一種租戶隔離方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及云計算技術(shù)領(lǐng)域,尤指一種云計算系統(tǒng)中的租戶隔離方法及系統(tǒng)。
【背景技術(shù)】
[0002] 云計算是一種動態(tài)易擴展的通過互聯(lián)網(wǎng)提供虛擬化資源的計算方式,云計算分 為基礎(chǔ)設(shè)施即服務(wù)(Infrastructure as a Service,IaaS)、平臺即服務(wù)(Platform as a Service,PaaS)和軟件即服務(wù)(Software as a Service,SaaS)三個層次的服務(wù)資源池。在 云計算環(huán)境中,用戶的CPU、內(nèi)存、硬盤等資源形成池化的資源池,對用戶統(tǒng)一提供服務(wù)。
[0003] 云計算環(huán)境中,多個租戶使用統(tǒng)一的資源池提供的底層硬件資源。為了保證租戶 數(shù)據(jù)的安全性,需要對租戶進行隔離,使租戶內(nèi)部的虛擬機可以相互通信,而租戶之間的虛 擬機相互隔離。
[0004] 傳統(tǒng)的云計算資源池,租戶的虛擬機承載在形成資源池的計算節(jié)點上,通過統(tǒng)一 的網(wǎng)絡(luò)設(shè)備進行互通,通常采用虛擬局域網(wǎng)(VLAN,Virtual Local Area Network)的方式 進行租戶隔離。在虛擬交換機和接入交換機處為每個租戶分配一個或者多個VLAN tag,即 在租戶發(fā)出的原始報文頭的二層(數(shù)據(jù)鏈路層)之后加入VLAN標識。由于不同租戶的虛擬 機發(fā)出的報文由于VLAN標識不同,在虛擬交換機和接入交換機處不會讓一個租戶的虛擬 機訪問其他租戶的虛擬機,使得租戶之間在網(wǎng)絡(luò)的二層上進行隔離,達到提升信息安全的 效果。然后在核心交換機處配置相應(yīng)的訪問控制列表(Access Control List,簡稱ACL)規(guī) 則來解決網(wǎng)絡(luò)的三層(IP層)隔離問題。ACL規(guī)則是指:通過從路由表中讀取報文頭中的信 息如源地址、目的地址、源端口、目的端口等,根據(jù)預(yù)先定義好的規(guī)則實現(xiàn)訪問控制的目的。 圖1是云計算資源池的物理結(jié)構(gòu)示意圖。如圖1所示,租戶的虛擬機(VM,Virtual Machine) 和虛擬交換機連接,承載在形成資源池的計算節(jié)點上,虛擬交換機連接于租戶的虛擬機與 接入交換機之間,用于負責連接虛擬機和外部的物理網(wǎng)絡(luò);接入交換機是物理交換機。按照 現(xiàn)有的租戶隔離方法,通過給不同租戶的虛擬機劃分不同的VLAN tag;由于VLAN tag最大 可以標識4096個虛擬機,因此,租戶規(guī)模受到限制;通過將同一租戶的VLAN tag進行整理, 通過設(shè)置租戶之間不能通信,即通過VLAN tag區(qū)分是否屬于同一租戶,如果不屬于同一租 戶,則不允許通信,實現(xiàn)二層隔離;在第三層,通過訪問控制列表實現(xiàn)隔離,即,通過ACL第 三層的隔離,使得不同租戶的虛擬機在三層不能相互通信。如果對租戶網(wǎng)絡(luò)進行調(diào)整,則租 戶各虛擬機的VLAN tag也需要進行調(diào)整,影響網(wǎng)絡(luò)管理;另外,現(xiàn)有網(wǎng)絡(luò)中,同一租戶的虛 擬機往往設(shè)置在不同的物理主機上,服從云平臺管理網(wǎng)絡(luò)的統(tǒng)一規(guī)劃,租戶無法對其所屬 的虛擬機網(wǎng)絡(luò)進行有效的管理和自由規(guī)劃。
【發(fā)明內(nèi)容】
[0005] 為了解決上述技術(shù)問題,本發(fā)明提供了一種租戶隔離方法及系統(tǒng),能夠?qū)崿F(xiàn)云計 算系統(tǒng)中租戶之間的有效隔離,提高租戶虛擬機規(guī)模。
[0006] 為了達到本發(fā)明目的,本發(fā)明提供了一種租戶隔離方法,包括:
[0007] 虛擬交換機為各物理主機上的各虛擬機分配相應(yīng)的用于標識租戶報文的虛擬局 域網(wǎng)標簽;
[0008] 接入交換機為各租戶分配相應(yīng)的虛擬租戶網(wǎng)絡(luò)VTN標識符,根據(jù)分配的VTN標識 符結(jié)合該租戶各虛擬機的虛擬局域網(wǎng)標簽,生成各租戶相應(yīng)的虛擬網(wǎng)絡(luò),實現(xiàn)租戶隔離。
[0009] 進一步地,該方法還包括:
[0010] 源接入交換機根據(jù)租戶報文的目的地址結(jié)合該租戶的VTN標識符,對租戶報文封 裝用于物理網(wǎng)絡(luò)路由的二層報文頭;
[0011] 根據(jù)封裝的二層報文頭發(fā)送租戶報文到目的端接入交換機,目的端交換機根據(jù)一 層報文頭將租戶報文發(fā)送給目的端虛擬機。
[0012] 進一步地,封裝用于物理網(wǎng)絡(luò)路由的二層報文頭具體包括:
[0013] 源接入交換機讀取路由表,獲得租戶報文的目的端虛擬機的IP地址,根據(jù)租戶報 文的目的端虛擬機的IP地址查詢路由表目的端虛擬機所在目的接入交換機的路由地址;
[0014] 根據(jù)目的接入交換機的路由地址及所述VTN標識符,所述源接入交換機進行租戶 報文的物理網(wǎng)絡(luò)路由的二層報文頭的封裝。
[0015] 進一步地,封裝用于物理網(wǎng)絡(luò)路由的二層報文頭具體包括:
[0016] 源接入交換機讀取路由表,獲得租戶報文的目的端虛擬機的IP地址,根據(jù)租戶報 文的目的端虛擬機的IP地址查詢路由表目的端虛擬機所在目的接入交換機的路由地址;
[0017] 所述源接入交換機采用用戶數(shù)據(jù)包協(xié)議UDP在所述報文的一層報文頭外封裝包 括、通過目的接入交換機的路由地址獲得的外層介質(zhì)訪問控制OuterMAC、外層網(wǎng)絡(luò)互連協(xié) 議Outer IP和外層用戶數(shù)據(jù)包協(xié)議Outer UDP、通過VTN標識符生成的VTN報文頭部分,組 成所述二層報文頭。
[0018] 另一方面,本申請還提供一種虛擬機隔離系統(tǒng),至少包括虛擬交換機和接入交換 機,其中,
[0019] 虛擬交換機,用于為各物理主機上的各虛擬機分配相應(yīng)的用于標識租戶報文的虛 擬局域網(wǎng)標簽;
[0020] 接入交換機為各租戶分配相應(yīng)的VTN標識符,根據(jù)分配的VTN標識符結(jié)合該租戶 各虛擬機的虛擬局域網(wǎng)標簽,生成各租戶相應(yīng)的虛擬網(wǎng)絡(luò),實現(xiàn)租戶隔離。
[0021] 進一步地,接入交換機包括源接入交換機和目的端接入交換機;
[0022] 源接入交換機還用于,根據(jù)租戶報文的目的地址結(jié)合該租戶的VTN標識符,對租 戶報文封裝用于物理網(wǎng)絡(luò)路由的二層報文頭;根據(jù)封裝的二層報文頭發(fā)送租戶報文到目的 端接入交換機;
[0023] 目的端接入交換機,用于接收到租戶報文后,根據(jù)一層報文頭將租戶報文發(fā)送給 目的端虛擬機。
[0024] 進一步地,源接入交換機具體用于,
[0025] 讀取路由表,獲得租戶報文的目的端虛擬機的IP地址,根據(jù)租戶報文的目的端虛 擬機的IP地址查詢路由表目的端虛擬機所在目的接入交換機的路由地址;
[0026] 根據(jù)目的接入交換機的路由地址及所述VTN標識符,所述源接入交換機進行租戶 報文的物理網(wǎng)絡(luò)路由的二層報文頭的封裝;
[0027] 根據(jù)封裝的二層報文頭發(fā)送租戶報文到目的端接入交換機。
[0028] 進一步地,源接入交換機具體用于,
[0029] 讀取路由表,獲得租戶報文的目的端虛擬機的IP地址,根據(jù)租戶報文的目的端虛 擬機的IP地址查詢路由表目的端虛擬機所在目的接入交換機的路由地址;
[0030] 采用用戶數(shù)據(jù)包協(xié)議UDP在報文的一層報文頭外封裝用于物理網(wǎng)絡(luò)路由的包含 有目的接入交換機的路由地址的二層報文頭,所述二層報文頭包括通過目的接入交換機的 路由地址獲得的外層介質(zhì)訪問控制Outer MAC、外層網(wǎng)絡(luò)互連協(xié)議Outer IP和外層用戶數(shù) 據(jù)包協(xié)議Outer UDP及所述VTN標識符。
[0031] 與現(xiàn)有技術(shù)相比,本發(fā)明提供的技術(shù)方案包括:虛擬交換機為各物理主機上的各 虛擬機分配相應(yīng)的用于標識租戶報文的虛擬局域網(wǎng)標簽;接入交換機為各租戶分配相應(yīng)的 VTN標識符,根據(jù)分配的VTN標識符結(jié)合該租戶各虛擬機的虛擬局域網(wǎng)標簽,生成各租戶相 應(yīng)的虛擬網(wǎng)絡(luò),實現(xiàn)租戶隔離。本發(fā)明通過為虛擬交換機為各物理主機上的虛擬機分配虛 擬局域網(wǎng)標簽,通過接入交換機為各租戶分配相應(yīng)的VTN標識符,在實現(xiàn)租戶隔離的同時, 增加了云計算網(wǎng)絡(luò)中租戶虛擬機的規(guī)模,通過VTN標識符對各租戶的隔離,租戶可以對其 租用的虛擬機進行管理,在租戶進行調(diào)整時,由于VTN標識不變,不會對云平臺管理網(wǎng)絡(luò)的 管理造成影響。
【附圖說明】
[0032] 附圖用來提供對本發(fā)明技術(shù)方案的進一步理解,并且構(gòu)成說明書的一部分,與本 申請的實施例一起用于解釋本發(fā)明的技術(shù)方案,并不構(gòu)成對本發(fā)明技術(shù)方案的限制。
[0033] 圖1是云計算資源池的物理結(jié)構(gòu)示意圖;
[0034] 圖2是本發(fā)明租