一种私有云接入方法及设备与流程

本申请涉及通信技术领域，尤其涉及一种私有云接入方法、设备。

背景技术：

伴随“互联网+”、“工业4.0”等概念的提出，云服务得到更广泛普及应用，大量企业购买运营商或it厂商的云服务产品。传统的云资源接入方法中，用户需要先购买云服务提供商的云资源，通过互联网访问公有云。企业用户也可以通过开通使用只有自己能够访问，其他人不可见的私有云服务。

在开通私有云业务时，现有技术中通常需要技术人员分别在网络资源中配置访问私有云的网络资源(专线服务)以及在数据中心的云资源中配置私有云资源，进而使用户通过特定的网络资源访问数据中心中对应的私有云资源的云主机。发明人发现现有技术中至少存在以下技术问题：传统的接入方法中使用分别配置云资源和网络资源的方式接入私有云资源，配置工作量大、开通周期长。并且无论故障处理还是业务开通经常需要技术人员现场处理，因此需要企业自身具备较高素质的技术人员或者支付高昂的费用来实现私有云的方法。

技术实现要素：

本申请的实施例提供一种私有云接入方法及设备，能够对私有云的接入业务中的网络资源与私有云资源进行集中管理控制，实现私有云云资源接入的自动配置和快速开通。

为达到上述目的，本申请的实施例采用如下技术方案：

第一方面，本申请实施例提供了一种私有云接入方法，包括：控制编排平台获取用户的订购信息；控制编排平台根据订购信息生成云资源配置信息，并将云资源配置信息发送至云资源数据中心；云资源数据中心根据云资源配置信息，为用户分配对应的私有云的云资源，并在私有云的云资源中建立云接入虚拟网关，通过私有云的云资源对应的虚拟路由器vrouter建立云接入虚拟网关与私有云的云资源中的云主机之间的路由指向；控制编排平台根据订购信息对云接入终端设备进行认证，并生成云接入终端设备配置信息，将云接入终端设备配置信息发送至云接入终端设备；云接入终端设备根据云接入终端设备配置信息，建立云接入终端设备与云接入虚拟网关之间的虚拟专用网络vpn隧道；云接入终端设备用于为用户提供接入访问私有云的物理通道，云接入终端设备属于任一企业分支。本申请实施例提供的私有云接入的方法，通过由控制编排平台根据用户的订购信息，统一分配私有云的云资源以及建立用户与私有云的云资源之间的网络资源即建立云接入终端设备与云接入虚拟网关之间的虚拟专用网络vpn隧道，进而实现了云资源接入的自动配置和快速开通，提高了开通私有云业务的效率。同时，本申请利用云接入终端设备来为用户提供接入访问私有云的物理通道。从而当用户需要访问私有云时，只要将云接入终端设备接入网络，就可以通过云接入终端设备提供的物理通道，访问私有云的云资源。

在第一种可能的设计中，结合第一方面，在私有云的云资源中建立云接入虚拟网关，包括：控制编排系统将云接入虚拟网关的镜像发送至云资源数据中心，云资源数据中心在私有云的云资源中安装云接入虚拟网关的镜像，建立云接入虚拟网关。

在第二种可能的设计中，结合第一方面，在控制编排平台根据订购信息对云接入终端设备进行认证之前，该方法还包括：在云接入终端设备接入网络后，云接入终端设备向动态主机配置协议dhcp服务器发送地址获取请求，dhcp服务器根据地址获取请求为云接入终端设备分配网络之间互连协议ip地址，同时将控制编排平台的统一资源定位符url发送至云接入终端设备；云接入终端设备通过域名系统dns解析控制编排平台的地址，建立云接入终端设备与控制编排平台的连接，并向控制编排平台发送认证信息。

在第三种可能的设计中，结合第一方面，在控制编排平台根据订购信息对云接入终端设备进行认证之后，云资源数据中心再通过vrouter建立云接入虚拟网关与私有云的云资源中的云主机之间的路由指向。本设计中，考虑到若在云接入终端设备接入网络并进行认证之前建立云接入虚拟网关与云主机之间的路由指向，则会因为没有云接入终端设备需要访问私有云中的云主机，从而使已经建立好的云接入虚拟网关与云主机之间的路由指向没有意义，浪费运算、存储资源。

第二方面，本申请提供一种控制编排平台，包括：获取模块，用于获取用户的订购信息；处理模块，用于在获取模块获取订购信息后，根据订购信息生成云资源配置信息；发送模块，用于将处理模块生成的云资源配置信息发送至云资源数据中心；以使得云资源数据中心根据云资源配置信息，为用户分配对应私有云的云资源，并在私有云的云资源中建立云接入虚拟网关，通过私有云的云资源对应的虚拟路由器vrouter建立云接入虚拟网关与私有云的云资源中的云主机之间的路由指向；认证模块，用于在获取模块获取订购信息后，对云接入终端设备进行认证；处理模块，还用于在认证模块对云接入终端设备进行认证之后，生成云接入终端设备配置信息；发送模块，还用于在处理模块生成云接入终端设备配置信息后，将云接入终端设备配置信息发送至云接入终端设备，以使得云接入终端设备根据云接入终端设备配置信息，建立云接入终端设备与云接入虚拟网关之间的虚拟专用网络vpn隧道；云接入终端设备用于为一个企业分支提供接入访问私有云的物理通道。发送模块，，还用于将云接入虚拟网关的镜像发送至云资源数据中心；以使得云资源数据中心在私有云的云资源中安装云接入虚拟网关的镜像，建立云接入虚拟网关。基于同一发明构思，由于该控制编排平台解决问题的原理以及有益效果可以参见上述第一方面和第一方面的各可能的方法实施方式以及所带来的有益效果，因此该控制编排平台的实施可以参见上述第一方面和第一方面的各可能的方法的实施方式，重复之处不再赘述。

第三方面，本申请提供了一种云接入终端设备，包括：发送模块，用于向控制编排平台发送认证信息；接收模块，用于在发送模块向控制编排平台发送认证信息后，接收控制编排平台发送的云接入终端设备配置信息；连接模块，用于在接收模块接收控制编排平台发送的云接入终端设备配置信息之后，建立云接入终端设备与私有云的云资源中的云接入虚拟网关之间的虚拟专用网络vpn隧道。本申请实施例提供的云接入终端设备，能够在接入网络后向控制编排平台发送认证信息。并根据控制编排平台对云接入终端设备认证后所发送的云接入终端设备配置信息，自动的建立与私有云的云资源中的云接入虚拟网关之间的虚拟专用网络vpn隧道，从而使云接入终端设备可以通过该vpn隧道访问私有云。进而实现了通过即插即用的云接入终端来访问私有云资源，使用户可以更加便捷的访问私有云资源。

第四方面，本申请实施例提供一种云资源数据中心，包括：接收模块，用于接收控制编排平台发送的云资源配置信息；处理模块，用于在接收模块接收控制编排平台发送的云资源配置信息之后，为用户分配对应私有云的云资源，并在私有云的云资源中建立云接入虚拟网关，通过私有云的云资源对应的虚拟路由器vrouter建立云接入虚拟网关与私有云的云资源中的云主机之间的路由指向；处理模块还用于建立云接入终端设备与云接入虚拟网关之间的虚拟专用网络vpn隧道。

第五方面，本申请实施例提供一种云接入虚拟网关，包括：资源连接模块，用于在云资源数据中心接收控制编排平台发送的云资源配置信息并为用户分配对应的私有云的云资源后，通过私有云的云资源对应的虚拟路由器vrouter建立云接入虚拟网关与私有云的云资源中的云主机之间的路由指向；隧道终结模块，用于在所述控制编排平台对云接入终端进行认证后，建立云接入虚拟网关与云接入终端设备之间的虚拟专用网络vpn隧道。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

图1为本申请的实施例提供的一种网络系统的结构示意图；

图2为本申请的实施例提供的一种私有云接入的方法的流程示意图；

图3为本申请的实施例提供的一种控制编排平台的结构示意图；

图4为本申请的实施例提供的一种云接入终端设备的结构示意图；

图5为本申请的实施例提供的一种云资源数据中心的结构示意图；

图6为本申请的实施例提供的一种云接入虚拟网关的结构示意图。

具体实施方式

下面结合附图，对本申请的实施例进行描述。本申请的实施例应用于为用户提供私有云服务的场景中。

如图1所示，为本申请实施例提供的一种网络系统的结构示意图。该网络系统中包括云资源数据中心、控制编排平台、互联网、云接入终端设备以及通过云接入终端设备访问私有云的用户分支。其中，一个用户可以包括多个用户分支(如图中a用户的用户分支-1和a用户的用户分支-2)，一个用户分支中可以包括多个用户设备。云资源数据中心中可以包括有多个不同用户的私有云的云资源(如图中云资源数据中心包括了a用户的私有云资源以及b用户的私有云资源)。每个私有云的云资源中包括对应的虚拟路由器vrouter、为用户提供云服务的云主机以及用于连接用户设备的云接入虚拟网关。其中，vrouter分别与互联网、云接入虚拟网关、云主机连接。控制编排平台分别与云接入终端设备、云资源数据中心连接。每个用户分支对应的云接入终端设备通过互联网连接到对应的用户私有云中的虚拟路由器vrouter。

具体的，当用户访问私有云时，用户设备先通过云接入终端设备与云接入虚拟网关之间的虚拟专用网络vpn隧道，将数据封装为vpn隧道数据包并传输至私有云中的云接入虚拟网关。云接入虚拟网关将对vpn隧道数据包进行解封装，并将解封装后的数据通过vrouter建立的路由指向将数据转发至对应的云主机。反之，云主机通过vrouter建立的路由指向，将需要传输的数据发送至云接入虚拟网关。云接入虚拟网关再将数据封装为vpn隧道数据包，并通过vpn隧道将vpn隧道数据包发送至云接入终端设备，云接入终端设备对vpn隧道数据包进行解封装后再将数据转发至对应的用户设备。进而实现用户设备访问私有云的过程。

基于上述的网络系统结构，本申请实施例提供一种私有云接入的方法，参照图2所示，包括以下步骤：

s101、控制编排平台获取用户的订购信息。

具体的，控制编排平台可以通过接收用户通过客户端设备直接发送的订购信息，控制编排平台也可以通过专门的业务订购系统获取用户的订购信息。

控制编排平台在获取用户的订购信息后，可以根据订购信息生成云接入终端设备的配置模板，该配置模板用于在之后的步骤中对云接入终端设备进行认证及对云接入终端设备进行配置上下行带宽、开启网络地址转换nat功能等。

s102、控制编排平台根据订购信息生成云资源配置信息，并将云资源配置信息发送至云资源数据中心。

s103、云资源数据中心根据云资源配置信息，为用户分配对应的私有云的云资源。

其中，云资源数据中心在接收到云资源配置信息后，会生成开启私有云的云资源的生命周期并且完成vrouter的初始配置，为用户分配对应的私有云的云资源。

s104、在私有云的云资源中建立云接入虚拟网关。

在为用户分配好私有云云资源后，在私有云云资源中建立云接入虚拟网关vcpe。具体的，可以通过控制编排平台将云接入虚拟网关vcpe的镜像发送至云资源数据中心，云资源数据中心在私有云的云资源中安装云接入虚拟网关的镜像，建立云接入虚拟网关vcpe。

s105、通过私有云的云资源对应的虚拟路由器vrouter建立云接入虚拟网关与私有云的云资源中的云主机之间的路由指向。

具体的，在建立云接入虚拟网关vcpe后，vrouter根据云接入虚拟网关以及私有云中各云主机的地址，建立云接入虚拟网关与各云主机之间的路由指向。

s106、云接入终端设备向控制编排平台发送认证请求。

云接入终端设备用于为用户提供访问私有云的物理通道，示例性的如图1所示，一个用户可以有多个用户分支，每个用户分支可以通过对应的云接入终端设备访问该用户的私有云的云资源。

具体的，在云接入终端设备在上电并接入网络后，云接入终端设备自动向动态主机配置协议dhcp服务器发送地址获取请求，dhcp服务器根据地址获取请求为云接入终端设备分配ip地址，并将所述控制编排平台的统一资源定位符url发送至所述云接入终端设备；云接入终端设备通过域名系统dns解析控制编排平台的地址，建立云接入终端设备与控制编排平台的连接。之后云接入终端设备向控制编排平台发送认证请求。

s107、控制编排平台接收到认证请求后，根据订购信息对云接入终端设备进行认证，并生成云接入终端设备配置信息，将云接入终端设备配置信息发送至云接入终端设备。

其中，控制编排平台在接收到认证请求后，可以通过根据订购信息生成的云接入终端设备的配置模板，对云接入终端设备进行认证。在对云接入终端设备认证后，向云接入终端设备云接入终端设备配置信息。

需要说明的是，本申请实施例中可以在控制编排平台对云接入终端设备进行认证后，再执行步骤s105通过所述私有云的云资源对应的虚拟路由器vrouter建立所述云接入虚拟网关与所述私有云的云资源中的云主机之间的路由指向。从而避免因为没有云接入终端设备需要访问私有云中的云主机，从而使已经建立好的云接入虚拟网关与云主机之间的路由指向没有意义，浪费运算、存储资源的问题。

s108、云接入终端设备根据云接入终端设备配置信息，建立云接入终端设备与云接入虚拟网关之间的虚拟专用网络vpn隧道。

实例性的，云接入终端设备在接收到云接入终端设备配置信息后，根据云接入终端设备配置信息先对云接入终端设备进行初始配置，设置该用户分支访问私有云的物理通道的上下行带宽、开启网络地址转换nat功能等。在对云接入终端设备进行初始配置后，利用云接入终端设备配置信息中携带的云接入虚拟网关的ip地址，建立云接入终端设备与云接入虚拟网关之间的虚拟专用网络vpn隧道。

其中，建立云接入终端设备与云接入虚拟网关之间的虚拟专用网络vpn隧道，具体包括：建立云接入终端设备与云接入虚拟网关之间的vxlan(virtualextensiblelocalareanetwork，虚似扩展局域网)隧道。

另外，本申请实施例中，通过在私有云中建立云接入虚拟网关，并将云接入虚拟网关作为vpn隧道的终结节点。从而可以在一个用户存在多个用户分支的情况下，通过将每个用户分支的云接入终端设备与云接入虚拟网关建立vpn隧道，从而为用户提供多个用户分支的云接入服务。

本申请实施例提供的私有云接入的方法，通过由控制编排平台根据用户的订购信息，统一分配私有云的云资源以及建立用户与私有云的云资源之间的网络资源，进而实现了云资源接入的自动配置和快速开通，提高了开通私有云业务的效率。同时，本申请实施例中利用云接入终端设备来为用户提供接入访问私有云的物理通道。从而当用户需要访问私有云时，只要将云接入终端设备接入网络，控制编排平台便会对云接入终端设备进行认证并将云接入终端设备连接至私有云中。进而实现通过即插即用的云接入终端设备提供的物理通道访问私有云的云资源。

本申请实施例提供了一种控制编排平台，用于执行上述私有云接入的方法。图3示出了所涉及的控制编排平台的一种可能的结构示意图。具体的，所述控制编排平台10包括：获取模块101、处理模块102、发送模块103、认证模块104、接收模块105。其中，

获取模块101，用于获取用户的订购信息。

处理模块102，用于在获取模块201获取所述订购信息后，根据订购信息生成云资源配置信息。

发送模块103，用于将处理模块102生成的云资源配置信息发送至云资源数据中心；以使得云资源数据中心根据云资源配置信息，为用户分配对应私有云的云资源，并在私有云的云资源中建立云接入虚拟网关，通过私有云的云资源对应的虚拟路由器vrouter建立云接入虚拟网关与私有云的云资源中的云主机之间的路由指向。

接收模块105，用于接收云接入终端设备发送的认证请求。

认证模块104，用于在接收模块105接收到云接入终端发送的认证请求后，根据获取模块获取的订购信息，对云接入终端设备进行认证。

处理模块102，还用于在认证模块104对云接入终端设备进行认证之后，生成云接入终端设备配置信息。

发送模块103，还用于在处理模块102生成云接入终端设备配置信息后，将云接入终端设备配置信息发送至云接入终端设备，以使得云接入终端设备根据云接入终端设备配置信息，建立云接入终端设备与云接入虚拟网关之间的虚拟专用网络vpn隧道；云接入终端设备用于为一个企业分支提供接入访问私有云的物理通道。

可选的，发送模块103，还用于将云接入虚拟网关的镜像发送至云资源数据中心；以使得云资源数据中心在私有云的云资源中安装云接入虚拟网关的镜像，建立云接入虚拟网关。

本申请实施例提供了一种云接入终端设备，用于执行上述私有云接入的方法。图4示出了所涉及的云接入终端设备的一种可能的结构示意图。具体的，所述云接入终端设备20包括：发送模块201、接收模块202、连接模块203。其中，

发送模块201，用于向控制编排平台发送认证信息。

接收模块202，用于在发送模块201向控制编排平台发送认证信息后，接收控制编排平台发送的云接入终端设备配置信息。

连接模块203，用于在接收模块202接收控制编排平台发送的云接入终端设备配置信息之后，建立云接入终端设备与私有云的云资源中的云接入虚拟网关之间的虚拟专用网络vpn隧道。

在一种可实现的方式中，发送模块201，还用于向动态主机配置协议dhcp服务器发送地址获取请求，以使得dhcp服务器根据地址获取请求为云接入终端设备分配网络之间互连协议ip地址，以及将控制编排平台的统一资源定位符url发送至云接入终端设备。接收模块202，还用于在发送模块201发送地址获取请求后，接收dhcp服务器发送的控制编排平台的url。发送模块201，还用于在接收模块202接收dhcp服务器发送的控制编排平台的url后，在通过域名系统dns解析控制编排平台的地址后，向控制编排平台发送认证信息。

本申请实施例提供了一种云资源数据中心，用于执行上述私有云接入的方法。图5示出了所涉及的云资源数据中心的一种可能的结构示意图。具体的，所述云资源数据中心30包括：接收模块301、处理模块302。其中，

接收模块301，用于接收控制编排平台发送的云资源配置信息；

处理模块302，用于在接收模块301接收控制编排平台发送的云资源配置信息之后，为用户分配对应私有云的云资源，并在私有云的云资源中建立云接入虚拟网关，通过私有云的云资源对应的虚拟路由器vrouter建立云接入虚拟网关与私有云的云资源中的云主机之间的路由指向；

处理模块302，还用于建立云接入终端设备与云接入虚拟网关之间的虚拟专用网络vpn隧道。

本申请实施例提供了一种云接入虚拟网关，用于执行上述私有云接入的方法。图6示出了所涉及的云接入虚拟网关的一种可能的结构示意图。具体的，所述云接入虚拟网关40包括：资源连接模块401、隧道终结模块402。其中，

资源连接模块401，用于在云资源数据中心接收控制编排平台发送的云资源配置信息并为用户分配对应的私有云的云资源后，通过私有云的云资源对应的虚拟路由器vrouter建立云接入虚拟网关与私有云的云资源中的云主机之间的路由指向。

隧道终结模块402，用于在控制编排平台对云接入终端进行认证后，建立云接入虚拟网关与云接入终端设备之间的虚拟专用网络vpn隧道。

需要说明的是，本申请实施例中提供的控制编排平台、云接入终端设备、云资源数据中心、云接入虚拟网关中各单元所对应的其他相应描述，可以参考图1-图2以及上文中对图1-图2的对应描述内容，在此不再赘述。此外，上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。例如，可以对应各功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(randomaccessmemory，ram)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。