1.本技术涉及电子与信息
技术领域:
:,尤其是涉及一种网络报文的处理方法、网络报文的处理装置、电子设备和存储介质。
背景技术:
::2.近年来,随着全球数据量的爆炸式增长,云计算得到越来越多企业的关注和重视。云计算中的虚拟机安全组是一系列网络安全策略的集合,限定虚拟机通过的网络流量的类型和方向。因此,在云端设置虚拟机安全组提供类似虚拟防火墙功能,并对设置在安全组的单个或多个云服务器(elasticcomputeservice,ecs)实例的出方向和入方向进行网络控制尤为重要。3.相关技术中对于虚拟机安全组规则通过linux操作系统中的netfilter组件包含的iptables组件实现对传输的网络报文连接请求均按照安全规则链中自上而下的规则进行逐条匹配方式,实现安全组功能,该方法导致网络报文转发效率低,消耗虚拟化计算节点cpu性能,虚拟机网络吞吐性能低以及网络抖动延时增大的问题。技术实现要素:4.本技术实施例期望提供一种网络报文的处理方法、网络报文的处理装置、电子设备和存储介质,解决相关技术对网络报文转发效率低,易消耗虚拟化计算节点cpu性能,虚拟机网络吞吐性能低以及网络抖动延时增大的问题。5.本技术的技术方案是这样实现的:6.本技术实施例提供一种网络报文的处理方法,所述方法包括:7.获得虚拟机网络接口传输的网络报文;8.从预设策略集合中查找与所述网络报文关联的目标传输策略,得到查找结果;9.基于所述查找结果,对所述网络报文进行处理。10.可选的,所述基于所述查找结果,对所述网络报文进行处理,包括:11.若所述查找结果表征所述预设策略集合中存在与所述网络报文关联的所述目标传输策略,基于所述目标传输策略对所述网络报文进行处理。12.可选的,所述基于所述查找结果,对所述网络报文进行处理,包括:13.若所述查找结果表征所述预设策略集合中不存在与所述网络报文关联的所述目标传输策略,提取所述网络报文中与所述虚拟机网络接口关联的报文信息;14.基于所述报文信息,确定所述目标传输策略;15.基于所述目标传输策略对所述网络报文进行处理。16.可选的,所述基于所述报文信息,确定所述目标传输策略,包括:17.基于所述报文信息,从预设的多个规则链中确定所述网络报文对应的目标规则链;18.基于所述报文信息和所述目标规则链,确定所述目标传输策略。19.可选的,所述基于所述报文信息和所述目标规则链,确定所述目标传输策略,包括:20.若所述目标规则链关联的多个传输策略中存在与所述报文信息匹配的策略,确定所述匹配的策略为所述目标传输策略。21.可选的,所述基于所述报文信息和所述目标规则链,确定所述目标传输策略,包括:22.若所述目标规则链关联的多个传输策略中不存在与所述报文信息匹配的策略,生成用于丢弃所述网络报文的所述目标传输策略。23.可选的,所述基于所述报文信息,确定所述目标传输策略之后,所述方法还包括:24.将所述目标传输策略写入所述预设策略集合中。25.本技术实施例提供一种网络报文的处理装置,所述装置包括:26.获得单元,用于获得虚拟机网络接口传输的网络报文;27.第一处理单元,用于从预设策略集合中查找与所述网络报文关联的目标传输策略,得到查找结果;28.第二处理单元,用于基于所述查找结果,对所述网络报文进行处理。29.本技术实施例提供一种电子设备,所述电子设备包括:30.存储器,用于存储可执行指令;31.处理器,用于执行所述存储器中存储的可执行指令,实现上述所述的网络报文的处理方法。32.本技术实施例提供一种计算机存储介质,所述计算机存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述所述的网络报文的处理方法。33.本技术提供一种网络报文的处理方法、网络报文的处理装置、电子设备和存储介质,其中,网络报文的处理方法包括获得虚拟机网络接口传输的网络报文;从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;基于查找结果,对网络报文进行处理;也就是说,本技术中从预设策略集合中得到与虚拟机网络接口传输的网络报文存在关联关系的目标传输策略的查找结果,基于查找结果,对网络报文进行处理。如此,无需对网络报文数据按照规则链进行规则逐条匹配方式,提高了网络报文匹配效率和转发效率,减少对虚拟化计算节点cpu性能的占用,提升了虚拟机网络吞吐性能以及减少网络抖动延时,进一步地,还可以避免对虚拟机同一条规则连接的所有网络报文进行安全组规则过滤;且随着虚拟机安全组规则数量的增多,虚拟机网络吞吐性能将不受虚拟机安全组规则数量影响,面向连接的网络吞吐转发处理效率显著。附图说明34.图1为本技术实施例提供的一种网络报文的处理方法的流程示意图;35.图2为本技术实施例提供的另一种网络报文的处理方法的流程示意图;36.图3为本技术实施例提供的一种安全组规则变更的时序示意图;37.图4为本技术实施例提供的又一种网络报文的处理方法的流程示意图;38.图5为本技术实施例提供的一种网络报文的处理装置的结构示意图;39.图6为本技术实施例提供的一种电子设备的结构示意图。具体实施方式40.下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行清楚、完整地描述,这里,关于附图说明中提到的“另一种”或“又一种”并非指特定某个实施例,本技术的各个实施例可以在不冲突的情况下相互结合。41.应理解,说明书通篇中提到的“本技术实施例”或“前述实施例”意味着与实施例有关的特定特征、结构或特性包括在本技术的至少一个实施例中。因此,在整个说明书各处出现的“本技术实施例中”或“在前述实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中应用。在本技术的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本技术实施例的实施过程构成任何限定。上述本技术实施例序号仅仅为了描述,不代表实施例的优劣。42.为了便于理解,首先对本技术实施例中的相关术语进行介绍。43.openstack云计算管理平台虚拟网络neutron组件通过在linuxiptablesfilter表forward规则链添加针对虚拟机流量出向入向iptables规则,实现虚拟机安全组功能。这里,openstack是一个开源的云计算管理平台,提供底层基础设施管理,涉及计算资源、网络资源、存储资源等。44.neutron,openstack提供的网络虚拟化功能组件,提供虚拟路由器、虚拟防火墙、虚拟负载均衡器、虚拟机安全组等虚拟网络功能。45.netfilter,linux内核子系统提供通用的、抽象的协议栈网络报文处理框架,提供一整套的hook函数的管理机制实现网络报文过滤、网络地址转换、连接跟踪等功能。46.iptables:linuxnetfiler网络报文过滤防火墙规则命令行管理工具。通过iptables命令行管理工具配置linuxnetfilter防火墙规则。47.hook,linuxnetfilter在内核协议栈的挂载点,实现网络报文过滤、网络地址转换、连接跟踪等功能模块加载。48.虚拟机(virtualmachine,vm)通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在实体计算机中能够完成的工作在虚拟机中都能够实现。在计算机科学中,每个虚拟机都有独立的互补金属氧化物半导体(complementarymetaloxidesemiconductor,cmos)、硬盘和操作系统,可以像使用实体机一样对虚拟机进行操作。49.安全组是一系列网络安全策略的集合,用于限定虚拟机通过的网络报文的类型和方向,以起到防火墙的作用。其中,安全组中的规则可以由用户定义,来实现对特定网络报文的过滤,本技术中将限制进出虚拟机的网络报文的规则统称为安全组规则。需要说明的是,安全组规则存储在安全规则链中。这里,neutron为虚拟化计算节点虚拟机提供出向入向的网络流量过滤功能.采用linuxiptables/netfilter网络报文过滤防火墙功能实现虚拟机出向入向网络流量过滤。50.具体的,以openstack云计算管理平台为例,该平台是一个开源的云计算管理平台项目,基于linux操作系统提供底层基础设施管理涉及计算、网络、存储等资源;另外,该平台还提供网络虚拟化功能管理neutron组件,主要实现虚拟路由器、虚拟防火墙、虚拟负载均衡器以及虚拟机安全组等虚拟网络功能配置编排管理。其中,neutron组件安全组功能实现是由netfilter组件和iptables组件两部分完成的,netfilter组件不仅可以实现防火墙的功能,还可以实现网络报文过滤、网络地址转换、连接跟踪等功能。netfilter组件由一些信息包过滤表组成,表中设置有控制信息包过滤处理的安全组规则链,安全组规则链中包括用户设置的过滤规则,用于对数据包进行过滤操作。iptables组件用于控制linux操作系统中netfilter组件对网络报文过滤防火墙规则的命令行管理工具。通过iptables命令行管理工具对netfilter中的信息包过滤表中的安全组规则进行插入、修改和删除操作。51.在iptables组件中,主要包括四个安全规则表:filter表,nat表,mangle表,raw表。其中,filter表是linux内核集成的ip信息包过滤系统,其最大优点是基于连接跟踪机制实现有状态的防火墙规则配置。iptables通过多个match即匹配、一个target即动作相结合的方式组成一条防火墙规则。需要说明的是,表是由一组预先定义的链组成,链包含若干条安全规则。默认的filter表包含input链、output链和forward链三条内建的链,这三条链作用于数据包传输过程中不同的过滤点。默认情况下,任何链中都没有规则,用户可以向链中添加自己想用的规则。每一条规则包含对数据包的匹配条件和相应的动作(即该规则的目标)。只有当数据包满足所有的匹配条件时,iptables组件才能根据由该规则的目标所指定的动作来处理该数据包。其中,对input链、output链、forward链详细介绍如下:52.1)对于流入的数据包:路由器确定数据包中的目的地址是否与本机地址对应,决定该数据包是到本地的还是需要转发的。53.a、如果路由器确定数据包中的目的地址与本机地址对应,进而确定该数据包是到本地的,就经过input链处理,比如过滤,然后发往上层协议。54.b、如果路由器确定数据包中的目的地址与本机地址不对应,进而确定该数据包是需要转发的,就经过forward链处理,比如过滤,然后经过路由处理,传输到网络上。55.2)对于本地产生的数据包:先经过output链处理,然后进行路由处理,传输到网络上。56.本技术实施例提供了一种网络报文的处理方法,应用于电子设备,参照图1所示,该方法包括以下步骤:57.步骤101、获得虚拟机网络接口传输的网络报文。58.这里,虚拟机网络接口可以理解为虚拟机与宿主操作系统中的主机之间进行通信的接口;网络报文可以理解为在网络中进行交换与传输的数据单元,网络报文包括需要发送的完整的数据信息,其中,网络报文中的报文信息包括源地址、目的地址、源端口、目的端口、协议信息以及净载数据。59.这里,虚拟机网络接口传输网络报文包括虚拟机网络接口发送网络报文和虚拟机网络接口接收网络报文。60.本技术实施例中,虚拟机网络接口发送和/或接收网络报文后,电子设备获得虚拟机网络接口发送和/或接收的网络报文。61.在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为网际控制报文协议(internetcontrolmessageprotocol,icmp)为例,当虚拟机tapeb09265c-be网络接口发送icmp网络报文后,电子设备获取icmp网络报文。62.步骤102、从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果。63.这里,预设策略集合可以理解为预先存储在电子设备中的网络报文以及与网络报文存在关联关系的数据的集合;目标传输策略可以理解为网络报文与虚拟机网络接口的传输存在对应关系的策略。示例性的,目标传输策略可以为accept,目标传输策略还可以为drop;其中,目标传输策略accept可以理解为虚拟机网络接口继续正常传输网络报文的策略;目标传输策略drop可以理解虚拟机用于丢弃网络报文的策略;可以理解的,本技术对目标传输策略不做具体限定。64.本技术实施例中,电子设备获取到虚拟机网络接口传输的网络报文后,通过查找预设策略集合,获取与网络报文存在关联关系的目标传输策略,基于目标传输策略,得到网络报文对应的查找结果。65.在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为icmp网络报文为例,为了对网络报文数据进行监控过滤,在linux操作系统中安装的netfilter组件中设置了hook函数,当虚拟机tapeb09265c-be网络接口发出的icmp网络报文在经过netfilter组件中的回调函数即hook函数后,可以通过查找预设策略集合,获取与icmp网络报文存在关联关系的目标传输策略,基于目标传输策略,得到网络报文对应的查找结果。66.步骤103、基于查找结果,对网络报文进行处理。67.本技术实施例中,电子设备在预设策略集合中查找到与网络报文关联的目标传输策略,得到查找结果,根据查找结果,对虚拟机网络接口传输的网络报文进行处理。68.本技术实施例所提供的一种网络报文的处理方法,获得虚拟机网络接口传输的网络报文;从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;基于查找结果,对网络报文进行处理;也就是说,本技术实施例中,从预设策略集合中得到与虚拟机网络接口传输的网络报文存在关联关系的目标传输策略的查找结果,基于查找结果,对网络报文进行处理。如此,无需对网络报文数据按照规则链进行规则逐条匹配方式,提高了网络报文匹配效率和转发效率,减少对虚拟化计算节点cpu性能的占用,提升了虚拟机网络吞吐性能以及减少网络抖动延时。69.本技术实施例提供了一种网络报文的处理方法,应用于电子设备,参照图2所示,该方法包括以下步骤:70.步骤201、获得虚拟机网络接口传输的网络报文。71.步骤202、从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果。72.本技术实施例中,步骤202从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果之后,可以选择执行步骤203或步骤204至207。73.步骤203、若查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,基于目标传输策略对网络报文进行处理。74.本技术实施例中,电子设备从预设在预设策略集合中查找到与网络报文关联的目标传输策略,得到查找结果,且查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,电子设备基于目标传输策略对网络报文进行处理。75.在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为icmp网络报文为例,若电子设备在预设策略集合中查找到与icmp网络报文关联的目标传输策略,得到的查找结果表征预设策略集合中存在与icmp网络报文关联的目标传输策略,且目标传输策略为accept或者drop。电子设备将基于目标传输策略为accept或者drop,对icmp网络报文进行处理。76.步骤204、若查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,提取网络报文中与虚拟机网络接口关联的报文信息。77.这里,报文信息可以理解为网络报文中所包含的信息,报文信息包括源地址、目的地址、源端口、目的端口、协议信息以及净载数据。78.本技术实施例中,电子设备从预设策略集合中查找到与网络报文关联的目标传输策略,得到查找结果,且查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,电子设备提取网络报文中的报文信息,且报文信息与虚拟机网络接口存在关联关系。79.步骤205、基于报文信息,确定目标传输策略。80.本技术实施例中,电子设备基于获取的网络报文的报文信息,确定与网络报文的报文信息存在对应关系的目标传输策略。81.本技术实施例中,步骤205基于报文信息,确定目标传输策略可以通过如下方式实现:82.步骤205a、基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链。83.本技术实施例中,预设的多个规则链包括input规则链、forward规则链和output规则链;预设的多个规则链对网络报文的处理方式不同。其中,input规则链可以理解为对输入的网络报文进行处理的链;forward规则链可以理解为对转发的网络报文进行处理的链;output规则链可以理解为对输出的网络报文进行处理的链。84.本技术实施例中,目标规则链可以理解为网络报文流转在linux操作系统中的逻辑位置所确定的规则链。85.需要说明的是,电子设备基于网络报文的报文信息中,可以确定网络报文流转在linux操作系统中的逻辑位置,进而从预设的多个规则链中确定进入到系统中的网络报文的目标规则链,按照目标规则链预先设定的规则进行匹配检查过滤。86.本技术实施例中,若网络报文中的报文信息中的目的地址与虚拟机所在的宿主机的网络地址对应,电子设备确定网络报文需要发送到虚拟机的宿主机,则从预设的多个规则链中确定目标安全规则链为input规则链。87.本技术实施例中,若网络报文中的报文信息中的目的地址与虚拟机所在的宿主机的网络地址不对应,电子设备确定网络报文需要经过网桥转发,并通过虚拟机网络接口进出虚拟机,则从预设的多个规则链中确定目标安全规则链为forward规则链。88.本技术实施例中,若网络报文中的报文信息中的源地址与虚拟机所在的宿主机的网络地址对应,电子设备确定网络报文为虚拟机所在的宿主机产生的报文,需要将网络报文发送至虚拟机中,则从预设的多个规则链中确定目标安全规则链为output规则链。89.在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为icmp网络报文为例,若电子设备确定icmp网络报文中的目的地址与虚拟机所在的宿主机的网络地址不对应,电子设备确定icmp网络报文需要经过网桥转发,并通过虚拟机网络接口tapeb09265c-be接口进/出虚拟机,则从预设的多个规则链中确定目标安全规则链为forward规则链。90.本技术实施例中,步骤205a基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链,可以选择执行步骤205a1或步骤205a2;91.步骤205a1、若目标规则链关联的多个传输策略中存在与报文信息匹配的策略,确定匹配的策略为目标传输策略。92.本技术实施例中,目标规则链中包含多条安全规则链,且每一规则链中包含多条安全规则。93.这里,多个传输策略可以理解为与网络报文与虚拟机网络接口的传输存在关联关系的策略,多个传输策略包括accept和return;其中,传输策略accept可以理解为虚拟机网络接口继续正常传输网络报文的策略;传输策略return可以理解为网络报文与目标规则链中的任一安全规则链中的安全规则匹配成功,需返回至当前安全规则链中的上一级安全规则链进行匹配的策略。94.本技术实施例中,网络报文基于目标规则链中所包含的多条规则链中的多条安全规则,自上而下通过逐级规则链进行安全规则的逐条匹配方式,进行安全组规则匹配,若目标规则链关联的多个安全规则与报文信息存在对应的规则,则从多个匹配结果即多个传输策略中得到与网络报文对应的匹配结果即匹配策略,确定匹配的策略为目标传输策略。95.本技术其他实施例中,电子设备还可以修改目标规则链中所包含的安全规则,参考图3所示,电子设备通过dashboard界面配置更新虚拟机中的目标安全规则链中的安全组规则并向安全组件neutron提交规则更新请求,neutron组件接收规则请求后,将修改后的安全组规则更新至数据库同时通过远程过程调用(remoteprocedurecall,rpc)调用通知安全组规则更新至rabbitmq消息队列。neutron-openvswitch-agent程序对从rabbitmq消息队列获取安全组更新消息并将安全组更新至虚拟化计算节点iptables安全组相关规则链,同时将虚拟机所有连接跟踪状态重置即要求进行安全组规则匹配,保障虚拟机安全组规则变更即时生效。96.这里,通过改进虚拟机安全组规则匹配处理逻辑改进虚拟机网络连接所有网络报文进行安全组规则匹配的缺陷。虚拟机安全组规则更新重置连接跟踪匹配状态,实现安全组规则更新针对虚拟机连接重新进行安全组规则过滤虚拟机安全组规则更新即时生效。97.步骤205a2、若目标规则链关联的多个传输策略中不存在与报文信息匹配的策略,生成用于丢弃网络报文的目标传输策略。98.本技术实施例中,网络报文基于目标规则链中所包含的多条规则链中的多条安全规则,自上而下通过逐级规则链进行安全规则的逐条匹配方式,进行安全组规则匹配,若目标规则链关联的多个安全规则与报文信息不存在对应的规则,将网络报文与安全规则组用于丢弃网络报文的安全规则进行匹配,得到匹配的策略,确定匹配策略为目标传输策略。99.在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为icmp网络报文为例,若目标规则链关联的多个传输策略中不存在与icmp网络报文信息匹配的策略,最终在最后一条规则neutron-openvswi-sg-fallback规则链中的安全规则确定规则匹配结果即目标传输策略为drop。100.步骤206、将目标传输策略写入预设策略集合中。101.本技术实施例中,电子设备确定与网络报文对应的目标传输策略后,将目标传输策略写入预设策略集合,并进行存储。当网络报文再次虚拟机网络接口中,若预设策略集合中存储有网络报文的目标传输策略,可以直接获取网络报文存在关联关系的目标传输策略,基于目标传输策略对网络报文进行处理。102.步骤207、基于目标传输策略对网络报文进行处理。103.本技术实施例中,电子设备将目标传输策略存储到预设策略集合中,可以基于预设策略集合中存储的与网络报文存在关联关系的目标传输策略,对网络报文进行处理。104.需要说明等额是,若电子设备对虚拟机中的neutron组件所包含的安全组规则进行修改或删除等操作,存储在预设策略集合中的与网络报文存在关联关系的目标传输策略不再生效,需要将网络报文与虚拟机中设置的安全组规则进行重新匹配,得到重新匹配后的目标传输策略,基于重新匹配后的目标传输策略对网络报文进行处理。105.本技术提供的网络报文的处理方法,至少具有如下有益效果:面对连接的虚拟机安全组规则匹配状态保存与匹配优化改进,避免对虚拟机同一条规则连接的所有网络报文进行安全组规则过滤。虚拟机安全组规则匹配优化改进简洁高效,既保留虚拟机安全组按规则链进行规则逐条匹配实现方式,又实现面向连接的虚拟机安全组规则匹配改进优化。虚拟机安全组按规则链进行规则逐条匹配实现方式,随着虚拟机安全组规则数量增多,虚拟机网络吞吐性能将受到影响。虚拟机安全组规则匹配优化改进后面向连接的虚拟机网络吞吐性能将不受虚拟机安全组规则数量影响,面向连接的网络吞吐转发处理效率显著。106.需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。107.基于前述实施例,以虚拟机tapeb09265c-be网络接口发出的icmp网络报文为例,对本技术实施例所提供的网络报文的处理方法做出进一步说明,该方法应用于电子设备,参照图4所示,该方法包括以下步骤:108.步骤301、获得虚拟机tapeb09265c-be网络接口传输的icmp网络报文。109.步骤302、从预设策略集合中查找与icmp网络报文关联的目标传输策略,得到查找结果。110.本技术实施例中,步骤302从预设策略集合中查找与icmp网络报文关联的目标传输策略,得到查找结果之后,可以选择执行步骤303或步骤304至313。111.步骤303、若查找结果表征预设策略集合中存在与icmp网络报文关联的目标传输策略accept或drop,返回目标传输策略accept或drop,并基于目标传输策略accept或drop对icmp网络报文进行处理。112.步骤304、若查找结果表征预设策略集合中不存在与icmp网络报文关联的目标传输策略,提取icmp网络报文中与虚拟机tapeb09265c-be网络接口关联的报文信息。113.这里,报文信息可以理解为icmp网络报文中所包含的信息,报文信息包括源地址、目的地址、源端口、目的端口、协议信息以及净载数据。114.步骤305、基于报文信息中的目的地址,从预设的多个规则链中确定icmp网络报文对应的目标规则链为forward规则链。115.本技术实施例中,电子设备确定icmp网络报文中的目的地址与虚拟机所在的宿主机的网络地址不对应,进而确定icmp网络报文需要经过网桥转发,则从预设的多个规则链中确定目标安全规则链为forward规则链。116.步骤306、基于forward规则链中的安全规则,确定icmp网络报文进入到neutron-openvswi-forward规则链。117.步骤307、基于neutron-openvswi-forward规则链中的安全规则,确定icmp网络报文进入neutron-openvswi-sg-chain规则链。118.步骤308、基于neutron-openvswi-sg-chain规则链中的安全规则,确定icmp网络报文是否匹配到与icmp网络报文关联的第一目标安全规则,若icmp网络报文匹配到与icmp网络报文关联的第一目标安全规则,则执行步骤309;若icmp网络报文未匹配到与icmp网络报文关联的第一目标安全规则,则执行步骤310至313。119.本技术实施例中,第一目标安全规则可以理解为neutron-openvswi-sg-chain规则链中与icmp网络报文的目标传输策略存在关联的规则。120.步骤309、返回与icmp网络报文关联的目标传输策略accept,将目标传输策略accept写入预设策略集合中,基于目标传输策略accept对icmp网络报文进行处理。121.步骤310、确定icmp网络报文进入到neutron-openvswi-oeb09265c-b规则链。122.本技术实施例中,电子设备判断icmp网络报文是从虚拟机tapeb09265c-be接口进入到网桥的网络报文,还是经过网桥从虚拟机tapeb09265c-be接口发送到虚拟机的报文。若icmp网络报文是从虚拟机tapeb09265c-be接口进入到网桥的报文,则确定icmp网络报文进入到neutron-openvswi-oeb09265c-b规则链。123.步骤311、基于neutron-openvswi-oeb09265c-b规则链中的安全规则,确定icmp网络报文是否匹配到与icmp网络报文关联的第二目标安全规则,若icmp网络报文匹配到与icmp网络报文关联的第二目标安全规则,则执行步骤312;若icmp网络报文未匹配到与icmp网络报文关联的第二目标安全规则,则执行步骤313。124.这里,第二目标安全规则可以理解为neutron-openvswi-oeb09265c-b规则链中与icmp网络报文的传输策略存在关联的规则。125.步骤312、返回与icmp网络报文关联的传输策略return,并将icmp网络报文返回至上一级的neutron-openvswi-sg-chain规则链,继续将icmp网络报文与neutron-openvswi-sg-chain规则链中其他安全规则进行匹配。126.步骤313、将icmp网络报文与neutron-openvswi-sg-fallback规则链中的安全规则进行匹配,返回与icmp网络报文关联的目标传输策略drop,将目标传输策略drop写入预设策略集合中,基于目标传输策略drop对icmp网络报文进行处理。127.由上述可知,本技术实施例提供的网络报文的处理方法,避免虚拟机同一条规则连接的所有网络报文进行安全组规则过滤;且随着虚拟机安全组规则数量的增多,虚拟机网络吞吐性能将不受虚拟机安全组规则数量影响,面向连接的网络吞吐转发处理效率显著。如此,无需对网络报文数据按照规则链进行规则逐条匹配方式,提高了网络报文匹配效率和转发效率,减少对虚拟化计算节点cpu性能的占用,提升了虚拟机网络吞吐性能以及减少网络抖动延时。128.需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。129.基于前述实施例,本技术实施例提供一种网络报文的处理装置,该网络报文的处理装置可以应用于图1、2对应的实施例提供的一种网络报文的处理方法中,参照图5所示,该网络报文的处理装置5包括:130.获得单元51,用于获得虚拟机网络接口传输的网络报文;131.第一处理单元52,用于从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;132.第二处理单元53,用于基于查找结果,对网络报文进行处理。133.本技术其他实施例中,第二处理单元53,还用于若查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,基于目标传输策略对网络报文进行处理。134.本技术其他实施例中,第二处理单元53,还用于若查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,提取网络报文中与虚拟机网络接口关联的报文信息;基于报文信息,确定目标传输策略;基于目标传输策略对网络报文进行处理。135.本技术其他实施例中,第二处理单元53,还用于基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链;基于报文信息和目标规则链,确定目标传输策略。136.本技术其他实施例中,第二处理单元53,还用于若目标规则链关联的多个传输策略中存在与报文信息匹配的策略,确定匹配的策略为目标传输策略。137.本技术其他实施例中,第二处理单元53,还用于若目标规则链关联的多个传输策略中不存在与报文信息匹配的策略,生成用于丢弃网络报文的目标传输策略。138.本技术其他实施例中,第二处理单元53,还用于将目标传输策略写入预设策略集合中。139.基于前述实施例,本技术实施例提供一种电子设备,该电子设备可以应用于图1、2对应的实施例提供的一种网络报文的处理方法中,参照图6所示,该电子设备6(图6中的电子设备6对应图5中的网络报文的处理装置5)包括:存储器61和处理器62,其中;处理器62用于执行存储器61中存储的网络报文的处理程序,电子设备6通过处理器62以实现以下步骤:140.获得虚拟机网络接口传输的网络报文;141.从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;142.基于查找结果,对网络报文进行处理。143.在本技术其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:144.若查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,基于目标传输策略对网络报文进行处理。145.在本技术其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:146.若查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,提取网络报文中与虚拟机网络接口关联的报文信息;147.基于报文信息,确定目标传输策略;148.基于目标传输策略对网络报文进行处理。149.在本技术其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:150.基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链;151.基于报文信息和目标规则链,确定目标传输策略。152.在本技术其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:153.若目标规则链关联的多个传输策略中存在与报文信息匹配的策略,确定匹配的策略为目标传输策略。154.在本技术其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:155.若目标规则链关联的多个传输策略中不存在与报文信息匹配的策略,生成用于丢弃网络报文的目标传输策略。156.在本技术其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:157.将目标传输策略写入预设策略集合中。158.基于前述实施例,本发明的实施例提供一种计算机存储介质,该计算机存储介质存储有一个或者多个程序,该一个或者多个程序可被一个或者多个处理器执行,以实现如下步骤:159.获得虚拟机网络接口传输的网络报文;160.从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;161.基于查找结果,对网络报文进行处理。162.在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:163.若查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,基于目标传输策略对网络报文进行处理。164.在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:165.若查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,提取网络报文中与虚拟机网络接口关联的报文信息;166.基于报文信息,确定目标传输策略;167.基于目标传输策略对网络报文进行处理。168.在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:169.基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链;170.基于报文信息和目标规则链,确定目标传输策略。171.在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:172.若目标规则链关联的多个传输策略中存在与报文信息匹配的策略,确定匹配的策略为目标传输策略。173.在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:174.若目标规则链关联的多个传输策略中不存在与报文信息匹配的策略,生成用于丢弃网络报文的目标传输策略。175.在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:176.将目标传输策略写入预设策略集合中。177.需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。178.需要说明的是,上述计算机存储介质/存储器可以是只读存储器(readonlymemory,rom)、可编程只读存储器(programmableread-onlymemory,prom)、可擦除可编程只读存储器(erasableprogrammableread-onlymemory,eprom)、电可擦除可编程只读存储器(electricallyerasableprogrammableread-onlymemory,eeprom)、磁性随机存取存储器(ferromagneticrandomaccessmemory,fram)、快闪存储器(flashmemory)、磁表面存储器、光盘、或只读光盘(compactdiscread-onlymemory,cd-rom)等存储器;也可以是包括上述存储器之一或任意组合的各种终端,如移动电话、计算机、平板设备、个人数字助理等。179.在本技术所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。180.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。181.另外,在本技术各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。182.本技术所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。183.本技术所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。184.本技术所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。185.以上所述,仅为本技术的具体实施方式,但本技术的保护范围并不局限于此,任何熟悉本
技术领域:
:的技术人员在本技术揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本技术的保护范围之内。因此,本技术的保护范围应以所述权利要求的保护范围为准。当前第1页12当前第1页12
技术领域:
:,尤其是涉及一种网络报文的处理方法、网络报文的处理装置、电子设备和存储介质。
背景技术:
::2.近年来,随着全球数据量的爆炸式增长,云计算得到越来越多企业的关注和重视。云计算中的虚拟机安全组是一系列网络安全策略的集合,限定虚拟机通过的网络流量的类型和方向。因此,在云端设置虚拟机安全组提供类似虚拟防火墙功能,并对设置在安全组的单个或多个云服务器(elasticcomputeservice,ecs)实例的出方向和入方向进行网络控制尤为重要。3.相关技术中对于虚拟机安全组规则通过linux操作系统中的netfilter组件包含的iptables组件实现对传输的网络报文连接请求均按照安全规则链中自上而下的规则进行逐条匹配方式,实现安全组功能,该方法导致网络报文转发效率低,消耗虚拟化计算节点cpu性能,虚拟机网络吞吐性能低以及网络抖动延时增大的问题。技术实现要素:4.本技术实施例期望提供一种网络报文的处理方法、网络报文的处理装置、电子设备和存储介质,解决相关技术对网络报文转发效率低,易消耗虚拟化计算节点cpu性能,虚拟机网络吞吐性能低以及网络抖动延时增大的问题。5.本技术的技术方案是这样实现的:6.本技术实施例提供一种网络报文的处理方法,所述方法包括:7.获得虚拟机网络接口传输的网络报文;8.从预设策略集合中查找与所述网络报文关联的目标传输策略,得到查找结果;9.基于所述查找结果,对所述网络报文进行处理。10.可选的,所述基于所述查找结果,对所述网络报文进行处理,包括:11.若所述查找结果表征所述预设策略集合中存在与所述网络报文关联的所述目标传输策略,基于所述目标传输策略对所述网络报文进行处理。12.可选的,所述基于所述查找结果,对所述网络报文进行处理,包括:13.若所述查找结果表征所述预设策略集合中不存在与所述网络报文关联的所述目标传输策略,提取所述网络报文中与所述虚拟机网络接口关联的报文信息;14.基于所述报文信息,确定所述目标传输策略;15.基于所述目标传输策略对所述网络报文进行处理。16.可选的,所述基于所述报文信息,确定所述目标传输策略,包括:17.基于所述报文信息,从预设的多个规则链中确定所述网络报文对应的目标规则链;18.基于所述报文信息和所述目标规则链,确定所述目标传输策略。19.可选的,所述基于所述报文信息和所述目标规则链,确定所述目标传输策略,包括:20.若所述目标规则链关联的多个传输策略中存在与所述报文信息匹配的策略,确定所述匹配的策略为所述目标传输策略。21.可选的,所述基于所述报文信息和所述目标规则链,确定所述目标传输策略,包括:22.若所述目标规则链关联的多个传输策略中不存在与所述报文信息匹配的策略,生成用于丢弃所述网络报文的所述目标传输策略。23.可选的,所述基于所述报文信息,确定所述目标传输策略之后,所述方法还包括:24.将所述目标传输策略写入所述预设策略集合中。25.本技术实施例提供一种网络报文的处理装置,所述装置包括:26.获得单元,用于获得虚拟机网络接口传输的网络报文;27.第一处理单元,用于从预设策略集合中查找与所述网络报文关联的目标传输策略,得到查找结果;28.第二处理单元,用于基于所述查找结果,对所述网络报文进行处理。29.本技术实施例提供一种电子设备,所述电子设备包括:30.存储器,用于存储可执行指令;31.处理器,用于执行所述存储器中存储的可执行指令,实现上述所述的网络报文的处理方法。32.本技术实施例提供一种计算机存储介质,所述计算机存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述所述的网络报文的处理方法。33.本技术提供一种网络报文的处理方法、网络报文的处理装置、电子设备和存储介质,其中,网络报文的处理方法包括获得虚拟机网络接口传输的网络报文;从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;基于查找结果,对网络报文进行处理;也就是说,本技术中从预设策略集合中得到与虚拟机网络接口传输的网络报文存在关联关系的目标传输策略的查找结果,基于查找结果,对网络报文进行处理。如此,无需对网络报文数据按照规则链进行规则逐条匹配方式,提高了网络报文匹配效率和转发效率,减少对虚拟化计算节点cpu性能的占用,提升了虚拟机网络吞吐性能以及减少网络抖动延时,进一步地,还可以避免对虚拟机同一条规则连接的所有网络报文进行安全组规则过滤;且随着虚拟机安全组规则数量的增多,虚拟机网络吞吐性能将不受虚拟机安全组规则数量影响,面向连接的网络吞吐转发处理效率显著。附图说明34.图1为本技术实施例提供的一种网络报文的处理方法的流程示意图;35.图2为本技术实施例提供的另一种网络报文的处理方法的流程示意图;36.图3为本技术实施例提供的一种安全组规则变更的时序示意图;37.图4为本技术实施例提供的又一种网络报文的处理方法的流程示意图;38.图5为本技术实施例提供的一种网络报文的处理装置的结构示意图;39.图6为本技术实施例提供的一种电子设备的结构示意图。具体实施方式40.下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行清楚、完整地描述,这里,关于附图说明中提到的“另一种”或“又一种”并非指特定某个实施例,本技术的各个实施例可以在不冲突的情况下相互结合。41.应理解,说明书通篇中提到的“本技术实施例”或“前述实施例”意味着与实施例有关的特定特征、结构或特性包括在本技术的至少一个实施例中。因此,在整个说明书各处出现的“本技术实施例中”或“在前述实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中应用。在本技术的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本技术实施例的实施过程构成任何限定。上述本技术实施例序号仅仅为了描述,不代表实施例的优劣。42.为了便于理解,首先对本技术实施例中的相关术语进行介绍。43.openstack云计算管理平台虚拟网络neutron组件通过在linuxiptablesfilter表forward规则链添加针对虚拟机流量出向入向iptables规则,实现虚拟机安全组功能。这里,openstack是一个开源的云计算管理平台,提供底层基础设施管理,涉及计算资源、网络资源、存储资源等。44.neutron,openstack提供的网络虚拟化功能组件,提供虚拟路由器、虚拟防火墙、虚拟负载均衡器、虚拟机安全组等虚拟网络功能。45.netfilter,linux内核子系统提供通用的、抽象的协议栈网络报文处理框架,提供一整套的hook函数的管理机制实现网络报文过滤、网络地址转换、连接跟踪等功能。46.iptables:linuxnetfiler网络报文过滤防火墙规则命令行管理工具。通过iptables命令行管理工具配置linuxnetfilter防火墙规则。47.hook,linuxnetfilter在内核协议栈的挂载点,实现网络报文过滤、网络地址转换、连接跟踪等功能模块加载。48.虚拟机(virtualmachine,vm)通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在实体计算机中能够完成的工作在虚拟机中都能够实现。在计算机科学中,每个虚拟机都有独立的互补金属氧化物半导体(complementarymetaloxidesemiconductor,cmos)、硬盘和操作系统,可以像使用实体机一样对虚拟机进行操作。49.安全组是一系列网络安全策略的集合,用于限定虚拟机通过的网络报文的类型和方向,以起到防火墙的作用。其中,安全组中的规则可以由用户定义,来实现对特定网络报文的过滤,本技术中将限制进出虚拟机的网络报文的规则统称为安全组规则。需要说明的是,安全组规则存储在安全规则链中。这里,neutron为虚拟化计算节点虚拟机提供出向入向的网络流量过滤功能.采用linuxiptables/netfilter网络报文过滤防火墙功能实现虚拟机出向入向网络流量过滤。50.具体的,以openstack云计算管理平台为例,该平台是一个开源的云计算管理平台项目,基于linux操作系统提供底层基础设施管理涉及计算、网络、存储等资源;另外,该平台还提供网络虚拟化功能管理neutron组件,主要实现虚拟路由器、虚拟防火墙、虚拟负载均衡器以及虚拟机安全组等虚拟网络功能配置编排管理。其中,neutron组件安全组功能实现是由netfilter组件和iptables组件两部分完成的,netfilter组件不仅可以实现防火墙的功能,还可以实现网络报文过滤、网络地址转换、连接跟踪等功能。netfilter组件由一些信息包过滤表组成,表中设置有控制信息包过滤处理的安全组规则链,安全组规则链中包括用户设置的过滤规则,用于对数据包进行过滤操作。iptables组件用于控制linux操作系统中netfilter组件对网络报文过滤防火墙规则的命令行管理工具。通过iptables命令行管理工具对netfilter中的信息包过滤表中的安全组规则进行插入、修改和删除操作。51.在iptables组件中,主要包括四个安全规则表:filter表,nat表,mangle表,raw表。其中,filter表是linux内核集成的ip信息包过滤系统,其最大优点是基于连接跟踪机制实现有状态的防火墙规则配置。iptables通过多个match即匹配、一个target即动作相结合的方式组成一条防火墙规则。需要说明的是,表是由一组预先定义的链组成,链包含若干条安全规则。默认的filter表包含input链、output链和forward链三条内建的链,这三条链作用于数据包传输过程中不同的过滤点。默认情况下,任何链中都没有规则,用户可以向链中添加自己想用的规则。每一条规则包含对数据包的匹配条件和相应的动作(即该规则的目标)。只有当数据包满足所有的匹配条件时,iptables组件才能根据由该规则的目标所指定的动作来处理该数据包。其中,对input链、output链、forward链详细介绍如下:52.1)对于流入的数据包:路由器确定数据包中的目的地址是否与本机地址对应,决定该数据包是到本地的还是需要转发的。53.a、如果路由器确定数据包中的目的地址与本机地址对应,进而确定该数据包是到本地的,就经过input链处理,比如过滤,然后发往上层协议。54.b、如果路由器确定数据包中的目的地址与本机地址不对应,进而确定该数据包是需要转发的,就经过forward链处理,比如过滤,然后经过路由处理,传输到网络上。55.2)对于本地产生的数据包:先经过output链处理,然后进行路由处理,传输到网络上。56.本技术实施例提供了一种网络报文的处理方法,应用于电子设备,参照图1所示,该方法包括以下步骤:57.步骤101、获得虚拟机网络接口传输的网络报文。58.这里,虚拟机网络接口可以理解为虚拟机与宿主操作系统中的主机之间进行通信的接口;网络报文可以理解为在网络中进行交换与传输的数据单元,网络报文包括需要发送的完整的数据信息,其中,网络报文中的报文信息包括源地址、目的地址、源端口、目的端口、协议信息以及净载数据。59.这里,虚拟机网络接口传输网络报文包括虚拟机网络接口发送网络报文和虚拟机网络接口接收网络报文。60.本技术实施例中,虚拟机网络接口发送和/或接收网络报文后,电子设备获得虚拟机网络接口发送和/或接收的网络报文。61.在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为网际控制报文协议(internetcontrolmessageprotocol,icmp)为例,当虚拟机tapeb09265c-be网络接口发送icmp网络报文后,电子设备获取icmp网络报文。62.步骤102、从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果。63.这里,预设策略集合可以理解为预先存储在电子设备中的网络报文以及与网络报文存在关联关系的数据的集合;目标传输策略可以理解为网络报文与虚拟机网络接口的传输存在对应关系的策略。示例性的,目标传输策略可以为accept,目标传输策略还可以为drop;其中,目标传输策略accept可以理解为虚拟机网络接口继续正常传输网络报文的策略;目标传输策略drop可以理解虚拟机用于丢弃网络报文的策略;可以理解的,本技术对目标传输策略不做具体限定。64.本技术实施例中,电子设备获取到虚拟机网络接口传输的网络报文后,通过查找预设策略集合,获取与网络报文存在关联关系的目标传输策略,基于目标传输策略,得到网络报文对应的查找结果。65.在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为icmp网络报文为例,为了对网络报文数据进行监控过滤,在linux操作系统中安装的netfilter组件中设置了hook函数,当虚拟机tapeb09265c-be网络接口发出的icmp网络报文在经过netfilter组件中的回调函数即hook函数后,可以通过查找预设策略集合,获取与icmp网络报文存在关联关系的目标传输策略,基于目标传输策略,得到网络报文对应的查找结果。66.步骤103、基于查找结果,对网络报文进行处理。67.本技术实施例中,电子设备在预设策略集合中查找到与网络报文关联的目标传输策略,得到查找结果,根据查找结果,对虚拟机网络接口传输的网络报文进行处理。68.本技术实施例所提供的一种网络报文的处理方法,获得虚拟机网络接口传输的网络报文;从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;基于查找结果,对网络报文进行处理;也就是说,本技术实施例中,从预设策略集合中得到与虚拟机网络接口传输的网络报文存在关联关系的目标传输策略的查找结果,基于查找结果,对网络报文进行处理。如此,无需对网络报文数据按照规则链进行规则逐条匹配方式,提高了网络报文匹配效率和转发效率,减少对虚拟化计算节点cpu性能的占用,提升了虚拟机网络吞吐性能以及减少网络抖动延时。69.本技术实施例提供了一种网络报文的处理方法,应用于电子设备,参照图2所示,该方法包括以下步骤:70.步骤201、获得虚拟机网络接口传输的网络报文。71.步骤202、从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果。72.本技术实施例中,步骤202从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果之后,可以选择执行步骤203或步骤204至207。73.步骤203、若查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,基于目标传输策略对网络报文进行处理。74.本技术实施例中,电子设备从预设在预设策略集合中查找到与网络报文关联的目标传输策略,得到查找结果,且查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,电子设备基于目标传输策略对网络报文进行处理。75.在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为icmp网络报文为例,若电子设备在预设策略集合中查找到与icmp网络报文关联的目标传输策略,得到的查找结果表征预设策略集合中存在与icmp网络报文关联的目标传输策略,且目标传输策略为accept或者drop。电子设备将基于目标传输策略为accept或者drop,对icmp网络报文进行处理。76.步骤204、若查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,提取网络报文中与虚拟机网络接口关联的报文信息。77.这里,报文信息可以理解为网络报文中所包含的信息,报文信息包括源地址、目的地址、源端口、目的端口、协议信息以及净载数据。78.本技术实施例中,电子设备从预设策略集合中查找到与网络报文关联的目标传输策略,得到查找结果,且查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,电子设备提取网络报文中的报文信息,且报文信息与虚拟机网络接口存在关联关系。79.步骤205、基于报文信息,确定目标传输策略。80.本技术实施例中,电子设备基于获取的网络报文的报文信息,确定与网络报文的报文信息存在对应关系的目标传输策略。81.本技术实施例中,步骤205基于报文信息,确定目标传输策略可以通过如下方式实现:82.步骤205a、基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链。83.本技术实施例中,预设的多个规则链包括input规则链、forward规则链和output规则链;预设的多个规则链对网络报文的处理方式不同。其中,input规则链可以理解为对输入的网络报文进行处理的链;forward规则链可以理解为对转发的网络报文进行处理的链;output规则链可以理解为对输出的网络报文进行处理的链。84.本技术实施例中,目标规则链可以理解为网络报文流转在linux操作系统中的逻辑位置所确定的规则链。85.需要说明的是,电子设备基于网络报文的报文信息中,可以确定网络报文流转在linux操作系统中的逻辑位置,进而从预设的多个规则链中确定进入到系统中的网络报文的目标规则链,按照目标规则链预先设定的规则进行匹配检查过滤。86.本技术实施例中,若网络报文中的报文信息中的目的地址与虚拟机所在的宿主机的网络地址对应,电子设备确定网络报文需要发送到虚拟机的宿主机,则从预设的多个规则链中确定目标安全规则链为input规则链。87.本技术实施例中,若网络报文中的报文信息中的目的地址与虚拟机所在的宿主机的网络地址不对应,电子设备确定网络报文需要经过网桥转发,并通过虚拟机网络接口进出虚拟机,则从预设的多个规则链中确定目标安全规则链为forward规则链。88.本技术实施例中,若网络报文中的报文信息中的源地址与虚拟机所在的宿主机的网络地址对应,电子设备确定网络报文为虚拟机所在的宿主机产生的报文,需要将网络报文发送至虚拟机中,则从预设的多个规则链中确定目标安全规则链为output规则链。89.在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为icmp网络报文为例,若电子设备确定icmp网络报文中的目的地址与虚拟机所在的宿主机的网络地址不对应,电子设备确定icmp网络报文需要经过网桥转发,并通过虚拟机网络接口tapeb09265c-be接口进/出虚拟机,则从预设的多个规则链中确定目标安全规则链为forward规则链。90.本技术实施例中,步骤205a基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链,可以选择执行步骤205a1或步骤205a2;91.步骤205a1、若目标规则链关联的多个传输策略中存在与报文信息匹配的策略,确定匹配的策略为目标传输策略。92.本技术实施例中,目标规则链中包含多条安全规则链,且每一规则链中包含多条安全规则。93.这里,多个传输策略可以理解为与网络报文与虚拟机网络接口的传输存在关联关系的策略,多个传输策略包括accept和return;其中,传输策略accept可以理解为虚拟机网络接口继续正常传输网络报文的策略;传输策略return可以理解为网络报文与目标规则链中的任一安全规则链中的安全规则匹配成功,需返回至当前安全规则链中的上一级安全规则链进行匹配的策略。94.本技术实施例中,网络报文基于目标规则链中所包含的多条规则链中的多条安全规则,自上而下通过逐级规则链进行安全规则的逐条匹配方式,进行安全组规则匹配,若目标规则链关联的多个安全规则与报文信息存在对应的规则,则从多个匹配结果即多个传输策略中得到与网络报文对应的匹配结果即匹配策略,确定匹配的策略为目标传输策略。95.本技术其他实施例中,电子设备还可以修改目标规则链中所包含的安全规则,参考图3所示,电子设备通过dashboard界面配置更新虚拟机中的目标安全规则链中的安全组规则并向安全组件neutron提交规则更新请求,neutron组件接收规则请求后,将修改后的安全组规则更新至数据库同时通过远程过程调用(remoteprocedurecall,rpc)调用通知安全组规则更新至rabbitmq消息队列。neutron-openvswitch-agent程序对从rabbitmq消息队列获取安全组更新消息并将安全组更新至虚拟化计算节点iptables安全组相关规则链,同时将虚拟机所有连接跟踪状态重置即要求进行安全组规则匹配,保障虚拟机安全组规则变更即时生效。96.这里,通过改进虚拟机安全组规则匹配处理逻辑改进虚拟机网络连接所有网络报文进行安全组规则匹配的缺陷。虚拟机安全组规则更新重置连接跟踪匹配状态,实现安全组规则更新针对虚拟机连接重新进行安全组规则过滤虚拟机安全组规则更新即时生效。97.步骤205a2、若目标规则链关联的多个传输策略中不存在与报文信息匹配的策略,生成用于丢弃网络报文的目标传输策略。98.本技术实施例中,网络报文基于目标规则链中所包含的多条规则链中的多条安全规则,自上而下通过逐级规则链进行安全规则的逐条匹配方式,进行安全组规则匹配,若目标规则链关联的多个安全规则与报文信息不存在对应的规则,将网络报文与安全规则组用于丢弃网络报文的安全规则进行匹配,得到匹配的策略,确定匹配策略为目标传输策略。99.在实际应用中,以虚拟机网络接口为tapeb09265c-be接口、网络报文为icmp网络报文为例,若目标规则链关联的多个传输策略中不存在与icmp网络报文信息匹配的策略,最终在最后一条规则neutron-openvswi-sg-fallback规则链中的安全规则确定规则匹配结果即目标传输策略为drop。100.步骤206、将目标传输策略写入预设策略集合中。101.本技术实施例中,电子设备确定与网络报文对应的目标传输策略后,将目标传输策略写入预设策略集合,并进行存储。当网络报文再次虚拟机网络接口中,若预设策略集合中存储有网络报文的目标传输策略,可以直接获取网络报文存在关联关系的目标传输策略,基于目标传输策略对网络报文进行处理。102.步骤207、基于目标传输策略对网络报文进行处理。103.本技术实施例中,电子设备将目标传输策略存储到预设策略集合中,可以基于预设策略集合中存储的与网络报文存在关联关系的目标传输策略,对网络报文进行处理。104.需要说明等额是,若电子设备对虚拟机中的neutron组件所包含的安全组规则进行修改或删除等操作,存储在预设策略集合中的与网络报文存在关联关系的目标传输策略不再生效,需要将网络报文与虚拟机中设置的安全组规则进行重新匹配,得到重新匹配后的目标传输策略,基于重新匹配后的目标传输策略对网络报文进行处理。105.本技术提供的网络报文的处理方法,至少具有如下有益效果:面对连接的虚拟机安全组规则匹配状态保存与匹配优化改进,避免对虚拟机同一条规则连接的所有网络报文进行安全组规则过滤。虚拟机安全组规则匹配优化改进简洁高效,既保留虚拟机安全组按规则链进行规则逐条匹配实现方式,又实现面向连接的虚拟机安全组规则匹配改进优化。虚拟机安全组按规则链进行规则逐条匹配实现方式,随着虚拟机安全组规则数量增多,虚拟机网络吞吐性能将受到影响。虚拟机安全组规则匹配优化改进后面向连接的虚拟机网络吞吐性能将不受虚拟机安全组规则数量影响,面向连接的网络吞吐转发处理效率显著。106.需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。107.基于前述实施例,以虚拟机tapeb09265c-be网络接口发出的icmp网络报文为例,对本技术实施例所提供的网络报文的处理方法做出进一步说明,该方法应用于电子设备,参照图4所示,该方法包括以下步骤:108.步骤301、获得虚拟机tapeb09265c-be网络接口传输的icmp网络报文。109.步骤302、从预设策略集合中查找与icmp网络报文关联的目标传输策略,得到查找结果。110.本技术实施例中,步骤302从预设策略集合中查找与icmp网络报文关联的目标传输策略,得到查找结果之后,可以选择执行步骤303或步骤304至313。111.步骤303、若查找结果表征预设策略集合中存在与icmp网络报文关联的目标传输策略accept或drop,返回目标传输策略accept或drop,并基于目标传输策略accept或drop对icmp网络报文进行处理。112.步骤304、若查找结果表征预设策略集合中不存在与icmp网络报文关联的目标传输策略,提取icmp网络报文中与虚拟机tapeb09265c-be网络接口关联的报文信息。113.这里,报文信息可以理解为icmp网络报文中所包含的信息,报文信息包括源地址、目的地址、源端口、目的端口、协议信息以及净载数据。114.步骤305、基于报文信息中的目的地址,从预设的多个规则链中确定icmp网络报文对应的目标规则链为forward规则链。115.本技术实施例中,电子设备确定icmp网络报文中的目的地址与虚拟机所在的宿主机的网络地址不对应,进而确定icmp网络报文需要经过网桥转发,则从预设的多个规则链中确定目标安全规则链为forward规则链。116.步骤306、基于forward规则链中的安全规则,确定icmp网络报文进入到neutron-openvswi-forward规则链。117.步骤307、基于neutron-openvswi-forward规则链中的安全规则,确定icmp网络报文进入neutron-openvswi-sg-chain规则链。118.步骤308、基于neutron-openvswi-sg-chain规则链中的安全规则,确定icmp网络报文是否匹配到与icmp网络报文关联的第一目标安全规则,若icmp网络报文匹配到与icmp网络报文关联的第一目标安全规则,则执行步骤309;若icmp网络报文未匹配到与icmp网络报文关联的第一目标安全规则,则执行步骤310至313。119.本技术实施例中,第一目标安全规则可以理解为neutron-openvswi-sg-chain规则链中与icmp网络报文的目标传输策略存在关联的规则。120.步骤309、返回与icmp网络报文关联的目标传输策略accept,将目标传输策略accept写入预设策略集合中,基于目标传输策略accept对icmp网络报文进行处理。121.步骤310、确定icmp网络报文进入到neutron-openvswi-oeb09265c-b规则链。122.本技术实施例中,电子设备判断icmp网络报文是从虚拟机tapeb09265c-be接口进入到网桥的网络报文,还是经过网桥从虚拟机tapeb09265c-be接口发送到虚拟机的报文。若icmp网络报文是从虚拟机tapeb09265c-be接口进入到网桥的报文,则确定icmp网络报文进入到neutron-openvswi-oeb09265c-b规则链。123.步骤311、基于neutron-openvswi-oeb09265c-b规则链中的安全规则,确定icmp网络报文是否匹配到与icmp网络报文关联的第二目标安全规则,若icmp网络报文匹配到与icmp网络报文关联的第二目标安全规则,则执行步骤312;若icmp网络报文未匹配到与icmp网络报文关联的第二目标安全规则,则执行步骤313。124.这里,第二目标安全规则可以理解为neutron-openvswi-oeb09265c-b规则链中与icmp网络报文的传输策略存在关联的规则。125.步骤312、返回与icmp网络报文关联的传输策略return,并将icmp网络报文返回至上一级的neutron-openvswi-sg-chain规则链,继续将icmp网络报文与neutron-openvswi-sg-chain规则链中其他安全规则进行匹配。126.步骤313、将icmp网络报文与neutron-openvswi-sg-fallback规则链中的安全规则进行匹配,返回与icmp网络报文关联的目标传输策略drop,将目标传输策略drop写入预设策略集合中,基于目标传输策略drop对icmp网络报文进行处理。127.由上述可知,本技术实施例提供的网络报文的处理方法,避免虚拟机同一条规则连接的所有网络报文进行安全组规则过滤;且随着虚拟机安全组规则数量的增多,虚拟机网络吞吐性能将不受虚拟机安全组规则数量影响,面向连接的网络吞吐转发处理效率显著。如此,无需对网络报文数据按照规则链进行规则逐条匹配方式,提高了网络报文匹配效率和转发效率,减少对虚拟化计算节点cpu性能的占用,提升了虚拟机网络吞吐性能以及减少网络抖动延时。128.需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。129.基于前述实施例,本技术实施例提供一种网络报文的处理装置,该网络报文的处理装置可以应用于图1、2对应的实施例提供的一种网络报文的处理方法中,参照图5所示,该网络报文的处理装置5包括:130.获得单元51,用于获得虚拟机网络接口传输的网络报文;131.第一处理单元52,用于从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;132.第二处理单元53,用于基于查找结果,对网络报文进行处理。133.本技术其他实施例中,第二处理单元53,还用于若查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,基于目标传输策略对网络报文进行处理。134.本技术其他实施例中,第二处理单元53,还用于若查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,提取网络报文中与虚拟机网络接口关联的报文信息;基于报文信息,确定目标传输策略;基于目标传输策略对网络报文进行处理。135.本技术其他实施例中,第二处理单元53,还用于基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链;基于报文信息和目标规则链,确定目标传输策略。136.本技术其他实施例中,第二处理单元53,还用于若目标规则链关联的多个传输策略中存在与报文信息匹配的策略,确定匹配的策略为目标传输策略。137.本技术其他实施例中,第二处理单元53,还用于若目标规则链关联的多个传输策略中不存在与报文信息匹配的策略,生成用于丢弃网络报文的目标传输策略。138.本技术其他实施例中,第二处理单元53,还用于将目标传输策略写入预设策略集合中。139.基于前述实施例,本技术实施例提供一种电子设备,该电子设备可以应用于图1、2对应的实施例提供的一种网络报文的处理方法中,参照图6所示,该电子设备6(图6中的电子设备6对应图5中的网络报文的处理装置5)包括:存储器61和处理器62,其中;处理器62用于执行存储器61中存储的网络报文的处理程序,电子设备6通过处理器62以实现以下步骤:140.获得虚拟机网络接口传输的网络报文;141.从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;142.基于查找结果,对网络报文进行处理。143.在本技术其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:144.若查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,基于目标传输策略对网络报文进行处理。145.在本技术其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:146.若查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,提取网络报文中与虚拟机网络接口关联的报文信息;147.基于报文信息,确定目标传输策略;148.基于目标传输策略对网络报文进行处理。149.在本技术其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:150.基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链;151.基于报文信息和目标规则链,确定目标传输策略。152.在本技术其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:153.若目标规则链关联的多个传输策略中存在与报文信息匹配的策略,确定匹配的策略为目标传输策略。154.在本技术其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:155.若目标规则链关联的多个传输策略中不存在与报文信息匹配的策略,生成用于丢弃网络报文的目标传输策略。156.在本技术其他实施例中,处理器62用于执行存储器61中存储的网络报文的处理程序,以实现以下步骤:157.将目标传输策略写入预设策略集合中。158.基于前述实施例,本发明的实施例提供一种计算机存储介质,该计算机存储介质存储有一个或者多个程序,该一个或者多个程序可被一个或者多个处理器执行,以实现如下步骤:159.获得虚拟机网络接口传输的网络报文;160.从预设策略集合中查找与网络报文关联的目标传输策略,得到查找结果;161.基于查找结果,对网络报文进行处理。162.在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:163.若查找结果表征预设策略集合中存在与网络报文关联的目标传输策略,基于目标传输策略对网络报文进行处理。164.在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:165.若查找结果表征预设策略集合中不存在与网络报文关联的目标传输策略,提取网络报文中与虚拟机网络接口关联的报文信息;166.基于报文信息,确定目标传输策略;167.基于目标传输策略对网络报文进行处理。168.在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:169.基于报文信息,从预设的多个规则链中确定网络报文对应的目标规则链;170.基于报文信息和目标规则链,确定目标传输策略。171.在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:172.若目标规则链关联的多个传输策略中存在与报文信息匹配的策略,确定匹配的策略为目标传输策略。173.在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:174.若目标规则链关联的多个传输策略中不存在与报文信息匹配的策略,生成用于丢弃网络报文的目标传输策略。175.在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:176.将目标传输策略写入预设策略集合中。177.需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。178.需要说明的是,上述计算机存储介质/存储器可以是只读存储器(readonlymemory,rom)、可编程只读存储器(programmableread-onlymemory,prom)、可擦除可编程只读存储器(erasableprogrammableread-onlymemory,eprom)、电可擦除可编程只读存储器(electricallyerasableprogrammableread-onlymemory,eeprom)、磁性随机存取存储器(ferromagneticrandomaccessmemory,fram)、快闪存储器(flashmemory)、磁表面存储器、光盘、或只读光盘(compactdiscread-onlymemory,cd-rom)等存储器;也可以是包括上述存储器之一或任意组合的各种终端,如移动电话、计算机、平板设备、个人数字助理等。179.在本技术所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。180.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。181.另外,在本技术各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。182.本技术所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。183.本技术所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。184.本技术所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。185.以上所述,仅为本技术的具体实施方式,但本技术的保护范围并不局限于此,任何熟悉本
技术领域:
:的技术人员在本技术揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本技术的保护范围之内。因此,本技术的保护范围应以所述权利要求的保护范围为准。当前第1页12当前第1页12
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
