【技术实现步骤摘要】
技术介绍
1、公共云服务提供者向公众提供诸如存储和应用之类的云服务。在公共云(或公共数据中心)中,服务提供者控制超级监督者(hypervisor),并且不能提供健壮或透明的安全能力。因此,期望在公共云部署中使用由第三方(即,公共云服务提供者以外的实体)提供的虚拟化网络。这种跨云的虚拟化网络提供了针对在公共云服务提供者的基础设施和网络上预配置(provision)的访客虚拟机(vm)上运行的工作负载强制实施网络和安全策略的能力。第三方创建的虚拟化网络可以使用覆盖来提供逻辑联网,或者简单地与原生联网集成并且还提供除原生网络的服务之外的服务。
2、在本地(on-premise)环境中,通过在底层超级监督者上提供网络和安全服务来管理在访客vm上运行的客户应用。但是,在公共云环境中,第三方网络虚拟化平台只能访问访客vm,而不能访问在其上预配置vm的底层超级监督者。另一方面,在公共云中,服务提供者控制在其上运行访客vm的底层虚拟化基础设施。公共云中的虚拟化基础设施不会暴露给最终用户。
3、vm使用的原生网络可以是由云服务提供者提供的虚拟网络。因此,第三方虚拟化网络预配置的逻辑网络位于云服务提供者的虚拟网络之上并且对云服务提供者来说不可见。当在第三方创建的虚拟化网络的逻辑空间中预配置vm时,vm的网络接口将成为第三方网络虚拟化提供者管理的逻辑地址空间的一部分。因此,网络接口无法访问云服务提供者的原生网络。
技术实现思路
1、一些实施例提供了一种方法,该方法允许公共云中的
2、该方法在vm上安装受管理的转发元件(mfe)内核驱动程序(诸如open vswitch(开源虚拟交换机,ovs)内核驱动程序)。mfe内核驱动程序被用作vm上虚拟接口的软件交换机。基于操作的模式(即,覆盖或底层),创建一个或两个虚拟适配器。虚拟适配器中的一个被用于访问覆盖网络(被称为覆盖虚拟适配器),而另一个虚拟适配器被用于访问底层网络(被称为底层虚拟适配器)。在一些实施例中,覆盖虚拟适配器是虚拟接口(vif),而底层虚拟适配器是虚拟隧道端点(vtep)。使用一个路由表将来自网络堆栈(例如,传输控制协议/互联网协议(tcp/ip)堆栈)的所有分组发送到任一虚拟适配器。mfe在接收和传输路径上在逻辑接口与底层网络接口卡(nic)之间转发分组。
3、覆盖虚拟适配器是第三方覆盖联网空间的一部分,而底层虚拟适配器是由云服务提供者提供的底层网络空间的一部分。使用mfe和底层虚拟适配器对源自覆盖虚拟适配器的网络分组进行隧道化。直接从底层网络发送出去的网络分组无需隧道化即可发送,并在底层网络空间中被转发或路由。
4、vm的路由表被配置使得与底层虚拟适配器不在同一层2(l2)子网中的所有流量都将覆盖虚拟适配器用作出口接口。因而,注定去往除公共云服务提供者的网络之外的任何网络的流量是从覆盖虚拟适配器发送出去的。
5、通过使用与底层虚拟适配器相比较低的覆盖虚拟适配器的接口度量来以这种方式建立路由表。路由度量随接口度量而变,并且较低的接口度量会翻译为较低的路由度量,这进而优于具有较高路由度量的路由。因此,通过覆盖虚拟适配器的默认路由比经由底层虚拟适配器的默认路由具有较高的优先级。因此,所有不是底层虚拟适配器的子网一部分的流量都从覆盖虚拟适配器发送出去。
6、由于覆盖虚拟适配器属于第三方管理的覆盖网络空间,因此无法按原样使用这个虚拟适配器来到达在云服务提供者管理的底层网络空间中的云服务提供者端点。为了使用覆盖虚拟适配器访问底层服务端点,一些实施例学习用户想要直接通过vm访问的服务端点ip地址。然后,在由第三方网络管理器预配置的逻辑路由器中配置逻辑路由,以经由连接到底层网络空间的逻辑路由器上的逻辑接口将流量从覆盖虚拟适配器指引到底层端点,下一跳为底层下一跳。底层逻辑接口负责底层网络空间中的arp解析等。
7、源网络地址翻译(snat)对发送出去到底层网络的vm租户应用流量执行。分组的源ip地址被翻译成vm的底层ip地址(例如,底层网络vtep的ip地址)。对从底层端点接收到的返回流量执行反向snat(un-snat)操作。分组报头中的目的地地址被翻译回覆盖虚拟适配器的原始逻辑ip地址。然后,覆盖虚拟适配器将分组转发到网络堆栈,网络堆栈进而将分组转发到租户应用。
8、对于底层端点所连接到的vm中托管的应用,底层逻辑接口上的不是覆盖流量的传入流量要经受目的地网络地址翻译(dnat)。对于到其中连接是源自底层网络的租户应用的传入流量,目的地地址被翻译成覆盖虚拟适配器的逻辑ip地址。对对应的返回流量执行反向dnat(un-dnat)。在一些实施例中,用户(例如,系统管理员)可以配置在vm中托管的应用的列表,对于这些应用,传入流量经受dnat/un-dnat操作。
9、第三方逻辑网络被用于基于用户配置在工作负载vm上强制实施安全性。由在访客vm内运行的mfe代理和第三方网络管理器服务器提供用于逻辑和底层联网的安全性。此外,云服务提供者的安全服务被用于提供底层网络安全性。例如,除了由第三方网络管理器服务器提供的分布式防火墙之外,还使用云服务提供者提供的安全组。
10、前面的
技术实现思路
旨在用作对本专利技术的一些实施例的简要介绍。它并不意味着是对本文档中公开的所有专利技术性主题的介绍或概述。以下的具体实施方式和在具体实施方式中提及的附图将进一步描述在本
技术实现思路
中描述的实施例以及其它实施例。因而,为了理解本文档描述的所有实施例,需要对
技术实现思路
、具体实施方式和附图进行全面地审查。而且,要求保护的主题不受
技术实现思路
、具体实施方式和附图中的说明性细节的限制,而是由所附权利要求定义,因为要求保护的主题可以以其它具体形式实施而不背离主题的精神。
【技术保护点】
1.一种由在公共云底层网络的主机机器上托管的数据计算节点DCN传送分组的方法,DCN执行(i)连接到第三方提供的覆盖网络的租户应用的集合、(ii)网络管理器应用的集合,以及(iii)包括覆盖网络虚拟适配器和底层网络虚拟适配器的受管理的转发元件MFE,该方法包括:
2.如权利要求1所述的方法,还包括当该分组从租户应用被接收到并被寻址到底层网络目的地地址时,将该分组的源端口号替换为唯一地识别第三方覆盖网络中的源IP地址的号码。
3.如权利要求2所述的方法,还包括:
4.如权利要求3所述的方法,还包括通过覆盖网络虚拟适配器将来自MFE的响应分组转发到第三方覆盖网络中的识别出的目的地IP地址。
5.如权利要求3所述的方法,还包括在识别第三方覆盖网络的IP地址之前通过从响应分组中移除覆盖网络的报头来对响应分组进行解封装。
6.如权利要求3所述的方法,还包括使用响应分组中的目的地端口号来识别第三方覆盖网络中的目的地端口号。
7.如权利要求1所述的方法,其中底层网络虚拟适配器是虚拟隧道端点VTEP,并且底层网络虚拟适配器是
8.如权利要求1所述的方法,其中MFE包括(i)连接到底层网络虚拟适配器的传输桥;以及(ii)连接到第二逻辑接口和传输桥的集成桥。
9.如权利要求1所述的方法,其中网络管理器应用在MFE上配置覆盖网络虚拟适配器和底层网络虚拟适配器。
10.如权利要求1所述的方法,其中主机机器执行虚拟化软件,其中DCN执行无法访问该主机机器的虚拟化软件并且不提供多个命名空间的访客操作系统。
11.一种针对在数据计算节点DCN内执行的受管理的转发元件MFE的方法,所述DCN在公共云数据中心的主机计算机上操作以处理在所述DCN上执行的应用的流量,所述方法包括:
12.如权利要求11所述的方法,其中传输第一分组包括通过主机的物理网络接口卡NIC将第一分组发送到底层网络目的地地址,而不执行网络地址翻译。
13.如权利要求11所述的方法,其中DCN包括覆盖网络虚拟适配器和底层网络虚拟适配器,并且第一分组通过底层网络虚拟适配器被接收到,而第二分组通过覆盖网络虚拟适配器被接收到。
14.如权利要求13所述的方法,其中覆盖网络适配器是虚拟接口VIF,而底层网络适配器是虚拟可扩展局域网VXLAN隧道端点VTEP。
15.如权利要求11所述的方法,还包括:
16.如权利要求15所述的方法,其中执行SNAT操作包括用唯一地识别覆盖网络中的源的号码来替换所述分组的源端口号,所述方法还包括:
17.如权利要求16所述的方法,还包括通过覆盖网络虚拟适配器转发来自MFE的响应分组。
18.如权利要求16所述的方法,还包括在识别IP地址之前通过从所述分组中移除覆盖网络的报头来对响应分组进行解封装。
19.一种存储程序的机器可读介质,所述程序在由至少一个处理单元执行时,实现如权利要求1-18中任一项所述的方法。
20.一种电子设备,包括:
21.一种包括用于实现如权利要求1-18中任一项所述的方法的单元的系统。
...【技术特征摘要】
1.一种由在公共云底层网络的主机机器上托管的数据计算节点dcn传送分组的方法,dcn执行(i)连接到第三方提供的覆盖网络的租户应用的集合、(ii)网络管理器应用的集合,以及(iii)包括覆盖网络虚拟适配器和底层网络虚拟适配器的受管理的转发元件mfe,该方法包括:
2.如权利要求1所述的方法,还包括当该分组从租户应用被接收到并被寻址到底层网络目的地地址时,将该分组的源端口号替换为唯一地识别第三方覆盖网络中的源ip地址的号码。
3.如权利要求2所述的方法,还包括:
4.如权利要求3所述的方法,还包括通过覆盖网络虚拟适配器将来自mfe的响应分组转发到第三方覆盖网络中的识别出的目的地ip地址。
5.如权利要求3所述的方法,还包括在识别第三方覆盖网络的ip地址之前通过从响应分组中移除覆盖网络的报头来对响应分组进行解封装。
6.如权利要求3所述的方法,还包括使用响应分组中的目的地端口号来识别第三方覆盖网络中的目的地端口号。
7.如权利要求1所述的方法,其中底层网络虚拟适配器是虚拟隧道端点vtep,并且底层网络虚拟适配器是虚拟接口vif。
8.如权利要求1所述的方法,其中mfe包括(i)连接到底层网络虚拟适配器的传输桥;以及(ii)连接到第二逻辑接口和传输桥的集成桥。
9.如权利要求1所述的方法,其中网络管理器应用在mfe上配置覆盖网络虚拟适配器和底层网络虚拟适配器。
10.如权利要求1所述的方法,其中主机机器执行虚拟化软件,其中dcn执行无法访问该主机机器的虚拟化软件...
【专利技术属性】
技术研发人员:S·拉姆,S·温努高帕尔,Y·林,A·库马尔,N·B·拉朱,M·海拉,G·钱德拉谢卡尔,V·埃加瓦尔,
申请(专利权)人:NICIRA股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。