CN106685787A - 基于OpenStack的PowerVM虚拟化网络管理方法及装置 - Google Patents
基于OpenStack的PowerVM虚拟化网络管理方法及装置 Download PDFInfo
- Publication number
- CN106685787A CN106685787A CN201710002302.6A CN201710002302A CN106685787A CN 106685787 A CN106685787 A CN 106685787A CN 201710002302 A CN201710002302 A CN 201710002302A CN 106685787 A CN106685787 A CN 106685787A
- Authority
- CN
- China
- Prior art keywords
- virtual
- network
- bridge
- powervm
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
Abstract
本发明提供一种基于OpenStack的PowerVM虚拟化网络管理方法及装置,所述方法包括:通过第一物理网口获取OpenStack管理的PowerVM节点发送的原始网络信息,所述原始网络信息包括协议信息和标识;根据所述标识将所述原始网络信息通过虚拟子网卡流入虚拟集成网桥;根据预设的流表通过所述虚拟集成网桥将所述原始网络信息流入虚拟隧道网桥;根据所述协议信息和预设的协议转换包将所述原始网络信息进行协议转换,获取隧道网络信息,所述隧道网络信息的协议为隧道协议;通过所述虚拟隧道网桥将所述隧道网络信息流入第二物理网口,并通过所述第二物理网口流入外部隧道网络。发明通过部署虚机的方式,完成PowerVM网络的流入和协议转换,完成基于OpenStack的PowerVM虚拟化网络管理。
Description
技术领域
本发明涉及云计算技术领域,特别是涉及一种基于OpenStack的PowerVM虚拟化网络管理方法及装置。
背景技术
近年来,随着云计算技术的快速发展,基于开源OpenStack的云计算管理平台成为一种主流的解决方案。
由于OpenStack项目从X86平台发展而来,对于X86虚拟化类型的支持已经日益完
善,OpenStack支持的X86平台虚拟化类型有KVM、VMware、Hyper-V、Xen等等。但OpenStack项
目对一些非x86虚拟化平台的支持就相对薄弱,例如IBM公司的PowerVM虚拟化技术。对于
PowerVM虚拟化技术在开源的OpenStack项目和IBM公司自有开发的基于OpenStack项目中,
虚拟化网络管理的功能实现都非常有限,同时PowerVM虚拟化技术由于技术实现的原因,有
一些在X86平台上能够实现的虚拟化网络功能在Power平台却无法实现。在OpenStack管理
PowerVM计算节点主机时,在同一台PowerVM主机的VIOS(虚拟IO服务器,相当于X86的KVM的
hypervisor)系统上的相同租户(相同VLAN ID)的虚机,由于PowerVM虚拟化的限制无法实
现类似X86平台下的虚机安全组(一种基于Iptables的防火墙)功能,从而造成在同一台
PowerVM主机的相同租户(相同VLAN ID)的虚机在VIOS内部的虚拟交换机中直接网络互通,
导致网络安全性方面的隐患。另外,由于受到PowerVM虚拟化实现的限制,在PowerVM主机的
VIOS系统上无法实现Open vSwitch虚拟交换机的安装部署,从而造成在X86平台下Nova计
算节点的VLAN网桥(如:br-vlan)或虚拟隧道网桥(如:br-tun)的功能,无法在PowerVM虚拟
化主机的VIOS系统中实现,从而导致在x86平台下的Nova计算节点VLAN网桥实现的Local
VLAN与外部VLAN转换功能和虚拟隧道网桥实现的Local VLAN与外部隧道转换功能,在
PowerVM虚拟化平台无法得到实现。无法支持虚拟隧道网桥的缺陷,将会造成在已有的
OpenStack隧道网络系统中,根本无法实现PowerVM虚拟化计算节点的加入,从而造成在隧
道网络中,PowerVM虚机与X86虚机之间的网络无法通讯。
发明内容
基于此,有必要针对PowerVM技术中现存无法加入OpenStack隧道网络的问题,提供一种基于OpenStack的PowerVM虚拟化网络管理方法及装置。
本发明提供一种基于OpenStack的PowerVM虚拟化网络管理方法,包括:
通过第一物理网口获取OpenStack管理的PowerVM节点发送的原始网络信息,所述原始网络信息包括PowerVM节点中虚机网络的协议信息和标识;
根据所述标识将所述原始网络信息通过虚拟子网卡流入虚拟集成网桥;
根据预设的流表通过所述虚拟集成网桥将所述原始网络信息流入虚拟隧道网桥;
根据所述协议信息和预设的协议转换包通过所述虚拟隧道网桥将所述原始网络信息进行协议转换,获取隧道网络信息,所述隧道网络信息的协议为隧道协议;
通过所述虚拟隧道网桥将所述隧道网络信息流入第二物理网口,并通过所述第二物理网口流入外部隧道网络。
在其中一个实施例中,所述标识包括第一标识、第二标识;
所述第一标识包括所述虚机中各租户的租户标识,所述第二标识包括所述PowerVM节点中的虚机标识。
在其中一个实施例中,根据所述网络标识将所述原始网络信息流入虚拟集成网桥,包括:
根据所述第二标识将所述原始网络信息流入与所述第二标识一一对应的虚拟子网卡;
根据所述第一标识通过所述虚拟子网卡将所述原始网络信息流入虚拟集成网桥。
在其中一个实施例中,在根据所述第一标识通过所述虚拟子网卡将所述原始网络信息流入虚拟集成网桥的步骤之前,所述方法还包括:
将所述原始网络信息通过所述虚拟子网卡流入与所述虚拟子网卡一一对应的虚拟安全组网桥;
根据所述第一标识将所述原始网络信息通过所述虚拟子网卡流入虚拟集成网桥,包括:
根据所述第一标识将所述原始网络信息通过所述虚拟安全组网桥流入虚拟集成网桥。
在其中一个实施例中,所述隧道协议,包括GRE或VXLAN隧道协议。
本发明所提供的基于OpenStack的PowerVM虚拟化网络管理方法,通过部署虚机的方式,将PowerVM网络的原始网络信息,通过虚拟内部设置的虚拟集成网桥和虚拟隧道网桥,完成PowerVM网络的流入和协议转换功能,从而能够完成基于OpenStack的PowerVM虚拟化网络管理。
在其中一个实施例中,本发明所提供的基于OpenStack的PowerVM虚拟化网络管理方法,在虚机内部设置虚拟子网卡,以及虚拟安全组网桥,完成PowerVM网络租户间的隔离及支持安全组的功能,进一步完善基于OpenStack的PowerVM虚拟化网络管理。
本发明还提供一种基于OpenStack的PowerVM虚拟化网络管理装置,包括:
原始网络信息获取模块,用于通过第一物理网口获取OpenStack管理的PowerVM节点发送的原始网络信息,所述原始网络信息包括PowerVM节点中虚机网络的协议信息和标识;
虚拟子网卡模块,用于根据所述标识将流入的所述原始网络信息流出至虚拟集成网桥模块;
所述虚拟集成网桥模块,用于将通过所述虚拟子网卡流入的所述原始网络信息流出至虚拟隧道网桥模块;
所述虚拟隧道网桥模块,用于根据预设的流表通过所述虚拟集成网桥模块流入的所述原始网络信息流出至协议转换模块;
所述协议转换模块,用于根据所述协议信息和预设的协议转换包通过所述虚拟隧道网桥模块流入的所述原始网络信息进行协议转换,获取隧道网络信息,所述隧道网络信息的协议为隧道协议;
隧道网络信息输出模块,用于通过所述虚拟隧道网桥模块将所述隧道网络信息流入第二物理网口,并通过所述第二物理网口流入外部隧道网络。
在其中一个实施例中,所述标识包括第一标识、第二标识;所述第一标识标识包括所述虚机中各租户的租户标识,所述第二标识包括所述PowerVM节点中的虚机标识。
在其中一个实施例中,
所述虚拟子网卡模块,还用于根据所述第二标识将所述原始网络信息流入所述虚拟子网卡模块中与所述第二标识一一对应的虚拟子网卡;
所述虚拟集成网桥模块,还用于根据所述第一标识将所述原始网络信息流入虚拟集成网桥模块中的虚拟集成网桥。
在其中一个实施例中,所述虚拟集成网桥模块,还包括:
虚拟安全组网桥单元,用于将所述原始网络信息流入与所述虚拟子网卡一一对应的所述虚拟安全组网桥单元中的虚拟安全组网桥;
所述虚拟集成网桥单元,还用于根据所述第一标识将所述原始网络信息通过所述虚拟安全组网桥流入所述虚拟集成网桥单元中的虚拟集成网桥。
在其中一个实施例中,所述隧道协议,包括GRE或VXLAN隧道协议。
本发明所提供的基于OpenStack的PowerVM虚拟化网络管理装置,通过部署虚机的方式,将PowerVM网络的原始网络信息,通过虚拟内部设置的虚拟集成网桥和虚拟隧道网桥,完成PowerVM网络的流入和协议转换功能,完成基于OpenStack的PowerVM虚拟化网络管理。
在其中一个实施例中,本发明所提供的基于OpenStack的PowerVM虚拟化网络管理装置,在虚机内部设置虚拟子网卡,以及虚拟安全组网桥,完成PowerVM网络租户间的隔离及支持安全组的功能,进一步完善基于OpenStack的PowerVM虚拟化网络管理。
附图说明
图1为一个实施例的基于OpenStack的PowerVM虚拟化网络管理方法的流程示意图;
图2为另一个实施例的基于OpenStack的PowerVM虚拟化网络管理方法中原始网络信息流入虚拟集成网桥的流程示意图;
图3为又一个实施例的基于OpenStack的PowerVM虚拟化网络管理方法中原始网络信息流入虚拟集成网桥的流程示意图;
图4为再一个实施例的基于OpenStack的PowerVM虚拟化网络管理方法的网络结构示意图;
图5为再一个实施例的基于OpenStack的PowerVM虚拟化网络管理方法的网络结构示意图;
图6为一个实施例的基于OpenStack的PowerVM虚拟化网络管理装置的结构示意图;
图7为另一个实施例的基于OpenStack的PowerVM虚拟化网络管理装置中虚拟隧道网桥模块的结构示意图。
具体实施方式:
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例对本发明基于OpenStack的PowerVM虚拟化网络管理方法及装置进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本发明所提供的OpenStack的PowerVM虚拟化网络管理方法,在PowerVM主机上部
署一台PowerLinux虚机,此虚机命名为OVSserver,此虚机独占PowerVM主机的一个物理网
卡,PowerVM主机上所有虚机通过VIOS连接外网的网口首先连接至OVSserver的一个物理网
口,并通过另外物理网口连接到OpenStack外部网络中。所述OVSserver上可以通过安装
Iptables和Open vSwitch软件,实现对PowerVM虚机的各种基于OpenStack的网络管理功
能。
另外,将所述OVSserver部署在PowerVM主机之外的一台单独的服务器上,也可以实现相同的功能。
当一个PowerVM虚机网络需要接入OpenStack网路中时,首先通过OpenStack的管理端,由OpenStack的控制节点创建一个基于GRE或VXLAN隧道协议的待管理网络,包括创建待管理网络的网络ID信息等,通常所述待管理网络支持分层端口绑定功能。
接下来,所述OpenStack的控制节点使用所述待管理网络创建一台PowerVM虚机,由于支持分层端口绑定功能,在所述PowerVM虚机所在的主机范围内,或与PowerVM虚机所在主机相连的同一个交换机范围内,所述PowerVM虚机被分配一个唯一的VLAN ID,供下层VLAN隔离使用;所述PowerVM虚机的此VLAN ID通过分层端口绑定,转换为上层可识别的隧道信息。
所述OpenStack的控制节点创建PowerVM虚机完毕后,发送创建PowerVM虚机的请求,并携带待管理网络的各种原始网络信息。
图1为一个实施例的基于OpenStack的PowerVM虚拟化网络管理方法的流程示意图,如图1所示的基于OpenStack的PowerVM虚拟化网络管理方法的流程包括:
步骤S10,通过第一物理网口获取OpenStack管理的PowerVM节点发送的原始网络信息,所述原始网络信息包括PowerVM节点中虚机网络的协议信息和标识。
具体的,OpenStack网络包括控制节点、网络节点、计算节点和存储节点四大部分组成,所述控制节点负责对其它节点的控制,包括虚机建立、迁移、网络分配和存储分配等;所述计算节点负责PowerVM虚机运行;所述网络节点负责对外网络与对内网络之间的通信;所述存储节点负责对PowerVM虚机的额外存储管理。
所述第一物理网口,为所述OVSserver接收来自PowerVM网络的原始网络信息的物理网口,接收到的原始网络信息包括PowerVM网络中虚机网络的协议信息和标识。
步骤S20,根据所述标识将所述原始网络信息通过虚拟子网卡流入虚拟集成网桥。
具体的,根据所述标识将原始网络信息流入虚拟子网卡后,根据预设的流表将所述原始网络信息由虚拟子网卡流入虚拟集成网桥。
步骤S30,根据预设的流表通过所述虚拟集成网桥将所述原始网络信息流入虚拟隧道网桥。
具体的,所述原始网络信息根据预设的流表从虚拟集成网桥流入虚拟隧道网桥。根据所述预设的流表,可对原始网络信息的流向进行灵活的设定。所述流表由多个流表项组成,每个流表项都是一个数据的转发规则。数据可通过不同的流表项,进行灵活的数据流向的设定和控制。
在一个实施例中,下表表1为虚拟集成网桥上的将原始网络信息流入虚拟隧道网桥的流表项的内容。其中,OVSserver上虚拟集成网桥(br-int)的流表内容包括流表号(table)、端口(in_port)、源Mac地址(dl_src)和流表动作(actions)等信息。如下的表1中,实现了不同的虚机,虚机1和虚机2发出的原始网络信息在虚拟集成网桥上正常转发,从而保证原始网络信息可以转发到虚拟隧道网桥(br-tun)。
具体地,“流表号”项下的“table=25”分别代表虚机1和虚机2相关的表项;“端口”项下的“in_port=3”和“in_port=5”表明分别从第3端口和第5端口进行原始网络信息的转发;“源MAC地址”项下的“fa:16:3e:7c:5c:36”和“fa:16:3e:7c:40:1a”表示虚机1和虚机2的源Mac地址;“actions=NORMAL”表示正常转发。即,表1中,利用流表实现了从源MAC地址为fa:16:3e:7c:5c:36的虚机1通过端口in_port=3正常转发,从源MAC地址为fa:16:3e:7c:40:1a的虚机2通过端口in_port=5正常转发。
表1
流表号 | 端口 | 源Mac地址 | 流表动作 |
table=25 | in_port=3 | fa:16:3e:7c:5c:36 | 正常转发 |
table=25 | in_port=5 | fa:16:3e:7c:40:1a | 正常转发 |
步骤S40,根据所述协议信息和预设的协议转换包通过所述虚拟隧道网桥将所述原始网络信息进行协议转换,获取隧道网络信息,所述隧道网络信息的协议为隧道协议。
具体的,所述隧道网络信息就是进行了协议转后的原始网络信息,包括所述原始网络信息中的全部数据,但数据协议已经转换为隧道协议。所述虚拟隧道网桥完成协议转换功能,根据原始网络信息中携带的协议信息,选择合适的预设的协议转换包,将所述原始网络信息的协议转换为隧道协议,以使转换后的信息可以进入外部隧道网络,实现信息通信。
所述隧道协议包括GRE或VXLAN隧道协议。所述GRE隧道协议是将通用路由封装(GRE)定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。在大多数常规情况下,系统拥有一个有效载荷(或数据)包,需要将它封装并发送至某个目的地,首先将有效载荷封装在一个GRE包中,然后将此GRE包封装在其它某协议中并进行转发。所述VXLAN是将以太网报文封装成UDP报文进行隧道传输,UDP目的端口为已知端口,源端口可按流分配。
表2代表虚拟集成网桥将原始网络信息发送至虚拟隧道网桥进行协议转化的流表项的内容,包括流表号、VLAN ID、流表动作和端口等信息。如表2所示,流表号22为虚拟集成网桥将原始网络信息发送至虚拟隧道网桥进行协议转化,其中,虚拟隧道网桥上table=22此条流表项,流表号22代表步骤S30发来的原始网络信息经由的流表号,VLAN ID代表虚机1和虚机2在虚拟集成网桥中的VLAN标识,流表动作代表将所述原始网络信息的协议转换为隧道协议,端口代表由虚拟隧道网桥的端口output:2转发到外部网络。
表2
流表号 | VLAN ID | 流表动作 | 端口 |
table=22 | dl_vlan=1 | 隧道协议转换 | output:2 |
步骤S50,通过所述虚拟隧道网桥将所述隧道网络信息流入第二物理网口,并通过所述第二物理网口流入外部隧道网络。
具体的,经过协议转换后得到的隧道网络信息,通过第二物理网口进入外部隧道网络,完成基于OpenStack的PowerVM网络流入和管理功能。
本发明所提供的基于OpenStack的PowerVM虚拟化网络管理方法,通过在OpenStack网络中设置虚机的方式,将PowerVM发送的原始网络信息,通过一个物理网口流入虚拟集成网桥和虚拟隧道网桥,再通过另一个物理网口流入外部隧道网络,实现基于OpenStack的PowerVM网络流入和管理功能,通过对OpenStack源码进行最小化的修改和部署结构最小化的调整,解决了PowerVM无法加入OpenStack隧道网络的问题。
在其中一个实施例中,所述标识包括第一标识、第二标识;所述第一标识包括所述虚机中各租户的租户标识,所述第二标识包括所述PowerVM节点中的虚机标识。
具体的,当PowerVM网络中有不同的租户时,所述原始网络信息携带的网络标识,需要将PowerVM网络标识和网络中不同租户的租户标识进行区分,以便实现分层管理。
本实施例所提供的基于OpenStack的PowerVM虚拟化网络管理方法,通过区分PowerVM网络中的虚机标识和网络中不同租户的租户标识,对流入的PowerVM网络实现分层管理,完善了解决了PowerVM多层网络加入OpenStack隧道网络的问题,并解决了相同租户间信息的互通,但相同租户分属于不同虚机,即分属于不同VLAN分组间的信息隔离功能。
图2为另一个实施例的基于OpenStack的PowerVM虚拟化网络管理方法中原始网络信息流入虚拟集成网桥的流程示意图,如图2所示的基于OpenStack的PowerVM虚拟化网络管理方法中原始网络信息流入虚拟集成网桥的流程包括:
步骤S21,根据所述第二标识将所述原始网络信息流入与所述第二标识一一对应的虚拟子网卡。
具体的,当所述PowerVM网络中有不同租户时,OpenStack的控制节点为各不同的租户各自设置不同的租户标识,在不同的租户发送的原始网络信息通过所述第一物理网口流入后,所述原始网络信息携带第二标识,即携带虚机标识,根据所述第二标识(即虚机标识)将属于不同租户的原始网络信息流入不同的虚拟子网卡,所述虚拟子网卡与所述租户标识一一对应。
步骤S22,根据所述第一标识通过所述虚拟子网卡将所述原始网络信息流入虚拟集成网桥。
具体的,通过所述虚拟子网卡根据所述第二标识将所述原始网络信息流入虚拟集成网桥,所述原始网络信息的第二标识在虚拟子网卡被去掉后,虚拟集成网桥上添加第一标识,基于虚拟集成网桥,由于不同租户的第一标识相同,实现了相同PowerVM网络下,不同租户之间的互通。
本实施例所提供的基于OpenStack的PowerVM虚拟化网络管理方法,通过为PowerVM网络下不同租户设置不同的第一标识的方法,实现了基于OpenStack的PowerVM虚拟化分层网络管理,实现了更加灵活的网络管理。
图3为又一个实施例的基于OpenStack的PowerVM虚拟化网络管理方法中原始网络信息流入虚拟集成网桥的流程示意图,如图3所示的基于OpenStack的PowerVM虚拟化网络管理方法中原始网络信息流入虚拟集成网桥包括:
步骤S21’,根据所述第二标识将所述原始网络信息流入与所述第二标识一一对应的虚拟子网卡。
具体的,所述第二标识为虚机标识,举例说明如下:在OVSserver上分别设置了两个虚机,虚机1(虚机标识为1)和虚机2(虚机标识为2),分别对应租户1和租户2。根据数据流向表的设定,虚机1(虚机标识为1)发送的原始网络信息连接至eth3.100虚拟子网卡,虚机2(虚机标识为2)发送的原始网络信息连接至eth3.200虚拟子网卡。
步骤S22’,将所述原始网络信息通过所述虚拟子网卡流入与所述虚拟子网卡一一对应的虚拟安全组网桥。
具体的,所述虚拟安全组网桥,为虚机安全组,英文是security group。安全组是
一些防火墙规则的集合,用来对虚拟机的访问信息加以限制,在底层实现使用Linux的
Iptables命令,给虚拟机所在的宿主机添加Iptables规则。在OpenStack实现中每个虚机外
面都会连接一个虚拟安全组网桥,此虚拟安全组网桥上配置有Iptables规则来实现对此虚
拟的防火墙策略,从而实现对虚机访问信息的控制。
在一个例子中,OVSserver节点的虚拟安全组网桥信息包括网桥名称、虚拟接口和虚拟子网卡名称等信息。例如,虚拟安全组网桥信息如下表3所示,表示在OVSserver上虚机1的eth3.100虚拟子网卡以及虚拟网口qbr03db1ed7-02连接在qbr03db1ed7-02虚拟安全组网桥,虚机2的eth3.200虚拟子网卡以及虚拟网口qbr79e27a0e-5b连接在qbr79e27a0e-5b虚拟安全组网桥。
表3
网桥名称 | 虚拟网口 | 虚拟子网卡名称 |
qbr03db1ed7-02 | qvb03db1ed7-02 | eth3.100 |
qbr79e27a0e-5b | qvb79e27a0e-5b | eth3.200 |
在一个实施例中,还可在OpenStack中虚机1和虚机2配置默认安全组策略,允许http(80端口)和https(443端口)信息流入虚机。
步骤S23’,根据所述第一标识将所述原始网络信息通过所述虚拟安全组网桥流入虚拟集成网桥。
在其中一个实施例中,下表表4代表虚拟安全组网桥和虚拟集成网桥的连接信息的流表项的内容,包括虚拟集成网桥名称、端口和VLAN ID等信息。其中,虚拟集成网桥br-int上端口"qvo03db1ed7-02"和"qvo79e27a0e-5b"分别对应虚机1和虚机2,并且两个端口的VLAN ID(即VLAN标识)为tag:1,因此两个虚机在虚拟集成网桥上具有相同VLAN标识,两个虚机可以在此虚拟集成网桥中实现网络流互通。
表4
网桥名称 | 端口 | VLAN ID |
br-int | qvo03db1ed7-02 | 1 |
qvo79e27a0e-5b | 1 |
本实施例所提供的基于OpenStack的PowerVM虚拟化网络管理方法,通过添加虚拟安全组网桥,实现了基于OpenStack的PowerVM虚拟化分层网络的安全性的管理,实现了更加安全的网络管理。
图4为再一个实施例的基于OpenStack的PowerVM虚拟化网络管理方法的网络结构示意图,如图4所示的基于OpenStack的PowerVM虚拟化网络管理方法的网络包括:
OpenStack控制节点4a、OpenStack网络节点1a、x86计算节点2a、PowerVM计算节点3a(包含OVSserver节点),路由器8a和Internet(互联网)10a。
并且,在附图4中包含了OpenStack的四种网络模式,管理网络5a、数据网络6a、外部网络7a、API网络9a,其中,PowerVM计算节点3a(包含OVSserver节点)连接在管理网络5a和数据网络6a两个网络中,其中PowerVM主机通过网口1和OVSserver节点网口1连接到管理网络5a,然后PowerVM主机所有虚机使用物理的网口2首先通过流入到OVSserver的网口2上,实现虚机VLAN网络信息转入OVSserver节点中。OVSserver通过nova-ovslink服务和neutron-*-plugin-agent服务实现对虚机VLAN网络信息的处理和转换,实现虚机安全组和集成网桥与隧道网桥或VLAN网桥的功能。
其中nova-ovslink服务的主要功能包括创建虚拟子网卡和虚拟安全组网桥,并且把虚拟安全组网桥挂接到的虚拟集成网桥之上。neutron-*-plugin-agent服务的主要功能包括创建虚拟集成网桥与虚拟隧道网桥或VLAN网桥,实现虚机内部VLAN网络信息转换为外部VLAN或外部隧道协议格式网络信息的作用。
当OVSserver节点完成了虚机网络信息协议转换的功能后,通过网口3流入到数据网络6a中,此数据网络6a支持VLAN、GRE、VXLAN等协议格式。当PowerVM虚机信息进入到数据网络6a后,可以访问到同租户其他计算节点的虚机(包括x86计算节点2和PowerVM计算节点3),也可以访问到网络节点实现DHCP、元数据注入、L3虚拟路由等等高级网络功能。
以上解决方案是基于PowerVM主机内部安装OVSserver虚机的实现方式,同理,如果OVSserver部署在PowerVM主机外部由一台独立服务器实现,也是完全可行的,具体实现步骤参考上面的步骤。
本实施例所提供的基于OpenStack的PowerVM虚拟化网络管理方法,通过添加虚拟安全组网桥,实现了基于OpenStack的PowerVM虚拟化分层网络的安全性的管理,实现了更加安全的网络管理。
图5为再一个实施例的基于OpenStack的PowerVM虚拟化网络管理方法的网络结构示意图,如图5所示的基于OpenStack的PowerVM虚拟化网络管理方法的网络包括:
虚机1和虚机2,用于在所述两个虚机上建立相同的租户,分别发送各自的网络信息。两个虚机被分别赋予了VLAN标识100和VLAN标识200,进行VLAN分隔;使用此方法保证了两个虚机在后续的网络结构中,通过PowerVM主机内部的虚拟交换机网络不会连通,从而解决了PowerVM已有的一个相同租户如果同一个VLAN,在PowerVM主机内部是连通的,将导致独立的虚机安全组功能无法在PowerVM虚拟化上实现的缺陷。相同租户不同VLAN标识的分配策略是通过OpenStack的neutron组件网络分层绑定技术实现。
虚拟交换机3,用于接收所述虚机1和虚机2发送的信息携带各自的VLAN标识流入所述虚拟交换机3,并通过所述虚机交换机3发送所述网络信息到共享以太网适配器4。
共享以太网适配器4,用于接收从所述虚拟交换机3流出的网络信息,并通过选定的物理网口5流出。所述共享以太网适配器4类似于x86里的网桥功能。
物理网口5,用于接收从共享以太网适配器4流出的网络信息,且并通过物理网口6接入虚拟子网卡。
物理网口6,用于接收从物理网口5流出的网络信息,并流入不同的虚拟子网卡7和8.
虚拟子网卡7和虚拟子网卡8,用于根据OVSserver节点创建的虚机1和虚机2所发送的网络信息,通过nova-ovslink服务来创建相应虚机的虚拟子网卡,如虚拟子网卡7为虚拟子网卡.100,虚拟子网卡8为虚拟子网卡.200。这两个虚拟子网卡的作用就是把OVSserver接收到的虚机1和虚机2的VLAN标识进行分隔,实现相应虚机与虚拟安全组网桥的对应,并与虚拟集成网桥进行挂接,以实现虚机安全组功能等。
虚拟安全组网桥9和虚拟安全组网桥10,分别用于接收向对应的虚拟子网卡发送的网络信息,如图中所示,虚拟安全组网桥9接收虚拟子网卡7发送的网络信息,虚拟安全组网桥10接收虚拟子网卡8发送的网络消息。
虚拟集成网桥11,用于将所述虚拟安全组网桥9和虚拟安全组网桥10发送的网络信息进行集成,由于两个虚机配置了相同的VLAN标识,从而保证了此两个相同租户虚机在集成网桥上具有相同VLAN标识,并且两个虚机网络可以直接互通。
虚拟隧道网桥12,用于将所述虚拟集成网桥11发送的网络消息进行协议转换,并流出至物理网口13。实现了虚机在虚拟集成网桥中的局部VLAN标识转为外部隧道标识的功能,此步骤如果换为VLAN网桥也可以实现局部VLAN标识转化为外部VLAN标识的功能,此转化为外部VLAN的功能
物理网口13,用于将经过协议转换的网络信息流出至外部网络。
本实施例所提供的基于OpenStack的PowerVM虚拟化网络管理方法,解决了PowerVM的虚机相同租户网络无法隔离,虚机无法支持安全组功能,虚机无法加入隧道网络的功能,并且OVSserver方案通过对OpenStack源码进行最小化的修改和部署结构最小化的调整实现了以上功能。本实施例所提供的基于OpenStack的PowerVM虚拟化网络管理方法通过添加虚拟安全组网桥,实现了基于OpenStack的PowerVM虚拟化分层网络的安全性的安全组管理,实现了更加安全的网络管理。
图6为一个实施例的基于OpenStack的PowerVM虚拟化网络管理装置的结构示意图,如图6所示的基于OpenStack的PowerVM虚拟化网络管理装置:
原始网络信息获取模块10,用于通过第一物理网口获取OpenStack管理的PowerVM节点发送的原始网络信息,所述原始网络信息包括PowerVM节点中虚机网络的协议信息和标识。所述标识包括第一标识、第二标识;所述第一标识包括所述虚机中各租户的租户标识,所述第二标识包括所述PowerVM节点中的虚机标识。
虚拟子网卡模块20,用于根据所述标识将流入的所述原始网络信息流出至虚拟集成网桥模块30。在一个实施例中,虚拟子网卡模块20还用于根据所述第二标识将所述原始网络信息流入所述虚拟子网卡模块20中与所述第二标识一一对应的虚拟子网卡。
具体的,所述虚拟子网卡模块20,包括至少一个虚拟子网卡,还包括管理所述至少一个虚拟子网卡的管理功能。
虚拟集成网桥模块30,用于将通过所述虚拟子网卡模块20流入的所述原始网络信息流出至虚拟隧道网桥模块40。在一个实施例中,虚拟集成网桥模块30还用于根据所述第一标识将所述原始网络信息流入虚拟集成网桥模块30中的虚拟集成网桥。
具体的,所述虚拟集成网桥模块30,包括至少一个虚拟集成网桥,还包括管理所述至少一个虚拟集成网桥的管理功能。
虚拟隧道网桥模块40,用于根据预设的流表通过虚拟集成网桥模块30流入的所述原始网络信息流出至协议转换模块50。
协议转换模块50,用于根据所述协议信息和预设的协议转换包通过虚拟隧道网桥模块40流入的所述原始网络信息进行协议转换,获取隧道网络信息,所述隧道网络信息的协议为隧道协议。所述隧道协议,包括GRE或VXLAN隧道协议。
隧道网络信息输出模块60,用于通过虚拟隧道网桥模块40将所述隧道网络信息流入第二物理网口,并通过所述第二物理网口流入外部隧道网络。
本发明所提供的基于OpenStack的PowerVM虚拟化网络管理装置,通过在OpenStack网络中设置虚机的方式,将PowerVM发送的原始网络信息,通过一个物理网口流入虚拟集成网桥和虚拟隧道网桥,再通过另一个物理网口流入外部隧道网络,实现基于OpenStack的PowerVM网络流入和管理功能,通过对OpenStack源码进行最小化的修改和部署结构最小化的调整,解决了PowerVM无法加入OpenStack隧道网络的问题。
图7为另一个实施例的基于OpenStack的PowerVM虚拟化网络管理装置中虚拟隧道网桥模块的结构示意图,图7将结合图6进行描述。如图7所示的基于OpenStack的PowerVM虚拟化网络管理装置中虚拟隧道网桥模块40包括:
虚拟安全组网桥单元31,用于将所述原始网络信息流入与所述虚拟子网卡一一对应的所述虚拟安全组网桥单元31中的虚拟安全组网桥;
虚拟集成网桥单元32,用于根据所述第一标识将所述原始网络信息通过所述虚拟安全组网桥流入所述虚拟集成网桥单元32中的虚拟集成网桥。
本实施例所提供的基于OpenStack的PowerVM虚拟化网络管理装置,通过添加虚拟安全组网桥,实现了基于OpenStack的PowerVM虚拟化分层网络的安全性的管理,实现了更加安全的网络管理。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于OpenStack的PowerVM虚拟化网络管理方法,其特征在于,包括:
通过第一物理网口获取OpenStack管理的PowerVM节点发送的原始网络信息,所述原始网络信息包括PowerVM节点中虚机网络的协议信息和标识;
根据所述标识将所述原始网络信息通过虚拟子网卡流入虚拟集成网桥;
根据预设的流表通过所述虚拟集成网桥将所述原始网络信息流入虚拟隧道网桥;
根据所述协议信息和预设的协议转换包通过所述虚拟隧道网桥将所述原始网络信息进行协议转换,获取隧道网络信息,所述隧道网络信息的协议为隧道协议;
通过所述虚拟隧道网桥将所述隧道网络信息流入第二物理网口,并通过所述第二物理网口流入外部隧道网络。
2.根据权利要求1所述的基于OpenStack的PowerVM虚拟化网络管理方法,其特征在于:
所述标识包括第一标识、第二标识;
所述第一标识包括所述虚机中各租户的租户标识,所述第二标识包括所述PowerVM节点中的虚机标识。
3.根据权利要求2所述的基于OpenStack的PowerVM虚拟化网络管理方法,其特征在于,根据所述标识将所述原始网络信息通过虚拟子网卡流入虚拟集成网桥,包括:
根据所述第二标识将所述原始网络信息流入与所述第二标识一一对应的虚拟子网卡;
根据所述第一标识通过所述虚拟子网卡将所述原始网络信息流入虚拟集成网桥。
4.根据权利要求3所述的基于OpenStack的PowerVM虚拟化网络管理方法,其特征在于,在根据所述第一标识通过所述虚拟子网卡将所述原始网络信息流入虚拟集成网桥的步骤之前,所述方法还包括:
将所述原始网络信息通过所述虚拟子网卡流入与所述虚拟子网卡一一对应的虚拟安全组网桥;
根据所述第一标识将所述原始网络信息通过所述虚拟子网卡流入虚拟集成网桥,包括:
根据所述第一标识将所述原始网络信息通过所述虚拟安全组网桥流入虚拟集成网桥。
5.根据权利要求1所述的基于OpenStack的PowerVM虚拟化网络管理方法,其特征在于:
所述隧道协议,包括GRE或VXLAN隧道协议。
6.一种基于OpenStack的PowerVM虚拟化网络管理装置,其特征在于,包括:
原始网络信息获取模块,用于通过第一物理网口获取OpenStack管理的PowerVM节点发送的原始网络信息,所述原始网络信息包括PowerVM节点中虚机网络的协议信息和标识;
虚拟子网卡模块,用于根据所述标识将流入的所述原始网络信息流出至虚拟集成网桥模块;
所述虚拟集成网桥模块,用于将通过所述虚拟子网卡模块流入的所述原始网络信息流出至虚拟隧道网桥模块;
所述虚拟隧道网桥模块,用于根据预设的流表通过所述虚拟集成网桥模块流入的所述原始网络信息流出至协议转换模块;
所述协议转换模块,用于根据所述协议信息和预设的协议转换包通过所述虚拟隧道网桥模块流入的所述原始网络信息进行协议转换,获取隧道网络信息,所述隧道网络信息的协议为隧道协议;
隧道网络信息输出模块,用于通过所述虚拟隧道网桥模块将所述隧道网络信息流入第二物理网口,并通过所述第二物理网口流入外部隧道网络。
7.根据权利要求6所述的基于OpenStack的PowerVM虚拟化网络管理装置,其特征在于:
所述标识包括第一标识、第二标识;所述第一标识包括所述虚机中各租户的租户标识,所述第二标识包括所述PowerVM节点中的虚机标识。
8.根据权利要求7所述的基于OpenStack的PowerVM虚拟化网络管理装置,其特征在于:
所述虚拟子网卡模块,还用于根据所述第二标识将所述原始网络信息流入所述虚拟子网卡模块中与所述第二标识一一对应的虚拟子网卡;
所述虚拟集成网桥模块,还用于根据所述第一标识将所述原始网络信息流入虚拟集成网桥模块中的虚拟集成网桥。
9.根据权利要求8所述的基于OpenStack的PowerVM虚拟化网络管理装置,其特征在于,所述虚拟集成网桥模块包括:
虚拟安全组网桥单元,用于将所述原始网络信息流入与所述虚拟子网卡一一对应的所述虚拟安全组网桥单元中的虚拟安全组网桥;
所述虚拟集成网桥单元,用于根据所述第一标识将所述原始网络信息通过所述虚拟安全组网桥流入所述虚拟集成网桥单元中的虚拟集成网桥。
10.根据权利要求6所述的基于OpenStack的PowerVM虚拟化网络管理装置,其特征在于:
所述隧道协议,包括GRE或VXLAN隧道协议。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710002302.6A CN106685787B (zh) | 2017-01-03 | 2017-01-03 | 基于OpenStack的PowerVM虚拟化网络管理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710002302.6A CN106685787B (zh) | 2017-01-03 | 2017-01-03 | 基于OpenStack的PowerVM虚拟化网络管理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106685787A true CN106685787A (zh) | 2017-05-17 |
CN106685787B CN106685787B (zh) | 2020-03-20 |
Family
ID=58850208
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710002302.6A Active CN106685787B (zh) | 2017-01-03 | 2017-01-03 | 基于OpenStack的PowerVM虚拟化网络管理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106685787B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107770027A (zh) * | 2017-09-19 | 2018-03-06 | 大唐网络有限公司 | 一种基于OpenStack架构提供GRE隧道服务的实现方法 |
CN107809365A (zh) * | 2017-09-19 | 2018-03-16 | 大唐网络有限公司 | 一种基于OpenStack架构提供VPN服务的实现方法 |
CN107911313A (zh) * | 2017-11-15 | 2018-04-13 | 北京易讯通信息技术股份有限公司 | 一种在私有云中虚拟机端口流量外迁的方法 |
CN108449272A (zh) * | 2017-09-19 | 2018-08-24 | 大唐网络有限公司 | 一种基于OpenStack架构提供端口转发服务的实现方法 |
CN110290045A (zh) * | 2019-07-16 | 2019-09-27 | 北京计算机技术及应用研究所 | 一种云架构下网络靶场软硬结合模型构建方法 |
CN111970199A (zh) * | 2020-08-24 | 2020-11-20 | 浪潮云信息技术股份公司 | 一种提升openstack dvr模式下虚机网络性能的实现方法 |
CN113114640A (zh) * | 2021-03-29 | 2021-07-13 | 新华三大数据技术有限公司 | 一种认证方法及装置 |
CN113472563A (zh) * | 2021-05-13 | 2021-10-01 | 新华三大数据技术有限公司 | 一种网络配置下发方法及装置 |
CN113703908A (zh) * | 2020-05-21 | 2021-11-26 | 迪莲娜(上海)大数据服务有限公司 | 拟态虚拟网络管理系统 |
CN113726637A (zh) * | 2021-09-09 | 2021-11-30 | 华云数据控股集团有限公司 | 一种基于云平台的网络流量透传方法、装置及存储介质 |
CN114024921A (zh) * | 2021-10-14 | 2022-02-08 | 济南浪潮数据技术有限公司 | 一种隧道协同方法、装置、设备及可读存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104394130A (zh) * | 2014-11-12 | 2015-03-04 | 国云科技股份有限公司 | 一种多租户虚拟网络隔离方法 |
CN104468746A (zh) * | 2014-11-23 | 2015-03-25 | 国云科技股份有限公司 | 一种适用于云平台的分布式虚拟网络实现方法 |
CN105068873A (zh) * | 2015-08-10 | 2015-11-18 | 北京思特奇信息技术股份有限公司 | 一种异构虚拟资源任务调度方法及系统 |
CN105227466A (zh) * | 2015-08-20 | 2016-01-06 | 北京百度网讯科技有限公司 | 通信处理方法和装置 |
-
2017
- 2017-01-03 CN CN201710002302.6A patent/CN106685787B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104394130A (zh) * | 2014-11-12 | 2015-03-04 | 国云科技股份有限公司 | 一种多租户虚拟网络隔离方法 |
CN104468746A (zh) * | 2014-11-23 | 2015-03-25 | 国云科技股份有限公司 | 一种适用于云平台的分布式虚拟网络实现方法 |
CN105068873A (zh) * | 2015-08-10 | 2015-11-18 | 北京思特奇信息技术股份有限公司 | 一种异构虚拟资源任务调度方法及系统 |
CN105227466A (zh) * | 2015-08-20 | 2016-01-06 | 北京百度网讯科技有限公司 | 通信处理方法和装置 |
Non-Patent Citations (1)
Title |
---|
严立宇等: "云计算网络中多租户虚拟网络隔离的分布式实现研究", 《计算机应用与软件》 * |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107770027B (zh) * | 2017-09-19 | 2021-01-05 | 大唐网络有限公司 | 一种基于OpenStack架构提供GRE隧道服务的实现方法 |
CN107809365A (zh) * | 2017-09-19 | 2018-03-16 | 大唐网络有限公司 | 一种基于OpenStack架构提供VPN服务的实现方法 |
CN108449272A (zh) * | 2017-09-19 | 2018-08-24 | 大唐网络有限公司 | 一种基于OpenStack架构提供端口转发服务的实现方法 |
CN107770027A (zh) * | 2017-09-19 | 2018-03-06 | 大唐网络有限公司 | 一种基于OpenStack架构提供GRE隧道服务的实现方法 |
CN107809365B (zh) * | 2017-09-19 | 2021-01-05 | 大唐网络有限公司 | 一种基于OpenStack架构提供VPN服务的实现方法 |
CN107911313A (zh) * | 2017-11-15 | 2018-04-13 | 北京易讯通信息技术股份有限公司 | 一种在私有云中虚拟机端口流量外迁的方法 |
CN110290045B (zh) * | 2019-07-16 | 2021-03-05 | 北京计算机技术及应用研究所 | 一种云架构下网络靶场软硬结合模型构建方法 |
CN110290045A (zh) * | 2019-07-16 | 2019-09-27 | 北京计算机技术及应用研究所 | 一种云架构下网络靶场软硬结合模型构建方法 |
CN113703908A (zh) * | 2020-05-21 | 2021-11-26 | 迪莲娜(上海)大数据服务有限公司 | 拟态虚拟网络管理系统 |
CN111970199A (zh) * | 2020-08-24 | 2020-11-20 | 浪潮云信息技术股份公司 | 一种提升openstack dvr模式下虚机网络性能的实现方法 |
CN113114640A (zh) * | 2021-03-29 | 2021-07-13 | 新华三大数据技术有限公司 | 一种认证方法及装置 |
CN113114640B (zh) * | 2021-03-29 | 2022-05-27 | 新华三大数据技术有限公司 | 一种认证方法及装置 |
CN113472563A (zh) * | 2021-05-13 | 2021-10-01 | 新华三大数据技术有限公司 | 一种网络配置下发方法及装置 |
CN113472563B (zh) * | 2021-05-13 | 2023-12-26 | 新华三大数据技术有限公司 | 一种网络配置下发方法及装置 |
CN113726637A (zh) * | 2021-09-09 | 2021-11-30 | 华云数据控股集团有限公司 | 一种基于云平台的网络流量透传方法、装置及存储介质 |
CN113726637B (zh) * | 2021-09-09 | 2022-11-01 | 华云数据控股集团有限公司 | 一种基于云平台的网络流量透传方法、装置及存储介质 |
CN114024921A (zh) * | 2021-10-14 | 2022-02-08 | 济南浪潮数据技术有限公司 | 一种隧道协同方法、装置、设备及可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN106685787B (zh) | 2020-03-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106685787A (zh) | 基于OpenStack的PowerVM虚拟化网络管理方法及装置 | |
CN103621046B (zh) | 网络通信方法和装置 | |
CN103873374B (zh) | 虚拟化系统中的报文处理方法及装置 | |
US10476699B2 (en) | VLAN to VXLAN translation using VLAN-aware virtual machines | |
CN105284080B (zh) | 数据中心的虚拟网络管理方法及数据中心系统 | |
CN104685507B (zh) | 向虚拟云基础结构提供虚拟安全装置架构 | |
CN109716717A (zh) | 从软件定义的网络控制器管理虚拟端口信道交换机对等体 | |
CN104780088B (zh) | 一种业务报文的传输方法和设备 | |
CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
CN105530259A (zh) | 报文过滤方法及设备 | |
CN107959614B (zh) | 一种基于网络命名空间的多租户自定义组网方法、系统 | |
CN107113219A (zh) | 虚拟环境中的vlan标记 | |
CN111064649B (zh) | 一种分层端口绑定实现方法、装置、控制设备及存储介质 | |
CN104468746A (zh) | 一种适用于云平台的分布式虚拟网络实现方法 | |
CN106254176A (zh) | 一种基于openvswitch的流量镜像方法 | |
CN105915427A (zh) | 一种报文发送、接收方法及设备 | |
CN104272668A (zh) | 层3覆盖网关 | |
CN104350467A (zh) | 用于使用sdn的云安全性的弹性实行层 | |
CN108418705A (zh) | 虚拟机与容器混合嵌套架构的虚拟网络管理方法及系统 | |
US10965497B1 (en) | Processing traffic in a virtualised environment | |
CN107592216A (zh) | 一种支持多场景实验隔离的虚实网络融合仿真方法 | |
CN107770026A (zh) | 租户网络数据传输方法、租户网络系统和相关设备 | |
CN106487556A (zh) | 业务功能sf的部署方法及装置 | |
CN103973673B (zh) | 划分虚拟防火墙的方法和设备 | |
CN106899478A (zh) | 电力测试业务通过云平台实现资源弹性扩展的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20200327 Address after: 100089 501, floor 5, building 23, east area, yard 10, northwest Wangdong Road, Haidian District, Beijing Patentee after: BEIJING TEAMSUN TECHNOLOGY Co.,Ltd. Address before: 100192 Beijing, Haidian District Road, science and technology, No. 8 (Science and technology wealth center) A block, west of the 10 floor Patentee before: VSETTAN INFORMATION INDUSTRY DEVELOPMENT Co.,Ltd. |