CN115766868A - 一种服务访问方法、装置、设备及计算机存储介质 - Google Patents
一种服务访问方法、装置、设备及计算机存储介质 Download PDFInfo
- Publication number
- CN115766868A CN115766868A CN202111027467.1A CN202111027467A CN115766868A CN 115766868 A CN115766868 A CN 115766868A CN 202111027467 A CN202111027467 A CN 202111027467A CN 115766868 A CN115766868 A CN 115766868A
- Authority
- CN
- China
- Prior art keywords
- network address
- service
- access
- underlay network
- underlay
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种服务访问方法、装置、设备及计算机存储介质,该方法包括:确定目标访问服务的配置参数,配置参数中包括Overlay网络地址;从预设Underlay网络地址资源池中确定Underlay网络地址,并在Overlay网络地址与Underlay网络地址之间形成映射关系;基于映射关系,对目标访问服务进行访问策略配置处理,确定目标访问策略;目标访问策略用于通过Overlay网络和Underlay网络实现目标访问服务。这样,通过将Overlay网络地址映射为Underlay网络地址,能够灵活地实现Overlay网络和Underlay网络的互相访问,提高了访问业务的便捷性和安全性。
Description
技术领域
本申请涉及云计算技术领域,尤其涉及一种服务访问方法、装置、设备及计算机存储介质。
背景技术
软件定义网络(Software Defined Network,SDN)是大型数据中心实现网络虚拟化的新方案,其核心思想是将数据平面与控制平面进行分离。对于采用SDN架构的数据中心来说,通过Underlay网络实现基础转发架构,通过该架构在Underlay网络上的Overlay网络为上层应用提供网络服务。
然而,在相关技术中,Overlay网络与Underlay网络之间的互联互通需要运维人员手动配置设备并发布路由策略,使得部分访问服务无法快速开通。
发明内容
本申请提供了一种服务访问方法、装置、设备及计算机存储介质,通过将Overlay网络地址映射为Underlay网络地址,灵活地实现了Overlay网络和Underlay网络的互相访问,提高了访问业务的便捷性和安全性。
本申请的技术方案是这样实现的:
第一方面,本申请实施例提供了一种服务访问方法,应用于服务访问系统,且SDN系统包括Overlay网络和Underlay网络,该方法包括:
确定目标访问服务的配置参数,且配置参数中包括Overlay网络地址;
从预设Underlay网络地址资源池中确定Underlay网络地址,并在Overlay网络地址与Underlay网络地址之间形成映射关系;
基于Overlay网络地址与Underlay网络地址之间的映射关系,对目标访问服务进行访问策略配置处理,确定目标访问策略;其中,目标访问策略用于通过Overlay网络和Underlay网络实现目标访问服务。
第二方面,本申请实施例提供了一种服务访问装置,应用于服务访问系统,且SDN系统包括Overlay网络和Underlay网络,该服务访问装置包括确定单元、映射单元和配置单元;其中,
确定单元,配置为确定目标访问服务的配置参数,且配置参数中包括Overlay网络地址;
映射单元,配置为从预设Underlay网络地址资源池中确定Underlay网络地址,并在Overlay网络地址与Underlay网络地址之间形成映射关系;
配置单元,配置为基于Overlay网络地址与Underlay网络地址之间的映射关系,对目标访问服务进行访问策略配置处理,确定目标访问策略;其中,目标访问策略用于通过Overlay网络和Underlay网络实现目标访问服务。
第三方面,本申请实施例提供了一种电子设备,该电子设备包括存储器和处理器;其中,
存储器,用于存储能够在处理器上运行的计算机程序;
处理器,用于在运行计算机程序时,执行如第一方面方法的步骤。
第四方面,本申请实施例提供了一种计算机存储介质,该计算机存储介质存储有计算机程序,该计算机程序被执行时实现如第一方面方法的步骤。
本申请实施例提供了一种服务访问方法、装置、设备及计算机存储介质,该方法应用于服务访问系统,且服务访问系统包括Overlay网络和Underlay网络,确定目标访问服务的配置参数,且配置参数中包括Overlay网络地址;从预设Underlay网络地址资源池中确定Underlay网络地址,并在Overlay网络地址与Underlay网络地址之间形成映射关系;基于Overlay网络地址与Underlay网络地址之间的映射关系,对目标访问服务进行访问策略配置处理,确定目标访问策略;其中,目标访问策略用于通过Overlay网络和Underlay网络实现目标访问服务。这样,通过将Overlay网络地址映射为Underlay网络地址,灵活地实现了Overlay网络和Underlay网络的互相访问,从而实现了Overlay网络中的云租户在网络策略层面与Underlay网络的业务系统连通,提高了业务配置的灵活性和便捷性;同时,通过网络策略层的配置就可以实现业务访问,保证了云租户与其他云租户、其他Underlay网络节点的隔离性,提高了整体网络的安全性。
附图说明
图1为相关技术提供的一种服务访问方法的应用架构示意图;
图2为本申请实施例提供的一种服务访问方法的流程示意图;
图3为本申请实施例提供的一种服务访问方法的应用架构示意图;
图4为本申请实施例提供的另一种服务访问方法的流程示意图;
图5为本申请实施例提供的一种服务访问装置的组成结构示意图;
图6为本申请实施例提供的一种电子设备的硬件结构示意图;
图7为本申请实施例提供的另一种电子设备的组成结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。可以理解的是,此处所描述的具体实施例仅仅用于解释相关申请,而非对该申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关申请相关的部分。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
需要指出,本申请实施例所涉及的术语“第一\第二\第三”仅是用于区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
对本申请实施例进行进一步详细说明之前,首先针对本申请实施例所涉及的专业名词进行解释:
软件定义网络(Software Defined Network,SDN):是大型数据中心实现网络虚拟化的网络方案,关键组件有SDN控制器和SDN网关。
虚拟交换机(Virtual Switch,VSW):该设备能够被SDN控制器通过南向接口(如OpenFlow)协议管理。
架顶硬件交换机(Top of Rack,TOR):该设备能够被SDN控制器通过虚拟专用网络协议(例如EVPN协议)管理。
虚拟服务器(Virtual Machine,VM):云租户订购的虚拟云资源,可以用于部署客户的业务。
虚拟防火墙(Virtual Firewall,VFW):虚拟防火墙,分布式墙下沉到VSW位置,为云租户业务提供安全防护功能。
网络地址转换协议(Network Address Translation,NAT):用于将内网网络地址转换为公网网络地址。
端口多路复用协议(Port address Translation,PAT):属于NAT技术一种,通过端口转换来实现地址转换,即内部网络的所有主机均可共享一个合法外部IP地址实现对公网的访问。
互联网协议(Internet Protocol,IP)地址:一种统一的网络地址格式。
可以理解,在一套完整的数据中心SDN环境中,有虚拟交换机或TOR、各汇聚交换机、SDN网关等。对于SDN化的Overlay网络与Underlay网络的互通,业界并无统一的自动化方案,通常需要运维人员手动去进行设备配置并发布路由。
参见图1,其示出了一种相关技术提供的访问流程示意图。在相关技术提供的网络架构中,包括:互联网(Internet)、出口路由器(CMnet)、互联网防火墙、SDN NAT网关、SDN外部网关、SDN内部网关、南北汇聚交换机、内网防火墙、通用容器组和公用容器组。其中,容器组可以用POD表示,其是云框架中最小的可部署单元。这里,一个POD包含了一个应用程序容器(某些情况下是多个容器)、存储资源、一个唯一的网络IP地址、以及一些确定容器该如何运行的选项。也就是说,POD代表了一个独立的应用程序运行实例,该实例可能由单个容器或者几个紧耦合在一起的容器组成。
对于图1所示的架构,当出现如下业务需求:云租户部署在通用POD(Overlay网络)的虚拟设备或子系统,需要访问公有云厂商部署在共享POD(Underlay网络)的云服务。现有技术的解决方案如下,如图1所示,网络架构中需要增设东西汇聚交换机,云租户需要为访问的虚拟设备绑定一张东西向网卡(Underlay网络层面的网卡),该网卡可通过东西向汇聚交换机访问到共享POD的云服务,具体访问路径为:客户VM-虚拟交换机-东西汇聚交换机-业务子系统。
在这种方案下,东西向网卡是Underlay层面的,SDN控制器无法自动为其配置网络策略。因此,只能采用“在接入交换机、东西向汇聚交换机上放通所有东西向网卡IP到共享POD的所有服务IP”的访问策略,以避免云租户订购共享POD服务后,无法第一时间使用服务。
也就是说,在相关技术中,需要通过东西向汇聚交换机,并在云主机VM上单独创建东西向虚拟网卡,才能够实现了Overlay网络中的云租户与Underlay网络中的业务节点互访的东西向业务需求。但是相关技术存在如下缺陷,一方面,需要额外增设东西汇聚交换机,增加硬件设备成本;另一方面,云租户需要额外创建东西向网卡,用户体验较差,且额外消耗服务器资源,增加成本;又一方面,通过东西向网卡访问是纯Underlay的路径,需提前配置网络策略,而且无法被SDN控制器控制,无法与云平台联动;再一方面,为满足用户可实时开通访问,预先配置的网络策略必须是全局的,导致用户间网络策略层面不隔离,安全性存在隐患。
基于此,本申请实施例提供了一种服务访问方法,该方法应用于服务访问系统,且服务访问系统包括Overlay网络和Underlay网络,该方法的基本思想为:确定目标访问服务的配置参数,且配置参数中包括Overlay网络地址;从预设Underlay网络地址资源池中确定Underlay网络地址,并在Overlay网络地址与Underlay网络地址之间形成映射关系;基于Overlay网络地址与Underlay网络地址之间的映射关系,对目标访问服务进行访问策略配置处理,确定目标访问策略;其中,目标访问策略用于通过Overlay网络和Underlay网络实现目标访问服务。这样,通过将Overlay网络地址映射为Underlay网络地址,灵活地实现了Overlay网络和Underlay网络的互相访问,从而实现了Overlay网络中的云租户在网络策略层面与Underlay网络的业务系统连通,提高了业务配置的灵活性和便捷性;同时,通过网络策略层的配置就可以实现业务访问,保证了云租户与其他云租户、其他Underlay网络节点的隔离性,提高了整体网络的安全性。
下面将结合附图对本申请各实施例进行详细说明。
在本申请的一实施例中,参见图2,其示出了本申请实施例提供的一种服务访问方法的流程示意图。如图2所示,该方法可以包括:
S101:确定目标访问服务的配置参数,且配置参数中包括Overlay网络地址。
需要说明的是,本申请实施例提供的服务访问方法应用于服务访问系统中的硬件设备,该硬件设备可以包括多种类型,例如具有计算能力的电子设备,本申请实施例不做限定。
还需要说明的是,服务访问系统可以包括Underlay网络和Overlay网络。在实际应用中,服务访问系统一般可以采用SDN架构,后续实施例将服务访问系统称为SDN系统进行解释说明。
在这里,SDN是一种控制面和数据面分离的网络,由Underlay网络承载底层信息的物理转发和传递,Overlay网络是在Underlay网络之上架设的虚拟网络,为用户提供各种网络服务。另外,SDN网络的核心管理设备为SDN控制器,通过SDN控制器能够控制Overlay网络中任意节点的可达性,从而用户可以访问指定的节点,实现网络的动态配置和灵活调整。
下面以采用SDN网络架构的服务访问系统为例,对该服务访问方法进行解释。另外,虽然Overlay网络中的节点可以是虚拟设备也可以是业务节点,Underlay网络中的节点同样存在两种可能,但为了方便说明,将Overlay网络中的节点认为是虚拟设备,将Underlay网络中的节点认为是业务节点,但这并不构成对本申请实施例的限制。
在服务访问系统中存在多个云租户和多种云业务,通过云平台的管理,云组户可以订购不同的云业务。若某一云租户新增订购了一云业务,云平台将利用SDN控制器控制该云租户对应的网络节点与该业务所在的网络节点之间连通。具体地,不同用户的虚拟设备拥有不同Overlay网络地址,SDN控制器通过控制不同Overlay网络地址与其他节点的可达性,进而能够灵活的为不同用户提供服务。然而,SDN网络呈南北架构,如果云业务设置在Underlay网络或者设置在另一Overlay网络,此时还需要借助依赖物理连接的方法实现云租户和云业务的连通。然而,这样做不仅浪费物理设备资源,而且由于物理连接无法被SDN控制器管理,会影响整个网络的安全性。
还需要说明的是,本申请实施例在SDN控制器的北向开发了一个SDN编排器(或直接称为编排器),通过该SDN编排器,能够实现Overlay网络地址和Underlay网络地址的转换,以实现Overlay网络和Underlay网络之间的互相访问,且由于SDN控制器能够管理Overlay网络地址和Underlay网络地址的转换这一步骤,所以整个网络的安全性也不受影响。
因此,在一些实施例中,所述确定目标访问服务的配置参数,可以包括:
通过编排器的北向接口接收服务访问请求;
根据服务访问请求,确定目标访问服务的配置参数。
需要说明的是,本申请实施例提供的服务访问方法具体应用于SDN系统中的编排器,用户可以调用编排器的北向接口上传访问请求,然后编排器会根据该访问请求来确定目标访问服务的配置参数。其中,配置参数用于指示目标访问服务的相关信息,例如请求端信息、目的端信息、访问方向、访问协议、申请用户信息等。
在这里,对于不涉及到Underlay网络和Overlay网络的互相访问的访问服务,可由SDN控制器或者其他设备直接予以实现。所以,提交到SDN编排器的目标访问服务必定涉及到Underlay网络和Overlay网络的互相访问,例如Overlay网络中的虚拟设备请求访问Underlay网络中的业务节点,或者Underlay网络中的业务节点请求访问Overlay网络中的虚拟设备,或者Overlay网络中的虚拟设备请求访问另一Overlay网络中的虚拟设备节点。特别地,不同Overlay网络需要依赖Underlay网络连接,所以Overlay网络访问另一Overlay网络也会涉及Overlay和Underlay之间的访问。
也就是说,向SDN编排器提交的目标访问服务的配置参数中必定包含Overlay网络地址,但是该Overlay网络地址可能是请求端的地址(Overlay网络请求访问Underlay网络),也可能是目的端的地址(Underlay网络请求访问Overlay网络),而且配置参数也有可能同时包含请求端的Overlay网络地址和目的端的Overlay网络地址(Overlay网络请求访问另一Overlay网络)。
进一步地,在一些实施例中,在确定目标访问服务的配置参数之后,该方法还可以包括:
对目标访问服务进行权限鉴定;
在权限鉴定成功的情况下,判断目标访问服务是否满足配额管理规则;
在目标访问服务满足配额管理规则的情况下,判断服务访问系统中是否存在目标访问服务对应的策略组;
在服务访问系统中存在目标访问服务对应的策略组的情况下,判断配置参数的格式是否正确;
在配置参数的格式正确的情况下,执行从预设Underlay网络地址资源池中确定Underlay网络地址的步骤。
需要说明的是,对于SDN编排器接收到目标访问服务的配置参数后,还需要对目标访问服务进行一些先验判定,例如权限鉴定、配额管理判定、是否存在策略组以及参数类型是否正确。
其中,配额管理规则限制了每个用户允许配置的最大访问策略数量,如果超过配额数量,SDN编配器会拒绝执行本次操作。目标访问请求对应的策略组是用于后续写入目标访问请求对应的目标访问规则的文件。一般来说,每个用户会存在一个策略组,用于写入该用户所有的访问策略。也就是说,目标访问请求对应的策略则实际上是指发送目标访问请求的用户的策略组。如果用户没有策略组,需要为用户创建策略组;如果用户有策略组,则直接进行后续操作即可。
这样,在SDN编排器收到目标访问服务的配置参数后,根据配置参数进行后续策略配置,从而通过Overlay网络和Underlay网络实现该访问服务。
S102:从预设Underlay网络地址资源池中确定Underlay网络地址,并在Overlay网络地址与Underlay网络地址之间形成映射关系。
需要说明的是,在本申请实施例的SDN系统中,存在一预设Underlay网络地址资源池,该预设Underlay网络地址资源池包含有Underlay网络中的一些可用地址。换句话说,预设Underlay网络地址资源池中的Underlay网络地址与部署在该Underlay网络中的业务节点(其网络地址实质也是Underlay网络地址)属于同一私网网段。
在接收到目标访问服务的配置参数后,SDN编排器会将在预设Underlay网络地址资源池中随机确定一Underlay网络地址,然后在Overlay网络地址与Underlay网络地址之间形成映射关系。特别地,如果配置参数中存在两个Overlay网络地址,那么SDN编排器也会在预设Underlay网络地址资源池中确定两个Underlay网络地址,一个Underlay网络地址与一个Overlay网络地址形成映射关系。
具体地,在一些实施例中,所述从预设Underlay网络地址资源池中确定Underlay网络地址,可以包括:
从预设Underlay网络地址资源池中进行随机选取,得到Underlay网络地址。
需要说明的是,在确定Underlay网络地址时,可以在预设Underlay网络地址资源池中进行随机选取。
除此之外,在一些实施例中,所述从预设Underlay网络地址资源池中确定Underlay网络地址,还可以包括:
根据配置参数,确定目标访问服务对应的业务场景;
基于业务场景,从预设Underlay网络地址资源池中确定Underlay网络地址。
需要说明的是,在实际应用中,网络地址的映射存在一对一映射技术(如静态NAT技术)和一对多映射技术(如PAT技术),即一个Underlay网络地址可以绑定给一个虚拟设备(即一个Underlay网络地址与一个Overlay网络地址形成映射关系),或者一个Underlay网络地址可以被多个虚拟设备(即一个Underlay网络地址与多个Overlay网络地址形成映射关系)共同使用,以提高Underlay网络地址的利用效率。
因此,根据目标访问服务的配置参数,可以明确Underlay网络地址的业务场景,对于不同的业务场景可以采用不同的映射技术,从而节省Underlay网络地址。下面结合三种访问场景进行具体说明。
访问场景1:由Overlay网络单向访问Underlay网络。
在SDN系统中,访问场景1是发生频率最高的场景,例如某一云租户订购了云厂商放置在Underlay网络上的数据库。为了节省Underlay网络地址资源,同时提高策略编排速度,访问场景1可以采用一对多映射技术。因此,在一些实施例中,所述基于业务场景,在预设Underlay网络地址资源池中确定Underlay网络地址,可以包括:
在业务场景为由Overlay网络单向访问Underlay网络的情况下,基于业务场景,从第一Underlay网络地址资源池中确定Underlay网络地址;
其中,第一Underlay网络地址资源池中的每一Underlay网络地址用于与若干个Overlay网络地址形成映射关系。
需要说明的是,针对访问场景1,采用一对多映射技术(例如PAT技术)。具体地,在预设Underlay网络地址资源池中提前选定一个或多个Underlay网络地址资源形成第一Underlay网络地址资源池,每个Underlay网络地址资源均可同时与多个Overlay网络地址形成映射关系。例如,虚拟设备1(Overlay网络地址1)、虚拟设备2(Overlay网络地址2)、虚拟设备3(Overlay网络地址3)均申请访问Underlay网络(具体目的地可以不同),那么虚拟设备1(Overlay网络地址1)、虚拟设备2(Overlay网络地址2)、虚拟设备3(Overlay网络地址3)均可以利用同一个Underlay网络地址进行访问。以PAT技术为例,在具体访问过程中,虚拟设备1(Overlay网络地址1)、虚拟设备2(Overlay网络地址2)、虚拟设备3(Overlay网络地址3)通过同一Underlay网络地址的不同端口向目的地发送数据并接收目的地回发的数据。但是,该种技术仅适用于单向访问,即虚拟设备1在具体一次访问进程中会被随机分配访问端口,但是如果虚拟设备1中断连接,该端口可能会分配给其他设备,因此目的端无法通过反向寻址以实现与虚拟设备1的连接。
另外,在访问场景一中,可以从第一Underlay网络地址资源池中随机选取出该Underlay网络地址。
访问场景2:由Underlay网络单向或者双向访问Overlay网络。
除了访问场景1外,其他的访问场景的发生频率并不高,采用一对多映射技术反而会导致网络架构不稳定。因此,所述基于业务场景,在预设Underlay网络地址资源池中确定Underlay网络地址,还包括:
在业务场景为由Underlay网络单向访问Overlay网络,或者业务场景为由Underlay网络双向访问Overlay网络的情况下,从第二预设Underlay网络地址资源池中确定Underlay网络地址;
其中,第二Underlay网络地址资源池中的每一Underlay网络地址仅用于与一个Overlay网络地址形成映射关系。
需要说明的是,将预设Underlay网络地址资源池中除第一Underlay网络地址资源池以外的部分称为第二Underlay网络地址资源池,第二Underlay网络地址资源池中的Underlay网络地址仅能够与一个Overlay网络地址形成映射关系。
换句话说,假设一Underlay网络中的业务节点想要访问Overlay网络中的虚拟设备,需要在第二Underlay网络地址资源池中进行随机选择,并将选取到的Underlay网络地址唯一绑定给该虚拟设备,即该Underlay网络地址在解绑前无法再绑定给其他设备。此时,业务节点可以与该Underlay网络地址建立连接关系,这种方式不仅支持业务节点与虚拟设备进行单向访问,同时也支持业务节点与虚拟设备进行双向访问。
访问场景3:由Overlay网络单向访问Overlay网络。
在访问场景3中,实际上存在两个Overlay网络地址,即请求端Overlay网络地址和目的端Overlay网络地址。因此,在一些实施例中,所述基于业务场景,在预设Underlay网络地址资源池中确定Underlay网络地址,还可以包括:
在业务场景为由Overlay网络单向访问Overlay网络的情况下,从第一Underlay网络地址资源池中确定第一Underlay网络地址,且第一Underlay网络地址用于与请求端Overlay网络地址形成映射关系;
从第二预设Underlay网络地址资源池中确定第二Underlay网络地址,且第二Underlay网络地址用于与目的端Overlay网络地址形成映射关系。
需要说明的是,在由Overlay网络访问Overlay网络的场景中,首先,在第二预设Underlay网络地址资源池中确定第二Underlay网络地址,并将目的端Overlay网络地址唯一映射为第二Underlay网络地址。此时,访问场景的实质变成了“由请求端Overlay网络地址访问第二Unerlay网络地址”,即访问场景实质上变成了场景一,所以,对于请求端Overlay网络地址,可以同样采用一对多映射技术,即请求端可以利用第一Underlay资源池中的Underlay网络地址申请访问,从而节省了Underlay网络资源。
还需要说明的是,由于技术实现的原因,该场景一般限于Overlay网络单向访问Overlay网络的场景。对于Overlay网络双向访问Overlay网络的场景,可将其拆成两个目标访问服务。但是以上仅为具体实施方法,并不构成对本申请的限制。
这样,通过将Overlay网络地址转换为Underlay网络地址,能够实现Overlay网络与Underlay网络的互相访问,从而能够通过Overlay网络和Underlay网络实现前述的目标访问服务。
S103:基于Overlay网络地址与Underlay网络地址之间的映射关系,对目标访问服务进行访问策略配置处理,确定目标访问策略。
其中,目标访问策略用于通过Overlay网络和Underlay网络实现目标访问服务。
需要说明的是,借助于Underlay网络地址,实现了Overlay网络与Underlay网络的互访互通。因此,SDN编排器可以在此基础上对目标访问服务进行策略编排处理,得到目标访问策略。该目标访问策略用于指示待访问服务中的请求端与目的端之间的网络路径,且其中的Overlay网络地址已经被替换为Underlay网络地址。
为了方便说明,将预设Underlay网络地址资源池中的Underlay网络地址称为Dummy Fip地址,将Overlay网络中虚拟设备的Overlay地址称为虚拟设备Overlay网络地址,将Underlay网络中业务节点的Underlay网络地址称为业务Underlay网络地址。
例如,在Overlay网络访问Underlay网络的情况下,请求端为虚拟设备Overlay网络地址,目的端为业务Underlay网络地址,由于虚拟设备Overlay网络地址已经与DummyFip地址形成了映射关系,所以,目标访问策略实质是指的由Dummy Fip地址至业务Underlay网络地址之间的访问路径。
另例如,在Underlay网络访问Overlay网络的情况下,请求端为业务Underlay网络地址,目的端为虚拟设备Overlay网络地址;由于虚拟设备Overlay网络地址已经与DummyFip地址形成了映射关系,所以,目标访问策略实质是指的由业务Underlay网络地址至Dummy Fip地址之间的访问路径。
再例如,在Underlay网络访问Overlay网络的情况下,请求端为虚拟设备Overlay网络地址,目的端为另一虚拟设备Overlay网络地址;由于请求端的虚拟设备Overlay网络地址被映射为请求端Dummy Fip地址,而目的端的虚拟设备Overlay网络地址被映射为目的端Dummy Fip地址。所以,目标访问策略实质是指的由请求端Dummy Fip至目的端Dummy Fip地址之间的访问路径。
进一步地,在一些实施例中,所述基于所述Overlay网络地址与所述Underlay网络地址之间的映射关系,对所述目标访问服务进行访问策略配置处理,确定目标访问策略,可以包括:
在业务场景为由Underlay网络双向访问Overlay网络的情况下,将目标访问服务拆分为第一方向访问服务和第二方向访问服务;
基于Underlay网络地址和Overlay网络地址之间的映射关系,对第一方向访问服务和第二方向访问服务分别进行访问策略配置处理,得到第一访问策略和第二访问策略;
将第一访问策略和第二访问策略确定为目标访问策略。
需要说明的是,根据前述内容,对于业务场景二,可进一步再分为两种场景:场景2-1:由Underlay网络单向访问Overlay网络;场景2-2:由Underlay网络双向访问Overlay网络。
针对场景2-1,继续执行后续策略编排处理即可。
针对场景2-2,需要将目标访问服务拆分成第一方向访问服务和第二方向访问服务,进而分别为每个访问服务配置访问策略,得到第一访问策略和第二访问策略。
例如,在Underlay网络双向访问Overlay网络的情况下,存在一虚拟设备Overlay网络地址和一业务Underlay网络地址,根据前述内容,虚拟设备Overlay网络地址已经被转换为Dummy Fip地址。此时,目标访问服务可以拆分为“由Dummy Fip地址单向访问业务Underlay网络地址的服务”以及“由业务Underlay网络地址单向访问Dummy Fip地址的服务”。
这样,通过将Overlay网络地址转换为Underlay网络地址,能够支持Overlay网络和Underlay网络的互相访问,进而得到目标访问服务对应的目标访问策略。
还需要说明说明的是,目标访问策略可以包括访问控制列表ACL参数;其中,ACL参数包括以下的至少一项:源IP地址、目的IP地址、源端口、目的端口和协议号。因此,在一些实施例中,该方法还可以包括:
通过编排器将目标访问策略发送给控制器,并通过控制器将目标访问策略发送给预设访问控制列表,以通过Overlay网络和Underlay网络实现目标访问服务。
需要说明的是,SDN网络一般通过SDN控制器管理整个网络的转发功能。因此,在SDN编排器得到目标访问策略后,还需要经由SDN控制器将目标访问策略下发到整个网络系统的预设控制访问列表(或称为流表、VSW流表),以通过Underlay网络和Overlay网络实现目标访问服务。
综上,基于SDN网络两层NAT架构下的现有能力,本申请实施例在SDN控制器的北向开发一个编排器,利用该编排器,下发灵活的网络策略,通过SDN控制器落实到流表(也称为VSW流表),实现虚拟设备业务出入灵活的网络控制。
参见图3,其示出了本申请实施例提供的服务访问方法的架构示意图。如图3所示,相比较于现有技术,该架构中增加了Dummy FIP功能层,从而SDN编排器(图中未示出)可以将Overlay网络地址唯一映射到Dummy FIP(实质为Underlay网络地址),进而实现Overlay网络和Underlay网络的互相访问。以下以前述的业务需求为例,对本申请实施例提供的服务访问方法进行具体解释。
业务需求为:云租户部署在通用POD的虚拟设备或子系统,需要访问公有云厂商部署在共享POD的云服务。
对于该业务需求,具体解决方法如下:
(1):云租户创建一台虚拟设备(VM),此时虚拟设备被分配了Overlay网络地址(下称为Fixip),该地址在云租户的虚拟私有云(Virtual Private Cloud,VPC)中生效且唯一,但不同租户或不同VPC均可以重复使用该Overlay网络地址,该地址无法用于Overlay网络之外唯一识别该虚拟设备。
(2):SDN上层的编排器,可通过开放的接口,为云租户提供入口,把虚拟设备的Fixip转换成Dummy Fip,该Dummy Fip是在提前规划的Dummy Fip Pool(相当于预设Underlay网络地址资源池)中随机获取的。
(3):SDN编排器同时可开放接口,使云租户可以自动化配置五元组的访问控制列表(Access Control Lists,ACL,ACL)策略,使得指定的VM Dummy Fip可以访问指定的共享域Underlay网络地址,从而访问指定的目的地。
需要说明的是,Dummy Fip与共享POD Underlay网络的地址属于同一私网网络,因此可以通过Dummy Fip实现虚拟设备与共享POD业务子系统的互访。
如图3所示,具体访问路径可以为:客户VM-虚拟交换机-南北汇聚交换机-SDN外部网关-Dummy FIP映射-南北汇聚交换机-内网防火墙-业务子系统。也就是说,图3中的访问路径无需引入东西汇聚交换机。
本申请实施例提供了一种服务访问方法,应用于服务访问系统,且服务访问系统包括Overlay网络和Underlay网络。通过确定目标访问服务的配置参数,且配置参数中包括Overlay网络地址;从预设Underlay网络地址资源池中确定Underlay网络地址,并在Overlay网络地址与Underlay网络地址之间形成映射关系;基于Overlay网络地址与Underlay网络地址之间的映射关系,对目标访问服务进行访问策略配置处理,确定目标访问策略;其中,目标访问策略用于通过Overlay网络和Underlay网络实现目标访问服务。这样,通过将Overlay网络地址映射为唯一的Underlay网络地址,从而实现Overlay网络和Underlay网络的互相访问,从而可以为云租户进行灵活的访问策略配置,实现Overlay网络中的云租户在网络策略层面与Underlay网络的业务系统连通,提高了业务配置的灵活性且提升了用户体验;同时,仅通过网络策略层的配置就可以实现业务访问,无需引入新的硬件设备,节省了硬件资源;另外,每个云租户与其他云租户、其他Underlay网络的节点均隔离,提高了整体网络的安全性。
在本申请的另一实施例中,参见图4,其示出了本申请实施例提供的另一种服务访问方法的流程示意图。如图4所示,该方法可以包括:
S201:云平台下发业务下发通知。
本申请实施例提供的业务访问方法应用于SDN系统,且SDN系统具有两层架构:Overlay网络和Underlay网络。该SDN系统中包括SDN编排器和SDN控制器,用于实现访问策略的配置和编排。
若SDN系统中存在新的业务需求,用户会经由云平台提交访问需求,进而云平台将业务下发通知发送给SDN编排器,请求配置访问策略。一般来说,业务下发通知包括ACL策略五元组和访问方向等信息。
示例性地,在业务下发通知中,可以包括以下参数:账户信息、本端VPC信息、本端子网信息、对端服务种类、对端服务IP及端口、第4版网际协议(InternetProtocolversion4,IPv4)/IPv6、访问方向和访问协议。
这样,根据业务下发通知,SDN编排器能够获取到目标访问服务(相当于业务)的配置参数。
S202:通过鉴权接口进行鉴权,判断是否鉴权成功。
在这里,对于步骤S202,如果判断结果为鉴权成功,则执行步骤S203;如果判断结果为鉴权失败,则执行步骤S215。
需要说明的是,利用鉴权接口对目标访问服务进行鉴权,如果鉴权成功,那么进入后续执行步骤;如果鉴权失败,那么返回业务失败消息,并请运维人员处理。
S203:通过配额管理接口查询配额使用数,判断是否继续创建。
在这里,对于步骤S203,如果判断结果为是,则执行步骤S204;如果判断结果为否,则执行步骤S215。
需要说明的是,考虑到网络架构的稳定性,为不同的虚拟设备设置不同的配额,即SDN编排器仅会为每一个虚拟设备配置有限数量的目标访问策略。在这里,配额数量可以根据实际应用环境进行确定。同时,对于云租户通过某一虚拟设备确实订购了较多的业务,可以由运维人员进行手动扩展配额。
总之,在查询配额使用数后,如果配额使用数较少,可以继续创建策略,则执行步骤S204;否则,那么返回业务失败消息,并请运维人员处理。
S204:判断是否创建策略组。
在这里,对于步骤S203,如果判断结果为是,则执行步骤S205;如果判断结果为否,则执行步骤S206。
需要说明的是,每个虚拟设备都会对应一个策略组,用于写入该虚拟设备下的所有访问策略。因此,如果虚拟设备没有策略组,需要创建该虚拟设备对应的策略组;如果虚拟设备由策略组,则可以直接在策略组中创建策略。
S205:调用策略组创建接口。
需要说明的是,在虚拟设备没有策略组的情况下,利用策略组创建接口创建新的策略组。
S206:判断端口标识符是否为空。
在这里,对于步骤S206,如果判断结果为是,则执行步骤S207;如果判断结果为否,则执行步骤S208。
需要说明的是,目标访问服务参数中的端口标识符(Portid)是否正确。因为,云平台可能会忽略Portid参数,但是端口标识符(Portid)是后续进行策略配置的必要参数。具体地,判断Portid参数是否为空,如果Portid参数为空,则调用Portid查询接口,获得Portid参数;如果Portid参数不为空,则执行下一步。
特别地,在一些实施例中,在获得Portid参数后,还需要判断Portid参数是否正确。
S207:调用Portid查询接口。
需要说明的是,在Portid参数为空的情况下,调用Portid查询接口,获得Portid参数。
S208:判断业务场景。
在这里,对于步骤S206,如果业务场景为O to O(即前述的访问场景1),则执行步骤S207;如果业务场景为O to U(即前述的访问场景2),则执行步骤S211;如果业务场景为Oto U(即前述的访问场景3),则执行步骤S214。
需要说明的是,根据目标访问服务对应的不同业务场景,根据不同的访问方向,可以通过为虚拟设备绑定固定的Dummy Fip,或者通过共用的Dummy Fip,实现与Underlay网络的访问。特别地,业务场景可分为三类,具体说明如下。
(1)业务场景为O to U,即业务场景的请求端为一Overlay网络地址(即虚拟设备的地址),目的端为端为一Underlay网络地址(即业务节点的地址)。由于该业务场景的发生频率非常高,所以在Dummy Pool提前取出一个或多个共用的Dummy Fip,利用端口地址转换(PAT)技术实现这些Dummy Fip的复用,以节省地址资源。也就是说,对于O to U业务场景,无需进行Dummy Fip的绑定,而是直接采用之前配置好的共用Dummy Fip进行映射、策略配置即可。
换句话说,多个虚拟设备均可以映射到相同的一个Dummy Fip上,通过这个DummyFip的不同端口访问目的端的Underlay网络地址。
(2)业务场景为U to O,即业务场景的请求端为一Underlay网络地址,目的端为一Overlay网络地址。此时,需要在Dummy Pool中随机选取一Dummy IP,并将该Dummy IP一对一绑定给该Overlay网络地址。
(3)业务场景为O to O,即业务场景的请求端和目的端均为一Overlay网络地址。此时,需要在Dummy Pool中随机选取一Dummy IP,并将该Dummy IP一对一绑定给目的端Overlay网络地址,对于请求端Overlay网络地址,可复用“业务场景为O to U”中的共用Dummy Fip。
S209:调用Dumm Fip查绑接口。
需要说明的是,在业务场景为O to O的情况下,调用Dummfip查绑接口,在DummyPool中随机确定一个Dummy Fip,将该Dummy Fip与目的端的虚拟设备进行绑定,即形成Dummy Fip和目的端Overlay网络地址的映射关系。
S210:替换目的IP。
需要说明的是,将所确定的Dummfip替换目的IP(即目的端Overlay网络地址),同时请求端Overlay网络地址可采用PAT路径中的固定Dummy Fip。
S211:调用Dummy Fip查绑接口。
需要说明的是,在业务场景为U to O的情况下,调用Dummfip查绑接口,在DummyPool中随机确定一个Dummy Fip,将该Dummy Fip与目的端的虚拟设备进行绑定,即形成Dummy Fip和目的端Overlay网络地址的映射关系。
S212:判断是否双向。
在这里,对于步骤S212,如果判断结果为是,则执行步骤S213;如果判断结果为否,则执行步骤S214。
需要说明的是,因为U to O的场景包括两类,对于由Overlay网络单向访问Underlay网络的业务场景,可以将Dummy Fip绑定给目的端Overlay网络地址,然后执行步骤S214即可;对于由Underlay网络双向访问Overlay网络的业务场景,需要执行步骤S213。
S213:拆分为进/出两条规则。
需要说明的是,对于由Underlay网络双向访问Overlay网络的业务场景,需要拆分成两条规则,具体参照上一实施例。
S214:调用策略规则创建接口。
需要说明的是,通过前述步骤,已经将目标访问服务参数中的Overlay网络地址转换成了Dummy Fip,进而根据目标访问服务中的其他参数和Dummy Fip,通过策略规则创建接口生成目标访问策略,以通过Overlay网络和Underlay网络实现目标访问服务。在一种具体的实施例中,SDN编排器为虚拟设备配置ACL策略,明确策略的五元组,策略颗粒度精确到端口级别,实现指定虚拟设备端口,访问指定Underlay业务端口。
特别地,未通过编排器配置策略的虚拟设备无法实现访问Underlay网络的功能,因此SDN编排器可以动态化管理每个虚拟设备的网略策略,且实现了不同租户间、租户与业务间的隔离。
S215:判断是否全部业务下发成功。
在这里,对于步骤S215,如果判断结果为是,则执行步骤S216;如果判断结果为否,则执行步骤S217。
需要说明的是,将目标访问策略通过SDN控制器下发到流表,以实现目标访问服务,并根据业务下发结果返回不同的执行结果。
S216:返回业务下发成功,并结束流程。
需要说明的是,在业务下发成功的情况下,返回“业务下发成功”的消息,并结束流程。
S217:返回业务失败,通知回滚。
需要说明的是,在业务下发失败的情况下,返回“业务下发失败”的消息,并通知业务回滚。
S218:通知云平台运维业务下发失败,人工处理。
需要说明的是,在业务下发失败的情况下,还需要通知运维人员进行处理。
综上,本申请实施例涉及云计算、SDN、OpenStack(一种云计算系统中的项目)、数据中心网络领域,具体是一种基于SDN网络的自动化网络策略配置方案,实现SDN的Overlay网络与资源池内的Underlay网络互联互通,且租户间网络策略相互隔离。
也就是说,本申请实施例的技术方案是基于SDN两层NAT的一个完整编排技术;其中,该编排技术,可以把虚拟设备的Overlay IP地址映射成唯一的Underlay IP;以及该编排技术,还可以为虚拟设备配置访问指定Underlay服务的ACL策略;以及在该编排技术中,其北向对云租户开放,云租户可以通过北向接口自动化实现以上配置功能。如此,通过该编排技术,可以实现云租户的VM在网络策略层面与指定的Underlay IP打通,与其他VM、其他Underlay IP均隔离。
这样,通过SDN编排器和SDN控制器,通过对虚拟设备自动化配置网络策略,实现了资源池内虚拟设备访问Underlay网络中业务服务的网络策略自动化配置,业务配置灵活且租户间业务隔离。具体来讲,对于本申请实施例的技术方案,一方面,无需额外增加东西汇聚交换机,降低硬件设备成本;另一方面,云租户无需额外创建东西向网卡,提升用户体验,避免消耗服务器资源;又一方面,通过SDN编排器和SDN控制器,可实现网络策略自动配置和下发,可达成云租户自主订购,秒级开通;再一方面,云租户间网络策略相互隔离,业务访问的安全性大大提升。
通过上述实施例,对前述实施例的具体实施方法进行了详细阐述,从中可以看出,通过将Overlay网络地址映射为Underlay网络地址,灵活地实现了Overlay网络和Underlay网络的互相访问,提高了访问业务的便捷性和安全性。
在本申请的再一实施例中,参见图5,其示出了本申请实施例提供的一种服务访问装置30的组成结构示意图。如图5所示,该服务访问装置30应用于服务访问系统,且服务访问系统包括Overlay网络和Underlay网络,该服务访问装置30包括确定单元301、映射单元302和配置单元303,其中,
确定单元301,配置为确定目标访问服务的配置参数,且配置参数中包括Overlay网络地址;
映射单元302,配置为从预设Underlay网络地址资源池中确定Underlay网络地址,在Overlay网络地址与Underlay网络地址之间形成映射关系;
配置单元303,配置为基于Overlay网络地址与Underlay网络地址之间的映射关系,对目标访问服务进行访问策略配置处理,确定目标访问策略;其中,目标访问策略用于通过Overlay网络和Underlay网络实现目标访问服务。
在一些实施例中,服务访问系统还包括编排器;相应地,确定单元301,还配置为通过编排器的北向接口接收服务访问请求;根据服务访问请求,确定目标访问服务的配置参数。
在一些实施例中,确定单元301,还配置为对目标访问服务进行权限鉴定;在权限鉴定成功的情况下,判断目标访问服务是否满足配额管理规则;在目标访问服务满足配额管理规则的情况下,判断服务访问系统中是否存在目标访问请求对应的策略组;在服务访问系统中存在目标访问请求对应的策略组的情况下,判断配置参数的格式是否正确;在配置参数的格式正确的情况下,执行从预设Underlay网络地址资源池中确定Underlay网络地址的步骤。
在一些实施例中,映射单元302,还配置为从预设Underlay网络地址资源池中进行随机选取,得到Underlay网络地址。
在一些实施例中,相应地,映射单元302,还配置为根据配置参数,确定目标访问服务对应的业务场景;基于业务场景,从预设Underlay网络地址资源池中确定Underlay网络地址。
在一些实施例中,预设Underlay网络地址资源池包括第一Underlay网络地址资源池,映射单元302,还配置为在业务场景为由Overlay网络单向访问Underlay网络的业务场景的情况下,从第一Underlay网络地址资源池中确定Underlay网络地址;其中,第一Underlay网络地址资源池中的每一Underlay网络地址用于与若干个Overlay网络地址形成映射关系。
在一些实施例中,预设Underlay网络地址资源池还包括第二Underlay网络地址资源池;相应地,映射单元302,还配置为在业务场景为由Underlay网络单向访问Overlay网络,或者由Underlay网络双向访问Overlay网络的情况下,从第二Underlay网络地址资源池中确定Underlay网络地址;其中,第二Underlay网络地址资源池中的每一Underlay网络地址仅用于与一个Overlay网络地址形成映射关系。
在一些实施例中,Overlay网络地址包括请求端Overlay网络地址和目的端Overlay网络地址;相应地,映射单元302,还配置为在业务场景为由Overlay网络单向访问Overlay网络的情况下,从第一Underlay网络地址资源池中确定第一Underlay网络地址,且第一Underlay网络地址用于与请求端Overlay形成映射关系;从第二预设Underlay网络地址资源池中确定第二Underlay网络地址,且第二Underlay网络地址用于与目的端Overlay形成映射关系。
在一些实施例中,目标访问策略包括访问控制列表ACL参数;其中,且ACL参数包括以下至少一项:源IP地址、目的IP地址、源端口和目的端口、协议号。
进一步地,该服务访问系统还包括控制器和预设访问控制列表;相应地,配置单元303,还配置为通过编排器将目标访问策略发送给控制器,并通过控制器将目标访问策略发送给预设访问控制列表,以通过Overlay网络和Underlay网络实现目标访问服务。
可以理解地,在本实施例中,“单元”可以是部分电路、部分处理器、部分程序或软件等等,当然也可以是模块,还可以是非模块化的。而且在本实施例中的各组成部分可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的单元如果以软件功能模块的形式实现并非作为独立的产品进行销售或使用时,可以存储在一个计算机可读取存储介质中,基于这样的理解,本实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或processor(处理器)执行本实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
因此,本实施例提供了一种计算机存储介质,该计算机存储介质存储有计算机程序,计算机程序被多个处理器执行时实现前述实施例中任一项的方法的步骤。
基于上述的一种服务访问装置30的组成以及计算机存储介质,参见图6,其示出了本申请实施例提供的一种电子设备40的硬件结构示意图。如图6所示,电子设备40可以包括:通信接口401、存储器402和处理器403;各个组件通过总线设备404耦合在一起。可理解,总线设备404用于实现这些组件之间的连接通信。总线设备404除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图6中将各种总线都标为总线设备404。其中,通信接口401,用于在与其他外部网元之间进行收发信息过程中,信号的接收和发送;
存储器402,用于存储能够在处理器403上运行的计算机程序;
处理器403,用于在运行计算机程序时,执行:
确定目标访问服务的配置参数,且配置参数中包括Overlay网络地址;
从预设Underlay网络地址资源池中确定Underlay网络地址,并在Overlay网络地址与Underlay网络地址之间形成映射关系;
基于Overlay网络地址与Underlay网络地址之间的映射关系,对目标访问服务进行访问策略配置处理,确定目标访问策略;其中,目标访问策略用于通过Overlay网络和Underlay网络实现目标访问服务。
可以理解,本申请实施例中的存储器402可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步链动态随机存取存储器(Synchronous link DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DRRAM)。本申请描述的设备和方法的存储器402旨在包括但不限于这些和任意其它适合类型的存储器。
而处理器403可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器403中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器403可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器402,处理器403读取存储器402中的信息,结合其硬件完成上述方法的步骤。
可以理解的是,本申请描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(Application Specific Integrated Circuits,ASIC)、数字信号处理器(Digital SignalProcessing,DSP)、数字信号处理设备(DSP Device,DSPD)、可编程逻辑设备(ProgrammableLogic Device,PLD)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请功能的其它电子单元或其组合中。
对于软件实现,可通过执行本申请功能的模块(例如过程、函数等)来实现本申请的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
可选地,作为另一个实施例,处理器403还配置为在运行计算机程序时,执行前述实施例中任一项的方法的步骤。
在本申请的再一实施例中,基于上述服务访问装置30的组成示意图,参见图7,其示出了本申请实施例提供的另一种电子设备40的组成结构示意图。如图7所示,该电子设备40至少包括前述实施例中任一项的服务访问装置30。
对于电子设备40而言,由于其包括服务访问装置30,且服务访问装置30通过将Overlay网络地址映射为Underlay网络地址,实现了Overlay网络和Underlay网络的互相访问,实现了Overlay网络中的云租户在网络策略层面与Underlay网络的业务系统连通,提高了业务配置的灵活性和便捷性;同时,通过网络策略层的配置就可以实现业务访问,保证了云租户与其他云租户、其他Underlay网络节点的隔离性,提高了整体网络的安全性。
以上,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。
需要说明的是,在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (13)
1.一种服务访问方法,其特征在于,应用于服务访问系统,且所述服务访问系统包括Overlay网络和Underlay网络,所述方法包括:
确定目标访问服务的配置参数,且所述配置参数中包括Overlay网络地址;
从预设Underlay网络地址资源池中确定Underlay网络地址,并在所述Overlay网络地址与所述Underlay网络地址之间形成映射关系;
基于所述Overlay网络地址与所述Underlay网络地址之间的映射关系,对所述目标访问服务进行访问策略配置处理,确定目标访问策略;其中,所述目标访问策略用于通过所述Overlay网络和所述Underlay网络实现所述目标访问服务。
2.根据权利要求1所述的服务访问方法,其特征在于,所述服务访问系统还包括编排器;所述确定目标访问服务的配置参数,包括:
通过所述编排器的北向接口接收服务访问请求;
根据所述服务访问请求,确定所述目标访问服务的配置参数。
3.根据权利要求1所述的服务访问方法,其特征在于,在所述确定所述目标访问服务的配置参数之后,所述方法还包括:
对所述目标访问服务进行权限鉴定;
在权限鉴定成功的情况下,判断所述目标访问服务是否满足配额管理规则;
在所述目标访问服务满足配额管理规则的情况下,判断所述服务访问系统中是否存在所述目标访问服务对应的策略组;
在所述服务访问系统中存在所述目标访问服务对应的策略组的情况下,判断所述配置参数的格式是否正确;
在所述配置参数的格式正确的情况下,执行所述从预设Underlay网络地址资源池中确定Underlay网络地址的步骤。
4.根据权利要求1所述的服务访问方法,其特征在于,所述从预设Underlay网络地址资源池中确定Underlay网络地址,包括:
从所述预设Underlay网络地址资源池中进行随机选取,得到所述Underlay网络地址。
5.根据权利要求1所述的服务访问方法,其特征在于,所述从预设Underlay网络地址资源池中确定Underlay网络地址,包括:
根据所述配置参数,确定所述目标访问服务对应的业务场景;
基于所述业务场景,从所述预设Underlay网络地址资源池中确定所述Underlay网络地址。
6.根据权利要求5所述的服务访问方法,其特征在于,所述预设Underlay网络地址资源池包括第一Underlay网络地址资源池;
相应地,所述基于所述业务场景,从所述预设Underlay网络地址资源池中确定所述Underlay网络地址,还包括:
在所述业务场景为由所述Overlay网络单向访问所述Underlay网络的情况下,从所述第一Underlay网络地址资源池中确定所述Underlay网络地址;
其中,所述第一Underlay网络地址资源池中的每一Underlay网络地址用于与若干个Overlay网络地址形成映射关系。
7.根据权利要求6所述的服务访问方法,其特征在于,所述预设Underlay网络地址资源池还包括第二Underlay网络地址资源池;
相应地,所述基于所述业务场景,从预设Underlay网络地址资源池中确定所述Underlay网络地址,还包括:
在所述业务场景为由所述Underlay网络单向访问所述Overlay网络,或者由所述Underlay网络双向访问所述Overlay网络的情况下,在所述第二Underlay网络地址资源池中确定所述Underlay网络地址;
其中,所述第二Underlay网络地址资源池中的每一Underlay网络地址用于与一个Overlay网络地址形成映射关系。
8.根据权利要求7所述的服务访问方法,其特征在于,所述Overlay网络地址包括请求端Overlay网络地址和目的端Overlay网络地址;
相应地,所述基于所述业务场景,从预设Underlay网络地址资源池中确定所述Underlay网络地址,还包括:
在所述业务场景为由所述Overlay网络单向访问所述Overlay网络的情况下,从所述第一Underlay网络地址资源池中确定第一Underlay网络地址,且所述第一Underlay网络地址用于与所述请求端Overlay网络地址形成映射关系;以及
从所述第二Underlay网络地址资源池中确定第二Underlay网络地址,且所述第二Underlay网络地址用于与所述目的端Overlay网络地址形成映射关系。
9.根据权利要求1-8任一项所述的服务访问方法,其特征在于,所述目标访问策略包括访问控制列表ACL参数;其中,所述ACL参数包括以下至少一项:源IP地址、目的IP地址、源端口、目的端口和协议号。
10.根据权利要求2所述的服务访问方法,其特征在于,所述服务访问系统还包括控制器和预设访问控制列表;在所述确定目标访问策略之后,所述方法还包括:
通过所述编排器将所述目标访问策略发送给所述控制器,并通过所述控制器将所述目标访问策略发送给所述预设访问控制列表,以通过Overlay网络和Underlay网络实现目标访问服务。
11.一种服务访问装置,其特征在于,应用于服务访问系统,且所述服务访问系统包括Overlay网络和Underlay网络,所述服务访问装置包括确定单元、映射单元和配置单元;其中,
所述确定单元,配置为确定目标访问服务的配置参数;其中,所述配置参数中包括Overlay网络地址;
所述映射单元,配置为将所述Overlay网络地址映射为Underlay网络地址;
所述配置单元,配置为基于所述Overlay网络地址与所述Underlay网络地址之间的映射关系,对所述目标访问服务进行访问策略配置处理,确定目标访问策略;其中,所述目标访问策略用于通过所述Overlay网络和所述Underlay网络实现所述目标访问服务。
12.一种电子设备,其特征在于,所述电子设备包括存储器和处理器;其中,
所述存储器,用于存储能够在所述处理器上运行的计算机程序;
所述处理器,用于在运行所述计算机程序时,执行如权利要求1至10任一项所述方法的步骤。
13.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序被执行时实现如权利要求1至10任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111027467.1A CN115766868A (zh) | 2021-09-02 | 2021-09-02 | 一种服务访问方法、装置、设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111027467.1A CN115766868A (zh) | 2021-09-02 | 2021-09-02 | 一种服务访问方法、装置、设备及计算机存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115766868A true CN115766868A (zh) | 2023-03-07 |
Family
ID=85332247
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111027467.1A Pending CN115766868A (zh) | 2021-09-02 | 2021-09-02 | 一种服务访问方法、装置、设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115766868A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115987685A (zh) * | 2023-03-17 | 2023-04-18 | 航天万源云数据河北有限公司 | 一种云服务数据共享方法及系统 |
-
2021
- 2021-09-02 CN CN202111027467.1A patent/CN115766868A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115987685A (zh) * | 2023-03-17 | 2023-04-18 | 航天万源云数据河北有限公司 | 一种云服务数据共享方法及系统 |
| CN115987685B (zh) * | 2023-03-17 | 2023-07-25 | 航天万源云数据河北有限公司 | 一种云服务数据共享方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107690800B (zh) | 管理动态ip地址分配 | |
| JP6670025B2 (ja) | クラウド・ネットワーキングのためのマルチテナント認識型動的ホスト構成プロトコル(dhcp)機構 | |
| AU2015256010B2 (en) | Migration of applications between an enterprise-based network and a multi-tenant network | |
| JP5998248B2 (ja) | 遠隔サービスへのローカル安全なネットワークアクセスを提供する方法 | |
| US9350558B2 (en) | Systems and methods for providing multicast routing in an overlay network | |
| EP3489824B1 (en) | Providing access to configurable private computer networks | |
| CN111885075A (zh) | 容器通信方法、装置、网络设备及存储介质 | |
| US20200162332A1 (en) | Extension resource groups of provider network services | |
| CN110088732A (zh) | 一种数据包处理方法、主机和系统 | |
| CN103946834A (zh) | 虚拟网络接口对象 | |
| US11563799B2 (en) | Peripheral device enabling virtualized computing service extensions | |
| US10333901B1 (en) | Policy based data aggregation | |
| US20200159555A1 (en) | Provider network service extensions | |
| US11520530B2 (en) | Peripheral device for configuring compute instances at client-selected servers | |
| US9166947B1 (en) | Maintaining private connections during network interface reconfiguration | |
| CN115766868A (zh) | 一种服务访问方法、装置、设备及计算机存储介质 | |
| CN112187638A (zh) | 网络访问方法、装置、设备及计算机可读存储介质 | |
| CN116389599A (zh) | 网关服务请求的处理、云原生网关系统的管理方法及装置 | |
| EP3258643B1 (en) | A method and apparatus for performing resource management | |
| US10789179B1 (en) | Decentralized access management in information processing system utilizing persistent memory | |
| US20160248596A1 (en) | Reflecting mdns packets | |
| JP7212158B2 (ja) | プロバイダネットワークサービス拡張 | |
| US20240098088A1 (en) | Resource allocation for virtual private label clouds |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |