一种云资源池中跨安全域资源共享的方法及系统

摘要

本发明公开了一种云资源池中跨安全域资源共享的方法及系统，其中，该方法包括：云计算资源管理平台配置资源池，将多个网络安全域规划在同一个资源池中；云计算资源管理平台采集包括服务器在内的各个网元的数据，以进行性能分析，得到资源需求；云计算资源管理平台采取预配置的服务器安全策略，根据所述资源需求进行所述同一个资源池中的资源动态调度，以动态变更服务器的业务网络设置及网络安全设置，使服务器在同一资源池内跨安全域迁移，实现服务器跨安全域的动态资源共享。

说明书

技术领域

本发明涉及共享技术，尤其涉及一种云资源池中跨安全域资源共享的方法及系统。

背景技术

本申请发明人在实现本申请实施例技术方案的过程中，至少发现相关技术中存在如下技术问题：

在多个安全域网络环境中，利用成熟的技术对IT基础架构进行资源整合，要求在服务器数量大幅减少的情况下，提高计算资源的灵活共享，并尽可能地维持原有安全域环境，以满足企业的网络安全规范要求。对于未做虚拟化的物理服务器，常规的思路是：为服务器添加尽可能多的网卡，以满足多个网络安全域的接入需要。而服务器网卡扩展能力比较有限，因此目前常见的设计方法是：

方案1、对于安全性要求比较高的应用系统，着重考虑安全性的要求，分别为相应安全域规划独立的资源池，以独立资源池的方式来构造，从如图1所示的独立安全域与资源池的构造示意图可以看出：是以一个资源池对应一个安全域，更好地为计算资源及应用环境的安全性提供保障。

方案2、对于安全性要求一般的应用系统，着重考虑计算资源的灵活共享要求，可将原有的多个安全域整合为一个大的安全域，同时规划一个大的资源池，从如图2所示的整合安全域与资源池的构造示意图可以看出：是以一个大的资源池对应一个大的安全域，更好地实现计算资源的灵活共享和动态迁移。

通过对上述方案的分析可知，现有技术存在的缺点为：传统思路下进行IT基础架构整合，安全与资源利用率之间必须做出选择。对安全性要求高的应用 系统适用于“独立安全域与资源池”方式，维持原有安全规范的要求可以得到保障，但这种方式使不同安全域之间的资源无法实现共享，资源利用率比较低；对安全性要求一般的应用系统适用于“整合安全域与资源池”方式，资源池内的物理服务器资源可以实现有限范围内资源共享，但所有应用部署在一个大的安全域内，应用系统的安全性较整合前将会有所降低。

如果简单的采用“一个资源池对应多个安全域”的接入方式，将增大后期的运维工作量和风险。比如，计算资源需要从安全域1变更到安全域2，将面临机房空间(准备与搬迁)、电力、跳线、网络配置更新、系统重新部署等变更工作，且对资源的手工简单调整在一个整合集中式环境中无疑是一个巨大的风险点。

综上所述，现有的跨安全域技术只能实现跨安全域的访问，但无法实现物理服务器资源的跨安全域动态迁移，所以存在安全与资源利用率之间无法兼得的局限。

发明内容

有鉴于此，本发明实施例希望提供一种云资源池中跨安全域资源共享的方法及系统，至少解决了现有技术存在的问题。

本发明实施例的技术方案是这样实现的：

本发明实施例的一种云资源池中跨安全域资源共享的方法，该方法包括：

云计算资源管理平台配置资源池，将多个网络安全域规划在同一个资源池中；

云计算资源管理平台采集包括服务器在内的各个网元的数据，以进行性能分析，得到资源需求；

云计算资源管理平台采取预配置的服务器安全策略，根据所述资源需求进行所述同一个资源池中的资源动态调度，以动态变更服务器的业务网络设置及网络安全设置，使服务器在同一资源池内跨安全域迁移，实现服务器跨安全域的动态资源共享。

上述方案中，所述云计算资源管理平台采取预配置的服务器安全策略，根据所述资源需求进行所述同一个资源池中的资源动态调度，以动态变更服务器的业务网络设置及网络安全设置，包括：

云计算资源管理平台根据资源需求进行调度时进行判断，得到判断结果；

如果所述判断结果为能回收符合所述资源需求的服务器资源，则由所述云计算资源管理平台重新配置；

如果所述判断结果为不能回收符合所述资源需求的服务器资源，则所述云计算资源管理平台处于回收轮询状态，直到回收到所述资源需求的服务器资源后重新分配。

上述方案中，所述云计算资源管理平台采取预配置的服务器安全策略，根据所述资源需求进行所述同一个资源池中的资源动态调度，以动态变更服务器的业务网络设置及网络安全设置，还进一步包括：

云计算资源管理平台根据资源调度结果，确认需要动态共享调整的服务器集合；

云计算资源管理平台根据对应所述资源需求的安全域，动态配置所述服务器集合中服务器的网络IP配置及网络安全策略，并调用至少包括IPtables的网元进行网络安全控制。

上述方案中，所云计算资源管理平台配置资源池，包括：

将所述资源池划分为预设固定资源和可调动态资源；

所述预设固定资源为：根据系统架构规划而预先配置好资源，不需要进行更改；

所述可调动态资源为：基于资源的实际使用情况，根据业务计算需要进行动态调度的资源。

上述方案中，所述方法还包括：

通过将所述资源池的业务网与管理网分别从服务器的不同网络端口接入不同的交换机，将所述资源池在业务网与管理网上实现物理上的相互独立，从物理层面上实现了完全的隔离；

所述管理网为所述资源池提供管理服务；所述业务网为所述资源池上各服务器对外提供服务的网络，承载各个业务系统的数据。

上述方案中，所述可调动态资源包括：

服务器安全策略、业务IP地址和业务网络VLAN；

所述方法还包括：

在所述服务器上根据运行的业务，基于所述服务器安全策略，执行所述管理网与所述业务网之间的隔离，从物理层面上实现不可互访；

在所述交换机上，通过所述业务网络VLAN的方式从逻辑层面上隔离不同安全域的数据，且使交换机与防火墙上的端口物理隔离，实现二层网络隔离。

上述方案中，所述根据所述分析结果进行所述同一个资源池中的资源动态调度，使服务器在同一资源池内跨安全域迁移，实现服务器跨安全域的动态资源共享，包括：

获取所述同一资源池中当前安全域资源申请，根据所述分析结果得到当前可供调度的所述可调动态资源；

通过所述可调动态资源来实现对服务器跨安全域的资源共享。

上述方案中，所述通过所述可调动态资源来实现对服务器跨安全域的资源共享，包括：

所述第一服务器集合中的至少一个服务器初始工作于所述业务网中的第一安全域；

当检测到所述第一服务器集合中有服务器取消与第一安全域的关联并从所述第一安全域中释放出来，处于空闲状态时，将所述服务器确定为闲置服务器，通过所述闲置服务器构成第二服务器集合；

获取第二安全域的资源申请或第二安全域至第j安全域的资源申请，所述云计算资源管理平台调度所述第二服务器集合中的闲置服务器与所述第二安全域或所述第二安全域至第j安全域进行对应关联，使所述第二服务器集合中的闲置服务器工作于所述第二安全域或所述第二安全域至第j安全域，以实现对服务器跨安全域的资源共享。

本发明实施例的一种云资源池中跨安全域资源共享的系统，该系统包括：

云计算资源池管理平台，用于配置资源池，将多个网络安全域规划在同一个资源池中；采集包括服务器在内的各个网元的数据，以进行性能分析，得到资源需求；采取预配置的服务器安全策略，根据所述资源需求进行所述同一个资源池中的资源动态调度，以动态变更服务器的业务网络设置及网络安全设置，使服务器在同一资源池内跨安全域迁移，实现服务器跨安全域的动态资源共享；

所述服务器，用于接受所述云计算资源池管理平台的动态调度，以在同一资源池内跨安全域迁移，实现跨安全域的动态资源共享。

上述方案中，所述云计算资源管理平台，进一步用于根据资源需求进行调度时进行判断，得到判断结果；如果所述判断结果为能回收符合所述资源需求的服务器资源，则由所述云计算资源管理平台重新配置；如果所述判断结果为不能回收符合所述资源需求的服务器资源，则所述云计算资源管理平台处于回收轮询状态，直到回收到所述资源需求的服务器资源后重新分配。

上述方案中，所述云计算资源管理平台，进一步用于根据资源调度结果，确认需要动态共享调整的服务器集合；根据对应所述资源需求的安全域，动态配置所述服务器集合中服务器的网络IP配置及网络安全策略，并调用至少包括IPtables的网元进行网络安全控制。

上述方案中，所述云计算资源管理平台，进一步用于在所述第一服务器集合中的至少一个服务器初始工作于所述业务网中的第一安全域的情况下，当检测到所述第一服务器集合中有服务器取消与第一安全域的关联并从所述第一安全域中释放出来，处于空闲状态时，将所述服务器确定为闲置服务器，通过所述闲置服务器构成第二服务器集合；获取第二安全域的资源申请或第二安全域至第j安全域的资源申请，所述云计算资源管理平台调度所述第二服务器集合中的闲置服务器与所述第二安全域或所述第二安全域至第j安全域进行对应关联，使所述第二服务器集合中的闲置服务器工作于所述第二安全域或所述第二安全域至第j安全域，以实现对服务器跨安全域的资源共享。

本发明实施例的云资源池中跨安全域资源共享的方法，该方法包括：云计 算资源管理平台配置资源池，将多个网络安全域规划在同一个资源池中；云计算资源管理平台采集包括服务器在内的各个网元的数据，以进行性能分析，得到资源需求；云计算资源管理平台采取预配置的服务器安全策略，根据所述资源需求进行所述同一个资源池中的资源动态调度，以动态变更服务器的业务网络设置及网络安全设置，使服务器在同一资源池内跨安全域迁移，实现服务器跨安全域的动态资源共享。

采用本发明实施例，通过云计算资源管理平台的调配，能进行所述同一个资源池中的资源动态调度，使服务器在同一资源池内跨安全域迁移，实现了服务器跨安全域的动态资源共享。

附图说明

图1为现有独立安全域与资源池的构造示意图；

图2为现有整合安全域与资源池的构造示意图；

图3为本发明实施例的方法流程示意图；

图4为应用本发明实施例的多安全域共享资源池场景的架构示意图；

图5为应用本发明实施例的二层组网场景的安全隔离示意图；

图6为应用本发明实施例的资源池逻辑组成场景的示意图；

图7为应用本发明实施例的物理服务器动态调度场景的流程图。

具体实施方式

下面结合附图对技术方案的实施作进一步的详细描述。

本发明实施例的一种云资源池中跨安全域资源共享的方法，如图3所示，该方法包括：

步骤101、云计算资源管理平台配置资源池，将多个网络安全域规划在同一个资源池中；

步骤102、云计算资源管理平台采集包括服务器在内的各个网元的数据，以进行性能分析，得到资源需求；

步骤103、云计算资源管理平台采取预配置的服务器安全策略，根据所述资源需求进行所述同一个资源池中的资源动态调度，以动态变更服务器的业务网络设置及网络安全设置，使服务器在同一资源池内跨安全域迁移，实现服务器跨安全域的动态资源共享。

在本发明实施例一实施方式中，所述云计算资源管理平台采取预配置的服务器安全策略，根据所述资源需求进行所述同一个资源池中的资源动态调度，以动态变更服务器的业务网络设置及网络安全设置，包括：云计算资源管理平台根据资源需求进行调度时进行判断，得到判断结果；如果所述判断结果为能回收符合所述资源需求的服务器资源，则由所述云计算资源管理平台重新配置；如果所述判断结果为不能回收符合所述资源需求的服务器资源，则所述云计算资源管理平台处于回收轮询状态，直到回收到所述资源需求的服务器资源后重新分配。

在本发明实施例一实施方式中，所述云计算资源管理平台采取预配置的服务器安全策略，根据所述资源需求进行所述同一个资源池中的资源动态调度，以动态变更服务器的业务网络设置及网络安全设置，还进一步包括：云计算资源管理平台根据资源调度结果，确认需要动态共享调整的服务器集合；云计算资源管理平台根据对应所述资源需求的安全域，动态配置所述服务器集合中服务器的网络IP配置及网络安全策略，并调用至少包括IPtables的网元进行网络安全控制。

在本发明实施例一实施方式中，所云计算资源管理平台配置资源池，包括：

将所述资源池划分为预设固定资源和可调动态资源；

所述预设固定资源为：根据系统架构规划而预先配置好资源，不需要进行更改；

所述可调动态资源为：基于资源的实际使用情况，根据业务计算需要进行动态调度的资源。

在本发明实施例一实施方式中，所述方法还包括：通过将所述资源池的业务网与管理网分别从服务器的不同网络端口接入不同的交换机，将所述资源池 在业务网与管理网上实现物理上的相互独立，从物理层面上实现了完全的隔离。

其中，所述管理网为所述资源池提供管理服务；所述业务网为所述资源池上各服务器对外提供服务的网络，承载各个业务系统的数据。

在本发明实施例一实施方式中，所述可调动态资源包括：服务器安全策略、业务IP地址和业务网络VLAN；

所述方法还包括：在所述服务器上根据运行的业务，基于所述服务器安全策略，执行所述管理网与所述业务网之间的隔离，从物理层面上实现不可互访；在所述交换机上，通过所述业务网络VLAN的方式从逻辑层面上隔离不同安全域的数据，且使交换机与防火墙上的端口物理隔离，实现二层网络隔离。

在本发明实施例一实施方式中，所述根据所述分析结果进行所述同一个资源池中的资源动态调度，使服务器在同一资源池内跨安全域迁移，实现服务器跨安全域的动态资源共享，包括：获取所述同一资源池中当前安全域资源申请，根据所述分析结果得到当前可供调度的所述可调动态资源；通过所述可调动态资源来实现对服务器跨安全域的资源共享。

在本发明实施例一实施方式中，所述通过所述可调动态资源来实现对服务器跨安全域的资源共享，包括：

a1、所述第一服务器集合中的至少一个服务器初始工作于所述业务网中的第一安全域；

a2、当检测到所述第一服务器集合中有服务器取消与第一安全域的关联并从所述第一安全域中释放出来，处于空闲状态时，将所述服务器确定为闲置服务器，通过所述闲置服务器构成第二服务器集合；

a3、获取第二安全域的资源申请或第二安全域至第j安全域的资源申请，所述云计算资源管理平台调度所述第二服务器集合中的闲置服务器与所述第二安全域或所述第二安全域至第j安全域进行对应关联，使所述第二服务器集合中的闲置服务器工作于所述第二安全域或所述第二安全域至第j安全域，以实现对服务器跨安全域的资源共享。

本发明实施例的一种云资源池中跨安全域资源共享的系统，该系统包括： 云计算资源池管理平台和服务器，其中，云计算资源池管理平台用于配置资源池，将多个网络安全域规划在同一个资源池中；采集包括服务器在内的各个网元的数据，以进行性能分析，得到资源需求；采取预配置的服务器安全策略，根据所述资源需求进行所述同一个资源池中的资源动态调度，以动态变更服务器的业务网络设置及网络安全设置，使服务器在同一资源池内跨安全域迁移，实现服务器跨安全域的动态资源共享享；所述服务器用于接受所述云计算资源池管理平台的动态调度，以在同一资源池内跨安全域迁移，实现跨安全域的动态资源共享。

在本发明实施例一实施方式中，所述云计算资源管理平台，进一步用于根据资源需求进行调度时进行判断，得到判断结果；如果所述判断结果为能回收符合所述资源需求的服务器资源，则由所述云计算资源管理平台重新配置；如果所述判断结果为不能回收符合所述资源需求的服务器资源，则所述云计算资源管理平台处于回收轮询状态，直到回收到所述资源需求的服务器资源后重新分配。

在本发明实施例一实施方式中，所述云计算资源管理平台，进一步用于根据资源调度结果，确认需要动态共享调整的服务器集合；根据对应所述资源需求的安全域，动态配置所述服务器集合中服务器的网络IP配置及网络安全策略，并调用至少包括IPtables的网元进行网络安全控制。

在本发明实施例一实施方式中，所云计算资源管理平台，进一步用于配置资源池时，将所述资源池划分为预设固定资源和可调动态资源；

其中，所述预设固定资源为：根据系统架构规划而预先配置好资源，不需要进行更改；所述可调动态资源为：基于资源的实际使用情况，根据业务计算需要进行动态调度的资源。

在本发明实施例一实施方式中，所述系统还包括：管理网和业务网；

所述管理网，用于为所述资源池提供管理服务，所述云计算资源池管理平台位于所述管理网；所述业务网，用于为所述资源池上各服务器对外提供服务的网络，承载各个业务系统的数据；所述多个网络安全域和所述资源池位于所 述业务网；

所述云计算资源池管理平台，进一步用于通过所述管理网实现对资源池的调度管理，通过将所述资源池的业务网与管理网分别从服务器的不同网络端口接入不同的交换机，将所述资源池在业务网与管理网上实现物理上的相互独立，从物理层面上实现了完全的隔离。

在本发明实施例一实施方式中，所述可调动态资源包括：服务器安全策略、业务IP地址和业务网络VLAN；

所述云计算资源池管理平台，进一步用于控制在所述服务器上根据运行的业务，基于所述服务器安全策略，执行所述管理网与所述业务网之间的隔离，从物理层面上实现不可互访；

以及，控制在所述交换机上，通过所述业务网络VLAN的方式从逻辑层面上隔离不同安全域的数据，且使交换机与防火墙上的端口物理隔离，实现二层网络隔离。

在本发明实施例一实施方式中，所述云计算资源池管理平台，进一步用于获取所述同一资源池中当前安全域资源申请，根据所述分析结果得到当前可供调度的所述可调动态资源；通过所述可调动态资源来实现对服务器跨安全域的资源共享。

在本发明实施例一实施方式中，所述云计算资源池管理平台，进一步用于在所述第一服务器集合中的至少一个服务器初始工作于所述业务网中的第一安全域的情况下，当检测到所述第一服务器集合中有服务器取消与第一安全域的关联并从所述第一安全域中释放出来，处于空闲状态时，将所述服务器确定为闲置服务器，通过所述闲置服务器构成第二服务器集合；获取第二安全域的资源申请或第二安全域至第j安全域的资源申请，所述云计算资源管理平台调度所述第二服务器集合中的闲置服务器与所述第二安全域或所述第二安全域至第j安全域进行对应关联，使所述第二服务器集合中的闲置服务器工作于所述第二安全域或所述第二安全域至第j安全域，以实现对服务器跨安全域的资源共享。

以下对应用本发明实施例的应用场景描述如下：

针对x86架构机架式PC服务器的场景而言，应用本发明实施例，具体为一种云资源池中x86架构机架式PC服务器跨安全域资源共享的方案，简单来说，是通过设备组网设计和服务器与交换机链接方式的调整，以云计算资源管理平台作为管控工具，实现X86架构机架式PC服务器在同一资源池内跨安全域浮动，做到同一资源池内计算资源共享，即：能实现X86架构机架式PC服务器资源的跨安全域动态迁移，以解决物理服务器跨安全域的动态资源共享问题，既提高资源的利用率，又能满足网络安全域的安全规范要求，做到既确保网络安全，又可以同时提高资源利用率，兼顾二者的需求。

具体的，采用“一个资源池内各安全域之间资源共享”的方式，即为各网络安全域共同规划一个大的资源池，同时利用云计算资源池管理平台对资源池内的资源进行性能采集、分析告警和动态调度，从而灵活地实现不同安全域之间的资源共享；同时，在资源池内采用二层组网技术，实现不同安全域资源的逻辑安全隔离，从而确保现有安全域的安全边界保持不变，主要包括以下内容：

一、在物理服务器构成的云资源池中，通过对动态资源的灵活调度控制来实现物理服务器跨安全域资源共享。云资源池的业务网与管理网物理上相互独立，管理网络和业务网络分别从物理主机的不同的网络端口接入不同的物理网络交换机，从物理层面实现了完全的隔离。其中，管理网是为云资源池的管理服务，属于内部管理系统，云计算资源池管理平台位于该管理网，该管理网承载包括资源池配置管理、数据收集、资源动态调整、性能数据和告警等数据；业务网是云资源池上各应用服务器对外提供服务的网络，承载的数据是各个业务系统的数据。

二、核心是云计算资源池管理平台，云计算资源管理平台通过管理网实现对资源池的调度管理；将云资源池划分为：预设固定资源和可调动态资源两部分。通过对可调动态资源的灵活调度控制来实现物理服务器跨安全域资源共享，是本发明的核心技术。可调动态资源是指需要根据资源的实际使用情况，根据业务计算需要进行动态调度的资源。通过资源的动态调度，可方便灵活地实现资源的跨安全域共享，提高资源利用率。

三、动态资源主要包括：服务器安全策略、业务IP地址和业务网络VLAN；服务器根据运行的业务，配置具体的安全策略，做到管理网络和业务网络之间隔离，不可互访；在交换机上，通过VLAN方式逻辑隔离不同安全域数据，交换机与防火墙上端口物理隔离，实现真正的二层网络隔离的跨安全域的物理服务器资源共享。

图4为应用本发明实施例的多安全域共享资源池场景的架构示意图，该架构中主要涉及云资源池(如x86架构机架式PC服务器)、云计算资源池管理平台、管理网、业务网以及各网络安全域。其中，业务网与管理网相互独立，云计算资源管理平台位于所述管理网，并通过管理网实现对资源池的调度管理，提高管理平台的安全性，避免受生产网业务流量的影响。多个网络安全域(网络安全域1-网络安全域n)在一个云资源池中，被所述云计算资源池管理平台所控制，动态进行资源调度。多个网络安全域和该云资源池位于业务网。

图5为应用本发明实施例的二层组网场景的安全隔离示意图，资源池的系统逻辑架构如图5所示，具体包括物理服务器、业务网络接口绑定设备(BOND)、交换机、管理平台和网络安全域(Secure Zone)等部分，本发明实施例通过对逻辑架构中各组件的规划配置和灵活调度，实现资源的跨网络安全域资源共享和安全域的边界安全。不同安全域服务器之间的数据流如图5中的粗体虚线所示。

图6为应用本发明实施例的资源池逻辑组成场景的示意图，由图6可见，资源池逻辑组成主要包括：

(1)管理网络交换机(M-SW)：用于资源池设备与管理平台互连；

(2)服务器管理端口(eth0)：用于连接管理网络；

(3)服务器管理IP地址：服务器与管理网络通信用IP地址；

(4)服务器安全策略：控制服务器与管理网络和业务网络信息交互的策略，基本的安全策略原则：a、管理网络与业务网络之间不互通；b、服务器管理网络只对管理平台开放，不允许其他服务器之间通过管理网络互通；c、服务器业务网络只提供指定业务数据交互，不支持系统用户通过业务网络登录服务器；d、 安全策略由管理平台动态调整；

(5)服务器业务IP地址：用于提供业务数据交互的IP地址，该地址由资源管理平台根据具体业务需求动态设定，该IP地址配置在虚拟接口bond0.xxx，其中xxx表示业务IP地址所在VLAN的VLAN ID。

(6)服务器业务网络端口绑定(bond0)：业务网络接口绑定设备，默认为bond0；

(7)服务器业务网络接口：连接业务交换机的服务器网络接口，默认为2个网络接口；

(8)业务链路：服务器业务网络接口与业务交换机之间的互连链路，该链路在交换机上的网络接口，须工作在trunk模式；

(9)业务VLAN：业务交换机(S-SW)上的VLAN，云计算资源管理平台将根据业务需求动态地对交换机中的VLAN进行调整；

(10)安全链路：业务交换机与防火墙之间的数据链路。

(11)Secure Zone：网络安全域，原生产网规划的网络安全域，有明确的网络安全边界和安全规范要求，不同安全域之间通过核心交换区实现网络互连互通。

云计算资源池管理平台通过管理网实现对资源池的调度管理的前提是：本发明实施例预先将资源池划分为两个部分：预设固定资源和可调动态资源。通过对其中的所述可调动态资源的灵活调度控制来实现物理服务器跨安全域资源共享，是本发明的核心，以下具体阐述：

1)预设固定资源

预设固定资源是指根据系统架构规划，可预先配置好的资源，一般情况下这部分资源配置不需要进行更改，确保整个云计算网络架构的稳定、可靠和安全性。固定资源主要包括(1)M-SW、(2)服务器网络接口、(3)服务器管理IP地址、(6)业务网络接口绑定、(7)服务器业务网络接口、(8)业务数据链路、(10)安全链路和(11)Secure Zone等部分，其部署方式如下：

第一部分：上述(1)-(2)-(7)-(8)-(10)-(11)部分，是根据资 源池预先规划互连并配置好，实现整个资源池设备之间的物理链路固定，同时为(2)配上IP地址(3)；

第二部分：上述(6)服务器业务网络端口绑定(bond0)的bond部分，将服务器上两个业务网络接口进行绑定，绑定设备bind0工作模式应为4(BONDING_OPTS＝"mode＝4")；

2)可调动态资源

可调动态资源是指需要根据资源的实际使用情况，根据业务计算需要进行动态调度的资源。通过资源的动态调度，可方便灵活地实现资源的跨安全域共享，提高资源利用率。动态资源主要包括：

第一部分：上述(4)服务器安全策略，根据服务器上运行实际业务，由资源管理平台对其进行动态调整；

第二部分：上述(5)服务器业务IP地址，该地址由云计算资源管理平台动态进行分配和回收，业务IP地址设置在虚拟接口bond0.xxx(xxx代表业务IP地址所在VLAN的VLAN ID)，同时进行分配和回收的资源还包括业务网段网关；

第三部分：上述(9)业务网络VLAN，云计算资源管理平台将根据实际情况调整交换机中的VLAN，以及与服务器互连端口所允许通过的具体VLAN流量。

图7为应用本发明实施例的物理服务器动态调度场景的流程图，本发明实施例针对资源动态共享实现而言，是通过云计算资源池管理平台对预设固定资源和可调动态资源的信息采用分析、资源分配、安全域网络接入检查、资源调度关联等，实现计算资源跨安全域快速部署和动态分配，满足同一资源池中各安全域的资源申请需要；同时，对空闲的资源可通过取消相应安全域的动态资源关联，进行资源释放回收，真正实现云计算环境下资源池的灵活性和可伸缩性。结合图7，说明跨安全域资源共享的具体流程，包括以下初始配置过程及步骤201-208的应用资源共享的过程。

初始配置过程包括：待分配的物理服务器处于默认配置状态，此时服务器 远程带外管理接口可远程访问，系统管理接口可远程访问；业务网络接口上无IP地址，同时业务接口与业务交换机之间通过TRUNK接口互连，链路状态为物理UP，逻辑DOWN；服务器的安全配置为只允许指定系统用户(scmcc)从指定IP地址(管理网络)通过ssh远程登陆，其它任何用户不允许远程登陆，除了SSH之外，服务器不对外提供任何服务。一句话，处于待分配状态的物理服务器，只提供受限SSH服务，无任何其它服务对外提供。

步骤201，用户向云资源池管理平台提交物理服务器的资源需求，资源需求中包含资源数量、资源配置需求、资源用途以及资源所属的安全域等信息，如下表1所示；

表1

需要指出的是，表1中的网络端口bondx.12，bondx是指业务网络所用的网络接口(如bond0，或者bond1)，12是指具体该服务IP地址所在的vlan ID。

步骤202，云资源池管理平台根据用户的资源需求，对资源池中空闲物理服务器状态进行匹配，如果目前资源池有足够的闲置资源可以满足需求，则进行步骤204，如果没有闲置资源，则进行步骤203；

这里，空闲物理服务器，可以通过管理网络与管理平台进行通信，但该服务器不属于任何业务网络安全域。本方案中所说的“跨安全域”是指跨业务网络的安全域。举例：某台物理服务器一开始工作在业务网络的安全域X中；一段时间后，该服务器被从业务网络的安全域X中释放出来，处于空闲状态；当业务网络的安全域Y需要增加物理服务器时，则该服务器可以通过管理平台使其工作在业务网络的安全域Y中。

步骤203，云资源池管理平台根据资源需求进行调度，如果能回收足够的物理服务器资源交给云资源池管理平台重新配置，如果不能回收足够的物理服务器则处于回收轮询状态，知道回收够的物理服务器，并将其交给资源池管理平台重新分配。

步骤204，云资源池管理平台根据资源调度结果，确认需要动态共享调整的服务器集合A；

步骤205，云资源池管理平台根据需求的安全域，动态配置服务器集合A中物理服务器的网络ip配置及网络安全策略，如下表2所示；

管理IP地址服务IP地址默认网关主机名10.95.1.410.112.110.8610.112.110.1webservice110.95.1.710.112.110.8810.112.110.1webservise2

表2

本步骤中，首先，通过云计算资源管理平台检查服务器上的操作系统是否满足要求，如果不满足则调用安装部署系统进行操作系统制备，通过用户的申请内容，云计算资源管理平台将进行操作系统管理网络设置，包括管理IP地址和网关。接下来进行业务服务IP地址及其网关的设置。

然后，云计算资源管理平台将通过运维工具，通过下发配置文件的方式对操作系统进行安全设置，包括两个部分：通用安全设置，以及针对具体业务的单独的安全设置。这里会用到Iptables、PAM、RBAC等安全技术。

针对通用安全设置而言，1)对于网络安全方面来说，是通过IPtables工具只允许云计算资源管理平台和跳板机允许访问服务器的SSH服务以及ping服务器的管理IP地址，拒绝任何其它网络流量；2)对于操作系统安全方面来说，是修改远程登陆服务SSH的服务端口，将默认的TCP 22端口修改为大于1024的高端口，如TCP 41022端口。通过PAM，只允许用于操作系统管理的用户，如osadm，能远程登陆操作系统，拒绝其它所有用户登录系统；只允许操作系统管理用户(osadm)进行用户切换(su)；对用户的密码强度和复杂度进行强制校验。

针对具体业务的安全设置而言，1)对于网络安全方面来说，是通过IPtables在业务网络上放开具体的服务端口，例如，放开业务网络的TCP 80服务；允许通过业务网络ping通该服务器的业务IP地址；2)对于系统安全方面来说，是通过PAM，允许与该业务相关的操作系统用户，如oracle，从跳板机通过SSH登陆系统；限制业务相关操作系统用户不能通过服务器登陆其它系统(由于业务需求，做了信任的服务器除外)。

下表3所示是管理地址为10.95.1.4的服务器(归属于服务器集合A)，通过云管理平台配置后的网络安全对比：

表3

从表3可以看出，服务器未分配之前管理网络是可用的，而业务网络则未做任何配置，即该服务器不属于任何业务网络。因此，服务器未分配之前只能与云管理平台进行通信。服务器被分配之后，则服务器管理网络仍然保持不变，单新增了业务网络，从业务网络的安全策略可以看出，业务网络只对外提供业务信息，非业务信息无法通过业务网络进行交互，所有的管理相关的操作必须通过管理平台或者指定的跳板机登陆服务器进行相关操作。

物理服务器跨安全域的核心就是通过云管理平台动态变更服务器的业务网络设置，并调用IPtables进行网络安全控制。同时，采用PAM以及RBAC等技术进行系统用户安全限制，以增强系统的安全性。

步骤206，云资源池管理平台部署系统根据需求在服务器集合A上进行业务部署，包括操作系统用户的创建等。

步骤207，云资源池管理平台根据业务IP地址所在VLAN，在对应的交换机上进行相应设置，限制交换机互连端口上的VLAN流量，无关VLAN的流量拒绝通信。

步骤208，云资源池管理平台根据资源共享调度结果更新资源池信息，将调度的资源交付请求的用户；

至此，跨安全域资源共享的流程结束。

采用本发明实施例，基于云计算资源管理平台对x86架构机架式PC服务器与交换机之间联动管理，以及对物理服务器网络和操作系统的安全策略实施，实现了资源动态调度，相对应现有技术相比，在确保满足现有安全域网络架构和安全策略保持不变的同时，真正实现了在同一资源池中各安全域共享物理服务器资源。

本发明实施例所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本发明实施例不限制于任何特定的硬件和软件结合。

相应的，本发明实施例还提供一种计算机存储介质，其中存储有计算机程序，该计算机程序用于执行本发明实施例的云资源池中跨安全域资源共享的方法。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。