[发明专利]用于在启用OPENFLOW的云计算中使用MPLS时分离租户特定数据的装置和方法

说明书

相关申请的交叉引用

    该部分接续申请要求2011年9月30日提交的美国专利申请13/251,107和2012年11月27日提交的美国临时申请61/730,394的权益，两者通过引用合并于此。

技术领域

本发明的实施例涉及云计算领域；并且更具体地，涉及云计算中的虚拟专用网隔离。

背景技术

大型公司很多年来一直专注于它们在数据中心中的计算资源。该趋势随着服务器虚拟化技术变得越来越普遍而在过去几年加速。因为数据中心变得更大，一些数据中心运营商开始向外部客户提供计算、存储和网络通信资源。提供的服务典型地由弹性、按需处理存储组成，其对于多数实用目的而言仅受到客户支付能力和进入互联网的网络带宽的限制。该开发叫作云计算。

服务器虚拟化技术允许将服务器池作为基本上一个大的计算机资源来管理。叫作管理程序的软件层位于操作系统与硬件之间。该管理程序调度虚拟机（“VM”）在虚拟化服务器上的执行。VM是封装有一些应用的操作系统图像。管理程序允许暂停VM并且使其在服务器之间移动到负载平衡。用于捕捉崩溃的VM执行的负载平衡和监视对用高得多的专业解决方案成本实现的企业应用提供相同种类的容错和可标度性服务。云管理器系统监管VM的执行；调度执行来满足需求、优化服务器利用并且使功耗最小化。云执行管理器可以调度执行以允许硬件和软件的服务中升级而不影响正在进行中的服务预备。

为了支持VM在机器之间的任意移动，数据中心内的联网也必须虚拟化。大部分云现今通过使虚拟交换机并入管理程序而使网络虚拟化。虚拟交换机向在管理程序的控制下执行的VM提供虚拟网络端口。虚拟交换机软件还允许网络资源采用与服务器资源如何被管理程序虚拟化相似的方式虚拟化。管理程序和虚拟交换机由此可以合作以允许VM在服务器之间移动。在管理程序使VM移动时，它关于新的位点来与虚拟交换机通信，并且虚拟交换机确保对于VM地址（层2媒体访问控制（“MAC”）地址，潜在地也是互联网协议（“IP”）地址）的网络路由表被升级，因此包被路由到新的位点。

许多云计算设施仅支持Web服务应用。Web服务应用由负载平衡前端组成，其向Web服务器池派发请求。这些请求在概念上源自互联网上的应用并且因此安全性和隐私要求比私人企业网中的应用要宽松。较新的趋势是安全多租户，其中云提供商提供虚拟专用网（“VPN”），像在云外部的客户端的分布式办公网络与云内的VPN之间的连接。这允许在云内的客户端应用在与企业广域网（“WAN”）类似的网络环境中运作。对于其中仅对拥有数据中心的企业内的客户提供服务的私有数据中心，对于多租户的安全性和隐私要求放宽。对于公共数据中心，云运营商必须确保来自多个租户的业务被隔离并且没有业务从一个客户端到达另一个的可能性。在任一情况下，云计算设施趋于使用MAC层虚拟局域网（“VLAN”）来实现云计算机网络。

例如，可以对两个不同的外部企业客户设置两个虚拟私有云（“VPC”）。VPC由VM的集合、存储和向云中的企业租赁空间提供安全多租户的联网资源组成。企业客户经由VPN通过在公共运营商网络上运行的互联网而连接到VPC内。

为了向VPC添加新的服务实例（新的VM），云执行管理器使VM初始化以在虚拟化服务器上的管理程序上运行。虚拟化服务器上的虚拟交换机配置成在VLAN中包括VM，该VLAN是对于添加新VM的企业的VPN的部分。在一些情况下，对于新的服务升级虚拟客户边缘路由器并且用新的服务升级云计算设施中的供应商边缘路由器。

为了提供VPN，云计算设施实现三个解决方案中的一个。首先，每个租户接收独立VLAN片。其次，租户VPN使用IP封装来实现。第三，租户VPN使用MAC地址封装来实现。这些解决方案中的每个面临不足。

如果云使用VLAN隔离，每个租户被分配独立VLAN标签并且云网络作为平面层2网络运行。VLAN标签具有12个位，因此如果云运营商使用VLAN隔离，租户的数量限制在4096。该极限提供主要限制。

VLAN隔离的另一个问题是标准区域联网（例如，LAN、WAN、MAN；电气和电子工程师协会（“IEEE”）802.1）交换使用生成树协议（“STP”）来设置路由。为了去除路由环的可能性，STP在源地址与目的地址之间指定一个并且仅仅一个路径，而不管是否存在多个路由。这在生成树协议遭受业务压力并且忽略备选路由时可以导致交换结构的拥挤和利用不足。