本发明专利技术提出虚拟边缘端口汇聚器控制方法及VEPA控制器,该方法包括:EVB网络中设置的VEPA控制器发现自身控制的任一VEPA上新创建VM时,根据该VM的业务信息,查找到该VM对应的网络安全策略;根据获取的自身控制的VEPA与接入交换机的连接关系,查找到该VEPA对应的接入交换机;将查找到的网络安全策略和该VM的地址下发给查找到的接入交换机,以使查找到的接入交换机接收到来自该VM的数据包时,根据查找到的网络安全策略对该数据包执行转发处理。本发明专利技术简化了对VEPA的控制。
【技术实现步骤摘要】
本专利技术涉及虚拟化
,尤其涉及VEPA(Virtual Edge Port Aggregator,虚拟边缘端口汇聚器)控制方法及VEPA控制器。
技术介绍
随着数据中心业务日益增加,用户需求不断提高,数据中心的规模和功能日趋复杂,管理难度也越来越高。在这一背景下,整合数据中心、降低数据中心的管理成本,充分挖掘现有资源能力以适应更高的业务需求,成为企业数据中心的重要任务。对数据中心资源进行虚拟化,成为目前数据中心整合的重要趋势。虚拟化技术通过对物理资源和提供的服务进行抽象化,让资源使用者和系统管理者不关心对象的物理特征和服务边界的细节,从而降低资源使用和管理的复杂度,提高使用效率。因而,对数据中心的虚拟化能够提高数据中心的资源利用率如:CPU利用率、存储容量等,降低系统的能耗,并减少系统的设计、运行、管理、维护成本,从而实现整合的目标。数据中心的虚拟化技术包括网络虚拟化、存储虚拟化和服务器虚拟化。其中,最主要的是服务器虚拟化,通过专用的虚拟化软件(如VMware)管理,一台物理服务器能虚拟出多台VM(Virtual Machine,虚拟机),每个VM独立运行,互不影响,都有自己的操作系统、应用程序和虚拟的硬件结构,如图1所示,包括虚拟CPU、内存、存储设备、1(Input-Output,输入输出)设备、虚拟交换机等。EVB(Edge Virtual Bridging,边缘虚拟桥接)技术标准由 IEEE(Institute ofElectrical and Electronics Engineers,电气和电子工程师协会)标准802.1Qbg定义。EVB技术分为交换机EVB技术和服务器(stat1n)EVB技术。服务器EVB技术应用于数据中心服务器,在其上的虚拟交换机中实现,用于简化虚拟服务器的流量转发实现,对虚拟服务器的网络交换、流量管理和策略下发进行集中控制,并能在虚拟迁移时实现网络管理和策略的自动迁移。进一步地,支持EVB的虚拟交换机分为VEB (Virtual Edge Bridge,虚拟边缘桥)和VEPA。如图2所示,图2为现有的VEPA与VM和边缘交换机的交互示意图,VEPA将VM产生的网络流量全部交由与服务器相连的物理边缘交换机进行处理,即使同一台服务器上的VM间的流量转发,也将在边缘交换机上查表处理后,再回到目的VM上。VEPA的这种处理方式不仅借助物理交换机解决了 VM间流量转发,同时还实现了对VM流量的监管,并且将VM接入层网络纳入到传统服务器接入网络管理体系中。具体地,在标准化的802.1Qbg规范中,定义了基于图3所示的VEPA控制方案架构,在该方案中,定义了一个四角色的应用模型,如图3所示,其中包含了虚拟化的服务器群、VMM (Virtual Machine Manager,虚拟机管理系统)、边缘接入交换机以及VSI (VirtualStat1n Interface,虚拟站点服务器)Manager。其中,VEPA 通过标准 VDP (VSI Discoveryand Configurat1n Protocol, VSI发现和配置协议)会话向边缘接入交换机通告VM的网络状态,每一个VM在网络上映射为一个VSI。在虚拟化环境中,目前通常是在DVS (Distributed Virtual Switch,分布式虚拟交换机)的基础上进行VEPA转发优化(如图4所示)。该方案是在图3所示方案的基础上将多个主机上的vSwitch进行了集中控制,形成了分布式的VEPA控制方案。其中,在匪S与VMM之间增设一个DVS Manager以用于控制VEPA,VEPA与边缘接入交换机使用VDP通信以保持VM在线的状态通告,匪S向边缘接入交换机下发针对VM的网络安全策略配置;VEPA将来自VM的数据包发送给边缘接入交换机,边缘接入交换机根据自身配置的针对该VM的网络安全策略转发该数据包。
技术实现思路
本专利技术提供VEPA控制方法及VEPA控制器,以简化对VEPA的控制。本专利技术的技术方案是这样实现的:一种虚拟边缘端口汇聚器VEPA控制方法,该方法包括:在边缘虚拟桥接EVB网络中设置的VEPA控制器发现自身控制的任一 VEPA上新创建VM时,根据该VM的业务信息,查找到该VM对应的网络安全策略;根据获取的自身控制的VEPA与接入交换机的连接关系,查找到该VEPA对应的接入交换机;将查找到的网络安全策略和该VM的地址下发给查找到的接入交换机,以使查找到的接入交换机接收到来自该VM的数据包时,根据查找到的网络安全策略对该数据包执行转发处理。一种虚拟边缘端口汇聚器VEPA控制器,包括:网络安全策略查找模块,用于在发现所述VEPA控制器控制的任一 VEPA上新创建VM时,根据该VM的业务信息,查找到该VM对应的网络安全策略;以及根据获取的所述VEPA控制器控制的VEPA与接入交换机的连接关系,查找到该VEPA对应的接入交换机;网络安全策略下发模块,用于将所述网络安全策略查找模块查找到的网络安全策略和该VM的地址下发给查找到的接入交换机,以使查找到的接入交换机接收到来自该VM的数据包时,根据查找到的网络安全策略对该数据包执行转发处理。可见,本专利技术中,由VEPA控制器统一控制VEPA和接入交换机,这样一来,VEPA与接入交换机之间无需进行VDP会话,VM的网络安全策略不再由WS而是由VEPA控制器下发给接入交换机,简化了对VEPA的控制。【附图说明】图1为服务器虚拟化示意图;图2为现有的VEPA示意图;图3为现有的VEPA控制方案架构示意图;图4为现有的在图3所示方案的基础上的分布式的VEPA控制方案架构示意图;图5为本专利技术实施例提供的VEPA控制方案架构示意图;图6为本专利技术实施例提供的VEPA控制方法流程图;图7为本专利技术实施例提供的VEPA控制器获得VEPA与接入交换机之间的连接关系不意图;图8为本专利技术实施例提供的通过集群方式扩展VEPA控制器的示意图;图9为本专利技术实施例提供的VEPA控制器的组成示意图。【具体实施方式】标准化的802.1Qbg规范中定义的VEPA控制方案存在如下缺陷:I)各个服务器内的VEPA处于虚拟交换机(vSwitch)状态,这种模式下,形成了太多的交互点,即在虚拟化环境中有大量独立、分散的VEPA部件,相互之间无法统一协调。2) VEPA与边缘接入交换机使用VDP通信,保持VM在线的状态通告,响应缓慢。 3)边缘接入交换机上针对VM的网络安全策略由NMS (Network ManagementSystem,网络管理系统)配置,信息交互复杂,响应迟钝。现有的基于DVS的VEPA控制方案存在如下缺陷:I)在匪S与VMM当前第1页1 2 3 4 本文档来自技高网...
【技术保护点】
一种虚拟边缘端口汇聚器VEPA控制方法,其特征在于,该方法包括:在边缘虚拟桥接EVB网络中设置的VEPA控制器发现自身控制的任一VEPA上新创建VM时,根据该VM的业务信息,查找到该VM对应的网络安全策略;根据获取的自身控制的VEPA与接入交换机的连接关系,查找到该VEPA对应的接入交换机;将查找到的网络安全策略和该VM的地址下发给查找到的接入交换机,以使查找到的接入交换机接收到来自该VM的数据包时,根据查找到的网络安全策略对该数据包执行转发处理。
【技术特征摘要】
【专利技术属性】
技术研发人员:刘新民,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。