CN114362976A - 一种裸机的对接存储方法、装置及系统 - Google Patents
一种裸机的对接存储方法、装置及系统 Download PDFInfo
- Publication number
- CN114362976A CN114362976A CN202011034957.XA CN202011034957A CN114362976A CN 114362976 A CN114362976 A CN 114362976A CN 202011034957 A CN202011034957 A CN 202011034957A CN 114362976 A CN114362976 A CN 114362976A
- Authority
- CN
- China
- Prior art keywords
- bare metal
- bare
- metals
- metal
- storage device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 239000002184 metal Substances 0.000 title claims abstract description 988
- 229910052751 metal Inorganic materials 0.000 title claims abstract description 988
- 238000000034 method Methods 0.000 title claims abstract description 68
- 238000003032 molecular docking Methods 0.000 title claims description 5
- 150000002739 metals Chemical class 0.000 claims abstract description 165
- 239000002131 composite material Substances 0.000 claims description 8
- -1 access switches Substances 0.000 claims description 4
- 238000002955 isolation Methods 0.000 description 69
- 230000006855 networking Effects 0.000 description 31
- 239000003999 initiator Substances 0.000 description 20
- 238000004891 communication Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 17
- 238000005516 engineering process Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 16
- 238000013507 mapping Methods 0.000 description 13
- 230000004044 response Effects 0.000 description 13
- 238000012545 processing Methods 0.000 description 12
- 239000011232 storage material Substances 0.000 description 6
- 238000005336 cracking Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003818 cinder Substances 0.000 description 1
- 238000001152 differential interference contrast microscopy Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请公开了一种裸机的对接存储方法、装置及系统,该方法包括:组建存储网络,存储网络包括多个裸机、接入交换机、核心交换机和存储设备;多个裸机与接入交换机连接,多个接入交换机与核心交换机连接,核心交换机与存储设备连接;配置存储网络,以使多个裸机中的每个裸机与存储设备互通以及多个裸机中的任意两个裸机之间相互隔离。实施本申请,能够实现多租户场景下多裸机间彼此隔离,提高了裸机对接存储设备时的安全性。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种裸机的对接存储方法、装置及系统。
背景技术
云平台通常包括存储网络。其中,存储网络包括多个裸机以及存储设备,多个裸机中的每个裸机均可以访问存储设备,并且,多个裸机之间均可以互相通信。因此,当某一个裸机向存储设备发送数据时,其他的裸机可以截获该数据,从而导致该数据被泄密。
因此,如何实现裸机安全地对接存储设备,即,当某一个裸机向存储设备发送数据时,其他的裸机不可以截获该数据仍是一个技术挑战。
发明内容
本申请实施例公开了一种裸机的对接存储方法、装置及系统,能够实现多租户场景下多裸机间彼此隔离,提高了裸机对接存储设备时的安全性。
第一方面,本申请实施例提供了一种裸机的对接存储方法,该方法应用于云管理平台,该方法包括:组建存储网络,存储网络包括多个裸机、接入交换机、核心交换机和存储设备;多个裸机与接入交换机连接,多个接入交换机与核心交换机连接,核心交换机与存储设备连接;配置存储网络,以使多个裸机中的每个裸机与存储设备互通以及多个裸机中的任意两个裸机之间相互隔离。
上述方法中,组建包括多个裸机、接入交换机、核心交换机和存储设备的存储网络,通过对存储网络进行配置实现不同的裸机之间相互隔离以及存储网络中的每个裸机仅与存储设备互通,有效避免了裸机恶意截获其他裸机发送的消息,且还防止了存储设备中数据泄露,提高了多租户场景下裸机以及存储设备的安全性能。
在第一方面的一种可能的实现方式中,上述多个裸机包括第一裸机和第二裸机,配置存储网络可以是:在接入交换机上采用复合虚拟局域网MUX-VLAN对第一裸机和第二裸机进行隔离,第一裸机、第二裸机分别与接入交换机连接,第一裸机和第二裸机位于同一VLAN且同一子网。
实施上述实现方式,第一裸机和第二裸机为多个裸机中的任意两个,当第一裸机和第二裸机与同一个接入交换机连接时,且第一裸机所在的VLAN和子网和第二裸机所在的VLAN和子网分别相同,可采用MUX-VLAN对第一裸机和第二裸机进行隔离,实现了同一VLAN且同一子网内裸机间的二层流量隔离,有效避免了裸机间发生恶意截获消息的事件,提高了裸机的安全性。
在第一方面的一种可能的实现方式中,上述多个裸机包括第一裸机和第二裸机,配置存储网络可以是:在接入交换机上设置第一访问控制列表对第一裸机和第二裸机进行隔离,第一裸机、第二裸机分别与接入交换机连接,第一裸机和第二裸机位于同一VLAN且同一子网。
实施上述实现方式,第一裸机和第二裸机为多个裸机中的任意两个,当第一裸机和第二裸机与同一个接入交换机连接时,且第一裸机所在的VLAN和子网和第二裸机所在的VLAN和子网分别相同,在该接入交换机上设置访问控制列表(ACL)以使第一裸机和第二裸机不互通,了同一VLAN且同一子网内裸机间的二层流量隔离,有效避免了裸机间发生恶意截获消息的事件,提高了裸机的安全性能。
在第一方面的一种可能的实现方式中,多个裸机还包括第三裸机和第四裸机,配置存储网络可以是:在核心交换机上设置第二访问控制列表对第三裸机和第四裸机进行隔离,第三裸机和第四裸机分别通过不同的接入交换机与核心交换机连接,第三裸机和第四裸机位于不同的子网。
实施上述实现方式,第三裸机和第四裸机为多个裸机中的任意两个,当第三裸机连接的接入交换机与第四裸机连接的接入交换机不同,且第三裸机所在的子网与第四裸机所在的子网不同,通过在核心交换机上设置ACL以禁止第三裸机与第四裸机之间互通,实现了跨子网的裸机间的三层流量隔离,有效避免了裸机间发生恶意截获消息的事件,提高了多租户情况下裸机的安全性能。
在第一方面的一种可能的实现方式中,配置存储网络,包括:在核心交换机上设置第三访问控制列表以使多个裸机中的每个裸机与存储设备互通,每个裸机与存储设备位于不同的VLAN且不同的子网。
实施上述实现方式,存储网络中的裸机与存储设备位于不同的VLAN且不同的子网,通过在核心交换机上设置ACL以使每个裸机均与存储设备互通,实现了跨VLAN跨子网的裸机与存储设备之间的三层流量互通。
在第一方面的一种可能的实现方式中,在存储网络还包括计算节点的情况下,配置存储网络,还包括:在核心交换上设置第四访问控制列表以使多个裸机中的每个裸机与计算节点隔离,每个裸机与计算节点位于不同的VLAN且不同的子网。
当存储网络中还有计算节点的情况下,计算节点和裸机位于不同的VLAN且不同的子网,通过在核心交换机上设置ACL以使多个裸机中的每个裸机与计算节点不互通,实现跨VLAN跨子网的裸机与计算节点之间的三层流量隔离,避免了计算节点恶意截获裸机发送的消息,提高了裸机的安全性能。
在第一方面的一种可能的实现方式中,多个裸机中的每个裸机的IP地址是基于每个裸机连接的接入交换机的子网和每个裸机的MAC地址自动配置的。
结合与裸机连接的接入交换机的子网以及裸机的MAC地址为目标裸机分配IP地址,即根据接入交换机确定目标裸机所在的子网,根据目标裸机的MAC地址确定该目标裸机在子网内的主机号,从而实现了对该目标裸机的IP地址的自动分配,避免了手动配置裸机IP地址发生的配置错误或重复等情况,提高了裸机IP地址配置的效率和准确率。
在第一方面的一种可能的实现方式中,多个裸机中的每个裸机与存储设备互通之后,在每个裸机访问存储设备之前,每个裸机通过了存储设备发起的CHAP认证。
裸机与存储设备之间可以互通,在裸机通过了存储设备发起的CHAP认证的情况下,裸机有权限使用存储设备,即裸机通过CHAP认证以使存储设备确定该裸机的身份合法,故存储设备可供该裸机使用,有效防止了裸机的暴力破解,提高了多租户场景下裸机对接存储设备过程中的安全性。
在第一方面的一种可能的实现方式中,多个裸机中的每个裸机对应一组用于CHAP认证的用户名和用户密码,不同的裸机对应的用户名和用户密码不同。
存储网络中的每个裸机都分配有一组用于CHAP认证的用户名和用户密码,且每个裸机用于CHAP认证的用户名和用户密码具有唯一性,用户名和用户密码均是随机生成的,有效防止了裸机被仿冒以获取存储设备中的数据,提高了多租户场景下裸机对接存储设备过程中的安全性。
在第一方面的一种可能的实现方式中,配置存储网络是指:采用访问控制列表,或者,访问控制列表和复合虚拟局域网MUX-VLAN配置存储网络。
第二方面,本申请提供了一种装置,该装置包括组建单元,用于组建存储网络,存储网络包括多个裸机、接入交换机、核心交换机和存储设备;多个裸机与接入交换机连接,多个接入交换机与核心交换机连接,核心交换机与存储设备连接;配置单元,用于配置存储网络,以使多个裸机中的每个裸机与存储设备互通以及多个裸机中的任意两个裸机之间相互隔离。
在第二方面的一种可能的实现方式中,多个裸机包括第一裸机和第二裸机,配置单元,具体用于:在接入交换机上采用复合虚拟局域网MUX-VLAN对第一裸机和第二裸机进行隔离,第一裸机、第二裸机分别与接入交换机连接,第一裸机和第二裸机位于同一VLAN且同一子网。
在第二方面的一种可能的实现方式中,多个裸机包括第一裸机和第二裸机,配置单元,具体用于:在接入交换机上设置第一访问控制列表对第一裸机和第二裸机进行隔离,第一裸机、第二裸机分别与接入交换机连接,第一裸机和第二裸机位于同一VLAN且同一子网。
在第二方面的一种可能的实现方式中,多个裸机还包括第三裸机和第四裸机,配置单元,具体用于:在核心交换机上设置第二访问控制列表对第三裸机和第四裸机进行隔离,第三裸机和第四裸机分别通过不同的接入交换机与核心交换机连接,第三裸机和第四裸机位于不同的子网。
在第二方面的一种可能的实现方式中,配置单元,具体用于:在核心交换机上设置第三访问控制列表以使多个裸机中的每个裸机与存储设备互通,每个裸机与存储设备位于不同的VLAN且不同的子网。
在第二方面的一种可能的实现方式中,在存储网络还包括计算节点的情况下,配置单元,还用于:在核心交换上设置第四访问控制列表以使多个裸机中的每个裸机与计算节点隔离,每个裸机与计算节点位于不同的VLAN且不同的子网。
在第二方面的一种可能的实现方式中,多个裸机中的每个裸机的IP地址是基于每个裸机连接的接入交换机的子网和每个裸机的MAC地址自动配置的。
在第二方面的一种可能的实现方式中,多个裸机中的每个裸机与存储设备互通之后,在每个裸机访问存储设备之前,每个裸机通过了存储设备发起的CHAP认证。
在第二方面的一种可能的实现方式中,多个裸机中的每个裸机对应一组用于CHAP认证的用户名和用户密码,不同的裸机对应的用户名和用户密码不同。
在第二方面的一种可能的实现方式中,配置单元具体用于:采用访问控制列表,或者,访问控制列表和复合虚拟局域网MUX-VLAN配置存储网络。
第三方面,本申请提供了一种裸机的存储系统,该存储系统包括:多个裸机、接入交换机、核心交换机和存储设备;多个裸机与接入交换机连接,多个接入交换机与核心交换机连接,核心交换机与存储设备连接;多个裸机中的每个裸机与存储设备互通,多个裸机中的任意两个裸机之间相互隔离。
在第三方面的一种可能的实现方式中,多个裸机包括第一裸机和第二裸机,
接入交换机上设置有复合虚拟局域网MUX-VLAN,MUX-VLAN使得第一裸机与第二裸机隔离,第一裸机、第二裸机分别与接入交换机连接,第一裸机和第二裸机位于同一VLAN且同一子网。
在第三方面的一种可能的实现方式中,多个裸机包括第一裸机和第二裸机,
接入交换机上设置有第一访问控制列表,第一访问控制列表使得第一裸机与第二裸机隔离,第一裸机、第二裸机分别与接入交换机连接,第一裸机和第二裸机位于同一VLAN且同一子网。
在第三方面的一种可能的实现方式中,多个裸机还包括第三裸机和第四裸机,核心交换机上设置有第二访问控制列表,第二访问控制列表使得第三裸机与第四裸机隔离,第三裸机和第四裸机分别通过不同的接入交换机与核心交换机连接,第三裸机和第四裸机位于不同的子网。
在第三方面的一种可能的实现方式中,核心交换机上设置有第三访问控制列表,第三访问控制列表使得多个裸机中的每个裸机与存储设备互通,每个裸机与存储设备位于不同的VLAN且不同的子网。
在第三方面的一种可能的实现方式中,在存储系统还包括计算节点的情况下,核心交换上还设置有第四访问控制列表,第四访问控制列表使得多个裸机中的每个裸机与计算节点隔离,每个裸机与计算节点位于不同的VLAN且不同的子网。
在第三方面的一种可能的实现方式中,多个裸机中的每个裸机的IP地址是基于每个裸机连接的接入交换机的子网和每个裸机的MAC地址自动配置的。
在第三方面的一种可能的实现方式中,多个裸机中的每个裸机与存储设备互通之后,在每个裸机访问存储设备之前,每个裸机通过了存储设备发起的CHAP认证。
在第三方面的一种可能的实现方式中,多个裸机中的每个裸机对应一组用于CHAP认证的用户名和用户密码,不同的裸机对应的用户名和用户密码不同。
第四方面,本申请实施例提供了一种装置,该装置包括处理器和存储器,处理器和存储器通过总线连接或者耦合在一起;其中,存储器用于存储程序指令;所述处理器调用所述存储器中的程序指令,以执行第一方面或者第一方面的任一可能的实现方式中的方法。
第五方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读介质存储用于装置执行的程序代码,所述程序代码包括用于执行第一方面或者第一方面的任一可能的实现方式中的方法的指令。
第六方面,本申请实施例提供了一种计算机软件产品,该计算机程序软件产品包括程序指令,当该计算机软件产品被装置执行时,该装置执行前述第一方面或者第一方面的任一可能的实施例中的所述方法。该计算机软件产品可以为一个软件安装包,在需要使用前述第一方面的任一种可能的设计提供的方法的情况下,可以下载该计算机软件产品并在装置上执行该计算机软件产品,以实现第一方面或者第一方面的任一可能的实施例中的所述方法。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种系统的架构示意图;
图2是本申请实施例提供的一种系统的具体结构示意图;
图3是本申请实施例提供的一种裸机的组网示意图;
图4是本申请实施例提供的又一种裸机的组网示意图;
图5是本申请实施例提供的又一种裸机的组网示意图;
图6是本申请实施例提供的一种裸机的IP地址自动配置的方法流程图;
图7是本申请实施例提供的一种裸机的CHAP认证信息配置的方法流程图;
图8是本申请实施例提供的一种裸机与存储设备之间CHAP认证的方法流程图;
图9是本申请本实施例提供的一种装置的结构示意图;
图10是本申请实施例提供的一种装置的功能结构示意图;
图11是本申请实施例提供的又一种装置的功能结构示意图;
图12是本申请实施例提供的又一种装置的功能结构示意图。
具体实施方式
在本申请实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。本申请实施例中的说明书和权利要求书中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
为了便于理解,下面先对本申请实施例可能涉及的相关术语等进行介绍。
(1)因特网小型计算机系统接口iSCSI
因特网小型计算机系统接口(Internet Small Computer System Interface,iSCSI),又称IP存储区域网络(Storage Area Network,SAN)。它基于TCP/IP协议在现有IP网络上传输SCSI块命令的工业标准,它是一种在现有的IP网络上无需安装单独的光纤网络即可同时传输消息和块数据的存储技术。iSCSI基于TCP/IP协议,将SCSI命令/数据块封装为iSCSI包,再封装至TCP报文,然后封装到IP报文中,可以在标准以太网设备上通过路由或交换机来传输。
iSCSI是一种典型的客户端/服务端(C/S)架构,其中,访问存储系统的主机设备称为iSCSI客户端或主机,也可以称为iSCSI启动器(iSCSIinitiator),而提供存储服务的存储设备称为服务端,服务端也可以称为目标器(target)。iSCSI的主要功能是利用TCP/IP网络,在主机设备(initiator)和存储设备(target)之间进行大量的数据封装和可靠传输过程。
(2)询问握手认证协议CHAP
CHAP全称是PPP(点对点协议)询问握手认证协议(Challenge HandshakeAuthentication Protocol)。该协议可通过三次握手周期性的校验对端的身份,可在初始链路建立时、完成时、在链路建立之后重复进行。通过递增改变的标识符和可变的询问值,可防止来自端点的重放攻击,使用重复校验可限制暴露于单个攻击的时间。常用于企业网的远程接入环境。
具体地,第一步:链路建立阶段结束之后,认证者向对端点发送“challenge”消息;第二步:对端点用经过单向哈希函数计算出来的值做应答;第三步:认证者根据它自己计算的哈希值来检查应答,如果值匹配,认证得到承认;否则,连接应该终止;第四步:经过一定的随机间隔,认证者发送一个新的“challenge”消息给端点,重复第一步至第三步。认证者可控制验证频度和时间。
参见图1,图1是本申请实施例提供的一种应用系统的结构示意图,如图1所示,本申请的应用系统,包括:云管理平台110、多个裸机120和存储设备130。其中,多个裸机120中每个裸机通过网络连接云管理平台110,存储设备130通过网络与云管理平台110连接。需要说明的是,多个裸机120中的任意两个裸机之间不能互通,多个裸机120中的每个裸机可与存储设备130互通。
云管理平台110包括操作系统111和硬件112。云管理平台110可以是用于提供IAAS服务的AWS(Amazon Web Service)、OpenStack、CloudStack等等。操作系统111可以是嵌入式操作系统、类Unix操作系统等等,例如,嵌入式操作系统可以是VxWorks、eCos、SymbianOS及Palm OS,图形操作系统可以是Microsoft Windows以及MacOS X等等,类Unix操作系统可以是System V、BSD与Linux等等。硬件112可以包括处理器、内存以及物理网卡等等。
存储设备130支持iSCSI技术,即通过网络为多个裸机120的提供存储空间。这种类型的存储设备提供给多个裸机120的是一个裸的、没有文件系统的逻辑卷,每个逻辑卷有一个唯一的裸机单元号(Logical Unit Number,LUN)。
多个裸机120中的每个裸机是指能自动完成操作系统安装以及配置存储及网络的物理服务器,例如,裸金属服务器(Bare Metal Service,BMS)。如图1所示,多个裸机120中的每个裸机对应一个租户,即租户与裸机是一对一的映射关系,裸机的操作系统可由租户自定义安装。在一些可能的实施例中,该应用系统中租户与裸机的对应关系也可以为一对多,即一个租户可以租用多个裸机,例如,裸机1和裸机2对应同一租户,在此情况下,仍设置不同的裸机之间不能互通,但每个裸机均可与存储设备10进行通信,以提高裸机对接存储设备的安全性。可选地,在对系统的安全性要求不那么高的情况下,也可以使属于同一租户的裸机之间可以互通,但对应不同租户的裸机之间不能互通。
基于上文图1所述的系统架构,结合图2进一步说明多个裸机120对接存储设备130的过程。参见图2,图2是本申请提供的一种系统的具体结构示意图。裸机管理模块和存储管理模块均属于图1中的云管理平台110,在一些可能的实施例中,裸机管理模块可以是云管理平台110的用于提供计算服务的组件,例如,Nova组件等。存储管理模块可以是云管理平台110用于提供存储的组件,例如,Cinder组件等。在图2中,裸机A和裸机B之间不互通,裸机A可与存储设备通信,裸机B可与存储设备通信。存储设备支持iSCSI协议,因此,存储设备中集成有iSCSI目标器,相应地,裸机A和裸机B内分集成有iSCSI启动器。本申请中,在裸机A(或裸机B)通过存储设备发起的安全认证(例如,CHAP认证)的情况下,裸机A(或裸机B)内的iSCSI启动器可与存储设备的iSCSI目标器通信。需要说明的是,图2中,裸机A和裸机B仅是为多个裸机的示例,并不限定多个裸机的数量仅为2。
参见图2所示,以裸机A对接存储设备为例进行示例性阐述,裸机A对接存储设备的基本流程为:租户向云管理平台的存储管理模块发送为裸机A创建“卷(或称为快设备)”的请求,存储管理模块在存储设备中创建“卷”,并记录已创建的“卷”和裸机A的对应关系;租户向云管理平台的裸机管理模块发送挂载“卷”的请求,裸机管理模块接收到挂载“卷”的请求后,从存储管理模块处获取裸机A对应的“卷”的元数据,裸机管理模块将“卷”的元数据并传递至裸机A内的存储代理(Agent)模块,即实现了为裸机A挂“卷”。在裸机A与存储设备可互通的情况下,当裸机A要访问iSCSI存储设备中的卷时,在裸机A认证通过的情况下,裸机A内的存储Agent模块基于“卷”的原数据调用裸机内的iSCSI启动器(initiator)对“卷”进行访问及使用。
相关技术中,裸机对接存储设备的过程可参考上述裸机A对接存储设备的叙述,但不同的是:相关技术中,多个裸机对接存储设备时,由于存储网络是普通的虚拟局域网(Virtual Local Area Network,VLAN),连接到同一存储设备的裸机之间可以通过存储网络互通,无隔离能力,在多租户场景下极易造成数据泄露、传输包截获等高危事件的发生,存在很大的安全隐患;此外,相关技术中并未限制在裸机认证通过的情况下该裸机才可访问存储设备,因此,其他裸机的租户可以通过暴力破解的方式将自己裸机中的iSCSI启动器伪造成已知裸机的iSCSI启动器,即可访问该已知裸机对应的存储设备中的卷从而可以从中读取隐私数据或者写入破坏数据。例如,以模拟标识号的增长为例,假设存储管理模块上已建立裸机A(iSCSI启动器的标识号为1)与LUN1、LUN2的对应关系以及裸机B(iSCSI启动器的标识号为2)与LUN3、LUN4的对应关系,但存储管理模块上未建立裸机C的相关映射信息,假设裸机C预访问存储设备,裸机C通过模拟标识号增长的方式暴力破解iSCSI启动器,例如,试验标识号2(模拟裸机B的iSCSI启动器),则可访问存储设备中的LUN3和LUN4,导致存储设备中的数据信息泄露,安全系数低。除此之外,裸机节点上的IP也多为人工配置,易用性不强、安全性低。
本申请提供了一种裸机租户的对接存储方法,不仅可以实现多租户的裸机之间的隔离,还能有效防止裸机内iSCSI启动器的暴力破解,以及裸机IP地址的自动配置,大大提高了裸机对接存储设备过程中的安全性,以及整个系统的安全性。
基于上文所描述的系统架构,目标有三个:
(1)若要实现裸机与存储设备之间的安全对接,则需要预先设置存储网络中裸机在各种组网形态下的裸机之间的隔离和裸机和存储设备之间的互通。例如,以图2中的裸机A、裸机B和存储设备为例,实现裸机A与裸机B隔离,即裸机A向外发送消息时,裸机B无法截获该消息,同理,裸机B向外发送消息时,裸机B无法截获该消息;另外,实现裸机A和存储设备的互通,即裸机A可以向存储设备发送消息,存储设备也可以向裸机A发送消息,以及实现裸机B与存储设备的互通,类似裸机A与存储设备的互通,在此不再赘述。
(2)自动配置裸机IP。裸机管理模块基于与裸机连接的目标交换机所在的子网以及裸机中存储网卡的媒体访问控制地址(Media Access Control Address,MAC)地址自动配置裸机的IP地址。
(3)防止裸机内的iSCSI启动器暴力破解。以图2中的裸机A和存储设备为例,当裸机A读取存储设备中的数据或者写入数据至存储设备之前,裸机A还需与存储设备之间进行安全认证,当裸机A认证成功后,裸机A才有权限读取存储设备中的数据或者写入数据至存储设备。可选地,裸机与存储设备之间的安全认证可以采用CHAP认证。
下面依次介绍上述三个目标的具体实现过程。
首先介绍实现上述目标(1),即设置存储网络中裸机在各种组网形态下的隔离和互通,其中,所谓互通指的是裸机只能与存储设备进行通信,所谓隔离指的是裸机与裸机之间不能通信,在一些可能的实施例中,若组网中还存在计算节点,所谓隔离还指裸机与计算节点之间不能通信。
本申请实施例中,在多租户环境下,可以基于复合虚拟局域网(Multiplex VLAN,MUX-VLAN)技术和访问控制列表(Access Control List,ACL)技术中的至少一种控制裸机在各种组网形态下的隔离与互通,其中,MUX-VLAN技术用于实现位于相同VLAN且相同子网的裸机间的隔离,换句话说,MUX-VLAN技术可实现二层流量隔离;ACL技术既可以用于实现位于相同VLAN且相同子网的裸机间的隔离(即二层流量隔离),又可用于实现位于相同VLAN且不同子网的裸机间的隔离,以及位于不同VLAN且不同子网的裸机间的隔离(即三层流量隔离)。除此之外,ACL技术还用于实现裸机和存储设备之间的互通,裸机和存储设备位于不同的VLAN且不同子网。
在一些可能的实施例中,若存储网络的组网中除了有裸机外还存在计算节点(例如,虚拟机),当裸机与计算节点位于相同VLAN且不同子网时或者位于不同VLAN且不同子网时,ACL技术也可以实现裸机与计算节点间的隔离。需要说明的是,判断裸机A和裸机B的子网是否相同,将裸机的IP地址与其对应的子网掩码进行与运算获得子网地址,比较裸机A的子网地址和裸机B的子网地址是否相同,若相同,则说明裸机A和裸机B在同一子网。
MUX-VLAN提供了一种通过VLAN进行网络资源控制的机制。MUX-VLAN分为主VLAN(Principal VLAN)和从VLAN(Subordinate VLAN),其中,从VLAN又分为隔离型从VLAN(Separate VLAN)和互通型从VLAN(Group VLAN,又称组VLAN),从VLAN需与主VLAN进行绑定,且每个主VLAN仅支持一个隔离型从VLAN但支持多个互通型从VLAN,主VLAN的接口可以与MUX VLAN内的所有接口进行通信,隔离型从VLAN的接口只能和主VLAN的接口进行通信,和其他类型的接口实现完全隔离,互通型从VLAN的接口可以和主VLAN的接口进行通信,且在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。
ACL技术是一种基于包过滤的流控制技术。ACL可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同的报文进行处理,从而可以对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。ACL可以有效控制网络用户对网络资源的访问,可以具体到两台网络设备的网络应用,也可以基于子网进行大范围的访问控制管理,即实现网络设备间的通信与隔离,为网络应用提供了一个有效的手段。
参见图3,图3是本申请实施例提供的一种裸机的组网示意图,如图3所示,该场景下有裸机1、裸机2、裸机3、裸机4、两个接入交换机(接入交换机1和接入交换机2)、核心交换机和存储设备。在叙述各部件的连接之前,为了叙述方便,对于每一个交换机,交换机的接口按照从左至右的顺序依次表示为第一接口、第二接口等依次排序,但本申请并不限定交换机各接口的命名。具体地,裸机1与接入交换机1的第一接口连接,裸机2与接入交换机1的第二接口连接,裸机3与接入交换机2的第一接口连接,裸机4与接入交换机2的第二接口连接,接入交换机1的第三接口与核心交换机的第一接口连接,接入交换机2的第四接口与核心交换机的第二接口连接,核心交换机的第三接口与存储设备连接。
在核心交换机中,第一接口和第二接口的VLAN的ID均设置为2124,第三接口的VLAN的ID设置为2126;在接入交换机1中,第三接口的VLAN的ID设置为2124,且第三接口的VLAN 2124被配置为MUX-VLAN的主VLAN,第一接口和第二接口的VLAN的ID均设置为2200,且VLAN 2200被配置为从VLAN中的隔离型从VLAN,隔离型从VLAN 2200与主VLAN 2124绑定;在接入交换机2中,第四接口的VLAN的ID设置为2124,且第四接口的VLAN 2124被配置为MUX-VLAN的主VLAN,第一接口和第二接口的VLAN的ID设置为2200,且VLAN 2200被配置为从VLAN中的隔离型从VLAN,隔离型从VLAN 2200与主VLAN 2124绑定。另外,在图3中,假设子网掩码默认为255.255.255.0。
裸机在该组网形态下隔离和互通通过MUX-VLAN技术和ACL技术实现,即通过使用MUX-VLAN实现裸机间的二层流量隔离,通过设置ACL规则实现裸机间的三层流量隔离和裸机与计算节点间的三层流量隔离、以及裸机与存储设备之间的互通,其具体实现为:
(1)同一接入交换机下裸机的隔离:同一接入交换机下的裸机使用相同的VLAN且相同的子网,如图3所示,裸机1和裸机2位于同一子网,裸机3和裸机4位于同一子网。设置与裸机连接的接入交换机的接口使用MUX-VLAN中的隔离型从VLAN,以隔离同一接入交换机下的裸机间的互通,实现二层流量隔离,由图3可知,接入交换机1中,与裸机1连接的第一接口和与裸机2连接的第二接口均加入至隔离型从VLAN2200,实现了裸机1和裸机2之间不互通。同理,接入交换机2中,裸机3和裸机4均对应隔离型从VLAN2200,实现了裸机3和裸机4不互通。
(2)不同接入交换机下的裸机间的隔离:不同接入交换机下的裸机可使用相同的VLAN(包括主VLAN和从VLAN),但需使用不同的子网,处于不同子网下的裸机间的隔离通过在核心交换机设置ACL规则实现。不妨以图3中接入交换机1下的裸机1和接入交换机2下的裸机3为例,裸机1和裸机3对应的接入交换机的接口使用的VLAN相同,但裸机1和裸机3使用的子网不同。若要裸机1和裸机3之间不互通,需在核心交换机上设置ACL规则进行三层流量隔离,即建立裸机1所在的子网禁止访问裸机3所在的子网的ACL规则以及建立裸机3所在的子网禁止访问裸机1所在子网的ACL规则,即可实现裸机1和裸机3之间不互通,由于裸机1和裸机2所在的子网相同,裸机3和裸机4所在的子网相同,因此,参照上述步骤设置ACL规则还可以控制裸机1和裸机4不互通,裸机2分别与裸机3、裸机4不互通。例如,在核心交换上设置的ACL规则可以是,“rule 1deny ip source 88.98.100.0 0.0.0.255destination88.98.104.0 0.0.0.255”,即可实现裸机1、裸机2、裸机3和裸机4中任意两者之间不互通。在一些可能的实施例中,在裸机1的IP地址和裸机3的IP地址已知的情况下,也可以在核心交换机上建立禁止裸机1的IP地址与裸机3的IP地址互访的ACL规则,以实现裸机1和裸机3之间的三层流量隔离。
(3)裸机与存储设备之间的互通:裸机和存储设备使用不同的VLAN和不同的子网,裸机和存储设备之间的互通可通过在核心交换机上设置ACL规则实现。例如,存储设备的VLANID为2126,不同于裸机1、裸机2、裸机3和裸机4对应的VLAN ID为2200,存储设备对应的子网为88.98.103.0,裸机1和裸机2对应的子网为88.98.100.0,裸机3和裸机4对应的子网88.98.104.0,换句话说,存储设备使用的网段为103,不同于裸机1和裸机2使用的网段100,也不同于裸机3和裸机4使用的网段104。不妨以裸机1和存储设备之间的互通为例:裸机1和存储设备位于不同的子网,可通过在核心交换机上设置允许裸机1的子网与存储设备的子网互访的ACL规则。例如,“rule 2permit 88.98.100.00.0.0.255destination88.98.103.0 0.0.0.255”,即可实现裸机1和存储设备之间的互通,由于裸机2和裸机1位于同一子网,该条ACL规则也可实现裸机2与存储设备互通。参考上述步骤可设置ACL规则以实现裸机3、裸机4分别与存储设备互通,在此不再赘述。
需要说明的是,在图3所示的组网中,使用了MUX-VLAN的交换机上不设置网关,网关设置在核心交换机上。
经过上述设置后,结合MUX-VLAN和ACL规则最终可以实现裸机1与裸机2不互通,裸机3和裸机4不互通,存储设备分别与裸机1、裸机2、裸机3和裸机4互通,裸机1分别与裸机3、裸机4不互通,裸机2分别与裸机3、裸机4不互通。
在一些可能的实施例中,图3所示的组网中还包括计算节点,例如:虚拟机1、虚拟机2、虚拟机3和虚拟机4,在组网中还包括虚拟机时,除了实现裸机与裸机的隔离、裸机和存储设备的互通外,还需控制裸机与虚拟机之间不互通。其中,虚拟机1、虚拟机2分别与接入交换机1的第四接口和第五接口连接,接入交换机1的第四接口和第五接口的VLAN的ID设置为2125,虚拟机3、虚拟机4分别与接入交换机2的第三接口和第五接口连接,接入交换机2的第三接口和第五接口的VLAN的ID设置为2125。在此情况下,要求虚拟机与裸机、存储设备使用不同的VLAN和不同的子网,由图3可知,虚拟机、裸机、存储设备三者使用的VLAN都不同,虚拟机1/2的子网相同,且不同于裸机的子网和存储设备的子网;虚拟机3/4的子网相同,且不同于虚拟机1/2、裸机和存储设备的子网。由于裸机和虚拟机位于不同的VLAN且不同的子网,可通过在核心交换机上设置相应的ACL规则以隔离裸机与虚拟机,以使裸机1、裸机2分别与虚拟机1、虚拟机2、虚拟机3、虚拟机4中的任意一个不互通且裸机3、裸机4分别与虚拟机1、虚拟机2、虚拟机3、虚拟机4中的任意一个不互通。至于虚拟机之间的通信与否以及虚拟机与存储设备之间通信与否,本申请不做具体限定。
需要说明的是,在设置裸机在该组网形态下的隔离和互通时,需注意在使用MUX-VLAN技术时,应尽量使用相同或者少量的VLAN ID,其同一个主VLAN仅能绑定一个隔离型的从VLAN,因此,裸机1/2与裸机3/4对应的VLAN ID相同。
参见图4,图4是本申请实施例提供的又一种裸机的组网示意图,如图4所示,该场景下包括多个裸机、多个接入交换机、核心交换机和存储设备,其中,存储设备通过接入交换机5与核心交换机连接,裸机1、裸机2通过接入交换机2与核心交换机连接,裸机3、裸机4通过接入交换机4与核心交换机连接。在一些可能的实施例中,图4所示的组网中还包括计算节点,例如,虚拟机1和虚拟机2,且虚拟机1、虚拟机2通过接入交换机3与核心交换机连接,可以看出,虚拟机和裸机不共用接入交换机。需要说明的是裸机、存储设备和虚拟机采用不同的子网。另外,在图4中,假设子网掩码默认为255.255.255.0。
裸机在该组网形态下隔离和互通仅通过ACL技术实现,即通过设置ACL规则实现裸机间的二层流量隔离和三层流量隔离、裸机与计算节点间的三层流量隔离、以及裸机与存储设备之间的互通,其具体实现为:
(1)同一接入交换机下裸机的隔离:同一接入交换机下的裸机使用相同的子网,在该接入交换机上设置ACL规则以使同一接入交换机下的裸机之间不互通,实现二层流量隔离。例如,以图4中的裸机3和裸机4为例,在接入交换机4上设置禁止裸机3所在子网与裸机4所在子网互访的ACL规则,例如“rule 1deny ip source 88.98.103.00.0.0.255destination88.98.103.0 0.0.0.255”。此外,参照上述步骤可设置ACL规则以实现图4中的接入交换机2下的裸机1和裸机2不互通,在此不再赘述。同一接入交换机下的裸机间的二层流量隔离可参照上述操作。
(2)不同接入交换机下的裸机间的隔离:不同接入交换机下的裸机的子网不同,在裸机对应的核心交换机上设置ACL规则以实现裸机在子网间的隔离,即实现了三层流量隔离。不妨以图4中接入交换机2下的裸机1和接入交换机4下的裸机3为例,裸机1和裸机3对应的接入交换机的接口使用的VLAN不同,且裸机1和裸机3使用的子网不同。若想裸机1和裸机3之间不能互通,在核心交换机上设置禁止裸机1所在的子网与裸机3所在的子网互访的ACL规则,例如,“rule 1deny ip source 88.98.100.0 0.0.0.255destination 88.98.103.00.0.0.255”(该条ACL规则可禁止裸机1访问裸机3)以及“rule 2deny ip source88.98.103.0 0.0.0.255destination 88.98.100.0 0.0.0.255”(该条ACL规则可禁止裸机3访问裸机1),故可实现裸机1和裸机3之间不互通。由于裸机1和裸机2位于同一子网,裸机3和裸机4位于同一子网,故上述设置的两条ACL规则还可实现图4中裸机1和裸机4不互通以及裸机2分别与裸机3、裸机4不互通。不同接入交换机下裸机间的隔离可参考上述操作。
(3)裸机与存储设备之间的互通:裸机和存储设备使用不同的VLAN和不同的子网,裸机和存储设备之间的互通可通过在核心交换机上设置ACL规则实现。不防以图4中的裸机3和存储设备的互通设置为例,裸机3和存储设备被配置不同的VLAN且不同的子网,配置接入交换机4的网关和接入交换机5的网关,并在核心交换机上设置允许裸机3和存储设备互访的ACL规则,例如,“rule 3permit ip source 88.98.103.0 0.0.0.255destination88.98.104.00.0.0.255”以及“rule 4permit ip source 88.98.104.00.0.0.255destination 88.98.103.0 0.0.0.255”,即可实现裸机3与存储设备互通,由于裸机4和裸机3位于同一子网,上述设置的rule3和rule4还可实现裸机4与存储设备互通。参照上述步骤可设置ACL规则以实现裸机1、裸机2分别与存储设备互通,在此不再赘述。
在一些可能的实施例中,图4所示的组网环境中还包括计算节点,例如,虚拟机1和虚拟机2,除了实现上述裸机间的隔离外,还需实现裸机与虚拟机的隔离。由于裸机和虚拟机采用不同的子网,因此,需要在核心交换机上设置禁止裸机与虚拟机互访的ACL规则以使裸机和虚拟机之间不互通,实现裸机与虚拟机之间的三层流量隔离。
在一些可能的实施例中,裸机和虚拟机也可能共用接入交换机,若裸机和虚拟机使用相同的VLAN且相同的子网,对于同一接入交换机,需要在该接入交换机上通过设置ACL规则控制裸机与裸机之间的二层流量隔离以及裸机与虚拟机之间的二层流量隔离;对于同一接入交换机,若裸机和虚拟机使用不同的VLAN且不同的子网,对于同一接入交换机,在该接入交换机上需通过设置ACL规则控制裸机与裸机之间的二层流量隔离以及裸机与虚拟机之间的三层流量隔离。至于不同接入交换机下裸机子网间的隔离以及裸机与虚拟机的隔离可参考前面相关叙述在核心交换机上设置,本申请不做限定。
需要说明的是,在图4所示的组网中,需要为每个接入交换机配置网关。
在一些可能的实施例中,接入交换机可以堆叠以便在有限的空间内提供尽可能多的接口,如图4所示,接入交换机1与接入交换机2堆叠,则接入交换机1的配置与接入交换机2的配置相同,即接入交换机1的VLAN的ID与接入交换机1的VLAN的ID相同,均为2124,接入交换机1的网关与接入交换机2的网关相同,均为88.98.100.2。另外,接入交换机1下连接有裸机5和裸机6,且裸机5/6和接入交换机2下的裸机1/2位于同一子网。在此情况下,要实现裸机1/2、裸机5/6任意两者之间彼此隔离,除了在接入交换机2上设置ACL规则禁止裸机1和裸机2互通外,还需在接入交换机2上设置ACL规则禁止裸机1分别与裸机5、裸机6互通以及禁止裸机2分别与裸机5、裸机6互通。同理,在接入交换机1上需设置ACL规则禁止裸机5与裸机6互通以及禁止裸机5、裸机6分别与裸机1、裸机5互通。由于裸1、裸机2、裸机5和裸机6位于同一VLAN同一子网,在接入交换机2上设置ACL规则禁止同网段间裸机的互访即可实现裸机1、裸机2、裸机3和裸机4中任意两者之间隔离,例如,“rule1deny ip source88.98.100.0 0.0.0.255destination 88.98.100.0 0.0.0.255”,接入交换机1上同样也设置该ACL规则实现裸机1、裸机2、裸机3和裸机4中任意两者之间隔离。另外,裸机5、裸机6分别与裸机3、裸机4之间的隔离的实现可参考上述规则对接入交换1和接入交换机2进行相应设置,在此不再赘述。
比较图3和图4的不同主要有两点,其一,同一接入交换机下相同VLAN相同子网的裸机间的隔离,图3是在该接入交换机上采用MUX-VLAN中的隔离型VLAN实现裸机间的二层流量隔离,而图4是在该接入交换机上设置ACL规则以禁止裸机间的互通,从而实现裸机间的二层流量隔离;其二,图3中裸机与虚拟机共用接入交换机,而图4中裸机与虚拟机不共用接入交换机,在大型组网环境下,图4的组网方式能降低意外事件对全局的影响,安全性更高。
需要说明的是,在图3和图4中,各裸机与租户的对应关系,本申请并不限定,但裸机与裸机之间均不能互通。也就是说,在图3和图4中,裸机与租户可以是一对一的关系,裸机与租户也可以是一对多的关系,但无论各裸机对应的租户相同或不同,各裸机之间均不能互通,各裸机只能与存储设备互通。
除了图3和图4所示的组网方式外,参见图5,本申请提供了另一种裸机的组网方式,在图5中,引入了租户与裸机的对应关系,在对组网中裸机的安全隔离要求不高的情况下,对于裸机间的隔离,可以是不同租户的裸机之间隔离,同一租户的裸机之间可以互通,且裸机与计算节点隔离,裸机与存储设备互通。图5所示的组网方式可以独立于图3和图4,也可以是对图3和图5的补充,本申请不做具体限定。
在图5中,存储设备和裸机使用不同的VLAN和不同的子网,存储设备通过接入交换机3与核心交换机连接,裸机1、裸机2通过接入交换机1与核心交换机连接,裸机3、裸机4通过接入交换机2与核心交换机连接。裸机1对应租户A,裸机2对应租户B,即裸机1和裸机2对应不同的租户,裸机3、裸机4均对应租户C。
由于裸机1和裸机2使用相同的VLAN和相同的子网,在接入交换机1上使用MUX-VLAN的隔离型从VLAN以实现裸机1和裸机2之间的二层流量隔离;裸机3和裸机4使用相同的VLAN和相同的子网,对应同一租户的裸机3和裸机4之间可互通。另外,裸机1/2和裸机3/4使用不同VLAN和不同的子网,在核心交换机上设置禁止裸机1分别与裸机3、裸机4互通的ACL规则以及设置禁止裸机2分别与裸机3、裸机4互通的ACL规则,从而实现不同租户对应的裸机间的隔离。对于各裸机与存储设备的互通,可以在核心交换机上通过ACL规则设置允许各裸机与存储设备互访。具体设置可参考图3或图4中的相关叙述,在此不再赘述。
在一些可能的实施例中,若图5所示的组网中有计算节点时,计算节点与裸机使用不同的子网,在此情况下,还需控制裸机与计算节点之间的隔离,即在核心交换机上设置禁止各裸机与计算节点互通的ACL规则,以实现三层流量隔离。具体过程可参考图3或图4中的相关叙述,在此不再赘述。
采用上述组网方法控制裸机在组网形态下的裸机间的隔离以及裸机和存储设备之间的互通,由此获得裸机所在组网形态下各交换机的配置信息。此外,还需对裸机自身的IP地址进行配置,即实现上述目标(2)。本申请实施例提出一种裸机IP地址自动配置方法,能代替手工配置裸机IP,提高了裸机IP配置的准确率和配置效率。参见图6,图6是本申请实施例提供的一种裸机IP地址自动配置方法,该方法包括但不限于以下步骤:
S101、裸机管理模块获取与裸机连接的接入交换机的配置信息。
本申请实施例中,裸机管理模块获取与裸机连接的接入交换机的配置信息,该配置信息包括接入交换机的标识(或者名称、编号等)、接入交换机的子网以及接入交换的标识与接入交换机的子网的映射关系。在一些可能的实施例中,该配置信息还包括接入交换机的各接口的VLAN ID、接入交换机的VLAN属性(即主VLAN、隔离型从VLAN、普通VLAN等)以及子网掩码等信息。在一些可能的实施例中,即若在接入交换上设置了ACL进行裸机间的二层流量隔离,该配置信息还包括接入交换机的网关。
具体地,网络管理员预先在云管理平台上基于上述图3-图4中至少一种所描述的组网方法对组建的存储网络中的接入交换机、核心交换机和存储设备进行配置,并将接入交换机、核心交换机以及存储设备的配置信息进行存储。当裸机管理模块需要对各裸机的IP地址进行自动配置时,裸机管理模块从云管理平台获取与裸机连接的接入交换机的配置信息即可。
S102、裸机管理模块获取裸机的硬件连接信息。
硬件连接信息指示了裸机与接入交换机的连接情况,硬件连接信息包括裸机的存储网卡的MAC地址、接入交换机的标识(或者名称、编号等)以及裸机的存储网卡的MAC地址与接入交换机的标识之间的连接映射关系。
本申请实施例中,裸机在根据租户自定义安装好操作系统后,裸机、接入交换机等上电后,裸机管理模块向裸机下达更新节点信息命令,裸机接收到命令后向裸机管理模块发送自身的链路层发现协议(link layer discovery protocol,lldp)信息,裸机管理模块从裸机的lldp信息中获取裸机的硬件连接信息。
S103、裸机管理模块根据配置信息和硬件连接信息分配裸机的IP地址。
本申请实施例中,裸机管理模块根据硬件连接信息确定裸机以及与该裸机连接的目标接入交换机的标识,在配置信息中查找该目标接入交换机的标识对应的子网,从而也就确定了该裸机所在子网的网络号;裸机管理模块还根据硬件连接信息确定该裸机存储网卡的MAC地址,根据该MAC地址为该裸机分配主机号,由此,即确定了该裸机的网络号和主机号,网络号和主机号组成该裸机的IP地址,故裸机管理模块完成了对该裸机的IP地址的分配。
在有多个裸机的情况下,裸机管理模块可以依据多个裸机的存储网卡的MAC地址的读取顺序,依次在对应子网内为各裸机分配主机号,从而避免了裸机的IP地址分配重复。
在一些可能的实施例中,裸机管理模块还可以根据硬件连接信息确定裸机以及与裸机连接的目标接入交换机以及目标接口,在配置信息中查找目标接入交换机的目标接口对应的VLAN ID以及对应的子网,从而也就确定了该裸机所在子网的网络号,然后再依据从硬件连接信息中读取各裸机的存储网卡的MAC地址的先后顺序,为各裸机分配主机号即可。
举例来说,假设硬件连接信息显示裸机1、裸机2分别与接入交换机1连接,裸机管理模块预为裸机1和裸机2分配IP地址,在配置信息中查找接入交换机1对应VLAN 2124、所在的子网为88.98.100.0,故裸机管理模块可以确定在子网88.98.100.0内为裸机1和裸机2分配IP地址;进一步地,在硬件连接信息中,根据裸机1的MAC地址和裸机2的MAC地址读取顺序依次为裸机1和裸机2分配主机号以防止主机号分配重复,最终,为裸机1分配的IP地址为88.98.100.10,为裸机2分配的IP地址为88.98.100.11。
需要说明的是,在分配好裸机的IP地址后,裸机管理模块将裸机的IP地址和该裸机的存储网卡的MAC地址存储于元数据中。
需要说明的是,若基于交换机的接口划分VLAN,根据与裸机连接的目标交换机的接口就可确定该裸机所在的子网。在一些可能的实施例中,若基于MAC地址划分VLAN,则存储设备获取到的硬件连接信息中包括裸机与连接裸机的交换机的MAC地址之间的映射关系,根据裸机对应的交换机的MAC地址可确定该裸机所在的子网。
S104、裸机从裸机管理模块获取分配的IP地址,设置裸机的IP地址为分配的IP地址。
本申请实施例中,裸机从裸机管理模块获取分配的IP地址,设置裸机的IP地址为分配的IP地址。具体地,裸机接收租户的启动命令,裸机内的存储Agent模块自启动,存储Agent模块从裸机管理模块的元数据中获取分配的IP地址,分配的IP地址与裸机的存储网卡的MAC地址对应,存储Agent模块将分配的IP地址作为裸机的IP地址,由此完成了对裸机的IP地址的自动分配。
在一些可能的实施例中,也可以采用动态主机配置协议(Dynamic HostConfiguration Protocol,DHCP)自动给裸机分配IP地址,本申请并不做具体限定。
可以看到,实施本申请实施例,基于裸机的组网配置信息和裸机的硬件连接信息自动为裸机配置IP地址,提高了裸机的IP地址配置的准确率和配置效率,提高了裸机对接存储设备的安全性。
在完成裸机的组网配置以及裸机IP地址的自动配置后,裸机与存储设备之间即可进行通信。为了进一步提高裸机和存储设备之间通信的安全性,在裸机向存储设备发送读操作或写操作命令时,需进行裸机和存储设备的CHAP认证,即实现上述目标(3)。在进行CHA认证前,需先配置裸机用于CHAP认证的用户名和用户密码。参见图7,图7是本申请实施例提供的一种CHAP认证的用户名和用户密码的配置方法流程图,该方法包括但不限于以下步骤:
S201、存储管理模块接收租户发送的第一请求。
本申请实施例中,云管理平台的存储管理模块接收租户发送的第一请求,第一请求包括租户信息、卷的大小和目标裸机的编号,第一请求用于指示存储管理模块为租户租用的目标裸机创建卷。
S202、存储管理模块设置租户的CHAP认证信息,建立目标裸机与卷的映射关系。
本申请实施例中,云管理平台的存储管理模块接收到租户发送的第一请求后,设置租户对应的CHAP认证信息,其中,CHAP认证信息包括至少一组用户名和用户密码,其中,用户名和用户密码用于租户租用的目标裸机与存储设置之间的CHAP认证。除此之外,存储设备根据第一请求中卷的大小为目标裸机分配对应的卷,每个卷都有一个唯一的逻辑单元号LUN,并建立目标裸机与卷的映射关系。
需要说明的是,当第一请求中的目标裸机的数量为一个时,CHAP认证信息中只有一组用户名和用户密码;当第一请求中的目标裸机的数量有多个时,CHAP认证信息包括多组用户名和用户密码,即存储管理模块为该租户创建了多组用户名和用户密码,即每个目标裸机对应一组用户名和用户密码,且不同的目标裸机对应的用户名和用户密码均不相同,换句话说,存储管理模块以目标裸机作为创建用户名和用户密码的依据,以提高目标裸机对接存储设备的安全性。
在一些可能的实施例中,当第一请求中的目标裸机的数量为多个时,存储管理模块也可以为该租户仅创建一组用户名和用户密码,也就是说,该租户租用的多个目标裸机共用这组用户名和用户密码,本申请不做具体限定。
S203、存储管理模块向存储设备发送CHAP认证信息。
本申请实施例中,存储管理模块向存储设备发送用于CHAP认证的用户名和用户密码,相应地,存储设备接收存储管理模块发送的用于CHAP认证的用户名和用户密码。
S204、裸机管理模块接收租户发送的第二请求。
本申请实施例中,裸机管理模块接收租户发送的第二请求,第二请求包括目标裸机的编号,第二请求用于指示裸机管理模块为目标裸机挂卷。
S205、裸机管理模块从存储管理模块获取租户的CHAP认证信息以及目标裸机与卷的映射关系。
本申请实施例中,裸裸机管理模块接收到第二请求后,从存储管理模块获取租户的CHAP认证信息以及目标裸机与卷的映射关系,根据目标裸机与卷的映射关系为目标裸机挂卷。
除此之外,裸机管理模块将目标裸机对应的卷的元数据发送给目标裸机。相应地,目标裸机内的存储Agent模块接收卷的元数据。
需要说明的是,无论是S203中存储管理模块向存储设备发送的CHAP认证信息,还是S204中裸机管理模块获取到的CHAP认证信息,都是经过加密处理的。加密处理过程中采用的可以是加密算法,例如,对称加密算法(如DES算法)、非对称加密算法(如RSA算法)等,还可以是哈希算法,例如,MD5算法等,本申请不做具体限定。
S206、目标裸机自启动,目标裸机从裸机管理模块获取对应的用户名和用户密码。
本申请实施例中,目标裸机接收租户发送的启动命令自启动,目标裸机内的存储Agent模块从裸机管理模块获取该目标裸机的用户名和用户密码。
需要说明的是,若目标裸机获取到的用户名和用户密码是经过加密的,相应地,目标裸机还需对获取到的用户名和用户密码进行解密,并将解密后的用户名和用户密码发送给目标裸机内的iSCSI启动器,以使目标裸机向存储设备发送读/写操作命令时裸机内的iSCSI启动器基于用户名和用户密码与存储设备进行CHAP认证,若对目标裸机的CHAP认证成功,则目标裸机可依据卷的元数据正常使用存储设备中对应的卷。CHAP认证的具体过程可参考下述相关叙述,为了说明书的简洁,在此不再赘述。
在一些可能的实施例中,若租户欲对裸机对应的用户名和用户密码进行更改,租户向存储管理模块发送第三请求,第三请求包括目标裸机的标识,第三请求用于指示存储管理模块更改CHAP认证信息中目标裸机对应的用户名和用户密码,存储管理模块将更改后的CHAP认证信息重新发送给存储设备和裸机管理模块。租户重新启动目标裸机,目标裸机自启动后从裸机管理模块获取对应的已更改的用户名和用户密码,由此完成了裸机的用于CHAP认证的用户名和用户密码的更新。
可以看到,实施本申请实施例,在裸机访问存储设备之前,对裸机用于CHAP认证的用户名和用户密码进行配置,以使后续裸机与存储设备之间进行CHAP认证,提高了裸机对接存储设备的安全性,有助于实现裸机以安全、可信的方式对接基于iSCSI协议的存储设备。
在完成裸机的用于CHAP认证的用户名和用户密码后,在裸机向存储设备发送读操作或写操作命令时,存储设备向发出访问请求的裸机发起CHAP认证,以验证裸机是否有访问权限,在验证成功的情况下,裸机才能对存储设备进行读操作或写操作。参见图8,图8是本申请实施例提供的一种裸机对接存储设备时的CHAP认证方法流程图,该方法包括但不限于以下步骤:
S301、存储设备向裸机发送挑战信息。
具体地,存储设备向裸机发送挑战信息,挑战信息包括随机数据和CHAP ID,随机数据是存储设备随机生成的,CHAP ID也由存储设备生成。需要说明的是,CHAP ID不仅与随机数据对应,CHAP ID还与裸机对应。相应地,裸机接收存储设备发送的挑战信息。
需要说明的是,CHAP认证过程中裸机与存储设备之间的消息的交互实际为裸机的iSCSI启动器(initiator)与存储设备的iSCSI目标器(target)之间的交互。
S302、裸机对第一用户密码和挑战信息进行处理获得第一哈希值。
具体地,裸机接收到存储设备发送的挑战信息后,挑战信息包括随机数据和CHAPID,从存储空间获取自身的第一用户密码,基于消息摘要算法第五版(Message-DigestAlgorithm 5,MD5)对第一用户密码、随机数据和CHAP ID进行计算获得第一哈希值。
MD5算法是一种被广泛应用的密码杂凑函数,对于任意长度信息的输入,经过MD5算法的处理后,可产生一个128位(16字节)的散列值(Hash value),也可以称之为哈希值,且不同的输入得到的散列值是不同,因此,MD5算法可用于确保信息传输的完全一致。MD5对输入数据处理获得第一哈希值的过程可参考现有技术,在此不再赘述。
需要说明的是,在存储设备向裸机发送挑战信息之前,裸机预先从裸机管理模块获取第一用户密码和第一用户名,第一用户密码与第一用户名对应。裸机在被创建时,裸机管理模块从存储设备的存储管理模块处获取该裸机对应的第一用户名和第一用户密码。
S303、裸机向存储设备发送响应信息。
具体地,在获得第一哈希值后,裸机向存储设备发送响应信息以使存储设备基于响应信息对裸机的身份进行验证,响应信息包括第一哈希值、裸机的第一用户名和CHAPID,其中,CHAP ID即为S1中存储设备发送给该裸机的。相应地,存储设备接收裸机发送的响应信息。
S304、存储设备对第二用户密码和响应信息进行处理获得第二哈希值。
具体地,存储设备接收到响应信息后,根据响应信息中的第一用户名查找映射信息获得第一用户名对应的第二用户密码,映射信息包括第一用户名和第二用户密码之间的对应关系,映射信息存储于出存储设备中。存储设备还根据响应信息中的CHAP ID获取CHAPID对应的随机数据,并采用MD5算法对第二用户密码、随机数据和CHAP ID进行处理获得第二哈希值。
S305、存储设备比较第一哈希值和第二哈希值是否相同,获得CHAP认证结果。
具体地,存储设备比较第一哈希值和第二哈希值是否相同,获得CHAP认证结果。具体地,若第一哈希值与第二哈希值相同,则CHAP认证结果为认证成功,即说明裸机的身份合法;若第一哈希值与第二哈希值不同,则CHAP认证结果为认证失败,即说明裸机的身份不合法。
S306、存储设备向裸机发送CHAP认证结果。
具体地,存储设备将CHAP认证结果发送给裸机,相应地,裸机接收存储设备发送的CHAP认证结果。当接收到的CHAP认证结果指示认证成功时,即说明该裸机身份合法且存储设备存在与该裸机映射的卷,裸机有权限使用存储设备的与映射的卷;当接收到的CHAP认证结果指示认证失败时,即说明该裸机身份不合法,裸机无权使用存储设备的存储空间。
可以看到,在裸机访问存储设备前,增加对裸机和存储设备进行CHAP认证过程以判断裸机是否有权限使用存储设备的存储空间,提高了多租户场景下裸机对接存储设备过程中的安全性,有效防止了裸机的iSCSI启动器的暴力破解。
参见图9,图9是本申请提供的一种装置的结构示意图,装置21至少包括一个或者多个处理单元210、外部存储器220、通信接口230以及总线240,所示处理单元210、外部存储器220和通信接口230通过总线240连接。装置21可以是图1中的云管理平台。
总线240可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线240可以分为地址总线、数据总线、控制总线等。
通信接口230可以为有线接口或无线接口,用于与其他模块或设备进行通信,有线接口可以是以太接口、控制器局域网络(controller area network,CAN)接口、局域互联网络(local interconnect network,LIN)以及FlexRay接口,无线接口可以是蜂窝网络接口或使用无线局域网接口等。本申请实施例中,通信接口230可分别用于实现与裸机、存储设备的交互。
外部存储器220可以包括易失性存储器(volatile memory),例如随机存取存储器(random access memory,RAM);存储器220也可以包括非易失性存储器(non-volatilememory),例如只读存储器(read-only memory,ROM)、快闪存储器(flash memory)、硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器220还可以包括上述种类的组合。外部存储器可用于存储可执行程序代码以及程序数据,存储的代码有:裸机IP地址配置程序、各交换机的配置程序、存储设备IP配置程序、卷创建指令、挂卷指令、其他应用程序等;存储的数据有:各交换机的配置数据、裸机IP地址的分配信息、裸机的硬件连接信息、裸机的CHAP认证信息等。
处理单元210可以调用并执行外部存储器220中的程序代码以及数据以实现组建存储网络、配置存储网络的各交换机和存储设备以及分配裸机的IP地址等具体操作。处理单元210包括处理器211,例如,中央处理器(Central Processing Unit,CPU)。CPU可以采用复杂指令集计算(Complex Instruction Set Computer,CISC)架构(例如,x86架构)、精简指令集计算机(Reduced Instruction Set Computing,RISC)架构(例如,MIPS(Microprocessor without Interlocked Piped Stages)架构)等等。
处理单元210还可以包括内部存储器212,芯片组,寄存器等等。
内部存储器212用于保存处理器211刚用过或循环使用的指令或数据,例如,高速缓冲存储器等等。如果处理器211需要再次使用该指令或数据,可从内部存储器212中直接调用,减少了处理器211的等待时间,因而提高了系统的效率。当内部存储器212中的内存数据页和存储器231中的数据页上的内容不一致时,可以称这个内存数据页为脏页;当内部存储器212中的内存数据页和存储器231中的数据页上的内容一致时,可以称这个内存数据页为干净页。
芯片组可以包括北桥芯片214,用于负责处理器211和内部存储器212之间的数据传输。可选地,芯片组还可以包括南桥芯片213,南桥芯片213的一端通过北桥芯片210连接处理器211,另一端连接各种外部设备的接口。在一些具体实施例中,北桥芯片214可以集成到处理器211中,或者,部分南桥芯片213的功能被集成到北桥芯片214中,或者,南桥芯片213可以集成到处理器211中,或者,南桥芯片213集成到北桥芯片214中等等。
寄存器是有限存贮容量的高速存贮部件,它们可用来暂存指令、数据和地址等等OS状态数据,例如,指令寄存器(IR)、程序计数器(PC)以及累加器(ACC)等。
参见图10,图10是本申请提供的一种装置的功能结构示意图,装置30包括组建单元310和配置单元311。该装置30可以通过硬件、软件或者软硬件结合的方式来实现。
其中,组建单元310用于组建存储网络,存储网络包括多个裸机、接入交换机、核心交换机和存储设备;多个裸机与接入交换机连接,多个接入交换机与核心交换机连接,核心交换机与存储设备连接;配置单元311用于配置存储网络,以使多个裸机中的每个裸机与存储设备互通以及多个裸机中的任意两个裸机之间相互隔离。在一些可能的实施例中,装置30还包括分配单元312,分配单元312用于裸机IP的自动配置。
该装置30的各功能模块可用于实现图3-图7实施例所描述的方法,组建单元310可用于实现图3-图5中任一实施例所示存储网络的组网,配置单元311可用于实现图3-图5中任一实施例所示存储网络的配置。在图6实施例中,分配单元312可用于执行S101-S103。该装置30的各功能模块还可用于执行图7实施例所述的方法,为了说明书的简洁,在此不再赘述。
参见图11,图11是本申请提供的一种装置的功能结构示意图,装置40包括:装置40包括发送单元410、接收单元411和认证单元412。该装置40可以通过硬件、软件或者软硬件结合的方式来实现。
其中,发送单元410用于向装置50发送挑战信息,接收单元411用于接收装置50发送的响应信息,认证单元412用于根据响应信息对装置50的身份进行CHAP认证,获得CHAP认证结果,发送单元410还用于将CHAP认证结果发送给装置50。
该装置40的各功能模块可用于实现图8实施例所描述的方法。在图8实施例中,发送单元410可用于执行S301和S306,接收单元411可用于执行S303,认证单元412用于执行S304和S305。该装置40的各功能模块还可用于执行图7实施例所述的方法,为了说明书的简洁,在此不再赘述。
参见图12,图12是本申请提供的一种装置的功能结构示意图,装置50包括接收单元510、处理单元511和发送单元512。该装置50可以通过硬件、软件或者软硬件结合的方式来实现。
其中,接收单元510用于向接收装置40发送的挑战信息,处理单元511用于对挑战信息进行处理获得第一哈希值,发送单元512用于向装置40发送响应信息,接收单元510还用于接收装置40发送的CHAP认证结果。
该装置50的各功能模块可用于实现图8实施例所描述的方法。在图8实施例中,接收单元510可用于执行S301和S306,处理单元511可用于执行S302,发送单元512用于执行S303。该装置50的各功能模块还可用于执行图7实施例所述的方法,为了说明书的简洁,在此不再赘述。
在本文上述的实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其他实施例的相关描述。
需要说明的是,本领域普通技术人员可以看到上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random AccessMemory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、一次可编程只读存储器(One-time Programmable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是个人计算机,服务器,或者网络设备、机器人、单片机、芯片、机器人等)执行本申请各个实施例所述方法的全部或部分步骤。
Claims (27)
1.一种裸机的对接存储方法,其特征在于,所述方法应用于云管理平台,所述方法包括:
组建存储网络,所述存储网络包括多个裸机、接入交换机、核心交换机和存储设备;所述多个裸机与所述接入交换机连接,所述多个接入交换机与所述核心交换机连接,所述核心交换机与所述存储设备连接;
配置所述存储网络,以使所述多个裸机中的每个裸机与所述存储设备互通以及所述多个裸机中的任意两个裸机之间相互隔离。
2.根据权利要求1所述的方法,其特征在于,所述多个裸机包括第一裸机和第二裸机,所述配置所述存储网络,包括:
在所述接入交换机上采用复合虚拟局域网MUX-VLAN对所述第一裸机和所述第二裸机进行隔离,所述第一裸机、所述第二裸机分别与所述接入交换机连接,所述第一裸机和所述第二裸机位于同一VLAN且同一子网。
3.根据权利要求1所述的方法,其特征在于,所述多个裸机包括第一裸机和第二裸机,所述配置所述存储网络,包括:
在所述接入交换机上设置第一访问控制列表对所述第一裸机和所述第二裸机进行隔离,所述第一裸机、所述第二裸机分别与所述接入交换机连接,所述第一裸机和所述第二裸机位于同一VLAN且同一子网。
4.根据权利要求2或3所述的方法,其特征在于,所述多个裸机还包括第三裸机和第四裸机,所述配置所述存储网络,包括:
在所述核心交换机上设置第二访问控制列表对所述第三裸机和所述第四裸机进行隔离,所述第三裸机和所述第四裸机分别通过不同的接入交换机与所述核心交换机连接,所述第三裸机和所述第四裸机位于不同的子网。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述配置所述存储网络,包括:
在所述核心交换机上设置第三访问控制列表以使所述多个裸机中的每个裸机与所述存储设备互通,所述每个裸机与所述存储设备位于不同的VLAN且不同的子网。
6.根据权利要求1-5任一项所述的方法,其特征在于,在所述存储网络还包括计算节点的情况下,所述配置所述存储网络,还包括:
在所述核心交换上设置第四访问控制列表以使所述多个裸机中的每个裸机与所述计算节点隔离,所述每个裸机与所述计算节点位于不同的VLAN且不同的子网。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述多个裸机中的每个裸机的IP地址是基于所述每个裸机连接的接入交换机的子网和所述每个裸机的MAC地址自动配置的。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述多个裸机中的每个裸机与所述存储设备互通之后,在所述每个裸机访问所述存储设备之前,所述每个裸机通过了所述存储设备发起的CHAP认证。
9.根据权利要求8所述的方法,其特征在于,所述多个裸机中的每个裸机对应一组用于所述CHAP认证的用户名和用户密码,不同的裸机对应的所述用户名和所述用户密码不同。
10.一种装置,其特征在于,所述装置包括:
组建单元,用于组建存储网络,所述存储网络包括多个裸机、接入交换机、核心交换机和存储设备;所述多个裸机与所述接入交换机连接,所述多个接入交换机与所述核心交换机连接,所述核心交换机与所述存储设备连接;
配置单元,用于配置所述存储网络,以使所述多个裸机中的每个裸机与所述存储设备互通以及所述多个裸机中的任意两个裸机之间相互隔离。
11.根据权利要求10所述的装置,其特征在于,所述多个裸机包括第一裸机和第二裸机,所述配置单元,具体用于:
在所述接入交换机上采用复合虚拟局域网MUX-VLAN对所述第一裸机和所述第二裸机进行隔离,所述第一裸机、所述第二裸机分别与所述接入交换机连接,所述第一裸机和所述第二裸机位于同一VLAN且同一子网。
12.根据权利要求10所述的装置,其特征在于,所述多个裸机包括第一裸机和第二裸机,所述配置单元,具体用于:
在所述接入交换机上设置第一访问控制列表对所述第一裸机和所述第二裸机进行隔离,所述第一裸机、所述第二裸机分别与所述接入交换机连接,所述第一裸机和所述第二裸机位于同一VLAN且同一子网。
13.根据权利要求11或12所述的装置,其特征在于,所述多个裸机还包括第三裸机和第四裸机,所述配置单元,具体用于:
在所述核心交换机上设置第二访问控制列表对所述第三裸机和所述第四裸机进行隔离,所述第三裸机和所述第四裸机分别通过不同的接入交换机与所述核心交换机连接,所述第三裸机和所述第四裸机位于不同的子网。
14.根据权利要求10-13任一项所述的装置,其特征在于,所述配置单元,具体用于:
在所述核心交换机上设置第三访问控制列表以使所述多个裸机中的每个裸机与所述存储设备互通,所述每个裸机与所述存储设备位于不同的VLAN且不同的子网。
15.根据权利要求10-14任一项所述的装置,其特征在于,在所述存储网络还包括计算节点的情况下,所述配置单元,还用于:
在所述核心交换上设置第四访问控制列表以使所述多个裸机中的每个裸机与所述计算节点隔离,所述每个裸机与所述计算节点位于不同的VLAN且不同的子网。
16.根据权利要求10-15任一项所述的装置,其特征在于,所述多个裸机中的每个裸机的IP地址是基于所述每个裸机连接的接入交换机的子网和所述每个裸机的MAC地址自动配置的。
17.根据权利要求10-16任一项所述的装置,其特征在于,所述多个裸机中的每个裸机与所述存储设备互通之后,在所述每个裸机访问所述存储设备之前,所述每个裸机通过了所述存储设备发起的CHAP认证。
18.根据权利要求17所述的装置,其特征在于,所述多个裸机中的每个裸机对应一组用于所述CHAP认证的用户名和用户密码,不同的裸机对应的所述用户名和所述用户密码不同。
19.一种裸机的存储系统,其特征在于,所述存储系统包括多个裸机、接入交换机、核心交换机和存储设备;所述多个裸机与所述接入交换机连接,所述多个接入交换机与所述核心交换机连接,所述核心交换机与所述存储设备连接;
所述多个裸机中的每个裸机与所述存储设备互通,所述多个裸机中的任意两个裸机之间相互隔离。
20.根据权利要求19所述的系统,其特征在于,所述多个裸机包括第一裸机和第二裸机,
所述接入交换机上设置有复合虚拟局域网MUX-VLAN,所述MUX-VLAN使得所述第一裸机与所述第二裸机隔离,所述第一裸机、所述第二裸机分别与所述接入交换机连接,所述第一裸机和所述第二裸机位于同一VLAN且同一子网。
21.根据权利要求19所述的系统,其特征在于,所述多个裸机包括第一裸机和第二裸机,
所述接入交换机上设置有第一访问控制列表,所述第一访问控制列表使得所述第一裸机与所述第二裸机隔离,所述第一裸机、所述第二裸机分别与所述接入交换机连接,所述第一裸机和所述第二裸机位于同一VLAN且同一子网。
22.根据权利要求20或21所述的系统,其特征在于,所述多个裸机还包括第三裸机和第四裸机,
所述核心交换机上设置有第二访问控制列表,所述第二访问控制列表使得所述第三裸机与所述第四裸机隔离,所述第三裸机和所述第四裸机分别通过不同的接入交换机与所述核心交换机连接,所述第三裸机和所述第四裸机位于不同的子网。
23.根据权利要求19-22任一项所述的系统,其特征在于,
所述核心交换机上设置有第三访问控制列表,所述第三访问控制列表使得所述多个裸机中的每个裸机与所述存储设备互通,所述每个裸机与所述存储设备位于不同的VLAN且不同的子网。
24.根据权利要求19-23任一项所述的系统,其特征在于,在所述存储系统还包括计算节点的情况下,所述核心交换上还设置有第四访问控制列表,所述第四访问控制列表使得所述多个裸机中的每个裸机与所述计算节点隔离,所述每个裸机与所述计算节点位于不同的VLAN且不同的子网。
25.根据权利要求19-24任一项所述的系统,其特征在于,所述多个裸机中的每个裸机的IP地址是基于所述每个裸机连接的接入交换机的子网和所述每个裸机的MAC地址自动配置的。
26.根据权利要求19-25任一项所述的系统,其特征在于,所述多个裸机中的每个裸机与所述存储设备互通之后,在所述每个裸机访问所述存储设备之前,所述每个裸机通过了所述存储设备发起的CHAP认证。
27.根据权利要求26所述的系统,其特征在于,所述多个裸机中的每个裸机对应一组用于所述CHAP认证的用户名和用户密码,不同的裸机对应的所述用户名和所述用户密码不同。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011034957.XA CN114362976A (zh) | 2020-09-27 | 2020-09-27 | 一种裸机的对接存储方法、装置及系统 |
| EP21871557.1A EP4207680A4 (en) | 2020-09-27 | 2021-09-23 | METHOD, APPARATUS AND SYSTEM FOR SECURING A BARE MACHINE TO STORAGE |
| PCT/CN2021/119967 WO2022063188A1 (zh) | 2020-09-27 | 2021-09-23 | 一种裸机的对接存储方法、装置及系统 |
| US18/189,573 US12166823B2 (en) | 2020-09-27 | 2023-03-24 | Bare-metal connection storage method and system, and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011034957.XA CN114362976A (zh) | 2020-09-27 | 2020-09-27 | 一种裸机的对接存储方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114362976A true CN114362976A (zh) | 2022-04-15 |
Family
ID=80844945
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011034957.XA Pending CN114362976A (zh) | 2020-09-27 | 2020-09-27 | 一种裸机的对接存储方法、装置及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US12166823B2 (zh) |
| EP (1) | EP4207680A4 (zh) |
| CN (1) | CN114362976A (zh) |
| WO (1) | WO2022063188A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115776439A (zh) * | 2022-10-18 | 2023-03-10 | 北京思特奇信息技术股份有限公司 | 裸金属服务器的Underlay网络配置方法及系统 |
| CN115913821A (zh) * | 2022-09-28 | 2023-04-04 | 山东浪潮科学研究院有限公司 | 业务平面隔离方法、装置、电子设备、存储介质及产品 |
| CN116827781A (zh) * | 2023-08-28 | 2023-09-29 | 云宏信息科技股份有限公司 | 一种裸机、存储设备自动关联方法、系统、设备及介质 |
| WO2024113776A1 (zh) * | 2022-11-28 | 2024-06-06 | 华为云计算技术有限公司 | 数据传输方法以及相关设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013169535A1 (en) * | 2012-05-10 | 2013-11-14 | Cisco Technology, Inc. | Method and apparatus for supporting access control lists in a multi-tenant environment |
| CN109120494A (zh) * | 2018-08-28 | 2019-01-01 | 无锡华云数据技术服务有限公司 | 在云计算系统中接入物理机的方法 |
| CN109302466A (zh) * | 2018-09-18 | 2019-02-01 | 华为技术有限公司 | 数据处理方法、相关设备及计算机存储介质 |
| WO2019047612A1 (zh) * | 2017-09-11 | 2019-03-14 | 清华大学 | 基于闪存的存储路径优化的键值存储管理方法 |
| CN109525497A (zh) * | 2017-09-18 | 2019-03-26 | 华为技术有限公司 | 一种流量分组方法、数据中心网络系统以及控制器 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9171024B1 (en) * | 2009-03-31 | 2015-10-27 | Symantec Corporation | Method and apparatus for facilitating application recovery using configuration information |
| US10057347B2 (en) * | 2015-02-13 | 2018-08-21 | International Business Machines Corporation | Protocol independent storage discovery and enablement |
| CN106375176B (zh) * | 2016-08-29 | 2019-01-22 | 无锡华云数据技术服务有限公司 | 一种物理机接入云平台的方法 |
| US20180167415A1 (en) * | 2016-12-08 | 2018-06-14 | Wanclouds Inc. | System and Method for Simplifying Mandatory Access Control Policies |
| US10171344B1 (en) * | 2017-02-02 | 2019-01-01 | Cisco Technology, Inc. | Isolation of endpoints within an endpoint group |
| CN109218053A (zh) * | 2017-07-03 | 2019-01-15 | 中兴通讯股份有限公司 | 虚拟数据中心的实现方法、系统和存储介质 |
| US11163887B2 (en) * | 2018-02-14 | 2021-11-02 | Microsoft Technology Licensing, Llc | Clearance of bare metal resource to trusted state usable in cloud computing |
| CN110753093B (zh) * | 2019-09-29 | 2022-11-29 | 苏州浪潮智能科技有限公司 | 云计算系统中设备的管理方法和装置 |
| US11496519B1 (en) * | 2019-11-29 | 2022-11-08 | Amazon Technologies, Inc. | Managing security in isolated network environments |
| US11748133B2 (en) * | 2020-04-23 | 2023-09-05 | Netapp, Inc. | Methods and systems for booting virtual machines in the cloud |
-
2020
- 2020-09-27 CN CN202011034957.XA patent/CN114362976A/zh active Pending
-
2021
- 2021-09-23 EP EP21871557.1A patent/EP4207680A4/en active Pending
- 2021-09-23 WO PCT/CN2021/119967 patent/WO2022063188A1/zh unknown
-
2023
- 2023-03-24 US US18/189,573 patent/US12166823B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013169535A1 (en) * | 2012-05-10 | 2013-11-14 | Cisco Technology, Inc. | Method and apparatus for supporting access control lists in a multi-tenant environment |
| WO2019047612A1 (zh) * | 2017-09-11 | 2019-03-14 | 清华大学 | 基于闪存的存储路径优化的键值存储管理方法 |
| CN109525497A (zh) * | 2017-09-18 | 2019-03-26 | 华为技术有限公司 | 一种流量分组方法、数据中心网络系统以及控制器 |
| CN109120494A (zh) * | 2018-08-28 | 2019-01-01 | 无锡华云数据技术服务有限公司 | 在云计算系统中接入物理机的方法 |
| CN109302466A (zh) * | 2018-09-18 | 2019-02-01 | 华为技术有限公司 | 数据处理方法、相关设备及计算机存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| YANG HU、HUIBA LI、YUXING PENG: ""NVLAN: A Novel VLAN Technology for Scalable Multi-tenant Datacenter Networks"", 《2014 SECOND INTERNATIONAL CONFERENCE ON ADVANCED CLOUD AND BIG DATA》, 13 August 2015 (2015-08-13) * |
| 胡念: ""面向OpenFlow交换机的高性能流表查找方法研究"", 《信息科技》, 15 June 2019 (2019-06-15) * |
| 顾佳男、郑蓓蕾、翁楚良: ""面向云平台非可信Hypervisor的保护机制综述"", 《信息科技》, 1 April 2020 (2020-04-01) * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115913821A (zh) * | 2022-09-28 | 2023-04-04 | 山东浪潮科学研究院有限公司 | 业务平面隔离方法、装置、电子设备、存储介质及产品 |
| CN115776439A (zh) * | 2022-10-18 | 2023-03-10 | 北京思特奇信息技术股份有限公司 | 裸金属服务器的Underlay网络配置方法及系统 |
| WO2024113776A1 (zh) * | 2022-11-28 | 2024-06-06 | 华为云计算技术有限公司 | 数据传输方法以及相关设备 |
| CN116827781A (zh) * | 2023-08-28 | 2023-09-29 | 云宏信息科技股份有限公司 | 一种裸机、存储设备自动关联方法、系统、设备及介质 |
| CN116827781B (zh) * | 2023-08-28 | 2023-11-24 | 云宏信息科技股份有限公司 | 一种裸机、存储设备自动关联方法、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4207680A1 (en) | 2023-07-05 |
| US20230231915A1 (en) | 2023-07-20 |
| EP4207680A4 (en) | 2024-03-20 |
| WO2022063188A1 (zh) | 2022-03-31 |
| US12166823B2 (en) | 2024-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2022063188A1 (zh) | 一种裸机的对接存储方法、装置及系统 | |
| CN102571698B (zh) | 一种虚拟机访问权限的控制方法、系统及装置 | |
| US9619417B2 (en) | Method and apparatus for remote delivery of managed USB services via a mobile computing device | |
| JP6505704B2 (ja) | ミドルウェアマシン環境において入出力(i/o)デバイスのホストベースのインバンド/サイドバンドファームウェアアップグレードをサポートするためのシステムおよび方法 | |
| US9294443B2 (en) | Secure integration of hybrid clouds with enterprise networks | |
| TWI360781B (en) | Method for configuring a computer device using loa | |
| US10972449B1 (en) | Communication with components of secure environment | |
| WO2013173973A1 (zh) | 网络通信方法和装置 | |
| US20200159555A1 (en) | Provider network service extensions | |
| US20250030692A1 (en) | Controller-based system for controlling network access, and method therefor | |
| CN104584507A (zh) | 通过交换站对第一设备进行认证 | |
| US20240340283A1 (en) | Authentication and enforcement of differentiated policies for a bridge mode virtual machine behind a wireless host in a mac based authentication network | |
| CN114942826A (zh) | 跨网络多集群系统及其访问方法及云计算设备 | |
| JP7581390B2 (ja) | プロバイダネットワークサービス拡張 | |
| WO2023134557A1 (zh) | 一种基于工业互联网标识的处理方法及装置 | |
| EP3942770B1 (en) | Chained trusted platform modules (tpms) as a secure bus for pre-placement of device capabilities | |
| CN110115012B (zh) | 一种秘密信息的分发方法和设备 | |
| CN118590330B (zh) | 一种容器的通信方法和服务节点 | |
| CN111917683B (zh) | 安全交互方法、计算节点、控制中心、云平台及存储介质 | |
| CN116015692A (zh) | 一种网络准入控制方法、装置、终端及存储介质 | |
| WO2023107462A1 (en) | Limiting use of encryption keys in an integrated circuit device | |
| CN118075108A (zh) | 配置方法、装置、发送设备、节点设备和配置系统 | |
| CN117972670A (zh) | 云端容器镜像的搭建方法及装置 | |
| CN116800554A (zh) | 一种接入方法、装置、设备和可读存储介质 | |
| CN118266195A (zh) | 用于计算服务扩展位置处的受管第2层连接的虚拟网络接口 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |