[发明专利]一种虚拟网络隔离方法

说明书

本发明涉及云计算技术领域，特别是一种虚拟网络隔离方法。本发明先在云平台的所有宿主机上安装和启动虚拟交换机模块，建立隧道网桥和内网网桥并通过接口连接；然后在宿主机之间两两建立隧道连接，指定基本Flow规则控制数据流向；接着选取网络节点创建虚拟网络空间并提供网络服务，选取计算节点创建虚拟机并接入各自的虚拟网络；进一步分别在网络节点和计算节点上面定义Flow规则，进行隧道ID与VLAN标签之间的转换、实现虚拟网络正常通信；最后根据需要可以灵活扩展网络节点上的虚拟网络和新增宿主机到云平台。本发明，解决了云平台中虚拟网络隔离所存在的通用性不强、网络连接不可控等问题；可以用于虚拟网络的隔离。

技术领域

本发明涉及云计算技术领域，特别是一种虚拟网络隔离方法。

背景技术

在虚拟化平台中，尤其是在公有云平台中，考虑到安全问题以及用户数据的隐私问题，一般都需要对虚拟网络进行隔离，一般对虚拟网络的进行隔离都需要物理网络的支持，需要三层交换机提前划分VLAN，并添加相应的路由规则。实现方式如下：

1、为宿主机的网卡配置trunk模式，并在宿主机上为每个VLAN创建一个网桥；

2、创建虚拟机时，把虚拟机的网卡桥接到虚拟机所属VLAN对应的网桥上；

3、通过VLAN之间的隔离可以实现虚拟网络之间的隔离，通过物理交换机配置相应的路由规则控制VLAN之间的互访规则。

然而，上述方法存在以下的弊端：

1、通用性不强，对于小型的私有网来说，一般没有配置三层交换机，在这种情况，上述方法就无法对虚拟网络进行划分，也无法对虚拟网络进行隔离。

2、网络连接不可控，由于虚拟机的网络都是直接连通物理网络，因此对网络连接的控制要在外部通过交换机的配置实现，在内网出现攻击需要局部隔离时，只能通过粗粒度的VLAN进行阻断，不利于攻击源的排查。

发明内容

本发明解决的技术问题在于提供一种虚拟网络隔离方法，解决了云平台中虚拟网络隔离所存在的通用性不强、网络连接不可控等问题。

本发明解决上述技术问题的技术方案是：

所述的方法包括如下步骤：

步骤1：在云平台所有宿主机上安装并启动虚拟交换机模块，建立隧道网桥和内网网桥并通过接口连接；

步骤2：在宿主机之间两两建立隧道连接，制定基本Flow规则控制数据流向；

步骤3：选取一台宿主机作为网络节点，创建虚拟网络空间、分配VLAN标签并启动DHCP服务控制虚拟机的IP；

步骤4：计算节点上创建虚拟机，通过将虚拟机网卡接入内网网桥并打上不同的VLAN标签实现接入不同的虚拟网络空间；

步骤5：所有节点上定义Flow规则，进行隧道ID与VLAN标签转换实现网络正常通信；

步骤6：网络节点上新增虚拟网络时，先增加虚拟网络空间、设置VLAN标签并启动DHCP服务，然后在每个宿主机上新增步骤5所述Flow规则；

步骤7：云平台新增宿主机时，先建立新增宿主机与已有宿主机之间的隧道连接，然后分别设置步骤5所述Flow规则。

所述的隧道是一种通过使用互联网络的基础设施在网络之间传递数据的方式；使用隧道传递的数据或负载可以是不同协议的数据帧或包；隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送，新的帧头提供路由信息，以便通过互联网传递被封装的负载数据；

所述的数据帧和数据包分别是指计算机二层网络和三层网络通信的基本数据单元；

所述的协议是指计算机网络通信上的一种规则约定；