QUIC和任播代理弹性的制作方法

本公开内容一般而言涉及使用quic和基于quic加密的多路复用应用基板(multiplexed application substrate over quic encryption，masque)协议来表达网络策略和建立连接隧道，以为远程用户提供对(一个或多个)专用应用的访问，处理(一个或多个)连接迁移以及执行网络流策略。

背景技术：

1、基于云的服务提供商网络(通常被描述为“超级扩展器(hyperscaler)”)提供基于云的服务，以满足用户的计算服务需求，而用户无需投资和维护实现服务所需的计算基础设施。例如，云服务提供商可以运营数据中心的网络，这些数据中心(例如，公共数据中心)容纳了大量相互连接的计算系统，这些计算系统由服务提供商配置，向用户(或“客户”)提供基于云的服务。这些服务提供商网络可以基于需要，提供基于网络的计算资源。例如，服务提供商网络可以允许用户购买和利用计算资源，例如虚拟机(“vm”)实例、计算资源、数据存储资源、数据库资源、联网资源、网络服务和其他类型的计算资源。用户可以对服务提供商网络提供的计算资源进行配置，以实现所需的功能，例如向用户的企业提供基于网络的应用或其他类型的功能。虽然基于超大规模业者(hyperscaler)的数据中心越来越受欢迎，但传统企业管理的数据中心仍然被广泛使用。这些部署的组合通常被称为“混合的”数据中心。一般来说，远程用户能够通过使用虚拟专用网络(vpn)或基于代理的解决方案来连接到这些基于网络的应用和/或企业功能。

2、虽然存在额外的方法使远程用户连接到专用企业应用，但是在传统上，vpn隧道和反向代理技术是最常见的。然而，两种途径都有局限性。虽然vpn隧道可以与任何应用和协议合作，但是可能在网络内打开一个大的攻击面。此外，虽然基于代理的解决方案允许更好的边缘控制(这导致了更小的攻击面)，但它们通常不能良好地与不基于传输控制协议(tcp)的协议配合使用，并且需要额外的解决方案来将非tcp协议转换为tcp协议，或将非tcp协议封装在tcp中，这可能影响代理本身的性能等。

3、此外，执行代理解决方案的代理节点作为连接(例如，tcp或udp连接)的中间盒，并且允许客户端连接到公共互联网协议(ip)地址，而后端处理可以在未连接到公共ip地址的节点上执行。代理通常通过接收传入连接、终止连接以及在后端打开新连接来实现这一点。虽然这些代理技术在传统上是在tcp和(用户数据报协议)udp协议上执行的，但是这些同样的代理技术可以在quic协议上执行。不过，由于quic协议利用udp作为底层传输，因此可能难以处理quic代理节点的故障转移或替换，并且难以提供tcp或udp代理所提供的无缝用户体验。此外，quic协议被设计为不与版本未知的中间盒互操作。此外，quic可以以只有端点和quic服务器可能知道这种变化的方式来迁移会话。然而，中间盒以可靠和可预测的方式处理彼此不同的quic流将是可取的。

4、此外，基于quic加密的多路复用应用基板(masque)协议提供了一种用于利用单个代理解决方案来代理不同类型的协议(例如，http代理、通过https的dns、quic代理、udp代理和ip代理)的机制。然而，masque协议没有提供用于通过masque隧道来代理l2以太网分组的机制，例如，基于ip的隧道协议以太网(ethernet over ip，eoip)。

5、因此，现有的解决方案往往有许多缺点，而且可能难以表达网络策略和建立安全连接隧道来为远程用户提供对(一个或多个)专用应用的访问和执行网络流策略。

技术实现思路

技术特征：

1.一种方法，包括：

2.根据权利要求1所述的方法，还包括：

3.根据权利要求1或2所述的方法，还包括：

4.根据权利要求1至3中任一项所述的方法，其中：

5.根据权利要求1至4中任一项所述的方法，其中，所述quic代理服务在第一quic代理节点上执行，并且所述数据存储能够由以下项中的至少一项访问：

6.根据权利要求1至5中任一项所述的方法，其中，所述事件是第一事件，并且所述quic代理服务是在第一代理节点上执行的所述quic代理服务的第一实例，并且所述方法还包括：

7.根据权利要求6所述的方法，其中：

8.一种系统，包括：

9.根据权利要求8所述的系统，其中：

10.根据权利要求8或9所述的系统，其中，所述数据存储能够由以下项中的至少一项访问：

11.根据权利要求8至10中任一项所述的系统，其中，所述事件为第一事件，并且所述操作还包括：

12.根据权利要求11所述的系统，所述操作还包括：

13.根据权利要求11或12所述的系统，所述操作还包括：

14.根据权利要求11至13中任一项所述的系统，其中：

15.一种方法，包括：

16.根据权利要求15所述的方法，其中，所述事件指示与所述第一quic连接相关联的所述中断，并且所述方法还包括：

17.根据权利要求15或16所述的方法，其中，所述事件指示与所述第二quic连接相关联的所述中断，并且所述方法还包括：

18.根据权利要求17所述的方法，还包括：

19.根据权利要求15至18中任一项所述的方法，其中：

20.根据权利要求15至19中任一项所述的方法，其中，所述数据存储能够由以下项中的至少一项访问：

21.一种装置，包括：

22.根据权利要求21所述的装置，还包括用于实现根据权利要求2至7中任一项所述的方法的装置。

23.一种装置，包括：

24.根据权利要求23所述的装置，还包括用于实现根据权利要求16至20中任一项所述的方法的装置。

25.一种计算机程序、计算机程序产品或计算机可读介质，包括指令，该指令当被计算机执行时，使得所述计算机执行根据权利要求1至7或15至20中任一项所述的方法的步骤。

技术总结
本文描述了对跨代理节点、数据中心和/或专用应用节点的QUIC连接会话的迁移进行管理的技术。代理节点和/或应用节点可以访问的全局键‑值数据存储可以存储以下项之间的映射：在代理节点前端的与代理节点和客户端设备相关联的第一QUIC连接、以及在代理节点后端的与代理节点和应用节点相关联的第二QUIC连接。由于代理节点可以访问全局键‑值数据存储，当代理节点在前端或后端接收到QUIC分组时，代理节点可以确定将该连接映射到相对端的哪个位置。此外，由于全局键‑值数据存储对于应用节点是可访问的，当应用节点接收到QUIC分组时，应用节点可以确定与连接相关联的客户端设备。

技术研发人员：凯尔·安德鲁·唐纳德·梅斯特里,文森特·E·帕拉
受保护的技术使用者：思科技术公司
技术研发日：
技术公布日：2024/12/5