[发明专利]基于SDN的网络访问控制方法、装置和计算机设备

说明书

本申请涉及一种基于SDN的网络访问控制方法、装置、计算机设备和存储介质。所述方法包括：控制虚拟机接入基于SDN的子网，且运行相同角色的服务的虚拟机接入同一个子网；获取不同子网之间的网络访问安全需求信息；根据所述网络访问安全需求信息，生成不同子网之间的网络访问规则；将所述网络访问规则下发至与所述虚拟机跨子网通信相关的实体设备；所述网络访问规则用于指示所述实体设备对所述虚拟机发起的跨子网的网络访问请求进行验证。采用本方法能够提高对虚拟机上运行的服务的网络访问效率。

技术领域

本申请涉及网络技术领域，特别是涉及一种基于SDN的网络访问控制方法、装置和计算机设备。

背景技术

随着网络技术的发展，出现了SDN(Software Defined Network，软件定义网络)技术，SDN是一种新型网络创新架构，是网络虚拟化的一种实现方式。SDN技术由于能实现网络流量的灵活控制的优点而被越来越广泛的使用。目前，常常在软件定义网络中接入虚拟机，通过虚拟机运行不同角色的服务来实现各种业务功能。

传统的对虚拟机中运行的服务之间的通信进行网络访问控制时，通常在宿主机里针对虚拟机部署访问控制规则。但随着服务规模的扩大，虚拟机数量快速增长，访问控制规则也大规模的增加，导致宿主机的网络性能大幅下降，使得对服务的网络访问效率低。

发明内容

基于此，有必要针对上述技术问题，提供一种能够提高网络访问效率的基于SDN的网络访问控制方法、装置、计算机设备和存储介质。

一种基于SDN的网络访问控制方法，所述方法包括：

控制虚拟机接入基于SDN的子网，且运行相同角色的服务的虚拟机接入同一个子网；

获取不同子网之间的网络访问安全需求信息；

根据所述网络访问安全需求信息，生成不同子网之间的网络访问规则；

将所述网络访问规则下发至与所述虚拟机跨子网通信相关的实体设备；

所述网络访问规则用于指示所述实体设备对所述虚拟机发起的跨子网的网络访问请求进行验证。

一种基于SDN的网络访问控制装置，所述装置包括：

控制模块，用于控制虚拟机接入基于SDN的子网，且运行相同角色的服务的虚拟机接入同一个子网；

获取模块，用于获取不同子网之间的网络访问安全需求信息；

生成模块，用于根据所述网络访问安全需求信息，生成不同子网之间的网络访问规则；

下发模块，用于将所述网络访问规则下发至与所述虚拟机跨子网通信相关的实体设备；所述网络访问规则用于指示所述实体设备对所述虚拟机发起的跨子网的网络访问请求进行验证。

一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述基于SDN的网络访问控制方法的步骤。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述基于SDN的网络访问控制方法的步骤。

上述基于SDN的网络访问控制方法、装置、计算机设备和存储介质，根据不同子网之间的网络访问安全需求信息，生成网络访问规则，并将网络访问规则下发到与虚拟机跨子网通信相关实体设备。这样，可以使得网络访问规则的数量和子网的数量相对应，极大的降低了网络访问规则的数量，并且不受接入子网的虚拟机的数量的影响。通过将运行着相同角色的服务的虚拟机接入同一个子网，当接入不同子网中的虚拟机需进行通信时，实体设备可根据不同子网之间的网络访问规则对虚拟机发起的跨子网的网络访问请求进行验证。这样，就可通过极少数量的网络访问规则，实现对虚拟机的跨子网的网络访问控制，提高了对虚拟机上运行的服务的网络访问效率。