[发明专利]多租户云中服务功能链路由更新装置和方法

说明书

本发明公开了一种多租户云中服务功能链路由更新装置和方法。其中，所述装置包括：设置在多租户云系统控制层内的网络功能映射更新模块和服务功能链路由更新模块；所述网络功能映射更新模块用于根据收集到的流量信息，定时的更新每个租户被分配的网络功能集合，以及每个网络功能服务的租户集合；所述服务功能链路由更新模块用于在网络功能和链路过载时，在预设的更新时间内对当前的服务功能链路由配置进行更新。本发明实施例通过限制每个租户被分配的网络功能数量和每个网络功能可以服务的租户数量来保证系统的鲁棒性，通过在预设的更新时间内对当前的服务功能链路由配置进行更新，且仅选择对当前网络性能提升较大的流量进行更新实现了系统实时性的要求。

技术领域

本发明属于多租户云网络技术领域，具体地涉及一种多租户云中服务功能链路由更新装置和方法。

背景技术

在多租户云中，云供应商(例如，Amazon Web Services和Google CloudPlatform)将计算资源以虚拟机(VM)的方式为租户(例如，企业)提供计算资源。

通过租用VM，租户不仅可以将他们的计算任务(例如训练深度神经网络)迁移到云中，还可以将他们的网络功能(NF)(例如入侵检测系统和防火墙)迁移到云端。为增强网络性能和安全性，租户的请求应该按照特定的顺序遍历所需的NF。例如，一个被转发到安全服务器的受保护请求必须穿过防火墙，然后是入侵检测/预防系统(IDS/IPS)。

通常，这样一组有序的网络功能NF被称为服务功能链(SFC)，而如何操纵请求以满足SFC要求被称为SFC路由。由于多租户云中的工作负载随时间变化，SFC路由配置可能只在短时间内有效，过时的SFC路由配置将导致部分链路和NF过载，增大端到端延迟。因此，SFC路由配置必须根据当前的请求/流量特征定期更新，这称为SFC路由更新。

中央控制器至少需要0.5毫秒来更新交换机上的路由规则。考虑到通常每分钟都会有大量请求/流注入云端，若一次性更新大量请求的路由，会给中央控制器带来巨大的开销，增大更新延迟。由于多租户云中的工作负载是随时间变化，更新时延过大会使得新的SFC路由配置不再适用于当前的网络状态，从而不能达到网络负载均衡和减小端到端延迟的目的。

此外,在更新SFC路由配置时，一方面，恶意租户可能会使用恶意程序来收集其他租户以及系统的信息。借助这些信息，他们可以发起网络攻击，例如分布式拒绝服务(DDoS)等。另一方面，普遍存在的NF失效(由连接错误、硬件故障和过载等问题引起)也会削弱系统的鲁棒性。

综上所述，在SFC路由更新过程中，以下两个重要的需求应该被考虑：1)更新的SFC配置应该在有限的时间内被部署，即实时更新；2)当遇到系统事故(例如恶意租户和NF失效)时，更新的SFC路由配置应该满足系统的鲁棒性要求。而传统的路由更新方案主要关注于提高数据层面的性能，例如最大化资源利用率、网络负载均衡等，却忽略了更新时延对路由配置有效性的影响，并且没有考虑如何设计SFC路由配置以降低恶意租户和NF失效对系统鲁棒性的影响。

发明内容

针对上述存在的技术问题，本发明提出了一种多租户云中服务功能链路由更新装置和方法，以提高多租户云服务功能链路由更新的实时性和鲁棒性。

一方面，本发明实施例提供了一种多租户云中服务功能链路由更新装置，所述装置包括：

设置在多租户云系统控制层内的网络功能映射更新模块和服务功能链路由更新模块；

其中，所述网络功能映射更新模块用于根据收集到的流量信息，定时的更新每个租户被分配的网络功能集合，以及每个网络功能可以服务的租户集合；

所述服务功能链路由更新模块用于在网络功能和链路过载时，对当前的服务功能链路由配置进行更新。

可选的，所有网络功能集合中网络功能的个数小于或等于第一设定阈值。