[发明专利]一种数据中心主机Overlay网络访问控制方法

权利要求书

1.一种数据中心主机Overlay网络访问控制方法，其特征是配置网络访问控制策略，根据网络访问控制策略配置iptables规则限通集群内部虚拟机间流量，并在网关侧根据网络访问控制策略配置路由策略限通集群内外网间的数据流量，进而控制集群网络访问。

2.根据权利要求1所述的一种数据中心主机Overlay网络访问控制方法，其特征是网络访问控制策略包括内部网络访问控制策略和外部网络访问控制策略，利用内部网络访问控制策略依据用户配置的网络访问控制规则转换为iptables规则，利用外部网络访问控制策略依据用户配置的网络访问控制规则转换为路由策略。

3.根据权利要求1或2所述的一种数据中心主机Overlay网络访问控制方法，其特征是将iptables规则下发至vSwitch主机，vSwitch主机添加相应的iptables规则，并执行。

4.根据权利要求3所述的一种数据中心主机Overlay网络访问控制方法，其特征是将路由策略通知给网关，利用路由策略限制出入集群的外网流量。

5.根据权利要求3或4所述的一种数据中心主机Overlay网络访问控制方法，其特征是利用虚拟端口绑定内部网络访问控制策，通过RPC将iptables规则下发至vSwitch主机，

利用虚拟端口解绑内部网络访问控制策，vSwitch主机删除iptables规则。

6.根据权利要求5所述的一种数据中心主机Overlay网络访问控制方法，其特征是利用虚拟路由器绑定外部网络访问控制策略，通过netconf连接将所有路由策略下发至网关，

利用虚拟路由器解绑最后一个外部网络访问控制策略，则删除网关的路由策略。

7.一种数据中心主机Overlay网络访问控制希系统，其特征是包括配置模块及限流模块，

配置模块配置网络访问控制策略，限流模块根据网络访问控制策略配置iptables规则限通集群内部虚拟机间流量，并在网关侧根据网络访问控制策略配置路由策略限通集群内外网间的数据流量，进而控制集群网络访问。

8.一种数据中心主机Overlay网络访问控制装置，其特征是包括：至少一个存储器和至少一个处理器；

所述至少一个存储器，用于存储机器可读程序；

所述至少一个处理器，用于调用所述机器可读程序，执行权利要求1至6中任一所述的一种数据中心主机Overlay网络访问控制方法。