[发明专利]一种用于实现云计算网络中支持多VPC隔离的方法

说明书

本发明创造提供了一种用于实现云计算网络中支持多VPC隔离的方法，包括虚机出外网方法以及虚机之间互访方法。本发明创造所述的一种用于实现云计算网络中支持多VPC隔离的方法根据实际数据中心租户VPC的数量，通过动态扩充Border和FW组，实现支持多VPC的租户隔离技术，并极大的增加了支持的VPC的数量。同时，东西向流量在Leaf上不需要固定VLAN Tag，只需要在本Leaf下通过不同的VLAN隔离VPC并记录VLAN和VXLAN之间的对应关系即可，同一个VPC关联同一个三层VNI ID。

技术领域

本发明创造属于云计算网络领域，尤其是涉及一种用于实现云计算网络中支持多VPC隔离的方法。

背景技术

目前通用组网中数据中心仅存在一组防火墙设备，因此在FW上根据报文的VLANTag区分报文所在的VPN实例，受限于防火墙上支持的VPN实例数量，只能区分4K VLAN个VPN实例，并且在Leaf设备上是VLAN和VXLAN的一一映射关系，导致在当前的组网下整个数据中心只支持4K个VPN实例，即支持4K个VPC，此数量远远不能满足大规模云计算数据中心的需求。

所有租户的所有出外网流量及SNAT、EIP和网络ACL等功能均在一个防火墙上实现，导致设备配置过多，设备故障概率增加，一旦数据中心防火墙异常，会导致整个数据中心内的虚机不能访问外网。其中一个租户主动出访不同目的地址的流量足够大时，在防火墙上形成大量的会话，也会导致其他租户的流量不正常。

发明创造内容

有鉴于此，本发明创造旨在提出一种用于实现云计算网络中支持多VPC隔离的方法，提出一种数据中心新的组网和实现方法，使数据中心能够支持的租户VPC隔离的数量增加，能够支持VXLAN数量(4K*4K)的VPC，而不是VLAN数量(4K)的VPC。减少每台防火墙设备的配置，降低防火墙故障概率，提高数据中心可维护性。

为达到上述目的，本发明创造的技术方案是这样实现的：

一种用于实现云计算网络中支持多VPC隔离的方法，包括虚机出外网方法以及虚机之间互访方法，所述虚机出外网方法包括以下步骤：

A1、虚机发出的报文在服务器上加VLAN Tag；

A2、报文到达Leaf之后，在Leaf上查找VLAN和VXLAN的映射关系，摘掉报文VLANTag，增加VXLAN Tag；

A3、报文通过Spine，到达指定的Border之后，去掉VXLAN Tag，并增加VLAN Tag到FW；

A4、FW收到报文之后，根据报文的VLAN Tag区分是哪个VPN的报文，然后根据NAT转换规则做NAT转换，最终回到Border通过汇聚交换机将报文发送到外网；

所述虚机之间互访方法包括以下步骤：

B1、将虚机B的IP的报文在服务器上加VLAN Tag；

B2、报文到达Leaf A之后，在Leaf A上查找VLAN和VXLAN的映射关系，摘掉报文VLAN Tag，增加VXLAN Tag；

B3、报文通过Spine，到达目的虚机B所在的Leaf B之后，去掉VXLAN Tag，并增加VLAN Tag(此时的VLAN Tag和LeafA上相同VXLAN对应的VLAN Tag可以相同也可以不同)到服务器；

B4、服务器收到报文之后，根据报文的VLAN Tag区分是哪个VPC的报文，然后根据目的IP将报文送到指定的虚机。

进一步的，在步骤B1中，虚机B的IP的报文在服务器上加VLAN Tag即为虚机A发出目的IP。

进一步的，在步骤B3中，VLAN Tag和Leaf A上相同VXLAN对应的VLAN Tag可以相同也可以不同。