CN111314368A - 一种利用负载均衡器实现租管互通的方法 - Google Patents
一种利用负载均衡器实现租管互通的方法 Download PDFInfo
- Publication number
- CN111314368A CN111314368A CN202010123976.3A CN202010123976A CN111314368A CN 111314368 A CN111314368 A CN 111314368A CN 202010123976 A CN202010123976 A CN 202010123976A CN 111314368 A CN111314368 A CN 111314368A
- Authority
- CN
- China
- Prior art keywords
- network
- server
- eip
- management network
- load balancer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种利用负载均衡器实现租管互通的方法,包括如下步骤:S1.创建一个负载均衡实例SLB;S2.在公网地址池中添加内网EIP网段;S3.从内网EIP网段中分配出一个内网EIP与SLB进行绑定;S4.打通管理网与核心防火墙之间的路由。本发明所述的一种利用负载均衡器实现租管互通的方法,安全度高,管理网对租户网络不可见,可做到管理网和租户网络的安全隔离以及管理网与租户网络的通信。
Description
技术领域
本发明属于云计算网络技术领域,尤其是涉及一种利用负载均衡器实现租管互通的方法。
背景技术
云计算网络中,openstack部署在管理网络,VM部署在业务网络,在实际应用中,需要管理网络和租户网络互通。现实的租户虚机中一般默认只有一个网卡,若虚机做server端,需要被公网IP访问,则必须绑定一个EIP,要想实现租户网络和管理网络互相通信,可直接将租户的虚机绑定EIP来实现,这种情况下就会出现问题,一个虚机虚拟网卡,只能绑一个EIP,既要实现虚机被外网访问,又需要和管理网络通讯,则需要添加第二块网卡。
使用两个EIP的方案存在如下缺陷:
1.租户的虚机会额外增加出一块网卡来,可以被客户看到,这样客户体验不好,此外还会浪费真公网IP,会导致大量的公网IP被使用,性价比不高。
2.如果使用一个虚机绑定两个EIP来实现被Internet网络和管理网络访问,有一个问题,租户网络的虚机可随意攻击管理网络,对于公有云或者私有云企业来说这是致命的,安全性极低,从安全角度来说是不可被采纳的。
发明内容
有鉴于此,本发明旨在克服上述现有技术中存在的缺陷,提出一种利用负载均衡器实现租管互通的方法。
为达到上述目的,本发明的技术方案是这样实现的:
一种利用负载均衡器实现租管互通的方法,包括如下步骤:
S1.创建一个负载均衡实例SLB;
S2.在公网地址池中添加内网EIP网段;
S3.从内网EIP网段中分配出一个内网EIP与SLB进行绑定;
S4.打通管理网与核心防火墙之间的路由。
进一步的,将装有Paas类产品的客户服务器所在的虚机作为一个后端服务器添加到SLB的后端服务器组中,同时***的监听端口与后端服务器对外提供服务的端口保持一致,以使服务器中的不同的服务可正常被外部访问。
进一步的,管理网主动访问VM时,流量走向如下:
管理网络到达防火墙,经过EIP的NAT映射,报文通过路由到达SLB的虚IP上,根据负载均衡算法下发到后端服务器,即客户的真实服务器上。
进一步的,后端服务器主动访问管理网络时的流量走向如下:
后端服务器直接访问DMZ区的Nginx服务器,打通管理网与Nginx服务器之间的路由,由Nginx服务器做反向代理,访问管理网。
相对于现有技术,本发明具有以下优势:
1.利用负载均衡器和Nginx反向代理技术,可有效的保护管理网,保证管理网不被随意攻击,高安全性;
2.利用内网EIP,不占用原有外网EIP的规格,对原有外网EIP无任何影响;
3.LB实例被释放后,内网EIP被回收,IP地址可重复利用,避免了资源浪费。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例所述的结构框图示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本发明中的具体含义。
下面将参考附图并结合实施例来详细说明本发明。
云计算网络中,openstack部署在管理网络,VM部署在业务网络,在实际应用中,需要管理网络和租户网络互通。Paas类产品,例如数据库在VM中提供的RDS服务,在启动VM的过程中,需要将提供的具体服务部署完成并启动,此时需要上传RPM包到RDS服务所在的VM,这个过程需要管理网络和租户网络进行通信;RDS服务所在的租户网络同时需要与openstack管理网络中的消息队列通信,定时上报服务器状态等信息,此时需要租户网络和管理网络进行通信。
现实的租户虚机中一般默认只有一个网卡,若虚机做server端,需要被公网IP访问,则必须绑定一个EIP,要想实现租户网络和管理网络互相通信,可直接将租户的虚机绑定EIP来实现,这种情况下就会出现问题,一个虚机虚拟网卡,只能绑一个EIP,既要实现虚机被外网访问,又需要和管理网络通讯,则需要添加第二块网卡。
使用两个EIP的方案的缺陷有两个:
1.租户的虚机会额外增加出一块网卡来,可以被客户看到,这样客户体验不好,此外还会浪费真公网IP,会导致大量的公网IP被使用,性价比不高。
2.如果使用一个虚机绑定两个EIP来实现被Internet网络和管理网络访问,有一个问题,租户网络的虚机可随意攻击管理网络,对于公有云或者私有云企业来说这是致命的,安全性极低,从安全角度来说是不可被采纳的。
针对上述一个虚机使用两个EIP分别实现虚机与Internet网络和管理网络互通的方案,会有很大的安全漏洞,性价比也不高。
因为Loadbalance本身是反向代理的,负载均衡实例又可以绑定预留网段的内网假EIP,可把租户的虚机作为后端服务器,加入到负载均衡实例里面,LB安全方面也可实现对管理网络的保护,即后端服务器无法直接访问到管理网络,可防止管理网络被任意攻击。
结构框图如附图1所示。
1.要实现租户网络与管理网络的通信,首先需要创建一个负载均衡实例,将装有Paas类产品的客户服务器所在的虚机作为一个后端服务器添加到SLB的后端服务器组中,同时***的监听端口与后端服务器对外提供服务的端口保持一致,以使服务器中的不同的服务可正常被外部访问。
2.在公网地址池中添加内网EIP网段,在创建完SLB以后再从内网EIP网段中分配出一个内网EIP与SLB进行绑定。
3.将管理网与核心防火墙之间的路由打通,因为内网EIP的配置会下发到核心防火墙上,这样就能保证管理网络可以访问到内网EIP。
管理网主动访问VM时,流量走向为,管理网络到达防火墙,经过EIP的NAT映射,报文通过路由会到达SLB的虚IP上,在根据负载均衡算法下发到后端服务器,即客户的真实服务器上。
后端服务器主动访问管理网络时的流量走向为,后端服务器直接访问DMZ区的Nginx服务器,打通管理网与Nginx服务器之间的路由,由Nginx服务器做反向代理,访问管理网。
该方法利用负载均衡器和Nginx反向代理技术,可有效的保护管理网,保证管理网不被随意攻击,高安全性;利用内网EIP,不占用原有外网EIP的规格,对原有外网EIP无任何影响;LB实例被释放后,内网EIP被回收,IP地址可重复利用,避免了资源浪费。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种利用负载均衡器实现租管互通的方法,其特征在于:包括如下步骤:
S1.创建一个负载均衡实例SLB;
S2.在公网地址池中添加内网EIP网段;
S3.从内网EIP网段中分配出一个内网EIP与SLB进行绑定;
S4.打通管理网与核心防火墙之间的路由。
2.根据权利要求1所述的一种利用负载均衡器实现租管互通的方法,其特征在于:将装有Paas类产品的客户服务器所在的虚机作为一个后端服务器添加到SLB的后端服务器组中,同时***的监听端口与后端服务器对外提供服务的端口保持一致,以使服务器中的不同的服务可正常被外部访问。
3.根据权利要求1所述的一种利用负载均衡器实现租管互通的方法,其特征在于:管理网主动访问VM时,流量走向如下:
管理网络到达防火墙,经过EIP的NAT映射,报文通过路由到达SLB的虚IP上,根据负载均衡算法下发到后端服务器,即客户的真实服务器上。
4.根据权利要求1所述的一种利用负载均衡器实现租管互通的方法,其特征在于:后端服务器主动访问管理网络时的流量走向如下:
后端服务器直接访问DMZ区的Nginx服务器,打通管理网与Nginx服务器之间的路由,由Nginx服务器做反向代理,访问管理网。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010123976.3A CN111314368B (zh) | 2020-02-27 | 2020-02-27 | 一种利用负载均衡器实现租管互通的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010123976.3A CN111314368B (zh) | 2020-02-27 | 2020-02-27 | 一种利用负载均衡器实现租管互通的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111314368A true CN111314368A (zh) | 2020-06-19 |
| CN111314368B CN111314368B (zh) | 2022-06-07 |
Family
ID=71148130
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010123976.3A Active CN111314368B (zh) | 2020-02-27 | 2020-02-27 | 一种利用负载均衡器实现租管互通的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111314368B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112243036A (zh) * | 2020-10-21 | 2021-01-19 | 北京首都在线科技股份有限公司 | PaaS服务的数据处理方法及装置、设备、存储介质 |
| CN112272145A (zh) * | 2020-10-26 | 2021-01-26 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置、设备及机器可读存储介质 |
| CN112968802A (zh) * | 2021-02-25 | 2021-06-15 | 紫光云技术有限公司 | 一种通用的弹性公网ip状态及关系管理的方法 |
| CN113037815A (zh) * | 2021-02-25 | 2021-06-25 | 紫光云技术有限公司 | 一种在bws停服或者eip停服场景下对eip的操作方法 |
| CN114205229A (zh) * | 2021-12-03 | 2022-03-18 | 紫光云(南京)数字技术有限公司 | 灵活控制弹性公网ip绑定弹性网卡时下发配置的判断方法 |
| CN115277628A (zh) * | 2022-05-30 | 2022-11-01 | 紫光建筑云科技(重庆)有限公司 | 一种FULL NAT local IP的实现方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103812704A (zh) * | 2014-02-25 | 2014-05-21 | 国云科技股份有限公司 | 一种面向虚拟机的公网ip动态管理方法 |
| CN206226495U (zh) * | 2016-12-09 | 2017-06-06 | 深圳竹信科技有限公司 | 一种基于云平台的业务*** |
| US10148493B1 (en) * | 2015-06-08 | 2018-12-04 | Infoblox Inc. | API gateway for network policy and configuration management with public cloud |
| CN109032760A (zh) * | 2018-08-01 | 2018-12-18 | 北京百度网讯科技有限公司 | 用于部署应用的方法和装置 |
| CN109660466A (zh) * | 2019-02-26 | 2019-04-19 | 浪潮软件集团有限公司 | 一种面向云数据中心租户的多活负载均衡实现方法 |
| CN109743415A (zh) * | 2019-02-27 | 2019-05-10 | 上海浪潮云计算服务有限公司 | 一种公有云网络弹性ip实现方法及*** |
| CN110266822A (zh) * | 2019-07-23 | 2019-09-20 | 浪潮云信息技术有限公司 | 一种基于nginx的共享式负载均衡实现方法 |
| CN110392108A (zh) * | 2019-07-23 | 2019-10-29 | 浪潮云信息技术有限公司 | 一种公有云网络负载均衡***架构及实现方法 |
| CN110737508A (zh) * | 2019-10-14 | 2020-01-31 | 浪潮云信息技术有限公司 | 一种基于浪潮云的云容器服务网络***及实现方法 |
-
2020
- 2020-02-27 CN CN202010123976.3A patent/CN111314368B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103812704A (zh) * | 2014-02-25 | 2014-05-21 | 国云科技股份有限公司 | 一种面向虚拟机的公网ip动态管理方法 |
| US10148493B1 (en) * | 2015-06-08 | 2018-12-04 | Infoblox Inc. | API gateway for network policy and configuration management with public cloud |
| CN206226495U (zh) * | 2016-12-09 | 2017-06-06 | 深圳竹信科技有限公司 | 一种基于云平台的业务*** |
| CN109032760A (zh) * | 2018-08-01 | 2018-12-18 | 北京百度网讯科技有限公司 | 用于部署应用的方法和装置 |
| CN109660466A (zh) * | 2019-02-26 | 2019-04-19 | 浪潮软件集团有限公司 | 一种面向云数据中心租户的多活负载均衡实现方法 |
| CN109743415A (zh) * | 2019-02-27 | 2019-05-10 | 上海浪潮云计算服务有限公司 | 一种公有云网络弹性ip实现方法及*** |
| CN110266822A (zh) * | 2019-07-23 | 2019-09-20 | 浪潮云信息技术有限公司 | 一种基于nginx的共享式负载均衡实现方法 |
| CN110392108A (zh) * | 2019-07-23 | 2019-10-29 | 浪潮云信息技术有限公司 | 一种公有云网络负载均衡***架构及实现方法 |
| CN110737508A (zh) * | 2019-10-14 | 2020-01-31 | 浪潮云信息技术有限公司 | 一种基于浪潮云的云容器服务网络***及实现方法 |
Non-Patent Citations (1)
| Title |
|---|
| 何军: "面向大中型企业多租户云部署模式的安全服务设计", 《网络安全技术与应用》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112243036A (zh) * | 2020-10-21 | 2021-01-19 | 北京首都在线科技股份有限公司 | PaaS服务的数据处理方法及装置、设备、存储介质 |
| CN112243036B (zh) * | 2020-10-21 | 2022-03-15 | 北京首都在线科技股份有限公司 | PaaS服务的数据处理方法及装置、设备、存储介质 |
| CN112272145A (zh) * | 2020-10-26 | 2021-01-26 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置、设备及机器可读存储介质 |
| CN112272145B (zh) * | 2020-10-26 | 2022-05-24 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置、设备及机器可读存储介质 |
| CN112968802A (zh) * | 2021-02-25 | 2021-06-15 | 紫光云技术有限公司 | 一种通用的弹性公网ip状态及关系管理的方法 |
| CN113037815A (zh) * | 2021-02-25 | 2021-06-25 | 紫光云技术有限公司 | 一种在bws停服或者eip停服场景下对eip的操作方法 |
| CN112968802B (zh) * | 2021-02-25 | 2023-04-18 | 紫光云技术有限公司 | 一种通用的弹性公网ip状态及关系管理的方法 |
| CN114205229A (zh) * | 2021-12-03 | 2022-03-18 | 紫光云(南京)数字技术有限公司 | 灵活控制弹性公网ip绑定弹性网卡时下发配置的判断方法 |
| CN114205229B (zh) * | 2021-12-03 | 2024-01-05 | 紫光云(南京)数字技术有限公司 | 弹性公网ip绑定弹性网卡时下发配置的判断方法 |
| CN115277628A (zh) * | 2022-05-30 | 2022-11-01 | 紫光建筑云科技(重庆)有限公司 | 一种FULL NAT local IP的实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111314368B (zh) | 2022-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111314368B (zh) | 一种利用负载均衡器实现租管互通的方法 | |
| CN102571749B (zh) | 使用中继服务器的数据传输***和方法 | |
| CN101495993B (zh) | 用于分布式多重处理安全网关的***和方法 | |
| US8627313B2 (en) | Virtual machine liveness determination | |
| CN101582900B (zh) | 防火墙安全策略配置方法及管理装置 | |
| EP3352431A1 (en) | Network load balance processing system, method, and apparatus | |
| US20160149748A1 (en) | Network address translation | |
| CN113098990B (zh) | 用于通信的服务器***、客户端及通信方法 | |
| CN113596159B (zh) | 基于k8s云容器平台的集群通信方法及装置 | |
| CN101350833B (zh) | 在代理服务器环境中管理远程主机可见性的方法和*** | |
| KR101472685B1 (ko) | 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템 | |
| CN112272145B (zh) | 一种报文处理方法、装置、设备及机器可读存储介质 | |
| CN112822037B (zh) | 一种安全资源池的流量编排方法及*** | |
| CN105049412A (zh) | 一种不同网络间数据安全交换方法、装置及设备 | |
| WO2023020606A1 (zh) | 一种隐藏源站的方法、***、装置、设备及存储介质 | |
| US20170141984A1 (en) | Method and system for detecting client causing network problem using client route control system | |
| Kantola | 6G network needs to support embedded trust | |
| CN111818081A (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
| US20180307474A1 (en) | Firmware update in a stacked network device | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| EP2239883B1 (en) | Method, device, system, client node, peer node and convergent point for preventing node from forging identity | |
| CN112671629B (zh) | 一种云网络下专线接入的实现方法 | |
| CN110943999B (zh) | 一种物流多仓网络互通和监控方法 | |
| Yao et al. | Performing software defined route-based IP spoofing filtering with SEFA | |
| US20130275608A1 (en) | Network-Layer Protocol Substituting IPv6 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |