在虚拟化的云环境中使用访问控制列表的层2网络制造技术

描述了用于L2虚拟网络中的通信的技术。在示例中，L2虚拟网络包括托管在主机机器的集合上的多个L2计算实例以及托管在网络虚拟化设备的集合上的多个L2虚拟网络接口和L2虚拟交换机。L2虚拟网络接口模拟L2虚拟网络的L2端口。适用于L2端口的访问控制列表(ACL)信息被发送到托管L2虚拟网络接口的网络虚拟化设备。发送到托管L2虚拟网络接口的网络虚拟化设备。发送到托管L2虚拟网络接口的网络虚拟化设备。

【技术实现步骤摘要】
【国外来华专利技术】在虚拟化的云环境中使用访问控制列表的层2网络
[0001]相关申请的交叉引用
[0002]本国际专利申请要求于2021年10月5日提交的标题为“LAYER
‑
2NETWORKING USING ACCESS CONTROL LISTS IN A VIRTUALIZED CLOUD ENVIRONMENT”的美国专利申请No.17/494,720的优先权，该申请要求于2020年12月30日提交的标题为“LAYER
‑
2NETWORKING IN A VIRTUALIZED CLOUD ENVIRONMENT”的美国临时专利申请No.63/132,377的权益，其内容出于所有目的通过引用整体并入本文。

技术介绍

[0003]云计算提供计算资源的按需可用性。云计算可以基于用户可通过互联网访问的数据中心。云计算可以提供基础设施即服务(IaaS)。可以创建虚拟网络以供用户使用。但是，这些虚拟网络具有限制其功能性和价值的局限性。因而，期望进一步的改进。

技术实现思路

[0004]本公开涉及虚拟化的云环境。描述了在虚拟化的云环境中提供层2联网功能性的技术。层2功能性是作为由虚拟化的云环境提供的层3联网功能性的补充并与其一起提供的。
[0005]本公开的一些实施例涉及在私有网络(诸如客户的虚拟云网络(VCN))中向客户提供层2虚拟局域网(VLAN)。不同的计算实例在层2VLAN中连接。给客户的感觉是连接计算实例的模拟的单个交换机。事实上，这个模拟的交换机是作为包括本地交换机的集合的无限可扩展的分布式交换机实现的。更具体而言，每个计算实例都在连接到网络虚拟化设备(NVD)的主机机器上执行。对于连接到NVD的主机上的每个计算实例，NVD托管与计算实例相关联的层2虚拟网络接口卡(VNIC)和本地交换机。层2VNIC表示计算实例在层2VLAN上的端口。本地交换机将VNIC连接到与层2VLAN的其它计算实例相关联的其它VNIC(例如，其它端口)。支持各种层2网络服务，包括例如使用层2访问控制列表(ACL)。
[0006]本文描述了各种实施例，包括方法、系统、存储可由一个或多个处理器执行的程序、代码或指令的非暂态计算机可读存储介质等。
附图说明
[0007]图1是分布式环境的高级图，示出了根据某些实施例的由云服务提供者基础设施托管的虚拟或覆盖云网络。
[0008]图2描绘了根据某些实施例的CSPI内的物理网络中的物理组件的简化体系架构图。
[0009]图3示出了根据某些实施例的CSPI内的示例布置，其中主机机器连接到多个网络虚拟化设备(NVD)。
[0010]图4描绘了根据某些实施例的主机机器和NVD之间的连接性，用于提供I/O虚拟化以支持多租赁(tenancy)。
[0011]图5描绘了根据某些实施例的由CSPI提供的物理网络的简化框图。
[0012]图6是根据某些实施例的计算网络的示意图。
[0013]图7是根据某些实施例的VLAN的逻辑和硬件示意图。
[0014]图8是根据某些实施例的多个连接的L2 VLAN的逻辑示意图。
[0015]图9是根据某些实施例的多个连接的L2 VLAN和子网900的逻辑示意图。
[0016]图10是根据某些实施例的在VLAN内的VLAN内通信和学习的示意图。
[0017]图11是根据某些实施例的VLAN的示意图。
[0018]图12是图示根据某些实施例的用于VLAN内通信的过程1200的流程图。
[0019]图13图示了根据某些实施例的适合为L2虚拟网络定义ACL的示例环境。
[0020]图14图示了根据某些实施例的VLAN中的示例ACL技术。
[0021]图15是图示根据某些实施例的用于在层2虚拟网络中分发ACL信息的过程的流程图。
[0022]图16是图示根据某些实施例的用于确定ACL信息对L2 VNIC的适用性的过程的流程图。
[0023]图17是图示根据某些实施例的用于强制实施ACL的过程的流程图。
[0024]图18是图示根据某些实施例的用于强制实施ACL的过程的流程图。
[0025]图19是图示根据至少一个实施例的用于将云基础设施实现为服务系统的一种模式的框图。
[0026]图20是图示根据至少一个实施例的用于将云基础设施实现为服务系统的另一种模式的框图。
[0027]图21是图示根据至少一个实施例的用于将云基础设施实现为服务系统的另一种模式的框图。
[0028]图22是图示根据至少一个实施例的用于将云基础设施实现为服务系统的另一种模式的框图。
[0029]图23是图示根据至少一个实施例的示例计算机系统的框图。
具体实施方式
[0030]在以下描述中，出于解释的目的，阐述了具体细节以便提供对某些实施例的透彻理解。但是，显然可以在没有这些具体细节的情况下实践各种实施例。附图和描述并非旨在限制。词语“示例性”在本文用于表示“用作示例、实例或图示”。本文描述为“示例性”的任何实施例或设计不一定被解释为优选或优于其它实施例或设计。
[0031]A
‑
示例虚拟联网体系架构
[0032]术语云服务一般用于指由云服务提供者(CSP)使用由CSP提供的系统和基础设施(云基础设施)按需(例如，经由订阅模型)向用户或客户提供的服务。通常，构成CSP的基础设施的服务器和系统与客户自己的内部部署服务器和系统是分开的。因此，客户可以利用由CSP提供的云服务，而无需为服务购买单独的硬件和软件资源。云服务被设计为为订阅客户提供对应用和计算资源的简单、可扩展的访问，而无需客户投资购买用于提供服务的基础设施。
[0033]有几个云服务提供者提供各种类型的云服务。有各种不同类型或模型的云服务，
包括软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)等。
[0034]客户可以订阅由CSP提供的一项或多项云服务。客户可以是任何实体，诸如个人、组织、企业等。当客户订阅或注册由CSP提供的服务时，将为该客户创建租赁或账户。然后，客户可以经由这个账户访问与该账户相关联的订阅的一个或多个云资源。
[0035]如上所述，基础设施即服务(IaaS)是一种特定类型的云计算服务。在IaaS模型中，CSP提供基础设施(称为云服务提供者基础设施或CSPI)，这些基础设施可以被客户使用来构建他们自己的可定制网络并部署客户资源。因此，客户的资源和网络由CSP提供的基础设施托管在分布式环境中。这与传统计算不同，在传统计算中，在传统计算中，客户的资源和网络由客户提供的基础设施托管。
[0036]CSPI可以包括形成物理网络的互连的高性能计算资源，包括各种主机机器、存储器资源和网络资源，该物理网络也被称为基板网络或底层网络。CSPI中的资源可以散布在一个或多个数据中心上，这些数据中心可以在地理上散布在一个或多个地理地区上。虚拟化软件可以由这本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：基于客户的输入，为客户的层2虚拟网络中的流量流生成访问控制列表(ACL)信息，其中层2虚拟网络托管在物理网络上并且包括多个层2计算实例、多个层2虚拟网络接口和多个层2虚拟交换机；确定ACL信息适用于所述多个层2虚拟网络接口的子集，所述子集包括层2虚拟网络接口；确定ACL信息将被发送到物理网络的网络虚拟化设备(NVD)，其中：NVD托管层2虚拟网络接口和所述多个层2虚拟交换机中的层2虚拟交换机，所述层2虚拟网络接口和所述层2虚拟交换机与所述多个层2计算实例中的层2计算实例相关联，以及所述层2计算实例托管在物理网络的主机机器上，该主机机器和NVD通信地耦合；以及将ACL信息发送到NVD。2.如权利要求1所述的方法，其中所述ACL信息、NVD、层2虚拟网络接口和层2虚拟交换机是第一ACL信息、第一NVD、第一层2虚拟网络接口和第一层2虚拟交换机，并且其中所述方法还包括：基于所述客户的所述输入，生成适用于第二层2虚拟网络接口的第二ACL信息；确定所述第二ACL信息将被发送到物理网络的第二NVD，其中第二NVD托管第二层2虚拟网络接口和所述多个层2虚拟交换机中的第二层2虚拟交换机；以及将所述第二ACL信息发送到第二NVD。3.如权利要求1
‑
2中的任一项所述的方法，其中帧经由层2虚拟网络接口从和/或到层2计算实例的流由NVD根据ACL信息基于ACL信息与层2虚拟网络接口之间的所存储的关联来控制。4.如权利要求1
‑
3中的任一项所述的方法，还包括：存储层2虚拟网络的配置信息，其中所述配置信息指示层2端口的客户指定的名称；确定层2端口被层2虚拟网络接口模拟；以及存储客户指定的名称与层2虚拟网络接口之间的关联。5.如权利要求4所述的方法，其中所述客户的所述输入指示ACL信息和层2端口的客户指定的名称，并且其中所述方法还包括：基于客户指定的名称与层2虚拟网络接口之间的关联识别层2虚拟网络接口；以及基于识别出的层2虚拟网络接口来确定ACL信息适用于层2虚拟网络接口。6.如权利要求4所述的方法，其中所述客户的所述输入指示ACL信息和层2端口的客户指定的名称，并且其中所述方法还包括：基于客户指定的名称与层2虚拟网络接口之间的关联识别层2虚拟网络接口；确定与层2虚拟网络接口相关联的介质访问控制(MAC)地址；以及向NVD指示ACL信息适用于MAC地址。7.如权利要求6所述的方法，其中所述客户的所述输入指示ACL信息和层2端口的客户指定的名称，并且其中所述方法还包括：确定与NVD相关联的互联网协议(IP)地址；以及将ACL信息与MAC地址和IP地址相关联。
8.如权利要求1
‑
7中的任一项所述的方法，其中所述客户的所述输入指示ACL信息适用于以下当中的至少一个：目的地端口、源端口、目的地介质访问控制(MAC)地址、源MAC地址、目的地互联网协议(IP)地址、源IP地址、通信协议类型、流量广播或流量单播。9.一种网络虚拟化设备，包括：一个或多个处理器；以及存储指令的一个或多个计算机可读存储介质，指令在由所述一个或多个处理器执行时将网络虚拟化设备配置为：托管属于客户的层2虚拟网络的层2虚拟网络接口和层2虚拟交换机，其中：层2虚拟网络接口和层2虚拟交换机与属于层2虚拟网络的层2计算实例相关联，层2计算实例托管在包括网络虚拟化设备的物理网络的主机机器上，主机机器和网络虚拟化设备通信地耦合，以及层2虚拟网络托管在物理网络上并且包括多个层2计算实例、多个层2虚拟网络接口和多个层2虚拟交换机；存储与层2虚拟网络接口相关联的访问控制列表(ACL)信息；接收具有报头信息的帧；基于报头信息确定帧与层2虚拟网络接口相关联；以及基于ACL信息控制帧的流。10.如权利要求9所述的网络虚拟化设备，其中ACL信息控制到层2计算实例的入口流量，其中报头信息包括与层2虚拟网络接口相关联的目的地介质访问(MAC)地址，并且其中基于目的地MAC地址与ACL信息之间的所存储的关联来控制帧经由层2虚拟网络接口到层2计算实例的流。11.如权利要求9所述的网络虚拟化设备，其中ACL信息控制到层2计算实例的入口流量，其中报头信息包括与所述多个层2虚拟网络接口中的另一个层2虚拟网络...

【专利技术属性】
技术研发人员：J，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：