用于容器流量的传输层等级标识和隔离的系统和方法技术方案

公开了提供容器流量的传输等级的标识和隔离的系统和方法。该方法包括：在网络中的组件处接收具有数据字段的分组；在网络层处从数据字段提取容器标识数据；以及在组件处基于容器标识数据向分组应用策略。数据字段可以包括IPv4分组的报头、IPv6扩展报头、服务功能链容器标识、网络服务报头、以及可选字段中的一者。

System and Method for Classification and Isolation of Transport Layer for Container Flow

Systems and methods for identifying and isolating the transport level of container flow are disclosed. The method includes: receiving groupings with data fields at components in the network; extracting container identification data from data fields at the network layer; and applying strategies to grouping based on container identification data at components. Data fields can include IPv4 packet headers, IPv6 extended headers, service function chain container identifiers, network service headers, and one of the optional fields.

【技术实现步骤摘要】
【国外来华专利技术】用于容器流量的传输层等级标识和隔离的系统和方法
本公开涉及可以用来使能基于每个容器的策略实施的网络层上的容器标识机制。
技术介绍
容器定义了容宿云环境中的工作负荷的不同方式。尽管存在标识基于容器的工作负荷的诸如，DOCKER、DOCKERSWARM、CLOUDIFY之类的容器编排包，但是编排是对于编排层局部显著的并且不在网络上传输。假定基于以下示例容器的部署：在横跨多个计算节点分布的容器集群上部署两个不同的基于HTTP的应用。每个应用独立于其他不同容器运行，但是可以共享相同的计算节点。此时，在不能唯一地标识相同计算节点上的运行相同应用但提供不同服务的容器的条件下，无法应用策略或其他网络功能。IP、TCP/UDP端口、或其他HTTP专用区分器不足以区分相同计算节点上(或横跨计算节点)的容器并在网络上标识它们。附图说明结合附图通过下面的详细描述将很容易理解本公开，其中：图1示出了根据本公开的一方面的计算设备的基本计算组件。图2示出了应用本公开的一般背景。图3示出了应用本公开的网络的另一方面。图4示出了示例方法。具体实施方式概述独立权利要求给出了本专利技术的多个方面，从属权利要求给出了优选特征。一方面的特征可以单独或与其他方面结合应用于每个方面。本公开解决了以上针对编排处理到编排层的定位所引发的问题。本文公开了实现标识并隔离网络上的基于容器的工作负荷的能力的新处理，这可以打开系统可以向流量应用网络技术的很多强大用例(QoS/优先级、计费/计帐、基于容器的策略实施、基于云的分类等)。本公开提供了试图解决缺少在传输层对容器发起或以容器为目的地的流进行标识和隔离的概念。公开了提供容器流量的传输等级标识和隔离的系统和方法。该方法包括：在网络中的组件处接收具有数据字段的分组；在网络层处从数据字段提取容器标识数据；以及在上述组件处基于容器标识数据向分组应用策略。数据字段可以包括以下各项中的一者或多者：IP分组的报头、IP(例如，IPv4或IPv6)扩展报头、服务功能链容器标识、网络服务报头、以及可选字段。向分组应用策略可以包括基于每个容器或每个容器流应用策略。策略可以与QoS、优先级、计费、计帐、基于云的分类、基于容器的策略、和/或基于工作负荷的策略中的至少一者相关联。另外，在上述组件处向分组应用策略可以基于容器标识并且还可以包括向与分组相关联的工作负荷应用策略。还描述了包括网络节点的用于执行本文描述的方法的系统和装置、编码在有形介质上的用于执行所述方法的计算机程序、计算机程序产品、计算机可读介质、以及逻辑。描述本公开解决了上述问题，并且提供了用于在横跨很多容器分发工作负荷时管理分组流的方案。横跨容器分发工作负荷是非常需要的部署应用的方法。相比虚拟机，容器是轻量、快速、并且容易大量生产和破坏的。随着对基于容器的部署的兴趣越来越大，网络必须适应容器专用的流量模式。诸如DOCKER和LINUXCONTAINERS(LXC)之类的容器技术用于运行单个应用，而不代表完全的机器虚拟化。容器可以提供完整的运行时环境：被绑定到一个包中的应用加上其所有附属元素、库和其他二进制数以及运行应用所需要的配置文件。通过对应用平台及其附属元素进行容器化，操作系统分发和下层基础架构中的差异被抽象出来。利用虚拟化技术，可以绕过的包是虚拟机并且其包括整个操作系统和应用。运行三个虚拟机的物理服务器将具有系统管理程序和在其上运行的三个单独的操作系统。相反，利用DOCKER运行三个容器化应用的服务器运行单个操作系统，并且每个容器与其他容器共享操作系统内核。操作系统的共享部分是只读的，同时每个容器具有其自身的用于写入的挂载(即，访问容器的方式)。这意味着容器相比虚拟机更加轻量并且使用更少的资源。还存在提供用于在使用单个Linux内核的控制主机上运行多个单独Linux系统(容器)的操作系统级虚拟化方法的其他容器，例如，LXC。这些容器被看作更改根目录操作(chroot)(更改当前运行的处理的明显根目录的操作)和完全成熟的虚拟机之间的东西。它们试图在不需要单独内核的条件下创建尽可能接近Linux安装的环境。本公开可以应用于“容器”的任何定义。本公开专注于容器以及如何改善对容器中的应用的处理的管理。本公开引入了专用于容器的分类/标识/隔离方法，以填补这些部署当前面对的空白。所引入的标识机制允许在网络元件中唯一地标识容器和它们的流量(根据从集群到整个云提供商网络的范围内的内容)。本公开首先转向图1，图1公开了可以应用于本公开的系统示例的一些基本硬件组件。根据对基本示例硬件组件的讨论，本公开将转向对容器流量的标识和隔离。参考图1，示例性系统和/或计算设备100包括处理单元(CPU或处理器)110和系统总线105，其中，系统总线105将诸如只读存储器(ROM)120和随机存取存储器(RAM)125之类的包括系统存储器115在内的各种系统组件耦合到处理器110。系统100可以包括与处理器110直接连接、邻近处理器110、或者集成为处理器110的一部分的缓存112。系统100将数据从存储器115、120和/或125和/或存储设备130复制到缓存112，以供处理器110快速存取。这样，缓存提供了避免处理器110在等待数据时发生延迟的性能提升。这些和其他模块可以控制或被配置为控制处理器110执行各种操作或动作。其他系统存储器115也可用。存储器115可以包括具有不同性能特性的多个不同类型的存储器。可以明白的是，本公开可以在具有一个以上处理器110的计算设备100上或者在联网在一起以提供更大处理能力的计算设备的群组或集群上操作。处理器110可以包括任何通用处理器和硬件模块或软件模块(例如，在存储设备130中存储的被配置为控制处理器110的模块1132、模块2134、模块3136)以及专用处理器(在软件指令被结合在该处理器中的情况下)。处理器110可以是包含多个核或处理器、总线、存储器控制器、缓存等的自包含计算系统。多核处理器可以是对称或非对称的。处理器110可以包括多个处理器，例如，具有不同套接口中的多个物理上分离的处理器的系统、或者具有单个物理芯片上的多个处理器核的系统。类似地，处理器110可以包括位于多个不同的计算设备中但是通过通信网络一起工作的多个分布式处理器。多个处理器或处理器核可以共享诸如存储器115或缓存112之类的资源，或者可以使用独立的资源进行操作。处理器110可以包括以下各项中的一者或多者：状态机、专用集成电路(ASIC)、或包括现场PGA的可编程门阵列(PGA)。系统总线105可以为包括存储器总线或存储器控制器、外围总线、以及使用各种总线架构中的任意一种的局部总线在内的多种类型的总线结构中的任意总线结构。ROM120中存储的基本输入/输出系统(BIOS)等可以提供有助于例如在启动期间在计算设备100内的元件之间传输信息的基本例程。计算设备100还包括存储设备130或计算机可读存储介质(例如，硬盘驱动、磁盘驱动、光盘驱动、磁带驱动、固态驱动、RAM驱动、可移除存储设备、廉价磁盘冗余阵列(RAID)、混合存储设备等)。存储设备130通过驱动接口连接到系统总线105。驱动器和相关联的计算机可读存储设备提供计算机可读指令、数据结构、程序模块、以及用于计算本文档来自技高网...

【技术保护点】
1.一种方法，包括：在网络中的组件处接收具有数据字段的分组；在网络层处从所述数据字段提取容器标识数据，该容器标识数据标识所述网络上的软件容器；以及在所述组件处基于所述容器标识数据向所述分组应用策略。

【技术特征摘要】
【国外来华专利技术】2016.07.20 US 15/215,5031.一种方法，包括：在网络中的组件处接收具有数据字段的分组；在网络层处从所述数据字段提取容器标识数据，该容器标识数据标识所述网络上的软件容器；以及在所述组件处基于所述容器标识数据向所述分组应用策略。2.如权利要求1所述的方法，其中，所述数据字段包括以下各项中的一者：IPv4分组的报头、IPv6扩展报头、服务功能链容器标识、网络服务报头、以及可选字段。3.如权利要求1或2所述的方法，其中，向所述分组应用所述策略包括基于每个容器或每个容器流应用所述策略。4.如权利要求1至3中任一项所述的方法，其中，所述策略与以下各项中的至少一者相关联：QoS、优先级、计费、计帐、基于云的分类、基于容器的策略、以及基于工作负荷的策略。5.如权利要求1至4中任一项所述的方法，其中，在所述组件处基于所述容器标识数据向所述分组应用策略还包括向与所述分组相关联的工作负荷应用所述策略。6.如权利要求1至5中任一项所述的方法，其中，所述组件包括虚拟交换机。7.一种系统，包括：一个或多个处理器；以及计算机可读介质，存储有指令，该指令在被所述一个或多个处理器执行时使得所述一个或多个处理器执行包括以下各项的操作：在网络中的组件处接收具有数据字段的分组；在网络层处从所述数据字段提取容器标识数据；以及在所述组件处基于所述容器标识数据向所述分组应用策略。8.如权利要求7所述的系统，其中，所述数据字段包括以下各项中的一者：IPv4分组的报头、IPv6扩展报头、服务功能链容器标识、网络服务报头、以及可选字段。9.如权利要求7或8所述的系统，其中，向所述分组应用所述策略包括基于每个容器或每个容器流应用所述策略。10.如权利要求7至9中任一项所述的系统，其中，所述策略与以下各项中的至少一者相关联：QoS、优先级、计费、计帐、基于云的分类、基于容器的策略、基于工作负荷的策略。...

【专利技术属性】
技术研发人员：塞巴斯蒂安·朱克，贡萨洛·萨尔盖罗，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国,US