专利名称:云计算网络下的虚拟机管理方法和云计算网络管理装置的制作方法
技术领域:
本发明涉及云计算技术领域,更具体地,涉及一种云计算网络下的虚拟机管理方法以及云计算网络管理装置。
背景技术:
“云计算”在短短几年的时间里蔓延至与人们生活息息相关的每个角落。虚拟化技术具有安全、易于管理的优势,同时为用户提供灵活性和多样性等特点,在规模庞大的云计算环境中,不同组织的虚拟机可能分布在同一台的物理主机上。在用户登录到某个虚拟机上时,通过该虚拟机,可以方便地访问任何当前物理主机上的其他虚拟机,即便所访问的虚拟机不属于当前用户。这会对用户数据的安全性亦产生较大威胁。现有技术下,由于虚拟机之间并没有做任何隔离,导致任何虚拟机都可以相互连接并访问同一网络中的其他虚拟机,对于不同用户来说,这样的做法存在严重的安全隐
串
■/Q1、O802.1q协议作为802.1d连网标准修正的一部分,使局域网交换在向同时支持声音、图像和数据方面又迈进了一步。802.1q协议定义了基于接口的虚拟局域网(VirtualLocal Area Network, VLAN)模型。根据IEEE802.1q协议定义,VLAN在数据帧中通过VID字段息来标识,VID是一个12位的二进制字段信息,也就是最多可以标识2的12次方(4096)个VLAN。其中O和4095是协议保留不启用,因此可划分的VLAN ID在I 4094之间。 在云计算环境中,直接使用每一个VLAN资源对应用户,将使环境中用户总数受到限制。可堆叠虚拟局域网(SVLAN)技术为一种初始的解决方案,通过在以太帧中堆叠两个802.1Q包头,使VLAN的数目最多可达4096x4096个。但随着用户数量的增加,SVLAN模型也会带来可扩展性的问题。因为有些用户可能希望在分支机构间进行数据传输时可以携带自己的VLAN ID,这就使采用SVLAN技术的MSP面临以下两个问题:第一,第一名客户的VLAN标识可能与其他客户冲突;第二,服务提供商将受到客户可使用标识数量的严重限制。如果允许用户按他们自己的方式使用各自的VLAN ID空间,那么核心网络仍存在4096个VLAN的限制。针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
本发明要解决的技术问题在于提供一种云计算环境中管理虚拟局域网中的虚拟机的方法以及云计算网络管理装置。根据本发明的一个方面,提供了一种云计算网络下的虚拟机管理方法,包括:检测当前工作模式为开VLAN模式还是关VLAN模式;检测到为开VLAN模式时,根据接收到IP池资源请求消息以及预设置的网络规划将IP池中的所有IP地址与该IP池所属的虚拟局域网的标识符VID绑定,其中,所述IP池中包括多个虚拟机可用的IP地址;在创建属于第一虚拟局域网的虚拟机时,分配与所述第一虚拟局域网对应的IP池中的IP地址给所述虚拟机;以及,在创建属于第二虚拟局域网的虚拟机时,分配与所述第二虚拟局域网对应的IP池池中的IP地址给所述虚拟机。在可选实施例中,所述方法还包括:所述当前工作模式为开VLAN模式时,将多个IP池中的IP地址与同一虚拟局域网的标识符绑定,以便具有该多个IP池内的IP地址的虚拟机可相互通信。在可选实施例中,所述方法还包括:检测到当前工作模式为关VLAN模式时,根据预设置的管理规则将管理范围内的各虚拟局域网下的所有虚拟机的IP地址与一指定虚拟局域网的标识符VID绑定。在可选实施例中,所述方法还包括:检测到当前工作模式为开VLAN模式时,根据网络规划将IP地址与所述指定虚拟局域网的标识符VID绑定的虚拟机重新划分到不同的虚拟局域网,并将这些虚拟机的IP地址分别与不同的虚拟局域网的标识符VID绑定。在可选实施例中,所述方法还包括:当所述第一虚拟局域网内的虚拟机与所述第二虚拟局域网内的虚拟机进行通信时,作为源端的所述第一虚拟局域网内的虚拟机或所述第二虚拟局域网内的虚拟机传送数据给网关,由所述网关确定是否将所述数据传送给作为目的端的所述第二虚拟局域网内的虚拟机或所述第一虚拟局域网内的虚拟机。根据本发明的另一方面,还提供了一种云计算网络管理装置,包括:检测模块,用于检测云计算系统的当前工作模式为开VLAN模式还是关VLAN模式;虚拟局域网管理模块,用于在所述检测模块检测到当前工作模式为开VLAN模式时,根据接收到的IP池资源请求消息将IP池中的所有IP地址与该IP池所属的虚拟局域网的标识符VID绑定,其中,所述IP池中包括多个虚拟机可用的IP地址;IP地址分配模块,用于在通过云计算系统创建属于第一虚拟局域网的虚拟机时,分配与所述第一虚拟局域网对应的IP池中的IP地址给所述虚拟机;以及,在通过云计算系统创建属于第二虚拟局域网的虚拟机时,分配与所述第二虚拟局域网对应的IP池池中的IP地址给所述虚拟机。在可选实施例中,所述虚拟局域网管理模块,还用于所述检测模块检测到当前工作模块为关VLAN模式时,根据预确定的管理规则将管理范围内的各虚拟局域网下的所有虚拟机的IP地址与一指定虚拟局域网的标识符VID绑定。在可选实施例中,所述虚拟局域网管理模块,还用于所述检测模块检测到当前工作模块为开VLAN模式时,将多个IP池中的IP地址与同一虚拟局域网的标识符绑定,以便具有该多个IP池内的IP地址的虚拟机可相互通信。在可选实施例中,所述虚拟局域网管理模块,还用于所述检测模块检测到当前工作模块为开VLAN模式时,根据网络规划将IP地址与所述指定虚拟局域网的标识符VID绑定的虚拟机重新划分到不同的虚拟局域网,并将这些虚拟机的IP地址分别与所述不同的虚拟局域网的标识符绑定。
根据本发明的又一方面,还提供了一种云计算网络管理系统,所述云计算网络管理系统包括云计算网络管理装置,其包括:检测模块,用于检测云计算系统的当前工作模式为开VLAN模式还是关VLAN模式;虚拟局域网管理模块,用于在所述检测模块检测到当前工作模式为开VLAN模式时,根据接收到的IP池资源请求消息将IP池中的所有IP地址与该IP池所属的虚拟局域网的标识符VID绑定,其中,所述IP池中包括多个虚拟机可用的IP地址;IP地址分配模块,用于在通过云计算系统创建属于第一虚拟局域网的虚拟机时,分配与所述第一虚拟局域网对应的IP池中的IP地址给所述虚拟机;以及,在通过云计算系统创建属于第二虚拟局域网的虚拟机时,分配与所述第二虚拟局域网对应的IP池池中的IP地址给所述虚拟机。其中,所述云计算网络管理装置可以为单独的物理实体或者配置在至少一个云计算系统中。本发明实施例通过将IP资源与VLAN资源进行捆绑管理的方法,间接实现了将用户虚拟机与VLAN绑定,从而达到了为用户虚拟机进行分组的效果。此外,通过采用本发明的虚拟机管理方法以及云计算网络管理装置,可以增加VLAN资源使用的灵活性,允许多个组织用户使用相同的VLANID,从而增加VLAN资源的的有效利用率,进而可以降低因VLAN资源不充足带来的种种不便。
图1是根据本发明实施例的云计算网络下的虚拟机管理方法的流程示意图。图2是根据本发明另一实施例的云计算网络管理装置的结构示意图。
具体实施例方式下面结合附图对本发明实施例作进一步的详细说明。在大规模的云计算环境中,需要为不同的用户分配不同的安全以达到虚拟机隔离通信的目的。基于性能和安全方面的考虑,可能会对用户虚拟机的安全管理有如下几个明确的需求:同一组织的虚拟机可以分布在不同性能的物理主机上;不同组织的虚拟机对其他组织是不可见的;不同组织的虚拟机无法访问其他组织的虚拟机。这是由于如果将云计算系统中的一个用户看作一个公司,不同的用户代表不同的公司,通常情况下,一个公司中的内容信息是不希望被其他公司随意看到的,因此需要对不同用户的虚拟机进行通信隔离。图1是根据本发明实施例的一种云计算网络下的虚拟机管理方法的流程示意图。如图1所示,该管理方法包括:S101,检测当前工作模式为开VLAN模式还是关VLAN模式。检测为开VLAN模式时,执行步骤102。检测为关VLAN模式时,执行步骤105。S102,根据接收到的IP池资源请求消息以及预设置的网络规划将IP池中的所有IP地址与该IP池所属的虚拟局域网的标识符VID绑定。在本发明实施例中,每个IP池中可包括多个虚拟机可用的IP地址。
S103,在创建属于第一虚拟局域网的虚拟机时,分配与所述第一虚拟局域网对应的IP池中的IP地址给所述虚拟机。S104,在创建属于第二虚拟局域网的虚拟机时,分配与所述第二虚拟局域网对应的IP池池中的IP地址给所述虚拟机。S105,根据预设置的网络规划将各IP池中的所有IP地址与一指定虚拟局域网的标识符VID绑定。在本发明可选实施例中,所述当前工作模式为开VLAN模式时,将多个IP池中的IP地址与同一虚拟局域网的标识符绑定,以便具有该多个IP池内的IP地址的虚拟机可相互通信。在一实施例中,IP池中的IP地址与虚拟局域网标识符绑定可以通过记录IP地址与VLAN VID的关联关系来实现。这样等于间接将用户虚拟机与VLAN资源绑定,从而达到用户虚拟机分组的效果。在本发明可选实施例中,所述方法还可以包括:对于各虚拟局域网下已分配IP地址的虚拟机,在检测到当前工作模式为关VLAN模式时,根据预设置的管理规则将管理范围内的各虚拟局域网下的所有虚拟机的IP地址重新与一指定虚拟局域网的标识符VID绑定。以下描述根据本发明实施例的云计算网络下的虚拟机管理方法的一个例子。在每个计算机上安装云计算操作系统时,可以依据用户对数据安全的需求,配置“开VLAN”模式或“关VLAN”模式。“开VLAN模式”下,可通过为计算机系统上的虚拟机配置VLAN ID来保护用户数据,例如,第一计算机系统上的一个或多个虚拟机配置在第一虚拟局域网VLANl中,则为第一计算机系统上的一个多个虚拟机绑定第一虚拟局域网VLANl的标识符VIDl ;第二计算机系统上的一个或多个虚拟机配置在第二虚拟局域网VLAN2中,则为第二计算机系统上的一个多个虚拟机绑定第二虚拟局域网VLAN2的标识符VID2。在一可选实施例中,可以是在“开VLAN模式”下,当用户申请IP池资源时,根据网络规划为该IP池指定一个具体的虚拟局域网,如VLAN1。例如,可以是将第一 IP池内的所有IP地址与VLANl的标识符VIDl绑定。然后,当某一计算机系统创建虚拟机时,可以为创建的虚拟机分配该IP池内的IP地址,则所创建的虚拟机落在VLANl内。此外,当另一计算机系统创建虚拟机时,可以为创建的虚拟机分配另一 IP池内的IP地址,其中该另一 IP池内的所有IP地址与VLAN2的标识符VID2绑定,则该创建的虚拟机落在VLAN2内。这样,对应相同VID即属于同一虚拟局域网内的虚拟机彼此之间可以实现二层互通;而不同虚拟局域网内的虚拟机彼此之间无法实现二层互通,从而实现了虚拟机的分组隔离。通过这种方式可以实现用户数据隔离,以保护用户数据安全。“关VLAN”模式下,当前操作系统所管理的所有虚拟机(例如VLANl和VLAN2中的虚拟机)都配置在同一虚拟局域网(例如PVLAN)内,使得所有虚拟机之间可以自由通信。例如,在一实施例中,根据预设置的管理规则可以确定管理的云计算机系统或云计算系统上的虚拟机,然后,使不同云计算系统上的虚拟机对应同一 VLAN ID,则整个管理系统内的所有虚拟机之间可以进行互相通信。上面仅示例说明了一个IP池对应一个虚拟局域网的例子,可以理解的是,根据设计需要多个IP池对应一个虚拟局域网也是可以的。此外,上面示例说明了创建新的虚拟机时为其分配IP池中的IP地址的实施方式。然而,对于云计算系统上已创建并分配IP地址的虚拟机,根据网络规划也可以是为IP地址绑定新的虚拟机的标识符VID,即为虚拟机重新指定所属的虚拟局域网。在一可选实施例中,在关VLAN模式时,管理系统中的所有虚拟机的IP地址与系统专门指定的虚拟局域网的标识符绑定。当工作模式从关VLAN模式变为开VLAN模式后,可以根据网络规划将这些虚拟机重新划分到不同的虚拟局域网。例如将这些虚拟机中的第一部分虚拟机的IP地址与第三虚拟局域网VLAN3的标识符VID3绑定,将第二部分虚拟机的IP地址与第四虚拟局域网VLAN4的标识符合VID4绑定。这样可以增加管理系统的灵活性。在本发明一可选实施例中,“开VLAN模式”下,不同虚拟局域网内的虚拟机之间不可以进行二层通信,然而它们可以通过上层的网关经审批后进行三层通信。例如,当第一虚拟局域网内的虚拟机与第二虚拟局域网内的虚拟机进行通信时,作为源端的第一虚拟局域网内的虚拟机或第二虚拟局域网内的虚拟机传送数据给网关,由网关确定是否将数据传送给作为目的端的第二虚拟局域网内的虚拟机或第一虚拟局域网内的虚拟机。图2是根据本发明另一实施例的云计算网络管理装置的结构示意图。如图2所示,云计算网络管理装置包括检测模块20、虚拟局域网管理模块40和IP地址分配模块60。检测模块20,用于检测云计算系统的当前工作模式为开VLAN模式还是关VLAN模式。虚拟局域网管理模块40,用于在检测模块10检测到当前工作模式为开VLAN模式时,根据接收到的IP池资源请求消息以及预设置的网络规划将IP池中的所有IP地址与该IP池所属的虚拟局域网的标识符VID绑定。其中,所述IP池中包括多个虚拟机可用的IP地址。在可选实施例中,虚拟局域网管理模块40,还用于在检测模块10检测到当前工作模式为关VLAN模式时,根据预设置的网络规划将各IP池中的所有IP地址与一指定虚拟局域网的标识符VID绑定。IP地址分配模块60,用于在通过云计算系统创建属于第一虚拟局域网的虚拟机时,分配与所述第一虚拟局域网对应的IP池中的IP地址给所述虚拟机;以及,在通过云计算系统创建属于第二虚拟局域网的虚拟机时,分配与所述第二虚拟局域网对应的IP池池中的IP地址给所述虚拟机。在可选实施例中,虚拟局域网管理模块40,还用于检测模块20检测到当前工作模块为关VLAN模式时,根据预确定的管理规则将管理范围内的各虚拟局域网下的所有虚拟机的IP地址与一指定虚拟局域网的标识符VID绑定。在可选实施例中,虚拟局域网管理模块40,还用于检测模块20检测到当前工作模块为开VLAN模式时,将多个IP池中的IP地址与同一虚拟局域网的标识符绑定,以便具有该多个IP池内的IP地址的虚拟机可相互通信。在可选实施例中,虚拟局域网管理模块40,还用于检测模块20检测到当前工作模块为开VLAN模式时,根据网络规划将IP地址与所述指定虚拟局域网的标识符VID绑定的虚拟机重新划分到不同的虚拟局域网,并将这些虚拟机的IP地址分别与所述不同的虚拟局域网的标识符绑定。相应地,本发明还提供了一种云计算网络管理系统,所述云计算网络管理系统包括本发明实施例的云计算网络管理装置以及多个云计算系统。其中,每个云计算系统上创建有一个或多个虚拟机。云计算网络管理装置用于对这些云计算系统上的虚拟机进行管理。在一实施例中,云计算网络管理装置可以为一个单独的物理设备。在另一实施例中,云计算管理装置可以是配置在多个云计算系统中的一个中。在又一实施例中,云计算管理装置可以是配置在每个云计算系统中。通过本发明实施例提出的虚拟机管理方法和云计算网络管理装置,可以有效地对有限的VLAN资源进行分类灵活的使用,对不存放机密文件的虚拟机可设置其不单独占用限定的VLAN资源,而使用公用的VLAN资源,进而用户可无需为不必要的安全组设置付费,符合云计算环境“按需申请,按使用付费”的理念。此外,通过设置云计算系统的“关VLAN”模式,可对较高数量级的虚拟机所对应的VLAN资源进行统一管理,避免用户误操作产生的付费和VLAN资源浪费,同时极大地提高有限的VLAN资源的利用效率。在此提供的算法和实现不限于任何特定的计算机、虚拟系统或者其它设备。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或部件,以及此外可以把它们分成多个子模块或子单元或子部件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。此外,本申请的说明书中虽然描述了本发明实施例的大量具体细节,然而,能够理解,本发明实施例并不是必须在所有的具体细节情况下才能实施。在一些实例中,并未详细示出公知的方法、结构和技术,以便于清楚地理解本发明的发明主旨。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种云计算网络下的虚拟机管理方法,包括: 检测当前工作模式为开VLAN模式还是关VLAN模式; 检测到为开VLAN模式时,根据接收到IP池资源请求消息以及预设置的网络规划将IP池中的所有IP地址与该IP池所属的虚拟局域网的标识符VID绑定,其中,所述IP池中包括多个虚拟机可用的IP地址; 在创建属于第一虚拟局域网的虚拟机时,分配与所述第一虚拟局域网对应的IP池中的IP地址给所述虚拟机;以及, 在创建属于第二虚拟局域网的 虚拟机时,分配与所述第二虚拟局域网对应的IP池池中的IP地址给所述虚拟机。
2.根据权利要求1所述的虚拟机管理方法,其特征在于,所述方法还包括: 所述当前工作模式为开VLAN模式时,将多个IP池中的IP地址与同一虚拟局域网的标识符绑定,以便具有该多个IP池内的IP地址的虚拟机可相互通信。
3.根据权利要求1所述的虚拟机管理方法,其特征在于,所述方法还包括: 检测到当前工作模式为关VLAN模式时,根据预设置的管理规则将管理范围内的各虚拟局域网下的所有虚拟机的IP地址与一指定虚拟局域网的标识符VID绑定。
4.根据权利要求3所述的虚拟机管理方法,其特征在于,所述方法还包括: 检测到当前工作模式为开VLAN模式时,根据网络规划将IP地址与所述指定虚拟局域网的标识符VID绑定的虚拟机重新划分到不同的虚拟局域网,并将这些虚拟机的IP地址分别与不同的虚拟局域网的标识符VID绑定。
5.根据权利要求1所述的虚拟机管理方法,其特征在于,所述方法还包括: 当所述第一虚拟局域网内的虚拟机与所述第二虚拟局域网内的虚拟机进行通信时,作为源端的所述第一虚拟局域网内的虚拟机或所述第二虚拟局域网内的虚拟机传送数据给网关,由所述网关确定是否将所述数据传送给作为目的端的所述第二虚拟局域网内的虚拟机或所述第一虚拟局域网内的虚拟机。
6.一种云计算网络管理装置,包括: 检测模块,用于检测云计算系统的当前工作模式为开VLAN模式还是关VLAN模式; 虚拟局域网管理模块,用于在所述检测模块检测到当前工作模式为开VLAN模式时,根据接收到的IP池资源请求消息以及预设置的网络规划将IP池中的所有IP地址与该IP池所属的虚拟局域网的标识符VID绑定,其中,所述IP池中包括多个虚拟机可用的IP地址; IP地址分配模块,用于在通过云计算系统创建属于第一虚拟局域网的虚拟机时,分配与所述第一虚拟局域网对应的IP池中的IP地址给所述虚拟机;以及, 在通过云计算系统创建属于第二虚拟局域网的虚拟机时,分配与所述第二虚拟局域网对应的IP池池中的IP地址给所述虚拟机。
7.根据权利要求6所述的云计算网络管理装置,其特征在于: 所述虚拟局域网管理模块,还用于所述检测模块检测到当前工作模块为关VLAN模式时,根据预确定的管理规则将管理范围内的各虚拟局域网下的所有虚拟机的IP地址与一指定虚拟局域网的标识符VID绑定。
8.根据权利要求6所述的云计算网络管理装置,其特征在于: 所述虚拟局域网管理模块,还用于所述检测模块检测到当前工作模块为开VLAN模式时,将多个IP池中的IP地址与同一虚拟局域网的标识符绑定,以便具有该多个IP池内的IP地址的虚拟机可相互通信。
9.根据权利要求7所述的云计算网络管理装置,其特征在于: 所述虚拟局域网管理模块,还用于所述检测模块检测到当前工作模块为开VLAN模式时,根据网络规划将IP地址与所述指定虚拟局域网的标识符VID绑定的虚拟机重新划分到不同的虚拟局域网,并将这些虚拟机的IP地址分别与所述不同的虚拟局域网的标识符绑定。
10.一种云计算网络管理系统,其特征在于,所述云计算网络管理系统包括权利要求6-9中任一项的云计算网络管理装置,所述云计算网络管理装置为单独的物理实体或者配置在至少一个云计算系 统中。
全文摘要
本发明公开了一种云计算网络下的虚拟机管理方法,包括检测当前工作模式为开VLAN模式还是关VLAN模式;检测到为开VLAN模式时,根据接收到IP池资源请求消息以及预设置的网络规划将IP池中的所有IP地址与该IP池所属的虚拟局域网的标识符VID绑定,其中,所述IP池中包括多个虚拟机可用的IP地址;在创建属于第一虚拟局域网的虚拟机时,分配与所述第一虚拟局域网对应的IP池中的IP地址给所述虚拟机;以及,在创建属于第二虚拟局域网的虚拟机时,分配与所述第二虚拟局域网对应的IP池池中的IP地址给所述虚拟机。本发明还公开了一种云计算网络管理装置。采用本发明,可以提供用户数据的安全性。
文档编号H04L12/24GK103138990SQ201310077720
公开日2013年6月5日 申请日期2013年3月12日 优先权日2013年3月12日
发明者王慧谦, 孙国忠, 樊兴军, 李守超 申请人:无锡城市云计算中心有限公司