的服务功能不需要实时地执行,则方法500 进展到框510,以判断目前检索到的服务功能是否可以与任何其他服务功能并行地执行。例 如,需要加密服务功能的网络分组可能在时间顺序上依赖于在加密服务之前执行的所有其 他服务功能,如此,可以将它放在所需服务功能中的按时间顺序排序的组中的最后一个;然 而,加密服务功能可能不需要在关键路径上执行或不需要实时地执行。如此,网络控制器 108可以确定加密服务功能可以与一个或多个其他服务功能(诸如DPI服务功能和/或IPS月艮 务功能)并行地执行,这可以在并行地执行加密服务功能的情况下缩短服务功能链的总的 等待时间。应该理解,框506,508,以及510可以以任何顺序执行,一些实施例可以不包括框 506,508,以及510的全部。进一步应该理解,一些实施例可包括额外的和/或替代的用于标 识可以并行地执行的服务功能的标识手段。
[0050] 如果目前检索到的服务功能可以与任何其他服务功能并行地执行,则方法500持 续到框512,以将目前检索到的服务功能标记为能够与其他服务功能并行。如果目前检索到 的服务功能不能与任何其他服务功能并行地执行,则方法500进展到框514。在框514中,远 程计算设备106判断目前检索到的服务功能是否是排序的组中的最后一个服务功能。若否, 则方法500返回框504,以从按时间顺序排序的组中检索接下来的所需服务功能。如果目前 检索到的服务功能是排序组中的最后一个服务功能,则方法500进展到框516,在那里,远程 计算设备106在结束方法500之前将服务功能排列到一个或多个服务功能链。
[0051]现在参考图6,说明性服务功能链600包括负载平衡器服务功能602、分布式防火墙 服务功能604、病毒扫描服务功能606,垃圾邮件扫描服务功能608,以及网络钓鱼扫描服务 功能610,其中每一个都沿着关键路径串行地执行。服务功能链600的每一服务功能都表示 将在一个或多个远程计算设备106上被初始化为一个或多个VM的抽象服务功能,其中每一 VM都将执行特定的服务功能的至少一部分。在某些实施例中,可以跨一个以上的远程计算 设备1〇6(即,在分布式环境中)执行服务功能中的一个或多个,包括可以与其他服务功能并 行地执行的那些服务功能。例如,防火墙服务功能604可包括作为分布式服务功能执行的一 个以上的防火墙服务功能实例。换言之,每一防火墙服务功能实例都将执行所需防火墙服 务功能的至少一部分。任何或全部防火墙服务功能实例都可以在同一个远程计算设备106 或在不同的远程计算设备106上被旋转加速(spin up)。可以给每一防火墙服务功能实例提 供镜像或重复的网络分组,对其执行防火墙服务功能的特定子集。例如,在网络分组是电子 邮件类型分组的情况下,一个防火墙服务功能实例可以验证与网络分组相关联的端口是否 对应于可允许的端口,而另一防火墙服务功能实例可以验证与网络分组相关联的电子邮件 服务器信息(例如,简单邮件传输协议(SMTP)、因特网消息访问协议(IMAP)或邮局协议 (POP)、超文本传输协议(HTTP),等等)是否是可允许的。
[0052]在远程计算设备106的某些条件下(即,处理能力、可用带宽,等等),服务功能链 600可以被网络控制器108确定为偏好服务功能链。网络控制器108可以在每一正在被执行 的服务功能处接收输出,该输出可以指示是否允许网络分组继续,丢弃网络分组,或指示网 络分组需要进一步处理。例如,病毒扫描服务功能606指示网络分组要求进一步检查(即, DPI服务功能)。相应地,从服务功能链600生成的服务功能路径可能不再适于进一步处理网 络分组,因为它不包括现在所需的DPI服务功能。
[0053]现在参考图7,说明性服务功能链700包括图6的服务功能以及在病毒扫描服务功 能606之后在关键路径上串行地放置的DPI服务功能702(即,触发重新配置的服务功能)。在 远程计算设备106的某些条件下(即,处理能力、可用带宽,等等),服务功能链700可以被网 络控制器108确定为偏好链。替代地,网络控制器108可能已经标识了可以并行地执行的某 些服务功能(即,不必在关键路径上执行)。在准许远程计算设备106并行地执行所标识的服 务功能的条件下,从服务功能链700生成的服务功能路径可能相对于包括正在被并行地执 行的所标识的服务功能中的一个或多个的其他服务功能链选项(诸如图8的所示出的服务 功能链)不是首选。
[0054]现在参考图8,说明性服务功能链800包括图7的服务功能,带有与垃圾邮件扫描服 务功能608和网络钓鱼扫描服务功能610并行地放置的DPI服务功能702。网络控制器108可 以生成一个或多个服务功能链(例如,被网络控制器108用来生成图7和8的服务功能链700, 800的服务功能链),并且基于远程计算设备106的当前条件和/或哪些服务功能可以并行地 执行,选择偏好服务功能链。网络控制器108可以判断可以与其余服务功能608,610并行地 执行DPI服务功能702。在这样做时,网络控制器108可以判断执行DPI服务功能702不依赖于 其余服务功能608,610,当并行地执行服务功能608,610时,与执行DPI服务功能702相关联 的至少某些等待时间可以被掩盖。结果,与执行DPI服务功能702相关联的等待时间被缩短, 并且在某些条件下,可以被完全掩盖。在某些实施例中,网络分组可以是镜像的,或重复的 网络分组。当然,在带有共享存储器的远程计算设备106中,网络分组可以不需要被复制以 执行并行服务功能;然而,如果网络分组被修改,则远程计算设备106应该被配置成跨服务 功能路径处理修改,以在处理网络分组期间避免数据损坏和/或错误。
[0055]现在参考图9,说明性服务功能链900包括图6的服务功能,带有与垃圾邮件扫描服 务功能608和网络钓鱼扫描服务功能610并行地放置的病毒扫描服务功能606。服务功能链 900可以是图6的服务功能链600的替代的服务功能链。网络控制器108可以确定病毒扫描服 务功能606、垃圾邮件扫描服务功能608,并且网络钓鱼扫描服务功能610可以以任何顺序执 行和/或服务功能606,608,610中的每一个都不依赖于以时间连续相关的顺序执行的其他 服务功能。作为补充或替代,网络控制器108可以判断与垃圾邮件扫描服务功能608和网络 钓鱼扫描服务功能610并行地执行病毒扫描服务功能606可以缩短与串行执行图6的服务功 能链600的服务功能相关联的总体等待时间。如此,网络控制器108可以判断服务功能链900 相对于服务功能链600更优选。当然,如前面所指出的,可以存在远程计算设备106的某些条 件,以便相对于服务功能链900,服务功能链600是优选的。
[0056] 示例
[0057] 下面提供了本文中所公开的技术的说明性示例。这些技术的实施例可包括下面所 描述的示例中的任何一个或多个以及其任何组合。
[0058] 示例1包括一种用于通过服务功能路径来处理网络分组的计算设备,所述计算设 备包括:基于所述网络分组来确定要对网络分组执行的一组服务功能的服务功能确定模 块;服务功能链确定模块,用于:确定能与所述一组服务功能中的其他服务功能并行地执行 的所述一组服务功能的子集,基于所述一组服务功能和所述一组服务功能的所述子集,生 成一个或多个服务功能,以及,基于选择标准,从所述一个或多个服务功能链中选择偏好服 务功能链;以及,用于基于所述偏好服务功能链生成服务功能路径的服务功能路径控制模 块。
[0059] 示例2包括示例1的主题,其特征在于,确定所述一组服务功能中可以并行地执行 的所述子集包括标识哪些服务功能在所述服务功能链的关键路径上无需被执行。
[0060] 示例3包括示例1和2中的任何一个的主题,其特征在于,确定所述一组服务功能中 可以并行地执行的所述子集包括标识哪些服务功能无需实时地执行。
[0061 ]示例4包括示例1-3中的任何一个的主题,其特征在于,确定所述一组服务功能中 可以并行地执行的所述子集包括标识哪些服务功能在所述服务功能链的关键路径上无需 被执行,以及无需实时地执行。
[0062] 示例5包括示例1-4中的任何一个的主题,其特征在于,基于网络分组来确定服务 功能组包括基于与网络分组相关联的分组类型来确定服务功能组。
[0063] 示例6包括示例1-5中的任何一个的主题,其特征在于,基于网络分组来确定服务 功能组包括基于网络分组的头部中所包括的信息来确定服务功能组。
[0064] 示例7包括示例1-6中的任何一个的主题,其特征在于,基于网络分组来确定服务 功能组包括基于网络分组的有效负载中所包括的信息来确定服务功能组。
[0065] 示例8包括示例1-7中的任何一个的主题,其特征在于,所述服务功能确定模块进 一步基于从所述服务功能路径的所述服务功能中的一个接收到的指出所述服务功能路径 要求重新配置的输出,重新确定所述一组服务功能,所述服务功能链确定模块进一步响应 于所述接收到的输出,重新确定可以与所述一组服务功能中的其他服务功能并行地执行的 所述一组服务功能的所述子集,基于所述一组服务功能和所述一组服务功能的所述子集, 重新生成一个或多个服务功能链,以及,在所述一个或多个服务功能链的所述重新生成之 后,基于所述选择标准,从所述一个或多个服务功能链中重新选择所述偏好服务功能链,以 及,所述服务功能路径控制模块进一步在所述重新选择所述偏好服务功能链之后,基于所 述偏好服务功能链,为所述一组服务功能中的每一个,重新生成所述服务功能路径。
[0066] 示例9包括示例1-8中的任何一个的主题,其特征在于,所述服务功能链确定模块 进一步基于时间连续依赖关系来排序服务功能组。
[0067] 示例10包括示例1-9中的任何一个的主题,并且其中选择所述偏好服务功能链包 括确定与通过所述服务功能链中的每一个的所述服务功能中的每一个处理所述网络分组 相关联的总等待时间,确定哪一个服务功能链具有最