本申请涉及云数据中心vpn环境下网络传输的技术领域,具体而言,涉及一种vpn环境下的多级资源动态分配方法。
背景技术:
随着计算机信息计算的高速发展,大数据时代的来临,云计算技术在军事领域得到了迅速的发展和应用。军事云对基础设施进行集中管理,通过虚拟化技术共享基础物理资源,按需可为多租户提供应用服务。由于多租户基于虚拟化技术共用相同的物理资源和网络资源,从而致使租户系统边界模糊,因此网络、安全、可信结合密码技术加固的方式来实现逻辑隔离,从而实现边界的安全隔离。在云数据中心的出入口处部署的ipsecvpn通过实现加密、安全隔离等功能来满足云数据中心网络传输的各种需求,其中面向租户和业务的多级动态网络资源分配就是需求之一。
云数据中心不同流的大小差别较大,部分流大小很小(处于100kb到1mb之间),以远程访问的业务系统为主(例如远程办公等),具有突发性的特点;而其他流大小能够达到数百mb甚至gb级别(处于100mb到1gb之间),以后台业务为主(例如虚机迁移,数据运算等),具有流量密集、持续时间较为稳定的特点。由此需要在峰值时刻合理分配网络资源,以保障某些关键突发业务的无阻塞运行。但是业务流加密之后,租户和业务的标识信息会被隐藏,导致在ipsecvpn出口处无法对租户等级和业务类别进行识别,进而使ipsecvpn无法根据租户和业务进行网络资源分配。而云数据中心租户多,业务种类多,并且变化频繁,如果不能灵活的进行动态分配,就会直接影响云数据中心的网络传输质量。
技术实现要素:
为了解决上述问题,本申请实施例提供了一种vpn环境下的多级资源动态分配方法。
第一方面,本申请实施例提供了一种vpn环境下的多级资源动态分配方法,应用于一种云数据中心的vpn网络传输控制系统,所述系统包括若干云数据中心的出入口、若干ipsecvpn和若干个云终端,每个所述云数据中心的出入口包含至少一台同时与其余所述ipsecvpn与所述云终端进行通信的所述ipsecvpn,所述方法包括:
获取租户等级和所述租户等级对应的业务类型,基于所述租户等级以及所述业务类型确定差分服务码点;
在隧道模式下对所述差分服务码点进行透明传输,确定外层差分服务码点;
基于所述外层差分服务码点对所述ipsecvpn的端口进行带宽分配和流量控制。
优选的,所述获取租户等级和所述租户等级对应的业务类型,基于所述租户等级以及所述业务类型确定差分服务码点,包括:
获取租户等级,识别所述租户等级对应的业务类型;
基于预设的对应关系确定所述租户等级和所述业务类型共同对应的差分服务码点;
基于所述差分服务码点对业务ip报文进行标记。
优选的,所述识别所述租户等级对应的业务类型,包括:
通过dpi计算方法,或通过字段匹配来识别所述租户等级对应的业务类型,所述字段匹配的字段包括物理端口、ip地址、协议类型、协议端口。
优选的,所述基于所述差分服务码点对业务ip报文进行标记,包括:
将所述差分服务码点的字段设置于业务ip报文头部tos字段的高六位。
优选的,所述在隧道模式下对所述差分服务码点进行透明传输,确定外层差分服务码点,包括:
对业务ip分组经过隧道模式加密后,将内层局域网ip分组的所述差分服务码点的字段复制到外层隧道ip头部,将复制的所述差分服务码点确定为外层差分服务码点,所述外部隧道用于进行外部公共网络传输。
优选的,所述基于所述外层差分服务码点对所述ipsecvpn的端口进行带宽分配和流量控制,包括:
根据权重配置对各所述ipsecvpn的端口进行负载分担,并确定所述外层差分服务码点对应的所述ipsecvpn的端口,不同所述ipsecvpn的端口的业务传输质量不同;
确定所述外层差分服务码点对应的业务优先级;
基于所述外层差分服务码点的业务优先级进行带宽分配和流量控制。
优选的,所述确定所述外层差分服务码点对应的业务优先级,包括:
通过所述ipsecvpn的端口的队列调度方式确认所述外层差分服务码点对应的业务优先级。
本发明的有益技术效果为:1.满足云数据中心vpn环境下网络传输的要求,通过对业务流进行多级资源分配和标识,并在vpn网络中通过标识实现云数据中心出入口ipsecvpn的带宽分配和流量控制,提高云数据中心vpn环境下网络资源利用率,提升网络传输质量。2.通过加密隧道中差分服务码点的透明传输,保证了加密后仍能够通过复制得到的外部差分服务码点确定租户和业务的情况,进而进行网络资源分配。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例中所需使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种vpn环境下的多级资源动态分配方法的流程示意图;
图2为本申请实施例提供的云数据中心vpn网络多级资源动态分配的举例示意图;
图3为本申请实施例提供的ipv4包头中dscp报文格式的举例示意图;
图4为本申请实施例提供的加密隧道dscp透明传输的举例示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
在下述介绍中,术语“第一”、“第二”仅为用于描述的目的,而不能理解为指示或暗示相对重要性。下述介绍提供了本申请的多个实施例,不同实施例之间可以替换或者合并组合,因此本申请也可认为包含所记载的相同和/或不同实施例的所有可能组合。因而,如果一个实施例包含特征a、b、c,另一个实施例包含特征b、d,那么本申请也应视为包括含有a、b、c、d的一个或多个所有其他可能的组合的实施例,尽管该实施例可能并未在以下内容中有明确的文字记载。
下面的描述提供了示例,并且不对权利要求书中阐述的范围、适用性或示例进行限制。可以在不脱离本申请内容的范围的情况下,对描述的元素的功能和布置做出改变。各个示例可以适当省略、替代或添加各种过程或组件。例如所描述的方法可以以所描述的顺序不同的顺序来执行,并且可以添加、省略或组合各种步骤。此外,可以将关于一些示例描述的特征组合到其他示例中。
参见图1,图1是本申请实施例提供的一种vpn环境下的多级资源动态分配方法的流程示意图。在本申请实施例中,所述方法应用于一种云数据中心的vpn网络传输控制系统,所述系统包括若干云数据中心的出入口、若干ipsecvpn和若干个云终端,每个所述云数据中心的出入口包含至少一台同时与其余所述ipsecvpn与所述云终端进行通信的所述ipsecvpn,所述方法包括:
s101、获取租户等级和所述租户等级对应的业务类型,基于所述租户等级以及所述业务类型确定差分服务码点。
所述租户在本申请实施例中可以理解为为了自身业务发展的需求,租借云数据中心的计算、网络和存储资源的虚拟用户。所述租户等级在本申请实施例中可以理解为每一个租户在云数据中心中对应的等级。
所述业务类型在本申请实施例中可以理解为租户在云数据中心所进行的业务的类型,具体而言,业务类型可以是协议报文、语音、视频、视频会议、短信、邮件等。
差分服务码点(differentiatedservicescodepoint,dscp)是一种qos分类标准,它在每个数据包ip头部的服务类别tos标识字节中,利用已使用的6比特和未使用的2比特,通过编码值来区分优先级。
具体的,在本申请实施例中,云数据中心网络应包括ipsecvpn、租户和终端,如图2所示,以最简单组成示意,其可以包括一个云数据中心,其中云数据中心出入口部署一个ipsecvpn,内部划分了两个租户的计算和存储资源。
在一种可实施方式中,步骤s103包括:
获取租户等级,识别所述租户等级对应的业务类型;
基于预设的对应关系确定所述租户等级和所述业务类型共同对应的差分服务码点;
基于所述差分服务码点对业务ip报文进行标记。
在本申请实施例中,每一个租户拥有一个单独且唯一的租户id,根据租户id即可确定租户等级,并识别出租户等级对应的业务类型。不同的租户等级和业务类型预先设置有不同的对应关系,故在确定了具体的租户等级和业务类型后即可确定对应的差分服务码点的具体数值。在确定了差分服务码点后,即可对业务ip报文进行标记,以便后续的识别。
在一种可实施方式中,所述识别所述租户等级对应的业务类型,包括:
通过dpi计算方法,或通过字段匹配来识别所述租户等级对应的业务类型,所述字段匹配的字段包括物理端口、ip地址、协议类型、协议端口。
所述dpi在本申请实施例中可以理解为深度包检测技术,是一种基于应用层的流量检测和控制技术,通过深入读取ip包载荷的内容来对osi七层协议中的应用层信息进行重组,从而得到整个应用程序的内容。
所述ip地址在本申请实施例中可以理解为tcp/ip协议中规定的ipv4的地址。
所述协议类型在本申请实施例中可以理解为应用层协议类型。
在本申请实施例中,不同的业务类型对应的具体字段是不同的,故根据字段匹配可以确定业务类型。例如,业务类型为协议报文、语音、视频、视频会议时,可以通过协议类型加上协议端口确定;业务类型为短信时,可以通过协议类型确定;业务类型为邮件时,可以通过ip地址和物理端口确定。
在一种可实施方式中,所述基于所述差分服务码点对业务ip报文进行标记,包括:
将所述差分服务码点的字段设置于业务ip报文头部tos字段的高六位处。
在本申请实施例中,如图3所示,采用差分服务码点值对业务ip报文进行标记,使得dscp字段位于ip报文头部tos字段的高6位。以此保证后续进行加密后仍能够通过标记来识别出租户等级和业务类型。
s102、在隧道模式下对所述差分服务码点进行透明传输,确定外层差分服务码点。
在一种可实施方式中,步骤s102包括:
对业务ip分组经过隧道模式加密后,将内层局域网ip分组的所述差分服务码点的字段复制到外层隧道ip头部,将复制的所述差分服务码点确定为外层差分服务码点,所述外部隧道用于进行外部公共网络传输。
所述隧道模式在本申请实施例中可以理解为一种ipsec的模式,能够对ip报头和有效负载进行加密。使用隧道模式时,会通过ah或esp报头与其他ip报头来封装整个ip数据包。
在本申请实施例中,如图4所示,在对业务ip的分组进行隧道模式加密后,由于已经确定了差分服务码点,将内部隧道即内层局域网ip分组的差分服务码点对应字段复制到外部隧道ip头部,即可保证在后续步骤仍能够通过复制到外部隧道ip头部的外层差分服务码点来识别租户等级等内容。
s103、基于所述外层差分服务码点对所述ipsecvpn的端口进行带宽分配和流量控制。
在一种可实施方式中,步骤s103包括:
根据权重配置对各所述ipsecvpn的端口进行负载分担,并确定所述外层差分服务码点对应的所述ipsecvpn的端口,不同所述ipsecvpn的端口的业务传输质量不同;
确定所述外层差分服务码点对应的业务优先级;
基于所述外层差分服务码点的业务优先级进行带宽分配和流量控制。
所述权重配置在本申请实施例中可以理解为按照预先设置的权重进行返回不同的解析结果,并将解析流量分配到不同的ipsecvpn端口上,从而达到负载分担的目的。
在本申请实施例中,首先将基于权重配置对各端口进行负载分担,接着确定于外层差分服务码点对应的ipsecvpn端口,由于进行权重配置,不同的端口的业务传输质量是不同的,与外层差分服务码点对应的端口需要满足该外层差分服务码点的业务传输质量要求,再确定外层差分服务码点对应的业务优先级,进而根据业务优先级再进行带宽分配和流量控制,以此来提高云数据中心vpn环境下网络资源利用率和网络传输质量,保障关键突发业务能够无阻塞运行。
在一种可实施方式中,所述确定所述外层差分服务码点对应的业务优先级,包括:
通过所述ipsecvpn的端口的队列调度方式确认所述外层差分服务码点对应的业务优先级。
在本申请实施例中,不同的业务传输质量将被分为不同的业务优先级,而不同的业务优先级在数据转发时将被采取不同的调度策略。该过程具体可以通过配置ipsecvpn端口的队列调度来实现的,故基于此便能够确定外层差分服务码点对应的业务优先级。
以上所述者,仅为本公开的示例性实施例,不能以此限定本公开的范围。即但凡依本公开教导所作的等效变化与修饰,皆仍属本公开涵盖的范围内。本领域技术人员在考虑说明书及实践这里的公开后,将容易想到本公开的其实施方案。本发明旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未记载的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的范围和精神由权利要求限定。
1.一种vpn环境下的多级资源动态分配方法,其特征在于,应用于一种云数据中心的vpn网络传输控制系统,所述系统包括若干云数据中心的出入口、若干ipsecvpn和若干个云终端,每个所述云数据中心的出入口包含至少一台同时与其余所述ipsecvpn与所述云终端进行通信的所述ipsecvpn,所述方法包括:
获取租户等级和所述租户等级对应的业务类型,基于所述租户等级以及所述业务类型确定差分服务码点;
在隧道模式下对所述差分服务码点进行透明传输,确定外层差分服务码点;
基于所述外层差分服务码点对所述ipsecvpn的端口进行带宽分配和流量控制。
2.根据权利要求1所述的方法,其特征在于,所述获取租户等级和所述租户等级对应的业务类型,基于所述租户等级以及所述业务类型确定差分服务码点,包括:
获取租户等级,识别所述租户等级对应的业务类型;
基于预设的对应关系确定所述租户等级和所述业务类型共同对应的差分服务码点;
基于所述差分服务码点对业务ip报文进行标记。
3.根据权利要求2所述的方法,其特征在于,所述识别所述租户等级对应的业务类型,包括:
通过dpi计算方法,或通过字段匹配来识别所述租户等级对应的业务类型,所述字段匹配的字段包括物理端口、ip地址、协议类型、协议端口。
4.根据权利要求2所述的方法,其特征在于,所述基于所述差分服务码点对业务ip报文进行标记,包括:
将所述差分服务码点的字段设置于业务ip报文头部tos字段的高六位处。
5.根据权利要求4所述的方法,其特征在于,所述在隧道模式下对所述差分服务码点进行透明传输,确定外层差分服务码点,包括:
对业务ip分组经过隧道模式加密后,将内层局域网ip分组的所述差分服务码点的字段复制到外层隧道ip头部,将复制的所述差分服务码点确定为外层差分服务码点,所述外部隧道用于进行外部公共网络传输。
6.根据权利要求1所述的方法,其特征在于,所述基于所述外层差分服务码点对所述ipsecvpn的端口进行带宽分配和流量控制,包括:
根据权重配置对各所述ipsecvpn的端口进行负载分担,并确定所述外层差分服务码点对应的所述ipsecvpn的端口,不同所述ipsecvpn的端口的业务传输质量不同;
确定所述外层差分服务码点对应的业务优先级;
基于所述外层差分服务码点的业务优先级进行带宽分配和流量控制。
7.根据权利要求6所述的方法,其特征在于,所述确定所述外层差分服务码点对应的业务优先级,包括:
通过所述ipsecvpn的端口的队列调度方式确认所述外层差分服务码点对应的业务优先级。
技术总结