本公开提出了一种多租户通信隔离方法和混合组网方法。所述通信隔离方法,包括:创建第一虚拟网卡和第二虚拟网卡,所述第一虚拟网卡位于默认网络命名空间;创建外出网络命名空间,将所述第二虚拟网卡加入所述外出网络命名空间;为每个租户创建专用网络命名空间和第一虚拟网卡对,每个第一虚拟网卡对的第一端连接至所述默认网络命名空间,第二端连接至该租户的专用网络命名空间;以及为每个租户创建第二虚拟网卡对,每个第二虚拟网卡对的第一端连接至该租户的专用网络命名空间,第二端连接至所述外出网络命名空间。实施该方法的实例能够用作vxlan网关节点,由此实现未注册在vpc中的设备与原属vpc的混合组网。备与原属vpc的混合组网。备与原属vpc的混合组网。
【技术实现步骤摘要】
多租户通信隔离方法和混合组网方法
[0001]本公开涉及一种云技术,尤其涉及一种多租户通信隔离方法和混合组网方法。
技术介绍
[0002]随着数据中心的服务器虚拟化程度快速提高,其敏捷性和灵活性也得以显著提高。网络虚拟化和从物理网络分离出虚拟网络使得管理、自动化和编排变得更简单。服务器虚拟化后,一台物理服务器中可以承载多个虚拟机实例,每个虚拟机实例都有独立的IP地址和MAC地址,相当于接入数据中心的服务器成倍扩大了。
[0003]公有云或其它大型虚拟化云数据中心动辄需容纳上万甚至更多租户。随着数据安全重要性的日益彰显,需要为众多租户提供虚拟私有云(VPC)服务以实现租户数据间的隔离。然而,当需要使用尚未在VPC中注册的设备来为租户提供服务时,如何在实现这些设备与VPC互通的同时保持各租户之间的可靠隔离,成为本领域需要解决的一个技术问题。
[0004]为此,需要一种改进的多租户通信隔离方案。
技术实现思路
[0005]本公开要解决的一个技术问题是提供一种多租户通信隔离方案,该方案通过在一个虚拟机实例上划分多个命名空间,利用虚拟网卡对实现命名空间之间的信息传递,并且使用不同的虚拟网卡分别负责虚拟机实例与外部的数据包的接收和发送,来实现多租户彼此隔离的同时与各自的VPC网络互通的效果。
[0006]根据本公开的第一个方面,提供了一种多租户通信隔离方法,包括:创建第一虚拟网卡和第二虚拟网卡,所述第一虚拟网卡位于默认网络命名空间;创建外出网络命名空间,将所述第二虚拟网卡加入所述外出网络命名空间;为每个租户创建专用网络命名空间和第一虚拟网卡对,每个第一虚拟网卡对的第一端连接至所述默认网络命名空间,第二端连接至该租户的专用网络命名空间;以及为每个租户创建第二虚拟网卡对,每个第二虚拟网卡对的第一端连接至该租户的专用网络命名空间,第二端连接至所述外出网络命名空间。
[0007]可选地,该方法还包括:在所述默认网络命名空间内,创建vxlan隧道接口和第一网桥;将所述隧道接口设备和所述每个第一虚拟网卡对的第一端加入所述第一网桥,并且,由第一虚拟网卡接收的网络信息通过所述隧道接口由所述第一网桥转发给该网络信息寻址租户的所述第一虚拟网卡对的第一端。
[0008]可选地,该方法还包括在至少一个租户的专用网络命名空间内,在对应的第一虚拟网卡对的第二端上创建多个VLAN子接口;以及为每个VLAN子接口配置对应VLAN的网关接口地址。
[0009]可选地,该方法还包括配置IP转换规则,以将源IP地址属于所述VLAN子接口的数据包进行地址转换并由对应的第二虚拟网卡对的第一端送至所述外出网络命名空间。
[0010]可选地,将源IP地址属于所述VLAN子接口的数据包进行地址转换包括:动态获取所述对应的第二虚拟网卡对的第一端的IP地址,并将所述源IP地址进行基于动态获取地址
段的伪装。
[0011]可选地,在所述第一虚拟网卡接收的网络信息用于在同一租户内部的不同子网通信时,所述网络信息在该租户的VLAN子接口互通,并经由所述第一虚拟网卡进行发送。
[0012]可选地,该方法还包括在所述外出网络命名空间内,创建第二网桥;将所述第二虚拟网卡和所述每个第二虚拟网卡对的第二端加入所述第二网桥,并且,每个租户的所述第二虚拟网卡对的第二端将要发送的网络信息交由所述第二网桥并汇聚着至所述第一虚拟网卡进行发送。
[0013]可选地,该方法还包括在所述默认网络命名空间内,配置FDB表项,用于对数据链路层广播和未知单播的首部进行转发指导。
[0014]可选地,每个租户的所述第一虚拟网卡对用于获取由所述第一虚拟网卡接收的寻址该租户的网络信息;并且每个租户的所述第二虚拟网卡对用于将要发送的网络信息交由所述第二虚拟网卡进行发送。
[0015]根据本公开的第二个方面,提供了一种混合组网方法,包括:执行了如第一方面所述的方法的虚拟机的所述第一虚拟网卡获取来自未注册节点中租户的数据包;以及所述虚拟机将所述数据包封装成符合vxlan协议的数据包并通过所述第二虚拟网卡将经封装的数据包送至已注册节点中的对应租户资源。
[0016]根据本公开的第三个方面,提供了一种计算设备,包括:处理器;以及存储器,其上存储有可执行代码,当可执行代码被处理器执行时,使处理器执行如上述第一方面所述的方法。
[0017]根据本公开的第四个方面,提供了一种非暂时性机器可读存储介质,其上存储有可执行代码,当可执行代码被电子设备的处理器执行时,使处理器执行如上述第一方面所述的方法。
[0018]由此,本专利技术的多租户通信隔离方案能够提供一个运行在云上虚拟机中的vxlan网关系统,该系统使得在上层系统使用vxlan构建的支持多vlan格局的overlay网络时,可以访问到原始的处于underlay的VPC原属网络,使得非注册在vpc中的设备可以和原属vpc进行混合组网。该方案支持存在多租户的情况,允许对租户网络进行隔离配置。该方案的配置简单,无复杂的控制系统,全部使用原始linux组件完成,非常轻量化。
附图说明
[0019]通过结合附图对本公开示例性实施方式进行更详细的描述,本公开的上述以及其它目的、特征和优势将变得更加明显,其中,在本公开示例性实施方式中,相同的参考标号通常代表相同部件。
[0020]图1示出了SDN网络中跨虚拟机实例进行通信的原理图。
[0021]图2A
‑
B示出了SDN网络跨虚拟机实例进行通信的例子。
[0022]图3示出了根据本专利技术一个实施例的多租户通信隔离方法的示意性流程图。
[0023]图4示出了多租户通信隔离的示意图。
[0024]图5示出了虚拟机实例作为多租户vxlan网关节点的示意图。
[0025]图6示出了利用本专利技术的vxlan网关节点进行混合组网的一个例子。
[0026]图7示出了根据本专利技术一实施例可用于实现上述多租户通信隔离方法或混合组网
方法的计算设备的结构示意图。
具体实施方式
[0027]下面将参照附图更详细地描述本公开的优选实施方式。虽然附图中显示了本公开的优选实施方式,然而应该理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。应该理解的是,本公开中使用的“第一”和“第二”仅用于对同类对象的不同实例进行区分,而非对先后次序或是重要性有任何暗示。
[0028]如前所述,随着数据中心的服务器虚拟化程度快速提高,其敏捷性和灵活性也得以显著提高。网络虚拟化和从物理网络分离出虚拟网络使得管理、自动化和编排变得更简单。服务器虚拟化后,一台物理服务器中可以承载多个虚拟机实例,每个虚拟机实例都有独立的IP地址和MAC地址,相当于接入数据中心的服务器成倍扩大了。
[0029]公有云或其它大型虚拟化云数据中心动辄需容纳上万甚至更多租户,仅支持4本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种多租户通信隔离方法,包括:创建第一虚拟网卡和第二虚拟网卡,所述第一虚拟网卡位于默认网络命名空间;创建外出网络命名空间,将所述第二虚拟网卡加入所述外出网络命名空间;为每个租户创建专用网络命名空间和第一虚拟网卡对,每个第一虚拟网卡对的第一端连接至所述默认网络命名空间,第二端连接至该租户的专用网络命名空间;以及为每个租户创建第二虚拟网卡对,每个第二虚拟网卡对的第一端连接至该租户的专用网络命名空间,第二端连接至所述外出网络命名空间。2.如权利要求1所述的方法,还包括:在所述默认网络命名空间内,创建vxlan隧道接口和第一网桥;将所述隧道接口设备和所述每个第一虚拟网卡对的第一端加入所述第一网桥,并且,由第一虚拟网卡接收的网络信息通过所述隧道接口由所述第一网桥转发给该网络信息寻址租户的所述第一虚拟网卡对的第一端。3.如权利要求1所述的方法,还包括:在至少一个租户的专用网络命名空间内,在对应的第一虚拟网卡对的第二端上创建多个VLAN子接口;以及为每个VLAN子接口配置对应VLAN的网关接口地址。4.如权利要求3所述的方法,还包括:配置IP转换规则,以将源IP地址属于所述VLAN子接口的数据包进行地址转换并由对应的第二虚拟网卡对的第一端送至所述外出网络命名空间。5.如权利要求4所述的方法,其中,将源IP地址属于所述VLAN子接口的数据包进行地址转换包括:动态获取所述对应的第二虚拟网卡对的第一端的IP地址,并将所述源IP地址进行基于动态获取地址段的伪装。6.如权利要求3所述的方法,其中,在所述...
【专利技术属性】
技术研发人员:丁杰,
申请(专利权)人:阿里云计算有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。