基于服务功能链的多租户处理方法与流程

本发明有关于一种电脑技术，尤指一种基于服务功能链(servicefunctionchain，sfc)的多租户处理方法。

背景技术：

在网络功能虚拟化(networkfunctionvirtualization，nfv)领域中，通常通过诸如虚拟局域网(virtuallocalareanetwork，vlan)，虚拟可扩展局域网(virtualextensiblelocalareanetwork，vxlan)和通用路由封装(genericroutingencapsulation，gre)等覆盖网络协议来隔离不同租户的服务功能链(servicefunctionchain，sfc)。来自某一服务功能链(sfc)的数据流被阻止流入另一服务功能链(sfc)，以确保隔离。

另一方面，与人工智能(artificialintelligence，ai)相关的网络功能，例如深度学习和大数据分析，则需要大量的训练数据。某些ai应用程序可能需要从多个租户(即从多个sfc)收集训练数据以优化ai功能。但是，从多个sfc收集数据违反了sfc隔离。

技术实现要素：

有鉴于此，本发明实施例所揭露的方法允许跨服务功能链(sfc)进行海量数据收集，以实现海量数据处理功能(例如大数据或ai应用程序)，而不会破坏服务功能链(sfc)之间的隔离。委派器不会直接相互通信以维持委派器隔离和服务功能链(sfc)隔离。

本发明实施例揭露一种基于服务功能链的多租户处理方法，适用于电子装置，包括：由租户感知服务功能委派器从第一服务功能链实例接收出口封包；由租户感知服务功能委派器转发出口封包至租户感知服务功能；由租户感知服务功能转发出口封包至第一服务功能链外部的外部网络服务功能；透过租户感知服务功能由外部网络服务功能接收入口封包，其中入口封包用以传送至第一服务功能链实例；由租户感知服务功能转发入口封包至租户感知服务功能委派器；以及由租户感知服务功能委派器转发入口封包至第一服务功能链实例。

根据本发明实施例，多租户处理方法包括透过租户感知服务功能委派器由出口封包移除对应于第一服务功能链的服务功能链封装。

根据本发明实施例，多租户处理方法包括透过租户感知服务功能委派器封装入口封包。

根据本发明实施例，多租户处理方法包括利用回调功能撷取与入口封包有关的租户数据库的纪录，以形成对应于第一服务功能链的服务功能链封装，用于封装入口封包。

根据本发明实施例，多租户处理方法包括透过租户感知服务功能委派器转发入口封包至第一服务功能链实例的跨域桥接功能。

根据本发明实施例，多租户处理方法包括：由租户感知服务功能委派器从第二服务功能链实例接收接续出口封包；由租户感知服务功能委派器转发接续出口封包至租户感知服务功能；由租户感知服务功能转发接续出口封包至第二服务功能链外部的外部网络服务功能；透过租户感知服务功能由外部网络服务功能接收接续入口封包，其中接续入口封包用以传送至第二服务功能链实例；由租户感知服务功能转发接续入口封包至租户感知服务功能委派器；以及由租户感知服务功能委派器转发接续入口封包至第二服务功能链实例。

根据本发明实施例，多租户处理方法包括透过租户感知服务功能委派器由接续出口封包移除对应于第二服务功能链的服务功能链封装。

根据本发明实施例，多租户处理方法包括透过租户感知服务功能委派器在接续入口封包封装对应于第二服务功能链的服务功能链封装。

根据本发明实施例，多租户处理方法包括由第二服务功能链实例的跨域桥接功能接收接续出口封包。

根据本发明实施例，多租户处理方法包括透过租户感知服务功能委派器转发接续入口封包至第二服务功能链实例的跨域桥接功能。

附图说明

图1显示根据本发明实施例所述的系统的功能方块图。

图2显示根据本发明实施例所述的跨域网桥以及租户感知服务功能委派器的功能方块图。

图3显示根据本发明实施例所述的基于服务功能链的多租户处理方法的示意图。

图4显示根据本发明实施例所述的sfc封包首标的示意图。

图5显示根据本发明实施例所述的电子装置的功能方块图。

主要元件符号说明

sfc控制器100

域110a、110b、110c、120

委派器121、121a、121b、121c

cdb网关1211

代理1212

cdb表1213、512

租户数据库1214

回调功能1215

租户感知服务功能130

外部服务功能140

sfc分类器200a、200b

服务功能转发器301a-303a、301b-303b

服务功能400、401a-403a、401b-403b

跨域网桥501、501a、502b

cdb处理器511

数据流801、802

分类器字段803

电子装置900

处理器901

内存902

大容量储存器903

网络接口904

步骤流程s2-s26

如下具体实施方式将结合上述附图进一步说明本发明。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图与实施例对本发明进一步的详细描述，应当理解，本发明提供许多可供应用的发明概念，其可以多种特定型式实施。文中所举例讨论的特定实施例仅为制造与使用本发明的特定方式，非用以限制本发明的范围。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。此外，在不同实施例中可能使用重复的标号或标示。这些重复仅为了简单清楚地叙述本发明，不代表所讨论的不同实施例及/或结构之间具有任何关联性。其中，图示和说明书中使用的相同的组件编号可表示相同或类似的组件。需要说明的是，当一个组件被认为是“连接”另一个组件，它可以是直接连接到另一个组件或者可能同时存在居中设置的组件。当一个组件被认为是“设置在”另一个组件，它可以是直接设置在另一个组件上或者可能同时存在居中设置的组件。本文所使用的术语“竖直的”、“水平的”以及类似的表述只是为了说明的目的。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。下面结合附图，对本发明的一些实施方式作详细说明。在不冲突的情况下，下述的实施方式及实施方式中的特征可以相互组合。

本发明实施例揭露一种基于服务功能链的多租户处理方法。图1显示根据本发明实施例所述的系统的功能方块图。如图1所示，第一租户的服务功能链(sfc)启用的域(enableddomain)110a包括sfc分类器200a，服务功能转发器(servicefunctionforwarder，sff)301a-303a以及服务功能((servicefunction，sf)401a-403a。第二租户的服务功能链(sfc)启用的域110b包括sfc分类器(classifier)200b，服务功能转发器(sff)301b-303b和服务功能(sf)401b-403b。

sfc分类器200a可以发起服务功能路径(servicefunctionpath，sfp)作为服务功能链(sfc)的域110a的实例。服务功能路径(sfp)是服务链使用的一种机制，用于表达将更精细的策略和操作约束应用于服务功能链(sfc)的抽象要求的结果。服务功能链(sfc)启用的域110a的服务功能路径(sfp)包括一组有序集合服务功能(sf)401a、402a、403a。分类器是执行分类功能的组件。分类功能的定义可以参照internet工程任务组(internetengineeringtaskforce，ietf)rfc7665。sfc分类器200a连接到服务功能转发器(sff)301a-303a。服务功能转发器(sff)301a连接到服务功能(sf)401a。服务功能转发器(sff)302a连接到服务功能(sf)402a。服务功能转发器(sff)303a连接到服务功能(sf)403a。服务功能(sf)403a包括跨域网桥(crossdomainbridge，cdb)501a。sfc封包的数据流801经过服务功能路径(sfp)，并且sfc封包依序由数据流801内的分类器200a、服务功能转发器(sff)301a、服务功能(sf)401a、服务功能转发器(sff)301a、服务功能转发器(sff)302a、服务功能(sf)402a、服务功能转发器(sff)302a、服务功能转发器(sff)303a、服务功能(sf)403a、服务功能转发器(sff)303a所处理。图1中的实体可以包括提供特定功能的物理实体或虚拟实体。例如，跨域网桥(cdb)501a可以是物理实体跨域桥接设备或者是由sf所执行的跨域网桥功能。

服务功能链(sfc)启用的域110b的服务功能路径(sfp)包括一组有序集合服务功能(sf)401b、402b和403b。sfc分类器200b连接到服务功能转发器(sff)301b-303b。服务功能转发器(sff)301b连接到服务功能(sf)401b。服务功能转发器(sff)302b连接到服务功能(sf)402b。服务功能转发器(sff)303b连接到服务功能(sf)403b。服务功能(sf)401b包括跨域网桥(cdb)501b。sfc封包的数据流802经过服务功能路径(sfp)，并且sfc封包依序由数据流802内的分类器200b、服务功能转发器(sff)301b、服务功能(sf)401b、服务功能转发器(sff)301b、服务功能转发器(sff)302b、服务功能(sf)402b、服务功能转发器(sff)302b、服务功能转发器(sff)303b、服务功能(sf)403b和服务功能转发器(sff)303b所处理。

服务功能链(sfc)启用的域120被称为非军事区(demilitarizedzone)或代理域(brokerdomain)，并且具有多个委派器121a、121b和121c，包括租户感知服务功能委派器(tenant-awareservicefunctiondelegator)。委派器121a通过跨域网桥(cdb)501a与域110a交互。委派器121b通过租户感知服务功能委派器与域110b交互。委派器121c可以通过另一个跨域网桥与另一个服务功能链(sfc)启用的域进行交互。每一委派器121a、121b和121c可以通过租户感知服务功能(tenantawareservicefunction，tasf)130与恶意软件保护功能，大数据分析功能，人工智能(ai)功能等的外部服务功能140交互。大数据分析功能和人工智能(ai)功能是消耗大量数据集的海量数据处理功能的示例。委派器之间并不直接进行通信，因此得以维持委派器隔离和服务功能链(sfc)隔离。每个委派器都将个服务功能链(sfc)启用的域(例如服务功能路径(sfp))连接到租户感知服务功能(tasf)。

必须注意的是，图1中的实体的布置是为了帮助理解本说明书，并非用来限制本说明书的范围。例如，域120可以包括任意数量的可与服务功能链(sfc)启用的域交互的委派器。域110a和110b中的每个服务功能路径(sfp)可以包括任意数量的服务功能(sf)。一个服务功能转发器(sff)可以连接到一个服务功能(sf)或多个服务功能(sf)。跨域网桥可以位于另一个服务功能(sf)中。

如图2所示，域120包括委派器121。图1的委派器121a，121b和121c可以是委派器121的实施例。委派器121包括cdb网关1211、代理1212、cdb表1213、租户数据库1214和回调功能(callbackfunction)1215。

服务功能(sf)400包括cdb501。图1的跨域网桥(cdb)501a和502b可以是跨域网桥(cdb)501的实施例。图1的服务功能转发器(sff)403a和服务功能转发器(sff)401b可以是服务功能(sf)400的实施例。

跨域网桥(cdb)501包括cdb处理器511和cdb表512。sfc控制器100连接到cdb处理器511和cdb网关1211。sfc控制器100可以包括异构控制/策略点的示例性实施例，如rfc7665中所述。cdb处理器511从sfc控制器100接收路由信息，该路由信息用于将封包从跨域网桥(cdb)501转发到委派器121。cdb表512存储该路由信息。cdb网关1211从sfc控制器100接收用于将封包从委派器121转发到跨域网桥(cdb)501的路由信息。cdb表1213存储该路由信息。租户数据库1214存储与服务功能(sf)400的服务功能路径(sfp)和服务功能链(sfc)启用的域相关联的记录。代理1212与租户感知服务功能(tasf)130进行交互。以下说明图2组件之间交互的情况。

参考图1-3，数据流801中的第一出口封包依序由分类器200a、服务功能转发器(sff)301a、服务功能(sf)401a、服务功能转发器(sff)301a、服务功能转发器(sff)302a、服务功能(sf)402a、服务功能转发器(sff)302a、服务功能转发器(sff)303a和服务功能(sf)403a所处理。如图1所示，服务功能(sf)403a可以根据图3处理第一出口封包(参考图2中的服务功能(sf)400)，并将处理后的封包转发到服务功能转发器(sff)303a和域110a中的其余服务功能路径(sfp)。类似地，如图2所示，参照图1，数据流802中的第二出口封包依序由分类器200b、服务功能转发器(sff)301b和服务功能(sf)401b所处理。服务功能(sf)401b可以根据图3处理第二出口封包(参考图2中的服务功能(sf)400)并将处理后的封包转发到域110b中的服务功能转发器(sff)301b、服务功能转发器(sff)302b、服务功能(sf)402b、服务功能转发器(sff)303b和服务功能(sf)403b以及其余服务功能路径(sfp)。

参照图3，服务功能(sf)400的跨域网桥(cdb)501中的cdb处理器511接收sfc封包(例如第一出口封包或第二出口封包)，并参考cdb表512中的路由信息来更新该封包的网络服务首标(networkserviceheader，nsh)(步骤s2)，并将封包从cdb处理器511转发到cdb网关1211。图4显示根据本发明实施例所述的sfc封包首标的示意图。参照图4，cdb处理器511可以基于跨域网桥(cdb)512中的路由信息来修改封包的网络服务首标(nsh)中的下一分类器字段803，以将封包从cdb处理器511转发到cdb网关1211。例如，修改后的下一分类器字段803代表作为分类器的cdb网关1211的分类器标识符。cdb处理器511根据修改后的下一个分类器字段803将封包从cdb处理器511转发到cdb网关1211(步骤s4)。

cdb网关1211接收并处理该封包以产生第一处理封包(步骤s6)，并将具有网络服务首标(nsh)的第一处理封包发送至代理1212(步骤s8)。在步骤s6中，cdb网关1211接收该封包并撷取该封包的网络服务首标(nsh)中的元数据，去除该封包的网络服务首标(nsh)以产生第一处理封包。代理1212利用回调功能(callbackfunction)1215处理第一处理封包，以产生第二处理封包(步骤s10)。步骤s10中的回调功能1215可以检索和利用与服务功能(sf)400的服务功能链(sfc)启用的域相关联的租户数据库1214中的元数据和记录，以处理第一处理封包。在以服务功能(sf)403a用作服务功能(sf)400的实施例中，步骤s10中的回调功能1215可以检索和利用与服务功能(sf)403a的服务功能链(sfc)启用的域110a相关联的租户数据库1214中的元数据和记录，以处理第一处理封包。在服务功能(sf)401b用作服务功能(sf)400的实施例中，步骤s10中的回调功能1215可以检索和利用与服务功能(sf)401a的服务功能链(sfc)启用的域110b相关联的租户数据库1214中的元数据和记录，以处理第一处理封包。代理1212将第二处理封包发送到租户感知服务功能(tasf)130(步骤s12)。

租户感知服务功能(tasf)130执行服务功能以处理第二处理封包并产生第三处理封包(步骤s14)。租户感知服务功能(tasf)130可以通过处理来自多个服务功能链(sfc)启用的域(例如域110a和110b)的封包来汇总信息，并且为ai相关的服务功能，大数据分析相关的服务功能或外部服务功能(例如图1中的外部服务功能140)提供汇总的信息。

租户感知服务功能(tasf)130接收入口(ingress)封包并将入口封包发送到代理1212(步骤s16)。例如，入口封包可以是从外部服务功能140发送的封包。可替代地，入口封包可以是第三处理封包。例如，委派器121a可以为委派器121的实施例，根据图3处理第一入口封包，并将处理后的第一入口封包转发到域110a中的服务功能路径(sfp)的跨域网桥(cdb)501a。类似地，委派器121b可以为委派器121的实施例，根据图3处理第二入口封包，并将处理后的第二入口封包转发到域110b中的服务功能路径(sfp)的跨域网桥(cdb)501b。

委派器120中的代理1212接收并使用回调功能1215来处理入口封包并产生第四处理封包(步骤s18)。在步骤s18中，代理1212可以更新与入口封包相关联的元数据和记录到租户数据库1214中。步骤s18中的回调功能1215可以检索并更新与服务功能(sf)400的服务功能链(sfc)启用的域相关联的租户数据库1214中的元数据和记录，以处理和产生第四处理封包。在以服务功能(sf)403a作为服务功能(sf)400的实施例中，步骤s18中的回调功能1215可以检索并更新与服务功能(sf)403a的服务功能链(sfc)启用的域110a相关联的租户数据库1214中的元数据和记录，以处理和产生第四处理封包。在以服务功能(sf)401b作为服务功能(sf)400的实施例中，步骤s18中的回调功能1215可以检索并更新与sf401b的服务功能链(sfc)启用的域110b相关联的租户数据库1214中的元数据和记录，以处理和产生第四处理封包。

代理1212将具有相关联的元数据和纪录的第四处理封包发送到cdb网关1211(步骤s20)。cdb网关1211利用具有相关联的元数据和纪录的第四处理封包，以网络服务首标(nsh)来封装第四处理封包，进而产生第五处理封包(步骤s22)。在步骤s22中，cdb网关1211接收第四处理封包，参考cdb表1213，并根据cdb表1213中的路由信息更新并附加第四处理封包的网络服务首标(nsh)，以转发来自cdb网关1211的第五处理封包到cdb处理器511。

cdb网关1211可以基于跨域网桥(cdb)512中的路由信息来修改第四处理封包的网络服务首标(nsh)中的下一个分类器字段，以将封包从cdb网关1211转发到cdb处理器511。第四处理封包中的下一分类器字段代表用作分类器的跨域网桥(cdb)501的分类器标识符。

cdb网关1211将第五处理封包发送到跨域网桥(cdb)501中的cdb处理器511(步骤s24)。cdb处理器5011接收并处理第五处理封包以产生第六处理封包(步骤s26)。在以服务功能(sf)403a作为服务功能(sf)400的实施例中，服务功能(sf)403a将第六处理封包转发到服务功能转发器(sff)303a以及域110a中的其余服务功能路径(sfp)。在以服务功能(sf)401b作为服务功能(sf)400的实施例中，服务功能(sf)401b将第六处理封包转发到服务功能转发器(sff)301b以及域110b中的其余服务功能路径(sfp)。

参照图5，本揭露所公开的方法可通过储存在储存媒体中的计算器程序来实现，例如电子装置900中的大容量储存器903。当计算器程序由处理器901加载到内存902中时，使得电子装置900中的处理器901执行所揭露的封包转发方法。处理器901通过网络接口904与其他实体进行通信。图1中的sfc控制器，分类器，服务功能(sf)和服务功能转发器(sff)，皆可为电子装置900的实施例。在其他实施例，图1中的sfc控制器，分类器，服务功能(sf)和服务功能转发器(sff)的组合可由电子装置900之一或多个虚拟机中运行。

根据本发明实施例所揭露的基于服务功能链(sfc)的多租户处理方法允许在服务功能链(sfc)启用的域(例如域110a，110b和110c)之间进行隔离，同时促进透过服务功能链(sfc)启用的域中的cdb、非军事区中的委派器、以及租户感知服务功能(tasf)，从多个服务功能路径(sfp)的sfc封包数据流汇总与租户有关的信息。本发明实施例所揭露的方法允许跨服务功能链(sfc)进行海量数据收集，以实现海量数据处理功能(例如大数据或ai应用程序)，而不会破坏服务功能链(sfc)之间的隔离。委派器不会直接相互通信以维持委派器隔离和服务功能链(sfc)隔离。每个委派器连接到服务功能链(sfc)启用的域(例如服务功能路径(sfp))和租户感知服务功能(tasf)。

对本领域的普通技术人员来说，可以根据本发明的发明方案和发明构思结合生成的实际需要做出其他相应的改变或调整，而这些改变和调整都应属于本发明权利要求的保护范围。