背景技术
[0001] 本公开一般地涉及通信网络,并且更具体地涉及云计算(cloudcomputing)。
[0002] 企业
数据中心中的应用量和数据量不断增长。正提出云计算作为满足增长的需求的一种可能。云计算实现了对可通过最少的管理工作被快速提供和释放的可配置计算资源(例如网络、
服务器、
存储器、应用和服务)的共享池的网络
访问。
基础设施即服务(Infastructure as a service,IaaS)是已吸引了很多兴趣的云计算的一个领域。IaaS交付计算机基础设施(典型地为平台虚拟化环境)作为服务。客户不是购买服务器、
软件、数据中心空间或网络设备,而是购买这些资源作为外包服务。多数IaaS提供商不公开他们的基础设施是如何在内部被处理的,因为他们通常将其视为他们的竞争优势。因此,企业不能看到云内部的基础设施,并且不能保证安全性、可靠性或可见性。即使提供商公开了他们的内部操作是如何实现的,企业仍无法监视或检验基础设施。
附图说明
[0003] 图1示出可以实现这里所述的
实施例的网络的示例。
[0004] 图2是示出根据一个实施例将企业数据中心和图1的网络中的虚拟私有云数据中心相互连接的
虚拟交换机的示图。
[0005] 图3是示出根据一个实施例的图1的网络中的虚拟交换机的实现的示图。
[0006] 图4是示出根据一个实施例的位于图3的网络中的
虚拟机中的虚拟交换机的细节的示图。
[0007] 图5是示出根据一个实施例的用于实现用于云计算的虚拟交换
覆盖的过程的概要的
流程图。
[0008] 图6描绘在实现这里所述的实施例时有用的网络设备的示例。
[0009] 在所有这几个附图的视图中,相应的标号表示相应的部分。
具体实施方式
[0010] 概要
[0011] 在一个实施例中,一种方法一般包括在位于云网络中的网络设备中的虚拟交换机处接收数据。该数据是从外部网络接收的并且去往位于云网络中且与该外部网络相关联的一个或多个虚拟机。该方法进一步包括将该数据从虚拟交换机发送到虚拟机。虚拟交换机作为对于外部网络的接入层交换机而工作,并且为虚拟机与外部网络之间的安全通信创建虚拟交换覆盖。
[0012] 在另一个实施例中,逻辑被编码在一个或多个有形介质中来执行,并且当被执行时可操作用于在位于云网络中的虚拟机之间交换数据,转发数据到外部网络,为外部网络执行接入层交换操作,并且为虚拟机与外部网络之间的安全通信创建虚拟交换覆盖。
[0013] 示例实施例
[0014] 提出了以下说明以使本领域的普通技术人员能够作出并使用这些实施例。具体实施例和应用的说明仅作为示例而提供,各种
修改对于本领域的技术人员来说将容易变得清楚。这里说明的一般原理可以在不脱离实施例的范围的情况下被应用于其他应用。因此,这些实施例将不限于所述实施例,而是符合与这里所述的原理和特征相一致的最宽的范围。
[0015] 为了清晰的目的,与这些实施例相关的技术领域中已知的技术材料有关的特征没有进行详细说明。
[0016] 云计算是一种提供从底层基础设施抽象出来的且在多租户环境下按比例和按需提供的资源与服务的模型。这些云典型地是通过网络浏览器或API(应用编程
接口)被访问的,并且在有限的客户控制下提供几乎无限的按需扩容。云计算的一个领域是基础设施即服务(IaaS),其中计算、网络和存储服务是基于现收现付通过网络交付的。IaaS中一种流行的提供物是虚拟私有云(VPC)。VPC被托管在公共云上,因此它不是真正的私 有云。VPC包括一组虚拟机(VM)以及连接到企业并且似乎是企业的一部分(即,与企业网络相关联)的一些网络。使用常规的虚拟私有云实现方式,存在着关于安全、可靠性和可见性的担忧。网络管理员必须将企业网络延伸到不安全的环境中,因此失去了对于云中正在发生事物的可见性以及对安全性和企业级特征的控制。而且,在所有各云提供商之间没有相容接口。企业希望获得安全、服务级别的保证和
顺应性控制,但使用虚拟私有云,服务供应商控制着这些必须的能
力。这些缺点妨碍了很多企业采用云计算。
[0017] 这里说明的实施例解决对云计算环境中的上述需求。这些实施例提供了在云基础设施之上的虚拟交换覆盖。这允许网络管理员重获对虚拟私有云内的网络接入层的控制,并提供完全的云可见性、云内部以及从云到企业的安全通信以及独立于服务提供商的云网络的接口。
[0018] 现在参照附图,首先参照图1,示出了可以实现在此说明的各实施例的网络10的一个示例。这些实施例在包括多个网络部件的数据通信网络的环境下起作用。采用该系统的网络中的一些部件可以是诸如服务器、交换机、路由器或网关的网络设备。该网络设备可以包括例如主
中央处理器(CPU)、接口和总线。该CPU优选地包括存储器和处理器。该网络设备可以在例如关于图6在以下说明的通用网络机上实现。应理解的是,图1所示的简化的网络只是一个示例,并且这里所述的实施例可以在具有不同配置和网络设备类型的网络中采用。
[0019] 图1所示的网络10包括通过公共网络(即互联网)16与服务提供商网络14通信的客户网络(即企业网络)12。客户网络12包括在一个或多个
位置处的多个终端用户18。服务提供商网络14包括云网络(即虚拟私有云)20,该云网络是服务提供商网络的一个孤立部分。VPC20可以包括任何数量的子网25。子网25是客户可以在其中放置多组孤立资源的VPC IP地址范围中的一个区段。服务提供商网络14可以包括与客户网络12或其他客户网络相关联的任何数量的虚拟私有云20或子网25。客户被服务提供商在虚拟私有云
20内分段。客户终端用户18通过客户网关24和虚拟专用网络(VPN)网关26之间的连接
22(例如VPN连接)与VPC20通信。连接22经 过公共网络16。客户18还可以在如通信路径28处所示在VPN连接22的外部进行通信。客户网络12位于VPC20的外部,并且从VPC的
角度来看可以被称作外部网。
[0020] VPC20包括多个利用虚拟化技术的服务器40。虚拟化允许一个计算机通过在多个系统中共享一个单一计算机的资源来做多个计算机的工作。软件被用于虚拟化计算机的
硬件资源,包括例如CPU、RAM、
硬盘和网络
控制器,以创建能够运行其自身
操作系统和应用的虚拟机。每个服务器上的多个虚拟机不互相干扰地共享硬件资源,使得几个操作系统和应用可以同时运行。这些虚拟机被按需部署在云内,其中这些VM的IP地址是由企业控制的。
[0021] 如在下文中详细所述,虚拟交换机34位于VPC20中,以在云之上提供虚拟交换覆盖18。虚拟交换机34作为用户的接入层交换机而工作,以便用户能控制云网络接入层。
[0022] 图2示出了位于VPC数据中心(图1中的云20)内并且与位于企业数据中心(图1中的客户网络12)中的虚拟交换机36进行通信的虚拟交换机34。虚拟交换机34提供在VPC数据中心20内部以及到达企业数据中心12的安全通信。虚拟交换机34与企业网络
12之间的安全隧道通信可以是IPsec(互联网协议安全)之上的L2TPv3(第2层隧道协议第3版)的形式,使得默认网关是在企业网络中。第3层(L3)VPN通信也可用在企业12与VPC20之间。在该情况下,虚拟交换机34作为VPC20的默认网关而工作。应理解的是,其他协议也可用于在虚拟交换机34与企业12之间安全地发送数据。
[0023] 虚拟交换机34通过加密的链路(虚拟安全线路)48将从企业12接收的数据发送到位于VPC20内部的虚拟机30。VPC数据中心20还可以包括一个以上的虚拟交换机34,其中这些虚拟交换机之间有加密的链路。Ipsec之上的L2TPv3可以用于加密在虚拟交换机34与虚拟机30之间发送的分组。应理解的是,IPsec之上的L2TPv3只是一个示例,并且其他协议也可用于在虚拟交换机34与虚拟机30之间发送数据。
[0024] 在一个实施例中,每个虚拟机30均包括一个代理32。代理32可以是例如VPN客户端或者由企业服务器/应用管理员载入虚拟机30的其他应用。代理32包含由服务提供商分配的IP地址以及端口配置文件名。端口配置文件用于为多个接口定义一组共同的配置策略(属性)。这些端口配置文件与由网络管理员定义的端口配置策略相关联,并且被应用于大量端口,因为它们在
虚拟环境中联机。
[0025] VPN连接22可用于将VM MAC地址用
信号发送回企业12,以防止在VPN连接22上泛洪。由于离开虚拟私有云20的通信量通常是由提供商收费的,因此停止泛洪可以降低成本。企业的虚拟交换机36也可以代表VPC20内的VM30来代理ARP(地址解析协议)
请求。如图2所示,企业虚拟交换机36还具有在连接到企业网络的剩余部分的链路35处的未加密接口。
[0026] 图3示出了根据一个实施例的图1的网络中的虚拟交换机34的实现的细节。虚拟交换机34位于这些虚拟机30之一中。VPC20中的服务器40各自包括一个或多个虚拟机30。在图3的示例中,虚拟交换机34被安装在VM A处,该VM A与VM B一同被放置在第一服务器处。VM C和VM D位于第二服务器处,并且VM E位于第三服务器处,每个服务器均与其他服务器在物理上分开。这些虚拟机30可以各自基于通信模式、硬件资源或其他标准在这些服务器40之间被移动。
[0027] 服务器40通过交换机52、54(例如
硬件实现的网络交换机或被配置成执行交换或路由功能的其他网络设备)与网络进行通信。交换机52、54可以与管理站56(例如虚拟化管理平台,如从加利福尼亚州的Palo Alto的VMware可获得的VMware虚拟中心管理站)进行通信。管理站56或一个或多个管理功能也可以被整合到交换机52、54中。
[0028] 在图3所示的实施例中,虚拟机30通过虚拟交换机(46)(例如从加利福尼亚州San Jose的Cisco Systems,Inc.,可获得的NEXUS1000V)与网络进行通信。虚拟交换机位于服务提供商网络14中,并且包括被称作虚拟监控模
块(VSM)45和虚拟以太网模块(VEM)46的部件。VSM45可以位于通过物理交换机52、54与服务器40和管理站56进行通信的物理设备(例 如服务器)中。VSM45也可以是安装在这些服务器40之一处的虚拟设备(例如虚拟机),或者VSM可以被安装在这些交换机52、54之一处。
[0029] VSM45被配置成为虚拟机30提供控制/管理平面功能并且控制多个VEM46。VEM46提供服务器40处的交换能力并且作为与VSM45的控制平面相关联的数据平面而工作。VSM45和VEM46一起工作以形成如被管理站56所看到的分布式虚拟交换机。VSM45和VEM46也可以一同位于一个网络设备(例如交换机52、54、服务器40或与交换机52、54和服务器
40进行通信的其他网络设备)中。
[0030] 应理解的是,图3所示的网络只是一个示例,并且虚拟交换覆盖18可以用在具有不同网络部件的不同网络中。例如,虚拟交换覆盖18可以在VPC20处的VMWare、Xen超级监视者或任何其他超级监视者或平台虚拟化模型之上运行。因此,虚拟交换机(VSM45/VEM46)只是服务提供商网络的虚拟化模型的一个示例。
[0031] 图4示出了安装在图3的VM A处的虚拟交换机34的一个示例。虚拟交换机34在将该虚拟交换机连接到各虚拟机30的安全虚拟线路48之间交换通信。虚拟线路48从虚拟交换机34延伸到被安装在虚拟机30中的代理32(图2和图4)。在一个实施例中,虚拟交换机34包括虚拟监控模块(VSM)58和虚拟以太网模块(VEM)60。如以上关于图3中的服务提供商网络所述,VSM58提供控制平面功能,并且VEM60作为与VSM的控制平面相关联的数据通路而工作。VEM60支持与VM30通信的多个(例如成千上万(或更少或更多)个)虚拟以太网接口。虚拟线路48使用IPSec(或其他协议)之上的L2来创建到达虚拟交换机34的VSM IP地址的安全隧道。例如,虚拟交换机34可以在通过虚拟线路48发送分组之前用L2TPv3报头来封装分组。
[0032] 虚拟交换机34允许企业获得对云网络接入层的控制。所有进入和离开与企业相关联的云(例如VPC20或VPC25中的子网)的通信量都经过虚拟交换机34。企业的管理员能够访问虚拟交换机34并查看虚拟以太网端口(接口),配置ACL(访问控制列表),管理端口配置文件,并执行典型地在接入层执行的其他管理功能。
[0033] VPC20可以包括与中央管理平面连接的多个虚拟交换机34。中央管理平面被分配了弹性IP地址并且当创建了虚拟以太网接口并且达到了虚拟交换机的极限时产生虚拟交换机34。端口配置文件可以被配置在中央管理平面中,当相关联的虚拟以太网接口连接到虚拟交换机时,虚拟交换机34拖出端口配置文件。虚拟交换机34优选地创建全互联(full mesh)的VPN隧道,以形成单一的逻辑
开关,从而防止循环并消除生成树的必要。
[0034] 图5是示出了根据一个实施例实现用于云计算的虚拟交换覆盖的过程概述的流程图。在步骤61中,通过在云网络20中的网络设备(例如服务器40)处安装虚拟交换机34而创建了虚拟交换覆盖18。虚拟交换机34作为外部网络(例如位于云网络的外部的客户网络12)的接入层交换机而工作,并且为虚拟机30与外部网络12之间的安全通信创建虚拟交换覆盖18。在步骤62中,虚拟交换机34从外部网络接收数据。接收的数据去往位于云网络20内的且与外部网络12相关联的一个或多个虚拟机。虚拟交换机34通过虚拟线路48将数据发送到虚拟机30(步骤64)。该数据可以是例如包含对存储在服务器40之一中的数据的请求或对存储在其中一个或多个服务器40中的数据的更新的分组或
帧。
[0035] 图6描绘了可以用于实现这里所述的实施例的网络设备70。网络设备70可以是例如包含虚拟交换机34的服务器40。网络设备70被配置成实现这里所述的所有网络协议及其扩展。在一个实施例中,网络设备70是可以以硬件、软件或它们的任意组合来实现的可编程机器。逻辑可以被编码到一个或多个有形介质中而由处理器72执行。例如,处理器72可以执行被存储在程序存储器74中的代码。程序存储器74是计算机可读介质的一个示例。程序存储器74可以是易失性存储器。存储相同代码的计算机可读介质的另一种形式是一种
非易失性存储器,例如
软盘、CD-ROM、DVD-ROM、硬盘、闪存等。处理器72包括用于发送、接收和封装数据并用信号发送地址的装置。
[0036] 网络设备70通过多个线路卡(网络接口)76与有形介质相接口。线路卡76可以包含以太网接口、DSL接口、千兆位以太网接口、10-千兆位以太网接口、SONET接口等。当分组被网络设备70接收、处理和转发时,它们 可以被存储在分组存储器78中。为了实现根据该系统的功能,线路卡76可以包含与以上讨论的处理和存储器资源类似的且与整个网络相关的处理和存储器资源。应理解的是,图6所示的网络设备70只是一个示例,并且也可以使用不同的网络设备配置。
[0037] 虽然已经根据所示实施例说明了方法和装置,但本领域的普通技术人员将容易认识到,在不脱离实施例的范围的情况下可以作出变化。因此,希望在上述说明中包含的及在附图中示出的所有内容都应被理解为说明性的而非具有限制意义。
