WO2023231982A1 - 一种基于公有云的vpc之间的通信方法及相关产品 - Google Patents

Abstract

本申请实施例提供了一种基于公有云的VPC之间的通信方法及相关产品，该方法包括以下步骤：云管理平台确定租户输入或选择的第一配置信息，根据第一配置信息创建全局VPC；云管理平台确定租户输入或选择的第二配置信息，根据第二配置信息通过上述全局VPC给位于第一区域的第一VPC分配第一网络前缀，通过上述全局VPC给位于第二区域的第二VPC分配第二网络前缀，其中，上述全局VPC用于根据第一网络前缀和第二网络前缀实现第一VPC和第二VPC之间的跨区域通信。

Description

一种基于公有云的VPC之间的通信方法及相关产品

本申请要求于2022年5月30日提交中国专利局、申请号为202210601054.8、申请名称为“一种基于公有云的VPC之间的通信方法及相关产品”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及云计算技术领域，尤其涉及一种基于公有云的虚拟私有云(virtual private cloud,VPC)之间的通信方法及相关产品。

背景技术

VPC是租户创建的虚拟网络环境，支持租户自主配置和管理，同时具有安全可靠等诸多优势，因而受到了广泛地使用。在实际应用中，不同VPC之间存在通信的诉求，但由于私有地址规划等原因，需要通信的VPC之间可能存在私有地址重叠的情况，这会造成上述VPC之间不能进行通信。

目前，主要采用以下两种方法来实现具有相同私有地址的VPC间的通信：①在上述VPC之间创建VPC对等连接(VPC peering)。②使用中转网关(transitgateway)来连接上述不同的VPC。上述两种方法都需要租户来管理VPC的私有地址，而且，VPC中的资源不能互相迁移，VPC之间的通信也没有带宽保障。

因此，如何实现VPC之间的通信仍然是当前云计算技术领域中急需解决的问题。

发明内容

本申请实施例提供了一种基于公有云的VPC之间的通信方法及相关产品，能够实现不同VPC之间的通信，在此基础上，还能够保证不同VPC通信时的带宽，不同VPC中的资源还能够按需相互迁移，除此之外，还能够实现VPC的网络地址和路由的统一管理，减少人工的工作量。

第一方面，本申请实施例提供了一种基于公有云的VPC之间的通信方法，该方法包括以下步骤：云管理平台确定租户输入或选择的第一配置信息，根据第一配置信息创建全局VPC；云管理平台确定租户输入或选择的第二配置信息，根据第二配置信息通过上述全局VPC给位于第一区域的第一VPC分配第一网络前缀，通过上述全局VPC给位于第二区域的第二VPC分配第二网络前缀，其中，上述全局VPC用于根据第一网络前缀和第二网络前缀实现第一VPC和第二VPC之间的跨区域通信。可以看出，通过实施上述方法，第一VPC和第二VPC具有不同的网络前缀，从而可以实现第一VPC和第二VPC之间的通信。

在第一方面的一种可能的实现方式中，第一网络前缀中的区域标识与第二网络前缀中的区域标识不同。其中，第一网络前缀中的区域标识用于标识第一VPC，第二网络前缀中的区域标识用于标识第二VPC。如此，第一网络前缀和第二网络前缀不同，使得第一VPC和第二VPC之间的通信成为可能。

在第一方面的一种可能的实现方式中，上述方法还包括：云管理平台给全局VPC分配网络前缀，其中，第一网络前缀和所第二网络前缀还包括全局VPC的网络前缀。

在第一方面的一种可能的实现方式中，上述方法还包括：云管理平台建立第一VPC和全局VPC之间的网络连接，以及第二VPC和全局VPC之间的网络连接。应理解，通过建立第一VPC和全局VPC之间的网络连接，可以使得第一VPC和全局VPC通信，同样的，通过建立第二网络前缀和全局VPC之间的网络连接，可以使得第二VPC和全局VPC可以通信。如此，第一VPC和第二VPC便可以通过全局VPC实现通信。

在第一方面的一种可能的实现方式中，全局VPC存储有第一网络前缀、第二网络前缀以及第一网络前缀和第二网络前缀之间的路由关系。如此，利用全局VPC可以实现第一VPC和第二VPC的网络地址、以及二者之间的路由的自动管理。

在第一方面的一种可能的实现方式中，第一VPC不支持与第三VPC通信。如此，第一VPC与第三VPC之间是相互隔离的，提高部署在第一VPC和第三VPC中的业务的安全性。

在第一方面的一种可能的实现方式中，上述方法还包括：云管理平台设置第一VPC的访问控制列表(access control lists,ACL)，其中，该ACL包括用于阻断第一VPC与第三VPC之间通信的表项。如此，可以第一VPC便无法接收到来自第三VPC的数据流，也无法将数据流发送至第三VPC，从而实现第一VPC与第三VPC之间的隔离。

在第一方面的一种可能的实现方式中，第一VPC包括第一子网，上述方法还包括：云管理平台通过全局VPC给第一子网分配网络前缀，其中，第一子网的网络前缀包括第一网络前缀和子网标识。如此，可以实现由全局VPC管理第一VPC中子网的网络地址。

在第一方面的一种可能的实现方式中，第一子网包括虚拟机(virtualmachine,VM)，上述方法还包括：云管理平台通过全局VPC或第一VPC给VM分配网络前缀，其中，VM的网络前缀中的区域标识用于表示VM支持迁移至全局VPC管辖下的、可与第一VPC通信的VPC。全局VPC管辖下的、可与第一VPC通信的VPC是指：由全局VPC分配网络前缀的、可通过全局VPC与第一VPC通信的VPC。

在第一方面的一种可能的实现方式中，上述VM的网络前缀中的区域标识不同于全局VPC管辖下的任一个VPC的网络前缀中的区域标识。

在第一方面的一种可能的实现方式中，全局VPC管辖下的、可与第一VPC通信的VPC包括第二VPC，上述方法还包括：云管理平台将上述VM从第一VPC迁移至第二VPC，其中，迁移后的VM位于第二VPC的第二子网中，第二子网的网络前缀中的子网标识与第一子网的网络前缀中的子网标识相同。

在第一方面的一种可能的实现方式中，迁移后的VM的网络前缀与迁移前的VM的网络前缀相同。

通过上述实现方式，第一VPC中的VM可以跨区域迁移至其他的VPC，提高了业务部署的灵活性。

在第一方面的一种可能的实现方式中，上述方法还包括：云管理平台给全局VPC分配带宽，其中，经过全局VPC的数据流满足上述带宽的要求。

在第一方面的一种可能的实现方式中，上述方法还包括：云管理平台根据全局VPC的标识给经过全局VPC的数据流打上相应的流标签，然后根据流标签获得上述带宽的要求，之后再根据上述带宽的要求指示上述数据流的转发。

应理解，第一VPC和第二VCP之间的通信需要经过全局VPC，因此，当经过全局VPC的数据流可以满足上述带宽的要求时，第一VPC和第二VPC之间的通信也可以满足上述带宽的要求，从而提高了第一VPC和第二VPC之间通信时的质量。

在第一方面的一种可能的实现方式中，全局VPC的网络前缀是云管理平台申请到的IPv6 前缀，或者是云管理平台生成的IPv6前缀，又或者是租户申请到的IPv6前缀。

第二方面，本申请实施例提供了一种云管理平台，该云管理平台包括确定模块和控制模块。其中，确定模块用于确定租户输入或选择的第一配置信息和第二配置信息；控制模块用于根据第一配置信息创建全局VPC，以及根据第二配置信息通过全局VPC给位于第一区域的第一VPC分配第一网络前缀，给位于第二区域的第二VPC分配第二网络前缀，其中，全局VPC用于根据第一网络前缀和第二网络前缀实现第一VPC和第二VPC之间的跨区域通信。

在第二方面的一种可能的实现方式中，第一网络前缀中的区域标识与第二网络前缀中的区域标识不同。其中，第一网络前缀中的区域标识用于标识第一VPC，第二网络前缀中的区域标识用于标识第二VPC。

在第二方面的一种可能的实现方式中，上述控制模块还用于给全局VPC分配网络前缀，其中，第一网络前缀和第二网络前缀还包括全局VPC的网络前缀。

在第二方面的一种可能的实现方式中，上述装置还包括网络配置模块，该模块用于建立第一VPC和全局VPC之间的网络连接，以及第二VPC和全局VPC之间的网络连接。

在第二方面的一种可能的实现方式中，上述全局VPC存储有第一网络前缀、第二网络前缀以及第一网络前缀和第二网络前缀之间的路由关系。

在第二方面的一种可能的实现方式中，第一VPC不支持与第三VPC通信。

在第二方面的一种可能的实现方式中，上述网络配置模块还用于设置第一VPC的ACL，其中，该ACL包括用于阻断第一VPC与第三VPC之间通信的表项。

在第二方面的一种可能的实现方式中，第一VPC包括第一子网，上述控制模块还用于通过全局VPC给第一子网分配网络前缀，其中，第一子网的网络前缀包括第一网络前缀和子网标识。

在第二方面的一种可能的实现方式中，第一子网包括VM，上述控制模块还用于通过全局VPC或第一VPC给上述VM分配网络前缀，其中，上述VM的网络前缀中的区域标识用于表示该VM支持迁移至全局VPC管辖下的、可与第一VPC通信的VPC。全局VPC管辖下的、可与第一VPC通信的VPC是指：由全局VPC分配网络前缀的、可通过全局VPC与第一VPC通信的VPC。

在第二方面的一种可能的实现方式中，上述VM的网络前缀中的区域标识不同于全局VPC管辖下的任一个VPC的网络前缀中的区域标识。

在第二方面的一种可能的实现方式中，全局VPC管辖下的、可与第一VPC通信的VPC包括第二VPC，上述控制模块还用于将上述VM从第一VPC迁移至第二VPC，其中，迁移后的VM位于第二VPC的第二子网中，第二子网的网络前缀中的子网标识与第一子网的网络前缀中的子网标识相同。

在第二方面的一种可能的实现方式中，迁移后的VM的网络前缀与迁移前的VM的网络前缀相同。

在第二方面的一种可能的实现方式中，上述控制模块还用于给全局VPC分配带宽，其中，经过全局VPC的数据流满足上述带宽的要求。

在第二方面的一种可能的实现方式中，上述控制模块还用于根据全局VPC的标识给经过全局VPC的数据流打上相应的流标签，根据该流标签获得上述带宽的要求，以及根据上述带宽的要求指示上述数据流的转发。

在第二方面的一种可能的实现方式中，全局VPC的网络前缀是云管理平台申请到的IPv6前缀，或者是云管理平台生成的IPv6前缀，又或者是租户申请到的IPv6前缀。

第三方面，本申请实施例提供了一种通信***，该***包括前述第一方面及第一方面的任一种实现方式所描述的云管理平台，还包括全局VPC、位于第一区域的第一VPC以及位于第二区域的第二VPC。

第四方面，本申请实施例提供了一种计算设备，该计算设备包括处理器和存储器，处理器执行存储器中的计算机程序代码以实现前述第一方面及第一方面的任一种实现方式所描述部分或全部方法。

第五方面，本申请实施例提供了一种计算机可读存储介质，该计算机存储介质存储有计算机程序代码，当所述计算机程序代码被计算设备执行时，该计算设备执行前述第一方面及第一方面的任一种实现方式所描述部分或全部方法。

附图说明

图1是本申请实施例提供的一种通信***的结构示意图；

图2是本申请实施例提供的一种云管理平台的部署方式示意图；

图3是本申请实施例提供的一种云管理平台的应用场景示意图；

图4是本申请实施例提供的另一种云管理平台的应用场景示意图；

图5是本申请实施例提供的一种可与云管理平台通信的客户端的部署方式示意图；

图6是本申请实施例提供的一种基于公有云的VPC之间的通信方法的流程示意图；

图7是本申请实施例提供的一种全局VPC的创建界面的示意图；

图8是本申请实施例提供的另一种全局VPC的创建界面的示意图；

图9是本申请实施例提供的一种第一VPC的创建界面的示意图；

图10是本申请实施例提供的一种资源创建界面的示意图；

图11是本申请实施例提供的一种资源的网络前缀的格式示意图；

图12是本申请实施例提供的另一种资源的网络前缀的格式示意图；

图13是本申请实施例提供的一种VM迁移方法的流程示意图；

图14是本申请实施例提供的一种云管理平台的结构示意图；

图15是本申请实施例提供的一种计算设备的结构示意图；

图16是本申请实施例提供的一种计算设备***的示意图。

具体实施方式

为了使本申请实施例提供的方案更清晰，在具体描述本申请实施例提供的方案之前，首先介绍本申请实施例涉及到的相关术语。

VPC是公有云中由租户创建的私密的、隔离的虚拟网络环境，也就是说，不同VPC之间在逻辑上是相互隔离的。VPC支持租户自主配置和管理。例如，租户可以在VPC内创建多个子网，子网是VPC内的IP地址块，可以将VPC的网段分成若干块，子网划分可以帮助租户合理规划IP地址资源。租户还可以在子网中部署资源，包括VM、容器(container)、沙盒(sandbox)等，以为租户提供云服务。又例如，租户还可以在VPC内设置安全组和网络ACL等安全防护策略，其中，安全组能够给VPC内具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略，网络ACL通过多个与子网关联的出方向规则和入方向规则控制出入子网的数据流。又例如，租户还可以自定义路由表，以为VPC内数据流的转发提供依据。除此之外，VPC还支持资源的迁移，以VM迁移为例，VM迁移是指将VM从 一台宿主机迁移到另一台宿主机，但是要求在迁移过程中业务不能中断。要实现这一点，应保证VM迁移前后，其网际协议(internet protocol,IP)地址、媒体存取控制(media access control,MAC)地址等参数维持不变。

正因VPC具有的上述功能，越来越多的租户选择将业务所需的资源(包括计算资源、存储资源、网络资源)部署在VPC上。而且，为了提高业务的安全性和及时性，租户还可以选择将业务所需的资源分布式地部署在多个VPC上。

在实际应用中，租户创建的多个VPC之间可能存在互相通信的需求。例如，对于跨国企业来说，其分支机构和业务分布在多个地区，因此这类企业一般会在多个地区部署VPC，并希望这些VPC之间能够通信。又例如，某企业面向的服务人群位于区域A时，该企业会在区域A部署相应的VPC以为上述服务人群提供云服务，当该企业面向的服务人群从区域A迁移至区域B时，为了节省成本，企业希望能够直接将部署在区域A的VPC中的资源迁移到部署在区域B的VPC中。

针对上述问题，本申请实施例提供了一种通信***。图1示例性的展示了上述通信***的结构示意图，如图1所示，通信***100包括云管理平台110、全局VPC(global VPC)120、多个区域VPC(region VPC)130以及多个接入点140，下面简单描述通信***100中的各个部分。

云管理平台110用于确认租户输入或选择的配置信息，也用于根据上述配置信息创建全局VPC 120和多个区域VPC 130。需要说明的是，虽然全局VPC 120和区域VPC 130均是VPC，但二者的功能并不相同。其中，全局VPC 120用于给区域VPC 130以及区域VPC 130中的子网分配网络前缀，不同的区域VPC 130之间可以通过全局VPC 120通信；全局VPC 120还具有网络地址管理功能，能够存储并管理多个区域VPC 130的网络前缀，以及每个区域VPC 130中的子网的网络前缀。区域VPC 130是租户根据业务需求在指定的区域创建的VPC，其中，上述“区域”是指基础资源(包括计算资源、存储资源和网络资源)的集合，例如，云服务提供商建立的数据中心，因此租户可以将业务部署在区域VPC 130，借助区域VPC 130中的基础资源来执行业务。

云管理平台110还用于给全局VPC 120分配网络前缀，以及通过全局VPC 120给多个区域VPC 130分配不同的网络前缀。其中，每个区域VPC 130的网络前缀包括全局VPC 120的网络前缀和区域VPC 130的标识(以下称为区域标识)，不同区域VPC 130的网络前缀中的区域标识不同。如此，可以保证不同区域VPC 130的网络前缀不同，便于不同区域VPC 130之间通信。

可选的，云管理平台110还用于创建多个接入点140，多个接入点140具体可以包括网关(gateway)(如路由器、交换机等)、网关服务(如具有网关功能的虚拟机或服务器)等。多个接入点140用于通过全局VPC 120的网络前缀和多个区域VPC 130的网络前缀，建立全局VPC 120与多个区域VPC 130之间的通信连接，从而实现多个区域VPC 130之间的通信。

可选的，云管理平台110还用于在接入点140上配置ACL，以用于对与接入点140连接的区域VPC 130进行安全防护。在一些实施例中，上述ACL包括至少一个表项，接入点140通过上述至少一个表项控制出入区域VPC 130的数据流。例如，多个区域VPC 130包括第一VPC、第二VPC以及第三VPC，多个接入点140包括第一接入点、第二接入点以及第三接入点，其中，第一VPC通过第一接入点与全局VPC 120连接，第二VPC通过第二接入点与全局VPC 120连接，第三VPC通过第三接入点与全局VPC 120连接，在这种情况下，第一VPC、 第二VPC以及第三VPC便可以通过全局VPC 120实现通信。在实际应用中，租户可能希望第一VPC和第二VPC之间能够通信，而第一VPC和第三VPC之间是相互隔离的，在这种情况下，云管理平台110可以在第一接入点上配置ACL，第一接入点上的ACL包括用于阻断第一VPC和第三VPC之间通信的表项。如此，当第一接入点接收到来自第三VPC的数据流或向第三VPC发送数据流时，第一接入点根据本地ACL即可将上述数据流丢弃，从而阻断了第一VPC和第三VPC之间的通信。类似的，云管理平台110也可以在第三接入点上配置ACL，第三接入点上的ACL包括阻断第一VPC和第三VPC之间通信的表项，那么当第三接入点接收到来自第一VPC的数据流或向第一VPC发送数据流时，第三接入点根据本地ACL即可将上述数据流丢弃，从而也可以阻断第一VPC和第三VPC之间的通信。

可选的，云管理平台110还用于指示全局VPC 120给多个区域VPC 130中的子网分配不同的网络前缀。其中，子网的网络前缀包括所属的区域VPC 130的网络前缀和子网标识，子网标识用于标识该子网，即同一个区域VPC 130中不同子网的网络前缀中的子网标识不同。

可选的，云管理平台110还用于在多个区域VPC 130的子网中部署资源(包括VM、容器、沙盒等)，以及给资源分配网络前缀。其中，资源的网络前缀包括区域标识，资源的网络前缀中的区域标识用于表示该资源是否支持从所属的区域VPC迁移至其他的区域VPC。这样，云管理平台110便可以根据资源的网络前缀确定该资源是否可以从所属的区域VPC迁移至其他的区域VPC。

可选的，云管理平台110还用于给全局VPC 120分配带宽，使得经过全局VPC 120的数据流在上述分配的带宽范围内。如此，可以保证区域VPC 130之间通信时的带宽。

正是由于云管理平台110具备的上述功能，实现了多个区域VPC 130中的不同VPC间的通信，而且，通过该装置还能够实现多个区域VPC 130的网络地址的自动管理，并使得不同VPC中的资源能够根据实际的业务需求相互迁移，除此之外，还能够保证VPC间通信时带宽，以给租户提供更高质量的云服务。

本申请实施例中，云管理平台110具备的上述功能既可以由软件装置实现、也可以由硬件设备实现、还可以由软件装置和硬件设备结合实现。

云管理平台110的部署灵活，它可以部署在云环境中。其中，云环境是云计算模式下利用基础资源向租户提供云服务的实体，云环境包括云数据中心，云数据中心包括云服务提供商拥有的大量基础资源(包括计算资源、存储资源和网络资源)，云数据中心包括的计算资源可以包括大量的计算设备(如服务器)。因此，云管理平台110可以是云数据中心中的一台或多台服务器，也可以是部署在云数据中心中的服务器或虚拟机上的软件装置，该软件装置可以分布式地部署在多台服务器上、或者分布式地部署在多个VM上、或者分布式地部署在服务器和VM上。

如图2所示，云管理平台110由云服务提供商部署在云数据中心，云服务提供商将云管理平台110提供的功能作为云服务提供给租户。在使用云服务时，租户可以在云管理平台110上注册账号，通过账号登录到云管理平台110后，向云管理平台110发送相关的配置信息，之后，云管理平台110便会通过云服务提供点(包括云数据中心中的多个基础资源)向租户提供相应的云服务。

比如说，如图3所示，租户登录云管理平台110后，向云管理平台110发送配置信息，其中，上述配置信息包括部署全局VPC 120和区域VPC 130(包括区域VPC 1至区域VPC 6)的相关信息(如部署区域)。因此，云管理平台110分别在区域0创建全局VPC 120，在区域 1创建区域VPC 1，在区域2创建区域VPC 2，在区域3创建区域VPC 3，在区域4创建区域VPC 4、在区域5创建区域VPC 5，在区域6创建区域VPC 6。其中，区域1、区域2以及区域3是边缘区域，区域4和区域5是中心区域，区域6是资源区域，边缘区域是指距离用户终端较近的、基础资源(包括计算资源、存储资源和网络资源)较少区域，中心区域是指距离用户终端集中的地区(如北京、上海、广州等)较近的、基础资源较丰富的区域，资源区域是指基础资源丰富的区域(如建立有大型数据中心)。云管理平台110还为全局VPC 120分配网络前缀，以及通过全局VPC 120分别为区域VPC 1至区域VPC 6分配不同的网络前缀。上述配置信息还包括区域VPC 1和其他区域VPC之间不通信，为此，云管理平台110在与区域VPC 1连接的接入点上配置ACL，以用于阻断区域VPC 1和其他区域VPC之间的通信。而区域VPC 2至区域VPC 6通过全局VPC 120可以实现彼此间的通信。

进一步地，上述配置信息还包括在区域VPC 1至区域VPC 6中部署子网以及子网中的VM，因此，云管理平台110还在区域VPC 1至区域VPC 6中部署子网以及子网中的VM，并给子网以及子网中的VM分配网络前缀。其中，由于区域VPC 2至区域VPC 6之间可以跨区域通信，因此区域VPC 2至区域VPC 6中的VM可以根据业务需求相互迁移，例如，区域VPC 2中的VM可以迁移至区域VPC 6，也可以迁移至区域VPC 3，区域VPC 4中的VM可以迁移至区域VPC 3，也可以迁移至区域VPC 5，区域VPC 5中的VM可以迁移至区域VPC 6。也就是说，租户的业务可以在边缘区域、中心区域以及资源区域之间迁移，也可以在边缘区域之间、中心区域之间或者资源区域之间迁移。如此，不仅能够提高业务部署的灵活性，还能够提高租户对性能、成本以及容量的需求，例如，当某一区域VPC上的负载过多或容量不够时，云管理平台110可以将运行在该区域VPC上的一部分业务迁移至其他区域VPC；又例如，当租户的业务需求发生变化，即希望创建一个新的区域VPC(区域VPC 7)，并在区域VPC 7上运行区域VPC 2上的业务时，如图4所示，云管理平台110创建区域VPC 7之后，可以直接将运行在区域VPC 2上的业务迁移至区域VPC 7。

除此之外，云管理平台110还可以给全局VPC 120分配带宽，以保证经过全局VPC 120的数据流始终在合适的带宽范围内。应理解，由于区域VPC 2至区域VPC 6之间的通信均需要通过全局VPC 120，因此，通过保证经过全局VPC 120的数据流的带宽可以保证区域VPC间的通信时的带宽，从而降低区域VPC之间的通信(包括资源的迁移)的难度。

在具体实现中，作为一种实施例，云管理平台110向租户提供的云服务可分为两部分：VPC服务和跨区域的VPC通信服务。其中，VPC服务是指租户可在云上部署区域VPC 130(如上述区域VPC 1至区域VPC 6)，这部分服务可以免费提供给租户；跨区域的VPC通信服务是指位于不同区域的区域VPC 130之间的通信服务，这部分服务可以免费提供给租户，也可以是租户购买(可包年或包月，或预先充值再根据最终资源的使用情况进行结算)后再提供给租户。

如图5所示，当云管理平台110设置在云环境中时，可与云管理平台110通信的客户端可以部署在边缘环境中，例如：云服务提供商提供的可与云管理平台110通信的应用程序；也可以部署在终端计算设备上，例如：浏览器，以用于接收租户输入的配置信息；还可以一部分部署在边缘环境中，一部分部署在终端计算设备上。其中，边缘环境是包括距离终端计算设备较近的边缘计算设备集合的环境，边缘计算设备包括边缘服务器、拥有计算力的边缘小站等，终端计算设备包括终端服务器、智能手机、笔记本电脑、平板电脑、个人台式电脑、智能摄像机等。

下面结合图6描述的VPC间的通信方法进一步介绍上述云管理平台110如何实现不同区域VPC 130之间的通信。需要说明的是，为了简便，此处将以多个区域VPC 130中的第一VPC和第二VPC之间的通信为例展开描述。

S101：云管理平台110确定租户输入或选择的配置信息A，根据配置信息A创建全局VPC 120。

具体地，云管理平台110提供用户界面(user interface,UI)或应用程序编程接口(application programming interface,API)，租户通过在上述UI或API上操作(包括输入或选择)来向云管理平台110发送配置信息A。云管理平台110确定配置信息A后，根据配置信息A创建全局VPC 120。

可选的，配置信息A包括全局VPC 120的带宽信息，具体可以包括最大带宽和最小带宽中的至少一个，以保证经过全局VPC 120的数据流满足以下至少一个条件：小于或等于最大带宽，大于或等于最小带宽。除此之外，配置信息A还可以包括全局VPC 120所在的位置、名称等信息。

示例性的，图7展示了一个用于创建全局VPC 120的UI，如图7所示，该界面包括“名称”、“区域”、“带宽”等多个选项。租户根据界面的提示在“名称”选项后填写全局VPC 120的名称，在“区域”选项后选择部署全局VPC 120的地理位置，在“带宽”选项后选择最小带宽和最大带宽。之后，如果租户点击“确认”选项，则云管理平台110即可接收到配置信息A，并根据配置信息A创建出全局VPC 120；如果租户点击“取消”选项，则云管理平台110将不会接收到配置信息A，也不会创建全局VPC 120。

S102：云管理平台110给全局VPC 120分配网络前缀。

其中，全局VPC 120的网络前缀可以是IPv4网络前缀，也可以是IPv6网络前缀。下面将以全局VPC 120的网络前缀是IPv6网络前缀为例，对S102进行描述。具体地，云管理平台110可以通过以下任意一种方式给全局VPC 120分配网络前缀：

方式1、配置信息A还可以包括全局VPC 120的网络前缀，因此全局VPC 120的网络前缀还可以是租户指定的，例如，租户从IPv6地址管理机构申请的全球路由前缀。具体实现中，云管理平台110接收配置信息A后，根据配置信息A获得租户给全局VPC 120指定的网络前缀，并将租户指定的网络前缀作为全局VPC 120的网络前缀。

方式2、云管理平台110从IPv6地址管理机构申请一个全球路由前缀(global routing prefix)，然后将申请到的全球路由前缀作为全局VPC 120的网络前缀。

需要说明的是，一般情况下，租户从IPv6地址管理机构申请的全球路由前缀仅能由该租户使用，而云管理平台110(即云服务提供商)从IPv6地址管理机构申请到的全球路由前缀可以仅提供给一个租户使用，也可以为了节省地址资源，而提供给多个租户使用。当云管理平台110从IPv6地址管理机构申请到的全球路由前缀需要提供给多个租户使用时，为了区分不同租户，云管理平台110可以在全局VPC 120的网络前缀中添加租户标识，具体地，云管理平台110可以通过方式3来给全局VPC 120分配网络前缀。

方式3、云管理平台110从IPv6地址管理机构申请一个全球路由前缀，然后根据申请到的全球路由前缀和租户标识生成全局VPC 120的网络前缀。可选的，全局VPC 120的网络前缀包括全球路由前缀和租户标识。

其中，租户标识可以是租户的ID，或者是云管理平台110给租户设定的编号等能够标识租户的信息，本申请实施例不作限定。

方式4、云管理平台110随机生成一个网络前缀，并将随机生成的网络前缀作为全局VPC  120的网络前缀。

需要说明的是，云管理平台110或者租户从IPv6地址管理机构申请的全球路由前缀一般都可以直接在互联网上路由，而云管理平台110随机生成的网络前缀一般不可以直接在互联网上路由。也就是说，相较于方式1至方式3，如果云管理平台110采用方式4给全局VPC 120分配网络前缀，则当全局VPC 120或者某个区域VPC 130有访问互联网的需求时，还需要额外地部署网络地址转换(network address translation,NAT)网关。因此，在实际应用中，云管理平台110可以根据租户的业务需求选择合适的方式给全局VPC 120分配网络前缀，比如说，当全局VPC 120或者某个区域VPC 130有访问互联网的需求时，云管理平台110可以采用方式1至方式3中的任一种方式给全局VPC 120分配网络前缀，相反地，当全局VPC 120和多个区域VPC 130均没有访问互联网的需求时，云管理平台110可以采用方式4给全局VPC 120分配网络前缀。

在一种可能的实现方式中，云管理平台110提供的用于创建全局VPC 120的UI或API中包括全局VPC 120的网络前缀的配置信息，该配置信息用于指示云管理平台110采用合适的方式来给全局VPC 120分配网络前缀。示例性的，图8展示了另一个用于创建全局VPC的UI，相较于图7示出的界面，图8示出的界面新增了“网络前缀”选项，该选项具有3种配置方式，即“自动配置-可在互连网上路由”、“自动配置-不可在互联网上路由”、“手动配置”。当租户选择“自动配置-可在互连网上路由”选项时，云管理平台110将采用方式2或方式4给全局VPC 120分配网络前缀；当租户选择“自动配置-不可在互联网上路由”选项时，云管理平台110将采用方式4给全局VPC 120分配网络前缀；当租户选择“手动配置”选项时，租户还需在该选项后的方框内填写网络前缀，这样，云管理平台110便可以采用方式1给全局VPC 120分配网络前缀。

应理解，当全局VPC 120的网络前缀是IPv4地址中的网络前缀时，云管理平台110给全局VPC 120分配的网络前缀的方式与上述方式1至方式4类似，为了简便，此处不再展开描述。

S103：云管理平台110确定租户输入或选择的配置信息B，根据配置信息B创建第一VPC。

具体地，租户通过在云管理平台110提供的UI或API上操作(包括输入或选择)来向云管理平台110发送配置信息B，云管理平台110确定配置信息B后，根据配置信息B创建第一VPC。

可选的，配置信息B包括第一VPC所在的位置、名称等信息。示例性的，图9展示了一个用于创建区域VPC 130的UI，如图9所示，该界面包括“名称”、“区域”等多个选项。租户根据界面的提示在“名称”选项后填写第一VPC的名称，在“区域”选项后选择部署第一VPC的地理位置。应理解，在实际应用中，租户可以根据业务需求选择合适的区域来部署第一VPC，如此可以降低网络时延、提高访问速度，从而提高云服务质量。之后，如果租户点击“确认”选项，则云管理平台110即可接收到配置信息B，并根据配置信息B创建出第一VPC；如果租户点击“取消”选项，则云管理平台110可以返回上一级菜单(如图7或图8示出的用于创建全局VPC 120的UI)，这样云管理平台110将不会接收到配置信息B，也不会创建第一VPC。

S104：云管理平台110通过全局VPC 120给第一VPC分配网络前缀。

其中，第一VPC的网络前缀包括全局VPC120的网络前缀和第一VPC的标识(以下简称为第一区域标识)。第一区域标识可以是第一VPC在多个区域VPC 130中的编号，或者是第一VPC的ID，又或者是第一VPC所在的地理位置的标识等能够标识第一VPC的信息，本 申请实施例不作限定。

具体地，云管理平台110创建好第一VPC后，生成第一区域标识。之后，云管理平台110向全局VPC 120发送第一配置命令，其中，第一配置命令包括第一区域标识。全局VPC 120接收到上述第一配置命令后，根据第一配置命令获得第一区域标识，然后根据第一区域标识和全局VPC 120的网络前缀生成第一VPC的网络前缀。最后，云管理平台110从全局VPC 120中获取第一VPC的网络前缀，并将获取到的网络前缀分配给第一VPC。

可选的，第一VPC的网络前缀还包括前文所述的租户标识，上述第一配置命令也可以包括上述租户标识。

可选的，全局VPC 120生成第一VPC的网络前缀之后，存储第一VPC的网络前缀。

S105：云管理平台110根据全局VPC 120的网络前缀和第一VPC的网络前缀，建立全局VPC 120和第一VPC之间的网络连接。

具体地，云管理平台110创建第一接入点，其中，第一接入点可以是网关(如路由器、交换机等)，或者是网关服务(如具有网关功能的虚拟机或服务器)。之后，云管理平台110在第一接入点上配置全局VPC 120的网络前缀和第一VPC的网络前缀之间的路由关系，这样，全局VPC 120和第一VPC便可以根据第一接入点实现网络连接。

考虑实际应用中，为了保护第一VPC上的业务数据的安全性，部署在第一VPC上的业务需要与第三VPC上的业务相互隔离的，或者部署在第一VPC上的业务不支持被部署第三VPC中的某个或某些业务访问。因此，可选的，云管理平台110还可以执行以下步骤：在第一接入点上配置ACL，其中，ACL包括以下至少一条表项：拒绝来自第三VPC中的一个或多个业务的数据流、拒绝放通向第三VPC中的一个或多个业务发送的数据流。上述“拒绝来自第三VPC中的一个或多个业务的数据流”表项用于指示第一接入点在接收到来自上述第三VPC中的一个或多个业务的数据流时，将其丢弃，如此，部署第一VPC上的业务便不会被上述来自第三VPC中的一个或多个业务访问；上述“拒绝放通向第三VPC中的一个或多个业务发送的数据流”表项用于指示第一接入点在接收到第一VPC向上述第三VPC中的一个或多个业务发送的数据流时，将其丢弃，如此，第一VPC中的业务便无法访问第三VPC中的某个或某些业务。

应理解，当第一接入点上的ACL包括拒绝来自第三VPC中的所有业务的数据流，以及拒绝放通向第三VPC中的所有业务发送的数据流时，第一VPC与第三VPC相互隔离，即彼此之间不能通信。

S106：云管理平台110通过全局VPC 120给第一VPC中的子网分配网络前缀。

其中，第一VPC包括至少一个子网，第一VPC中子网的数量可以是租户预设的，例如，配置信息B包括需要在第一VPC部署的子网的数量；第一VPC中子网的数量也可以是云管理平台110根据实际情况动态调整的；第一VPC中子网的数量还可以是云服务提供商预先设定的(如256个)，本申请实施例不作限定。每个子网的网络前缀包括第一VPC的网络前缀和子网标识，子网标识可以是云管理平台110或租户给子网设定的编号、或者是子网ID等能够标识子网的信息。可选的，每个子网的网络前缀还可以包括前文所述的租户标识。

在一些实施例中，以第一VPC中的一个子网(第一子网)为例，云管理平台110通过全局VPC 120给第一VPC中的子网分配网络前缀，包括：云管理平台110向全局VPC 120发送第二配置指令，其中，第二配置命令包括第一子网的标识(以下简称为第一子网标识)。全局VPC 120接收到上述第二配置命令后，根据第二配置命令获得第一子网标识，然后根据第一子网标识和本地存储的第一VPC的网络前缀生成第一子网的网络前缀。最后，云管理平台 110从全局VPC 120中获取第一子网的网络前缀，并将获取到的网络前缀分配给第一子网。

可选的，全局VPC 120生成第一VPC中的子网的网络前缀之后，存储第一VPC中的子网的网络前缀。

S107：云管理平台110确定租户输入或选择的配置信息C，根据配置信息C在第一VPC内创建资源，并给资源分配网络前缀。

其中，云管理平台110在第一VPC内创建的资源可以包括VM、容器、沙盒等多种类型。配置信息C包括资源的部署位置，即将资源部署在第一VPC中的哪个子网中，进一步地，资源的部署位置还可以具体到子网中哪个的宿主机上。配置信息C还包括资源迁移属性的表征信息，该信息用于表示资源是否支持从第一VPC迁移至全局VPC 120管辖下的、可与第一VPC通信的VPC，其中，全局VPC 120管辖下的VPC是指：由全局VPC 120分配网络前缀的VPC，包括上述多个区域VPC 130，全局VPC 120管辖下的、可与第一VPC通信的VPC是指：由全局VPC 120分配网络前缀的、能够通过全局VPC 120与第一VPC通信的VPC，例如第二VPC。除此之外，配置信息C还可以包括资源的类型(如VM、容器、沙盒)、资源的内存大小、资源的操作***等。

资源的网络前缀包括全局VPC 120的网络前缀、区域标识以及子网标识，可选的，资源的网络前缀还可以包括前文所述租户标识。其中，资源的网络前缀中的区域标识与上述S104所描述的第一VPC的网络前缀中的区域标识，以及上述S106所描述的第一VPC中的子网的网络前缀中的区域标识的作用不同，资源的网络前缀中的区域标识用于表示资源是否支持从第一VPC迁移至全局VPC 120管辖下的、可与第一VPC通信的VPC。资源的网络前缀中的子网标识用于标识部署有该资源的子网，即资源的网络前缀中的子网标识与部署有该资源的子网的网络前缀中的子网标识相同。

可选的，资源迁移属性的表征信息包括资源的网络前缀中的区域标识。具体地，当资源支持从第一VPC迁移至全局VPC 120管辖下的、可与第一VPC通信的VPC时，资源的网络前缀中的区域标识不同于全局VPC 120管辖下的任一个VPC的网络前缀中的区域标识，例如，假设多个区域VPC 130的网络前缀中的区域标识分别是1至N(N是大于0的正整数)，那么，资源的网络前缀中的区域标识可以是不同于1至N中的任意一个数字(如0)；当资源不支持从第一VPC迁移至全局VPC 120管辖下的、可与第一VPC通信的VPC时，资源的网络前缀中的区域标识可以是第一区域标识。应理解，除区域标识外，资源迁移属性的表征信息还可以包括其他类型的信息，例如，图8所示的“跨VPC迁移”和“不跨VPC迁移”选项。

在一些实施例中，租户可以通过在云管理平台110提供的UI或API上操作(包括输入或选择)来向云管理平台110发送配置信息C。图10示例性地展示了一个用于创建资源的UI，如图10所示，该界面包括“名称”、“网络前缀”等多个选项。租户可以在“名称”选项后的填写框中输入资源的名称。“网络前缀”选项具有2种配置方式，即“手动配置”和“自动配置”，当租户选择“手动配置”时，租户可以在相应的地址栏内输入区域标识和子网标识，其中，租户可以根据业务需求选择合适的区域标识，例如，当该VM需要从第一VPC迁移至其他VPC时，租户可以选择区域标识为0，当该VM仅需要在第一VPC内迁移，租户可以选择区域标识为第一区域标识。租户还可以根据业务需求选择合适的子网标识，即需要部署上述VM的子网的标识。当租户选择“自动配置”时，租户需要在“部署位置”选项后的选择框中选择出需要部署上述VM的子网的标识，另外，如果VM需要从第一VPC迁移至其他VPC，则租户可以勾选“跨VPC迁移”选项，如果VM不需要从第一VPC迁移至其他VPC，则租户可以勾选“不跨VPC迁移”选项。之后，如果租户点击“确认”选项，则云管理平台 110即可接收到配置信息C；如果租户点击“取消”选项，则云管理平台110可以返回上一级菜单(如图9示出的用于创建第一VPC的UI)，这样云管理平台110将不会接收到配置信息C。

在一些实施例中，云管理平台110给上述创建好的资源分配网络前缀，包括：云管理平台110基于租户输入的配置信息C，获得资源的部署位置以及资源迁移属性的表征信息。当资源迁移属性的表征信息表示该资源支持从第一VPC迁移至全局VPC 120管辖下的、可与第一VPC通信的VPC时，云管理平台110通过全局VPC 120给资源分配网络前缀；当资源迁移属性的表征信息表示该资源不支持从第一VPC迁移至全局VPC 120管辖下的、可与第一VPC通信的VPC时，云管理平台110通过第一VPC给资源分配网络前缀。

进一步地，云管理平台110通过全局VPC 120给资源分配网络前缀，具体过程是：云管理平台110向全局VPC 120发送第三配置指令，其中，第三配置命令包括上述资源的部署位置。全局VPC 120接收到上述第三配置命令后，基于第三配置命令确定资源的网络前缀中的子网标识，并生成一个不同于全局VPC 120管辖下的任一个VPC的网络前缀中的区域标识，再结合本地存储的全局VPC的网络前缀生成资源的网络前缀。最后，云管理平台110从全局VPC 120中获取资源的网络前缀，并将获取到的网络前缀分配给上述资源。

云管理平台110通过第一VPC给资源分配网络前缀，具体过程是：云管理平台110向第一VPC发送第三配置指令，其中，第三配置命令包括上述资源的部署位置。第一VPC接收到上述第三配置命令后，基于第三配置命令确定资源的网络前缀中的子网标识，再结合本地存储的第一VPC的网络前缀生成资源的网络前缀。最后，云管理平台110从第一VPC中获取资源的网络前缀，并将获取到的网络前缀分配给上述资源。

在另一些实施例中，云管理平台110给上述创建好的资源分配网络前缀，包括：云管理平台110通过全局VPC 120给上述资源分配网络前缀。具体地，云管理平台110基于租户输入的配置信息C，获得资源的部署位置以及资源迁移属性的表征信息，然后向全局VPC 120发送第三配置指令，其中，第三配置命令包括上述资源的部署位置和资源迁移属性的表征信息。全局VPC 120接收到上述第三配置命令后，基于资源的部署位置确定资源的网络前缀中的子网标识，基于资源迁移属性的表征信息确定资源是否支持从第一VPC迁移至全局VPC 120管辖下的、可与第一VPC通信的VPC，当资源迁移属性的表征信息表示该资源支持从第一VPC迁移至全局VPC 120管辖下的、可与第一VPC通信的VPC时，全局VPC 120生成一个不同于全局VPC 120管辖下的任一个VPC的网络前缀中的区域标识；当资源迁移属性的表征信息表示该资源不支持从第一VPC迁移至全局VPC 120管辖下的、可与第一VPC通信的VPC时，全局VPC 120确定第一区域标识。之后，全局VPC 120基于本地存储的全局VPC的网络前缀以及上述经过确定得到的子网标识和区域标识，生成资源的网络前缀。最后，云管理平台110从全局VPC 120中获取资源的网络前缀，并将获取到的网络前缀分配给上述资源。

S108：云管理平台110将资源的网络前缀发送至部署有该资源的宿主机。

S109：上述宿主机接收到资源的网络前缀后，根据资源的网络前缀生成资源的IP地址。

其中，资源的IP地址可以是IPv4地址，也可以是IPv6地址。下面以资源的IP地址是IPv6地址为例，对上述宿主机根据资源的网络前缀生成资源的IP地址的过程进行描述：

首先，需要说明的是，IPv6地址的长度是128位(bit)，IPv6地址包括两个部分：一部分是网络前缀，另一部分是接口标识(interface ID)，这两个部分的长度均是64比特。因此，当资源的IP地址是IPv6地址时，该地址由64位的网络前缀和64位接口标识组成，其中， 该地址中的网络前缀包括云管理平台110给资源分配的网络前缀，该地址中的接口标识包括宿主机接口的MAC地址。值得注意的一点是：部署在宿主机中的不同资源对应宿主机的不同接口，换言之，部署在同一宿主机中的不同资源的IPv6地址中的接口标识不同。那么，上述宿主机根据资源的网络前缀生成资源的IP地址，包括：上述宿主机根据该资源对应的接口的MAC地址生成接口标识，然后根据资源的网络前缀以及上述接口标识生成资源的IP地址(即IPv6地址)。

在一些实施例中，云管理平台110给资源分配的网络前缀(即资源的网络前缀)是64位。由前文可知，资源的网络前缀可以包括全局VPC 120的网络前缀、区域标识、子网标识，还可以包括租户标识。因此，资源的网络前缀具有多种格式，图11-图12分别示出了不同格式的资源的网络前缀。

如图11所示，资源的网络前缀包括全局VPC 120的网络前缀、区域标识以及子网标识，其中，全局VPC 120的网络前缀是48位，区域标识是8位，子网标识是8位。

如图12所示，资源的网络前缀包括全局VPC 120的网络前缀、区域标识、租户标识以及子网标识，其中，全局VPC 120的网络前缀是32位，区域标识是8位，租户标识是16位，子网标识是8位。

需要说明的是，一般情况下，租户从IPv6地址管理机构申请的全球路由前缀是48位，而云管理平台110从IPv6地址管理机构申请全球路由前缀时，可以与IPv6地址管理机构进行协商，从而可以申请到不同长度(如20位、32位、48位)的全球路由前缀。因此，图11所示的48位的全局VPC 120的网络前缀可以是租户从IPv6地址管理机构申请的、或者是云管理平台110从IPv6地址管理机构申请的、又或者包括云管理平台110从IPv6地址管理机构申请到的全球路由前缀和租户标识、又或者是云管理平台110随机生成的。图12所示的32位的全局VPC 120的网络前缀可以是云管理平台110从IPv6地址管理机构申请的。

还需要说明的是，资源的网络前缀中的各个部分(包括全局VPC 120的网络前缀、区域标识、子网标识、租户标识)的长度可以灵活设置，而且各个部分的位置也可以灵活调整，例如，租户标识可以位于区别标识之前，本申请实施例不作限定。在实际应用中，云管理平台110可以根据租户输入的配置信息(包括配置信息A、配置信息B和配置信息C)给资源分配合适的网络前缀。

应理解，当资源的IP地址是IPv4地址时，其生成过程与上述资源的IPv6地址的生成过程类似，而且，资源的IPv4地址也具有多种格式，可以通过类比资源的IPv6地址得到，因此为了简便，本申请实施例不再展开描述。

通过上述S101-S109即可实现第一VPC以及第一VPC中的资源的创建，类似的，云管理平台110还可以创建出第二VPC以及第二VPC中的资源，其具体过程可参见S101-S109，为了简便，此处不再展开描述。

S110：全局VPC 120根据第一网络前缀和第二网络前缀实现第一VPC和第二VPC之间的跨区域通信。

应理解，由于第一VPC和全局VPC之间通过第一接入点建立有网络连接(上述S105)，第二VPC和全局VPC之间通过第二接入点建立有网络连接，而且第一VPC的网络前缀和第二VPC的网络前缀不同，因此，第一VPC和第二VPC可以通过全局VPC 120实现通信。

在一些实施例中，全局VPC 120存储有第一VPC的网络前缀和第二VPC的网络前缀之间的路由关系，例如：全局VPC 120存储有第一路由表项和第二路由表项中的至少一个，其中，第一路由表项中的源地址是第一VPC的网络前缀，目的地址是第二VPC的网络前缀； 第二路由表项中的源地址是第二VPC的网络前缀，目的地址是第一VPC的网络前缀。那么，以第一VPC向第二VPC发送数据流(如数据流A)为例，全局VPC 120根据第一网络前缀和第二网络前缀实现第一VPC和第二VPC之间的跨区域通信，包括：全局VPC 120接收第一VPC通过第一接入点发送的数据流A，然后根据第一路由表项将该数据流A通过第二接入点发送至第二VPC，即数据流A的转发路径是第一VPC→第一接入点→全局VPC 120→第二接入点→第二VPC。

为了提高第一VPC和第二VPC之间通信时的质量，可选的，云管理平台110还执行以下步骤：给全局VPC 120分配带宽，使得经过全局VPC 120的数据流满足上述带宽的要求。其中，上述带宽可以是租户预设的，例如，配置信息A包括带宽信息，那么，云管理平台110可以根据配置信息A给全局VPC 120分配带宽。上述带宽也可以是云管理平台110根据实际情况动态地调整的，例如，云管理平台110根据全局VPC 120的负载情况，以及当前的网络状态调整上述带宽。

进一步地，云管理平台110可以通过以下方式使得经过全局VPC 120的数据流满足上述带宽的要求：云管理平台110维护一张映射表，该映射表包括至少一个VPC标识、至少一个流标签以及至少一个VPC标识和至少一个流标签之间的对应关系，其中，至少一个VPC标识包括全局VPC 120的标识，至少一个流标签包括全局VPC 120的标识对应的流标签(以下称为目标流标签)，除此之外，由于云管理平台110可以根据租户的需求创建出多个全局VPC，因此，上述至少一个VPC标识还可以包括其他全局VPC的标识，对应的，上述至少一个流标签还包括其他全局VPC的标识对应的流标签。全局VPC 120的标识可以是租户预设的，也可以是云管理平台110设定的，当租户仅创建了一个全局VPC 120时，全局VPC 120的标识可以是租户标识，当租户创建了多个全局VPC 120时，全局VPC 120的标识可以是全局VPC 120的ID、或者是全局VPC 120的编号等能够标识全局VPC 120的信息。目标流标签用于标识经过全局VPC 120的数据流。具体实现中，云管理平台110给全局VPC 120分配标识，然后根据全局VPC 120的标识给经过全局VPC 120的数据流打上相应的流标签，然后根据上述流标签获得上述带宽的要求，最后根据上述带宽的要求来指示上述数据流的转发。

举例说明，假设第一VPC通过全局VPC 120向第二VPC发送数据流A，当全局VPC 120接收到数据流A时，云管理平台110根据上述映射表确定目标流标签，然后使用目标流标签对数据流A进行封装(例如，将目标流标签添加在数据流A的IPv6头部中的flow label字段中，或者将目标流标签添加在数据流A的IPv4头部中的自定义字段中)，之后，再指示全局VPC 120将封装后的数据流A发送至第二VPC。通过上述操作，底层(underlay)网络在转发数据流A时，可以获得目标流标签，从而确定云管理平台110给全局VPC 120分配的带宽，然后，根据上述带宽的要求配置用于转发数据流A的服务质量(quality of service,QoS)队列，从而完成数据流A的转发。这样，就可以保证数据流A的带宽，从而保证第一VPC与第二VPC之间的通信的质量。

基于本申请实施例提供的上述方法，除了能够实现第一VPC和第二VPC之间的通信，还能够实现第一VPC与第二VPC中的资源按需迁移。下面以第一VPC中的VM向第二VPC中迁移为例，结合图13对上述迁移过程进行描述。

S201：第一VPC内的VM向云管理平台110发送迁移请求。

其中，当前VM位于第一宿主机上，第一宿主机位于第一VPC中的第一子网上，迁移请求包括VM的IP地址、VM的MAC地址以及第一宿主机的IP地址。

S202：云管理平台110根据上述迁移请求判断VM是否支持从第一VPC迁移至第二VPC。如果VM支持从第一VPC迁移至第二VPC，则执行S203-S205，如果VM不支持从第一VPC迁移至第二VPC，则云管理平台110不执行将VM从第一VPC迁移至第二VPC的相关操作。

具体地，云管理平台110根据上述迁移请求获得VM的IP地址中的区域标识，然后根据VM的IP地址中的区域标识判断VM是否支持从第一VPC迁移至第二VPC。其中，如果VM的IP地址中的区域标识不同于任意一个区域VPC 130的网络前缀中的区域标识，则云管理平台110确定该VM支持从第一VPC迁移至第二VPC；如果VM的IP地址中的区域标识与第一区域标识相同，则云管理平台110确定该VM不支持从第一VPC迁移至第二VPC。

S203：云管理平台110根据上述迁移请求确定第二宿主机。

具体地，云管理平台110根据上述迁移请求获得VM的IP地址中的子网标识，然后根据VM的IP地址中的子网标识确定第二子网，从而确定第二宿主机。其中，第二宿主机位于第二子网上，第二子网是第二VPC中的一个网段，第二子网的网络前缀中的子网标识与第一子网的网络前缀中的子网标识相同。

S204：云管理平台110建立第一宿主机和第二宿主机之间的网络连接。

具体地，云管理平台110根据上述迁移请求获得第一宿主机的IP地址，然后根据第一宿主机的IP地址和第二宿主机的IP地址建立第一宿主机和第二宿主机之间的网络连接。

S205：云管理平台110将VM从第一宿主机迁移至第二宿主机。

具体地，第一宿主机和第二宿主机之间的网络连接建立之后，云管理平台110向第一宿主机发送迁移指令，第一宿主机接收到上述迁移指令后，先将VM的配置(如操作***)、设备信息(如内存大小)发送至第二宿主机，再将VM的内存(如VM的初始内存、内存变更分片)同步至第二宿主机。然后，在第一宿主机上暂停VM，再将最后的内存变更分片传送至第二宿主机。最后，在第一宿主机上停止VM，并在第二宿主机上恢复VM，从而完成VM的迁移。

值得注意的是，在VM迁移过程中，可能存在其他VM(如部署在第一VPC或其他VPC上的VM)访问该VM，在这种情况下，云管理平台110需要将来自其他VM的数据流发送至第一宿主机。在VM迁移完成后，如果存在其他VM访问该VM，这时，云管理平台110需要将来自其他VM的数据流发送至第二宿主机。

前文中结合图6-图13描述的方法，详细描述了云管理平台110的功能，下面结合图14-图16，从云管理平台110的结构方面，更详细地描述云管理平台110。

图14示例性地展示了云管理平台110的结构示意图。如图14所示，云管理平台110包括确定模块111、控制模块112以及网络配置模块113。其中，确定模块111、控制模块112以及网络配置模块113协同工作，以实现上述方法实施例中云管理平台110执行的步骤。具体地，确定模块111用于执行上述S101中确定租户输入或选择的配置信息A的步骤，上述S103中确定租户输入或选择的配置信息B的步骤，以及上述S107中确定租户输入或选择的配置信息C的步骤，确定模块111还用于将上述配置信息A、配置信息B以及配置信息C发送至控制模块112。控制模块112用于执行上述S101中根据配置信息A创建全局VPC 120的步骤、上述S103中根据配置信息B创建第一VPC的步骤、上述S107中根据配置信息C在第一VPC内创建资源，并给资源分配网络前缀的步骤，控制模块112还用于执行上述S102-S104、S106、S108以及S110。网络配置模块113用于执行上述S105。

可选的，确定模块111还用于接收VM发送的迁移请求，并将上述迁移请求发送至控制 模块112；控制模块112还用于执行上述S202-S205。

可选的，控制模块112还用于执行保证第一VPC和第二VPC通信时的带宽的相关步骤，例如，给全局VPC 120分配带宽，给经过全局VPC 120的数据量打上流标签等。

应理解，图14所示的结构示意图仅仅是根据功能对云管理平台110进行划分的一种示例性的结构划分方式，本申请实施例并不对云管理平台110的结构的具体划分方式进行限定，本领域技术人员根据本申请方法实施例记载的方案，可以将云管理平台110的内部功能进行合理划分，从而使得云管理平台110的内部功能模块可以实现方法实施例中云管理平台110作为执行主体的各个步骤。还应理解，云管理平台110内部的各个模块可以是软件模块，也可以是硬件模块，也可以部分是软件模块部分是硬件模块。

图15示出了本申请实施例提供的一种计算设备的结构示意图，上述云管理平台110可以部署在该计算设备上，该计算设备可以是云环境中的计算设备(例如，服务器)，或边缘环境中的计算设备，或终端计算设备。如图15所示，计算设备200包括存储器210、处理器220、通信接口230以及总线240，其中，存储器210、处理器220、通信接口230通过总线240实现彼此之间的通信连接。

存储器210可以包括只读存储器(read only memory,ROM)、静态存储设备、动态存储设备或者随机存取存储器(random access memory,RAM)、硬盘等。存储器210可以存储程序，例如，确定模块111中的程序、控制模块112中的程序以及网络配置模块113中的程序等。当存储器210中存储的程序代码被处理器220执行时，处理器220和通信接口230用于执行云管理平台110所执行的方法(包括上述S101-S110、S201-S205所描述的方法、以及保证第一VPC和第二VPC通信时的带宽的相关步骤)。存储器210还可以存储数据，例如：处理器220在执行过程中产生的中间数据或结果数据，例如，全局VPC 120的网络前缀、ACL等。

处理器220可以采用中央处理器(central processing unit,CPU)、专用集成电路(application specificintegrated circuit,ASIC)、图形处理器(graphics processing unit,GPU)或者一个或多个集成电路。

处理器220还可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，云管理平台110的部分功能可以通过处理器220中的硬件的集成逻辑电路或者软件形式的指令完成。处理器220还可以是通用处理器、数据信号处理器(digital signal process,DSP)、现场可编程逻辑门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件，分立门或者晶体管逻辑器件，分立硬件组件，可以实现或者执行本申请实施例中公开的方法、步骤及逻辑框图。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，结合本申请实施例所公开的方法可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器、闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器210，处理器220读取存储器210中的信息，结合其硬件完成云管理平台110的部分或全部功能。

通信接口230使用例如但不限于收发器一类的收发模块，来实现计算设备200与其他设备或通信网络之间的通信。示例性的，通过通信接口230接收租户发送的配置信息(包括配置信息A、配置信息B和配置信息C)。

总线240可以包括在计算设备200中的各个部件(例如，存储器210、处理器220以及通信接口230)之间传送信息的通路。

图16示出本申请实施例提供的一种计算设备***的结构示意图，该计算设备***包括多个计算设备，上述云管理平台110可以分布式地部署在该计算设备***中的多个计算设备上。如图16所示，计算设备***300包括多个计算设备400，每个计算设备400包括存储器410、处理器420、通信接口430以及总线440，其中，存储器410、处理器420、通信接口430通过总线440实现彼此之间的通信连接。

存储器410可以包括ROM、RAM、静态存储设备、动态存储设备、硬盘(例如SSD、HDD)等。存储器410可以存储程序代码，例如，确定模块111中的一部分程序、控制模块112中的一部分程序以及网络配置模块113中的一部分程序等。当存储器410中存储的程序代码被处理器420执行时，处理器420和通信接口430用于执行云管理平台110所执行的部分方法(包括上述S101-S110、S201-S205所描述的部分方法，以及保证第一VPC和第二VPC通信时的带宽的相关步骤)。存储器410还可以存储数据，例如：处理器420在执行过程中产生的中间数据或结果数据，例如，全局VPC 120的网络前缀、ACL等。

处理器420可以采用CPU、GPU、ASIC或者一个或多个集成电路。处理器420还可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，云管理平台110的部分功能可用通过处理器420中的硬件的集成逻辑电路或者软件形式的指令完成。处理器420还可以是DSP、FPGA、通用处理器、其他可编程逻辑器件，分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中公开的部分方法、步骤及逻辑框图。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器、闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器410，处理器420读取存储器410中的信息，结合其硬件完成云管理平台110的部分功能。

通信接口430使用例如但不限于收发器一类的收发模块，来实现计算设备400与其他计算设备或通信网络之间的通信。例如，通过通信接口430接收租户发送的配置信息(包括配置信息A、配置信息B和配置信息C)。

总线440可以包括在计算设备400中的各个部件(例如，存储器410、处理器420以及通信接口430)之间传送信息的通路。

上述多个计算设备400之间通过通信网络建立通信通路，以实现云管理平台110的功能。任一计算设备可以是云环境中的计算设备(例如，服务器)，或边缘环境中的计算设备，或终端计算设备。

上述各个附图对应的流程的描述各有侧重，某个流程中没有详细描述的部分，可以参见其他流程的相关描述。

在上述实施例中，可以全部或部分地通过软件、硬件或者其组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品可包括一个或多个云管理平台110执行的计算指令，在计算机上加载和执行这些计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。

上述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。上述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，上述计算机指令可以从一个网站站点、计算机、服务器或数 据中心通过有线(例如，同轴电缆、光纤、双绞线或无线(例如，红外、无线、微波)等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。上述计算机可读存储介质存储有提供云管理平台110执行的计算机程序指令。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个介质集成的服务器、数据中心等数据存储设备。上述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，光盘)、或者半导体介质(例如，固态硬盘(solid state disk,SSD))。

Claims (37)

1. 一种基于公有云的虚拟私有云VPC之间的通信方法，其特征在于，包括：

   云管理平台确定租户输入或选择的第一配置信息，根据所述第一配置信息创建全局VPC；

   所述云管理平台确定所述租户输入或选择的第二配置信息，根据所述第二配置信息通过所述全局VPC给位于第一区域的第一VPC分配第一网络前缀，通过所述全局VPC给位于第二区域的第二VPC分配第二网络前缀，其中，所述全局VPC用于根据所述第一网络前缀和所述第二网络前缀实现所述第一VPC和所述第二VPC之间的跨区域通信。
2. 根据权利要求1所述的方法，其特征在于，所述第一网络前缀中的区域标识与所述第二网络前缀中的区域标识不同。
3. 根据权利要求2所述的方法，其特征在于，还包括：

   所述云管理平台给所述全局VPC分配网络前缀，其中，所述第一网络前缀和所述第二网络前缀还包括所述全局VPC的网络前缀。
4. 根据权利要求3所述的方法，其特征在于，还包括：

   所述云管理平台建立所述第一VPC和所述全局VPC之间的网络连接，以及所述第二VPC和所述全局VPC之间的网络连接。
5. 根据权利要求4所述的方法，其特征在于，所述全局VPC存储有所述第一网络前缀、所述第二网络前缀以及所述第一网络前缀和所述第二网络前缀之间的路由关系。
6. 根据权利要求1-5任一项所述的方法，其特征在于，所述第一VPC不支持与第三VPC通信。
7. 根据权利要求6所述的方法，其特征在于，还包括：

   所述云管理平台设置所述第一VPC的访问控制列表ACL，其中，所述ACL包括用于阻断所述第一VPC与所述第三VPC之间通信的表项。
8. 根据权利要求1-7任一项所述的方法，其特征在于，所述第一VPC包括第一子网，所述方法还包括：

   所述云管理平台通过所述全局VPC给所述第一子网分配网络前缀，其中，所述第一子网的网络前缀包括所述第一网络前缀和子网标识。
9. 根据权利要求8所述的方法，其特征在于，所述第一子网包括虚拟机VM，所述方法还包括：

   所述云管理平台通过所述全局VPC或所述第一VPC给所述VM分配网络前缀，其中，所述VM的网络前缀中的区域标识用于表示所述VM支持迁移至所述全局VPC管辖下的、可与所述第一VPC通信的VPC。
10. 根据权利要求9所述的方法，其特征在于，所述VM的网络前缀中的区域标识不同于所述全局VPC管辖下的任一个VPC的网络前缀中的区域标识。
11. 根据权利要求10所述的方法，其特征在于，所述全局VPC管辖下的、可与所述第一VPC通信的VPC包括所述第二VPC，所述方法还包括：

    所述云管理平台将所述VM从所述第一VPC迁移至所述第二VPC，其中，所述迁移后的VM位于所述第二VPC的第二子网中，所述第二子网的网络前缀中的子网标识与所述第一子网的网络前缀中的子网标识相同。
12. 根据权利要求11所述的方法，其特征在于，所述迁移后的VM的网络前缀与所述迁 移前的VM的网络前缀相同。
13. 根据权利要求1-12任一项所述的方法，其特征在于，还包括：

    所述云管理平台给所述全局VPC分配带宽，其中，经过所述全局VPC的数据流满足所述带宽的要求。
14. 根据权利要求13所述的方法，其特征在于，还包括：

    所述云管理平台根据所述全局VPC的标识给所述经过所述全局VPC的数据流打上相应的流标签；

    所述云管理平台根据所述流标签获得所述带宽的要求，并根据所述带宽的要求指示所述数据流的转发。
15. 根据权利要求3-14任一项所述的方法，其特征在于，所述全局VPC的网络前缀是所述云管理平台申请到的第六版网际协议IPv6前缀。
16. 根据权利要求3-14任一项所述的方法，其特征在于，所述全局VPC的网络前缀是所述云管理平台生成的IPv6前缀。
17. 根据权利要求3-14任一项所述的方法，其特征在于，所述全局VPC的网络前缀是所述租户申请到的IPv6前缀。
18. 一种云管理平台，其特征在于，包括：

    确定模块，用于确定租户输入或选择的第一配置信息和第二配置信息；

    控制模块，用于根据所述第一配置信息创建全局虚拟私有云VPC，以及根据所述第二配置信息通过所述全局VPC给位于第一区域的第一VPC分配第一网络前缀，通过所述全局VPC给位于第二区域的第二VPC分配第二网络前缀，其中，所述全局VPC用于根据所述第一网络前缀和所述第二网络前缀实现所述第一VPC和所述第二VPC之间的跨区域通信。
19. 根据权利要求18所述的云管理平台，其特征在于，所述第一网络前缀中的区域标识与所述第二网络前缀中的区域标识不同。
20. 根据权利要求19所述的云管理平台，其特征在于，

    所述控制模块，还用于给所述全局VPC分配网络前缀，其中，所述第一网络前缀和所述第二网络前缀还包括所述全局VPC的网络前缀。
21. 根据权利要求20所述的云管理平台，其特征在于，还包括：

    网络配置模块，用于建立所述第一VPC和所述全局VPC之间的网络连接，以及所述第二VPC和所述全局VPC之间的网络连接。
22. 根据权利要求21所述的云管理平台，其特征在于，所述全局VPC存储有所述第一网络前缀、所述第二网络前缀以及所述第一网络前缀和所述第二网络前缀之间的路由关系。
23. 根据权利要求18-22任一项所述的云管理平台，其特征在于，所述第一VPC不支持与第三VPC通信。
24. 根据权利要求23所述的云管理平台，其特征在于，

    所述网络配置模块，还用于设置所述第一VPC的访问控制列表ACL，其中，所述ACL包括用于阻断所述第一VPC与所述第三VPC之间通信的表项。
25. 根据权利要求18-24任一项所述的云管理平台，其特征在于，所述第一VPC包括第一子网，

    所述控制模块，还用于通过所述全局VPC给所述第一子网分配网络前缀，其中，所述第一子网的网络前缀包括所述第一网络前缀和子网标识。
26. 根据权利要求25所述的云管理平台，其特征在于，所述第一子网包括虚拟机VM，

    所述控制模块，还用于通过所述全局VPC或所述第一VPC给所述VM分配网络前缀，其中，所述VM的网络前缀中的区域标识用于表示所述VM支持迁移至所述全局VPC管辖下的、可与所述第一VPC通信的VPC。
27. 根据权利要求26所述的云管理平台，其特征在于，所述VM的网络前缀中的区域标识不同于所述全局VPC管辖下的任一个VPC的网络前缀中的区域标识。
28. 根据权利要求27所述的云管理平台，其特征在于，所述全局VPC管辖下的、可与所述第一VPC通信的VPC包括所述第二VPC，

    所述控制模块，还用于将所述VM从所述第一VPC迁移至所述第二VPC，其中，所述迁移后的VM位于所述第二VPC的第二子网中，所述第二子网的网络前缀中的子网标识与所述第一子网的网络前缀中的子网标识相同。
29. 根据权利要求25所述的云管理平台，其特征在于，所述迁移后的VM的网络前缀与所述迁移前的VM的网络前缀相同。
30. 根据权利要求18-29任一项所述的云管理平台，其特征在于，

    所述控制模块，还用于给所述全局VPC分配带宽，其中，经过所述全局VPC的数据流满足所述带宽的要求。
31. 根据权利要求30所述的云管理平台，其特征在于，

    所述控制模块，还用于根据所述全局VPC的标识给所述经过所述全局VPC的数据流打上相应的流标签，根据所述流标签获得所述带宽的要求，以及根据所述带宽的要求指示所述数据流的转发。
32. 根据权利要求20-31任一项所述的云管理平台，其特征在于，所述全局VPC的网络前缀是所述云管理平台申请到的第六版网际协议IPv6前缀。
33. 根据权利要求20-31任一项所述的云管理平台，其特征在于，所述全局VPC的网络前缀是所述云管理平台生成的IPv6前缀。
34. 根据权利要求20-31任一项所述的云管理平台，其特征在于，所述全局VPC的网络前缀是所述租户申请到的IPv6前缀。
35. 一种通信***，其特征在于，包括前述权利要求1-17任一项所述的云管理平台，全局虚拟私有云VPC、位于第一区域的第一VPC以及位于第二区域的第二VPC。
36. 一种计算设备，其特征在于，包括处理器和存储器，所述处理器执行所述存储器中的计算机程序代码以实现前述权利要求1-17所述的任一项方法。
37. 一种计算机可读存储介质，其特征在于，存储有计算机程序代码，当所述计算机程序代码被计算设备执行时，所述计算设备执行前述权利要求1-17任一项所述的方法。