【技术实现步骤摘要】
网络控制系统到公共云中的扩展
[0001]本申请是申请日为2017年1月17日、申请号为201780063156.6、专利技术名称为“网络控制系统到公共云中的扩展”的专利技术专利申请的分案申请。
[0002]本专利技术公开通常涉及网络控制系统到公共云中的扩展。
技术介绍
[0003]公共数据中心设置包括托管虚拟机或其它数据计算节点的许多服务器,其中服务器的虚拟化软件中的转发元件(例如,软件虚拟交换机)处理这些数据计算节点的分组转发和网络安全性。在私有数据中心(例如,企业网络)中,存在允许数据中心的所有者控制主机服务器的管理程序从而实现其自己的安全性和分组转发规则的技术。
[0004]公共数据中心为公司提供了将其网络扩展或移出其自己的私有数据中心的能力,从而降低物理服务器以及它们所需的常规维护的成本和其它负担。但是,公共数据中心拥有其自己的所有者来控制虚拟化软件,并且可能没有强健或透明的安全功能。由此,由于无法实施直接的安全控制,一些公司对将其网络迁移到这些公共数据中心犹豫不决。
技术实现思路
[0005]本专利技术的一些实施例提供了一种具有管理逻辑网络的能力的网络管理和控制系统,该逻辑网络跨越(i)私有数据中心,其中该系统可以访问和控制转发元件,以及(ii)一个或多个公共多租户数据中心,其中该系统不能访问转发元件。在一些实施例的私有数据中心中,网络管理和控制系统(本文称为网络控制系统)管理在主机机器的虚拟化软件(例如,管理程序)中执行的软件转发元件,因此可以实现管理员期望的网络转发和安 ...
【技术保护点】
【技术特征摘要】
1.一种方法,包括:在被配置为执行用于数据中心中的逻辑网络的第一网关转发元件的第一数据计算节点处:从由数据中心的管理员配置的第二转发元件接收数据分组,其中数据分组由第二转发元件从数据中心外的源接收,其中所述第二转发元件在将所述数据分组发送到所述第一数据计算节点在其上操作的主机计算机之前,对所述数据分组执行第一网络地址转换(NAT)操作;根据用于第一网关转发元件的逻辑网络配置,对数据分组执行第二NAT操作,其中不能访问数据中心的第二转发元件和其他管理员配置的转发元件的网络控制器将第一网关转发元件的配置分发给第一数据计算节点;和封装数据分组并将其发送到在数据中心中的第二数据计算节点上执行的第三转发元件,所述第三转发元件根据网络控制器分发的逻辑网络配置数据进行配置,其中第三转发元件对数据分组进行解封装,并将数据分组传送到在第二数据计算节点上执行的应用。2.根据权利要求1所述的方法,其中网络控制器通过向在第一数据计算节点上执行的控制器模块提供配置数据来配置第一网关转发元件,其中所述控制器模块根据提供的配置数据配置在第一数据计算节点上执行的网关转发元件。3.根据权利要求1所述的方法,其中所述第三转发元件被配置为基于由所述网络控制器分配给在所述第一数据计算节点上执行的控制器模块的配置数据来实现所述逻辑网络,其中在所述第一数据计算节点上执行的控制器模块将所述配置数据的子集分配给所述第二数据计算节点。4.根据权利要求1所述的方法,其中:当由第二转发元件接收时,数据分组具有公共第一网络地址作为其目的地地址;第一NAT操作将公共第一网络地址转换为与第一数据计算节点相关联的第二网络地址;和第二转发元件还封装数据分组以便传送到第一数据计算节点连接的第四转发元件。5.根据权利要求4所述的方法,其中第四转发元件(i)在第一数据计算节点在其上操作的主机计算机上操作,(ii)由数据中心的管理员配置,并且(iii)在将数据分组传送给第一数据计算节点的接口之前解封数据分组。6.根据权利要求4所述的方法,其中执行第二NAT操作包括将第二网络地址转换为与在第二数据计算节点上执行的应用相关联的第三网络地址。7.根据权利要求6所述的方法,其中:将数据分组发送到第三转发元件包括将封装的分组发送到第四转发元件;第四转发元件从第三转发元件接收封装的分组,再次封装所述分组,并将两次封装的分组发送到在第二数据计算节点在其上操作的主机计算机上操作的第五转发元件;和第五转发元件移除由第四转发元件添加的封装,并将封装的分组传送到第二数据计算节点。8.根据权利要求6所述的方法,还包括:从第三转发元件接收第二数据分组,第二数据分组具有外部源的网络地址作为其目的地地址并且具有第三网络地址作为其源地址;
对所述第二数据分组执行第三NAT操作以将所述第三网络地址转换为所述第二网络地址;和将所述第二数据分组发送到所述第二转发元件,其中所述第二转发元件对所述第二数据分组执行第四NAT操作以将所述第二网络地址转换为所述第一网络地址。9.根据权利要求6所述的方法,其中第二网络地址是由数据中心的管理员分配的专用网络地址,而第三网络地址是与逻辑网络的逻辑转发元件的逻辑端口相关联的专用网络地址。10.根据权利要求4所述的方法,其中多个网络地址与第一数据计算节点的同一接口相关联,所述方法还包括:从所述第二转发元件接收第二数据分组,其中由具有公共第四网络地址作为其目的地地址的第二转发元件从所述数据中心外部的第二源接收所述第二数据分组,其中所述第二转发元件对所述第二数据分组执行第三NAT操作以将所述公共第四网络地址转换为也与所述第一数据计算节点相关联的第五网络地址;对第二数据分组执行第四NAT操作;和封装所述第二数据分组并将其发送到在所述数据中心中的第三数据计算节点上执行的第五转发元件,所述第五转发元件根据由所述网络控制器分发的逻辑网络配置数据配置,其中所述第五转发元件对所述第二数据分组解封装,并将所述第二数据分组传送给在所述第三数据计算节点上执行的第二应用。11.根据权利要求1...
【专利技术属性】
技术研发人员:G,
申请(专利权)人:NICIRA股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。