[发明专利]一种访问资源服务的方法及系统

说明书

本发明提供一种访问资源服务的方法及系统。资源服务接到来自租户的虚拟机的数据报文之后，判断数据报文的接收标识是否符合报文过滤规则。只给资源租户的虚拟机发送的数据报文配置符合报文过滤规则的接收标识，普通租户的虚拟机发送的数据报文不配置符合报文过滤规则的接收标识，隔离了资源租户和普通租户，使得普通租户的虚拟机无法访问资源服务，保证了资源服务的网络安全隔离。

技术领域

本发明涉及信息技术领域，尤其涉及一种数据传送的方法和虚拟交换机。

背景技术

开放栈(OpenStack)平台由通用服务器组成，其上上部署的虚拟机架构如图1所示。OpenStack平台可以划分为租户区和服务区。租户区为提供租户能够直接访问的租户虚拟机，服务区为租户提供服务。计算虚拟机不能直接被租户访问，租户可通过访问租户区的租户虚拟机来实现对计算虚拟机的访问，进而获得服务区提供的服务。具体地，服务区包含为租户提供的若干个服务，各服务分别由至少一个计算虚拟机实现。租户区包含若干个租户，每个租户分别包含至少一个虚拟私有云(Virtual Private Cloud，VPC)，每个VPC下至少包含一个租户虚拟机。此处，计算虚拟机和租户虚拟机仅为区分服务区和租户区的虚拟机，计算虚拟机和租户虚拟机可以是任意计算机架构上的虚拟机，本发明对此不做限制。普通服务为租户区任何租户都可以访问的服务，包括但不限于补丁服务器、应用程序编程接口网关等，而资源服务只有部分租户可以访问，资源服务包括但不限于关系型数据库服务、弹性负载均衡服务等。与此对应，租户区的租户包括资源租户和普通租户。普通服务可以被租户区的所有租户访问，而资源服务只能被资源租户访问，不能被普通租户访问。因此需要普通租户访问资源服务的流量进行控制，将普通租户与资源租户隔离，使得普通租户无法访问资源服务。

发明内容

一方面，本发明提供一种访问资源服务的方法，该方法应用在公有云平台上。该公有云平台包括服务区和租户区，服务区包括至少一个计算虚拟机，计算虚拟机用于提供云计算服务。租户区包括至少一个租户虚拟机，该方法包括：该计算虚拟机接收租户虚拟机发送的数据报文，该数据报文包含接收标识。该计算虚拟机根据该数据报文的接收标识判断该租户虚拟机所对应的租户是否是资源租户，若该租户虚拟机所对应的租户不是资源租户，该计算虚拟机丢弃该数据报文。

服务区的计算虚拟机根据租户虚拟机发送的数据报文中的接收标识，即可判断数据报文来自资源租户的租户虚拟机还是普通租户的租户虚拟机，并丢弃来自普通租户的租户虚拟机的数据报文，使得普通租户无法访问资源租户，实现了资源租户对资源服务的访问和资源租户与普通租户的隔离。

结合第一方面，在第一方面的第一种可能的实现方式中，该计算虚拟机具有报文过滤规则，该接收标识为差分服务代码点(Differentiated Services Code Point，DSCP)。该计算虚拟机根据该数据报文的接收标识判断该租户虚拟机所对应的租户是否是资源租户，具体包括：该计算虚拟机判断该数据报文的DSCP值与该报文过滤规则中的DSCP值是否相同，若不同，则该租户虚拟机所对应的租户不是资源租户。

利用数据报文中的DSCP位即可实现对数据报文的标识，进而实现资源租户对资源服务的访问和资源租户与普通租户的隔离。

结合第一方面的第一种可能实现方式，在第一方面的第二种可能的实现方式中，该数据报文的DSCP值由网络过滤器(IPTABLES)规则设置，该IPTABLES规则位于该租户虚拟机所在的主机上的命名空间中。

利用租户虚拟机所在的主机的命名空间中的IPTABLES规则，可实现对数据报文中的DSCP值的修改，从而通过为不同的数据报文设置不同的DSCP值来区分来自资源租户的租户虚拟机的数据报文和来自普通租户的租户虚拟机的数据报文，进而实现资源租户对资源服务的访问和资源租户与普通租户的隔离。