一种云场景裸金属流量监控功能方法和装置与流程

本发明涉及云场景裸金属流量监控，尤其是一种用于解决裸金属流量监控问题的方法和装置。

背景技术：

1、由于交换机大多只支持将镜像报文封装成gre报文送给态势感知器或分析仪，而云内overlay网络目前都是vxlan部署，导致分析仪不能直接部署在云内，也不能通过云内公网送出。在私有云场景下，由于云上云下都属于私有云客户自己的网络，可以打通云上和云下的underlay网络，将态势感知器部署在云下的underlay网络中，镜像报文直接通过underlay网络送到态势感知器。如图1所示，裸机1访问裸机2的流量在进入接入交换机之后，在交换机上复制一份，封装成gre报文(报文的源ip地址为接入交换机地址，目的地址为态势感知器地址)，报文根据外层ip头转发，通过汇聚交换机到borderleaf，再通过底层的物理网络送到态势感知器。

2、另一种部署方式，是将态势感知器直接在汇聚交换机上接入(如图2所示)，裸机1访问裸机2的流量在进入接入交换机后，复制一份，封装成gre报文(报文的源ip地址为接入交换机地址，目的地址为态势感知器地址)，报文到达汇聚交换机后直接转发给态势感知器。

3、整个流程中，需要手工打通接入交换机到态势感知器的网络。这种方式易用性差，可维护性差，每增加一个分析设备，就需要手工打通云上与云下分析器的物理网络，无法实现业务自动开通。而且，由于gre这种报文封装形式，无法携带可以唯一确定裸机镜像流量的信息，要求客户的所有裸机的mac或ip不冲突，否则无法区分出流量。除此之外，直接将云内网络与用户云下网络打通，还存在安全隐患。

4、由于交换机硬件设备限制，对于客户需要的基于五元组进行流镜像功能，规格一般较小，基于多个维度进行流量采集比较困难。

技术实现思路

1、本发明目的在于提供一种云场景裸金属流量监控功能方法和装置，通过在云内部署一个镜像网元对物理裸机的镜像流量封装的协议进行转换，从gre转换成双层vxlan，从而使得镜像流量可以在云内转发，进而支持分析器及态势感知器部署在云内网络，实现业务的自动开通，提高了客户体验，且运维方便，安全性好。

2、本发明的技术方案如下：

3、第一方面，一种云场景裸金属流量监控功能方法，该方法包括如下步骤：

4、s1、在云场景中部署一个态势感知器，监控云中所有裸金属主机的流量情况，并对异常流量进行检测和分析，为裸机分配唯一的vxlan id；

5、s2、预先分配2个地址用于接入交换机封装gre报文的源ip；

6、s3、增加一种镜像网元，且网元采用集群部署；

7、s4、基于裸机mac选择镜像网元集群，为裸机配置流量镜像业务。

8、本发明的进一步改进在于，所述s1中为裸机分配唯一的vxlan id，态势感知器可以根据该vxlan id唯一识别裸机流量。

9、本发明的进一步改进在于，所述s2中预先分配2个地址用于接入交换机封装gre报文的源ip，对于裸金属出方向流量镜像报文外层gre源ip封装ip1，对于进入裸金属流量的镜像报文外层gre源ip封装为ip2。

10、本发明的进一步改进在于，所述s3的具体步骤为：

11、s31：镜像网元用于接收指定租户的裸机gre镜像报文并解析，然后根据gre源ip区分镜像流量是出方向还是入方向流量；

12、s32：镜像网元区分出方向和入方向之后，根据内层报文的mac地址确定所属裸金属，并进行五元组匹配，筛选出客户需要的流量；

13、s33：将镜像报文重新封装成双层vxlan报文，内层携带裸机专有vxlan id信息，外层携带态势感知器vxlan id信息，将报文转发给态势感知器所在宿主机；

14、s34：态势感知器所在宿主机通过外层vxlan id信息+内层vxlan的目的ip找到态势感知器，将报文转给态势感知器，态势感知器收到报文后，根据内层vxlan id信息+内层报文的源mac唯一识别出对应裸机流量。

15、本发明的进一步改进在于，所述s4采用基于裸机mac选择镜像网元集群的算法来控制镜像流量的分配，当一个裸机需要进行出方向流量镜像，控制器根据裸机的mac地址获取到网元集群,网元集群上没有与裸机mac地址冲突的其他裸机。

16、本发明的进一步改进在于，所述s4中为裸机配置流量镜像业务的具体步骤为：

17、s41、从系统内查询是否有可以使用的镜像网元集群，若没有就扩容一组网元集群，并将扩容的镜像网元集群作为此裸机的镜像网元集群；

18、s42、若有可用网元集群，则获取一个网元集群，确定该集群上是否已经存在与此裸机mac冲突的其他裸机；

19、s43、若没有，则选择这个网元集群作为此裸机的镜像网元集群，若存在冲突的mac，则重新获取一个网元集群，直至找到一个没有mac冲突的网元集群。

20、本发明的进一步改进在于，所述s43中，特别地，若遍历所有的网元集群，也没有找到一个没有mac冲突的网元集群，则自动扩容一组网元集群，并将扩容的镜像网元集群作为此裸机的镜像网元集群。

21、第二方面，提出一种云场景裸金属流量监控功能装置，该装置包括：

22、云部署模块、分配模块、集群部署模块、配置模块：

23、所述云部署模块，用于在云场景中部署一个态势感知器，监控云中所有裸金属主机的流量情况，并对异常流量进行检测和分析；

24、所述分配模块，用于为裸机分配唯一的vxlan id，预先分配2个地址用于接入交换机封装gre报文的源ip；

25、所述集群部署模块，用于增加一种镜像网元，且网元采用集群部署；

26、所述配置模块，用于基于裸机mac选择镜像网元集群，为裸机配置流量镜像业务。

27、本发明的技术效果如下：

28、本发明提出了一种云场景裸金属流量监控功能方法和装置，该技术可以实现对裸金属流量的全面监控和分析，具有较高的实用性、普适性、安全性，并且具备较低的用户配置复杂度、网络运维成本等。该技术可以帮助云平台提供商实现全方位的服务质量保障，为云计算技术的发展提供更好的保障，具有显著的商业价值和实际应用前景。

技术特征：

1.一种云场景裸金属流量监控功能方法，其特征在于：包括以下具体步骤：

2.根据权利要求1所述的一种云场景裸金属流量监控功能方法，其特征在于：所述s1中为裸机分配唯一的vxlan id，态势感知器可以根据该vxlan id唯一识别裸机流量。

3.根据权利要求2所述的一种云场景裸金属流量监控功能方法，其特征在于：所述s2中预先分配2个地址用于接入交换机封装gre报文的源ip，对于裸金属出方向流量镜像报文外层gre源ip封装ip1，对于进入裸金属流量的镜像报文外层gre源ip封装为ip2。

4.根据权利要求3所述的一种云场景裸金属流量监控功能方法，其特征在于：所述s3的具体步骤为：

5.根据权利要求4所述的一种云场景裸金属流量监控功能方法，其特征在于：所述s4采用基于裸机mac选择镜像网元集群的算法来控制镜像流量的分配，当一个裸机需要进行出方向流量镜像，控制器根据裸机的mac地址获取到网元集群,网元集群上没有与裸机mac地址冲突的其他裸机。

6.根据权利要求5所述的一种云场景裸金属流量监控功能方法，其特征在于：所述s4中为裸机配置流量镜像业务的具体步骤为：

7.根据权利要求6所述的一种云场景裸金属流量监控功能方法，其特征在于：所述s43中，特别地，若遍历所有的网元集群，也没有找到一个没有mac冲突的网元集群，则自动扩容一组网元集群，并将扩容的镜像网元集群作为此裸机的镜像网元集群。

8.一种云场景裸金属流量监控功能装置，基于权利要求1-7任一项所述的一种云场景裸金属流量监控功能方法实现，其特征在于，包括：云部署模块、分配模块、集群部署模块、配置模块：

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时，实现权利要求1-7中任一项所述的一种云场景裸金属流量监控功能方法。

10.一种电子设备，其特征在于，包括存储器，用于存储指令；处理器，用于执行所述指令，使得所述设备执行实现权利要求1-7中任一项所述的一种云场景裸金属流量监控功能方法的操作。

技术总结
本发明涉及云场景裸金属流量监控技术领域，尤其是一种用于解决裸金属流量监控问题的方法和装置，方法包括：在云场景中部署一个态势感知器，监控云中所有裸金属主机的流量情况，并对异常流量进行检测和分析，为裸机分配唯一的VXLAN ID；预先分配2个地址用于接入交换机封装GRE报文的源IP；增加一种镜像网元，且网元采用集群部署；基于裸机MAC选择镜像网元集群，为裸机配置流量镜像业务。

技术研发人员：赵晶晶,王雪晴,安全彪
受保护的技术使用者：天翼云科技有限公司
技术研发日：
技术公布日：2024/4/17