一种服务引流方法、装置及介质制造方法及图纸

本申请公开了一种服务引流方法、装置及介质，包括：获取服务引流链的配置信息；基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户VPC内的虚拟路由器；其中，所述虚拟路由器采用全分布式架构部署于所述用户VPC内；根据所述服务引流链中各所述非业务类型虚拟设备的正向顺序生成出网策略路由、以及各所述非业务类型虚拟设备的逆向顺序生成入网策略路由；将所述出网策略路由和所述入网策略路由下发至所述虚拟路由器，并基于所述出网策略路由和所述入网策略路由进行服务引流。能够在保障云平台稳定性及健壮性的情况下，实现流量路径的对称性，并且，可扩展性强。强。强。

【技术实现步骤摘要】
一种服务引流方法、装置及介质


[0001]本申请涉及云计算
，特别涉及一种服务引流方法、装置及介质。

技术介绍

[0002]随着用户业务的大规模上云，传统数据中心内的各种非业务类型设备也逐步虚拟化并迁移上云，如Web应用防火墙WAF(Web Application Firewall)、边界防火墙、DPI(Deep Packet Inspection)设备、日志审计设备等等，这些设备虚拟化以后，由用户在云计算管理控制台根据其自身需求可动态在线创建并部署于用户VPC(即Virtual Private Cloud，虚拟私有云)内部，然后将特定的业务流量牵引到其中一个或多个非业务类型设备上，实现如安全防护、上网行为审计、日常监控等目的。然而，传统数据中心的那种简单基于路由或策略路由的服务引流方法在基于全分布式路由架构的大规模云计算平台下却不能正常工作，这是因为全分布式路由架构下，弹性云服务器的南北向流量在进出VPC时的SNAT(即Source Network Address Translation，源网络地址转换)/DNAT(即Destination Network Address Translation，目的网络地址转换)操作需对称执行，即在该弹性云服务器所在物理节点上的VPC虚拟路由器上执行，这带来的问题就是当引流链的源弹性云服务器与非业务类型虚拟设备位于不同物理节点时，进、出VPC的流量路径和报文中的源、目的IP地址呈现不对性，这会导致安全类的设备无法正常建立会话，通信不能正常建立。
[0003]目前，OpenStack社区针对DVR(Distributed Virtual Router，即分布式虚拟路由器)架构所提的基于全流表的透明引流方案对数据平面的二层转发逻辑形成巨大的侵入性，且需要针对所有源弹性云服务器下发相关流表，用户的弹性云服务器增、删时都会导致控制平面与数据平面的大量交互，无法满足大规模公有云对稳定性、健壮性的需求，并且可扩展性较差，无法支持大规模的场景。

技术实现思路

[0004]有鉴于此，本申请的目的在于提供一种服务引流方法、装置及介质，能够在保障云平台稳定性及健壮性的情况下，实现流量路径的对称性，并且，可扩展性强。其具体方案如下：
[0005]第一方面，本申请公开了一种服务引流方法，包括：
[0006]获取服务引流链的配置信息；
[0007]基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户VPC内的虚拟路由器；其中，所述虚拟路由器采用全分布式架构部署于所述用户VPC内；
[0008]根据所述服务引流链中各所述非业务类型虚拟设备的正向顺序生成出网策略路由、以及各所述非业务类型虚拟设备的逆向顺序生成入网策略路由；
[0009]将所述出网策略路由和所述入网策略路由下发至所述虚拟路由器，并基于所述出网策略路由和所述入网策略路由进行服务引流。
[0010]可选的，还包括：
[0011]通过所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器执行针对出网流量的SNAT操作；
[0012]通过目的弹性云服务器所在物理节点上的虚拟路由器执行针对入网流量的DNAT操作。
[0013]可选的，所述通过所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器执行针对出网流量的SNAT操作，包括：
[0014]当所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器根据报文中的目的IP判断出当前报文为出网报文，则执行针对出网流量的SNAT操作。
[0015]可选的，所述基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户VPC内的虚拟路由器，包括：
[0016]基于所述配置信息确定所述服务引流链中的非业务类型虚拟设备；
[0017]在用户VPC内为每个所述非业务类型虚拟设备创建一个独立的互联子网；
[0018]通过所述互联子网将每个所述非业务类型虚拟设备均挂接至所述用户VPC内的虚拟路由器。
[0019]可选的，所述获取服务引流链的配置信息，包括：
[0020]通过云计算管理控制台获取服务引流链的配置信息；
[0021]相应的，所述方法还包括：基于所述配置信息调用预设北向接口，启动所述基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户VPC内的虚拟路由器的步骤。
[0022]可选的，所述出网策略路由包括源IP、源端口、传输层协议类型、报文入端口以及下一跳信息；所述入网策略路由包括目的IP、目的端口、传输层协议类型、报文入端口以及下一跳信息。
[0023]可选的，所述基于所述出网策略路由和所述入网策略路由进行服务引流，包括：
[0024]当虚拟路由器接收到出网报文，则根据第一匹配条件在所述出网策略路由中匹配出第一目标出网策略路由，并基于所述第一目标出网策略路由进行服务引流；
[0025]当虚拟路由器接收到入网报文，则根据第二匹配条件在所述出网策略路由中匹配出第二目标出网策略路由，并基于所述第二目标出网策略路由进行服务引流；
[0026]其中，所述第一匹配条件包括源IP、源端口、传输层协议类型、报文入端口，所述第二匹配条件包括目的IP、目的端口、传输层协议类型、报文入端口。
[0027]第二方面，本申请公开了一种服务引流装置，包括配置信息获取模块、虚拟设备挂接模块、策略路由生成模块、策略路由下发模块、虚拟路由器，其中，
[0028]所述配置信息获取模块，用于获取服务引流链的配置信息；
[0029]所述虚拟设备挂接模块，用于基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户VPC内的虚拟路由器；其中，所述虚拟路由器采用全分布式架构部署于所述用户VPC内；
[0030]所述策略路由生成模块，用于根据所述服务引流链中各所述非业务类型虚拟设备的正向顺序生成出网策略路由、以及各所述非业务类型虚拟设备的逆向顺序生成入网策略路由；
[0031]所述策略路由下发模块，用于将所述出网策略路由和所述入网策略路由下发至所
述虚拟路由器；
[0032]所述虚拟路由器，用于基于所述出网策略路由和所述入网策略路由进行服务引流。
[0033]可选的，所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器，用于执行针对出网流量的SNAT操作；
[0034]目的弹性云服务器所在物理节点上的虚拟路由器，用于执行针对入网流量的DNAT操作。
[0035]第三方面，本申请公开了一种计算机可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述的服务引流方法。
[0036]可见，本申请先获取服务引流链的配置信息，然后基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户VPC内的虚拟路由器；其中，所述虚拟路由器采用全分布式架构部署于所述用户V本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种服务引流方法，其特征在于，包括：获取服务引流链的配置信息；基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户VPC内的虚拟路由器；其中，所述虚拟路由器采用全分布式架构部署于所述用户VPC内；根据所述服务引流链中各所述非业务类型虚拟设备的正向顺序生成出网策略路由、以及各所述非业务类型虚拟设备的逆向顺序生成入网策略路由；将所述出网策略路由和所述入网策略路由下发至所述虚拟路由器，并基于所述出网策略路由和所述入网策略路由进行服务引流。2.根据权利要求1所述的服务引流方法，其特征在于，还包括：通过所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器执行针对出网流量的SNAT操作；通过目的弹性云服务器所在物理节点上的虚拟路由器执行针对入网流量的DNAT操作。3.根据权利要求2所述的服务引流方法，其特征在于，所述通过所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器执行针对出网流量的SNAT操作，包括：当所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器根据报文中的目的IP判断出当前报文为出网报文，则执行针对出网流量的SNAT操作。4.根据权利要求1所述的服务引流方法，其特征在于，所述基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户VPC内的虚拟路由器，包括：基于所述配置信息确定所述服务引流链中的非业务类型虚拟设备；在用户VPC内为每个所述非业务类型虚拟设备创建一个独立的互联子网；通过所述互联子网将每个所述非业务类型虚拟设备均挂接至所述用户VPC内的虚拟路由器。5.根据权利要求1所述的服务引流方法，其特征在于，所述获取服务引流链的配置信息，包括：通过云计算管理控制台获取服务引流链的配置信息；相应的，所述方法还包括：基于所述配置信息调用预设北向接口，启动所述基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户VPC内的虚拟路由器的步骤。6.根据权利要求1至5任一项所述服务引流方法，其特征在于，所述出网策略路由包...

【专利技术属性】
技术研发人员：胡章丰，孙思清，高传集，李彦君，任秋峥，
申请(专利权)人：浪潮云信息技术股份公司，
类型：发明
国别省市：