CN108521397B - 一种访问资源服务的方法及系统 - Google Patents
一种访问资源服务的方法及系统 Download PDFInfo
- Publication number
- CN108521397B CN108521397B CN201810135958.XA CN201810135958A CN108521397B CN 108521397 B CN108521397 B CN 108521397B CN 201810135958 A CN201810135958 A CN 201810135958A CN 108521397 B CN108521397 B CN 108521397B
- Authority
- CN
- China
- Prior art keywords
- tenant
- virtual machine
- resource
- computing
- data message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000001914 filtration Methods 0.000 claims abstract description 43
- 230000004048 modification Effects 0.000 claims description 12
- 238000012986 modification Methods 0.000 claims description 12
- 238000002955 isolation Methods 0.000 abstract description 13
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 2
- 206010047289 Ventricular extrasystoles Diseases 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000005129 volume perturbation calorimetry Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5072—Grid computing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5077—Logical partitioning of resources; Management or configuration of virtualized resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/547—Remote procedure calls [RPC]; Web services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种访问资源服务的方法及系统。资源服务接到来自租户的虚拟机的数据报文之后,判断数据报文的接收标识是否符合报文过滤规则。只给资源租户的虚拟机发送的数据报文配置符合报文过滤规则的接收标识,普通租户的虚拟机发送的数据报文不配置符合报文过滤规则的接收标识,隔离了资源租户和普通租户,使得普通租户的虚拟机无法访问资源服务,保证了资源服务的网络安全隔离。
Description
技术领域
本发明涉及信息技术领域,尤其涉及一种数据传送的方法和虚拟交换机。
背景技术
开放栈(OpenStack)平台由通用服务器组成,其上上部署的虚拟机架构如图1所示。OpenStack平台可以划分为租户区和服务区。租户区为提供租户能够直接访问的租户虚拟机,服务区为租户提供服务。计算虚拟机不能直接被租户访问,租户可通过访问租户区的租户虚拟机来实现对计算虚拟机的访问,进而获得服务区提供的服务。具体地,服务区包含为租户提供的若干个服务,各服务分别由至少一个计算虚拟机实现。租户区包含若干个租户,每个租户分别包含至少一个虚拟私有云(Virtual Private Cloud,VPC),每个VPC下至少包含一个租户虚拟机。此处,计算虚拟机和租户虚拟机仅为区分服务区和租户区的虚拟机,计算虚拟机和租户虚拟机可以是任意计算机架构上的虚拟机,本发明对此不做限制。普通服务为租户区任何租户都可以访问的服务,包括但不限于补丁服务器、应用程序编程接口网关等,而资源服务只有部分租户可以访问,资源服务包括但不限于关系型数据库服务、弹性负载均衡服务等。与此对应,租户区的租户包括资源租户和普通租户。普通服务可以被租户区的所有租户访问,而资源服务只能被资源租户访问,不能被普通租户访问。因此需要普通租户访问资源服务的流量进行控制,将普通租户与资源租户隔离,使得普通租户无法访问资源服务。
发明内容
一方面,本发明提供一种访问资源服务的方法,该方法应用在公有云平台上。该公有云平台包括服务区和租户区,服务区包括至少一个计算虚拟机,计算虚拟机用于提供云计算服务。租户区包括至少一个租户虚拟机,该方法包括:该计算虚拟机接收租户虚拟机发送的数据报文,该数据报文包含接收标识。该计算虚拟机根据该数据报文的接收标识判断该租户虚拟机所对应的租户是否是资源租户,若该租户虚拟机所对应的租户不是资源租户,该计算虚拟机丢弃该数据报文。
服务区的计算虚拟机根据租户虚拟机发送的数据报文中的接收标识,即可判断数据报文来自资源租户的租户虚拟机还是普通租户的租户虚拟机,并丢弃来自普通租户的租户虚拟机的数据报文,使得普通租户无法访问资源租户,实现了资源租户对资源服务的访问和资源租户与普通租户的隔离。
结合第一方面,在第一方面的第一种可能的实现方式中,该计算虚拟机具有报文过滤规则,该接收标识为差分服务代码点(Differentiated Services Code Point,DSCP)。该计算虚拟机根据该数据报文的接收标识判断该租户虚拟机所对应的租户是否是资源租户,具体包括:该计算虚拟机判断该数据报文的DSCP值与该报文过滤规则中的DSCP值是否相同,若不同,则该租户虚拟机所对应的租户不是资源租户。
利用数据报文中的DSCP位即可实现对数据报文的标识,进而实现资源租户对资源服务的访问和资源租户与普通租户的隔离。
结合第一方面的第一种可能实现方式,在第一方面的第二种可能的实现方式中,该数据报文的DSCP值由网络过滤器(IPTABLES)规则设置,该IPTABLES规则位于该租户虚拟机所在的主机上的命名空间中。
利用租户虚拟机所在的主机的命名空间中的IPTABLES规则,可实现对数据报文中的DSCP值的修改,从而通过为不同的数据报文设置不同的DSCP值来区分来自资源租户的租户虚拟机的数据报文和来自普通租户的租户虚拟机的数据报文,进而实现资源租户对资源服务的访问和资源租户与普通租户的隔离。
结合第一方面的第二种可能实现方式,在第一方面的第三种可能的实现方式中,该IPTABLES规则是根据该租户的虚拟机所在的虚拟私有云(Virtual Private Cloud,VPC)的DSCP值设置的。
通过修改租户的虚拟机所在的VPC的DSCP值,可为该VPC下的虚拟机下发修改对应的DSCP值的IPTABLES规则,进而对来自资源租户的租户虚拟机和普通租户的租户虚拟机的数据报文进行标记,实现资源租户对资源服务的访问和资源租户与普通租户的隔离。
结合第一方面、第一方面的第一至三种可能实现方式中的任一种,在第一方面的第四种可能的实现方式中,该资源租户的租户虚拟机包括具有DSCP修改权限的应用程序编程接口(Application Programming Interface,API),该VPC的DSCP值通过该API修改。
第二方面,本发明实施例提供一种公有云平台,该公有云平台包括服务区和租户区,该服务区包括至少一个计算虚拟机,该计算虚拟机用于提供云计算服务,该租户区包括至少一个租户虚拟机。该租户虚拟机用于向该计算虚拟机发送具有接收标识的数据报文。该计算虚拟机用于:接收该租户虚拟机发送的该数据报文,根据该数据报文的接收标识判断该租户虚拟机所对应的租户是否是资源租户,若该租户虚拟机所对应的租户不是资源租户,丢弃该数据报文。
服务区的计算虚拟机根据租户虚拟机发送的数据报文中的接收标识,即可判断数据报文来自资源租户的租户虚拟机还是普通租户的租户虚拟机,并丢弃来自普通租户的租户虚拟机的数据报文,使得普通租户无法访问资源租户,实现了资源租户对资源服务的访问和资源租户与普通租户的隔离。
结合第二方面,在第二方面的第一种可能的实现方式中,该计算虚拟机具有报文过滤规则,该接收标识为差分服务代码点(Differentiated Services Code Point,DSCP)。该计算虚拟机根据该数据报文的接收标识判断该租户虚拟机所对应的租户是否是资源租户,具体包括:该计算虚拟机判断该数据报文的DSCP值与该报文过滤规则中的DSCP值是否相同,若不同,则该租户虚拟机所对应的租户不是资源租户。
利用数据报文中的DSCP位即可实现对数据报文的标识,进而实现资源租户对资源服务的访问和资源租户与普通租户的隔离。
结合第二方面的第一种可能实现方式,在第二方面的第二种可能的实现方式中,该数据报文的DSCP值由网络过滤器(IPTABLES)规则设置,该IPTABLES规则位于该租户虚拟机所在的主机上的命名空间中。
利用租户虚拟机所在的主机的命名空间中的IPTABLES规则,可实现对数据报文中的DSCP值的修改,从而通过为不同的数据报文设置不同的DSCP值,来区分来自资源租户的租户虚拟机的数据报文和来自普通租户的数据报文,进而实现资源租户对资源服务的访问和资源租户与普通租户的隔离。
结合第二方面的第二种可能实现方式,在第二方面的第三种可能的实现方式中,该IPTABLES规则是根据该租户虚拟机所在的VPC的DSCP值下发的。
通过修改租户的虚拟机所在的VPC的DSCP值,可为该VPC下的虚拟机下发修改对应的DSCP值的IPTABLES规则,进而对来自资源租户的租户虚拟机和普通租户的租户虚拟机的数据报文进行标记,实现资源租户对资源服务的访问和资源租户与普通租户的隔离。
结合第二方面、第二方面的第一至三种可能实现方式中的任一种,在第二方面的第四种可能的实现方式中,该租户区包括资源租户对应的租户虚拟机和非资源租户的租户虚拟机。该资源租户的租户虚拟机具有API,该API具有该接收标示的修改权限,该资源租户的租户虚拟机用于通过该API,修改该资源租户的租户虚拟机发送的数据报文的接收标识。该非资源租户的租户虚拟机不具有该API。
第三方面,本发明实施例提供一种计算虚拟机,该计算虚拟机为公有云平台上服务区的虚拟机,该公有云平台还包括租户区,该租户区包括至少一个租户虚拟机,该计算虚拟机包括接收单元、判断单元、报文处理单元。该接收单元用于接收租户虚拟机发送的数据报文,该数据报文包含接收标识。该判断单元用于根据该数据报文的接收标识判断该租户虚拟机所对应的租户是否是资源租户。该报文处理单元用于:若该租户虚拟机所对应的租户不是资源租户,丢弃该数据报文。
计算虚拟机的判断单元根据租户虚拟机发送的数据报文中的接收标识,即可判断数据报文来自资源租户的租户虚拟机还是普通租户的租户虚拟机,并丢弃来自普通租户的租户虚拟机的数据报文,使得普通租户无法访问资源租户,实现了资源租户对资源服务的访问和资源租户与普通租户的隔离。
结合第三方面,在第三方面的第一种可能的实现方式中,该计算虚拟机具有报文过滤规则,该接收标识为该数据报文的DSCP。该判断单元用于根据该数据报文的接收标识判断该租户虚拟机所对应的租户是否是资源租户,具体包括:该判断单元用于判断该数据报文的DSCP值与该报文过滤规则中的DSCP值是否相同,若不同,则该租户虚拟机所对应的租户不是资源租户。
利用数据报文中的DSCP位即可实现对数据报文的标识,进而实现资源租户对资源服务的访问和资源租户与普通租户的隔离。
结合第三方面的第一种可能实现方式,在第三方面的第二种可能的实现方式中,该数据报文的DSCP值由IPTABLES规则设置,该IPTABLES规则位于该租户的虚拟机所在的主机上的命名空间中。
结合第三方面的第二种可能实现方式,在第三方面的第三种可能的实现方式中,该IPTABLES规则是根据该租户虚拟机所在的VPC的DSCP值下发的。
通过修改租户的虚拟机所在的VPC的DSCP值,可为该VPC下的虚拟机下发修改对应的DSCP值的IPTABLES规则,进而对来自资源租户的租户虚拟机和普通租户的租户虚拟机的数据报文进行标记,实现资源租户对资源服务的访问和资源租户与普通租户的隔离。
结合第三方面、第三方面的第一至三种可能实现方式中的任一种,在第三方面的第四种可能的实现方式中,该资源租户的租户虚拟机包括具有DSCP修改权限的API,该VPC的DSCP值通过该API修改。
第四方面,本发明实施例提供一种租户虚拟机,该租户虚拟机为公有云平台上服务区的虚拟机,该公有云平台还包括服务区,该服务区包括至少一个计算虚拟机。该租户虚拟包括具有DSCP修改权限的API,通过该API,可以实现对该租户虚拟机所在的VPC的DSCP值的修改,进而在该租户虚拟机所在的主机下发IPTABLES规则,该IPTABLES规则修改该租户虚拟机发送的数据报文的DSCP值,使得该计算虚拟机可以根据接收的数据报文的DSCP值来判断数据报文是否来自租户虚拟机,从而确定接收租户虚拟机所对应的租户是否是资源租户。
第五方面,本发明实施例提供一种计算设备,该计算设备包括处理器和存储器。该存储器用于存储执行指令,当该计算设备运行时,该处理器执行该存储器存储的该执行指令,以使该计算设备执行本发明实施例第一方面的方法。
第六方面,本发明实施例提供一种非易失性的计算机可读存储介质,该计算机可读存储介质上存储有计算机指令,该计算机指令用于实现本发明实施例第一方面的方法。
附图说明
图1为OpenStack平台部署虚拟机的架构;
图2为本发明实施例中OpenStack平台部署虚拟机的架构;
图3为本发明实施例中为资源租户和资源服务分别配置接收标识和报文过滤规则的方法示意图;
图4为本发明实施例中一种资源服务接收虚拟机访问的方法的示意图;
图5为本发明实施例提供的一种公有云平台的示意图;
图6为本发明实施例中的一种资源服务的示意图;
图7为本发明实施例中提供的一种计算设备的示意图。
具体实施方式
本发明实施例利用资源服务的计算虚拟机完成租户虚拟机的数据报文的过滤。本发明实施例中,计算虚拟机和租户虚拟机仅为区分服务区和租户区的虚拟机,计算虚拟机和租户虚拟机可以是任意主机上的虚拟机,本发明实施例对此不做限制。
当租户虚拟机访问资源服务的计算虚拟机时,资源租户的管理节点首先接到数据报文。资源租户的管理节点是资源服务下的一个计算虚拟机。图2中仅绘制出资源服务由若干个计算虚拟机提供的情况,除此之外,资源服务还可以由一个计算虚拟机提供,此次,管理节点的功能由提供服务的计算虚拟机实现,本发明实施例对此不做限制。在资源服务的管理节点中设置报文过滤规则,对应地,对来自资源租户的租户虚拟机和普通租户的租户虚拟机的数据报文进行标识。管理节点首先接收到租户虚拟机发送的数据报文。收到数据报文后,管理节点根据数据报文的接收标识判断租户虚拟机所对应的租户是否是资源租户;:接收标识不符合报文过滤规则的数据报文来自于普通租户的租户虚拟机,资源服务丢弃数据报文,则普通租户无法访问资源服务;接收标识不符合报文过滤规则的数据报文来自于资源租户的租户虚拟机,资源服务继续处理该数据报文,资源租户实现对资源服务的访问。通过租户的虚拟机报文上的接收标识和资源服务的报文过滤规则,可以实现资源租户与普通租户的隔离,保证了资源租户的网络安全隔离。
本发明实施例中的接收标识可以利用数据报文中的差分服务代码点(Differentiated Services Code Point,DSCP)实现。具体地,在资源服务的管理节点中设置报文过滤规则,报文过滤规则为丢弃DSCP值不为某一定值的数据报文。该报文过滤规则可以通过设置资源服务的管理节点的第一网络过滤器(IPTABLES)规则实现。同时,接收标识可以是租户虚拟机的发送的数据报文的DSCP值。通过修改虚拟机所属的VPC的DSCP值,进而为租户虚拟机所在的主机的命名空间下发第二IPTABLES规则,可以使得该租户虚拟机发送数据报文时,所发送的数据报文的DSCP值在其所在的主机的命名空间中由IPTABLES设置为某一定值。将资源租户的租户虚拟机发送的数据报文的DSCP值设置为报文过滤规则中可以通过的DSCP值,而普通租户的租户虚拟机发送的数据报文的DSCP值与报文过滤规则中可以通过的DSCP值不同,可以实现普通租户与资源租户的隔离。本发明实施例中的报文过滤规则指的是资源服务的管理节点用于判断数据报文是否来自于资源租户的虚拟机的依据,也可以是报文转发规则、报文接收规则等,对其名称本发明不做限制。同样,本发明实施例中的接收标识用于表示数据报文来自于资源租户的虚拟机或者普通租户的虚拟机,也可以是特殊数据位、标识为等,对其名称本发明不做限制。
本发明实施例中,OpenStack)还包括服务区的平台管理节点以及资源租户面向平台管理节点的北向应用程序编程接口(Application Programming Interface,API)。此API具有修改VPC的DSCP的权限。此API只提供给资源租户,而不提供给普通租户,因此资源租户可以通过此API来设置其下VPC的值,从而在DSCP值所能提供的数值范围内,任意设置资源租户的虚拟机发送的数据报文的DSCP值。具体地,修改其下租户虚拟机发送的数据报文的DSCP值时,资源租户调用此API,通过此API调用平台管理节点的进程,修改平台管理节点中记录的资源租户的VPC的DSCP值。具体实施方式为,在平台管理节点上记录各VPC的数据库中,将该资源服务下的VPC的DSCP值修改为第一定值。平台管理节点中记录的资源租户的VPC的DSCP值变为第一定值后,平台管理节点在DSCP值变为第一定值的各VPC包含的虚拟机所在的主机的命名空间中下发IPTABLES规则,下发的IPTABLES规则为,虚拟机发送的数据报文的DSCP值为第一定值。这样,由于只有资源租户具有API,因此只有资源租户的虚拟机发送的数据报文的DSCP值为第一定值,此时,只需要资源租户为资源服务的管理节点下发只允许DSCP值为第一定值的数据报文访问的IPTABLES规则设置,即可隔离普通用户对资源服务的访问。
图2中,资源租户和普通租户中,分别示例性地在图2中各表示出1个VPC和一个虚拟机,但并不构成对本发明实施例的限制,如上所述,本发明实施例中资源租户和普通租户中都可以包含一个或不止一个VPC,每个VPC可以包含一个或不止一个虚拟机,每个租户的虚拟机可以位于一个或不止一个主机上。
本发明实施例提供一种为资源租户和资源服务的管理节点分别配置接收标识和报文过滤规则的方法,如图3所示。示例性地,将资源租户的租户虚拟机发送的数据报文的DSCP值设置为5,将资源服务的管理节点的报文过滤规则设置为允许DSCP值为5的数据报文通过,本发明实施例对此不做限制,资源租户的虚拟机发送的数据报文的DSCP值和报文过滤规则中允许通过的数据报文的DSCP值可以是DSCP值所能提供的数值范围内的任意值。
s301,资源租户在资源服务中设置报文过滤规则。
具体地,向资源服务的管理节点下发第一IPTABLES规则,该第一IPTABLES规则规定了管理节点在收到数据报文后,丢弃DSCP值不为5的数据报文。
s302,向资源租户开放北向API,该API具有设置资源租户下VPC的DSCP值的权限。
资源租户可以通过该API调用平台管理节点的进程,将平台管理节点上记录各VPC的数据库中,资源租户其下VPC的DSCP值设为5,进而使得资源租户其下VPC的租户虚拟机发送的数据报文的DSCP值都为5。
s303,资源租户通过该API,在平台资源节点的数据库中,设置资源平台下VPC的DSCP值。
具体地,资源租户通过该API调用平台资源节点上的进程,将平台管理节点上记录各VPC的数据库中,资源租户其下VPC的DSCP值设为5。
s304,平台管理节点向资源租户下发设置数据报文的DSCP值的IPTABLES规则。
平台资源节点上记录各VPC的数据库中,部分VPC的DSCP值变为5之后,平台资源节点在DSCP值变为5的VPC包含的各虚拟机所在的主机的命名空间中,下发第二IPTABLES规则。该第二IPTABLES规则规定了经由该规则转发的数据报文,其DSCP值为5。因此,资源租户的租户虚拟机在发送数据报文时,数据报文经过租户虚拟机所在的主机的命名空间时,命名空间中的第二IPTABLES规则将资源租户的租户虚拟机发送的数据报文的DSCP值设置为5。
由于在s302中,只有资源租户能够调用该API,因此只有资源租户的租户虚拟机发送的数据报文的DSCP值为5,而普通租户无法调用该API,因此普通租户的租户虚拟机发送的数据报文的DSCP值不为5。再结合资源服务上配置的针对DSCP值的过滤规则,即可实现资源租户与普通租户的隔离。
在本发明的另一个实施例中,为资源租户和资源服务分别配置接收标识和报文过滤规则的方法中,也可以先为资源租户配置接收标识,再为资源服务配置报文过滤规则,即,图3中的4个步骤的顺序改为s302、s303、s304、s301。同时,在本发明的实施例中,亦可先为资源租户开放API,再为资源服务配置报文过滤规则,最后,资源租户通过API设置数据报文的DSCP值,即,图3中4个步骤的顺序也可以是s302、s301、s303、s304。
本发明实施例中,在资源租户和资源服务完成了图3中所示的配置之后,一种资源服务接收虚拟机访问的方法,如图4所示。
s401,资源服务的管理节点接收数据报文。
s402,资源服务的你管理节点判断数据报文的接收标识是否符合报文过滤规则。
具体地,资源服务的管理节点判断数据报文的DSCP值是否为5。
s403,若数据报文的接收标识不符合所述报文过滤规则,管理节点丢弃数据报文。
具体地,若数据报文的DSCP值不是5,该数据报文来自普通租户的租户虚拟机,由于在s301中将报文过滤规则设置为丢弃DSCP值不为5的数据报文,服务管理节点丢弃数据报文,资源服务不接受普通租户的访问。
s404,若数据报文的接收标识符合所述报文过滤规则,管理节点不丢弃数据报文。
具体地,若数据报文的DSCP值为5,该数据报文来自资源租户的租户虚拟机,由于在s301中将报文过滤规则设置为丢弃DSCP值不为5的数据报文,服务管理节点不丢弃数据报文,资源服务接受资源租户访问,并处理该数据报文。
本发明实施例还提供一种公有云平台如图5所示。该公有云平台包括服务区的资源服务500及租户区的资源租户510和普通租户520。资源服务500包括计算虚拟机.资源租户510和普通租户520的租户虚拟机用于向资源服务500的计算虚拟机发送数据报文。计算虚拟机用于:接收资源租户510或普通租户520的租户虚拟机发送的数据报文,根据数据报文的接收标识判断租户虚拟机所对应的租户是否是资源租户510。若租户虚拟机所对应的租户不是资源租户510,计算虚拟机丢弃所述数据报文。
在本发明实施例中,接收标识可以为数据报文的DSCP。计算虚拟机具有报文过滤规则,计算虚拟机用于判断数据报文的接收标识是否符合报文过滤规则,具体地,判断数据报文的DSCP值与报文过滤规则中的DSCP值是否相同。数据报文的DSCP值由第一IPTABLES规则设置,第一IPTABLES规则位于资源租户510的租户虚拟机所在的主机上的命名空间中。第一IPTABLES规则由平台管理节点530根据资源租户510的租户虚拟机所在的VPC的DSCP值下发。资源租户510的租户虚拟机所在的VPC的DSCP值通过资源租户510的API在平台管理节点530上修改。
本发明实施例中的公有云平台可以是OpenStack平台,可以部署在一个服务器上,也可以部署在多个服务器机群上。提供普通服务和资源服务分别可以是一台虚拟机,也可以是多台虚拟机,提供服务的多台虚拟机可以在同一主机上,也可以分布在不同的主机。同时,普通租户和资源租户包含的虚拟机也可以是一台虚拟机,也可以是多台虚拟机,租户的多台虚拟机可以在同一主机上,也可以分布在不同的主机。
本发明实施例还提供一种用于公有云平台的计算虚拟机。计算虚拟机为资源服务的虚拟机,该公有云平台还包括租户区,租户区包括至少一个租户虚拟机。该计算虚拟机如图6中计算虚拟机600所示。计算虚拟机600包括接收单元610、判断单元620和报文处理单元630。接收单元610用于接收租户虚拟机发送的包含接收标识的数据报文。判断单元620用于根据数据报文的接收标识判断租户虚拟机所对应的租户是否是资源租户。报文处理630单元用于:若租户虚拟机所对应的租户不是资源租户,丢弃该数据报文。其中,接收标识可以为数据报文的DSCP判断单元用于根据数据报文的接收标识判断租户虚拟机所对应的租户是否是资源租户,具体为:判断单元用于判断该数据报文的DSCP值与报文过滤规则中的DSCP值是否相同,若不同,则租户虚拟机所对应的租户不是资源租户。
数据报文的DSCP值由IPTABLES规则设置,IPTABLES规则位于租户虚拟机所在的主机上的命名空间中。IPTABLES规则由根据租户虚拟机所在的VPC的DSCP值下发。能够访问资源服务的租户具有能够修改VPC的DSCP值的API。
本发明实施例还提供一种运行本发明实施例中虚拟机的的主机。图7为依据本发明实施例的主机700的结构示意图。如图7所示,主机700包括处理器701,处理器701与系统内存702连接。处理器701可以为中央处理器(CPU),图像处理器(Graphics ProcessingUnit,GPU),现场可编程门阵列(Field Programmable Gate Array,缩写:FPGA),或数字信号处理器(英文:digital signal processor,DSP)等计算逻辑或以上任意计算逻辑的组合。处理器701可以为单核处理器或多核处理器。总线703用于在服务器700的各部件之间传递信息,总线703可以使用有线的连接方式或采用无线的连接方式,本申请并不对此进行限定。总线703还连接有通信接口704。通信接口704使用例如但不限于收发器一类的收发装置,来实现与其他设备或网络之间的通信,通信接口704可以通过有线或者无线的形式与网络互连。本发明实施例的方法以及计算虚拟机600可以由处理器701执行系统内存702中的软件代码来完成/支持。
同时,主机700还可以用于运行本发明实施例中的租户虚拟机。当主机700用于实施本发明实施例中的租户虚拟机,通信接口704包括具有DSCP修改权限的API。通过该API,可以实现对该租户虚拟机所在的VPC的DSCP值的修改,进而在该租户虚拟机所在的主机下发IPTABLES规则,该IPTABLES规则修改该租户虚拟机发送的数据报文的DSCP值,使得该计算虚拟机600可以根据接收的数据报文的DSCP值来判断数据报文是否来自租户虚拟机,从而确定接收租户虚拟机所对应的租户是否是资源租户。
此外,图7仅仅是一个主机700的例子,主机700可能包含相比于图7展示的更多或者更少的组件,或者有不同的组件配置方式。同时,图7中展示的各种组件可以用硬件、软件或者硬件与软件的结合方式实施。
相应的,本发明实施例提供一种包含计算机指令的非易失性存储介质和计算机程序产品,闪存设备的处理器执行计算机指令用于实现本发明实施例所描述的方案。
在本发明所提供的几个实施例中,应该理解到,所公开的装置、方法,可以通过其它的方式实现。例如,以上所描述的装置实施例所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (14)
1.一种访问资源服务的方法,其特征在于,所述方法应用在公有云平台上,所述公有云平台包括服务区和租户区,所述服务区包括至少一个计算虚拟机,所述计算虚拟机用于提供云计算服务,所述租户区包括至少一个租户虚拟机,所述方法包括:
所述计算虚拟机接收租户虚拟机发送的数据报文,所述数据报文包含接收标识,其中,所述计算虚拟机具有报文过滤规则,所述接收标识为差分服务代码点DSCP值;
所述计算虚拟机判断所述数据报文的DSCP值与所述报文过滤规则中的DSCP值是否相同,若不同,则所述租户虚拟机所对应的租户不是资源租户;
若所述租户虚拟机所对应的租户不是资源租户,所述计算虚拟机丢弃所述数据报文。
2.根据权利要求1中所述方法,其特征在于,所述数据报文的DSCP值由网络过滤器IPTABLES规则设置,所述IPTABLES规则位于所述租户虚拟机所在的主机上的命名空间中。
3.根据权利要求2中所述的方法,其特征在于,所述IPTABLES规则是根据所述租户的虚拟机所在的虚拟私有云VPC的DSCP值设置的。
4.根据权利要求3所述的方法,其特征在于,所述资源租户的租户虚拟机包括具有DSCP修改权限的应用程序编程接口API,所述VPC的DSCP值通过所述API修改。
5.一种公有云平台,其特征在于,所述公有云平台包括服务区和租户区,所述服务区包括至少一个计算虚拟机,所述计算虚拟机用于提供云计算服务,所述租户区包括至少一个租户虚拟机;
所述租户虚拟机用于向所述计算虚拟机发送数据报文,所述数据报文包含接收标识;所述计算虚拟机用于:接收所述租户虚拟机发送的所述数据报文,其中,所述计算虚拟机具有报文过滤规则,所述接收标识为差分服务代码点DSCP值;判断所述数据报文的DSCP值与所述报文过滤规则中的DSCP值是否相同,若不同,则所述租户虚拟机所对应的租户不是资源租户;若所述租户虚拟机所对应的租户不是资源租户,丢弃所述数据报文。
6.根据权利要求5中所述公有云平台,其特征在于,所述数据报文的DSCP值由IPTABLES规则设置,所述IPTABLES规则位于所述租户虚拟机所在的主机上的命名空间中。
7.根据权利要求6中所述的公有云平台,其特征在于,所述IPTABLES规则是根据所述租户虚拟机所在的VPC的DSCP值下发的。
8.根据权利要求5-7中任一所述的公有云平台,其特征在于,
所述租户区包括资源租户对应的租户虚拟机和非资源租户的租户虚拟机;
所述资源租户的租户虚拟机具有API,所述API具有所述接收标示的修改权限;
所述资源租户的租户虚拟机用于通过所述API,修改所述资源租户的租户虚拟机发送的数据报文的接收标识;
所述非资源租户的租户虚拟机不具有所述API。
9.一种计算虚拟机,其特征在于,所述计算虚拟机为公有云平台上服务区的虚拟机,所述公有云平台还包括租户区,所述租户区包括至少一个租户虚拟机,所述计算虚拟机包括接收单元、判断单元、报文处理单元;
所述接收单元用于接收租户虚拟机发送的数据报文,所述数据报文包含接收标识;所述接收标识为差分服务代码点DSCP值;
所述判断单元用于判断所述数据报文的DSCP值与报文过滤规则中的DSCP值是否相同,若不同,则所述租户虚拟机所对应的租户不是资源租户;
所述报文处理单元用于:若所述租户虚拟机所对应的租户不是资源租户,丢弃所述数据报文。
10.根据权利要求9中所述的计算虚拟机,其特征在于,所述数据报文的DSCP值由IPTABLES规则设置,所述IPTABLES规则位于所述租户的虚拟机所在的主机上的命名空间中。
11.根据权利要求10中所述的计算虚拟机,其特征在于,所述IPTABLES规则是根据所述租户虚拟机所在的VPC的DSCP值下发的。
12.根据权利要求11中所述的计算虚拟机,其特征在于,所述资源租户的租户虚拟机包括具有DSCP修改权限的API,所述VPC的DSCP值通过所述API修改。
13.一种计算设备,其特征在于,所述计算设备包括处理器和存储器;
所述存储器用于存储执行指令,当所述计算设备运行时,所述处理器执行所述存储器存储的所述执行指令,以使所述计算设备执行权利要求1-4任一项所述的方法。
14.一种非易失性的计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于实现如权利要求1-4中任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810135958.XA CN108521397B (zh) | 2018-02-09 | 2018-02-09 | 一种访问资源服务的方法及系统 |
| PCT/CN2019/073636 WO2019154175A1 (zh) | 2018-02-09 | 2019-01-29 | 一种访问资源服务的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810135958.XA CN108521397B (zh) | 2018-02-09 | 2018-02-09 | 一种访问资源服务的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108521397A CN108521397A (zh) | 2018-09-11 |
| CN108521397B true CN108521397B (zh) | 2021-02-12 |
Family
ID=63433116
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810135958.XA Active CN108521397B (zh) | 2018-02-09 | 2018-02-09 | 一种访问资源服务的方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108521397B (zh) |
| WO (1) | WO2019154175A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108521397B (zh) * | 2018-02-09 | 2021-02-12 | 华为技术有限公司 | 一种访问资源服务的方法及系统 |
| CN111277611B (zh) * | 2020-02-25 | 2022-11-22 | 深信服科技股份有限公司 | 一种虚拟机联网控制方法、装置、电子设备及存储介质 |
| CN114666126B (zh) * | 2022-03-21 | 2024-06-07 | 阿里云计算有限公司 | 资源管理方法、装置、服务器及系统 |
| WO2024037619A1 (zh) * | 2022-08-18 | 2024-02-22 | 华为云计算技术有限公司 | 一种基于云计算技术的虚拟实例创建方法和云管理平台 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616457A (zh) * | 2009-07-28 | 2009-12-30 | 中兴通讯股份有限公司 | 服务质量的映射方法以及服务质量控制实体 |
| CN102595508A (zh) * | 2011-01-14 | 2012-07-18 | 中兴通讯股份有限公司 | 一种策略控制方法及系统 |
| CN102707985A (zh) * | 2011-03-28 | 2012-10-03 | 中兴通讯股份有限公司 | 一种虚拟机系统的访问控制方法和系统 |
| CN103428038A (zh) * | 2012-05-18 | 2013-12-04 | 中兴通讯股份有限公司 | 虚拟机所属租户标识的检测方法及装置 |
| CN103825818A (zh) * | 2014-02-14 | 2014-05-28 | 杭州华三通信技术有限公司 | 一种多拓扑网络转发方法和装置 |
| CN105303102A (zh) * | 2015-11-03 | 2016-02-03 | 浪潮电子信息产业股份有限公司 | 一种虚拟机的安全访问方法及虚拟机系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110061050A1 (en) * | 2009-09-04 | 2011-03-10 | Sahita Ravi L | Methods and systems to provide platform extensions for trusted virtual machines |
| US9680821B2 (en) * | 2014-05-28 | 2017-06-13 | Conjur, Inc. | Resource access control for virtual machines |
| CN105791304B (zh) * | 2016-03-31 | 2019-08-27 | 联想(北京)有限公司 | 一种报文处理方法及设备 |
| CN108521397B (zh) * | 2018-02-09 | 2021-02-12 | 华为技术有限公司 | 一种访问资源服务的方法及系统 |
-
2018
- 2018-02-09 CN CN201810135958.XA patent/CN108521397B/zh active Active
-
2019
- 2019-01-29 WO PCT/CN2019/073636 patent/WO2019154175A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616457A (zh) * | 2009-07-28 | 2009-12-30 | 中兴通讯股份有限公司 | 服务质量的映射方法以及服务质量控制实体 |
| CN102595508A (zh) * | 2011-01-14 | 2012-07-18 | 中兴通讯股份有限公司 | 一种策略控制方法及系统 |
| CN102707985A (zh) * | 2011-03-28 | 2012-10-03 | 中兴通讯股份有限公司 | 一种虚拟机系统的访问控制方法和系统 |
| CN103428038A (zh) * | 2012-05-18 | 2013-12-04 | 中兴通讯股份有限公司 | 虚拟机所属租户标识的检测方法及装置 |
| CN103825818A (zh) * | 2014-02-14 | 2014-05-28 | 杭州华三通信技术有限公司 | 一种多拓扑网络转发方法和装置 |
| CN105303102A (zh) * | 2015-11-03 | 2016-02-03 | 浪潮电子信息产业股份有限公司 | 一种虚拟机的安全访问方法及虚拟机系统 |
Non-Patent Citations (2)
| Title |
|---|
| 云环境中跨虚拟机的Cache侧信道攻击技术研究;梁鑫; 桂小林; 戴慧珺; 张晨;《计算机学报》;20160918;第317-336页 * |
| 基于SDN的多租户数据中心网络研究;左成;《中国优秀硕士学位论文全文数据库 信息科技辑》;20170228;第I137-36页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019154175A1 (zh) | 2019-08-15 |
| CN108521397A (zh) | 2018-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108521397B (zh) | 一种访问资源服务的方法及系统 | |
| US11765057B2 (en) | Systems and methods for performing end-to-end link-layer and IP-layer health checks between a host machine and a network virtualization device | |
| CN105207873B (zh) | 一种报文处理方法和装置 | |
| CN111010702B (zh) | 时延敏感网络通信方法及其装置 | |
| WO2020052605A1 (zh) | 一种网络切片的选择方法及装置 | |
| CN110650168B (zh) | 一种通信方法及其装置 | |
| US20200007445A1 (en) | Enhanced service function chain | |
| CN105871811B (zh) | 控制应用程序权限的方法及控制器 | |
| CN103118149B (zh) | 同一租户内服务器间的通信控制方法及网络设备 | |
| US9668270B2 (en) | System and method for setting wireless message priority | |
| US10485043B2 (en) | Multi-connection access point | |
| CN109964507A (zh) | 网络功能的管理方法、管理单元及系统 | |
| WO2023024617A1 (zh) | 用于设备配网的方法及装置、服务器、智能家电设备、终端设备 | |
| WO2022142740A1 (zh) | 一种网络切片连接方法、装置、存储介质及电子装置 | |
| CN112583655B (zh) | 数据传输方法、装置、电子设备及可读存储介质 | |
| CN111885185A (zh) | 一种资源调度方法及装置 | |
| CN114039798A (zh) | 一种数据传输方法、装置及电子设备 | |
| CN110213147A (zh) | 一种云网络互通方法、装置、存储介质及终端设备 | |
| CN105939356A (zh) | 一种虚拟防火墙划分方法和装置 | |
| CN107592370A (zh) | 一种网络负载均衡方法及装置 | |
| US10785147B2 (en) | Device and method for controlling route of traffic flow | |
| WO2016058409A1 (zh) | 控制报文传输的方法、装置和网络功能虚拟化系统 | |
| CN103338117B (zh) | 一种虚拟交换机的管理方法、设备及系统 | |
| US11784884B2 (en) | Code activation management method for network slicing solutions, and corresponding entity, server and computer program | |
| CN110381605B (zh) | 一种基站以及终端接入基站的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220224 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Patentee after: Huawei Cloud Computing Technologies Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |