pecific Integrated Circuit, ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。
[0160]由以上可看出,根据本发明实施例五提供的控制器,由于控制器能够根据源VM与第一边缘层交换机的连接关系、目的VM与第二边缘层交换机的连接关系以及保存的对应关系,确定源VM与目的VM是否属于同一租户所租用的虚拟网络,并在源VM与目的VM不属于同一租户所租用的虚拟网络时,控制交换机丢弃数据包,因此,能够消除不同租户所租用的虚拟网络之间的流量侦听所带来的安全隐患,提高虚拟网络的安全性。
[0161]本说明书中的各个实施例已有侧重地进行了描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
[0162]需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0163]本领域普通技术人员将会理解,本发明的各个方面、或各个方面的可能实现方式可以被具体实施为系统、方法或者计算机程序产品。因此,本发明的各方面、或各个方面的可能实现方式可以采用完全硬件实施例、完全软件实施例(包括固件、驻留软件等等),或者组合软件和硬件方面的实施例的形式,在这里都统称为“电路”、“模块”或者“系统”。此夕卜,本发明的各方面、或各个方面的可能实现方式可以采用计算机程序产品的形式,计算机程序产品是指存储在计算机可读介质中的计算机可读程序代码。
[0164]以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
【主权项】
1.一种云数据中心虚拟网络的隔离方法,其特征在于,包括: 接收交换机发送的转发询问信息,所述转发询问信息由所述交换机在接收到数据包时发送; 根据所述转发询问信息,确定所述数据包的源虚拟机与第一边缘层交换机的连接关系,以及所述数据包的目的虚拟机与第二边缘层交换机的连接关系,其中,所述第一边缘层交换机是与所述源虚拟机直接相连的交换机,所述第二边缘层交换机是与所述目的虚拟机直接相连的交换机; 根据所述源虚拟机与所述第一边缘层交换机的连接关系、所述目的虚拟机与所述第二边缘层交换机的连接关系以及保存的对应关系,确定所述源虚拟机与所述目的虚拟机是否属于同一租户租用的虚拟网络; 当所述源虚拟机与所述目的虚拟机不属于同一租户租用的虚拟网络时,控制所述交换机丢弃所述数据包。2.根据权利要求1所述的方法,其特征在于, 所述源虚拟机与所述第一边缘层交换机的连接关系包括所述源虚拟机与所述第一边缘层交换机的端口的第一连接关系; 所述目的虚拟机与所述第二边缘层交换机的连接关系包括所述目的虚拟机与所述第二边缘层交换机的端口的第二连接关系; 所述保存的对应关系包括:所述第一连接关系与租户租用的虚拟网络的对应关系,所述第二连接关系与租户租用的虚拟网络的对应关系。3.根据权利要求1或2所述的方法,其特征在于,在所述根据所述源虚拟机与所述第一边缘层交换机的连接关系、所述目的虚拟机与所述第二边缘层交换机的连接关系以及保存的对应关系,确定所述源虚拟机与所述目的虚拟机是否属于同一租户租用的虚拟网络前,所述方法还包括: 接收租户的请求信息,所述请求信息包括租户的计划租用虚拟机的数量N、网内带宽要求、弹性参数α,所述虚拟机包括所述源虚拟机和所述目的虚拟机; 根据所述计划租用虚拟机的数量N确定实际租用虚拟机的数量M ; 根据预先获取拓扑网络结构,确定由M台虚拟机所组成的虚拟网络,并在所组成的虚拟网络符合所述网内带宽要求时将所组成的虚拟网络分配所述租户; 其中,M = N/α,所述数量N、数量M均为正整数,O < α彡I。4.根据权利要求3所述的方法,其特征在于,所述确定由M台虚拟机所组成的虚拟网络包括: 确定与边缘层交换机连接的未租用虚拟机的数量P是否大于或等于数量Μ,所述边缘层交换机包括所述第一边缘层交换机和所述第二边缘层交换机,所述边缘层交换机为与所述虚拟机直接相连的交换机; 当数量P大于或等于数量M时,从所述边缘层交换机所连接的P台虚拟机中选择M台虚拟机; 当数量P小于数量M时,从路由层交换机所连接的未租用虚拟机中选择M台虚拟机,所述路由层交换机为未与所述虚拟机直接相连的交换机,所述路由层交换机为与所述边缘层交换机直接相连的交换机; 其中,所述数量P为正整数。5.根据权利要求3或4所述的方法,其特征在于,所述请求信息还包括网际带宽要求; 在确定由M台虚拟机所组成的且符合所述网内带宽要求的虚拟网络后,所述方法还包括: 从所述由M台虚拟机所组成的且符合所述网内带宽要求的虚拟网络中,确定符合所述网际带宽要求的虚拟网络; 所述将所组成的虚拟网络分配所述租户包括: 将符合所述网内带宽要求以及网际带宽要求的虚拟网络分配所述租户。6.根据权利要求3至5任一项所述的方法,其特征在于,所述预先获取拓扑网络结构包括所述虚拟机的已租用信息、带宽的已租用信息; 所述根据预先获取的拓扑网络结构,确定由M台虚拟机所组成的虚拟网络,并在所组成的虚拟网络符合所述网内带宽要求时将所组成的虚拟网络分配所述租户之后,所述方法还包括: 当其他租户归还虚拟机时,更新所述归还的虚拟机的已租用信息、所述归还的虚拟机对应的带宽的已租用信息; 根据更新后的虚拟机的已租用信息、带宽的已租用信息,调整所述虚拟网络。7.根据权利要求1至6任一项所述的方法,其特征在于,所述方法还包括: 当接收到所述交换机发送的带宽速度大于预设值时,向所述交换机下发带宽限速指令,以将所述数据包的源虚拟机在所述交换机上的带宽速度限制在所述预设值内。8.—种云数据中心虚拟网络的隔离装置,其特征在于,包括: 接收单元,用于接收交换机发送的转发询问信息,所述转发询问信息由所述交换机在接收到数据包时发送; 确定单元,用于根据所述接收单元接收的所述转发询问信息,确定所述数据包的源虚拟机与第一边缘层交换机的连接关系,以及所述数据包的目的虚拟机与第二边缘层交换机的连接关系,其中,所述第一边缘层交换机是与所述源虚拟机直接相连的交换机,所述第二边缘层交换机是与所述目的虚拟机直接相连的交换机; 所述确定单元还用于:根据所述源虚拟机与所述第一边缘层交换机的连接关系、所述目的虚拟机与所述第二边缘层交换机的连接关系以及保存的对应关系,确定所述源虚拟机与所述目的虚拟机是否属于同一租户租用的虚拟网络; 控制单元,用于当所述确定单元确定所述源虚拟机与所述目的虚拟机不属于同一租户租用的虚拟网络时,控制所述交换机丢弃所述数据包。9.根据权利要求8所述的装置,其特征在于,所述装置还包括分配单元; 所述分配单元具体包括: 请求信息接收模块,用于接收租户的请求信息,所述请求信息包括租户的计划租用虚拟机的数量N、网内带宽要求、弹性参数α,所述虚拟机包括所述源虚拟机和所述目的虚拟机; 租用数量确定模块,用于根据所述请求信息接收模块接收的所述计划租用虚拟机的数量N确定实际租用虚拟机的数量M ; 虚拟网络确定模块,用于根据预先获取的拓扑网络结构,确定由M台虚拟机所组成的虚拟网络,并在所组成的虚拟网络符合所述网内带宽要求时将所组成的虚拟网络分配所述租户; 其中,M = N/α,所述数量N、数量M均为正整数,O < α彡I。10.根据权利要求9所述的装置,其特征在于,所述虚拟网络确定模块具体用于: 确定与虚拟机直接相连的边缘层交换机所连接的未租用虚拟机的数量P是否大于或等于数量M ; 当数量P大于或等于数量M时,从所述边缘层交换机所连接的P台虚拟机中选择M台虚拟机; 当数量P小于数量M时,从路由层交换机所连接的未租用虚拟机中选择M台虚拟机,所述路由层交换机为未与所述虚拟机直接相连的交换机,所述路由层交换机为与所述边缘层交换机直接相连的交换机; 其中,所述数量P为正整数。11.根据权利要求9或10所述的装置,其特征在于,所述请求信息还包括网际带宽要求; 所述虚拟网络确定模块还用于:从所述由M台虚拟机所组成的且符合所述网内带宽要求的虚拟网络中,确定符合所述网际带宽要求的虚拟网络,并将符合所述网内带宽要求以及网际带宽要求的虚拟网络分配所述租户。12.根据权利要求9至11任一项所述的装置,其特征在于,所述预先获取的虚拟机与交换机的拓扑网络结构包括虚拟机的已租用信息、带宽的已租用信息; 所述分配单元还用于:当其他租户归还虚拟机时,更新所述归还的虚拟机的已租用信息、所述归还的虚拟机对应的带宽的已租用信息; 根据更新后的虚拟机的已租用信息、带宽的已租用信息,调整所述虚拟网络。13.根据权利要求8至12任一项所述的装置,其特征在于,所述控制单元还用于: 当接收到所述交换机发送的带宽速度大于预设值时,向所述交换机下发带宽限速指令,以将所述数据包的源虚拟机在所述交换机上的带宽速度限制在所述预设值内。
【专利摘要】本发明的实施例提供云数据中心虚拟网络的隔离方法与装置,涉及云计算领域,用于提高虚拟网络的安全性。该方法包括:接收交换机发送的转发询问信息,转发询问信息由交换机在接收到数据包时发送;根据转发询问信息,确定数据包的源虚拟机与第一边缘层交换机的连接关系,以及数据包的目的虚拟机与第二边缘层交换机的连接关系,第一边缘层交换机是与源虚拟机直接相连的交换机,第二边缘层交换机是与目的虚拟机直接相连的交换机;根据上述连接关系以及保存的对应关系,确定源虚拟机与目的虚拟机是否属于同一租户租用的虚拟网络;当源虚拟机与目的虚拟机不属于同一租户租用的虚拟网络时,控制交换机丢弃数据包。本发明应用于网络安全技术。
【IPC分类】H04L12/931, H04L29/06, H04L29/08, H04L12/751
【公开号】CN105099953
【申请号】CN201410175324
【发明人】李金明, 胡成臣, 唐亚哲
【申请人】华为技术有限公司
【公开日】2015年11月25日
【申请日】2014年4月28日