的流程示意图;
[0032] 图3是本发明一种虚拟机的结构框图。
【具体实施方式】
[0033] 为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明 的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中 的特征可以相互任意组合。
[0034] 图2是本发明租户隔离方法的流程示意图,如图2所示,包括:
[0035] 步骤200、虚拟交换机为各物理主机上的各虚拟机分配相应的用于标识租户报文 的虚拟局域网标签;
[0036] 步骤201、虚拟交换机为各租户分配相应的虚拟租户网络VTN标识符,根据分配的 VTN标识符结合该租户各虚拟机的虚拟局域网标签,生成各租户相应的虚拟网络。由于接入 交换机只在相同VTN标识符的虚拟机之间转发报文,因此可以实现租户隔离的功能,保证 租户内部的虚拟机之间可以通信,而不同租户之间的虚拟机不能通信,从而提升云计算资 源池的安全性。
[0037] 需要说明的是采用虚拟租户网络(VTN,Virtual Tenant Network)协议,虚拟交 换机为每个租户分配一个虚拟网络,从而实现租户的隔离。传统VLAN方式的VLAN tag有 4096个的数量限制,租户虚拟机规模不能太大,租户规模也收到影响;本发明采用VTN协 议,根据VTN协议可以进行生成2的32次幂,即16777216个虚拟网络,因此,租户的规模最 大可以扩大到16777216个,相比于传统VLAN方式得到了很大的提高。
[0038] 在完成租户隔离的处理后,本发明方法还包括:
[0039] 虚拟交换机根据租户报文的目的地址结合该租户的VTN标识符,对租户报文封装 用于物理网络路由的二层报文头;
[0040] 根据封装的二层报文头发送租户报文到目的端接入交换机,目的端交换机根据一 层报文头将租户报文发送给目的端虚拟机。
[0041] 这里,封装用于物理网络路由的二层报文头具体包括:
[0042] 虚拟交换机读取路由表,获得租户报文的目的端虚拟机的IP地址,根据租户报文 的目的端虚拟机的IP地址查询路由表目的端虚拟机所在目的接入交换机的路由地址;
[0043] 根据目的接入交换机的路由地址及所述VTN标识符,虚拟交换机进行租户报文的 物理网络路由的二层报文头的封装。
[0044] 优选的,封装用于物理网络路由的二层报文头具体包括:
[0045] 虚拟交换机读取路由表,获得租户报文的目的端虚拟机的IP地址,根据租户报文 的目的端虚拟机的IP地址查询路由表目的端虚拟机所在目的接入交换机的路由地址;
[0046] 所述虚拟交换机采用用户数据包协议UDP在所述报文的一层报文头外封装包括、 通过目的接入交换机的路由地址获得的外层介质访问控制Outer MAC、外层网络互连协议 Outer IP和外层用户数据包协议Outer UDP、通过VTN标识符生成的VTN报文头部分,组成 所述二层报文头。
[0047] 虚拟交换机接收到来自虚拟交换机的租户报文后,根据租户虚拟机的VLAN Tag, 在报文的一层报文头外封装用于物理网络路由的二层报文头具体结构如表1所示:
[0048]
【主权项】
1. 一种租户隔离方法,其特征在于,包括: 虚拟交换机为各物理主机上的各虚拟机分配相应的用于标识租户报文的虚拟局域网 标签; 虚拟交换机为各租户分配相应的虚拟租户网络VTN标识符,根据分配的VTN标识符结 合该租户各虚拟机的虚拟局域网标签,生成各租户相应的虚拟网络,实现租户隔离。
2. 根据权利要求1所述的租户隔离方法,其特征在于,该方法还包括:虚拟交换机根据 租户报文的目的地址结合该租户的VTN标识符,对租户报文封装用于物理网络路由的二层 报文头; 根据封装的二层报文头发送租户报文到目的端接入交换机,目的端交换机根据一层报 文头将租户报文发送给目的端虚拟机。
3. 根据权利要求1所述的租户隔离方法,其特征在于,封装用于物理网络路由的二层 报文头具体包括: 虚拟交换机读取路由表,获得租户报文的目的端虚拟机的IP地址,根据租户报文的目 的端虚拟机的IP地址查询路由表目的端虚拟机所在目的接入交换机的路由地址; 根据目的接入交换机的路由地址及所述VTN标识符,所述虚拟交换机进行租户报文的 物理网络路由的二层报文头的封装。
4. 根据权利要求3所述的租户隔离方法,其特征在于,所述封装用于物理网络路由的 二层报文头具体包括: 虚拟交换机读取路由表,获得租户报文的目的端虚拟机的IP地址,根据租户报文的目 的端虚拟机的IP地址查询路由表目的端虚拟机所在目的接入交换机的路由地址; 所述虚拟交换机采用用户数据包协议UDP在所述报文的一层报文头外封装包括、通过 目的接入交换机的路由地址获得的外层介质访问控制Outer MAC、外层网络互连协议Outer IP和外层用户数据包协议Outer UDP、通过VTN标识符生成的VTN报文头部分,组成所述二 层报文头。
5. -种虚拟交换机,其特征在于,至少包括局域网标签单元和虚拟租户单元;其中, 局域网标签单元,用于为各物理主机上的各虚拟机分配相应的用于标识租户报文的虚 拟局域网标签; 虚拟租户单元,用于为各租户分配相应的虚拟租户网络VTN标识符,根据分配的VTN标 识符结合该租户各虚拟机的虚拟局域网标签,生成各租户相应的虚拟网络,实现租户隔离。
6. 根据权利要求5所述的虚拟交换机,其特征在于,所述虚拟交换机还包括物理路由 封装单元,用于根据租户报文的目的地址结合该租户的VTN标识符,对租户报文封装用于 物理网络路由的二层报文头;根据封装的二层报文头发送租户报文到目的端接入交换机, 以使目的端接入交换机将租户报文发送到目的端的虚拟交换机后,目的端的虚拟交换机根 据一层报文头将租户报文发送给目的端虚拟机。
7. 根据权利要求6所述的虚拟交换机,其特征在于,所述物理路由封装单元具体用于, 读取路由表,获得租户报文的目的端虚拟机的IP地址,根据租户报文的目的端虚拟机 的IP地址查询路由表目的端虚拟机所在目的接入交换机的路由地址; 根据目的接入交换机的路由地址及所述VTN标识符,所述源接入交换机进行租户报文 的物理网络路由的二层报文头的封装; 根据封装的二层报文头发送租户报文到目的端的接入交换机。
8.根据权利要求6或7所述的虚拟交换机,其特征在于,所述物理路由封装单元具体用 于, 读取路由表,获得租户报文的目的端虚拟机的IP地址,根据租户报文的目的端虚拟机 的IP地址查询路由表目的端虚拟机所在目的接入交换机的路由地址; 采用用户数据包协议UDP在所述报文的一层报文头外封装用于物理网络路由的包含 有目的接入交换机的路由地址的二层报文头,所述二层报文头包括通过目的接入交换机的 路由地址获得的外层介质访问控制Outer MAC、外层网络互连协议Outer IP和外层用户数 据包协议Outer UDP及所述VTN标识符。
【专利摘要】本发明公开了一种租户隔离方法及虚拟交换机,包括:虚拟交换机为各物理主机上的各虚拟机分配相应的用于标识租户报文的虚拟局域网标签;虚拟交换机为各租户分配相应的虚拟租户网络(VTN)标识符,根据分配的VTN标识符结合该租户各虚拟机的虚拟局域网标签,生成各租户相应的虚拟网络,实现租户隔离。发明通过为虚拟交换机为各物理主机上的虚拟机分配虚拟局域网标签,为各租户分配相应的VTN标识符,在实现租户隔离的同时,增加了云计算网络中租户虚拟机的规模,通过VTN标识符对各租户的隔离,租户可以对其租用的虚拟机进行管理,在租户进行调整时,由于VTN标识不变,不会对云平台管理网络的管理造成影响。
【IPC分类】H04L29-08, H04L12-46
【公开号】CN104580505
【申请号】CN201510038904
【发明人】杨绍光, 张云勇, 毋涛
【申请人】中国联合网络通信集团有限公司
【公开日】2015年4月29日
【申请日】2015年1月26日