多租户云中服务功能链路由更新装置和方法与流程

1.本发明属于多租户云网络技术领域，具体地涉及一种多租户云中服务功能链路由更新装置和方法。


背景技术：

2.在多租户云中，云供应商(例如，amazon web services和google cloud platform)将计算资源以虚拟机(vm)的方式为租户(例如，企业)提供计算资源。
3.通过租用vm，租户不仅可以将他们的计算任务(例如训练深度神经网络)迁移到云中，还可以将他们的网络功能(nf)(例如入侵检测系统和防火墙)迁移到云端。为增强网络性能和安全性，租户的请求应该按照特定的顺序遍历所需的nf。例如，一个被转发到安全服务器的受保护请求必须穿过防火墙，然后是入侵检测/预防系统(ids/ips)。
4.通常，这样一组有序的网络功能nf被称为服务功能链(sfc)，而如何操纵请求以满足sfc要求被称为sfc路由。由于多租户云中的工作负载随时间变化，sfc路由配置可能只在短时间内有效，过时的sfc路由配置将导致部分链路和nf过载，增大端到端延迟。因此，sfc路由配置必须根据当前的请求/流量特征定期更新，这称为sfc路由更新。
5.中央控制器至少需要0.5毫秒来更新交换机上的路由规则。考虑到通常每分钟都会有大量请求/流注入云端，若一次性更新大量请求的路由，会给中央控制器带来巨大的开销，增大更新延迟。由于多租户云中的工作负载是随时间变化，更新时延过大会使得新的sfc路由配置不再适用于当前的网络状态，从而不能达到网络负载均衡和减小端到端延迟的目的。
6.此外,在更新sfc路由配置时，一方面，恶意租户可能会使用恶意程序来收集其他租户以及系统的信息。借助这些信息，他们可以发起网络攻击，例如分布式拒绝服务(ddos)等。另一方面，普遍存在的nf失效(由连接错误、硬件故障和过载等问题引起)也会削弱系统的鲁棒性。
7.综上所述，在sfc路由更新过程中，以下两个重要的需求应该被考虑：1)更新的sfc配置应该在有限的时间内被部署，即实时更新；2)当遇到系统事故(例如恶意租户和nf失效)时，更新的sfc路由配置应该满足系统的鲁棒性要求。而传统的路由更新方案主要关注于提高数据层面的性能，例如最大化资源利用率、网络负载均衡等，却忽略了更新时延对路由配置有效性的影响，并且没有考虑如何设计sfc路由配置以降低恶意租户和nf失效对系统鲁棒性的影响。


技术实现要素：

8.针对上述存在的技术问题，本发明提出了一种多租户云中服务功能链路由更新装置和方法，以提高多租户云服务功能链路由更新的实时性和鲁棒性。
9.一方面，本发明实施例提供了一种多租户云中服务功能链路由更新装置，所述装置包括：
10.设置在多租户云系统控制层内的网络功能映射更新模块和服务功能链路由更新模块；
11.其中，所述网络功能映射更新模块用于根据收集到的流量信息，定时的更新每个租户被分配的网络功能集合，以及每个网络功能可以服务的租户集合；
12.所述服务功能链路由更新模块用于在网络功能和链路过载时，对当前的服务功能链路由配置进行更新。
13.可选的，所有网络功能集合中网络功能的个数小于或等于第一设定阈值。
14.可选的，所述租户集合中租户的个数小于或等于第二设定阈值。
15.可选的，对当前的服务功能链路由配置进行更新，包括：
16.根据当前各网络功能的负载以及各租户在对应网络功能上的流量数据，将当前网络功能中过载的网络功能上的流量进行迁移，使得迁移后的各网络功能的负载处于负载约束条件下，以实现对当前的服务功能链路由配置的更新。
17.第二方面，本发明实施例提供了一种多租户云中服务功能链路由更新方法，所述方法包括：
18.通过网络功能映射更新模块定时的更新每个租户被分配的网络功能集合，以及每个网络功能可以服务的租户集合；
19.在网络功能和链路过载时，通过服务功能链路由更新模块对当前的服务功能链路由配置进行更新。
20.与现有技术相比，本发明的优点是：
21.本发明实施例在控制层设计了网络功能映射更新模块和服务功能链路由更新模块。网络功能映射更新模块定时更新每个租户被分配的网络功能集合，以及每个网络功能可以服务的租户集合，通过限制网络功能的数量和每个网络功能可以服务的租户数量来保证系统的鲁棒性；服务功能链路由更新模块在服务功能映射更新结果的基础上，由链路或者服务功能过载触发，在预设的更新时间内对当前的服务功能链路由配置进行更新，且仅选择对当前网络性能提升较大的流量进行更新，从而降低中央控制器的负载，实现了系统实时性的要求。
附图说明
22.下面结合附图及实施例对本发明作进一步描述：
23.图1为本发明实施例提供的一种多租户云中服务功能链路由更新装置的网络架构示意图；
24.图2为本发明实施例提供的一种网络功能映射更新模块的工作流程图；
25.图3为本发明实施例提供的一种服务功能链路由更新模块的工作流程图；
26.图4为本发明实施例提供的服务功能链路由更新前的网络状态示意图；
27.图5为本实施例提供的服务功能链路由更新后的网络状态示意图。
具体实施方式
28.为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解的是，这些描述只是示例性的，而并非要限制
本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。
29.实施例
30.下面结合附图，对本发明的较佳实施例作进一步说明。
31.参见图1，图1为本发明实施例提供的一种多租户云中服务功能链路由更新装置的网络架构示意图。该装置包括设置在多租户云系统控制层内的网络功能映射更新模块和服务功能链路由更新模块；
32.其中，所述网络功能映射更新模块用于根据收集到的流量信息，定时的更新每个租户被分配的网络功能集合，以及每个网络功能服务的租户集合。
33.可选的，所有网络功能集合中网络功能的个数小于或等于第一设定阈值；所述租户集合中租户的个数小于或等于第二设定阈值。上述第一设定阈值和第二设定阈值可以由系统管理员根据当前的网络状态进行设定。
34.进一步参见图2，上述网络功能映射更新模块的工作步骤具体包括：
35.(1)当多租户云系统开始运行时，控制层收集系统中的流量信息。其中，上述流量信息包括当前系统中存在的流量的集合、每个租户的流量的集合、以及当前系统正在运行的网络功能上的流量集合等信息。
36.(2)若到达设定的时间间隔，网络功能映射更新模块将根据上次收集的流量信息，更新每个租户被分配的网络功能集合，以及每个网络功能服务的租户集合。在进行映射更新时，为了降低nf失效对系统鲁棒性的影响，每个租户被分配的网络功能集合数量不能超过第一设定阈值k个。该设置方式使得若一个租户是恶意租户，其最多影响k个网络功能，从而限制恶意租户影响的网络功能范围，增强系统的鲁棒性。此外，在更新时，每个网络功能可以服务的租户数量不超过q个，从而限制一个网络功能失效影响的租户范围，以提高系统的鲁棒性。
37.(3)若系统管理员希望继续不间断地执行网络功能映射更新模块，那么返回第一步。
38.进一步的，所述服务功能链路由更新模块用于在网络功能和链路过载时，在预设的更新时间内对当前的服务功能链路由配置进行更新。由于控制层处理能力有限和大多数流持续的时间短，所以更新过程存在更新时间约束，即要在预设的更新时间内实现服务功能链路由配置的更新操作，以满足实时性的更新要求。
39.所述服务功能链路由更新模块具体用于在网络功能和链路过载时，根据所述网络功能映射更新模块的更新结果，在预设的更新时间内对当前的服务功能链路由配置进行更新。
40.其中，对当前的服务功能链路由配置进行更新，包括：根据当前各网络功能的负载以及各租户在对应网络功能上的流量数据，将当前网络功能中过载的网络功能上的流量进行迁移，使得迁移后的各网络功能的负载处于负载约束条件下，以实现对当前的服务功能链路由配置的更新。
41.继续参见图3，上述服务功能链路由更新模块的工作步骤具体包括：
42.(1)当系统开始运行后，控制层不断地统计系统中的流量信息，并获取当前系统的拓扑信息，计算每条链路和服务功能上的流量集合以及负载。
43.(2)若存在链路或者服务功能过载，则使用服务功能链路由更新模块对当前的sfc路由配置进行更新。本实施例中，为了使得更新后的sfc路由配置满足系统的鲁棒性要求，在为每条流构建候选sfc路由路径时，需要基于网络功能映射更新模块更新的结果，从而使得在更新后的sfc配置中，每个租户使用的服务功能不超过k个，且每个服务功能服务的租户数量不超过q个。此外，考虑到中央控制器处理能力有限，在更新时仅考虑那些对网络性能可以带来性能提升较高的流量进行更新。
44.(3)若系统管理员希望继续不间断地执行网络功能映射更新模块，那么返回第一步。
45.示例性的，参见图4和图5，图4为本发明实施例提供的服务功能链路由更新前的网络状态示意图，图5为本发明实施例提供的服务功能链路由更新后的网络状态示意图。
46.图4表示网络运行了一段时间后的网络状态示意图，图中共有四个网络功能，都是用唯一的十六进制编码表示，三个租户t1，t2和t3示。这三个租户分别在计算节点n1和n3拥有虚机vm1，vm2和vm3。此外，租户t1的流量大小为1，租户t2的流量大小为3，租户t3的流量大小为2，而每个网络功能的处理能力是4。假设租户t1的sfc要求是ids
→
firewall
→
proxy，租户t2的sfc要求是ids
→
firewall，租户t3的sfc要求是firewall
→
proxy。图4下方的表格表示计算节点n1上的open vswitch(ovs)里面的规则。ovs通过使用mpls将sfc路由(service function chain route，sfcr)信息打入到数据包的包头。为确保系统的鲁棒性，每个网络功能可以服务的租户数量不能超过2，因为当前的网络状态已满足此要求，所以网络功能映射更新模块不会并不会更新租户和网络功能的匹配关系。但是，通过计算可以发现，firewall 0x02的负载是1，而firewall 0x04的负载是5，已经超过网络功能的处理能力，所以触发了服务功能链路由更新模块。该模块在考虑满足系统鲁棒性约束和控制层处理能力的约束下，把租户t3在firewall 0x04上的流量迁移到了firewall 0x02。更新后的网络状态如图5所示，由于租户t3的流量大小为2，所以firewall 0x02的负载变为3，firewall 0x04上的负载变为3。由此可见，更新后，firewall实现了负载均衡。
47.在上述实施例的基础上，本发明实施例提供一种多租户云中服务功能链路由更新方法，所述方法包括：
48.s 1、通过网络功能映射更新模块定时的更新每个租户被分配的网络功能集合，以及每个网络功能服务的租户集合。
49.其中，所有网络功能集合中网络功能的个数小于或等于第一设定阈值。
50.所述租户集合中租户的个数小于或等于第二设定阈值。
51.s2、在网络功能和链路过载时，通过服务功能链路由更新模块对当前的服务功能链路由配置进行更新。
52.所述服务功能链路由更新模块具体用于在网络功能和链路过载时，根据所述网络功能映射更新模块的更新结果，在预设的更新时间内对当前的服务功能链路由配置进行更新。
53.其中，对当前的服务功能链路由配置进行更新，包括：
54.根据当前各网络功能的负载以及各租户在对应网络功能上的流量数据，将当前网络功能中过载的网络功能上的流量进行迁移，使得迁移后的各网络功能的负载处于负载约束条件下，以实现对当前的服务功能链路由配置的更新。
55.本发明实施提供的一种多租户云中服务功能链路由更新方法，可以由上述实施例提供的一种多租户云中服务功能链路由更新装置执行，具备相同的有益效果，不再进行赘述。
56.上述实例只为说明本发明的技术构思及特点，其目的在于让熟悉此项技术的人是能够了解本发明的内容并据以实施，并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰，都应涵盖在本发明的保护范围之内。