CN104205757B

CN104205757B - 用于混合云的分布式虚拟交换机架构

Info

Publication number: CN104205757B
Application number: CN201380018623.5A
Authority: CN
Inventors: 大卫·W·张; 阿布几特·巴特哈; 纳贾拉杰·A·巴格帕勒; 凯尔·迈斯特利
Original assignee: Cisco Technology Inc
Current assignee: Cisco Technology Inc
Priority date: 2012-04-24
Filing date: 2013-04-23
Publication date: 2017-11-03
Anticipated expiration: 2033-04-23
Also published as: US20130283364A1; CN104205757A; EP2842282B1; WO2013163216A1; US9203784B2; EP2842282A1

Abstract

在一个实施例中，私有云中的第一云网关和公共云中的第二云网关之间的安全传输层通道可以通过公共网络来建立，其中，安全传输层通道被配置以在私有云与公共云之间提供链路层网络扩展。此外，云虚拟以太网模块(cVEM)可以在公共云内被运行(实例化)，其中，cVEM被配置以在公共云中被连接到cVEM的一个或多个私有应用虚拟机VM与私有云之间交换虚拟机VM间流量。

Description

用于混合云的分布式虚拟交换机架构

技术领域

本公开总体涉及计算机网络，更具体地涉及混合云技术。

背景技术

根据美国国家标准与技术研究院(NIST)，“混合云”是由通过技术进行互操作或结成联盟的两个或多个云组成的云基础设施。本质上，混合云是私有云和公共云之间的交互，其中，私有云加入公共云并且以安全且可扩展的方式使用公共云资源。相比其他的云模型而言，混合云模型提供了关键优势，比如，允许企业保护它们现有投资并维护对它们的敏感数据和应用以及它们的网络资源、计算资源和存储资源的控制。此外，混合云允许企业根据需要容易地扩展它们的环境。

尽管许多应用将保留在公司数据中心内，但是还存在其它应用，该其它应用的动态计算需求使其成为云的很好的候选者。对于这样的应用，挑战在于在不牺牲信息资产(例如，数据库、目录、存储库)从本地(on-premise)位于企业数据中心中获得的安全的情况下利用云计算的计算弹性和经济意义。要成为可行的混合云方案，数据必须保持安全，应用不需要被重新架构，并且云应该很容易移动。

发明内容

根据本公开的一个或多个实施例，可以通过公共网络建立私有云中的第一云网关与公共云中的第二云网关之间的安全传输层通道，其中安全传输层通道被配置以在私有云和公共云之间提供链路层网络扩展。此外，云虚拟以太网模块(cVEM)可以在公共云内被运行(实例化)，其中，cVEM被配置以在公共云中被连接到cVEM的一个或多个私有应用虚拟机VM和私有云之间交换虚拟机VM间流量。以这种方式，特定私有应用VM的实例可以在公共云的虚拟以太网模块(VEM)和私有云的cVEM之间进行迁移，其中，特定私有应用VM由私有云的虚拟监控模块(VSM)来管理就好像公共云中的cVEM和VM在私有云内一样。

附图说明

通过结合附图参照以下描述可以更好地理解本申请的实施例，其中，相同参考序号表示相同的或功能类似的元件，其中：

图1示出示例混合云网络；

图2示出示例设备，例如，云管理器设备；

图3示出图1的说明性的网络内的示例云网络元件；

图4A-4D示出在公共云处创建虚拟机(VM)的示例；

图5A-5C示出在公共云处克隆VM的示例；

图6A-6C示出克隆VM的示例用例；

图7示出VM克隆的另一示例用例；

图8A-8C示出将VM移动到公共云的示例；

图9A-9C示出将应用和相关联的VM移动到公共云的示例；

图10示出如图3中的云网络元件到私有云网络的可替换连接；以及

图11示出根据本申请所描述的一个或多个实施例的用于混合云的分布式虚拟交换机架构的示例简化程序。

具体实施方式

计算机网络是节点的地理式分布的集合，这些节点通过用于在端节点(例如，个人计算机和工作站，或诸如传感器之类的其他设备)之间传输数据的通信链路和分段进行互连。从局域网(LAN)到广域网(WAN)，许多类型的网络都是可用的。LAN通常通过位于相同的一般物理位置(例如，建筑物或校园)内的专用私有通信链路来连接这些节点。另一方面，WAN通常通过诸如公共载波电话线路、光学光路、同步光纤网(SONET)、同步数字体系(SDH)链路等之类的长距离通信链路来连接地理分散的节点。

通常，云计算能够被定义为根据需要将计算资源从经由网络(例如，“云”)可得的资源的集合中动态地配设并分配给客户端或用户计算机或其他设备的基于互联网的计算。例如，云计算资源能够包括诸如计算设备、存储设备以及网络设备、虚拟机(VM)等之类的任意类型的资源。例如，资源可以包括服务设备(防火墙、深度分组检测器、流量监控器等)、处理设备(强力处理性能)、存储设备(例如，服务器、网络附加存储设备、存储区域网络设备)等，并且这些资源可以被用于对VM、数据库、应用(App)等进行实例化。

如上所述，“混合云”是由通过技术进行互操作或联盟的两个或多个云组成的云基础设施。本质上，混合云是私有云和公共云之间的交互，其中，私有云加入公共云并以安全且可扩展的方式利用公共云资源。尽管许多应用将保留在公司数据中心内，但是还存在动态的计算需求使得其成为云的很好的候选者的其他应用。对于这样的应用，挑战在于在不牺牲信息资产(例如，数据库、目录、存储库)从位于企业数据中心预置设施中获得的安全的情况下利用云计算的计算弹性和经济意义。要成为可行的混合云方案，数据必须保持安全，应用不需要重新架构，并且云应该很容易移动。

图1示出说明性地包括多个网络或“云”的示例混合云网络100，比如一个或多个私有云(或数据中心)105(例如，企业数据中心)和由公共网络115(例如，互联网)隔开的至少一个公共云(或数据中心)110。可以使用本领域技术人员理解的预定义的网络通信协议在网络100的设备之间交换数据分组/流量。本领域技术人员将理解，任意数目的计算资源、设备、链路等可以被用在网络100中，并且本申请所示的视图是出于简化的目的。

如一个说明性的私有云105内所详述的，分布式虚拟交换机(DVS)120可以由配置有虚拟监控模块(VSM)130和虚拟化平台(“vCenter”)135的交换机125(实体的或虚拟的)组成，这可以被本领域技术人员理解。具体地，本领域技术人员还将理解，DVS 120可以包括一个或多个嵌入式超级管理器140(也被称为虚拟机管理器(VMM))，这一个或多个嵌入式超级管理器140各自包含虚拟以太网模块(VEM)145和一个或多个VM 150。

图2是示例的经简化的计算设备200的原理框图，该示例的经简化的计算设备200可以被本申请所描述的一个或多个实施例使用，其被具体作为服务器125或更具体地被作为DVS 120的一个或多个设备(例如，如下所述的云管理器设备375)的表示。说明性的“设备”200可以包含通过系统总线250进行互连的一个或多个网络接口210、至少一个处理器220以及存储器240。(一个或多个)网络接口210包含用于通过耦合到网络100的链路来传输数据的机械电路、电子电路以及信号电路。网络接口210可以被配置以使用本领域技术人员所理解的各种不同的通信协议来发送和/或接收数据。存储器240包括可由处理器220寻址的多个存储位置以供存储与这里所描述的实施例相关联的软件程序和数据结构。处理器220可以包括适于执行这些软件程序和操纵数据结构245的必要元件或逻辑。操作系统242(其各部分通常驻留在存储器240中并且由处理器执行)通过特别调用支持在设备上执行的软件过程和/或服务的操作来功能性地组织该设备。如本申请所描述的，这些软件过程和/或服务可以包括说明性的“云管理”过程248。

包括各种计算机可读介质的其他处理器和存储器类型可以用来存储并执行涉及本申请所描述的技术的程序指令，这对于本领域技术人员而言是显而易见的。而且，尽管这些描述说明了各种过程，但可明确地预计到的是，各种过程可以被实现为被配置以根据本申请的技术(例如，根据类似过程的功能)进行操作的模块。而且，尽管这些过程被分离地示出，但是本领域技术人员将理解这些过程可以是其他过程内的例程或模块。例如，处理器220能够包括一个或多个可编程处理器(例如，微处理器或微控制器)或固定逻辑处理器。在可编程处理器的情形中，任何相关联的存储器(例如，存储器240)可以是被编码有指令或者存储指令的任意类型的有形处理器可读存储器(例如，随机存取存储器、只读存储器等)，这些指令能够实现程序模块，例如，具有编码在其上的资源分配过程244的模块。处理器220还能够包括固定逻辑处理设备，例如，被配置有包含能够使得处理器施行本申请所描述的功能的指令或逻辑的固件的专用集成电路(ASIC)或数字信号处理器。因此，程序模块可以(例如，通过固定逻辑或可编程逻辑)被编码在一个或多个有形的计算机可读存储介质中以供执行，例如，由处理器执行的软件/计算机指令，并且任何处理器可以是可编程处理器、可编程数字逻辑(例如，现场可编程门阵列)或包含固定数字逻辑的ASIC或其组合。通常，任何过程逻辑可以在编码有由处理器执行的指令的处理器或计算机可读介质中实施，当这些指令被处理器执行时，可操作以使得处理器施行本申请所描述的功能。

还如上所述，目前的混合云技术通常依靠被称为“开放的虚拟专用网(VPN)覆盖”或“基于IP安全(IPSec)VPN的L3网络扩展”。例如，许多早期的云适配器使用开放的VPN技术来在云数据中心中创建覆盖网络以将它们的云资源(公共云110)连接到企业网络(私有云105)。尽管在云环境中提供了安全传输连接，但是开放的VPN不提供用于提供诸如如下特征的交换机基础设施：在云端局部地交换网络流量、提供一致的企业网络策略、允许插入各种网络服务(例如，负载均衡器、防火墙等)以及允许构建精确的网络拓扑(例如，目前的系统是通过路由器和多个VLAN进行连接的)。

可替代地，为提供混合云网络服务，目前许多虚拟化平台供应商和云服务提供商为他们的客户提供IPSec VPN网关产品/服务，以建立从私有云105至公共云110的企业网络扩展。例如，IPSec VPN通道性能已被提供给企业客户以将vCenter 135与云提供商数据中心110中所分配的虚拟数据中心(VDC)进行互连。另一示例为用户提供虚拟私有云服务以建立基于IPSec-VPN的混合云。

然而，尽管基于IPSec-VPN的技术向客户提供了数据中心间网络连通性和相对精确的网络拓扑，但是基于IPSec-VPN的技术只允许在网络层(说明性的且众所周知的OSI模型中的层3或“L3”)扩展企业网络。这意味着在云数据中心(公共云110)创建的覆盖网络必须是新的子网络的集合，其中，公共云中的VM被指派新的网络身份(例如，IP地址和MAC地址)。由此，许多企业基础设施(例如，访问控制列表、防火墙策略、域名服务等)必须被修改以使得新附接的VM系统能够与其余企业系统一起工作。IPSec VPN通道甚至将引起企业数据中心(私有云105)深处的企业防火墙和网络地址转换(NAT)设备的渗透的问题。因此，混合云的部署已经成为复杂且困难的任务。

因此，本申请的技术提出了用于混合云网络的分布式虚拟交换机(DVS)架构，其中，L2网络交换机覆盖(基础设施)可以动态地被创建以将私有云105与公共云110相连接，从而将私有(例如，企业)网络分段扩展到云数据中心。以这种方式，私有云(企业客户)能够将他们的应用和/或VM迁移到公共云，并且使用所提供的计算资源、网络资源和存储资源的弹性来操作这些应用和/或VM。

具体地，根据以下详述的本公开的一个或多个实施例，安全传输层(例如，层4或“L4”)通道可以通过公共网络115被建立于私有云105中的第一云网关和公共云110中的第二云网关之间，其中，安全传输层通道被配置以在私有云和公共云之间提供链路层(例如，层2或“L2”)网络扩展。此外，云虚拟以太网模块(cVEM)可以在公共云内被运行(实例化)，其中，cVEM被配置以在公共云中被连接到cVEM的一个或多个私有应用虚拟机VM与私有云之间交换VM间流量(inter-VM traffic)。以这种方式，特定私有应用VM的实例可以在私有云的虚拟以太网模块(VEM)145与公共云的cVEM之间进行迁移，其中，特定私有应用VM由私有云的虚拟监控模块(VSM)130(例如，和云管理器)进行管理就好像公共云中的cVEM和VM在私有云内一样。

说明性地，本申请所描述的技术可以通过硬件、软件和/或固件来施行(例如，根据说明性的“云管理”过程248)，所述硬件、软件和/或固件可以包含由(交换机125或DVS 120或其他通常合适的设备的)一个或多个设备200的处理器220所执行的计算机可执行指令以施行与本申请所描述的技术有关的功能。例如，本申请的技术可以作为对传统云管理协议的扩展，并且同样地，本申请的技术可以相应地通过本领域所理解的执行那些协议的类似的部件和设备进行处理。

图3是根据本申请所描述的一个或多个技术示出图1的网络内增加的云网络元件的示例架构。具体地，说明性的混合云方案在公共云处部署一个或多个VEM作为对分布式虚拟交换机(DVS)120(即，“云VEM”或“cVEM”)的扩展。通过经由公共网络115建立安全传输层(L4)通道370(例如，传输层安全(TLS)、数据报TLS(DTLS)、安全套接层(SSL)等)，本申请的技术建立将云资源(公共云110)与私有云105(例如，企业网络主干)进行互连的安全L2交换机覆盖。换言之，安全传输层通道370提供私有云和公共云之间的链路层网络扩展。

如图3所示，在公共云110处部署的cVEM与安装在私有云105(例如，企业)中的其他VEM 145共享相同的VSM 130。以这种方式，私有云中的VSM 130可以管理公共云中的一个或多个私有应用VM 350，就好像公共云中的cVEM 345和VM 350在私有云内一样。

每个云网络元件(具有相应cVEM实例)由私有云105处的云网关360、公共云110处的云网关365以及公共云内的cVEM 345处的一个或多个云VM 350(或嵌套的VM容器)组成。私有云处的云网关360可以被配置为在私有云(企业数据中心)中运行VM，该VM负责建立用于将公共云中的部件与私有云进行互连的安全通道370。相反，公共云处的云网关365可以被配置为在公共云中运行的VM，该VM负责建立用于将云网关360与云资源进行连接的安全通道的VM。云网关365还可以运行嵌入式cVEM 345，以在公共云中连接到cVEM的一个或多个私有应用VM 350与私有云之间交换VM间流量。具体地，嵌套的VM容器是在公共云中运行的并且负责运行私有云的应用VM镜像并将该应用VM连接回私有云的云VM(或cVM)。应当注意，一般地，每cVEM 345所允许的cVM 350的数目与每VEM 145(例如，每虚拟线路卡)所允许的VM 150的数目相同。

为了管理云VM 350以及为了自动配设混合云方案内的资源，本申请的技术还说明性地在私有云105内引入了管理层面VM，即，云管理器375。具体地，云管理器375是在私有网络中运行的管理平台(该管理平台可以是VM)，并且云管理器375通常可以负责提供混合云操作、在私有云接口和公共云接口之间进行转换、管理云资源、通过私有虚拟化平台(例如，vCenter)135和公共云提供商API的云网关和嵌套的VM容器部件(云VM 350)的动态实例化。云管理器375还对所有部件(例如，云网关、一个或多个私有应用VM、cVEM以及安全传输层通道)进行状态监控并且提供这些部件的高可用性。

为了维护一致的DVS管理模型，部署在私有云105中的VSM 130可以使用相同的端口配置文件(profile)和VM管理模型来管理连接至cVEM 345的云资源，就好像它对于连接到VEM 145的资源所做的那样。对于网络资源，这意味着在云中运行的VM 350上的虚拟网络接口卡(vNIC)接口被作为VSM上的虚拟以太网接口(veth)进行管理。而且，端口配置文件允许配置存在于这些veth上并且当虚拟机被迁移到公共云时配置被应用。如果虚拟机被迁移回本地数据中心(私有云)，则相同的配置将在此时被应用到veth。换言之，特定的veth可以使用可应用于特定私有应用VM的实例的端口配置文件进行配置，无论该特定私有应用VM的实例是在公共云(如VM 350)内还是在私有云(如VM 150)内被实例化的。此外，cVEM 345自己可以以与正常的VEM 145类似的方式进行管理。也就是说，可以使用与在VEM上相同的协议来在cVEM上管理数据路径代理(DPA)。因此，DPA可以使用与现有VEM上相同的接口(被称作数据路径代理API(DPA API))来将配置文件信息编程到cVEM中。

如前所述并如图3所示，在私有云105处部署的云网关360使用L4安全通道来连接到公共云110处所分配的云资源。由于在防火墙中对HTTP/HTTPS开放的传输层协议(例如，UDP/TCP)和传输层端口的性质，L4安全通道非常适用于企业防火墙和NAT设备。因此，L2网络还通过嵌入到在公共云110处部署的云网关365内的cVEM部件被扩展并被连接到每个云VM 350。通过L2网络覆盖，特定私有应用VM的所有实例能够被无缝地迁移到公共云处动态创建的覆盖网络(即，VEM 150与cVEM350之间)，而不对现有的企业基础设施带来任何影响。

按照常规，公共云服务提供商为每个云VM 350只提供有限数目的网络附件和网络广播性能。当企业客户将他们的多VLAN网络架构环境迁移到公共云数据中心时这便阻碍了企业客户。然而，如本申请所描述的在L4通道的顶端建立L2网络覆盖减少云VM 350的网络附件需求，并且为云VM提供网络广播能力。因此，本申请的技术允许企业客户即使在混合云环境中也能够部署一致的企业范围的网络架构。

图4A-图9C展示了通过上述用于混合云的分布式虚拟交换机架构可用的示例操作。具体地，作为介绍，图4A-4D首先示出在公共云110处创建VM 350的示例。首先，如图4A所示，用户从镜像文件(例如，.iso扩展名)或从诸如web服务器VM(“web”)之类的现有VM模板创建VM镜像450。然后，如图4B所示，VM容器350可以被创建在公共云110中，然后如图4C所示，VM镜像可以被移动到存储在公共云中的云VM容器350。因此，如图4D所示，VM可以在VM容器350内的公共云(“web”)处被初启。

作为附加的介绍，图5A-5C示出在公共云110处克隆VM的示例，其中，如图5A所示，用户可以从镜像文件(例如，.iso扩展名)或从现有的VM模板(例如，“web”)创建VM模板550。然后，如图5B所示，VM模板550被移动到公共云110中的存储单元(例如，数据库)515中，然后如图5C所示，VM 350可以从VM模板550在公共云处被克隆，其中，新的IP地址被指派给每个克隆的VM。

例如，图6A-6C示出根据本申请的技术按需在云端克隆VM的示例用例。具体地，如图6A所示，可能需要服务器负载均衡(SLB)装置620来将“南北”流量分布至特定VLAN 625(如虚线所示)上的所有webVM 150。基于整体性能，SLB 620可以向云管理器375提交请求630以根据需要向/从公共云110(例如，服务器群组)增加(或删除)云VM350。例如，如图6B所示，假设两个附加的web VM 350通过实例化的云网络元件(云网关360/365、通道370、cVEM345)(从模板550)来建立以满足性能要求(在从云管理器到请求设备的答复635中进行确认)。如图6C所示，当不再需要那些云VM 350时，另一请求/回复交换可以使得拆除不需要的VM，可选地，如果不再需要云网络元件(通道370等)自身，其也被拆除。

图7示出了VM克隆的另一示例用例，这类似于图6A-6C但具有更多的细节，其中，web VM 150和350还被互连到说明性地位于私有云105内的数据库管理器750(例如，VM或其他设备)和相应的数据容器755。应当注意，VM 150和350二者均可以访问数据750/755，其中如图所示，云VM 350经由相同的安全通道370访问数据库管理器750和数据容器755。

另外，图8A-8C示出将VM移动至公共云110的示例。具体地，图8A示出用户/管理员首先将私有云内的特定web VM 150而不是另一应用850(例如，另一VM)关闭电源(如点线所示的关闭)。然后用户可以请求云管理器375将web VM 150移动至公共云。因此，如图8B所示，云管理器375可以创建诸如云网关360和365、安全传输层通道370和cVEM345之类的多个公共云“网络”分段。如图8C所示，然后云管理器可以实例化云VM容器350，并且将web VM镜像(来自web VM 150)和数据转移到云VM 350并且激活该web VM图像和数据(初启该web VM图像和数据)。

最后，图9A-9C示出将应用850和相关联的VM 150移动至公共云的示例。此处，如图9A所示，所有的VM 150/750/850可以被关掉(点线)并且被请求以被移动到公共云。同样地，如图9B所示，云管理器375创建多个公共云网络分段(通道370等)，并且在图9C中，云管理器375实例化VM容器350并转移相应的VM镜像和数据以供各自激活。

应当注意，图10示出图3中的云网络元件的可替代的连接。即，尽管私有云的云网关360可以被附接到交换机125(如图3所示)，但图10中所示的可替代的实施例将私有云的云网关360附接到私有云的VEM145。具体地，VEM 145支持VLAN配置，可以使用到云网关360的VLAN干线并且还经由到公共云110的云网关365的安全L4通道370来建立L2临近。

图11示出根据本申请所描述的一个或多个实施例的用于混合云的分布式虚拟交换机架构的示例简化程序。程序1100开始于步骤1105处，并且继续到步骤1110，其中，如上面更详细地描述，安全传输层(例如，L4)通道370通过私有云105中的第一云网关360和公共云110中的第二云网关365之间的公共网络115来建立。如上所述，安全传输层通道370被配置以在私有云和公共云之间提供链路层(例如，L2)网络扩展。在步骤1115中，cVEM 345在公共云110内被运行/实例化，使得cVEM可以在公共云中被连接到cVEM的一个或多个私有应用VM 350与私有云之间交换VM间流量。

说明性地，在步骤1120中，公共云中的一个或多个私有应用VM 350可以由私有云中的VSM 130(例如，和云管理器375)进行管理，就好像公共云110中的cVEM 345和VM 350在私有云内一样。例如，如上所述，公共云中的一个或多个私有应用VM 350中的每个私有应用VM 350的vNIC可以作为VSM 130上的veth进行管理，并且这些veth可以使用可应用于特定私有应用VM的实例(无论是在公共云内还是在私有云内进行实例化)的端口配置文件进行配置。这样，在步骤1125中，特定私有应用VM的实例可以在私有云的VEM 145与公共云的cVEM 345之间进行无缝迁移。程序1100可以说明性地在步骤1130处结束，也可以根据需要选择继续迁移VM或者甚至建立(拆除)安全通道370。

应当注意，如上所述，尽管程序1100内的某些步骤可能是可选的，但是图11中所示的步骤只是用于说明的示例，并且根据需要可以包括或排除某些其他步骤。另外，尽管示出了这些步骤的特定顺序，但是该顺序只是说明性的，并且可以在不背离本申请的实施例的范围的情况下可使用对步骤的任何合适的安排。另外，尽管程序1100被描述为单个程序，但是来自该程序的某些步骤可以被包含在其他程序(例如，由其他设备、模块或系统施行的程序)中，并且所示的程序不旨在限制由单个设备、模块或系统进行的操作。

因此，本申请所描述的技术提供了用于混合云的分布式交换机架构。具体地，本申请的技术说明性地根据需要在云数据中心处创建L2网络覆盖基础设施，其中，安全L2网络扩展允许客户基础设施基本保持不变(即，相同的客户端网络策略可以被应用到云资源中)，而不需要任何应用的重新架构。此外，L2网络覆盖说明性地位于L4安全通道的顶端，这减少了云端对网络附件的需求。而且，如上所述，L2交换机覆盖的动态性质为从企业到云和从云到云提供了无缝的虚拟机迁移。这显著不同于上面提到的当前系统，在当前系统中，由于这样的系统只提供L3扩展，VPN网关位于私有云和公共云内，从而在公共云内创建私有云网络的子网络。然而，不同于上述技术，这些当前系统不允许透明、无缝的VM迁移，并且由于L3扩展迁移而需要提供对IP地址和MAC地址二者的更改。

尽管已经示出并描述了提供用于混合云的分布式虚拟交换机架构的说明性实施例，应当理解的是，可以在本申请的实施例的精神和范围内做出各种其他改编和修改。例如，本申请已经示出并描述针对“企业”网络的实施例。然而，在更广泛的意义上，这些实施例没有被限制，并且事实上这些实施例可以采用其他类型的私有云网络和/或协议来与各种其他类型的公共云进行交互。

前面的描述已针对具体实施例。然而，显而易见的是，可以对所描述的实施例做出各种变更和修改，从而达到其优势中的一些优势或全部优势。例如，明确考虑本申请所描述的部件和/或元件可以被实现为被存储在具有在计算机、硬件、固件或其组合上执行的程序指令的有形的(非易失性的)计算机可读介质(例如，磁盘/CD，等)的软件。因此，该说明书只通过示例的方式进行的而非以其他方式限制本申请的实施例的范围。因此，所附权利要求的目的是覆盖进入本申请的实施例的真实精神和范围内的所有这样的变更和修改。

Claims

1.一种用于分布式虚拟交换机架构的方法，包括：

通过公共网络建立私有云中的第一云网关和公共云中的第二云网关之间的安全传输层通道，所述安全传输层通道被配置以在所述私有云和所述公共云之间提供链路层网络扩展；

在所述公共云内运行云虚拟以太网模块(cVEM)，所述cVEM被配置以在所述公共云中被连接到所述cVEM的一个或多个私有应用虚拟机VM与所述私有云之间交换虚拟机VM间流量；以及

通过所述私有云中的虚拟监控模块(VSM)管理所述公共云中的所述一个或多个私有应用VM，就好像所述公共云中的所述cVEM和VM在所述私有云内一样。

2.如权利要求1所述的方法，还包括：

将所述公共云中的所述一个或多个私有应用VM中的每个私有应用VM的虚拟网络接口卡(vNIC)作为所述VSM上的虚拟以太网接口(veth)进行管理。

3.如权利要求2所述的方法，还包括：

使用可应用于特定私有应用VM的实例的端口配置文件来配置特定veth，无论该特定私有应用VM的实例是在所述公共云还是在所述私有云内被实例化的。

4.如权利要求1所述的方法，还包括：

在所述私有云的虚拟以太网模块(VEM)与所述公共云的cVEM之间迁移特定私有应用VM的实例。

5.如权利要求1所述的方法，还包括：

通过所述公共云内的云管理器实例化所述第一云网关和第二云网关。

6.如权利要求1所述的方法，还包括：

通过所述公共云内的云管理器监视所述第一云网关和第二云网关、所述一个或多个私有应用VM、所述cVEM以及所述安全传输层通道的状况。

7.如权利要求1所述的方法，还包括：

将所述cVEM嵌入到所述第二云网关内。

8.如权利要求1所述的方法，还包括：

将所述第一云网关作为VM附接到两者中的任一者，这两者是所述私有云的交换机或所述私有云的被附接到所述交换机的虚拟以太网模块(VEM)。

9.一种用于分布式虚拟交换机架构的系统，包括：

私有云中的第一云网关；

公共云中的第二云网关；

通过公共网络的、所述私有云中的所述第一云网关与所述公共云中的所述第二云网关之间的安全传输层通道，所述安全传输层通道被配置以在所述私有云与所述公共云之间提供链路层网络扩展；

在所述公共云内运行的云虚拟以太网模块(cVEM)；

所述公共云中被连接到所述cVEM的一个或多个私有应用虚拟机(VM)，其中，所述cVEM被配置以在所述私有云和所述一个或多个私有应用VM之间交换VM间流量；以及

所述私有云中的虚拟监控模块(VSM)，所述虚拟监控模块被配置以管理所述公共云中的一个或多个私有应用VM，就好像所述公共云中的所述cVEM和VM在所述私有云内一样。

10.如权利要求9所述的系统，其中所述VSM还被配置以将所述公共云中的所述一个或多个私有应用VM中的每个私有应用VM的虚拟网络接口卡(vNIC)作为所述VSM上的虚拟以太网接口(veth)进行管理。

11.如权利要求10所述的系统，其中所述VSM还被配置以使用可应用于特定私有应用VM的实例的端口配置文件来配置特定veth，无论该特定私有应用VM的实例是在所述公共云还是在所述私有云内被实例化的。

12.如权利要求9所述的系统，还包括：

云管理器，所述云管理器在所述公共云内并且被配置以在所述私有云的虚拟以太网模块(VEM)与所述公共云的cVEM之间迁移特定私有应用VM的实例。

13.如权利要求9所述的系统，还包括：

云管理器，该云管理器在所述私有云内并且被配置以实例化所述第一云网关和第二云网关。

14.如权利要求9所述的系统，还包括：

云管理器，该云管理器在所述私有云内并且被配置以监控所述第一云网关和第二云网关、所述一个或多个私有应用VM、所述cVEM以及所述安全传输层通道的状况。

15.如权利要求9所述的系统，其中所述cVEM被嵌入到所述第二云网关内。

16.如权利要求9所述的系统，还包括：

所述私有云的交换机，其中所述第一云网关作为VM被附接到所述交换机或者所述私有云的被附接到所述交换机的虚拟以太网模块(VEM)中的任一者。

17.一种用于分布式虚拟交换机架构的设备，包括：

用于通过公共网络建立私有云中的第一云网关和公共云中的第二云网关之间的安全传输层通道的装置，所述安全传输层通道被配置以在所述私有云和所述公共云之间提供链路层网络扩展；

用于在所述公共云内运行云虚拟以太网模块(cVEM)的装置，所述cVEM被配置以在所述公共云中被连接到所述cVEM的一个或多个私有应用虚拟机VM与所述私有云之间交换虚拟机VM间流量；以及

用于通过所述私有云中的虚拟监控模块(VSM)管理所述公共云中的所述一个或多个私有应用VM，就好像所述公共云中的所述cVEM和VM在所述私有云内一样的装置。

18.如权利要求17所述的设备，还包括：

用于将所述公共云中的所述一个或多个私有应用VM中的每个私有应用VM的虚拟网络接口卡(vNIC)作为所述VSM上的虚拟以太网接口(veth)进行管理的装置。

19.如权利要求18所述的设备，还包括：

用于使用可应用于特定私有应用VM的实例的端口配置文件来配置特定veth，无论该特定私有应用VM的实例是在所述公共云还是在所述私有云内被实例化的装置。

20.如权利要求17所述的设备，还包括：

用于在所述私有云的虚拟以太网模块(VEM)与所述公共云的cVEM之间迁移特定私有应用VM的实例的装置。

21.如权利要求17所述的设备，还包括：

用于通过所述公共云内的云管理器实例化所述第一云网关和第二云网关的装置。

22.如权利要求17所述的设备，还包括：

用于通过所述公共云内的云管理器监视所述第一云网关和第二云网关、所述一个或多个私有应用VM、所述cVEM以及所述安全传输层通道的状况的装置。

23.如权利要求17所述的设备，还包括：

用于将所述cVEM嵌入到所述第二云网关内的装置。

24.如权利要求17所述的设备，还包括：

用于将所述第一云网关作为VM附接到两者中的任一者的装置，这两者是所述私有云的交换机或所述私有云的被附接到所述交换机的虚拟以太网模块(VEM)。