一种混合云网络互通系统及方法技术方案

本发明专利技术公开了一种混合云网络互通系统，包括：私有云和公有云，公有云上部署有集中式网关，公有云的每个虚拟机中均部署有代理模块，公有云的各个虚拟机的代理模块在公有云上形成第一覆盖网，第一覆盖网与私有云的第二覆盖网的网络架构相同，集中式网关用于第一覆盖网的二、三层流量转发。应用本发明专利技术实施例所提供的技术方案，通过代理模块和集中式网关，使得公有云和私有云的虚拟机都处于同一套网络架构下，实现真正的网络互通，不仅适用于私有云向公有云扩展的场景，而且适用于公有云向私有云扩展的场景，部署方式简单，降低了运维难度。本发明专利技术还公开了一种混合云网络互通方法，具有相应技术效果。

A hybrid cloud network interworking system and method

【技术实现步骤摘要】
一种混合云网络互通系统及方法
本专利技术涉及计算机应用
，特别是涉及一种混合云网络互通系统及方法。
技术介绍
随着云计算技术的快速发展，各种云平台的应用越来越广泛，对于混合云部署的需求越来越强烈。混合云涉及私有云和公有云不同的底层网络的实现和管理，网络的打通一直是个难题。目前，混合云网络互通的实现方式主要有以下两种：(1)通过VPN(VirtualPrivateNetwork，虚拟专用网络)实现混合云三层互通。但是，这种方式只实现了私有云和公有云网络的基本互通，私有云和公有云仍然不对等，无法统一，虚拟机在迁移时，网络配置、安全策略必须更改，才能在迁移后的平台上正常运行，加大了运维难度。(2)租用公有云的物理专有设备，在其上部署一套完整的私有云平台。例如，本地数据中心用某家厂商的，在远端公有云上租用物理设备，在物理设备上部署该厂商的云计算软件产品，便可将远端(公有云)也纳入该厂商云产品的管理平台，实现本地(私有云)和远端(公有云)的网络打通。这种方式的优势在于远端公有云上的设备可以按需申请，远端和本地的云计算软件产品一样，底层网络架构、能力一致，实现了两朵云真正的网络打通。但是，在实际应用中，并不是所有的公有云都提供物理设备的租用，而且物理设备的租用加上云产品软件的部署，时间、费用开销较大。而且这种方式只能适用于私有云向公有云扩展的场景，无法适用于公有云向私有云扩展的场景。
技术实现思路
本专利技术的目的是提供一种混合云网络互通系统及方法，以实现公有云和私有云真正的网络互通，部署方式简单，降低了运维难度。为解决上述技术问题，本专利技术提供如下技术方案：一种混合云网络互通系统，包括：私有云和公有云，所述公有云上部署有集中式网关，所述公有云的每个虚拟机中均部署有代理模块，所述公有云的各个虚拟机的代理模块在所述公有云上形成第一覆盖网，所述第一覆盖网与所述私有云的第二覆盖网的网络架构相同，所述集中式网关用于所述第一覆盖网的二、三层流量转发。在本专利技术的一种具体实施方式中，所述公有云的每个虚拟机中的代理模块均包括依次连接的第一虚拟网卡、第一覆盖网隧道终端TEP和第二虚拟网卡，所述第一虚拟网卡与用户程序模块连接，所述第二虚拟网卡与所述公有云的虚拟机管理层中的虚拟交换机连接，所述第一虚拟网卡使用与所述私有云一致的IP地址段，所述第二虚拟网卡使用所述公有云分配的IP地址，所述第一TEP与所述集中式网关中的第二TEP通信，以建立、拆除和管理覆盖网隧道。在本专利技术的一种具体实施方式中，所述第一TEP，用于：在接收到所述第一虚拟网卡发送的第一数据包时，在所述第一数据包中加入所述覆盖网隧道的头部；对所述第一数据包进行封装处理；并通过所述第二虚拟网卡将封装后的所述第一数据包转发出去。在本专利技术的一种具体实施方式中，所述第一TEP，还用于：在接收到所述第二虚拟网卡发送的第二数据包时，对所述第二数据包进行解封装处理；在所述第二数据包中去掉所述覆盖网隧道的头部；并通过所述第一虚拟网卡将所述第二数据包的有效载荷发送给所述用户程序模块。在本专利技术的一种具体实施方式中，所述集中式网关，用于：在接收到互联网发起的对所述公有云的第一虚拟机的第三数据包时，将所述第三数据包中的目的IP地址转换为所述第一虚拟机的第一虚拟网卡的IP地址；在所述第三数据包中加入所述覆盖网隧道的头部，经所述公有云的虚拟交换机发送给所述第一虚拟机。在本专利技术的一种具体实施方式中，所述集中式网关，还用于：在接收到所述公有云的第二虚拟机对外网的第四数据包时，去掉所述第四数据包的所述覆盖网隧道的头部；将所述第四数据包中的源IP地址转换为自身的公网IP地址，修改源端口号，并经由所述公有云的虚拟交换机和虚拟路由器进入互联网。在本专利技术的一种具体实施方式中，所述集中式网关，用于：在接收到所述私有云的虚拟机发起的对所述公有云的第三虚拟机的第五数据包时，将所述第五数据包的VPN隧道头部剥离，获得所述第二覆盖网封装的报文；将所述第二覆盖网封装的报文发送给所述第三虚拟机的代理模块；所述第五数据包为：在所述私有云处经过所述第二覆盖网封装、加入所述VPN隧道头部的数据包。在本专利技术的一种具体实施方式中，所述集中式网关，还用于：在接收到所述公有云的虚拟机发起的对所述私有云的第四虚拟机的第六数据包时，如果确定所述第六数据包需通过VPN隧道发往所述私有云，则在所述第六数据包上加入所述VPN隧道头部；通过所述公有云的虚拟交换机和虚拟路由器发送给所述私有云的虚拟路由器，以使所述私有云的虚拟路由器基于预设的路由策略，将接收到的所述第六数据包发送给所述私有云的VPN模块，所述私有云的VPN模块对所述第六数据包进行VPN隧道头部的第一解封装处理，通过所述私有云的虚拟路由器和虚拟交交换机对经过所述第一解封装处理的所述第六数据包进行覆盖网隧道头部的第二解封装处理后，发送给所述第四虚拟机。在本专利技术的一种具体实施方式中，所述集中式网关为所述第一覆盖网的微分段拦截点。一种混合云网络互通方法，应用于公有云上部署的集中式网关，所述公有云的每个虚拟机中均部署有代理模块，所述公有云的各个虚拟机的代理模块在所述公有云上形成第一覆盖网，所述第一覆盖网与所述私有云的第二覆盖网的网络架构相同，所述集中式网关用于所述第一覆盖网的二、三层流量转发，所述公有云的每个虚拟机中的代理模块均包括依次连接的第一虚拟网卡、第一覆盖网隧道终端TEP和第二虚拟网卡，所述第一虚拟网卡与用户程序模块连接，所述第二虚拟网卡与所述公有云的虚拟机管理层中的虚拟交换机连接，所述第一虚拟网卡使用与所述私有云一致的IP地址段，所述第二虚拟网卡使用所述公有云分配的IP地址，所述第一TEP与所述集中式网关中的第二TEP通信，以建立、拆除和管理覆盖网隧道；所述方法包括：在接收到所述私有云的虚拟机发起的对所述公有云的第三虚拟机的第五数据包时，将所述第五数据包的VPN隧道头部剥离，获得所述第二覆盖网封装的报文；将所述第二覆盖网封装的报文发送给所述第三虚拟机的代理模块；所述第五数据包为：在所述私有云处经过所述第二覆盖网封装、加入所述VPN隧道头部的数据包。在本专利技术的一种具体实施方式中，还包括：在接收到所述公有云的虚拟机发起的对所述私有云的第四虚拟机的第六数据包时，如果确定所述第六数据包需通过VPN隧道发往所述私有云，则在所述第六数据包上加入所述VPN隧道头部；通过所述公有云的虚拟交换机和虚拟路由器发送给所述私有云的虚拟路由器，以使所述私有云的虚拟路由器基于预设的路由策略，将接收到的所述第六数据包发送给所述私有云的VPN模块，所述私有云的VPN模块对所述第六数据包进行VPN隧道头部的第一解封装处理，通过所述私有云的虚拟路由器和虚拟交交换机对经过所述第一解封装处理的所述第六数据包进行覆盖网隧道头部的第二解封装处理后，发送给所述第四虚拟机。应用本发本文档来自技高网...

【技术保护点】
1.一种混合云网络互通系统，其特征在于，包括：/n私有云和公有云，所述公有云上部署有集中式网关，所述公有云的每个虚拟机中均部署有代理模块，所述公有云的各个虚拟机的代理模块在所述公有云上形成第一覆盖网，所述第一覆盖网与所述私有云的第二覆盖网的网络架构相同，所述集中式网关用于所述第一覆盖网的二、三层流量转发。/n

【技术特征摘要】
1.一种混合云网络互通系统，其特征在于，包括：
私有云和公有云，所述公有云上部署有集中式网关，所述公有云的每个虚拟机中均部署有代理模块，所述公有云的各个虚拟机的代理模块在所述公有云上形成第一覆盖网，所述第一覆盖网与所述私有云的第二覆盖网的网络架构相同，所述集中式网关用于所述第一覆盖网的二、三层流量转发。


2.根据权利要求1所述的混合云网络互通系统，其特征在于，所述公有云的每个虚拟机中的代理模块均包括依次连接的第一虚拟网卡、第一覆盖网隧道终端TEP和第二虚拟网卡，所述第一虚拟网卡与用户程序模块连接，所述第二虚拟网卡与所述公有云的虚拟机管理层中的虚拟交换机连接，所述第一虚拟网卡使用与所述私有云一致的IP地址段，所述第二虚拟网卡使用所述公有云分配的IP地址，所述第一TEP与所述集中式网关中的第二TEP通信，以建立、拆除和管理覆盖网隧道。


3.根据权利要求2所述的混合云网络互通系统，其特征在于，所述第一TEP，用于：
在接收到所述第一虚拟网卡发送的第一数据包时，在所述第一数据包中加入所述覆盖网隧道的头部；
对所述第一数据包进行封装处理；
并通过所述第二虚拟网卡将封装后的所述第一数据包转发出去。


4.根据权利要求3所述的混合云网络互通系统，其特征在于，所述第一TEP，还用于：
在接收到所述第二虚拟网卡发送的第二数据包时，对所述第二数据包进行解封装处理；
在所述第二数据包中去掉所述覆盖网隧道的头部；
并通过所述第一虚拟网卡将所述第二数据包的有效载荷发送给所述用户程序模块。


5.根据权利要求2所述的混合云网络互通系统，其特征在于，所述集中式网关，用于：
在接收到互联网发起的对所述公有云的第一虚拟机的第三数据包时，将所述第三数据包中的目的IP地址转换为所述第一虚拟机的第一虚拟网卡的IP地址；
在所述第三数据包中加入所述覆盖网隧道的头部，经所述公有云的虚拟交换机发送给所述第一虚拟机。


6.根据权利要求5所述的混合云网络互通系统，其特征在于，所述集中式网关，还用于：
在接收到所述公有云的第二虚拟机对外网的第四数据包时，去掉所述第四数据包的所述覆盖网隧道的头部；
将所述第四数据包中的源IP地址转换为自身的公网IP地址，修改源端口号，并经由所述公有云的虚拟交换机和虚拟路由器进入互联网。


7.根据权利要求2所述的混合云网络互通系统，其特征在于，所述集中式网关，用于：
在接收到所述私有云的虚拟机发起的对所述公有云的第三虚拟机的第五数据包时，将所述第五数据包的VPN隧道头部剥离，获得所述第二覆盖网封装的报文；
将所述第二覆盖网封装的报文发送给所述第三虚拟机的代理模块；
所述第五数据包为：在所述私有云处经过所述第二覆盖网封装、加入所述VPN隧道头部的数据包。...

【专利技术属性】
技术研发人员：陈晓帆，于生祥，马耀泉，古亮，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东;44