具有中间盒的网络架构制造技术

技术编号:10238022 阅读:182 留言:0更新日期:2014-07-19 03:18
本发明专利技术提供一种用于实现包括由一组逻辑转发元件连接的一组终端机、第一逻辑中间盒以及第二逻辑中间盒的逻辑网络的系统。所述系统包括一组节点。若干节点中的每一个包括:(i)用于所述实现逻辑网络的终端机的虚拟机,(ii)用于实现所述逻辑网络的一组逻辑转发元件的受管理交换元件,以及(iii)用于实现所述逻辑网络的第一逻辑中间盒的中间盒元件。所述系统包括用于实现所述第二逻辑中间盒的物理中间盒设备。

【技术实现步骤摘要】
【国外来华专利技术】【专利摘要】本专利技术提供一种用于实现包括由一组逻辑转发元件连接的一组终端机、第一逻辑中间盒以及第二逻辑中间盒的逻辑网络的系统。所述系统包括一组节点。若干节点中的每一个包括:(i)用于所述实现逻辑网络的终端机的虚拟机,(ii)用于实现所述逻辑网络的一组逻辑转发元件的受管理交换元件,以及(iii)用于实现所述逻辑网络的第一逻辑中间盒的中间盒元件。所述系统包括用于实现所述第二逻辑中间盒的物理中间盒设备。【专利说明】具有中间盒的网络架构
技术介绍
许多当前的企业具有大型且复杂的网络,其包括交换机、集线器、路由器、中间盒(例如,防火墙、负载均衡器、源网络地址转换等)、服务器、工作站、以及支持各种连接、应用和系统的其它联网装置。计算机网络增加的复杂性,包括虚拟机迁移、动态工作负载、多租户、以及客户特定的服务质量和安全配置需要更好的范式以用于网络控制。网络传统地已通过单个网络组件的低级配置来管理。网络配置通常取决于底层网络:例如,利用访问控制列表(“ACL”)条目阻止用户的访问需要知道用户的当前IP地址。更复杂的任务需要更广泛的网络知识:迫使访客用户的端口 80业务(traffic)穿越HTTP代理需要知道当前的网络拓扑和每个访客的位置。在网络交换元件在多用户之间共享的情况下,该处理具有增加的难度。作为响应,存在朝向被称为软件定义网络(SDN)的新的网络控制范式的日渐发展。在SDN范式中,在网络中的一个或多个服务器上运行的网络控制器以每用户为基础控制、维护并且实现对共享的网络交换元件的转发行为进行管控的控制逻辑。做出网络管理决策通常需要了解网络状态。为了便于做出管理决策,网络控制器创建并且维护网络状态的视图,并且提供管理应用可以访问网络状态的视图的应用程序接口。维护大型网络(包括数据中心和企业网络两者)的主要目标中的一些是可扩展性、移动性和多租户。处理这些目标中的一个所采用的许多方法导致阻碍其它目标中的至少一个。例如,可以容易地在L2域内为虚拟机提供网络移动性,但是L2域不能扩展到大的尺寸。此外,保持用户隔离极大地使移动性复杂化。这样,需要可以满足可扩展性、移动性和多租户目标的改进的解决方案。
技术实现思路
一些实施例提供一种系统,该系统允许用户指定包括一个或多个中间盒(例如,防火墙、负载均衡器、网络地址转换器、入侵检测系统(IDS)、广域网(WAN)优化器等)的逻辑网络。该系统通过在许多受管理交换元件上分布逻辑转发元件(例如,逻辑交换机、逻辑路由器等)来实现逻辑网络,所述许多受管理交换元件在也托管逻辑网络的虚拟机的许多物理机器上操作。在实现这样的逻辑网络时,一些实施例的系统以不同的方式实现不同的中间盒。例如,系统可以以分布式的方式实现第一中间盒(例如,该中间盒在与受管理交换元件一起也在物理机器上操作的许多受管理中间盒元件上实现),并且以集中式的方式实现第二中间盒(例如,作为单个设备或虚拟机,作为集群)。在一些实施例中,关于是以分布式的方式还是以集中式的方式实现特定的中间盒的确定基于当中间盒为分布式时不同的中间盒元件之间的状态共享要求。在一些实施例中,逻辑中间盒在物理网络中的可能实现的范围从完全分布式的中间盒到完全集中式的中间盒变动,其中在沿着这样的范围的不同点处实现不同的中间盒。另外,可以以集中式或分布式两种方式(包括在同一受管理逻辑网络内)实现单个类型的中间盒。例如,用户可能想要用于对从外部网络传入的所有业务进行过滤的第一防火墙以及用于对逻辑网络的不同子网之间的业务进行过滤的第二防火墙。在一些情况下,最好的解决方案可以是将第一防火墙实现为向其转发所有外部传入的业务的单个设备,同时以分布式的方式在托管逻辑网络的虚拟机的所有物理机器上实现第二防火墙。所述范围的一端是完全分布式的中间盒架构。在这种情况下,在许多节点(物理主机)上实现中间盒。在一些实施例中,物理主机中的每一个托管含有逻辑中间盒的逻辑网络中的至少一个虚拟机。另外,受管理交换元件在主机的每一个上运行,以便实现逻辑网络的逻辑转发元件。因为特定的物理主机可以托管多于一个的逻辑网络(例如,属于不同的租户)中的虚拟机,所以在主机上运行的分布式中间盒和受管理交换元件都可以被虚拟化,以便实现来自不同逻辑网络的中间盒和逻辑转发元件。在一些实施例中,当中间盒实例之间需要最少的状态共享(或者根本没有状态共享)时,可以以这样的分布式方式实现中间盒。至少一些类型的中间盒是有状态的,因为它们建立用于机器之间(例如,网络中的两个虚拟机之间、网络中的虚拟机与外部机器之间等)的连接的状态。在一些实施例中,中间盒建立用于每个传输层连接(例如,TCP连接、UDP连接)的状态。在一些实施例的分布式情况下,在特定主机处操作的中间盒元件创建用于通过它的传输连接的状态,但是不需要与在其它主机上操作的其它中间盒元件共享这些状态。当状态仅应用于托管在特定主机上的虚拟机,并且中间盒不需要使用对于其它虚拟机建立的状态信息来执行任何分析时,那么中间盒可以是分布式的。这样的中间盒的示例包括源网络地址转换(S-NAT)、目的地网络地址转换(D-NAT)、以及防火墙。另外,一些实施例允许分布具有最少水平的状态共享的中间盒。例如,负载均衡器可以查询它们对业务进行均衡的机器以确定发送到机器中的每一个的业务的当前水平,然后将此分发给其它的负载均衡器。然而,每个负载均衡元件可以独自运行负载均衡算法,并且以定期的时间间隔执行查询,而不是每次分组被路由到虚拟机中的一个或者每次与虚拟机中的一个建立传输(例如,TCP、UDP等)连接就与每一个其它的负载均衡元件共享状态信息。范围的另一侧是完全集中式的中间盒实现。在这样的集中式实现中,主机中的受管理交换元件将中间盒要处理的所有业务发送到同一中间盒设备。该单个中间盒可以是在其自己的主机上(或者在与网络中的虚拟机中的一个相同的主机中)在物理网络内操作的单独的物理机器或单独的虚拟机。当受管理交换元件识别分组应被发送到中间盒时,该交换元件通过物理网络将该分组发送到中间盒(例如,经由隧道)。中间盒对该分组进行处理,然后将分组(实际上新的分组)发送到另一个受管理交换元件以进行处理(例如,池节点)。当分布式中间盒将需要数据层速度的分组共享时,一些实施例使用这样的集中式中间盒。也就是说,对于中间盒元件处理的每个业务分组,该元件将必须利用源于分组处理的状态变化来更新所有其它的中间盒实例。因此,通过中间盒的每个业务分组将导致附加业务的暴增,以便更新所有其它的中间盒实例。这样的中间盒的示例包括IDS和WAN优化器。例如,为了适当地对入侵进行监视,IDS处理需要知道网络内的所有连接。这样,如果IDS是分布式的,则将必须对于分布式IDS元件处理的每一个分组发送新的状态更新。作为第三选择,一些实施例对于一些中间盒使用集群架构,该集群架构类似于完全集中式的架构,除了该集群充当集中式资源池,而不是单个的物理机器之外。在一些实施例中,当使用中间盒的一个网络(或多个网络)较大并且单个设备可能不具有足够的资源(例如,存储器、处理能力等)以处理较大的部署时,中间盒集群(例如,IDS盒的集群)可能是有益的。然而,当集群是需要了解所有状态信息的中间盒时,那么该状态信息将在集群中的各个机器之间共享。在一些实施例中,当本文档来自技高网
...
具有中间盒的网络架构

【技术保护点】
一种用于在包括多个节点的托管系统中配置逻辑网络的方法,所述逻辑网络包括第一中间盒和第二中间盒,所述方法包括:接收对于所述第一中间盒的第一配置和对于所述第二中间盒的第二配置;识别用于实现所述第一中间盒的多个节点;分发用于在所识别的节点上实现的所述第一配置;以及分发用于在单个物理机器上实现的所述第二配置。

【技术特征摘要】
【国外来华专利技术】...

【专利技术属性】
技术研发人员:T·考珀内恩张荣华P·萨卡尔M·卡萨多
申请(专利权)人:NICIRA股份有限公司
类型:发明
国别省市:美国;US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1