[发明专利]虚拟网络中租户工作负载的安全转发

说明书

本发明涉及虚拟网络中租户工作负载的安全转发。总体上描述了用于增强虚拟网络操作的技术。在一些示例中，网络系统包括通过交换结构互连的多个服务器，交换结构包括互连以形成物理网络的多个交换机。每个服务器包括执行经由一个或多个虚拟网络通信的一个或多个虚拟机的操作环境。所述服务器包括一组虚拟路由器，虚拟路由器被配置为将虚拟网络扩展到虚拟机的操作环境。该组虚拟路由器中的虚拟路由器被配置为通过将从虚拟机接收的数据包转发到在主机操作网络堆栈中执行的IPSec内核、从IPSec内核接收回ESP数据包并通过虚拟网络转发ESP数据包，来准备隧道数据包。

本申请要求2018年9月28日提交的美国专利申请号16/146,713、2018年8月15日提交的美国临时专利申请号62/764,699和2018年8月15日提交的美国临时专利申请号62/764,700的权益，其全部内容通过引用结合于此。

技术领域

本公开的技术总体上涉及计算机网络，并且更具体地涉及虚拟网络。

背景技术

在大规模计算机网络(例如，典型的云数据中心环境)中，存在提供计算和/或存储能力以运行各种应用程序的大量互连的服务器。例如，数据中心可以包括为订户(即，数据中心的客户)托管应用程序和服务的设施。例如，数据中心可以托管所有基础设施装置，例如，网络和存储系统、冗余电源和环境控制。在典型的数据中心中，存储系统和应用服务器集群经由一层或多层物理网络交换机和路由器提供的高速交换结构互连。更复杂的数据中心为遍布全球的基础设施提供位于各种物理托管设施中的订户支持装置。

虚拟化网络正在成为现代信息技术(IT)基础设施的核心基础。例如，现代数据中心已经广泛利用虚拟化环境，在虚拟化环境中在物理计算装置的底层计算平台上部署并执行虚拟主机(在本文也称为虚拟执行元件)，例如，虚拟机或容器。

计算机网络内的虚拟化可以提供几个优势。一个优势是虚拟化可以显著提高效率。随着每物理CPU具有大量核的多核微处理器架构的出现，底层物理计算装置(即，服务器)变得越来越强大，虚拟化变得更加容易和高效。第二个优势是虚拟化提供了对计算基础设施的重要控制。随着物理计算资源成为可替代资源，例如，在基于云的计算环境中，计算基础设施的供应和管理变得更加容易。因此，除了虚拟化提供的效率和更高的投资回报(ROI)之外，企业IT人员通常更喜欢数据中心的虚拟化计算集群，因为它们具有管理优势。

发明内容

总体上，描述了用于增强虚拟网络操作的技术。例如，描述了虚拟网络控制器，其配置和管理由多个交换机形成的物理网络内的覆盖网络。多个服务器通过交换结构互连，并且每个服务器提供操作环境，该操作环境执行经由覆盖网络通信的一个或多个虚拟机。在物理网络的服务器和/或其他装置内操作的一组虚拟路由器将覆盖网络作为虚拟网络扩展到虚拟机的操作环境。控制器可以指示服务器和虚拟路由器执行各种操作，例如，通过覆盖网络转发流量；由于网络事件而在虚拟网络中重新路由流量；复制用于多播、网络服务(包括安全性、NAT、反射和负载平衡)的流量；提供多租户服务，以支持多个虚拟网络；监控和记录虚拟网络内的流量特征；以及其他操作。

本文描述的技术可以用于增强例如虚拟路由器或提供虚拟网络的其他装置的操作。通常，虚拟网络的虚拟路由器为相应的虚拟网络执行多个路由实例。每个虚拟网络将共同实现虚拟网络的多个虚拟路由器互连。虚拟路由器从底层物理网络结构接收的数据包可以包括外部报头，以允许物理网络结构将有效载荷或“内部数据包”隧道传输到执行虚拟路由器的服务器的网络接口的物理网络地址。外部报头不仅可以包括服务器的网络接口的物理网络地址，还可以包括识别虚拟网络之一以及由虚拟路由器执行的相应路由实例的虚拟网络标识符，例如VxLAN标签或多协议标签交换(MPLS)标签。内部数据包包括具有目的地网络地址的内部报头，该目的地网络地址符合由虚拟网络标识符识别的虚拟网络的虚拟网络寻址空间。