基于减负装置的数据包处理的框架和接口制造方法及图纸

可在利用基于硬件的分割减负和其它这种功能的同时提供至和来自虚拟化环境的数据包的高速处理。硬件供应商(诸如网络接口卡(NIC)制造商)可使得硬件能结合诸如单根I/O虚拟化(SR‑IOV)的协议支持开放和专用的无状态隧道以实施虚拟化覆盖网络。硬件可利用各种规则，例如其可由所述NIC用于执行某些行动，诸如封装出口数据包和解封装数据包。

Frame and interface of packet processing based on load reduction device

The high-speed processing of packets and packets from the virtualized environment can be provided at the same time with the use of hardware based segmentation and other functions. Hardware vendors (such as a network interface card (NIC) manufacturer) can make the combination of hardware such as single I/O Virtualization (SR IOV) protocol support open and dedicated stateless tunnel to the implementation of virtual overlay network. The hardware can take advantage of various rules, such as that it can be used by the NIC to perform certain actions, such as encapsulation of an export packet and a package of packets.

【技术实现步骤摘要】
基于减负装置的数据包处理的框架和接口专利技术背景随着在诸如因特网的网络上可获得日益增多的应用程序和服务，越来越多的内容、应用程序和/或服务提供商转向多租户共享资源技术。例如，云计算可通过服务(诸如Web服务)为用户提供电子资源的访问权，其中用于支持所述服务的硬件和/或软件可动态伸缩以在任意给定时间满足服务的需求。用户通常将通过云租赁、租用或以其它方式支付资源访问权且因此无需购买和维护所需的硬件和/或软件。然而，这种访问权伴随着针对这些共享资源的提供商的风险，因为通常有多个用户在不同时间访问资源。在用户具有虚拟地址空间使得客户网络作为没有限制或不具有一个或多个附加物理网络的附加地址的的单个虚拟网络的情况下，可能需要提供有关这个虚拟地址空间的数据包的处理和路由。然而，当客户具有对装置的访问权时，对装置执行路由和处理可潜在地使得用户能够修改数据包的路由或其它此类处理。此外，出于诸如尺寸限制、协议限制等原因，这种功能无法轻易地移至未暴露给用户的许多现有硬件装置。附图简述将参考附图描述根据本公开的不同实施方案，其中：图1图示其中可实施不同实施方案的环境；图2图示可根据一个实施方案使用的用于提供对不同资源的访问权的环境；图3图示可根据一个实施方案使用的用于访问特定硬件资源的配置；图4图示可根据一个实施方案使用的数据包封装过程；图5图示可根据一个实施方案使用的用于处理数据包的配置；图6图示可根据不同实施方案使用的示例性数据包报头。图7图示可根据不同实施方案使用的用于处理数据包的第五过程的实例；图8图示可根据不同实施方案使用的用于处理数据包的第六过程的实例；和图9图示可根据不同实施方案使用的用于处理数据包的示例性流程。具体实施方式根据本公开的不同实施方案的系统和方法可克服在电子环境中管理资源的常规方法中经历的一个或多个上述和其它缺陷。根据不同实施方案的系统和方法提供第一地址空间(诸如客户或虚拟地址空间)与第二地址空间(诸如云网络提供商或物理地址空间)之间的数据包处理。诸如消费型装置(诸如各种网络减负装置)的分割和合并减负部件的部件可用于帮助减小与网络流量相关的开销，尤其当其与虚拟化环境相关时。例如，在于“2009年9月9日”申请的标题为“StatelessPacketSegmentationandProcessing”的共同待决的美国专利申请案第12/556,453号和于2010年9月17日申请的标题为“FrameworkforStatelessPacketTunneling”的申请案第12/885,258号中描述了提供分割和合并减负特征件的不同方法，每个申请案以引用的方法并入本文中。不同的实施方案使得减负装置能够结合诸如单根I/O虚拟化(SR-IOV)的协议支持开放和专有的无状态隧道以实施虚拟化覆盖网络。SR-IOV通常涉及一种互操作性的标准规范，其使得装置(诸如外围组件互连(PCI)装置)能表现为多个独立物理装置。SR-IOV利用物理功能(PF)和虚拟功能(VF)。物理功能通常是完整的功能而虚拟功能通常是可能缺少至少一些配置资源的更轻量性的功能。SR-IOV通常需要支持BIOS以及支持运行在硬件上的管理程序或操作系统。在至少一些实施方案中，减负装置(或这样一种装置的供应商或制造商)可提供用于数据包处理的特定功能。例如，基于Dom-0(即，零域，通常是在启动时由Xen管理程序起始的第一域)的实施方式可利用可由减负装置用于执行特定行动诸如封装出口数据包以及解封装入口数据包的不同规则。可基于源VM对每个出口数据包执行出口数据包源检查，包括验证源MAC地址和源IP地址。在一些实施方案中，减负装置可强制执行特定VLAN(虚拟局域网)标签或另外添加VLAN标签。在出口数据包源检查后，可针对现有规则列表匹配数据包。如果存在匹配，那么可对数据包采取相应的封装行动且数据包被相应地传输。如果不匹配，那么可将数据包发送至Dom-0控制软件以用于进一步处理。对于入口数据包，在特定实施方案中，数据包可识别为使用基于例如，预定义IP协议号和与L2报头末端具有预定义偏移的预定义一字节的特殊格式封装。这些值可各通过Dom-0配置。可将未封装的所有入口数据包递送至Dom-0。对于封装的入口数据包，可使用预定义长度的非透明位识别任意非透明位(位于紧接在外L3报头之后)。还可使用预定义偏移下的非透明位的一个字节字段将每个数据包进一步分类为属于特定虚拟机(VM)(例如，SR-IOV向量)。每个SR-IOV功能可配置有一组入口规则。每个规则可主要由将与封装的入口数据包的非透明位匹配的非透明位、外源IP地址、外目的地IP地址和源&目标MAC地址组成。当入口封装数据包与针对特定SR-IOV功能的入口规则之一匹配(即，非透明位匹配)时，数据包可被解封装(即，非透明位元被移除)，内IP报头的TTL递减达规则中指定的值且数据包被递送至对应于SR-IOV功能的VM。可将未匹配任意规则的入口数据包递送至Dom-0。在至少一些实施方案中，减负装置将针对可从Dom-0读取或重置的每个封装和解封装规则维持一个数据包计数和字节计数。不同实施方案还可提供将数据包从Dom-0注入SR-IOV功能的能力。某些实施方案可提供调试模式，其中每个数据包被强迫通过Dom-0，而不管生效的匹配规则。SR-IOV功能的最大传输单元(MTU)可从Dom-0设置，在至少一个实施方案中默认为1500。如果访客试图改变MTU大小，那么减负装置可确保所提出的MTU不超过由Dom-0设置的最大MTU。在一些实施方案中，减负装置还可执行连接跟踪，其可用于在减负装置上提供有状态防火墙实施方式。在至少一些实施方案中，可提供管理入口数据包和出口数据包两者的封装和解封装规则的Dom-0控制软件。例如，Dom-0控制软件可使用由减负装置以及底层ARP查询提供的数据包计数统计数据来管理底层网络的地址解析协议(ARP)缓存。Dom-0控制软件还可确定在减负装置不支持所需的所有规则的情况下哪些规定(若有)必须推行至减负装置以及哪些规则必须由Dom-0管理作为溢出规则。图1图示用于实施根据不同实施方案的方面的环境100的实例。将了解，虽然为了说明的目的使用基于Web的环境，但是可视情况使用不同环境以实施不同实施方案。所示的环境100包括测试或开发部分(或侧)和生产部分。电子客户端装置102可包括可操作以经由适当网络104发送及接收请求、消息或信息并且将信息传递回装置用户的任意适当装置。这种客户端装置的实例包括个人计算机、手机、手持消息传送装置、膝上型计算机、机顶盒、个人数据助理、电子书阅读器和类似装置。网络可包括任意适当网络，包括内联网、因特网、蜂窝网络、局域网或任意其它这种网络或其组合。用于这样一种系统的组件可至少部分取决于所选网络和/或环境的类型。用于经由这样一种网络通信的协议和组件是已知的并且将不在本文中详细说明。经由网络的通信可通过有线或无线连接和其组合实现。在本实例中，网络包括因特网，因为环境包括用于接收请求并且响应于此提供内容的Web服务器106，但是对于其它网络，如本领域的普通技术人员所知可使用服务类似目的的替代装置。说明性环境包括至少一个应用程序服务器108和多个资源、服务器、主机、实例、本文档来自技高网...

【技术保护点】
一种用于在多租户环境中处理多个数据包的框架，所述框架包括：至少一个处理器；以及存储器，其包括指令，当所述至少一个处理器执行所述指令时，所述指令促使所述至少一个处理器：配置至少一个减负装置采用一组规则来处理所述多个数据包；当所述至少一个减负装置无法同时存储所述一组规则中的所有规则时，管理用于所述至少一个减负装置的所述一组规则，同时所述至少一个减负装置存储所述一组规则中的至少一部分；至少部分地通过所述至少一个减负装置采用所述一组规则来处理所述多个数据包中的至少一个数据包，其中，处理所述至少一个数据包包括检查发送所述至少一个数据包的访客虚拟机的媒体访问控制地址或互联网协议地址。

【技术特征摘要】
2011.03.30 US 13/076,339;2011.03.30 US 13/076,3471.一种用于在多租户环境中处理多个数据包的框架，所述框架包括：至少一个处理器；以及存储器，其包括指令，当所述至少一个处理器执行所述指令时，所述指令促使所述至少一个处理器：配置至少一个减负装置采用一组规则来处理所述多个数据包；当所述至少一个减负装置无法同时存储所述一组规则中的所有规则时，管理用于所述至少一个减负装置的所述一组规则，同时所述至少一个减负装置存储所述一组规则中的至少一部分；至少部分地通过所述至少一个减负装置采用所述一组规则来处理所述多个数据包中的至少一个数据包，其中，处理所述至少一个数据包包括检查发送所述至少一个数据包的访客虚拟机的媒体访问控制地址或互联网协议地址。2.根据权利要求1所述的框架，其特征在于，管理用于所述至少一个减负装置的所述一组规则还包括：将所述一组规则中的第一子集加载进所述至少一个减负装置中，同时处理所述一组规则中的第二子集而无需所述至少一个减负装置。3.根据权利要求1所述的框架，其特征在于，处理所述多个数据包中的至少一个数据包包括：确定发送所述至少一个数据包的所述访客虚拟机的所述媒体访问控制地址或所述互联网协议地址是不正确的；以及丢弃所述至少一个数据包。4.根据权利要求1所述的框架，其特征在于，处理所述多个数据包中的至少一个数据包还包括：确定所述至少一个数据包是广播包或多播包中的至少一个；以及将所述至少一个数据包捕获在可信根域中，以便处理所述至少一个数据包。5.根据权利要求1所述的框架，其特征在于，处理所述多个数据包中的至少一个数据包还包括：确实所述至少一个数据包匹配用于将所述至少一个数据包转发至目的地的至少一个规则；获得描述由所述至少一个规则指引的至少一个隧道报头的数据，所述隧道报头指引所述目的地；将所述至少一个隧道报头插入所述至少一个数据包中；以及将所述至少一个数据包发送至所述目的地。6.一种用于在多租户环境中处理多个数据包的方法，所述方法包括：指示至少一个减负装置采用一组规则来处理所述数据包；当所述至少一个减负装置无法同时存储所述一组规则中的所有规则时，管理用于所述至少一个减负装置的所述一组规则；至少部分地通过所述至少一个减负装置采用所述一组规则处理所述多个数据包中的至少一个数据包，其中，处理所述至少一个数据包包括强制执行发送所述至少一个数据包的访客虚拟机的带宽节流约束或服务质量(QoS)约束。7.根据权利要求6所述的方法，其特征在于，处理至少一个数据包还包括：至少部分地根据所述至少一个数据包，更新一个或多个网络度量，所述一个或多个网络度量描述受到所述减负装置的作用的多个字节或受到所述减负装置的作用的多个数据包中的至少一个。8.根据权利要求6所述的方法，其特征在于，所述带宽节流约束或QoS约束至少部分地基于与所述访客虚拟机相对应的一个或...

【专利技术属性】
技术研发人员：普拉迪普·文森特，马修·D·克莱恩，塞缪尔·J·麦凯尔维，
申请(专利权)人：亚马逊技术公司，
类型：发明
国别省市：美国,US