一种基于容器云的机动通信网网络功能虚拟化平台的制作方法
本发明涉及互联网领域,特别是一种基于容器云的机动通信网网络功能虚拟化平台。
背景技术:
网络功能虚拟化(networkfunctionvirtualization,nfv)技术是一种以硬件依赖最小化为目标的网络发展模式。nfv实质上是通过虚拟化技术,将防火墙、入侵检测、深度包检测、流量整形等网元功能抽象为独立的逻辑控制模块,并部署在基于标准服务器、交换机上,使网络不再依赖于专用物理硬件设备,降低网络建设成本和维护开销。
目前的nfv技术主要应用在大型数据中心,建立在基础设施即服务(infrastructureasaservice,iaas)平台上,采取操作系统和硬件设备虚拟化的方式,启动速度慢、迁移难度大,在高延时、低带宽的机动通信网环境下网络性能不够高。此外,防火墙、入侵检测等网络中间盒设备需要配置复杂的策略,操作繁琐、容易出错,对机动通信网的使用用户不友好,难以得到广泛应用。
技术实现要素:
本发明的目的是为了克服现有技术的上述不足,而提供一种基于容器云的机动通信网网络功能虚拟化平台,它将网络功能虚拟化平台与机动通信网完美结合,可以大大降低安装硬件安防设备等网络中间盒的成本,提高设备部署和策略配置的自动化程度,降低操作维护复杂度,有效提升网络安全防护水平。
本发明的技术方案是:一种基于容器云的机动通信网网络功能虚拟化平台,包括容器云平台、容器引擎和机动通信网,所述容器云平台与容器引擎高度关联,其中:
容器云平台用于调度分布在各个工作节点上的容器,控制容器的生命周期和功能;
容器引擎运行在通用服务器上,接收来自容器云平台的调度,同时管理虚拟网络、计算和存储资源;
机动通信网部署主控节点和工作节点;其中主控节点部署容器云平台管理端,实现对机动通信网内的容器进行集中管理和调度;工作节点部署容器引擎,用于在主控节点的调度管理虚拟网络、计算和存储资源;在本网络功能虚拟化平台运行时,工作节点内部运行以系统特权容器封装的虚拟网络中间盒设备。
进一步地,所述工作节点上部署虚拟资源管理器,用来监控节点cpu、内存、硬盘和网络使用率,并定时发送给主控节点。
进一步地,所述主控节点为机动通信网中的任意节点,包括编排器、sdn控制器、nfv控制器和策略控制器,sdn控制器、nfv控制器和策略控制器为上层的编排器提供支持;所述策略控制器与策略配置代理相连接,sdn控制器通与虚拟交换机连接,nfv控制器与虚拟资源管理器连接。
进一步地,所述机动通信网包括多个工作节点,主控节点可独立部署某一节点上,也可部署在任意工作节点,主控节点通过机动通信网网络与其他工作节点连接在一起。
进一步地,操作人员根据业务需求,提交配置清单。所述主控节点将配置清单表示为一条服务链,分发给工作节点;工作节点根据主控节点发来的指令,生成并运行容器。
其中,配置清单由主控节点转换成配置数据,必须包含以下项目:
pod.spec.securitycontext.capbalities.add:[net_admin,net_raw]
pod.spec.hostnetwork:true
pod.spec.containers.imagepullpolicy:ifnotpresent
进一步地,所述主控节点中的sdn控制器通过虚拟交换机生成网络拓扑图,提供给操作人员,用以可视化配置。
进一步地,所述主控节点上存储有网络安防策略,所述网络安防策略抽象成流表项,以策略模板文件的形式存储在主控点上。
进一步地,所述每个容器均与一个安防策略本地代理绑定,所述安防策略本地代理用于处理下载至容器的策略模板文件,并分别传送给虚拟交换机和网络中间盒组件,进而实现网络安防策略的自动配置。
进一步地,所述容器的容器占用硬盘空间不超过60mb,默认存储在主控节点和工作节点的硬盘上。
进一步地,所述主控节点还包括配置界面,配置界面位于编排器的上层,编排器与配置界面连接。
进一步地,所述主控节点与工作节点,均配备两块以上网卡,串联接入机动通信网内部各个子网网关处。
本发明的有益效果:本发明将网络功能虚拟化平台与机动通信网完美结合,可以大大降低安装硬件安防设备等网络中间盒的成本,提高设备部署和策略配置的自动化程度,降低操作维护复杂度;此外,本发明还实现了网络安防策略的自动配置,有效地提升了网络安全防护水平。
附图说明
图1是本发明实施例的系统架构图;
图2是本发明实施例的网络架构图;
图3是本发明实施例的主控节点与工作节点连接关系图;
图4是本发明实施例的使用原理活动图。
具体实施方式
以下将结合说明书附图和具体实施例对本发明做进一步详细说明。
实施例
机动通信网由一组移动的节点互联组网,节点可以是行进的车辆、舰船、飞机等等,组网方式可采取短波/超短波、卫星通信等无线通信方式,也可在暂停期间采取被覆线/光纤等有线通信方式。
根据机动通信网应用需求,nfv架构明确了三个原则:一是系统架构须适应机动通信网高延时低带宽的特点,网络中间盒启动速度要快、迁移开销要小;二是网络结构须遵循最小化改动原则,尽量降低系统升级的成本;三是须遵循转控分离原则,便于集中控制。
基于此,本发明实施例提供了一种基于容器云的机动通信网网络功能虚拟化平台,图1和图2所示,它包括容器云平台、容器引擎和机动通信网,容器云平台与容器引擎深度互联。
其中:
机动通信网内各节点之间的物理连接关系不变,在节点内部应用服务器上部署容器云平台组件和容器引擎,构成资源池,为网络中间件提供宿主环境;机动通信网内包括多个工作节点,工作节点以特权容器的形式封装网络中间盒功能组件,便于快速部署和迁移。机动通信网设有主控节点,形成机动通信网网络;指定某一节点为主控节点,用于操作人员配置管理机动通信网内的网络中间件。
容器引擎部署在工作节点上,用以管理虚拟网络、计算和存储资源,隔离应用功能和网络管理功能;容器云平台管理端部署在主控节点上,用以实现对机动通信网内的容器进行集中管理和调度。
所述机动通信网包括多个工作节点,主控节点既可独立地部署在某一节点上,又可部署在任意工作节点上。
具体地,所述容器云平台使用开源软件kubernetes构建,并部署上层nfv控制器、sdn控制器以及策略控制器。
具体地,所述容器引擎为开源软件docker。
具体地,所述容器的容器镜像使用开源操作系统alpine生成,占用空间不超过60mb,默认存储在主控节点和工作节点的硬盘上。
具体地,所述工作节点上部署了虚拟资源管理器、虚拟交换机和策略配置代理,其中:
虚拟资源管理器用于管理监控cpu、内存和硬盘以及网络流量等资源的使用情况;
虚拟交换机用于实现数据交换;
策略配置代理用于自动化配置策略。
具体地,所述主控节点为机动通信网中的任意节点,包括编排器、sdn控制器、nfv控制器和策略控制器,sdn控制器、nfv控制器和策略控制器为上层的编排器提供支持;所述策略控制器与策略配置代理相连接,sdn控制器通过虚拟交换机连接,nfv控制器与虚拟资源管理器连接。所述主控节点还包括配置界面,配置界面位于编排器的上层,编排器与配置界面连接。
具体地,操作人员根据业务需求,通过配置界面提交配置清单。所述主控节点将配置清单表示为一条服务链,分发给工作节点;工作节点根据主控节点发来的指令,生成并运行容器。配置清单由主控节点转换成配置数据,必须包含以下项目:
pod.spec.securitycontext.capbalities.add:[net_admin,net_raw]
pod.spec.hostnetwork:true
pod.spec.containers.imagepullpolicy:ifnotpresent
如图3所示,工作节点向主控节点发出网络业务请求quote
具体地,所述主控节点中的sdn控制器通过虚拟交换机生成网络拓扑图,提供给操作人员,用以可视化配置。
具体地,所述主控节点与工作节点,均配备两块以上网卡,串联接入机动通信网内部各个子网网关处。
如图4所示,所述主控节点上存储有网络安防策略,所述网络安防策略抽象成流表项,以策略模板文件的形式存储在主控点上。所述每个容器均与一个安防策略本地代理绑定,所述安防策略本地代理用于处理下载至容器的策略模板文件,并分别传送给虚拟交换机和网络中间盒组件,进而实现网络安防策略的自动配置。
借鉴openflow协议的思想,可将网络安防策略抽象成流表项,以策略模板文件的形式存储在主控节点上。网络中间件容器启动之后,自动向策略控制器订阅所需的安全策略模板文件;每个容器均与一个安防策略本地代理绑定,当策略模板文件下载至容器后,经过安防策略本地代理处理,分别传送给虚拟交换机和网络中间盒组件,进而实现网络安防策略的自动配置。安防策略订阅/推送机制基于高强一致性数据中心设计实现,主控节点部署强一致性数据中心服务器,将安防策略以摘要形式(安防设备类型deveicetype:时间戳timestamp:版本号version)储存起来;安防策略本地代理中集成了强一致性数据中心客户端,对主控节点上的安防策略进行订阅跟踪,当主控节点修改安全策略模板后,各工作节点感知到策略变化,对安防策略进行更新,实现安防策略的动态配置。具体地,强一致性数据中心为开源软件etcd。如此,只需要上级或主控节点配置好安全策略模板,各节点的安全策略可以自动同步更新,避免手工操作、逐机配置,提高了配置速度,降低了配置难度。在本网络功能虚拟化平台下。
本发明的使用原理:
操作人员在主控节点处工作。
1、工作节点上的ovs虚拟交换机通过lldp协议,向sdn控制器汇报网络拓扑信息,而后用户界面可以将网络信息可视化提供给操作人员。
2、操作人员根据业务需要,在需要添加虚拟网络功能的工作节点,使用鼠标等在界面上选择添加的一个或多个网络功能(如入侵检测、防火墙等)。
3、界面将操作人员的操作视为服务链,分解为一系列网络功能发送给编排器,编排器将这些网络功能转换成配置清单,发送给刚刚操作人员选定的工作节点。除常规配置项目外,每个配置清单必须包含以下内容:
pod.spec.securitycontext.capbalities.add:[net_admin,net_raw]
pod.spec.hostnetwork:true
pod.spec.containers.imagepullpolicy:ifnotpresent
4、工作节点接收到配置清单后,将配置数据发送给容器引擎。
5、容器引擎查看镜像,而后加载镜像,生成容器。本步骤所述的镜像,基于alpine开源操作系统生成,占用硬盘空间不超过60mb。
6、工作节点容器上的安全策略代理本地存储当前安全策略摘要,通过etcd监控主控节点上的安全策略的摘要,如发现主控节点上的比当前工作节点上的摘要更新,则从主控节点拉取安全策略。
7、安全策略本地代理拉取最新的安全策略后,根据本地网络环境信息(网络编号、网关信息),调整安全策略需要修改的字段,而后加载至本容器,从而实现安全策略的动态更新。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其同等技术的范围之内,则本发明也意图包含这些改动和变型在内。
- 还没有人留言评论。精彩留言会获得点赞!