本發明公開了一種基于OpenStack架構提供VPN服務的實現方法，用戶通過VPN訪問網絡時，數據從Internet進入物理交換機；通過實體網卡，把數據轉發到實體網卡構建的虛擬交換機上，通過虛擬交換機把數據轉發給連接實例的虛擬網橋；虛擬網橋通過端口過濾把通過的數據傳遞給與它相連的路由器實例；在路由器實例內進行封裝數據；通過VPN網關把數據一直返回到實體交換機；通過Internet把數據直接傳遞給與Internet相連的用戶或公司內部可以聯網的用戶，在VPN用戶終端解封隧道傳過來的數據。本發明有益效果：本發明可支持通過構建虛擬云主機路由實例，為租戶和公有云租戶建立一條安全的虛擬專有網絡連接，租戶可以通過VPN網關使用自己公有云租借網絡的閑帶寬。

技術領域

本發明涉及網絡數據傳輸技術領域，尤其是一種基于OpenStack架構提供VPN服務的實現方法。

背景技術

公有云角逐日益激烈化，競相提供租戶訪問公有云內部VLan下云主機的途徑，為了便于租戶可以通過有網環境在任何地方辦公的要求，各大云提供商都提供了虛擬專用網絡的解決方案，以供租戶能夠直接和租戶內部實例交互。

通常情況下，構建一條虛擬的專有網絡很難確保租戶和公有云內租戶數據傳輸的安全性，需要額外的加密傳輸。當VPN建立以后，也會暴露路由器的地址，對路由器實例造成一定的安全隱患。但是，這種需求是必須的，因為租戶的數據通常在租戶本地，無法把本地數據傳輸到公有云租戶網絡內部進行處理，需要租戶自搭服務供公有云租戶實例訪問獲取，這增加了租戶數據傳輸的難度，但是這種方法相對來說比較安全，只是增加了用戶實現的難度，但是無法把處理結果傳送出去。從用戶的視角來說是極不合理的，用戶更希望能夠簡單、安全的訪問自己私有的資源，并能把處理數據上傳和處理結果回傳。同時，用戶還希望使用它們自己租用的閑余帶寬資源，輔助緩解公司外部帶寬壓力。

通常情況下，為了能讓用戶自定義自己的私有網絡，一般都采用VLan或VXLan重疊網絡技術，可以讓每個租戶都擁有自己的網絡。采用LinuxBridge+VLan技術不僅能夠滿足租戶自定義網絡的需求，還可以讓用戶可以通過租用一個外網地址，供內部實例共享帶寬，節約用戶成本。使用VLan網絡的缺點是，租戶的云主機實例只能夠通過路由器對外網進行訪問，獲取外部數據，不能讓外部主機主動獲取內部云主機的數據，租戶私有網絡對外是不可見的。也就是說，用戶只能通過具有路由功能的設備訪問外部的內容和獲取外部內容，如果用戶想把自己云平臺上運行結果傳輸到本地進行保存，是比較困難的一件事。

因此，對于上述問題有必要提出一種基于OpenStack架構提供VPN服務的實現方法。

發明內容

本發明目的是克服了現有技術中的不足，提供了一種基于OpenStack架構提供VPN服務的實現方法，為了確保租戶可以在任何外網的環境下可以與公有云內自己的實例進行數據交互。

為了解決上述技術問題，本發明是通過以下技術方案實現：

一種基于OpenStack架構提供VPN服務的實現方法，其方法步驟為：步驟一：用戶通過VPN訪問網絡時，數據從Internet進入物理交換機；步驟二：通過實體網卡，把數據轉發到實體網卡構建的虛擬交換機上，通過虛擬交換機把數據轉發給連接實例的虛擬網橋；步驟三：虛擬網橋通過端口過濾把通過的數據傳遞給與它相連的路由器實例；步驟四：在路由器實例內進行封裝數據，以便在用戶和路由器實例之間構建的VPN內進行數據傳輸；步驟五：通過VPN網關把數據一直返回到實體交換機；步驟六：通過Internet把數據直接傳遞給與Internet相連的用戶或公司內部可以聯網的用戶，在VPN用戶終端解封隧道傳過來的數據。

進一步的用戶傳遞文件給公有云內租戶的實例時，首先在本地進行封裝，然后通過Internet傳遞到帶有VPN功能的路由器，接著解封裝通過VPN傳遞過來的數據，傳送到目標主機，公有云內租戶實例傳遞給用戶時，走相反的過程。