专利名称:在虚拟环境中识别目的地的方法
技术领域:
本公开中描述的实施例总地涉及通信网络,更具体而言涉及在虚拟化环境中路由网络流量。
背景技术:
虚拟化是通过在多个虚拟系统间共享单个物理计算机系统的资源来使得一个计算机可以做多个计算机的工作的技术。通过对虚拟化的使用,多个操作系统和应用同时在同一计算机上运行,从而增大了硬件的利用率和灵 活性。虚拟化使得服务器可以与下层硬件解除耦合,从而使得多个虚拟机共享相同的物理服务器硬件。在虚拟机环境中,虚拟交换机提供多个虚拟化系统上的虚拟网络接口和服务器上的物理网络接口之间的网络连通性。
在虚拟化服务器环境中,诸如防火墙、入侵防止系统(IPS)、入侵检测系统(IDS)和监视服务之类的服务正变成虚拟化的并且被部署为虚拟机(VM)。服务虚拟机(SVM)可被配置为向在服务器上运行的每个虚拟机提供这种服务。服务也可在服务器的集合中作为VM的集群运行。
在一些情况下,用户可能希望配置虚拟化交换机以向被转发到与该交换机相连的虚拟机的帧应用某些网络策略(例如重定向或跨越(span)(镜像)策略)。明确地基于端口标识(ID)来规定目的地端口的当前机制是麻烦的,因为必须对每个服务、每个服务器规定目的地端口。类似地,当新的服务器被添加到网络时,网络管理员可能需要配置网络策略以在新服务器上包括服务的服务端口。
以能够详细理解以上记载的本公开的特征的方式,通过参考实施例可对以上简要总结的本公开进行更具体描述,实施例中的一些在附图中图示。然而,要注意,附图仅图示出本公开的典型实施例,因此不应被理解为限制其范围,因为本公开可允许其他同等有效的实施例。
图I图示了这里描述的实施例可在其中实现的网络的示例。
图2图示了根据本公开的某些实施例的虚拟网络环境的示例服务器。
图3图示了根据本公开的某些实施例,服务器上的虚拟机与一端口断开连接并且重连接到可能在不同服务器上的同一端口群组中的另一端口的示例场景。
图4图示了根据本公开的某些实施例的用于在虚拟网络中识别目的地的示例操作。
图5图示了根据本公开的某些实施例的用于在虚拟网络中处理网络流量的示例操作。
图6A-6B图示了以一虚拟机为目的地、基于流量目的地规则被重定向或跨越到服务虚拟机的示例分组。
具体实施方式
概述
本公开的某些实施例给出了用于在虚拟化服务器上识别目的地和管理流量流的方法。具体地,为了为被虚拟交换机接收并以逻辑连接到该虚拟交换机的虚拟机为目的地的流量规定网络策略,例如网络重定向或跨越策略。这里描述的一个实施例记载了一种方法。该方法一般可包括向在容宿多个虚拟机实例的计算机服务器上执行的虚拟交换机上的第一端口群组指派端口简档(port profile).该端口简档可包括网络流量目的地规则。该方法还可包括将每个虚拟机实例上的虚拟网络接口连接到第一端口群组中的端口并且基于流量目的地规则来转发寻址到虚拟网络接口之一的网络流量。
在特定实施例中,流量目的地规则是规定将寻址到第一端口群组中的虚拟网络接口之一的网络流量重定向到第二端口群组中的活动端口的重定向规则。在另一实施例中,流量目的地规则是规定将寻址到第一端口群组中的虚拟网络接口之一的网络流量拷贝到第二端口群组中的活动端口的跨越规则。当然,端口简档可包括多个流量目的地规则,其中 包括跨越、重定向(和/或其他规则)。例如,端口简档可包括将选择性流量发送到适当的服务VM的一个或多个重定向规则。此外,第二端口群组中的活动端口可将虚拟交换机连接到为与第一端口群组中的端口相连的多个虚拟机实例提供诸如防火墙服务、入侵防止系统(IPS)、入侵检测系统(IDS)或网络流量监视服务之类的网络服务的虚拟机实例。
对示例实施例的描述
这里描述的实施例提供了用于将诸如重定向或跨越之类的网络策略的目的地规定为端口的逻辑集合(即,属于端口简档或端口群组的端口)的技术,其中端口集合的成员可被动态地添加/去除,而不要求对网络策略的任何改变。另外,网络管理员(或其他用户)甚至在目的地中的一些或全部在给定的虚拟化系统上活动之前就可为网络策略预定义目的地。在这样的情况下,网络策略可在所需的实体变得可用时生效。
某些实施例提供了虚拟环境中的实体从一个模块移动到另一个的灵活性,同时通过动态地适应于变化而尊重了支配实体的网络策略。这可包括实时重新确定流量的流的方向或者识别附近的目的地。例如,如果网络策略将以一服务器上的虚拟机为目的地的流量重定向到同一服务器上的SVM,那么当该虚拟机移动到新服务器时,流量应当被重定向到新服务器上的而不是旧服务器上的SVM。所提出的方法大大简化了网络策略的定义和部署。
给出以下描述来使得本领域的普通技术人员能够做出和使用所提出的技术。对具体实施例和应用的描述只是作为示例提供的并且本领域技术人员将容易清楚各种修改。这里描述的一般原理可应用到其他实施例和应用,而不脱离本公开的范围。从而,本公开不限于所示出的实施例,而是应符合与这里描述的原理和特征一致的最宽范围。出于清晰目的,没有详细描述涉及与所提出的构思相关的技术领域:
中已知的技术素材的特征。
虚拟化通过在多个系统间共享单个计算机的资源来使得一个计算机可以做多个计算机的工作。软件可用于虚拟化计算机的硬件资源,例如包括中央处理单元(CPU)、随机访问存储器(RAM)、硬盘和网络控制器,以创建能够运行其自己的操作系统和应用的虚拟机。多个虚拟机可共享硬件资源,而不彼此干扰,使得若干个操作系统和应用可同时在单个计算机上运行。虚拟机例如可用在虚拟基础设施中来动态地将物理资源映射到业务需求。虚拟化从而使得能够将多个服务器、存储基础设施和网络聚集成可根据需要被动态地交付给应用的共享资源。
在虚拟环境中,虚拟交换机提供虚拟机接口和服务器上的物理接口之间的网络连通性。每个服务器可包括许多虚拟机,并且单个虚拟交换域可涵盖许多服务器。网络管理员通常配置虚拟交换机和虚拟交换机上的虚拟端口的连通性约束,而系统(服务器)管理员则配置虚拟机并识别虚拟机接口应当连接到的虚拟端口。
对于某些实施例,不是用诸如端口名称、虚拟局域网(VLAN) ID、模块ID等等之类的标识符来标识网络策略中涉及的实体,而是可预定义“逻辑实体”。在这种情况下,网络策略可参考逻辑实体而不是与实体相关联的标识符(即利用端口号)。逻辑实体可表示多于一个实体。实体可静态地(例如通过管理性操作)或动态地(例如利用发现机制)成为逻辑实体的成员。
由于多于一个实体可以是逻辑实体的成员,所以策略可定义网络策略是对逻辑实 子集和第二子集的多个成员(例如实体)。网络策略可仅对实体的第一子集有效。
对于某些实施例,如果必要,属于逻辑实体的一组实体可按另一策略被排序以便进行顺次处理。逻辑实体例如可由端口简档名称来标识。
端口简档提供用于为多个接口定义共同的配置策略(属性)集合的容器。端口简档与由网络管理员定义并在大量端口(称为端口群组)在虚拟化环境中上线时应用到这些端口的端口配置策略相关联。
图I图示了可实现这里所描述的实施例的网络100的示例。为了简化,只示出了少量节点。网络100可被配置来用作数据中心或任何其他类型的网络。要理解,图I中所示的网络只是一个示例,并且这里描述的实施例可用在具有不同配置和类型的网络设备的网络中。图I中所示的网络100包括与服务器106和管理站102通信的物理交换机104。
服务器106还与虚拟监督器模块(VSM) 114通信。VSM可位于物理装置(例如服务器)中,经由物理交换机104与服务器106和管理站102通信,或者VSM可以是安装在服务器之一或者网络中的另一服务器处的虚拟装置(例如虚拟机)。如图所示,每个服务器106包括虚拟交换机108 (在这里称为虚拟以太网模块(VEM)),以及被标记为VM#1、VM#2、VM#3等等的虚拟机110的集合。虚拟机110共享硬件资源,而不彼此干扰,从而使得多个操作系统和应用能够同时在单个计算机上执行。诸如超级监督器之类的虚拟机监视器动态地分配硬件资源给虚拟机110。在图I的示例中,服务器#1和服务器#2具有三个虚拟机,并且服务器#3具有两个虚拟机,每个服务器与其他服务器在物理上分开。每个虚拟机110可基于流量样式、硬件资源或其他标准被在服务器之间移动。
此外,每个服务器包括一个被称为服务虚拟机(SVM) 112的虚拟机。SVM 112可被配置来为以该服务器106上的VM 110之一为目的地的网络流量提供多种服务。例如,SVM112可提供防火墙、入侵防止系统(IPS)、入侵检测系统(IDS)和监视服务,等等。在一个实施例中,为每个物理服务器106产生单个SVM 112,从而使得给定的SVM 112可以为该服务器106上的VM提供服务。或者,这种服务可由服务器的集合中的VM的集群来提供。在一个实施例中,按照存储在端口简档中(并且应用到虚拟交换机108上的端口群组)的网络策略的规定,以VM 110为目的地的网络流量可被重定向或镜像(跨越)到SVM 112。
VSM 114被配置来为虚拟机提供控制平面功能。虚拟交换机108在服务器处提供交换能力并且作为与VSM的控制平面相关联的数据平面操作。VSM和虚拟交换机(VEM)IOS一起操作以从管理站102来看形成分布式虚拟交换机。
图2图示了根据本公开的某些实施例的虚拟网络环境中的示例服务器。VM 110和SVM 112经由连接到由虚拟交换机108提供的虚拟以太网模块(VEM)的虚拟网络接口卡(VNIC) 202与虚拟交换机108通信。SVM 112连接到作为与SVM端口简档相关联的端口群组214的一部分的端口 216。交换机108对于每个物理网络接口卡包括以太网端口 204。交换机上的一般称为“端口群组”206的端口的群组可共享相似的规格(即,共享相同的端口简档)。虚拟交换机经由物理网络接口卡208与网络210通信。虚拟交换机在VM 110以及SVM 112和物理网络接口卡208之间路由流量。超级监督器212监视虚拟交换机并且动态地向虚拟机110分配硬件资源。
图3图示了根据本公开的某些实施例,服务器上的虚拟机与一端口断开连接并且重连接到可能在不同服务器上的同一端口群组中的另一端口的示例场景。如图所示,最初连接到虚拟交换机108上的端口 302的VM#1110上的VNIC接口 306与端口 302断开连接并
且重连接到属于同一端口群组的端口 304。因此,以VM#1上的VNIC接口 306为目的地的流量被转发到端口 304,并且为绑定到端口群组206的端口简档规定的任何网络策略被应用到该流量。例如,如果网络策略规定以端口 302为目的地的流量应当被重定向到SVM 112,则在将VNIC 306重连接到端口 304之后,以端口 304为目的地的流量也将被重定向到SVM112。
对于某些实施例,如果VM上的VNIC接口与一服务器上的虚拟交换机上的端口断开连接并且移动到一不同服务器上的虚拟交换机上的同一端口群组中的端口,则相似的网络策略被应用到通过新端口发送到该VM的流量。以该VNIC接口为目的地的流量将被定向到新服务器并且诸如用于将流量重定向或镜像到旧服务器上的SVM的重定向或跨越之类的网络策略将自动把流量重定向到新服务器上的SVM。发生这个是因为诸如重定向或跨越之类的网络策略的目的地被定义为端口简档(例如SVM端口简档)而不是旧服务器上的SVM的特定ID。
图4图示了根据本公开的某些实施例的用于在虚拟化网络中识别目的地的方法。在402,虚拟交换机可接收规定流量目的地规则的网络策略(例如重定向策略或跨越/镜像策略)。网络策略可包括作为受制于该网络策略的网络流量的目的地的端口简档名称。在404,端口简档被指派给虚拟交换机上的端口群组。例如,SVM端口简档可被指派给连接到SVMl 12的实例(即连接到提供诸如防火墙、入侵防止系统(IPS)、入侵检测系统(IDS)和监视服务之类的某些服务的服务器上的VM)的端口。注意,当端口简档被创建并指派给端口群组中的一个或多个端口时,SVMl 12不需要被实例化。
类似地,VM端口简档可被指派给用于将多个VM 110连接到虚拟交换机(参见图2)的虚拟交换机上的端口的群组。这种端口简档可规定诸如跨越(指示出去往相关联的VM110的网络流量应当被镜像到SVM端口群组中的端口)或重定向策略(指示出去往相关联的VM 110的网络流量应当被重定向到SVM群组中的端口)之类的网络策略。在这种情况下,当在服务器上产生VM 110,并且虚拟网络接口连接到VM端口群组中的端口时,VEM(即虚拟交换机)可识别端口简档中的网络策略并且相应地配置端口,例如将发送到VM端口的所有流量重定向到其上连接了 SVM 112的端口。此方案避免了要求网络管理员为每个服务器上的VM手动配置每个流量目的地规则或网络策略。
在406,一个或多个虚拟机上的一个或多个接口连接到端口群组中的一个或多个端口。例如,在图2中,VM#1上的VNIC和VM#2上的VNIC连接到VM端口群组206中的端口,并且SVM 112连接到SVM端口群组206中的端口。在408,基于对于各个端口群组生效的端口简档规定的流量目的地规则将流量路由到接口。
图5图示了根据本公开的某些实施例的用于在虚拟网络中处理网络流量的示例操作500。图5更详细地图示了图4中的步骤408。在502,虚拟交换机接收以连接到端口群组中的端口的虚拟机上的接口为目的地的帧。例如,该帧可以图2中的VM#1110上的VNIC为目的地。在504,识别与该端口群组相关联 的端口简档。在一个实施例中,端口简档可与规定流量目的地规则的网络策略相关联。如上所述,流量目的地规则可以是到具有SVM端口简档的端口的重定向规则或跨越/镜像规则。
在506,响应于确定端口具有流量目的地规则,根据该规则处理帧。例如,如果流量目的地规则规定将所有流量重定向到SVM的重定向策略,则虚拟交换机将原本寻址到VM端口的帧重定向到被指派了 SVM端口简档的端口。利用图2作为示例,寻址到VM#1 110的帧可被重定向到SVM 112,而不是被转发到该帧所寻址到的VM#1 110上的VNIC。在一个实施例中,如果虚拟交换机上的端口没有以SVM端口简档活动的,则虚拟交换机可将寻址到VM#1 110的帧发送到该VM。
类似地,如果目的地规则规定将所有流量镜像到SVM,则虚拟交换机可将寻址到VM端口的帧转发到所寻址的目的地,但也还将每个帧的拷贝转发到SVM端口简档在其上活动的端口。利用图2作为示例,寻址到VM#1 110的帧可被转发到SVM 112和VM#1 110上的VNIC两者。在一个实施例中,如果虚拟交换机上的端口没有以SVM端口简档活动的,则虚拟交换机可仍将寻址到VM#1 110的帧发送到该VM。
在508,如果虚拟机被从一个物理服务器迁移到另一个,则寻址到该虚拟机的帧基于流量目的地规则被转发到第二服务器上的目的地。例如,如果流量目的地规则是到具有SVM端口简档的端口的跨越/镜像,则在虚拟机被迁移到第二服务器之后,流量的拷贝将被发送到第二服务器上的SVM。
图6A-6B图示了寻址到一虚拟机、基于流量目的地规则被重定向或跨越到服务虚拟机的示例帧。
图6A图示了基于与虚拟交换机630上的端口相关联的端口简档而重定向的帧的示例。如图所示,帧616被虚拟交换机630接收。具体而言,帧616被寻址到VM#1 110并且被虚拟交换机在端口 601上接收(如箭头642所表示)。在此示例中,帧616被寻址到VM#1110,VM#1 110连接到虚拟交换机630上的端口 614。另外,端口 614和611与端口群组610相关联。假定与端口群组610相关联的端口简档包括重定向规则613,该重定向规则613规定去往端口群组610中的任何端口的流量应当被重定向到SVM,或者更具体而言被重定向到与名为“SVM”的端口简档相关联的端口群组中的活动端口。在此示例中,端口 612在SVM端口群组602中是活动的。从而,虚拟交换机630不将帧616发送到所寻址的VM#1110的目的地。取而代之,帧616被转发到端口群组602中的端口 612 (如箭头622所表示),在该处其被发送到SVM 112 (如箭头624所表示)。如上所述,SVM 112可被配置为提供多种服务,如防火墙、入侵防止系统(IPS)、入侵检测系统(IDS)和监视服务。一旦经SVM 112处理,帧616就被朝着虚拟交换机630上的端口 612发回,虚拟交换机630随后将其朝着端口614转发,并且最终到VM#1110 (如箭头624,626和628所表示)。
图6B图示了基于与虚拟交换机上的端口相关联的端口简档而镜像的帧的示例。如图所示,帧616被虚拟交换机630接收。具体而言,帧616被寻址到VM#1110并且被虚拟交换机在端口 601上接收(如箭头642所表示)。在此示例中,帧616被寻址到VM#1110,VM#1110连接到虚拟交换机630上的端口 614。另外,端口 614和611与端口群组640相关联。然而,与图6A中所示的重定向规则613不同,在图6B中,端口群组640与规定跨越规则623的端口简档相关联。
假定跨越规则623指示出去往端口群组640中的任何端口的流量应当被镜像到SVM,或者更具体而言被镜像到与名为“SVM”的端口简档相关联的活动端口(或端口群组)。在这种情况下,虚拟交换机630在端口 614上将帧616发送到所寻址的VM#1110的目的地(如图6B中箭头634和636所示)。然而,帧616也被发送到端口 601,从而将帧616的拷贝转发到SVM 12 (如箭头631和632所表示)。也就是说,根据流量目的地规则(即跨越规则623)转发帧616。另外,因为该规则与端口简档相关联,所以网络管理员不需要为在服务器 106上产生的每个虚拟机手动配置期望的网络镜像。
有利地,本公开的某些实施例描述了一种甚至在实体存在之前利用逻辑集合(SP端口简档)为网络策略(例如重定向或跨越)逻辑地定义目的地的方法。网络策略的目的地在实体被添加、使能或移动时动态地生效。从而,这里描述的实施例通过支持重定向到端口简档而不是特定实体来提供并简化了虚拟化环境中的服务的配设。另外,当部署新的SVM时或者如果移动了 SVM,网络策略不必改变。从而,这里描述的方法的实施例使服务器与网络管理员之间交互达到最低限度。
虽然以上针对的是本公开的实施例,但在不脱离本公开的基本范围的情况下可设计出本公开的其他和进一步实施例,并且本公开的范围由所附权利要求
确定。
权利要求
1.一种方法,包括 向在容宿多个虚拟机实例的计算机服务器上执行的虚拟交换机上的第一端口群组指派端口简档,其中所述端口简档包括网络流量目的地规则; 将每个所述虚拟机实例上的虚拟网络接口连接到所述第一端口群组中的端口 ;以及 基于所述流量目的地规则来转发寻址到所述虚拟网络接口之一的网络流量。
2.如权利要求
I所述的方法,其中,所述流量目的地规则是规定将寻址到所述第一端口群组中的虚拟网络接口之一的网络流量重定向到第二端口群组中的活动端口的重定向规则。
3.如权利要求
2所述的方法,其中,所述第二端口群组中的活动端口将所述虚拟交换机连接到为与所述第一端口群组中的端口相连的所述多个虚拟机实例提供防火墙服务、入侵防止系统(IPS)中的至少一个的虚拟机实例。
4.如权利要求
I所述的方法,其中,所述流量目的地规则是规定将寻址到所述第一端口群组中的虚拟网络接口之一的网络流量拷贝到第二端口群组中的活动端口的跨越规则。
5.如权利要求
4所述的方法,其中,所述第二端口群组中的活动端口将所述虚拟交换机连接到为与所述第一端口群组中的端口相连的所述多个虚拟机实例提供防火墙服务、入侵检测系统(IPS)和网络流量监视服务中的至少一个的虚拟机实例。
6.如权利要求
I所述的方法,还包括 在所述虚拟交换机处接收寻址到所述第一端口群组中的虚拟网络接口之一的帧; 识别与所述第一端口群组相关联的端口简档中的所述网络流量目的地规则;以及 由所述虚拟交换机基于所述流量目的地规则来转发寻址到该虚拟网络接口的帧。
7.如权利要求
I所述的方法,还包括 将所述虚拟机实例之一从所述计算机服务器迁移到第二计算机服务器; 将被迁移的虚拟机实例上的虚拟网络接口连接到所述第二计算机服务器上的虚拟交换机上的端口群组;以及 基于与所述第二计算机服务器上的虚拟交换机上的端口群组相关联的第二流量目的地规则来转发寻址到被迁移的虚拟网络接口的网络流量。
8.一种计算系统,包括 处理器;以及 存储器,包含被配置来为所述计算系统上的多个虚拟机实例提供虚拟交换机的虚拟化程序,该程序当在所述处理器上被执行时执行操作,所述操作包括 向在所述计算系统上执行的虚拟交换机上的第一端口群组指派端口简档,其中所述计算系统容宿多个虚拟机实例,并且所述端口简档包括网络流量目的地规则; 将每个所述虚拟机实例上的虚拟网络接口连接到所述第一端口群组中的端口 ;以及由所述虚拟交换机基于所述流量目的地规则来转发寻址到所述虚拟网络接口之一的网络流量。
9.如权利要求
8所述的计算系统,其中,所述流量目的地规则是规定将寻址到所述第一端口群组中的虚拟网络接口之一的网络流量重定向到第二端口群组中的活动端口的重定向规则。
10.如权利要求
9所述的计算系统,其中,所述第二端口群组中的活动端口将所述虚拟交换机连接到为与所述第一端口群组中的端口相连的所述多个虚拟机实例提供防火墙服务、入侵防止系统(IPS)中的至少一个的虚拟机实例。
11.如权利要求
8所述的计算系统,其中,所述流量目的地规则是规定将寻址到所述第一端口群组中的虚拟网络接口之一的网络流量拷贝到第二端口群组中的活动端口的跨越规则。
12.如权利要求
11所述的计算系统,其中,所述第二端口群组中的活动端口将所述虚拟交换机连接到为与所述第一端口群组中的端口相连的所述多个虚拟机实例提供防火墙服务、入侵检测系统(IPS)和网络流量监视服务中的至少一个的虚拟机实例。
13.如权利要求
8所述的计算系统,其中,所述操作还包括 在所述虚拟交换机处接收寻址到所述第一端口群组中的虚拟网络接口之一的帧; 识别与所述第一端口群组相关联的端口简档中的所述网络流量目的地规则;以及 由所述虚拟交换机基于所述流量目的地规则来转发寻址到该虚拟网络接口的帧。
14.如权利要求
8所述的计算系统,其中,所述操作还包括 将所述虚拟机实例之一从所述计算机服务器迁移到第二计算机服务器; 将被迁移的虚拟机实例上的虚拟网络接口连接到所述第二计算机服务器上的虚拟交换机上的端口群组;以及 基于与所述第二计算机服务器上的虚拟交换机上的端口群组相关联的第二流量目的地规则来转发寻址到被迁移的虚拟网络接口的网络流量。
15.一种计算机可读存储介质,包含当在处理器上被执行时执行操作的虚拟交换机程序,所述操作包括 向在容宿多个虚拟机实例的计算机服务器上执行的虚拟交换机上的第一端口群组指派端口简档,其中所述端口简档包括网络流量目的地规则; 将每个所述虚拟机实例上的虚拟网络接口连接到所述第一端口群组中的端口 ;以及 基于所述流量目的地规则来转发寻址到所述虚拟网络接口之一的网络流量。
专利摘要
描述了用于将诸如重定向或跨越策略之类的网络策略的目的地规定为端口的逻辑集合(即,属于端口简档或端口群组的端口)的技术,其中端口集合的成员可被动态地添加/去除,而不要求对网络策略的任何改变。另外,网络管理员(或其他用户)甚至在目的地中的一些或全部在给定的虚拟化系统上活动之前就可为网络策略预定义目的地。在这样的情况下,网络策略可在所需的实体变得可用时生效。
文档编号GKCN102845035SQ201180019223
公开日2012年12月26日 申请日期2011年4月13日
发明者乌达亚库马·西尼瓦萨恩, 斯里尼瓦斯·萨德, 约瑟夫·麦克萨米·斯万弥那萨, 艾史温·迪帕克·斯万弥那萨 申请人:思科技术公司导出引文BiBTeX, EndNote, RefMan