虚拟私有云与云下数据中心通信、配置方法及相关装置
技术领域
本申请涉及云技术领域,特别涉及一种虚拟私有云与云下数据中心通信、配置方法及相关装置。
背景技术
随着云技术的发展,存在虚拟私有网络(Virtual Private Cloud,VPC)与云下数据中心通信的诉求,但由于私网地址规划等原因,若需要通信的VPC与云下数据中心之间存在私网地址重叠,即二者具有相同的私有网段,则会造成二者不能通信。
发明内容
为解决现有技术的问题,本申请提供一种虚拟私有云与云下数据中心通信、配置方法及相关装置,能够解决VPC与云下数据中心之间存在私网地址重叠而不能通信的技术问题。
第一方面,本申请提供一种虚拟私有云VPC与云下数据中心通信的配置方法,其中,具有相同私网地址段的第一虚拟私有云VPC和云下数据中心的子网通过第二VPC进行通信,该第二VPC的私网地址段与该第一VPC、该子网的私网地址段均不相同,该方法包括:将该第一VPC内的私网地址与第一地址进行绑定,将该子网内的私网地址与第二地址进行绑定,其中,该第一地址和该第二地址为归属于该第二VPC的私网地址段的地址,该第一地址与该第二地址不相同;将该第一VPC发送至该子网的报文的源地址从该第一VPC内的私网地址配置为该第一地址,目的地址从该第二地址配置为该子网内的私网地址。
通过第二VPC的桥接,第一VPC通过第二VPC访问云下数据中心的子网,可以在第一VPC和第二VPC在私网地址段重叠的情况下实现第一VPC与第二VPC之间的通信。
根据第一方面的一种可能的实现方式,上述配置方法还包括以下步骤:在该第二VPC 上配置远程连接网关,该远程连接网关与该子网远程连接;在该第二VPC上配置路由规则,该第二VPC上的路由规则包括:将目的地址为该第一地址的报文转发到该第一VPC,将目的地址为该子网内的私网地址的报文转发到该远程连接网关。
通过配置路由规则,可使得第二VPC转发第一VPC与远程连接网关之间的报文,实现桥接。
根据第一方面的一种可能的实现方式,该配置方法还包括以下步骤:在该第一VPC中配置网络地址转换NAT网关,其中,将该NAT网关的私网地址配置为该第一地址,将该远程连接网关的私网地址配置为该第二地址;则,将该第一VPC内的私网地址与第一地址进行绑定,将该子网内的私网地址与第二地址进行绑定包括:在该NAT网关上配置第一报文处理规则和第二报文处理规则,该第一报文处理规则包括:将出报文的源地址由该第一VPC内的私网地址转换为该第一地址,目的地址由该第二地址转换为该子网内的私网地址,并将修改后的出报文发送至该第二VPC的路由器;该第二报文处理规则包括:将入报文的源地址由该子网内的私网地址修改为该第二地址,目的地址由该第一地址转换为该第一VPC内的私网地址,并将修改后的入报文发送至该第一VPC的路由器。
通过配置报文规则,NAT网关将第一VPC内的私网地址和第一地址绑定,并将云下数据中心的子网内的地址和第二地址绑定。
根据第一方面的一种可能的实现方式,该配置方法还包括配置路由规则的步骤,具体地,在该第一VPC的路由器上配置路由规则,该第一VPC的路由器上的路由规则包括:将目的地址为该第二地址的报文转发到该NAT网关,将目的地址为该第一VPC内的私网地址的报文转发到该第一VPC内的子网。
通过配置路由规则,可以使得第一VPC的路由器可以将报文在NAT网关和第一VPC的子网之间进行转发。
第二方面,本申请提供一种虚拟私有云VPC与云下数据中心通信的配置方法,具有相同私网地址段的第一虚拟私有云VPC和云下数据中心的子网通过第二VPC进行通信,该第二VPC的私网地址段与该第一VPC、该第二VPC的私网地址段均不相同,该方法包括:在该第一VPC中配置网络地址转换NAT网关,以及在该第二VPC中配置与该子网连接的远程连接网关,其中,为该NAT网关配置第一地址,为该远程连接网关配置第二地址,该第一地址和该第二地址归属于该第二VPC的私网地址段,该第一地址以及该第二地址不相同;在该NAT网关上配置第一报文处理规则和第二报文处理规则,其中,该第一报文处理规则包括:将出报文的源地址由该第一VPC内的私网地址转换为该第一地址,目的地址由该第二地址转换为该子网内的私网地址,并将修改后的出报文发送至该第二VPC的路由器;该第二报文处理规则包括:将入报文的源地址由该子网内的私网地址修改为该第二地址,目的地址由该第一地址转换为该第一VPC内的私网地址,并将修改后的入报文发送至该第一VPC的路由器。
通过第二VPC的桥接,第一VPC内的设备可通过第二地址来访问远程连接网关。
根据第二方面的一种可能的实现方式,上述方法还包括以下步骤:配置该NAT网关与该第二VPC的连接,以及配置该远程连接网关与该云下数据中心的该子网远程连接。
由于NAT网关与该第二VPC连接,且远程连接网关与该云下数据中心的该子网远程连接,因此第一VPC可通过访问第二VPC的远程连接网关来访问该云下数据中心的该子网。
第三方面,本申请提供一种虚拟私有云VPC与云下数据中心的通信方法,具有相同私网地址段的第一虚拟私有云VPC和云下数据中心的子网通过第二VPC进行通信,该第二VPC的私网地址段与该第一VPC、该子网的私网地址段均不相同,该方法包括:该第一VPC发送报文,该报文的源地址为第一地址,目的地址为该子网内的私网地址,该第一VPC内的私网地址与该第一地址绑定,该第一地址为归属于该第二VPC的私网地址段的地址;该第二VPC接收该报文,根据预先设置的路由规则将该报文转发到该子网内的私网地址,其中该第二VPC的路由规则包括:将目的地址为该子网内的私网地址的报文转发到该子网,其中该第二VPC与该子网远程连接。
通过第二VPC的桥接,第一VPC通过访问与云下数据中心的子网绑定的第二地址来访问该子网,可以在第一VPC和第二VPC在私网地址段重叠的情况下实现第一VPC 与第二VPC之间的通信。
根据第三方面的一种可能的实现方式,路由规则还包括:将目的地址为该第一地址的报文转发到该第一VPC;该方法还包括:该子网发送响应报文至该第二VPC,该响应报文的源地址为该子网内的私网地址,目的地址为该第一地址;该第二VPC接收该响应报文,根据该路由规则将该响应报文转发到该第一VPC。
通过设置路由规则,可使得云下数据中心的子网返回的应答报文通过第二VPC转发到第一VPC,从而实现应答。
第四方面,本申请提供一种虚拟私有云VPC与云下数据中心通信的方法,具有相同私网地址段的第一虚拟私有云VPC和云下数据中心的子网通过第二VPC进行通信,该第二VPC的私网地址段与该第一VPC、该子网的私网地址段均不相同,该第一VPC设置有网络地址转换NAT网关,该第二VPC设置有远程连接网关,该NAT网关配置有第一地址,该远程连接网关配置有第二地址,该第一地址和该第二地址均归属于该第二VPC 的私网地址段,该第一地址与该第二地址不相同,该远程连接网关远程连接该子网,该方法包括:该第一VPC的路由器接收第一VPC中的第一虚拟机发送的报文,其中,该报文的源地址为该第一设备的私网地址,目的地址为该第二地址;该第一VPC的路由器根据第一路由规则将该报文转发至该NAT网关;该NAT网关将该报文的源地址修改为该第一地址,目的地址修改为该子网中的第二设备的私网地址,将修改后的报文转发到该第二VPC的路由器,其中,该第二VPC的路由器设置有第二路由规则,该第一路由规则包括:目的地址属于该第二VPC的私网地址段的报文需要转发至该NAT网关,该第二路由规则包括:目的地址属于该子网的私网地址段的报文需要转发至该第二VPC的远程连接网关。
通过第二VPC的桥接,第一虚拟机通过访问与云下数据中心的子网绑定的第二地址来访问连接云下数据中心的子网的远程连接网关,可以在第一VPC和第二VPC在私网地址段重叠的情况下实现第一VPC与云下数据中心的子网之间的通信。
在第四方面的一种可能的实现方式中,上述方法还包括以下步骤:第二VPC的路由器根据该第二路由规则将接收到的报文发送至该远程连接网关;该远程连接网关接收该报文,将该报文发送至该云下数据中心的子网。
由于远程连接网关与云下数据中心的子网远程连接,因此报文到达远程连接网关后,可经远程连接网关到达云下数据中心的子网。
第五方面,本申请提供虚拟私有云VPC与云下数据中心通信的配置装置,具有相同私网地址段的第一虚拟私有云VPC和云下数据中心的子网通过第二VPC进行通信,该第二VPC的私网地址段与该第一VPC、该子网的私网地址段均不相同,该装置包括:地址绑定模块,用于将该第一VPC内的私网地址与第一地址进行绑定,将该子网内的私网地址与第二地址进行绑定,其中,该第一地址和该第二地址为归属于该第二VPC的私网地址段的地址,该第一地址与该第二地址不相同;地址配置模块,用于将该第一VPC发送至该子网的报文的源地址从该第一VPC内的私网地址配置为该第一地址,目的地址从该第二地址配置为该子网内的私网地址。
第五方面或第五方面任意一种实现方式是第一方面或第一方面任意一种实现方式对应的装置实现,第一方面或第一方面任意一种实现方式中的描述适用于第五方面或第五方面任意一种实现方式,在此不再赘述。
第六方面,本申请提供一种虚拟私有云VPC与云下数据中心通信的配置装置,具有相同私网地址段的第一虚拟私有云VPC和云下数据中心的子网通过第二VPC进行通信,该第二VPC的私网地址段与该第一VPC、该第二VPC的私网地址段均不相同,该装置包括:网关配置模块,用于在该第一VPC中配置NAT网关,以及在该第二VPC中配置与远程连接网关;地址配置模块,用于为该NAT网关配置第一地址,为该远程连接网关配置第二地址,该第一地址和该第二地址归属于该第二VPC的私网地址段,该第一地址以及该第二地址不相同;地址绑定模块,用于在该NAT网关上配置第一报文处理规则和第二报文处理规则,其中,该第一报文处理规则包括:将出报文的源地址由该第一VPC 内的私网地址转换为该第一地址,目的地址由该第二地址转换为该子网内的私网地址,并将修改后的出报文发送至该第二VPC的路由器;该第二报文处理规则包括:将入报文的源地址由该子网内的私网地址修改为该第二地址,目的地址由该第一地址转换为该第一VPC内的私网地址,并将修改后的入报文发送至该第一VPC的路由器。
第六方面或第六方面任意一种实现方式是第二方面或第二方面任意一种实现方式对应的装置实现,第二方面或第二方面任意一种实现方式中的描述适用于第六方面或第六方面任意一种实现方式,在此不再赘述。
第七方面,本申请提供一种虚拟私有云VPC与云下数据中心的通信系统,包括第一VPC和第二VPC,具有相同私网地址段的该第一VPC和云下数据中心的子网通过该第二VPC进行通信,该第二VPC的私网地址段与该第一VPC、该子网的私网地址段均不相同,其中,该第一VPC,发送报文,该报文的源地址为第一地址,目的地址为该子网内的私网地址,该第一VPC内的私网地址与该第一地址绑定,该第一地址为归属于该第二VPC的私网地址段的地址;该第二VPC,接收该报文,根据预先设置的路由规则将该报文转发到该子网内的私网地址,其中该第二VPC的路由规则包括:将目的地址为该子网内的私网地址的报文转发到该子网,其中该第二VPC与该子网远程连接。
第七方面或第七方面任意一种实现方式是第三方面或第三方面任意一种实现方式对应的系统实现,第三方面或第三方面任意一种实现方式中的描述适用于第七方面或第七方面任意一种实现方式,在此不再赘述。
第八方面,本申请提供一种虚拟私有云VPC与云下数据中心通信的系统,包括第一VPC和第二VPC,具有相同私网地址段的第一VPC和云下数据中心的子网通过第二VPC 进行通信,该第二VPC的私网地址段与该第一VPC、该子网的私网地址段均不相同,该第一VPC设置有网络地址转换NAT网关,该第二VPC设置有远程连接网关,该NAT 网关配置有第一地址,该远程连接网关配置有第二地址,该第一地址和该第二地址均归属于该第二VPC的私网地址段,该第一地址与该第二地址不相同,该远程连接网关远程连接该子网,其中,该第一VPC的路由器,接收该第一VPC内的第一虚拟机发送的报文,其中,该报文的源地址为该第一虚拟机的私网地址,目的地址为该第二地址;该第一VPC的路由器,根据第一路由规则将该报文转发至该NAT网关;该NAT网关,将该报文的源地址修改为该第一地址,目的地址修改为该子网中的第二设备的私网地址,将修改后的报文转发到该第二VPC的路由器,其中,该第二VPC的路由器设置有第二路由规则,该第一路由规则包括:目的地址属于该第二VPC的私网地址段的报文需要转发至该NAT网关,该第二路由规则包括:目的地址属于该子网的私网地址段的报文需要转发至该第二VPC的远程连接网关。
第八方面或第八方面任意一种实现方式是第四方面或第四方面任意一种实现方式对应的系统实现,第四方面或第四方面任意一种实现方式中的描述适用于第八方面或第八方面任意一种实现方式,在此不再赘述。
第九方面,本申请提供一种计算设备,包括至少一个存储器和至少一个处理器,该至少一个存储器用于存储程序指令,该至少一个处理器执行该程序指令,以执行实现第一方面及其任一种可能的实现方式的方法。
第十方面,本申请提供一种计算设备,包括至少一个存储器和至少一个处理器,该至少一个存储器用于程序指令,该至少一个处理器执行该程序指令,以执行实现第二方面及其任一种可能的实现方式的方法。
第十一方面,本申请提供了一种非瞬态的可读存储介质,该非瞬态的可读存储介质被计算设备执行时,该计算设备执行前述第一方面或第一方面的任意可能的实现方式中提供的方法。该存储介质中存储了程序。该存储介质包括但不限于易失性存储器,例如随机访问存储器,非易失性存储器,例如快闪存储器、硬盘(英文:hard disk drive,缩写:HDD)、固态硬盘(英文:solid state drive,缩写:SSD)。
第十二方面,本申请还提供了一种非瞬态的可读存储介质,该非瞬态的可读存储介质被计算设备执行时,该计算设备执行前述第二方面或第二方面的任意可能的实现方式中提供的方法。该存储介质中存储了程序。该存储介质包括但不限于易失性存储器,例如随机访问存储器,非易失性存储器,例如快闪存储器、硬盘(英文:hard disk drive,缩写:HDD)、固态硬盘(英文:solid state drive,缩写:SSD)。
第十三方面,本申请提供了一种计算设备程序产品,该计算设备程序产品包括计算机指令,在被计算设备执行时,该计算设备执行前述第一方面或第一方面的任意可能的实现方式中提供的方法。该计算机程序产品可以为一个软件安装包,在需要使用前述第一方面或第一方面的任意可能的实现方式中提供的方法的情况下,可以下载该计算机程序产品并在计算设备上执行该计算机程序产品。
第十四方面,本申请还提供了另一种计算设备程序产品,该计算设备程序产品包括计算机指令,在被计算设备执行时,该计算设备执行前述第二方面或第二方面的任意可能的实现方式中提供的方法。该计算机程序产品可以为一个软件安装包,在需要使用前述第二方面或第二方面的任意可能的实现方式中提供的方法的情况下,可以下载该计算机程序产品并在计算设备上执行该计算机程序产品。
附图说明
图1是一种VPC通信系统的系统结构示意图;
图2是VPC通信系统的另一系统结构示意图;
图3是根据本发明实施例的VPC与云下数据中心通信的配置方法的流程图;
图4是根据本发明实施例的VPC通信系统的系统结构示意图;
图5是本发明实施例的VPC与云下数据中心的通信方法的数据交互图;
图6是根据本发明实施例的配置装置的装置结构示意图;
图7是根据本发明实施例的计算设备的装置结构示意图。
具体实施方式
首先,本发明实施例涉及的名词解释如下:
云上数据中心:提供公有云业务的数据中心。
云下数据中心:提供非公有云业务的数据中心,云下数据中心提供本地部署业务的情况下,云下数据中心包括多个物理机(physical machine),云下数据中心提供私有云业务的情况下,云下数据中心包括多个虚拟机。
公有云业务:即基础设施即服务(Infrastructure as a Service,IaaS)是指把公有云业务提供方提供的基础设施作为一种服务通过互联网对外提供。在这种服务模型中,用户不用自己构建一个数据中心,而是通过租用的方式来使用服务器、存储和网络等基础设施。公有云业务通过提供虚拟环境(例如虚拟机)实现,公有云的核心属性是多用户共享云基础设施且用户之间隔离。
非公有云业务:单个用户专属的基础设施,例如为私有云业务和本地部署业务。
私有云(Private Clouds)业务:单个用户拥有服务器、存储和网络等基础设施,并可以完全控制此基础设施,私有云业务通过提供虚拟环境(例如虚拟机)实现,私有云业务的核心属性是单用户独享基础设施。
本地部署(On-premises)业务:单个用户在本地自建服务器、存储和网络等基础设施,该用户独享该自建的基础设施,本地部署业务通过物理机(physical machine)实现。
私网地址:不能在互联网寻址,只能在局域网中寻址的IP地址,私网地址被禁止出现在互联网中。
私网地址是一段保留的IP地址,私网地址的分类、网段以及数量如下表所示:
虚拟私有网络(Virtual Private Cloud,VPC):VPC设置于公有云中,VPC是公有云业务的用户在云上数据中心的的局域网。
具体而言,VPC隔离了虚拟网络,每个VPC都有一个独立的隧道号,一个隧道号对应着一个虚拟化网络。一个VPC内的虚拟机之间的报文对应有相同的隧道标识,然后送到物理网络上进行传输。不同VPC内的虚拟机因为所在的隧道标识不同,本身处于两个不同的路由平面,所以不同VPC内的虚拟机无法进行通信,天然地实现了逻辑隔离。
隧道标识可例如为虚拟局域网标识(Virtual Local Area NetworkIdentification,VLAN ID)或虚拟网络标识(Virtual Network ID,VNI)。
首先请参见图1,图1是一种VPC通信系统的系统结构示意图,如图1所示,VPC 通信系统包括云上数据中心10、客户端7以及云下数据中心20,云上数据中心10、客户端7以及云下数据中心20均接入互联网8,客户端7通过互联网6访问云上数据中心10。
如图1所示,云上数据中心10为公有云用户提供VPC1,VPC1包括子网1和子网2,子网1和子网2与路由器1连接,子网1包括虚拟机(virtual machine,VM)1、VM2 以及交换机1,子网2包括VM3、VM4以及交换机2,VM1和VM2与交换机1连接,VM3和VM4与交换机2连接。
路由器1用于转发子网1和子网2之间通信的报文。
云下数据中心20包括子网3和远程连接网关2,子网3包括交换机3、物理机(Pysical machine,PM)1和PM2,PM1和PM2与交换机3连接,交换机3与远程连接网关2连接。
如图1所示,子网1和子网3具有相同的私网网段,因此子网1和子网2私网地址重叠。
客户端7通过互联网8访问控制平台6,在控制平台6中输入配置信息,控制平台6根据配置信息在云上数据中心10配置VPC1,具体地,可配置VPC1中的各功能模块,例如可创建或删除VPC1,在VPC1中创建或删除虚拟机,配置VPC1中的路由器的路由规则等,控制平台6可根据用户输入的配置信息对VPC进行管理。
控制平台6配置好VPC1后,客户端7可通过远程桌面登陆VPC1的VM1-4。
客户端7例如为具有上网功能手机、个人电脑、个人数字助理等终端设备,公有云用户通过操作客户端7访问云数据中心10提供的VM1-4。
云下数据中心20归属于公有云用户,云上数据中心10归属于公有云服务提供商,公有云用户通过向公有云服务提供方付费获得云上数据中心10的VPC1的控制和管理权限,在一些业务需求中,公有云用户需将子网3和子网1连通,因此需在VPC1中配置远程连接网关1,来与云下数据中心20的远程连接网关2连接,具体可参见图2。
图2是VPC通信系统的另一系统结构示意图,与图1相比,图2增设远程连接网关 1,且远程连接网关1与远程连接网关2之间建立有远程通信隧道,IP报文可通过远程通信隧道在VPC1与子网3之间传输。
当VM1需和PM1通信,假设子网1和子网3具有不同的私网地址段,则子网1中的VM1可构造IP报文,该IP报文的源IP地址是VM1在子网1的私网地址,目的IP 地址是PM1在子网3的私网地址,该IP报文经由交换机1、路由器1、远程连接网关1、远程连接网关2、交换机6到达PM1。
但是,图2所示的网络环境中,子网1和子网3具有相同的私网地址段,因此VM1 构造的IP报文的源IP地址是VM1在子网1的私网地址192.168.0.2,目的IP地址是PM1 在子网3的私网地址192.168.0.2,该IP报文的源IP地址和目的IP地址相同,该IP报文会被VM1的操作系统拦截,或者会被交换机1返回到VM1。
同理,PM1发送至VM1的IP报文的源IP地址和目的IP地址也相同,也会产生相同的技术问题。
为解决以上技术问题,本发明实施例提供一种VPC与云下数据中心通信的配置方法,该方法在图1所示的VPC系统的基础上进行配置,具体请参见图3,图3是根据本发明实施例的VPC与云下数据中心通信的配置方法的流程图,该方法具体包括以下步骤:
步骤S101:在云上数据中心10创建VPC2。
步骤S102:在VPC1创建网络地址转换(Network address translation,NAT)网关10,并设置NAT网关10与VPC2连接。
其中NAT网关10设置有VPC2的私网地址段中的私网地址10.0.0.9。
值得注意的是,NAT网关10也设置有VPC1的私网地址段中私网地址,本发明实施例如无特别说明,所提及的NAT网关10的私网地址均是指NAT网关10在VPC2中的私网地址10.0.0.9。
步骤S103:在VPC2创建并配置远程连接网关3,并设置远程连接网关3与远程连接网关2远程连接。
其中远程连接网关3设置有VPC2的私网地址段中的私网地址10.0.0.10。
远程连接网关例如为专线网关,或虚拟私有网络(Virtual priate network)VPN网关。
步骤S104:配置NAT网关10的报文处理规则:
报文处理规则1:
源IP地址是192.168.0.2,目的IP地址是10.0.0.10的出报文,源IP地址修改为10.0.0.9,目的IP地址修改为192.168.0.2,并将修改后的出报文发送至路由器3。
报文处理规则2:
源IP地址是192.168.0.2,目的IP地址是10.0.0.9的入报文,源IP地址修改为10.0.0.10,目的IP地址修改为192.168.0.2,并将修改后的入报文发送至路由器1。
其中,出报文是指NAT网关10从路由器1接收到的报文,入报文是指NAT网关 10从路由器2接收到的报文。
步骤S105:配置VPC1的路由规则:
路由规则1:将目的IP地址属于10.0.0.0/24的报文转发至NAT网关10;
路由规则2:将目的IP地址属于192.168.0.0/24的报文转发至子网1。
该路由规则应用于VPC1的路由器1。
步骤S106:配置VPC2的路由规则:
路由规则3:将目的IP地址是10.0.0.9的报文转发至NAT网关10;
路由规则4:将目的IP地址是192.168.0.2转发至远程连接网关3。
该路由规则应用于VPC2的路由器2。
上述配置方法由控制平台6执行,并请结合图4,图4是经图3所示的配置方法对图1所示的VPC进行配置之后的VPC通信系统结构示意图。如图4所示,通过上述配置,使得子网1与NAT网关10绑定,子网2与远程连接网关3绑定,通过VPC2实现桥接,打通子网1和子网3,VM1通过构造目的IP地址是远程连接网关3的私网地址的IP报文,即可访问PM1,而PM1通过构造目的IP地址是NAT网关2的私网地址的IP报文,即可访问VM1。
以下请参见图5,图5是本发明实施例基于图4所示的VPC通信系统的VPC与云下数据中心的通信方法的数据交互图,该通信方法用于揭示VM1与PM1进行通信的过程,如图5所示,该方法包括以下步骤:
步骤1:VM1构造IP报文1并将IP报文1发送至交换机1。
IP报文1的IP头的源IP地址是VM1在子网1的私网地址192.168.0.2,目的IP地址是远程连接网关2的私网地址10.0.0.10,IP报文1的数据部分携带有请求信息。
值得注意的是,VM1根据业务需要,可以提前查询获取10.0.0.10与PM1的对应关系,例如可以向第二VPC查询10.0.0.10与PM1的对应关系,也可以向控制平台6查询10.0.0.10与PM1的对应关系。
步骤2:交换机1转发IP报文1至路由器1。
交换机1接收IP报文1后,确认IP报文1的目的IP地址不属于子网1,将IP报文1发送至路由器1进行跨网段报文传输。
步骤3:路由器1根据路由规则1转发IP报文1。
路由器1接收IP报文1后,根据IP报文1的目的IP地址(10.0.0.10)匹配路由规则1,根据路由规则1将IP报文1发送至NAT网关10。
步骤4:NAT网关10根据报文处理规则1修改IP报文1的源IP地址并发送修改后的IP报文1至路由器3。
NAT网关10从路由器1接收IP报文1后,由于IP报文1来自路由器1,因此确认 IP报文1为出报文,匹配报文处理规则1,将IP报文1的源IP地址从192.168.0.2修改为10.0.0.9,目的IP地址从10.0.0.10修改为192.168.0.2,并将修改后的IP报文1发送至路由器3。
步骤5:路由器3根据路由规则4转发IP报文1至远程连接网关3。
路由器3接收IP报文1后,根据IP报文1的目的IP地址(192.168.0.2)匹配路由规则4,将IP报文1转发至远程连接网关3。
步骤6:远程连接网关3通过远程通信隧道发送IP报文1至远程连接网关2。
步骤7:远程连接网关2转发IP报文1至交换机6。
步骤8:交换机6将IP报文1发送至PM1。
交换机6根据IP报文1的目的IP地址192.168.0.2将IP报文1发送至PM1。
步骤9:PM1构造并发送IP报文2至交换机6。
IP报文2是IP报文1的应答报文。
PM1接收IP报文1之后,从IP报文1的数据部分获取请求信息,根据请求信息产生应答信息,并构造IP报文2,具体地,PM1将IP报文1的源IP地址10.0.0.9设置为 IP报文2的目的IP地址,将IP报文1的目的IP地址192.168.0.2设置为IP报文2的源 IP地址,将应答信息设置于IP报文2的数据部分,将IP报文2发送至交换机6。
步骤10:交换机6转发IP报文2至远程连接网关2。
交换机6接收IP报文2后,确认IP报文2的目的IP地址10.0.0.9不属于子网3(192.168.0.0/24),将IP报文2发送至远程连接网关2进行远程报文传输。
步骤11:远程连接网关2通过远程通信隧道发送IP报文2至远程连接网关3。
步骤12:远程连接网关3发送IP报文2至路由器3。
步骤13:路由器3根据路由规则3转发IP报文2至NAT网关10。
路由器3接收IP报文2后,根据IP报文2的目的IP地址(10.0.0.9)匹配路由规则 3,将IP报文2转发至NAT网关10。
步骤14:NAT网关10根据报文处理规则2修改IP报文2并发送修改后的IP报文2 至路由器1。
NAT网关10从路由器3接收IP报文2后,由于IP报文2来自路由器3,因此确认 IP报文2是入报文,匹配报文处理规则2,将IP报文2的目的IP地址从10.0.0.9修改为192.168.0.2,源地址从192.168.0.2修改为10.0.0.10,并将修改后的IP报文2发送至路由器1。
步骤15:路由器1根据路由规则2转发修改后的IP报文2至交换机1。
路由器1根据IP报文2的目的IP地址192.168.0.2匹配路由规则2,将IP报文2发送至子网1,具体地,是将IP报文2发送至子网1的交换机1。
步骤16:交换机1将IP报文2发送至VM1。
交换机1根据IP报文2的目的IP地址192.168.0.2将IP报文2发送至VM1。
VM1接收到IP报文2后,根据IP报文2的源IP地址10.0.0.10和目的IP地址192.168.0.2确认IP报文2是IP报文1的应答报文(由于IP报文2的源IP地址和目的IP 地址与IP报文1相比是倒置的),VM1从IP报文2的数据部分获取应答信息,从而完成VM1与VM2之间的通信过程。
综上,通过在云上数据中心10配置NAT网关1和VPC2,并进行规制配置,可使得云上的VM1和云下的PM1在私网地址相同的情况下也能够实现通信。
举例而言,本发明实施例适用于以下场景,即VPC2作为企业内部的大网,而VPC1作为企业内部小网,VPC1例如为财务部的虚拟网络,子网3例如为研发部的本地部署网络,VPC2例如为企业的IT管理部的虚拟网络,当VPC1与子网3私网地址重叠时,可向控制平台申请VPC2的私网地址,例如VPC1申请到VPC2的私网地址1,子网3申请到VPC2的私网地址2,控制平台通过在NAT网关10设置报文处理规则将VPC1中的虚拟机与私网地址1绑定,将子网3中的物理机与私网地址2绑定,VPC1的虚拟机可通过访问私网地址2来访问子网3中的物理机,子网3中的物理机可通过访问私网地址1来访问VPC1的虚拟机,从而解决企业内部云上和云下私网地址重叠而造成不能相互通信的技术问题。
值得注意的是,在本发明实施例中,云下数据中心也可以设置虚拟机,即PM可以替换为VM,本发明实施例对此不作限定。
并且,在本发明其他实施例中,可进一步对NAT网关10设置报文处理规则3和4,以替代报文处理规则1和2。
报文处理规则3:
源IP地址是192.168.0.2,目的IP地址是10.0.0.10的出报文,源IP地址修改为9.9.9.9,目的IP地址修改为192.168.0.2,并将修改后的出报文发送至路由器3;
报文处理规则4:
源IP地址是192.168.0.2,目的IP地址是9.9.9.9的入报文,源IP地址修改为10.0.0.10,目的IP地址修改为192.168.0.2,并将修改后的入报文发送至路由器1。
在该实施例中,假设PM1只信任源IP地址是9.9.9.9的IP报文,且在接收到源IP 地址非9.9.9.9的IP报文时,会丢弃该IP报文,此时,通过配置报文处理规则3和4到 NAT网关10,使得PM1接收到的IP报文的源IP地址是9.9.9.9,从而确保PM1不会丢弃该IP报文,而是对该IP报文应答。
本实施例适用于PM1设置有重要的数据库的情况,例如PM1为银行的数据库,VPC需通过NAT网关10进行源地址转换,将VPC1内虚拟机发出的IP报文的源地址修改为 PM1的信任地址,才能保证PM1对该IP报文进行正常处理。
进一步,请参见图6,图6示出根据本发明实施例的配置装置的装置结构示意图,如图6所示,配置装置60包括地址绑定模块601、网关配置模块602、地址配置模块603,路由规则配置模块604,其中,网关配置模块602用于执行上述实施例揭示的配置方法中创建NAT网关和远程连接网关的动作,地址配置模块603用于执行上述实施例揭示的配置方法中为NAT网关和远程连接网关配置私网地址的动作,地址绑定模块601用于执行执行上述实施例揭示的配置方法中为NAT网关配置报文处理规则的动作,路由规则配置模块604用于执行上述实施例揭示的配置方法中为路由器配置路由规则的动作。
其中,配置装置60可设置在以上实施例所揭示的控制平台6中。
以下请参见图7,图7示出根据本发明实施例的计算设备的装置结构示意图,如图7所示,计算设备可以包括处理单元421和通信接口422,处理单元421用于执行物理服务器上运行的操作系统以及各种软件程序所定义的功能,例如,用于实现图2所示的控制平台6的功能。通信接口422用于与其他计算节点进行通信交互,其他设备可以是其它物理服务器,具体地,通信接口422可以是网络适配卡。可选地,该物理服务器还可以包括输入/输出接口423,输入/输出接口423连接有输入/输出设备,用于接收输入的信息,输出操作结果。输入/输出接口423可以为鼠标、键盘、显示器、或者光驱等。可选地,该物理服务器还可以包括辅助存储器424,一般也称为外存,辅助存储器424的存储介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如光盘)、或者半导体介质 (例如固态硬盘)等。处理单元421可以有多种具体实现形式,例如处理单元421可以包括处理器4212和存储器4211,处理器4212根据存储器4211中存储的程序指令执行上述实施例中控制平台6的相关操作,处理器4212可以为中央处理器(CPU)或图像处理器(英文:graphics processing unit,GPU),处理器4212可以是单核处理器或多核处理器。处理单元421也可以单独采用内置处理逻辑的逻辑器件来实现,例如现场可编程门阵列(英文全称:Field Programmable Gate Array,缩写:FPGA)或数字信号处理器(英文:digital signal processor,DSP)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。上述各个附图对应的流程的描述各有侧重,某个流程中没有详述的部分,可以参见其他流程的相关描述。
进一步地,在本发明其他实施例中,也可以使用容器来替换虚拟机,本发明实施例对此不作限定。
需说明的是,以上描述的任意装置实施例都仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部进程来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,进程之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本发明而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,U盘、移动硬盘、只读存储器(Read-Only Memory, ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,主机,或者网络设备等)执行本发明各个实施例所述的方法。
所属领域的技术人员可以清楚地了解到,上述描述的系统、装置或单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
