一种租户隔离方法及系统的制作方法
【技术领域】
[0001] 本发明涉及云计算技术领域,尤指一种云计算系统中的租户隔离方法及系统。
【背景技术】
[0002] 云计算是一种动态易扩展的通过互联网提供虚拟化资源的计算方式,云计算分 为基础设施即服务(Infrastructure as a Service,IaaS)、平台即服务(Platform as a Service,PaaS)和软件即服务(Software as a Service,SaaS)三个层次的服务资源池。在 云计算环境中,用户的CPU、内存、硬盘等资源形成池化的资源池,对用户统一提供服务。
[0003] 云计算环境中,多个租户使用统一的资源池提供的底层硬件资源。为了保证租户 数据的安全性,需要对租户进行隔离,使租户内部的虚拟机可以相互通信,而租户之间的虚 拟机相互隔离。
[0004] 传统的云计算资源池,租户的虚拟机承载在形成资源池的计算节点上,通过统一 的网络设备进行互通,通常采用虚拟局域网(VLAN,Virtual Local Area Network)的方式 进行租户隔离。在虚拟交换机和接入交换机处为每个租户分配一个或者多个VLAN tag,即 在租户发出的原始报文头的二层(数据链路层)之后加入VLAN标识。由于不同租户的虚拟 机发出的报文由于VLAN标识不同,在虚拟交换机和接入交换机处不会让一个租户的虚拟 机访问其他租户的虚拟机,使得租户之间在网络的二层上进行隔离,达到提升信息安全的 效果。然后在核心交换机处配置相应的访问控制列表(Access Control List,简称ACL)规 则来解决网络的三层(IP层)隔离问题。ACL规则是指:通过从路由表中读取报文头中的信 息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则实现访问控制的目的。 图1是云计算资源池的物理结构示意图。如图1所示,租户的虚拟机(VM,Virtual Machine) 和虚拟交换机连接,承载在形成资源池的计算节点上,虚拟交换机连接于租户的虚拟机与 接入交换机之间,用于负责连接虚拟机和外部的物理网络;接入交换机是物理交换机。按照 现有的租户隔离方法,通过给不同租户的虚拟机划分不同的VLAN tag;由于VLAN tag最大 可以标识4096个虚拟机,因此,租户规模受到限制;通过将同一租户的VLAN tag进行整理, 通过设置租户之间不能通信,即通过VLAN tag区分是否属于同一租户,如果不属于同一租 户,则不允许通信,实现二层隔离;在第三层,通过访问控制列表实现隔离,即,通过ACL第 三层的隔离,使得不同租户的虚拟机在三层不能相互通信。如果对租户网络进行调整,则租 户各虚拟机的VLAN tag也需要进行调整,影响网络管理;另外,现有网络中,同一租户的虚 拟机往往设置在不同的物理主机上,服从云平台管理网络的统一规划,租户无法对其所属 的虚拟机网络进行有效的管理和自由规划。
【发明内容】
[0005] 为了解决上述技术问题,本发明提供了一种租户隔离方法及系统,能够实现云计 算系统中租户之间的有效隔离,提高租户虚拟机规模。
[0006] 为了达到本发明目的,本发明提供了一种租户隔离方法,包括:
[0007] 虚拟交换机为各物理主机上的各虚拟机分配相应的用于标识租户报文的虚拟局 域网标签;
[0008] 接入交换机为各租户分配相应的虚拟租户网络VTN标识符,根据分配的VTN标识 符结合该租户各虚拟机的虚拟局域网标签,生成各租户相应的虚拟网络,实现租户隔离。
[0009] 进一步地,该方法还包括:
[0010] 源接入交换机根据租户报文的目的地址结合该租户的VTN标识符,对租户报文封 装用于物理网络路由的二层报文头;
[0011] 根据封装的二层报文头发送租户报文到目的端接入交换机,目的端交换机根据一 层报文头将租户报文发送给目的端虚拟机。
[0012] 进一步地,封装用于物理网络路由的二层报文头具体包括:
[0013] 源接入交换机读取路由表,获得租户报文的目的端虚拟机的IP地址,根据租户报 文的目的端虚拟机的IP地址查询路由表目的端虚拟机所在目的接入交换机的路由地址;
[0014] 根据目的接入交换机的路由地址及所述VTN标识符,所述源接入交换机进行租户 报文的物理网络路由的二层报文头的封装。
[0015] 进一步地,封装用于物理网络路由的二层报文头具体包括:
[0016] 源接入交换机读取路由表,获得租户报文的目的端虚拟机的IP地址,根据租户报 文的目的端虚拟机的IP地址查询路由表目的端虚拟机所在目的接入交换机的路由地址;
[0017] 所述源接入交换机采用用户数据包协议UDP在所述报文的一层报文头外封装包 括、通过目的接入交换机的路由地址获得的外层介质访问控制OuterMAC、外层网络互连协 议Outer IP和外层用户数据包协议Outer UDP、通过VTN标识符生成的VTN报文头部分,组 成所述二层报文头。
[0018] 另一方面,本申请还提供一种虚拟机隔离系统,至少包括虚拟交换机和接入交换 机,其中,
[0019] 虚拟交换机,用于为各物理主机上的各虚拟机分配相应的用于标识租户报文的虚 拟局域网标签;
[0020] 接入交换机为各租户分配相应的VTN标识符,根据分配的VTN标识符结合该租户 各虚拟机的虚拟局域网标签,生成各租户相应的虚拟网络,实现租户隔离。
[0021] 进一步地,接入交换机包括源接入交换机和目的端接入交换机;
[0022] 源接入交换机还用于,根据租户报文的目的地址结合该租户的VTN标识符,对租 户报文封装用于物理网络路由的二层报文头;根据封装的二层报文头发送租户报文到目的 端接入交换机;
[0023] 目的端接入交换机,用于接收到租户报文后,根据一层报文头将租户报文发送给 目的端虚拟机。
[0024] 进一步地,源接入交换机具体用于,
[0025] 读取路由表,获得租户报文的目的端虚拟机的IP地址,根据租户报文的目的端虚 拟机的IP地址查询路由表目的端虚拟机所在目的接入交换机的路由地址;
[0026] 根据目的接入交换机的路由地址及所述VTN标识符,所述源接入交换机进行租户 报文的物理网络路由的二层报文头的封装;
[0027] 根据封装的二层报文头发送租户报文到目的端接入交换机。
[0028] 进一步地,源接入交换机具体用于,
[0029] 读取路由表,获得租户报文的目的端虚拟机的IP地址,根据租户报文的目的端虚 拟机的IP地址查询路由表目的端虚拟机所在目的接入交换机的路由地址;
[0030] 采用用户数据包协议UDP在报文的一层报文头外封装用于物理网络路由的包含 有目的接入交换机的路由地址的二层报文头,所述二层报文头包括通过目的接入交换机的 路由地址获得的外层介质访问控制Outer MAC、外层网络互连协议Outer IP和外层用户数 据包协议Outer UDP及所述VTN标识符。
[0031] 与现有技术相比,本发明提供的技术方案包括:虚拟交换机为各物理主机上的各 虚拟机分配相应的用于标识租户报文的虚拟局域网标签;接入交换机为各租户分配相应的 VTN标识符,根据分配的VTN标识符结合该租户各虚拟机的虚拟局域网标签,生成各租户相 应的虚拟网络,实现租户隔离。本发明通过为虚拟交换机为各物理主机上的虚拟机分配虚 拟局域网标签,通过接入交换机为各租户分配相应的VTN标识符,在实现租户隔离的同时, 增加了云计算网络中租户虚拟机的规模,通过VTN标识符对各租户的隔离,租户可以对其 租用的虚拟机进行管理,在租户进行调整时,由于VTN标识不变,不会对云平台管理网络的 管理造成影响。
【附图说明】
[0032] 附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本 申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
[0033] 图1是云计算资源池的物理结构示意图;
[0034] 图2是本发明租