[发明专利]基于覆盖网络的多租户虚拟专用网络

说明书

根据示例实施例，提供了一种用于在多租户数据中心中操作虚拟专用网络(VPN)服务的技术，该技术包括在数据中心中操作多租户VPN服务器以在将多租户VPN服务器连接到租户的远程网络的VPN隧道与在数据中心内为所述租户实现VPN的覆盖网络服务之间中继数据分组，其中多租户VPN服务器与覆盖网络服务之间的数据分组在为上述租户指派的虚拟局域网VLAN中被承载，并且其中多租户VPN服务器存储多租户转发表，该多租户转发表针对多个租户存储租户与为该租户指派的VLAN之间的映射。

技术领域

本发明的非限制性示例实施例涉及使用覆盖网络技术提供多租户虚拟专用网络(VPN)。特别地，本发明的一些示例实施例涉及在数据中心中提供这样的VPN网络。

背景技术

能够在物理网络与在物理网络之上配置的虚拟网络之间实现解耦的覆盖网络技术被广泛地用在例如为多个用户和/或组织(本文中也称为租户)提供网络服务的数据中心中。在这个上下文中，合适的覆盖网络技术允许以期望的方式为多个租户共享可用的物理网络资源，同时在租户之间提供适当的隔离以确保隐私。租户能够经由被称为虚拟专用网络(VPN)服务器的实体(其也可以被称为VPN网关(VPN GW))来访问其在数据中心中的专用虚拟网络。

作为这方面的示例，图1示出了用于在数据中心200中为多个租户提供虚拟网络201-1、202-1的示例布置的一些逻辑组件的框图。在图1中，第一站点中的第一本地网络102-1经由通过网络150的第一安全连接耦合到专用于第一本地网络102-1的租户的虚拟网络202-1，并且第二站点中的第二本地网络102-2经由通过网络150的第二安全连接耦合到专用于第二本地网络102-2的租户的虚拟网络202-2。第一本地网络102-1与数据中心200之间的(第一)安全连接涉及服务于第一本地网络102-1的第一VPN服务器104-1与数据中心200的第一VPN服务器204-1之间的第一站点到站点(S2S)VPN隧道106-1，而第二本地网络102-2与数据中心200之间的(第二)安全连接涉及服务于第二本地网络102-2的第二VPN服务器104-2与数据中心200的VPN服务器204-2之间的第二S2S VPN隧道106-2。通过其提供S2S VPN隧道106-1、106-2的网络150可以表示例如因特网。

仍然继续描述图1中描绘的示例，数据中心中的VPN服务器204-1、204-2中的每个被提供作为专用于服务于单个租户的单独的VPN服务器设备。VPN服务器204-1、204-2耦合到网络虚拟化边缘(NVE)实体208，NVE实体208布置数据中心的物理网络资源到相应的虚拟网络202-1、202-2的映射并且管理数据在VPN服务器204-1、204-2与数据中心200内的相应虚拟网络202-1、202-2之间的路由。这样的依赖于数据中心中的专用物理VPN服务器的直接方法通常提供高性能，而另一方面，当服务于相对大量的租户时，由于每个租户需要单独的VPN服务器，实现成本可能很高。

作为另一示例，图2示出了上面在图1的上下文中概述的解决方案的变型的一些逻辑组件的框图。其中单个服务器设备210包括被布置为为其中的每个租户提供相应的专用虚拟网络接口(例如，相应的虚拟网络接口卡(vNIC))的VPN隧道端点(TEP)模块214。在这方面，TEP模块214可以包括策略引擎，策略引擎采用存储在服务器设备204中的路由表中的预定义的租户特定的策略信息，从而至少在概念上提供VPN服务器功能204-1'和204-2'用于处理和路由各个租户的数据业务。单个服务器设备210还托管NVE模块208'，NVE模块208'对应于图1的NVE实体208并且因此布置数据中心200的物理网络资源到每个租户的相应的虚拟网络202-1、202-2的映射。TEP模块214中的VPN服务器功能204-1'、204-2'中的每个经由相应的虚拟路由和转发(VRF)功能212-1、212-2耦合到NVE模块208'。VRF功能212-1、212-2布置数据在VPN服务器功能204-1'、204-2'与数据中心200内的各个虚拟网络202-1、202-2之间的路由。