[发明专利]一种基于OpenStack实现虚拟机安全隔离的方法

权利要求书

1.一种基于OpenStack实现虚拟机安全隔离的方法，其特征在于，包括：

通过Nova组件，创建第一可用区域AZ与第二AZ，所述第一AZ为接入内网业务的服务机的集合，所述第二AZ为接入隔离区DMZ互联网业务的服务机的集合，所述第一AZ和第二AZ分别连接有接入的服务机生成的若干个计算节点；

对接入所述第一AZ的服务机的网卡分配第一物理链路接入方式，所述服务机包含2个或2个以上的网卡，所述网卡用于管理网络以及为在所述服务机上创建的虚拟机业务网络提供网络服务，所述第一接入方式用于接入管理网络交换机和内网交换机；

对接入所述第二AZ的服务机的网卡分配第二物理链路接入方式，所述服务机包含2个或2个以上的网卡，所述网卡用于管理网络以及为在所述服务机上创建的虚拟机业务网络提供网络服务，所述第二接入方式用于接入管理网络交换机和DMZ区交换机；

选取接入所述第一AZ的服务机，为所述服务机配置第一动态服务机配置协议DHCP服务，所述服务机包括至少一台服务机，所述第一DHCP服务用于为创建的内网业务虚拟机获取IP地址；

选取接入所述第二AZ的服务机，为所述服务机配置第二DHCP服务，所述服务机包括至少一台服务机，所述第二DHCP服务用于为创建的互联网业务虚拟机获取IP地址。

2.根据权利要求1所述的方法，其特征在于，选取接入所述第二AZ的服务机之后，为所述服务机配置第二DHCP服务之前，所述方法还包括：

检测所述服务机是否完成Openstack-neutron软件包的安装；

若是，为所述服务机配置第二DHCP服务；

若否，则提示用户安装所述软件包。

3.根据权利要求1所述的方法，其特征在于，对接入所述第一AZ的服务机的网卡分配第一物理链路接入方式包括：

对接入所述第一AZ的计算节点管理网卡和控制节点管理网卡均接入管理网络交换机，业务网卡接入内网交换机，所述内网交换机端口为trunk模式，用于透传指定的业务网络vlan。

4.根据权利要求1所述的方法，其特征在于，对接入所述第二AZ的服务机的网卡分配第二物理链路接入方式包括：

对接入所述第二AZ的计算节点管理网卡统一接入管理网络交换机，业务网卡接入所述DMZ区交换机，所述DMZ区交换机端口设置trunk模式，用于透传对应业务网络vlan。

5.根据权利要求2所述的方法，其特征在于，为所述服务机配置第二DHCP服务包括：

修改dhcp agent配置文件，所述dhcp agent为OpenStack平台提供的功能组件，所述配置文件为所述Openstack-neutron软件包下的文件；

启动dhcp agent服务；

配置网络调度策略，并重启网络服务，为网络中的虚拟机提供DHCP服务。

6.根据权利要求1至5中任一项所述的方法，其特征在于，所述第二AZ中接入互联网的虚拟机所在宿主服务机接受OpenStack发出的管理及向控制节点请求调用。