一些實(shí)施例提供了新穎的方式來(lái)在公共云環(huán)境中的兩個(gè)機(jī)器(例如，兩個(gè)VM、兩個(gè)容器等)之間的數(shù)據(jù)消息流的路徑中插入服務(wù)(例如，第三方服務(wù))。對(duì)于公共云的特定租戶(hù)，一些實(shí)施例創(chuàng)建具有邏輯覆蓋地址空間的覆蓋邏輯網(wǎng)絡(luò)。為了對(duì)兩個(gè)機(jī)器之間的數(shù)據(jù)消息流執(zhí)行服務(wù)，邏輯覆蓋網(wǎng)絡(luò)將具有在邏輯覆蓋網(wǎng)絡(luò)中定義的其目的地地址(例如，目的地IP地址)的數(shù)據(jù)消息傳遞到公共云的底層網(wǎng)絡(luò)。底層網(wǎng)絡(luò)(例如，底層默認(rèn)下行鏈路網(wǎng)關(guān))被配置為將具有這樣的目的地地址(例如，具有邏輯覆蓋目的地地址)的數(shù)據(jù)消息傳遞到一組一個(gè)或多個(gè)服務(wù)機(jī)器。底層網(wǎng)絡(luò)(例如，底層默認(rèn)上行鏈路網(wǎng)關(guān))還被配置為將從服務(wù)機(jī)器集接收到的并尋址到邏輯覆蓋目的地地址的處理后的數(shù)據(jù)消息傳遞到特定租戶(hù)的公共云網(wǎng)關(guān)。租戶(hù)的公共云網(wǎng)關(guān)被配置為將此類(lèi)數(shù)據(jù)消息轉(zhuǎn)發(fā)到邏輯網(wǎng)絡(luò)的邏輯轉(zhuǎn)發(fā)元件，該邏輯轉(zhuǎn)發(fā)元件然后處理將數(shù)據(jù)消息轉(zhuǎn)發(fā)到正確的目的地機(jī)器。

背景技術(shù)

在當(dāng)今的私有云中，許多供應(yīng)商提供專(zhuān)門(mén)的服務(wù)，諸如深度分組檢查、防火墻等。在私有數(shù)據(jù)中心中，管理員通常在需要服務(wù)的流量路徑中部署此類(lèi)專(zhuān)門(mén)的服務(wù)。隨著公共云的激增，這些供應(yīng)商還提供了可以在公共云環(huán)境中許可和部署的虛擬設(shè)備和服務(wù)虛擬機(jī)(服務(wù) VM)。例如，Palo Alto Networks使其防火墻可用作Amazon Web Services(AWS)市場(chǎng)中的虛擬設(shè)備。

此類(lèi)設(shè)備大多被部署用于進(jìn)入和離開(kāi)數(shù)據(jù)中心中的虛擬公共云(VPC)的流量，因此被部署為面向互聯(lián)網(wǎng)網(wǎng)關(guān)。但是，公共云租戶(hù)還希望通過(guò)第三方供應(yīng)商的服務(wù)設(shè)備在虛擬數(shù)據(jù)中心內(nèi)的端點(diǎn)子集之間路由流量。當(dāng)前，這是不可能的，因?yàn)樵铺峁┥滩辉试S重寫(xiě)VPC 中端點(diǎn)之間的流量的路由。例如，在AWS VPC中，提供者路由表具有用于VPC地址塊的單個(gè)條目，并且該條目無(wú)法被修改。無(wú)法添加與VPC地址塊重疊的更特定的路由。

發(fā)明內(nèi)容

一些實(shí)施例提供了一種用于在公共云環(huán)境中的兩個(gè)機(jī)器(例如，兩個(gè)VM、兩個(gè)容器等)之間的數(shù)據(jù)消息流的路徑中插入服務(wù)(例如，第三方服務(wù))的方法。對(duì)于公共云的特定租戶(hù)，在一些實(shí)施例中，該方法創(chuàng)建具有不同的覆蓋地址空間的覆蓋邏輯網(wǎng)絡(luò)。在公共云的底層網(wǎng)絡(luò)之上定義該覆蓋邏輯網(wǎng)絡(luò)，在一些實(shí)施例中，該底層網(wǎng)絡(luò)是由云提供商提供的VPC網(wǎng)絡(luò)。在一些實(shí)施例中，VPC網(wǎng)絡(luò)也是由云提供商提供的邏輯覆蓋網(wǎng)絡(luò)，而在其它實(shí)施例中，VPC網(wǎng)絡(luò)只是針對(duì)特定租戶(hù)的與提供商的物理網(wǎng)絡(luò)的其余部分分開(kāi)的一部分(例如，具有針對(duì)特定租戶(hù)的分開(kāi)的地址空間的部分)。

為了對(duì)VPC網(wǎng)絡(luò)中的兩個(gè)機(jī)器之間的數(shù)據(jù)消息流執(zhí)行一個(gè)或多個(gè)服務(wù)，該方法配置覆蓋邏輯網(wǎng)絡(luò)的一個(gè)或多個(gè)邏輯轉(zhuǎn)發(fā)元件(例如，邏輯路由器)以將此類(lèi)數(shù)據(jù)消息流轉(zhuǎn)發(fā)到底層網(wǎng)絡(luò)的一個(gè)或多個(gè)轉(zhuǎn)發(fā)元件，使得底層網(wǎng)絡(luò)可以將數(shù)據(jù)消息轉(zhuǎn)發(fā)到對(duì)數(shù)據(jù)消息流執(zhí)行服務(wù)的服務(wù)機(jī)器。例如，在一些實(shí)施例中，該方法配置邏輯覆蓋網(wǎng)絡(luò)的邏輯路由器的邏輯接口(LIF)以將定向到某些目的地IP地址的數(shù)據(jù)消息轉(zhuǎn)發(fā)到由公共云提供商為VPC網(wǎng)絡(luò)指定的底層默認(rèn)下行鏈路網(wǎng)關(guān)。在一些這樣的實(shí)施例中，該方法將底層默認(rèn)下行鏈路網(wǎng)關(guān)定義為用于定向到某些目的地IP地址的數(shù)據(jù)消息的下一跳(其可通過(guò)LIF訪問(wèn))。

該方法還修改底層網(wǎng)絡(luò)的轉(zhuǎn)發(fā)元件(例如，底層默認(rèn)網(wǎng)關(guān))的路由表，以將目的地為一些或全部邏輯覆蓋地址的數(shù)據(jù)消息發(fā)送到對(duì)數(shù)據(jù)消息執(zhí)行一個(gè)或多個(gè)服務(wù)的一個(gè)或多個(gè)服務(wù)機(jī)器。這些機(jī)器可以是獨(dú)立的服務(wù)設(shè)備(例如，第三方服務(wù)設(shè)備，諸如Palo AltoNetwork 的防火墻設(shè)備等)，或者它們可以是在主機(jī)計(jì)算機(jī)上執(zhí)行的服務(wù)機(jī)器 (例如，虛擬機(jī)、容器等)。在一些實(shí)施例中，服務(wù)機(jī)器在公共云之內(nèi)，而在其它實(shí)施例中，服務(wù)機(jī)器可以在公共云的內(nèi)部或外部。

服務(wù)機(jī)器直接或通過(guò)中間網(wǎng)絡(luò)架構(gòu)對(duì)它從底層轉(zhuǎn)發(fā)元件接收到的數(shù)據(jù)消息執(zhí)行一個(gè)或多個(gè)服務(wù)。在對(duì)數(shù)據(jù)消息執(zhí)行其(一個(gè)或多個(gè)) 服務(wù)之后，服務(wù)機(jī)器將消息提供給其上行鏈路接口，該上行鏈路接口處理將數(shù)據(jù)消息轉(zhuǎn)發(fā)到服務(wù)機(jī)器的網(wǎng)絡(luò)外部的網(wǎng)絡(luò)。該方法配置服務(wù)機(jī)器的上行鏈路接口的單獨(dú)的路由表，以對(duì)于公共云中的特定租戶(hù)，將處理后的數(shù)據(jù)消息路由到底層默認(rèn)上行鏈路網(wǎng)關(guān)。