虚拟私有云通信及配置方法以及相关装置
技术领域
本申请涉及云技术领域,特别涉及一种虚拟私有云通信及配置方法以及相关装置。
背景技术
随着云技术的发展,存在两个或多个虚拟私有网络(Virtual Private Cloud,VPC)之间通信的诉求,但由于私网地址规划等原因,若需要通信的VPC之间存在私网地址重叠,则会造成VPC之间不能通信。
发明内容
为解决现有技术的问题,本发明实施例提供一种虚拟私有云通信及配置方法以及相关装置,能有效解决云上的VPC之间因私网地址重叠而不能通信的技术问题。
第一方面,本申请提供一种虚拟私有云VPC通信的配置方法,在该方法中,具有相同私网地址段的第一虚拟私有云VPC和第二VPC通过第三VPC进行通信,第三VPC 的私网地址段与第一VPC、第二VPC的私网地址段均不相同,该方法包括以下步骤:将第一VPC内的私网地址与第一地址进行绑定,其中,第一地址为归属于第三VPC的私网地址段的地址,将第二VPC内的私网地址与第二地址进行绑定,其中,第二地址为归属于第三VPC的私网地址段的地址,第一地址与第二地址不相同,将第一VPC发送至第二VPC的报文的源地址配置为第一地址,目的地址配置为第二地址。
通过第三VPC的桥接,第一VPC通过访问与第二VPC绑定的第二地址来访问第二VPC,且第二VPC通过访问与第一VPC绑定的第一地址来访问第一VPC,可以在第一 VPC和第二VPC在私网地址段重叠的情况下实现第一VPC与第二VPC之间的通信。
根据第一方面的一种可能的实现方式,上述配置方法还包括在第三VPC上配置路由规则的步骤,第三VPC上的路由规则包括:将目的地址为第一地址的报文转发到第一VPC,将目的地址为第二地址的报文转发到第二VPC。
通过配置路由规则,可使得第三VPC转发第一VPC与第二VPC之间的报文,实现桥接。
根据第一方面的一种可能的实现方式,上述配置方法还包括以下步骤:在第一VPC中配置第一网关,以及在第二VPC中配置第二网关,其中,将第一网关的私网地址配置为第一地址,将第二网关的私网地址配置为第二地址,在第一网关上配置第一报文处理规则,第一报文处理规则包括:将出报文的源地址由第一VPC内的地址转换为第一地址,将入报文的目的地址由第一地址转换为第一VPC内的地址,在第二网关上配置第二报文处理规则,第二报文处理规则包括:将出报文的源地址由第二VPC内的地址转换为第二地址,将入报文的目的地址由第二地址转换为第二VPC内的地址。
通过配置报文处理规则,第一网关将第一VPC内的地址和第一地址绑定,第二网关将第二VPC内的地址和第二地址绑定,从而使得第一VPC通过访问第二地址来访问第二VPC,并使得第二VPC通过访问第一地址来访问第一VPC。
根据第一方面的一种可能的实现方式,该配置方法还包括配置路由规则的步骤,具体地,在第一VPC的路由器上配置路由规则,第一VPC的路由器上的路由规则包括:将目的地址为第二地址的报文转发到第一网关,将目的地址为第一VPC内的地址的报文转发到第一VPC的子网,在第二VPC的路由器上配置路由规则,第二VPC的路由器上的路由规则包括:将目的地址为第一地址的报文转发到第二网关,将目的地址为第二VPC 内的地址的报文转发到第一VPC的子网。
通过配置路由规则,可以使得第一VPC的路由器可以将报文在第一网关和第一VPC内的子网之间进行转发,并使得第二VPC的路由器可以将报文在第二网关和第二VPC 的子网之间进行转发。
根据第一方面的其他可能的实现方式,第一VPC内的地址包括远程接入到第一VPC的云下数据中心的子网中的地址。
根据第一方面的其他可能的实现方式,第一VPC内的地址包括第一VPC的子网中的地址。
第二方面,本申请提供一种虚拟私有云VPC通信的配置方法,该方法用于具有相同私网地址段的第一虚拟私有云VPC和第二VPC通过第三VPC进行通信,第三VPC的私网地址段与第一VPC、第二VPC的私网地址段均不相同,该方法包括以下步骤:在第一VPC中配置第一网关,以及在第二VPC中配置第二网关,其中,为第一网关配置第一地址,为第二网关配置第二地址,第一地址和第二地址归属于第三VPC的私网地址段,第一地址以及第二地址不相同,在第一网关上配置第一报文处理规则,在第二网关上配置第二报文处理规则,其中,第一报文处理规则包括:将出报文的源地址由第一VPC内的地址转换为第一地址,将入报文的目的地址由第一地址转换为第一VPC内的地址,第二报文处理规则包括:将出报文的源地址由第二VPC内的地址转换为第二地址,将入报文的目的地址由第二地址转换为第二VPC内的地址,在第一VPC的路由器上配置第一路由规则,在第二VPC的路由器上配置第二路由规则,在第三VPC的路由器上配置第三路由规则,其中,第一路由规则包括:将目的地址为第二地址的报文路由至第一网关,第二路由规则包括:将目的地址为第一地址的报文路由至第二网关,第三路由规则包括:将目的地址为第一地址的报文路由至第一VPC中的第一网关,将目的地址为第二地址的报文路由至第二VPC中的第二网关。
通过第三VPC的桥接,第一VPC通过访问与第二VPC绑定的第二地址来访问第二VPC,且第二VPC通过访问与第一VPC绑定的第一地址来访问第一VPC,可以在第一 VPC和第二VPC在私网地址段重叠的情况下实现第一VPC与第二VPC之间的通信。
根据第二方面的一种可能的实现方式,上述方法还包括以下步骤:配置第一VPC与第三VPC的连接关系,以及配置第二VPC与第三VPC的连接关系。
具体地,可通过配置第一VPC中的第一网关连接第三VPC中的路由器,配置第二VPC中的第二网关连接第三VPC中的路由器,从而使得第一VPC和第二VPC分别与第三VPC连接,且第三VPC通过与第一VPC绑定的第一地址对第一VPC进行寻址,通过与第二VPC绑定的第二地址对第二VPC进行寻址。
第三方面,本申请提供一种虚拟私有云VPC通信方法,该方法用于具有相同私网地址段的第一虚拟私有云VPC和第二VPC通过第三VPC进行通信,第三VPC的私网地址段与第一VPC、第二VPC的私网地址段均不相同,该方法包括以下步骤:第一VPC 发送报文,报文的源地址为第一地址,目的地址为第二地址,第一地址和第二地址均为归属于第三VPC的私网地址段的地址,第一VPC内的私网地址与第一地址绑定,第二 VPC内的私网地址与第二地址绑定,第三VPC接收报文,根据预先设置的路由规则将报文转发到第二VPC,其中第三VPC的路由规则包括:将目的地址为第二地址的报文转发到第二VPC。
通过第三VPC的桥接,第一VPC通过访问与第二VPC绑定的第二地址来访问第二VPC,且第二VPC通过访问与第一VPC绑定的第一地址来访问第一VPC,可以在第一 VPC和第二VPC在私网地址段重叠的情况下实现第一VPC与第二VPC之间的通信。
根据第三方面的一种可能的实现方式,路由规则还包括:将目的地址为第一地址的报文转发到第一VPC,此时,上述方法还包括以下步骤:第二VPC发送响应报文,响应报文的源地址为第二地址,目的地址为第一地址,第三VPC接收响应报文,根据路由规则将响应报文转发到第一VPC。
通过设置路由规则,可使得第二VPC反馈的应答报文通过第三VPC转发到第一VPC,从而实现应答。
第四方面,本申请提供一种虚拟私有云VPC通信方法,第一VPC和第二VPC通过第三VPC进行通信,第一VPC与第二VPC具有相同的私网地址段,第三VPC的私网地址段与第一VPC、第二VPC的私网地址段均不相同,第一VPC设置有第一网关,第二VPC设置有第二网关,第一网关配置有第一地址,第二网关配置有第二地址,第一地址和第二地址均归属于第三VPC的私网地址段,第一地址与第二地址不相同,该方法包括以下步骤:第一VPC的路由器接收第一设备发送的报文,其中,报文的源地址为第一设备的私网地址,目的地址为第二地址,第一VPC的路由器根据第一路由规则将报文转发至第一网关,第一网关将报文的源地址修改为第一地址,将修改后的报文转发到第三 VPC的路由器,其中,第三VPC的路由器设置有第三路由规则,第一路由规则包括:目的地址属于第三VPC的私网地址段的报文需要转发至第一网关,第三路由规则包括:目的地址为第二地址的报文需要转发至第二VPC的第二网关。
通过第三VPC的桥接,第一VPC通过访问与第二VPC绑定的第二地址来访问第二VPC,且第二VPC通过访问与第一VPC绑定的第一地址来访问第一VPC,可以在第一 VPC和第二VPC在私网地址段重叠的情况下实现第一VPC与第二VPC之间的通信。
在第四方面的一种可能的实现方式中,第一设备可以是第一VPC的第一子网中的第一虚拟机,也可以是与第一VPC通过远程通信隧道连接的第一云下数据中心的第二子网中的物理机或虚拟机,第二设备可以是第二VPC的第三子网中的第二虚拟机,也可以是与第二VPC通过远程通信隧道连接的第二云下数据中心的第四子网中的物理机或虚拟机,
在第四方面的一种可能的实现方式中,上述方法还包括以下步骤:第二网关接收第三VPC的路由器转发的报文,将接收到的报文的目的地址修改为第二设备的地址,并将修改后的报文发送至第二VPC的路由器,第二VPC的路由器根据第二路由规则将接收到的报文转发到第二设备所在的子网,第二路由规则包括:目的地址属于第二地址的报文需要转发到第二设备所在的子网。
通过第二网关的报文修改和转发,并且经过第二VPC的路由器的转发之后,该报文可到达第二设备所在的子网,使得第二设备可以接收到该报文。
第五方面,本申请提供一种虚拟私有云VPC通信的配置装置,具有相同私网地址段的第一虚拟私有云VPC和第二VPC通过第三VPC进行通信,第三VPC的私网地址段与第一VPC、第二VPC的私网地址段均不相同,该装置包括以下模块:地址绑定模块,用于将第一VPC内的私网地址与第一地址进行绑定,其中,第一地址为归属于第三VPC 的私网地址段的地址,用于将第二VPC内的私网地址与第二地址进行绑定,其中,第二地址为归属于第三VPC的私网地址段的地址,第一地址与第二地址不相同,地址配置模块,用于将第一VPC发送至第二VPC的报文的源地址配置为第一地址,目的地址配置为第二地址,以及将第二VPC发送至第一VPC的报文的源地址配置为第二地址,目的地址配置为第一地址。
第五方面或第五方面任意一种实现方式是第一方面或第一方面任意一种实现方式对应的装置实现,第一方面或第一方面任意一种实现方式中的描述适用于第五方面或第五方面任意一种实现方式,在此不再赘述。
第六方面,本申请提供一种虚拟私有云VPC通信的配置装置,具有相同私网地址段的第一虚拟私有云VPC和第二VPC通过第三VPC进行通信,第三VPC的私网地址段与第一VPC、第二VPC的私网地址段均不相同,该装置包括:网关配置模块,用于在第一VPC中配置第一网关,以及在第二VPC中配置第二网关,地址配置模块,用于为第一网关配置第一地址,为第二网关配置第二地址,第一地址和第二地址归属于第三VPC 的私网地址段,第一地址以及第二地址不相同,地址绑定模块,用于在第一网关上配置第一报文处理规则,在第二网关上配置第二报文处理规则,其中,第一报文处理规则包括:将出报文的源地址由第一VPC内的地址转换为第一地址,并将修改后的出报文发送至第三VPC的路由器,将入报文的目的地址由第一地址转换为第一VPC内的地址,并将修改后的入报文发送至第一VPC的路由器,第二报文处理规则包括:将出报文的源地址由第二VPC内的地址转换为第二地址,并将修改后的出报文发送至第三VPC的路由器,将入报文的目的地址由第二地址转换为第二VPC内的地址,并将修改后的入报文发送至第二VPC的路由器,路由规则配置模块,用于在第一VPC的路由器上配置第一路由规则,在第二VPC的路由器上配置第二路由规则,在第三VPC的路由器上配置第三路由规则,其中,第一路由规则包括:将目的地址为第二地址的报文路由至第一网关,第二路由规则包括:将目的地址为第一地址的报文路由至第二网关,第三路由规则包括:将目的地址为第一地址的报文路由至第一VPC中的第一网关,将目的地址为第二地址的报文路由至第二VPC中的第二网关。
第六方面或第六方面任意一种实现方式是第二方面或第二方面任意一种实现方式对应的装置实现,第二方面或第二方面任意一种实现方式中的描述适用于第六方面或第六方面任意一种实现方式,在此不再赘述。
第七方面,本申请提供一种虚拟私有云VPC通信系统,包括第一虚拟私有云VPC、第二VPC以及第三VPC,第一VPC和第二VPC具有相同私网地址段,第一VPC和第二VPC通过第三VPC进行通信,第三VPC的私网地址段与第一VPC、第二VPC的私网地址段均不相同,第一VPC,用于发送报文,报文的源地址为第一地址,目的地址为第二地址,第一地址和第二地址均为归属于第三VPC的私网地址段的地址,第一VPC 内的私网地址与第一地址绑定,第二VPC内的私网地址与第二地址绑定,第三VPC,用于接收报文,根据预先设置的路由规则将报文转发到第二VPC,其中第三VPC的路由规则包括:将目的地址为第二地址的报文转发到第二VPC。
第七方面或第七方面任意一种实现方式是第三方面或第三方面任意一种实现方式对应的系统实现,第三方面或第三方面任意一种实现方式中的描述适用于第七方面或第七方面任意一种实现方式,在此不再赘述。
第八方面,本申请提供一种虚拟私有云VPC通信系统,包括第一虚拟私有云VPC、第二VPC以及第三VPC,第一VPC和第二VPC通过第三VPC进行通信,第一VPC与第二VPC具有相同的私网地址段,第三VPC的私网地址段与第一VPC、第二VPC的私网地址段均不相同,第一VPC设置有第一网关,第二VPC设置有第二网关,第一网关配置有第一地址,第二网关配置有第二地址,第一地址和第二地址均归属于第三VPC的私网地址段,第一地址与第二地址不相同,其中,第一VPC的路由器,用于接收第一设备发送的报文,其中,报文的源地址为第一设备的私网地址,目的地址为第二地址,第一VPC的路由器,还用于根据第一路由规则将报文转发至第一网关,第一网关,用于将报文的源地址修改为第一地址,将修改后的报文转发到第三VPC的路由器,其中,第三VPC的路由器设置有第三路由规则,第一路由规则包括:目的地址属于第三VPC的私网地址段的报文需要转发至第一网关,第三路由规则包括:目的地址为第二地址的报文需要转发至第二VPC的第二网关。
第八方面或第八方面任意一种实现方式是第四方面或第四方面任意一种实现方式对应的系统实现,第四方面或第四方面任意一种实现方式中的描述适用于第八方面或第八方面任意一种实现方式,在此不再赘述。
第九方面,本申请提供一种虚拟私有云VPC通信系统,包括第一虚拟私有云VPC、第二VPC以及第三VPC,第一VPC和第二VPC通过第三VPC进行通信,第一VPC与第二VPC具有相同的私网地址段,第三VPC的私网地址段与第一VPC、第二VPC的私网地址段均不相同,第一VPC设置有与第三VPC连接的第一网关,第二VPC设置有与第三VPC连接的第二网关,第一网关配置有第一地址,第二网关配置有第二地址,第一地址和第二地址均归属于第三VPC的私网地址段,第一地址与第二地址不相同,其中,第一VPC的第一子网中的第一虚拟机,用于发送报文至第一子网的交换机,其中,报文的源地址为第一虚拟机在第一子网中的私网地址,目的地址为第二地址,第一子网的交换机,用于发送报文至第一VPC的路由器,第一VPC的路由器,用于接收报文,将报文转发至第一网关,第一网关,用于接收报文,将报文的源地址修改为第一地址,将修改后的报文转发到第三VPC的路由器,第三VPC的路由器,用于接收报文,将报文转发至第二网关,第二网关,用于接收报文,将接收到的报文的目的地址修改为第二VPC 的第二子网中的第二虚拟机在第二子网中的私网地址,并将修改后的报文发送至第二VPC的路由器,第二VPC的路由器,用于接收报文,将报文转发到第二子网中的交换机,第二子网中的交换机,用于接收报文,将报文发送至第二虚拟机。
第十方面,本申请提供一种虚拟私有云VPC通信系统,包括第一虚拟私有云VPC、第二VPC以及第三VPC,第一VPC和第二VPC通过第三VPC进行通信,第一VPC与第二VPC具有相同的私网地址段,第三VPC的私网地址段与第一VPC、第二VPC的私网地址段均不相同,第一VPC设置有与第一云下数据中心远程连接的第一远程连接网关以及与第三VPC连接的第一网关,第二VPC设置有与第二云下数据中心远程连接的第二远程连接网关以及与第三VPC连接的第二网关,第一网关配置有第一地址,第二网关配置有第二地址,第一地址和第二地址均归属于第三VPC的私网地址段,第一地址与第二地址不相同,其中,第一远程连接网关,用于接收第一云下数据中心的第一子网中的第一设备发送的报文,并将报文发送至第一VPC的路由器,其中,报文的源地址为第一设备在第一子网中的私网地址,目的地址为第二地址,第一VPC的路由器,用于接收报文,将报文转发至第一网关,第一网关,用于接收报文,将报文的源地址修改为第一地址,将修改后的报文转发到第三VPC的路由器,第三VPC的路由器,用于接收报文,将报文转发至第二网关,第二网关,用于接收报文,将接收到的报文的目的地址修改为第二云下数据中心的第二子网中的第二设备在第二子网中的私网地址,并将修改后的报文发送至第二VPC的路由器,第二VPC的路由器,用于接收报文,将报文转发到第二远程连接网关,第二远程连接网关,用于接收报文,将报文发送至第二云下数据中心的第二子网中的第二设备。
第十一方面,本申请提供一种虚拟私有云VPC通信系统,包括第一虚拟私有云VPC、第二VPC以及第三VPC,第一VPC和第二VPC通过第三VPC进行通信,第一VPC与第二VPC具有相同的私网地址段,第三VPC的私网地址段与第一VPC、第二VPC的私网地址段均不相同,第一VPC设置有第一网关,第二VPC设置有第二网关,第一网关配置有第一地址,第二网关配置有第二地址,第一地址和第二地址均归属于第三VPC的私网地址段,第一VPC的路由器和第二VPC的路由器分别与第三VPC的路由器连接,第一地址与第二地址不相同,其中,第一VPC的第一子网中的第一虚拟机,用于发送报文至第一子网的交换机,其中,报文的源地址为第一虚拟机在第一子网中的私网地址,目的地址为第二地址,第一子网的交换机,用于发送报文至第一网关,第一网关,用于将报文的源地址修改为第一地址,将修改后的报文发送至第一VPC的路由器,第一VPC 的路由器,用于接收报文,将报文转发至第三VPC的路由器,第三VPC的路由器,用于接收报文,将报文转发到第二VPC的路由器,第二VPC的路由器,用于接收报文,将报文转发至第二网关,第二网关,用于接收报文,将接收到的报文的目的地址修改为第二VPC的第二子网中的第二虚拟机在第二子网中的私网地址,并将修改后的报文发送至第二子网的交换机,第二子网的交换机,用于接收报文,将报文发送至第二虚拟机。
第十二方面,本申请提供一种计算设备,包括至少一个存储器和至少一个处理器,至少一个存储器用于存储程序指令,至少一个处理器执行程序指令,以执行实现第一方面及其任一种可能的实现方式的方法。
第十三方面,本申请提供一种计算设备,包括至少一个存储器和至少一个处理器,至少一个存储器用于存储程序指令,至少一个处理器执行程序指令,以执行实现第二方面及其任一种可能的实现方式的方法。
第十四方面,本申请提供了一种非瞬态的可读存储介质,所述非瞬态的可读存储介质被计算设备执行时,所述计算设备执行前述第一方面或第一方面的任意可能的实现方式中提供的方法。该存储介质中存储了程序。该存储介质包括但不限于易失性存储器,例如随机访问存储器,非易失性存储器,例如快闪存储器、硬盘(英文:hard disk drive,缩写:HDD)、固态硬盘(英文:solid state drive,缩写:SSD)。
第十五方面,本申请还提供了一种非瞬态的可读存储介质,所述非瞬态的可读存储介质被计算设备执行时,所述计算设备执行前述第二方面或第二方面的任意可能的实现方式中提供的方法。该存储介质中存储了程序。该存储介质包括但不限于易失性存储器,例如随机访问存储器,非易失性存储器,例如快闪存储器、硬盘(英文:hard disk drive,缩写:HDD)、固态硬盘(英文:solid state drive,缩写:SSD)。
第十六方面,本申请提供了一种计算设备程序产品,所述计算设备程序产品包括计算机指令,在被计算设备执行时,所述计算设备执行前述第一方面或第一方面的任意可能的实现方式中提供的方法。该计算机程序产品可以为一个软件安装包,在需要使用前述第一方面或第一方面的任意可能的实现方式中提供的方法的情况下,可以下载该计算机程序产品并在计算设备上执行该计算机程序产品。
第十七方面,本申请还提供了另一种计算设备程序产品,所述计算设备程序产品包括计算机指令,在被计算设备执行时,所述计算设备执行前述第二方面或第二方面的任意可能的实现方式中提供的方法。该计算机程序产品可以为一个软件安装包,在需要使用前述第二方面或第二方面的任意可能的实现方式中提供的方法的情况下,可以下载该计算机程序产品并在计算设备上执行该计算机程序产品。
第十八方面,本申请还一种虚拟私有云VPC通信的配置方法,具有相同私网地址段的第一VPC和第二VPC通过第三VPC进行通信,第三VPC的私网地址段与第一VPC、第二VPC的私网地址段均不相同,该方法包括以下步骤:为第一VPC中的用户提供第一配置页面,第一配置页面提示第一VPC中的用户在第一VPC中创建第一网关,并提示第一VPC中的用户输入第一网关需要连接的第三VPC的信息,以及第一网关在第三 VPC中的第一地址,为第二VPC中的用户提供第二配置页面,第二配置页面提示第二 VPC中的用户在第二VPC中创建第二网关,并提示第二VPC中的用户输入第二网关需要连接的第三VPC的信息,以及第二网关在第三VPC中的第二地址,第一地址与第二地址归属于第三VPC的私网地址段,第一地址以及第二地址不相同,根据第一配置页面的信息,创建第一网关,根据第二配置页面的信息,创建第二网关。
根据第十八方面的一种可能的实现方式,VPC通信的配置方法还包括以下步骤:在第一网关上配置第一报文处理规则,在第二网关上配置第二报文处理规则,其中,第一报文处理规则包括:将出报文的源地址由第一VPC内的地址转换为第一地址,将入报文的目的地址由第一地址转换为第一VPC内的地址,第二报文处理规则包括:将出报文的源地址由第二VPC内的地址转换为第二地址,将入报文的目的地址由第二地址转换为第二VPC内的地址,在第一VPC的路由器上配置第一路由规则,在第二VPC的路由器上配置第二路由规则,在第三VPC的路由器上配置第三路由规则,其中,第一路由规则包括:将目的地址为第二地址的报文路由至第一网关,第二路由规则包括:将目的地址为第一地址的报文路由至第二网关,第三路由规则包括:将目的地址为第一地址的报文路由至第一VPC中的第一网关,将目的地址为第二地址的报文路由至第二VPC中的第二网关。
附图说明
图1是一种VPC通信系统的系统结构示意图;
图2是根据本发明实施例的VPC通信系统的系统结构示意图;
图3是根据本发明实施例的VPC通信系统的另一系统结构示意图;
图4是根据本发明实施例的VPC通信的设置方法的流程图;
图5a-5g示出控制平台提供的VPC设置界面;
图6示出根据本发明实施例的VPC通信系统的系统结构示意图;
图7示出根据本发明实施例的VPC通信系统的另一系统结构示意图;
图8示出根据本发明实施例的VPC通信系统的另一系统结构示意图;
图9是根据本发明实施例的VPC通信系统的另一系统结构示意图;
图10示出根据本发明实施例的配置装置的装置结构示意图;
图11示出根据本发明实施例的计算设备的装置结构示意图;
具体实施方式
首先,本发明实施例涉及的名词解释如下:
云上数据中心:提供公有云业务的数据中心。
云下数据中心:提供非公有云业务的数据中心,云下数据中心提供本地部署业务的情况下,云下数据中心包括多个物理机(physical machine),云下数据中心提供私有云业务的情况下,云下数据中心包括多个虚拟机。
公有云业务:即基础设施即服务(Infrastructure as a Service,IaaS)是指把公有云业务提供方提供的基础设施作为一种服务通过互联网对外提供。在这种服务模型中,用户不用自己构建一个数据中心,而是通过租用的方式来使用服务器、存储和网络等基础设施。公有云业务通过提供虚拟环境(例如虚拟机)实现,公有云的核心属性是多用户共享云基础设施且用户之间隔离。
非公有云业务:单个用户专属的基础设施,例如为私有云业务和本地部署业务。
私有云(Private Clouds)业务:单个用户拥有服务器、存储和网络等基础设施,并可以完全控制此基础设施,私有云业务通过提供虚拟环境(例如虚拟机)实现,私有云业务的核心属性是单用户独享基础设施。
本地部署(On-premises)业务:单个用户在本地自建服务器、存储和网络等基础设施,该用户独享该自建的基础设施,本地部署业务通过物理机(physical machine)实现。
私网地址:不能在互联网寻址,只能在局域网中寻址的IP地址,私网地址被禁止出现在互联网中。
私网地址是一段保留的IP地址,私网地址的分类、网段以及数量如下表所示:
虚拟私有网络(Virtual Private Cloud,VPC):VPC设置于公有云中,VPC是公有云业务的用户在云上数据中心的虚拟网络,每个VPC均可独立组网,VPC之间逻辑隔离,因此不同VPC中的子网的私网网段可以完全一样。
具体而言,每个VPC都有一个独立的隧道号。一个VPC内的虚拟机之间的报文对应有相同的隧道标识,然后送到物理网络上进行传输。不同VPC内的虚拟机因为所在的隧道标识不同,本身处于两个不同的路由平面,所以不同VPC内的虚拟机无法进行通信,天然地实现了逻辑隔离。
隧道标识可例如为虚拟局域网标识(Virtual Local Area NetworkIdentification,VLAN ID)或虚拟网络标识(Virtual Network ID,VNI)。
首先请参见图1,图1是一种VPC通信系统的系统结构示意图,如图1所示,VPC 通信系统包括云上数据中心10和客户端7,客户端7通过互联网8访问云上数据中心10。
图1所示的云上数据中心10为逻辑示意图,云上数据中心10为公有云用户提供VPC1和VPC2,VPC1包括路由器1和子网1,VPC1的私网网段是192.168.0.0/16,子网1的私网网段是192.168.0.0/24,虚拟机(virtual machine,VM)1和VM2设置于子网 1内,VM1的私网地址是192.168.0.2,VM2的私网地址是192.168.0.3,VM1和VM2与交换机1连接,路由器1与交换机1连接。
值得注意的是,子网1的私网网段是VPC1的私网网段的子集,VPC1除包括子网1 之外,还可以包括其他子网,例如私网网段是192.168.1.0/24的子网,或者是私网网段是192.168.2.0/24的子网。路由器1用于转发不同子网之间通信的报文。
并且,VPC2包括路由器2和子网2,VPC1的私网网段是192.168.0.0/16,子网2的私网网段是192.168.0.0/24,子网2内设置有VM3和VM4,VM3的私网地址是192.168.0.2, VM4的私网地址是192.168.0.3,VM3和VM4与交换机2连接,路由器2与交换机2连接。
其中,子网1和子网2具有相同的私网网段,即子网1和子网2私网地址重叠。
类似地,子网2的私网网段是VPC2的私网网段的子集,VPC2除包括子网1之外,还可以包括其他子网,例如私网网段是192.168.1.0/24的子网,或者是私网网段是192.168.2.0/24的子网。路由器2用于转发不同子网之间通信的报文。
客户端7通过互联网8访问控制平台6,控制平台6提供VPC配置界面,客户端7 通过互联网访问VPC配置界面,在VPC配置界面上输入VPC的配置信息,控制平台6 根据配置信息在云上数据中心10配置VPC,具体地,可配置VPC中的各功能模块,例如可创建或删除VPC,在VPC中创建或删除虚拟机,配置VPC中的路由器的路由规则等,控制平台6可根据配置信息对VPC进行全生命周期管理。在客户端7看来,云上数据中心10提供了逻辑隔离的VPC1和VPC2,客户端7可通过远程桌面登陆VPC1的VM1 或VM2,也可以登陆VPC2的VM3和VM4,VPC1和VPC2之间逻辑隔离,互不干扰。
客户端7例如为具有上网功能手机、个人电脑、个人数字助理或瘦客户端等终端设备,用户通过操作客户端7操作云数据中心10中的虚拟机。
如图1所示,VM1和VM2设置在VPC1的子网1中,VM1在VPC1的子网1中设置有私网地址192.168.0.2,VM2在VPC1的子网1中设置有私网地址192.168.0.3,VM1 通过交换机1与VM2通信。VM3和VM4设置在VPC2的子网2中,VM3在VPC2的子网2中设置有私网地址192.168.0.2,VM4在VPC2的子网2中设置有私网地址 192.168.0.3,VM3通过交换机2与VM4通信。
举例而言,用户操作客户端7登陆VM1,在VM1中输入互联网控制报文协议(Internet Control Message Protocol,ICMP)命令:“ping 192.168.1.3”,该命令用于控制VM1发出IP报文至VM2,以测试VM1与VM2是否互通,而在本实施例中,由于VM1和VM2 设置在同一个VPC1中,因此,VM1会获取到VM2的应答。
但是,如图1所示,由于VPC1和VPC2之间是逻辑隔离的,因此,VPC1中的虚拟机与VPC2中的虚拟机不能互通,具体地,客户端7登陆VM1,可在VM1中输入ICMP 命令:“ping192.168.0.3”,该命令用于测试VM1与VM4是否互通,而在本实施例中,由于VM1和VM4设置在不同VPC中,因此,VM1不会获取到VM4的应答。
在企业上云的应用场景下,由于部门之间业务隔离的需要,可通过VPC实现业务隔离,例如VPC1属于研发部,VPC2属于财务部,在图1所示的逻辑架构中,研发部内部的VM可以相互通信,财务部内部的VM也可以相互通信,但是研发部的VM与财务部的VM不能通信。通过将不同部门的VM设置在不同的VPC中,可有效实现数据隔离。
然而,在实际应用中,研发部的VM与财务部的VM在某些情况下是需要通信的,例如研发部的VM需要从财务部的VM获取研发部的财务数据,若二者完全隔离,则不能达到从财务部的VM获取财务数据的目的。
因此,在一些实现方式中,将路由器1和路由器2连接,使得VPC1和VPC2能够通信,但是在图1所示的场景中,子网1和子网2的私网地址段重叠,即便路由器1和路由器2相连,子网1和子网2也不能通信,举例而言,VM1与VM3通信,VM1构造 IP报文,其源IP地址和目的IP地址均为192.168.0.2,该IP报文到达交换机1,会被交换机1拦截并根据其目的IP地址发送至VM1,或者直接被VM1的操作系统拦截,因此该IP报文不能到达子网2。
为解决上述技术问题,本发明实施例提供一种VPC通信系统,请参见图2,图2是根据本发明实施例的VPC通信系统的系统结构示意图,如图2所示,具有相同私网地址段的VPC1和VPC2通过VPC3进行通信,VPC3的私网地址段与VPC1、VPC2的私网地址段均不相同,其中,VPC1内的私网地址与10.0.0.9进行绑定,其中,10.0.0.9为归属于VPC3的私网地址段的地址,VPC2内的私网地址与10.0.0.10进行绑定,其中, 10.0.0.10为归属于第三VPC的私网地址段的地址,将VPC1发送至VPC2的报文的源地址配置为10.0.0.9,目的地址配置为10.0.0.10,该报文由VPC发送至VPC3,并经VPC3 转发在VPC2,。
通过VPC3的桥接,VPC1通过访问与VPC2绑定的10.0.0.10来访问VPC2,可以在VPC1和VPC2在私网地址段重叠的情况下实现通信。
为进一步清楚说明,以下请参见图3,图3是根据本发明实施例的VPC通信系统的另一系统结构示意图,图,3是图2的一种具体实现方式,在本实施例中,通过控制平台6 在VPC1和VPC2之间设置VPC3,并设置VPC3具有与VPC1以及VPC2的私网地址不重叠的私有网段,并在VPC1中设置与VPC3连接的网关1,其中,网关1设置有VPC3 的第一私网地址,在VPC2中设置与VPC3连接的网关2,网关2设置有VPC3的第二私网地址,通过设置VPC1、VPC2、VPC3的路由器的路由规则,以及网关1和网关2的报文处理规则,将VPC1的VM1与网关1绑定,将VPC2的VM3与网关2绑定,使得 VM1通过访问VPC3的第二私网地址与VM3通信,而VM3通过访问VPC3的第一私网地址与VM1通信。
其中,控制平台6可根据配置信息在云上数据中心10进行上述网关创建和规则配置,且该配置信息由客户端7输入至控制平台6提供的VPC配置界面中。
在其他实施例中,控制平台6也可自动生成上述配置信息,并进行上述配置。
具体地:
控制平台6根据配置信息可将VPC3的私网网段(例如10.0.0.0/24)的一个私网地址 10.0.0.9分配给网关1,将VPC3的私网网段(例如10.0.0.0/24)的另一个私网地址10.0.0.10 分配给网关2,并设置网关1与VPC3的路由器3连接,设置网关2与VPC3的路由器3连接,控制平台6分别对路由器及网关进行配置,使得:
路由器1设置有:
路由规则1:路由器1接收到的报文的目的IP地址是VPC3的私有网段 10.0.0.0/24时,将该IP报文转发至网关1;
路由规则2:路由器1接收到的报文的目的IP地址是子网1的私有网段192.168.0.0/24时,将该报文转发至子网1。
网关1设置有:
报文处理规则1:网关1接收到的出报文的源IP地址为VM1在子网1的私网地址192.168.0.2时,将192.168.0.2转换为网关1在VPC3的私网地址10.0.0.9,并将修改后的出报文发送至VPC3的路由器3;
报文处理规则2:网关1接收到的入报文的目的IP地址为网关1在VPC3的私网地址10.0.0.9时,将10.0.0.9转换为VM1在子网1的私网地址192.168.0.2,并将修改后的入报文发送至VPC1的路由器1。
其中,出报文是指网关1从路由器1接收到的报文,入报文是至网关1从路由器3 接收到的报文。
路由器3设置有:
路由规则5:路由器3接收到的报文的目的IP地址是网关2在VPC3的私网地址10.0.0.10时,将该IP报文转发至网关2;
路由规则6:路由器3接收到的报文的目的IP地址是网关1在VPC3的私网地址10.0.0.9时,将该报文转发至子网1。
网关2设置有:
报文处理规则3:在网关2接收到的入报文的目的IP地址是网关2在VPC3的私网地址10.0.0.10时,将10.0.0.10转换为VM3在子网2的私网地址192.168.0.2,并将修改后的入报文发送至路由器2;
报文处理规则4:在网关2接收到的出报文的源IP地址为VM3在子网2的私网地址192.168.0.2时,将192.168.0.2转换为网关2在VPC3的私网地址10.0.0.10。
其中,出报文是指网关2从路由器2接收到的报文,入报文是至网关2从路由器3 接收到的报文。
路由器2设置有:
路由规则3:在路由器2接收到的报文的目的IP地址是是VPC3的私有网段10.0.0.0/24时,将该报文转发至网关2;
路由规则4:在路由器2接收到的报文的目的IP地址是子网2的私有网段192.168.0.0/24时,将该报文转发至子网1。
值得注意的是,网关1可以有两个私网地址,一个私网地址归属于VPC1,用于对设置于第一VPC内的网关的内部设置和管理,另一个地址归属于VPC3(例如为上述的10.0.0.9),用于对外进行通信,本专利申请涉及对外通信,因此,没有特殊说明情况下,本专利申请中的网关1的私网地址均指网关1归属于VPC3的私网地址,类似地,网关2 也可以有两个私网地址,于此不作赘述。
以下将结合图4对上述网关和路由器的对应规则的设置方法进行具体说明,图4是根据本发明实施例的VPC通信的设置方法的流程图,其中,该方法由控制平台6执行,该方法包括以下步骤:
步骤S101:在VPC1创建网关1。
具体可结合图5a,图5a示出VPC1设置界面1,在该界面中,用户需输入网关名称(网关1)、网关所在的VPC(VPC1)、网关要连接的VPC(VPC3)以及网关在要连接的VPC的私网地址10.0.0.9。
步骤S102:配置网关1的报文处理规则。
结合图5b,图5b示出VPC1设置界面2,在该界面中,用户输入创建的网关1的报文处理规则,图5b所示的报文处理规则即图2所示的网关1的报文处理规则1和报文处理规则2。
其中报文处理规则1包括源网络地址转换(Source net address translation,SNAT)规则,报文处理规则2包括目的网络地址转换(Destination net addresstranslation,DNAT)规则。
步骤S103:配置VPC1的路由规则。
结合图5c,图5c示出VPC1设置界面3,在该界面中,用户输入路由器1的路由规则,即图2所示的路由规则1和路由规则2。
步骤S104:在VPC2创建网关2。
具体可结合图5d,图5d示出VPC2设置界面1,在该界面中,用户需输入网关名称(网关2)、网关所在的VPC(VPC2)、网关要连接的VPC(VPC3)以及网关在要连接的VPC的私网地址10.0.0.10。
步骤S105:配置网关2的报文处理规则。
结合图5e,图5e示出VPC2设置界面2,在该界面中,用户输入创建的网关2的报文处理规则,图5e所示的报文处理规则即图2所示的网关2的报文处理规则3和报文处理规则4。
步骤S107:配置VPC2的路由规则。
结合图5f,图5f示出VPC2设置界面3,在该界面中,用户输入路由器2的路由规则,即图2所示的路由规则3和路由规则4。
步骤S107:配置VPC2的路由规则。
结合图5g,图5g示出VPC3设置界面,在该界面中,用户输入路由器3的路由规则,即图2所示的路由规则5和路由规则6。
其中,步骤S101-S107之间的顺序可根据需要调整,如可先执行创建网关2的步骤,再执行创建网关1的步骤,本发明实施例对此不作限定。
值得注意的是,上述配置信息由用户通过操作客户端7输入至控制平台6提供的VPC 配置界面,并由控制平台6发送至控制平台6,控制平台6根据配置信息配置VPC1和VPC2。
控制平台6运行上述配置方法之后,可在云上数据中心10实现图2所示的VPC通信系统。
进一步地,请参见图6,图6示出根据本发明实施例的VPC通信的方法的数据交互图,该方法是基于图3所示的VPC通信系统,其具体示出VM1跨VPC访问VM3时的报文流向。
如图6所示,根据本发明实施例的VPC通信的方法包括以下步骤:
步骤1:VM1构造IP报文1并将IP报文1发送至交换机1。
IP报文1的IP头的源IP地址是VM1在子网1的私网地址192.168.0.2,目的IP地址是网关2在子网3的私网地址10.0.0.10,IP报文1的数据部分携带有请求信息。
值得注意的是,VM1根据业务需要,可以提前查询获取10.0.0.10与VM3的对应关系,例如可以向第二VPC查询10.0.0.10与VM3的对应关系,也可以向控制平台6查询到10.0.0.10与VM3的对应关系。
步骤2:交换机1转发IP报文1至路由器1。
交换机1接收IP报文1后,确认IP报文1的目的IP地址不属于子网1,将IP报文 1发送至路由器1进行跨网段报文传输。
步骤3:路由器1根据路由规则1转发IP报文1。
路由器1接收IP报文1后,根据IP报文1的目的IP地址(10.0.0.10)匹配路由规则1,根据路由规则1将IP报文1发送至网关1。
步骤4:网关1根据报文处理规则1修改IP报文1的源IP地址并发送修改后的IP 报文1至路由器3。
网关1从路由器1接收IP报文1后,由于IP报文1来自路由器1,因此确认IP报文1为出报文,根据IP报文1的源IP地址匹配报文处理规则1,将IP报文1的源IP地址从192.168.0.2修改为10.0.0.9,并将修改后的IP报文1发送至路由器3。
步骤5:路由器3根据路由规则5转发IP报文1至网关2。
路由器3接收IP报文1后,根据IP报文1的目的IP地址(10.0.0.10)匹配路由规则5,将IP报文1转发至网关2。
步骤6:网关2根据报文处理规则3修改IP报文1的目的IP地址并发送修改后的IP报文1至路由器2。
网关2接收从路由器3接收IP报文1后,由于IP报文1来自路由器3,因此确认IP 报文1是入报文,根据IP报文1的目的地址匹配报文处理规则3,将IP报文1的目的IP 地址从10.0.0.10修改为192.168.0.2,并将修改后的IP报文1发送至路由器2。
步骤7:路由器2根据路由规则4转发修改后的IP报文1至交换机2。
路由器2根据IP报文1的目的IP地址192.168.0.2匹配路由规则4,将IP报文1发送至子网2,而交换机2设置于子网2中,具体地,是将IP报文1发送至子网2的交换机2。
步骤8:交换机2将IP报文1发送至VM3。
交换机2根据IP报文1的目的IP地址192.168.0.2将IP报文1发送至VM3。
步骤9:VM3构造并发送IP报文2至交换机2。
IP报文2是IP报文1的应答报文。
VM3接收IP报文1之后,从IP报文1的数据部分获取请求信息,根据请求信息产生应答信息,并构造IP报文2,具体地,VM3将IP报文1的源IP地址10.0.0.9设置为 IP报文2的目的IP地址,将IP报文1的目的IP地址192.168.0.2设置为IP报文2的源 IP地址,将应答信息设置于IP报文2的数据部分,将IP报文2发送至交换机2。
步骤10:交换机2转发IP报文2至路由器2。
交换机2接收IP报文2后,确认IP报文2的目的IP地址10.0.0.9不属于子网1(192.168.0.0/24),将IP报文2发送至路由器2进行跨网段报文传输。
步骤11:路由器2根据路由规则3转发IP报文2。
路由器2接收IP报文2后,根据IP报文2的目的IP地址(10.0.0.9)匹配路由规则 3,根据路由规则3将IP报文2发送至网关2。
步骤12:网关2根据报文处理规则4修改IP报文2的源IP地址并发送修改后的IP 报文2至路由器3。
网关2从路由器2接收IP报文2后,由于IP报文2来自路由器2,因此确认IP报文2为出报文,根据IP报文2的源IP地址匹配报文处理规则4,将IP报文2的源IP地址从192.168.0.2修改为10.0.0.10,并将修改后的IP报文2发送至路由器3。
步骤13:路由器3根据路由规则6转发IP报文2至网关1。
路由器3接收IP报文2后,根据IP报文2的目的IP地址(10.0.0.9)匹配路由规则 6,将IP报文2转发至网关1。
步骤14:网关1根据报文处理规则2修改IP报文2的目的IP地址并发送修改后的 IP报文2至路由器1。
网关1接收从路由器3接收IP报文2后,由于IP报文2来自路由器3,因此确认IP 报文2是入报文,根据IP报文2的目的地址匹配报文处理规则2,将IP报文2的目的IP 地址从10.0.0.9修改为192.168.0.2,并将修改后的IP报文2发送至路由器1。
步骤15:路由器1根据路由规则2转发修改后的IP报文2至交换机1。
路由器1根据IP报文2的目的IP地址192.168.0.2匹配路由规则2,将IP报文2发送至子网1,而交换机1设置于子网1中,具体地,是将IP报文2发送至子网1的交换机1。
步骤16:交换机1将IP报文2发送至VM1。
交换机1根据IP报文2的目的IP地址192.168.0.2将IP报文2发送至VM1。
VM1接收到IP报文2后,根据IP报文2的源IP地址10.0.0.10和目的IP地址192.168.0.2确认IP报文2是IP报文1的应答报文(由于IP报文2的源IP地址和目的IP 地址与IP报文1相比是倒置的),VM1从IP报文2的数据部分获取应答信息,从而完成VM1与VM2之间的通信过程。
综上,通过在云上数据中心10配置网关1-2以及VPC3,并对VPC1-3的路由器及网关1-2进行配置,可使得VM1和VM3在私网地址相同的情况下也能够实现通信。
举例而言,本发明实施例适用于以下场景,即VPC3作为企业内部的大网,而VPC1和VPC2作为企业内部小网,VPC1例如为财务部的虚拟网络,VPC2例如为研发部的虚拟网络,VPC3例如为企业的IT管理部的虚拟网络,当VPC1与VPC2私网地址重叠时,可向控制平台申请VPC3的私网地址,例如VPC1申请到VPC3的私网地址1,VPC2申请到VPC3的私网地址2,通过网关将VPC1中的虚拟机与私网地址1绑定,通过网关将VPC2中的虚拟机与私网地址2绑定,VPC1的虚拟机可通过访问私网地址2来访问VPC2 的虚拟机,VPC2的虚拟机可通过访问私网地址1来访问VPC1的虚拟机,从而解决企业内部不同VPC私网地址重叠而造成不能相互通信的技术问题。
值得注意的是,VPC1、VPC2以及VPC3可以属于不同的用户,不同的用户根据各自的账号登陆各自的VPC,当VPC1与VPC3需要建立连接时,VPC1的用户可在控制平台输入VPC3的用户的账号,控制平台根据VPC3的用户账号发送请求至VPC3的设置界面,VPC3的用户可通过操作VPC3的设置界面确认是否接受请求,在接受请求的情况下,控制平台才会在VPC1与VPC3之间建立连接,而VPC2和VPC3建立连接的情况也是类似的。
在其他实施例中,在VPC1、VPC2以及VPC3属于相同的用户的情况下,该用户通过一个账号即可登录VPC1、VPC2以及VPC3,此时控制平台无需发送请求。
其中,用户可向控制平台注册账号,并通过账号在控制平台提供的付费页面中购买 VPC。
以下请参见图7,图7示出根据本发明实施例的VPC通信系统的另一系统结构示意图,在本实施例中,相对于图2所示实施例而言,网关1也可以与VPC1的其他子网中的VM绑定,网关2也可以与VPC2的其他子网中的VM绑定,如图7所示,VPC1中还设置有子网3(192.168.1.0/24),且子网3中设置有VM5,VM5的私网地址是192.168.1.2, VPC2中还设置有子网4(192.168.1.0/24),且子网4中设置有VM6,VM5的私网地址也是192.168.1.2。
此时,若VM5需要和VM6通信,则可以在路由器1中增置路由规则7:目的IP地址属于192.168.1.0/24的报文转发至子网3,在路由器2中增置路由规则8:目的IP地址属于192.168.1.0/24的报文转发至子网4,并为网关1分配VPC3的私网地址(例如为10.0.0.11),为网关1设置报文处理规则5:出报文的源IP地址是192.168.1.2时,将源 IP地址修改为10.0.0.11,设置报文处理规则6:入报文的目的IP地址是10.0.0.11时,将目的IP地址修改为192.168.1.2。
为网关2分配VPC3的私网地址(例如为10.0.0.12),为网关2设置报文处理规则7:出报文的源IP地址是192.168.1.2时,将源IP地址修改为10.0.0.12,并将修改后的出报文发送至路由器3,设置报文处理规则8:入报文的目的IP地址是10.0.0.12时,将目的 IP地址修改为192.168.1.2。
为路由器3设置路由规则9:目的IP地址是10.0.0.12时,将报文发送至网关2,设置路由规则10:目的IP地址是10.0.0.11时,将报文发送至网关1。
基于以上配置,VM5可构造源IP地址是192.168.1.2,目的IP地址是10.0.0.12的IP报文,以与以上实施例类似的通信方式将该IP报文经由路由器1、网关1、路由器3、网关2以及路由器2发送至VM6,且VM6返回的用于应答的IP报文也可经由路由器2、网关2、路由器3、网关1以及路由器1发送至VM1。
因此,在本发明实施例中,通过对网关和路由器设置不同的规则,可使得VPC1与VPC2中具有相同私网地址段的不同子网互通。
进一步,本发明实施例也可以实现云下数据中心之间在私网地址重叠的情况下进行通信,请参见图8,图8示出根据本发明实施例的VPC通信系统的另一系统结构示意图,图8在图3所示的实施例的基础上增设云下数据中心21-22,云下数据中心21包括子网5,子网5中设置有物理机(Pysical machine,PM)1和PM2,云下数据中心22包括子网 6,子网6中设置有物理机(Pysical machine,PM)3和PM4,子网5通过远程连接网关3 接入VPC1的远程连接网关1,子网6通过远程连接网关4接入VPC2的远程连接网关2,其中,远程连接网关3和远程连接网关1之间形成远程通信隧道,远程连接网关4和远程连接网关2之间形成远程通信隧道,IP报文可在远程通信隧道中传输,且传输过程中 IP报文保持不变。
值得注意的是,VPC1的远程连接网关1和VPC2的远程连接网关2可由控制平台6 根据配置信息进行配置,且该配置信息由用户操作客户端7输入至控制平台6。
远程通信网关举例而言可以是虚拟私有网络(Virtual private network,VPN)网关,或者是专线网关。
如图8所示,子网5和子网6的私网地址重叠,PM1需与PM3通信,则可以在路由器1中增置路由规则11:目的IP地址属于192.168.2.0/24的报文转发至远程连接网关1,在路由器2中增置路由规则12:目的IP地址属于192.168.2.0/24的报文转发至远程连接网关2,并为网关1分配VPC3的私网地址(例如为10.0.0.13),为网关1设置报文处理规则9:出报文的源IP地址是192.168.2.2时,将源IP地址修改为10.0.0.13,设置报文处理规则10:入报文的目的IP地址是10.0.0.13时,将目的IP地址修改为192.168.2.2。
为网关2分配VPC3的私网地址(例如为10.0.0.14),为网关2设置报文处理规则11:出报文的源IP地址是192.168.2.2时,将源IP地址修改为10.0.0.14,并将修改后的出报文发送至路由器3,设置报文处理规则12:入报文的目的IP地址是10.0.0.14时,将目的IP地址修改为192.168.2.2,并将修改后的入报文发送至路由器2。
为路由器3设置路由规则13:目的IP地址是10.0.0.14时,将报文发送至网关2,设置路由规则14:目的IP地址是10.0.0.13时,将报文发送至网关1。
基于以上配置,PM1可构造源IP地址是192.168.2.2,目的IP地址是10.0.0.14的IP报文,该报文被交换机5转发到远程连接网关3,经远程通信隧道发送到远程连接网关1,并被远程连接网关1发送至路由器1后,以与以上实施例类似的通信方式将该IP报文经由路由器1、网关1、路由器3、网关2以及路由器2发送至远程连接网关2,并经远程通信隧道发送到远程连接网关4,从而到达子网6中的PM3。类似地,PM3返回的用于应答的IP报文也可发送至PM1。
值得注意的是,云下数据中心的PM也可以替换为VM,本发明实施例对此不作限定。
因此,在本发明其他实施例中,通过对网关和路由器设置不同的规则,可使得云下数据中心之间具有相同私网地址段的不同子网通过云上数据中心互通。
以下请参见图9,图9是根据本发明实施例的VPC通信系统的另一系统结构示意图,本实施例与图3所示的实施例相比,将网关1设置在子网1中,将网关2设置在子网2 中,此时,网关1和网关2仅能支持子网1和子网2互通。
具体而言,控制平台6根据配置信息可将VPC3的私网网段(例如10.0.0.0/24)的一个私网地址10.0.0.9分配给网关1,将VPC3的私网网段(例如10.0.0.0/24)的另一个私网地址10.0.0.10分配给网关2,并设置路由器1与路由器3连接,设置路由器2与路由器3连接。
路由器1设置有:
路由规则1’:路由器1接收到的报文的目的IP地址是10.0.0.10的报文,将该报文转发至VPC3;
路由规则2’:路由器1接收到的报文的目的IP地址是10.0.0.9时,将该报文转发至网关1。
网关1设置有:
报文处理规则1’:网关1接收到的出报文的源IP地址为VM1在子网1的私网地址192.168.0.2时,将192.168.0.2转换为网关1在VPC3的私网地址10.0.0.9,并将修改后的出报文发送至路由器1;
报文处理规则2’:网关1接收到的入报文的目的IP地址为网关1在VPC3的私网地址10.0.0.9时,将10.0.0.9转换为VM1在子网1的私网地址192.168.0.2,并将修改后的入报文发送至网关1。
其中,出报文是指网关1从交换机1接收到的报文,入报文是至网关1从路由器1 接收到的报文。
路由器2设置有:
路由规则5’:在路由器2接收到的报文的目的IP地址是10.0.0.9时,将该报文转发至VPC3;
路由规则6’:在路由器2接收到的报文的目的IP地址是10.0.0.10时,将该报文转发至网关2。
网关2设置有:
报文处理规则3’:在网关2接收到的入报文的目的IP地址为10.0.0.10时,将10.0.0.10转换为192.168.0.2,将修改后的出报文发送至路由器2;
报文处理规则4’:在网关2接收到的出报文的源IP地址为192.168.0.2时,将192.168.0.2转换为10.0.0.10,并将修改后的出报文发送至路由器1。
其中,出报文是指网关2从交换机2接收到的报文,入报文是至网关1从路由器2 接收到的报文。
路由器3设置有:
路由规则3’:在路由器2接收到的报文的目的IP地址是10.0.0.10时,将该报文转发至路由器2;
路由规则4’:在路由器2接收到的报文的目的IP地址是10.0.0.9时,将该报文转发至路由器1。
当VM1需要跨VPC访问VM3时,VM1构造IP报文1’,IP报文1’的源IP地址是 VM1在子网1的私网地址192.168.0.2,目的IP地址是网关2在子网3的私网地址 10.0.0.10,IP报文1’的数据部分携带有请求信息。
VM1将IP报文1’发送至交换机1,交换机1判断到IP报文1’的目的IP地址不属于子网1,将IP报文1’发送至网关1,网关1对IP报文1’匹配报文处理规则1’,将IP报文1的源IP地址从192.168.0.2转换为10.0.0.9,网关1将修改后的IP报文1’发送至路由器1,路由器1对IP报文1’匹配路由规则2’,将IP报文1’转发至VPC3的路由器3。
路由器3接收IP报文1’,对IP报文1’匹配路由规则3’,将IP报文1’转发至VPC2 的路由器2。
路由器2接收IP报文1’,对IP报文1’匹配路由规则6’,将IP报文1’转发至网关2。
网关2接收IP报文1’,对IP报文1’匹配报文处理规则3’,将IP报文1的目的IP 地址从10.0.0.10转换为192.168.0.2,网关2将IP报文1’发送至交换机2,交换机2将IP 报文3发送至VM3。
VM3根据IP报文1’的数据部分携带的请求信息产生应答信息,并构造IP报文2’,IP报文2’是IP报文1’的应答报文,IP报文2’的源IP地址是IP报文1’的目的IP地址192.168.0.2,目的IP地址是IP报文1’的源IP地址10.0.0.9,IP报文2’的数据部分携带有应答信息。
VM3发送IP报文2’至交换机2,交换机2判断到IP报文2’的目的IP地址不属于子网2,将IP报文2’发送至网关2。
网关2对IP报文2’匹配报文处理规则4’,将IP报文2’的源IP地址从192.168.0.2转换为10.0.0.10,并将IP报文2’发送至路由器2。
路由器2对IP报文2’匹配路由规则5’,将IP报文2’转发到VPC3的路由器3。
路由器3接收IP报文2’,对IP报文2’匹配路由规则4’,将IP报文2’转发至VPC1 的路由器1。
路由器1接收IP报文2’,对IP报文2’匹配路由规则2’,将IP报文2’转发至网关1。
网关1接收IP报文2’,对IP报文2’匹配报文处理规则2’,将IP报文2’的目的IP 地址从10.0.0.9转换为192.168.0.2,并将IP报文2’发送至交换机1,交换机1将IP报文 2’发送至VM1。
VM1获取IP报文6携带的应答信息,在VM1看来IP报文6来自10.0.0.10,IP报文6是IP报文1的应答报文。
综上,在本实施例中,虽然VM1和VM2的私网地址相同,但通过VPC3的桥接,可实现互访。
进一步,请参见图10,图10示出根据本发明实施例的配置装置的装置结构示意图,如图6所示,配置装置60包括第一配置模块601和第二配置模块602,其中,第一配置模块601用于执行上述实施例中创建网关的动作,第二配置模块603用于执行上述实施例中为网关和路由器设置规则的动作。
其中,配置装置60可设置在控制平台6中。
以下请参见图11,图11示出根据本发明实施例的计算设备的装置结构示意图,如图 11所示,计算设备可以包括处理单元421和通信接口422,处理单元421用于执行物理服务器上运行的操作系统以及各种软件程序所定义的功能,例如,用于实现控制平台6 的功能。通信接口422用于与其他计算节点进行通信交互,其他设备可以是其它物理服务器,具体地,通信接口422可以是网络适配卡。可选地,该物理服务器还可以包括输入/输出接口423,输入/输出接口423连接有输入/输出设备,用于接收输入的信息,输出操作结果。输入/输出接口423可以为鼠标、键盘、显示器、或者光驱等。可选地,该物理服务器还可以包括辅助存储器424,一般也称为外存,辅助存储器424的存储介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如光盘)、或者半导体介质(例如固态硬盘)等。处理单元421可以有多种具体实现形式,例如处理单元421可以包括处理器4212和存储器4211,处理器4212根据存储器4211中存储的程序指令执行上述实施例中控制平台6的相关操作,处理器4212可以为中央处理器(CPU)或图像处理器(英文:graphics processing unit,GPU),处理器4212可以是单核处理器或多核处理器。处理单元421也可以单独采用内置处理逻辑的逻辑器件来实现,例如现场可编程门阵列 (英文全称:Field Programmable Gate Array,缩写:FPGA)或数字信号处理器(英文: digital signal processor,DSP)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
进一步地,在本发明其他实施例中,也可以使用容器来替换虚拟机,本发明实施例对此不作限定。
本发明实施例还提供一种实现上述控制平台的功能的计算机程序产品,上述计算机程序产品均包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令用于执行前述任意一个方法实施例所述的方法流程。本领域普通技术人员可以理解,前述的存储介质包括:U盘、移动硬盘、磁碟、光盘、随机存储器(Random-Access Memory, RAM)、固态硬盘(Solid State Disk,SSD)或者非易失性存储器(non-volatile memory) 等各种可以存储程序代码的非短暂性的(non-transitory)机器可读介质。
需说明的是,以上描述的任意装置实施例都仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部进程来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,进程之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本发明而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,U盘、移动硬盘、只读存储器(Read-Only Memory, ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,主机,或者网络设备等)执行本发明各个实施例所述的方法。
所属领域的技术人员可以清楚地了解到,上述描述的系统、装置或单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
