[发明专利]一种OpenStack安全组优化方法

说明书

本发明提供了一种OpenStack安全组优化方法，租户自己创建自定义安全组，租户开通自动创建一个管理网安全组、租户进行购买指令、虚拟网卡更新，购买指令传递到控制层，控制层将信息传递给OpenStack的Neutron层、租户开始选择安全组、Openstack层攒好的配置通过agent的driver驱动下发到物理设备上，本发明所述的一种OpenStack安全组优化方法，有OpenStack上面的控制层来控制所有安全组的操作,虚拟机的安全性更高，租管互通是PaaS类产品的内部操作，租管互通需要放行的IP地址，租户不感知，利用管理网安全组自动绑定虚拟机，满足租管互通的放行管理网IP地址需求，管理网安全组的安全组规则放行的IP地址可控、灵活性高。

技术领域

本发明属于云计算与虚拟化领域，尤其是涉及一种OpenStack安全组优化方法。

背景技术

OpenStack Neutron为ECS实例提供了两种网络安全方式：安全组和虚拟防火墙。安全组的原理是利用iptables对ECS实例所在的计算节点的网络流量进行过滤，虚拟防火墙底层也是通过iptables在Router上对网络报文进行过滤。安全组具有状态检测和数据包过滤的能力，在云计算领域，利用安全组在云端划分安全域，通过设置安全组规则来实现控制安全组内ECS实例的入流量和出流量；OpenStack中提供的安全组方案，每一个租户都会自动创建一个命名为default的默认安全组，使用default安全组的虚拟机允许向外部发送数据报文，但禁止所有外部流量进入虚拟机(两个ECS实例使用同一个default安全组除外)，租户在创建ECS实例时如果未创建新的安全组，则会被强制使用default安全组；

租户在创建ECS虚拟机实例时，如果除了default安全组没有其他自建的安全组可供选择，则会被强制使用default安全组，但是default安全组有以下几个弊端：

default安全组规则全部放行，存在安全风险；

一些依赖ECS虚拟机的PaaS类产品，如RDS数据库，容器，KAFKA等产品，租户在购买这个产品后，由于这些产品要依赖虚拟机来实现，如果要做高可用就需要更多的虚拟机，这些虚拟机都会使用default安全组，但是租户对这些产品支撑所用的虚拟机并不感知，一旦default安全组规则有改动，则会影响这些产品的正常使用；

由于很多场景的需求，有些产品要实现租户网与管理网的互通(以下简称租管互通)，租管互通需要打通管理网与租户网之间的通讯壁垒，进入虚拟机的流量不能完全被禁止，来自管理网的流量报文需要进入虚拟机，使用default安全组的虚拟机就会将管理网的流量过滤掉，就不能满足租管互通的需求。

发明内容

有鉴于此，本发明旨在提出一种OpenStack安全组优化方法，以解决default安全组固有的限制性问题。

为达到上述目的，本发明的技术方案是这样实现的：

一种OpenStack安全组优化方法，包括以下步骤

S1：租户自己创建自定义安全组，租户开通自动创建一个管理网安全组；

S2：租户进行购买指令；

S3：虚拟网卡更新，购买指令传递到控制层，控制层需要根据租户购买的产品类型来判断虚拟机是否需要使用租管互通，放行管理网地址，将信息传递给OpenStack的Neutron层；

S4：Neutron层根据控制层传递的信息，若虚拟机绑定安全组时需要使用租管互通，则自动将管理网安全组与虚拟机绑定，储存绑定关系，待虚拟机删除时，将虚拟机与管理网安全组进行解绑操作，自动将管理网安全组与虚拟机绑定之后进行步骤S5，若不需要用租管互通，租户则直接进行步骤S5；