RU2742542C1 - Способ, устройство и оборудование для передачи данных и считываемый носитель данных - Google Patents

Способ, устройство и оборудование для передачи данных и считываемый носитель данных Download PDF

Info

Publication number
RU2742542C1
RU2742542C1 RU2020118340A RU2020118340A RU2742542C1 RU 2742542 C1 RU2742542 C1 RU 2742542C1 RU 2020118340 A RU2020118340 A RU 2020118340A RU 2020118340 A RU2020118340 A RU 2020118340A RU 2742542 C1 RU2742542 C1 RU 2742542C1
Authority
RU
Russia
Prior art keywords
gateway
data
clusters
cloud
target
Prior art date
Application number
RU2020118340A
Other languages
English (en)
Inventor
Цинюн ЦЮ
Original Assignee
Бейджин Кингсофт Клауд Нетворк Текнолоджи Ко., Лтд.
Бейджин Кингсофт Клауд Текнолоджи Ко., Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Бейджин Кингсофт Клауд Нетворк Текнолоджи Ко., Лтд., Бейджин Кингсофт Клауд Текнолоджи Ко., Лтд. filed Critical Бейджин Кингсофт Клауд Нетворк Текнолоджи Ко., Лтд.
Application granted granted Critical
Publication of RU2742542C1 publication Critical patent/RU2742542C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/66Layer 2 routing, e.g. in Ethernet based MAN's
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1014Server selection for load balancing based on the content of a request
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к области передачи данных и облачных вычислений. Технический результат состоит в повышении безопасности передачи данных. Для этого предусмотрены этапы, согласно которым: принимают, посредством переключателя интрасети, данные из публичной сети и определяют информацию о приемнике для данных в соответствии с информацией, содержащейся в принятых данных, определяют целевой кластер шлюзов в соответствии с предварительно заданным отношением привязки между приемниками данных и кластерами шлюзов; определяют целевой шлюз из целевого кластера шлюзов в соответствии с предварительно заданным правилом; отправляют принятые данные в целевой шлюз для того, чтобы обеспечить пересылку целевым шлюзом принятых данных в соответствующий приемник данных. В способе согласно настоящему изобретению, за счет привязки приемников данных к кластерам шлюзов заранее, данные из публичной сети могут пересылаться в приемник данных посредством целевого шлюза в соответствующем целевом кластере шлюзов. 8 н. и 12 з.п. ф-лы, 6 ил.

Description

Настоящая заявка испрашивает приоритет патентной заявки Китая №201711153175.6, поданной в Национальное управление по интеллектуальной собственности Китая 17 ноября 2017 г., под названием «Способ, устройство и оборудование для передачи данных и считываемый носитель данных», содержание которой в полном объеме включено в настоящий документ путем ссылки.
Область техники
Настоящее изобретение относится к области облачных вычислений и, в частности, к способу, аппарату и устройству для передачи данных, а также к считываемому носителю данных.
Уровень техники
Облачные вычисления представляют собой гибкий способ организации и выделения ресурсов для информационной технологии (именуемой для краткости «IT» (от англ. Information Technology)), который позволяет на гибкой основе распределять значительные ресурсы сервера и быстро реагировать на параллельные запросы или задачи от множества пользователей. Многие крупные международные компании уже начали переносить свой бизнес на платформы облачных вычислений. До сих пор многие известные компании успешно создают соответствующие центры облачных вычислений в своих собственных центрах обработки и хранения данных и используют их в качестве главных стратегий развития в будущем. Растущие интернет-компании рассматривают возможность перехода на публичные «облака», например, предоставляемые такими компаниями, как Amazon, Dropbox и т.д., для ведения своего собственного бизнеса. Такие преимущества, как высокий уровень доступности, легкая расширяемость и низкая стоимость услуг и т.д., облачных вычислений способствуют их быстрому распространению среди множества IT-предприятий. Однако, в условиях стремительного развития облачных вычислений, наряду с развитием мобильного Интернета и больших данных, как следствие, к сетям центров обработки данных стали предъявлять повышенные требования.
Для поставщиков услуг вычислений в публичном или частном «облаке», шлюзы для передачи данных совместно используются всеми пользователями сети, то есть, данные от всех пользователей могут передаваться через каждый шлюз. Если какие-то незаконные пользователи умышленно предпримут атаки с целью нарушения функции пересылки данных шлюза, то вероятнее всего, это вызовет проблемы, например, утечку данных или отказ при передаче данных и т.д.
Раскрытие изобретения
В свете вышесказанного, задача настоящего изобретения состоит в том, чтобы предложить способ, аппарат и устройство для передачи данных, а также считываемый носитель данных, для повышения безопасности передачи данных.
Согласно первому аспекту в одном из вариантов осуществления настоящего изобретения предложен способ передачи данных, применимый к переключателю интрасети (англ. Intranet) в системе сети облачных вычислений. Система содержит переключатель интрасети, по меньшей мере два кластера шлюзов и множество приемников данных, имеющих отношение привязки с по меньшей мере двумя кластерами шлюзов, причем каждый из кластеров шлюзов содержит множество шлюзов. Способ включает в себя следующие этапы: прием данных из публичной сети и определение информации о приемнике для данных в соответствии с информацией, содержащейся в принятых данных; определение целевого кластера шлюзов, соответствующего указанной информации о приемнике, согласно информации о приемнике и предварительно заданному отношению привязки между приемниками данных и кластерами шлюзов; определение целевого шлюза из целевого кластера шлюзов в соответствии с предварительно заданным правилом; и отправку принятых данных в целевой шлюз с тем, чтобы обеспечить пересылку целевым шлюзом принятых данных в приемник данных, соответствующий информации о приемнике.
Согласно второму аспекту в одном из вариантов осуществления настоящего изобретения предложен способ передачи данных, применимый к облачному хосту в системе сети облачных вычислений. Система содержит переключатель интрасети, по меньшей мере два кластера шлюзов и множество облачных хостов, имеющих отношение привязки с по меньшей мере двумя кластерами шлюзов, причем каждый из кластеров шлюзов содержит множество шлюзов. Способ включает в себя следующие этапы: определение, посредством облачного хоста в качестве устройства отправки данных, целевого шлюза в соответствии с предварительно заданным отношением привязки между устройствами отправки данных и кластерами шлюзов, причем целевой шлюз представляет собой шлюз в кластере шлюзов, привязанном к облачному хосту; и отправку, посредством облачного хоста, данных в целевой шлюз с тем, чтобы обеспечить отправку целевым шлюзом данных в соответствующий переключатель интрасети.
Согласно третьему аспекту в одном из вариантов осуществления настоящего изобретения предложен аппарат передачи данных, применимый к переключателю интрасети в системе сети облачных вычислений. Система содержит переключатель интрасети, по меньшей мере два кластера шлюзов и множество приемников данных, имеющих отношение привязки с по меньшей мере двумя кластерами шлюзов, причем каждый из кластеров шлюзов имеет множество шлюзов. Аппарат содержит: модуль приема данных, выполненный с возможностью приема данных из публичной сети и определения информации о приемнике для данных в соответствии с информацией, содержащейся в принятых данных; модуль определения целевого кластера шлюзов, выполненный с возможностью определения целевого кластера шлюзов, соответствующего информации о приемнике, согласно информации о приемнике и предварительно заданному отношению привязки между приемниками данных и кластерами шлюзов; модуль определения целевого шлюза, выполненный с возможностью определения целевого шлюза из целевого кластера шлюзов согласно предварительно заданному правилу; и модуль пересылки данных, выполненный с возможностью отправки принятых данных в целевой шлюз с тем, чтобы обеспечить пересылку целевым шлюзом принятых данных в приемник данных, соответствующий информации о приемнике.
Согласно четвертому аспекту в одном из вариантов осуществления настоящего изобретения предложен аппарат передачи данных, применимый к облачному хосту в системе сети облачных вычислений. Система содержит переключатель интрасети, по меньшей мере два кластера шлюзов и множество облачных хостов, имеющих отношение привязки с по меньшей мере двумя кластерами шлюзов, причем каждый из кластеров шлюзов имеет множество шлюзов. Аппарат содержит: модуль определения шлюза, выполненный с возможностью определения целевого шлюза согласно предварительно заданному отношению привязки между устройствами отправки данных и кластерами шлюзов, причем целевой шлюз представляет собой шлюз в кластере шлюзов, привязанном к облачному хосту, и модуль отправки данных, выполненный с возможностью отправки данных в целевой шлюз с тем, чтобы обеспечить отправку целевым шлюзом данных в соответствующий переключатель интрасети.
Согласно пятому аспекту в одном из вариантов осуществления настоящего изобретения предложен считываемый носитель данных для хранения множества инструкций, причем множество инструкций выполняются на компьютере для того, чтобы обеспечить осуществление компьютером способа передачи данных в соответствии с первым аспектом.
Согласно шестому аспекту в одном из вариантов осуществления настоящего изобретения предложен считываемый носитель данных для хранения множества инструкций, причем множество инструкций выполняются на компьютере для того, чтобы обеспечить осуществление компьютером способа передачи данных в соответствии со вторым аспектом.
Согласно седьмому аспекту в одном из вариантов осуществления настоящего изобретения предложено устройство передачи данных. Устройство содержит память и процессор, причем память выполнена с возможностью хранения исполняемых программных кодов, а процессор выполнен с возможностью считывания исполняемых программных кодов, хранящихся в памяти, для осуществления способа передачи данных согласно первому аспекту.
Согласно восьмому аспекту в одном из вариантов осуществления настоящего изобретения предложено устройство передачи данных. Устройство содержит память и процессор, причем память выполнена с возможностью хранения исполняемых программных кодов, а процессор выполнен с возможностью считывания исполняемых программных кодов, хранящихся в памяти, для осуществления способа передачи данных в соответствии со вторым аспектом.
Согласно девятому аспекту предложен компьютерный программный продукт, содержащий инструкции. Указанный продукт выполняется на компьютере для того, чтобы обеспечить осуществление компьютером способа передачи данных в соответствии с первым аспектом.
Согласно десятому аспекту предложен компьютерный программный продукт, содержащий инструкции. Указанный продукт выполняется на компьютере для того, чтобы обеспечить осуществление компьютером способа передачи данных в соответствии со вторым аспектом.
Согласно одиннадцатому аспекту предложена компьютерная программа. Указанная программа выполняется на компьютере для того, чтобы обеспечить осуществление компьютером способа передачи данных в соответствии с первым аспектом.
Согласно двенадцатому аспекту предложена компьютерная программа. Указанная программа выполняется на компьютере для того, чтобы обеспечить осуществление компьютером способа передачи данных согласно второму аспекту.
В различных вариантах осуществления настоящего изобретения предложены способ, аппарат и устройство для передачи данных, а также считываемый носитель данных. Сначала переключатель интрасети принимает данные из публичной сети и определяет информацию о приемнике для данных согласно информации, содержащейся в принятых данных, определяет целевой кластер шлюзов, соответствующий информации о приемнике, согласно информации о приемнике и предварительно заданному отношению привязки между приемниками данных и кластерами шлюзов; затем определяет целевой шлюз из целевого кластера шлюзов в соответствии с предварительно заданным правилом; и затем отправляет принятые данные в целевой шлюз для того, чтобы обеспечить пересылку целевым шлюзом принятых данных в приемник данных, соответствующий информации о приемнике. В способе согласно настоящему изобретению, за счет привязки облачных хостов и кластеров шлюзов заранее, данные из публичной сети могут пересылаться в приемник данных (например, облачный хост) через целевой шлюз в соответствующем целевом кластере шлюзов. Таким образом, кластеры шлюзов с различными уровнями безопасности могут быть заданы заранее в соответствии с требованиями пользователей, при этом пользовательские данные с различными требованиями к безопасности пересылаются через различные кластеры шлюзов, что эффективным образом повышает безопасность передачи данных.
Другие признаки и преимущества настоящего изобретения будут пояснены в нижеследующем описании и частично станут очевидными из описания, или станут понятными в ходе реализации различных вариантов осуществления настоящего изобретения. Задачи и другие преимущества настоящего изобретения могут быть обеспечены и получены посредством структур, конкретным образом представленных в описании, формуле изобретения и на чертежах.
Краткое описание чертежей
Для более четкого описания технического решения в различных вариантах осуществления настоящего изобретения, далее будут подробно раскрыты чертежи, необходимые для иллюстрации этих вариантов осуществления. Следует понимать, что описанные ниже чертежи относятся только к некоторым из вариантов осуществления настоящего изобретения, что не следует понимать как ограничение объема настоящего изобретения, причем специалист в данной области техники может также получить другие соответствующие чертежи на основании представленных чертежей, не прилагая каких-либо творческих усилий.
На фиг. 1 представлена структурная схема системы сети облачных вычислений в соответствии с одним из вариантов осуществления настоящего изобретения.
На фиг. 2 представлена блок-схема способа передачи данных в соответствии с первым вариантом осуществления настоящего изобретения.
На фиг. 3 представлена блок-схема способа передачи данных в соответствии со вторым вариантом осуществления настоящего изобретения.
На фиг. 4 показана структурная функциональная схема аппарата передачи данных согласно третьему варианту осуществления настоящего изобретения.
На фиг. 5 показана структурная функциональная схема аппарата передачи данных в соответствии с четвертым вариантом осуществления настоящего изобретения.
На фиг. 6 показана структурная схема переключателя интрасети или хост-машины согласно одному из вариантов осуществления настоящего изобретения.
Осуществление изобретения
Техническое решение в различных вариантах осуществления настоящего изобретения будет раскрыто четко и в полном объеме ниже со ссылкой на чертежи, демонстрирующие различные варианты осуществления настоящего изобретения. Очевидно, что раскрытые здесь варианты осуществления являются лишь частью, а не всеми возможными вариантами осуществления настоящего изобретения. Компоненты вариантов осуществления настоящего изобретения, которые, в целом, раскрыты и проиллюстрированы на представленных здесь чертежах, могут быть скомпонованы и разработаны в многочисленных разнообразных конфигурациях. Таким образом, нижеследующее подробное описание вариантов осуществления настоящего изобретения, проиллюстрированных на чертежах, не предназначено для ограничения объема заявленного изобретения, но лишь отражает выбранные варианты осуществления настоящего изобретения. Все другие варианты осуществления, полученные специалистами в данной области техники и основанные на предложенных вариантах осуществления, без каких-либо творческих усилий, подпадают под объем защиты настоящего изобретения.
Следует отметить, что схожие номера позиций и буквенные обозначения относятся к одинаковым элементам на прилагаемых чертежах. Таким образом, если элемент задан на одном из чертежей, данный элемент не требует дополнительного определения и пояснения на последующих чертежах. В то же время, в описании настоящего изобретения, такие понятия, как «первый», «второй» и т.д., используются лишь для различения одного элемента от другого элемента, что не следует толковать, как указывающее или устанавливающее их относительную значимость.
На фиг. 1 показана структурная схема системы 100 сети облачных вычислений согласно одному из вариантов осуществления настоящего изобретения. Система содержит переключатель интрасети, по меньшей мере два кластера шлюзов и множество приемников данных, имеющих отношение привязки с по меньшей мере двумя кластерами шлюзов. Кластер шлюзов образован множеством шлюзов, принадлежащих к данному кластеру шлюзов.
Переключатель интрасети также именуется ядром интрасети, которое представляет собой вход и выход в системе 100 сети облачных вычислений для передачи данных между приемником данных (например, облачным хостом) и публичной сетью.
Шлюз представляет собой физический сервер. На практике, множество шлюзов может быть объединено в кластер шлюзов при необходимости. Один виртуальный IP адрес (именуемый для краткости «vip») присваивается шлюзам в каждом кластере шлюзов, то есть, каждый шлюз в кластере шлюзов соответствует одному и тому же vip, причем каждый шлюз в кластере шлюзов имеет свой собственный IP адрес, отличный от упомянутого выше vip.
Облачный хост представляет собой виртуальную машину, запущенную на хост-машине (физической машине), причем на хост-машине может быть запущено множество облачных хостов.
Следует понимать, что структура, показанная на фиг. 1, является исключительно схематичной. Все устройства напрямую не соединены физически, и, соответственно, во время передачи по сети данные будут проходить через другие устройства. Например, шлюз и хост-машина могут быть соединены между собой посредством переключателя. Система 100 сети облачных вычислений может дополнительно содержать больше или меньше компонентов по сравнению с теми, что показаны на фиг. 1, или иметь конфигурацию, отличную от той, что представлена на фиг. 1.
Первый вариант осуществления
На фиг. 2 показана блок-схема способа передачи данных согласно первому варианту осуществления настоящего изобретения. Способ применяется в отношении переключателя интрасети упомянутой выше системы 100 сети облачных вычислений. Способ включает следующие этапы.
Этап S110: принимают данные из публичной сети и определяют информацию о приемнике для данных в соответствии с информацией, содержащейся в принятых данных.
При отправке, посредством публичной сети, данных в приемник данных интрасети в форме пакетов данных, данные из публичной сети сначала пересылаются через переключатель интрасети. Пакет данных содержит IP адрес устройства отправки данных и IP адрес приемника данных, а также содержит адрес управления доступом к среде (именуемого для краткости «МАС» (от англ. Media Access Control)) устройства отправки данных и MAC адрес приемника данных. Переключатель интрасети может пересылать данные в соответствии с MAC адресом приемника данных. После приема данных, переключатель интрасети осуществляет поиск сохраненной информации о таблице потоков, под которой следует понимать маршрутную информацию для передачи данных. Таким образом, MAC адрес и IP адрес приемника данных получают в ходе поиска информации о таблице потоков, после чего данные пересылаются в приемник данных.
Следует отметить, что приемник данных в первом варианте осуществления настоящего изобретения может относиться к облачному хосту в интрасети.
Этап S120: определяют целевой кластер шлюзов, соответствующий информации о приемнике, согласно информации о приемнике и предварительно заданному отношению привязки между приемниками данных и кластерами шлюзов.
После приема данных, переключатель интрасети обнаруживает, посредством информации о таблице потоков, что данные также необходимо отправить в соответствующий шлюз для пересылки, с целью отправки данных в приемник данных (например, облачный хост).
В публичном или частном «облаке», проблема низкой защиты данных возникает в результате совместного использования шлюзов всеми пользователями. Например, некоторые пользователи с высоким уровнем риска, которые могут иметь пакеты с неизвестными отклонениями из-за их различных бланков, некоторые отдельные пользователи, пользователи, занесенные в черный список, и т.д. умышленно предпринимают атаки для выведения шлюза из строя, что может затронуть большинство других пользователей. Следовательно, для того чтобы исключить помехи, создаваемые данными от других пользователей, на публичном шлюзе и повысить безопасность передачи данных, все шлюзы заранее делят на различные кластеры шлюзов, то есть, кластеры шлюзов с различными уровнями безопасности задаются заранее, благодаря чему пользовательские данные с различными требованиями к безопасности могут пересылаться через конкретный кластер шлюзов для обеспечения безопасности при передаче пользовательских данных. В зависимости от фактических требований, отношение привязки между облачными хостами и кластерами шлюзов может задаваться в соответствии с облачными хостами, и отношение привязки между пользователями и различными кластерами шлюзов может задаваться в соответствии с пользователями. На фиг. 1 представлен пример задания отношения привязки между пользователями и кластерами шлюзов в соответствии с пользователями. Например, пользователь 1 представляет собой хост-машину 1, а пользователь 2 представляет собой хост-машину 2. Все облачные хосты в хост-машине 1 привязаны к кластеру 1 шлюзов, а все облачные хосты в хост-машине 2 привязаны к кластеру 2 шлюзов. Данные от пользователя 1 передаются посредством соответствующего шлюза в кластере 1 шлюзов. Данные от пользователя 2 передаются посредством соответствующего шлюза в кластере 2 шлюзов. Очевидно, что и пользователь 1, и пользователь 2 могут быть привязаны к одному кластеру шлюзов, например, кластеру 1 шлюзов, в результате чего, данные от пользователя 1 и пользователя 2 передаются посредством соответствующего шлюза в кластере 1 шлюзов. Также рассмотрен пример задания отношения привязки между облачными хостами и кластерами шлюзов согласно облачным хостам. Например, все облачные хосты в хост-машине 1 привязаны к кластеру 1 шлюзов, или некоторые из облачных хостов в хост-машине 1 привязаны к кластеру 1 шлюзов, а оставшиеся облачные хосты привязаны к кластеру 2 шлюзов. Следует отметить, что один облачный хост привязан к одному кластеру шлюзов, то есть, передача данных между этим облачным хостом и публичной сетью осуществляется через соответствующий шлюз в этом кластере шлюзов.
Следует отметить, что в случае, когда отношение привязки между пользователями и кластерами шлюзов задается в соответствии с пользователями и если пользователь сначала привязывается к целевому кластеру шлюзов, для предотвращения неисправности или перегрузки шлюзов целевого кластера шлюзов во время работы, пользователь может осуществить передачу данных через резервный кластер шлюзов. Когда шлюзы целевого кластера шлюзов неисправны или перегружены, системный администратор может изменить отношение привязки между пользователями и кластерами шлюзов для того, чтобы обеспечить привязку этого пользователя к резервному кластеру шлюзов, благодаря чему данные могут пересылаться от целевого кластера шлюзов к резервному кластеру шлюзов для передачи.
В одном из вариантов реализации, для привязки облачных хостов пользователей к их соответствующим кластерам шлюзов заранее, система также содержит сервер (не показан на фиг. 1), оснащенный контроллером программно-определяемой сети (именуемой для краткости «SDN» (от англ. Software Defined Network)). SDN контроллер в сервере привязывает приемники данных (облачные хосты) к кластерам шлюзов, согласованным с ними заранее в соответствии с требованиями пользователей, для получения предварительно заданного отношения привязки между приемниками данных (облачными хостами) и кластерами шлюзов, и далее отправляет информацию об указанном отношении привязки в переключатель интрасети.
Если пользователю 1 требуется привязать облачный хост 1-i к кластеру 1 шлюзов, облачный хост 1-i привязывается к шлюзу 1-i в кластере 1 шлюзов.
SDN представляет собой новую инновационную архитектуру сети для сети Emulex и реализацию виртуализации сети. Ее базовая технология, OpenFlow, воплощает гибкое управление сетевым трафиком путем разделения плоскости управления и плоскости данных сетевого устройства, что делает сеть более эффективной наподобие магистрали.
Архитектура SDN делится на прикладной уровень, управляющий уровень (SDN контроллер) и передающий уровень (уровень инфраструктуры), который пересылает и управляет данными на основании протокола OpenFlow. Данный протокол обеспечивает стандартный интерфейс для обеспечения возможности связи SDN контроллера и сетевого переключающего устройства (переключателя интрасети, шлюза и т.д.) друг с другом.
Программный модуль передающего уровня SDN и программный модуль управляющего уровня SDN размещены в шлюзе, причем шлюз передает потоки данных в направлении «север-юг» SDN сети (вертикальная связь или внешняя сетевая связь, или связь между публичной сетью и хостом в интрасети). Кроме того, предусмотрены главные компоненты группы продуктов виртуализации сети (например, eip, nat, sIb). Программный модуль передающего уровня SDN и программный модуль управляющего уровня SDN также размещены в хост-машине. Программный модуль передающего уровня SDN и программный модуль управляющего уровня SDN контролируются сервером, оснащенным SDN контроллером.
Процесс привязки между облачным хостом и кластером шлюзов контролируется и реализуется посредством SDN контроллера. Для иллюстрации представлен один из конкретных примеров. В качестве примера взят публичный облачный продукт, причем пользователь приобретает облачный хост и привязывает облачный хост к eip. Eip представляет собой эластичный IP облачного хоста. Под eip можно понимать IP адрес облачного хоста. Программные модули управляющего уровня SDN в шлюзе и хост-машине контролируются посредством SDN контроллера для создания соответствующей конфигурационной информации согласно отношению привязки между облачным хостом и eip, причем программные модули передающего уровня SDN в шлюзе и хост-машине осуществляют соответствующие процессы согласно конфигурационной информации.
Если пользователю необходимо привязать его/ее облачный хост (приемник данных) к кластеру шлюзов, SDN контроллер отправляет информацию об отношении привязки в переключатель интрасети. Например, eip облачного хоста пользователя имеет вид 120.1.1.1. Если пользователь хочет привязать облачный хост к кластеру шлюзов, чей vip имеет вид 10.1.1.1, пользователь может отправить одну конфигурационную инструкцию в SDN контроллер через управляющий интерфейс терминала. Контроллер SDN автоматически конфигурирует одну часть информации отображения для привязки облачного хоста к кластеру шлюзов, например 120.1.1.1 -> 10.1.1.1, и далее отправляет конфигурационную информацию в переключатель интрасети. Все шлюзы этого кластера шлюзов также привязываются к этому облачному хосту. Если IP шлюза имеет вид 10.124.6.2, то SDN контроллер автоматически конфигурирует одну часть информации отображения согласно инструкции, отправленной пользователем через терминал для привязки облачного хоста к этому шлюзу, например, 120.1.1.1 -> 10.1.1.1 -> 10.124.6.2. Облачный хост может быть привязан к множеству шлюзов, причем каждый шлюз также может быть привязан к множеству облачных хостов. Таким образом, SDN контроллер реализует привязку облачного хоста и соответствующего кластера шлюзов. Кроме того, SDN контроллер автоматически отправляет конфигурационную информацию в переключатель интрасети.
В другом примере, предусмотрено два шлюза, х1 (10.124.6.2) и х2 (10.124.6.3), причем их соответствующий vip имеет вид: 10.60.0.1. Плавающий ip (также именуемый eip, эластичный ip, который может быть привязан/не привязан к какому-либо облачному хосту) сетевого сегмента, приобретенный поставщиком услуг вычислений в публичном «облаке», имеет вид 120.1.0.0/16. Пользователь отправляет одну инструкцию в SDN контроллер через релевантный интерфейс оконечного устройства. SDN контроллер выдает 120.1.0.0/16 в х1 и х2, причем конфигурационная инструкция имеет вид «inet 120.1.0.0/16 scope global dummy0». Программные модули управляющего уровня SDN в шлюзах х1 и х2 будут автоматически предоставлять соответствующую маршрутную информацию в переключатель интрасети.
Переключатель интрасети может получить следующую информацию:
10.60.0.1
10.124.6.2 : 120.1.0.0/16
10.124.6.3 : 120.1.0.0/16.
Таким образом, кластер шлюзов автоматически привязывается к облачному хосту, а облачный хост автоматически привязывается к шлюзу в кластере шлюзов, через SDN контроллер.
Этап S130: определяют целевой шлюз из целевого кластера шлюзов в соответствии с предварительно заданным правилом.
В процессе приема данных посредством приемника данных (облачного хоста), если переключатель интрасети, после приема данных, обнаруживает, что eip приемника данных (облачного хоста) имеет вид 120.1.1.1 в соответствии с конфигурационной информацией, переключатель интрасети отправляет данные в соответствующий шлюз в кластере шлюзов (чей eip имеет вид 10.1.1.1), привязанном к облачному хосту, для пересылки данных. Кластер шлюзов используется в качестве целевого кластера шлюзов, и целевой шлюз определяется из целевого кластера шлюзов для пересылки данных. В данном варианте осуществления, предварительно заданное правило относится к предварительно заданному правилу совпадения наиболее длинного префикса бесклассовой междоменной маршрутизации (CIDR, от англ. Classless Inter Domain Routing), которое предназначено для определения целевого шлюза. Очевидно, что также могут быть заданы другие правила. Например, любой шлюз в кластере шлюзов произвольно выбирается для пересылки данных.
CIDR представляет собой способ создания дополнительных адресов в интернете. Эти адреса предоставляются поставщику услуг (ISP) и далее присваиваются пользователям посредством ISR. CIDR обеспечивает централизованную маршрутизацию, что позволяет одному IP адресу предоставлять тысячи IP адресов, обслуживаемых главным магистральным провайдером, что снижает нагрузку на интернет-маршрутизаторы.
Правило совпадения наиболее длинного префикса CIDR относится к совпадению адресов с наиболее длинным префиксом IP, то есть, совпадение номеров сети. Например, в кластере шлюзов имеется два шлюза. IP шлюза 1 имеет вид 120.10.0.0/16, IP шлюза 2 имеет вид 120.10.20.0/24, a eip облачного хоста, привязанного к кластеру шлюзов, имеет вид 120.10.20.3/24. Номер сети шлюза 2 совпадает с номером сети облачного хоста, в результате чего данные отправляются предпочтительно в шлюз 2 для пересылки данных. В случае если шлюз 2 недоступен, для пересылки данных выбирается шлюз 1.
Очевидно, что при определении целевого шлюза посредством правила совпадения наиболее длинного префикса CIDR, переключатель интрасети может осуществить поиск целевого шлюза посредством соответствующих алгоритмов, например, алгоритма совпадения наиболее длинного префикса на основании хэш-таблиц, способа сегментированных поисковых таблиц IP на основании совпадения наиболее длинного префикса, и алгоритма поиска маршрутов с совпадением наиболее длинного префикса версии 6 интернет-протокола (также именуемой для краткости «IPV6») и т.д.
Этап S140: отправляют принятые данные в целевой шлюз для того, чтобы обеспечить пересылку целевым шлюзом принятых данных в приемник данных, соответствующий информации о приемнике.
После определения целевого шлюза посредством упомянутого выше правила, переключатель интрасети пересылает данные в целевой шлюз, так что целевой шлюз получает MAC адрес и IP адрес приемника данных (облачного хоста) из данных, и затем осуществляет поиск сохраненной маршрутной информации, и отправляет данные в приемник данных (облачный хост), соответствующий информации о приемнике, согласно MAC адресу приемника данных (облачного хоста).
В первом варианте осуществления настоящего изобретения предложен способ передачи данных. Сначала переключатель интрасети принимает данные из публичной сети, определяет информацию о приемнике для данных в соответствии с информацией, содержащейся в принятых данных; определяет целевой кластер шлюзов в соответствии с информацией о приемнике и предварительно заданным отношением привязки между приемниками данных и кластерами шлюзов; определяют целевой шлюз из целевого кластера шлюзов в соответствии с предварительно заданным правилом; и затем отправляют принятые данные в целевой шлюз для того, чтобы обеспечить пересылку целевым шлюзом принятых данных в приемник данных, соответствующий информации о приемнике. В способе согласно настоящему изобретению, за счет привязки приемников данных и кластеров шлюзов заранее, данные, отправленные из публичной сети в приемник данных, могут пересылаться через целевой шлюз в соответствующем целевом кластере шлюзов. Таким образом, кластеры шлюзов с различными уровнями безопасности можно задать заранее в зависимости от требований пользователей, причем пользовательские данные с различными требованиями к безопасности пересылаются через разные кластеры шлюзов, что эффективным образом повышает безопасность передачи данных.
Второй вариант осуществления
На фиг. 3 показана блок-схема способа передачи данных в соответствии со вторым вариантом осуществления настоящего изобретения. Способ применяется в отношении облачного хоста описанной выше системы 100 сети облачных вычислений. Способ включает следующие этапы.
Этап S210: определяют, посредством облачного хоста в качестве устройства отправки данных, целевой шлюз в соответствии с предварительно заданным отношением привязки между устройствами отправки данных и кластерами шлюзов, причем целевой шлюз представляет собой шлюз в кластере шлюзов, привязанном к облачному хосту.
Когда облачный хост отправляет данные в публичную сеть в качестве устройства отправки данных, необходимо, чтобы облачный хост был заранее привязан к кластеру шлюзов.
Система также содержит сервер, оснащенный SDN контроллером. Облачные хосты запускаются на хост-машине. Предварительно заданное отношение привязки между устройствами отправки данных и кластерами шлюзов представляет собой отношение привязки между облачными хостами и кластерами шлюзов, которые согласуются с облачными хостами, причем оно конфигурируется посредством SDN контроллера в сервере заранее на хост-машине для облачных хостов в соответствии с требованиями пользователей.
Например, пользователь (id 001) имеет два облачных хоста, запущенных на двух хост-машинах, соответственно. Облачный хост vm-1 (хост-машина: HOST1; mac:fa:16:3e:27:a9:e4; fixed ip (фиксированный ip): 172.10.1.2; eip: 120.1.1.2). Облачный хост vm-2 (хост-машина: HOST2; mac:fa:16:3e:27:a9:e5; fixed ip (фиксированный ip): 172.10.1.3; eip: 120.1.1.7). Пользователь хочет привязать облачные хосты к шлюзам в кластере шлюзов, чей vip имеет вид 10.60.0.1, при этом в кластере шлюзов имеется два шлюза, которые представляют собой х1 (его ip имеет вид 10.124.6.2) и х2 (его ip имеет вид 10.124.6.3), соответственно. Пользователь может отправить инструкцию в SDN контроллер через соответствующий интерфейс оконечного устройства, причем SDN контроллер автоматически привязывает два облачных хоста к двум шлюзам, соответственно. Два шлюза автоматически конфигурируют соответствующую информацию о привязке облачных хостов и двух шлюзов. Вычислительные узлы в хост-машинах конфигурируют маршрут в направлении вывода данных. Например, пользователь «vgwadm» конфигурирует, посредством команды «добавить маршрут» (route add), что внешний сетевой запрос «0941f7c6-0610-4a56-8088-8c9668660039 intra 0.0.0.0/0» отправлятся через шлюз с адресом 10.60.0.1. Код может выглядеть следующим образом: «vgwadm route add 0941f7c6-0610-4a56-8088-8c9668660039 intra 0.0.0.0/0 gw 10.60.0.1». При отправке данных в публичную сеть, облачный хост vm-1 выбирает целевой шлюз (то есть, шлюз х1 или шлюз х2) в соответствии с раскрытым выше правилом совпадения наиболее длинного префикса CIDR, и далее отправляет данные в целевой шлюз; затем целевой шлюз отправляет данные в переключатель интрасети, причем переключатель интрасети пересылает данные в публичную сеть. В процессе передачи данных из публичной сети в облачный хост vm-1, данные сначала отправляются в переключатель интрасети; переключатель интрасети пересылает данные в целевой шлюз (шлюз х1 или х2), затем целевой шлюз отправляет данные в хост-машину HOST1, и наконец данные отправляются в облачный хост vm-1.
Кроме того, код для шлюзов обновляется, а новый шлюз х3 с vip: 10.60.0.2, как ожидается, подключается к сети через серый релиз. Имеется внутренний пользователь текстовой информации (id 002), при этом eip его /ее облачного хоста vm3 имеет вид 120.1.3.4. Соотношение отображения «002-> 10.60.0.2» конфигурируется через SDN контроллер. SDN контроллер автоматически конфигурирует маршрутную информацию на шлюзе х3: выдавая «120.1.3.4-32» в х3, при этом конфигурационная инструкция выглядит как: «inet 120.1.3.4/32 scope global dummy0». Программный модуль управляющего уровня SDN в шлюзе х3 будет автоматически предоставлять маршрутную информацию в переключатель интрасети. Маршрут «vgwadm route add 9a37ddc8-ad85-4081-9af8-59a629f59c41 intra 0.0.0.0/0 gw 10.60.0.2» конфигурируется в вычислительном узле хост-машины, в которой находится облачный хост. С помощью раскрытой выше конфигурации, пользователь «vgwadm» конфигурирует, посредством команды «добавить маршрут» (route add), что внешний сетевой запрос «9a37ddc8-ad85-4081-9af8-59a629f59c41 intra 0.0.0.0/0» отправляется через шлюз с адресом 10.60.0.2. Даже если внутренний пользователь меняется, например, новый облачный хост добавляется или облачный хост удаляется, шлюз х3 автоматически добавляет или удаляет соответствующую конфигурацию. Внутренний тестовый пользователь использует шлюз х3, который подключается к сети через серый релиз независимо от направления ввода или направления вывода. Кроме того, если старший пользователь хочет монополизировать шлюз для исключения кодирования ресурсов, пользователь может быть привязан к кластеру шлюзов через SDN контроллер, благодаря чему достигается цель монополизации пользователем шлюза.
Очевидно, что при раскрытии конкретного процесса привязки и процесса определения целевого шлюза из целевого кластера шлюзов согласно предварительно заданному правилу, можно сослаться на соответствующее описание в первом варианте осуществления, который не будет здесь повторно рассмотрен.
Следует отметить, что множество облачных хостов может быть запущено на хост-машине, причем по меньшей мере два облачных хоста среди множества облачных хостов соответствующим образом привязаны к различным кластерам шлюзов. Очевидно, что несколько облачных хостов также могут быть совместно привязаны к одному кластеру шлюзов.
Этап S220: отправляют, посредством облачного хоста, данные в целевой шлюз для того, чтобы обеспечить отправку целевым шлюзом данных в соответствующий переключатель интрасети.
Переключатель интрасети отправляет данные в публичную сеть в соответствии с информацией о таблице потоков, так что данные из облачного хоста пересылаются в переключатель интрасети посредством целевого шлюза в соответствующем целевом кластере шлюзов и затем пересылаются в публичную сеть через переключатель интрасети.
Во втором варианте осуществления настоящего изобретения предложен способ передачи данных. Облачный хост, в качестве устройства отправки данных, сначала определяет целевой шлюз в соответствии с предварительно заданным отношением привязки между устройствами отправки данных и кластерами шлюзов; и затем отправляет данные в целевой шлюз для того, чтобы обеспечить отправку целевым шлюзом данных в соответствующий переключатель интрасети. В способе согласно настоящему изобретению, за счет привязки облачных хостов и кластеров шлюзов заранее, данные, отправленные из облачного хоста в публичную сеть, могут пересылаться через целевой шлюз в соответствующем целевом кластере шлюзов. Таким образом, кластеры шлюзов с различными уровнями безопасности могут быть заданы заранее в соответствии с требованиями пользователей, причем пользовательские данные с различными требованиями к безопасности пересылаются через различные кластеры шлюзов, что эффективным образом повышает безопасность передачи данных.
Третий вариант осуществления
На фиг. 4 показана структурная функциональная схема аппарата 200 передачи данных в соответствии с третьим вариантом осуществления настоящего изобретения. Аппарат применяется к раскрытой выше системе 100 сети облачных вычислений, и запускается на переключателе интрасети. Аппарат содержит:
модуль 210 приема данных, выполненный с возможностью приема данных из публичной сети и определения информации о приемнике для данных в соответствии с информацией, содержащейся в принятых данных;
модуль 220 определения целевого кластера шлюзов, выполненный с возможностью определения целевого кластера шлюзов, соответствующего информации о приемнике, согласно информации о приемнике и предварительно заданному отношению привязки между приемниками данных и кластерами шлюзов;
модуль 230 определения целевого шлюза, выполненный с возможностью определения целевого шлюза из целевого кластера шлюзов в соответствии с предварительно заданным правилом;
модуль 240 пересылки данных, выполненный с возможностью отправки принятых данных в целевой шлюз для того, чтобы обеспечить пересылку целевым шлюзом принятых данных в приемник данных (облачный хост), соответствующий информации о приемнике.
В одном из вариантов реализации, система 100 сети облачных вычислений также содержит сервер, оснащенный SDN контроллером. Предварительно заданное отношение привязки между приемниками данных и кластерами шлюзов получают путем привязки приемников данных к кластерам шлюзов, которые согласуются с приемниками данных, заранее через SDN контроллер в сервере согласно требованиям пользователей.
В одном из вариантов реализации, система 100 сети облачных вычислений также содержит сервер, оснащенный SDN контроллером. Кластеры шлюзов предварительно задаются так, что они имеют различные уровни безопасности. Предварительно заданное отношение привязки между приемниками данных и кластерами шлюзов получают путем привязки приемников данных к кластерам шлюзов, которые согласуются с приемниками данных и имеют соответствующие уровни безопасности, заранее через SDN контроллер в сервере согласно требованиям пользователей.
В одном из вариантов реализации, модуль 230 определения целевого шлюза специально предназначен для определения целевого шлюза из целевого кластера шлюзов в соответствии с правилом совпадения наиболее длинного префикса бесклассовой междоменной маршрутизации (CIDR).
Четвертый вариант осуществления
На фиг. 5 показана структурная функциональная схема аппарата 300 передачи данных согласно четвертому варианту осуществления настоящего изобретения. Аппарат применяется к раскрытой выше системе 100 сети облачных вычислений и запускается на облачном хосте. Аппарат содержит:
модуль 310 определения шлюза, выполненный с возможностью определения целевого шлюза согласно предварительно заданному отношению привязки между устройствами отправки данных и кластерами шлюзов, причем целевой шлюз представляет собой шлюз в кластере шлюзов, привязанный к облачному хосту;
модуль 320 отправки данных, выполненный с возможностью отправки данных в целевой шлюз для того, чтобы обеспечить отправку целевым шлюзом данных в соответствующий переключатель интрасети.
В одном из вариантов реализации, система 100 сети облачных вычислений также содержит сервер, оснащенный SDN контроллером. Облачные хосты запускаются на хост-машине. Предварительно заданное отношение привязки между устройствами отправки данных и кластерами шлюзов представляет собой отношение привязки между облачными хостами и кластерами шлюзов, которые согласуются с облачными хостами, причем оно конфигурируется посредством SDN контроллера в сервере заранее на хост-машине для облачных хостов в соответствии с требованиями пользователей.
В одном из вариантов реализации, система 100 сети облачных вычислений также содержит сервер, оснащенный SDN контроллером. Облачные хосты запускаются на хост-машине, причем кластеры шлюзов предварительно задаются так, что они имеют различные уровни безопасности. Предварительно заданное отношение привязки между устройствами отправки данных и кластерами шлюзов представляет собой отношение привязки между облачными хостами и кластерами шлюзов, которые согласуются с облачными хостами и имеют соответствующие уровни безопасности, причем оно конфигурируется посредством SDN контроллера в сервере заранее на хост-машине для облачных хостов согласно требованиям пользователей.
В одном из вариантов реализации, несколько облачных хостов запускаются на хост-машине, причем по меньшей мере два облачных хоста среди множества облачных хостов соответствующим образом привязаны к различным кластерам шлюзов.
Специалист в данной области техники должен отчетливо понимать, что для удобства и краткости описания, конкретные рабочие процессы раскрытого выше аппарата могут относиться к соответствующим процессам в описанном выше способе, причем они не будут здесь повторно рассмотрены.
На фиг. 6 показана структурная функциональная схема переключателя интрасети или хост-машины согласно одному из вариантов осуществления настоящего изобретения. Переключатель интрасети или хост-машина может содержать: по меньшей мере один процессор 410, такой как CPU, по меньшей мере один интерфейс 420 связи, по меньшей мере одну память 430 и по меньшей мере одну шину 440 связи. Шина 440 связи используется для реализации прямой связи между этими компонентами. Интерфейс 420 связи устройства в данном варианте осуществления настоящего изобретения используется для обмена сигналами или данными с другими узловыми устройствами. Память 430 может представлять собой высокоскоростную оперативную память (RAM) или энергонезависимую память, например, по меньшей мере одну память на магнитных дисках. Память 430 может опционально представлять собой по меньшей мере одно запоминающее устройство, расположенное за пределами процессора. В памяти 430 хранится набор программных кодов, при этом процессор 410 исполняет программные коды, хранящиеся в памяти 430, то есть, они исполняются посредством упомянутого выше переключателя интрасети или хост-машины, для реализации соответствующих процессов способа.
На основании вышеизложенного, в вариантах осуществления настоящего изобретения предложены способ, аппарат и устройство передачи данных, а также считываемый носитель данных. Переключатель интрасети сначала принимает данные из публичной сети и определяет информацию о приемнике для данных в соответствии с информацией, содержащейся в принятых данных; определяет целевой кластер шлюзов в соответствии с предварительно заданным отношением привязки между приемниками данных и кластерами шлюзов; затем определяет целевой шлюз из целевого кластера шлюзов в соответствии с предварительно заданным правилом; и далее отправляет принятые данные в целевой шлюз для того, чтобы обеспечить пересылку целевым шлюзом принятых данных в приемник данных, соответствующий информации о приемнике. В способе согласно настоящему изобретению, за счет привязки приемников данных и кластеров данных заранее, данные из публичной сети могут пересылаться в приемник данных через целевой шлюз в соответствующем целевом кластере шлюзов. Таким образом, кластеры шлюзов с различными уровнями безопасности могут быть заданы заранее в соответствии с требованиями пользователей, причем пользовательские данные с различными требованиями к безопасности пересылаются через различные кластеры шлюзов, что эффективным образом повышает безопасность передачи данных.
Согласно нескольким вариантам осуществления, предложенным в настоящем изобретении, следует понимать, что раскрытые здесь аппарат и способ могут также быть реализованы другим образом. Раскрытые выше варианты осуществления аппарата являются только схематическими. Например, структурные схемы и блок-схемы на прилагаемых чертежах показывают возможные архитектуры, функции и операции аппаратов, способов и компьютерных программных продуктов согласно различным вариантам осуществления настоящего изобретения. При этом, каждый блок в структурной схеме или блок-схеме может отображать модуль, программный сегмент или часть кодов, которые содержат одну или несколько исполняемых инструкций для реализации заданной логической функции. Также следует отметить, что в некоторых альтернативных вариантах реализации, функции, обозначенные в блоках, могут также быть реализованы в другом порядке по сравнению с тем, что обозначен на чертеже. Например, два последовательных блока могут быть фактически осуществлены по существу параллельно, причем они иногда могут выполняться в обратном порядке, в зависимости от задействованной функции. Также следует понимать, что каждый блок в блок-схеме и/или структурной схеме и комбинация блоков в блок-схеме и/или структурной схеме может быть реализована с помощью специализированной системы, ориентированной на аппаратное обеспечение, которая осуществляет заданные функции или действия, или может быть реализована с помощью комбинации специальных инструкций оборудования или компьютера.
Кроме того, функциональные модули в различных вариантах осуществления настоящего изобретения могут быть объединены друг с другом для формирования независимой части, или каждый модуль может существовать самостоятельно, или два или более модулей могут быть объединены для формирования независимой части.
Если функции реализованы в форме программных функциональных модулей и продаются или используются в виде самостоятельного продукта, то их можно хранить в машиночитаемом носителе данных. Исходя из этого понимания, техническое решение согласно настоящему изобретению может быть воплощено в форме программного продукта, или некоторая часть, которая относится к известному из уровни техники устройству, или некоторая часть данного технического решения может быть воплощена в форме программного продукта. Данный компьютерный программный продукт хранится в носители данных, содержащем инструкции, посредством которых вычислительное устройство (которое может представлять собой персональный компьютер, сервер, сетевое устройство и т.д.) осуществляет все или некоторые из этапов способов согласно различным вариантам осуществления настоящего изобретения. Раскрытый выше носитель данных включает в себя различные носители, которые способны хранить программные коды, например, U-диск, мобильный накопитель на жестких дисках, постоянную память (ROM), оперативную память (RAM), магнитный диск или оптический диск.
Выше приведены лишь предпочтительные варианты осуществления настоящего изобретения, которые не ограничивают настоящее изобретение. Специалист в данной области техники может внести различные модификации и изменения в настоящее изобретение. Любые модификации, альтернативы, усовершенствования и т.д. в пределах сущности и принципов настоящего изобретения будут подпадать под объем защиты настоящего изобретения. Следует отметить, что схожие номера позиций и буквенные обозначения относятся к одинаковым элементам на чертежах, в результате, если элемент обозначен на одном чертеже, его дополнительное обозначение и пояснение на последующих чертежах не требуется.
Выше приведены лишь конкретные варианты реализации настоящего изобретения, причем объем защиты настоящего изобретения не ограничивается ими. В пределах технической сущности, раскрытой в настоящем изобретении, любые изменения или альтернативы, внесенные специалистом в области техники, легко подпадают под объем защиты настоящего изобретения. Таким образом, объем защиты настоящего изобретения должен быть задан прилагаемой формулой изобретения.
Следует отметить, что используемые здесь понятия, относящиеся к взаимосвязям, такие как «первый», «второй» и т.д., используются исключительно для различения одного объекта или операции от другого объекта или операции, но не обязательно требуют или подразумевают, что между этими объектами или операциями имеется какая-то реальная взаимосвязь. Кроме того, такие понятия как «включать в себя», «содержать» или любые их вариации предназначены для того, чтобы охватывать неисчерпывающие включения, так что процессы, способы, товары или устройства, содержащие группы элементов, включают в себя не только эти перечисленные элементы, но также те, которые конкретно не перечислены, или элементы, присущие этим процессам, способам, товарам или устройствам. Без дополнительных ограничений, элементы, заданные такими фразами как «содержит(ат) некоторый» или «включает(ют) в себя некоторый» не исключают того, что в процессах, способах, товарах или устройствах, которые содержат эти элементы, имеются также другие аналогичные элементы.
Промышленная применимость
В настоящем изобретении предложены способ, аппарат и устройство для передачи данных, а также считываемый носитель данных. За счет привязки приемников данных к кластерам шлюзов заранее, данные из публичной сети могут пересылаться в приемник данных посредством целевого шлюза в соответствующем целевом кластере шлюзов, что эффективным образом повышает безопасность передачи данных.

Claims (36)

1. Способ передачи данных, применимый к переключателю интрасети в системе сети облачных вычислений, причем система содержит переключатель интрасети, по меньшей мере два кластера шлюзов и множество приемников данных, имеющих отношение привязки с по меньшей мере двумя кластерами шлюзов, причем каждый из кластеров шлюзов имеет множество шлюзов, причем способ включает следующие этапы:
прием данных из публичной сети и определение информации о приемнике для данных в соответствии с информацией, содержащейся в принятых данных; определение целевого кластера шлюзов, соответствующего информации о приемнике, согласно информации о приемнике и предварительно заданному отношению привязки между приемниками данных и кластерами шлюзов; определение целевого шлюза из целевого кластера шлюзов в соответствии с предварительно заданным правилом; и
отправку принятых данных в целевой шлюз для того, чтобы обеспечить пересылку целевым шлюзом принятых данных в приемник данных, соответствующий информации о приемнике.
2. Способ по п. 1, отличающийся тем, что система дополнительно содержит сервер, причем способ дополнительно предусматривает:
прием информации об отношении привязки, отправленной сервером, причем отношение привязки получают путем привязки приемников данных к кластерам шлюзов, которые согласуются с приемниками данных, заранее через SDN контроллер в сервере в соответствии с требованиями пользователей.
3. Способ по п. 1, отличающийся тем, что система дополнительно содержит сервер, причем кластеры шлюзов предварительно заданы так, что они имеют различные уровни безопасности, причем
предварительно заданное отношение привязки между приемниками данных и кластерами шлюзов получают путем привязки приемников данных к кластерам шлюзов, которые согласуются с приемниками данных и имеют соответствующие уровни безопасности, заранее через SDN контроллер в сервере согласно требованиям пользователей.
4. Способ по любому из пп. 1-3, отличающийся тем, что определение целевого шлюза из целевого кластера шлюзов согласно предварительно заданному правилу предусматривает:
определение целевого шлюза из целевого кластера шлюзов согласно правилу совпадения наиболее длинного префикса бесклассовой междоменной маршрутизации (CIDR).
5. Способ передачи данных, применимый к облачному хосту в системе сети облачных вычислений, причем система содержит переключатель интрасети, по меньшей мере два кластера шлюзов и множество облачных хостов, имеющих отношение привязки с по меньшей мере двумя кластерами шлюзов, причем каждый из кластеров шлюзов имеет множество шлюзов, причем способ включает следующие этапы:
определение, посредством облачного хоста в качестве устройства отправки данных, целевого шлюза в соответствии с предварительно заданным отношением привязки между устройствами отправки данных и кластерами шлюзов, причем целевой шлюз представляет собой шлюз в кластере шлюзов, привязанном к облачному хосту; и
отправку, посредством облачного хоста, данных в целевой шлюз для того, чтобы обеспечить отправку целевым шлюзом данных в соответствующий переключатель интрасети.
6. Способ по п. 5, отличающийся тем, что система дополнительно содержит сервер, причем облачные хосты запущены на хост-машине, причем
предварительно заданное отношение привязки между устройствами отправки данных и кластерами шлюзов представляет собой отношение привязки между облачными хостами и кластерами шлюзов, которые согласуются с облачными хостами, причем оно конфигурируется посредством SDN контроллера в сервере заранее на хост-машине для облачных хостов в соответствии с требованиями пользователей.
7. Способ по п. 5, отличающийся тем, что система дополнительно содержит сервер, причем облачные хосты запущены на хост-машине, причем кластеры шлюзов предварительно задаются так, что они имеют различные уровни безопасности; причем
предварительно заданное отношение привязки между устройствами отправки данных и кластерами шлюзов представляет собой отношение привязки между облачными хостами и кластерами шлюзов, которые согласуются с облачными хостами и имеют соответствующие уровни безопасности, причем оно конфигурируется посредством SDN контроллера в сервере заранее на хост-машине для облачных хостов в соответствии с требованиями пользователей.
8. Способ по п. 6 или 7, отличающийся тем, что множество облачных хостов запущены на хост-машине, причем по меньшей мере два облачных хоста среди множества облачных хостов соответствующим образом привязаны к различным кластерам шлюзов.
9. Аппарат передачи данных, применимый к переключателю интрасети в системе сети облачных вычислений, причем система содержит переключатель интрасети, по меньшей мере два кластера шлюзов и множество приемников данных, имеющих отношение привязки с по меньшей мере двумя кластерами шлюзов, причем каждый из кластеров шлюзов имеет множество шлюзов, причем аппарат содержит:
модуль приема данных, выполненный с возможностью приема данных из публичной сети и определения информации о приемнике для данных в соответствии с информацией, содержащейся в принятых данных; модуль определения целевого кластера шлюзов, выполненный с возможностью определения целевого кластера шлюзов, соответствующего информации о приемнике, согласно информации о приемнике и предварительно заданному отношению привязки между приемниками данных и кластерами шлюзов; модуль определения целевого шлюза, выполненный с возможностью определения целевого шлюза из целевого кластера шлюзов согласно предварительно заданному правилу; и
модуль пересылки данных, выполненный с возможностью отправки принятых данных в целевой шлюз для того, чтобы обеспечить пересылку целевым шлюзом принятых данных в приемник данных, соответствующий информации о приемнике.
10. Аппарат по п. 9, отличающийся тем, что система дополнительно содержит сервер, причем предварительно заданное отношение привязки между приемниками данных и кластерами шлюзов получено путем привязки приемников данных к кластерам шлюзов, которые согласуются с приемниками данных, заранее посредством SDN контроллера в сервере в соответствии с требованиями пользователей.
11. Аппарат по п. 9, отличающийся тем, что система дополнительно содержит сервер, причем кластеры шлюзов предварительно задаются так, что они имеют различные уровни безопасности, причем
предварительно заданное отношение привязки между приемниками данных и кластерами шлюзов получено путем привязки приемников данных к кластерам шлюзов, которые согласуются с приемниками данных и имеют соответствующие уровни безопасности, заранее через SDN контроллер в сервере согласно требованиям пользователей.
12. Аппарат по любому из пп. 9-11, отличающийся тем, что модуль определения целевого шлюза дополнительно выполнен с возможностью определения целевого шлюза из целевого кластера шлюзов в соответствии с правилом совпадения наиболее длинного префикса бесклассовой междоменной маршрутизации (CIDR).
13. Аппарат передачи данных, применимый к облачному хосту в системе сети облачных вычислений, причем система содержит переключатель интрасети, по меньшей мере два кластера шлюзов и множество облачных хостов, имеющих отношение привязки с по меньшей мере двумя кластерами шлюзов, причем каждый из кластеров шлюзов имеет множество шлюзов, причем аппарат содержит:
модуль определения шлюза, выполненный с возможностью определения целевого шлюза согласно предварительно заданному отношению привязки между устройствами отправки данных и кластерами шлюзов, причем целевой шлюз представляет собой шлюз в кластере шлюзов, привязанном к облачному хосту, и
модуль отправки данных, выполненный с возможностью отправки данных в целевой шлюз для того, чтобы обеспечить отправку целевым шлюзом данных в соответствующий переключатель интрасети.
14. Аппарат по п. 13, отличающийся тем, что система дополнительно содержит сервер, причем облачные хосты запущены на хост-машине, причем
предварительно заданное отношение привязки между устройствами отправки данных и кластерами шлюзов представляет собой отношение привязки между облачными хостами и кластерами шлюзов, которые согласуются с облачными хостами, причем оно конфигурируется посредством SDN контроллера в сервере, заранее на хост-машине для облачных хостов согласно требованиям пользователей.
15. Аппарат по п. 13, отличающийся тем, что система дополнительно содержит сервер, причем облачные хосты запущены на хост-машине, причем кластеры шлюзов предварительно задаются так, что они имеют различные уровни безопасности, причем
предварительно заданное отношение привязки между устройствами отправки данных и кластерами шлюзов представляет собой отношение привязки между облачными хостами и кластерами шлюзов, которые согласуются с облачными хостами и имеют соответствующие уровни безопасности, причем оно сконфигурировано посредством SDN контроллера в сервере заранее на хост-машине для облачных хостов согласно требованиям пользователей.
16. Аппарат по п. 14 или 15, причем множество облачных хостов запущено на хост-машине, причем по меньшей мере два облачных хоста среди множества облачных хостов соответствующим образом привязаны к различным кластерам шлюзов.
17. Считываемый носитель данных для хранения множества инструкций, причем предусмотрена возможность исполнения множества инструкций на компьютере для того, чтобы обеспечить осуществление компьютером способа по любому из пп. 1-4.
18. Считываемый носитель данных для хранения множества инструкций, причем предусмотрена возможность исполнения множества инструкций на компьютере для того, чтобы обеспечить осуществление компьютером способа по любому из пп. 5-8.
19. Устройство передачи данных, содержащее память и процессор, причем память выполнена с возможностью хранения исполняемых программных кодов, а процессор выполнен с возможностью считывания исполняемых программных кодов, хранящихся в памяти, для осуществления способа передачи данных по любому из пп. 1-4.
20. Устройство передачи данных, содержащее память и процессор, причем память выполнена с возможностью хранения исполняемых программных кодов, а процессор выполнен с возможностью считывания исполняемых программных кодов, хранящихся в памяти, для осуществления способа передачи данных по любому из пп. 5-8.
RU2020118340A 2017-11-17 2018-11-07 Способ, устройство и оборудование для передачи данных и считываемый носитель данных RU2742542C1 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201711153175.6A CN109802985B (zh) 2017-11-17 2017-11-17 数据传输方法、装置、设备及可读取存储介质
CN201711153175.6 2017-11-17
PCT/CN2018/114393 WO2019096050A1 (zh) 2017-11-17 2018-11-07 数据传输方法、装置、设备及可读取存储介质

Publications (1)

Publication Number Publication Date
RU2742542C1 true RU2742542C1 (ru) 2021-02-08

Family

ID=66538503

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020118340A RU2742542C1 (ru) 2017-11-17 2018-11-07 Способ, устройство и оборудование для передачи данных и считываемый носитель данных

Country Status (5)

Country Link
US (1) US20200351328A1 (ru)
CN (1) CN109802985B (ru)
RU (1) RU2742542C1 (ru)
SG (1) SG11202004582YA (ru)
WO (1) WO2019096050A1 (ru)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110784337B (zh) * 2019-09-26 2023-08-22 平安科技(深圳)有限公司 一种云服务质量监控方法及相关产品
CN110650024A (zh) * 2019-09-29 2020-01-03 秒针信息技术有限公司 一种公有云开通的方法及装置
CN110995513B (zh) * 2019-12-27 2023-02-17 远景智能国际私人投资有限公司 物联网系统中的数据发送、接收方法、物联网设备及平台
CN113765801B (zh) * 2020-07-16 2024-02-09 北京京东尚科信息技术有限公司 应用于数据中心的报文处理方法和装置、电子设备和介质
CN112423322B (zh) * 2020-11-18 2022-09-06 青岛海尔科技有限公司 型号信息发送方法、装置、存储介质及电子装置
CN112929299B (zh) * 2021-01-27 2021-11-30 广州市品高软件股份有限公司 基于fpga加速卡的sdn云网络实现方法、装置及设备
CN112769977B (zh) * 2021-01-27 2022-07-29 杭州迪普科技股份有限公司 一种nat公网地址发布的方法及装置
CN113364672B (zh) * 2021-06-29 2022-12-30 中星电子股份有限公司 媒体网关信息确定方法、装置、设备和计算机可读介质
CN113765710A (zh) * 2021-08-24 2021-12-07 中国人寿保险股份有限公司上海数据中心 一种基于多活混合云部署的请求处理系统及方法
CN113810296A (zh) * 2021-09-10 2021-12-17 北京百度网讯科技有限公司 集群化网关的分流方法、装置、存储介质以及电子设备
CN114338510B (zh) * 2021-12-09 2023-07-07 北京华云安信息技术有限公司 控制和转发分离的数据转发方法和系统
CN114760317A (zh) * 2022-03-18 2022-07-15 中国建设银行股份有限公司 虚拟网关集群的故障检测方法及相关设备
CN114726796A (zh) * 2022-03-31 2022-07-08 阿里云计算有限公司 流量控制方法、网关及交换机
CN114679428A (zh) * 2022-04-07 2022-06-28 上海数禾信息科技有限公司 在nat规则上新增eip的方法、装置、计算机设备和存储介质
CN114915633A (zh) * 2022-04-21 2022-08-16 阿里云计算有限公司 公有云网络中调度用户到网关集群的方法、设备及介质
CN114745757B (zh) * 2022-04-22 2023-07-25 苏州浪潮智能科技有限公司 一种集群切换方法、装置、设备及介质
CN115866092A (zh) * 2022-11-24 2023-03-28 中国联合网络通信集团有限公司 数据转发方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102843420A (zh) * 2012-07-02 2012-12-26 上海交通大学 基于模糊划分的社交网络数据分发系统
RU2595512C2 (ru) * 2012-05-11 2016-08-27 Интел Корпорейшн Способ идентификации и дифференциации фонового трафика
CN106130806A (zh) * 2016-08-30 2016-11-16 四川新环佳科技发展有限公司 数据层实时监控方法
CN106375295A (zh) * 2016-08-30 2017-02-01 四川新环佳科技发展有限公司 数据存储监控方法
CN106789667A (zh) * 2016-11-21 2017-05-31 华为技术有限公司 一种数据转发方法、相关设备及系统

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101193432B (zh) * 2006-11-21 2011-01-05 中兴通讯股份有限公司 实现移动增值安全业务的方法和系统
US20120096269A1 (en) * 2010-10-14 2012-04-19 Certes Networks, Inc. Dynamically scalable virtual gateway appliance
CN102196049B (zh) * 2011-05-31 2013-06-26 北京大学 适用于存储云内数据安全迁移的方法
CN102223365B (zh) * 2011-06-03 2014-02-12 杭州华三通信技术有限公司 基于ssl vpn网关集群的用户接入方法及其装置
US10200493B2 (en) * 2011-10-17 2019-02-05 Microsoft Technology Licensing, Llc High-density multi-tenant distributed cache as a service
CN103838770A (zh) * 2012-11-26 2014-06-04 中国移动通信集团北京有限公司 一种数据逻辑分区的方法和系统
CN103902498B (zh) * 2013-12-18 2016-12-07 曲阜师范大学 一种面向异构计算的软件定义服务器系统及方法
EP3143733B1 (en) * 2014-05-13 2018-12-05 Telefonaktiebolaget LM Ericsson (publ) Virtual flow network in a cloud environment
CN104243265B (zh) * 2014-09-05 2018-01-05 华为技术有限公司 一种基于虚拟机迁移的网关控制方法、装置及系统
CN104363187B (zh) * 2014-10-29 2017-09-29 工业和信息化部电信传输研究所 一种物联网网关资源响应方法和装置
CN104468293B (zh) * 2014-11-28 2018-12-28 国家信息中心 Vpn接入方法
CN106211152B (zh) * 2015-04-30 2019-09-06 新华三技术有限公司 一种无线接入认证方法及装置
CN104869125B (zh) * 2015-06-09 2020-04-17 上海斐讯数据通信技术有限公司 基于sdn的动态防mac地址欺骗方法
CN106302175A (zh) * 2015-06-29 2017-01-04 联想(北京)有限公司 一种sdn中的数据包发送方法及设备
CN105099779B (zh) * 2015-07-29 2018-10-12 北京京东尚科信息技术有限公司 多租户云平台架构
WO2017113344A1 (zh) * 2015-12-31 2017-07-06 华为技术有限公司 一种软件定义数据中心及其中的服务集群的部署方法
CN107306215B (zh) * 2016-04-18 2020-07-17 中国移动通信集团江西有限公司 一种数据处理方法、系统及节点
CN107332793B (zh) * 2016-04-28 2020-10-16 华为技术有限公司 一种报文转发方法、相关设备及系统
US10033646B2 (en) * 2016-05-12 2018-07-24 International Business Machines Corporation Resilient active-active data link layer gateway cluster
CN106452966A (zh) * 2016-11-02 2017-02-22 河南智业科技发展有限公司 一种OpenStack云桌面的多网关管理的实现方法
CN106899518B (zh) * 2017-02-27 2022-08-19 腾讯科技(深圳)有限公司 一种基于互联网数据中心的资源处理方法以及装置
CN107135134B (zh) * 2017-03-29 2019-09-13 广东网金控股股份有限公司 基于虚拟交换机和sdn技术的私用网络接入方法和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2595512C2 (ru) * 2012-05-11 2016-08-27 Интел Корпорейшн Способ идентификации и дифференциации фонового трафика
CN102843420A (zh) * 2012-07-02 2012-12-26 上海交通大学 基于模糊划分的社交网络数据分发系统
CN106130806A (zh) * 2016-08-30 2016-11-16 四川新环佳科技发展有限公司 数据层实时监控方法
CN106375295A (zh) * 2016-08-30 2017-02-01 四川新环佳科技发展有限公司 数据存储监控方法
CN106789667A (zh) * 2016-11-21 2017-05-31 华为技术有限公司 一种数据转发方法、相关设备及系统

Also Published As

Publication number Publication date
WO2019096050A1 (zh) 2019-05-23
CN109802985A (zh) 2019-05-24
US20200351328A1 (en) 2020-11-05
SG11202004582YA (en) 2020-06-29
CN109802985B (zh) 2021-01-29

Similar Documents

Publication Publication Date Title
RU2742542C1 (ru) Способ, устройство и оборудование для передачи данных и считываемый носитель данных
US10356097B2 (en) Domain name system and method of operating using restricted channels
US10361911B2 (en) Managing use of alternative intermediate destination computing nodes for provided computer networks
JP6129928B2 (ja) アジャイルデータセンタネットワークアーキテクチャ
US9509615B2 (en) Managing link aggregation traffic in a virtual environment
US8955093B2 (en) Cooperative network security inspection
US9397946B1 (en) Forwarding to clusters of service nodes
US9426068B2 (en) Balancing of forwarding and address resolution in overlay networks
US8676980B2 (en) Distributed load balancer in a virtual machine environment
CN110417924B (zh) 分布式设备中的报文处理方法和分布式设备
EP2817926B1 (en) Delegate forwarding and address resolution in fragmented network
Alshaer An overview of network virtualization and cloud network as a service
US9350666B2 (en) Managing link aggregation traffic in a virtual environment
US9577943B1 (en) Tiered services in border gateway protocol flow specification
US9686178B2 (en) Configuring link aggregation groups to perform load balancing in a virtual environment
US10567344B2 (en) Automatic firewall configuration based on aggregated cloud managed information
JP2018191290A (ja) 負荷分散を実現するための方法、装置、およびネットワークシステム
US10791031B2 (en) Methods and systems for managing connected data transfer sessions
US10181031B2 (en) Control device, control system, control method, and control program
RU2675212C1 (ru) Адаптивная балансировка нагрузки при обработке пакетов
US10911296B2 (en) Targeted selection of cascade ports
CN105812274B (zh) 一种业务数据的处理方法和相关设备
US10455449B1 (en) Achieving symmetric data path steering across a service device