描述了用于将诸如重定向或跨越策略之类的网络策略的目的地规定为端口的逻辑集合(即,属于端口简档或端口群组的端口)的技术,其中端口集合的成员可被动态地添加/去除,而不要求对网络策略的任何改变。另外,网络管理员(或其他用户)甚至在目的地中的一些或全部在给定的虚拟化系统上活动之前就可为网络策略预定义目的地。在这样的情况下,网络策略可在所需的实体变得可用时生效。
【技术实现步骤摘要】
【国外来华专利技术】
本公开中描述的实施例总地涉及通信网络,更具体而言涉及在虚拟化环境中路由网络流量。
技术介绍
虚拟化是通过在多个虚拟系统间共享单个物理计算机系统的资源来使得一个计算机可以做多个计算机的工作的技术。通过对虚拟化的使用,多个操作系统和应用同时在同一计算机上运行,从而增大了硬件的利用率和灵 活性。虚拟化使得服务器可以与下层硬件解除耦合,从而使得多个虚拟机共享相同的物理服务器硬件。在虚拟机环境中,虚拟交换机提供多个虚拟化系统上的虚拟网络接口和服务器上的物理网络接口之间的网络连通性。在虚拟化服务器环境中,诸如防火墙、入侵防止系统(IPS)、入侵检测系统(IDS)和监视服务之类的服务正变成虚拟化的并且被部署为虚拟机(VM)。服务虚拟机(SVM)可被配置为向在服务器上运行的每个虚拟机提供这种服务。服务也可在服务器的集合中作为VM的集群运行。在一些情况下,用户可能希望配置虚拟化交换机以向被转发到与该交换机相连的虚拟机的帧应用某些网络策略(例如重定向或跨越(span)(镜像)策略)。明确地基于端口标识(ID)来规定目的地端口的当前机制是麻烦的,因为必须对每个服务、每个服务器规定目的地端口。类似地,当新的服务器被添加到网络时,网络管理员可能需要配置网络策略以在新服务器上包括服务的服务端口。附图说明以能够详细理解以上记载的本公开的特征的方式,通过参考实施例可对以上简要总结的本公开进行更具体描述,实施例中的一些在附图中图示。然而,要注意,附图仅图示出本公开的典型实施例,因此不应被理解为限制其范围,因为本公开可允许其他同等有效的实施例。图I图示了这里描述的实施例可在其中实现的网络的示例。图2图示了根据本公开的某些实施例的虚拟网络环境的示例服务器。图3图示了根据本公开的某些实施例,服务器上的虚拟机与一端口断开连接并且重连接到可能在不同服务器上的同一端口群组中的另一端口的示例场景。图4图示了根据本公开的某些实施例的用于在虚拟网络中识别目的地的示例操作。图5图示了根据本公开的某些实施例的用于在虚拟网络中处理网络流量的示例操作。图6A-6B图示了以一虚拟机为目的地、基于流量目的地规则被重定向或跨越到服务虚拟机的示例分组。具体实施方式概述本公开的某些实施例给出了用于在虚拟化服务器上识别目的地和管理流量流的方法。具体地,为了为被虚拟交换机接收并以逻辑连接到该虚拟交换机的虚拟机为目的地的流量规定网络策略,例如网络重定向或跨越策略。这里描述的一个实施例记载了一种方法。该方法一般可包括向在容宿多个虚拟机实例的计算机服务器上执行的虚拟交换机上的第一端口群组指派端口简档(port profile).该端口简档可包括网络流量目的地规则。该方法还可包括将每个虚拟机实例上的虚拟网络接口连接到第一端口群组中的端口并且基于流量目的地规则来转发寻址到虚拟网络接口之一的网络流量。在特定实施例中,流量目的地规则是规定将寻址到第一端口群组中的虚拟网络接口之一的网络流量重定向到第二端口群组中的活动端口的重定向规则。在另一实施例中,流量目的地规则是规定将寻址到第一端口群组中的虚拟网络接口之一的网络流量拷贝到第二端口群组中的活动端口的跨越规则。当然,端口简档可包括多个流量目的地规则,其中 包括跨越、重定向(和/或其他规则)。例如,端口简档可包括将选择性流量发送到适当的服务VM的一个或多个重定向规则。此外,第二端口群组中的活动端口可将虚拟交换机连接到为与第一端口群组中的端口相连的多个虚拟机实例提供诸如防火墙服务、入侵防止系统(IPS)、入侵检测系统(IDS)或网络流量监视服务之类的网络服务的虚拟机实例。对示例实施例的描述这里描述的实施例提供了用于将诸如重定向或跨越之类的网络策略的目的地规定为端口的逻辑集合(即,属于端口简档或端口群组的端口)的技术,其中端口集合的成员可被动态地添加/去除,而不要求对网络策略的任何改变。另外,网络管理员(或其他用户)甚至在目的地中的一些或全部在给定的虚拟化系统上活动之前就可为网络策略预定义目的地。在这样的情况下,网络策略可在所需的实体变得可用时生效。某些实施例提供了虚拟环境中的实体从一个模块移动到另一个的灵活性,同时通过动态地适应于变化而尊重了支配实体的网络策略。这可包括实时重新确定流量的流的方向或者识别附近的目的地。例如,如果网络策略将以一服务器上的虚拟机为目的地的流量重定向到同一服务器上的SVM,那么当该虚拟机移动到新服务器时,流量应当被重定向到新服务器上的而不是旧服务器上的SVM。所提出的方法大大简化了网络策略的定义和部署。给出以下描述来使得本领域的普通技术人员能够做出和使用所提出的技术。对具体实施例和应用的描述只是作为示例提供的并且本领域技术人员将容易清楚各种修改。这里描述的一般原理可应用到其他实施例和应用,而不脱离本公开的范围。从而,本公开不限于所示出的实施例,而是应符合与这里描述的原理和特征一致的最宽范围。出于清晰目的,没有详细描述涉及与所提出的构思相关的
中已知的技术素材的特征。虚拟化通过在多个系统间共享单个计算机的资源来使得一个计算机可以做多个计算机的工作。软件可用于虚拟化计算机的硬件资源,例如包括中央处理单元(CPU)、随机访问存储器(RAM)、硬盘和网络控制器,以创建能够运行其自己的操作系统和应用的虚拟机。多个虚拟机可共享硬件资源,而不彼此干扰,使得若干个操作系统和应用可同时在单个计算机上运行。虚拟机例如可用在虚拟基础设施中来动态地将物理资源映射到业务需求。虚拟化从而使得能够将多个服务器、存储基础设施和网络聚集成可根据需要被动态地交付给应用的共享资源。在虚拟环境中,虚拟交换机提供虚拟机接口和服务器上的物理接口之间的网络连通性。每个服务器可包括许多虚拟机,并且单个虚拟交换域可涵盖许多服务器。网络管理员通常配置虚拟交换机和虚拟交换机上的虚拟端口的连通性约束,而系统(服务器)管理员则配置虚拟机并识别虚拟机接口应当连接到的虚拟端口。对于某些实施例,不是用诸如端口名称、虚拟局域网(VLAN) ID、模块ID等等之类的标识符来标识网络策略中涉及的实体,而是可预定义“逻辑实体”。在这种情况下,网络策略可参考逻辑实体而不是与实体相关联的标识符(即利用端口号)。逻辑实体可表示多于一个实体。实体可静态地(例如通过管理性操作)或动态地(例如利用发现机制)成为逻辑实体的成员。由于多于一个实体可以是逻辑实体的成员,所以策略可定义网络策略是对逻辑实 子集和第二子集的多个成员(例如实体)。网络策略可仅对实体的第一子集有效。对于某些实施例,如果必要,属于逻辑实体的一组实体可按另一策略被排序以便进行顺次处理。逻辑实体例如可由端口简档名称来标识。端口简档提供用于为多个接口定义共同的配置策略(属性)集合的容器。端口简档与由网络管理员定义并在大量端口(称为端口群组)在虚拟化环境中上线时应用到这些端口的端口配置策略相关联。图I图示了可实现这里所描述的实施例的网络100的示例。为了简化,只示出了少量节点。网络100可被配置来用作数据中心或任何其他类型的网络。要理解,图I中所示的网络只是一个示例,并且这里描述的实施例可用在具有不同配置和类型的网络设备的网络中。图I中所示的网络100包括与服务器106和管理站102通信的物理交换机104。服务器10本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.04.16 US 12/762,210确定。权利要求1.一种方法,包括 向在容宿多个虚拟机实例的计算机服务器上执行的虚拟交换机上的第一端口群组指派端口简档,其中所述端口简档包括网络流量目的地规则; 将每个所述虚拟机实例上的虚拟网络接口连接到所述第一端口群组中的端口 ;以及 基于所述流量目的地规则来转发寻址到所述虚拟网络接口之一的网络流量。2.如权利要求I所述的方法,其中,所述流量目的地规则是规定将寻址到所述第一端口群组中的虚拟网络接口之一的网络流量重定向到第二端口群组中的活动端口的重定向规则。3.如权利要求2所述的方法,其中,所述第二端口群组中的活动端口将所述虚拟交换机连接到为与所述第一端口群组中的端口相连的所述多个虚拟机实例提供防火墙服务、入侵防止系统(IPS)中的至少一个的虚拟机实例。4.如权利要求I所述的方法,其中,所述流量目的地规则是规定将寻址到所述第一端口群组中的虚拟网络接口之一的网络流量拷贝到第二端口群组中的活动端口的跨越规则。5.如权利要求4所述的方法,其中,所述第二端口群组中的活动端口将所述虚拟交换机连接到为与所述第一端口群组中的端口相连的所述多个虚拟机实例提供防火墙服务、入侵检测系统(IPS)和网络流量监视服务中的至少一个的虚拟机实例。6.如权利要求I所述的方法,还包括 在所述虚拟交换机处接收寻址到所述第一端口群组中的虚拟网络接口之一的帧; 识别与所述第一端口群组相关联的端口简档中的所述网络流量目的地规则;以及 由所述虚拟交换机基于所述流量目的地规则来转发寻址到该虚拟网络接口的帧。7.如权利要求I所述的方法,还包括 将所述虚拟机实例之一从所述计算机服务器迁移到第二计算机服务器; 将被迁移的虚拟机实例上的虚拟网络接口连接到所述第二计算机服务器上的虚拟交换机上的端口群组;以及 基于与所述第二计算机服务器上的虚拟交换机上的端口群组相关联的第二流量目的地规则来转发寻址到被迁移的虚拟网络接口的网络流量。8.一种计算系统,包括 处理器;以及 存储器,包含被配置来为所述计算系统上的多个虚拟机实例提供虚拟交换机的虚拟化程序,该程序当在所述处理器上被执行时执行操作,所述操作包括 向在所述计算系统上执行的虚拟交换机上的第一端口群组指派端口简档,其中所述计...
【专利技术属性】
技术研发人员:乌达亚库马·西尼瓦萨恩,斯里尼瓦斯·萨德,约瑟夫·麦克萨米·斯万弥那萨,艾史温·迪帕克·斯万弥那萨,
申请(专利权)人:思科技术公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。