一种服务引流方法、装置及介质与流程

1.本技术涉及云计算技术领域，特别涉及一种服务引流方法、装置及介质。


背景技术：

2.随着用户业务的大规模上云，传统数据中心内的各种非业务类型设备也逐步虚拟化并迁移上云，如web应用防火墙waf(web application firewall)、边界防火墙、dpi(deep packet inspection)设备、日志审计设备等等，这些设备虚拟化以后，由用户在云计算管理控制台根据其自身需求可动态在线创建并部署于用户vpc(即virtual private cloud，虚拟私有云)内部，然后将特定的业务流量牵引到其中一个或多个非业务类型设备上，实现如安全防护、上网行为审计、日常监控等目的。然而，传统数据中心的那种简单基于路由或策略路由的服务引流方法在基于全分布式路由架构的大规模云计算平台下却不能正常工作，这是因为全分布式路由架构下，弹性云服务器的南北向流量在进出vpc时的snat(即source network address translation，源网络地址转换)/dnat(即destination network address translation，目的网络地址转换)操作需对称执行，即在该弹性云服务器所在物理节点上的vpc虚拟路由器上执行，这带来的问题就是当引流链的源弹性云服务器与非业务类型虚拟设备位于不同物理节点时，进、出vpc的流量路径和报文中的源、目的ip地址呈现不对性，这会导致安全类的设备无法正常建立会话，通信不能正常建立。
3.目前，openstack社区针对dvr(distributed virtual router，即分布式虚拟路由器)架构所提的基于全流表的透明引流方案对数据平面的二层转发逻辑形成巨大的侵入性，且需要针对所有源弹性云服务器下发相关流表，用户的弹性云服务器增、删时都会导致控制平面与数据平面的大量交互，无法满足大规模公有云对稳定性、健壮性的需求，并且可扩展性较差，无法支持大规模的场景。


技术实现要素：

4.有鉴于此，本技术的目的在于提供一种服务引流方法、装置及介质，能够在保障云平台稳定性及健壮性的情况下，实现流量路径的对称性，并且，可扩展性强。其具体方案如下：
5.第一方面，本技术公开了一种服务引流方法，包括：
6.获取服务引流链的配置信息；
7.基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户vpc内的虚拟路由器；其中，所述虚拟路由器采用全分布式架构部署于所述用户vpc内；
8.根据所述服务引流链中各所述非业务类型虚拟设备的正向顺序生成出网策略路由、以及各所述非业务类型虚拟设备的逆向顺序生成入网策略路由；
9.将所述出网策略路由和所述入网策略路由下发至所述虚拟路由器，并基于所述出网策略路由和所述入网策略路由进行服务引流。
10.可选的，还包括：
11.通过所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器执行针对出网流量的snat操作；
12.通过目的弹性云服务器所在物理节点上的虚拟路由器执行针对入网流量的dnat操作。
13.可选的，所述通过所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器执行针对出网流量的snat操作，包括：
14.当所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器根据报文中的目的ip判断出当前报文为出网报文，则执行针对出网流量的snat操作。
15.可选的，所述基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户vpc内的虚拟路由器，包括：
16.基于所述配置信息确定所述服务引流链中的非业务类型虚拟设备；
17.在用户vpc内为每个所述非业务类型虚拟设备创建一个独立的互联子网；
18.通过所述互联子网将每个所述非业务类型虚拟设备均挂接至所述用户vpc内的虚拟路由器。
19.可选的，所述获取服务引流链的配置信息，包括：
20.通过云计算管理控制台获取服务引流链的配置信息；
21.相应的，所述方法还包括：基于所述配置信息调用预设北向接口，启动所述基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户vpc内的虚拟路由器的步骤。
22.可选的，所述出网策略路由包括源ip、源端口、传输层协议类型、报文入端口以及下一跳信息；所述入网策略路由包括目的ip、目的端口、传输层协议类型、报文入端口以及下一跳信息。
23.可选的，所述基于所述出网策略路由和所述入网策略路由进行服务引流，包括：
24.当虚拟路由器接收到出网报文，则根据第一匹配条件在所述出网策略路由中匹配出第一目标出网策略路由，并基于所述第一目标出网策略路由进行服务引流；
25.当虚拟路由器接收到入网报文，则根据第二匹配条件在所述出网策略路由中匹配出第二目标出网策略路由，并基于所述第二目标出网策略路由进行服务引流；
26.其中，所述第一匹配条件包括源ip、源端口、传输层协议类型、报文入端口，所述第二匹配条件包括目的ip、目的端口、传输层协议类型、报文入端口。
27.第二方面，本技术公开了一种服务引流装置，包括配置信息获取模块、虚拟设备挂接模块、策略路由生成模块、策略路由下发模块、虚拟路由器，其中，
28.所述配置信息获取模块，用于获取服务引流链的配置信息；
29.所述虚拟设备挂接模块，用于基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户vpc内的虚拟路由器；其中，所述虚拟路由器采用全分布式架构部署于所述用户vpc内；
30.所述策略路由生成模块，用于根据所述服务引流链中各所述非业务类型虚拟设备的正向顺序生成出网策略路由、以及各所述非业务类型虚拟设备的逆向顺序生成入网策略路由；
31.所述策略路由下发模块，用于将所述出网策略路由和所述入网策略路由下发至所
述虚拟路由器；
32.所述虚拟路由器，用于基于所述出网策略路由和所述入网策略路由进行服务引流。
33.可选的，所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器，用于执行针对出网流量的snat操作；
34.目的弹性云服务器所在物理节点上的虚拟路由器，用于执行针对入网流量的dnat操作。
35.第三方面，本技术公开了一种计算机可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述的服务引流方法。
36.可见，本技术先获取服务引流链的配置信息，然后基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户vpc内的虚拟路由器；其中，所述虚拟路由器采用全分布式架构部署于所述用户vpc内，之后根据所述服务引流链中各所述非业务类型虚拟设备的正向顺序生成出网策略路由、以及各所述非业务类型虚拟设备的逆向顺序生成入网策略路由，最后将所述出网策略路由和所述入网策略路由下发至所述虚拟路由器，并基于所述出网策略路由和所述入网策略路由进行服务引流。也即，本技术可以获取服务引流链的配置信息，将服务引流链中的每个非业务类型虚拟设备均挂接至用户vpc内的虚拟路由器，并生成策略路由，通过策略路由进行服务引流，对数据平面没有侵入性，保障了云平台的稳定性和健壮性，并且，策略路由的规模不随弹性云服务器数目的增加而增长，与全流表化的服务引流方案相比，具有良好的可扩展性，进一步的，由于策略路由包括根据服务引流链中各非业务类型虚拟设备的正向顺序生成出网策略路由、以及各非业务类型虚拟设备的逆向顺序生成入网策略路由，具有对称性，保障了服务引流时的流量路径对称性。
附图说明
37.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
38.图1为本技术公开的一种服务引流方法流程图；
39.图2为本技术公开的一种具体的服务引流方案实施架构图；
40.图3为本技术公开的一种服务引流原理示意图；
41.图4为本技术公开的一种同节点出网方向的服务引流示意图；
42.图5为本技术公开的一种同节点入网方向的服务引流示意图；
43.图6为本技术公开的一种跨节点出网方向的服务引流示意图；
44.图7为本技术公开的一种跨节点入网方向的服务引流示意图；
45.图8为本技术公开的一种链式同节点出网方向的服务引流示意图；
46.图9为本技术公开的一种链式同节点入网方向的服务引流示意图；
47.图10为本技术公开的一种链式跨节点出网方向的服务引流示意图；
48.图11为本技术公开的一种链式跨节点入网方向的服务引流示意图
49.图12为本技术公开的一种服务引流装置结构示意图。
具体实施方式
50.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
51.随着云计算技术的成熟和应用对弹性扩展和高可用等需要的日益增强，越来越多的企业选择将自己的业务从线下机房的物理机上迁移到云数据中心的云主机上。对于企业来说，业务上云可以带来诸多好处，比如可以节省重资产的it基础设施投资，可以根据业务规模按需开启云主机来部署业务，有效降低企业特别是中小型企业和创业型企业的前期成本支出；另外，随着用户业务规模的增长，可以随时动态增加云上资源的数量来增量部署业务，当某些业务规模缩减时，可以动态减少云上资源的数量以节约成本。随着应用的上云，传统数据中心的非业务类型设备也逐渐虚拟化并在云端部署，这些设备本身不提供针对普通用户的具体业务，但它们是用户业务运行的重要保障，如web应用防火墙waf、边界防火墙、dpi设备、日志审计设备等等也逐步开始上云，与用户的云上应用一起，构成了云上完整的应用基础架构，支撑用户的服务。在传统数据中心内部，这些非业务类型的设备一般以物理设备的形态存在，通常部署于物理网络的边缘，通过配置路由表项或策略路由表项等实现用户业务的引流，将特定业务的流量牵引到某一个或多个非业务类型的设备上执行安全过滤、病毒防护、日志审计等操作，保障业务的安全性和健壮性，或执行相关的统计监控操作。传统数据中心的非业务类型设备由于其成本较高，且集中式部署，其往往服务于整个数据中心内的用户，不同用户的业务流量可能都需要经过相同的边界设备进行处理，不利于用户业务的安全性隔离，同时，这些边界设备的配置接口需要暴露给用户，也存在安全隐患。非业务类型设备的虚拟化和迁移上云是满足业务上云的需要，也是企业信息化转型的基本要求。与传统数据中心相比，这些非业务类型设备在云上的存在形式、部署方式、服务主体等方面均存在明显的不同，传统数据中心中一般是以物理服务器或专门物理设备形式存在，云上一般以弹性云服务器ecs(elastic cloud server)或容器的方式存在，传统数据中心中的部署方式一般是事先由运维人员或管理员部署在网络的边缘，云上一般是由用户自己根据需要在线自动化按需部署，且部署在用户自己的vpc内部，传统数据中心内一般是服务于全部或多个用户，而云上用户创建的虚拟非业务类型设备只属于该用户独享，对其他用户不可见。
52.非业务类型设备迁移上云之后，面临的一个重要难题就是服务引流问题。由于在传统数据中心内，这类设备一般是直接串在网络边缘，因此可通过简单路由配置或策略路由配置即可实现服务引流，然而在虚拟化的云端环境中，以弹性云服务器或容器方式存在于用户自己的vpc内部，需要从vpc的虚拟路由器进行进、出网的流量牵引，这在集中式路由架构下，相对比较容易实现，只需在集中式的虚拟路由器上配置类似于传统数据中心的引流路由策略即可，然而在全分布式路由架构下，这种方式行不通。vpc的虚拟路由器除了用于同vpc内部不同子网间的三层路由，还承担出网流量的snat和入网流量的dnat操作，全分布式路由架构下如果采用简单的路由表项或策略路由方式实现引流，会导致的进出vpc的流量路径不对称或者流量中的报文源、目的ip地址不对称，这会导致安全类的设备无法正常建立会话，从而通信过程无法建立。openstack社区针对dvr架构也提出了全透明的sfc
(service function chain，即服务链)方案，用的是全流表化实现的透明引流方案，这个方案存在几个明显的缺点：1)对数据平面侵入性大，将引流动作融合在二层转发逻辑里面，容易引入平台的不稳定；2)可扩展性差，每增加一个防护目标就需要增加一系列流表，涉及大量的控制平面与数据平面交互，给系统控制平面带来巨大压力；3)只支持单向引流，不支持双向的引流，如果需要双向对称引流则需要创建两条对称的链；4)不支持南北向的服务引流，无法从vpc的虚拟路由器上引出流量。目前也有一些针对上述方案进行优化的措施，如引入引流中转代理，将南北向流量通过中转代理转换成东西向流量，然后再借助全流表化的透明引流方案实现南北向引流，但无法从根本上满足大规模公有云对稳定性、健壮性、扩展性等需求。为此，本技术提供了一种服务引流方案，能够在保障云平台稳定性及健壮性的情况下，实现流量路径的对称性，并且，可扩展性强。
53.参见图1所示，本技术实施例公开了一种服务引流方法，包括：
54.步骤s11：获取服务引流链的配置信息。
55.在具体的实施方式中，通过云计算管理控制台获取服务引流链的配置信息。用户可以通过界面在云计算管理控制台创建服务引流链，这样，本技术实施例通过云计算管理控制台获取到服务引流链的配置信息。
56.步骤s12：基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户vpc内的虚拟路由器；其中，所述虚拟路由器采用全分布式架构部署于所述用户vpc内。
57.在具体的实施方式中，可以基于所述配置信息确定所述服务引流链中的非业务类型虚拟设备；在用户vpc内为每个所述非业务类型虚拟设备创建一个独立的互联子网；通过所述互联子网将每个所述非业务类型虚拟设备均挂接至所述用户vpc内的虚拟路由器。
58.步骤s13：根据所述服务引流链中各所述非业务类型虚拟设备的正向顺序生成出网策略路由、以及各所述非业务类型虚拟设备的逆向顺序生成入网策略路由。
59.其中，所述出网策略路由包括源ip、源端口、传输层协议类型、报文入端口以及下一跳信息；所述入网策略路由包括目的ip、目的端口、传输层协议类型、报文入端口以及下一跳信息。
60.并且，出网方向的第一条策略路由中的报文入端口为vpc的缺省网关口，后序策略路由中的报文入端口为上一跳非业务类型虚拟设备的互联子网的缺省网关口；入网方向的第一条策略路由中的报文入端口为连接外网的接口，后序策略路由中的报文入端口为上一跳非业务类型虚拟设备的互联子网的缺省网关口。可以理解的是，出网方向的第一条出网策略路由中的下一跳信息为所述服务引流链的第一个非业务类型虚拟设备，入网方向的第一条入网策略路由中的下一跳信息为所述服务引流链的最后一个非业务类型虚拟设备。
61.步骤s14：将所述出网策略路由和所述入网策略路由下发至所述虚拟路由器，并基于所述出网策略路由和所述入网策略路由进行服务引流。
62.当虚拟路由器接收到出网报文，则根据第一匹配条件在所述出网策略路由中匹配出第一目标出网策略路由，并基于所述第一目标出网策略路由进行服务引流；当虚拟路由器接收到入网报文，则根据第二匹配条件在所述出网策略路由中匹配出第二目标出网策略路由，并基于所述第二目标出网策略路由进行服务引流；其中，所述第一匹配条件包括源ip、源端口、传输层协议类型、报文入端口，所述第二匹配条件包括目的ip、目的端口、传输
层协议类型、报文入端口。也即，本技术中，根据源ip、源端口、传输层协议类型、报文入端口构成匹配条件，匹配出网方向的路由策略，根据目的ip、目的端口、传输层协议类型、报文入端口构成匹配条件，匹配入网方向的路由策略，实现对出网络流量和入网流量的牵引。
63.其中，当所述非业务类型虚拟设备处理完虚拟路由器发送的报文，则通过缺省路由将处理后报文送回同一物理节点上的虚拟路由器。
64.进一步的，本技术实施例在通过云计算管理控制台获取服务引流链的配置信息之后，基于所述配置信息调用预设北向接口，启动上述步骤s12、步骤s13、以及将所述出网策略路由和所述入网策略路由下发至所述虚拟路由器的步骤，完成服务引流链的创建。
65.可见，本技术实施例获取服务引流链的配置信息，将服务引流链中的每个非业务类型虚拟设备均挂接至用户vpc内的虚拟路由器，并生成策略路由，通过策略路由进行服务引流，对数据平面没有侵入性，保障了云平台的稳定性和健壮性，并且，策略路由的规模不随弹性云服务器数目的增加而增长，与全流表化的服务引流方案相比，具有良好的可扩展性，进一步的，由于策略路由包括根据服务引流链中各非业务类型虚拟设备的正向顺序生成出网策略路由、以及各非业务类型虚拟设备的逆向顺序生成入网策略路由，具有对称性，保障了服务引流时的流量路径对称性。
66.进一步的，本技术实施例通过所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器执行针对出网流量的snat操作；通过目的弹性云服务器所在物理节点上的虚拟路由器执行针对入网流量的dnat操作。这样，能够实现南北向的服务引流，保障报文源ip和目的ip的对称性。
67.其中，当所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器根据报文中的目的ip判断出当前报文为出网报文，则执行针对出网流量的snat操作。可以理解的是，服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器匹配不到出网策略路由，通过缺省路由发送流量。并且，目的弹性云服务器即报文的所要发送至的弹性云服务器。
68.也即，本技术实施例将非业务类型虚拟设备部署在用户的vpc内部，通过独立的互联子网与vpc的虚拟路由器互联；vpc的虚拟路由器采用全分布式架构，即vpc内资源涉及到的物理节点上均生成该vpc的虚拟路由器，各节点上的虚拟路由器只负责本节点上与该vpc相关流量的路由和snat/dnat操作；根据用户配置信息，在虚拟路由器上下发策略路由项，将指定的业务流量重定向到用户自定义的非业务类型虚拟设备上；进、出vpc的双向流量都需要经过非功能性虚拟设备，配置策略路由时，通过报文的接收端口来区分是出方向还是进方向；对于多个非业务类型虚拟设备构成的链式路径，需要为每一个设备创建一个互联子网并挂接到vpc的虚拟路由器上，通过策略路由将流量从第一个非业务类型虚拟设备牵引到第二个非业务类型虚拟设备，再通过策略路由从第二个牵引到第三个，以此类推，构成完整的链式路径；对于南北向流量的snat/dnat操作采用非对称处理，出网方向的snat操作由最后一个非业务类型虚拟设备所在节点的vpc虚拟路由器负责执行，入网方向的dnat操作则由目的弹性云服务器所在的节点上的vpc虚拟路由器负责执行。这样的操作使得，与基于流表的引流方案相比，只涉及云计算平台控制平面的开发，对数据平面无侵入性，不破坏数据平面的稳定性和健壮性；策略路由实现全路径正反向对称引流，可支持各种非业务类型的虚拟设备，包括各种安全设备、监控设备、日志审计设备等等；支持全分布式路由架构
下的服务引流，通过非对称snat/dnat操作，支持链式和跨节点的南北向的服务引流；无需引入额外的引流服务中转代理，直接从vpc的虚拟路由器上通过策略路由逐跳牵引流量，可有效降低部署开销；非业务类型虚拟设备配置简单，只需给每个设备配置一条缺省路由指到各自互联子网的网关即可，无需其它外配置即可实现复杂的链式引流；策略路由表项的规模不随新增引流源弹性云服务器数目的增加而增长，与全流表化的服务引流方案相比，具有良好的可扩展性。
69.进一步的，参见图2所示，本技术实施例公开了一种具体的服务引流方案的实现架构图，包括以下组件：北向接口；配置数据库；服务链管理模块；虚拟网络l3管理模块；互联子网管理模块。其中，
70.北向接口：给云计算管理平台或第三方平台提供创建、修改、删除、查看用户自定义服务引流链的一系列restful接口。
71.配置数据库：用于记录用户创建的服务引流链的配置信息。
72.服务链管理模块：负服务引流链的创建、修改、删除等具体行为，调用互联子网管理模块的相关功能给每一个非功能性虚拟设备创建一个互联子网，并调用虚拟网络l3管理模块的相关接口创建策略路由项并下发给vpc的虚拟路由器，实现数据平面的流量牵引。
73.虚拟网络l3管理模块：负责vpc虚拟路由器的路由管理和策略路由管理，包括添加路由和策略路由，删除路由和策略路由，修改路由和策略路由的下一跳，查询当前配置的路由和策略路由信息等。
74.互联子网管理模块：负责vpc内针对非功能性虚拟设备的互联子网的管理，包括创建和删除，以及将互联子网挂接到vpc的虚拟路由器上，实现非功能性虚拟设备与用户vpc的联通。
75.下面以用户创建服务引流链为例，描述控制平面的执行过程，具体过程如下：用户通过界面在云计算管理控制台创建一条服务引流链；云计算管理控制台调用服务引流系统的北向接口创建服务引流链；北向接口调用服务链管理模块启动创建服务引流链，并将配置信息记入配置数据库；服务链管理模块调用互联子网管理模块的接口为每一个非业务类型虚拟设备创建一个互联子网，并挂接到用户vpc的虚拟路由器上；服务链管理模块调用虚拟网络l3管理模块的接口为每一个非业务类型虚拟设备下发引流的策略路由，包括出网方向和入网方向，具体可以通过源ip和目的ip进行区分，假设需要针对ip为10.0.1.1的弹性云服务器的tcp 1010端口的业务进行引流，那么出网的策略路由应该可以定义：源ip＝10.0.1.1，源端口＝1010，传输层协议类型＝tcp，下一跳＝服务引流链的第一个节点，而入网的策略路由应该这样定义：目的ip＝10.0.1.1，目的端口＝1010，传输层协议类型＝tcp，下一跳＝服务引流链的最后一个节点，也就是说，出网策略路由和入网策略路由的下一跳是服务链对称的。至此，服务引流链的创建过程已完成。
76.参见图3所示，图3为本技术实施例公开的一种服务引流原理示意图。子网中弹性云服务器vm发出的报文首先到达vpc的虚拟路由器vrouter上；虚拟路由器vrouter通过策略路由(pbr，policy-based routing)，将报文送给本节点上的虚拟防火墙vfw；虚拟防火墙vfw进行安全防护过滤，如果允许报文通过，则通过缺省路由将报文再次送给虚拟路由器vrouter，虚拟路由器vrouter收到报文后，根据报文的目的ip可以判断出该报文为出网报文，执行snat操作，将报文的源ip由内网ip映射成公网ip或者与公网ip一对一映射的浮动
ip，虚拟路由器vrouter将报文送给拓扑更上层的设备执行进一步地址映射或者直接出到公网，至此，出网完成。进一步的，数据平面的执行过程分为多种可能的场景，包括：同节点出网、同节点入网、跨节点出网、跨节点入网、链式同节点出网、链式同节点入网、链式跨节点出网、链式跨节点入网等，下面分别展开说明。
77.参见图4所示，图4为本技术实施例公开的一种同节点出网方向的服务引流示意图，同节点出网方向的服务引流包括以下步骤：
78.步骤21：弹性云服务器vm发出的报文首先到达当前物理服务器(即计算节点1)上该vpc的虚拟路由器vrouter上；
79.步骤22：虚拟路由器vrouter通过策略路由(pbr)，将报文送给本节点上的虚拟防火墙vfw；
80.步骤23：虚拟防火墙vfw进行安全防护过滤，如果允许报文通过，则通过缺省路由将报文再次送给虚拟路由器vrouter，跳到步骤24，否则丢弃；
81.步骤24：虚拟路由器vrouter收到报文后，根据报文的目的ip可以判断出该报文为出网报文，执行snat操作，将报文的源ip由内网ip映射成公网ip或者与公网ip一对一映射的浮动ip，而从浮动ip到公网ip的映射由更上层的设备完成；
82.步骤25：虚拟路由器vrouter将报文送给拓扑更上层的设备执行进一步地址映射或者直接出到公网，至此，出网完成。
83.参见图5所示，图5为本技术实施例公开的一种同节点入网方向的服务引流示意图，同节点入网方向的服务引流包括以下步骤：
84.步骤31：来自公网的报文到达当前物理服务器(即计算节点1)上的vpc虚拟路由器vrouter；
85.步骤32：虚拟路由器vrouter执行dnat操作，将报文目的ip从公网ip映射成弹性云服务器vm的内网ip；
86.步骤33：虚拟路由器vrouter通过策略路由，将报文送给本节点上的虚拟防火墙vfw；
87.步骤34：虚拟防火墙vfw进行安全防护过滤，如果允许报文通过，则通过缺省路由将报文送回虚拟路由器vrouter，跳到步骤35，否则丢弃；
88.步骤35：虚拟路由器vrouter通过直连路由将报文送给目的主机，即弹性云服务器vm，至此，入网完成。
89.参见图6所示，图6为本技术实施例公开的一种跨节点出网方向的服务引流示意图，跨节点出网方向的服务引流包括以下步骤：
90.步骤41：弹性云服务器vm发出的报文首先到达当前物理服务器(即计算节点1)上该vpc的虚拟路由器vrouter上；
91.步骤42：计算节点1上的虚拟路由器vrouter通过策略路由，将报文送给计算节点2上的虚拟防火墙vfw；
92.步骤43：计算节点2上的虚拟防火墙vfw进行安全防护过滤，如果允许报文通过，则通过缺省路由将报文送给计算节点2上的虚拟路由器vrouter，跳到步骤44，否则丢弃；
93.步骤44：计算节点2上的虚拟路由器vrouter收到报文后，根据报文的目的ip可以判断出该报文为出网报文，执行snat操作，将报文的源ip由内网ip映射成公网ip或者与公
网ip一对一映射的浮动ip，而从浮动ip到公网ip的映射由更上层的设备完成；
94.步骤45：计算节点2上的虚拟路由器vrouter将报文送给拓扑更上层的设备执行进一步地址映射或者直接出到公网，至此，出网完成。
95.参见图7所示，图7为本技术实施例公开的一种跨节点入网方向的服务引流示意图，跨节点入网方向的服务引流包括以下步骤：
96.步骤51：来自公网的报文到达弹性云服务器vm所在的物理服务器(即计算节点1)上的vpc虚拟路由器vrouter；
97.步骤52：计算节点1上的虚拟路由器vrouter执行dnat操作，将报文目的ip从公网ip映射成弹性云服务器vm的内网ip；
98.步骤53：计算节点1上的虚拟路由器vrouter通过策略路由，将报文送给计算节点2上的虚拟防火墙vfw；
99.步骤54：计算节点2上的虚拟防火墙vfw进行安全防护过滤，如果允许报文通过，则通过缺省路由将报文送给计算节点2上的虚拟路由器vrouter，跳到步骤55，否则丢弃；
100.步骤55：计算节点2上的虚拟路由器vrouter通过直连路由将报文送给目的主机，即弹性云服务器vm，至此，入网完成。
101.参见图8所示，图8为本技术实施例公开的一种链式同节点出网方向的服务引流示意图，链式同节点出网方向的服务引流包括以下步骤：
102.步骤61：弹性云服务器vm发出的报文首先到达当前物理服务器(即计算节点1)上该vpc的虚拟路由器vrouter上；
103.步骤62：计算节点1上的虚拟路由器vrouter通过策略路由，将报文送给计算节点1上的虚拟防火墙vfw；
104.步骤63：计算节点1上的虚拟防火墙vfw进行安全防护过滤，如果允许报文通过，则通过缺省路由将报文送回计算节点1上的虚拟路由器vrouter，跳到步骤64，否则丢弃；
105.步骤64：计算节点1上的虚拟路由器vrouter通过策略路由，将报文送给计算节点1上的web应用防火墙waf；
106.步骤65：计算节点1上的web应用防火墙waf执行安全防护过滤，如果允许报文通过，则通过缺省路由将报文送回计算节点1上的虚拟路由器vrouter，跳到步骤66，否则丢弃；
107.步骤66：计算节点1上的虚拟路由器vrouter收到报文后，根据报文的目的ip可以判断出该报文为出网报文，执行snat操作，将报文的源ip由内网ip映射成公网ip或者与公网ip一对一映射的浮动ip，而从浮动ip到公网ip的映射由更上层的设备完成；
108.步骤67：计算节点1上的虚拟路由器vrouter将报文送给拓扑更上层的设备执行进一步地址映射或者直接出到公网，至此，出网完成。
109.参见图9所示，图9为本技术实施例公开的一种链式同节点入网方向的服务引流示意图，链式同节点入网的服务引流包括以下步骤：
110.步骤71：来自公网的报文到达弹性云服务器vm所在的物理服务器(即计算节点1)上的vpc虚拟路由器vrouter；
111.步骤72：计算节点1上的虚拟路由器vrouter执行dnat操作，将报文目的ip从公网ip映射成弹性云服务器vm的内网ip；
112.步骤73：计算节点1上的虚拟路由器vrouter通过策略路由，将报文送给计算节点1上的web应用防火墙waf；
113.步骤74：计算节点1上的web应用防火墙waf进行安全防护过滤，如果允许报文通过，则通过缺省路由将报文送回计算节点1上的虚拟路由器vrouter，跳到步骤75，否则丢弃；
114.步骤75：计算节点1上的虚拟路由器通过策略路由，将报文送给计算节点1上的虚拟防火墙vfw进行安全防护过滤，如果允许报文通过，则通过缺省路由将报文送回计算节点1上的虚拟路由器vrouter，跳到步骤76，否则丢弃；
115.步骤76：计算节点1上的虚拟路由器vrouter通过直连路由将报文送给目的主机，即弹性云服务器vm，至此，入网完成。
116.参见图10所示，图10为本技术实施例公开的一种链式跨节点出网方向的服务引流示意图，链式跨节点出网的服务引流包括以下步骤：
117.步骤81：弹性云服务器vm发出的报文首先到达当前物理服务器(即计算节点1)上该vpc的虚拟路由器vrouter上；
118.步骤82：计算节点1上的虚拟路由器vrouter通过策略路由，将报文送给计算节点2上的虚拟防火墙vfw；
119.步骤83：计算节点2上的虚拟防火墙vfw进行安全防护过滤，如果允许报文通过，则通过缺省路由将报文送到计算节点2上的虚拟路由器vrouter，跳到步骤84，否则丢弃；
120.步骤84：计算节点2上的虚拟路由器vrouter通过策略路由，将报文送给计算节点3上的web应用防火墙waf；
121.步骤85：计算节点3上的web应用防火墙waf执行安全防护过滤，如果允许报文通过，则通过缺省路由将报文送到计算节点3上的虚拟路由器vrouter，跳到步骤86，否则丢弃；
122.步骤86：计算节点3上的虚拟路由器vrouter收到报文后，根据报文的目的ip可以判断出该报文为出网报文，执行snat操作，将报文的源ip由内网ip映射成公网ip或者与公网ip一对一映射的浮动ip，而从浮动ip到公网ip的映射由更上层的设备完成；
123.步骤87：计算节点3上的虚拟路由器vrouter将报文送给拓扑更上层的设备执行进一步地址映射或者直接出到公网，至此，出网完成。
124.参见图11所示，图11为本技术实施例公开的一种链式跨节点入网方向的服务引流示意图，链式跨节点入网的服务引流包括以下步骤：
125.步骤91：来自公网的报文到达弹性云服务器vm所在的物理服务器(即计算节点1)上的vpc虚拟路由器vrouter；
126.步骤92：计算节点1上的虚拟路由器vrouter执行dnat操作，将报文目的ip从公网ip映射成弹性云服务器vm的内网ip；
127.步骤93：计算节点1上的虚拟路由器vrouter通过策略路由，将报文送给计算节点3上的web应用防火墙waf；
128.步骤94：计算节点3上的web应用防火墙waf进行安全防护过滤，如果允许报文通过，则通过缺省路由将报文送到计算节点3上的虚拟路由器vrouter，跳到步骤95，否则丢弃；
129.步骤95：计算节点3上的虚拟路由器通过策略路由，将报文送给计算节点2上的虚拟防火墙vfw进行安全防护过滤，如果允许报文通过，则通过缺省路由将报文送回计算节点2上的虚拟路由器vrouter，跳到步骤96，否则丢弃；
130.步骤96：计算节点2上的虚拟路由器vrouter通过直连路由将报文送给目的主机，即弹性云服务器vm，至此，入网完成。
131.参见图12所示，本技术实施例公开了一种服务引流装置，包括配置信息获取模块11、虚拟设备挂接模块12、策略路由生成模块13、策略路由下发模块14、虚拟路由器15，其中，
132.所述配置信息获取模块11，用于获取服务引流链的配置信息；
133.所述虚拟设备挂接模块12，用于基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户vpc内的虚拟路由器；其中，所述虚拟路由器采用全分布式架构部署于所述用户vpc内；
134.所述策略路由生成模块13，用于根据所述服务引流链中各所述非业务类型虚拟设备的正向顺序生成出网策略路由、以及各所述非业务类型虚拟设备的逆向顺序生成入网策略路由；
135.所述策略路由下发模块14，用于将所述出网策略路由和所述入网策略路由下发至所述虚拟路由器；
136.所述虚拟路由器15，用于基于所述出网策略路由和所述入网策略路由进行服务引流。
137.可见，本技术实施例先获取服务引流链的配置信息，然后基于所述配置信息将所述服务引流链中的每个非业务类型虚拟设备均挂接至用户vpc内的虚拟路由器；其中，所述虚拟路由器采用全分布式架构部署于所述用户vpc内，之后根据所述服务引流链中各所述非业务类型虚拟设备的正向顺序生成出网策略路由、以及各所述非业务类型虚拟设备的逆向顺序生成入网策略路由，最后将所述出网策略路由和所述入网策略路由下发至所述虚拟路由器，并基于所述出网策略路由和所述入网策略路由进行服务引流。也即，本技术可以获取服务引流链的配置信息，将服务引流链中的每个非业务类型虚拟设备均挂接至用户vpc内的虚拟路由器，并生成策略路由，通过策略路由进行服务引流，对数据平面没有侵入性，保障了云平台的稳定性和健壮性，并且，策略路由的规模不随弹性云服务器数目的增加而增长，与全流表化的服务引流方案相比，具有良好的可扩展性，进一步的，由于策略路由包括根据服务引流链中各非业务类型虚拟设备的正向顺序生成出网策略路由、以及各非业务类型虚拟设备的逆向顺序生成入网策略路由，具有对称性，保障了服务引流时的流量路径对称性。
138.其中，所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器，用于执行针对出网流量的snat操作；
139.目的弹性云服务器所在物理节点上的虚拟路由器，用于执行针对入网流量的dnat操作。
140.并且，当所述服务引流链中最后一个非业务类型虚拟设备所在物理节点上的虚拟路由器根据报文中的目的ip判断出当前报文为出网报文，则执行针对出网流量的snat操作。
141.所述虚拟设备挂接模块12，具体用于基于所述配置信息确定所述服务引流链中的非业务类型虚拟设备；在用户vpc内为每个所述非业务类型虚拟设备创建一个独立的互联子网；通过所述互联子网将每个所述非业务类型虚拟设备均挂接至所述用户vpc内的虚拟路由器。
142.在具体的实施方式中，所述配置信息获取模块，具体用于：
143.通过云计算管理控制台获取服务引流链的配置信息；
144.相应的，所述装置还用于：基于所述配置信息调用预设北向接口，启动所述虚拟设备挂接模块12。
145.其中，所述出网策略路由包括源ip、源端口、传输层协议类型、报文入端口以及下一跳信息；所述入网策略路由包括目的ip、目的端口、传输层协议类型、报文入端口以及下一跳信息。
146.在具体的实施方式中，
147.虚拟路由器，用于当接收到出网报文，则根据第一匹配条件在所述出网策略路由中匹配出第一目标出网策略路由，并基于所述第一目标出网策略路由进行服务引流；当接收到入网报文，则根据第二匹配条件在所述出网策略路由中匹配出第二目标出网策略路由，并基于所述第二目标出网策略路由进行服务引流；
148.其中，所述第一匹配条件包括源ip、源端口、传输层协议类型、报文入端口，所述第二匹配条件包括目的ip、目的端口、传输层协议类型、报文入端口。
149.进一步的，本技术实施例还公开了一种计算机可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述实施例公开的服务引流方法。
150.关于上述服务引流方法的具体过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。
151.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
152.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
153.以上对本技术所提供的一种服务引流方法、装置及介质进行了详细介绍，本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。