云计算环境下的虚拟机多网络管理系统和方法

摘要

云计算环境下的虚拟机多网络管理系统和方法，其方法包括有：步骤一、将网络划分成若干个安全域，再将每个安全域继续划分成若干个网络区域，然后为每个网络区域配置实际的接入交换机、并构建相应的VLAN池和IP池；步骤二、将多个物理节点分别划分到不同的安全域中，并在每个安全域的物理节点上创建虚拟交换机，所述物理节点是1台物理主机、或者由多个物理主机构成的计算机集群，所述虚拟交换机包括有分布式交换机和标准交换机；步骤三、将每个安全域中的虚拟交换机和每个网络区域配置的接入交换机一一连接，并将虚拟交换机和接入交换机之间的连接配置成trunk模式。本发明属于网络通信技术领域，能将虚拟机接入到多个网络中。

说明书

技术领域

本发明涉及一种云计算环境下的虚拟机多网络管理系统和方法，属于网络通信技术领域。

背景技术

在云计算环境中，服务器的快速部署为业务上线提供了方便，但是单网络的云服务器难以满足业务系统多元化需求，能否将虚拟机接入到多个网络中是对云计算系统业务支撑能力的一大考验。

现有的一些虚拟机的技术方案都仅限于单网络。例如专利申请 CN 201210130269.2（专利名称：云计算数据中心中的虚拟网络管理系统及方法，申请日：2012-04-27，申请人：北京云杉世纪网络科技有限公司）公开了一种云计算数据中心中的虚拟网络管理系统及方法，涉及网络系统结构和网络通信协议技术领域。该系统包括：物理服务器，与数据中心核心交换网相连，其上具备至少一个支持OpenFlow相关协议的交换机，且物理服务器与控制器相连；控制器，构建虚拟网络，维护虚拟网络的配置，及虚拟网络与虚拟广播域和本地广播域之间的映射关系，对一台或多台物理服务器上的交换机进行配置和控制。该技术方案中虚拟机仅支持单网络，并不涉及到对多网络的支持。

因此，如何将虚拟机接入到多个网络中，仍是一个值得深入研究的技术问题。

发明内容

有鉴于此，本发明的目的是提供一种云计算环境下的虚拟机多网络管理系统和方法，能将虚拟机接入到多个网络中。

为了达到上述目的，本发明提供了一种云计算环境下的虚拟机多网络管理系统，包括有计算资源服务器和虚拟机管理服务器，其中，计算资源服务器进一步包括有：

网络区域构建装置，用于将网络划分成若干个安全域，再将每个安全域继续划分成若干个网络区域，然后为每个网络区域配置实际的接入交换机、并构建相应的VLAN池和IP池，所述VLAN池包含有所述网络区域中所有可用的VLAN编号段，IP池包含有所述网络区域中所有可用的IP地址段；

虚拟交换机创建装置，用于将多个物理节点分别划分到不同的安全域中，并在每个安全域的物理节点上创建虚拟交换机，所述物理节点是1台物理主机、或者由多个物理主机构成的计算机集群，所述虚拟交换机包括有分布式交换机和标准交换机，然后将每个安全域中的虚拟交换机和每个网络区域配置的接入交换机一一连接，并将虚拟交换机和接入交换机之间的连接配置成trunk模式。

为了达到上述目的，本发明还提供了一种云计算环境下的虚拟机多网络管理方法，包括有：

步骤一、将网络划分成若干个安全域，再将每个安全域继续划分成若干个网络区域，然后为每个网络区域配置实际的接入交换机、并构建相应的VLAN池和IP池，所述VLAN池包含有所述网络区域中所有可用的VLAN编号段，IP池包含有所述网络区域中所有可用的IP地址段；

步骤二、将多个物理节点分别划分到不同的安全域中，并在每个安全域的物理节点上创建虚拟交换机，所述物理节点是1台物理主机、或者由多个物理主机构成的计算机集群，所述虚拟交换机包括有分布式交换机和标准交换机；

步骤三、将每个安全域中的虚拟交换机和每个网络区域配置的接入交换机一一连接，并将虚拟交换机和接入交换机之间的连接配置成trunk模式。

与现有技术相比，本发明的有益效果是：由于虚拟网络和物理网络的差异性，想将虚拟机的网络流量通过物理主机的网卡分流出去，必须要实现虚拟网络和物理网络之间的互通，本发明通过虚拟交换机和实际接入交换机之间的互联建立起虚拟网络和实际网络之间的纽带，并在虚拟网络中组建和实际网络对应的网络模型，包括安全域、VLAN编号、IP地址等，这样被创建的虚拟机可以同时接入到一个或多个网络类型下不同安全域的网络区域，从而满足了业务系统的多元化需求；为被创建的虚拟机的各个网卡申请不同的VLAN编号，并为各个网卡打上相应的网络类型标签，这样在配置虚拟机的交换机时能根据网卡的网络类型标签找到打了相同网络类型标签的上行虚拟交换机，然后在虚拟交换机中选择一个编号和网卡VLAN一样的端口组，由于虚拟交换机和上行的实际的接入交换机之间配置成了trunk模式，因此虚拟机配置的端口组相当于直接配置到了实际网络模型中的接入交换机上，从而实现了虚拟网络和实际网络的互通，技术方案方便可行。

附图说明

图1是本发明一种云计算环境下的虚拟机多网络管理系统的组成结构示意图。

图2是虚拟交换机创建装置的组成结构示意图。

图3是本发明在物理主机上创建虚拟机后的一个实施例的内部连接关系示意图。

图4是本发明一种云计算环境下的虚拟机多网络管理方法的流程图。

图5是图4步骤二的具体操作流程图。

图6是当用户创建一个新的虚拟机时的具体操作流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。

如图1所示，本发明一种云计算环境下的虚拟机多网络管理系统，包括有计算资源服务器和虚拟机管理服务器，其中，计算资源服务器进一步包括有：

网络区域构建装置，用于将网络划分成若干个安全域，再将每个安全域继续划分成若干个网络区域，然后为每个网络区域配置实际的接入交换机、并构建相应的VLAN池和IP池，所述VLAN池包含有所述网络区域中所有可用的VLAN（即虚拟局域网）编号段，IP池包含有所述网络区域中所有可用的IP地址段；

虚拟交换机创建装置，用于将多个物理节点分别划分到不同的安全域中，并在每个安全域的物理节点上创建虚拟交换机，所述物理节点可以是1台物理主机、或者由多个物理主机构成的计算机集群，所述虚拟交换机包括有分布式交换机和标准交换机，然后将每个安全域中的虚拟交换机和每个网络区域配置的接入交换机一一连接，并将虚拟交换机和接入交换机之间的连接配置成trunk模式；此时，虚拟交换机配置的端口组相当于直接配置到接入交换机上，从而实现了虚拟网络和实际网络的互通；

虚拟机创建请求处理装置，用于接收用户的创建虚拟机请求消息，所述创建虚拟机请求消息中包括有被创建的虚拟机所属的安全域、虚拟机网卡的网络类型标签等信息，为被创建的虚拟机分配一个新的虚拟机编号，并将被创建的虚拟机状态设置为创建中，然后将被创建的虚拟机编号、用户指定网络区域的VLAN编号列表及相应的IP地址等信息返回给用户，同时还向虚拟机管理服务器发送虚拟机创建通知消息，所述虚拟机创建通知消息中包含有被创建的虚拟机编号、用户指定网络区域的VLAN编号列表、虚拟机所属的安全域和虚拟机网卡的网络类型标签等信息，最后当接收到虚拟机管理服务器返回的创建成功结果时，将虚拟机状态更新为就绪，并通知用户可以通过虚拟机创建响应消息中的IP地址访问被创建的虚拟机；

虚拟机网络选择装置，用于从用户的申请VLAN请求消息中逐一读取每个网络区域、并判断每个网络区域中是否存在有一个已创建的VLAN网络，如果是，则将已创建的VLAN网络的VLAN编号添加到用户指定网络区域的VLAN编号列表中；如果否，则在所述网络区域中创建一个新的VLAN网络、并选定所述新的VLAN网络的VLAN编号和IP地址，然后将新创建的VLAN网络的VLAN编号添加到用户指定网络区域的VLAN编号列表中。

网络设备的配置模式通常包括有trunk和access两种，其中：

1、trunk模式是用作干线，传输各VLAN信息，通常trunk口用于网络设备之间的连接，例如交换机和交换机、或交换机和路由器之间的连接，trunk模式的端口可以通过多个VLAN；     

2、access模式是把网络设备端口划分到某VLAN，通常用作主机接入，accsee模式的端口只能通过一个VLAN，即端口所在VLAN。

网络区域构建装置可以通过在网络设备（如交换机、防火墙）上的配置将网络按照用途、安全等级、访问策略等划分成不同的安全域和网络区域，所述网络可以包括有一个或多个不同类型的网络，当包括一个网络类型时，所有安全域属于同一个网络类型（例如将业务网络划分成DMZ区、TEST区、核心生产区等安全域）；当包括多个网络类型（例如业务、存储、或心跳等网络类型）时，所有安全域分别属于不同的网络类型。

从安全冗余考虑，服务器的网络至少要双网线走向，连接到2台同等功能角色的接入交换机中，所述网络区域构建装置还可以包括有：

接入交换机虚拟化单元，用于为每个网络区域配置2台接入交换机，并分别对2台接入交换机采用虚拟化技术进行虚拟化，从而将2台接入交换机虚拟成逻辑的1台接入交换机设备。

如图2所示，虚拟交换机创建装置还可以进一步包括有：

虚拟交换机构建单元，用于根据安全域中每个网络区域的网络类型，在每个安全域的物理节点上创建若干个分布式交换机以用于划分不同用途的集群共享网络（例如业务网络分布式交换机、或存储网络分布式交换机），并在每台物理主机上创建1个标准交换机以用于划分不同用途的物理主机独占网络（例如心跳网络标准交换机）；

虚拟交换机标签单元，用于给每个安全域的虚拟交换机（包括有分布式交换机和标准交换机）打上不同的网络类型标签（例如业务、存储、管理），并为每个安全域构建1个计算池，所述计算池中保存有安全域中的虚拟交换机及其网络类型标签等信息。

虚拟机能够根据业务多元化需求，同时接入到多个网络区域中，所述虚拟机网络选择装置还可以进一步包括有：

VLAN网络创建单元，用于在网络区域中创建一个新的VLAN网络：从所述网络区域的VLAN池中选定一个可用的VLAN编号，然后根据所要创建的网络规模，在所述网络区域的IP池中划分出一个IP子网段，再在防火墙上配置VLAN的网关和掩码等信息，从而创建出一个拥有不小于所需IP地址空间的VLAN网络，最后从划分出的IP子网段中选定一个空闲的IP地址，保存所述新创建的VLAN网络的网络区域、以及选定的VLAN编号和IP地址等信息。

所述虚拟机管理服务器进一步包括有：

虚拟机创建装置，用于接收计算资源服务器发来的虚拟机创建通知消息，所述虚拟机创建通知消息中包含有被创建的虚拟机编号、用户指定网络区域的VLAN编号列表、虚拟机所属的安全域和虚拟机网卡的网络类型标签，从虚拟机所属的安全域中选择1台物理主机，并找到安全域中与虚拟机网卡的网络类型标签一致的虚拟交换机，然后从用户指定网络区域的VLAN编号列表中逐一提取每个VLAN编号、并判断虚拟交换机上是否存在有与之一致的端口组编号，如果否，则在所述虚拟交换机上新建一个和VLAN编号一致的端口组，且将所述端口组中的每个端口配置成access模式，当从用户指定网络区域的VLAN编号列表中提取完所有VLAN编号后，再在虚拟机网卡上配置网关、掩码和IP地址等信息，并依次将虚拟机的一个网卡接入到与用户指定网络区域的VLAN编号列表中的一个VLAN编号一致的虚拟交换机端口组中，最后启动创建虚拟机进程，开始在所选择的物理主机上创建虚拟机，当创建虚拟机成功后，在虚拟机所属的安全域的计算池中增加所述虚拟机信息，同时向计算资源服务器返回创建成功结果。

图3示出了本发明在物理主机上创建虚拟机后的一个实施例的内部连接关系示意图。如图3所示，在物理主机上创建了2个用于不同用途的分布式交换机（即业务分布式交换机和存储分布式交换机）、1个标准交换机和2个虚拟机（即VM-1和VM-2），虚拟机分别和业务分布式交换机、存储分布式交换机、标准交换机相连，A、B、C、D、E、F是物理主机的网卡，A`、B`、C`、D`、E`、F`是虚拟主机（即采集虚拟化技术进行虚拟化后的物理主机）的网卡，A``、B``、C``、D``是两组分布式交换机的上行链路端口。

从图3可以看出，分布式交换机的上行链路端口组和接入交换机的端口相连，其中分布式交换机侧按VLAN中继的模式配置，接入交换机侧配置为trunk模式。虚拟交换机的下行链路端口组（即业务网络端口组1、…、业务网络端口组n、存储网络端口组1、…、存储网络端口组m、管理网络端口组1、…、管理网络端口组p）中的每个端口组在创建时默认有256个端口，同时指定VLAN编号，端口组下的一个端口和被创建的虚拟机的一个网卡（例如eth0、eth1、eth2）相连，相当于物理交换机的一组交换机端口，且每个端口都配置成access模式，即只允许特定VLAN编号的网络流量通过。分布式交换机的上行链路端口组（允许所有VLAN编号的网络流量通过）负责所有下行链路端口组（只允许特定VLAN编号的网络流量通过）的数据流出口，所以上行链路端口组和下行链路端口组是一对多的关系，分布式交换机的上行链路端口组里的端口可以配置为主备或负载均衡模式。标准交换机主要用于虚拟主机层面进行虚拟机管理所需的网络。

如图4所示，本发明一种云计算环境下的虚拟机多网络管理方法，包括有：

步骤一、将网络划分成若干个安全域，再将每个安全域继续划分成若干个网络区域，然后为每个网络区域配置实际的接入交换机、并构建相应的VLAN池和IP池，所述VLAN池包含有所述网络区域中所有可用的VLAN编号段，IP池包含有所述网络区域中所有可用的IP地址段；

步骤二、将多个物理节点分别划分到不同的安全域中，并在每个安全域的物理节点上创建虚拟交换机，所述物理节点可以是1台物理主机、或者由多个物理主机构成的计算机集群，所述虚拟交换机包括有分布式交换机和标准交换机；

步骤三、将每个安全域中的虚拟交换机和每个网络区域配置的接入交换机一一连接，并将虚拟交换机和接入交换机之间的连接配置成trunk模式；此时，虚拟交换机配置的端口组相当于直接配置到接入交换机上，从而实现了虚拟网络和实际网络的互通。

所述步骤一中，可以通过在网络设备（如交换机、防火墙）上的配置将网络按照用途、安全等级、访问策略等划分成不同的安全域和网络区域。

值得一提的是，步骤一中的网络可以包括有一个或多个不同类型的网络，当包括一个网络类型时，所有安全域属于同一个网络类型（例如将业务网络划分成DMZ区、TEST区、核心生产区等安全域）；当包括多个网络类型（例如业务、存储、或心跳等网络类型）时，所有安全域分别属于不同的网络类型。

从安全冗余考虑，服务器的网络至少要双网线走向，连接到2台同等功能角色的接入交换机中，图4步骤一还包括有：

为每个网络区域配置2台接入交换机，并分别对2台接入交换机采用虚拟化技术进行虚拟化，从而将2台接入交换机虚拟成逻辑的1台接入交换机设备。

如图5所示，图1步骤二中进一步包括有：

步骤21、根据安全域中每个网络区域的网络类型，在每个安全域的物理节点上创建若干个分布式交换机以用于划分不同用途的集群共享网络（例如业务网络分布式交换机、或存储网络分布式交换机），并在安全域的每台物理主机上创建1个标准交换机以用于划分不同用途的物理主机独占网络（例如心跳网络标准交换机）；

步骤22、给每个安全域的虚拟交换机（包括有分布式交换机和标准交换机）打上不同的网络类型标签（例如业务、存储、管理）；

步骤23、为每个安全域构建1个计算池，所述计算池中保存有安全域中的虚拟交换机及其网络类型标签等信息。

如图6所示，当用户创建一个新的虚拟机时，还包括有：

步骤A1、用户向计算资源服务器发出创建虚拟机请求消息，所述创建虚拟机请求消息中包括有被创建的虚拟机所属的安全域、虚拟机网卡的网络类型标签等信息；

步骤A2、计算资源服务器为被创建的虚拟机分配一个新的虚拟机编号，并将被创建的虚拟机状态设置为创建中；

步骤A3、用户在虚拟机所属的安全域中选择一个或多个网络区域，并向计算资源服务器发出申请VLAN请求消息；被创建的虚拟机可以支持一个或多个网络区域，从而满足业务系统的多元化需求； 

步骤A4、计算资源服务器从申请VLAN请求消息中逐一读取每个网络区域、并判断每个网络区域中是否存在有一个已创建的VLAN网络，如果是，则将已创建的VLAN网络的VLAN编号添加到用户指定网络区域的VLAN编号列表中；如果否，则在所述网络区域中创建一个新的VLAN网络、并选定所述新的VLAN网络的VLAN编号和IP地址，然后将新创建的VLAN网络的VLAN编号添加到用户指定网络区域的VLAN编号列表中；

步骤A5、计算资源服务器向用户返回虚拟机创建响应消息，所述虚拟机创建响应消息包含有被创建的虚拟机编号、用户指定网络区域的VLAN编号列表及相应的IP地址等信息；

步骤A6、计算资源服务器向虚拟机管理服务器发送虚拟机创建通知消息，所述虚拟机创建通知消息中包含有被创建的虚拟机编号、用户指定网络区域的VLAN编号列表、虚拟机所属的安全域和虚拟机网卡的网络类型标签等信息；

步骤A7、虚拟机管理服务器从虚拟机所属的安全域中选择1台物理主机，并找到安全域中与虚拟机网卡的网络类型标签一致的虚拟交换机，然后从用户指定网络区域的VLAN编号列表中逐一提取每个VLAN编号、并判断虚拟交换机上是否存在有与之一致的端口组编号，如果是，则继续提取下一个VLAN编号；如果否，则在所述虚拟交换机上新建一个和VLAN编号一致的端口组，且将端口组中的每个端口配置成access模式，然后继续提取下一个VLAN编号；

步骤A8、虚拟机管理服务器在虚拟机网卡上配置网关、掩码和IP地址等信息，并依次将虚拟机的一个网卡接入到与用户指定网络区域的VLAN编号列表中的一个VLAN编号一致的虚拟交换机端口组中，然后启动创建虚拟机进程，开始在所选择的物理主机上创建虚拟机，当创建虚拟机成功后，在虚拟机所属的安全域的计算池中增加所述虚拟机信息，同时向计算资源服务器返回创建成功结果；

步骤A9、计算资源服务器将虚拟机状态更新为就绪，并通知用户可以通过虚拟机创建响应消息中的IP地址访问被创建的虚拟机。

图6步骤 A4中，在所述网络区域中创建一个新的VLAN网络、并选定所述新的VLAN网络的VLAN编号和IP地址，进一步包括有：

从所述网络区域的VLAN池中选定一个可用的VLAN编号，然后根据所要创建的网络规模，在所述网络区域的IP池中划分出一个IP子网段，再在防火墙上配置VLAN的网关和掩码，从而创建出一个拥有不小于所需IP地址空间的VLAN网络，最后从划分出的IP子网段中选定一个空闲的IP地址，保存所述新创建的VLAN网络的网络区域、以及选定的VLAN编号和IP地址。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。