CN107959654B - 一种数据传输方法、装置及混合云系统 - Google Patents
一种数据传输方法、装置及混合云系统 Download PDFInfo
- Publication number
- CN107959654B CN107959654B CN201610899285.6A CN201610899285A CN107959654B CN 107959654 B CN107959654 B CN 107959654B CN 201610899285 A CN201610899285 A CN 201610899285A CN 107959654 B CN107959654 B CN 107959654B
- Authority
- CN
- China
- Prior art keywords
- data packet
- network
- address
- cloud server
- public cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种数据传输方法、装置及混合云系统,应用于混合云系统中的网关服务器的方法包括:接收第一主机发送的第一数据包,第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址;获得第一主机所属网络的网络标识;根据预先设置的网络标识与目标公有云服务器的访问关系,在确定允许的情况下,基于第一IP地址及预先设置的映射关系,对第一数据包进行IP地址转换,其中,所述映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系;将转换后的第一数据包发送给目标公有云服务器。应用本发明实施例,减少了安全隐患。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种数据传输方法、装置及混合云系统。
背景技术
云计算(Cloud Computing),是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需求提供给计算机和其他设备。云是网络、互联网的一种比喻说法。业界按照云计算提供者与使用者的所属关系为划分标准,将云计算分为三类,即公有云、私有云和混合云。
公有云通常指第三方提供商为租户提供的能够使用的云,公有云一般可通过Internet(网络)使用,可能是免费或成本低廉的,公有云的核心属性是共享资源服务,在公有云中可以为租户部署基于网络远程访问的服务。私有云是为一个租户单独使用而构建的,因而提供对数据、安全性和服务质量的最有效控制。一般情况下,公有云部署在underlay网络中,underlay网络是公有云数据中心的底层承载网络,是IDC(Internet DataCenter,互联网数据中心)的基础网络;私有云部署在overlay网络中,在overlay网络中一般通过隧道技术来实现租户网络的隔离。混合云,它的模式特点与运用综合了公有云和私有云的特点。混合云一般是通过在VPC(Virtual Private Cloud,虚拟私有云)与私有云之间架设VPN(Virtual Private Network,虚拟专用网)或者互联网专线连接实现的。VPC用于公有云环境下为租户提供私有云环境的虚拟网络环境,在VPC网络中的主机和服务具有与私有云同样的属性,VPC网络能够实现不同租户在网络层隔离,VPN是一种通过隧道封装的方式在公用网络中提供专有网络的技术,在混合云场景下用于在私有云到公有云上的网络安全接入。
现有的混合云系统包括了VPC网络、网关服务器、至少一个私有云服务器和至少一个公有云服务器,VPC网络中部署了至少一个虚拟机。VPC网络中的虚拟机因为没有合法的IP(Internet Protocol,互联网协议)地址,无法访问公有云服务器,基于上述情况,一般通过网关服务器实现虚拟机与公有云服务器之间的通信。网关服务器将VPC网络中虚拟机发送的数据包进行NAT(Network Address Translation,网络地址转换),将转换后的数据包发送给公有云服务器,从而实现了虚拟机到公有云服务器之间的数据传输。为了保证传输到公有云服务器数据的安全性,一般在公有云服务服务器入口部署ACL(Access ControlList)机制。ACL是一种网络安全机制,用于提供基于协议、端口及IP(Internet Protocol,网络之间互连的协议)地址的黑白名单形式的网络安全防护。公有云服务根据接收到的转换后的数据包的源IP地址及ACL机制,确定是发送转换后的第一数据包的响应数据包给网关服务器还是丢弃转换后的第一数据包,在确定转换后的数据包的源IP地址在IP地址白名单时,公有云服务器将响应数据包发送给网关服务器。
由于ACL机制中的信息需要人工维护,当需要更改ACL中配置的信息时,存在信息更改操作滞后的隐患,造成了应该移到IP地址黑名单的IP地址还存在于IP地址白名单中,从而导致公有云服务器原本应该丢弃接收到的数据包变成了发送接收到的数据包的响应数据包而造成的数据泄露,因此存在较高的安全隐患。
发明内容
本发明实施例的目的在于提供一种数据传输方法、装置及混合云系统,以减少安全隐患。
第一方面,为达到上述目的,本发明实施例公开了一种数据传输方法,应用于混合云系统中的网关服务器,所述方法包括:
接收第一主机发送的第一数据包,其中,所述第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址;
获得所述第一主机所属网络的网络标识;
根据预先设置的所述网络标识与所述目标公有云服务器的访问关系,确定是否允许所述第一主机访问所述目标公有云服务器;
在确定允许的情况下,基于所述第一IP地址及预先设置映射关系,对所述第一数据包进行IP地址转换,其中,所述映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系;
将转换后的所述第一数据包发送给所述目标公有云服务器。
较佳的,当所述第一主机为VPC网络中的虚拟机时,
所述获得所述第一主机所属网络的网络标识,包括:
从所述第一数据包携带的信息获得所述第一主机所属网络的网络标识,其中,所述网络标识为配置有所述虚拟机的宿主机根据所述虚拟机的物理特征确定的。
较佳的,当所述第一主机为私有云服务器时,
所述获得所述第一主机所属网络的网络标识,包括:
根据预先设置的第一属性与网络标识的对应关系,获得所述第一主机所属网络的网络标识,其中,所述第一属性为所述网关服务器与所述私有云服务器之间的VPN的隧道属性或互联网专线的隧道属性。
较佳的,基于所述第一IP地址及预先设置的映射关系,对所述第一数据包进行IP地址转换,包括:
基于所述第一IP地址及预先设置的映射关系,确定所述目标公有云服务器在underlay网络中的第二IP地址;
将所述第一数据包携带的所述第一IP地址转换为所述第二IP地址,将所述第一数据包携带的第一主机的IP地址转换为所述网关服务器的公网IP地址。
较佳的,所述的方法还包括:
接收所述目标公有云服务器发送的第二数据包,其中,所述第二数据包为所述目标公有云服务器生成的、针对转换后的所述第一数据包的响应数据包;
基于记录的所述网络标识、对所述第一数据包进行IP地址转换前、后的IP地址三者之间的对应关系,对所述第二数据包进行IP地址转换,其中,所述三者之间的对应关系为:对所述第一数据包进行IP地址转换之后记录的;
将转换后的所述第二数据包发送至所述第一主机。
第二方面,为达到上述目的,本发明实施例公开了一种数据传输装置,应用于混合云系统中的网关服务器,所述装置包括:
第一接收模块,用于接收第一主机发送的第一数据包,其中,所述第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址;
获得模块,用于获得所述第一主机所属网络的网络标识;
确定模块,用于根据预先设置的所述网络标识与所述目标公有云服务器的访问关系,确定是否允许所述第一主机访问所述目标公有云服务器;
第一转换模块,用于在所述确定模块的确定结果为允许的情况下,基于所述第一IP地址及预先设置的映射关系,对所述第一数据包进行IP地址转换,其中,所述映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系;
第一发送模块,用于将转换后的所述第一数据包发送给所述目标公有云服务器。
较佳的,当所述第一主机为VPC网络中的虚拟机时,
所述获得模块,具体用于:
从所述第一数据包携带的信息获得所述第一主机所属网络的网络标识,其中,所述网络标识为配置有所述虚拟机的宿主机根据所述虚拟机的物理特征确定的。
较佳的,当所述第一主机为私有云服务器时,
所述获得模块,具体用于:
根据所述网关服务器与所述私有云服务器之间的VPN或互联网专线的隧道属性与网络标识的对应关系,获得所述第一主机所属网络的网络标识。
较佳的,所述第一转换模块,具体用于:
所述第一转换模块,包括:
确定子模块,用于基于所述IP地址及预先设置的映射关系,确定所述目标公有云服务器在underlay网络中的第二IP地址;
转换子模块,用于将所述第一数据包携带的所述第一IP地址转换为所述第二IP地址,将所述第一数据包携带的第一主机的IP地址转换为所述网关服务器的公网IP地址。
较佳的,所述的装置还包括:
第二接收装置,用于接收所述目标公有云服务器发送的第二数据包,其中,所述第二数据包为所述目标公有云服务器生成的、针对转换后的所述第一数据包的响应数据包;
第二转换模块,用于基于记录的所述网络标识、对所述第一数据包进行IP地址转换前、后的IP地址三者之间的对应关系,对所述第二数据包进行IP地址转换,其中,所述三者之间的对应关系为:对所述第一数据包进行IP地址转换之后记录的;
第二发送模块,用于将转换后的所述第二数据包发送至所述第一主机。
第三方面,为达到上述目的,本发明实施例公开了一种混合云系统,所述混合云系统包括了VPC网络、所述网关服务器、至少一个私有云服务器和至少一个公有云服务器,VPC网络中部署了至少一个虚拟机,虚拟机通过自身所属的宿主机与所述网关服务器通信连接,所述网关服务器分别与私有云服务器及公有云服务器通信连接,其中,
所述网关服务器,用于接收第一主机发送的第一数据包,其中,所述第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址;获得所述第一主机所属网络的网络标识;根据预先设置的所述网络标识与所述目标公有云服务器的访问关系,确定是否允许所述第一主机访问所述目标公有云服务器;在确定允许的情况下,基于所述第一IP地址及预先设置的映射关系,对所述第一数据包进行IP地址转换,其中,所述映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系;
所述目标公有云服务器,用于接收所述网关服务器发送的转换后的所述第一数据包。
较佳的,当所述第一主机为VPC网络中的虚拟机时,
所述网关服务器,具体用于从所述第一数据包携带的信息获得所述第一主机所属网络的网络标识;
配置有所述虚拟机的宿主机,用于根据所述虚拟机的物理特征确定所述网络标识。
较佳的,当所述第一主机为私有云服务器时,
所述网关服务器,具体用于:
根据所述网关服务器与所述私有云服务器之间的VPN或互联网专线的隧道属性与网络标识的对应关系,获得所述第一主机所属网络的网络标识。
较佳的,所述网关服务器,具体用于:
基于所述第一IP地址及预先设置的映射关系,确定所述目标公有云服务器在underlay网络中的第二IP地址;
将所述第一数据包携带的所述第一IP地址转换为所述第二IP地址,将所述第一数据包携带的第一主机的IP地址转换为所述网关服务器的公网IP地址。
较佳的,所述目标公有云服务器,还用于针对转换后的所述第一数据包的响应数据包生成第二数据包,并将所述第二数据包发送给所述网关服务器;
所述网关服务器,用于接收所述目标公有云服务器发送的第二数据包,基于记录的所述网络标识、对所述第一数据包进行IP地址转换前、后的IP地址三者之间的对应关系,对所述第二数据包进行IP地址转换,其中,所述三者之间的对应关系为:对所述第一数据包进行IP地址转换之后记录的;将转换后的所述第二数据包发送至所述第一主机。
由上述技术方案可见,本发明实施例公开了一种数据传输方法、装置及混合云系统,方法应用于混合云系统中的网关服务器,所述方法包括:接收第一主机发送的第一数据包,其中,所述第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址;获得所述第一主机所属网络的网络标识;根据预先设置的所述网络标识与所述目标公有云服务器的访问关系,确定是否允许所述第一主机访问所述目标公有云服务器;在确定允许的情况下,基于所述第一IP地址及预先设置的公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系,对所述第一数据包进行IP地址转换,其中,所述映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系;将转换后的所述第一数据包发送给所述目标公有云服务器。相较于现有技术,本发明实施例不需要在公有云服务器中部署ACL机制,因此不存在因为ACL配置不同步而造成的安全问题。根据网络标识与目标公有云服务器的访问关系,确定是否允许第一主机访问目标公有云服务器,基于公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系,对第一数据包进行IP地址转换,能够对公有云服务器的访问提供更底层的网络隔离,不需要配置ACL机制减少了安全隐患。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的数据传输方法的第一种流程示意图;
图2为本发明实施例提供的数据传输方法的第二种流程示意图;
图3为本发明实施例提供的数据传输方法的第三种流程示意图;
图4为本发明实施例提供的数据传输装置的第一种结构示意图;
图5为本发明实施例提供的数据传输装置的第二种结构示意图;
图6为本发明实施例提供的数据传输装置的第三种结构示意图;
图7为本发明实施例提供的一种混合云系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面,首先对本申请文件中涉及到的技术术语进行简单介绍。
公有云通常是指第三方提供商用户能够使用的云,公有云一般可通过Internet使用,可能是免费或成本低廉的。公有云的最大意义是能够以低廉的价格,提供有吸引力的服务给最终用户,创造新的业务价值,公有云作为一个支撑平台,还能够整合上游的服务(如增值业务,广告)提供者和下游最终用户,打造新的价值链和生态系统。公有云服务是在公有云环境中为租户提供了可以基于网络远程访问的产品服务,公有云服务包括数据存储类产品服务,例如RDS(Relational Database Service,关系型数据库服务)、S3(SimpleStorage Service,简单存储服务)和Redis,Redis是是一个开源的键值数据库。公有云服务还包括数据分析类产品。一般此类服务在网络上某种特定的4-7层协议的特定端口来为租户提供服务。在公有云环境下,租户的网络是可以自定义拓扑的,称为overlay网络,不同的租户可以定义相同的overlay网络,overlay网络内部的虚拟机可以彼此联通,但不同租户之间的虚拟机和网络彼此隔离,相对于underlay网络来说,overlay一般是通过隧道技术比如VXLAN(Virtual eXtensible Local Area Network,虚拟可扩展局域网)和NVGRE协议来实现租户网络隔离,overlay网络中运行的实例通常是租户的虚拟机和网络实例,比如NAT负载均衡实例。underlay网络指的是公有云数据中心的底层承载网络,是IDC(InternetData Center,互联网数据中心)的基础网络,用于承载overlay网络的隧道网络协议,对租户透明。一般来说,公有云服务可以使用underlay网络实现,也可以运行在租户的虚拟机环境中。在underlay网络中的公有云服务相对overlay中部署的公共服务资源复用性更好,更易于管理,对用户的overlay网络没有侵入问题,因而安全隔离性也更好。overlay网络是建立在underlay网络之上的虚拟网络。underlay网络是一种网络,是overlay网络的承载网络。
私有云是为一个客户单独使用而构建的,因而提供对数据、安全性和服务质量的最有效控制。私有云可部署在企业数据中心的防火墙内,也可以将它们部署在一个安全的主机托管场所,私有云的核心属性是专有资源。
混合云是一种包含了私有云和公有云服务的整体解决方案和技术架构,在私有云和公有云之间通过互联网专线或VPN连接,将私有云和公有云变成一张完整的内部网络,既保障了私有云数据的安全性,又可以利用公有云的产品功能和计算资源的弹性化,是最典型的一种云计算部署方案。
VPC是一种共有共基础架构类产品,用于在公有云环境下为用户提供私有云环境的技术解决方案,在VPC网络中的主机和服务具有完全的私有网络属性,不同的租户在网络层隔离,实现更高的安全性,VPC还是一个公共云计算资源的动态配置池,需要使用加密协议、隧道协议和其他安全程序,在民营企业和云服务提供商之间传输数据。一个VPC网络基本上把提供商的多租户架构变成单租户架构。
VPN是通过隧道封装的方式在共有网络中提供专有网络的一种技术,在混合云场景下用于用户私有云或私有机房到公有云上的安全网络接入,虚拟专用网络理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术是路由器具有的重要技术之一,VPN的核心就是在利用公共网络建立虚拟私有网。根据隧道协议对VPN进行划分,VPN包括:IPSec(Internet Protocol Security)VPN和SSL(Security Socket Layer)VPN。IPSec VPN是采用IPSec协议来实现远程接入的一种VPN技术。IPSec协议是IETF(InternetEngineering Task Force Internet工程任务组)制定的协议,为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。SSL VPN即指采用SSL协议来实现远程接入的一种新型VPN技术。SSL(安全套接层)协议是一种在internet上保证发送信息安全的通用协议,采用B/S结构(Browser/Server,浏览器/服务器模式)。它处在应用层,SSL采用公钥加密通过SSL连接传输的数据来工作。SSL VPN主要作用是提供安全的远程访问服务并以实际行动来保护用户的机密;不断完善企业级结构的安全和远程访问控制工具;采用多级认证和先进的加密技术来保护交互式的远程会议的安全性。
NAT用于提供内网地址到外网地址的映射,服务器的内网地址经过NAT后会被替换成一个公网的IP地址,因此可以为内网环境中的服务器提供到公网(Internet)的访问服务。
图1为本发明实施例提供的数据传输方法的第一种流程示意图,应用于混合云系统中的网关服务器,方法包括:
S101:接收第一主机发送的第一数据包,其中,第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址。
本领域技术人员可以理解的是,这里所说的第一主机,可以为VPC网络中的虚拟机,也可以为私有云服务器。当第一主机为VPC网络中的虚拟机,虚拟机将第一数据包发送给自身所属宿主机中的虚拟交换机,虚拟交换机如果确定该第一数据包携带的目的IP地址为其他宿主机上部署的虚拟机的IP地址,则将该第一数据包转发给其他宿主机上部署的虚拟交换机,否则将第一数据包发送给网关服务器。在这种情况下,可以理解为第一数据包由虚拟交换机发送给网关服务器的。
当第一主机为私有云服务器,私有云服务器通过VPN或互联网专线将第一数据包发送至网关服务器。VPC网络对应着一个网段,在本申请中,私有云中添加了到该VPC网段的路由,使得私有云服务器能够访问公有云服务器,在现有技术中,公有云的IP地址同混合云网络规划可能有潜在冲突,私有云服务器将无法通过添加VPC网段路由方式直接访问VPC外的公有云服务,需要在混合云内部所有路由节点中添加公有云中服务器的路由,导致混合云中的路由配置复杂不方便维护,不利于实现高可用集群,会导致稳定性和性能较差,对公有云服务质量造成严重的影响。在本发明实施例中,通过添加的VPC网段路由,使得私有云服务器发送的第一数据包正确地路由到网关服务器,无需额外路由配置管理,方便易部署,对公有云产品易用性更好,同时因为配置简单安全性也更加可靠,减少了安全隐患。
因第一数据包携带的目的IP地址为目标公有云服务器在overlay网络中的第一IP地址,对于私有云服务器或VPC网络中的虚拟机而言,目标公有云服务器为与自身同属一个网络。
在实际应用中,网关服务器为公有云数据中心中的网关服务器,VPC网络为有云数据中心中的VPC网络,公有云数据中心可以理解为运行着公有云的数据中心,私有云服务器为私有云数据中心中的服务器,同样的,私有云数据中心可以理解为运行着私有云的数据中心。
S102:获得第一主机所属网络的网络标识。
当所述第一主机为VPC网络中的虚拟机时,获得所述第一主机所属网络的网络标识,包括:
从第一数据包携带的信息获得第一主机所属网络的网络标识,其中,网络标识为配置有虚拟机的宿主机根据虚拟机的物理特征确定的。
在本发明实施例中,网关服务器在获得第一主机所属网络的网络标识之前,确定第一数据包携带的目的IP地址是私有云服务器的IP地址,则将第一数据包转发给私有云服务器。
需要说明的是,这里所说的虚拟机的物理特征可以为虚拟机的MAC(Media AccessControl,媒体访问控制)地址,也可以为TAP设备信息。TAP设备,是操作系统内核中的虚拟网络设备,等同于一个以太网设备,操作第二层数据包如以太网数据帧,在本发明实施例中,这里所说的TAP设备部署在虚拟机中。当然,虚拟机的物理特征并不仅限于上面所列举的特征,还包括其他的特征,在这里不进行一一列举。宿主机根据虚拟机的物理特征确定虚拟机所属网络的网络标识是现有技术,在这里不进行赘述。
本领域技术人员可以理解的是,这里所说的网络标识是能够识别第一主机所属的网络的标识,在实际应用中,虚拟交换机会对虚拟机发送的第一数据包进行封装,封装后的第一数据包携带有虚拟机所属网络的网络标识,如果采用VLAN(Virtual Local AreaNetwork,虚拟局域网)协议对第一数据包进行封装,封装后的第一数据包携带的为VLAN ID(identity,身份识别号)即为上面所说的网络标识;如果采用VXLAN封装技术封装第一数据包,封装后的第一数据包携带的为VXLAN ID即为上面所说的网络标识;VXLAN是一种将二层数据包用三层协议进行封装的技术。采用VXLAN对目标数据包进行封装是现有技术,在这里不进行赘述。如果采用NVGRE技术封装第一数据包,封装后的第一数据包中携带了GRE(Generic Routing Encapsulation,通用路由封装)头部,GRE头部的低24位即为上面所说的网络标识,NVGRE是基于策略的软件控制的网络虚拟化框架,主要功能是支持公有云和私有云中多租户网络使用GRE协议,通过运用云托管和数据中心方案,使公有云和私有云之间工作负载进行无缝迁移。GRE协议是对某些网络层协议(如IP的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议中传输;如果采用MPLS技术对第一数据包进行封装,封装后的第一数据包中携带的MPLS(Multi-Protocol Label Switching,多协议标签交换)tag(标签)即为上面所说的网络标识,MPLS协议对目标数据包进行封装,MPLS是是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术,是一种可提供高性价比和多业务能力的交换技术。
具体的,当第一主机为私有云服务器时,
获得所述第一主机所属网络的网络标识,包括:
根据预先设置的第一属性与网络标识的对应关系,获得第一主机所属网络的网络标识,其中,第一属性为网关服务器与私有云服务器之间的VPN的隧道属性或互联网专线的隧道属性。
需要说明的是,互联网专线是指为客户提供各种速率的专用链路,该链路直接连接IP骨干网络,实现方便快捷的高速互联网上网服务。在本发明实施例中,互联网专线是指连接VPC网络和私有云网络的专线,进一步地,可以说是连接网关服务器和私有云服务器的专线。
在实际应用中,隧道属性即隧道性质可以理解为针对隧道配置的属性。说到隧道,首先需要对隧道技术进行说明。隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。隧道协议将这些其它协议的数据包重新封装在新的包头中发送,新的包头提供了路由信息,从而使被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由,实现数据的传递。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。在本发明实施例中,隧道的一个端点为私有云服务器,另一个端点为网关服务器,在私有云服务器本地端点配置有IP地址和接口,在网关服务器本地端点配置有IP地址和接口。这里所说的隧道属性可以为私有云服务器本地端点的IP地址,也可以为网关服务器本地端点的IP地址,还可以为私有云服务器本地端点的接口,进一步地,还可以为网关服务器本地端点的接口等等,通过预先设置的隧道属性与网络标识的对应关系,即可确定第一主机所属的网络。
S103:根据预先设置的网络标识与所述目标公有云服务器的访问关系,确定是否允许所述第一主机访问所述目标公有云服务器。
在现有技术中,公有云服务器需要进行ACL限制才能实现租户服务网络层隔离,配置管理成本复杂且有配置不同步导致数据泄露潜在安全隐患。公有云服务器接收到的数据包携带的源IP地址为网关服务器经过NAT后的源IP地址,无法获知接收到的数据包的真实源IP地址,只要经过NAT后的源IP地址在IP地址白名单中,公有云服务器就会发送响应数据包,这样即使配置了不允许某一租户网络从某一公有云服务器获得数据,但因为该租户网络中主机发送的数据包进行NAT后的源IP地址在IP地址白名单中,该主机依然能够从目标公有云服务器获得数据,这样也会导致数据泄露,增加了安全隐患,例如,为了保证数据的安全性,不允许租户A网络中的主机访问公有云服务器B,租户A网络中的主机1发送了一个数据包至网关服务器,该数据包的目的IP地址是公有云服务器B的IP地址,网关服务器对该数据包进行NAT,NAT后的数据包的源IP地址为公有云服务器B中IP地址白名单中的IP地址,公有云服务器B接收到NAT后的数据包根据IP地址白名单,将响应数据包发送给网关服务器,网关服务器将响应数据包发送至主机1,从而造成了数据泄露。
在现有技术中,还可以在应用层进行鉴权比如RDS数据库实例的连接用户名密码校验实现租户服务网络层隔离,保证数据的安全,减少安全隐患。还可以通过S3基于HTTPS的证书秘钥鉴权,实现租户服务网络层隔离,保证数据的安全,减少安全隐患,HTTPS(HyperText Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。以上两种减少安全隐患的方法,均需要在应用层进行配置,且需要进行较为复杂的配置。
在本发明实施例中,在网关服务器配置有预先设置的网络标识与目标公有云服务器的访问关系,根据该访问关系,网关服务器确定是丢弃接收到的数据包还是允许第一主机访问目标公有云服务器,不需要进行额外配置访问安全控制(ACL),方便易部署,对公有云产品易用性更好,并且网关服务器中配置的访问关系是针对一个网络而不是针对每一个主机设置的,而且不需要针对每一个公有云服务器都进行配置,配置简单并且实时更新,提高了安全性,减少了安全隐患,实现了更底层的网络隔离。在现有技术中,不同的租户之间通过云服务管理平台的转发配置下发来实现网络隔离,也就是说如果不下发转发规则从虚拟机到公有云服务器之间的网络就是不通的,而在本发明实施例中,云服务管理平台不提供不同租户的主机和公有云服务转发配置操作,通过预先设置的访问关系和对接收到的数据包进行IP地址转换,也能实现网络隔离。
S104:基于第一IP地址及预先设置的映射关系,对第一数据包进行IP地址转换,其中,映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系。
在确定拒绝第一主机访问目标公有云服务器的情况下,网关服务器直接丢弃该第一数据包,在确定允许第一主机访问目标公有云服务器的情况下,才会对第一数据包进行IP地址转换。当第一主机为虚拟机时,第一数据包是由虚拟交换机封装而成的数据包,网关服务器需要对第一数据包进行解封装,解封装是封装的过程,是现有技术,在这里不进行赘述,在对解封装后的第一数据包进行IP地址转换。因为封装只是在第一数据包上添加了新的包头,因此可以说网关服务器接收虚拟机发送的第一数据包。同理,当第一主机为私有云服务器时,网关服务器在接收到的第一数据包是封装的数据包,需要对第一数据包进行解封装,在对解封装后的第一数据包进行IP地址转换。
需要说明的是,公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系是一一映射关系,可以理解为公有云服务器在underlay网络中有一个IP地址,在overlay网络中也有一个IP地址,类似于一个服务器有一个公网IP地址和一个内网IP地址,在underlay网络中的IP地址可以理解为公网IP地址,在overlay网络中的IP地址中的IP地址为内网IP地址。
S105:将转换后的第一数据包发送给目标公有云服务器。
相较于现有技术,本发明实施例不需要在公有云服务器中部署ACL机制,因此不存在因为ACL配置不同步而造成的安全问题。根据网络标识与目标公有云服务器的访问关系,确定是否允许第一主机访问目标公有云服务器,基于公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系,对第一数据包进行IP地址转换,能够对公有云服务器的访问提供更底层的网络隔离,不需要配置ACL机制减少了安全隐患。
图2为本发明实施例提供的数据传输方法的第二种流程示意图,与图1所示实施例相比,本实施例中,基于第一IP地址及预先设置的映射关系,对第一数据包进行IP地址转换(S104),可以包括:
S1041:基于第一IP地址及预先设置的映射关系,确定目标公有云服务器在underlay网络中的第二IP地址。
示例性的,公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系可以如表1所示。
表1
| 在overlay网络中的IP地址 | 在underlay网络中的IP地址 | |
| 公有云服务器A | IP1 | IP2 |
| 公有云服务器B | IP3 | IP4 |
| 公有云服务器C | IP5 | IP6 |
| 公有云服务器D | IP7 | IP8 |
假设,目标公有云服务器为公有云服务器A,则第一IP地址为IP1,则根据表1可以确定第二IP地址为IP2。
S1042:将第一数据包携带的第一IP地址转换为第二IP地址,将第一数据包携带的第一主机的IP地址转换为网关服务器的公网IP地址。
以表1为例,将第一数据包携带的IP1转换为IP2,将第一数据包携带的源IP地址即第一主机的IP地址转换为网关服务器的公网IP地址。
由上述内容可知,网关服务器实现了反向代理功能,即网关服务器接收对第一数据包进行IP地址后,转换后的第一数据包携带的源IP地址为自身的公网IP地址,此时,网关服务器就对外表现为一个反向代理服务器。
相较于现有技术,本发明实施例不需要在公有云服务器中部署ACL机制,因此不存在因为ACL配置不同步而造成的安全问题。根据网络标识与目标公有云服务器的访问关系,确定是否允许第一主机访问目标公有云服务器,基于公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系,对第一数据包进行IP地址转换,能够对公有云服务器的访问提供更底层的网络隔离,不需要配置ACL机制减少了安全隐患。
图3为本发明实施例提供的数据传输方法的第三种流程示意图,与图1所示实施例相比,本实施例中,在S105之前增加了S106、S107和S108。
S016:接收目标公有云服务器发送的第二数据包,其中,第二数据包为目标公有云服务器生成的、针对转换后的第一数据包的响应数据包。
以表1为例,目标公有云服务器A接收到转换后的第一数据包后,生成转换后的第一数据包的响应数据包,即第二数据包,第二数据包中携带的源IP地址IP2,目的IP地址为网关服务器的公网IP地址。
S107:基于记录的所述网络标识、对所述第一数据包进行IP地址转换前、后的IP地址三者之间的对应关系,对第二数据包进行IP地址转换,其中,三者之间的对应关系为:对第一数据包进行IP地址转换之后记录的。
在本发明实施例中,在对第一数据包进行IP地址转换后,会记录网络标识、对第一数据包进行IP地址转换前、后的IP地址三者之间的对应关系,记录三者之间的对应关系主要是用于将接收到第二数据包准确地被发送至第一主机。
以上述第一数据包进行IP地址转换为例,假设网络标识为网络标识1,转换前后的三者之间的对应关系可以如表2所示。
表2
| 网络标识 | 源IP地址 | 目的IP地址 | |
| 转换前 | 网络标识1 | 第一主机的IP地址 | IP1 |
| 转换后 | 公网IP地址 | IP2 |
在实际应用中,在对第一数据包进行IP转换时,也需要对源端口进行转换,假设第一数据包携带的源端口为端口A,第一数据包携带的源端口为端口C,转换后的第一数据包携带的源端口为端口B,则转换前后的对应关系可以如表3所示。
表3
| 网络标识 | 源IP地址 | 源端口 | 目的IP地址 | 目的端口 | |
| 转换前 | 网络标识1 | 第一主机的IP地址 | 端口A | IP1 | 端口C |
| 转换后 | 公网IP地址 | 端口B | IP2 | 端口C |
示例性的,根据表3对第二数据包进行IP地址转换,转换后的第二数据包携带的源IP地址为IP1,目的IP地址为第一主机的IP地址,源端口为端口C,目的端口为端口A。
需要说明的是,网关服务器对第二数据包进行IP地址转换之后,根据对应关系中的网络标识,对转换后的第二数据包进行封装。
S108:将转换后的第二数据包发送至第一主机。
如果第一主机是虚拟机,对应关系中还记录有虚拟交换机的IP地址,以使得虚拟交换机能接收到转换后的第二数据包,虚拟交换机接收到的转换后的第二数据包是封装的数据包,需要进行解封装,解封装后的第二数据包就是将封装是添加的包头去掉,所以解封装后的第二数据包可以认为是转换后的第二数据包。
如果第一主机是私有云服务器,私有云服务器本地端点的接口接收到转换后的第二数据包携带的目的IP地址为私有云服务器的IP地址,则会对转换后的第二数据包进行解封装,解封装后的第二数据包就是将封装是添加的包头去掉,所以解封装后的第二数据包可以认为是转换后的第二数据包。
相较于现有技术,本发明实施例不需要在公有云服务器中部署ACL机制,因此不存在因为ACL配置不同步而造成的安全问题。根据网络标识与目标公有云服务器的访问关系,确定是否允许第一主机访问目标公有云服务器,基于公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系,对第一数据包进行IP地址转换,能够对公有云服务器的访问提供更底层的网络隔离,不需要配置ACL机制减少了安全隐患。
与上述方法实施例相对应,本发明实施例还提供了一种数据传输装置。
图4为本发明实施例提供的数据传输装置的第一种结构示意图,应用于混合云系统中的网关服务器,装置包括第一接收模块401、获得模块402、确定模块403、第一转换模块404和第一发送模块405。
第一接收模块401,用于接收第一主机发送的第一数据包,其中,第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址。
获得模块402,用于获得第一主机所属网络的网络标识。
具体的,当第一主机为VPC网络中的虚拟机时,
获得模块402,具体用于:
从第一数据包携带的信息获得第一主机所属网络的网络标识,其中,网络标识为配置有虚拟机的宿主机根据虚拟机的物理特征确定的。
具体的,当第一主机为私有云服务器时,
获得模块402,具体用于:
根据网关服务器与私有云服务器之间的VPN或互联网专线的隧道属性与网络标识的对应关系,获得第一主机所属网络的网络标识。
确定模块403,用于根据预先设置的网络标识与目标公有云服务器的访问关系,确定是否允许第一主机访问目标公有云服务器;
第一转换模块404,用于在确定模块403的确定结果为允许的情况下,基于第一IP地址及预先设置映射关系,对第一数据包进行IP地址转换,其中,映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系;
第一发送模块405,用于将转换后的第一数据包发送给目标公有云服务器。
相较于现有技术,本发明实施例不需要在公有云服务器中部署ACL机制,因此不存在因为ACL配置不同步而造成的安全问题。根据网络标识与目标公有云服务器的访问关系,确定是否允许第一主机访问目标公有云服务器,基于公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系,对第一数据包进行IP地址转换,能够对公有云服务器的访问提供更底层的网络隔离,不需要配置ACL机制减少了安全隐患。
图5为本发明实施例提供的数据传输装置的第二种结构示意图,该第一转换模块404,可以包括:确定子模块4041和转换子模块4042。
确定子模块4041,用于基于IP地址及预先设置的映射关系,确定目标公有云服务器在underlay网络中的第二IP地址,其中,映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系;
转换子模块4042,用于将第一数据包携带的第一IP地址转换为第二IP地址,将所述第一数据包携带的第一主机的IP地址转换为所述网关服务器的公网IP地址。
相较于现有技术,本发明实施例不需要在公有云服务器中部署ACL机制,因此不存在因为ACL配置不同步而造成的安全问题。根据网络标识与目标公有云服务器的访问关系,确定是否允许第一主机访问目标公有云服务器,基于公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系,对第一数据包进行IP地址转换,能够对公有云服务器的访问提供更底层的网络隔离,不需要配置ACL机制减少了安全隐患。
图6为本发明实施例提供的数据传输装置的第三种结构示意图,装置还可以包括第二接收装置406、第二转换模块407和第二发送模块408。
第二接收装置406,用于接收目标公有云服务器发送的第二数据包,其中,第二数据包为目标公有云服务器生成的、针对转换后的第一数据包的响应数据包;
第二转换模块407,用于基于记录的所述网络标识、对第一数据包进行IP地址转换前、后的IP地址三者之间的对应关系,对第二数据包进行IP地址转换,其中,所述三者之间的对应关系为:对所述第一数据包进行IP地址转换之后记录的;
第二发送模块408,用于将转换后的第二数据包发送至第一主机。
相较于现有技术,本发明实施例不需要在公有云服务器中部署ACL机制,因此不存在因为ACL配置不同步而造成的安全问题。根据网络标识与目标公有云服务器的访问关系,确定是否允许第一主机访问目标公有云服务器,基于公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系,对第一数据包进行IP地址转换,能够对公有云服务器的访问提供更底层的网络隔离,不需要配置ACL机制减少了安全隐患。
本发明实施例还提供了一种混合云系统,参见图7,图7为本发明实施例提供的一种混合云系统的结构示意图,混合云系统包括了VPC网络、网关服务器、至少一个私有云服务器和至少一个公有云服务器,VPC网络中部署了至少一个虚拟机,虚拟机通过自身所属的宿主机与网关服务器通信连接,网关服务器分别与私有云服务器及公有云服务器通信连接,其中,
网关服务器,用于接收第一主机发送的第一数据包,其中,第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址;获得第一主机所属网络的网络标识;根据预先设置的网络标识与目标公有云服务器的访问关系,确定是否允许第一主机访问目标公有云服务器;在确定允许的情况下,基于第一IP地址及预先设置的映射关系,对第一数据包进行IP地址转换,其中,映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系;
目标公有云服务器,用于接收网关服务器发送的转换后的第一数据包。
具体的,当第一主机为VPC中的虚拟机时,网关服务器,具体用于从第一数据包携带的信息获得第一主机所属网络的网络标识;
配置有虚拟机的宿主机,用于根据虚拟机的物理特征确定网络标识。
需要说明的是,宿主机中还配置有虚拟交换机,虚拟交换机在接收到虚拟机发送的第一数据包后,如果确定该第一数据包携带的目的IP地址为其他宿主机上部署的虚拟机的IP地址,则将该第一数据包转发给其他宿主机上部署的虚拟交换机,否则将第一数据包发送给网关服务器。在这种情况下,可以理解为第一数据包由虚拟交换机发送给网关服务器的。虚拟机通过自身所属的宿主机与网关服务器通信连接,可以理解为虚拟机通过虚拟交换机与网关服务器通信连接。
具体的,当第一主机为私有云服务器时,
网关服务器,具体用于根据网关服务器与私有云服务器之间的VPN或互联网专线的隧道属性与网络标识的对应关系,获得第一主机所属网络的网络标识。
具体的,网关服务器,具体用于:
基于第一IP地址及预先设置的映射关系,确定目标公有云服务器在underlay网络中的第二IP地址;
将第一数据包携带的第一IP地址转换为第二IP地址,将第一数据包携带的第一主机的IP地址转换为网关服务器的公网IP地址。
具体的,目标公有云服务器,还用于针对转换后的第一数据包的响应数据包生成第二数据包,并将第二数据包发送给网关服务器;
网关服务器,用于接收目标公有云服务器发送的第二数据包,基于记录的所述网络标识、对所述第一数据包进行IP地址转换前、后的IP地址三者之间的对应关系,对第二数据包进行IP地址转换,其中,所述三者之间的对应关系为:对所述第一数据包进行IP地址转换之后记录的;将转换后的第二数据包发送至第一主机。
相较于现有技术,本发明实施例不需要在公有云服务器中部署ACL机制,因此不存在因为ACL配置不同步而造成的安全问题。根据网络标识与目标公有云服务器的访问关系,确定是否允许第一主机访问目标公有云服务器,基于公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系,对第一数据包进行IP地址转换,能够对公有云服务器的访问提供更底层的网络隔离,不需要配置ACL机制减少了安全隐患。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (15)
1.一种数据传输方法,应用于混合云系统中的网关服务器,所述方法包括:
接收第一主机发送的第一数据包,其中,所述第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址;
获得所述第一主机所属网络的网络标识;
根据预先设置的所述网络标识与所述目标公有云服务器的访问关系,确定是否允许所述第一主机访问所述目标公有云服务器;
在确定允许的情况下,基于所述第一IP地址及预先设置的映射关系,对所述第一数据包进行IP地址转换,其中,所述映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系;
将转换后的所述第一数据包发送给所述目标公有云服务器。
2.根据权利要求1所述的方法,其特征在于,当所述第一主机为VPC网络中的虚拟机时,
所述获得所述第一主机所属网络的网络标识,包括:
从所述第一数据包携带的信息获得所述第一主机所属网络的网络标识,其中,所述网络标识为配置有所述虚拟机的宿主机根据所述虚拟机的物理特征确定的。
3.根据权利要求1所述的方法,其特征在于,当所述第一主机为私有云服务器时,
所述获得所述第一主机所属网络的网络标识,包括:
根据预先设置的第一属性与网络标识的对应关系,获得所述第一主机所属网络的网络标识,其中,所述第一属性为所述网关服务器与所述私有云服务器之间的VPN的隧道属性或互联网专线的隧道属性。
4.根据权利要求1所述的方法,其特征在于,所述基于所述第一IP地址及预先设置的映射关系,对所述第一数据包进行IP地址转换,包括:
基于所述第一IP地址及预先设置的映射关系,确定所述目标公有云服务器在underlay网络中的第二IP地址;
将所述第一数据包携带的所述第一IP地址转换为所述第二IP地址,将所述第一数据包携带的第一主机的IP地址转换为所述网关服务器的公网IP地址。
5.根据权利要求1所述的方法,其特征在于,所述的方法还包括:
接收所述目标公有云服务器发送的第二数据包,其中,所述第二数据包为所述目标公有云服务器生成的、针对转换后的所述第一数据包的响应数据包;
基于记录的所述网络标识、对所述第一数据包进行IP地址转换前、后的IP地址三者之间的对应关系,对所述第二数据包进行IP地址转换,其中,所述三者之间的对应关系为:对所述第一数据包进行IP地址转换之后记录的;
将转换后的所述第二数据包发送至所述第一主机。
6.一种数据传输装置,应用于混合云系统中的网关服务器,所述装置包括:
第一接收模块,用于接收第一主机发送的第一数据包,其中,所述第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址;
获得模块,用于获得所述第一主机所属网络的网络标识;
确定模块,用于根据预先设置的所述网络标识与所述目标公有云服务器的访问关系,确定是否允许所述第一主机访问所述目标公有云服务器;
第一转换模块,用于在所述确定模块的确定结果为允许的情况下,基于所述第一IP地址及预先设置的映射关系,对所述第一数据包进行IP地址转换,其中,所述映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系;
第一发送模块,用于将转换后的所述第一数据包发送给所述目标公有云服务器。
7.根据权利要求6所述的装置,其特征在于,当所述第一主机为VPC网络中的虚拟机时,
所述获得模块,具体用于:
从所述第一数据包携带的信息获得所述第一主机所属网络的网络标识,其中,所述网络标识为配置有所述虚拟机的宿主机根据所述虚拟机的物理特征确定的。
8.根据权利要求6所述的装置,其特征在于,当所述第一主机为私有云服务器时,
所述获得模块,具体用于:
根据所述网关服务器与所述私有云服务器之间的VPN或互联网专线的隧道属性与网络标识的对应关系,获得所述第一主机所属网络的网络标识。
9.根据权利要求6所述的装置,其特征在于,所述第一转换模块,包括:
确定子模块,用于基于所述IP地址及预先设置的映射关系,确定所述目标公有云服务器在underlay网络中的第二IP地址;
转换子模块,用于将所述第一数据包携带的所述第一IP地址转换为所述第二IP地址,将所述第一数据包携带的第一主机的IP地址转换为所述网关服务器的公网IP地址。
10.根据权利要求6所述的装置,其特征在于,所述的装置还包括:
第二接收装置,用于接收所述目标公有云服务器发送的第二数据包,其中,所述第二数据包为所述目标公有云服务器生成的、针对转换后的所述第一数据包的响应数据包;
第二转换模块,用于基于记录的所述网络标识、对所述第一数据包进行IP地址转换前、后的IP地址三者之间的对应关系,对所述第二数据包进行IP地址转换,其中,所述三者之间的对应关系为:对所述第一数据包进行IP地址转换之后记录的;
第二发送模块,用于将转换后的所述第二数据包发送至所述第一主机。
11.一种混合云系统,所述混合云系统包括了VPC网络、网关服务器、至少一个私有云服务器和至少一个公有云服务器,VPC网络中部署了至少一个虚拟机,虚拟机通过自身所属的宿主机与所述网关服务器通信连接,所述网关服务器分别与私有云服务器及公有云服务器通信连接,其中,
所述网关服务器,用于接收第一主机发送的第一数据包,其中,所述第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址;获得所述第一主机所属网络的网络标识;根据预先设置的所述网络标识与所述目标公有云服务器的访问关系,确定是否允许所述第一主机访问所述目标公有云服务器;在确定允许的情况下,基于所述第一IP地址及预先设置的映射关系,对所述第一数据包进行IP地址转换,其中,所述映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系;将进行IP地址转换后的所述第一数据包发送给所述目标公有云服务器;
所述目标公有云服务器,用于接收所述网关服务器发送的转换后的所述第一数据包。
12.根据权利要求11所述的系统,其特征在于,当所述第一主机为VPC网络中的虚拟机时,
所述网关服务器,具体用于从所述第一数据包携带的信息获得所述第一主机所属网络的网络标识;
配置有所述虚拟机的宿主机,用于根据所述虚拟机的物理特征确定所述网络标识。
13.根据权利要求11所述的系统,其特征在于,当所述第一主机为私有云服务器时,
所述网关服务器,具体用于:
根据所述网关服务器与所述私有云服务器之间的VPN或互联网专线的隧道属性与网络标识的对应关系,获得所述第一主机所属网络的网络标识。
14.根据权利要求11所述的系统,其特征在于,所述网关服务器,具体用于:
基于所述第一IP地址及预先设置的映射关系,确定所述目标公有云服务器在underlay网络中的第二IP地址;
将所述第一数据包携带的所述第一IP地址转换为所述第二IP地址,将所述第一数据包携带的第一主机的IP地址转换为所述网关服务器的公网IP地址。
15.根据权利要求11所述的系统,其特征在于,
所述目标公有云服务器,还用于针对转换后的所述第一数据包的响应数据包生成第二数据包,并将所述第二数据包发送给所述网关服务器;
所述网关服务器,用于接收所述目标公有云服务器发送的第二数据包基于记录的所述网络标识、对所述第一数据包进行IP地址转换前、后的IP地址三者之间的对应关系,对所述第二数据包进行IP地址转换,其中,所述三者之间的对应关系为:对所述第一数据包进行IP地址转换之后记录的;将转换后的所述第二数据包发送至所述第一主机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610899285.6A CN107959654B (zh) | 2016-10-14 | 2016-10-14 | 一种数据传输方法、装置及混合云系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610899285.6A CN107959654B (zh) | 2016-10-14 | 2016-10-14 | 一种数据传输方法、装置及混合云系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107959654A CN107959654A (zh) | 2018-04-24 |
| CN107959654B true CN107959654B (zh) | 2020-09-25 |
Family
ID=61953602
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610899285.6A Active CN107959654B (zh) | 2016-10-14 | 2016-10-14 | 一种数据传输方法、装置及混合云系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107959654B (zh) |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10911406B2 (en) * | 2018-04-30 | 2021-02-02 | Microsoft Technology Licensing, Llc | Accessing cloud resources using private network addresses |
| CN108768971A (zh) * | 2018-05-15 | 2018-11-06 | 平安科技(深圳)有限公司 | 信息交互方法、装置、设备及可读存储介质 |
| CN109347715B (zh) * | 2018-07-17 | 2021-03-30 | 中国银联股份有限公司 | 一种外部租户的专线网络接入方法及其系统 |
| CN108900637A (zh) * | 2018-08-08 | 2018-11-27 | 北京百度网讯科技有限公司 | 用于传输信息的方法及装置 |
| CN110875889B (zh) * | 2018-09-03 | 2022-09-27 | 阿里巴巴集团控股有限公司 | 一种用于获取路径的方法及其装置 |
| CN109450905B (zh) * | 2018-11-20 | 2021-05-04 | 郑州云海信息技术有限公司 | 传输数据的方法和装置及系统 |
| CN111225071B (zh) * | 2018-11-23 | 2022-11-22 | 深信服科技股份有限公司 | 一种云平台及跨云平台网络互通系统、方法 |
| CN109889621B (zh) * | 2019-01-18 | 2021-07-16 | 北京百度网讯科技有限公司 | 虚拟私有云服务的配置方法和装置 |
| CN109561171B (zh) * | 2019-01-22 | 2021-11-16 | 北京百度网讯科技有限公司 | 虚拟私有云服务的配置方法和装置 |
| CN110213147B (zh) * | 2019-02-22 | 2021-09-03 | 企商在线(北京)网络股份有限公司 | 一种云网络互通方法、装置、存储介质及终端设备 |
| CN110430117B (zh) * | 2019-08-13 | 2020-05-19 | 广州竞远安全技术股份有限公司 | 一种连接云端网络与用户内网的高并发隧道系统及方法 |
| CN110855618B (zh) * | 2019-10-15 | 2022-04-15 | 紫光云(南京)数字技术有限公司 | 基于混合云的音视频服务系统 |
| CN114363346B (zh) * | 2020-02-14 | 2024-06-04 | 北京百度网讯科技有限公司 | Ip挂载、数据处理方法和装置 |
| CN111327720B (zh) * | 2020-02-21 | 2022-11-29 | 北京百度网讯科技有限公司 | 一种网络地址转换方法、装置、网关设备及存储介质 |
| CN111371685B (zh) * | 2020-02-28 | 2022-06-17 | 北京百度网讯科技有限公司 | 数据处理、IPv6挂载方法和装置 |
| CN111464609A (zh) * | 2020-03-27 | 2020-07-28 | 北京金山云网络技术有限公司 | 数据通信方法、装置及电子设备 |
| CN111698346B (zh) * | 2020-06-11 | 2023-01-17 | 北京百度网讯科技有限公司 | 一种专线网络地址转换方法、装置、专线网关及存储介质 |
| CN111934970B (zh) * | 2020-08-06 | 2022-11-08 | 北京字节跳动网络技术有限公司 | 一种数据传输方法、装置及系统 |
| CN112333282B (zh) * | 2020-11-17 | 2024-03-26 | 中国人寿保险股份有限公司 | 一种基于混合云的服务提供方法、装置、介质及电子设备 |
| CN114553707B (zh) * | 2020-11-26 | 2023-09-15 | 腾讯科技(深圳)有限公司 | 网络的拓扑信息的生成和网络故障的定界方法、装置 |
| US20220171649A1 (en) * | 2020-11-30 | 2022-06-02 | Juniper Networks, Inc. | Extending a software defined network between public cloud computing architecture and a data center |
| CN114650290A (zh) * | 2020-12-17 | 2022-06-21 | 中移(苏州)软件技术有限公司 | 网络连通的方法、处理装置、终端及存储介质 |
| CN114666270A (zh) * | 2020-12-23 | 2022-06-24 | 中国移动通信有限公司研究院 | 一种数据传输方法网络设备及系统 |
| CN113037758B (zh) * | 2021-03-12 | 2023-04-07 | 中国建设银行股份有限公司 | 安全漏洞扫描方法、装置以及计算机可读介质 |
| CN113162836B (zh) * | 2021-04-25 | 2023-01-24 | 北京火山引擎科技有限公司 | 虚拟局域网联通方法、装置、云服务器、介质和电子设备 |
| CN115914389A (zh) * | 2021-08-09 | 2023-04-04 | 北京字节跳动网络技术有限公司 | 云服务控制系统、方法、装置、电子设备和存储介质 |
| CN113783765B (zh) * | 2021-08-10 | 2023-01-06 | 济南浪潮数据技术有限公司 | 一种实现云内网和云外网互通的方法、系统、设备和介质 |
| CN113556414B (zh) * | 2021-09-18 | 2021-12-10 | 浙江国利信安科技有限公司 | 用于网络间通信的方法、网关设备和存储介质 |
| CN114025010B (zh) * | 2021-10-20 | 2024-04-16 | 北京奥星贝斯科技有限公司 | 建立连接的方法和网络设备 |
| CN114499921A (zh) * | 2021-11-26 | 2022-05-13 | 中国南方电网有限责任公司 | 数据包文件重放方法、数据包文件获取方法和装置 |
| CN114157485A (zh) * | 2021-12-03 | 2022-03-08 | 北京天融信网络安全技术有限公司 | 一种资源访问方法、装置和电子设备 |
| CN114499935B (zh) * | 2021-12-17 | 2023-08-29 | 阿里巴巴(中国)有限公司 | 云平台的访问方法、装置、设备及存储介质 |
| CN114286420B (zh) * | 2021-12-21 | 2023-09-05 | 深圳创维数字技术有限公司 | 基于pon技术的网关的锁定方法、装置、服务器以及介质 |
| CN114500376B (zh) * | 2021-12-30 | 2024-04-09 | 网络通信与安全紫金山实验室 | 一种访问云资源池的方法、系统、服务器及存储介质 |
| CN114978808B (zh) * | 2022-05-13 | 2023-05-23 | 曙光信息产业股份有限公司 | 一种数据转发方法、装置、电子设备及存储介质 |
| CN115622808B (zh) * | 2022-12-13 | 2023-05-23 | 北京市大数据中心 | 安全隔离的方法、电子设备、计算机可读介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104106240A (zh) * | 2012-02-24 | 2014-10-15 | 华为技术有限公司 | 覆盖网络中转发和地址解析的平衡 |
| CN105554084A (zh) * | 2015-12-10 | 2016-05-04 | 杭州古北电子科技有限公司 | 生成一次性资源地址并与真实资源地址映射的系统及方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130070661A (ko) * | 2011-12-14 | 2013-06-28 | 한국전자통신연구원 | 단말간 직접 통신을 위한 제어 방법 |
| WO2013091196A1 (zh) * | 2011-12-21 | 2013-06-27 | 华为技术有限公司 | 设定用户访问虚拟机权限的方法、设备和系统 |
| US9203784B2 (en) * | 2012-04-24 | 2015-12-01 | Cisco Technology, Inc. | Distributed virtual switch architecture for a hybrid cloud |
| CN103067406B (zh) * | 2013-01-14 | 2015-07-22 | 暨南大学 | 一种公有云与私有云之间的访问控制系统及方法 |
| US20140366155A1 (en) * | 2013-06-11 | 2014-12-11 | Cisco Technology, Inc. | Method and system of providing storage services in multiple public clouds |
| US9705847B2 (en) * | 2013-11-13 | 2017-07-11 | Institute For Information Industry | Management server and management method thereof for managing cloud appliances in virtual local area networks |
| CN104902005A (zh) * | 2015-04-13 | 2015-09-09 | 中国联合网络通信集团有限公司 | 一种混合云中的资源调度方法、系统和私有云 |
| CN105681075B (zh) * | 2015-12-30 | 2019-06-14 | 中国银联股份有限公司 | 基于混合云平台的网络管理系统 |
-
2016
- 2016-10-14 CN CN201610899285.6A patent/CN107959654B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104106240A (zh) * | 2012-02-24 | 2014-10-15 | 华为技术有限公司 | 覆盖网络中转发和地址解析的平衡 |
| CN105554084A (zh) * | 2015-12-10 | 2016-05-04 | 杭州古北电子科技有限公司 | 生成一次性资源地址并与真实资源地址映射的系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107959654A (zh) | 2018-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107959654B (zh) | 一种数据传输方法、装置及混合云系统 | |
| US11646964B2 (en) | System, apparatus and method for providing a virtual network edge and overlay with virtual control plane | |
| US20230224246A1 (en) | System, apparatus and method for providing a virtual network edge and overlay with virtual control plane | |
| US11792138B2 (en) | Centralized processing of north-south traffic for logical network in public cloud | |
| US9979704B2 (en) | End-to-end security for virtual private service chains | |
| Lasserre et al. | Framework for data center (DC) network virtualization | |
| US10523593B2 (en) | System, apparatus and method for providing a virtual network edge and overlay | |
| Quinn et al. | Problem statement for service function chaining | |
| US9929964B2 (en) | System, apparatus and method for providing aggregation of connections with a secure and trusted virtual network overlay | |
| US20150288651A1 (en) | Ip packet processing method and apparatus, and network system | |
| Quinn et al. | RFC 7498: Problem Statement for Service Function Chaining | |
| CA2912643A1 (en) | System, apparatus and method for providing a virtual network edge and overlay with virtual control plane | |
| CA2990045C (en) | System, apparatus and method for providing a virtual network edge and overlay | |
| WO2020029793A1 (zh) | 一种上网行为管理系统、设备及方法 | |
| Dayananda et al. | Architecture for inter-cloud services using IPsec VPN | |
| Fancy et al. | An evaluation of alternative protocols-based Virtual Private LAN Service (VPLS) | |
| US20150381387A1 (en) | System and Method for Facilitating Communication between Multiple Networks | |
| CN107634884B (zh) | 基于虚拟专用拨号网的云化上网行为管理系统及方法 | |
| Yong et al. | Use cases for data center network virtualization overlay networks | |
| Zhang | The solution and management of VPN based IPSec technology | |
| Isaac et al. | Internet Engineering Task Force (IETF) L. Yong Request for Comments: 8151 L. Dunbar Category: Informational Huawei | |
| Bitar et al. | Internet Engineering Task Force (IETF) M. Lasserre Request for Comments: 7365 F. Balus Category: Informational Alcatel-Lucent |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |