基于主机overlay架构下的安全组巡检方法及装置制造方法及图纸

本申请提供了一种基于主机overlay架构下的安全组巡检方法及装置，所述方法包括：通过访问Mysql数据库获取待巡检的数据信息，其中，数据信息包括CVK、虚机和网卡信息；根据待巡检的网卡信息获取与其绑定的第一安全组规则集合，并将第一安全组规则集合转换为具有访问控制列表的第一数据结构；遍历所有待审计的CVK，并访问CVK上部署的审计服务，通过审计服务，获取OVN上的第二安全组规则集合，并将第二安全组规则集合转换为具有访问控制列表的第二数据结构；将第一数据结构与第二数据结构基于预设的对比策略进行对比，根据对比结果，输出巡检结果。本申请可定期或即时巡检安全组，及时感知并定位出差异数据，有效提高云平台架构以及数据的稳定性。及数据的稳定性。及数据的稳定性。

【技术实现步骤摘要】
基于主机overlay架构下的安全组巡检方法及装置


[0001]本申请属于网络通信领域，尤其涉及一种基于主机overlay架构下的安全组巡检方法及装置。

技术介绍

[0002]主机overlay架构下的安全组功能，如图1所示，在控制面，存放在mysql数据库中；在设备面，存放在OVN的北向数据库中，设备面的安全组规则由控制面通过http下发agent转成ACL流表，理论上，控制面和设备面，安全组数据应该统一。然而，如果设备侧发生特殊情况，如agent异常删除逻辑port或者router等场景，会导致设备上的安全组规则与控制面不统一，影响虚拟机的出入流量，进而影响客户业务，审计是否存在脏数据，可以提前预知并处理异常情况，以保证流量正常。

技术实现思路

[0003]有鉴于此，本申请旨在提出一种基于主机overlay架构下的安全组巡检方法及装置，以解决在主机overlay架构下的安全组数据在控制面与设备面不一致的问题。
[0004]为达到上述目的，本申请的技术方案是这样实现的：
[0005]第一方面，本申请提供了一种基于主机overlay架构下的安全组巡检方法，所述方法包括：
[0006]通过访问Mysql数据库获取待巡检的数据信息，其中，所述数据信息至少包括CVK、虚机和网卡信息；
[0007]根据待巡检的网卡信息获取与其绑定的第一安全组规则集合，并将所述第一安全组规则集合转换为具有访问控制列表的第一数据结构；
[0008]遍历所有待审计的CVK，并访问CVK上部署的审计服务，通过审计服务，获取OVN上的第二安全组规则集合，并将所述第二安全组规则集合转换为具有访问控制列表的第二数据结构；
[0009]将所述第一数据结构与所述第二数据结构基于预设的对比策略进行对比，根据对比结果，得到巡检结果。
[0010]第二方面，基于同一专利技术构思，本申请还提供了一种基于主机overlay架构下的安全组巡检装置，所述装置包括：
[0011]信息获取模块，被配置为通过访问Mysql数据库获取待巡检的数据信息，其中，所述数据信息至少包括CVK、虚机和网卡信息；
[0012]第一集合获取模块，被配置为根据待巡检的网卡信息获取与其绑定的第一安全组规则集合，并将所述第一安全组规则集合转换为具有访问控制列表的第一数据结构；
[0013]第二集合获取模块，被配置为遍历所有待审计的CVK，并访问CVK上部署的审计服务，通过审计服务，获取OVN上的第二安全组规则集合，并将所述第二安全组规则集合转换为具有访问控制列表的第二数据结构；
[0014]巡检结果输出模块，被配置为将所述第一数据结构与所述第二数据结构基于预设的对比策略进行对比，根据对比结果，得到巡检结果。
[0015]第三方面，基于同一专利技术构思，本申请还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述的基于主机overlay架构下的安全组巡检方法。
[0016]基于同一专利技术构思，本申请还提供了一种非暂态计算机可读存储介质，其中，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如第二方面所述的基于主机overlay架构下的安全组巡检方法。
[0017]相对于现有技术，本申请所述的基于主机overlay架构下的安全组巡检方法及装置具有以下有益效果：
[0018]本申请所述的基于主机overlay架构下的安全组巡检方法及装置通过将控制面与设备面的安全组规则数据进行对比，根据对比结果，输出巡检详情，所述方法可以定期或即时巡检安全组，及时感知并定位出差异数据，避免因安全组差异导致业务异常，能够有效提高云平台架构以及数据的稳定性。
附图说明
[0019]构成本申请的一部分的附图用来提供对本申请的进一步理解，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：
[0020]图1为本申请实施例所述的控制面和设备面的安全组规则数据下发示意图；
[0021]图2为本申请一实施例所述的基于主机overlay架构下的安全组巡检方法流程图；
[0022]图3为本申请另一实施例所述的基于主机overlay架构下的安全组巡检方法具体流程图；
[0023]图4为本申请实施例所述的基于主机overlay架构下的安全组巡检装置结构示意图；
[0024]图5为本申请实施例所述的电子设备硬件结构示意图。
具体实施方式
[0025]为使本申请的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本申请进一步详细说明。
[0026]需要说明的是，除非另外定义，本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。
[0027]以下结合附图详细说明本申请的实施例。
[0028]安全组是一种虚拟防火墙，具备检测和数据包过滤能力，通过配置安全组规则，可
以控制安全组内虚机的入流量和出流量，在主机overlay架构下，SDN控制器通过agent服务向虚拟设备下发用户配置的安全组规则，agent服务将安全组规则转换成ACL下发到OVN中，OVN通过ACL流表在逻辑交换机中实现安全组功能，实现控制面到设备面的流量出入控制。
[0029]请参阅图2和图3所示，本申请一个实施例的基于主机overlay架构下的安全组巡检方法，包括以下步骤：
[0030]步骤S101、通过访问Mysql数据库获取待巡检的数据信息，其中，所述数据信息至少包括CVK、虚机和网卡信息。
[0031]在一些实施方式中，利用数据库查询语言检索特定数据集；
[0032]通过构建查询语句，根据巡检需求进行筛选和排序，以获取待巡检的CVK、虚机和网卡信息。
[0033]具体地，利用数据库查询语言(如SQL)连接到Mysql数据库，构建查询语句检索待巡检的CVK、虚机和网卡信息，根据需要进行筛选、排序和聚合等操作，以获取所需的巡检数据信息。
[0034]进一步地，打开MySQL客户端工具，并使用正确的连接参数(如主机名、端口号、用户名和密码)连接到MySQL数据库；在MySQL客户端中，打开一个新的查询窗口或命令行界面，使用SELECT语句来指定需要检索的字段和表名，例如：SEL本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于主机overlay架构下的安全组巡检方法，其特征在于，所述方法包括：通过访问Mysql数据库获取待巡检的数据信息，其中，所述数据信息至少包括CVK、虚机和网卡信息；根据待巡检的网卡信息获取与其绑定的第一安全组规则集合，并将所述第一安全组规则集合转换为具有访问控制列表的第一数据结构；遍历所有待审计的CVK，并访问CVK上部署的审计服务，通过审计服务，获取OVN上的第二安全组规则集合，并将所述第二安全组规则集合转换为具有访问控制列表的第二数据结构；将所述第一数据结构与所述第二数据结构基于预设的对比策略进行对比，根据对比结果，得到巡检结果。2.根据权利要求1所述的基于主机overlay架构下的安全组巡检方法，其特征在于，所述通过访问Mysql数据库获取待巡检的数据信息，其中，所述数据信息至少包括CVK、虚机和网卡信息，包括：利用数据库查询语言检索特定数据集；通过构建查询语句，根据巡检需求进行筛选和排序，以获取待巡检的CVK、虚机和网卡信息。3.根据权利要求1所述的基于主机overlay架构下的安全组巡检方法，其特征在于，所述根据待巡检的网卡信息获取与其绑定的第一安全组规则集合，并将所述第一安全组规则集合转换为具有访问控制列表的第一数据结构，包括：根据待巡检的网卡信息，调用云平台的SDK或API获取其所绑定的第一安全组规则集合；将第一安全组规则集合转换为ACL流表集合。4.根据权利要求3所述的基于主机overlay架构下的安全组巡检方法，其特征在于，所述遍历所有待审计的CVK，并访问CVK上部署的审计服务，通过审计服务，获取OVN上的第二安全组规则集合，并将所述第二安全组规则集合转换为具有访问控制列表的第二数据结构，包括：遍历所有待审计的CVK，并通过HTTP请求库或云平台提供的SDK连接到CVK上的审计服务；调用审计服务的API获取OVN上的第二安全组规则集合；将第二安全组规则集合转换为ACL流表集合。5.根据权利要求4所述的基于主机overlay架构下的安全组巡检方法，其特征在于，还包括：响应于访问审计服务失败，将标记该C...

【专利技术属性】
技术研发人员：张赛，
申请(专利权)人：紫光云技术有限公司，
类型：发明
国别省市：