CN108123886A - 一种云计算平台的数据转发方法及装置 - Google Patents
一种云计算平台的数据转发方法及装置 Download PDFInfo
- Publication number
- CN108123886A CN108123886A CN201611072970.8A CN201611072970A CN108123886A CN 108123886 A CN108123886 A CN 108123886A CN 201611072970 A CN201611072970 A CN 201611072970A CN 108123886 A CN108123886 A CN 108123886A
- Authority
- CN
- China
- Prior art keywords
- data
- security protection
- software switch
- protection node
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/33—Flow control; Congestion control using forward notification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/50—Queue scheduling
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种云计算平台的数据转发方法及装置。该方法包括:当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流;分别为分流后的数据创建对应的转发路径,其中,所述转发路径包括经过所述安全防护节点的转发路径和不经过所述安全防护节点的转发路径;根据所述转发路径,配置对应的流表;将所述流表下发到交换机,以指示所述交换机根据所述流表转发对应的分流后的数据。通过本发明的技术方案,能够避免安全防护节点发生故障,保证业务的可服务性,减少用户的损失。
Description
技术领域
本发明实施例涉及一种数据转发技术,尤其涉及一种云计算平台的数据转发方法及装置。
背景技术
在云计算快速发展的浪潮中,在SDN(Software Define Network,软件定义网络)的一波新的技术革命下,传统设备厂商正在被SDN模式所颠覆,网络功能虚拟化及虚拟增值业务产品将迈上新的历史舞台。
在云计算平台中,请求数据包发送至网站服务器之前,先由安全防护节点对请求数据包进行检测,然后将安全的请求数据包转发至网站服务器,从而达到安全防护的目的。现有技术中,在超过预期的突发大流量访问网站服务器时,特别容易造成安全防护节点故障,从而使得请求数据包不能及时发送到网站服务器,对用户造成损失。
发明内容
本发明实施例提供一种云计算平台的数据转发方法及装置,以避免安全防护节点发生故障,减少用户的损失。
第一方面,本发明实施例提供了一种云计算平台的数据转发方法,包括:
当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流;
分别为分流后的数据创建对应的转发路径,其中,所述转发路径包括经过所述安全防护节点的转发路径和不经过所述安全防护节点的转发路径;
根据所述转发路径,配置对应的流表;
将所述流表下发到交换机,以指示所述交换机根据所述流表转发对应的分流后的数据。
进一步的,还包括:
当所述安全防护节点出现故障时,删除所述流表中包含所述安全防护节点的流表项,形成新的流表;
将所述新的流表下发到所述交换机,以指示所述交换机按照所述新的流表转发对应的数据。
进一步的,在当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流之前,还包括:
从管理节点获取所述安全防护节点正在处理的数据的数据量与所述预设数据量阈值的比较结果。
进一步的,在当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流之前,还包括:
获取所述安全防护节点正在处理的数据的数据量,并将所述数据量与所述预设数据量阈值进行比较。
进一步的,所述交换机包括物理交换机、第一软件交换机和第二软件交换机;
所述经过所述安全防护节点的转发路径包括下述至少一条路径:
从所述物理交换机到达所述第一软件交换机、从所述第一软件交换机到达所述安全防护节点、从所述安全防护节点到达所述第一软件交换机、从所述第一软件交换机到达所述物理交换机、从所述物理交换机到达第二软件交换机和从所述第二软件交换机到达网站服务器组成的路径;
从所述网站服务器到达所述第二软件交换机、从所述第二软件交换机到达所述物理交换机、从所述物理交换机到达所述第一软件交换机、从所述第一软件交换机到达所述安全防护节点、从所述安全防护节点到达所述第一软件交换机和从所述第一软件交换机到达所述物理交换机组成的路径;
所述不经过所述安全防护节点的转发路径包括下述至少一条路径:
从所述物理交换机到达所述第二软件交换机和从所述第二软件交换机到达所述网站服务器组成的路径;
从所述网站服务器到达所述第二软件交换机,从所述第二软件交换机到达所述物理交换机组成的路径。
第二方面,本发明实施例还提供了一种云计算平台的数据转发装置,该装置包括:
数据分流模块,用于当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流;
路径创建模块,用于分别为分流后的数据创建对应的转发路径,其中,所述转发路径包括经过所述安全防护节点的转发路径和不经过所述安全防护节点的转发路径;
流表配置模块,用于根据所述转发路径,配置对应的流表;
第一数据转发模块,用于将所述流表下发到交换机,以指示所述交换机根据所述流表转发对应的分流后的数据。
进一步的,还包括:
新的流表形成模块,用于当所述安全防护节点出现故障时,删除所述流表中包含所述安全防护节点的流表项,形成新的流表;
第二数据转发模块,用于将所述新的流表下发到所述交换机,以指示所述交换机按照所述新的流表转发对应的数据。
进一步的,还包括:
数据量比较结果获取模块,用于在当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流之前,从管理节点获取所述安全防护节点正在处理的数据的数据量与所述预设数据量阈值的比较结果。
进一步的,还包括:
数据量比较模块,用于在当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流之前,获取所述安全防护节点正在处理的数据的数据量,并将所述数据量与所述预设数据量阈值进行比较。
进一步的,所述交换机包括物理交换机、第一软件交换机和第二软件交换机;
所述经过所述安全防护节点的转发路径包括下述至少一条路径:
从所述物理交换机到达所述第一软件交换机、从所述第一软件交换机到达所述安全防护节点、从所述安全防护节点到达所述第一软件交换机、从所述第一软件交换机到达所述物理交换机、从所述物理交换机到达第二软件交换机和从所述第二软件交换机到达网站服务器组成的路径;
从所述网站服务器到达所述第二软件交换机、从所述第二软件交换机到达所述物理交换机、从所述物理交换机到达所述第一软件交换机、从所述第一软件交换机到达所述安全防护节点、从所述安全防护节点到达所述第一软件交换机和从所述第一软件交换机到达所述物理交换机组成的路径;
所述不经过所述安全防护节点的转发路径包括下述至少一条路径:
从所述物理交换机到达所述第二软件交换机和从所述第二软件交换机到达所述网站服务器组成的路径;
从所述网站服务器到达所述第二软件交换机,从所述第二软件交换机到达所述物理交换机组成的路径。
本发明实施例通过当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对安全防护节点待处理的数据进行分流;分别为分流后的数据创建对应的转发路径,将一部分待处理的数据分出去而不经过该安全防护节点,解决了因安全防护节点处理的数据量过大,造成安全防护节点故障的问题,达到了避免安全防护节点发生故障,减少用户的损失的效果。
附图说明
图1是本发明实施例一中的一种云计算平台的数据转发方法的流程图;
图2是本发明实施例一中的云计算平台的数据转发方法中的安全防护节点对网站服务器进行防护的示意图;
图3是本发明实施例二中的一种云计算平台的数据转发方法的流程图;
图4是本发明实施例三中的一种云计算平台的数据转发方法的流程图;
图5是本发明实施例四中的一种云计算平台的数据转发装置的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种云计算平台的数据转发方法的流程图,本实施例可适用于云计算平台的数据转发的情况,该方法可以由本发明实施例提供的云计算平台的数据转发装置来执行,该装置可采用软件和/或硬件的方式实现,该装置可集成在云计算平台的SDN控制器中。
图2是本发明实施例提供的云计算平台的数据转发方法中的安全防护节点对网站服务器进行防护的示意图。如图2所示,第一物理服务器1上部署有安全防护节点11和第一软件交换机12,第二物理服务器2上部署有网站服务器21和第二软件交换机22,这里不对安全防护节点以及软件交换机的数量进行限制。管理节点4用于对安全防护节点11的运行情况进行监控,SDN控制器3用于为用户的请求数据和网站服务器21的响应数据分配路径,并下发流表给物理交换机6、第一软件交互及12和第二软件交互及22。用户输入的访问请求等数据进入网络5,网络5将数据通过路径①发送至物理交换机6,管理节点4获取安全防护节点处理的数据量是否超过预设数据量阈值以及安全防护节点是否可用的情况,管理节点4将安全防护节点的情况发送至SDN控制器3。当然,也可以不需要管理节点4,直接由SDN控制器对安全防护节点进行监控,获取安全防护节点的运行情况。在安全防护节点可用且需要处理的数据量在安全防护节点能够处理数据量的范围内的情况下,用户输入的访问请求等数据进入网络5,网络5将数据通过路径①发送至物理交换机6,SDN控制器3根据数据的目的地址为网站服务器,计算转发路径,并且下发流表给物理交换机6、第一软件交换机12和第二软件交换机22。SDN控制器3构建的经过安全防护节点11的路径包括:请求数据从物理交换机6与安全防护节点11连接的端口沿着路径②到达第一软件交换机12、从第一软件交换机12沿着路径②到达安全防护节点11、从安全防护节点11沿着路径③到达第一软件交换机12、从第一软件交换机12沿着路径③通过物理交换机6与安全防护节点11连接的端口到达物理交换机6、从物理交换机6沿着路径④到达物理交换机6中物理交换机6与网站服务器21连接的端口,从物理交换机6通过物理交换机6与网站服务器21连接的端口沿着路径⑤到达第二软件交换机22和从第二软件交换机22沿着路径⑤到达网站服务器21组成请求数据的请求路径;响应数据从网站服务器21沿着路径⑥到达第二软件交换机22、从第二软件交换机22沿着路径⑥通过物理交换机6与网站服务器21连接的端口到达物理交换机6、从物理交换机6沿着路径⑦到达物理交换机6中物理交换机6与安全防护节点11连接的端口,通过物理交换机6与安全防护节点11连接的端口沿着路径⑧到达第一软件交换机12、从第一软件交换机12沿着路径⑧到达安全防护节点11、从安全防护节点11沿着路径⑨到达第一软件交换机12和从第一软件交换机12沿着路径⑨通过物理交换机6与安全防护节点11连接的端口到达物理交换机6,整个路径组成网站服务器响应数据的响应路径。
如图1所示,该方法具体包括如下步骤:
S110,当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流。
具体的,所述安全防护节点的作用是对用户的访问请求的响应等数据进行安全监测,查看用户发送的数据是否安全,避免对网站服务器造成攻击。所述安全防护节点正在处理的数据包括用户的访问请求和网站服务器的响应数据等数据。其中,所述预设数据量阈值可根据安全防护节点能够处理的数据量的上限进行设定,可小于或者等于该安全防护节点能够处理的数据量的上限。
安全防护节点正在处理的数据的数据量与预设数据量阈值的比较结果,SDN控制器可以从对安全防护节点进行管理的管理节点中获取(如管理节点将该比较结果发送给SDN控制器),也可以是SDN控制器对安全防护节点进行监控,主动获取安全防护节点正在处理的数据,并统计数据量,与预设数据量进行比较得到。
由于所述安全防护节点正在处理的数据量已经超过预设数据量阈值,为了避免突发大流量的数据到达安全防护节点导致安全防护节点故障,需要对安全防护节点待处理的数据进行分流,将一部分需要安全防护节点处理的数据分给其他安全防护节点处理或者是不经安全防护节点进行处理而直接送入网站服务器。
S120,分别为分流后的数据创建对应的转发路径。
其中,所述转发路径包括经过所述安全防护节点的转发路径和不经过所述安全防护节点的转发路径。
为了避免所述安全防护节点出现故障,将安全防护节点待处理的数据进行分流,由安全防护节点处理一部分,一部分不由该安全防护节点进行处理。安全防护节点待处理的数据包括用户的访问请求和网站服务器的响应数据,两者是对应的,创建的转发路径也是来回对应的,即响应数据的转发路径和访问请求的转发路径相反。
S130,根据所述转发路径,配置对应的流表。
其中,所述流表相当于传统交换机和路由器的路由表,交换机的高速查询和转发功能是通过流表来完成的。每个流表中可以包含多个流表项,每个流表项由包头域、计数器和动作三个部分构成。
S140,将所述流表下发到交换机,以指示所述交换机根据所述流表转发对应的分流后的数据。
具体的,SDN控制器获取安全防护节点正在处理的数据量超过预设数据量阈值的信息之后,根据输入数据的源地址和目的地址查找网络资源,计算转发路径,并且下发流表和指令给交换机,这样交换机才能知道该如何转发该数据包。交换机具有流表后,该数据流后续的数据包就不需要再次通过控制器的指导,可以直接按照流表进行匹配和处理。
可选的,所述交换机包括物理交换机、第一软件交换机和第二软件交换机;
所述经过所述安全防护节点的转发路径包括下述至少一条路径:
从所述物理交换机到达所述第一软件交换机、从所述第一软件交换机到达所述安全防护节点、从所述安全防护节点到达所述第一软件交换机、从所述第一软件交换机到达所述物理交换机、从所述物理交换机到达第二软件交换机和从所述第二软件交换机到达所述网站服务器组成的路径;
从所述网站服务器到达所述第二软件交换机、从所述第二软件交换机到达所述物理交换机、从所述物理交换机到达所述第一软件交换机、从所述第一软件交换机到达所述安全防护节点、从所述安全防护节点到达所述第一软件交换机和从所述第一软件交换机到达所述物理交换机组成的路径;
所述不经过所述安全防护节点的转发路径包括下述至少一条路径:
从所述物理交换机到达所述第二软件交换机和从所述第二软件交换机到达所述网站服务器组成的路径;
从所述网站服务器到达所述第二软件交换机,从所述第二软件交换机到达所述物理交换机组成的路径。
具体的,如图2所示,在安全防护节点正在处理的数据的数据量超过预设数据量阈值的情况下,SDN控制器3根据数据的目的地址,计算转发路径,并且下发流表给物理交换机6、第一软件交换机12和第二软件交换机22。SDN控制器3构建的经过安全防护节点11的路径包括:请求数据从物理交换机6通过物理交换机6与网站服务器21连接的端口沿着路径②到达第一软件交换机12、从第一软件交换机12沿着路径②到达安全防护节点11、从安全防护节点11沿着路径③到达第一软件交换机12、从第一软件交换机12沿着路径③通过物理交换机6与网站服务器21连接的端口到达物理交换机6、从物理交换机6沿着路径④到达物理交换机6中物理交换机6与网站服务器21连接的端口,从物理交换机6通过物理交换机6与网站服务器21连接的端口沿着路径⑤到达第二软件交换机22和从第二软件交换机22沿着路径⑤到达网站服务器21组成,这整个路径组成请求数据的请求路径;响应数据从网站服务器21沿着路径⑥到达第二软件交换机22、从第二软件交换机22沿着路径⑥通过物理交换机6与网站服务器21连接的端口到达物理交换机6、从物理交换机6沿着路径⑦到达物理交换机6中物理交换机6与安全防护节点11连接的端口,从物理交换机6通过物理交换机6与安全防护节点11连接的端口沿着路径⑧到达第一软件交换机12、从第一软件交换机12沿着路径⑧到达安全防护节点11、从安全防护节点11沿着路径⑨到达第一软件交换机12和从第一软件交换机12沿着路径⑨通过物理交换机6与安全防护节点11连接的端口到达物理交换机6,并从物理交换机6中物理交换机与网络连接的端口将响应数据发送到网络中,这整个路径组成响应数据的响应路径。SDN控制器3构建的不经过安全防护节点11的路径包括:请求数据从物理交换机6沿着路径④到达物理交换机6中物理交换机6与网站服务器21连接的端口,从物理交换机6通过物理交换机6与网站服务器21连接的端口沿着路径⑤到达第二软件交换机22和从第二软件交换机22沿着路径⑤到达网站服务器,这整个路径组成请求数据的请求路径;响应数据从网站服务器21沿着路径⑥到达第二软件交换机22,从第二软件交换机22沿着路径⑥到达物理交换机6中物理交换机6与网站服务器21连接的端口,从物理交换机6与网站服务器21连接的端口沿着路径⑦到达物理交换机6与网络5连接的端口,与网络5连接的端口,这整个路径组成响应数据的响应路径。
本实施例的技术方案,通过当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对安全防护节点待处理的数据进行分流;分别为分流后的数据创建对应的转发路径,将一部分待处理的数据分出去而不经过该安全防护节点,解决了因安全防护节点处理的数据量过大,造成安全防护节点故障的问题,达到了避免安全防护节点发生故障,减少用户的损失的效果。
在上述技术方案的基础上,在当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流之前,还可以包括:
获取所述安全防护节点正在处理的数据的数据量,并将所述数据量与所述预设数据量阈值进行比较。
SDN控制器对安全防护节点进行监控,主动获取安全防护节点正在处理的数据,并统计数据量,与预设数据量阈值进行比较,可以实时监控到安全防护节点正在处理的数据量超过预设数据量阈值的情况,从而及时的分流,保证安全防护节点的正常运行,避免安全防护节点发生故障。
实施例二
图3为本发明实施例二提供的一种云计算平台的数据转发方法的流程示意图,本实施例以前述实施例为基础进行优化,提供了优选的云计算平台的数据转发方法,具体是,还包括:当所述安全防护节点出现故障时,删除所述流表中包含所述安全防护节点的流表项,形成新的流表;将所述新的流表下发到所述交换机,以指示所述交换机按照所述新的流表转发对应的数据。
相应的,本实施例的方法具体包括如下步骤:
S210,当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流。
S220,分别为分流后的数据创建对应的转发路径。
S230,根据所述转发路径,配置对应的流表。
S240,将所述流表下发到交换机,以指示所述交换机根据所述流表转发对应的分流后的数据。
S250,当所述安全防护节点出现故障时,删除所述流表中包含所述安全防护节点的流表项,形成新的流表。
具体的,在云计算平台中可以通过更换安全防护节点来对故障的安全防护节点进行修护,但是仅仅更换安全防护节点是不够的。要让故障的安全防护节点故障恢复,除了替换故障安全防护节点之外还需要创建新的安全防护节点以及对新的安全防护节点添加防护策略等。整个过程的恢复时间包括:故障的发现时间,新安全防护节点的创建,在新安全防护节点上添加防护策略,替换故障安全防护节点等时长。修复的时间越长,恢复需要的周期就越长,而且整个过程业务都是中断的,不能连续的为用户进行服务,中断的时间越长对用户损失就越大。因此,本实施例就是在安全防护节点出现故障的情况下采取的应急措施。
其中,所述流表由很多个流表项组成,每个流表项就是一个转发规则。交换机具有流表后,该数据流后续的数据包就不需要再次通过控制器的指导,可以直接按照流表进行匹配和处理。当出现特殊情况的时候,可以删除相应的流表项。本实施例就是在安全防护节点出现故障的情况下,为了快速恢复对用户提供的服务,可以将用户的访问请求和对应的网站服务器的响应数据等数据不经过该安全防护节点来实现,即删除流表中包含所述安全防护节点的流表项,形成新的流表。
SDN控制器可以主动对安全防护节点进行监控,从而得到安全防护节点的运行情况,当安全防护节点出现故障时,可以直接检测到;也可以是管理节点对安全防护节点进行监控,将安全防护节点的故障情况发送给SDN控制器。
S260,将所述新的流表下发到所述交换机,以指示所述交换机按照所述新的流表转发对应的数据。
具体的,如图1所示,本实施例中管理节点4对安全防护节点11进行监控,发现安全防护节点11发生故障,管理节点4将安全防护节点发生故障的信息传送给SDN控制器3,SDN控制器3接收到管理节点4发送的信息,删除流表中包含所述安全防护节点的流表项,形成新的流表。也就是说,SDN控制器3构建的路径更改为:请求数据从物理交换机6沿着路径④到达物理交换机6中物理交换机6与网站服务器21连接的端口,从物理交换机6通过物理交换机6与网站服务器21连接的端口沿着路径⑤到达第二软件交换机22和从第二软件交换机22沿着路径⑤到达网站服务器组成请求数据的请求路径;响应数据从网站服务器21沿着路径⑥到达第二软件交换机22,从第二软件交换机22沿着路径⑥到达物理交换机6中物理交换机6与网站服务器21连接的端口,从物理交换机6与网站服务器21连接的端口沿着路径⑦到达物理交换机6与网络5连接的端口,通过该端口将响应数据发送到网络中,这整个路径组成响应数据的响应路径。
本实施例的技术方案,通过删除流表中包含安全防护节点的流表项,形成新的流表,将新的流表下发到交换机,以指示交换机按照新的流表转发对应的数据。解决了安全防护节点故障的情况下,数据不能连续传输的问题,能够连续为用户提供服务,减少用户的损失。
实施例三
图4为本发明实施例三提供的一种云计算平台的数据转发方法的流程示意图,本实施例以前述实施例为基础进行优化,提供了优选的云计算平台的数据转发方法,具体是,在当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流之前,还进一步包括:从管理节点获取所述安全防护节点正在处理的数据的数据量与所述预设数据量阈值的比较结果。
相应的,本实施例的方法具体包括如下步骤:
S310,从管理节点获取所述安全防护节点正在处理的数据的数据量与所述预设数据量阈值的比较结果。
管理节点对安全防护节点的运行情况进行监控,通过比较安全防护节点正在处理的数据量和预设数据量阈值的大小,来实时检测安全防护节点的处理数据量的情况,可以有效的防止安全防护节点发生故障。
S320,当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流。
S330,分别为分流后的数据创建对应的转发路径。
S340,根据所述转发路径,配置对应的流表。
S350,将所述流表下发到交换机,以指示所述交换机根据所述流表转发对应的分流后的数据。
在一个具体的例子中,如果安全防护节点的预设数据量阈值为100,安全防护节点正在处理的数据的数据量为30,那么就可以判断安全防护节点还可以正常运行,就可以通过SDN控制器配置必须通过安全防护节点的路径,如果安全防护节点正在处理的数据量为110,那么就可以判断数据量过大,就通知SDN控制器配置相应的路径。
本实施例的技术方案,通过从管理节点获取安全防护节点正在处理的数据的数据量与预设数据量阈值的比较结果,确定数据量是否过大,进而通过SDN控制器创建路径,达到了避免安全防护节点发生故障,减少用户的损失的效果,而且通过管理节点来对安全防护节点进行监控,可以减少SDN控制器的数据处理量,能够更及时地获知安全防护节点的状态,尽量避免数据量过多使得安全防护节点故障的情况,能够更有效的为用户提供服务。
实施例四
图5为本发明实施例四的一种云计算平台的数据转发装置的结构示意图。本实施例可适用于终端设备云计算平台的数据转发的情况,该装置可采用软件和/或硬件的方式实现,该装置可集成在云计算平台的SDN控制器中,如图4所示,所述云计算平台的数据转发的装置具体包括:数据分流模块41、路径创建模块42、流表配置模块43和第一数据转发模块44。
其中,数据分流模块41,用于当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流;
路径创建模块42,用于分别为分流后的数据创建对应的转发路径,其中,所述转发路径包括经过所述安全防护节点的转发路径和不经过所述安全防护节点的转发路径;
流表配置模块43,用于根据所述转发路径,配置对应的流表;
第一数据转发模块44,用于将所述流表下发到交换机,以指示所述交换机根据所述流表转发对应的分流后的数据。
可选的,还包括:
新的流表形成模块,用于当所述安全防护节点出现故障时,删除所述流表中包含所述安全防护节点的流表项,形成新的流表;
第二数据转发模块,用于将所述新的流表下发到所述交换机,以指示所述交换机按照所述新的流表转发对应的数据。
可选的,还包括:
数据量比较结果获取模块,用于在当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流之前,从管理节点获取所述安全防护节点正在处理的数据的数据量与所述预设数据量阈值的比较结果。
可选的,还包括:
数据量比较模块,用于在当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流之前,获取所述安全防护节点正在处理的数据的数据量,并将所述数据量与所述预设数据量阈值进行比较。
可选的,所述交换机包括物理交换机、第一软件交换机和第二软件交换机;
所述经过所述安全防护节点的转发路径包括下述至少一条路径:
从所述物理交换机到达所述第一软件交换机、从所述第一软件交换机到达所述安全防护节点、从所述安全防护节点到达所述第一软件交换机、从所述第一软件交换机到达所述物理交换机、从所述物理交换机到达第二软件交换机和从所述第二软件交换机到达所述网站服务器组成的路径;
从所述网站服务器到达所述第二软件交换机、从所述第二软件交换机到达所述物理交换机、从所述物理交换机到达所述第一软件交换机、从所述第一软件交换机到达所述安全防护节点、从所述安全防护节点到达所述第一软件交换机和从所述第一软件交换机到达所述物理交换机组成的路径;
所述不经过所述安全防护节点的转发路径包括下述至少一条路径:
从所述物理交换机到达所述第二软件交换机和从所述第二软件交换机到达所述网站服务器组成的路径;
从所述网站服务器到达所述第二软件交换机,从所述第二软件交换机到达所述物理交换机组成的路径。
本实施例的技术方案,通过数据分流模块、路径创建模块、流表配置模块和第一数据转发模块,能够尽量避免安全防护节点发生故障,减少用户的损失。
上述产品可执行本发明任意实施例所提供的方法,具备执行方法相应的功能模块和有益效果。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种云计算平台的数据转发方法,应用于云平台,其特征在于,包括:
当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流;
分别为分流后的数据创建对应的转发路径,其中,所述转发路径包括经过所述安全防护节点的转发路径和不经过所述安全防护节点的转发路径;
根据所述转发路径,配置对应的流表;
将所述流表下发到交换机,以指示所述交换机根据所述流表转发对应的分流后的数据。
2.根据权利要求1所述的方法,其特征在于,还包括:
当所述安全防护节点出现故障时,删除所述流表中包含所述安全防护节点的流表项,形成新的流表;
将所述新的流表下发到所述交换机,以指示所述交换机按照所述新的流表转发对应的数据。
3.根据权利要求1或2所述的方法,其特征在于,在当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流之前,还包括:
从管理节点获取所述安全防护节点正在处理的数据的数据量与所述预设数据量阈值的比较结果。
4.根据权利要求1或2所述的方法,其特征在于,在当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流之前,还包括:
获取所述安全防护节点正在处理的数据的数据量,并将所述数据量与所述预设数据量阈值进行比较。
5.根据权利要求1或2所述的方法,其特征在于,所述交换机包括物理交换机、第一软件交换机和第二软件交换机;
所述经过所述安全防护节点的转发路径包括下述至少一条路径:
从所述物理交换机到达所述第一软件交换机、从所述第一软件交换机到达所述安全防护节点、从所述安全防护节点到达所述第一软件交换机、从所述第一软件交换机到达所述物理交换机、从所述物理交换机到达第二软件交换机和从所述第二软件交换机到达网站服务器组成的路径;
从所述网站服务器到达所述第二软件交换机、从所述第二软件交换机到达所述物理交换机、从所述物理交换机到达所述第一软件交换机、从所述第一软件交换机到达所述安全防护节点、从所述安全防护节点到达所述第一软件交换机和从所述第一软件交换机到达所述物理交换机组成的路径;
所述不经过所述安全防护节点的转发路径包括下述至少一条路径:
从所述物理交换机到达所述第二软件交换机和从所述第二软件交换机到达所述网站服务器组成的路径;
从所述网站服务器到达所述第二软件交换机,从所述第二软件交换机到达所述物理交换机组成的路径。
6.一种云计算平台的数据转发装置,应用于云平台,其特征在于,包括:
数据分流模块,用于当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流;
路径创建模块,用于分别为分流后的数据创建对应的转发路径,其中,所述转发路径包括经过所述安全防护节点的转发路径和不经过所述安全防护节点的转发路径;
流表配置模块,用于根据所述转发路径,配置对应的流表;
第一数据转发模块,用于将所述流表下发到交换机,以指示所述交换机根据所述流表转发对应的分流后的数据。
7.根据权利要求6所述的装置,其特征在于,还包括:
新的流表形成模块,用于当所述安全防护节点出现故障时,删除所述流表中包含所述安全防护节点的流表项,形成新的流表;
第二数据转发模块,用于将所述新的流表下发到所述交换机,以指示所述交换机按照所述新的流表转发对应的数据。
8.根据权利要求6或7所述的装置,其特征在于,还包括:
数据量比较结果获取模块,用于在当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流之前,从管理节点获取所述安全防护节点正在处理的数据的数据量与所述预设数据量阈值的比较结果。
9.根据权利要求6或7所述的装置,其特征在于,还包括:
数据量比较模块,用于在当安全防护节点正在处理的数据的数据量超过预设数据量阈值时,对所述安全防护节点待处理的数据进行分流之前,获取所述安全防护节点正在处理的数据的数据量,并将所述数据量与所述预设数据量阈值进行比较。
10.根据权利要求6或7所述的装置,其特征在于,所述交换机包括物理交换机、第一软件交换机和第二软件交换机;
所述经过所述安全防护节点的转发路径包括下述至少一条路径:
从所述物理交换机到达所述第一软件交换机、从所述第一软件交换机到达所述安全防护节点、从所述安全防护节点到达所述第一软件交换机、从所述第一软件交换机到达所述物理交换机、从所述物理交换机到达第二软件交换机和从所述第二软件交换机到达网站服务器组成的路径;
从所述网站服务器到达所述第二软件交换机、从所述第二软件交换机到达所述物理交换机、从所述物理交换机到达所述第一软件交换机、从所述第一软件交换机到达所述安全防护节点、从所述安全防护节点到达所述第一软件交换机和从所述第一软件交换机到达所述物理交换机组成的路径;
所述不经过所述安全防护节点的转发路径包括下述至少一条路径:
从所述物理交换机到达所述第二软件交换机和从所述第二软件交换机到达所述网站服务器组成的路径;
从所述网站服务器到达所述第二软件交换机,从所述第二软件交换机到达所述物理交换机组成的路径。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611072970.8A CN108123886A (zh) | 2016-11-29 | 2016-11-29 | 一种云计算平台的数据转发方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611072970.8A CN108123886A (zh) | 2016-11-29 | 2016-11-29 | 一种云计算平台的数据转发方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108123886A true CN108123886A (zh) | 2018-06-05 |
Family
ID=62226575
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611072970.8A Pending CN108123886A (zh) | 2016-11-29 | 2016-11-29 | 一种云计算平台的数据转发方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108123886A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108881246A (zh) * | 2018-06-27 | 2018-11-23 | 中国联合网络通信集团有限公司 | 一种容器安全防护的方法及装置 |
| CN111124682A (zh) * | 2019-12-24 | 2020-05-08 | 珠海大横琴科技发展有限公司 | 一种弹性资源分配方法、装置、电子设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103346922A (zh) * | 2013-07-26 | 2013-10-09 | 电子科技大学 | 基于sdn的确定网络状态的控制器及其确定方法 |
| CN104202388A (zh) * | 2014-08-27 | 2014-12-10 | 福建富士通信息软件有限公司 | 一种基于云平台的自动负载均衡*** |
| CN104753951A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 一种基于软件定义的网络安全流安全平台 |
| CN105656841A (zh) * | 2014-11-11 | 2016-06-08 | 杭州华三通信技术有限公司 | 一种软件定义网络中实现虚拟防火墙的方法和装置 |
-
2016
- 2016-11-29 CN CN201611072970.8A patent/CN108123886A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103346922A (zh) * | 2013-07-26 | 2013-10-09 | 电子科技大学 | 基于sdn的确定网络状态的控制器及其确定方法 |
| CN104202388A (zh) * | 2014-08-27 | 2014-12-10 | 福建富士通信息软件有限公司 | 一种基于云平台的自动负载均衡*** |
| CN105656841A (zh) * | 2014-11-11 | 2016-06-08 | 杭州华三通信技术有限公司 | 一种软件定义网络中实现虚拟防火墙的方法和装置 |
| CN104753951A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 一种基于软件定义的网络安全流安全平台 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108881246A (zh) * | 2018-06-27 | 2018-11-23 | 中国联合网络通信集团有限公司 | 一种容器安全防护的方法及装置 |
| CN111124682A (zh) * | 2019-12-24 | 2020-05-08 | 珠海大横琴科技发展有限公司 | 一种弹性资源分配方法、装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10659345B2 (en) | Service path protection method, controller, device and system | |
| CN106375384A (zh) | 一种虚拟网络环境中镜像网络流量的管理***和控制方法 | |
| CN104580107B (zh) | 恶意攻击检测方法及控制器 | |
| CN108040055A (zh) | 一种防火墙组合策略及云服务安全防护 | |
| CN101557343B (zh) | Vrrp拓扑网络中二层环路的检测与保护方法 | |
| CN106533736B (zh) | 一种网络设备重启方法和装置 | |
| JP2010050857A (ja) | 経路制御装置およびパケット廃棄方法 | |
| CN108123919A (zh) | 网络的监控防护***和方法 | |
| CN108306747B (zh) | 一种云安全检测方法、装置和电子设备 | |
| US8131871B2 (en) | Method and system for the automatic reroute of data over a local area network | |
| CN106101163A (zh) | 基于OpenFlow的网络架构安全监控*** | |
| US8724450B2 (en) | Network relay system and method of controlling a network relay system | |
| CN102523113B (zh) | 以太网oam中跨芯片聚合链路上配置mep的芯片实现方法及*** | |
| CN109981450B (zh) | 路径连通维护方法、装置和*** | |
| CN108028828A (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
| CN107645472A (zh) | 一种基于OpenFlow的虚拟机流量检测*** | |
| CN106411863A (zh) | 一种实时处理虚拟交换机网络流量的虚拟化平台 | |
| CN104468504A (zh) | 虚拟化网络动态信息安全的监控方法及*** | |
| EP2466816B1 (en) | Method and device for detecting validation of an access control list | |
| CN108123886A (zh) | 一种云计算平台的数据转发方法及装置 | |
| CN106559323A (zh) | 一种sdn设备首包上送的方法和装置 | |
| CN110401601A (zh) | 一种拟态路由协议***和方法 | |
| CN109391543A (zh) | 用于多业务故障恢复的方法和***、业务恢复辅助*** | |
| WO2016117302A1 (ja) | 情報処理装置、情報処理方法、及び、記録媒体 | |
| CN100364280C (zh) | 一种下发安全策略的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180605 |
|
| RJ01 | Rejection of invention patent application after publication |