CN104506403B - 一种支持多级隔离的虚拟网络管理方法 - Google Patents
一种支持多级隔离的虚拟网络管理方法 Download PDFInfo
- Publication number
- CN104506403B CN104506403B CN201410738340.4A CN201410738340A CN104506403B CN 104506403 B CN104506403 B CN 104506403B CN 201410738340 A CN201410738340 A CN 201410738340A CN 104506403 B CN104506403 B CN 104506403B
- Authority
- CN
- China
- Prior art keywords
- vlan
- network
- virtual
- bridge
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及云计算技术领域,特别是指一种支持多级隔离的虚拟网络管理方法。本发明首先在物理交换机上划分VLAN,每台宿主机上配置两块网卡分别连接到内网和外网,并将内网网卡全部设置成可通过上述VLAN的trunk模式;然后在所有宿主机的内网网卡上设置VLAN,为每个VLAN创建一个网桥;在部署一个应用时,为该应用创建一个新的虚拟网络空间,并创建与VLAN网桥连接的一个网桥,同时启动一个DHCP服务;然后把运行应用的虚拟机的虚拟网卡桥接到一个新的VLAN对应的网桥上。本发明解决了因虚拟机重启而导致的应用数据丢失问题;可以用于虚拟网络管理上。
Description
技术领域
本发明涉及云计算技术领域,特别是指一种支持多级隔离的虚拟网络管理方法。
背景技术
在典型的应用程序体系结构中,C/S二层架构和B/S三层架构是最常用的。C/S二层架构的服务端一般又分为应用服务器和数据库服务器,其中只有应用服务器需要与外界通信;而B/S三层架构中也只有表现层的服务器需要与外界通信。在这种情况下,需要对应用的服务器进行隔离,以免其他服务器暴露在外网环境下有安全威胁。在传统的物理服务器环境下是通过调整物理网络的部署来实现上述所需的隔离。主要通过把不同的应用划分到不同的VLAN下,同时为需要与外网通信的服务器配置独立的面向外网的网卡,其他服务器只配置内网网卡来实现隔离的。
而在云计算中,以虚拟机为应用运行载体的环境中不可能调整物理网络;主要是通过网络模式的配置来实现隔离,而在NAT模式和桥接模式两种网络模式下,存在以下弊端:
一是隔离粒度比较粗,应用之间的隔离依赖于VLAN,但在应用之间需要通信时,只能开放VLAN之间的访问权限,使得隔离作用被削弱。
二是内外网之间的切换困难,在需要暂时封闭虚拟机的外网通信时,需要移除虚拟机的外网网卡并重启虚拟机,增加了正在运行的业务数据丢失的风险。
为了有效全面地实现云计算平台的虚拟机网络隔离,需要一种灵活应对不同粒度、且内外网切换简便的隔离方法。
发明内容
本发明解决的技术问题是提供一种可应对不同粒度、且内外网切换简便的虚拟网络管理方法,解决虚拟网络隔离不全面、粒度较粗、需要重启虚拟机的问题。
本发明解决上述技术问题的技术方案是:
所述的方法包括如下步骤:
步骤1:在物理交换机上划分VLAN,每台宿主机上配置两块网卡分别连接到内网和外网,并把内网网卡全部设置成可以通过上述VLAN的trunk模式;
步骤2:在所有宿主机的内网网卡上设置VLAN,为每个VLAN创建一个网桥;
步骤3:在部署应用时,为此应用创建一个新的虚拟网络空间;在该虚拟机网络空间内创建一个网桥,把这个网桥与VLAN的网桥进行连接,并在该虚拟网络空间上启动一个DHCP服务;
步骤4:把运行应用的虚拟机的虚拟网卡桥接到一个新的VLAN对应的网桥上;
步骤5:若运行应用的某台虚拟机需要连接外网,则在应用对应的虚拟网络空间内通过NAT模式把虚拟机的内网IP映射到一个外网IP;
步骤6:如果应用之间的虚拟机间需要通信,那么通过设置虚拟网络空间之间的访问权限来控制。
所述的VLAN(Virtual Local Area Network)即虚拟局域网,工作在OSI参考模型的第2层和第3层,本质是在虚拟的路由器的接口下创建的一个网段;VLAN技术可使管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性,有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
所述的DHCP服务是指使用DHCP(Dynamic Host Configuration Protocol)动态主机配置协议给内部网络或网络服务供应商自动分配IP地址;
所述的桥接模式是指一种虚拟机的网络模式;在桥接模式下虚拟机的网络与物理服务器的网络是对等的,虚拟机通过VLAN进行应用间的隔离,有与外网通信需求的虚拟机需要在其物理服务器上配置一张内网网卡和一张外网网卡,同时在虚拟机上配置两张虚拟网卡,其中一张桥接到内网网卡,另外一张桥接到外网网卡;
所述的NAT模式是指另一种虚拟的网络模式;在NAT模式下的虚拟机默认都不连通外网,需要把虚拟机的端口映射到物理服务器的端口,再用物理服务器的地址进行通信,这种情况下物理服务器就需要直接与外网通信,一旦受到攻击就会威胁到此物理服务器下其他虚拟机的安全。
所述的OSI(Open System Interconnect)参考模型,即ISO开放系统互连参考模型,是ISO(国际标准化组织)组织在1985年研究的网络互联模型。该体系结构标准定义了网络互连的七层框架:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
本发明通过为应用创建虚拟机网络空间,并在此空间内进行NAT模式和桥接模式两种网络模式的配置来实现多级隔离,包括粗粒度的应用之间隔离和细粒度的虚拟机之间隔离,并通过修改NAT规则即可实现内外网切换,彻底解决因虚拟机重启而导致的应用数据丢失问题。
附图说明
下面结合附图对本发明进一步说明:
图1是本发明方法流程图。
具体实施方式
见图1所示,假设eth0连接外网且桥接到br0,eth1连接内网,需要在宿主机上面创建vlan11和vlan12,要求vlan11和vlan12内的虚拟机之间三层网络隔离,且虚拟机可以进行NAT转换实现上外网。
这里只描述vlan11的操作步骤,vlan12步骤一样。
步骤1:在开始操作前必须升级iproute,使ip工具支持netns:
#wget
https://repos.fedorapeople.org/repos/openstack/openstack-icehouse/epel-6/iproute-2.6.32-130.el6ost.netns.2.x86_64.rpm
#rpm-ivh iproute-2.6.32-130.el6ost.netns.2.x86_64.rpm
步骤2:若升级成功,则进行验证:
ip netns add dhcp-xm
ip netns list
步骤3:设置vlan:
vconfig add eth1 11
ifconfig eth1.11 up
brctl addbr eucabr11
brctl addif eucabr11 eth1.11
ifconfig eucabr11 up
步骤4:创建虚拟网络空间:
ip netns add dhcp-11
ip link add qvb-11-link type veth peer name qvo-11-link
ifconfig qvb-11-link up
ifconfig qvo-11-link up
brctl addif eucabr11 qvb-11-link
ip link set qvo-11-link netns dhcp-11
步骤5:启动虚拟网络空间dhcp服务:
ip netns exec dhcp-11 ip addr add 10.251.11.1/24 dev qvo-11-link
ip netns exec dhcp-11 ifconfig qvo-11-link promisc up
启动dhcp服务,命令如下:
ip netns exec dhcp-11/usr/sbin/dnsmasq--strict-order
--bind-interfaces --conf-file=--domain=local
--pid-file=/opt/xm/test.pid--listen-address=10.251.11.1--interfaceqvo-11-link--except-interface=lo
--dhcp-range=10.251.11.1,static,120s--dhcp-lease-max=256
--dhcp-hostsfile=/opt/xm/network.conf
--dhcp-script=/opt/xm/update2db.py--leasefile-ro
步骤6:虚拟机桥接到eucabr11启动;
步骤7:nat转换实现虚拟机上外网;
将外网ip(20.251.32.233)与内网ip(10.251.11.33)进行转换:
ip link add br0-11-pre type veth peer name br0-11-link
ifconfig br0-11-pre up
ifconfig br0-11-link up
brctl addif br0 br0-11-pre
ip link set br0-11-link netns dhcp-11
ip netns exec dhcp-11 ip addr add 20.251.32.233/22 dev br0-11-link
ip netns exec dhcp-11 ifconfig br0-11-link promisc up
ip netns exec dhcp-11 route add default gw 20.251.35.254//添加默认路由
ip netns exec dhcp-11 iptables-A PREROUTING-t nat -d 20.251.32.233-jDNAT--to 10.251.11.33
ip netns exec dhcp-11 iptables-A POSTROUTING-t nat -j SNAT-s10.251.11.33 --to 20.251.32.233。
Claims (3)
1.一种支持多级隔离的虚拟网络管理方法,其特征在于:所述的方法包括如下步骤:
步骤1:在物理交换机上划分VLAN,每台宿主机上配置两块网卡分别连接到内网和外网,并把内网网卡全部设置成可以通过上述VLAN的trunk模式;
不骤2:在所有宿主机的内网网卡上设置VLAN,为每个VLAN创建一个网桥;
步骤3:在部署应用时,为此应用创建一个新的虚拟网络空间;在该虚拟机网络空间内创建一个网桥,把这个网桥与VLAN的网桥进行连接,并在该虚拟网络空间上启动一个DHCP服务;
步骤4:把运行应用的虚拟机的虚拟网卡桥接到一个新的VLAN对应的网桥上;
步骤5:若运行应用的某台虚拟机需要连接外网,则在应用对应的虚拟网络空间内通过NAT模式把虚拟机的内网IP映射到一个外网IP;
步骤6:如果应用之间的虚拟机间需要通信,那么通过设置虚拟网络空间之间的访问权限来控制。
2.根据权利要求1所述的虚拟网络管理方法,其特征在于:所述的VLAN即虚拟局域网(Virtual Local Area Network),工作在OSI参考模型的第2层和第3层,是在虚拟的路由器的接口下创建的一个网段;
所述的DHCP服务是指使用DHCP(Dynamic Host Configuration Protocol)动态主机配置协议给内部网络或网络服务供应商自动分配IP地址;
所述的桥接模式和NAT模式是虚拟机的网络模式。
3.根据权利要求2所述的虚拟网络管理方法,其特征在于:所述的OSI(Open SystemInterconnect)参考模型,即ISO开放系统互连参考模型,是ISO(国际标准化组织)组织在1985年研究的网络互联模型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410738340.4A CN104506403B (zh) | 2014-12-05 | 2014-12-05 | 一种支持多级隔离的虚拟网络管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410738340.4A CN104506403B (zh) | 2014-12-05 | 2014-12-05 | 一种支持多级隔离的虚拟网络管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104506403A CN104506403A (zh) | 2015-04-08 |
| CN104506403B true CN104506403B (zh) | 2019-03-26 |
Family
ID=52948118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410738340.4A Active CN104506403B (zh) | 2014-12-05 | 2014-12-05 | 一种支持多级隔离的虚拟网络管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104506403B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871676B (zh) * | 2016-03-17 | 2019-02-12 | 广东微云科技股份有限公司 | 一种桌面云中远端虚拟机的网络连接方法及系统 |
| CN106059803A (zh) * | 2016-05-26 | 2016-10-26 | 国云科技股份有限公司 | 一种在计算节点上实现虚拟机南北向通信的方法 |
| CN107508845B (zh) * | 2016-06-14 | 2021-07-06 | 中兴通讯股份有限公司 | 一种组网系统、网络共享方法和系统 |
| CN106375378B (zh) * | 2016-08-25 | 2020-08-28 | 北京每刻风物科技有限公司 | 一种基于局域网客户端服务器结构的应用部署方法及系统 |
| CN108713309B (zh) * | 2018-03-21 | 2021-04-16 | 达闼机器人有限公司 | Sd-wan系统、sd-wan系统的使用方法及相关装置 |
| CN112905303B (zh) * | 2021-03-05 | 2024-04-09 | 深圳市网心科技有限公司 | 一种基于有线网卡的无感知网络桥接方法及其装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102664972A (zh) * | 2012-05-11 | 2012-09-12 | 中科方德软件有限公司 | 一种虚拟网络中地址映射方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103812704B (zh) * | 2014-02-25 | 2017-12-15 | 国云科技股份有限公司 | 一种面向虚拟机的公网ip动态管理方法 |
-
2014
- 2014-12-05 CN CN201410738340.4A patent/CN104506403B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102664972A (zh) * | 2012-05-11 | 2012-09-12 | 中科方德软件有限公司 | 一种虚拟网络中地址映射方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104506403A (zh) | 2015-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104506403B (zh) | 一种支持多级隔离的虚拟网络管理方法 | |
| US11349710B1 (en) | Composable edge device platforms | |
| US9602636B1 (en) | Stateless packet segmentation and processing | |
| CN106685787B (zh) | 基于OpenStack的PowerVM虚拟化网络管理方法及装置 | |
| CN111711557B (zh) | 一种网络靶场用户远程接入系统与方法 | |
| CN109194502B (zh) | 多租户容器云计算系统的管理方法 | |
| US9137105B2 (en) | Method and system for deploying at least one virtual network on the fly and on demand | |
| US8155146B1 (en) | Stateless packet segmentation and processing | |
| KR101120304B1 (ko) | 네트워크 인터페이스 컴포넌트에 대한 가입 요청을 관리하는 장치 및 방법 | |
| US9934057B2 (en) | Shadow VNICs for the control and observability of IO virtual functions | |
| CN114070723B (zh) | 裸金属服务器的虚拟网络配置方法、系统及智能网卡 | |
| CA2951952C (en) | Frameworks and interfaces for offload device-based packet processing | |
| CN111404753B (zh) | 一种扁平网络配置方法、计算机设备及存储介质 | |
| CN114077478A (zh) | 管理虚拟化环境中的网络端口 | |
| CN104468746A (zh) | 一种适用于云平台的分布式虚拟网络实现方法 | |
| US9686237B2 (en) | Secure communication channel using a blade server | |
| CN114338606B (zh) | 一种公有云的网络配置方法及相关设备 | |
| WO2012157017A1 (en) | Computer system for allocating ip address to communication apparatus in computer subsystem newly added and method for newly adding computer subsystem to computer system | |
| CN105407140A (zh) | 一种网络化测试系统的计算资源虚拟化系统及方法 | |
| CN105635332A (zh) | 一种多虚拟机共用单外网ip的方法 | |
| CN105721630A (zh) | 一种虚拟机共用宿主机ip提供外网服务的方法 | |
| CN104468791A (zh) | 私有云IaaS平台的构建方法 | |
| CN114124714B (zh) | 一种多层级网络部署方法、装置、设备及存储介质 | |
| CN103873338A (zh) | 一种利用绑定和vlan实现网络虚拟化的方法 | |
| CN105871676B (zh) | 一种桌面云中远端虚拟机的网络连接方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 523808 19th Floor, Cloud Computing Center, Chinese Academy of Sciences, No. 1 Kehui Road, Songshan Lake Hi-tech Industrial Development Zone, Dongguan City, Guangdong Province Applicant after: G-Cloud Technology Co., Ltd. Address before: 523808 No. 14 Building, Songke Garden, Songshan Lake Science and Technology Industrial Park, Dongguan City, Guangdong Province Applicant before: G-Cloud Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |