WO2022063170A1

WO2022063170A1 - 一种公有云的网络配置方法及相关设备

Info

Publication number: WO2022063170A1
Application number: PCT/CN2021/119867
Authority: WO
Inventors: 郜忠华; 王睿
Original assignee: 华为云计算技术有限公司
Priority date: 2020-09-25
Filing date: 2021-09-23
Publication date: 2022-03-31
Also published as: CN114338606B; EP4221103A1; EP4221103A4; CN114338606A

Abstract

本申请提供一种公有云的网络配置方法及相关设备。其中，该方法应用于云管理平台，包括：为租户提供输入接口，所述输入接口用于接收所述租户输入的虚拟机网口标识，所述虚拟机网口标识用于识别需要配置子接口的虚拟机的网口；确定所述虚拟机网口标识对应的虚拟机的网口，为所述网口设置子接口，并将所述子接口的信息提供给所述租户。上述方法能够对虚拟机的网口设置子接口，以实现虚拟机中的容器等通过设置的子接口使用公有云上的云服务，具备与虚拟机相同的网络能力。

Description

一种公有云的网络配置方法及相关设备

技术领域

本发明涉及云计算技术领域，尤其涉及一种公有云的网络配置方法及相关设备。

背景技术

云计算作为近年来新兴的产业，获得了科研界和产业界的广泛关注。云计算在全世界范围的兴起，以其灵活、高效、低成本、节能的运作方式成为推动产业绿色发展的重要引擎和21世纪新的商业平台。在公有云场景下，租户在公有云上部署虚拟机(virtual machine，VM)时，需要为虚拟机在租户的虚拟私有云(virtual private cloud，VPC)内的子网(subnet)内创建接口(interface)，用以和VPC内其它的虚拟机进行通信。

现有公有云技术在虚拟机内支持容器，而容器之间的通信通过接口的子网际互连协议(Sub IP)支持，对每个虚拟机的接口，可以配置与接口IP相同网段的Sub IP，每个Sub IP通过IP虚拟局域网(virtual local area network，VLAN)的方式在虚拟机内创建逻辑接口，并将逻辑接口与容器网络名空间关联。这种通信方式难以利用网络安全组实现容器通信安全且通信策略配置复杂，而且需要依赖IP VLAN模块将Sub IP转换为逻辑接口，容器地址与虚拟机的接口地址在同一个网段，容器发生迁移时可能将会导致地址修改，此外，由于弹性负载均衡(elastic load balance，ELB)、弹性公网IP(elastic IP，EIP)等网络服务不支持Sub IP模型，因此，部署于虚拟机内的容器也不能支持ELB、EIP等网络服务。

发明内容

本发明实施例公开了一种公有云的网络配置方法及相关设备，能够对虚拟机的网口设置子接口，以实现虚拟机中的容器等通过设置的子接口使用公有云上的云服务，具备与虚拟机相同的网络能力。

第一方面，本申请提供一种公有云的网络配置方法，所述方法包括：为租户提供输入接口，所述输入接口用于接收所述租户输入的虚拟机网口标识，所述虚拟机网口标识用于识别需要配置子接口的虚拟机的网口；确定所述虚拟机网口标识对应的虚拟机的网口，为所述网口设置子接口，并将所述子接口的信息提供给所述租户。

在本申请提供的方案中，根据租户输入的虚拟机网口标识从而确定虚拟机的网口并为该网口配置子接口，然后将子接口的信息提供给租户，以使得虚拟机中的容器等可以通过配置的子接口使用公有云上的云服务，具备与虚拟机等同的网络能力。

结合第一方面，在第一方面的一种可能的实现方式中，所述输入接口还用于接收租户输入的所述子接口的配置信息，所述云管理平台根据所述配置信息配置所述子接口。

在本申请提供的方案中，租户通过输入子接口配置信息以使云管理平台配置子接口，保证配置得到的子接口具备与虚拟机相同的网络能力。

结合第一方面，在第一方面的一种可能的实现方式中，所述子接口与所述虚拟机中的容器绑定，所述容器通过所述子接口进行网络报文处理。

在本申请提供的方案中，通过将配置的子接口与虚拟机中的容器绑定，可以保证容器之间可以利用配置的子接口进行相互通信，从而完成网络报文处理，简化了容器通信过程。

结合第一方面，在第一方面的一种可能的实现方式中，所述子接口的配置信息包括安全组规则，所述安全组规则用于对绑定所述子接口的所述容器的报文进行安全组处理。

在本申请提供的方案中，可以利用网络安全组实现容器访问安全，简化了容器访问策略配置。

结合第一方面，在第一方面的一种可能的实现方式中，所述子接口的配置信息包括所述子接口的子网信息以及所述子接口的虚拟局域网标识VlanID。

在本申请提供的方案中，利用子接口的子网信息和VlanID对子接口进行配置，保证所配置得到的子接口具备与虚拟机的主接口相同的网络能力。

结合第一方面，在第一方面的一种可能的实现方式中，确定所述虚拟机网口标识对应的虚拟机所在的服务器；通知所述服务器的虚拟机管理器在所述虚拟机的所述网口下设置所述子接口。

在本申请提供的方案中，网络配置器在接收到租户输入的虚拟机网口标识之后，首先确定该虚拟机网口标识对应的虚拟机所在的服务器，然后通知该服务器中的虚拟机管理器完成子接口的配置。

结合第一方面，在第一方面的一种可能的实现方式中，所述子接口的信息包括所述子接口的子接口标识UUID、所述子接口的私网地址和子网信息、所述子接口的MAC地址以及所述子接口的VlanID中的一者或任意组合。

结合第一方面，在第一方面的一种可能的实现方式中，所述输入接口包括配置界面、应用程序编程接口API和输入模板。

在本申请提供的方案中，租户通过网络配置器提供的配置界面、API和输入模板输入虚拟机网口标识和子接口配置信息，从而使得网络配置器能够完成子接口配置，使得配置得到的子接口具体与虚拟机的主接口相同的网络能力。

第二方面，本申请提供了一种网络设备，包括：接收模块，用于接收租户输入的虚拟机网口标识，所述虚拟机网口标识用于识别需要配置子接口的虚拟机的网口；处理模块，用于确定所述虚拟机网口标识对应的虚拟机的网口，为所述网口设置子接口，并将所述子接口的信息提供给所述租户。

结合第二方面，在第二方面的一种可能的实现方式中，所述接收模块，还用于接收所述租户输入的所述子接口的配置信息；所述处理模块，还用于根据所述配置信息配置所述子接口。

结合第二方面，在第二方面的一种可能的实现方式中，所述子接口与所述虚拟机中的容器绑定，所述容器通过所述子接口进行网络报文处理。

结合第二方面，在第二方面的一种可能的实现方式中，所述子接口的配置信息包括安全组规则，所述安全组规则用于对绑定所述子接口的所述容器的报文进行安全组处理。

结合第二方面，在第二方面的一种可能的实现方式中，所述子接口的配置信息包括所述子接口的子网信息以及所述子接口的虚拟局域网标识VlanID。

结合第二方面，在第二方面的一种可能的实现方式中，所述处理模块，具体用于：确定所述虚拟机网口标识对应的虚拟机所在的服务器；通知所述服务器的虚拟机管理器在所述虚拟机的所述网口下设置所述子接口。

结合第二方面，在第二方面的一种可能的实现方式中，所述子接口的信息包括所述子接口的子接口标识UUID、所述子接口的私网地址和子网信息、所述子接口的媒体存取控制MAC地址以及所述子接口的虚拟局域网标识VlanID中的一者或任意组合。

结合第二方面，在第二方面的一种可能的实现方式中，所述输入接口包括配置界面、应用程序编程接口API和输入模板。

第三方面，本申请提供了一种计算设备，所述计算设备包括处理器和存储器，所述存储器用于存储程序代码，所述处理器用于调用所述存储器中的程序代码执行上述第一方面以及结合上述第一方面中的任意一种实现方式的方法。

第四方面，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，当该计算机程序被处理器执行时，可以实现上述第一方面以及结合上述第一方面中的任意一种实现方式所提供的公有云的网络配置方法的流程。

第五方面，本申请提供了一种计算机程序产品，该计算机程序产品包括指令，当该计算机程序被计算机执行时，使得计算机可以执行上述第一方面以及结合上述第一方面中的任意一种实现方式所提供的公有云的网络配置方法的流程。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的一种虚拟机中部署容器的场景示意图；

图2是本申请实施例提供的又一种虚拟机中部署容器的场景示意图；

图3是本申请实施例提供的一种系统架构的结构示意图；

图4是本申请实施例提供的一种公有云的网络配置方法的流程示意图；

图5是本申请实施例提供的一种配置界面的示意图；

图6是本申请实施例提供的一种设置子接口的场景示意图；

图7是本申请实施例提供的一种网络报文处理的示意图；

图8是本申请实施例提供的一种子接口的安全组配置示意图；

图9是本申请实施例提供的一种网络设备的结构示意图；

图10是本申请实施例提供的一种计算设备的结构示意图。

具体实施方式

下面结合附图对本申请实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

首先，结合附图对本申请中所涉及的部分用语和相关技术进行解释说明，以便于本领域技术人员理解。

虚拟私有云(virtual private cloud，VPC)是一个公共云计算资源的动态配置池，需要使用加密协议、隧道协议和其它安全程序，在企业和云服务提供商之间传输数据。VPC为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署，可以在VPC中定义安全组、虚拟专用网(virtual private network，VPN)、IP地址段、带宽等网络特性，租户可以通过VPC方便的管理、配置内部网络，进行安全快捷的网络变更。

网际协议虚拟局域网(IPVlan)可以从一个主机接口虚拟出多个虚拟网络子接口，每个子接口都具有相同的MAC地址，当使用动态主机配置协议(dynamic host configuration protocol，DHCP)分配IP时，需要配置唯一的主机标识(clientID)字段作为机器的标识，IPVlan有两种不同的工作模式，一个父接口(即主机接口)只能选择其中一种模式，不能采用混用模式，依附于它的所有虚拟子接口都会运行在这个模式下。

命名空间是Linux内核的一个强大特性，为容器虚拟化的实现带来极大便利，利用这个特性，每个容器都可以拥有自己单独的命名空间，运行在其中的应用都像是在独立的操作系统环境中一样，命名机制保证了容器之间彼此互不影响，随着Linux系统对于命名空间功能的逐步完善，现在已经让进程在彼此隔离的命名空间中运行，虽然这些进程仍在共用同个内核和某些运行环境(例如一些系统命令和系统库)，但是彼此之间是不可见的，并且认为自己是独占系统的。

安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，租户可以在安全组中定义各种访问规则，例如出方向规则和入方向规则，这些规则会对安全组内部的弹性云服务器出入方向网络流量进行访问控制，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。

弹性网络接口(elastic network interface，ENI)是VPC中的一个逻辑网络组件，代表虚拟网卡，ENI是绑定私有网络内云服务器的一种弹性网络接口，可在多个云服务器间自由迁移，可以在云服务器上绑定多个网卡实现高可用网络或者在弹性网卡上绑定多个内网IP，实现单主机多IP部署。

虚拟机(virtual machine，VM)是指通过软件模型的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。实体计算机中能够完成的工作在VM中都能够实现，在创建VM时，需要将实体计算机的部分硬盘和内存容量作为VM的硬盘和容量，每个VM都有独立的硬盘和操作系统等，可以像使用实体机一样对虚拟机进行操作。

容器(container)是计算机操作系统中的一种虚拟化技术，该技术使得进程运行于相对独立和隔离的环境(包含独立的文件系统、命名空间、资源视图等)，从而能够简化软件的部署流程，增强软件的可移植性和安全性，提高系统资源的利用率，容器技术广泛应用于云计算领域的服务化场景。

网口：网络接口，例如为eth0，eth0，网络接口在操作系统中表示一个网卡。

子接口：由网络接口虚拟出来的子接口，例如为eth0.1，eth0.2，具体是从此网卡上虚拟出来的子网卡，子接口在操作系统中表示网卡虚拟出来的子网卡。

其中，上述的网卡可以是物理网卡，或者是分配给虚拟机使用的虚拟网卡。

在租户虚拟机中部署容器化应用的场景中，需要通过虚拟机接口的SubIP以支持容器。如图1所示，主机100和主机200之间通过虚拟机监控程序(HyperVisor)隧道进行连接，主机100中运行着虚拟机110和虚拟机监控程序120，虚拟机110中部署了容器1110和容器1120，虚拟机110的接口的IP为：10.1.0.100，为了支持容器1110和容器1120，需要配置与虚拟机110接口IP相同网段的SubIP，例如可以将容器1110对应的IP配置为：10.1.0.101，将容器1120对应的IP配置为：10.1.0.102，在配置SubIP完成之后，每个SubIP通过IPVlan方式在虚拟机110内创建逻辑接口，并将创建的逻辑接口与容器名空间关联，以使得每个容器都对应一个逻辑接口。同理，主机200与主机100类似，通过上述相同的方法为虚拟机210中部署的容器2110和容器2120配置SubIP并创建相应的逻辑接口。在完成上述配置之后，容器之间就可以正常进行通信了，例如虚拟机110中的容器1110可以与虚拟机210中的容器2110进行通信。

可以看出，在图1所示的利用SubIP支持容器的场景中，需要将SubIP转换为逻辑接口才能绑定容器名空间，且容器地址与虚拟机地址在同一个网段，若容器迁移至别的虚拟机，与原来虚拟机地址不在同一个网段时，需要修改容器地址。此外，由于网络安全组采用端口模型，因此不能利用一个安全组来表达一个容器应用，无法利用网络安全组实现容器安全，导致容器访问策略配置复杂，且ELB、EIP等网络服务不支持SubIP，所以容器也无法支持ELB、EIP等网络服务。

或者，通过VPC内自定义路由表以支持容器。如图2所示，主机300和主机400之间通过HyperVisor隧道连接，它们属于同一个VPC，主机300中运行着虚拟机310和虚拟机监控程序320，虚拟机310中部署了容器3110、容器3120和网关3130，虚拟机310的接口IP为：10.1.0.100，容器3110和容器3120使用一个固定的IP地址段，例如容器3110对应的IP为：192.168.1.2，容器3120对应的IP为：192.168.1.3，针对每个容器对应的IP，在虚拟机310内创建逻辑接口，并将创建的逻辑接口与容器名空间关联，以使得每个容器都对应一个逻辑接口。同理，主机400中运行的虚拟机410中所部署的容器4110和容器4120也使用一个固定的IP地址段，例如容器4110对应的IP为：192.168.2.2，容器4120对应的IP为：192.168.2.3，在虚拟机410内创建逻辑接口，并与容器名空间关联。之后，将IP地址段配置为VPC的路由表，示例性的，192.168.1.0至192.168.1.16的地址段对应虚拟机310，192.168.2.0至192.168.2.16的地址段对应虚拟机410，然后将配置得到的路由表保存至每个虚拟机的网关中(例如网关3130和网关4130)，这样，不同容器之间可以进行正常通信，当容器需要访问另一个虚拟机中的容器时，可以利用VPC自定义路由表的表项进行访问。

同样的，图2所示的利用VPC自定义路由表支持容器的场景中，也需要将容器对应的IP转换为逻辑接口才能绑定容器名空间，不同的虚拟机使用独立的网段，容器跨虚拟机迁移后需要修改容器地址，每个虚拟机内需要做转发网关以处理默认路由、地址解析协议(address resolution protocol，ARP)等，导致容器实现复杂。此外，也无法利用网络安全组实现容器安全，不能支持ELB、EIP等网络服务，也不能用于访问对象存储服务(object storage service，OBS)等云服务。

为了解决上述问题，本申请提供了一种公有云的网络配置方法及相关设备，该方法应用于云管理平台，通过租户输入的虚拟机网口标识，识别出需要配置子接口的虚拟机的网口，并对该网口进行设置得到子接口，利用设置得到的子接口以支持该虚拟机中的容器等应用程序，使得容器具备和虚拟机一样的网络能力，且可以利用网络安全组实现容器安全并支持各种网络服务。

本申请实施例的技术方案还可以应用于各种需要依赖于公有云下网络子接口的场景，包括但不限于网络功能虚拟化(network function virtualization，NFV)场景、虚拟机支持多租户、多VPC访问场景等。

图3是本申请实施例提供的一种系统架构的示意图。如图3所示，该系统包括虚拟机310和虚拟机320，虚拟机310存在两个以太网口，分别为网口3110和网口3120，其中针对网口3110，设置了两个子接口，即子接口3111和子接口3112，针对网口3120设置了子接口3121，虚拟机320中存在一个以太网口3210，针对该网口设置了两个子接口，分别为子接口3211和子接口3212。需要说明的是，各个子接口在虚拟机内部都是ENI的一个子接口，每个子接口对应唯一的VlanID，每个子接口都可以绑定与网口不同的子网，子网可以属于不同的VPC。例如，网口3110、子接口3111、子接口3112以及子接口3211都属于子网1，网口3120和网口3210属于子网2，子接口3121和子接口3212属于子网3，其中，子网1和子网2属于同一个VPC，即VPC1，子网3属于VPC2。

基于上述，下面对本申请实施例提供的公有云的网络配置方法及相关设备进行描述。参见图4，图4为本申请实施例提供的一种公有云的网络配置方法的流程示意图。如图4所示，该方法包括但不限于以下步骤：

S401：网络配置器为租户提供输入接口。

具体地，网络配置器向租户提供输入接口以接收租户输入的虚拟机网口标识，由于虚拟机网口标识是唯一的，所以网络配置器可以根据租户输入的虚拟机网口标识在公有云数据中心中选择该虚拟机网口标识对应的虚拟机，并确定在该虚拟机中需要配置的网口。示例性的，该虚拟机网口标识可以是上述图3中的网口3110。

可选的，网络配置器所提供的输入接口可以包括配置界面、API接口和输入模板，网络配置器可以任意选择一种方式以接收租户输入的虚拟机网口标识，本申请对此不作限定。

S402：网络配置器接收租户输入的子接口的配置信息。

具体地，网络配置器在确定需要配置的网口之后，进一步接收租户输入的针对该网口对应的子接口的配置信息，以使得云管理平台可以根据接收到的子接口的配置信息配置子接口。

该子接口的配置信息可以包括子接口的子网信息以及子接口的VlanID，在获取到该子接口的子网信息以及VlanID之后可以配置子接口。可以理解，通过为子接口配置子网和VlanID，可以保证配置得到的子接口与虚拟机的网口具备相同的网络能力，能够支持各种网络服务。

示例性的，以网络配置器所提供的输入接口为配置界面为例，如图5所示，租户在该配置界面中输入虚拟机网口标识以及子接口的子网信息和VlanID，租户在输入完成相关参数配置之后，点击界面中的确认按钮，云管理平台即可以根据租户输入的配置信息配置子接口。

S403：网络配置器通知虚拟机管理器设置子接口。

具体地，网络配置器根据租户输入的虚拟机网口标识确定该虚拟机网口标识对应的虚拟机所在的服务器，然后通知该服务器的虚拟机管理器在所述虚拟机的网口下设置子接口。

进一步的，虚拟机管理器在虚拟机内部创建容器对应的SubENI，然后创建对应的VLAN子接口，并将该子接口划归对应的容器网络名空间，此时该子接口将通过动态主机配置协议(dynamic host configuration protocol，DHCP)自动获取IP，以便于后续相互进行通信。

需要说明的是，SubENI是系统中的网络接口，其API模型与已有的ENI的API模型一致，对于其它使用网络接口的网络服务来说，其感知不到SubENI与ENI的区别。由于SubENI的API模型与ENI的API模型一致，所以在创建SubENI时，对于SubENI的API接口是直接在ENI的API上进行扩展，但是增加了三个属性，分别为：接口类型、主接口ID和子接口对应的VLAN，其中，接口类型是用字符串进行表示的，包含ENI主接口和SubENI子接口；主接口ID也是用字符串进行表示的，是在接口类型为SubENI子接口时有效，表示主接口的ID；子接口对应的VLAN是用整数进行表示的，其内容为子接口的VlanID，该值可以是由虚拟机管理器创建SubENI时在主接口的VLAN空间中自动分配可用VlanID，或者是由租户指定，但必须保证所指定的值在主接口的VLAN空间中不发生冲突，该值的取值范围是1-4094。

示例性的，参见图6，图6是本申请实施例提供的一种设置子接口场景示意图。如图6所示，虚拟机610、虚拟机620和虚拟机管理器630属于公有云上的同一个VPC，它们之间通过ENI进行通信，虚拟机610中部署了网口6110、网口6120、节点代理(kubelet)6130、容器6140、容器6150、容器6160和容器6170，虚拟机620中部署了网口6210、节点代理6220、容器6230和容器6240，虚拟机管理器630包含网口6310和管理程序6320，管理程序6320通过公有云提供的API网关调用公有云的API，在虚拟机610中创建容器对应的SubENI，在创建SubENI时可以指定VLAN或者让公有云自行分配VLAN，然后通过节点代理6130创建SubENI对应的VLAN子接口，即子接口6111、子接口6112、子接口6113和子接口6114，并将子接口划归对应的容器网络名空间，例如将子接口6111划归为容器6140，将子接口6112划归为容器6150，将子接口6113划归为容器6160，将子接口6114划归为容器6170；以及在虚拟机620中创建容器对应的SubENI，然后通过节点代理6220创建SubENI对应的子接口6211和子接口6212，并将子接口6211划归为容器6230，将子接口6212划归为容器6240。在将子接口划归对应的容器网络名空间之后，各个子接口将通过DHCP自动获取IP，此时，各个容器之间可以进行通信以实现业务互通，且各个容器能够支持各种网络服务，具备与虚拟机相同的网络能力。

在一种可能的实现方式中，所述子接口与虚拟机中的容器绑定，所述容器通过所述子接口进行网络报文处理。

具体地，由于子接口具备子网信息和VlanID，因此在将子接口在与虚拟机中的容器绑定之后，容器具备和虚拟机一样的网络能力，可以通过子接口进行网络报文处理。

示例性的，如图7所示，主机710中部署了虚拟机7110和虚拟交换机7120，虚拟机7110中部署了容器71110和容器71120，容器71110与子接口71111绑定，容器71120与子接口71121绑定，主机720的结构与主机710类似，其同样部署了虚拟机7210和虚拟交换机7220，虚拟机7210中部署了容器72110和容器72120，容器72110与子接口72111绑定，容器72120与子接口72121绑定。若容器71110需要与容器72110进行通信，那么容器71110通过子接口71111发送的报文是一个携带VlanID的报文，即报文1，该报文1包括6比特的目的地址、6比特的源地址、4比特的虚拟局域网标识(VlanID)、2比特的报文类型和有效载荷，虚拟交换机7120在接收到报文1之后，根据发送该报文的子接口71111的VlanID，找到子接口71111对应的路由表(即VPC路由表)，之后根据路由表中的路由对报文1进行VxLAN封装，虚拟交换机7120删掉报文1的虚拟局域网标识字段，并使用目的接口信息(即子接口72111)进行VxLAN封装得到报文2，报文2与报文1相比，在其头部增加了隧道端点字段、8比特的用户数据报协议(user datagram protocol，UDP)字段和目的接口字段(例如目的接口所属的子网或者目的接口所属的VPC)，去掉了虚拟局域网标识字段。虚拟交换机7120将报文2发送至虚拟交换机7220，虚拟交换机7220在接收到报文2之后，根据报文2中的目的接口字段找到对应的路由表(即VPC路由表)，然后去掉报文2的隧道端点字段、UDP字段和目的接口字段，之后根据报文中的目的地址查表转发，确定是虚拟机7210中的子接口72111，添加虚拟局域网标识字段，应理解，这里添加的虚拟局域网标识与报文1中的虚拟局域网标识是不一样的，得到报文3，最后将报文3发送给虚拟机7210，虚拟机7210在接收到报文3之后，将去掉其中的虚拟局域网标识字段，然后通过子接口72111发送给容器72110，最终成功实现容器71110和容器72110之间的通信。

在一种可能的实现方式中，所述子接口的配置信息还包括安全组规则，该安全组规则用于对绑定子接口的容器的报文进行安全组处理。

具体地，由于配置得到的子接口具备和虚拟机的主接口一样的网络能力，因此可以利用一个安全组来表达一个容器应用，然后对绑定子接口的容器报文进行安全组处理，保证容器应用访问安全。

进一步的，一个应用使用一个安全组，安全组内部安全可信，不同的应用之间可以通过安全组之间的安全策略配置访问策略。示例性的，如图8所示，虚拟机810中部署了容器8110、容器8120、容器8130和容器8140，其中容器8110与子接口8111进行绑定，容器8120与子接口8121进行绑定，容器8130与子接口8131进行绑定，容器8140与子接口8141进行绑定；虚拟机820中部署了容器8210和容器8220，容器8210与子接口8211进行绑定，容器8220与子接口8221进行绑定。将子接口8111和子接口8131配置到安全组1中，将子接口8121和子接口8211配置到安全组2中，将子接口8141和子接口8221配置到安全组3中，同一个安全组中的子接口可以互相访问，不受限制，例如子接口8111可以直接访问子接口8131，子接口8141可以直接访问子接口8221，不同安全组之间可以使用默认安全组规则或者根据需要设置安全组规则，以满足实际需要和保证容器应用访问安全。例如，若将安全组规则设置为安全组1允许访问安全组2，安全组2不允许访问安全组1，那么子接口8111可以访问子接口8121和子接口8211，子接口81221和子接口8211不能访问子接口8111和子接口8131。

此外，将子接口配置到安全组中，可以保证在容器发生迁移时，其所属的安全组不会发生改变，容器之间的访问仍遵循安全组规则，不需要修改容器地址以及额外的进行相关访问策略配置。例如，将容器8110迁移至虚拟机820中，那么子接口8111仍属于安全组1。

S404：网络配置器将子接口的信息提供给租户。

具体地，在虚拟机管理器完成子接口配置之后，将得到子接口的相关信息，例如子接口的子接口标识、子接口的私网地址和子网信息、子接口的MAC地址和子接口的VlanID，然后将子接口的信息提供给租户以使得租户可以为子接口配置各种网络服务。

S405：网络配置器通过子接口给容器配置网络服务。

具体地，子接口在与容器绑定之后，此时容器的网络能力与虚拟机的网络能力是一样的，所有虚拟机能够支持的网络服务，容器同样能够支持，例如挂载ELB、绑定EIP、访问OBS等，这样可以扩展容器的适用场景。

上述详细阐述了本申请实施例的方法，为了便于更好的实施本申请实施例的上述方案，相应地，下面还提供用于配合实施上述方案的相关设备。

参见图9，图9是本申请实施例提供的一种网络设备的结构示意图，该网络设备可以是上述图4所述的方法实施例中的网络配置器，可以执行图4所述的公有云的网络配置方法实施例中以网络配置器为执行主体的方法和步骤。如图9所示，该网络设备900包括接收模块910和处理模块920。其中，

接收模块910，用于接收租户输入的虚拟机网口标识，所述虚拟机网口标识用于识别需要配置子接口的虚拟机的网口；

处理模块920，用于确定所述虚拟机网口标识对应的虚拟机的网口，为所述网口设置子接口，并将所述子接口的信息提供给所述租户。

具体地，所述接收模块910用于执行前述步骤S401和S402，且可选的执行前述步骤中可选的方法，所述处理模块920用于执行前述步骤S403-S405，且可选的执行前述步骤中可选的方法。上述两个模块之间互相可以通过通信通路进行数据传输，应理解，网络设备900包括的各模块可以软件模块、也可以为硬件模块、或部分为软件模块部分为硬件模块。

作为一个实施例，所述接收模块910，还用于接收所述租户输入的所述子接口的配置信息；所述处理模块920，还用于根据所述配置信息配置所述子接口。

作为一个实施例，所述子接口与所述虚拟机中的容器绑定，所述容器通过所述子接口进行网络报文处理。

作为一个实施例，所述子接口的配置信息包括安全组规则，所述安全组规则用于对绑定所述子接口的所述容器的报文进行安全组处理。

作为一个实施例，所述子接口的配置信息包括所述子接口的子网信息以及所述子接口的虚拟局域网标识VlanID。

作为一个实施例，所述处理模块920，具体用于：确定所述虚拟机网口标识对应的虚拟机所在的服务器；通知所述服务器的虚拟机管理器在所述虚拟机的所述网口下设置所述子接口。

作为一个实施例，所述子接口的信息包括所述子接口的子接口标识UUID、所述子接口的私网地址和子网信息、所述子接口的媒体存取控制MAC地址以及所述子接口的虚拟局域网标识VlanID中的一者或任意组合。

作为一个实施例，所述输入接口包括配置界面、应用程序编程接口API和输入模板。

可以理解，本申请实施例中的接收模块910可以由收发器或收发器相关电路组件实现，处理模块920可以由处理器或处理器相关电路组件实现。

需要说明的是，上述网络设备的结构仅仅作为一种示例，不应构成具体限定，可以根据需要对该网络设备中的各个模块进行增加、减少或合并。此外，该网络设备中的各个模块的操作和/或功能是为了实现上述图4所描述的方法的相应流程，为了简洁，在此不再赘述。

参见图10，图10是本申请实施例提供的一种计算设备的结构示意图。如图10所示，该计算设备10包括：处理器11、通信接口12以及存储器13，所述处理器11、通信接口12以及存储器13通过内部总线14相互连接。应理解，该计算设备10可以是公有云中的计算设备。

所述处理器11可以由一个或者多个通用处理器构成，例如中央处理器(central processing unit，CPU)，或者CPU和硬件芯片的组合。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，ASIC)、可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)、现场可编程逻辑门阵列(field-programmable gate array，FPGA)、通用阵列逻辑(generic array logic，GAL)或其任意组合。

总线14可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。所述总线14可以分为地址总线、数据总线、控制总线等。为便于表示，图10中仅用一条粗线表示，但不表示仅有一根总线或一种类型的总线。

存储器13可以包括易失性存储器(volatile memory)，例如随机存取存储器(random access memory，RAM)；存储器730也可以包括非易失性存储器(non-volatile memory)，例如只读存储器(read-only memory，ROM)、快闪存储器(flash memory)、硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)；存储器13还可以包括上述种类的组合。

需要说明的是，计算设备10的存储器13中存储了网络设备900的各个模块对应的代码，处理器11执行这些代码实现了网络设备900的各个模块的功能，即执行了S401-S405的方法。

本申请还提供一种计算机可读存储介质，其中，所述计算机可读存储介质存储有计算机程序，当该计算机程序被处理器执行时，可以实现上述方法实施例中记载的任意一种的部分或全部步骤。

本发明实施例还提供一种计算机程序，该计算机程序包括指令，当该计算机程序被计算机执行时，使得计算机可以执行任意一种发放区域资源的方法的部分或全部步骤。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可能可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置，可通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如上述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。

上述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

Claims

一种公有云的网络配置方法，其特征在于，所述方法应用于云管理平台，包括：

为租户提供输入接口，所述输入接口用于接收所述租户输入的虚拟机网口标识，所述虚拟机网口标识用于识别需要配置子接口的虚拟机的网口；

确定所述虚拟机网口标识对应的虚拟机的网口，为所述网口设置子接口，并将所述子接口的信息提供给所述租户。
如权利要求1所述的方法，其特征在于，所述输入接口还用于接收所述租户输入的所述子接口的配置信息，所述方法还包括：

所述云管理平台根据所述配置信息配置所述子接口。
如权利要求1或2所述的方法，其特征在于，所述子接口与所述虚拟机中的容器绑定，所述容器通过所述子接口进行网络报文处理。
如权利要求3所述的方法，其特征在于，所述子接口的配置信息包括安全组规则，所述安全组规则用于对绑定所述子接口的所述容器的报文进行安全组处理。
如权利要求1至4任一项所述的方法，其特征在于，所述子接口的配置信息包括所述子接口的子网信息以及所述子接口的虚拟局域网标识VlanID。
如权利要求4或5所述的方法，其特征在于，所述确定所述虚拟机网口标识对应的虚拟机的网口，为所述网口设置子接口，并将所述子接口的信息提供给所述租户，包括：

确定所述虚拟机网口标识对应的虚拟机所在的服务器；

通知所述服务器的虚拟机管理器在所述虚拟机的所述网口下设置所述子接口。
如权利要求1至6任一项所述的方法，其特征在于，所述子接口的信息包括所述子接口的子接口标识UUID、所述子接口的私网地址和子网信息、所述子接口的媒体存取控制MAC地址以及所述子接口的虚拟局域网标识VlanID中的一者或任意组合。
如权利要求1至7任一项所述的方法，其特征在于，所述输入接口包括配置界面、应用程序编程接口API和输入模板。
一种网络设备，其特征在于，包括：

接收模块，用于接收租户输入的虚拟机网口标识，所述虚拟机网口标识用于识别需要配置子接口的虚拟机的网口；

处理模块，用于确定所述虚拟机网口标识对应的虚拟机的网口，为所述网口设置子接口，并将所述子接口的信息提供给所述租户。
如权利要求9所述的网络设备，其特征在于，

所述接收模块，还用于接收所述租户输入的所述子接口的配置信息；

所述处理模块，还用于根据所述配置信息配置所述子接口。
如权利要求9或10所述的网络设备，其特征在于，所述子接口与所述虚拟机中的容器绑定，所述容器通过所述子接口进行网络报文处理。
如权利要求11所述的网络设备，其特征在于，所述子接口的配置信息包括安全组规则，所述安全组规则用于对绑定所述子接口的所述容器的报文进行安全组处理。
如权利要求9至12任一项所述的网络设备，其特征在于，所述子接口的配置信息包括所述子接口的子网信息以及所述子接口的虚拟局域网标识VlanID。
如权利要求12或13所述的网络设备，其特征在于，所述处理模块，具体用于：

确定所述虚拟机网口标识对应的虚拟机所在的服务器；

通知所述服务器的虚拟机管理器在所述虚拟机的所述网口下设置所述子接口。
如权利要求9至14任一项所述的网络设备，其特征在于，所述子接口的信息包括所述子接口的子接口标识UUID、所述子接口的私网地址和子网信息、所述子接口的媒体存取控制MAC地址以及所述子接口的虚拟局域网标识VlanID中的一者或任意组合。
如权利要求9至15任一项所述的网络设备，其特征在于，所述输入接口包括配置界面、应用程序编程接口API和输入模板。
一种计算设备，其特征在于，所述计算设备包括存储器和处理器，所述处理器执行存储器存储的计算机指令，使得所述计算设备执行权利要求1-8任一项所述的方法。
一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，当所述计算机程序被处理器执行时，所述处理器执行权利要求1-8任一项所述的方法。