基于逻辑端口标识符管理虚拟交换机中的网络流量制造技术

本文描述的是用于增强网络流量管理的系统、方法和软件。在一个实现中，第一主机识别要从第一主机上的第一虚拟机传送到第二主机上的第二虚拟机的分组。响应于识别出该分组，第一主机识别用于第一虚拟机的源逻辑端口，并将通信传送到第二主机，其中通信封装数据分组和源逻辑端口。一旦第二主机接收到分组，第二主机可以使用源逻辑端口来确定分组的转发动作。

Management of network traffic in virtual switch based on logical port identifier

This paper describes the system, method and software used to enhance network traffic management. In one implementation, the first host identifies the packets to be transferred from the first virtual machine on the first host to the second virtual machine on the second host. In response to the identification of the packet, the first host identifies the source logical port for the first virtual machine and transmits the communication to the second host, wherein the communication encapsulates the data packet and the source logical port. Once the second host receives the packet, the second host can use the source logical port to determine the forwarding action of the packet.

【技术实现步骤摘要】
【国外来华专利技术】基于逻辑端口标识符管理虚拟交换机中的网络流量相关申请本申请要求于2017年1月13日提交的标题为“基于逻辑端口标识符管理虚拟交换机中的网络流量(MANAGINGNETWORKTRAFFICINVIRTUALSWITCHESBASEDONLOGICALPORTIDENTIFIERS)”的美国非临时专利申请15/406,249的优先权，其全部内容通过引用并入本文。
技术介绍
在计算环境中，可以使用虚拟交换机，其包括能够为计算环境中的一个或更多个虚拟节点提供通信平台的软件模块。这些虚拟交换机可用于通过在将分组传递到同一网络上的其他节点之前检查分组来智能地指示网络上的通信。例如，可以检查分组以确定源和目的地互联网协议(IP)地址，以确定是否允许将通信传送到目的地计算节点。在一些实现中，虚拟交换机可以配置有转发规则或流操作，其指示要对分组采取的动作。这些流操作识别数据分组内的特定属性，例如IP地址、媒体访问控制(MAC)地址等，并且当被识别出时，提供要针对数据分组断言的一组动作。这些动作可以包括对数据分组的修改、数据分组的转发规则以及其他可能的操作。为了管理虚拟交换机，可以提供虚拟交换机控制器，其用于将控制平面与软件定义的网络的数据平面分离。这些虚拟交换机控制器用于定义在虚拟交换机接收分组时引导分组的规则或控制机制。在一些实现中，该路由可以包括定义哪些节点与哪些逻辑网络相关联，哪些安全机制被置于通信分组上，或者相对于虚拟交换机的数据平面的某种其他控制机制。然而，尽管虚拟交换机及其相关控制器提供了用于为虚拟机路由分组的有价值的机制，但是当需要将虚拟机的逻辑标识符转换成IP和MAC地址以实现期望的转发规则时，可能出现困难。
技术实现思路
本文公开的技术增强了软件定义的网络的网络流量管理。在一个实现中，操作虚拟计算环境以使用逻辑端口提供分组实施的方法包括在第一主机计算系统和第二主机计算系统中的每一个中，基于虚拟计算环境中虚拟机的转发规则和逻辑端口状态信息维护数据平面转发配置。该方法还在第一主机计算系统中提供识别要从在第一主机计算系统上执行的虚拟机传送到在第二主机计算系统上执行的虚拟机的分组，以及识别与第一主机计算系统上的虚拟机相关联的源逻辑端口。一旦被识别出，该方法在第一主机计算系统中提供将通信传送到第二主机计算系统，其中该通信至少封装分组和源逻辑端口。该方法还在第二主机计算系统中提供接收通信并至少基于源逻辑端口和数据平面转发配置确定通信中分组的转发动作。附图说明以下描述和相关附图教导了本专利技术的最佳模式。出于教导专利技术原理的目的，可以简化或省略最佳模式的一些常规方面。以下权利要求指定了本专利技术的范围。注意，最佳模式的某些方面可能不落入权利要求所指定的本专利技术的范围。因此，本领域技术人员将理解落入本专利技术范围内的最佳模式的变化。本领域技术人员将理解，下面描述的特征可以以各种方式组合以形成本专利技术的多种变型。结果，本专利技术不限于下面描述的具体示例，而是仅由权利要求及其等同物限制。图1示出了根据一种实现的基于端口标识符来管理分组转发的虚拟计算环境。图2示出了根据一种实现的将虚拟机的数据分组传送到第二主机的主机操作。图3示出了根据一种实现的将转发规则应用于来自第二主机的通信的主机操作。图4示出了根据一种实现的将数据分组从第一虚拟机传送到第二虚拟机的操作场景。图5示出了根据一种实现的将数据分组从第一虚拟机传送到第二虚拟机的主机操作。图6示出了根据一种实现的将数据分组从第一虚拟机传送到第二虚拟机的操作场景。图7示出了根据一种实现的将数据分组从第一虚拟机传送到第二虚拟机的操作场景。图8示出了根据一种实现的规则数据结构。图9示出了根据一种实现的基于端口标识符来管理分组转发的主机计算系统。具体实施方式本文公开的各种示例提供了用于管理虚拟交换机上的分组转发的增强。特别地，虚拟交换机配置有转发规则，该转发规则指示在分组通过虚拟交换机时要对分组采取的动作。这些转发规则可以各自定义属性，例如源和目的地互联网协议(IP)地址，源和目的地媒体访问控制(MAC)地址，协议和其他类似属性，并且进一步定义要针对满足定义的属性的数据分组断言的一组转发动作。这些转发动作可以包括用于将分组转发到其目的地的肯定转发动作，修改分组的修改动作，对分组的阻止动作，或者针对分组采取的其他类似动作。例如，当在虚拟交换机处接收到分组时，虚拟交换机可以检查该分组以确定应该应用于该分组的转发动作。一旦识别出动作，就可以采取动作，其可以包括将分组转发到目的地虚拟机或系统，阻止分组，修改分组或一些其他类似的操作。在本示例中，为了检查通过虚拟交换机传送的分组，虚拟交换机可以基于与网络的每个虚拟机相关联的逻辑端口来采用基于规则的实施。这些虚拟端口包括逻辑值，这些逻辑值用作特定于每个虚拟机的逻辑网络链路的标识符。例如，网络的第一虚拟机将与第一逻辑端口值相关联，而第二虚拟机将与第二逻辑端口值相关联。因此，虚拟交换机可以确定通信的源和目的地逻辑端口，以基于逻辑端口确定用于通信的转发动作，而不是将虚拟机的逻辑端口转换为IP或MAC地址以确定适当的转发规则。为了使用逻辑端口提供该操作，当通过物理网络或通过位于同一主机上的虚拟路由器传送通信时，必须在通信内识别或定义源逻辑端口。例如，如果第一主机计算系统上的第一虚拟机要将数据分组传送到第二主机计算系统上的第二虚拟机，则可能需要第一主机计算系统上的虚拟交换机识别源逻辑端口。该源逻辑端口可以包括用作特定于虚拟机的逻辑网络链路的标识符的值。一旦识别出源逻辑端口，就可以将逻辑端口注入到用于隧道通信(tunnelingcommunication)的通信协议报头中，该隧道通信封装来自第一虚拟机的数据分组。然后可以至少部分地基于用于通信的封装的源逻辑端口将封装的通信传送到第二主机以进行处理。图1示出了根据一种实现的基于端口标识符来管理分组转发的虚拟计算环境100。虚拟计算环境100包括具有虚拟机120-125、超级管理程序(hypervisor)130-131和网络接口140-141的主机110-111。虚拟计算环境100还包括中央控制器150，其可用于管理和提供位于主机110-111上的虚拟交换机的控制平面信息。在操作中，主机110-111分别执行超级管理程序130-131，以为虚拟机120-125提供平台。超级管理程序130-131抽象化主机110-111的物理组件并向虚拟机提供硬件的虚拟表示，包括处理系统、存储接口、网络接口或一些其他抽象组件。除了为虚拟机120-125的操作提供抽象硬件之外，超级管理程序130-131还可用于向虚拟机提供软件定义的网络(SDN)。这些SDN可以包括虚拟交换机和路由器，用于提供可能存在于同一主机计算系统上的虚拟机和计算节点之间的连接，或者可以在单独的主机计算系统上操作。为了提供SDN，可以从中央控制器150提供转发规则(有时称为流规则或流表)，或者可以在主机110-111本地提供转发规则。这些转发规则基于分组的本文档来自技高网...

【技术保护点】
1.一种操作虚拟计算环境以使用逻辑端口提供分组实施的方法，所述方法包括：/n在第一主机计算系统和第二主机计算系统中的每一个中，基于所述虚拟计算环境中的虚拟机的转发规则和逻辑端口状态信息维护数据平面转发配置；/n在所述第一主机计算系统中，识别要从在所述第一主机计算系统上执行的虚拟机传送到在所述第二主机计算系统上执行的虚拟机的分组；/n在所述第一主机计算系统中，识别与所述第一主机计算系统上的所述虚拟机相关联的源逻辑端口；/n在所述第一主机计算系统中，将通信传送到所述第二主机计算系统，其中所述通信至少封装所述分组和所述源逻辑端口；/n在所述第二主机计算系统中，接收所述通信；以及/n在所述第二主机计算系统中，至少基于所述源逻辑端口和所述数据平面转发配置确定所述通信中所述分组的转发动作。/n

【技术特征摘要】
【国外来华专利技术】20170113 US 15/406,2491.一种操作虚拟计算环境以使用逻辑端口提供分组实施的方法，所述方法包括：
在第一主机计算系统和第二主机计算系统中的每一个中，基于所述虚拟计算环境中的虚拟机的转发规则和逻辑端口状态信息维护数据平面转发配置；
在所述第一主机计算系统中，识别要从在所述第一主机计算系统上执行的虚拟机传送到在所述第二主机计算系统上执行的虚拟机的分组；
在所述第一主机计算系统中，识别与所述第一主机计算系统上的所述虚拟机相关联的源逻辑端口；
在所述第一主机计算系统中，将通信传送到所述第二主机计算系统，其中所述通信至少封装所述分组和所述源逻辑端口；
在所述第二主机计算系统中，接收所述通信；以及
在所述第二主机计算系统中，至少基于所述源逻辑端口和所述数据平面转发配置确定所述通信中所述分组的转发动作。


2.如权利要求1所述的方法，其中，至少基于所述源逻辑端口和所述数据平面转发配置确定所述通信中所述分组的所述转发动作包括：至少基于所述源逻辑端口、在所述第二主机计算系统上执行的所述虚拟机的目的地逻辑端口以及所述数据平面转发配置确定所述通信中所述分组的所述转发动作。


3.如权利要求1所述的方法，还包括：在所述第一主机计算系统中，识别在所述第二主机计算系统上执行的所述虚拟机的目的地逻辑端口，以及至少基于所述源逻辑端口、所述目的地逻辑端口和所述数据平面转发配置确定所述分组的源转发动作。


4.如权利要求3所述的方法，其中，将所述通信传送到所述第二主机计算系统包括：当所述源转发动作指示允许所述通信时，将所述通信传送到所述第二主机计算系统。


5.如权利要求1所述的方法，其中，所述通信将所述源逻辑端口封装在所述通信的报头中，并将所述分组封装在所述通信的有效载荷中。


6.如权利要求1所述的方法，其中，所述转发动作包括阻止动作或允许动作之一。


7.如权利要求1所述的方法，其中，将所述通信传送到所述第二主机计算系统包括：使用用于主机计算系统的隧道协议将所述通信传送到所述第二主机计算系统。


8.一种虚拟计算环境，使用逻辑端口提供分组实施，所述虚拟计算环境包括：
第一主机计算系统和第二主机计算系统，每个主机计算系统被配置为基于所述虚拟计算环境中的虚拟机的转发规则和逻辑端口状态信息来维护数据平面转发配置；
第一主机计算系统被配置为识别要从在所述第一主机计算系统上执行的虚拟机传送到在所述第二主机计算系统上执行的虚拟机的分组，识别与所述第一主机计算系统上的虚拟机相关联的源逻辑端口，并将通信传送到所述第二主机计算系统，其中所述通信至少封装所述分组和所述源逻辑端口；以及
第二主机计算系统被配置为接收所述通信并至少基于所述源逻辑端口和所述数据平面转发配置来确定所述通信中所述分组的转发动作。


9.如权利要求8所述的虚拟计算环境，其中，被配置为至少基于所述源逻辑端口和所述数据平面转发配置来确定所述通信中所述分组的所述转发动作的第二主机计算系统，指示所述处...

【专利技术属性】
技术研发人员：J·杰恩，G·钱德拉谢卡尔，A·森古普塔，P·塔迦尔，A·特斯默，
申请(专利权)人：NICIRA股份有限公司，
类型：发明
国别省市：美国;US