云组网系统、安全访问方法、设备及存储介质与流程

本技术涉及云计算，尤其涉及一种云组网系统、安全访问方法、设备及存储介质。

背景技术：

1、随着云计算技术的发展，用户可以在云网络上构建自己的虚拟私有云(virtualprivate cloud，vpc)，vpc是一个隔离的、允许用户自己管理配置和策略的虚拟网络环境，不同vpc相互隔离，实现数据、服务的安全。

2、在实际应用中，不同vpc之间可能需要互通，于是出现了转发路由器(transitrouter，tr)，通过tr可以实现不同vpc之间的互通，不同vpc之间的服务可以互访，简称为tr组网场景。

3、但是，vpc的初衷是安全隔离，不同vpc互通之后，不同vpc之间的服务可以互访，这相当于对vpc的安全性降级，所以tr组网场景面临着如何解决跨vpc互访时的安全问题。

技术实现思路

1、本技术的多个方面提供一种云组网系统、安全访问方法、设备及存储介质，用以解决tr组网场景面临的跨vpc互访时的安全问题。

2、本技术实施例提供一种云组网系统，包括：转发路由器tr，以及与所述tr互联的多个客户虚拟私有云vpc；所述多个客户vpc之间通过所述tr进行服务互访；所述云组网系统还包括：安全管控vpc，所述安全管控vpc中包括网关型负载均衡设备gwlb以及与所述gwlb互联的多个安全服务节点，用于对外提供安全服务；在所述云组网系统中还部署有gwlb连接组件，所述gwlb连接组件作为所述tr和所述gwlb之间的路由媒介，分别与所述tr和所述gwlb互联；所述tr上配置有默认指向所述gwlb连接组件的至少一条安全路由信息，用于在每条安全路由信息对应的两个客户vpc进行服务访问过程中，通过所述gwlb连接组件和所述gwlb使用所述安全管控vpc中的安全服务节点为所述服务访问过程提供安全服务。

3、本技术实施例还提供一种安全访问方法，应用于云组网系统中的转发路由器tr，所述方法包括：接收来自云组网系统中任一客户vpc中的第一隧道报文，所述第一隧道报文是根据所述任一客户vpc向另一客户vpc请求目标服务的原始报文进行隧道封装得到的；若所述第一隧道报文对应的路由信息属于安全路由信息，将所述第一隧道报文发送给云组网系统中的gwlb连接组件，以通过安全管控vpc中的gwlb使用安全管控vpc中的安全服务节点对所述原始报文进行安全认证；其中，所述安全路由信息指向所述gwlb连接组件，所述gwlb连接组件作为所述tr和所述gwlb之间的路由媒介，分别与所述tr和所述gwlb互联，所述gwlb与安全服务节点互联。

4、本技术实施例还提供一种安全访问方法，应用于云组网系统中的网关型负载均衡设备gwlb连接组件，所述方法包括：接收云组网系统中的转发路由器tr发送的第一隧道报文，所述第一隧道报文是根据云组网系统中任一客户vpc向另一客户vpc请求目标服务的原始报文进行隧道封装得到的；从所述第一隧道报文中解析出所述原始报文，将所述原始报文发送给安全管控vpc中的gwlb，以使所述gwlb将所述原始报文负载均衡至安全管控vpc中的安全服务节点上进行安全认证；所述gwlb连接组件作为所述tr和所述gwlb之间的路由媒介，分别与所述tr和所述gwlb互联，所述gwlb与安全服务节点互联。

5、本技术实施例还提供一种安全访问方法，应用于云组网系统中的虚拟私有云vpc连接组件，所述方法包括：接收其所在客户vpc中客户端请求访问目标服务的原始报文；根据预先配置的指向转发路由器tr的路由信息，将所述原始报文封装为第一隧道报文；将所述第一隧道报文发送给所述tr，以通过所述tr与提供所述目标服务的另一客户vpc进行服务互访。

6、本技术实施例提供一种安全访问装置，可位于云组网系统中的转发路由器tr中实现，该装置包括：存储模块，用于存储默认指向云组网系统中的网关型负载均衡设备gwlb连接组件的至少一条安全路由信息；接收模块，用于接收来自云组网系统中任一客户vpc中的第一隧道报文，所述第一隧道报文是根据所述任一客户vpc向另一客户vpc请求目标服务的原始报文进行隧道封装得到的；发送模块，用于在所述第一隧道报文对应的路由信息属于安全路由信息的情况下，将所述第一隧道报文发送给所述gwlb连接组件，以通过安全管控vpc中的gwlb使用安全管控vpc中的安全服务节点对所述原始报文进行安全认证；其中，所述gwlb连接组件作为所述tr和所述gwlb之间的路由媒介，分别与所述tr和所述gwlb互联，所述gwlb与安全服务节点互联。

7、本技术实施例提供一种转发路由器，可应用于云组网系统中，包括：存储器和处理器；所述存储器用于存储计算机程序和默认指向云组网系统中的网关型负载均衡设备gwlb连接组件的至少一条安全路由信息；所述处理器，与所述存储器耦合，用于执行所述计算机程序，以用于执行本技术实施例提供的可由转发路由器执行的方法中的步骤。

8、本技术实施例提供一种安全访问装置，安全访问装置，可位于云组网系统中的网关型负载均衡设备gwlb连接组件中实现，该装置包括：接收模块，用于接收云组网系统中的转发路由器tr发送的第一隧道报文，所述第一隧道报文是根据云组网系统中任一客户vpc向另一客户vpc请求目标服务的原始报文进行隧道封装得到的；解封装模块，用于从所述第一隧道报文中解析出所述原始报文；发送模块，用于将所述原始报文发送给安全管控vpc中的gwlb，以使所述gwlb将所述原始报文负载均衡至安全管控vpc中的安全服务节点上进行安全认证；所述gwlb连接组件作为所述tr和所述gwlb之间的路由媒介，分别与所述tr和所述gwlb互联，所述gwlb与安全服务节点互联。

9、本技术实施例提供一种云计算设备，可作为云组网系统中的网关型负载均衡设备gwlb连接组件实现，包括：存储器和处理器；所述存储器用于存储计算机程序，所述处理器，与所述存储器耦合，用于执行所述计算机程序，以用于执行本技术实施例提供的可由gwlb连接组件执行的方法中的步骤。

10、本技术实施例提供一种云计算设备，可作为云组网系统中的虚拟私有云vpc连接组件实现，包括：存储器和处理器；所述存储器用于存储计算机程序，所述处理器，与所述存储器耦合，用于执行所述计算机程序，以用于执行本技术实施例提供的可由vpc连接组件执行的方法中的步骤。

11、本技术实施例提供一种存储有计算机程序的计算机可读存储介质，当所述计算机程序被处理器执行时，致使所述处理器能够实现本技术实施例提供的各方法中的步骤。

12、在本技术实施例中，在基于tr的组网系统中，引入安全管控vpc，在安全管控vpc中使用gwlb，将gwlb作为对外提供安全服务的暴露对象；由于gwlb与tr不在同一平面，在该组网系统中进一步增加一种新的产品对象即gwlb连接组件，作为tr和gwlb之间的路由媒介，实现tr和gwlb的互联，并通过在tr上配置默认指向gwlb连接组件的安全路由信息，使得能够在安全路由信息对应的两个客户vpc进行服务访问过程中提供安全服务，实现安全互访，解决tr组网场景中客户vpc之间互访时所面临的安全问题。

13、另外，在本技术实施例中，直接在tr和gwlb之间增加gwlb连接组件的方式，有利于简化tr组网场景中安全服务的接入实现，客户vpc之间的互访流量只需经tr和gwlb连接组件流入gwlb进而使用安全服务，流量转发路径较短，有利于降低路径上的传输时延。