Hermes：一個基於代理的通用網路架構

Hermes 透過在用戶端部署可動態重構的代理伺服器，並利用 HTTP 協議的擴展性，構建了一個覆蓋網路，以解決現有網路架構在服務品質、網路管理和安全性方面的挑戰。

這篇研究論文介紹了 Hermes，一個基於可重構代理覆蓋網路的通用網路架構。Hermes 將網路任務從應用程式和服務委託給覆蓋代理，並採用 HTTP 作為核心組件，並結合輔助組件來促進服務交付、增強通信並改善終端用戶體驗。 核心概念 Hermes 融合了以下概念，以作為通用且適應性强的通信媒介： 將網路任務從應用程式或服務委託給可動態重構的代理覆蓋網路。 這使得應用程式和服務只需与其本地代理通信，而無需擔心底層網路的複雜性。由於代理是可動態重構的，因此它們可以適應服務和網路條件的變化。 充當 UDP、TCP 或 HTTP 代理，以保持與網際網路的相容性。 代理是 IP 端點，監聽 UDP 和 TCP 埠，並且應該能夠至少在 UDP、TCP 和 HTTP 層處理資料，將封裝在 UDP 或 TCP 中的流量發送到下一個目的地。 根據 HTTP 標頭中定義的語義處理和路由流量。 每個代理都可以將自定義 HTTP 標頭附加到輸入流量中。這些標頭可用於實現特定操作、執行分散式除錯、使用戶端資訊豐富輸入流量以及做出路由決策等。 充當流量處理點，而不僅僅是簡單的轉發器。 代理可以使用輔助組件來增強其功能，例如創建通道設備以將常規 IP 封包重定向到其 UDP 或 TCP 監聽埠、執行本地演算法以更好地處理輸入流量、進階快取和策略執行。所有這些輔助組件都由控制平面管理，並通過覆蓋代理進行通信。 Hermes 的組成部分和角色 Hermes 有兩個主要組成部分：覆蓋代理和控制平面。 代理 覆蓋代理是軟體組件和 IP 端點，它們具有關聯的 TCP 或 UDP 埠以及 IPv4 或 IPv6 位址，至少充當 UDP、TCP 和 HTTP 代理工具。為了使代理能夠處理 IP 封包代理，它們可以創建通道設備，以將 IP 封包重定向到它們正在偵聽的 TCP 或 UDP 埠。這可以由代理本身完成，也可以藉助輔助組件完成。 代理可以添加、刪除、附加或修改接收資料的有效負載和標頭資訊。它們可以配置為使用 CONNECT 方法建立新的 HTTP 通道並通過 HTTP 代理 TCP [39]、使用 CONNECT-UDP 方法通過 HTTP 代理 UDP [20]，以及使用 CONNECT-IP 方法通過 HTTP 代理常規 IP 封包 [21]（即 MASQUE 架構 [23]）。如果需要，代理也可以在不通過 HTTP 建立通道的情況下執行 TCP 或 UDP 轉發。它們可以完全控制流量路由，可以收集遙測資料，並且可以由控制平面動態配置。 Hermes 為代理假設了兩種角色：依賴代理和獨立代理。代理始終可以與輔助組件配對以增強其功能。這些組件應可由控制平面配置，並且應僅通過代理進行通信。作為架構的核心元素，終端用戶設備必須連接到依賴代理，而其他代理的包含是可選的。流量一旦通過終端用戶的本地依賴代理，就可以路由到各種目的地，例如公共網際網路、不同於網際網路的網路架構、具有舊版應用程式和服務的組織或雲端環境中的服務網格等。圖 1 顯示了依賴代理和獨立代理的不同配置。黑盒子代表實體機器，依賴代理和獨立代理分別以 DP 和 SaP 顯示。 依賴代理。 依賴代理從終端主機（包括終端用戶設備，作為流量的來源或目的地）接收流量，並根據圖 1a 到 1c 充當一個或多個應用程式或服務的通信閘道器。所有進入覆蓋網路或退出到應用程式或服務的相關流量都必須通過依賴代理。儘管這些代理可能對應用程式或服務知之甚少或一無所知，但它們在確保順暢通信方面發揮著至關重要的作用。此定義與代理的角色有關，而与其物理位置無關。因此，依賴代理可能是單獨的組件，也可能與每個應用程式捆綁在一起（圖 1a），在多個應用程式之間共用（圖 1b），或者可能未與其充當閘道器的應用程式或服務所在的設備物理共置（圖 1c）；但是，終端用戶可以通過其本地網路訪問它們。該架構要求在通信的終端用戶端至少運行一個依賴代理。 依賴代理利用 HTTP 標頭使用覆蓋網路特定資訊擴充輸入流量，覆蓋網路使用這些資訊來確定後續操作。這些資訊可以包括用戶身份、專用位址空間資料或通道詳細資訊等。如果輸入流量不是 HTTP，則依賴代理可以使用 MASQUE 架構將其通過 HTTP 建立通道，並附加相關標頭。但是，代理仍然需要將輸入流量與適當的標頭相關聯。一種方法是將標頭鏈接到代理正在偵聽的埠。例如，如果只有與資料庫相關的流量到達埠 1000，則資料庫特定標頭將附加到代理流量。由於代理可以建立常規 IP 封包的通道，因此需要一種分割通道機制將每個網路位址與特定埠相關聯，從而建立基於 IP 的位址空間。例如，發往 10.10.0.0/16 網路的流量可以通過代理創建的通道設備或通過其輔助組件定向到代理上的埠 10000 UDP。然後，代理可以附加與網路位址相對應的 HTTP 標頭，並將流量發送到覆蓋網路。 獨立代理。 獨立代理充當軟體路由器，在覆蓋網路的不同部分之間路由流量，並且它們從依賴代理接收流量，類似於圖 1d。這些代理可能會採用策略執行器和進階流量修改組件作為其輔助組件。此外，獨立代理可以僅依靠 TCP 或 UDP 轉發來提高覆蓋網路效能，或者在不需要 HTTP 處理時使用。例如，如第 III-B 節所示，代理可以充當 TCP 轉發器，以確保終端用戶和目的地之間的端到端安全 TLS 連接，從而无需信任覆蓋代理。 請注意，代理可以同時具有依賴代理和獨立代理的角色。它可以在其一個埠上接收來自其他代理的流量（充當獨立代理），同時也在另一個埠上與本地應用程式通信（充當依賴代理）。 控制平面 控制平面是系統的關鍵部分，其基本組件包括覆蓋網路控制器、基礎架構控制器、配置資料庫以及可觀察性和管理工具。如圖 2 所示，控制平面由這四個關鍵組件組成。 覆蓋網路控制器。 覆蓋網路控制器負責覆蓋代理及其輔助組件的放置、配置這些代理和組件，以及管理其生命週期。它通過根據需要實施各種資源分配和網路管理解決方案，確保覆蓋網路保持健康和高效。 基礎架構控制器。 基礎架構控制器負責管理託管代理的基礎架構和實體機器。它直接與覆蓋網路控制器通信，以啟動、停止、擴展代理或管理機器上的其他資源。 配置資料庫。 配置資料庫存儲所有覆蓋網路組件的配置，這些配置指定了它們如何處理流量。覆蓋網路控制器寫入配置資料庫以更新覆蓋網路配置，並在必要時將最新配置推送到覆蓋網路組件，以確保它們保持最新狀態。 可觀察性和監控組件。 可觀察性和監控組件收集並存儲有關覆蓋網路狀態、資源使用情況和終端用戶遙測等指標的資料。覆蓋網路控制器依靠這些資料來檢測網路和服務問題，並優化覆蓋網路的效率。 現在我們已經討論了覆蓋網路組件，我們可以在覆蓋網路中定義用戶。 終端用戶。 終端用戶是通過覆蓋網路的流量來源。流量可能來自物聯網設備、行動設備或其他系統，並且覆蓋網路與來源無關。終端用戶應控制代理，並能夠根據需要啟動或停止代理。 服務和通信提供者。 這些是使用覆蓋網路來改善終端用戶體驗或增強通信或服務交付的組織或個人。 覆蓋網路運營商。 覆蓋網路運營商是設置控制平面和配置代理的組織或個人。覆蓋網路運營商可能與服務或通信提供者不同，並且可能是第三方。覆蓋網路運營商控制其域內的代理，但 Hermes 覆蓋網路可以跨越多個域，需要多個覆蓋網路運營商，每個運營商負責其自己的域。 控制平面的組件在邏輯上是集中式的。每個域都需要自己的獨立控制平面，並且自治域中控制器之間的連接可以通過自定義介面或帶外通信建立。下一節將說明多域 Hermes 覆蓋網路部署的示例。 部署範例 以下描述了一個多域部署的示例。在此示例中，我們利用第 II-A 節中介紹的所有四個設計概念來演示 Hermes 如何支援假設的網路架構 FutureNet 在自治域之間傳輸資料。需要注意的是，多域部署需要多個域瞭解 Hermes 覆蓋網路，並且會帶來典型的單域部署不會遇到的複雜性。 FutureNet 擁有自己的基於 IP 的傳輸協議，並且已經為其客戶分配了唯一的位址空間（例如 10.10.0.0/24）。FutureNet 用戶通過專用客戶端訪問資源及其專用位址空間。雖然 FutureNet 可以使用傳統的 VPN 客戶端實現此用例，但如第 III-C 節所示，VPN 方法在靈活性和策略執行方面有許多限制。此外，如果 FutureNet 依賴 VPN 方法，它將失去通過覆蓋網路傳輸資料的好處，例如改進通過網際網路的流量路由，這是像 Akamai [8] 這樣的私有覆蓋網路多年來一直利用的優勢。 FutureNet 通過網際網路使用屬性“Experimental: true”和“ARCH: FutureNet”宣傳其入口路由器的公共 IP 位址，我們假設這些屬性是標準化標頭。識別 Hermes 覆蓋網路的域管理員使用播發的資訊構建到 FutureNet 網路的路径。每個域管理員還可以聚合通過 Hermes 架構傳播的路徑。例如，域可以根據“Experimental”標頭進行聚合，並根據此特定標頭的值轉發流量，而忽略其他標頭。因此，其餘標頭的處理將推遲到流量到達配置為處理它們的代理為止。 FutureNet 的管理員為每個希望連接到其網路的用戶提供了一個能夠創建通道設備的代理客戶端。代理由 FutureNet 網路通過網際網路進行管理。使用通道設備，用戶流量被定向到依賴代理的本地埠。然後，依賴代理將流量封裝到 HTTP 中，並附加 Experimental、ARCH 和 Encapsulation 標頭。Encapsulation 標頭指定如何解封裝原始有效負載。然後，依賴代理將流量轉發到靠近用戶的獨立代理。在此示例中，我們假設用戶的本地 ISP 支援 Hermes 並運行一個獨立代理。 拓撲如圖 3 所示。域 A 中的用戶利用 FutureNet 客戶端訪問域 C 中服務節點提供的服務。用戶的代理客戶端配置了一個通道，將發往 IP 位址範圍 10.10.0.0/24（FutureNet 分配給此用戶的私有 IP 範圍）的流量路由到由代理的輔助組件管理的通道設備。然後，輔助組件將資料封裝在 UDP 中，並將其傳遞到相應的代理埠。其餘操作如下所示。 依賴代理在其一個 UDP 埠上接收封裝在 UDP 中的 FutureNet 資料單元。然後，它通過 HTTP 將 UDP 封包建立通道到 R1，添加至少三個 HTTP 標頭：Experimental、ARCH 類型和 Encapsulation 標頭。R1 由用戶的本地 ISP 運營，如上所述。 R1 處理 Experimental HTTP 標頭。其路由表基於 Experimental 標頭聚合，並配置為將所有實驗性流量轉發到 R3 的 IP 位址。R1 不處理 Encapsulation 或 ARCH 標頭。 域 B 簽署了一項協議，允許在域 A 和域 C 之間傳輸資料。因此，域 B 將資料轉發到域 C，而無需處理 HTTP 標頭。域 B 不瞭解 Hermes 覆蓋網路或 FutureNet。 覆蓋網路節點 R3 處理 ARCH HTTP 標頭。它已經配置為將 FutureNet 架構流量路由到覆蓋網路節點 R4，該節點瞭解更多詳細資訊。 R4 直接訪問 FutureNet 入口路由器。然後將流量轉發到入口路由器。 FutureNet 入口路由器上的依賴代理處理 Encapsulation 標頭，解封裝有效負載，並將原始資料單元傳遞到服務節點。然後，它使用其依賴代理創建的通道設備將響應封裝到 UDP 中。 由於終端用戶的依賴代理和入口路由器的依賴代理之間已經建立了 HTTP 路徑，因此它們可以直接通信。 在此示例中，FutureNet 客戶端和入口節點將其網路任務委託給其本地代理，並專門通過它們進行通信（設計概念 1）。我們使用通過 HTTP 建立通道的 UDP 來確保通過網際網路的相容性和可達性（設計概念 2）。由於 HTTP 可以通過其標頭輕鬆擴展，因此當需要更複雜的通信時，可以添加其他標頭。覆蓋網路節點不需要處理所有標頭。在上面的示例中，R1 處理 Experimental 標頭，R3 和 R4 處理 ARCH 標頭，入口節點處理 Encapsulation 標頭。這表示基於 HTTP 的語義處理和路由，某些標頭的處理將推遲到流量到達特定節點為止（設計概念 3）。最後，我們使用輔助組件將 IP 封包封裝在 UDP 中，並將其傳遞到代理埠（設計概念 4）。 這種多域場景中的兩個重要挑戰是，域控制器必須首先，找到一種方法來發現、接收和利用覆蓋網路目的地的播發資訊，其次，如果它們打算處理 HTTP 標頭，則必須就 HTTP 標頭的語法和語義達成一致。但是，如果域僅充當傳輸域，例如域 B，則无需瞭解這些詳細資訊。因此，如果只有一個域使用 Hermes 覆蓋網路，而其他域充當傳輸域，則无需解決這些挑戰，如實現部分所示。在下一節中，我們將討論構建高效 Hermes 覆蓋網路需要考慮的因素。 挑戰和注意事項 到目前為止，我們只討論了 Hermes 架構的功能和組成部分。但是，在部署覆蓋網路之前，還需要考慮其他幾個方面。這裡強調的挑戰是大規模部署 Hermes 面臨的最重大障礙。隨著我們繼續更廣泛地實施和使用該架構，無疑將會出現新的挑戰。 動機： 需要考慮的一個關鍵問題是：是什麼促使服務或通信提供者在其基礎架構上運營覆蓋網路並承擔其相關成本？我們從兩個不同的角度探討這個問題，並在實現部分中研究具體的用例。 服務提供者旨在為其客戶提供更好的服務品質。當終端用戶通過服務提供者提供的可升級和可配置客戶端與服務交互時，許多覆蓋網路功能可以直接集成到客戶端中。但是，將網路任務委託給單獨的、可重構的代理組件，並從客戶端應用程式的業務邏輯中刪除網路邏輯，可以產生更簡單的客戶端，從而提高功能開發速度。代理還可以實現向後相容性，在无需升級客戶端的情況下引入其他服務功能，並在各種網路條件下增強服務交付。由於負責網路任務的代理不像服務客戶端那麼複雜，如果終端用戶的特定環境沒有可用的功能客戶端，或者現有客戶端功能有限，則使用代理可以帶來顯著的好處。雖然專用客戶端是針對特定服務量身定制的，但依賴代理幾乎不需要或根本不需要瞭解服務本身，主要關注流量參數。與專用客戶端相比，這使得代理更容易部署和配置。這些因素有助於提高服務品質和增加財務盈利能力。 通信提供者旨在通過網際網路提供可靠高效的通信。代理充當連接端點，並且可以重新配置以適應不斷變化的網路條件，從而使提供者能夠完全控制流量。通信提供者可以利用覆蓋網路繞過本地 ISP 限制，在網路條件不利的網路中確保可靠交付，促進其他網路架構的運營，並在不受信任的基礎架構上構建安全的、經過身份驗證的網路，以及其他優勢。共用依賴代理允許通信提供者捕獲來自允許通過覆蓋網路的各種應用程式和服務的流量。因此，通信提供者可以提高聚合服務集的服務品質，這使得覆蓋網路的運營不僅合理，而且非常有利。 可行性： 每個設備可以支援的埠數量有限，並且用戶可以同時使用多個服務。終端用戶會遇到兩個關鍵問題：1) 他們的設備上需要多少個代理？2) 服務提供者是否需要將其所有用戶和服務遷移到 Hermes？ 為了回答第一個問題，需要注意的是，依賴代理可以部署在單獨的機器上，並且可以同時為多個應用程式提供服務（圖 1b 和 1c）。但是，管理不同的代理對終端用戶來說可能是一項繁瑣的任務，可能會阻礙架構的採用。一個潛在的解決方案是將代理視為服務或通信提供者在終端用戶設備中直接提供的服務。這將邊緣服務從提供者的網路轉移到用戶的設備。像 [4] 這樣的架構提供了一種訪問邊緣服務的集成方法，可以提供一種可行的解決方案。 至於第二個問題，需要強調的是，Hermes 充當服務或通信促進者。因此，没有必要將整個用戶群遷移到 Hermes 架構。例如，對於特定用戶，服務提供者可能會選擇性地通過 Hermes 路由某些服務的流量，同時允許其他服務繞過它。Hermes 使用代理實現了這種選擇性功能，允許流量僅在需要時才通過 Hermes。因此，Hermes 可以僅針對需要特殊流量處理的用戶和服務進行部署，並且可以與任何其他已部署的解決方案共存。 效能： 使用 Hermes 會提高還是降低效能？視情況而定。效能指標的定義必須與系統目標保持一致。與没有代理的情況相比，使用代理覆蓋網路必然會增加處理時間。具體來說，HTTP 層處理比其他層更加耗費資源，這促使 Ambient Mesh [30] 等技術優先考慮傳輸層處理而不是 HTTP 處理。Hermes 需要在終端用戶代理處進行 HTTP 層處理，以便為覆蓋網路準備用戶流量。但是，其他獨立代理可以使用傳輸層處理來減少處理開銷。因此，如果服務或網路的主要目標是在可靠的基礎架構上進行低延遲通信，則採用代理覆蓋網路可能是不合理的。但是，網際網路不是一種可靠的媒介，Hermes 的設計初衷就是在這種環境中運行。 Hermes 可以提高系統效能，如第 III 節所示。例如，在第 III-A 節中，覆蓋網路防止了封包丟失，並提高了傳輸的視訊品質。在第 III-B 節中，我們將效能指標定義為成功交付率，覆蓋網路成功地將其從 0% 提高到 100%。當代理用作負載平衡器時，它們還可以顯著提高系統級效能。Hermes 提供端到端用戶流量控制、快速覆蓋網路重新配置和詳細的遙測資料，因為代理充當 IP 端點以及其他角色。這使得能夠設計進階資源管理機制來優化整體系統效能。與任何新技術一樣，採用者在實施之前必須仔細評估效能提升、資本支出和運營支出以及潛在的缺點，Hermes 也不例外。 安全性和隱私性： 關於安全性和隱私性，會出現另一組問題。用戶如何相信覆蓋網路不會對其安全性和隱私性構成威脅？同樣，服務提供者如何相信覆蓋網路不會危及其服務？為了回答這些問題，必須考慮覆蓋網路運營商，即負責管理覆蓋網路的實體。 如果服務提供者運營自己的覆蓋網路，則用戶可以對覆蓋網路代理的安全性更有信心。在這種情況下，服務提供者的邊緣有效地擴展到用戶的設備，從而實現更靈活的服務產品。但是，如果覆蓋網路由第三方運營，則用戶需要確保其端到端連接的安全性不會受到損害。Hermes 支援這種情況：終端用戶客戶端使用 CONNECT 方法連接到代理，允許代理處理 Host 標頭以確定後續操作。Hermes 還可以在 IP 層運行，將 IP 流量直接建立通道到服務提供者的網路，而不會破壞端到端安全性。這些用例在第 III 節中進行了演示。 解決服務提供者的信任問題更加複雜。每個代理都處理服務提供者流量處理邏輯的一部分。提供者基礎架構之外的代理容易受到攻擊，並且可能會遭到入侵，從而可能產生針對其他代理的惡意流量。鑑於代理配置由中央控制器提供，因此控制器和代理必須相互驗證。控制器甚至可以在分發配置之前驗證代理的二進制雜湊。代理配置和金鑰分發應遵循最小許可權原則，確保代理僅接收其功能所需的資訊。更重要的是，控制平面需要持續監控代理，以檢測惡意活動或效能問題。由於 Hermes 是可重構的，因此可以快速將運行不良的代理替換為替代代理，並且覆蓋網路路由可以快速適應這些變化。在 Hermes 的原型實現中，代理和控制器相互驗證，並且代理受到持續監控。 管理： 使用代理會改進網路管理任務嗎？由於代理充當 IP 端點，因此它們可以生成大量的遙測資料。將可觀察性和監控功能集成到控制器中，以及可重構代理，對於創建能夠快速響應服務和網路變化的適應性網路至關重要。由於可以快速檢測到服務降級，並且藉助重新配置功能可以更快地完成重新配置，因此這會導致更有效的網路管理。此外，代理可以配備輔助組件，以便在與控制平面斷開連接的情況下實施故障轉移演算法，從而確保在網路中斷的情況下繼續運行。 互通性： 作為一種通用架構，Hermes 覆蓋網路可以跨越多個自治域構建，如第 II-C 節中的示例所示。域由管理實體控制，其大小範圍可以從小型組織分支機構到整個自治系統。每個域都有一個控制平面來管理其中的所有代理。與僅依靠網際網路進行流量傳輸相比，使用多域覆蓋網路的優勢可以概括如下：1) 與 Akamai [8] 等其他覆蓋網路方法類似，它提供了比網際網路和 BGP 更高效的流量路由，以及 2) 通過處理 HTTP 標頭，覆蓋網路可以利用自定義位址空間和目的地，而不僅僅限於 DNS 和基於公共 IP 的路由，以及其他優勢。但是如何構建這樣的覆蓋網路呢？ 為了回答這個問題，我們需要一種方法來分發有關每個目的地的資訊，以及與它們關聯的自定義標頭，如第 II-C 節中的示例所示。不同域中的代理還必須在它們執行的處理級別（它們是充當 HTTP 轉發器還是僅在 TCP 或 UDP 級別處理）、它們做出的轉發決策以及它們必須達成一致的技術細節（例如協議版本和標頭）方面進行合作。以 Hermes 目前的部署級別，類似於 Tor [7] 的方法效果很好：使用公共目錄與覆蓋網路代理之間的帶外通信相結合來分發資訊並達成共識。但是，將來，這種擔憂會導致對專用控制平面協議和機制的需求。 標準化： 需要考慮的兩個重要問題是：1) 我們能否建立標準化的代理配置語法？以及 2) 我們能否開發標準化的 HTTP 標頭擴展，以便在流量在多個域之間傳遞時，所有域都對流量語義有共同的理解，並且知道如何適當地處理它？ 第一個問題主要與可行性部分中討論的集成問題有關。如果存在一種方法來集成在終端用戶設備上運行的所有代理，則需要所有代理的標準化配置語法，以及控制器和代理之間的標準化介面。但是，如果每個通信或服務提供者都獨立運營自己的代理，則可能不需要此類標準化。 第二個問題主要涉及覆蓋網路流量的域間處理，如第 II-C 節中的示例所示。當流量在不同域之間傳遞時，同意處理 HTTP 標頭的管理員必須對標頭的含義和用法有共同的理解。雖然這些協議可以是雙邊的，而不是標準化的，但標準化工作可以極大地促進 Hermes 架構的更廣泛採用。

超過 60% 的網際網路流量是 HTTP(S) [16], [17]。 超過 50% 的網路流量來自行動設備 [18]。