一种基于openstack的自动化引流方法与流程

1.本发明属于网络技术领域，具体涉及一种基于openstack的自动化引流方法。


背景技术：

2.早期数据中心的流量大多为南北向流量，但现在逐渐已经转变为东西向流量，主要是因为：随着云计算的到来，越来越丰富的业务对数据中心的流量模型产生了巨大的冲击，需要大量的服务器组成集群系统协同完成工作，这导致服务器之间的流量变得非常大。随之带来了网络运维监控、网络运营、网络安全等方方面面的挑战。
3.传统的监控或安全解决方案通常是基于固定物理边界的监控或安全防护，那么对应到云计算数据中心，也就是只解决了南北向流量的问题，但缺少对于东西向流量的监控和安全防护，比如openstack中同一宿主机内的两台虚拟机之间的流量不能获取，从而不能解析他们之间流量信息，其缺点是：现有技术对于openstack下发的采集策略可能会影响与其他业务策略的冲突，且需要下发的策略数目大，管理难度高。同时，采集转发的流量会造成性能的大量占用且带宽占用高。


技术实现要素：

4.有鉴于此，本发明的第一方面的目的是提供一种基于openstack的自动化引流方法。在合理利用服务器资源的情况下，能够解决同一时刻大量任务之间的冲突，保证任务的正确执行不会被其他任务所影响，同时对整个云平台的流量采集、转发及过滤不会造成干扰，解决了openstack云平台东西向流量的监控问题。
5.本发明的第一方面的目的是通过以下技术方案实现的：
6.一种基于openstack的自动化引流方法，包括以下步骤：
7.步骤s1：创建添加一个虚拟交换机网桥，该虚拟交换机网桥用于转发采集流量到指定的目的端口；
8.步骤s2：实时监控openstack云平台创建虚拟机情况，每当有新的虚拟机被创建就获取该虚拟机的虚拟网卡信息；
9.步骤s3：配置端口镜像；
10.步骤s4：实时监控目的端口下流量的状况，在目的端口流量变大、性能占用较高时，通过虚拟交换机网桥对流量中的不重要信息进行过滤；
11.步骤s5：将目的端口下的流量转发给物理tap设备，由tap设备接收流量并过滤出重要信息。
12.进一步，所述步骤s3中包括以下子步骤：
13.步骤s31:创建镜像，并指定镜像中的源端口和目的端口；
14.步骤s32：将获取到的虚拟网卡信息列表全部添加到镜像中的源端口，并绑定镜像至新创建的虚拟交换机网桥上；
15.步骤s33：指定目的端口，使从源端口采集到的流量转发到指定的目的端口中。
16.进一步，所述tap设备通过告警的方式将流量中的危险数据信息返回给用户。
17.进一步，所述步骤s4中，所述虚拟交换机网桥上预设有若干类用于对流量进行过滤的不重要信息标记。
18.进一步，所述步骤s4中，不重要信息包括ping信息。
19.本发明的目的之二是提供一种计算机装置，包括存储器、处理器及储存在存储器上并能够在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如前所述的方法。
20.本发明的目的之三是提供一种计算机可读存储介质，其上储存有计算机程序，所述计算机程序被处理器执行时实现如前所述的方法。
21.本发明的有益效果是：
22.1)该方案通过配置即可实现对tap设备、网桥、vlan等网络设备的流量镜像，并可通过配置指定对应的监控端口，成本低廉，不需要增加任何网络设备；
23.2)故障保护，当采集系统或监控端口出现故障时，对现有的网络和业务没有任何影响；
24.3)在出现性能问题可能会产生丢包时，自动过滤点不重要信息，保证了关键流量数据的采集转发。
25.本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述，并且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书和前述的权利要求书来实现和获得。
附图说明
26.为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步的详细描述，其中：
27.图1为本发明的方法流程图。
具体实施方式
28.以下将参照附图，对本发明的优选实施例进行详细的描述。应当理解，优选实施例仅为了说明本发明，而不是为了限制本发明的保护范围。
29.如图所示，本发明的一种基于openstack的自动化引流方法，其包括：
30.步骤s1，创建添加一个虚拟交换机网桥，该虚拟交换机网桥用于转发采集流量到指定的目的端口；
31.步骤s2，实时监控openstack云平台创建虚拟机情况，每当有新的虚拟机被创建就获取该虚拟机的虚拟网卡信息；
32.步骤s3，配置端口镜像；其具体子步骤包括：
33.步骤s31:创建镜像，并指定镜像中的源端口和目的端口；
34.步骤s32：将获取到的虚拟网卡信息列表全部添加到镜像中的源端口，并绑定镜像至新创建的虚拟交换机网桥上；
35.步骤s33:指定目的端口，使从源端口采集到的流量转发到指定的目的端口中；
36.步骤s4，实时监控目的端口下流量的状况，在目的端口流量变大、性能占用较高时，通过虚拟交换机网桥对流量中的不重要信息(例如，ping信息)进行过滤，所述虚拟交换机网桥上预设有若干类用于对流量进行过滤的不重要信息标记；
37.步骤s5，将目的端口下的流量转发给物理tap设备，由tap设备接收流量并过滤出重要信息，并通过告警的方式将流量中的危险数据信息返回给用户。
38.其中，在步骤4中，所述虚拟交换机网桥上预设有若干类用于对流量进行过滤的不重要信息标记。
39.本方法在合理利用服务器资源的情况下，解决同一时刻大量任务之间的冲突，保证任务的正确执行不会被其他任务所影响，且对整个云平台的流量采集、转发及过滤不会造成干扰，解决了openstack云平台东西向流量的监控问题；其优点包括：1)该方案通过配置即可实现对tap设备、网桥、vlan等网络设备的流量镜像，并可通过配置指定对应的监控端口，成本低廉，不需要增加任何网络设备。2)故障保护，当采集系统或监控端口出现故障时，对现有的网络和业务没有任何影响。3)在出现性能问题可能会产生丢包时，自动过滤点不重要信息，保证了关键流量数据的采集转发。
40.本发明流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
41.在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(ram)，只读存储器(rom)，可擦除可编辑只读存储器(eprom或闪速存储器)，光纤装置，以及便携式光盘只读存储器(cdrom)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。
42.应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(pga)，现场可编程门阵列(fpga)等。
43.本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，述的程序可以存储于一种计算机可读存储介质
中，该程序在执行时，包括方法实施例的步骤之一或其组合。
44.此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。
45.最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。