CN112911001A - 一种云vpn与企业网自动化组网方案 - Google Patents
一种云vpn与企业网自动化组网方案 Download PDFInfo
- Publication number
- CN112911001A CN112911001A CN202110136984.6A CN202110136984A CN112911001A CN 112911001 A CN112911001 A CN 112911001A CN 202110136984 A CN202110136984 A CN 202110136984A CN 112911001 A CN112911001 A CN 112911001A
- Authority
- CN
- China
- Prior art keywords
- vpn
- controller
- cloud
- ipsec
- container
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006855 networking Effects 0.000 title claims abstract description 21
- 238000013461 design Methods 0.000 claims description 11
- 238000000034 method Methods 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 claims description 7
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 claims 3
- 239000012141 concentrate Substances 0.000 abstract 1
- 238000010276 construction Methods 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 9
- 238000011161 development Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000000275 quality assurance Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Abstract
本发明提供了一种云VPN与企业网自动化组网方案,用户在管理界面点击需要互通的网络,Web Client向控制器发送创建连接请求;控制器接受Web Client发送的创建连接请求后,控制器向指定VPN容器下发送IPsec配置,同时在VPC路由表添加到达对端网络的路由条目;VPN容器接受控制器发送的IPsec配置后,由运行在本地数据中心的VPN容器向运行在云网络的VPN容器发起IPsec连接;隧道被拉起,两端网络完成互通,本发明所述的一种云VPN与企业网自动化组网方案,实现了云平台下混合云快速搭,使用IPsec连接基础设施,在云与云、企业与云之间建立任意互联,将资源快速连接到任何位置,用自动化工作流取代复杂的cli手动配置,让DevOps专注于核心业务,而不是基础设施。
Description
技术领域
本发明属于路由控制技术领域,尤其是涉及一种云VPN与企业网自动化组网方案。
背景技术
从公有云发展初期至今,混合云组网方案一直是考验云平台技术能力和水平的试金石。由于混合云架构需要组建虚拟专用网络,实现与远端的资源互通,有时还需要额外满足加密传输等要求,因此在整体实现上,相比传统的虚拟专有云(VPC),显得更为复杂。一般来说,混合云网络连接类型分为如下几种:
VPC到VPC(同一个云服务商);
VPC到VPC(不同云服务商之间);
企业本地网络到VPC;
常见的组网方案有:专线,VPN(虚机专有网络),SD-WAN(软件定义广域网);但也会带来以下问题:
首先是VPC的互通;例如,将紫光云北京节点的VPC资源接入阿里云杭州节点的VPC;通常我们使用VPN的方式解决,但繁琐的CLI和不同云服务商之间不同的部署和配置方法,会造成在基础设施和初始配置上花费太多的精力;
其次是VPC和企业私网互通;例如,将紫光云广州节点的VPC资源接入到公有云客户北京的数据中心;传统的连接方式依赖硬件,需要改动网络,部署花费几天或几周的时间;最后则是快速提供网络服务能力;一般用户上云的需求是要求云业务和云响应得达到快速、准确、高效的方式;如果使用传统方式,拼凑使用多种连接方式组网,会使网络架构臃肿,增加复杂度。
发明内容
有鉴于此,本发明旨在提出一种云VPN与企业网自动化组网方案,以解决传统技术复杂度过高、络架构臃肿等问题。
为达到上述目的,本发明的技术方案是这样实现的:
一种云VPN与企业网自动化组网方案,包括以下步骤:
S1:用户在管理界面点击需要互通的网络,Web Client向控制器发送创建连接请求;
S2:控制器接受Web Client发送的创建连接请求后,控制器向指定VPN容器下发送IPsec配置,同时在VPC路由表添加到达对端网络的路由条目;
S3:VPN容器接受控制器发送的IPsec配置后,由运行在本地数据中心的VPN容器向运行在云网络的VPN容器发起IPsec连接;
如果遇到两端网络VPC CIDR冲突的情况,用户通过管理界面完成修改后,控制器重新发送IPsec配置,且更新VPC;
如果遇到网络环境发生变化,监控服务会通知VPN容器,且更新VPC;
S4:隧道被拉起,两端网络完成互通。
进一步的,所述步骤S2中控制器通过VPN容器的API接口完成IPsec连接配置,使用云服务商API接口完成VPC的路由配置
进一步的,所述步骤S3中如果遇到网络环境发生变化,用户在管理界面修改指定连接的CIDR,Web Client向控制器发送修改CIDR请求,控制器向VPN容器下发新的IPsec配置,同时更新VPC路由条目,使得隧道被拉起,两端网络完成互通。
进一步的,所述步骤S3中如果遇到网络环境发生变化,监控服务会通知VPN容器自动更新IPsec配置,同时更新VPC路由条目,使得隧道被拉起,两端网络完成互通。
进一步的,所述控制器采用容器化的部署方式,且采用了集中管理,分布运行的设计。
进一步的,所述控制器采用了多活集群设计。
相对于现有技术,本发明所述的一种云VPN与企业网自动化组网方案具有以下优势:
(1)本发明所述的一种云VPN与企业网自动化组网方案,实现了云平台下混合云快速搭,使用IPsec连接基础设施,在云与云、企业与云之间建立任意互联,将资源快速连接到任何位置,用自动化工作流取代复杂的cli手动配置,让DevOps专注于核心业务,而不是基础设施,在尽可能的不改变原有网络的基础上,实现了VPN和IPsec隧道的自动连通。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例所述的一种云VPN与企业网自动化组网方案示意图;
图2为本发明实施例所述的控制器设计图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本发明中的具体含义。
下面将参考附图并结合实施例来详细说明本发明。
名词解释:
IPsec:Internet Protocol Security,缩写为IPsec,是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
VPC:Virtual PC,简称VPC,也叫虚拟机,是一款虚拟化软件。
CIDR:无类别域间路由(Classless Inter-Domain Routing、CIDR)是一个用于给用户分配IP地址以及在互联网上有效地路由IP数据包的对IP地址进行归类的方法。
DevOps:是Dev(开发人员)+Ops(运维人员),实际上,它是一组过程、方法与系统的统称,其概念从2009年首次提出发展到现在,内容非常丰富,有理论也有实践,包括组织文化、自动化、精益、反馈和分享等不同方面,组织架构、企业文化与理念等,需要自上而下设计,用于促进开发部门、运维部门和质量保障部门之间的沟通、协作与整合,简单而言组织形式类似于系统分层设计,自动化是指所有的操作都不需要人工参与,全部依赖系统自动完成,比如上述的持续交付过程必须自动化才有可能完成快速迭代,DevOps的出现是由于软件行业日益清晰地认识到,为了按时交付软件产品和服务,开发部门和运维部门必须紧密合作。
VPN组网自动化方案需要以下3个组件:
VPN容器:部署在VPC资源内部或本地网络中,用来处理IPsec流量;
控制器:通过控制器中提供的Restful标准接口,完成指定隧道的创建、删除、管理;完成VPC的路由配置;与Web Client互通等功能;
Web Client:实现配置管理页面,提升用户体验。
如图1所示,一种云VPN与企业网自动化组网方案包括以下步骤:
S1:用户在管理界面点击需要互通的网络,Web Client向控制器发送创建连接请求;
S2:控制器接受Web Client发送的创建连接请求后,控制器向指定VPN容器下发送IPsec配置,同时在VPC路由表添加到达对端网络的路由条目;
S3:VPN容器接受控制器发送的IPsec配置后,由运行在本地数据中心的VPN容器向运行在云网络的VPN容器发起IPsec连接,这样设计是为了避免对企业网络进行改动,减少对硬件设备的依赖,适应主流的互联网接入方式;
如果遇到两端网络VPC CIDR冲突的情况,用户通过管理界面完成修改后,控制器重新发送IPsec配置,且更新VPC;
如果遇到网络环境发生变化,监控服务会通知VPN容器,且更新VPC;
S4:隧道被拉起,两端网络完成互通,实现了云平台下混合云快速搭,使用IPsec连接基础设施,在云与云、企业与云之间建立任意互联,将资源快速连接到任何位置,用自动化工作流取代复杂的cli手动配置,让DevOps专注于核心业务,而不是基础设施,在尽可能的不改变原有网络的基础上,实现了VPN和IPsec隧道的自动连通;
所述步骤S2中控制器通过VPN容器的API接口完成IPsec连接配置,使用云服务商API接口完成VPC的路由配置,从而实现了自动化。这种设计的优势在于可以消除复杂度,不需要网络工程师,任何人都可以执行;
所述步骤S3中如果遇到网络环境发生变化,用户在管理界面修改指定连接的CIDR,Web Client向控制器发送修改CIDR请求,控制器向VPN容器下发新的IPsec配置,同时更新VPC路由条目,使得隧道被拉起,两端网络完成互通;
所述步骤S3中如果遇到网络环境发生变化,监控服务会通知VPN容器自动更新IPsec配置,同时更新VPC路由条目,使得隧道被拉起,两端网络完成互通。
如图2所示,所述控制器采用容器化的部署方式,且采用了集中管理,分布运行的设计,满足随处运行,可持续升级的需求;
控制器与容器的交互仅限于配置信息下发、运行状态查询等带外管理功能,网络之间的流量直接通过VPN容器建立起来的加密隧道传输,不经过控制器,考虑到控制器存在单点故障的可能性,所述控制器采用了多活集群设计,能够横向扩展,实现容器带外管理负载均衡。
在选择容器与控制器通信协议时,考虑了以下几点:
A、控制器能及时联系到容器:用户在Web界面的操作(例如下发配置信息或查询运行状态数据),得到及时响应;
B、尽可能减少对运行环境的要求,比如开放端口、配置防火墙等;
C、适应运行环境的各种Internet接入方式,包括直接路由、NAT、Proxy。
基于上述约束,初步确定了容器作为通讯的客户端,控制器作为通讯的服务端。
在具体通信协议的选择时,考虑使用MQTT和WebSocket;两者比较,前者有成熟的开源组件,用很少的开发工作量就可以实现设备接入、消息路由、数据存储、自动订阅、状态监控等功能;而后者实现相同的功能,需要额外的人力成本;然而考虑到WebSocket基于HTTP/HTTPS,对防火墙更友好,我们选择了WebSocket作为网关与控制器的通信协议;网关作为WebSocket客户端,控制器作为WebSocket服务端,这样就实现了用户侧的防火墙零配置,而基于WebSocket的长连接又可以满足通信的实时性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种云VPN与企业网自动化组网方案,其特征在于:包括以下步骤:
S1:用户在管理界面点击需要互通的网络,Web Client向控制器发送创建连接请求;
S2:控制器接受Web Client发送的创建连接请求后,控制器向指定VPN容器下发送IPsec配置,同时在VPC路由表添加到达对端网络的路由条目;
S3:VPN容器接受控制器发送的IPsec配置后,由运行在本地数据中心的VPN容器向运行在云网络的VPN容器发起IPsec连接;
如果遇到两端网络VPC CIDR冲突的情况,用户通过管理界面完成修改后,控制器重新发送IPsec配置,且更新VPC;
如果遇到网络环境发生变化,监控服务会通知VPN容器,且更新VPC;
S4:隧道被拉起,两端网络完成互通。
2.根据权利要求1所述的一种云VPN与企业网自动化组网方案,其特征在于:所述步骤S2中控制器通过VPN容器的API接口完成IPsec连接配置,使用云服务商API接口完成VPC的路由配置。
3.根据权利要求1所述的一种云VPN与企业网自动化组网方案,其特征在于:所述步骤S3中如果遇到网络环境发生变化,用户在管理界面修改指定连接的CIDR,Web Client向控制器发送修改CIDR请求,控制器向VPN容器下发新的IPsec配置,同时更新VPC路由条目,使得隧道被拉起,两端网络完成互通。
4.根据权利要求1所述的一种云VPN与企业网自动化组网方案,其特征在于:所述步骤S3中如果遇到网络环境发生变化,监控服务会通知VPN容器自动更新IPsec配置,同时更新VPC路由条目,使得隧道被拉起,两端网络完成互通。
5.根据权利要求1所述的一种云VPN与企业网自动化组网方案,其特征在于:所述控制器采用容器化的部署方式,且采用了集中管理,分布运行的设计。
6.根据权利要求1所述的一种云VPN与企业网自动化组网方案,其特征在于:所述控制器采用了多活集群设计。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110136984.6A CN112911001A (zh) | 2021-02-01 | 2021-02-01 | 一种云vpn与企业网自动化组网方案 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110136984.6A CN112911001A (zh) | 2021-02-01 | 2021-02-01 | 一种云vpn与企业网自动化组网方案 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112911001A true CN112911001A (zh) | 2021-06-04 |
Family
ID=76120894
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110136984.6A Pending CN112911001A (zh) | 2021-02-01 | 2021-02-01 | 一种云vpn与企业网自动化组网方案 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112911001A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660126A (zh) * | 2021-08-18 | 2021-11-16 | 奇安信科技集团股份有限公司 | 一种组网文件生成方法、组网方法以及装置 |
| CN113890767A (zh) * | 2021-11-12 | 2022-01-04 | 中国联合网络通信集团有限公司 | 网络接入方法、装置、设备及存储介质 |
| CN114826825A (zh) * | 2022-04-19 | 2022-07-29 | 北京金山云网络技术有限公司 | 云网络的组网方法、装置及云网络 |
| CN113660126B (zh) * | 2021-08-18 | 2024-04-12 | 奇安信科技集团股份有限公司 | 一种组网文件生成方法、组网方法以及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111106991A (zh) * | 2018-10-29 | 2020-05-05 | 中国移动通信集团浙江有限公司 | 一种云专线系统及其业务发放和开通方法 |
| CN111726253A (zh) * | 2020-06-18 | 2020-09-29 | 北京天润融通科技股份有限公司 | 云计算核心网络系统 |
-
2021
- 2021-02-01 CN CN202110136984.6A patent/CN112911001A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111106991A (zh) * | 2018-10-29 | 2020-05-05 | 中国移动通信集团浙江有限公司 | 一种云专线系统及其业务发放和开通方法 |
| CN111726253A (zh) * | 2020-06-18 | 2020-09-29 | 北京天润融通科技股份有限公司 | 云计算核心网络系统 |
Non-Patent Citations (4)
| Title |
|---|
| 智恒科技: "《混合云组网的问题与挑战》", 《第一新闻网(HTTP://WWW.FIRSTNEWS.COM.CN/NEWS/AD/2019/0422/97475.HTML)》 * |
| 本刊编辑部: "云杉网络NSP混合云网络互联与服务", 《网络安全和信息化》 * |
| 邓明鉴: "ZStack混合云如何实现网络互联互通", 《电脑知识与技术(经验技巧)》 * |
| 陈元谋等: "云网融合赋能行业新生态", 《通信世界》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660126A (zh) * | 2021-08-18 | 2021-11-16 | 奇安信科技集团股份有限公司 | 一种组网文件生成方法、组网方法以及装置 |
| CN113660126B (zh) * | 2021-08-18 | 2024-04-12 | 奇安信科技集团股份有限公司 | 一种组网文件生成方法、组网方法以及装置 |
| CN113890767A (zh) * | 2021-11-12 | 2022-01-04 | 中国联合网络通信集团有限公司 | 网络接入方法、装置、设备及存储介质 |
| CN113890767B (zh) * | 2021-11-12 | 2023-07-11 | 中国联合网络通信集团有限公司 | 网络接入方法、装置、设备及存储介质 |
| CN114826825A (zh) * | 2022-04-19 | 2022-07-29 | 北京金山云网络技术有限公司 | 云网络的组网方法、装置及云网络 |
| CN114826825B (zh) * | 2022-04-19 | 2024-04-16 | 北京金山云网络技术有限公司 | 云网络的组网方法、装置及云网络 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11588683B2 (en) | Stitching enterprise virtual private networks (VPNs) with cloud virtual private clouds (VPCs) | |
| CN108551464A (zh) | 一种混合云的连接建立、数据传输方法、装置和系统 | |
| US7869447B2 (en) | Method and system for multi-domain virtual private network configuration | |
| US10484335B2 (en) | Secure remote computer network | |
| CN109474936B (zh) | 应用于多个lora网关之间的物联网通讯方法及系统 | |
| CN109150685B (zh) | 一种面向异构网络的智能互联方法及系统 | |
| US20070011733A1 (en) | Unified architecture for remote network access | |
| CN103685026A (zh) | 一种虚拟网络的接入方法和系统 | |
| CN103209108B (zh) | 一种基于dvpn的路由生成方法和设备 | |
| CN105933198A (zh) | 一种建立直连vpn隧道的装置 | |
| JP5679343B2 (ja) | クラウドシステム、ゲートウェイ装置、通信制御方法、及び通信制御プログラム | |
| CN104023022B (zh) | 一种IPSec SA的获取方法和装置 | |
| CN111435922B (zh) | 一种带宽共享方法 | |
| CN112866077B (zh) | 一种模态融合的大规模自动化组网方法、管理系统、设备及存储介质 | |
| CN109714240A (zh) | 基于p2p和vpn技术的路由器联网方法及系统 | |
| US11647069B2 (en) | Secure remote computer network | |
| CN113285816B (zh) | 一种基于键值配置的控制请求发送方法、装置和系统 | |
| CN109120726A (zh) | 一种基于集中远程控制的多路由器vpn自动组网方法及系统 | |
| CN110336730A (zh) | 一种网络系统及数据传输方法 | |
| WO2019079524A1 (en) | APPLICATION PROGRAMMING INTERFACE BRIDGE FOR TRANSPORTING A LOCAL REQUEST FROM A LOCAL CLIENT SYSTEM TO A TARGET SERVER SYSTEM, AND ITS METHOD | |
| CN112911001A (zh) | 一种云vpn与企业网自动化组网方案 | |
| WO2016065920A1 (zh) | 虚拟网络业务的提供方法及系统 | |
| CN117255089A (zh) | 容器网络系统及其使用方法 | |
| CN114143372B (zh) | 一种基于融合网络分流器的端网络控制方法及系统 | |
| CN114979139A (zh) | 边缘计算场景下异构虚拟网关的管理系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210604 |