虚拟私有网络之间单向通信的方法及通信装置制造方法及图纸

本公开涉及一种私有网络之间单向通信的方法及装置，其中，该方法包括：接收第一报文，基于拦截策略确定接收到的第一报文是否允许传输，拦截策略指示允许传输第一ECS主动访问第二ECS以及拒绝第二ECS主动访问第一ECS；若允许传输，则基于地址转换规则对第一报文进行网络地址转换，并将转换得到的第二报文发送给相应的ECS；若不允许传输，则丢弃第一报文。本公开通过部署中间层进行单向通信控制以及代理转换，实现了公有云场景中不同VPC下的ECS之间点对点的单向打通，且第二VPC下的ECS无法通过该链路主动反向访问第一VPC中的资源，侵入较小，符合点对点单向通信的要求。符合点对点单向通信的要求。符合点对点单向通信的要求。

【技术实现步骤摘要】
虚拟私有网络之间单向通信的方法及通信装置


[0001]本公开涉及云计算
，尤其涉及一种虚拟私有网络之间单向通信的方法及通信装置。

技术介绍

[0002]云计算是指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序，然后，通过多台服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。基于云计算技术，可以在很短的时间内完成海量数据的快速处理，从而达到强大的网络服务。按照部署方式不同，可以分为公有云、私有云以及混合云。其中，虚拟私有网络(Virtual Private Cloud，VPC)是指用户在公有云上创建的自定义私有网络，用户可以在自己账户下的VPC内创建和管理云产品实例。不同用户的VPC之间常常需要进行单向通信。例如，公有云的云服务提供商VPC向企业用户VPC提供云服务，一些场景下，需要实现云服务提供商VPC与企业用户VPC之间单向连通，为企业用户VPC使用云上服务提供网络通道。
[0003]目前，常通过网卡跨账户跨VPC授权挂载的方式实现，具体是先将不同账户下的不同VPC所对应的网卡挂载在同一个虚拟机，在虚拟机内部通过主机路由的方式去调度流量。然而，这种方式需要将其中一个VPC下的网卡挂载到另一个VPC下的弹性可伸缩的云服务器(Elastic Compute Service，ESC)内部，且需要在ESC内部配置调度的主机路由策略，侵入较强，无法满足不同VPC下不同云服务器之间点对点单向通信的要求。

技术实现思路

[0004]为了解决上述技术问题，本公开提供了一种虚拟私有网络之间单向通信的方法及通信装置。
[0005]第一方面，本公开实施例提供一种虚拟私有网络之间单向通信的方法，包括：
[0006]接收第一报文；所述第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息；
[0007]基于拦截策略，确定是否允许传输所述第一报文；所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器，且拒绝所述第二云服务器主动访问所述第一云服务器；
[0008]若允许传输，则基于地址转换规则对所述第一报文进行网络地址转换得到第二报文，并发送所述第二报文至相应的云服务器；
[0009]若不允许传输，则丢弃所述第一报文。
[0010]第二方面，本公开实施例提供一种虚拟私有网络之间单向通信的方法，包括：
[0011]为具有单向通信需求的第一虚拟私有网络中的第一云服务器以及第二虚拟私有网络中的第二云服务器分别分配代理网际互连协议IP地址和代理端口号；
[0012]向网关发送虚拟通道信息，指示所述网关基于所述虚拟信息生成地址转换规则和拦截策略；其中，所述虚拟通道信息包括：所述第一云服务器和所述第二云服务器分别对应
的私网IP地址和端口号、以及、所述第一云服务器和所述第二云服务器分别对应的代理IP地址和代理端口号；所述拦截策略用于确定是否允许传输第一报文，所述地址转换规则用于对允许传输的第一报文进行网络地址转换；所述第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息；所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器，且拒绝所述第二云服务器主动访问所述第一云服务器。
[0013]第三方面，本公开实施例提供一种通信装置，包括：
[0014]接收模块，用于接收第一报文；所述第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息；
[0015]报文处理模块，用于基于拦截策略，确定是否允许传输所述第一报文；所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器，且拒绝所述第二云服务器主动访问所述第一云服务器；若允许传输，则基于地址转换规则对所述第一报文进行网络地址转换得到第二报文；若不允许传输，则丢弃所述第一报文
[0016]发送模块，用于发送所述第二报文至相应的云服务器。
[0017]第四方面，本公开实施例提供一种通信装置，包括：
[0018]分配模块，用于为具有单向通信需求的第一虚拟私有网络中的第一云服务器以及第二虚拟私有网络中的第二云服务器分别分配代理网际互连协议IP地址和代理端口号；
[0019]发送模块，用于向网关发送虚拟通道信息，指示所述网关基于所述虚拟信息生成地址转换规则和拦截策略；其中，所述虚拟通道信息包括：所述第一云服务器和所述第二云服务器分别对应的私网IP地址和端口号、以及、所述第一云服务器和所述第二云服务器分别对应的代理IP地址和代理端口号；所述拦截策略用于确定是否允许传输第一报文，所述地址转换规则用于对允许传输的第一报文进行网络地址转换；所述第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息；所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器，且拒绝所述第二云服务器主动访问所述第一云服务器。
[0020]第五方面，本公开实施例提供一种电子设备，包括：存储器和处理器；所述存储器被配置为：存储计算机程序指令；所述处理器被配置为：执行所述计算机程序指令，使得所述电子设备实现如第一方面或者第二方面所述的虚拟私有网络之间单向通信的方法。
[0021]第六方面，本公开实施例提供一种可读存储介质，包括：计算机程序指令；处理器执行所述计算机程序指令，以执行所述第一方面或者第二方面所述的虚拟私有网络之间单向通信的方法。
[0022]第七方面，本公开实施例提供一种计算机程序产品，电子设备执行所述计算机程序产品，以执行所述第一方面或者第二方面所述的虚拟私有网络之间单向通信的方法。
[0023]本公开提供一种虚拟私有网络之间单向通信的方法及通信装置，其中，该方法包括：接收第一报文，基于拦截策略确定接收到的第一报文是否允许传输，拦截策略指示允许传输第一ECS主动访问第二ECS以及拒绝第二ECS主动访问第一ECS；若允许传输，则基于地址转换规则对第一报文进行网络地址转换，并将转换得到的第二报文发送给相应的ECS；若不允许传输，则丢弃第一报文。本公开通过部署中间层进行单向通信控制以及代理转换，实现了公有云场景中不同VPC下的ECS之间点对点的单向打通，且第二VPC下的ECS无法通过该
链路主动反向访问第一VPC中的资源，侵入较小，符合点对点单向通信的要求。
附图说明
[0024]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
[0025]为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0026]图1为本公开一实施例提供的虚拟私有网络之间单向通信的方法的应用场景示意图；
[0027]图2为本公开一实施例提供的公有云的整体本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种虚拟私有网络之间单向通信的方法，其特征在于，包括：接收第一报文，所述第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息；基于拦截策略确定是否允许传输所述第一报文；所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器，且拒绝所述第二云服务器主动访问所述第一云服务器；若允许传输，则基于地址转换规则对所述第一报文进行网络地址转换得到第二报文，并发送所述第二报文至相应的云服务器；若不允许传输，则丢弃所述第一报文。2.根据权利要求1所述的方法，其特征在于，所述基于拦截策略，确定所述第一报文是否允许传输，包括：获取所述第一报文的源网际互连协议IP地址以及目的IP地址；将所述第一报文的源IP地址以及目的IP地址与所述拦截策略指示的允许传输的请求报文的源IP地址和目的IP地址进行匹配得到匹配结果；若所述匹配结果为匹配成功，则确定允许传输所述第一报文；若所述匹配结果为匹配失败，则根据所述第一报文的报文特征确定所述第一报文是否为所述第二云服务器发送给所述第一云服务器的响应报文，若是，则确定允许传输所述第一报文；若否，则确定不允许传输所述第一报文。3.根据权利要求1所述的方法，其特征在于，所述基于地址转换规则对所述第一报文进行网络地址转换得到第二报文，包括：基于所述地址转换规则包含的两组映射关系，对所述第一报文进行网络地址得到所述第二报文；所述两组映射关系包括：第一云服务器的私网IP地址和端口号与代理IP地址和代理端口号之间的映射关系；以及，所述第二云服务器的私网IP地址和端口号与代理IP地址和代理端口号之间的映射关系。4.根据权利要求1所述的方法，其特征在于，所述接收第一报文之前，所述方法还包括：接收网关控制器发送的虚拟通道信息；所述虚拟通道信息包括：所述第一云服务器和所述第二云服务器分别对应的私网IP地址和端口号、以及、所述第一云服务器和所述第二云服务器分别对应的代理IP地址和代理端口号；基于所述虚拟通道信息生成所述地址转换规则和所述拦截策略。5.一种虚拟私有网络之间单向通信的方法，其特征在于，包括：为具有单向通信需求的第一虚拟私有网络中的第一云服务器以及第二虚拟私有网络中的第二云服务器分别分配代理网际互连协议IP地址和代理端口号；向网关发送虚拟通道信息，指示所述网关基于所述虚拟信息生成地址转换规则和拦截策略；其中，所述虚拟通道信息包括：所述第一云服务器和所述第二云服务器分别对应的私网IP地址和端口号、以及、所述第一云服务器和所述第二云服务器分别对应的代理IP地址和代理端口号；所述拦截策略用于确定是否允许传输第一报文，所述地址转换规则用于对允许传输的第一报文进行网络地址转换；所述第一报文用于在第一虚拟私有网络中的第一云服务器和第二虚拟私有网络中的第二云服务器之间传送信息；所述拦截策略指示允许所述第一云服务器主动访问所述第二云服务器，且拒绝所述第二云服务器主动访问所述第一
云服务器。6.根据权利要求5所述的方法，其特征在于，所述为具有单向通信需求的第一虚拟私有网络中的第一云服务器以及第二虚拟私有网络中的第二云服务器分别分配代理IP地址和代理端口号之前，还包括：调用第一接口，基于所述第一云服务器的属性信息，在对象模型中创建所...

【专利技术属性】
技术研发人员：苏赛，曹明军，
申请(专利权)人：北京火山引擎科技有限公司，
类型：发明
国别省市：