规则，根据所述第一主机在所述云平台上的端口信息创建所述第一主机在所述控制器上对应的端口信息，并设置所述端口信息关联的安全组规则为所述用户输入的安全组规则。
[0019]如上述方法，可选地，所述获取所述同组可入/出规则关联的所有主机信息之前，还包括：
[0020]接收其他控制器同步的端口信息，所述端口信息包括关联的安全组规则；
[0021]确定同步的端口信息中安全组规则为所述同组可入/出规则的端口信息对应的主机信息。
[0022]第二方面，本专利技术实施例提供一种访问控制方法，应用于边缘云场景中，所述边缘云场景中包括云平台和控制器，所述方法应用于所述云平台中，所述方法包括：
[0023]检测到第一控制器关联第一主机上线后，确定所述第一主机对应的虚拟私有云内所有上线主机对应的控制器数量；
[0024]创建所述第一主机在所述云平台上的端口信息，并确定虚拟私有云对应的路由器信息，所述路由器信息包括路由器属性；
[0025]根据所述控制器数量设置所述路由器属性，所述路由器属性包括单站点属性或跨站点属性；
[0026]向所述第一控制器发送第一通告，以便所述第一控制器根据所述第一通告执行以下步骤：同步所述第一主机在所述第一控制器上对应的端口信息和路由器信息，所述端口信息包括关联的安全组规则；若所述路由器属性为跨站点属性，则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器；若所述安全组规则
为同组可入/出规则，则获取所述同组可入/出规则关联的所有主机信息，其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息；根据所述所有主机信息生成访问控制流表，将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。
[0027]如上述方法，可选地，所述根据控制器数量设置所述路由器属性，包括：
[0028]若所述控制器数量大于1，则设置所述路由器属性为跨站点属性，否则设置所述路由器属性为单站点属性。
[0029]如上述方法，可选地，所述确定虚拟私有云对应的路由器信息，包括：
[0030]判断所述第一控制器上是否已创建所述虚拟私有云对应的路由器信息；
[0031]若未创建，则确定所述第一控制器上待创建的所述虚拟私有云对应的路由器信息，并确定所述路由器属性本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制方法，其特征在于，应用于边缘云场景中，所述边缘云场景中包括云平台和至少两个控制器，所述方法应用于所述控制器中，所述方法包括：接收云平台发送的第一通告，所述第一通告是所述云平台在检测到所述控制器关联的第一主机上线后，创建所述第一主机在所述云平台上的端口信息并确定所述第一主机所属的虚拟私有云对应的路由器信息之后发送的，其中所述路由器信息包括路由器属性，所述路由器属性包括单站点属性或跨站点属性，所述云平台根据与所述第一主机属于同一虚拟私有云内所有上线主机对应的控制器数量确定的路由器属性；根据所述第一通告，同步所述第一主机在所述控制器上对应的端口信息和路由器信息，所述端口信息包括关联的安全组规则；若所述路由器属性为跨站点属性，则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器；若所述安全组规则为同组可入/出规则，则获取所述同组可入/出规则关联的所有主机信息，其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息；根据所述所有主机信息生成访问控制流表，将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。2.根据权利要求1所述的方法，其特征在于，所述边缘云场景包括第一控制器和第二控制器，所述第一控制器关联主站点主机，所述第二控制器关联所有边缘站点主机；或，所述第一控制器关联所有边缘站点主机，所述第二控制器关联主站点主机。3.根据权利要求1所述的方法，其特征在于，在接收云平台发送的第一通告之前还包括：获取所述其他控制器的配置信息，根据所述配置信息设置预设对接配置。4.根据权利要求1所述的方法，其特征在于，所述创建所述第一主机在所述控制器上对应的端口信息，包括：接收用户输入的安全组规则，根据所述第一主机在所述云平台上的端口信息创建所述第一主机在所述控制器上对应的端口信息，并设置所述端口信息关联的安全组规则为所述用户输入的安全组规则。5.根据权利要求1
‑
4任一项所述的方法，其特征在于，所述获取所述同组可入/出规则关联的所有主机信息之前，还包括：接收其他控制器同步的端口信息，所述端口信息包括关联的安全组规则；确定同步的端口信息中安全组规则为所述同组可入/出规则的端口信息对应的主机信息。6.一种访问控制方法，其特征在于，应用于边缘云场景中，所述边缘云场景中包括云平台和控制器，所述方法应用于所述云平台中，所述方法包括：检测到第一控制器关联的第一主机上线后，确定所述第一主机对应的虚拟私有云内所有上线主机对应的控制器数量；创建所述第一主机在所述云平台上的端口信息，并确定虚拟私有云对应的路由器信息，所述路由器信息包括路由器属性；
根据所述控制器数量设置所述路由器属性，所述路由器属性包括单站点属性或跨站点属性；向所述第一控制器发送第一通告，以便所述第一控制器根据所述第一通告执行以下步骤：同步所述第一主机在所述第一控制器上对应的端口信息和路由器信息，所述端口信息包括关联的安全组规则；若所述路由器属性为跨站点属性，则通过预设的对接配置同步所述端口信息至与所述第一主机属于同一虚拟私有云的其他控制器；若所述安全组规则为同组可入/出规则，则获取所述同组可入/出规则关联的所有主机信息，其中所述所有主机信息包括所述其他控制器同步的关联所述同组可入/出规则的端口信息对应的主机信息；根据所述所有主机信息生成访问控制流表，将所述访问控制流表下发至所述同组可入/出规则对应的所有主机关联的虚拟交换机。7.根据权利要求6所述的方法，其特征在于，所述根据控制器数量设置所述路由器属性，包括：若所述控制器数量大于1，则设置所述路由器属性为跨站点属性，否则设置所述路由器属性为单站点属性。8.根据权利要求7所述的方法，其特征在于，所述确定虚拟私有云对应的路由器信息，包括：判断所述第一控制器上是否已创建所述虚拟私有云对应的路由器信息；若未创建，则确定所述第一控制器上待创建的所述虚拟私有云对应的路由器信息，并确定所述路由器属性；相应地，所述向所述第一控制器发送第一通告，包括：向所述第一控制器发送第一通告，所述第一通告携带所述第一主机在所述云平台上的端口信息和所述第一控制器待创建的路由器信息；若已创建，则判断所述...

【专利技术属性】
技术研发人员：杨旭，
申请(专利权)人：锐捷网络股份有限公司，
类型：发明
国别省市：