【技术实现步骤摘要】
本申请涉及网络与安全,特别是涉及一种工作负载间的通信控制方法、装置、计算机设备、存储介质和计算机程序产品。
技术介绍
1、云计算作为一种新的计算模式,已快速发展成为一个新兴研究和应用领域,得到了越来越多的关注和广泛的应用,在数字化转型的浪潮下,各项传统业务系统都在向云上迁移。
2、云计算内部安全一般采用隔离方式,来避免攻击行为的横向快速渗透。相关技术中,通过在相关网络设备和防火墙安全设备上配置acl(访问控制列表),不需要交互的主机间则设置禁止转发,即可解决其安全扩散问题,而对于需要交互的主机间则设置允许转发,但主机间静态开放的交互访问通道和端口,使得安全风险扩散的可能性较大,无法保障工作负载间通信的安全性。
3、因此,相关技术存在工作负载间通信的安全性低的问题。
技术实现思路
1、基于此,有必要针对上述技术问题,提供一种能够提高工作负载间通信的安全性的工作负载间的通信控制方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
2、第一方面,本申请提供了一种工作负载间的通信控制方法,应用于sdn控制器,包括:
3、接收策略控制服务器下发的针对待通信的工作负载间的转发控制策略;所述转发控制策略为基于所述待通信的工作负载间的安全策略生成的;所述安全策略为根据所述待通信的工作负载的状态信息和所述待通信的工作负载之间的组织逻辑关系确定得到的;所述组织逻辑关系用于表征各所述工作负载的功能以及各所述工作负载之间的关系;
4、根据
5、根据更新后的ovs转发流表,对所述待通信的工作负载进行通信控制。
6、在其中一个实施例中,在所述转发控制策略对应的安全策略为禁止访问类策略的情况下,所述对所述待通信的工作负载之间的转发路径上的ovs转发流表进行更新,包括:
7、下发匹配丢弃流表项至所述转发路径上的ovs。
8、在其中一个实施例中,在所述转发控制策略对应的安全策略为定期通信策略的情况下,所述对所述待通信的工作负载之间的转发路径上的ovs转发流表进行更新,包括:
9、下发匹配转发流表项和倒计时至所述转发路径上的ovs;所述下发匹配转发流表项用于指示所述转发路径上的ovs对互访通信请求携带的通信数据进行转发;所述互访通信请求为所述待通信的工作负载发起的通信请求;
10、在倒计时结束的情况下,将所述下发匹配转发流表项更新为匹配丢弃流表项,并将所述匹配丢弃流表项下发至所述转发路径上的ovs。
11、在其中一个实施例中,所述根据更新后的ovs转发流表,对所述待通信的工作负载进行通信控制,包括:
12、在所述待通信的工作负载发起的互访通信请求携带的通信数据,触发所述匹配丢弃流表项对应的操作的情况下,记录相应的事件日志;所述事件日志用于指示所述策略控制服务器发出提示信息。
13、第二方面,本申请还提供了一种工作负载间的通信控制方法,应用于策略控制服务器,所述方法包括:
14、获取目标业务应用系统中的待通信的工作负载的状态信息,以及所述待通信的工作负载之间的组织逻辑关系;所述组织逻辑关系用于表征各所述工作负载的功能以及各所述工作负载之间的关系;
15、根据所述状态信息和所述组织逻辑关系,生成所述待通信的工作负载之间的安全策略;
16、获取所述待通信的工作负载之间的网络拓扑关系,并将所述网络拓扑关系与所述安全策略进行叠加,得到满足所述安全策略的转发控制策略;
17、将所述转发控制策略下发至sdn控制器;所述sdn控制器用于执行如第一方面和/或第一方面的任一种实施例所述的工作负载间的通信控制方法。
18、在其中一个实施例中,所述将所述网络拓扑关系与所述安全策略进行叠加,得到满足所述安全策略的转发控制策略,包括:
19、根据所述网络拓扑关系,得到所述待通信的工作负载之间的转发路径;
20、将所述待通信的工作负载之间的转发路径,与相应的安全策略进行叠加,得到满足所述安全策略的转发控制策略。
21、第三方面,本申请还提供了一种工作负载间的通信控制装置,应用于sdn控制器,包括:
22、接收模块,用于接收策略控制服务器下发的针对待通信的工作负载间的转发控制策略;所述转发控制策略为基于所述待通信的工作负载间的安全策略生成的;所述安全策略为根据所述待通信的工作负载的状态信息和所述待通信的工作负载之间的组织逻辑关系确定得到的;所述组织逻辑关系用于表征各所述工作负载的功能以及各所述工作负载之间的关系;
23、更新模块,用于根据所述转发控制策略,对所述待通信的工作负载之间的转发路径上的ovs转发流表进行更新;
24、控制模块,用于根据更新后的ovs转发流表,对所述待通信的工作负载进行通信控制。
25、第四方面,本申请还提供了一种工作负载间的通信控制装置,应用于策略控制服务器,包括:
26、获取模块,用于获取目标业务应用系统中的待通信的工作负载的状态信息,以及所述待通信的工作负载之间的组织逻辑关系;所述组织逻辑关系用于表征各所述工作负载的功能以及各所述工作负载之间的关系;
27、生成模块,用于根据所述状态信息和所述组织逻辑关系,生成所述待通信的工作负载之间的安全策略;
28、叠加模块,用于获取所述待通信的工作负载之间的网络拓扑关系,并将所述网络拓扑关系与所述安全策略进行叠加,得到满足所述安全策略的转发控制策略;
29、下发模块,用于将所述转发控制策略下发至sdn控制器;所述sdn控制器用于执行如第一方面和/或第一方面的任一种实施例所述的工作负载间的通信控制方法。
30、第五方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如第一方面所述的工作负载间的通信控制方法的步骤,和/或,如第二方面所述的工作负载间的通信控制方法的步骤。
31、第六方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的工作负载间的通信控制方法的步骤,和/或,如第二方面所述的工作负载间的通信控制方法的步骤。
32、第七方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的工作负载间的通信控制方法的步骤,和/或,如第二方面所述的工作负载间的通信控制方法的步骤。
33、上述工作负载间的通信控制方法、装置、计算机设备、存储介质和计算机程序产品,通过sdn控制器接收策略控制服务器下发的针对待通信的工作负载间的转发控制策略;其中转发控制策略为基于待通信的工作负载之间的安全策略生成的;其中,本文档来自技高网...
【技术保护点】
1.一种工作负载间的通信控制方法,其特征在于,应用于SDN控制器,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述转发控制策略对应的安全策略为禁止访问类策略的情况下,所述对所述待通信的工作负载之间的转发路径上的OVS转发流表进行更新,包括:
3.根据权利要求1所述的方法,其特征在于,在所述转发控制策略对应的安全策略为定期通信策略的情况下,所述对所述待通信的工作负载之间的转发路径上的OVS转发流表进行更新,包括:
4.根据权利要求2或3任一项所述的方法,其特征在于,所述根据更新后的OVS转发流表,对所述待通信的工作负载进行通信控制,包括:
5.一种工作负载间的通信控制方法,其特征在于,应用于策略控制服务器,所述方法包括:
6.根据权利要求5所述的方法,其特征在于,所述将所述网络拓扑关系与所述安全策略进行叠加,得到满足所述安全策略的转发控制策略,包括:
7.一种工作负载间的通信控制装置,其特征在于,应用于SDN控制器,所述装置包括:
8.一种工作负载间的通信控制装置,其特征在于,应用于
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4中任一项所述的方法的步骤,和/或,如权利要求5至6中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的方法的步骤,和/或,如权利要求5至6中任一项所述的方法的步骤。
11.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的方法的步骤,和/或,如权利要求5至6中任一项所述的方法的步骤。
...【技术特征摘要】
1.一种工作负载间的通信控制方法,其特征在于,应用于sdn控制器,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述转发控制策略对应的安全策略为禁止访问类策略的情况下,所述对所述待通信的工作负载之间的转发路径上的ovs转发流表进行更新,包括:
3.根据权利要求1所述的方法,其特征在于,在所述转发控制策略对应的安全策略为定期通信策略的情况下,所述对所述待通信的工作负载之间的转发路径上的ovs转发流表进行更新,包括:
4.根据权利要求2或3任一项所述的方法,其特征在于,所述根据更新后的ovs转发流表,对所述待通信的工作负载进行通信控制,包括:
5.一种工作负载间的通信控制方法,其特征在于,应用于策略控制服务器,所述方法包括:
6.根据权利要求5所述的方法,其特征在于,所述将所述网络拓扑关系与所述安全策略进行叠加,得到满足所述安全策略的转...
【专利技术属性】
技术研发人员:陈文华,陈鸿杰,李志龙,景寅洛,蒋春元,
申请(专利权)人:中国电信股份有限公司技术创新中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。