[发明专利]一种安全组规则不能立即生效问题的解决方法

说明书

本发明提供了一种安全组规则不能立即生效问题的解决方法，用户的安全组规则发生变化后，获取当前计算节点的所有ct_mark等于1的conntrack entry，提取出该实体中的协议元组信息，并与当前计算节点的安全组规则进行匹配，若能够匹配成功，则通过OVS的命令删除该conntrack entry。本发明所述的一种安全组规则不能立即生效问题的解决方法，在连接没有断开情况下，修改安全组数据，能够保证安全组功能立即生效，而不需要用户断开连接，并且等到连接超时才生效。

技术领域

本发明属于云计算技术领域，尤其是涉及一种安全组规则不能立即生效问题的解决方法。

背景技术

云计算网络中，基于OVS实现的安全组是根据连接状态来进行报文处理的，是基于ip_conntrack实现的。而iptables设置的NAT规则仅仅对一个流的第一个数据包有效。启用了ip_conntrack，任何数据包都要绑定到一个唯一的conntrack，由于ip_conntrack的保存是基于超时时间(UDP，ICMP而言)或者协议(TCP而言)的，因此就会导致在上述规则增加前的一个流的头包过去以后，新增加的依赖ip_conntrack的上述iptables规则不能生效，必须等到该conntrack过期或者协议关闭之后，下一次重新建立conntrack才能生效。

当前的情况在用户连接不断开的情况下，删除安全组白名单规则，删除之后网络依然能够通信，用户必须首先断开连接，然后等待该断开的连接超时之后才能生效。若用户连接一直不断开，则删除的安全组规则一直不能生效。

发明内容

有鉴于此，本发明旨在克服上述现有技术中存在的缺陷，提出一种安全组规则不能立即生效问题的解决方法。

为达到上述目的，本发明的技术方案是这样实现的：

一种安全组规则不能立即生效问题的解决方法，包括如下步骤：

S1.增加和删除OVS的安全组规则下发后，获取当前计算节点上所有ct_mark等于1的conntrack entry；

S2.针对每条conntrack entry，根据不同的协议类型取出相应流的具体特征；

S3.根据从conntrack entry解析出的具体流的关键信息字段，与当前计算节点上所有已经下发的安全组规则依次进行匹配处理。

进一步的，所述步骤S2中，如果conntrack entry是UDP和TCP协议，则通过该entry取出该流对应的：源IP、目的IP、源端口、目的端口；

如果conntrack entry是ICMP的，则通过该entry取出该ICMP流对应的：源IP、目的IP、Type、Code和ID；所述ID为ICMP包的ID。

进一步的，所述步骤S3的具体处理过程如下：

如果该ct_mark等于1的conntrack entry能匹配上该计算节点的某条安全组规则，则根据协议类型调用OVS命令ovs-dpctl flush-conntrack将该conntrack entry删除；

如果该ct_mark等于1的conntrack entry不能在计算节点中找到完全匹配的规则，则该entry与当前修改的安全组没有关系，不做处理。

相对于现有技术，本发明具有以下优势：

用户的安全组规则发生变化后，获取当前计算节点的所有ct_mark等于1的conntrack entry，提取出该实体中的协议元组信息，并与当前计算节点的安全组规则进行匹配，若能够匹配成功，则通过OVS的命令删除该conntrack entry。如此，保证了新增和删除的安全组规则不受已经存在的连接状态的影响，基于此规则的报文能够作为第一个数据流匹配高优先级的报文，保证最新下发的安全组能够立即生效。