在公共云上限定的虚拟网络中的层四优化制造技术

一些实施例在几个公共云提供方的若干公共云上和/或在若干区域中为实体建立虚拟网络。在一些实施例中，虚拟网络是跨越若干公共云以互连一个或多个私有网络(例如，实体的分支机构、部、部门或其相关联数据中心内的网络)、移动用户和SaaS(软件即服务)提供方机器以及实体的其它web应用的覆盖网络。在一些实施例中，虚拟网络能够被配置为优化实体的数据消息到其目的地的路由，以获得最佳的端到端性能、可靠性和安全性，同时尝试最小化这个流量通过互联网的路由。而且，在一些实施例中，虚拟网络可以被配置为优化通过网络的数据消息流的层4处理。

【技术实现步骤摘要】
【国外来华专利技术】在公共云上限定的虚拟网络中的层四优化
技术介绍
如今，公司企业网络是安全地连接公司的不同办公室和部门的通信骨干。这种网络通常是广域网(WAN)，其连接：(1)分支机构和区域园区中的用户，(2)托管业务应用、内联网及其对应数据的公司数据中心，以及(3)通过公司防火墙和DMZ(非军事区)的全球互联网。企业网络包括专用硬件，诸如交换机、路由器和通过昂贵的租用线路(诸如帧中继和MPLS(多协议标签交换))互连的中间体(middlebox)装置(appliance)。在最近若干年中，公司服务和消费通信服务的方式发生了范式转变。首先，移动性革命已允许用户使用移动设备(主要是智能电话)随时随地访问服务。此类用户通过公共互联网和蜂窝网络访问业务服务。同时，第三方SaaS(SoftwareasaService，软件即服务)供应方(例如，Salesforce、Workday、Zendesk)已取代了传统的内部部署的(on-premise)应用，而私有数据中心中托管的其它应用已被重定位到公共云。虽然这种流量仍承载在企业网络内，但其中很大一部分在企业网络周界之外发起和终止，并且必须穿过公共互联网(一次或两次)和企业网络二者。最近的研究表明，40％的公司网络报告，回程流量(即，在公司网络中观察到的互联网流量)所占的百分比高于80％。这意味着公司流量的大部分都通过昂贵的租用线路和消费者互联网承载。作为以消费者为中心的服务，互联网本身是业务流量的不佳媒介。它缺乏关键业务应用所预期的可靠性、QoS(服务质量)保证和安全性。而且，不断增长的消费者流量需求、网络中立法规以及通过主要参与者(例如，Netflix、Google、公共云)创建的互联网旁路降低了每个流量单位的货币回报。这些趋势降低了服务提供方迅速赶上消费者需求并提供足够业务服务的动机。鉴于公共云的增长，公司正在将其更多的计算基础设施迁移到公共云数据中心。公共云提供方一直处于计算和联网基础设施投资的前沿。这些云服务已在全世界建立了许多数据中心，其中Azure、AWS、IBM和Google在2016分别扩展到38、16、25和14个世界范围区域。每个公共云提供方都通过使用昂贵的高速网络来使其自己的数据中心互连，这些高速网络采用由潜艇部署的海底电缆和暗光纤。如今，虽然有这些改变，但是公司网络政策常常迫使所有公司流量通过其安全WAN网关。随着用户变得移动并且应用迁移到SaaS和公共云，公司WAN变成代价高的绕路，这使所有公司通信变慢。大多数公司WAN的流量或者来自互联网，或者前往互联网。通过互联网发送这种流量的替代安全解决方案由于其不佳且不可靠的性能而不适用。在过去的几年中，SD-WAN(软件定义的WAN)供应方已经解决了昂贵且带宽有限的分支机构到WAN骨干网和互联网的最后一英里连接性(通常为T1或T3)。这些供应方充分利用一群(bundle)消费者级宽带技术(例如，DOCSIS、ADSL、LTE)以及MPLS，以承载与使用单个宽带互联网接入相比多得多的流量并具有扩展的可靠性。它们的技术主要是基于对跨群的应用流量进行优化和优先级划分，通常是在放置在远程办公室和数据中心中的装置之间执行。由于它们依赖装置，因此它们常常不解决移动设备或IoT。更重要的是，它们常常也不解决公司WAN中的中距离(即，长程)连接问题，而常常连接到由电信公司提供的MPLS中距离(mid-mile)骨干，其也可以提供其SD-WAN解决方案。另一个第二类SD-WAN供应方通过维持基于托管的存在点(通常在电信公司的数据中心)和常常基于MPLS的租用线路的私有全球网络来解决中距离问题。但是，依靠旧的租用线路模型，这些供应方忍受相同的成本和容量有限问题。MicrosoftAzure最近宣布了一项称为Azure虚拟WAN的中距离WAN服务。这个云化的虚拟WAN在使用Azure云网络作为公司WAN的长程部分。它依靠中心辐射型配置以使用位于Azure云中的单个共享集线器连接多个分支。
技术实现思路
一些实施例为实体在一个或多个区域(例如，若干城市、州、国家等)中的一个或多个公共云提供方的若干公共云数据中心上建立虚拟网络。可以为其建立这种虚拟网络的实体的示例包括商业实体(例如，公司)、非营利实体(例如，医院、研究机构等)和教育实体(例如，大学、学院等)或任何其它类型的实体。公共云提供方的示例包括AmazonWebServices(AWS)、GoogleCloudPlatform(GCP)、MicrosoftAzure等。在一些实施例中，高速、可靠的私有网络互连公共云数据中心(公共云)中的两个或更多个。一些实施例将虚拟网络限定为跨越若干公共云以互连一个或多个私有网络(例如，实体的分支、部、部门或其相关联的数据中心内的网络)、移动用户、SaaS(软件即服务)提供方的机器、(一个或多个)公共云中的机器和/或服务以及其它web应用的覆盖网络。在一些实施例中，虚拟网络可以被配置为优化实体的数据消息到其目的地的路由，以获得最佳的端到端性能、可靠性和安全性，同时尝试最小化通过互联网的这种流量的路由。而且，在一些实施例中，虚拟网络可以被配置为优化通过网络的数据消息流的层4处理。例如，在一些实施例中，虚拟网络通过跨连接路径拆分速率控制机制来优化TCP(传输控制协议)连接的端到端速率。一些实施例通过配置在若干公共云中部署的若干部件来建立虚拟网络。在一些实施例中，这些部件包括基于软件的测量代理、软件转发元件(例如，软件路由器、交换机、网关等)、层4连接代理和中间体服务机器(例如，装置、VM、容器等)。在一些实施例中，这些部件中的一个或多个使用标准化或通常可用的解决方案，诸如OpenvSwitch、OpenVPN、strongSwan和Ryu。一些实施例利用逻辑上集中的控制器集群(例如，一个或多个控制器服务器的集合)，其配置公共云部件以在若干公共云上实现虚拟网络。在一些实施例中，这个集群中的控制器位于各种不同的位置(例如，位于不同的公共云数据中心中)，以便改进冗余性和高可用性。在一些实施例中，控制器集群按比例增大或减小用于建立虚拟网络的公共云部件或分配给这些部件的计算或网络资源的数量。一些实施例在相同公共云提供方的相同公共云集合上和/或在相同或不同公共云提供方的不同公共云集合上为不同实体建立不同的虚拟网络。在一些实施例中，虚拟网络提供方提供软件和服务，其允许不同的租户(tenant)在相同或不同的公共云上限定不同的虚拟网络。在一些实施例中，相同的控制器集群或不同的控制器集群可以被用于配置公共云部件，以针对若干不同实体在相同或不同的公共云集合上实现不同的虚拟网络。为了在一个或多个公共云上为租户部署虚拟网络，控制器集群(1)基于租户的分支机构、数据中心、移动用户和SaaS提供方的位置来识别用于进入和离开租户的虚拟网络的可能入口和出口路由器，以及(2)识别通过实现虚拟网络的其它中间公共云路由器从识别出的入口路由器遍历到识别出的出口路由器的路由。在识别出这些路由之后，控制器集群将这些路由传播到(一个或多个)公共云中虚拟网络路由本文档来自技高网...

【技术保护点】
1.一种用于限定通过在一个或多个公共云的集合上限定的虚拟网络到SaaS(软件即服务)提供方的多条路由的方法，所述方法包括：/n向公共云的集合中多个受管理转发节点(MFN)中的每个MFN提供识别针对MFN的SaaS提供方的标识符，以生成量化MFN与识别出的SaaS提供方之间的网络路径的属性的测量；/n从每个MFN接收针对识别出的SaaS提供方的测量；/n基于接收到的测量，选择至少两个MFN的集合以用于从虚拟网络到达SaaS提供方，MFN的所述集合不包括多个MFN中的全部MFN；以及/n使用所选择的至少两个MFN的集合来限定通过虚拟网络到SaaS提供方的路由。/n

【技术特征摘要】
【国外来华专利技术】20181115 US 16/192,783;20181115 US 16/192,774;20181.一种用于限定通过在一个或多个公共云的集合上限定的虚拟网络到SaaS(软件即服务)提供方的多条路由的方法，所述方法包括：
向公共云的集合中多个受管理转发节点(MFN)中的每个MFN提供识别针对MFN的SaaS提供方的标识符，以生成量化MFN与识别出的SaaS提供方之间的网络路径的属性的测量；
从每个MFN接收针对识别出的SaaS提供方的测量；
基于接收到的测量，选择至少两个MFN的集合以用于从虚拟网络到达SaaS提供方，MFN的所述集合不包括多个MFN中的全部MFN；以及
使用所选择的至少两个MFN的集合来限定通过虚拟网络到SaaS提供方的路由。


2.如权利要求1所述的方法，其中，针对SaaS提供方的标识符是与SaaS提供方相关联的网络地址。


3.如权利要求2所述的方法，其中，网络地址是与SaaS提供方的一个或多个数据中心的集合相关联的网络地址。


4.如权利要求1所述的方法，其中
向所述多个MFN中的每个MFN提供识别SaaS提供方的标识符包括向所述多个MFN中的每个MFN提供识别针对MFN的多个SaaS提供方的标识符，以生成量化MFN与每个识别出的SaaS提供方数据中心之间的连接的属性的测量，以及
选择至少两个MFN的集合以用于到达SaaS提供方包括对于SaaS提供方的集合中的每个SaaS提供方选择至少两个MFN以用于到达SaaS提供方。


5.如权利要求4所述的方法，其中，虚拟网络是用于实体，并且为每个SaaS提供方选择MFN的集合包括：
生成路由图，以识别从在虚拟网络外部的实体的计算节点通过虚拟网络到每个SaaS提供方的路由；
使用接收到的测量来计算路由图中的链路的权重；以及
使用路由图来执行路由识别过程，以识别到SaaS提供方的路由，所述路由针对每个SaaS提供方使用用于那个SaaS提供方的MFN的集合。


6.如权利要求5所述的方法，还包括将路由提供给用于限定虚拟网络的MFN以及提供给在虚拟网络外部的实体的至少一个多计算机节点，每条路由识别用于遍历从MCN到SaaS提供方的路由路径的下一跳或到SaaS提供方的路由路径。


7.如权利要求1所述的方法，其中，每个MFN生成关于与MFN和SaaS提供方之间的路径相关联的多个属性的多个测量，所述方法还包括基于从MFN接收到的多个测量来计算每个MFN和SaaS提供方之间的路径的权重值。


8.如权利要求7所述的方法，其中，所述多个测量包括针对SaaS提供方和每个MFN之间的路径的消息损失率和消息延迟。


9.如权利要求8所述的方法，其中，所述多个测量还包括与SaaS提供方和每个MFN之间的路径相关联的财务成本。


10.如权利要求1所述的方法，其中，每个MFN具有测量代理，所述测量代理与SaaS提供方交换消息以生成针对MFN的测量。


11.一种存储用于限定通过在一个或多个公共云的集合上限定的虚拟网络到SaaS(软件即服务)提供方的多条路由的程序的非暂态机器可读介质，所述程序包括用于以...

【专利技术属性】
技术研发人员：A·马尔库兹，C·达尔，A·伯格曼，I·希东，P·维努戈帕尔，E·左哈尔，
申请(专利权)人：VM维尔股份有限公司，
类型：发明
国别省市：美国;US