CN111052686B

CN111052686B - 在公共云中执行在线服务的方法和机器可读介质

Info

Publication number: CN111052686B
Application number: CN201880055659.3A
Authority: CN
Inventors: M·海拉
Original assignee: Nicira Inc
Current assignee: Nicira Inc
Priority date: 2017-08-27
Filing date: 2018-08-22
Publication date: 2022-03-29
Anticipated expiration: 2038-08-22
Also published as: US20190068500A1; CN114584465A; US20210105208A1; US11695697B2; EP3673627B1; EP3673627A1; CN111052686A; WO2019046071A1; US10778579B2

Abstract

一些实施例提供了新颖的方式来在公共云环境中的两个机器(例如，两个VM、两个容器等)之间的数据消息流的路径中插入服务(例如，第三方服务)。对于公共云的特定租户，一些实施例创建具有逻辑覆盖地址空间的覆盖逻辑网络。为了对两个机器之间的数据消息流执行服务，逻辑覆盖网络将具有在逻辑覆盖网络中定义的其目的地地址(例如，目的地IP地址)的数据消息传递到公共云的底层网络。底层网络(例如，底层默认下行链路网关)被配置为将具有这样的目的地地址(例如，具有逻辑覆盖目的地地址)的数据消息传递到一组一个或多个服务机器。底层网络(例如，底层默认上行链路网关)还被配置为将从服务机器集接收到的并寻址到逻辑覆盖目的地地址的处理后的数据消息传递到特定租户的公共云网关。租户的公共云网关被配置为将此类数据消息转发到逻辑网络的逻辑转发元件，该逻辑转发元件然后处理将数据消息转发到正确的目的地机器。

Description

在公共云中执行在线服务的方法和机器可读介质

背景技术

在当今的私有云中，许多供应商提供专门的服务，诸如深度分组检查、防火墙等。在私有数据中心中，管理员通常在需要服务的流量路径中部署此类专门的服务。随着公共云的激增，这些供应商还提供了可以在公共云环境中许可和部署的虚拟设备和服务虚拟机(服务 VM)。例如，Palo Alto Networks使其防火墙可用作Amazon Web Services(AWS)市场中的虚拟设备。

此类设备大多被部署用于进入和离开数据中心中的虚拟公共云(VPC)的流量，因此被部署为面向互联网网关。但是，公共云租户还希望通过第三方供应商的服务设备在虚拟数据中心内的端点子集之间路由流量。当前，这是不可能的，因为云提供商不允许重写VPC 中端点之间的流量的路由。例如，在AWS VPC中，提供者路由表具有用于VPC地址块的单个条目，并且该条目无法被修改。无法添加与VPC地址块重叠的更特定的路由。

发明内容

一些实施例提供了一种用于在公共云环境中的两个机器(例如，两个VM、两个容器等)之间的数据消息流的路径中插入服务(例如，第三方服务)的方法。对于公共云的特定租户，在一些实施例中，该方法创建具有不同的覆盖地址空间的覆盖逻辑网络。在公共云的底层网络之上定义该覆盖逻辑网络，在一些实施例中，该底层网络是由云提供商提供的VPC网络。在一些实施例中，VPC网络也是由云提供商提供的逻辑覆盖网络，而在其它实施例中，VPC网络只是针对特定租户的与提供商的物理网络的其余部分分开的一部分(例如，具有针对特定租户的分开的地址空间的部分)。

为了对VPC网络中的两个机器之间的数据消息流执行一个或多个服务，该方法配置覆盖逻辑网络的一个或多个逻辑转发元件(例如，逻辑路由器)以将此类数据消息流转发到底层网络的一个或多个转发元件，使得底层网络可以将数据消息转发到对数据消息流执行服务的服务机器。例如，在一些实施例中，该方法配置逻辑覆盖网络的逻辑路由器的逻辑接口(LIF)以将定向到某些目的地IP地址的数据消息转发到由公共云提供商为VPC网络指定的底层默认下行链路网关。在一些这样的实施例中，该方法将底层默认下行链路网关定义为用于定向到某些目的地IP地址的数据消息的下一跳(其可通过LIF访问)。

该方法还修改底层网络的转发元件(例如，底层默认网关)的路由表，以将目的地为一些或全部逻辑覆盖地址的数据消息发送到对数据消息执行一个或多个服务的一个或多个服务机器。这些机器可以是独立的服务设备(例如，第三方服务设备，诸如Palo AltoNetwork 的防火墙设备等)，或者它们可以是在主机计算机上执行的服务机器 (例如，虚拟机、容器等)。在一些实施例中，服务机器在公共云之内，而在其它实施例中，服务机器可以在公共云的内部或外部。

服务机器直接或通过中间网络架构对它从底层转发元件接收到的数据消息执行一个或多个服务。在对数据消息执行其(一个或多个) 服务之后，服务机器将消息提供给其上行链路接口，该上行链路接口处理将数据消息转发到服务机器的网络外部的网络。该方法配置服务机器的上行链路接口的单独的路由表，以对于公共云中的特定租户，将处理后的数据消息路由到底层默认上行链路网关。

该方法还配置该底层默认上行链路网关的路由表，以将目的地为一些或全部逻辑覆盖地址的数据消息转发到特定租户的云网关。在一些实施例中，特定租户的云网关处理在公共云中进入或退出租户的 VPC网络的数据消息。该方法配置租户网关以将寻址到逻辑覆盖网络目的地地址的数据消息路由到特定租户的VPC中的正确的目的地机器(例如，正确的VM或容器)。

当目的地机器发送对于来自源机器的消息的回复消息时，在一些实施例中，目的地机器的回复消息遵循与接收到的数据消息相似的路径。具体而言，在一些实施例中，与目的地机器相关联的逻辑转发元件(例如，逻辑路由器)通过覆盖网络的逻辑转发元件(例如，通过具有底层默认网关作为其针对一些逻辑覆盖地址的下一跳的逻辑转发元件的LIF)将回复消息转发到底层网络的转发元件。底层网络转发元件(例如，底层默认网关)被配置为将目的地为一些或全部逻辑覆盖地址的数据消息发送到一个或多个服务机器。

在处理回复消息之后，服务机器再次将消息提供给其上行链路接口，该上行链路接口再次将其路由表配置为将处理后的回复数据消息路由到底层默认上行链路网关。该网关再次被配置为将处理后的数据消息转发到特定租户的云网关，该特定租户的云网关再次被配置为将寻址到逻辑覆盖网络目的地地址的消息路由到特定租户的VPC中的正确的目的地机器(例如，正确的VM或容器)。

前面的发明内容旨在用作对本发明的一些实施例的简要介绍。这并不意味着是对本文档中公开的所有发明性主题的介绍或概述。以下的具体实施方式和在具体实施方式中提及的附图将进一步描述在本发明内容中描述的实施例以及其它实施例。因此，为了理解由本文档描述的所有实施例，需要对发明内容、具体实施方式、附图和权利要求书进行全面审阅。而且，所要求保护的主题不受发明内容、具体实施方式和附图中的说明性细节的限制。

附图说明

本发明的新颖特征在所附权利要求中阐述。但是，为了解释的目的，在以下图中阐述了本发明的若干实施例。

图1给出了图示一些实施例在数据消息从公共云环境中的一个机器发送到另一个机器时如何执行服务的示例。

图2图示了公共云环境中的虚拟私有云的示例。

图3给出了图示一些实施例如何将回复消息定向到一个或多个服务机器的示例。

图4图示了一些实施例的一组一个或多个网络控制器执行以配置逻辑网络单元、底层网络单元、服务机器和租户网关的处理。

图5给出了在一些实施例中如何配置图1和图3中的网络和服务元件的示例。

图6概念性地图示了用于实现本发明的一些实施例的计算机系统。

具体实施方式

在本发明的以下详细描述中，阐述和描述了本发明的许多细节、示例和实施例。但是，对于本领域技术人员将清楚和显而易见的是，本发明不限于所阐述的实施例，并且本发明可以在没有所讨论的一些具体细节和示例的情况下实践。

一些实施例提供了新颖的方式来在公共云环境中的两个机器(例如，两个VM、两个容器等)之间的数据消息流的路径中插入服务 (例如，第三方服务)。对于公共云的特定租户，一些实施例创建具有逻辑覆盖地址空间的覆盖逻辑网络。为了对两个机器之间的数据消息流执行服务，逻辑覆盖网络将具有其在逻辑覆盖网络中定义的目的地地址(例如，目的地IP地址)的数据消息传递到公共云的底层网络。

底层网络(例如，底层默认下行链路网关)被配置为将具有这样的目的地地址(例如，具有逻辑覆盖目的地地址)的数据消息传递到一组一个或多个服务机器。底层网络(例如，底层默认上行链路网关) 还被配置为将从服务机器集接收到的并寻址到逻辑覆盖目的地地址的处理后的数据消息传递到特定租户的公共云网关。租户的公共云网关被配置为将此类数据消息转发到逻辑网络的逻辑转发元件，该逻辑转发元件然后处理将数据消息转发到正确的目的地机器。

如在本文档中所使用的，数据消息是指跨网络发送的特定格式的位集合。本领域普通技术人员将认识到的是，术语“数据消息”可以在本文中用于指可以跨网络发送的各种格式化的位集合，诸如以太网帧、 IP分组、TCP段、UDP数据报等。而且，如本文档中所使用的，对第2层(L2)、第3层(L3)、第4层(L4)和第7层(L7)(或第2层、第3层、第4层、第7层)的引用分别是对OSI(开放系统互连)层模型的第二数据链路层、第三网络层、第四传输层和第七应用层的引用。

图1给出了图示一些实施例在数据消息从公共云环境中的一个机器发送到另一个机器时如何执行服务(例如，第三方服务)的示例。在这个示例中，机器是在公共云100中的主机计算机上执行的VM 122/132。这些VM属于公共数据中心100的一个租户。在一些实施例中，公共云位于一个物理数据中心位置，而在其它实施例中，公共云跨越多个物理数据中心位置(例如，在多个城市中)。

如图所示，该租户在公共云100中具有虚拟私有云(VPC)105。图2图示了公共云100的VPC 205。这些VPC是不同的云租户。如图所示，公共云具有许多计算资源210(例如，主机计算机等)和网络资源215(例如，在主机计算机上执行的软件交换机和路由器、独立的交换机和路由器(诸如架顶交换机)等。在一些实施例中，网络资源在一些实施例中包括中间盒服务设备和VM。每个租户的VPC 使用公共云的计算和网络资源的子集。典型地，公共云提供商使用计算虚拟化和网络虚拟化/分段技术来确保具有一个VPC的租户不能访问具有另一个VPC的另一个租户的分离的机器和/或网络。

如图2所示，公共云数据中心100允许其租户创建服务VPC 225。每个租户的服务VPC 225包括一个或多个服务设备或机器(例如， VM或容器)，它们对在租户的VPC内的机器之间交换的数据消息以及进入和退出租户的VPC 205的数据消息执行服务(例如，中间盒服务，诸如DPI、防火墙、网络地址转换、加密等)。在一些实施例中，服务VPC 225中的所有服务设备和/或机器由第三方供应商提供。在其它实施例中，这些设备和/或机器的子集由第三方供应商提供，而其余由公共云提供商和/或租户提供。

在图1所示的示例中，租户VPC 105使用一个服务VPC 150对 VM 122发送给VM 132的数据消息执行一组一个或多个服务。如图所示，VPC 105包括逻辑覆盖网络115。美国专利申请15/367,157描述了一些实施例如何在公共云环境中定义逻辑覆盖网络。该美国专利申请通过引用并入本文。在公共云的底层网络之上定义覆盖逻辑网络 115，在一些实施例中，该底层网络是由云提供商提供的VPC网络。在一些实施例中，VPC网络也是由云提供商提供的逻辑覆盖网络，而在其它实施例中，VPC网络只是针对特定租户的与提供商的物理网络的其余部分分开的一部分(例如，具有针对特定租户的分开的地址空间的部分)。

如图所示，逻辑覆盖网络115包括两个逻辑交换机120和125以及逻辑路由器130。每个逻辑交换机跨越多个主机计算机上的多个软件交换机，以连接这些主机计算机上的若干个VM。类似地，逻辑路由器跨越多个主机计算机上的多个软件路由器，以连接到这些主机计算机上的逻辑交换机实例。在一些实施例中，连接到两个不同逻辑交换机120和125的VM在不同的子网上，而在其它实施例中，这些 VM不一定必须在两个不同的子网上。

如进一步示出的，租户VPC 105包括至少一个租户网关135。该 VPC通常具有多个网关，以实现冗余，并处理进出租户VPC的北向和南向流量。对于租户VPC 105，公共云还提供底层下行链路网关 140和底层上行链路网关145。这些网关将消息转出和转入租户VPC105。

图1图示了在一些实施例中数据消息从VM 122到VM 132所采用的路径。如图所示，由于消息的目的地未连接到逻辑交换机120，因此逻辑交换机120最初接收该消息并将该消息转发到逻辑路由器 130。逻辑路由器被配置为将与两个逻辑交换机相关联的两个子网之间的数据消息流转发到底层网络，使得底层网络可以将数据消息转发到服务VPC，以对数据消息流执行一组一个或多个服务。一些实施例将逻辑路由器130的逻辑接口(LIF)155配置为与由公共云提供商为VPC网络指定的底层网络的默认下行链路网关140相关联的接口。在一些这样的实施例中，底层默认下行链路网关是从连接到逻辑交换机120的VM到连接到逻辑交换机125的VM的数据消息的下一跳(其可通过LIF访问)。

底层默认下行链路网关140被配置为将目的地为一些或全部逻辑覆盖地址的数据消息发送到服务VPC 150，使得该VPC处的一个或多个服务机器可以对数据消息执行一个或多个服务。因此，当逻辑路由器130将来自VM 122的数据消息提供给底层下行链路网关140时，该网关将该消息转发到服务VPC 150。

服务VPC 150处的一个或多个服务机器152被配置为对从公共云的底层网关140接收到的数据消息(例如，对在逻辑覆盖地址空间中具有源和/或目的地地址的数据消息)执行一个或多个服务。这些服务操作的示例包括典型的中间盒服务操作，诸如防火墙操作、NAT操作等。服务机器152可以是独立的服务设备(例如，第三方服务设备，诸如Palo AltoNetwork的防火墙设备等)，或者它们可以是在主机计算机上执行的服务机器(例如，虚拟机、容器等)。在图1所示的示例中，服务机器位于公共云中的服务VPC内。在其它实施例中，服务机器可以在公共云的外部。在还有的其它实施例中，服务机器是租户的VPC的一部分，但是在租户的逻辑覆盖网络115 的外部。

当仅一个服务机器对来自VM 122的数据消息执行服务时，图1 的示例中的服务机器152才将处理后的消息提供给其上行链路接口，该上行链路接口处理将数据消息转发到服务机器的VPC外部的网络。另一方面，当多个服务机器对该数据消息执行多个服务操作时，图1 的示例中的最后一个服务机器152将处理后的消息提供给其上行链路接口。在任一情况下，服务机器的上行链路接口的单独的路由表被配置为，对于公共云中的特定租户，将处理后的数据消息路由到底层默认上行链路网关145。当服务操作需要丢弃消息时，在一些实施例中，该消息被丢弃。

底层默认上行链路网关145被配置为将目的地为一些或全部逻辑覆盖地址的数据消息转发到特定租户的云网关135。因此，该网关 145将数据消息从VM 122转发到租户网关135。租户的云网关135 被配置为将在逻辑覆盖地址空间中具有目的地地址的数据消息转发到逻辑路由器130。

相应地，网关将处理后的数据消息转发到逻辑路由器130，然后逻辑路由器130将其转发到逻辑交换机125。然后，该交换机将数据消息转发到VM 132。为了使逻辑交换机125将数据消息转发到VM 132，数据消息由在一个主机计算机上执行的逻辑路由器实例提供给与VM 132在同一主机计算机上执行的逻辑交换机实例(即，实现逻辑交换机的软件交换机)。然后，该逻辑交换机实例将数据消息传递到VM 132。

在一些实施例中，不需要对从VM 132到VM 122的回复消息执行服务操作。在其它实施例中，需要这种服务操作。图3给出了图示一些实施例如何将该回复消息定向到服务VPC 150中的一个或多个服务机器152的示例。如图所示，该回复消息所采用的路径与从VM122到VM 132的原始消息的路径除以下之外是相同的：回复消息 (1)初始从VM 132到逻辑交换机125，然后到逻辑路由器130，以及(2)在由服务VPC处理并传递到底层上行链路网关145再传递到租户网关之后，从逻辑路由器130到逻辑交换机120以到达VM 122。当回复消息从逻辑路由器130到底层下行链路网关140，然后到服务 VPC 150、底层上行链路网关145，然后到租户网关135时，回复消息将遍历与原始消息相同的路径。

图4示出了一些实施例的一组一个或多个网络控制器执行以配置逻辑网络单元、底层网络单元、服务机器和租户网关的处理400。处理400配置网络和服务元件以将公共云的特定租户的不同机器(例如，两个VM、两个容器等)之间的数据消息流定向到一个或多个服务机器，使得它们可以对数据消息流执行一个或多个服务。将参考图5来解释处理400，图5给出了在一些实施例中如何配置图1和图3中的网络和服务元件的示例。

在一些实施例中，执行处理400的网络控制器集被部署在租户 VPC中。在其它实施例中，网络控制器集被部署在公共云中的管理 VPC中。在一些实施例中，该公共云提供商提供并运营管理VPC，而在其它实施例中，第三方提供商部署并运营管理VPC。而且，在一些实施例中，网络控制器集位于公共云环境外部的私有数据中心中。在上面结合的美国专利申请15/367,157中描述了网络控制器集的若干个示例。

如图所示，在一些实施例中，处理400初始地创建(在405处) 具有不同的覆盖地址空间的覆盖逻辑网络。逻辑覆盖网络115是这种覆盖逻辑网络的一个示例。在公共云的底层网络之上定义(在405处) 覆盖逻辑网络，在一些实施例中，该该底层网络是由云提供商提供的 VPC网络。在一些实施例中，VPC网络也是由云提供商提供的逻辑覆盖网络，而在其它实施例中，VPC网络只是针对特定租户的与提供商的物理网络的其余部分分开的一部分(例如，具有针对特定租户的分开的地址空间的部分)。

接下来，在410处，该处理配置覆盖逻辑网络的一个或多个逻辑转发元件(例如，逻辑路由器)以将此类数据消息流转发到底层网络的一个或多个转发元件，使得底层网络可以将数据消息转发到对数据消息流执行服务的服务机器。例如，在一些实施例中，该处理配置逻辑覆盖网络的逻辑路由器的逻辑接口，以将定向到某些目的地IP地址的数据消息转发到由公共云提供商为VPC网络指定的底层默认下行链路网关。

在一些这样的实施例中，该处理将底层默认下行链路网关定义为定向到某些目的地IP地址的数据消息的下一跳(其可通过LIF访问)。图5图示了逻辑路由器130的路由表505。如图所示，路由表 505具有第一路由记录552，当沿着与逻辑交换机120相关联的逻辑路由器的入口端口X接收到数据消息时，该第一路由记录552将底层默认下行链路网关140识别为从(第一逻辑交换机120的)子网1 的任何逻辑IP地址到(第二逻辑交换机125的)子网2的任何逻辑 IP地址的任何消息的下一跳。

处理400还配置(在415处)覆盖逻辑网络的一个或多个逻辑转发元件，以在数据消息已被(一个或多个)服务机器处理之后将数据消息转发到逻辑地址空间中的其目的地。图5图示了具有第二路由记录554的路由表505，当在与租户网关135相关联的逻辑路由器的入口端口Y上接收到数据消息时，该第二路由记录554将与第二逻辑交换机125相关联的接口(LIF B)识别为从(第一逻辑交换机120 的)子网1的任何逻辑IP地址到(第二逻辑交换机125的)子网2 的任何逻辑IP地址的任何消息的输出端口。

接下来，在420处，处理400配置底层网络的转发元件的路由表以将目的地为一些或全部逻辑覆盖地址的数据消息发送到对数据消息执行一个或多个服务的一个或多个服务机器。图5图示了底层下行链路网关140的路由表510。如图所示，路由表510具有路由记录，该路由记录将服务机器集群1识别为从(第一逻辑交换机120的)子网 1的任何逻辑IP地址到(第二逻辑交换机125的)子网2的任何逻辑IP地址的任何消息的下一跳。

在425处，处理还配置底层网络的转发元件(例如，底层默认上行链路网关)的路由表，以将目的地为一些或全部逻辑覆盖地址的数据消息转发到特定租户的云网关(例如，租户网关135)。图5图示了底层上行链路网关145的路由表525。如图所示，路由表525具有路由记录，该路由记录将租户网关135识别为从(第一逻辑交换机 120的)子网1的任何逻辑IP地址到(第二逻辑交换机125的)子网2的任何逻辑IP地址的任何消息的下一跳。

服务机器可以是独立的服务设备(例如，第三方服务设备，诸如 Palo AltoNetwork的防火墙设备等)，或者它们可以是在主机计算机上执行的服务机器(例如，虚拟机、容器等)。在一些实施例中，服务机器在公共云之内，而在其它实施例中，服务机器可以在公共云的内部或外部。

在430处，处理400使用一个或多个服务规则来配置一个或多个服务机器，该一个或多个服务规则引导服务机器对它直接或通过中间网络架构从底层转发元件接收到的数据消息执行一个或多个服务。每个这样的服务规则是根据一个或多个逻辑覆盖地址定义的。例如，在一些实施例中，每个服务规则具有规则匹配标识符，该规则匹配标识符是根据一个或多个流标识符定义的，并且所配置的服务规则中的这些流标识符中的一个或多个是根据逻辑覆盖地址表达的。图5图示了一种这样的服务规则的示例。具体而言，它示出了具有用于防火墙服务设备560的防火墙规则的防火墙规则表515。防火墙规则指定应允许从子网1的VM 122的逻辑IP地址N到子网2的VM 132的逻辑 IP地址O的任何数据消息。

在对数据消息执行其(一个或多个)服务之后，服务机器将消息提供给其上行链路接口，该上行链路接口处理将数据消息转发到服务机器的网络外部的网络。处理400配置(在430处)服务机器的上行链路接口的路由表，以对于公共云中的特定租户，将处理后的数据消息路由到底层默认上行链路网关。图5图示了防火墙设备560的上行链路接口的路由表520。如图所示，路由表520具有路由记录，该路由记录将底层上行链路网关145识别为从(第一逻辑交换机120的) 子网1的任何逻辑IP地址到(第二逻辑交换机125的)子网2的任何逻辑IP地址的任何消息的下一跳。

接下来，在435处，该处理配置租户网关的路由表以将寻址到逻辑覆盖网络目的地地址的数据消息路由到特定租户的VPC中的正确的目的地机器(例如，正确的VM或容器)。图5图示了租户网关 135的路由表530。如图所示，路由表530具有路由记录，该路由记录将逻辑路由器130识别为从(第一逻辑交换机120的)子网1的任何逻辑IP地址到(第二逻辑交换机125的)子网2的任何逻辑IP地址的任何消息的下一跳。在435之后，处理400结束。

许多上述特征和应用被实现为软件处理，其被指定为记录在计算机可读存储介质(也被称为计算机可读介质)上的一组指令。当这些指令被一个或多个处理单元(例如，一个或多个处理器、处理器的核心、或其它处理单元)执行时，它们使得这(一个或多个)处理单元执行在指令中指示的动作。计算机可读介质的示例包括，但不限于， CD-ROM、闪存驱动器、RAM芯片、硬盘驱动器、EPROM等。计算机可读介质不包括无线地或通过有线连接传递的载波和电子信号。

在本说明书中，术语“软件”是指包括驻留在只读存储器中的固件或者存储在磁存储装置中的应用，其可以被读入到存储器中用于被处理器处理。此外，在一些实施例中，多个软件发明可以被实现为更大程序的子部分，同时保持明显的软件发明。在一些实施例中，多个软件发明也可以被实现为单独的程序。最后，一起实现本文所描述的软件发明的单独程序的任意组合是在本发明的范围之内。在一些实施例中，当软件程序被安装以在一个或多个电子系统上操作时，该软件程序定义运行并执行该软件程序的操作的一个或多个特定的机器实现。

图6概念性地示出了实现本发明的一些实施例的计算机系统600。计算机系统600可以用于实现任何上述主机、控制器和管理器。由此，它可以用于执行任何上述处理。该计算机系统包括各种类型的非临时性机器可读介质和用于各种其它类型的机器可读介质的接口。计算机系统600包括总线605、(一个或多个)处理单元610、系统存储器625、只读存储器630、永久存储装置635、输入装置640和输出装置 645。

总线605统一地表示通信地连接计算机系统600的众多内部装置的所有系统、外设和芯片组总线。例如，总线605将(一个或多个) 处理单元610与只读存储器630、系统存储器625和永久存储装置 635通信地连接。

从这些各种存储器单元中，(一个或多个)处理单元610检索要执行的指令和要处理的数据，以便执行本发明的处理。(一个或多个) 处理单元在不同实施例中可以是单个处理器或多核心处理器。只读存储器(ROM)630存储由(一个或多个)处理单元610和计算机系统的其它模块所需要的静态数据和指令。另一方面，永久存储装置 635是读和写存储器装置。这个装置是即使当计算机系统600关闭时也存储指令和数据的非易失性存储单元。本发明的一些实施例使用大容量存储装置(诸如磁或光盘及其对应的盘驱动器)作为永久存储装置635。

其它实施例使用可去除存储装置(诸如软盘、闪存驱动器等)作为永久存储装置。与永久存储装置635一样，系统存储器625是读和写存储器装置。但是，与存储装置635不同，系统存储器625是易失性读和写存储器，诸如随机存取存储器。系统存储器625存储处理器在运行时需要的一些指令和数据。在一些实施例中，本发明的处理被存储在系统存储器625、永久存储装置635和/或只读存储器630中。从这些各种存储器单元中，(一个或多个)处理单元610检索要执行的指令和要处理的数据，以便执行一些实施例的处理。

总线605还连接到输入和输出装置640和645。输入装置使用户能够传递信息和选择到计算机系统的命令。输入装置640包括字母数字键盘和定点装置(也称为“光标控制装置”)。输出装置645显示由计算机系统生成的图像。输出装置包括打印机和显示装置，诸如阴极射线管(CRT)或液晶显示器(LCD)。一些实施例包括诸如用作输入和输出装置两者的触摸屏的装置。

最后，如图6所示，总线605还通过网络适配器(图中未示出) 将计算机系统600耦合到网络665。以这种方式，计算机可以是计算机的网络(诸如局域网(“LAN”)、广域网(“WAN”)、或内联网、或诸如互联网的网络的网络)的一部分，计算机系统600的任何或所有组件可以与本发明结合使用。

一些实施例包括电子组件，诸如微处理器、在机器可读或计算机可读介质(可替代地称为计算机可读存储介质、机器可读介质或机器可读存储介质)中存储计算机程序指令的存储装置和存储器。这种计算机可读介质的一些示例包括RAM、ROM、只读压缩盘(CD-ROM)、可记录压缩盘(CD-R)、可重写压缩盘(CD-RW)、只读数字多功能盘(例如，DVD-ROM，双层DVD-ROM)、各种可记录/可重写DVD(例如，DVD-RAM、DVD-RW、DVD+RW等)、闪存存储器(例如，SD卡、小型SD卡、微型SD卡等)、磁和/或固态硬盘驱动器、只读和可记录

盘、超密度光盘、任何其它光或磁介质、以及软盘。计算机可读介质可以存储可由至少一个处理单元执行的并且包括用于执行各种操作的指令集合的计算机程序。计算机程序或计算机代码的示例包括诸如由编译器产生的机器代码，以及包括由计算机、电子组件、或利用解释器的微处理器执行的更高级代码的文件。

虽然以上讨论主要指执行软件的微处理器或多核心处理器，但是一些实施例由一个或多个集成电路来执行，诸如专用集成电路 (ASIC)或现场可编程门阵列(FPGA)。在一些实施例中，这种集成电路执行在该电路自身上存储的指令。

如在本说明书中所使用的，术语“计算机”、“服务器”、“处理器”、以及“存储器”都是指电子或其它技术装置。这些术语不包括人或人群。为了本说明书的目的，术语显示或正在显示意味着在电子装置上显示。如本说明书中所使用的，术语“计算机可读介质”、“多个计算机可读介质”和“机器可读介质”被完全限制为以由计算机可读的形式存储信息的、有形的、物理的对象。这些术语不包括任何无线信号、有线下载信号、以及任何其它短暂或临时信号。

虽然本发明已经参考许多特定细节进行了描述，但是本领域普通技术人员将认识到，在不脱离本发明的精神的情况下，本发明可以以其它特定形式体现。例如，几个图概念性地示出了处理。这些处理的特定操作可能没有以所示出和描述的确切顺序执行。特定操作可能没有在一系列连续的操作中执行，并且不同的特定操作可能在不同的实施例中执行。此外，处理可以使用若干子处理来实现，或者作为更大的宏处理的一部分来实现。因此，本领域普通技术人员将理解，本发明不受上述说明性细节的限制，而是由所附权利要求来定义。

Claims

1.一种用于为在公共云中的多个虚拟私有云(VPC)内的每一个VPC中的机器之间交换的数据消息提供服务的方法，所述方法包括：

为使用一组一个或多个服务机器的至少两个VPC中的每一个VPC：

在公共云的底层网络之上建立逻辑覆盖网络，所述逻辑覆盖网络包括用于连接逻辑覆盖网络的至少两个逻辑子网的逻辑路由器、至少两个逻辑交换机，每个逻辑交换机连接VPC中的不同的一组机器，该不同的一组机器是逻辑覆盖网络的一个子网的一部分；

配置逻辑路由器的至少一个逻辑接口(LIF)以将具有逻辑目的地地址的数据消息的子集定向到底层网络的转发元件，所述逻辑目的地地址存储在具有一组其他网络地址的数据信息的报头中，所述一组其他网络地址在逻辑覆盖网络的逻辑地址空间中定义，并且所述逻辑目的地地址识别VPC中的目的地机器；以及

配置底层网络转发元件在数据消息来自VPC并且具有落入逻辑地址空间中的至少一个地址子集中的目的地地址时将从LIF接收到的数据消息转发到该组服务机器，该组服务机器驻留在逻辑底层网络之外以(i)对数据消息执行一组一个或多个服务，以及(ii)将处理后的数据消息提供给网关以将数据消息转发回到逻辑覆盖网络，所述逻辑覆盖网络将数据消息转发到由处理后的数据消息寻址的目的地机器。

2.如权利要求1所述的方法，其中网关是底层网络转发元件。

3.如权利要求1所述的方法，还包括：配置该组服务机器以在数据消息具有落入逻辑地址空间中的该至少一个地址子集内的目的地地址时，对数据消息执行服务集。

4.如权利要求3所述的方法，其中为了该组服务机器对数据消息执行服务集，数据消息还必须来自底层网络转发元件。

5.如权利要求3所述的方法，还包括配置该组服务机器的至少一个上行链路接口，以在数据消息具有落入逻辑地址空间的该至少一个地址子集内的目的地地址时，将处理后的数据消息提供给底层网络。

6.如权利要求1所述的方法，其中网关是底层网络网关，所述方法还包括：配置底层网络网关以将来自服务机器上行链路接口的数据消息提供给租户网关，以将处理后的数据消息转发到逻辑覆盖网络。

7.如权利要求1所述的方法，其中该组服务机器包括至少一个独立的服务设备。

8.一种机器可读介质，其存储用于为在公共云中的多个虚拟私有云(VPC)内的每一个VPC中的机器之间交换的数据消息提供服务的程序，所述程序由计算机的至少一个处理单元执行，所述程序包括用于以下的指令集：

配置底层网络转发元件以在数据消息来自VPC并且具有落入逻辑地址空间中的至少一个地址子集中的目的地地址时将从LIF接收到的数据消息转发到该组服务机器，该组服务机器驻留在逻辑底层网络之外以(i)对数据消息执行一组一个或多个服务，以及(ii)将处理后的数据消息提供给网关以将数据消息转发回到逻辑覆盖网络，所述逻辑覆盖网络将数据消息转发到由处理后的数据消息寻址的目的地机器。

9.如权利要求8所述的机器可读介质，其中所述程序还包括：用于配置该组服务机器以在数据消息具有落入逻辑地址空间中的至少一个地址子集内的目的地地址时对数据消息执行服务集的指令集。