一種多租戶虛擬網絡隔離方法技術

本發明專利技術涉及云計算技術領域，特別是一種高靈活性的多租戶虛擬網絡隔離方法。本發明專利技術在初始化的過程中首先創建兩個虛擬交換機OVS-A和OVS-B；然后給OVS-A添加連接外網的物理接口eth1；接著創建VETH設備連接OVS-A和OVS-B。創建私有網絡、啟動虛擬機是：(1)添加內部端口dhcp-N并設置內網VLAN-N；(2)創建私有網絡空間netns-N；(3)將dhcp-N端口接入netns-N；(4)在網絡節點和計算節點連接OVS-A與OVS-B的VETH設備兩端分別設置內外網VLAN轉換規則；(5)在計算節點創建linux網橋BR-N；(6)創建VETH設備連接BR-N與OVS-B；(7)虛擬機橋接到BR-N啟動并通過步驟3啟動的dhcp服務獲取IP。本發明專利技術提供了一種高靈活性的多租戶虛擬網絡隔離方法。

【技術實現步驟摘要】
一種多租戶虛擬網絡隔離方法
本專利技術涉及云計算
，特別是一種高靈活性的多租戶虛擬網絡隔離方法。
技術介紹
網絡管理和配置是云計算中一項非常重要的功能，實現一種靈活高效又安全的網絡虛擬化一直是各個云平臺追求的目標。對于云平臺租戶而言，保證自己的虛擬機網絡安全可用是最重要也是最有必要的，這樣就必須首先要求虛擬機可以訪問外網，其次是同一個租戶的虛擬機之間能夠相互通信，而不同租戶所創建的虛擬機不能互相訪問。目前一般采用全局VLAN隔離的方法給虛擬機設置網絡，其方法步驟如下：1、云平臺管理員事先規劃好各個租戶的VLAN號并對物理交換機和路由器進行相應配置；2、在各個物理計算節點上創建VLAN號對應的網橋；3、將各租戶的虛擬機橋接到各自對應的網橋并分配其IP。上述方法的實現原理非常簡單，但也存在以下的弊端：1、靈活性差，管理員必須事先配置好物理網絡以提供給租戶使用，但是租戶的需求往往是變化的，這樣導致經常修改物理交換機、路由器等全局網絡配置非常不便。2、用戶體驗不好，租戶一般都希望能夠自己控制自己虛擬機的網絡，例如根據自己的需要隨時創建和刪除某個子網，分配自己想要的私有IP，采用上述方法根本無法滿足。因此，云平臺中需要一種高靈活性的多租戶虛擬網絡隔離方法。
技術實現思路
本專利技術解決的技術問題在于提供一種高靈活性的多租戶虛擬機網絡隔離方法，滿足云平臺各租戶靈活控制自己私有虛擬網絡的需求。本專利技術解決上述技術問題的技術方案是：所述的方法主要涉及網絡節點和計算節點兩個部分，其中網絡節點和計算節點的初始化步驟如下：步驟1：分別創建兩個虛擬交換機OVS-A和OVS-B；步驟2：分別給OVS-A添加連接外網的物理接口；步驟3：分別創建VETH設備連接OVS-A和OVS-B；各租戶創建私有網絡并啟動虛擬機的過程包括如下步驟：步驟1：在網絡節點的OVS-B上添加一個內部端口dhcp-N并設置內網VLAN-N；步驟2：創建租戶私有網絡空間netns-N；步驟3：將dhcp-N端口加入netns-N，并啟動私有網絡dhcp服務；步驟4：在網絡節點和計算節點連接OVS-A與OVS-B的VETH設備兩端分別設置內外網VLAN轉換規則；步驟5：在計算節點創建linux網橋BR-N；步驟6：創建VETH設備連接BR-N與OVS-B；步驟7：虛擬機橋接到BR-N啟動并通過步驟3啟動的dhcp服務獲取IP；最后，如果一個租戶創建有多個私有網絡，可以通過在網絡節點的OVS-B上創建虛擬路由器來控制私網間的三層通信。所述的網絡節點是指可以在其上面創建虛擬網絡空間并提供私有網絡dhcp服務的服務器；所述的計算節點是指可以在其上面創建虛擬機的服務器；所述的網絡節點和計算節點只是功能上的區分，同一臺服務器既可以單獨作為網絡節點，也可以單獨作為計算節點，還可以同時作為網絡節點和計算節點；所述的網絡節點可以是分布式的，即在一個云平臺中可以同時存在多個網絡節點為計算節點提供網絡服務，保證網絡服務的高可靠。所述的虛擬交換機OVS-A和OVS-B是指使用虛擬機交換機工具創建的虛擬網橋，功能上相當于物理網絡設備的交換機；所述的虛擬交換機即開放虛擬交換標準，是產品級質量的多層虛擬交換標準。所述的虛擬網絡空間是相對于全局網絡空間來說的，他們是相互隔離的兩個命名空間；所述的命名空間可以理解為邏輯分組，分組之間是互不影響的，IP地址是不一樣的。所述的內網是指租戶創建的私有虛擬網絡，所述的外網則是云平臺物理網絡設備上使用的真實網絡。所述的VLAN是在交換機等二層設備中用以實現二層網絡隔離的標簽技術，不同VLAN之間的私有網絡是相互隔離的；所述的二層是指計算機網絡七層結構中的數據鏈路層；所述的內外網VLAN轉換包括內網VLAN轉外網VLAN和外網VLAN轉內網VLAN；所述的內網VLAN轉外網VLAN是指將標有內網VLAN號的數據包重定義為外網VLAN號以便其能在外網正常通信；所述的外網VLAN轉內網VLAN則是指將標有外網VLAN號的數據幀重定義為內網VLAN號以便其進入內網正常通信。本專利技術方案的有益效果如下：1、本專利技術所創建的虛擬網絡空間是靈活的，可以根據租戶的需求隨時創建與刪除，也可以指定任何私有網絡地址；2、本專利技術所涉及的VLAN配置都是在虛擬交換機上完成，可以隨時修改；3、本專利技術可以使租戶創建多個私有網絡，通過虛擬路由器可以很方便的實現私有網絡的互通與隔離；4、本專利技術的方法中網絡節點可以是分布式的，避免了單點故障問題，實現了網絡節點的高可靠。附圖說明下面結合附圖對本專利技術進一步說明：圖1為本專利技術的示意圖。具體實施方式見圖1所示，本專利技術初始化過程中首先分別在網絡節點和計算節點上創建兩個虛擬交換機OVS-A和OVS-B，具體如下：#ovs-vsctladd-brOVS-A//創建OVS橋，即虛擬機交換機#ovs-vsctladd-brOVS-B//創建OVS橋，即虛擬機交換機OVS-A用于連接外網，給其添加連接外網的物理接口eth1：#ovs-vsctladd-portOVS-Aeth1接著創建VETH設備連接OVS-A和OVS-B，如下操作中vethA-1和vethA-2為VETH設備vethA的兩個端口：#iplinkaddvethA-1typevethpeernamevethA-2//創建vethA-1與vethA-2#ifconfigvethA-1up//激活vethA-1端口#ifconfigvethA-2up//激活vethA-2端口#ovs-vsctladd-portOVS-AvethA-1//vethA-1接到橋VOS-A#ovs-vsctladd-portOVS-BvethA-2//vethA-2接到橋VOS-B假設云平臺某租戶需要創建屬于自己的私有網絡(192.168.88.0/24)，云平臺自動為其分配了內網vlan5和外網vlan1005，則底層具體的實現過程如下：首先在網絡節點的OVS-B虛擬交換機上面添加一個內部端口，假設為dhcp-5，并設置其端口vlan5用以對不同虛擬網絡進行隔離，具體命令如下：#ovs-vsctladd-portOVS-Bdhcp-5tag＝5--setinterfacedhcp-5type＝internal創建虛擬網絡空間netns-5，并將dhcp-5接入該網絡空間：#ipnetnsaddnetns-5#iplinksetdhcp-5netnsnetns-5#ipnetnsexecnetns-5ipaddradd192.168.88.1/24devdhcp-5//給內部端口設置租戶私有網絡IP，可以作為網關#ipnetnsexecnetns-5ifconfigdhcp-5promiscup//激活內部端口在網絡節點虛擬交換機OVS-A的vethA-1端口處添加上行VLAN轉換(內網VLAN轉外網VLAN)的轉換規則：#ovs-ofctladd-flowOVS-A″hard_timeout＝0，idle_timeout＝0，priority＝3，in_port＝3，dl_vlan＝5，actions＝mod_vlan_vid：1005，normal″在網絡節點虛擬交換機OVS-B的vethA-2端口處添加下行本文檔來自技高網...

【技術保護點】
一種多租戶虛擬網絡隔離方法，其特征在于：所述的方法主要涉及網絡節點和計算節點兩個部分，其中網絡節點和計算節點的初始化步驟如下：步驟1：分別創建兩個虛擬交換機OVS?A和OVS?B；步驟2：分別給OVS?A添加連接外網的物理接口；步驟3：分別創建VETH設備連接OVS?A和OVS?B；各租戶創建私有網絡并啟動虛擬機的過程包括如下步驟：步驟1：在網絡節點的OVS?B上添加一個內部端口dhcp?N并設置內網VLAN?N；步驟2：創建租戶私有網絡空間netns?N；步驟3：將dhcp?N端口加入netns?N，并啟動私有網絡dhcp服務；步驟4：在網絡節點和計算節點連接OVS?A與OVS?B的VETH設備兩端分別設置內外網VLAN轉換規則；步驟5：在計算節點創建linux網橋BR?N；步驟6：創建VETH設備連接BR?N與OVS?B；步驟7：虛擬機橋接到BR?N啟動并通過步驟3啟動的dhcp服務獲取IP；最后，如果一個租戶創建有多個私有網絡，可以通過在網絡節點的OVS?B上創建虛擬路由器來控制私網間的三層通信。

【技術特征摘要】
1.一種多租戶虛擬網絡隔離方法，其特征在于：所述的方法主要涉及網絡節點和計算節點兩個部分，其中網絡節點和計算節點的初始化步驟如下：步驟1：分別創建兩個虛擬交換機OVS-A和OVS-B；步驟2：分別給OVS-A添加連接外網的物理接口；步驟3：分別創建VETH設備連接OVS-A和OVS-B；各租戶創建私有網絡并啟動虛擬機的過程包括如下步驟：步驟1：在網絡節點的OVS-B上添加一個內部端口dhcp-N并設置內網VLAN-N；步驟2：創建租戶私有網絡空間netns-N；步驟3：將dhcp-N端口加入netns-N，并啟動私有網絡dhcp服務；步驟4：在網絡節點和計算節點連接OVS-A與OVS-B的VETH設備兩端分別設置內外網VLAN轉換規則；步驟5：在計算節點創建linux網橋BR-N；步驟6：創建VETH設備連接BR-N與OVS-B；步驟7：虛擬機橋接到BR-N啟動并通過步驟3啟動的dhcp服務獲取IP；最后，如果一個租戶創建有多個私有網絡，可以通過在網絡節點的OVS-B上創建虛擬路由器來控制私網間的三層通信；所述的VLAN是在二層設備中用以實現二層網絡隔離的標簽技術，不同VLAN之間的私有網絡是相互隔離的；所述的二層是指計算機網絡七層結構中的數據鏈路層；所述的內外網VLAN轉換包括內網VLAN轉外網VLAN和外網VLAN轉內網VLAN；所述的內網VLAN轉外網VLAN是指將標有內網VLAN號的數據包重定義為外網VLAN號以便其能在外網正常通信；所述的外網VLAN轉內網VLAN則是指將標有外網VLAN號的數據幀重定義為內網VLAN號以便其進入內網正常通信。2.根據權利要求1所述的多租戶虛擬網絡...

【專利技術屬性】
技術研發人員：熊夢，楊松，莫展鵬，季統凱，
申請(專利權)人：國云科技股份有限公司，
類型：發明
國別省市：廣東;44