[发明专利]在主机上执行上下文丰富的基于属性的服务

说明书

一些实施例提供了一种用于配置主机上的一个或多个服务节点的集合以在主机计算机上执行上下文丰富的基于属性的服务的新颖方法，除了服务节点集合之外，该主机机器还执行若干数据计算节点(DCN)。该方法使用主机上的上下文过滤节点来收集与由主机计算机上的服务节点集合处理的服务规则相关联的第一属性集合。上下文过滤器还收集与在主机上执行的DCN(例如，虚拟机(VM)或容器的)的至少一个数据消息流相关联的第二属性集合。在收集到第一和第二属性集合之后，主机上的上下文过滤节点比较第一与第二属性集合，以生成服务标签来表示与数据消息流相关联的第一属性集合的子集。该方法将这个服务标签与数据消息流相关联。然后，当服务节点需要处理其用于数据消息流的基于属性的服务规则时，这个服务标签可以用于识别与数据消息流相关联的属性子集。

背景技术

历史上，中间盒服务一直是在企业或数据中心的网络拓扑中的一个或多个点处实现的硬件电器。随着软件定义联网(SDN)和网络虚拟化的出现，传统硬件电器无法利用SDN和网络虚拟化提供的灵活性和控制。因而，近年来，一些人已经提出了在主机上提供中间盒服务的各种方法。但是，这些中间盒解决方案中的大多数都没有利用可以为主机上的每个数据消息流捕获的上下文丰富的数据。对此的一个原因是现有技术不提供用于过滤数千个捕获的上下文属性以便高效地处理根据更小的上下文属性集定义的服务规则的高效分布式方案。

发明内容

一些实施例提供了一种用于配置主机上的一个或多个服务节点的集合以在主机计算机上执行上下文丰富的基于属性的服务的新方法，该主机计算机除了服务节点的集合之外还执行若干数据计算节点(DCN)。该方法使用主机上的上下文过滤节点来收集与由主机计算机上的服务节点集合处理的服务规则相关联的第一属性集合。上下文过滤器还收集与在主机上执行的DCN(例如，虚拟机(VM)或容器的)的至少一个数据消息流相关联的第二属性集合。在一些实施例中，第一和第二属性集合不是L2-L4报头参数。例如，在一些实施例中，这些属性集合包括L7参数或组标识符(例如，网络安全组标识符)。而且，在一些实施例中，每个服务规则包括用于与数据消息标识符匹配的规则标识符，并且第一属性集合是在该服务节点集合的服务规则的规则标识符中使用的属性。

在收集第一和第二属性集合之后，主机上的上下文过滤节点比较第一和第二属性集合以生成服务标签以表示与数据消息流相关联的第一属性集合的子集。该方法将这个服务标签与数据消息流相关联。然后，当服务节点需要处理其数据消息流的基于属性的服务规则时，这个服务标签可以用于识别与数据消息流相关联的属性子集。

在一些实施例中，上下文过滤器将与数据消息流相关联的服务标签提供给DCN和属性解析引擎。当为这个流发送数据消息时，DCN沿着带内(即，与数据消息流一起)或带外(即，与数据消息流分离)转发数据消息的服务标签，以便服务节点可以使用这个服务标签来处理其基于属性的服务规则。

为了处理其基于属性的服务规则，服务节点将数据消息流的服务标签提供给属性解析引擎。从上下文过滤引擎，属性解析引擎接收具有由这个标签表示的属性子集的服务标签，并将这个信息存储在将每个服务标签与其对应属性子集相关联的映射数据结构(例如，映射表)中。在一些实施例中，属性解析引擎是服务节点的一部分，而在其它实施例中，它与所有服务节点分离。

当属性解析引擎从服务节点接收到服务标签时，这个引擎在其映射数据结构中找到这个服务标签，从映射结构中检索标签的关联属性子集，并将该属性子集返回给服务节点。然后，服务节点使用返回的属性子集来识别与这个子集匹配的服务规则，然后基于由这个服务规则指定的动作参数执行服务操作。此类服务操作的示例包括防火墙操作、负载平衡操作、入侵检测操作、入侵防御操作、加密操作和其它类型的中间盒操作。