一种裸金属服务器和虚拟化网络互联的方法和装置与流程

1.本发明涉及网络通信技术领域，具体涉及一种裸金属服务器和虚拟化网络互联的方法和装置。


背景技术：

2.bms(裸金属服务器)是一种真实的物理服务器，将裸金属服务器加入到云平台资源池后，这些物理服务器可以像虚拟机一样被云平台管理，同时用户可以像使用虚拟机一样申请、部署和使用。
3.在云平台资源池中裸金属服务器因具有独立的cpu、内存等运算资源，相比较普通虚拟机而言具有明显的性能优势，特别适合运行数据库类等对应用计算响应要求较高的软件。
4.裸金属服务器物理安全隔离、可以再次虚拟化、支持异构、支持容器、高稳定性和高可控性，使得云平台在共享资源的同时也能够兼顾一些对安全保障要求较高的应用场景。
5.虽然裸金属服务器有诸多的产品优势，但是因为裸金属服务器独立于虚拟化操作系统之外，使得大部分的虚拟化平台都无法支持对裸金属服务器的接入和管理。
6.一方面很多有高性能高安全要求的计算任务都需要安装在独立的裸金属服务器上（如：数据库、图像计算等），另一方面虚拟机和裸金属之间网络无法互通导致计算资源无法正常使用。
7.为了解决裸金属设备和虚拟化网络之间的互联问题，业界通用解决方案是在裸金属设备和虚拟化网络之间部署一个可编程物理设备作为接入网关，或者在虚拟化网络和裸金属设备之间使用sdn桥接。但是这两种方式都存在一些不足。
8.第一种方式，虚拟化网络和裸金属服务器网络之间通过可编程网络设备（下文称之为网络交换设备）进行桥接互联，虚拟化网络负责连通云平台中的所有虚拟化云实例，裸金属网络负责连通云平台中所有裸金属服务器。当虚拟化主机需要和裸金属实例通讯时，虚拟机根据虚拟化网络中预先配置的网络路由信息将报文转发给网关设备，进一步地，网关设备根据裸金属网络的下一跳路径信息将报文转发到裸金属网络中，进而实现虚拟机实例和裸金属实例之间的互联。采用此种方式的缺点是：1）网络交换设备属于硬件资源，可扩展性较差；2）每个厂家生产的交换机实现方法、指令不完全相同，且不同厂家使用各自的控制器进行管理，设备之间兼容性较差；3）所有跨网络的流量都需要通过网关代理转发，这种集中式的转发方式使得网络交换设备可能会存在资源抢占的风险，特别是当多个虚拟机同时需要和裸金属设备通讯时，资源的竞争最终可能会导致网关设备无法正常对外提供服务；4）裸金属物理机网络和云主机网络相互隔离，使得云管理平台无法像调度云主机一样灵活的管理裸金属设备。
9.第二种方式，虚拟化网络和裸金属服务器网络之间通过软件定义网络（下文称之为sdn）进行互联。使用一台物理服务器作为sdn部署环境，该物理服务器与虚拟化网络之间
使用二层交换机互联。sdn软件包括三个虚拟交换机，其中第一虚拟交换机与裸金属服务器之间通过vlan互联，第三虚拟交换机与虚拟化网络之间通过vxlan互联，第二虚拟交换机负责完成第一虚拟机对应vlan和第三虚拟机vxlan之间的报文转发。采用此种方式的缺点是：sdn和虚拟化网络之间采用自定义协议互联，为保证网络的互联需要对原有虚拟化网络进行升级改造，网络兼容性较差。另外sdn会增加业务报文的转发次数，进而导致裸金属网络服务质量下降。


技术实现要素：

10.为了克服现有技术的不足，本发明提出了一种通过mac地址转换的方法来实现裸金属网络和虚拟化网络之间互联的方法和装置，可以实现在保证原有虚拟化网络不变的情况下，实现裸金属服务器安全可靠的接入。
11.本发明的第一个方面提供了一种裸金属服务器和虚拟化网络互联的方法，应用于云计算网络，包括如下步骤：云管控平台登记所有待分配的裸金属实例网络通讯接口mac地址，为每一个mac地址分配一个可以与虚拟化网络通讯的虚拟id，并建立mac地址与虚拟id之间的映射关系；部署裸金属网关，将所述裸金属网关网络接口分组为第一网络接口组和第二网络接口组，所述第一网络接口组用于裸金属网关与虚拟化网络之间实现网络二层互联，第二网络接口组用于裸金属网关与裸金属网络之间实现网络二层互联；当裸金属实例创建时，云管控平台将所述映射关系下发到裸金属网关，所述裸金属网关初始化裸金属实例，基于所述映射关系建立网络转发表项；基于现有的二层网络通信协议，裸金属网关将监听到的来自第二网络接口组的mac地址基于网络转发表项转换为虚拟id，并通过第一网络接口组发送到虚拟化网络中的对应虚拟主机；或者将监听到的来及第一接口组的虚拟id基于网络转发表项转换为目的mac地址，并通过第二接口组发送到对应裸金属服务器。
12.进一步的，该方法还包括：当对裸金属网络集群扩缩容时，或者裸金属服务器的上线、下线或维修时，云管控平台更新裸金属服务器网络通讯接口mac地址和虚拟id之间的映射关系。
13.进一步的，裸金属网关将监听到的来自第二网络接口组的mac地址基于网络转发表项转换为虚拟id，并通过第一网络接口组发送到虚拟化网络中的对应虚拟主机包括：裸金属网关监听第二网络接口组，接收并解析来自裸金属网络的报文，所述报文由裸金属实例通过二层互联网络或者隧道网络发送给裸金属网关；裸金属网关基于解析得到的报文源mac地址，根据映射关系获得用于虚拟化网络通讯的虚拟id；裸金属网关基于获取的虚拟id，修改网络通讯标识符为该虚拟id，并通过第一网络接口组转发给目标虚拟机。
14.进一步的，裸金属网关将监听到的来自第一接口组的虚拟id基于网络转发表项转换为目的mac地址，并通过第二接口组发送到对应裸金属服务器包括：裸金属网关中监听第一网络接口组，接收并解析来自虚拟化网络的报文，所述报文由虚拟机通过二层互联网络或者隧道网络发送给裸金属网关；
裸金属网关基于解析得到的虚拟id，根据映射关系获得裸金属实例的真实通讯mac地址；裸金属网关基于获取的裸金属实例的真实mac地址，将报文的目的mac地址修改为该mac值，并通过与裸金属网络第二网络接口组转发给目标裸金属实例。
15.进一步的，所述的虚拟id包括mac地址、ip地址或其它用于标识网络报文转发路径的标识符。
16.本发明的第二个方面提供了一种裸金属服务器和虚拟化网络互联的装置，包括：云管控平台，用于登记所有待分配的裸金属实例网络通讯接口mac地址，为每一个mac地址分配一个可以与虚拟化网络通讯的虚拟id，并建立mac地址与虚拟id之间的映射关系；裸金属网关，所述裸金属网关为包括至少两个网络接口的物理服务器，所述网络接口分组为第一网络接口组和第二网络接口组，所述第一网络接口组用于裸金属网关与虚拟化网络之间实现网络二层互联，第二网络接口组用于裸金属网关与裸金属网络之间实现网络二层互联。
17.配置于所述裸金属网关上的mac地址转换模块，所述mac地址转换模块用于维护第二网络接口组通信mac地址池和第一网络接口组虚拟化网络id池，以及基于所述映射关系建立通信mac地址池与虚拟化网络id池之间的网络转发表项，实现mac地址与虚拟化网络id之间的映射转换；以及配置于所述裸金属网关上的网络辅助模块，用于实现裸金属网关与虚拟化网络之间的二层互联，以及裸金属网关和裸金属网络之间的二层互联，通过二层网络接收来自裸金属网络或虚拟化网络的报文，或者通过二层网络将报文数据发送到虚拟化网络或裸金属网络。
18.进一步的，所述云管控平台还用于裸金属实例的创建、使用和销毁，以及当对裸金属网络集群扩缩容时，或者裸金属服务器的上线、下线或维修时，更新裸金属服务器网络通讯接口mac地址和虚拟id之间的映射关系。
19.进一步的，所述裸金属网关在网络上节点上安装的操作系统为linux，第一网络接口组的工作模式为access，第二网络接口组的工作模式为trunk。
20.进一步的，部署在裸金属网关和虚拟化网络二层互联的方式包括物理服务器之间通过网络交换设备互联实现，或者网络辅助程序和虚拟化网络之间通过网络隧道技术实现；裸金属网关和裸金属设备之间二层互联的方式包括交换机直接互联实现，或者通过多层级的二层网络转发实现。
21.进一步的，互联完成后裸金属网关和裸金属设备在一个局域网内，且该局域网内所有裸金属实例之间网络隔离。
22.本发明的有益效果如下：1）通过本发明的方法和装置，裸金属服务器可以像虚拟机资源一样被云平台管理调度，在满足用户对高性能服务需求的同时，使得云平台虚拟化能力更全面，支持的应用场景更加完善。
23.2）采用本发明的方法和装置，云平台不仅可以虚拟化传统服务器，也可以支持对使用独立mac地址通讯的其他互联网组件（网卡、单片机等）进行虚拟化。
24.3）采用本发明的方法和装置，裸金属服务器支持多节点分布式部署，具有良好的网络扩展性。
25.4）采用本发明的方法和装置，裸金属集群网络和虚拟化网络之间物理隔离，从源头上减少了业务网络之间的相互影响，具有更好的安全隔离性。
26.5）采用本发明的方法和装置，裸金属集群可以独立于虚拟化网络部署，能够更好的适应一些复杂的网络拓扑结构。
27.6）采用本发明的方法和装置，裸金属集群部署实施过程不需要对原有虚拟化网络进行深度改造订制，具有更强的跨云平台适应能力。
附图说明
28.图1为本发明的示出性实施例中物理资源分配示意图。
29.图2为本发明的示出性实施例中系统架构示意图。
30.图3为本发明的示出性实施例中数据执行流程示意图。
具体实施方式
31.为了进一步理解本发明，下面结合实施例对本发明优选实施方案进行描述，但是应当理解，这些描述只是为进一步说明本发明的特征和优点，而不是对本发明权利要求的限制。
32.下面首先对本发明技术方案涉及的若干名词进行说明。
33.裸金属服务器(bare metal server，bms)：云计算中为租户提供专属的物理服务器，拥有卓越的计算性能，能够同时满足核心应用场景对高性能及稳定性的需求。裸金属服务器是一款兼具虚拟机弹性和物理机性能的计算类服务，为企业提供专属的云上物理服务器，为核心数据库、关键应用系统、高性能计算、大数据等业务提供卓越的计算性能以及数据安全。租户可灵活申请，按需使用。
34.vpc（virtual private cloud）：是公有云上自定义的逻辑隔离网络空间，是一块可自定义的网络空间。
35.gw（gateway）：指网关，在网络拓扑中用来做协议转换和网络接入的节点。
36.sdn（software defined network）：软件定义网络，网络虚拟化的一种实现方式。通过将网络设备的控制面与数据面分离开来，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能。
37.mac地址（media access control address）：一种网络标识符，用来表示网络中的每个设备。
38.vlan（virtual local area network）：虚拟局域网，是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素组织起来，使得他们之间的通信好像在同一个网段中一样，因此得名虚拟局域网。
39.vxlan：一种网络虚拟化计数，可以改进大型云计算在部署时的扩展问题，是对vlan的一种扩展。
40.本发明实施例提供了一种基于mac地址转换的裸金属服务器和虚拟化网络互联的方法和装置，以实现裸金属服务器和虚拟化网络之间的互联。
41.在本发明一个示出性实施例中，裸金属网关装置上部署网络通讯模块和mac地址转换模块，该装置与虚拟机实例通过虚拟化网络互联，与裸金属服务器通过二层交换机互联，各裸金属服务器之间通过二层端口隔离技术实现网络隔离。当裸金属实例需要将报文发送给虚拟机时，裸金属服务器将报文目的mac地址设置为虚拟机mac地址，源mac为裸金属实例通讯网卡mac地址，报文经由裸金属网关代理，mac地址将被转换成虚拟化网络可达的通讯id，进而通过虚拟化网络转发达到指定虚拟机；当虚拟机实例需要将报文发送给裸金属服务器时，虚拟机使用虚拟化网络通讯id将报文发送给裸金属网关，进一步地，裸金属网关根据id查询得到mac地址，并替换报文的mac，进而将报文通过二层网络发送给裸金属实例。
42.为了实现本发明的方案，如图1所示，本示出性实施例中涉及到的物理资源包括：云管控平台、二层交换机、虚拟化宿主机、物理服务器x型，物理服务器y型。其中云管控平台负责裸金属实例的创建、使用、销毁等指令触发操作；二层交换机用于网络拓扑构建，与交换机互联的网络设备间通过二层交换机的转发可以自己构建成二层互联网络；虚拟化宿主机用于部署虚拟化服务软件，多个虚拟化宿主机之间通过二层交换机互联可以形成一个虚拟化网络；物理服务器x型，用于部署裸金属网络，该类型服务器支持运行linux操作系统，且至少配置有2个及以上的网络通讯接口；物理服务器y型，作为裸金属实例对象部署（本发明中涉及到物理服务器y型的对象，不仅局限于可以安装操作系统的传统服务器，也涵盖包括可使用独立mac地址通讯的其他互联网组件，如：单片机、网络接口、转发设备等）。
43.为了实现本发明的方案，如图2所示，本示出性实施例中组网单元包括：宿主机1、裸金属网关x1、二层交换机1、裸金属服务器y1、裸金属服务器y2、二层交换机2。依据系统架构图，宿主机1和裸金属网关x1通过二层交换机1互联，裸金属网关x1、裸金属服务器y1和裸金属服务器y2通过二层交换机2互联。进一步地，宿主机1和裸金属网关x1通过接口e1实现二层互联，裸金属服务器y1、裸金属服务器y2和裸金属网关x1通过接口e2实现二层互联。进一步地宿主机1和裸金属网关x1在一个局域网内，裸金属实例y1、裸金属实例y2和裸金属网关x1在一个局域网内。
44.本示出性实施例中，在部署裸金属服务器时，借助二层交换机2中的端口隔离技术，裸金属实例y1和裸金属实例y2之间二层隔离。
45.为了实现本发明的方案，如图2所示，本示出性实施例中的网络通讯组件包含：虚拟机a、虚拟机b、网络辅助模块、mac地址转换模块、裸金属实例c、裸金属实例b。
46.依据图2所示的系统架构图：虚拟机a和虚拟机b归属于宿主机1，它们由安装在宿主机1上的虚拟化软件创建，由云管控平台管理调度；网络辅助模块和mac地址转换模块部署在裸金属网关x1上，它们通过软件工程编码实现，网络辅助模块负责监听裸金属网关x1上的e1网口和e2网口，并完成网络数据报文的接收和发送，mac地址转换模块负责裸金属实例y1和裸金属实例y2网络通讯mac地址和虚拟化网络通讯id（即虚拟id）之间的关系。裸金属实例y1和裸金属实例y2是两个具有独立mac地址通讯的网络组件。进一步地，虚拟机a和虚拟机b之间可以使用虚拟化网络id实现网络通讯，裸金属实例y1和裸金属实例y2之间可以通过mac地址实现网络通讯。
47.当网络部署完成后，云管控平台登记裸金属实例对象，并为其分配虚拟化网络通讯id。在本实例中虚拟机a的虚拟化网络通讯id（即虚拟id）为00001，虚拟机b的虚拟化网络
通讯id为0002，裸金属实例y1的虚拟化网络通讯id为0003，二层互联mac地址为04:04:04:04:04:04，裸金属实例y2的虚拟化网络通讯id为0004，二层互联mac地址为05:05:05:05:05:05。
48.进一步地，当用户需要创建裸金属实例时，云管控平台通知裸金属网关x1创建并初始化裸金属实例y1。
49.具体地，裸金属实例y1的初始化过程包括：如果裸金属实例y1是传统服务器，则通过pxe的方式将裸金属服务器安装用户指定的操作系统，进一步地，当服务器启动后初始化互联网络接口，使得y1和裸金属网关在一个二层互联网络中。
50.进一步地，当网络辅助模块检测到裸金属实例y1创建并初始化完成后，该模块会将虚拟化网络通讯id0003添加到模块的虚拟化网络通讯列表中，进而网络辅助模块可以使用id0003与虚拟机a之间网络互联。
51.进一步地，网络辅助模块会将y1的mac地址添加到该模块的mac地址监听列表中，进而网络辅助模块将会接收来自对应mac地址的网络报文。
52.进一步地，当mac地址转换模块检测到裸金属实例y1初始化完成之后，该模块会将id0003和y1的mac地址关系更新到mac地址转换表中。
53.当虚拟机a需要和裸金属实例y1通讯时，如图3所示，基于虚拟化网络链路，虚拟机a将报文发送给id0003。
54.虚拟化网络中网络数据会根据报文中的目的网络通讯id进行路由转发，经由转发，目的为id0003的报文将被转发给裸金属网关x1。
55.进一步地，当裸金属网络x1上的网络辅助模块解析到目的地为id0003的报文后，会根据mac地址转换模块维护的映射关系得到裸金属实例y1的mac地址。
56.进一步地，如图3中mac地址转换流程所示，网络辅助模块会修改报文的目的mac地址为裸金属实例y1的mac，并通过与裸金属网络互联的e2接口发送到裸金属网络中。
57.进一步地，因裸金属实例y1和虚拟化网关属于同一个二层网络中，裸金属实例y1会接收到源mac地址为01:01:01:01:01:01的报文，进而虚拟机a的通讯报文到达裸金属实例y1。
58.当裸金属实例y1需要将报文发送给虚拟机a时，如图3所示，基于二层互联网络，裸金属y1发送报文目的mac地址为01:01:01:01:01:01。
59.进一步地，因裸金属网关和裸金属实例y1在同一个局域网内，裸金属网关上的网络辅助模块将可以接收到y1发送的数据报文。
60.进一步地，网络辅助模块会解析数据报文的源mac地址和目的mac地址，并查询mac地址转换模块中维护的虚拟化网络通讯id。
61.进一步地，如图3中mac地址反转换流程示意，当mac地址转换模块匹配mac地址成功后，mac地址转换模块将返回虚拟机a的虚拟化网络通讯id0001和裸金属y1的虚拟化网络通讯id0003。
62.进一步地，网络辅助模块将报文通过e1接口，经由虚拟化网络链路，发送给id0001；进一步地，虚拟机a将接收到目的为id0001的报文，进而裸金属y1的通讯报文到达
虚拟机a。
63.以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。