VPC与云专线互联方法、装置、电子设备及存储介质制造方法及图纸

本申请提供了一种VPC与云专线互联方法、装置、电子设备及存储介质，所述方法包括：在物理防火墙上预先创建专线VFW，并对专线NAT进行配置初始化，以确保物理防火墙和专线区之间的物理连接；创建指定VPC与专线互通实例，并在专线NAT上下发VPC的基础配置；创建专线安全策略，并校验专线安全策略的参数合法性；响应于校验的专线安全策略的参数合法，根据用户在控制台配置的五元组参数，在专线NAT上进行策略规则的配置。本申请所述的VPC与云专线互联方法不需要采购额外的防火墙设备，降低使用成本；在实现基础需求的同时，还可以在专线NAT上配置安全策略，使专线区与VPC的互访更加安全。使专线区与VPC的互访更加安全。使专线区与VPC的互访更加安全。

【技术实现步骤摘要】
VPC与云专线互联方法、装置、电子设备及存储介质


[0001]本申请属于云计算服务领域，尤其涉及一种VPC与云专线互联方法、装置、电子设备及存储介质。

技术介绍

[0002]虚拟私有云(VPC)是一种云计算服务，其中公共云提供商将其公共云基础架构的特定部分隔离，以供私人使用。VPC基础架构由公共云供应商管理，但是分配给VPC的资源不会与任何其他客户共享，它是云计算的混合模型，是在公共云提供商的基础架构内提供私有云解决方案，它为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署，它是用户在云厂商中的购买搭建的一个基础云网络环境，用户通过VPC可以安全、方便快捷的配置和管理内部网络，可以自定义很多的网络产品和配置，根据自己的需求构建一个专属自己的网络拓扑。
[0003]用户创建完VPC后，如果专线区想访问VPC内的虚拟机，只能通过虚拟机绑定弹性公网IP(EIP)的方式，专线区直接访问EIP，并在防火墙上做NAT来实现，这样就需要额外采购防火墙设备，导致使用成本增加，同时，专线区与VPC的互访安全性也较低。

技术实现思路

[0004]有鉴于此，本申请旨在提出一种VPC与云专线互联方法、装置、电子设备及存储介质，以解决专线区想访问VPC内的虚拟机，只能通过虚拟机绑定弹性公网IP(EIP)的方式，专线区直接访问EIP，并在防火墙上做NAT来实现，需要额外采购防火墙设备，导致使用成本增加，同时，专线区与VPC的互访安全性也较低的问题。
[0005]为达到上述目的，本申请的技术方案是这样实现的：
[0006]第一方面，本申请提供一种VPC与云专线互联方法，所述方法包括：
[0007]在物理防火墙上预先创建专线VFW，并对专线NAT进行配置初始化，以确保物理防火墙和专线区之间的物理连接；
[0008]创建指定VPC与专线互通实例，并在专线NAT上下发VPC的基础配置，以确保VPC的流量在专线VFW上通行；
[0009]创建专线安全策略，并校验专线安全策略的参数合法性；
[0010]响应于校验的专线安全策略的参数合法，根据用户在控制台配置的五元组参数，在专线NAT上进行策略规则的配置；其中，所述专线安全策略基于专线VFW上的域间策略执行
[0011]第二方面，基于同一专利技术构思，本申请还提供了一种VPC与云专线互联装置，所述装置包括：
[0012]预先创建模块，被配置为在物理防火墙上预先创建专线VFW，并对专线NAT进行配置初始化，以确保物理防火墙和专线区之间的物理连接；
[0013]互通实例创建模块，被配置为创建指定VPC与专线互通实例，并在专线NAT上下发
等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。
[0030]以下结合附图详细说明本申请的实施例。
[0031]VPC网络实现拓扑图如图1所示，具体解释如下：
[0032]VPC网络中购买的虚拟机落在各个CVK中，CVK连接的是Leaf交换机，Leaf交换机下连CVK，上连核心Spine交换机，Spine交换机上连Border边界交换机，Border交换机旁挂Firewall物理防火墙，Firewall中创建一个NAT VFW的虚拟防火墙，虚拟机绑定的弹性公网IP(EIP)全部在NAT VFW上做NAT转换，防火墙的功能全部在虚拟创建出的NAT VFW上来实现。Border交换机上有一条默认路由，指向NAT VFW，VPC的上送报文到达Border后，如果没有更高优先级的路由，则默认将报文指向NAT VFW，NAT VFW做完NAT转换后，再将报文通过Border上送到Internet ACC交换机，最后通过路由器到达Internet网络。
[0033]VPC网络与云专线网络互通的拓扑图如图2所示，具体解释如下：
[0034]如拓扑图所示，本专利技术方案中，物理的防火墙中，由原来的只虚拟出一个NAT VFW改为了既虚拟出NAT VFW又虚拟出了一个专线VFW，原来的EIP的NAT功能全部还是在NAT VFW上来实现，如果VPC要走专线区，则在新的专线NAT VFW上来实现，通过路由将VPC的报文指向专线区的网络中。报文经过专线VFW后，不再做NAT，但是专线NAT上还可以根据用户的需求去创建安全策略，实现防火墙安全防护的功能。通过专线NAT上增加路由直接将报文送到专线区，不再经过Border送到Internet网络中。
[0035]请参阅图3和图5所示，本申请一个实施例的VPC与云专线互联方法，包括以下步骤：
[0036]步骤S101、在物理防火墙上预先创建专线VFW，并对专线NAT进行配置初始化，以确保物理防火墙和专线区之间的物理连接。
[0037]在一些实施方式中，将物理防火墙和专线区之间通过物理连线连接，并在物理防火墙上配置与专线区的路由；
[0038]预先创建专线VFW实例，并将其与物理防火墙进行关联，以确保流量从专线区传输至物理防火墙；
[0039]具体地，在物理防火墙上设置与专线区的路由，以确保流量能够正确地从专线区传输到物理防火墙，配置路由表，指定专线区的网络流量通过正确的接口和网关转发。
[0040]配置专线NAT的转发规则，以确保流量从专线区到达VPC内的目标地址。
[0041]具体地，在专线NAT上配置转发规则，以确保从专线区到达VPC内的目标地址的流量能够正确转发。配置规则，指定源IP地址、目标IP地址和端口等参数，使得流量能够按照规则进行转发。
[0042]在步骤S101中，通过预先创建专线VFW并关联物理防火墙，确保物理防火墙和专线区之间的物理连接，并配置与专线区的路由。同时，在专线NAT上配置转发规则，确保流量从专线区到达VPC内的目标地址。这些步骤将为后续的网络安全和流量管理提供基础。
[0043]步骤S102、创建指定VPC与专线互通实例，并在专线NAT上下发VPC的基础配置，以确保VPC的流量在专线VFW上通行。
[0044]具体地，在Border上创建一条目的地址为指定专线网段、下一跳到专线VFW的明细
路由；
[0045]在专线NAT上，创建一条目的地址为指定专线网段，下一跳到专线区的明细路由；
[0046]在专线区访问VPC方向上，创建一条目的地址为VPC网段，下一跳到Border的明细路由；
[0047]在专线NAT上下发VPC的基础配置，其中，所述基础配置包括专线NAT配置、专线安全策略配置和路由配置，以确保专线VFW上的流量传输至VPC上。
[0048]具体地，创建指定VPC的专线互通实例，首先需要在Border上创建一条目的地址是指定专线网段，下一跳到专线VFW的明细路由，通过在Border设备上本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种VPC与云专线互联方法，其特征在于，所述方法包括：在物理防火墙上预先创建专线VFW，并对专线NAT进行配置初始化，以确保物理防火墙和专线区之间的物理连接；创建指定VPC与专线互通实例，并在专线NAT上下发VPC的基础配置，以确保VPC的流量在专线VFW上通行；创建专线安全策略，并校验专线安全策略的参数合法性；响应于校验的专线安全策略的参数合法，根据用户在控制台配置的五元组参数，在专线NAT上进行策略规则的配置；其中，所述专线安全策略基于专线VFW上的域间策略执行。2.根据权利要求1所述的VPC与云专线互联方法，其特征在于，所述在物理防火墙上预先创建专线VFW，并对专线NAT进行配置初始化，以确保物理防火墙和专线区之间的物理连接，包括：将物理防火墙和专线区之间通过物理连线连接，并在物理防火墙上配置与专线区的路由；预先创建专线VFW实例，并将其与物理防火墙进行关联，以确保流量从专线区传输至物理防火墙；配置专线NAT的转发规则，以确保流量从专线区到达VPC内的目标地址。3.根据权利要求1所述的VPC与云专线互联方法，其特征在于，所述创建指定VPC与专线互通实例，并在专线NAT上下发VPC的基础配置包括：在Border上创建一条目的地址为指定专线网段、下一跳到专线VFW的明细路由；在专线NAT上，创建一条目的地址为指定专线网段，下一跳到专线区的明细路由；在专线区访问VPC方向上，创建一条目的地址为VPC网段，下一跳到Border的明细路由；在专线NAT上下发VPC的基础配置，其中，所述基础配置包括专线NAT配置、专线安全策略配置和路由配置，以确保专线VFW上的流量传输至VPC上。4.根据权利要求3所述的VPC与云专线互联方法，其特征在于，在校验专线安全策略的参数合法性之前，还包括：判断是否存在专线实例；响应于存在专线实例，则校验专线安全策略的参数合法性；响应于不存在专线实例，则抛出异常，并返回失败结果。5.根据权利要求1所述的...

【专利技术属性】
技术研发人员：范生越，
申请(专利权)人：紫光云技术有限公司，
类型：发明
国别省市：