[发明专利]数据报文转发控制方法、装置及计算装置

说明书

本发明提供了一种数据报文转发控制方法、装置及计算装置，该方法应用于多ISP接入计算装置的场景中，包括：计算装置配置响应于用户请求的服务端，对自指定ISP转发至服务端的数据报文基于所述数据报文转发地址的哈希值标记标签，使用IP信息包过滤系统将所述标签保存至路由所述数据报文至指定ISP的下行链路中；IP信息包过滤系统创建并关联不同ISP与服务端所建立的策略路由。通过本申请所揭示的数据报文转发控制方法、装置及计算装置，实现了对分配给用户的服务端的无感知，有效地适应了多ISP接入计算装置的场景需求，避免了跨ISP网络通信，显著地提高了用户体验。

技术领域

本发明涉及互联网技术领域，尤其涉及一种数据报文转发控制方法、数据报文转发控制装置，以及一种计算装置。

背景技术

云计算平台是一种基于互联网的计算方式，共享的软硬件资源和信息可以按需提供给计算机和其他设备。典型的云计算提供商往往提供通用的网络业务应用，可以通过浏览器等软件或者其他Web服务来访问，而软件和数据都存储在服务器上。云计算服务通常提供通用的通过浏览器访问的在线商业应用，软件和数据可存储在数据中心(IDC)。

数据中心具有明显的跨ISP(互联网服务供应商)与跨区域的技术限制，从而导致由于用户使用的ISP存在区别(例如中国电信或者中国联通)，从而导致跨ISP通信会出现响应延迟、丢包等现象，严重影响了用户访问虚拟机的用户体验。为解决上述问题，数据中心通常接入多个不同的ISP线路，以满足用户对数据中心所组建的云平台中的一个或者多个虚拟机的访问。由此对虚拟机提出了需要支持不同ISP线路的技术要求。

同时参图1与图2所示，采用两种不同类型的ISP接入数据中心的场景中，用户(参图1中的User1或者User2)访问基于数据中心的物理资源所组建的云平台中所创建的虚拟机21时，通常采用直连的网卡访问位于内网的虚拟机21，虚拟机21通过中心交换机10与ISP101及ISP102连接。为保证东西向通信安全，必须设置第一安全组25与第二安全组24，第一安全组25连接第一外网网卡22，第二安全组24连接第二外网网卡23，以通过分别通过第一外网网卡22与第二外网网卡23分别连接ISP101与ISP102。为保证虚拟机21具有访问ISP101与ISP102，通常在虚拟机21中添加相互隔离的路由规则，以使得虚拟机21的内网地址172.16.1.5与内网地址172.16.2.5通过独立的路由规则能够分别通过第一安全组25与第二外网网卡23访问ISP101，或者通过第二安全组24与第二外网网卡23访问ISP102。申请人指出在虚拟机21配置路由规则仅能确保东西向通信安全，而无法保障南北向通信安全；同时，对于南北向通信而言，由于仅配置第一安全组25或者第二安全组24，从而降低了虚拟机21的安全性；此外，由于路由策略保存在虚拟机21上，一旦用户对虚拟机21执行了误操作(例如意外删除等)，会破坏对路由规则进行，导致用户访问虚拟机21时的用户体验不佳；最后，由于数据中心在多ISP接入场景中，会出现响应延迟、丢包等现象，严重影响了用户访问虚拟机的用户体验。

有鉴于此，有必要对现有技术中的诸如数据中心等类型的计算装置中接入多个不同类型的ISP线路时的数据报文转发技术予以改进，以解决上述问题。

发明内容

本发明的目的在于揭示一种应用于多ISP接入计算装置的场景中的一种数据报文转发控制方法、数据报文转发控制装置，以及一种计算装置，用以解决现有技术中基于多ISP接入计算装置的场景中，提高服务端的安全性，并将服务端向用户转发的数据报文沿进入路径原路返回并向用户予以响应，同时避免将路由规则直接添加在服务端中，避免用户对服务端的误操作对路由规则的破坏，消除接入计算装置不同ISP的限制，降低部署成本。

为实现上述第一个目的，本申请首先提供了一种数据报文转发控制方法，应用于多ISP接入计算装置的场景中，

所述计算装置配置响应于用户请求的服务端，对自指定ISP转发至服务端的数据报文基于所述数据报文转发地址的哈希值标记标签，使用IP信息包过滤系统将所述标签保存至路由所述数据报文至指定ISP的下行链路中；