一种异构云网络互通系统及方法转让专利
申请号 : CN201811296022.1
文献号 : CN111130973B
文献日 : 2021-09-17
发明人 : 陈晓帆 , 古亮
申请人 : 深信服科技股份有限公司
摘要 :
权利要求 :
1.一种异构云网络互通系统,其特征在于,包括:至少两个归属于不同厂商的云平台,每个云平台针对每个用户均部署有集中式网关,每个云平台的每个用户的每个虚拟机中均部署有代理模块,每个用户的各个虚拟机的代理模块形成相应用户对应的跨云覆盖网,所述集中式网关用于相应用户对应的跨云覆盖网的二、三层流量转发;
所述代理模块包括依次连接的第一虚拟网卡、第一覆盖网隧道终端TEP、分布式虚拟交换DVS单元、第二虚拟网卡、及与所述DVS单元连接的分布式虚拟防火墙DFW单元,所述第一虚拟网卡与用户程序模块连接,所述第二虚拟网卡与自身所在的云平台的虚拟机管理层中的虚拟交换机连接,所述第一虚拟网卡使用与相应用户对应的跨云覆盖网一致的IP地址段,所述第二虚拟网卡使用自身所在的云平台分配的IP地址,所述第一TEP与所述集中式网关中的第二TEP通信,以建立、拆除和管理覆盖网隧道。
2.根据权利要求1所述的异构云网络互通系统,其特征在于,所述第一TEP,用于:在接收到所述第一虚拟网卡发送的第一数据包时,在所述第一数据包中加入所述覆盖网隧道的头部;
对所述第一数据包进行封装处理;
并通过所述第二虚拟网卡将封装后的所述第一数据包转发出去。
3.根据权利要求2所述的异构云网络互通系统,其特征在于,所述第一TEP,还用于:在接收到所述第二虚拟网卡发送的第二数据包时,对所述第二数据包进行解封装处理;
在所述第二数据包中去掉所述覆盖网隧道的头部;
并通过所述第一虚拟网卡将所述第二数据包的有效载荷发送给所述用户程序模块。
4.根据权利要求1所述的异构云网络互通系统,其特征在于,所述集中式网关,用于:在接收到互联网发起的对自身所在云平台的第一虚拟机的第三数据包时,将所述第三数据包中的目的IP地址转换为所述第一虚拟机的第一虚拟网卡的IP地址;
在所述第三数据包中加入所述覆盖网隧道的头部,经自身所在云平台的虚拟交换机发送给所述第一虚拟机。
5.根据权利要求4所述的异构云网络互通系统,其特征在于,所述集中式网关,还用于:在接收到自身所在云平台的第二虚拟机对外网的第四数据包时,去掉所述第四数据包的所述覆盖网隧道的头部;
将所述第四数据包中的源IP地址转换为自身的公网IP地址,修改源端口号,并经由自身所在云平台的虚拟交换机和虚拟路由器进入互联网。
6.根据权利要求1所述的异构云网络互通系统,其特征在于,所述集中式网关,用于:在接收到第一云平台的虚拟机发起的对自身所在的第二云平台的第三虚拟机的第五数据包时,将所述第五数据包的VPN隧道头部剥离,获得所述跨云覆盖网封装的报文;
将所述跨云覆盖网封装的报文发送给所述第三虚拟机的代理模块,以由所述第三虚拟机的代理模块进行解封装后,将原始报文发送给所述第三虚拟机的用户程序模块;
所述第五数据包为:在所述第一云平台处经过所述跨云覆盖网封装、加入所述VPN隧道头部的数据包。
7.根据权利要求6所述的异构云网络互通系统,其特征在于,所述集中式网关,还用于:在接收到自身所在第二云平台的第四虚拟机发起的对所述第一云平台的第五虚拟机的第六数据包时,如果确定所述第六数据包需通过VPN隧道发往所述第一云平台,则在所述第六数据包上加上所述VPN隧道头部;
通过所述第二云平台的虚拟交换机和虚拟路由器发送给所述第一云平台;
所述第六数据包为:经过所述第四虚拟机的代理模块进行跨云覆盖网封装后的数据包。
8.根据权利要求1至7之中任一项所述的异构云网络互通系统,其特征在于,所述代理模块为所述跨云覆盖网的微分段拦截点。
9.一种异构云网络互通方法,其特征在于,应用于第二云平台上部署的集中式网关,在包括所述第二云平台的至少两个归属于不同厂商的云平台的每个云平台,针对每个用户均部署有集中式网关,每个云平台的每个用户的每个虚拟机中均部署有代理模块,每个用户的各个虚拟机的代理模块形成相应用户对应的跨云覆盖网,所述集中式网关用于相应用户对应的跨云覆盖网的二、三层流量转发;所述代理模块包括依次连接的第一虚拟网卡、第一覆盖网隧道终端TEP、分布式虚拟交换DVS单元、第二虚拟网卡、及与所述DVS单元连接的分布式虚拟防火墙DFW单元,所述第一虚拟网卡与用户程序模块连接,所述第二虚拟网卡与自身所在的云平台的虚拟机管理层中的虚拟交换机连接,所述第一虚拟网卡使用与相应用户对应的跨云覆盖网一致的IP地址段,所述第二虚拟网卡使用自身所在的云平台分配的IP地址,所述第一TEP与所述集中式网关中的第二TEP通信,以建立、拆除和管理覆盖网隧道,所述方法包括:
在接收到第一云平台的虚拟机发起的对自身所在的第二云平台的第三虚拟机的第五数据包时,将所述第五数据包的VPN隧道头部剥离,获得所述跨云覆盖网封装的报文;
将所述跨云覆盖网封装的报文发送给所述第三虚拟机的代理模块,以由所述第三虚拟机的代理模块进行解封装后,将原始报文发送给所述第三虚拟机的用户程序模块;
所述第五数据包为:在所述第一云平台处经过所述跨云覆盖网封装、加入所述VPN隧道头部的数据包。
10.根据权利要求9所述的异构云网络互通方法,其特征在于,还包括:在接收到自身所在第二云平台的第四虚拟机发起的对所述第一云平台的第五虚拟机的第六数据包时,如果确定所述第六数据包需通过VPN隧道发往所述第一云平台,则在所述第六数据包上加上所述VPN隧道头部;
通过所述第二云平台的虚拟交换机和虚拟路由器发送给所述第一云平台;
所述第六数据包为:经过所述第四虚拟机的代理模块进行跨云覆盖网封装后的数据包。
说明书 :
一种异构云网络互通系统及方法
技术领域
背景技术
异构云网络的打通一直是个难题。
运维难度。
发明内容
代理模块形成相应用户对应的跨云覆盖网,所述集中式网关用于相应用户对应的跨云覆盖
网的二、三层流量转发;
第一虚拟网卡与用户程序模块连接,所述第二虚拟网卡与自身所在的云平台的虚拟机管理
层中的虚拟交换机连接,所述第一虚拟网卡使用与相应用户对应的跨云覆盖网一致的IP地
址段,所述第二虚拟网卡使用自身所在的云平台分配的IP地址,所述第一TEP与所述集中式
网关中的第二TEP通信,以建立、拆除和管理覆盖网隧道。
所述第六数据包上加上所述VPN隧道头部;
中式网关,每个云平台的每个用户的每个虚拟机中均部署有代理模块,每个用户的各个虚
拟机的代理模块形成相应用户对应的跨云覆盖网,所述集中式网关用于相应用户对应的跨
云覆盖网的二、三层流量转发;所述代理模块包括依次连接的第一虚拟网卡、第一覆盖网隧
道终端TEP、分布式虚拟交换DVS单元、第二虚拟网卡、及与所述DVS单元连接的分布式虚拟
防火墙DFW单元,所述第一虚拟网卡与用户程序模块连接,所述第二虚拟网卡与自身所在的
云平台的虚拟机管理层中的虚拟交换机连接,所述第一虚拟网卡使用与相应用户对应的跨
云覆盖网一致的IP地址段,所述第二虚拟网卡使用自身所在的云平台分配的IP地址,所述
第一TEP与所述集中式网关中的第二TEP通信,以建立、拆除和管理覆盖网隧道,所述方法包
括:
所述第六数据包上加上所述VPN隧道头部;
的代理模块形成相应用户对应的跨云覆盖网,所述集中式网关用于相应用户对应的跨云覆
盖网的二、三层流量转发,所述代理模块包括依次连接的第一虚拟网卡、第一覆盖网隧道终
端TEP、分布式虚拟交换DVS单元、第二虚拟网卡、及与所述DVS单元连接的分布式虚拟防火
墙DFW单元,所述第一虚拟网卡与用户程序模块连接,所述第二虚拟网卡与自身所在的云平
台的虚拟机管理层中的虚拟交换机连接,所述第一虚拟网卡使用与相应用户对应的跨云覆
盖网一致的IP地址段,所述第二虚拟网卡使用自身所在的云平台分配的IP地址,所述第一
TEP与所述集中式网关中的第二TEP通信,以建立、拆除和管理覆盖网隧道。通过代理模块和
集中式网关,使得异构云的网络层架构相同,实现真正的网络互通,部署方式简单,降低了
运维难度。
附图说明
发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。
具体实施方式
全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提
下所获得的所有其他实施例,都属于本发明保护的范围。
gateway,CGW),每个云平台的每个用户的每个虚拟机中均部署有代理模块agent,每个用户
的各个虚拟机的代理模块形成相应用户对应的跨云覆盖网,集中式网关用于相应用户对应
的跨云覆盖网的二、三层流量转发。代理模块包括依次连接的第一虚拟网卡、第一覆盖网隧
道终端TEP、分布式虚拟交换DVS单元、第二虚拟网卡及与DVS单元连接的分布式虚拟防火墙
DFW单元,第一虚拟网卡与用户程序连接,第二虚拟网卡与自身所在的云平台的虚拟机管理
层中的虚拟交换机连接,第一虚拟网卡使用与相应用户对应的跨云覆盖网一致的IP地址
段,第二虚拟网卡使用自身所在的云平台分配的IP地址,第一TEP与集中式网关中的第二
TEP通信,以建立、拆除和管理覆盖网隧道。
联网Internet进行流量交互。云平台200上部署有集中式网关210、虚拟机220(VM3)、虚拟机
230(VM4)、VPN模块240、虚拟路由器250和虚拟交换机260,每个虚拟机中均部署有代理模块
agent。云平台100上部署有虚拟机110(VM2)、虚拟机120(VM1)、云管理平台(Cloud
Management Platform,CMP)130、集中式网关140、虚拟交换机150、虚拟路由器160和VPN模
块170,云管理平台130可运行在虚拟机中,每个虚拟机中均部署有代理模块agent。
核心,基本功能为非中断地支持多工作负载迁移,当服务器启动并执行hypervisor时,其会
给每一台虚拟机分配适量的内存、CPU、网络和磁盘,并加载所有虚拟机的客户操作系统。
VPN隧道可以承载在Internet、MPLS(Multiprotocol Label Switching,多协议标签交换)
网络或专线上。
(Access Control List,ACL)配置界面、流量及访问关系可视界面、二三层网络配置界面、
其他网络服务配置界面等。在本发明实施例中,云管理平台可以为第三方管理平台,该第三
方管理平台需可使用集中式网关提供的网络和微分段相关的API的能力,能够有相应UI供
客户配置及展示流量及访问关系。
立、拆除和配置管理,覆盖网数据包的封装解封装等。
在云平台分配的IP地址,第一虚拟网卡使用与相应用户对应的跨云覆盖网一致的IP地址
段,用户程序模块只与第一虚拟网卡交互。第一TEP与集中式网关中的第二TEP通信,以建
立、拆除和管理覆盖网隧道。
ARP抑制或ARP代答,避免大规模网络中出现大量ARP请求报文。虚拟机所有覆盖网流量的转
发,都要经过这个单元。
于记录ACL策略的命中率、流量被哪些ACL放行或拒绝,并将信息回传给集中式网关的轻量
级控制器,继而回传给云管理平台,在用户界面上实现微分段的流量及访问关系可视。在云
管理平台,ACL可以通过VM标签、安全域标签、五元组等进行设置,云管理平台会将其转化为
对应的五元组(这里云管理平台也可以不转换,留给集中式网关去转换),下发给对应的集
中式网关,并由集中式网关将其转化代理模块可识别的方式,代理模块的DFW收到配置信息
后,转化为iptables或WFP指令,对虚拟机的DFW单元进行配置。
转发出去。在接收到第二虚拟网卡发送的第二数据包时,对第二数据包进行解封装处理,在
第二数据包中去掉覆盖网隧道的头部,并通过第一虚拟网卡将第二数据包的有效载荷
payload发送给用户程序模块。
平台通信,将来自云管理平台的配置信息下发到对应的代理模块上,与其他的集中式网关
的轻量级控制器同步信息。
拓扑及安全信息发送给云管理平台。
能。DHCP单元负责给虚拟机的第一虚拟网卡分配IP地址,与云管理平台负责混合云的IP地
址分配,通过集中式网关的轻量级控制器,对不同云平台的DHCP服务与集中式网关的DHCP
服务的信息进行同步,保证两者不会重复分配IP地址。
置了公网IP,则集中式网关中VPN单元、NAT单元的功能也将开启,在集中式网关所在的VPC
中取代原云平台提供的VPN、NAT服务。
络。
代理模块形成相应用户对应的跨云覆盖网,集中式网关用于相应用户对应的跨云覆盖网的
二、三层流量转发,代理模块包括依次连接的第一虚拟网卡、第一覆盖网隧道终端TEP、分布
式虚拟交换DVS单元、第二虚拟网卡、及与DVS单元连接的分布式虚拟防火墙DFW单元,第一
虚拟网卡与用户程序模块连接,第二虚拟网卡与自身所在的云平台的虚拟机管理层中的虚
拟交换机连接,第一虚拟网卡使用与相应用户对应的跨云覆盖网一致的IP地址段,第二虚
拟网卡使用自身所在的云平台分配的IP地址,第一TEP与集中式网关中的第二TEP通信,以
建立、拆除和管理覆盖网隧道。通过代理模块和集中式网关,使得异构云的网络层架构相
同,实现真正的网络互通,部署方式简单,降低了运维难度。
机的第一虚拟网卡的IP地址,在第三数据包中加入覆盖网隧道的头部,经自身所在云平台
的虚拟交换机发送给第一虚拟机;在接收到自身所在云平台的第二虚拟机对外网的第四数
据包时,去掉第四数据包的覆盖网隧道的头部,将第四数据包中的源IP地址转换为自身的
公网IP地址,修改源端口号,并经由自身所在云平台的虚拟交换机和虚拟路由器进入互联
网。
三数据包时,可以通过NAT功能将第三数据包中的目的IP地址转换为第一虚拟机的第一虚
拟网卡的IP地址,然后通过第二TEP在第三数据包中加入覆盖网隧道的头部,经该云平台的
虚拟交换机发送给第一虚拟机。
覆盖网隧道的头部,将第四数据包中的源IP地址转换为集中式网关的公网IP地址,修改源
端口号,再将修改后的第四数据包发送到该云平台的虚拟交换机,再经过该云平台的虚拟
路由器进入Internet。
盖网封装的报文发送给第三虚拟机的代理模块,以由第三虚拟机的代理模块进行解封装
后,将原始报文发送给第三虚拟机的用户程序模块,第五数据包为:在第一云平台处经过跨
云覆盖网封装、加入VPN隧道头部的数据包。
都由这个VPN隧道来传输。该VPN隧道可以承载在Internet、专线或MPLS网络上。
覆盖网封装、加入预先建立的VPN隧道头部的数据包。第一云平台的集中式网关接收到第五
数据包时,通过VPN单元将第五数据包的VPN隧道头部剥离,将跨云覆盖网封装的报文通过
第二TEP发送给第三虚拟机的代理模块agent,第三虚拟机的代理模块进行解封装后,得到
原始报文,将原始报文发送给第三虚拟机的用户程序模块。
加上VPN隧道头部;
拟机的代理模块可以进行跨云覆盖网封装,得到第六数据包。第二云平台的集中式网关接
收到自身所在第二云平台的第四虚拟机发起的对第一云平台的第五虚拟机的第六数据包
时,如果确定第六数据包需通过VPN隧道发往第一云平台,则可以在第六数据包上加上VPN
隧道头部,通过第二云平台的虚拟交换机和虚拟路由器发送给第一云平台,由第一云平台
进行进一步处理,最终发往第五虚拟机。
到达云平台1的集中式网关,云平台1的集中式网关的虚拟交换单元和/或虚拟路由单元确
定数据包是需要通过VPN隧道发往云平台2的,于是将报文给到VPN单元,给报文封装上VPN
隧道包头后,通过云平台1hypervisor的虚拟交换机和虚拟路由器,经由Internet发送到云
平台2的虚拟路由器。云平台2的虚拟路由器收到报文,通过预定义的路由策略,将报文发送
给云平台2的集中式网关,该集中式网关的VPN模块剥离数据包的VPN隧道头部,将带有跨云
覆盖网隧道封装的数据包通过第二TEP转发给VM4的代理模块。VM4的代理模块解封装后,将
原始报文通过第一虚拟网卡将原始数据包发送给用户程序模块。云平台2的虚拟机发起的
对云平台1的虚拟机的访问或应答流量,过程类似,不再赘述。
粗实线表示跨云覆盖网二层交换流量,粗虚线表示跨云覆盖网三层路由流量。
平台的每个云平台,针对每个用户均部署有集中式网关,每个云平台的每个用户的每个虚
拟机中均部署有代理模块,每个用户的各个虚拟机的代理模块形成相应用户对应的跨云覆
盖网,集中式网关用于相应用户对应的跨云覆盖网的二、三层流量转发;代理模块包括依次
连接的第一虚拟网卡、第一覆盖网隧道终端TEP、分布式虚拟交换DVS单元、第二虚拟网卡、
及与DVS单元连接的分布式虚拟防火墙DFW单元,第一虚拟网卡与用户程序模块连接,第二
虚拟网卡与自身所在的云平台的虚拟机管理层中的虚拟交换机连接,第一虚拟网卡使用与
相应用户对应的跨云覆盖网一致的IP地址段,第二虚拟网卡使用自身所在的云平台分配的
IP地址,第一TEP与集中式网关中的第二TEP通信,以建立、拆除和管理覆盖网隧道,下文描
述的一种异构云网络互通方法与上文描述的一种异构云网络互通系统可相互对应参照。
代理模块形成相应用户对应的跨云覆盖网,集中式网关用于相应用户对应的跨云覆盖网的
二、三层流量转发,代理模块包括依次连接的第一虚拟网卡、第一覆盖网隧道终端TEP、分布
式虚拟交换DVS单元、第二虚拟网卡、及与DVS单元连接的分布式虚拟防火墙DFW单元,第一
虚拟网卡与用户程序模块连接,第二虚拟网卡与自身所在的云平台的虚拟机管理层中的虚
拟交换机连接,第一虚拟网卡使用与相应用户对应的跨云覆盖网一致的IP地址段,第二虚
拟网卡使用自身所在的云平台分配的IP地址,第一TEP与集中式网关中的第二TEP通信,以
建立、拆除和管理覆盖网隧道。对于任意一个云平台的集中式网关,在接收到其他云平台的
虚拟机发起的对自身所在虚拟机的数据包时,将该数据包的VPN隧道头部剥离,将获得的跨
云覆盖网封装的报文发送给相应虚拟机的代理模块,由该代理模块进行解封装后,将原始
报文发送给相应虚拟机的用户程序模块。通过代理模块和集中式网关,使得异构云的网络
层架构相同,实现真正的网络互通,部署方式简单,降低了运维难度。
加上VPN隧道头部;
软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些
功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业
技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应
认为超出本发明的范围。
储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD‑ROM、或技术
领域内所公知的任意其它形式的存储介质中。
技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些
改进和修饰也落入本发明权利要求的保护范围内。