CN115412527B - 虚拟私有网络之间单向通信的方法及通信装置 - Google Patents
虚拟私有网络之间单向通信的方法及通信装置 Download PDFInfo
- Publication number
- CN115412527B CN115412527B CN202211042036.7A CN202211042036A CN115412527B CN 115412527 B CN115412527 B CN 115412527B CN 202211042036 A CN202211042036 A CN 202211042036A CN 115412527 B CN115412527 B CN 115412527B
- Authority
- CN
- China
- Prior art keywords
- cloud server
- message
- address
- private network
- virtual private
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 106
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000006243 chemical reaction Methods 0.000 claims abstract description 61
- 230000005540 biological transmission Effects 0.000 claims abstract description 31
- 230000015654 memory Effects 0.000 claims description 21
- 230000004044 response Effects 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 13
- 238000013519 translation Methods 0.000 claims description 13
- 238000013507 mapping Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 12
- 206010047289 Ventricular extrasystoles Diseases 0.000 abstract description 130
- 238000005129 volume perturbation calorimetry Methods 0.000 abstract description 130
- 238000001537 electron coincidence spectroscopy Methods 0.000 abstract description 13
- 230000009545 invasion Effects 0.000 abstract description 2
- 102100023513 Flotillin-2 Human genes 0.000 description 37
- 101000828609 Homo sapiens Flotillin-2 Proteins 0.000 description 37
- 238000010586 diagram Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 101150071927 AANAT gene Proteins 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种私有网络之间单向通信的方法及装置,其中,该方法包括:接收第一报文,基于拦截策略确定接收到的第一报文是否允许传输,拦截策略指示允许传输第一ECS主动访问第二ECS以及拒绝第二ECS主动访问第一ECS;若允许传输,则基于地址转换规则对第一报文进行网络地址转换,并将转换得到的第二报文发送给相应的ECS;若不允许传输,则丢弃第一报文。本公开通过部署中间层进行单向通信控制以及代理转换,实现了公有云场景中不同VPC下的ECS之间点对点的单向打通,且第二VPC下的ECS无法通过该链路主动反向访问第一VPC中的资源,侵入较小,符合点对点单向通信的要求。
Description
技术领域
本公开涉及云计算技术领域,尤其涉及一种虚拟私有网络之间单向通信的方法及通信装置。
背景技术
云计算是指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序,然后,通过多台服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。基于云计算技术,可以在很短的时间内完成海量数据的快速处理,从而达到强大的网络服务。按照部署方式不同,可以分为公有云、私有云以及混合云。其中,虚拟私有网络(VirtualPrivate Cloud,VPC)是指用户在公有云上创建的自定义私有网络,用户可以在自己账户下的VPC内创建和管理云产品实例。不同用户的VPC之间常常需要进行单向通信。例如,公有云的云服务提供商VPC向企业用户VPC提供云服务,一些场景下,需要实现云服务提供商VPC与企业用户VPC之间单向连通,为企业用户VPC使用云上服务提供网络通道。
目前,常通过网卡跨账户跨VPC授权挂载的方式实现,具体是先将不同账户下的不同VPC所对应的网卡挂载在同一个虚拟机,在虚拟机内部通过主机路由的方式去调度流量。然而,这种方式需要将其中一个VPC下的网卡挂载到另一个VPC下的弹性可伸缩的云服务器(Elastic Compute Service,ESC)内部,且需要在ESC内部配置调度的主机路由策略,侵入较强,无法满足不同VPC下不同云服务器之间点对点单向通信的要求。
发明内容
为了解决上述技术问题,本公开提供了一种虚拟私有网络之间单向通信的方法及通信装置。
第一方面,本公开实施例提供一种虚拟私有网络之间单向通信的方法,包括:
接收第一报文;所述第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息;
基于拦截策略,确定是否允许传输所述第一报文;所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器,且拒绝所述第二云服务器主动访问所述第一云服务器;
若允许传输,则基于地址转换规则对所述第一报文进行网络地址转换得到第二报文,并发送所述第二报文至相应的云服务器;
若不允许传输,则丢弃所述第一报文。
第二方面,本公开实施例提供一种虚拟私有网络之间单向通信的方法,包括:
为具有单向通信需求的第一虚拟私有网络中的第一云服务器以及第二虚拟私有网络中的第二云服务器分别分配代理网际互连协议IP地址和代理端口号;
向网关发送虚拟通道信息,指示所述网关基于所述虚拟信息生成地址转换规则和拦截策略;其中,所述虚拟通道信息包括:所述第一云服务器和所述第二云服务器分别对应的私网IP地址和端口号、以及、所述第一云服务器和所述第二云服务器分别对应的代理IP地址和代理端口号;所述拦截策略用于确定是否允许传输第一报文,所述地址转换规则用于对允许传输的第一报文进行网络地址转换;所述第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息;所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器,且拒绝所述第二云服务器主动访问所述第一云服务器。
第三方面,本公开实施例提供一种通信装置,包括:
接收模块,用于接收第一报文;所述第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息;
报文处理模块,用于基于拦截策略,确定是否允许传输所述第一报文;所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器,且拒绝所述第二云服务器主动访问所述第一云服务器;若允许传输,则基于地址转换规则对所述第一报文进行网络地址转换得到第二报文;若不允许传输,则丢弃所述第一报文
发送模块,用于发送所述第二报文至相应的云服务器。
第四方面,本公开实施例提供一种通信装置,包括:
分配模块,用于为具有单向通信需求的第一虚拟私有网络中的第一云服务器以及第二虚拟私有网络中的第二云服务器分别分配代理网际互连协议IP地址和代理端口号;
发送模块,用于向网关发送虚拟通道信息,指示所述网关基于所述虚拟信息生成地址转换规则和拦截策略;其中,所述虚拟通道信息包括:所述第一云服务器和所述第二云服务器分别对应的私网IP地址和端口号、以及、所述第一云服务器和所述第二云服务器分别对应的代理IP地址和代理端口号;所述拦截策略用于确定是否允许传输第一报文,所述地址转换规则用于对允许传输的第一报文进行网络地址转换;所述第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息;所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器,且拒绝所述第二云服务器主动访问所述第一云服务器。
第五方面,本公开实施例提供一种电子设备,包括:存储器和处理器;所述存储器被配置为:存储计算机程序指令;所述处理器被配置为:执行所述计算机程序指令,使得所述电子设备实现如第一方面或者第二方面所述的虚拟私有网络之间单向通信的方法。
第六方面,本公开实施例提供一种可读存储介质,包括:计算机程序指令;处理器执行所述计算机程序指令,以执行所述第一方面或者第二方面所述的虚拟私有网络之间单向通信的方法。
第七方面,本公开实施例提供一种计算机程序产品,电子设备执行所述计算机程序产品,以执行所述第一方面或者第二方面所述的虚拟私有网络之间单向通信的方法。
本公开提供一种虚拟私有网络之间单向通信的方法及通信装置,其中,该方法包括:接收第一报文,基于拦截策略确定接收到的第一报文是否允许传输,拦截策略指示允许传输第一ECS主动访问第二ECS以及拒绝第二ECS主动访问第一ECS;若允许传输,则基于地址转换规则对第一报文进行网络地址转换,并将转换得到的第二报文发送给相应的ECS;若不允许传输,则丢弃第一报文。本公开通过部署中间层进行单向通信控制以及代理转换,实现了公有云场景中不同VPC下的ECS之间点对点的单向打通,且第二VPC下的ECS无法通过该链路主动反向访问第一VPC中的资源,侵入较小,符合点对点单向通信的要求。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一实施例提供的虚拟私有网络之间单向通信的方法的应用场景示意图;
图2为本公开一实施例提供的公有云的整体组件架构图;
图3为本公开一实施例提供的虚拟私有网络之间单向通信的方法的流程示意图;
图4为本公开一实施例提供的虚拟私有网络之间单向通信的链路示意图;
图5为本公开一实施例提供的虚拟私有网络之间单向通信的报文示意图;
图6为本公开另一实施例提供的虚拟私有网络之间单向通信的方法的流程示意图;
图7为本公开一实施例提供的虚拟私有网络之间单向通信的对象模型示意图;
图8为本公开另一实施例提供的虚拟私有网络之间单向通信的方法的流程示意图;
图9为本公开一实施例提供的通信装置的结构示意图;
图10为本公开一实施例提供的通信装置的结构示意图;
图11为本公开一实施例提供的电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
目前,实现跨VPC通信除网卡跨账号跨VPC授权挂载的方式之外,还可以通过云企业网(CEN)的实现。其中,云企业网通过转发路由器(TR)实现跨地域专有网络之间以及专有网络与本地数据中间之间的通信,具体是将两个VPC加入同一个CEN实例后,这两个VPC内的路由表会自动学习到对方的路由规则,通过路由的方式实现VPC下所有云资源的互通,访问另一个VPC下的资源相当于访问本VPC下的资源。云企业网的方式会将VPC下所有的资源暴露给另一个VPC,安全隐患较大,相当于是一种面对面的打通,无法满足点对点通信的需求。且一些场景下,需要控制VPC仅能访问另一个VPC下的有限资源,云企业网的方式也无法满足。
此外,还可以通过私网连接(private Link)的方式实现跨VPC通信,私网连接能够实现专有网络VPC与另一个VPC下的云资源建立网络连接,建立私网连接后,其中一个VPC下的终端节点网卡便可以主动访问到另一个VPC下的资源。私网连接可以理解为是一种shuttle underlay的方式,目前仅适用于企业用户VPC下主动访问云服务提供商VPC的业务场景,其适用范围具有一定的限制,例如,不适用于云服务提供商VPC主动访问企业用户VPC的业务场景。
基于此,本公开提供一种虚拟私有网络之间单向通信的方法及通信装置,通过VPC的上层抽象出一个控制层,将控制层作为中间层实现代理转换第一VPC下的第一ECS与第二VPC下的第二ECS之间点对点单向通信,即本公开利用shuttle overlay的方式实现点对点单向通信的控制。
接下来结合示例性示出的场景、组件架构等相关附图对本公开提供的方法进行详细介绍。
图1为本公开提供的虚拟私有网络之间单向通信的方法的应用场景示意图。请参阅图1所示的场景,包括:多个VPC101、VPC控制器102、网关103以及网关控制器104。
公有云中可以部署多个VPC101,其中,可以包括云服务提供商VPC,也可以包括客户(如企业用户)VPC。VPC101中可以包含一个或者多个ECS,且多个VPC101各自包含的ECS的数量以及ECS的功能可以相同也可以不同。
公有云中的VPC之间常常需要进行点对点单向通信。如图1中所示,VPC1为云服务提供商VPC,VPC2为企业用户VPC,VPC1与VPC2之间需要进行单向通信,例如,VPC2使用了云服务提供商提供的某项云服务,则会在VPC2下的ECS内部部署相关组件,如agent/sidecar组件,云服务(即VPC1)为了控制这些相关组件,会需要从VPC1内对VPC2下的ECS发送控制信号,而不允许VPC2沿着这条通信链路主动反向访问VPC1中的资源。
应理解,不同客户VPC之间也可以进行点对点的单向通信;其中,本公开以云服务提供商VPC与企业用户VPC之间的点对点单向通信为例进行举例说明,实现不同客户VPC之间点对点单向通信与实现云服务提供商VPC和企业用户VPC之间点对点单向通信是类似的。
通常,公有云上的任意两个VPC默认是网络隔离的,无法直接连通。因此,本公开通过网关103作为中间层,实现VPC之间的单向通信。其中,网关103主要用于对接收的请求报文进行识别,确定是否需要拦截,若需要拦截则丢弃该请求报文,若确定不需要拦截则对请求报文进行网络地址转换,并将转换后的请求报文传输给相应的VPC。
其中,网关控制器104主要用于向网关103下发需要进行单向通信的不同VPC之间的虚拟通道信息。虚拟通道信息用于生成地址转换规则以及拦截策略,其中,控制策略可以用于控制网关103如何识别分析接收到的报文是否允许传输,地址转换规则可以用于控制网关103如何对允许传输的报文进行源地址转换(snat)和目的地址转换(dnat)。
其中,网关103和网关控制器104可以理解为是在VPC上层抽象的控制层中的节点。
其中,VPC控制器102主要用于控制创建VPC、控制在VPC下创建ECS用于提供云服务以及向VPC提供所需的信息,例如,VPC控制器102响应云服务提供商的指令,创建云服务提供商VPC并在云服务提供商VPC下创建ECS用于向客户VPC提供云服务。又如,建立云服务提供商VPC与客户VPC之间的单向虚拟通道时,VPC控制器102还可以向云服务提供商VPC提供客户VPC的属性信息,使得云服务提供商VPC将自身的属性信息以及客户VPC的属性信息发送给网关控制器104建立两者之间的虚拟通道以及向网关下发虚拟通道信息。
其中,图2为本公开一实施例提供的公有云的整体组件架构图。参阅图2所示,公有云机房可以分为三个区域,分别为:第一区域201、第二区域202以及第三区域203。其中,第一区域201可以理解为控制服务区域,主要用于部署云需要的各种控制器,如前述提及的VPC控制器、网关控制器等等;第二区域202可以理解为网关服务部署区域,主要部署了云需要的各种网关;第三区域203可以理解为服务区域,第三区域203中的物理机上主要部署用于提供给用户的虚拟机,这些虚拟机即ECS。
本公开中,第二区域202中网关可以采用dragonflow+openVswitch的组合实现。其中,dragonflow是控制器,用于接收到网关控制器下发的拟通道信息,根据接收到的虚拟通道信息进行重新组织封装成openflow信息。openVswitch为虚拟交换机。其中,openflow是一种网络通信协议,可以用于SDN架构中控制器和转发器之间的通信,本公开中dragonflow和openVswitch之间采用openflow进行通信。dragonflow将得到的openflow信息发送给open Vswitch。open Vswitch对接收的openflow信息进行解析并存储,从而得到拦截策略以及地址转换规则。
示例性地,如图2所示,第三区域203中包含第一VPC和第二VPC,第一VPC下部署有ECS1至ECSN,第二VPC下部署有ECS1至ECSN。图2中示出了第一VPC和第二VPC之间单向通信的信息传递过程。第一VPC下配置有相应的网关a,第二VPC下配置有相应的网关b。
以第一VPC下的ECS1主动访问第二VPC下的ECS1为例,第一VPC下的ECS1发出的请求报文经过第一VPC下的网关a中的open Vswitch后,发送给第二区域202中网关的openVswitch,之后,再发送给第二VPC下的网关b中的open Vswitch,再到达第二VPC下的ECS1。第二VPC下的ECS1发出的响应信息经过网关b中的open Vswitch后,发送给第二区域202中网关的open Vswitch,之后,再发送给第一VPC下的网关a中的open Vswitch,再到达第一VPC下的ECS1。
图3为本公开一实施例提供的虚拟私有网络之间单向通信的方法的流程示意图。示例性地,以网关执行本实施例的方法,且第一VPC下的第一ECS(记为ECS1)需要与第二VPC下的第二ECS(记为ECS2)进行单向通信为例进行说明。
请参阅图3所示,本实施例的方法包括:
S301、接收第一报文。
第一报文用于在ECS1和ECS2之间传送信息,其中,第一报文可以是ECS1主动发送给ECS2的请求报文或者ECS2返回给ECS1的响应报文,也可以是ECS2主动发送给ECS1的请求报文。可以理解的是,ECS1和ECS主动发送的请求报文均能够通过各自所属的VPC中配置的open Vswitch传输至作为中间层的网关。
S302、基于拦截策略,确定是否允许传输第一报文。若不允许传输,则执行步骤S303;若允许传输,则执行步骤S304。
拦截策略指示:允许ECS1主动访问ECS2,拒绝ECS2主动访问ECS1。可以理解为:允许传输ECS1发送给ECS2的请求报文和ECS2发送给ECS1的响应报文,以及拒绝ECS2主动发送给ECS1的请求报文。由于ECS2发送给ECS1的请求报文无法被传输至ECS1,则ECS1无法生成相应的响应报文。
其中,拦截策略可以通过类似于白名单的方式实现。
网关通过解析第一报文得到第一报文的源IP地址以及目的IP地址,再与图2所示实施例中提及的数据表中记录的作为单向通信的客户端的ECS1的IP地址和作为服务端的ECS2的IP地址进行匹配,得到匹配结果,再基于匹配结果确定是否允许传输第一报文。
若匹配结果为匹配成功,则表示第一报文允许传输,则执行步骤S304;若匹配结果为匹配失败,则需要进一步确定第一报文是ECS2发送给ECS1的建立连接的请求报文还是响应报文。其中,可以通过报文特征进行判断,具体地,网关可以识别第一报文中的特定字段,基于特定字段的内容确定是用于建立连接的请求报文还是响应报文。例如,识别到第一报文中的SNY=1,ACK=0时,确定第一报文为请求报文,上述SNY以及ACK为其他值时,确定第一报文为响应报文。
S303、丢弃第一报文。
S304、基于地址转换规则,对所述第一报文进行网络地址转换得到第二报文。
S305、发送所述第二报文至相应的云服务器。
其中,若是请求报文,则将第二报文发送给ECS2;若是响应报文,则将第二报文发送给ECS1。
本实施例的方法,通过网关实现了公有云场景中不同VPC之间点对点的单向打通,第一VPC能够访问第二VPC下的有限资源,第二VPC无法通过该链路主动反向访问第一VPC中的资源,侵入较小,符合点对点单向通信的要求。
其中,网关对允许传输的第一报文进行网络地址转换,以使接收到报文的一端是无法获取另一端的真实的网络地址信息,提高各节点的安全性。
其中,网络地址转换包括源地址转换和目的地址转换。
若第一报文是ECS1发送给ECS2的请求报文,则第一报文中的源IP地址和源端口号为ECS1的私网IP地址和端口号,第一报文的目的IP地址和目的端口号为ECS2的代理IP地址和代理端口号;通过一次源地址转换能够将第一报文中的源IP地址以及源端口号替换为ECS1的代理IP地址和代理端口号,通过一次目的地址转换将第一报文中的目的IP地址以及目的端口号替换为ECS2对应的私网IP地址和端口号。
若第一报文是ECS2发送给ECS1的响应报文,则第一报文中的源IP地址和源端口号为ECS2的私网IP地址和端口号,第一报文的目的IP地址和目的端口号为ECS1的代理IP地址和代理端口号;通过一次源地址转换能够能够将第一报文中的源IP地址以及源端口号替换为ECS2的代理IP地址和代理端口号,通过一次目的地址转换将第一报文中的目的IP地址以及目的端口号替换为ECS1对应的私网IP地址和端口号。
在进行网络地址转换时,可以通过查询地址转换规则实现。地址转换规则包含两组映射关系,分别为:ECS1的私网IP地址和端口号与ECS1的代理IP地址和代理端口号之间的映射关系、ECS2的私网IP地址和端口号与ECS2的代理IP地址和代理端口号之间的映射关系。
地址转换规则可以基于网关控制器下发的虚拟通道信息生成。
下面以图4以及图5为例,对网络地址转换进行示例说明。在单向通信场景中,主动发起访问的一端可以理解为客户端,被访问的一段可以理解为服务端,请参阅图4所示,第一VPC中的第一ECS可以理解为是客户端,第二VPC中的第二ECS可以理解为是服务端,假设,第一ECS的私网IP地址和端口号为IP1+port1,第一ECS的代理IP地址和代理端口号为IP3+port3,第二ECS的代理IP地址和代理端口号为IP2+port2,第二ECS的私网IP地址和端口号为IP4+port4,其中,IP1与IP3一一映射,port1和port3一一映射,IP2与IP4一一映射,port2和port4一一映射。
第一ECS访问第二ECS相当于是IP1+port1需要连通IP4+port4,请参阅图5所示的报文的转换过程示意图,第一ECS发送的第一请求报文中源IP地址为IP1,源端口号为port1,目的IP地址为IP2,目的端口号为port2;第一请求报文到达网关之后,网关会对进行一次源地址转换和目的地址转换,得到第二请求报文,其中,第二请求报文中源IP地址为IP3,源端口号为port3,目的IP地址为IP4,目的端口号为port4。由此可知,网关将第一请求报文中的源IP地址由第一ECS的私网IP地址转换为代理IP地址,第一ECS在第一VPC中的端口号也转换为代理端口号,由于第二ECS无法从第二报文中获得IP1与IP3以及port1与port3之间的映射关系,因此无法通过接收到的第二报文得到第一ECS的私网IP地址以及第一ECS在第一VPC中的端口号,从而保证ECS1的网络地址的安全性。
执行完上述源地址转换和目的地址转换之后,网关会通过openVswitch将第二请求报文传输至第二VPC中配置的open Vswitch,再传输至第二ECS,此处与图2所示的传输过程类似。
需要说明的是,第二请求报文到达第二ECS之后,第二ECS会生成第一响应报文,参阅图5所示的由第二ECS指向第一ECS的箭头所示的链路中,第二ECS生成的第一响应报文中源IP地址为IP4,源端口号为port4,目的IP地址为IP3,目的端口号为port3,第一响应报文传输至网关之后,网关会进行一次源地址转换和目的地址转换得到第二响应报文,其中,第二响应报文中源IP地址为IP2,源端口号为port2,目的IP地址为IP1,目的端口号为port1。由此可知,网关将响应报文中的源IP地址由第二ECS的私网IP地址转换为代理IP地址,第二ECS在第二VPC中的端口号也转换为代理端口号,实现了对第二ECS的真实网络地址的保护。
执行完上述源地址转换和目的地址转换之后,网关会通过open Vswitch将转换后的第二响应报文传输至第一VPC中配置的open Vswitch,再传输至第一ECS,此处与图2所示的传输过程类似。
图6为本公开一实施例提供的虚拟私有网络之间单向通信的方法的流程示意图。示例性地,以网关控制器执行本实施例的方法为例进行举例说明。请参阅图6所示,本实施例的方法包括:
S601、为具有单向通信需求的第一虚拟私有网络中的第一云服务器以及第二虚拟私有网络中的第二云服务器分别分配代理IP地址和代理端口号。
其中,单向通信的需求是指允许ECS1主动访问ECS2,但不允许ECS2主动访问ECS1的需求。
作为一种可能的实施方式,网关控制器可以从预留网段中为第一云服务器以及第二云服务器分别分配代理IP地址,其中,预留网段与第一云服务器在第一虚拟私有网络中的私网IP地址所属的网段不重叠,且与第二云服务器在第二虚拟私有网络中的私网IP地址所属的网段不重叠。
例如,公有云中VPC的网段有以下三个,分别为:10.0.0.0/8、172.16.0.0/12以及192.168.0.0/16,第一ECS和第二ECS分别使用的私网IP地址可以为上述三个网段中的任何一个IP;网关使用的代理网段可以为:100.64.0.0/10,这个网段即预留网段,公有云中不会将这个网段配置给客户VPC以及云服务提供商VPC使用。通过使用预留网段,能够保证分配给ECS的代理IP地址与私网IP地址不会发生重叠,能够避免由于代理IP地址和私网IP地址重叠导致报文传输错误的问题出现。
此外,网关控制器可以从预设数值范围中为第一ECS和第二ECS分别分配代理端口号。例如,预设数值范围为10000-60000,则可以从未被占用的数字中选择一个作为第一ECS的代理端口号以及从未被占用的数字中选择一个作为第二ECS的代理端口号。需要说明的是,预设数值范围可以为其他数值范围,上述所示仅为示例,并不是对预设数值范围的限制。
S602、向网关发送虚拟通道信息,指示所述网关基于虚拟通道信息生成地址转换规则和拦截策略。
虚拟通道用于指示需要进行单向通信的不同VPC下不同ECS之间的关系,虚拟通道信息可以包括:作为客户端的ECS1在所属VPC中的私网IP地址以及端口号、ECS1的代理IP地址以及代理端口、作为服务端的ECS2在所属VPC中的私网IP地址以及端口号、以及、ECS2的代理IP地址以及代理端口。
网关控制器可以向网关上的dragonflow发送虚拟通道信息,dragonflow接收虚拟通道信息,并将虚拟通道信息写入预先设定的数据表中,再将数据表传输至open Vswitch进行存储,之后,便可通过open Vswitch实现执行前述图3所示的虚拟私有网络之间单向通信的方法。其中,地址转换规则和拦截策略的作用以及实现方式可参照前述图1至图5所示实施例的详细描述,简明起见,此处不再赘述。
在图6所示实施例的基础上,可知,网关控制器作为上层的控制面,需要根据业务需求为不同VPC下的不同ECS从预留网段内分配代理IP以及代理端口号,建立不同VPC下的不同ECS之间的联系。作为一种可能的实施方式,网关控制器可以通过对象模型维护具有单向通信需求的云服务器之间的联系。
图7示例性地示出了网关控制器中维护的对象模型的架构图。其中,shuttleinstance是一个虚拟的对象,该对象下可以包含两个虚拟对象分组,第一虚拟对象分组为单向通信的客户端的分组(可以记为shuttle client),第二虚拟对象分组为单向通信的服务端的分组(可以记为shuttle server)。当有新增的单向通信需求,可以将相应的ECS添加至对象模型中,以维护需要进行单向通信的两个ECS之间的虚拟通道。
其中,网关控制器可以通过调用shuttle instance的API向前述两个虚拟对象分组中添加客户端以及服务端。具体可以包括以下步骤:
步骤a1、调用接口creat-shuttle-instance,创建shuttle资源。
在一些情况下,若预先已经创建了shuttle资源,则可以跳过步骤a1,直接执行步骤a2。其中,shuttle资源可以理解为是一个对象模型的框架。
步骤a2、调用第一接口add-shuttle-client,向shuttle资源的第一虚拟对象分组中添加一个client,且从预留网段中为其分配一个代理IP地址以及从预设数值范围中为其分配一个代理端口号。
可以将需要添加作为client的ECS的属性信息输入至接口add-shuttle-client,用于将生成的虚拟对象与作为客户端的ECS进行绑定,从而完成client的添加。
若有多个client,可以多次调用第一接口进行添加。
步骤a3、调用二接口add-shuttle-server,向shuttle资源的第二虚拟对象分组中添加一个server,且从预留网段中为其分配一个代理IP地址以及从预设数值范围中为其分配一个代理端口号。
可以将需要添加作为server的ECS的属性信息输入至第二接口add-shuttle-server,用于将生成的虚拟对象与作为服务端的ECS进行绑定,从而完成server的添加。
若有多个server,可以多次调用第二接口添加。
其中,ECS的属性信息可以包括ECS的标识、ECS所属VPC的标识(如ID、数字编号等等)、所属VPC下配置的网卡的信息等等。
添加完成之后,每个client可以自动和每个server建立单向的虚拟通道。
步骤a4、网关控制器向网关下发虚拟通道信息,使得网关基于接收到的虚拟通道信息控制不同VPC下不同ECS之间的单向通信。
示例性地,如图7所示,网关控制器中,第一虚拟对象分组包括:基于VPC1下的ECS1添加的虚拟对象a和基于VPC2下的ECS2添加的虚拟对象b,作为单向通信的客户端;第二虚拟对象分组包括:基于VPC3下的ECS3添加的虚拟对象c和基于VPC4下的ECS4添加的虚拟对象d,作为单向通信的服务端。虚拟对象a至d添加完成之后,虚拟对象a会自动和虚拟对象c以及虚拟对象d建立单向通信的通道,虚拟对象b也会自动和虚拟对象c以及虚拟对象d建立单向通信的通道,从而形成如图7中4条带有箭头的虚线所示的单向通信通道。
之后,网关控制器将4条虚拟通道分别对应的虚拟通道信息发送给网关,相当于是将网关控制器所维护的4条单向的虚拟通道下发至网关,网关可以基于此进行单向通信控制。
图8为本公开提供的虚拟私有网络之间单向通信的方法的流程示意图。图8所示实施例主要用于介绍实现单向通信的整体流程。参阅图8所示,可以包括以下步骤:
S801、云服务提供商向VPC控制器下发第一指令,指示VPC控制器创建云服务VPC,并在云服务VPC下创建ECS1提供服务。
其中,云服务VPC下的ECS1为单向通信的客户端。
S802、云服务提供商从VPC控制器获取用户VPC以及用户VPC下ECS2的属性信息。
其中,用户VPC下ECS2为单向通信的服务端。
S803、云服务提供商向网关控制器发送第二指令、云服务VPC下创建ECS的属性信息以及用户VPC下ECS的属性信息,指示网关控制器创建相应的单向虚拟通道。即云服务提供商控制网关控制器执行如前所述的步骤a1至步骤a4的方法。
S804、网关控制器向网关发送虚拟通道信息。
S805、网关基于单向虚拟通道信息生成地址转换规则和拦截策略,通过拦截策略识别接收到的报文是否允许传输以及基于地址转换规则对允许传输的报文进行网络地址转换。
结合图7以及图8所示,本公开通过设计对象模型shuttle并且提供交互API,用于抽象数据面的链路情况,能够有利于本公开提供的方法的工程化和产品化,对于开发者通过简单的接口调用即可实现虚拟私有网络之间的单向通信,处理效率也较高。
图9为本公开一实施例提供的通信装置的结构示意图。请参阅图9所示,本实施例提供的通信装置900包括:
接收模块901,用于接收第一报文;第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息。
报文处理模块902,用于基于拦截策略,确定是否允许传输所述第一报文;所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器,且拒绝所述第二云服务器主动访问所述第一云服务器;若允许传输,则基于地址转换规则对所述第一报文进行网络地址转换得到第二报文;若不允许传输,则丢弃所述第一报文。
发送模块903,用于发送所述第二报文至相应的云服务器。
在一些实施例中,报文处理模块902,具体用于获取所述第一报文的源网际互连协议IP地址以及目的IP地址;将所述第一报文的源IP地址以及目的IP地址与所述拦截策略指示的允许传输的请求报文的源IP地址和目的IP地址进行匹配得到匹配结果;基于所述匹配结果确定所述第一报文是否允许传输。
在一些实施例中,报文处理模块902,具体用于若所述匹配结果为匹配成功,则确定允许传输所述第一报文;若所述匹配结果为匹配失败,则根据所述第一报文的报文特征确定所述第一报文是否为所述第二云服务器发送给所述第一云服务器的响应报文;若是,则确定允许传输所述第一报文;若否,则确定不允许传输所述第一报文。
在一些实施例中,报文处理模块902,具体用于基于所述地址转换规则包含的两组映射关系,对所述第一报文进行网络地址得到所述第二报文;所述两组映射关系包括:第一云服务器的私网IP地址和端口号与代理IP地址和代理端口号之间的映射关系;以及,所述第二云服务器的私网IP地址和端口号与代理IP地址和代理端口号之间的映射关系。
在一些实施例中,接收到以报文之前,接收模块901,还用于接收虚拟通道信息;所述虚拟通道信息包括:所述第一云服务器和所述第二云服务器分别对应的私网IP地址和端口号、以及、所述第一云服务器和所述第二云服务器分别对应的代理IP地址和代理端口号;基于所述虚拟通道信息生成所述地址转换规则和所述拦截策略。
其中,虚拟通道信息可以是网关控制器发送的。
本实施例提供的通信装置可以用于执行前述任一方法实施例中网关执行的技术方案,可参照前述方法实施例的详细描述,简明起见,此处不再赘述。
图10为本公开一实施例提供的通信装置的结构示意图。请参阅图10所示,本实施例提供的通信装置1000包括:
分配模块1001,用于为具有单向通信需求的第一虚拟私有网络中的第一云服务器以及第二虚拟私有网络中的第二云服务器分别分配代理网际互连协议IP地址和代理端口号。
发送模块1002,用于向网关发送虚拟通道信息,指示所述网关基于虚拟通道信息生成地址转换规则和拦截策略;其中,所述虚拟通道信息包括:所述第一云服务器和所述第二云服务器分别对应的私网IP地址和端口号、以及、所述第一云服务器和所述第二云服务器分别对应的代理IP地址和代理端口号;所述拦截策略用于确定是否允许传输第一报文,所述地址转换规则用于对允许传输的第一报文进行网络地址转换;所述第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息;所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器,且拒绝所述第二云服务器主动访问所述第一云服务器。
在一些实施例中,还包括:处理模块1003,用于调用第一接口,基于所述第一云服务器的属性信息,在对象模型中创建所述第一云服务器对应的第一虚拟对象;调用第二接口,基于所述第二云服务器的属性信息,在所述对象模型中创建所述第二云服务器对应的第二虚拟对象;其中,所述对象模型用于维护具有单向通信需求的不同虚拟私有网络下的不同云服务器之间的虚拟通道;且通过所述对象模型中的所述第一虚拟对象和所述第二虚拟对象维护所述第一云服务器与所述第二云服务器之间单向通信的虚拟通道。
在一些实施例中,分配模块1001,具体用于从预留网段中为所述第一云服务器以及所述第二云服务器分别分配代理IP地址,其中,所述预留网段与所述第一云服务器在所述第一虚拟私有网络中的私网IP地址所属的网段不重叠,且与所述第二云服务器在所述第二虚拟私有网络中的私网IP地址所属的网段不重叠;从预设数值范围中为所述第一云服务器以及所述第二云服务器分别分配代理端口号。
本实施例提供的通信装置可以用于执行前述任一方法实施例中网关控制器执行的技术方案,可参照前述方法实施例的详细描述,简明起见,此处不再赘述。
图11为本公开一实施例提供的电子设备的结构示意图。请参阅图11所示,本实施例提供的电子设备1100包括:存储器1101和处理器1102。
其中,存储器1101可以是独立的物理单元,与处理器1102可以通过总线1103连接。存储器1101、处理器1102也可以集成在一起,通过硬件实现等。
存储器1101用于存储程序指令,处理器1102调用该程序指令,执行以上任一方法实施例提供的虚拟私有网络之间单向通信的方法。
可选地,当上述实施例的方法中的部分或全部通过软件实现时,上述电子设备1100也可以只包括处理器1102。用于存储程序的存储器1101位于电子设备1100之外,处理器1102通过电路/电线与存储器连接,用于读取并执行存储器中存储的程序。
处理器1102可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。
处理器1102还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmablelogic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complexprogrammable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gatearray,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。
存储器1101可以包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器也可以包括非易失性存储器(non-volatilememory),例如快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器还可以包括上述种类的存储器的组合。
本公开还提供一种可读存储介质,包括:计算机程序指令,所述计算机程序指令被电子设备的至少一个处理器执行时,使得所述电子设备实现如上任一方法实施例提供的虚拟私有网络之间单向通信的方法。
本公开还提供一种计算机程序产品,当所述计算机程序产品在计算机上运行时,使得所述计算机实现如上任一方法实施例提供的虚拟私有网络之间单向通信的方法。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (12)
1.一种虚拟私有网络之间单向通信的方法,其特征在于,所述方法应用于网关,所述网关为在虚拟私有网络上层抽象的控制层中的节点,包括:
接收第一报文,所述第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息;
基于拦截策略确定是否允许传输所述第一报文;所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器,且拒绝所述第二云服务器主动访问所述第一云服务器;
若允许传输,则基于地址转换规则对所述第一报文进行网络地址转换得到第二报文,并发送所述第二报文至相应的云服务器;
若不允许传输,则丢弃所述第一报文。
2.根据权利要求1所述的方法,其特征在于,所述基于拦截策略,确定所述第一报文是否允许传输,包括:
获取所述第一报文的源网际互连协议IP地址以及目的IP地址;
将所述第一报文的源IP地址以及目的IP地址与所述拦截策略指示的允许传输的请求报文的源IP地址和目的IP地址进行匹配得到匹配结果;
若所述匹配结果为匹配成功,则确定允许传输所述第一报文;
若所述匹配结果为匹配失败,则根据所述第一报文的报文特征确定所述第一报文是否为所述第二云服务器发送给所述第一云服务器的响应报文,若是,则确定允许传输所述第一报文;若否,则确定不允许传输所述第一报文。
3.根据权利要求1所述的方法,其特征在于,所述基于地址转换规则对所述第一报文进行网络地址转换得到第二报文,包括:
基于所述地址转换规则包含的两组映射关系,对所述第一报文进行网络地址得到所述第二报文;
所述两组映射关系包括:第一云服务器的私网IP地址和端口号与代理IP地址和代理端口号之间的映射关系;以及,所述第二云服务器的私网IP地址和端口号与代理IP地址和代理端口号之间的映射关系。
4.根据权利要求1所述的方法,其特征在于,所述接收第一报文之前,所述方法还包括:
接收网关控制器发送的虚拟通道信息;所述虚拟通道信息包括:所述第一云服务器和所述第二云服务器分别对应的私网IP地址和端口号、以及、所述第一云服务器和所述第二云服务器分别对应的代理IP地址和代理端口号;
基于所述虚拟通道信息生成所述地址转换规则和所述拦截策略。
5.一种虚拟私有网络之间单向通信的方法,其特征在于,所述方法应用于网关控制器,所述网关控制器为在虚拟私有网络上层抽象的控制层中的节点,包括:
为具有单向通信需求的第一虚拟私有网络中的第一云服务器以及第二虚拟私有网络中的第二云服务器分别分配代理网际互连协议IP地址和代理端口号;
向网关发送虚拟通道信息,指示所述网关基于所述虚拟通道信息生成地址转换规则和拦截策略;其中,所述虚拟通道信息包括:所述第一云服务器和所述第二云服务器分别对应的私网IP地址和端口号、以及、所述第一云服务器和所述第二云服务器分别对应的代理IP地址和代理端口号;所述拦截策略用于确定是否允许传输第一报文,所述地址转换规则用于对允许传输的第一报文进行网络地址转换;所述第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息;所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器,且拒绝所述第二云服务器主动访问所述第一云服务器。
6.根据权利要求5所述的方法,其特征在于,所述为具有单向通信需求的第一虚拟私有网络中的第一云服务器以及第二虚拟私有网络中的第二云服务器分别分配代理IP地址和代理端口号之前,还包括:
调用第一接口,基于所述第一云服务器的属性信息,在对象模型中创建所述第一云服务器对应的第一虚拟对象;
调用第二接口,基于所述第二云服务器的属性信息,在所述对象模型中创建所述第二云服务器对应的第二虚拟对象;
其中,所述对象模型用于维护具有单向通信需求的不同虚拟私有网络下的不同云服务器之间的虚拟通道;且通过所述对象模型中的所述第一虚拟对象和所述第二虚拟对象维护所述第一云服务器与所述第二云服务器之间单向通信的虚拟通道。
7.根据权利要求6所述的方法,其特征在于,所述为第一虚拟私有网络中的第一云服务器以及第二虚拟私有网络中的第二云服务器分别分配代理IP地址和代理端口号,包括:
从预留网段中为所述第一云服务器以及所述第二云服务器分别分配代理IP地址,其中,所述预留网段与所述第一云服务器在所述第一虚拟私有网络中的私网IP地址所属的网段不重叠,且与所述第二云服务器在所述第二虚拟私有网络中的私网IP地址所属的网段不重叠;
从预设数值范围中为所述第一云服务器以及所述第二云服务器分别分配代理端口号。
8.一种通信装置,其特征在于,所述装置应用于网关,所述网关为在虚拟私有网络上层抽象的控制层中的节点,包括:
接收模块,用于接收第一报文;所述第一报文为第一虚拟私有网络中的第一云服务器发送给第二虚拟私有网络中的第二云服务器的,或者,所述第二云服务器发送给所述第一云服务器的;
报文处理模块,用于基于拦截策略,确定是否允许传输所述第一报文;所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器,且拒绝所述第二云服务器主动访问所述第一云服务器;若允许传输,则基于地址转换规则对所述第一报文进行网络地址转换得到第二报文;若不允许传输,则丢弃所述第一报文
发送模块,用于发送所述第二报文至相应的云服务器。
9.一种通信装置,其特征在于,所述装置应用于网关控制器,所述网关控制器为在虚拟私有网络上层抽象的控制层中的节点,包括:
分配模块,用于为具有单向通信需求的第一虚拟私有网络中的第一云服务器以及第二虚拟私有网络中的第二云服务器分别分配代理网际互连协议IP地址和代理端口号;
发送模块,用于向网关发送虚拟通道信息,指示所述网关基于所述虚拟通道信息生成地址转换规则和拦截策略;其中,所述虚拟通道信息包括:所述第一云服务器和所述第二云服务器分别对应的私网IP地址和端口号、以及、所述第一云服务器和所述第二云服务器分别对应的代理IP地址和代理端口号;所述拦截策略用于确定是否允许传输第一报文,所述地址转换规则用于对允许传输的第一报文进行网络地址转换;所述第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息;所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器,且拒绝所述第二云服务器主动访问所述第一云服务器。
10.一种电子设备,其特征在于,包括:存储器和处理器;
所述存储器被配置为存储计算机程序指令;
所述处理器被配置为执行所述计算机程序指令,使得所述电子设备实现如权利要求1至4任一项,或者,权利要求5至7任一项所述的虚拟私有网络之间单向通信的方法。
11.一种计算机可读存储介质,其特征在于,包括:计算机程序指令;处理器执行所述计算机程序指令,以执行如权利要求1至4任一项,或者,权利要求5至7任一项所述的虚拟私有网络之间单向通信的方法。
12.一种计算机程序产品,其特征在于,电子设备执行所述计算机程序产品,以执行如权利要求1至4任一项,或者,权利要求5至7任一项所述的虚拟私有网络之间单向通信的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211042036.7A CN115412527B (zh) | 2022-08-29 | 2022-08-29 | 虚拟私有网络之间单向通信的方法及通信装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211042036.7A CN115412527B (zh) | 2022-08-29 | 2022-08-29 | 虚拟私有网络之间单向通信的方法及通信装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115412527A CN115412527A (zh) | 2022-11-29 |
| CN115412527B true CN115412527B (zh) | 2024-03-01 |
Family
ID=84162213
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211042036.7A Active CN115412527B (zh) | 2022-08-29 | 2022-08-29 | 虚拟私有网络之间单向通信的方法及通信装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115412527B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118300981A (zh) * | 2022-12-28 | 2024-07-05 | 华为云计算技术有限公司 | 一种网络地址转换网关配置方法及云管理平台 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017140216A1 (zh) * | 2016-02-16 | 2017-08-24 | 阿里巴巴集团控股有限公司 | 一种网络的负载均衡、控制及网络交互方法和装置 |
| CN109361764A (zh) * | 2018-11-29 | 2019-02-19 | 杭州数梦工场科技有限公司 | 内跨vpc的服务访问方法、装置、设备及可读存储介质 |
| CN109995738A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 一种访问控制方法、网关及云端服务器 |
| CN110336730A (zh) * | 2019-07-09 | 2019-10-15 | 腾讯科技(深圳)有限公司 | 一种网络系统及数据传输方法 |
| WO2021136311A1 (zh) * | 2019-12-30 | 2021-07-08 | 华为技术有限公司 | 一种vpc之间的通信方法及装置 |
| CN113746879A (zh) * | 2020-05-28 | 2021-12-03 | 阿里巴巴集团控股有限公司 | 一种基于虚拟私有云vpc的数据处理方法及装置 |
| CN113965505A (zh) * | 2021-09-27 | 2022-01-21 | 浪潮云信息技术股份公司 | 不同虚拟私有网络之间云主机互通的方法及实现架构 |
| CN114006909A (zh) * | 2021-11-11 | 2022-02-01 | 四川中电启明星信息技术有限公司 | 一种私有云租户间点对点单向动态专线连接的方法及系统 |
| US11297036B1 (en) * | 2019-09-03 | 2022-04-05 | Rapid7, Inc. | Single whitelisted ingress endpoint on 1 and 2 way TLS connections |
| CN114598700A (zh) * | 2022-01-25 | 2022-06-07 | 阿里巴巴(中国)有限公司 | 通信方法及通信系统 |
| US11388227B1 (en) * | 2020-02-27 | 2022-07-12 | Aviatrix Systems, Inc. | Multi-cloud active mesh network system and method |
| WO2022177819A1 (en) * | 2021-02-17 | 2022-08-25 | Aviatrix Systems, Inc. | Multi-cloud network traffic filtering service |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102387061B (zh) * | 2011-10-21 | 2014-05-07 | 华为技术有限公司 | 虚拟私云接入虚拟专用网的方法、装置和系统 |
| US9825854B2 (en) * | 2014-03-27 | 2017-11-21 | Nicira, Inc. | Host architecture for efficient cloud service access |
| US10848461B2 (en) * | 2018-01-26 | 2020-11-24 | Nicira, Inc. | Unified security policies across virtual private clouds with overlapping IP address blocks |
| US11159569B2 (en) * | 2018-08-20 | 2021-10-26 | Cisco Technology, Inc. | Elastic policy scaling in multi-cloud fabrics |
-
2022
- 2022-08-29 CN CN202211042036.7A patent/CN115412527B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017140216A1 (zh) * | 2016-02-16 | 2017-08-24 | 阿里巴巴集团控股有限公司 | 一种网络的负载均衡、控制及网络交互方法和装置 |
| CN109995738A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 一种访问控制方法、网关及云端服务器 |
| CN109361764A (zh) * | 2018-11-29 | 2019-02-19 | 杭州数梦工场科技有限公司 | 内跨vpc的服务访问方法、装置、设备及可读存储介质 |
| CN110336730A (zh) * | 2019-07-09 | 2019-10-15 | 腾讯科技(深圳)有限公司 | 一种网络系统及数据传输方法 |
| US11297036B1 (en) * | 2019-09-03 | 2022-04-05 | Rapid7, Inc. | Single whitelisted ingress endpoint on 1 and 2 way TLS connections |
| WO2021136311A1 (zh) * | 2019-12-30 | 2021-07-08 | 华为技术有限公司 | 一种vpc之间的通信方法及装置 |
| US11388227B1 (en) * | 2020-02-27 | 2022-07-12 | Aviatrix Systems, Inc. | Multi-cloud active mesh network system and method |
| CN113746879A (zh) * | 2020-05-28 | 2021-12-03 | 阿里巴巴集团控股有限公司 | 一种基于虚拟私有云vpc的数据处理方法及装置 |
| WO2022177819A1 (en) * | 2021-02-17 | 2022-08-25 | Aviatrix Systems, Inc. | Multi-cloud network traffic filtering service |
| CN113965505A (zh) * | 2021-09-27 | 2022-01-21 | 浪潮云信息技术股份公司 | 不同虚拟私有网络之间云主机互通的方法及实现架构 |
| CN114006909A (zh) * | 2021-11-11 | 2022-02-01 | 四川中电启明星信息技术有限公司 | 一种私有云租户间点对点单向动态专线连接的方法及系统 |
| CN114598700A (zh) * | 2022-01-25 | 2022-06-07 | 阿里巴巴(中国)有限公司 | 通信方法及通信系统 |
Non-Patent Citations (1)
| Title |
|---|
| 基于Windows系统的虚拟私有网的研究与实现;齐立磊;张松娟;;南阳理工学院学报(03);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115412527A (zh) | 2022-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111885075B (zh) | 容器通信方法、装置、网络设备及存储介质 | |
| CN111917649B (zh) | 虚拟私有云通信及配置方法以及相关装置 | |
| CN108449282B (zh) | 一种负载均衡方法及其装置 | |
| CN111066301B (zh) | 用于强制执行统一全局策略的方法、系统及存储介质 | |
| US10541836B2 (en) | Virtual gateways and implicit routing in distributed overlay virtual environments | |
| US10042665B2 (en) | Customer premises equipment (CPE) with virtual machines for different service providers | |
| JP5006925B2 (ja) | コンピューティングノード間通信の管理 | |
| US9641450B1 (en) | Resource placement templates for virtual networks | |
| CN109451084A (zh) | 一种服务访问方法及装置 | |
| CN112583618B (zh) | 为业务提供网络服务的方法、装置和计算设备 | |
| US10237235B1 (en) | System for network address translation | |
| CN113676564B (zh) | 数据传输方法、装置及存储介质 | |
| WO2020108438A1 (zh) | 一种接入系统、方法及装置 | |
| CN113794763B (zh) | 提供经由动态覆盖网络的业务转发器的方法和设备 | |
| CN112583655B (zh) | 数据传输方法、装置、电子设备及可读存储介质 | |
| US9055117B1 (en) | Distributed network address translation | |
| CN115412527B (zh) | 虚拟私有网络之间单向通信的方法及通信装置 | |
| CN116599900A (zh) | 云环境访问方法及装置 | |
| US10785056B1 (en) | Sharing a subnet of a logically isolated network between client accounts of a provider network | |
| WO2024067338A1 (zh) | 云组网系统、安全访问方法、设备及存储介质 | |
| WO2023231982A1 (zh) | 一种基于公有云的vpc之间的通信方法及相关产品 | |
| CN114070637B (zh) | 基于属性标签的访问控制方法、系统、电子设备及存储介质 | |
| CN113904871B (zh) | 网络切片的接入方法、pcf实体、终端和通信系统 | |
| CN115225693A (zh) | 一种容器间的通信方法及相关产品 | |
| US10637777B2 (en) | Address converting device, information processing system, and method of providing service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |