CN112769695A - 边缘网关处的动态数据通路 - Google Patents

Abstract

本公开涉及边缘网关处的动态数据通路。提供了一种通过使用数据通路管道处理进出网络的流量的网关的新颖设计。数据通路管道包括用于在网络边缘处执行各种数据平面分组处理操作的多个阶段。处理阶段包括集中式路由阶段和分布式路由阶段。处理阶段可以包括服务提供阶段，诸如NAT和防火墙。网关高速缓存先前分组操作的结果，并将结果重新应用于满足某些标准的后续分组。对于不具有来自先前分组处理操作的适用或有效结果的分组，网关数据通路守护程序执行管道化分组处理阶段并记录来自管道的每个阶段的一组数据，并将这些数据合成到用于后续分组的高速缓存条目中。

Description

边缘网关处的动态数据通路

本申请是申请日为2016年10月29日、申请号为201680069286.6、发明名称为“边缘网关处的动态数据通路”的发明专利申请的分案申请。

技术领域

本发明公开通常涉及边缘网关处的动态数据通路。

背景技术

网关是充当到另一个网络的入口的网络点。在由数据中心提供的网络中，分配为网关节点的计算资源促进并调节数据中心网络与外部物理网络之间的流量。网关通常与知道向哪里引导到达网关的数据的给定分组的路由器以及为给定分组供给进出网关的实际路径的交换机相关联。

网关也是提供诸如防火墙、网络地址转换(NAT)、安全协议(诸如基于SSL的HTTP)等各种网络流量服务的计算节点。随着数据中心变得更大并且提供更多的计算和联网资源，网关也必须处理更多的流量。换句话说，网关及其相关联的路由器和交换机必须以更快的速度执行更多的交换、路由和服务任务。

发明内容

一些实施例提供了通过使用数据通路管道来处理进出网络的流量的网关。数据通路管道包括用于在网络边缘处执行各种数据平面分组处理操作的多个阶段。在一些实施例中，处理阶段包括集中式路由阶段和分布式路由阶段。在一些实施例中，处理阶段包括服务提供阶段，诸如NAT和防火墙。

在一些实施例中，根据接收到的分组的内容来动态确定要作为数据通路管道的一部分执行的阶段序列。在一些实施例中，数据通路管道的每个阶段与逻辑网络中的分组处理逻辑实体(诸如逻辑路由器或逻辑交换机)对应，并且由该阶段处的分组处理识别出的下一阶段与分组在逻辑网络中的下一跳对应，下一跳是另一个逻辑实体。

在一些实施例中，每个逻辑实体的分组处理操作基于存储在该逻辑实体的数据通路配置数据库中的配置数据。这种配置数据还定义了用于识别分组的下一跳的标准或规则。在一些实施例中，这样的下一跳识别规则被存储在DP配置数据库中作为与该阶段相关联的路由表或转发表。在一些实施例中，这样的下一跳识别规则允许数据通路守护程序(daemon)通过检查分组的内容和/或通过记录分组通过其进入逻辑实体的逻辑端口来确定下一跳的标识(identity)。

在一些实施例中，每个分组处理阶段被实现为对数据通路守护程序线程的函数调用。在一些实施例中，被调用以实现数据通路的各个阶段的函数是在核心处操作的数据通路守护程序的编程的一部分，但是被调用的函数基于用于不同网络标识的不同配置数据执行不同的操作。换句话说，核心的编程提供了可以由数据通路守护程序调用以执行各种逻辑路由器、逻辑交换机和服务提供实体的功能的函数。函数调用使用分组的内容作为输入实参(argument)。在一些实施例中，函数调用还使用分组通过其进入对应逻辑实体的逻辑端口的标识作为输入实参。在一些实施例中，函数调用还识别出口端口，该出口端口用于识别用于下一个管道阶段的下一个函数调用的入口端口。在一些实施例中，每个逻辑实体的每个逻辑端口与通用唯一标识符(UUID)相关联，使得逻辑端口可以由网关唯一地识别。逻辑端口的UUID还允许数据通路守护程序识别逻辑端口所属的逻辑实体，这又允许数据通路守护程序识别识别出的逻辑实体的配置数据并执行对应的管道阶段。

在一些实施例中，逻辑网络的一些逻辑实体/构造/元件分布在数据中心中的多个物理机器当中，并且一些逻辑实体/实体不是分布式的，而是集中式的或集中在一个物理机器上。在一些实施例中，这种集中式路由器充当用于在逻辑网络和外部路由器之间路由分组的集中式点(centralized point)。在一些实施例中，当处理传入分组时，数据通路守护程序将执行分布式逻辑实体和集中式逻辑实体两者作为其管道阶段。在一些实施例中，服务路由器是集中式逻辑路由器。每个服务路由器在一个网关机器上只有一个实例运行。因此，在网关机器上运行的数据通路守护程序将调用集中式的或集中在网关机器上的服务路由器作为其数据通路管道阶段之一。

在一些实施例中，数据中心支持用于多个不同租户的多个逻辑网络。不同的租户逻辑网络共享同一组网关机器，并且每个网关机器为所有连接的租户逻辑网络提供分组交换、转发和路由操作。在一些实施例中，数据通路守护程序能够为去往和来自属于不同租户的不同逻辑网络的分组执行分组处理阶段。在这些实施例中的一些实施例中，DP配置数据库提供在网关处启用特定于租户的分组转发操作的配置数据(即，路由表、转发表等)和服务规范。

在一些实施例中，除了执行L3路由和L2路由管道阶段之外，网关数据通路守护程序还执行用于L4到L7处理的服务提供阶段。这些服务支持源应用和目的地应用之间的端对端通信，并在每当消息从用户传递或被传递给用户时使用。数据通路守护程序将这些服务应用于边缘网关的有利位置处的分组，而无需改变在分组的源或目的地处运行的应用。在一些实施例中，数据通路可以包括用于流量过滤服务(诸如防火墙)、地址映射服务(诸如NAT)、加密和安全服务(诸如IPSec和HTTPS)的服务阶段。

在一些实施例中，当数据通路守护程序正在执行服务路由器管道阶段时，执行这些服务提供阶段中的一些或全部。此外，在一些实施例中，数据通路守护程序可以针对不同的分组执行不同的服务提供管道阶段。在一些实施例中，数据通路守护程序基于分组所属的L4流以及流的状态来执行不同的服务提供阶段。在一些实施例中，数据通路守护程序基于分组所属的租户执行不同的服务提供阶段。

在一些实施例中，网关不是对所有分组执行管道化阶段，而是高速缓存先前分组操作的结果并将结果重新应用于符合某些标准(即，高速缓存命中)的后续分组。对于不具有来自先前分组处理操作的适用或有效结果的分组，即，高速缓存未命中，网关数据通路守护程序执行管道化分组处理阶段。在一些实施例中，当数据通路守护程序执行管道化阶段来处理分组时，它记录来自管道的每个阶段的一组数据并将这些数据合成到用于后续分组的高速缓存条目中。当数据通路管道正在被执行时，执行阶段中的一些或全部发出将由合成器用来合成高速缓存条目的数据或指令。在一些实施例中，由管道阶段发出的高速缓存条目合成指令或数据包括高速缓存启用字段、位掩码字段和动作字段。

合成器收集来自所有管道阶段的所有高速缓存条目合成指令，并且从所有接收到的指令合成流高速缓存中的条目，除非一个或多个管道阶段指定不应该生成高速缓存条目。合成的高速缓存条目指定满足某些标准(即，属于某些L4流)的分组的最终动作。当生成高速缓存条目时，在一些实施例中合成器还包括指定高速缓存条目被创建的时间的时间戳。这个时间戳将用于确定高速缓存条目对后续分组是否有效。

一些实施例即使在数据通路守护程序正在主动访问DP配置数据库时，也动态地更新DP配置数据库。为了确保数据通路守护程序在DP配置数据库被更新时没有为其管道阶段使用不完整的(并且因此损坏的)的配置数据，一些实施例维护DP配置数据库的两个副本。数据库的一个副本用作来自网络控制器/管理器的新更新的暂存区(staging area)，使得数据通路守护程序可以安全地使用数据库的其它副本。一旦更新完成，两个数据库副本的角色将以原子方式反转。在一些实施例中，网络控制器在切换之前等待数据通路守护程序完成其当前的运行至完成(run-to-completion)分组处理管道阶段。

前面的发明内容旨在用作针对本发明的一些实施例的简要介绍。它并不意味着是本文档中所公开的所有发明性主题的介绍或概述。以下的具体实施方式和参考具体实施方式的附图说明将进一步描述在发明内容以及其它实施例中所描述的实施例。因此，为了理解本文档所描述的所有实施例，需要对发明内容、具体实施方式和附图说明进行全面地审阅。此外，所要求保护的主题不受在发明内容、具体实施方式和附图说明中的说明性细节的限制，而是要由所附权利要求来定义，这是因为所要求保护的主题可以在不脱离本主题的精神的情况下以其它特定形式来体现。

附图说明

本发明的新颖特征在所附权利要求中阐述。但是，为了解释的目的，本发明的几种实施例在以下图中阐述。

图1概念性地图示了其去往和来自外部网络的流量经过网关的数据中心。

图2更详细地图示了实现数据通路管道的网关机器。

图3图示了数据通路守护程序对处理阶段的动态识别。

图4概念性地图示了作为函数调用执行数据通路管道的每个阶段的数据通路守护程序。

图5图示了提供用于每个数据通路管道阶段的配置数据的示例DP配置数据库。

图6概念性地图示了当使用DP配置数据库执行数据通路管道时由处理核心执行的过程。

图7图示了具有分布式和集中式逻辑实体的逻辑网络。

图8图示了对于从外部网络到数据中心的逻辑网络的传入分组执行管道阶段的网关数据通路守护程序。

图9图示了对于从数据中心的逻辑网络到外部网络的传出分组执行管道阶段的网关数据通路守护程序。

图10图示了数据中心的整个网络的逻辑视图。

图11图示了在网关机器处对不同租户执行网关分组处理的数据通路守护程序。

图12示出了通过调用与各种逻辑实体对应的管道阶段来处理分组的数据通路守护程序。

图13图示了执行用于不同租户的服务提供管道阶段的网关数据通路守护程序。

图14概念性地图示了用于在逻辑路由器内提供服务的过程。

图15a-b图示了维持高速缓存以加速分组处理的数据通路守护程序。

图16图示了用于数据通路高速缓存的高速缓存条目的合成。

图17图示了聚合高速缓存条目和精确匹配高速缓存条目的示例合成。

图18图示了指定覆盖所有其它动作的动作的数据通路阶段的示例。

图19图示了检查数据通路高速缓存的条目以确定是否存在高速缓存未命中或高速缓存命中。

图20概念性地图示了用于操作数据通路高速缓存的过程。

图21图示了具有支持以原子方式进行的更新的DP配置数据库的网关。

图22a-b图示了数据通路配置数据库2110的原子更新。

图23概念性地图示了控制DP配置数据库的读指针和写指针的过程。

图24图示了根据本发明的一些实施例的网关机器的体系架构。

图25a概念性地图示了使用IPC与服务进程通信以便提供服务的RTC线程。

图25b概念性地图示了使用Linux内核与服务进程通信以便提供服务的RTC线程。

图26图示了用作运行本发明的一些实施例的虚拟化软件的主机机器的计算设备。

图27概念性地图示了实现本发明的一些实施例的电子系统。

具体实施方式

在以下描述中，为于解释的目的阐述了许多细节。但是，本领域普通技术人员将认识到，本发明可以在不使用这些具体细节的情况下进行实践。在其它情况下，众所周知的结构和设备以框图的形式示出，以便防止用不必要的细节模糊本发明的描述。

一些实施例提供了通过使用数据通路管道来处理进出网络的流量的网关。数据通路管道包括用于在网络边缘处执行各种数据平面分组处理操作的多个阶段。在一些实施例中，处理阶段包括集中式路由阶段和分布式路由阶段。在一些实施例中，处理阶段包括服务提供阶段，诸如NAT和防火墙。

图1概念性地图示了其去往和来自外部网络190的流量经过网关111-112的数据中心100。每个网关操作用于处理经过网关的分组的数据通路管道(分别为141和142)。

数据中心包括通过提供商网络互连的各种其它计算和联网资源121-129。这些资源通过提供商网络彼此通信和通过经物理通信介质(其可以包括诸如以太网的有线通信或诸如WiFi的无线通信)的网络流量与外部网络190通信。来自计算和联网资源121-129的分组可以通过网关111-112之一到达外部网络190，并且来自外部网络190的分组可以通过网关111-112之一到达计算和网络资源121-129。因此，网络的网关被认为处于网络的边缘处，并且因此也被称为边缘设备。

在一些实施例中，这些资源中的一些资源由用作主机机器121-129的计算设备提供。这些主机机器中的一些操作虚拟化软件，其允许这些主机机器托管各种虚拟机(VM)。运行虚拟化软件的主机机器将在下面通过参考图26更详细地描述。在一些实施例中，网关本身是主机机器，并且网关的数据通路管道(141或142)由在其虚拟化软件上运行的VM之一提供。这些资源中的一些资源作为“裸金属(bare metal)”运行，即，没有虚拟化软件。在一些实施例中，网关是裸金属计算设备，其在没有虚拟化软件的情况下直接在其自己的操作系统上操作其数据通路管道。

在一些实施例中，通过使用诸如虚拟可扩展LAN(VXLAN)、通用网络虚拟化封装(GENEVE)和使用通用路由封装的网络虚拟化(NVGRE)之类的覆盖逻辑网络来引领数据中心内的分组流量。VXLAN。在这些实施例中的一些实施例中，主机机器和网关机器中的每一个是使用覆盖封装来传送包的VXLAN端点(被称为VTEP)。在一些实施例中，外部物理网络通过VLAN引领，并且网关通过将VXLAN分组转换成VLAN分组来中继数据中心和外部网络之间的流量，反之亦然。

在一些实施例中，数据中心的计算和联网资源实现一个或多个逻辑网络，每个逻辑网络都可以访问网关111-112以获取去往和来自外部网络190的流量。在一些实施例中，每个逻辑网络具有其自己的一组逻辑交换机和用于引领逻辑网络的网络流量的逻辑交换机。这些逻辑路由器和交换机中的一些或全部由在主机机器中操作的软件(或者作为虚拟化软件或者作为在裸金属主机机器上执行的程序)提供。在一些实施例中，逻辑路由器和交换机中的一些在网关111-112中作为它们各自的数据通路管道141-142中的阶段进行操作。在一些实施例中，数据中心包括用于供应/创建数据中心100中的逻辑网络的网络管理器180和用于控制各种逻辑网络的各种逻辑路由器和交换机(包括在网关111-112中操作的那些逻辑路由器和交换机)的网络控制器170(或控制器集群)。逻辑路由器和交换机在于2015年6月30日提交的标题为“Logical Router with Multiple Routing Components”的美国专利申请14/814,473中描述，该申请通过引用被结合于此。

一些实施例的控制平面为主机系统(例如，数据中心)的一个或多个租户配置和管理一个或多个逻辑网络。在一些实施例中，主机系统的逻辑网络使用一组逻辑转发元件(例如，逻辑L2和L3交换机)将一组终端机(例如，虚拟机、物理服务器、容器等)逻辑地连接到一组物理机器。在一些实施例中，终端机的不同子集驻留在执行受管理转发元件(MFE)的不同主机机器上。MFE实现本地终端机逻辑地连接到的逻辑网络的逻辑转发元件。在各种不同的实施例中，这些MFE可以是基于流的转发元件(例如，Open vSwitch)或基于代码的转发元件(例如，ESX)，或者这两者的组合。这些不同类型的转发元件不同地实现各种逻辑转发元件，但是在每种情况下，它们为可能需要处理分组的每个逻辑转发元件执行管道。

图2更详细地图示了实现数据通路管道的网关机器。如图所示，网关111包括处理核心211-214和网络接口控制器(NIC)220。NIC220从连接网关111的网络通信介质接收数据分组，并将接收到的分组提供给核心211-214用于处理。

每个处理核心正在操作一个或多个处理线程。具体而言，核心211正在操作数据通路管道141作为处理线程，该处理线程被称为数据通路守护程序241。如图所示，数据通路守护程序241接收分组270并且通过一系列阶段221-229处理分组270以产生经处理的分组275。在一些实施例中，每个核心一次只执行一个线程，并且每个线程一次处理一个分组。换句话说，每个分组处理线程是运行至完成(RTC)线程，该线程直到它已经完成通过其所有阶段221-229处理当前分组(即，270)之后才开始处理另一个分组。

数据通路守护程序241的操作由数据通路配置数据库存储(DP配置数据库)230来定义或指定。存储在DP配置数据库230中的配置数据指定管道的每个阶段应当针对每个传入分组执行哪些功能或操作。对于与逻辑路由器或交换机对应的一些阶段，DP配置数据库在一些实施例中为路由表或转发表提供指定下一跳的内容。对于与诸如防火墙的网络服务对应的一些阶段，DP配置数据库230提供服务规则。在一些实施例中，网络控制器170(或网络管理器180)加载并更新DP配置数据库230的内容。

下面描述本发明的若干更详细的实施例。第I部分讨论了用于网关处分组处理的动态管道阶段。第II部分描述了用于网关数据通路管道的高速缓存。第III部分描述了用于网关数据通路管道的配置数据库的更新。第IV部分描述了实现数据通路管道的网关的软件体系架构。第V部分描述了操作虚拟化软件的计算设备。最后，第VI部分描述了实现本发明的一些实施例的电子系统。

I.动态管道阶段

在一些实施例中，根据接收到的分组的内容来动态确定要作为数据通路管道的一部分执行的阶段序列。在图2的上下文中，这意味着分组270的内容动态地确定要执行哪些处理阶段作为数据通路管道141的一部分。在一些实施例中，当在特定阶段处理分组时，核心211确定或识别要用于处理分组的下一个阶段。在一些实施例中，数据通路管道的每个阶段与诸如逻辑路由器或逻辑交换机的分组处理逻辑实体对应，并且由该阶段的分组处理识别出的下一个阶段与逻辑网络中分组的下一跳对应，下一跳是另一个分组处理逻辑实体。(为了简单起见，在整个本文档中将把分组转发逻辑实体称为逻辑实体)。

在一些实施例中，与逻辑路由器或逻辑交换机对应的管道阶段是逻辑路由器或交换机的完整功能模型，即，它指定所有的其逻辑端口、其路由/转发表、其提供的服务、其安全策略、其封装协议等。在一些实施例中，逻辑路由器的所有这些特征由计算机可执行代码包指定，并且可以通过函数调用作为管道阶段执行。它或者通过目的地MAC(L2交换)或者通过目的地IP(L3路由)执行转发。这样的管道阶段因此可与OpenFlow或Open vSwitch下的流表区分开来，其中OpenFlow或Open vSwitch下的流表根据一组流条目执行流转发，每个条目描述匹配条件和对应动作。

在一些实施例中，每个逻辑实体的分组处理操作(即，管道阶段)基于存储在用于该逻辑实体的DP配置数据库中的配置数据。这种配置数据还定义了用于识别分组的下一跳的标准或规则。在一些实施例中，这样的下一跳识别规则被存储在DP配置数据库中作为与该阶段相关联的路由表或转发表。在一些实施例中，这种下一跳识别规则允许数据通路守护程序通过检查分组的内容(例如，其源地址和目的地地址)和/或通过记录分组通过其进入逻辑实体的逻辑端口来确定下一跳的标识。换句话说，DP配置数据库可以被认为是存储逻辑网络的各个跳之间的逻辑关系，并且数据通路守护程序通过根据这些逻辑关系和分组的内容遍历逻辑网络来处理每个分组。

图3图示了数据通路守护程序动态识别处理阶段。如图所示，核心211正在将数据通路守护程序241作为处理线程操作。数据通路守护程序241正在根据逻辑网络300处理分组371，逻辑网络300的配置数据存储在DP配置数据库230中。

如图所示，逻辑网络300包括服务路由器311和312(SR1和SR2)、逻辑交换机321、322和323(LS1、LS2和TLS)以及分布式路由器313(DR)。服务路由器SR1和SR2中的每一个具有用于连接到外部网络190的上行链路(U1和U2)。逻辑交换机TLS是为来自路由器SR1、SR2和DR1的分组提供L2交换的转接逻辑交换机，路由器SR1、SR2和DR1被分配分别具有MAC地址“MAC1”、“MAC2”和“MAC3”的逻辑端口。另一方面，分布式路由器DR1提供由逻辑交换机LS1、LS2和TLS定义的L2网络段之间的L3路由。

该图图示了数据通路守护程序241如何根据存储在DP配置数据库230中的配置数据来处理两个不同的分组371和372。这两个不同的分组使得数据通路守护程序241不同地遍历逻辑网络300并执行不同的对应管道阶段。

分组371是来自外部网络190去往逻辑交换机LS1的L2段后面的VM 381(VM1)的分组。处理核心211在接收到分组371时执行与服务路由器SR1对应的分组处理阶段351。阶段351的操作由DP配置数据库中的配置来定义。服务路由器SR1在逻辑上将分组转发到逻辑交换机TLS，这使得数据通路守护程序241识别与逻辑交换机TLS对应的下一个分组处理阶段352。

处理阶段352由DP配置数据库230配置为作为逻辑交换机TLS执行L2交换操作，逻辑交换机TLS将分组371从其“MAC1”端口转发到其“MAC3”端口。MAC3端口与分布式路由器DR1对应，并且数据通路守护程序241对应地识别与DR1对应的下一个分组处理阶段353。

处理阶段353由DP配置数据库230配置为作为分布式逻辑路由器DR1执行L3路由操作，其根据由DP配置数据库230提供的路由表进行操作。根据路由表和分组371的目的地IP地址，逻辑路由器DR1将分组371从由逻辑交换机TLS定义的L2端路由到由逻辑交换机LS1定义的L2段。对应地，数据通路守护程序241识别与LS1对应的下一个分组处理阶段354。

处理阶段352由DP配置数据库230配置为作为逻辑交换机LS1执行L2交换操作，逻辑交换机LS1根据分组的目的地MAC地址将分组371转发到虚拟机VM1(381)。

分组372去往附接到由逻辑交换机LS2定义的L2段的VM 382。分组372使得数据通路守护程序241识别分组处理阶段361以执行服务路由器SR1，然后识别分组处理阶段362以执行逻辑交换TLS，然后识别分组处理阶段363以执行分布式路由器DR。当处理分组372时，分组处理阶段363将来自由逻辑交换机TLS定义的L2端的分组路由到由逻辑交换机LS2定义的L2段。对应地，数据通路守护程序241识别与逻辑交换机LS2对应的下一个分组处理阶段364，逻辑交换机LS2根据分组的目的地MAC地址将分组372转发到虚拟机VM2(382)。

在图3的示例中，虽然数据通路守护程序241根据相同的DP配置数据库230进行操作，但是两个不同的分组371和372使得数据通路守护程序不同地遍历逻辑网络300并且执行不同的分组处理阶段(对于分组371，SR1-TLS-DR1-LS1，对于分组372，SR1-TLS-DR1-LS2)。

在一些实施例中，每个分组处理阶段被实现为对数据通路守护程序线程的函数调用。在一些实施例中，函数(也被称为子例程或过程)是被封装为元件以执行特定任务的程序指令序列。在一些实施例中，被调用以实现数据通路的各个阶段的函数是在核心处操作的数据通路守护程序的编程的一部分，但被调用的函数基于用于不同网络标识的不同配置数据执行不同的操作。换句话说，核心的编程提供了可以由数据通路守护程序调用以执行各种逻辑路由器、逻辑交换机和服务提供实体的功能的函数。

函数调用使用分组的内容作为输入实参。在一些实施例中，函数调用还使用分组通过其进入对应逻辑实体的逻辑端口的标识作为输入实参。在一些实施例中，函数调用还识别出口端口，出口端口用于识别用于下一个管道阶段的下一个函数调用的入口端口。

图4概念性地图示了作为函数调用执行数据通路管道的每个阶段的数据通路守护程序400。如图所示，数据通路守护程序正在根据逻辑网络处理分组470。对于每个阶段，数据通路守护程序执行函数调用，该函数调用执行与分组处理阶段(例如，逻辑路由器、逻辑交换机、服务路由器等)的操作对应的一组指令。该函数调用基于用于该功能/阶段的一组配置数据(即，规则表、路由表、转发表等)对分组470进行操作。函数调用的结果由数据通路守护程序400用来识别下一跳并执行下一个函数调用作为下一个阶段。每个函数调用都使用作为输入实参的分组、以及其它信息，诸如逻辑实体的标识或分组转发到的逻辑端口。

对于一些实施例，图5图示了提供用于每个数据通路管道阶段的配置数据的示例DP配置数据库500，以及不同逻辑实体之间允许数据通路守护程序识别下一个管道阶段的连接映射。在一些实施例中，这样的连接映射指定每个逻辑实体的每个出口端口的连接目的地，不管它是另一个逻辑实体的入口端口，还是离开网关的连接(诸如到外部网络的上行链路)。因此，这样的连接映射有效地为一些实施例提供了网络的逻辑拓扑。

在一些实施例中，每个逻辑实体的每个逻辑端口与通用唯一标识符(UUID)相关联，使得逻辑端口可以由网关唯一地识别。逻辑端口的UUID也允许数据通路守护程序识别逻辑端口所属的逻辑实体，这又允许数据通路守护程序识别识别出的逻辑实体的配置数据并执行对应的管道阶段。

如图所示，DP配置数据库500指定若干逻辑实体501-503(逻辑实体A、B、C)及其对应的逻辑端口。每个逻辑端口与UUID相关联。例如，逻辑实体501带有具有UUID：UUID1、UUID2、UUID3和UUID4的逻辑端口，而逻辑实体502带有具有UUID：UUID5、UUID6和UUID7的逻辑端口。DP配置数据库还指定每个逻辑端口的连接。例如，逻辑端口UUID4连接到逻辑端口UUID5，逻辑端口UUID6连接到逻辑端口UUID8，逻辑端口UUID7连接到逻辑端口UUID9等。

DP配置数据库500还包括用于每个逻辑实体的配置数据，其包括逻辑实体的入口端口和出口端口以及其路由表或转发表、在该逻辑实体上提供或启用的服务等。在一些实施例中，这样的配置数据包括将在分组处理期间由数据通路消费的其它数据，诸如MAC到VTEP映射表。

图6概念性地图示了当使用DP配置数据库执行数据通路管道时由处理核心执行的过程600。该过程在它接收(在610处)传入分组时开始。该过程然后识别(620)用于接收到的分组的初始连接。在一些实施例中，这种识别基于分组的内容，诸如分组的报头字段。在一些实施例中，这种连接与UUID相关联，因此它将具有根据DP配置数据库的连接映射。

该过程然后确定(在630处)识别出的连接是逻辑实体的入口端口还是网关的离开端口。在一些实施例中，该过程检查由DP配置数据库提供的连接映射以识别连接的目的地。如果连接是到网关内的另一个逻辑实体的入口端口，则该过程进行到640。如果连接是网关的离开端口，则该过程进行到690。

在640处，该过程基于连接识别逻辑实体。在这个阶段，该过程已确定该连接连接到逻辑实体的入口端口。通过使用DP配置数据库，该过程能够识别连接是入口端口的逻辑实体。例如，在图5中，根据DP配置数据库500，逻辑端口UUID5是逻辑实体B(501)的入口端口。

该过程然后执行(在650处)逻辑实体的操作。这些操作由与识别出的逻辑实体相关联的配置数据(例如，路由表、转发表、服务规则等)来指定。这些操作的结果还基于分组的内容，诸如分组的源和目的地地址。该操作在一些实施例中与函数调用对应，该函数调用通过参考DP配置数据库中的配置数据来执行一系列指令。

该过程然后识别(在660处)逻辑实体的出口端口。对于作为逻辑交换机或逻辑路由器的逻辑实体，在一些实施例中，这种出口端口识别对应于查找转发表或路由表以基于入口端口的标识或分组的内容来执行路由。在一些实施例中，出口端口(以及因此下一个处理阶段或下一跳)的识别是基于分组中以下参数中的一些：(1)用于L2交换/转发的分组的源和目的地MAC地址；(2)用于L3路由的分组的源和目的地IP地址；(3)用于L4传输/连接/流处理的分组的源和目的端口；(4)分组所属的逻辑网络或租户的标识。来自DP配置数据库的配置数据提供规则，这些规则指定基于这些分组参数要在每个阶段采取的动作。

接下来，该过程基于由DP配置数据库提供的连接映射来识别(在670处)出口端口的连接。例如，在图5中，根据DP配置数据库500，逻辑端口UUID4连接到逻辑端口UUID5。然后该过程返回到630以确定出口端口是连接到网关的离开端口还是连接到另一个逻辑实体。

在690处，该过程结束数据通路管道并将分组发送到其目的地物理路由器或主机机器。该过程然后结束。在一些实施例中，网关与数据中心中作为覆盖网络(例如，VXLAN)的VTEP的其它主机机器进行通信，并且下一跳位于数据中心中的另一个VTEP的后面。在这种情况下，该过程根据覆盖网络封装分组，并将封装后的分组发送到目的地VTEP。如果下一跳是外部网络(其通常是VLAN)中的物理路由器，则网关将删除覆盖封装并将分组桥接到物理路由器。在一些实施例中，DP配置提供将分组的目的地MAC地址映射到对应的VTEP地址的映射。

a.集中式和分布式管道阶段

在一些实施例中，分布在数据中心中的多个物理机器之间的逻辑网络的一些逻辑实体/实体/元件，即，这些主机机器中的每一个都具有分布式逻辑实体的副本或实例。需要由分布式逻辑实体处理的分组可以由正在运行分布式逻辑实体的实例的任何机器处理。另一方面，逻辑实体/实体中的一些不是分布式的，而是集中式的或集中在一个物理机器上，即，逻辑实体仅具有一个物理实例。在一些实施例中，这种集中式路由器充当用于在逻辑网络和外部路由器之间路由分组的集中式点。需要由集中式逻辑实体处理的分组必须被转发到正在操作集中式逻辑实体的机器。分布式逻辑路由器和集中式逻辑路由器在于2015年6月30日提交的标题为“Logical Router with Multiple Routing Components”的美国专利申请No.14/814,473中描述。

在一些实施例中，当处理传入分组时，数据通路守护程序将执行分布式逻辑实体和集中式逻辑实体两者作为其管道阶段。在一些实施例中，服务路由器是集中式逻辑路由器。每个服务路由器在一个网关机器上只有一个实例运行。因此，在网关机器上运行的数据通路守护程序将调用集中式的或集中在网关机器上的服务路由器作为其数据通路管道阶段之一。

在一些实施例中，控制服务路由器阶段的操作的配置数据(DP配置数据库)包括逻辑路由器应该提供的任何服务的定义、逻辑路由器将被配置为活动-活动模式还是活动-备用模式、为逻辑路由器配置了多少上行链路、上行链路的IP和MAC地址、上行链路的L2和L3连接、逻辑路由器的任何南向接口的子网、以及用于逻辑路由器的路由信息库(RIB)的任何静态路由以及其它数据。

图7图示了具有分布式和集中式逻辑实体两者的逻辑网络。具体而言，该图图示了逻辑网络300的逻辑视图和物理视图。逻辑网络300的逻辑视图示出了网络的各种逻辑实体之间的逻辑关系和连接。逻辑网络300的物理视图示出了物理主机机器中的各种逻辑实体以及数据中心的物理网关的物理实例化(instantiation)。

根据逻辑视图，逻辑网络300包括服务路由器311和312(SR1和SR2)、逻辑交换机321、322和323(LS1、LS2和TLS)以及分布式路由器313(DR)。在这些逻辑实体中，服务路由器SR1和SR2是集中式逻辑实体，而LS1、LS2、TLS和DR是分布式逻辑实体。

一些实施例提供以分布式方式启用第一跳路由的分布式逻辑路由器实现(而不是将所有路由功能集中在网关处)。在物理实现中，一些实施例的逻辑路由器包括单个分布式路由组件(也被称为分布式路由器或DR)以及一个或多个服务路由组件(也被称为服务路由器或SR)。在一些实施例中，DR跨越与直接或间接逻辑地连接到逻辑路由器的虚拟机(VM)或其它数据计算节点直接耦合的受管理转发元件(MFE)。一些实施例的DR还跨越逻辑路由器绑定到的网关以及能够执行路由操作的一个或多个物理路由器。一些实施例的DR负责逻辑交换机和/或逻辑地连接到逻辑路由器的其它逻辑路由器之间的第一跳分布式路由。服务路由器(SR)仅跨越逻辑网络的边缘节点并且负责交付未以分布式方式实现的服务(例如，一些有状态的服务)。

网络的物理视图示出了数据中心100的实际物理机器中这些集中式和分布式逻辑实体的物理实例化。如图所示，数据中心100包括通过物理连接互连的网关111-112和主机机器121-123。分布元件TLS、LS1、LS2和DR的实例跨网关111-112和主机机器121-123分布。在一些实施例中，分布式元件的不同物理实例根据同一组转发表进行操作。但是，集中式元件SR1仅在网关111中是活动的，而集中式元件SR2仅在网关112中是活动的。换句话说，只有网关111的数据通路守护程序执行SR1作为管道阶段并且只有网关112的数据通路守护程序执行SR2作为管道阶段。

图8图示了对于从外部网络到数据中心的逻辑网络的传入分组(也称为南行流量)执行管道阶段的网关数据通路守护程序。如图所示，通过上行链路U1从外部网络接收到的分组由网关111处理，网关111的数据通路守护程序141执行与SR1、TLS、DR和LS-A(或LS-B，这取决于分组的目的地L2段)对应的管道阶段。处理后的分组然后被发送到其中一个主机机器以转发到目的地VM。另一方面，通过上行链路U2从外部网络接收到的分组由网关112处理，网关112的数据通路守护程序142执行与SR2、TLS、DR和LS-A(或LS-B，这取决于分组的目的地地址)对应的管道阶段。处理后的分组然后被发送到其中一个主机机器以转发到目的地VM。在一些实施例中，数据通路守护程序的逻辑交换阶段(LS-A或LS-B)识别目的地VM的主机机器。

网关111和112都执行与分布的转接逻辑交换机TLS、分布式路由器DR以及逻辑交换机LS-A和LS-B对应的管道阶段，因为这些是分布式逻辑网络构造。但是，只有网关111的数据通路守护程序为服务路由器SR1执行管道阶段，因为SR1是位于网关111处的集中式路由器，并且只有网关112的数据通路守护程序为服务路由器SR2执行管道阶段，因为SR2是位于网关112处的集中式路由器。

图9图示了对于从数据中心的逻辑网络到外部网络的传出分组(也称为北向流量)执行管道阶段的网关数据通路守护程序。如图所示，源自在主机机器中操作的VM的分组经历与LS-A(或LS-B，这取决于源VM的L2段)、DR和TLS对应的管道阶段。主机机器的TLS阶段识别下一跳路由器，其或者是网关111中的SR1或者是网关112中的SR2。在一些实施例中，服务路由器的选择是基于分组的目的地地址以及之前在管道中做出的路由决定。

对于发送到网关111的分组，网关111的数据通路守护程序141在通过上行链路U1将分组中继到外部网络之前执行与TLS和SR1对应的管道阶段。对于发送到网关112的分组，网关112的数据通路守护程序142在通过上行链路U2将分组中继到外部网络之前执行与TLS和SR2对应的管道阶段。

b.用于不同租户的数据通路管道

在一些实施例中，数据中心支持用于多个不同租户的多个逻辑网络。不同的租户逻辑网络共享同一组网关机器，并且这些网关机器中的每一个为所有连接的租户逻辑网络提供分组交换、转发和路由操作。在一些实施例中，数据通路守护程序能够对去往和来自属于不同租户的不同逻辑网络的分组执行分组处理阶段。在这些实施例中的一些实施例中，DP配置数据库提供在网关处启用特定于租户的分组转发操作的配置数据(即，路由表、转发表等)和服务规范。

不同的租户逻辑网络具有不同的分组处理逻辑实体，例如，不同的逻辑路由器和逻辑交换机。图10图示了数据中心的整个网络的逻辑视图的图1000。整个网络包括属于不同租户逻辑网络的各种逻辑实体以及由数据中心提供的一组逻辑实体。这些数据中心提供的逻辑实体为所有租户共享，以便通过网关访问外部网络并使用网关提供的服务。

根据图1000，数据中心的整个网络包括提供商逻辑路由器(PLR)1090和租户逻辑路由器(TLR)1010、1020和1030(TLR1、TLR2和TLR3)。PLR 1090通过转接逻辑路由器1019(TLS1)与TLR1 1010连接、通过转接逻辑路由器1029(TLS2)与TLR2 1020连接、以及通过转接逻辑路由器1039(TLS3)与TLR3 1030连接。TLR1用于执行租户1的L3流量、TLR2用于执行租户2的L3流量、TLR3用于执行租户3的L3流量。不同租户的逻辑网络由PLR 1090连接在一起。PLR 1090用作各租户逻辑网络与外部物理网络之间的中间逻辑路由器。

在一些实施例中，逻辑路由器是双层逻辑网络结构的一部分。一些实施例的双层结构包括(1)用于将逻辑网络连接到数据中心外部的网络的单个逻辑路由器(被称为提供商逻辑路由器(PLR)并且由例如数据中心的拥有者管理)；以及(2)连接到PLR并且不与外部网络单独通信的多个逻辑路由器(每个被称为租户逻辑路由器(TLR)并且由例如数据中心的不同租户管理)。在一些实施例中，控制平面定义PLR的分布式组件与TLR的服务组件之间的转接逻辑交换。

对于PLR逻辑路由器，一些实施例尽可能地使用活动-活动模式，并且仅当为PLR配置有状态服务(例如，NAT、防火墙、负载平衡器等)时才使用活动-备用模式。在活动-备用模式下，只有一个服务路由组件处于是活动的，即，在某个时间完全可操作，并且只有这个活动路由组件发出消息来吸引流量。所有其它服务路由组件都处于备用模式。在一些实施例中，活动服务组件和备用服务组件使用相同的IP地址但不同的MAC地址来与分布式组件通信。但是，只有活动组件才应答来自该分布式组件的地址解析协议(ARP)请求。此外，只有活动的服务组件才将路由通告给外部网络以吸引流量。

对于TLR逻辑路由器，当为TLR配置有状态服务时，一些实施例或者不使用服务组件或者在活动-备用模式下使用两个服务组件。TLR在内部以与活动-备用模式下的PLR相同的方式操作，即，具有共享相同网络层地址的活动组件和备用组件，但仅活动组件对ARP请求响应。为了连接到PLR，一些实施例向TLR的两个服务组件中的每一个分配相同的网络层地址(尽管与用于连接到其自己的分布式组件的IP地址不同)。

上述逻辑路由器是由单个分布式路由组件和一组服务路由组件实现的分布式逻辑路由器。一些实施例在诸如集中式逻辑路由器的物理网络(例如，数据中心网络)中提供其它类型的逻辑路由器实现。在集中式逻辑路由器中，仅在网关机器中执行L3逻辑路由功能，并且一些实施例的控制平面不定义任何分布式路由组件，而是仅定义多个服务路由组件，其中每个服务路由组件都在单独的网关机器中实现。

具有多个路由组件的不同类型的逻辑路由器(例如，分布式逻辑路由器、多层逻辑路由器等)以及在边缘节点上实现不同类型的逻辑路由器以及在数据中心的主机机器上操作的受管理转发元件在于2015年7月30日提交的美国专利申请14/814,473中更详细地描述，该申请通过引用被结合于此。

PLR包括提供对物理网络和边缘服务的接入的服务路由器1001-1003(SR1、SR2和SR3)。PLR还包括分布式路由器1005(PLR-DR)，用于路由去往和来自不同租户逻辑网络的分组。PLR分布式路由器1005通过转接逻辑路由器(PLR-TLS)1099连接到服务路由器SR1、SR2和SR3。

每个TLR用作租户逻辑网络的L3集线器。每个TLR包括用于连接由不同逻辑交换机定义的不同L2段的分布式路由器(DR)。具体而言，TLR1包括用于连接逻辑交换机LS-A和LS-B(1011和1012)的TLR1-DR(1015)，TLR2包括用于连接逻辑交换机LS-C和LS-D(1021和1022)的TLR2-DR(1025)，并且TLR3包括用于连接逻辑交换机LS-E和LS-F(1031和1032)的TLR3-DR(1035)。

在一些实施例中，DP配置数据库将用于不同逻辑实体的路由表、转发表、规则表等存储为配置数据。DP配置数据库提供连接标识(入口端口和出口端口)与网络逻辑实体标识之间的映射。数据通路守护程序又通过函数调用并遵循不同逻辑实体之间的连接映射执行用于不同租户的数据通路管道，其中逻辑实体中的一些与各种特定于租户的逻辑网络构造(例如，用于不同租户的TLR-LS或TLR-DR)对应。数据通路守护程序通过执行与各种提供商逻辑实体(例如，SR和PLR-DR)对应的管道阶段向所有租户提供公共网络服务。

图11图示了在网关机器1100处为不同租户执行网关分组处理的数据通路守护程序1105。数据通路守护程序1105是在网关机器1100的处理器核心1110上操作的处理线程。它脱离DP配置数据库1130操作。DP配置数据库1130存储如网络图1000中所示的数据中心的各种逻辑实体的配置数据(诸如路由表、转发表和规则表)。

如图所示，DP配置数据库1130包括用于网络的每个逻辑实体/实体(逻辑路由器和逻辑交换机1001-1099)的配置数据，其包括特定于租户的实体(例如，TLR)以及由所有租户共享的提供商实体(例如，PLR)。图12图示了通过调用与各种逻辑实体对应的管道阶段来处理分组的数据通路守护程序1105。

分组1211-1216是通过网关1100的上行链路从外部网络进入数据中心的南向分组。分组1211-1216去往属于不同租户的VM：分组1211和1212去往租户1的逻辑网络，分组1213和1214去往租户2的逻辑网络，并且分组1215和1216去往租户3的逻辑网络。由于分组1211-1216来自外部网络，因此它们是没有被封装的VLAN分组。

用于不同租户的分组具有不同的目的地IP或MAC地址，并且数据通路守护程序相应地识别和执行与不同租户对应的不同管道阶段(例如，对不同网络逻辑实体的函数调用)。数据通路守护程序最初调用PLR阶段PLR-SR1、PLR-TLS、PLR-DR，其基于分组的目的地地址将分组路由到它们对应的TLS。这些TLS又将分组交换到其对应的特定于租户的TLR。

例如，分组1211是去往逻辑交换机LS-A后面的VM的租户1分组。数据通路守护程序1105因此执行与以下逻辑实体对应的管道阶段：PLR-SR1、PLR-TLS、PLR-DR、TLS1、TLR1-DR和LS-A。分组1214是去往逻辑交换机LS-D后面的VM的租户2分组。数据通路守护程序1105相应地执行管道阶段PLR-SR1、PLR-TLS、PLR-DR、TLS2、TLR2-DR和LS-D。分组1215是去往逻辑交换机LS-E后面的VM的租户3分组。数据通路守护程序1105相应地执行管道阶段PLR-SR1、PLR-TLS、PLR-DR、TLS3、TLR3-DR和LS-E。

在这些逻辑实体中，PLR-SR1、PLR-TLS和PLR-DR是所有租户共有的提供商构造。TLS1、TLR1-DR和LS-A是用于租户1的特定于租户的构造。TLS2、TLR2-DR和LS-D是用于租户2的特定于租户的构造。TLS3、TLR2-DR和LS-E是用于租户3的特定于租户的构造。这些阶段中的每个阶段具有由DP配置数据库提供的用于路由分组、识别下一跳、提供服务等的对应配置数据。在一些实施例中，特定于租户的逻辑网络构造使用特定于租户的转发表、路由表、规则表和其它特定于租户的配置数据。

由于分组1211-1216的目的地是数据中心中其它地方的VM，因此网关通过封装覆盖网络将这些分组隧道传送到它们对应的目的地主机机器。具体而言，分组1211-1216根据其对应的租户逻辑网络进行封装并作为封装分组1221-1226发送。

分组1231-1236是通过网关1100退出数据中心到外部网络的北向分组。这些分组1231-1236被封装在提供商覆盖下，因为它们已经被路由到在其对应的源主机机器处的PLR-TLS。它们通过提供商覆盖封装隧道传送到网关，并且网关1100调用PLR-TLS和PLR-SR1以在通过上行链路将其作为VLAN分组发送到外部网络之前提供必要的服务。

虽然未图示，但是在一些实施例中，不同租户的分组针对不同的覆盖网络被不同地封装，并且数据通路守护程序使用封装中特定于租户的信息来识别和执行与不同租户对应的不同管道阶段。

c.服务提供管道阶段

在一些实施例中，除了执行L3路由和L2路由管道阶段之外，网关数据通路守护程序还执行用于L4至L7处理的服务提供阶段。这些服务支持源应用和目的地应用之间的端对端通信，并在每当消息从用户传递或被传递给用户时使用。数据通路守护程序将这些服务应用于边缘网关的有利位置处的分组，而无需改变在分组的源或目的地处运行的应用。在一些实施例中，数据通路可以包括用于流量过滤服务(诸如防火墙)、地址映射服务(诸如NAT)、加密和安全服务(诸如IPSec和HTTPS)的服务阶段。

在一些实施例中，当数据通路守护程序正在执行服务路由器管道阶段时，执行这些服务提供阶段中的一些或全部。此外，在一些实施例中，数据通路守护程序可以针对不同的分组执行不同的服务提供管道阶段。在一些实施例中，数据通路守护程序基于分组所属的L4流以及流的状态来执行不同的服务提供阶段。在一些实施例中，数据通路守护程序基于分组所属的租户执行不同的服务提供阶段。

图13图示了执行用于不同租户的服务提供管道阶段的网关数据通路守护程序。数据通路守护程序1305是在网关机器1300的处理器核心1310上操作的处理线程。它脱离DP配置数据库1330操作，DP配置数据库1330为各种数据通路管道阶段提供配置数据和连接映射。这些管道阶段中的一些是服务的服务提供阶段，诸如防火墙、NAT和HTTPS。数据通路守护程序根据逻辑路由器的配置数据、L3路由的结果和/或分组的内容，其可以指示分组属于的哪个L4流和/或哪个租户，来决定要执行哪个服务阶段。

数据通路守护程序在集中式路由(1321)之后和在管道的转接逻辑交换机(1322)、分布式路由器(1323)和逻辑交换机(1324)阶段之前执行这些服务提供阶段。在一些实施例中，这些服务提供阶段被认为是服务路由器(SR)管道阶段的一部分。在一些实施例中，服务提供阶段中的一些用于提供有状态服务并且因此是在一个网关机器处操作的集中式或集中的逻辑实体。在一些实施例中，L4服务阶段通过维持每个L4连接的状态来提供有状态的服务。

该图图示了针对不同分组1371-1373执行不同分组服务提供阶段的数据守护程序1305。这些分组可能属于不同的租户或不同的L4流，或属于不同状态下的同一个L4流。如图所示，当处理分组1371时，数据通路守护程序执行分别提供防火墙、NAT、IPSec和HTTPS服务的服务阶段1311、1312和1314。当处理分组1372时，数据通路守护程序仅执行防火墙服务阶段(1311)。当处理分组1373时，数据通路执行NAT和HTTPS服务阶段(1312和1314)。

图14概念性地图示了用于在逻辑路由器(例如，服务路由器)内提供服务的过程1400。在一些实施例中，执行数据通路守护程序的核心在其执行针对与服务路由器对应的管道阶段的函数调用时执行过程1400。该过程在它接收(在1400处)分组和作为入口端口的逻辑端口的标识时开始。如上面参考图5和图6所讨论的，在一些实施例中，DP配置数据库提供必要的映射，该映射允许数据通路守护程序在被提供了逻辑端口的标识时识别对应的逻辑实体。该过程然后访问(在1420处)识别出的逻辑实体的配置数据。如所提到的，诸如服务路由器的逻辑实体的配置数据可以包括其路由表以及要由服务路由器提供的服务的规范。

该过程然后执行(在1430处)分组的路由(因为这是服务路由器阶段)。在一些实施例中，这种路由是基于分组的源或目的地地址或入口端口的标识。该过程然后根据逻辑实体的配置数据来识别(在1440处)网络服务。在一些实施例中，服务路由器可以属于不同的租户逻辑网络，其可以具有不同的策略和需要不同的服务。因此，DP配置数据库将为不同租户逻辑路由器指定不同的服务，并且这些不同租户逻辑路由器的服务路由器将执行不同的服务。

然后该过程执行(在1450处)如由识别出的服务(例如，NAT、防火墙、HTTPS等)指定的操作。在一些实施例中，这些操作也基于分组的当前内容(例如，目的地IP地址)，其可能已被过程执行的先前服务更改。

在1460处，该过程确定DP配置数据库是否为该服务路由器指定了另一个服务。如果是，则该过程返回到1440以执行另一个服务。否则，该过程进行到1470以识别出口端口并输出下一跳的分组。过程1400然后结束。

II.用于数据通路管道的高速缓存

在一些实施例中，网关不是对所有分组执行管道化阶段，而是高速缓存先前分组操作的结果并将结果重新应用于符合某些标准(即，高速缓存命中)的后续分组。对于不具有来自先前分组处理操作的适用或有效结果的分组，即，高速缓存未命中，网关数据通路守护程序执行管道化分组处理阶段。在一些实施例中，当数据通路守护程序执行管道化阶段来处理分组时，它记录来自管道的每个阶段的一组数据并将这些数据合成到用于后续分组的高速缓存条目中。

在一些实施例中，每个高速缓存条目与L4流/连接对应(例如，具有相同的源IP、目的地IP、源端口、目的地端口和传输协议的五元组)。换句话说，数据通路守护程序通过识别分组流来确定分组是否具有适用的高速缓存条目。因此，在这些实施例中的一些实施例中，数据通路高速缓存也被称为流高速缓存。

图15a-b图示了维护高速缓存以加速分组处理的数据通路守护程序。如图所示，在处理器的核心上运行的数据通路守护程序1510正在处理来自NIC 1590的分组1570。数据通路守护程序1510是处理器线程，其可以通过执行如部分I中所描述的数据通路管道1520的阶段或者通过应用来自数据通路高速缓存1530的条目来处理分组1570。数据通路守护程序使用存储在数据通路配置数据库1540中的配置数据来配置和执行其管道化阶段。

图15a图示了当传入分组1570是高速缓存命中时的分组处理。如图所示，数据通路守护程序能够在数据通路高速缓存1530中为传入分组1570找到有效的匹配条目(例如，具有相同的流标识符)。守护程序1510又使用高速缓存中的匹配条目来直接指定关于分组应当采取的动作，例如，指定分组的下一跳、解析IP地址、拒绝分组、转换分组报头中的IP地址、加密/解密分组等。没有任何管道阶段被执行(即，数据通路守护程序不执行任何管道阶段)。

图15b图示了当传入分组1570是高速缓存未命中时的分组处理。如所示出的，分组1570在数据通路高速缓存1530中不具有用于分组1570的有效匹配条目。数据通路守护程序1510因此执行数据通路管道的阶段(即，如以上第I部分中所述，通过执行函数调用并且应用逻辑实体的配置数据)。由于数据通路执行数据通路管道的阶段，因此数据通路管道的每个阶段产生一组用于合成数据通路高速缓存中的高速缓存条目的信息。该新的高速缓存条目(或更新后的高速缓存条目)将适用于属于与分组1570相同的分组类别(例如，属于相同的L4流)的后续分组。

图16图示了数据通路高速缓存的高速缓存条目的合成。如所示出的，分组1570已导致高速缓存未命中并且数据通路守护程序1510在执行数据通路管道1520的阶段。当数据通路管道正在被执行时，执行的阶段中的一些或全部发出将由合成器1610用来合成高速缓存条目1620的数据或指令。在一些实施例中，由管道阶段发出的高速缓存条目合成指令或数据包括以下：高速缓存启用字段1631、位掩码字段1632和动作字段1633。

高速缓存启用字段1631指定是否创建高速缓存条目。在一些实施例中，管道阶段可以确定分组处理的结果不应该用作将来分组的高速缓存条目，即，只有分组1570应该以这种方式进行处理，并且将来的分组不应该重用分组1570的处理结果。在一些实施例中，即使所有其它管道阶段指示启用高速缓存条目的创建是可以的，指定不应该创建高速缓存条目的一个管道阶段也将防止合成器1610创建高速缓存条目。

位掩码字段1632定义管道阶段实际使用分组报头的哪个部分来确定关于分组要采取的动作。一些实施例仅向内部报头(IP报头和MAC报头)而不是外部报头(即，诸如VXLAN的覆盖封装的报头)中的字段应用位掩码。在其中高速缓存条目是基于流的一些实施例中，位掩码字段1632用于创建适用于多个流的高速缓存条目，即，通过将内部报头中的某些位字段设置为“不关心”。

动作字段1633指定关于分组管道阶段已经采取了什么动作。

合成器1620收集来自所有管道阶段的所有高速缓存条目合成指令，并且从所有接收到的指令合成流高速缓存中的条目1620(除非一个或多个管道阶段指定不应该生成高速缓存条目)。合成的高速缓存条目为满足某些标准(即，属于某些L4流)的分组指定最终动作。当生成高速缓存条目1620时，合成器在一些实施例中还包括指定高速缓存条目被创建的时间的时间戳。这个时间戳将用于确定高速缓存条目是否对后续分组有效。

在一些实施例中，合成器1610创建适用于多个L4流或“巨流”的聚合高速缓存条目。在一些实施例中，这些是其匹配标准具有被掩蔽的某些位或字段(即，被认为“不关心”)的条目。在一些实施例中，合成器基于从执行的管道阶段接收到的位掩码字段1633创建巨流条目。合成器1610还创建其匹配标准被完全指定为仅适用于一个流或“微流”的精确匹配条目。

图17图示了聚合高速缓存条目和精确匹配高速缓存条目的示例合成。数据通路1520通过其阶段1521-1523处理分组1700，并且每个阶段为高速缓存条目合成器1610产生一组高速缓存合成指令。高速缓存条目合成器1610又创建用于数据通路高速缓存1530的聚合高速缓存条目1751和精确匹配高速缓存条目1752。

如图所示，完全匹配条目1752将所有字段完全指定为其匹配标准。这些字段完全匹配分组1700的字段(例如，其报头中的5元组流标识符)。另一方面，聚合条目1751在其匹配标准中仅指定其一些字段，同时掩蔽一些其它字段。分组1700将匹配这些匹配标准，但是在这些对应字段中可能具有不同值的其它分组也将可能匹配这些匹配标准。在一些实施例中，在聚合条目的匹配标准中掩蔽了哪些字段/位由各个数据通路阶段产生的位掩码字段(例如，1632)来确定。

每个高速缓存条目还指定关于与高速缓存条目匹配的每个分组要采取的最终动作。在一些实施例中，这些动作包括在分组被输出时影响分组的所有动作。在图17的示例中，阶段1521、1522和1523分别指定动作(1)、动作(2)和动作(3)。动作(1)和(3)影响分组，但不影响动作(2)，因此只有动作(1)和(3)成为合成高速缓存条目1751和1752的一部分。例如，更新寄存器以指示分组处理阶段的动作不影响输出分组，并且因此不包括在高速缓存的流条目中，而修改报头值(例如，作为L3路由操作的一部分修改MAC地址)的动作被包括在内。如果第一动作将MAC地址从第一值修改为第二值，并且随后的动作将MAC地址从第二值修改为第三值，那么一些实施例指定将MAC地址直接修改为高速缓存的流条目中的第三值。

在一些实施例中，由一个阶段指定的动作将覆盖所有其它阶段。图18图示了指定覆盖所有其它动作的动作的数据通路阶段的示例。该图图示了由数据通路1520处理的两个示例分组1871和1872。

如图所示，当数据通路1520处理分组1871和1872时，其每个阶段指定某些动作。对于分组1871，所指定的动作包括由阶段1523“拒绝分组”。该动作将覆盖所有其它动作，并且由这个分组1871创建的高速缓存条目将仅执行动作“拒绝分组”。对于分组1872，阶段1522指定禁用高速缓存(高速缓存启用＝0)。如上所述，在一些实施例中，数据通路的每个阶段可以(例如，通过其高速缓存启用位)指定不为给定分组创建高速缓存条目，而不管数据通路中的其它阶段已经指定了什么。因此，高速缓存条目合成器1610(未示出)不为分组1872创建高速缓存条目。

图19图示了检查数据通路高速缓存的条目以确定是否存在高速缓存未命中或高速缓存命中。如图所示，数据通路守护程序(在匹配函数1910处)将分组1570的某些字段(例如，流识别字段)与高速缓存1530中的条目进行比较，以查找适用于分组1570的高速缓存条目。如果匹配函数1910不能找到匹配的高速缓存条目，则数据通路守护程序将作为高速缓存未命中进行。

如图所示，每个条目还与时间戳相关联，从而标记高速缓存条目(由合成器1610)创建并存储到数据高速缓存中的时间。一些实施例(通过比较函数1920)将匹配高速缓存条目的时间戳与DP配置数据库1540的时间戳进行比较，以便确定高速缓存条目是否仍然有效。(在一些实施例中，该时间戳记录了数据库中的数据最后由网络控制器或管理器更新的时间，DP配置数据库的更新将在下面的部分III中描述)。具体而言，如果DP配置数据库1540自从创建高速缓存条目以来未被更改，即，DP配置数据库的时间戳在匹配条目的时间戳之前，则高速缓存条目仍然有效，并且数据通路守护程序将作为高速缓存命中进行。相反，如果DP配置数据库1540自从创建高速缓存条目以来已被更改，即，DP配置数据库的时间戳在匹配条目的时间戳之后，则高速缓存条目被视为不再有效，并且数据通路守护程序将作为高速缓存未命中进行。

图20概念性地图示了用于操作数据通路高速缓存的过程2000。在一些实施例中，操作作为数据通路守护程序的线程的处理器核心执行过程2000。过程2000在它或者从外部物理网络或者从数据中心接收(在2010处)分组时开始。然后该过程确定(在2020处)分组是否在数据通路高速缓存中具有匹配的条目。如果是，则过程进行到2025。如果分组在数据通路高速缓存中没有匹配的条目，则过程进行到2030。

在2025处，该过程确定匹配的高速缓存条目是否仍然有效，例如，其时间戳是否指示高速缓存条目是在对DP配置数据库的最近更新之后做出的。高速缓存条目有效性的确定通过参考以上图19来描述。如果匹配的高速缓存条目有效，则该过程进行到2060。否则，该过程进行到2030。

在2030处，该过程指示分组已导致高速缓存未命中并通过执行其阶段来启动数据通路管道。该过程然后基于由数据通路管道的阶段产生的数据或指令来合成(在2040处)高速缓存条目。高速缓存条目的合成通过参考以上图16来描述。该过程然后存储(在2050处)合成的高速缓存条目并将条目与当前时间戳相关联。过程2000然后结束。

在2060处，该过程指示高速缓存命中并根据匹配的高速缓存条目执行动作。过程2000然后结束。

III.数据通路配置更新

如上所述，数据通路守护程序的管道阶段使用DP配置数据库中的配置数据作为转发表、路由表、规则表等。由于这些表包含关于在网关处关于分组应该采取哪些动作的实时信息，因此，即使在数据通路守护程序主动访问DP配置数据库时，一些实施例也动态地更新DP配置数据库。为了确保数据通路守护程序在DP配置数据库被更新时不使用其管道阶段的不完整的(并因此损坏的)配置数据，一些实施例维护DP配置数据库的两个副本。数据库的一个副本用作用于来自网络控制器/管理器的新更新的暂存区，使得数据通路守护程序可以安全地使用数据库的其它副本。一旦更新完成，两个数据库副本的角色将以原子方式反转。在一些实施例中，网络控制器在切换之前等待数据通路守护程序完成其当前的运行至完成分组处理管道阶段。

图21图示了具有以原子方式支持更新的DP配置数据库2110的网关2100。如图所示，网关2100具有一组处理器核心2121-2123，每个核心正在操作使用DP配置数据库2110中的配置数据来执行与逻辑实体对应的管道阶段的数据通路守护程序。网络控制器/管理器2190在内核正在主动使用数据库的同时动态地更新存储在DP配置数据库内的配置数据。

如图所示，DP配置数据库2110具有两个副本：奇数副本2111和偶数副本2112(“DP配置奇数”和“DP配置偶数”)。数据库的每个副本都存储完整的配置数据，以便在核心2121-2123处操作数据通路守护程序。在一些实施例中，两个不同副本被存储在两个不同的物理存储装置中。在一些实施例中，两个副本被存储在相同存储装置的不同位置中。

在对DP配置数据库2110进行更新时，网络控制器2190使用写指针2195来选择要写入到奇数副本还是偶数副本。当执行管道阶段时，核心2121-2123分别使用读指针2131-2133来选择要读取的是奇数副本还是偶数副本。网络控制器2190选择并更新DP配置数据库的一个副本，而核心2121-2123各自选择并使用DP配置数据库的另一个副本。

图22a-b图示了数据通路配置数据库2110的原子更新。该图图示了六个阶段2201-2206中的更新过程。

在第一阶段2201处，所有读指针2131-2133都指向奇数副本2111，并且写指针2195指向偶数副本2112。此外，所有核心2121-2123正在分别读取来自奇数副本2111的配置数据和执行用于处理分组2271-2273的分组处理管道。网络控制器2190正在写入到偶数副本2112中。偶数副本2112中的数据因此是不完整的或者被损坏的，但是核心2121和2123中的数据通路守护程序与这隔离开，因为它们正脱离奇数副本2111操作。

在第二阶段2202处，网络控制器已经完成对DP配置数据库的更新，即，它已经完成写入到偶数副本2112中。该更新的数据库与时间戳2252相关联(如以上部分II中所述，用于确定高速缓存条目有效性)。与此同时，所有核心仍处于其各自的运行至完成管道的中间。

在第三阶段2203处，核心2121已完成其对分组2271的先前运行至完成管道。读指针2131然后在核心2121开始处理另一个分组之前切换至偶数副本2112。换句话说，核心2121的数据通路守护程序将对其下一个分组使用更新后的配置数据。通过使用数据库的奇数副本，其它两个核心2122和2123仍处于其当前的运行至完成管道中。

在第四阶段2204处，核心2122也已完成其对分组2272的分组处理管道，并且其对应的读指针已切换到偶数副本2112。同时，核心2121已经通过使用偶数副本2112中更新后的新数据开始处理另一个分组2274。核心2123仍然通过使用奇数副本2111处的旧配置来处理分组2273。

在第五阶段2205处，核心2123也已完成其对分组2273的分组处理管道并且其对应的读指针2133已经切换到偶数副本2112。核心2122已经开始处理分组2275。在此时，没有数据通路守护程序正在使用奇数副本2111中的旧配置数据来处理分组。由于在偶数副本2112中已经存在新的更多更新版本的DP配置数据库，因此奇数副本2111中的旧数据不再有用。因此，一些实施例重置DP配置数据库的奇数副本2111以指示其中的数据不再有效，并且网络控制器可自由地向其写入新的配置数据。

在第六阶段处，写指针2195已经切换到数据库的奇数副本，而核心2121-2123正在使用存储在偶数副本2112中的配置数据来处理分组2274-2276。这允许进行对DP配置数据库的更新，而不会影响任何数据通路守护程序的操作。

图23概念性地图示了控制DP配置数据库的读指针和写指针的过程2301和2302。在一些实施例中，网关机器执行过程2301和2302两者。

过程2301用于控制写指针以便由网络控制器写入到DP配置数据库中。过程2301在网关机器从网络控制器/管理器接收(在2310处)对DP配置数据库的更新数据时开始。然后该过程确定(在2320处)由写指针指向的数据库的副本是否当前正在被运行数据通路守护程序的任何核心读取。如果是，则该过程返回到2320等待，直到数据库的副本不再被任何数据通路守护程序使用。否则，该过程进行到2330。一些实施例通过检查由数据通路守护程序使用的读指针来做出该确定：当读指针当前都没有指向由写指针指向的数据库的副本时，由写指针指向的数据库的副本没有被使用(因此，对其写入是安全的)。

在2330处，该过程更新(在2330处)存储在由写指针指向的数据库的副本中的配置数据(例如，通过添加、删除、修改表条目等)。一旦更新完成，该过程就翻转(在2340处)写指针以指向数据库的另一个副本(如果是奇数副本则翻转为指向偶数副本，反之亦然)。过程2301然后结束。

过程2302用于控制由核心/数据通路守护程序使用的读指针以便从DP配置数据库中读取。过程2300在数据通路守护程序接收(在2350处)要处理的分组并启动数据通路管道时开始。

然后该过程读取(在2360处)并应用存储在由数据通路守护程序的读指针指向的数据库的副本中的配置数据。该过程还通过管道的所有阶段(运行至完成)处理(在2370处)分组至完成。过程2301的操作确保应用的配置数据将不会由于对数据通路配置数据库的任何更新而被损坏。

接下来，该过程确定(在2375处)数据库的其它副本是否具有更新后的配置数据。如果数据库的另一个副本不具有较新版本的配置数据，则过程2302结束。如果数据库的另一个副本确实具有较新版本的配置数据，则该过程翻转(在2380处)读指针以指向数据库的另一个副本。过程2302然后结束。

IV.软件体系架构

图24图示了根据本发明的一些实施例的网关机器2400的体系架构。网关机器的存储器使用被划分为用户空间和内核空间。内核空间被保留用于运行特权操作系统内核、内核扩展和大多数设备驱动程序。用户空间是应用软件和一些驱动程序在其中执行的存储器区域。

如图所示，分组处理线程2410(即，数据通路守护程序)正在用户空间中操作以便处理L2交换、L3路由以及诸如防火墙、NAT和HTTPS的服务。诸如ARP(地址解析请求)学习、BFD(双向转发检测)的其它服务任务被认为是较慢运行并因此由用户空间中的单独过程2420进行处理。这些较慢的任务不由数据通路守护程序处理，并且不是数据通路管道的一部分。分组处理线程2410依赖于用于从NIC接收分组的一组DPDK库2430(由

开发的

)。在一些实施例中，NIC操作依赖于使用轮询模式来接收分组的用户空间NIC驱动程序。

在内核空间中，操作系统内核2440(例如，Linux)操作TCP/IP栈并处理用于与外部网络交换路由信息的BGP栈(边界网关协议)。一些实施例使用KNI(内核NIC接口)来允许用户空间应用访问内核空间栈。

如上所述，一些实施例中的网关机器通过使用具有多个核心的处理器来实现，并且每个数据通路守护程序在一个核心处的RTC(运行至完成)线程中执行其所有管道阶段。在一些实施例中，数据通路守护程序可以插入由在另一个核心处的另一个线程执行的服务进程执行的服务管道阶段。

在一些实施例中，这些服务进程使用某种形式的进程间通信(IPC)(诸如共享存储器或套接字)与RTC线程通信。RTC线程接收来自NIC的分组、执行常规L2/L3转发、并对分组进行分类以确定分组是否需要服务。当分组需要服务时，分组经由IPC通道发送到对应的服务进程。IPC服务进程使分组出列并处理分组。在处理分组之后，服务进程将其传回给RTC线程，RTC线程继续处理分组(并且可能将分组发送到用于其它服务的另一个服务进程)。有效地，RTC线程用于提供基本转发并在服务进程之间引导分组。图25a概念性地图示了使用IPC与服务进程通信以便提供服务的RTC线程。

在一些其它实施例中，服务进程在容器内运行并且不使用IPC来与RTC线程通信并且实际上不知道RTC线程。该进程打开标准的TCP/UDP套接字来发送分组和接收来自Linux内核的分组。不是使用IPC在服务进程和RTC线程之间进行通信，而是在容器内创建tun/tap设备或KNI设备。容器的路由表被正确填充，使得由服务进程发送的分组可以使用正确的tun/tap/KNI设备进行路由。

当RTC线程确定分组需要服务时，它将分组发送到Linux内核。在接收到分组之后，Linux内核就像分组从NIC接收到一样处理它。最终，分组被交付给服务进程。当服务进程完成对分组的处理之后，它将分组发送到套接字。分组将由Linux内核朝着tun/tap/KNI设备之一进行路由，并将由RTC线程接收。图25b概念上图示了使用Linux内核与服务进程通信以便提供服务的RTC线程。

V.计算设备&虚拟化软件

虚拟化软件(也称为受管理转发元件(MFE)或管理程序)允许计算设备托管一组虚拟机(VM)以及执行分组转发操作(包括L2交换和L3路由操作)。这些计算设备因此也被称为主机机器。虚拟化软件的分组转发操作由一组中央控制器管理和控制，并且因此在一些实施例中，虚拟化软件也被称为受管理软件转发元件(MSFE)。在一些实施例中，当主机机器的虚拟化软件将逻辑转发元件的本地实例化作为物理转发元件操作时，MSFE为一个或多个逻辑转发元件执行其分组转发操作。这些物理转发元件中的一些是用于为逻辑路由元件(LRE)执行L3路由操作的受管理物理路由元件(MPRE)，这些物理转发元件中的一些是用于为逻辑交换元件(LSE)执行L2交换操作的受管理物理交换元件(MPSE)。图26图示了计算设备2600，其用作运行本发明的一些实施例的虚拟化软件的主机机器(或主机物理端点)。

如图所示，计算设备2600可以通过物理NIC(PNIC)2695访问物理网络2690。主机2600还运行虚拟化软件2605并且托管VM2611-2614。虚拟化软件2605用作托管的VM和物理NIC 2695(以及其它物理资源，诸如处理器和存储器)之间的接口。VM中的每一个包括用于通过虚拟化软件2605访问网络的虚拟NIC(VNIC)。VM中的每个VNIC负责在VM和虚拟化软件2605之间交换分组。在一些实施例中，VNIC是由虚拟NIC仿真器实现的物理NIC的软件抽象。

虚拟化软件2605管理VM 2611-2614的操作，并且包括用于管理VM对物理网络的访问(在一些实施例中，通过实现VM连接到的逻辑网络)的若干组件。如图所示，虚拟化软件包括若干组件，包括MPSE 2620、一组MPRE 2630、控制器代理2640、VTEP 2650和一组上行链路管道2670。

VTEP(VXLAN隧道端点)2650允许主机机器2600用作逻辑网络流量(例如，VXLAN流量)的隧道端点。VXLAN是覆盖层网络封装协议。由VXLAN封装创建的覆盖层网络有时被称为VXLAN网络，或者简称为VXLAN。当主机2600上的VM向同一VXLAN网络中但在不同主机上的另一个VM发送分组(例如，以太网帧)时，VTEP将在把分组发送到物理网络之前，使用VXLAN网络的VNI和VTEP的网络地址封装数据分组。分组通过物理网络隧道传送(即，封装使得底层分组对中间网络元件透明)到目的地主机。在目的地主机处VTEP对分组进行解封装，并且只将原始内部数据分组转发到目的地VM。在一些实施例中，VTEP模块只用作用于VXLAN封装的控制器接口，而VXLAN分组的封装和解封装在上行链路模块2670处完成。

控制器代理2640从控制器或控制器集群接收控制平面消息。在一些实施例中，这些控制平面消息包括用于配置虚拟化软件的各种组件(诸如MPSE 2620和MPRE 2630)和/或虚拟机的配置数据。在图26所示的示例中，控制器代理2640从物理网络2690接收来自控制器集群2660的控制平面消息，并且继而通过控制信道而不经过MPSE 2620将接收到的配置数据提供给MPRE 2630。但是，在一些实施例中，控制器代理2640从独立于物理网络2690的直接数据管道(未示出)接收控制平面消息。在一些其它实施例中，控制器代理从MPSE 2620接收控制平面消息，并通过MPSE 2620将配置数据转发给路由器2630。

MPSE 2620向与物理网络2690接口的物理NIC 2695递送网络数据并从物理NIC2695接收网络数据。MPSE还包括可通信地将物理NIC与VM 2611-2614、MPRE 2630和控制器代理2640互连的多个虚拟端口(vPort)。在一些实施例中，每个虚拟端口与唯一的L2MAC地址相关联。MPSE在连接到其虚拟端口的任何两个网络元件之间执行L2链路层分组转发。MPSE还在连接到其虚拟端口中的任何一个的任何网络元件与物理网络2690上的可到达的L2网络元件(例如，在另一个主机上运行的另一个VM)之间执行L2链路层分组转发。在一些实施例中，MPSE是跨不同主机机器操作并且可以在同一主机机器上或不同主机机器上的VM之间执行L2分组交换的逻辑交换元件(LSE)的本地实例化。在一些实施例中，MPSE根据那些逻辑交换机的配置执行若干LSE的交换功能。

MPRE 2630对从MPSE 2620上的虚拟端口接收到的数据分组执行L3路由。在一些实施例中，该路由操作需要将L3 IP地址解析为下一跳L2 MAC地址和下一跳VNI(即，下一跳的L2段的VNI)。每个路由的数据分组然后被发送回MPSE 2620以根据解析的L2MAC地址被转发到其目的地。该目的地可以是连接到MPSE 2620上的虚拟端口的另一个VM或物理网络2690上的可到达的L2网络元件(例如，在另一个主机上运行的另一个VM、物理非虚拟化机器等)。

如上所述，在一些实施例中，MPRE是跨不同主机机器操作并且可以在同一主机机器上或不同主机机器上的VM之间执行L3分组转发的逻辑路由元件(LRE)的本地实例化，。在一些实施例中，主机机器可以具有连接到单个MPSE的多个MPRE，其中主机机器中的每个MPRE实现不同的LRE。在一些实施例中，即使MPRE和MPSE用软件实现，MPRE和MPSE也被称为“物理”路由/交换元件，以便与“逻辑”路由/交换元件区分开。在一些实施例中，MPRE被称为“软件路由器”，并且MPSE被称为“软件交换机”。在一些实施例中，LRE和LSE被统称为逻辑转发元件(LFE)，而MPRE和MPSE被统称为受管理的物理转发元件(MPFE)。贯穿本文档提到的一些逻辑资源(LR)是LRE或LSE，它们具有在每个主机机器中运行的对应的本地MPRE或本地MPSE。

在一些实施例中，MPRE 2630包括一个或多个逻辑接口(LIF)，每个逻辑接口用作到网络的特定段(L2段或VXLAN)的接口。在一些实施例中，每个LIF可通过其自己的IP地址寻址，并用作网络的其特定段的网络节点(例如，VM)的默认网关或ARP代理。在一些实施例中，不同主机机器中的所有MPRE都可通过相同的“虚拟”MAC地址(或vMAC)寻址，而每个MPRE也被分配“物理”MAC地址(或pMAC)以便指示MPRE到底在哪个主机机器中操作。

上行链路模块2670在MPSE 2620和物理NIC 2695之间中继数据。上行链路模块2670包括每个执行多个操作的出口链和入口链。这些操作中的一些操作是用于MPRE 2630的预处理和/或后处理操作。LIF、上行链路模块、MPSE和MPRE的操作在于2013年12月20日提交的标题为“Logical Router”、作为美国专利申请公开2015/0106804公布的美国专利申请14/137,862中描述。

如图26所示，虚拟化软件2605具有用于多个不同LRE的多个MPRE。在多租户环境中，主机机器可以操作来自多个不同用户或租户(即，连接到不同逻辑网络)的虚拟机。在一些实施例中，每个用户或租户在用于处理其L3路由的主机中具有其LRE的对应的MPRE实例化。在一些实施例中，虽然不同的MPRE属于不同的租户，但是它们在MPSE 2620上共享相同的vPort，并且因此共享相同的L2 MAC地址(vMAC或pMAC)。在一些其它实施例中，属于不同租户的每个不同MPRE具有其自己到MPSE的端口。

MPSE 2620和MPRE 2630使数据分组有可能在VM 2611-2614之间转发，而无需通过外部物理网络2690发送(只要VM连接到相同的逻辑网络，因为不同租户的VM将彼此隔离)。具体而言，MPSE通过使用各种逻辑网络的各种L2段(即，它们对应的L2逻辑交换机)的VNI来执行本地逻辑交换机的功能。同样，MPRE通过使用那些各种L2段的VNI来执行逻辑路由器的功能。由于每个L2段/L2交换机具有其自己的唯一VNI，因此主机机器2600(及其虚拟化软件2605)能够将不同逻辑网络的分组引导到其正确的目的地，并且有效地将不同逻辑网络的流量彼此分离。

VI.电子系统

上述许多特征和应用被实现为软件过程，这些软件过程被指定为记录在计算机可读存储介质(也被称为计算机可读介质)上的指令集合。当这些指令被一个或多个处理单元(例如，一个或多个处理器、处理器核心、或其它处理单元)执行时，它们使得该(一个或多个)处理单元执行在指令中指示的动作。计算机可读介质的示例包括，但不限于，CD-ROM、闪存驱动器、RAM芯片、硬盘驱动器、EPROM等。计算机可读介质不包括无线地或通过有线连接传递的载波和电子信号。

在本说明书中，术语“软件”是指包括驻留在只读存储器中的固件或者可以被读入到存储器中以供处理器处理的存储在磁存储中的应用。此外，在一些实施例中，多个软件发明可以被实现为更大程序的子部分，同时保留明显的软件发明。在一些实施例中，多个软件发明也可以被实现为单独的程序。最后，一起实现本文所描述的软件发明的单独程序的任意组合在本发明的范围内。在一些实施例中，当软件程序被安装，以在一个或多个电子系统上操作时，软件程序定义运行和执行软件程序的操作的一个或多个特定的机器实现。

图27概念性地图示了实现本发明的一些实施例的电子系统2700。电子系统2700可以用于执行上述任何控制、虚拟化或操作系统应用。电子系统2700可以是计算机(例如，台式计算机、个人计算机、平板计算机、服务器计算机、大型机、刀片计算机等)、电话、PDA或任何其它类型的电子设备。这样的电子系统包括用于各种其它类型的计算机可读介质的各种类型的计算机可读介质和接口。电子系统2700包括总线2705、(一个或多个)处理单元2710、系统存储器2725、只读存储器2730、永久性存储设备2735、输入设备2740和输出设备2745。

总线2705统一地表示可通信地连接电子系统2700的许多内部设备的所有系统、外围设备和芯片组总线。例如，总线2705将(一个或多个)处理单元2710与只读存储器2730、系统存储器2725和永久性存储设备2735可通信地连接。

(一个或多个)处理单元2710从这些各种存储器单元中检索要执行的指令和要处理的数据，以便执行本发明的过程。(一个或多个)处理单元在不同实施例中可以是单个处理器或多核处理器。

只读存储器(ROM)2730存储由(一个或多个)处理单元2710和电子系统的其它模块所需的静态数据和指令。另一方面，永久性存储设备2735是读写存储器设备。这个设备是即使当电子系统2700关闭时也存储指令和数据的非易失性存储器单元。本发明的一些实施例使用大容量存储设备(诸如磁盘或光盘及其对应的盘驱动器)作为永久性存储设备2735。

其它实施例使用可移除存储设备(诸如软盘、闪存驱动器等)作为永久性存储设备。与永久性存储设备2735一样，系统存储器2725是读写存储器设备。但是，与存储设备2735不同的是，系统存储器是易失性读写存储器，诸如随机存取存储器。系统存储器存储处理器在运行时所需的一些指令和数据。在一些实施例中，本发明的过程被存储在系统存储器2725、永久性存储设备2735和/或只读存储器2730中。(一个或多个)处理单元2710从这些各种存储器单元中检索要执行的指令和要处理的数据，以便执行一些实施例的过程。

总线2705还连接到输入和输出设备2740和2745。输入设备使用户能够向电子系统传达信息和选择给电子系统的命令。输入设备2740包括字母数字键盘和定点设备(也称为“光标控制设备”)。输出设备2745显示由电子系统生成的图像。输出设备包括打印机和显示设备，诸如阴极射线管(CRT)或液晶显示器(LCD)。一些实施例包括用作输入和输出设备两者的设备，诸如触摸屏。

最后，如图27所示，总线2705还通过网络适配器(未示出)将电子系统2700耦合到网络2765。以这种方式，计算机可以是计算机的网络(诸如局域网(“LAN”)、广域网(“WAN”)、或内联网、或网络的网络，诸如互联网)的一部分。电子系统2700的任何或全部组件可以与本发明结合使用。

一些实施例包括电子组件，诸如微处理器、在机器可读或计算机可读介质(可替代地称为计算机可读存储介质、机器可读介质或机器可读存储介质)中存储计算机程序指令的存储设备和存储器。这种计算机可读介质的一些示例包括RAM、ROM、只读压缩盘(CD-ROM)、可记录压缩盘(CD-R)、可重写压缩盘(CD-RW)、只读数字多功能盘(例如，DVD-ROM，双层DVD-ROM)、各种可记录/可重写DVD(例如，DVD-RAM、DVD-RW、DVD+RW等)、闪存存储器(例如，SD卡、小型SD卡、微型SD卡等)、磁和/或固态硬盘驱动器、只读和可记录

盘、超密度光盘、任何其它光或磁介质、以及软盘。计算机可读介质可以存储可由至少一个处理单元执行的并且包括用于执行各种操作的指令集的计算机程序。计算机程序或计算机代码的示例包括诸如由编译器产生的机器代码，以及包括由计算机、电子组件、或利用解释器的微处理器执行的更高级代码的文件。

虽然以上讨论主要指执行软件的微处理器或多核处理器，但是一些实施例通过一个或多个集成电路来执行，诸如专用集成电路(ASIC)或现场可编程门阵列(FPGA)。在一些实施例中，这种集成电路执行在该电路自身上存储的指令。

如在本说明书中所使用的，术语“计算机”、“服务器”、“处理器”、以及“存储器”都是指电子或其它技术设备。这些术语不包括人或人群。为了本说明书的目的，术语显示或正在显示意味着在电子设备上显示。如本说明书中所使用的，术语“计算机可读介质”、“多个计算机可读介质”和“机器可读介质”被完全限制为以由计算机可读的形式存储信息的、有形的、物理的对象。这些术语不包括任何无线信号、有线下载信号、以及任何其它短暂信号。

在本文档中，术语“分组”是指以特定格式跨网络发送的位集合。本领域普通技术人员将认识到的是，术语分组在本文可以用于指可以跨网络发送的各种格式化的位集合，诸如以太网帧、TCP段、UDP数据报、IP分组等。

贯穿本说明书提到包括虚拟机(VM)的计算和网络环境。但是，虚拟机只是数据计算节点(DCN)或数据计算端节点(也被称为可寻址节点)的一个示例。DCN可以包括非虚拟化物理主机、虚拟机、在主机操作系统之上运行而不需要管理程序或单独的操作系统的容器、以及管理程序内核网络接口模块。

在一些实施例中，VM使用由虚拟化软件(例如，管理程序、虚拟机监视器等)虚拟化的主机的资源与在主机上其自己的客户操作系统一起操作。租户(即VM的所有者)可以选择在客户操作系统之上要操作哪些应用。另一方面，一些容器是在主机操作系统之上运行而不需要管理程序或单独的客户操作系统的构造。在一些实施例中，主机操作系统使用名称空间来将容器彼此隔离，并因此提供在不同容器内操作的不同应用组的操作系统级分离。这种分离类似于在虚拟化系统硬件的管理程序虚拟化环境中提供的VM分离，并且因此可以被视为隔离在不同容器中操作的不同应用组的一种虚拟化形式。这种容器比VM更轻巧。

在一些实施例中，管理程序内核网络接口模块是包括具有管理程序内核网络接口和接收/传送线程的网络堆栈的非-VM DCN。管理程序内核网络接口模块的一个示例是作为VMware公司的ESXi^TM管理程序的一部分的vmknic模块。

本领域普通技术人员将认识到的是，虽然本说明书提到VM，但是给出的示例可以是任何类型的DCN，包括物理主机、VM、非-VM容器和管理程序内核网络接口模块。事实上，在一些实施例中，示例网络可以包括不同类型的DCN的组合。

虽然本发明已经参考许多特定细节进行了描述，但是本领域普通技术人员将认识到，在不脱离本发明的精神的情况下，本发明可以以其它特定形式体现。此外，多个图(包括图5、图14、图20和图23)概念性地示出了过程。这些过程的特定操作可以不以所示出和描述的确切顺序执行。特定操作可以不在一系列连续的操作中执行，并且不同的特定操作可能在不同的实施例中执行。此外，过程可以利用若干子过程来实现，或者作为较大的宏过程的一部分来实现。因此，本领域普通技术人员将理解，本发明不受上述说明性细节的限制，而是由所附权利要求来限定。

Claims (30)

1.一种用于计算设备实现网关数据通路的方法，所述网关数据通路处理在第一网络和第二网络之间发送的分组，所述方法包括：

从第一网络接收分组；

执行多个管道阶段以处理所述分组并确定所述分组的下一目的地，其中所述多个管道阶段包括用于执行分组转发的一组逻辑转发元件阶段和用于执行传输层服务和应用层服务的一组服务阶段；以及

基于所述分组的下一目的地将经处理的分组输出到第二网络。

2.如权利要求1所述的方法，其中每个管道阶段是由网关数据通路调用的函数。

3.如权利要求1所述的方法，其中所述一组服务阶段基于所述分组的层4(L4)报头来执行传输层服务，并且基于所述分组的层7(L7)报头来执行应用层服务。

4.如权利要求1所述的方法，其中所述一组服务阶段包括用于维护一组传输层连接中每一个传输层连接的状态信息的有状态服务的阶段。

5.如权利要求1所述的方法，其中所述第一网络是提供商网络，在所述提供商网络上实现一个或多个逻辑网络，并且所述第二网络是外部物理网络。

6.如权利要求1所述的方法，其中所述一组逻辑转发元件阶段包括至少一个逻辑交换机阶段和至少一个逻辑路由器阶段。

7.如权利要求1所述的方法，其中所述分组是第一分组，所述多个管道阶段是第一多个管道阶段，并且所述一组服务阶段是第一组服务阶段，所述方法还包括：

从第一网络接收第二分组；

执行第二多个管道阶段以处理所述第二分组并确定所述第二分组的下一目的地，其中所述第二多个管道阶段包括所述一组逻辑转发元件阶段和第二组服务阶段，其中由所述第二组服务阶段执行的至少一个服务不由所述第一组服务阶段执行；以及

基于所述第二分组的下一目的地，将经处理的第二分组输出到所述第二网络。

8.如权利要求7所述的方法，其中基于所述第一和第二分组属于不同的L4数据流，所述第一和第二组服务阶段是不同的。

9.一种用于计算设备实现第一网络和第二网络之间的网关数据通路的方法，所述方法包括：

从第一网络接收分组；

执行所述网关数据通路的多个管道阶段以确定所述分组在所述第二网络内的下一目的地，其中所述多个管道阶段包括集中式逻辑路由器阶段和分布式逻辑路由器阶段，所述集中式逻辑路由器阶段和所述分布式逻辑路由器阶段两者都在所述计算设备的单个上下文中执行，其中所述集中式逻辑路由器仅由所述第一网络与所述第二网络之间的第一组计算设备处的网关数据通路实现，而所述分布式逻辑路由器由所述第一组计算设备的所述网关数据通路并且由所述第二网络中的第二组计算设备实现。

10.如权利要求9所述的方法，其中所述多个管道阶段在处理器处作为网关数据通路的单个运行至完成线程被执行。

11.如权利要求9所述的方法，其中：

所述多个管道阶段还包括在所述集中式逻辑路由器阶段与所述分布式逻辑路由器阶段之间的转接逻辑交换机阶段；

所述转接逻辑交换机具有用于所述集中式逻辑路由器的第一逻辑端口和用于所述分布式逻辑路由器的第二逻辑端口；

转接逻辑交换机阶段在集中式逻辑路由器和分布式逻辑路由器之间进行交换；以及

转接逻辑交换机阶段在所述计算设备的单个上下文中执行。

12.如权利要求9所述的方法，其中所述分布式逻辑路由器根据同一路由表在所述第一组和第二组计算设备的每一组中执行路由。

13.如权利要求9所述的方法，其中所述第二网络是提供商网络，在所述提供商网络上实现一个或多个逻辑网络，并且所述第一网络是外部物理网络。

14.如权利要求9所述的方法，还包括：

在所述计算设备处从所述第二网络接收第二分组；

执行所述网关数据通路的第二多个管道阶段以确定所述分组在所述第一网络中的下一目的地，其中所述第二多个管道阶段包括所述集中式逻辑路由器阶段但不包括所述分布式逻辑路由器阶段。

15.如权利要求14所述的方法，其中所述分布式逻辑路由器先前在另一计算设备处应用于所述第二分组。

16.一种用于在与外部物理网络接口的提供商网络的边缘处实现网关数据通路的方法，所述方法包括：

从所述提供商网络接收具有逻辑网络标识符的分组；

执行多个管道阶段以确定所述分组的下一目的地，其中执行多个管道阶段包括：(i)当所述逻辑网络标识符用于使用第一逻辑路由器的第一逻辑网络时，执行第一逻辑路由器阶段，以及(ii)当逻辑网络标识符用于使用第二逻辑路由器的第二逻辑网络时，执行第二逻辑路由器阶段；和

基于对接收到的分组的下一目的地的确定，将所述分组转发到外部物理网络。

17.如权利要求16所述的方法，其中所述第一逻辑路由器阶段使用第一路由表，并且所述第二逻辑路由器阶段使用不同的第二路由表。

18.如权利要求16所述的方法，其中所述分组是提供商网络上的覆盖逻辑网络的封装分组，所述封装分组具有包括所述逻辑网络标识符的封装报头。

19.如权利要求16所述的方法，其中所述第一逻辑路由器阶段对应于根据所述提供商网络的第一租户的服务和策略进行操作的第一租户逻辑路由器(TLR)，并且所述第二逻辑路由器阶段对应于根据所述提供商网络的第二租户的服务和策略进行操作的第二TLR。

20.如权利要求19所述的方法，其中执行所述多个管道阶段还包括：不管所述逻辑网络标识符是用于所述第一逻辑网络还是用于所述第二逻辑网络，都执行与和外部物理路由器交换路由的提供商逻辑路由器(PLR)对应的一组阶段。

21.如权利要求20所述的方法，其中：

执行多个管道阶段还包括在第一或第二TLR阶段与PLR阶段之间执行转接逻辑交换机阶段；和

转接逻辑交换机具有用于PLR的第一逻辑端口和用于TLR的第二逻辑端口，以在PLR和TLR之间进行交换。

22.一种用于在与外部物理网络接口的提供商网络的边缘处实现网关数据通路的方法，所述方法包括：

从外部物理网络接收分组；

执行多个管道阶段以确定所述分组在提供商网络内的下一目的地，其中执行多个管道阶段包括：(i)当所述分组的目的地地址与包括第一逻辑路由器的第一租户逻辑网络相关联时，执行第一逻辑路由器阶段；以及(ii)当所述分组的目的地地址与包括第二逻辑路由器的第一租户逻辑网络相关联时执行第二逻辑路由器阶段；和

将所述分组转发到提供商网络内所识别的下一目的地。

23.如权利要求22所述的方法，还包括：当所述目的地地址与所述第一逻辑网络相关联时，针对所述第一逻辑网络封装处理后的分组；以及当所述目的地地址与所述第二逻辑网络相关联时，针对所述第二逻辑网络封装处理后的分组。

24.如权利要求22所述的方法，其中所述第一逻辑路由器阶段使用第一路由表，并且所述第二逻辑路由器阶段使用不同的第二路由表。

25.如权利要求22所述的方法，其中所述第一逻辑路由器阶段对应于根据所述提供商网络的第一租户的服务和策略进行操作的第一租户逻辑路由器(TLR)，并且所述第二逻辑路由器阶段对应于根据提供商网络的第二租户的服务和策略进行操作的第二TLR。

26.如权利要求25所述的方法，其中执行多个管道阶段还包括：不管所述目的地地址是与所述第一逻辑网络相关联还是与所述第二逻辑网络相关联，都在执行第一或第二TLR阶段之前执行与提供商逻辑路由器(PLR)对应的一组阶段。

27.如权利要求22所述的方法，其中：

执行多个管道阶段还包括在PLR阶段与第一或第二TLR阶段之间执行转接逻辑交换机阶段；

转接逻辑交换机具有用于PLR的第一逻辑端口和用于第一或第二TLR的第二逻辑端口。

28.一种存储程序的机器可读介质，所述程序在由至少一个处理单元实施时实施如权利要求1-27中任一项所述的方法。

29.一种计算设备，包括：

一组处理单元；和

存储程序的机器可读介质，所述程序在由至少一个所述处理单元实施时实施如权利要求1-27中任一项所述的方法。

30.一种系统，包括用于实施如权利要求1-27中任一项所述的方法的装置。

Images