对服务功能链中的服务功能的并行处理的制作方法
【专利说明】对服务功能链中的服务功能的并行处理
【背景技术】
[0001] 现代的计算设备已经变为个人、企业,以及社交用途的无所不在的工具。如此,许 多现代的计算设备能够连接到各种数据网络,包括因特网以及公司的内联网,以从远程计 算设备(例如,服务器、数据库,等等)检索和传输/接收数据通信(即,网络分组)。多个远程 计算设备(即,从客户端计算设备的角度来看)可以被联网在一起,以形成数据中心,其中通 常提供一个或多个远程计算设备以执行特定网络功能(例如,分组检查、入侵检测,以及防 火墙)。尽管传统的远程计算设备包括了专用硬件以执行特定网络功能,但是,网络功能正 在变得越来越虚拟化。例如,网络功能虚拟化(NFV)是由数据中心管理员使用虚拟机(VM)来 构建动态虚拟化的网络所依赖的网络体系结构概念。随着虚拟化网络功能正在VM上被越来 越多地执行,虚拟化网络功能可以在带有通用处理器的现成服务器上执行。
[0002] 虚拟化网络功能,或服务功能,可以在被称为服务链接的过程中被动态地链接在 一起,以形成服务功能链。在服务功能链中,每一服务功能都由专门编制(spin)用于执行服 务功能链的特定的服务功能的一个或多个VM执行。可以针对与网络分组相关联的属性(例 如,有效负载类型、网络分组开销)定制哪些服务功能被包括在服务功能链中。例如,数据中 心的管理员可以定义安全服务功能(例如,虚拟化防火墙功能、虚拟化入侵检测功能,等等) 的服务功能链,其中每一个服务功能都可以被配置成按特定顺序来处理从计算设备接收到 的网络分组。然而,以这样的基于串行的顺序来处理网络分组可能会产生等待时间,并对服 务功能链的多个服务功能造成瓶颈效应。例如,服务功能链中的最慢的服务功能变为对性 能扩展的限制。
[0003] 附图简述
[0004] 在所附附图中,以示例方式而非限制方式示出本文中所描述的概念。为说明简单 和清楚起见,附图中所示出的元件不一定是按比例绘制的。在认为合适的情况下,已在不同 的附图之间重复了参考标号以指示对应的或类似的元件。
[0005] 图1是用于通过包括若干个服务功能的服务功能链来处理网络分组的系统的至少 一个实施例的简化框图;
[0006] 图2是图1的系统的远程计算设备的至少一个实施例的简化框图;
[0007] 图3是图1和2的系统的远程计算设备的环境的至少一个实施例的简化框图;
[0008] 图4是可以由图1和2的远程计算设备执行的用于通过服务功能路径来处理网络分 组的方法的至少一个实施例的简化流程图;
[0009] 图5是可以由图1和2的远程计算设备执行的用于标识可以在服务功能链中并行地 执行的服务功能的方法的至少一个实施例的简化流程图;
[0010] 图6是可以由图4和5的方法所生成的服务功能链的至少一个实施例的简化框图;
[0011] 图7是可以由图4和5的方法所生成的服务功能链的另一实施例的简化框图;
[0012] 图8是可以由图4和5的方法所生成的服务功能链的另一实施例的简化框图;以及
[0013] 图9是可以由图4和5的方法所生成的服务功能链的另一实施例的简化框图。
【具体实施方式】
[0014] 尽管本公开的概念易于具有各种修改和替代形式,但是已在附图中以示例方式示 出了本公开的特定实施例,并将在本文中详细地描述。然而,应该理解,没有将本公开的概 念限制于所公开的特定形式的意图,相反,意图旨在涵盖符合本公开和所附权利要求书的 所有修改、等效和替代方案。
[0015] 说明书中对"一个实施例"、"实施例"、"说明性实施例"等等的引用指示所描述的 实施例可包括特定特征、结构或特性,但是,每一个实施例可包括或可以不一定包括该特定 特征、结构或特性。此外,这样的短语不一定是指同一个实施例。此外,当结合一个实施例描 述特定特征、结构或特性时,认为在本领域技术人员学识范围内,可以与其他实施例一起实 施这样的特征、结构或特性,无论是否对此明确描述。另外,还应该理解,"A,B,以及C中的至 少一个"的形式的列表中所包括的项可以表不(A); (B); (C): (A和B); (A和C); (B和C);或(A, B,以及C)。类似地,以"A,B,或C中的至少一个"的形式列出的项可以表示以);(8);(〇;(八和 B); (A和C); (B以及C);或(A,B,以及C)。
[0016] 在某些情况下,可在硬件、固件、软件或其任何组合中实现所公开的实施例。所公 开的各实施例还可实现为携载于或存储在一个或多个瞬时的或非瞬时的机器可读(例如, 计算机可读)存储介质中的可以由一个或多个处理器读取和执行的指令。机器可读存储介 质可以具体化为用于以可由机器读取的形式存储或传输信息的任何存储设备、机制或其他 物理结构(例如,易失性或非易失性存储器、介质盘或其他介质设备)。
[0017] 在附图中,某些结构或方法特征能以特定安排和/或排序示出。然而,应当理解,这 样的特定安排和/或排序可能不是必需的。相反,在某些实施例中,这样的特征能以与在说 明性附图中所示出的不同的方式和/或顺序安排。另外,在特定附图中对结构或方法特征的 包括不意味着暗示这样的特征在所有实施例中都时必需的,并且在某些实施例中,可以不 包括这样的特征,或者它可以与其他特征相结合。
[0018] 现在参考图1,在一说明性实施例中,用于通过服务功能链来处理网络分组的系统 100包括连接到包括网络控制器1〇8(例如,控制平面)的远程计算设备106的计算设备102。 在某些实施例中,远程计算设备106可以位于数据中心110。数据中心110可以是包括任意数 量的远程计算设备106的高度异构的数据中心环境。在某些实施例中,网络控制器108可以 被包括在远程计算设备106中,如图1所示,或位于远程计算设备106外部,这取决于网络体 系结构和数据中心110中的远程计算设备106的数量。在使用中,通过网络104在计算设备 102和远程计算设备106之间传输网络分组。可以使用任何合适的通信协议(例如,TCP/IP) 来在相应的设备之间进行网络分组的传输,取决于,例如,远程计算设备106的特定类型或 配置。
[0019] 在使用中,如下文更详细地描述的,在从计算设备102接收到网络分组时,远程计 算设备106确定哪些网络功能或服务(例如,防火墙服务、网络地址转换(NAT)服务、负载平 衡服务、深度分组检查(DPI)服务、传输控制协议(TCP)优化服务等等)需要对网络分组执 行。在某些实施例中,可以基于对应于与网络分组相关联的属性(诸如网络分组类型)的流 动策略或规则,来确定所需的服务。例如,web流量网络分组可能要求入侵检测服务、应用程 序递送控制器服务,以及防火墙服务。与网络分组相关联的属性可以横跨开放系统互连 (OSI)模型的各层。例如,属性可包括应用程序层信息、因特网协议(IP)头部信息、目的地信 息(例如,目的地端口、IP、DNS,等等),和/或等等。
[0020] 在传统的网络体系结构中,每一服务都通常在包括被配置成执行一个特定服务的 服务专用硬件的单独物理设备上执行。相比之下,基于软件的网络体系结构(例如,软件定 义的网络(SDN)和网络功能虚拟化(NFV))可以使用软件来实例化服务功能链中的接收到的 网络分组所需的网络功能或服务的虚拟实例。服务功能链是按有序序列放置虚拟化服务实 例或服务功能并跨例如诸如远程计算设备106之类的一个或多个物理远程计算设备来创建 一个或多个虚拟机(VM)的过程。
[0021] 在常规服务功能链操作中,在由一个服务功能已经处理完接收到的网络分组之 后,基于由服务功能链所定义的顺序,必须将它转发到下一服务功能,供进行处理。另外,在 常规服务功能链操作中,创建串行网络分组处理流水线,其中,每一服务功能都等待服务链 中的前一服务功能完成,然后,它才能开始。如下面将更详细地讨论的,网络控制器108基于 所需的服务来确定合适的服务功能链,并根据该服务功能链,实例化一个或多个VM,以执行 虚拟服务功能。一些服务功能,诸如DPI、入侵检测系统(IDS),以及入侵预防系统(IPS),通 常要求过程密集型分析,该过程密集型分析由于与执行服务功能相关联的等待时间,而可 能导致瓶颈。
[0022]某些服务功能,诸如DPI或IDS,可能不需要在服务功能链的关键路径上执行。换言 之,服务功能链的某些服务功能可能不依赖于服务功能链的其他服务功能。因此,可以与服 务功能链的其他服务功能中的一个或多个并发地(即,并行地)执行独立的服务功能。例如, 网络控制器108可能不判断是丢弃还是进一步传输网络分组,直到服务功能链的所有服务 功能都被执行。如此,DPI服务可以被调度为与服务功能链的其他服务功能中的一个或多个 并行地发生,由此,隐藏与DPI服务相关联的等待时间,并缩小与服务功能链的所有服务功 能相关联的总体等待时间。进一步,由于服务功能链是在VM中创建的,因此,可以动态地改 变服务功能链的服务功能以及它们的顺序。例如,正在被执行的服务功能可以向网络控制 器108触发警告,以基于该警告,执行另外的服务功能(即,向服务功能链中添加服务功能)。 在另一个示例中,正在被执行的服务功能可以向网络控制器108触发警告,使得特定的服务 功能可能具有长于预期的等待时间,以及另一个服务功能(如果有的话)可以被并行地执 行。作为并行地执行的补充或替代,被标识为能够被并行地执行的这样的服务功能可以异 步地执行,以使得结果影响推迟的时间长度之后(即,不一定立即执行)的服务功能链的未 来状态。
[0023] 计算设备102可以具体化为,或以别的方式包括,能够执行本文中所描述的功能的 任何类型的计算设备,包括但不限于,服务器计算机、台式计算机、膝上型计算设备、家庭自 动化网关设备、可编程逻辑控制器、智能电器、消费类电子设备、无线接入点、网络交