分组流的自动策略配置制造技术

本公开的实施例涉及分组流的自动策略配置。公开了用于为分组流提供自动策略配置的技术。例如，一种计算设备包括虚拟节点和耦合到虚拟节点的一个或多个虚拟执行元件。计算设备还可以包括一个或多个处理器，该一个或多个处理器被配置为：接收分组，该分组源自在一个或多个虚拟执行元件上托管的应用工作负载并且去往远程目的地设备；确定分组是新分组流的一部分；作为响应，由计算设备的内核在不向计算设备的用户空间发送分组的情况下为新分组流配置用于正向分组流的策略；由内核配置用于与正向分组流相关联的反向分组流的策略；以及根据用于正向分组流的策略向远程目的地设备发送分组。送分组。送分组。

【技术实现步骤摘要】
分组流的自动策略配置
[0001]相关申请的交叉引用
[0002]本申请要求于2021年10月6日提交的美国专利申请第17/450,147号的权益，其全部内容通过引用并入本文。


[0003]本公开总体上涉及计算机网络。

技术介绍

[0004]计算机网络是可以交换数据和共享资源的互连计算设备的集合。在诸如互联网等基于分组的网络中，计算设备通过将数据划分成称为分组的可变长度块来传送数据，这些分组通过网络从源设备被个体地路由到目的地设备。目的地设备从分组中提取数据并且将数据组装成原始形式。
[0005]称为路由器的某些计算设备维护代表网络拓扑的路由信息。路由器交换路由信息，以维护通过网络的可用路由的准确表示。“路由”通常可以定义为网络上两个位置之间的路径。在接收到传入的数据分组时，路由器检查分组内的信息(通常称为“密钥”)，以根据路由信息来选择分组将被转发到的适当的下一跳。
[0006]计算设备可以被配置为处理分组流。术语“分组流”、“业务流”或简称“流”是指源自特定源设备或端点并且发送给特定目的地设备或端点的一组分组。单个分组流可以通过分组中的信息来标识，例如5元组：<源地址，目的地地址，源端口，目的地端口，协议>和区域。该信息通常标识接收的分组所对应于的分组流，并且标识用于转发分组的分组流的关联策略(“策略流”)。

技术实现思路

[0007]总体上，本公开描述了用于为分组流提供自动策略配置的技术。例如，计算设备可以利用计算设备的内核自动配置策略流，而不向计算设备的用户空间发送分组。在一些示例中，计算设备可以托管应用工作负载(workload)，该应用工作负载发起要转发给远程目的地设备的分组。当计算设备的内核中运行的虚拟节点从应用工作负载接收到分组时，虚拟节点检查分组的信息(例如，5元组和区域)以确定分组是否与现有分组流匹配。如果分组不属于现有分组流并且分组源自本地托管的应用工作负载，则计算设备可以利用计算设备的内核来配置用于正向分组流的策略和用于反向分组流(例如，在正向分组流的反向方向上的分组流)的策略，而不向用户空间发送分组。例如，计算设备可以配置用于正向分组流的策略的流动作，以转发源自应用工作负载并且去往远程目的地设备的分组。内核还可以使用分组的L3地址(例如，目的地IP地址)执行转发信息的查找以确定下一跳，并且将正向分组流的下一跳配置为流信息内的条目。
[0008]虚拟路由器的内核还可以在处理在正向方向上流动的分组的同时配置用于反向分组流的策略。计算设备的内核可以将应用工作负载的虚拟网络的标识符(例如，虚拟网络
标识符(VNI)，诸如VXLAN标签或MPLS标签)映射到与应用工作负载相关联的区域，并且将虚拟节点配置为根据在反向方向上接收的分组(例如，源自远程目的地设备并且去往应用工作负载的分组)中包括的VNI或MPLS标签来确定该区域。以这种方式，虚拟节点使用根据在反向方向上接收的分组中包括的VNI或MPLS标签而确定的区域来执行流信息的查找，以确定用于反向分组流的策略。计算设备的内核还可以为反向分组流配置到托管应用工作负载的虚拟执行元件的下一跳。
[0009]本公开中描述的技术可以提供实现至少一种实际应用的一种或多种技术优势。例如，通过使用计算设备的内核配置分组流的策略而不向计算设备的用户空间发送分组，计算设备减少了发送给用户空间的分组的数目。这导致减少了配置和应用分组流的策略所需要的计算设备的处理资源量，并且还可以提高计算设备处理分组的速度。这也可以减少可能由于向用户空间发送大量分组而导致的拒绝服务的实例。这可以实现更高效和可扩展的分组转发。
[0010]在一个示例中，本公开描述了一种方法，该方法包括由通过计算设备实现的虚拟节点接收分组，该分组源自计算设备上托管的应用工作负载并且去往远程目的地设备；由虚拟节点确定该分组是新分组流的一部分；响应于确定该分组是新分组流的一部分，由计算设备的内核在不向计算设备的用户空间发送该分组的情况下为新分组流配置用于正向分组流的策略；通过计算设备的内核配置用于与正向分组流相关联的反向分组流的策略；以及由计算设备根据用于正向分组流的策略向远程目的地设备发送该分组。
[0011]在另一示例中，本公开描述了一种计算设备，该计算设备包括：虚拟节点；耦合到虚拟节点的一个或多个虚拟执行元件；以及一个或多个处理器，其中该一个或多个处理器被配置为：接收分组，该分组源自一个或多个虚拟执行元件上托管的应用工作负载并且去往远程目的地设备；确定该分组是新分组流的一部分；响应于确定该分组是新分组流的一部分，由计算设备的内核在不向计算设备的用户空间发送该分组的情况下为新分组流配置用于正向分组流的策略；通过计算设备的内核配置用于与正向分组流相关联的反向分组流的策略；以及根据用于正向分组流的策略向远程目的地设备发送该分组。
[0012]在另一示例中，本公开描述了一种包括指令的非暂态计算机可读介质，该指令在被执行时引起一个或多个处理器：接收分组，该分组源自在一个或多个虚拟执行元件上托管的应用工作负载并且去往远程目的地设备；确定该分组是新分组流的一部分；响应于确定该分组是新分组流的一部分，由计算设备的内核在不向计算设备的用户空间发送该分组的情况下为新分组流配置用于正向分组流的策略；通过计算设备的内核配置用于与正向分组流相关联的反向分组流的策略；以及根据用于正向分组流的策略向远程目的地设备发送该分组。此外，本公开中描述的技术能够在用户空间不可用时(例如，在升级期间)创建新分组流，并且避免需要在用户空间应用不可用期间丢弃新流分组。
[0013]本公开的技术的一个或多个示例的细节在附图和以下描述中阐述。这些技术的其他特征、目的和优点将从说明书和附图以及权利要求中变得明显。
附图说明
[0014]图1是示出根据本公开中描述的技术的用于为分组流提供自动策略配置的示例网络系统的框图；
[0015]图2是更详细地示出图1的数据中心的示例实现的框图；
[0016]图3是示出根据本公开中描述的技术的示例计算设备的框图；以及
[0017]图4是示出根据本公开的技术的示例操作的流程图。
[0018]在整个附图和描述中，相同的附图标记指代相同的元素。
具体实施方式
[0019]图1是示出根据本公开中描述的技术的用于为分组流提供自动策略配置的示例网络系统的框图。图1的示例中的网络系统2包括彼此互连并且经由服务提供方网络7与关联于客户11的客户网络互连的数据中心10A
‑
10X(统称为“数据中心10”)。通常，每个数据中心10为通过服务提供方网络7耦合到数据中心的客户11的应用和服务提供操作环境。数据中心10可以例如托管基础设施设备，诸如联网和存储系统、冗余电源和环境控制。服务提供方网络7可以耦合到由其他提供方管理的一个或多个网络，并且因此可以形成大规模公共网络基础设施(例如，互联网)的一部分。
[0020]在一些示例中，每个数据中心10可以表示很多地理本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种方法，包括：由通过计算设备实现的虚拟节点接收分组，所述分组源自所述计算设备上托管的应用工作负载并且去往远程目的地设备；由所述虚拟节点确定所述分组是新分组流的一部分；响应于确定所述分组是新分组流的一部分，由所述计算设备的内核在不向所述计算设备的用户空间发送所述分组的情况下，为所述新分组流配置用于正向分组流的策略；由所述计算设备的所述内核配置用于与所述正向分组流相关联的反向分组流的策略；以及由所述计算设备根据用于所述正向分组流的所述策略向所述远程目的地设备发送所述分组。2.根据权利要求1所述的方法，其中配置用于所述正向分组流的所述策略包括：基于在所述计算设备的转发信息内对所述分组的目的地地址的查找，来配置用于所述正向分组流的下一跳。3.根据权利要求1所述的方法，其中配置用于所述反向分组流的所述策略包括：将与所述应用工作负载相关联的区域与所述应用工作负载的虚拟网络的标识符进行映射，以及其中根据用于所述正向分组流的所述策略向所述远程目的地设备发送所述分组包括：在向所述远程目的地设备发送所述分组之前，将所述应用工作负载的所述虚拟网络的所述标识符插入到所述分组中。4.根据权利要求3所述的方法，其中源自所述计算设备上托管的所述应用工作负载并且去往所述远程目的地设备的所述分组包括正向分组，所述方法还包括：由通过所述计算设备实现的所述虚拟节点接收反向分组，所述反向分组源自所述远程目的地设备并且去往所述计算设备上托管的所述应用工作负载，其中所述反向分组指定所述应用工作负载的所述虚拟网络的所述标识符；由所述虚拟节点根据由所述反向分组指定的所述应用工作负载的所述虚拟网络的所述标识符，确定与所述应用工作负载相关联的所述区域；由所述虚拟节点使用所述区域执行流表的查找以确定用于所述反向分组流的所述策略；以及由所述虚拟节点根据用于所述反向分组流的所述策略向所述应用工作负载发送所述反向分组。5.根据权利要求3所述的方法，其中所述虚拟网络的所述标识符包括以下至少一者：虚拟可扩展局域网VXLAN标签或多协议标签交换MPLS标签。6.根据权利要求1至5中任一项所述的方法，还包括：针对用于所述正向分组流的所述策略和用于所述反向分组流的所述策略，将相应的哈希条目存储在流条目哈希映射中以跟踪最近最少使用的策略；确定用于所述正向分组流的所述策略或用于所述反向分组流的所述策略是所述最近最少使用的策略；以及响应于确定用于所述正向分组流的所述策略或用于所述反向分组流的所述策略是所述最近最少使用的策略，利用所述计算设备的所述内核或所述用户空间移除所述最近最少使用的策略。
7.根据权利要求1至5中任一项所述的方法，还包括：由所述计算设备配置要为通向所述应用工作负载的虚拟接口而创建的最大流数；由所述虚拟节点接收后续分组，所述后续分组源自所述计算设备上托管的所述应用工作负载并且去往第二远程目的地设备；确定要为通向所述应用工作负载的所述虚拟接口而创建的所述最大流数被超过；以及利用所述计算设备的所述内核向所述计算设备的用户空间发送所述后续分组，来为所述后续分组配置用于正向分组流的策略。8.一种计算设备，包括：虚拟节点；一个或多个虚拟执行元件，所述一个或多个虚拟执行元件被耦合到所述虚拟节点；以及一个或多个处理器，其中所述一个或多个处理器被配置为：接收分组，所述分组源自所述一个或多个虚拟执行元件上托管的应用工作负载并且去往远程目的地设备；确定所述分组是新分组流的一部分；响应于确定所述分组是新分组流的一部分，由所述计算设备的内核在不向所述计算设备的用户空间发送所述分组的情况下，为所述新分组流配置用于正向分组流的策略；利用所述计算设备的所述内核配置用于与所述正向分组流相关联的反向分组流的策略；以及根据用于所述正向分组流的所述策略向所述远程目的地设备发送所述分组。9.根据权利要求8所述的计算设备，其中为了配置所述正向分组流，所述一个或多个处理器被配置为：基于在所述计算设备的转发信息内对所述分组的目的地地址的查找，来配置用于所述正向分组流的下一跳。10.根据权利要求8所述的计算设备，其中为了配置针对所述分组的所述反向分组流，所述一个或多个处理器被配置为：将与所述应用工作负载相关联的区域与所述应用工作负载的虚拟网络的标识符进行映射，以及其中为了根据用于所述正向分组流的所述策略向所述远程目的地设备发送所述分组，所述一个或多个处理器被配置为：在向所述远程目的地设备发送所述分组之前，将所述应用工作负载的所述虚拟网络的所述标识符插入...

【专利技术属性】
技术研发人员：D，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：