本發明涉及云計算領域，具體來講涉及一種基于openstack的代理部署系統及方法。

背景技術：

在基于openstack建設云計算的IAAS(Infrastructure as a Service，基礎設施即服務)時，在滿足等保三級的情況下，需要部署一些代理，如監控代理、防病毒代理和數據庫審計等。一般情況下，在部署符合等保三級的云計算IAAS平臺時，在網絡上要劃分成三個網絡：管理網絡、業務網絡以及存儲網絡，且三個網絡必須相互隔離。

如圖1所示，在符合等保三級的云數據中心中，運維監控管理系統、數據庫審計系統、以及云殺毒系統等必須部署到運維管理區，而這些系統要能正常工作，必須以虛擬機的形式在租戶的網絡里面部署代理；這樣就會產生以下幾個問題：

(1)如圖1所示，由于openstack架構上的設計，虛擬機只能通過業務網絡與外界通訊，而業務網絡與管理網絡無法互訪，導致代理無法與服務端進行通訊，因為服務端是部署在運維管理區。如果要讓系統正常工作，就必須打通管理平面與業務平面，如圖2所示，在管理防火墻與業務防火墻之間連接一根網線；但是這樣就會留有安全隱患，不符合等保三級要求。

(2)如圖2所示，在強行打通管理網絡與業務網絡的情況下，代理與服務端通訊，數據流路徑就變為：代理→業務虛擬交換機→業務接入交換機→業務核心交換機→業務防火墻→管理防火墻→管理核心交換機→管理接入交換機→服務端；轉發路徑非常長，導致代理效率降低，影響代理虛擬機的網絡轉發性能。

(3)在強行打通管理網絡與業務網絡的情況下，必須設置相應的防火墻安全策略，進行相應網段隔離，這樣就增加了額外的配置工作，隨著租戶的增多，策略也隨之增加；大大增加運維人員后期的工作量。

技術實現要素：

針對現有技術中存在的缺陷，本發明的目的在于提供一種基于openstack的代理部署系統及方法，在符合等保三級要求下，減少轉發路徑，提升網絡轉發性能，減少運維人員后期工作量。

為達到以上目的，本發明采取一種基于openstack的代理部署系統，包括服務器、第一管理接入交換機、第二管理接入交換機、管理核心交換機和至少一個計算節點，所述服務端通過第二管理接入交換機連接管理核心交換機，管理核心交換機連接第一管理接入交換機，每個計算節點包括代理虛擬機和管理虛擬交換機，所述代理虛擬機的代理管理網卡綁定至管理虛擬交換機；每個計算節點對應一個計算節點管理網卡，計算節點管理網卡接入所述第一管理接入交換機的端口，管理虛擬交換機綁定計算節點管理網卡。

在上述技術方案的基礎上，所述計算節點包括用戶虛擬機和業務虛擬交換機，用戶虛擬機的虛擬機業務網卡綁定至述業務虛擬交換機，業務虛擬交換機綁定代理虛擬機的代理業務網卡。

在上述技術方案的基礎上，包括業務接入交換機和業務核心交換機，計算節點的計算節點業務網卡綁定至業務接入交換機，業務接入交換機連接業務核心交換機。

本發明還提供一種代理部署方法，包括步驟：

S1.每個計算節點添加管理虛擬交換機，并將計算節點管理網卡綁定到對應的管理虛擬交換機；

S2.創建管理網段，由openstack分配管理vlan；

S3.每個計算節點創建代理虛擬機，選擇所述管理vlan，將代理虛擬機的代理管理網卡綁定到管理虛擬交換機；

S4.將第一管理接入交換機接入計算節點管理網卡的端口配置成trunk模式，允許所述管理vlan通過；

S5.在代理虛擬機里配置去往服務端的明細路由；

S6.通過openstack設置安全組，允許代理虛擬機訪問服務端的TCP或者UDP端口；

S7.在代理虛擬機與服務端連通的前提下，接收代理發送的信息。

在上述技術方案的基礎上，所述S1中，通過修改openstack代碼，在服務啟動時，調用openvswitch命令為每個計算節點添加管理虛擬交換機。

在上述技術方案的基礎上，所述S2中，管理網段由云平臺租戶管理員通過openstack用戶界面創建。

在上述技術方案的基礎上，所述S3中，代理虛擬機由云平臺租戶管理員通過openstack用戶界面創建。

在上述技術方案的基礎上，所述S3中，通過代理虛擬機的代理管理網卡綁定到管理虛擬交換機，將代理管理網卡和計算節點管理網卡通過管理虛擬交換機連接。

在上述技術方案的基礎上，所述S7的具體步驟為，

S701.在代理虛擬機里，用telnet或者ping命令測試與服務端的連通性，判斷是否連通，若是，進入S702；若否，進入S703；

S702.通過服務端，判斷是否收到代理發來的信息，若是，結束；若否，進入S703；

S703.檢測通過openstack設置的安全組設置是否正確，若是，進入S702；若否，進入S704；

S704.進行糾錯后，進入S702。

本發明的有益效果在于：

由于在每個計算節點上部署管理虛擬交換機，將計算節點的管理網卡綁定到該管理虛擬交換機上，代理虛擬機(即虛擬機形態的代理)的代理管理網卡連接到該計算節點的管理虛擬交換機上.這樣每個代理就可以使用自己的代理管理網卡通過計算節點上的管理虛擬交換機，通過計算節點上的計算節點管理網卡與服務端通訊，其具備以下好處：

(1)代理虛擬機通過業務虛擬交換機采集信息，從計算機管理網卡、通過管理網絡與服務端交互，這樣就沒有打破三個網絡相互隔離的要求，符合安全等保三級。

(2)數據流的路途變成：代理→管理虛擬交換機→管理接入交換機→管理核心交換機→管理防火墻→管理接入交換機→服務端，整個路徑相對于背景技術中的系統路徑縮短至將近1/2，并且少了管理防火墻與業務防火墻之間策略過濾，從而提高了整個代理效率以及網絡的轉發性能。

(3)代理虛擬機形態從管理網絡向服務端上報采集到的相關信息，因此就不需要強行打通業務網絡與管理網絡，就不需要再兩個網絡相應的防火墻配置安全策略，最終減輕了運維人員后期的工作量，提升運維效率。

附圖說明

圖1為背景技術中等保三級的云數據中心示意圖；

圖2為背景技術中代理部署系統示意圖；

圖3為本發明實施例基于openstack的代理部署系統示意圖；

圖4為本發明實施例基于openstack的代理部署方法流程圖。

圖5為圖4中S7的具體步驟。

具體實施方式

以下結合附圖及實施例對本發明作進一步詳細說明。

如圖3所示，本發明基于openstack的代理部署系統，包括服務器、第一管理接入交換機、第二管理接入交換機、管理核心交換機和至少一個計算節點；所述服務端通過第二管理接入交換機連接管理核心交換機，管理核心交換機設置管理防火墻，管理核心交換機連接第一管理接入交換機。每個計算節點包括用戶虛擬機、業務虛擬交換機(br-int)、代理虛擬機和管理虛擬交換機(br-mgnt)；每個計算節點對應一個計算節點管理網卡，計算節點管理網卡接入所述第一管理接入交換機的端口，管理虛擬交換機綁定計算節點管理網卡，所述代理虛擬機的代理管理網卡綁定至管理虛擬交換機。代理虛擬機的代理業務網卡綁定至業務虛擬交換機，所述用戶虛擬機的虛擬機業務網卡綁定至述業務虛擬交換機。本實施例openstack的代理部署系統，還包括業務接入交換機和業務核心交換機，業務核心交換機設置業務防火墻，計算節點的計算節點業務網卡綁定至業務接入交換機，業務接入交換機連接業務核心交換機。

如圖4所示，本發明實施例基于openstack的代理部署方法，包括步驟：

S1.通過修改openstack代碼，在服務啟動時，調用openvswitch命令為每個計算節點添加管理虛擬交換機，命令：ovs-vsctl add-br br-mgnt。并將計算節點管理網卡綁定到對應的管理虛擬交換機，命令：ovs-vsctl add-port br-mgnt管理網卡名稱根據前期規劃的計算節點管理網卡而定。

S2.云平臺租戶管理員，通過openstack用戶界面創建管理網段，由openstack程序自動分配管理vlan。

S3.云平臺租戶管理員通過openstack用戶界面創建代理虛擬機，在創建代理虛擬機的選擇網絡步驟中選擇所述管理vlan。openstack在創建代理虛擬機時，通過程序將代理虛擬機的代理管理網卡綁定到管理虛擬交換機上，這樣，代理管理網卡和計算節點管理網卡就通過管理虛擬交換機連接在一起。

S4.將管理接入交換機接入計算節點管理網卡的端口配置成trunk模式，允許所述管理vlan通過。

S5.在代理虛擬機里配置去往服務端的明細路由。

S6.通過openstack用戶界面，設置相應的安全組策略，允許代理虛擬機訪問服務端的TCP或者UDP端口，具體根據服務端使用的協議來決定。

S7.在代理虛擬機與服務端連通的前提下，接收代理發送的信息。

具體的，所述S7的步驟為：

S701.在代理虛擬機里，用telnet或者ping命令測試與服務端的連通性，判斷是否連通，若是，進入S702；若否，進入S703；

S702.通過服務端，判斷是否收到代理發來的信息，若是，結束；若否，進入S703；

S703.檢測通過openstack設置的安全組設置是否正確，若是，進入S702；若否，進入S704；

S704.進行糾錯后，進入S702。

本發明不局限于上述實施方式，對于本技術領域的普通技術人員來說，在不脫離本發明原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也視為本發明的保護范圍之內。本說明書中未作詳細描述的內容屬于本領域專業技術人員公知的現有技術。