本发明专利技术涉及云计算技术领域,特别是一种高灵活性的多租户虚拟网络隔离方法。本发明专利技术在初始化的过程中首先创建两个虚拟交换机OVS-A和OVS-B;然后给OVS-A添加连接外网的物理接口eth1;接着创建VETH设备连接OVS-A和OVS-B。创建私有网络、启动虚拟机是:(1)添加内部端口dhcp-N并设置内网VLAN-N;(2)创建私有网络空间netns-N;(3)将dhcp-N端口接入netns-N;(4)在网络节点和计算节点连接OVS-A与OVS-B的VETH设备两端分别设置内外网VLAN转换规则;(5)在计算节点创建linux网桥BR-N;(6)创建VETH设备连接BR-N与OVS-B;(7)虚拟机桥接到BR-N启动并通过步骤3启动的dhcp服务获取IP。本发明专利技术提供了一种高灵活性的多租户虚拟网络隔离方法。
【技术实现步骤摘要】
一种多租户虚拟网络隔离方法
本专利技术涉及云计算
,特别是一种高灵活性的多租户虚拟网络隔离方法。
技术介绍
网络管理和配置是云计算中一项非常重要的功能,实现一种灵活高效又安全的网络虚拟化一直是各个云平台追求的目标。对于云平台租户而言,保证自己的虚拟机网络安全可用是最重要也是最有必要的,这样就必须首先要求虚拟机可以访问外网,其次是同一个租户的虚拟机之间能够相互通信,而不同租户所创建的虚拟机不能互相访问。目前一般采用全局VLAN隔离的方法给虚拟机设置网络,其方法步骤如下:1、云平台管理员事先规划好各个租户的VLAN号并对物理交换机和路由器进行相应配置;2、在各个物理计算节点上创建VLAN号对应的网桥;3、将各租户的虚拟机桥接到各自对应的网桥并分配其IP。上述方法的实现原理非常简单,但也存在以下的弊端:1、灵活性差,管理员必须事先配置好物理网络以提供给租户使用,但是租户的需求往往是变化的,这样导致经常修改物理交换机、路由器等全局网络配置非常不便。2、用户体验不好,租户一般都希望能够自己控制自己虚拟机的网络,例如根据自己的需要随时创建和删除某个子网,分配自己想要的私有IP,采用上述方法根本无法满足。因此,云平台中需要一种高灵活性的多租户虚拟网络隔离方法。
技术实现思路
本专利技术解决的技术问题在于提供一种高灵活性的多租户虚拟机网络隔离方法,满足云平台各租户灵活控制自己私有虚拟网络的需求。本专利技术解决上述技术问题的技术方案是:所述的方法主要涉及网络节点和计算节点两个部分,其中网络节点和计算节点的初始化步骤如下:步骤1:分别创建两个虚拟交换机OVS-A和OVS-B;步骤2:分别给OVS-A添加连接外网的物理接口;步骤3:分别创建VETH设备连接OVS-A和OVS-B;各租户创建私有网络并启动虚拟机的过程包括如下步骤:步骤1:在网络节点的OVS-B上添加一个内部端口dhcp-N并设置内网VLAN-N;步骤2:创建租户私有网络空间netns-N;步骤3:将dhcp-N端口加入netns-N,并启动私有网络dhcp服务;步骤4:在网络节点和计算节点连接OVS-A与OVS-B的VETH设备两端分别设置内外网VLAN转换规则;步骤5:在计算节点创建linux网桥BR-N;步骤6:创建VETH设备连接BR-N与OVS-B;步骤7:虚拟机桥接到BR-N启动并通过步骤3启动的dhcp服务获取IP;最后,如果一个租户创建有多个私有网络,可以通过在网络节点的OVS-B上创建虚拟路由器来控制私网间的三层通信。所述的网络节点是指可以在其上面创建虚拟网络空间并提供私有网络dhcp服务的服务器;所述的计算节点是指可以在其上面创建虚拟机的服务器;所述的网络节点和计算节点只是功能上的区分,同一台服务器既可以单独作为网络节点,也可以单独作为计算节点,还可以同时作为网络节点和计算节点;所述的网络节点可以是分布式的,即在一个云平台中可以同时存在多个网络节点为计算节点提供网络服务,保证网络服务的高可靠。所述的虚拟交换机OVS-A和OVS-B是指使用虚拟机交换机工具创建的虚拟网桥,功能上相当于物理网络设备的交换机;所述的虚拟交换机即开放虚拟交换标准,是产品级质量的多层虚拟交换标准。所述的虚拟网络空间是相对于全局网络空间来说的,他们是相互隔离的两个命名空间;所述的命名空间可以理解为逻辑分组,分组之间是互不影响的,IP地址是不一样的。所述的内网是指租户创建的私有虚拟网络,所述的外网则是云平台物理网络设备上使用的真实网络。所述的VLAN是在交换机等二层设备中用以实现二层网络隔离的标签技术,不同VLAN之间的私有网络是相互隔离的;所述的二层是指计算机网络七层结构中的数据链路层;所述的内外网VLAN转换包括内网VLAN转外网VLAN和外网VLAN转内网VLAN;所述的内网VLAN转外网VLAN是指将标有内网VLAN号的数据包重定义为外网VLAN号以便其能在外网正常通信;所述的外网VLAN转内网VLAN则是指将标有外网VLAN号的数据帧重定义为内网VLAN号以便其进入内网正常通信。本专利技术方案的有益效果如下:1、本专利技术所创建的虚拟网络空间是灵活的,可以根据租户的需求随时创建与删除,也可以指定任何私有网络地址;2、本专利技术所涉及的VLAN配置都是在虚拟交换机上完成,可以随时修改;3、本专利技术可以使租户创建多个私有网络,通过虚拟路由器可以很方便的实现私有网络的互通与隔离;4、本专利技术的方法中网络节点可以是分布式的,避免了单点故障问题,实现了网络节点的高可靠。附图说明下面结合附图对本专利技术进一步说明:图1为本专利技术的示意图。具体实施方式见图1所示,本专利技术初始化过程中首先分别在网络节点和计算节点上创建两个虚拟交换机OVS-A和OVS-B,具体如下:#ovs-vsctladd-brOVS-A//创建OVS桥,即虚拟机交换机#ovs-vsctladd-brOVS-B//创建OVS桥,即虚拟机交换机OVS-A用于连接外网,给其添加连接外网的物理接口eth1:#ovs-vsctladd-portOVS-Aeth1接着创建VETH设备连接OVS-A和OVS-B,如下操作中vethA-1和vethA-2为VETH设备vethA的两个端口:#iplinkaddvethA-1typevethpeernamevethA-2//创建vethA-1与vethA-2#ifconfigvethA-1up//激活vethA-1端口#ifconfigvethA-2up//激活vethA-2端口#ovs-vsctladd-portOVS-AvethA-1//vethA-1接到桥VOS-A#ovs-vsctladd-portOVS-BvethA-2//vethA-2接到桥VOS-B假设云平台某租户需要创建属于自己的私有网络(192.168.88.0/24),云平台自动为其分配了内网vlan5和外网vlan1005,则底层具体的实现过程如下:首先在网络节点的OVS-B虚拟交换机上面添加一个内部端口,假设为dhcp-5,并设置其端口vlan5用以对不同虚拟网络进行隔离,具体命令如下:#ovs-vsctladd-portOVS-Bdhcp-5tag=5--setinterfacedhcp-5type=internal创建虚拟网络空间netns-5,并将dhcp-5接入该网络空间:#ipnetnsaddnetns-5#iplinksetdhcp-5netnsnetns-5#ipnetnsexecnetns-5ipaddradd192.168.88.1/24devdhcp-5//给内部端口设置租户私有网络IP,可以作为网关#ipnetnsexecnetns-5ifconfigdhcp-5promiscup//激活内部端口在网络节点虚拟交换机OVS-A的vethA-1端口处添加上行VLAN转换(内网VLAN转外网VLAN)的转换规则:#ovs-ofctladd-flowOVS-A″hard_timeout=0,idle_timeout=0,priority=3,in_port=3,dl_vlan=5,actions=mod_vlan_vid:1005,normal″在网络节点虚拟交换机OVS-B的vethA-2端口处添加下行本文档来自技高网...
【技术保护点】
一种多租户虚拟网络隔离方法,其特征在于:所述的方法主要涉及网络节点和计算节点两个部分,其中网络节点和计算节点的初始化步骤如下:步骤1:分别创建两个虚拟交换机OVS‑A和OVS‑B;步骤2:分别给OVS‑A添加连接外网的物理接口;步骤3:分别创建VETH设备连接OVS‑A和OVS‑B;各租户创建私有网络并启动虚拟机的过程包括如下步骤:步骤1:在网络节点的OVS‑B上添加一个内部端口dhcp‑N并设置内网VLAN‑N;步骤2:创建租户私有网络空间netns‑N;步骤3:将dhcp‑N端口加入netns‑N,并启动私有网络dhcp服务;步骤4:在网络节点和计算节点连接OVS‑A与OVS‑B的VETH设备两端分别设置内外网VLAN转换规则;步骤5:在计算节点创建linux网桥BR‑N;步骤6:创建VETH设备连接BR‑N与OVS‑B;步骤7:虚拟机桥接到BR‑N启动并通过步骤3启动的dhcp服务获取IP;最后,如果一个租户创建有多个私有网络,可以通过在网络节点的OVS‑B上创建虚拟路由器来控制私网间的三层通信。
【技术特征摘要】
1.一种多租户虚拟网络隔离方法,其特征在于:所述的方法主要涉及网络节点和计算节点两个部分,其中网络节点和计算节点的初始化步骤如下:步骤1:分别创建两个虚拟交换机OVS-A和OVS-B;步骤2:分别给OVS-A添加连接外网的物理接口;步骤3:分别创建VETH设备连接OVS-A和OVS-B;各租户创建私有网络并启动虚拟机的过程包括如下步骤:步骤1:在网络节点的OVS-B上添加一个内部端口dhcp-N并设置内网VLAN-N;步骤2:创建租户私有网络空间netns-N;步骤3:将dhcp-N端口加入netns-N,并启动私有网络dhcp服务;步骤4:在网络节点和计算节点连接OVS-A与OVS-B的VETH设备两端分别设置内外网VLAN转换规则;步骤5:在计算节点创建linux网桥BR-N;步骤6:创建VETH设备连接BR-N与OVS-B;步骤7:虚拟机桥接到BR-N启动并通过步骤3启动的dhcp服务获取IP;最后,如果一个租户创建有多个私有网络,可以通过在网络节点的OVS-B上创建虚拟路由器来控制私网间的三层通信;所述的VLAN是在二层设备中用以实现二层网络隔离的标签技术,不同VLAN之间的私有网络是相互隔离的;所述的二层是指计算机网络七层结构中的数据链路层;所述的内外网VLAN转换包括内网VLAN转外网VLAN和外网VLAN转内网VLAN;所述的内网VLAN转外网VLAN是指将标有内网VLAN号的数据包重定义为外网VLAN号以便其能在外网正常通信;所述的外网VLAN转内网VLAN则是指将标有外网VLAN号的数据帧重定义为内网VLAN号以便其进入内网正常通信。2.根据权利要求1所述的多租户虚拟网络...
【专利技术属性】
技术研发人员:熊梦,杨松,莫展鹏,季统凯,
申请(专利权)人:国云科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。