私有网络的访问方法和系统

技术领域

本发明涉及云计算领域，具体而言，涉及一种私有网络的访问方法和系统。

背景技术

目前，针对客户端访问私有网络的问题，通常是通过将客户端与服务端的网络进行三层打通，从而实现客户端对私有网络的访问。

但是，对网络进行三层打通的过程中，需要添加新的路由规则，新的路由规则会造成与已有的网络的网段冲突，从而会改变客户端的网络基础环境，且该方法可以连接的私有网络数量有限，由于私有网络的数量是会随着客户端的增加而增加，因此，该方法存在网络打通的效率低的技术问题。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种私有网络的访问方法和系统，以至少解决网络打通的效率低的技术问题。

根据本发明实施例的一个方面，提供了一种私有网络的访问方法。该方法可以包括：获取来自客户端的域名解析请求，其中，客户端为待访问私有网络的访问端；确定域名解析请求符合私有网络的域名格式；向私有网络分配与域名格式对应的虚拟地址；响应于来自客户端的资源访问请求，从虚拟地址中解析出私有网络的目标域名，其中，资源访问请求符合域名格式，目标域名用于表征私有网络的目标地址；基于目标域名对应的私有网络的原始域名，访问私有网络中的网络资源，其中，域名格式用于将原始域名编码为目标域名，原始域名用于表征私有网络的原始地址。

根据本发明实施例的另一个方面，还提供了另一种私有网络的访问方法。该方法可以包括：获取私有网络的原始域名，其中，原始域名用于表征私有网络的原始地址；按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址；将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，其中，域名解析请求用于向私有网络分配与域名格式对应的虚拟地址，资源访问请求用于从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名用于访问私有网络中的网络资源。

根据本发明实施例的另一个方面，还提供了另一种私有网络的访问方法。该方法可以包括：通过调用第一接口获取私有网络的原始域名，其中，第一接口包括第一参数，第一参数的参数值为原始域名，原始域名用于表征私有网络的原始地址；按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址；通过调用第二接口将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，其中，第二接口包括第二参数，第二参数的参数值为目标域名，域名解析请求用于向私有网络分配与域名格式对应的虚拟地址，资源访问请求用于从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名用于访问私有网络中的网络资源。

根据本发明实施例的另一方面，还提供了一种私有网络的访问系统。该系统可以包括：客户端，用于向网络代理容器发送域名解析请求，其中，客户端为待访问网关的访问端；网络代理容器，用于确定域名解析请求符合网关的域名格式，向网关分配与域名格式对应的虚拟地址；响应于来自客户端的资源访问请求，从虚拟地址中解析出网关的目标域名，其中，资源访问请求符合域名格式，目标域名用于表征私有网络的目标地址；基于目标域名对应的网关的原始域名，访问网关中的网络资源，其中，域名格式用于将原始域名编码为目标域名，原始域名用于表征私有网络的原始地址；网关，用于向网络代理容器返回网络资源。

根据本发明实施例的另一个方面，还提供了一种私有网络的访问装置。该装置可以包括：第一获取单元，用于获取来自客户端的域名解析请求，其中，客户端为待访问私有网络的访问端；确定单元，用于确定域名解析请求符合私有网络的域名格式；分配单元，用于向私有网络分配与域名格式对应的虚拟地址；解析单元，用于响应于来自客户端的资源访问请求，从虚拟地址中解析出私有网络的目标域名，其中，资源访问请求符合域名格式，目标域名用于表征私有网络的目标地址；访问单元，用于基于目标域名对应的私有网络的原始域名，访问私有网络中的网络资源，其中，域名格式用于将原始域名编码为目标域名，原始域名用于表征私有网络的原始地址。

根据本发明实施例的另一个方面，还提供了另一种私有网络的访问装置。该装置可以包括：第二获取单元，用于获取私有网络的原始域名，其中，原始域名用于表征私有网络的原始地址；第一处理单元，用于按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址；第一下发单元，用于将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，其中，域名解析请求用于向私有网络分配与域名格式对应的虚拟地址，资源访问请求用于从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名用于访问私有网络中的网络资源。

根据本发明实施例的另一个方面，还提供了另一种私有网络的访问装置。该装置可以包括：第三获取单元，用于通过调用第一接口获取私有网络的原始域名，其中，第一接口包括第一参数，第一参数的参数值为原始域名，原始域名用于表征私有网络的原始地址；第二处理单元，用于按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址；第二下发单元，用于通过调用第二接口将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，其中，第二接口包括第二参数，第二参数的参数值为目标域名，域名解析请求用于向私有网络分配与域名格式对应的虚拟地址，资源访问请求用于从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名用于访问私有网络中的网络资源。

根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，计算机可读存储介质包括存储的程序，其中，在程序运行时控制存储介质所在设备执行上述任意一项的私有网络的访问方法。

根据本发明实施例的另一方面，还提供了一种处理器，处理器用于运行程序，其中，在程序运行时执行上述任意一项的私有网络的访问方法。

在本发明实施例中，获取来自客户端的域名解析请求，其中，客户端为待访问私有网络的访问端；确定域名解析请求符合私有网络的域名格式；向私有网络分配与域名格式对应的虚拟地址；响应于来自客户端的资源访问请求，从虚拟地址中解析出私有网络的目标域名，其中，资源访问请求符合域名格式，目标域名用于表征私有网络的目标地址；基于目标域名对应的私有网络的原始域名，访问私有网络中的网络资源，其中，域名格式用于将原始域名编码为目标域名，原始域名用于表征私有网络的原始地址。也就是说，本发明实施例基于客户端的域名解析请求确定符合私有网络的域名格式，基于私有网络的域名格式，确定与域名格式对应的虚拟地址，获取客户端发出的符合域名格式的资源访问请求，基于资源访问请求从虚拟地址中解析出私有网络的目标域名，基于目标域名对应的私有网络的原始域名，即可访问到私有网络中的网络资源，进而实现了提高网络打通的效率的技术效果，解决了网络打通的效率低的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的一种计算环境的结构框图；

图2是根据本发明实施例的一种私有网络的访问方法的流程图；

图3是根据本发明实施例的另一种私有网络的访问方法的流程图；

图4是根据本发明实施例的另一种私有网络的访问方法的流程图；

图5是根据本发明实施例的一种计算机设备对私有网络的访问的示意图；

图6是根据本发明实施例的一种私有网络的访问系统的示意图；

图7是根据相关技术中的端口映射过程的示意图；

图8是根据本发明实施例的一种打通私有网络系统的示意图；

图9(a)是根据本发明实施例的一种打通私有网络方法的流程图；

图9(b)是根据本发明实施例的一种解析原始网络服务的示意图；

图10是根据本发明实施例的一种私有网络的访问处理方法的服务网格的结构框图；

图11是根据本发明实施例的一种私有网络的访问装置的示意图；

图12是根据本发明实施例的另一种私有网络的访问装置的示意图；

图13是根据本发明实施例的另一种私有网络的访问装置的示意图；

图14是根据本发明实施例的一种计算机终端的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

首先，在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释：

开源系统(Kubernetes，简称为K8S)，可以为一种用于自动部署，扩展和管理容器化应用的开源系统；

网络代理容器(Sidecar)，可以用于为主容器提供额外的功能，但不需要改变主容器，可以和业务容器(非Sidecar容器)部署在同一个容器组合(Pod)里，共享相同的生命周期，可以业务容器提供辅助功能，可以用于拦截业务容器的网络流量，并完成网络的打通；

网关编排服务，可以用于提供一个全托管式的服务网格平台，可以用于为容器提供访问其他网络的能力，该网格可以通过开源系统(Kubernetes)实现网关编排服务；

网络服务，可以用于访问网络(Network)，可以有多种网关实现，比如，可以为虚拟私有网络(Virtual Private Cloud，简称为VPC)的网关实现，可以用于打通到另一个VPC内；

域名系统(Domain Name System，简称为DNS)，可以为互联网的一项基础服务，可以用于将域名和互联网协议(Internet Protocol，简称为IP)地址相互映射。

实施例1

根据本发明实施例，还提供了一种私有网络的访问方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本发明实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1以框图示出了使用上述图1所示的计算机终端(或移动设备)作为计算环境101(可以是云计算环境)中计算节点的一种实施例。图1是根据本发明实施例的一种云计算环境的结构框图，如图1所示，云计算环境可以包括部署运行在分布式网络上的多个服务120(图中采用120-1，120-2，…,来示出)计算节点(如服务器)。每个计算节点都包含本地处理和内存资源，终端用户102可以在云计算环境中远程运行应用程序或存储数据。应用程序可以作为计算环境101中的多个服务120-1,120-2,120-3和120-4进行提供，分别代表服务“A”，“D”，“E”和“H”。

终端用户102可以通过用户端上的web浏览器或其他软件应用程序提供和访问服务，在一些实施例中，可以将终端用户102的供应和/或请求提供给入口网关130。入口网关130可以包括一个相应的代理来处理针对服务120(计算环境101中提供的一个或多个服务)的供应和/或请求。

服务120是根据计算环境101支持的各种虚拟化技术来提供或部署的。在一些实施例中，可以根据基于虚拟机(Virtual Machine，简称为VM)的虚拟化、基于容器的虚拟化和/或类似的方式提供服务120。基于虚拟机的虚拟化可以是通过初始化虚拟机来模拟真实的计算机，在不直接接触任何实际硬件资源的情况下执行程序和应用程序。在虚拟机虚拟化机器的同时，根据基于容器的虚拟化，可以启动容器来虚拟化整个操作系统(OS)，以便多个工作负载可以在单个操作系统实例上运行。

在基于容器虚拟化的一个实施例中，服务120的若干容器可以被组装成一个POD(例如，Kubernetes POD)。举例来说，如图1所示，服务120-2可以配备一个或多个POD140-1,140-2，…，140-N(统称为POD140)。每个POD140可以包括代理145和一个或多个容器142-1,142-2，…，142-M(统称为容器142)。POD140中一个或多个容器142处理与服务的一个或多个相应功能相关的请求，代理145通常控制与服务相关的网络功能，如路由、负载均衡等。其他服务120也可以陪陪类似于POD140的POD。

在操作过程中，执行来自终端用户102的用户请求可能需要调用计算环境101中的一个或多个服务120，执行一个服务120的一个或多个功能可能需要调用另一个服务120的一个或多个功能。如图1所示，服务“A”120-1从入口网关130接收终端用户102的用户请求，服务“A”120-1可以调用服务“D”120-2，服务“D”120-2可以请求服务“E”120-3执行一个或多个功能。

上述的计算环境可以是云计算环境，资源的分配由云服务提供上管理，允许功能的开发无需考虑实现、调整或扩展服务器。该计算环境允许开发人员在不构建或维护复杂基础设施的情况下执行响应事件的代码。服务可以被分割完成一组可以自动独立伸缩的功能，而不是扩展单个硬件设备来处理潜在的负载。

在图1所示的运行环境下，本发明提供了应用于如图2所示的私有网络的访问方法。需要说明的是，该实施例的私有网络的访问方法可以由图1所示实施例的移动终端执行。

图2是根据本发明实施例的一种私有网络的访问方法的流程图。如图2所示，该方法可以包括以下步骤：

步骤S202，获取来自客户端的域名解析请求，其中，客户端为待访问私有网络的访问端。

在本发明上述步骤S202提供的技术方案中，可以获取来自客户端的域名解析请求，其中，客户端可以为待访问私有网络的访问端，可以包括移动设备、网络客户端等，此处仅为举例说明，不做具体限制；域名解析请求可以为对域名进行解析的请求，比如，可以为对超文本传输协议(Hyper Text Transfer Protocol，简称为HTTP)资源发起的(http(s))请求或可以为对非http(s)资源发起的请求等请求，此处仅为举例说明，不对请求种类做具体限制，私有网络可以为虚拟私有网络(Virtual Private Cloud，简称为VPC)。

举例而言，可以在移动设备(电脑)中打开浏览器，输入域名，客户端可以发出域名解析请求到服务器中，以获取客户端的域名解析请求。

步骤S204，确定域名解析请求符合私有网络的域名格式。

在本发明上述步骤S204提供的技术方案中，可以对获取到的域名解析请求进行解析，确定域名解析请求是否符合私有网络的域名格式，其中，域名格式可以包括主机名格式，比如，可以为vpc1…)、网关编排服务格式(比如，http(s)格式、非http(s)格式)。

可选地，可以由域名-代理服务器(Domain Name Server，简称为DNS-proxy)对域名解析请求进行解析，从而可以确定域名解析请求的域名格式，确定解析得到的域名格式是否符合私有网络的域名格式。

步骤S206，向私有网络分配与域名格式对应的虚拟地址。

在本发明上述步骤S206提供的技术方案中，如果确定域名解析请求符合私有网络的域名格式，则可以向私有网络分配与域名格式对应的虚拟地址，其中，虚拟地址可以为分配的虚拟互联网协议地址(Virtual IP，简称为VIP)。

举例而言，可以由域名-代理服务器分析域名解析请求的域名格式，如果域名解析请求的域名格式符合私有网络的域名格式(可以为网关编排服务的域名格式)，则域名-代理服务器可以向传输-代理服务器(transport-proxy)分配一个虚拟互联网协议地址，其中，VIP的网段可以选择与用户集群的网段不冲突的段，比如，可以为21.0.0.0/8，此处数据段仅为举例说明，不做具体限制。

举例而言，可以访问网络服务中名为vpc1内的在线数据库服务(Relational Database Service，简称为RDS)，其中，在线数据库服务的原始地址(域名)可以为rds.a.com，对网络服务的名字和额外参数进行编码(encoded)后的地址可以为：rds.a.com.vpc1…。

步骤S208，响应于来自客户端的资源访问请求，从虚拟地址中解析出私有网络的目标域名，其中，资源访问请求符合域名格式，目标域名用于表征私有网络的目标地址。

在本发明上述步骤S208提供的技术方案中，获取客户端的资源访问请求，响应于来自客户端的资源访问请求，可以从虚拟地址中解析出私有网络的目标域名，其中，资源访问请求可以为应用程序向虚拟互联网协议地址发起的请求，可以为用于访问其他客户端资源的请求，可以为http请求，比如，可以为www.a.com.vpc1.http.....；目标域名可以为编码后的域名，可以用于表征私有网络的目标地址，比如，可以为以域名表示的新目标地地址；新目标地可以为客户端需要访问资源的目标地或服务器等，此处不做具体限制。

可选地，可以由客户端中的应用程序发起资源访问请求，响应于从客户端发起的资源访问请求，可以从虚拟地址中解析出私有网络中用于表征私有网络的目标地址的目标域名。

可选地，应用程序可以通过访问编码后的目标域名(新目的地地址)，实现打通网络的目的，可以将私有网络的在域名编码进原始的目的地，以实现可以轻松访问私有网络的目的。

步骤S210，基于目标域名对应的私有网络的原始域名，访问私有网络中的网络资源，其中，域名格式用于将原始域名编码为目标域名，原始域名用于表征私有网络的原始地址。

在本发明上述步骤S210提供的技术方案中，可以从虚拟地址中解析出私有网络的目标域名，可以确定目标域名对应的私有网络的原始域名，基于原始域名，访问私有网络中的网络资源，其中，域名格式可以用于将原始域名编码为目标域名，原始域名可以用于表征私有网络的原始地址，可以为编码前的原始地址，比如，可以为rds.a.com；网络资源可以为自定义资源，比如，可以为网络服务的自定义资源，此处仅为举例说明，不做具体限制。

可选地，可以对私有网络的原始域名(网络服务)进行编码，比如，可以在网络服务的原目的地址后面加个网络标记(vpc1…)，新添加的网络标记可以由网络服务的名字(vpc1)和一些额外参数(比如，网关编排服务名称)组成，使其成为一个以域名表示的新目的地地址(目的域名)，基于目的域名，即可访问到其他网络内的资源，到希望访问的目的地(私有网络中的网络资源)。

举例而言，访问网络服务中名为vpc1的私有网络，私有网络的原始域名(原始地址)为：www.a.com，对原始地址和额外参数进行编码后的地址(目标域名)为www.a.com.vpc1.http.....，则可以基于www.a.com.vpc1.http.....中对应的原始域名www.a.com，访问私有网络中的网络资源。

需要说明的是，上述编码内容仅为举例说明，此处不做具体限制。

通过本发明上述步骤S202至步骤S208，获取来自客户端的域名解析请求，其中，客户端为待访问私有网络的访问端；确定域名解析请求符合私有网络的域名格式；向私有网络分配与域名格式对应的虚拟地址；响应于来自客户端的资源访问请求，从虚拟地址中解析出私有网络的目标域名，其中，资源访问请求符合域名格式，目标域名用于表征私有网络的目标地址；基于目标域名对应的私有网络的原始域名，访问私有网络中的网络资源，其中，域名格式用于将原始域名编码为目标域名，原始域名用于表征私有网络的原始地址。也就是说，本发明实施例基于客户端的域名解析请求确定符合私有网络的域名格式，基于私有网络的域名格式，确定与域名格式对应的虚拟地址，获取客户端发出的符合域名格式的资源访问请求，基于资源访问请求从虚拟地址中解析出私有网络的目标域名，基于目标域名对应的私有网络的原始域名，即可访问到私有网络中的网络资源，进而实现了提高网络打通的效率的技术效果，解决了网络打通的效率低的技术问题。

下面对该实施例的上述方法进行进一步的介绍。

作为一种可选的实施方式，确定原始域名的域名字段和网络资源的资源字段；基于域名字段和资源字段建立域名格式。

在该实施例中，可以确定原始域名字段和网络资源的资源字段，可以基于域名字段和资源字段建立域名格式，其中，域名字段可以用于表征网络服务中的服务，比如，可以用于表征网络服务中名为vpc1内的在线数据库服务或名为vpc1内的HTTP服务等，此处仅为举例说明，不对域名字段做具体限制；资源字段可以用于表征网络资源位置，可以包括原始目的地的主机名，比如，可以为自定义字段

作为一种可选的实施方式，基于域名字段和资源字段建立域名格式，包括：从资源字段中提取出网络资源的属性字段，其中，属性字段用于表示网络资源的名称和/或网络资源的类型；将属性字段拼接至域名字段的尾部，得到域名格式。

在该实施例中，可以从资源字段中提取出网络资源的属性字段，可以将属性字段拼接至域名字段的尾部，得到域名格式，其中，资源字段可以包括属性字段；属性字段可以用于表示网络资源的名称(比如，名为vpc1的字段)和/或网络资源的类型(比如，http服务)。

举例而言，原始域名的域名字段可以为rds.a.com的字段，网络资源的属性字段可以为vpc1字段，可以将属性字段拼接至域名字段的尾部，得到rds.a.com.vpc1…的域名格式。

再举例而言，原始域名的域名字段可以为www.a.com的字段，网络资源的属性字段可以为.vpc1.http字段，可以将属性字段拼接至域名字段的尾部，得到www.a.com.vpc1.http…的域名格式。

作为一种可选的实施方式，检测域名解析请求是否包括原始域名，以及网络资源的名称和/或网络资源的类型；如果检测到域名解析请求包括原始域名，以及网络资源的名称和/或网络资源的类型，确定域名解析请求符合域名格式，其中，网络资源的名称和/或网络资源的类型位于原始域名的尾部。

在该实施例中，可以响应于域名解析请求对原始域名进行检测，确定域名解析请求中是否包括原始域名，以及确定网络资源的名称和/或网络资源的类型，确定检测到的域名解析请求中是否包括原始域名，以及网络资源的名称和/或网络资源的类型，如果检测到的域名解析请求包括原始域名，以及网络资源的名称和/或网络资源的类型，则可以确定域名解析请求符合域名格式，其中，网络资源的名称和/或网络资源的类型可以位于原始域名的尾部。

举例而言，浏览器上打开https://www.taobao.com，响应于域名解析请求，可以由域名解析服务器解析出域名www.taobao.com的原始域名，如果检测到域名解析请求包括原始域名，以及网络资源的名称和/或网络资源的类型，确定域名解析请求符合域名格式。

作为一种可选的实施方式，步骤S206，向私有网络分配与域名格式对应的虚拟地址，包括：确定客户端当前所处的第一网段；确定不同于第一网段的第二网段；向私有网络分配与域名格式对应，且处于第二网段上的虚拟地址。

在该实施例中，可以确定客户端当前所处的第一网段，可以向私有网络分配与域名格式对应，且处于第二网段上的虚拟地址，其中，第二网段与第一网段为不同位置的网段，第一网段与第二网段不同。

可选地，可以由域名-代理服务器向私有网络分配一个与域名格式对应的虚拟地址，虚拟地址的网段会选择与客户端(用户集群)的网段不冲突的网段。

在相关技术中，三层网络打通会改变应用内的网络基础环境，比如，需要添加新的路由规则，但是新的路由规则会造成与已有网络的网段冲突，而在本发明实施例中，确定客户端当前所处的第一网段，向私有网络分配与域名格式对应，且于第一网段不同的第二网段的虚拟地址，从而避免了已有网络之间的网段冲突，实现了提高网络打通效率的技术效果，解决了网络打通效率低的技术问题。

作为一种可选的实施方式，响应于资源访问请求为按照超文本传输协议进行传输，对资源访问请求进行清洗，其中，清洗后的资源访问请求符合私有网络的原始域名格式；基于清洗后的资源访问请求，从虚拟地址中解析出目标域名对应的原始域名。

在该实施例中，可以判断资源访问请求是否为按照超文本传输协议进行传输，响应于资源访问请求为按照超文本传输协议进行传输，可以对资源访问请求进行清洗，得到符合私有网络的原始域名格式，可以基于清洗后的资源访问请求，从虚拟地址中解析出目标域名对应的原始域名，其中，原始域名格式可以为编码前的原始地址的域名；资源访问请求中可以包括服务器名称指示(Server Name Indication，简称为SNI)中网关编排服务的格式。

可选地，如果资源访问请求为按照超文本传输协议进行传输，响应于资源访问请求为超文本传输协议请求(比如，www.a.com.vpc1.http.....)进行传输，则可以利用通信总线(envoy)对资源访问请求进行清洗，比如，可以为去除https请求中网关编排服务的格式，清洗后的资源访问请求符合私有网络的原始域名格式(编码前的原始地址)，可以基于清洗后的资源访问请求，从虚拟地址中解析出目标域名对应的原始域名。

在本发明实施例中，对资源访问请求进行清洗，从而可以避免虚拟主机匹配过程中的问题，同时也可以清理掉TLS SNI中的编码部分，避免TLS握手失败，进而提高了网络打通的效率。

可选地，可以由传输-代理服务器可以对分配的VIP进行解析，解析出编码后的域名，并从中解析出网络服务的名字，以确定原始目的地。

作为一种可选的实施方式，从虚拟地址中解析出目标域名对应的原始域名，包括：从私有网络的套接字中解析出与原始域名对应的标识；基于标识从虚拟地址中解析出原始域名。

在该实施例中，可以从私有网络的套接字中解析出原始域名对应的标识，可以基于标识从虚拟地址中解析出原始域名，其中，套接字可以为(socket)，标识可以为标记信息(MarkId)。

可选地，可以根据网络服务向网关编排服务中已有的网关控制面组件交换一个标记信息(MarkId)，拿到MarkId后向创建套接字，可以将标记信息防置在套接字中，网络安全管理-代理服务器可以通过一条流量控制(Traffic Control，简称为TC)规则将标记信息从套接字中解析出来，并放到网络包目的媒体存取控制位址(Media Access Control，简称为MAC)后24位；网关数据面组件可以通过目的MAC地址最终解出目标网络服务，基于标识从虚拟地址中解析出原始域名。

作为一种可选的实施方式，步骤S210，基于目标域名对应的私有网络的原始域名，访问私有网络中的网络资源，包括：基于虚拟扩展局域网接入私有网络，且按照原始域名访问私有网络中的网络资源。

在该实施例中，可以基于虚拟扩展局域网(Virtual extensible Local areanetwork，简称为VxLan)接入私有网络，且可以按照原始域名访问私有网络中的资源。

可选地，基于标识从虚拟地址中解析出原始域名，并通过VxLan连接上网络服务，从而实现了私有网络打通。

作为一种可选的实施方式，获取客户端与虚拟地址之间的连接断开时长；响应于连接断开时长大于时长阈值，删除虚拟地址。

在该实施例中，可以获取客户端与虚拟地址之间的连接断开时长，可以响应于连接断开时长大于时长阈值，则可以删除虚拟地址，其中，时间阈值可以为基于实际需求设定的值，比如，可以为100秒，此处仅为举例说明，不做具体限制；连接断开时长可以为域名缓存时间(Time To Live，简称为TTL)。

可选地，可以利用传输-代理服务器和域名-代理服务器设计了域名解析老化机制，可以设定域名-代理服务器返回的域名缓存时间，当缓存时间到的时候会自动老化，不需要用户维护端口映射的资源，避免资源浪费。

举例而言，域名-代理服务器返回的域名缓存时间可以为60秒，传输-代理服务器当VIP的连接断开60秒后会将VIP过期老化，不需要用户维护端口映射的资源，避免资源浪费。

作为一种可选的实施方式，获取来自客户端的域名解析请求，包括：在网络代理容器中获取来自客户端的业务容器的域名解析请求，其中，网络代理容器与业务容器共享相同运行周期，客户端通过业务容器访问私有网络；响应于来自客户端的资源访问请求，从虚拟地址中解析出私有网络的目标域名，包括：响应于来自客户端的业务容器的资源访问请求，从虚拟地址中解析出目标域名。

在该实施例中，可以客户端可以通过业务容器访问私有网络，可以在网络代理服务器中获取来自客户端的业务容器，可以实现网络代理容器与业务容器共享相同的运行周期，客户端可以通过业务容器访问私有网络。

可选地，可以响应于来自客户端的业务容器的资源访问请求，以达到从虚拟地址中解析出目标域名的目的。

本发明实施例，通过网络代理容器拦截业务容器的流量打通网络，将私有网络编码在域名中，利用网络代理容器拦截技术完成业务容器的网络穿透，从而减少了在应用程序上的接入成本上，进而实现了提高网络打通的效率的技术效果，解决了网络打通的效率低的技术问题。

在本发明实施例中，基于客户端的域名解析请求确定符合私有网络的域名格式，基于私有网络的域名格式，确定与域名格式对应的虚拟地址，获取客户端发出的符合域名格式的资源访问请求，基于资源访问请求从虚拟地址中解析出私有网络的目标域名，基于目标域名对应的私有网络的原始域名，即可访问到私有网络中的网络资源，进而实现了提高网络打通的效率的技术效果，解决了网络打通的效率低的技术问题。

下面从对域名进行编码的角度对私有网络的访问方法进行介绍。

图3是根据本发明实施例的另一种私有网络的访问方法的流程图。如图3所示，该方法可以包括以下步骤：

步骤S302，获取私有网络的原始域名，其中，原始域名用于表征私有网络的原始地址。

在本发明上述步骤S302提供的技术方案中，可以获取私有网络的原始域名，其中，原始域名可以用于表征私有网络的原始地址；原始地址可以为创建的网络服务的名字，比如，可以为vpc1。

可选地，可以由管理员创建网络服务，完成网络服务的准备工作，可以假设网络服务的名字为私有网络的资源名称(vpc1)，从而得到私有网络的原始域名，其中，网络服务可以用于完成私有网络中资源的处理与转发。

步骤S304，按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址。

在本发明上述步骤S304提供的技术方案中，可以按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名可以用于表征私有网络的目标地址。

可选地，可以按照私有网络的域名格式对原始域名进行编码，比如，可以在原目的地址(原始域名)后面加个网络标记(vpc1…)，新添加的网络标记可以由网络服务的名字(vpc1)和一些额外参数组成，使其成为一个以域名表示的新目的地地址(私有网络的目标域名)，从而可以基于目标域名，可以访问到其他网络内的资源，到希望访问的目的地。

步骤S306，将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，其中，域名解析请求用于向私有网络分配与域名格式对应的虚拟地址，资源访问请求用于从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名用于访问私有网络中的网络资源。

在本发明上述步骤S306提供的技术方案中，可以将目标域名下发至客户端，使得客户端可以基于目标域名发送域名格式的域名解析请求，以及符合域名格式的资源访问请求，可以基于域名解析请求向私有网络分配与域名格式对应的虚拟地址，可以基于资源访问请求从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名可以用于访问私有网络中的网络资源。

可选地，应用程序可以通过访问这个编码后的域名(新目的地地址)，实现打通网络的目的，将目标私有网络的在域名编码进原始的目的地，以实现可以轻松访问目标私有网络的目的，其中，编码工作可以在下发到应用程序前提前完成。

举例而言，可以在浏览器上打开网址(比如，https://www.taobao.com)，利用域名解析服务器对网址进行解析，解析得到域名www.taobao.com的互联网协议地址，以便于机器识别，浏览器可以基于识别到的互联网协议地址，向具体的互联网协议地址发起符合域名格式的域名解析请求，以及符合域名格式的资源访问请求。

通过本发明上述步骤S302至步骤S306，获取私有网络的原始域名，其中，原始域名用于表征私有网络的原始地址；按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址；将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，其中，域名解析请求用于向私有网络分配与域名格式对应的虚拟地址，资源访问请求用于从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名用于访问私有网络中的网络资源，从而实现了提高网络打通的效率的技术效果，解决了网络打通的效率低的技术问题。

本发明实施例还提供了另一种私有网络的访问方法，该方法可以应用于软件服务侧(Software-as-a-Service，简称为SaaS)。

图4是根据本发明实施例的另一种私有网络的访问方法的流程图，如图4所示，该方法可以包括以下步骤。

步骤S402，通过调用第一接口获取私有网络的原始域名，其中，第一接口包括第一参数，第一参数的参数值为原始域名，原始域名用于表征私有网络的原始地址。

在本发明上述步骤S402提供的技术方案中，第一接口可以是服务器与用户端之间进行数据交互的接口，用户端可以将私有网络的原始域名，作为第一接口的一个第一参数，实现获取到私有网络的原始域名的目的。

步骤S404，按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址。

步骤S406，通过调用第二接口将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，其中，第二接口包括第二参数，第二参数的参数值为目标域名，域名解析请求用于向私有网络分配与域名格式对应的虚拟地址，资源访问请求用于从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名用于访问私有网络中的网络资源。

在本发明上述步骤S406提供的技术方案中，第二接口可以是服务器与用户端之间进行数据交互的接口，服务器可以将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求传入第二接口中，作为第二接口的一个参数，实现将符合域名格式的域名解析请求和符合域名格式的资源访问请求下发至用户端的目的。

图5是根据本发明实施例的一种计算机设备对私有网络的访问的示意图，如图5所示，可以通过调用第一接口获取私有网络的原始域名，计算机设备按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址，通过调用第二接口将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，可以通过调用第二接口输出得到的符合域名格式的域名解析请求和符合域名格式的资源访问请求。

可选地，平台可以通过调用第二接口输出得到的符合域名格式的域名解析请求和符合域名格式的资源访问请求，其中，第二接口可以用于将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求。

本发明实施例通过调用第一接口获取私有网络的原始域名，其中，第一接口包括第一参数，第一参数的参数值为原始域名，原始域名用于表征私有网络的原始地址；按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址；通过调用第二接口将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，其中，第二接口包括第二参数，第二参数的参数值为目标域名，域名解析请求用于向私有网络分配与域名格式对应的虚拟地址，资源访问请求用于从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名用于访问私有网络中的网络资源，实现了提高了网络打通的效率的技术效果，解决了网络打通的效率低的技术问题。

实施例2

根据本发明实施例，还提供了一种私有网络的访问系统的实施例，图6是根据本发明实施例的一种私有网络的访问系统的示意图，如图6所示，该系统可以包括：客户端601、网络代理容器602和网关603，其中，

客户端601，可以用于向网络代理容器发送域名解析请求，其中，客户端可以为待访问网关的访问端，比如，可以为应用程序。

网络代理容器602，可以用于确定域名解析请求符合网关的域名格式，可以向网关分配与域名格式对应的虚拟地址；响应于来自客户端的资源访问请求，可以从虚拟地址中解析出网关的目标域名，其中，资源访问请求可以符合域名格式，目标域名可以用于表征私有网络的目标地址；可以基于目标域名对应的网关的原始域名，访问网关中的网络资源，其中，域名格式可以用于将原始域名编码为目标域名，原始域名可以用于表征私有网络的原始地址，其中，网络代理容器可以为可以用于为主网络代理容器提供额外的功能的网络代理容器，比如，可以为网络安全管理-代理服务器(network security manager-proxy，简称为nsm-proxy)中的网络代理容器。

网关603，可以用于向网络代理容器返回网络资源，可以为VPC网关。

作为一种可选的实施例，网络代理容器可以包括：请求拦截组件，请求拦截组件可以用于检测域名解析请求是否包括原始域名，以及网络资源的名称和/或类型，如果检测到域名解析请求包括原始域名，以及网络资源的名称和/或网络资源的类型，可以确定域名解析请求符合域名格式，其中，网络资源的名称和/或网络资源的类型在域名解析请求中可以位于原始域名的尾部。

可选地，请求拦截组件可以为域名-代理服务器(Domain Name Server，简称为DNS-proxy)，可以用于拦截网络代理容器的域名解析请求，可以先完成域名解析后，再发起超文本传输协议(http(s))请求，并返回一个虚拟的IP地址

作为一种可选的实施例，网络代理容器可以包括：传输组件，可以用于确定客户端当前所处的第一网段；确定不同于第一网段的第二网段；可以向私有网络分配与域名格式对应，且处于第二网段上的虚拟地址。

可选地，传输组件可以为传输-代理服务器(transport-proxy)，可以用于将虚拟的IP地址的解析回原始目的地，并将数据流接入网关编排服务的数据面。

作为一种可选的实施例，网络代理容器可以包括：清洗组件，可以用于响应于资源访问请求为按照超文本传输协议进行传输，对资源访问请求进行清洗，其中，清洗后的资源访问请求可以符合私有网络的原始域名格式。

可选地，传输组件，还可以用于基于清洗后的资源访问请求，从虚拟地址中解析出目标域名对应的原始域名。

可选地，清洗组件可以为通信总线(envoy)，可以用于清洗http(s)请求，可以将超文本传输协议的主机字段改回编码前的原始地址，避免虚拟主机匹配出现问题，同时可以清理掉传输安全协议(Transport Layer Security，简称为TLS)的服务器名称指示(SeverName Indication，简称为SNI)中的编码部分，避免传输安全协议握手失败。

本发明实施例在网关编排服务的基础上，增加一个网络代理容器(sidecar)容器，网络代理容器可以通过网络钩子或云原生应用自动化引擎的网络代理容器的创建能力自动注入到业务容器中，从而实现了提高网络打通的效率的技术效果，解决了网络打通的效率低的技术问题。

在该实施例中，提供了一种私有网络的访问系统，其中，客户端，用于向网络代理容器发送域名解析请求；网络代理容器，用于确定域名解析请求符合网关的域名格式，向网关分配与域名格式对应的虚拟地址；响应于来自客户端的资源访问请求，从虚拟地址中解析出网关的目标域名；基于目标域名对应的网关的原始域名，访问网关中的网络资源；网关，用于向网络代理容器返回网络资源，从而可以基于客户端的域名解析请求确定符合私有网络的域名格式，基于私有网络的域名格式，确定与域名格式对应的虚拟地址，获取客户端发出的符合域名格式的资源访问请求，基于资源访问请求从虚拟地址中解析出私有网络的目标域名，基于目标域名对应的私有网络的原始域名，即可访问到私有网络中的网络资源，进而实现了提高网络打通的效率的技术效果，解决了网络打通的效率低的技术问题。

实施例3

目前，针对客户端访问另一个私有网络内的服务的问题，可以通过将客户端与服务端的网络进行三层打通的方式实现客户端访问另一个私有网络内服务的问题，比如，云企业网(Cloud Enterprise Network，简称为CEN)、虚拟私有云等方式都是基于三层的网络打通，以实现客户端中的应用访问另一个私有网络内的服务的问题，但是，三层网络打通会改变应用内的网络基础环境，比如，需要添加新的路由规则，但是新的路由规则会造成与已有网络的网段冲突，这种方式存在配置效率低，连接的私有网络有限等问题，且该方法对每个网络的无类别域间路由(Classless Inter-Domain Routing，简称为CIDR)划分有严格的限制，存在不能完全重叠的问题。

相关技术中还提出了一种基于端口映射的打通方式，也就是通过端口映射的方式解决私有网络内的服务问题，比如，目的地址转换(Destination Network AddressTranslation，简称为DNAT)、私网连接(Private Link)等方式，图7是根据相关技术中的端口映射过程的示意图，如图7所示，该方法需要可以负责在网络层提供一个，可以使两个网络互通的网元(proxy)，这个网元上可以提供一个本地私有网络1内可访问的协议+IP+端口(port)，所有本地私有网络内的请求到达这个端口时，会转发到对端网络(比如，私有网络2)的某一个协议+IP+端口上。

举例而言，如图7所示，在网关的端口1(port1)处可以提供一个本地私有网络1内可访问的协议+IP+端口(192.168.1.100:80)，当用户(Client)在私有网络1(192.168.1.0/24)中发出请求1时，请求1抵达端口1后会转发到私有网络2(172.16.1.0/24)中协议+IP+端口为172.16.1.1:8080的服务器1(server1)中。

再举例而言，如图7所示，在网关的端口2(port2)处可以提供一个本地私有网络1内可访问的协议+IP+端口(192.168.1.100:8080)，当用户(Client)在私有网络1(192.168.1.0/24)中发出请求2时，请求2抵达端口2后会转发到私有网络2中协议+IP+端口为172.16.1.2:8080的服务器2中。

由上述可知，端口映射打通方法需要更改原目的地地址和端口，如果服务地址内有基于主机(HOST)做的一些路由匹配规则，比如，反向代理服务(nginx)的虚拟主机，传输安全协议的服务器名称指示(TLS SNI)将会失败，且每添加一个目的地，就需要在相应的网络配置上做端口打通，存在配置效率低下的问题，也会导致最高可访问目的地受限于中心网络设施的能力，因此，针对需要处理的海量短请求的场景，存在不适配的问题，同时，该方法需要自行关注端口的生命周期，否则存在端口资源容易泄漏的风险，另外，映射配置行为往往应用开发者是没有权限操作端口映射的，需要由集群管理员来处理，存在应用不灵活的问题。

相关技术中还提出一种基于应用代理方式的打通，比如，超文本传输协议代理服务器(Hyper Text Transfer Protocol proxy，简称为HTTP proxy)、网络传输协议代理服务器(socks5 proxy)，该方法需要用户代码做较深度地改造，应用范围受限于软件开发套件(Software Development Kit，简称为SDK)是否支持此类代理，使用范围有限，在生产环境中，当面临多租户生产环境时，一个容器(Pod)可能要同时对多个私有网络有网络访问需求，且私有网络的数量是会随着租户的增加而增加，因此，该方法仍存在接入成本高的问题。

为解决在相关技术中，针对客户端访问另一个私有网络内的服务，由于缺少一种低接入成本、方案灵活性低且无法满足多租户场景生产环境的问题，本发明实施例提出一种利用域名编码打通私有网络的方法，通过使用域名服务器进行域名编码的方式来完成网络打通，其中，域名服务器可以用于进行域名和与之对应的IP地址转换。

在本发明实施例中，如果应用希望访问某个私有网络内资源，可以只需要修改访问目的地，比如，可以通过在原目的地址后面加个网络标记，使其成为一个以域名表示的新目的地地址，从而可以实现访问到其他网络内的资源，其中，新添加的网络标记可以由网络服务和一些额外参数组成，编码工作是可以在下发到应用程序前提前完成的，但是在大部分情况下访问服务的代码并不需要改造。

下面对本发明实施例提出的利用域名编码打通私有网络的装置进行进一步的介绍。

本发明实施例在网关编排服务的基础上，增加一个网络代理容器(Sidecar容器)，网络代理容器可以通过网络钩子(webhook)或云原生应用自动化引擎的网络代理容器的创建(Sidecar Set)能力自动注入到业务容器中。

图8是根据本发明实施例的一种打通私有网络系统的示意图，如图8所示，网关编排服务可以包括：可以用于对接VxLan的网关控制面组件(Network Service Manager，简称为NSMgr)和网关数据面组件(Forwarder)，网关编排服务可以将私有网络抽象成一个网络服务资源，以实现可以对接虚拟扩展局域网(VxLan)，完成其他私有网络(比如，internal.a.com)的接入，网络服务的底层实现可以为一组位于目标私有网络的容器(Pod)，这个容器可以通过虚拟扩展局域网的方式提供给其他私有网络的节点接入。

可选地，由于本发明实施例是基于网关编排服务进行构建，因此本方法也可以适用于其他具备三层网络打通的场景。

在该实施例中，网络安全管理-代理服务器(network security manager-proxy，简称为nsm-proxy)可以由域名-代理服务器、传输-代理服务器和通信总线三部分组成。

可选地，域名-代理服务器可以用于拦截容器的域名解析请求，可以先完成域名解析后，再发起超文本传输协议(http(s))请求，并返回一个虚拟的IP地址。

可选地，通信总线可以用于清洗http(s)请求，可以将超文本传输协议的主机字段改回编码前的原始地址，避免虚拟主机匹配出现问题，同时可以清理掉传输安全协议的服务器名称指示中的编码部分，避免传输安全协议握手失败。

可选地，传输-代理服务器可以用于将虚拟的IP地址的解析回原始目的地，并将数据流接入网关编排服务的数据面。

下面在利用域名编码打通私有网络的装置的基础上对本发明实施例提出的利用域名编码打通私有网络的装置进行进一步的介绍。

图9(a)是根据本发明实施例的一种打通私有网络方法的流程图，如图9(a)所示，打通私有网络方法可以包括如下步骤。

步骤S901，创建网络服务。

在该实施例中，可以由管理员创建网络服务，完成网络服务的准备工作，可以假设网络服务的名字为资源名字(vpc1)。

步骤S902，获取新的目的地址。

在该实施例中，在下发到应用程序前，可以对网络服务进行编码，比如，可以在网络服务的原目的地址后面加个网络标记(vpc1…)，新添加的网络标记可以由网络服务的名字(vpc1)和一些额外参数组成，使其成为一个以域名表示的新目的地地址，即可访问到其他网络内的资源，到希望访问的目的地。

可选地，应用程序可以通过访问这个编码后的域名(新目的地地址)，实现打通网络的目的，将目标私有网络的在域名编码进原始的目的地，以实现可以轻松访问目标私有网络的目的。

举例而言，其他私有网络的节点接入网络服务可以包括格式1(非http(s)请求)和格式2(http(s)请求)，可选地，格式1的原始目的主机名可以为：/IP…。

举例而言，可以访问网络服务中名为vpc1内的在线数据库服务(RelationalDatabase Service，简称为RDS)，原始地址(域名)可以为rds.a.com，对网络服务的名字和额外参数进行编码(encoded)后的地址可以为：rds.a.com.vpc1…，其中，vpc1…可以为主机名格式。

再举例而言，访问网络服务中名为vpc1内的HTTP服务，HTTP服务的原始地址(域名)可以为：www.a.com，则对原始地址和额外参数进行编码后的地址(域名)可以为www.a.com.vpc1.http.....。

需要说明的是，上述编码内容和类型仅为举例说明，此处不做具体限制。

步骤S903，注入目的地址转换规则。

在该实施例中，启动网络安全管理-代理服务器网络代理容器时，可以对容器中注入目的地址转换(Destination Network Address Translation，简称为DNAT)规则，其中，目的地地址转换(DNAT)是防火墙端口映射方式的一种，转入目的地址转化规则后可以实现将访问某个或某些目的地址的端口流量转到具体的一个IP+端口上。

可选地，在域名解析阶段中，如图8所示，可以将用户访问的用户数据报协议(UserDatagram Protocol，简称为UDP)53端口和传输控制协议(Transmission ControlProtocol，简称为TCP)53端口的请求都转到域名-代理服务器(127.0.0.1:5353)中，以完成拦截容器的域名解析请求，并返回一个虚拟的IP地址的目的，从而任何地址的UDP 53端口和TCP 53端口的请求都可以转到域名-代理服务器的127.0.0.1:5353端口上，其中，域名解析请求可以为在域名解析节点的访问请求，需要说明的是，上述数字仅为举例说明，此处不做具体限制。

可选地，可以获取域名解析请求，对域名进行解析，可以将解析得到的域名转换为IP地址，实现客户端可以基于IP地址连接远端服务器，只有对域名进行解析得到互联网协议地址之后，才可以向互联网协议地址发起资源请求(http(s)请求)。

举例而言，可以在浏览器上打开网址(比如，https://www.taobao.com)，利用域名解析服务器对网址进行解析，解析得到域名www.taobao.com的互联网协议地址，以便于机器识别，浏览器可以基于识别到的互联网协议地址，向具体的互联网协议地址发起访问请求。

步骤S904，对域名拦截、网络代理容器的流量拦截。

在该实施例中，可以由域名-代理服务器分析域名格式，如果域名解析请求不符合不符合网关编排服务的格式(可以包括格式1和格式2)，则域名-代理服务器可以直接将请求转发到套接字(socket)的本地地址(local address)中；如果域名解析请求的域名格式符合网关编排服务的格式，则域名-代理服务器会向传输-代理服务器分配一个虚拟互联网协议地址，其中，VIP的网段会选择与用户集群的网段不冲突的段，比如，21.0.0.0/8，此处数据段仅为举例说明，不做具体限制。

步骤S905，将域名映射为虚拟地址。

在该实施例中，用户在域名服务器指令(DNS Query)中的域名解析请求返回后，应用程序可以向传输-代理服务器分配的虚拟的IP地址(VIP)发起请求(http请求)，VIP所处的IP段会命中设计的透明代理器(transparent proxy，简称为tproxy)规则。

可选地，如图8所示，如果是非http请求，通过tproxy规则，流量可以直接进入传输-代理服务器中；如果是http请求，则可以通过tproxy规则，流量可以先进入envoy，再进入transport-proxy。

举例而言，如图8所示，针对http请求(如：www.a.com.vpc1.http.....)，envoy可以将主机和服务器名称指示(Server Name Indication，简称为SNI)中网关编排服务的格式去掉，可以通过将http的主机字段改回编码前的原始地址的方式，以避免虚拟主机匹配出现问题；同时也会清理掉TLS SNI中的编码部分，避免TLS握手失败；可以在socket中设置mark：2676，以避免发出去的流量再次回到通信总线中；通信总线对外发送的请求会再被透明代理器传输至传输-代理服务器中。

步骤S906，从分配的虚拟地址中解析出原始目的地。

在该实施例中，传输-代理服务器可以对分配的VIP进行解析，解析出编码后的域名，并从中解析出网络服务的名字，以确定原始目的地。

图9(b)是根据本发明实施例的一种解析原始网络服务的示意图，如图9(b)所示，可以通过统一诊断服务(Unified Diagnostic Services，简称为UDS)对资源访问请求进行诊断，可以根据网络服务向网关编排服务中已有的网关控制面组件交换一个标记信息(MarkId)，拿到MarkId后向创建套接字，将标记信息防置在套接字中，网络安全管理-代理服务器可以通过一条流量控制(Traffic Control，简称为TC)规则将标记信息从套接字中解析出来，并放到网络包的媒体存取控制位址(Media Access Control，简称为MAC)后24位；网关数据面组件可以通过目的MAC地址最终解出目标网络服务，并通过VxLan连接上网络服务，这样就实现了网络打通。

步骤S907，对虚拟地址进行过期老化。

在该实施例中，可以利用传输-代理服务器和域名-代理服务器设计了域名解析老化机制，可以设定域名-代理服务器返回的域名缓存时间，当缓存时间到的时候会自动老化，不需要用户维护端口映射的资源，避免资源浪费。

举例而言，域名-代理服务器返回的域名缓存时间可以为60秒，传输-代理服务器当VIP的连接断开60秒后会将VIP过期老化，不需要用户维护端口映射的资源，避免资源浪费。

本发明实施例采用DNS技术，通过将目标私有网络编码进原始的目的地，再配合Sidecar技术拦截业务容器的流量打通网络，将私有网络编码在域名中，利用Sidecar流量拦截技术完成业务容器的网络穿透，由于DNS是主流操作系统，主流编程语言和SDK默认支持的技术，从而减少了在应用程序上的接入成本上。

在相关技术中，为了访问一个目的地需要消耗一个全局端口(比如，端口映射方法)，而在本发明实施例中，在网络服务准备好后，域名拦截和VIP映射工作都发生在本地，可以轻松访问目标私有网络上万的目的地，并且本方案还具有基于连接过期的淘汰机制，不需要用户维护端口映射的资源，对于海量短任务请求比较友好，从而实现了提高网络打通的效率的技术效果，解决了网络打通的效率低的技术问题。

另一种可选实施例中，图10以框图示出了使用上述图1所示的计算机终端(或移动设备)作为服务网格的一种实施例。图10是根据本发明实施例的一种私有网络的访问处理方法的服务网格的结构框图，如图10所示，该服务网格1000主要用于方便多个微服务之间进行安全和可靠的通信，微服务是指将应用程序分解为多个较小的服务或者实例，并分布在不同的集群/机器上运行。

如图10所示，微服务可以包括应用服务实例A和应用服务实例B，应用服务实例A和应用服务实例B形成服务网格1000的功能应用层。在一种实施方式中，应用服务实例A以容器/进程1008的形式运行在机器/工作负载容器组1014(POD)，应用服务实例B以容器/进程1010的形式运行在机器/工作负载容器组1016(POD)。

在一种实施方式中，应用服务实例A可以是商品查询服务，应用服务实例B可以是商品下单服务。

如图10所示，应用服务实例A和网格代理(sidecar)1003共存于机器工作负载容器组1014，应用服务实例B和网格代理1005共存于机器工作负载容器1014。网格代理1003和网格代理1005形成服务网格1000的数据平面层(data plane)。其中，网格代理10003和网格代理1005分别以容器/进程1004，容器/进程1004可以接收请求1012，以用于进行商品查询服务，网格代理1006的形式在运行，并且网格代理1003和应用服务实例A之间可以双向通信，网格代理1005和应用服务实例B之间可以双向通信。此外，网格代理1003和网格代理1005之间还可以双向通信。

在一种实施方式中，应用服务实例A的所有流量都通过网格代理1003被路由到合适的目的地，应用服务实例B的所有网络流量都通过网格代理1005被路由到合适的目的地。需要说明的是，在此提及的网络流量包括但不限于超文本传输协议(Hyper Text TransferProtocol，简称为HTTP)，表述性状态传递(Representational State Transfer，简称为REST)，高性能、通用的开源框架(gRPC)，开源的内存中的数据结构存储系统(Redis)等形式。

在一种实施方式中，可以通过为服务网格1000中的代理(Envoy)编写自定义的过滤器(Filter)来实现扩展数据平面层的功能，服务网格代理配置可以是为了使服务网格正确地代理服务流量，实现服务互通和服务治理。网格代理1003和网格代理1005可以被配置成执行至少如下功能中的一种：服务发现(service discovery)，健康检查(healthchecking)，路由(Routing)，负载均衡(Load Balancing)，认证和授权(authenticationand authorization)，以及可观测性(observability)。

如图10所示，该服务网格1000还包括控制平面层。其中，控制平面层可以是由一组在一个专用的命名空间中运行的服务，在机器/工作负载容器组(machine/Pod)1002中由托管控制面组件1001来托管这些服务。如图10所示，托管控制面组件1001与网格代理1003和网格代理1005进行双向通信。托管控制面组件1001被配置成执行一些控制管理的功能。例如，托管控制面组件1001接收网格代理1003和网格代理1005传送的遥测数据，可以进一步对这些遥测数据做聚合。这些服务，托管控制面组件1001还可以提供面向用户的应用程序接口(API)，以便较容易地操纵网络行为，以及向网格代理1003和网格代理1005提供配置数据等。需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用使得得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例的方法。

实施例4

根据本发明实施例，还提供了一种用于实施上述图2所示的私有网络的访问方法的私有网络的访问装置。

图11是根据本发明实施例的一种私有网络的访问装置的示意图。如图11所示，该私有网络的访问装置1100可以包括：第一获取单元1102、确定单元1104、分配单元1106、解析单元1108和访问单元1110。

第一获取单元1102，用于获取来自客户端的域名解析请求，其中，客户端为待访问私有网络的访问端。

确定单元1104，用于确定域名解析请求符合私有网络的域名格式。

分配单元1106，用于向私有网络分配与域名格式对应的虚拟地址。

解析单元1108，用于响应于来自客户端的资源访问请求，从虚拟地址中解析出私有网络的目标域名，其中，资源访问请求符合域名格式，目标域名用于表征私有网络的目标地址。

访问单元1110，用于基于目标域名对应的私有网络的原始域名，访问私有网络中的网络资源，其中，域名格式用于将原始域名编码为目标域名，原始域名用于表征私有网络的原始地址。

此处需要说明的是，上述第一获取单元1102、确定单元1104、分配单元1106、解析单元1108和访问单元1110对应于实施例1中的步骤S202至步骤S210，五个单元与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例1所公开的内容。需要说明的是，上述单元作为装置的一部分可以运行在实施例1提供的计算机终端中。

根据本发明实施例，还提供了一种用于实施上述图3所示的私有网络的访问方法的私有网络的访问装置。

图12是根据本发明实施例的另一种私有网络的访问装置的示意图，如图12所示，该私有网络的访问装置1200可以包括：第二获取单元1202、第一处理单元1204和第一下发单元1206。

第二获取单元1202，用于获取私有网络的原始域名，其中，原始域名用于表征私有网络的原始地址。

第一处理单元1204，用于按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址。

第一下发单元1206，用于将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，其中，域名解析请求用于向私有网络分配与域名格式对应的虚拟地址，资源访问请求用于从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名用于访问私有网络中的网络资源。

此处需要说明的是，上述第二获取单元1202、第一处理单元1204和第一下发单元1206对应于实施例1中的步骤S302至步骤S306，三个单元与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例1所公开的内容。需要说明的是，上述单元作为装置的一部分可以运行在实施例1提供的计算机终端中。

根据本发明实施例，还提供了一种用于实施上述图4所示的私有网络的访问方法的私有网络的访问装置。

图13是根据本发明实施例的另一种私有网络的访问装置的示意图，如图13所示，该私有网络的访问装置1300可以包括：第三获取单元1302、第二处理单元1304和第二下发单元1306。

第三获取单元1302，用于通过调用第一接口获取私有网络的原始域名，其中，第一接口包括第一参数，第一参数的参数值为原始域名，原始域名用于表征私有网络的原始地址。

第二处理单元1304，用于按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址。

第二下发单元1306，用于通过调用第二接口将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，其中，第二接口包括第二参数，第二参数的参数值为目标域名，域名解析请求用于向私有网络分配与域名格式对应的虚拟地址，资源访问请求用于从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名用于访问私有网络中的网络资源。

此处需要说明的是，上述第三获取单元1302、第二处理单元1304和第二下发单元1306对应于实施例1中的步骤S402至步骤S406，三个单元与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例1所公开的内容。需要说明的是，上述单元作为装置的一部分可以运行在实施例1提供的计算机终端中。

在该实施例的私有网络的访问装置中，通过第一获取单元获取来自客户端的域名解析请求；通过确定单元确定域名解析请求符合私有网络的域名格式；通过分配单元向私有网络分配与域名格式对应的虚拟地址；通过解析单元，响应于来自客户端的资源访问请求，从虚拟地址中解析出私有网络的目标域名；通过访问单元，基于目标域名对应的私有网络的原始域名，访问私有网络中的网络资源，实现了提高网络打通的效率的技术效果，解决了网络打通的效率低的技术问题。

实施例5

本发明的实施例可以提供一种处理器，该处理器可以包括计算机终端，该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地，在本实施例中，上述计算机终端也可以替换为移动终端等终端设备。

可选地，在本实施例中，上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。

在本实施例中，上述计算机终端可以执行应用程序的私有网络的访问方法中以下步骤的程序代码：获取来自客户端的域名解析请求，其中，客户端为待访问私有网络的访问端；确定域名解析请求符合私有网络的域名格式；向私有网络分配与域名格式对应的虚拟地址；响应于来自客户端的资源访问请求，从虚拟地址中解析出私有网络的目标域名，其中，资源访问请求符合域名格式，目标域名用于表征私有网络的目标地址；基于目标域名对应的私有网络的原始域名，访问私有网络中的网络资源，其中，域名格式用于将原始域名编码为目标域名，原始域名用于表征私有网络的原始地址。

可选地，图14是根据本发明实施例的一种计算机终端的结构框图。如图14所示，该计算机终端A可以包括：一个或多个(图中仅示出一个)处理器1402、存储器1404、以及传输装置1406。

其中，存储器可用于存储软件程序以及模块，如本发明实施例中的私有网络的访问方法和装置对应的程序指令/模块，处理器通过运行存储在存储器内的软件程序以及模块，从而执行各种功能应用以及预测，即实现上述的私有网络的访问方法。存储器可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器可进一步包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

处理器可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：获取来自客户端的域名解析请求，其中，客户端为待访问私有网络的访问端；确定域名解析请求符合私有网络的域名格式；向私有网络分配与域名格式对应的虚拟地址；响应于来自客户端的资源访问请求，从虚拟地址中解析出私有网络的目标域名，其中，资源访问请求符合域名格式，目标域名用于表征私有网络的目标地址；基于目标域名对应的私有网络的原始域名，访问私有网络中的网络资源，其中，域名格式用于将原始域名编码为目标域名，原始域名用于表征私有网络的原始地址。

可选地，上述处理器还可以执行如下步骤的程序代码：确定原始域名的域名字段和网络资源的资源字段；基于域名字段和资源字段建立域名格式。

可选地，上述处理器还可以执行如下步骤的程序代码：从资源字段中提取出网络资源的属性字段，其中，属性字段用于表示网络资源的名称和/或网络资源的类型；将属性字段拼接至域名字段的尾部，得到域名格式。

可选地，上述处理器还可以执行如下步骤的程序代码：检测域名解析请求是否包括原始域名，以及网络资源的名称和/或网络资源的类型；如果检测到域名解析请求包括原始域名，以及网络资源的名称和/或网络资源的类型，确定域名解析请求符合域名格式，其中，网络资源的名称和/或网络资源的类型位于原始域名的尾部。

可选地，上述处理器还可以执行如下步骤的程序代码：确定客户端当前所处的第一网段；确定不同于第一网段的第二网段；向私有网络分配与域名格式对应，且处于第二网段上的虚拟地址。

可选地，上述处理器还可以执行如下步骤的程序代码：响应于资源访问请求为按照超文本传输协议进行传输，对资源访问请求进行清洗，其中，清洗后的资源访问请求符合私有网络的原始域名格式；基于清洗后的资源访问请求，从虚拟地址中解析出目标域名对应的原始域名。

可选地，上述处理器还可以执行如下步骤的程序代码：从私有网络的套接字中解析出与原始域名对应的标识；基于标识从虚拟地址中解析出原始域名。

可选地，上述处理器还可以执行如下步骤的程序代码：基于虚拟扩展局域网接入私有网络，且按照原始域名访问私有网络中的网络资源。

可选地，上述处理器还可以执行如下步骤的程序代码：在网络代理容器中获取来自客户端的业务容器的域名解析请求，其中，网络代理容器与业务容器共享相同运行周期，客户端通过业务容器访问私有网络；响应于来自客户端的业务容器的资源访问请求，从虚拟地址中解析出目标域名。

作为一种可选的示例，处理器可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：获取私有网络的原始域名，其中，原始域名用于表征私有网络的原始地址；按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址；将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，其中，域名解析请求用于向私有网络分配与域名格式对应的虚拟地址，资源访问请求用于从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名用于访问私有网络中的网络资源。

作为一种可选的示例，处理器可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：通过调用第一接口获取私有网络的原始域名，其中，第一接口包括第一参数，第一参数的参数值为原始域名，原始域名用于表征私有网络的原始地址；按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址；通过调用第二接口将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，其中，第二接口包括第二参数，第二参数的参数值为目标域名，域名解析请求用于向私有网络分配与域名格式对应的虚拟地址，资源访问请求用于从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名用于访问私有网络中的网络资源。

本发明实施例，基于客户端的域名解析请求确定符合私有网络的域名格式，基于私有网络的域名格式，确定与域名格式对应的虚拟地址，获取客户端发出的符合域名格式的资源访问请求，基于资源访问请求从虚拟地址中解析出私有网络的目标域名，基于目标域名对应的私有网络的原始域名，即可访问到私有网络中的网络资源，进而实现了提高网络打通的效率的技术效果，解决了网络打通的效率低的技术问题。

本领域普通技术人员可以理解，图14示的结构仅为示意，计算机终端A也可以是智能手机(如、平板电脑、掌声电脑以及移动互联网设备(Mobile Internet Devices，MID)、PAD等终端设备。图14并不对上述计算机终端A的结构造成限定。例如，计算机终端A还可包括比图14所示更多或者更少的组件(如网络接口、显示装置等)，或者具有与图14所示不同的配置。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(Read-Only Memory，ROM)、随机存取器(RandomAccess Memory，RAM)、磁盘或光盘等。

实施例6

本发明的实施例还提供了一种计算机可读存储介质。可选地，在本实施例中，上述计算机可读存储介质可以用于保存上述实施例1所提供的私有网络的访问方法所执行的程序代码。

可选地，在本实施例中，上述计算机可读存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。

可选地，在本实施例中，上述计算机可读存储介质被设置为存储用于执行以下步骤的程序代码：获取来自客户端的域名解析请求，其中，客户端为待访问私有网络的访问端；确定域名解析请求符合私有网络的域名格式；向私有网络分配与域名格式对应的虚拟地址；响应于来自客户端的资源访问请求，从虚拟地址中解析出私有网络的目标域名，其中，资源访问请求符合域名格式，目标域名用于表征私有网络的目标地址；基于目标域名对应的私有网络的原始域名，访问私有网络中的网络资源，其中，域名格式用于将原始域名编码为目标域名，原始域名用于表征私有网络的原始地址。

可选地，上述计算机可读存储介质还可以执行如下步骤的程序代码：确定原始域名的域名字段和网络资源的资源字段；基于域名字段和资源字段建立域名格式。

可选地，上述计算机可读存储介质还可以执行如下步骤的程序代码：从资源字段中提取出网络资源的属性字段，其中，属性字段用于表示网络资源的名称和/或网络资源的类型；将属性字段拼接至域名字段的尾部，得到域名格式。

可选地，上述计算机可读存储介质还可以执行如下步骤的程序代码：检测域名解析请求是否包括原始域名，以及网络资源的名称和/或网络资源的类型；如果检测到域名解析请求包括原始域名，以及网络资源的名称和/或网络资源的类型，确定域名解析请求符合域名格式，其中，网络资源的名称和/或网络资源的类型位于原始域名的尾部。

可选地，上述计算机可读存储介质还可以执行如下步骤的程序代码：确定客户端当前所处的第一网段；确定不同于第一网段的第二网段；向私有网络分配与域名格式对应，且处于第二网段上的虚拟地址。

可选地，上述计算机可读存储介质还可以执行如下步骤的程序代码：响应于资源访问请求为按照超文本传输协议进行传输，对资源访问请求进行清洗，其中，清洗后的资源访问请求符合私有网络的原始域名格式；基于清洗后的资源访问请求，从虚拟地址中解析出目标域名对应的原始域名。

可选地，上述计算机可读存储介质还可以执行如下步骤的程序代码：从私有网络的套接字中解析出与原始域名对应的标识；基于标识从虚拟地址中解析出原始域名。

可选地，上述计算机可读存储介质还可以执行如下步骤的程序代码：基于虚拟扩展局域网接入私有网络，且按照原始域名访问私有网络中的网络资源。

可选地，上述计算机可读存储介质还可以执行如下步骤的程序代码：在网络代理容器中获取来自客户端的业务容器的域名解析请求，其中，网络代理容器与业务容器共享相同运行周期，客户端通过业务容器访问私有网络；响应于来自客户端的业务容器的资源访问请求，从虚拟地址中解析出目标域名。

作为一种可选的示例，计算机可读存储介质被设置为存储用于执行以下步骤的程序代码：获取私有网络的原始域名，其中，原始域名用于表征私有网络的原始地址；按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址；将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，其中，域名解析请求用于向私有网络分配与域名格式对应的虚拟地址，资源访问请求用于从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名用于访问私有网络中的网络资源。

作为一种可选的示例，计算机可读存储介质被设置为存储用于执行以下步骤的程序代码：通过调用第一接口获取私有网络的原始域名，其中，第一接口包括第一参数，第一参数的参数值为原始域名，原始域名用于表征私有网络的原始地址；按照私有网络的域名格式对原始域名进行编码，得到私有网络的目标域名，其中，目标域名用于表征私有网络的目标地址；通过调用第二接口将目标域名下发至客户端，使得客户端基于目标域名发送符合域名格式的域名解析请求，以及符合域名格式的资源访问请求，其中，第二接口包括第二参数，第二参数的参数值为目标域名，域名解析请求用于向私有网络分配与域名格式对应的虚拟地址，资源访问请求用于从虚拟地址中解析出私有网络的目标域名，目标域名对应的原始域名用于访问私有网络中的网络资源。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本发明所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。