其它用户没有任何访问。PVLAN的功能可以保证同一个VLAN中的各个端口相互之间不能通信。
[0030]每个PVLAN包含2种VLAN:主VLAN(primary VLAN)和辅助VLAN( SecondaryVLAN) o辅助VLAN(Secondary VLAN)包含两种类型:隔离VLAN( isolated VLAN)和团体VLAN(community VLAN)。
[0031]辅助VLAN的通信方式:可以和所有他所关联的隔离VLAN,团体VLAN通信。
[0032]团体VLAN的通信方式:可以同那些处于相同团体VLAN内的团体端口通信,也可以与PVLAN中的混杂端口通信。(每个PVLAN可以有多个community VLAN)
隔离VLAN的通信方式:不可以和处于相同隔离VLAN内的其它隔离端口通信,只可以与混杂端口通信。
[0033]如上述的PVLAN技术可知,PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备(Digital Subscriber Line AccessMultiplexer,数字用户线路接入复用设备)的每个端口划为一个(下层)VLAN,则实现了所有端口的隔离。PVLAN的隔离VLAN之间不能相互通信,只能与主VLAN和混杂端口通信。
[0034]因此,在本发明中,可以利用PVLAN的上述特点,根据业务的DMZ、APP、DB来设计不同的PVLAN模式,由此实现应用内部的安全隔离。
[0035]如图2所示,对于每一个租户,例如租户A,将租户A的DMZ(隔离区)的PVLAN模式设置为隔离VLAN、将租户A的DB(数据库)的PVLAN模式设置为隔离VLAN、将租户A的APP(应用)的PVLAN模式设置为主VLAN。
[0036]通过这样的设定,在租户A内部DB不能和APP进行通信,在租户A内部DMZ和DB相互间不能通信,而DMZ和DB仅能够分别与APP之间进行通信。由此,在租户A内部,能够实现租户A内部的安全隔离。
[0037]图3是表示将租户间的隔离步骤和租户内部的隔离步骤相结合的示意图。
[0038]如图3所示,基于VRF通过标签标记不同租户A、租户B、租户C的IP来区别不同租户,使得租户A、租户B、租户C之间相互隔离。
[0039]在此基础上,对于租户A,根据业务的DMZ、APP、DB设计不同的PVLAN,即将租户A的DMZ (隔离区)的PVLAN模式设置为隔离VLAN、将租户A的DB(数据库)的PVLAN模式设置为隔离VLAN、将租户A的APP (应用)的PVLAN模式设置为主VLAN。对于租户B,根据业务的DMZ、APP、DB设计不同的PVLAN,即将租户B的DMZ(隔离区)的PVLAN模式设置为隔离VLAN、将租户A的DB(数据库)的PVLAN模式设置为隔离VLAN、将租户A的APP(应用)的PVLAN模式设置为主VLAN。对于租户C,根据业务的DMZ、APP、DB设计不同的PVLAN,即将租户C的DMZ (隔离区)的PVLAN模式设置为隔离VLAN、将租户A的DB(数据库)的PVLAN模式设置为隔离VLAN、将租户A的APP(应用)的PVLAN模式设置为主VLAN。由此,在租户A内部、租户B内部、租户C内部DMZ和DB分别隔离,由此在在租户A内部、租户B内部、租户C内部能够实现租户内部的安全隔离。
[0040]如上所述,在云计算内部通过标间标记不同租户的IP能够区别不同租户,使得各租户相互之间能够实现隔离(也就是外部隔离)。而且,在此基础上,对于各租户,通过业务的DMZ、APP、DB来设计不同的PVLAN模式,由此,在各租户内部能够分别实现租户内部的安全隔离(即内部隔离)。
[0041]因此,本发明能够提供一种同时实现外部隔离和内部隔离的云计算下的租户安全隔离方法。将本发明的云计算下的租户安全隔离方法适用于云计算多租户的情况下,能够合理规划、管理租户,提升数据安全性。
[0042]以上例子主要说明了云计算下的租户安全隔离的方法。尽管只对其中一些本发明的【具体实施方式】进行了描述,但是本领域普通技术人员应当了解,本发明可以在不偏离其主旨与范围内以许多其他的形式实施。因此,所展示的例子与实施方式被视为示意性的而非限制性的,在不脱离如所附各权利要求所定义的本发明精神及范围的情况下,本发明可能涵盖各种的修改与替换。
【主权项】
1.一种云计算下的租户安全隔离方法,其特征在于,包括下述步骤: 租户间隔离步骤,基于VRF区分不同租户以隔离多个租户相互之间;以及 租户内部隔离步骤,对于每个租户,基于PVLAN实现租户内部的安全隔离。2.如权利要求1所述的云计算下的租户安全隔离方法,其特征在于, 在所述租户间隔离步骤中,对于不同租户分别分配不同的标签。3.如权利要求2所述的云计算下的租户安全隔离方法,其特征在于, 在所述租户间隔离步骤中,对于不同租户分别分配不同RD作为标签。4.如权利要求1?3任意一项所述的云计算下的租户安全隔离方法,其特征在于, 对于每个租户,根据不同业务设计不同的PVLAN模式以实现应用内部的安全隔离。5.如权利要求4任意一项所述的云计算下的租户安全隔离方法,其特征在于, 在所述租户内部隔离步骤,对于每个租户的DMZ、APP、DB设计不同的PVLAN模式。6.如权利要求5所述的云计算下的租户安全隔离方法,其特征在于, 在所述租户内部隔离步骤,对于每个租户,将该租户的DMZ的PVLAN模式设计为隔离PVLAN、将该租户的DB的PVLAN模式设计为隔离PVLAN、将该租户的APP的PVLAN模式设计为主PVLAN0
【专利摘要】本发明涉及一种云计算下的租户安全隔离方法。该方法包括:租户间隔离步骤,基于VRF区分不同租户以隔离多个租户相互之间;以及租户内部隔离步骤,对于每个租户,利用PVLAN技术实现租户内部的安全隔离。因此,本发明能够提供一种同时实现外部隔离和内部隔离的云计算下的租户安全隔离方法。将本发明的云计算下的租户安全隔离方法适用于云计算多租户的情况下,能够合理规划、管理租户,提升数据安全性。
【IPC分类】H04L29/08, H04L29/06
【公开号】CN105592089
【申请号】CN201511002000
【发明人】张高磊, 刘国宝
【申请人】中国银联股份有限公司
【公开日】2016年5月18日
【申请日】2015年12月29日