一些實施例提供了一種用于配置主機上的一個或多個服務(wù)節(jié)點的集合以在主機計算機上執(zhí)行上下文豐富的基于屬性的服務(wù)的新穎方法，除了服務(wù)節(jié)點集合之外，該主機機器還執(zhí)行若干數(shù)據(jù)計算節(jié)點(DCN)。該方法使用主機上的上下文過濾節(jié)點來收集與由主機計算機上的服務(wù)節(jié)點集合處理的服務(wù)規(guī)則相關(guān)聯(lián)的第一屬性集合。上下文過濾器還收集與在主機上執(zhí)行的DCN(例如，虛擬機(VM)或容器的)的至少一個數(shù)據(jù)消息流相關(guān)聯(lián)的第二屬性集合。在收集到第一和第二屬性集合之后，主機上的上下文過濾節(jié)點比較第一與第二屬性集合，以生成服務(wù)標(biāo)簽來表示與數(shù)據(jù)消息流相關(guān)聯(lián)的第一屬性集合的子集。該方法將這個服務(wù)標(biāo)簽與數(shù)據(jù)消息流相關(guān)聯(lián)。然后，當(dāng)服務(wù)節(jié)點需要處理其用于數(shù)據(jù)消息流的基于屬性的服務(wù)規(guī)則時，這個服務(wù)標(biāo)簽可以用于識別與數(shù)據(jù)消息流相關(guān)聯(lián)的屬性子集。

背景技術(shù)

歷史上，中間盒服務(wù)一直是在企業(yè)或數(shù)據(jù)中心的網(wǎng)絡(luò)拓撲中的一個或多個點處實現(xiàn)的硬件電器。隨著軟件定義聯(lián)網(wǎng)(SDN)和網(wǎng)絡(luò)虛擬化的出現(xiàn)，傳統(tǒng)硬件電器無法利用SDN和網(wǎng)絡(luò)虛擬化提供的靈活性和控制。因而，近年來，一些人已經(jīng)提出了在主機上提供中間盒服務(wù)的各種方法。但是，這些中間盒解決方案中的大多數(shù)都沒有利用可以為主機上的每個數(shù)據(jù)消息流捕獲的上下文豐富的數(shù)據(jù)。對此的一個原因是現(xiàn)有技術(shù)不提供用于過濾數(shù)千個捕獲的上下文屬性以便高效地處理根據(jù)更小的上下文屬性集定義的服務(wù)規(guī)則的高效分布式方案。

發(fā)明內(nèi)容

一些實施例提供了一種用于配置主機上的一個或多個服務(wù)節(jié)點的集合以在主機計算機上執(zhí)行上下文豐富的基于屬性的服務(wù)的新方法，該主機計算機除了服務(wù)節(jié)點的集合之外還執(zhí)行若干數(shù)據(jù)計算節(jié)點(DCN)。該方法使用主機上的上下文過濾節(jié)點來收集與由主機計算機上的服務(wù)節(jié)點集合處理的服務(wù)規(guī)則相關(guān)聯(lián)的第一屬性集合。上下文過濾器還收集與在主機上執(zhí)行的DCN(例如，虛擬機(VM)或容器的)的至少一個數(shù)據(jù)消息流相關(guān)聯(lián)的第二屬性集合。在一些實施例中，第一和第二屬性集合不是L2-L4報頭參數(shù)。例如，在一些實施例中，這些屬性集合包括L7參數(shù)或組標(biāo)識符(例如，網(wǎng)絡(luò)安全組標(biāo)識符)。而且，在一些實施例中，每個服務(wù)規(guī)則包括用于與數(shù)據(jù)消息標(biāo)識符匹配的規(guī)則標(biāo)識符，并且第一屬性集合是在該服務(wù)節(jié)點集合的服務(wù)規(guī)則的規(guī)則標(biāo)識符中使用的屬性。

在收集第一和第二屬性集合之后，主機上的上下文過濾節(jié)點比較第一和第二屬性集合以生成服務(wù)標(biāo)簽以表示與數(shù)據(jù)消息流相關(guān)聯(lián)的第一屬性集合的子集。該方法將這個服務(wù)標(biāo)簽與數(shù)據(jù)消息流相關(guān)聯(lián)。然后，當(dāng)服務(wù)節(jié)點需要處理其數(shù)據(jù)消息流的基于屬性的服務(wù)規(guī)則時，這個服務(wù)標(biāo)簽可以用于識別與數(shù)據(jù)消息流相關(guān)聯(lián)的屬性子集。

在一些實施例中，上下文過濾器將與數(shù)據(jù)消息流相關(guān)聯(lián)的服務(wù)標(biāo)簽提供給DCN和屬性解析引擎。當(dāng)為這個流發(fā)送數(shù)據(jù)消息時，DCN沿著帶內(nèi)(即，與數(shù)據(jù)消息流一起)或帶外(即，與數(shù)據(jù)消息流分離)轉(zhuǎn)發(fā)數(shù)據(jù)消息的服務(wù)標(biāo)簽，以便服務(wù)節(jié)點可以使用這個服務(wù)標(biāo)簽來處理其基于屬性的服務(wù)規(guī)則。

為了處理其基于屬性的服務(wù)規(guī)則，服務(wù)節(jié)點將數(shù)據(jù)消息流的服務(wù)標(biāo)簽提供給屬性解析引擎。從上下文過濾引擎，屬性解析引擎接收具有由這個標(biāo)簽表示的屬性子集的服務(wù)標(biāo)簽，并將這個信息存儲在將每個服務(wù)標(biāo)簽與其對應(yīng)屬性子集相關(guān)聯(lián)的映射數(shù)據(jù)結(jié)構(gòu)(例如，映射表)中。在一些實施例中，屬性解析引擎是服務(wù)節(jié)點的一部分，而在其它實施例中，它與所有服務(wù)節(jié)點分離。

當(dāng)屬性解析引擎從服務(wù)節(jié)點接收到服務(wù)標(biāo)簽時，這個引擎在其映射數(shù)據(jù)結(jié)構(gòu)中找到這個服務(wù)標(biāo)簽，從映射結(jié)構(gòu)中檢索標(biāo)簽的關(guān)聯(lián)屬性子集，并將該屬性子集返回給服務(wù)節(jié)點。然后，服務(wù)節(jié)點使用返回的屬性子集來識別與這個子集匹配的服務(wù)規(guī)則，然后基于由這個服務(wù)規(guī)則指定的動作參數(shù)執(zhí)行服務(wù)操作。此類服務(wù)操作的示例包括防火墻操作、負載平衡操作、入侵檢測操作、入侵防御操作、加密操作和其它類型的中間盒操作。