一种支持多级隔离的虚拟网络管理方法

一种支持多级隔离的虚拟网络管理方法【专利摘要】本发明涉及云计算【
技术领域：
】，特别是指一种支持多级隔离的虚拟网络管理方法。本发明首先在物理交换机上划分VLAN，每台宿主机上配置两块网卡分别连接到内网和外网，并将内网网卡全部设置成可通过上述VLAN的trunk模式；然后在所有宿主机的内网网卡上设置VLAN，为每个VLAN创建一个网桥；在部署一个应用时，为该应用创建一个新的虚拟网络空间，并创建与VLAN网桥连接的一个网桥，同时启动一个DHCP服务；然后把运行应用的虚拟机的虚拟网卡桥接到一个新的VLAN对应的网桥上。本发明解决了因虚拟机重启而导致的应用数据丢失问题；可以用于虚拟网络管理上。【专利说明】一种支持多级隔离的虚拟网络管理方法【
技术领域：
】[0001]本发明涉及云计算【
技术领域：
】，特别是指一种支持多级隔离的虚拟网络管理方法。【
背景技术：
】[0002]在典型的应用程序体系结构中，C/S二层架构和B/S三层架构是最常用的。C/S二层架构的服务端一般又分为应用服务器和数据库服务器，其中只有应用服务器需要与外界通信；而8/5三层架构中也只有表现层的服务器需要与外界通信。在这种情况下，需要对应用的服务器进行隔离，以免其他服务器暴露在外网环境下有安全威胁。在传统的物理服务器环境下是通过调整物理网络的部署来实现上述所需的隔离。主要通过把不同的应用划分到不同的VLAN下，同时为需要与外网通信的服务器配置独立的面向外网的网卡，其他服务器只配置内网网卡来实现隔离的。[0003]而在云计算中，以虚拟机为应用运行载体的环境中不可能调整物理网络；主要是通过网络模式的配置来实现隔离，而在NAT模式和桥接模式两种网络模式下，存在以下弊端:[0004]一是隔离粒度比较粗，应用之间的隔离依赖于VLAN，但在应用之间需要通信时，只能开放VLAN之间的访问权限，使得隔离作用被削弱。[0005]二是内外网之间的切换困难，在需要暂时封闭虚拟机的外网通信时，需要移除虚拟机的外网网卡并重启虚拟机，增加了正在运行的业务数据丢失的风险。[0006]为了有效全面地实现云计算平台的虚拟机网络隔离，需要一种灵活应对不同粒度、且内外网切换简便的隔离方法。【
发明内容】[0007]本发明解决的技术问题是提供一种可应对不同粒度、且内外网切换简便的虚拟网络管理方法，解决虚拟网络隔离不全面、粒度较粗、需要重启虚拟机的问题。[0008]本发明解决上述技术问题的技术方案是:[0009]所述的方法包括如下步骤:[0010]步骤1:在物理交换机上划分VLAN，每台宿主机上配置两块网卡分别连接到内网和外网，并把内网网卡全部设置成可以通过上述VLAN的trunk模式；[0011]步骤2:在所有宿主机的内网网卡上设置VLAN，为每个VLAN创建一个网桥；[0012]步骤3:在部署应用时，为此应用创建一个新的虚拟网络空间；在该虚拟机网络空间内创建一个网桥，把这个网桥与VLAN的网桥进行连接，并在该虚拟网络空间上启动一个DHCP服务；[0013]步骤4:把运行应用的虚拟机的虚拟网卡桥接到一个新的VLAN对应的网桥上；[0014]步骤5:若运行应用的某台虚拟机需要连接外网，则在应用对应的虚拟网络空间内通过NAT模式把虚拟机的内网IP映射到一个外网IP；[0015]步骤6:如果应用之间的虚拟机间需要通信，那么通过设置虚拟网络空间之间的访问权限来控制。[0016]所述的VLAN(VirtualLocalAreaNetwork)即虚拟局域网，工作在OSI参考模型的第2层和第3层，本质是在虚拟的路由器的接口下创建的一个网段；VLAN技术可使管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性，有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。[0017]所述的DHCP服务是指使用DHCP(DynamicHostConfigurat1nProtocol)动态主机配置协议给内部网络或网络服务供应商自动分配IP地址；[0018]所述的桥接模式是指一种虚拟机的网络模式；在桥接模式下虚拟机的网络与物理服务器的网络是对等的，虚拟机通过VLAN进行应用间的隔离，有与外网通信需求的虚拟机需要在其物理服务器上配置一张内网网卡和一张外网网卡，同时在虚拟机上配置两张虚拟网卡，其中一张桥接到内网网卡，另外一张桥接到外网网卡；[0019]所述的NAT模式是指另一种虚拟的网络模式；在NAT模式下的虚拟机默认都不连通外网，需要把虚拟机的端口映射到物理服务器的端口，再用物理服务器的地址进行通信，这种情况下物理服务器就需要直接与外网通信，一旦受到攻击就会威胁到此物理服务器下其他虚拟机的安全。[0020]所述的OSI(OpenSystemInterconnect)参考模型，即ISO开放系统互连参考模型，是IS0(国际标准化组织)组织在1985年研宄的网络互联模型。该体系结构标准定义了网络互连的七层框架:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。[0021]本发明通过为应用创建虚拟机网络空间，并在此空间内进行NAT模式和桥接模式两种网络模式的配置来实现多级隔离，包括粗粒度的应用之间隔离和细粒度的虚拟机之间隔离，并通过修改NAT规则即可实现内外网切换，彻底解决因虚拟机重启而导致的应用数据丢失问题。【专利附图】【附图说明】[0022]下面结合附图对本发明进一步说明:[0023]图1是本发明方法流程图。【具体实施方式】[0024]见图1所示，假设ethO连接外网且桥接到br0，ethl连接内网，需要在宿主机上面创建vlanll和vlanl2，要求vlanll和vlanl2内的虚拟机之间三层网络隔离，且虚拟机可以进行NAT转换实现上外网。[0025]这里只描述vlanll的操作步骤，vlanl2步骤一样。[0026]步骤1:在开始操作前必须升级iproute，使ip工具支持netns:[0027]#wget[0028]https://repos.fedorapeople.0rg/repos/openstack/openstack-1cehouse/epel-6/iproute-2.6.32-130.el6ost.netns.2.x86_64.rpm[0029]#rpm-1vhiproute-2.6.32-130.el6ost.netns.2.x86_64.rpm[0030]步骤2:若升级成功，则进行验证:[0031]ipnetnsadddhcp-xm[0032]ipnetnslist[0033]步骤3:设置vlan:[0034]vconfigaddethl11[0035]ifconfigethl.11up[0036]brctladdbreucabrll[0037]brctladdifeucabrllethl.11[0038]ifconfigeucabrllup[0039]步骤4:创建虚拟网络空间:[0040]ipnetnsadddhcp-11[0041]iplinkaddqvb_ll_linktypevethpeernameqvo-ll-link[0042]ifconfigqvb-ll-linkup[0043]ifconfigqvo-ll-linkup[0044]brctladdifeucabrllqvb-ll-link[0045]iplinksetqvo-ll-linknetnsdhcp-11[0046]步骤5:启动虚拟网络空间dhcp服务:[0047]ipnetnsexecdhcp-11ipaddradd10.251.11.1/24devqvo-ll-link[0048]ipnetnsexecdhcp-11ifconfigqvo-ll-linkpromiseup[0049]启动dhcp服务，命令如下:[0050]ipnetnsexecdhcp-11/usr/sbin/dnsmasq—strict-order[0051]—bind-1nterfaces—conf-file=—domain=local[0052]—pid-file=/opt/xm/test.pid—listen-address=10.251.11.1—interfaceqvo-ll-link—except-1nterface=1[0053]—dhcp-range=10.251.11.1,static，120s—dhcp-lease-max=256[0054]—dhcp-hostsfile=/opt/xm/network,conf[0055]—dhcp-script=/opt/xm/update2db.py—leasefile-ro[0056]步骤6:虚拟机桥接到eucabrll启动；[0057]步骤7:nat转换实现虚拟机上外网；[0058]将外网ip(20.251.32.233)与内网ip(10.251.11.33)进行转换:[0059]iplinkaddbr0_ll_pretypevethpeernamebrO-ll-link[0060]ifconfigbr0-ll-preup[0061]ifconfigbr0-l1-1inkup[0062]brctladdifbrObr0-ll-pre[0063]iplinksetbrO-ll-linknetnsdhcp-11[0064]ipnetnsexecdhcp-11ipaddradd20.251.32.233/22devbrO-ll-link[0065]ipnetnsexecdhcp-11ifconfigbrO-ll-linkpromiseup[0066]ipnetnsexecdhcp-11routeadddefaultgw20.251.35.254//添加默认路由[0067]ipnetnsexecdhcp-11iptables-APREROUTING-tnat_d20.251.32.233-jDNAT—to10.251.11.33[0068]ipnetnsexecdhcp-11iptables—APOSTROUTING-tnat-,SNAT-slO.251.11.33—to20.251.32.233。【权利要求】1.一种支持多级隔离的虚拟网络管理方法，其特征在于:所述的方法包括如下步骤:步骤1:在物理交换机上划分每台宿主机上配置两块网卡分别连接到内网和外网，并把内网网卡全部设置成可以通过上述礼处^的廿11成模式；不骤2:在所有宿主机的内网网卡上设置为每个创建一个网桥；步骤3:在部署应用时，为此应用创建一个新的虚拟网络空间；在该虚拟机网络空间内创建一个网桥，把这个网桥与的网桥进行连接，并在该虚拟网络空间上启动一个0讯:？服务；步骤4:把运行应用的虚拟机的虚拟网卡桥接到一个新的对应的网桥上；步骤5:若运行应用的某台虚拟机需要连接外网，则在应用对应的虚拟网络空间内通过嫩I模式把虚拟机的内网I？映射到一个外网I？；步骤6:如果应用之间的虚拟机间需要通信，那么通过设置虚拟网络空间之间的访问权限来控制。2.根据权利要求1所述的虚拟网络管理方法，其特征在于:所述的即虚拟局域网~1代皿1100^1^1-68他切01*10，工作在031参考模型的第2层和第3层，是在虚拟的路由器的接口下创建的一个网段；所述的腿⑶服务是指使用腿⑶(0711511111。1^081:0011？18111~81:10119^01:0(301)动态主机配置协议给内部网络或网络服务供应商自动分配I？地址；所述的桥接模式和嫩！'模式是虚拟机的网络模式。3.根据权利要求2所述的虚拟网络管理方法，其特征在于:所述的031(01)6^1七咖I！！七61X0皿一巧)参考模型，即130开放系统互连参考模型，是130(国际标准化组织)组织在1985年研宄的网络互联模型。【文档编号】H04L12/46GK104506403SQ201410738340【公开日】2015年4月8日申请日期:2014年12月5日优先权日:2014年12月5日【发明者】汤碧君,杨松,莫展鹏,季统凯申请人:国云科技股份有限公司