功能服務管理方法及裝置與流程
2024-04-03 18:50:05 1
本發明涉及網絡通信領域,具體而言,涉及一種功能服務管理方法及裝置。
背景技術:
在網絡環境中,包含各種各樣的網絡功能服務,如防火牆、入侵檢測、WAF、負載均衡等等網絡功能。而傳統網絡中的網絡功能服務存在諸多問題:網絡功能服務只能為用戶提供專屬服務,例如一個防火牆接入了一個子網以後,這個防火牆就無法為其他的子網進行服務,除非改變網絡的結構和配置,所以就產生了網絡功能服務鏈的概念。而所謂服務鏈,即將這些特定的網絡應用功能按照業務邏輯有序的組合起來,讓業務網絡流量通過這些網絡服務功能,為業務提供安全、可靠、穩定的服務,從而形成網絡功能服務鏈。而傳統的網絡功能服務鏈是通過堆砌硬體網絡功能服務設備的方式實現服務鏈,從而使得業務與網絡拓撲緊密耦合,且部署、維護複雜;傳統的網絡功能服務鏈沒有充分考慮到當前許多功能服務是以軟體的形態存在的,即其不能很好的將基於軟體的、虛擬機的、硬體的功能服務在一個資源池內靈活調度;在服務鏈變更、擴容時,都需變動網絡拓撲、重新配置網絡設備;大量硬體堆砌導致投入成本和運維成本大大增加;同時傳統網絡功能服務鏈也無法滿足動態性、高流動性、規模易變化的雲化業務系統。
技術實現要素:
有鑑於此,本發明的目的是提供一種功能服務管理方法及裝置,使得業務流量可以井然有序、安全高效的調度到規劃的功能服務節點上。
本發明實施方式中提供的一種功能服務管理裝置,包括資源池建立模塊、編排模塊、服務鏈構建模塊、數據流拾取模塊、著色模塊、導入模塊。資源池建立模塊用於構建一個服務功能資源池;編排模塊用於依據用戶需求從服務功能資源池中選擇至少一個功能服務節點;服務鏈構建模塊用於依據選擇的所述功能服務節點構建服務鏈;數據流拾取模塊設定所述服務鏈的顆粒度,所述顆粒度為進入所述服務鏈的數據的選擇標準;著色模塊用於接收匹配所述顆粒度的數據流,並對所述數據流進行著色;導入模塊用於將著色的所述數據流導入到所述服務鏈。
優選地,所述功能服務節點包括虛擬服務節點和/或物理服務節點。
優選地,所述服務鏈構建模塊還用於:設定連接所述功能服務節點的物理埠;設定所述功能服務節點的工作模式和配置參數。
優選地,所述著色的所述數據流包括所述網絡中的唯一標示,所述唯一標示可用於對所述數據流進行區分、監控和管理。
優選地,所述服務鏈構建模塊還應用於在數據流進入所述選中的功能服務節點前或/和後增加流量監控探針,還根據每個所述功能服務節點的配置要求和特點對所述數據流進入該功能服務節點前和離開此功能服務節點後進行相應的修改以使得其與服務功能配合併達到正常的工作效果。
本發明又一實施方式中提供的一種功能服務管理方法,該方法包括:構建一個服務功能資源池;依據用戶需求從服務功能資源池中選擇至少一個功能服務節點;依據選擇的所述功能服務節點構建服務鏈;設定所述服務鏈的顆粒度,所述顆粒度為進入所述服務鏈的數據的選擇標準;接收匹配所述顆粒度的數據流,並對所述數據流進行著色;將著色的所述數據流導入到所述服務鏈。
優選地,所述功能服務節點包括虛擬服務節點和/或物理服務節點。
優選地,所述依據所述功能服務節點構建服務鏈的步驟還包括:設定連接所述功能服務節點的物理埠;設定所述功能服務節點的工作模式和配置參數。
優選地,所述著色的所述數據流包括所述網絡中的唯一標示,所述唯一標示可用於對所述數據流進行區分、監控和管理。
優選地,所述方法還包括:在數據流進入所述選中的功能服務節點前或/和後增加流量監控探針,並根據每個所述功能服務節點的配置要求和特點對所述數據流進入該功能服務節點前和離開此功能服務節點後進行相應的修改以使得其與服務功能配合併達到正常的工作效果。
上述功能服務管理方法及裝置,可以使得業務流量可以井然有序、安全高效的調度到規劃的功能服務節點上,同時提高了網絡資源利用率。
以下結合附圖和具體實施例對本發明進行詳細描述,但不作為對本發明的限定。
附圖說明
圖1為本發明一種功能服務管理裝置10一實施方式的應用環境圖。
圖2為本發明一種功能服務管理裝置10一實施方式的功能模塊圖。
圖3為本發明一實施方式中用戶需求的示意圖。
圖4為本發明一種功能服務管理裝置10又一實施方式的功能模塊圖。
圖5為本發明一種功能服務管理方法一實施方式的流程圖。
主要元件符號說明
功能服務管理裝置 10
SDN控制器 1
SDN網絡 2
功能服務資源池 3
被訪問的業務系統 4
訪問源所在的網絡 5
資源池建立模塊 100
編排模塊 102
服務鏈構建模塊 104
數據流拾取模塊 106
著色模塊 108
導入模塊 110
存儲器 112
處理器 114
如下具體實施方式將結合上述附圖進一步說明本發明。
具體實施方式
下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。
圖1為本發明功能服務管理裝置10一實施方式的應用環境圖。在本實施方式中,功能服務管理裝置10位於SDN控制器1中,所述SDN控制器1連接SDN網絡2及功能服務資源池3,SDN網絡2還連接功能服務資源池3以及被訪問的業務系統4。其中功能服務管理裝置10構建的服務鏈依存於SDN網絡2,當訪問源在訪問源所在的網絡5向被訪問的業務系統4發起業務訪問請求,業務數據流可通過基於SDN網絡2構建的服務鏈實現連通,同時可由SDN控制器1上的功能服務管理裝置10進行監控、管理和調配。在本實施方式中,SDN網絡2包括SDN物理網絡和SDN虛擬網絡中任何一種或者二者組合。
圖2為本發明功能服務管理裝置10一實施方式的功能模塊圖。在本實施方式中,功能服務管理裝置10位於SDN控制器1中,包括資源池建立模塊100、編排模塊102、服務鏈構建模塊104、數據流拾取模塊106、著色模塊108、導入模塊110。
資源池建立模塊100用於建立一個功能服務資源池3。在本實施方式中,功能服務資源池3的建立過程例如:將物理和虛擬的功能服務資源加入到對應的功能服務資源池中。例如防火牆服務資源池,可以將A廠家的物理防火牆和A廠家的虛擬防火牆和B廠家的虛擬防火牆加入防火牆資源池中以備構建服務鏈的時候選擇並使用。
編排模塊102用於依據用戶需求從功能服務資源池中選擇至少一個功能服務節點。在本實施方式中,功能服務節點可以為虛擬功能服務節點,也可以為物理功能服務節點,其中虛擬功能服務節點和物理功能服務節點指的是服務資源,諸如虛擬機、防火牆、負載均衡、IDS、WAF等等。其中所謂用戶需求是例如:來自某個IP位址段且訪問某一web伺服器(被訪問的業務系統4)的數據流需要依次經過IDS、防火牆兩個服務進行攻擊防護和報文安全過濾,且IDS服務需要配置一對主備模式的IDS、防火牆需要使用透明模式進行工作,從web伺服器返回的數據流不需要經過所述防火牆和IDS而是直接返回到發送數據流的埠,其具體過程如圖3所示。
服務鏈構建模塊104依據選擇的功能服務節點構建服務鏈。在本實施方式中,將所選擇的功能服務節點,如防火牆、虛擬機、負載均衡、IDS、WAF等功能服務節點進行邏輯串聯,進而構建一條服務鏈。另外,在服務鏈構建模塊102構建服務鏈的過程中,服務鏈構建模塊102還用於設定服務鏈對應所述功能服務節點的工作模式和配置參數,比如:1.防火牆功能是選擇路由模式還是透明模式,對於路由模式的防火牆的網關地址和MAC地址如何;2.資源池中對應的兩臺功能服務設備(如IDS)是否為主備模式還是主主模式,對於主備模式的設備如果需要服務鏈構建模塊主動探測主、備服務的工作狀態還需要設置探測接口例如ping或其他的API接口,同時當判斷主模塊已經無法工作的情況下還需要自動將數據流導入到備用模塊;3.如果兩臺功能服務設備為主主模式,則需要設置其流量負載分擔規則,例如全均分模式、比例分擔模式、閾值分擔模式等等。另外,服務鏈構建模塊102還用於設定連接所述功能服務節點的物理埠以便於實現數據流導入、導出該功能服務節點。
數據流拾取模塊106設定所述服務鏈的顆粒度。在本實施方式中,所謂顆粒度為進入所述服務鏈的數據的選擇標準,比如該顆粒度即選擇標準可以為某一SDN交換機的至少一個物理埠或源MAC地址或目的MAC地址或源IP位址或目的IP位址源埠號或目的埠號,甚至亦可以是用戶身份,如果使用用戶身份進行顆粒度選擇則需要將用戶身份在用戶身份認證機制中翻譯成其身份對應的IP位址或MAC地址或物理埠等信息以用於數據流拾取模塊106選擇該數據流。
著色模塊108接收匹配所述顆粒度的數據流,並對所述數據流進行著色。在本實施方式中,所謂對數據流進行著色是指針對匹配所述顆粒度的數據流本身加上本網絡內的唯一標示,進而在數據流流通過程中可以對該數據流進行區分、監控和管理。
導入模塊110用於將著色的所述數據流導入到所述服務鏈。在本實施方式中,通過將數據流導入到了上述構建完成的服務鏈中,進而實現了功能服務鏈的成功部署。
另外,上述服務鏈構建模塊102還用於在數據流進入所述選中的功能服務節點前或/和後增加流量監控探針,進而方便流量的監控。例如將進入防火牆前的數據流量無幹擾複製一份後進行圖形界面顯示,同時將從防火牆輸出的該數據流量也進行無幹擾複製並進行圖形界面顯示,即可比較進入防火牆前、後流量的變化等等。另外也根據每個所述功能服務節點的配置要求和特點對所述數據流進入該功能服務節點前和離開此功能服務節點後進行相應的修改以使得其達到正常的工作效果。例如當防火牆設置為路由模式的時候,需要自動的將進入防火牆之前的數據報文的MAC地址改為該防火牆的路由節點的MAC地址以使得數據通信正常進行,即為了讓用戶插入某個三層功能服務節點而不需要重新配置相關的路由信息且不需要經過所謂的ARP過程,則需要在報文進入該新插入節點前修改報文的目的MAC,在報文離開此新插入的節點後修改報文的源MAC地址,以實現高效、安全、低延遲、透明的加入和移除服務節點。
圖4為本發明功能服務管理裝置10又一實施方式的功能模塊圖。在本實施方式中,功能服務管理裝置10不僅包括資源池建立模塊100、編排模塊102、服務鏈構建模塊104、數據流拾取模塊106、著色模塊108、導入模塊110,還包括存儲器112和處理器114。其中資源池建立模塊100、編排模塊102、服務鏈構建模塊104、數據流拾取模塊106、著色模塊108、導入模塊110均為程序功能模塊,以程序代碼的形式存儲於存儲器112中,並由處理器114執行所述功能。
圖5為本發明功能服務管理方法一實施方式的流程圖。該方法由上述功能服務管理裝置10執行,進而實現相應功能。
在步驟S500,資源池建立模塊100用於建立一個功能服務資源池3。在本實施方式中,功能服務資源池3的建立過程例如:將物理和虛擬的功能服務資源,加入到對應的功能服務資源池中。例如防火牆服務資源池,可以將A廠家的物理防火牆和A廠家的虛擬防火牆和B廠家的虛擬防火牆加入防火牆資源池中以備構建服務鏈的時候選擇並使用。
在步驟S502,編排模塊102用於依據用戶需求從功能服務資源池中選擇至少一個功能服務節點。在本實施方式中,功能服務節點可以為虛擬功能服務節點,也可以為物理功能服務節點,其中虛擬功能服務節點和物理功能服務節點指的是服務資源,諸如虛擬機、防火牆、負載均衡、IDS、WAF等等。其中所謂用戶需求是例如來自某個IP位址段且訪問某一web伺服器(被訪問的業務系統4)的數據流需要依次經過IDS、防火牆兩個服務進行攻擊防護和報文安全過濾,且IDS服務需要配置一對主備模式的IDS、防火牆需要使用透明模式進行工作,從web伺服器返回的數據流不需要經過所述防火牆和IDS而是直接返回到發送數據流的埠,其具體過程如圖3所示。
在步驟S504,服務鏈構建模塊104依據選擇的功能服務節點構建服務鏈。在本實施方式中,將所選擇的功能服務節點,如防火牆、虛擬機、負載均衡、IDS、WAF等功能服務節點進行邏輯串聯,進而構建一條服務鏈。另外,在服務鏈構建模塊102構建服務鏈的過程中,服務鏈構建模塊102還用於設定服務鏈對應所述功能服務節點的工作模式和配置參數,比如:1.防火牆功能是選擇路由模式還是透明模式,對於路由模式的防火牆的網關地址和MAC地址如何;2.資源池中對應的兩臺功能服務設備(如IDS)是否為主備模式還是主主模式,對於主備模式的設備如果需要服務鏈構建模塊主動探測主、備服務的工作狀態還需要設置探測接口例如ping或其他的API接口,同時當判斷主模塊已經無法工作的情況下還需要自動將數據流導入到備用模塊;3.如果兩臺功能服務設備為主主模式,則需要設置其流量負載分擔規則,例如全均分模式、比例分擔模式、閾值分擔模式等等。另外,服務鏈構建模塊102還用於設定連接所述功能服務節點的物理埠以便於實現數據流導入、導出該功能服務節點。
在步驟S506,數據流拾取模塊106設定所述服務鏈的顆粒度。在本實施方式中,所謂顆粒度為進入所述服務鏈的數據的選擇標準,比如該顆粒度即選擇標準可以為某一SDN交換機的至少一個物理埠或源MAC地址或目的MAC地址或源IP位址或目的IP位址源埠號或目的埠號,甚至亦可以是用戶身份,如果使用用戶身份進行顆粒度選擇則需要將用戶身份在用戶身份認證機制中翻譯成其身份對應的IP位址或MAC地址或物理埠等信息以用於數據流拾取模塊106選擇該數據流。
在步驟S508,著色模塊108接收匹配所述顆粒度的數據流,並對所述數據流進行著色。在本實施方式中,所謂對數據流進行著色是指針對匹配所述顆粒度的數據流本身加上本網絡內的唯一標示,進而在數據流流通過程中可以對該數據流進行區分、監控和管理。
在步驟S510,導入模塊110用於將著色的所述數據流導入到所述服務鏈。在本實施方式中,通過將數據流導入到了上述構建完成的服務鏈中,進而實現了功能服務鏈的成功部署。
在上述方法中,上述服務鏈構建模塊102還用於在數據流進入所述選中的功能服務節點前或/和後增加流量監控探針,進而方便流量的監控。例如將進入防火牆前的數據流量無幹擾複製一份後進行圖形界面顯示,同時將從防火牆輸出的該數據流量也進行無幹擾複製並進行圖形界面顯示,即可比較進入防火牆前、後流量的變化等等。另外也根據每個所述功能服務節點的配置要求和特點對所述數據流進入該功能服務節點前和離開此功能服務節點後進行相應的修改以使得其達到正常的工作效果,例如當防火牆設置為路由模式的時候,需要自動的將進入防火牆之前的數據報文的MAC地址改為該防火牆的路由節點的MAC地址以使得數據通信正常進行,即為了讓用戶插入某個三層功能服務節點而不需要重新配置相關的路由信息且不需要經過所謂的ARP過程,則需要在報文進入該新插入節點前修改報文的目的MAC,在報文離開此新插入的節點後修改報文的源MAC地址,以實現高效、安全、低延遲、透明的加入和移除服務節點。需要補充的是,上面描述的針對功能服務節點的操作處理方法同樣適用於發出訪問請求的所述「訪問源」和接收請求的所述「被訪問的業務系統」,例如可以將被訪問的業務系統放入一資源池中,並通過SDN網絡對該資源池進行連接、管理和監控,當有遇到訪問請求時,可將此資源池中的業務系統根據需求和規則挑選出來供所述訪問源進行訪問。
通過功能服務管理裝置10執行上述功能服務管理方法,使得業務流量可以井然有序、安全高效的調度到規劃的功能服務節點上,同時提高了網絡資源利用率。
需要說明的是,上文所述實施方式,並不構成對發明保護範圍的限定。任何在本發明的精神和原則內所作的修改,等同替換和改進等,均應包含在本發明的保護範圍內。