公共云环境中的服务插入制造技术

提供了一种网络设备在包括第一虚拟网络和第二虚拟网络的公共云环境中执行服务插入的示例方法。在一个示例方法中，响应于从位于第一虚拟网络中的第一虚拟化计算实例接收到第一封装分组，网络设备可以通过执行解封装以从第一封装分组中去除来生成解封装分组。该方法还可以包括：识别由服务插入规则指定的服务路径，并将解封装分组发送至服务路径，以使服务路径根据一个或更多个服务处理解封装分组。该方法还可以包括：响应于网络设备接收到由服务路径处理的解封装分组，向目的地地址发送该解封装分组，或者生成第二封装分组并向目的地地址发送该第二封装分组。

【技术实现步骤摘要】
【国外来华专利技术】公共云环境中的服务插入M·希拉和R·杰恩相关申请的交叉引用本申请要求于2019年1月18日提交的标题为“公共云环境中的服务插入(SERVICEINSERTIONINPUBLICCLOUDENVIRONMENTS)”的美国非临时申请No.16/251,083的权益。本申请(代理人案卷号E371)在主题上与美国专利申请No.16/251,080(代理人案卷号E613)相关，其通过引用并入本文。
技术介绍
除非本文另有说明，否则本节中描述的方法不能通过包含在本节中而被承认是现有技术。虚拟化允许硬件资源的抽象化和池化以支持软件定义的数据中心(SDDC)中的虚拟机。例如，通过服务器虚拟化，运行不同操作系统的虚拟化计算实例(诸如虚拟机(VM))可以由同一物理机(例如，称为“主机”)支持。每个VM通常都配备有虚拟资源以运行客户操作系统和应用程序。虚拟资源可以包括中央处理单元(CPU)资源、内存资源、存储资源、网络资源等。在实际应用中，可能会出现各种与网络相关的问题，从而对主机和虚拟机的性能产生不利影响。在实践中，用户(例如，组织)可以使用在用户的所有权和控制之下的私有云环境中的“本地部署(on-premise)”数据中心基础设施来运行各种应用程序。可选地或附加地，用户可以使用在公共云提供商的所有权和控制下的基础设施“在云中”运行应用程序。在后一种情况下，为在公共云环境中运行的应用程序提供各种服务(例如防火墙)可能具有挑战性。附图说明图1是示出可以执行服务插入的示例公共云环境的示意图；>图2是示出图1中公共云环境的物理实现视图的示意图；图3是网络设备在公共云环境中执行服务插入的示例过程的流程图；图4是公共云环境中服务插入的示例性详细过程的流程图；图5是示出根据图4的示例的服务插入规则配置的第一示例的示意图；图6是示出根据图4中的示例的公共云环境中东西向流量的示例服务插入的示意图；图7是示出根据图4中的示例的公共云环境中南北向流量的示例服务插入的示意图；图8A是示出公共云环境中针对第一高可用性(HA)对的故障处理的第一示例的示意图；图8B是示出公共云环境中针对第二HA对的故障处理的第二示例的示意图；以及图9是示出公共云环境中的故障处理的第三示例的示意图。具体实施方式在下面的具体实施方式中，参考了形成其一部分的附图。在附图中，除非上下文另有说明，否则相似的符号通常标识相似的组件。在具体实施方式、附图和权利要求中描述的说明性实施例并不意味着是限制性的。在不脱离本文呈现的主题的精神或范围的情况下，可以利用其他实施例，并且可以做出其他改变。将容易理解的是，如本文一般描述的和附图中所示的，本公开的方面可以以多种不同的配置进行布置、替换、组合和设计，所有这些在本文中都被明确地预期。现在将使用图1更详细地解释与在公共云环境中配置和提供服务有关的挑战，图1是示出可以在其中执行服务插入的示例公共云环境100的示意图。应当理解，取决于期望的实现方式，公共云环境100可以包括除图1中所示的组件之外的附加和/或替代组件。在图1的示例中，公共云环境100包括彼此逻辑隔离的多个虚拟网络101-103。例如，VM1110可以部署在第一虚拟网络101中以运行应用程序APP1112，并且VM2120可以部署在第三虚拟网络103中以使用另一个实体(即，云提供商)的基础设施“在云中”运行APP2122。在实践中，云提供商通常是向多个用户或租户提供基于云的平台的实体。这样，租户可以利用公共云环境100提供的可扩展性和灵活性来扩展他们各自的本地部署的数据中心的物理能力。贯穿本公开，公共云环境中的术语“虚拟网络”通常可以指与公共云环境中的至少一个其他虚拟网络在逻辑上隔离的软件实现的网络。例如，虚拟网络101-103可以是由AmazonWeb(AWS)提供的AmazonVirtualPrivateClouds(VPC)。AmazonVPC和AmazonAWS是Amazon技术公司的注册商标。使用图1中的AWS示例，虚拟网络101-103也分别标记为“VPC1”101、“VPC2”102和“VPC3”103。在实践中，可以使用其他类型的虚拟网络，例如来自Microsoft的AzureVirtualNetworks(VNet)；来自GoogleCloudPlatformTM的VPC；来自IBMCloudTM的VPC；以及它们的组合等。将使用图2更详细地解释VM110-120，图2是示出图1中示例公共云环境100的物理实现视图200的示意图。根据期望的实现，物理实现视图200可以包括不同于图2所示的额外和/或替代组件。在图2的示例中，VM110-140可以由主机210A-B(也称为“终端主机”、“计算设备”、“主机计算机”、“主机设备”、“物理服务器”、“服务器系统”、“物理机”等)支持。例如，VM3130和VM4140可以部署在第三虚拟网络103中以在云中运行各自的应用程序“APP3”132和“APP4”142。主机210A-B可以各自包括维持底层硬件212A/212B和分配给VM110-140的虚拟资源之间的映射的虚拟化软件(例如，管理程序214A/214B)。主机210A-B可以经由由各种中间网络设备形成的物理网络互连，诸如物理网络设备(例如，物理交换机、物理路由器等)和/或逻辑网络设备(例如，逻辑交换机、逻辑路由器等)。硬件212A/212B包括合适的物理组件，诸如处理器220A/220B；内存222A/222B；物理网络接口控制器或NIC224A/224B；以及可经由存储控制器226A/226B等访问的存储磁盘228A/228B。虚拟资源被分配给每个VM以支持客户操作系统(OS)和应用程序(见112/122/132/142)。可以在每个VM110/120/130/140上配置代理114/124/134/144以执行任何合适的处理，以支持分组处理(例如，封装和解封装)等。对应于硬件212A/212B，虚拟资源可以包括虚拟CPU、虚拟内存、虚拟磁盘、虚拟网络接口控制器(VNIC)等。可以使用虚拟机监视器(VMM)241-244来模拟硬件资源，虚拟机监视器(VMM)241-244可以被视为相应VM110-140的一部分(或可选地与其分离)。例如在图2中，VNIC251-254是由相应的VMM241-244模拟的虚拟网络适配器。尽管本公开的示例涉及VM，但是应当理解，在主机上运行的“虚拟机”仅仅是“虚拟化计算实例”或“工作负载”的一个示例。虚拟化计算实例可以表示可寻址数据计算节点或隔离的用户空间实例。实际上，可以使用任何合适的技术来提供隔离的用户空间实例，而不仅仅是硬件虚拟化。其他虚拟化计算实例可包括容器(例如，在VM内运行的或在主机操作系统的顶部上运行的，在无需管理程序或单独的操作系统或实现为操作系统级虚拟化)、虚拟专用服务器、客户端计算机等。此类容器技术可从Docker公司等获得。VM也可以是完整的计算环境，包含物理计本文档来自技高网...

【技术保护点】
1.一种网络设备在包括第一虚拟网络和第二虚拟网络的公共云环境中执行服务插入的方法，其中所述方法包括：/n响应于从位于所述第一虚拟网络中的第一虚拟化计算实例接收到第一封装分组，/n通过执行解封装以从所述第一封装分组中去除从所述第一虚拟化计算实例寻址到所述网络设备的第一外部报头，来生成解封装分组；/n基于所述解封装分组的一个或更多个特征，识别由服务插入规则指定的服务路径，其中所述服务路径和所述网络设备两者均位于所述第二虚拟网络中；/n将所述解封装分组发送至所述服务路径，以使所述服务路径根据一个或更多个服务对所述解封装分组进行处理；以及/n响应于所述网络设备接收到由所述服务路径处理的所述解封装分组，/n向所述解封装分组的目的地地址，发送所述解封装分组，或生成并发送包括第二外部报头和所述解封装分组的第二封装分组。/n

【技术特征摘要】
【国外来华专利技术】20190118 US 16/251,0831.一种网络设备在包括第一虚拟网络和第二虚拟网络的公共云环境中执行服务插入的方法，其中所述方法包括：
响应于从位于所述第一虚拟网络中的第一虚拟化计算实例接收到第一封装分组，
通过执行解封装以从所述第一封装分组中去除从所述第一虚拟化计算实例寻址到所述网络设备的第一外部报头，来生成解封装分组；
基于所述解封装分组的一个或更多个特征，识别由服务插入规则指定的服务路径，其中所述服务路径和所述网络设备两者均位于所述第二虚拟网络中；
将所述解封装分组发送至所述服务路径，以使所述服务路径根据一个或更多个服务对所述解封装分组进行处理；以及
响应于所述网络设备接收到由所述服务路径处理的所述解封装分组，
向所述解封装分组的目的地地址，发送所述解封装分组，或生成并发送包括第二外部报头和所述解封装分组的第二封装分组。


2.如权利要求1所述的方法，其中识别所述服务路径包括：
将所述解封装分组中的所述目的地地址与由所述服务插入规则指定的第一无类别域间路由(CIDR)块匹配，其中所述第一虚拟网络与所述第一CIDR块相关联，所述第二虚拟网络与第二CIDR块相关联。


3.如权利要求1所述的方法，其中将所述解封装分组发送至所述服务路径包括：
基于所述服务插入规则，将所述解封装分组发送至位于所述第二虚拟网络中的所述服务路径上的第一服务虚拟化计算实例。


4.如权利要求3所述的方法，其中将所述解封装分组发送至所述服务路径包括：
基于来自所述第一服务虚拟化计算实例的控制平面广告或数据平面探测，识别所述第一服务虚拟化计算实例被分配有活动角色，其中所述第一服务虚拟化计算实例和第二服务虚拟化计算实例被配置为高可用性(HA)对。


5.如权利要求1所述的方法，其中向所述目的地地址发送所述解封装分组包括：
向与位于外部网络中的目的地相关联的所述目的地地址发送所述解封装分组，其中所述网络设备将所述第一虚拟化计算实例连接到所述外部网络。


6.如权利要求1所述的方法，其中生成所述第二封装分组包括：
通过用第二外部报头封装所述解封装分组来生成所述第二封装分组，其中所述第二外部报头从所述网络设备寻址到位于所述第一虚拟网络中的第二虚拟化计算实例。


7.如权利要求1所述的方法，其中所述方法还包括：
在接收所述第一封装分组之前，在与子网接口相关联的路由表中配置所述服务插入规则。


8.一种非暂时性计算机可读存储介质，其包括一组指令，所述指令响应于由网络设备的处理器的执行，使所述处理器在包括第一虚拟网络和第二虚拟网络的公共云环境中执行服务插入的方法，其中所述方法包括：
响应于从位于所述第一虚拟网络中的第一虚拟化计算实例接收到第一封装分组，
通过执行解封装以从所述第一封装分组中去除从所述第一虚拟化计算实例寻址到所述网络设备的第一外部报头，来生成解封装分组；
基于所述解封装分组的一个或更多个特征，识别由服务插入规则指定的服务路径，其中所述服务路径和所述网络设备两者均位于所述第二虚拟网络中；
将所述解封装分组发送至所述服务路径，以使所述服务路径根据一个或更多个服务对所述解封装分组进行处理；以及
响应于所述网络设备接收到由所述服务路径处理的所述解封装分组，
向所述解封装分组的目的地地址，发送所述解封装分组，或生成并发送包括第二外部报头和所述解封装分组的第二封装分组。


9.如权利要求8所述的非暂时性计算机可读存储介质，其中识别所述服务路径包括：
将所述解封装分组中的所述目的地地址与由所述服务插入规则指定的第一无类别域间路由(CIDR)块匹配，其中所述第一虚拟网络与所述第一CIDR块相关联，所述第二虚拟网络与第二CIDR块相关联。


10.如权利要求8所述的非暂时性计算机可读存储介质，其中将所述解封装分组发送至所述服务路径包括：
基于所述服务插入规则，将所述解封装分组发送至位于所述第...

【专利技术属性】
技术研发人员：M·希拉，R·杰恩，
申请(专利权)人：威睿公司，
类型：发明
国别省市：美国;US