[发明专利]对容器的逻辑处理

说明书

一些实施例提供了用于第一受管理的转发元件(MFE)的方法。该方法接收数据消息，数据消息包括识别特定逻辑转发元件的逻辑端口的逻辑上下文标签。基于逻辑上下文标签，该方法将本地标签添加到数据消息。本地标签与特定逻辑转发元件相关联，逻辑转发元件是在容器虚拟机(VM)上运行的一个或多个容器所属的几个逻辑转发元件之一。容器VM连接到第一MFE。该方法在没有任何逻辑上下文的情况下将数据消息递送给容器VM。在容器VM上运行的第二MFE使用本地标签将数据消息转发到在容器VM上运行的几个容器中的正确容器。

背景技术

越来越多的应用被部署到虚拟机(VM)中，其中许多应用消耗网络和安全服务(例如，防火墙、访问控制列表(ACL)、服务质量(QoS)等)。在虚拟化网络中，虚拟化系统可以进一步虚拟化其它系统，从而增加了在虚拟接口背后创建一层虚拟接口的系统的复杂性和深度。例如，在VM上运行的Linux容器可以创建几个接口共享VM的单个接口(也被称为容器VM)。共享容器VM的单个接口的容器接口可能使得难以提供普遍适用的网络虚拟化平台，该平台为非容器VM以及为在系统中的容器VM内执行的容器提供网络和安全服务。

发明内容

本发明的一些实施例提供了一种网络控制系统，用于定义连接在网络中的主机机器上运行的虚拟机(VM)以及在网络的主机机器之一上运行的另一个VM(即，容器VM)内运行的容器(例如，Linux容器、VM等)的逻辑网络。一些实施例的网络控制系统定义在逻辑上连接主机机器上的VM和在容器VM上运行的容器的逻辑网络的逻辑数据路径。在一些实施例中，网络控制系统包括管理在主机机器上且在容器VM内的转发元件以实现逻辑网络的控制器集合。

在一些实施例中，网络中的每个主机机器包括用于虚拟化主机机器的物理资源的虚拟化软件(例如，管理程序)和用于将网络流量(例如，数据消息)转发到虚拟机和从虚拟机转发网络流量的主机受管理的转发元件(managed forwarding element，MFE)。在一些实施例中，主机MFE在虚拟化软件内运行。此外，一些主机机器包括连接到主机MFE的一个或多个VM，其中一些VM可以是托管容器集合的容器VM。在一些实施例中，本地MFE在每个容器VM内运行，以便将数据消息转发到容器VM内托管的容器和从容器VM内托管的容器转发数据消息。

一些实施例的网络控制系统包括用于管理主机MFE和本地MFE的控制器集合。在一些实施例中，控制器集合配置主机MFE和本地MFE，以根据由网络的管理员配置的逻辑转发元件(例如，逻辑交换机、逻辑路由器)，在逻辑上转发容器和VM的数据消息。一些实施例的控制器集合包括用于管理容器VM的本地MFE的本地VM控制器(LVC)集合、用于管理主机机器的主机MFE的本地主机控制器(LHC)集合、以及用于管理LHC和/或LVC以实现逻辑网络的逻辑转发元件(LFE)的集中式网络控制器(CNC)集合。

不同的控制器可以以不同的方式跨不同的机器分布，从而在与它们管理的元件相同的机器或分离的机器上运行。例如，一些实施例的LHC在具有主机MFE的主机机器上(例如，在虚拟化软件内)运行，而在其它实施例中，LHC在与主机机器分离的机器上运行并且通过网络与主机MFE通信。在一些实施例中，网络控制系统配置MFE(主机MFE和本地MFE两者)，以便将容器VM的容器以及非容器VM附连到一个或多个LFE。

为了将容器附连到特定的LFE，一些实施例的LHC从在容器VM上运行的LVC接收关于容器VM的容器的容器信息。在一些实施例中，容器信息包括地址信息(例如，MAC地址、IP地址)以及在容器中运行的应用的应用状态数据。一些实施例的容器信息识别容器的本地标签值(例如，VLAN ID)到逻辑数据(例如，逻辑端口、LFE等)的映射。

在一些实施例中，映射向由容器VM的MFE实现的每个LFE(即，在容器VM中运行的容器之一所连接到的每个LFE)提供不同的本地标签值。在其它实施例中，不是向每个LFE分配本地标签值，而是本地控制器向容器VM上的每个容器分配不同的本地标签值，而与容器所关联的LFE无关。