本发明专利技术公开了一种面向多租户的云网络系统。所述云网络系统包括:计算节点、虚拟路由器集群和云网关,计算节点包括的虚拟机通过虚拟路由器集群与私有网络内的公共服务器进行报文交换;以及,所述虚拟机通过虚拟路由器集群和云网关实现与公网的报文交换;其中,虚拟路由器集群包括至少两个虚拟路由器,每个所述虚拟路由器向私有网络交换机发布相同的IP地址;云网关包括至少两个网关节点,每个所述网关节点向私有网络交换机发布等价的默认路由,以及,各个所述网关节点向公网路由器或公网交换机发布相同的浮动IP地址,实现云网络系统的集群式扩展,避免因单个节点的故障而影响整个网络的可用性,提升了网络的攻击防御能力。
【技术实现步骤摘要】
本专利技术实施例涉及数据传输技术,尤其涉及一种面向多租户的云网络架构。
技术介绍
网络管理和配置是云计算技术中一项非常重要的功能,实现一种灵活高效又安全的网络架构一直是各个云平台追求的目标。现有的公有云网络架构或者私有云网络架构,大多数是基于开源的云计算管理平台Openstack社区的方案,包括平坦网络架构和基于层叠设计overlay的网络架构。上述网络架构,在小规模部署或者内部使用时,能够满足使用的需求。然后,作为商用方案,面向大规模的租户和面向互联网接入时,存在明显的性能瓶颈和安全瓶颈。例如,图1提供了一种基于Openstack社区提出的平坦网络模型。其中,所有的虚拟机位于一个二层网络架构下,虚拟机不能自定义网络IP地址,租户间的隔离通过复杂的宿主机的网络防火墙IPTABLES隔离策略进行隔离。该方案通过软件实现时,随着需隔离的租户的虚拟机的数量的增加,隔离规则数也会增加,网络转发性能会严重衰退。同时,由于基于软件实现,虚拟机及对应的宿主机容易因来自公网的网络攻击而造成网络瘫痪。图2提供了基于Openstack社区提出的overlay网络模型。通过在传统网络上虚拟出一个overlay网络,将业务定义在overlay网络上,从而很好的实现租户间的隔离。然而,该方案采用基于网络节点Network Node的集中式虚拟网络路由器方案。由于Network Node节点直接面向公网,其单个节点性能较差,并且无法集群式扩展,因此,对于某个虚拟机用户来说,用户对应的网络节点很容易被分布式拒绝服务DDoS攻击导致无法服务。目前,Network Node单个节点很容易因受到大流量的泛洪攻击syn flood或者大带宽的攻击而瘫痪。
技术实现思路
本专利技术提供一种面向多租户的云网络架构,以实现云网络架构的集群式扩展,避免因单个节点的故障而影响整个网络的可用性,提升了网络的攻击防御能力。本专利技术实施例提供了一种面向多租户的云网络架构,包括:计算节点、虚拟路由器集群和云网关,所述计算节点包括的虚拟机通过所述虚拟路由器集群与私有网络内的公共服务器进行报文交换;以及,所述虚拟机通过所述虚拟路由器集群和所述云网关实现与公网的报文交换;其中,所述虚拟路由器集群包括至少两个虚拟路由器,每个所述虚拟路由器向私有网络交换机发布相同的网际协议IP地址;所述云网关包括至少两个网关节点,每个所述网关节点向私有网络交换机发布等价的默认路由,以及,各个所述网关节点向公网路由器或公网交换机发布相同的浮动IP地址。本专利技术的面向多租户的云网络架构,包括计算节点、虚拟路由器集群和云网关,所述计算节点包括的虚拟机通过所述虚拟路由器集群与私有网络内的公共服务器进行报文交换;以及,所述虚拟机通过所述虚拟路由器集群和所述云网关实现与公网的报文交换,由于该网络包括多个虚拟路由器和多个网关节点,实现在私有网络交换机中存在多个等价路由,任意一个虚拟路由器或网关节点故障均不影响整个网络的可用性;还可以通过增加虚拟路由器集群中虚拟路由器的数量和/或者增加云网关中网关节点的数量,达到水平扩展网络性能的效果,提升了网络的攻击防御能力。【附图说明】图1为现有技术中基于Openstack社区提出的平坦网络模型的结构示意图;图2为现有技术中基于Openstack社区提出的overlay网络模型的结构示意图;图3A是本专利技术实施例一中的一种面向多租户的云网络架构的结构示意图;图3B是本专利技术实施例一中的一种面向多租户的云网络架构的虚拟机的虚拟网络地址、私有网络地址与公网地址的对应关系示意图;图4A是本专利技术实施例二中的一种面向多租户的云网络架构的虚拟机访问公网内的公共服务的流程图;图4B是本专利技术实施例二中的一种面向多租户的云网络架构的虚拟机访问私有网络内的公共服务的流程图。【具体实施方式】下面结合附图和实施例对本专利技术作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本专利技术,而非对本专利技术的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本专利技术相关的部分而非全部结构。实施例一图3A为本专利技术实施例一提供的一种面向多租户的云网络架构的结构示意图,本实施例可适用于确保大规模的多租户的云网络的扩展性和安全性的情况。该云网络架构包括:计算节点、虚拟路由器集群和云网关,所述计算节点包括的虚拟机通过所述虚拟路由器集群与私有网络内的公共服务器进行报文交换;以及,所述虚拟机通过所述虚拟路由器集群和所述云网关实现与公网的报文交换;其中,所述虚拟路由器集群包括至少两个虚拟路由器,每个所述虚拟路由器向私有网络交换机发布相同的网际协议(IP)地址;所述云网关包括至少两个网关节点,每个所述网关节点向私有网络交换机发布等价的默认路由,以及,各个所述网关节点向公网路由器或公网交换机发布相同的浮动IP地址。例如,图3A所示,每个所述虚拟路由器向私有网络交换机发布的IP地址可以是10.0.1.11。在虚拟机的报文需要转发至子网以外的地址时,将该报文通过OpenVSwitch封装外部的虚拟可扩展局域网(VXLAN)头部或者通用路由封装(NVGRE)头部,将封装后的报文发送至虚拟路由器集群共同发布的IP地址10.0.1.11。基于虚拟路由器集群实现对于每个虚拟路由器,任意一个虚拟路由器故障并不会影响整个虚拟路由器集群的可用性。同时,采用这样的集群模式,通过增加集群中的机器的数量水平扩展集群的性能,虚拟路由器集群中虚拟路由器的数量不超过私有网络交换机最大可以支持的等价路由条目的数量。其中,计算节点基于Openstack社区方案进行设计,不同租户的虚拟机通过网桥连接到OpenVSwitch上。租户的部分安全组规则以及网络安全规则可以在该网桥上,通过网络防火墙IPTABLES进行配置。另外,租户的部分安全组规则以及网络安全规则还可以在OpenVSwitch进行配置。租户的虚拟机的虚拟网络地址可以按照租户自己的规划进行定义,例如,租户1定义了 192.168.0.11和192.168.0.12的虚拟网络地址,租户2定义了192.168.1.12和192.168.0.11的虚拟网络地址。租户2可以通过配置虚拟路由器确定是否允许自身定义的两个子网之间进行报文交换。对于所述计算节点上每个租户的每一个虚拟机:所述虚拟机的虚拟网络地址在每个所述虚拟路由器上存在一个对应的私有网络地址,例如,图3A所示的10.0.3.X的地址。以及,所述虚拟机的虚拟网络地址在每个所述网关节点上存在一个对应的公网地址,例如,图3A所示的202.202.1.x的地址。因此,所述虚拟机的虚拟网地址、私有网络地址和公网地址之间的对应关系为:公网地址INET IP〈一 >私有网络地址PNET IP〈一 >虚拟网络地址VMNET IP。如图3B所示,虚拟网络、私有网络和公网的对应关系为:虚拟网络中每个租户的每个虚拟机(子网)的虚拟网络地址VMNET IP在私有网络中均存在一个对应的私有网络地址PNET IP,即虚拟机私有网络地址;以及,虚拟网络中每个租户的每个虚拟机(子网)对应私有网络地址PNET IP在公网中均存在一个对应的公网地址INET IP,即虚拟机浮动公网地址。其中,虚拟网络中租当前第1页1 2 3&本文档来自技高网...
【技术保护点】
一种面向多租户的云网络架构,其特征在于,包括:计算节点、虚拟路由器集群和云网关,所述计算节点包括的虚拟机通过所述虚拟路由器集群与私有网络内的公共服务器进行报文交换;以及,所述虚拟机通过所述虚拟路由器集群和所述云网关实现与公网的报文交换;其中,所述虚拟路由器集群包括至少两个虚拟路由器,每个所述虚拟路由器向私有网络交换机发布相同的网际协议IP地址;所述云网关包括至少两个网关节点,每个所述网关节点向私有网络交换机发布等价的默认路由,以及,各个所述网关节点向公网路由器或公网交换机发布相同的浮动IP地址。
【技术特征摘要】
【专利技术属性】
技术研发人员:张陵,杨娜,李雅妮,段利平,
申请(专利权)人:张陵,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。