CN117632353A - 一种基于云计算技术的虚拟实例创建方法和云管理平台 - Google Patents
一种基于云计算技术的虚拟实例创建方法和云管理平台 Download PDFInfo
- Publication number
- CN117632353A CN117632353A CN202310376231.1A CN202310376231A CN117632353A CN 117632353 A CN117632353 A CN 117632353A CN 202310376231 A CN202310376231 A CN 202310376231A CN 117632353 A CN117632353 A CN 117632353A
- Authority
- CN
- China
- Prior art keywords
- cloud
- virtual instance
- native application
- virtual
- cloud native
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Stored Programmes (AREA)
Abstract
本发明揭示一种基于云计算技术的虚拟实例创建方法和云管理平台,包括:云管理平台获取租户输入的虚拟实例创建请求,其中,创建请求包括待创建的虚拟实例的规格信息、站点信息以及所属的云原生应用的信息。基于获取的信息,该云管理平台选择在规格上与前述规格信息相匹配的计算节点上创建虚拟实例,其中,计算节点设置在与站点信息相匹配的云数据中心上,虚拟实例用于运行云原生应用中的一个或多个微服务。基于此,云管理平台通过根据获取的云原生应用的信息配置前述计算节点中的虚拟实例管理器使用云原生应用的标识标记由虚拟实例发出的业务报文,由此实现虚拟实例业务报文的标识和识别,进而简化访问权限配置操作,提升安全策略配置效率。
Description
技术领域
本申请涉及云计算技术领域,尤其涉及一种基于云计算技术下的虚拟实例创建方法及运行该方法的云管理平台。
背景技术
随着公有云技术的不断成熟,云原生应用得到了极大的发展,越来越多的业务集中于应用开发本身,而当前云网络架设模型使得云原生应用在部署、迁移、互通、安全等操作过程的复杂度较高,无法满足当下云原生应用管理便捷、安全策略定义简化、部署迅速的需求。
发明内容
为解决现有技术的问题,本发明提供一种基于云计算技术的虚拟实例创建方法云管理平台,通过该方法能够解决因网络模型导致的云原生应用在权限管理、安全策略定义以及部署等操作复杂的问题,实现高效便捷的云资源管理。
第一方面,本申请提供一种基于云计算技术的虚拟实例创建方法,该方法应用于云管理平台,其中,云管理平台用于管理包括分布部署的多个云数据中心的基础设施,而每个云数据中心中设置有多个计算节点,该方法具体包括以下步骤:接收第一租户输入的第一虚拟实例创建请求,该第一虚拟实例创建请求包括待创建的第一虚拟实例的规格信息以及所属的第一云原生应用的信息,基于此,前述云管理平台选择在第一云数据中心中可提供与规格信息匹配的规格的第一计算节点上创建第一虚拟实例,其中,第一虚拟实例用于运行第一云原生应用或者第一云原生应用中的一个或多个微服务,并且前述的多个云数据中心包括提供第一计算节点的第一云数据中心,进而,再由前述云管理平台根据第一云原生应用的信息配置第一计算节点的第一虚拟实例管理器使用第一云原生应用的标识标记第一虚拟实例发出的业务报文。
在本申请提供的方案中,云管理平台可以通过获取租户输入的虚拟实例创建请求,从而确定虚拟实例的规格信息以及的云原生应用的信息,进而根据这些信息选择匹配的计算节点进行虚拟实例的创建,这样由云管理平台创建的虚拟实例可以更好的匹配租户的实际需求。在此基础上,通过配置虚拟实例管理器来对虚拟实例所发出的业务报文使用虚拟实例所运行的云原生应用的标识进行标记,可以实现对虚拟实例间或者不同云原生应用间互通访问的精确管理,且通过该标识,达到云原生网络间信息传递的简化。
结合第一方面,在第一方面的一种可能的实现方式中,第一虚拟实例创建请求还包括第一站点信息,具体的,该方法还包括以下步骤:云管理平台在多个云数据中心选择与第一站点信息匹配的第一云数据中心。
在本申请提供的方案中,云管理平台所接收的租户输入的虚拟实例请求中,还包括有站点信息,由此,云管理平台可以根据该站点信息,除了可以确定虚拟实例所在的云数据中心、计算节点,还可以确定虚拟实例所运行的站点。基于此,云管理平台可以进一步的针对不同站点的虚拟实例的网络互通进行配置、控制和管理,在实现对云原生网络架构简化的基础上,满足租户对不同站点间云原生应用访问互通的需求。
结合第一方面,在第一方面的一种可能的实现方式中,云管理平台接收由第一租户输入的第一安全规则,其中,该第一安全规则用于指示第一云原生应用被访问的权限,且该第一安全规则由云管理平台再配置第一计算节点的第一虚拟实例管理器进行记录,具体的,第一虚拟实例管理器根据第一安全规则允许或禁止将运行其他云原生应用或运行其他云原生应用中的一个或多个微服务的虚拟实例发送至第一虚拟实例的业务报文发送至第一虚拟实例。
在本申请提供的方案中,云管理平台根据租户输入的安全规则进行配置,并将该安全规则记录到虚拟实例管理器中,基于此,当该虚拟实例管理器所管理的虚拟实例是访问或互通对象,被其他云原生应用或者其他云原生应用中的一个或多个微服务中的虚拟实例访问时,由该虚拟实例管理器根据该安全规则对访问目标为由其管理的虚拟实例的业务报文进行判断或者鉴权,当业务报文中所标记的标识属于虚拟实例管理器所允许访问的范围内,则允许该业务报文访问该虚拟实例,或者不属于虚拟实例管理器所允许访问范围的,则禁止该业务报文访问该虚拟实例。可选的,当该业务报文经过虚拟实例管理器经过首次判断、鉴权后,在安全规则未发生变化的情况下,不再对同一业务报文进行判断或者鉴权。
结合第一方面,在第一方面的一种可能的实现方式中,基础设施中的第二计算节点部署有第二虚拟实例,第二虚拟实例用于运行第二云原生应用或第二云原生应用中的一个或多个微服务,第二计算节点设置在多个云数据中心中的一个云数据中心中,该方法还包括以下具体步骤:接收第一租户输入的第二安全规则,其中第二安全规则用于指示第一云原生应用访问第二云原生应用的权限,配置第二计算节点的第二虚拟实例管理器记录第一云原生应用的标识以及第二安全规则;其中,第一虚拟实例发出的业务报文的目的地址为第二虚拟实例,第二虚拟实例管理器在确认第一虚拟实例发出的业务报文标记有的第一云原生应用的标识与自身记录的标识一致的情况下,根据安全规则允许或禁止将第一业务报文发送至第二虚拟实例。
在本申请提供的方案中,云管理平台可以根据租户输入的安全规则,针对特定的云原生应用访问权限进行配置。具体的,第一云原生应用要访问第二云原生应用,为控制第一云原生应用的访问权限,由云管理平台接收第一租户输入的安全规则,并配置被访问的第二云原生应用的虚拟实例管理器记录安全规则以及第一云原生应用的标识,其中,当第一云原生应用访问第二云原生应用时,由第二云原生应用的虚拟实例管理器对由承载第一云原生应用运行的虚拟实例发送的业务报文进行判断,在第二云原生应用的虚拟实例管理器所记录的标识与第一云原生应用所携带的标识一致的情况下,再根据已配置的安全规则确定允许或禁止该业务报文能够访问第二云原生应用的虚拟实例。由此实现根据不同云原生应用的标识来控制各云原生应用访问其他云原生应用的权限。同时,安全规则的配置可以是跨租户配置的,当第二原生应用中的第二虚拟实例是由第二租户创建的,则第一租户输入的第二安全规则可以由云管理平台配置到第二虚拟实例管理器中进行记录,可选的,该第二安全规则的配置可以是云管理平台根据第一租户具有配置第二虚拟实例的权限进行配置。
结合第一方面,在第一方面的一种可能的实现方式中,在云管理平台接收租户输入的针对第一云原生应用的安全规则之前,该方法具体还包括以下步骤:接收第一租户或第二租户输入的第二虚拟实例创建请求,第二虚拟实例创建请求包括待创建的第二虚拟实例的规格信息以及所属的第二云原生应用的信息;选择在第二云数据中心中的可提供与规格信息匹配的规格的第二计算节点上创建第二虚拟实例;根据第二云原生应用的信息配置第二计算节点的第二虚拟实例管理器使用第二云原生应用的标识标记第二虚拟实例发出的业务报文。
在本申请提供的方案中,第二虚拟实例或是其他虚拟实例,可以由云管理平台根据第一租户的创建请求来创建,也可以根据其他租户的创建请求来创建。同样的,该第二虚拟实例的创建应当是满足创建请求中的规格信息,可选的,该第二虚拟实例可以是在第一云数据中心中的第一计算节点中创建,也可以是在第二云数据中心中的第二计算节点中创建。也就是说,云原生应用之间的互相访问可以是跨云数据中心、跨计算节点的,并且可以通过标识和安全规则对访问权限进行管理和控制。在此基础上,通过利用第二云原生应用的标识来标记第二虚拟实例发出的业务报文,当第二虚拟实例访问其他云原生应用的虚拟实例时所发送的业务报文携带有第二云原生应用的标识,由此实现根据该标识实现对访问权限的控制和管理。
结合第一方面,在第一方面的一种可能的实现方式中,该方法具体还包括一下步骤:为第一云原生应用设置第一网络接口,将运行第一云原生应用中的微服务的至少一个虚拟实例绑定到第一网络接口,其中运行第一云原生应用中的微服务的至少一个虚拟实例包括第一虚拟实例,第一网络接口设置在第一站点信息指示的第一云数据中心中,为第二云原生应用设置第二网络接口,将运行第二云原生应用中的微服务的至少一个虚拟实例绑定到第二网络接口,其中运行第二云原生应用中的微服务的至少一个虚拟实例包括第二虚拟实例,第二网络接口设置在第二站点信息指示的第二云数据中心中,其中,第一网络接口和第二网络接口通过设置在基础设施中的云原生网络中相互连接。
在本申请提供的方案中,运行云原生应用的至少一个虚拟实例绑定一个或多个网络接口,不同的网络接口根据站点信息设置在对应的云数据中心中,基于云原生网络中网络接口互相连接。示例的,云数据中心之间通过骨干网或者云专线等方式实现互通。由此,当不同云数据中心中的虚拟实例进行访问互通时,可以用过所绑定的网络接口直接进行访问,提升连通访问效率。
结合第一方面,在第一方面的一种可能的实现方式中,根据第一云原生应用的信息配置第一计算节点的第一虚拟实例管理器使用第一云原生应用的标识标记第一虚拟实例发出的业务报文,该方法具体包括以下步骤:配置第一虚拟实例管理器将业务报文封装到叠加报文的内层报文中,并将第一云原生应用的标识设置在叠加报文的外层报文中。
在本申请提供的方案中,根据云原生应用的信息配置业务报文的标识,具体是通过将云原生应用的信息封装到叠加报文的外层报文中,而业务报文则封装在叠加报文的内层报文中,由此,当虚拟实例管理器在接收到其他虚拟实例发来的业务报文时,可以通过拆封叠加报文来识别各业务报文所携带的标识,从而实现当虚拟实例所绑定的网络接口不断变化时,仅需调整网络接口所属云原生应用的标识即可,而不再需要对所有计算节点的安全策略进行修改,提升云原生应用间的访问互通效率。
结合第一方面,在第一方面的一种可能的实现方式中,虚拟实例包括虚拟机或容器。
第二方面或第二方面任意一种实现方式是第一方面或第一方面任意一种实现方式对应的装置实现,第一方面或第一方面任意一种实现方式中的描述适用于第二方面或第二方面任意一种实现方式,在此不再赘述。
第三方面,本申请还提供了一种面向云原生应用的云网络系统,其中,云原生网络,用于连接多个网络接口,每个网络接口与一个虚拟实例绑定;第一虚拟实例,用于与多个网络接口中的第一网络接口绑定,且第一虚拟实例于运行第一云原生应用或第一云原生应用中的一个或多个微服务;第二虚拟实例,用于与多个网络接口中的第二网络接口绑定,且第二虚拟实例于运行第二云原生应用或第二云原生应用中的一个或多个微服务;云管理平台,用于接收租户输入的安全规则,安全规则用于指示第一云原生应用访问第二云原生应用的权限,第一网络接口和/或第二网络接口通过安全规则确定是否允许第一虚拟实例与第二虚拟实例之间的访问报文通过。
第四方面,本申请提供了一种计算设备集群,包括至少一个计算设备,每个计算设备包括处理器和存储器;至少一个计算设备的处理器用于执行至少一个计算设备的存储器中存储的指令,以使得计算设备集群执行上述第一方面以及结合上述第一方面中的任意一种实现方式的方法。
第五方面,本申请提供了一种包含指令的计算机程序产品,当指令被计算机设备集群运行时,使得计算机设备集群执行上述第一方面以及结合上述第一方面中的任意一种实现方式的方法。
第六方面,本申请提供了一种计算机可读存储介质,包括计算机程序指令,当计算机程序指令由计算设备集群执行时,计算设备集群执行上述第一方面以及结合上述第一方面中的任意一种实现方式的方法。
附图说明
图1是本发明实施例提供的基于云计算技术的虚拟实例创建的云管理平台的场景示意图;
图2是本发明实施例提供的基于云计算技术的虚拟实例创建的云管理平台的架构示意图;
图3是本发明实施例提供的基于云计算技术的虚拟实例创建方法的一种架构示意图;
图4是本发明实施例提供的基于云计算技术的虚拟实例创建方法的简易流程图;
图5是本发明实施例提供的基于云计算技术的虚拟实例创建方法的流程示意图;
图6是本发明实施例提供的基于云计算技术的虚拟实例创建方法的又一种流程示意图;
图7是本发明实施例提供的基于云计算技术的虚拟实例创建方法的一种应用原生云网络场景下的架构示意图;
图8是本发明实施例提供的基于云计算技术的虚拟实例创建方法的一种虚拟机场景下的架构示意图;
图9是本发明实施例提供的基于云计算技术的虚拟实例创建方法的一种容器场景下的架构示意图;
图10是本发明实施例提供的基于云计算技术的虚拟实例创建方法的叠加报文的数据格式结构示意图;
图11是本发明实施例提供的基于云计算技术的虚拟实例创建方法的一种云网络系统的架构示意图;
图12是本发明实施例提供的基于云计算技术的虚拟实例创建方法的一种云管理平台的结构示意图;
图13是本发明实施例提供的基于云计算技术的虚拟实例创建方法的计算设备的结构示意图;
图14是本发明实施例提供的基于云计算技术的虚拟实例创建方法的计算设备集群的一种结构示意图;
图15是本发明实施例提供的基于云计算技术的虚拟实例创建方法的计算设备集群的又一种结构示意图;
图16是本发明实施例提供的基于云计算技术的虚拟实例创建方法的计算设备集群的又一种结构示意图;
具体实施方式
下面结合附图对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在本说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
首先,结合附图对本申请中所涉及的部分用语和相关技术进行解释说明,以便于本领域技术人员理解。
租户:租用基础设施的用户,租户可通过浏览器或其他租户端在公有云服务提供方运营的云管理平台注册账号,公有云服务提供方会记录不同租户的账号,根据账号实现不同租户的公有云服务的隔离。
云管理平台:公有云服务提供方提供的用于与用户交互的平台,用户可在云管理平台注册账号并以账号租用公有云服务,从而成为公有云服务的租户,云管理平台还用于管理基础设施,并根据不同租户的账号实现不同租户租用的计算、网络、和/或存储资源之间的隔离。
虚拟实例:是指部署基础设施中的云数据中心上中的用于运行公有云服务的实例,该虚拟实例为用于提供计算、网络、或存储资源的实例,虚拟实例包括但不限于例如虚拟机、容器。
基础设施:支撑云计算服务的设施,包括至少一个云数据中心,每个数据中心包括多个计算节点,计算节点上运行虚拟机或容器等虚拟实例以实现弹性的云计算服务,举例而言,基础设施包括多个云数据中心的情况下,数据中心之间通过骨干网实现远程连接。
叠加报文:一种叠加网络技术,具体指虚拟扩展局域网(Virtual ExtensibleLocal Area Network,VXLAN)报文,VXLAN报文包括外层报文和内层报文,其中,UDP报文的数据部分携带有VXLAN头、内部以太网头(Inner Ethernet Header)、内部IP头(Inner IPHeader)以及IP报文的数据部分(Payload),内部以太网头记录有内层报文的源MAC地址和目的MAC地址,内部IP头记录有内层报文的源IP地址和目的IP地址,外层报文包括外部以太网头(Outer Ethernet Header)、外部IP头(Outer IP Header)、外部用户数据报协议(UserDatagram Protocol,UDP)头(Outer UDP Header)以及VXLAN头。
云原生应用:云原生应用是一个相互关联但又不独立的组件(Service、Task、Worker)的集合,这些组件与配置结合在一起并在适当的运行时实例化后,共同完成统一的功能目的。
应用原生云网络(Application Native Cloud,ANC):一种应用于云计算技术的网络模型,该模型可供租户在云上创建虚拟实例,为租户的计算、存储、网络等云上资源构建需要的网络环境,是云原生网络的一种实现方式。
网络接口:云原生网络下在租户创建虚拟实例时,需要调用网络接口,并指定网络接口所在的站点,以及所属的云原生网络下的云原生应用,通过创建全局的云原生网络环境即可实现各个站点的网络接口直连互通。
容器(Container):计算机操作系统中的一种虚拟化技术。该技术使得进程运行于相对独立和隔离的环境(包含独立的文件系统、命名空间、资源视图等),从而能够简化软件的部署流程,增强软件的可移植性和安全性,并提高系统资源利用率。容器技术广泛应用于云计算领域的服务化场景。
区域(Region):公有云服务提供商将公有云数据中心设置在位于不同地理位置的区域,不同区域之间的公有云数据中心中的公有云设备之间需通过远程连接网关进行通信。
站点(Site):应用原生云网络下的位置属性,云数据中心的可以设置在不同地理位置,在某一地理位置内向其所覆盖的范围内的租户提供云服务,该地理位置所部署的云数据中心为站点,包括核心站点和边缘站点的一种平行模型,站点也可以是租户设置在本地的数据中心。
全球(Global):应用原生云网络下的位置属性,站点属性的上一级,该层级可以对部署在全球不同站点中的云服务进行管理。
为便于说明本发明实施例中的基于云计算技术的虚拟实例创建方法,以下请先参见图1,图1是本发明实施例提供的基于云计算技术的虚拟实例创建方法的场景示意图。如图1,云管理平台20用于管理基础设施1,础设施1中包含设置在多个区域的云数据中心集群,示例性的多个区域包含区域10、区域11、区域12,每个区域设置有一个云数据中心集群(图未示出),每个云数据中心包含多个云数据中心,示例性的区域10的云数据中心包含云数据中心101、云数据中心102、云数据中心103,位于区域11的云数据中心集群包含云数据中心111、云数据中心112、云数据中心113,位于区域13的云数据中心集群包含云数据中心121、云数据中心122、云数据中心123,每个云数据中心中又包含多个计算节点,示例性的数据中心101包含计算节点1011、计算节点1012……。
请继续参见图1,在图1中,云管理平台20用于管理基础设施1,租户A通过租户端21连接互联网并登录以预先在云管理平台20注册的与租户A绑定的账号登录云管理平台20。云管理平台20提供配置界面,用来配置运行在基础设施中的云服务。
举例而言,租户端21、租户端22可以是具有上网功能手机、个人电脑、个人数字助理、瘦租户端等终端设备、车载主机或其他具有互联网访问功能的终端设备。
以下请参见图2,图2是本发明实施例提供的基于云计算技术的虚拟实例创建的云管理平台的系统结构示意图,具体而言,图2示出图1所示的云数据中心的具体结构,如图2所示,云数据中心101包括多个计算节点1011、1012……,多个计算节点1011、1012分别连接到带宽分配设备1010,其中计算节点1011包括硬件层和软件层,虚拟实例10111设置在计算节点1011的软件层上,计算节点1011的软件层还包括宿主机操作系统10113,虚拟实例管理器101131设置在宿主机操作系统10113上,虚拟实例管理器101131中还设置有云管理平台租户端1011311,虚拟实例管理器101131用于实现对虚拟实例10111的管理,虚拟实例管理器101131通过云管理平台租户端1011311与云管理平台20实现通信,其中当由其他计算节点发送的访问虚拟实例管理器101131中的虚拟实例的业务报文时,由虚拟实例管理器101131进行报文解封,并对业务报文的源虚拟实例进行识别。计算节点1011的计算节点硬件层包括内存10114、处理器10115、网卡10116、硬盘10117,其中网卡10116和云数据中心中的带宽分配设备1010连接,虚拟实例10111通过网卡10116连接互联网,虚拟实例10111的网络报文(包括出报文和入报文)经由带宽分配设备1010与互联网的设备实现通信。
值得注意的是,在本发明实施例中,虚拟机的数量可以根据需要设置,本发明实施例对此不作限定。
在图1、图2所述的公有云系统中,租户在公有云系统中创建虚拟实例时,由其是当需要创建多个虚拟实例进行组网共同组成某些服务时,需要租户熟悉当前云网络模型中的包括虚拟私有网络(Virtual Private Cloud,VPC)、弹性负载均衡器(Elastic LoadBalance,ELB)、网络地址转换网关(Network Address Translation,NAT)等多个云产品,且在配置过程中需要对网络参数包括私网网段、私网地址等进行划分。复杂的网络模型、配置参数等,使得租户创建的虚拟实例在跨区域或者云数据中心的进行交互访问时,业务报文需要经过多层级出入,由其是当对不同虚拟实例进行网络安全策略管理时,计算节点的安全策略需要根据其上运行的虚拟实例的变更而修改,使得云资源的管理操作具有较高的复杂度,与云原生应用的快速开发、部署、管理的需求相悖。
为解决上述问题,此本申请提供了一种基于云计算技术的虚拟实例创建方法,该方法通过根据租户输入的规格信息以及所属的云原生应用信息在确定的计算节点上创建虚拟实例,由于该虚拟实例用于运行云原生应用或者云原生应用中的一个或多个微服务,则通过配置管理该虚拟实例的虚拟实例管理器记录来记录该虚拟实例上运行的云原生应用的标识来标记该虚拟实例发出的业务报文,实现由虚拟实例管理器根据标识确定安全策略。进而,即使用于运行云原生应用的虚拟实例不发生变更,也不需要再在各计算节点上进行安全策略的重复修改。
基于图1、图2所述的场景,以下结合图3对本发明实施例提供的基于云计算技术的虚拟实例创建方法作出详细介绍。
以下请参见图3,图3是本发明实施例提供的基于云计算技术的虚拟实例创建方法的一种架构示意图。具体而言:
租户A通过租户端21访问云管理平台20,云管理平台20用于管理基础设施1,基础设施1中设置有计算节点1011、计算节点1021……结合图1,其中,计算节点1011设置在云数据中心101上,计算节点1021设置在云数据中心102中。在计算节点1011上设置有运行云原生应用41或者云原生应用41的一个或多个微服务的虚拟实例10111,计算节点1021上设置有运行云原生应用42或者云原生应用42的一个或多个微服务的虚拟实例10212。当云原生应用41在运行过程中生成访问云原生应用42的业务报文时,由虚拟实例10111将业务报文发送至网络接口411,由网络接口411将业务报文经过虚拟交换机400对业务报文进行封装。可选的,该网络接口可以是网络终端节点(Network Endpoint,NEP)。进而,由虚拟交换机400将封装的叠加报文从计算节点1011中发至计算节点1021的虚拟交换机401,再由虚拟交换机401对封装的叠加报文进行解封转发至网络接口421。其中,结合图1,虚拟交换机400设置在虚拟实例管理器101131中,虚拟交换机401设置在虚拟实例管理器102131中。当虚拟实例10111发出的业务报文经过虚拟实例管理器101131转发时,由虚拟实例管理器101131对该业务报文进行标记,根据云原生应用41的信息将云原生应用的标识标记虚拟实例10111发送出的业务报文。当虚拟实例管理器102131对叠加报文进行解封时,可以识别该业务报文来自于云原生应用41,由此根据标识实现对访问云原生应用42的安全策略的管理。
请继续参见图4,图4是本发明实施例提供的基于云计算技术的虚拟实例创建方法的简易流程图,如图4所示,该方法包括但不限于以下步骤:
步骤S301:云管理平台接收租户输入的虚拟实例创建请求,虚拟实例创建请求包括待创建的虚拟实例的规格信息以及所属的云原生应用的信息。
结合图3所示的架构图,示例性的,云管理平台20获取由租户A输入的虚拟实例创建请求,该虚拟实例创建请求中包括待创建的虚拟实例10111的规格信息以及云原生应用41的信息。其中,规格信息可以包括故障域、部署集、主机的健康状态、主机的型号、处理器架构、处理器核心数量、带宽、内存大小、网卡数量等,本发明对此不作限定。
通过获取租户输入的虚拟实例创建请求,可以根据租户的实际需求,向租户提供匹配其规格需求的虚拟实例。
步骤S302:选择在云数据中心中的可提供与规格信息匹配的规格的计算节点上创建虚拟实例。
根据租户输入的虚拟实例的规格信息,云管理平台在基础设施中选择能够和该规格信息相匹配的计算节点来创建虚拟实例,其中该虚拟实例用于运行云原生应用或者云原生应用中的一个或多个微服务,示例性的,结合图3,云管理平台20选择能够提供满足租户输入的规格信息的计算节点1011来创建虚拟实例10111,其中,虚拟实例10111运行云原生应用41或者云原生应用41的一个或多个微服务。
其中,租户输入的虚拟实例创建请求包括待创建的虚拟实例的规格信息以及所述的云原生应用的信息。云管理平台可以根据前述的规格信息在基础设施中选择满足该规格信息的计算节点,可选的,当租户A输入多个虚拟实例创建请求时,云管理平台可以向租户A提供满足该规格信息的不同或者同一计算节点的虚拟实例,该不同计算节点可以设置在不同的云数据中心中,也可以在同一云数据中心中,本发明实施例对此不作限定。
步骤303:根据云原生应用的信息配置计算节点的虚拟实例管理器使用云原生应用的标识标记虚拟实例发出的业务报文。
云管理平台可以配置虚拟实例管理器用于对虚拟实例发出的报文进行标记,并封装成叠加报文向外发出。如图2所示,虚拟实例10111所在的计算节点1011中配置有虚拟实例管理器101131,结合图3,当虚拟实例10111在运行云原生应用41的过程中产生了访问虚拟实例10212的业务报文,需经网络接口411抵达虚拟交换机400进行转发,该虚拟交换机400由计算节点1011的虚拟实例管理器101131(图中未示出)进行管理。当业务报文经过虚拟交换机400时,由虚拟实例管理器101131根据云管理平台20的配置,使用云原生应用41的标识对该业务报文进行标记。
在前述步骤的基础上,通过获取租户输入的虚拟实例创建请求,根据虚拟实例创建请求中的云原生应用信息对创建的虚拟实例在运行过程中发出的业务报文进行标识,使其经封装后生成访问报文再由计算节点发送至访问对象,值得注意的是,该封装可以由虚拟实例管理器完成,也可以由计算节点的网卡实现。由此该访问报文便可携带云原生应用的标识,当目的计算节点接收到该访问报文在解封出业务报文时,可对该业务报文所携带的标识进行识别。从而根据该标识对业务报文的访问权限进行管理,实现对访问对象的安全策略的控制。
为了进一步清楚说明,请继续参见图5,图5是本发明实施例提供的基于云计算技术的虚拟实例创建方法的流程示意图,具体的:
图5是图4提供的虚拟实例创建方法的进一步具体介绍,结合图3所示的结构,进一步如图5所示,该方法包括以下步骤:
S101.租户端21发送租户A输入的虚拟实例创建请求。
租户A通过租户端21登录云管理平台20,根据云管理平台20提供的界面输入虚拟实例创建请求,该虚拟实例创建请求包括待创建的虚拟实例的规格信息以及所属的云原生应用的信息。
值得注意的是,云原生应用的信息可以包括云原生应用的名称信息、识别ID、路径信息、属性信息、用户信息等,其中的一个或多个信息可用于对业务报文的标识,本发明实施例对此不作限定。
可选的,租户输入的虚拟实例创建请求中,还可以包括站点信息,站点信息具体指为向一定范围内的国家或者区域的租户提供云服务而在某一国家或地区进行部署的站点,其中站点信息包括地理位置、服务内容、覆盖范围等,本发明实施例对此不做限制。
另在本发明实施例中,租户端21可以是具有上网功能手机、个人电脑、个人数字助理、瘦租户端等终端设备、车载主机或其他具有互联网访问功能的终端设备。
S102.云管理平台20接收租户A输入的虚拟实例创建请求。
云管理平台20接收租户A在云管理平台20所提供的界面中输入的虚拟实例请求。
S103.选择在云数据中心101中的可提供与规格信息匹配的计算节点1011。
云管理平台20根据租户A输入的虚拟实例创建请求中所包含的虚拟实例10111的规格信息以及所述的云原生应用41的信息,其中,云数据中心101中能够提供与上述规格信息向匹配的计算节点1011,云管理平台20选择该计算节点1011来作为承载虚拟实例10111运行的硬件载体。
其中,云管理平台20选择计算节点来创建虚拟实例的过程可以是根据租户A输入的配置来进行的,也可以是云管理平台20根据预设规则进行选择,本发明实施例不对此进行限制。
可选的,当租户A输入的虚拟实例创建请求中包括站点信息时,云管理平台20可以在租户A输入的站点选择该站点中云数据中心中的某一和规格信息相匹配的计算节点。
S104.创建虚拟实例10111。
云管理平台20在计算节点1011中创建虚拟实例10111,其中,虚拟实例10111用于运行云原生应用41或者云原生应用41的一个或者多个微服务,云原生应用41可以是由云管理平台20根据租户A输入的云原生应用41的信息配置的,也可以是云管理平台20根据其他有相关权限的租户输入的云原生应用41的信息进行配置。
可选的,虚拟实例10111还可以用于运行云原生应用41的一个微服务的某一部分,本发明实施例对此不做限定。
S105.根据云原生应用41的信息配置计算节点1011的虚拟实例管理器101131使用该云原生应用的标识标记虚拟实例10111发出的业务报文P1。
云管理平台20根据云原生应用41的信息配置计算节点1011的虚拟实例管理器101131使用该云原生应用41的标识标记虚拟实例10111发出的业务报文P1。
S106.发送租户输入安全规则R1。
租户A通过租户端21登录云管理平台20,根据云管理平台20提供的界面输入安全规则R1,其中,安全规则R1是用于管理云原生应用41的被访问权限,当其他云原生应用产生访问云原生应用41的业务报文时,安全规则R1确定该业务报文是否有权限访问云原生应用41.
值得注意的是,无论是租户输入的虚拟实例创建请求或是安全规则,此处所提及的输入,可以是租户在云管理平台提供的输入界面直接输入的,也可以是租户根据云管理平台提供的不同选项进行选择的。
S107.接收租户输入的安全规则R1。
云管理平台20接收租户A输入的安全规则R1。
S108.配置计算节点1011的虚拟实例管理器101131记录安全规则R1。
云管理平台20配置计算节点1011中的虚拟实例管理器101131记录租户输入的安全规则R1。
S109.虚拟实例管理器101131根据安全规则R1允许或禁止将运行其他云原生应用或运行其他云原生应用中的一个或多个微服务的虚拟实例发送至虚拟实例10111的业务报文P2发送至虚拟实例10111。
基于步骤S105可知,虚拟实例管理器101131将对运行云原生应用41或者云原生应用41中的一个或多个微服务的虚拟实例10111发出的业务报文P1基于云原生应用41标识做标记。同理的,在基础设施中还设置有运行其他云原生应用或运行其他云原生应用中的一个或多个微服务的虚拟实例,当其他虚拟实例在运行过程中产生了访问虚拟实例10111的业务报文P2,则该业务报文P2同样被标记上其所运行的云原生应用的标识,这也就使得业务报文P2在经过计算节点1011中虚拟实例管理器101131时,虚拟实例管理器101131识别业务报文P2中所标记的其所属云原生应用的标识,根据其记录的安全规则R1中业务报文P2访问虚拟实例10111的权限,来判断是否将业务报文P2发送至虚拟实例10111。
基于上述步骤,实现了通过云原生应用的标识实现对访问权限和安全策略的管理,具体的是将云原生应用的标识标记到虚拟实例发出的业务报文中,进而对云原生应用的标识进行识别、鉴权,这样在业务报文转发的过程中可以不再像单纯依赖对源IP地址和目的IP地址进行权限管理和控制。示例性的,基础设施中存在多个计算节点、多个云原生应用以及用于运行这些云原生应用的多个虚拟实例,当虚拟实例在云原生应用运行的过程中,调用不同的虚拟实例来运行同一云原生应用中的多个微服务,不断变化的虚拟实例就需要相对应的配置不断变化的网络接口。通过根据云原生应用的标识来实现对安全策略的管理,则可以避免当网络接口发生变化导致IP地址变动时对所有计算节点进行安全策略修改,仅需配置变化的网络接口其所属的云原生应用的标识即可,简化安全策略配置,提升权限管理效率。
本发明的一种实施例,请继续参见图6,图6是本发明实施例提供的基于云计算技术的虚拟实例创建方法的又一种流程示意图,结合图3进行说明,具体的:
S101.虚拟实例10211部署在计算节点1021上。
基础设施1中部署有设置在云数据中心102上的计算节点1021,该计算节点1021上还设置有虚拟实例10211,其中,虚拟实例10211用于运行云原生应用42或者云原生引用42中的一个或多个微服务。
S102.发送租户输入安全规则R2。
租户A通过租户端21登录云管理平台20,在云管理平台20提供的界面上输入安全规则R2,其中安全规则R2用于管理云原生应用41访问云原生应用42的访问权限。
S103.接收租户输入的安全规则R2。
云管理平台20接收租户A输入的安全规则R2。
可选的,虚拟实例10211也可以是根据租户A或租户B输入的虚拟实例创建请求在基础设施中创建的。具体的,在云管理平台20接收租户A输入的安全规则R2之前,云管理平台20还可以租户A或者租户B分别自其对应的租户端输入的虚拟实例10211的虚拟实例创建请求,该虚拟实例创建请求包括虚拟实例10211的规格信息和以及所述的云原生应用42的信息。根据该虚拟实例创建请求,云管理平台20选择在云数据中心102中能够提供与前述规格信息相匹配的计算节点1021上创建虚拟实例10211。在此基础上,根据云原生应用42的信息配置设置在计算节点1021上用于管理虚拟实例1021的虚拟实例管理器102131使用云原生应用42的标识来标记由虚拟实例1021发出的业务报文。
S104.配置计算节点1021的虚拟实例管理器102131记录云原生应用41的标识以及安全规则R2。
云管理平台20配置设置在计算机节点1021上的虚拟实例管理器102131记录云原生应用41的标识以及安全规则R2。
S105.虚拟实例10111发出的业务报文P1的目的地址为虚拟实例10211。
虚拟实例10111在运行云原生应用41或者云原生应用41的一个或这个多个微服务的过程中产生了访问虚拟实例10211的业务报文P1,该业务报文P1的目的IP地址为虚拟实例10211。
S106.虚拟实例管理器102131在确认虚拟实例10111发出的业务报文P1标记有的云原生应用41的标识与自身记录的标识是否一致。
当业务报文P1到达计算节点1021时,由虚拟实例管理器102131对业务报文中所包含的标识进行识别,确定虚拟实例10111发出的业务报文P1所标记的云原生应用41是否与自身所记录的标识相一致。如果一致,则进行下一步骤;如果不一致,则禁止该业务报文P1访问虚拟实例10211。
S107.当标识一致的情况下,根据安全规则R2允许或禁止业务报文P1发送至虚拟实例10211。
当虚拟实例管理器102131确定业务报文P1所标记的云原生应用41的标识与自身所记录的标识一致时,根据已记录的安全规则R2判断允许或禁止业务报文P1发送至虚拟实例10211。
S108.当安全规则R2允许业务报文P1发送至虚拟实例10211。
当虚拟实例管理器102131所记录的安全规则R2允许业务报文P1发送至虚拟实例10211时,执行下一步骤。
S109.发送业务报文P1至虚拟实例10211。
由虚拟实例管理器102131将接收的业务报文P1转发至虚拟实例10211。
S110.当安全规则R2禁止业务报文P1发送至虚拟实例10211。
当虚拟实例管理器102131所记录的安全规则R2禁止业务报文P1发送至虚拟实例10211时,业务报文P1则不会被虚拟实例管理器102131转发。
S111.反馈发送失败的报文。
虚拟实例管理器102131向虚拟实例10111反馈业务报文P1发送失败报文。
S112.反馈发送失败的报文。
虚拟实例管理器102131向云管理平台20反馈业务报文P1发送失败报文,并由云管理平台20对此进行记录。
本发明的一种实施例,示例性的,某公司配置了财务云原生应用和人力云原生应用,其中财务云原生应用由虚拟实例10111运行,人力云原生应用由虚拟实例10211运行,其中虚拟实例10111设置在计算节点1011上,计算节点1011与计算节点1021可以部署在同一云数据中心中,也可以部署在不同云数据中心中;同样的,可以部署在同一站点,也可以部署在不同站点。为便于说明,实施例中计算节点1011部署在云数据中心101上,虚拟实例10211设置在计算节点1021上,计算节点1021部署在云数据中心102上,属于两个不同的站点。
当人力云原生应用不希望其他云原生应用或者其他云原生应用的一个或多个微服务访问时,可以通过云管理平台20配置安全规则R1用于禁止其他云原生应用或者其他云原生应用的一个或多个微服务访问,并配置计算节点1021上的虚拟实例管理器102131记录安全规则R1。虚拟实例10111在运行过程中产生了访问虚拟实例10211的业务报文P1,业务报文P1经虚拟实例管理器101131标记携带有财务云原生应用的标识,当其抵达虚拟实例管理器102131时,虚拟实例管理器102131判断业务报文P1所携带的云原生应用标识属于其他云原生应用或者其他云原生应用的一个或多个微服务而禁止其访问,停止向虚拟实例10211转发业务报文P1。
当人力云原生应用仅禁止财务云原生应用或者财务云原生应用的一个或多个微服务访问而允许其他云原生应用访问时,某公司还可以通过云管理平台20配置安全规则R2,其中,安全规则R2禁止财务云云原生应用访问人力云原生应用,并配置计算节点1021上的虚拟实例管理器102131记录安全规则R2以及被禁止访问的财务云原生应用的标识。虚拟实例10111在运行过程中产生了访问虚拟实例10211的业务报文P1,业务报文P1经虚拟实例管理器101131标记携带有财务云原生应用的标识,当其抵达虚拟实例管理器102131时,虚拟实例管理器102131判断虚拟实例10111所携带的云原生应用标识与自己已记录的标识一致,且已记录的安全规则R2禁止标记有该标识的业务报文访问,则停止向虚拟实例10211转发业务报文P1。
以上基于云计算技术的虚拟实例创建方法中,当某一云原生应用或者该云原生应用的一个或多个微服务在业务中需要设置精确的安全策略来管理其他云原生应用或者该云原生应用的一个或多个微服务的访问权限,通过本技术方案可以在目的端对标识的识别和判断实现对访问端的权限管理,尤其是当大量云原生应用及其所包含的微服务进行安全策略的配置时,配置效率得以提升,并极大减轻了配置操作的复杂度。
基于以上步骤实现的虚拟实例创建方法,本发明还提供了一种在应用原生云网络下的实施例,请参见图7,图7是本发明实施例提供的基于云计算技术的虚拟实例创建方法的一种应用原生云网络场景下的架构示意图,具体的:
在应用原生云网络场景下,包括Global管控面以及各站点Site级控制器,通过调用全局API可以对Global管控面下的地址管理、规则管理、应用管理进行配置。其中,ANC是Global模型,此模型包含租户指定的网络地址范围,如果租户不指定,ANC可以为租户分配网络地址范围。
具体而言,ANC可以实现对管理的地址进行自动分配,ANC的Global管控面会将租户ANC内的网络地址范围所包含的IP地址池切分成若干小的IP地址池,即地址分片的方式来管理。包括以下步骤:
a)当租户在某个Site基于ANC创建网络接口的时候,ANC的Site级控制器内的地址分配模块会先从此Site的地址池中自动分配地址。
b)如果此Site的地址池使用完毕,则Site级控制器内的地址分配模块会向Global级的地址管理模块申请新的地址空间。Global地址管理模块收到此请求后会从空闲地址分片地址池中,拿出一个分片地址池返回给Site级地址分配模块,补充此Site的地址池。
c)当一个Site控制器内的分片中的地址完全释放后,此分片会从Site的地址池中回收,即此分片地址池不再属于这个Site,会回收到ANC的空闲地址池中,未来可以分配给其他站点。
本发明的一种实施例,结合图3,当租户基于ANC创建网络接口时,不需要指定IP地址,ANC管控面会为其分配地址,而需要指定该网络接口所在的Site以及绑定的云原生应用。当网络接口转发由云原生应用所在虚拟实例发送出的业务报文时,经过虚拟实例管理器的配置,使该网络接口集成该云原生应用的标识,此后,从此网络接口发送的报文,都会携带其所属的云原生应用的标识。
基于此,在获取租户输入的安全规则后,不需要配置IP地址,只在目的端确定能够访问的访问端云原生应用即可,经管控面将安全规则下发给数据面,实现安全策略部署。
在上述ANC场景下,本发明实施例还公开了一种虚拟机实例的实现方式,请参见图8,图8是本发明实施例提供的基于云计算技术的虚拟实例创建方法的一种虚拟机实例的架构示意图,具体的:
虚拟实例10111、虚拟实例10112、虚拟实例10211、虚拟实例10212均为虚拟机,其中虚拟实例10111、虚拟实例10112用于运行云原生应用41,虚拟实例10211、虚拟实例10212用于运行云原生应用42,云原生应用41和云原生应用42在应用原生云网络40中通信。虚拟实例10111部署在核心站点A中的云数据中心101,并绑定设置在核心站点A所指示的云数据中心101的网络接口411实现网络接入。虚拟实例10112部署在边缘站点B中的云数据中心101,并绑定设置在边缘站点B所指示的云数据中心中的网络接口412实现网络接入。虚拟实例10211部署在核心站点C中的云数据中心102,并绑定设置在核心站点C所指示的云数据中心102中的网络接口421实现网络接入。虚拟实例10212部署在私有站点D,并绑定私有站点D所指示的本地数据中心的网络接口422实现网络接入。其中边缘站点B、核心站点A、核心站点C可以是在同一地理位置,也可以是不同地理位置,私有站点属于租户的本地数据中心。
举例而言,租户可以使用接口创建虚拟机和自动伸缩组(Auto Scaling,AS),创建虚拟机的时候需要调用虚拟网络接口,创建对应的NEP,此时租户不用指定网络相关参数,比如Region、VPC、Subnet、AZ等信息,只需要指定NEP所在的Site,以及所属的ANC下的云原生应用即可。在网络资源侧,通过创建全局的ANC网络即可实现各个站点的NEP直接互通。由此再对云原生应用按照前述实施例进行安全策略的配置即可实现对云原生应用访问权限的管理。
在ANC场景下,本发明实施例还公开了一种容器实例的实现方式,请参见图9,图9是本发明实施例提供的基于云计算技术的容器创建方法的一种容器实例的架构示意图,具体的:
图中计算资源包括虚拟实例10111、虚拟实例10112、虚拟实例10121、虚拟实例10122、虚拟实例10211、虚拟实例10212、虚拟实例10221、虚拟实例10222,上述虚拟实例均为容器。其中虚拟实例10111、虚拟实例10112、虚拟实例10121、虚拟实例10122用于运行云原生应用51,虚拟实例10211、虚拟实例10212、虚拟实例10221、虚拟实例10222用于运行云原生应用52,云原生应用51和云原生应用52在应用原生云网络50中通信。虚拟实例10111、虚拟实例10112部署在核心站点A,分别绑定网络接口511、网络接口512实现网络接入,虚拟实例10121、虚拟实例10122部署在边缘站点B,分别绑定网络接口513、网络接口514实现网络接入。虚拟实例10211、虚拟实例10212部署在核心站点C,分别绑定网络接口521、网络接口522实现网络接入,虚拟实例10221、虚拟实例10222部署在私有站点D,分别绑定网络接口523、网络接口524实现网络接入。其中边缘站点B、核心站点A、核心站点C可以是在同一地理位置,也可以是不同地理位置,私有站点属于租户的本地数据中心。
举例而言,容器实例场景下,租户不需要关心多个区域互通的问题,只需要创建全局的ANC,各个站点的NEP就可以实现直接互通。基于ANC对IP地址的自动分配,在创建网络接口绑定容器实例的过程中,并不需要对网络地址范围进行配置,就能实现IP地址和各个网络接口的绑定。通过对站点信息的匹配以及各容器实例所属的云原生应用信息,就可以在互联的基础上,以云原生应用标识为识别对象配置安全策略,实现访问权限的简化管理,具体配置过程如前述步骤。
请继续参见图10,图10是本发明实施例提供的基于云计算技术的虚拟实例创建方法的叠加报文的数据格式结构示意图,如图10所示,本发明实施例中的叠加报文可以采取VXLAN的格式进行封装,具体的:
VXLAN报文将内层报文封装在UDP报文的数据部分(payload)中,UDP报文的数据部分携带有VXLAN头、内部以太网头(Inner Ethernet Header)、内部IP头(Inner IP Header)以及IP报文的数据部分(Payload),内层报文包括内部以太网头、内部IP头以及IP报文的数据部分(Payload),内部以太网头记录有内层报文的源MAC地址和目的MAC地址,内部IP头记录有内层报文的源IP地址和目的IP地址。
VXLAN报文还包括隧道封装头,隧道封装头包括外部以太网头(Outer EthernetHeader)、外部IP头(Outer IP Header)、外部用户数据报协议(User Datagram Protocol,UDP)头(Outer UDP Header)以及VXLAN头,VXLAN头包括VXLAN Flags字段(8比特)、Reserved字段(24比特)、VNI(14比特)以及Reserved字段(24比特)。
外部以太网头记录有VXLAN隧道终端(VXLAN Tunnel End Point,VTEP)的源MAC地址和目的MAC地址,外部IP头记录VXLAN隧道终端的源IP地址和目的IP地址。
VXLAN隧道终端又可称为VTEP设备,VTEP设备是VXLAN隧道的端点,用于对内层报文进行封装:在内层报文的基础上打上外部以太网头、外部IP头、外部用户数据报协议头以及VXLAN头,以产生VXLAN报文并发送至其他VTEP设备,又可对从其他VTEP设备接收到的VXLAN报文进行解封装:将VXLAN报文的外部以太网头、外部IP头、外部用户数据报协议头以及VXLAN头剥除,以获取内层报文,并从VXLAN头中获取VNI。
本发明实施例中可以配置虚拟实例管理器作为VXLAN隧道终端对虚拟实例发出的业务报文进行封装,将业务报文封装到叠加报文的内层报文中,也即UDP报文中的Payload部分。将云原生应用的标识设置在叠加报文的外层报文中,具体的,可以通过VXLAN GPE协议,将云原生应用的标识设置在VXLAN头中作为外层报文。从而当叠加报文到达目的端的虚拟实例管理器时,在叠加报文解封过程中就可以将云原生应用的标识识别出来,进一步根据安全规则实现对安全策略的进行判断。
值得注意的是,VXLAN只是叠加网络技术的一种,本发明实施例仅以VXLAN作为本发明实施例的一种用于说明,并不对叠加报文的类型进行限定。
可选的,本发明实施例中所指的虚拟实例为虚拟机或容器。
本发明实施例还提供一种云网络系统,以下请参见图11,图11是本发明实施例提供的基于云计算技术的虚拟实例创建方法的一种云网络系统的架构示意图。具体如下:
示例性的,云网络系统包括云原生网络40、第一虚拟实例10111、第二虚拟实例10211、云管理平台20。云原生网络40,用于连接多个网络接口,每个网络接口与一个虚拟实例绑定;第一虚拟实例10111,用于与多个网络接口中的第一网络接口411绑定,且第一虚拟实例于运行第一云原生应用41或第一云原生应用41中的一个或多个微服务;第二虚拟实例10211,用于与多个网络接口中的第二网络接口421绑定,且第二虚拟实例10211于运行第二云原生应用42或第二云原生应用42中的一个或多个微服务;云管理平台20,用于接收租户A输入的安全规则,安全规则用于指示第一云原生应用41访问第二云原生应用42的权限,第一网络接口411和/或第二网络接口421通过安全规则确定是否允许第一虚拟实例10111与第二虚拟实例10211之间的访问报文通过。
本申请还提供一种云管理平台,以下请参见图12,图12是本发明实施例提供的基于云计算技术的虚拟实例创建方法的一种云管理平台的结构示意图。具体如下:
请求接收模块301,用于接收第一租户输入的第一虚拟实例创建请求,第一虚拟实例创建请求包括待创建的第一虚拟实例的规格信息以及所属的第一云原生应用的信息;还用于接收第一租户或第二租户输入的第二虚拟实例创建请求,第二虚拟实例创建请求包括待创建的第二虚拟实例的规格信息以及所属的第二云原生应用的信息
实例创建模块302,用于选择在第一云数据中心中的可提供与规格信息匹配的规格的第一计算节点上创建第一虚拟实例,第一虚拟实例用于运行第一云原生应用或第一云原生应用中的一个或多个微服务,并且多个云数据中心包括第一云数据中心;还用于选择在第二云数据中心中的可提供与规格信息匹配的规格的第二计算节点上创建第二虚拟实例;
配置模块303,配置模块用于根据第一云原生应用的信息配置第一计算节点的第一虚拟实例管理器使用第一云原生应用的标识标记第一虚拟实例发出的业务报文;还用于配置第一计算节点的第一虚拟实例管理器记录第一安全规则;还用于配置第二计算节点的第二虚拟实例管理器记录第一云原生应用的标识以及第二安全规则;还用于根据第二云原生应用的信息配置第二计算节点的第二虚拟实例管理器使用第二云原生应用的标识标记第二虚拟实例发出的业务报文。
规则接收模块304,用于接收第一租户输入的第一安全规则,其中第一安全规则用于指示第一云原生应用被访问的权限;还用于接收第一租户输入的第二安全规则,其中第二安全规则用于指示第一云原生应用访问第二云原生应用的权限;
接口设置模块305,用于为第一云原生应用设置第一网络接口,将运行第一云原生应用中的微服务的至少一个虚拟实例绑定到第一网络接口,其中运行第一云原生应用中的微服务的至少一个虚拟实例包括第一虚拟实例,第一网络接口设置在第一站点信息指示的第一云数据中心中;还用于为第二云原生应用设置第二网络接口,将运行第二云原生应用中的微服务的至少一个虚拟实例绑定到第二网络接口,其中运行第二云原生应用中的微服务的至少一个虚拟实例包括第二虚拟实例,第二网络接口设置在第二站点信息指示的第二云数据中心中。
值得注意的是,上述实施例中的租户可以由其他多个租户替换,上述模块均可以实现相应的技术功能,本发明实施例对此不作限定。
其中,请求接收模块301、实例创建模块302、配置模块303、规则接收模块304、接口设置模块305均可以通过软件实现,或者可以通过硬件实现。示例性的,接下来以请求接收模块301为例,介绍请求接收模块301的实现方式。类似的实例创建模块302、配置模块303、规则接收模块304、接口设置模块305的实现方式可以参考请求接收模块301的实现方式。
模块作为软件功能单元的一种举例,请求接收模块301可以包括运行在虚拟实例上的代码。其中,虚拟实例可以包括物理主机(计算设备)、虚拟机、容器中的至少一种。进一步地,上述虚拟实例可以是一台或者多台。例如,请求接收模块301可以包括运行在多个主机/虚拟机/容器上的代码。需要说明的是,用于运行该代码的多个主机/虚拟机/容器可以分布在相同的区域中,也可以分布在不同的区域中。
模块作为硬件功能单元的一种举例,请求接收模块301可以包括至少一个计算设备,如服务器等。或者,请求接收模块301也可以是利用专用集成电路(application-specific integrated circuit,ASIC)实现、或可编程逻辑器件(programmable logicdevice,PLD)实现的设备等。其中,上述PLD可以是复杂程序逻辑器件(complexprogrammable logical device,CPLD)、现场可编程门阵列(field-programmable gatearray,FPGA)、通用阵列逻辑(generic array logic,GAL)或其任意组合实现。
需要说明的是,在其他实施例中,请求接收模块301可以用于执行基于云计算技术的虚拟实例创建方法中的任意步骤,实例创建模块302可以用于执行基于云计算技术的虚拟实例创建方法中的任意步骤,配置模块303可以用于执行基于云计算技术的虚拟实例创建方法中的任意步骤,规则接收模块304可以用于执行基于云计算技术的虚拟实例创建方法中的任意步骤,接口设置模块305可以用于执行基于云计算技术的虚拟实例创建方法中的任意步骤,请求接收模块301、实例创建模块302、配置模块303、规则接收模块304、接口设置模块305负责实现的步骤可根据需要指定,通过请求接收模块301、实例创建模块302、配置模块303、规则接收模块304、接口设置模块305分别实现基于云计算技术的虚拟实例创建方法中不同的步骤来实现云管理平台的全部功能。
上述详细阐述了本申请实施例的方法、装置和系统,为了便于更好的实施本申请实施例的上述方案,相应地,下面还提供用于配合实施上述方案的相关设备。
本申请提供一种计算设备,以下请参见图13,图13是本发明实施例提供的基于云计算技术的虚拟实例创建方法的计算设备的一种结构示意图。计算设备300包括:总线307、处理器308、存储器306和通信接口309。处理器308、存储器306和通信接口309之间通过总线307通信。计算设备300可以是服务器或终端设备。应理解,本申请不限定计算设备300中的处理器、存储器的个数。
总线12可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图13中仅用一条线表示,但并不表示仅有一根总线或一种类型的总线。总线307可包括在计算设备300各个部件(例如,存储器306、处理器308、通信接口309)之间传送信息的通路。
处理器308可以包括中央处理器(central processing unit,CPU)、图形处理器(graphics processing unit,GPU)、微处理器(micro processor,MP)或者数字信号处理器(digital signal processor,DSP)等处理器中的任意一种或多种。
存储器306可以包括易失性存储器(volatile memory),例如随机存取存储器(random access memory,RAM)。处理器308还可以包括非易失性存储器(non-volatilememory),例如只读存储器(read-only memory,ROM),快闪存储器,机械硬盘(hard diskdrive,HDD)或固态硬盘(solid state drive,SSD)。
存储器306中存储有可执行的程序代码,处理器308执行该可执行的程序代码以分别实现请求接收模块301、实例创建模块302、配置模块303、规则接收模块304、接口设置模块305的功能,从而实现基于云计算技术的虚拟实例创建方法。也即,存储器306上存有云管理平台用于执行基于云计算技术的虚拟实例创建方法的指令。
通信接口309使用例如但不限于网络接口卡、收发器一类的收发模块,来实现计算设备300与其他设备或通信网络之间的通信。
本申请实施例还提供了一种计算设备集群。该计算设备集群包括至少一台计算设备。该计算设备可以是服务器,例如是中心服务器、边缘服务器,或者是本地数据中心中的本地服务器。在一些实施例中,计算设备也可以是台式机、笔记本电脑或者智能手机等终端设备。
以下请参见图14,图14是本申请实施例的基于云计算技术的虚拟实例创建方法的计算设备集群的一种结构示意图。如图14所示,该计算设备集群包括至少一个计算设备300,计算设备集群中的一个或多个计算设备300中的存储器306中可以存有相同的云管理平台用于执行基于云计算技术的虚拟实例创建方法的指令。
在一些可能的实现方式中,该计算设备集群中的一个或多个计算设备300也可以用于执行云管理平台用于执行基于云计算技术的虚拟实例创建方法的部分指令。换言之,一个或多个计算设备300的组合可以共同执行云管理平台用于执行基于云计算技术的虚拟实例创建方法的指令。
需要说明的是,计算设备集群中的不同的计算设备300中的存储器306可以存储不同的指令,用于执行云管理平台的部分功能。也即,不同的计算设备300中的存储器306存储的指令可以实现请求接收模块301、实例创建模块302、配置模块303、规则接收模块304、接口设置模块305中的一个或多个模块的功能。
以下请参见图15,图15是本申请实施例的基于云计算技术的虚拟实例创建方法的计算设备集群的又一种结构示意图。如图15所示,两个计算设备300A和300B通过通信接口309实现连接。计算设备300A中的存储器上存有用于执行实例创建模块302、配置模块303、接口设置模块305的指令。计算设备300B中的存储器上存有用于执行请求接收模块301、规则接收模块304的功能的指令。换言之,计算设备300A和300B的存储器306共同存储了云管理平台用于执行基于云计算技术的虚拟实例创建方法的指令。
图15所示的计算设备集群之间的连接方式可以是考虑到本申请提供的基于云计算技术的虚拟实例创建方法需要对创建和配置虚拟实例、网络接口进行大量计算,同时还需要根据多租户的同时配置进行计算。考虑到请求接收模块301、规则接收模块304的数据传输工作量,为了避免计算设备300A出现超负荷的运算,因此,将请求接收模块301、规则接收模块304实现的功能交由计算设备300B执行。
应理解,图15中示出的计算设备300A的功能也可以由多个计算设备300完成。同样,计算设备300B的功能也可以由多个计算设备300完成。
以下请参见图16,图16是本申请实施例的基于云计算技术的虚拟实例创建方法的计算设备集群又一种结构示意图。在一些可能的实现方式中,计算设备集群中的一个或多个计算设备可以通过网络连接。其中,所述网络可以是广域网或局域网等等。图16示出了一种可能的实现方式,如图16所示,两个计算设备300C和300D之间通过网络进行连接。具体地,通过各个计算设备中的通信接口与所述网络进行连接。在这一类可能的实现方式中,计算设备300C中的存储器306中存有执行实例创建模块302、配置模块303、接口设置模块305的指令。同时,计算设备300D中的存储器306中存有执行请求接收模块301、规则接收模块304的功能的指令。
图16所示的计算设备集群之间的连接方式可以是考虑到本申请提供的基于云计算技术的虚拟实例创建方法需要对创建和配置虚拟实例、网络接口进行大量计算,同时还需要根据多租户的同时配置进行计算。且需要通过网络连接,执行这些功能相对独立,为了使存储、计算性能能够达到最佳,因此考虑将请求接收模块301、规则接收模块304实现的大流量数据传输功能交由计算设备300D执行。
应理解,图16中示出的计算设备300C的功能也可以由多个计算设备300完成。同样,计算设备300D的功能也可以由多个计算设备300完成。
在一些可能的实现方式中,该计算设备集群中的一个或多个计算设备300的存储器306中也可以分别存有用于执行基于云计算技术的虚拟实例创建方法的部分指令。换言之,一个或多个计算设备300的组合可以共同执行用于执行基于云计算技术的虚拟实例创建方法的指令。
本申请实施例还提供了一种包含指令的计算机程序产品。所述计算机程序产品可以是包含指令的,能够运行在计算设备上或被储存在任何可用介质中的软件或程序产品。当所述计算机程序产品在至少一个计算机设备上运行时,使得至少一个计算机设备执行上述应用于云管理平台用于执行基于云计算技术的虚拟实例创建方法。
本申请实施例还提供了一种计算机可读存储介质。所述计算机可读存储介质可以是计算设备能够存储的任何可用介质或者是包含一个或多个可用介质的数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘)等。该计算机可读存储介质包括指令,所述指令指示计算设备执行上述应用于云管理平台用于执行基于云计算技术的虚拟实例创建方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的保护范围。
所属领域的技术人员可以清楚地了解到,上述描述的系统、装置或单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (20)
1.一种基于云计算技术的虚拟实例创建方法,其特征在于,所述方法应用于云管理平台,所述云管理平台用于管理基础设施,所述基础设施包括分布部署的多个云数据中心,每个云数据中心设置有多个计算节点,所述方法包括:
接收第一租户输入的第一虚拟实例创建请求,所述第一虚拟实例创建请求包括待创建的第一虚拟实例的规格信息以及所属的第一云原生应用的信息;
选择在第一云数据中心中的可提供与所述规格信息匹配的规格的第一计算节点上创建第一虚拟实例,所述第一虚拟实例用于运行所述第一云原生应用或所述第一云原生应用中的一个或多个微服务,并且所述多个云数据中心包括所述第一云数据中心;
根据所述第一云原生应用的信息配置所述第一计算节点的第一虚拟实例管理器使用所述第一云原生应用的标识标记所述第一虚拟实例发出的业务报文。
2.根据权利要求1所述的方法,其特征在于,所述第一虚拟实例创建请求还包括第一站点信息,所述方法还包括:
在所述多个云数据中心选择与所述第一站点信息匹配的所述第一云数据中心。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
接收所述第一租户输入的第一安全规则,其中所述第一安全规则用于指示所述第一云原生应用被访问的权限;
配置所述第一计算节点的所述第一虚拟实例管理器记录所述第一安全规则;
其中,所述第一虚拟实例管理器根据所述第一安全规则允许或禁止将运行其他云原生应用或运行其他云原生应用中的一个或多个微服务的虚拟实例发送至所述第一虚拟实例的业务报文发送至所述第一虚拟实例。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述基础设施中的第二计算节点部署有第二虚拟实例,所述第二虚拟实例用于运行第二云原生应用或第二云原生应用中的一个或多个微服务,所述第二计算节点设置在所述多个云数据中心中的一个云数据中心中,所述方法还包括:
接收所述第一租户输入的第二安全规则,其中所述第二安全规则用于指示所述第一云原生应用访问所述第二云原生应用的权限;
配置所述第二计算节点的第二虚拟实例管理器记录所述第一云原生应用的标识以及所述第二安全规则;
其中,第一虚拟实例发出的业务报文的目的地址为所述第二虚拟实例,所述第二虚拟实例管理器在确认所述第一虚拟实例发出的业务报文标记有的所述第一云原生应用的标识与自身记录的所述标识一致的情况下,根据所述第二安全规则允许或禁止将所述第一业务报文发送至所述第二虚拟实例。
5.根据权利要求4所述的方法,其特征在于,所述接收所述第一租户输入的针对所述第一云原生应用的安全规则之前,所述方法还包括:
接收所述第一租户或第二租户输入的第二虚拟实例创建请求,所述第二虚拟实例创建请求包括待创建的第二虚拟实例的规格信息以及所属的所述第二云原生应用的信息;
选择在第二云数据中心中的可提供与所述规格信息匹配的规格的第二计算节点上创建所述第二虚拟实例;
根据所述第二云原生应用的信息配置所述第二计算节点的第二虚拟实例管理器使用所述第二云原生应用的标识标记所述第二虚拟实例发出的业务报文。
6.根据权利要求4或5所述的方法,其特征在于,所述方法还包括:
为所述第一云原生应用设置第一网络接口,将运行所述第一云原生应用中的微服务的至少一个虚拟实例绑定到所述第一网络接口,其中所述运行所述第一云原生应用中的微服务的至少一个虚拟实例包括所述第一虚拟实例,所述第一网络接口设置在所述第一站点信息指示的所述第一云数据中心中;
为所述第二云原生应用设置第二网络接口,将运行所述第二云原生应用中的微服务的至少一个虚拟实例绑定到所述第二网络接口,其中所述运行所述第二云原生应用中的微服务的至少一个虚拟实例包括所述第二虚拟实例,所述第二网络接口设置在所述第二站点信息指示的所述第二云数据中心中;
其中,所述第一网络接口和所述第二网络接口通过设置在所述基础设施中的云原生网络中相互连接。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述根据所述第一云原生应用的信息配置所述第一计算节点的第一虚拟实例管理器使用所述第一云原生应用的标识标记所述第一虚拟实例发出的业务报文,包括:
配置所述第一虚拟实例管理器将所述业务报文封装到叠加报文的内层报文中,并将所述第一云原生应用的标识设置在所述叠加报文的外层报文中。
8.根据权利要求1至7任一项所述的方法,其特征在于,所述第一虚拟实例包括虚拟机或容器。
9.一种云管理平台,其特征在于,所述云管理平台用于管理基础设施,所述基础设施包括分布部署的多个云数据中心,每个云数据中心设置有多个计算节点,所述云管理平台包括:
请求接收模块,所述请求接收模块用于接收第一租户输入的第一虚拟实例创建请求,所述第一虚拟实例创建请求包括待创建的第一虚拟实例的规格信息以及所属的第一云原生应用的信息;
实例创建模块,所述实例创建模块用于选择在第一云数据中心中的可提供与所述规格信息匹配的规格的第一计算节点上创建第一虚拟实例,所述第一虚拟实例用于运行所述第一云原生应用或所述第一云原生应用中的一个或多个微服务,并且所述多个云数据中心包括所述第一云数据中心;
配置模块,所述配置模块用于根据所述第一云原生应用的信息配置所述第一计算节点的第一虚拟实例管理器使用所述第一云原生应用的标识标记所述第一虚拟实例发出的业务报文。
10.根据权利要求9所述的云管理平台,其特征在于,所述第一虚拟实例创建请求还包括第一站点信息,则:
所述实例创建模块还用于在所述多个云数据中心选择与所述第一站点信息匹配的所述第一云数据中心。
11.根据权利要求10所述的云管理平台,其特征在于,所述云管理平台还包括规则接收模块,则:
所述规则接收模块用于接收所述第一租户输入的第一安全规则,其中所述第一安全规则用于指示所述第一云原生应用被访问的权限;
所述配置模块还用于配置所述第一计算节点的所述第一虚拟实例管理器记录所述第一安全规则;
其中,所述第一虚拟实例管理器根据所述第一安全规则允许或禁止将运行其他云原生应用或运行其他云原生应用中的一个或多个微服务的虚拟实例发送至所述第一虚拟实例的业务报文发送至所述第一虚拟实例。
12.根据权利要求9至11任一项所述的云管理平台,其特征在于,所述基础设施中的第二计算节点部署有第二虚拟实例,所述第二虚拟实例用于运行第二云原生应用或第二云原生应用中的一个或多个微服务,所述第二计算节点设置在所述多个云数据中心中的一个云数据中心中,则:
所述规则接收模块还用于接收所述第一租户输入的第二安全规则,其中所述第二安全规则用于指示所述第一云原生应用访问所述第二云原生应用的权限;
所述配置模块还用于配置所述第二计算节点的第二虚拟实例管理器记录所述第一云原生应用的标识以及所述第二安全规则;
其中,第一虚拟实例发出的业务报文的目的地址为所述第二虚拟实例,所述第二虚拟实例管理器在确认所述第一虚拟实例发出的业务报文标记有的所述第一云原生应用的标识与自身记录的所述标识一致的情况下,根据所述第二安全规则允许或禁止将所述第一业务报文发送至所述第二虚拟实例。
13.根据权利要求12所述的云管理平台,其特征在于,所述接收所述第一租户输入的针对所述第一云原生应用的安全规则之前,则:
所述请求接收模块还用于接收所述第一租户或第二租户输入的第二虚拟实例创建请求,所述第二虚拟实例创建请求包括待创建的第二虚拟实例的规格信息以及所属的所述第二云原生应用的信息;
所述实例创建模块还用于选择在第二云数据中心中的可提供与所述规格信息匹配的规格的第二计算节点上创建所述第二虚拟实例;
所述配置模块还用于根据所述第二云原生应用的信息配置所述第二计算节点的第二虚拟实例管理器使用所述第二云原生应用的标识标记所述第二虚拟实例发出的业务报文。
14.根据权利要求12或13所述的云管理平台,其特征在于,所述云管理平台还包括接口设置模块,则:
所述接口设置模块用于为所述第一云原生应用设置第一网络接口,将运行所述第一云原生应用中的微服务的至少一个虚拟实例绑定到所述第一网络接口,其中所述运行所述第一云原生应用中的微服务的至少一个虚拟实例包括所述第一虚拟实例,所述第一网络接口设置在所述第一站点信息指示的所述第一云数据中心中;
所述接口设置模块还用于为所述第二云原生应用设置第二网络接口,将运行所述第二云原生应用中的微服务的至少一个虚拟实例绑定到所述第二网络接口,其中所述运行所述第二云原生应用中的微服务的至少一个虚拟实例包括所述第二虚拟实例,所述第二网络接口设置在所述第二站点信息指示的所述第二云数据中心中;
其中,所述第一网络接口和所述第二网络接口通过设置在所述基础设施中的云原生网络中相互连接。
15.根据权利要求9至14任一项所述的云管理平台,其特征在于,所述根据所述第一云原生应用的信息配置所述第一计算节点的第一虚拟实例管理器使用所述第一云原生应用的标识标记所述第一虚拟实例发出的业务报文,则:
所述配置模块具体用于配置所述第一虚拟实例管理器将所述业务报文封装到叠加报文的内层报文中,并将所述第一云原生应用的标识设置在所述叠加报文的外层报文中。
16.根据权利要求9至15任一项所述的云管理平台,其特征在于,所述第一虚拟实例包括虚拟机或容器。
17.一种面向云原生应用的云网络系统,其特征在于,包括:
云原生网络,用于连接多个网络接口,其中每个网络接口与一个虚拟实例绑定;
第一虚拟实例,用于与所述多个网络接口中的第一网络接口绑定,且所述第一虚拟实例于运行所述第一云原生应用或所述第一云原生应用中的一个或多个微服务;
第二虚拟实例,用于与所述多个网络接口中的第二网络接口绑定,且所述第二虚拟实例于运行第二云原生应用或所述第二云原生应用中的一个或多个微服务;
云管理平台,用于接收租户输入的安全规则,所述安全规则用于指示所述第一云原生应用访问所述第二云原生应用的权限,所述第一网络接口和/或所述第二网络接口通过所述安全规则确定是否允许所述第一虚拟实例与所述第二虚拟实例之间的访问报文通过。
18.一种计算设备集群,其特征在于,包括至少一个计算设备,每个计算设备包括处理器和存储器;
所述至少一个计算设备的处理器用于执行所述至少一个计算设备的存储器中存储的指令,以使得所述计算设备集群执行如权利要求1至8任一项所述的方法。
19.一种包含指令的计算机程序产品,其特征在于,当所述指令被计算机设备集群运行时,使得所述计算机设备集群执行如权利要求1至8任一项所述的方法。
20.一种计算机可读存储介质,其特征在于,包括计算机程序指令,当所述计算机程序指令由计算设备集群执行时,所述计算设备集群执行如权利要求1至8所述的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP23854516.4A EP4567593A4 (en) | 2022-08-18 | 2023-08-18 | VIRTUAL INSTANCE CREATION METHOD BASED ON CLOUD COMPUTING TECHNOLOGY AND CLOUD MANAGEMENT PLATFORM |
| JP2025508982A JP2025526923A (ja) | 2022-08-18 | 2023-08-18 | クラウドコンピューティング技術およびクラウド管理プラットフォームに基づく仮想インスタンス作成方法 |
| PCT/CN2023/113710 WO2024037619A1 (zh) | 2022-08-18 | 2023-08-18 | 一种基于云计算技术的虚拟实例创建方法和云管理平台 |
| US19/055,814 US20250193081A1 (en) | 2022-08-18 | 2025-02-18 | Virtual Instance Creation Method Based on Cloud Computing Technology and Cloud Management Platform |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210991442 | 2022-08-18 | ||
| CN2022109914421 | 2022-08-18 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117632353A true CN117632353A (zh) | 2024-03-01 |
Family
ID=90030943
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310376231.1A Pending CN117632353A (zh) | 2022-08-18 | 2023-04-10 | 一种基于云计算技术的虚拟实例创建方法和云管理平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117632353A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN119865524A (zh) * | 2025-01-03 | 2025-04-22 | 浪潮云信息技术股份公司 | 应用于vpc的动态云连接方法、装置、设备及介质 |
| WO2025213987A1 (zh) * | 2024-04-07 | 2025-10-16 | 华为云计算技术有限公司 | 基于云计算技术的计算节点、服务器系统 |
-
2023
- 2023-04-10 CN CN202310376231.1A patent/CN117632353A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2025213987A1 (zh) * | 2024-04-07 | 2025-10-16 | 华为云计算技术有限公司 | 基于云计算技术的计算节点、服务器系统 |
| CN119865524A (zh) * | 2025-01-03 | 2025-04-22 | 浪潮云信息技术股份公司 | 应用于vpc的动态云连接方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111885075B (zh) | 容器通信方法、装置、网络设备及存储介质 | |
| JP7701343B2 (ja) | 仮想プライベートクラウドの通信および構成方法ならびに関連する装置 | |
| US10778532B2 (en) | Overlay network movement operations | |
| US10541836B2 (en) | Virtual gateways and implicit routing in distributed overlay virtual environments | |
| US9602307B2 (en) | Tagging virtual overlay packets in a virtual networking system | |
| US9749145B2 (en) | Interoperability for distributed overlay virtual environment | |
| US8725898B1 (en) | Scalable port address translations | |
| US9641450B1 (en) | Resource placement templates for virtual networks | |
| EP4221103A1 (en) | Public cloud network configuration method, and related device | |
| CN108287723A (zh) | 一种应用交互方法、装置、物理机及系统 | |
| CN117632353A (zh) | 一种基于云计算技术的虚拟实例创建方法和云管理平台 | |
| US20250088561A1 (en) | Method for Communication Between Public Cloud-Based VPCS and Related Product | |
| CN119052233A (zh) | 基于公有云服务的云系统、报文处理方法及相关装置 | |
| CN111654559B (zh) | 一种容器数据传输方法及装置 | |
| US20250193081A1 (en) | Virtual Instance Creation Method Based on Cloud Computing Technology and Cloud Management Platform | |
| CN113596192B (zh) | 一种基于网闸组网的通信方法、装置、设备及介质 | |
| HK40121849A (zh) | 基於云计算技术的虚拟实例创建方法和云管理平台 | |
| KR102906243B1 (ko) | 가상 사설 클라우드 통신 및 구성 방법, 그리고 관련 장치 | |
| HK40090824A (zh) | 一种公有云的网络配置方法及相关设备 | |
| CN117221268A (zh) | 端口的访问方法、云服务器、控制端和远程控制系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |