在虚拟化的云环境中使用访问控制列表的层2网络的制作方法

背景技术：

1、云计算提供计算资源的按需可用性。云计算可以基于用户可通过互联网访问的数据中心。云计算可以提供基础设施即服务(iaas)。可以创建虚拟网络以供用户使用。但是，这些虚拟网络具有限制其功能性和价值的局限性。因而，期望进一步的改进。

技术实现思路

1、本公开涉及虚拟化的云环境。描述了在虚拟化的云环境中提供层2联网功能性的技术。层2功能性是作为由虚拟化的云环境提供的层3联网功能性的补充并与其一起提供的。

2、本公开的一些实施例涉及在私有网络(诸如客户的虚拟云网络(vcn))中向客户提供层2虚拟局域网(vlan)。不同的计算实例在层2vlan中连接。给客户的感觉是连接计算实例的模拟的单个交换机。事实上，这个模拟的交换机是作为包括本地交换机的集合的无限可扩展的分布式交换机实现的。更具体而言，每个计算实例都在连接到网络虚拟化设备(nvd)的主机机器上执行。对于连接到nvd的主机上的每个计算实例，nvd托管与计算实例相关联的层2虚拟网络接口卡(vnic)和本地交换机。层2vnic表示计算实例在层2vlan上的端口。本地交换机将vnic连接到与层2vlan的其它计算实例相关联的其它vnic(例如，其它端口)。支持各种层2网络服务，包括例如使用层2访问控制列表(acl)。

3、本文描述了各种实施例，包括方法、系统、存储可由一个或多个处理器执行的程序、代码或指令的非暂态计算机可读存储介质等。

技术特征：

1.一种方法，包括：

2.如权利要求1所述的方法，其中所述acl信息、nvd、层2虚拟网络接口和层2虚拟交换机是第一acl信息、第一nvd、第一层2虚拟网络接口和第一层2虚拟交换机，并且其中所述方法还包括：

3.如权利要求1-2中的任一项所述的方法，其中帧经由层2虚拟网络接口从和/或到层2计算实例的流由nvd根据acl信息基于acl信息与层2虚拟网络接口之间的所存储的关联来控制。

4.如权利要求1-3中的任一项所述的方法，还包括：

5.如权利要求4所述的方法，其中所述客户的所述输入指示acl信息和层2端口的客户指定的名称，并且其中所述方法还包括：

6.如权利要求4所述的方法，其中所述客户的所述输入指示acl信息和层2端口的客户指定的名称，并且其中所述方法还包括：

7.如权利要求6所述的方法，其中所述客户的所述输入指示acl信息和层2端口的客户指定的名称，并且其中所述方法还包括：

8.如权利要求1-7中的任一项所述的方法，其中所述客户的所述输入指示acl信息适用于以下当中的至少一个：目的地端口、源端口、目的地介质访问控制(mac)地址、源mac地址、目的地互联网协议(ip)地址、源ip地址、通信协议类型、流量广播或流量单播。

9.一种网络虚拟化设备，包括：

10.如权利要求9所述的网络虚拟化设备，其中acl信息控制到层2计算实例的入口流量，其中报头信息包括与层2虚拟网络接口相关联的目的地介质访问(mac)地址，并且其中基于目的地mac地址与acl信息之间的所存储的关联来控制帧经由层2虚拟网络接口到层2计算实例的流。

11.如权利要求9所述的网络虚拟化设备，其中acl信息控制到层2计算实例的入口流量，其中报头信息包括与所述多个层2虚拟网络接口中的另一个层2虚拟网络接口相关联的源介质访问(mac)地址，并且其中基于源mac地址与acl信息之间的所存储的关联来控制帧经由层2虚拟网络接口到层2计算实例的流。

12.如权利要求9-11中的任一项所述的网络虚拟化设备，其中acl信息控制来自层2计算实例的出口流量，其中报头信息包括与层2虚拟网络接口相关联的源介质访问(mac)地址，并且其中基于源mac地址与acl信息之间的所存储的关联来控制帧经由层2虚拟网络接口从层2计算实例的流。

13.如权利要求9-11中的任一项所述的网络虚拟化设备，其中acl信息控制来自层2计算实例的出口流量，其中报头信息包括与所述多个层2虚拟网络接口中的另一个层2虚拟网络接口相关联的目的地介质访问(mac)地址，并且其中基于目的地mac地址与acl信息之间的所存储的关联来控制帧经由层2虚拟网络接口从层2计算实例的流。

14.如权利要求9-13中的任一项所述的网络虚拟化设备，其中客户的输入指示acl信息适用于以下当中的至少一个：目的地端口、源端口、目的地介质访问控制(mac)地址、源mac地址、目的地互联网协议(ip)地址、源ip地址、通信协议类型、流量广播或流量单播。

15.如权利要求9-14任一项所述的网络虚拟化设备，其中所述层2计算实例、层2虚拟网络接口、层2虚拟交换机和acl信息分别是第一层2计算实例，第一层2虚拟网络接口、第一层2虚拟交换机和第一acl信息，并且其中所述一个或多个计算机可读存储介质存储附加指令，这些附加指令在由所述一个或多个处理器执行时将网络虚拟化设备配置为：

16.如权利要求15所述的网络虚拟化设备，其中所述帧和报头信息分别是第一帧和第一报头信息，并且其中所述一个或多个计算机可读存储介质存储进一步的指令，所述进一步的指令在由所述一个或多个处理器执行时将网络虚拟化设备配置为：

17.如权利要求16所述的网络虚拟化设备，其中第一acl信息控制到第一层2计算实例的入口流量，其中第二acl信息控制来自层2计算实例的出口流量，其中基于第一报头信息与第一acl信息之间的第一存储的关联来控制第一帧经由第一层2虚拟网络接口到第一层2计算实例的流，并且其中基于第二报头信息与第二acl信息之间的第二存储的关联来控制第二帧经由第二层2虚拟网络接口从第一层2计算实例的流。

18.一种系统，包括：

19.如权利要求18所述的系统，其中所述一个或多个计算机可读存储介质存储附加指令，所述附加指令在由所述一个或多个处理器执行时将系统配置为：

20.如权利要求18-19中的任一项所述的系统，其中帧经由层2虚拟网络接口从和/或到层2计算实例的流由nvd根据acl信息基于acl信息与层2虚拟网络接口之间的所存储的关联来控制。

技术总结
描述了用于L2虚拟网络中的通信的技术。在示例中，L2虚拟网络包括托管在主机机器的集合上的多个L2计算实例以及托管在网络虚拟化设备的集合上的多个L2虚拟网络接口和L2虚拟交换机。L2虚拟网络接口模拟L2虚拟网络的L2端口。适用于L2端口的访问控制列表(ACL)信息被发送到托管L2虚拟网络接口的网络虚拟化设备。

技术研发人员：J·S·布拉尔,L·M·克雷格-斯蒂克勒斯,B·E·博克曼,P·C·琼斯,S·贝克
受保护的技术使用者：甲骨文国际公司
技术研发日：
技术公布日：2024/1/14