一種實(shí)現(xiàn)虛擬私有云網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互通的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及虛擬私有云網(wǎng)絡(luò)技術(shù)����,尤指一種實(shí)現(xiàn)虛擬私有云(VPC,VirtualPrivate Cloud)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互通的方法和裝置����。
【背景技術(shù)】
[0002]VPC是存在于共享或公共云中的私有云。云運(yùn)營(yíng)商可以在公共云上劃分出一部分資源給用戶(hù)使用����,使得用戶(hù)可以像私有云一樣擁有和管理云。私有云可以以虛擬機(jī)(VM,Virtual Machine)的方式安裝不同規(guī)格的服務(wù)器����;可以安裝或者部署不同規(guī)格的共享存儲(chǔ);可以自行劃分子網(wǎng)���、自定義網(wǎng)絡(luò)編址空間���、自定義路由規(guī)則;可以配置和外部網(wǎng)絡(luò)互通的方式以及規(guī)則��;可以安裝網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT, Network Address Translat1n)����、防火墻�、負(fù)載均衡器、虛擬專(zhuān)用網(wǎng)絡(luò)(VPN, Virtual Private Network)網(wǎng)關(guān)等設(shè)備并配置相應(yīng)的規(guī)則�����;可以維護(hù)�、監(jiān)控資源及網(wǎng)絡(luò)。圖1為虛擬私有云網(wǎng)絡(luò)總體方案��,如圖1所示,云平臺(tái)統(tǒng)一管理計(jì)算�����、網(wǎng)絡(luò)�、存儲(chǔ)資源,每個(gè)租戶(hù)可以申請(qǐng)一個(gè)或多個(gè)虛擬私有云服務(wù)���。用戶(hù)可以申請(qǐng)簽約所規(guī)定的虛擬機(jī)�����、網(wǎng)絡(luò)���、存儲(chǔ)資源,并具有完全的配置權(quán)限�����。
[0003]一個(gè)用戶(hù)采用一個(gè)賬戶(hù)登錄��,也即所謂的一個(gè)租戶(hù)�。理論也可以一個(gè)賬戶(hù)對(duì)應(yīng)多個(gè)租戶(hù),視平臺(tái)實(shí)現(xiàn)而定��。一個(gè)租戶(hù)可以創(chuàng)建多個(gè)網(wǎng)絡(luò),對(duì)應(yīng)一個(gè)底層虛擬網(wǎng)絡(luò)封裝標(biāo)簽(例如虛擬局域網(wǎng)(vlan, Virtual Local Area Network)封裝標(biāo)識(shí)或虛擬可擴(kuò)展局域網(wǎng)(vxlan, Virtual extensible Local Area Network)封裝標(biāo)識(shí) vni),每個(gè)虛擬網(wǎng)絡(luò)有多個(gè)子網(wǎng)�����。默認(rèn)多個(gè)子網(wǎng)之間是隔離的�,如果租戶(hù)希望子網(wǎng)之間互通,則需要?jiǎng)?chuàng)建虛擬路由器掛接多個(gè)子網(wǎng)�。如果需要和外部網(wǎng)絡(luò)互通,則需要?jiǎng)?chuàng)建靜態(tài)路由或外部網(wǎng)關(guān)�����。一個(gè)租戶(hù)可以同時(shí)申請(qǐng)多個(gè)虛擬機(jī)資源���,每個(gè)虛擬機(jī)有一個(gè)到多個(gè)端口��,每個(gè)端口配置一個(gè)媒體訪問(wèn)控制(MAC,Media Access Control)地址和一個(gè)私網(wǎng)互聯(lián)網(wǎng)協(xié)議(IP, Internet Protocol)地址�。如果虛擬機(jī)是用于對(duì)外服務(wù)����,則可選配置一個(gè)動(dòng)態(tài)IP (Floating IP)�����,對(duì)應(yīng)網(wǎng)絡(luò)的一條靜態(tài)NAT規(guī)則。如果子網(wǎng)內(nèi)主機(jī)需要訪問(wèn)外網(wǎng)�����,除了配置虛擬路由器外��,還需要對(duì)應(yīng)的NAT設(shè)備����。
[0004]虛擬私有云網(wǎng)絡(luò)的管理可以通過(guò)Openstack(美國(guó)國(guó)家航空航天局和Rackspace合作研發(fā)的云端運(yùn)算軟件)的Neutron網(wǎng)絡(luò)組件完成,Neutron網(wǎng)絡(luò)組件按照租戶(hù)對(duì)網(wǎng)絡(luò)的需求生成相應(yīng)的虛擬私有云網(wǎng)絡(luò)資源�。底層的物理資源在虛擬化后通過(guò)軟件定義網(wǎng)絡(luò)(SDN, Software Defined Network)技術(shù)進(jìn)行調(diào)配,SDN控制器按照Neutron網(wǎng)絡(luò)組件的要求構(gòu)建網(wǎng)絡(luò)。圖2為虛擬私有云網(wǎng)絡(luò)虛擬化方案����,如圖2所示,虛擬私有云網(wǎng)絡(luò)的L2和L3功能以及網(wǎng)絡(luò)模型可以通過(guò)SDN控制器實(shí)現(xiàn)���,L4-L7網(wǎng)絡(luò)設(shè)備由Neutron Plug-1n接口直接控制OF(OpenFlow)交換機(jī)以及L4-L7網(wǎng)絡(luò)設(shè)備���。L4-L7的業(yè)務(wù)編排也可以通過(guò)SDN實(shí)現(xiàn)。這種虛擬私有云網(wǎng)絡(luò)的資源管理方案具有完全的網(wǎng)絡(luò)控制能力���,利于精細(xì)化的網(wǎng)絡(luò)管理和控制��。通過(guò)可編程網(wǎng)絡(luò)��,使得業(yè)務(wù)定制化能力變強(qiáng)��。標(biāo)準(zhǔn)的openflow接口有利于多廠家混合組網(wǎng)����。
[0005]虛擬私有云網(wǎng)絡(luò)可以通過(guò)vxlan進(jìn)行隔離,在每個(gè)虛擬私有云網(wǎng)絡(luò)中可以規(guī)劃自有的網(wǎng)段和地址池���,虛擬私有云內(nèi)部的虛擬機(jī)(VM�����,Virtual Machine)可以分配私有地址�����,在虛擬私有云之間可以存在地址重疊現(xiàn)象�����。圖3為現(xiàn)有的實(shí)現(xiàn)虛擬私有網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互通的方法的示意圖���,如圖3所示,當(dāng)虛擬私有云網(wǎng)絡(luò)中的VM需要向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)時(shí)�����,SDN控制器控制OF交換機(jī)對(duì)數(shù)據(jù)進(jìn)行Vxlan封裝后���,控制OF交換機(jī)將數(shù)據(jù)通過(guò)路由器發(fā)送給Vxlan網(wǎng)關(guān)����,Vxlan網(wǎng)關(guān)根據(jù)SDN控制器下發(fā)的第一流表表項(xiàng)(包括匹配信息域和對(duì)應(yīng)的動(dòng)作��,其中�����,匹配信息域?yàn)閂xlan封裝標(biāo)識(shí))對(duì)數(shù)據(jù)進(jìn)行Vxlan解封裝���,并根據(jù)SDN控制器下發(fā)的第二流表表項(xiàng)(包括匹配信息域和對(duì)應(yīng)的動(dòng)作�����,其中�����,匹配信息域?yàn)閂lan封裝標(biāo)識(shí))對(duì)數(shù)據(jù)進(jìn)行Vlan封裝���,然后將封裝后的數(shù)據(jù)轉(zhuǎn)發(fā)給NAT網(wǎng)元���,NAT網(wǎng)元采用遍歷的方式在NAT規(guī)則表中查找數(shù)據(jù)對(duì)應(yīng)的NAT規(guī)則,根據(jù)查找到的NAT規(guī)則將數(shù)據(jù)發(fā)送到外部網(wǎng)絡(luò)����。其中,NAT規(guī)則表包括Vlan封裝標(biāo)識(shí)和對(duì)應(yīng)的NAT規(guī)則��。
[0006]其中����,Vxlan網(wǎng)關(guān)和NAT網(wǎng)元可以分設(shè),也可以合設(shè)。
[0007]現(xiàn)有的實(shí)現(xiàn)虛擬私有網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互通的方法中�����,Vxlan網(wǎng)關(guān)在對(duì)數(shù)據(jù)進(jìn)行Vxlan解封裝和Vlan封裝過(guò)程中�����,需要將Vxlan封裝標(biāo)識(shí)映射到Vlan標(biāo)識(shí),Vxlan封裝標(biāo)識(shí)為24比特�����,而Vlan封裝標(biāo)識(shí)為12比特����,因此�����,在映射過(guò)程中會(huì)存在多個(gè)Vxlan封裝標(biāo)識(shí)對(duì)應(yīng)一個(gè)Vlan標(biāo)識(shí)的情況����,從而降低了 Vxlan網(wǎng)關(guān)實(shí)際所支持的虛擬私有網(wǎng)絡(luò)的數(shù)量。而現(xiàn)有技術(shù)中并未給出有效的方法實(shí)現(xiàn)在虛擬私有網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互通過(guò)程中避免Vxlan和Vlan之間的映射���。
【發(fā)明內(nèi)容】
[0008]為了解決上述問(wèn)題�,本發(fā)明提出了一種實(shí)現(xiàn)虛擬私有云網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互通的方法和裝置����,能夠避免Vxlan和Vlan之間的映射。
[0009]為了達(dá)到上述目的�����,本發(fā)明提出了一種實(shí)現(xiàn)虛擬私有云網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互通的方法,包括:
[0010]虛擬可擴(kuò)展局域網(wǎng)Vxlan網(wǎng)關(guān)接收到來(lái)自路由器的數(shù)據(jù)�,在第一流表中查找到數(shù)據(jù)對(duì)應(yīng)的第三流表表項(xiàng)和第四流表表項(xiàng);
[0011]Vxlan網(wǎng)關(guān)根據(jù)第三流表表項(xiàng)在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT表中查找數(shù)據(jù)對(duì)應(yīng)的NAT表項(xiàng)���,根據(jù)查找到的NAT表項(xiàng)將數(shù)據(jù)發(fā)送到外部網(wǎng)絡(luò)����;
[0012]Vxlan網(wǎng)關(guān)根據(jù)第四流表表項(xiàng)對(duì)數(shù)據(jù)進(jìn)行鏡像�;
[0013]Vxlan網(wǎng)關(guān)在第二流表中查找鏡像的數(shù)據(jù)對(duì)應(yīng)的第五流表表項(xiàng),根據(jù)查找到的第五流表表項(xiàng)在NAT規(guī)則表中查找所述鏡像的數(shù)據(jù)對(duì)應(yīng)的NAT表項(xiàng)�����,將查找到的NAT表項(xiàng)下發(fā)到NAT表中���。
[0014]優(yōu)選地���,當(dāng)在所述NAT表中查找不到數(shù)據(jù)對(duì)應(yīng)的NAT表項(xiàng)時(shí),該方法還包括:丟棄所述數(shù)據(jù)��。
[0015]優(yōu)選地���,當(dāng)在所述第一流表中查找不到所述數(shù)據(jù)對(duì)應(yīng)的第三流表表項(xiàng)和第四流表表項(xiàng)時(shí)�����,在所述根據(jù)第三流表表項(xiàng)在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT表中查找數(shù)據(jù)對(duì)應(yīng)的NAT表項(xiàng)之前還包括:
[0016]所述Vxlan網(wǎng)關(guān)將所述數(shù)據(jù)上送到所述SDN控制器�����;
[0017]所述Vxlan網(wǎng)關(guān)接收到來(lái)自所述SDN控制器的第三流表表項(xiàng)和第四流表表項(xiàng)�。
[0018]優(yōu)選地�����,當(dāng)在所述第二流表中查找不到所述鏡像的數(shù)據(jù)對(duì)應(yīng)的第五流表表項(xiàng)時(shí)�����,該方法還包括:
[0019]丟棄所述鏡像的數(shù)據(jù)�����。
[0020]優(yōu)選地��,該方法還包括:
[0021]所述Vxlan網(wǎng)關(guān)在查找到所述鏡像的數(shù)據(jù)對(duì)應(yīng)的NAT表項(xiàng)后刪除所述第四流表表項(xiàng)���。
[0022]優(yōu)選地�,所述Vxlan網(wǎng)關(guān)在查找到鏡像的數(shù)據(jù)對(duì)應(yīng)的NAT表項(xiàng)后刪除第四流表表項(xiàng)包括:
[0023]所述Vxlan網(wǎng)關(guān)在查找到所述鏡像的數(shù)據(jù)對(duì)應(yīng)的NAT表項(xiàng)后構(gòu)建特殊的指示,在所述第二流表中查找所述構(gòu)建的特殊的指示對(duì)應(yīng)的第六流表表項(xiàng)�����,根據(jù)查找到的第六流表表項(xiàng)刪除所述第四流表表項(xiàng)����。
[0024]優(yōu)選地,該方法還包括:
[0025]所述Vxlan網(wǎng)關(guān)將查找到的NAT表項(xiàng)中的匹配域信息發(fā)送給所述SDN控制器���,接收到來(lái)自所述SDN控制器的第七流表表項(xiàng)后��,根據(jù)所述第七流表表項(xiàng)刪除所述第四流表表項(xiàng)��。
[0026]優(yōu)選地����,所述第一流表包括匹配域信息��,所述第一流表的匹配域信息為網(wǎng)絡(luò)地址����;
[0027]所述在第一流表中查找數(shù)據(jù)對(duì)應(yīng)的第三流表表項(xiàng)包括:
[0028]將所述數(shù)據(jù)的目的地址和所述第一流表的匹配域信息進(jìn)行匹配查找所述第三流表表項(xiàng)�����。
[0029]本發(fā)明還提出了一種虛擬可擴(kuò)展局域網(wǎng)網(wǎng)關(guān)��,至少包括:
[0030]第一查找模塊��,用于接收到來(lái)自路由器的數(shù)據(jù)����,在第一流表中查找到數(shù)據(jù)對(duì)應(yīng)的第三流表表項(xiàng)和第四流表表項(xiàng)�;根據(jù)第三流表表項(xiàng)在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT表中查找數(shù)據(jù)對(duì)應(yīng)的NAT表項(xiàng)��;
[0031]發(fā)送模塊����,用于根據(jù)查找到的NAT表項(xiàng)將數(shù)據(jù)發(fā)送到外部網(wǎng)絡(luò);
[0032]鏡像模塊�����,用于在所述第一流表中查找到所述數(shù)據(jù)對(duì)應(yīng)的第四流表表項(xiàng)�����,根據(jù)所述第四流表表項(xiàng)對(duì)所述數(shù)據(jù)進(jìn)行鏡像;
[0033]第二查找模塊�,用于在第二流表中查找鏡像的數(shù)據(jù)對(duì)應(yīng)的第五