[发明专利]使用主机内核资源的轻量级虚拟机之间的软件定义开关的系统和方法

说明书

本发明提供了一种允许跨容器/轻量级虚拟机进行通信的应用级交叉开关。所述应用级交叉开关或软件交叉开关或软件定义开关为应用层提供统一的通信接口，抽象了连接管理以及消息发送和接收的细节。软件定义开关/应用级交叉开关利用域套接字可以用于连接网络空间而不影响对主机内消息交换的隔离这一点，提高了主机内虚拟机的消息交换性能。

技术领域

本文描述的主题大体上涉及通信数据处理，更具体地，用于改善轻量级虚拟机中的网络能力的性能。

背景技术

在计算机领域，虚拟机(virtual machine，VM)是对特定计算机系统的仿真。虚拟机基于真实或假想计算机的计算机架构和功能进行操作，其实现可能涉及专用硬件、软件或二者的组合。众所周知，运行虚拟机有很多益处。虚拟机更好地利用了硬件，易于备份和交换，并将业务彼此隔离。但是，运行虚拟机也有缺点。虚拟机镜像很笨拙。另外，更重要的是，虚拟机需要相当多的资源，因为它们仿真了硬件和运行了全栈操作系统。

通过使用Linux容器，提供一种轻量级替代品来替代成熟虚拟机，同时能保留成熟虚拟机的优点。容器为操作系统级虚拟环境，用于在单个Linux主机上运行多个独立的Linux系统，有时也称为轻量级虚拟化或轻量级虚拟机。runC、Docker和Warden是轻量级虚拟机(容器)的一些示例，可用于构建“平台即服务”(Platform as a Solution，PaaS)。runC/Docker/Warden是基于Linux内核命名空间和CGroup的方案，通过易于使用的控制台/API/图像格式来抽象复杂的内核API，并且提供按需抽象来计算存储和网络能力。

容器组网可大概视为给一组容器创建一致的网络环境。这可使用叠加网络实现，叠加网络存在多种实施方式，例如Docker默认网络模式、weave、flannel和socketplane。所有这些叠加网络的主要优势是无需改变应用代码，应用可按原样部署。网络命名空间连接到物理网络设备的方式也是容器组网的另一部分。

存在多个允许网络命名空间与veth、OpenVSwith、域套接字等网络硬件进行通信的Linux内核模块。命名空间是Linux内核的一个特征，其允许将一组进程分开，使这些进程不能“看到”其它组中的资源。根据网络命名空间的Linux内核文档，在不损害网络隔离级别的情况下，网络命名空间可通过veth对和/或域套接字进行通信。图1(a)示出了使用veth对进行通信的网络命名空间。veth对是一种可在容器内使用的类似以太网的虚拟设备。veth对捕获以太网帧，捕获的帧可通过网桥或路由器发送至目的地。域套接字是一种高效的轻量级进程间通信(inter process communication，IPC)。图1(b)示出了使用域套接字进行通信的网络命名空间。域套接字可以通过文件权限来控制，所以比任何人都可以连接的TCP端口更安全，因此TCP端口需要进一步的安全防护。

图2示出了Docker中的网络设置。图2示出了虚拟机/容器用来解决网络问题的通用方法。该通用方法为从veth等虚拟设备捕获以太网数据包，然后通过网桥/路由器将数据包发送到同一主机或不同主机内的所需容器中。veth对是一种可以在容器内使用的类似以太网的虚拟设备。图3示出了Docker中的内部布置。如图3所示，每个生成的/实例化的容器都使用veth对连接到Linux网桥。veth对的容器端称为eth0，Linux网桥侧的veth对称为vethxx，如vethab或vethbb。主机与Linux网桥之间连接了类似的veth对。