CN109417576A - 用于为云应用提供合规要求的传输的系统和方法 - Google Patents
用于为云应用提供合规要求的传输的系统和方法 Download PDFInfo
- Publication number
- CN109417576A CN109417576A CN201780041457.9A CN201780041457A CN109417576A CN 109417576 A CN109417576 A CN 109417576A CN 201780041457 A CN201780041457 A CN 201780041457A CN 109417576 A CN109417576 A CN 109417576A
- Authority
- CN
- China
- Prior art keywords
- rule
- conjunction
- regulatory requirements
- virtual network
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/20—Network management software packages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/20—Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了用于管理法规遵守的系统和方法。该方法包括:在网络控制器处经由网络服务报头字段接收与虚拟网络功能相关联的合规监管要求,该虚拟网络功能是服务功能链的部分;以及在网络控制器处接收与虚拟网络功能相关联的合规监管状态。基于合规监管要求和合规监管状态,该方法包括:在网络控制器处判定虚拟网络功能需要修复来符合合规监管要求从而生成判定结果。当判定结果指示需要修复时,该方法包括:经由网络控制器实现与虚拟网络功能相关联的合规监管动作作为修复。
Description
技术领域
本公开涉及基于每个流或每一跳向服务功能链(SFC)报头(网络服务报头(NSH))添加合规要求信息,使得SFC分类器或控制器可以使用规则引擎对要求合规的流进行分类或管理,虚拟网络功能(VNF)可以利用本文中公开的概念来向SFC分类器或控制器广告它们的合规能力。
背景技术
在云环境中,可以应用各种应用必须遵守的各种合规规则。这些合规规则可以包括但不限于,HIPAA、支付卡产业(PCI)安全特征、萨班斯-奥克斯利(SOX)要求、客户数据保护(CDP)、诸如出口管制的法律要求等。
云提供商缺乏必要的机制来在网络层实施合规细节和规则。保证遵守合规规则是云提供商中的关键问题,因为其防止租户将违反某些规则或法律的敏感数据移到云中。需要使能某些合规参数的定义同时能够横跨网络发送这些合规参数供不同网络功能利用的功能。
附图说明
结合附图通过下面的详细描述将很容易理解本公开,其中:
图1示出了根据本公开的一方面的计算设备的基本计算组件。
图2示出了应用本公开的一般环境。
图3示出了示例方法。
具体实施方式
概述
独立权利要求给出了本发明的多个方面,从属权利要求给出了优选特征。一个方面的特征可以单独或者与其他方面结合应用于每个方面。
所提出的概念允许服务功能链(SFC)上的虚拟网络功能(集装箱化地包含在VM或裸机服务器上)识别合规实施/遵从信息并使用网络级协议来传送该合规实施/遵从信息。可以基于每个流、基于每一跳、基于每个容器、基于每个VNF、基于每个主机、或者基于任何其他内容进行识别。虚拟网络功能(VNF)甚至可以实现用于基于合规要求的策略实施的主动触发器并实现相关联的流量控制规则。本概念包括横跨服务功能和网络功能结合合规规则以应用某些策略。合规主体可以提供各种标准和特定标准的特定结构。如何传送合规信息的若干特征是,它们(即,合规规则的报告或者实体如何很好地符合通过报头报告的规则)是流特定和/或跳特定的。各种网络功能可以检查所报告的数据。
所公开的方法可以使能网络功能不仅利用所提供的合规信息而且另外广告所执行的动作(即,所实施的策略)。该信息随后可以被在先的网络功能虚拟化(NFC)使用,以不仅基于该信息而且基于以前的NFV的动作做出所提供的合规要求的决策。例如,在包括存储NFV和路由NFV的SFC中,存储NFV基于针对特定流量流接收的合规信息定义将存储限制到特定地理位置的策略。该信息对于将相应地路由流量(或者相应地向流量应用某些路由策略)的SFC中的下一个NFV(例如,路由NFV)至关重要。
一种示例方法包括:在网络控制器处经由网络服务报头字段接收与虚拟网络功能相关联的合规监管要求,该虚拟网络功能是服务功能链的一部分;在网络控制器处接收与虚拟网络功能相关联的合规监管状态。基于合规监管要求和合规监管状态,该方法包括:在网络控制器处判定虚拟网络功能需要修复来符合合规监管要求从而生成判定结果。当判定结果指示需要修复时,该方法包括:经由网络控制器实现与虚拟网络功能相关联的合规监管动作或合规监管动作作为修复。
该方法还可以包括接收包括以下各项之一的附加数据:(1)与合规监管要求相关联的地理位置,(2)云标识符,(3)工作负荷标识符,以及(4)租户标识符。可以将附加数据与合规监管要求和合规监管状态关联起来判定修复。在一个示例中,附加数据包括地理位置,修复可以涉及维护国家边界或任何其他地理边界内的应用数据。合规监管要求的一个示例可以包括使时间长度数据在被删除之前得到维护。合规监管要求可以包括提供对针对特定信息的所有访问和活动的审计跟踪。修复或解决方案可以包括基于反馈解决当前没有满足要求的问题的合规监管动作。
网络控制器可以包括软件定义网络控制器,该软件定义网络控制器具有控制生成修复的策略。合规监管动作可以包括例如,以下各项之一:(1)阻止数据流向不符合合规监管要求的虚拟网络功能,(2)实现修复。例如,合规监管动作可以包括实现数据流量路由策略。合规监管要求可以应用于服务功能链的构建或者服务功能链到新位置的迁移。合规监管要求可以与云提供商相关联。合规监管要求还可以每个流或每一跳地应用在SFC中的VNF之间。
该方法还可以包括:分析与虚拟网络功能相关联的流量流,以生成分析结果;以及基于分析结果对监管合规要求进行分类。
描述
云和服务提供商可以容宿并提供多个服务和应用,并且可以为各种客户或租户提供服务。这些提供商通常实现云和虚拟化环境,例如,软件定义网络(例如,OPENFLOW,SD-WAN等)和/或覆盖网络(例如,VxLAN网络、NVGRE、SST等),以容宿并提供各种解决方案。软件定义网络和覆盖网络可以实现提供虚拟层的网络架构,并且可以将应用和服务从下层物理基础设施解耦合。另外,覆盖网络和SDN网络的能力可以被用来构建连接网络服务的服务链,这些网络服务例如是,可以连接或链接在一起形成虚拟链或服务功能链(SFC)的防火墙、网络地址转换(NAT)、或者负载均衡服务。
SFC可以被提供商用来设立连接服务的套件或目录,这可以使能单个网络连接用于很多服务(这些服务通常具有不同特性)。SFC可以具有各种优点。例如,SFC可以使能网络应用和网络连接的自动提供。
SFC中的具体服务或功能可以通过网络功能虚拟化(NFV)被虚拟化。虚拟功能或VNF可以包括运行特定软件和进程的一个或多个虚拟机(VM)或软件容器。因此,利用NFV,定制硬件设备一般不是每个网络功能所必需的。因此,虚拟功能可以提供网络功能的软件或虚拟实现,这些软件或虚拟实现可以被部署在诸如SDN的支持网络功能虚拟化的虚拟化基础设施中。NFV可以提供灵活性、可伸缩性、安全性、降低成本、以及其他优点。
与SFC中的各种网络功能相关联的各种服务和相关特性在遵守合规和监管要求方面呈现出了巨大挑战。实际上,如前所述,提供商当前缺少必要的机制在网络层实现合规细节和规则。这一般会导致客户避免云用于具有特定合规或监管要求的服务,通常避免用于云提供商提供的前述各种优点,使得这些客户构建针对这些服务的个性化的、通常昂贵且低效的解决方案。
所提出的概念允许SFC上的VNF识别合规实施/遵从信息并使用网络级协议传送该合规实施/遵从信息。这样,VNF可以获取有关其他VNF的信息,并且可以实现所触发的用于基于合规要求的策略实施的动作并实现相关流量管控规则。这种方法存在多个优点。例如,SFC中的NVF可以被告知针对给定数据流的合规要求而无需知道如何确定这些合规要求。另一方面,来自实体的合规信息可以被发送并集中用于外部应用/服务的智能消费。另外,基于合规的策略实施可以被智能应用,并且允许基于定义好的基于合规的SLA应用流量管控规则的自动化解决方案。
非合规应用识别可以被简化并被自动化。非合规应用的修复可以被智能实现,以改进由云提供商提供的合规性。在介绍图1中的基本计算组件后,下面进一步讨论合规要求。
图1公开了可以应用于本公开的系统示例的一些基本硬件组件。在基本示例应用组件的讨论之后,本公开将转向处理实施合规细节和规则的概念。参考图1,示例系统和/或计算设备100包括处理单元(CPU或处理器)110和系统总线105,该系统总线将包括诸如,只读存储器(ROM)120和随机存取存储器(RAM)125的系统存储器115在内的各种系统组件耦合到处理器110。系统100可以包括直接与处理器110连接、与处理器110靠得很近、或者集成为处理器110的一部分的高速存储器的高速缓存112。系统100将数据从存储器115、120、和/或125和/或存储设备130复制到高速缓存112供处理器110快速存取。这样,高速缓存提供了在等待数据的同时避免处理器110延迟的性能提升。这些和其他模块可以控制或者被配置为控制处理器110执行各种操作或动作。其他系统存储器115也可用。存储器115可以包括具有不同性能特点的多种不同类型的存储器。可以理解的是,本公开可以在具有一个以上处理器110的计算设备100上或者在联网在一起以提供更大的处理能力的计算设备的群组或族群上操作。处理器110可以包括任意通用处理器和硬件模块或软件模块,例如,存储在存储设备130中的模块1 132、模块2 134、以及模块3 136,这些硬件模块或软件模块在软件指令被结合在处理器中时被配置为控制处理器110和通用处理器。处理器110可以是包括多个内核或处理器、总线、存储器控制器、高速缓存等的自包含计算系统。多内核处理器可以是对称或非对称的。处理器110可以包括多个处理器,例如,具有不同套接字中的多个物理分离的处理器的系统、或者具有单个物理芯片上的多个处理器内核的系统。类似地,处理器110可以包括位于多个不同的计算设备中,但是例如,经由通信网络一起工作的多个分布式处理器。多个处理器或处理器内核可以共享诸如,存储器115或高速缓存112的资源,并且可以使用独立资源进行操作。处理器110可以包括状态机、专用集成电路(ASIC)、或者包括现场PGA在内的可编程门阵列(PGA)中的一者或多者。
系统总线105可以是使用各种总线架构中的任意一种总线架构的包括存储器总线或存储器控制器、外围总线、以及本地总线在内的各种类型的总线结构中的任意一种总线结构。存储在ROM 120等中的基本输入/输出系统(BIOS)可以提供例如,在启动期间帮助在计算设备100中的元件之间传输信息的基本例程。计算设备100还包括存储设备130或者诸如硬盘驱动器、磁盘驱动器、光盘驱动器、磁带驱动器、固态驱动器、RAM驱动器、可移除存储设备、廉价磁盘冗余阵列(RAID)、混合存储设备等的计算机可读存储介质。存储设备130经由驱动接口连接到系统总线105。驱动器和相关计算机可读存储设备提供计算机可读指令、数据结构、程序模块、以及用于计算设备100的其他数据的非易失性存储。一方面,执行特定功能的硬件模块包括存储在有形计算机可读存储设备中的软件组件,该软件组件结合诸如,处理器110、总线105、以及诸如显示器135等的输出设备实现特定功能。另一方面,系统可以使用处理器和存储指令的计算机可读存储设备,这些指令在被处理器执行时使得处理器执行操作、方法、或者其他具体动作。可以根据设备的类型,例如,计算设备100是小型计算机、手持计算设备、桌面型计算机、还是计算机服务器,修改基本组件和适当变形。当处理器110执行执行“操作”的指令时,处理器110可以直接执行操作和/或帮助或指示另一设备执行操作或者与另一设备或组件协作执行操作。
尽管本文中描述的示例性实施例采用诸如硬盘130的存储设备,但是在示例性操作环境中也可以使用计算机可访问的、可以存储数据的其他类型的计算机可读存储设备,例如,磁带盘、闪存卡、数字通用盘(DVD)、录音带盒、随机存取存储器(RAM)125、只读存储器(ROM)120、包含位流的线缆等。根据本公开,有形计算机可读存储介质、计算机可读存储设备、计算机可读存储介质、以及计算机可读存储器设备明确地排除诸如,瞬变波、能量、载波信号、电磁波、和信号本身等的介质。
为了使能与计算设备100的用户交互,输入设备145代表任意数目的输入机构,例如,用于语音输入的麦克风、用于姿态或图形输入的触敏屏幕、键盘、鼠标、运动输入、语音等。输出设备135也可以是本领域技术人员已知的多种输出机构中的一种或多种。在一些实例中,多模态系统使得用户能够提供与计算设备100通信的多种类型的输入。通信接口140一般控制并管理用户输入和系统输出。对于任意特定硬件布置上的操作没有限制,因此随着所描绘的基本硬件的发展它们可以很容易地被替换为改进的硬件或固件布置。
为了说明的清楚,图示出的系统实施例被呈现为包括包含被标记为“处理器”或处理器110的功能块的各种功能块。这些块所代表的功能可以通过使用共享或专用硬件提供,这些共享或专用硬件包括但不限于,能够执行软件的硬件和诸如,专门构建以等同于在通用处理器上执行的软件一样操作的处理器110的硬件。例如,图1所示的一个或多个处理器的功能可以由单个共享处理器或多个处理器提供。(术语“处理器”的使用不应该被理解为排他地指代能够执行软件的硬件)。说明性实施例可以包括微处理器和/或数字信号处理器(DSP)硬件、用于存储执行下面描述的操作的软件的只读存储器(ROM)120、以及用于存储结果的随机存取存储器(RAM)125。也可以提供超大规模集成(VLSI)硬件实施例、以及结合通用DSP电路的定制VLSI电路。
各种实施例的逻辑操作可以被实现为:(1)通用计算机中的可编程电路上运行的计算机实现的步骤、操作、或者过程的序列,(2)专用可编程电路上运行的计算机实现的步骤、操作、或者过程的序列,和/或(3)可编程电路中的互连机器模块或程序引擎。图1所示的系统100可以实施所描述的方法的一部分或全部,可以是所描述的系统的一部分,和/或可以根据所描述的有形计算机可读存储设备中的指令进行操作。这些逻辑操作可以被实现为被配置为控制处理器110根据模块的编程执行特定功能的模块。例如,图1示出了三个模块Mod1 132、Mod2 134、和Mod3136,这些模块是被配置为控制处理器110的模块。这些模块可以存储在存储设备130中,在运行时可以被加载到RAM 125或存储器115中,或者可以存储在其他计算机可读存储器位置中。
示例计算设备100的一个或多个部分(上至包括整个计算设备100)可以被虚拟化。例如,虚拟处理器可以是根据特定指令集执行的软件对象,甚至在与虚拟处理器相同类型的物理处理器不可用时。虚拟层或者虚拟“主机”可以通过将虚拟操作转换为实际操作使能一个或多个不同计算设备或设备类型的虚拟组件。然而,最终,每种类型的虚拟硬件是由一些下层物理硬件实现或执行的。因此,虚拟计算层可以在物理计算层上操作。虚拟计算层可以包括虚拟机、覆盖网络、管理程序、虚拟交换、以及任何其他虚拟应用中的一者或多者。
处理器110可以包括包括虚拟处理器在内的本文中公开的所有类型的处理器。但是,当提到虚拟处理器时,处理器110包括与在虚拟层和执行虚拟层所必需的下层硬件中执行虚拟处理器相关联的软件组件。系统100可以包括接收计算机可读存储设备中存储的指令的物理或虚拟处理器110,这些指令可以使处理器110执行某些操作。当提到虚拟处理器110时,系统还可以包括执行虚拟处理器110的下层物理硬件。
本文中公开的概念尤其可以应用于容器和分组流的使用(当横跨很多容器分配工作负荷时)。工作负荷横跨容器的分配是部署应用的一种非常需要的方式。相比虚拟机,容器重量轻,速度快,易于生产和破坏。随着对基于容器的部署越来越感兴趣,网络必须适应容器专用的流量模式。诸如,DOCKER和LINUX CONTAINERS(LXC)之类的容器技术用于运行单个应用而不代表完全的机器虚拟化。容器可以提供整个运行时环境:应用,其所有附属物、库、以及其他二进制数,以及运行它所需要的配置文件(打包在一个包中)。通过对应用平台及其附属物集装箱化,操作系统分布和下层基础设施的不同可以被抽象出来。
利用虚拟化技术,可以被传送的包是虚拟机,其包括整个操作系统和应用。运行三个虚拟机的物理服务器可以具有管理程序和在其上运行的三个不同的操作系统。相反,运行三个容器化应用(例如,利用DOCKER)的服务器运行单个操作系统,每个容器与其他容器共享操作系统内核。操作系统的共享部分是只读的,同时每个容器具有其自己的用于写入的挂载(即,访问容器的方式)。这意味着容器相比虚拟机,重量更轻,使用的资源更少。
其他容器也存在,例如,提供用于在使用单个Linux内核的控制主机上运行多个独立的Linux系统(容器)的操作系统级虚拟化方法的LXC。这些容器被认为是改变根目录(改变当前运行进程的明显根目录的操作)和经过充分训练的虚拟机之间的部分。它们力求在无需单独内核的条件下创建尽可能接近Linux安装的环境。
本公开现在转向合规方面以及如何在网络中接收并实现合规规则。注意,本原理不限于OSI模型的正式网络层。取决于网络功能,本文中使用的信息、合规问题、以及采用的动作可以应用于网络的不同组件或层。正式网络层可以作为本文描述的很多功能的传输层进行操作。但是,合规可以意味着诸如,客户数据保护、云合规、基于安全的合规、SOX合规等的很多不同的内容。合规或者对于“网络”的引用可以应用于任意不同的层甚至应用于应用层。因此,如本文中所使用的,对“网络层”的引用不限于OSI模型的网络层(即,层3),并且可以包括OSI模型以及其他模型或框架(例如,TCP/IP模型或堆栈)的其他层(例如,L1-L7)。例如,对于在“网络层”实现的操作X的引用可以意味着,操作X由网络执行或者在网络层执行,该网络层包括诸如OSI的网络模型中的一个或多个层。
存在实施有关如何在飞行中以及在静止时处理数据的规则和规范。云服务提供商可以具有不同合规要求的很多租户,其创建操作上的复杂性以配置每个VNF识别并处理给定数据流的合规要求。
例如,通用HIPAA要求批准针对医疗记录的30年的记录保留周期。使用云存储解决方案的保健公司可能想要在由其保留策略约束的云中存储数据以及其他非敏感数据。
第二示例可以是采集监控系统必须提供对于敏感商业信息的所有访问和活动的审计跟踪的SOX要求。控制满足该要求的数据流的VNF必须保存审计日志,但是并不是所有数据都可以满足该要求并且记录任何/所有交互也是不可行的。
第三示例可以遵循客户数据保护(CDP)要求。很多国家都具有仅允许国家边界中的应用的容宿的严格CDP策略以及不允许与应用相关联的客户数据横跨国家边界的严格策略。这在诸如德国的部署了思科统一通信管理器(CUCM)的情况中经常出现,该CUCM具有严格的CDP策略并且不允许任意相关应用数据(呼叫细节记录等)跨过德国边界。类似地,美国和很多其他国家具有限制技术信息的出口的出口管制要求,例如,可以在通过外国备案许可的授予的政府审查和授权之前的专利申请中找到。
这绝不是排他性列表,而应该提供这些合规问题流行程度(尤其是针对大型云提供商和具有全球存在点的多国企业)的顿悟。所公开的想法的目标在于,通过提出网上解决方案来解决这个问题,从而通过在网络服务报头(NSH)中使用(类型1或2)元数据字段由SFC中的VNF传送合规信息。
该概念可以允许VNF在NSH元数据中传送它们针对各种不同的合规标准/主体的合规状态。该元数据可以由SDN型控制器(OpenDaylight等)集中,以提供云环境的一站式应用合规可视性。另外,中央代理可以具有关于合规的SLA和预先配置的触发器,以实现自动化从而主动触发流量处理策略(即,停止向非合规VNF发送流量、触发针对非合规节点的自动修复等)。
在一个方面,与诸如,地理位置、云标识符的其他相关信息关联的合规与规则细节的使用(与地理位置的合规与规则信息)允许云提供商定义实施的位置特定规则。例如,可以实施国家法律,以维护某些地理位置中的数据。通过结合到SFC中的NSH,网络功能可以基于定义的规则执行非常具体的功能。一个示例可以是使用转发引擎来基于合规要求定义避免某些地理位置的流规则或向特定位置路由流量。这样,云提供商可以确保来自特定服务的流量由履行合规和规则需求的网络功能处理。换言之,与管理由法律(数据必须保持在特定管辖范围内)调整的数据存储有关的特定网络功能可以具有与网络功能、数据流、容器、和/或VNF等相关联的合规信息。元数据(在报头中找到的合规信息)可以由存储端点以某种方式处理,以使得数据存储端点将遵循针对数据的存储和分发的合规规范。
另一实施例可以包括合规和规则细节与云识别信息的组合,该云识别信息将允许对于合规SFC的服务特定定义。例如,利用云标识符和合规与规则信息,云提供商(和/或租户)可以定义满足某些云服务特定的规则的SFC。利用相关信息和合规细节的关联,云提供商可以确保遵守国家法律定义的规则或由其他合规主体管控的规则。在这方面,概念包括在第一实例中更智能地创建和部署SFC,以结合合规要求。这可以包括选择位置数据存储和数据流路径、所实现的硬件类型或虚拟计算资源、所选择的安全或加密服务等。例如,一种情况中的合规要求可以涉及例如,IP语音服务的数据延迟。在这种情况下,所部属的资源的类型是确保电话对话的低延迟的重要因素。
租户标识符和/或工作负荷标识符也可以被用来帮助合规。与规则/国家法律、SLA协定、你可以从合规主体得到的所有各种信息结合的一个或多个标识符可以被用来做出有关数据路由、VNF和/或端点之间的交互、SFC的创建和部署等的最终决策。
合规规则可以来自任意数目的来源。例如,医疗记录的管理可以广泛应用,并且每个租户的医疗记录不同。国家可以具有不同要求。德国可能具有某些合规要求(例如,30年的记录保持),同时其他国家不具有(例如,意大利具有20年的要求)。在一些情况中,符合一个要求(例如,数据必须留在德国)会导致系统推断出另一要求(保持医疗记录多长时间)。即,在合规要求之间存在关联并且任何特定方面的明确合规数据中存在间隙的一些情况中,系统可以推断出未知的要求。
本公开现在转向图2。图2示出了一般结构。图2所示的是服务功能链,该服务功能链包括提交到该链的工作负荷或分组流202。第一服务器204包含虚拟网络功能(VNF)1、2、和3。另一服务器206包含VNF 4和5,并且连接到网络208。虚拟网络功能代表SFC及其顺序。网络服务报头(NSH)210被示出为与每个VNF相关联并且是用作集装箱化的VNF的操作的一部分的数据字段的一个示例,其中,可以访问集装箱化的VNF以报告合规要求和状态。在一些情况中,NSH可以是添加到帧/分组的,诸如,数据平面报头的报头。NSH可以包含服务链的信息、服务路径信息、以及由网络节点和服务元件添加和消耗的元数据。NSH还可以包括有关合规或监管要求的信息,这些合规或监管要求是例如,数据保存要求、数据存储或路由要求、数据隐私要求、数据使用要求、性能要求、报告要求等。
当网络功能负责诸如在特定端点存储数据的处理时,与该处理和存储相关联的流量种类不仅由网络功能管理,而且其也可以知晓与数据流相关联的合规问题并且确保或报告合规要求。
本公开提供了一种合规框架,该合规框架利用元数据字段(例如,NSH字段)来推进有关合规规则和活动的通信的知识并提供自动化的智能机制来修复并恢复云环境中的合规活动。本文提出了一种机制,通过这种机制可以从SFC中的集装箱化的VNF报告各种合规规则(医疗合规、数据存储合规、地理合规、延迟合规、带宽使用、数据有关使用或需求等)。一方面,合规要求和实施该要求的成功、以及以上提到的基于主机的合规问题的广告可以提供云环境合规问题和下层网络基础设施的全貌。
例如,通过使用NSH(类型1或2)元数据字段作为在控制器212(例如,OpenDaylight等)集中需要消耗的有价值信息的手段来执行主机(和潜在网络)合规要求的广告。控制器212可以接收并处理各种数据片段,以做出基于合规的决策或者对SFC做出基于合规的修改。也可以使用NSH以外的其他数据字段。图2示出了可以由单个或多个裸机服务器204、206容宿的多个VNF 1-5。这种机制可以报告针对相应VNF以及针对容宿裸机服务器(按照容器总使用率)的基于主机(以及基于下层网络的)资源使用。
合规成功/失败报告可以集中在例如,中央软件定义网络控制器212处,由控制器212消耗并处理。合规数据可以是基于主机的、基于网络的、基于流的、基于容器的、基于跳的、基于云的、基于租户的、基于容器的、基于工作负荷的等,并且可以用于多个目的,例如,数据中心和下层网络基础设施的增强集中能见度,资源合规(即,数据保留策略、医疗策略等)问题等。在又一方面,该系统可以通过动态的智能方式自动进行由于合规问题导致的容器的实施、修复、和/或迁移。合规数据的基于NSH的报告可以按照以下方式由SDN控制器212集中并消耗,智能自动化被构建从而使得工作负荷或流路由被基于基于合规要求或阈值的策略实现策略自动触发。
设想服务器204、206容宿多个容器。假定一个容器遭遇合规要求问题(数据删除过早,与数据的地理分布有关的问题,数据安全性变得太低等)。广告/报告方法使得该信息基于主动触发器被自动检测到,问题被报告给容器编排层(DOCKER、DOCKERSWARM、CLOUDIFY等)以触发不合规容器自动修复到更适当的位置,从而提供适当运行其的必要资源。
图3示出了方法方面。示例方法实施例包括:在网络控制器处经由网络服务报头字段接收与虚拟网络功能相关联的合规监管要求,该虚拟网络功能是服务功能链的一部分(302);以及在网络控制器处接收与虚拟网络功能相关联的合规监管状态(304)。基于合规监管要求和合规监管状态,该方法包括:在网络控制器处判定虚拟网络功能需要修复来符合合规监管要求从而生成判定结果(306)。当判定结果指示需要修复时,该方法包括:经由网络控制器实现与虚拟网络功能相关联的合规监管动作作为修复(308)。
该方法还可以包括接收附加数据,该附加数据包括以下各项之一:(1)与合规监管要求相关联的地理位置,(2)云标识符,(3)工作负荷标识符,以及(4)租户标识符。附加数据可以与合规监管要求和合规监管状态关联起来,以确定将采取的修复或动作。在一个示例中,附加数据包括地理位置,修复/动作可以与维护国家边界或者任何其他地理边界中的应用数据有关。合规监管要求的一个示例可以包括使时间长度数据在被删除之前得到维护。合规监管要求可以包括提供对针对特定信息的所有访问和行为的审计跟踪。修复或解决方案可以包括基于反馈解决当前不满足要求的问题的合规监管动作。
网络控制器可以包括具有控制生成修复的策略的软件定义网络控制器。合规监管动作可以包括例如,以下各项中的至少一项:(1)阻止数据流向不符合合规监管要求的虚拟网络功能,(2)实现修复。例如,合规监管动作可以包括实现数据流路由策略。合规监管要求可以应用于SFC的构建或将SFC迁移到预计使能SFC合规的新位置。可以通过云标识符的接收和使用,将合规监管要求与云提供商相关联。合规监管要求每个流或每一跳地应用在SFC中的虚拟网络功能之间。
所公开的方法还可以使能网络功能不仅利用所提供的合规信息而且附加地广告所执行的动作(例如,实施策略)。该信息随后可以被前面的网络功能虚拟化(NFV)用来不仅基于所提供的合规要求而且基于以前的NFV动作来做出它们的决策。例如,在具有存储NFC和路由NFV的SFC中,存储NFV可以基于针对特定流量流接收的合规信息识别、定义、或者应用针对该特定流量流或者一些其他识别出的流量流将存储限制到某个地理位置的策略。该信息可以被SFC中的下一个NFV(例如,路由NFV)使用,该路由NFV将相应地路由流量或者向流量应用某些路由策略。
该方法还可以包括:分析与虚拟网络功能相关联的流量流,以生成分析结果;以及基于分析结果对监管合规要求进行分类。SFC分类器可以执行分类。一般,分类器认为这种类型的流量对于特定SFC感兴趣。可以利用例如,可以包括MAC地址、IP地址、目的地、端口号、以及协议的5元组对流量进行分类。该信息可以被用来对与SFC相关联的流量进行分类。从SFC角度看,合规信息的元数据在SFC的开始点可能是不可用的。合规信息可以在分类器对数据进行分类后存在。图2中的组件212可以代表可以从网络的任意部分(例如,在VNF之间)接收流量流的SFC分类器。
SFC分类器本身可以是SFV环境中的相对简单的组件。云标识符(除了一般的5元组流标识或者独立于一般的5元组流标识)的使用可以使能流量流的更精细粒度的分类。云标识符的使用还可以使能提供商、服务、租户、以及工作负荷ID等级的分类。通过应用这些不同的分类等级,合规信息可以非常具体地应用于源自云环境中的特定租户/服务(甚至每个工作流)或者去往云环境中的特定租户/服务(甚至每个工作流)的流。
SFC分类器可以执行分类并强加NSH,并且还可以创建服务路径。分类可以是本地发起的策略和/或客户、网络、服务、和/或用于适当处理的识别的流量流的合规概要匹配(包括出站转发动作)。分类信息还可以包括例如,诸如应用类型的元数据、合规信息、实施信息、处理信息、转发信息、服务路径选择信息、上下文信息、网络信息、服务策略信息等。另外,分类可以每个服务、每个流、每个链、每个分段地等被执行。在一些示例中,可以在独立于以前应用的服务功能或分类的每个服务功能处执行分类。
NSH感知节点(例如,分类器、控制器、SFC转发器、NSH服务器等)可以具有多个报头相关动作,例如,插入/移除NSH、服务路径选择、更新NSH、服务或合规策略选择、NSH封装、NSH使用(例如,转发、服务链、元数据共享等)等。
一方面还可以包括存储用于控制处理器执行本文中公开的任意步骤的指令的计算机可读存储设备。该存储设备可以包括诸如,ROM、RAM、各种类型的硬驱动等的存储数据的任何物理设备。
引用一组中的“至少一个”的权利要求语言指示该组的一个或多个元件满足权利要求。例如,引用“A和B中的至少一者”的权利要求语言表示A、B、或者A和B。当前示例将被理解为说明性的而非限制性的,并且这些示例不限于本文中给出的细节,但是可以在所附权利要求的范围内做出修改。
Claims (23)
1.一种方法,包括:
在网络控制器处经由网络服务报头字段接收与虚拟网络功能相关联的合规监管要求,所述虚拟网络功能是服务功能链的一部分;
在所述网络控制器处接收与所述虚拟网络功能相关联的合规监管状态;
基于所述合规监管要求和所述合规监管状态,在所述网络控制器处判定所述虚拟网络功能需要修复来符合所述合规监管要求从而生成判定结果;以及
当所述判定结果指示需要所述修复时,经由所述网络控制器实现与所述虚拟网络功能相关联的合规监管动作作为所述修复。
2.如权利要求1所述的方法,还包括:
接收包括以下各项之一的附加数据:(1)与所述合规监管要求相关联的地理位置,(2)云标识符,(3)工作负荷标识符,以及(4)租户标识符。
3.如权利要求2所述的方法,其中,将所述附加数据与所述合规监管要求和所述合规监管状态关联起来,以确定所述修复。
4.如权利要求2或3所述的方法,其中,所述附加数据包括所述地理位置,并且其中,所述修复包括维护国家边界内的应用数据。
5.如权利要求1至4中任一项所述的方法,其中,所述合规监管要求包括使时间长度数据在被删除之前得到维护。
6.如权利要求1至5中任一项所述的方法,其中,所述合规监管要求包括提供对针对特定信息的所有访问和活动的审计跟踪。
7.如权利要求1至6中任一项所述的方法,其中,所述网络服务报头字段包括类型1或类型2元数据。
8.如权利要求1至7中任一项所述的方法,其中,所述网络控制器包括软件定义网络中的软件定义网络控制器,所述软件定义网络控制器具有控制生成所述修复的策略。
9.如权利要求1至8中任一项所述的方法,其中,所述合规监管动作包括以下各项之一:(1)阻止数据流向不符合所述合规监管要求的虚拟网络功能,以及(2)实现所述修复。
10.如权利要求1至9中任一项所述的方法,其中,所述合规监管动作包括实现数据流路由策略。
11.如权利要求1至10中任一项所述的方法,其中,将所述合规监管要求应用于所述服务功能链的构建。
12.如权利要求11所述的方法,其中,所述合规监管要求与云提供商相关联。
13.如权利要求1至12中任一项所述的方法,其中,所述合规监管要求基于每个流或每一跳地应用于服务功能链中的虚拟网络功能之间。
14.如权利要求1至13中任一项所述的方法,还包括:
分析与虚拟网络功能相关联的流量流,以生成分析结果;以及
基于所述分析结果对监管合规要求进行分类。
15.一种系统,包括:
一个或多个处理器;以及
存储指令的计算机可读存储设备,所述指令在被所述一个或多个处理器执行时使得所述一个或多个处理器执行以下操作:
在网络控制器处经由网络服务报头字段接收与虚拟网络功能相关联的合规监管要求,所述虚拟网络功能是服务功能链的一部分;
在所述网络控制器处接收与所述虚拟网络功能相关联的合规监管状态;
基于所述合规监管要求和所述合规监管状态,在所述网络控制器处判定所述虚拟网络功能需要修复来符合所述合规监管要求从而生成判定结果;以及
当所述判定结果指示需要所述修复时,经由所述网络控制器实现与所述虚拟网络功能相关联的合规监管动作作为所述修复。
16.如权利要求15所述的系统,所述计算机可读存储介质存储附加指令,所述附加指令在被所述一个或多个处理器执行时执行以下操作:
接收包括以下各项之一的附加数据:(1)与所述合规监管要求相关联的地理位置,(2)云标识符,(3)工作负荷标识符,以及(4)租户标识符。
17.如权利要求16所述的系统,其中,将所述附加数据与所述合规监管要求和所述合规监管状态关联起来,以判定所述修复。
18.如权利要求16或17所述的系统,其中,所述附加数据包括所述地理位置,并且其中,所述修复包括维护国家边界内的应用数据。
19.如权利要求15至18中任一项所述的系统,其中,所述合规监管要求包括以下各项之一:(1)使时间长度数据在被删除之前得到维护,以及(2)提供对针对特定信息的所有访问和活动的审计跟踪。
20.一种存储指令的计算机可读存储设备,所述指令在被一个或多个处理器执行时使得所述一个或多个处理器执行以下操作:
在网络控制器处经由网络服务报头字段接收与虚拟网络功能相关联的合规监管要求,所述虚拟网络功能是服务功能链的一部分;
在所述网络控制器处接收与所述虚拟网络功能相关联的合规监管状态;
基于所述合规监管要求和所述合规监管状态,在所述网络控制器处判定所述虚拟网络功能需要修复来符合所述合规监管要求从而生成判定结果;以及
当所述判定结果指示需要所述修复时,经由所述网络控制器实现与所述虚拟网络功能相关联的合规监管动作作为所述修复。
21.一种包括网络控制器的装置,所述网络控制器包括:
用于经由网络服务报头字段接收与虚拟网络功能相关联的合规监管要求的部件,所述虚拟网络功能是服务功能链的一部分;
用于接收与所述虚拟网络功能相关联的合规监管状态的部件;
用于基于所述合规监管要求和所述合规监管状态,判定所述虚拟网络功能需要修复来符合所述合规监管要求从而生成判定结果的部件;以及
用于在所述判定结果指示需要所述修复时,经由所述网络控制器实现与所述虚拟网络功能相关联的合规监管动作作为所述修复的部件。
22.如权利要求21所述的装置,还包括用于实现如权利要求2至14中任一项所述的方法的部件。
23.一种编码在有形计算机可读介质上的计算机程序、计算机程序产品、或逻辑,包括用于实现如权利要求1至14中任一项所述的方法的指令。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/219,428 | 2016-07-26 | ||
US15/219,428 US20180034703A1 (en) | 2016-07-26 | 2016-07-26 | System and method for providing transmission of compliance requirements for cloud-based applications |
PCT/US2017/041468 WO2018022290A1 (en) | 2016-07-26 | 2017-07-11 | System and method for providing transmission of compliance requirements for cloud-based applications |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109417576A true CN109417576A (zh) | 2019-03-01 |
CN109417576B CN109417576B (zh) | 2022-01-21 |
Family
ID=59399490
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780041457.9A Active CN109417576B (zh) | 2016-07-26 | 2017-07-11 | 用于为云应用提供合规要求的传输的系统和方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20180034703A1 (zh) |
EP (1) | EP3491810B1 (zh) |
CN (1) | CN109417576B (zh) |
WO (1) | WO2018022290A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114640626A (zh) * | 2020-12-01 | 2022-06-17 | 中国联合网络通信集团有限公司 | 一种基于软件定义广域网sd-wan的通信系统和方法 |
CN114902623A (zh) * | 2019-12-13 | 2022-08-12 | 思科技术公司 | 服务链中的网络吞吐量保证、异常检测和缓解 |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10693732B2 (en) * | 2016-08-03 | 2020-06-23 | Oracle International Corporation | Transforming data based on a virtual topology |
US10389628B2 (en) | 2016-09-02 | 2019-08-20 | Oracle International Corporation | Exposing a subset of hosts on an overlay network to components external to the overlay network without exposing another subset of hosts on the overlay network |
US20180091369A1 (en) * | 2016-09-28 | 2018-03-29 | Intel Corporation | Techniques to detect anomalies in software defined networking environments |
US10361915B2 (en) * | 2016-09-30 | 2019-07-23 | International Business Machines Corporation | System, method and computer program product for network function optimization based on locality and function type |
US10484429B1 (en) * | 2016-10-26 | 2019-11-19 | Amazon Technologies, Inc. | Automated sensitive information and data storage compliance verification |
US11416870B2 (en) * | 2017-03-29 | 2022-08-16 | Box, Inc. | Computing systems for heterogeneous regulatory control compliance monitoring and auditing |
US10848494B2 (en) * | 2017-08-14 | 2020-11-24 | Microsoft Technology Licensing, Llc | Compliance boundaries for multi-tenant cloud environment |
US11528328B2 (en) * | 2017-12-15 | 2022-12-13 | Nokia Technologies Oy | Stateless network function support in the core network |
US10467426B1 (en) * | 2018-12-26 | 2019-11-05 | BetterCloud, Inc. | Methods and systems to manage data objects in a cloud computing environment |
US10965547B1 (en) | 2018-12-26 | 2021-03-30 | BetterCloud, Inc. | Methods and systems to manage data objects in a cloud computing environment |
US11356505B2 (en) * | 2019-02-06 | 2022-06-07 | Hewlett Packard Enterprise Development Lp | Hybrid cloud compliance and remediation services |
US11206306B2 (en) * | 2019-05-21 | 2021-12-21 | Cobalt Iron, Inc. | Analytics based cloud brokering of data protection operations system and method |
US11093549B2 (en) | 2019-07-24 | 2021-08-17 | Vmware, Inc. | System and method for generating correlation directed acyclic graphs for software-defined network components |
US11269657B2 (en) | 2019-07-24 | 2022-03-08 | Vmware, Inc. | System and method for identifying stale software-defined network component configurations |
US10924346B1 (en) * | 2019-07-24 | 2021-02-16 | Vmware, Inc. | System and method for migrating network policies of software-defined network components |
EP4113915A4 (en) * | 2020-02-26 | 2024-02-28 | Rakuten Symphony Singapore Pte Ltd | NETWORK SERVICE CONSTRUCTION SYSTEM AND NETWORK SERVICE CONSTRUCTION METHOD |
CN112039794B (zh) * | 2020-11-03 | 2021-01-26 | 武汉绿色网络信息服务有限责任公司 | 设置虚拟网元的方法、装置、计算机设备及存储介质 |
EP4309335A4 (en) * | 2021-03-19 | 2024-03-13 | Ericsson Telefon Ab L M | DATA MANAGEMENT IN A NETWORK FUNCTION |
US20230308928A1 (en) * | 2022-03-24 | 2023-09-28 | Juniper Networks, Inc. | Cloud-based management of hardware compliance data for access point devices |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101911106A (zh) * | 2007-10-24 | 2010-12-08 | Uat股份有限公司 | 为交易买卖盘执行分配职责的系统和方法 |
US20110126099A1 (en) * | 2009-11-25 | 2011-05-26 | Novell, Inc. | System and method for recording collaborative information technology processes in an intelligent workload management system |
US20140317261A1 (en) * | 2013-04-22 | 2014-10-23 | Cisco Technology, Inc. | Defining interdependent virtualized network functions for service level orchestration |
CN104579732A (zh) * | 2013-10-21 | 2015-04-29 | 华为技术有限公司 | 虚拟化网络功能网元的管理方法、装置和系统 |
US20160028640A1 (en) * | 2014-07-22 | 2016-01-28 | Futurewei Technologies, Inc. | Service Chain Header and Metadata Transport |
CN105306471A (zh) * | 2015-11-03 | 2016-02-03 | 国家电网公司 | 智能电网安全域边界设备访问控制策略管控系统及方法 |
US9311160B2 (en) * | 2011-11-10 | 2016-04-12 | Verizon Patent And Licensing Inc. | Elastic cloud networking |
CN105515963A (zh) * | 2015-12-03 | 2016-04-20 | 中国联合网络通信集团有限公司 | 数据网关装置和大数据系统 |
CN105577637A (zh) * | 2014-10-31 | 2016-05-11 | 英特尔公司 | 用于安全虚拟网络功能间通信的技术 |
CN105577416A (zh) * | 2014-10-17 | 2016-05-11 | 中兴通讯股份有限公司 | 一种业务功能链操作、管理和维护方法及节点设备 |
US20160173373A1 (en) * | 2014-12-11 | 2016-06-16 | Cisco Technology, Inc. | Network service header metadata for load balancing |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9336061B2 (en) * | 2012-01-14 | 2016-05-10 | International Business Machines Corporation | Integrated metering of service usage for hybrid clouds |
US10015720B2 (en) * | 2014-03-14 | 2018-07-03 | GoTenna, Inc. | System and method for digital communication between computing devices |
US9998446B2 (en) * | 2014-08-29 | 2018-06-12 | Box, Inc. | Accessing a cloud-based service platform using enterprise application authentication |
US10122622B2 (en) * | 2015-05-29 | 2018-11-06 | Futurewei Technologies, Inc. | Exchanging application metadata for application context aware service insertion in service function chain |
US9742790B2 (en) * | 2015-06-16 | 2017-08-22 | Intel Corporation | Technologies for secure personalization of a security monitoring virtual network function |
US9729441B2 (en) * | 2015-10-09 | 2017-08-08 | Futurewei Technologies, Inc. | Service function bundling for service function chains |
US10684877B2 (en) * | 2015-12-30 | 2020-06-16 | Incognito Software Systems Inc. | Virtualized customer premises equipment |
US10523636B2 (en) * | 2016-02-04 | 2019-12-31 | Airwatch Llc | Enterprise mobility management and network micro-segmentation |
US10243827B2 (en) * | 2016-09-26 | 2019-03-26 | Intel Corporation | Techniques to use a network service header to monitor quality of service |
-
2016
- 2016-07-26 US US15/219,428 patent/US20180034703A1/en not_active Abandoned
-
2017
- 2017-07-11 EP EP17743434.7A patent/EP3491810B1/en active Active
- 2017-07-11 WO PCT/US2017/041468 patent/WO2018022290A1/en unknown
- 2017-07-11 CN CN201780041457.9A patent/CN109417576B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101911106A (zh) * | 2007-10-24 | 2010-12-08 | Uat股份有限公司 | 为交易买卖盘执行分配职责的系统和方法 |
US20110126099A1 (en) * | 2009-11-25 | 2011-05-26 | Novell, Inc. | System and method for recording collaborative information technology processes in an intelligent workload management system |
US9311160B2 (en) * | 2011-11-10 | 2016-04-12 | Verizon Patent And Licensing Inc. | Elastic cloud networking |
US20140317261A1 (en) * | 2013-04-22 | 2014-10-23 | Cisco Technology, Inc. | Defining interdependent virtualized network functions for service level orchestration |
CN104579732A (zh) * | 2013-10-21 | 2015-04-29 | 华为技术有限公司 | 虚拟化网络功能网元的管理方法、装置和系统 |
US20160028640A1 (en) * | 2014-07-22 | 2016-01-28 | Futurewei Technologies, Inc. | Service Chain Header and Metadata Transport |
CN105577416A (zh) * | 2014-10-17 | 2016-05-11 | 中兴通讯股份有限公司 | 一种业务功能链操作、管理和维护方法及节点设备 |
CN105577637A (zh) * | 2014-10-31 | 2016-05-11 | 英特尔公司 | 用于安全虚拟网络功能间通信的技术 |
US20160173373A1 (en) * | 2014-12-11 | 2016-06-16 | Cisco Technology, Inc. | Network service header metadata for load balancing |
CN105306471A (zh) * | 2015-11-03 | 2016-02-03 | 国家电网公司 | 智能电网安全域边界设备访问控制策略管控系统及方法 |
CN105515963A (zh) * | 2015-12-03 | 2016-04-20 | 中国联合网络通信集团有限公司 | 数据网关装置和大数据系统 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114902623A (zh) * | 2019-12-13 | 2022-08-12 | 思科技术公司 | 服务链中的网络吞吐量保证、异常检测和缓解 |
CN114640626A (zh) * | 2020-12-01 | 2022-06-17 | 中国联合网络通信集团有限公司 | 一种基于软件定义广域网sd-wan的通信系统和方法 |
CN114640626B (zh) * | 2020-12-01 | 2023-07-18 | 中国联合网络通信集团有限公司 | 一种基于软件定义广域网sd-wan的通信系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
US20180034703A1 (en) | 2018-02-01 |
EP3491810A1 (en) | 2019-06-05 |
CN109417576B (zh) | 2022-01-21 |
WO2018022290A1 (en) | 2018-02-01 |
EP3491810B1 (en) | 2022-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109417576A (zh) | 用于为云应用提供合规要求的传输的系统和方法 | |
US10951691B2 (en) | Load balancing in a distributed system | |
US11797322B2 (en) | Cloud native virtual machine runtime protection | |
US11086700B2 (en) | Template driven approach to deploy a multi-segmented application in an SDDC | |
US11138030B2 (en) | Executing code referenced from a microservice registry | |
US20200120120A1 (en) | Techniques for network inspection for serverless functions | |
EP3547126A1 (en) | Insight for cloud migration and optimization | |
US9609023B2 (en) | System and method for software defined deployment of security appliances using policy templates | |
US11522905B2 (en) | Malicious virtual machine detection | |
US11055192B2 (en) | Logging implementation in micro-service applications | |
CN108694068A (zh) | 用于虚拟环境中的方法和系统 | |
CN105684357A (zh) | 虚拟机中地址的管理 | |
CN103688505A (zh) | 虚拟化环境中的网络过滤 | |
US9959426B2 (en) | Method and apparatus for specifying time-varying intelligent service-oriented model | |
US8949415B2 (en) | Activity-based virtual machine availability in a networked computing environment | |
CN110661842B (zh) | 一种资源的调度管理方法、电子设备和存储介质 | |
US10904167B2 (en) | Incoming packet processing for a computer system | |
US8763147B2 (en) | Data security in a multi-nodal environment | |
CN109479059A (zh) | 用于容器流量的传输层等级标识和隔离的系统和方法 | |
CN109218280A (zh) | 实施数据中心中的物理和虚拟应用组件的微分段策略 | |
US20220217582A1 (en) | User plane replicator | |
Kirsanova et al. | Fog computing state of the art: concept and classification of platforms to support distributed computing systems | |
WO2021140397A1 (en) | Safely processing integrated flows of messages in a multi-tenant container | |
Saboowala et al. | Designing Networks and Services for the Cloud: Delivering business-grade cloud applications and services | |
Khan et al. | Cloud migration: Standards and regulatory issues with their possible solutions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |