CN117176720A - 一种租户隔离管理方法、装置、设备以及存储介质 - Google Patents
一种租户隔离管理方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN117176720A CN117176720A CN202311251700.3A CN202311251700A CN117176720A CN 117176720 A CN117176720 A CN 117176720A CN 202311251700 A CN202311251700 A CN 202311251700A CN 117176720 A CN117176720 A CN 117176720A
- Authority
- CN
- China
- Prior art keywords
- tenant
- target
- subnet
- virtual private
- private cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 73
- 238000007726 management method Methods 0.000 title claims abstract description 48
- 238000000034 method Methods 0.000 claims abstract description 34
- 238000004590 computer program Methods 0.000 claims description 16
- 238000012216 screening Methods 0.000 claims description 9
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 230000003993 interaction Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000007670 refining Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 108090000623 proteins and genes Proteins 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种租户隔离管理方法、装置、设备以及存储介质。该方法包括:响应于对目标租户的隔离请求,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号;根据虚拟私有云编号、编号配置范围、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址;根据虚拟私有云编号和目标子网地址,对目标租户进行虚拟私有云和子网地址的分配,以进行租户的隔离管理。本发明的技术方案,通过建立虚拟私有云编号和子网地址之间的关联,可以快速有效地确定出更准确的虚拟私有云编号和子网地址,并自动化地向各个租户分配,以更好地实现对各个租户的隔离管理。
Description
技术领域
本发明涉及云计算技术领域,尤其涉及一种租户隔离管理方法、装置、设备以及存储介质。
背景技术
随着云计算技术的不断发展,云平台通常使用虚拟私有云(Virtual PrivateCloud,VPC)对租户网络进行隔离,每个租户使用独立的VPC ID,从而云平台可以对各个租户进行安全有效地资源分配。
因此,如何快速有效地确定出更准确的虚拟私有云编号和子网地址,并自动化地向各个租户分配,以更好地对各个租户的隔离管理,是目前亟待解决的问题。
发明内容
本发明提供了一种租户隔离管理方法、装置、设备以及存储介质,可以快速有效地确定出更准确的虚拟私有云编号和子网地址,并自动化地向各个租户分配,以更好地对各个租户的隔离管理。
根据本发明的一方面,提供了一种租户隔离管理方法,所述方法包括:
响应于对目标租户的隔离请求,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号;
根据虚拟私有云编号、编号配置范围、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址;
根据虚拟私有云编号和目标子网地址,对目标租户进行虚拟私有云和子网地址的分配,以进行租户的隔离管理。
可选的,根据虚拟私有云编号、编号配置范围、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址,包括:
根据编号配置范围确定编号起始点,并确定编号起始点和虚拟私有云编号之间的偏差;
根据所述偏差、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址。
这样设置的好处在于:通过确定编号配置范围起始点与虚拟私有云编号之间的偏差,建立了虚拟私有云编号与子网地址之间的联系,给出了确定目标租户对应子网地址的一种可实施方式,有助于后续对目标租户进行子网分配,实现租户网络中租户的隔离。
可选的,根据所述偏差、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址,包括:
对地址池信息中的地址池起始地址进行二进制展开,确定地址池起始地址对应的起始二进制地址;
根据地址池信息中的地址池子网掩码长度和租户子网掩码,从起始二进制值地址中筛选出候选二进制地址;
根据候选二进制地址、偏差以及起始二进制地址,确定目标二进制地址,并根据目标二进制地址和租户子网掩码,确定目标租户对应的目标子网地址。
这样设置的好处在于:通过对地址池起始地址对应的二进制地址进行筛选,可以准确确定出候选二进制地址,进一步根据候选二进制地址、偏差、租户子网掩码以及起始二进制地址确定目标子网地址,给出了一种确定子网地址的可实施方式,可以确定出准确的目标子网地址,有助于后续对目标租户进行子网分配,实现租户网络中租户的隔离。
可选的,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号,包括:
若虚拟私有云的分配模式为自动分配,则根据编号配置范围和编号分配策略,确定目标租户对应的虚拟私有云编号。
这样设置的好处在于:通过进一步确定在分配模式在自动分配的情况下,才进行根据编号配置范围和编号分配策略,确定目标租户对应的虚拟私有云编号的操作,给出了自动分配的分配模式下确定虚拟私有云编号的可实施方式,也有助于支撑相关人员手动分配确定虚拟私有云编号的方案,从而提高了确定虚拟私有云编号方式的灵活性。
可选的,根据编号配置范围和编号分配策略,确定目标租户对应的虚拟私有云编号,包括:
根据编号分配策略,从编号配置范围对应的起始点向结束点进行查找,或从编号配置范围对应的结束点向起始点进行查找,并将查找得到的未分配编号,确定为目标租户对应的虚拟私有云编号;或
根据编号分配策略,在编号配置范围内进行随机选取,以确定目标租户对应的虚拟私有云编号。
这样设置的好处在于:通过根据不同的编号分配策略,给出了从起始点向结束点、从结束点向起始点,以及随机查找的查找方式,提高了确定虚拟私有云编号的灵活性。
可选的,所述目标子网地址为IPv4子网和/或IPv6子网;
相应的,对目标租户进行子网地址的分配,包括:
根据预设的分配策略,对目标租户进行子网地址的分配;所述分配策略为只分配IPv4子网、只分配IPv6子网、先分配IPv4子网后分配IPv6子网、先分配IPv6子网后分配IPv4子网,或同时分配IPv4子网和IPv6子网。
这样设置的好处在于:通过进一步细化目标子网包括IPv4子网和/或IPv6子网,从而可以根据目标子网包含的子网内容,在对目标租户进行子网分配时采用不同的分配方式,提高了子网分配的灵活性,有助于为目标租户分配到更优选的子网类型,以提高租户网络的交互效率。
可选的,确定目标租户对应的虚拟私有云编号之前,还包括:
根据编号配置范围,确定可配置编号数量;
根据地址池子网掩码长度和租户子网掩码长度,确定可配置子网数量,并根据可配置编号数量和可配置子网数量,确定可用子网数;
在可用子网数大于或等于目标租户数量的情况下,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号。
这样设置的好处在于:通过根据编码设置范围确定可配置编号数量,进一步将可配置编号数量与确定的可用子网数进行对比,可以提前对子网分配的情况进行评估,提高后续分配虚拟私有云和子网地址的效率。
根据本发明的另一方面,提供了一种租户隔离管理装置,包括:
编号确定模块,用于响应于对目标租户的隔离请求,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号;
地址确定模块,用于根据虚拟私有云编号、编号配置范围、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址;
分配模块,用于根据虚拟私有云编号和目标子网地址,对目标租户进行虚拟私有云和子网地址的分配,以进行租户的隔离管理。
根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的租户隔离管理方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的租户隔离管理方法。
本发明实施例的技术方案,响应于对目标租户的隔离请求,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号;根据虚拟私有云编号、编号配置范围、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址;根据虚拟私有云编号和目标子网地址,对目标租户进行虚拟私有云和子网地址的分配,以进行租户的隔离管理。可以通过编号配置范围、虚拟私有云的分配模式以及编号分配策略,快速准确地确定出需要为目标租户分配的虚拟私有云编号,进一步通过建立虚拟私有云编号和子网地址之间的关联关系,可以确定出虚拟私有云编号对应的子网地址,从而可以自动化地向各个租户分配虚拟私有云编号和子网地址,以更好地实现对各个租户的隔离管理。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种租户隔离管理方法的流程图;
图2为本发明实施例二提供的一种租户隔离管理方法的流程图;
图3为本发明实施例三提供的一种租户隔离管理方法的流程图;
图4为本发明实施例四提供的一种租户隔离管理装置的结构示意图;
图5为本发明实施例五提供的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“目标”、“候选”、“备选”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1为本发明实施例一提供的一种租户隔离管理方法的流程图;本实施例可适用于响应于对目标租户的隔离请求,确定虚拟私有云编号的目标子网地址从而向目标租户分配,实现租户网络下个租户隔离管理的情况,该方法可以由租户隔离管理装置来执行,该租户隔离管理装置可以采用硬件和/或软件的形式实现,该租户隔离管理装置可配置于电子设备中,如云平台中。如图1所示,该租户隔离管理方法包括:
S101、响应于对目标租户的隔离请求,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号。
其中,目标租户是指租户网络下需要通过虚拟私有云(Virtual Private Cloud,VPC)进行隔离的租户。目标租户的数量可以为一个,也可以为至少两个,本发明对此不做限制。隔离请求是指为各目标租户分配不同的虚拟私有云编号和子网地址以进行资源分配实现租户间隔离的请求。编号配置范围是指表征可以配置的虚拟私有云编号范围。分配模式是指表征虚拟私有云编号分配方式的模式,分配模式可以为自动分配或手动分配。编号分配策略是指表征在编号配置范围中确定最终的虚拟私有云编号的策略。编号分配策略例如可以是正向顺序分配、逆向顺序分配以及随机分配。虚拟私有云编号(Virtual PrivateCloud Identity document,VPC ID)是指可以区分不同租户虚拟私有云的唯一编号。虚拟私有云编号例如可以是VLAN ID、VXLAN VNI或其他用于网络隔离的ID。不同目标租户的虚拟私有云编号不同。
可选的,云平台可以接收相关人员发出的对目标租户的隔离指令,认为检测到对目标租户的隔离请求,也可以在检测到租户网络中新建了租户时,自动生成对新建租户的隔离请求。
可选的,可以根据预设的目标租户的隔离方式,确定其对应的编号配置范围,其中隔离方式可以为VLAN(Virtual Local Area Network,虚拟局域网)、VxLAN(Virtualextensible Local Area Network,虚拟可扩展的局域网)以及Geneve(Generic NetworkVirtualization Encapsulation,网络虚拟化技术)等。对于VLAN隔离方式,编号配置范围可设置为1-4094,对于VxLAN和Geneve隔离方式,编号配置范围可设置为1-16777214。
可选的,云平台响应于对目标租户的隔离请求,可以获取预先配置的全局配置信息,即编号配置范围、虚拟私有云的分配模式以及编号分配策略,进一步通过对全局配置信息的分析,基于虚拟私有云的分配模式和编号分配策略,在编号配置范围内为各目标租户分配唯一的虚拟私有云编号。
可选的,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号,包括:若虚拟私有云的分配模式为自动分配,则根据编号配置范围和编号分配策略,确定目标租户对应的虚拟私有云编号。
可选的,若虚拟私有云的分配模式为手动分配,则可以直接获取相关人员自定义后手动输入的虚拟私有云编号,即确定目标租户对应的虚拟私有云编号。
可选的,获取相关人员自定义后手动输入的虚拟私有云编号之后,还可以判断手动输入的虚拟私有云编号是否处于编号配置范围内,若是,则确定该编号为目标租户对应的虚拟私有云编号,若否,则提示相关人员重新输入编号。
这样设置的好处在于:通过进一步确定在分配模式在自动分配的情况下,才进行根据编号配置范围和编号分配策略,确定目标租户对应的虚拟私有云编号的操作,给出了自动分配的分配模式下确定虚拟私有云编号的可实施方式,也有助于支撑相关人员手动分配确定虚拟私有云编号的方案,从而提高了确定虚拟私有云编号方式的灵活性。
可选的,根据编号配置范围和编号分配策略,确定目标租户对应的虚拟私有云编号,包括:根据编号分配策略,从编号配置范围对应的起始点向结束点进行查找,或从编号配置范围对应的结束点向起始点进行查找,并将查找得到的未分配编号,确定为目标租户对应的虚拟私有云编号;或根据编号分配策略,在编号配置范围内进行随机选取,以确定目标租户对应的虚拟私有云编号。
示例性的,若编号配置范围为1001-4000,且编号分配策略为正向顺序分配,则从起始点1001开始,为第一个目标租户确定的VPC ID为1001,为第二个目标租户确定的VPCID为1002,为第三个目标租户确定的VPC ID为1003,依此类推;同理,若编号配置范围为1001-4000,且编号分配策略为逆向顺序分配,则为第一个目标租户确定的VPC ID为4000,为第二个目标租户确定的VPC ID为3999,为第三个目标租户确定的VPC ID为3998,依此类推;若编号配置范围为1001-4000,且编号分配策略为随机分配,则为第一个目标租户确定的VPC ID可能为2001,为第二个目标租户确定的VPC ID可能为3098。
这样设置的好处在于:通过根据不同的编号分配策略,给出了从起始点向结束点、从结束点向起始点,以及随机查找的查找方式,提高了确定虚拟私有云编号的灵活性。
S102、根据虚拟私有云编号、编号配置范围、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址。
其中,地址池中可以包含至少两个候选的子网地址,地址池信息是指地址池中子网地址的相关信息,例如,地址池信息可以包括地址池起始地址,还可以包括地址池的子网掩码。目标子网地址是指向目标租户分配的子网地址,目标子网地址可以为IPv4子网和/或IPv6子网。
可选的,可以确定虚拟私有云编号与编号配置范围的关联关系,进一步基于预设的规则,根据关联关系和租户子网掩码,从地址池中候选的子网地址中,进行筛选操作和基于租户子网掩码的组合操作,以得到目标租户对应的目标子网地址。
可选的,确定目标租户对应的目标子网地址之后,还可以再基于子网地址和网关地址的关系,确定目标子网地址对应的目标网关地址,执行后续的103操作时,将目标网关地址与目标子网地址一起配置到目标租户对应的物理网络设备,使得目标租户的虚拟机可以基于该目标网关地址分配IP(Internet Protocol,网际互连协议)。
S103、根据虚拟私有云编号和目标子网地址,对目标租户进行虚拟私有云和子网地址的分配,以进行租户的隔离管理。
其中,虚拟私有云的分配是指将目标租户对应的虚拟私有云编号配置在目标租户对应的物理网络设备上。子网地址的分配是指将目标租户对应的目标子网地址配置在目标租户对应的物理网络设备上。
可选的,可以针对目标租户,将其对应的虚拟私有云编号和目标子网地址同时配置在对应的物理网络设备上,云平台在后续与各目标租户交互,如向目标租户分配资源时,可以分别基于目标租户独立的虚拟私有云编号和目标子网地址进行资源分配,从而实现云平台对各个租户的隔离管理。
可选的,目标子网地址为IPv4子网和/或IPv6子网;相应的,对目标租户进行子网地址的分配,包括:根据预设的分配策略,对目标租户进行子网地址的分配;分配策略为只分配IPv4子网、只分配IPv6子网、先分配IPv4子网后分配IPv6子网、先分配IPv6子网后分配IPv4子网,或同时分配IPv4子网和IPv6子网。
其中,IPv4(Internet Protocol version 4,网际协议版本4)子网是采用无类别域间路由CIDR(Classless Inter-Domain Routing,CIDR),基于可变长子网掩码(VLSM)来进行任意长度的前缀(子网)分配。IPv4子网地址等同于IPv4子网前缀。IPv6子网前缀采用与IPv4子网地址类似的CIDR表示法声明。IPv6子网前缀等同于:IPv6前缀、IPv6子网地址。
可选的,确定目标子网之后,可以根据目标租户所支持的子网类型,以及预设的子网分配顺序,确定对目标租户进行子网地址分配的分配策略,以进行子网地址分配。
这样设置的好处在于:通过进一步细化目标子网包括IPv4子网和/或IPv6子网,从而可以根据目标子网包含的子网内容,在对目标租户进行子网分配时采用不同的分配方式,提高了子网分配的灵活性,有助于为目标租户分配到更优选的子网类型,以提高租户网络的交互效率。
需要说明的是,在租户网络中,云平台管理有多个租户,需要为每个租户分配对应的虚拟私有云、子网地址和网关地址,从而实现对租户的隔离管理,但相关技术中往往需要手动在物理网络设备上配置相应的VPC ID及与之对应的IPv4网关地址和IPv6路由地址,以打通整个VPC网络。分配效率和准确率低,且造成人员浪费,本发明的技术方案可以避免手动配置的过程,提高配置效率,降低错误概率。
本发明实施例的技术方案,响应于对目标租户的隔离请求,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号;根据虚拟私有云编号、编号配置范围、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址;根据虚拟私有云编号和目标子网地址,对目标租户进行虚拟私有云和子网地址的分配,以进行租户的隔离管理。可以通过编号配置范围、虚拟私有云的分配模式以及编号分配策略,快速准确地确定出需要为目标租户分配的虚拟私有云编号,进一步通过建立虚拟私有云编号和子网地址之间的关联关系,可以确定出虚拟私有云编号对应的子网地址,从而可以自动化地向各个租户分配虚拟私有云编号和子网地址,以更好地实现对各个租户的隔离管理。
可选的,在分别确定虚拟私有云编号和目标子网地址之前,还可以根据目标租户的数量,对当前可分配的虚拟私有云编号和目标子网地址情况进行分析,确定是否满足分配条件,从而在保证可分配情况下,执行后续确定虚拟私有云编号和目标子网地址并进行分配的过程。
具体的,确定目标租户对应的虚拟私有云编号之前,还包括:根据编号配置范围,确定可配置编号数量;根据地址池子网掩码长度和租户子网掩码长度,确定可配置子网数量,并根据可配置编号数量和可配置子网数量,确定可用子网数;在可用子网数大于或等于目标租户数量的情况下,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号。
其中,可配置编号数量是指可分配的候选虚拟私有云编号的数量,即VPC ID的数量。可配置子网数量可以包括类别为IPv4的可分配的子网个数,以及类别为IPv6的可分配的子网个数。
可选的,可以确定编号配置范围的起始点和结束点,进一步确定起始点和结束点的差值,最后将差值加一得到的数值,确定为可配置编号数量。
可选的,可以将可配置编号数量和可配置子网数量中的较小值,确定为最终的可用子网数,即根据可配置编号数量和可配置子网数量,确定可用子网数。
需要说明的是,若可用子网数大于或等于目标租户数量,则可以初步认为当前有足够的备选虚拟私有云编号和目标子网地址可以用于分配向目标租户,此时进一步进行确定虚拟私有云编号和目标子网地址并进行分配的过程,可以有效提高效率。
这样设置的好处在于:通过根据编码设置范围确定可配置编号数量,进一步将可配置编号数量与确定的可用子网数进行对比,可以提前对子网分配的情况进行评估,提高后续分配虚拟私有云和子网地址的效率。
实施例二
图2为本发明实施例二提供的一种租户隔离管理方法的流程图;本实施例在上述各技术方案的基础上,进行了优化改进。
进一步的,将“根据虚拟私有云编号、编号配置范围、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址”细化为“根据编号配置范围确定编号起始点,并确定编号起始点和虚拟私有云编号之间的偏差;根据所述偏差、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址”以完善确定目标子网地址的方式。
进一步的,将“根据所述偏差、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址”细化为“对地址池信息中的地址池起始地址进行二进制展开,确定地址池起始地址对应的起始二进制地址;根据地址池信息中的地址池子网掩码长度和租户子网掩码,从起始二进制值地址中筛选出候选二进制地址;根据候选二进制地址、偏差以及起始二进制地址,确定目标二进制地址,并根据目标二进制地址和租户子网掩码,确定目标租户对应的目标子网地址”以完善具体根据偏差、地址池信息和租户子网掩码确定目标子网地址的方式。
如图2所示,该方法包括以下具体步骤:
S201、响应于对目标租户的隔离请求,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号。
S202、根据编号配置范围确定编号起始点,并确定编号起始点和虚拟私有云编号之间的偏差。
其中,偏差是指编号配置范围起始点与虚拟私有云编号之间的差值。
示例性的,若编号配置范围为1000~2000,则可以确定编号起始点为1000,进一步的若虚拟私有云编号为1001,则可以确定偏差为1。
S203、根据偏差、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址。
可选的,根据偏差、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址,包括:对地址池信息中的地址池起始地址进行二进制展开,确定地址池起始地址对应的起始二进制地址;根据地址池信息中的地址池子网掩码长度和租户子网掩码,从起始二进制值地址中筛选出候选二进制地址;根据候选二进制地址、偏差以及起始二进制地址,确定目标二进制地址,并根据目标二进制地址和租户子网掩码,确定目标租户对应的目标子网地址。
其中,候选二进制地址是指起始二进制值地址中目标位置区域内对应的二进制地址,目标位置区域可以将地址池子网掩码长度加一对应的二进制位作为开始位,将租户子网掩码对应的二进制位作为结束位。
示例性的,针对目标子网地址为IPv4子网的情况,在编号配置范围为1000~2000,虚拟私有云编号为1001,偏差为1时,若地址池起始地址为172.16.0.0/12,则将其进行二进制展开,可以得到对应的起始二进制地址为10101100 00010000 00000000 00000000,进一步的,根据地址池子网掩码长度12,以及租户子网掩码24,可以确定候选二进制地址为10101100 00010000 00000000 00000000中的划线区域,进一步的,将偏差1和划线区域的候选二进制地址相加,可以得到0000 00000001,将相加得到的二进制地址与起始二进制地址中除目标位置区域外其他位置的二进制码进行组合,可以得到目标二进制地址1010110000010000 00000001 00000000,进一步的,将目标二进制地址转化为十进制表示,即172.16.1.0,最近将十进制表示的目标二进制地址和租户子网掩码24进行组合,即可得到最终的目标子网地址172.16.1.0/24。
示例性的,针对目标子网地址为IPv6子网的情况,若编号配置范围为1000~2000,虚拟私有云编号为1031,偏差D为31(十六进制0x1f),地址池起始地址为2001:db8:abcd::/52,将起始地址进行展开(65-128位未完全展开)后为:2001:db8:abcd:0000:0:0:0:0,进一步的,根据地址池子网掩码长度52,以及租户子网掩码60,可以取展开地址中下划线部分(即二进制52+1~60位),与偏差D也就是31进行十六进制相加后,得到2001:db8:abcd:01f0:0:0:0:0,再与租户前缀长度也就是租户子网掩码60组合,即得到最终的目标子网地址:2001:db8:abcd:01f0:0:0:0:0/60,还可记为2001:db8:abcd:1f0::/60。
这样设置的好处在于:通过对地址池起始地址对应的二进制地址进行筛选,可以准确确定出候选二进制地址,进一步根据候选二进制地址、偏差、租户子网掩码以及起始二进制地址确定目标子网地址,给出了一种确定子网地址的可实施方式,可以确定出准确的目标子网地址,有助于后续对目标租户进行子网分配,实现租户网络中租户的隔离。
S204、根据虚拟私有云编号和目标子网地址,对目标租户进行虚拟私有云和子网地址的分配,以进行租户的隔离管理。
本发明的技术方案,通过确定编号配置范围起始点与虚拟私有云编号之间的偏差,建立了虚拟私有云编号与子网地址之间的联系,给出了确定目标租户对应子网地址的一种可实施方式,有助于后续对目标租户进行子网分配,实现租户网络中租户的隔离。
实施例三
图3为本发明实施例三提供的一种租户隔离管理方法的流程图;本实施例在上述实施例的基础上,提供了一种优选实例。
如图3所示,该方法包括以下具体步骤:
S301、响应于对目标租户的隔离请求,根据编号配置范围,确定可配置编号数量。
S302、根据地址池子网掩码长度和租户子网掩码长度,确定可配置子网数量,并根据可配置编号数量和可配置子网数量,确定可用子网数。
S303、在可用子网数大于或等于目标租户数量的情况下,若虚拟私有云的分配模式为自动分配,则根据编号配置范围和编号分配策略,确定目标租户对应的虚拟私有云编号。
S304、根据编号配置范围确定编号起始点,并确定编号起始点和虚拟私有云编号之间的偏差。
S305、对地址池信息中的地址池起始地址进行二进制展开,确定地址池起始地址对应的起始二进制地址。
S306、根据地址池信息中的地址池子网掩码长度和租户子网掩码,从起始二进制值地址中筛选出候选二进制地址。
S307、根据候选二进制地址、偏差以及起始二进制地址,确定目标二进制地址,并根据目标二进制地址和租户子网掩码,确定目标租户对应的目标子网地址。
S308、根据虚拟私有云编号和目标子网地址,对目标租户进行虚拟私有云和子网地址的分配,以进行租户的隔离管理。
实施例四
图4为本发明实施例四提供的一种租户隔离管理装置的结构示意图;本发明实施例所提供的租户隔离管理装置可适用于响应于对目标租户的隔离请求,确定虚拟私有云编号的目标子网地址从而向目标租户分配,实现租户网络下个租户隔离管理的情况,该租户隔离管理装置可以采用硬件和/或软件的形式实现,该租户隔离管理装置可配置于电子设备中,如云平台中。如图4所示,该装置具体包括:编号确定模块401、地址确定模块402以及分配模块403。
其中,编号确定模块401,用于响应于对目标租户的隔离请求,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号;
地址确定模块402,用于根据虚拟私有云编号、编号配置范围、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址;
分配模块403,用于根据虚拟私有云编号和目标子网地址,对目标租户进行虚拟私有云和子网地址的分配,以进行租户的隔离管理。
本发明实施例的技术方案,响应于对目标租户的隔离请求,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号;根据虚拟私有云编号、编号配置范围、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址;根据虚拟私有云编号和目标子网地址,对目标租户进行虚拟私有云和子网地址的分配,以进行租户的隔离管理。可以通过编号配置范围、虚拟私有云的分配模式以及编号分配策略,快速准确地确定出需要为目标租户分配的虚拟私有云编号,进一步通过建立虚拟私有云编号和子网地址之间的关联关系,可以确定出虚拟私有云编号对应的子网地址,从而可以自动化地向各个租户分配虚拟私有云编号和子网地址,以更好地对各个租户的隔离管理。
进一步的,地址确定模块402可以包括:
偏差确定单元,用于根据编号配置范围确定编号起始点,并确定编号起始点和虚拟私有云编号之间的偏差;
地址确定单元,用于根据所述偏差、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址。
进一步的,地址确定单元具体用于:
对地址池信息中的地址池起始地址进行二进制展开,确定地址池起始地址对应的起始二进制地址;
根据地址池信息中的地址池子网掩码长度和租户子网掩码,从起始二进制值地址中筛选出候选二进制地址;
根据候选二进制地址、偏差以及起始二进制地址,确定目标二进制地址,并根据目标二进制地址和租户子网掩码,确定目标租户对应的目标子网地址。
进一步的,编号确定模块401可以包括:
编号确定单元:用于若虚拟私有云的分配模式为自动分配,则根据编号配置范围和编号分配策略,确定目标租户对应的虚拟私有云编号。
进一步的,编号确定单元具体用于:
根据编号分配策略,从编号配置范围对应的起始点向结束点进行查找,或从编号配置范围对应的结束点向起始点进行查找,并将查找得到的未分配编号,确定为目标租户对应的虚拟私有云编号;或
根据编号分配策略,在编号配置范围内进行随机选取,以确定目标租户对应的虚拟私有云编号。
进一步的,所述目标子网地址为IPv4子网和/或IPv6子网;相应的,分配模块403具体用于:
根据预设的分配策略,对目标租户进行子网地址的分配;所述分配策略为只分配IPv4子网、只分配IPv6子网、先分配IPv4子网后分配IPv6子网、先分配IPv6子网后分配IPv4子网,或同时分配IPv4子网和IPv6子网。
进一步的,上述装置还用于:
根据编号配置范围,确定可配置编号数量;
根据地址池子网掩码长度和租户子网掩码长度,确定可配置子网数量,并根据可配置编号数量和可配置子网数量,确定可用子网数;
在可用子网数大于或等于目标租户数量的情况下,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号。
实施例五
图5为本发明实施例五提供的电子设备的结构示意图。图5示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图5所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如租户隔离管理方法。
在一些实施例中,租户隔离管理方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的租户隔离管理方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行租户隔离管理方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种租户隔离管理方法,其特征在于,所述方法包括:
响应于对目标租户的隔离请求,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号;
根据虚拟私有云编号、编号配置范围、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址;
根据虚拟私有云编号和目标子网地址,对目标租户进行虚拟私有云和子网地址的分配,以进行租户的隔离管理。
2.根据权利要求1所述的方法,其特征在于,根据虚拟私有云编号、编号配置范围、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址,包括:
根据编号配置范围确定编号起始点,并确定编号起始点和虚拟私有云编号之间的偏差;
根据所述偏差、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址。
3.根据权利要求2所述的方法,其特征在于,根据所述偏差、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址,包括:
对地址池信息中的地址池起始地址进行二进制展开,确定地址池起始地址对应的起始二进制地址;
根据地址池信息中的地址池子网掩码长度和租户子网掩码,从起始二进制值地址中筛选出候选二进制地址;
根据候选二进制地址、偏差以及起始二进制地址,确定目标二进制地址,并根据目标二进制地址和租户子网掩码,确定目标租户对应的目标子网地址。
4.根据权利要求1所述的方法,其特征在于,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号,包括:
若虚拟私有云的分配模式为自动分配,则根据编号配置范围和编号分配策略,确定目标租户对应的虚拟私有云编号。
5.根据权利要求4所述的方法,其特征在于,根据编号配置范围和编号分配策略,确定目标租户对应的虚拟私有云编号,包括:
根据编号分配策略,从编号配置范围对应的起始点向结束点进行查找,或从编号配置范围对应的结束点向起始点进行查找,并将查找得到的未分配编号,确定为目标租户对应的虚拟私有云编号;或
根据编号分配策略,在编号配置范围内进行随机选取,以确定目标租户对应的虚拟私有云编号。
6.根据权利要求1所述的方法,其特征在于,其中,所述目标子网地址为IPv4子网和/或IPv6子网;
相应的,对目标租户进行子网地址的分配,包括:
根据预设的分配策略,对目标租户进行子网地址的分配;所述分配策略为只分配IPv4子网、只分配IPv6子网、先分配IPv4子网后分配IPv6子网、先分配IPv6子网后分配IPv4子网,或同时分配IPv4子网和IPv6子网。
7.根据权利要求1所述的方法,其特征在于,确定目标租户对应的虚拟私有云编号之前,还包括:
根据编号配置范围,确定可配置编号数量;
根据地址池子网掩码长度和租户子网掩码长度,确定可配置子网数量,并根据可配置编号数量和可配置子网数量,确定可用子网数;
在可用子网数大于或等于目标租户数量的情况下,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号。
8.一种租户隔离管理装置,其特征在于,包括:
编号确定模块,用于响应于对目标租户的隔离请求,根据编号配置范围、虚拟私有云的分配模式以及编号分配策略,确定目标租户对应的虚拟私有云编号;
地址确定模块,用于根据虚拟私有云编号、编号配置范围、地址池信息和租户子网掩码,确定目标租户对应的目标子网地址;
分配模块,用于根据虚拟私有云编号和目标子网地址,对目标租户进行虚拟私有云和子网地址的分配,以进行租户的隔离管理。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的租户隔离管理方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的租户隔离管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311251700.3A CN117176720A (zh) | 2023-09-26 | 2023-09-26 | 一种租户隔离管理方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311251700.3A CN117176720A (zh) | 2023-09-26 | 2023-09-26 | 一种租户隔离管理方法、装置、设备以及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117176720A true CN117176720A (zh) | 2023-12-05 |
Family
ID=88942999
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311251700.3A Pending CN117176720A (zh) | 2023-09-26 | 2023-09-26 | 一种租户隔离管理方法、装置、设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117176720A (zh) |
-
2023
- 2023-09-26 CN CN202311251700.3A patent/CN117176720A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106533890B (zh) | 一种报文处理方法、装置及系统 | |
US11012408B2 (en) | Configuring virtual machine instances using one-to-one mappings | |
CN109981493B (zh) | 一种用于配置虚拟机网络的方法和装置 | |
CN106031116A (zh) | 一种ns与vnf的关联方法、装置及系统 | |
CN104221331B (zh) | 用于以太网交换机的没有查找表的第2层分组交换 | |
CN110213391B (zh) | 一种网络协议地址的配置方法及装置 | |
CN110808857B (zh) | 实现Kubernetes集群的网络互通方法、装置、设备以及存储介质 | |
US9009782B2 (en) | Steering traffic among multiple network services using a centralized dispatcher | |
CN113794788A (zh) | 网关导流方法、系统、装置、设备、存储介质及产品 | |
CN114253979A (zh) | 一种报文处理方法、装置及电子设备 | |
US10237233B2 (en) | Allocating identifiers with minimal fragmentation | |
CN114697391A (zh) | 数据处理方法、装置、设备以及存储介质 | |
CN110391987B (zh) | 从运营商边缘设备集合中选择指定转发器的方法、设备及计算机可读介质 | |
CN114172753B (zh) | 地址预留的方法、网络设备和系统 | |
CN117176720A (zh) | 一种租户隔离管理方法、装置、设备以及存储介质 | |
CN114157633B (zh) | 一种报文转发方法及装置 | |
CN116418689A (zh) | 一种请求报文响应方法、装置、电子设备和存储介质 | |
CN114070889B (zh) | 配置方法、流量转发方法、设备、存储介质及程序产品 | |
CN113747423B (zh) | 云手机状态同步方法、装置、设备、存储介质及程序产品 | |
CN116016448A (zh) | 一种服务网络访问方法、装置、设备及存储介质 | |
CN115225634A (zh) | 虚拟网络下的数据转发方法、装置及计算机程序产品 | |
CN113726881A (zh) | 通信连接建立方法、相关装置及计算机程序产品 | |
RU2675050C1 (ru) | Способ и устройство выбора адреса управления доступом к среде mac | |
CN116599838A (zh) | 变电站设备信息配置管理方法、装置、设备及存储介质 | |
CN112968966B (zh) | 调度方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Country or region after: China Address after: 100193 5 floor, 36 building, No. 8 Northeast Road, Haidian District, Beijing. Applicant after: Shuguang Cloud Computing Group Co.,Ltd. Address before: 100193 5 floor, 36 building, No. 8 Northeast Road, Haidian District, Beijing. Applicant before: Shuguang Cloud Computing Group Co.,Ltd. Country or region before: China |