一种数据传输方法、装置及混合云系统制造方法及图纸

本发明专利技术实施例公开了一种数据传输方法、装置及混合云系统，应用于混合云系统中的网关服务器的方法包括：接收第一主机发送的第一数据包，第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址；获得第一主机所属网络的网络标识；根据预先设置的网络标识与目标公有云服务器的访问关系，在确定允许的情况下，基于第一IP地址及预先设置的映射关系，对第一数据包进行IP地址转换，其中，所述映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系；将转换后的第一数据包发送给目标公有云服务器。应用本发明专利技术实施例，减少了安全隐患。

【技术实现步骤摘要】
一种数据传输方法、装置及混合云系统
本专利技术涉及计算机
，特别涉及一种数据传输方法、装置及混合云系统。
技术介绍
云计算(CloudComputing)，是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需求提供给计算机和其他设备。云是网络、互联网的一种比喻说法。业界按照云计算提供者与使用者的所属关系为划分标准，将云计算分为三类，即公有云、私有云和混合云。公有云通常指第三方提供商为租户提供的能够使用的云，公有云一般可通过Internet(网络)使用，可能是免费或成本低廉的，公有云的核心属性是共享资源服务，在公有云中可以为租户部署基于网络远程访问的服务。私有云是为一个租户单独使用而构建的，因而提供对数据、安全性和服务质量的最有效控制。一般情况下，公有云部署在underlay网络中，underlay网络是公有云数据中心的底层承载网络，是IDC(InternetDataCenter，互联网数据中心)的基础网络；私有云部署在overlay网络中，在overlay网络中一般通过隧道技术来实现租户网络的隔离。混合云，它的模式特点与运用综合了公有云和私有云的特点。混合云一般是通过在VPC(VirtualPrivateCloud，虚拟私有云)与私有云之间架设VPN(VirtualPrivateNetwork，虚拟专用网)或者互联网专线连接实现的。VPC用于公有云环境下为租户提供私有云环境的虚拟网络环境，在VPC网络中的主机和服务具有与私有云同样的属性，VPC网络能够实现不同租户在网络层隔离，VPN是一种通过隧道封装的方式在公用网络中提供专有网络的技术，在混合云场景下用于在私有云到公有云上的网络安全接入。现有的混合云系统包括了VPC网络、网关服务器、至少一个私有云服务器和至少一个公有云服务器，VPC网络中部署了至少一个虚拟机。VPC网络中的虚拟机因为没有合法的IP(InternetProtocol，互联网协议)地址，无法访问公有云服务器，基于上述情况，一般通过网关服务器实现虚拟机与公有云服务器之间的通信。网关服务器将VPC网络中虚拟机发送的数据包进行NAT(NetworkAddressTranslation，网络地址转换)，将转换后的数据包发送给公有云服务器，从而实现了虚拟机到公有云服务器之间的数据传输。为了保证传输到公有云服务器数据的安全性，一般在公有云服务服务器入口部署ACL(AccessControlList)机制。ACL是一种网络安全机制，用于提供基于协议、端口及IP(InternetProtocol，网络之间互连的协议)地址的黑白名单形式的网络安全防护。公有云服务根据接收到的转换后的数据包的源IP地址及ACL机制，确定是发送转换后的第一数据包的响应数据包给网关服务器还是丢弃转换后的第一数据包，在确定转换后的数据包的源IP地址在IP地址白名单时，公有云服务器将响应数据包发送给网关服务器。由于ACL机制中的信息需要人工维护，当需要更改ACL中配置的信息时，存在信息更改操作滞后的隐患，造成了应该移到IP地址黑名单的IP地址还存在于IP地址白名单中，从而导致公有云服务器原本应该丢弃接收到的数据包变成了发送接收到的数据包的响应数据包而造成的数据泄露，因此存在较高的安全隐患。
技术实现思路
本专利技术实施例的目的在于提供一种数据传输方法、装置及混合云系统，以减少安全隐患。第一方面，为达到上述目的，本专利技术实施例公开了一种数据传输方法，应用于混合云系统中的网关服务器，所述方法包括：接收第一主机发送的第一数据包，其中，所述第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址；获得所述第一主机所属网络的网络标识；根据预先设置的所述网络标识与所述目标公有云服务器的访问关系，确定是否允许所述第一主机访问所述目标公有云服务器；在确定允许的情况下，基于所述第一IP地址及预先设置映射关系，对所述第一数据包进行IP地址转换，其中，所述映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系；将转换后的所述第一数据包发送给所述目标公有云服务器。较佳的，当所述第一主机为VPC网络中的虚拟机时，所述获得所述第一主机所属网络的网络标识，包括：从所述第一数据包携带的信息获得所述第一主机所属网络的网络标识，其中，所述网络标识为配置有所述虚拟机的宿主机根据所述虚拟机的物理特征确定的。较佳的，当所述第一主机为私有云服务器时，所述获得所述第一主机所属网络的网络标识，包括：根据预先设置的第一属性与网络标识的对应关系，获得所述第一主机所属网络的网络标识，其中，所述第一属性为所述网关服务器与所述私有云服务器之间的VPN的隧道属性或互联网专线的隧道属性。较佳的，基于所述第一IP地址及预先设置的映射关系，对所述第一数据包进行IP地址转换，包括：基于所述第一IP地址及预先设置的映射关系，确定所述目标公有云服务器在underlay网络中的第二IP地址；将所述第一数据包携带的所述第一IP地址转换为所述第二IP地址，将所述第一数据包携带的第一主机的IP地址转换为所述网关服务器的公网IP地址。较佳的，所述的方法还包括：接收所述目标公有云服务器发送的第二数据包，其中，所述第二数据包为所述目标公有云服务器生成的、针对转换后的所述第一数据包的响应数据包；基于记录的所述网络标识、对所述第一数据包进行IP地址转换前、后的IP地址三者之间的对应关系，对所述第二数据包进行IP地址转换，其中，所述三者之间的对应关系为：对所述第一数据包进行IP地址转换之后记录的；将转换后的所述第二数据包发送至所述第一主机。第二方面，为达到上述目的，本专利技术实施例公开了一种数据传输装置，应用于混合云系统中的网关服务器，所述装置包括：第一接收模块，用于接收第一主机发送的第一数据包，其中，所述第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址；获得模块，用于获得所述第一主机所属网络的网络标识；确定模块，用于根据预先设置的所述网络标识与所述目标公有云服务器的访问关系，确定是否允许所述第一主机访问所述目标公有云服务器；第一转换模块，用于在所述确定模块的确定结果为允许的情况下，基于所述第一IP地址及预先设置的映射关系，对所述第一数据包进行IP地址转换，其中，所述映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系；第一发送模块，用于将转换后的所述第一数据包发送给所述目标公有云服务器。较佳的，当所述第一主机为VPC网络中的虚拟机时，所述获得模块，具体用于：从所述第一数据包携带的信息获得所述第一主机所属网络的网络标识，其中，所述网络标识为配置有所述虚拟机的宿主机根据所述虚拟机的物理特征确定的。较佳的，当所述第一主机为私有云服务器时，所述获得模块，具体用于：根据所述网关服务器与所述私有云服务器之间的VPN或互联网专线的隧道属性与网络标识的对应关系，获得所述第一主机所属网络的网络标识。较佳的，所述第一转换模块，具体用于：所述第一转换模块，包括：确定子模块，用于基于所述IP地址及预先设置的映射关系，确定所述目标公有云服务器在underlay网络中的第二IP地址；转换子模块，用于将所本文档来自技高网...

【技术保护点】
一种数据传输方法，应用于混合云系统中的网关服务器，所述方法包括：接收第一主机发送的第一数据包，其中，所述第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址；获得所述第一主机所属网络的网络标识；根据预先设置的所述网络标识与所述目标公有云服务器的访问关系，确定是否允许所述第一主机访问所述目标公有云服务器；在确定允许的情况下，基于所述第一IP地址及预先设置的映射关系，对所述第一数据包进行IP地址转换，其中，所述映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系；将转换后的所述第一数据包发送给所述目标公有云服务器。

【技术特征摘要】
1.一种数据传输方法，应用于混合云系统中的网关服务器，所述方法包括：接收第一主机发送的第一数据包，其中，所述第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址；获得所述第一主机所属网络的网络标识；根据预先设置的所述网络标识与所述目标公有云服务器的访问关系，确定是否允许所述第一主机访问所述目标公有云服务器；在确定允许的情况下，基于所述第一IP地址及预先设置的映射关系，对所述第一数据包进行IP地址转换，其中，所述映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系；将转换后的所述第一数据包发送给所述目标公有云服务器。2.根据权利要求1所述的方法，其特征在于，当所述第一主机为VPC网络中的虚拟机时，所述获得所述第一主机所属网络的网络标识，包括：从所述第一数据包携带的信息获得所述第一主机所属网络的网络标识，其中，所述网络标识为配置有所述虚拟机的宿主机根据所述虚拟机的物理特征确定的。3.根据权利要求1所述的方法，其特征在于，当所述第一主机为私有云服务器时，所述获得所述第一主机所属网络的网络标识，包括：根据预先设置的第一属性与网络标识的对应关系，获得所述第一主机所属网络的网络标识，其中，所述第一属性为所述网关服务器与所述私有云服务器之间的VPN的隧道属性或互联网专线的隧道属性。4.根据权利要求1所述的方法，其特征在于，所述基于所述第一IP地址及预先设置的映射关系，对所述第一数据包进行IP地址转换，包括：基于所述第一IP地址及预先设置的映射关系，确定所述目标公有云服务器在underlay网络中的第二IP地址；将所述第一数据包携带的所述第一IP地址转换为所述第二IP地址，将所述第一数据包携带的第一主机的IP地址转换为所述网关服务器的公网IP地址。5.根据权利要求1所述的方法，其特征在于，所述的方法还包括：接收所述目标公有云服务器发送的第二数据包，其中，所述第二数据包为所述目标公有云服务器生成的、针对转换后的所述第一数据包的响应数据包；基于记录的所述网络标识、对所述第一数据包进行IP地址转换前、后的IP地址三者之间的对应关系，对所述第二数据包进行IP地址转换，其中，所述三者之间的对应关系为：对所述第一数据包进行IP地址转换之后记录的；将转换后的所述第二数据包发送至所述第一主机。6.一种数据传输装置，应用于混合云系统中的网关服务器，所述装置包括：第一接收模块，用于接收第一主机发送的第一数据包，其中，所述第一数据包携带有目标公有云服务器在overlay网络中的第一IP地址；获得模块，用于获得所述第一主机所属网络的网络标识；确定模块，用于根据预先设置的所述网络标识与所述目标公有云服务器的访问关系，确定是否允许所述第一主机访问所述目标公有云服务器；第一转换模块，用于在所述确定模块的确定结果为允许的情况下，基于所述第一IP地址及预先设置的映射关系，对所述第一数据包进行IP地址转换，其中，所述映射关系为公有云服务器在underlay网络中的IP地址与在overlay网络中的IP地址的映射关系；第一发送模块，用于将转换后的所述第一数据包发送给所述目标公有云服务器。7.根据权利要求6所述的装置，其特征在于，当所述第一主机为VPC网络中的虚拟机时，所述获得模块，具体用于：从所述第一数据包携带的信息获得所述第一主机所属网络的网络标识，其中，所述网络标识为配置有所述虚拟机的宿主机根据所述虚拟机的物理特征确定的。8.根据权利要求6所述的装置，其特征在于，当所述第一主机为私有云服务器时，所述获得模块，具体用于：根据所述网关服务器与所述私有云服务器之间的VPN或互联网专线的...

【专利技术属性】
技术研发人员：唐猛，
申请(专利权)人：北京金山云网络技术有限公司，北京金山云科技有限公司，
类型：发明
国别省市：北京,11