提供了一种用于将虚拟化的网关功能分布到物理网络中的多个节点的计算机化的方法、系统和计算机可读介质。最初,提供执行网关功能的驱动程序来与在网络节点上实例化的端点合作,同时实现目录服务以维护虚拟因特网协议(IP)地址和位置依赖地址之间的映射,以及列举根据连接网络中端点的已知路径的变换动作的表。在操作中,目录服务用适当的位置依赖地址(利用映射)和适当的变换动作(利用表)回复来自驱动程序的请求(携带数据分组的源和目的地IP地址)。变换动作包括重写数据分组的报头以包括位置依赖地址,将数据分组封装为各个外部数据分组内的内部数据分组,或者用隧道协议配置数据分组。
【技术实现步骤摘要】
【国外来华专利技术】分布式虚拟网络网关
技术介绍
大规模联网系统是在用于运行服务应用和维护数据以用于商务和操作功能的各种设定中使用的常见平台。例如,数据中心(例如物理云计算基础设施)可以同时为多个顾客提供多种服务(例如web应用、电子邮件服务、搜索引擎服务等等)。这些大规模联网系统通常包括遍及该数据中心分布的大量资源,其中每个资源都类似物理机或在物理主机上运行的虚拟机(VM)。在数据中心托管多个承租者(例如,顾客程序)时,这些资源被从该数据中心分配给不同的承租者以满足它们的使用需求。分配给承租者的资源的集合可被分组到逻辑或虚拟子网中,以便于管理和安全隔离。数据中心的顾客常常需要运行在企业私有网络(例如由地理上远离该数据中心的顾客管理的服务器)或其它第三方网络中的服务应用与运行在该数据中心中的资源上的软件交互。为了在将分配给承租者的资源安全地与分配给其它承租者的资源分离的同时实现该交互,托管服务提供者可采用单个、集中的路由机构来用作属于虚拟子网中的承租者的所有机器、或者由主机系统管理程序管理的资源和承租人的远程资源之间的网络网关。然而,采用集中路由机构的该体系结构是低效的,因为操作取决于机构与其所服务的机器/资源的物理邻近度。例如,如果机器/资源位于数据中心的不同部分或者不同位置(例如,跨数据中心和企业私有网络),则至少一些机器/资源在驱动程序正在被其它机器/资源使用时将面对较高的等待时间和较低的带宽连接。因此,集中的路由机构成为进入和退出特定虚拟子网的通信的常见拥塞点。此外,机器/资源在被限于通过该集中路由机构传递所有通信时将被迫在次最佳路线上发送数据分组。如此,采用新兴技术通过将驱动程序嵌入物理机(结合入本地机器网络栈)或虚拟机(结合入虚拟交换机网络栈)中来遍及数据中心分布虚拟网络网关或驱动程序将通过发现并利用最佳网络路径来增强数据分组的发送,通过分布网关功能来减少网络拥塞,并且用于进一步隔离数据中心顾客的通信。
技术实现思路
提供本
技术实现思路
是为了以简化的形式介绍将在以下具体实施方式中进一步描述的概念。本
技术实现思路
并非旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。本专利技术的实施例提供一种解决上述问题的分布式虚拟网络网关的体系结构。这些网关可采取驱动程序的形式,可通过将这些驱动程序嵌入物理机(结合入本地机器网络栈)或虚拟机(结合入虚拟交换机网络栈)中来遍及数据中心提供这些驱动程序。如以下将要详细描述的,驱动程序通过发现并利用最佳网络路径来增强数据分组的发送,通过分布网关功能来减少网络拥塞,并且用于进一步隔离数据中心顾客的通信。此外,驱动程序保护在云计算平台中运行的顾客的服务应用的完整性,该云计算平台被配置成允许多个承租者(例如,每个云几万个)共享云服务数据中心中的计算资源。通常,驱动程序支持选择分配给服务应用的端点之间的通信的最合适格式和路径,同时将所分配的网络适配器与数据中心中的其它资源虚拟地分割。作为说明,端点可包括在虚拟机(VM)和/或物理机上实例化的网络适配器。为了实现对通信中数据分组的格式和路径的选择,在各个实施例中,驱动程序伸展至目录服务,该目录服务帮助驱动程序针对其各个源和目的地端点作出路由决策。基于从目录服务返回的信息,驱动程序用于适当地管理来自该驱动程序的数据分组的路由,并同时通过适当地变换数据分组来防止未经授权的通信。在示例性实施例中,驱动程序用于将虚拟化的网关功能分散到物理网络中节点的多个虚拟化的端点。最初,提供驱动程序以与在网络节点上实例化的端点合作。此外,实现目录服务以维护虚拟网络协议(IP)地址与位置依赖地址之间的映射,以及列举根据连接网络中端点的已知路径的变换动作的表。每个驱动程序在从中心位置处的驱动程序移开时能够与目录服务通信,或者在结合入驱动程序内部时能够本地地访问目录服务。在操作中,链接到特定驱动程序的接收者端点可接收一个或多个数据分组。驱动程序可读取数据分组的报头以查明源IP地址和目的地IP地址。驱动程序可进一步将源IP地址和目的地IP地址封装在对路由信息的请求中,并将该请求传送到内部的或外部的目录服务。目录服务可通过用源IP地址和目的地IP地址检查映射来用转发路径的适当的位置依赖地址回复来自驱动程序的请求。此外,目录服务可通过用转发路径检查表来用适当的变换动作回复该请求。变换动作可包括以下的一个或多个:重写数据分组的报头以包括位置依赖地址;将数据分组封装为各个外部数据分组内的内部数据分组,各个外部数据分组被结构化为具有携带位置依赖地址的报头;或者用隧道协议配置数据分组(例如,根据数据中心的安全策略或顾客建立的服务模型)。一旦在驱动程序处接收到路由信息,驱动程序就可将转发路径和变换动作传递到接收者端点。进而,接收者端点在从中发送数据分组时实现转发路径并应用变换动作。在其它实施例中,驱动程序可直接对数据分组执行适当的变换动作,而不是依赖于端点(例如,接收者端点)来执行该功能。因此,一旦驱动程序和目录服务协同动作以做出明达的路由决策,可向链接到驱动程序的接收者端点提供网络路径的最佳选择,由此减少网络拥塞,以及合适的变换动作,由此实施数据中心外部的传输的隔离。附图简要说明以下参考附图详细描述本专利技术的实施例,附图中:图1是适用于实现本专利技术的实施例的示例性计算环境的框图;图2是示出适用于实现本专利技术的各实施例的、被配置为提供并且便于数据中心内的驱动程序的操作的示例性云计算平台的框图;图3是根据本专利技术的实施例的将虚拟网络地址解析成物理网络路径和变换动作的示例性体系结构的示意图;图4是根据本专利技术的实施例的用于将目录服务分发的路由信息应用于路由决策的示例性决策树的示意图;以及图5是示出根据本专利技术的实施例的用于响应于来自驱动程序的请求来标识适当的物理网络路径和变换动作的方法的流程图。具体实施方式此处用细节来描述本专利技术的各实施例的所针对的以满足法定要求。然而,该描述本身并非旨在限制本专利的范围。相反,专利技术人设想所要求保护的所针对的还可结合其他当前或未来技术按照其他方式来具体化,以包括不同的步骤或类似于本文中所描述的步骤的步骤组合。此外,尽管术语“步骤”和/或“框”可在此处用于指示所采用的方法的不同元素,但除非而且仅当明确描述了各个步骤的顺序时,该术语不应被解释为意味着此处公开的各个步骤之中或之间的任何特定顺序。本专利技术的实施例涉及在以本地化方式提供虚拟化网关功能的分布式驱动程序处做出明达的路由决策的方法、计算机系统和计算机可读介质。在一方面,本专利技术的实施例涉及一个或多个其上包含计算机可执行指令的计算机可读介质,这些计算机可执行指令在被执行时执行一种用于管理端点之间数据分组的分布的方法。在诸实施例中,该方法包括在第一端点处检测一个或多个数据分组的步骤。通常,每个数据分组包括报头,该报头包括源地址和目的地地址。与第一端点相关联的驱动程序可发送请求到目录服务。在示例性实施例中,请求携带源地址和目的地地址,或者它们的某些标记。一旦接收到请求,目录服务就执行查找以将源地址和目的地地址转换成转发路径和变换动作。转发路径和变换动作可在响应中从目录服务发送到驱动程序。然而,驱动程序和/或端点也维护丢弃与始发、接收者端点和目标端点相关的目录服务中的规则不匹配的一个或多个数据分组的能本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.06.22 US 12/820,8961.一种用于管理端点之间数据分组的分布的方法,所述方法包括:在第一端点处检测一个或多个数据分组,其中所述一个或多个数据分组中的每一个包括报头,所述报头包括源地址和目的地地址;将携带所述源地址和所述目的地地址的请求发送到目录服务;从所述目录服务接收携带转发路径的响应;执行路由决策以导致变换动作的一个或多个,所述变换动作包括基于所接收的转发路径重新寻址所述一个或多个数据分组,其中基于所接收的转发路径重新寻址所述一个或多个数据分组包括将所述一个或多个数据分组封装为各个外部数据分组内的内部数据分组,其中所述外部数据分组各自包括展示物理网络的位置依赖地址的报头;以及基于所接收的转发路径将所述一个或多个重新寻址的数据分组发送到第二端点。2.如权利要求1所述的方法,其特征在于,所述方法还包括从所述目录服务接收携带所述变换动作的响应。3.如权利要求2所述的方法,其特征在于,执行路由决策还包括基于所接收的变换动作来变换所述一个或多个数据分组。4.如权利要求3所述的方法,其特征在于,变换所述一个或多个数据分组在访问顾客建立的服务模型并且确定所述服务模型指示提供保护层来保护所述第一端点和所述第二端点之间的连接时发生。5.如权利要求1所述的方法,其特征在于,所述第一端点表示发出所述一个或多个数据分组的端点,并且所述第二端点表示所述一个或多个重新寻址的数据分组的报头的目标端点。6.如权利要求1所述的方法,其特征在于,基于所述转发路径重新寻址所述一个或多个数据分组包括:去除所述一个或多个数据分组的所述报头内的所述源地址和所述目的地地址;以及用物理网络的各个位置依赖地址替换所述源地址和目的地地址。7.如权利要求6所述的方法,其特征在于,替换所述源地址和目的地地址在标识出所述第一端点和所述第二端点驻留在公共数据中心中时并且在标识出所述源地址和所述目的地地址属于公共虚拟空间时发生。8.如权利要求1所述的方法,其特征在于,封装所述一个或多个数据分组在确定在去除所述源地址和所述目的地地址的情况下所述第二端点不能转换所述一个或多个数据分组的所述报头时发生。9.如权利要求1所述的方法,其特征在于,每当所述第一端点建立用于发送数据分组的连接时,驱动程序执行路由决策。10.如权利要求9所述的方法,其特征在于,所述驱动程序包括路由组件,所述路由组件被配置成接受所述一个或多个数据分组并从所述一个或多个数据分组的所述报头中读取所述源地址和所述目的地地址,并且所述驱动程序被配置成在所述第一端点建立与所述第二端点的连接时将所述源地址和目的地地址传送到所述目录服务。11.一种用于支持并且隔离端点之间的通信的计算机系统,所述计算机系统包括:目录服务,其维护虚拟因特网协议(IP)地址和物理网络的位置依赖地址之间的映射;第一端点,...
【专利技术属性】
技术研发人员:H·阿尔卡特比,G·奥特海德,
申请(专利权)人:微软公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。