云数据中心虚拟网络的隔离方法与装置的制造方法
【技术领域】
[0001]本发明涉及云计算领域,尤其涉及一种云数据中心虚拟网络的隔离方法与装置。
【背景技术】
[0002]云数据中心以资源出租为核心业务,租户可通过租用VM(Virtual Machine,虚拟机)来共享使用云数据中心的网络资源。同一租户租用的多个VM需要进行网络通信,从而形成一个虚拟网络。通常,多个虚拟网络共存于云数据中心的物理网络之上。由于传统网络不支持地址空间虚拟化以及难以实现对大规模网络的集中控制等缺陷,因此,面向多租户的云数据中心引入了 SDN(Software Defined Networking,软件定义网络)技术。SDN技术的设计理念是要将网络的控制层与数据层进行分离,并实现网络的可编程控制。
[0003]基于SDN技术,现有技术中提出了根据VM到VM的资源需求将云数据中心中的不同租户分入不同的VDC(Virtual Data Center,虚拟数据中心),并在此分隔的基础上为租户提供有保证的服务。
[0004]在实现基于VM到VM的资源需求进行VDC分隔的过程中,现有技术中至少存在如下问题:属于不同虚拟网络之间的VM的流量隔离问题没有得到解决,导致现有的虚拟网络存在安全隐患。
【发明内容】
[0005]本发明的实施例提供一种云数据中心虚拟网络的隔离方法与装置,能够提高虚拟网络的安全性。
[0006]为达到上述目的,本发明的实施例采用如下技术方案:
[0007]第一方面,提供一种云数据中心虚拟网络的隔离方法,包括:
[0008]接收交换机发送的转发询问信息,所述转发询问信息由所述交换机在接收到数据包时发送;
[0009]根据所述转发询问信息,确定所述数据包的源虚拟机与第一边缘层交换机的连接关系,以及所述数据包的目的虚拟机与第二边缘层交换机的连接关系,其中,所述第一边缘层交换机是与所述源虚拟机直接相连的交换机,所述第二边缘层交换机是与所述目的虚拟机直接相连的交换机;
[0010]根据所述源虚拟机与所述第一边缘层交换机的连接关系、所述目的虚拟机与所述第二边缘层交换机的连接关系以及保存的对应关系,确定所述源虚拟机与所述目的虚拟机是否属于同一租户租用的虚拟网络;
[0011]当所述源虚拟机与所述目的虚拟机不属于同一租户租用的虚拟网络时,控制所述交换机丢弃所述数据包。
[0012]结合第一方面,在第一方面的第一种可能的实现方式中,
[0013]所述源虚拟机与所述第一边缘层交换机的连接关系包括所述源虚拟机与所述第一边缘层交换机的端口的第一连接关系;
[0014]所述目的虚拟机与所述第二边缘层交换机的连接关系包括所述目的虚拟机与所述第二边缘层交换机的端口的第二连接关系;
[0015]所述保存的对应关系包括:所述第一连接关系与租户租用的虚拟网络的对应关系,所述第二连接关系与租户租用的虚拟网络的对应关系。
[0016]结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,在所述根据所述源虚拟机与所述第一边缘层交换机的连接关系、所述目的虚拟机与所述第二边缘层交换机的连接关系以及保存的对应关系,确定所述源虚拟机与所述目的虚拟机是否属于同一租户租用的虚拟网络前,所述方法还包括:
[0017]接收租户的请求信息,所述请求信息包括租户的计划租用虚拟机的数量N、网内带宽要求、弹性参数α,所述虚拟机包括所述源虚拟机和所述目的虚拟机;
[0018]根据所述计划租用虚拟机的数量N确定实际租用虚拟机的数量M ;
[0019]根据预先获取拓扑网络结构,确定由M台虚拟机所组成的虚拟网络,并在所组成的虚拟网络符合所述网内带宽要求时将所组成的虚拟网络分配所述租户;
[0020]其中,M = N/α,所述数量N、数量M均为正整数,O < α彡I。
[0021]结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述确定由M台虚拟机所组成的虚拟网络包括:
[0022]确定与边缘层交换机连接的未租用虚拟机的数量P是否大于或等于数量Μ,所述边缘层交换机包括所述第一边缘层交换机和所述第二边缘层交换机,所述边缘层交换机为与所述虚拟机直接相连的交换机;
[0023]当数量P大于或等于数量M时,从所述边缘层交换机所连接的P台虚拟机中选择M台虚拟机;
[0024]当数量P小于数量M时,从路由层交换机所连接的未租用虚拟机中选择M台虚拟机,所述路由层交换机为未与所述虚拟机直接相连的交换机,所述路由层交换机为与所述边缘层交换机直接相连的交换机;
[0025]其中,所述数量P为正整数。
[0026]结合第一方面的第二种或第三种可能的实现方式,在第一方面的第四种可能的实现方式中,所述请求信息还包括网际带宽要求;
[0027]在确定由M台虚拟机所组成的且符合所述网内带宽要求的虚拟网络后,所述方法还包括:
[0028]从所述由M台虚拟机所组成的且符合所述网内带宽要求的虚拟网络中,确定符合所述网际带宽要求的虚拟网络;
[0029]所述将所组成的虚拟网络分配所述租户包括:
[0030]将符合所述网内带宽要求以及网际带宽要求的虚拟网络分配所述租户。
[0031]结合第一方面的第二种至第四种可能的任一实现方式,在第一方面的第五种可能的实现方式中,所述预先获取拓扑网络结构包括所述虚拟机的已租用信息、带宽的已租用信息;
[0032]所述根据预先获的取拓扑网络结构,确定由M台虚拟机所组成的虚拟网络,并在所组成的虚拟网络符合所述网内带宽要求时将所组成的虚拟网络分配所述租户之后,所述方法还包括:
[0033]当其他租户归还虚拟机时,更新所述归还的虚拟机的已租用信息、所述归还的虚拟机对应的带宽的已租用信息;
[0034]根据更新后的虚拟机的已租用信息、带宽的已租用信息,调整所述虚拟网络。
[0035]结合第一方面或第一方面的第一种至第五种可能的任一实现方式,在第一方面的第六种可能的实现方式中,所述方法还包括:
[0036]当接收到所述交换机发送的带宽速度大于预设值时,向所述交换机下发带宽限速指令,以将所述数据包的源虚拟机在所述交换机上的带宽速度限制在所述预设值内。
[0037]第二方面,提供一种云数据中心虚拟网络的隔离装置,包括:
[0038]接收单元,用于接收交换机发送的转发询问信息,所述转发询问信息由所述交换机在接收到数据包时发送;
[0039]确定单元,用于根据所述接收单元接收的所述转发询问信息,确定所述数据包的源虚拟机与第一边缘层交换机的连接关系,以及所述数据包的目的虚拟机与第二边缘层交换机的连接关系,其中,所述第一边缘层交换机是与所述源虚拟机直接相连的交换机,所述第二边缘层交换机是与所述目的虚拟机直接相连的交换机;
[0040]所述确定单元还用于:根据所述源虚拟机与所述第一边缘层交换机的连接关系、所述目的虚拟机与所述第二边缘层交换机的连接关系以及保存的对应关系,确定所述源虚拟机与所述目的虚拟机是否属于同一租户租用的虚拟网络;
[0041]控制单元,用于当所述确定单元确定所述源虚拟机与所述目的虚拟机不属于同一租户租用的虚拟网络时,控制所述交换机丢弃所述数据包。
[0042]结合第二方面,在第二方面的第一种可能的实现方式中,所述装置还包括分配单元;
[0043]所述分配单元具体包括:
[0044]请求信息接收模块,用于接收租户的请求信息,所述请求信息包括租户的计划租用虚拟机的数量N、网内带宽要求、弹性参数α,所述虚拟机包括所述源虚拟机和所述目的虚拟机;
[0045]租用数量确定模块,用于根据所述请求信息接收模块接收的所述计划租用虚拟机的数量N确定实际租用虚拟机的数量M ;
[0046]虚拟网络确定模块,用于根据预先获取拓扑网络结构,确定由M台虚拟机所组成的虚拟网络,并在所组成的虚拟网络符合所述网内带宽要求时将所组成的虚拟网络分配所述租户;
[0047]其中,M = N/α,所述数量N、数量M均为正整数,O < α彡I。
[0048]结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述虚拟网络确定模块具体用于:
[0049]确定与虚拟机直接相连的边缘层交换机所连接的未租用虚拟机的数量P是否大于或等于数量M ;
[0050]当数量P大于或等于数量M时,从所述边缘层交换机所连接的P台虚拟机中选择M台虚拟机;
[0051]当数量P小于数量M时,从路由层交换机所连接的未租用虚拟机中选择M台虚拟机,所述路由层交换机为未与所述虚拟机直接相连的交换机,所述路由层交换机为与所述边缘层交换机直接相连的交换机;
[0052]其中,所述数量P为正整数。
[0053]结合第二方面的第一种或第二种可能的实现方式,在第二方面的第三种可能的实现方式中,所述请求信息还包括网际带宽要求;
[0054]所述虚拟网络确定模块还用于:从所述由M台虚拟机所组成的且符合所述网内带宽要求的虚拟网络中,确定符合所述网际带宽要求的虚拟网络,并将符合所述网内带宽要求以及网际带宽要求的虚拟网络分配所述租户。
[0055]结合第二方面的第一种至第三种可能的任一实现方式,在第二方面的第四种可能的实现方式中,所述预先获取的虚拟机与交换机的拓扑网络结构包括虚拟机的已租用信息、带宽的已租用信息;
[0056]所述分配单元还用于:当其他租户归还虚拟机时,更新所述归还的虚拟机的已租用信息、所述归还的虚拟机对应的带宽的已租用信息;
[0057]根据更新后的虚拟机的已租用信息、带宽的已租用信息,调整所述虚拟网络。
[0058]结合第二方面或第二方面的第一种至第四种可能的任一实现方式,在第二方面的第五种可能的实现方式中,所述控制单元还用于:
[0059]当接收到所述交换机发送的带宽速度大于预设值时,向所述交换机下发带宽限速指令,以将所述数据包的源虚拟机在所述交换机上的带宽速度限制在所述预设值内。
[0060]根据本发明实施例提供的云数据中心虚拟网络的隔离方法与装置,由于云数据中心的控制器能够根据源虚拟机与第一边缘层交换机的连接关系、目的虚拟机与第二边缘层交换机的连接关系以及保存的对应关系,确定源虚拟机与目的虚拟机是否属于同一租户所租用的虚拟网络,并在源虚拟机与目的虚拟机不属于同一租户所