本发明专利技术公开了一种基于多云环境的网络互通系统,包括:至少两个云平台,每个云平台上均部署有集中式网关,每个云平台的每个虚拟机中均部署有代理模块,各个虚拟机的代理模块形成跨云覆盖网,集中式网关用于跨云覆盖网的二、三层流量转发。应用本发明专利技术实施例所提供的技术方案,通过代理模块和集中式网关,使得不同云平台的网络层架构相同,实现真正的网络互通,部署方式简单,降低了运维难度。本发明专利技术还公开了一种基于多云环境的网络互通方法,具有相应技术效果。
A network interworking system and method based on multi cloud environment
【技术实现步骤摘要】
一种基于多云环境的网络互通系统及方法
本专利技术涉及计算机应用
,特别是涉及一种基于多云环境的网络互通系统及方法。
技术介绍
随着云计算技术的快速发展,各种云平台的应用越来越广泛,不同云平台,如私有云、公有云,或者不同厂商的云平台等,涉及不同的底层网络的实现和管理,网络的打通一直是个难题。目前,主要通过VPN(VirtualPrivateNetwork,虚拟专用网络)实现不同云平台的三层互通。但是,这种方式只实现了不同云平台的基本互通,不同云平台仍然不对等,无法统一,虚拟机在迁移时,网络配置、安全策略必须更改,才能在迁移后的平台上正常运行,加大了运维难度。
技术实现思路
本专利技术的目的是提供一种基于多云环境的网络互通系统及方法,以实现不同云平台真正的网络互通,部署方式简单,降低了运维难度。为解决上述技术问题,本专利技术提供如下技术方案:一种基于多云环境的网络互通系统,包括:至少两个云平台,每个云平台上均部署有集中式网关,每个云平台的每个虚拟机中均部署有代理模块,各个虚拟机的代理模块形成跨云覆盖网,所述集中式网关用于所述跨云覆盖网的二、三层流量转发。在本专利技术的一种具体实施方式中,所述代理模块包括依次连接的第一虚拟网卡、第一覆盖网隧道终端TEP、分布式虚拟交换DVS单元、第二虚拟网卡、及与所述DVS单元连接的分布式虚拟防火墙DFW单元和分布式虚拟路由DVR单元,所述第一虚拟网卡与用户程序模块连接,所述第二虚拟网卡与自身所在的云平台的虚拟机管理层中的虚拟交换机连接,所述第一虚拟网卡使用与所述跨云覆盖网一致的IP地址段,所述第二虚拟网卡使用自身所在的云平台分配的IP地址,所述第一TEP与所述集中式网关中的第二TEP通信,以建立、拆除和管理所述跨云覆盖网的覆盖网隧道。在本专利技术的一种具体实施方式中,所述第一TEP,用于:在接收到所述第一虚拟网卡发送的第一数据包时,在所述第一数据包中加入所述覆盖网隧道的头部;对所述第一数据包进行封装处理;并通过所述第二虚拟网卡将封装后的所述第一数据包转发出去。在本专利技术的一种具体实施方式中,所述第一TEP,还用于:在接收到所述第二虚拟网卡发送的第二数据包时,对所述第二数据包进行解封装处理;在所述第二数据包中去掉所述覆盖网隧道的头部;并通过所述第一虚拟网卡将所述第二数据包的有效载荷发送给所述用户程序模块。在本专利技术的一种具体实施方式中,所述集中式网关,用于:在接收到互联网发起的对自身所在云平台的第一虚拟机的第三数据包时,将所述第三数据包中的目的IP地址转换为所述第一虚拟机的第一虚拟网卡的IP地址;在所述第三数据包中加入所述覆盖网隧道的头部,经自身所在云平台的虚拟交换机发送给所述第一虚拟机。在本专利技术的一种具体实施方式中,所述集中式网关,还用于:在接收到自身所在云平台的第二虚拟机对外网的第四数据包时,去掉所述第四数据包的所述覆盖网隧道的头部;将所述第四数据包中的源IP地址转换为自身的公网IP地址,修改源端口号,并经由自身所在云平台的虚拟交换机和虚拟路由器进入互联网。在本专利技术的一种具体实施方式中,所述集中式网关,用于:在接收到第一云平台的虚拟机发起的对自身所在第二云平台的第三虚拟机的第五数据包时,将所述第五数据包的VPN隧道头部剥离,获得所述跨云覆盖网封装的报文;将所述跨云覆盖网封装的报文发送给所述第三虚拟机的代理模块,以由所述第三虚拟机的代理模块进行解封装后,将原始报文发送给所述第三虚拟机的用户程序模块;所述第五数据包为:在所述第一云平台处经过所述跨云覆盖网封装、加入所述VPN隧道头部的数据包。在本专利技术的一种具体实施方式中,所述集中式网关,还用于:在接收到自身所在第二云平台的第四虚拟机发起的对所述第一云平台的第五虚拟机的第六数据包时,如果确定所述第六数据包需通过VPN隧道发往所述第一云平台,则在所述第六数据包上加上所述VPN隧道头部;通过所述第二云平台的虚拟交换机和虚拟路由器发送给所述第一云平台;所述第六数据包为:经过所述第四虚拟机的代理模块进行跨云覆盖网封装后的数据包。在本专利技术的一种具体实施方式中,所述代理模块为所述跨云覆盖网的微分段拦截点。一种基于多云环境的网络互通方法,应用于第二云平台上部署的集中式网关,在至少两个云平台的每个云平台上均部署有所述集中式网关,每个云平台的每个虚拟机中均部署有代理模块,各个虚拟机的代理模块形成跨云覆盖网,所述集中式网关用于所述跨云覆盖网的二、三层流量转发;所述代理模块包括依次连接的第一虚拟网卡、第一覆盖网隧道终端TEP、分布式虚拟交换DVS单元、第二虚拟网卡、及与所述DVS单元连接的分布式虚拟防火墙DFW单元和分布式虚拟路由DVR单元,所述第一虚拟网卡与用户程序模块连接,所述第二虚拟网卡与自身所在的云平台的虚拟机管理层中的虚拟交换机连接,所述第一虚拟网卡使用与所述跨云覆盖网一致的IP地址段,所述第二虚拟网卡使用自身所在的云平台分配的IP地址,所述第一TEP与所述集中式网关中的第二TEP通信,以建立、拆除和管理所述跨云覆盖网的覆盖网隧道;所述方法包括:在接收到第一云平台的虚拟机发起的对自身所在第二云平台的第三虚拟机的第五数据包时,将所述第五数据包的VPN隧道头部剥离,获得所述跨云覆盖网封装的报文;将所述跨云覆盖网封装的报文发送给所述第三虚拟机的代理模块,以由所述第三虚拟机的代理模块进行解封装后,将原始报文发送给所述第三虚拟机的用户程序模块;所述第五数据包为:在所述第一云平台处经过所述跨云覆盖网封装、加入所述VPN隧道头部的数据包。在本专利技术的一种具体实施方式中,还包括:在接收到自身所在第二云平台的第四虚拟机发起的对所述第一云平台的第五虚拟机的第六数据包时,如果确定所述第六数据包需通过VPN隧道发往所述第一云平台,则在所述第六数据包上加上所述VPN隧道头部;通过所述第二云平台的虚拟交换机和虚拟路由器发送给所述第一云平台;所述第六数据包为:经过所述第四虚拟机的代理模块进行跨云覆盖网封装后的数据包。应用本专利技术实施例所提供的技术方案,在每个云平台上均部署有集中式网关,每个云平台的每个虚拟机中均部署有代理模块,各个虚拟机的代理模块形成跨云覆盖网,集中式网关用于跨云覆盖网的二、三层流量转发。通过代理模块和集中式网关,使得不同云平台的网络层架构相同,实现真正的网络互通,部署方式简单,降低了运维难度。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例中一种基于多云环境的网络互通系统的结构示意图;图2为本专利技术实施例中代理模块的内部结构示意图;<本文档来自技高网...
【技术保护点】
1.一种基于多云环境的网络互通系统,其特征在于,包括:/n至少两个云平台,每个云平台上均部署有集中式网关,每个云平台的每个虚拟机中均部署有代理模块,各个虚拟机的代理模块形成跨云覆盖网,所述集中式网关用于所述跨云覆盖网的二、三层流量转发。/n
【技术特征摘要】
1.一种基于多云环境的网络互通系统,其特征在于,包括:
至少两个云平台,每个云平台上均部署有集中式网关,每个云平台的每个虚拟机中均部署有代理模块,各个虚拟机的代理模块形成跨云覆盖网,所述集中式网关用于所述跨云覆盖网的二、三层流量转发。
2.根据权利要求1所述的基于多云环境的网络互通系统,其特征在于,所述代理模块包括依次连接的第一虚拟网卡、第一覆盖网隧道终端TEP、分布式虚拟交换DVS单元、第二虚拟网卡、及与所述DVS单元连接的分布式虚拟防火墙DFW单元和分布式虚拟路由DVR单元,所述第一虚拟网卡与用户程序模块连接,所述第二虚拟网卡与自身所在的云平台的虚拟机管理层中的虚拟交换机连接,所述第一虚拟网卡使用与所述跨云覆盖网一致的IP地址段,所述第二虚拟网卡使用自身所在的云平台分配的IP地址,所述第一TEP与所述集中式网关中的第二TEP通信,以建立、拆除和管理所述跨云覆盖网的覆盖网隧道。
3.根据权利要求2所述的基于多云环境的网络互通系统,其特征在于,所述第一TEP,用于:
在接收到所述第一虚拟网卡发送的第一数据包时,在所述第一数据包中加入所述覆盖网隧道的头部;
对所述第一数据包进行封装处理;
并通过所述第二虚拟网卡将封装后的所述第一数据包转发出去。
4.根据权利要求3所述的基于多云环境的网络互通系统,其特征在于,所述第一TEP,还用于:
在接收到所述第二虚拟网卡发送的第二数据包时,对所述第二数据包进行解封装处理;
在所述第二数据包中去掉所述覆盖网隧道的头部;
并通过所述第一虚拟网卡将所述第二数据包的有效载荷发送给所述用户程序模块。
5.根据权利要求2所述的基于多云环境的网络互通系统,其特征在于,所述集中式网关,用于:
在接收到互联网发起的对自身所在云平台的第一虚拟机的第三数据包时,将所述第三数据包中的目的IP地址转换为所述第一虚拟机的第一虚拟网卡的IP地址;
在所述第三数据包中加入所述覆盖网隧道的头部,经自身所在云平台的虚拟交换机发送给所述第一虚拟机。
6.根据权利要求5所述的基于多云环境的网络互通系统,其特征在于,所述集中式网关,还用于:
在接收到自身所在云平台的第二虚拟机对外网的第四数据包时,去掉所述第四数据包的所述覆盖网隧道的头部;
将所述第四数据包中的源IP地址转换为自身的公网IP地址,修改源端口号,并经由自身所在云平台的虚拟交换机和虚拟路由器进入互联网。
7.根据权利要求2所述的基于多云环境的网络互通系统,其特征在于,所述集中式网关,用于:
在接收到第一云平台的虚拟机发起的对自身所在第二云平台的第三虚拟机的第五数据包时,将所述第五数据包的VPN隧道头部剥离,获得所述跨云覆盖网封装的报文;
将所述跨云覆盖网封装的报文发送给所述第...
【专利技术属性】
技术研发人员:陈晓帆,古亮,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。