上下文感知的分布式防火墙的制作方法
背景技术:
在软件定义数据中心(sddc)环境中,分布式网络防火墙正在取代传统的防火墙,以便满足粒度和可扩展性的新要求。通常,防火墙控制器被部署在每一个管理程序上,以保护在管理程序上运行的虚拟机(vm),并且集中式管理组件将防火墙规则分发到sddc中的所有防火墙控制器。经常,每一个防火墙控制器接收到针对整个数据中心的大的规则集。防火墙控制器然后将所有规则应用到数据中心中的每一个受保护的vm。图1图示数据中心100中的分布式防火墙方案,其中防火墙规则的完整集被应用到每一个vm。在这种情况下,因为必须对照整个规则集检查每一个网络分组,所以大的规则集会对防火墙引擎造成显著的负担。此外,因为规则集被复制到每一个受保护的vm,所以它还消耗大量的存储器。
技术实现要素:
本发明的一些实施例提供了上下文感知的分布式防火墙方案,其中任务是为一组网络地址提供防火墙保护的防火墙引擎应用与和机器相关联的一组网络地址相关的防火墙规则的精简集。在一些实施例中,由在主机机器上运行的管理程序或虚拟化软件实现防火墙控制器,并且由防火墙控制器保护的网络地址对应于由管理程序托管的vm的网络地址。这些防火墙控制器中的一些或全部是允许主机机器操作vm的管理程序的一部分。防火墙控制器又通过提供与这些vm的网络地址相关的规则来保护那些vm。
在一些实施例中,每一个主机机器接收关于数据中心中的所有规则的防火墙配置消息。但是,主机机器的管理程序/防火墙控制器只识别用于其每一个vm的相关规则,使得管理程序将只需要应用识别出的相关规则来对传入分组进行检查。在一些实施例中,管理程序实现允许每一个vm的过滤器从所有接收到的规则中快速识别相关规则的搜索结构。
在一些实施例中,搜索结构用于识别与vm或一组vm相关的限定规则(由ipcidr块指定的规则)。搜索结构的每一个节点对应于ipcidr块。如果规则的源地址字段或目的地地址字段指定节点的ipcidr块,那么规则与节点相关联。如果若干规则在它们的地址字段中指定相同的ipcidr块,那么对应于该ipcidr块的节点将与该若干规则相关联。在一些实施例中,搜索结构被构造为二进制前缀树。
为了使用搜索结构来识别用于vm的相关规则,一些实施例使用vm的ip地址来查询搜索结构。查询遍历搜索结构的节点,并且收集与遍历的节点相关联的所有规则。如果搜索结构中的节点(i)其cidr块包含所查询的ip地址并且(ii)其所有祖先节点也被遍历,那么该节点将被遍历。
前面的发明内容旨在用作对本发明的一些实施例的简要介绍。它并不意味着是本文档中所公开的所有发明性主题的介绍或概述。以下的具体实施方式和具体实施方式所参考的附图将进一步描述在发明内容中所描述的实施例以及其它实施例。因此,为了理解本文档所描述的所有实施例,需要对发明内容、具体实施方式和附图进行全面地阅读。此外,因为可以在不脱离本主题的精神的情况下以其它特定形式来体现所要求保护的主题,所以所要求保护的主题不受发明内容、具体实施方式和附图中的说明性细节的限制,而是要由所附权利要求来限定。
附图说明
本发明的新颖特征在所附权利要求中阐述。但是,为了解释的目的,在以下图中阐述本发明的数个实施例。
图1图示数据中心中的分布式防火墙方案,其中防火墙规则的完整集被应用到每一个vm。
图2图示分布式防火墙体系架构,其中每一个分布式防火墙控制器仅为它正在保护的网络地址使用精简的相关规则集。
图3图示在管理程序中实现的用于保护正在那些管理程序上操作的vm的上下文感知的防火墙控制器。
图4图示管理程序,该管理程序从网络管理器接收防火墙规则的完整集并且识别与管理程序的每一个vm相关的规则。
图5概念性地图示用于通过仅识别和应用相关规则来执行防火墙过滤操作的过程。
图6图示其中每一个规则仅具有作为源地址和目的地地址的ipcidr块的防火墙规则。
图7图示用于从集中的合格规则中高效地识别相关规则的搜索结构。
图8图示使用搜索树来识别用于数个示例ip地址的相关规则。
图9概念性地图示用于使用防火墙规则的搜索树来识别与ip地址相关的合格规则的过程。
图10概念性地图示用于构建用于识别相关规则的前缀树搜索结构并更新到本地防火墙控制器的过程。
图11图示正在操作用于托管虚拟机的虚拟化软件的示例主机机器。
图12概念性地图示实现本发明的一些实施例的电子系统。
具体实施方式
在以下描述中,出于解释的目的阐述了许多细节。但是,本领域普通技术人员将认识到的是,可以在不使用这些具体细节的情况下实践本发明。在其它的情况下,以框图的形式示出众所周知的结构和设备,以便防止用不必要的细节模糊本发明的描述。
本发明的一些实施例提供了上下文感知的分布式防火墙方案,其中任务是为一组网络地址提供防火墙保护的防火墙引擎应用与和机器相关联的一组网络地址相关的防火墙规则的精简集。对于一些实施例,本发明通过基于vm的网络地址减少在每一个vm上加载的规则来解决由大的规则集引起的挑战。在一些实施例中,vm的网络地址用于确定用于vm的所有相关防火墙规则。
在一些实施例中,当vm连接到网络时,其将自己呈现为具有一个或多个有效的网络地址,以便参与到网络通信中。管理程序检测vm的网络地址,然后识别防火墙规则,该防火墙规则的已定义的网络地址是vm的网络地址的超集。这些识别出的规则是与vm相关的防火墙规则。这些规则被应用到vm,并且防火墙引擎将仅使用这些规则来检查vm的网络流量。通常,用于数据中心的防火墙规则的总数可以相当大,范围从数万到数十万。但是,用于单个vm的防火墙规则的数量相当小,不超过一百个。因此,基于精简的相关规则集的分布式防火墙可以在存储器和处理时间方面实现显著的节省。
在一些实施例中,管理程序中的防火墙引擎将所有防火墙规则的网络地址存储在类特里(trie)的数据结构中。在检测到新vm的网络地址后,防火墙引擎查找规则特里并寻找其地址是vm的网络地址的超集的所有规则。然后它将这些规则应用到vm。防火墙引擎将仅使用附属于vm的规则来检查该vm的网络流量。
下面描述本发明的数个更详细的实施例。部分i描述用于实现上下文感知的分布式防火墙方案的系统体系架构。部分ii描述促进识别用于本地防火墙控制器的相关规则的搜索结构。部分iii描述用作vm的主机机器的示例计算设备。最后,部分iv描述实现本发明的一些实施例的电子系统。
i.体系架构
图2图示分布式防火墙体系架构,其中每一个分布式防火墙控制器为它正在保护的网络地址仅使用精简的相关规则集。一些实施例将这些分布式防火墙控制器称为是上下文感知的,这是因为这些防火墙控制器中的每一个都知道其必须保护的网络地址,并且又仅使用与其知道的网络地址相关的规则集。
该图图示实现分布式防火墙方案的数据中心200。如所图示的,数据中心200采用若干分布式(或本地)防火墙控制器211-219。这些防火墙控制器中的每一个的任务是保护一个或多个网络地址(即,与这些网络地址相关联的网络节点)。如所图示的,防火墙控制器211的任务是保护网络地址a、b和c,并且防火墙控制器219的任务是保护网络地址x、y和z。
数据中心200具有防火墙规则的完整集205。每一个规则具有源字段和目的地字段。每一个源字段/目的地字段指定网络地址、网络地址的范围(诸如,cidr块)、或网络地址的集合(诸如,容器)。具有分别落在规则的源字段和目的地字段内的源地址和目的地地址的分组受规则的指定动作/要求的约束。
这些规则用于保护数据中心200中的所有网络地址(例如,在数据中心的所有主机机器上运行的所有vm)。如所图示的,一些规则适用于由防火墙控制器211保护的地址(地址a、b和c由规则1、2、3、1001和1002保护),而一些规则适用于由防火墙控制器219保护的地址(地址x、y和z由规则1001、1002、2001和2002保护)。但是,与其中每一个防火墙控制器必须检查数据中心100的整个规则集的图1的分布式防火墙方案不同,图2的数据中心200中的每一个防火墙控制器是上下文感知的,并且仅检查用于它正在保护的网络地址的规则集205的相关子集。
如所图示的,上下文感知的防火墙控制器211仅提供分别用于地址a、b和c的规则的子集221、222和223。因此,地址a的防火墙仅检查规则1、2和1001,地址b的防火墙仅检查规则1、3和1002,地址c的防火墙仅检查2和3,等等。同样,上下文感知防火墙控制器219仅提供分别用于地址x、y和z的规则的子集227、228和229。因此,地址x的防火墙仅检查规则1001、2001和2002,地址y的防火墙仅检查规则1002和2001,地址z的防火墙仅检查规则2002,等等。
在一些实施例中,防火墙控制器211-219由在主机机器上运行的管理程序或虚拟化软件实现,并且由防火墙控制器保护的网络地址对应于由管理程序托管的vm的网络地址。这些防火墙控制器中的一些或全部是允许主机机器操作vm的管理程序的一部分。防火墙控制器又通过提供与这些vm的网络地址相关的规则来保护那些vm。对于一些实施例,图3图示在管理程序中实现的用于保护正在那些管理程序上操作的vm的上下文感知的防火墙控制器。
图3图示具有用于保护整个数据中心的集中式防火墙规则305的集合的数据中心300。集中式防火墙规则305由数据中心300的网络管理器310维护。数个主机机器311-319位于数据中心300中。网络管理器310和主机机器311-319通过物理网络基础设施390互连,这允许网络管理器向主机机器中的每一个发送控制平面消息,包括防火墙配置消息。数据中心300中的主机机器311-319操作vma至z,并且集中式防火墙规则305包括用于保护所有那些vm的规则。
每一个主机机器操作允许主机机器托管一个或多个vm的管理程序或虚拟化软件。如所图示的,主机机器311托管vma、b和c,主机机器312托管vmd、e和f,并且主机机器319托管vmx、y和z。每一个主机机器的虚拟化软件还操作用于保护其正在托管的vm的分布式防火墙控制器(的本地副本)。每一个管理程序基于与vm相关的规则的精简集为其vm中的每一个执行防火墙操作。例如,主机机器311的虚拟化软件仅为vma使用与vma相关的防火墙规则,为vmb使用与vmb相关的防火墙规则,等等。由于不需要搜索不相关的防火墙规则,因此每一个管理程序实现的分布式防火墙控制器能够在分组处理时间和存储器使用方面实现显著的节省。
不同的实施例使用不同的方法来确保每一个分布式防火墙控制器仅考虑相关规则。在一些其它实施例中,数据中心的网络管理器得知哪些vm正在被特定的分布式防火墙控制器保护。网络管理器然后识别用于那些vm的相关规则,并将仅包含识别出的相关规则的防火墙配置消息发送到特定的分布式防火墙控制器。因此,每一个主机机器只存储用于它正在托管的vm的相关规则。
在一些实施例中,每一个主机机器接收关于数据中心中的所有规则的防火墙配置消息。如图3所图示的,每一个主机机器311-319从网络管理器310接收数据中心防火墙规则305中的所有规则。但是,主机机器的管理程序/防火墙控制器仅识别用于其每一个vm的相关规则,使得管理程序将只需要应用识别出的相关规则来对传入分组进行检查。图4图示管理程序,该管理程序从网络管理器接收防火墙规则的完整集并且识别与管理程序的每一个vm相关的规则。
如所图示的,用于数据中心300中的每一个主机机器的管理程序包括本地防火墙控制器、搜索结构和用于管理程序的vm的一组过滤器。例如,主机机器311运行管理程序,包括本地防火墙控制器421、搜索结构431和分别用于其vma、b和c的一组过滤器441-443。本地防火墙控制器421从网络管理器310接收控制平面消息。控制平面消息包括用于整个数据中心的防火墙规则。本地防火墙控制器421又使用接收到的防火墙规则来构建包括数据中心300的整个防火墙规则集的搜索结构431。管理程序311的每一个过滤器(过滤器441-443)又使用搜索结构431来查询与其对应的vm的ip地址相关的规则。vm的相关规则是其源地址或目的地地址包含该vm的ip地址或与该vm的ip地址完全相同的那些规则。
在一些实施例中,当受保护的vm的虚拟nic(网络接口控制器)连接到管理程序的l2虚拟交换机时,管理程序创建过滤器作为逻辑网络自省(introspection)实体。这种过滤器包含防火墙规则集,并且允许防火墙控制器对照规则检查经过虚拟nic的所有网络分组。在从网络管理器接收到新的防火墙配置消息之后,管理程序将用新规则对所有受保护的vm的过滤器进行编程。在一些实施例中,管理程序不是将所有接收到的规则传递到内核中的每一个适用的过滤器,而是实现允许每一个vm的过滤器从所有接收到的规则中快速识别相关规则的搜索结构(诸如,用于管理程序311的搜索结构431)。将在下面部分ii中进一步描述用于识别相关规则的搜索结构。
图5概念性地图示用于通过仅识别和应用相关规则来执行防火墙过滤操作的过程500。在一些实施例中,该过程由在主机机器上运行的管理程序执行。具体而言,在一些实施例中,过程500由vm的过滤器模块执行。
当过程接收(在510处)vm的分组时,该过程开始。该过程然后使用(在520处)防火墙规则搜索结构来基于vm的ip地址识别与vm相关的规则。在一些实施例中,过滤器高速缓存相关规则,并且当防火墙规则已被更新时,例如,当管理程序从网络控制器接收到防火墙配置消息时,仅使用防火墙规则搜索结构来更新其高速缓存的规则。
该过程然后识别(在530处)接收到的分组的源地址字段和目的地地址字段,并且通过应用vm的相关规则对传入分组执行(在540处)防火墙操作(例如,阻止、允许等)。在一些实施例中,该过程浏览相关规则并且应用那些具有分别包含传入分组的源字段和目的地字段的源字段和目的地字段的规则。然后过程500结束。
ii.搜索结构
如所提到的,防火墙规则的地址字段可以指定网络地址、网络地址的范围或网络地址的集合。不同的实施例使用针对不同类型的地址字段优化的不同类型的搜索结构。例如,一些实施例使用基于容器的搜索结构,该基于容器的搜索结构针对被指定为网络地址的容器的地址字段优化。于2014年6月4日提交的标题为“efficientpacketclassificationfordynamiccontainers”的美国专利申请no.14/295,553描述了用于使用容器来指定源地址和/或目的地地址的规则的搜索结构。美国专利申请no.14/295,553通过引用被结合于此。
在一些实施例中,防火墙规则使用ipcidr块来指定源地址和目的地地址,并且管理程序中的本地防火墙控制器使用搜索结构,该搜索结构为了在使用ipcidr块来指定源地址和目的地地址的规则当中寻找相关规则而优化。cidr(无类别域间路由)记号是ip地址及其相关联路由前缀的紧凑表示。该记号由ip地址和前缀大小构建,后者相当于路由前缀掩码中的前导“1”比特的数量。ip地址根据ipv4或ipv6的标准来表示。之后跟随着分隔符,斜杠('/')字符,并且前缀大小被表示为十进制数。该地址可以表示单个不同的接口地址或整个网络的起始地址。例如,ipcidr块192.168.100.0/24指定路由前缀192.168.100.0和子网掩码255.255.255.0(即,24个前导“1”比特)。换句话说,记号192.168.100.0/24表示包括从192.168.100.0到192.168.100.255的地址范围的子网。对于一些实施例,单独的ip地址可以被认为是/32cidr块(即,具有用于整个子网掩码的“1”比特)。
在一些实施例中,如果规则的源地址和目的地地址两者都被定义为ipcidr块,但vm的ip地址不落在任何一个ipcidr块中,那么该规则被认为与vm无关。来自或去往该vm的任何ip分组将不匹配不相关的规则,这是因为分组的源地址和目的地地址都将与规则的源地址和目的地地址不匹配。相反,如果vm的ip地址落在规则的源ipcidr块或目的地ipcidr块的任何一个中,那么该规则与vm相关,并且因此必须用于检查来自或去往vm的分组。因此,在一些实施例中,本地防火墙控制器基于这种标准寻找与vm相关的所有规则。
一些实施例将防火墙规则分类为两种类别:合格规则和不合格规则。如果规则的源地址和目的地地址两者都被定义为ipcidr块(或一组ipcidr块),并且ipcidr块既不是广播地址也不是多播地址,那么该规则是合格的。所有其它规则都是不合格规则。不合格规则通常落入以下类别:
·规则的任何一个地址或两个地址未被定义,这意味着它们是通配符地址。
·规则的任何一个地址或两个地址具有否定标志。
·规则的任何一个地址或两个地址是广播或多播地址。
·规则的任何一个地址或两个地址是非ip地址。
在一些实施例中,无论受保护的vm的ip地址如何,所有不合格规则都由管理程序的本地防火墙控制器使用。换句话说,在一些实施例中,本地防火墙控制器将所有不合格规则视为相关规则,而不管受保护的vm的ip地址如何。但是,防火墙系统通常具有比不合格规则多得多的合格规则。因此,在一些实施例中,本地防火墙控制器使用搜索结构来高效地寻找合格的相关规则。
图6图示示例防火墙规则集600。防火墙规则集600包括合格规则601-608(具有id为1至8的规则),每一个规则仅具有ipcidr块作为源地址和目的地地址。例如,规则601将ipcidr块192.168.17.0/24指定为其源地址,并且将cidr块192.168.101.0/28指定为其目的地地址。规则606分别指定ip地址192.168.17.5和192.168.17.247作为源地址和目的地地址,但是这些相当于在其子网掩码中具有32个1的cidr块(即192.168.17.5/32和192.168.17.247/32)。
防火墙规则集600的ipcidr块都属于子网192.0.0.0/8。由合格规则集中的规则使用的ipcidr块是192.0.0.0/8的子集或子网。图6还概念性地图示由集600中的规则指定的一些不同ipcidr之间的逻辑关系。例如,vm192.168.101.2在子网192.168.101.0/28中,其是由规则601、605和607使用的ipcidr。子网192.168.101.0/28又是由规则602使用的子网192.168.0.0/16的子集。因此,规则601、602、605和607是用于具有ip地址192.168.101.2的vm的相关的合格的防火墙规则。
图7图示用于从集600中的合格规则中高效地识别相关规则的搜索结构700。搜索结构700包括节点701-714。每一个节点对应于ipcidr块。如果规则的源地址字段或目的地地址字段指定节点的ipcidr块,那么规则与该节点相关联。如果两个(或更多个)规则都在其地址字段中指定相同的ipcidr块,那么对应于该ipcidr块的节点将与这些规则相关联(例如,通过包括这些规则的链表)。例如,规则601(规则id1)、605(规则id5)和607(规则id7)都指定ipcidr块192.168.101.0/28作为源地址或目的地地址。在前缀树700中,节点708对应于ipcidr块192.168.101.0/28,并且因此节点708与具有id1、5和7的规则相关联。如所图示的,节点702、703、704、705、708、710、711、712、713和714都是与来自集600的一个或多个合格规则相关联的节点。
搜索结构700被构造为二进制前缀树或特里(即,具有基数2的帕特里夏树(patriciatree)),其中每一个节点最多具有两个子节点。在一些实施例中,每一个子节点的cidr块是父节点的cidr的子网。例如,节点707和711是节点706的子节点。节点707(192.168.64.0/18)的cidr块和节点711(192.168.17.0/24)的cidr块都是由节点706(192.168.0.0/17)的cidr块包含的子网。因此,搜索树700中的任何节点对应于包含其后代节点的所有ipcir块的ipcidr块(例如,根节点701的cidr块(192.0.0.0/8)包含前缀树中所有其它节点702-713的cidr块)。
在一些实施例中,每一个节点的ipcidr块可以被表示为前缀二进制串,该前缀二进制串的长度由“/”记号确定的。例如,节点706的cidr192.168.0.0/17可以被表示为17比特长的前缀二进制串11000000101010000。又可以通过用后缀子串附加父节点的前缀串得到节点的每一个子节点。例如,节点707(192.168.64.0/18)的cidr可以通过将1比特后缀子串“1”附加到父节点706的前缀串得到(即,11000000101010000_1)。另一个子节点711(192.168.17.0/24)的cidr可以通过将7比特后缀子串“0010001”附加到父节点706的前缀二进制串得到(即,11000000101010000_0010001)。用于子节点的附加串又变为子节点的前缀二进制串,其又可以附加后缀子串以得到孙子节点的前缀串,以此类推。因此,除了根节点701之外,搜索树700中的每一个节点都与后缀子串相关联。例如,节点701与8比特后缀子串1100000相关联,节点705与8比特后缀子串10101000相关联,节点706与1比特后缀子串0相关联,节点711与7比特后缀子串0010001相关联,并且节点712与8比特后缀子串11110111相关联。每一个节点的二进制串或cidr块可以通过将其所有祖先节点的后缀子串附加到根节点导出。例如,节点712的cidr块192.168.17.247是节点701、705、706、711和712的所有后缀子串的附加结果(1100000_10101000_0_0010001_11110111)。
对于在搜索树中具有两个子节点的节点,一个子节点位于“1”路径上,并且另一个子节点位于“0”路径上。更准确地说,在一些实施例中,一个子节点与以“0”开始的后缀子串相关联,并且另一个子节点与以“1”开始的后缀子串相关联。例如,节点706具有与后缀子串“1”相关联的“1”子节点707和与后缀子串“0010001”相关联的“0”子节点711。当遍历用于特定ip地址或cidr块的搜索树时,如果“1”路径的后缀串匹配特定ip地址或cidr块中的对应比特,那么遍历将采用“1”路径。同样,如果“0”路径的后缀串匹配特定ip地址或cidr块的对应比特,那么遍历将采用“0”路径。如果“1”路径或“0”路径都不具有对ip地址或cidr块的匹配后缀串,那么遍历终止。
如上所述,搜索树700用于促进高效识别与vm或一组vm相关的合格规则(由ipcidr块指定的规则)。为了使用搜索树识别用于vm的相关规则,一些实施例使用vm的ip地址来查询搜索树。查询遍历搜索树的节点,并且收集与遍历的节点相关联的所有规则。如果搜索树中的节点(i)其cidr块包含所查询的ip地址并且(ii)其所有祖先节点也被遍历,那么该节点将被遍历。
图8图示使用搜索树700来识别用于数个示例ip地址的相关规则。基于vm的ip地址为vm进行每一个搜索或查询。第一示例使用前缀树700寻找用于ip地址192.168.101.2的相关规则。由于ip地址192.168.101.2(11000000101010000110010100000010)被解析为用于确定搜索树的遍历路径的二进制子串,遍历遵循节点701、705、706、707、708、709的路径。具体而言,该地址被解析为与遍历的节点701、705、706、707、708、709的后缀子串匹配的子串(11000000_10101000_0_1_1001010000_0010)。沿此路径,与遍历的节点705、708和709相关联的规则(规则2、1、5、7)被收集并被识别为与ip地址192.168.101.2相关的规则。因为节点709没有子节点,所以遍历在节点709处结束。节点709也是具有包含被查询的ip地址的cidr块的最后一个节点(节点709的cidr与所查询的ip地址192.168.101.2一致)。
第二示例使用前缀树700寻找用于具有ip地址192.66.113.9的vm的相关规则。由于ip地址192.66.113.9(11000000010000100111000100001001)被解析为用于确定搜索树的遍历路径的二进制子串,遍历遵循节点701、702和703的路径。具体而言,ip地址的最高有效部分(11000000_0100001001_1)用于匹配节点701、702和703的后缀子串。沿此路径,与节点702和703相关联的规则(规则2、5、8)被收集并被识别为与ip地址192.66.113.9相关的规则。因为节点703没有子节点,所以遍历在节点703处结束。节点703也是具有包含被查询的ip地址的cidr块的最后一个节点(子网192.66.96.0/19包含ip地址192.66.113.9)。
第三示例使用前缀树700寻找用于ip地址192.168.128.100的相关规则。由于ip地址192.168.128.100(11000000101010001000000001100100)被解析为用于确定搜索树的遍历路径的二进制子串,遍历遵循节点701和705的路径。具体而言,ip地址的最高有效部分(11000000_10101000)用于匹配节点701和705的后缀子串。沿此路径,与节点705相关联的规则(规则2)被收集并被识别为与ip地址192.168.128.100相关的规则。因为节点705的子节点(706和714)都不能包含所查询的ip地址(192.168.128.100既不落在192.168.0.0/17内又不落在192.168.165.201内),所以遍历在节点705处结束。这也是因为所查询的ip地址192.168.128.100不能遵循节点705的“1”路径或“0”路径,因为对应的子节点的后缀子串与ip地址192.168.128.100中的对应比特不匹配。
对于一些实施例,图9概念性地图示用于使用防火墙规则的搜索树来识别与ip地址相关的合格规则(在一些实施例中不合格规则被视为相关)的过程900。在一些实施例中,ip地址是在主机机器的管理程序上运行的vm的ip地址,并且管理程序执行过程900,以便识别作为其分布式防火墙程序的一部分用于保护vm的相关规则。在一些实施例中,用于vm的过滤器模块作为管理程序的一部分执行过程900。在一些实施例中,该过程由管理程序中的搜索结构管理模块执行,该管理程序接收对ip地址的查询并且又产生用于所查询的ip地址的相关规则。
当过程900接收到(在910处)基于ip地址的对相关规则的查询时,过程900开始。在一些实施例中,该过程接收用作相关规则查询的基础的ip地址。该过程然后确定(在920处)搜索结构的根节点是否包含所查询的ip地址。如果不包含,那么过程900终止,这是因为在搜索中没有其它节点可能包含所查询的ip地址。如果根节点确实包含所查询的ip地址,那么该过程然后将根节点设置为(在930处)当前遍历的节点并且进行到940。
在940处,如果存在,那么该过程收集与当前遍历的节点相关联的规则。该过程然后确定(在950处)所查询的ip地址是否能够遵循到当前遍历的节点的“1”子节点的“1”路径。如果能,那么该过程进行到955。否则,该过程进行到960以确定ip地址是否能够遵循到当前遍历的节点的“0”子节点的“0”路径。如果能,那么该过程进行到965。否则,该过程进行到970。
在955处,该过程将当前遍历的节点设置为“1”子节点并且进行到940。相反,在965处,该过程将当前遍历的节点设置为“0”子节点并进行到940。在一些实施例中,如果子节点的后缀子串与所查询的ip地址的对应比特匹配,那么所查询的ip地址能够遵循到子节点的路径。当子节点被遍历时,这意味着子节点的cidr块包含所查询的ip地址。
在970处,该过程已经确定所查询的ip地址不能遍历当前节点的子节点。在一些实施例中,这是因为子节点都不包含所查询的ip地址,或者因为当前节点没有子节点。在任何一种情况下,当前节点是对应于包含所查询的ip地址的cidr块的最后一个节点。因此,该过程报告在遍历防火墙搜索结构期间收集到的所有规则作为与所查询的ip地址相关或适用于所查询的ip地址的规则。过程970然后结束。查询实体(即,用于vm的管理程序或过滤器)然后采用报告的规则作为被识别用于保护vm的相关防火墙规则(合格规则)。
在一些实施例中,当管理程序从网络管理器接收到防火墙配置更新消息时,管理程序构建和更新前缀树搜索结构(诸如,搜索树700)。构建的树然后被提供给vm的过滤器作为用于高效识别相关规则的搜索结构。对于一些实施例,图10概念性地图示用于构建用于识别相关规则的前缀树搜索结构并更新到本地防火墙控制器的过程1000。在一些实施例中,过程1000由执行本地防火墙控制器的管理程序执行。一些实施例连续执行过程1000以动态地保持其搜索结构最新,使得vm的过滤器将能访问防火墙规则的最新集。
当该过程从网络管理器(例如,310)接收到(在1010处)防火墙规则时,该过程开始。在一些实施例中,规则是从网络管理器接收到的防火墙配置消息的一部分。该过程然后在接收到的规则中从源地址字段和目的地地址字段识别(在1020处)合格的ipcidr块。
该过程然后基于规则的cidr块遍历(在1030处)防火墙规则搜索树。在一些实施例中,这种遍历是基于接收到的规则的cidr块的二进制串(而不是基于如在过程900中的受保护vm的ip地址的二进制串),即,通过将子节点的子串与规则的cidr块中的对应比特进行比较来决定是采取“0”路径还是“1”路径等。
该过程然后确定(在1040处)其是否能够从遍历中为规则的cidr块在搜索结构中定位节点。与其中搜索是用于识别具有包含所查询的ip地址的cidr块的节点的过程900中用于寻找相关规则的遍历不同,这里在过程1000中的遍历是用于寻找恰好与规则的cidr块匹配的节点。如果该过程能够在搜索结构中找到与规则的cidr块匹配的节点,那么该过程进行到1050。否则,该过程进行到1045。
在1045处,因为搜索结构没有与规则的cidr块对应的现有节点,所以该过程将与规则的cidr块对应的新节点添加或插入到搜索结构中。在一些实施例中,该过程重新组织搜索结构,使得可以维护树的二进制前缀结构。在一些实施例中,这种重新组织需要在防火墙中添加不与任何规则对应的存根节点,诸如搜索树700中的节点706和707。在添加用于接收到的规则的cidr块的新节点之后,该过程进行到1050。
在1050处,该过程将接收到的规则与节点(从操作1045新添加的节点或从操作1040定位的节点)相关联。该过程然后确定(在1060处)在接收到的规则中是否存在更多合格的cidr块。如果存在,那么该过程返回到1020以或者在搜索结构中定位现有节点或者为规则中的其他cidr块向搜索结构添加新节点。否则,过程1000终止,并且构建的搜索树被更新并且可用于使用于识别相关规则。
在一些实施例中,如在部分ii中描述的搜索结构是在数据中心的网络管理器处实现的。网络管理器在其防火墙规则数据库中构建和更新用于合格规则的搜索结构。搜索结构然后用于识别与各个vm相关的规则,该识别基于来自各个管理程序对那些vm的查询或基于网络管理器自己的记录。标识出的相关规则然后被传递给那些vm的主机机器。
iii.计算设备
如之前提到的,本发明的一些实施例由在用作主机机器的计算设备上运行的虚拟化软件或管理程序实现。对于一些实施例,图11图示正在操作虚拟化软件1105的示例主机机器1100。虚拟化软件1105允许主机机器托管虚拟机1111-1114以及将虚拟机连接到物理网络1190。这个物理网络1190可以跨越一个或更多数据中心,并且包括各种物理交换机和路由器。
如所图示的,主机1100能够通过物理nic(pnic)1195访问物理网络1190。虚拟化软件1105用作托管的vm1111-1114与物理nic1195(以及其它物理资源,诸如处理器和存储器)之间的接口。vm中的每一个包括用于通过虚拟化软件1105访问网络的虚拟nic(vnic)。vm中的每一个vnic负责在vm和虚拟化软件1105之间交换分组。在一些实施例中,vnic是由虚拟nic仿真器实现的物理nic的软件抽象。在一些实施例中,vm的vnic还包括用于识别相关防火墙规则并将那些防火墙规则应用于过滤分组的防火墙过滤器。
虚拟化软件1105管理vm1111-1114的操作,并且包括用于管理vm对物理网络的访问(在一些实施例中,通过实现vm连接到的逻辑网络)的数个组件。如所图示的,虚拟化软件1105包括物理交换元件1120、物理路由元件1130、控制器接口1140、上下文感知的分布式防火墙模块1150以及上行链路模块1170。
控制器接口1140从控制器或控制器集群1160接收控制平面消息。在一些实施例中,这些控制平面消息包括用于配置虚拟化软件和/或虚拟机的各种组件(诸如,物理交换元件1120和物理路由元件1130)的配置数据。在一些实施例中,控制平面消息还包括用于防火墙配置的消息,例如,包括对存储在主机机器1100处的防火墙规则的更新的消息。
上下文感知的分布式防火墙模块1150从控制器接口1150接收防火墙规则更新(或防火墙配置消息)。上下文感知的分布式防火墙模块1150还基于接收到的防火墙规则建立搜索结构。使得搜索结构对于vm(或其vnic中的其对应过滤器)可访问,因此可以如以上部分i和ii中描述的那样高效地识别用于执行防火墙操作的相关规则。
物理交换元件1120(或受管理的物理交换元件mpse)向物理nic1195和从物理nic1195传递网络数据,该物理nic1195与物理网络1190对接。物理交换元件还包括多个虚拟端口(vport),该物理交换元件将物理nic与vm1111-1114、物理路由元件1130和控制器接口1140通信地互连。在一些实施例中,每一个虚拟端口与唯一的l2mac地址相关联。物理交换元件在连接到其虚拟端口的任何两个网络元件之间执行l2链路层分组转发。物理交换元件还在连接到其虚拟端口中的任何一个端口的任何网络元件和物理网络1190上可达的l2网络元件(例如,在另一个主机上运行的另一个vm)之间执行l2链路层分组转发。
物理路由元件1130(或受管理的物理路由元件mpre)对从物理交换单元1120上的虚拟端口接收到的数据分组执行l3路由(例如,通过执行l3ip地址到l2mac地址解析)。在一些实施例中,物理路由元件1130附接到的虚拟端口是宿端口(sinkport)。每一个路由数据分组然后被发送回到物理交换单元1120,以根据解析的l2mac地址转发到数据分组目的地。这个目的地可以是连接到物理交换单元1120上的虚拟端口的另一个vm,或者是物理网络1190上可达的l2网络元件(例如,在另一个主机上运行的另一个vm、物理非虚拟化机器,等等)。
上行链路模块1170在物理交换元件1120和物理nic1195之间中继数据。在一些实施例中,上行链路模块1170允许主机机器1100用作封装覆盖网络(诸如,vxlan和vlan)的隧道端点。vxlan是一种覆盖网络封装协议。由vxlan封装创建的覆盖网络有时被称为vxlan网络,或简称为vxlan。当主机1100上的vm将数据分组(例如,以太网帧)发送到在相同vxlan网络中但是在不同主机上的另一个vm时,在将分组发送到物理网络之前,上行链路模块1170使用vxlan网络的vni和vtep的网络地址封装数据分组。分组通过物理网络被隧道化到目的地主机(即,封装使得底层分组对于中间网元是透明的)。上行链路模块1170还对传入的vxlan分组进行解封装,并只将原始的内部数据分组转发到目的地vm。
在本文档中,术语“分组”是指跨网络发送的特定格式的比特集合。本领域普通技术人员将认识到的是,术语分组在本文中可以用于指可以跨网络发送的比特的各种格式化集合,诸如以太网帧、tcp段、udp数据报、ip分组,等等。
贯穿本说明书涉及包括虚拟机(vm)的计算和网络环境。但是,虚拟机只是数据计算节点(dcn)或数据计算端节点(也被称为可寻址节点)的一个示例。dcn可以包括非虚拟化物理主机、虚拟机、在主机操作系统之上运行而不需要管理程序或单独的操作系统的容器、以及管理程序内核网络接口模块。
在一些实施例中,vm使用由虚拟化软件(例如,管理程序、虚拟机监视器,等等)虚拟化的主机的资源在主机上与其自己的客户操作系统一起操作。租户(即vm的所有者)可以选择在客户操作系统之上要操作哪些应用。另一方面,一些容器是在主机操作系统之上运行而不需要管理程序或单独的客户操作系统的结构。在一些实施例中,主机操作系统使用命名空间将容器彼此隔离,并且因此提供在不同容器内操作的不同应用组的操作系统级隔离。这种隔离类似于在虚拟化系统硬件的管理程序虚拟化环境中提供的vm隔离,并且因此可以被视为隔离在不同容器中操作的不同应用组的虚拟化形式。这种容器比vm更轻量。
在一些实施例中,管理程序内核网络接口模块是包括具有管理程序内核网络接口和接收/传输线程的网络堆栈的非vmdcn。管理程序内核网络接口模块的一个示例是作为vmware公司的esxitm管理程序的一部分的vmknic模块。
本领域普通技术人员将认识到的是,虽然本说明书涉及vm,但是给出的示例可以是任何类型的dcn,包括物理主机、vm、非-vm容器和管理程序内核网络接口模块。事实上,在一些实施例中,示例网络可以包括不同类型的dcn的组合。
iv.电子系统
许多上述特征和应用被实现为软件过程,该软件过程被指定为记录在计算机可读存储介质(也被称为计算机可读介质)上的一组指令。当这些指令被(一个或多个)处理单元(例如,一个或多个处理器、处理器核心、或其它处理单元)执行时,它们使得该(一个或多个)处理单元执行在指令中指示的动作。计算机可读介质的示例包括,但不限于,cd-rom、闪存驱动器、ram芯片、硬盘驱动器、eprom,等等。计算机可读介质不包括无线传递或通过有线连接传递的载波和电子信号。
在本说明书中,术语“软件”是指包括驻留在只读存储器中的固件或者可以被读入到存储器中用于被处理器处理的存储在磁存储设备中的应用。此外,在一些实施例中,若干软件发明可以被实现为更大程序的子部分,同时保持独特的软件发明。在一些实施例中,若干软件发明也可以被实现为单独的程序。最后,一起实现本文所描述的软件发明的单独程序的任意组合在本发明的范围之内。在一些实施例中,当软件程序被安装以在一个或多个电子系统上操作时,软件程序定义执行该软件程序的操作的一个或多个特定的机器实现。
图12概念性地图示实现本发明的一些实施例的电子系统1200。电子系统1200可以用于执行任何上述控制、虚拟化或操作系统应用。电子系统1200可以是计算机(例如,桌面计算机、个人计算机、平板计算机、服务器计算机、大型机、刀片计算机,等等)、电话、pda或任何其它种类的电子设备。这种电子系统包括用于各种其它类型的计算机可读介质的各种类型的计算机可读介质和接口。电子系统1200包括总线1205、(一个或多个)处理单元1210、系统存储器1225、只读存储器1230、永久存储设备1235、输入设备1240、以及输出设备1245。
总线1205统一地表示通信连接电子系统1200的众多内部设备的所有系统、外设和芯片组总线。例如,总线1205将(一个或多个)处理单元1210与只读存储器1230、系统存储器1225、永久存储设备1235通信地连接。
从这些各种存储器单元中,(一个或多个)处理单元1210检索要执行的指令和要处理的数据,以便执行本发明的过程。(一个或多个)处理单元在不同实施例中可以是单个处理器或多核心处理器。
只读存储器(rom)1230存储由(一个或多个)处理单元1210和电子系统的其它模块所需要的静态数据和指令。另一方面,永久存储设备1235是读与写(read-and-write)存储器设备。这个设备是即使当电子系统1200关闭时也存储指令和数据的非易失性存储单元。本发明的一些实施例使用大容量存储设备(诸如,磁盘或光盘及其对应的盘驱动器)作为永久存储设备1235。
其它实施例使用可移除存储设备(诸如,软盘、闪存驱动器等)作为永久存储设备。与永久存储设备1235类似,系统存储器1225是读与写存储器设备。但是,与存储设备1235不同,系统存储器是易失性读与写存储器,诸如随机存取存储器。系统存储器存储处理器在运行时需要的一些指令和数据。在一些实施例中,本发明的过程被存储在系统存储器1225、永久存储设备1235、和/或只读存储器1230中。从这些各种存储器单元中,(一个或多个)处理单元1210检索要执行的指令和要处理的数据,以便执行一些实施例的过程。
总线1205还连接到输入设备和输出设备1240和1245。输入设备使得用户能够将信息和选择命令传递到电子系统。输入设备1240包括字母数字键盘和定点设备(也称为“光标控制设备”)。输出设备1245显示由电子系统生成的图像。输出设备包括打印机和显示设备,诸如阴极射线管(crt)或液晶显示器(lcd)。一些实施例包括用作输入设备和输出设备两者的的设备,诸如触摸屏。
最后,如在图12中所示,总线1205还通过网络适配器(未示出)将电子系统1200耦合到网络1265。以这种方式,计算机可以是计算机的网络(诸如,局域网(“lan”)、广域网(“wan”)、或内联网、或网络的网络,诸如互联网)的一部分。电子系统1200的任何或所有组件可以与本发明结合使用。
一些实施例包括电子组件,诸如微处理器、在机器可读或计算机可读介质(可替代地称为计算机可读存储介质、机器可读介质或机器可读存储介质)中存储计算机程序指令的存储设备和存储器。这种计算机可读介质的一些示例包括ram、rom、只读压缩盘(cd-rom)、可记录压缩盘(cd-r)、可重写压缩盘(cd-rw)、只读数字多功能盘(例如,dvd-rom,双层dvd-rom)、各种可记录/可重写dvd(例如,dvd-ram、dvd-rw、dvd+rw等)、闪存存储器(例如,sd卡、小型sd卡、微型sd卡等)、磁和/或固态硬盘驱动器、只读和可记录
虽然以上讨论主要涉及执行软件的微处理器或多核处理器,但是一些实施例由一个或多个集成电路(诸如,专用集成电路(asic)或现场可编程门阵列(fpga))来执行。在一些实施例中,这种集成电路执行存储在电路自身上的指令。
如在本说明书中所使用的,术语“计算机”、“服务器”、“处理器”以及“存储器”都是指电子或其它技术设备。这些术语不包括人或人群。出于本说明书的目的,术语显示或正在显示意味着在电子设备上显示。如本说明书中所使用的,术语“计算机可读介质”、“多个计算机可读介质”和“机器可读介质”被完全限制为以由计算机可读的形式存储信息的、有形的、物理的对象。这些术语不包括任何无线信号、有线下载信号、以及任何其它短暂信号。
虽然已经参考许多特定细节描述本发明,但是本领域普通技术人员将认识到的是,在不脱离本发明的精神的情况下,可以以其它特定形式体现本发明。此外,多个图(包括图5、9和10)概念性地图示过程。可以不以与所示出和描述的确切顺序执行这些过程的特定操作。可以不在一系列连续的操作中执行特定操作,并且不同的特定操作可以在不同的实施例中执行特定操作。此外,可以使用数个子过程来实现,或者作为较大的宏过程的一部分来实现过程。因此,本领域普通技术人员将理解的是,本发明不受上述说明性细节的限制,而是由所附权利要求来限定。
- 还没有人留言评论。精彩留言会获得点赞!