国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種面向云數(shù)據(jù)中心的多租戶策略驅(qū)動型軟件定義網(wǎng)絡(luò)方法

      文檔序號:7807015閱讀:191來源:國知局
      一種面向云數(shù)據(jù)中心的多租戶策略驅(qū)動型軟件定義網(wǎng)絡(luò)方法
      【專利摘要】本發(fā)明屬于云計算和新型網(wǎng)絡(luò)【技術(shù)領(lǐng)域】,具體為一種面向云數(shù)據(jù)中心的多租戶策略驅(qū)動型軟件定義網(wǎng)絡(luò)方法。具體步驟包括:租戶策略定義,限定用戶自定義策略的權(quán)限,策略沖突解決,策略文件解析與執(zhí)行;本發(fā)明通過策略定義來配置網(wǎng)絡(luò),租戶能夠以直觀的方式來定義自己的虛擬網(wǎng)絡(luò)、虛擬防火墻等,而不必通過編寫程序或者利用軟件定義網(wǎng)絡(luò)控制器所提供的編程接口;將云計算平臺的管理和SDN控制器的管理統(tǒng)一起來;通過策略的解析來管理網(wǎng)絡(luò),能夠獲得更好的效率,節(jié)省軟件定義網(wǎng)絡(luò)控制器的CPU等計算資源,并減少控制器處理租戶請求的時間。本發(fā)明在保證用戶友好性的前提下,能夠接近本地API調(diào)用的性能,同時大大優(yōu)于RESTAPI調(diào)用的性能。
      【專利說明】-種面向云數(shù)據(jù)中心的多租戶策略驅(qū)動型軟件定義網(wǎng)絡(luò)方 法

      【技術(shù)領(lǐng)域】
      [0001] 本發(fā)明屬于云計算和數(shù)據(jù)中心網(wǎng)絡(luò)【技術(shù)領(lǐng)域】,具體涉及一種面向云數(shù)據(jù)中心的多 租戶策略驅(qū)動型軟件定義網(wǎng)絡(luò)方法。

      【背景技術(shù)】
      [0002] 在當前將軟件定義網(wǎng)絡(luò)運用于云數(shù)據(jù)中心管理的研究中存在若干問題,主要是管 理員管理邏輯復(fù)雜、不易實現(xiàn),SDN控制器效率不高,租戶不能定義自己的網(wǎng)絡(luò)策略等。而參 考亞馬遜等一些公有云平臺,大多都是通過租戶自定義策略的方式來管理云計算中租戶的 各項資源。所以,本發(fā)明設(shè)計的出發(fā)點在于云數(shù)據(jù)中心對于網(wǎng)絡(luò)的管理同樣可以使用策略 驅(qū)動的方式,并且,將原有的策略進行擴展后,很容易對不同類型的策略進行統(tǒng)一的整合, 并進行統(tǒng)一的解析與執(zhí)行。這樣,就簡化了云數(shù)據(jù)中心平臺的管理,將所有的策略平臺統(tǒng)一 為一個策略解析平臺,將原來的SDN控制器與云控制器進行有效的整合,使得整個云數(shù)據(jù) 中心平臺只有一個統(tǒng)一的管理器,以達到統(tǒng)一管理、方便使用的目的。
      [0003] 在當前的SDN管理中,可以通過兩種方式來管理網(wǎng)絡(luò),即通過本地API調(diào)用的方式 和通過REST API調(diào)用的方式。但是,這兩種方式均存在一定的問題。通過本地API調(diào)用的 方式,其擴展性不強,且要求專業(yè)性較強,需要管理員通過編寫程序的方式來管理網(wǎng)絡(luò),這 就使得普通的租戶不能參與自定義的網(wǎng)絡(luò)管理;而基于REST API的方式,雖然用戶友好性 有一定的提高,但是仍然達不到使得租戶能夠自定義策略的程度,同時,通過REST API調(diào)用 時,客戶端會將同一種類型的OpenFlow指令仍然拆分為多個HTTP請求來發(fā)送,這樣就限制 了其處理能力,同時造成了很大的處理延時。
      [0004] 所以,我們的設(shè)計提出基于多租戶的策略驅(qū)動型軟件定義網(wǎng)絡(luò)解決方法,通過對 已有的存儲、計算策略等進行擴展,定義出了網(wǎng)絡(luò)管理策略?;贔loodlight控制器,將網(wǎng) 絡(luò)管理策略與原有策略的整合,達到了策略統(tǒng)一定義、統(tǒng)一解析、統(tǒng)一執(zhí)行的目的。并且,支 持租戶可以自定義策略,并不需要每個管理請求都發(fā)送給管理員,再由管理員進行操作,這 樣就創(chuàng)造了更大的靈活性。同時,因為SDN相關(guān)的策略與原有策略可以整合到同一個策略 文件中,這樣就將SDN的管理與原有云數(shù)據(jù)中心平臺的管理整合了起來,形成了一個統(tǒng)一 管理平臺,這樣也能大大降低管理復(fù)雜性。
      [0005] 因此,本發(fā)明側(cè)重于面向云數(shù)據(jù)中心的多租戶策略驅(qū)動型軟件定義網(wǎng)絡(luò)方法。
      [0006] 經(jīng)對現(xiàn)有技術(shù)的文獻檢索發(fā)現(xiàn),在SDN概念提出之后不久,Ν0Χ項目剛剛提出 之時,Tavakoli等提出要將Ν0Χ應(yīng)用于數(shù)據(jù)中心[Tavakoli A,Casado M,Koponen T,et al. Applying Ν0Χ to the Datacenter[C]HotNets. 2009·]。Tavakoli 在該文獻中指出數(shù) 據(jù)中心的網(wǎng)絡(luò)面臨的主要需求有以下幾點:可擴展性;資源位置獨立性;高服務(wù)質(zhì)量;中間 件支持;監(jiān)控與排錯的支持。傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)不能很好地同時支持這些特性,而將 Ν0Χ稍加擴展即可將其很好地應(yīng)用于數(shù)據(jù)中心網(wǎng)絡(luò),并且能很好地支持以上所述的各類特 性。Banikazemi 等在文獻中[Banikazemi M, Olshefski D, Shaikh A, et al. Meridian: an sdn platform for cloud network services[J]. Communications Magazine, IEEE, 2013, 5 1 (2) :120-127.]中提出的Meridian則強調(diào)SDN在云計算整合過程中的服務(wù)功能。在云計算 應(yīng)用過程中,虛擬子網(wǎng)、多租戶隔離、路由路徑優(yōu)化等各種需求被提了出來,而將SDN直接 應(yīng)用于云計算環(huán)境時卻沒有一個很好的協(xié)調(diào)機制來協(xié)調(diào)SDN控制器和云控制器。Meridian 是這樣一種模型,它對外隱藏內(nèi)部實現(xiàn),僅提供針對云計算平臺的API,用于云計算管理器 進行相應(yīng)的操作,例如路徑優(yōu)化、訪問控制策略設(shè)定等。但是,Meridian提供的API與云計 算管理器之間是緊耦合的關(guān)系,不夠靈活。
      [0007] 云計算環(huán)境的一大特點是多租戶,而各租戶均希望自己的子網(wǎng)與其他租戶的子網(wǎng) 之間能有效地隔離,于是也有一些研究文軒專注于利用SDN來構(gòu)建云計算環(huán)境中的虛擬網(wǎng) 絡(luò)[Azodolmolky S, ffieder P, Yahyapour R. SDN-based cloud computing networking[C] Transparent Optical Networks (ICT0N), 201315th International Conference on.IEEE, 2013:l-4〇
      [0008] Malik M S, Montanari M, Huh J H, et al. Towards SDN enabled network control delegation in clouds[C]Dependable Systems and Networks(DSN), 201343rd Annual IEEE/IFIP International Conference on. IEEE, 2013:1-6 ;Bakshi K. Considerations for Software Defined Networking(SDN):Approaches and use cases[C]Aerospace Conference, 2013IEEE. IEEE, 2013:1-9.]綜合這些論文,其基本論點都是通過SDN來管理 物理網(wǎng)絡(luò),利用SDN靈活、方便管理的特點,調(diào)用SDN控制器的API,在SDN之上來構(gòu)建虛擬 網(wǎng)絡(luò)。利用SDN來構(gòu)建虛擬網(wǎng)絡(luò)有多方面的優(yōu)點,首先,云管理員可方便地進行子網(wǎng)的劃 分:云管理員只需要定義好虛擬網(wǎng)絡(luò)各子網(wǎng)、網(wǎng)關(guān)等信息,再將這些配置信息通過SDN控制 器下發(fā)到OpenFlow交換機建立相應(yīng)的流表即可,這正是SDN中"軟件定義"的優(yōu)勢。而在 傳統(tǒng)網(wǎng)絡(luò)環(huán)境中,則需要云管理員直接對各個路由器和交換機進行配置,而通過SDN,云管 理員同樣可通過"軟件定義"的方式來設(shè)置各虛擬子網(wǎng)的安全策略,因為SDN控制器掌握了 全網(wǎng)絡(luò)的所有信息,所以可用來方便地進行安全策略規(guī)則的驗證工作,并且可以很容易地 將規(guī)則在底層的交換機、路由機和防火墻等中間件上建立起來。但是目前的問題是SDN控 制器提供的API接口還沒有統(tǒng)一的標準,因此上層網(wǎng)絡(luò)管理軟件需要與多個SDN控制器的 API進行交互,這帶來了集成的難度。


      【發(fā)明內(nèi)容】

      [0009] 本發(fā)明的目的在于提出一種操作靈活性大、管理復(fù)雜性低的面向云數(shù)據(jù)中心的多 租戶策略驅(qū)動型軟件定義網(wǎng)絡(luò)方法。
      [0010] 本發(fā)明的提出的面向云數(shù)據(jù)中心的多租戶策略驅(qū)動型軟件定義網(wǎng)絡(luò)方法。具體步 驟為:
      [0011] 第一步:租戶策略自定義
      [0012] 通過自定義的租戶策略,SDN控制器和云管理器不需要從不同的數(shù)據(jù)庫中讀取租 戶相關(guān)的管理數(shù)據(jù),而只需要通過統(tǒng)一的接口解析租戶的策略即可,這樣即達到了整合SDN 控制器和云管理器的目的。通過租戶自定義策略,自然地滿足租戶自定義、個性化策略的 需求,并且能夠?qū)⑻摂M機放置策略、存儲策略、網(wǎng)絡(luò)策略等整合到同一個策略文件中進行定 義,方便了租戶的統(tǒng)一管理。
      [0013] 為了在策略解析時獲得更大的自由度,本發(fā)明在定義策略時通過"繼承"對原有 Amazon 的 AWS 聲明進行了擴展,發(fā)展出了 SIStatement(SDN Integrated Statement,集成 了 SDN的聲明),聲明中各個部分的繼承關(guān)系如圖1所示。
      [0014] 其中,新定義的SIStatement對于原有聲明是一種繼承關(guān)系,其中的子項 "Condition"和"Effect"可以沿用與原有聲明相同的定義,所以沒有進行擴展。擴展的子 項為"SIPrincipal"、"SIAction"、"SIResource"三項,下面分別敘述對這三項的定義。
      [0015] SIPrincipal:對于原有Principal的擴展,其基本形式為:
      [0016] "SIPricipal" : { "SDN,,:,,TenantUserXXX,,},
      [0017] 其中的"SDN"關(guān)鍵字表明這項聲明是一項與SDN有關(guān)的操作,以示與原有聲明中 存儲等相關(guān)操作的區(qū)分,其后的租戶賬戶名可沿用原有賬戶定義,以實現(xiàn)與原有策略的統(tǒng) 〇
      [0018] SIAction:對于原有可操作類型的擴展,代表與網(wǎng)絡(luò)管理相關(guān)的可進行的操作,例 如:創(chuàng)建虛擬網(wǎng)絡(luò)時,定義為:
      [0019] "SIAction" : " CreateVirtualNetwork,',
      [0020] 創(chuàng)建虛擬防火墻訪問控制列表ACL時,定義為:
      [0021] "SIAction" : " CreateFireWallACL"
      [0022] 通過此方式進行定義,"SIAction"項可以進行任意的擴展,比如如果需要進行QoS 控制時,只需要在此處定義相應(yīng)的操作項,并在后續(xù)的策略解析模塊進行解析即可,這樣就 增加了系統(tǒng)的可擴展性。
      [0023] SIResource :擴展了原聲明中的"資源項",此處資源項的值與" SIAction"操作項 的值相關(guān),需要根據(jù)操作項進行相應(yīng)的修改。舉例說明如下,當"SIAction"為創(chuàng)建虛擬網(wǎng) 絡(luò)時,其后續(xù)的資源項例如:
      [0024] "SIAction": "CreateVirtualNetwork", "SIResource": { guid ; aaa-aaa , ''networkName〃: ''TenantUserl-networkl 〃, ''gateway": "192. 168. 1. 1〃, "hosts": ["1A:CB:D6:CE:BF:6F","C6:CB:9E:3C:B8:E9"], }
      [0025] 即在資源項中定義了當創(chuàng)建虛擬網(wǎng)絡(luò)時,與虛擬網(wǎng)絡(luò)相關(guān)的各項細節(jié)。其中包括 虛擬網(wǎng)絡(luò)的唯一標識符guid,虛擬網(wǎng)絡(luò)的名字,虛擬網(wǎng)絡(luò)的網(wǎng)關(guān)和虛擬網(wǎng)絡(luò)中所包含的虛 擬機的MAC地址。
      [0026] 同時,SIResource項可以包含多個分段,也就是說,可以包含同一租戶下的多個虛 擬子網(wǎng)的定義。這樣,在同一個策略聲明中,就可以同時創(chuàng)建多個虛擬子網(wǎng),而不用分別創(chuàng) 建策略文件,這樣方便了租戶進行管理。
      [0027] 另一個典型例子是,當"SIAction"為創(chuàng)建虛擬防火墻訪問控制列表ACL時,其后 續(xù)的資源項例如:
      [0028] ''SIAction" : 〃CreateFireWallACL〃, "SIResource": { "rules":[ { "src-ip":〃l_0. 0. 0. 1/32", 〃dst-ip〃:"10. 0. 0. 2/32〃, nw-proto : ICr ,
      [0029] 〃tp-dst〃:〃80〃, ''action": ''ALLOW", }, { "src-ip^V'lO. 0. 0. 2/32〃, "dst-ip〃:〃 10. 0. 0. 1/32' 〃nw-proto":〃ICMP〃, "action〃:〃DENY〃, }], }
      [0030] 可以看出,此時SIResource中包含的資源說明是防火墻ACL規(guī)則,上述示例中的 第一項規(guī)則為允許兩臺主機之間的TCP80端口的訪問,第二項規(guī)則為拒絕ICMP協(xié)議的所有 訪問。
      [0031] 通過在SIResource資源項中定義防火墻ACL規(guī)則,就實現(xiàn)了用戶自定義的訪問控 制策略。
      [0032] 同樣,在SIResource中定義的ACL規(guī)則項目也是可以無限擴展的,租戶只需要添 加更多的ACL規(guī)則項即可,這些規(guī)則可在后續(xù)的策略解析模塊中進行解析,并通過多線程 方式進行實現(xiàn),以達到提升效率的目的。
      [0033] 通過以上方式進行繼承和擴展,就構(gòu)成了與SDN相關(guān)的完整的策略定義。
      [0034] 第二步:限定用戶自定義策略的權(quán)限
      [0035] 當策略被定義以后,一個很自然的問題是,如何限制用戶自定義策略的權(quán)限,并且 保證管理員擁有對網(wǎng)絡(luò)的最終管理權(quán)。
      [0036] 在OpenFlow協(xié)議白皮書中指出,在流表中建立的每一個流表項均包含一個"優(yōu)先 級(Priority)"值,優(yōu)先級的取值范圍為0?255,其中,數(shù)字越大,表示優(yōu)先級越高?;?此,同樣可以對各租戶策略賦予不同的優(yōu)先級,同時預(yù)設(shè)一些管理員策略,并保證管理員策 略的優(yōu)先級總是大于租戶策略優(yōu)先級,這樣就限制了租戶策略的權(quán)限和使用范圍。
      [0037] 基于兩段式優(yōu)先級的定義與處理,并結(jié)合OpenFlow協(xié)議中優(yōu)先級的取值范圍,可 定義管理員策略的優(yōu)先級取值為[128, 255],定義租戶策略的優(yōu)先級取值范圍為(0, 127], 這樣,即使租戶的策略有任何越過權(quán)限的惡意行為,因為其優(yōu)先級總是比管理員策略的優(yōu) 先級低,所以在OpenFlow流表中不會被匹配到,也就不會執(zhí)行,所以不會對整個網(wǎng)絡(luò)產(chǎn)生 損害。
      [0038] 本發(fā)明中,除了租戶能定義相應(yīng)的策略,管理員同樣能定義一些管理策略。對管理 員策略的描述與租戶策略不同,管理員策略側(cè)重于原子操作(Atom Action)定義和默認策 略描述。原子操作是指是網(wǎng)絡(luò)管理中的一些最基本的、不可被分割的操作,例如允許連接、 創(chuàng)建路由表項、鏈路帶寬設(shè)定、禁止某一端口通信等。而租戶策略是按應(yīng)用場景來定義,例 如租戶"創(chuàng)建虛擬子網(wǎng)"這一策略可分割成多個允許建立連接(虛擬子網(wǎng)的虛擬機之間)、 設(shè)置路由表項等多個原子操作。原子操作之間按實際操作順序和管理優(yōu)先級指定優(yōu)先級的 值,例如當"創(chuàng)建虛擬子網(wǎng)"時,"允許連接"的優(yōu)先級應(yīng)該于"設(shè)置路由表項",因為如果不 允許連接,也就沒有必要再設(shè)置或查詢路由表項了。在"創(chuàng)建虛擬子網(wǎng)"完成后,如果租戶 同時疊加了訪問控制列表策略,比如禁止80端口訪問,則可以設(shè)置一個優(yōu)先級比"設(shè)置路 由表項"更低的"禁止端口訪問"項,這樣,虛擬機之間除了 80端口以外,都能進行正常的通 信。通過這種方式,管理員可以按需定制所有的原子操作類型及其優(yōu)先級。
      [0039] 租戶策略的優(yōu)先級分為基本優(yōu)先級加偏移量(shift)兩部分?;緝?yōu)先級是根據(jù) 應(yīng)用場景預(yù)先設(shè)定的固定值,例如"創(chuàng)建虛擬子網(wǎng)"一般先于"創(chuàng)建訪問控制列表"執(zhí)行,所 以可以設(shè)定"創(chuàng)建虛擬子網(wǎng)"的固定優(yōu)先級比"創(chuàng)建訪問控制列表"高。
      [0040] 當租戶策略被解析時,其策略文件被分解成為原子操作來執(zhí)行,實際最終優(yōu)先級 值為固定優(yōu)先級值加上偏移量。偏移量定義為管理員原子操作優(yōu)先級與基本值之差,因為 管理員策略的優(yōu)先級取值范圍是[128, 255],所以基本值固定為128。這樣產(chǎn)生的問題是, 租戶策略固定優(yōu)先級值加上偏移量后,值可能大于128,超出了(0, 127]這一取值范圍。解 決方法是,將租戶策略固定優(yōu)先級和管理員策略優(yōu)先級同時再限定在一個更小范圍,例如 固定優(yōu)先級取值(〇, 32],原子策略優(yōu)先級取值[128, 223],這樣就可以保證租戶固定策略 優(yōu)先級加上偏移量后不大于128。將這一限定值命名為limit,則策略優(yōu)先級定義表如下所 示:
      [0041]

      【權(quán)利要求】
      1. 一種面向云數(shù)據(jù)中心的多租戶策略驅(qū)動型軟件定義網(wǎng)絡(luò)方法,其特征在于具體步驟 為: 第一步:租戶策略自定義 自定義租戶策略,使SDN控制器和云管理器不從不同的數(shù)據(jù)庫中讀取租戶相關(guān)的管理 數(shù)據(jù),只通過統(tǒng)一的接口解析租戶的策略;通過租戶自定義策略,自然地滿足租戶自定義、 個性化策略的需求,并且將虛擬機放置策略、存儲策略、網(wǎng)絡(luò)策略整合到同一個策略文件中 進行定義,以方便租戶的統(tǒng)一管理; 在自定義策略時通過"繼承",對原有Amazon的AWS聲明進行擴展,發(fā)展出 SIStatement ;其中,新定義的SIStatement對于原有聲明是一種繼承關(guān)系,其中的子項 "Condition"和"Effect"沿用與原有聲明相同的定義;擴展的子項為"SIPrincipal "、 "SIAction"、"SIResource" 三項,分別定義如下: SIPrincipal:對于原有Principal的擴展,其基本形式為: "SIPricipal" : { "SDN" :,,TenantUserXXX,,}, 其中的"SDN"關(guān)鍵字表明這項聲明是一項與SDN有關(guān)的操作,以示與原有聲明中存儲 等相關(guān)操作的區(qū)分,其后的租戶賬戶名可沿用原有賬戶定義,以實現(xiàn)與原有策略的統(tǒng)一; SIAction:對于原有可操作類型的擴展,代表與網(wǎng)絡(luò)管理相關(guān)的可進行的操作,在創(chuàng) 建虛擬網(wǎng)絡(luò)時,定義為: "SIAction" : " CreateVirtualNetwork" ; 在創(chuàng)建虛擬防火墻訪問控制列表ACL時,定義為: "SIAction" : "CreateFireWallACL" ; SIResource :擴展了原聲明中的"資源項",此處資源項的值與" SIAction"操作項的值 相關(guān),需要根據(jù)操作項進行相應(yīng)的修改; 同時,SIResource項包含多個分段,即包含同一租戶下的多個虛擬子網(wǎng)的定義; 通過在SIResource資源項中定義防火墻ACL規(guī)則,實現(xiàn)用戶自定義的訪問控制策略; 同樣,在SIResource中定義的ACL規(guī)則項目也可以無限擴展,租戶只需要添加更多的 ACL規(guī)則項即可; 通過以上方式進行繼承和擴展,構(gòu)成了與SDN相關(guān)的完整的策略定義; 第二步:限定用戶自定義策略的權(quán)限 當策略被定義以后,需要限制用戶自定義策略的權(quán)限,并且保證管理員擁有對網(wǎng)絡(luò)的 最終管理權(quán); 對各租戶策略賦予不同的優(yōu)先級,同時預(yù)設(shè)一些管理員策略,并保證管理員策略的優(yōu) 先級總是大于租戶策略優(yōu)先級,以限制租戶策略的權(quán)限和使用范圍; 基于兩段式優(yōu)先級的定義與處理,并結(jié)合OpenFlow協(xié)議中優(yōu)先級的取值范圍,定義管 理員策略的優(yōu)先級取值為[128, 255],定義租戶策略的優(yōu)先級取值范圍為(0, 127]; 其中管理員策略側(cè)重于原子操作定義和默認策略描述; 租戶策略的優(yōu)先級分為基本優(yōu)先級加偏移量兩部分; 當租戶策略被解析時,其策略文件被分解成為原子操作來執(zhí)行,實際最終優(yōu)先級值為 固定優(yōu)先級值加上偏移量;偏移量定義為管理員原子操作優(yōu)先級與基本值之差; 首先計算原子操作偏移量,再在處理租戶策略的過程中,先判斷其固定優(yōu)先級,通過固 定優(yōu)先級加上偏移量,產(chǎn)生租戶策略中每一項原子操作的最終優(yōu)先級,這一優(yōu)先級的值能 確保屬于(〇, 127],這個值必定比管理員所定義的策略的優(yōu)先級值??; 第三步:策略沖突解決 當租戶之間策略發(fā)生沖突時,需要用管理員默認策略進行處理,處理租戶策略沖突的 算法如下: 當檢測到策略沖突后,首先判斷這個沖突是否是被管理員預(yù)定義策略所解決的;當 租戶所申請的保留帶寬超過物理鏈路帶寬時,管理員可定義將所有租戶的實際帶寬按 申請帶寬的比例分配,這樣就解決了某一個沖突問題;而當有一些沖突沒有辦法被管理 員策略所解決時,則直接應(yīng)用管理員所定義的全局默認策略,即策略優(yōu)先級的值范圍在 (255-limit,255]之間的策略;最后,如果管理員也未定義相應(yīng)的最終管理策略,則賦予某 一項操作的優(yōu)先級為〇,在OpenFlow流表中優(yōu)先級為0表示流表中最后被匹配的項,它能保 證整體策略對網(wǎng)絡(luò)的影響最低; 第四步:策略文件解析與執(zhí)行 設(shè)計一個策略模塊,該策略模塊包括策略文件讀取、策略文件解析、策略文件執(zhí)行3個 子模塊;策略文件被解析后,最終還是調(diào)用本地Java API在物理網(wǎng)絡(luò)上執(zhí)行相應(yīng)的操作; 策略模塊中維護著一個策略文件系統(tǒng),策略文件系統(tǒng)可以從云管理器中直接讀取策 略,也可以接受租戶直接向策略文件系統(tǒng)中寫入策略;策略模塊的工作流程是,由策略文件 維護系統(tǒng)維護整個策略文件系統(tǒng),同時有策略文件監(jiān)控模塊對策略文件的變化進行監(jiān)控; 當監(jiān)控到文件系統(tǒng)變化時,即意味著有相關(guān)操作需要執(zhí)行,此時,策略文件解析模塊讀取發(fā) 生變化的策略文件,對策略文件進行解析,將解析后的相關(guān)參數(shù)傳到策略文件執(zhí)行模塊,由 策略文件執(zhí)行模塊進行最終的執(zhí)行; (1) 系統(tǒng)總體處理流程 首先,由策略文件監(jiān)控系統(tǒng)循環(huán)監(jiān)控文件變化情況,當策略文件未發(fā)生變化時,繼續(xù)循 環(huán)監(jiān)控;當策略文件發(fā)生變化時,則通知策略文件解析與執(zhí)行模塊,并調(diào)用策略文件解析模 塊進行解析與執(zhí)行;在策略文件解析模塊中,判斷操作類型,并執(zhí)行相應(yīng)的操作;策略解析 模塊的解析與執(zhí)行操作完成后,返回監(jiān)控流程,并進行下一次的監(jiān)控循環(huán); (2) 策略文件解析與執(zhí)行 策略文件解析子模塊開始工作時,首先讀取發(fā)生變化的策略文件,再對其進行初步解 析,將其中與SDN相關(guān)的操作提取出來,交由后續(xù)流程進行執(zhí)行,再將其它原有AWS系統(tǒng)的 操作交由原有的云管理器進行執(zhí)行; 在策略解析子模塊提取出SDN操作后,再判斷相關(guān)的操作,操作類型可以是"創(chuàng)建虛擬 子網(wǎng)"或"創(chuàng)建虛擬防火墻ACL",也可以是其它新增的自定義的操作類型;對于每一種操 作,在線程池中開啟一個新的線程來執(zhí)行;在線程池中,有一個任務(wù)統(tǒng)一執(zhí)行器對所有線程 進行管理,任務(wù)統(tǒng)一執(zhí)行器中定義了一個統(tǒng)一的任務(wù)執(zhí)行接口,不管是"創(chuàng)建虛擬子網(wǎng)",還 是"創(chuàng)建虛擬防火墻ACL",均實現(xiàn)這個接口;每個操作子模塊通過實現(xiàn)任務(wù)統(tǒng)一執(zhí)行器的 執(zhí)行接口來實現(xiàn)系統(tǒng)的良好擴展性; 最后,各實際任務(wù)執(zhí)行器再調(diào)用本地Java API,實現(xiàn)相關(guān)任務(wù)的最終執(zhí)行。
      【文檔編號】H04L29/08GK104092565SQ201410286442
      【公開日】2014年10月8日 申請日期:2014年6月24日 優(yōu)先權(quán)日:2014年6月24日
      【發(fā)明者】呂智慧, 陳實, 吳杰 申請人:復(fù)旦大學
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1