优化分布式边缘网关的方法及分布式边缘网关系统技术方案

本发明专利技术公开了优化分布式边缘网关的方法及分布式边缘网关系统，属于边缘计算技术领域，该方法具体实现过程如下：控制器实体控制网络交换实体创建东西向跨三层转发跟踪流表，所述东西向跨三层转发跟踪流表对后续的东西向网络连接进行匹配，并根据已匹配的数据报文，以及根据当前东西向网络连接的上下文构建跟踪列表项，纳入网络跟踪列表；网络交换实体对网络跟踪列表中的条目进行监控，并根据设定的规则触发同步机制；网关实体根据连接条目信息，同步更新自身连接跟踪列表。本发明专利技术基于现有的分布式网关，解决在边缘计算领域，突破东西向网络功能的限制，网关实体得到完整的连接上下文信息，实现正常的连接跟踪能力。实现正常的连接跟踪能力。实现正常的连接跟踪能力。

【技术实现步骤摘要】
优化分布式边缘网关的方法及分布式边缘网关系统


[0001]本专利技术涉及边缘计算
，具体地说是优化分布式边缘网关的方法及分布式边缘网关系统。

技术介绍

[0002]随着边缘刚需业务的快速增长，边缘计算将是云计算领域新发展趋势。对于边缘云业务，满足与中心云、端侧互通的云边端协同需求，需要边缘云具备统一的边缘网关能力，实现网络流量汇聚，统一地址映射等功能。通过分布式边缘网关，边缘云实现南北向分布式地址映射和东西向分布式三层网关能力。
[0003]分布式网关的业务逻辑架构中，控制器实体、网络交换实体和分布式网关实体位于同一物理节点，控制面的控制器实体实现边缘网关业务流程控制，将抽象的边缘网关业务功能转化为具体的转发面控制能力，分别由转发面的网络交换实体实现分布式流量转发，分布式网关实体实现具体网关能力，如ACL规则、NAT映射以及跨三层转发等，如附图图5所示。分布式网关对于东西向跨三层访问业务的网络连接，由于网关实体不能获取完整的网络连接上下文信息，则网关实体无法实现如有状态防火墙、NAT以及四层负载均衡等网络功能，因为这些功能需要跟踪网络连接状态。

技术实现思路

[0004]本专利技术的技术任务是针对以上不足之处，提供优化分布式边缘网关的方法及分布式边缘网关系统，基于现有的分布式网关，解决在边缘计算领域，突破东西向网络功能的限制，网关实体得到完整的连接上下文信息，实现正常的连接跟踪能力。
[0005]本专利技术解决其技术问题所采用的技术方案是：优化分布式边缘网关的方法，本方法的具体实现过程如下：1）、控制器实体控制网络交换实体创建东西向跨三层转发跟踪流表，所述东西向跨三层转发跟踪流表对后续的东西向网络连接进行匹配，并根据已匹配的数据报文、以及根据当前东西向网络连接的上下文，构建跟踪列表项，纳入网络跟踪列表；2）、网络交换实体对网络跟踪列表中的条目进行监控，并根据设定的规则触发同步机制；3）、所述同步机制为网络交换实体将满足触发条件的监控连接条目同步发送给位于同一主机节点的网关实体，网关实体根据连接条目信息，同步更新自身连接跟踪列表。
[0006]本方法能够突破东西向网络功能限制，实现边缘分布式网关的优化。对于东西向跨三层网络连接，网关实体得到完整的连接上下文信息，实现正常的连接跟踪能力，并基于连接跟踪能力来实现针对东西向网络连接的如有状态分布式防火墙、负载均衡以及NAT等网络功能。在网络连接过程中，网络交换实体根据当前连接状态，通过同步机制，与位于同一主机节点的网关实体进行网络连接跟踪同步，实现分布式网关对网络连接的同步跟踪。
[0007]优选的，所述东西向网络连接的上下文包括五元组以及连接状态信息。
[0008]进一步的，所述网络交换实体对连接跟踪列表中的条目进行监控的规则包括：1）、对于新增跟踪连接条目，若判断为跨主机连接，则触发同步机制；2）、对于已跟踪连接条目，若连接状态发生改变，则触发同步机制；3）、对于已跟踪连接条目，若连接状态未发生改变，无需触发同步机制；4）、对于如因关闭或者超时等已失效连接条目，代表网络连接已不存在，处于待清除状态，因此无需触发同步机制。
[0009]进一步的，所述同步更新自身连接跟踪列表的规则如下：若网关实体不存在与同步连接条目匹配的跟踪连接，则将新增同步连接条目纳入跟踪列表；若网关实体存在与同步连接条目匹配的跟踪连接，且连接状态不一致，则将跟踪连接状态与同步连接条目保持一致；若网关实体存在与同步连接条目匹配的跟踪连接，且连接状态一致，不对连接跟踪列表做更新。
[0010]优选的，通过所述的分布式边缘网关，业务主机A1访问业务主机B1，则新建网络连接的上行部分流程如下：网络交换实体A3接收业务主机A1发送的数据报文，并向网关实体A2转发数据报文；网络交换实体A3判断该连接为东西向跨主机三层的新建连接，将该新建连接纳入网络跟踪列表，并触发同步机制；网络交换实体A3将连接条目同步发送给网关实体A2，网关实体A2已存在与该同步连接条目匹配的跟踪连接，且连接状态一致，不对连接跟踪列表做更新；网关实体A2向网络交换实体A3转发数据报文，网络交换实体A3向网络交换实体B3转发该数据报文；网络交换实体B3判断该连接为东西向跨主机三层的新建连接，将该新建连接纳入网络跟踪列表，并触发同步机制；网络交换实体B3将连接条目同步发送给网关实体B2，网关实体B2不存在与该同步连接条目匹配的跟踪连接，将该新增同步连接条目纳入跟踪列表；网络交换实体B3向业务主机B1转发数据报文。
[0011]进一步的，新建网络连接的下行部分流程如下：网络交换实体B3接收业务主机B1发送的数据报文，并向网关实体B2转发数据报文；网络交换实体B3判断该连接为已跟踪连接条目，且该已跟踪连接条目的连接状态发生改变，触发同步机制；网络交换实体B3将该连接条目同步发送给网关实体B2，网关实体B2已存在与该同步连接条目匹配的跟踪连接，且连接状态一致，不对连接跟踪列表做更新；网关实体B2向网络交换实体B3转发数据报文，网络交换实体B3向网络交换实体A3转发该数据报文；网络交换实体A3判断该连接为已跟踪连接条目，且该已跟踪连接条目连接状态发生改变，触发同步机制；网络交换实体A3将该连接条目同步发送给网关实体A2，网关实体A2存在与该同步连接条目匹配的跟踪连接，且连接状态不一致，同步连接状态，即将该跟踪连接状态与所述同步连接条目保持一致；网络交换实体A3向业务主机A1转发数据报文。
[0012]进一步的，已建网络连接中，业务主机A1访问业务主机B1的过程如下：网络交换实体A3接收业务主机A1发送的数据报文，并向网关实体A2转发数据报文；网络交换实体A3判断该连接为已跟踪连接条目，且该已跟踪连接条目的连接状态未发
生改变，不触发同步机制；网关实体A2向网络交换实体A3转发数据报文，网络交换实体A3向网络交换实体B3转发该数据报文；网络交换实体B3判断该连接为已跟踪连接条目，且该已跟踪连接条目的连接状态未发生改变，不触发同步机制；网络交换实体B3向业务主机B1转发数据报文；网络交换实体B3接收业务主机B1发送的数据报文，并向网关实体B2转发数据报文；网络交换实体B3判断该连接为已跟踪连接条目，且该已跟踪连接条目的连接状态未发生改变，不触发同步机制；网关实体B2向网络交换实体B3转发数据报文，网络交换实体B3向网络交换实体A3转发该数据报文；网络交换实体A3判断该连接为已跟踪连接条目，且该已跟踪连接条目的连接状态未发生改变，不触发同步机制；网络交换实体A3向业务主机A1转发数据报文。
[0013]本专利技术还要求保护分布式边缘网关系统，包括控制器实体、网络交换实体、分布式网关实体、以及业务主机，该系统通过上述的优化分布式边缘网关的方法，实现基于分布式网关对于东西向跨三层访问业务的网络连接。在该系统中实现所述分布式边缘网关的优化设置：1）、控制器实体控制网络交换实体创建东西向跨三层转发跟踪流表，所述东西向跨三层转发跟踪流表对后续的东西向网络连接进行匹配，并根据已匹配的数据报文、以及当前东西向网络连本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.优化分布式边缘网关的方法，其特征在于，本方法的具体实现过程如下：1）、控制器实体控制网络交换实体创建东西向跨三层转发跟踪流表，所述东西向跨三层转发跟踪流表对后续的东西向网络连接进行匹配，并根据已匹配的数据报文、以及根据当前东西向网络连接的上下文，构建跟踪列表项，纳入网络跟踪列表；2）、网络交换实体对网络跟踪列表中的条目进行监控，并根据设定的规则触发同步机制；3）、所述同步机制为网络交换实体将满足触发条件的监控连接条目同步发送给位于同一主机节点的网关实体，网关实体根据连接条目信息，同步更新自身连接跟踪列表。2.根据权利要求1所述的优化分布式边缘网关的方法，其特征在于，所述东西向网络连接的上下文包括五元组以及连接状态信息。3.根据权利要求1或2所述的优化分布式边缘网关的方法，其特征在于，所述网络交换实体对网络跟踪列表中的条目进行监控的规则包括：1）、对于新增跟踪连接条目，若判断为跨主机连接，则触发同步机制；2）、对于已跟踪连接条目，若连接状态发生改变，则触发同步机制；3）、对于已跟踪连接条目，若连接状态未发生改变，无需触发同步机制；4）、对于已失效连接条目，代表网络连接已不存在，处于待清除状态，因此无需触发同步机制。4.根据权利要求3所述的优化分布式边缘网关的方法，其特征在于，所述同步更新自身连接跟踪列表的规则如下：若网关实体不存在与同步连接条目匹配的跟踪连接，则将新增同步连接条目纳入跟踪列表；若网关实体存在与同步连接条目匹配的跟踪连接，且连接状态不一致，则将跟踪连接状态与同步连接条目保持一致；若网关实体存在与同步连接条目匹配的跟踪连接，且连接状态一致，不对连接跟踪列表做更新。5.根据权利要求4所述的优化分布式边缘网关的方法，其特征在于，通过所述的分布式边缘网关，业务主机A1访问业务主机B1，则新建网络连接的上行部分流程如下：网络交换实体A3接收业务主机A1发送的数据报文，并向网关实体A2转发数据报文；网络交换实体A3判断该连接为东西向跨主机三层的新建连接，将该新建连接纳入网络跟踪列表，并触发同步机制；网络交换实体A3将连接条目同步发送给网关实体A2，网关实体A2已存在与该同步连接条目匹配的跟踪连接，且连接状态一致，不对连接跟踪列表做更新；网关实体A2向网络交换实体A3转发数据报文，网络交换实体A3向网络交换实体B3转发该数据报文；网络交换实体B3判断该连接为东西向跨主机三层的新建连接，将该新建连接纳入网络跟踪列表，并触发同步机制；网络交换实体B3将连接条目同步发送给网关实体B2，网关实体B2不存在与该同步连接条目匹配的跟踪连接，将该新增同步连接条目纳入跟踪列表；网络交换实体B3向业务主机B1...

【专利技术属性】
技术研发人员：李明，刘艳清，金伟毅，
申请(专利权)人：苏州思萃工业互联网技术研究所有限公司，
类型：发明
国别省市：