[发明专利]逻辑网关处的服务插入方法、设备和系统

说明书

许多公司和其他实体使用软件定义的数据中心(例如，本地数据中心和/或公共云数据中心)来托管其网络。软件定义的数据中心的提供商通常提供各种网络安全选项，但一些实体希望将现有的第三方安全服务(或其他服务)合并到它们的托管网络中。因此，用于更容易地将这些服务合并到虚拟网络中的技术将是有用的。

背景技术

许多公司和其他实体使用软件定义的数据中心(例如，本地数据中心和/或公共云数据中心)来托管其网络。软件定义的数据中心的提供商通常提供各种网络安全选项，但一些实体想要将现有的第三方安全服务(或其他服务)合并到它们的托管网络中。因此，用于更容易地将这些服务合并到虚拟网络中的技术将是有用的。

发明内容

一些实施例提供了一种网络管理和控制系统，其使得能够集成用于处理进入和/或退出逻辑网络的数据流量的第三方服务机器。这些第三方服务可以包括各种类型的非分组转发服务，诸如防火墙、虚拟专用网(VPN)服务、网络地址转换(NAT)、负载平衡等。在一些实施例中，网络管理和控制系统管理这些服务机器的集成，但不管理机器本身的生命周期。

在一些实施例中，逻辑网络包括逻辑网络端点(例如，诸如虚拟机、容器等的数据计算节点)连接到的至少一个逻辑交换机以及用于处理进入和/或退出逻辑网络的数据流量的逻辑路由器。此外，逻辑网络可以包括通过前述逻辑路由器或另一逻辑路由器彼此逻辑连接的多个逻辑交换机。在一些实施例中，逻辑网络包括多层级(tier)的逻辑路由器。第一层级中的逻辑路由器连接逻辑交换机(例如，特定租户的逻辑交换机)组。针对向和从逻辑网络发送的数据流量(例如，来自连接到逻辑网络中托管的web服务器的外部客户端的数据流量等)，这些第一层级逻辑路由器连接到第二层级中的逻辑路由器。第二层级逻辑路由器至少部分地以集中式方式实现，用于处理到外部网络的连接，并且在一些实施例中，第三方服务机器附接到这些逻辑路由器的集中式组件。其他实施例的逻辑网络仅包括第三方服务附接到的单个层级的逻辑路由器。

在一些实施例中，网络管理和控制系统(后面被称为网络控制系统)接收(i)定义逻辑网络(即，逻辑交换机、数据计算节点到逻辑交换机的附接、逻辑路由器等)的配置数据以及(ii)将第三方服务附接到逻辑路由器(即，处理到外部网络的连接的逻辑路由器)的配置数据这两者。基于该配置数据，网络控制系统配置各种受管理转发元件(managedforwarding element)以实现逻辑转发元件(逻辑交换机、逻辑路由器的分布式方面等)以及逻辑网络的其他分组处理操作(例如，分布式防火墙规则)。此外，一些实施例配置在网关机器上操作的特定受管理转发元件，以实现处理逻辑网络到一个或多个外部网络的连接的集中式逻辑路由组件。网关机器上的这种受管理转发元件还被配置为经由网关的单独的接口将逻辑网络和外部网络之间的该流入和/或流出数据流量的至少子集重定向(例如，使用基于策略的路由)到所附接的第三方服务。

在一些实施例中，接收附接第三方服务的配置数据包括若干单独的配置输入(例如，来自管理员)。在配置逻辑路由器之后，一些实施例接收(i)定义逻辑路由器的服务附接接口、(ii)定义服务附接接口连接到的逻辑交换机、(iii)定义服务接口(例如，数据流量被重定向到的服务机器的接口)、以及(iv)将逻辑路由器的服务附接接口和服务接口连接到逻辑交换机的配置数据。此外，在一些实施例中，管理员定义指定哪些流入和/或流出流量被重定向到服务接口的规则或一组规则。

一些实施例使用各种不同的拓扑来使得多个服务能够连接到逻辑路由器。例如，多个服务可以连接到同一逻辑交换机，在这种情况下，这些服务都具有同一子网中的接口，并且可以在彼此之间直接发送数据流量(如果被配置为这样做的话)。在此设置中，逻辑路由器可以具有连接到逻辑交换机的单个接口(针对到所有服务的流量)，或者针对每个附接的服务连接到逻辑交换机的单独的接口。在其他情况下，可以针对每个服务定义单独的逻辑交换机(其中单独的逻辑路由器接口连接到每个逻辑交换机)。此外，可以针对每个服务机器定义多个接口，用于处理不同的流量集合(例如，去往/来自不同外部网络或不同逻辑网络子网的流量)。