CN113132201B - 一种vpc之间的通信方法及装置 - Google Patents
一种vpc之间的通信方法及装置 Download PDFInfo
- Publication number
- CN113132201B CN113132201B CN201911399727.0A CN201911399727A CN113132201B CN 113132201 B CN113132201 B CN 113132201B CN 201911399727 A CN201911399727 A CN 201911399727A CN 113132201 B CN113132201 B CN 113132201B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- vpc
- message
- network
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种VPC之间的通信方法及装置,该方法包括:桥接虚拟机包括与第一VPC绑定的第一网卡和与第二VPC绑定的第二网卡,桥接虚拟机基于第一网卡接收第一VPC中的第一虚拟机发送至第二VPC种的第二虚拟机的第一报文,并该该报文进行网络功能处理,基于第二网卡将经网络功能处理后的第一报文发送至第二VPC。避免通过建立虚拟专用网络或专线的方式进行VPC之间的通信,提供了一种全新的且更加简便的通信方式。进一步,在该桥接虚拟机上还可设置各种网络功能,不同于通过虚拟专用网络或专线单纯将数据转发的方式,本申请在实现VPC之间通信的基础上,进一步完善了数据处理功能,适用场景更广,应用性强。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种VPC之间的通信方法及装置。
背景技术
云计算是一种网络应用模式,是分布式处理、并行处理和网格计算的发展,是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序,再交由多部服务器所组成的庞大系统经计算分析之后将处理结果回传给用户。
随着数据中心的流行,数据中心的硬件资源可以以虚拟化设备的形式为企业提供云服务,企业无需购买设备布置自己的IT中心,可以在数据中心申请一组IT资源,数据中心即可为本企业提供云计算服务。企业在数据中心申请创建的软硬件设施构成一个虚拟私有云(Virtual Private Cloud),虚拟私有云即是指为一个企业单独构建的,硬件、软件、网络等一系列资源统一在一起的一个综合称呼。
企业可以在公有云平台申请属于该企业的公有云资源,在该公有云资源中创建属于该企业的一个或多个虚拟私有云,以分配给不同的部分或团体使用。每个虚拟机私有云是一个隔离的、私密的虚拟网络。
目前,同一VPC内的不同虚拟机之间可以互相连接(或通信),而不同虚拟私有云内的虚拟机之间进行通信时,则需要通过建立虚拟专用网络(virtual private network,VPN)或专线的方式进行通信,当前实现VPC之间通信的方式单一。
发明内容
本申请提供一种VPC之间的通信方法及装置,以提供一种新型的实现VPC之间通信的方式。
第一方面,本申请提供一种VPC之间的通信方法,该方法应用于桥接虚拟机,该桥接虚拟机包括与第一VPC绑定的第一网卡和与第二VPC绑定的第二网卡,所述方法包括:
桥接虚拟机基于第一网卡接收第一VPC中的第一虚拟机发送至第二VPC种的第二虚拟机的第一报文,并该报文进行网络功能处理,基于第二网卡将经网络功能处理后的第一报文发送至第二VPC。
基于上述方案,实现了一种新的VPC之间的通信方式,避免目前只能通过建立虚拟专用网络或专线的方式进行VPC之间的通信,简化了不同VPC之间的通信流程。进一步,在该桥接虚拟机上还可以设置各种网络功能,本领域技术人员可知的是,网络功能可以是地址转换、路由或防火墙过滤等,因此,本申请实施例的桥接虚拟机在实现跨VPC之间的数据传输之外,还可以实现对数据的多种网络功能的处理,在实现简化VPC之间的通信时,数据处理功能也更加完善,适用场景更广,进一步,若桥接虚拟机设置有防火墙过滤时,还可以提高VPC之间通信的安全性。
在一种可能的实现方式中,所述第一网卡设置有第一VPC的第一私网地址,所述第二网卡设置有第二VPC的第二私网地址;
所述桥接虚拟机从所述第一网卡接收所述第一VPC中的第一虚拟机发送至第二VPC中的第二虚拟机的第一报文时,所述第一报文的源IP地址是所述第一虚拟机在所述第一VPC中的私网地址,目的IP地址是所述第一私网地址;
所述桥接虚拟机对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC时,包括:
所述桥接虚拟机将所述第一报文的源IP地址修改为所述第二私网地址,将所述第一报文的目的IP地址修改为所述第二虚拟机在所述第二VPC中的私网地址,并通过第二网卡将修改后的第一报文发送至所述第二VPC。
基于上述方案,在桥接虚拟机上可设置地址转换规则,当设置有地址转换规则时,桥接虚拟机可以将来自第一虚拟机的第一报文进行地址转换后发送至第二VPC。该方式下,第一虚拟机向第二虚拟机发送报文时,可以直接发送至桥接虚拟机,可不经过路由器转发,缩短报文的传输时延,同时节省资源开销。
在一种可能的实现方式中,所述桥接虚拟机从所述第一网卡接收所述第一报文的源IP地址是所述第一虚拟机在所述第一VPC中的私网地址,目的IP地址是所述第二虚拟机在所述第二VPC中的私网地址;
所述桥接虚拟机对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC,包括:
所述桥接虚拟机根据所述第一报文的目的IP地址选择第二网卡,通过所述第二网卡将第一报文发送至所述第二VPC。
基于上述方案,桥接虚拟机上可以设置路由功能,本申请可以通过自定义路由的方式设置VPC之间的通信的路径,简化了通信流程,灵活性高。
在一种可能的实现方式中,所述桥接虚拟机对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC,包括:
所述桥接虚拟机判断所述第一报文是否符合预设防火墙规则,如果是,通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC,如果不符合,则不发出该第一报文。
基于上述方案,避免目前通过建立虚拟专用网络或专线的方式实现VPC之间的通信时,只能实现单纯的数据传输,而不能在该路径上配置安全规则的问题,本申请不仅简化了不同VPC内的虚拟机之间的通信方式,还能基于桥接虚拟机上部署的防火墙过滤功能提高了VPC之间通信的安全性。
第二方面,本申请提供了一种VPC之间通信的设置方法,包括创建桥接虚拟机,所述桥接虚拟机设置有第一网卡和第二网卡;设置所述第一网卡与所述第一VPC绑定,所述第二网卡与第二VPC绑定,其中所述桥接虚拟机用于对所述第一VPC经所述第一网卡发送至所述第二VPC的报文进行网络功能处理,并用于对所述第二VPC经所述第二网卡发送至所述第一VPC的报文进行网络功能处理。
在一种可能的实现方式中,所述网络功能处理包括网络地址转换NAT、路由以及防火墙过滤中的一者或任意组合。
第三方面,本申请还提供一种通信系统,包括第一VPC中的第一虚拟机、第二VPC中的第二虚拟机和桥接虚拟机;
所述第一虚拟机,用于发送第一报文;
所述桥接虚拟机,用于从所述第一网卡接收所述第一VPC中的第一虚拟机发送至第二VPC中的第二虚拟机的第一报文,对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC。
所述第二虚拟机,用于接收来自桥接虚拟机的经网络功能处理后的第一报文。
在一种可能的实现方式中,所述桥接虚拟机的第一网卡设置有第一VPC的第一私网地址,所述第二网卡设置有第二VPC的第二私网地址;
所述桥接虚拟机从所述第一网卡接收所述第一VPC中的第一虚拟机发送至第二VPC中的第二虚拟机的第一报文时,具体用于:所述桥接虚拟机从所述第一网卡接收所述第一报文,所述第一报文的源IP地址是所述第一虚拟机在所述第一VPC中的私网地址,目的IP地址是所述第一私网地址;
所述桥接虚拟机对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC时,具体用于:所述桥接虚拟机将所述第一报文的源IP地址修改为所述第二私网地址,将所述第一报文的目的IP地址修改为所述第二虚拟机在所述第二VPC中的私网地址,通过第二网卡将修改后的第一报文发送至所述第二VPC。
在一种可能的实现方式中,所述桥接虚拟机从所述第一网卡接收所述第一VPC中的第一虚拟机发送至第二VPC中的第二虚拟机的第一报文时,具体用于:所述桥接虚拟机从所述第一网卡接收所述第一报文,所述第一报文的源IP地址是所述第一虚拟机在所述第一VPC中的私网地址,目的IP地址是所述第二虚拟机在所述第二VPC中的私网地址;
所述桥接虚拟机对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC时,具体用于:所述桥接虚拟机根据所述第一报文的目的IP地址选择第二网卡,通过所述第二网卡将第一报文发送至所述第二VPC。
在一种可能的实现方式中,所述桥接虚拟机对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC时,具体用于:所述桥接虚拟机判断所述第一报文是否符合预设防火墙规则,如果是,通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC。
第四方面,本申请提供一种通信装置,适用于第一计算节点或第一计算节点中的芯片,包括用于执行以上第一方面或第二方面各个步骤的单元或手段(means)。
第五方面,本申请提供一种通信装置,适用于终端设备或终端设备中的芯片,包括至少一个处理元件和至少一个存储元件,其中所述至少一个存储元件用于存储程序和数据,所述至少一个处理元件用于执行本申请第一方面或第二方面提供的方法。
第六方面,本申请提供一种通信装置,包括用于执行以上第一方面或第二方面的方法的至少一个处理元件(或芯片)。
第七方面,本申请提供一种计算机程序产品,该计算机程序产品包括计算机指令,当该计算机指令被计算机执行时,使得所述计算机执行以上任一方面的方法。
第八方面,本申请提供了一种计算机可读存储介质,该存储介质存储有计算机指令,当所述计算机指令被计算机执行时,使得所述计算机执行以上任一方面的方法。
附图说明
图1为本申请提供的一种通信系统示意图之一;
图2为本申请提供的一种通信系统示意图之二;
图3为本申请提供的一种通信系统示意图之三;
图4为本申请提供的一种通信系统示意图之四;
图5为本申请提供的一种通信系统示意图之五;
图6为本申请提供的一种通信系统示意图之六;
图7为本申请提供的一种通信系统的具体示例;
图8为一种本申请提供的一种创建桥接虚拟机的方法的流程图;
图9为一种本申请提供的VPC之间的通信方法的流程图;
图10为本申请实施例提供的一种桥接虚拟机的设备示意图;
图11为本申请实施例提供的一种配置装置的设备示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
图1示出了本申请可能适用的一种在云数据中心部署的通信系统100,通信系统100包括控制器,虚拟私云VPC1和虚拟私云VPC2,其中,控制器用于配置虚拟机私云VPC1和虚拟私云VPC2。虚拟私云VPC1包括至少两个虚拟机,分别为VM1和VM2,虚拟私云VPC2包括至少两个虚拟机,分别为VM4和VM5。
该通信系统还包括至少一个桥接虚拟机VM3,VM3可以创建于虚拟私云VPC1内,也可以创建于虚拟私云VPC2内。
应理解的是,用户可由SDN控制器提供的用户界部署虚拟私云,在该虚拟私云中,用户可以自定义网段,划分子网,创建各种虚拟设备,例如,虚拟机、虚拟路由器、交互机等虚拟设备,并为各虚拟设备分配IP地址等。
如图1所示的通信系统中,虚拟私云VPC1的网址为192.168.0.0/16,虚拟私云VPC1包括路由器1和子网1,子网1与虚拟私云VPC1的网段相同,子网1内包含VM1、VM2和交换机1,VM1和VM2的网卡接入交换机1。其中,VM1的IP地址为192.168.0.2,VM2的IP地址为192.168.0.3,交换机1的IP地址为192.168.0.13。
虚拟私云VPC2的网址为10.0.0.0/16,虚拟私云VPC2包括子网2和路由器2,子网2与虚拟私云VPC2的网段相同,子网2内包含VM4、VM5和交换机2,VM4和VM5的网卡接入交换机2。其中,VM4的IP地址为10.0.0.2,VM5的IP地址为10.0.0.3,交换机2的IP地址为10.0.0.13。各虚拟机图标下的数字为表示该虚拟机的网卡标识,例如VM1的网卡标识为9,VM2的网卡标识为8,以此类推。
假设桥接虚拟机VM3创建于虚拟私云VPC1内,该VM3具有两块网卡,例如可命名为网卡1和网卡2,假设网卡1接入交换机1,网卡2接入交换机2,网卡1被分配的IP地址为192.168.0.4,网卡2被分配的IP地址为10.0.0.4。
其中,路由器(包括路由器1和路由器2)用于实现不同网段的子网之间的数据传输,例如,路由器1用于将子网1的VM1发送至子网2的VM4的报文转发至路由器2,前提是,需要在路由器1和路由器2之间建立隧道或专线(如本文背景技术中介绍的跨VPC通信的方式),在图1所示的通信系统中实现本申请提出的跨VPC通信时,可不通过路由器,由桥接虚拟机VM3进行数据转发,下面对桥接虚拟机VM3实现VPC1和VPC2通信的方式进行介绍说明:
应理解,VM3的网卡1可绑定至VPC1或VP2内的任意一个虚拟机,当VM3的网卡1接收到报文后,可将接收到的报文转发至该网卡1绑定的虚拟机上。同样的,VM3的网卡2也可绑定至VPC1或VP2内的任意一个虚拟机,当VM3的网卡2接收到报文后,可将接收到的报文转发至该网卡2绑定的虚拟机上。
示例性的,假设VM3上部署了地址转换功能,且VM3上设置的地址映射规则为网卡1的IP地址与VM4的IP地址一一映射,网卡2的IP地址与VM2的IP地址一一映射,VPC1内的虚拟机设置的规则为,当该报文的目的端为VPC2内的某虚拟机时,将该报文发送给VM3的网卡1,即该报文的目的IP地址为网卡1的IP地址。
下面以VM1向VPC2内的虚拟机发送报文为例,对整个数据传输的过程进行介绍说明:
1,VM1将报文发送给VM3的网卡1;
应理解的是,VM1要向VPC2内的虚拟机发送报文时,会将该报文发送给VM3的网卡1为用户配置的一具体规则,该规则可通过SDN控制器进行配置。其中,SDN控制器还可以响应用户的操作指令配置其他规则,例如,当VPC2内的虚拟机向VPC1内的虚拟机发送报文时,将该报文发送至VM3的网卡2,由网卡2将接收到的报文发送至网卡2绑定的VM2。
2,VM3的网卡1接收来自VM1的报文;
3,VM3对该报文进行处理,并将处理后的报文通过网卡2发送给VM4。
4,VM4接收来自网卡2的报文。
可选的,VM4还可以将该报文发送给VPC2内的任意一个虚拟机,例如,VM4将来自网卡1的报文发送给VPC2内的其他虚拟机,示例性的,转发给同一子网内的虚拟机,或VPC2内的所有虚拟机,也可以不转发给任何虚拟机。
具体的,上述虚拟机1发送的报文中可包含两部分,分别为头(header)部分和数据(data)部分。其中,头部分可包含源IP地址和目的IP地址。
对应的,上述数据报文的传输过程中,整个数据处理的流程可包括:
1,VM1将报文发送给VM3的网卡1;
报文1的源IP地址为VM1的IP地址(在VPC1内的IP地址),即192.168.0.2,目的IP地址为VM3的网卡1的IP地址,即192.168.0.4。
2,VM3的网卡1接收来自VM1的报文;
3,VM3对该报文进行网络功能处理,并通过网卡2将处理后的报文发送给VM4。
具体的,在对报文进行处理时,VM3将接收到的报文的源IP地址修改网卡2的IP地址,即10.10.0.4,目的IP地址修改为VM4的IP地址(在VPC2内的IP地址),即10.10.0.2。
上述网络功能处理为地址转换NAT,对于数据的发送进程的地址转换可以称为DNAT,对应的,对于数据的接收进程的地址转换可以称为SNAT,VPC2内的虚拟机向VPC1内的虚拟机发送报文时,例如,VM4要向VM2发送报文,VM4基于用户设置的规则,首先将该报文发送至VM3的网卡2(该报文的源IP地址为VM4的IP地址,目的IP地址为网卡2的IP地址),VM3通过网卡2接收到该报文后,VM3也可以对该报文进行回程的地址转换,例如,将该报文的源IP地址修改为网卡1的IP地址,目的IP地址修改为VM2的IP地址。下面以网卡2的IP地址与VM2的IP地址一一映射为例,对VPC2内的VM4向VPC1内的VM2发送报文的数据传输流程进行介绍:
1,VM4将报文1发送给VM3的网卡2;
具体的,VM4发送的报文的源IP地址为VM4的IP地址(10.0.0.2),目的IP地址为VM3的网卡2的IP地址(10.0.0.4)。
2,VM3基于网卡2接收来自VM4的报文,并基于地址映射规则对该报文进行处理,得到报文2,通过网卡1将处理后的报文2发送至VM2。
其中,具体的处理过程为,由于网卡2的IP地址与VM2的IP地址一一映射,因此,VM3可将接收到的报文1的目的IP地址(网卡2的IP地址),修改为网卡2对应的VM2的IP地址,得到报文2,即报文2的目的IP地址为VM2的IP地址(192.168.0.3)。
3,VM2接收网卡1发送的报文2。
以上为通过数据处理流程对于DNAT和SNAT的相关介绍,当VM3上同时设置了DNAT和SNAT时,也可以称为FULLNAT,应理解,VM3上可以只设置DNAT,也可以只设置SNAT。
通过上述方式,通过桥接虚拟机VM3的网卡1和网卡2,实现VPC1与VPC2之间的虚拟机之间报文的交互,避免通过在两VPC之间的路由器建立隧道或专线的方式实现跨VPC通信,本申请提供一种新型的跨VPC通信的方式。
本申请提供的跨VPC通信还可以结合路由器来实现,如图2所示,为本申请提供的另一在云数据中心部署的通信系统200,通信系统200与通信系统100包含的虚拟设备以及各虚拟机设备的IP地址相同,其中,其他对于通信系统200的配置,与通信系统100相同之处请参见上述对于通信系统100的介绍,此处不再赘述。不同的是,在该通信系统200中,桥接虚拟机VM3的网卡1未接入交换机1,而是接入了路由器1,VM3的网卡2接入了路由器2。
示例性的,假设在VM3内未设置地址转换功能,VPC1内的虚拟机发送的报文的目的IP地址就是该报文的目的端的IP地址。同样的,下面对VM1向VPC2内的虚拟机VM4发送报文时,整个数据处理的过程进行介绍:
1,VM1将报文发送至交换机1;
VM1发送的报文的源IP地址为VM1的IP地址,目的IP地址为VM4的IP地址。
2,交换机1将接收到的来自VM1的报文发送给路由器1;
具体的,VM1发送的报文的源IP地址可为VM1的IP地址(192.168.0.2),目的IP地址可为VM4的IP地址(10.0.0.2),由于源IP地址和目的IP地址不处于同一网段,且路由器可实现不同网段之间的数据转发,因此,交换机1接收到该报文后,将该报文发送至路由器1。应理解的是,交换机1和路由器1可以通过运算得出源IP地址和目的IP地址不处于同一网段。路由器1接收到路由器1确定该报文的目的IP地址为VPC2内的虚拟机的IP地址时,将该报文发送至VM3的网卡1。
其中,可在路由器1内配置一条路由规则,若报文的目的IP地址为VPC2的私网地址(例如,10.0.0.2)时,路由器1将该报文发送至VM3的网卡1。
对应的,路由器1内还可以配置一条针对回程的路由规则,例如,当路由器1接收到的报文的目的IP地址为192.168.0.0/24时,转发至子网1。
3,路由器1将该报文发送至桥接虚拟机VM3的网卡1;
4,VM3将来自路由器1的报文通过网卡2发送至路由器2;
具体的,VM3基于网卡1接收到来自路由器1的报文后,根据该报文的目的IP地址(10.0.0.2),可通过网卡2将报文直接发送给路由器2。
可选的,VM3还可以对报文进行网络功能处理,例如,上文介绍的地址转换,还可以进行防火墙过滤,具体请参见下文对于防火墙的介绍。
5,路由器2接收来自VM3的网卡2的报文,并将该报文转发给交换机2下接入的部分或全部虚拟机。
上述为桥接虚拟机基于路由器层面的数据转发,也就是,本申请桥接虚拟机可实现的路由功能。
需要说明的是,上述介绍的桥接虚拟机设置有2个网卡仅为举例,本申请实施例中的桥接虚拟机还可以设置2个以上数量的网卡,以实现多个VPC(大于2个)下两两VPC之间的数据传输。
接下来,对桥接虚拟机上设置大于2个网卡时的部署方式以及对应的通信方式进行介绍说明:
示例性的,假设桥接虚拟机上设置有4个网卡,如图3所示的通信系统300,该通信系统在通信系统100的基础上,又增加了虚拟私云VPC3和VPC4,桥接虚拟机VM3设置有4块网卡,例如,包括第一网卡、第二网卡、第三网卡和第四网卡,其中,第一网卡与VPC1绑定,第二网卡与VPC2绑定,第三网卡与VPC3绑定,第四网卡与VPC4绑定。
假设,第一网卡的IP地址与VPC2内的VM4的IP地址一一映射,第二网卡的IP地址与VPC1内的VM2的IP地址一一映射,第三网卡的IP地址与VPC4内的VM7的IP地址一一映射,第四网卡的IP地址与VPC3内的VM6的IP地址一一映射。
在该通信系统300中,可基于桥接虚拟机VM3的网卡1和网卡2可以实现VPC1与VPC2之间的数据传输,基于VM3的网卡3和网卡4可以实现VPC3和VPC4之间的数据传输。
作为又一种示例,在一些场景中,桥接虚拟机内也可部署路由规则,例如,对于VPC1的路由器1而言,要实现将VPC1的报文发送至VPC2时,对应的路由规则可以为将目的IP地址为VPC2的私网地址的报文发送至VM3的网卡1。若要实现将VPC1的报文发送至VPC3时,对应的路由规则可为将目的IP地址为VPC3的私网地址的报文也发送至VM3的网卡1。也就是,VM3的网卡1接收到的报文可能是发送至VPC2的,也可能是发送至VPC3的,则VM3上设置的路由规则可以为,目的IP地址为VPC2的私网地址的报文由网卡2发出,目的IP地址为VPC3的私网地址的报文由网卡3发出。
如图4所示的通信系统400,该通信系统在通信系统200的基础上,又增加了虚拟私云VPC3,桥接虚拟机VM3设置有3块网卡,例如,包括第一网卡、第二网卡和第三网卡,其中,第一网卡与VPC1绑定,第二网卡与VPC2绑定,第三网卡与VPC3绑定。
每个路由器上都配置有路由规则,同样的,桥接虚拟机VM3上也配置有路由规则,下面以路由器1和桥接虚拟机VM3为例,对路由器1和对应的VM3上配置的路由规则进行说明:
对于VPC1的路由器1而言,要实现将VPC1的报文发送至VPC2时,对应的路由规则可以为将目的IP地址为VPC2的私网地址的报文发送至VM3的网卡1。若要实现将VPC1的报文发送至VPC3时,对应的路由规则可为将目的IP地址为VPC3的私网地址的报文也发送至VM3的网卡1。也就是,VM3的网卡1接收到的报文可能是发送至VPC2的,也可能是发送至VPC3的,则VM3上设置的路由规则可以为,目的IP地址为VPC2的私网地址的报文由网卡2发出,目的IP地址为VPC3的私网地址的报文由网卡3发出。
同样的,对于VPC2内的路由器2和VPC3内的路由器3而言,可以参照对于路由器1和VM3配置的路由规则进行配置,此处不再赘述。
基于上述路由规则,该通信系统300中,基于桥接虚拟机VM3的网卡1和网卡2可以实现VPC1与VPC2之间的数据传输,基于VM3的网卡1和网卡3可以实现VPC1和VPC3之间的数据传输,基于VM3的网卡2和网卡3可以实现VPC2和VPC3之间的数据传输。
作为一种可选的实施方式,桥接虚拟机VM3中还可以部署防火墙,以实现防火墙的任一功能。例如,通过防火墙设置安全策略,该安全策略是指防火墙按一定过滤规则检查数据流是否可以通过防火墙的基本安全控制机制,示例性的,防火墙发过滤规则可以是,VPC1可访问VPC2内的任一虚拟设备,或只能访问指定VPC2内指定IP地址的虚拟设备等。
示例性的,部署了防火墙之后,VM3的网卡1接收到来自VPC1的报文后,可判断该报文是否符合预设防火墙规则,如果是,则通过网卡2将该报文发送至VPC2,否则,不发出该报文。对应的,VM3的网卡2接收到来自VPC2的报文后,同样可判断该报文是否符合预设防火墙规则,如果是,则通过网卡1将该报文发送至VPC1,否则,不发出该报文。
本申请实施例中,部署防火墙的桥接虚拟机可以实现对,待传输数据的安全过滤,以此提高跨VPC通信的安全性,还可以实现防火墙的其他功能,可以参考基于现有防火墙机制的实现方式,此处不再赘述。
作为一种优化方案,为了提高通过桥接虚拟机进行跨VPC通信的可靠性,还可以将桥接虚拟机配置为冗余模式,配置时可以基于VRRP协议,也可以基于HA协议,此处为基于现有冗余配置机制的实现,具体配置方式不再赘述。如图5所示的通信系统500,该通信系统500是在图1的基础上,在VPC1和VPC2之间同时部署两台桥接虚拟机,应理解,两台桥接虚拟机同时仅有一台用于实际的数据传输,实际用于数据传输的桥接虚拟机为主桥接虚拟机,另一台作为备桥接虚拟机,简言之,冗余模式可以理解为一主一备模式,当主桥接虚拟机发生故障时,备桥接虚拟机可切换为主桥接虚拟机,以保证通信系统的正常运行。
因此,备桥接虚拟机的配置需与主桥接虚拟机的配置完全相同,以此实现无缝切换,也就是,主桥接虚拟机和备桥接虚拟机具有相同的硬件配置和网络配置,例如,相同的网卡数量,相同的IP地址,相同的地址映射规则,相同的路由规则等等。不同之处在于,主桥接虚拟机的mac地址与备桥接虚拟机的mac地址不同。
主桥接虚拟机发生故障后,备桥接虚拟机自动切换为主桥接虚拟机,示例性的,可以是,假设桥接虚拟机为冗余配置,当前主桥接虚拟机为VM3,备桥接虚拟机为VM3'。当VM3在运行时,可以周期性广播报文,以通知VM3'主桥接虚拟机的状态正常,当VM3发生故障后,便不再广播该报文,VM3'在预设时长内未检测到主桥接虚拟机广播的报文后,便切换为主桥接虚拟机,也就是,此时VM3'作为主桥接虚拟机运行。
需要说明的是,对于冗余配置的两台桥接虚拟机而言,两台桥接虚拟机的IP地址为虚IP(VIP)而不具有实IP,虚IP是相对于实IP而言,实IP是指同一VPC下同一IP地址只对应同一虚拟设备时,则该IP为该主机的实IP。虚IP是指冗余模式下两个主机具有相同的IP地址,则该IP地址为两个共同所有的虚拟机设备的虚IP。因此,本申请实施例在实现桥接虚拟机的冗余配置时,本申请实施例中的虚拟设备还具有获取桥接虚拟机VIP的MAC地址的功能,以确保根据获取到的mac地址将报文发送至主桥接虚拟机。
以上为通过在桥接虚拟机上部署不同的网络功能实现本申请跨VPC通信的方案,一种可能的场景中,本申请实施例可以在跨VPC通信的基础上实现用户的线下IDC与云上VPC之间的通信,如图6所示,为本申请提供的另一通信系统600,该通信系统600包含,线下IDC,VPC1和VPC2。线下IDC包含至少一个终端设备10和路由器11,该终端设备可以是计算机、电脑,手机等。VPC2包含至少一个虚拟网关20,线下IDC内的路由器11与VPC2的虚拟网关20建立连接,例如,该连接可以是VPN连接或者建立隧道实现连接,VPC2与VPC1之间通过桥接虚拟机实现跨VPC连接。具体的,线下IDC的路由器通过专线与VPC2的虚拟网关(VPN)建立连接,VPC2和VPC1内部的具体结构可以参见图1、图2、图3、图4、图5或图6的描述,此处不再赘述。
在该通过系统500中,线下IDC内可以与VPC1内的虚拟机进行通信,也可以与VPC2内的虚拟机进行通信。下面以线下IDC与VPC2内的虚拟机进行通信的过程进行详细介绍:
1,线下IDC的终端设备10向路由器11发送报文;
终端设备10发送的报文的源IP地址为线下IDC为该终端设备10分配的IP地址,假设为10.0.0.2,目的IP地址为VPC1内VM2的IP地址192.168.0.3。
2,路由器11将该报文进行地址转换后发送给VPC2内的虚拟网关;
路由器11内可设置路由规则,若报文的目的IP地址为VPC1或VPC2的私网地址,则将该报文发送至VPC2的虚拟网关。
进一步,当路由器11具有VPN功能时,还可以对待转发的IP报文进行加密处理,例如,路由器11基于预设算法对IP报文进行加密,并为加密后的IP报文添加VPN包头,该VPN包头的源IP地址为路由器11的公网地址,目的IP地址为VPC2内的虚拟网关的公网地址,以得到处理后的VPN报文,并经过专线将处理后的VPN报文发送至VPC2的虚拟网关。
应理解的是,基于专线或VPN进行通信的方式,需要基于两端设备的公网地址实现数据传输。
3,VPC2的虚拟网关接收来自线下IDC的路由器的VPN报文;
假设VPC2的虚拟网关为VPN网关,该VPN网关接收到来自线下IDC的VPN报文后,对该VPN报文进行解封装,去掉该VPN报文的包头,得到加密的IP报文部分,并基于与路由器11内预设的加密算法相对应的预设的解密算法对该IP报文进行解密。
4,VPC2的虚拟网关基于解密后的报文的目的IP地址,将该报文发送至桥接虚拟机VM3的网卡2,;
5,VM3基于网卡1将该报文发送至VPC1内的VM2。
需要说明的是,上述线下IDC和虚拟私云的通信仅为举例,本申请可以实现各种云下网络和云上网络的通信,本申请并不局限于IDC与虚拟私云的通信。
上述方式,可以实现云下和云上网络的加密传输,提高了数据传输的安全性,同时,由于VPC1未与公网直接连接,则一定程度上还可以降低VPC1被入侵的风险,例如,在一种可能的场景中,用户可以将保密要求较高的数据,例如研发数据,保存于VPC1中,将与公网的数据交互部署于VPC2内,以实现将公网数据和研发数据的格力,从而降低由于公网数据和研发数据同时在同一个VPC内传输时可能带来的入侵风险。
如图7所示,为本申请提供的一种通信系统中各虚拟设备之间的连接方式的具体示例,该通信系统包括VPC1和VPC2,VPC1包含VM1和VM2,VPC2包含有VM3和VM4。其中,VM1、VM2和VM4都具有一块网卡,VM1和VM2的网卡接入逻辑网桥VNI1,VM3和VM4的网卡接入逻辑网桥VNI2。VM3具有两块网卡,其中,一块网卡接入逻辑网桥VNI1,另一块网卡接入逻辑网桥VNI2。
其中,上述虚拟设备(例如图1中的VPC1和VPC2的各虚拟机)的配置可以通过控制器(或称为配置装置)实现,例如,该控制器为SDN控制器,该SDN控制器可对应于图1中的控制器。假设通过SDN控制器创建有两个VPC网络,分别为VPC1和VPC2。
接下来,请参考图8所示,为本申请实施例中通过控制器实现VPC之间通信的配置方法的流程图,包括以下步骤:
S800:创建桥接虚拟机,为桥接虚拟机设置第一网卡和第二网卡;具体的,例如,在VPC1或VPC2内创建一桥接虚拟机,配置桥接虚拟机的网卡数量,例如可以是2块网卡,即第一网卡和第二网卡;
S801:设置第一网卡与VPC1绑定,第二网卡与VPC2绑定,其中桥接虚拟机用于对VPC1经网卡1发送至VPC2的报文进行网络功能处理,并用于对VPC2经网卡2发送至VPC1的报文进行网络功能处理。
需要说明的,若两个VPC不属于同一租户,则SDN控制器还可提供有VPC授权机制,授权后才可以实现VPC之间的通信。例如,VPC1所属用户通过SDN控制器提供的授权界面,可将VPC1的权限(例如访问权限)授权给VPC2,VPC2的所述用户通过SDN控制器提供的相同功能的授权界面,将VPC2的权限授权给VPC1,授权之后,便可基于上述桥接虚拟机的设置实现两VPC之间的通信。
接下来,请参考图9所示,为本申请实施例中虚拟机之间通信的方法的交互流程图。该流程中的第一虚拟机、桥接虚拟机和第二虚拟机可分别为上述图1、图2、图3、图4、图5或图6中VPC1内的任一虚拟机、桥接虚拟机VM3和VPC2内的任一虚拟机,或者,第一虚拟机也可为上述图1、图2、图3、图4、图5或图6中VPC2内的任一虚拟机,则第二虚拟机为VPC1内的任一虚拟机。如图9所示,该方法包括:
S900.第一虚拟机发送第一报文;
S901.桥接虚拟机基于第一网卡接收该第一报文,并对第一报文进行网络功能处理,以得到第二报文;
S902,桥接虚拟机基于第二网卡将第二报文发送至第二虚拟机;
S903.第二虚拟机接收桥接虚拟机发送的第二报文。
关于桥接虚拟机对数据进行网络功能的处理过程,可参见上述记载,在此不再说明。
与上述构思相同,如图10所示,本申请提供一种装置1000,装置1000可应用于上述图9所示流程中的桥接虚拟机上。
通信装置1000可包括处理器1001和存储器1002。进一步的,该装置还可包括第一通信接口1004和第二通信接口1005,该通信接口可为收发器。进一步的,该装置还可包括总线系统1003。
其中,处理器1001、存储器1002和通信接口1004和第二通信接口1005可通过总线系统1003相连,该存储器1002可用存储指令,该处理器1001可用于执行该存储器1002存储的指令,以控制通信接口1004和第二通信接口1005接收或发送信号,完成上述图9所示方法中以桥接虚拟机为主体的步骤。
其中,存储器1002可以集成在处理器1001中,也可以是与处理器1001不同的物理实体。
作为一种实现方式,通信接口1004和第二通信接口1005的功能可以考虑通过收发电路或收发的专用芯片实现。处理器1001可以考虑通过专用处理芯片、处理电路、处理器或通用芯片实现。
作为另一种实现方式,可以考虑使用计算机的方式,来实现本申请实施例提供的第一计算节点或第一计算节点的功能。即将实现处理器1001、通信接口1004和第二通信接口1005功能的程序代码存储在存储器1002中,通用处理器可通过执行存储器中的代码来实现处理器1001、通信接口1004和第二通信接口1005的功能。
该通信装置1000所涉及的与本申请提供的技术方案相关的概念、解释和详细说明以及其他步骤,可参见前述方法或其它实施例中关于这些内容的描述,此处不作赘述。
在本申请的一示例中,所述通信装置1000可用于执行上述图9所示流程中,以桥接虚拟机为执行主体的步骤。比如,通信接口1004可接收第一通信接口1004绑定的第一VPC内的第一虚拟机发送的报文;处理器1001可将通信接口1004和通信接口1005接收的报文进行网络功能处理;通信接口1005可发送第一虚拟机向通信接口1005绑定的第二VPC内的第二虚拟机的报文。
关于处理器1001、通信接口1004和通信接口1005的介绍,可参见上述图9所示流程的介绍,在此不再赘述。
与上述构思相同,如图11所示,本申请提供一种配置装置1100,配置装置1100可应用于上述图8所示流程中的控制器上。
配置装置1100可包括处理器1101和存储器1102。进一步的,该装置还可包括通信接口1104,该通信接口可为收发器。进一步的,该装置还可包括总线系统1103。
其中,处理器1101、存储器1102和通信接口1104可通过总线系统1103相连,该存储器1102可用存储指令,该处理器1101可用于执行该存储器1102存储的指令,以控制通信接口1104接收或发送信号,完成上述图8所示方法中以控制器为主体的步骤。
其中,存储器1102可以集成在处理器1101中,也可以是与处理器1101不同的物理实体。
作为一种实现方式,通信接口1104的功能可以考虑通过收发电路或收发的专用芯片实现。处理器1101可以考虑通过专用处理芯片、处理电路、处理器或通用芯片实现。
作为另一种实现方式,可以考虑使用计算机的方式,来实现本申请实施例提供的第一计算节点或第一计算节点的功能。即将实现处理器1101和通信接口1104功能的程序代码存储在存储器1102中,通用处理器可通过执行存储器中的代码来实现处理器1101和通信接口1104的功能。
该通信装置1100所涉及的与本申请提供的技术方案相关的概念、解释和详细说明以及其他步骤,可参见前述方法或其它实施例中关于这些内容的描述,此处不作赘述。
在本申请的一示例中,所述通信装置1100可用于执行上述图8所示流程中,以控制器为执行主体的步骤。例如,处理器1101可创建桥接虚拟机,为桥接虚拟机设置第一网卡和第二网卡,并设置所述第一网卡与所述第一VPC绑定,所述第二网卡与第二VPC绑定,;
关于处理器1101和通信接口1104的介绍,可参见上述图8所示流程的介绍,在此不再赘述。
基于以上实施例,本申请实施例还提供了一种计算机存储介质,该存储介质中存储软件程序,该软件程序在被一个或多个处理器读取并执行时可实现上述任意一个或多个实施例提供的方法。该计算机存储介质可以包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
基于以上实施例,本申请实施例还提供了一种计算机程序产品,所述计算机程序产品中包括计算机指令,当所述计算机指令被计算机执行时,使得所述计算机执行上述任意一个或多个实施例提供的方法。
基于以上实施例,本申请实施例还提供了一种芯片,该芯片包括处理器,用于实现上述任意一个或多个实施例所涉及的功能,例如获取或处理上述方法中所涉及的信息或者消息。可选地,该芯片还包括存储器,该存储器,用于存储处理器所执行的程序指令和数据。该芯片,也可以包含芯片和其他分立器件。
应理解,在本申请实施例中,处理器可以是中央处理单元(central processingunit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application-specific integrated circuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器,也可以是任何常规的处理器等。
该存储器可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。
该总线系统除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线系统。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
可以理解的是,在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的实施例的范围。上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定。
在一些可能的实施方式中,本发明实施例提供的信息同步的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序代码在计算机设备上运行时,所述程序代码用于使所述计算机设备执行本说明书中描述的根据本发明各种示例性实施方式的桥接虚拟机或SDN控制器的方法中的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
根据本发明的实施方式的用于配置参数的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在服务器设备上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被信息传输、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由周期网络动作系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备,或者,可以连接到外部计算设备。
本申请实施例针对信息同步的方法还提供一种计算设备可读存储介质,即断电后内容不丢失。该存储介质中存储软件程序,包括程序代码,当所述程序代码在计算设备上运行时,该软件程序在被一个或多个处理器读取并执行时可实现本申请实施例上面任何一种信息同步的方案。
以上参照示出根据本申请实施例的方法、装置(系统)和/或计算机程序产品的框图和/或流程图描述本申请。应理解,可以通过计算机程序指令来实现框图和/或流程图示图的一个块以及框图和/或流程图示图的块的组合。可以将这些计算机程序指令提供给通用计算机、专用计算机的处理器和/或其它可编程数据处理装置,以产生机器,使得经由计算机处理器和/或其它可编程数据处理装置执行的指令创建用于实现框图和/或流程图块中所指定的功能/动作的方法。
相应地,还可以用硬件和/或软件(包括固件、驻留软件、微码等)来实施本申请。更进一步地,本申请可以采取计算机可使用或计算机可读存储介质上的计算机程序产品的形式,其具有在介质中实现的计算机可使用或计算机可读程序代码,以由指令执行系统来使用或结合指令执行系统而使用。在本申请上下文中,计算机可使用或计算机可读介质可以是任意介质,其可以包含、存储、通信、传输、或传送程序,以由指令执行系统、装置或设备使用,或结合指令执行系统、装置或设备使用。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包括这些改动和变型在内。
Claims (12)
1.一种虚拟私云VPC之间的通信方法,其特征在于,所述方法应用于桥接虚拟机,所述桥接虚拟机包括与第一VPC绑定的第一网卡和与第二VPC绑定的第二网卡,所述桥接虚拟机为所述第一VPC内的一个虚拟机,或所述第二VPC内的一个虚拟机;所述方法包括:
所述桥接虚拟机从所述第一网卡接收所述第一VPC中的第一虚拟机发送至第二VPC中的第二虚拟机的第一报文;
所述桥接虚拟机对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC。
2.根据权利要求1所述的方法,其特征在于,所述第一网卡设置有第一VPC的第一私网地址,所述第二网卡设置有第二VPC的第二私网地址,
所述桥接虚拟机从所述第一网卡接收所述第一VPC中的第一虚拟机发送至第二VPC中的第二虚拟机的第一报文,包括:
所述桥接虚拟机从所述第一网卡接收所述第一报文,所述第一报文的源IP地址是所述第一虚拟机在所述第一VPC中的私网地址,目的网络协议IP地址是所述第一私网地址;
所述桥接虚拟机对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC,包括:
所述桥接虚拟机将所述第一报文的源IP地址修改为所述第二私网地址,将所述第一报文的目的IP地址修改为所述第二虚拟机在所述第二VPC中的私网地址;
所述桥接虚拟机通过第二网卡将修改后的第一报文发送至所述第二VPC。
3.根据权利要求1所述的方法,其特征在于,
所述桥接虚拟机从所述第一网卡接收所述第一VPC中的第一虚拟机发送至第二VPC中的第二虚拟机的第一报文,包括:
所述桥接虚拟机从所述第一网卡接收所述第一报文,所述第一报文的源IP地址是所述第一虚拟机在所述第一VPC中的私网地址,目的IP地址是所述第二虚拟机在所述第二VPC中的私网地址;
所述桥接虚拟机对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC,包括:
所述桥接虚拟机根据所述第一报文的目的IP地址选择第二网卡,通过所述第二网卡将第一报文发送至所述第二VPC。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述桥接虚拟机对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC,包括:
所述桥接虚拟机判断所述第一报文是否符合预设防火墙规则,如果是,通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC。
5.一种VPC之间通信的设置方法,应用于控制器,其特征在于,包括:
创建桥接虚拟机,所述桥接虚拟机设置有第一网卡和第二网卡;所述桥接虚拟机为第一VPC内的一个虚拟机,或第二VPC内的一个虚拟机;
设置所述第一网卡与所述第一VPC绑定,所述第二网卡与第二VPC绑定,其中所述桥接虚拟机用于对所述第一VPC经所述第一网卡发送至所述第二VPC的报文进行网络功能处理,并用于对所述第二VPC经所述第二网卡发送至所述第一VPC的报文进行网络功能处理。
6.根据权利要求1所述的方法,其特征在于,所述网络功能处理包括网络地址转换NAT、路由以及防火墙过滤中的一者或任意组合。
7.一种通信系统,其特征在于,包括第一VPC中的第一虚拟机、第二VPC中的第二虚拟机和桥接虚拟机;所述桥接虚拟机为所述第一VPC内的一个虚拟机,或所述第二VPC内的一个虚拟机;
所述第一虚拟机,用于发送第一报文;
所述桥接虚拟机,用于从所述第一网卡接收所述第一VPC中的第一虚拟机发送至第二VPC中的第二虚拟机的第一报文,对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC;
所述第二虚拟机,用于接收来自桥接虚拟机的经网络功能处理后的第一报文。
8.根据权利要求7所述的系统,其特征在于,所述桥接虚拟机的第一网卡设置有第一VPC的第一私网地址,所述第二网卡设置有第二VPC的第二私网地址;
所述桥接虚拟机从所述第一网卡接收所述第一VPC中的第一虚拟机发送至第二VPC中的第二虚拟机的第一报文时,具体用于:
所述桥接虚拟机从所述第一网卡接收所述第一报文,所述第一报文的源IP地址是所述第一虚拟机在所述第一VPC中的私网地址,目的IP地址是所述第一私网地址;
所述桥接虚拟机对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC时,具体用于:
所述桥接虚拟机将所述第一报文的源IP地址修改为所述第二私网地址,将所述第一报文的目的IP地址修改为所述第二虚拟机在所述第二VPC中的私网地址,通过第二网卡将修改后的第一报文发送至所述第二VPC。
9.根据权利要求7所述的系统,其特征在于,
所述桥接虚拟机从所述第一网卡接收所述第一VPC中的第一虚拟机发送至第二VPC中的第二虚拟机的第一报文时,具体用于:
所述桥接虚拟机从所述第一网卡接收所述第一报文,所述第一报文的源IP地址是所述第一虚拟机在所述第一VPC中的私网地址,目的IP地址是所述第二虚拟机在所述第二VPC中的私网地址;
所述桥接虚拟机对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC时,具体用于:
所述桥接虚拟机根据所述第一报文的目的IP地址选择第二网卡,通过所述第二网卡将第一报文发送至所述第二VPC。
10.根据权利要求7-9任一项所述的系统,其特征在于,所述桥接虚拟机对所述第一报文进行网络功能处理,并通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC时,具体用于:
所述桥接虚拟机判断所述第一报文是否符合预设防火墙规则,如果是,通过所述第二网卡将经网络功能处理后的第一报文发送至所述第二VPC。
11.一种通信装置,其特征在于,包括处理器和存储器;
所述存储器存储有计算机指令;
所述处理器用于执行所述存储器所存储的计算机指令,以使所述通信装置实现如权利要求1-4中任一项所述的方法。
12.一种配置装置,其特征在于,包括处理器和存储器;
所述存储器存储有计算机指令;
所述处理器用于执行所述存储器所存储的计算机指令,以使所述配置装置实现如权利要求5-6中任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911399727.0A CN113132201B (zh) | 2019-12-30 | 2019-12-30 | 一种vpc之间的通信方法及装置 |
| PCT/CN2020/141106 WO2021136311A1 (zh) | 2019-12-30 | 2020-12-29 | 一种vpc之间的通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911399727.0A CN113132201B (zh) | 2019-12-30 | 2019-12-30 | 一种vpc之间的通信方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113132201A CN113132201A (zh) | 2021-07-16 |
| CN113132201B true CN113132201B (zh) | 2022-11-25 |
Family
ID=76686522
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911399727.0A Active CN113132201B (zh) | 2019-12-30 | 2019-12-30 | 一种vpc之间的通信方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113132201B (zh) |
| WO (1) | WO2021136311A1 (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113709157B (zh) * | 2021-08-27 | 2023-06-30 | 四川中电启明星信息技术有限公司 | 基于云路由和安全控制中心的电力安全研发网络结构 |
| CN113852572B (zh) * | 2021-09-30 | 2024-01-23 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN114025010B (zh) * | 2021-10-20 | 2024-04-16 | 北京奥星贝斯科技有限公司 | 建立连接的方法和网络设备 |
| CN114448667B (zh) * | 2021-12-23 | 2023-08-08 | 天翼云科技有限公司 | 一种数据传输方法、装置及设备 |
| CN114401274B (zh) * | 2022-01-21 | 2023-11-07 | 浪潮云信息技术股份公司 | 一种通信线路创建方法、装置、设备及可读存储介质 |
| CN114598700B (zh) * | 2022-01-25 | 2024-03-29 | 阿里巴巴(中国)有限公司 | 通信方法及通信系统 |
| CN114584529B (zh) * | 2022-01-29 | 2023-06-30 | 中国电子科技集团公司第五十二研究所 | 一种基于nat和虚拟网桥的推理服务器 |
| CN114726827B (zh) * | 2022-03-31 | 2022-11-15 | 阿里云计算有限公司 | 多集群服务系统、服务访问与信息配置方法、设备及介质 |
| CN114567523B (zh) * | 2022-04-22 | 2022-09-30 | 阿里巴巴(中国)有限公司 | 一种自定义vlan网络的方法、设备及存储介质 |
| CN114844855B (zh) * | 2022-04-24 | 2024-05-17 | 京东科技信息技术有限公司 | 一种网络互通访问策略的生成方法和装置 |
| CN114938318B (zh) * | 2022-05-11 | 2024-03-26 | 浪潮云信息技术股份公司 | 基于弹性公网ip的跨区域对等连接实现方法 |
| CN114928591A (zh) * | 2022-05-31 | 2022-08-19 | 济南浪潮数据技术有限公司 | 一种虚拟机ip地址的添加方法、装置以及介质 |
| CN115189920A (zh) * | 2022-06-16 | 2022-10-14 | 阿里巴巴(中国)有限公司 | 跨网络域通信方法和相关装置 |
| CN115297004B (zh) * | 2022-07-25 | 2024-05-24 | 紫光云技术有限公司 | 一种单可用区内vpc对等连接实现方法 |
| CN115499434A (zh) * | 2022-07-29 | 2022-12-20 | 天翼云科技有限公司 | 跨vpc的流量转发方法 |
| CN115412527B (zh) * | 2022-08-29 | 2024-03-01 | 北京火山引擎科技有限公司 | 虚拟私有网络之间单向通信的方法及通信装置 |
| CN115913824B (zh) * | 2023-02-10 | 2023-07-25 | 中航金网(北京)电子商务有限公司 | 跨vpc的虚拟服务器通信方法及系统 |
| CN116820686B (zh) * | 2023-08-29 | 2024-01-09 | 苏州浪潮智能科技有限公司 | 物理机的部署方法、虚拟机和容器统一监控的方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017214883A1 (en) * | 2016-06-15 | 2017-12-21 | Alibaba Group Holding Limited | Network system and method for cross region virtual private network peering |
| CN109361764A (zh) * | 2018-11-29 | 2019-02-19 | 杭州数梦工场科技有限公司 | 内跨vpc的服务访问方法、装置、设备及可读存储介质 |
| CN110401588A (zh) * | 2019-07-15 | 2019-11-01 | 浪潮云信息技术有限公司 | 基于openstack的公有云平台中实现VPC对等连接方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10447498B2 (en) * | 2017-10-06 | 2019-10-15 | ZenDesk, Inc. | Facilitating communications between virtual private clouds hosted by different cloud providers |
| US10764169B2 (en) * | 2017-10-09 | 2020-09-01 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for testing virtual network components deployed in virtual private clouds (VPCs) |
-
2019
- 2019-12-30 CN CN201911399727.0A patent/CN113132201B/zh active Active
-
2020
- 2020-12-29 WO PCT/CN2020/141106 patent/WO2021136311A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017214883A1 (en) * | 2016-06-15 | 2017-12-21 | Alibaba Group Holding Limited | Network system and method for cross region virtual private network peering |
| CN109361764A (zh) * | 2018-11-29 | 2019-02-19 | 杭州数梦工场科技有限公司 | 内跨vpc的服务访问方法、装置、设备及可读存储介质 |
| CN110401588A (zh) * | 2019-07-15 | 2019-11-01 | 浪潮云信息技术有限公司 | 基于openstack的公有云平台中实现VPC对等连接方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021136311A1 (zh) | 2021-07-08 |
| CN113132201A (zh) | 2021-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113132201B (zh) | 一种vpc之间的通信方法及装置 | |
| US10862732B2 (en) | Enhanced network virtualization using metadata in encapsulation header | |
| CN112470436B (zh) | 用于提供多云连通性的系统、方法、以及计算机可读介质 | |
| CN108293019B (zh) | 流表处理方法及装置 | |
| US10547463B2 (en) | Multicast helper to link virtual extensible LANs | |
| US10541836B2 (en) | Virtual gateways and implicit routing in distributed overlay virtual environments | |
| CN107646185B (zh) | 用于覆盖环境中的操作维护管理的方法、系统及存储介质 | |
| CN107465590B (zh) | 网络基础设施系统、路由网络业务的方法及计算机可读介质 | |
| CN116057910B (zh) | 虚拟私有云通信及配置方法以及相关装置 | |
| US10237230B2 (en) | Method and system for inspecting network traffic between end points of a zone | |
| US10491482B2 (en) | Overlay network movement operations | |
| US8725898B1 (en) | Scalable port address translations | |
| CN107534643B (zh) | 在ip vpn与传输层vpn之间转换移动业务的方法和系统 | |
| US20190037033A1 (en) | Integrating service appliances without source network address translation in networks with logical overlays | |
| CN109716717A (zh) | 从软件定义的网络控制器管理虚拟端口信道交换机对等体 | |
| CN109728962B (zh) | 一种发送报文的方法和设备 | |
| CN107547439B (zh) | 一种网络流量控制方法和计算节点 | |
| CN114144995B (zh) | 一种用于配置物理服务器的虚拟端口的方法和系统 | |
| WO2023168287A1 (en) | Synchronizing dynamic host configuration protocol snoop information | |
| CN107360104B (zh) | 一种隧道端点网络的实现方法和装置 | |
| CN117176673A (zh) | 子网间实现对等连接方法、系统、装置、计算机设备 | |
| CN113647065A (zh) | 虚拟网络拓扑 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220217 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Applicant after: Huawei Cloud Computing Technology Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |