多架构云网络中用于共享服务的VRF隔离制造技术

通过利用共享服务的多云结构来维护用于网络路径的虚拟路由和转发(VRF)隔离的技术。多云结构的第一网络的路由器从第一网络中的源端点组接收第一数据分组，并将第一数据分组转发到服务端点组。服务端点组可以将第一数据分组转发到多云结构的第二网络的目的端点组。服务端点组可以从目的端点组接收第二数据分组，并将第二数据分组转发到路由器。基于(i)服务端点组的标识或(ii)源端点组的地址中的一者，可以识别VRF，并且可以由路由器使用VRF将第二数据分组转发到源端点组。第二数据分组转发到源端点组。第二数据分组转发到源端点组。

【技术实现步骤摘要】
【国外来华专利技术】多架构云网络中用于共享服务的VRF隔离
[0001]相关申请的交叉引用
[0002]本专利申请要求于2020年2月24日提交的序列号为16/799,476的美国实用专利申请的优先权，该申请通过引用的方式全部并入本文。


[0003]本公开总体上涉及通过多云结构(该多云结构利用共享服务(例如，应用负载平衡器(ALB)))来维护用于网络路径的虚拟路由和转发(Virtual Routing and Forwarding，VRF)的隔离。

技术介绍

[0004]随着具有互联网可访问性的设备的扩散和使用的持续增加，对互联网服务和内容的需求也同样持续增加。互联网服务和内容的提供商不断扩展所需的计算资源，以服务不断增长的用户需求，而不会低于用户性能预期。例如，提供商通常利用大型和复杂的数据中心来管理来自用户的网络和内容需求。数据中心通常包括托管支持服务和内容的工作负载的服务器群，并且还包括网络设备(例如，交换机和路由器)，以通过数据中心路由流量并实施安全策略。
[0005]通常，这些数据中心的网络是以下两种类型中的一者：由实体(例如，企业或组织)拥有的私有网络(例如，本地网络)；以及由云提供商拥有的公共云网络，这些云提供商提供计算资源供用户购买。通常，企业将拥有、维护和运营本地计算资源网络，以为用户或客户提供因特网服务和/或内容。然而，如上所述，在保持用户的可接受的性能的同时满足对计算资源日益增长的需求可能变得困难。因此，私有实体经常从公共云提供商购买或以其他方式订购计算资源和服务的使用。例如，云提供商可以在公共云上创建虚拟私有云(本文中也称为“私有虚拟网络”)，并将虚拟私有云或网络连接到本地网络，以增加企业的可用的计算资源和能力。因此，企业可以将其私有的、或本地网络的数据中心与托管在公共云上的远程的、基于云的数据中心互连，从而扩展其私有网络。
[0006]然而，由于本地网络和公共云网络通常由不同的实体开发和维护，因此本地网络和公共云网络中的数据中心之间的策略管理和配置参数缺乏统一性。这种缺乏一致性会(通过例如无法应用一致的策略、配置参数、路由模型等)显著限制企业将其本地网络与公共云网络集成的能力。各种实体已开发出软件定义网络(SDN)和数据中心管理解决方案，可以将企业或组织的意图从其本地网络转换到其虚拟私有云网络中，以用于跨多云结构或环境部署的应用程序或服务。因此，这些多云SDN解决方案必须不断适应本地网络和公共云网络中发生的变化，同时保持企业或组织的业务和用户意图，用来自公共云网络的计算资源补充其本地网络。
[0007]例如，管理数据中心的本地网络的企业经常隔离和分割他们的本地网络，以提高其本地网络的可扩展性、韧性和安全性。为了满足实体对隔离和分割的需求，可以例如使用经隔离的虚拟网络(该经隔离的虚拟网络可以被用于将端点容器化，以允许跨EPG中的端点
应用个体化路由模型、策略模型等)将本地网络中的端点分组到端点分组(Endpoint Grouping，EPG)中。通常，EPG或其他虚拟的端点分组中的每个子网都与地址范围相关联，该地址范围可以在用于控制子网路由的路由表中被定义。由于实施了大量路由表来通过本地网络路由流量，管理本地网络的实体利用虚拟路由和转发(VRF)技术，使得VRF路由表的多个实例能够存在于一个路由器中，并且同时工作。因此，实体的本地网络中的EPG的子网与各自的VRF路由表相关联，并且路由器能够同时存储和利用VRF路由表的多个实例。
[0008]插入云网络和/或在云网络之间的服务(例如，亚马逊网络服务(AWS)中的应用负载均衡器(Application Load Balancer，ALB))基于跨AWS虚拟私有云(VPC)中的网页服务器的统一资源定位器(URL)分配应用流量。然而，流量的来源应该来自唯一的IP地址，因为在数据分组进入ALB的那一刻，VRF分段就丢失了。插入服务时的VRF分段丢失是不可接受的，并且同时，源自跨多个VRF的重叠子网的流量是需要支持的。
附图说明
[0009]下文参照附图进行了详细描述。在附图中，附图标记最左边的(一个或多个)数字表示该附图标记首次出现的图。在不同的图中使用相同的附图标记表示相似或相同的项目。附图中描绘的系统不是按比例绘制的，并且附图中的组件可以彼此不是按比例绘制的。
[0010]图1A和1B示出了示例架构的系统图，该示例架构用于通过利用VRF技术的多云结构来维持用于网络路径的隔离和分割；
[0011]图2A
‑
2C示意性地示出了其中插入了服务的多云结构中的数据分组的示例数据流；
[0012]图3示出了示例方法的流程图，该示例方法用于通过利用虚拟路由和转发(VRF)技术的多云结构来维持用于网络路径的隔离和分割；
[0013]图4示出了计算系统图，该图说明了可以被用于实现本文所公开的技术的方面的数据中心的配置；
[0014]图5是计算机架构图，该图示出了说明性的计算机硬件架构，该架构用于实现可以被用于实现本文所提出的各种技术的各个方面的服务器设备。
具体实施方式
[0015]概览
[0016]本公开描述了一种通过利用共享服务(例如，应用负载平衡器(ALB))的多云结构来维护用于网络路径的虚拟路由和转发(VRF)隔离的方法。因为返回路由器的第二数据分组(该第二数据分组与原始的第一数据分组相关联)的源地址始终是共享服务，所以需要一种机制来识别第二数据分组的VRF。因此，该方法可以包括多云结构的第一网络的路由器，该多云结构包括从第一网络中的源端点组接收第一数据分组的两个或更多个网络。在配置中，多云结构可以包括一个或多个云网络以作为网络。此外，在配置中，多云结构可以包括一个或多个本地网络以作为网络。路由器可以将第一数据分组转发给服务端点组。服务端点组可以将第一数据分组转发到目的端点组。服务端点组可以从目的端点组接收第二数据分组，并将第二数据分组转发给路由器。基于(i)服务端点组的标识或(ii)源端点组的地址中的一者，可以识别虚拟路由和转发实例VRF。至少部分地基于识别VRF，由路由器使用VRF
将第二数据分组转发到源端点组。
[0017]另外，该方法可以包括创建与源端点组的地址和目的端点组的地址匹配的访问列表。可以在路由器处接收到来自源端点组的第一数据分组时，创建访问列表。基于与源端点组的地址和目的端点组的地址匹配的访问列表，可以创建识别VRF的路由映射。该方法还可以包括：由路由器将目的端点组的地址与源端点组匹配。匹配可以在路由器处从服务端点组接收到第二数据分组时发生。至少部分地基于将目的端点组的地址与源端点组匹配，可以识别VRF。至少部分地基于识别VRF，可以由路由器使用VRF将第二数据分组转发到源端点组。
[0018]在配置中，服务端点组可以是第一服务端点组。因此，该方法可以另外包括提供第二服务端点组。在配置中，第一服务端点组或第二端点组中的一者或两者可以是服务链。在配置中，基于具有第一服务端点组和第二端点组，识别VRF可以包括：基于本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：在第一网络中的路由器处，从所述第一网络中的源端点组接收第一数据分组；由所述路由器将所述第一数据分组转发到服务端点组；由所述服务端点组将所述第一数据分组转发到第二网络中的目的端点组；在所述服务端点组处，接收来自所述目的端点组的第二数据分组；由所述服务端点组将所述第二数据分组转发到所述路由器；基于(i)所述服务端点组的标识或(ii)所述源端点组的地址中的一者，识别虚拟路由和转发实例(VRF)；以及至少部分地基于识别所述VRF，由所述路由器使用所述VRF将所述第二数据分组转发到所述源端点组。2.根据权利要求1所述的方法，其中，由所述路由器向所述源端点组转发所述第二数据分组包括：在所述路由器处接收到来自所述源端点组的所述第一数据分组时，创建与所述源端点组的所述地址和所述目的端点组的所述地址匹配的访问列表；基于与所述源端点组的所述地址和所述目的端点组的所述地址匹配的所述访问列表，创建识别所述VRF的路由映射；在所述路由器处接收到来自所述服务端点组的所述第二数据分组时，至少部分地基于所述源端点组的所述地址，由所述路由器匹配所述访问列表中的所述源端点组的所述地址；至少部分地基于所述匹配所述访问列表中的所述源端点组的所述地址，识别所述VRF；以及至少部分地基于识别所述VRF，由所述路由器使用所述VRF将所述第二数据分组转发到所述源端点组。3.根据权利要求2所述的方法，其中，由所述路由器使用所述VRF将所述第二数据分组转发到所述源端点组包括：基于虚拟可扩展本地接入网络(VxLAN)封装，由所述路由器将所述第二数据分组自动转发到所述源端点组。4.根据权利要求2所述的方法，其中，由所述路由器使用所述VRF向所述源端点组转发所述第二数据分组包括：在所述第一网络和所述第二网络之间创建隧道接口；从所述路由器经由所述隧道接口将所述第二数据分组转发到所述第二网络；以及使用所述VRF将所述第二网络中的所述第二数据分组转发到所述源端点组。5.根据任一前述权利要求所述的方法，其中，所述第一网络是云网络，并且所述第二网络是本地网络。6.根据任一前述权利要求所述的方法，其中，所述服务端点组为第一服务端点组，并且所述方法还包括：提供第二服务端点组；其中，识别所述VRF包括基于所述路由器是否从所述第一服务端点组或所述第二服务端点组接收所述第二数据分组来识别所述VRF。
7.一种系统，包括：一个或多个处理器；以及一种或多种非暂时性计算机可读介质，存储计算机可执行指令，当由所述一个或多个处理器执行所述计算机可执行指令时，使所述一个或多个处理器：在路由器处，从第一网络中的源端点组接收第一数据分组；由所述路由器将所述第一数据分组转发到服务端点组；由所述服务端点组将所述第一数据分组转发到第二网络中的目的端点组；在所述服务端点组处，接收来自所述目的端点组的第二数据分组；由所述服务端点组将所述第二数据分组转发到所述路由器；基于(i)所述服务端点组的标识或(ii)所述源端点组的地址中的一者，识别虚拟路由和转发实例(VRF)；以及至少部分地基于识别所述VRF，由所述路由器使用所述VRF将所述第二数据分组转发到所述源端点组。8.根据权利要求7所述的系统，其中，由所述路由器将所述第二数据分组转发到所述源端点组包括：在所述路由器处接收到来自所述源端点组的所述第一数据分组时，创建与所述源端点组的所述地址和所述目的端点组的所述地址匹配的访问列表；基于与所述源端点组的所述地址和所述目的端点组的所述地址匹配的所述访问列表，创建识别所述VRF的路由映射；在所述路由器处接收到来自所述服务端点组的所述第二数据分组时，至少部分地基于所述源端点组的所述地址，由所述路由器匹配所述访问列表中的所述源端点组的所述地址；至少部分地基于所述匹配所述访问列表中的所述源端点组的所述地址，识别所述VRF；以及至少部分地基于识别所述VRF，由所述路由器使用所述VRF将所述第二数据分组转发到所述源...

【专利技术属性】
技术研发人员：西瓦库马尔，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：