CN113259219A - 基于ovn环境的vpn构建方法、可读存储介质及云平台 - Google Patents
基于ovn环境的vpn构建方法、可读存储介质及云平台 Download PDFInfo
- Publication number
- CN113259219A CN113259219A CN202110754450.XA CN202110754450A CN113259219A CN 113259219 A CN113259219 A CN 113259219A CN 202110754450 A CN202110754450 A CN 202110754450A CN 113259219 A CN113259219 A CN 113259219A
- Authority
- CN
- China
- Prior art keywords
- vpn
- network
- ovn
- environment
- construction method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/354—Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及云计算领域,特别涉及一种基于OVN环境的VPN构建方法,通过OpenVPN在OVN架构的路由器WinRouter中搭建vpn server,vpn server既连接外部网络又连接到OVN架构下内部虚拟机的私有网络,该vpn server通过构建隧道网络实现所述连接外部网络,该vpn server通过构建虚拟化网卡实现所述连接到私有网络。WinRouter本身是OVN架构中的虚拟化存在,在其上搭建的VPN Server相当于虚拟机,vpn‑client客户端访问虚拟机(vmx)无需通过上层的SDN架构搭建VPN硬件平台,能直接在OVN软件环境下实现VPN功能。
Description
技术领域
本发明涉及云计算领域,特别涉及一种基于OVN环境的VPN构建方法、云平台和计算机可读存储介质,计算机可读存储介质被控制器执行时能实现基于OVN环境的VPN构建方法。
背景技术
云计算的出现,带来了全新的IT基础架构建设、使用和交付模式。通过服务器虚拟化技术得到虚拟机并将其作为业务服务器提供给用户使用,可以实现更细粒度的资源利用。开源软件OpenStack是一个被广泛使用的云计算管理平台,其中OpenvSwitch(OVS)以其丰富的功能和相对优秀的性能,成为OpenStack中广泛使用的虚拟交换机。OVN(OpenVirtual Network)是OpenvSwitch项目组开发的SDN控制器,对OpenvSwitch有好的兼容性和性能。采用OVN架构方式,以web平台作为系统的入口,能够提供对各云资源的集中管理与控制功能,实现云平台上的路由器、私有网络、子网、安全组等VPC能力。OVN专注于实现云计算管理平台场景下的SDN控制器;并且OVN专注于实现二层和三层网络功能,除了在传输层实现了基于L4的ACL 外,基本上不在L4 ~ L7层实现某些功能。
VPN功能是云计算中的一个常见需求,但OVN架构不能直接提供VPN功能,而需要通过上层的SDN架构搭建VPN硬件平台,并且在客户侧和平台侧都配置CE设备,目前无法直接在OVN软件环境下实现VPN功能,这就使得OVN架构的VPC能力有所欠缺。
发明内容
本发明提供了一种基于OVN环境的VPN构建方法,能够在OVN软件环境下实现VPN功能。
提供一种基于OVN环境的VPN构建方法,通过OpenVPN在OVN架构的路由器WinRouter中搭建vpn server,vpn server既连接外部网络又连接到OVN架构下内部虚拟机的私有网络,该vpn server通过构建隧道网络实现所述连接外部网络,该vpn server通过构建虚拟化网卡实现所述连接到私有网络。
优选地,所述外部网络用于连接vpn-client客户端。
优选地,所述vpn server通过构建关联vswitch0的网卡连接到管理网络。
优选地,所述管理网络与所述外部网络共用端口和IP地址。
优选地,通过设置VPN网络动态调整引擎VPN-NDRE来监控OVN网络,该VPN网络动态调整引擎VPN-NDRE检测OVN网络内部网络状态,从而在VPN服务器中添加和/删除网卡。
优选地,所述VPN网络动态调整引擎VPN-NDRE识别添加到当前VPN服务器的网卡数量,若其识别到网卡数量达到较大的预设值,则部署新的VPN服务器。
优选地,所述VPN网络动态调整引擎VPN-NDRE识别添加到当前VPN服务器的网卡数量,若其识别到网卡数量达到较小的预设值,则删除当前VPN服务器。
优选地,在避免与VPC下的私有网络冲突的前提下,为外部网络配置IP。
还提供一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被控制器执行时能够实现上述基于OVN环境的VPN构建方法。
还提供一种云平台,包括OVN架构和虚拟机,以及路由器WinRouter,还包括上述计算机可读存储介质,该计算机可读存储介质上的计算机程序可被控制器执行。
有益效果:该基于OVN环境的VPN构建方法,vpn-client客户端和WinRouter(ovn提供的路由器)通过open vpn进行建立vpn连接,WinRouter本身是OVN架构中的虚拟化存在,在其上搭建的VPN Server相当于虚拟机,vpn-client客户端访问虚拟机(vmx)都会先到WinRouter,再到虚拟机vm。因此,无需通过上层的SDN架构搭建VPN硬件平台就能直接在OVN软件环境下实现VPN功能。
附图说明
图1是本发明创造的OVN环境下VPN服务架构图。
图2是本发明创造的VPN外部网络和管理网络共用交换机端口示意图。
图3是本发明创造的VPN创建的网络部署逻辑流程图。
图4是本发明创造的添加VPN私有网络的逻辑流程图。
图5是本发明创造的删除VPN私有网络的逻辑流程图。
图6是本发明创造的VPN服务器运行的逻辑流程图。
图7是本发明创造的VPN拓扑结构图。
具体实施方式
以下结合具体实施方式对本发明创造作进一步详细说明。
见图1,该云平台管理系统通过OpenVPN在OVN架构的路由器WinRouter中搭建vpnserver。OVN架构中需要VPN服务的私有网络都连接到VPN Server上,即各个虚拟机VM通过Guest Network接到OVN的逻辑交换机端口eth2,vpn server通过用于连接外部网络的外部逻辑交换机端口eth1连接到公共网络Public Network,从而连通装在用户侧的客户端VPN-Client,vpn server和客户端VPN-Client之间通过专有网络(隧道网络,通用技术,此处不做赘述)连通,从而实现用户到云平台的虚拟机之间的网络连接。具体的,图1中最右侧的vpn-client客户端和WinRouter(ovn提供的路由器)通过open vpn进行建立vpn连接,WinRouter本身是OVN架构中的虚拟化存在,在其上搭建的VPN Server相当于虚拟机,vpn-client客户端访问虚拟机(vmx)都会先到WinRouter,再到虚拟机vm。因此,无需通过上层的SDN架构搭建VPN硬件平台就能直接在OVN软件环境下实现VPN功能。
具体地,该云平台管理系统中,VPN Server作为链接中介连接私有网络(GuestNetwork)、外部网络(Public Network)和管理网络(Management Network)。VPN Server以虚拟机的形式存在,创建VPN即为创建虚拟机,为VPN添加私网时,给此虚拟机添加私网网卡,此网卡通过ovn-dhcp_option分配私网IP,并占用ovn-logical-switch的一个交换机端口。当有新的私网加入时,重复上述操作,需要给新私网增加对应的网卡;外部网络用户从外部网络(OVN的外部逻辑交换机)通过VPN-Client拨号连接VPN Server,用户选择具体的外部网络从而为其分配IP地址;管理网络用于管理平台和VPN Server通讯,此VPN Server虚拟机默认有一张网卡关联vswitch0,即管理网络,用户需要为此网络分配一个IP地址,用于和管理平台通讯,例如ssh到VPN Server上执行命令等。
见图2,管理网络可以改为与外部网络共用,则无需额外对外部网络做其他配置。
基于OVN环境的VPN构建方法的具体执行步骤如下。
在OVN环境下配置一台虚拟机(简称VPN服务器),安装OpenVPN,设置VPN服务器的第一张网卡,用于连接管理平台,此网卡的网络需要和管理平台一致,管理平台通过这个网络和VPN服务器通讯。管理平台和VPN服务器网络打通后,启动如图7所示的VPN网络动态调整引擎(VPN-NDRE),自动检测整个OVN的网络,当有新的外部逻辑交换机OVN-logical-switch创建时,VPN-NDRE自动给VPN服务器增加一张网卡,并关联上新建的logical-switch,此时VPN服务器和新的logical-switch网络完成连接。当这台VPN服务器关联的logical-switch达到一定数量,即新增的网卡数达到指定数量时,VPN-NDRE自动部署新的VPN服务器,并同上述步骤,将后续新增的logical-switch关联进来。当OVN某个logical-switch删掉时,VPN-NDRE自动将VPN服务器的网卡删掉。如果某台VPN服务器关联的OVN网络都被删除时,VPN-NDRE自动将这台VPN服务器回收,保证资源的充分使用。VPN服务器最后需要增加一张网卡,用于和OVN的外部网络连接,对该网络配置网关后VPN的网络完成打通。
其中,见图3,云平台管理系统对各个网络进行配置,管理节点和VPN虚拟机通讯的网络中配置IP地址、子网掩码、网关;VPN客户端所在网络,当管理网络和外部网络共用时,无需配置,否则为其选择一个外部网络并分配IP;VPN客户端与VPN Server连接的专有网络(隧道网络),在避免与VPC下的私有网络冲突的前提下进行自定义配置,如'10.8.0.0/24'。
VPN的连接构建成功后,需要配置VPN账号步骤,VPN-NDRE引擎自动读取管理平台已授权的VPN用户列表,并将用户配置到VPN服务器中。用户终端需要安装VPN客户端,并通过已分配的账号拨号到VPN服务器,由VPN服务器转发到具体OVN私有网络中。在此过程中,VPN网络动态调整引擎起到网络自动管理、账号自动维护和资源均衡的作用,无需用户人工参与,由引擎自驱和OVN有机结合,自动完成OVN网络的管理和账号生成,又可以保证资源的充分使用,及时清理闲置资源,避免资源浪费。
对于配置好了的OVN环境下的VPN,需增加私有网络连接端口,见图4,直接在VPN服务器增加一张私网网卡并关联到私有网络来源的虚拟机上新建的logical-switch,并记录相关数据(持久化数据);需要删除私有网络,见图5,直接在VPN服务器删除相关的私网网卡并删除相关数据。需要增加VPN,见图6,创建VPN虚拟机(即新建VPN服务器),待监听到虚拟机启动即成功构建VPN服务器后,通过OVN的tools组件分别设置管理网络和外部网络,此时管理网络与外部网络可共用,然后初始化VPN服务使其正常工作。若VPN服务器工作过程中存在异常或需要撤销,则直接删除该VPN虚拟机并释放外网IP。
如上所述仅为本发明创造的实施方式,不以此限定专利保护范围。本领域技术人员在本发明创造的基础上作出非实质性的变化或替换,仍落入专利保护范围。
Claims (10)
1.基于OVN环境的VPN构建方法,其特征是,通过OpenVPN在OVN架构的路由器WinRouter中搭建vpn server,vpn server既连接外部网络又连接到OVN架构下内部虚拟机的私有网络,该vpn server通过构建隧道网络实现所述连接外部网络,该vpn server通过构建虚拟化网卡实现所述连接到私有网络。
2.根据权利要求1所述的基于OVN环境的VPN构建方法,其特征是,所述外部网络用于连接vpn-client客户端。
3.根据权利要求1所述的基于OVN环境的VPN构建方法,其特征是,所述vpn server通过构建关联vswitch0的网卡连接到管理网络。
4.根据权利要求3所述的基于OVN环境的VPN构建方法,其特征是,所述管理网络与所述外部网络共用端口和IP地址。
5.根据权利要求1所述的基于OVN环境的VPN构建方法,其特征是,通过设置VPN网络动态调整引擎VPN-NDRE来监控OVN网络,该VPN网络动态调整引擎VPN-NDRE检测OVN网络内部网络状态,从而在VPN服务器中添加和/删除网卡。
6.根据权利要求5所述的基于OVN环境的VPN构建方法,其特征是,所述VPN网络动态调整引擎VPN-NDRE识别添加到当前VPN服务器的网卡数量,若其识别到网卡数量达到较大的预设值,则部署新的VPN服务器。
7.根据权利要求5所述的基于OVN环境的VPN构建方法,其特征是,所述VPN网络动态调整引擎VPN-NDRE识别添加到当前VPN服务器的网卡数量,若其识别到网卡数量达到较小的预设值,则删除当前VPN服务器。
8.根据权利要求1所述的基于OVN环境的VPN构建方法,其特征是,在避免与VPC下的私有网络冲突的前提下,为外部网络配置IP。
9.计算机可读存储介质,其存储有计算机程序,其特征是,所述计算机程序被控制器执行时能够实现权利要求1~8中任一项所述的基于OVN环境的VPN构建方法。
10.云平台,包括OVN架构和虚拟机,其特征是,还包括路由器WinRouter和如权利要求9所述的计算机可读存储介质,该计算机可读存储介质上的计算机程序可被控制器执行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110754450.XA CN113259219B (zh) | 2021-07-05 | 2021-07-05 | 基于ovn环境的vpn构建方法、可读存储介质及云平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110754450.XA CN113259219B (zh) | 2021-07-05 | 2021-07-05 | 基于ovn环境的vpn构建方法、可读存储介质及云平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113259219A true CN113259219A (zh) | 2021-08-13 |
| CN113259219B CN113259219B (zh) | 2021-11-02 |
Family
ID=77190674
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110754450.XA Active CN113259219B (zh) | 2021-07-05 | 2021-07-05 | 基于ovn环境的vpn构建方法、可读存储介质及云平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113259219B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553574A (zh) * | 2022-02-28 | 2022-05-27 | 浪潮云信息技术股份公司 | 一种基于云服务平台的高可用IPsecVPN实现系统 |
| CN116647425A (zh) * | 2023-07-26 | 2023-08-25 | 苏州浪潮智能科技有限公司 | 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 |
| CN114553574B (zh) * | 2022-02-28 | 2024-05-14 | 浪潮云信息技术股份公司 | 一种基于云服务平台的高可用IPsecVPN实现系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101517982A (zh) * | 2006-09-27 | 2009-08-26 | 波音公司 | 在客户端设备和飞机的机载系统之间建立连接的路由器 |
| CN103023898A (zh) * | 2012-12-03 | 2013-04-03 | 杭州迪普科技有限公司 | 一种访问vpn服务端内网资源的方法及装置 |
| CN105610675A (zh) * | 2016-01-28 | 2016-05-25 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟vpn网关的创建方法及装置 |
| CN106210174A (zh) * | 2016-08-29 | 2016-12-07 | 东方网力科技股份有限公司 | 一种解决网络设备ip地址冲突的方法和vpn服务器 |
| CN107809365A (zh) * | 2017-09-19 | 2018-03-16 | 大唐网络有限公司 | 一种基于OpenStack架构提供VPN服务的实现方法 |
| CN108616388A (zh) * | 2018-03-30 | 2018-10-02 | 上海地面通信息网络股份有限公司 | 一种网络优化方法 |
| CN111274027A (zh) * | 2020-01-09 | 2020-06-12 | 山东汇贸电子口岸有限公司 | 一种应用在openstack云平台的多活负载均衡方法及系统 |
| CN111510310A (zh) * | 2019-01-30 | 2020-08-07 | 顺丰科技有限公司 | 公有云架构下的网络模式实现方法和装置 |
| CN111614541A (zh) * | 2020-06-09 | 2020-09-01 | 山东汇贸电子口岸有限公司 | 公有云网络物理主机加入vpc的方法 |
-
2021
- 2021-07-05 CN CN202110754450.XA patent/CN113259219B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101517982A (zh) * | 2006-09-27 | 2009-08-26 | 波音公司 | 在客户端设备和飞机的机载系统之间建立连接的路由器 |
| CN103023898A (zh) * | 2012-12-03 | 2013-04-03 | 杭州迪普科技有限公司 | 一种访问vpn服务端内网资源的方法及装置 |
| CN105610675A (zh) * | 2016-01-28 | 2016-05-25 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟vpn网关的创建方法及装置 |
| CN106210174A (zh) * | 2016-08-29 | 2016-12-07 | 东方网力科技股份有限公司 | 一种解决网络设备ip地址冲突的方法和vpn服务器 |
| CN107809365A (zh) * | 2017-09-19 | 2018-03-16 | 大唐网络有限公司 | 一种基于OpenStack架构提供VPN服务的实现方法 |
| CN108616388A (zh) * | 2018-03-30 | 2018-10-02 | 上海地面通信息网络股份有限公司 | 一种网络优化方法 |
| CN111510310A (zh) * | 2019-01-30 | 2020-08-07 | 顺丰科技有限公司 | 公有云架构下的网络模式实现方法和装置 |
| CN111274027A (zh) * | 2020-01-09 | 2020-06-12 | 山东汇贸电子口岸有限公司 | 一种应用在openstack云平台的多活负载均衡方法及系统 |
| CN111614541A (zh) * | 2020-06-09 | 2020-09-01 | 山东汇贸电子口岸有限公司 | 公有云网络物理主机加入vpc的方法 |
Non-Patent Citations (3)
| Title |
|---|
| 吴翰禺.: "基于OVN架构的云资源管控系统设计与实现.", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑 2019年》 * |
| 张天帮.: "强大的网关软件--Winrouter.", 《HTTP://TECH.SINA.COM.CN/S/1011.HTML》 * |
| 邢森@上海电信.: "OVN实战三之打通真实网络提供NAT.", 《HTTPS://CLOUD.TENCENT.COM/DEVELOPER/ARTICLE/1078183》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553574A (zh) * | 2022-02-28 | 2022-05-27 | 浪潮云信息技术股份公司 | 一种基于云服务平台的高可用IPsecVPN实现系统 |
| CN114553574B (zh) * | 2022-02-28 | 2024-05-14 | 浪潮云信息技术股份公司 | 一种基于云服务平台的高可用IPsecVPN实现系统 |
| CN116647425A (zh) * | 2023-07-26 | 2023-08-25 | 苏州浪潮智能科技有限公司 | 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 |
| CN116647425B (zh) * | 2023-07-26 | 2023-11-03 | 苏州浪潮智能科技有限公司 | 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113259219B (zh) | 2021-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108471397B (zh) | 防火墙配置、报文发送方法和装置 | |
| CN111711557B (zh) | 一种网络靶场用户远程接入系统与方法 | |
| US20170353394A1 (en) | Resource placement templates for virtual networks | |
| CN106452857B (zh) | 生成配置信息的方法和网络控制单元 | |
| US9137105B2 (en) | Method and system for deploying at least one virtual network on the fly and on demand | |
| CN110301104B (zh) | 一种光线路终端olt设备虚拟方法及相关设备 | |
| CN107896191B (zh) | 一种基于容器的虚拟安全组件跨云系统及方法 | |
| WO2018053686A1 (zh) | 安全策略部署方法与装置 | |
| CN111464454B (zh) | 一种数据中心内虚拟bras设备负载分担方法及系统 | |
| US11824709B2 (en) | Network management method and device | |
| US11469998B2 (en) | Data center tenant network isolation using logical router interconnects for virtual network route leaking | |
| JP5079665B2 (ja) | 仮想計算機送信方法、システム、管理装置及びプログラム | |
| CN108881013B (zh) | 控制网关模式的方法、系统、sdn控制器和接入设备 | |
| US20230345273A1 (en) | Fault processing method, control plane network element, steering decision-making network element, and related device | |
| CN111556110A (zh) | 一种用于私有云系统的不同物理业务网络自动化适配方法 | |
| CN113259219B (zh) | 基于ovn环境的vpn构建方法、可读存储介质及云平台 | |
| CN110635999A (zh) | 一种基于路由器虚拟化技术的云计算平台网络控制方法 | |
| CN112667293B (zh) | 一种部署操作系统的方法、装置及存储介质 | |
| CN110830598B (zh) | Bgp会话建立、发送接口地址和别名的方法及网络设备 | |
| US11907253B2 (en) | Secure cluster pairing for business continuity and disaster recovery | |
| CN112671811A (zh) | 一种网络接入方法和设备 | |
| CN112203302A (zh) | 接入设备配置方法和网管系统 | |
| CN115134230B (zh) | 一种交换机管理方法、系统、设备及可读存储介质 | |
| CN112565048B (zh) | 三层vpn网络的创建、数据传输方法、装置及电子设备 | |
| CN114157668B (zh) | 多租户跨集群的组网方法、通信系统和可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20210813 Assignee: GUANGZHOU AEROSPACE YUNHONG TECHNOLOGY CO.,LTD. Assignor: WINHONG INFORMATION TECHNOLOGY CO.,LTD. Contract record no.: X2023980035964 Denomination of invention: VPN construction method, readable storage medium, and cloud platform based on OVN environment Granted publication date: 20211102 License type: Common License Record date: 20230525 |