一种数据传输方法、装置及多层网络管理器的制造方法
【技术领域】
[0001] 本发明设及云计算领域,尤其设及一种数据传输方法、装置及多层网络管理器。
【背景技术】
[0002] 目前越来越多的企业正在将应用环境从私有云迁移到公有云环境中,为了尽量不 修改应用服务器的网络配置及相互之间的网络连接关系,在公有云之上部署嵌套的虚拟化 环境使得应用系统迁移时无需改变虚拟机格式,虚拟机的网络配置W及应用的环境配置, 实现从测试环境到生产环境的快速部署。
[0003] 公有云具有多租户特性即多租户共享各种虚拟化资源,并且公有云中的计算资源 通常需要互联网接入才能实现远程访问,因此采取必要的安全机制来隔离不同租户之间的 业务流量、防止每个租户的资源被互联网中的恶意用户攻击对于保障公有云的安全至关重 要。
[0004] 通常为了保障租户的业务安全,公有云提供商会在虚拟化网络中部署安全组件面 向租户提供受限的网络来降低遭受恶意网络流量攻击的风险,采取的安全策略包括限制虚 拟服务器的二层广播流量和组播流量,禁止虚拟机做SNAT转换,过滤非来自虚拟服务器的< MAC,IP〉地址的数据包等。
[0005] 运种受限的虚拟化网络为租户提供了业务安全保障,但是也给运行在其上的嵌套 虚拟化环境中的虚拟机跨多层网络与外部服务器,如其它主机虚拟机、远端服务器等的通 信带来了挑战。首先,由于二层广播流量受到限制,嵌套虚拟化环境中的虚拟机无法与外部 的服务器建立ARP连接;另外由于非来自公有云中的虚拟服务器的<MAC,IP〉地址会被过滤, 导致嵌套虚拟化环境中的虚拟机发往外部服务器的单播数据包因为无法通过公有云网络 的检查而被丢弃,运些问题造成运行在嵌套虚拟化环境中的虚拟机无法跨越受限的底层网 络与外部服务器建立正常的通信连接。
【发明内容】
[0006] 有鉴于此,本发明实施例期望提供一种数据传输方法、装置及多层网络管理器,W 使得运行在嵌套虚拟化环境中的虚拟机跨越受限的底层网络,实现与外部服务器建立正常 通信。
[0007] 为达到上述目的,本发明的技术方案是运样实现的:
[000引第一方面,本发明实施例提供一种数据传输方法,应用于数据传输装置,所述方法 包括:接收来自第一客户虚拟机的第一地址解析协议ARP消息;响应所述第一ARP消息,在预 设的ARP映射表中查询对端的地址,并将查询到的对端的地址的携带在第二ARP消息中发送 至所述第一客户虚拟机;接收来自第一客户虚拟机的数据帖;根据预设的转发策略,将所述 数据帖中所述第一客户虚拟机的第一地址修改为第一主机虚拟机的第二地址,其中,所述 第一客户虚拟机运行在所述第一主机虚拟机上;基于所述对端的地址,转发修改后的数据 帖。
[0009] 第二方面,本发明实施例提供一种数据传输方法,应用于多层网络管理器,所述方 法包括:接收来自数据传输装置的地址查询请求;响应所述地址查询请求,在全局地址管理 表中查询对端的地址;将查询到的所述对端的地址返回所述数据传输装置,使得所述数据 传输装置将所述对端的地址转发给第一客户虚拟机。
[0010] 第Ξ方面,本发明实施例提供一种数据传输装置,包括:地址解析协议ARP代理模 块、客户虚拟交换模块W及主机虚拟交换模块;其中,所述ARP代理模块,用于响应第一ARP 消息,在预设的ARP映射表中查询对端的地址,并将查询到的对端的地址发送给所述客户虚 拟交换模块;所述客户虚拟交换模块,用于接收来自第一客户虚拟机的所述第一ARP消息, 并将所述第一 ARP消息转发给所述ARP代理模块;将所述ARP代理模块发送的所述对端的地 址的携带在第二ARP消息中发送至所述第一客户虚拟机;接收来自第一客户虚拟机的请求 数据帖;根据预设的转发策略,将所述请求数据帖中所述第一客户虚拟机的第一地址修改 为第一主机虚拟机的第二地址,其中,所述第一客户虚拟机运行在所述第一主机虚拟机上; 所述主机虚拟交换模块,用于基于所述对端的地址,转发修改后的请求数据帖。
[0011] 第四方面,本发明实施例提供一种多层网络管理器,包括:地址解析协议ARP代理 控制单元W及全局网络地址管理单元;其中,所述ARP代理控制单元,用于接收来自数据传 输装置的地址查询请求;还用于将查询到的所述对端的地址返回所述数据传输装置,使得 所述数据传输装置将所述对端的地址转发给第一客户虚拟机;所述全局网络地址管理单 元,用于响应所述地址查询请求,在全局地址管理表中查询所述对端的地址。
[0012] 本发明实施例提供了一种数据传输方法、装置及多层网络管理器,该装置在接收 来自第一客户虚拟机的用于查询对端的地址的第一 ARP消息之后,查询对端的地址,并将对 端的地址携带在第二ARP消息中发给第一客户虚拟机,然后,接收来自第一客户虚拟机的数 据帖,并根据预设的转发策略,将数据帖中第一客户虚拟机的第一地址修改为第一主机虚 拟机的第二地址,最后,基于对端的地址,转发修改后的数据帖,也就是说,通过将数据帖中 的第一客户虚拟机的地址修改为第一主机虚拟机的地址,使得该数据帖伪装成来自第一主 机虚拟机,运样,数据帖就能够被发送至外部服务器,实现运行在嵌套虚拟化环境中的虚拟 机跨越受限的底层网络,实现与外部服务器建立正常通信。
【附图说明】
[0013] 图1为本发明实施例中的跨多层虚拟网络通信系统的结构示意图;
[0014] 图2为本发明实施例中的数据传输方法的第一种流程示意图;
[0015] 图3为本发明实施例中的数据传输方法的第二种流程示意图;
[0016] 图4为本发明实施例中的数据传输方法的第Ξ种流程示意图;
[0017] 图5为本发明实施例中的数据传输装置侧进行数据传输方法的流程示意图;
[0018] 图6为本发明实施例中的多层网络管理器侧进行数据传输方法的流程示意图;
[0019] 图7为本发明实施例中的数据传输装置的结构示意图;
[0020] 图8为本发明实施例中的多层网络管理器的结构示意图。
【具体实施方式】
[0021] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述。
[0022] 本发明实施例提供一种跨多层虚拟网络通信系统,参见图1所示,该系统包括:第 一客户虚拟机11、数据传输装置12、第一主机虚拟机13、多层网络管理器14、对端15。在实际 应用中,对端15可W为远端服务器,也可W为第二主机虚拟机,当然还可W为其它外部服务 器,本发明不做具体限定。在本发明实施例中,W对端15为第二主机虚拟机为例进行说明。
[0023] 其中,第一客户虚拟机11,运行在第一主机虚拟机13上,用于向数据传输装置12发 送第一 ARP消息W及发送数据帖;
[0024] 数据传输装置12,用于接收来自第一客户虚拟机14的第一ARP消息,其中,第一ARP 消息用于查询对端15的地址;将携带有所述对端的地址的第二ARP消息发送至所述第一客 户虚拟;接收来自第一客户虚拟机11的数据帖;根据预设的转发策略,将数据帖中第一客户 虚拟机11的第一地址修改为第一主机虚拟机14的第二地址;基于对端15的地址,转发修改 后的数据帖。
[0025] 多层网络管理器14,用于接收来自数据传输装置12的地址查询请求;响应地址查 询请求,在全局地址管理表中查询对端15的地址;将查询到的对端15的地址返回数据传输 装置12,使得数据传输装置12将对端15的地址转发给第一客户虚拟机11。
[0026] 下面结合上述系统对本发明实施例提供的数据传输方法进行说明。