[发明专利]使用单个网络接口和单个路由表访问逻辑网络和公共云服务提供者原生网络中的端点

说明书

公共云系统的物理主机机器包括处理单元的集合，用于执行存储在非暂态机器可读介质中的指令。物理主机机器还包括物理网络接口卡(PNIC)和存储数据计算节点(DCN)的非暂态机器可读介质。DCN包括第一应用和第二应用、第一逻辑接口和第二逻辑接口、网络堆栈以及受管理的转发元件(MFE)。第一应用通过网络堆栈、第一逻辑接口和MFE连接到pNIC。第二应用通过网络堆栈、第二逻辑接口和MFE连接到PNIC。

背景技术

公共云服务提供者向公众提供诸如存储和应用之类的云服务。在公共云(或公共数据中心)中，服务提供者控制超级监督者(hypervisor)，并且不能提供健壮或透明的安全能力。因此，期望在公共云部署中使用由第三方(即，公共云服务提供者以外的实体)提供的虚拟化网络。这种跨云的虚拟化网络提供了针对在公共云服务提供者的基础设施和网络上预配置(provision)的访客虚拟机(VM)上运行的工作负载强制实施网络和安全策略的能力。第三方创建的虚拟化网络可以使用覆盖来提供逻辑联网，或者简单地与原生联网集成并且还提供除原生网络的服务之外的服务。

在本地(on-premise)环境中，通过在底层超级监督者上提供网络和安全服务来管理在访客VM上运行的客户应用。但是，在公共云环境中，第三方网络虚拟化平台只能访问访客VM，而不能访问在其上预配置VM的底层超级监督者。另一方面，在公共云中，服务提供者控制在其上运行访客VM的底层虚拟化基础设施。公共云中的虚拟化基础设施不会暴露给最终用户。

VM使用的原生网络可以是由云服务提供者提供的虚拟网络。因此，第三方虚拟化网络预配置的逻辑网络位于云服务提供者的虚拟网络之上并且对云服务提供者来说不可见。当在第三方创建的虚拟化网络的逻辑空间中预配置VM时，VM的网络接口将成为第三方网络虚拟化提供者管理的逻辑地址空间的一部分。因此，网络接口无法访问云服务提供者的原生网络。

发明内容

一些实施例提供了一种方法，该方法允许公共云中的VM访问云服务提供者的原生网络(被称为底层网络)地址空间以及由第三方网络虚拟化提供者预配置的逻辑地址空间(被称为覆盖网络)两者中的服务端点。该方法允许VM使用单个网络接口和单个路由表来访问云服务提供者的原生网络地址空间和第三方逻辑地址空间。

该方法在VM上安装受管理的转发元件(MFE)内核驱动程序(诸如Open vSwitch(开源虚拟交换机，OVS)内核驱动程序)。MFE内核驱动程序被用作VM上虚拟接口的软件交换机。基于操作的模式(即，覆盖或底层)，创建一个或两个虚拟适配器。虚拟适配器中的一个被用于访问覆盖网络(被称为覆盖虚拟适配器)，而另一个虚拟适配器被用于访问底层网络(被称为底层虚拟适配器)。在一些实施例中，覆盖虚拟适配器是虚拟接口(VIF)，而底层虚拟适配器是虚拟隧道端点(VTEP)。使用一个路由表将来自网络堆栈(例如，传输控制协议/互联网协议(TCP/IP)堆栈)的所有分组发送到任一虚拟适配器。MFE在接收和传输路径上在逻辑接口与底层网络接口卡(NIC)之间转发分组。

覆盖虚拟适配器是第三方覆盖联网空间的一部分，而底层虚拟适配器是由云服务提供者提供的底层网络空间的一部分。使用MFE和底层虚拟适配器对源自覆盖虚拟适配器的网络分组进行隧道化。直接从底层网络发送出去的网络分组无需隧道化即可发送，并在底层网络空间中被转发或路由。

VM的路由表被配置使得与底层虚拟适配器不在同一层2(L2)子网中的所有流量都将覆盖虚拟适配器用作出口接口。因而，注定去往除公共云服务提供者的网络之外的任何网络的流量是从覆盖虚拟适配器发送出去的。

通过使用与底层虚拟适配器相比较低的覆盖虚拟适配器的接口度量来以这种方式建立路由表。路由度量随接口度量而变，并且较低的接口度量会翻译为较低的路由度量，这进而优于具有较高路由度量的路由。因此，通过覆盖虚拟适配器的默认路由比经由底层虚拟适配器的默认路由具有较高的优先级。因此，所有不是底层虚拟适配器的子网一部分的流量都从覆盖虚拟适配器发送出去。