1. 需求背景 随着云计算和大数据技术的发展,政府金融各单位业务逐渐往云上迁移,部署了安全资源池需要对业务进行引流,当租户业务IP变化时需要重新配置交换机引流策略增加运维成本。 资源池4.0.13版本的netconf对接功能针对此场景,打通了安全资源池平台与外部引流交换机,实现在CSSP平台中直接对交换机进行配置引流策略,将租户业务流量引至安全资源池达到业务安全,便于提高运维效率。
2. 实现方法 CSSP4.0.13版本的资源池安装netconf插件,开启对接交换机功能,通过netconf协议实现下发策略路由到交换机。
3. 配置指导
3.1. 配置思路 l 资源池安装netconf对接插件 l 接入需要对接的交换机(交换机需要支持) l 在资源池创建引流策略
3.2. 配置步骤 步骤1. 导入netconf对接插件 打开【资源池】->【插件管理】页面,点击新增插件或直接拖动插件安装包至页面虚框部分,即可实现插件的导入,插件导入后,将自动进行安装操作,执行结果可以在任务球中检查。导入成功后,页面将展示交换机引流插件的图标和版本等基本信息。
步骤2. 初始化插件,让交换机引流插件功能生效
步骤3. 新建netconf对接 在netconf对接页面中,点击左侧交换机列表的+号按钮,输入交换机名称、管理IP等相关配置信息即可新增交换机。
配置信息字段介绍如下: 名称:自定义输入的每个交换机的特定唯一称呼 设备类型:目前只支持华为和华三交换机 设备版本: 华为(E6850-V200R002C50SPC800、CE6855-V200R005C10SPC800、CE7855-V200R005C10SPC800、CE12808-V200R002C50SPC800)版本, 华三(S5820-V7.1.070Release2416、S6900-V7.1.070Release2702)版本 管理IP:交换机管理IP Netconf端口、账号、密码:交换机的Netconf账号配置信息 新增交换机成功后,页面左侧交换机列表中将展示连接上的交换机。 步骤4. 在页面策略列表中,点击新增,在新增弹窗中即可选择接口配置引流策略:
填写引流策略名称,支持自定义; 上行口和下行口支持下拉选择,上行口选择接近互联网一侧接口,下行口选择近业务虚拟机侧接口; IP选填,关联租户之后引流的IP段默认已包含租户业务系统地址段,如果需要引流的IP不在租户业务中需要手动添加,只支持IPv4的格式; 下一跳接口支持下拉选择,选择引流交换机与安全资源池CSSP对接的引流接口; 下一跳地址填写资源池的互联IP。 新增引流策略成功后,将在页面右侧策略列表中展示刚新增的策略。 步骤5. 将引流策略和租户业务系统进行关联,点击蓝色数值,配置策略关联租户业务系统, 完成租户关联之后,交换机就会生成策略路由。 注意:通过netconf配置的策略路由,上行口入方向的策略是源IP是所有,目的是关联的租户的业务IP段加上引流策略IP,下一跳给到资源池;下行口出方向的策略是源IP是关联的租户的业务IP段加上引流策略IP,目的IP是所有,下一跳给到资源池。 租户业务系统IP发生改动后,支持同步租户业务系统IP到交换机策略,实现引流实时更新,需要在策略列表中点击租户业务同步,才能对该交换机下所有策略的关联租户的业务系统进行更新。
4. 注意事项 l 新增交换机连接时管理IP只支持IPv4格式,需要保证资源池管理IP和交换机管理IP路由可达,不支持对同一台交换机进行多次新增连接; l 当资源池和交换机连通性异常的情况下无法对交换机连接进行编辑; l 新增引流策略时配置的IP支持单个IP地址和子网格式IP地址,策略IP与下一跳地址不能IP冲突,只支持IPv4,最大支持配置48行IP记录,如果配置了48行IP条目,关联租户业务系统时最多只支持关联租户业务系统128行记录,关联时超过总数176行时会提示关联租户失败; l 同一个交换机接口只能作为上下行接口使用一次,即一条策略使用了该接口做为上下行接口,再新增策略就不能使用该接口作为上下行接口了,下一跳接口没有限制; l 每个对接的交换机最多支持新增下发128条交换机策略,接口最多支持获取256个接口(新增引流策略时下拉框的接口); l 引流策略里面配置的IP与租户业务系统IP不能存在IP冲突,否则将导致下发失败; l 多条引流策略支持关联同一个业务系统; l 租户业务系统IP修改后,策略中不会自动修改引流IP,需要手动执行租户业务同步任务; l 租户业务同步操作会对该交换机中所有已关联租户的策略进行业务同步任务,无法指定策略进行租户业务同步。 |