本發(fā)明涉及云計(jì)算領(lǐng)域和計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域，尤其涉及一種配置模板同步默認(rèn)安全組規(guī)則的方法。

背景技術(shù)：

1、目前各行業(yè)開始逐漸將業(yè)務(wù)系統(tǒng)通過云計(jì)算平臺(tái)進(jìn)行整合，出于安全考慮，他們都可以使用vpc技術(shù)進(jìn)行網(wǎng)絡(luò)上安全隔離，vpc即virtual?private?cloud，vpc技術(shù)可以讓租戶在云內(nèi)擁有一個(gè)與其他租戶之間邏輯隔離的區(qū)域，并在這個(gè)區(qū)域內(nèi)使用各種云資源，租戶可以完全自由掌控云上虛擬網(wǎng)絡(luò)。而隨著云業(yè)務(wù)的普及，云主機(jī)使用安全組的需求也應(yīng)運(yùn)而生。安全組是一種虛擬防火墻，具備有狀態(tài)的數(shù)據(jù)包過濾功能，用于設(shè)置云服務(wù)器、負(fù)載均衡、云數(shù)據(jù)庫等實(shí)例的網(wǎng)絡(luò)訪問控制，控制實(shí)例級(jí)別的出入流量，是重要的網(wǎng)絡(luò)安全隔離手段?？梢酝ㄟ^配置安全組規(guī)則，允許或禁止安全組內(nèi)的實(shí)例的出流量和入流量。安全組是一個(gè)邏輯上的分組，可以將同一地域內(nèi)具有相同網(wǎng)絡(luò)安全隔離需求的云服務(wù)器、彈性網(wǎng)卡、云數(shù)據(jù)庫等實(shí)例加到同一個(gè)安全組內(nèi)。新建安全組時(shí)，可以選擇提供的3個(gè)安全組模板：放通22、3389、80、443端口和icmp協(xié)議、放通全部端口和自定義。如果云平臺(tái)前期沒有設(shè)置安全組模板，后來需要給默認(rèn)安全組統(tǒng)一添加默認(rèn)規(guī)則，就需要考慮安全組規(guī)則的同步機(jī)制。

技術(shù)實(shí)現(xiàn)思路

1、為了解決以上技術(shù)問題，本發(fā)明提供了一種配置模板同步默認(rèn)安全組規(guī)則的方法。不影響用戶的業(yè)務(wù)，不進(jìn)行默認(rèn)安全組規(guī)則的同步，保證了客戶業(yè)務(wù)的正常運(yùn)行。

2、本發(fā)明的技術(shù)方案是：

3、一種配置模板同步默認(rèn)安全組規(guī)則的方法，當(dāng)用戶首次訪問安全組時(shí)自動(dòng)給默認(rèn)安全組添加規(guī)則，監(jiān)測(cè)到openstack上規(guī)則數(shù)據(jù)為安全組創(chuàng)建時(shí)的四條規(guī)則，用戶未手動(dòng)修改，此時(shí)在默認(rèn)安全組下自動(dòng)添加設(shè)置的模板規(guī)則，如果監(jiān)測(cè)到用戶已修改了安全組規(guī)則，為了不影響用戶的業(yè)務(wù)，不進(jìn)行默認(rèn)安全組規(guī)則的同步。

4、進(jìn)一步的，

5、引入配置模板同步默認(rèn)安全組規(guī)則的目的是通過模板管理配置默認(rèn)安全組，對(duì)于同步完成的安全組打上標(biāo)記，保證安全組數(shù)據(jù)的一致性，實(shí)現(xiàn)安全組規(guī)則的批量創(chuàng)建，操作簡(jiǎn)單快捷。

6、該方案配置模板同步默認(rèn)安全組規(guī)則不依賴某一單獨(dú)的物理硬件設(shè)備，可靈活管理配置，根據(jù)需求配置默認(rèn)安全組模板，安全性較高。

7、安全組規(guī)則同步完成后，給默認(rèn)安全組加上tag，查看安全組的規(guī)則和安全組模板配置的規(guī)則一致，下次再查詢安全組列表時(shí)判斷安全組tag存在，則不需要同步默認(rèn)安全組規(guī)則，保證數(shù)據(jù)的一致性和正確性。

8、再進(jìn)一步的，

9、創(chuàng)建默認(rèn)安全組模板，包括添加入規(guī)則、修改入規(guī)則、刪除入規(guī)則、添加出規(guī)則、修改出規(guī)則、刪除出規(guī)則；規(guī)則內(nèi)容包括：類型即ipv4和ipv6、協(xié)議/應(yīng)用、端口范圍/icmp類型、來源、描述；模板配置完成后，用戶登錄控制臺(tái)同步默認(rèn)安全組規(guī)則。

10、再進(jìn)一步的，

11、當(dāng)用戶登錄控制臺(tái)界面，查看安全組列表列表或者創(chuàng)建云服務(wù)器等資源時(shí)，安全組列表接口會(huì)先查詢?cè)撚脩粝碌哪J(rèn)安全組是否已經(jīng)打上default的標(biāo)記，

12、如果有default的標(biāo)記，則說明該用戶已經(jīng)同步過安全組規(guī)則，不需要再次同步，直接返回該用戶下的安全組列表信息。

13、如果該默認(rèn)安全組沒有打上default的tag，則需要比較默認(rèn)安全組的規(guī)則是否為創(chuàng)建安全組時(shí)的規(guī)則，由此判斷用戶是否有修改過規(guī)則，如果目前的安全組規(guī)則和原有的規(guī)則一致，需要按照網(wǎng)絡(luò)管理平臺(tái)設(shè)置的默認(rèn)安全組模板對(duì)默認(rèn)安全組規(guī)則進(jìn)行同步，并給該默認(rèn)安全組打上default的tag，表示已經(jīng)同步過模板，下次再訪問安全組列表時(shí)不再同步。如果目前的安全組規(guī)則和原有的規(guī)則不一致，說明用戶修改過，此時(shí)不需要對(duì)默認(rèn)安全組同步規(guī)則，保證用戶業(yè)務(wù)的正常運(yùn)行。

14、所述規(guī)則分別是：

15、第一條規(guī)則是放通入規(guī)則ipv4全部端口全部協(xié)議來源為default的同安全組規(guī)則；

16、第二條規(guī)則是放通入規(guī)則ipv6全部端口全部協(xié)議來源為default的同安全組規(guī)則；

17、第三條規(guī)則是放通出規(guī)則ipv4全部端口來源為全部的規(guī)則；

18、第四條規(guī)則是放通出規(guī)則ipv6全部端口來源為全部的規(guī)則。

19、用戶登錄控制臺(tái)界面，租戶點(diǎn)擊創(chuàng)建安全組時(shí)，可選擇提供的3個(gè)安全組模板：放通22、3389、80、443端口和icmp協(xié)議、放通全部端口和自定義；選擇對(duì)應(yīng)模板后，創(chuàng)建的安全組下會(huì)自動(dòng)創(chuàng)建相應(yīng)的規(guī)則，并且會(huì)加上規(guī)則描述信息。當(dāng)用戶選擇第一個(gè)模板：入規(guī)則會(huì)添加放通同安全組、放通內(nèi)網(wǎng)、放通ping服務(wù)、放通linux?ssh登錄、放通windows遠(yuǎn)程登錄、放通web服務(wù)端口的規(guī)則，出規(guī)則放通全部；當(dāng)用戶選擇第二個(gè)模板：入規(guī)則和出規(guī)則都放通全部；當(dāng)用戶選擇第三個(gè)模板：入規(guī)則拒絕全部流量，出規(guī)則放通全部；安全組創(chuàng)建后可以查看安全組列表、查看安全組詳情、修改安全組名稱、刪除安全組、查看入規(guī)則和出規(guī)則列表、添加規(guī)則、修改規(guī)則、刪除規(guī)則。

20、再進(jìn)一步的，

21、方法實(shí)現(xiàn)架構(gòu)包括以下幾個(gè)模塊：1)北向接口模塊、2)數(shù)據(jù)庫、3)網(wǎng)絡(luò)平臺(tái)管理模塊、4)安全組管理模塊；

22、1)北向接口模塊用于向外提供rest?api，以提供用戶創(chuàng)建網(wǎng)絡(luò)、創(chuàng)建云主機(jī)并同步默認(rèn)安全組規(guī)則的功能。比如提供租戶id、網(wǎng)段cidr、區(qū)域，來實(shí)現(xiàn)創(chuàng)建網(wǎng)絡(luò)、創(chuàng)建子網(wǎng)、刪除子網(wǎng)、刪除虛擬私有網(wǎng)絡(luò)、創(chuàng)建安全組、刪除安全組、查看安全組列表并同步默認(rèn)安全組規(guī)則。

23、2)數(shù)據(jù)庫模塊則存放相關(guān)的租戶、虛擬私有網(wǎng)絡(luò)、子網(wǎng)、安全組、安全組同步標(biāo)記信息；租戶通過網(wǎng)絡(luò)平臺(tái)管理模塊和安全組管理模塊建立的相關(guān)信息全部存放在數(shù)據(jù)庫中；

24、3)網(wǎng)絡(luò)平臺(tái)管理模塊用于管理默認(rèn)安全組模板；

25、4)安全組管理模塊用于管理安全組，包括查詢安全組列表、查看安全組詳情、創(chuàng)建安全組、刪除安全組、更新安全組名稱、查詢?nèi)胍?guī)則列表、查詢出規(guī)則列表、添加規(guī)則、刪除規(guī)則、修改規(guī)則。

26、其中，

27、網(wǎng)絡(luò)平臺(tái)管理模塊用來管理默認(rèn)安全組規(guī)則，可查看入規(guī)則列表、查看出規(guī)則列表、添加規(guī)則、修改規(guī)則、刪除規(guī)則；可根據(jù)用戶需求添加模板，該模板添加后，立即生效，不允許添加默認(rèn)安全組已經(jīng)存在的規(guī)則，入規(guī)則兩條包括放通ipv4和ipv6的同安全組規(guī)則，出規(guī)則兩條包括ipv4和ipv6放通全部。

28、當(dāng)租戶訪問安全組列表功能時(shí)，先查詢?cè)撚脩粝碌哪J(rèn)安全組是否已經(jīng)打上default的標(biāo)記，

29、如果有default的標(biāo)記，則說明該用戶已經(jīng)同步過安全組規(guī)則，不需要再次同步，直接返回該用戶下的安全組列表信息；

30、如果該默認(rèn)安全組沒有打上default的tag，則需要比較默認(rèn)安全組的規(guī)則是否為創(chuàng)建安全組時(shí)的規(guī)則。

31、本發(fā)明的有益效果是

32、1)采用了本發(fā)明的配置模板同步默認(rèn)安全組規(guī)則的方案后，可靈活配置默認(rèn)安全組模板，對(duì)于同步完成的安全組打上標(biāo)記，保證安全組數(shù)據(jù)的一致性，實(shí)現(xiàn)安全組規(guī)則的批量創(chuàng)建，操作簡(jiǎn)單快捷。

33、2)該方案配置模板同步默認(rèn)安全組規(guī)則不依賴某一單獨(dú)的物理硬件設(shè)備，可靈活管理配置，根據(jù)需求配置默認(rèn)安全組模板，安全性較高。