用于在启用OPENFLOW的云计算中使用MPLS时分离租户特定数据的装置和方法制造方法及图纸

租户数据库用于将租户ID信息添加到云网络管理器（CNM）地址映射表以对于CNM隔离对于租户ID的租户特定数据。CNM维持多个数据库或表中的多个项之间的映射。该多个数据库或表包括租户数据库（DB）、租户标识符到租户标记（TITL）表、架顶式服务器标记到虚拟交换机链接标记（TLVLL）表、标记映射表（SMVL）和CNM地址映射表。CNM使用多个数据库来生成租户特定标记，其添加到在租户虚拟机（VM）之间发送的包。

Device and method for separating tenant specific data when using MPLS in OPENFLOW enabled cloud computing

The tenant database is used to add tenant ID information to the cloud network manager (CNM) address mapping table for CNM isolation of tenant specific data for tenant ID. CNM maintains mapping between multiple items in multiple databases or tables. The multiple databases or tables include the tenant database (DB), the tenant identifier to the tenant label (TITL) table, the top server tag to the virtual switch link tag (TLVLL) table, the label mapping table (SMVL), and the CNM address mapping table. CNM uses multiple databases to generate tenant specific tags, which are added to packets sent between tenant virtual machines (VM).

【技术实现步骤摘要】
用于在启用OPENFLOW的云计算中使用MPLS时分离租户特定数据的装置和方法相关申请的交叉引用该部分接续申请要求2011年9月30日提交的美国专利申请13/251,107和2012年11月27日提交的美国临时申请61/730,394的权益，两者通过引用合并于此。
本专利技术的实施例涉及云计算领域；并且更具体地，涉及云计算中的虚拟专用网隔离。
技术介绍
大型公司很多年来一直专注于它们在数据中心中的计算资源。该趋势随着服务器虚拟化技术变得越来越普遍而在过去几年加速。因为数据中心变得更大，一些数据中心运营商开始向外部客户提供计算、存储和网络通信资源。提供的服务典型地由弹性、按需处理存储组成，其对于多数实用目的而言仅受到客户支付能力和进入互联网的网络带宽的限制。该开发叫作云计算。服务器虚拟化技术允许将服务器池作为基本上一个大的计算机资源来管理。叫作管理程序的软件层位于操作系统与硬件之间。该管理程序调度虚拟机（“VM”）在虚拟化服务器上的执行。VM是封装有一些应用的操作系统图像。管理程序允许暂停VM并且使其在服务器之间移动到负载平衡。用于捕捉崩溃的VM执行的负载平衡和监视对用高得多的专业解决方案成本实现的企业应用提供相同种类的容错和可标度性服务。云管理器系统监管VM的执行；调度执行来满足需求、优化服务器利用并且使功耗最小化。云执行管理器可以调度执行以允许硬件和软件的服务中升级而不影响正在进行中的服务预备。为了支持VM在机器之间的任意移动，数据中心内的联网也必须虚拟化。大部分云现今通过使虚拟交换机并入管理程序而使网络虚拟化。虚拟交换机向在管理程序的控制下执行的VM提供虚拟网络端口。虚拟交换机软件还允许网络资源采用与服务器资源如何被管理程序虚拟化相似的方式虚拟化。管理程序和虚拟交换机由此可以合作以允许VM在服务器之间移动。在管理程序使VM移动时，它关于新的位点来与虚拟交换机通信，并且虚拟交换机确保对于VM地址（层2媒体访问控制（“MAC”）地址，潜在地也是互联网协议（“IP”）地址）的网络路由表被升级，因此包被路由到新的位点。许多云计算设施仅支持Web服务应用。Web服务应用由负载平衡前端组成，其向Web服务器池派发请求。这些请求在概念上源自互联网上的应用并且因此安全性和隐私要求比私人企业网中的应用要宽松。较新的趋势是安全多租户，其中云提供商提供虚拟专用网（“VPN”），像在云外部的客户端的分布式办公网络与云内的VPN之间的连接。这允许在云内的客户端应用在与企业广域网（“WAN”）类似的网络环境中运作。对于其中仅对拥有数据中心的企业内的客户提供服务的私有数据中心，对于多租户的安全性和隐私要求放宽。对于公共数据中心，云运营商必须确保来自多个租户的业务被隔离并且没有业务从一个客户端到达另一个的可能性。在任一情况下，云计算设施趋于使用MAC层虚拟局域网（“VLAN”）来实现云计算机网络。例如，可以对两个不同的外部企业客户设置两个虚拟私有云（“VPC”）。VPC由VM的集合、存储和向云中的企业租赁空间提供安全多租户的联网资源组成。企业客户经由VPN通过在公共运营商网络上运行的互联网而连接到VPC内。为了向VPC添加新的服务实例（新的VM），云执行管理器使VM初始化以在虚拟化服务器上的管理程序上运行。虚拟化服务器上的虚拟交换机配置成在VLAN中包括VM，该VLAN是对于添加新VM的企业的VPN的部分。在一些情况下，对于新的服务升级虚拟客户边缘路由器并且用新的服务升级云计算设施中的供应商边缘路由器。为了提供VPN，云计算设施实现三个解决方案中的一个。首先，每个租户接收独立VLAN片。其次，租户VPN使用IP封装来实现。第三，租户VPN使用MAC地址封装来实现。这些解决方案中的每个面临不足。如果云使用VLAN隔离，每个租户被分配独立VLAN标签并且云网络作为平面层2网络运行。VLAN标签具有12个位，因此如果云运营商使用VLAN隔离，租户的数量限制在4096。该极限提供主要限制。VLAN隔离的另一个问题是标准区域联网（例如，LAN、WAN、MAN；电气和电子工程师协会（“IEEE”）802.1）交换使用生成树协议（“STP”）来设置路由。为了去除路由环的可能性，STP在源地址与目的地址之间指定一个并且仅仅一个路径，而不管是否存在多个路由。这在生成树协议遭受业务压力并且忽略备选路由时可以导致交换结构的拥挤和利用不足。利用IP封装，云作为路由IP网络运行并且IP隧道用于隔离租户业务。来自租户的业务被封装在IP包（典型地使用通用路由封装“GRE”）中，其中隧道的端点是VM运行所在的源和目的虚拟化服务器上的源和目的虚拟交换机。IP封装允许客户端通过将以太网帧封装在层2隧道协议（“L2TP”）中而定义在顶部的任意层2服务。它还允许有大量租户，其仅受云范围内IP地址空间的约束。租户还可以在IP隧道顶部部署它们自己的IP地址空间。然而，在没有其他度量的情况下，IP路由还选择单个路由并且因此忽略多径路由，从而导致不必要的拥挤。云路由可以利用等价多径以在多个链路上散布包但以额外配置复杂性为代价。一般，配置IP路由网络是耗时的并且路由器趋于成为比简单交换机更昂贵的设备。另外，IP网络具有有限手段来预备专用带宽，这对于大的数据流可是必需的。利用MAC封装，独立租户VPN作为封装在MAC隧道内部而运行，这与IP封装相似。MAC隧道的端点典型地是VM运行所在的源和目的虚拟化服务器上的虚拟交换机。MAC封装提供与通过VLAN隔离的IP封装相似的益处，只是增加了云可以作为平面层2网络运行这一益处（如期望的话）。缺点是对于MAC封装存在很少对于信令协议的标准（与IP不同），并且尽管存在对于数据平面封装的标准，不在一些现有云管理软件产品中使用它们。这要冒着不与某些类型的硬件一起工作的风险。配置并且维持MAC封装网络也比维持VLAN隔离网络更复杂。
技术实现思路
本专利技术的实施例包括由云网络管理器（“CNM”）执行以管理云网络中的多协议标记交换（“MPLS”）流条目的方法。CNM耦合于第一虚拟化服务器，用于托管一个或多个虚拟机（“VM”），其中该第一虚拟化服务器包括支持MPLS的第一虚拟交换机，并且该第一虚拟交换机耦合于支持MPLS的第一架顶式交换机（“TORS”）。CNM接收第一通知消息，其中该第一通知消息指示属于特定租户的第一VM已为了在第一虚拟化服务器上激活而调度。响应于接收第一通知消息，CNM确定与第一VM关联的第一VM媒体访问控制（“MAC”）地址。此外，CNM确定与第一虚拟交换机关联的第一虚拟交换机MAC地址。CNM在地址映射表中记录租户标识符、第一VMMAC地址和第一虚拟交换机MAC地址之间的关联。CNM进一步确定使第一TORS与第一虚拟交换机关联的第一MPLS标记，和识别租户的租户MPLS标记。CNM向第一虚拟交换机发送第一流条目修改消息，其指示匹配第一MPLS标记、租户MPLS标记和第一VMMAC地址匹配的数据包应在弹出租户MPLS标记和第一MPLS标记后转发到第一VM。本专利技术的实施例包括用于管理多协议标记交换（“MPLS”）云网络的系统，其包括多个架顶式交换机（“TORS”）、多个虚拟化服务器、耦合于该多个虚拟化服务器的云执行管理器（“C本文档来自技高网...

【技术保护点】
一种计算设备，所述计算设备执行云网络管理器CNM，所述CNM实现用于隔离租户特定数据的方法，所述计算设备包括：一组计算机可读存储设备，用于存储所述CNM和多个数据库或表，所述多个数据库或表包括租户数据库DB、租户标识符到租户标记TITL表、架顶式服务器标记到虚拟交换机链接标记TLVLL表、标记映射表SMVL和CNM地址映射表；以及一组处理器，所述一组处理器耦合到所述一组计算机可读存储设备以执行所述CNM，所述CNM维护所述多个数据库或表中的多个项目之间的映射，并且使用所述多个数据库生成租户特定标记，所述租户特定标记被添加到在租户虚拟机VM之间发送的包。

【技术特征摘要】
2012.11.27 US 61/730394;2013.01.25 US 13/7503251.一种计算设备，所述计算设备执行云网络管理器CNM，所述CNM实现用于隔离租户特定数据的方法，所述计算设备包括：一组计算机可读存储设备，用于存储所述CNM和多个数据库或表，所述多个数据库或表包括租户数据库DB、租户标识符到租户标记TITL表、架顶式服务器标记到虚拟交换机链接标记TLVLL表、标记映射表SMVL和CNM地址映射表；以及一组处理器，所述一组处理器耦合到所述一组计算机可读存储设备以执行所述CNM，所述CNM维护所述多个数据库或表中的多个项目之间的映射，并且使用所述多个数据库生成租户特定标记，所述租户特定标记被添加到在租户虚拟机VM之间发送的包。2.如权利要求1所述的计算设备，其中，所述CNM在OpenFlow交换机上安装或卸载流之前执行数据库访问。3.如权利要求1所述的计算设备，其中，所述CNM使用所述TITL表将租户ID用作关键字来查找所述租户标记。4.如权利要求1所述的计算设备，其中，所述CNM使用所述TLVLL表将架顶式服务器TORS标记用作关键字来查找所述虚拟交换机VS链接标记。5.如权利要求1所述的计算设备，其中，所述CNM使用所述CNM地址映射表来维护租户ID、租户VM媒体访问控制MAC地址、租户VM互联网协议IP地址和服务器MAC地址之间的映射。6.如权利要求5所述的计算设备，其中，每个租户有一个CNM地址映射表。7.如权利要求1所述的计算设备，其中，通过添加租户标记作为转发条目来隔离租户特定数据。8.如权利要求7所述的计算设备，其中，使用具有租户ID的所述租户标记分离并隔离对于相应VM的租户特定业务。9.如权利要求8所述的计算设备，其中，属于不同租户的VM具有相同的互联网协议和媒体访问控制地址。10.如权利要求1所述的计算设备，其中，所述租户DB存储指向所述CNM地址映射表的指针。11.如权利要求10所述的计算设备，其中，在执...

【专利技术属性】
技术研发人员：J肯普夫，R米什拉，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典,SE