一種支持多級隔離的虛擬網(wǎng)絡管理方法【專利摘要】本發(fā)明涉及云計算【
技術領域：
】，特別是指一種支持多級隔離的虛擬網(wǎng)絡管理方法。本發(fā)明首先在物理交換機上劃分VLAN，每臺宿主機上配置兩塊網(wǎng)卡分別連接到內網(wǎng)和外網(wǎng)，并將內網(wǎng)網(wǎng)卡全部設置成可通過上述VLAN的trunk模式；然后在所有宿主機的內網(wǎng)網(wǎng)卡上設置VLAN，為每個VLAN創(chuàng)建一個網(wǎng)橋；在部署一個應用時，為該應用創(chuàng)建一個新的虛擬網(wǎng)絡空間，并創(chuàng)建與VLAN網(wǎng)橋連接的一個網(wǎng)橋，同時啟動一個DHCP服務；然后把運行應用的虛擬機的虛擬網(wǎng)卡橋接到一個新的VLAN對應的網(wǎng)橋上。本發(fā)明解決了因虛擬機重啟而導致的應用數(shù)據(jù)丟失問題；可以用于虛擬網(wǎng)絡管理上?！緦＠f明】一種支持多級隔離的虛擬網(wǎng)絡管理方法【
技術領域：
】[0001]本發(fā)明涉及云計算【
技術領域：
】，特別是指一種支持多級隔離的虛擬網(wǎng)絡管理方法?！?br>背景技術：
】[0002]在典型的應用程序體系結構中，C/S二層架構和B/S三層架構是最常用的。C/S二層架構的服務端一般又分為應用服務器和數(shù)據(jù)庫服務器，其中只有應用服務器需要與外界通信；而8/5三層架構中也只有表現(xiàn)層的服務器需要與外界通信。在這種情況下，需要對應用的服務器進行隔離，以免其他服務器暴露在外網(wǎng)環(huán)境下有安全威脅。在傳統(tǒng)的物理服務器環(huán)境下是通過調整物理網(wǎng)絡的部署來實現(xiàn)上述所需的隔離。主要通過把不同的應用劃分到不同的VLAN下，同時為需要與外網(wǎng)通信的服務器配置獨立的面向外網(wǎng)的網(wǎng)卡，其他服務器只配置內網(wǎng)網(wǎng)卡來實現(xiàn)隔離的。[0003]而在云計算中，以虛擬機為應用運行載體的環(huán)境中不可能調整物理網(wǎng)絡；主要是通過網(wǎng)絡模式的配置來實現(xiàn)隔離，而在NAT模式和橋接模式兩種網(wǎng)絡模式下，存在以下弊端:[0004]一是隔離粒度比較粗，應用之間的隔離依賴于VLAN，但在應用之間需要通信時，只能開放VLAN之間的訪問權限，使得隔離作用被削弱。[0005]二是內外網(wǎng)之間的切換困難，在需要暫時封閉虛擬機的外網(wǎng)通信時，需要移除虛擬機的外網(wǎng)網(wǎng)卡并重啟虛擬機，增加了正在運行的業(yè)務數(shù)據(jù)丟失的風險。[0006]為了有效全面地實現(xiàn)云計算平臺的虛擬機網(wǎng)絡隔離，需要一種靈活應對不同粒度、且內外網(wǎng)切換簡便的隔離方法?！?br/>發(fā)明內容】[0007]本發(fā)明解決的技術問題是提供一種可應對不同粒度、且內外網(wǎng)切換簡便的虛擬網(wǎng)絡管理方法，解決虛擬網(wǎng)絡隔離不全面、粒度較粗、需要重啟虛擬機的問題。[0008]本發(fā)明解決上述技術問題的技術方案是:[0009]所述的方法包括如下步驟:[0010]步驟1:在物理交換機上劃分VLAN，每臺宿主機上配置兩塊網(wǎng)卡分別連接到內網(wǎng)和外網(wǎng)，并把內網(wǎng)網(wǎng)卡全部設置成可以通過上述VLAN的trunk模式；[0011]步驟2:在所有宿主機的內網(wǎng)網(wǎng)卡上設置VLAN，為每個VLAN創(chuàng)建一個網(wǎng)橋；[0012]步驟3:在部署應用時，為此應用創(chuàng)建一個新的虛擬網(wǎng)絡空間；在該虛擬機網(wǎng)絡空間內創(chuàng)建一個網(wǎng)橋，把這個網(wǎng)橋與VLAN的網(wǎng)橋進行連接，并在該虛擬網(wǎng)絡空間上啟動一個DHCP服務；[0013]步驟4:把運行應用的虛擬機的虛擬網(wǎng)卡橋接到一個新的VLAN對應的網(wǎng)橋上；[0014]步驟5:若運行應用的某臺虛擬機需要連接外網(wǎng)，則在應用對應的虛擬網(wǎng)絡空間內通過NAT模式把虛擬機的內網(wǎng)IP映射到一個外網(wǎng)IP；[0015]步驟6:如果應用之間的虛擬機間需要通信，那么通過設置虛擬網(wǎng)絡空間之間的訪問權限來控制。[0016]所述的VLAN(VirtualLocalAreaNetwork)即虛擬局域網(wǎng)，工作在OSI參考模型的第2層和第3層，本質是在虛擬的路由器的接口下創(chuàng)建的一個網(wǎng)段；VLAN技術可使管理員根據(jù)實際應用需求，把同一物理局域網(wǎng)內的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性，有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。[0017]所述的DHCP服務是指使用DHCP(DynamicHostConfigurat1nProtocol)動態(tài)主機配置協(xié)議給內部網(wǎng)絡或網(wǎng)絡服務供應商自動分配IP地址；[0018]所述的橋接模式是指一種虛擬機的網(wǎng)絡模式；在橋接模式下虛擬機的網(wǎng)絡與物理服務器的網(wǎng)絡是對等的，虛擬機通過VLAN進行應用間的隔離，有與外網(wǎng)通信需求的虛擬機需要在其物理服務器上配置一張內網(wǎng)網(wǎng)卡和一張外網(wǎng)網(wǎng)卡，同時在虛擬機上配置兩張?zhí)摂M網(wǎng)卡，其中一張橋接到內網(wǎng)網(wǎng)卡，另外一張橋接到外網(wǎng)網(wǎng)卡；[0019]所述的NAT模式是指另一種虛擬的網(wǎng)絡模式；在NAT模式下的虛擬機默認都不連通外網(wǎng)，需要把虛擬機的端口映射到物理服務器的端口，再用物理服務器的地址進行通信，這種情況下物理服務器就需要直接與外網(wǎng)通信，一旦受到攻擊就會威脅到此物理服務器下其他虛擬機的安全。[0020]所述的OSI(OpenSystemInterconnect)參考模型，即ISO開放系統(tǒng)互連參考模型，是IS0(國際標準化組織)組織在1985年研宄的網(wǎng)絡互聯(lián)模型。該體系結構標準定義了網(wǎng)絡互連的七層框架:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層和應用層。[0021]本發(fā)明通過為應用創(chuàng)建虛擬機網(wǎng)絡空間，并在此空間內進行NAT模式和橋接模式兩種網(wǎng)絡模式的配置來實現(xiàn)多級隔離，包括粗粒度的應用之間隔離和細粒度的虛擬機之間隔離，并通過修改NAT規(guī)則即可實現(xiàn)內外網(wǎng)切換，徹底解決因虛擬機重啟而導致的應用數(shù)據(jù)丟失問題?！緦＠綀D】【附圖說明】[0022]下面結合附圖對本發(fā)明進一步說明:[0023]圖1是本發(fā)明方法流程圖?！揪唧w實施方式】[0024]見圖1所示，假設ethO連接外網(wǎng)且橋接到br0，ethl連接內網(wǎng)，需要在宿主機上面創(chuàng)建vlanll和vlanl2，要求vlanll和vlanl2內的虛擬機之間三層網(wǎng)絡隔離，且虛擬機可以進行NAT轉換實現(xiàn)上外網(wǎng)。[0025]這里只描述vlanll的操作步驟，vlanl2步驟一樣。[0026]步驟1:在開始操作前必須升級iproute，使ip工具支持netns:[0027]#wget[0028]https://repos.fedorapeople.0rg/repos/openstack/openstack-1cehouse/epel-6/iproute-2.6.32-130.el6ost.netns.2.x86_64.rpm[0029]#rpm-1vhiproute-2.6.32-130.el6ost.netns.2.x86_64.rpm[0030]步驟2:若升級成功，則進行驗證:[0031]ipnetnsadddhcp-xm[0032]ipnetnslist[0033]步驟3:設置vlan:[0034]vconfigaddethl11[0035]ifconfigethl.11up[0036]brctladdbreucabrll[0037]brctladdifeucabrllethl.11[0038]ifconfigeucabrllup[0039]步驟4:創(chuàng)建虛擬網(wǎng)絡空間:[0040]ipnetnsadddhcp-11[0041]iplinkaddqvb_ll_linktypevethpeernameqvo-ll-link[0042]ifconfigqvb-ll-linkup[0043]ifconfigqvo-ll-linkup[0044]brctladdifeucabrllqvb-ll-link[0045]iplinksetqvo-ll-linknetnsdhcp-11[0046]步驟5:啟動虛擬網(wǎng)絡空間dhcp服務:[0047]ipnetnsexecdhcp-11ipaddradd10.251.11.1/24devqvo-ll-link[0048]ipnetnsexecdhcp-11ifconfigqvo-ll-linkpromiseup[0049]啟動dhcp服務，命令如下:[0050]ipnetnsexecdhcp-11/usr/sbin/dnsmasq—strict-order[0051]—bind-1nterfaces—conf-file=—domain=local[0052]—pid-file=/opt/xm/test.pid—listen-address=10.251.11.1—interfaceqvo-ll-link—except-1nterface=1[0053]—dhcp-range=10.251.11.1,static，120s—dhcp-lease-max=256[0054]—dhcp-hostsfile=/opt/xm/network,conf[0055]—dhcp-script=/opt/xm/update2db.py—leasefile-ro[0056]步驟6:虛擬機橋接到eucabrll啟動；[0057]步驟7:nat轉換實現(xiàn)虛擬機上外網(wǎng)；[0058]將外網(wǎng)ip(20.251.32.233)與內網(wǎng)ip(10.251.11.33)進行轉換:[0059]iplinkaddbr0_ll_pretypevethpeernamebrO-ll-link[0060]ifconfigbr0-ll-preup[0061]ifconfigbr0-l1-1inkup[0062]brctladdifbrObr0-ll-pre[0063]iplinksetbrO-ll-linknetnsdhcp-11[0064]ipnetnsexecdhcp-11ipaddradd20.251.32.233/22devbrO-ll-link[0065]ipnetnsexecdhcp-11ifconfigbrO-ll-linkpromiseup[0066]ipnetnsexecdhcp-11routeadddefaultgw20.251.35.254//添加默認路由[0067]ipnetnsexecdhcp-11iptables-APREROUTING-tnat_d20.251.32.233-jDNAT—to10.251.11.33[0068]ipnetnsexecdhcp-11iptables—APOSTROUTING-tnat-,SNAT-slO.251.11.33—to20.251.32.233?！緳嗬蟆?.一種支持多級隔離的虛擬網(wǎng)絡管理方法，其特征在于:所述的方法包括如下步驟:步驟1:在物理交換機上劃分每臺宿主機上配置兩塊網(wǎng)卡分別連接到內網(wǎng)和外網(wǎng)，并把內網(wǎng)網(wǎng)卡全部設置成可以通過上述禮處^的廿11成模式；不驟2:在所有宿主機的內網(wǎng)網(wǎng)卡上設置為每個創(chuàng)建一個網(wǎng)橋；步驟3:在部署應用時，為此應用創(chuàng)建一個新的虛擬網(wǎng)絡空間；在該虛擬機網(wǎng)絡空間內創(chuàng)建一個網(wǎng)橋，把這個網(wǎng)橋與的網(wǎng)橋進行連接，并在該虛擬網(wǎng)絡空間上啟動一個0訊:？服務；步驟4:把運行應用的虛擬機的虛擬網(wǎng)卡橋接到一個新的對應的網(wǎng)橋上；步驟5:若運行應用的某臺虛擬機需要連接外網(wǎng)，則在應用對應的虛擬網(wǎng)絡空間內通過嫩I模式把虛擬機的內網(wǎng)I？映射到一個外網(wǎng)I？；步驟6:如果應用之間的虛擬機間需要通信，那么通過設置虛擬網(wǎng)絡空間之間的訪問權限來控制。2.根據(jù)權利要求1所述的虛擬網(wǎng)絡管理方法，其特征在于:所述的即虛擬局域網(wǎng)~1代皿1100^1^1-68他切01*10，工作在031參考模型的第2層和第3層，是在虛擬的路由器的接口下創(chuàng)建的一個網(wǎng)段；所述的腿⑶服務是指使用腿⑶(0711511111。1^081:0011？18111~81:10119^01:0(301)動態(tài)主機配置協(xié)議給內部網(wǎng)絡或網(wǎng)絡服務供應商自動分配I？地址；所述的橋接模式和嫩！'模式是虛擬機的網(wǎng)絡模式。3.根據(jù)權利要求2所述的虛擬網(wǎng)絡管理方法，其特征在于:所述的031(01)6^1七咖I??！七61X0皿一巧)參考模型，即130開放系統(tǒng)互連參考模型，是130(國際標準化組織)組織在1985年研宄的網(wǎng)絡互聯(lián)模型?！疚臋n編號】H04L12/46GK104506403SQ201410738340【公開日】2015年4月8日申請日期:2014年12月5日優(yōu)先權日:2014年12月5日【發(fā)明者】湯碧君,楊松,莫展鵬,季統(tǒng)凱申請人:國云科技股份有限公司