用于在啟用openflow的云計算中使用mpls時分離租戶特定數(shù)據(jù)的裝置和方法
【專利說明】用于在啟用OPENFLOW的云計算中使用MPLS時分離租戶特 定數(shù)據(jù)的裝置和方法
[0001] 相關(guān)申請的交叉引用 該部分接續(xù)申請要求2011年9月30日提交的美國專利申請13/251,107和2012年11 月27日提交的美國臨時申請61/730, 394的權(quán)益��,兩者通過引用合并于此�。
技術(shù)領(lǐng)域
[0002] 本發(fā)明的實施例涉及云計算領(lǐng)域;并且更具體地�,涉及云計算中的虛擬專用網(wǎng)隔 離。
【背景技術(shù)】
[0003] 大型公司很多年來一直專注于它們在數(shù)據(jù)中心中的計算資源����。該趨勢隨著服務器 虛擬化技術(shù)變得越來越普遍而在過去幾年加速。因為數(shù)據(jù)中心變得更大���,一些數(shù)據(jù)中心運 營商開始向外部客戶提供計算����、存儲和網(wǎng)絡通信資源。提供的服務典型地由彈性���、按需處 理存儲組成��,其對于多數(shù)實用目的而言僅受到客戶支付能力和進入互聯(lián)網(wǎng)的網(wǎng)絡帶寬的限 制����。該開發(fā)叫作云計算��。
[0004] 服務器虛擬化技術(shù)允許將服務器池作為基本上一個大的計算機資源來管理�����。叫作 管理程序的軟件層位于操作系統(tǒng)與硬件之間����。該管理程序調(diào)度虛擬機("VM")在虛擬化服 務器上的執(zhí)行。VM是封裝有一些應用的操作系統(tǒng)圖像����。管理程序允許暫停VM并且使其在 服務器之間移動到負載平衡。用于捕捉崩潰的VM執(zhí)行的負載平衡和監(jiān)視對用高得多的專 業(yè)解決方案成本實現(xiàn)的企業(yè)應用提供相同種類的容錯和可標度性服務���。云管理器系統(tǒng)監(jiān)管 VM的執(zhí)行�����;調(diào)度執(zhí)行來滿足需求��、優(yōu)化服務器利用并且使功耗最小化�。云執(zhí)行管理器可以 調(diào)度執(zhí)行以允許硬件和軟件的服務中升級而不影響正在進行中的服務預備。
[0005] 為了支持VM在機器之間的任意移動����,數(shù)據(jù)中心內(nèi)的聯(lián)網(wǎng)也必須虛擬化�����。大部分云 現(xiàn)今通過使虛擬交換機并入管理程序而使網(wǎng)絡虛擬化���。虛擬交換機向在管理程序的控制下 執(zhí)行的VM提供虛擬網(wǎng)絡端口����。虛擬交換機軟件還允許網(wǎng)絡資源采用與服務器資源如何被 管理程序虛擬化相似的方式虛擬化��。管理程序和虛擬交換機由此可以合作以允許VM在服 務器之間移動�。在管理程序使VM移動時��,它關(guān)于新的位點來與虛擬交換機通信����,并且虛擬 交換機確保對于VM地址(層2媒體訪問控制("MAC")地址���,潛在地也是互聯(lián)網(wǎng)協(xié)議("IP") 地址)的網(wǎng)絡路由表被升級���,因此包被路由到新的位點。
[0006] 許多云計算設(shè)施僅支持Web服務應用��。Web服務應用由負載平衡前端組成���,其向 Web服務器池派發(fā)請求���。這些請求在概念上源自互聯(lián)網(wǎng)上的應用并且因此安全性和隱私要 求比私人企業(yè)網(wǎng)中的應用要寬松。較新的趨勢是安全多租戶����,其中云提供商提供虛擬專用 網(wǎng)("VPN"),像在云外部的客戶端的分布式辦公網(wǎng)絡與云內(nèi)的VPN之間的連接�。這允許在云 內(nèi)的客戶端應用在與企業(yè)廣域網(wǎng)("WAN")類似的網(wǎng)絡環(huán)境中運作。對于其中僅對擁有數(shù)據(jù) 中心的企業(yè)內(nèi)的客戶提供服務的私有數(shù)據(jù)中心�,對于多租戶的安全性和隱私要求放寬��。對 于公共數(shù)據(jù)中心���,云運營商必須確保來自多個租戶的業(yè)務被隔離并且沒有業(yè)務從一個客戶 端到達另一個的可能性。在任一情況下����,云計算設(shè)施趨于使用MAC層虛擬局域網(wǎng)("VLAN") 來實現(xiàn)云計算機網(wǎng)絡。
[0007] 例如���,可以對兩個不同的外部企業(yè)客戶設(shè)置兩個虛擬私有云("VPC")�����。VPC由VM的 集合��、存儲和向云中的企業(yè)租賃空間提供安全多租戶的聯(lián)網(wǎng)資源組成。企業(yè)客戶經(jīng)由VPN 通過在公共運營商網(wǎng)絡上運行的互聯(lián)網(wǎng)而連接到VPC內(nèi)�。
[0008] 為了向VPC添加新的服務實例(新的VM),云執(zhí)行管理器使VM初始化以在虛擬化服 務器上的管理程序上運行��。虛擬化服務器上的虛擬交換機配置成在VLAN中包括VM�����,該VLAN 是對于添加新VM的企業(yè)的VPN的部分。在一些情況下��,對于新的服務升級虛擬客戶邊緣路 由器并且用新的服務升級云計算設(shè)施中的供應商邊緣路由器���。
[0009] 為了提供VPN��,云計算設(shè)施實現(xiàn)三個解決方案中的一個����。首先�����,每個租戶接收獨立 VLAN片���。其次���,租戶VPN使用IP封裝來實現(xiàn)。第三����,租戶VPN使用MAC地址封裝來實現(xiàn)。 這些解決方案中的每個面臨不足�。
[0010] 如果云使用VLAN隔離���,每個租戶被分配獨立VLAN標簽并且云網(wǎng)絡作為平面層2 網(wǎng)絡運行。VLAN標簽具有12個位���,因此如果云運營商使用VLAN隔離�,租戶的數(shù)量限制在 4096����。該極限提供主要限制。
[0011]VLAN隔離的另一個問題是標準區(qū)域聯(lián)網(wǎng)(例如�,LAN、WAN�、MAN;電氣和電子工程師 協(xié)會("IEEE")802. 1)交換使用生成樹協(xié)議("STP")來設(shè)置路由。為了去除路由環(huán)的可能 性����,STP在源地址與目的地址之間指定一個并且僅僅一個路徑,而不管是否存在多個路由�����。 這在生成樹協(xié)議遭受業(yè)務壓力并且忽略備選路由時可以導致交換結(jié)構(gòu)的擁擠和利用不足�。
[0012] 利用IP封裝�,云作為路由IP網(wǎng)絡運行并且IP隧道用于隔離租戶業(yè)務�。來自租戶 的業(yè)務被封裝在IP包(典型地使用通用路由封裝"GRE")中����,其中隧道的端點是VM運行所 在的源和目的虛擬化服務器上的源和目的虛擬交換機。
[0013]IP封裝允許客戶端通過將以太網(wǎng)幀封裝在層2隧道協(xié)議("L2TP")中而定義在頂 部的任意層2服務�。它還允許有大量租戶,其僅受云范圍內(nèi)IP地址空間的約束���。租戶還可 以在IP隧道頂部部署它們自己的IP地址空間���。然而,在沒有其他度量的情況下��,IP路由 還選擇單個路由并且因此忽略多徑路由��,從而導致不必要的擁擠�。云路由可以利用等價多 徑以在多個鏈路上散布包但以額外配置復雜性為代價。
[0014] 一般�,配置IP路由網(wǎng)絡是耗時的并且路由器趨于成為比簡單交換機更昂貴的設(shè) 備。另外�,IP網(wǎng)絡具有有限手段來預備專用帶寬,這對于大的數(shù)據(jù)流可是必需的�����。
[0015] 利用MAC封裝,獨立租戶VPN作為封裝在MAC隧道內(nèi)部而運行����,這與IP封裝相似。 MAC隧道的端點典型地是VM運行所在的源和目的虛擬化服務器上的虛擬交換機�。
[0016]MAC封裝提供與通過VLAN隔離的IP封裝相似的益處,只是增加了云可以作為平 面層2網(wǎng)絡運行這一益處(如期望的話)���。缺點是對于MAC封裝存在很少對于信令協(xié)議的標 準(與IP不同)�����,并且盡管存在對于數(shù)據(jù)平面封裝的標準����,不在一些現(xiàn)有云管理軟件產(chǎn)品中 使用它們���。這要冒著不與某些類型的硬件一起工作的風險���。配置并且維持MAC封裝網(wǎng)絡也 比維持VLAN隔離網(wǎng)絡更復雜。
【發(fā)明內(nèi)容】
[0017] 本發(fā)明的實施例包括由云網(wǎng)絡管理器("CNM")執(zhí)行以管理云網(wǎng)絡中的多協(xié)議標 記交換("MPLS")流條目的方法�����。CNM耦合于第一虛擬化服務器�,用于托管一個或多個虛擬 機("VM"),其中該第一虛擬化服務器包括支持MPLS的第一虛擬交換機���,并且該第一虛擬交 換機耦合于支持MPLS的第一架頂式交換機("TORS")���。CNM接收第一通知消息,其中該第一 通知消息指示屬于特定租戶的第一VM已為了在第一虛擬化服務器上激活而調(diào)度���。響應于 接收第一通知消息�,CNM確定與第一VM關(guān)聯(lián)的第一VM媒體訪問控制("MAC")地址����。此外, CNM確定與第一虛擬交換機關(guān)聯(lián)的第一虛擬交換機MAC地址�����。CNM在地址映射表中記錄租 戶標識符�、第一VMMAC地址和第一虛擬交換機MAC地址之間的關(guān)聯(lián)。CNM進一步確定使第 一TORS與第一虛擬交換機關(guān)聯(lián)的第一MPLS標記�����,和識別租戶的租戶MPLS標記。CNM向第 一虛擬交換機發(fā)送第一流條目修改消息�����,其指示匹配第一MPLS標記��、租戶MPLS標記和第一 VMMAC地址匹配的數(shù)據(jù)包應在彈出租戶MPLS標記和第一MPLS標記后轉(zhuǎn)發(fā)到第一VM��。
[0018] 本發(fā)明的實施例包括用于管理多協(xié)議標記交換("MPLS")云網(wǎng)絡的系統(tǒng)����,其包括多 個架頂式交換機("^'(^一"乂多個虛擬化服務器^禹合于該多個虛擬化服務器的云執(zhí)行管理 器("CEM")和耦合于多個TORS的云網(wǎng)絡管理器("CNM")。
[0019] 多個虛擬化服務器每個耦合于多個TORS中的一個并且包括管理程序和虛擬交換 機���。該管理程序配置成執(zhí)行虛擬化服務器上的一個或多個虛擬機("VM")�����。虛擬交換機配置 成支持MPLS并且將數(shù)據(jù)包從一個或多個VM傳送到與該虛擬化服務器耦合的TORS�。
[0020]CEM耦合于多個虛擬化服務器�����。此外,CEM調(diào)度一個或多個VM的執(zhí)行���,每個VM要 在多個虛擬化服務器中的一個上執(zhí)行��。CEM進一步暫停一個或多個VM的執(zhí)行并且使一個或 多個VM的執(zhí)行從多個虛擬化服務器移到多個虛擬化服務器中的另一個。
[0021]CNM耦合于多個T0RS���、多個虛擬化服務器�,和CEM�。CNM從CEM接收第一通知消息, 其中該第一通知消息指示第一CM已為了在多個虛擬化服務器中的第一個上激活而調(diào)度��, 和租戶的標識符��。響應于第一通知消息��,CNM執(zhí)行下面�����。CNM確定與第一VM關(guān)聯(lián)的第一VM 媒體訪問控制("MAC")地址��。CNM確定與第一虛擬化服務器中的第一虛擬交換機關(guān)聯(lián)的第 一虛擬交換機MAC地址�����。CNM在地