云數(shù)據(jù)中心虛擬網(wǎng)絡(luò)的隔離方法與裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計(jì)算領(lǐng)域�����,尤其涉及一種云數(shù)據(jù)中心虛擬網(wǎng)絡(luò)的隔離方法與裝置���。
【背景技術(shù)】
[0002]云數(shù)據(jù)中心以資源出租為核心業(yè)務(wù),租戶可通過租用VM(Virtual Machine,虛擬機(jī))來共享使用云數(shù)據(jù)中心的網(wǎng)絡(luò)資源��。同一租戶租用的多個(gè)VM需要進(jìn)行網(wǎng)絡(luò)通信�,從而形成一個(gè)虛擬網(wǎng)絡(luò)�����。通常,多個(gè)虛擬網(wǎng)絡(luò)共存于云數(shù)據(jù)中心的物理網(wǎng)絡(luò)之上�����。由于傳統(tǒng)網(wǎng)絡(luò)不支持地址空間虛擬化以及難以實(shí)現(xiàn)對大規(guī)模網(wǎng)絡(luò)的集中控制等缺陷���,因此,面向多租戶的云數(shù)據(jù)中心引入了 SDN(Software Defined Networking,軟件定義網(wǎng)絡(luò))技術(shù)���。SDN技術(shù)的設(shè)計(jì)理念是要將網(wǎng)絡(luò)的控制層與數(shù)據(jù)層進(jìn)行分離����,并實(shí)現(xiàn)網(wǎng)絡(luò)的可編程控制�。
[0003]基于SDN技術(shù),現(xiàn)有技術(shù)中提出了根據(jù)VM到VM的資源需求將云數(shù)據(jù)中心中的不同租戶分入不同的VDC(Virtual Data Center�,虛擬數(shù)據(jù)中心)�,并在此分隔的基礎(chǔ)上為租戶提供有保證的服務(wù)���。
[0004]在實(shí)現(xiàn)基于VM到VM的資源需求進(jìn)行VDC分隔的過程中����,現(xiàn)有技術(shù)中至少存在如下問題:屬于不同虛擬網(wǎng)絡(luò)之間的VM的流量隔離問題沒有得到解決��,導(dǎo)致現(xiàn)有的虛擬網(wǎng)絡(luò)存在安全隱患�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的實(shí)施例提供一種云數(shù)據(jù)中心虛擬網(wǎng)絡(luò)的隔離方法與裝置�����,能夠提高虛擬網(wǎng)絡(luò)的安全性�����。
[0006]為達(dá)到上述目的���,本發(fā)明的實(shí)施例采用如下技術(shù)方案:
[0007]第一方面���,提供一種云數(shù)據(jù)中心虛擬網(wǎng)絡(luò)的隔離方法�,包括:
[0008]接收交換機(jī)發(fā)送的轉(zhuǎn)發(fā)詢問信息�����,所述轉(zhuǎn)發(fā)詢問信息由所述交換機(jī)在接收到數(shù)據(jù)包時(shí)發(fā)送���;
[0009]根據(jù)所述轉(zhuǎn)發(fā)詢問信息�,確定所述數(shù)據(jù)包的源虛擬機(jī)與第一邊緣層交換機(jī)的連接關(guān)系�����,以及所述數(shù)據(jù)包的目的虛擬機(jī)與第二邊緣層交換機(jī)的連接關(guān)系�,其中,所述第一邊緣層交換機(jī)是與所述源虛擬機(jī)直接相連的交換機(jī)��,所述第二邊緣層交換機(jī)是與所述目的虛擬機(jī)直接相連的交換機(jī)��;
[0010]根據(jù)所述源虛擬機(jī)與所述第一邊緣層交換機(jī)的連接關(guān)系�、所述目的虛擬機(jī)與所述第二邊緣層交換機(jī)的連接關(guān)系以及保存的對應(yīng)關(guān)系����,確定所述源虛擬機(jī)與所述目的虛擬機(jī)是否屬于同一租戶租用的虛擬網(wǎng)絡(luò);
[0011]當(dāng)所述源虛擬機(jī)與所述目的虛擬機(jī)不屬于同一租戶租用的虛擬網(wǎng)絡(luò)時(shí)����,控制所述交換機(jī)丟棄所述數(shù)據(jù)包���。
[0012]結(jié)合第一方面,在第一方面的第一種可能的實(shí)現(xiàn)方式中�,
[0013]所述源虛擬機(jī)與所述第一邊緣層交換機(jī)的連接關(guān)系包括所述源虛擬機(jī)與所述第一邊緣層交換機(jī)的端口的第一連接關(guān)系;
[0014]所述目的虛擬機(jī)與所述第二邊緣層交換機(jī)的連接關(guān)系包括所述目的虛擬機(jī)與所述第二邊緣層交換機(jī)的端口的第二連接關(guān)系���;
[0015]所述保存的對應(yīng)關(guān)系包括:所述第一連接關(guān)系與租戶租用的虛擬網(wǎng)絡(luò)的對應(yīng)關(guān)系�,所述第二連接關(guān)系與租戶租用的虛擬網(wǎng)絡(luò)的對應(yīng)關(guān)系����。
[0016]結(jié)合第一方面或第一方面的第一種可能的實(shí)現(xiàn)方式,在第一方面的第二種可能的實(shí)現(xiàn)方式中�����,在所述根據(jù)所述源虛擬機(jī)與所述第一邊緣層交換機(jī)的連接關(guān)系�、所述目的虛擬機(jī)與所述第二邊緣層交換機(jī)的連接關(guān)系以及保存的對應(yīng)關(guān)系,確定所述源虛擬機(jī)與所述目的虛擬機(jī)是否屬于同一租戶租用的虛擬網(wǎng)絡(luò)前��,所述方法還包括:
[0017]接收租戶的請求信息��,所述請求信息包括租戶的計(jì)劃租用虛擬機(jī)的數(shù)量N、網(wǎng)內(nèi)帶寬要求��、彈性參數(shù)α���,所述虛擬機(jī)包括所述源虛擬機(jī)和所述目的虛擬機(jī)�;
[0018]根據(jù)所述計(jì)劃租用虛擬機(jī)的數(shù)量N確定實(shí)際租用虛擬機(jī)的數(shù)量M ��;
[0019]根據(jù)預(yù)先獲取拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)���,確定由M臺虛擬機(jī)所組成的虛擬網(wǎng)絡(luò)��,并在所組成的虛擬網(wǎng)絡(luò)符合所述網(wǎng)內(nèi)帶寬要求時(shí)將所組成的虛擬網(wǎng)絡(luò)分配所述租戶�;
[0020]其中�,M = N/α,所述數(shù)量N��、數(shù)量M均為正整數(shù)��,O < α彡I����。
[0021]結(jié)合第一方面的第二種可能的實(shí)現(xiàn)方式�����,在第一方面的第三種可能的實(shí)現(xiàn)方式中,所述確定由M臺虛擬機(jī)所組成的虛擬網(wǎng)絡(luò)包括:
[0022]確定與邊緣層交換機(jī)連接的未租用虛擬機(jī)的數(shù)量P是否大于或等于數(shù)量Μ�����,所述邊緣層交換機(jī)包括所述第一邊緣層交換機(jī)和所述第二邊緣層交換機(jī)�����,所述邊緣層交換機(jī)為與所述虛擬機(jī)直接相連的交換機(jī)�����;
[0023]當(dāng)數(shù)量P大于或等于數(shù)量M時(shí)�����,從所述邊緣層交換機(jī)所連接的P臺虛擬機(jī)中選擇M臺虛擬機(jī)���;
[0024]當(dāng)數(shù)量P小于數(shù)量M時(shí)��,從路由層交換機(jī)所連接的未租用虛擬機(jī)中選擇M臺虛擬機(jī)����,所述路由層交換機(jī)為未與所述虛擬機(jī)直接相連的交換機(jī),所述路由層交換機(jī)為與所述邊緣層交換機(jī)直接相連的交換機(jī)����;
[0025]其中,所述數(shù)量P為正整數(shù)�����。
[0026]結(jié)合第一方面的第二種或第三種可能的實(shí)現(xiàn)方式��,在第一方面的第四種可能的實(shí)現(xiàn)方式中��,所述請求信息還包括網(wǎng)際帶寬要求�����;
[0027]在確定由M臺虛擬機(jī)所組成的且符合所述網(wǎng)內(nèi)帶寬要求的虛擬網(wǎng)絡(luò)后�,所述方法還包括:
[0028]從所述由M臺虛擬機(jī)所組成的且符合所述網(wǎng)內(nèi)帶寬要求的虛擬網(wǎng)絡(luò)中,確定符合所述網(wǎng)際帶寬要求的虛擬網(wǎng)絡(luò)����;
[0029]所述將所組成的虛擬網(wǎng)絡(luò)分配所述租戶包括:
[0030]將符合所述網(wǎng)內(nèi)帶寬要求以及網(wǎng)際帶寬要求的虛擬網(wǎng)絡(luò)分配所述租戶。
[0031]結(jié)合第一方面的第二種至第四種可能的任一實(shí)現(xiàn)方式�,在第一方面的第五種可能的實(shí)現(xiàn)方式中,所述預(yù)先獲取拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)包括所述虛擬機(jī)的已租用信息�、帶寬的已租用信息;
[0032]所述根據(jù)預(yù)先獲的取拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)�,確定由M臺虛擬機(jī)所組成的虛擬網(wǎng)絡(luò),并在所組成的虛擬網(wǎng)絡(luò)符合所述網(wǎng)內(nèi)帶寬要求時(shí)將所組成的虛擬網(wǎng)絡(luò)分配所述租戶之后��,所述方法還包括:
[0033]當(dāng)其他租戶歸還虛擬機(jī)時(shí)����,更新所述歸還的虛擬機(jī)的已租用信息、所述歸還的虛擬機(jī)對應(yīng)的帶寬的已租用信息�;
[0034]根據(jù)更新后的虛擬機(jī)的已租用信息、帶寬的已租用信息�����,調(diào)整所述虛擬網(wǎng)絡(luò)���。
[0035]結(jié)合第一方面或第一方面的第一種至第五種可能的任一實(shí)現(xiàn)方式�����,在第一方面的第六種可能的實(shí)現(xiàn)方式中��,所述方法還包括:
[0036]當(dāng)接收到所述交換機(jī)發(fā)送的帶寬速度大于預(yù)設(shè)值時(shí)��,向所述交換機(jī)下發(fā)帶寬限速指令�����,以將所述數(shù)據(jù)包的源虛擬機(jī)在所述交換機(jī)上的帶寬速度限制在所述預(yù)設(shè)值內(nèi)���。
[0037]第二方面���,提供一種云數(shù)據(jù)中心虛擬網(wǎng)絡(luò)的隔離裝置,包括:
[0038]接收單元���,用于接收交換機(jī)發(fā)送的轉(zhuǎn)發(fā)詢問信息����,所述轉(zhuǎn)發(fā)詢問信息由所述交換機(jī)在接收到數(shù)據(jù)包時(shí)發(fā)送��;
[0039]確定單元����,用于根據(jù)所述接收單元接收的所述轉(zhuǎn)發(fā)詢問信息,確定所述數(shù)據(jù)包的源虛擬機(jī)與第一邊緣層交換機(jī)的連接關(guān)系��,以及所述數(shù)據(jù)包的目的虛擬機(jī)與第二邊緣層交換機(jī)的連接關(guān)系�,其中,所述第一邊緣層交換機(jī)是與所述源虛擬機(jī)直接相連的交換機(jī)��,所述第二邊緣層交換機(jī)是與所述目的虛擬機(jī)直接相連的交換機(jī);
[0040]所述確定單元還用于:根據(jù)所述源虛擬機(jī)與所述第一邊緣層交換機(jī)的連接關(guān)系��、所述目的虛擬機(jī)與所述第二邊緣層交換機(jī)的連接關(guān)系以及保存的對應(yīng)關(guān)系��,確定所述源虛擬機(jī)與所述目的虛擬機(jī)是否屬于同一租戶租用的虛擬網(wǎng)絡(luò)���;
[0041]控制單元,用于當(dāng)所述確定單元確定所述源虛擬機(jī)與所述目的虛擬機(jī)不屬于同一租戶租用的虛擬網(wǎng)絡(luò)時(shí)�,控制所述交換機(jī)丟棄所述數(shù)據(jù)包。
[0042]結(jié)合第二方面�����,在第二方面的第一種可能的實(shí)現(xiàn)方式中���,所述裝置還包括分配單元;
[0043]所述分配單元具體包括:
[0044]請求信息接收模塊���,用于接收租戶的請求信息,所述請求信息包括租戶的計(jì)劃租用虛擬機(jī)的數(shù)量N�����、網(wǎng)內(nèi)帶寬要求�����、彈性參數(shù)α,所述虛擬機(jī)包括所述源虛擬機(jī)和所述目的虛擬機(jī)��;
[0045]租用數(shù)量確定模塊�����,用于根據(jù)所述請求信息接收模塊接收的所述計(jì)劃租用虛擬機(jī)的數(shù)量N確定實(shí)際租用虛擬機(jī)的數(shù)量M �����;
[0046]虛擬網(wǎng)絡(luò)確定模塊�,用于根據(jù)預(yù)先獲取拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu),確定由M臺虛擬機(jī)所組成的虛擬網(wǎng)絡(luò)���,并在所組成的虛擬網(wǎng)絡(luò)符合所述網(wǎng)內(nèi)帶寬要求時(shí)將所組成的虛擬網(wǎng)絡(luò)分配所述租戶�;
[0047]其中����,M = N/α,所述數(shù)量N����、數(shù)量M均為正整數(shù)�,O < α彡I����。
[0048]結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式,在第二方面的第二種可能的實(shí)現(xiàn)方式中��,所述虛擬網(wǎng)絡(luò)確定模塊具體用于:
[0049]確定與虛擬機(jī)直接相連的邊緣層交換機(jī)所連接的未租用虛擬機(jī)的數(shù)量P是否大于或等于數(shù)量M ���;
[0050]當(dāng)數(shù)量P大于或等于數(shù)量M時(shí),從所述邊緣層交換機(jī)所連接的P臺虛擬機(jī)中選擇M臺虛擬機(jī)����;
[0051]當(dāng)數(shù)量P小于數(shù)量M時(shí),從路由層交換機(jī)所連接的未租用虛擬機(jī)中選擇M臺虛擬機(jī)�,所述路由層交換機(jī)為未與所述虛擬機(jī)直接相連的交換機(jī),所述路由層交換機(jī)為與所述邊緣層交換機(jī)直接相連的交換機(jī)�;
[0052]其中,所述數(shù)量P為正整數(shù)��。
[0053]結(jié)合第二方面的第一種或第二種可能的實(shí)現(xiàn)方式����,在第二方面的第三種可能的實(shí)現(xiàn)方式中,所述請求信息還包括網(wǎng)際帶寬要求;
[0054]所述虛擬網(wǎng)絡(luò)確定模塊還用于:從所述由M臺虛擬機(jī)所組成的且符合所述網(wǎng)內(nèi)帶寬要求的虛擬網(wǎng)絡(luò)中�,確定符合所述網(wǎng)際帶寬要求的虛擬網(wǎng)絡(luò),并將符合所述網(wǎng)內(nèi)帶寬要求以及網(wǎng)際帶寬要求的虛擬網(wǎng)絡(luò)分配所述租戶��。
[0055]結(jié)合第二方面的第一種至第三種可能的任一實(shí)現(xiàn)方式�,在第二方面的第四種可能的實(shí)現(xiàn)方式中,所述預(yù)先獲取的虛擬機(jī)與交換機(jī)的拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)包括虛擬機(jī)的已租用信息��、帶寬的已租用信息�;
[0056]所述分配單元還用于:當(dāng)其他租戶歸還虛擬機(jī)時(shí),更新所述歸還的虛擬機(jī)的已租用信息���、所述歸還的虛擬機(jī)對應(yīng)的帶寬的已租用信息���;
[0057]根據(jù)更新后的虛擬機(jī)的已租用信息、帶寬的已租用信息�����,調(diào)整所述虛擬網(wǎng)絡(luò)���。
[0058]結(jié)合第二方面或第二方面的第一種至第四種可能的任一實(shí)現(xiàn)方式����,在第二方面的第五種可能的實(shí)現(xiàn)方式中,所述控制單元還用于:
[0059]當(dāng)接收到所述交換機(jī)發(fā)送的帶寬速度大于預(yù)設(shè)值時(shí)��,向所述交換機(jī)下發(fā)帶寬限速指令��,以將所述數(shù)據(jù)包的源虛擬機(jī)在所述交換機(jī)上的帶寬速度限制在所述預(yù)設(shè)值內(nèi)�����。
[0060]根據(jù)本發(fā)明實(shí)施例提供的云數(shù)據(jù)中心虛擬網(wǎng)絡(luò)的隔離方法與裝置��,由于云數(shù)據(jù)中心的控制器能夠根據(jù)源虛擬機(jī)與第一邊緣層交換機(jī)的連接關(guān)系�、目的虛擬機(jī)與第二邊緣層交換機(jī)的連接關(guān)系以及保存的對應(yīng)關(guān)系,確定源虛擬機(jī)與目的虛擬機(jī)是否屬于同一租戶所租用的虛擬網(wǎng)絡(luò)�,并在源虛擬機(jī)與目的虛擬機(jī)不屬于同一租戶所