一种网络系统的构建方法及装置与流程

本发明涉及云计算技术领域，更具体地说，涉及一种网络系统的构建方法及装置。

背景技术：

目前基于各个企业高校等机构规模的扩大，各机构所构建的网络系统也会随机构规模扩大的需求进行扩大或重组。

传统的网络系统的构建过程中多设有专有机房，并通过连接各类实体设备，如交换机、路由器、网关等设备，构建所需要的网络系统。在现有的网络系统的网络拓扑需要基于需求进行变化时，若采用现有的方式进行网络系统的重新构建或调整，一方面，可能会因网络系统的扩大，面临空间不够用，所需的设备多造成成本增加，以及设备间的连接部署繁杂等不利于快捷管理网络的问题。另一方面，随着计算机病毒的日益横行和黑客技术的不断提升，对于传统的网络系统的网络安全性能也提出了更高的要求。

因此，目前亟需一种提高网络安全性能，以及在网络拓扑变化时降低成本开销，提供便捷网络管理的网络系统及其构建方式。

技术实现要素：

有鉴于此，本申请提供了一种网络系统的构建方法及装置，以实现降低网络拓扑变化时的成本开销，提供便捷网络管理以及提高网络安全性能的目的。

为了实现上述目的，现提出的方案如下：

一种网络系统的构建方法，适用于云操作系统，该构建方法包括：

确定虚拟私有云VPC网络，每个所述VPC网络对应唯一的网段；

针对每个所述VPC网络，依据不同的业务需求在所述VPC网络中划分对应的VPC子网，每个所述VPC子网分配有相应地子网网段；

依据用户的服务需求，在所述VPC子网中创建对应的虚拟网络设备，并为所述虚拟网络设备配置对应服务需求的IP地址；

基于安全外壳SSH协议与路由设备建立连接，通过对所述路由设备的配置，建立每个所述VPC子网之间以及所述VPC子网与外部网络之间的通信连接。

优选的，所述确定虚拟私有云VPC网络，每个所述VPC网络对应唯一的网段，包括：

基于软件定义网络SDN的可扩展虚拟局域网VXLAN技术动态分配的虚拟局域网VLAN，设置每个所述VPC网络所对应的唯一的网段。

优选的，若所述用户的服务需求为需要提供外部网络访问，在所述VPC子网中创建对应的虚拟网络设备，并为所述虚拟网络设备配置对应服务需求的IP地址，包括：

在所述VPC子网中创建对应提供互联网访问服务的虚拟网络设备，并为所述虚拟网络设备配置外部网络IP地址；

相应地，若所述用户的服务需求为需要提供局域网内访问，在所述VPC子网中创建对应的虚拟网络设备，并为所述虚拟网络设备配置对应服务需求的IP地址，包括：

在所述VPC子网中创建对应提供局域网内访问服务的虚拟网络设备，并为所述虚拟网络设备配置局域网IP地址。

优选的，所述基于安全外壳SSH协议和相应路由设备的配置，建立每个所述VPC子网之间的通信连接，包括：

基于所述SSH协议，以及通过为所述VPC子网之间的所述路由设备配置静态路由，建立每个所述VPC子网之间的通信连接；

或者，基于所述SSH协议，以及基于动态主机配置协议设置所述VPC子网之间的所述路由设备，为每个所述VPC子网内的所述虚拟网络设备动态分配IP地址，建立每个所述VPC子网之间的通信连接；

相应地，基于所述SSH协议和相应路由设备的配置，建立所述VPC子网与外部网络之间的通信连接，包括：

基于所述SSH协议，建立所述路由设备与所述VPC子网之间的连接，通过为所述路由设备配置网络地址转换NAT，将外部网络的IP地址与所述路由设备的IP地址进行绑定，建立所述VPC子网与所述外部网络之间的通信连接。

优选的，对所述路由设备的配置包括：采用命令的方式对所述路由设备进行配置。

一种网络系统的构建装置，适用于云操作系统，所述构建装置包括：

确定单元，用于确定虚拟私有云VPC网络，每个所述VPC网络对应唯一的网段；

划分单元，用于针对每个所述VPC网络，依据不同的业务需求在所述VPC网络中划分对应的VPC子网，每个所述VPC子网分配有相应地子网网段；

创建单元，用于依据用户的服务需求，在所述VPC子网中创建对应的虚拟网络设备，并为所述虚拟网络设备配置对应服务需求的IP地址；

建立单元，用于基于安全外壳SSH协议与路由设备建立连接，通过对所述路由设备的配置，建立每个所述VPC子网之间以及所述VPC子网与外部网络之间的通信连接。

优选的，所述确定虚拟私有云VPC网络，每个所述VPC网络对应唯一的网段的确定单元，用于基于软件定义网络SDN的可扩展虚拟局域网VXLAN技术动态分配的虚拟局域网VLAN，设置每个所述VPC网络所对应的唯一的网段。

优选的，若所述用户的服务需求为需要提供外部网络访问，所述创建单元，用于在所述VPC子网中创建对应提供互联网访问服务的虚拟网络设备，并为所述虚拟网络设备配置外部网络IP地址。

优选的，若所述用户的服务需求为需要提供局域网内访问，所述创建单元，用于在所述VPC子网中创建对应提供局域网内访问服务的虚拟网络设备，并为所述虚拟网络设备配置局域网IP地址。

优选的，所述建立单元，包括：

子网通信建立模块，用于基于所述SSH协议，以及通过为所述VPC子网之间的所述路由设备配置静态路由，建立每个所述VPC子网之间的通信连接；或者，基于所述SSH协议，以及基于动态主机配置协议设置所述VPC子网之间的所述路由设备，为每个所述VPC子网内的所述虚拟网络设备动态分配IP地址，建立每个所述VPC子网之间的通信连接；

外网通信建立模块，用于基于所述SSH协议，建立所述路由设备与所述VPC子网之间的连接，通过为所述路由设备配置网络地址转换NAT，将外部网络的IP地址与所述路由设备的IP地址进行绑定，建立所述VPC子网与所述外部网络之间的通信连接。

经由上述技术方案可知，本申请公开一种网络系统的构建方法及装置，该网络系统的构建适用于云操作系统，该构建方法通过确定虚拟私有云VPC网络，为用户提供私有的网络环境，且通过为每个所述VPC网络分配唯一的网段，方便用户对VPC网络进行管理；以及针对每个所述VPC网络，依据不同的业务需求在所述VPC网络中划分对应的VPC子网，每个所述VPC子网分配有相应地子网网段，从而在VPC内部根据不同的需求划分VPC子网，在保证网络隔离提供网络安全的同时，使网络范围的划分更加科学和灵活，更利于进行网络部署和管理；依据用户的服务需求，在所述VPC子网中创建对应的虚拟网络设备，并为所述虚拟网络设备配置对应服务需求的IP地址；基于安全外壳SSH协议与路由设备建立连接，通过对所述路由设备的配置，建立每个所述VPC子网之间以及所述VPC子网与外部网络之间的通信连接。通过配置路由设备，实现VPC子网之间，以及VPC子网与外部网络之间的网络互通，不仅节省了带宽和外部网络的IP数量。通过采用在VPC子网内创建虚拟网络设备，不仅在网络拓扑变化时节省了物理网络设备所带来的成本支出。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例公开的一种网络系统的构建方法的流程示意图；

图2为本发明实施例公开的VPC网络之间的架构图；

图3为本发明实施例公开的虚拟路由器的架构图；

图4为本发明实施例公开的VPC网络连接外部网络的架构图；

图5为本发明实施例公开的VPC网络连接物理网络的架构图；

图6为本发明实施例公开的一种网络系统的构建装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

由背景技术可知，现有的网络系统的网络拓扑需要基于需求进行变化时，若采用现有的方式进行网络系统的重新构建或调整，一方面，可能会因网络系统的扩大，面临空间不够用，所需的设备多造成成本增加，以及设备间的连接部署繁杂等不利于快捷管理网络的问题。另一方面，随着计算机病毒的日益横行和黑客技术的不断提升，对于传统的网络系统的网络安全性能也提出了更高的要求。

本发明公开了一种网络系统的构建方法及装置，以实现降低网络拓扑变化时的成本开销，提供便捷网络管理以及提高网络安全性能的目的。该网络系统的构建方法及装置适用于云操作系统。该云操作系统基于云计算技术。云计算技术可以分为三大模块，包括计算、存储和网络。其中，计算涉及管理CPU、内存等计算资源方面；存储设置管理各类的存储设备和服务等方面；网络涉及管理数据中心中的网络设备，以及提供上网功能等方面。本发明所公开的网络系统的构建方法具体涉及虚拟私有云(virtual private cloud，VPC)。

VPC是一个公共云计算资源的动态配置池，需要使用加密协议、隧道协议和其他安全程序，在民营企业和云服务提供商之间传输数据。一个VPC基本上把提供商的多租户架构变成单租户架构。

本发明实施例公开的一种网络系统的构建方法，适用于云操作系统。如图1所示，为本发明实施例公开的一种网络系统的构建方法的流程示意图，该构建方法包括：

S101：确定VPC网络，且每个VPC网络对应唯一的网段。

在S101中，通过确定VPC网络，为用户提供私有的网络环境。并为确定的每个VPC网络分配不同的网段和虚拟局域网(Virtual Local Area Network，VLAN)池。

VLAN是一组逻辑上的设备和用户，且设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素进行组织。与传统的局域网技术相比较，基于VLAN构建的网络系统能够减少网络设备在移动、添加和修改的管理开销，还可以提高网络系统的安全性。

在本发明实施例中，每个VPC具有唯一对应的网段和VLAN池。

在具体确定虚拟私有云VPC网络以及各自对应的唯一的网段的过程中，可以基于软件定义网络(Software Defined Network，SDN)的可扩展虚拟局域网(Virtual eXtensible LAN，VXLAN)技术动态分配的VLAN，设置每个VPC网络所对应的唯一的网段。实际上是设置VPC网络对应的网段的IP地址。

在本发明实施例中S101所确定的VPC网络的数量由用户的需求确定，并不限定具体的数量。

可选的，若确定多个VPC网络，则可以通过设置每个VPC的网络，使用VLAN或者VXLAN结合VPC网络对应的网段，在三层(网络层)对VPC网络进行隔离，保证VPC网络之间的隔离性。

如图2所示，为VPC之间的网络拓扑图。确定VPC1网络和VPC2网络，VPC1网络对应的网段的IP地址为192.168.1.0，对应的VLAN池为100；VPC2网络对应的网段的IP地址为192.168.2.0，对应的VLAN池为101。

S102：针对每个VPC网络，依据不同的业务需求在VPC网络中划分对应的VPC子网，每个VPC子网分配有相应地子网网段。

在本发明实施例中，在确定VPC网络之后，针对每个VPC网络可以根据用户的不同业务需求在VPC网络内部划分子网，使划分得到的VPC子网用于不同的业务需求。

如图2所示，VPC1网络中划分了两个VPC子网：VPC子网11和VPC子网12；VPC2网络中也划分了两个VPC子网：VPC子网21和VPC子网22。

可选的，同一VPC网络内的VPC子网之间可以互通，也可以隔离。基于此，通过本发明实施例公开的网络系统的构建方法所构建的网络系统，可以更加科学合理的分配网络资源，网关也可以根据业务需求划分网络范围和部署相应的服务。

如图2所示，VPC1网络和VPC2网络之间的互通，通过配置各自的虚拟路由器Router以及防火墙(Firewall)实现。

S103：依据用户的服务需求，在所述VPC子网中创建对应的虚拟网络设备，并为所述虚拟网络设备配置对应服务需求的IP地址。

在VPC子网内部，可以创建对应的虚拟网络设备，具体可以为虚拟机。且具体数量在本发明实施例中并不做限定。如图2所示，VPC子网11、VPC子网12、VPC子网13和VPC子网14中均创建有虚拟机。

在VPC网络中，可以通过设置虚拟路由器实现不同VPC子网之间的互通。可选的，该虚拟路由器可以设置路由规则、配置网络地址转换(Network Address Translation，NAT)(包括SNAT和DNAT)、配置动态主机配置协议(Dynamic Host Configuration Protocol，DHCP)等服务。

如图3所示，为涉及虚拟路由器的架构图，其中，VPC1网络对应的网段的IP地址为192.168.1.0，对应的VLAN池为100；VPC2网络对应的网段的IP地址为192.168.2.0，对应的VLAN池为101。

与VPC1网络建立连接的虚拟路由器所绑定的公网的IP地址(网关地址)为192.168.1.1；与VPC2网络建立连接的虚拟路由器所绑定的公网的IP地址(网关地址)为192.168.2.1。

VPC1网络内划分为的VPC11子网络对应的子网网段的IP地址为192.168.1.10，VPC12子网络对应的子网网段的IP地址为192.168.1.11，VPC13子网络对应的子网网段的IP地址为192.168.1.12。

VPC2网络内划分为的VPC21子网络对应的子网网段的IP地址为192.168.2.10，VPC22子网络对应的子网网段的IP地址为192.168.2.11，VPC23子网络对应的子网网段的IP地址为192.168.2.12。

在执行S103的过程中，若所述用户的服务需求为需要提供外部网络访问，在VPC子网中创建对应提供互联网访问服务的虚拟网络设备，并为虚拟网络设备配置外部网络IP地址。

若用户的服务需求为需要提供局域网内访问，在VPC子网中创建对应提供局域网内访问服务的虚拟网络设备，并为虚拟网络设备配置局域网IP地址。

可选的，VPC子网之间可以互相隔离，从而可以在VPC网络内运行企业Web服务。

可选的，在执行企业Web服务的过程中，对于一个包含Web程序和敏感数据(数据库或者FTP文件库)的应用来说，需要为前端的Web程序提供互联网或者局域网访问，需要为后端交互的敏感数据提供安全访问，即需要通过局域网访问。根据不同的服务需求，可以将该Web程序所在的虚拟机放置在一个配置有互联网/公网IP地址可以访问的VPC子网内，而敏感数据则所在的虚拟机放置于配置有局域网IP可以访问的另一个VPC子网内，从而保证数据的安全性。

S104：基于安全外壳(Secure Shell，SSH)协议与路由设备建立连接，通过对所述路由设备的配置，建立每个所述VPC子网之间以及所述VPC子网与外部网络之间的通信连接。

在S104中，基于SSH协议和相应路由设备的配置，建立每个所述VPC子网之间的通信连接的过程包括：

基于SSH协议，以及通过为VPC子网之间的路由设备配置静态路由，建立每个VPC子网之间的通信连接。

或者，基于SSH协议，以及基于DHCP设置VPC子网之间的路由设备，为每个VPC子网内的所述虚拟网络设备动态分配IP地址，建立每个VPC子网之间的通信连接。

在S104中，基于SSH协议和相应路由设备的配置，建立VPC子网与外部网络之间的通信连接的过程包括：

基于SSH协议，建立路由设备与VPC子网之间的连接，通过为路由设备配置NAT，将外部网络的IP地址与路由设备的IP地址进行绑定，建立VPC子网与所述外部网络之间的通信连接。

具体的，在本发明实施例中，将公网IP地址与路由设备Router进行绑定，并通过为路由设备配置NAT，将外部网络的IP地址与路由设备的IP地址进行绑定，建立VPC子网与所述外部网络之间的通信连接。如图4所示，将公网IP地址IP1通过为路由设备Router配置SNAT，使VPC子网1与IP地址为IP1的外部网络建立通信连接。图4中的Gateway为网关。

可选的，在通过SSH协议与路由器设备建立连接，可以采用命令的方式对路由设备进行配置。

可选的，本发明实施例中所涉及的路由设备可以为为虚拟路由器或者软件路由设备。

如图5所示，基于上述本发明实施例公开的网络系统的构建方法，划分有VPC子网的VPC网络51通过路由设备52，可以与物理网络53建立网络拓扑关系。

本发明实施例所公开的网络系统的构建方法通过确定虚拟私有云VPC网络，为用户提供私有的网络环境，且通过为每个VPC网络分配唯一的网段，方便用户对VPC网络进行管理；以及针对每个VPC网络，依据不同的业务需求在VPC网络中划分对应的VPC子网，每个VPC子网分配有相应地子网网段，从而在VPC内部根据不同的需求划分VPC子网，在保证网络隔离提供网络安全的同时，使网络范围的划分更加科学和灵活，更利于进行网络部署和管理；依据用户的服务需求，在VPC子网中创建对应的虚拟网络设备，并为虚拟网络设备配置对应服务需求的IP地址；基于安全外壳SSH协议与路由设备建立连接，通过对路由设备的配置，建立每个VPC子网之间以及VPC子网与外部网络之间的通信连接。通过配置路由设备，实现VPC子网之间，以及VPC子网与外部网络之间的网络互通，不仅节省了带宽和外部网络的IP数量。通过采用在VPC子网内创建虚拟网络设备，不仅在网络拓扑变化时节省了物理网络设备所带来的成本支出。

基于上述本发明实施例公开的一种网络系统的构建方法，本发明实施例还公开了一种网络系统的构建装置，适用于云操作系统。如图6所示，为本发明实施例公开的一种网络系统的构建装置的结构示意图，该构建装置60包括：

确定单元61，用于确定VPC网络，每个VPC网络对应唯一的网段。

该确定单元61具体用于基于SDN的VXLAN技术动态分配的VLAN，设置每个VPC网络所对应的唯一的网段。

划分单元62，用于针对每个VPC网络，依据不同的业务需求在VPC网络中划分对应的VPC子网，每个VPC子网分配有相应地子网网段。

创建单元63，用于依据用户的服务需求，在VPC子网中创建对应的虚拟网络设备，并为虚拟网络设备配置对应服务需求的IP地址。

若用户的服务需求为需要提供外部网络访问，该创建单元53，用于在VPC子网中创建对应提供互联网访问服务的虚拟网络设备，并为虚拟网络设备配置外部网络IP地址。

若用户的服务需求为需要提供局域网内访问，该创建单元53，用于在VPC子网中创建对应提供局域网内访问服务的虚拟网络设备，并为虚拟网络设备配置局域网IP地址。

建立单元64，用于基于SSH协议与路由设备建立连接，通过对路由设备的配置，建立每个VPC子网之间以及VPC子网与外部网络之间的通信连接。

该建立单元64，具体包括：

子网通信建立模块641，用于基于SSH协议，以及通过为VPC子网之间的路由设备配置静态路由，建立每个VPC子网之间的通信连接；或者，基于SSH协议，以及基于动态主机配置协议设置VPC子网之间的路由设备，为每个VPC子网内的虚拟网络设备动态分配IP地址，建立每个VPC子网之间的通信连接。

外网通信建立模块642，用于基于SSH协议，建立路由设备与VPC子网之间的连接，通过为路由设备配置网络地址转换NAT，将外部网络的IP地址与路由设备的IP地址进行绑定，建立VPC子网与外部网络之间的通信连接。

上述本发明实施例中所公开的网络系统的构建装置中的各个单元和模块具体的执行原理和操作方式，可参见上述本发明实施例中公开的网络系统的构建方法的相应的部分，这里不再赘述。

由上述可知，本发明实施例通过公开的一种适用于云操作系统的网络系统的构建方法及装置，确定VPC网络，为每个VPC网络分配唯一的网段；及针对每个VPC网络，依据不同的业务需求在VPC网络中划分对应的VPC子网，且每个VPC子网分配相应子网网段；依据用户的服务需求，在VPC子网中创建对应的虚拟网络设备，并为虚拟网络设备配置对应服务需求的IP地址；基于SSH协议与路由设备建立连接，通过对路由设备的配置，建立每个VPC子网之间以及VPC子网与外部网络之间的通信连接。从而基于VPC网络及VPC子网内创建虚拟网络设备，实现在网络拓扑变化时节省物理网络设备所带来的成本支出，以及提供便捷网络管理和提高网络安全性能的目的。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。