WO2018027586A1

WO2018027586A1 - 云计算系统中虚拟机访问物理服务器的方法、装置和系统

Info

Publication number: WO2018027586A1
Application number: PCT/CN2016/094225
Authority: WO
Inventors: 李俊武; 申思
Original assignee: 华为技术有限公司
Priority date: 2016-08-09
Filing date: 2016-08-09
Publication date: 2018-02-15
Also published as: US20190173888A1; CA3033217A1; US20200274875A1; EP3493510A1; CN109314724B; EP3493510A4; US11418512B2; JP2019528005A; CN112995272A; CA3033217C; CN109314724A; EP3493510B1; US10659471B2; JP6771650B2

Abstract

一种云计算系统中虚拟机访问物理服务器的方法、装置和系统，所述物理服务器上部署有服务，云平台为所述服务分配与所述服务对应的发布IP地址和发布端口，对外发布所述服务，并在所述虚拟机的接入网元上配置NAT规则，所述NAT规则包括所述发布IP地址和发布端口与运行所述服务的所述物理服务器的IP地址和端口的对应关系，当所述接入网元接收到虚拟机访问所述服务的服务访问请求时，根据所述NAT规则将所述服务访问请求的目的地址修改为所述物理服务器的IP地址和端口，修改后的服务访问请求路由到所述物理服务器，从而使得所述虚拟机可以在不知道物理服务器真实IP地址和端口的情况下访问所述物理服务器上的服务。

Description

云计算系统中虚拟机访问物理服务器的方法、装置和系统

技术领域

本发明涉及IT技术领域，尤其涉及云计算系统中虚拟机访问物理服务器的方法、装置和系统。

背景技术

在云计算环境下，因为配置或性能等方面的因素，存在着一些服务需要直接运行在物理服务器(Physical Machine，PM)上，比如Oracle的数据库(Database，DB)等。用户登录虚拟机(Virtual Machine，VM)，通过网络访问部署上述类型服务的物理服务器。

现有技术中，VM需要获取PM的IP地址来访问物理服务器上的各种服务。当VM可以获取运行服务的PM或PM集群的真实IP地址时，就暴露了云平台上服务所在的物理服务器的网络规划信息，恶意用户就可以对PM所在网络以及该网络内的设备进行网络攻击，从而危害云平台的安全。

发明内容

本发明实施例描述了一种虚拟机访问物理服务器的方法、装置和系统，避免虚拟机获取物理服务器的真实地址，危害网络安全。

一方面，本发明实施例提供了一种虚拟机访问物理服务器的系统，所述系统包括云平台、至少一个物理服务器、至少一个主机以及至少一个接入网元，所述主机、所述物理服务器以及所述云平台相互通信，所述主机上运行有至少一个虚拟机，所述虚拟机通过所述接入网元访问所述物理服务器，所述物理服务器上部署有服务，其中，所述云平台为所述服务分配与所述服务对应的发布IP地址和发布端口，建立所述发布IP地址和发布端口与运行所述服务的所述物理服务器的IP地址和端口的对应关系，所述云平台发布所述服务，使得所述服务对虚拟机可见；所述云平台向所述接入网元发送与所述虚拟机关联的NAT规则，所述NAT规则包括所述发布IP地址和发布端口与运行所述服务的所述物理服务器的IP地址和端口的对应关系；所述接入网元接收所述虚拟机发送的服务访问请求，根据所述NAT规则，将所述服务访问请求的目的地址替换为所述物理服务器的IP地址和端口，将修改后的服务访问请求路由到所述物理服务器，并接收所述物理服务器返回的服务响应消息。通过上述过程，虚拟机在不知道部署服务的物理服务器真实IP地址和端口的情况下，可以访问所述服务，另外，由于服务可以通过与服务对应的发布IP地址和发布端口唯一标识，即使服务部署在具备多个IP地址的不同物理服务器或物理服务器集群上，不同的虚拟机均可以使用相同的所述发布IP地址和发布端口访问相同服务，而无需关注服务实际所在的物理服务器或物理服务器集群的真实IP地址和端口，实现了服务访问方式的统一。

在一种可能的设计中，所述服务响应消息的源地址为所述物理服务器的IP地址和端口，当接入网元接收到云平台返回的服务响应消息时，还可以根据所述NAT规则将所述服务响应消息的源地址替换为与所述服务对应的所述发布IP地址和发布端口，将修改后的服务响应消息发送给所述虚拟机，从而使得虚拟机接收到的服务响应消息中仍然不包含物理服务器的真实地址。需要说明的是，云平台发出的所述服务响应消息的源地址也可以直接设定为所述发布IP地址和发布端口，而无需所述接入单元对所述源地址进行修改。当物理服务器发出的服务响应报文的源地址为物理服务器真实地址时，物理服务器不需要为了适应本发明实施例而进行修改，从而提高了服务部署和发布的效率。当物理服务器发出的服务响应报文的源地址为与服务对应的所述发布IP地址和发布端口时，需要对物理服务器需要进行适应性修改，记录所述服务与所述发布IP地址和发布端口的对应关系，当物理服务器发出服务响应报文时，将服务响应报文的源地址设置为所述发布IP地址和发布端口，此时，接入网元无需对服务响应报文的源地址进行NAT转换，提高了虚拟机访问物理服务器上部署的服务的效率，但另一方面，由于物理服务器需要修改才能执行本发明实施例的方案，降低了服务部署和发布的效率。

在一种可能的设计中，云平台可以采用多种方式对外发布所述服务，需要说明的是，所述云平台具备面向用户的服务呈现界面以及面向运维人员的管理呈现界面，用户可以登录该服务呈现界面，浏览云平台提供的各种服务，并发起服务申请。云平台在所述服务呈现界面显示服务信息，向用户提供对所述服务的介绍，所述服务信息包括所述服务的外部显示地址。

在一种可能的设计中，所述服务的外部显示地址可以为所述发布IP地址和发布端口，也可以为所述服务对应的域名。当所述外部显示地址为所述发布IP地址和发布端口时，虚拟机可以以所述发布IP地址和发布端口作为目的地址向物理服务器请求访问服务；当所述外部显示地址为所述域名时，虚拟机需要首先获取域名对应的地址，因此，虚拟机向DNS服务器发起域名解析操作，从所述DNS服务器获取所述域名对应的地址，其中，所述域名对应的地址为所述发布IP地址和发布端口。云平台可以预先通过注册流程，将所述域名与所述服务对应的所述发布IP地址和发布端口的对应关系发送到所述DNS服务器，具体的，所述云平台向域名系统DNS服务器下发所述域名与所述发布IP地址和发布端口的对应关系；所述虚拟机用于发起域名解析操作，根据所述域名从所述DNS服务器获取与所述服务对应的所述发布IP地址和发布端口。

在一种可能的设计中，用户登录所述服务呈现页面，向云平台申请服务，所述云平台向所述虚拟机返回服务申请响应，所述服务申请响应携带所述外部显示地址。

在一种可能的设计中，针对用户的服务申请请求，所述云平台确定服务授权通过后，记录所述虚拟机所属的用户的授权信息，所述用户的授权信息包括用户标识、虚拟机标识以及分配给所述用户的账号和密码。云平台可以使用记录的授权信息对用户的服务访问请求进行鉴权。

在一种可能的设计中，所述云平台可以以用户为粒度进行服务授权，即用户有多个虚拟机的情况下，用户可以通过其中的任一一个虚拟机访问获得授权的服务，当用户创建新的虚拟机时，所述云平台向所述新的虚拟机连接的接入网元下发所述NAT规则，以使得用户通过所述新的虚拟机可以正常访问所述物理服务器上的服务。以用户为粒度进行服务授权可以为用户带来较大便利，使得用户无需单独为每个虚拟机分别申请服务授权。更进一步的，当用户删除归属于所述用户的任一虚拟机时，所述云平台在删除所述虚拟机时，通知所述接入网元删除与所述虚拟机关联的所述NAT规则。

用户可以主动请求终止服务授权或者云平台可以在用户欠费时主动终止对所述用户的服务授权，当所述云平台确定需要终止所述用户的服务授权时，所述云平台确定涉及到的虚拟机，向虚拟机连接的所述接入网元发送删除消息，通知所述接入网元删除所述虚拟机的NAT规则。

所述云平台还可以具备服务检测/收集的能力，当物理服务器上上线新的服务时，可以及时获取服务信息以及部署所述服务的物理服务器的信息。

在一种可能的设计中，所述物理服务器为单台物理服务器或者物理服务器集群。

另一方面，本发明实施例提供了一种云计算系统中虚拟机访问物理服务器的方法，云平台执行上述系统中的步骤。

再一方面，本发明实施例提供了另一种云计算系统中虚拟机访问物理服务器的方法，由接入网元执行上述系统中的步骤。

与前述系统以及方法相对应，本发明实施例提供了一种云平台，该云平台具有实现上述系统中定义的云平台的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

与前述系统以及方法相对应，本发明实施例还提供了一种主机，其上运行有所述系统中定义的虚拟机以及接入网元，所述接入网元可以为虚拟机网元，例如，openvswitch，或者，所述接入网元可以硬件实现，具体为主机上的架顶交换机。该主机具有实现上述系统中定义的接入网元的功能。进一步的，该主机还可以具有上述系统中定义的虚拟机的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一个可能的设计中，所述云平台和主机由通用或专用的服务器实现，服务器的结构中包括处理器、存储器、系统总线以及输入输出接口，所述处理器被配置为支持所述系统中云平台或主机的相应的功能。所述输入输出接口用于与所述云计算系统中的其他部件进行通信，处理器执行所述存储器中存储的指令。

再一方面，本发明实施例提供了一种计算机存储介质，用于储存为上述云平台所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

再一方面，本发明实施例提供了一种计算机存储介质，用于储存为上述主机所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

相较于现有技术，本发明实施例提供的方案可以对虚拟机屏蔽部署服务的物理服务器的真实地址，同时向虚拟机提供统一的访问方式，既保证了云平台的网络安全，又提高了用户访问服务的便利性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面附图中反映的仅仅是本发明的一部分实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得本发明的其他实施方式。而所有这些实施例或实施方式都在本发明的保护范围之内。

图1A是本发明实施例提供的一种云计算系统的网络架构示意图；

图1B是本发明实施例提供的另一种云计算系统的网络架构示意图；

图2是本发明实施例提供的一种计算机设备硬件结构示意图；

图3是本发明实施例提供的主机上的虚拟化结构示意图；

图4是本发明实施例提供的虚拟机访问物理服务器的报文转发处理流程图；

图5是本发明实施例提供的虚拟机访问物理服务器上运行的服务的流程示意图；

图6是本发明实施例提供的一种云平台的结构示意图；

图7A为本发明实施例提供的一种接入装置的结构示意图；

图7B为本发明实施例提供的另一种接入装置的结构示意图。

具体实施方式

下面将结合附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例描述的网络架构以及业务场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对于本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。

如图1A和图1B所示，为本发明实施例提供的云计算系统的网络架构图，所述云计算系统包括主机101、云平台102、物理服务器103，网络104以及接入网元105。主机101上运行有若干虚拟机，虚拟机通过接入网元105连接到所述网络104、访问云平台102以及物理服务器103。

运行在主机101上的虚拟机：承载用户的业务，用户使用客户端登录虚拟机，进而通过网络104访问云平台102对外发布的各种服务，所述服务为物理服务器103上运行的服务，例如数据库服务等。云计算系统从结构上可以分为基础设施即服务(Infrastructure as a Service，IAAS)层、平台即服务(Platform as a Service，PAAS)层以及软件即服务(Software as a Service，SAAS)层，所述物理服务器103上部署的服务一般为PAAS层服务。

云平台102：云计算系统的管理端，用于对云计算提供商提供的底层设备和服务进行管理，包括对计算、网络和存储等资源进行管理以及监控运维等。云平台102还包括针对用户的服务呈现页面以及针对管理员管理呈现页面。管理员通过管理呈现页面对物理服务器上部署的服务进行配置和管理；当服务部署完成后，用户登录云平台102的所述服务呈现页面，查看可用的服务，在所述服务呈现页面上显示的服务信息包括所述服务的外部显示地址。当VM需要访问上述服务时，VM通过所述外部显示地址发起访问上述服务的请求，所述外部显示地址可以唯一标识部署在物理服务器上的上述服务，所述外部显示地址具体可以为与所述服务对应的发布IP地址和发布端口，或者为与所述服务对应的域名。

云平台102建立与所述服务对应的发布IP地址和发布端口与部署所述服务的物理服务器103的真实地址之间的对应关系，并将所述对应关系下发到各个虚拟机的接入网元105。当所述服务的外部显示地址为所述发布IP地址和发布端口时，虚拟机使用所述发布IP地址和发布端口作为服务访问请求的目的地址发起服务访问流程；当所述服务的外部显示地址为与所述服务对应的域名时，虚拟机需要先发起域名解析流程，从DNS服务器获取所述域名对应的所述发布IP地址和发布端口，再使用所述发布IP地址和发布端口作为服务访问请求的目的地址发起服务访问流程，需要说明的是，当所述服务的外部显示地址为与所述服务对应的域名时，在服务部署完成后，云平台102还用于向域名系统DNS服务器下发所述域名与所述发布IP地址和发布端口的对应关系。所述DNS服务器供所述云计算系统内部使用，所述DNS服务器通过所述网络104与所述主机101和所述云平台102相连。

在具体的实现场景中云平台102中包括SDN(Software Defined Network,软件定义网络)控制器，优选的，云平台102中的所述SDN控制器获取虚拟机的网络拓扑，并以流表的形式向虚拟机的接入网元105下发网络地址转换(Network Address Translation，NAT)规则，所述NAT规则包括所述发布IP地址和发布端口与运行所述服务的所述物理服务器103的IP地址和端口的对应关系。

所述发布IP以及发布端口具体为与服务对应的IP和端口，即通过所述发布IP地址和发布端口可以唯一确定一项服务。其中，发布IP可以采用保留地址，所述保留地址为数据业务网络不能使用的IP地址，例如169.254.*.*；发布端口可以采用知名端口，知名端口号(well-known port numbers)为互联网名称与数字地址分配机构(The Internet Corporation for Assigned Names and Numbers，ICANN)预留给传输控制协议(Transmission Control Protocol，TCP)和用户数据报协议(User Datagram Protocol，UDP)使用的端口号。例如，可以使用169.254.169.254+3306代表数据库服务的访问地址。

在本发明实施例中，针对不同用户，同一服务的外部显示地址相同。

所述云平台102可以具备以下功能：

运维功能，即系统管理员可以通过云平台102提供的管理呈现界面对服务进行配置和管理；

监控功能，即实时监控物理服务器，获取服务上线/下线的信息；

网络信息获取功能，即获取主机101上运行的虚拟机的网络拓扑以及获取运行服务的物理服务器103的IP地址和端口；

服务发布功能，即通过服务呈现界面向用户呈现服务信息；

进一步的，云平台102还可以具备服务计费以及告警等功能。

物理服务器103：部署上述服务的物理服务器，可以为单台物理服务器或者服务器集群。虚拟机通过网络104接入到物理服务器103，访问物理服务器103上运行的服务。需要说明的是，当物理服务器103为物理服务器集群时，上述部署服务的物理服务器的真实地址为物理服务器集群对外呈现的地址，例如，当集群为主备模式时，主备物理服务器具备相同的地址，该相同的地址即为物理服务器集群对外呈现的地址；或者，当多个物理服务器组成一个集群，对外呈现集群中主节点的虚拟IP地址作为物理服务器集群对外呈现的地址。当虚拟机的服务访问请求路由到物理服务器集群对外呈现的地址时，可以通过负载均衡的方式由集群中的某个服务器提供服务。需要说明的是，本发明实施例对上述服务器集群的实现形式并不进行限定，只要通过该服务器集群对外呈现的地址可以将服务访问请求路由到该服务器集群即可，服务器集群内部的负载均衡的实现方式可以采用现有技术中的各种方案。

物理服务器103接收到来自虚拟机的服务访问请求时，处理所述服务访问请求，并返回服务访问响应。示例性的，所述服务访问请求可以是虚拟机发起的数据库查询请求，用于向物理服务器103上部署的数据库服务查询数据，所述数据库查询请求可以携带查询条件，当所述数据库查询请求路由到所述物理服务器103时，所述物理服务器103根据所述查询条件产生查询结果，并在服务访问响应中携带查询结果，返回所述服务访问响应给虚拟机。需要说明的是，本发明实施例并不限定服务访问请求的类型和目的，也不限定物理服务器103处理所述服务访问请求的具体方法，现有技术中常见的各种服务访问请求在本发明实施例中均适用，现有技术中公开的物理服务器处理服务访问请求的各种方法也可以在本发明实施例中被直接引用。

接入网元105：具体可以为在主机101上运行的虚拟网元(例如，Open vSwitch)或者主机的架顶交换机(Top Of Rack，TOR)，接入网元105与虚拟机相连,且向虚拟机提供网络接入能力。接入网元105,可以如图1A所示的,位于主机101的虚拟化层中；也可以如图1B所示,为与主机101物理相连的架顶交换机，架顶交换机是独立的硬件设备，在具体的应用场景中，主机可以独享一个架顶交换机、多个主机可以共享一个架顶交换机或者多个主机共享多个架顶交换机，本发明实施例对此并不进行限定。

在接入网元上配置与虚拟机关联的NAT规则，所述NAT规则包括与所述服务对应的发布IP地址和发布端口与所述物理服务器的IP地址和端口的对应关系。进一步的，所述NAT规则可以同时针对出VM方向和入VM方向。需要说明的是，在本发明各实施例中，所述物理服务器的IP地址和端口为物理服务器的真实IP地址和端口，以区别于服务对应的发布IP地址和发布端口。

在一种可能的实现方式中，NAT规则可以采用Linux系统中的Iptables，或者由SDN控制器下发的流表来实现，本发明实施例对具体的实现方式并不进行限定。

一种典型的场景中，云平台厂商的IAAS层上的的VM通过网络访问PM上运行的PAAS服务，当IAAS和PAAS分别由不同厂商提供时，针对PM上运行的PAAS服务，可以实现IAAS和PAAS解耦，有利于IAAS和PAAS的快速集成。

本发明实施例提出的虚拟机访问物理服务器的方法，能够使得物理服务器的真实地址对虚拟机不可见，进而屏蔽虚拟机对物理服务器的网络攻击，提高了云计算系统的安全性；针对不同用户，物理服务器对外呈现相同的外部显示地址，本发明实施例进而可以为不同的用户提供相同的访问方式访问物理服务器运行的服务，实现访问地址归一化，提高了云平台发布物理服务器上部署的新服务的效率。

在一种可能的实施方式中，云平台可以控制物理服务器的部署。在物理服务器上运行服务后，云平台发布物理服务器上运行的服务的信息。用户可以通过云平台提供的服务呈现界面查看发布的服务，并发起服务申请，云平台对用户的服务申请进行审批，，如果审批通过，则向用户返回授权信息，所述授权信息可以包括用户标识、虚拟机标识、权限以及分配给所述用户的账号和密码等。云平台中记录有用户的信息，包括用户使用的各个虚拟机的信息。云平台可以以用户为粒度授权用户访问物理服务器上的服务，此时，用户的各个虚拟机均可以访问所述服务器；云平台也可以以虚拟机为粒度授权用户访问物理服务器上的服务，即云平台授权用户通过特定的虚拟机访问服务。通过上述方式，云平台可以确定得到授权的虚拟机的清单，云平台向获得授权的各个虚拟机连接的接入网元下发上述NAT规则，通过NAT规则实现将服务的外部显示地址转化为物理服务器的真实IP地址和端口，从而使得用户的虚拟机接入到物理服务器的服务。上述接入网元可以为虚拟机的挂载网元或者隧道封装网元。

图1A和图1B中所示的云计算系统中的云平台、主机、部署服务的物理服务器以及接入网元可以采用硬件/软件实现，示例性的，如图2所示，为本发明实施例提供的计算机设备硬件结构示意图。计算机设备200包括至少一个处理器201，通信总线202，存储器203以及至少一个通信接口204。

处理器201可以是一个通用中央处理器(CPU)或微处理器，执行存储器203中的指令以实现上述各设备的功能。

通信总线202可包括一通路，在上述组件之间传送信息。所述通信接口304，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(RAN)，无线局域网(Wireless Local Area Networks，WLAN)等。

存储器203可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、只读光盘(Compact Disc Read-Only Memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。

其中，所述存储器203用于存储执行本发明方案的应用程序代码，并由处理器201来控制执行。所述处理器201用于执行所述存储器203中存储的应用程序代码。

在具体实现中，作为一种实施例，处理器201可以包括一个或多个CPU，例如图2中的CPU0和CPU1。

在具体实现中，作为一种实施例，计算机设备200可以包括多个处理器，例如图2中的处理器201和处理器208。这些处理器中的每一个可以是一个单核(single-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，计算机设备200还可以包括输出设备205和输入设备206。输出设备205和处理器201通信，可以以多种方式来显示信息。例如，输出设备205可以是液晶显示器(liquid crystal display，LCD),发光二级管(light emitting diode，LED)显示设备，阴极射线管(cathode ray tube，CRT)显示设备，或投影仪(projector)等。输入设备206和处理器201通信，可以以多种方式接受用户的输入。例如，输入设备206可以是鼠标、键盘、触摸屏设备或传感设备等。

上述的计算机设备200可以是一个通用计算机设备或者是一个专用计算机设备。在具体实现中，计算机设备200可以是台式机、便携式电脑、网络服务器、掌上电脑(Personal Digital Assistant，PDA)、移动手机、平板电脑、无线终端设备、通信设备、嵌入式设备或有图2中类似结构的设备。本发明实施例不限定计算机设备200的类型。

图1A和图1B中的云平台、主机、部署服务的物理服务器以及接入网元可以为图2所示的设备，存储器中存储了一个或多个软件模块，用于实现云平台、主机、部署服务的物理服务器以及接入网元的功能(例如：NAT转换功能等)。云平台、主机、部署服务的物理服务器以及接入网元可以通过处理器以及存储器中的程序代码来实现虚拟机访问物理服务器上部署的服务的方法。

需要说明的是，图2所示的计算机设备仅仅是给出了云计算系统中各部分的可能的硬件实现方式，根据系统各部分功能的不同或者变化，可以对计算机设备的硬件组件进行增删，以使得与系统各部分的功能进行匹配。

如图3所述，为本发明实施例提供的主机上的虚拟化结构示意图。主机为一台物理服务器，该主机的底层为硬件层，硬件层主要包括中央处理器(CPU，Central Processing Unit)、内存、硬盘以及物理网卡等硬件资源。服务器虚拟化是在物理服务器上借助虚拟化软件(如 VMWare ESX、Citrix XEN)实现多个虚拟机(Virtual Machine，VM)的虚拟化运行环境。安装在服务器上实现虚拟化环境的软件层被称为虚拟机监控器(Virtual Machine Monitor)，VMM。运行在硬件层之上的VMM承担对硬件层中的硬件资源进行调度、分配和管理工作。VMM之上运行多个虚拟机VM，VMM为每个虚拟机提供虚拟化的CPU、内存、存储、IO设备(如物理网卡)以及以太网交换机等硬件环境，保证多个虚拟机相互隔离运行。

在虚拟化运行环境中，VMM为每个虚拟机创建一个虚拟网卡(Virtual Network Interface Card，vNIC)，虚拟交换机vSwitch提供了虚拟机之间，以及虚拟机与外部网络之间的通讯能力。对于在VMM中运行的vSwitch，每个虚拟机的虚拟网卡对应到vSwitch的一个虚拟端口上，主机的物理网卡对应于vSwitch与外部架顶交换机相连的端口。图3中的虚线表示虚拟网络中的逻辑连接，实线表示物理连接。

一种可能的设计中，上述接入网元的功能由虚拟交换机(vSwitch)实现，云平台将虚拟机的NAT规则发送给虚拟交换机，虚拟交换机在与所述虚拟机相连的虚拟端口上配置所述NAT规则，当虚拟机交换机接收到来自虚拟机的服务访问请求时，使用所述NAT规则将所述服务访问请求的目的地址修改为与所述服务对应的发布IP地址和发布端口，从而将报文访问请求路由到部署了该服务的物理服务器。

在另一种可能的设计中，上述接入网元的功能由与主机相连的架顶交换机实现，云平台将虚拟机的NAT规则发生给架顶交换机，在架顶交换机上配置所述虚拟机的NAT规则，当架顶交换机收到来自虚拟机的服务访问请求时，使用所述NAT规则将所述服务访问请求的目的地址修改为与所述服务对应的发布IP地址和发布端口，从而将报文访问请求路由到部署了该服务的物理服务器。

需要说明的是，无论所述NAT规则是配置在主机上的虚拟网元还是在架顶交换机上，均实现相同的功能，即针对物理服务器的地址进行NAT转换，在出VM的方向上，将报文的目的地址修改为与所述服务对应的发布IP地址和发布端口，在入VM的方向上，将报文的源地址修改为与所述服务对应的发布IP地址和发布端口。报文在主机和物理服务器之间的路由流程按照现有的标准定义方式进行，本发明实施例并不进行限定，只要可以根据所述发布IP地址和发布端口将报文路由到物理服务器即可。

结合图1A和图1B所示的系统架构，如图4所示，为本发明实施例提供的虚拟机访问物理服务器的报文转发处理流程，包括：

步骤401：物理服务器上运行的服务的外部显示地址对虚拟机可见，虚拟机向物理服务器发送服务访问请求，所述服务访问请求的目的地址为与所述服务对应的发布IP地址和发布端口。

在一种可能的实施场景中，所述外部显示地址包括发布IP地址和发布端口，发布IP地址和发布端口可以唯一标识所述物理服务器运行的服务；

在另一种可能的实施场景中，所述外部显示地址为域名，所述域名可以唯一标识所述物理服务器运行的服务。虚拟机对所述域名发起域名解析操作，获取所述物理服务器运行的服务对应的发布IP地址和发布端口。

虚拟机在获取所述物理服务器运行的服务对应的发布IP地址和发布端口后，以所述发布IP地址和发布端口为目的地址发起所述服务访问请求。

步骤402：接入网元接收所述服务访问请求，根据NAT规则，将所述请求报文携带的目的地址替换为运行所述服务的物理服务器的IP地址和端口，所述NAT规则包括运行所述服务的物理服务器的IP地址和端口与所述服务对应的发布IP地址和发布端口的对应关系。

在一种可能的设计中，所述NAT规则具体可以为所述云平台中的SDN控制器下发的流表。

步骤403：经过NAT转换后的服务访问请求经过网络路由到运行所述服务的物理服务器。

步骤404：所述物理服务器接收所述虚拟机的服务访问请求，向所述虚拟机返回服务响应报文。

一方面，物理服务器发出的所述服务响应报文的源地址可以为与所述服务对应的发布IP地址和发布端口，当所述接入网元接收到所述服务响应报文时，无需对所述服务响应报文的源地址进行NAT转换，即可保证虚拟机无法获得物理服务器真实的地址。需要说明的是，物理服务器需要进行修改以记录与所述服务对应的发布IP地址和发布端口，并在返回的响应报文中将源地址设定为所述发布IP地址和发布端口，上述修改虽然会降低给物理服务器的部署效率，但由于接入网元接收到服务响应报文后无需替换服务响应报文的源地址，因此可以提高虚拟机访问物理服务器上的服务的效率。

另一方面，物理服务器发出的所述服务响应报文的源地址可以为所述物理服务器的真实IP地址和端口，所述服务响应报文经过经过网络路由到所述接入网元，所述接入网元根据所述NAT规则，将所述服务响应报文的源地址替换为与所述服务对应的所述发布IP地址和发布端口，将所述服务响应报文返回给所述虚拟机。经过上述处理流程，可以在不对物理服务器进行修改的前提下，保证虚拟机无法获取物理服务器真实的地址。

经过上述服务访问流程，虚拟机即可访问运行服务的物理服务器。同一服务具备同一外部显示地址，从而统一了虚拟机的访问方式。同时，物理服务器的真实地址对虚拟机不可见，保障了物理服务器的网络安全。

当虚拟机所属的用户申请终止服务或欠费导致服务终止，云平台删除记录的用户的授权信息，终止服务授权，并通知虚拟机连接的接入网元删除与所述用户关联的NAT规则。

进一步的，在虚拟机迁移场景下，当虚拟机从主机1迁移到主机2时，虚拟机对应的NAT规则也同时动态迁移，具体可以通过迁移工具实现动态迁移或者通过SDN控制器动态下发openflow流表等方式实现，从而保证了虚拟机迁移时可以持续访问物理服务器上的服务。在一种可能的设计中，虚拟机迁移前的接入网元与迁移后的接入网元建立连接，并将虚拟机对应的NAT规则发送到虚拟机迁移后的接入网元；在另一种可能的设计中，SDN控制器获取虚拟机迁移后的接入网元的地址，将NAT规则以流表的形式下发到迁移后的接入网元，保证虚拟机在迁移后可以正常访问服务。为了保证迁移过程中，虚拟机访问服务不中断，可以使用Conntrackd等工具将虚拟机的状态信息传递到主机2。

需要说明的是，运行服务的物理服务器可以是单台物理服务器，也可以是具备高可用性的物理服务器集群，服务器集群可以基于现有工具或者协议根据服务的性能需要来实现，本发明实施例并不进行限定。当物理服务器为服务器集群时，具体可以为共享服务集群或者单实例服务集群，所述共享服务集群提供基于用户访问权限彼此隔离服务的物理服务器的集群，所述单实例服务集群提供基于用户访问权限彼此无法隔离服务的物理服务器的集群。针对前述的不同的物理服务器集群，本发明实施例提供的服务访问方法均适用。

图5对应的实施例给出了虚拟机访问物理服务器上运行的服务的流程示意图，包括服务部署阶段、服务申请阶段、服务接入阶段。

云服务部署阶段：

步骤501：物理服务器上线后，在物理服务器上部署提供给虚拟机的一项或多项服务。

上述服务可以部署在单台物理服务器，也可以是部署在具备高可用性的物理服务器集群上。云平台管理员通过管理呈现界面对物理服务器进行配置以及在物理服务器上部署服务，具体流程可以采用现有方案，本发明实施例对此并不进行限定。

步骤502：云平台记录运行所述服务的物理服务器的IP地址和端口。

当上述服务部署在单台物理服务器上时，虚拟机访问所述单台物理服务器以接入上述服务；当上述服务部署在物理服务器集群上时，云平台记录的运行所述服务的物理服务器的IP地址和端口为物理服务器集群对外呈现的IP地址和端口。例如，当集群为主备模式时，主备物理服务器具备相同的IP地址和端口，该相同的IP地址和端口即为物理服务器集群对外呈现的地址；或者，当多个物理服务器组成一个集群，对外呈现集群中主节点的虚拟IP地址和虚拟端口作为物理服务器集群对外呈现的地址。

需要说明的是，不同服务的端口不同，当多项服务部署在同一物理服务器上时，可以通过端口区分不同的服务。

步骤503：云平台为所述服务分配外部显示地址，所述外部显示地址可以唯一标识所述服务。在一种可能的实现场景中，所述外部显示地址包括发布IP地址和发布端口；在另一种可能的实现场景中，所述外部显示地址为与所述服务对应的域名，所述云平台为所述服务分配发布IP地址和发布端口，建立所述域名与所述发布IP地址和发布端口的映射关系。

在一种可能的设计中，云平台记录有物理服务器的IP地址和端口、物理服务器运行的服务的标识，以及与所述服务对应的发布IP地址和发布端口三者之间的关联关系，更进一步的，当外部显示地址为与服务对应的域名时，所述关联关系还可以包括与服务对应的域名。

步骤504：服务部署完成后，云平台对外发布服务信息，所述服务信息包括服务的外部显示地址。

服务申请阶段

步骤505：用户查询云平台提供的服务，并向云平台发起服务申请请求。

云平台的服务呈现界面对用户可见，用户通过所述虚拟机登录上述服务呈现界面，查询服务信息，并向云平台发起服务申请请求，所述服务申请请求可以携带待申请的服务的标识、用户标识以及虚拟机标识等等。需要说明的是，本发明实施例对服务申请请求携带的内容并不进行限定，只要云平台可以从服务申请请求中获取执行服务审批所需的信息即可。

步骤506：云平台审批上述服务申请请求，审批通过后，记录用户的授权信息，所述授权信息包括用户标识、虚拟机标识、权限以及分配给所述用户的账号和密码等等。

云平台接收到用户的服务申请后，可以自动审批或由管理员手动审批，对于审批不通过的服务申请，向所述虚拟机返回失败原因。当所述服务申请请求审批通过后，云平台将授权信息返回给所述虚拟机。

需要说明的是，服务授权可以是用户粒度的，即当用户的服务申请请求审批通过后，归属于该用户的所有虚拟机均可以访问该服务，此时授权信息可以不包含虚拟机标识；服务授权可以是虚拟机粒度的，即限定用户仅可以通过获得审批的虚拟机访问服务，此时，授权信息可以不包含用户标识。授权信息中的权限是指用户访问服务的操作权限，例如，可以通过所述授权信息中的权限限定用户仅具备数据库服务的查询权限，或者，授予用户针对数据库服务的更新权限。

步骤507：云平台向虚拟机返回服务申请响应，当来自所述虚拟机的服务申请请求审批通过时，所述服务申请响应包括所述服务的外部显示地址，以及所述授权信息等等。

步骤508：云平台向所述虚拟机的接入网元下发NAT规则，所述NAT规则包括运行所述服务的物理服务器的IP地址和端口与所述服务对应的发布IP地址和发布端口的对应关系。

步骤509：所述虚拟机的接入网元接收并记录所述NAT规则，用于后续数据包的处理。

服务访问阶段

步骤510：虚拟机发送服务访问请求，所述服务访问请求的目的地址为与所述服务对应的发布IP地址和发布端口。

需要说明的是，服务的外部显示地址可以为域名。服务部署完成后，云平台可以通过注册流程，将所述域名与所述服务对应的所述发布IP地址和发布端口的对应关系发送到所述域名系统DNS服务器；所述虚拟机用于发起域名解析操作，根据所述域名从所述DNS服务器获取与所述服务对应的所述发布IP地址和发布端口。所述DNS服务器为所述云计算系统的内部DNS服务器。

步骤511：接入网元接收所述服务访问请求，根据NAT规则，将所述服务访问请求的目的地址替换为运行所述服务的物理服务器的IP地址和端口，所述NAT规则包括运行所述服务的物理服务器的IP地址和端口与所述服务对应的发布IP地址和发布端口的对应关系。

步骤512：NAT转换后的服务访问请求经过网络路由到运行所述服务的物理服务器。

步骤513：所述物理服务器接收所述虚拟机的服务访问请求，返回服务响应报文，所述服务响应报文的源地址为所述物理服务器的IP地址和端口。

步骤514：所述服务响应报文经过经过网络路由到所述接入网元。

步骤515：所述接入网元根据所述NAT规则，将所述服务响应报文的源地址替换为与所述服务对应的所述发布IP地址和发布端口，将所述服务响应报文返回给所述虚拟机。

本发明实施例提供的虚拟机访问物理服务器的方法，可以对虚拟机屏蔽部署服务的物理服务器的真实IP地址，同时向虚拟机提供统一的访问方式，既保证了云平台的网络安全，又提高了用户访问服务的便利性。进一步的，针对同一服务配置相同访问方式，降低了物理服务器上部署和运维管理服务的复杂度，而且用户无需关注物理服务器提供服务的上线、运维、升级和高可用等功能；上述服务访问流程中无需使用Vxlan等隧道技术，传输效率更高；由各个虚拟机连接的接入网元执行NAT规则,提高了海量用户安全访问PAAS服务的并发处理效率。

需要说明的是，用户可以登录到云平台提供的服务呈现界面，查看服务信息，发起服务申请。云平台可以对来自虚拟机的服务申请进行鉴权，具体的鉴权方式可以为账号密码的方式或者其他方式，本发明实施例对此并不进行限定。

云平台可以以用户、虚拟机或主机的粒度控制虚拟机对服务的访问，例如，云平台对用户进行服务授权，归属于所述用户的虚拟机均可以访问服务；或者，云平台针对虚拟机进行服务访问授权，每个虚拟机以不同的IP接入物理服务器的服务；或者，一个主机上的多个虚拟机共享IP，对云平台呈现为相同IP地址接入到物理服务器的服务，此时，可以通过不用的报文端口来区分同一主机上的多个虚拟机。

进一步的，云平台还可以终止虚拟机的服务访问授权，服务访问授权的终止可以是用户主动发起终止申请或者云平台判断用户欠费等原因引起的。云平台向虚拟机所在的接入网元下发删除消息，用于删除所述接入网元上记录的所述虚拟机的NAT规则，删除云平台中记录的用户信息，停止对用户的访问授权。云平台可以保留将用户的数据保存一定的时间，并为用户提供的数据拷贝服务，在合理时间段的有效期内，用户可以选择续费并继续使用该PM提供的服务。

与前述图1A和图1B所示的云计算系统以及图4、5所示的访问流程相对应，如图6所示，为本发明实施例提供的一种云平台的结构示意图，包括：处理单元601、发布单元602、接收单元603以及发送单元604，

所述处理单元601，用于为服务分配与所述服务对应的发布IP地址和发布端口，记录所述发布IP地址和发布端口与运行所述服务的物理服务器的IP地址和端口的对应关系；

所述发布单元602，用于发布所述服务；

所述接收单元603，用于接收虚拟机发送的服务申请请求；

所述发送单元604，用于向所述虚拟机的接入网元发送NAT规则，所述NAT规则包括所述发布IP地址和发布端口与运行所述服务的所述物理服务器的IP地址和端口的对应关系，其中，所述虚拟机通过所述接入网元接入到云计算系统的网络。

进一步的，云平台通过上述发布单元对外发布服务信息具体为：

所述发布单元602，具体用于向所述虚拟机提供服务呈现界面，显示服务信息，所述服务信息包括所述服务的外部显示地址。

所述外部显示地址包括所述服务对应的域名，或者与所述服务对应的发布IP地址和发布端口。所述外部显示地址可以唯一标识所述服务。

更进一步的，云计算系统中还包括DNS服务器，所述DNS服务器为所述云计算系统的内部使用的DNS服务器，运行所述虚拟机的主机、云平台、DNS服务器通过网络相连，云平台完成服务部署后，当所述服务的外部显示地址为与所述服务对应的域名时，所述发送单元604，还用于向域名系统DNS服务器下发所述域名与所述发布IP地址和发布端口的对应关系。

所述发送单元604，还用于向所述虚拟机返回服务申请响应，所述服务申请响应携带所述外部显示地址。

所述处理单元601，还用于记录所述虚拟机所属的用户的授权信息，所述用户的授权信息包括用户标识、虚拟机标识以及分配给所述用户的账号和密码。

所述接收单元603，还用于接收虚拟机创建请求；

所述处理单元601，还用于根据所述虚拟机创建请求为所述用户创建另一虚拟机；

所述发送单元604，还用于在所述另一虚拟机创建完成后，向所述另一虚拟机连接的接入网元下发所述NAT规则。

所述处理单元601，还用于终止对所述虚拟机的服务授权；

所述发送单元604，还用于向所述接入网元发送删除消息，通知所述接入网元删除所述虚拟机的NAT规则。

如图7A和7B所示，为本发明实施例提供的一种接入装置，实现前述系统中的接入网元的功能，所述接入装置包括：

客户端发送单元701，用于向云平台转发虚拟机的服务申请请求；

客户端接收单元702，用于接收云平台在对所述服务申请请求审批通过后返回的虚拟机的NAT规则，所述NAT规则包括所述发布IP地址和发布端口与运行所述服务的所述物理服务器的IP地址和端口的对应关系，其中，所述虚拟机通过所述接入网元接入到云计算系统的网络；

所述客户端发送单元701，还用于接收所述虚拟机发送的服务访问请求，所述服务访问请求的目的地址为与所述服务对应的所述发布IP地址和发布端口；

客户端处理单元703，用于根据所述NAT规则，将所述服务访问请求的目的地址替换为所述物理服务器的IP地址和端口；

所述客户端发送单元701，还用于将修改后的服务访问请求路由到所述物理服务器；

所述客户端接收单元702，用于接收所述物理服务器返回的服务响应消息。

进一步的，所述客户端处理单元703，还用于根据所述NAT规则将所述服务响应消息的源地址替换为与所述服务对应的所述发布IP地址和发布端口；

所述客户端发送单元702，还用于将修改后的服务响应消息发送给所述虚拟机。

如图7A所示，所述接入装置可以为前述系统中所述主机上的功能部件，主机上的中央处理器运行指令实现接入装置的上述功能；如图7B所示，所述接入装置可以为前述系统中所述的架顶交换机，所述架顶交换机可以为与所述主机独立的物理设备，在另一种可能的设计中，架顶交换机可以为所述主机中的一个物理部件。前述云平台以及接入装置可以采用如图2所示的计算机设备实现。

本发明实施例还提供了一种计算机存储介质，用于储存为上述图6和7所示的设备所用的计算机软件指令，其包含用于执行上述方法实施例所设计的程序。通过执行存储的程序，可以实现虚拟机访问物理服务器上部署的服务的方法。

综上所述，本发明实施例提供的虚拟机访问物理服务器的方法，装置和系统，可以对虚拟机屏蔽部署服务的物理服务器的真实IP地址，同时向虚拟机提供统一的访问方式，既保证了云平台的网络安全，又提高了用户访问服务的便利性。进一步的，针对同一服务配置相同访问方式，降低了物理服务器上部署和运维管理服务的复杂度，而且用户无需关注物理服务器提供服务的上线、运维、升级和高可用等功能；虚拟机对物理服务器的访问不使用Vxlan等隧道技术，传输效率更高；由各个虚拟机连接的接入网元执行NAT规则,提高了海量用户安全访问PAAS服务的并发处理效率。

尽管在此结合各实施例对本发明进行了描述，然而，在实施所要求保护的本发明过程中，本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书，可理解并实现所述公开实施例的其他变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

本领域技术人员应明白，本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。计算机程序存储/分布在合适的介质中，与其它硬件一起提供或作为硬件的一部分，也可以采用其他分布形式，如通过Internet或其它有线或无线电信系统。

本发明是参照本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管结合具体特征及其实施例对本发明进行了描述，显而易见的，在不脱离本发明的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本发明的示例性说明，且视为已覆盖本发明范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

一种云计算系统，其特征在于，所述系统包括云平台、至少一个物理服务器、至少一个主机以及至少一个接入网元，所述主机、所述物理服务器以及所述云平台相互通信，所述主机上运行有至少一个虚拟机，所述虚拟机通过所述接入网元访问所述物理服务器，所述物理服务器上部署有服务，

所述云平台用于为所述服务分配与所述服务对应的发布IP地址和发布端口，记录所述发布IP地址和发布端口与运行所述服务的所述物理服务器的IP地址和端口的对应关系，发布所述服务；

所述云平台还用于接收所述虚拟机发送的服务申请请求，向所述接入网元发送NAT规则，所述NAT规则包括所述发布IP地址和发布端口与运行所述服务的所述物理服务器的IP地址和端口的对应关系；

所述接入网元用于接收所述虚拟机发送的服务访问请求，所述服务访问请求的目的地址为与所述服务对应的所述发布IP地址和发布端口；

所述接入网元还用于根据所述NAT规则，将所述服务访问请求的目的地址替换为所述物理服务器的IP地址和端口，将修改后的服务访问请求路由到所述物理服务器，并接收所述物理服务器返回的服务响应消息。
如权利要求1所述的系统，其特征在于，

所述服务响应消息的源地址为所述物理服务器的IP地址和端口，

所述接入网元还用于根据所述NAT规则将所述服务响应消息的源地址替换为与所述服务对应的所述发布IP地址和发布端口，将修改后的服务响应消息发送给所述虚拟机。
如权利要求1或2所述的系统，其特征在于，

所述云平台还用于向所述虚拟机提供服务呈现界面，显示服务信息，所述服务信息包括所述服务的外部显示地址。
如权利要求3所述的系统，其特征在于，

所述外部显示地址包括所述服务对应的域名，或者与所述服务对应的发布IP地址和发布端口。
如权利要求4所述的系统，其特征在于，

当所述服务的外部显示地址为与所述服务对应的域名时，所述云平台还用于向域名系统DNS服务器下发所述域名与所述发布IP地址和发布端口的对应关系；所述虚拟机用于发起域名解析操作，根据所述域名从所述DNS服务器获取与所述服务对应的所述发布IP地址和发布端口。
如权利要求3-5任一所述的系统，其特征在于，

所述云平台还用于向所述虚拟机返回服务申请响应，所述服务申请响应携带所述外部显示地址。
如权利要求6所述的系统，其特征在于，

所述云平台还用于记录所述虚拟机所属的用户的授权信息，所述用户的授权信息包括用户标识、虚拟机标识以及分配给所述用户的账号和密码。
如权利要求7所述的系统，其特征在于，

所述云平台还用于接收虚拟机创建请求，为所述用户创建另一虚拟机，向所述另一虚拟机连接的接入网元下发所述NAT规则。
如权利要求1-8任一所述的系统，其特征在于，

云平台还用于终止对所述虚拟机服务授权，向所述接入网元发送删除消息，通知所述接入网元删除所述虚拟机的NAT规则。
一种云计算系统中虚拟机访问物理服务器的方法，其特征在于，包括：

云平台为服务分配与所述服务对应的发布IP地址和发布端口，记录所述发布IP地址和发布端口与运行所述服务的物理服务器的IP地址和端口的对应关系，发布所述服务；

所述云平台接收虚拟机发送的服务申请请求，向所述虚拟机的接入网元发送NAT规则，所述NAT规则包括所述发布IP地址和发布端口与运行所述服务的所述物理服务器的IP地址和端口的对应关系，其中，所述虚拟机通过所述接入网元接入到云计算系统的网络；

所述接入网元接收所述虚拟机发送的服务访问请求，所述服务访问请求的目的地址为与所述服务对应的所述发布IP地址和发布端口；

所述接入网元根据所述NAT规则，将所述服务访问请求的目的地址替换为所述物理服务器的IP地址和端口，将修改后的服务访问请求路由到所述物理服务器；

所述接入网元接收所述物理服务器返回的服务响应消息，将所述服务响应消息发送给所述虚拟机。
如权利要求10所述的方法，其特征在于，所述云平台发布所述服务包括：

所述云平台向所述虚拟机提供服务呈现界面，显示服务信息，所述服务信息包括所述服务的外部显示地址。
如权利要求11所述的方法，其特征在于，所述外部显示地址包括所述服务对应的域名，或者与所述服务对应的发布IP地址和发布端口。
如权利要求12所述的方法，其特征在于，当所述服务的外部显示地址为与所述服务对应的域名时，在所述云平台接收虚拟机发送的服务申请请求之前，所述方法还包括：

所述云平台向域名系统DNS服务器下发所述域名与所述发布IP地址和发布端口的对应关系，以使得所述虚拟机发起域名解析操作时，根据所述域名从所述DNS服务器获取与所述服务对应的所述发布IP地址和发布端口。
如权利要求11-13任一所述的方法，其特征在于，所述云平台接收所述虚拟机发送的服务申请请求后，所述方法还包括：

所述云平台向所述虚拟机返回服务申请响应，所述服务申请响应携带所述外部显示地址。
如权利要求14所述的方法，其特征在于，在对所述服务申请请求审批通过后，所述方法还包括：

所述云平台记录所述虚拟机所属的用户的授权信息，所述用户的授权信息包括用户标识、虚拟机标识以及分配给所述用户的账号和密码。
如权利要求15所述的方法，其特征在于，所述方法还包括：

所述云平台接收虚拟机创建请求，为所述用户创建另一虚拟机，向所述另一虚拟机连接的接入网元下发所述NAT规则。
如权利要求10-16任一所述的方法，其特征在于，所述方法还包括：

所述云平台终止对所述虚拟机的服务授权，向所述接入网元发送删除消息，通知所述接入网元删除所述虚拟机的NAT规则。
一种云计算系统中虚拟机访问物理服务器的方法，其特征在于，包括：

接入网元向云平台转发虚拟机的服务申请请求；

接入网元接收云平台在对所述服务申请请求审批通过后返回的虚拟机的NAT规则，所述NAT规则包括所述发布IP地址和发布端口与运行所述服务的所述物理服务器的IP地址和端口的对应关系，其中，所述虚拟机通过所述接入网元接入到云计算系统的网络；

所述接入网元接收所述虚拟机发送的服务访问请求，所述服务访问请求的目的地址为与所述服务对应的所述发布IP地址和发布端口；

所述接入网元根据所述NAT规则，将所述服务访问请求的目的地址替换为所述物理服务器的IP地址和端口，将修改后的服务访问请求路由到所述物理服务器，并接收所述物理服务器返回的服务响应消息。
如权利要求18所述的方法，其特征在于，所述服务响应消息的源地址为所述物理服务器的IP地址和端口，所述方法还包括：

所述接入网元根据所述NAT规则将所述服务响应消息的源地址替换为与所述服务对应的所述发布IP地址和发布端口，将修改后的服务响应消息发送给所述虚拟机。
一种接入装置，其特征在于，包括：

客户端发送单元，用于向云平台转发虚拟机的服务申请请求；

客户端接收单元，用于接收云平台在对所述服务申请请求审批通过后返回的虚拟机的NAT规则，所述NAT规则包括所述发布IP地址和发布端口与运行所述服务的所述物理服务器的IP地址和端口的对应关系，其中，所述虚拟机通过所述接入网元接入到云计算系统的网络；

所述客户端发送单元，还用于接收所述虚拟机发送的服务访问请求，所述服务访问请求的目的地址为与所述服务对应的所述发布IP地址和发布端口；

客户端处理单元，用于根据所述NAT规则，将所述服务访问请求的目的地址替换为所述物理服务器的IP地址和端口；

所述客户端发送单元，还用于将修改后的服务访问请求路由到所述物理服务器；

所述客户端接收单元，用于接收所述物理服务器返回的服务响应消息。
如权利要求20所述的接入装置，其特征在于，

所述客户端处理单元，还用于根据所述NAT规则将所述服务响应消息的源地址替换为与所述服务对应的所述发布IP地址和发布端口；

所述客户端发送单元，还用于将修改后的服务响应消息发送给所述虚拟机。
一种计算机，其特征在于，包括处理器、存储器以及系统总线，所述存储器中存储有指令，所述处理器执行所述存储器中的指令以执行如权利要求10-19任一所述的方法。