【技术实现步骤摘要】
本专利技术涉及云计算,特别是涉及一种安全防护方法及云平台。
技术介绍
1、随着云计算技术的发展,云平台已广泛应用于各类服务场景。在云平台的服务过程中,通常需对云上的网络流量进行安全检测,以对云上各租户进行安全防护。
2、目前,云平台中的安全防护过程主要基于虚拟防火墙实现。通常是在每个租户的虚拟私有云(virtual private cloud,vpc)中部署防火墙,即采用虚拟机承载防火墙的部署形态,通过子网路由将需要进行安全检测的网络流量引到部署防火墙的虚拟机上,以此实现安全防护。
3、在现有的安全防护方式中,每个虚拟防火墙仅对其关联的租户进行安全防护,也就是每个租户都需要部署对应的虚拟防火墙,安全防护的成本较高。其次,在实际的业务场景中,各租户的流量负载通常是不均衡的,相对应的会导致各虚拟防火墙的资源利用率差异较大,容易造成资源浪费。
技术实现思路
1、有鉴于此,本专利技术实施例提供了一种安全防护方法和云平台,以解决现有的安全防护方式中,每个租户均需部署虚拟防火墙,成本较高,且容易造成资源浪费的问题。
2、为实现上述目的,本专利技术实施例提供如下技术方案:
3、一种安全防护方法,所述方法应用于云平台,所述云平台包括:脊交换机、第一交换机集群和第二交换机集群;所述第一交换机集群包括至少一个第一叶交换机,所述第二交换机集群包括至少一个第二叶交换机;所述第一叶交换机与多个虚拟交换机相连接,每个所述虚拟交换机与多个租户虚拟机相连接,所述第二
4、第一虚拟交换机在接收到其连接的租户虚拟机发送的网络流量时,在所述第二交换机集群中,确定所述网络流量对应的目标第二叶交换机;所述第一虚拟交换机为所述第一交换机集群中的第一叶交换机连接的虚拟交换机;
5、所述第一虚拟交换机基于所述目标第二叶交换机的地址,对所述网络流量进行虚拟扩展局域网报文封装处理,得到所述网络流量对应的第一流量报文,通过所述第一虚拟交换机连接的第一叶交换机和所述脊交换机,将所述第一流量报文发送至所述目标第二叶交换机;
6、所述目标第二叶交换机对所述第一流量报文进行虚拟扩展局域网报文解封装处理,得到所述网络流量对应的第二流量报文;
7、所述目标第二叶交换机在其连接的各个硬件防火墙中,确定所述网络流量对应的目标硬件防火墙,将所述第二流量报文发送至所述目标硬件防火墙;
8、所述目标硬件防火墙基于所述第二流量报文,对所述网络流量进行安全检测,得到安全检测结果,若所述安全检测结果表征所述网络流量为异常流量,则对所述网络流量进行拦截,以对所述云平台进行安全防护。
9、上述的方法,可选的,所述第二叶交换机连接的硬件防火墙通过目标接口与该第二叶交换机相连接,该目标接口为配置为端口汇聚接口的二层聚合接口;
10、所述第二叶交换机连接的硬件防火墙中配置有多个三层子接口和多个虚拟路由转发实例,所述多个三层子接口和所述多个虚拟路由转发实例一一对应绑定。
11、上述的方法,可选的,所述将所述第二流量报文发送至所述目标硬件防火墙,包括:
12、依据预先配置的策略路由,在所述目标硬件防火墙的各个三层子接口中,确定所述第二流量报文对应的目标三层子接口,通过所述目标三层子接口,将所述第二流量报文发送至所述目标三层子接口绑定的虚拟路由转发实例中,以将所述第二流量报文发送至所述目标硬件防火墙。
13、上述的方法,可选的,所述第二叶交换机连接的各个硬件防火墙之间基于预设的远程备份管理协议进行会话同步。
14、上述的方法,可选的,还包括:
15、若所述安全检测结果表征所述网络流量为正常流量,所述目标硬件防火墙则将所述第二流量报文发送至所述目标第二叶交换机;
16、所述目标第二叶交换机确定所述第二流量报文对应的目标地址,基于所述目标地址对所述第二流量报文进行虚拟扩展局域网报文封装处理,得到所述网络流量对应的第三流量报文,通过所述脊交换机和所述第一交换机集群对所述第三流量报文进行流量转发,以使所述网络流量到达所述目标地址。
17、上述的方法,可选的,若所述网络流量为东西向流量,所述通过所述脊交换机和所述第一交换机集群对所述第三流量报文进行流量转发,以使所述网络流量到达所述目标地址的过程,包括:
18、所述目标第二叶交换机将所述第三流量报文发送至所述脊交换机;
19、所述脊交换机在所述第一交换机集群中,确定所述目标地址对应的目标第一叶交换机,并将所述第三流量报文发送至所述目标第一叶交换机;
20、所述目标第一叶交换机在其连接的各个虚拟交换机中,确定所述目标地址对应的第二虚拟交换机,并将所述第三流量报文发送至所述第二虚拟交换机;
21、所述第二虚拟交换机对所述第三流量报文进行虚拟扩展局域网报文解封装处理,得到所述网络流量对应的第四流量报文;
22、所述第二虚拟交换机在其连接的各个租户虚拟机中,确定所述目标地址对应的目标租户虚拟机,并将所述第四流量报文发送至所述目标租户虚拟机。
23、上述的方法,可选的,所述第一交换机集群还包括第三叶交换机,所述第三叶交换机分别与互联网网关、服务网关相连接;若所述网络流量为南北向流量,所述通过所述脊交换机和所述第一交换机集群对所述第三流量报文进行流量转发,以使所述网络流量到达所述目标地址的过程,包括:
24、所述目标第二叶交换机将所述第三流量报文发送至所述脊交换机;
25、所述脊交换机将所述第三流量报文发送至所述第三叶交换机;
26、所述第三叶交换机将所述第三流量报文发送至所述互联网网关;
27、所述互联网网关对所述第三流量报文进行虚拟扩展局域网报文解封装处理,得到所述网络流量对应的第五流量报文;
28、所述互联网网关对所述目标地址进行网络地址转换处理,获得所述目标地址对应的公网地址,并基于所述公网地址对所述第五流量报文进行虚拟扩展局域网报文封装处理,得到所述网络流量对应的第六流量报文;
29、所述互联网网关通过所述第三叶交换机将所述第六流量报文发送至所述服务网关;
30、所述服务网关对所述第六流量报文进行虚拟扩展局域网报文解封装处理,得到所述网络流量对应的第七流量报文,将所述第七流量报文发送至公网。
31、上述的方法,可选的,还包括:
32、采集所述第一交换机集群对应的网络性能统计信息和所述第二交换机集群对应的网络性能统计信息;
33、采集所述第一交换机集群中的第一叶交换机连接的每个虚拟交换机所对应的网络性能统计信息;
34、采集所述第二交换机集群中的第二叶交换机连接的每个硬件防火墙所对应的网络性能统计信息;
35、将所述第一交换机集群对应的网络性能统计信息、所述第二交换机集群对应的网络性能统计信息、每个所述虚拟交换机本文档来自技高网...
【技术保护点】
1.一种安全防护方法,其特征在于,所述方法应用于云平台,所述云平台包括:脊交换机、第一交换机集群和第二交换机集群;所述第一交换机集群包括至少一个第一叶交换机,所述第二交换机集群包括至少一个第二叶交换机;所述第一叶交换机与多个虚拟交换机相连接,每个所述虚拟交换机与多个租户虚拟机相连接,所述第二叶交换机与多个硬件防火墙相连接;所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第二叶交换机连接的硬件防火墙通过目标接口与该第二叶交换机相连接,该目标接口为配置为端口汇聚接口的二层聚合接口;
3.根据权利要求2所述的方法,其特征在于,所述将所述第二流量报文发送至所述目标硬件防火墙,包括:
4.根据权利要求1所述的方法,其特征在于,所述第二叶交换机连接的各个硬件防火墙之间基于预设的远程备份管理协议进行会话同步。
5.根据权利要求1所述的方法,其特征在于,还包括:
6.根据权利要求5所述的方法,其特征在于,若所述网络流量为东西向流量,所述通过所述脊交换机和所述第一交换机集群对所述第三流量报文进行流量转发,以使所述网络流量到达
7.根据权利要求5所述的方法,其特征在于,所述第一交换机集群还包括第三叶交换机,所述第三叶交换机分别与互联网网关、服务网关相连接;若所述网络流量为南北向流量,所述通过所述脊交换机和所述第一交换机集群对所述第三流量报文进行流量转发,以使所述网络流量到达所述目标地址的过程,包括:
8.根据权利要求1所述的方法,其特征在于,还包括:
9.根据权利要求1所述的方法,其特征在于,还包括:
10.一种云平台,其特征在于,包括:
...【技术特征摘要】
1.一种安全防护方法,其特征在于,所述方法应用于云平台,所述云平台包括:脊交换机、第一交换机集群和第二交换机集群;所述第一交换机集群包括至少一个第一叶交换机,所述第二交换机集群包括至少一个第二叶交换机;所述第一叶交换机与多个虚拟交换机相连接,每个所述虚拟交换机与多个租户虚拟机相连接,所述第二叶交换机与多个硬件防火墙相连接;所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第二叶交换机连接的硬件防火墙通过目标接口与该第二叶交换机相连接,该目标接口为配置为端口汇聚接口的二层聚合接口;
3.根据权利要求2所述的方法,其特征在于,所述将所述第二流量报文发送至所述目标硬件防火墙,包括:
4.根据权利要求1所述的方法,其特征在于,所述第二叶交换机连接的各个硬件防火墙之间基于预设的远程备份管理协议进行...
【专利技术属性】
技术研发人员:王海,余勇志,肖龙强,邵祥聪,
申请(专利权)人:天翼云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。