一種數(shù)據(jù)傳輸方法、裝置及多層網(wǎng)絡(luò)管理器的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及云計算領(lǐng)域,尤其設(shè)及一種數(shù)據(jù)傳輸方法、裝置及多層網(wǎng)絡(luò)管理器。
【背景技術(shù)】
[0002] 目前越來越多的企業(yè)正在將應(yīng)用環(huán)境從私有云遷移到公有云環(huán)境中,為了盡量不 修改應(yīng)用服務(wù)器的網(wǎng)絡(luò)配置及相互之間的網(wǎng)絡(luò)連接關(guān)系,在公有云之上部署嵌套的虛擬化 環(huán)境使得應(yīng)用系統(tǒng)遷移時無需改變虛擬機格式,虛擬機的網(wǎng)絡(luò)配置W及應(yīng)用的環(huán)境配置, 實現(xiàn)從測試環(huán)境到生產(chǎn)環(huán)境的快速部署。
[0003] 公有云具有多租戶特性即多租戶共享各種虛擬化資源,并且公有云中的計算資源 通常需要互聯(lián)網(wǎng)接入才能實現(xiàn)遠程訪問,因此采取必要的安全機制來隔離不同租戶之間的 業(yè)務(wù)流量、防止每個租戶的資源被互聯(lián)網(wǎng)中的惡意用戶攻擊對于保障公有云的安全至關(guān)重 要。
[0004] 通常為了保障租戶的業(yè)務(wù)安全,公有云提供商會在虛擬化網(wǎng)絡(luò)中部署安全組件面 向租戶提供受限的網(wǎng)絡(luò)來降低遭受惡意網(wǎng)絡(luò)流量攻擊的風(fēng)險,采取的安全策略包括限制虛 擬服務(wù)器的二層廣播流量和組播流量,禁止虛擬機做SNAT轉(zhuǎn)換,過濾非來自虛擬服務(wù)器的< MAC,IP〉地址的數(shù)據(jù)包等。
[0005] 運種受限的虛擬化網(wǎng)絡(luò)為租戶提供了業(yè)務(wù)安全保障,但是也給運行在其上的嵌套 虛擬化環(huán)境中的虛擬機跨多層網(wǎng)絡(luò)與外部服務(wù)器,如其它主機虛擬機、遠端服務(wù)器等的通 信帶來了挑戰(zhàn)。首先,由于二層廣播流量受到限制,嵌套虛擬化環(huán)境中的虛擬機無法與外部 的服務(wù)器建立ARP連接;另外由于非來自公有云中的虛擬服務(wù)器的<MAC,IP〉地址會被過濾, 導(dǎo)致嵌套虛擬化環(huán)境中的虛擬機發(fā)往外部服務(wù)器的單播數(shù)據(jù)包因為無法通過公有云網(wǎng)絡(luò) 的檢查而被丟棄,運些問題造成運行在嵌套虛擬化環(huán)境中的虛擬機無法跨越受限的底層網(wǎng) 絡(luò)與外部服務(wù)器建立正常的通信連接。
【發(fā)明內(nèi)容】
[0006] 有鑒于此,本發(fā)明實施例期望提供一種數(shù)據(jù)傳輸方法、裝置及多層網(wǎng)絡(luò)管理器,W 使得運行在嵌套虛擬化環(huán)境中的虛擬機跨越受限的底層網(wǎng)絡(luò),實現(xiàn)與外部服務(wù)器建立正常 通信。
[0007] 為達到上述目的,本發(fā)明的技術(shù)方案是運樣實現(xiàn)的:
[000引第一方面,本發(fā)明實施例提供一種數(shù)據(jù)傳輸方法,應(yīng)用于數(shù)據(jù)傳輸裝置,所述方法 包括:接收來自第一客戶虛擬機的第一地址解析協(xié)議ARP消息;響應(yīng)所述第一ARP消息,在預(yù) 設(shè)的ARP映射表中查詢對端的地址,并將查詢到的對端的地址的攜帶在第二ARP消息中發(fā)送 至所述第一客戶虛擬機;接收來自第一客戶虛擬機的數(shù)據(jù)帖;根據(jù)預(yù)設(shè)的轉(zhuǎn)發(fā)策略,將所述 數(shù)據(jù)帖中所述第一客戶虛擬機的第一地址修改為第一主機虛擬機的第二地址,其中,所述 第一客戶虛擬機運行在所述第一主機虛擬機上;基于所述對端的地址,轉(zhuǎn)發(fā)修改后的數(shù)據(jù) 帖。
[0009] 第二方面,本發(fā)明實施例提供一種數(shù)據(jù)傳輸方法,應(yīng)用于多層網(wǎng)絡(luò)管理器,所述方 法包括:接收來自數(shù)據(jù)傳輸裝置的地址查詢請求;響應(yīng)所述地址查詢請求,在全局地址管理 表中查詢對端的地址;將查詢到的所述對端的地址返回所述數(shù)據(jù)傳輸裝置,使得所述數(shù)據(jù) 傳輸裝置將所述對端的地址轉(zhuǎn)發(fā)給第一客戶虛擬機。
[0010] 第Ξ方面,本發(fā)明實施例提供一種數(shù)據(jù)傳輸裝置,包括:地址解析協(xié)議ARP代理模 塊、客戶虛擬交換模塊W及主機虛擬交換模塊;其中,所述ARP代理模塊,用于響應(yīng)第一ARP 消息,在預(yù)設(shè)的ARP映射表中查詢對端的地址,并將查詢到的對端的地址發(fā)送給所述客戶虛 擬交換模塊;所述客戶虛擬交換模塊,用于接收來自第一客戶虛擬機的所述第一ARP消息, 并將所述第一 ARP消息轉(zhuǎn)發(fā)給所述ARP代理模塊;將所述ARP代理模塊發(fā)送的所述對端的地 址的攜帶在第二ARP消息中發(fā)送至所述第一客戶虛擬機;接收來自第一客戶虛擬機的請求 數(shù)據(jù)帖;根據(jù)預(yù)設(shè)的轉(zhuǎn)發(fā)策略,將所述請求數(shù)據(jù)帖中所述第一客戶虛擬機的第一地址修改 為第一主機虛擬機的第二地址,其中,所述第一客戶虛擬機運行在所述第一主機虛擬機上; 所述主機虛擬交換模塊,用于基于所述對端的地址,轉(zhuǎn)發(fā)修改后的請求數(shù)據(jù)帖。
[0011] 第四方面,本發(fā)明實施例提供一種多層網(wǎng)絡(luò)管理器,包括:地址解析協(xié)議ARP代理 控制單元W及全局網(wǎng)絡(luò)地址管理單元;其中,所述ARP代理控制單元,用于接收來自數(shù)據(jù)傳 輸裝置的地址查詢請求;還用于將查詢到的所述對端的地址返回所述數(shù)據(jù)傳輸裝置,使得 所述數(shù)據(jù)傳輸裝置將所述對端的地址轉(zhuǎn)發(fā)給第一客戶虛擬機;所述全局網(wǎng)絡(luò)地址管理單 元,用于響應(yīng)所述地址查詢請求,在全局地址管理表中查詢所述對端的地址。
[0012] 本發(fā)明實施例提供了一種數(shù)據(jù)傳輸方法、裝置及多層網(wǎng)絡(luò)管理器,該裝置在接收 來自第一客戶虛擬機的用于查詢對端的地址的第一 ARP消息之后,查詢對端的地址,并將對 端的地址攜帶在第二ARP消息中發(fā)給第一客戶虛擬機,然后,接收來自第一客戶虛擬機的數(shù) 據(jù)帖,并根據(jù)預(yù)設(shè)的轉(zhuǎn)發(fā)策略,將數(shù)據(jù)帖中第一客戶虛擬機的第一地址修改為第一主機虛 擬機的第二地址,最后,基于對端的地址,轉(zhuǎn)發(fā)修改后的數(shù)據(jù)帖,也就是說,通過將數(shù)據(jù)帖中 的第一客戶虛擬機的地址修改為第一主機虛擬機的地址,使得該數(shù)據(jù)帖偽裝成來自第一主 機虛擬機,運樣,數(shù)據(jù)帖就能夠被發(fā)送至外部服務(wù)器,實現(xiàn)運行在嵌套虛擬化環(huán)境中的虛擬 機跨越受限的底層網(wǎng)絡(luò),實現(xiàn)與外部服務(wù)器建立正常通信。
【附圖說明】
[0013] 圖1為本發(fā)明實施例中的跨多層虛擬網(wǎng)絡(luò)通信系統(tǒng)的結(jié)構(gòu)示意圖;
[0014] 圖2為本發(fā)明實施例中的數(shù)據(jù)傳輸方法的第一種流程示意圖;
[0015] 圖3為本發(fā)明實施例中的數(shù)據(jù)傳輸方法的第二種流程示意圖;
[0016] 圖4為本發(fā)明實施例中的數(shù)據(jù)傳輸方法的第Ξ種流程示意圖;
[0017] 圖5為本發(fā)明實施例中的數(shù)據(jù)傳輸裝置側(cè)進行數(shù)據(jù)傳輸方法的流程示意圖;
[0018] 圖6為本發(fā)明實施例中的多層網(wǎng)絡(luò)管理器側(cè)進行數(shù)據(jù)傳輸方法的流程示意圖;
[0019] 圖7為本發(fā)明實施例中的數(shù)據(jù)傳輸裝置的結(jié)構(gòu)示意圖;
[0020] 圖8為本發(fā)明實施例中的多層網(wǎng)絡(luò)管理器的結(jié)構(gòu)示意圖。
【具體實施方式】
[0021] 下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完 整地描述。
[0022] 本發(fā)明實施例提供一種跨多層虛擬網(wǎng)絡(luò)通信系統(tǒng),參見圖1所示,該系統(tǒng)包括:第 一客戶虛擬機11、數(shù)據(jù)傳輸裝置12、第一主機虛擬機13、多層網(wǎng)絡(luò)管理器14、對端15。在實際 應(yīng)用中,對端15可W為遠端服務(wù)器,也可W為第二主機虛擬機,當(dāng)然還可W為其它外部服務(wù) 器,本發(fā)明不做具體限定。在本發(fā)明實施例中,W對端15為第二主機虛擬機為例進行說明。
[0023] 其中,第一客戶虛擬機11,運行在第一主機虛擬機13上,用于向數(shù)據(jù)傳輸裝置12發(fā) 送第一 ARP消息W及發(fā)送數(shù)據(jù)帖;
[0024] 數(shù)據(jù)傳輸裝置12,用于接收來自第一客戶虛擬機14的第一ARP消息,其中,第一ARP 消息用于查詢對端15的地址;將攜帶有所述對端的地址的第二ARP消息發(fā)送至所述第一客 戶虛擬;接收來自第一客戶虛擬機11的數(shù)據(jù)帖;根據(jù)預(yù)設(shè)的轉(zhuǎn)發(fā)策略,將數(shù)據(jù)帖中第一客戶 虛擬機11的第一地址修改為第一主機虛擬機14的第二地址;基于對端15的地址,轉(zhuǎn)發(fā)修改 后的數(shù)據(jù)帖。
[0025] 多層網(wǎng)絡(luò)管理器14,用于接收來自數(shù)據(jù)傳輸裝置12的地址查詢請求;響應(yīng)地址查 詢請求,在全局地址管理表中查詢對端15的地址;將查詢到的對端15的地址返回數(shù)據(jù)傳輸 裝置12,使得數(shù)據(jù)傳輸裝置12將對端15的地址轉(zhuǎn)發(fā)給第一客戶虛擬機11。
[0026] 下面結(jié)合上述系統(tǒng)對本發(fā)明實施例提供的數(shù)據(jù)傳輸方法進行說明。