在公共云中执行在线服务制造技术

一些实施例提供了新颖的方式来在公共云环境中的两个机器(例如，两个VM、两个容器等)之间的数据消息流的路径中插入服务(例如，第三方服务)。对于公共云的特定租户，一些实施例创建具有逻辑覆盖地址空间的覆盖逻辑网络。为了对两个机器之间的数据消息流执行服务，逻辑覆盖网络将具有在逻辑覆盖网络中定义的其目的地地址(例如，目的地IP地址)的数据消息传递到公共云的底层网络。底层网络(例如，底层默认下行链路网关)被配置为将具有这样的目的地地址(例如，具有逻辑覆盖目的地地址)的数据消息传递到一组一个或多个服务机器。底层网络(例如，底层默认上行链路网关)还被配置为将从服务机器集接收到的并寻址到逻辑覆盖目的地地址的处理后的数据消息传递到特定租户的公共云网关。租户的公共云网关被配置为将此类数据消息转发到逻辑网络的逻辑转发元件，该逻辑转发元件然后处理将数据消息转发到正确的目的地机器。

Perform online services in the public cloud

【技术实现步骤摘要】
【国外来华专利技术】在公共云中执行在线服务
技术介绍
在当今的私有云中，许多供应商提供专门的服务，诸如深度分组检查、防火墙等。在私有数据中心中，管理员通常在需要服务的流量路径中部署此类专门的服务。随着公共云的激增，这些供应商还提供了可以在公共云环境中许可和部署的虚拟设备和服务虚拟机(服务VM)。例如，PaloAltoNetworks使其防火墙可用作AmazonWebServices(AWS)市场中的虚拟设备。此类设备大多被部署用于进入和离开数据中心中的虚拟公共云(VPC)的流量，因此被部署为面向互联网网关。但是，公共云租户还希望通过第三方供应商的服务设备在虚拟数据中心内的端点子集之间路由流量。当前，这是不可能的，因为云提供商不允许重写VPC中端点之间的流量的路由。例如，在AWSVPC中，提供者路由表具有用于VPC地址块的单个条目，并且该条目无法被修改。无法添加与VPC地址块重叠的更特定的路由。
技术实现思路
一些实施例提供了一种用于在公共云环境中的两个机器(例如，两个VM、两个容器等)之间的数据消息流的路径中插入服务(例如，第三方服务)的方法。对于公共云的特定租户，在一些实施例中，该方法创建具有不同的覆盖地址空间的覆盖逻辑网络。在公共云的底层网络之上定义该覆盖逻辑网络，在一些实施例中，该底层网络是由云提供商提供的VPC网络。在一些实施例中，VPC网络也是由云提供商提供的逻辑覆盖网络，而在其它实施例中，VPC网络只是针对特定租户的与提供商的物理网络的其余部分分开的一部分(例如，具有针对特定租户的分开的地址空间的部分)。为了对VPC网络中的两个机器之间的数据消息流执行一个或多个服务，该方法配置覆盖逻辑网络的一个或多个逻辑转发元件(例如，逻辑路由器)以将此类数据消息流转发到底层网络的一个或多个转发元件，使得底层网络可以将数据消息转发到对数据消息流执行服务的服务机器。例如，在一些实施例中，该方法配置逻辑覆盖网络的逻辑路由器的逻辑接口(LIF)以将定向到某些目的地IP地址的数据消息转发到由公共云提供商为VPC网络指定的底层默认下行链路网关。在一些这样的实施例中，该方法将底层默认下行链路网关定义为用于定向到某些目的地IP地址的数据消息的下一跳(其可通过LIF访问)。该方法还修改底层网络的转发元件(例如，底层默认网关)的路由表，以将目的地为一些或全部逻辑覆盖地址的数据消息发送到对数据消息执行一个或多个服务的一个或多个服务机器。这些机器可以是独立的服务设备(例如，第三方服务设备，诸如PaloAltoNetwork的防火墙设备等)，或者它们可以是在主机计算机上执行的服务机器(例如，虚拟机、容器等)。在一些实施例中，服务机器在公共云之内，而在其它实施例中，服务机器可以在公共云的内部或外部。服务机器直接或通过中间网络架构对它从底层转发元件接收到的数据消息执行一个或多个服务。在对数据消息执行其(一个或多个)服务之后，服务机器将消息提供给其上行链路接口，该上行链路接口处理将数据消息转发到服务机器的网络外部的网络。该方法配置服务机器的上行链路接口的单独的路由表，以对于公共云中的特定租户，将处理后的数据消息路由到底层默认上行链路网关。该方法还配置该底层默认上行链路网关的路由表，以将目的地为一些或全部逻辑覆盖地址的数据消息转发到特定租户的云网关。在一些实施例中，特定租户的云网关处理在公共云中进入或退出租户的VPC网络的数据消息。该方法配置租户网关以将寻址到逻辑覆盖网络目的地地址的数据消息路由到特定租户的VPC中的正确的目的地机器(例如，正确的VM或容器)。当目的地机器发送对于来自源机器的消息的回复消息时，在一些实施例中，目的地机器的回复消息遵循与接收到的数据消息相似的路径。具体而言，在一些实施例中，与目的地机器相关联的逻辑转发元件(例如，逻辑路由器)通过覆盖网络的逻辑转发元件(例如，通过具有底层默认网关作为其针对一些逻辑覆盖地址的下一跳的逻辑转发元件的LIF)将回复消息转发到底层网络的转发元件。底层网络转发元件(例如，底层默认网关)被配置为将目的地为一些或全部逻辑覆盖地址的数据消息发送到一个或多个服务机器。在处理回复消息之后，服务机器再次将消息提供给其上行链路接口，该上行链路接口再次将其路由表配置为将处理后的回复数据消息路由到底层默认上行链路网关。该网关再次被配置为将处理后的数据消息转发到特定租户的云网关，该特定租户的云网关再次被配置为将寻址到逻辑覆盖网络目的地地址的消息路由到特定租户的VPC中的正确的目的地机器(例如，正确的VM或容器)。前面的
技术实现思路
旨在用作对本专利技术的一些实施例的简要介绍。这并不意味着是对本文档中公开的所有专利技术性主题的介绍或概述。以下的具体实施方式和在具体实施方式中提及的附图将进一步描述在本
技术实现思路
中描述的实施例以及其它实施例。因此，为了理解由本文档描述的所有实施例，需要对
技术实现思路
、具体实施方式、附图和权利要求书进行全面审阅。而且，所要求保护的主题不受
技术实现思路
、具体实施方式和附图中的说明性细节的限制。附图说明本专利技术的新颖特征在所附权利要求中阐述。但是，为了解释的目的，在以下图中阐述了本专利技术的若干实施例。图1给出了图示一些实施例在数据消息从公共云环境中的一个机器发送到另一个机器时如何执行服务的示例。图2图示了公共云环境中的虚拟私有云的示例。图3给出了图示一些实施例如何将回复消息定向到一个或多个服务机器的示例。图4图示了一些实施例的一组一个或多个网络控制器执行以配置逻辑网络单元、底层网络单元、服务机器和租户网关的处理。图5给出了在一些实施例中如何配置图1和图3中的网络和服务元件的示例。图6概念性地图示了用于实现本专利技术的一些实施例的计算机系统。具体实施方式在本专利技术的以下详细描述中，阐述和描述了本专利技术的许多细节、示例和实施例。但是，对于本领域技术人员将清楚和显而易见的是，本专利技术不限于所阐述的实施例，并且本专利技术可以在没有所讨论的一些具体细节和示例的情况下实践。一些实施例提供了新颖的方式来在公共云环境中的两个机器(例如，两个VM、两个容器等)之间的数据消息流的路径中插入服务(例如，第三方服务)。对于公共云的特定租户，一些实施例创建具有逻辑覆盖地址空间的覆盖逻辑网络。为了对两个机器之间的数据消息流执行服务，逻辑覆盖网络将具有其在逻辑覆盖网络中定义的目的地地址(例如，目的地IP地址)的数据消息传递到公共云的底层网络。底层网络(例如，底层默认下行链路网关)被配置为将具有这样的目的地地址(例如，具有逻辑覆盖目的地地址)的数据消息传递到一组一个或多个服务机器。底层网络(例如，底层默认上行链路网关)还被配置为将从服务机器集接收到的并寻址到逻辑覆盖目的地地址的处理后的数据消息传递到特定租户的公共云网关。租户的公共云网关被配置为将此类数据消息转发到逻辑网络的逻辑转发元件，该逻辑转发元件然后处理将数据消息转发到正确的目的地机器。如在本文档中所使用的，数据消息是指跨网络发送的特定格式的位集合。本领域普通技术人员将认识到的是，术语“数据消息”本文档来自技高网...

【技术保护点】
1.一种用于为在公共云中的虚拟私有云(VPC)中的机器之间交换的数据消息提供服务的方法，所述方法包括：/n为VPC在公共云的底层网络之上建立逻辑覆盖网络；/n关联逻辑覆盖网络的至少一个逻辑转发元件(LFE)的至少一个逻辑接口(LIF)以将数据消息的子集定向到底层网络的转发元件；/n配置底层网络转发元件以将从LIF接收到的数据消息转发到一组一个或多个服务机器，(i)用于对数据消息执行一组一个或多个服务，以及(ii)用于将处理后的数据消息提供给网关以将数据消息转发到逻辑覆盖网络，所述逻辑覆盖网络将数据消息转发到由处理后的数据消息寻址的目的地机器。/n

【技术特征摘要】
【国外来华专利技术】20170827 US 62/550,6751.一种用于为在公共云中的虚拟私有云(VPC)中的机器之间交换的数据消息提供服务的方法，所述方法包括：
为VPC在公共云的底层网络之上建立逻辑覆盖网络；
关联逻辑覆盖网络的至少一个逻辑转发元件(LFE)的至少一个逻辑接口(LIF)以将数据消息的子集定向到底层网络的转发元件；
配置底层网络转发元件以将从LIF接收到的数据消息转发到一组一个或多个服务机器，(i)用于对数据消息执行一组一个或多个服务，以及(ii)用于将处理后的数据消息提供给网关以将数据消息转发到逻辑覆盖网络，所述逻辑覆盖网络将数据消息转发到由处理后的数据消息寻址的目的地机器。


2.如权利要求1所述的方法，其中网关是底层网络转发元件。


3.如权利要求1所述的方法，其中，
数据消息包括首部，所述首部包括在逻辑覆盖网络的逻辑地址空间中定义的网络地址，以及
LFE通过LIF向底层网络提供具有在逻辑地址空间中定义并识别VPC中的目的地机器的逻辑目的地地址的数据消息。


4.如权利要求3所述的方法，其中配置底层网络转发元件包括：配置底层网络转发元件以在数据消息来自VPC并且具有落入逻辑地址空间中的至少一个地址子集内的目的地地址时，将数据消息转发到服务机器集。


5.如权利要求3所述的方法，还包括：配置服务机器集以在数据消息具有落入逻辑地址空间中的至少一个地址子集内的目的地地址时，对数据消息执行服务集。


6.如权利要求5所述的方法，其中为了服务机器集对数据消息执行服务集，数据消息还必须来自底层网络转发元件。


7.如权利要求5所述的方法，还包括配置服务机器集的至少一个上行链路接口，以在数据消息具有落入逻辑地址空间的至少一个地址子集内的目的地地址时，将处理后的数据消息提供给底层网络。


8.如权利要求3所述的方法，其中网关是底层网络网关，所述方法还包括：配置底层网络网关以将来自服务机器上行链路接口的数据消息提供给租户网关，以将处理后的数据消息转发到逻辑覆盖网络。


9.如权利要求1所述的方法，其中LFE是用于连接逻辑网络的至少两个逻辑子网的逻辑路由器，所述逻辑网络包括至少两个逻辑交换机，每个逻辑交换机用于连接VPC中作为逻辑网络的一个子网的一部分的一组机器。


10.如权利要求1所述的方法，其中服务机器集包括至少一个独立的服务设备。


11.一种用于对由公共云中的虚拟私有云(VPC)中的机器发送到VPC中的另一个机器的数据消息执行服务的方法，所述方法包括：
从在公共云的底层网络之上建立的逻辑覆盖网络将数据消息转发到底层网络的与逻辑覆盖网络的一个逻辑转发元件(LFE)的逻辑接口(LIF)相关联的转发元件；以及
从底层网络转发元件将数据消息转发到服务机器，用于(i)对数据消息执行至少一个服务，以及(ii)用于将处理后的数据消息提供给网关以将数据消息转发到逻辑覆盖网络，所述逻辑覆盖网络将...

【专利技术属性】
技术研发人员：M·海拉，
申请(专利权)人：NICIRA股份有限公司，
类型：发明
国别省市：美国;US