云资源池SSLVPN设备部署方法和装置与流程

云资源池sslvpn设备部署方法和装置
技术领域
1.本公开涉及云计算服务技术领域，具体而言，涉及一种云资源池sslvpn设备部署方法和装置。


背景技术：

2.随着云计算业务的发展，当前面向大众的公有云一般至少提供公网ip服务、安全组、vpc(virtual private cloud，虚拟私有云)、网络与子网、虚拟路由器、虚拟防火墙、虚拟负载均衡、ipsec vpn、sslvpn、vnat网关等各类网络服务，用户可根据业务得实际需求订购各类网络及安全业务。在用户订购业务后，后台sdn(software defined network，软件定义网络)编排系统根据用户的订购业务的情况，将用户订购的业务编排到具体的网元上，为用户提供快速部署的、可伸缩的业务能力。
3.虚拟路由器、虚拟防火墙、ipsec vpn、sslvpn、vnat网关等各类网络服务如何编排是sdn的一个关键问题。实际编排中，可以考虑将相关业务承载在一个集中网元上，也可以考虑将不同网络服务编排到不同的网元上。比如，从简化编排难度的角度考虑，可以将网络服务使用一个虚拟防火墙承载，即虚拟路由器、虚拟防火墙、ipsec vpn、sslvpn、vnat都承载一个虚拟系统中，租户流量从sdn网关引流到对应的虚拟系统中，在虚拟系统中做完安全业务(通过内部通道绕行到global防火墙系统转发)，然后通过global防火墙系统与公共网络互联互通。
4.上述网络服务编排方法将相关网络业务编排在同一个虚拟系统中，所有相关业务都在该虚拟系统完成，即在一个虚拟系统中同时承载虚拟路由器、虚拟防火墙、ipsecvpn、sslvpn、vnat等相关网络服务。而虚拟路由器、虚拟防火墙、vpn、vnat等存在的规格不对等现象会导致出现某类资源耗尽其他资源无法分配的问题。各类安全资源共享同一套硬件，各资源的消耗相互影响，很难发挥各自的最大性能。
5.因此，需要一种可克服sslvpn规格不对等导致的sslvpn性能受限提升的云资源池sslvpn设备部署方法和装置。


技术实现要素：

6.有鉴于此，本公开提供一种云资源池sslvpn设备部署方法和装置。根据本公开的一方面，提出一种云资源池sslvpn设备部署方法，该方法包括：创建防火墙资源池，所述防火墙资源池包括global1，所述防火墙资源池通过所述global1系统与公共网络进行联通；创建sslvpn独立资源池，所述sslvpn独立资源池包括global2系统，所述sslvpn独立资源池通过所述global2系统与公共网络进行联通；创建vpc，在接收到用户vpc申请后创建vpc1以及在所述防火墙资源池中创建vr1，并将所述vpc1编排在所述vr1上，以使所述vpc1能够与公共网络进行通讯；创建sslvpn，在接收到用户sslvpn申请后查询所述sslvpn独立资源池，当所述sslvpn独立资源池存在空闲sslvpn资源时在所述sslvpn独立资源池创建vr2，并在所述vr2上创建sslvpn1，以及分配所述sslvpn1的ip地址为ip1；创建隧道，在所述防火墙资
源池的global1系统与所述sslvpn独立资源池之间global2系统之间建立隧道，以实现建立在所述vr1上的所述vpc1与建立在所述sslvpn独立资源池中的所述sslvpn1之间的通讯。
7.根据本公开的云资源池sslvpn设备部署方法，其还包括：在所述防火墙资源池的global1系统与所述sslvpn独立资源池之间global2系统之间建立隧道时，采用gre隧道。
8.根据本公开的云资源池sslvpn设备部署方法，其中，在建立所述gre隧道时，获取所述global1系统的underlay ip地址和所述global2系统的underlay ip地址；在所述防火墙资源池创建gre1隧道，所述gre1隧道的隧道口的源ip为所述global1系统的underlay ip地址以及目的ip为所述global2系统的underlay ip地址，并将所述gre1的隧道口绑定到所述vr1上；在所述sslvpn独立资源池中创建gre2隧道，所述gre2的隧道口的源ip为所述global2系统的underlay ip地址以及目的ip为所述global1系统的underlay ip地址，并将所述gre2的隧道口绑定到所述vr2上。
9.根据本公开的云资源池sslvpn设备部署方法，其还包括：在所述sslvpn独立资源池中下发第一路由，所述第一路由包括设置目的ip地址为所述ip1的流量在经所述sslvpn1解封后，其的出接口为所述gre2的隧道口，以使所述sslvpn1解封后的流量可经所述gre2到达所述vr1，并最终转发至所述vpc1的overlay网络；获取所述sslvpn1的地址资源池，在所述防火墙资源池中下发第二路由，所述第二路由包括设置目的地址为所述sslvpn1的地址资源池中的地址的流量的出接口为所述gre1的隧道口，以使从所述vpc1到所述sslvpn1的流量可经所述gre1到达所述sslvpn1。
10.根据本公开的云资源池sslvpn设备部署方法，其还包括：针对在接收到针对新创建的vpc的sslvpn申请后所创建的新sslvpn，在建立其与所述新创建的vpc之间的gre隧道时，采用与已创建的gre隧道两端不同的ip地址进行隧道创建。
11.根据本公开的云资源池sslvpn设备部署方法，其还包括：针对在接收到针对新创建的vpc的sslvpn申请后所创建的新sslvpn，在建立其与所述新创建的vpc之间的gre隧道时，可采用与已创建的gre隧道两端相同的ip地址但不同的gre隧道key值进行创建。
12.根据本公开的另一方面，提出一种云资源池sslvpn设备部署装置，该装置包括：防火墙资源池创建组件，用于创建防火墙资源池，所述防火墙资源池包括global1，所述防火墙资源池通过所述global1系统与公共网络进行联通；sslvpn独立资源池创建组件，用于创建sslvpn独立资源池，所述sslvpn独立资源池包括global2系统，所述sslvpn独立资源池通过所述global2系统与公共网络进行联通；vpc创建组件，用于在接收到用户vpc申请后创建vpc1以及在所述防火墙资源池中创建vr1，并将所述vpc1编排在所述vr1上，以使所述vpc1能够与公共网络进行通讯；sslvpn创建组件，用于在接收到用户sslvpn申请后查询所述sslvpn独立资源池，当所述sslvpn独立资源池存在空闲sslvpn资源时在所述sslvpn独立资源池创建vr2，并在所述vr2上创建sslvpn1，以及分配所述sslvpn1的ip地址为ip1；隧道创建组件，用于在所述防火墙资源池的global1系统与所述sslvpn独立资源池之间global2系统之间建立隧道，以实现建立在所述vr1上的所述vpc1与建立在所述sslvpn独立资源池中的所述sslvpn1之间的通讯。
13.根据本公开的云资源池sslvpn设备部署装置，其中所述隧道创建组件还包括：gre隧道创建组件，用于在所述防火墙资源池的global1系统与所述sslvpn独立资源池之间global2系统之间建立隧道时，采用gre隧道。
14.根据本公开的云资源池sslvpn设备部署装置，其中，所述gre隧道创建组件在建立所述gre隧道时，还包括：underlay ip地址获取组件，用于获取所述global1系统的underlay ip地址和所述global2系统的underlay ip地址；防火墙资源池端gre隧道创建组件，用于在所述防火墙资源池创建gre1隧道，所述gre1隧道的隧道口的源ip为所述global1系统的underlay ip地址以及目的ip为所述global2系统的underlay ip地址，并将所述gre1的隧道口绑定到所述vr1上；sslvpn独立资源池端gre隧道创建组件，用于在所述sslvpn独立资源池中创建gre2隧道，所述gre2的隧道口的源ip为所述global2系统的underlay ip地址以及目的ip为所述global1系统的underlay ip地址，并将所述gre2的隧道口绑定到所述vr2上。
15.根据本公开的云资源池sslvpn设备部署装置，其还包括：sslvpn独立资源池端路由下发组件，用于在所述sslvpn独立资源池中下发第一路由，所述第一路由包括设置目的ip地址为所述ip1的流量在经所述sslvpn1解封后，其的出接口为所述gre2的隧道口，以使所述sslvpn1解封后的流量可经所述gre2到达所述vr1，并最终转发至所述vpc1的overlay网络；防火墙资源池路由下发组件，用于获取所述sslvpn1的地址资源池，在所述防火墙资源池中下发第二路由，所述第二路由包括设置目的地址为所述sslvpn1的地址资源池中的地址的流量的出接口为所述gre1的隧道口，以使从所述vpc1到所述sslvpn1的流量可经所述gre1到达所述sslvpn1。
16.根据本公开的云资源池sslvpn设备部署装置，其中，所述gre隧道创建组件还用于：针对在接收到针对新创建的vpc的sslvpn申请后所创建的新sslvpn，在建立其与所述新创建的vpc之间的gre隧道时，采用与已创建的gre隧道两端不同的ip地址进行隧道创建。
17.根据本公开的云资源池sslvpn设备部署装置，其中，所述gre隧道创建组件还用于：针对在接收到针对新创建的vpc的sslvpn申请后所创建的新sslvpn，在建立其与所述新创建的vpc之间的gre隧道时，可采用与已创建的gre隧道两端相同的ip地址但不同的gre隧道key值进行创建。
18.综上，采用本公开的云资源池sslvpn设备部署方法和装置，将sslvpn编排到独立的公共资源池中，之后通过gre隧道的建立以及将gre隧道与虚拟系统进行关联实现sslvpn的独立部署。通过部署专用设备的方式，提高了sslvpn并发及转发性能，解决了sslvpn规格不对等资源不匹配带来的sslvpn性能提升受限问题。
19.应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本技术。
附图说明
20.通过参照附图详细描述其示例实施例，本技术的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本技术的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
21.图1所示的是根据本公开实施例的云资源池sslvpn设备部署方法的流程示意图。
22.图2所示的是根据本公开实施例的云资源池sslvpn设备部署方法的应用场景图。
23.图3所示的根据本公开实施例的云资源池sslvpn设备部署装置的原理示意图。
24.图4所示的是根据本公开实施例的云资源池sslvpn设备部署装置中的隧道创建组
件310的原理示意图。
具体实施方式
25.现在将参考附图更全面地描述示例实施例。然而，示例实施例能够以多种形式实施，且不应被理解为限于在此阐述的实施例；相反，提供这些实施例使得本公开将全面和完整，并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。
26.此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本公开的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、系统、实现或者操作以避免模糊本公开的各方面。
27.附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
28.附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。
29.本领域技术人员可以理解，附图只是示例实施例的示意图，附图中的模块或流程并不一定是实施本公开所必须的，因此不能用于限制本公开的保护范围。
30.本公开实施例涉及专业术语如下：
31.gre(generic routing encapsulation，通用路由封装)协议是对某些网络层协议的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议中传输；
32.gre tunnel，每一条gre配置都对应一个三层虚拟接口；
33.vpn(virtual private network)，即虚拟专用网；
34.sslvpn(security socket layer-vpn，基于安全套接字层协议ssl的vpn)，是以ssl协议为安全基础的vpn远程接入技术，移动办公人员(在sslvpn中被称为远程用户)使用sslvpn可以安全、方便的接入企业内网进行企业内网资源的访问；
35.vpc(virutal private cloud)，指云上的虚拟私有网络。
36.overlay网络，层叠网络，指在基础网络基础上构架的租户网络；
37.underlay网络，与overlay网络对应，即基础网络各租户共享的公共网络。
38.fw(fire wall)，即防火墙；
39.vr(virtual router)，即虚拟路由。
40.根据本公开实施例的云资源池sslvpn设备部署方法和装置，将ssl vpn编排到独立的公共资源池中，以解决sslvpn规格不对等、sslvpn性能无法有效提升的问题。
41.图1所示的是根据本公开实施例的云资源池sslvpn设备部署方法的流程示意图，如图1所示，在步骤s102中，创建防火墙资源池，所述防火墙资源池包括global1，所述防火墙资源池通过所述global1系统与公共网络进行联通；
42.在步骤s104中，创建sslvpn独立资源池，所述sslvpn独立资源池包括global2系
统，所述sslvpn独立资源池通过所述global2系统与公共网络进行联通；
43.在步骤s106中，创建vpc，在接收到用户vpc申请后创建vpc1以及在所述防火墙资源池中创建vr1，并将所述vpc1编排在所述vr1上，以使所述vpc1能够与公共网络进行通讯；
44.在步骤s108中，创建sslvpn，在接收到用户sslvpn申请后查询所述sslvpn独立资源池，当所述sslvpn独立资源池存在空闲sslvpn资源时在所述sslvpn独立资源池创建vr2，并在所述vr2上创建sslvpn1，以及分配所述sslvpn1的ip地址为ip1；
45.在步骤s110中，创建隧道，在所述防火墙资源池的global1系统与所述sslvpn独立资源池之间global2系统之间建立隧道，以实现建立在所述vr1上的所述vpc1与建立在所述sslvpn独立资源池中的所述sslvpn1之间的通讯。
46.根据本公开实施例的云资源池sslvpn设备部署方法，其还包括：在所述防火墙资源池的global1系统与所述sslvpn独立资源池之间global2系统之间建立隧道时，采用gre隧道。
47.根据本公开实施例的云资源池sslvpn设备部署方法，其中，在建立所述gre隧道时，获取所述global1系统的underlay ip地址和所述global2系统的underlay ip地址；在所述防火墙资源池创建gre1隧道，所述gre1隧道的隧道口的源ip为所述global1系统的underlay ip地址以及目的ip为所述global2系统的underlay ip地址，并将所述gre1的隧道口绑定到所述vr1上；在所述sslvpn独立资源池中创建gre2隧道，所述gre2的隧道口的源ip为所述global2系统的underlay ip地址以及目的ip为所述global1系统的underlay ip地址，并将所述gre2的隧道口绑定到所述vr2上。
48.根据本公开实施例的云资源池sslvpn设备部署方法，其还包括：在所述sslvpn独立资源池中下发第一路由，所述第一路由包括设置目的ip地址为所述ip1的流量在经所述sslvpn1解封后，其的出接口为所述gre2的隧道口，以使所述sslvpn1解封后的流量可经所述gre2到达所述vr1，并最终转发至所述vpc1的overlay网络；获取所述sslvpn1的地址资源池，在所述防火墙资源池中下发第二路由，所述第二路由包括设置目的地址为所述sslvpn1的地址资源池中的地址的流量的出接口为所述gre1的隧道口，以使从所述vpc1到所述sslvpn1的流量可经所述gre1到达所述sslvpn1。
49.根据本公开实施例的云资源池sslvpn设备部署方法，其还包括：针对在接收到针对新创建的vpc的sslvpn申请后所创建的新sslvpn，在建立其与所述新创建的vpc之间的gre隧道时，采用与已创建的gre隧道两端不同的ip地址进行隧道创建。
50.根据本公开实施例的云资源池sslvpn设备部署方法，其还包括：针对在接收到针对新创建的vpc的sslvpn申请后所创建的新sslvpn，在建立其与所述新创建的vpc之间的gre隧道时，可采用与已创建的gre隧道两端相同的ip地址但不同的gre隧道key值进行创建。
51.图2所示的是根据本公开实施例的云资源池sslvpn设备部署方法的应用场景图。如图2所示，根据本公开实施例的云资源池sslvpn设备部署方法，通过在防火墙的公共系统(global-vfw0)中创建起gre隧道，将sslvpn独立资源池中的sslvpn实例(sslvpn1)与编排在防火墙上的租户虚拟路由(vr1_1)直接互联起来，解决sslvpn部署到独立资源池的问题。更具体的，如图2所示，详细部署方法如下：
52.s1：在租户申请vpc网络后，编排系统将为租户创建的vpc编排在vr1_1，此时用户
可以正常上网。
53.s2：租户申请sslvpn，编排系统发现存在独立sslvpn资源，编排系统就将sslvpn服务编排在独立sslvpn的资源上，具体编排过程如下：
54.s21：编排系统发现存在独立sslvpn资源sslvpn对1且sslvpn资源池sslvpn对1中存在剩余的sslvpn资源时，创建vr1_1并在vr1_1上创建sslvpn1，并分配sslvpn1的服务ip为：3.3.3.1。
55.s22：编排系统读取防火墙对1上的global-vfw0系统上的underlay的ip地址，假设地址ip1为1.1.1.1，以及sslvpn对1上的underlay的ip地址，假设地址ip2为2.2.2.1。
56.s23：编排系统读取两个underlay ip(1.1.1.1、2.2.2.1)后，在sslvpn对1上创建gre隧道及gre tunnel的隧道口，gre tunnel的隧道口假定为tunnel1，并将tunnel1编排到vr1_1上，该gre隧道的源ip/目的ip即为1.1.1.1/2.2.2.1；在防火墙对1上gre创建过程参考在sslvpn对1创建gre的过程，并假定在防火墙对1上的所创建的gre的隧道口为tunnel2(也可以为其它值比如tunnel1，两个互不影响)，并将tunnel2绑定在防火墙对1中的vr1_1上。
57.s24：gre隧道创建完成后，编排系统下发默认路由或策略路由，使得所有sslvpn1解封装之后的流量的出接口为tunnel1，这样sslvpn1解封装之后的流量即可通过gre隧道到达vr1_1上，在完成其它的安全业务后，经过虚拟路由器的转发到达租户的overlay的网络；编排系统读取sslvpn1的sslvpn地址池，假设sslvpn1的地址池建设为192.168.1.0/24，在防火墙对1的系统中下发默认路由或策略路由，使得192.168.1.0/24的路由至tunnel2，这样从租户侧回程的sslvpn流量即可通过gre隧道的封装转发至sslvpn1上。
58.经过上述的云资源池sslvpn设备部署后，针对北南走向流量，：sslvpn封装的流量(目的ip流量为3.3.3.1)到达sslvpn对1后，经公共系统global-vsys0达到vr1_1，解封装后源ip为sslvpn1地址池的地址192.168.1.0/24，目的ip为租户内网服务器的地址，通过默认路由转发至tunnel1，在tunnel1中加封装，然后到达防火墙对1公共系统global-vfw0，在公共系统解封装，然后通过关联的tunnel2口，到达vr1_1中，经过vr1_1的转发至租户的内网服务器。
59.针对南北走向流量：租户流量(目的地址192.168.1.0/24)的通过sdn网关进入vr1_1后，匹配下发的192.168.1.0/24的静态路由，转发至gre的隧道口tunnel2进行加封装，加封装后由公共系统global-vfw0查路由发送到sslvpn对1，然后由在公共系统global-vsys0解封装后，通过tunnel1关联的gre隧道进入sslvpn1的虚拟系统中转发，进行sslvpn1加封装，然后发送到租户的sslvpn客户端上。
60.需要说明的是，如图2所示，对于sslvpn的独立部署，其可旁挂在南北汇聚交换机上，也可以部署在underlay网络的任何其他位置上。
61.更具体的，当其他租户订购sslvpn时，可以与上述实施例不同的gre ip建立gre隧道，例如可以是：1.1.1.2和2.2.2.2，，以打通租户虚拟系统与sslvpn虚拟系统的连接。使用新的ip建立gre隧道，便于设备根据不同的ip进行分流，以降低单核cpu的消耗。
62.更具体的，多个ip之间可以使用n*n的gre ip配置方式，一方面可降低ip地址的数量，另一方面提高了ip地址的时用力。例如，可以是在1.1.1.1与2.2.2.2、1.1.1.1与2.2.2.3或者1.1.1.1与2.2.2.1之间都可以建立gre隧道。
63.更具体的，也可以通过扩展gre key值的方法配置两个gre隧道地址，实现对gre数量极大扩展，比如，防火墙对1的隧道可配置为：
64.11.1.1.12.2.2.2key＝10021.1.1.12.2.2.2key＝200
65.相应地，sslvpn的隧道可配置为：
66.12.2.2.21.1.1.1key＝10022.2.2.21.1.1.1key＝200
67.需要说明的是，根据本公开实施例的云资源池sslvpn设备部署方法，采用的是gre隧道，也可通过其他类型的隧道进行隧道建设。
68.图3所示的根据本公开实施例的云资源池sslvpn设备部署装置的原理示意图，如图3所示，该装置包括：
69.防火墙资源池创建组件302，用于创建防火墙资源池，所述防火墙资源池包括global1，所述防火墙资源池通过所述global1系统与公共网络进行联通；
70.sslvpn独立资源池创建组件304，用于创建sslvpn独立资源池，所述sslvpn独立资源池包括global2系统，所述sslvpn独立资源池通过所述global2系统与公共网络进行联通；
71.vpc创建组件306，用于在接收到用户vpc申请后创建vpc1以及在所述防火墙资源池中创建vr1，并将所述vpc1编排在所述vr1上，以使所述vpc1能够与公共网络进行通讯；
72.sslvpn创建组件308，用于在接收到用户sslvpn申请后查询所述sslvpn独立资源池，当所述sslvpn独立资源池存在空闲sslvpn资源时在所述sslvpn独立资源池创建vr2，并在所述vr2上创建sslvpn1，以及分配所述sslvpn1的ip地址为ip1；
73.隧道创建组件310，用于在所述防火墙资源池的global1系统与所述sslvpn独立资源池之间global2系统之间建立隧道，以实现建立在所述vr1上的所述vpc1与建立在所述sslvpn独立资源池中的所述sslvpn1之间的通讯。
74.图4所示的是根据本公开实施例的云资源池sslvpn设备部署装置中的隧道创建组件310的原理示意图。根据本公开实施例的云资源池sslvpn设备部署装置，如图4所示，其中所述隧道创建组件310还包括：gre隧道创建组件310a，用于在所述防火墙资源池的global1系统与所述sslvpn独立资源池之间global2系统之间建立隧道时，采用gre隧道。
75.如图4所示，根据本公开实施例的云资源池sslvpn设备部署装置，其中，所述gre隧道创建组件310a在建立所述gre隧道时，还包括：
76.underlay ip地址获取组件310a2，用于获取所述global1系统的underlay ip地址和所述global2系统的underlay ip地址；
77.防火墙资源池端gre隧道创建组件310a4，用于在所述防火墙资源池创建gre1隧道，所述gre1隧道的隧道口的源ip为所述global1系统的underlay ip地址以及目的ip为所述global2系统的underlay ip地址，并将所述gre1的隧道口绑定到所述vr1上；
78.sslvpn独立资源池端gre隧道创建组件310a6，用于在所述sslvpn独立资源池中创建gre2隧道，所述gre2的隧道口的源ip为所述global2系统的underlay ip地址以及目的ip为所述global1系统的underlay ip地址，并将所述gre2的隧道口绑定到所述vr2上。
79.根据本公开实施例的云资源池sslvpn设备部署装置，其还包括：
80.sslvpn独立资源池端路由下发组件312，用于在所述sslvpn独立资源池中下发第一路由，所述第一路由包括设置目的ip地址为所述ip1的流量在经所述sslvpn1解封后，其的出接口为所述gre2的隧道口，以使所述sslvpn1解封后的流量可经所述gre2到达所述vr1，并最终转发至所述vpc1的overlay网络；
81.防火墙资源池路由下发组件314，用于获取所述sslvpn1的地址资源池，在所述防火墙资源池中下发第二路由，所述第二路由包括设置目的地址为所述sslvpn1的地址资源池中的地址的流量的出接口为所述gre1的隧道口，以使从所述vpc1到所述sslvpn1的流量可经所述gre1到达所述sslvpn1。
82.根据本公开实施例的云资源池sslvpn设备部署装置，其中，所述gre隧道创建组件310a还用于：针对在接收到针对新创建的vpc的sslvpn申请后所创建的新sslvpn，在建立其与所述新创建的vpc之间的gre隧道时，采用与已创建的gre隧道两端不同的ip地址进行隧道创建。
83.根据本公开实施例的云资源池sslvpn设备部署装置，其中，所述gre隧道创建组件310a还用于：针对在接收到针对新创建的vpc的sslvpn申请后所创建的新sslvpn，在建立其与所述新创建的vpc之间的gre隧道时，可采用与已创建的gre隧道两端相同的ip地址但不同的gre隧道key值进行创建。
84.综上，采用本公开的云资源池sslvpn设备部署方法和装置，将sslvpn编排到独立的公共资源池中，之后通过gre隧道的建立以及将gre隧道与虚拟系统进行关联实现sslvpn的独立部署。通过部署专用设备的方式，提高了sslvpn并发及转发性能，解决了sslvpn规格不对等资源不匹配带来的sslvpn性能提升受限问题。
85.总体而言，采用本公开的技术手段，在租户申请vpc网络后，编排系统将租户创建的vpc编排在vr1_1,此时用户可以正常上网。租户申请sslvpn，编排系统发现存在独立sslvpn资源，编排系统就将sslvpn服务编排在独立sslvpn的资源上。具体编排过程为，编排系统发现存在独立sslvpn资源且sslvpn资源池中存在剩余的sslvpn资源时，创建vr1_1并在vr1_1上创建sslvpn1，并分配sslvpn的服务ip 3.3.3.1。编排系统读取防火墙对1上的global-vfw0系统上的underlay的ip地址，假设为ip11.1.1.1，以及sslvpn对1上的underlay的ip地址，假设地址ip2为2.2.2.1。编排系统读取两个underlay ip(1.1.1.1、2.2.2.1)后，在sslvpn对1上创建gre隧道及gre tunnel的隧道口，gre tunnel的隧道口假定为tunnel1，并将tunnel1编排到vr1_1中，该gre隧道的源ip及目的ip即为1.1.1.1,2.2.2.1，在防火墙对1上gre创建过程参考sslvpn对1，并假定gre的隧道口为tunnel2(也可以为其它值比如tunnel1，两个互不影响)，tunnel2绑定在vr1_1中。gre隧道创建完成后，编排器下发默认路由或策略路由(所有sslvpn解封装之后的流量)的出接口为tunnel1，这样sslvpn解封装之后的流量即可通过gre隧道到达vr1_1上，做其它安全业务，并经过虚拟路由器的转发到达租户的overlay的网络；编排器读取sslvpn1的sslvpn地址池建设为192.168.1.0/24，在防火墙对1的系统中下发，192.168.1.0/24的路由至tunnel2，这样从租户侧回程的sslvpn流量即可，通过gre隧道的封装转发至sslvpn1上。北南向流量走向：sslvpn封装的流量(目的ip流量为3.3.3.1)到达,sslvpn对1后，经公共系统达到vr1_1，解封装后源ip为sslvpn地址池的地址192.168.1.0/24，目的ip为租户内网服务器的地址，通过默认路由转发至tunnel2，在tunnel2中加封装，然后经过公共系统到达防火墙对1，在公
共系统解封装，然后通过关联的tunnel1口，到达vr1_1中，经过vr1_1的转发至租户的内网服务器。南北向流量走向：租户流量(目的地址192.168.1.0/24)的通过sdn网关进入vr1_1后，匹配下发的192.168.1.0/24的静态路由，转发至gre的隧道口tunnel2进行加封装，加封装后由公共系统查路由发送到sslvpn对1，然后由在公共系统解封装后，通过tunnel1关联的gre隧道进入sslvpn1的虚拟系统中转发，进行sslvpn解封装，然后发送到租户的sslvpn客户端上。在其他租户订购sslvpn时，使用新的gre ip 1.1.1.2、2.2.2.2，建立gre隧道，打通租户虚拟系统与sslvpn虚拟系统的连接。使用新的ip便于设备根据不同的ip进行分流，降低单核cpu的消耗。多个ip之间可以n*n租户从而降低ip地址的数量，提高ip地址的时用力。比如1.1.1.1与2.2.2.2，1.1.1.1与2.2.2.3以及1.1.1.1与2.2.2.1之间都可以建立gre隧道。也可以通过扩展gre key值的方法，两个gre隧道地址，即可无限扩展gre的数量。
86.通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本技术实施方式的上述方法。
87.所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
88.所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
89.可以以一种或多种程序设计语言的任意组合来编写用于执行本技术操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
90.上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该计算机可读介质实现如下功能：根据待测设备的类型生成测试脚本；对所述测试脚本进行解析生成多个命令数据；调用与所述多个命令数据的类型对应的多个接口；基于所述多个接口将所述多个命令数据分别发送至高加速应力筛选控制箱；高加速
应力筛选控制箱根据命令数据对所述待测设备进行测试。该计算机可读介质还可实现如下功能：在测试过程中，高加速应力筛选控制箱实时生成返回消息；基于所述返回消息进行测试状态展示；和/或基于所述返回消息生成测试报告。
91.本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中，也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。
92.通过以上的实施例的描述，本领域的技术人员易于理解，这里描述的示例实施例可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本技术实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本技术实施例的方法。
93.以上具体地示出和描述了本技术的示例性实施例。应可理解的是，本技术不限于这里描述的详细结构、设置方式或实现方法；相反，本技术意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。

技术特征：
1.一种云资源池sslvpn设备部署方法，包括：创建防火墙资源池，所述防火墙资源池包括global1，所述防火墙资源池通过所述global1系统与公共网络进行联通；创建sslvpn独立资源池，所述sslvpn独立资源池包括global2系统，所述sslvpn独立资源池通过所述global2系统与公共网络进行联通；创建vpc，在接收到用户vpc申请后创建vpc1以及在所述防火墙资源池中创建vr1，并将所述vpc1编排在所述vr1上，以使所述vpc1能够与公共网络进行通讯；创建sslvpn，在接收到用户sslvpn申请后查询所述sslvpn独立资源池，当所述sslvpn独立资源池存在空闲sslvpn资源时在所述sslvpn独立资源池创建vr2，并在所述vr2上创建sslvpn1，以及分配所述sslvpn1的ip地址为ip1；创建隧道，在所述防火墙资源池的global1系统与所述sslvpn独立资源池之间global2系统之间建立隧道，以实现建立在所述vr1上的所述vpc1与建立在所述sslvpn独立资源池中的所述sslvpn1之间的通讯。2.根据权利要求1所述的云资源池sslvpn设备部署方法，其还包括：在所述防火墙资源池的global1系统与所述sslvpn独立资源池之间global2系统之间建立隧道时，采用gre隧道。3.根据权利要求2所述的云资源池sslvpn设备部署方法，其中，在建立所述gre隧道时，获取所述global1系统的underlay ip地址和所述global2系统的underlay ip地址；在所述防火墙资源池创建gre1隧道，所述gre1隧道的隧道口的源ip为所述global1系统的underlay ip地址以及目的ip为所述global2系统的underlay ip地址，并将所述gre1的隧道口绑定到所述vr1上；在所述sslvpn独立资源池中创建gre2隧道，所述gre2的隧道口的源ip为所述global2系统的underlay ip地址以及目的ip为所述global1系统的underlay ip地址，并将所述gre2的隧道口绑定到所述vr2上。4.根据权利要求3所述的云资源池sslvpn设备部署方法，其还包括：在所述sslvpn独立资源池中下发第一路由，所述第一路由包括设置目的ip地址为所述ip1的流量在经所述sslvpn1解封后，其的出接口为所述gre2的隧道口，以使所述sslvpn1解封后的流量可经所述gre2到达所述vr1，并最终转发至所述vpc1的overlay网络；获取所述sslvpn1的地址资源池，在所述防火墙资源池中下发第二路由，所述第二路由包括设置目的地址为所述sslvpn1的地址资源池中的地址的流量的出接口为所述gre1的隧道口，以使从所述vpc1到所述sslvpn1的流量可经所述gre1到达所述sslvpn1。5.根据权利要求2所述的云资源池sslvpn设备部署方法，其还包括：针对在接收到针对新创建的vpc的sslvpn申请后所创建的新sslvpn，在建立其与所述新创建的vpc之间的gre隧道时，采用与已创建的gre隧道两端不同的ip地址进行隧道创建。6.根据权利要求2所述的云资源池sslvpn设备部署方法，其还包括：针对在接收到针对新创建的vpc的sslvpn申请后所创建的新sslvpn，在建立其与所述新创建的vpc之间的gre隧道时，可采用与已创建的gre隧道两端相同的ip地址但不同的gre隧道key值进行创建。7.一种云资源池sslvpn设备部署装置，包括：
防火墙资源池创建组件，用于创建防火墙资源池，所述防火墙资源池包括global1，所述防火墙资源池通过所述global1系统与公共网络进行联通；sslvpn独立资源池创建组件，用于创建sslvpn独立资源池，所述sslvpn独立资源池包括global2系统，所述sslvpn独立资源池通过所述global2系统与公共网络进行联通；vpc创建组件，用于在接收到用户vpc申请后创建vpc1以及在所述防火墙资源池中创建vr1，并将所述vpc1编排在所述vr1上，以使所述vpc1能够与公共网络进行通讯；sslvpn创建组件，用于在接收到用户sslvpn申请后查询所述sslvpn独立资源池，当所述sslvpn独立资源池存在空闲sslvpn资源时在所述sslvpn独立资源池创建vr2，并在所述vr2上创建sslvpn1，以及分配所述sslvpn1的ip地址为ip1；隧道创建组件，用于在所述防火墙资源池的global1系统与所述sslvpn独立资源池之间global2系统之间建立隧道，以实现建立在所述vr1上的所述vpc1与建立在所述sslvpn独立资源池中的所述sslvpn1之间的通讯。8.根据权利要求7所述的云资源池sslvpn设备部署装置，其中所述隧道创建组件还包括：gre隧道创建组件，用于在所述防火墙资源池的global1系统与所述sslvpn独立资源池之间global2系统之间建立隧道时，采用gre隧道。9.根据权利要求8所述的云资源池sslvpn设备部署装置，其中，所述gre隧道创建组件在建立所述gre隧道时，还包括：underlay ip地址获取组件，用于获取所述global1系统的underlay ip地址和所述global2系统的underlay ip地址；防火墙资源池端gre隧道创建组件，用于在所述防火墙资源池创建gre1隧道，所述gre1隧道的隧道口的源ip为所述global1系统的underlay ip地址以及目的ip为所述global2系统的underlay ip地址，并将所述gre1的隧道口绑定到所述vr1上；sslvpn独立资源池端gre隧道创建组件，用于在所述sslvpn独立资源池中创建gre2隧道，所述gre2的隧道口的源ip为所述global2系统的underlay ip地址以及目的ip为所述global1系统的underlay ip地址，并将所述gre2的隧道口绑定到所述vr2上。10.根据权利要求9所述的云资源池sslvpn设备部署装置，其还包括：sslvpn独立资源池端路由下发组件，用于在所述sslvpn独立资源池中下发第一路由，所述第一路由包括设置目的ip地址为所述ip1的流量在经所述sslvpn1解封后，其的出接口为所述gre2的隧道口，以使所述sslvpn1解封后的流量可经所述gre2到达所述vr1，并最终转发至所述vpc1的overlay网络；防火墙资源池路由下发组件，用于获取所述sslvpn1的地址资源池，在所述防火墙资源池中下发第二路由，所述第二路由包括设置目的地址为所述sslvpn1的地址资源池中的地址的流量的出接口为所述gre1的隧道口，以使从所述vpc1到所述sslvpn1的流量可经所述gre1到达所述sslvpn1。11.根据权利要求8所述的云资源池sslvpn设备部署装置，其中，所述gre隧道创建组件还用于：针对在接收到针对新创建的vpc的sslvpn申请后所创建的新sslvpn，在建立其与所述新创建的vpc之间的gre隧道时，采用与已创建的gre隧道两端不同的ip地址进行隧道创建。
12.根据权利要求8所述的云资源池sslvpn设备部署装置，其中，所述gre隧道创建组件还用于：针对在接收到针对新创建的vpc的sslvpn申请后所创建的新sslvpn，在建立其与所述新创建的vpc之间的gre隧道时，可采用与已创建的gre隧道两端相同的ip地址但不同的gre隧道key值进行创建。

技术总结
本公开涉及一种云资源池SSLVPN设备部署方法和装置，该方法包括：创建防火墙资源池，该防火墙资源池包括可使其与公共网络进行联通的GLOBAL1；创建SSLVPN独立资源池，该SSLVPN独立资源池包括可使其与公共网络进行联通的GLOBAL2系统；创建VPC，在接收到用户VPC申请后创建VPC1以及在防火墙资源池中创建VR1，并将VPC1编排在VR1上，以使VPC1能够与公共网络进行通讯；创建SSLVPN，在接收到用户SSLVPN申请后查询SSLVPN独立资源池，当SSLVPN独立资源池存在空闲SSLVPN资源时在SSLVPN独立资源池创建VR2，并在VR2上创建SSLVPN1，以及分配SSLVPN1的IP地址为IP1；创建隧道，在防火墙资源池的GLOBAL1系统与SSLVPN独立资源池之间GLOBAL2系统之间建立隧道，以实现建立在VR1上的VPC1与建立在SSLVPN独立资源池中的SSLVPN1之间的通讯。之间的通讯。之间的通讯。


技术研发人员：董俊文 孔伟政
受保护的技术使用者：杭州迪普科技股份有限公司
技术研发日：2022.07.20
技术公布日：2022/11/1