CN113162782B - 数据中心网络配置方法及装置 - Google Patents
数据中心网络配置方法及装置 Download PDFInfo
- Publication number
- CN113162782B CN113162782B CN202010074275.5A CN202010074275A CN113162782B CN 113162782 B CN113162782 B CN 113162782B CN 202010074275 A CN202010074275 A CN 202010074275A CN 113162782 B CN113162782 B CN 113162782B
- Authority
- CN
- China
- Prior art keywords
- network
- strategy
- identifier
- tuple
- newly added
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及数据中心网络配置方法及装置,其中,方法包括:接收租户发送的网络配置请求,网络配置请求携带新增网络策略及新增网络策略所属的业务标识;判断新增网络策略与具有相同业务标识的现有网络策略之间是否存在包含关系,其中,网络策略设有下发标识,下发标识包括用于表示显性的第一预设标识及用于表示隐性的第二预设标识;如是,将新增网络策略与现有网络策略进行去重处理,得到去重处理后的网络策略;向网络设备发送网络策略同步消息,同步消息包括去重处理后的网络策略。本发明实施例提供的技术方案用以解决现有技术中网络配置不规范使得网络负载大的问题。
Description
【技术领域】
本发明涉及计算机技术领域,尤其涉及数据中心网络配置方法及装置。
【背景技术】
网络设备是数据中心的重要组成部分。对于大型的数据中心,网络设备种类多、数量大,通常使用网管平台进行设备的管理和配置。网管平台虽然实现了对海量设备的统一监控管理,但其实质上还是登录到设备上执行配置命令,难以解决配置难度高、工作量大、容易出错的问题。随着数据中心规模的不断增长,问题也愈发突出。
近年来,得益于云计算和虚拟化技术的迅速发展,出现了旨在打破传统网络技术壁垒的软件定义网络(Software Defined Network,SDN)技术。SDN强调的是管理平面和数据平面分离,将所有设备的控制功能集中,便于资源统一调度,实现网络服务的自动化部署,提升网络架构的灵活性、可扩展性和可演进性。目前SDN技术正处于发展阶段,流派众多,国内外各大网络厂商都在积极推行其SDN解决方案。
目前,常用云网一体化方案作为SDN的解决方案,云平台通过开放接口与虚拟机管理器和软件定义网络控制器对接。租户登录云平台配置网络,进行配置下发。在云网一体化方案中,使用虚拟私有云(Virtual Private Cloud,VPC)实现安全隔离,VPC之间互访由防火墙控制,但是无法实现网络策略的精细化管理。回收业务时,难以将对应的网络配置全部回收,存在安全隐患,如果业务的子网规划不规范,还可能影响其他业务。并且,在同一个VPC中,先后配置的网络策略之间可能存在包含关系,久而久之,造成网络设备中存在多余的配置表项,影响网络设备性能。
【发明内容】
有鉴于此,本发明实施例提供了数据中心网络配置方法及装置,用以解决现有技术中网络配置不规范使得网络负载大的问题。
为了实现上述目的,第一方面,本发明提供了一种数据中心网络配置方法,所述方法包括:
接收租户发送的网络配置请求,所述网络配置请求携带新增网络策略及所述新增网络策略所属的业务标识;判断所述新增网络策略与具有相同业务标识的现有网络策略之间是否存在包含关系,其中,所述网络策略设有下发标识,所述下发标识包括用于表示显性的第一预设标识及用于表示隐性的第二预设标识;如是,将所述新增网络策略与所述现有网络策略进行去重处理,得到去重处理后的网络策略;向网络设备发送网络策略同步消息,所述同步消息包括去重处理后的网络策略。
结合第一方面,在一种可行的实施方式中,所述网络策略包括多个元组,每个元组表示一种类型的网络配置,每个元组包括多个元素,每个元素表示所述网络配置中对应一个字段。
结合第一方面,在一种可行的实施方式中,所述判断所述新增网络策略与具有相同业务标识的现有网络策略之间是否存在包含关系,包括:
根据预设的运算方式计算所述新增网络策略与现有网络策略中类型相同的元组之间的包含关系;
当元组n包含元组m,将所述元组m的下发标识设置为所述第二预设标识,并将所述元组n的下发标识设置为所述第一预设标识,其中,m表示所述新增网络策略中的元组,n表示所述现有网络策略中的元组;或
当元组n等于元组m,比较所述元组m与所述元组n的配置时间,并将先配置的元组的下发标识设置为所述第一预设标识,将后配置的元组的下发标识设置为所述第二预设标识;或
当元组m包含元组n,将所述元组m的下发标识设置为所述第一预设标识,并将所述元组n的下发标识设置为所述第二预设标识。
结合第一方面,在一种可行的实施方式中,所述将所述新增网络策略与所述现有网络策略进行去重处理,得到去重处理后的网络策略,包括:
将与所述现有网络策略无包含关系的新增网络策略的下发标识设置为所述第一预设标识;
将与所述现有网络策略有包含关系的新增网络策略,根据预设的运算方式进行运算,得到范围最大的网络策略;
将所述范围最大的网络策略的下发标识设置为所述第一预设标识,其他的网络策略的下发标识设置为所述第二预设标识。
结合第一方面,在一种可行的实施方式中,所述将与所述现有网络策略有包含关系的新增网络策略,根据预设的运算方式进行运算,得到范围最大的网络策略,包括:
当所述新增网络策略包含所述现有网络策略,将所述新增网络策略的下发标识设置为所述第一预设标识,并将所述现有网络策略的下发标识由所述第一预设标识更新为所述第二预设标识;
当所述现有网络策略包含所述新增网络策略,将所述新增网络策略的下发标识设置为所述第二预设标识。
结合第一方面,在一种可行的实施方式中,在所述将所述新增网络策略与所述现有网络策略进行去重处理,得到去重处理后的网络策略之后,所述方法还包括:
删除被所述新增网络策略包含的所述现有网络策略。
结合第一方面,在一种可行的实施方式中,在所述向网络设备发送网络策略同步消息之后,所述方法还包括:
接收所述租户发送的网络策略删除请求,所述删除请求携带拟删除网络策略;
读取拟删除网络策略的下发标识;
若所述拟删除策略的下发标识为所述第一预设标识,查询所述拟删除策略是否存在设有所述第二预设标识的下级网络策略,如果存在,则从所述下级网络策略中选出目标网络策略,并将所述目标网络策略的下发标识由所述第二预设标识更新为所述第一预设标识;并删除所述拟删除网络策略;
若所述拟删除策略的下发标识为所述第二预设标识,删除所述拟删除网络策略。
为了实现上述目的,第二方面,本发明提供了一种数据中心网络配置装置,所述装置包括:
接收单元,用于接收租户发送的网络配置请求,所述网络配置请求携带新增网络策略及所述新增网络策略所属的业务标识;
判断单元,用于判断所述新增网络策略与具有相同业务标识的现有网络策略之间是否存在包含关系,其中,所述网络策略设有下发标识,所述下发标识包括用于表示显性的第一预设标识及用于表示隐性的第二预设标识;
去重单元,用于如存在包含关系,将所述新增网络策略与所述现有网络策略进行去重处理,得到去重处理后的网络策略;
发送单元,用于向网络设备发送网络策略同步消息,所述同步消息包括去重处理后的网络策略。
为了实现上述目的,第三方面,本发明提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述的数据中心网络配置方法。
为了实现上述目的,第四方面,本发明提供了一种计算机设备,包括:至少一个处理器;以及与所述处理器通信连接的至少一个存储器,其中,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述的数据中心网络配置方法。
在本方案中,以业务为中心配置和管理网络策略,实现网络策略的精细化管理,并且在网络配置过程中通过下发标识来实现自动去重,自动识别网络策略间的包含关系,屏蔽“被包含”的网络策略,去重过程对租户完全透明,有效解决现有技术中网络配置不规范使得网络负载大的问题。
【附图说明】
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例提供的一种云网一体化方案组网的架构示意图;
图2是本发明实施例提供的一种数据中心网络配置方案的示意图;
图3是本发明实施例提供的一种数据中心网络配置方法的流程示意图;
图4是本发明实施例提供的一种路由配置元组运算方式的示意图;
图5是本发明实施例提供的一种数据中心网络配置装置的结构示意图;
图6是本发明实施例提供的一种可选的计算机设备的示意图。
【具体实施方式】
为了更好的理解本发明的技术方案,下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述绑定对象的绑定关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后绑定对象是一种“或”的关系。
应当理解,尽管在本发明实施例中可能采用术语第一、第二、第三等来描述终端,但这些终端不应限于这些术语。这些术语仅用来将终端彼此区分开。例如,在不脱离本发明实施例范围的情况下,第一终端也可以被称为第二终端,类似地,第二终端也可以被称为第一终端。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
图1为现有技术提供的一种云网一体化方案组网的架构示意图,如图1所示,云平台通过开放接口与虚拟私有云(Virtual Private Cloud,VPC)和软件定义网络(SoftwareDefined Network,SDN)控制器对接。租户登录云平台portal配置网络,进行配置下发。SDN控制器将配置转换为网络设备可以识别的配置命令,使用Netconf或者OpenFlow等标准协议下发至物理和虚拟网络设备。
云网一体化方案支撑了业务的快速灵活部署,实现了网络资源池化,给网络运维带来了非常大的便利,然而依旧存在部分功能待优化,尤其是在网络配置方面。本提案涉及的网络配置是指通过云平台的网络配置portal下发的配置,包括路由策略配置、防火墙策略配置、安全组策略配置等。
其一,在云网一体化方案中,使用虚拟私有云实现安全隔离,VPC之间互访由防火墙控制,这与传统网络中使用虚拟路由转发(Virtual Routing Forwarding,VRF)隔离业务没有本质的区别。每个业务分配一个或多个VPC可以实现最大程度的安全隔离。但是实际中,尤其是私有云场景下,“大租户”比较多,同一个租户的多个业务之间需要实时交互,且互访的安全控制要求不高,很多情况下是多个业务部署在同一个VPC里。
不同业务的网络配置不同,即使是同一个业务,不同子模块对应的网络配置也不尽相同。这种基于VPC的配置方式无法实现网络策略的精细化管理。回收业务时,难以将对应的网络配置全部回收,存在安全隐患,如果业务的子网规划不规范,还可能影响其他业务,网络配置不规范容易使得网络负载大。
其二,网络配置不是一成不变的,而是按照业务需求不断地调整。同一个VPC中,先后配置的网络策略之间可能存在包含关系,久而久之,造成网络设备中存在多余的配置表项,影响网络设备性能。
本提案提供一种数据中心网络配置***,包括云平台、网络配置模块。
在云平台中,虚拟数据中心(Virtual Data Center,VDC)是一组可使用资源的集合,包括计算、存储和网络资源,租户是VDC的实际拥有者和管理者,可以是某个组织或者个人。本提案在云平台VDC中增加业务视图,租户在分配资源之前先创建业务。以业务为中心,分配所需的计算、存储和网络资源,继而配置网络策略。不同场景下,可以根据需要灵活的规划业务与虚拟私有云,图2是本发明实施例提供的一种数据中心网络配置方案的示意图,如图2所示。
这种面向业务的配置方法实现了网络策略的精细化管理,便于网络策略的查询、新增、修改、回收。
图3为本发明实施例提供的一种数据中心网络配置方法的流程示意图,如图3所示,方法包括:
步骤S01,接收租户发送的网络配置请求,网络配置请求携带新增网络策略及新增网络策略所属的业务标识;
步骤S02,判断新增网络策略与具有相同业务标识的现有网络策略之间是否存在包含关系,其中,网络策略设有下发标识,下发标识包括用于表示显性的第一预设标识及用于表示隐性的第二预设标识;
步骤S03,如是,将新增网络策略与现有网络策略进行去重处理,得到去重处理后的网络策略;
步骤S04,向网络设备发送网络策略同步消息,同步消息包括去重处理后的网络策略。
其中,网络策略使用元组来表示。具体地,网络配置包括多个元组,元组用于表示路由、防火墙策略、安全组等网络配置。例如第一元组表示路由配置。每个元组包括多个元素,每个元素表示网络配置中的对应一个字段。
例如,路由配置可以表示为四元组i=<i1,i2,i3,i4>,其中元素i1~i4分别表示“VRF虚拟路由器”、“目的地址段”、“下一跳地址/出口”、“路由优先级”。
防火墙策略可以表示为六元组j=<j1,j2,j3,j4,j5,j6>,其中元素j1~j6分别表示“vsys虚拟防火墙”、“协议类型”、“源地址段”、“源端口”、“目的地址段”、“目的端口”。
每个元组表示该网络配置的若干属性,如表1所示。
表1.属性定义表
进一步地,步骤S02,判断新增网络策略与具有相同业务标识的现有网络策略之间是否存在包含关系,具体步骤包括:
根据预设的运算方式计算新增网络策略与现有网络策略中类型相同的元组之间的包含关系;
当元组n包含元组m,将元组m的下发标识设置为第二预设标识,并将元组n的下发标识设置为第一预设标识,其中,m表示新增网络策略中的元组,n表示现有网络策略中的元组;或
当元组n等于元组m,比较元组m与元组n的配置时间,并将先配置的元组的下发标识设置为第一预设标识,将后配置的元组的下发标识设置为第二预设标识;或
当元组m包含元组n,将元组m的下发标识设置为第一预设标识,并将元组n的下发标识设置为第二预设标识。
可以理解地,不同类型的元组,运算方式不同。
具体地,在比较元组m与元组n的配置时间时,当网络策略为路由策略时,比较元组m与元组n中“目的地址段”元素的配置时间。当网络策略为防火墙策略时,同时比较元组m与元组n中“地址段”元素及“端口号”元素的配置时间。
进一步地,元组运算有多种实现方法,以路由配置为例,图4为本申请实施例提供的一种路由配置元组运算方式的示意图,如图4所示。
路由配置包括第一元组m=<m1,m2,m3,m4>,第二元组n=<n1,n2,n3,n4>,元素1表示“VRF”,元素2表示“目的地址段”,元素3表示“下一跳地址/出口”,元素4表示“路由优先级”。其中,M2=目的地址段m2的网络位二进制序列,L(M2)表示M2的长度。N2=目的地址段n2的网络位二进制序列,L(N2)表示N2的长度。
例如,m2=192.168.10.0/24,则M2=110000001010100000001010,
n2=192.168.10.128/25,则N2=1100000010101000000010101。
如图4所示,
首先,判断第一元组和第二元组的元素1、元素3、元素4是否相同;
当元素1、元素3、元素4中有一个元素不同,第一元组m和第二元组n无包含关系;
当元素1、元素3、元素4都相同,比较第一元组和第二元组的元素2的网络二进制序列的长度。
情况一:
当第一元组和第二元组的元素2的网络二进制序列的长度相同,进一步判断第一元组的元素2与第二元组的元素2是否相同;
当第一元组的元素2与第二元组的元素2相同,比较第一元组和第二元组中“目的地址段”元素2的配置时间;
当第一元组中的元素2比第二元组中的元素2后配置,第二元组包含第一元组。
当第一元组中的元素2比第二元组中的元素2先配置,第一元组包含第二元组。
情况二:
当第一元组的元素2的网络二进制序列的长度大于第二元组的元素2的网络二进制序列的长度,截取第一元组的元素2的前L(N2)位;
当截取值序列与第二元组的元素2的网络二进制序列相同,第二元组包含第一元组;
当截取值序列与第二元组的元素2的网络二进制序列不同,第一元组m和第二元组n无包含关系。
情况三:
当第一元组的元素2的网络二进制序列的长度小于第二元组的元素2的网络二进制序列的长度,截取第二元组的元素2的前L(M2)位;
当截取值序列与第一元组的元素2的网络二进制序列相同,第一元组包含第二元组;
当截取值序列与第一元组的元素2的网络二进制序列不同,第一元组m和第二元组n无包含关系。
在本实施例中,网络配置使用元组来表示,判断策略间的包含关系,可以转换为元组的关系运算。只有相同类型的元组才可以进行关系运算。
步骤S03,将新增网络策略与现有网络策略进行去重处理,得到去重处理后的网络策略,具体包括:
将与现有网络策略无包含关系的新增网络策略的下发标识设置为第一预设标识;
将与现有网络策略有包含关系的新增网络策略,根据预设的运算方式进行运算,得到范围最大的网络策略;
将范围最大的网络策略的下发标识设置为第一预设标识,其他的网络策略的下发标识设置为第二预设标识。
在本实施方式中,现有网络策略的下发标识为第一预设标识,即该网络策略的下发标识是显性的。
可以理解地,网络策略的下发标识设置为“隐性”后,下发网络策略给网络设备时,就会自动屏蔽该网络策略。
进一步地,将与现有网络策略有包含关系的新增网络策略,根据预设的运算方式进行运算,得到范围最大的网络策略,包括:
情形1:当新增网络策略a包含现有网络策略b,将新增网络策略a的下发标识设置为第一预设标识,并将现有网络策略b的下发标识由第一预设标识更新为第二预设标识;
情形2:当现有网络策略b包含新增网络策略a,将新增网络策略a的下发标识设置为第二预设标识。
进一步地,情形1,在将新增网络策略的下发标识设置为第一预设标识,并将现有网络策略的下发标识由第一预设标识更新为第二预设标识之后,方法还包括:
删除被新增网络策略包含的现有网络策略。
进一步地,方法还包括:
接收租户发送的网络策略删除请求,删除请求携带拟删除网络策略;
读取拟删除策略c的下发标识;
若拟删除策略c的下发标识为第一预设标识,查询拟删除策略c是否存在设有第二预设标识的下级策略,如果存在,则从下级策略中选出目标策略,并将目标策略的下发标识由第二预设标识更新为第一预设标识;并删除拟删除网络策略;
若拟删除策略c的下发标识为第二预设标识,删除拟删除网络策略。
进一步地,当租户需要修改网络策略时,在步骤S03之后,方法还包括:
删除被新增网络策略包含的现有网络策略。
可以理解地,修改网络策略等价于先新增策略后删除原策略,在此不再赘述。
在本方案中,通过以业务为中心配置和管理网络策略,实现网络策略的精细化管理,便于网络策略的查询、新增、修改及回收,避免了网络策略回收不彻底造成的安全隐患。并且在网络配置过程中通过下发标识来实现自动去重,自动识别网络策略间的包含关系,屏蔽“被包含”的网络策略,有效减少了网络中多余的配置表项,有效降低网络负载,去重过程对租户完全透明,有效解决现有技术中网络配置不规范使得网络负载大的问题。
图5为本发明实施例提供的一种数据中心网络配置装置,如图5所示,装置包括接收单元10、判断单元20、去重单元30及发送单元40。
接收单元10,用于接收租户发送的网络配置请求,网络配置请求携带新增网络策略及新增网络策略所属的业务标识;
判断单元20,用于判断新增网络策略与现有网络策略之间是否存在包含关系,其中,网络策略设有下发标识,下发标识包括用于表示显性的第一预设标识及用于表示隐性的第二预设标识;
去重单元30,用于如存在包含关系,将新增网络策略与现有网络策略进行去重处理,得到去重处理后的网络策略;
发送单元40,用于向网络设备发送网络策略同步消息,同步消息包括去重处理后的网络策略。
判断单元20包括计算子单元、第一处理子单元、第二处理子单元及第三处理子单元。
计算子单元,用于根据预设的运算方式计算新增网络策略与现有网络策略中类型相同的元组之间的包含关系;
第一处理子单元,用于当元组n包含元组m,将元组m的下发标识设置为第二预设标识,并将元组n的下发标识设置为第一预设标识,其中,m表示新增网络策略中的元组,n表示现有网络策略中的元组;
第二处理子单元,用于当元组n等于元组m,比较元组m与元组n的配置时间,并将先配置的元组的下发标识设置为第一预设标识,将后配置的元组的下发标识设置为第二预设标识;或
第三处理子单元,用于当元组m包含元组n,将元组m的下发标识设置为第一预设标识,并将元组n的下发标识设置为第二预设标识。
可选地,去重单元30包括第一设置子单元、第二设置子单元、第三设置子单元。
第一设置子单元,用于将与现有网络策略无包含关系的新增网络策略的下发标识设置为第一预设标识;
第二设置子单元,用于将与现有网络策略有包含关系的新增网络策略,根据预设的运算方式进行运算,得到范围最大的网络策略;
第三设置子单元,用于将范围最大的网络策略的下发标识设置为第一预设标识,其他的网络策略的下发标识设置为第二预设标识。
可选地,装置还包括删除单元。
删除单元,用于删除被新增网络策略包含的现有网络策略。
可选地,装置还包括第二接收单元、读取单元、处理单元。
第二接收单元,用于接收租户发送的网络策略删除请求,删除请求携带拟删除网络策略;
读取单元,用于读取拟删除网络策略的下发标识;
处理单元,用于若拟删除策略的下发标识为第一预设标识,查询拟删除策略是否存在设有第二预设标识的下级网络策略,如果存在,则从下级网络策略中选出目标网络策略,并将目标网络策略的下发标识由第二预设标识更新为第一预设标识;并删除拟删除网络策略;
删除单元,还用于若拟删除策略的下发标识为第二预设标识,删除拟删除网络策略。
在本方案中,通过以业务为中心配置和管理网络策略,实现网络策略的精细化管理,便于网络策略的查询、新增、修改及回收,避免了网络策略回收不彻底造成的安全隐患。并且在网络配置过程中通过下发标识来实现自动去重,自动识别网络策略间的包含关系,屏蔽“被包含”的网络策略,有效减少了网络中多余的配置表项,有效降低网络负载,去重过程对租户完全透明,有效解决现有技术中网络配置不规范使得网络负载大的问题。
本发明实施例提供了一种非暂态计算机可读存储介质,非暂态计算机可读存储介质存储计算机指令,其中,计算机指令使计算机执行以下步骤:
接收租户发送的网络配置请求,网络配置请求携带新增网络策略及新增网络策略所属的业务标识;判断新增网络策略与具有相同业务标识的现有网络策略之间是否存在包含关系,其中,网络策略设有下发标识,下发标识包括用于表示显性的第一预设标识及用于表示隐性的第二预设标识;如是,将新增网络策略与现有网络策略进行去重处理,得到去重处理后的网络策略;向网络设备发送网络策略同步消息,同步消息包括去重处理后的网络策略。
可选地,计算机指令使计算机还执行以下步骤:网络策略包括多个元组,每个元组表示一种类型的网络配置,每个元组包括多个元素,每个元素表示网络配置中对应一个字段。
可选地,计算机指令使计算机还执行以下步骤:
根据预设的运算方式计算新增网络策略与现有网络策略中类型相同的元组之间的包含关系;当元组n包含元组m,将元组m的下发标识设置为第二预设标识,并将元组n的下发标识设置为第一预设标识,其中,m表示新增网络策略中的元组,n表示现有网络策略中的元组;或当元组n等于元组m,比较元组m与元组n的配置时间,并将先配置的元组的下发标识设置为第一预设标识,将后配置的元组的下发标识设置为第二预设标识;或当元组m包含元组n,将元组m的下发标识设置为第一预设标识,并将元组n的下发标识设置为第二预设标识。
可选地,计算机指令使计算机还执行以下步骤:
将与现有网络策略无包含关系的新增网络策略的下发标识设置为第一预设标识;将与现有网络策略有包含关系的新增网络策略,根据预设的运算方式进行运算,得到范围最大的网络策略;将范围最大的网络策略的下发标识设置为第一预设标识,其他的网络策略的下发标识设置为第二预设标识。
可选地,计算机指令使计算机还执行以下步骤:
当新增网络策略包含现有网络策略,将新增网络策略的下发标识设置为第一预设标识,并将现有网络策略的下发标识由第一预设标识更新为第二预设标识;当现有网络策略包含新增网络策略,将新增网络策略的下发标识设置为第二预设标识。
可选地,计算机指令使计算机还执行以下步骤:
删除被新增网络策略包含的现有网络策略。
图6是本发明实施例提供的一种计算机设备300的示意图,如图6所示,该实施例的计算机设备300包括:至少一个处理器310及通信接口320;以及与处理器310通信连接的至少一个存储器330,其中,存储器330存储有可被处理器310执行的程序指令,处理器310调用程序指令能够执行上述的数据中心网络配置方法。为避免重复,此处不一一赘述。
计算机设备300可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算机设备。计算机设备可包括,但不仅限于,处理器310、通讯接口320、存储器330。本领域技术人员可以理解,图3仅仅是计算机设备300的示例,并不构成对计算机设备300的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如计算机设备还可以包括通信总线340等。
所称处理器101可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器330可以是计算机设备300的内部存储单元,例如计算机设备300的硬盘或内存。存储器330也可以是计算机设备300的外部存储设备,例如计算机设备300上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器330还可以既包括计算机设备300的内部存储单元也包括外部存储设备。存储器330用于存储程序指令以及计算机设备所需的其他程序和数据。存储器330还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)或处理器(Processor)执行本发明各个实施例方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (9)
1.一种数据中心网络配置方法,其特征在于,所述方法包括:
接收租户发送的网络配置请求,所述网络配置请求携带新增网络策略及所述新增网络策略所属的业务标识;
判断所述新增网络策略与具有相同业务标识的现有网络策略之间是否存在包含关系,其中,所述网络策略设有下发标识,所述下发标识包括用于表示显性的第一预设标识及用于表示隐性的第二预设标识;
如是,将所述新增网络策略与所述现有网络策略进行去重处理,得到去重处理后的网络策略;
向网络设备发送网络策略同步消息,所述同步消息包括去重处理后的网络策略;
所述将所述新增网络策略与所述现有网络策略进行去重处理,得到去重处理后的网络策略,包括:
将与所述现有网络策略无包含关系的新增网络策略的下发标识设置为所述第一预设标识;
将与所述现有网络策略有包含关系的新增网络策略,根据预设的运算方式进行运算,得到范围最大的网络策略;
将所述范围最大的网络策略的下发标识设置为所述第一预设标识,其他的网络策略的下发标识设置为所述第二预设标识。
2.根据权利要求1所述的方法,其特征在于,所述网络策略包括多个元组,每个元组表示一种类型的网络配置,每个元组包括多个元素,每个元素表示所述网络配置中对应一个字段。
3.根据权利要求1所述的方法,其特征在于,所述判断所述新增网络策略与具有相同业务标识的现有网络策略之间是否存在包含关系,包括:
根据预设的运算方式计算所述新增网络策略与现有网络策略中类型相同的元组之间的包含关系;
当元组n包含元组m,将所述元组m的下发标识设置为所述第二预设标识,并将所述元组n的下发标识设置为所述第一预设标识,其中,m表示所述新增网络策略中的元组,n表示所述现有网络策略中的元组;或
当元组n等于元组m,比较所述元组m与所述元组n的配置时间,并将先配置的元组的下发标识设置为所述第一预设标识,将后配置的元组的下发标识设置为所述第二预设标识;或
当元组m包含元组n,将所述元组m的下发标识设置为所述第一预设标识,并将所述元组n的下发标识设置为所述第二预设标识。
4.根据权利要求1所述的方法,其特征在于,所述将与所述现有网络策略有包含关系的新增网络策略,根据预设的运算方式进行运算,得到范围最大的网络策略,包括:
当所述新增网络策略包含所述现有网络策略,将所述新增网络策略的下发标识设置为所述第一预设标识,并将所述现有网络策略的下发标识由所述第一预设标识更新为所述第二预设标识;
当所述现有网络策略包含所述新增网络策略,将所述新增网络策略的下发标识设置为所述第二预设标识。
5.根据权利要求1~3任一项所述的方法,其特征在于,在所述将所述新增网络策略与所述现有网络策略进行去重处理,得到去重处理后的网络策略之后,所述方法还包括:
删除被所述新增网络策略包含的所述现有网络策略。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述租户发送的网络策略删除请求,所述删除请求携带拟删除网络策略;
读取拟删除网络策略的下发标识;
若所述拟删除策略的下发标识为所述第一预设标识,查询所述拟删除策略是否存在设有所述第二预设标识的下级网络策略,如果存在,则从所述下级网络策略中选出目标网络策略,并将所述目标网络策略的下发标识由所述第二预设标识更新为所述第一预设标识;并删除所述拟删除网络策略;
若所述拟删除策略的下发标识为所述第二预设标识,删除所述拟删除网络策略。
7.一种数据中心网络配置装置,其特征在于,所述装置包括:
接收单元,用于接收租户发送的网络配置请求,所述网络配置请求携带新增网络策略及所述新增网络策略所属的业务标识;
判断单元,用于判断所述新增网络策略与具有相同业务标识的现有网络策略之间是否存在包含关系,其中,所述网络策略设有下发标识,所述下发标识包括用于表示显性的第一预设标识及用于表示隐性的第二预设标识;
去重单元,用于如存在包含关系,将所述新增网络策略与所述现有网络策略进行去重处理,得到去重处理后的网络策略;
发送单元,用于向网络设备发送网络策略同步消息,所述同步消息包括去重处理后的网络策略;
所述去重单元包括第一设置子单元、第二设置子单元、第三设置子单元;
所述第一设置子单元,用于将与现有网络策略无包含关系的新增网络策略的下发标识设置为第一预设标识;
所述第二设置子单元,用于将与现有网络策略有包含关系的新增网络策略,根据预设的运算方式进行运算,得到范围最大的网络策略;
所述第三设置子单元,用于将范围最大的网络策略的下发标识设置为第一预设标识,其他的网络策略的下发标识设置为第二预设标识。
8.一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,其特征在于,所述计算机指令使所述计算机执行权利要求1~6任一项所述的数据中心网络配置方法。
9.一种计算机设备,其特征在于,包括至少一个处理器;以及与所述处理器通信连接的至少一个存储器,其中,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令执行权利要求1~6任一项所述的数据中心网络配置方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010074275.5A CN113162782B (zh) | 2020-01-22 | 2020-01-22 | 数据中心网络配置方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010074275.5A CN113162782B (zh) | 2020-01-22 | 2020-01-22 | 数据中心网络配置方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113162782A CN113162782A (zh) | 2021-07-23 |
CN113162782B true CN113162782B (zh) | 2022-12-09 |
Family
ID=76881609
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010074275.5A Active CN113162782B (zh) | 2020-01-22 | 2020-01-22 | 数据中心网络配置方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113162782B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113630279B (zh) * | 2021-09-23 | 2022-12-27 | 中国建设银行股份有限公司 | 网点的网络配置方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103248521A (zh) * | 2013-04-28 | 2013-08-14 | 华为技术有限公司 | 一种业务策略规则配置的方法、装置及通信*** |
CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | ***通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及*** |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2725737B1 (en) * | 2011-08-01 | 2016-01-20 | Huawei Technologies Co., Ltd. | Network policy configuration method, management device and network management centre device |
US9515886B2 (en) * | 2013-02-27 | 2016-12-06 | Huawei Technologies Co., Ltd. | Rule set orchestration processing method and apparatus, and cluster data system |
-
2020
- 2020-01-22 CN CN202010074275.5A patent/CN113162782B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103248521A (zh) * | 2013-04-28 | 2013-08-14 | 华为技术有限公司 | 一种业务策略规则配置的方法、装置及通信*** |
CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | ***通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及*** |
Also Published As
Publication number | Publication date |
---|---|
CN113162782A (zh) | 2021-07-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2016000362A1 (zh) | 一种配置流表项的方法、装置和*** | |
CN110838964B (zh) | 一种虚拟网络与物理网络的网络对接*** | |
CN109284140B (zh) | 配置方法及相关设备 | |
US9009782B2 (en) | Steering traffic among multiple network services using a centralized dispatcher | |
CN113127150B (zh) | 云原生***的快速部署方法、装置、电子设备和存储介质 | |
CN104618304A (zh) | 数据处理方法及数据处理*** | |
CN110955704A (zh) | 一种数据管理方法、装置、设备及存储介质 | |
WO2022267175A1 (zh) | 信息处理方法、装置、计算机设备及存储介质 | |
CN114650223B (zh) | 一种Kubernetes集群的网络配置方法、装置及电子设备 | |
CN104836738A (zh) | 路由硬件表项资源管理方法、装置及网络设备 | |
CN113162782B (zh) | 数据中心网络配置方法及装置 | |
CN115225734A (zh) | 一种报文处理方法和网络设备 | |
US9608915B2 (en) | Least disruptive AF assignments in TRILL LAN adjacencies | |
CN108733477B (zh) | 数据集群化处理的方法、装置及设备 | |
CN103414756B (zh) | 一种任务分发方法、分发节点及*** | |
CN110519147A (zh) | 数据帧传输方法、装置、设备和计算机可读存储介质 | |
CN111327509B (zh) | 一种信息更新方法及装置 | |
CN112583655A (zh) | 数据传输方法、装置、电子设备及可读存储介质 | |
CN105245428A (zh) | 一种报文处理规则的配置方法及装置 | |
WO2021051569A1 (zh) | 一种数据隔离方法、装置、计算机设备及存储介质 | |
CN103401791A (zh) | 一种边界端口的识别方法和设备 | |
CN114070889B (zh) | 配置方法、流量转发方法、设备、存储介质及程序产品 | |
CN110995489A (zh) | 大数据平台服务器管理方法、装置、服务器及存储介质 | |
EP3573303B1 (en) | Forwarder network-access recognition method, sdn controller, and forwarder | |
US20050240609A1 (en) | Method and apparatus for setting storage groups |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |