基于NSX-T实现安全组的方法及系统与流程

本发明涉多云环境下网络改造，具体地说是基于nsx-t实现安全组的方法及系统。

背景技术：

1、目前在多云管理下针对vmware虚拟化在对云主机、裸金属实现防火墙及云主机组内互通访问能力，都是直接通过在nsx-t上的分布式防火墙进行创建策略及分配规则，而nsx-t的分布式防火墙默认都是通过网络ip来实现组内互通及防火墙能力，如果云主机及裸金属ip资源发生变动时需要同步对nsx-t的分布式防火墙同时进行操作，对运维管理员及租户带来了很大的影响。如图1所示。

2、现有方案存在以下缺点：

3、(1)业务开通时，如果想实现a云主机、b云主机组内互通场景，需要先将a、b云主机或者裸金属的ipv4、ipv6地址复制出来，然后再nsx-t的分布式防火墙进行配置，配置繁琐，效率很低，特别像ipv6地址128位，错一个字符可能导致网络不通的问题；

4、(2)业务变更时，针对云主机内新增网卡，变更网卡、删除网卡对ip每一步的操作时，需同时再次对nsx-t的分布式防火墙再次进行配置才能生效，重复操作，极大的影响客户感知。

5、如何解决多云环境下网络应对安全组频繁发布和快速部署应用的问题，是需要解决的技术问题。

技术实现思路

1、本发明的技术任务是针对以上不足，提供基于nsx-t实现安全组的方法及系统，来解决如何解决多云环境下网络应对安全组频繁发布和快速部署应用的问题。

2、第一方面，本发明一种基于nsx-t实现安全组的方法，包括如下步骤：

3、通过系统管理员为租户分配账号以及资源池授权后，为租户在所授权资源池下创建默认安全组，并对所述安全组进行初始化，通过初始化在安全组下创建分布式防火墙策略，并为分布式防火墙策略添加组内互通默认规则以及分布式防火墙规则；

4、所述安全组初始化后，将云资源加入安全组，并将新创建的原资源加入安全组。

5、作为优选，对所述安全组进行初始化，包括如下步骤：

6、通过基础设施api能力实现安全组的定义，定义安全组的名称和id；

7、为租户在所授权资源池下创建默认的分布式防火墙策略，并为分布式防火墙策略添加默认组内互通默认规则，所述组内互通默认规则包括ipv4\ip v6、以及当前组模式；

8、基于模板引入的方式为分布式防火墙策略添加分布式防火墙规则，所述分布式防火墙规则的类型包括入方向规则和出方向规则。

9、作为优选，所述安全组的名称定义为defult，通过雪花算法定义安全组的id。

10、作为优选，基于模板引入的方式为分布式防火墙策略添加分布式防火墙规则，包括如下步骤：

11、预配置不同场景下分布式防火墙规则的规则模板，通过导入所述规则模板的方式为分布式防火墙策略添加分布式防火墙规则；

12、导入所述规则模板后，基于api方式调整安全组内优先级以调整分布式防火墙规则的顺序。

13、作为优选，所述云资源包括云主机和裸金属；

14、将存量云资源加入安全组，包括如下步骤：

15、判断所述云资源是否已绑定安全组；

16、如果所述云资源已绑定安全组，从绑定所述云资源的原安全组成员列表中将所述云资源id移除后，将所述元资源id加入新安全组成员列表内；

17、如果所述云资源未绑定安全组，将所述元资源id加入新安全组成员列表内；

18、将新创建的云资源加入安全组，包括如下步骤：

19、创建云资源后，获取授权的资源池下默认安全组id；

20、将创建的元资源id加入安全组成员列表。

21、第二方面，本发明一种基于nsx-t实现安全组的系统，用于通过如第一方面任一项所述的基于nsx-t实现安全组的方法，实现多云环境下安全组发布和部署，所述系统包括：

22、安全组初始化模块，所述安全组初始化模块用于执行：系统员为租户分配账号以及资源池授权后，为租户在所授权资源池下创建默认安全组，并对所述安全组进行初始化，通过初始化在安全组下创建分布式防火墙策略，并为分布式防火墙策略添加组内互通默认规则以及分布式防火墙规则；

23、云资源加入模块，所述云资源加入模块用于执行如下：将云资源加入安全组，并将新创建的原资源加入安全组。

24、作为优选，所述安全组初始化模块用于执行如下实现对所述安全组进行初始化：

25、通过基础设施api能力实现安全组的定义，定义安全组的名称和id；

26、为租户在所授权资源池下创建默认的分布式防火墙策略，并为分布式防火墙策略添加默认组内互通默认规则，所述组内互通默认规则包括ipv4\ip v6、以及当前组模式；

27、基于模板引入的方式为分布式防火墙策略添加分布式防火墙规则，所述分布式防火墙规则的类型包括入方向规则和出方向规则。

28、作为优选，所述安全组的名称定义为defult，所述安全组初始化模块用于通过雪花算法定义安全组的id。

29、作为优选，所述安全组初始化模块用于执行如下实现基于模板引入的方式为分布式防火墙策略添加分布式防火墙规则：

30、预配置不同场景下分布式防火墙规则的规则模板，通过导入所述规则模板的方式为分布式防火墙策略添加分布式防火墙规则；

31、导入所述规则模板后，基于api方式调整安全组内优先级以调整分布式防火墙规则的顺序。

32、作为优选，所述云资源包括云主机和裸金属；

33、所述云资源加入模块用于执行如下实现将存量云资源加入安全组：

34、判断所述云资源是否已绑定安全组；

35、如果所述云资源已绑定安全组，从绑定所述云资源的原安全组成员列表中将所述云资源id移除后，将所述元资源id加入新安全组成员列表内；

36、如果所述云资源未绑定安全组，将所述元资源id加入新安全组成员列表内；

37、所述云资源加入模块用于执行如下实现将新创建的云资源加入安全组：

38、创建云资源后，获取授权的资源池下默认安全组id；

39、将创建的元资源id加入安全组成员列表。

40、本发明的基于nsx-t实现安全组的方法及系统具有以下优点：

41、1、不在依赖固定ip的方式实现对云主机的安全防护，极大减少了运维人员对ip频繁操作，有效解决了针对云主机ip、裸金属ip在新增网卡、变更网卡、删除网卡等操作时，对网络策略频繁操作带来的影响；

42、2、通过nsx-t提供的组、成员、分布式防火墙实现安全组能力，减少了运营运维人员或最终客户在操作云主机/裸金属等基础资源重复繁琐操作，同时降低由于误操作造成的需要人为干预的可能性，使得整个业务的开通错误操作率降低了90％以上，极大了提升了用户感知。

技术特征：

1.一种基于nsx-t实现安全组的方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的基于nsx-t实现安全组的方法，其特征在于，对所述安全组进行初始化，包括如下步骤：

3.根据权利要求2所述的基于nsx-t实现安全组的方法，其特征在于，所述安全组的名称定义为defult，通过雪花算法定义安全组的id。

4.根据权利要求2所述的基于nsx-t实现安全组的方法，其特征在于，基于模板引入的方式为分布式防火墙策略添加分布式防火墙规则，包括如下步骤：

5.根据权利要求1-4任一项所述的基于nsx-t实现安全组的方法，其特征在于，所述云资源包括云主机和裸金属；

6.一种基于nsx-t实现安全组的系统，其特征在于，用于通过如权利要求1-5任一项所述的基于nsx-t实现安全组的方法，实现多云环境下安全组发布和部署，所述系统包括：

7.根据权利要求6所述的基于nsx-t实现安全组的系统，其特征在于，所述安全组初始化模块用于执行如下实现对所述安全组进行初始化：

8.根据权利要求6所述的基于nsx-t实现安全组的系统，其特征在于，所述安全组的名称定义为defult，所述安全组初始化模块用于通过雪花算法定义安全组的id。

9.根据权利要求6所述的基于nsx-t实现安全组的系统，其特征在于，所述安全组初始化模块用于执行如下实现基于模板引入的方式为分布式防火墙策略添加分布式防火墙规则：

10.根据权利要求6所述的基于nsx-t实现安全组的系统，其特征在于，所述云资源包括云主机和裸金属；

技术总结
本发明公开了基于NSX‑T实现安全组的方法及系统，属于云环境下网络改造技术领域，要解决的技术问题为多云环境下网络应对安全组频繁发布和快速部署应用的问题。包括如下步骤：通过系统管理员为租户分配账号以及资源池授权后，为租户在所授权资源池下创建默认安全组，并对所述安全组进行初始化，通过初始化在安全组下创建分布式防火墙策略，并为分布式防火墙策略添加组内互通默认规则以及分布式防火墙规则；所述安全组初始化后，将云资源加入安全组，并将新创建的原资源加入安全组。

技术研发人员：李科
受保护的技术使用者：浪潮通信信息系统有限公司
技术研发日：
技术公布日：2024/1/13