潘維勇 袁聿卿

摘 要：基于云計算數據中心領域在多VPN實例、多租戶的情況下，VPN租戶如何獨享VPN系統(tǒng)、以及VPN租戶如何動態(tài)分配各自用戶VPN權限的方法研究。虛擬專用網絡的原則和依據是首先必須符合國家等級保護的法律法規(guī)；其次必須滿足云服務平臺的環(huán)境需求；最后根據需求分析，必須滿足云服務平臺下各個租戶、用戶、互聯網用戶、平臺間以及虛擬主機間的實際業(yè)務需求。接入平臺的客戶端都通過VPN方式進行訪問，確保數據安全，該方案采用硬件VPN系統(tǒng)及虛擬化VPN組件和軟件VPN客戶端相結合的方式建設平臺VPN系統(tǒng)，通過VPN系統(tǒng)的建設可實現網絡資源的邏輯劃分及安全隔離，使核心網與邊緣網絡形成一個整體。

關鍵詞：VPN 多租戶 權限管理

中圖分類號：TN91 文獻標識碼：A 文章編號：1672-3791（2015）12（a）-0035-02

該文針對云計算平臺下數據傳輸的安全性需求，針對云計算平臺的VPN系統(tǒng)的研究，并且為了滿足用戶訪問各個應用系統(tǒng)以及各個應用系統(tǒng)間的數據通訊安全，特開發(fā)此VPN系統(tǒng)，應用該系統(tǒng)后，用戶點對點訪問應用系統(tǒng)還有服務器之間的通訊都可以走SSL VPN加密隧道，以此來提高用戶訪問應用系統(tǒng)以及應用系統(tǒng)間通訊的安全問題。應用服務器經路由器再經VPN服務器以及核心交換機連接到互聯網或者政府專網；其中不管個人用戶、互聯網用戶以及政府租戶都可以經核心交換機、VPN服務器以及路由器訪問OA系統(tǒng)或者地理信息系統(tǒng)。該VPN系統(tǒng)設計為純軟件系統(tǒng)，和硬件沒有關系；VPN服務器的具體數量可根據具體實施所劃分的業(yè)務域和實際情況而定。

1 設計目標

（1）VPN系統(tǒng)在云計算數據中心、虛擬化的環(huán)境下，可以快速的、組件化的、純軟件化部署。

（2）通過VPN服務平臺主控可以動態(tài)的、實時給不同的租戶分配相對應的VPN實例權限。

（3）租戶可以獨享各自的VPN系統(tǒng)，各個租戶可以通過租戶登錄界面獨享各自的VPN服務，做相對應的獨享VPN操作。

（4）租戶在用戶申請VPN服務的時候，可以對用戶使用VPN服務的生命周期做相應的控制、可以激活或者停止相對應的VPN服務。

2 設計思路

傳統(tǒng)意義的VPN均為軟硬一體的系統(tǒng)，即硬件和軟件綁定在一起，軟硬一體的VPN系統(tǒng)會帶來諸多問題，例如：系統(tǒng)部署復雜、易用性差等；并且每個VPN系統(tǒng)對應各自的用戶管理系統(tǒng)，這樣如果僅僅存在只部署一套VPN系統(tǒng)的話，不會出現什么問題；但是如果存在需要同時部署多套VPN系統(tǒng)的情況下，將會出現如果同時對多個VPN系統(tǒng)做統(tǒng)一的用戶管理以及對多個VPN服務和多個VPN管理員做統(tǒng)一管理的問題；在現如今的云計算的環(huán)境下，大多數的業(yè)務系統(tǒng)都是在虛機下部署，這也是當前的VPN系統(tǒng)不符合要求的諸多弊端之一。

因此，在云計算數據中心的應用場景下，VPN系統(tǒng)應該滿足：支持在虛機下部署；支持多租戶、多VPN實例的情況；滿足可以對VPN服務資源實時動態(tài)分配；VPN系統(tǒng)可以組件化快速部署；各個租戶必須獨享VPN系統(tǒng)等諸多要求。

3 設計說明

3.1 設計流程

為了克服上述現有技術的不足，該課題研究提出了一種針對云計算數據中心的租戶獨享VPN的相關技術，以此提高在云計算數據中心環(huán)境下的適應性、可靠性以及安全性。

在云計算環(huán)境下VPN服務包括VPN主控和VPN實例兩部分組成，具體的操作機制為通過VPN主控分布式管理，將各個VPN服務實例以及關聯VPN服務實例對應，并與具體租戶進行綁定，以實現租戶獨享VPN設計的主要功能。

以下為租戶獨享VPN的相關業(yè)務流程。

在云計算數據中心環(huán)境下通過組件化的VPN服務平臺部署方式快速部署純軟件化的VPN服務實例。租戶通過VPN主控的租戶登錄頁面登錄VPN主控后，就可以做VPN租戶相對應的操作，例如添加VPN用戶、賦予VPN用戶使用VPN服務的相關權限等。

3.2 多VPN實例模型

多VPN實例、多VPN租戶的總體結構圖，在VPN主控可以以樹狀的結構看到VPN多實例，每個VPN實例都關聯各自的VPN服務、IP地址以及各自的租戶（見圖1）。

3.3 租戶獨享的VPN設計

各個租戶對應的結構圖，即為租戶獨享的VPN設計，當各個VPN實例關聯到各自的VPN租戶后，VPN租戶就可以獨享自己的VPN服務進行相關的操作，例如：添加用戶信息、增加VPN服務時間、激活用戶VPN服務、啟用用戶VPN服務和禁用用戶VPN服務等（見圖2）。

3.4 VPN服務實例

VPN服務具體的時序圖，在滿足動態(tài)部署VPN服務實例，租戶存在的前提下，通過VPN主控綁定VPN服務實例和租戶之間的關系，來達到VPN租戶獨享VPN服務的目的（見圖3）。

4 結語

綜上所述，針對云計算數據中心的租戶獨享VPN指的是在快速、組件化的部署VPN服務平臺的前提下，通過實時、動態(tài)地綁定租戶對應各自的VPN服務實例，租戶在各自的VPN服務實例上做相應的用戶申請VPN服務等相關權限、互不干擾。

參考文獻

[1] 陳建銳，何增穎.基于虛擬機的VPN實驗環(huán)境構建[J].實驗室研究與探索，2010（1）：59-61.

[2] 歐陽凱，周敬利，夏濤，等.基于虛擬服務的SSL VPN研究[J].小型微型計算機系統(tǒng)，2006（2）：228-232.

[3] 周敬利，曾海鵬.SSL VPN服務器關鍵技術研究[J].計算機工程與科學，2005（6）：7-9.

[4] 孔慶彥，李軍，王革非，等.VPN電子政務網構建的設計[J].哈爾濱商業(yè)大學學報：自然科學版，2010（6）：723-725，734.

[5] 黃明峰.VPN技術在電子政務中的應用研究[D].貴陽：貴州大學，2006.