CN114006909B - 一种私有云租户间点对点单向动态专线连接的方法及系统 - Google Patents
一种私有云租户间点对点单向动态专线连接的方法及系统 Download PDFInfo
- Publication number
- CN114006909B CN114006909B CN202111335460.6A CN202111335460A CN114006909B CN 114006909 B CN114006909 B CN 114006909B CN 202111335460 A CN202111335460 A CN 202111335460A CN 114006909 B CN114006909 B CN 114006909B
- Authority
- CN
- China
- Prior art keywords
- source
- network
- virtual
- cloud
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1074—Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2557—Translation policies or rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及私有云租户间网络连接技术领域,公开了一种私有云租户间点对点单向动态专线连接的方法,用两台虚拟机作为源租户和目标租户的云路由并开启内核数据包转发;在源租户云路由的虚拟机上动态热添加一个虚拟网卡,将虚拟网卡连接到以连通业务网大二层网络;向源租户云路由发送增加SNAT策略的源地址转化指令;将数据包从专线接口发送到目标虚拟机上;当源租户云路由上不存在对应专线接口的除SNAT策略外的专线策略时,删除专线接口,关闭专线连接链路。本发明还公开了一种私有云租户间点对点单向动态专线连接的系统。本发明能够将访问限制具体到端口和协议,不允许业务需求以外的任意非法访问,使租户间的专线网络通道更安全、更灵活、更高效。
Description
技术领域
本发明涉及私有云租户间网络连接技术领域,具体地说,是一种私有云租户间点对点单向动态专线连接的方法及系统,用于按照用户需求开通或关闭源租户虚拟机到目标租户虚拟机的单向访问,能够将访问限制具体到端口和协议,不允许业务需求以外的任意非法访问,使租户间的专线网络通道更安全、更灵活、更高效。
背景技术
在企业私有云平台中,各个租户都配置了各自的私有网络,租户之间的私有网络是完全隔离的,不能互通的。而在一个企内部,租户通常是不同的部门或项目组,部门之间的业务往来使得它们之间不可避免会存在网络访问需求,而且随时都可能需要开通新的网络访问或者终止旧的网络访问。现有的解决方案主要有三个:(1)通过云路由的DNAT功能将目标虚拟机的局域网IP地址映射成外部网络的IP地址,由于源虚拟机可通过源租户云路由的SNAT来访问外部网络,所以源虚拟机可通过访问目标虚拟机映射的外部网络IP来访问目标虚拟机。
(2)基于VPN直接打通两个租户间的虚拟局域网,方法是分别在源租户和目标租户的云路由上安装VPN软件来直接打通双方的虚拟子网,这种情况下,被VPN打通的两个虚拟子网将相当于连成一个大局域网,所有虚拟机之间均可互通。(3)在源租户云路由上设置静态路由策略,将来自源虚拟机到目标虚拟机的数据包路由转发到目标租户云路由的WAN接口,再由目标租户的云路由转发到目标虚拟机。但这些方案不能精准地控制允许访问的来源,源租户下所有虚拟机都能访问目标虚拟机,增加了安全风险;无法做到灵活地控制点对点地单向打通,同时VPN软件的会带来额外的处理开销,降低网络性能;无法做到灵活地控制点对点地单向打通,同时VPN软件的会带来额外的处理开销,降低网络性能。
因此,亟需一种技术方法,能够按需精准地开通或关闭租户间的网络请求,并且不会额外突破私有网络本身的安全访问限制。
发明内容
本发明的目的在于提供一种私有云租户间点对点单向动态专线连接的方法及系统,用于按照用户需求开通或关闭源租户虚拟机到目标租户虚拟机的单向访问,能够将访问限制具体到端口和协议,不允许业务需求以外的任意非法访问,使租户间专线网络通道更安全、更灵活、更高效。
本发明通过下述技术方案实现:一种私有云租户间点对点单向动态专线连接的方法,包括以下步骤:
步骤S1.通过两台虚拟机作为源租户和目标租户的云路由并开启内核数据包转发,云平台控制节点向源租户云路由的宿主物理机H1发送调度指令,宿主物理机H1在其内部虚拟交换机上生成一个虚拟端口HP1;
步骤S2.在源租户云路由所属的虚拟机上动态热添加一个虚拟网卡P1,将虚拟网卡P1连接到HP1并通过网桥连通业务网大二层网络,在虚拟网卡P1上设置目标租户云路由所属的目标虚拟机上的虚拟子网1的VLAN,将虚拟网卡P1接入目标虚拟机所属的虚拟子网1,在虚拟网卡P1上分配所属虚拟子网1的IP地址,将P1标记为专线接口并在源租户云路由上添加禁止任何数据包通过专线接口P1转发的策略;
步骤S3.云平台管控节点通过管理网向源租户云路由发送增加SNAT策略的源地址转化指令,SNAT策略在收到符合要求的网络数据包时,将数据包中的源IP地址转换为专线接口的IP地址,同时在源租户云路由添加允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略;
步骤S4.根据增加的SNAT策略和允许的转发策略,数据包从专线接口发送到目标虚拟机上;
步骤S5.云平台管控节点通过管理网向源租户云路发送指令,在源租户云路由上删除源地址转化指令对应的SNAT策略,同时删除允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略,同时删除云路由内核中的跟踪表对应的连接;
步骤S6.当源租户云路由专线接口上不存在SNAT的专线策略时,删除对应专线接口,并关闭专线连接链路。
在本技术方案中,可以选用两台Linux虚拟机,利用其内核的数据包处理与转发能力,本发明按需精准地开通或关闭租户间的网络请求,并且不会额外突破私有网络本身的安全访问限制,在本技术方案中,一个租户的虚拟机向另一个租户的虚拟机发起网络请求时,我们将请求发起虚拟机的租户称为“源租户”,将被请求虚拟机的租户称为“目标租户”,将请求发起的虚拟机称为“源虚拟机”,将被请求的虚拟机称为“目标虚拟机”。本技术方案能够灵活地、随时地按照用户需求开通或关闭源租户虚拟机到目标租户虚拟机的单向访问,能将访问限制具体到端口和协议,不允许业务需求以外的任意非法访问,使租户间专线网络通道更安全、更灵活、更高效。
为了更好地实现本发明,进一步地,步骤S1包括:
虚拟端口HP1通过网桥接入宿主物理机业务网网卡。
在本技术方案中网桥工作在数据链路层,把企业私有云平台的网络结构局域网连接起来。
为了更好地实现本发明,进一步地,步骤S2中将虚拟网卡P1连接到HP1以连通业务网大二层网络的方法包括:
当源虚拟机直接请求目标虚拟机IP地址时,识别到目标地址不在当前子网内,则将数据包发往源虚拟机自己的网关LAN1中,数据包将经业务网大二层网络送达网关。
在本技术方案中,LAN接口接入业务网大二层网络,业务网大二层网络被VLAN划分为多个虚拟子网,云路由的LAN接口用作各个虚拟子网的网关,配置虚拟子网对应的VLAN。
为了更好地实现本发明,进一步地,步骤S2还包括:
虚拟网卡P1与目标虚拟机在物理链路层可达;
云路由系统对调度完成后的虚拟网卡及IP地址进行识别,虚拟网卡作为源租户云路由的专线接口P1。
在本技术方案中,调度完成后虚拟网卡及IP地址将在云路由系统中被识别到,这个虚拟网卡作为源租户云路由的专线接口P1。
为了更好地实现本发明,进一步地,步骤S3中的SNAT策略包括:
当云路由上的网关接口LAN1收到数据包,并且数据包中的源IP地址、目标IP地址、目标端口和网络协议均能与开通需求匹配时,将数据包源地址转换为专线接口P1的IP地址。
在本技术方案中,网关接口LAN1收到该数据包后,发现数据包的目标地址不是本机地址,则将数据包进行转发,在数据包发送出去之前,SNAT策略将数据包中的源地址转换为对应专线接口P1的IP地址,根据默认路由策略,数据包将交由专线接口P1发出。
为了更好地实现本发明,进一步地,步骤S4包括:
当源租户下另一台虚拟机需要访问目标虚拟机或与其相同虚拟子网的其它虚拟机时,复用已存在的专线接口P1,同时在源租户云路由上添加禁止任何数据包通过专线接口P1转发的策略,以防止专线接口被未经允许的网络请求利用。并在源租户云路由上增加一条SNAT策略,同时在源租户云路由添加允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略;
当另一租户的虚拟机也同时需要访问目标虚拟机时,在目标虚拟机所在虚拟子网内寻找一个空闲IP地址,并在租户的云路由上增加一条SNAT策略,同时在源租户云路由添加允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略。
当源租户下的虚拟机同时需要访问其它租户的目标虚拟子网时,在源租户云路由上再增加一个专线接口P2,同时在源租户云路由上添加禁止任何数据包通过专线接口P2转发的策略,以防止专线接口被未经允许的网络请求利用。并增加一条SNAT策略,同时在源租户云路由添加允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略。在本技术方案中,通过SNAT策略可实现私有云平台中源租户到目标租户的最小网络权限访问,并且这种访问具有安全精准、按需随时开闭、灵活可复用、路径短、效率高等特点。
为了更好地实现本发明,进一步地,步骤S5包括:
当源地址转化指令对应的SNAT策略、允许源虚拟机IP到目标虚拟机IP或端口的数据包转发策略和内核中的跟踪表对应的连接同时被删除时,才能立即彻底的断开虚拟专线连接。
在本技术方案中,云平台管控节点通过管理网向源租户云路由发送指令,在源租户云路由上删除专线对应的SNAT策略。判定源租户云路由上是否有应用于对应专线接口的其它专线策略,如不存在则删除对应专线接口。
为了更好地实现本发明,进一步地,本发明还提供了一种私有云租户间专线网络连接的系统,包括源租户云路由、目标租户云路由、云平台和宿主物理机,其中:
源租户云路由,用于开启内核数据包转发;用于在所属的虚拟机上动态热添加一个虚拟网卡P1,将虚拟网卡P1连接到HP1以连通业务网大二层网络,在虚拟网卡P1上设置目标虚拟机所属的虚拟子网1的VLAN,将虚拟网卡P1接入目标虚拟机所属的虚拟子网1,在虚拟网卡P1上分配所属虚拟子网1的IP地址,将P1标记为专线接口并在源租户云路由上添加禁止任何数据包通过专线接口P1转发的策略;用于添加允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略;用于删除源地址转化指令对应的SNAT策略,同时删除允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略;用于当不存在应用于对应专线接口的除SNAT策略外的专线策略时,删除对应专线接口,并关闭专线连接链路;
目标租户云路由,用于开启内核数据包转发;用于根据增加的SNAT策略和允许的转发策略,在目标租户云路由的虚拟机中从专线接口接收数据包;
云平台控制节点用于连接源租户云路由的宿主物理机H1;用于发送调度指令;用于通过管理网向源租户云路由发送增加SNAT策略的源地址转化指令,SNAT策略在收到符合要求的网络数据包时,将数据包中的源IP地址转换为专线接口的IP地址;用于通过管理网向源租户云路发送指令,在源租户云路由上删除源地址转化指令对应的SNAT策略,同时删除允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略,同时删除内核中的跟踪表对应的连接;用于通过管理网向源租户云路发送指令;用于删除内核中的跟踪表对应的连接;
宿主物理机,用于在其内部虚拟交换机上生成一个虚拟端口HP1。
本发明与现有技术相比,具有以下优点及有益效果:
(1)本发明提供的专线网络访问具有安全精准、按需随时开闭、灵活可复用、路径短、效率高等优点;
(2)本发明提供的专线接口与源虚拟机的网关在同一设备上,仅需在云路由的内核中进行一次源地址转换就可以直接转发送达目标,使得这种专线网络的发送路径较短,处理效率较高;
(3)本发明能够做到灵活地控制点对点地单向打通虚拟机;
(4)本发明能够按需精准地开通或关闭租户间的网络请求,并且不会额外突破私有网络本身的安全访问限制。
附图说明
本发明结合下面附图和实施例做进一步说明,本发明所有构思创新应视为所公开内容和本发明保护范围。
图1为本发明所提供的一种私有云租户间专线网络连接的方法的流程示意图。
图2为本发明所提供的私有云租户间专线网络的结构示意图。
图3为本发明所提供的私有云租户间专线网络数据包处理流向示意图。
图4为本发明所提供的一种私有云租户间专线网络连接的系统的结构示意图。
具体实施方式
为了更清楚地说明本发明实施例的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,应当理解,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例,因此不应被看作是对保护范围的限定。基于本发明中的实施例,本领域普通技术工作人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“设置”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;也可以是直接相连,也可以是通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
名词解释
企业私有云平台:部署在企业内部局域网络中,仅供本企业使用的云平台。
租户:在企业私有云平台中,租户一般指的是一个部门或者是一个项目组。
云平台管控节点:在云平台中,某一台或几台物理服务器将作为管理控制中心,用于统一管理调度资源池中的所有软硬件资源,这样的服务器称为管控节点。
管理网:云平台管控节点与各受管节点之间通信的网络。
业务网:云平台中用于承担虚拟机通信的网络。
VLAN:虚拟局域网,可将物理局域网划分成更小的虚拟局域网,每个VLAN号对应一个虚拟局域网。
租户私有网络: 在云平台中,提供给租户使用的私有网络属于租户私有,默认情况下,不同租户的私有网络之间应该是被隔离开的,相互不能访问。
云路由:在传统网络环境中,路由是采用路由器硬件来实现。在云平台中,采用虚拟路由来实现,本方案中的云路由本质上是虚拟机。
外部网络:云平台以外的网络,外部计算机能从外部网络经云路由转发来访问云平台中的虚拟机,私有网络中的虚拟机也可以通过云路由转发来访问外部网络。
DNAT:目标地址转换,可将网络数据包中的目标IP地址修改为指定的IP地址。
SNAT:源地址转换,可将网络数据包中的来源IP地址修改为指定的IP地址。
VPN:虚拟专用网络,可在公共网络上建立一个专有网络通道,通过加解密实现两个局域网之间的通信。
实施例1:
本实施例的一种私有云租户间点对点单向动态专线连接的方法,如图1所示,本实施例仅在源租户云路由上增加专线接口并施加SNAT策略,使得这种专线网络只能按需单向访问,基于SNAT策略可精准地匹配数据包源IP、目标IP、端口及协议的特性,使得专线网络转发是可以被精准控制的,因此这种专线网络是安全和精准的。结合云路由所属虚拟机的虚拟网卡可动态热插拔的技术特性,以及SNAT策略可动态设置生效的特性,使得这种专线网络是可以按需地随时地开闭。通过对SNAT策略的变换处理可以复用同一专线接口开通多条专线网络,使得这种专线网络是可以灵活地适应需求,并且线路是可复用的。源虚拟机与目标虚拟机本属不同子网,根据网络层协议须至少经过1个网关才能到达目标,而本方案中的专线接口与源虚拟机的网关在同一设备上,仅需在云路由的内核中进行一次源地址转换就可以直接转发送达目标,使得这种专线网络的发送路径较短,处理效率较高。
通过云平台调度功能在源租户云路由所属虚拟机上动态热添加一个虚拟网卡,该虚拟网卡接入到目标虚拟机所属虚拟子网,并分配所属虚拟子网的IP地址。调度完成后虚拟网卡及IP地址将在云路由系统中被识别到,这个虚拟网卡作为源租户云路由的专线接口P1,云平台管控节点通过管理网向源租户云路由发送指令来增加SNAT策略,当云路由上的网关接口LAN1收到数据包,并且数据包中的源IP地址、目标IP地址、目标端口及网络协议均能与开通需求匹配时,将数据包源地址转换为专线接口P1的IP地址。
综上所述,这种专线网络访问具有安全精准、按需随时开闭、灵活可复用、路径短、效率高等优点。
实施例2:
本实施例在实施例1的基础上做进一步优化,虚拟端口HP1通过网桥接入宿主物理机业务网网卡。
本实施例的其他部分与实施例1相同,故不再赘述。
实施例3:
本实施例在实施例1的基础上做进一步优化,如图2-3所示,当源虚拟机直接请求目标虚拟机IP地址时,识别到目标地址不在当前子网内,则将数据包发往自己的网关(LAN1),数据包将经业务网大二层网络送达网关。网关(LAN1)收到该数据包后,发现数据包的目标地址不是本机地址,则将数据包进行转发,在数据包发送出去之前,SNAT策略将数据包中的源地址转换为对应专线接口P1的IP地址,根据默认路由策略,数据包将交由专线接口P1发出。专线接口P1与目标虚拟机在同一子网内,因此数据包可经业务网大二层网络直接被送达至目标虚拟机。
本实施例的其他部分与实施例1相同,故不再赘述。
实施例4:
本实施例在实施例1的基础上做进一步优化,在本实施例中,调度完成后虚拟网卡及IP地址将在云路由系统中被识别到,这个虚拟网卡作为源租户云路由的专线接口P1。
本实施例的其他部分与实施例1相同,故不再赘述。
实施例5:
本实施例在实施例1的基础上做进一步优化,如图2-3所示,在本实施例中,通过云平台调度功能在源租户云路由所属虚拟机上动态热添加一个虚拟网卡,该虚拟网卡接入到目标虚拟机所属虚拟子网,并分配所属虚拟子网的IP地址。调度完成后虚拟网卡及IP地址将在云路由系统中被识别到,这个虚拟网卡作为源租户云路由的专线接口P1。云平台管控节点通过管理网向源租户云路由发送指令来增加SNAT策略,增加SNAT策略如下:当云路由上的网关接口LAN1收到数据包,并且数据包中的源IP地址、目标IP地址、目标端口及网络协议均能与开通需求匹配时,将数据包源地址转换为专线接口P1的IP地址。
本实施例的其他部分与实施例1相同,故不再赘述。
实施例6:
本实施例在实施例1的基础上做进一步优化,如图2-3所示,当源租户下另一台虚拟机机需要访问目标虚拟机或与其相同子网的其它虚拟机时,可复用已存在的专线接口P1,只需要在源租户云路由上增加一条SNAT策略即可。当另一租户A的虚拟机也同时需要访问目标虚拟机时,只需在目标虚拟机所在虚拟子网内寻找一个空闲IP地址,并在租户A的云路由上施加相同的方法和策略即可。当源租户下的虚拟机同时需要访问其它租户的目标子网时,只需在源租户云路由上再增加一个专线接口P2并施加相同的方法和策略即可。
本实施例的其他部分与实施例1相同,故不再赘述。
实施例7:
本实施例在实施例1的基础上做进一步优化,如图2-3所示,云平台管控节点通过管理网向源租户云路由发送指令,在源租户云路由上删除专线对应的SNAT策略。判定源租户云路由上是否有应用于对应专线接口的其它专线策略,如不存在则删除对应专线接口。
本实施例的其他部分与实施例1相同,故不再赘述。
实施例8:
本实施例还提供了一种私有云租户间点对点单向动态专线连接的系统,如图4所示,源虚拟机、源租户云路由均运行于宿主物理机上,虚拟交换机、网桥、业务网物理网卡属于宿主物理机的内部设备,源虚拟机和目标虚拟机分别处于两个不同租户的虚拟子网中。本系统需要动态开通或关闭源虚拟机对目标虚拟机指定端口的访问。实现方法是在源租户云路由上动态增加一个专线接口P1,专线接口P1上设置与目标租户云路由的目标虚拟机相同子网的IP地址和VLAN号,使得专线接口P1与目标虚拟处于同一子网内。通过宿主物理机在其内部虚拟交换机上生成一个虚拟端口HP1,然后在源租户的云路由上施加SNAT策略,SNAT策略实现将符合条件的数据包通过专线接口P1转发到目标虚拟机,需要关闭访问时只需动态地删除源租户云路由上的SNAT策略和专线接口P1即可。
本实施例的其他部分与实施例1相同,故不再赘述。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (8)
1.一种私有云租户间点对点单向动态专线连接的方法,其特征在于,所述方法包括以下步骤: 步骤S1.通过两台虚拟机作为源租户和目标租户的云路由并开启内核数据包转发,云平台控制节点向源租户云路由的宿主物理机H1发送调度指令,宿主物理机H1在其内部虚拟交换机上生成一个虚拟端口HP1;
步骤S2.在源租户云路由所属的虚拟机上动态热添加一个虚拟网卡P1,将虚拟网卡P1连接到HP1并通过网桥连通业务网大二层网络,在虚拟网卡P1上设置目标虚拟机所属虚拟子网1的VLAN,将所述虚拟网卡P1接入目标虚拟机所属的虚拟子网1,在所述虚拟网卡P1上分配所属虚拟子网1的IP地址,将P1标记为专线接口并在源租户云路由上添加禁止任何数据包通过专线接口P1转发的策略;
步骤S3.云平台管控节点通过管理网向源租户云路由发送增加SNAT策略的源地址转化指令,SNAT策略在收到符合要求的网络数据包时,将数据包中的源IP地址转换为专线接口的IP地址,同时在源租户云路由添加允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略;
步骤S4.根据增加的SNAT策略和允许的转发策略,数据包从专线接口发送到目标虚拟机上;
步骤S5.云平台管控节点通过管理网向源租户云路发送指令,在源租户云路由上删除源地址转化指令对应的SNAT策略,同时删除允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略,同时删除云路由内核中的跟踪表对应的连接;
步骤S6.当源租户云路由专线接口上不存在SNAT专线策略时,删除对应专线接口,并关闭专线连接链路。
2.根据权利要求1所述的一种私有云租户间点对点单向动态专线连接的方法,其特征在于,所述步骤S1包括: 虚拟端口HP1通过网桥接入宿主物理机业务网网卡。
3.根据权利要求1所述的一种私有云租户间点对点单向动态专线连接的方法,其特征在于,所述步骤S2中将虚拟网卡P1连接到HP1以连通业务网大二层网络的方法包括: 当源虚拟机直接请求目标虚拟机IP地址时,识别到目标地址不在当前子网内,则将数据包发往源虚拟机自己的网关LAN1中,数据包将经业务网大二层网络送达网关。
4.根据权利要求1所述的一种私有云租户间点对点单向动态专线连接的方法,其特征在于,所述步骤S2还包括: 虚拟网卡P1与目标虚拟机在物理链路层可达;
云路由系统对调度完成后的虚拟网卡及IP地址进行识别,所述虚拟网卡作为源租户云路由的专线接口P1,同时在源租户云路由上添加禁止任何数据包通过专线接口P1转发的策略,以防止专线接口被未经允许的网络请求利用。
5.根据权利要求1所述的一种私有云租户间点对点单向动态专线连接的方法,其特征在于,所述步骤S3中的SNAT策略包括: 当云路由上的网关接口LAN1收到数据包,并且数据包中的源IP地址、目标IP地址、目标端口和网络协议均能与开通需求匹配时,将数据包源地址转换为专线接口P1的IP地址;
同时在源租户云路由添加允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略。
6.根据权利要求3所述的一种私有云租户间点对点单向动态专线连接的方法,其特征在于,所述步骤S4包括: 当源租户下另一台虚拟机需要访问目标虚拟机或与其相同虚拟子网的其它虚拟机时,复用已存在的专线接口P1,并在源租户云路由上增加一条SNAT策略,同时在源租户云路由添加允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略;
当另一租户的虚拟机也同时需要访问目标虚拟机时,在目标虚拟机所在虚拟子网内寻找一个空闲IP地址,并在所述租户的云路由上增加一条SNAT策略,同时在源租户云路由添加允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略;
当源租户下的虚拟机同时需要访问其它租户的目标虚拟子网时,在源租户云路由上再增加一个专线接口P2,同时在源租户云路由上添加禁止任何数据包通过专线接口P2转发的策略,以防止专线接口被未经允许的网络请求利用;
并增加一条SNAT策略,同时在源租户云路由添加允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略。
7.根据权利要求1所述的一种私有云租户间点对点单向动态专线连接的方法,其特征在于,所述步骤S5包括: 当源地址转化指令对应的SNAT策略、允许源虚拟机IP到目标虚拟机IP、端口、协议的数据包转发策略和内核中的跟踪表对应的连接同时被删除时,才能立即彻底的断开虚拟专线连接。
8.一种私有云租户间专线网络连接的系统,其特征在于,包括源租户云路由、目标租户云路由、云平台控制节点、虚拟交换机、网桥和宿主物理机,其中: 源租户云路由,用于开启内核数据包转发;用于在所属的虚拟机上动态热添加一个虚拟网卡P1,将虚拟网卡P1连接到HP1以连通业务网大二层网络,在虚拟网卡P1上设置目标虚拟机所属的虚拟子网1的VLAN,将所述虚拟网卡P1接入目标虚拟机所属的虚拟子网1,在所述虚拟网卡P1上分配所属虚拟子网1的IP地址,将P1标记为专线接口并在源租户云路由上添加禁止任何数据包通过专线接口转发的策略;用于添加允许源虚拟机IP到目标虚拟机IP或端口的数据包转发策略;用于删除源地址转化指令对应的SNAT策略,同时删除允许源虚拟机IP到目标虚拟机IP或端口的数据包转发策略;用于当不存在应用于对应专线接口的除SNAT策略外的专线策略时,删除对应专线接口,并关闭专线连接链路; 目标租户云路由,开启内核数据包转发,令用于常规路由,不会用作专线连接的中转设备;有且只有当源租户和目标租户的角色互换时,即需要从目标租户反向地向源租户建立点对点动态专线连接时,同理地在其云路由上实施相同的专线接口和策略即可; 云平台控制节点用于连接源租户云路由的宿主物理机H1;用于发送调度指令;用于通过管理网向源租户云路由发送增加SNAT策略的源地址转化指令,SNAT策略在收到符合要求的网络数据包时,将数据包中的源IP地址转换为专线接口的IP地址;用于通过管理网向源租户云路发送指令,在源租户云路由上删除源地址转化指令对应的SNAT策略,同时删除允许源虚拟机IP到目标虚拟机IP或端口的数据包转发策略,同时删除内核中的跟踪表对应的连接;用于通过管理网向源租户云路发送指令;用于删除内核中的跟踪表对应的连接;虚拟交换机用于通过其虚拟端口HP1连接云路由的专线接口P1与物理机H1上的网桥;网桥用于连接专线接口P1与物理机H1的业务网物理网卡;
宿主物理机,用于在其内部虚拟交换机上生成一个虚拟端口HP1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111335460.6A CN114006909B (zh) | 2021-11-11 | 2021-11-11 | 一种私有云租户间点对点单向动态专线连接的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111335460.6A CN114006909B (zh) | 2021-11-11 | 2021-11-11 | 一种私有云租户间点对点单向动态专线连接的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114006909A CN114006909A (zh) | 2022-02-01 |
| CN114006909B true CN114006909B (zh) | 2023-05-26 |
Family
ID=79928873
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111335460.6A Active CN114006909B (zh) | 2021-11-11 | 2021-11-11 | 一种私有云租户间点对点单向动态专线连接的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114006909B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225634B (zh) * | 2022-06-17 | 2023-10-20 | 北京百度网讯科技有限公司 | 虚拟网络下的数据转发方法、装置及计算机程序产品 |
| CN115412527B (zh) * | 2022-08-29 | 2024-03-01 | 北京火山引擎科技有限公司 | 虚拟私有网络之间单向通信的方法及通信装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746997A (zh) * | 2014-01-10 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种云计算中心网络安全解决方案 |
| CN105635332A (zh) * | 2015-12-21 | 2016-06-01 | 国云科技股份有限公司 | 一种多虚拟机共用单外网ip的方法 |
| CN107547439A (zh) * | 2017-09-08 | 2018-01-05 | 中国银联股份有限公司 | 一种网络流量控制方法和计算节点 |
| CN109347715A (zh) * | 2018-07-17 | 2019-02-15 | 中国银联股份有限公司 | 一种外部租户的专线网络接入方法及其系统 |
| CN109451084A (zh) * | 2018-09-14 | 2019-03-08 | 华为技术有限公司 | 一种服务访问方法及装置 |
| CN111147302A (zh) * | 2019-12-27 | 2020-05-12 | 广东睿江云计算股份有限公司 | 一种网络虚拟化实现方法及其系统 |
| CN111556110A (zh) * | 2020-04-21 | 2020-08-18 | 贵州新致普惠信息技术有限公司 | 一种用于私有云系统的不同物理业务网络自动化适配方法 |
| CN111901236A (zh) * | 2020-08-05 | 2020-11-06 | 烽火通信科技股份有限公司 | 一种利用动态路由优化openstack云网络的方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6721166B2 (ja) * | 2014-10-14 | 2020-07-08 | ミド ホールディングス リミテッド | 仮想ネットワークにおける分散型フロー状態p2p設定のためのシステムおよび方法 |
| US11463356B2 (en) * | 2019-10-14 | 2022-10-04 | Arista Networks, Inc. | Systems and methods for forming on-premise virtual private cloud resources |
-
2021
- 2021-11-11 CN CN202111335460.6A patent/CN114006909B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746997A (zh) * | 2014-01-10 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种云计算中心网络安全解决方案 |
| CN105635332A (zh) * | 2015-12-21 | 2016-06-01 | 国云科技股份有限公司 | 一种多虚拟机共用单外网ip的方法 |
| CN107547439A (zh) * | 2017-09-08 | 2018-01-05 | 中国银联股份有限公司 | 一种网络流量控制方法和计算节点 |
| CN109347715A (zh) * | 2018-07-17 | 2019-02-15 | 中国银联股份有限公司 | 一种外部租户的专线网络接入方法及其系统 |
| CN109451084A (zh) * | 2018-09-14 | 2019-03-08 | 华为技术有限公司 | 一种服务访问方法及装置 |
| CN111147302A (zh) * | 2019-12-27 | 2020-05-12 | 广东睿江云计算股份有限公司 | 一种网络虚拟化实现方法及其系统 |
| CN111556110A (zh) * | 2020-04-21 | 2020-08-18 | 贵州新致普惠信息技术有限公司 | 一种用于私有云系统的不同物理业务网络自动化适配方法 |
| CN111901236A (zh) * | 2020-08-05 | 2020-11-06 | 烽火通信科技股份有限公司 | 一种利用动态路由优化openstack云网络的方法及系统 |
Non-Patent Citations (5)
| Title |
|---|
| Networking agent for overlay L2 routing and overlay to underlay external networks L3 routing using OpenFlow and Open vSwitch;Piyush Raman Srivastava;《2015 17th Asia-Pacific Network Operations and Management Symposium (APNOMS)》;全文 * |
| 云数据中心面向租户的安全功能按需服务系统;殷明勇;李光磊;周华春;;北京交通大学学报(05);全文 * |
| 云计算网络中多租户虚拟网络隔离的分布式实现研究;严立宇;祖立军;叶家炜;周雍恺;吴承荣;;计算机应用与软件(11);全文 * |
| 基于RSYNC的Linux系统迁移上云方案实现;田富强 等;《科技资讯》;全文 * |
| 面向云环境的软件定义访问控制框架;魏伟;秦华;刘文懋;;计算机工程与设计(12);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114006909A (zh) | 2022-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4382328B2 (ja) | セキュアストレージシステム | |
| US7159109B2 (en) | Method and apparatus to manage address translation for secure connections | |
| US20040078772A1 (en) | Dynamic route exchange | |
| US6701437B1 (en) | Method and apparatus for processing communications in a virtual private network | |
| US8370834B2 (en) | Routing across a virtual network | |
| EP2253123B1 (en) | Method and apparatus for communication of data packets between local networks | |
| RU2269873C2 (ru) | Беспроводное устройство инициализации | |
| CN114006909B (zh) | 一种私有云租户间点对点单向动态专线连接的方法及系统 | |
| CN116319516A (zh) | 安全sd-wan端口信息分发 | |
| JP2006042327A (ja) | ネットワークにセキュリティポリシーを実装する方法および装置 | |
| CN101499965B (zh) | 一种基于IPSec安全关联的网络报文路由转发和地址转换方法 | |
| JPWO2006120751A1 (ja) | 発着呼を可能とするピア・ツー・ピア通信方法及びシステム | |
| JP5679343B2 (ja) | クラウドシステム、ゲートウェイ装置、通信制御方法、及び通信制御プログラム | |
| CN111083148A (zh) | 一种基于云计算领域实现vpn网关的方法 | |
| KR20180104377A (ko) | 패킷 광 전송 네트워크를 통한 클라우드 간 가상 네트워킹 제공 방법 | |
| US7773613B2 (en) | Communication control method and system | |
| US7570647B2 (en) | LAN type internet access network and subscriber line accommodation method for use in the same network | |
| CN115865601A (zh) | 一种跨云数据中心的sdn网络通信系统 | |
| JP2003167805A (ja) | 複数ユーザ側閉域網とサーバ側閉域網間のネットワーク通信方法およびサーバ装置 | |
| US20010037384A1 (en) | System and method for implementing a virtual backbone on a common network infrastructure | |
| Cisco | Protocool Translator Configuration Guide Software Release 9.21 | |
| KR101124635B1 (ko) | IPv4/IPv6 연동 게이트웨이 | |
| KR20180007898A (ko) | 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법 | |
| CN101170502A (zh) | 一种实现堆叠成员间互访的方法及系统 | |
| JP5152835B2 (ja) | 多重アクセス装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |