控制装置、通信系统、隧道端点的控制方法以及程序的制作方法
控制装置、通信系统、隧道端点的控制方法以及程序的制作方法
【技术领域】
[0001]关于相关申请的记载
[0002]本发明基于日本专利申请特愿2013-000160号(2013年I月4日申请),该申请的全部记载内容通过引用而纳入本说明书进行记载。
[0003]本发明涉及控制装置、通信系统、隧道端点的控制方法以及程序,尤其涉及对属于使用虚拟隧道而构成的虚拟网络的虚拟机之间的通信进行控制的控制装置、通信系统、隧道端点的控制方法以及程序。
【背景技术】
[0004]近年来,作为考虑了对云计算的应用的隧道协议,提出了 VXLAN (VirtualExtensible Local Area Network,虚拟可扩展局域网)、NVGRE(Network Virtualizat1nusing Generic Routing Encapsulat1n,使用通用路由封装的网络虚拟化)、STT (Stateless Transport Tunneling,无状态传输隧道)等技术。非专利文献I是VXLAN的草案。
[0005]VXLAN是在作为虚拟隧道的终端点的隧道端点中对2层框架进行封装化的技术,此时,在封装头(外部头)中附加具有24比特的长度的VXLAN Network Identifier (VNI)(下面参照非专利文献I的Page 9 “5.VXLAN Frame Format”)。引人关注的是,该VNI是由IEEE 802.1Q规定的VLAN ID的2倍的长度,能够飞跃性地增大上述云计算环境中的“租户(物理网络的共享用户)”的数量(最大达到约1677万(224))。另外,非专利文献2是进行与VXLAN相同的隧道联网的NVGRE的草案。在NVGRE中,也通过具有24比特的长度的Tenant Network Identif ier (TNI),实现了可逻辑分配的段的数量的增大。
[0006]另一方面,提出了开放流(OpenFlow)技术(参照非专利文献3、4)。OpenFlow是将通信看做端到端的流,以流为单位进行路径控制、障碍恢复、负载分散、最佳化的。在非专利文献4中得到了标准化的OpenFlow交换机具备用于与OpenFlow控制器进行通信的安全隧道,按照从OpenFlow控制器适当指示追加或改写的流表进行动作。在流表中,针对每个流,定义与分组头进行比对的匹配条件(Match Fields)、流统计信息(Counters)、以及定义了处理内容的指示(Instruct1ns)的组(参照非专利文献4的“4.1 Flow Table”的项)。
[0007]例如,OpenFlow交换机在接收分组时,从流表中检索具有与接收分组的头信息相适合的匹配条件(参照非专利文献4的“4.3 Match Fields”)的项。在检索的结果是发现了与接收分组适合的项的情况下,OpenFlow交换机更新流统计信息(计数器),并对接收分组实施在该项的指示字段中记述的处理内容(从指定端口的分组发送、泛洪(flooding)、丢弃等)。另一方面,在检索的结果是未发现与接收分组适合的项的情况下,OpenFlow交换机经由安全隧道对OpenFlow控制器发送项设定的要求,即接收分组的处理内容的决定的要求(Packet-Ιη消息)。OpenFlow交换机获取规定了处理内容的流项而更新流表。如上述所示,OpenFlow交换机使用流表中存储的项作为处理规则而进行分组转发。
[0008]非专利文献1:M.Mahalingam 等 7 人,“VXLAN:A Framework for OverlayingVirtualized Layer 2 Networks over Layer 3 Network,,,[online],[平成 24(2012)年11 月 29 日检索],因特网 <URL:http://tools, ietf.0rg/pdf/draft-mahalingam-dutt-dcops-vxlan-02.pdf>
[0009]非专利文献2:Μ.Sridharan 等 8 人,“NVGRE:Network Virtualizat1n usingGeneric Routing Encapsulat1n”,[online],[平成 24 (2012)年 11 月 29 日检索],因特网〈URL:http://tools.1etf.0rg/pdf/draft-sridharan-virtualizat1n-nvgre-01.pdf>
[0010]非专利文献3:Nick McKeown 等 7 人,“OpenFlow:Enabling Innovat1n inCampus Networks,,,[online],[平成 24(2012)年 11 月 22 日检索],因特网〈URL:http://www.0penflow.0rg/documents/openflow-wp-latest.pdf>
[0011]非专利文献4:“0penFlow Switch Specificat1n,,,Vers1n 1.1.0Implemented (Wire Protocol 0x02),[online],[平成 24(2012)年 11 月 22 日检索],因特网〈URL:http://www.0penflow.0rg/documents/openflow-spec-vl.1.0.pdf>
【发明内容】
[0012]发明要解决的课题
[0013]下面的分析是由本发明给出的。在依据非专利文献I或2中记载的VXLAN或NVGRE等的虚拟隧道技术中,虚拟机经由对虚拟隧道进行端接的隧道端点(下面称为“TEP”),与连接于相向的TEP的相同虚拟网络的虚拟机进行通信。为了实现这种通信,需要进行设定,该设定用于使虚拟机所连接的TEP加入与该虚拟机相关联的虚拟网络(更严密地说,使TEP加入相应VNI的组播组)。
[0014]在虚拟化环境中,根据服务需要打开虚拟机或者将虚拟机转移(迀移)至其他虚拟化服务器,因此,在虚拟机通过依据非专利文献I或2中记载的VXLAN或NVGRE的虚拟隧道彼此通信的情况下,存在用于使TEP加入(连接)虚拟网络的设定、该设定的信息的管理变得复杂的问题。
[0015]本发明的目的在于提供一种控制装置、通信系统、隧道端点的控制方法以及程序,能够对使用虚拟隧道构成的虚拟网络中的TEP与虚拟网络之间的连接设定和管理的容易化做出贡献。
[0016]用于解决课题的手段
[0017]根据第I观点,提供一种控制装置,具备:连接检测部,检测与作为虚拟隧道的终端点起作用的隧道端点新连接了虚拟机这一情况,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信;虚拟网络确定部,基于将虚拟机和虚拟网络关联的信息,确定所述检测出的虚拟机所属的虚拟网络;以及隧道端点控制部,在所述隧道端点未加入所述确定的虚拟网络的情况下,使所述隧道端点加入所述确定的虚拟网络。
[0018]根据第2观点,提供一种通信系统,包含控制装置和由所述控制装置控制的隧道端点,所述控制装置具备:连接检测部,检测与作为虚拟隧道的终端点起作用的隧道端点新连接了虚拟机这一情况,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信;虚拟网络确定部,基于将虚拟机和虚拟网络关联的信息,确定所述检测出的虚拟机所属的虚拟网络;以及隧道端点控制部,在所述隧道端点未加入所述确定的虚拟网络的情况下,使所述隧道端点加入所述确定的虚拟网络。
[0019]根据第3观点,提供一种隧道端点的控制方法,包含由控制装置执行的如下步骤,所述控制装置对作为虚拟隧道的终端点起作用的隧道端点进行控制,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信,所述步骤为:检测与所述隧道端点新连接了虚拟机这一情况的步骤;基于将虚拟机和虚拟网络关联的信息,确定所述检测出的虚拟机所属的虚拟网络的步骤;以及在所述隧道端点未加入所述确定的虚拟网络的情况下,使所述隧道端点加入所述确定的虚拟网络的步骤。本方法与控制隧道端点的控制装置这一特定机器相联系O
[0020]根据本发明的第4观点,提供一种程序,该程序使计算机执行处理,所述计算机对作为虚拟隧道的终端点起作用的隧道端点进行控制,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信,所述程序使所述计算机 执行如下处理:检测与所述隧道端点新连接了虚拟机这一情况的处理;基于将虚拟机和虚拟网络关联的信息,确定所述检测出的虚拟机所属的虚拟网络的处理;以及在所述隧道端点未加入所述确定的虚拟网络的情况下,使所述隧道端点加入所述确定的虚拟网络的处理。此外,该程序能够记录在计算机可读取的(非暂时性的)存储介质中。即,本发明也能够具体实现为计算机程序产品。
[0021]发明效果
[0022]根据本发明,能够对使用虚拟隧道构成的虚拟网络中的TEP与虚拟网络之间的连接设定和管理的容易化做出贡献。
【附图说明】
[0023]图1是表示本发明的一个实施方式的结构的图。
[0024]图2是表示本发明的第I实施方式的通信系统的结构的图。
[0025]图3是表示本发明的第I实施方式的控制装置的详细结构的功能框图。
[0026]图4是本发明的第I实施方式的控制装置的VM-TEP连接状态存储部中保持的信息的一个例子。
[0027]图5是本发明的第I实施方式的控制装置的VM-虚拟NW关系存储部中保持的信息的一个例子。
[0028]图6是本发明的第I实施方式的控制装置的虚拟NW-TEP连接状态存储部中保持的信息的一个例子。
[0029]图7是表示与图2的TEP-2新连接了 VM7的状态的图。
[0030]图8是表示通过VM7的连接而在VM-TEP连接状态存储部中追加的项的图。
[0031]图9是表示由控制装置确定了新VM7所属的虚拟网络的状态的图。
[0032]图10是表示控制装置为了新VM7而将TEP与所属的虚拟网络进行连接的状态的图。
[0033]图11是表示通过TEP-2的连接而在虚拟NW-TEP连接状态存储部中追加的项的图。
【具体实施方式】
[0034]首先,参照附图对本发明的一个实施方式的概要进行说明。此外,该概要中附加的附图参照符号是作为用于帮助理解的一个例子,为了方便而对各要素附加的,并不意在将本发明限定于图示的方式。
[0035]在本发明的一个实施方式中,如图1所示,能够通过控制装置1A实现本发明,该控制装置1A具备虚拟网络确定部11、连接检测部12、以及TEP (隧道端点)控制部13。
[0036]更具体而言,连接检测部12检测与作为虚拟隧道的终端点起作用的隧道端点(例如图1的TEP-1)新连接了虚拟机(例如图1的VMl)这一情况,该虚拟隧道用于属于虚拟网络的虚拟机之间的通信。此外,作为检测虚拟机向TEP的连接的方法,能够采用各种方法,例如,从隧道端点接收关于该情况的通知的方法、从提供虚拟机或虚拟交换机的管理环境的虚拟网络的管理系统等获取通知的方法等。
[0037]接着,虚拟网络确定部11基于将虚拟机和虚拟网络关联的信息,确定所述检测出的虚拟机(例如图1的VMl)所属的虚拟网络。虚拟网络确定的方法能够使用如下方法:使用隧道端点保持的与管理虚拟机的MAC地址与VNI的关系的表同等的表等的方法、在来自隧道端点的虚拟机检测通知中包含VNI的方法等。
[0038]TEP控制部13在虚拟机(例如图1的VMl)新连接的隧道端点(例如图1的TEP-1)未加入所述确定的虚拟网络的情况下,使所述隧道端点加入所述确定的虚拟网络。具体而言,进行如下的处理,即,指示隧道端点加入(JOIN)由所述确定的虚拟网络构成的组播组。
[0039]通过上述操作,由虚拟机向隧道端点的连接引发的、隧道端点的设定得到自动化。
[0040][第I实施方式]
[0041]接着,参照附图详细说明本发明的第I实施方式。图2是表示本发明的第I实施方式的通信系统的结构的图。参照图2,示出了物理网络(物理NW)、使用该物理NW进行了逻辑划分的虚拟网络(虚拟mn?#3)、在虚拟mn?#3上构成虚拟隧道的隧道端点TEP-1?TEP-3、能够与这些隧道端点TEP-1?TEP-3连接的VMl?VM6、以及控制隧道端点TEP-1?TEP-3的控制装置10。
[0042]非专利文献1、2的VXLAN、NVGRE、STT是通过利用隧道端点,从而使各个VM即便不知道自身所属的虚拟网络的标识符等,也能够和与相同隧道端点或其他隧道端点连接的VM进行通信的技术,虚拟丽#1?#3是使用上述非专利文献1、2的VXLAN、NVGRE、STT或与它们同等的方式进行了逻辑划分的网络。
[0043]隧道端点TEP-1?TEP-3由从控制装置10进行控制的物理交换机或虚拟交换机等构成,在隔着虚拟NW相对的隧道端点之间构成虚拟隧道。作为隧道协议,能够使用非专利文献1、2的VXLAN、NVGRE, STT或与它们同等的协议。
[0044]VMl?VM6由省略图示的管理程序(hypervisor)等进行管理,在虚拟化服务器等上进行动作。在上述隧道端点TEP-1?TEP-3是物理交换机的情况下,VMl?VM6经由所述虚拟化服务器上设置的虚拟交换机与隧道端点TEP-1?TEP-3连接。此外,与图2的VMl?VM6 一起记载的编号#1?#3表示VMl?VM6分别所属的虚拟网络。
[0045]图3是表示本发明的第I实施方式的控制装置的详细结构的功能框图。参照图3,示出了具备如下部件的结构:虚拟网络确定部11、连接检测部12、TEP控制部13、VM-虚拟NW对应关系存储部(第2存储部)14、VM-TEP连接状态存储部(第I存储部)15、以及TEP加入状态存储部(第3存储部)16。
[0046]图4是本实施方式的控制装置的VM-TEP连接状态存储部15中保持的信息的一个例子。在图4的例子中,如图2所示,存储有表示VM1、VM2与隧道端点TEP-1连接的项。同样,存储有表示VM3、VM4与隧道端点TEP-2连接的项和表示VM5、VM6与隧道端点TEP-3连接的项。
[0047]连接检测部12如果检测出VM向TEP的新连接,则在VM-TEP连接状态存储部15中追加相应的项,将该情况通知给虚拟网络确定部11。另外,如果检测出VM从TEP的脱离或移动,则连接检测部12在VM-TEP连接状态存储部15中删除相应的项,将该情况通知给虚拟网络确定部11。
[0048]作为由控制装置10检测VM向TEP的连接的方法,除了前面所述的从TEP接收关于该情况的通知的方法、从提供虚拟机或虚拟交换机的管理环境的虚拟网络的管理系统等获取通知的方法等以外,还能够采用从VM的管理者或工作人员接收通知的方法、分析从VM发送的分组而基于其特征或标识符进行判定的方法等方法。
[0049]另外,作为由控制装置10检测VM向TEP的连接的方法,还能够采用由控制装置10的连接检测部12从管理虚拟机的其他装置(例如虚拟机管理装置、或者管理控制装置以及虚拟机管理装置的上级装置)接收VM向TEP的连接通知的方法。另外,也可以对虚拟机自身追加在TEP连接时对控制装置10通知向TEP的连接的功能。
[0050]另外,在TEP由非专利文献3、4的OpenFlow交换机构成的情况下,还能够采用如下方法,即,设定控制信息(flow entry),该控制信息将来自VM的分组发送至控制装置10。作为将分组发送至控制装置10的机制,既可以设定控制信息(flow entry),该控制信息用于在接收来自VM的分组时从与控制装置10连接的端口输出该分组,也可以使用如下机制,艮P,由OpenFlow交换机对OpenFlow控制器发送Packet-1n消息,该Packet-1n消息要求控制信息(flow entry)的发送。
[0051]图5是本实施方式的控制装置的VM-虚拟NW对应关系存储部14中保持的信息的一个例子。在图5的例子中,与图2所示相同,存储有表示如下对应关系的项:VM1、VM4、VM5属于虚拟网络#1,VM2、VM6、VM7属于虚拟网络#3,VM3属于虚拟网络#2。此外,作为图5所示的这种VM-虚拟NW对应关系,还能够从各TEP取得映射信息而进行使用,该映射信息是TEP为了判定接收分组的转发目的地而保持的信息,表示VM的MAC地址与VNI (TNI)的对应性(参照非专利文献 I 的 “4.1.Unicast VM to VM communicat1n,,)。
[0052]虚拟网络确定部11如果从连接检测部12接收新VM的连接通知,则参照VM-虚拟NW对 应关系存储部14,确定新VM应属于的虚拟网络,将其结果通知给TEP控制部13。虚拟网络确定部11如果从连接检测部12接收VM的脱离通知,则参照VM-虚拟NW对应关系存储部14,确定新VM应属于的虚拟网络,将该情况通知给TEP控制部13。
[0053]TEP控制部13如果从虚拟网络确定部11接收VM的连接或脱离、以及所述确定的虚拟网络的通知,则参照TEP加入状态存储部16,判定TEP是否需要加入虚拟网络,根据其结果进行TEP的控制。例如,TEP控制部13在接收了新VM的连接通知的情况下,参照图6所示的虚拟网络与TEP的连接状态,在新检测出的VM所连接的TEP未加入相应的虚拟网络的情况下,进行使新检测出的VM所连接的TEP加入(JOIN)由相应的虚拟网络构成的组播组的处理。另外,例如,TEP控制部13在由于所述VM的脱离使得经由该隧道端点与所述确定的虚拟网络连接的虚拟机变得不存在的情况下,进行使VM所脱离的TEP从相应的虚拟网络的组播组退出(LEAVE)的处理。另外,TEP控制部13根据所述TEP的对虚拟网络的加入、退出,更新TEP加入状态存储部16的内容。
[0054]所述对组播组的加入、退出,例如在VXLAN的情况下,通过对管理组播组的路由器等发送 IGMP(Internet Group Management Protocol,因特网组管理协议)的消息(JOIN/LEAVE)而进行(参照非专利文献 I 的 “4.2.Broadcast Communicat1n and Mapping toMulticast”)。当然,也能够使用其他的组播组的管理协议。
[0055]此外,在图3的结构中,为了进行说明,采用了使VM-虚拟NW对应关系存储部14、VM-TEP连接状态存储部15、以及TEP加入状态存储部16分别独立的结构,但也可以设置合并这些存储部而得到的数据库等。另外,对于虚拟网络确定部11、连接检测部12、以及TEP控制部13,也能够适当地进行合并。
[0056]接着,参照【附图说明】本实施方式的动作。下面,举出从图2的状态起与TEP新连接了 VM的例子进行说明。
[0057]图7是表示从图2的状态起,VM7打开并与TEP-2连接的状态的图。控制装置10的连接检测部12如果检测出VM7向TEP-2的连接,则如图8所示在VM-TEP连接状态存储部15中追加将VM7和TEP-2关联的项,通知给虚拟网络确定部11 (步骤S001)。
[0058]接着,虚拟网络确定部11参照VM-虚拟NW对应关系存储部14,确定与TEP-2连接的VM7所属的虚拟网络。在图5的例子中,VM7与虚拟网络#3关联,因而虚拟网络确定部11如图9所示,将虚拟网络#3确定为VM7所属的虚拟网络(步骤S002)。虚拟网络确定部11对TEP控制部13通知属于虚拟网络#3的VM7与TEP-2连接。
[0059]接收了所述通知的TEP控制部13参照TEP加入状态存储部16,判定TEP-2是否已经加入虚拟网络#3。在判定的结果是TEP-2未加入虚拟网络#3的情况下,TEP控制部13如图10所示进行使TEP-2加入虚拟网络#3的处理(步骤S003)。另外,TEP控制部13如图11所示在TEP加入状态存储部16中追加将TEP-2和虚拟网络#3关联的项。
[0060]然后,例如,如果VM7从TEP-2脱离,则控制装置10的连接检测部12在检测出VM7从TEP-2脱离时,如图4所示从VM-TEP连接状态存储部15中删除将VM7和TEP-2关联的项,通知给虚拟网络确定部11。
[0061]接着,虚拟网络确定部11参照VM-虚拟NW对应关系存储部14,确定从TEP-2脱离的VM7所属的虚拟网络。在图5的例子中,VM7与虚拟网络#3关联,因而虚拟网络确定部11对TEP控制部13通知属于虚拟网络#3的VM7从TEP-2脱离。
[0062]接收了所述通知的TEP控制部13参照VM-TEP连接状态存储部15以及TEP加入状态存储部16,判定由于VM7的脱离,经由TEP-2与虚拟网络#3连接的VM是否存在。在判定的结果是经由TEP-2与虚拟网络#3连接的VM变得不存在的情况下,TEP控制部13进行使TEP-2从虚拟网络#3退出的处理。另外,TEP控制部13如图6所示从TEP加入状态存储部16中删除将TEP-2和虚拟网络#3关联的项。
[0063]如上述所示,与VM的相对于TEP的连接或脱离联动地、执行TEP对虚拟网络的加入或脱离。其结果是,不需要进行TEP与虚拟网络之间的连接设定或复杂的管理,减轻网络管理者的负担。
[0064]以上说明了本发明的实施方式,但本发明是不受上述实施方式的限定的,在不脱离本发明的基本技术思想的范围内,能够施加进一步的变形/置换/调整。例如,上述实施方式中使用的网络结构、要素的数量不存在限制。
[0065]最后,对本发明的优选的方式进行要点归纳。
[0066][第I方式]
[0067](参照上述第I观点的控制装置)
[0068][第2方式]
[0069]在第I方式的控制装置中,
[0070]所述连接检测部如果检测出所述虚拟机从隧道端点的脱离,则对所述虚拟网络确定部通知所述虚拟机从隧道端点的脱离,
[0071]所述虚拟网络确定部基于将虚拟机和虚拟网络关联的信息,确定所述脱离的虚拟机所属的虚拟网络,对所述隧道端点控制部通知所述脱离的虚拟机所属的虚拟网络、以及所述虚拟机曾连接的隧道端点,
[0072]所述隧道端点控制部在由于所述虚拟机的脱离,使得经由该隧道端点与所述确定的虚拟网络连接的虚拟机变得不存在的情况下,使所述隧道端点从所述确定的虚拟网络中退出。
[0073][第3方式]
[0074]在第I或第2方式的控制装置中,
[0075]还具备:
[0076]第I存储部,存储与所述隧道端点连接的虚拟机;
[0077]第2存储部,存储所述虚拟机与虚拟网络的对应关系;以及
[0078]第3存储部,存储所述各隧道端点加入的虚拟网络,
[0079]所述控制装置参照所述第3存储部,判定所述新连接了虚拟机的隧道端点是否加入了所述确定的虚拟网络。
[0080][第4方式]
[0081]在第I至第3方式中任一方式的控制装置中,
[0082]所述连接检测部利用来自虚拟化服务器的报告,检测所述虚拟机与隧道端点连接这一情况,所述虚拟化服务器是所述新连接的虚拟机进行动作的虚拟化服务器。
[0083][第5方式]
[0084]在第I至第3方式中任一方式的控制装置中,
[0085]通过在构成所述隧道端点的交换机中设定控制信息,从而检测所述虚拟机与隧道端点连接这一情况,所述控制信息基于来自虚拟机的分组,通知所述虚拟机进行了连接这一情况。
[0086][第6方式]
[0087](参照上述第2观点的通信系统)
[0088][第7方式]
[0089](参照上述第3观点的隧道端点的控制方法)
[0090][第8方式]
[0091](参照上述第4观点的程序)
[0092]此外,上述第6?第8方式与第I方式同样,能够展开为第2?第5方式。
[0093]此外,上述专利文献以及非专利文献的各公开内容通过引用而纳入本说明书中。在本发明的全部公开(包括权利要求书)的框架内,并且基于其基本技术思想,能够对实施方式或实施例进行变更、调整。另外,在本发明的权利要求书的框架内,能够进行各种公开要素(包括各权利要求项的各要素、各实施方式或实施例的各要素、各附图的各要素等)的多种组合或选择。即,本发明当然包含本领域技术人员按照包含权利要求书在内的全部公开、技术思想可以得到的各种变形、修正。尤其是,关于本说明书中记载的数值范围,该范围内包含的任意的数值或小范围在没有特别的记载的情况下也应当解释为得到了具体的记载。
[0094]符号说明
[0095]10U0A控制装置
[0096]11虚拟网络确定部
[0097]12连接检测部
[0098]13 TEP 控制部
[0099]14 VM-虚拟NW对应关系存储部(第2存储部)
[0100]15 VM- TEP连接状态存储部(第I存储部)
[0101 ] 16 TEP加入状态存储部(第3存储部)
[0102]TEP-1 ?TEP-3 隧道端点
[0103]VMl?VM6虚拟机
【主权项】
1.一种控制装置,具备: 连接检测部,检测与作为虚拟隧道的终端点起作用的隧道端点新连接了虚拟机这一情况,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信; 虚拟网络确定部,基于将虚拟机和虚拟网络关联的信息,确定所检测出的虚拟机所属的虚拟网络;以及 隧道端点控制部,在所述隧道端点未加入所确定的虚拟网络的情况下,使所述隧道端点加入所确定的虚拟网络。2.根据权利要求1所述的控制装置,其中, 所述连接检测部如果检测出所述虚拟机从隧道端点的脱离,则对所述虚拟网络确定部通知所述虚拟机从隧道端点的脱离, 所述虚拟网络确定部基于将所述虚拟机和虚拟网络关联的信息,确定所述脱离的虚拟机所属的虚拟网络,对所述隧道端点控制部通知所述脱离的虚拟机所属的虚拟网络、以及所述虚拟机曾连接的隧道端点, 所述隧道端点控制部在由于所述虚拟机的脱离,使得经由该隧道端点与所确定的虚拟网络连接的虚拟机变得不存在的情况下,使所述隧道端点从所确定的虚拟网络中退出。3.根据权利要求1或2所述的控制装置,还具备: 第I存储部,存储与所述隧道端点连接的虚拟机; 第2存储部,存储所述虚拟机与虚拟网络的对应关系;以及 第3存储部,存储各所述隧道端点加入的虚拟网络, 所述控制装置参照所述第3存储部,判定所述虚拟机新连接的隧道端点是否加入了所确定的虚拟网络。4.根据权利要求1至3中任一项所述的控制装置,其中, 所述连接检测部根据来自虚拟化服务器的报告,检测所述虚拟机与隧道端点连接这一情况,所述虚拟化服务器是新连接的所述虚拟机进行动作的虚拟化服务器。5.根据权利要求1至3中任一项所述的控制装置,其中, 通过在构成所述隧道端点的交换机中设定控制信息,从而检测所述虚拟机与隧道端点连接这一情况,所述控制信息基于来自虚拟机的分组,通知所述虚拟机进行了连接这一情况。6.—种通信系统,包含控制装置和由所述控制装置控制的隧道端点,所述控制装置具备: 连接检测部,检测与作为虚拟隧道的终端点起作用的隧道端点新连接了虚拟机这一情况,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信; 虚拟网络确定部,基于将虚拟机和虚拟网络关联的信息,确定所检测出的虚拟机所属的虚拟网络;以及 隧道端点控制部,在所述隧道端点未加入所确定的虚拟网络的情况下,使所述隧道端点加入所确定的虚拟网络。7.根据权利要求6所述的通信系统,其中, 所述连接检测部如果检测出所述虚拟机从隧道端点的脱离,则对所述虚拟网络确定部通知所述虚拟机从隧道端点的脱离, 所述虚拟网络确定部基于将所述虚拟机和虚拟网络关联的信息,确定所述脱离的虚拟机所属的虚拟网络,对所述隧道端点控制部通知所述脱离的虚拟机所属的虚拟网络、以及所述虚拟机曾连接的隧道端点, 所述隧道端点控制部在由于所述虚拟机的脱离,使得经由该隧道端点与所确定的虚拟网络连接的虚拟机变得不存在的情况下,使所述隧道端点从所确定的虚拟网络中退出。8.根据权利要求6或7所述的通信系统,其中, 所述控制装置还具备: 第I存储部,存储与所述隧道端点连接的虚拟机; 第2存储部,存储所述虚拟机与虚拟网络的对应关系;以及 第3存储部,存储各所述隧道端点加入的虚拟网络, 所述控制装置参照所述第3存储部,判定所述虚拟机新连接的隧道端点是否加入了所确定的虚拟网络。9.根据权利要求6至8中任一项所述的通信系统,其中, 所述连接检测部根据来自虚拟化服务器的报告,检测所述虚拟机与隧道端点连接这一情况,所述虚拟化服务器是新连接的所述虚拟机进行动作的虚拟化服务器。10.根据权利要求6至9中任一项所述的通信系统,其中, 通过在构成所述隧道端点的交换机中设定控制信息,从而检测所述虚拟机与隧道端点连接这一情况,所述控制信息基于来自虚拟机的分组,通知所述虚拟机进行了连接这一情况。11.一种隧道端点的控制方法,包含由控制装置执行的如下步骤,所述控制装置对作为虚拟隧道的终端点起作用的隧道端点进行控制,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信,所述步骤为: 检测与所述隧道端点新连接了虚拟机这一情况的步骤; 基于将虚拟机和虚拟网络关联的信息,确定所检测出的虚拟机所属的虚拟网络的步骤;以及 在所述隧道端点未加入所确定的虚拟网络的情况下,使所述隧道端点加入所确定的虚拟网络的步骤。12.根据权利要求11所述的隧道端点的控制方法,还包含由所述控制装置执行的如下步骤: 检测所述虚拟机从隧道端点的脱离的步骤; 基于将所述虚拟机和虚拟网络关联的信息,确定所述脱离的虚拟机所属的虚拟网络的步骤;以及 在由于所述虚拟机的脱离,使得经由该隧道端点与所确定的虚拟网络连接的虚拟机变得不存在的情况下,使所述隧道端点从所确定的虚拟网络中退出的步骤。13.根据权利要求11或12所述的隧道端点的控制方法,其中, 所述控制装置参照存储各所述隧道端点加入的虚拟网络的存储部,判定所述虚拟机新连接的隧道端点是否加入了所确定的虚拟网络。14.根据权利要求11至13中任一项所述的隧道端点的控制方法,其中, 所述控制装置根据来自虚拟化服务器的报告,检测所述虚拟机与隧道端点连接这一情况,所述虚拟化服务器是新连接的所述虚拟机进行动作的虚拟化服务器。15.根据权利要求11至14中任一项所述的隧道端点的控制方法,其中, 所述控制装置通过在构成所述隧道端点的交换机中设定控制信息,从而检测所述虚拟机与隧道端点连接这一情况,所述控制信息基于来自虚拟机的分组,通知所述虚拟机进行了连接这一情况。16.一种程序,使计算机执行处理,所述计算机对作为虚拟隧道的终端点起作用的隧道端点进行控制,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信,所述程序使所述计算机执行如下处理: 检测与所述隧道端点新连接了虚拟机这一情况的处理; 基于将虚拟机和虚拟网络关联的信息,确定所检测出的虚拟机所属的虚拟网络的处理;以及 在所述隧道端点未加入所确定的虚拟网络的情况下,使所述隧道端点加入所确定的虚拟网络的处理。17.根据权利要求16所述的程序,还使所述计算机执行如下处理: 检测所述虚拟机从隧道端点的脱离的处理; 基于将所述虚拟机和虚拟网络关联的信息,确定所述脱离的虚拟机所属的虚拟网络的处理;以及 在由于所述虚拟机的脱离,使得经由该隧道端点与所确定的虚拟网络连接的虚拟机变得不存在的情况下,使所述隧道端点从所确定的虚拟网络中退出的处理。18.根据权利要求16或17所述的程序,其中, 使所述计算机参照存储各所述隧道端点加入的虚拟网络的、所述计算机的存储部,判定所述虚拟机新连接的隧道端点是否加入了所确定的虚拟网络。19.根据权利要求16至18中任一项所述的程序,其中, 使所述计算机根据来自虚拟化服务器的报告,检测所述虚拟机与隧道端点连接这一情况,所述虚拟化服务器是新连接的所述虚拟机进行动作的虚拟化服务器。20.根据权利要求16至19中任一项所述的程序,其中, 还使所述计算机执行如下处理: 在构成所述隧道端点的交换机中设定控制信息的处理,所述控制信息基于来自虚拟机的分组,通知所述虚拟机进行了连接这一情况, 使所述计算机根据来自所述构成所述隧道端点的交换机的通知,检测所述虚拟机与隧道端点连接这一情况。
【专利摘要】本发明提供一种控制装置、通信系统、隧道端点的控制方法以及程序,对使用虚拟隧道构成的虚拟网络中的TEP与虚拟网络之间的连接设定和管理的容易化做出贡献。控制装置具备:连接检测部,检测与作为虚拟隧道的终端点起作用的隧道端点新连接了虚拟机这一情况,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信;虚拟网络确定部,基于将虚拟机和虚拟网络关联的信息,确定所检测出的虚拟机所属的虚拟网络;以及隧道端点控制部,在所述隧道端点未加入所确定的虚拟网络的情况下,使所述隧道端点加入所确定的虚拟网络。
【IPC分类】H04L12/70
【公开号】CN104904165
【申请号】CN201380069364
【发明人】千叶靖伸, 须尧一志
【申请人】日本电气株式会社
【公开日】2015年9月9日
【申请日】2013年12月27日
【公告号】EP2942912A1, US20150365313, WO2014106945A1
【技术领域】
[0001]关于相关申请的记载
[0002]本发明基于日本专利申请特愿2013-000160号(2013年I月4日申请),该申请的全部记载内容通过引用而纳入本说明书进行记载。
[0003]本发明涉及控制装置、通信系统、隧道端点的控制方法以及程序,尤其涉及对属于使用虚拟隧道而构成的虚拟网络的虚拟机之间的通信进行控制的控制装置、通信系统、隧道端点的控制方法以及程序。
【背景技术】
[0004]近年来,作为考虑了对云计算的应用的隧道协议,提出了 VXLAN (VirtualExtensible Local Area Network,虚拟可扩展局域网)、NVGRE(Network Virtualizat1nusing Generic Routing Encapsulat1n,使用通用路由封装的网络虚拟化)、STT (Stateless Transport Tunneling,无状态传输隧道)等技术。非专利文献I是VXLAN的草案。
[0005]VXLAN是在作为虚拟隧道的终端点的隧道端点中对2层框架进行封装化的技术,此时,在封装头(外部头)中附加具有24比特的长度的VXLAN Network Identifier (VNI)(下面参照非专利文献I的Page 9 “5.VXLAN Frame Format”)。引人关注的是,该VNI是由IEEE 802.1Q规定的VLAN ID的2倍的长度,能够飞跃性地增大上述云计算环境中的“租户(物理网络的共享用户)”的数量(最大达到约1677万(224))。另外,非专利文献2是进行与VXLAN相同的隧道联网的NVGRE的草案。在NVGRE中,也通过具有24比特的长度的Tenant Network Identif ier (TNI),实现了可逻辑分配的段的数量的增大。
[0006]另一方面,提出了开放流(OpenFlow)技术(参照非专利文献3、4)。OpenFlow是将通信看做端到端的流,以流为单位进行路径控制、障碍恢复、负载分散、最佳化的。在非专利文献4中得到了标准化的OpenFlow交换机具备用于与OpenFlow控制器进行通信的安全隧道,按照从OpenFlow控制器适当指示追加或改写的流表进行动作。在流表中,针对每个流,定义与分组头进行比对的匹配条件(Match Fields)、流统计信息(Counters)、以及定义了处理内容的指示(Instruct1ns)的组(参照非专利文献4的“4.1 Flow Table”的项)。
[0007]例如,OpenFlow交换机在接收分组时,从流表中检索具有与接收分组的头信息相适合的匹配条件(参照非专利文献4的“4.3 Match Fields”)的项。在检索的结果是发现了与接收分组适合的项的情况下,OpenFlow交换机更新流统计信息(计数器),并对接收分组实施在该项的指示字段中记述的处理内容(从指定端口的分组发送、泛洪(flooding)、丢弃等)。另一方面,在检索的结果是未发现与接收分组适合的项的情况下,OpenFlow交换机经由安全隧道对OpenFlow控制器发送项设定的要求,即接收分组的处理内容的决定的要求(Packet-Ιη消息)。OpenFlow交换机获取规定了处理内容的流项而更新流表。如上述所示,OpenFlow交换机使用流表中存储的项作为处理规则而进行分组转发。
[0008]非专利文献1:M.Mahalingam 等 7 人,“VXLAN:A Framework for OverlayingVirtualized Layer 2 Networks over Layer 3 Network,,,[online],[平成 24(2012)年11 月 29 日检索],因特网 <URL:http://tools, ietf.0rg/pdf/draft-mahalingam-dutt-dcops-vxlan-02.pdf>
[0009]非专利文献2:Μ.Sridharan 等 8 人,“NVGRE:Network Virtualizat1n usingGeneric Routing Encapsulat1n”,[online],[平成 24 (2012)年 11 月 29 日检索],因特网〈URL:http://tools.1etf.0rg/pdf/draft-sridharan-virtualizat1n-nvgre-01.pdf>
[0010]非专利文献3:Nick McKeown 等 7 人,“OpenFlow:Enabling Innovat1n inCampus Networks,,,[online],[平成 24(2012)年 11 月 22 日检索],因特网〈URL:http://www.0penflow.0rg/documents/openflow-wp-latest.pdf>
[0011]非专利文献4:“0penFlow Switch Specificat1n,,,Vers1n 1.1.0Implemented (Wire Protocol 0x02),[online],[平成 24(2012)年 11 月 22 日检索],因特网〈URL:http://www.0penflow.0rg/documents/openflow-spec-vl.1.0.pdf>
【发明内容】
[0012]发明要解决的课题
[0013]下面的分析是由本发明给出的。在依据非专利文献I或2中记载的VXLAN或NVGRE等的虚拟隧道技术中,虚拟机经由对虚拟隧道进行端接的隧道端点(下面称为“TEP”),与连接于相向的TEP的相同虚拟网络的虚拟机进行通信。为了实现这种通信,需要进行设定,该设定用于使虚拟机所连接的TEP加入与该虚拟机相关联的虚拟网络(更严密地说,使TEP加入相应VNI的组播组)。
[0014]在虚拟化环境中,根据服务需要打开虚拟机或者将虚拟机转移(迀移)至其他虚拟化服务器,因此,在虚拟机通过依据非专利文献I或2中记载的VXLAN或NVGRE的虚拟隧道彼此通信的情况下,存在用于使TEP加入(连接)虚拟网络的设定、该设定的信息的管理变得复杂的问题。
[0015]本发明的目的在于提供一种控制装置、通信系统、隧道端点的控制方法以及程序,能够对使用虚拟隧道构成的虚拟网络中的TEP与虚拟网络之间的连接设定和管理的容易化做出贡献。
[0016]用于解决课题的手段
[0017]根据第I观点,提供一种控制装置,具备:连接检测部,检测与作为虚拟隧道的终端点起作用的隧道端点新连接了虚拟机这一情况,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信;虚拟网络确定部,基于将虚拟机和虚拟网络关联的信息,确定所述检测出的虚拟机所属的虚拟网络;以及隧道端点控制部,在所述隧道端点未加入所述确定的虚拟网络的情况下,使所述隧道端点加入所述确定的虚拟网络。
[0018]根据第2观点,提供一种通信系统,包含控制装置和由所述控制装置控制的隧道端点,所述控制装置具备:连接检测部,检测与作为虚拟隧道的终端点起作用的隧道端点新连接了虚拟机这一情况,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信;虚拟网络确定部,基于将虚拟机和虚拟网络关联的信息,确定所述检测出的虚拟机所属的虚拟网络;以及隧道端点控制部,在所述隧道端点未加入所述确定的虚拟网络的情况下,使所述隧道端点加入所述确定的虚拟网络。
[0019]根据第3观点,提供一种隧道端点的控制方法,包含由控制装置执行的如下步骤,所述控制装置对作为虚拟隧道的终端点起作用的隧道端点进行控制,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信,所述步骤为:检测与所述隧道端点新连接了虚拟机这一情况的步骤;基于将虚拟机和虚拟网络关联的信息,确定所述检测出的虚拟机所属的虚拟网络的步骤;以及在所述隧道端点未加入所述确定的虚拟网络的情况下,使所述隧道端点加入所述确定的虚拟网络的步骤。本方法与控制隧道端点的控制装置这一特定机器相联系O
[0020]根据本发明的第4观点,提供一种程序,该程序使计算机执行处理,所述计算机对作为虚拟隧道的终端点起作用的隧道端点进行控制,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信,所述程序使所述计算机 执行如下处理:检测与所述隧道端点新连接了虚拟机这一情况的处理;基于将虚拟机和虚拟网络关联的信息,确定所述检测出的虚拟机所属的虚拟网络的处理;以及在所述隧道端点未加入所述确定的虚拟网络的情况下,使所述隧道端点加入所述确定的虚拟网络的处理。此外,该程序能够记录在计算机可读取的(非暂时性的)存储介质中。即,本发明也能够具体实现为计算机程序产品。
[0021]发明效果
[0022]根据本发明,能够对使用虚拟隧道构成的虚拟网络中的TEP与虚拟网络之间的连接设定和管理的容易化做出贡献。
【附图说明】
[0023]图1是表示本发明的一个实施方式的结构的图。
[0024]图2是表示本发明的第I实施方式的通信系统的结构的图。
[0025]图3是表示本发明的第I实施方式的控制装置的详细结构的功能框图。
[0026]图4是本发明的第I实施方式的控制装置的VM-TEP连接状态存储部中保持的信息的一个例子。
[0027]图5是本发明的第I实施方式的控制装置的VM-虚拟NW关系存储部中保持的信息的一个例子。
[0028]图6是本发明的第I实施方式的控制装置的虚拟NW-TEP连接状态存储部中保持的信息的一个例子。
[0029]图7是表示与图2的TEP-2新连接了 VM7的状态的图。
[0030]图8是表示通过VM7的连接而在VM-TEP连接状态存储部中追加的项的图。
[0031]图9是表示由控制装置确定了新VM7所属的虚拟网络的状态的图。
[0032]图10是表示控制装置为了新VM7而将TEP与所属的虚拟网络进行连接的状态的图。
[0033]图11是表示通过TEP-2的连接而在虚拟NW-TEP连接状态存储部中追加的项的图。
【具体实施方式】
[0034]首先,参照附图对本发明的一个实施方式的概要进行说明。此外,该概要中附加的附图参照符号是作为用于帮助理解的一个例子,为了方便而对各要素附加的,并不意在将本发明限定于图示的方式。
[0035]在本发明的一个实施方式中,如图1所示,能够通过控制装置1A实现本发明,该控制装置1A具备虚拟网络确定部11、连接检测部12、以及TEP (隧道端点)控制部13。
[0036]更具体而言,连接检测部12检测与作为虚拟隧道的终端点起作用的隧道端点(例如图1的TEP-1)新连接了虚拟机(例如图1的VMl)这一情况,该虚拟隧道用于属于虚拟网络的虚拟机之间的通信。此外,作为检测虚拟机向TEP的连接的方法,能够采用各种方法,例如,从隧道端点接收关于该情况的通知的方法、从提供虚拟机或虚拟交换机的管理环境的虚拟网络的管理系统等获取通知的方法等。
[0037]接着,虚拟网络确定部11基于将虚拟机和虚拟网络关联的信息,确定所述检测出的虚拟机(例如图1的VMl)所属的虚拟网络。虚拟网络确定的方法能够使用如下方法:使用隧道端点保持的与管理虚拟机的MAC地址与VNI的关系的表同等的表等的方法、在来自隧道端点的虚拟机检测通知中包含VNI的方法等。
[0038]TEP控制部13在虚拟机(例如图1的VMl)新连接的隧道端点(例如图1的TEP-1)未加入所述确定的虚拟网络的情况下,使所述隧道端点加入所述确定的虚拟网络。具体而言,进行如下的处理,即,指示隧道端点加入(JOIN)由所述确定的虚拟网络构成的组播组。
[0039]通过上述操作,由虚拟机向隧道端点的连接引发的、隧道端点的设定得到自动化。
[0040][第I实施方式]
[0041]接着,参照附图详细说明本发明的第I实施方式。图2是表示本发明的第I实施方式的通信系统的结构的图。参照图2,示出了物理网络(物理NW)、使用该物理NW进行了逻辑划分的虚拟网络(虚拟mn?#3)、在虚拟mn?#3上构成虚拟隧道的隧道端点TEP-1?TEP-3、能够与这些隧道端点TEP-1?TEP-3连接的VMl?VM6、以及控制隧道端点TEP-1?TEP-3的控制装置10。
[0042]非专利文献1、2的VXLAN、NVGRE、STT是通过利用隧道端点,从而使各个VM即便不知道自身所属的虚拟网络的标识符等,也能够和与相同隧道端点或其他隧道端点连接的VM进行通信的技术,虚拟丽#1?#3是使用上述非专利文献1、2的VXLAN、NVGRE、STT或与它们同等的方式进行了逻辑划分的网络。
[0043]隧道端点TEP-1?TEP-3由从控制装置10进行控制的物理交换机或虚拟交换机等构成,在隔着虚拟NW相对的隧道端点之间构成虚拟隧道。作为隧道协议,能够使用非专利文献1、2的VXLAN、NVGRE, STT或与它们同等的协议。
[0044]VMl?VM6由省略图示的管理程序(hypervisor)等进行管理,在虚拟化服务器等上进行动作。在上述隧道端点TEP-1?TEP-3是物理交换机的情况下,VMl?VM6经由所述虚拟化服务器上设置的虚拟交换机与隧道端点TEP-1?TEP-3连接。此外,与图2的VMl?VM6 一起记载的编号#1?#3表示VMl?VM6分别所属的虚拟网络。
[0045]图3是表示本发明的第I实施方式的控制装置的详细结构的功能框图。参照图3,示出了具备如下部件的结构:虚拟网络确定部11、连接检测部12、TEP控制部13、VM-虚拟NW对应关系存储部(第2存储部)14、VM-TEP连接状态存储部(第I存储部)15、以及TEP加入状态存储部(第3存储部)16。
[0046]图4是本实施方式的控制装置的VM-TEP连接状态存储部15中保持的信息的一个例子。在图4的例子中,如图2所示,存储有表示VM1、VM2与隧道端点TEP-1连接的项。同样,存储有表示VM3、VM4与隧道端点TEP-2连接的项和表示VM5、VM6与隧道端点TEP-3连接的项。
[0047]连接检测部12如果检测出VM向TEP的新连接,则在VM-TEP连接状态存储部15中追加相应的项,将该情况通知给虚拟网络确定部11。另外,如果检测出VM从TEP的脱离或移动,则连接检测部12在VM-TEP连接状态存储部15中删除相应的项,将该情况通知给虚拟网络确定部11。
[0048]作为由控制装置10检测VM向TEP的连接的方法,除了前面所述的从TEP接收关于该情况的通知的方法、从提供虚拟机或虚拟交换机的管理环境的虚拟网络的管理系统等获取通知的方法等以外,还能够采用从VM的管理者或工作人员接收通知的方法、分析从VM发送的分组而基于其特征或标识符进行判定的方法等方法。
[0049]另外,作为由控制装置10检测VM向TEP的连接的方法,还能够采用由控制装置10的连接检测部12从管理虚拟机的其他装置(例如虚拟机管理装置、或者管理控制装置以及虚拟机管理装置的上级装置)接收VM向TEP的连接通知的方法。另外,也可以对虚拟机自身追加在TEP连接时对控制装置10通知向TEP的连接的功能。
[0050]另外,在TEP由非专利文献3、4的OpenFlow交换机构成的情况下,还能够采用如下方法,即,设定控制信息(flow entry),该控制信息将来自VM的分组发送至控制装置10。作为将分组发送至控制装置10的机制,既可以设定控制信息(flow entry),该控制信息用于在接收来自VM的分组时从与控制装置10连接的端口输出该分组,也可以使用如下机制,艮P,由OpenFlow交换机对OpenFlow控制器发送Packet-1n消息,该Packet-1n消息要求控制信息(flow entry)的发送。
[0051]图5是本实施方式的控制装置的VM-虚拟NW对应关系存储部14中保持的信息的一个例子。在图5的例子中,与图2所示相同,存储有表示如下对应关系的项:VM1、VM4、VM5属于虚拟网络#1,VM2、VM6、VM7属于虚拟网络#3,VM3属于虚拟网络#2。此外,作为图5所示的这种VM-虚拟NW对应关系,还能够从各TEP取得映射信息而进行使用,该映射信息是TEP为了判定接收分组的转发目的地而保持的信息,表示VM的MAC地址与VNI (TNI)的对应性(参照非专利文献 I 的 “4.1.Unicast VM to VM communicat1n,,)。
[0052]虚拟网络确定部11如果从连接检测部12接收新VM的连接通知,则参照VM-虚拟NW对 应关系存储部14,确定新VM应属于的虚拟网络,将其结果通知给TEP控制部13。虚拟网络确定部11如果从连接检测部12接收VM的脱离通知,则参照VM-虚拟NW对应关系存储部14,确定新VM应属于的虚拟网络,将该情况通知给TEP控制部13。
[0053]TEP控制部13如果从虚拟网络确定部11接收VM的连接或脱离、以及所述确定的虚拟网络的通知,则参照TEP加入状态存储部16,判定TEP是否需要加入虚拟网络,根据其结果进行TEP的控制。例如,TEP控制部13在接收了新VM的连接通知的情况下,参照图6所示的虚拟网络与TEP的连接状态,在新检测出的VM所连接的TEP未加入相应的虚拟网络的情况下,进行使新检测出的VM所连接的TEP加入(JOIN)由相应的虚拟网络构成的组播组的处理。另外,例如,TEP控制部13在由于所述VM的脱离使得经由该隧道端点与所述确定的虚拟网络连接的虚拟机变得不存在的情况下,进行使VM所脱离的TEP从相应的虚拟网络的组播组退出(LEAVE)的处理。另外,TEP控制部13根据所述TEP的对虚拟网络的加入、退出,更新TEP加入状态存储部16的内容。
[0054]所述对组播组的加入、退出,例如在VXLAN的情况下,通过对管理组播组的路由器等发送 IGMP(Internet Group Management Protocol,因特网组管理协议)的消息(JOIN/LEAVE)而进行(参照非专利文献 I 的 “4.2.Broadcast Communicat1n and Mapping toMulticast”)。当然,也能够使用其他的组播组的管理协议。
[0055]此外,在图3的结构中,为了进行说明,采用了使VM-虚拟NW对应关系存储部14、VM-TEP连接状态存储部15、以及TEP加入状态存储部16分别独立的结构,但也可以设置合并这些存储部而得到的数据库等。另外,对于虚拟网络确定部11、连接检测部12、以及TEP控制部13,也能够适当地进行合并。
[0056]接着,参照【附图说明】本实施方式的动作。下面,举出从图2的状态起与TEP新连接了 VM的例子进行说明。
[0057]图7是表示从图2的状态起,VM7打开并与TEP-2连接的状态的图。控制装置10的连接检测部12如果检测出VM7向TEP-2的连接,则如图8所示在VM-TEP连接状态存储部15中追加将VM7和TEP-2关联的项,通知给虚拟网络确定部11 (步骤S001)。
[0058]接着,虚拟网络确定部11参照VM-虚拟NW对应关系存储部14,确定与TEP-2连接的VM7所属的虚拟网络。在图5的例子中,VM7与虚拟网络#3关联,因而虚拟网络确定部11如图9所示,将虚拟网络#3确定为VM7所属的虚拟网络(步骤S002)。虚拟网络确定部11对TEP控制部13通知属于虚拟网络#3的VM7与TEP-2连接。
[0059]接收了所述通知的TEP控制部13参照TEP加入状态存储部16,判定TEP-2是否已经加入虚拟网络#3。在判定的结果是TEP-2未加入虚拟网络#3的情况下,TEP控制部13如图10所示进行使TEP-2加入虚拟网络#3的处理(步骤S003)。另外,TEP控制部13如图11所示在TEP加入状态存储部16中追加将TEP-2和虚拟网络#3关联的项。
[0060]然后,例如,如果VM7从TEP-2脱离,则控制装置10的连接检测部12在检测出VM7从TEP-2脱离时,如图4所示从VM-TEP连接状态存储部15中删除将VM7和TEP-2关联的项,通知给虚拟网络确定部11。
[0061]接着,虚拟网络确定部11参照VM-虚拟NW对应关系存储部14,确定从TEP-2脱离的VM7所属的虚拟网络。在图5的例子中,VM7与虚拟网络#3关联,因而虚拟网络确定部11对TEP控制部13通知属于虚拟网络#3的VM7从TEP-2脱离。
[0062]接收了所述通知的TEP控制部13参照VM-TEP连接状态存储部15以及TEP加入状态存储部16,判定由于VM7的脱离,经由TEP-2与虚拟网络#3连接的VM是否存在。在判定的结果是经由TEP-2与虚拟网络#3连接的VM变得不存在的情况下,TEP控制部13进行使TEP-2从虚拟网络#3退出的处理。另外,TEP控制部13如图6所示从TEP加入状态存储部16中删除将TEP-2和虚拟网络#3关联的项。
[0063]如上述所示,与VM的相对于TEP的连接或脱离联动地、执行TEP对虚拟网络的加入或脱离。其结果是,不需要进行TEP与虚拟网络之间的连接设定或复杂的管理,减轻网络管理者的负担。
[0064]以上说明了本发明的实施方式,但本发明是不受上述实施方式的限定的,在不脱离本发明的基本技术思想的范围内,能够施加进一步的变形/置换/调整。例如,上述实施方式中使用的网络结构、要素的数量不存在限制。
[0065]最后,对本发明的优选的方式进行要点归纳。
[0066][第I方式]
[0067](参照上述第I观点的控制装置)
[0068][第2方式]
[0069]在第I方式的控制装置中,
[0070]所述连接检测部如果检测出所述虚拟机从隧道端点的脱离,则对所述虚拟网络确定部通知所述虚拟机从隧道端点的脱离,
[0071]所述虚拟网络确定部基于将虚拟机和虚拟网络关联的信息,确定所述脱离的虚拟机所属的虚拟网络,对所述隧道端点控制部通知所述脱离的虚拟机所属的虚拟网络、以及所述虚拟机曾连接的隧道端点,
[0072]所述隧道端点控制部在由于所述虚拟机的脱离,使得经由该隧道端点与所述确定的虚拟网络连接的虚拟机变得不存在的情况下,使所述隧道端点从所述确定的虚拟网络中退出。
[0073][第3方式]
[0074]在第I或第2方式的控制装置中,
[0075]还具备:
[0076]第I存储部,存储与所述隧道端点连接的虚拟机;
[0077]第2存储部,存储所述虚拟机与虚拟网络的对应关系;以及
[0078]第3存储部,存储所述各隧道端点加入的虚拟网络,
[0079]所述控制装置参照所述第3存储部,判定所述新连接了虚拟机的隧道端点是否加入了所述确定的虚拟网络。
[0080][第4方式]
[0081]在第I至第3方式中任一方式的控制装置中,
[0082]所述连接检测部利用来自虚拟化服务器的报告,检测所述虚拟机与隧道端点连接这一情况,所述虚拟化服务器是所述新连接的虚拟机进行动作的虚拟化服务器。
[0083][第5方式]
[0084]在第I至第3方式中任一方式的控制装置中,
[0085]通过在构成所述隧道端点的交换机中设定控制信息,从而检测所述虚拟机与隧道端点连接这一情况,所述控制信息基于来自虚拟机的分组,通知所述虚拟机进行了连接这一情况。
[0086][第6方式]
[0087](参照上述第2观点的通信系统)
[0088][第7方式]
[0089](参照上述第3观点的隧道端点的控制方法)
[0090][第8方式]
[0091](参照上述第4观点的程序)
[0092]此外,上述第6?第8方式与第I方式同样,能够展开为第2?第5方式。
[0093]此外,上述专利文献以及非专利文献的各公开内容通过引用而纳入本说明书中。在本发明的全部公开(包括权利要求书)的框架内,并且基于其基本技术思想,能够对实施方式或实施例进行变更、调整。另外,在本发明的权利要求书的框架内,能够进行各种公开要素(包括各权利要求项的各要素、各实施方式或实施例的各要素、各附图的各要素等)的多种组合或选择。即,本发明当然包含本领域技术人员按照包含权利要求书在内的全部公开、技术思想可以得到的各种变形、修正。尤其是,关于本说明书中记载的数值范围,该范围内包含的任意的数值或小范围在没有特别的记载的情况下也应当解释为得到了具体的记载。
[0094]符号说明
[0095]10U0A控制装置
[0096]11虚拟网络确定部
[0097]12连接检测部
[0098]13 TEP 控制部
[0099]14 VM-虚拟NW对应关系存储部(第2存储部)
[0100]15 VM- TEP连接状态存储部(第I存储部)
[0101 ] 16 TEP加入状态存储部(第3存储部)
[0102]TEP-1 ?TEP-3 隧道端点
[0103]VMl?VM6虚拟机
【主权项】
1.一种控制装置,具备: 连接检测部,检测与作为虚拟隧道的终端点起作用的隧道端点新连接了虚拟机这一情况,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信; 虚拟网络确定部,基于将虚拟机和虚拟网络关联的信息,确定所检测出的虚拟机所属的虚拟网络;以及 隧道端点控制部,在所述隧道端点未加入所确定的虚拟网络的情况下,使所述隧道端点加入所确定的虚拟网络。2.根据权利要求1所述的控制装置,其中, 所述连接检测部如果检测出所述虚拟机从隧道端点的脱离,则对所述虚拟网络确定部通知所述虚拟机从隧道端点的脱离, 所述虚拟网络确定部基于将所述虚拟机和虚拟网络关联的信息,确定所述脱离的虚拟机所属的虚拟网络,对所述隧道端点控制部通知所述脱离的虚拟机所属的虚拟网络、以及所述虚拟机曾连接的隧道端点, 所述隧道端点控制部在由于所述虚拟机的脱离,使得经由该隧道端点与所确定的虚拟网络连接的虚拟机变得不存在的情况下,使所述隧道端点从所确定的虚拟网络中退出。3.根据权利要求1或2所述的控制装置,还具备: 第I存储部,存储与所述隧道端点连接的虚拟机; 第2存储部,存储所述虚拟机与虚拟网络的对应关系;以及 第3存储部,存储各所述隧道端点加入的虚拟网络, 所述控制装置参照所述第3存储部,判定所述虚拟机新连接的隧道端点是否加入了所确定的虚拟网络。4.根据权利要求1至3中任一项所述的控制装置,其中, 所述连接检测部根据来自虚拟化服务器的报告,检测所述虚拟机与隧道端点连接这一情况,所述虚拟化服务器是新连接的所述虚拟机进行动作的虚拟化服务器。5.根据权利要求1至3中任一项所述的控制装置,其中, 通过在构成所述隧道端点的交换机中设定控制信息,从而检测所述虚拟机与隧道端点连接这一情况,所述控制信息基于来自虚拟机的分组,通知所述虚拟机进行了连接这一情况。6.—种通信系统,包含控制装置和由所述控制装置控制的隧道端点,所述控制装置具备: 连接检测部,检测与作为虚拟隧道的终端点起作用的隧道端点新连接了虚拟机这一情况,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信; 虚拟网络确定部,基于将虚拟机和虚拟网络关联的信息,确定所检测出的虚拟机所属的虚拟网络;以及 隧道端点控制部,在所述隧道端点未加入所确定的虚拟网络的情况下,使所述隧道端点加入所确定的虚拟网络。7.根据权利要求6所述的通信系统,其中, 所述连接检测部如果检测出所述虚拟机从隧道端点的脱离,则对所述虚拟网络确定部通知所述虚拟机从隧道端点的脱离, 所述虚拟网络确定部基于将所述虚拟机和虚拟网络关联的信息,确定所述脱离的虚拟机所属的虚拟网络,对所述隧道端点控制部通知所述脱离的虚拟机所属的虚拟网络、以及所述虚拟机曾连接的隧道端点, 所述隧道端点控制部在由于所述虚拟机的脱离,使得经由该隧道端点与所确定的虚拟网络连接的虚拟机变得不存在的情况下,使所述隧道端点从所确定的虚拟网络中退出。8.根据权利要求6或7所述的通信系统,其中, 所述控制装置还具备: 第I存储部,存储与所述隧道端点连接的虚拟机; 第2存储部,存储所述虚拟机与虚拟网络的对应关系;以及 第3存储部,存储各所述隧道端点加入的虚拟网络, 所述控制装置参照所述第3存储部,判定所述虚拟机新连接的隧道端点是否加入了所确定的虚拟网络。9.根据权利要求6至8中任一项所述的通信系统,其中, 所述连接检测部根据来自虚拟化服务器的报告,检测所述虚拟机与隧道端点连接这一情况,所述虚拟化服务器是新连接的所述虚拟机进行动作的虚拟化服务器。10.根据权利要求6至9中任一项所述的通信系统,其中, 通过在构成所述隧道端点的交换机中设定控制信息,从而检测所述虚拟机与隧道端点连接这一情况,所述控制信息基于来自虚拟机的分组,通知所述虚拟机进行了连接这一情况。11.一种隧道端点的控制方法,包含由控制装置执行的如下步骤,所述控制装置对作为虚拟隧道的终端点起作用的隧道端点进行控制,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信,所述步骤为: 检测与所述隧道端点新连接了虚拟机这一情况的步骤; 基于将虚拟机和虚拟网络关联的信息,确定所检测出的虚拟机所属的虚拟网络的步骤;以及 在所述隧道端点未加入所确定的虚拟网络的情况下,使所述隧道端点加入所确定的虚拟网络的步骤。12.根据权利要求11所述的隧道端点的控制方法,还包含由所述控制装置执行的如下步骤: 检测所述虚拟机从隧道端点的脱离的步骤; 基于将所述虚拟机和虚拟网络关联的信息,确定所述脱离的虚拟机所属的虚拟网络的步骤;以及 在由于所述虚拟机的脱离,使得经由该隧道端点与所确定的虚拟网络连接的虚拟机变得不存在的情况下,使所述隧道端点从所确定的虚拟网络中退出的步骤。13.根据权利要求11或12所述的隧道端点的控制方法,其中, 所述控制装置参照存储各所述隧道端点加入的虚拟网络的存储部,判定所述虚拟机新连接的隧道端点是否加入了所确定的虚拟网络。14.根据权利要求11至13中任一项所述的隧道端点的控制方法,其中, 所述控制装置根据来自虚拟化服务器的报告,检测所述虚拟机与隧道端点连接这一情况,所述虚拟化服务器是新连接的所述虚拟机进行动作的虚拟化服务器。15.根据权利要求11至14中任一项所述的隧道端点的控制方法,其中, 所述控制装置通过在构成所述隧道端点的交换机中设定控制信息,从而检测所述虚拟机与隧道端点连接这一情况,所述控制信息基于来自虚拟机的分组,通知所述虚拟机进行了连接这一情况。16.一种程序,使计算机执行处理,所述计算机对作为虚拟隧道的终端点起作用的隧道端点进行控制,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信,所述程序使所述计算机执行如下处理: 检测与所述隧道端点新连接了虚拟机这一情况的处理; 基于将虚拟机和虚拟网络关联的信息,确定所检测出的虚拟机所属的虚拟网络的处理;以及 在所述隧道端点未加入所确定的虚拟网络的情况下,使所述隧道端点加入所确定的虚拟网络的处理。17.根据权利要求16所述的程序,还使所述计算机执行如下处理: 检测所述虚拟机从隧道端点的脱离的处理; 基于将所述虚拟机和虚拟网络关联的信息,确定所述脱离的虚拟机所属的虚拟网络的处理;以及 在由于所述虚拟机的脱离,使得经由该隧道端点与所确定的虚拟网络连接的虚拟机变得不存在的情况下,使所述隧道端点从所确定的虚拟网络中退出的处理。18.根据权利要求16或17所述的程序,其中, 使所述计算机参照存储各所述隧道端点加入的虚拟网络的、所述计算机的存储部,判定所述虚拟机新连接的隧道端点是否加入了所确定的虚拟网络。19.根据权利要求16至18中任一项所述的程序,其中, 使所述计算机根据来自虚拟化服务器的报告,检测所述虚拟机与隧道端点连接这一情况,所述虚拟化服务器是新连接的所述虚拟机进行动作的虚拟化服务器。20.根据权利要求16至19中任一项所述的程序,其中, 还使所述计算机执行如下处理: 在构成所述隧道端点的交换机中设定控制信息的处理,所述控制信息基于来自虚拟机的分组,通知所述虚拟机进行了连接这一情况, 使所述计算机根据来自所述构成所述隧道端点的交换机的通知,检测所述虚拟机与隧道端点连接这一情况。
【专利摘要】本发明提供一种控制装置、通信系统、隧道端点的控制方法以及程序,对使用虚拟隧道构成的虚拟网络中的TEP与虚拟网络之间的连接设定和管理的容易化做出贡献。控制装置具备:连接检测部,检测与作为虚拟隧道的终端点起作用的隧道端点新连接了虚拟机这一情况,所述虚拟隧道用于属于虚拟网络的虚拟机之间的通信;虚拟网络确定部,基于将虚拟机和虚拟网络关联的信息,确定所检测出的虚拟机所属的虚拟网络;以及隧道端点控制部,在所述隧道端点未加入所确定的虚拟网络的情况下,使所述隧道端点加入所确定的虚拟网络。
【IPC分类】H04L12/70
【公开号】CN104904165
【申请号】CN201380069364
【发明人】千叶靖伸, 须尧一志
【申请人】日本电气株式会社
【公开日】2015年9月9日
【申请日】2013年12月27日
【公告号】EP2942912A1, US20150365313, WO2014106945A1
最新回复(0)