[发明专利]一种面向多租户的云网络系统

说明书

本发明公开了一种面向多租户的云网络系统。所述云网络系统包括：计算节点、虚拟路由器集群和云网关，计算节点包括的虚拟机通过虚拟路由器集群与私有网络内的公共服务器进行报文交换；以及，所述虚拟机通过虚拟路由器集群和云网关实现与公网的报文交换；其中，虚拟路由器集群包括至少两个虚拟路由器，每个所述虚拟路由器向私有网络交换机发布相同的IP地址；云网关包括至少两个网关节点，每个所述网关节点向私有网络交换机发布等价的默认路由，以及，各个所述网关节点向公网路由器或公网交换机发布相同的浮动IP地址，实现云网络系统的集群式扩展，避免因单个节点的故障而影响整个网络的可用性，提升了网络的攻击防御能力。

技术领域

本发明实施例涉及数据传输技术，尤其涉及一种面向多租户的云网络系统。

背景技术

网络管理和配置是云计算技术中一项非常重要的功能，实现一种灵活高效又安全的网络系统一直是各个云平台追求的目标。

现有的公有云网络系统或者私有云网络系统，大多数是基于开源的云计算管理平台Openstack社区的方案，包括平坦网络系统和基于层叠设计overlay的网络系统。上述网络系统，在小规模部署或者内部使用时，能够满足使用的需求。然后，作为商用方案，面向大规模的租户和面向互联网接入时，存在明显的性能瓶颈和安全瓶颈。例如，图1提供了一种基于Openstack社区提出的平坦网络模型。其中，所有的虚拟机位于一个二层网络系统下，虚拟机不能自定义网络IP地址，租户间的隔离通过复杂的宿主机的网络防火墙IPTABLES隔离策略进行隔离。该方案通过软件实现时，随着需隔离的租户的虚拟机的数量的增加，隔离规则数也会增加，网络转发性能会严重衰退。同时，由于基于软件实现，虚拟机及对应的宿主机容易因来自公网的网络攻击而造成网络瘫痪。图2提供了基于Openstack社区提出的overlay网络模型。通过在传统网络上虚拟出一个overlay网络，将业务定义在overlay网络上，从而很好的实现租户间的隔离。然而，该方案采用基于网络节点Network Node的集中式虚拟网络路由器方案。由于Network Node节点直接面向公网，其单个节点性能较差，并且无法集群式扩展，因此，对于某个虚拟机用户来说，用户对应的网络节点很容易被分布式拒绝服务DDoS攻击导致无法服务。目前，Network Node单个节点很容易因受到大流量的泛洪攻击syn flood或者大带宽的攻击而瘫痪。

发明内容

本发明提供一种面向多租户的云网络系统，以实现云网络系统的集群式扩展，避免因单个节点的故障而影响整个网络的可用性，提升了网络的攻击防御能力。

本发明实施例提供了一种面向多租户的云网络系统，包括：

计算节点、虚拟路由器集群和云网关，所述计算节点包括的虚拟机通过所述虚拟路由器集群与私有网络内的公共服务器进行报文交换；以及，所述虚拟机通过所述虚拟路由器集群和所述云网关实现与公网的报文交换；其中，所述虚拟路由器集群包括至少两个虚拟路由器，每个所述虚拟路由器向私有网络交换机发布相同的网际协议IP地址；所述云网关包括至少两个网关节点，每个所述网关节点向私有网络交换机发布等价的默认路由，以及，各个所述网关节点向公网路由器或公网交换机发布相同的浮动IP地址。

本发明的面向多租户的云网络系统，包括计算节点、虚拟路由器集群和云网关，所述计算节点包括的虚拟机通过所述虚拟路由器集群与私有网络内的公共服务器进行报文交换；以及，所述虚拟机通过所述虚拟路由器集群和所述云网关实现与公网的报文交换，由于该网络包括多个虚拟路由器和多个网关节点，实现在私有网络交换机中存在多个等价路由，任意一个虚拟路由器或网关节点故障均不影响整个网络的可用性；还可以通过增加虚拟路由器集群中虚拟路由器的数量和/或者增加云网关中网关节点的数量，达到水平扩展网络性能的效果，提升了网络的攻击防御能力。

附图说明

图1为现有技术中基于Openstack社区提出的平坦网络模型的结构示意图；