CN108111461B - 实现虚拟机访问管理网络的方法、装置、网关及系统 - Google Patents
实现虚拟机访问管理网络的方法、装置、网关及系统 Download PDFInfo
- Publication number
- CN108111461B CN108111461B CN201611043210.4A CN201611043210A CN108111461B CN 108111461 B CN108111461 B CN 108111461B CN 201611043210 A CN201611043210 A CN 201611043210A CN 108111461 B CN108111461 B CN 108111461B
- Authority
- CN
- China
- Prior art keywords
- network
- management network
- virtual machine
- service
- preset rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000013507 mapping Methods 0.000 claims abstract description 29
- 238000012423 maintenance Methods 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 18
- 238000004590 computer program Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000012795 verification Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 102100025825 Methylated-DNA-protein-cysteine methyltransferase Human genes 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 108040008770 methylated-DNA-[protein]-cysteine S-methyltransferase activity proteins Proteins 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2557—Translation policies or rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种实现虚拟机访问管理网络的方法,包括:接收虚拟网络服务器发送的虚拟机访问管理网络的配置消息;所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;根据所述配置消息生成预设规则,所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系;将所述预设规则发送至P2M gateway。本发明实施例同时还公开了一种实现虚拟机访问管理网络的装置、网关及系统。
Description
技术领域
本发明涉及云计算领域,尤其涉及一种实现虚拟机访问管理网络的方法、装置、网关及系统。
背景技术
云计算平台为消费者提供了基础设施即服务(Infrastructure as a Service,IaaS)及平台即服务(Platform as a Service,PaaS)的服务,IaaS根据不同实体、不同组件、不同服务对网络的不同需求定义了管理网络、租户网络和外部网络三类常见的网络;通常情况下,管理网络与租户网络严格隔离,虚拟机不能通过租户网络访问管理网络上的系统和服务,而且,基础设施的核心服务并不需要与虚拟机进行通信;但随着PaaS技术的迅猛发展,虚拟机上可以使用的软件越来越多,尤其是大型的、复杂的软件被集成到虚拟机中,使得虚拟机具备了提供更多高级服务,如数据库服务、超文本传输协议(HyperTextTransfer Protocol,HTTP)服务等的能力;为了提供这些服务,虚拟机则需要与基础设施上的核心服务,如消息队列服务、认证服务等进行通信。
目前,虚拟机访问基础设施上的网络服务是通过外部网络实现的;而提供外部网络服务的网元无法有效地识别虚拟机访问基础设施上的网络服务流量,当虚拟机没有被认证而是直接访问基础设施上的网络服务时,会对基础设施的安全造成严重的威胁;而要是在配置上加以严格地控制,逐条记录访问信息又有悖于云计算自服务的特点,使配置不够灵活。
发明内容
有鉴于此,本发明实施例期望提供一种实现虚拟机访问管理网络的方法、装置、网关及系统,以实现虚拟机对管理网络上网络服务的访问,提高访问的安全性和配置的灵活性。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供一种实现虚拟机访问管理网络的方法,所述方法包括:
接收虚拟网络服务器发送的虚拟机访问管理网络的配置消息;所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;
根据所述配置消息生成预设规则,所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系;
将所述预设规则发送至虚拟网络到管理网络的网关P2M gateway。
上述方案中,在所述接收虚拟网络服务器发送的虚拟机访问管理网络的配置消息之后,所述方法还包括:
对所述虚拟机访问管理网络的配置消息进行维护,得到维护后的虚拟机访问管理网络的配置消息;
所述根据所述配置消息生成预设规则,包括:
根据所述维护后的虚拟机访问管理网络的配置消息生成预设规则。
上述方案中,所述基础设施上的服务在管理网络上的网络信息为:所述基础设施上的服务在管理网络上的IP地址和端口信息;
所述基础设施上的服务在租户网络上的网络信息为:所述基础设施上的服务在租户网络上的IP地址和端口信息。
上述方案中,所述配置消息还包括:
对基于租户的网络服务,所述配置消息还包括:网络服务的IP地址、监听的端口、租户及指定的使用所述网络服务的网络信息和子网信息;
对基于用户的网络服务,所述配置消息还包括:网络服务的IP地址、监听的端口、用户及指定的使用所述网络服务的网络信息和子网信息;
对基于不区分租户或用户的网络服务,所述配置消息还包括:网络服务的IP地址、监听端口及指定的使用所述网络服务的网络信息和子网信息。
本发明提供一种实现虚拟机访问管理网络的方法,所述方法包括:
接收虚拟网络到管理网络的装置P2M agent发送的预设规则;所述预设规则是由所述P2M agent根据虚拟网络服务器发送的虚拟机访问管理网络的配置消息生成的,所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系;
在确定接收到的虚拟机访问管理网络的报文满足所述预设规则时,将所述虚拟机访问管理网络的报文转发至所述管理网络。
上述方案中,在所述在确定接收到的虚拟机访问管理网络的报文满足所述预设规则时,将所述虚拟机访问管理网络的报文转发至所述管理网络之前,所述方法还包括:
判断所述接收到的虚拟机访问管理网络的报文是否满足所述预设规则;
所述在确定接收到的虚拟机访问管理网络的报文满足所述预设规则时,将所述虚拟机访问管理网络的报文转发至所述管理网络,包括:
在确定接收到的虚拟机访问管理网络的报文中的目的IP地址和目的端口信息匹配所述预设规则中的在租户网络上的IP地址和端口信息时,将所述虚拟机访问管理网络的报文中的目的IP地址和目的端口信息替换成所述预设规则中的与所述在租户网络上的IP地址和端口信息映射的在管理网络上的IP地址和端口信息,将网络信息被修改后的虚拟机访问管理网络的报文转发至所述管理网络。
本发明提供一种虚拟网络到管理网络的装置P2M agent,所述P2M agent包括:
接收模块,用于接收虚拟网络服务器发送的虚拟机访问管理网络的配置消息;所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;
生成模块,用于根据所述配置消息生成预设规则,所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系;
发送模块,用于将所述预设规则发送至虚拟网络到管理网络的网关P2M gateway。
上述方案中,所述装置还包括:
维护模块,用于对所述虚拟机访问管理网络的配置消息进行维护,得到维护后的虚拟机访问管理网络的配置消息;
所述生成模块,具体用于根据所述维护后的虚拟机访问管理网络的配置消息生成预设规则。
本发明提供一种虚拟网络到管理网络的网关P2M gateway,所述P2M gateway包括:
接收模块,用于接收虚拟网络到管理网络的装置P2M agent发送的预设规则;所述预设规则是由所述P2M agent根据虚拟网络服务器发送的虚拟机访问管理网络的配置消息生成的,所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系;
转发模块,用于在确定接收到的虚拟机访问管理网络的报文满足所述预设规则时,将所述虚拟机访问管理网络的报文转发至所述管理网络。
上述方案中,所述装置还包括:
判断模块,用于判断所述接收到的虚拟机访问管理网络的报文是否满足所述预设规则;
所述转发模块,具体用于在确定接收到的虚拟机访问管理网络的报文中的目的IP地址和目的端口信息匹配所述预设规则中的在租户网络上的IP地址和端口信息时,将所述虚拟机访问管理网络的报文中的目的IP地址和目的端口信息替换成所述预设规则中的与所述在租户网络上的IP地址和端口信息映射的在管理网络上的IP地址和端口信息,将网络信息被修改后的虚拟机访问管理网络的报文转发至所述管理网络。
本发明提供一种实现虚拟机访问管理网络的系统,所述系统包括如上述方案中所述的虚拟网络到管理网络的装置P2M agent及如上述方案中所述的虚拟网络到管理网络的网关P2M gateway。
本发明实施例所提供的实现虚拟机访问管理网络的方法、装置、网关及系统,通过虚拟网络到管理网络的装置P2M agent接收虚拟网络服务器发送的虚拟机访问管理网络的配置消息;所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;根据所述配置消息生成预设规则,所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系;将所述预设规则发送至虚拟网络到管理网络的网关P2M gateway;实现了虚拟机对管理网络上网络服务的访问,提高了访问的安全性和配置的灵活性。
附图说明
图1为本发明实现虚拟机访问管理网络的方法实施例一的流程图;
图2为本发明实现虚拟机访问管理网络的方法实施例二的流程图;
图3为本发明实现虚拟机访问管理网络的方法实施例三的流程图;
图4为本发明P2M agent和P2M gateway在网络节点上的逻辑关系示意图;
图5为本发明虚拟机访问管理网络的数据转发路径示意图;
图6为本发明虚拟网络到管理网络的装置P2M agent实施例的结构示意图;
图7为本发明虚拟网络到管理网络的网关P2M gateway实施例的结构示意图;
图8为本发明实现虚拟机访问管理网络的系统实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
实施例一
图1为本发明实现虚拟机访问管理网络的方法实施例一的流程图;如图1所示,本发明实施例提供的实现虚拟机访问管理网络的方法运用在虚拟网络到管理网络的装置(Private network to Management network agent,P2M agent)上,该方法可以包括如下步骤:
步骤101:接收虚拟网络服务器发送的虚拟机访问管理网络的配置消息;所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务。
P2M agent接收由虚拟网络服务器发送的虚拟机访问管理网络的配置消息,该配置消息中包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务。
对基于租户的网络服务,所述配置消息还包括:网络服务的IP地址、监听的端口、租户及指定的使用所述网络服务的网络信息和子网信息;对基于用户的网络服务,所述配置消息还包括:网络服务的IP地址、监听的端口、用户及指定的使用所述网络服务的网络信息和子网信息;对基于不区分租户或用户的网络服务,所述配置消息还包括:网络服务的IP地址、监听端口及指定的使用所述网络服务的网络信息和子网信息。
步骤102:根据所述配置消息生成预设规则,所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系。
P2M agent在接收到虚拟网络服务器发送的配置消息后,根据所述配置消息生成预设规则,该预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系,即包含有基础设施上的服务在管理网络上的IP地址和端口信息以及基础设施上的服务在租户网络上的IP地址和端口信息之间的映射关系。
步骤103:将所述预设规则发送至虚拟网络到管理网络的网关P2M gateway。
P2M agent在根据所述配置消息生成预设规则之后,将生成的预设规则发送至虚拟网络到管理网络的网关(Private network to Management network gateway,P2Mgateway);该预设规则用于判断和匹配转发虚拟机访问管理网络的报文。
本发明实施例提供的实现虚拟机访问管理网络的方法,通过P2M agent接收虚拟网络服务器发送的虚拟机访问管理网络的配置消息;所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;根据所述配置消息生成预设规则,所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系;将所述预设规则发送至P2Mgateway;实现了虚拟机对管理网络上网络服务的访问,提高了虚拟机访问管理网络的安全性和配置的灵活性。
实施例二
图2为本发明实现虚拟机访问管理网络的方法实施例二的流程图;如图2所示,本发明实施例提供的实现虚拟机访问管理网络的方法运用在虚拟网络到管理网络的网关(Private network to Management network gateway,P2M gateway)上,该方法可以包括如下步骤:
步骤201:接收虚拟网络到管理网络的装置P2M agent发送的预设规则;所述预设规则是由所述P2M agent根据虚拟网络服务器发送的虚拟机访问管理网络的配置消息生成的,所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系。
P2M gateway接收P2M agent发送的预设规则;该预设规则由P2M agent根据虚拟网络服务器发送的虚拟机访问管理网络的配置消息生成,包含有基础设施上的服务在管理网络上的IP地址和端口信息以及基础设施上的服务在租户网络上的IP地址和端口信息之间的映射关系。
其中,所述配置消息包括允许指定的虚拟机访问基础设施上的服务以及限制非指定的虚拟机访问基础设施上的服务。
步骤202:在确定接收到的虚拟机访问管理网络的报文满足所述预设规则时,将所述虚拟机访问管理网络的报文转发至所述管理网络。
P2M gateway接收到虚拟机访问管理网络的报文之后,首先判断该虚拟机访问管理网络的报文是否满足接收到的由P2M agent发送的预设规则,在确定该虚拟机访问管理网络的报文满足所述预设规则时,将该虚拟机访问管理网络的报文转发给管理网络。
具体的,P2M gateway在接收到虚拟机访问管理网络的报文之后,判断所述虚拟机访问管理网络的报文中的目的IP地址和目的端口信息是否与所述预设规则中的在租户网络上的IP地址和端口信息匹配,当确定所述虚拟机访问管理网络的报文中的目的IP地址和目的端口信息与预设规则中的在租户网络上的IP地址和端口信息匹配时,将所述虚拟机访问管理网络的报文中的目的IP地址和目的端口信息替换成预设规则中的与所述在租户网络上的IP地址和端口信息映射的在管理网络上的IP地址和端口信息,然后将该网络信息被修改后的虚拟机访问管理网络的报文转发至管理网络,实现虚拟机对管理网络的访问。
本发明实施例提供的虚拟机访问管理网络的方法,通过P2M gateway接收P2Magent发送的预设规则;所述预设规则是由所述P2M agent根据虚拟网络服务器发送的虚拟机访问管理网络的配置消息生成的,所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系;在确定接收到的虚拟机访问管理网络的报文满足所述预设规则时,将所述虚拟机访问管理网络的报文转发至所述管理网络;实现了虚拟机对管理网络上网络服务的访问,提高了虚拟机访问管理网络的安全性。
实施例三
图3为本发明实现虚拟机访问管理网络的方法实施例三的流程图;如图3所示,本发明实施例提供的实现虚拟机访问管理网络的方法运用在P2M agent与P2M gateway之间,该交互的方法可以包括如下步骤:
步骤301:云计算用户对基础设施上的网络服务进行配置,将生成的虚拟机访问管理网络的配置消息下发给虚拟网络服务器。
云计算用户通过云平台对基础设施上的网络服务进行配置,生成虚拟机访问管理网络的配置消息,并通过云平台接口将该配置消息通过表述性状态转移应用程序编程接口(Representational State Transfer Application Programming Interface,RESTfulAPI)下发给虚拟网络服务器;该配置消息能够允许指定的虚拟机访问基础设施上的服务而限制非指定的虚拟机访问基础设施上的服务。
具体的,对基于租户的网络服务,每一个云计算用户都可以绑定一个属于自己的租户,在表示网络服务时,需至少配置:网络服务的IP地址、监听的端口、租户及指定的使用所述网络服务的网络信息和子网信息;对基于用户的网络服务,每一个云计算用户都可以绑定一个属于自己的用户,在表示网络服务时,需至少配置:网络服务的IP地址、监听的端口、用户及指定的使用所述网络服务的网络信息和子网信息;对基于不区分租户或用户的网络服务,需要由基础设施的管理员决定是否为用户提供该服务,如果提供,则需要确保该服务的内部系统是安全的,在表示网络服务时,需至少配置:网络服务的IP地址、监听端口及指定的使用所述网络服务的网络信息和子网信息;只有属于指定的网络和子网上的虚拟机才能访问基础设施上的服务,而不属于指定的网络和子网上的虚拟机则不能对基础设施上的服务进行访问。
步骤302:虚拟网络服务器将校验通过之后的虚拟机访问管理网络的配置消息发送给P2M agent。
虚拟网络服务器在接收到虚拟机访问管理网络的配置消息之后,对该配置消息进行必要的检查校验,比如对该配置消息中的监听端口信息、网络服务的IP地址进行检查校验,通过之后,将该配置消息发送给P2M agent。
步骤303:P2M agent对虚拟机访问管理网络的配置消息进行维护,得到维护后的虚拟机访问管理网络的配置消息。
P2M agent接收到虚拟机访问管理网络的配置消息之后,根据用户的需求对该配置消息进行维护,得到维护后的虚拟机访问管理网络的配置消息。
具体的,云服务提供商通常会给云计算用户提供自服务界面,云计算用户可以按照自己的需求添加新的网络服务访问请求,或者是删除、修改某项服务;当云计算用户对基础设施上的网络服务进行了更改,比如删除了某项服务,P2Magent则会根据虚拟网络服务器发送来的更改信息对虚拟机访问管理网络的配置消息做相应的更改,比如删除某项服务,实现对虚拟机访问管理网络的配置消息的维护,得到维护后的虚拟机访问管理网络的配置消息。
步骤304:P2M agent根据维护后的虚拟机访问管理网络的配置消息生成预设规则。
P2M agent对虚拟机访问管理网络的配置消息进行维护,得到维护后的虚拟机访问管理网络的配置消息之后,将该维护后的虚拟机访问管理网络的配置消息生成预设规则,该预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系,即基础设施上的服务在管理网络上的IP地址和端口信息以及基础设施上的服务在租户网络上的IP地址和端口信息的映射关系。
具体的,P2M agent在得到维护后的虚拟机访问管理网络的配置消息之后,通过逻辑映射层计算得到基础设施上的服务在管理网络上的IP地址和端口信息映射后的IP地址和端口信息,该映射后的IP地址和端口信息就是基础设施上的服务在租户网络上的IP地址和端口信息;
P2M agent进一步将维护后的虚拟机访问管理网络的配置消息与映射后的IP地址和端口信息组成的网络服务表转换成P2M gateway对应的转发规则,即生成所述预设规则,该预设规则中包含了基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系。
例如,维护后的虚拟机访问管理网络的配置消息与映射后的IP地址和端口信息组成的网络服务表用表一来表示:
表一
如表一所示,租户1的网络ID为ID1,子网ID为ID01,管理网络IP地址为112.100.100.20,管理网络端口为80,私有网络IP地址,即管理网络IP地址映射后的IP地址为192.168.1.100,私有网络端口,即管理网端口映射后的端口为100;租户2的网络ID为ID2,子网ID为ID02,管理网络IP为112.100.100.20,管理网端口为3306,私有网络IP地址,即管理网络IP地址映射后的IP地址为192.168.2.100,私有网络端口,即管理网端口映射后的端口为101。
对于租户1下面的虚拟机,只有其所在网络、子网信息匹配该表的才能访问网络服务,即对于租户1下面的虚拟机,只有其网络ID为ID1、子网ID为ID01、IP地址为192.168.1.100、网络端口为100时才能访问管理网络IP地址为112.100.100.20、端口为80的基础设施上的网络服务;同样的,对于租户2下面的虚拟机,也只有其所在网络、子网信息匹配该表的才能访问基础设施上的网络服务。
另外,对于租户1和租户2下面的虚拟机,其所对应的管理网络IP地址相同,均为112.100.100.20,即多个针对不同租户虚拟机访问的服务地址可以映射为同一个基础设施上的网络服务地址。
P2M agent进一步将网络服务表,即表一中的条目转换成P2M gateway对应的预设规则,其转换后的内容根据其所用的技术的不同而不同。
例如,采用Openflow技术对网络服务表进行转换,其转换后的内容为:
in_port=<来自租户网络网卡>;
nw_dst=<PRIVATE IP>;
nw_proto=tcp;
tcp_dst=<PRIVATE PORT>;
actions=mod_nw_dst:MGMT_IP;
mod_tcp_dst:MGMT_PORT;
output<连接虚拟路由器的port>.
该结果即为生成的预设规则,可以看出,该预设规则中包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系,即MGMT_IP和MGMT_PORT与PRIVATE IP和PRIVATE PORT之间的映射关系。
步骤305:P2M agent将预设规则发送至P2M gateway。
P2M agent根据维护后的虚拟机访问管理网络的配置消息生成适用于底层网络的预设规则之后,将该预设规则发送至P2M gateway。
步骤306:P2M gateway判断接收到的虚拟机访问管理网络的报文是否满足预设规则。
P2M gateway接收到虚拟机访问管理网络的报文后,判断该报文是否满足接收到的由P2M agent发送的预设规则;
若虚拟机访问管理网络的报文不满足所述预设规则,则执行步骤307;若虚拟机访问管理网络的报文满足所述预设规则,则执行步骤308。
具体的,P2M gateway接收到虚拟机访问管理网络的报文后,判断该报文中的目的IP地址和目的端口信息是否与预设规则中的在租户网络上的IP地址和端口信息匹配,若该报文中的目的IP地址和目的端口信息与预设规则中的在租户网络上的IP地址和端口信息不匹配,则执行步骤307;若该报文中的目的IP地址和目的端口信息与预设规则中的在租户网络上的IP地址和端口信息匹配,则执行步骤308。
步骤307:P2M gateway不转发虚拟机访问管理网络的报文。
P2M gateway在判断虚拟机访问管理网络的报文中的目的IP地址和目的端口信息与预设规则中的在租户网络上的IP地址和端口信息不匹配时,不对接收到的虚拟机访问管理网络的报文进行转发。
步骤308:P2M gateway将虚拟机访问管理网络的报文中的目的IP地址和目的端口信息替换成预设规则中的与在租户网络上的IP地址和端口信息映射的在管理网络上的IP地址和端口信息,得到修改后的虚拟机访问管理网络的报文。
P2M gateway在判断虚拟机访问管理网络的报文中的目的IP地址和目的端口信息与预设规则中的在租户网络上的IP地址和端口信息匹配时,将虚拟机访问管理网络的报文中的目的IP地址和目的端口信息替换成预设规则中的与在租户网络上的IP地址和端口信息映射的在管理网络上的IP地址和端口信息,得到修改后的虚拟机访问管理网络的报文。
步骤309:P2M gateway将修改后的虚拟机访问管理网络的报文转发至管理网络。
P2M gateway在对虚拟机访问管理网络的报文的网络信息进行修改,得到修改后的虚拟机访问管理网络的报文后,将该修改后的虚拟机访问管理网络的报文转发至管理网络,比如通过虚拟路由器转发给管理网络,实现虚拟机对管理网络的访问。
为了更加清楚地体现出本发明的目的,在上述实施例的基础上,进一步的举例说明。
本发明提出的P2M agent和P2M gateway运行在提供网络服务的节点上;图4为本发明P2M agent和P2M gateway在网络节点上的逻辑关系示意图;如图4所示,P2M agent位于网络节点的控制面,负责与虚拟网络服务器进行交互,接受并处理基础设施网络服务的注册、更新、注销等请求,当基础设施上的网络服务的访问信息被修改时,P2M agent通过动态调整映射关系来自动地实现访问信息的更新,保证服务的畅通;所有运行于管理网络上的基础设施网络服务都需要向P2M agent注册,未被注册的服务将禁止虚拟机的访问。
P2M gateway位于网络节点的数据转发面,与P2M agent、虚拟交换机以及虚拟路由器进行数据交互,负责对虚拟机访问管理网络的报文进行转发。
图5为本发明虚拟机访问管理网络的数据转发路径示意图;如图5所示,当虚拟机需要访问管理网络上的网络服务,如消息队列服务、数据库服务等服务时,虚拟机将访问管理网络的报文从其所在的计算节点发送出去,网络节点的虚拟交换机接收到该报文后转发给P2M gateway,P2M gateway则根据P2M agent下发的预设规则对虚拟机访问管理网络的报文中的目的IP地址和目的端口信息进行匹配,在确定该报文中的目的IP地址和目的端口信息与预设规则中的在租户网络上的IP地址和端口信息匹配时,将该报文中的目的IP地址和目的端口信息替换成预设规则中的与在租户网络上的IP地址和端口信息映射的在管理网络上的IP地址和端口信息,得到新的报文;最后,P2M gateway通过虚拟路由器将得到的新的报文转发给管理网络,实现虚拟机对管理网络上的网络服务的访问。
本发明实施例提供的实现虚拟机访问管理网络的方法,通过云计算用户对基础设施上的网络服务进行配置,将生成的虚拟机访问管理网络的配置消息下发给虚拟网络服务器;虚拟网络服务器将校验通过之后的虚拟机访问管理网络的配置消息发送给P2M agent;P2M agent对虚拟机访问管理网络的配置消息进行维护,得到维护后的虚拟机访问管理网络的配置消息;P2M agent根据维护后的虚拟机访问管理网络的配置消息生成预设规则;P2M agent将预设规则发送至P2M gateway;P2M gateway判断接收到的虚拟机访问管理网络的报文是否满足预设规则,若不满足,P2M gateway不转发虚拟机访问管理网络的报文;若满足,P2M gateway将虚拟机访问管理网络的报文中的目的IP地址和目的端口信息替换成预设规则中的与在租户网络上的IP地址和端口信息映射的在管理网络上的IP地址和端口信息,得到修改后的虚拟机访问管理网络的报文;P2M gateway将修改后的虚拟机访问管理网络的报文转发至管理网络;实现了虚拟机对管理网络上网络服务的访问;通过用户的主动配置来允许指定的虚拟机访问而限制非指定的虚拟机访问基础设施上的服务,提高了虚拟机访问管理网络的安全性;用户可以按需添加新的服务访问请求,或删除、修改服务,P2M agent通过动态调整映射关系来自动地实现访问信息的更新,避免了访问信息的修改对虚拟机造成的影响,提高了配置的灵活性。
实施例四
图6为本发明虚拟网络到管理网络的装置P2M agent实施例的结构示意图;如图6所示,本发明实施例提供的P2M agent 06包括:接收模块61、生成模块62、发送模块63;其中,
所述接收模块61,用于接收虚拟网络服务器发送的虚拟机访问管理网络的配置消息;所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;
其中,所述配置消息还包括:
对基于租户的网络服务,所述配置消息还包括:网络服务的IP地址、监听的端口、租户及指定的使用所述网络服务的网络信息和子网信息;
对基于用户的网络服务,所述配置消息还包括:网络服务的IP地址、监听的端口、用户及指定的使用所述网络服务的网络信息和子网信息;
对基于不区分租户或用户的网络服务,所述配置消息还包括:网络服务的IP地址、监听端口及指定的使用所述网络服务的网络信息和子网信息。
所述生成模块62,用于根据所述配置消息生成预设规则,所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系;
其中,所述基础设施上的服务在管理网络上的网络信息为:所述基础设施上的服务在管理网络上的IP地址和端口信息;所述基础设施上的服务在租户网络上的网络信息为:所述基础设施上的服务在租户网络上的IP地址和端口信息。
所述发送模块63,用于将所述预设规则发送至虚拟网络到管理网络的网关P2Mgateway。
进一步的,所述P2M agent 06还包括:维护模块64;其中,
所述维护模块64,用于对所述虚拟机访问管理网络的配置消息进行维护,得到维护后的虚拟机访问管理网络的配置消息。
进一步的,所述生成模块62,具体用于根据所述维护后的虚拟机访问管理网络的配置消息生成预设规则。
本实施例的P2M agent,可以用于执行上述所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在实际应用中,所述P2M agent 06的接收模块61,生成模块62,发送模块63,维护模块64,均可由位于P2M agent 06中的中央处理器(Central Processing Unit,CPU)、微处理器(Micro Processor Unit,MPU)、数字信号处理器(Digital Signal Processor,DSP)或现场可编程门阵列(Field Programmable Gate Array,FPGA)等实现。
实施例五
图7为本发明虚拟网络到管理网络的网关P2M gateway实施例的结构示意图;如图7所示,本发明实施例提供的P2M gateway 07包括:接收模块71、转发模块72;其中,
所述接收模块71,用于接收虚拟网络到管理网络的装置P2M agent发送的预设规则;所述预设规则是由所述P2M agent根据虚拟网络服务器发送的虚拟机访问管理网络的配置消息生成的,所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系;
所述转发模块72,用于在确定接收到的虚拟机访问管理网络的报文满足所述预设规则时,将所述虚拟机访问管理网络的报文转发至所述管理网络。
进一步的,所述P2M gateway 07,还包括:判断模块73;其中,
所述判断模块73,用于判断所述接收到的虚拟机访问管理网络的报文是否满足所述预设规则。
进一步的,所述转发模块72,具体用于在确定接收到的虚拟机访问管理网络的报文中的目的IP地址和目的端口信息匹配所述预设规则中的在租户网络上的IP地址和端口信息时,将所述虚拟机访问管理网络的报文中的目的IP地址和目的端口信息替换成所述预设规则中的与所述在租户网络上的IP地址和端口信息映射的在管理网络上的IP地址和端口信息,将网络信息被修改后的虚拟机访问管理网络的报文转发至所述管理网络。
本实施例的P2M gateway,可以用于执行上述所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在实际应用中,所述P2M gateway 07的接收模块71,转发模块72,判断模块73,均可由位于P2M gateway 07中的中央处理器(Central Processing Unit,CPU)、微处理器(Micro Processor Unit,MPU)、数字信号处理器(Digital Signal Processor,DSP)或现场可编程门阵列(Field Programmable Gate Array,FPGA)等实现。
实施例六
图8为本发明实现虚拟机访问管理网络的系统实施例的结构示意图;如图8所示,本发明实施例提供的实现虚拟机访问管理网络的系统08包括:虚拟网络到管理网络的装置P2M agent 81、虚拟网络到管理网络的网关P2M gateway 82;其中,
所述P2M agent 81采用如上述实施例所述的P2M agent;
所述P2M gateway 82采用如上述实施例所述的P2M gateway。
本实施例的实现虚拟机访问管理网络的系统,可以用于执行上述所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (11)
1.一种实现虚拟机访问管理网络的方法,其特征在于,所述方法包括:
接收虚拟网络服务器发送的虚拟机访问管理网络的配置消息;所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;
根据所述配置消息生成预设规则,所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系;
将所述预设规则发送至虚拟网络到管理网络的网关P2M gateway。
2.根据权利要求1所述的方法,其特征在于,在所述接收虚拟网络服务器发送的虚拟机访问管理网络的配置消息之后,所述方法还包括:
对所述虚拟机访问管理网络的配置消息进行维护,得到维护后的虚拟机访问管理网络的配置消息;
所述根据所述配置消息生成预设规则,包括:
根据所述维护后的虚拟机访问管理网络的配置消息生成预设规则。
3.根据权利要求1所述的方法,其特征在于,所述基础设施上的服务在管理网络上的网络信息为:所述基础设施上的服务在管理网络上的IP地址和端口信息;
所述基础设施上的服务在租户网络上的网络信息为:所述基础设施上的服务在租户网络上的IP地址和端口信息。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述配置消息还包括:
对基于租户的网络服务,所述配置消息还包括:网络服务的IP地址、监听的端口、租户及指定的使用所述网络服务的网络信息和子网信息;
对基于用户的网络服务,所述配置消息还包括:网络服务的IP地址、监听的端口、用户及指定的使用所述网络服务的网络信息和子网信息;
对基于不区分租户或用户的网络服务,所述配置消息还包括:网络服务的IP地址、监听端口及指定的使用所述网络服务的网络信息和子网信息。
5.一种实现虚拟机访问管理网络的方法,其特征在于,所述方法包括:
接收虚拟网络到管理网络的装置P2M agent发送的预设规则;所述预设规则是由所述P2M agent根据虚拟网络服务器发送的虚拟机访问管理网络的配置消息生成的,所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系;
在确定接收到的虚拟机访问管理网络的报文满足所述预设规则时,将所述虚拟机访问管理网络的报文转发至所述管理网络。
6.根据权利要求5所述的方法,其特征在于,在所述在确定接收到的虚拟机访问管理网络的报文满足所述预设规则时,将所述虚拟机访问管理网络的报文转发至所述管理网络之前,所述方法还包括:
判断所述接收到的虚拟机访问管理网络的报文是否满足所述预设规则;
所述在确定接收到的虚拟机访问管理网络的报文满足所述预设规则时,将所述虚拟机访问管理网络的报文转发至所述管理网络,包括:
在确定接收到的虚拟机访问管理网络的报文中的目的IP地址和目的端口信息匹配所述预设规则中的在租户网络上的IP地址和端口信息时,将所述虚拟机访问管理网络的报文中的目的IP地址和目的端口信息替换成所述预设规则中的与所述在租户网络上的IP地址和端口信息映射的在管理网络上的IP地址和端口信息,将网络信息被修改后的虚拟机访问管理网络的报文转发至所述管理网络。
7.一种虚拟网络到管理网络的装置P2M agent,其特征在于,所述P2M agent包括:
接收模块,用于接收虚拟网络服务器发送的虚拟机访问管理网络的配置消息;所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;
生成模块,用于根据所述配置消息生成预设规则,所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系;
发送模块,用于将所述预设规则发送至虚拟网络到管理网络的网关P2M gateway。
8.根据权利要求7所述的装置P2M agent,其特征在于,所述P2M agent还包括:
维护模块,用于对所述虚拟机访问管理网络的配置消息进行维护,得到维护后的虚拟机访问管理网络的配置消息;
所述生成模块,具体用于根据所述维护后的虚拟机访问管理网络的配置消息生成预设规则。
9.一种虚拟网络到管理网络的网关P2M gateway,其特征在于,所述P2M gateway包括:
接收模块,用于接收虚拟网络到管理网络的装置P2M agent发送的预设规则;所述预设规则是由所述P2M agent根据虚拟网络服务器发送的虚拟机访问管理网络的配置消息生成的,所述配置消息包括允许指定的虚拟机访问基础设施上的服务,限制非指定的虚拟机访问基础设施上的服务;所述预设规则包含有基础设施上的服务在管理网络上的网络信息以及基础设施上的服务在租户网络上的网络信息之间的映射关系;
转发模块,用于在确定接收到的虚拟机访问管理网络的报文满足所述预设规则时,将所述虚拟机访问管理网络的报文转发至所述管理网络。
10.根据权利要求9所述的网关P2M gateway,其特征在于,所述P2M gateway还包括:
判断模块,用于判断所述接收到的虚拟机访问管理网络的报文是否满足所述预设规则;
所述转发模块,具体用于在确定接收到的虚拟机访问管理网络的报文中的目的IP地址和目的端口信息匹配所述预设规则中的在租户网络上的IP地址和端口信息时,将所述虚拟机访问管理网络的报文中的目的IP地址和目的端口信息替换成所述预设规则中的与所述在租户网络上的IP地址和端口信息映射的在管理网络上的IP地址和端口信息,将网络信息被修改后的虚拟机访问管理网络的报文转发至所述管理网络。
11.一种实现虚拟机访问管理网络的系统,其特征在于,所述系统包括如权利要求7或8所述的虚拟网络到管理网络的装置P2M agent及如权利要求9或10所述的虚拟网络到管理网络的网关P2M gateway。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611043210.4A CN108111461B (zh) | 2016-11-24 | 2016-11-24 | 实现虚拟机访问管理网络的方法、装置、网关及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611043210.4A CN108111461B (zh) | 2016-11-24 | 2016-11-24 | 实现虚拟机访问管理网络的方法、装置、网关及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108111461A CN108111461A (zh) | 2018-06-01 |
CN108111461B true CN108111461B (zh) | 2020-11-20 |
Family
ID=62203595
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611043210.4A Active CN108111461B (zh) | 2016-11-24 | 2016-11-24 | 实现虚拟机访问管理网络的方法、装置、网关及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108111461B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110535964B (zh) * | 2019-09-03 | 2021-12-14 | 北京首都在线科技股份有限公司 | 基于Paas连接器实现的数据处理方法及装置 |
CN111800340B (zh) * | 2020-06-05 | 2022-08-12 | 北京京东尚科信息技术有限公司 | 数据包转发方法和装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023704A (zh) * | 2012-12-24 | 2013-04-03 | 北京启明星辰信息技术股份有限公司 | 虚拟网络服务设备接入方法及系统 |
CN103346981A (zh) * | 2013-06-28 | 2013-10-09 | 华为技术有限公司 | 虚拟交换方法、相关装置和计算机系统 |
CN104796469A (zh) * | 2015-04-15 | 2015-07-22 | 北京中油瑞飞信息技术有限责任公司 | 云计算平台的配置方法及装置 |
CN104901923A (zh) * | 2014-03-04 | 2015-09-09 | 杭州华三通信技术有限公司 | 一种虚拟机访问装置和方法 |
CN105391771A (zh) * | 2015-10-16 | 2016-03-09 | 张陵 | 一种面向多租户的云网络架构 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9723008B2 (en) * | 2014-09-09 | 2017-08-01 | Oracle International Corporation | System and method for providing an integrated firewall for secure network communication in a multi-tenant environment |
-
2016
- 2016-11-24 CN CN201611043210.4A patent/CN108111461B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023704A (zh) * | 2012-12-24 | 2013-04-03 | 北京启明星辰信息技术股份有限公司 | 虚拟网络服务设备接入方法及系统 |
CN103346981A (zh) * | 2013-06-28 | 2013-10-09 | 华为技术有限公司 | 虚拟交换方法、相关装置和计算机系统 |
CN104901923A (zh) * | 2014-03-04 | 2015-09-09 | 杭州华三通信技术有限公司 | 一种虚拟机访问装置和方法 |
CN104796469A (zh) * | 2015-04-15 | 2015-07-22 | 北京中油瑞飞信息技术有限责任公司 | 云计算平台的配置方法及装置 |
CN105391771A (zh) * | 2015-10-16 | 2016-03-09 | 张陵 | 一种面向多租户的云网络架构 |
Also Published As
Publication number | Publication date |
---|---|
CN108111461A (zh) | 2018-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11695731B2 (en) | Distributed identity-based firewalls | |
US10680946B2 (en) | Adding multi-tenant awareness to a network packet processing device on a software defined network (SDN) | |
US11159569B2 (en) | Elastic policy scaling in multi-cloud fabrics | |
US10728288B2 (en) | Policy-driven workload launching based on software defined networking encryption policies | |
US11856097B2 (en) | Mechanism to provide customer VCN network encryption using customer-managed keys in network virtualization device | |
US11050566B2 (en) | Method for securing the rendezvous connection in a cloud service using routing tokens | |
US9935841B2 (en) | Traffic forwarding for processing in network environment | |
US20160301603A1 (en) | Integrated routing method based on software-defined network and system thereof | |
US20170357528A1 (en) | Customer premises equipment (cpe) with device slicing | |
US11716314B2 (en) | System and apparatus for enhanced QOS, steering and policy enforcement for HTTPS traffic via intelligent inline path discovery of TLS terminating node | |
US10572291B2 (en) | Virtual network management | |
EP3891955B1 (en) | Detecting attacks using handshake requests systems and methods | |
CN110226155B (zh) | 在主机上收集和处理上下文属性 | |
US11848918B2 (en) | End-to-end network encryption from customer on-premise network to customer virtual cloud network using customer-managed keys | |
US20220210005A1 (en) | Synchronizing communication channel state information for high flow availability | |
EP3288235B1 (en) | System and apparatus for enforcing a service level agreement (sla) in a cloud environment using digital signatures | |
US20240291762A1 (en) | Efficient flow management utilizing unified logging | |
CN118451697A (zh) | 基于云的跨域系统–虚拟数据二极管 | |
CN108111461B (zh) | 实现虚拟机访问管理网络的方法、装置、网关及系统 | |
Wang et al. | Novel architectures and security solutions of programmable software-defined networking: a comprehensive survey | |
CN116886309A (zh) | 智融标识网络的切片安全映射方法及系统 | |
WO2022271991A1 (en) | Routing policies for graphical processing units | |
Tan et al. | Development of DDoS Attack Defense System Based on IKEv2 Protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |