租用的虚拟网络时,控制交换机丢弃数据包,因此,利用本发明实施例能够消除不同租户所租用的虚拟网络之间的流量侦听所带来的安全隐患,提高虚拟网络的安全性。
【附图说明】
[0061]图1是本发明实施例一提供的云数据中心虚拟网络的隔离方法的流程图;
[0062]图2是本发明实施例二所涉及的云数据中心虚拟网络的分配方法的流程图;
[0063]图3是本发明实施例三所涉及的云数据中心虚拟网络的分配方法的选择流程图;
[0064]图4为本发明实施例所涉及的云数据中心虚拟网络的分布示意图;
[0065]图5A是本发明实施例四提供的云数据中心虚拟网络的隔离装置的结构示意图;
[0066]图5B是本发明实施例四的变形实施例所提供的云数据中心虚拟网络的隔离装置的结构示意;
[0067]图6为本发明实施例五提供的控制器的结构示意图。
【具体实施方式】
[0068]下面结合附图对本发明实施例的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0069]虚拟机(Virtual Machine, VM)是云数据中心的资源划分形式。如图4所示,在云数据中心中,VM与交换机(或称为交换设备)相连,其中,交换机包括虚拟交换机(virtualSwitch, vSwitch)。与VM直接相连的交换机可称为边缘层交换机,不与VM直接相连的交换机可称为路由层交换机。租户可以通过租用VM,并利用将VM连接起来的交换机而组成虚拟网络,该虚拟网络属于租用这些VM的租户。
[0070]在面向多租户的云数据中心中引入SDN(Software Defined Networking,软件定义网络)技术,能够实现虚拟网络的控制层与数据层的分离,便于管理虚拟网络。在基于SDN技术的云数据中心中,控制层的功能可由具有控制处理功能的装置实施,所述装置具体而言可以是云数据中心的控制器。以下,将以所述装置是控制器为例进行说明。
[0071]实施例一
[0072]图1是本发明实施例一提供的云数据中心虚拟网络的隔离方法的流程图。如图1所示,所述方法包括以下步骤:
[0073]SI 1、接收交换机发送的转发询问信息,所述转发询问信息由交换机在接收到数据包时发送。
[0074]在云数据中心启用后,当交换机在获取到VM发送的数据包后,根据SDN技术的原理,交换机不自行决定该数据包的路由,而是向控制器询问转发该数据包的路由。由于向交换机发送数据包的VM是该数据包的源头,因此可将该VM称为源VM。与之相应地,可将数据包即将前往的VM称为目的VM。
[0075]在此步骤中,交换机在获取到源VM发送的数据包后向控制器发送转发询问信息,控制器从而接收该转发询问信息。转发询问信息可包括数据包的所来自的源VM的信息和所去往的目的VM的信息,控制器能够根据转发询问信息确定该数据包的路由。
[0076]S12、根据转发询问信息,确定数据包的源虚拟机与第一边缘层交换机的连接关系,以及数据包的目的虚拟机与第二边缘层交换机的连接关系。
[0077]在云数据中心中,VM(包括源VM与目的VM)与交换机相连。对于与源VM直接相连的边缘层交换机,可称之为第一边缘层交换机;对于与目的VM直接相连的边缘层交换机,可称之为第二边缘层交换机。交换机由交换机的信息来区别,交换机的信息可包括:交换机的编号或名称,交换机的编号例如可以为IP(Internet Protocol,互联网协议)/MAC(MediaAccess Control,介质访问控制)地址或自定义编号;交换机的端口的端口号或端口名称等,交换机的端P的端P号例如可以为DPID.Port,其中DPID为Destinat1n ProcessIdentifier (目的文件处理标识符)。一台交换机可同时连接一台或多台VM,交换机的同一端口也可能同时连接一台或多台VM。
[0078]在此步骤中,对于源VM与第一边缘层交换机的连接关系,控制器可根据转发询问信息中所记录的信息,例如数据包的源VM的标识,结合预先获取的虚拟机与交换机的拓扑网络结构,确定与该源VM直接相连的第一边缘层交换机,即确定源VM与第一边缘层交换机的连接关系;对于目的VM与第二边缘层交换机的连接关系,可以根据与确定源VM与第一边缘层交换机的连接关系类似的方式获取。
[0079]对于源VM与第一边缘层交换机的连接关系,更具体地可为:源VM与第一边缘层交换机的端口的连接关系,可称为第一连接关系;对于目的VM与第二边缘层交换机的连接关系,更具体地可为:目的VM与第二边缘层交换机的端口的连接关系,可称为第二连接关系。
[0080]S13、根据源虚拟机与第一边缘层交换机的连接关系、目的虚拟机与第二边缘层交换机的连接关系以及保存的对应关系,确定源虚拟机与目的虚拟机是否属于同一租户租用的虚拟网络。
[0081 ] 在此步骤中,控制器可根据源VM与第一边缘层交换机的连接关系、目的VM与第二边缘层交换机的连接关系(例如源VM所连接的交换机或目的VM所连接的交换机的编号)以及保存的对应关系,确定源VM与目的VM是否属于同一租户所租用的虚拟网络。其中,对于所述对应关系,其可由控制器在出租VM及虚拟网络时确定并保存在自身,具体可包括:源VM与第一边缘层交换机的连接关系一租户租用的虚拟网络的对应关系,目的VM与第二边缘层交换机的连接关系一租户租用的虚拟网络的对应关系。更具体地,所述保存的对应关系包括:所述第一连接关系与租户租用的虚拟网络的对应关系,所述第二连接关系与租户租用的虚拟网络的对应关系。
[0082]例如,租户A租用的虚拟机VM_al、VM_a2…VM_aM均与交换机Switch_l相连,组成了虚拟网络Network_A ;或者,更具体地,虚拟机VM_al、VM_a2…VM_aM分别在交换机Switch_l 的端 P DPID.PortlU DPID.Portl2…DPID.PortlM 上与交换机 Switch_l 相连。租户B租用的虚拟机VM_bl、VM_b2-VM_bM均与交换机Switch_2相连,组成了虚拟网络Network—B。
[0083]对于如何确定源VM与目的VM是否属于同一租户租用的虚拟网络,举例而言,若源VM在端口 DPID.Portll上与交换机为Switch_l相连,且根据保存的对应关系可知:交换机Switch_l的端口 DPID.Portll所连接的VM为VM_al,因此,控制器可确定源VM即为VM_al,属于租户A所租用的虚拟网络NetWOrk_A。若控制器还确定了目的VM是租户A所租用的虚拟网络Network_A中的VM_a2,则控制器确定源VM与目的VM属于同一租户A所租用的虚拟网络Network_A。另一方面,若控制器确定了目的VM是租户B所租用的虚拟网络Network_B中的VM_bl,则控制器可确定源VM与目的VM不属于同一租户所租用的虚拟网络。
[0084]在确定源VM与目的VM是否属于同一租户所租用的虚拟网络前,需要将租户符合租户需求的虚拟网络分配给租户,分配的方法将在实施例二中具体说明。
[0085]S14、当源虚拟机与目的虚拟机不属于同一租户租用的虚拟网络时,控制交换机丢弃数据包。
[0086]当数据包的源VM与目的VM不属于同一租户所租用的虚拟网络时,该数据包可能是一个租户对另一个租户的攻击。例如,一个租户利用数据包干扰其他租户的通信,甚至恶意占用网络资源,由此对网络中的其他租户造成类似拒绝服务(Denial of Service, DOS)攻击的网络安全问题。或者,一个租户利用数据包探测相邻摆放的不同租户的VM的隐私。相邻摆放的不同租户的VM是指不同租户所租用的VM在物理设备层面上相同或者邻近。
[0087]根据S13的确定结果,当源VM与目的VM不属于同一租户所租用的虚拟网络时,控制交换机丢弃数据包,这样能够消除带宽抢占和流量侦听带来的安全隐患。
[0088]进一步地,当接收到交换机发送的带宽速度大于预设值时,控制器可向该交换机下发带宽限速指令,以将所述数据包的源VM在该交换机上的带宽速度限制在所述预设值内。或者,更进一步地,在交换机在其第一端口获取到源VM发送的数据包的情况下,控制器还可向交换机下发带宽限速指令,以限制源VM在第一端口上的带宽速度在预设值内。这样,能够进一步消除带宽抢占和流量侦听带来的安全隐患。
[0089]根据S13的确定结果,当源VM与目的VM属于同一租户所租用的虚拟网络时,控制器可根据VM与交换机的拓扑网络结构确定数据包的转发路径,并根据转发路径控制获取到数据包的交换机转发数据包。这样,能够保证同一租户所租用的VM之间的正常通信。
[0090]由以上可看出,根据本发明实施例一提供的云数据中心虚拟网络的隔离方法,由于控制器能够根据源VM与第一边缘层交换机的连接关系、目的VM与第二边缘层交换机的连接关系以及保存的对应关系,确定源VM与目的VM是否属于同一租户所租用的虚拟网络,并在源VM与目的VM不属于同一租户所租用的虚拟网络时,控制交换机丢弃数据包,因此,能够消除不同租户所租用的虚拟网络之间的流量侦听所带来的安全隐患,提高虚拟网络的安全性。
[0091]实施例二
[0092]实施例二用于说明本发明实施例一所涉及的虚拟网络的分配方法。图2是本发明实施例二所涉及的云数据中心虚拟网络的分配方法的流程图。该分配方法同样可由云数据中心中具有控制处理功能的控制器来实施。如图2所示,所述分配方法包括以下步骤:
[0093]S21、接收租户的请求信息,所述请求信息包括租户的计划租用VM的数量N、网内带宽要求、弹性参数α。
[0094]在此步骤中,当租户需要租用虚拟网络时,可向控制器发送请求信息,控制器接收租户的请求信息。租户可根据自身需求生成相应的请求信息,从而满足不同租户的应用需求。
[0095]具体地,可向租户提供用于租用虚拟网络的定制接口,租户可通过该定制接口向控制器发送请求信息。在保证服务质量的基础上,所提供的定制接口具有简洁的特点。定制接口例如可设计为{计划租用VM的数量(N),网内带宽(intra-bandwidth)}。可选地,定制接口的参数还可包括弹性参数(α )和/或网际带宽(inter-bandwidth)。以下,依次对定制接口所包含的参数进行说明。其中,所述数量N、数量M均为正整数,O < a ^ 10