一种部署云资源池架构的方法及系统技术方案

本公开实施例公开了一种部署云资源池架构方法及系统。其中，该方法包括在资源池的流量网关容器中创建虚拟接口，以构建所述资源池的容器网络与应用网络之间全双工IP地址；在通过所述应用网络接收到带有预设的产品类型的防护请求后，根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系，确定出所述产品类型对应的调用指令函数类型；基于所述对应的调用指令函数类型调用对应的安全指令，通过所述IP地址执行所述安全指令以完成对所述防护请求的响应。该方法/系统能够实现了节省主机资源、支持快速扩展的技术效果。支持快速扩展的技术效果。支持快速扩展的技术效果。

【技术实现步骤摘要】
一种部署云资源池架构的方法及系统


[0001]本公开涉及网络安全
，尤其涉及一种部署云资源池架构的方法及系统。

技术介绍

[0002]虚拟化安全资源池方案是为云计算或虚拟化资源池环境提供池化安全能力的解决方案。是采用虚拟化技术，将安全产品的软件从硬件中分离出来并运行在池化的虚拟环境中，使得多种安全产品可以直接运行在通用的物理服务器上，并由多台设备共同构成资源池。
[0003]通常，企业将安全资源池部署在传统机房的服务器主机的虚拟机(Virtual Machine,VM)上，由于安全资源池底座受到虚拟机的限制，性能无法得到较好的扩展，出现加载时间慢和扩容困难，容易造成安全资源池的资源利用不充分、以及使安全指令性能受限等问题。

技术实现思路

[0004]有鉴于此，本公开实施例提供了一种部署云资源池架构方法及系统，能够解决现有技术中安全资源池的资源利用受到虚拟机限制的技术问题。
[0005]第一方面，本公开实施例提供了一种部署云资源池架构方法，采用如下技术方案：
[0006]在资源池的流量网关容器中创建虚拟接口，以构建所述资源池的容器网络与应用网络之间全双工IP地址；
[0007]在通过所述应用网络接收到带有预设的产品类型的防护请求后，根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系，确定出所述产品类型对应的调用指令函数类型；
[0008]基于所述对应的调用指令函数类型调用对应的安全指令，通过所述IP地址执行所述安全指令以完成对所述防护请求的响应。
[0009]可选的，所述在资源池包括流量网关容器、容器网络，所述在资源池的流量网关容器中创建虚拟接口，包括：
[0010]根据所述流量网关容器的接口信息创建对应的网桥和虚拟逻辑接口；
[0011]将所述虚拟逻辑接口添加至所述网桥中创建出所述虚拟接口。
[0012]可选的，在所述在资源池的流量网关容器中创建虚拟接口之后，该方法还包括：
[0013]利用所述虚拟接口与主机的多层虚拟链路连接，并结合预设的网络架构，以使所述资源池的容器网络具有转发应用流量的能力。
[0014]可选的，所述预设的网络架构，包括：
[0015]利用OVS
‑
VSWITCHD虚拟交换机与DPDK应用程序构建所述网络架构。
[0016]可选的，所述预设的产品类型，包括流量类型产品，所述流量类型产品对应的防护请求包括：将所述流量类型产品的应用流量经过所述资源池进行流量清洗，及将清洗后的所述应用流量推送至对应的被防护资源。
[0017]可选的，所述将所述流量类型产品的应用流量经过所述资源池进行流量清洗，包括：
[0018]检测所述应用流量是否存在攻击流量；若所述应用流量存在攻击流量，则生成与所述攻击流量对应的流量清洗路由；其中，所述流量清洗路由至少包括用于指示所述攻击流量对应的分支路由设备的设备标识；
[0019]根据所述流量清洗路由对所述应用流量进行流量清洗，将流量清洗后的应用流量回注至容器网络的汇聚路由模块，以使流量清洗后的应用流量被所述汇聚路由模块转发。
[0020]可选的，所述预设的产品类型，包括非流量类型产品，所述流量类型产品对应的防护请求为通过对应的安全指令对非流量类型产品进行防护。
[0021]可选的，在所述根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系之前，该方法还包括：
[0022]获取每个预先确定的产品类型的归属文件夹与存储区域标识的关联关系，
[0023]根据所述关联关系建立每个预先确定的产品类型与所述调用指令函数类型的映射关系并存储至所述资源池的存储空间。
[0024]可选的，所述基于所述对应的调用指令函数类型调用对应的安全指令，包括：
[0025]接收调用指令函数类型创建安全指令的请求，向所述资源池的安全指令管理组件发送安全指令创建消息；
[0026]根据所述安全指令创建消息启动容器虚拟机启动，并调用所述容器虚拟机内的容器生产代理子组件在容器虚拟机内生产容器，以创建所述安全指令。
[0027]可选的，所述通过所述IP地址执行所述安全指令以完成对所述防护请求的响应，包括：
[0028]根据所述安全指令对应的预先定义的应用规则对所述防护请求的执行防护操作，得到所述防护请求的响应。
[0029]为实现上述目的，本公开实施例还提供一种部署云资源池架构系统，包括：
[0030]构建模块：用于在资源池的流量网关容器中创建虚拟接口，以构建所述资源池的容器网络与应用网络之间全双工IP地址；
[0031]接收模块：用于在通过所述应用网络接收到带有预设的产品类型的防护请求后，根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系，确定出所述产品类型对应的调用指令函数类型；
[0032]响应模块：用于基于所述对应的调用指令函数类型调用对应的安全指令，通过所述IP地址执行所述安全指令以完成对所述防护请求的响应。
[0033]第二方面，本公开实施例还提供了一种电子设备，采用如下技术方案：
[0034]所述电子设备包括：
[0035]至少一个处理器；以及，
[0036]与所述至少一个处理器通信连接的存储器；其中，
[0037]所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述部署云资源池架构方法。
[0038]第四方面，本公开实施例还提供了一种计算机可读存储介质，该计算机可读存储介质存储计算机指令，该计算机指令用于使计算机执行上述部署云资源池架构方法。
[0039]本公开实施例提供的部署云资源池架构方法，通过资源池网络设计的场景中，在资源池的流量网关容器中创建虚拟接口，以构建所述资源池的容器网络与应用网络之间全双工IP地址，以使资源池的容器网络具有高性能转发应用流量的能力；
[0040]通过资源池部署架构的场景中，资源池以独立服务器的形式，作为应用流量的中间节点部署。根据安全指令的实例能力，可以分为流量类型产品和非流量类型产品进行防护，缓解现有技术中安全资源池部署在传统机房服务器的虚拟机(VM)，实现了节省主机资源、支持快速扩展的技术效果，缓解现有技术中安全资源池部署在传统机房服务器的虚拟机(VM)，造成安全资源池的资源利用不充分、扩容困难及安全指令性能受限于资源池底座的问题。
[0041]上述说明仅是本公开技术方案的概述，为了能更清楚了解本公开的技术手段，而可依照说明书的内容予以实施，并且为让本公开的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图，详细说明如下。
附图说明
[0042]为了更清楚地说明本公开实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种部署云资源池架构的方法，其特征在于，包括：在资源池的流量网关容器中创建虚拟接口，以构建所述资源池的容器网络与应用网络之间全双工IP地址；在通过所述应用网络接收到带有预设的产品类型的防护请求后，根据所述资源池的预先确定的产品类型与调用指令函数类型的映射关系，确定出所述产品类型对应的调用指令函数类型；基于所述对应的调用指令函数类型调用对应的安全指令，通过所述IP地址执行所述安全指令以完成对所述防护请求的响应。2.根据权利要求1所述的部署云资源池架构方法，其特征在于，所述在资源池包括流量网关容器、容器网络，所述在资源池的流量网关容器中创建虚拟接口，包括：根据所述流量网关容器的接口信息创建对应的网桥和虚拟逻辑接口；将所述虚拟逻辑接口添加至所述网桥中创建出所述虚拟接口。3.根据权利要求1或2所述的部署云资源池架构方法，其特征在于，在所述在资源池的流量网关容器中创建虚拟接口之后，该方法还包括：利用所述虚拟接口与主机的多层虚拟链路连接，并结合预设的网络架构，以使所述资源池的容器网络具有转发应用流量的能力，其中，所述预设的网络架构为利用OVS
‑
VSWITCHD虚拟交换机与DPDK应用程序构建所述网络架构。4.根据权利要求1所述的部署云资源池架构方法，其特征在于，所述预设的产品类型，包括流量类型产品，所述流量类型产品对应的防护请求包括：将所述流量类型产品的应用流量经过所述资源池进行流量清洗，及将清洗后的所述应用流量推送至对应的被防护资源。5.根据权利要求4所述的部署云资源池架构方法，其特征在于，所述将所述流量类型产品的应用流量经过所述资源池进行流量清洗，包括：检测所述应用流量是否存在攻击流量；若所述应用流量存在攻击流量，则生成与所述攻击流量对应的流量清洗路由；其中，所述流量清洗路由至少包括用于指示所述攻击流量对应的分支路由设备的设备标识；根据所述流量清洗路由对所述应用流量进行流量清洗，将流...

【专利技术属性】
技术研发人员：王培博，刘英，
申请(专利权)人：深圳市联合欣业科技有限公司，
类型：发明
国别省市：