【技术实现步骤摘要】
租户隔离系统、基于租户隔离系统的租户隔离方法、装置、设备及介质
[0001]本专利技术涉及计算机
,特别是涉及一种租户隔离系统
、
一种基于租户隔离系统的租户隔离方法
、
一种基于租户隔离系统的租户隔离装置
、
一种电子设备以及一种可读存储介质
。
技术介绍
[0002]云计算环境中,多个租户使用统一的资源池提供的底层硬件资源创建自己的虚拟机
。
为了保证各个租户的虚拟机中的数据的安全性,需要对租户的虚拟机进行隔离,以使不同租户的虚拟机之间不能相互通信
。
[0003]传统的云计算资源池,租户的虚拟机承载在形成资源池的物理服务器上,通过统一的网络设备进行互通,通常采用
VLAN(Virtual Local Area Network
,虚拟局域网
)
的方式对不同的租户的虚拟机隔离
。
[0004]例如,为不同租户分别分配不同的
VLAN ID(Identity document
,身份标识号
)
,在租户的虚拟机发出的报文的头部添加为租户的虚拟机分配的
VLAN ID。
由于为不同租户分别分配的
VLAN ID
不同,因此,在后续的二层转发场景中将一个租户的虚拟机发出的报文不会转发至其他租户的虚拟机上,使得租户的虚拟机之间在二层网络上可以隔离,达到提升信息安全的效果
。
[0005]然而,随着三层网...
【技术保护点】
【技术特征摘要】
1.
一种租户隔离系统,其特征在于,所述系统包括:防火墙,核心交换机
、
接入交换机以及多个租户的虚拟机;防火墙中包括多个不同的安全域的虚拟防火墙;核心交换机中包括多个不同的虚拟路由转发
VRF
组件;不同的租户的虚拟机与不同的
VRF
组件之间一一匹配;不同的
VRF
组件与不同的安全域的虚拟防火墙之间一一匹配;不同的安全域的虚拟防火墙分别与不同的
VRF
组件之间基于
trunk
链路通信连接;不同的
VRF
组件分别与接入交换机之间基于
trunk
链路通信连接;接入交换机分别与不同的租户的虚拟机之间基于
trunk
链路通信连接
。2.
一种基于租户隔离系统的租户隔离方法,其特征在于,所述系统包括:防火墙,核心交换机
、
接入交换机以及多个租户的虚拟机,防火墙中包括多个不同的安全域的虚拟防火墙;核心交换机中包括多个不同的虚拟路由转发
VRF
组件;不同的租户的虚拟机与不同的
VRF
组件之间一一匹配;不同的
VRF
组件与不同的安全域的虚拟防火墙之间一一匹配;不同的安全域的虚拟防火墙分别与不同的
VRF
组件之间基于
trunk
链路通信连接;不同的
VRF
组件分别与接入交换机之间基于
trunk
链路通信连接;接入交换机分别与不同的租户的虚拟机之间基于
trunk
链路通信连接;所述方法应用于多个租户的虚拟机中的目标租户的虚拟机,所述方法包括:在目标租户的虚拟机需要经由防火墙向外发送第一报文的情况下,获取位于核心交换机中的
、
与目标租户的虚拟机之间唯一匹配的目标
VRF
组件的对内网际协议
IP
地址;在第一报文的头部添加目标
VRF
组件的对内
IP
地址,得到第二报文;根据第二报文的头部中的目标
VRF
组件的对内
IP
地址
、
经由接入交换机向核心交换机中的目标
VRF
组件发送第二报文;以供目标
VRF
组件接收第二报文;根据事先在目标
VRF
组件中配置的目标租户独占的路由转发表,查找目标
VRF
组件的对外
IP
地址以及与目标
VRF
组件唯一匹配的目标安全域的虚拟防火墙的
IP
地址;在第二报文的头部添加目标
VRF
组件的对外
IP
地址以及目标安全域的虚拟防火墙的
IP
地址,得到第三报文;根据第三报文的头部中的目标安全域的虚拟防火墙的
IP
地址向目标安全域的虚拟防火墙发送第三报文,以使目标安全域的虚拟防火墙接收第三报文,根据事先在目标安全域的虚拟防火墙中配置的目标租户独占的路由转发表向外发送第三报文
。3.
一种基于租户隔离系统的租户隔离方法,其特征在于,所述系统包括:防火墙,核心交换机
、
接入交换机以及多个租户的虚拟机,防火墙中包括多个不同的安全域的虚拟防火墙;核心交换机中包括多个不同的虚拟路由转发
VRF
组件;不同的租户的虚拟机与不同的
VRF
组件之间一一匹配;不同的
VRF
组件与不同的安全域的虚拟防火墙之间一一匹配;不同的安全域的虚拟防火墙分别与不同的
VRF
组件之间基于
trunk
链路通信连接;不同的
VRF
组件分别与接入交换机之间基于
trunk
链路通信连接;接入交换机分别与不同的租户的虚拟机之间基于
trunk
链路通信连接;所述方法应用于核心交换机中的多个
VRF
组件中的目标
VRF
组件,所述方法包括:接收第二报文;第二报文是目标租户的虚拟机根据第二报文的头部中的目标
VRF
组件的对内网际协议
IP
地址
、
经由接入交换机向核心交换机中的目标
VRF
组件发送的;第二报文是目标租户的虚拟机在第一报文的头部添加目标
VRF
组件的对内
IP
地址后得到的;目标
VRF
组件的对内
IP
地址是在目标租户的虚拟机需要经由防火墙向外发送第一报文的情况下目标租户的虚拟机获取的;目标
VRF
组件是位于核心交换机中的
、
与目标租户的虚拟机之间唯一匹配的
VRF
组件;根据事先在目标
VRF
组件中配置的目标租户独占的路由转发表,查找目标
VRF
组件的对外
IP
地址以及与目标
VRF
组件唯一匹配的目标安全域的虚拟防火墙的
IP
地址;在第二报文的头部添加目标
VRF
组件的对外
IP
地址以及目标安全域的虚拟防火墙的
IP
地址,得到第三报文;根据第三报文的头部中的目标安全域的虚拟防火墙的
IP
地址向目标安全域的虚拟防火墙发送第三报文,以使目标安全域的虚拟防火墙接收第三报文,根据事先在目标安全域的虚拟防火墙中配置的目标租户独占的路由转发表向外发送第三报文
。4.
一种基于租户隔离系统的租户隔离方法,其特征在于,所述系统包括:防火墙,核心交换机
、
接入交换机以及多个租户的虚拟机,防火墙中包括多个不同的安全域的虚拟防火墙;核心交换机中包括多个不同的虚拟路由转发
VRF
组件;不同的租户的虚拟机与不同的
VRF
组件之间一一匹配;不同的
VRF
组件与不同的安全域的虚拟防火墙之间一一匹配;不同的安全域的虚拟防火墙分别与不同的
VRF
组件之间基于
trunk
链路通信连接;不同的
VRF
组件分别与接入交换机之间基于
trunk
链路通信连接;接入交换机分别与不同的租户的虚拟机之间基于
trunk
链路通信连接;所述方法应用于防火墙中的多个不同的安全域的虚拟防火墙中的目标安全域的虚拟防火墙,所述方法包括:接收第三报文;第三报文是目标
VRF
组件根据第三报文的头部中的目标安全域的虚拟防火墙的网际协议
IP
地址向目标安全域的虚拟防火墙发送的,第三报文是目标
VRF
组件在第二报文的头部添加目标
VRF
组件的对外
IP
地址以及目标安全域的虚拟防火墙的
IP
地址后得到的;目标
VRF
组件的对外
IP
地址以及目标安全域的虚拟防火墙的
IP
地址是目标
VRF
组件根据事先在目标
VRF
组件中配置的目标租户独占的路由转发表查找到的;目标安全域的虚拟防火墙是位于防火墙中的与目标
VRF
组件唯一匹配的安全域的虚拟防火墙;第二报文是目标租户的虚拟机根据第二报文的头部中的目标
VRF
组件的对内
IP
地址
、
经由接入交换机向核心交换机中的目标
VRF
组件发送的;第二报文是目标租户的虚拟机在第一报文的头部添加目标
VRF
组件的对内
IP
地址后得到的;目标
VRF
组件的对内
IP
地址是在目标租户的虚拟机需要经由防火墙向外发送第一报文的情况下目标租户的虚拟机获取的;目标
VRF
组件是位于核心交换机中的
、
与目标租户的虚拟机之间唯一匹配的
VRF
组件;根据事先在目标安全域的虚拟防火墙中配置的目标租户独占的路由转发表向外发送第三报文
。5.
一种基于租户隔离系统的租户隔离方法,其特征在于,所述系统包括:防火墙,核心交换机
、
接入交换机以及多个租户的虚拟机,防火墙中包括多个不同的安全域的虚拟防火墙;核心交换机中包括多个不同的虚拟路由转发
VRF
组件;不同的租户的虚拟机与不同的
VRF
组件之间一一匹配;不同的
VRF
组件与不同的安全域的虚拟防火墙之间一一匹配;不同的安全域的虚拟防火墙分别与不同的
VRF
组件之间基于
trunk
链路通信连接;不同的
VRF
组件分别与接入交换机之间基于
trunk
链路通信连接;接入交换机分别与不同的租户的虚拟机之间基于
trunk
链路通信连接;
所述方法应用于防火墙中的多个不同的安全域的虚拟防火墙中的目标安全域的虚拟防火墙,所述方法包括:接收外部发送的第四报文,第四报文中的目的地址为目标租户的虚拟机的网际协议
IP
地址;根据事先在目标安全域的虚拟防火墙中配置的目标租户独占的路由转发表,查找位于核心交换机中的
、
与目标租户的虚拟机之间唯一匹配的目标
VRF
组件的对外
IP
地址;在第四报文的头部添加目标
VRF
组件的对外
IP
地址,得到第五报文;根据目标
VRF
组件的对外
IP
地址向目标
VRF
组件发送第五报文;以使目标
VRF
组件接收第五报文;根据事先在目标
VRF
组件中配置的目标租户独占的路由转发表,查找目标
VRF
组件的对内
IP
地址;在第五报文的头部添加目标
VRF
组件的对内
IP
地址,得到第六报文;根据目标
VRF
组件的对内
IP
地址以及目标租户的虚拟机的
IP
地址
、
经由接入交换机向目标租户的虚拟机发送第六报文;以使目标租户的虚拟机接收第六报文,并处理第六报文
。6.
一种基于租户隔离系统的租户隔离方法,其特征在于,所述系统包括:防火墙,核心交换机
、
接入交换机以及多个租户的虚拟机,防火墙中包括多个不同的安全域的虚拟防火墙;核心交换机中包括多个不同的虚拟路由转发
VRF
组件;不同的租户的虚拟机与不同的
VRF
组件之间一一匹配;不同的
VRF
组件与不同的安全域的虚拟防火墙之间一一匹配;不同的安全域的虚拟防火墙分别与不同的
VRF
组件之间基于
trunk
链路通信连接;不同的
VRF
组件分别与接入交换机之间基于
trunk
链路通信连接;接入交换机分别与不同的租户的虚拟机之间基于
trunk
链路通信连接;所述方法应用于核心交换机中的多个
VRF
组件中的目标
VRF
组件,所述方法包括:接收第五报文,第五报文是防火墙中的多个不同的安全域的虚拟防火墙中的目标安全域的虚拟防火墙根据目标
VRF
组件的对外网际协议
IP
地址向目标
VRF
组件发送的;第五报文是目标安全域的虚拟防火墙在第四报文的头部添加位于核心交换机中的
、
与目标租户的虚拟机之间唯一匹配的目标
VRF
组件的对外
IP
地址后得到的;目标
VRF
组件的对外
IP
地址是目标安全域的虚拟防火墙事先在目标
VRF
组件中配置的目标租户独占的路由转发表查找到的;第四报文是目标安全域的虚拟防火墙根接收的外部发送的报文,第四报文中的目的地址为目标租户的虚拟机的
IP
地址;根据事先在目标
VRF
组件中配置的目标租户独占的路由转发表,查找目标
VRF
组件的对内
IP
地址;在第五报文的头部添加目标
VRF
组件的对内
IP
地址,得到第六报文;根据目标
VRF
组件的对内
IP
地址以及目标租户的虚拟机的
IP
地址
、
经由接入交换机向目标租户的虚拟机发送第六报文;以使目标租户的虚拟机接收第六报文,并处理第六报文
。7.
一种基于租户隔离系统的租户隔离方法,其特征在于,所述系统包括:防火墙,核心交换机
、
接入交换机以及多个租户的虚拟机,防火墙中包括多个不同的安全域的虚拟防火墙;核心交换机中包括多个不同的虚拟路由转发
VRF
组件;不同的租户的虚拟机与不同的
VRF
组件之间一一匹配;不同的
VRF
组件与不同的安全域的虚拟防火墙之间一一匹配;不同的安全域的虚拟防火墙分别与不同的
VRF
组件之间基于
trunk
链路通信连接;不同的
VRF
组件分别与接入交换机之间基于
trunk
链路通信连接;接入交换机分别与不同的租户的虚拟机之间基于
trunk
链路通信连接;
所述方法应用于多个租户的虚拟机中的目标租户的虚拟机,所述方法包括:接收第六报文;第六报文是目标
VRF
组件根据目标
VRF
组件的对内网际协议
IP
地址以及目标租户的虚拟机的
IP
地址
、
经由接入交换机向目标租户的虚拟机发送的;第六报文是目标
VRF
组件在第五报文的头部添加目标
VRF
组件的对内
IP
地址后得到的;目标
VRF
组件的对内
IP
地址是目标
VRF
组件根据事先在目标
VRF
组件中配置的目标租户独占的路由转发表查找到的;第五报文是防火墙中的多个不同的安全域的虚拟防火墙中的目标安全域的虚拟防火墙目标
VRF
组件的对外
IP
地址向目标
VRF
组件发送的;第五报文是防火墙中的多个不同的安全域的虚拟防火墙中的目标安全域的虚拟防火墙根据目标
VRF
组件的对外
IP
地址向目标
VRF
组件发送的;第五报文是目标安全域的虚拟防火墙在第四报文的头部添加位于核心交换机中的
、
与目标租户的虚拟机之间唯一匹配的目标
VRF
组件的对外
IP
地址后得到的;目标
VRF
组件的对外
IP
地址是目标安全域的虚拟防火墙事先在目标
VRF
组件中配置的目标租户独占的路由转发表查找到的;第四报文是目标安全域的虚拟防火墙根接收的外部发送的报文,第四报文中的目的地址为目标租户的虚拟机的
IP
地址;处理第六报文
。8.
一种基于租户隔离系统的...
【专利技术属性】
技术研发人员:李园园,刘养波,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。