KR101936169B1 - Method and system for analyzing packet in virtual network invironment - Google Patents

Method and system for analyzing packet in virtual network invironment Download PDF

Info

Publication number
KR101936169B1
KR101936169B1 KR1020160108376A KR20160108376A KR101936169B1 KR 101936169 B1 KR101936169 B1 KR 101936169B1 KR 1020160108376 A KR1020160108376 A KR 1020160108376A KR 20160108376 A KR20160108376 A KR 20160108376A KR 101936169 B1 KR101936169 B1 KR 101936169B1
Authority
KR
South Korea
Prior art keywords
virtual
packet
virtual machine
node
machine server
Prior art date
Application number
KR1020160108376A
Other languages
Korean (ko)
Other versions
KR20180024064A (en
Inventor
박성우
Original Assignee
엔에이치엔엔터테인먼트 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엔에이치엔엔터테인먼트 주식회사 filed Critical 엔에이치엔엔터테인먼트 주식회사
Priority to KR1020160108376A priority Critical patent/KR101936169B1/en
Priority to JP2017159985A priority patent/JP6505171B2/en
Priority to JP2017160060A priority patent/JP6505172B2/en
Priority to US15/685,685 priority patent/US11075981B2/en
Priority to US15/685,418 priority patent/US10601906B2/en
Publication of KR20180024064A publication Critical patent/KR20180024064A/en
Application granted granted Critical
Publication of KR101936169B1 publication Critical patent/KR101936169B1/en
Priority to US16/791,346 priority patent/US11330044B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1002
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

가상 네트워크 환경에서 패킷을 분석하는 방법 및 시스템이 개시된다. 가상 네트워크상에서 노드가 패킷을 분석하는 방법은, DPI(Deep Packet Inspection)를 위한 기능이 포함된 모니터링 가상 머신을 생성하는 단계, 적어도 하나의 백엔드 가상 머신 서버에 대해 송수신되는 패킷을 상기 적어도 하나의 백엔드 가상 머신 서버에 대응하는 적어도 하나의 가상 스위치를 통해 미러링(mirroring)하는 단계 및 상기 DPI를 위한 기능을 이용하여 상기 적어도 하나의 백엔드 가상 머신 서버에 대해 미러링된 패킷을 분석하는 단계를 포함할 수 있다.A method and system for analyzing packets in a virtual network environment are disclosed. A method for a node to analyze a packet on a virtual network includes the steps of creating a monitoring virtual machine that includes functionality for DPI (Deep Packet Inspection), sending a packet to and from the at least one back-end virtual machine server to the at least one backend Mirroring through at least one virtual switch corresponding to the virtual machine server and analyzing the mirrored packet for the at least one backend virtual machine server using the functionality for the DPI .

Description

가상 네트워크 환경에서 패킷을 분석하는 방법 및 시스템{METHOD AND SYSTEM FOR ANALYZING PACKET IN VIRTUAL NETWORK INVIRONMENT}[0001] METHOD AND SYSTEM FOR ANALYZING PACKET IN VIRTUAL NETWORK INVIRONMENT [0002]

아래의 설명은 가상 네트워크 환경에서 패킷을 분석하는 방법 및 시스템, 그리고 컴퓨터로 구현되는 노드와 결합되어 패킷 분석 방법을 컴퓨터에 실행시키기 위해 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램에 관한 것이다.The following description relates to a method and system for analyzing packets in a virtual network environment and to a computer program stored in a computer readable recording medium for causing a computer to execute a packet analysis method in combination with a computer implemented node.

L4 로드 밸런서(load balancer)는 TCP(Transmission Control Protocol), UDP(user Datagram Protocol) 등의 레이어 4 프로토콜에 대해서 다수의 백엔드 서버(Backend Server)로의 연결이나 세션 등을 나누어 분배함으로써 백엔드 서버들에 부하를 분산시키는 네트워크 장비이다. 예를 들어, 한국공개특허 제10-2002-0069489호는 클라이언트-서버 연결 방법, 로드 밸런서 동작 방법 및 패킷 전송 방법에 대해 설명하고 있다.The L4 load balancer distributes connections and sessions to multiple backend servers for Layer 4 protocols such as Transmission Control Protocol (TCP) and User Datagram Protocol (UDP) Is distributed. For example, Korean Patent Laid-Open No. 10-2002-0069489 describes a client-server connection method, a load balancer operation method, and a packet transmission method.

보다 구체적인 예로, 도 1은 종래기술에 있어서, L4 로드 밸런서의 동작을 설명하기 위한 도면이다. 도 1은 NAT(Network Address Translation, 110), 라우터(Router, 120), L4 로드 밸런서(L4 Load Balancer, 130), 백엔드 서버 1(Backend Server 1, 140), 백엔드 서버 2(Backend Server 2, 150) 및 백엔드 서버 3(Backend Server 3, 160)를 나타내고 있다. NAT(110)는 한정된 하나의 공인 IP를 여러 개의 내부 사설 IP로 변환하여 공인 IP를 절약하고, 외부 침입에 보안성을 높이기 위한 통신망의 주소 변환기이고, 라우터(120)는 네트워크 구성 방식이나 사용하는 프로토콜에 관계없이 네트워크를 연결하여 한 통신망에서 다른 통신망으로 통신할 수 있도록 도와주는 장치이다. 이때, L4 로드 밸런서(130)는 NAT(110)와 라우터(120)를 통해 전달되는 클라이언트로부터의 HTTP 요청과 같은 트래픽들을 백엔드 서버들(140, 150, 160)로 분배하는 역할을 수행한다. 일반적으로 이러한 L4 로드 밸런서(130)는 하드웨어 장비에 로드 밸런싱을 위한 소프트웨어 모듈이 결합된 형태로 제공된다.More specifically, FIG. 1 is a view for explaining the operation of the L4 load balancer in the prior art. 1 illustrates a network address translation (NAT) 110, a router 120, an L4 load balancer 130, a backend server 1 140, a backend server 2 150 And a backend server 3 (Backend Server 3, 160). The NAT 110 is an address translator of a communication network for converting a limited public IP into a plurality of internal private IPs to save public IP and enhance security against external intrusion. It is a device that helps network to connect from one network to another regardless of protocol. At this time, the L4 load balancer 130 distributes traffic, such as an HTTP request from a client, transmitted through the NAT 110 and the router 120 to the back-end servers 140, 150 and 160. Generally, the L4 load balancer 130 is provided with a hardware module in which a software module for load balancing is combined.

한편, 도 2는 종래기술에 있어서, NAT 동작을 함께 수행하는 L4 로드 밸런서의 동작을 설명하기 위한 도면이다. 도 2는 라우터(210), NAT를 포함하는 L4 로드 밸런서(220), 백엔드 서버 1(Backend Server 1, 230), 백엔드 서버 2(Backend Server 2, 240) 및 백엔드 서버 3(Backend Server 3, 250)를 나타내고 있다.FIG. 2 is a view for explaining the operation of the L4 load balancer that performs the NAT operation together in the prior art. 2 is a block diagram illustrating a router 210, an L4 load balancer 220 including a NAT, backend servers 1 and 230, a backend server 2 and a backend server 3 ).

도 1 및 도 2를 비교하면, 도 1에서는 NAT(110)를 기준으로 공용 네트워크(public network)와 전용 네트워크(private network)가 구분되고, 도 2에서는 NAT를 포함하는 L4 로드 밸런서(220)를 기준으로 공용 네트워크와 전용 네트워크가 구분된다. 이때, 도 1의 케이스와 도 2의 케이스 모두에서는 백엔드 서버들(140, 150, 160, 230, 240, 250)이 클라이언트의 IP 주소를 알 수 없다. 또한, 백엔드 서버들(140, 150, 160, 230, 240, 250)의 응답이 다시 L4 로드 밸런서(130)나 NAT를 포함하는 L4 로드 밸런서(220)를 거쳐서 클라이언트로 전달되기 때문에 지연 속도(latency)가 증가하게 된다.1 and 2, a public network and a private network are classified based on the NAT 110 in FIG. 1, and an L4 load balancer 220 including NAT is illustrated in FIG. As a standard, a public network and a dedicated network are distinguished. In the case of FIG. 1 and the case of FIG. 2, the backend servers 140, 150, 160, 230, 240 and 250 can not know the IP address of the client. Since the response of the backend servers 140, 150, 160, 230, 240 and 250 is transmitted to the client via the L4 load balancer 130 or the L4 load balancer 220 including the NAT, ) Is increased.

한편, 이러한 지연 속도를 줄이기 위해 백엔드 서버에서의 응답이 로드 밸런서를 거치지 않도록 하기 위한 기술이 존재한다. 도 3은 종래기술에 있어서, L4 DSR(Direct Server Return) 로드 밸런서의 동작을 설명하기 위한 도면이다. 도 3은 라우터(310), L4 DSR 로드 밸런서(320), 백엔드 서버 1(Backend Server 1, 330), 백엔드 서버 2(Backend Server 2, 340) 및 백엔드 서버 3(Backend Server 3, 350)를 나타내고 있으며, 백엔드 서버들(330, 340, 350) 각각에 설정되는 루프백(loop back) 인터페이스들(331, 341, 351)을 나타내고 있다. 이때, 백엔드 서버들(330, 340, 350) 각각은 응답을 L4 DSR 로드 밸런서(320)를 거치지 않고, VIP(Virtual IP)를 이용하여 직접 라우터로 전달할 수 있다. 다시 말해, 백엔드 서버들(330, 340, 350) 각각은 로드 밸런서를 위한 VIP를 직접 관리할 수 있으며, 루프백 인터페이스들(331, 341, 351)를 이용하여 L4 DSR 로드 밸런서(320)를 거치지 않고 응답을 바로 라우터(310)로 전달할 수 있기 때문에 지연 속도에서 이점을 갖는다. 그러나, 도 3에 나타난 바와 같이 백엔드 서버들(330, 340, 350)에 루프백 인터페이스들(331, 341, 351)이 설정되어야 한다는 문제점이 있다. 또한, 클라이언트의 IP 주소를 알기 위해서 모든 장비가 공용 네트워크에 존재해야 하기 때문에 공인 IP 주소가 많이 할당되어야 해서 스케일 아웃(scale out)에 불리하다는 문제점이 있다.On the other hand, there is a technique for preventing the response from the back-end server from going through the load balancer in order to reduce the delay rate. 3 is a diagram for explaining the operation of the L4 DSR (Direct Server Return) load balancer in the prior art. 3 shows a router 310, an L4 DSR load balancer 320, a backend server 1 (backend server 1) 330, a backend server 2 (340), and a backend server 3 And loopback interfaces 331, 341, and 351 set to the backend servers 330, 340, and 350, respectively. At this time, each of the backend servers 330, 340 and 350 can directly forward the response to the router using the VIP (Virtual IP) without going through the L4 DSR load balancer 320. [ In other words, each of the backend servers 330, 340, and 350 may directly manage the VIP for the load balancer and use the loopback interfaces 331, 341, and 351 to bypass the L4 DSR load balancer 320 It has an advantage in delay rate because it can forward the response to the router 310 immediately. However, there is a problem that the loopback interfaces 331, 341, and 351 must be set in the backend servers 330, 340, and 350 as shown in FIG. In addition, since all devices must be in a public network in order to know the IP address of the client, a lot of public IP addresses must be allocated, which is disadvantageous in scale out.

공인 IP 주소에 대한 문제를 해결하기 위해 NAT를 이용하는 경우에는 다시 백엔드 서버에서 클라이언트의 IP 주소를 알 수 없게 된다는 문제점이 있다.There is a problem that when the NAT is used to solve the problem with the public IP address, the IP address of the client is not known again on the backend server.

한편, 고객을 위한 전용 랙(Rack)으로 독립된 클라우드 환경 구성이 가능한 VPC(Virtual Private Cloud) 기술이 존재한다. 이러한 VPC를 위한 서비스를 제공하는 서비스 제공자는 고객에게 전용 클라우드의 구성을 위한 서비스를 제공할 수 있다. 이러한 VPC 환경에서의 로드 밸런싱을 위한 기술은 앞서 도 1 내지 도 3을 통해 설명한 일반적인 네트워크 상황에서의 로드 밸런싱과는 차이가 있다. 예를 들어, 앞서 설명한 로드 밸런서들과 백엔드 서버들이 가상화되어 제공되어야 한다. 또한, 서비스 제공자가 지연 속도의 이점을 얻기 위해 L4 DSR 로드 밸런서를 제공하고자 할 때, 고객들이 구성하는 백엔드 가상 머신 서버들 각각에 루프백 인터페이스를 설정하도록 요청 및/또는 강제하기가 어렵다는 문제점이 있다. On the other hand, there is a VPC (Virtual Private Cloud) technology capable of configuring an independent cloud environment with a dedicated rack for customers. The service provider providing the service for the VPC can provide the service for the configuration of the private cloud to the customer. The technique for load balancing in the VPC environment differs from the load balancing in the general network situation described above with reference to Figs. For example, the load balancers and back-end servers described above must be provided as virtualized. Further, there is a problem that when a service provider tries to provide an L4 DSR load balancer to gain the advantage of delay, it is difficult to request and / or force a loopback interface to be set up in each of the backend virtual machine servers that the customers configure.

VPC(Virtual Private Cloud) 환경에서 하이퍼바이저(hypervisor)를 통해 고객들이 구성하는 백엔드 가상 머신 서버(Backend Virtual Machine Server)에 대한 로드 밸런싱을 터널링을 이용하여 처리하는 새로운 로드 밸런서를 제공한다.It provides a new load balancer that uses tunneling to handle the load balancing of backend virtual machine servers that customers configure through a hypervisor in a virtual private cloud (VPC) environment.

VPC 환경에서 백엔드 가상 머신 서버에 필요한 루프백(loop back) 인터페이스를 하이퍼바이저의 가상 스위치(virtual switch)를 통해 구현 및 제공함으로써 고객이 직접 루프백 인터페이스를 설정할 필요가 없으면서도 VPC 환경에서도 백엔드 가상 머신 서버의 응답을 로드 밸런서를 거치지 않고 바로 라우터로 전달할 수 있는 로드 밸런싱 방법 및 시스템을 제공한다.In the VPC environment, the loopback interface required for the back-end virtual machine server is implemented and provided through the virtual switch of the hypervisor, so that the customer does not need to set up the loopback interface directly, And provides a load balancing method and system that can forward a response to a router without going through a load balancer.

상술한 새로운 로드 밸런서와 가상 스위치를 이용하여 VPC 환경에서의 L4 DSR 로드 밸런싱을 처리함으로써 지연 속도(latency)를 줄일 수 있는 로드 밸런싱 방법 및 시스템을 제공한다.A load balancing method and system capable of reducing latency by processing L4 DSR load balancing in a VPC environment using the new load balancer and the virtual switch described above.

로드 밸런싱을 위한 상기 가상 스위치를 이용하여 백엔드 가상 머신 서버에서 송수신되는 패킷들을 DPI(Deep Packet Inspection)를 위한 기능이 포함된 모니터링 가상 머신으로 미러링(mirroring)함으로써, 모니터링 가상 머신에서 원하는 백엔드 가상 머신에 대해 송수신되는 모든 패킷들을 수집 및 분석할 수 있는 패킷 분석 방법 및 시스템을 제공한다.By using the virtual switch for load balancing to mirror the packets sent and received by the backend virtual machine server to a monitoring virtual machine that includes a function for DPI (Deep Packet Inspection), the monitoring virtual machine can access the desired backend virtual machine The present invention provides a packet analysis method and system capable of collecting and analyzing all packets transmitted and received.

가상 네트워크상에서 노드가 패킷을 분석하는 방법에 있어서, DPI(Deep Packet Inspection)를 위한 기능이 포함된 모니터링 가상 머신을 생성하는 단계; 적어도 하나의 백엔드 가상 머신 서버에 대해 송수신되는 패킷을 상기 적어도 하나의 백엔드 가상 머신 서버에 대응하는 적어도 하나의 가상 스위치를 통해 미러링(mirroring)하는 단계; 및 상기 DPI를 위한 기능을 이용하여 상기 적어도 하나의 백엔드 가상 머신 서버에 대해 미러링된 패킷을 분석하는 단계를 포함하는 것을 특징으로 하는 패킷 분석 방법을 제공한다.A method for a node to analyze packets on a virtual network, the method comprising: creating a monitoring virtual machine including a function for DPI (Deep Packet Inspection); Mirroring packets received and transmitted to at least one back-end virtual machine server through at least one virtual switch corresponding to the at least one back-end virtual machine server; And analyzing the mirrored packet for the at least one back-end virtual machine server using the function for the DPI.

일측에 따르면, 상기 가상 스위치는 로드 밸런싱을 위한 로드 밸런싱 노드로부터 가상 네트워크를 통해 전송되는 가상 패킷에서 실제 패킷을 분리하여 대응하는 백엔드 가상 머신 서버로 전달하고, 상기 백엔드 가상 머신 서버로부터의 상기 실제 패킷에 대한 응답 패킷을 실제 네트워크상의 라우터로 전송하는 것을 특징으로 할 수 있다.According to one aspect, the virtual switch separates the actual packet from the virtual packet transmitted through the virtual network from the load balancing node for load balancing and transmits the separated packet to the corresponding backend virtual machine server, And transmits the response packet to the router on the actual network.

다른 측면에 따르면, 상기 가상 스위치는 상기 응답 패킷을, 상기 가상 네트워크를 통해 상기 로드 밸런싱 노드가 포함하는 L4 DSR(Direct Server Return) 로드 밸런서를 거치지 않고, 상기 가상 스위치에 설정된 루프백(loop back) 인터페이스에 따라 실제 네트워크상의 상기 라우터로 직접 전송하는 것을 특징으로 할 수 있다.According to another aspect of the present invention, the virtual switch transmits the response packet to a loopback interface (not shown) via the virtual network without going through an L4 DSR load balancer included in the load balancing node, To the router on the actual network.

또 다른 측면에 따르면, 상기 적어도 하나의 백엔드 가상 머신 서버와 상기 대응하는 가상 스위치는 동일한 하이퍼바이저 노드에 포함되고, 상기 하이퍼바이저 노드는, L4 DSR 로드 밸런서를 포함하는 로드 밸런싱 노드로부터 상기 로드 밸런싱 노드가 라우터를 통해 수신한 클라이언트로부터의 요청 패킷을 가상 네트워크를 통해 전달받고, 상기 요청 패킷을 상기 생성된 적어도 하나의 백엔드 가상 머신 서버 중 상기 L4 DSR 로드 밸런서에 의해 선택된 백엔드 가상 머신 서버를 통해 처리하여 응답 패킷을 생성하고, 상기 가상 스위치에 설정된 루프백 인터페이스에 따라 상기 생성된 응답 패킷을 상기 요청 패킷이 포함하는 상기 클라이언트의 IP 주소에 기반하여 실제 네트워크상의 상기 라우터로 전송하도록 구현되는 것을 특징으로 할 수 있다.According to another aspect, the at least one back-end virtual machine server and the corresponding virtual switch are included in the same hypervisor node, and the hypervisor node receives the load balancing node from the load balancing node including the L4 DSR load balancer, Receives the request packet from the client received through the router through the virtual network and processes the request packet through the backend virtual machine server selected by the L4 DSR load balancer among the generated at least one backend virtual machine server And transmits the generated response packet to the router on the actual network based on the IP address of the client included in the request packet according to the loopback interface set in the virtual switch have.

또 다른 측면에 따르면, 상기 요청 패킷은, VxLAN(Virtual extensible LAN), VLAN(Virtual LAN), GRE(Generic Route Encapsulation) 및 802.11br 중 하나의 가상 네트워킹 프로토콜을 적용한 터널링(tunneling)에 따라 상기 가상 네트워크를 통해 상기 요청 패킷을 전송하기 위한 정보가 상기 요청 패킷에 오버레이되어 상기 하이퍼바이저 노드로 전달되는 것을 특징으로 할 수 있다.According to another aspect of the present invention, the request packet includes at least one of a virtual extensible LAN (VxLAN), a virtual LAN (VLAN), a Generic Route Encapsulation (GRE) The information for transmitting the request packet is overlaid on the request packet and is transmitted to the hypervisor node.

또 다른 측면에 따르면, 상기 하이퍼바이저 노드는, 상기 요청 패킷을 상기 선택된 백엔드 가상 머신 서버를 통해 처리하여 응답 패킷을 생성하기 위해, 상기 가상 스위치를 통해 상기 정보가 오버레이된 요청 패킷에서 상기 요청 패킷을 추출하여 상기 선택된 백엔드 가상 머신 서버로 전달하도록 구현되는 것을 특징으로 할 수 있다.According to another aspect, the hypervisor node is configured to process the request packet in the overlaid request packet through the virtual switch to process the request packet through the selected backend virtual machine server to generate a response packet And transmits the extracted information to the selected back-end virtual machine server.

또 다른 측면에 따르면, 상기 적어도 하나의 백엔드 가상 머신 서버는 하이퍼바이저 노드에 포함되고, 상기 가상 스위치는 TOR(Top Of Rack) 스위치 노드에 포함되며, 상기 TOR 스위치 노드는, L4 DSR 로드 밸런서를 포함하는 로드 밸런싱 노드로부터 상기 로드 밸런싱 노드가 라우터를 통해 수신한 클라이언트로부터의 요청 패킷을 가상 네트워크를 통해 전달받고, 상기 요청 패킷을 상기 L4 DSR 로드 밸런서에 의해 선택된 백엔드 가상 머신 서버를 포함하는 상기 하이퍼바이저 노드로 전송하고, 상기 선택된 백엔드 가상 머신 서버를 포함하는 상기 하이퍼바이저 노드로부터 상기 요청 패킷에 대한 응답 패킷을 수신하고, 상기 생성된 가상 스위치에 설정된 상기 루프백 인터페이스에 따라 상기 수신된 응답 패킷을 상기 요청 패킷이 포함하는 상기 클라이언트의 IP 주소에 기반하여 실제 네트워크상의 상기 라우터로 전송하도록 구현되는 것을 특징으로 할 수 있다.According to another aspect, the at least one back-end virtual machine server is included in a hypervisor node, the virtual switch is included in a Top Of Rack (TOR) switch node, and the TOR switch node includes an L4 DSR load balancer Balancing node receives a request packet from a client received via a router from a load balancing node via a virtual network and sends the request packet to the hypervisor including the backend virtual machine server selected by the L4 DSR load balancer Receiving a response packet for the request packet from the hypervisor node including the selected back-end virtual machine server, receiving the response packet according to the loopback interface set in the generated virtual switch, The I < RTI ID = 0.0 > P address to the router on the real network.

또 다른 측면에 따르면, 상기 노드는 상기 하이퍼바이저 노드일 수 있다.According to another aspect, the node may be the hypervisor node.

상술한 패킷 분석 방법을 컴퓨터에 실행시키기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체가 제공된다.There is provided a computer-readable recording medium characterized by that a program for causing a computer to execute the packet analysis method described above is recorded.

컴퓨터로 구현되는 노드와 결합되어 패킷 분석 방법을 실행시키기 위해 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램에 있어서, 상기 패킷 분석 방법은, DPI(Deep Packet Inspection)를 위한 기능이 포함된 모니터링 가상 머신을 생성하는 단계; 적어도 하나의 백엔드 가상 머신 서버에 대해 송수신되는 패킷을 상기 적어도 하나의 백엔드 가상 머신 서버에 대응하는 적어도 하나의 가상 스위치를 통해 미러링(mirroring)하는 단계; 및 상기 DPI를 위한 기능을 이용하여 상기 적어도 하나의 백엔드 가상 머신 서버에 대해 미러링된 패킷을 분석하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 프로그램을 제공한다.A computer program stored in a computer readable storage medium coupled to a computer-implemented node for executing a packet analysis method, the packet analysis method comprising: generating a monitoring virtual machine including a function for DPI (Deep Packet Inspection) ; Mirroring packets received and transmitted to at least one back-end virtual machine server through at least one virtual switch corresponding to the at least one back-end virtual machine server; And analyzing the mirrored packet for the at least one back-end virtual machine server using the function for the DPI.

패킷 분석 방법을 실행하기 위해 컴퓨터로 구현되는 노드에 있어서, 컴퓨터에서 판독 가능한 명령을 저장하는 메모리; 및 상기 메모리에 저장된 명령을 실행하도록 구현되는 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서는, DPI(Deep Packet Inspection)를 위한 기능이 포함된 모니터링 가상 머신을 생성하고, 적어도 하나의 백엔드 가상 머신 서버에 대해 송수신되는 패킷을 상기 적어도 하나의 백엔드 가상 머신 서버에 대응하는 적어도 하나의 가상 스위치를 통해 미러링(mirroring)하고, 그리고 상기 DPI를 위한 기능을 이용하여 상기 적어도 하나의 백엔드 가상 머신 서버에 대해 미러링된 패킷을 분석하는 것을 특징으로 하는 컴퓨터로 구현되는 노드를 제공한다.1. A node implemented by a computer to perform a packet analysis method, comprising: a memory for storing computer readable instructions; And at least one processor configured to execute instructions stored in the memory, wherein the at least one processor is configured to create a monitoring virtual machine that includes functionality for DPI (Deep Packet Inspection) Mirroring packets sent to and received by the at least one back-end virtual machine server through at least one virtual switch corresponding to the at least one back-end virtual machine server, and using the functionality for the DPI, And analyzing the mirrored packet for the node.

VPC(Virtual Private Cloud) 환경에서 하이퍼바이저(hypervisor)를 통해 고객들이 구성하는 백엔드 가상 머신 서버(Backend Virtual Machine Server)에 대한 로드 밸런싱을 터널링을 이용하여 처리할 수 있다.In a Virtual Private Cloud (VPC) environment, tunneling can be used to handle the load balancing of backend virtual machine servers that customers configure through hypervisors.

VPC 환경에서 백엔드 가상 머신 서버에 필요한 루프백(loop back) 인터페이스를 하이퍼바이저의 가상 스위치(virtual switch)를 통해 구현 및 제공함으로써 고객이 직접 루프백 인터페이스를 설정할 필요가 없으면서도 VPC 환경에서도 백엔드 가상 머신 서버의 응답을 로드 밸런서를 거치지 않고 바로 라우터로 전달할 수 있다.In the VPC environment, the loopback interface required for the back-end virtual machine server is implemented and provided through the virtual switch of the hypervisor, so that the customer does not need to set up the loopback interface directly, The response can be forwarded directly to the router without going through a load balancer.

상술한 새로운 로드 밸런서와 가상 스위치를 이용하여 VPC 환경에서의 L4 DSR 로드 밸런싱을 처리함으로써 지연 속도(latency)를 줄일 수 있다.The new load balancer and virtual switch described above can be used to reduce the latency by processing L4 DSR load balancing in a VPC environment.

로드 밸런싱을 위한 상기 가상 스위치를 이용하여 백엔드 가상 머신 서버에서 송수신되는 패킷들을 DPI(Deep Packet Inspection)를 위한 기능이 포함된 모니터링 가상 머신으로 미러링(mirroring)함으로써, 모니터링 가상 머신에서 원하는 백엔드 가상 머신에 대해 송수신되는 모든 패킷들을 수집 및 분석할 수 있다.By using the virtual switch for load balancing to mirror the packets sent and received by the backend virtual machine server to a monitoring virtual machine that includes a function for DPI (Deep Packet Inspection), the monitoring virtual machine can access the desired backend virtual machine All the packets transmitted and received can be collected and analyzed.

도 1은 종래기술에 있어서, L4 로드 밸런서의 동작을 설명하기 위한 도면이다.
도 2는 종래기술에 있어서, NAT 동작을 함께 수행하는 L4 로드 밸런서의 동작을 설명하기 위한 도면이다.
도 3은 종래기술에 있어서, L4 DSR 로드 밸런서의 동작을 설명하기 위한 도면이다.
도 4는 본 발명의 일실시예에 있어서, 가상 네트워크상에서의 L4 로드 밸런싱을 위한 동작의 예를 설명하기 위한 도면이다.
도 5는 본 발명의 일실시예에 있어서, 터널링 동작의 예를 설명하기 위한 도면이다.
도 6은 본 발명의 일실시예에 있어서, 루프백을 이용한 가상 네트워크상에서의 L4 DSR 로드 밸런싱을 위한 동작의 예를 설명하기 위한 도면이다.
도 7은 본 발명의 일실시예에 있어서, TOR 스위치를 이용 한 가상 네트워크상에서의 L4 DSR 로드 밸런싱을 위한 동작의 예를 설명하기 위한 도면이다.
도 8은 본 발명의 일실시예에 있어서, 가상 네트워크 환경을 구성하기 위한 물리적인 노드의 내부 구성을 설명하기 위한 블록도이다.
도 9는 본 발명의 일실시예에 있어서, 가상 네트워크 환경에서 로드 밸런싱 노드를 위한 물리적인 노드의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 블록도이다.
도 10은 본 발명의 일실시예에 따른 로드 밸런싱 노드가 수행할 수 있는 방법의 예를 도시한 흐름도이다.
도 11은 본 발명의 일실시예에 있어서, 가상 네트워크 환경에서 하이퍼바이저 노드를 위한 물리적인 노드의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 블록도이다.
도 12는 본 발명의 일실시예에 따른 하이퍼바이저 노드가 수행할 수 있는 방법의 예를 도시한 흐름도이다.
도 13은 본 발명의 일실시예에 있어서, 가상 네트워크 환경에서 가상 스위치를 포함하는 하이퍼바이저 노드를 위한 물리적인 노드의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 블록도이다.
도 14는 본 발명의 일실시예에 따른 가상 스위치를 포함하는 하이퍼바이저 노드가 수행할 수 있는 방법의 예를 도시한 흐름도이다.
도 15는 본 발명의 일실시예에 있어서, 가상 네트워크 환경에서 TOR 스위치 노드를 구현하기 위한 물리적인 노드의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 블록도이다.
도 16은 본 발명의 일실시예에 따른 TOR 스위치 노드가 수행할 수 있는 방법의 예를 도시한 흐름도이다.
도 17은 본 발명의 일실시예에 있어서, 루프백을 이용한 가상 네트워크상에서의 패킷 모니터링을 위한 동작의 예를 도시한 도면이다.
도 18은 본 발명의 일실시예에 있어서, 가상 네트워크 환경에서 모니터링 가상 머신을 구현하는 물리적인 노드의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 블록도이다.
도 19는 본 발명의 일실시예에 따른 모니터링 가상 머신을 구현하는 노드가 수행할 수 있는 방법의 예를 도시한 흐름도이다.
1 is a diagram for explaining the operation of the L4 load balancer in the prior art.
FIG. 2 is a view for explaining the operation of the L4 load balancer that performs the NAT operation together in the prior art.
3 is a view for explaining the operation of the L4 DSR load balancer in the prior art.
4 is a diagram for explaining an example of an operation for L4 load balancing on a virtual network in an embodiment of the present invention.
5 is a diagram for explaining an example of a tunneling operation in an embodiment of the present invention.
6 is a diagram for explaining an example of an operation for L4 DSR load balancing on a virtual network using loopback in an embodiment of the present invention.
7 is a view for explaining an example of an operation for L4 DSR load balancing on a virtual network using a TOR switch in an embodiment of the present invention.
8 is a block diagram illustrating an internal configuration of a physical node for configuring a virtual network environment in an embodiment of the present invention.
9 is a block diagram illustrating an example of a component that a processor of a physical node for a load balancing node may include in a virtual network environment, in an embodiment of the present invention.
10 is a flowchart illustrating an example of a method that a load balancing node according to an embodiment of the present invention can perform.
11 is a block diagram illustrating an example of components that a processor of a physical node for a hypervisor node may include in a virtual network environment in an embodiment of the present invention.
12 is a flowchart illustrating an example of a method that can be performed by a hypervisor node according to an embodiment of the present invention.
Figure 13 is a block diagram illustrating an example of a component that may be included in a processor of a physical node for a hypervisor node that includes a virtual switch in a virtual network environment in an embodiment of the invention.
14 is a flowchart illustrating an example of a method that a hypervisor node including a virtual switch can perform, according to an embodiment of the present invention.
FIG. 15 is a block diagram illustrating an example of a component that a processor of a physical node for implementing a TOR switch node in a virtual network environment may include in an embodiment of the present invention.
16 is a flowchart illustrating an example of a method that can be performed by a TOR switch node according to an embodiment of the present invention.
17 is a diagram illustrating an example of an operation for packet monitoring on a virtual network using loopback, according to an embodiment of the present invention.
18 is a block diagram illustrating an example of components that a processor of a physical node that implements a monitoring virtual machine in a virtual network environment may include in an embodiment of the present invention.
19 is a flowchart illustrating an example of a method that a node implementing a monitoring virtual machine can perform according to an embodiment of the present invention.

이하, 실시예를 첨부한 도면을 참조하여 상세히 설명한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings.

본 발명의 실시예들은 가상 네트워크 환경(일례로, VPC(Virtual Private Cloud) 환경)에서 로드 밸런싱을 처리하기 위한 로드 밸런싱 방법 및 시스템에 관한 것이다. 이때 가상 네트워크 환경에서는 가상 자원들을 제공하는 실제 노드들간의 실제 네트워크와 가상 자원들간의 가상 네트워크를 모두 고려해야 한다.Embodiments of the present invention are directed to a load balancing method and system for handling load balancing in a virtual network environment (e.g., a Virtual Private Cloud (VPC) environment). In this case, both the physical network between the actual nodes providing the virtual resources and the virtual network between the virtual resources should be considered in the virtual network environment.

도 4는 본 발명의 일실시예에 있어서, 가상 네트워크상에서의 L4 로드 밸런싱을 위한 동작의 예를 설명하기 위한 도면이다. 도 4는 라우터(410), 로드 밸런싱 노드(LB node, 420) 및 하이퍼바이저(Hypervisor, 430 및 440)를 도시하고 있다. 여기서, 로드 밸런싱 노드(420)는 또한 L4 DSR(Direct Server Return) 로드 밸런서(L4 DSR Load Balancer, 421)를 포함하고 있으며, 하이퍼바이저(430, 440)는 백엔드 가상 머신 서버 1(Backend VM(Virtual Machine) Server 1, 431), 백엔드 가상 머신 서버 2(Backend VM(Virtual Machine) Server 2, 432) 및 백엔드 가상 머신 서버 3(Backend VM(Virtual Machine) Server 3, 441)를 포함하고 있다. 도 4에서는 두 개의 하이퍼바이저(430, 440)와 세 개의 백엔드 가상 머신 서버들(431, 432, 441)을 나타내고 있으나, 그 수가 도 4와 같이 한정되는 것은 아니며, 고객들의 요구 및/또는 가상 네트워크 서비스를 위한 환경에 따라 다양한 수로 구성될 수 있음은 당업자에게 있어 자명하다.4 is a diagram for explaining an example of an operation for L4 load balancing on a virtual network in an embodiment of the present invention. FIG. 4 shows a router 410, a load balancing node (LB node) 420, and a hypervisor (Hypervisor 430 and 440). The load balancing node 420 also includes an L4 DSR load balancer 421 and the hypervisors 430 and 440 include a backend VM server 1 A backend virtual machine (VM) server 2 432, and a backend VM 3 (virtual machine) server 3, 4 shows two hypervisors 430 and 440 and three back-end virtual machine servers 431, 432 and 441. However, the number of hypervisors 430 and 440 is not limited to that shown in FIG. 4, It will be apparent to those skilled in the art that various numbers may be configured depending on the environment for the service.

여기서, L4 DSR 로드 밸런서(421)와 백엔드 가상 머신 서버들(431, 432, 441)은 가상 자원들일 수 있으며, 가상 네트워크의 서비스 제공자는 고객들이 원하는 조건에 따라 이러한 가상 자원들을 고객들에게 제공할 수 있다. 이때, L4 DSR 로드 밸런싱을 위해서는 일례로, 백엔드 가상 머신 서버 1(431)가 L4 DSR 로드 밸런서(421)로부터의 전달받은 클라이언트의 요청에 따른 응답을 L4 DSR 로드 밸런서(421)를 거치지 않고 라우터(410)로 바로 전달해야 할 필요가 있다. 이러한 L4 DSR 로드 밸런싱의 처리를 위해서는 앞서 설명한 바와 같이 백엔드 가상 머신 서버 1(431)에 루프백(loop back) 인터페이스와 같은 기능이 설정되어야 한다. 그러나 백엔드 가상 머신 서버 1(431)는 고객이 자신의 필요에 따라 기능을 설정 및 활용하는 가상 머신으로 서비스 제공자가 고객에게 루프백 인터페이스를 설정할 것을 요청 및/또는 강요하기 어렵다. 따라서, 본 발명의 실시예들에서는 하이퍼바이저(430, 440)에 포함되는 가상 스위치(Virtual Switch, VS)가 루프백 인터페이스의 동작을 대신 처리할 수 있도록 구현함으로써 고객들이 루프백 인터페이스를 위한 별도의 설정 없이 L4 DSR 로드 밸런싱을 위한 서비스를 제공받을 수 있도록 처리할 수 있다.Here, the L4 DSR load balancer 421 and the backend virtual machine servers 431, 432, and 441 may be virtual resources, and the service provider of the virtual network may provide these virtual resources to the customers according to the desired conditions have. At this time, in order to perform L4 DSR load balancing, for example, the backend virtual machine server 1 431 transmits a response according to the request of the client received from the L4 DSR load balancer 421 to the router (not shown) via the L4 DSR load balancer 421 410). ≪ / RTI > In order to process the L4 DSR load balancing, a function such as a loop back interface must be set in the back-end virtual machine server 1 431 as described above. However, the backend virtual machine server 1 431 is difficult to request and / or force a service provider to set up a loopback interface for a customer as a virtual machine in which a customer sets and utilizes functions according to his or her needs. Therefore, in the embodiments of the present invention, the virtual switch (VS) included in the hypervisors 430 and 440 can implement the operation of the loopback interface in place of the virtual switch, L4 DSR can be handled to provide services for load balancing.

도 5는 본 발명의 일실시예에 있어서, 가상 스위치를 이용한 터널링 동작의 예를 설명하기 위한 도면이다. 앞서 설명한 바와 같이, 로드 밸런싱 노드(420)가 포함하는 L4 DSR 로드 밸런서(421)와 하이퍼바이저(430)가 포함하는 백엔드 가상 머신 서버 1(431)은 가상 네트워크(510)를 통해 연결될 수 있지만, 로드 밸런싱 노드(420)와 하이퍼바이저(430)는 실제 네트워크상에서 물리적으로 각각 구성되는 별도의 노드들일 수 있다. 따라서 클라이언트로부터의 요청에 따른 패킷은 실제 네트워크를 통해 로드 밸런싱 노드(420)까지 전달되었으나, 로드 밸런싱 노드(420)로부터 하이퍼바이저(430)까지는 가상 네트워크를 통해 전달될 수 있다. 이를 위해, 본 발명의 실시예들에서는 가상화 네트워크 레이어로서 가상 스위치(520, 530)가 사용될 수 있다. 예를 들어, L4 DSR 로드 밸런서(421)는 클라이언트의 요청에 따른 요청 패킷을 처리하기 위한 백엔드 가상 머신 서버 1(431)를 선택할 수 있다. 이때, 백엔드 가상 머신 서버 1(431)로 요청 패킷을 전달하기 위해, 가상 스위치(520)는 요청 패킷에 가상 네트워킹을 위한 정보(일례로, 가상 네트워킹을 위한 헤더 정보)를 오버레이하여 가상 네트워킹을 위한 패킷을 생성할 수 있다. 다시 말해, 요청 패킷은 가상 네트워킹을 위한 패킷에 인캡슐레이션(encapsulation)될 수 있다. 이를 위해, 로드 밸런싱 노드(420)는 이더넷(Ethernet) 등의 네트워크 프로토콜을 위한 레이어 2, IP, IPv6 등의 네트워크 프로토콜을 위한 레이어 3, 그리고 TCP, UDP 등의 네트워크 프로토콜을 위한 레이어 4를 모두 처리하도록 구현될 수 있다. 보다 구체적인 예로, 가상 스위치(520)는 오버레이를 위한 방식으로, VxLAN(Virtual extensible LAN), VLAN(Virtual LAN), GRE(Generic Route Encapsulation), 802.11br 등과 같은 가상 네트워킹 기술(프로토콜)을 적용할 수 있다.5 is a view for explaining an example of a tunneling operation using a virtual switch in an embodiment of the present invention. As described above, the back-end virtual machine server 1 431 included in the L4 DSR load balancer 421 included in the load balancing node 420 and the hypervisor 430 can be connected through the virtual network 510, The load balancing node 420 and the hypervisor 430 may be separate nodes physically configured on an actual network. Accordingly, the packet according to the request from the client is transmitted to the load balancing node 420 through the actual network, but may be transmitted from the load balancing node 420 to the hypervisor 430 through the virtual network. To this end, in embodiments of the present invention, virtual switches 520 and 530 may be used as a virtual network layer. For example, the L4 DSR load balancer 421 may select the backend virtual machine server 1 431 for processing the request packet according to the client's request. At this time, in order to deliver the request packet to the backend virtual machine server 1 431, the virtual switch 520 overlays information (for example, header information for virtual networking) for virtual networking in the request packet, Packets can be generated. In other words, the request packet may be encapsulated in a packet for virtual networking. To this end, the load balancing node 420 processes Layer 3 for network protocols such as Ethernet, Layer 3 for network protocols such as IP and IPv6, and Layer 4 for network protocols such as TCP and UDP . ≪ / RTI > More specifically, the virtual switch 520 can apply virtual networking technologies (protocols) such as Virtual extensible LAN (VxLAN), Virtual LAN (VLAN), Generic Route Encapsulation (GRE) have.

역으로, 하이퍼바이저(430)가 포함하는 가상 스위치(530)는 가상 네트워킹을 위한 패킷에서 요청 패킷을 추출하여 L4 DSR 로드 밸런서(421)에 의해 선택된 백엔드 가상 머신 서버 1(431)로 전달할 수 있다. 이 경우, 실제 네트워크를 통해 전송된 요청 패킷에는 발신자(클라이언트)의 IP 주소가 포함되어 있기 때문에, 따라서 백엔드 가상 머신 서버 1(430)은 클라이언트에 대한 정보를 얻을 수 있게 된다.Conversely, the virtual switch 530 included in the hypervisor 430 may extract the request packet from the packet for virtual networking and forward it to the backend virtual machine server 1 431 selected by the L4 DSR load balancer 421 . In this case, the request packet transmitted through the actual network includes the IP address of the sender (client), so that the backend virtual machine server 1 430 can obtain information about the client.

한편, 가상 스위치(530)는 앞서 설명한 루프백 인터페이스의 동작을 대신 처리하도록 구현될 수 있다. 예를 들어, 앞서 설명한 요청에 따른 백엔드 가상 머신 서버 1(431)의 응답은 가상 스위치(530)를 통해 로드 밸런싱 노드(420)가 아닌 도 4를 통해 설명한 라우터(410)로 직접 전달될 수 있다.On the other hand, the virtual switch 530 may be implemented to process the operation of the loopback interface described above instead. For example, the response of the back-end virtual machine server 1 431 according to the above-described request may be passed directly to the router 410 via the virtual switch 530 rather than the load balancing node 420, .

도 6은 본 발명의 일실시예에 있어서, 루프백을 이용한 가상 네트워크상에서의 L4 DSR 로드 밸런싱을 위한 동작의 예를 설명하기 위한 도면이다. 도 6은 도 4를 통해 설명한 라우터(410), 로드 밸런싱 노드(420), 하이퍼바이저(430, 440), L4 DSR 로드 밸런서(421), 백엔드 가상 머신 서버 1(431), 백엔드 가상 머신 서버 2(432) 및 백엔드 가상 머신 서버 3(441)를 나타내고 있다. 또한, 도 6은 추가적으로 백엔드 가상 머신 서버들(431, 432, 441) 각각을 위한 루프백 모듈들(610, 620, 630)을 더 나타내고 있다. 여기서, 루프백 모듈들(610, 620, 630)은 하이퍼바이저(430, 440)가 백엔드 가상 머신 서버들(431, 432, 441)을 위해 포함하는 가상 스위치들에 각각 구현될 수 있다. 예를 들어 도 5를 통해 설명한 바와 같이, 백엔드 가상 머신 서버 1(431)를 위한 루프백 모듈(610)은 가상 스위치(530)에 구현될 수 있다. 예를 들어, 라우터(410)를 통해 로드 밸런싱 노드(420)로 전달된 요청 패킷은 L4 DSR 로드 밸런서(421)와 로드 밸런싱 노드(420)가 포함하는 가상 스위치를 거쳐 백엔드 가상 머신 서버 1(431)로 전달될 수 있다. 이때, 요청 패킷은 앞서 설명한 바와 같이 터널링을 통해 로드 밸런싱 노드(420)에서 백엔드 가상 머신 서버 1(431)로 전달될 수 있다. 요청 패킷을 수신한 백엔드 가상 머신 서버 1(431)의 응답 패킷은 루프백 모듈(610)을 통해 로드 밸런싱 노드(420)가 포함하는 L4 DSR 로드 밸런서(421)를 거치지 않고 바로 라우터(410)로 전달될 수 있다. 앞서 설명한 바와 같이 백엔드 가상 머신 서버 1(431)는 클라이언트의 IP 주소를 알 수 있기 때문에 루프백 모듈(610)은 클라이언트의 IP 주소를 이용하여 로드 밸런싱 노드(420)를 거치지 않고 라우터(410)로 직접 응답 패킷을 전달할 수 있다. 따라서 응답 패킷이 터널링을 통해 다시 로드 밸런싱 노드(420)를 거치는 과정이 생략될 수 있기 때문에 지연 속도(latency)를 줄일 수 있다.6 is a diagram for explaining an example of an operation for L4 DSR load balancing on a virtual network using loopback in an embodiment of the present invention. FIG. 6 is a block diagram of the router 410, the load balancing node 420, the hypervisor 430, 440, the L4 DSR load balancer 421, the backend virtual machine server 1 431, the backend virtual machine server 2 (432) and the back-end virtual machine server 3 (441). 6 further illustrates loopback modules 610, 620 and 630 for each of the backend virtual machine servers 431, 432 and 441, respectively. Here, the loopback modules 610, 620, and 630 may be implemented in the virtual switches that the hypervisors 430 and 440 include for the back-end virtual machine servers 431, 432, and 441, respectively. 5, the loopback module 610 for the backend virtual machine server 1 431 may be implemented in the virtual switch 530. [ For example, a request packet forwarded to the load balancing node 420 via the router 410 may be transmitted to the back-end virtual machine server 1 431 via the virtual switch included in the L4 DSR load balancer 421 and the load balancing node 420 ). ≪ / RTI > At this time, the request packet may be transmitted to the back-end virtual machine server 1 431 from the load balancing node 420 through tunneling as described above. The response packet of the backend virtual machine server 1 431 that has received the request packet is transmitted to the router 410 through the loopback module 610 without going through the L4 DSR load balancer 421 included in the load balancing node 420 . As described above, since the back-end virtual machine server 1 431 can know the IP address of the client, the loopback module 610 directly accesses the router 410 without using the load balancing node 420 using the IP address of the client It can forward the response packet. Therefore, the latency can be reduced because the process of passing the response packet through the tunneling to the load balancing node 420 can be omitted.

한편, 하이퍼바이저(430, 440)에서 가상 스위치를 설정할 수 없는 경우가 존재한다. 이러한 경우에는 TOR(Top Of Rack) 스위치가 가상 스위치의 역할을 할 수 있으며, 이러한 TOR 스위치에서 루프백 인터페이스를 위한 동작을 수행할 수 있다.On the other hand, there are cases where the virtual switches can not be set in the hypervisors 430 and 440. In this case, the TOR (Top Of Rack) switch can act as a virtual switch, and the TOR switch can perform operations for the loopback interface.

도 7은 본 발명의 일실시예에 있어서, TOR 스위치를 이용 한 가상 네트워크상에서의 L4 DSR 로드 밸런싱을 위한 동작의 예를 설명하기 위한 도면이다. 도 7은 도 4를 통해 설명한 라우터(410), 로드 밸런싱 노드(420), 하이퍼바이저(430, 440), L4 DSR 로드 밸런서(421), 백엔드 가상 머신 서버 1(431), 백엔드 가상 머신 서버 2(432) 및 백엔드 가상 머신 서버 3(441)를 나타내고 있다. 또한, 도 7은 TOR 스위치(TOR Switch, 710)를 더 나타내고 있다. 본 실시예에서는 하이퍼바이저(430, 440)에 가상 스위치를 구성할 수 없는 경우, 가상 네트워크에서 사용되는 TOR 스위치(710)에 백엔드 가상 머신 서버들(431, 432, 441)을 위한 루프백 모듈들(711, 712, 713)을 구성한 예를 나타내고 있다. 도 5를 통해 설명한 바와 같이 로드 밸런싱 노드(420)가 전달하는 클라이언트로부터의 요청 패킷은 터널링을 통해 백엔드 가상 머신 서버들(431, 432, 441)로 전달되어야 한다. 예를 들어, 로드 밸런싱 노드(420)는 L4 DSR 로드 밸런서(421)와 가상 스위치(일례로 도 5의 가상 스위치(520))를 통해 클라이언트로부터의 요청 패킷을 터널링을 통해 TOR 스위치(710)에 구성된 루프백 모듈(711)을 거쳐 백엔드 가상 머신 서버 1(431)로 전달할 수 있다. 또한, 루프백 모듈(711)은 백엔드 가상 머신 서버 1(431)로부터의 응답 패킷을 터널링을 통해 다시 로드 밸런싱 노드(420)로 전달하지 않고 바로 라우터(410)로 전달함으로써 지연 속도(latency)를 줄일 수 있다.7 is a view for explaining an example of an operation for L4 DSR load balancing on a virtual network using a TOR switch in an embodiment of the present invention. FIG. 7 is a block diagram of the router 410, the load balancing node 420, the hypervisor 430, 440, the L4 DSR load balancer 421, the backend virtual machine server 1 431, the backend virtual machine server 2 (432) and the back-end virtual machine server 3 (441). 7 further shows a TOR switch (TOR switch) 710. As shown in FIG. In this embodiment, when the virtual switch can not be configured in the hypervisors 430 and 440, the TOR switch 710 used in the virtual network is provided with the loopback modules (for example, the backbone virtual machines) 431, 432 and 441 711, 712, and 713 are configured. As described with reference to FIG. 5, the request packet from the client, which the load balancing node 420 delivers, must be transmitted to the backend virtual machine servers 431, 432, and 441 through tunneling. For example, the load balancing node 420 may tunnel the request packet from the client via the L4 DSR load balancer 421 and the virtual switch (e.g., virtual switch 520 in FIG. 5) to the TOR switch 710 To the back-end virtual machine server 1 431 via the configured loopback module 711. In addition, the loopback module 711 transmits the response packet from the back-end virtual machine server 1 431 to the router 410 without passing the response packet back to the load balancing node 420 through the tunneling, thereby reducing the latency .

이처럼, 본 발명의 실시예들에서는 가상 네트워크 환경에서의 로드 밸런싱 노드와 백엔드 가상 머신 서버들 사이의 패킷의 전달을 가상 스위치를 이용한 터널링을 통해 처리할 수 있다. 또한, 가상 스위치를 통해 루프백 인터페이스를 위한 처리를 제공함으로써 고객들이 백엔드 가상 머신 서버들 각각에 루프백 인터페이스를 설정하지 않고도 DSR 로드 밸런싱이 가능하도록 하여 지연 속도를 줄일 수 있다. 또한, 발신자의 IP 소스 주소가 백엔드 가상 머신 서버들로 전달되기 때문에 백엔드 가상 머신 서버들에서 클라이언트에 대한 정보를 얻을 수 있게 된다.As described above, in the embodiments of the present invention, the transmission of packets between the load balancing node and the back-end virtual machine servers in the virtual network environment can be handled through tunneling using the virtual switch. By providing processing for the loopback interface through virtual switches, customers can reduce DSR load balancing without setting up a loopback interface on each of the back-end virtual machine servers, reducing latency. In addition, since the IP source address of the sender is forwarded to the backend virtual machine servers, the backend virtual machine servers can obtain information about the client.

도 8은 본 발명의 일실시예에 있어서, 가상 네트워크 환경을 구성하기 위한 물리적인 노드의 내부 구성을 설명하기 위한 블록도이다. 도 8에서는 하나의 노드(810)에 대한 실시예를 설명하나 가상 네트워크 환경을 구성하기 위한 물리적인 노드들은 도 8의 노드(810)와 동일한 또는 유사한 내부 구성을 가질 수 있다.8 is a block diagram illustrating an internal configuration of a physical node for configuring a virtual network environment in an embodiment of the present invention. Although an embodiment of one node 810 is illustrated in FIG. 8, the physical nodes for configuring a virtual network environment may have the same or similar internal configuration as the node 810 of FIG.

노드(810)는 메모리(811), 프로세서(812), 통신 모듈(813) 그리고 입출력 인터페이스(814)를 포함할 수 있다. 메모리(811)는 컴퓨터에서 판독 가능한 기록 매체로서, RAM(random access memory), ROM(read only memory) 및 디스크 드라이브와 같은 비소멸성 대용량 기록장치(permanent mass storage device)를 포함할 수 있다. 여기서 ROM과 비소멸성 대용량 기록장치는 메모리(811)와 분리되어 별도의 영구 저장 장치로서 포함될 수도 있다. 또한, 메모리(811)에는 운영체제와 적어도 하나의 프로그램 코드(일례로 로드 밸런싱 노드(420)에 L4 DSR 로드 밸런서(421) 및 가상 스위치(520)를 구현하기 위한 프로그램이나 소프트웨어 모듈의 코드)가 저장될 수 있다. 이러한 소프트웨어 구성요소들은 메모리(811)와는 별도의 컴퓨터에서 판독 가능한 기록 매체로부터 로딩될 수 있다. 이러한 별도의 컴퓨터에서 판독 가능한 기록 매체는 플로피 드라이브, 디스크, 테이프, DVD/CD-ROM 드라이브, 메모리 카드 등의 컴퓨터에서 판독 가능한 기록 매체를 포함할 수 있다. 다른 실시예에서 소프트웨어 구성요소들은 컴퓨터에서 판독 가능한 기록 매체가 아닌 통신 모듈(813)을 통해 메모리(811)에 로딩될 수도 있다.The node 810 may include a memory 811, a processor 812, a communication module 813, and an input / output interface 814. The memory 811 may be a computer-readable recording medium and may include a permanent mass storage device such as a random access memory (RAM), a read only memory (ROM), and a disk drive. Here, the ROM and the non-decaying large capacity recording device may be included as a separate persistent storage device separate from the memory 811. The memory 811 also stores an operating system and at least one program code (for example, a program or software module code for implementing the L4 DSR load balancer 421 and the virtual switch 520 in the load balancing node 420) . These software components may be loaded from a computer readable recording medium separate from the memory 811. [ Such a computer-readable recording medium may include a computer-readable recording medium such as a floppy drive, a disk, a tape, a DVD / CD-ROM drive, and a memory card. In other embodiments, the software components may be loaded into memory 811 via a communication module 813 rather than a computer readable recording medium.

프로세서(812)는 기본적인 산술, 로직 및 입출력 연산을 수행함으로써, 컴퓨터 프로그램의 명령을 처리하도록 구성될 수 있다. 명령은 메모리(811) 또는 통신 모듈(813)에 의해 프로세서(812)로 제공될 수 있다. 예를 들어 프로세서(812)는 메모리(811)와 같은 기록 장치에 저장된 프로그램 코드에 따라 수신되는 명령을 실행하도록 구성될 수 있다. 보다 구체적인 예로, 노드(810)를 이용하여 VPC(Virtual Private Cloud) 서비스를 제공하는 서비스 제공자는 고객의 로드 밸런싱 서비스 제공 요청에 따라 L4 DSR 로드 밸런서 및 가상 스위치를 구현하기 위한 명령을 통신 모듈(813)을 통해 노드(810)에 입력할 수 있다. 이때, 노드(810)의 프로세서(812)는 입력된 명령과 메모리(811)에 저장된 컴퓨터 프로그램의 명령에 따라 L4 DSR 로드 밸런서 및 가상 스위치를 구현하여 지정된 고객의 백엔드 가상 머신 서버로 로드 밸런싱 서비스를 제공할 수 있다.The processor 812 may be configured to process instructions of a computer program by performing basic arithmetic, logic, and I / O operations. The instruction may be provided to the processor 812 by the memory 811 or the communication module 813. [ For example, processor 812 may be configured to execute instructions received in accordance with program code stored in a recording device, such as memory 811. [ As a more specific example, a service provider providing a virtual private cloud (VPC) service using the node 810 may send a command to implement a L4 DSR load balancer and a virtual switch according to a request of a load balancing service provision by a customer, To the node 810 via the network interface 810. [ At this time, the processor 812 of the node 810 implements the L4 DSR load balancer and the virtual switch according to the instruction of the input program and the computer program stored in the memory 811 to load balance the service to the designated customer's back-end virtual machine server .

통신 모듈(813)은 실제 네트워크를 통해 다른 물리적인 노드들과 서로 통신하기 위한 기능을 제공할 수 있다. 일례로, 노드(810)의 프로세서(812)가 메모리(811)와 같은 기록 장치에 저장된 프로그램 코드에 따라 생성한 패킷(일례로 백엔드 가상 머신 서버로 전달하기 위한 패킷)이 통신 모듈(813)의 제어에 따라 실제 네트워크를 통해 다른 물리적인 노드로 전달될 수 있다. 역으로, 다른 물리적인 노드로부터의 패킷이 통신 모듈(813)을 통해 수신되어 노드(810)의 프로세서(812)나 메모리(811)로 전달될 수 있다.The communication module 813 may provide a function for communicating with other physical nodes through an actual network. In one example, the processor 812 of the node 810 may send a packet (e.g., a packet for delivery to the back-end virtual machine server) generated according to the program code stored in the recording device, such as the memory 811, It can be transferred to another physical node through the actual network according to the control. Conversely, packets from other physical nodes may be received via communication module 813 and delivered to processor 812 or memory 811 of node 810.

입출력 인터페이스(814)는 입출력 장치(815)와의 인터페이스를 위한 수단일 수 있다. 예를 들어, 입력 장치는 키보드 또는 마우스 등의 장치를, 그리고 출력 장치는 디스플레이와 같은 장치를 포함할 수 있다. 또한, 다른 실시예들에서 노드(810)는 도 8의 구성요소들보다 더 많은 구성요소들을 포함할 수도 있다. 그러나, 대부분의 종래기술적 구성요소들을 명확하게 도시할 필요성은 없다. 예를 들어, 노드(810)는 각종 물리적인 버튼이나 터치패널을 이용한 버튼, 또는 입출력 포트 등의 다양한 구성요소들이 노드(810)에 더 포함되도록 구현될 수 있음을 알 수 있다.The input / output interface 814 may be a means for interfacing with the input / output device 815. For example, the input device may include a device such as a keyboard or a mouse, and the output device may include a device such as a display. Also, in other embodiments, the node 810 may include more components than the components of FIG. However, there is no need to clearly illustrate most prior art components. For example, it can be appreciated that the node 810 may be implemented such that various components, such as various physical buttons, buttons using a touch panel, or input / output ports, are further included in the node 810.

이후 설명될 도 9 및 도 10은 로드 밸런스 노드가 로드 밸런싱을 처리하는 실시예를 설명한다.9 and 10, which will be described later, illustrate an embodiment in which a load balancing node handles load balancing.

도 9는 본 발명의 일실시예에 있어서, 가상 네트워크 환경을 구성하기 위한 물리적인 노드의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 블록도이고, 도 10은 본 발명의 일실시예에 따른 노드가 수행할 수 있는 방법의 예를 도시한 흐름도이다.9 is a block diagram illustrating an example of a component that a processor of a physical node for configuring a virtual network environment can include in an embodiment of the present invention. Fig. 2 is a flowchart illustrating an example of a method that a node according to the present invention can perform.

본 실시예에 따른 노드(810)는 앞서 설명한 로드 밸런싱 노드에 대응될 수 있으며, L4 DSR 로드 밸런서 및 가상 스위치를 구성하기 위한 물리적인 장치일 수 있다. 이러한 노드(810)에 포함되는 프로세서(812)는 구성요소들로서 로드 밸런싱 처리 요청 수신부(910), 로드 밸런서 및 가상 스위치 구현부(920), 요청 패킷 수신부(930), 백엔드 가상 머신 서버 선택부(940), 가상 네트워킹 패킷 생성부(950) 및 가상 네트워킹 패킷 전송부(960)를 포함할 수 있다.The node 810 according to the present embodiment may correspond to the load balancing node described above, and may be a physical device for configuring the L4 DSR load balancer and the virtual switch. The processor 812 included in the node 810 includes a load balancing processing request receiving unit 910, a load balancer and virtual switch implementing unit 920, a request packet receiving unit 930, a backend virtual machine server selecting unit 940, a virtual networking packet generation unit 950, and a virtual networking packet transmission unit 960.

이러한 프로세서(812) 및 프로세서(812)의 구성요소들은 도 10의 방법이 포함하는 단계들(1010 내지 1060)을 수행할 수 있다. 이때, 프로세서(812) 및 프로세서(812)의 구성요소들은 메모리(811)가 포함하는 운영체제의 코드 및/또는 적어도 하나의 프로그램의 코드에 따른 명령(instruction)을 실행하도록 구현될 수 있다. 여기서, 프로세서(812)의 구성요소들은 노드(810)에 저장된 프로그램 코드가 제공하는 제어 명령에 따라 프로세서(812)에 의해 수행되는 프로세서(812)의 서로 다른 기능들(different functions)의 표현들일 수 있다. 이때, 프로세서(812)는 노드(810)의 제어와 관련된 명령이 로딩된 메모리(811)로부터 필요한 제어 명령을 읽어드릴 수 있으며, 읽어드린 제어 명령에 따라 이후 설명될 단계들(1010 내지 1060)을 수행하도록 노드(810)를 제어할 수 있다.The components of the processor 812 and the processor 812 may perform the steps 1010 to 1060 included in the method of FIG. At this point, the components of processor 812 and processor 812 may be implemented to execute instructions in accordance with the code of the operating system and / or code of at least one program that memory 811 includes. Here, the components of processor 812 may be representations of different functions of processor 812 performed by processor 812 in accordance with control instructions provided by the program code stored in node 810 have. At this time, the processor 812 can read the necessary control command from the loaded memory 811 with a command related to the control of the node 810, and execute steps 1010 to 1060 to be described later according to the read control command Node 810. < / RTI >

단계(1010)에서 로드 밸런싱 처리 요청 수신부(910)는 가상 네트워크를 위한 서비스의 고객 단말로부터 로드 밸런싱의 처리를 위한 요청을 수신하도록 노드(810)를 제어할 수 있다. 예를 들어, 가상 네트워크를 위한 서비스 제공자는 실제 네트워크를 통해 고객 단말로부터의 다양한 요구에 따라 가상 자원들을 고객에게 제공할 수 있다. 이때, 로드 밸런싱 요청 수신부(910)는 고객의 로드 밸런싱의 처리를 위한 요청을 수신할 수 있다. 실시예에 따라서는 가상 네트워크의 물리적인 장치들을 제어하는 제어 장치가 고객 단말로부터 로드 밸런싱의 처리를 위한 요청을 수신할 수도 있다. 이 경우, 로드 밸런싱 처리 요청 수신부(910)는 제어 장치로부터 고객의 요청을 전달받을 수도 있다.In step 1010, the load balancing process request receiving unit 910 may control the node 810 to receive a request for processing of load balancing from the customer terminal of the service for the virtual network. For example, a service provider for a virtual network can provide virtual resources to a customer according to various requests from a customer terminal through an actual network. At this time, the load balancing request receiving unit 910 may receive a request for handling the load balancing of the customer. According to an embodiment, a control device for controlling physical devices of a virtual network may receive a request for processing of load balancing from a customer terminal. In this case, the load balancing process request receiving unit 910 may receive the request of the customer from the control device.

단계(1020)에서 로드 밸런서 및 가상 스위치 구현부(920)는 수신한 요청에 따라 해당 고객을 위한 로드 밸런서와 가상 스위치를 생성할 수 있다. 이러한 로드 밸런서와 가상 스위치는 가상 모듈의 형태로 생성될 수 있다. VPC와 같은 가상 네트워크에서 가상 자원을 어떻게 생성해야 제공하는가에 대해서는 기존 기술들을 이용하여 당업자가 용이하게 이해할 것이다.In step 1020, the load balancer and virtual switch implementing unit 920 may generate a load balancer and a virtual switch for the customer according to the received request. These load balancers and virtual switches can be created in the form of virtual modules. How a virtual resource is created and provided in a virtual network, such as a VPC, will be readily understood by those skilled in the art using existing techniques.

단계(1030)에서 요청 패킷 수신부(930)는 라우터를 통해 클라이언트로부터 요청 패킷을 수신하도록 노드(810)를 제어할 수 있다. 가상 네트워크를 위한 서비스를 제공하는 서비스 제공자의 관점의 고객은 클라이언트들로 서비스를 제공할 수 있으며, 이를 위해 다수의 백엔드 가상 머신 서버를 구축할 수 있다. 이때, 단계(1010)에서 설명한 로드 밸런싱의 처리를 위한 요청은 고객이 클라이언트들의 요청에 대한 로드 밸런싱의 처리를 의미할 수 있다. 이 경우, 클라이언트로부터의 요청 패킷은 백엔드 가상 머신 서버로 전달되기 이전에 공용 네트워크의 라우터를 거쳐 노드(810)로 전송될 수 있으며, 요청 패킷 수신부(930)는 전송된 요청 패킷을 수신하도록 노드(810)를 제어할 수 있다.In step 1030, the request packet receiver 930 may control the node 810 to receive the request packet from the client via the router. A customer from the perspective of a service provider providing a service for a virtual network can provide services to clients and can build multiple backend virtual machine servers for this purpose. At this time, the request for the processing of the load balancing described in the step 1010 may mean the processing of load balancing by the client for the requests of the clients. In this case, the request packet from the client may be transmitted to the node 810 via the router of the public network before being transmitted to the back-end virtual machine server, and the request packet receiving unit 930 may transmit the request packet to the node 810).

단계(1040)에서 백엔드 가상 머신 서버 선택부(940)는 수신된 요청 패킷을 전송할 백엔드 가상 머신 서버를 로드 밸런서(load balancer)를 통해 선택할 수 있다. 다시 말해, 백엔드 가상 머신 서버 선택부(940)는 로드 밸런서를 통해 요청 패킷이 복수의 백엔드 가상 머신 서버들로 분산 처리되도록 할 수 있다. 이러한 로드 밸런서는 단계(1020)에서 생성된 소프트웨어 모듈일 수 있다.In step 1040, the back-end virtual machine server selection unit 940 may select a back-end virtual machine server through which to transmit the received request packet through a load balancer. In other words, the backend virtual machine server selection unit 940 may allow the request packet to be distributed to the plurality of backend virtual machine servers through the load balancer. This load balancer may be a software module generated in step 1020. [

단계(1050)에서 가상 네트워킹 패킷 생성부(950)는 수신된 요청 패킷을 가상 네트워크를 통해 상기 선택된 백엔드 가상 머신 서버로 전송하기 위한 정보를 로드 밸런싱 노드가 포함하는 가상 스위치를 통해 상기 수신된 요청 패킷에 오버레이(overlay)하여 가상 네트워킹을 위한 패킷을 생성할 수 있다. 요청 패킷은 실제 네트워크를 통해 전송된 패킷으로, 가상 네트워크를 통한 전송을 위해서는 가상 네트워킹 프로토콜을 위한 헤더 등이 요구된다. 가상 네트워킹 패킷 생성부(950)는 이러한 가상 네트워킹 프로토콜을 위한 헤더와 같은 정보를 수신된 요청 패킷에 오버레이함으로써 가상 네트워킹을 위한 패킷을 생성할 수 있다. 예를 들어, 가상 네트워킹 패킷 생성부(950)는 단계(1050)에서 요청 패킷에 VxLAN(Virtual extensible LAN), VLAN(Virtual LAN), GRE(Generic Route Encapsulation) 및 802.11br 중 하나의 가상 네트워킹 프로토콜을 적용하는 터널링(tunneling)을 통해 가상 네트워킹을 위한 패킷을 생성할 수 있다. 이를 위해, 노드(810)는 네트워크 모델의 레이어 2, 3, 4를 처리할 수 있도록 구현될 수 있고, 요청 패킷에 오버레이된 정보는 네트워크 모델의 레이어 2 및 레이어 3을 위한 헤더 정보 및 상기 가상 네트워킹 프로토콜을 위한 헤더 정보를 포함할 수 있다.In step 1050, the virtual networking packet generator 950 transmits information for transmitting the received request packet to the selected backend virtual machine server through the virtual network, through the virtual switch including the load balancing node, To generate a packet for virtual networking. The request packet is a packet transmitted through an actual network, and a header for a virtual networking protocol is required for transmission through a virtual network. The virtual networking packet generator 950 may generate a packet for virtual networking by overlaying information such as a header for the virtual networking protocol with the received request packet. For example, the virtual networking packet generation unit 950 generates a virtual networking protocol of one of VxLAN (Virtual extensible LAN), VLAN (Virtual LAN), GRE (Generic Route Encapsulation), and 802.11 br in the request packet in step 1050 The packet for virtual networking can be generated through the applied tunneling. To this end, the node 810 may be implemented to process layers 2, 3, 4 of the network model, and the information overlaid on the request packet may include header information for layer 2 and layer 3 of the network model, Lt; RTI ID = 0.0 > protocol. ≪ / RTI >

단계(1060)에서 가상 네트워킹 패킷 전송부(960)는 생성된 가상 네트워킹을 위한 패킷을 하이퍼바이저 노드로 전송하도록 노드(810)를 제어할 수 있다. 여기서, 하이퍼바이저 노드는, 상기 선택된 백엔드 가상 머신 서버를 포함할 수 있으며, 전송된 가상 네트워킹을 위한 패킷을 가상 네트워크를 통해 수신하여, 하이퍼바이저 노드가 포함하는 가상 스위치들 중 선택된 백엔드 가상 머신 서버를 위한 가상 스위치를 통해 요청 패킷을 추출하고, 추출된 요청 패킷을 로드 밸런서를 통해 선택된 백엔드 가상 머신 서버로 전달하도록 구현될 수 있다. 또한, 이미 설명한 바와 같이, 하이퍼바이저 노드가 가상 스위치를 구성하지 못하는 경우가 존재한다. 이 경우, 전송된 가상 네트워킹을 위한 패킷은 TOR(Top Of Rack) 스위치로 전달되고, TOR 스위치가 포함하는 가상 스위치들 중 상기 선택된 백엔드 가상 머신 서버를 위한 가상 스위치를 통해 요청 패킷으로 재변환되어 하이퍼바이저 노드로 전달될 수 있다. 이때 하이퍼바이저 노드는 재변환된 요청 패킷을 선택된 백엔드 가상 머신 서버로 전달하도록 구현될 수 있다.In step 1060, the virtual networking packet transmitter 960 may control the node 810 to send a packet for the generated virtual networking to the hypervisor node. Here, the hypervisor node may include the selected back-end virtual machine server, and receives a packet for the transmitted virtual networking through the virtual network, and transmits the selected back-end virtual machine server among the virtual switches included in the hypervisor node To extract the request packet via the virtual switch for transferring the extracted request packet to the selected backend virtual machine server via the load balancer. Further, as described above, there is a case where the hypervisor node can not configure the virtual switch. In this case, the packet for the virtual networking is transferred to the top of rack (TOR) switch, and is re-converted into the request packet through the virtual switch for the selected back-end virtual machine server among the virtual switches included in the TOR switch, 0.0 > node < / RTI > At this time, the hypervisor node can be implemented to deliver the reconverted request packet to the selected backend virtual machine server.

실시예에 따라 로드 밸런서는 L4 DSR(Direct Server Return) 로드 밸런서를 포함할 수 있다. 이를 위해, 선택된 백엔드 가상 머신 서버는 전달된 요청 패킷에 대한 응답 패킷을 상기 선택된 백엔드 가상 머신 서버를 위한 가상 스위치를 통해 L4 DSR 로드 밸런서를 거치지 않고 라우터로 직접 전송하도록 구현될 수 있다.According to an embodiment, the load balancer may include an L4 Direct Server Return (DSR) load balancer. To this end, the selected back-end virtual machine server can be implemented to send a response packet for the forwarded request packet directly to the router via the virtual switch for the selected back-end virtual machine server, without going through the L4 DSR load balancer.

이미 설명한 바와 같이, 요청 패킷은 클라이언트의 IP 주소를 포함하고 있기 때문에 요청 패킷이 인캡슐레이션되어 있는 가상 네트워킹을 위한 패킷을 통해 클라이언트의 IP 주소가 상기 선택된 백엔드 가상 머신 서버로 전달될 수 있다.As described above, since the request packet includes the IP address of the client, the IP address of the client can be transferred to the selected backend virtual machine server through a packet for virtual networking in which the request packet is encapsulated.

이후 설명될 도 11 및 도 12는 노드(810)에서 전송된 가상 네트워킹을 위한 패킷을 수신하는 하이퍼바이저 노드가 로드 밸런싱을 처리하는 실시예를 설명한다.11 and 12, which will be described later, illustrate an embodiment in which a hypervisor node receiving a packet for virtual networking transmitted at node 810 handles load balancing.

도 11은 본 발명의 일실시예에 있어서, 가상 네트워크 환경을 구성하기 위한 물리적인 노드의 프로세서가 포함할 수 있는 구성요소의 다른 예를 도시한 블록도이고, 도 12는 본 발명의 일실시예에 따른 노드가 수행할 수 있는 방법의 다른 예를 도시한 흐름도이다.11 is a block diagram illustrating another example of a component that a processor of a physical node for configuring a virtual network environment can include in an embodiment of the present invention, Is a flowchart illustrating another example of a method that a node according to the present invention can perform.

본 실시예에 따른 노드(810)는 앞서 설명한 하이퍼바이저 노드에 대응될 수 있으며, 적어도 하나의 백엔드 가상 머신 서버와 백엔드 가상 머신 서버 각각에 대응하는 가상 스위치를 구성하기 위한 물리적인 장치일 수 있다. 이러한 노드(810)에 포함되는 프로세서(812)는 구성요소들로서 서버 및 가상 스위치 구현부(1110), 패킷 수신부(1120), 요청 패킷 추출부(1130), 요청 패킷 전달부(1140), 요청 처리부(1150) 및 응답 패킷 전달부(1160)를 포함할 수 있다.The node 810 according to this embodiment may correspond to the hypervisor node described above and may be a physical device for configuring a virtual switch corresponding to at least one back-end virtual machine server and a back-end virtual machine server, respectively. The processor 812 included in the node 810 includes a server and a virtual switch implementing unit 1110, a packet receiving unit 1120, a request packet extracting unit 1130, a request packet transmitting unit 1140, (1150) and a response packet transferring unit (1160).

이러한 프로세서(812) 및 프로세서(812)의 구성요소들은 도 12의 방법이 포함하는 단계들(1210 내지 1260)을 수행할 수 있다. 이때, 프로세서(812) 및 프로세서(812)의 구성요소들은 메모리(811)가 포함하는 운영체제의 코드 및/또는 적어도 하나의 프로그램의 코드에 따른 명령(instruction)을 실행하도록 구현될 수 있다. 여기서, 프로세서(812)의 구성요소들은 노드(810)에 저장된 프로그램 코드가 제공하는 제어 명령에 따라 프로세서(812)에 의해 수행되는 프로세서(812)의 서로 다른 기능들(different functions)의 표현들일 수 있다. 이때, 프로세서(812)는 노드(810)의 제어와 관련된 명령이 로딩된 메모리(811)로부터 필요한 제어 명령을 읽어드릴 수 있으며, 읽어드린 제어 명령에 따라 이후 설명될 단계들(1210 내지 1260)을 수행하도록 노드(810)를 제어할 수 있다.The components of the processor 812 and the processor 812 may perform the steps 1210 through 1260 included in the method of FIG. At this point, the components of processor 812 and processor 812 may be implemented to execute instructions in accordance with the code of the operating system and / or code of at least one program that memory 811 includes. Here, the components of processor 812 may be representations of different functions of processor 812 performed by processor 812 in accordance with control instructions provided by the program code stored in node 810 have. At this time, the processor 812 can read the necessary control command from the loaded memory 811 with a command related to the control of the node 810, and executes the steps 1210 to 1260 to be described later according to the read control command Node 810. < / RTI >

단계(1210)에서 서버 및 가상 스위치 구현부(1110)는 고객의 요청에 따라 적어도 하나의 백엔드 가상 머신 서버와 백엔드 가상 머신 서버에 대응하는 가상 스위치를 생성할 수 있다. 백엔드 가상 머신 서버와 가상 스위치는 각각 소프트웨어 모듈로서 생성될 수 있다.In step 1210, the server and virtual switch implementing unit 1110 may generate a virtual switch corresponding to at least one back-end virtual machine server and a back-end virtual machine server according to a request of the customer. The back-end virtual machine server and the virtual switch can be created as software modules, respectively.

단계(1220)에서 패킷 수신부(1120)는 로드 밸런서를 포함하는 로드 밸런싱 노드로부터 실제 네트워크를 통해 가상 네트워킹을 위한 패킷을 수신하도록 노드(810)를 제어할 수 있다. 여기서, 이미 설명한 바와 같이 가상 네트워킹을 위한 패킷은, 로드 밸런싱 노드가 라우터를 통해 전달받은 클라이언트로부터의 요청 패킷에, 요청 패킷을 가상 네트워크를 통해 전송하기 위해 요구되는 정보를 로드 밸런싱 노드가 포함하는 가상 스위치를 통해 오버레이하여 생성될 수 있다.In step 1220, the packet receiver 1120 may control the node 810 to receive packets for virtual networking from the load balancing node including the load balancer over the real network. Here, as described above, the packet for virtual networking includes information required for the load balancing node to transmit the request packet through the virtual network to the request packet from the client received through the router, Can be generated by overlaying through a switch.

단계(1230)에서 요청 패킷 추출부(1130)는 하이퍼바이저 노드가 포함하는 가상 스위치 중 로드 밸런서에 의해 선택된 백엔드 가상 머신 서버를 위한 가상 스위치를 통해 가상 네트워킹을 위한 패킷에서 요청 패킷을 추출할 수 있다. 가상 네트워킹을 위한 패킷은 요청 패킷을 인캡슐레이션하고 있기 때문에 요청 패킷 추출부(1130)는 가상 네트워킹을 위한 패킷에서 가상 네트워킹을 위해 오버레이된 정보를 제거하여 요청 패킷을 얻을 수 있다.In step 1230, the request packet extracting unit 1130 may extract the request packet in the packet for virtual networking through the virtual switch for the back-end virtual machine server selected by the load balancer among the virtual switches included in the hypervisor node . Since the packet for virtual networking encapsulates the request packet, the request packet extracting unit 1130 can obtain the request packet by removing the overlay information for virtual networking in the packet for virtual networking.

단계(1240)에서 요청 패킷 전달부(1140)는 추출된 요청 패킷을 상기 선택된 백엔드 가상 머신 서버로 전달할 수 있다. 이미 설명한 바와 같이 백엔드 가상 머신 서버는 소프트웨어 모듈의 형태를 갖기 때문에 실질적인 데이터 전송은 발생하지 않을 수 있다.In step 1240, the request packet forwarding unit 1140 may forward the extracted request packet to the selected backend virtual machine server. As described above, since the back-end virtual machine server has a form of a software module, actual data transmission may not occur.

단계(1250)에서 요청 처리부(1150)는 클라이언트로부터의 요청 패킷에 따른 요청을 처리하고, 요청 패킷에 대한 응답 패킷을 생성할 수 있다. 예를 들어, 요청 처리부(1150)는 소프트웨어 모듈의 형태를 갖는 상기 선택된 백엔드 가상 머신 서버의 제어에 따라 요청 패킷을 처리할 수 있으며, 응답 패킷을 생성할 수 있다.In step 1250, the request processing unit 1150 may process the request according to the request packet from the client and generate a response packet for the request packet. For example, the request processing unit 1150 can process a request packet according to the control of the selected back-end virtual machine server having the form of a software module, and can generate a response packet.

단계(1260)에서 응답 패킷 전달부(1160)는 상기 선택된 백엔드 가상 머신 서버의 제어에 따라 전달된 요청 패킷에 대한 응답 패킷을 상기 선택된 백엔드 가상 머신 서버를 위한 가상 스위치를 통해 L4 DSR 로드 밸런서를 거치지 않고 라우터로 직접 전송하도록 노드(810)를 제어할 수 있다. 이처럼 응답 패킷이 L4 DSR 로드 밸런서를 거치지 않기 때문에 지연 속도에서 이득을 얻을 수 있다.In step 1260, the response packet forwarding unit 1160 transmits a response packet for the forwarded request packet according to the control of the selected backend virtual machine server through the L4 DSR load balancer through the virtual switch for the selected backend virtual machine server The node 810 can be controlled to send directly to the router. This way, the response packet can benefit from the delay rate because it does not go through the L4 DSR load balancer.

실시예에 따라 하이퍼바이저 노드가 가상 스위치를 구성하지 못하는 경우가 존재한다. 이 경우에는 하이퍼바이저 노드는 이미 설명한 바와 같이, TOR(Top Of Rack) 스위치에 구성된 가상 스위치를 이용하여 가상 네트워킹을 위한 패킷으로부터 응답 패킷을 얻을 수 있다. 이를 위해, 하이퍼바이저 노드는 단계(1210)에서 백엔드 가상 머신 서버만을 생성할 수 있으며, 단계(1220)에서 TOR 스위치로부터 요청 패킷을 얻을 수 있다. 단계(1230)은 생략될 수 있으며, 단계(1240) 및 단계(1250)을 거친 후, 단계(1260)에서 응답 패킷을 TOR 스위치에 구성된 가상 스위치를 이용하여 L4 DSR 로드 밸런서를 거치지 않고 라우터로 직접 전송하도록 노드(810)를 제어할 수 있다.There is a case where the hypervisor node can not configure the virtual switch according to the embodiment. In this case, the hypervisor node can obtain a response packet from the packet for virtual networking using the virtual switch configured on the TOR (Top Of Rack) switch as described above. To do this, the hypervisor node may create only the back-end virtual machine server in step 1210 and obtain the request packet from the TOR switch in step 1220. [ Step 1230 may be omitted and after step 1240 and step 1250 a response packet is sent directly to the router via the L4 DSR load balancer using the virtual switch configured in the TOR switch in step 1260. [ Lt; RTI ID = 0.0 > 810 < / RTI >

도 13은 본 발명의 일실시예에 있어서, 가상 네트워크 환경에서 가상 스위치를 포함하는 하이퍼바이저 노드를 위한 물리적인 노드의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 블록도이고, 도 14는 본 발명의 일실시예에 따른 가상 스위치를 포함하는 하이퍼바이저 노드가 수행할 수 있는 방법의 예를 도시한 흐름도이다.13 is a block diagram illustrating an example of a component that a physical node processor for a hypervisor node including a virtual switch may include in a virtual network environment in an embodiment of the present invention, FIG. 6 is a flowchart illustrating an example of a method that a hypervisor node including a virtual switch can perform according to an embodiment of the present invention. FIG.

본 실시예에 따른 노드(810)는 앞서 설명한 하이퍼바이저 노드에 대응될 수 있으며, 적어도 하나의 백엔드 가상 머신 서버와 백엔드 가상 머신 서버 각각에 대응하는 가상 스위치를 구성하기 위한 물리적인 장치일 수 있다. 이러한 노드(810)에 포함되는 프로세서(812)는 구성요소들로서 서버 및 가상 스위치 구현부(1310), 패킷 수신부(1320), 응답 패킷 생성부(1330) 및 응답 패킷 전송부(1340)를 포함할 수 있다.The node 810 according to this embodiment may correspond to the hypervisor node described above and may be a physical device for configuring a virtual switch corresponding to at least one back-end virtual machine server and a back-end virtual machine server, respectively. The processor 812 included in the node 810 includes a server and a virtual switch implementing unit 1310, a packet receiving unit 1320, a response packet generating unit 1330 and a response packet transmitting unit 1340 .

이러한 프로세서(812) 및 프로세서(812)의 구성요소들은 도 14의 방법이 포함하는 단계들(1410 내지 1440)을 수행할 수 있다. 이때, 프로세서(812) 및 프로세서(812)의 구성요소들은 메모리(811)가 포함하는 운영체제의 코드 및/또는 적어도 하나의 프로그램의 코드에 따른 명령(instruction)을 실행하도록 구현될 수 있다. 여기서, 프로세서(812)의 구성요소들은 노드(810)에 저장된 프로그램 코드가 제공하는 제어 명령에 따라 프로세서(812)에 의해 수행되는 프로세서(812)의 서로 다른 기능들(different functions)의 표현들일 수 있다. 이때, 프로세서(812)는 노드(810)의 제어와 관련된 명령이 로딩된 메모리(811)로부터 필요한 제어 명령을 읽어드릴 수 있으며, 읽어드린 제어 명령에 따라 이후 설명될 단계들(1410 내지 1440)을 수행하도록 노드(810)를 제어할 수 있다.The components of such processor 812 and processor 812 may perform steps 1410-1440, which includes the method of FIG. At this point, the components of processor 812 and processor 812 may be implemented to execute instructions in accordance with the code of the operating system and / or code of at least one program that memory 811 includes. Here, the components of processor 812 may be representations of different functions of processor 812 performed by processor 812 in accordance with control instructions provided by the program code stored in node 810 have. At this time, the processor 812 can read the necessary control commands from the loaded memory 811 with instructions related to the control of the node 810, and execute the steps 1410 to 1440 to be described later according to the read control command Node 810. < / RTI >

단계(1410)에서 서버 및 가상 스위치 구현부(1310)는 적어도 하나의 백엔드 가상 머신 서버 및 상기 적어도 하나의 백엔드 가상 머신 서버에 대응하고 DSR(Direct Server Return) 처리 기능을 포함하는 가상 스위치를 생성할 수 있다. 예를 들어, 서버 및 가상 스위치 구현부(1310)는 고객의 요청에 따라 하이퍼바이저 노드는 고객이 원하는 가상 자원의 형태로 백엔드 가상 머신 서버를 생성하여 제공할 수 있으며, 고객은 생성된 백엔드 가상 머신 서버를 통해 클라이언트로 서비스를 제공할 수 있다. 또한, 서버 및 가상 스위치 구현부(1310)는 생성된 백엔드 가상 머신 서버 각각에 대응하는 가상 스위치를 생성할 수 있다. 이때, 가상 스위치는 DSR 처리 기능을 포함할 수 있다. 이러한 DSR 처리 기능은 이후 설명되는 바와 같이 클라이언트로부터의 요청 패킷에 포함된 IP 주소를 이용하여 요청 패킷에 대한 응답 패킷을 실제 네트워크상의 라우터로 직접 전송하기 위한 기능을 포함할 수 있다.In step 1410, the server and virtual switch implementing unit 1310 generates a virtual switch corresponding to at least one back-end virtual machine server and the at least one back-end virtual machine server and including a direct server return (DSR) processing function . For example, the server and virtual switch implementation unit 1310 may generate and provide a back-end virtual machine server in the form of a virtual resource desired by the customer according to a request of the customer, The service can be provided to the client through the server. In addition, the server and virtual switch implementation unit 1310 may generate a virtual switch corresponding to each of the generated back-end virtual machine servers. At this time, the virtual switch may include a DSR processing function. The DSR processing function may include a function for directly transmitting a response packet for a request packet to a router on an actual network using an IP address included in a request packet from a client, as described later.

단계(1420)에서 패킷 수신부(1320)는 L4 DSR 로드 밸런서를 포함하는 로드 밸런싱 노드로부터 로드 밸런싱 노드가 라우터를 통해 수신한 클라이언트로부터의 요청 패킷을 가상 네트워크를 통해 전달받을 수 있다. 앞서 설명된 바와 같이 요청 패킷은 VxLAN(Virtual extensible LAN), VLAN(Virtual LAN), GRE(Generic Route Encapsulation) 및 802.11br 중 하나의 가상 네트워킹 프로토콜을 적용한 터널링(tunneling)에 따라 가상 네트워크를 통해 요청 패킷을 전송하기 위한 정보가 상기 요청 패킷에 오버레이되어 전달될 수 있다. 여기서 요청 패킷에 오버레이된 정보는 네트워크 모델의 레이어 2 및 레이어 3을 위한 헤더 정보 및 상기 가상 네트워킹 프로토콜을 위한 헤더 정보를 포함할 수 있다.In step 1420, the packet receiving unit 1320 may receive a request packet from the load balancing node, which includes the L4 DSR load balancer, from the client via the router, through the virtual network. As described above, the request packet is transmitted through the virtual network according to tunneling using a virtual networking protocol of one of Virtual Extensible LAN (VxLAN), Virtual LAN (VLAN), Generic Route Encapsulation (GRE) May be overlaid on the request packet. Wherein the information overlaid on the request packet may include header information for layer 2 and layer 3 of the network model and header information for the virtual networking protocol.

단계(1430)에서 응답 패킷 생성부(1330)는 요청 패킷을 생성된 적어도 하나의 백엔드 가상 머신 서버 중 L4 DSR 로드 밸런서에 의해 선택된 백엔드 가상 머신 서버를 통해 처리하여 응답 패킷을 생성할 수 있다. 예를 들어, 응답 패킷 생성부(1330)는 상기 생성된 가상 스위치를 통해 상기 정보가 오버레이된 요청 패킷에서 요청 패킷을 추출하여 상기 선택된 백엔드 가상 머신 서버로 전달할 수 있다. 또한, 응답 패킷 생성부(1330)는 상기 선택된 백엔드 가상 머신 서버를 통해 요청 패킷을 처리하여 응답 패킷을 생성할 수 있다.In step 1430, the response packet generator 1330 may process the request packet through at least one generated back-end virtual machine server through the back-end virtual machine server selected by the L4 DSR load balancer to generate a response packet. For example, the response packet generation unit 1330 may extract a request packet in a request packet in which the information is overlaid through the generated virtual switch, and forward the extracted request packet to the selected back-end virtual machine server. The response packet generator 1330 may process the request packet through the selected back-end virtual machine server to generate a response packet.

단계(1440)에서 응답 패킷 전송부(1340)는 생성된 가상 스위치가 포함하는 DSR 처리 기능에 따라 생성된 응답 패킷을 요청 패킷이 포함하는 클라이언트의 IP 주소에 기반하여 실제 네트워크상의 라우터로 전송할 수 있다. 예를 들어, 응답 패킷 전송부(1340)는 생성된 응답 패킷을, 가상 네트워크를 통해 L4 DSR 로드 밸런서를 거치지 않고, DSR 처리 기능을 통해 실제 네트워크상의 라우터로 직접 전송할 수 있다. 다시 말해, 요청 패킷은 로드 밸런싱 노드로부터 가상 네트워크를 통해 전달되었으나, 요청 패킷에 대한 응답 패킷은 실제 네트워크를 통해 라우터로 전송될 수 있다.In step 1440, the response packet transmitter 1340 may transmit the response packet generated according to the DSR processing function included in the generated virtual switch to the router on the actual network based on the IP address of the client including the request packet . For example, the response packet transmitting unit 1340 can directly transmit the generated response packet to the router on the real network through the DSR processing function without going through the L4 DSR load balancer through the virtual network. In other words, the request packet is forwarded from the load balancing node through the virtual network, but the response packet to the request packet can be sent to the router through the actual network.

도 15는 본 발명의 일실시예에 있어서, 가상 네트워크 환경에서 TOR 스위치 노드를 구현하기 위한 물리적인 노드의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 블록도이고, 도 16은 본 발명의 일실시예에 따른 TOR 스위치 노드가 수행할 수 있는 방법의 예를 도시한 흐름도이다.15 is a block diagram illustrating an example of a component that a processor of a physical node for implementing a TOR switch node may include in a virtual network environment in an embodiment of the present invention, FIG. 6 is a flow chart illustrating an example of a method that a TOR switch node according to an embodiment may perform; FIG.

본 실시예에 따른 노드(810)는 앞서 설명한 TOR 스위치에 대응될 수 있는 물리적인 장치일 수 있다. 이러한 노드(810)에 포함되는 프로세서(812)는 구성요소들로서 가상 스위치 구현부(1510), 패킷 수신부(1520), 요청 패킷 전송부(1530), 응답 패킷 수신부(1540) 및 응답 패킷 전송부(1550)를 포함할 수 있다.The node 810 according to this embodiment may be a physical device that may correspond to the TOR switch described above. The processor 812 included in the node 810 includes a virtual switch implementing unit 1510, a packet receiving unit 1520, a request packet transmitting unit 1530, a response packet receiving unit 1540, 1550).

이러한 프로세서(812) 및 프로세서(812)의 구성요소들은 도 16의 방법이 포함하는 단계들(1610 내지 1650)을 수행할 수 있다. 이때, 프로세서(812) 및 프로세서(812)의 구성요소들은 메모리(811)가 포함하는 운영체제의 코드 및/또는 적어도 하나의 프로그램의 코드에 따른 명령(instruction)을 실행하도록 구현될 수 있다. 여기서, 프로세서(812)의 구성요소들은 노드(810)에 저장된 프로그램 코드가 제공하는 제어 명령에 따라 프로세서(812)에 의해 수행되는 프로세서(812)의 서로 다른 기능들(different functions)의 표현들일 수 있다. 이때, 프로세서(812)는 노드(810)의 제어와 관련된 명령이 로딩된 메모리(811)로부터 필요한 제어 명령을 읽어드릴 수 있으며, 읽어드린 제어 명령에 따라 이후 설명될 단계들(1610 내지 1660)을 수행하도록 노드(810)를 제어할 수 있다.The components of the processor 812 and the processor 812 may perform the steps 1610 to 1650 included in the method of FIG. At this point, the components of processor 812 and processor 812 may be implemented to execute instructions in accordance with the code of the operating system and / or code of at least one program that memory 811 includes. Here, the components of processor 812 may be representations of different functions of processor 812 performed by processor 812 in accordance with control instructions provided by the program code stored in node 810 have. At this time, the processor 812 can read the necessary control command from the loaded memory 811 with the command related to the control of the node 810, and executes the steps 1610 to 1660 to be described later according to the read control command Node 810. < / RTI >

단계(1610)에서 가상 스위치 구현부(1510)는 복수의 백엔드 가상 머신 서버 각각에 대응하고, DSR(Direct Server Return) 처리 기능을 포함하는 가상 스위치를 생성할 수 있다. 이때, 복수의 백엔드 가상 머신 서버는 적어도 하나의 하이퍼바이저 노드에 구성될 수 있다. 가상 스위치 구현부(1510)는 상술한 적어도 하나의 하이퍼바이저 노드에 구성된 복수의 백엔드 가상 머신 서버를 확인하고, 확인된 백엔드 가상 머신 서버 각각을 위한 가상 스위치를 생성할 수 있다.In step 1610, the virtual switch implementing unit 1510 may generate a virtual switch corresponding to each of the plurality of back-end virtual machine servers and including a direct server return (DSR) processing function. At this time, a plurality of back-end virtual machine servers can be configured in at least one hypervisor node. Virtual switch implementor 1510 can identify a plurality of back-end virtual machine servers configured in the at least one hypervisor node described above and create a virtual switch for each identified back-end virtual machine server.

단계(1620)에서 패킷 수신부(1520)는 L4 DSR 로드 밸런서를 포함하는 로드 밸런싱 노드로부터 상기 로드 밸런싱 노드가 라우터를 통해 수신한 클라이언트로부터의 요청 패킷을 가상 네트워크를 통해 전달받도록 노드(810)를 제어할 수 있다. 앞서 설명된 바와 같이 요청 패킷은 VxLAN(Virtual extensible LAN), VLAN(Virtual LAN), GRE(Generic Route Encapsulation) 및 802.11br 중 하나의 가상 네트워킹 프로토콜을 적용한 터널링(tunneling)에 따라 가상 네트워크를 통해 요청 패킷을 전송하기 위한 정보가 상기 요청 패킷에 오버레이되어 전달될 수 있다. 여기서 요청 패킷에 오버레이된 정보는 네트워크 모델의 레이어 2 및 레이어 3을 위한 헤더 정보 및 상기 가상 네트워킹 프로토콜을 위한 헤더 정보를 포함할 수 있다.In step 1620, the packet receiving unit 1520 controls the node 810 to receive a request packet from a client received from the load balancing node including the L4 DSR load balancer through the virtual network, can do. As described above, the request packet is transmitted through the virtual network according to tunneling using a virtual networking protocol of one of Virtual Extensible LAN (VxLAN), Virtual LAN (VLAN), Generic Route Encapsulation (GRE) May be overlaid on the request packet. Wherein the information overlaid on the request packet may include header information for layer 2 and layer 3 of the network model and header information for the virtual networking protocol.

단계(1630)에서 요청 패킷 전송부(1530)는 요청 패킷을 L4 DSR 로드 밸런서에 의해 선택된 백엔드 가상 머신 서버를 포함하는 하이퍼바이저 노드로 전송하도록 노드(810)를 제어할 수 있다. 예를 들어, 요청 패킷 전송부(1530)는 생성된 가상 스위치를 통해 상기 정보가 오버레이된 요청 패킷에서 상기 요청 패킷을 추출하여 상기 선택된 백엔드 가상 머신 서버로 전달함으로써 요청 패킷을 하이퍼바이저 노드로 전송할 수 있다.In step 1630, the request packet sender 1530 may control the node 810 to send the request packet to the hypervisor node including the backend virtual machine server selected by the L4 DSR load balancer. For example, the request packet transmitting unit 1530 may extract the request packet from the overlaid request packet through the generated virtual switch and transmit the request packet to the selected back-end virtual machine server to send the request packet to the hypervisor node have.

단계(1640)에서 응답 패킷 수신부(1540)는 선택된 백엔드 가상 머신 서버를 포함하는 하이퍼바이저 노드로부터 요청 패킷에 대한 응답 패킷을 수신하도록 노드(810)를 제어할 수 있다. 여기서 요청 패킷은 상기 선택된 백엔드 가상 머신 서버에 의해 처리될 수 있고, 상기 선택된 백엔드 가상 머신 서버를 통해 상기 응답 패킷이 생성될 수 있다.In step 1640, the response packet receiver 1540 may control the node 810 to receive a response packet for the request packet from the hypervisor node including the selected back-end virtual machine server. Wherein the request packet may be processed by the selected backend virtual machine server and the response packet may be generated via the selected backend virtual machine server.

단계(1650)에서 응답 패킷 전송부(1550)는 생성된 가상 스위치가 포함하는 DSR 처리 기능에 따라 수신된 응답 패킷을 요청 패킷이 포함하는 클라이언트의 IP 주소에 기반하여 실제 네트워크상의 라우터로 전송하도록 노드(810)를 제어할 수 있다. 예를 들어, 응답 패킷 전송부(1550)는 생성된 응답 패킷을, 가상 네트워크를 통해 L4 DSR 로드 밸런서를 거치지 않고, DSR 처리 기능을 통해 실제 네트워크상의 라우터로 직접 전송할 수 있다. 다시 말해, 요청 패킷은 로드 밸런싱 노드로부터 가상 네트워크를 통해 전달되었으나, 요청 패킷에 대한 응답 패킷은 실제 네트워크를 통해 라우터로 전송될 수 있다.In step 1650, the response packet transmitting unit 1550 transmits the response packet received according to the DSR processing function included in the generated virtual switch to the router on the actual network based on the IP address of the client including the request packet, Lt; RTI ID = 0.0 > 810 < / RTI > For example, the response packet transmitting unit 1550 can directly transmit the generated response packet to the router on the real network through the DSR processing function without going through the L4 DSR load balancer through the virtual network. In other words, the request packet is forwarded from the load balancing node through the virtual network, but the response packet to the request packet can be sent to the router through the actual network.

도 17은 본 발명의 일실시예에 있어서, 루프백을 이용한 가상 네트워크상에서의 패킷 모니터링을 위한 동작의 예를 도시한 도면이다. 도 17은 도 6을 통해 설명한 라우터(410), 로드 밸런싱 노드(420), 하이퍼바이저(430, 440), L4 DSR 로드 밸런서(421), 백엔드 가상 머신 서버 1(431), 백엔드 가상 머신 서버 2(432), 백엔드 가상 머신 서버 3(441), 그리고 백엔드 가상 머신 서버들(431, 432, 441) 각각을 위한 루프백 모듈들(610, 620, 630)을 더 나타내고 있다. 또한, 도 17은 모니터링 가상 머신(Monitoring VM, 1710)을 더 나타내고 있다.17 is a diagram illustrating an example of an operation for packet monitoring on a virtual network using loopback, according to an embodiment of the present invention. FIG. 17 is a block diagram of the router 410, the load balancing node 420, the hypervisor 430, 440, the L4 DSR load balancer 421, the backend virtual machine server 1 431, the backend virtual machine server 2 620 and 630 for the backend virtual machine server 432, the backend virtual machine server 3 441 and the backend virtual machine servers 431, 432 and 441, respectively. Further, FIG. 17 further illustrates a monitoring VM (Monitoring VM) 1710.

이때, 루프백 모듈들(610, 620, 630)은 이미 설명한 바와 같이 백엔드 가상 머신 서버들(431, 432, 441) 각각에 대해 송수신되는 패킷들을 모두 처리한다. 본 실시예에서 루프백 모듈들(610, 620, 630)은 이러한 송수신되는 패킷들을 모두 복사하여 모니터링 가상 머신(1710)으로 전달할 수 있다. 실시예에 따라서는 특정 백엔드 가상 머신 서버에 대해 송수신되는 패킷들만을 복사하여 모니터링 가상 머신(1710)으로 전달할 수도 있다.At this time, the loopback modules 610, 620, and 630 process all the packets transmitted and received to the back-end virtual machine servers 431, 432, and 441 as described above. In this embodiment, the loopback modules 610, 620, and 630 may copy all of the transmitted and received packets to the monitoring virtual machine 1710. In some embodiments, only packets sent to and received from a particular backend virtual machine server may be copied and delivered to the monitoring virtual machine 1710.

이 경우, 모니터링 가상 머신(1710)은 DPI(Deep Packet Inspection)를 위한 기능을 포함할 수 있다. DPI는 패킷의 출발지와 목적지 정보뿐만 아니라 패킷의 내용까지 검사하는 기술로, 애플리케이션 레벨(레이어 7)의 데이터를 기반으로 패킷을 식별, 분류하여 특정 데이터를 분석하는 기술이며, 이를 통해 웜, 해킹 등의 공격 여부를 식별, 분석할 수 있다. 다시 말해, 본 실시예에서는 L4 DSR 로드 밸런싱을 위해 이용되는 가상 스위치를 이용하여 필요한 백엔드 가상 머신 서버에 대해 송수신되는 모든 패킷들을 모니터링 가상 머신(1710)으로 미러링(mirroring)함으로써, 모니터링 가상 머신(1710)이 DPI를 위한 기능을 이용하여 패킷들을 분석할 수 있다. 도 17에서는 모니터링 가상 머신(1710)이 하이퍼바이저(430)에 포함된 예를 설명하고 있으나, 모니터링 가상 머신(1710)는 원하는 백엔드 가상 머신 서버에 대응하는 가상 스위치로부터 패킷들을 제공받을 수 있는 어디 위치에서도 구현될 수 있다. 예를 들어, 모니터링 가상 머신(1710)은 별도의 하이퍼바이저 노드에 구현될 수도 있다.In this case, the monitoring virtual machine 1710 may include a function for DPI (Deep Packet Inspection). DPI is a technology for inspecting not only the source and destination information of a packet but also the contents of a packet. It is a technology for identifying and classifying packets based on application level (layer 7) data and analyzing specific data. And the like. In other words, in this embodiment, by mirroring all packets to and from the required back-end virtual machine server to the monitoring virtual machine 1710 using the virtual switch used for L4 DSR load balancing, the monitoring virtual machine 1710 ) Can analyze the packets using the function for DPI. 17 illustrates an example in which the monitoring virtual machine 1710 is included in the hypervisor 430. However, the monitoring virtual machine 1710 may be located at any position where packets can be received from the virtual switch corresponding to the desired back- Lt; / RTI > For example, the monitoring virtual machine 1710 may be implemented in a separate hypervisor node.

도 18은 본 발명의 일실시예에 있어서, 가상 네트워크 환경에서 모니터링 가상 머신을 구현하는 물리적인 노드의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 블록도이고, 도 19는 본 발명의 일실시예에 따른 모니터링 가상 머신을 구현하는 노드가 수행할 수 있는 방법의 예를 도시한 흐름도이다.Figure 18 is a block diagram illustrating an example of a component that a processor of a physical node that implements a monitoring virtual machine in a virtual network environment may include in an embodiment of the present invention, 1 is a flow chart illustrating an example of a method that a node implementing a monitoring virtual machine according to an embodiment may perform;

본 실시예에 따른 노드(810)는 앞서 설명한 모니터링 가상 머신을 구현하기 위한 노드에 대응되는 물리적인 장치일 수 있다. 이러한 노드(810)에 포함되는 프로세서(812)는 구성요소들로서 모니터링 가상 머신 생성부(1810), 미러링부(1820) 및 패킷 분석부(1830)를 포함할 수 있다.The node 810 according to the present embodiment may be a physical device corresponding to the node for implementing the monitoring virtual machine described above. The processor 812 included in the node 810 may include a monitoring virtual machine generator 1810, a mirroring unit 1820, and a packet analyzer 1830 as components.

이러한 프로세서(812) 및 프로세서(812)의 구성요소들은 도 12의 방법이 포함하는 단계들(1910 내지 1930)을 수행할 수 있다. 이때, 프로세서(812) 및 프로세서(812)의 구성요소들은 메모리(811)가 포함하는 운영체제의 코드 및/또는 적어도 하나의 프로그램의 코드에 따른 명령(instruction)을 실행하도록 구현될 수 있다. 여기서, 프로세서(812)의 구성요소들은 노드(810)에 저장된 프로그램 코드가 제공하는 제어 명령에 따라 프로세서(812)에 의해 수행되는 프로세서(812)의 서로 다른 기능들(different functions)의 표현들일 수 있다. 이때, 프로세서(812)는 노드(810)의 제어와 관련된 명령이 로딩된 메모리(811)로부터 필요한 제어 명령을 읽어드릴 수 있으며, 읽어드린 제어 명령에 따라 이후 설명될 단계들(1910 내지 1930)을 수행하도록 노드(810)를 제어할 수 있다.The components of the processor 812 and the processor 812 may perform the steps 1910 to 1930 included in the method of FIG. At this point, the components of processor 812 and processor 812 may be implemented to execute instructions in accordance with the code of the operating system and / or code of at least one program that memory 811 includes. Here, the components of processor 812 may be representations of different functions of processor 812 performed by processor 812 in accordance with control instructions provided by the program code stored in node 810 have. At this time, the processor 812 can read the necessary control command from the loaded memory 811 with a command related to the control of the node 810, and executes steps 1910 to 1930 to be described later according to the read control command Node 810. < / RTI >

단계(1910)에서 모니터링 가상 머신 생성부(1810)는 DPI(Deep Packet Inspection)를 위한 기능이 포함된 모니터링 가상 머신을 생성할 수 있다. DPI는 패킷의 출발지와 목적지 정보뿐만 아니라 패킷의 내용까지 검사하는 기술로 이미 잘 알려져 있으며, 이러한 잘 알려진 기술을 가상 머신에 적용하는 것은 당업자에게 있어 용이하게 이해될 수 있다.In step 1910, the monitoring virtual machine generation unit 1810 may generate a monitoring virtual machine including a function for DPI (Deep Packet Inspection). DPI is already well known as a technique for inspecting not only the source and destination information of a packet but also the contents of a packet, and it is easily understandable to those skilled in the art to apply such well-known techniques to a virtual machine.

단계(1920)에서 미러링부(1820)는 적어도 하나의 백엔드 가상 머신 서버에 대해 송수신되는 패킷을 적어도 하나의 백엔드 가상 머신 서버에 대응하는 가상 스위치를 통해 미러링(mirroring)할 수 있다. 여기서, 가상 스위치는 로드 밸런싱을 위한 로드 밸런싱 노드로부터 가상 네트워크를 통해 전송되는 가상 패킷에서 실제 패킷을 분리하여 대응하는 백엔드 가상 머신 서버로 전달하고, 백엔드 가상 머신 서버로부터의 실제 패킷에 대한 응답 패킷을 실제 네트워크상의 라우터로 전송할 수 있다. 보다 자세하게 가상 스위치는 응답 패킷을, 가상 네트워크를 통해 로드 밸런싱 노드가 포함하는 L4 DSR(Direct Server Return) 로드 밸런서를 거치지 않고, 가상 스위치에 설정된 루프백(loop back) 인터페이스에 따라 실제 네트워크상의 라우터로 직접 전송할 수 있다.In step 1920, the mirroring unit 1820 may mirror packets sent to and / or received from at least one back-end virtual machine server through a virtual switch corresponding to the at least one back-end virtual machine server. Here, the virtual switch separates the actual packet from the virtual packet transmitted through the virtual network from the load balancing node for load balancing, forwards the response packet to the corresponding back-end virtual machine server, and transmits the response packet for the actual packet from the back- It can be transmitted to a router on the actual network. More specifically, the virtual switch sends the response packet directly to the router on the physical network according to the loop back interface established on the virtual switch, without going through the L4 DSR load balancer that the load balancing node includes via the virtual network Lt; / RTI >

단계(1930)에서 패킷 분석부(1830)는 DPI를 위한 기능을 이용하여 적어도 하나의 백엔드 가상 머신 서버에 대해 미러링된 패킷을 분석할 수 있다. 본 실시예는 가상 네트워크 환경에서 백엔드 가상 머신 서버로 송수신되는 패킷들을 어떻게 쉽게 얻을 수 있는가에 대한 것이다. 이미 설명한 바와 같이 백엔드 가상 머신 서버는 고객에 의해 구성되는 것으로 패킷의 미러링 기능을 추가하도록 요구 및/또는 강제하기 어렵다. 또한, DSR 방식에서 로드 밸런싱 노드는 백엔드 가상 머신 서버로 전송될 패킷만을 다루며, 라우터는 실제 네트워크(공용 네트워크)상의 장치이기 때문에 가상 네트워크를 위한 서비스 제공자가 임의로 기능을 변경할 수 없다. 본 실시예에서는 서비스 제공자 측에서 직접 관리할 수 있는 가상 스위치를 이용하여 백엔드 가상 머신 서버에 대해 송수신되는 패킷들을 모니터링 가상 서버로 미러링함으로써, 가상 네트워크 환경에서 원하는 백엔드 가상 머신 서버에 대해 송수신되는 패킷들을 쉽게 획득할 수 있다. 획득된 패킷들을 DPI를 이용하여 분석하는 것은 기존에 잘 알려진 기술들을 통해 처리될 수 있음을 당업자라면 쉽게 이해할 수 있다.In step 1930, the packet analyzer 1830 may analyze the mirrored packet for at least one back-end virtual machine server using the function for DPI. The present embodiment relates to how to easily obtain packets transmitted to and receiving from a backend virtual machine server in a virtual network environment. As described above, the back-end virtual machine server is configured by the customer, and it is difficult to require and / or force the addition of the packet's mirroring function. Also, in the DSR scheme, the load balancing node only handles packets to be sent to the backend virtual machine server, and since the router is a device on the real network (public network), the service provider for the virtual network can not arbitrarily change the function. In this embodiment, the packets transmitted and received to and from the backend virtual machine server are mirrored to the monitoring virtual server by using virtual switches that can be directly managed by the service provider, It can be obtained easily. Those skilled in the art will readily understand that analyzing the obtained packets using DPI can be handled through well known techniques.

가상 네트워크를 통한 패킷의 전달을 위한 오버레이, 터널링 등이나 L4 DSR 로드 밸런싱을 위한 루프백 인터페이스가 설정된 가상 스위치, 그리고 TOR 스위치를 이용한 가상 스위치에 대해서는 이미 자세히 설명하였기에 반복적인 설명은 생략한다.A virtual switch with an overlay for tunneling a packet over a virtual network, tunneling or the like, or a virtual switch with a loopback interface set for L4 DSR load balancing, and a virtual switch using a TOR switch have already been described in detail.

이처럼 본 발명의 실시예들에 따르면, VPC(Virtual Private Cloud) 환경에서 하이퍼바이저(hypervisor)를 통해 고객들이 구성하는 백엔드 가상 머신 서버(Backend Virtual Machine Server)에 대한 로드 밸런싱을 터널링을 이용하여 처리할 수 있다. 또한, VPC 환경에서 백엔드 가상 머신 서버에 필요한 루프백(loop back) 인터페이스를 하이퍼바이저의 가상 스위치(virtual switch)를 통해 구현 및 제공함으로써 고객이 직접 루프백 인터페이스를 설정할 필요가 없으면서도 VPC 환경에서도 백엔드 가상 머신 서버의 응답을 로드 밸런서를 거치지 않고 바로 라우터로 전달할 수 있다. 또한, 상술한 새로운 로드 밸런서와 가상 스위치를 이용하여 VPC 환경에서의 L4 DSR 로드 밸런싱을 처리함으로써 지연 속도(latency)를 줄일 수 있다. 또한, 로드 밸런싱을 위한 상기 가상 스위치를 이용하여 백엔드 가상 머신 서버에서 송수신되는 패킷들을 DPI(Deep Packet Inspection)를 위한 기능이 포함된 모니터링 가상 머신으로 미러링(mirroring)함으로써, 모니터링 가상 머신에서 원하는 백엔드 가상 머신에 대해 송수신되는 모든 패킷들을 수집 및 분석할 수 있다.As described above, according to the embodiments of the present invention, the load balancing for the backend virtual machine server configured by the customers through the hypervisor in the VPC (Virtual Private Cloud) environment is performed using the tunneling . Also, by implementing and providing the loopback interface required for the back-end virtual machine server through the virtual switch of the hypervisor in the VPC environment, it is possible to provide a back-end virtual machine The server's response can be forwarded directly to the router without going through a load balancer. In addition, the latency can be reduced by processing the L4 DSR load balancing in the VPC environment using the new load balancer and the virtual switch described above. Further, by mirroring the packets transmitted and received by the backend virtual machine server to the monitoring virtual machine including the function for DPI (Deep Packet Inspection) using the virtual switch for load balancing, the desired backend virtual All packets sent to and received from the machine can be collected and analyzed.

이상에서 설명된 시스템 또는 장치는 하드웨어 구성요소, 소프트웨어 구성요소 또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The system or apparatus described above may be implemented as a hardware component, a software component or a combination of hardware components and software components. For example, the apparatus and components described in the embodiments may be implemented within a computer system, such as, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate array (FPGA) , A programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For ease of understanding, the processing apparatus may be described as being used singly, but those skilled in the art will recognize that the processing apparatus may have a plurality of processing elements and / As shown in FIG. For example, the processing unit may comprise a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as a parallel processor.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instructions, or a combination of one or more of the foregoing, and may be configured to configure the processing device to operate as desired or to process it collectively or collectively Device can be commanded. The software and / or data may be in the form of any type of machine, component, physical device, virtual equipment, computer storage media, or device , Or may be embodyed temporarily. The software may be distributed over a networked computer system and stored or executed in a distributed manner. The software and data may be stored on one or more computer readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions to be recorded on the medium may be those specially designed and configured for the embodiments or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI > or equivalents, even if it is replaced or replaced.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

Claims (15)

가상 네트워크상에서 노드가 패킷을 분석하는 방법에 있어서,
DPI(Deep Packet Inspection)를 위한 기능이 포함된 모니터링 가상 머신을 생성하는 단계;
적어도 하나의 백엔드 가상 머신 서버에 대해 송수신되는 패킷을 상기 적어도 하나의 백엔드 가상 머신 서버에 대응하는 적어도 하나의 가상 스위치를 통해 미러링(mirroring)하는 단계; 및
상기 DPI를 위한 기능을 이용하여 상기 적어도 하나의 백엔드 가상 머신 서버에 대해 미러링된 패킷을 분석하는 단계
를 포함하고,
상기 가상 스위치는 로드 밸런싱을 위한 로드 밸런싱 노드로부터 가상 네트워크를 통해 전송되는 가상 패킷에서 실제 패킷을 분리하여 대응하는 백엔드 가상 머신 서버로 전달하고, 상기 백엔드 가상 머신 서버로부터의 상기 실제 패킷에 대한 응답 패킷을 실제 네트워크상의 라우터로 전송하되, 응답 패킷을, 상기 가상 네트워크를 통해 상기 로드 밸런싱 노드가 포함하는 L4 DSR(Direct Server Return) 로드 밸런서를 거치지 않고, 상기 가상 스위치에 설정된 루프백(loop back) 인터페이스에 따라 실제 네트워크상의 상기 라우터로 직접 전송하는 것을 특징으로 하는 패킷 분석 방법.
A method for a node to analyze packets on a virtual network,
Creating a monitoring virtual machine including a function for DPI (Deep Packet Inspection);
Mirroring packets received and transmitted to at least one back-end virtual machine server through at least one virtual switch corresponding to the at least one back-end virtual machine server; And
Analyzing the mirrored packet for the at least one back-end virtual machine server using the function for the DPI
Lt; / RTI >
The virtual switch separates an actual packet from a virtual packet transmitted through a virtual network from a load balancing node for load balancing and transmits the separated packet to a corresponding backend virtual machine server, To the router on the real network, and transmits a response packet to the loopback interface set in the virtual switch without going through the L4 DSR load balancer included in the load balancing node via the virtual network And directly transmits the packet to the router on the actual network.
삭제delete 삭제delete 가상 네트워크상에서 노드가 패킷을 분석하는 방법에 있어서,
DPI(Deep Packet Inspection)를 위한 기능이 포함된 모니터링 가상 머신을 생성하는 단계;
적어도 하나의 백엔드 가상 머신 서버에 대해 송수신되는 패킷을 상기 적어도 하나의 백엔드 가상 머신 서버에 대응하는 적어도 하나의 가상 스위치를 통해 미러링(mirroring)하는 단계; 및
상기 DPI를 위한 기능을 이용하여 상기 적어도 하나의 백엔드 가상 머신 서버에 대해 미러링된 패킷을 분석하는 단계
를 포함하고,
상기 적어도 하나의 백엔드 가상 머신 서버와 상기 대응하는 가상 스위치는 동일한 하이퍼바이저 노드에 포함되고,
상기 하이퍼바이저 노드는,
L4 DSR 로드 밸런서를 포함하는 로드 밸런싱 노드로부터 상기 로드 밸런싱 노드가 라우터를 통해 수신한 클라이언트로부터의 요청 패킷을 가상 네트워크를 통해 전달받고,
상기 요청 패킷을 상기 생성된 적어도 하나의 백엔드 가상 머신 서버 중 상기 L4 DSR 로드 밸런서에 의해 선택된 백엔드 가상 머신 서버를 통해 처리하여 응답 패킷을 생성하고,
상기 가상 스위치에 설정된 루프백 인터페이스에 따라 상기 생성된 응답 패킷을 상기 요청 패킷이 포함하는 상기 클라이언트의 IP 주소에 기반하여 실제 네트워크상의 상기 라우터로 전송하도록 구현되는 것을 특징으로 하는 패킷 분석 방법.
A method for a node to analyze packets on a virtual network,
Creating a monitoring virtual machine including a function for DPI (Deep Packet Inspection);
Mirroring packets received and transmitted to at least one back-end virtual machine server through at least one virtual switch corresponding to the at least one back-end virtual machine server; And
Analyzing the mirrored packet for the at least one back-end virtual machine server using the function for the DPI
Lt; / RTI >
Wherein the at least one back-end virtual machine server and the corresponding virtual switch are included in the same hypervisor node,
The hypervisor node comprising:
Balancing node from the load balancing node including the L4 DSR load balancer receives the request packet from the client received through the router through the virtual network,
Processing the request packet through a backend virtual machine server selected by the L4 DSR load balancer among the generated at least one back-end virtual machine server to generate a response packet,
And transmits the generated response packet to the router on the real network based on the IP address of the client included in the request packet according to the loopback interface set in the virtual switch.
제4항에 있어서,
상기 요청 패킷은, VxLAN(Virtual extensible LAN), VLAN(Virtual LAN), GRE(Generic Route Encapsulation) 및 802.11br 중 하나의 가상 네트워킹 프로토콜을 적용한 터널링(tunneling)에 따라 상기 가상 네트워크를 통해 상기 요청 패킷을 전송하기 위한 정보가 상기 요청 패킷에 오버레이되어 상기 하이퍼바이저 노드로 전달되는 것을 특징으로 하는 패킷 분석 방법.
5. The method of claim 4,
The request packet is transmitted through the virtual network according to tunneling using one of a virtual extensible LAN (VxLAN), a virtual LAN (VLAN), a GRE (Generic Route Encapsulation) Wherein information for transmission is overlaid on the request packet and delivered to the hypervisor node.
제5항에 있어서,
상기 하이퍼바이저 노드는, 상기 요청 패킷을 상기 선택된 백엔드 가상 머신 서버를 통해 처리하여 응답 패킷을 생성하기 위해,
상기 가상 스위치를 통해 상기 정보가 오버레이된 요청 패킷에서 상기 요청 패킷을 추출하여 상기 선택된 백엔드 가상 머신 서버로 전달하도록 구현되는 것을 특징으로 하는 패킷 분석 방법.
6. The method of claim 5,
Wherein the hypervisor node is further configured to process the request packet through the selected backend virtual machine server to generate a response packet,
And extracts the request packet from the request packet in which the information is overlaid via the virtual switch, and delivers the extracted request packet to the selected backend virtual machine server.
가상 네트워크상에서 노드가 패킷을 분석하는 방법에 있어서,
DPI(Deep Packet Inspection)를 위한 기능이 포함된 모니터링 가상 머신을 생성하는 단계;
적어도 하나의 백엔드 가상 머신 서버에 대해 송수신되는 패킷을 상기 적어도 하나의 백엔드 가상 머신 서버에 대응하는 적어도 하나의 가상 스위치를 통해 미러링(mirroring)하는 단계; 및
상기 DPI를 위한 기능을 이용하여 상기 적어도 하나의 백엔드 가상 머신 서버에 대해 미러링된 패킷을 분석하는 단계
를 포함하고,
상기 적어도 하나의 백엔드 가상 머신 서버는 하이퍼바이저 노드에 포함되고,
상기 가상 스위치는 TOR(Top Of Rack) 스위치 노드에 포함되며,
상기 TOR 스위치 노드는,
L4 DSR 로드 밸런서를 포함하는 로드 밸런싱 노드로부터 상기 로드 밸런싱 노드가 라우터를 통해 수신한 클라이언트로부터의 요청 패킷을 가상 네트워크를 통해 전달받고,
상기 요청 패킷을 상기 L4 DSR 로드 밸런서에 의해 선택된 백엔드 가상 머신 서버를 포함하는 상기 하이퍼바이저 노드로 전송하고,
상기 선택된 백엔드 가상 머신 서버를 포함하는 상기 하이퍼바이저 노드로부터 상기 요청 패킷에 대한 응답 패킷을 수신하고,
상기 생성된 가상 스위치에 설정된 루프백 인터페이스에 따라 상기 수신된 응답 패킷을 상기 요청 패킷이 포함하는 상기 클라이언트의 IP 주소에 기반하여 실제 네트워크상의 상기 라우터로 전송하도록 구현되는 것
을 특징으로 하는 패킷 분석 방법.
A method for a node to analyze packets on a virtual network,
Creating a monitoring virtual machine including a function for DPI (Deep Packet Inspection);
Mirroring packets received and transmitted to at least one back-end virtual machine server through at least one virtual switch corresponding to the at least one back-end virtual machine server; And
Analyzing the mirrored packet for the at least one back-end virtual machine server using the function for the DPI
Lt; / RTI >
Wherein the at least one back-end virtual machine server is included in a hypervisor node,
The virtual switch is included in a top of rack (TOR) switch node,
The TOR switch node comprises:
Balancing node from the load balancing node including the L4 DSR load balancer receives the request packet from the client received through the router through the virtual network,
Sending the request packet to the hypervisor node comprising the backend virtual machine server selected by the L4 DSR load balancer,
Receiving a response packet for the request packet from the hypervisor node including the selected back-end virtual machine server,
And to transmit the received response packet to the router on the actual network based on the IP address of the client included in the request packet according to the loopback interface set in the created virtual switch
The method comprising the steps of:
제4항 또는 제7항에 있어서,
상기 노드는 상기 하이퍼바이저 노드인 것을 특징으로 하는 패킷 분석 방법.
8. The method according to claim 4 or 7,
Wherein the node is the hypervisor node.
제1항 또는 제4항 내지 제7항 중 어느 한 항의 방법을 컴퓨터에 실행시키기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.A computer-readable recording medium having recorded thereon a program for causing a computer to execute the method according to any one of claims 1 to 7. 컴퓨터로 구현되는 노드와 결합되어 패킷 분석 방법을 실행시키기 위해 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램에 있어서,
상기 패킷 분석 방법은,
DPI(Deep Packet Inspection)를 위한 기능이 포함된 모니터링 가상 머신을 생성하는 단계;
적어도 하나의 백엔드 가상 머신 서버에 대해 송수신되는 패킷을 상기 적어도 하나의 백엔드 가상 머신 서버에 대응하는 적어도 하나의 가상 스위치를 통해 미러링(mirroring)하는 단계; 및
상기 DPI를 위한 기능을 이용하여 상기 적어도 하나의 백엔드 가상 머신 서버에 대해 미러링된 패킷을 분석하는 단계
를 포함하고,
상기 가상 스위치는 로드 밸런싱을 위한 로드 밸런싱 노드로부터 가상 네트워크를 통해 전송되는 가상 패킷에서 실제 패킷을 분리하여 대응하는 백엔드 가상 머신 서버로 전달하고, 상기 백엔드 가상 머신 서버로부터의 상기 실제 패킷에 대한 응답 패킷을 실제 네트워크상의 라우터로 전송하되, 응답 패킷을, 상기 가상 네트워크를 통해 상기 로드 밸런싱 노드가 포함하는 L4 DSR(Direct Server Return) 로드 밸런서를 거치지 않고, 상기 가상 스위치에 설정된 루프백(loop back) 인터페이스에 따라 실제 네트워크상의 상기 라우터로 직접 전송하는 것을 특징으로 하는 컴퓨터 프로그램.
A computer program stored on a computer readable recording medium for executing a packet analysis method in combination with a computer implemented node,
The packet analysis method includes:
Creating a monitoring virtual machine including a function for DPI (Deep Packet Inspection);
Mirroring packets received and transmitted to at least one back-end virtual machine server through at least one virtual switch corresponding to the at least one back-end virtual machine server; And
Analyzing the mirrored packet for the at least one back-end virtual machine server using the function for the DPI
Lt; / RTI >
The virtual switch separates an actual packet from a virtual packet transmitted through a virtual network from a load balancing node for load balancing and transmits the separated packet to a corresponding backend virtual machine server, To the router on the real network, and transmits a response packet to the loopback interface set in the virtual switch without going through the L4 DSR load balancer included in the load balancing node via the virtual network Directly to the router on the actual network.
삭제delete 삭제delete 패킷 분석 방법을 실행하기 위해 컴퓨터로 구현되는 노드에 있어서,
컴퓨터에서 판독 가능한 명령을 저장하는 메모리; 및
상기 메모리에 저장된 명령을 실행하도록 구현되는 적어도 하나의 프로세서
를 포함하고,
상기 적어도 하나의 프로세서는,
DPI(Deep Packet Inspection)를 위한 기능이 포함된 모니터링 가상 머신을 생성하고,
적어도 하나의 백엔드 가상 머신 서버에 대해 송수신되는 패킷을 상기 적어도 하나의 백엔드 가상 머신 서버에 대응하는 적어도 하나의 가상 스위치를 통해 미러링(mirroring)하고, 그리고
상기 DPI를 위한 기능을 이용하여 상기 적어도 하나의 백엔드 가상 머신 서버에 대해 미러링된 패킷을 분석하고,
상기 가상 스위치는 로드 밸런싱을 위한 로드 밸런싱 노드로부터 가상 네트워크를 통해 전송되는 가상 패킷에서 실제 패킷을 분리하여 대응하는 백엔드 가상 머신 서버로 전달하고, 상기 백엔드 가상 머신 서버로부터의 상기 실제 패킷에 대한 응답 패킷을 실제 네트워크상의 라우터로 전송하되, 응답 패킷을, 상기 가상 네트워크를 통해 상기 로드 밸런싱 노드가 포함하는 L4 DSR(Direct Server Return) 로드 밸런서를 거치지 않고, 상기 가상 스위치에 설정된 루프백(loop back) 인터페이스에 따라 실제 네트워크상의 상기 라우터로 직접 전송하는 것
을 특징으로 하는 컴퓨터로 구현되는 노드.
A computer-implemented node for performing a packet analysis method,
A memory for storing instructions readable by a computer; And
At least one processor implemented to execute instructions stored in the memory,
Lt; / RTI >
Wherein the at least one processor comprises:
Create a monitoring virtual machine with features for Deep Packet Inspection (DPI)
Mirroring packets received and transmitted to at least one back-end virtual machine server through at least one virtual switch corresponding to the at least one back-end virtual machine server, and
Analyze the mirrored packet for the at least one back-end virtual machine server using the functionality for the DPI,
The virtual switch separates an actual packet from a virtual packet transmitted through a virtual network from a load balancing node for load balancing and transmits the separated packet to a corresponding backend virtual machine server, To the router on the real network, and transmits a response packet to the loopback interface set in the virtual switch without going through the L4 DSR load balancer included in the load balancing node via the virtual network Direct transmission to the router on the actual network
A computer-implemented node.
삭제delete 삭제delete
KR1020160108376A 2016-08-25 2016-08-25 Method and system for analyzing packet in virtual network invironment KR101936169B1 (en)

Priority Applications (6)

Application Number Priority Date Filing Date Title
KR1020160108376A KR101936169B1 (en) 2016-08-25 2016-08-25 Method and system for analyzing packet in virtual network invironment
JP2017159985A JP6505171B2 (en) 2016-08-25 2017-08-23 Method and system for handling DSR load balancing utilizing a loopback interface in a virtual network environment
JP2017160060A JP6505172B2 (en) 2016-08-25 2017-08-23 Method and system for handling load balancing utilizing virtual switches in a virtual network environment
US15/685,685 US11075981B2 (en) 2016-08-25 2017-08-24 Method and system for processing direct server return load balancing using loopback interface in virtual network environment
US15/685,418 US10601906B2 (en) 2016-08-25 2017-08-24 Method and system for processing load balancing using virtual switch in virtual network environment
US16/791,346 US11330044B2 (en) 2016-08-25 2020-02-14 Method and system for processing load balancing using virtual switch in virtual network environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160108376A KR101936169B1 (en) 2016-08-25 2016-08-25 Method and system for analyzing packet in virtual network invironment

Publications (2)

Publication Number Publication Date
KR20180024064A KR20180024064A (en) 2018-03-08
KR101936169B1 true KR101936169B1 (en) 2019-01-09

Family

ID=61726439

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160108376A KR101936169B1 (en) 2016-08-25 2016-08-25 Method and system for analyzing packet in virtual network invironment

Country Status (1)

Country Link
KR (1) KR101936169B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101504330B1 (en) * 2014-11-10 2015-03-19 주식회사 씨에이에스 System and method for monitoring privacy information
US20160149774A1 (en) * 2014-11-25 2016-05-26 At&T Intellectual Property I, L.P. Deep Packet Inspection Virtual Function

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101504330B1 (en) * 2014-11-10 2015-03-19 주식회사 씨에이에스 System and method for monitoring privacy information
US20160149774A1 (en) * 2014-11-25 2016-05-26 At&T Intellectual Property I, L.P. Deep Packet Inspection Virtual Function

Also Published As

Publication number Publication date
KR20180024064A (en) 2018-03-08

Similar Documents

Publication Publication Date Title
JP6505172B2 (en) Method and system for handling load balancing utilizing virtual switches in a virtual network environment
JP6505171B2 (en) Method and system for handling DSR load balancing utilizing a loopback interface in a virtual network environment
US10944811B2 (en) Hybrid cloud network monitoring system for tenant use
US11695731B2 (en) Distributed identity-based firewalls
US10862732B2 (en) Enhanced network virtualization using metadata in encapsulation header
US11329914B2 (en) User customization and automation of operations on a software-defined network
US10263883B2 (en) Data flow configuration in hybrid system of silicon and micro-electro-mechanical-switch (MEMS) elements
US20180063077A1 (en) Source network address translation detection and dynamic tunnel creation
US9871720B1 (en) Using packet duplication with encapsulation in a packet-switched network to increase reliability
JP6990298B2 (en) RDP proxy support in the presence of an RDP server farm with a session directory or broker
CN104685500A (en) Providing services to virtual overlay network traffic
US10459743B2 (en) Network isolation in virtual desktop infrastructure
KR101567253B1 (en) Apparatus and method for flow control
CN113950814B (en) Multi-point conference session through port multiplexing
US20130054817A1 (en) Disaggregated server load balancing
Spiekermann et al. Network forensic investigation in OpenFlow networks with ForCon
KR101941925B1 (en) Method and system for processing direct server return load balancing using loop back interface in virtual network invironment
KR101936166B1 (en) Method and system for processing load balancing using virtual switch in virtual network invironment
KR101936169B1 (en) Method and system for analyzing packet in virtual network invironment
US9853885B1 (en) Using packet duplication in a packet-switched network to increase reliability
Kukral Migration of Virtual Machines in the Computing Cloud
JP6336786B2 (en) Network system, route analysis device, virtual relay device, route search method, route search program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant