【技术实现步骤摘要】
分布式IPSec网关
技术介绍
虚拟云网络服务使得云使用者能够在公有云(云提供者的云网络)上拥有自己的私有网络(以下简称虚拟私有云网络)。在云
中,IPSec(InternetProtocolSecurity,Internet协议安全性)网关为云租户中的云使用者提供了远程接入他们的虚拟私有云网络的VPN(VirtualPrivateNetwork,虚拟专用网络)连接。
技术实现思路
提供本专利技术实施例内容是为了以精简的形式介绍将在以下详细描述中进一步描述的一些概念。本
技术实现思路
并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。在本文公开了一种分布式IPSec网关技术,将IPSec网关的控制层和数据层进行分离,在数据层中运行多个网关处理节点来处理入向ESP(EncapsulatingSecurityPayload,封装安全负载)/AH(AuthenticationHeader,认证头)流量的数据包和/或出向IP流量的数据包,在控制层中处理IKE(InternetKeyExchange,因特网密钥交换)信息交互以及对数据层中的各个网关处理节点进行流量导引。通过控制层和数据层进行分离设计,从而实现了分布式IPSec网关。上述说明仅是本公开技术方案的概述,为了能够更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为了让本公开的上述和其它目的、特征和优点能够更明显易懂,以下特举本公开的具体实施方式。附图说明图1为应用了本专利技术实施例的分布式IPSec网关的云网络系统的示例框图。图2为IPSec隧道的示意结构框图。图3 ...
【技术保护点】
1.一种计算设备,包括:处理单元;以及存储器,耦合至所述处理单元并且包含存储于其上的指令,所述指令在由所述处理单元执行时使所述电子设备执行动作,所述动作包括:配置网关管理节点以用于:生成多条IPSec隧道的IPSec SA,并发送给处理相应IPSec隧道的入向ESP/AH流量的数据包和/或出向IP流量的数据包的网关处理节点,以及在多个所述网关处理节点之间进行入向ESP/AH流量导引和/或出向IP流量导引;以及配置多个网关处理节点以用于:使用所述网关管理节点发送的IPSec SA,对接收到的入向ESP/AH流量的数据包进行处理,生成入向IP流量的数据包,和/或,对接收到的出向IP流量的数据包进行处理,生成出向ESP/AH流量的数据包。
【技术特征摘要】
1.一种计算设备,包括:处理单元;以及存储器,耦合至所述处理单元并且包含存储于其上的指令,所述指令在由所述处理单元执行时使所述电子设备执行动作,所述动作包括:配置网关管理节点以用于:生成多条IPSec隧道的IPSecSA,并发送给处理相应IPSec隧道的入向ESP/AH流量的数据包和/或出向IP流量的数据包的网关处理节点,以及在多个所述网关处理节点之间进行入向ESP/AH流量导引和/或出向IP流量导引;以及配置多个网关处理节点以用于:使用所述网关管理节点发送的IPSecSA,对接收到的入向ESP/AH流量的数据包进行处理,生成入向IP流量的数据包,和/或,对接收到的出向IP流量的数据包进行处理,生成出向ESP/AH流量的数据包。2.根据权利要求1所述的计算设备,其中,所述动作还包括:配置网关输入节点和/或网关输出节点;所述网关管理节点,进一步用于生成用于在所述多个网关处理节点之间进行入向ESP/AH流量导引的入向ESP/AH流量导引规则,并将所述入向ESP/AH流量导引规则发送给所述网关输入节点,和/或,生成用于在所述多个网关处理节点之间进行出向IP流量导引的出向IP流量导引规则,将所述出向IP流量导引规则发送给所述网关输出节点,配置网关输入节点以用于接收入向ESP/AH流量的数据包,并根据所述入向ESP/AH流量导引规则,将接收到的入向ESP/AH流量的数据包发送给相应的网关处理节点;配置网关输出节点以用于接收出向IP流量的数据包,并根据所述出向IP流量导引规则,将接收到的出向IP流量的数据包发送给相应的网关处理节点。3.根据权利要求1所述计算设备,其中,所述网关管理节点进一步用于维护用于运行所述网关处理节点的虚拟机资源池,对所述虚拟机资源池的虚拟机资源配置进行调配,其中,每个所述网关处理节点通过所述虚拟机资源池中的一个虚拟机来运行。4.根据权利要求3所述的计算设备,其中,所述虚拟机资源池中的多个虚拟机包括如下状态:已经启动并且用于正在运行网关处理节点的活跃状态、已经启动并且用于准备运行网关处理节点的非活跃状态,所述对虚拟机资源池的虚拟机资源配置进行调配包括:在建立新的IPSec隧道时或者在需要进行IPSec隧道迁移时,如果网关管理节点在活跃状态的虚拟机中没有找到有负载余量虚拟机,则从所述非活跃状态的虚拟机中选择虚拟机来运行新的网关处理节点,以处理新的IPSec隧道的流量或者被迁移的IPSec隧道迁移的流量。5.根据权利要求3或4所述的计算设备,其中,所述对虚拟机资源池的虚拟机资源配置进行调配包括:根据已经建立的各个IPSec隧道对应的云提供者向云租户所承诺的性能要求以及各个虚拟机的负载能力,对所述虚拟机资源池中的虚拟机资源配置进行调整,使得虚拟机资源池中的资源配置能够满足已经建立的IPSec隧道的所述性能要求的总和。6.根据权利要求2所述的计算设备,其中,所述网关管理节点还进一步用于执行从源网关处理节点到目标网关处理节点的IPSec隧道迁移控制,所述IPSec隧道迁移控制包括:所述网关管理节点生成被迁移的隧道的新的IPSecSA,并将该新的IPSecSA发送给目标网关处理节点;生成新的入向ESP/AH流量导引规则和/或新的出向IP流量导引规则,并将所述新的入向ESP/AH流量导引规则发送给所述网关输入节点和/或将所述新的出向IP流量导引规则发送给所述网关输出节点,其中,在IPSec隧道迁移过程中,源网关处理节点使用旧的IPSecSA处理被迁移的隧道的入向ESP/AH流量的数据包和/或出向IP流量的数据包。7.根据权利要求6所述的计算设备,其中,在IKE密钥更新的过程中,进行所述IPSec隧道迁移控制。8.根据权利要求1所述的计算设备,其中,所述网关管理节点还进一步用于对网关处理节点处理的各个IPSec隧道的入向ESP/AH流量和/或出向IP流量进行监测,并判断该网关处理节点处理的全部IPSec隧道的入向ESP/AH流量和/或出向IP流量的总和是否超过运行该网关处理节点的虚拟机的负载能力阈值,如果所述入向ESP/AH流量和/或出向IP流量的总和超过运行该网关处理节点的虚拟机的负载能力阈值,则执行隧道迁移控制。9.根据权利要求8所述的计算设备,其中,所述网关管理节点,还进一步用于计算网关处理节点所处理的各个IPSec隧道入向ESP/AH流量和/或出向IP流量与所述虚拟机的负载能力阈值的差值,基于该差值对所述网关处理节点所处理的多个IPSec隧道进行排序,并选择需要进行迁移的IPSec隧道,直到该网关处理节点处理的全部IPSec隧道的入向ESP/AH流量和/或出向IP流量的总和小于所述负载能力阈值。10.一种在IPSec网关中实现的方法,所述IPSec网关包括网关管理节点和多个网关处理节点,所述方法包括:所述网关管理节点生成多条IPSec隧道的IPSecSA,并发送给处理相应IPSec隧道的入向ESP/AH流量的数据包和/或出向IP流量的数据包的网关处理节点,以及在所述多个网关处理节点之间进行入向ESP/AH流量导引和/或出向IP流量导引;各个所述网关处理节点使用所述网关管理节点发送的IPSecSA,对接收到的入向ESP/AH流量的数据包进行处理,生成入向IP流量的数据包,和/或,对接收到的出向IP流量的数据包进行处理,生成出向ESP/AH流量的数据包。11.根据权利要求10所述的方法,其中,所述IPSec网关还包括:网关输入节点和/...
【专利技术属性】
技术研发人员:熊勇强,王智用,孙正锡,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。