[发明专利]一种基于openstack的代理部署系统及方法

说明书

一种基于openstack的代理部署系统及方法，涉及云计算领域，包括服务端、第一管理接入交换机、第二管理接入交换机、管理核心交换机和至少一个计算节点，所述服务端通过第二管理接入交换机连接管理核心交换机，管理核心交换机连接第一管理接入交换机，其特征在于：每个计算节点包括代理虚拟机和管理虚拟交换机，所述代理虚拟机的代理管理网卡绑定至管理虚拟交换机；每个计算节点对应一个计算节点管理网卡，计算节点管理网卡接入所述第一管理接入交换机的端口，管理虚拟交换机绑定计算节点管理网卡。本发明在符合等保三级要求下，减少转发路径，提升网络转发性能，减少运维人员后期工作量。

技术领域

本发明涉及云计算领域，具体来讲涉及一种基于openstack的代理部署系统及方法。

背景技术

在基于openstack建设云计算的IAAS(Infrastructure as a Service，基础设施即服务)时，在满足等保三级的情况下，需要部署一些代理，如监控代理、防病毒代理和数据库审计等。一般情况下，在部署符合等保三级的云计算IAAS平台时，在网络上要划分成三个网络：管理网络、业务网络以及存储网络，且三个网络必须相互隔离。

如图1所示，在符合等保三级的云数据中心中，运维监控管理系统、数据库审计系统、以及云杀毒系统等必须部署到运维管理区，而这些系统要能正常工作，必须以虚拟机的形式在租户的网络里面部署代理；这样就会产生以下几个问题：

(1)如图1所示，由于openstack架构上的设计，虚拟机只能通过业务网络与外界通讯，而业务网络与管理网络无法互访，导致代理无法与服务端进行通讯，因为服务端是部署在运维管理区。如果要让系统正常工作，就必须打通管理平面与业务平面，如图2所示，在管理防火墙与业务防火墙之间连接一根网线；但是这样就会留有安全隐患，不符合等保三级要求。

(2)如图2所示，在强行打通管理网络与业务网络的情况下，代理与服务端通讯，数据流路径就变为：代理→业务虚拟交换机→业务接入交换机→业务核心交换机→业务防火墙→管理防火墙→管理核心交换机→管理接入交换机→服务端；转发路径非常长，导致代理效率降低，影响代理虚拟机的网络转发性能。

(3)在强行打通管理网络与业务网络的情况下，必须设置相应的防火墙安全策略，进行相应网段隔离，这样就增加了额外的配置工作，随着租户的增多，策略也随之增加；大大增加运维人员后期的工作量。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种基于openstack的代理部署系统及方法，在符合等保三级要求下，减少转发路径，提升网络转发性能，减少运维人员后期工作量。

为达到以上目的，本发明采取一种基于openstack的代理部署系统，包括服务端、第一管理接入交换机、第二管理接入交换机、管理核心交换机和至少一个计算节点，所述服务端通过第二管理接入交换机连接管理核心交换机，管理核心交换机连接第一管理接入交换机，每个计算节点包括代理虚拟机和管理虚拟交换机，所述代理虚拟机的代理管理网卡绑定至管理虚拟交换机；每个计算节点对应一个计算节点管理网卡，计算节点管理网卡接入所述第一管理接入交换机的端口，管理虚拟交换机绑定计算节点管理网卡。

在上述技术方案的基础上，所述计算节点包括用户虚拟机和业务虚拟交换机，用户虚拟机的虚拟机业务网卡绑定至述业务虚拟交换机，业务虚拟交换机绑定代理虚拟机的代理业务网卡。

在上述技术方案的基础上，包括业务接入交换机和业务核心交换机，计算节点的计算节点业务网卡绑定至业务接入交换机，业务接入交换机连接业务核心交换机。

本发明还提供一种代理部署方法，包括步骤：

S1.每个计算节点添加管理虚拟交换机，并将计算节点管理网卡绑定到对应的管理虚拟交换机；

S2.创建管理网段，由openstack分配管理vlan；