[发明专利]基于虚拟交换机中流表结构隔离的流表查询方法及系统

说明书

本发明提出一种基于虚拟交换机中流表结构隔离的流表查询方法及系统，包括为系统中每一台虚拟机分配独立的流表；从虚拟机接收数据包时，获取该虚拟机的流表，作为当前流表，根据数据包中五元组信息，在当前流表中完成查表流程，得到流表中匹配目的项，以执行相应操作；为网卡端口添加预分类模块和每一台虚拟机的流表子模块，其中预分类模块包括目的IP和流表子模块间的对应关系，每个流表子模块存有与其对应虚拟机的独立的流表；从网卡端口接收数据包时，根据目的IP，查询预分类模块，得到对应的流表子模块，在对应的流表子模块中完成查表流程，得到流表中匹配目的项，以执行相应操作。

技术领域

本发明涉及虚拟化环境中租户的性能隔离，提出了一种在虚拟交换机中的 VM的流表结构隔离的流表查询方法。

背景技术

自云计算提出以来，以其高性价比和灵活性收到业界的青睐。而今，云计算已经成为一种服务部署和提供范例，越来越多的服务甚至网络架构都依托云平台来实现，如云化数据中心系统、云化运营商网络等。

在云平台上，大量的服务被部署为虚拟机(VM)或容器的形式，它们通过软件实现的虚拟交换机(vSwitch)实现与外部网络的通信。vSwitch主要为这些虚拟机VM提供数据转发和流表(flow table)查询的功能。其中流表查询是指在vSwitch中，根据数据包的五元组信息(源IP、目的IP、源端口号、目的端口号和传输层协议)在流表中匹配目的项，并执行相应的操作，例如操作是指存储在流表中的action，即匹配到相应的流表条目，就会执行该条目的action，场景的操作有转发数据包至某一端口、丢弃该数据包、对该数据包所属的流进行限速等。随着软件定义网络(SDN)的大量应用，数据包查找和分类信息也更加复杂，同时随着服务器上部署的VM数量越来越多，一个 vSwitch需要负责的VM数量也越来越多，这为vSwitch中的流表查询带来了严峻的挑战，其中最严重的就是隔离性问题。

在目前的vSwitch流表查找模块设计中，大多数设计依旧倾向于沿袭自硬件交换机中的查表架构，即用一张表来记录和存储所有VM的规则和表项。在这种设计下，vSwitch查表的速度与流表的规模直接相关，这样VM之间可能会因为流表数目的量级不同而产生相互影响。一个最简单的例子就是，VM1在流表中的规则只有1条，而VM2属于另一个大租户，其往流表中添加的规则有 1000条，那么在集中式的流表转发下，vSwitch对于这两个VM的查表性能是相同的，很显然VM1受累于VM2的流表规模。这便是vSwitch中集中式流表结构带来的隔离性问题。