CN114095188A - 虚拟专用网的处理方法、装置及电子设备 - Google Patents
虚拟专用网的处理方法、装置及电子设备 Download PDFInfo
- Publication number
- CN114095188A CN114095188A CN202010756235.9A CN202010756235A CN114095188A CN 114095188 A CN114095188 A CN 114095188A CN 202010756235 A CN202010756235 A CN 202010756235A CN 114095188 A CN114095188 A CN 114095188A
- Authority
- CN
- China
- Prior art keywords
- vpn
- service
- client
- environment
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 23
- 238000000034 method Methods 0.000 claims abstract description 31
- 238000012545 processing Methods 0.000 claims abstract description 25
- 238000004891 communication Methods 0.000 claims description 29
- 230000004044 response Effects 0.000 claims description 4
- 101000652292 Homo sapiens Serotonin N-acetyltransferase Proteins 0.000 claims 2
- 102100030547 Serotonin N-acetyltransferase Human genes 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000013507 mapping Methods 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 238000012356 Product development Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了虚拟专用网的处理方法、装置及电子设备,该方法包括:在孤岛环境中创建VPN服务;根据所述孤岛环境的网络及路由配置,对所述VPN服务的网段进行配置,以及对所述VPN服务与所述孤岛环境中的内部服务之间的数据转发规则进行配置;接收来自客户端的VPN通道连接请求,所述VPN服务向所述客户端分配虚拟IP地址,建立所述客户端与所述VPN服务之间的VPN通道,所述虚拟IP地址处于所述VPN服务对应的网段中。
Description
技术领域
本申请涉及一种虚拟专用网的处理方法、装置及电子设备,属于计算机技术领域。
背景技术
出于安全原因,一些专有云环境需要部署在孤岛环境中,与外界的办公网络或者互联网中的客户端进行隔离。而另一方面,云产品一般不是孤立存在的,或多或少都会依赖其他产品提供的服务。
现有技术中,如果用户进行基于部署在孤岛环境中的专有云环境的云产品开发时,需要在本地模拟(mock)出该云产品所依赖的服务,比如在本地搭建数据库,在本地模拟一个HTTP服务器等。这样的处理一方面比较耗时,更重要的是有些云产品无法依赖本地模拟,也就意味着这部分功能无法在开发阶段进行充分的自测,只能推迟到集成测试阶段进行。除此之外,本地模拟的服务与真实的服务环境存在一定的差异,这也容易导致有些问题在集成测试环境才能暴露,从而给云产品开发带来很多不便。
发明内容
本发明实施例提供一种虚拟专用网的处理方法、装置及电子设备,以实现客户端对孤岛环境中的服务进行调用。
为了实现上述目的,本发明实施例提供了一种虚拟专用网的处理方法,包括:
在孤岛环境中创建VPN服务;
根据所述孤岛环境的网络及路由配置,对所述VPN服务的网段进行配置,以及对所述VPN服务与所述孤岛环境中的内部服务之间的数据转发规则进行配置;
接收来自客户端的VPN通道连接请求,所述VPN服务向所述客户端分配虚拟IP地址,建立所述客户端与所述VPN服务之间的VPN通道,所述虚拟IP地址处于所述的VPN服务对应的网段中。
本发明实施例还提供了一种虚拟专用网的处理方法,包括:
获取与孤岛环境对应的VPN认证证书;
向所述VPN服务器中的VPN服务发送带有所述VPN认证证书的VPN通道连接请求;
接收所述VPN服务分配的虚拟IP地址,根据该虚拟IP地址在本地创建虚拟网卡,通过该虚拟网卡建立与VPN服务之间的VPN通道。
本发明实施例还提供了一种虚拟专用网的处理装置,包括:
VPN服务创建模块,用于在孤岛环境中创建VPN服务;
VPN服务配置模块,根据所述孤岛环境的网络及路由配置,对所述VPN服务的网段进行配置,以及对所述VPN服务与所述孤岛环境中的内部服务之间的数据转发规则进行配置;
VPN通信建立模块,用于接收来自客户端的VPN通道连接请求,并触发所述VPN服务向所述客户端分配虚拟IP地址,建立所述客户端与所述VPN服务之间的VPN通道,所述虚拟IP地址处于所述的VPN服务对应的网段中。
本发明实施例还提供了一种虚拟专用网的处理装置,包括:
环境信息获取模块,用于获取与孤岛环境对应的VPN认证证书;
VPN数据通信模块,用于向所述VPN服务器中的VPN服务发送带有所述VPN认证证书的VPN通道连接请求,接收所述VPN服务分配的虚拟IP地址,根据该虚拟IP地址在本地创建虚拟网卡,通过该虚拟网卡建立与VPN服务之间的VPN通道。
本发明实施例还提供了一种电子设备,包括:
存储器,用于存储程序;
处理器,用于运行所述存储器中存储的所述程序,以执行前述的虚拟专用网的处理方法。
本发明实施例提供的虚拟专用网的处理方法、装置及电子设备,通过在孤岛环境通过VPN服务器来动态创建面向客户端的VPN服务,进而通过VPN服务来对接客户端建立VPN通道,VPN服务实现了客户端与孤岛环境中其他内部服务之间的中介作用,使得客户端能够方便并且安全地对孤岛环境中的各种服务进行调用,从而方便在孤岛环境中对开发的云产品进行测试。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
图1为本发明实施例基于孤岛环境的VPN***架构示意图之一;
图2为本发明实施例基于孤岛环境的VPN***架构示意图之二;
图3为本发明实施例的虚拟专用网的处理方法的流程示意图之一;
图4为本发明实施例的虚拟专用网的处理方法的流程示意图之二;
图5为本发明实施例的虚拟专用网的处理装置的结构示意图之一;
图6为本发明实施例的虚拟专用网的处理装置的结构示意图之二;
图7为本发明实施例的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种建立客户端与孤岛环境之间的VPN(virtual privatenetwork,虚拟专用网)通道的处理方法,使得客户端能够方便并且安全地对孤岛环境中的各种服务进行调用,从而方便在孤岛环境中对开发的云产品进行测试。
如图1和图2所示,其为本发明实施例的基于孤岛环境的VPN***架构示意图。其中,孤岛环境是与外网隔离的一套独立环境,图中所示的孤岛环境可以为专有云环境,在该孤岛环境中设置有用于处理VPN相关事务的VPN服务器,来自外部的所有访问都会先到达该VPN服务器,需要说明的是,该VPN服务器可以为物理上独立的服务器,也可以是运行于某个物理服务器上的虚拟的服务器。图2所示的示例中,孤岛环境中存在多个服务器,其中VPN服务器作为对外的服务器,VPN服务器与其他服务器之间通过局域网连接。在本发明实施例的架构中,可以存在多个孤岛环境,每个孤岛环境中均设置有VPN服务器,而孤岛环境与客户端之间通过跳板机进行数据通信。跳板机上设置有多个网络端口,各个网络端口可以分别与各个孤岛环境相对应,跳板机接收到客户端的访问数据后,可以根据客户端要访问的目标孤岛环境,选择对应的端口访问进行数据转发,从而实现对多个孤岛环境的数据分流,跳板机上的各个端口与各个孤岛环境之间的对应关系可以通过对跳板机的Iptables(是一种基于Linux内核的IP信息包过滤***,通过控制Linux内核netfilter(网络过滤)模块,来管理网络数据包的过滤和转发)进行配置来实现。
在具体某个孤岛环境中,VPN服务器起到了将孤岛环境中的内部服务与客户端建立连接的作用,同时又将内外网络环境进行有效隔离。VPN服务器具体可以包括:VPN管理模块、VPN服务以及Iptables这三部分。其中,VPN管理模块一方面用于创建VPN服务以及对VPN服务进行各种配置,例如配置VPN服务对应的网段以及数据转发规则等,另一方,向客户端提供VPN认证证书和孤岛环境的DNS(Domain Name System,域名***)信息等用于建立VPN通道以及对孤岛环境进行访问的相关信息。VPN服务也是运行于孤岛环境中的服务之一,可以根据需要而被VPN管理模块进行动态创建和配置。VPN服务被创建后,就可以执行创建VPN通道以及接收客户端的访问请求,并基于VPN管理模块所配置的数据转发规则将来自客户端针对孤岛环境的内部服务的访问请求转发给相应的内部服务,这里所说的内部服务是指运行于孤岛环境中的VPN服务以外的其他服务,上述的数据转发规则通过对IPtables的配置来实现,VPN管理模块可以根据孤岛环境中的网络及路由配置,在IPtables中配置VPN服务的数据转发规则,可以通过SNAT(Source Network Address Translation,源网络地址转换)的配置来实现,从而实现客户端能够访问到孤岛环境内部的其他服务。需要说明的是,由于各个孤岛环境的内部环境部署可能存在很大的差别,每个孤岛环境中对于VPN服务以及IPtables的配置可以是不同的,这一点也体现了本发明实施例的在VPN通道的配置方面的灵活性。此外,为了防止用户连接上孤岛环境之后,直接通过SSH登录到机器上做一些可能破坏环境的操作,可以通过IPtables的filter(过滤器)功能,添加一些限制性配置,例如禁止VPN用户通过SSH直接登录服务。
上述的VPN服务可以采用OpenVPN服务,OpenVPN是一个用于创建VPN加密通道的技术,OpenVPN允许创建的VPN使用公开密钥、电子证书、或者用户名/密码来进行身份验证,其使用了OpenSSL(一种基于SSL/TLS协议加密工具)加密库中的SSL/TLS(传输层安全协议)/安全套接层)协议函数库。具体地,VPN服务接收到客户端的VPN通道连接请求后,可以向客户端分配虚拟IP地址,从而建立起客户端与VPN服务之间的VPN通道,该虚拟IP地址处于VPN服务对应的网段。例如,VPN服务被VPN管理模块分配了192.168.254.0/24这个网段,则VPN服务可以从这个网段中选择未被使用的虚拟IP地址进行分配,需要说明的是,在本发明实施例中,VPN服务被创建后,可以为多个客户端提供建立VPN通道的服务,VPN通道取决于其网段中的可用IP地址。客户端在接收到VPN服务分配的虚拟IP地址后,会在本地建立基于该虚拟IP地址的虚拟网卡,通过该虚拟网卡来向孤岛环境发送访问数据和接收返回数据。通过本方案连通孤岛环境后,客户端机器具有与VPN服务相同网段的虚拟IP,就如同与孤岛环境中其他服务在同一局域网,从而能够直接进行远程调试。在本发明实施例中,可以基于HTTP(HyperText Transfer Protocol,超文本传输协议)和/或UDP(User DatagramProtocol,用户数据报协议)协议来创建VPN服务,其中,在采用OpenVPN服务的情况下,可以创建基于UDP(User Datagram Protocol,用户数据报协议)协议的VPN通道,从而获得较高的传输效率。
根据本发明实施例,跳板机是作为客户端所在网络和孤岛环境之间的中间代理而存在,跳板机可以借助设置在自身的IPtables进行流量转发管理,为每个孤岛环境设置一个对应的端口,使用IPtables的SNAT和DNAT(Destination Network AddressTranslation,目标网络地址转换)功能进行地址转换,这样跳板机可以高效的中转客户端和孤岛环境中的流量。跳板机上为每一套孤岛环境分配一个端口用做流量转发。跳板机上的端口配置可以通过孤岛环境中的VPN管理模块来进行配置和修改。
在客户端一侧,可以通过安装用于连接孤岛环境的VPN应用来实现VPN通道的建立和数据传输。客户端的VPN应用可以包括环境信息获取模块和VPN数据通信模块,其中,环境信息获取模块用于与VPN管理模块进行交互,用于获取VPN认证证书以及环境数据等,VPN数据通信模块用于与孤岛环境中的VPN服务进行交互,以建立VPN通道并且基于VPN通道进行数据通信。环境信息获取模块在获取到VPN认证证书后,提供给VPN数据通信模块用于后续对VPN服务的访问,此外还会从VPN管理模块获取孤岛环境的DNS信息,并写入本地的hosts(主机表)文件中,用于后续访问的域名解析。其中,在采用OpenVPN的情况下,上述的VPN数据通信模块可以基于Tunnelblick(一种用于OpenVPN的图形用户界面,可以提供对OpenVPN连接控制处理)而创建。
本发明实施例提供的虚拟专用网的处理方法,通过在孤岛环境通过VPN服务器来动态创建面向客户端的VPN服务,进而通过VPN服务来对接客户端建立VPN通道,VPN服务实现了客户端与孤岛环境中其他内部服务之间的中介作用,使得客户端能够方便并且安全地对孤岛环境中的各种服务进行调用,从而方便在孤岛环境中对开发的云产品进行测试。此外,所有的来自孤岛环境外部的访问请求都会定向到VPN服务上,再由VPN服务向其他内部服务进行转发,从而使得VPN服务具有安全隔离和监控的功能,从而能够有效保护孤岛环境的安全性。
此外,由于在VPN服务器上设置了VPN管理模块,能够方便地向客户端提供孤岛环境的DNS数据以及内部服务的元数据等环境信息,从而便于用户对孤岛环境的内部服务的调用。并且,VPN通道的创建过程不需要用户进行手动配置,处于孤岛环境中的VPN管理模块可以根据所在孤岛环境的环境配置,来灵活配置VPN服务以及IPtables,从而降低了创建VPN通道的复杂度。此外,在跳板机上,通过在跳板机上建立各个网络端口与各个孤岛环境之间的对应关系,能够有效地对针对孤岛环境的访问数据进行分流,从而便于对多个孤岛环境的管理。下面通过一些具体实施例来进一步说明本发明的技术方案。
实施例一
如图3所示,其为本发明实施例的虚拟专用网的处理方法的流程示意图之一,该处理方法可以应用于孤岛环境的VPN服务器上,以用来建立与客户端之间的VPN通道,该方法包括:
S101:在孤岛环境中创建VPN服务。在本发明实施例中,孤岛环境设置有用于处理VPN相关事务的VPN服务器,来自外部的所有访问都会先到达该VPN服务器。VPN服务可以创建并运行在该VPN服务器上,该VPN服务也是运行于孤岛环境中的服务之一,可以根据需要而动态创建和配置。VPN服务可以采用OpenVPN服务,从而可以建立基于UDP协议的VPN通道,以获得较高的传输效率。VPN服务的创建和配置可以通过设置在VPN服务器上的VPN管理模块来完成,当有客户端需要与孤岛环境建立VPN通道时,创建该VPN服务并进行配置,而当客户端不需要VPN通道后,可以通过VPN管理模块注销掉VPN服务并释放掉相关资源。需要说明的是,在VPN服务创建处理可以是由客户端向VPN服务发起VPN通道的连接请求而触发,在创建VPN服务时,还可以生成与该VPN服务对应的VPN认证证书,用于客户端的后续访问。在启动了VPN服务后,该VPN通道连接请求会被发送至VPN服务,由VPN服务执行VPN通道的建立。在VPN服务建立后,后续再有新的客户端发起VPN通道的连接请求后,就可以直接由VPN服务进行处理了,即直接执行后续的步骤S103。
S102:根据孤岛环境的网络及路由配置,对VPN服务的网段进行配置,以及对VPN服务与孤岛环境中的内部服务之间的数据转发规则进行配置。该步骤中的配置处理可以由上述的VPN管理模块来完成。其中,为VPN服务所分配的网段资源将会用于VPN服务在建立VNP通道时,向客户端进行虚拟地址的分配,VPN服务自身的IP地址是处于该网段中,该网段为孤岛环境的内部网段。对于数据转发规则的配置可以通过对孤岛环境中的Iptables进行配置而实现,具体地,通过在孤岛环境中的Iptables中进行SNAT配置,建立VPN服务与孤岛环境中的内部服务之间的数据转发规则,从而将来自客户端的访问请求转发到其他内部服务所在的服务器上,这里需要说明的是,上述的VPN服务器可是一***立的服务器,也可以是运行在某个宿主机上的虚拟服务器或者模块,因此,其他内部服务可能与VPN服务运行在同一台服务器上,也可能运行在其他服务器上,通过Iptables中的转发规则可以将客户端的访问请求转发到对应的内部服务所在的服务器上,同理也可以从其他服务所在的服务器接收返回的数据。在使用OpenVPN服务时,会在VPN服务器上建立虚拟网卡,并通过该虚拟网卡进行与其他内部服务的数据通信,外部的访问数据都会定向到该虚拟网卡上,并通过该虚拟网卡根据Iptables配置进行数据转发处理。
S103:接收来自客户端的VPN通道连接请求,VPN服务向客户端分配虚拟IP地址,建立客户端与VPN服务之间的VPN通道,虚拟IP地址处于的VPN服务对应的网段中。如前面所介绍的,VPN服务被分配了孤岛环境中的内部网段,在建立VPN通道时,会从该网段中选取IP地址作为分配给客户端的虚拟IP地址,客户端收到该虚拟IP地址后,会在客户端本地建立虚拟网卡,并使用被分配的虚拟IP地址,由于该虚拟IP地址与VPN服务处于同一网段,通过该虚拟网卡发出的访问数据可以直接定向到VPN服务上,并且由于VPN服务对应的网段为孤岛环境的内部网段,客户端相当于与孤岛环境中其他服务器在同一局域网,因此,可以进行远程调试。
此外,上述方法还可以包括生成与VPN服务对应的VPN认证证书,以及响应于客户端的VPN认证证书下载请求,向客户端发送VPN认证证书的处理。客户端收到证书后,可以基于该VPN认证证书发起VPN通道建立请求,相应地,VPN服务所接收到的VPN通道建立请求中包含有VPN认证证书,在验证通过后,执行后续的分配虚拟IP地址的操作。另外,上述方法还可以包括向客户端发送孤岛环境的DNS信息等环境信息,以供客户端对孤岛环境的访问。这些操作可以由VPN服务器上的VPN管理模块来执行。
在本发明实施例中,孤岛环境可以通过跳板机与客户端进行数据通信,并且可以存在多个孤岛环境,跳板机上设置有多个网络端口,并通过建立各个网络端口与各个孤岛环境之间的映射关系来对访问孤岛环境的数据进行分流,相应地,上述方法还可以包括:对跳板机进行路由配置,在跳板机上为孤岛环境分配指定端口进行数据转发,从而使得从客户端访问该孤岛环境的访问数据,会通过该指定端口转发至该孤岛环境中的VPN服务器。
在建立好了VPN通道后,VPN服务可以接收来自客户端的服务调用请求,并根据上述数据转发规则,将该服务调用请求转发至对应的内部服务进行处理。在实际应用中,待测试的产品可以运行在客户端上,然后通过该VPN通道对孤岛环境中的内部服务进行调用,对孤岛环境中的内部服务的调用请求会发送至本地的虚拟网卡,然后通过VPN通道到达VPN服务,然后再由VPN服务根据IPtables上设置的数据转发规则向其他内部服务进行转发。客户端对于孤岛环境访问不会绕过VPN服务,从而通过VPN服务进行了有效的隔离,利用VPN服务器上的IPtables的设置,能够有效避免非法访问和登录操作,而对于内部其他内部服务而言,这些内部服务与VPN服务都处于同一局域网环境,从而能够方便的实现对其他内部服务的调用。
本发明实施例提供的虚拟专用网的处理方法,通过在孤岛环境通过VPN服务器来动态创建面向客户端的VPN服务,进而通过VPN服务来对接客户端建立VPN通道,VPN服务实现了客户端与孤岛环境中其他内部服务之间的中介作用,使得客户端能够方便并且安全地对孤岛环境中的各种服务进行调用,从而方便在孤岛环境中对开发的云产品进行测试。
实施例二
如图4所示,其为本发明实施例的虚拟专用网的处理方法的流程示意图之二,该处理方法可以应用于需要访问孤岛环境的客户端上,该方法包括:
S201:获取与孤岛环境对应的VPN认证证书。VPN认证证书用于客户端接入孤岛环境时进行安全验证,VPN认证证书可以从孤岛环境中的VPN服务器上进行下载,当然VPN认证证书的获取方式并不限于从孤岛环境中的VPN服务器进行下载,也可以通过其他方式提供给客户端。在本发明实施例中,在客户端上可以预先安装有用于连接孤岛环境的VPN应用,该应用用于进行VPN通道的建立和数据传输。VPN认证证书可以由VPN服务器上的VPN管理模块生成并提供给客户端。
S202:向VPN服务器中的VPN服务发送带有VPN认证证书的VPN通道连接请求。如前面所提到的,孤岛环境可以通过跳板机与客户端进行数据通信,而在跳板机上可以设置有多个网络端口,并通过建立各个网络端口与各个孤岛环境之间的映射关系来对访问孤岛环境的数据进行分流,因此,该步骤中,该VPN通道连接请求可以通过跳板机上与待访问的孤岛环境对应的端口发送至VPN服务器。
S203:接收VPN服务分配的虚拟IP地址,根据该虚拟IP地址在本地创建虚拟网卡,通过该虚拟网卡建立与VPN服务之间的VPN通道。VPN服务给客户端分配的虚拟IP地址与处于的VPN服务对应的网段中,从而使得该客户端能够与VPN服务处于同一网段,相当于与孤岛环境中其他服务器在同一局域网,因此,可以进行远程调试。
在建立了VPN通道后,就可以像孤岛环境中的服务发起调用了,因此,该方法还可以包括:
S204:通过VPN通道向孤岛环境中的VPN服务发送服务调用请求以及接收来自VPN服务的返回数据。客户端上待测试的产品可以向孤岛环境中的内部服务发起调用,调用请求会发送至客户端本地的虚拟网卡,然后通过上述建立的VPN通道,即客户端上的虚拟网卡与VPN服务器上的虚拟网卡之间的路由关系,将调用请求定向到VPN服务上,然后再由VPN服务转发至孤岛环境中的其他内部服务,从而实现对孤岛环境内部服务的调用。
实施例三
如图5所示,其为本发明实施例的虚拟专用网的处理装置的结构示意图之一,该处理装置可以设置于孤岛环境的VPN服务器上,以用来建立与客户端之间的VPN通道,该装置包括:
VPN服务创建模块11,用于在孤岛环境中创建VPN服务。VPN服务可以创建并运行在该VPN服务器上,该VPN服务也是运行于孤岛环境中的服务之一,可以根据需要而动态创建和配置。VPN服务可以采用OpenVPN服务,从而可以建立基于UDP协议的VPN通道,以获得较高的传输效率。
VPN服务配置模块12,根据孤岛环境的网络及路由配置,对VPN服务的网段进行配置,以及对VPN服务与孤岛环境中的内部服务之间的数据转发规则进行配置。其中,为VPN服务所分配的网段资源将会用于VPN服务在建立VNP通道时,向客户端进行虚拟地址的分配,VPN服务自身的IP地址是处于该网段中,该网段为孤岛环境的内部网段。对于数据转发规则的配置可以通过对孤岛环境中的Iptables进行配置而实现,具体地,通过在孤岛环境中的Iptables中进行SNAT配置,建立VPN服务与孤岛环境中的内部服务之间的数据转发规则,从而将来自客户端的访问请求转发到其他内部服务所在的服务器上。
VPN通道建立模块13,用于接收来自客户端的VPN通道连接请求,并触发VPN服务向客户端分配虚拟IP地址,建立客户端与VPN服务之间的VPN通道,虚拟IP地址处于的VPN服务对应的网段中。如前面所介绍的,VPN服务被分配了孤岛环境中的内部网段,在建立VPN通道时,会从该网段中选取IP地址作为分配给客户端的虚拟IP地址,客户端收到该虚拟IP地址后,会在客户端本地建立虚拟网卡,并使用被分配的虚拟IP地址,由于该虚拟IP地址与VPN服务处于同一网段,通过该虚拟网卡发出的访问数据可以直接定向到VPN服务上,并且由于VPN服务对应的网段为孤岛环境的内部网段,客户端相当于与孤岛环境中其他服务器在同一局域网,因此,可以进行远程调试。
另外,该装置还可以包括:VPN证书处理模块14,用于生成与VPN服务对应的VPN认证证书,以及响应于客户端的VPN认证证书下载请求,向客户端发送VPN认证证书。客户端收到证书后,可以基于该VPN认证证书发起VPN通道建立请求,相应地,VPN服务所接收到的VPN通道建立请求中包含有VPN认证证书,在验证通过后,执行后续的分配虚拟IP地址的操作。
此外,孤岛环境可以通过跳板机与客户端进行数据通信,并且可以存在多个孤岛环境,跳板机上设置有多个网络端口,并通过建立各个网络端口与各个孤岛环境之间的映射关系来对访问孤岛环境的数据进行分流,相应地,上述装置还可以包括:跳板机设置模块,用于对跳板机进行路由配置,在跳板机上为孤岛环境分配指定端口进行数据转发,从而使得从客户端访问该孤岛环境的访问数据,会通过该指定端口转发至该孤岛环境中的VPN服务器。
对于上述处理过程具体说明、技术原理详细说明以及技术效果详细分析在前面实施例中进行了详细描述,在此不再赘述。
本发明实施例提供的虚拟专用网的处理装置,通过在孤岛环境通过VPN服务器来动态创建面向客户端的VPN服务,进而通过VPN服务来对接客户端建立VPN通道,VPN服务实现了客户端与孤岛环境中其他内部服务之间的中介作用,使得客户端能够方便并且安全地对孤岛环境中的各种服务进行调用,从而方便在孤岛环境中对开发的云产品进行测试。
实施例四
如图6所示,其为本发明实施例的虚拟专用网的处理装置的结构示意图之二,该处理装置可以设置于需要访问孤岛环境的客户端上,该装置包括:
环境信息获取模块21,用于获取与孤岛环境对应的VPN认证证书。VPN认证证书用于客户端接入孤岛环境时进行安全验证,VPN认证证书可以从孤岛环境中的VPN服务器上进行下载,当然VPN认证证书的获取方式并不限于从孤岛环境中的VPN服务器进行下载,也可以通过其他方式提供给客户端。此外,该环境信息获取模块21还可以从孤岛环境的VPN服务器获取DNS信息等孤岛环境的元数据信息。
VPN数据通信模块22,用于向VPN服务器中的VPN服务发送带有VPN认证证书的VPN通道连接请求,接收VPN服务分配的虚拟IP地址,根据该虚拟IP地址在本地创建虚拟网卡,以及基于该虚拟网卡,向孤岛环境中的VPN服务发送服务调用请求以及接收来自VPN服务的返回数据。VPN服务给客户端分配的虚拟IP地址与处于的VPN服务对应的网段中,从而使得该客户端能够与VPN服务处于同一网段,相当于与孤岛环境中其他服务器在同一局域网,因此,可以进行远程调试。客户端上待测试的产品可以向孤岛环境中的内部服务发起调用,调用请求会发送至客户端本地的虚拟网卡,然后通过上述建立的VPN通道,即客户端上的虚拟网卡与VPN服务器上的虚拟网卡之间的路由关系,将调用请求定向到VPN服务上,然后再由VPN服务转发至孤岛环境中的其他内部服务,从而实现对孤岛环境内部服务的调用。
孤岛环境可以通过跳板机与客户端进行数据通信,而在跳板机上可以设置有多个网络端口,并通过建立各个网络端口与各个孤岛环境之间的映射关系来对访问孤岛环境的数据进行分流,因此,上述的VPN通道连接请求可以通过跳板机上与待访问的孤岛环境对应的端口发送至VPN服务器。
实施例五
前面实施例描述了虚拟专用网的处理方法的流程处理及装置结构,上述的方法和装置的功能可借助一种电子设备实现完成,如图7所示,其为本发明实施例的电子设备的结构示意图,具体包括:存储器110和处理器120。
存储器110,用于存储程序。
除上述程序之外,存储器110还可被配置为存储其它各种数据以支持在电子设备上的操作。这些数据的示例包括用于在电子设备上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。
存储器110可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
处理器120,耦合至存储器110,用于执行存储器110中的程序,以执行前述实施例中所描述的虚拟专用网的处理方法的操作步骤。
此外,处理器120也可以包括前述实施例所描述的各种模块以执行虚拟专用网的相关处理,并且存储器110可以例如用于存储这些模块执行操作所需要的数据和/或所输出的数据。
对于上述处理过程具体说明、技术原理详细说明以及技术效果详细分析在前面实施例中进行了详细描述,在此不再赘述。
进一步,如图所示,电子设备还可以包括:通信组件130、电源组件140、音频组件150、显示器160等其它组件。图中仅示意性给出部分组件,并不意味着电子设备只包括图中所示组件。
通信组件130被配置为便于电子设备和其他设备之间有线或无线方式的通信。电子设备可以接入基于通信标准的无线网络,如WiFi,2G、3G、4G/LTE、5G等移动通信网络,或它们的组合。在一个示例性实施例中,通信组件130经由广播信道接收来自外部广播管理***的广播信号或广播相关信息。在一个示例性实施例中,通信组件130还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
电源组件140,为电子设备的各种组件提供电力。电源组件140可以包括电源管理***,一个或多个电源,及其他与为电子设备生成、管理和分配电力相关联的组件。
音频组件150被配置为输出和/或输入音频信号。例如,音频组件150包括一个麦克风(MIC),当电子设备处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器110或经由通信组件130发送。在一些实施例中,音频组件150还包括一个扬声器,用于输出音频信号。
显示器160包括屏幕,其屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与触摸或滑动操作相关的持续时间和压力。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (16)
1.一种虚拟专用网的处理方法,包括:
在孤岛环境中创建VPN服务;
根据所述孤岛环境的网络及路由配置,对所述VPN服务的网段进行配置,以及对所述VPN服务与所述孤岛环境中的内部服务之间的数据转发规则进行配置;
接收来自客户端的VPN通道连接请求,所述VPN服务向所述客户端分配虚拟IP地址,建立所述客户端与所述VPN服务之间的VPN通道,所述虚拟IP地址处于所述的VPN服务对应的网段中。
2.根据权利要求1所述的方法,其中,还包括:生成与所述VPN服务对应的VPN认证证书,以及响应于所述客户端的VPN认证证书下载请求,向所述客户端发送所述VPN认证证书,
接收来自客户端的VPN通道建立请求包括:接收来自客户端的包含所述VPN认证证书的VPN通道建立请求。
3.根据权利要求1所述的方法,其中,所述孤岛环境通过跳板机与所述客户端进行数据通信,所述方法还包括:
对所述跳板机进行路由配置,在所述跳板机上为所述孤岛环境分配指定端口进行数据转发。
4.根据权利要求1所述的方法,其中,还包括:
接收来自所述客户端的服务调用请求,所述VPN服务根据所述数据转发规则,将该服务调用请求转发至对应的内部服务进行处理。
5.根据权利要求1所述的方法,其中,对所述VPN服务与所述孤岛环境中的内部服务之间的数据转发规则进行配置包括:
在所述孤岛环境中的Iptables中进行SNAT配置,建立VPN服务与所述孤岛环境中的内部服务之间的数据转发规则。
6.根据权利要求1所述的方法,其中,所述VPN服务为OpenVPN服务,所述建立所述客户端与所述VPN服务之间的VPN通道包括:
在所述客户端与所述VPN服务之间建立基于UDP协议的VPN通道。
7.根据权利要求1所述的方法,其中,所述在孤岛环境中创建VPN服务包括:
响应于所述客户端的VPN服务请求,在孤岛环境中创建VPN服务,并生成与所述VPN服务对应的VPN认证证书。
8.根据权利要求1所述的方法,其中,还包括:向所述客户端发送所述孤岛环境的DNS信息。
9.一种虚拟专用网的处理方法,包括:
获取与孤岛环境对应的VPN认证证书;
向所述VPN服务器中的VPN服务发送带有所述VPN认证证书的VPN通道连接请求;
接收所述VPN服务分配的虚拟IP地址,根据该虚拟IP地址在本地创建虚拟网卡,通过该虚拟网卡建立与VPN服务之间的VPN通道。
10.根据权利要求9所述的方法,其中,还包括:
通过所述VPN通道,向所述孤岛环境中的VPN服务发送服务调用请求以及接收来自所述VPN服务的返回数据。
11.一种虚拟专用网的处理装置,包括:
VPN服务创建模块,用于在孤岛环境中创建VPN服务;
VPN服务配置模块,根据所述孤岛环境的网络及路由配置,对所述VPN服务的网段进行配置,以及对所述VPN服务与所述孤岛环境中的内部服务之间的数据转发规则进行配置;
VPN通信建立模块,用于接收来自客户端的VPN通道连接请求,并触发所述VPN服务向所述客户端分配虚拟IP地址,建立所述客户端与所述VPN服务之间的VPN通道,所述虚拟IP地址处于所述的VPN服务对应的网段中。
12.根据权利要求11所述的装置,还包括:
VPN证书处理模块,用于生成与所述VPN服务对应的VPN认证证书,以及响应于所述客户端的VPN认证证书下载请求,向所述客户端发送所述VPN认证证书。
13.根据权利要求11所述的装置,其中,对所述VPN服务与所述孤岛环境中的内部服务之间的数据转发规则进行配置包括:
在所述孤岛环境中的Iptables中进行SNAT配置,建立VPN服务与所述孤岛环境中的内部服务之间的数据转发规则。
14.一种虚拟专用网的处理装置,包括:
环境信息获取模块,用于获取与孤岛环境对应的VPN认证证书;
VPN数据通信模块,用于向所述VPN服务器中的VPN服务发送带有所述VPN认证证书的VPN通道连接请求,接收所述VPN服务分配的虚拟IP地址,根据该虚拟IP地址在本地创建虚拟网卡,通过该虚拟网卡建立与VPN服务之间的VPN通道。
15.根据权利要求14所述的装置,其中,所述VPN数据通信模块还用于:通过所述VPN通道,向所述孤岛环境中的VPN服务发送服务调用请求以及接收来自所述VPN服务的返回数据。
16.一种电子设备,包括:
存储器,用于存储程序;
处理器,用于运行所述存储器中存储的所述程序,以执行权利要求1至10任一所述的虚拟专用网的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010756235.9A CN114095188A (zh) | 2020-07-31 | 2020-07-31 | 虚拟专用网的处理方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010756235.9A CN114095188A (zh) | 2020-07-31 | 2020-07-31 | 虚拟专用网的处理方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114095188A true CN114095188A (zh) | 2022-02-25 |
Family
ID=80295069
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010756235.9A Pending CN114095188A (zh) | 2020-07-31 | 2020-07-31 | 虚拟专用网的处理方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114095188A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115834529A (zh) * | 2022-11-23 | 2023-03-21 | 浪潮智慧科技有限公司 | 一种边缘设备远程监测方法及*** |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212374A (zh) * | 2006-12-29 | 2008-07-02 | 北大方正集团有限公司 | 实现校园网资源远程访问的方法和*** |
| CN103023898A (zh) * | 2012-12-03 | 2013-04-03 | 杭州迪普科技有限公司 | 一种访问vpn服务端内网资源的方法及装置 |
| CN104486346A (zh) * | 2014-12-19 | 2015-04-01 | 北京奇艺世纪科技有限公司 | 一种跳板机*** |
| US20160142374A1 (en) * | 2014-11-13 | 2016-05-19 | D. Scott CLARK | Private and secure communication systems and methods |
| CN108737540A (zh) * | 2018-05-18 | 2018-11-02 | 北京车和家信息技术有限公司 | 服务器的统一登录方法及装置 |
| CN109923838A (zh) * | 2017-05-22 | 2019-06-21 | 华为技术有限公司 | 桥接远程孤岛的弹性vpn |
| CN111049721A (zh) * | 2019-12-12 | 2020-04-21 | 广州鲁邦通物联网科技有限公司 | 一种OpenVPN集群及其构建方法、通信方法、*** |
| CN111193737A (zh) * | 2019-12-30 | 2020-05-22 | 四川虹美智能科技有限公司 | 云服务器的访问方法、***、OpenVPN服务器和LDAP认证*** |
| CN111404801A (zh) * | 2020-03-27 | 2020-07-10 | 四川虹美智能科技有限公司 | 跨云厂商的数据处理方法、装置及*** |
-
2020
- 2020-07-31 CN CN202010756235.9A patent/CN114095188A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212374A (zh) * | 2006-12-29 | 2008-07-02 | 北大方正集团有限公司 | 实现校园网资源远程访问的方法和*** |
| CN103023898A (zh) * | 2012-12-03 | 2013-04-03 | 杭州迪普科技有限公司 | 一种访问vpn服务端内网资源的方法及装置 |
| US20160142374A1 (en) * | 2014-11-13 | 2016-05-19 | D. Scott CLARK | Private and secure communication systems and methods |
| CN104486346A (zh) * | 2014-12-19 | 2015-04-01 | 北京奇艺世纪科技有限公司 | 一种跳板机*** |
| CN109923838A (zh) * | 2017-05-22 | 2019-06-21 | 华为技术有限公司 | 桥接远程孤岛的弹性vpn |
| CN108737540A (zh) * | 2018-05-18 | 2018-11-02 | 北京车和家信息技术有限公司 | 服务器的统一登录方法及装置 |
| CN111049721A (zh) * | 2019-12-12 | 2020-04-21 | 广州鲁邦通物联网科技有限公司 | 一种OpenVPN集群及其构建方法、通信方法、*** |
| CN111193737A (zh) * | 2019-12-30 | 2020-05-22 | 四川虹美智能科技有限公司 | 云服务器的访问方法、***、OpenVPN服务器和LDAP认证*** |
| CN111404801A (zh) * | 2020-03-27 | 2020-07-10 | 四川虹美智能科技有限公司 | 跨云厂商的数据处理方法、装置及*** |
Non-Patent Citations (1)
| Title |
|---|
| 刘景林: "Linux 环境下基于 LDAP 验证的高校校园网OpenVPN 应用方案设计", 上饶师范学院学报, 31 December 2014 (2014-12-31) * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115834529A (zh) * | 2022-11-23 | 2023-03-21 | 浪潮智慧科技有限公司 | 一种边缘设备远程监测方法及*** |
| CN115834529B (zh) * | 2022-11-23 | 2023-08-08 | 浪潮智慧科技有限公司 | 一种边缘设备远程监测方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11477162B2 (en) | Systems and methods for dynamic firewall policy configuration | |
| CN110830463B (zh) | 第三方授权登录方法和装置 | |
| US10686568B2 (en) | Active flow diagnostics for cloud-hosted networks | |
| CN109474687B (zh) | 一种不同私网间通信的方法、装置和*** | |
| US11546444B2 (en) | Traffic forwarding and disambiguation by using local proxies and addresses | |
| US20160241509A1 (en) | Method and System for Integrating On-Premise and Cloud Domain Name Systems | |
| US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
| CN109617932B (zh) | 用于处理数据的方法和装置 | |
| US20180048588A1 (en) | Automated instantiation of wireless virtual private networks | |
| US11762748B2 (en) | Test controller securely controlling a test platform to run test applications | |
| CN113905030B (zh) | 内外网通讯方法、装置、内网终端、代理服务器和存储介质 | |
| WO2016008379A1 (zh) | 存储阵列自动化配置方法、装置及存储*** | |
| US9503392B2 (en) | Enhance private cloud system provisioning security | |
| CN110177128B (zh) | 数据传输***及其建立vpn连接的方法、终端、vpn代理 | |
| CN112328318B (zh) | 专有云平台自动规划的方法、装置及存储介质 | |
| CN108139936A (zh) | 提供对自部署的虚拟应用中的虚拟机的串行端口的访问的方法、装置和*** | |
| US11689388B2 (en) | Virtual network function enabled secure communication systems and methods | |
| CN114124944A (zh) | 混合云的数据处理方法、装置及电子设备 | |
| CN114501593A (zh) | 网络切片接入方法、装置、***和存储介质 | |
| CN114095188A (zh) | 虚拟专用网的处理方法、装置及电子设备 | |
| CN112994909B (zh) | 管理Kubernetes集群的方法、装置、设备及存储介质 | |
| CN112667293B (zh) | 一种部署操作***的方法、装置及存储介质 | |
| CN114884771B (zh) | 基于零信任理念的身份化网络构建方法、装置和*** | |
| CN114844744B (zh) | 虚拟私有云网络配置方法和装置、电子设备及计算机可读存储介质 | |
| EP3176986A1 (en) | Method, device and system for remote desktop protocol gateway to conduct routing and switching |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |