CN110168499B - 在主机上执行上下文丰富的基于属性的服务 - Google Patents
在主机上执行上下文丰富的基于属性的服务 Download PDFInfo
- Publication number
- CN110168499B CN110168499B CN201780082318.0A CN201780082318A CN110168499B CN 110168499 B CN110168499 B CN 110168499B CN 201780082318 A CN201780082318 A CN 201780082318A CN 110168499 B CN110168499 B CN 110168499B
- Authority
- CN
- China
- Prior art keywords
- service
- attributes
- data message
- attribute
- tag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/448—Execution paradigms, e.g. implementations of programming paradigms
- G06F9/4494—Execution paradigms, e.g. implementations of programming paradigms data driven
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/084—Configuration by using pre-existing information, e.g. using templates or copying from other elements
- H04L41/0846—Configuration by using pre-existing information, e.g. using templates or copying from other elements based on copy from other elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/20—Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Abstract
一些实施例提供了一种用于配置主机上的一个或多个服务节点的集合以在主机计算机上执行上下文丰富的基于属性的服务的新颖方法,除了服务节点集合之外,该主机机器还执行若干数据计算节点(DCN)。该方法使用主机上的上下文过滤节点来收集与由主机计算机上的服务节点集合处理的服务规则相关联的第一属性集合。上下文过滤器还收集与在主机上执行的DCN(例如,虚拟机(VM)或容器的)的至少一个数据消息流相关联的第二属性集合。在收集到第一和第二属性集合之后,主机上的上下文过滤节点比较第一与第二属性集合,以生成服务标签来表示与数据消息流相关联的第一属性集合的子集。该方法将这个服务标签与数据消息流相关联。然后,当服务节点需要处理其用于数据消息流的基于属性的服务规则时,这个服务标签可以用于识别与数据消息流相关联的属性子集。
Description
背景技术
历史上,中间盒服务一直是在企业或数据中心的网络拓扑中的一个或多个点处实现的硬件电器。随着软件定义联网(SDN)和网络虚拟化的出现,传统硬件电器无法利用SDN和网络虚拟化提供的灵活性和控制。因而,近年来,一些人已经提出了在主机上提供中间盒服务的各种方法。但是,这些中间盒解决方案中的大多数都没有利用可以为主机上的每个数据消息流捕获的上下文丰富的数据。对此的一个原因是现有技术不提供用于过滤数千个捕获的上下文属性以便高效地处理根据更小的上下文属性集定义的服务规则的高效分布式方案。
发明内容
一些实施例提供了一种用于配置主机上的一个或多个服务节点的集合以在主机计算机上执行上下文丰富的基于属性的服务的新方法,该主机计算机除了服务节点的集合之外还执行若干数据计算节点(DCN)。该方法使用主机上的上下文过滤节点来收集与由主机计算机上的服务节点集合处理的服务规则相关联的第一属性集合。上下文过滤器还收集与在主机上执行的DCN(例如,虚拟机(VM)或容器的)的至少一个数据消息流相关联的第二属性集合。在一些实施例中,第一和第二属性集合不是L2-L4报头参数。例如,在一些实施例中,这些属性集合包括L7参数或组标识符(例如,网络安全组标识符)。而且,在一些实施例中,每个服务规则包括用于与数据消息标识符匹配的规则标识符,并且第一属性集合是在该服务节点集合的服务规则的规则标识符中使用的属性。
在收集第一和第二属性集合之后,主机上的上下文过滤节点比较第一和第二属性集合以生成服务标签以表示与数据消息流相关联的第一属性集合的子集。该方法将这个服务标签与数据消息流相关联。然后,当服务节点需要处理其数据消息流的基于属性的服务规则时,这个服务标签可以用于识别与数据消息流相关联的属性子集。
在一些实施例中,上下文过滤器将与数据消息流相关联的服务标签提供给DCN和属性解析引擎。当为这个流发送数据消息时,DCN沿着带内(即,与数据消息流一起)或带外(即,与数据消息流分离)转发数据消息的服务标签,以便服务节点可以使用这个服务标签来处理其基于属性的服务规则。
为了处理其基于属性的服务规则,服务节点将数据消息流的服务标签提供给属性解析引擎。从上下文过滤引擎,属性解析引擎接收具有由这个标签表示的属性子集的服务标签,并将这个信息存储在将每个服务标签与其对应属性子集相关联的映射数据结构(例如,映射表)中。在一些实施例中,属性解析引擎是服务节点的一部分,而在其它实施例中,它与所有服务节点分离。
当属性解析引擎从服务节点接收到服务标签时,这个引擎在其映射数据结构中找到这个服务标签,从映射结构中检索标签的关联属性子集,并将该属性子集返回给服务节点。然后,服务节点使用返回的属性子集来识别与这个子集匹配的服务规则,然后基于由这个服务规则指定的动作参数执行服务操作。此类服务操作的示例包括防火墙操作、负载平衡操作、入侵检测操作、入侵防御操作、加密操作和其它类型的中间盒操作。
如上面所提到的,在一些实施例中由上下文过滤节点收集的第一和第二属性集合是L7参数和/或组标识符。例如,在一些实施例中,客人内省(GI)代理在DCN上运行。在发生事件(例如,登录事件或连接会话的开始)时,客人内省代理收集与事件有关的多个L7参数。这些参数的示例包括登录标识符、订户(例如,活动目录SID)或应用所属的组标识符、位置、设备信息、访问级别等。在一些实施例中,由GI收集的信息涉及一个数据消息流,而在其它实施例中,所收集的信息涉及一个以上的数据消息流或连接会话(例如,涉及登录事件之后的所有数据消息流)。
客人内省代理将这个收集的信息传递给上下文过滤节点。这个信息用作上面提到的第二属性集合。在一些实施例中,第一属性集合用在服务节点集合的规则标识符中,并且上下文过滤节点从服务节点集合收集这些属性。在一些实施例中,第一和第二属性集合是完全相同类型的属性,并且上下文过滤节点仅识别作为第一属性集合的一部分的第二属性集合的子集,以便识别数据消息流的服务标签。联合地或可替代地,在一些实施例中,第一属性集合是组标识符,并且上下文过滤节点使用第二属性集合来识别与数据消息流相关联的一个或多个组标识符。然后,上下文过滤节点将识别出的组标识符与数据消息流的服务标签相关联。
当DCN在数据消息流内带内嵌入服务标签时,服务标签可以用于在其它电器和/或主机计算机上(例如,在除DCN在其上执行的主机计算机之外的主机计算机上)执行服务操作。在这种情况下,其它电器和/或主机计算机上的属性解析代理将服务标签转换成属性集合,然后使用这些属性来为数据消息流识别要处理的一个或多个服务规则。
为了促进在其它电器和/或主机计算机处处理基于属性的服务规则,在一些实施例中创建服务标签定义的主机计算机将这个定义发送到其它电器/主机计算机。在这些实施例的一些当中,其它设备(即,其它电器或主机计算机)的模块(例如,上下文过滤器或属性解析代理)从生成服务标签定义的主机计算机的上下文过滤代理接收或检索服务标签定义。在这些实施例的一些当中,这种通信是这两个设备之间的控制信道通信。
如上面所提到的,在一些实施例中,服务标签定义识别与每个服务标签相关联的属性集合。在一些实施例中,每个服务标签的定义还包括唯一标识符(例如,主机标识符)。这个唯一标识符允许从多个主机计算机接收服务标签定义的设备的属性解析代理将服务标签正确映射到属性,因为不同的主机计算机可以使用相同的服务标签,并且属性解析代理需要唯一标识符嵌入在服务标签中,以区分两个相似的服务标签。
前面的发明内容旨在用作对本发明的一些实施例的简要介绍。这并不意味着是对本文档中公开的所有发明性主题的介绍或概述。以下的具体实施方式和在具体实施方式中提及的附图将进一步描述在本发明内容中描述的实施例以及其它实施例。因此,为了理解由本文档描述的所有实施例,需要对发明内容、具体实施方式、附图和权利要求书进行全面审阅。而且,所要求保护的主题不受发明内容、具体实施方式和附图中的说明性细节的限制。
附图说明
本发明的新颖特征在所附权利要求中阐述。但是,为了解释的目的,在以下图中阐述了本发明的若干实施例。
图1图示了在一些实施例中用于建立分布式体系架构的主机计算机,该分布式体系架构用于在数据中心中配置和执行上下文丰富的基于属性的服务。
图2图示了主机计算机的更详细示例,在一些实施例中,主机计算机用于建立用于在数据中心中配置和执行上下文丰富的基于属性的服务的分布式体系架构。
图3概念性地图示了上下文过滤器每当从GI代理接收属性集合时执行的过滤处理。
图4概念性地图示了当端口针对与连接到端口的VM相关联的接收消息调用引擎时服务引擎执行的处理。
图5呈现了概念性地图示在源VM的主机计算机和目的地VM的主机计算机上执行的操作集合以基于在源VM的主机计算机上定义的服务标签在目的地VM的主机计算机上执行服务操作的处理。
图6图示了在一些实施例中如何管理管理程序服务引擎的示例。
图7概念性地图示了用于实现本发明的一些实施例的计算机系统。
具体实施方式
在本发明的以下详细描述中,阐述和描述了本发明的许多细节、示例和实施例。但是,对于本领域技术人员将清楚和显而易见的是,本发明不限于所阐述的实施例,并且本发明可以在没有所讨论的一些具体细节和示例的情况下实践。
一些实施例提供了一种新颖的分布式体系架构,用于在具有执行数据计算机节点(DCN)和服务节点的若干主机计算机的数据中心中配置和执行上下文丰富的基于属性的服务。这种分布式体系架构允许主机高效地对由在主机上执行的数据计算节点发送和/或发送到该数据计算节点的数据消息执行上下文丰富的基于属性的服务。这种体系架构可以高效地处理通过引用广泛的上下文属性定义的服务规则。
如在本文档中所使用的,数据消息是指跨网络发送的特定格式的位集合。本领域普通技术人员将认识到的是,术语“数据消息”可以在本文中用于指可以跨网络发送的各种格式化的位集合,诸如以太网帧、IP分组、TCP片段、UDP数据报等。而且,如本文档中所使用的,对L2、L3、L4和L7层(或第2层、第3层、第4层、第7层)的引用分别是对OSI(开放系统互连)层模型的第二数据链路层、第三网络层、第四传输层和第七应用层的引用。
图1图示了主机计算机100,在一些实施例中,主机计算机100用于建立分布式体系架构,其用于在数据中心中配置和执行上下文丰富的基于属性的服务。如图所示,主机计算机100包括若干DCN105、上下文过滤器模块110、若干服务节点115以及属性解析引擎120。它还包括基于属性的服务规则存储装置125、服务标签定义存储装置130和映射存储装置135。
主机100上的上下文过滤器110收集与由主机计算机上的服务节点集合处理的服务规则相关联的属性集合,以便识别用于定义服务规则的属性,然后该过滤器110用来过滤掉从DCN收集的不必要的属性。在一些实施例中,上下文过滤器110通过策略引擎(未示出)与服务节点115交互。这个策略引擎用作服务节点115和上下文过滤器110之间的接口。
在一些实施例中,所收集的属性集合可以包括L2-L4报头参数,但是还包括不是L2-L4报头参数的属性。例如,在一些实施例中,这些属性集合包括L7参数或组标识符(例如,网络安全组标识符)。而且,在一些实施例中,每个服务规则包括用于与数据消息标识符匹配的规则标识符,并且所收集的属性集合是在该服务节点集合的服务规则的规则标识符中使用的属性。服务节点是在主机100上执行的服务模块(下面也称为服务引擎)。
在一些实施例中,上下文过滤器110通过服务节点接口(例如,API集合,未示出)与服务节点交互来收集该属性集合。在这些实施例中,服务节点从服务规则存储装置125检索这些属性,并将它们提供给上下文过滤器。在其它实施例中,上下文过滤器100通过直接访问基于属性的服务规则存储装置125或通过另一个模块访问这些规则来收集该服务规则属性集合。
除了收集服务规则属性之外,上下文过滤器110还从在主机100上执行的DCN 105收集属性集合。DCN在一些实施例中是虚拟机,在其它实施例中是容器,在还有其它实施例中是VM和容器。在一些实施例中,每次DCN开始新的数据消息流时,或者每次DCN将要开始新的数据消息流集合时(例如,在发生诸如登录事件之类的事件后),DCN 105向上下文过滤器110提供属性集合。在一些实施例中,DCN 105上的客人内省代理检测DCN上的新事件,捕获与那个事件相关联的属性集合,并将这个属性集合发送到上下文过滤器。与从服务规则收集的属性类似,在一些实施例中从DCN收集的属性可以包括L2-L4报头参数,但是还包括不是L2-L4报头参数的属性(诸如L7参数或组标识符)。在其它实施例中,从DCN收集的属性不包括L2-L4报头参数。
在从DCN 105收集属性集合之后,主机上的上下文过滤节点将该属性集合与从服务规则收集的属性集合进行比较,以生成服务标签来表示DCN收集的属性集合的子集,其用在一个或多个服务规则(即,其在从服务规则收集的属性集合内)中。然后,上下文过滤器将服务标签返回到从其接收属性集合的DCN 105,以便DCN可以关联用于它为其收集属性集合的一个或多个数据消息流的这个服务标签。在一些实施例中,DCN(例如,DCN的GI代理)将服务标签存储在DCN的高速缓存存储装置(未示出)中,使得它可以将服务标签用于该数据消息流或随后的流而不必重新访问上下文过滤器110。
当服务节点需要处理其用于与服务标签关联(例如,通过DCN)的数据消息流的基于属性的服务规则时,服务标签可以用于识别与数据消息流相关联的属性的子集。对于每个服务标签,在一些实施例中,上下文过滤器110生成服务标签定义,该服务标签定义识别服务标签和与服务标签相关联的属性子集。在一些实施例中,上下文过滤器110将生成的服务标签的定义提供给属性解析引擎120,并且属性解析引擎120将这个定义存储在将每个服务标签与其对应的属性子集相关联的映射数据存储装置135(例如,具有一个或多个映射表的数据库)中。
当为这个流发送数据消息时,DCN 105沿着带内(即,与数据消息流一起)或带外(即,与数据消息流分离)转发数据消息的服务标签,以便服务节点可以使用这个服务标签来处理其基于属性的服务规则。为了处理其基于属性的服务规则,服务节点115将数据消息流的服务标签提供给属性解析引擎120。在一些实施例中,属性解析引擎120是服务节点的一部分,而在其它实施例中,它与所有服务节点分离。在还有其它实施例中,每个服务节点115具有其自己的属性解析引擎120。
当属性解析引擎120从服务节点115接收到服务标签时,属性解析引擎在其映射数据存储装置135中找到这个服务标签,从映射存储装置中检索标签的关联属性子集,并将该属性子集返回给服务节点115。然后,服务节点使用返回的属性子集来识别与这个子集匹配的服务规则,然后基于由这个服务规则指定的动作参数执行服务操作。此类服务操作的示例包括防火墙操作、负载平衡操作、入侵检测操作、入侵防御操作、加密操作和其它类型的中间盒操作。
图2图示了主机计算机200的更详细示例,在一些实施例中,主机计算机200用于建立用于在数据中心中配置和执行上下文丰富的基于属性的服务的分布式体系架构。这个主机计算机200包括许多与主机计算机100相同的部件,诸如上下文过滤器110、服务节点115、属性解析引擎120、基于属性的服务规则存储装置125、服务标签定义存储装置130和映射存储装置135。而且,在主机200上,DCN 105是VM 205。
除了这些部件之外,主机计算机200还包括软件转发元件210、连接状态数据存储装置225和服务引擎接口227。在一些实施例中,软件转发元件210、服务引擎115、规则数据存储装置125、连接状态数据存储装置225、属性解析引擎120、映射存储装置135和服务引擎接口227位于管理程序的内核空间中,而VM 205、上下文过滤器110和服务标签定义存储装置130位于管理程序的用户空间中。在其它实施例中,上下文过滤器110和服务标签定义存储装置130也是管理程序内核空间的一部分。在一些实施例中,一个或多个服务节点是内核空间模块,而一个或多个其它服务节点是用户空间模块(例如,是服务VM)。
VM 205是在主机上执行的管理程序(未示出)之上执行的虚拟机。这种机器的示例包括web服务器、应用服务器、数据库服务器等。在一些情况下,所有VM属于一个实体,例如,操作主机的企业。在其它情况下,主机在多租户环境中(例如,在多租户数据中心中)执行,并且不同的VM可以属于一个租户或属于多个租户。
每个VM 205包括客户内省(GI)代理215,其与上下文过滤器110交互以向这个过滤器提供属性集合,并接收这些属性集合的服务标签。如上面所提到的,在一些实施例中,由上下文过滤节点从服务规则和DCN收集的属性集合是L7参数和/或组标识符。在VM上发生事件(例如,登录事件或连接会话的开始)时,在一些实施例中,VM的GI代理收集与事件相关的多个L7参数。这些参数的示例包括登录标识符、订户(例如,活动目录SID)或应用所属的组标识符、地点、设备信息、访问级别等。在一些实施例中,由GI收集的信息涉及一个数据消息流或连接会话,而在其它实施例中,所收集的信息涉及一个以上的数据消息流或连接会话(例如,涉及登录事件之后的所有数据消息流)。
GI代理215将这个收集的事件的属性集合传递给上下文过滤器110。然后,上下文过滤器110将这些属性与服务规则存储装置125中的服务规则的服务规则标识符中使用的属性进行比较,以识别在服务规则中使用的、GI提供的属性集合的子集。如果它尚未为这个识别出的属性子集创建服务标签,那么上下文过滤器110然后为这个子集创建服务标签,并将这个服务标签的定义存储在服务标签定义存储130中。然后,上下文过滤器将与识别出的属性子集相关联的服务标签提供给提供属性集合的GI,以便GI可以将其VM的带内或带外发送的数据消息与服务标签相关联,进而,允许一个或多个服务节点随后使用该服务标签来识别数据消息所需的服务操作。
在一些实施例中,上下文过滤器从服务规则和GI代理收集的属性集合是完全相同类型的属性,并且上下文过滤节点仅识别GI收集的属性中作为服务规则标识符属性的一部分的子集,以便识别数据消息流的服务标签。联合地或可替代地,在一些实施例中,服务规则标识符属性可以是组标识符,并且上下文过滤器110使用GI收集的属性来识别与数据消息流相关联的一个或多个组标识符。然后,上下文过滤器110将识别出的组标识符与数据消息流的服务标签相关联。
如图所示,在一些实施例中,每个VM 205还包括虚拟网络接口卡(VNIC)255。每个VNIC负责在其VM和软件转发元件210之间交换消息。每个VNIC连接到软件转发元件210的特定端口。软件转发元件210还连接到主机的物理网络接口卡(NIC)(未示出)。在一些实施例中,VNIC是由虚拟化软件(例如,由管理程序)实现的物理NIC(PNIC)的软件抽象。
在一些实施例中,软件转发元件(SFE)为每个VM的每个VNIC维护单个端口260。软件转发元件210连接到物理NIC(通过NIC驱动器(未示出))以发送传出消息和接收传入消息。在一些实施例中,软件转发元件210被定义为包括端口265,端口265连接到PNIC的驱动器以向PNIC发送消息和从PNIC接收消息。
软件转发元件210执行消息处理操作以将其在其一个端口上接收的消息转发到其另一个端口。例如,在一些实施例中,软件转发元件尝试使用消息中的数据(例如,消息报头中的数据)来将消息与基于流的规则匹配,并且在找到匹配后,执行由匹配规则指定的动作(例如,将消息传递到其端口260或265之一,其指示消息被提供给目的地VM或PNIC)。
在一些实施例中,软件转发元件210是软件交换机,而在其它实施例中,它是软件路由器或组合的软件交换机/路由器。在一些实施例中,软件转发元件210实现一个或多个逻辑转发元件(例如,逻辑交换机或逻辑路由器),其中软件转发元件在多主机环境中的其它主机上执行。在一些实施例中,逻辑转发元件可以跨越多个主机以连接在不同主机上执行但属于一个逻辑网络的VM。
可以定义不同的逻辑转发元件以便为不同的用户指定不同的逻辑网络,并且每个逻辑转发元件可以由多个主机上的多个软件转发元件来定义。每个逻辑转发元件将一个逻辑网络的VM的流量与由另一个逻辑转发元件服务的另一个逻辑网络的VM隔离。逻辑转发元件可以连接在同一主机和/或不同主机上执行的VM。在一些实施例中,SFE从数据消息中提取逻辑网络标识符(例如,VNI)和MAC地址。这些实施例中的SFE使用提取出的VNI来识别逻辑端口组,然后使用MAC地址来识别端口组内的端口。
软件交换机(例如,管理程序的软件交换机)有时被称为虚拟交换机,因为它们在软件中操作并且它们向VM提供对主机的(一个或多个)PNIC的共享访问。但是,在本文档中,软件交换机被称为物理交换机,这是因为它们是物理世界中的物品。这个术语还将软件交换机与逻辑交换机区分开来,逻辑交换机是由软件交换机提供的连接类型的抽象。存在用于从软件交换机创建逻辑交换机的各种机制。VXLAN提供了一种创建此类逻辑交换机的方式。VXLAN标准在Mahalingam,Mallik;Dutt,Dinesh G.;等人的(2013-05-08),VXLAN:AFramework for Overlaying Virthalized Layer 2Networks over Layer 3Networks,IETF中描述。
在一些实施例中,软件转发元件210的端口包括对一个或多个模块的一个或多个功能调用,这些模块对在端口处接收的传入和传出消息实现特殊输入/输出(I/O)操作。由端口260实现的I/O操作的示例包括ARP广播抑制操作和DHCP广播抑制操作,如美国专利申请14/070,360中所述。在本发明的一些实施例中,可以如此实现其它I/O操作(诸如防火墙操作、负载平衡操作、网络地址翻译操作等)。通过实现这种功能调用的堆栈,在一些实施例中,端口可以对传入和/或传出的消息实现一系列I/O操作。而且,在一些实施例中,数据路径中的其它模块(诸如VNIC等)实现I/O功能调用操作(诸如防火墙功能调用),而不是端口260。
在一些实施例中,SFE端口260的功能调用中的一个或多个可以是一个或多个服务节点115,其处理基于属性的服务规则存储装置125中的基于属性的服务规则。在一些实施例中,每个服务节点115具有其自己的基于属性的服务规则存储装置125。为了对数据消息流执行其基于属性的服务操作,在一些实施例中,服务引擎115让属性解析引擎120首先将与数据消息流相关联的服务标签转换成属性的子集,然后使用这个属性子集来识别其服务规则数据存储装置125中的服务规则以供其处理。
具体而言,为了服务引擎115执行其服务检查操作,调用服务引擎的转发元件端口260提供端口接收的消息的属性集合。在一些实施例中,该消息属性集合是消息标识符,诸如传统的五元组标识符,其包括消息的源标识符、目的地标识符、源端口、目的地端口和协议。在一些实施例中,标识符值中的一个或多个可以是为逻辑网络定义的逻辑值(例如,可以是在逻辑地址空间中定义的IP地址)。在其它实施例中,所有标识符值都在物理域中定义。在其它实施例中,一些标识符值在逻辑域中定义,而其它标识符值在物理域中定义。
当VM在带内发送服务标签时,由SFE端口提供给服务节点的属性集合在一些实施例中还包括用于数据消息流的服务标签。在将这些标识符提供给服务引擎之前,SFE端口会从它接收到的消息中提取这些标识符。当VM在带内发送服务标签时,在一些实施例中,SFE端口260让其调用的I/O模块之一从数据消息流中提取服务标签,并将这个服务标签提供给服务引擎115。
在其它实施例中,VM不在带内与数据消息流一起发送服务标签,而是在带外将服务标签发送到在主机200上执行的一个或多个模块。在这些实施例的一些中,SFE端口不向其调用的服务节点115提供服务标签。代替地,服务节点115(1)从它从SFE端口接收的消息标识符(例如,五元组标识符)中,以及(2)从服务节点在带外从VM接收的、识别消息标识符的服务标签的记录中识别用于数据消息流的服务标签。
在其它实施例中,服务节点115将其从SFE端口接收的消息标识符(例如,五元组标识符)提供给另一个模块,该另一个模块然后(1)从该模块从服务节点接收的消息标识符(例如,五元组标识符),以及(2)从这个模块在带外从VM接收的、识别数据消息流的服务标签的记录中识别用于数据消息流的服务标签。在一些实施例中,这个模块是属性解析引擎120。因此,在一些实施例中,服务节点向属性解析引擎120提供消息的标识符集合(例如,五元组标识符),并且这个引擎首先将这个标识符集合映射到服务标签,然后将这个服务标签映射到它返回给服务节点的属性子集。在其它实施例中,服务节点或者识别数据消息本身的服务标签或者从另一个模块获得它,然后将这个服务标签提供给属性解析引擎120,以便获得数据消息流的属性子集。
在从属性解析引擎120接收到数据消息流的属性子集之后,在一些实施例中,服务引擎115基于存储在服务规则存储装置125中的服务规则来执行其服务操作。为了执行其服务操作,服务引擎115将接收到的属性子集与为服务规则存储的对应属性集合进行匹配。在一些实施例中,服务引擎115通过服务引擎接口(SEI)227从一个或多个控制器接收其存储在其存储装置125中的服务规则,如下面进一步描述的。
在一些实施例中,数据存储装置125中的每个服务规则具有规则标识符和动作参数集合。如上面所提到的,在一些实施例中,服务规则的规则标识符可以根据不是L2-L4报头参数的一个或多个参数(例如,是L7参数)来定义。在一些实施例中,规则标识符还可以包括L2-L4报头参数。而且,在一些实施例中,可以根据个体值或通配符值来指定规则标识符中的一个或多个参数。而且,在一些实施例中,规则标识符可以包括个体值的集合或组标识符,诸如安全组标识符、计算构造标识符、网络构造标识符等。
为了将接收到的属性子集与规则相匹配,服务引擎将接收到的属性子集与存储在服务规则数据存储装置125中的服务规则的关联标识符进行比较。在识别出匹配的规则后,服务引擎115基于匹配规则的动作参数(例如,基于允许/丢弃参数、负载均衡标准、加密参数等)执行服务操作(例如,防火墙操作、负载平衡操作、加密操作、其它中间盒操作等)。
在一些实施例中,服务规则数据存储装置125以分层方式定义,以在消息的属性子集匹配多个规则时,确保在匹配较低优先级规则之前消息规则检查将匹配较高优先级规则。而且,在一些实施例中,服务规则数据存储装置125包含默认规则,该默认规则指定不能识别任何其它服务规则的任何消息规则检查的默认动作;在一些实施例中,这个默认规则将是针对所有可能的属性子集的匹配,并确保服务规则引擎将返回针对所有接收到的属性子集的动作。在一些实施例中,默认规则将不指定服务。
例如,当消息是与两个机器之间的一个通信会话相关联的一个流的一部分时,多个消息可以具有相同的消息标识符属性集合。因而,在基于属性解析引擎120为与数据消息流的第一数据消息相关联的服务标签提供的属性子集匹配数据消息与存储装置125中的服务规则之后,一些实施例的服务引擎将服务规则(或对服务规则的引用)存储在连接状态数据存储装置225中,以便稍后可以将这个服务规则用于相同流的后续数据消息。
在一些实施例中,连接状态数据存储装置225存储服务引擎115针对不同消息标识符集合(例如,针对识别不同数据消息流的不同五元组标识符)识别的服务规则或对服务规则的引用。在一些实施例中,连接状态数据存储装置225存储每个服务规则或对服务规则的引用,其具有从匹配消息标识符集合生成的标识符(例如,五元组标识符和/或散列值)。在利用服务规则数据存储装置125检查特定消息标识符集合之前,一些实施例的服务规则引擎115检查连接状态数据存储装置225以确定这个存储装置是否具有用于这个消息标识符集合的高速缓存服务。如果没有,那么服务规则引擎然后指示属性解析引擎120将消息流的服务标签映射到属性子集,然后检查服务规则数据存储装置125以寻找与识别出的属性子集匹配的服务规则。当连接状态数据存储装置具有用于特定消息标识符集合的条目时,服务引擎基于这个服务规则的动作参数集合执行其服务操作。
图3概念性地图示了上下文过滤器110每当从GI代理215接收属性集合时执行的过滤处理300。该处理识别与由基于属性的(一个或多个)服务引擎处理的服务规则相关的属性子集,在必要时为识别出的属性子集生成服务标签,并将这个服务标签提供给GI代理215。如图所示,处理300最初从GI代理215接收(在305处)属性集合。
接下来,在310处,该处理确定它是否已经处理了这个相同的确切属性集合。为了做出这个确定,该处理在一些实施例中将它处理的每个属性集合以及该处理为每个属性集合标识的服务标签存储在高速缓存存储装置中。在310处,在这些实施例中,处理300检查该高速缓存存储装置以确定其是否已经处理了在305处接收的属性集合。当处理300确定(在310处)它先前已经处理了在310处接收的属性集合时,它向GI代理215提供(在340处)处理300先前为这个属性集合生成的服务标签(例如,从其高速缓存存储装置检索这个服务标签,并将这个服务标签提供给GI代理215)。在340之后,该处理结束。
当处理确定(在310处)它先前没有处理过接收到的属性集合时,该处理选择(在315处)这个接收到的集合中的属性,并确定(在320处)这个所选择的属性是否在当前在基于属性的服务引擎115的服务规则中使用的属性集合中。在一些实施例中,上下文过滤器在执行处理300之前从服务引擎收集在服务规则标识符中使用的属性。而且,在一些实施例中,当每个服务规则被删除、添加或修改时,上下文过滤器修改从服务规则收集的属性集合以反映这些改变。在这些实施例的一些中,该处理调整服务标签定义以考虑这些服务规则改变,并在其自己的服务标签定义存储装置130中调整这些定义,并将这些新定义提供给属性解析引擎120,使得这个引擎可以将这些新定义存储在其存储装置135中。
当该处理确定(在320处)所选择的属性在从服务规则收集的属性集合中时,该处理将这个属性添加(在325处)到它为GI代理创建的属性子集,然后过渡到330。当处理确定所选择的属性不在从服务规则收集的属性集合中时,该处理还从320过渡到330。通过从320过渡到330而不将所选择的属性添加到定义的属性子集,该处理有效地从服务标签定义中过滤掉所选择的属性。
在330处,该处理确定它是否已检查从GI代理接收的属性集合中的所有属性。如果没有,那么处理转回到315以选择接收到的属性集合中的另一个属性,然后重复操作320以便或者将这个所选择的属性添加到属性子集(在325),或者过滤掉这个所选择的属性。当该处理确定(在330处)它已检查接收到的属性集合中的所有属性时,该处理确定(在335处)它是否先前通过检查接收到的属性集合中的每个属性而为其刚刚生成的属性子集创建了服务标签。
为了做出这个确定(在335),在一些实施例中,处理300检查服务标签存储装置130以确定是否已经为该处理在这个迭代中创建的确切属性子集在这个存储装置中创建了任何服务标签。当处理300确定(在335处)它先前已为其刚刚生成的确切相同的属性子集生成服务标签时,它向GI代理215提供(在340处)它已存储在其服务标签存储装置130中的用于该属性子集的服务标签。在340之后,该处理结束。应当注意的是,在一些实施例中,处理300不在310处执行检查,而是在335处执行检查,而在其它实施例中,处理不在335处执行检查,而是在310处执行检查。
当处理300确定(在335处)它先前没有为其刚刚生成的确切相同的属性子集生成服务标签时,它(在345处)为这个属性子集创建服务标签,并在服务标签定义存储装置130中存储这个服务标签的定义(包括服务标签的标识符及其相关联的属性子集)。在一些实施例中,服务标签定义还包括主机标识符,该主机标识符标识在其上生成服务标签的主机。如下面进一步描述的,属性解析引擎可以使用这个主机标识符来区分由不同主机200上的不同上下文过滤器110生成的完全相同的服务标签。
在345处,该处理还向GI代理215提供服务标签,其在305处提供属性集合。而且,该处理向属性解析引擎120提供(在345处)服务标签定义(其包括服务标签的标识符、其关联的属性子集,以及在一些情况下的主机标识符),以便它可以在其映射存储装置135中存储这个定义。在345之后,该处理结束。虽然图3图示了为从GI代理215接收的属性集合创建服务标签,但普通技术人员将认识到,在一些实施例中,当在主机的(一个或多个)服务节点的任何服务规则中没有使用提供的属性时,不生成服务标签。
图4概念性地图示了当端口260针对与连接到端口260的VM205相关联的接收到的消息调用引擎115时服务引擎115执行的处理400。在一些实施例中,接收到的消息可以是由端口的VM发送的消息。如图所示,处理400最初接收(在405处)数据消息的标识符集合(例如,L2、L3和/或L4报头值的集合)。在一些实施例中,通过端口或通过由端口调用的I/O模块从消息中提取接收到的消息标识符。例如,在一些实施例中,接收到的属性集合包括消息的提取出的五个元组。
接下来,在410处,处理400确定其是否在其连接状态数据存储装置225中具有用于接收到的消息标识符集合的条目。这是因为服务引擎可以先前已经对具有完全相同的属性集合的另一个消息执行了服务规则检查,并且将这个检查的结果高速缓存在连接状态数据存储装置225中。在一些实施例中,该处理检查连接状态数据存储装置225以查找具有与接收到的标识符集合或接收到的标识符集合的散列匹配的记录标识符的记录。
当处理识别出(在410处)连接状态数据存储装置225中与接收到的消息标识符集合匹配的条目时,该处理检索(在415处)存储在连接状态数据存储装置225中识别出的条目中的服务动作参数集合。在415处,该处理然后基于检索到的服务动作参数集合对数据消息执行服务动作。在415之后,处理400结束。
另一方面,当处理无法识别(在410处)连接状态数据存储装置225中的条目时,该处理指示(在420处)属性解析引擎120从与数据消息关联的服务标签识别数据消息的属性子集。为此,必须首先识别与接收到的数据消息相关联的服务标签。
在不同实施例中不同地识别服务标签。在一些实施例中,服务引擎从调用它的SFE端口接收数据消息的服务标签(例如,在这个端口提取或让另一个模块从数据消息报头或相关联的控制消息传递(例如,SYN消息)中提取服务标签之后)。在其它实施例中,服务引擎115将消息标识符集合(在405处接收的)提供给属性解析引擎120,并让这个引擎120在基于这个服务标签识别属性子集之前识别服务标签。在这些实施例的一些当中,属性解析引擎通过带外通信接收数据消息的服务标签(例如,接收识别数据消息的五元组标识符的服务标签的记录),并在存储装置中存储这个服务标签和数据消息的标识符,引擎120稍后在从服务引擎115接收到服务标签时访问该标识符。在还有其它实施例中,源VM的GI代理215将服务标签及其相关联的(一个或多个)数据消息标识符提供给服务引擎,该服务引擎存储这个标签及其相关联的(一个或多个)消息标识符以便随后(在420处)用来识别接收到的数据消息的服务标签。
在425处,处理400从属性解析引擎接收与消息的服务标签相关联的属性子集。属性解析引擎120通过在其映射存储装置135中识别其记录标识符中具有服务标签的记录来识别属性子集,并从这个匹配的记录中检索属性子集。
在430处,该处理识别服务数据存储装置125中与接收到的属性子集匹配的服务规则。为了识别服务规则,处理400搜索服务规则数据存储装置125以识别具有与从属性解析引擎接收的属性子集匹配的属性子集的条目。在一些实施例中,服务规则数据存储装置125以分层方式定义,以在消息的属性子集匹配多个规则时确保在匹配较低优先级规则之前消息规则检查将匹配较高优先级规则。
在识别匹配的服务规则之后,处理400检索(在435处)存储在服务规则数据存储装置125的识别出的条目中的服务动作参数集合,并基于检索出的服务动作参数集合对数据消息执行服务。此类动作的示例包括防火墙操作、负载平衡操作、加密操作、其它中间件操作等。
在服务引擎执行服务操作之后,当服务操作不导致丢弃数据消息时,服务引擎将处理后的数据消息提供(在435处)到SFE端口。然后,SFE端口可以调用另一个服务引擎或将这个消息提供给SFE,以将数据消息转发到数据消息的目的地。当服务操作要求丢弃数据消息(例如,防火墙操作要求丢弃数据消息)或重定向时,服务引擎通知SFE 210应当丢弃或重定向数据消息。在435之后,该处理在连接状态数据存储装置225中为接收到的属性集合创建(440)条目,并将识别出的服务动作存储在这个条目中。该处理在440之后结束。
当DCN(例如,VM)在数据消息流内带内嵌入服务标签时,服务标签可以用于在其它电器和/或主机计算机上(例如,在除了DCN在其上执行的主机计算机之外的主机计算机上)执行服务操作。在这种情况下,其它电器和/或主机计算机上的属性解析代理将服务标签翻译成属性子集,然后该属性子集被用于识别要针对数据消息流处理的一个或多个服务规则。
为了促进在其它电器和/或主机计算机处处理基于属性的服务规则,在一些实施例中创建服务标签定义的主机计算机将这个定义发送到其它电器/主机计算机。在这些实施例的一些当中,其它设备(即,其它电器或主机计算机)的模块(例如,上下文过滤器或属性解析引擎)从生成服务标签定义的主机计算机的上下文过滤代理接收或检索服务标签定义。在这些实施例的一些当中,这种通信是这两个设备之间的控制信道通信。在其它实施例中,这种通信通过控制器集合(例如,用服务规则配置设备的控制器集合)进行。
如上面所提到的,在一些实施例中,服务标签定义识别与每个服务标签相关联的属性子集。在一些实施例中,每个服务标签的定义还包括唯一标识符(例如,主机标识符),其允许从多个主机计算机接收服务标签定义的设备的属性解析代理将服务标签正确地映射到属性,这是因为不同的主机计算机可以使用相同的服务标签,并且属性解析代理需要嵌入在服务标签中的唯一标识符来区分两个相似的服务标签。
图5呈现了处理500,其概念性地图示了在源VM的主机计算机和目的地VM的主机计算机上执行的操作集合,以基于在源VM的主机计算机上定义的服务标签在目的地VM的主机计算机上执行服务操作。源VM是作为数据消息的源的VM(即,是发送数据消息的VM),而目的地VM是作为数据消息的目的地的VM(即,是接收数据消息的VM)。在这个图所示的流程图中,示出了虚线箭头,用于可能在它们之间具有任意延迟量的操作。
如图所示,当源VM的主机计算机的上下文过滤器110为由源VM的GI代理215提供的属性集合生成服务标签时,处理500开始(在505处)。上面参考图3解释了如何为属性集合创建服务标签的一个详细示例。在一些实施例中,所生成的服务标签包括源VM的主机计算机的主机标识符,使得目的地VM的主机计算机处的属性解析引擎可以唯一地识别服务标签。
上下文过滤器110向属性集合的GI代理提供(在505处)生成的服务标签,然后GI代理确保源VM包括这个服务标签以及与GI最初提供的属性数据集合相关的任何新的数据消息流。在一些实施例中,GI代理215将服务标签嵌入隧道封装报头(例如,GENEVE报头、VXLAN报头、GRE报头等)的SYN分组中。在其它实施例中,GI代理215将服务标签连同一个或多个数据消息标识符的集合一起发送到主机计算机上的一个或多个模块,所述一个或多个数据消息标识符涉及与这个服务标签相关的一个或多个数据流的集合。然后,这些模块中的一个将服务标签嵌入在源和主机计算机上的两个隧道端点模块之间建立的隧道的隧道报头中。
代理还为涉及相同属性集合的任何未来数据流高速缓存这个服务标签。这针对上下文过滤节点交互优化代理。一些实施例基于时间间隔策略使这个高速缓存到期。例如,对于基于身份的防火墙服务,一旦用户登录,用户所属的订户组通常就保持不变,因此端点不需要继续请求新的服务标签。在其它情况下,它可以继续为每个新事件/连接生成上下文。
在生成(在505处)服务标签并将这个标签提供给GI代理215之后,上下文过滤器将服务标签分发(在510处)到其它主机计算机的上下文过滤器。在一些实施例中,源计算机的上下文过滤器在每次定义服务标签时发送服务标签的定义,而在其它实施例中,上下文过滤器等待预定的时间间隔以尝试收集一批服务标签以进行分发。而且,在一些实施例中,主机计算机的上下文过滤器直接向彼此发送服务标签定义(通过数据中心的中间网络架构)。在其它实施例中,源计算机的上下文过滤器将其新服务标签定义发送到一个或多个控制器的集合(例如,配置主机计算机的服务节点的服务规则的控制器),然后将服务标签定义分发到其它主机计算机的上下文过滤器。
一些实施例限制服务标签的分发的跨度和范围,使得控制平面不会被这个流量陷入困境。这些实施例中的一些由于诸如逻辑交换机或网络的跨度或某些管理程序上的地址集合的存在之类的因素而限制分发的范围。通过传输服务标签,在底层流的覆盖报头中,一些实施例能够容易地在数据中心中移动完整的动态上下文。
图5图示了在源计算机的上下文过滤器110分发(在510)用于所生成(在505处)的服务标签的服务标签定义之后,目的地VM的主机计算机的上下文过滤器110接收(在515处)服务标签定义。如上面所提到的,服务标签的定义包括服务标签标识符、一个或多个属性的子集,以及在那里定义服务标签的主机计算机的主机标识符。目的地计算机的上下文过滤器110将其接收的服务标签定义提供给其计算机的属性解析引擎120。
在向GI代理提供服务标签(在505处)之后,源VM发送(在520处)服务标签以及数据消息。例如,在一些实施例中,源VM沿着隧道将数据消息发送到目的地VM或目的地VM的主机计算机上的模块,并将服务标签插入隧道报头中。在其它实施例中,代替配置源VM以在隧道报头中插入服务标签,GI代理215配置(由源VM的SFE端口或VNIC调用的)I/O模块之一以将这个服务标签插入到隧道报头中。在这些实施例的一些当中,这个I/O模块是执行VM的隧道封装操作的模块。换句话说,在这些实施例中,源VM不建立到目的地计算机的隧道,而是源VM的封装I/O模块建立这个隧道。
一旦与服务标签一起发送了数据消息(在520处),目的地VM的SFE端口就接收(在525处)这个数据消息。然后,目的地VM的SFE端口调用(在530处)目的地VM的I/O模块,以从接收到的数据消息中解封装隧道报头。在解封装隧道报头时,I/O模块从报头中提取(在530处)服务标签,并将这个服务标签提供给目的地VM的SFE端口。然后,这个端口基于提取出的服务标签调用(在530处)服务节点115以对数据消息执行服务操作(例如,防火墙操作、负载平衡操作、加密操作或任何其它中间盒操作)。在一些实施例中,目的地VM的SFE端口还向服务节点115提供接收到的数据消息的其它属性(诸如接收到的数据消息的五元组标识符),服务节点115不仅基于服务标签而且还基于这些其它属性来选择其服务规则。
在535处,服务节点然后将服务标签提供给属性解析引擎120,属性解析引擎120然后基于其映射数据存储装置135中的映射记录将这个服务标签映射到属性子集。这个存储装置存储其计算机的上下文过滤器生成或从其它主机的上下文过滤器接收的所有服务标签定义。当目的地计算机的映射数据存储装置135存储具有相同服务标签标识符的两个服务标签时,属性解析引擎使用接收到的服务标签的主机标识符来选择具有相同主机标识符的存储的服务标签。在识别出与接收到的数据消息的服务标签匹配的存储的服务标签之后,属性解析引擎检索所存储的服务标签的属性子集,并且将这个属性子集返回(在535处)到调用它的服务节点。
接下来,在540处,目的地VM的主机计算机的服务引擎然后在其服务规则存储装置125中识别用于数据消息的服务规则。为此,服务引擎115使用返回的属性子集来识别服务规则存储装置125中的带有具有匹配的属性子集的规则标识符的最高优先级服务规则。在一些实施例中,服务引擎115不仅通过使用返回的属性子集来识别匹配的服务规则,而且还使用接收到的数据消息的一个或多个其它标识符(例如,使用接收到的数据消息的五个元组标识符中的一个或多个)。
一旦服务引擎115识别出与服务标签的关联属性子集匹配的服务规则,一些实施例的目的地VM的服务引擎115就将这个规则或对这个规则的引用存储在高速缓存连接状态存储装置225中(连同数据消息的标识符(例如,五元组标识符)一起),以便这个引擎随后可以访问这个连接存储装置以寻找作为同一个流的一部分的其它数据消息,以识别这个服务规则。如上面所提到的,在一些实施例中,服务引擎首先当连接状态存储装置225不存储用于接收到的数据消息流的任何记录时在请求属性解析引擎将服务标签映射到属性子集之前检查它们的连接状态存储装置225。
而且,在识别出(在540处)匹配的服务规则之后,服务引擎115基于匹配的服务规则的服务动作参数集合对接收到的数据消息执行服务操作。此类服务操作的示例包括防火墙操作、负载平衡操作、入侵检测操作、入侵防御操作、加密操作和其它类型的中间盒操作。
一旦服务引擎115执行了数据消息的服务操作,服务引擎就通知目的地VM的SFE端口。当服务操作不导致数据消息被丢弃或重定向时,目的地VM的SFE端口将数据消息提供给目的地VM。在一些实施例中,在数据消息不会因这些操作而被丢弃或重定向的情况下,在数据消息被提供到目的地VM之前,目的地VM的SFE端口相继地调用多个服务节点115以基于服务标签和/或标识符对数据消息顺序地执行多个服务操作。
图6图示了在一些实施例中如何管理服务引擎115的示例。这个图图示了数据中心中的多个主机600。如图所示,每个主机包括服务引擎115、上下文过滤器110、属性解析引擎120、若干VM 205,以及SFE 210。它还图示了用于管理服务引擎115、VM 205和SFE 210的控制器集合610。如上面所提到的,在一些实施例中,上下文过滤器110通过控制器集合将服务标签定义传递给彼此,而在其它实施例中,这些过滤器将这些定义直接传递给彼此。控制器集合通过网络650(例如,通过局域网、广域网、网络的网络(诸如互联网)等)与主机通信。主机还通过这个网络650彼此通信连接。
一些实施例使用以下服务标签数据结构:
Service_Tag_n={uid,
SN1=<nsg1,nsg2,nsg3>,
SN2=<nsg2,nsg4,nsg5>,
SN3=<nsg3,nsg5>},
其中SN1、SN2和SN3是三个服务节点(例如,防火墙、负载平衡器和加密器),uid是主机标识符,nsg代表网络安全组,并且nsgl-nsg5是五个网络安全组标识符。如这个示例所示,一些实施例的服务标签为不同的服务节点定义不同的属性子集。在这个示例中,nsgl、nsg2和nsg3是用于服务节点SN1的属性子集,nsg2、nsg4和nsg5是用于服务节点SN2的属性子集,并且nsg3和nsg5是用于服务节点SN3的属性子集。
对于用户身份用例,nsg可以由AD(活动目录)组组成。例如,可以将防火墙规则指定为
src:nsgroup:Nurse,dest:Internet_NSG,action:block,HTTP,,
其指示应当丢弃来自由Nurses使用的VM的、寻址到目的地Internet_NSG的http分组。
在一些实施例中,上下文过滤节点在启动时搜集所有与身份相关的nsgroup及其与服务规则(例如,防火墙规则、加密规则、负载平衡规则等)有关并在内部存储它的成员资格信息。它与服务引擎交互以搜集这个信息,或者与作为上下文过滤节点和服务引擎之间的接口的更高级别策略引擎交互。
一些实施例的一个具体实现如下。在VM中的每个网络连接操作中,在VM内运行的GI代理(例如,epsec代理)向上下文过滤节点传递上下文(例如,AD用户id、AD组ID集合、源IP、源端口、目的地IP、目的地端口)。基于上下文中的这些AD组,上下文过滤节点确定用于这个上下文的(一个或多个)关联nsgroup,并生成具有唯一主机标识符的服务标签。它将这个服务标签传递回GI代理。GI代理将这个服务标签嵌入到SYN分组GENEVE报头中。代理还高速缓存这个服务标签,以用于来自这个用户的任何未来连接。这优化代理到上下文过滤节点交互。对于身份防火墙用例,上下文过滤节点利用为客人进行的每个连接生成的服务标签对防火墙服务节点进行编程。防火墙服务节点维护所有服务标签,并在从客人接收到具有嵌入在GENEVE报头中的服务标签的SYN分组的任何时候使用它们。它使用服务标签映射到nsgroup,然后将它们与规则匹配。
当AD组成员资格或策略nsgroup成员资格改变时,由上下文过滤器节点生成的服务标签可能改变。在一些实施例中,上下文过滤器节点在管理平面中注册AD组成员资格改变通知。对于对成员资格的任何改变,管理平面通知上下文过滤器,然后上下文过滤器使受影响的服务标签失效,并根据需要重新生成这些服务标签。
通过在每个主机上放置上下文过滤节点和属性解析引擎,上述实施例提供了用于在数据中心中提供上下文丰富服务的高效、可扩展的方法。通常由不同的应用和事件在数据中心中各个点处生成大量上下文。诸如登录ID、订户/应用所属的组ID、与连接相关的多个属性(诸如位置、设备信息、访问级别等)之类的上下文。
上下文本身对于各种服务节点非常重要/珍贵,但是由于各种问题,这种上下文信息通常不在数据中心内被消费。首先,有时,这种上下文(诸如订户所属的活动目录组SID号)可以运行到数百或数千个值。但是,通常,服务规则仅使用上下文信息的一部分,诸如可能消耗一些SID。其次,上下文的大量性质使得上下文传输到各种解释和执行点是不可能的,从而使其无用。第三,在典型的数据中心中,数千个端点生成上下文。中央节点不可能完整地处理这个上下文并将其分发到各种消费点。
因而,一些实施例的分布式上下文过滤和映射允许消费上下文的量恰好为消费所需的适当量,因此消除了不必要的上下文数据。这个方法还将上下文数据标记化,以便可以将上下文传输到数据中心网络内的任何点或更远。
许多上述特征和应用被实现为软件处理,其被指定为记录在计算机可读存储介质(也被称为计算机可读介质)上的一组指令。当这些指令被一个或多个处理单元(例如,一个或多个处理器、处理器的核心、或其它处理单元)执行时,它们使得这(一个或多个)处理单元执行在指令中指示的动作。计算机可读介质的示例包括,但不限于,CD-ROM、闪存驱动器、RAM芯片、硬盘驱动器、EPROM等。计算机可读介质不包括无线地或通过有线连接传递的载波和电子信号。
在本说明书中,术语“软件”是指包括驻留在只读存储器中的固件或者存储在磁存储装置中的应用,其可以被读入到存储器中用于被处理器处理。此外,在一些实施例中,多个软件发明可以被实现为更大程序的子部分,同时保持明显的软件发明。在一些实施例中,多个软件发明也可以被实现为单独的程序。最后,一起实现本文所描述的软件发明的单独程序的任意组合是在本发明的范围之内。在一些实施例中,当软件程序被安装以在一个或多个电子系统上操作时,该软件程序定义运行并执行该软件程序的操作的一个或多个特定的机器实现。
图7概念性地示出了实现本发明的一些实施例的计算机系统700。计算机系统700可以用于实现任何上述主机、控制器和管理器。由此,它可以用于执行任何上述处理。该计算机系统包括各种类型的非临时性机器可读介质和用于各种其它类型的机器可读介质的接口。计算机系统700包括总线705、(一个或多个)处理单元710、系统存储器725、只读存储器730、永久存储设备735、输入设备740和输出设备745。
总线705统一地表示通信地连接计算机系统700的众多内部设备的所有系统、外围设备和芯片组总线。例如,总线705将(一个或多个)处理单元710与只读存储器730、系统存储器725和永久存储设备735通信地连接。
从这些各种存储器单元中,(一个或多个)处理单元710检索要执行的指令和要处理的数据,以便执行本发明的处理。(一个或多个)处理单元在不同实施例中可以是单个处理器或多核心处理器。只读存储器(ROM)730存储由(一个或多个)处理单元710和计算机系统的其它模块所需要的静态数据和指令。另一方面,永久存储设备735是读和写存储器设备。这个设备是即使当计算机系统700关闭时也存储指令和数据的非易失性存储单元。本发明的一些实施例使用大容量存储设备(诸如磁或光盘及其对应的盘驱动器)作为永久存储设备735。
其它实施例使用可去除存储设备(诸如软盘、闪存驱动器等)作为永久存储设备。与永久存储设备735一样,系统存储器725是读和写存储器设备。但是,与存储设备735不同,系统存储器是易失性读和写存储器,诸如随机存取存储器。系统存储器存储处理器在运行时需要的一些指令和数据。在一些实施例中,本发明的处理被存储在系统存储器725、永久存储设备735和/或只读存储器730中。从这些各种存储器单元中,(一个或多个)处理单元710检索要执行的指令和要处理的数据,以便执行一些实施例的处理。
总线705还连接到输入和输出设备740和745。输入设备使用户能够传递信息和选择到计算机系统的命令。输入设备740包括字母数字键盘和定点设备(也称为“光标控制设备”)。输出设备745显示由计算机系统生成的图像。输出设备包括打印机和显示设备,诸如阴极射线管(CRT)或液晶显示器(LCD)。一些实施例包括诸如用作输入和输出设备两者的触摸屏的设备。
最后,如图7所示,总线705还通过网络适配器(图中未示出)将计算机系统700耦合到网络765。以这种方式,计算机可以是计算机的网络(诸如局域网(“LAN”)、广域网(“WAN”)、或内联网、或诸如互联网的网络的网络)的一部分,计算机系统700的任何或所有组件可以与本发明结合使用。
一些实施例包括电子组件,诸如微处理器、在机器可读或计算机可读介质(可替代地称为计算机可读存储介质、机器可读介质或机器可读存储介质)中存储计算机程序指令的存储设备和存储器。这种计算机可读介质的一些示例包括RAM、ROM、只读压缩盘(CD-ROM)、可记录压缩盘(CD-R)、可重写压缩盘(CD-RW)、只读数字多功能盘(例如,DVD-ROM,双层DVD-ROM)、各种可记录/可重写DVD(例如,DVD-RAM、DVD-RW、DVD+RW等)、闪存存储器(例如,SD卡、小型SD卡、微型SD卡等)、磁和/或固态硬盘驱动器、只读和可记录Blu-盘、超密度光盘、任何其它光或磁介质、以及软盘。计算机可读介质可以存储可由至少一个处理单元执行的并且包括用于执行各种操作的指令集合的计算机程序。计算机程序或计算机代码的示例包括诸如由编译器产生的机器代码,以及包括由计算机、电子组件、或利用解释器的微处理器执行的更高级代码的文件。
虽然以上讨论主要指执行软件的微处理器或多核心处理器,但是一些实施例由一个或多个集成电路来执行,诸如专用集成电路(ASIC)或现场可编程门阵列(FPGA)。在一些实施例中,这种集成电路执行在该电路自身上存储的指令。
如在本说明书中所使用的,术语“计算机”、“服务器”、“处理器”、以及“存储器”都是指电子或其它技术设备。这些术语不包括人或人群。为了本说明书的目的,术语显示或正在显示意味着在电子设备上显示。如本说明书中所使用的,术语“计算机可读介质”、“多个计算机可读介质”和“机器可读介质”被完全限制为以由计算机可读的形式存储信息的、有形的、物理的对象。这些术语不包括任何无线信号、有线下载信号、以及任何其它短暂或临时信号。
虽然本发明已经参考许多特定细节进行了描述,但是本领域普通技术人员将认识到,在不脱离本发明的精神的情况下,本发明可以以其它特定形式体现。例如,几个图概念性地示出了处理。这些处理的特定操作可能没有以所示出和描述的确切顺序执行。特定操作可能没有在一系列连续的操作中执行,并且不同的特定操作可能在不同的实施例中执行。此外,处理可以使用若干子处理来实现,或者作为更大的宏处理的一部分来实现。因此,本领域普通技术人员将理解,本发明不受上述说明性细节的限制,而是由所附权利要求来定义。
Claims (26)
1.一种配置主机计算机上的服务节点集合以向主机计算机上的数据计算节点(DCN)提供基于属性的服务集合的方法,所述方法包括:
在主机计算机上:
收集与由主机计算机上的服务节点集合处理的基于属性的服务规则相关联的第一属性集合;
收集与DCN的至少一个数据消息流相关联的第二属性集合;
比较第一与第二属性集合以生成服务标签来表示与数据消息流相关联的与服务节点集合的服务规则相关的属性子集;以及
将服务标签与用于服务节点集合的数据消息流关联以随后用以检索与数据消息流相关联的属性子集并使用检索到的属性子集来处理用于数据消息流的数据消息的基于属性的服务规则。
2.如权利要求1所述的方法,其中由服务标签表示的属性子集是DCN数据消息流的第二属性集合的子集,其是经处理的规则的第一属性集合的一部分。
3.如权利要求1所述的方法,其中
第一属性集合包括组标识符,
比较第一和第二属性集合包括:将第二属性集合与组标识符的定义进行比较以识别与第二属性集合相关联的一个或多个组标识符,以及
由服务标签表示的属性子集包括识别出的组标识符。
4.如权利要求1所述的方法,其中关联服务标签包括将服务标签提供给DCN以使DCN利用数据消息流的至少一个数据消息进行转发。
5.如权利要求1所述的方法,其中关联服务标签包括向DCN提供服务标签以使DCN通过带外通信转发到在主机计算机上执行的属性解析引擎。
6.如权利要求5所述的方法,其中属性解析引擎是服务节点的一部分。
7.如权利要求5所述的方法,其中属性解析引擎不是服务节点的一部分。
8.如权利要求1所述的方法,还包括:
将服务标签和属性子集提供给属性解析引擎,所述属性解析引擎在这个服务节点(1)处理数据消息流的数据消息以及(2)向属性解析引擎提供服务标签时,将属性子集提供给至少一个服务节点,所述服务节点使用所提供的属性子集处理根据所述属性子集的一个或多个属性定义的基于属性的服务规则。
9.如权利要求8所述的方法,其中
每个基于属性的服务规则包括用于与数据消息标识符匹配的规则标识符,
第一属性集合是在服务节点集合的基于属性的服务规则的规则标识符中使用的属性,
服务节点集合是一个或多个服务节点的集合,其用于处理与DCN相关联的数据消息,以及
第一和第二属性集合包括与数据消息相关联的层7报头参数。
10.如权利要求9所述的方法,其中第一和第二属性集合不包括层2、层3和层4报头参数。
11.如权利要求9所述的方法,其中服务操作包括防火墙操作、负载平衡操作、入侵检测操作、入侵防御操作和加密操作中的至少一个。
12.如权利要求1所述的方法,其中收集第二属性集合包括从在DCN内操作的内省代理接收第二属性集合。
13.如权利要求1所述的方法,其中第二属性集合与多于一个数据消息流相关联,并且服务标签由DCN存储以与多于一个数据消息流相关联。
14.如权利要求1所述的方法,还包括:
在服务标签中存储识别主机计算机的标识符;以及
将服务标签的定义与属性子集和主机计算机标识符发送给其它主机计算机以使其它主机计算机上的服务节点用来对由DCN发送的具有服务标签的数据消息执行服务。
15.如权利要求1所述的方法,其中收集第一属性集合包括从服务节点集合收集第一属性集合。
16.一种在执行数据计算节点(DCN)的主机计算机处执行服务的方法,所述方法包括:
在主机计算机上:
接收与在主机计算机上执行的DCN相关联的数据消息;
识别用于接收到的数据消息的服务标签;
识别与所述服务标签相关联的属性集合,其中所识别的属性集合包括与接收到的数据消息的层2、层3和层4报头值不同的一个或多个上下文属性;
使用识别出的属性集合来识别服务规则;
基于识别出的服务规则对数据消息执行中间盒服务。
17.如权利要求16所述的方法,其中识别属性集合包括:使用服务标签来识别存储装置中的记录,所述存储装置存储多个服务标签和用于每个服务标签的属性集合。
18.如权利要求17所述的方法,其中使用识别出的属性集合包括:使用所述属性集合来识别存储装置中的记录,所述存储装置存储多个属性集合和用于每个属性集合的服务动作参数集合。
19.如权利要求16所述的方法,其中识别服务标签包括:使用数据消息的标识符集合来识别存储装置中的服务标签,所述存储装置存储用于多个数据消息标识符的多个服务标签。
20.如权利要求19所述的方法,还包括:
在识别用于接收到的数据消息的服务标签之前,接收识别用于数据消息的消息标识符的服务标签的记录。
21.如权利要求20所述的方法,其中接收记录包括:从发送数据消息的DCN的客人自省代理接收所述记录。
22.如权利要求16所述的方法,其中识别服务标签包括:从数据消息的报头提取服务标签。
23.如权利要求22所述的方法,其中报头是隧道报头。
24.一种存储程序的机器可读介质,所述程序在由至少一个处理单元执行时实施如权利要求1-23中任一项所述的方法。
25.一种电子设备,包括:
一组处理单元;和
存储程序的机器可读介质,所述程序在由所述处理单元中的至少一个执行时实施如权利要求1-23中任一项所述的方法。
26.一种系统,包括用于实施如权利要求1-23中任一项所述的方法的装置。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN201641041697 | 2016-12-06 | ||
IN201641041697 | 2016-12-06 | ||
IN201641043081 | 2016-12-16 | ||
IN201641043081 | 2016-12-16 | ||
PCT/US2017/064557 WO2018106612A1 (en) | 2016-12-06 | 2017-12-04 | Performing context-rich attribute-based services on a host |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110168499A CN110168499A (zh) | 2019-08-23 |
CN110168499B true CN110168499B (zh) | 2023-06-20 |
Family
ID=61003363
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780082318.0A Active CN110168499B (zh) | 2016-12-06 | 2017-12-04 | 在主机上执行上下文丰富的基于属性的服务 |
Country Status (4)
Country | Link |
---|---|
US (2) | US10609160B2 (zh) |
EP (1) | EP3549015B1 (zh) |
CN (1) | CN110168499B (zh) |
WO (1) | WO2018106612A1 (zh) |
Families Citing this family (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9225638B2 (en) | 2013-05-09 | 2015-12-29 | Vmware, Inc. | Method and system for service switching using service tags |
US10033693B2 (en) | 2013-10-01 | 2018-07-24 | Nicira, Inc. | Distributed identity-based firewalls |
US10225137B2 (en) | 2014-09-30 | 2019-03-05 | Nicira, Inc. | Service node selection by an inline service switch |
US9774537B2 (en) | 2014-09-30 | 2017-09-26 | Nicira, Inc. | Dynamically adjusting load balancing |
US9825810B2 (en) | 2014-09-30 | 2017-11-21 | Nicira, Inc. | Method and apparatus for distributing load among a plurality of service nodes |
US9891940B2 (en) | 2014-12-29 | 2018-02-13 | Nicira, Inc. | Introspection method and apparatus for network access filtering |
US10594743B2 (en) | 2015-04-03 | 2020-03-17 | Nicira, Inc. | Method, apparatus, and system for implementing a content switch |
US10324746B2 (en) | 2015-11-03 | 2019-06-18 | Nicira, Inc. | Extended context delivery for context-based authorization |
US10348690B2 (en) * | 2016-07-08 | 2019-07-09 | Xattic, Inc. | Secure message inoculation |
US10938837B2 (en) | 2016-08-30 | 2021-03-02 | Nicira, Inc. | Isolated network stack to manage security for virtual machines |
US9762619B1 (en) | 2016-08-30 | 2017-09-12 | Nicira, Inc. | Multi-layer policy definition and enforcement framework for network virtualization |
US10609160B2 (en) | 2016-12-06 | 2020-03-31 | Nicira, Inc. | Performing context-rich attribute-based services on a host |
US10812451B2 (en) | 2016-12-22 | 2020-10-20 | Nicira, Inc. | Performing appID based firewall services on a host |
US11032246B2 (en) | 2016-12-22 | 2021-06-08 | Nicira, Inc. | Context based firewall services for data message flows for multiple concurrent users on one machine |
US10805332B2 (en) | 2017-07-25 | 2020-10-13 | Nicira, Inc. | Context engine model |
US10581960B2 (en) | 2016-12-22 | 2020-03-03 | Nicira, Inc. | Performing context-rich attribute-based load balancing on a host |
US10803173B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Performing context-rich attribute-based process control services on a host |
US10802858B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Collecting and processing contextual attributes on a host |
WO2018141363A1 (en) * | 2017-01-31 | 2018-08-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Security for a software container |
US10797966B2 (en) | 2017-10-29 | 2020-10-06 | Nicira, Inc. | Service operation chaining |
US10778651B2 (en) | 2017-11-15 | 2020-09-15 | Nicira, Inc. | Performing context-rich attribute-based encryption on a host |
US11012420B2 (en) | 2017-11-15 | 2021-05-18 | Nicira, Inc. | Third-party service chaining using packet encapsulation in a flow-based forwarding element |
US10862773B2 (en) | 2018-01-26 | 2020-12-08 | Nicira, Inc. | Performing services on data messages associated with endpoint machines |
US10659252B2 (en) | 2018-01-26 | 2020-05-19 | Nicira, Inc | Specifying and utilizing paths through a network |
US10797910B2 (en) | 2018-01-26 | 2020-10-06 | Nicira, Inc. | Specifying and utilizing paths through a network |
US10802893B2 (en) | 2018-01-26 | 2020-10-13 | Nicira, Inc. | Performing process control services on endpoint machines |
US10728174B2 (en) | 2018-03-27 | 2020-07-28 | Nicira, Inc. | Incorporating layer 2 service between two interfaces of gateway device |
US10805192B2 (en) | 2018-03-27 | 2020-10-13 | Nicira, Inc. | Detecting failure of layer 2 service using broadcast messages |
US10944673B2 (en) | 2018-09-02 | 2021-03-09 | Vmware, Inc. | Redirection of data messages at logical network gateway |
US11595250B2 (en) | 2018-09-02 | 2023-02-28 | Vmware, Inc. | Service insertion at logical network gateway |
US11627049B2 (en) * | 2019-01-31 | 2023-04-11 | Hewlett Packard Enterprise Development Lp | Failsafe firmware upgrade for cloud-managed devices |
US11467861B2 (en) | 2019-02-22 | 2022-10-11 | Vmware, Inc. | Configuring distributed forwarding for performing service chain operations |
US11115337B2 (en) * | 2019-06-03 | 2021-09-07 | Nicira, Inc. | Network traffic segregation on an application basis in a virtual computing environment |
US11240113B2 (en) | 2019-08-26 | 2022-02-01 | Vmware, Inc. | Forwarding element slice identifying control plane |
US11283717B2 (en) | 2019-10-30 | 2022-03-22 | Vmware, Inc. | Distributed fault tolerant service chain |
US11140218B2 (en) | 2019-10-30 | 2021-10-05 | Vmware, Inc. | Distributed service chain across multiple clouds |
US11539718B2 (en) | 2020-01-10 | 2022-12-27 | Vmware, Inc. | Efficiently performing intrusion detection |
US11223494B2 (en) | 2020-01-13 | 2022-01-11 | Vmware, Inc. | Service insertion for multicast traffic at boundary |
US11153406B2 (en) | 2020-01-20 | 2021-10-19 | Vmware, Inc. | Method of network performance visualization of service function chains |
US11659061B2 (en) | 2020-01-20 | 2023-05-23 | Vmware, Inc. | Method of adjusting service function chains to improve network performance |
US11438257B2 (en) | 2020-04-06 | 2022-09-06 | Vmware, Inc. | Generating forward and reverse direction connection-tracking records for service paths at a network edge |
US11108728B1 (en) | 2020-07-24 | 2021-08-31 | Vmware, Inc. | Fast distribution of port identifiers for rule processing |
US11734043B2 (en) | 2020-12-15 | 2023-08-22 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
US11611625B2 (en) | 2020-12-15 | 2023-03-21 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
US20230350902A1 (en) * | 2022-04-27 | 2023-11-02 | Sap Se | Tag management for distributed applications |
CN115145982A (zh) * | 2022-08-03 | 2022-10-04 | 浙江网商银行股份有限公司 | 数据处理方法以及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103765840A (zh) * | 2011-09-01 | 2014-04-30 | 阿尔卡特朗讯 | 用于交换时分复用信号的网元 |
Family Cites Families (176)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5826051A (en) | 1995-12-27 | 1998-10-20 | Intel Corporation | Method and apparatus for simplifying active window selection, application activation, and shared command execution in a multi-application environment |
US5950195A (en) | 1996-09-18 | 1999-09-07 | Secure Computing Corporation | Generalized security policy management system and method |
US7055173B1 (en) | 1997-12-19 | 2006-05-30 | Avaya Technology Corp. | Firewall pooling in a network flowswitch |
US6430188B1 (en) | 1998-07-08 | 2002-08-06 | Broadcom Corporation | Unified table for L2, L3, L4, switching and filtering |
US6363477B1 (en) | 1998-08-28 | 2002-03-26 | 3Com Corporation | Method for analyzing network application flows in an encrypted environment |
US6728748B1 (en) | 1998-12-01 | 2004-04-27 | Network Appliance, Inc. | Method and apparatus for policy based class of service and adaptive service level management within the context of an internet and intranet |
US7934251B2 (en) | 1999-12-02 | 2011-04-26 | Western Digital Technologies, Inc. | Managed peer-to-peer applications, systems and methods for distributed data access and storage |
US6496935B1 (en) | 2000-03-02 | 2002-12-17 | Check Point Software Technologies Ltd | System, device and method for rapid packet filtering and processing |
US6880089B1 (en) | 2000-03-31 | 2005-04-12 | Avaya Technology Corp. | Firewall clustering for multiple network servers |
US20030202645A1 (en) * | 2000-05-25 | 2003-10-30 | Fujitsu Network Communications, Inc., A California Corporation | Element management system with adaptive interface based on autodiscovery from element identifier |
AU2001292801A1 (en) | 2000-09-11 | 2002-04-29 | Sitara Networks, Inc. | Central policy manager |
US7389358B1 (en) | 2000-09-13 | 2008-06-17 | Fortinet, Inc. | Distributed virtual system to support managed, network-based services |
US7120701B2 (en) | 2001-02-22 | 2006-10-10 | Intel Corporation | Assigning a source address to a data packet based on the destination of the data packet |
US7197764B2 (en) | 2001-06-29 | 2007-03-27 | Bea Systems Inc. | System for and methods of administration of access control to numerous resources and objects |
US8005965B2 (en) | 2001-06-30 | 2011-08-23 | International Business Machines Corporation | Method and system for secure server-based session management using single-use HTTP cookies |
US8095668B2 (en) | 2001-11-09 | 2012-01-10 | Rockstar Bidco Lp | Middlebox control |
US7509425B1 (en) * | 2002-01-15 | 2009-03-24 | Dynamicsoft, Inc. | Establishing and modifying network signaling protocols |
US6781990B1 (en) | 2002-02-11 | 2004-08-24 | Extreme Networks | Method and system for managing traffic in a packet network environment |
US7349382B2 (en) | 2002-08-10 | 2008-03-25 | Cisco Technology, Inc. | Reverse path forwarding protection of packets using automated population of access control lists based on a forwarding information base |
FR2844415B1 (fr) | 2002-09-05 | 2005-02-11 | At & T Corp | Systeme pare-feu pour interconnecter deux reseaux ip geres par deux entites administratives differentes |
US7386889B2 (en) | 2002-11-18 | 2008-06-10 | Trusted Network Technologies, Inc. | System and method for intrusion prevention in a communications network |
US7149738B2 (en) | 2002-12-16 | 2006-12-12 | International Business Machines Corporation | Resource and data administration technologies for IT non-experts |
EP2270622B1 (en) * | 2003-06-05 | 2016-08-24 | Intertrust Technologies Corporation | Interoperable systems and methods for peer-to-peer service orchestration |
US20050022017A1 (en) | 2003-06-24 | 2005-01-27 | Maufer Thomas A. | Data structures and state tracking for network protocol processing |
US7660248B1 (en) | 2004-01-23 | 2010-02-09 | Duffield Nicholas G | Statistical, signature-based approach to IP traffic classification |
US8316128B2 (en) | 2004-01-26 | 2012-11-20 | Forte Internet Software, Inc. | Methods and system for creating and managing identity oriented networked communication |
US7610621B2 (en) | 2004-03-10 | 2009-10-27 | Eric White | System and method for behavior-based firewall modeling |
US7843843B1 (en) | 2004-03-29 | 2010-11-30 | Packeteer, Inc. | Adaptive, application-aware selection of differntiated network services |
US7484237B2 (en) | 2004-05-13 | 2009-01-27 | Hewlett-Packard Development Company, L.P. | Method and apparatus for role-based security policy management |
US7395082B2 (en) | 2004-06-23 | 2008-07-01 | Broadcom Corporation | Method and system for handling events in an application framework for a wireless device |
WO2006014504A2 (en) | 2004-07-07 | 2006-02-09 | Sciencelogic, Llc | Self configuring network management system |
GB2418110B (en) | 2004-09-14 | 2006-09-06 | 3Com Corp | Method and apparatus for controlling traffic between different entities on a network |
US7543054B1 (en) | 2005-05-20 | 2009-06-02 | Network General Technology | Minimalist data collection for high-speed network data monitoring based on protocol trees |
US7639613B1 (en) * | 2005-06-24 | 2009-12-29 | Packeteer, Inc. | Adaptive, flow-based network traffic measurement and monitoring system |
US7721299B2 (en) | 2005-08-05 | 2010-05-18 | Red Hat, Inc. | Zero-copy network I/O for virtual hosts |
US20070143851A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
US8544058B2 (en) | 2005-12-29 | 2013-09-24 | Nextlabs, Inc. | Techniques of transforming policies to enforce control in an information management system |
WO2007099276A1 (en) | 2006-03-02 | 2007-09-07 | British Telecommunications Public Limited Company | Message processing methods and systems |
US8838756B2 (en) | 2009-07-27 | 2014-09-16 | Vmware, Inc. | Management and implementation of enclosed local networks in a virtual lab |
US8365294B2 (en) | 2006-06-30 | 2013-01-29 | Intel Corporation | Hardware platform authentication and multi-platform validation |
US8204982B2 (en) | 2006-09-14 | 2012-06-19 | Quova, Inc. | System and method of middlebox detection and characterization |
GB0623101D0 (en) | 2006-11-20 | 2006-12-27 | British Telecomm | Secure network architecture |
US8381209B2 (en) | 2007-01-03 | 2013-02-19 | International Business Machines Corporation | Moveable access control list (ACL) mechanisms for hypervisors and virtual machines and virtual port firewalls |
US20080189769A1 (en) | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
US8059532B2 (en) | 2007-06-21 | 2011-11-15 | Packeteer, Inc. | Data and control plane architecture including server-side triggered flow policy mechanism |
US20080267177A1 (en) | 2007-04-24 | 2008-10-30 | Sun Microsystems, Inc. | Method and system for virtualization of packet encryption offload and onload |
US8875272B2 (en) | 2007-05-15 | 2014-10-28 | International Business Machines Corporation | Firewall for controlling connections between a client machine and a network |
JP4740897B2 (ja) | 2007-05-24 | 2011-08-03 | 株式会社日立製作所 | 仮想ネットワーク構成方法及びネットワークシステム |
US7996823B2 (en) | 2007-05-31 | 2011-08-09 | International Business Machines Corporation | Mechanism to provide debugging and optimization in policy and knowledge controlled distributed computing systems, through the use of tagged policies and knowledge representation elements |
US8327414B2 (en) | 2007-06-21 | 2012-12-04 | Motorola Solutions, Inc. | Performing policy conflict detection and resolution using semantic analysis |
US8370919B2 (en) | 2007-06-26 | 2013-02-05 | Microsoft Corporation | Host firewall integration with edge traversal technology |
US8374929B1 (en) | 2007-08-06 | 2013-02-12 | Gogrid, LLC | System and method for billing for hosted services |
US8301741B2 (en) | 2007-08-21 | 2012-10-30 | Alcatel Lucent | Cloning policy using templates and override cloned policy |
DE112008002439T5 (de) | 2007-09-07 | 2010-07-15 | Kace Networks, Inc., Mountain View | Architektur und Protokoll für die erweiterbare und skalierbare Kommunikation |
US7855982B2 (en) | 2007-11-19 | 2010-12-21 | Rajesh Ramankutty | Providing services to packet flows in a network |
CN101441561B (zh) | 2007-11-23 | 2012-05-23 | 国际商业机器公司 | 基于上下文模型生成面向服务架构的策略的方法和装置 |
US7945647B2 (en) | 2007-12-10 | 2011-05-17 | Oracle America, Inc. | Method and system for creating a virtual network path |
US9304832B2 (en) | 2008-01-09 | 2016-04-05 | Blue Coat Systems, Inc. | Methods and systems for filtering encrypted traffic |
US8448218B2 (en) | 2008-01-17 | 2013-05-21 | Josep Bori | Method and apparatus for a cryptographically assisted computer system designed to deter viruses and malware via enforced accountability |
US9686288B2 (en) | 2008-01-25 | 2017-06-20 | Ntt Docomo, Inc. | Method and apparatus for constructing security policies for web content instrumentation against browser-based attacks |
US8434125B2 (en) | 2008-03-05 | 2013-04-30 | The Boeing Company | Distributed security architecture |
US8336094B2 (en) | 2008-03-27 | 2012-12-18 | Juniper Networks, Inc. | Hierarchical firewalls |
FI20085377L (fi) | 2008-04-25 | 2009-10-26 | Teliasonera Ab | MIDP-pohjaisen kohdesovelluksen käynnistäminen käynnistyssovelluksesta |
US8099615B2 (en) | 2008-06-30 | 2012-01-17 | Oracle America, Inc. | Method and system for power management in a virtual machine environment without disrupting network connectivity |
US9411864B2 (en) | 2008-08-26 | 2016-08-09 | Zeewise, Inc. | Systems and methods for collection and consolidation of heterogeneous remote business data using dynamic data handling |
US9781148B2 (en) | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
US7921197B2 (en) | 2008-11-19 | 2011-04-05 | Vmware, Inc. | Dynamic configuration of virtual machines |
US8069247B2 (en) | 2008-12-03 | 2011-11-29 | Verizon Data Services Llc | Application launcher systems, methods, and apparatuses |
US8484739B1 (en) | 2008-12-15 | 2013-07-09 | Symantec Corporation | Techniques for securely performing reputation based analysis using virtualization |
JP5516419B2 (ja) | 2008-12-18 | 2014-06-11 | 日本電気株式会社 | 通信装置、通信システム、通信制御方法及び通信制御プログラム |
US7948986B1 (en) | 2009-02-02 | 2011-05-24 | Juniper Networks, Inc. | Applying services within MPLS networks |
WO2010102084A2 (en) | 2009-03-05 | 2010-09-10 | Coach Wei | System and method for performance acceleration, data protection, disaster recovery and on-demand scaling of computer applications |
KR101460848B1 (ko) | 2009-04-01 | 2014-11-20 | 니시라, 인크. | 가상 스위치를 구현 및 관리하는 방법 및 장치 |
US8578374B2 (en) | 2009-07-16 | 2013-11-05 | Ca, Inc. | System and method for managing virtual machines |
US8490150B2 (en) | 2009-09-23 | 2013-07-16 | Ca, Inc. | System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems |
US8442048B2 (en) | 2009-11-04 | 2013-05-14 | Juniper Networks, Inc. | Methods and apparatus for configuring a virtual network switch |
US9552497B2 (en) | 2009-11-10 | 2017-01-24 | Mcafee, Inc. | System and method for preventing data loss using virtual machine wrapped applications |
US8782402B2 (en) | 2010-02-25 | 2014-07-15 | Bank Of America Corporation | System and method for secure communications |
US9727850B2 (en) | 2010-03-29 | 2017-08-08 | Forward Pay Systems, Inc. | Secure electronic cash-less payment systems and methods |
JP5476261B2 (ja) | 2010-09-14 | 2014-04-23 | 株式会社日立製作所 | マルチテナント型情報処理システム、管理サーバ及び構成管理方法 |
US8959569B2 (en) | 2011-03-18 | 2015-02-17 | Juniper Networks, Inc. | Security enforcement in virtualized systems |
US9298910B2 (en) | 2011-06-08 | 2016-03-29 | Mcafee, Inc. | System and method for virtual partition monitoring |
JP5824911B2 (ja) | 2011-06-29 | 2015-12-02 | 富士通株式会社 | 情報処理装置、情報処理プログラムおよび管理方法 |
EP2541862B1 (en) | 2011-06-29 | 2017-11-15 | The Boeing Company | A method of and apparatus for monitoring for security threats in computer network traffic |
KR20130005524A (ko) | 2011-07-06 | 2013-01-16 | 한국전자통신연구원 | 웹 기반 이동성 보장 방법과 그를 위한 시스템, 장치 및 컴퓨터로 읽을 수 있는 기록매체 |
US8806568B2 (en) | 2011-07-11 | 2014-08-12 | International Business Machines Corporation | Automatic generation of user account policies based on configuration management database information |
US8407323B2 (en) | 2011-07-12 | 2013-03-26 | At&T Intellectual Property I, L.P. | Network connectivity wizard to support automated creation of customized configurations for virtual private cloud computing networks |
US9900224B2 (en) | 2011-08-04 | 2018-02-20 | Midokura Sarl | System and method for implementing and managing virtual networks |
US8958298B2 (en) * | 2011-08-17 | 2015-02-17 | Nicira, Inc. | Centralized logical L3 routing |
US9319459B2 (en) | 2011-09-19 | 2016-04-19 | Cisco Technology, Inc. | Services controlled session based flow interceptor |
US9037511B2 (en) | 2011-09-29 | 2015-05-19 | Amazon Technologies, Inc. | Implementation of secure communications in a support system |
US9143530B2 (en) | 2011-10-11 | 2015-09-22 | Citrix Systems, Inc. | Secure container for protecting enterprise data on a mobile device |
EP2748714B1 (en) | 2011-11-15 | 2021-01-13 | Nicira, Inc. | Connection identifier assignment and source network address translation |
US8953453B1 (en) | 2011-12-15 | 2015-02-10 | Amazon Technologies, Inc. | System and method for throttling service requests using work-based tokens |
US8830834B2 (en) | 2011-12-21 | 2014-09-09 | Cisco Technology, Inc. | Overlay-based packet steering |
US20140155043A1 (en) | 2011-12-22 | 2014-06-05 | Cygnus Broadband, Inc. | Application quality management in a communication system |
US8863299B2 (en) | 2012-01-06 | 2014-10-14 | Mobile Iron, Inc. | Secure virtual file management system |
US9203864B2 (en) | 2012-02-02 | 2015-12-01 | Seven Networks, Llc | Dynamic categorization of applications for network access in a mobile network |
US8660129B1 (en) | 2012-02-02 | 2014-02-25 | Cisco Technology, Inc. | Fully distributed routing over a user-configured on-demand virtual network for infrastructure-as-a-service (IaaS) on hybrid cloud networks |
US8954964B2 (en) | 2012-02-27 | 2015-02-10 | Ca, Inc. | System and method for isolated virtual image and appliance communication within a cloud environment |
US9100497B2 (en) | 2012-04-05 | 2015-08-04 | Blackberry Limited | Method, system and apparatus for managing persona-based notifications at a communication device |
US9304801B2 (en) | 2012-06-12 | 2016-04-05 | TELEFONAKTIEBOLAGET L M ERRICSSON (publ) | Elastic enforcement layer for cloud security using SDN |
US9317696B2 (en) | 2012-07-10 | 2016-04-19 | Microsoft Technology Licensing, Llc | Data detection and protection policies for e-mail |
CN103580986B (zh) | 2012-07-30 | 2016-12-21 | 华为终端有限公司 | 一种实时通信方法、终端设备、实时通信服务器及系统 |
US9208189B2 (en) | 2012-08-24 | 2015-12-08 | Facebook, Inc. | Distributed request processing |
US9104492B2 (en) | 2012-09-04 | 2015-08-11 | Wisconsin Alumni Research Foundation | Cloud-based middlebox management system |
US9092445B2 (en) | 2012-09-06 | 2015-07-28 | Advanced Micro Devices, Inc. | Predictive information topology modeling and visualization |
US9571507B2 (en) | 2012-10-21 | 2017-02-14 | Mcafee, Inc. | Providing a virtual security appliance architecture to a virtual cloud infrastructure |
US8655307B1 (en) | 2012-10-26 | 2014-02-18 | Lookout, Inc. | System and method for developing, updating, and using user device behavioral context models to modify user, device, and application state, settings and behavior for enhanced user security |
US9100421B2 (en) | 2012-11-12 | 2015-08-04 | International Business Machines Corporation | Enterprise application session control and monitoring in a large distributed environment |
WO2014098790A1 (en) | 2012-12-17 | 2014-06-26 | Empire Technology Development Llc | Load balancing scheme |
WO2014111863A1 (en) | 2013-01-16 | 2014-07-24 | Light Cyber Ltd. | Automated forensics of computer systems using behavioral intelligence |
US9037873B2 (en) | 2013-01-30 | 2015-05-19 | Vmware, Inc. | Method and system for preventing tampering with software agent in a virtual machine |
US9930066B2 (en) | 2013-02-12 | 2018-03-27 | Nicira, Inc. | Infrastructure level LAN security |
EP2956883B1 (en) | 2013-02-14 | 2017-03-22 | VMware, Inc. | Method and apparatus for application awareness in a network |
US9413667B2 (en) | 2013-02-15 | 2016-08-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and network nodes for traffic steering based on per-flow policies |
KR20140103559A (ko) | 2013-02-18 | 2014-08-27 | 한국전자통신연구원 | 웹 기반 콘텐츠 서비스 이동을 위한 객체 이동 시스템 및 방법 |
US9565202B1 (en) | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
US9270704B2 (en) | 2013-03-13 | 2016-02-23 | FireMon, LLC | Modeling network devices for behavior analysis |
US9342343B2 (en) | 2013-03-15 | 2016-05-17 | Adventium Enterprises, Llc | Wrapped nested virtualization |
US9407519B2 (en) | 2013-03-15 | 2016-08-02 | Vmware, Inc. | Virtual network flow monitoring |
WO2014186986A1 (zh) | 2013-05-24 | 2014-11-27 | 华为技术有限公司 | 流转发方法、设备及系统 |
US9137161B2 (en) * | 2013-05-29 | 2015-09-15 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system of bandwidth-aware service placement for service chaining |
US10104121B2 (en) | 2013-07-03 | 2018-10-16 | Fortinet, Inc. | Application layer-based single sign on |
US9306912B2 (en) | 2013-09-03 | 2016-04-05 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Bookmarking support of tunneled endpoints |
US10033693B2 (en) | 2013-10-01 | 2018-07-24 | Nicira, Inc. | Distributed identity-based firewalls |
US9774667B2 (en) | 2013-11-08 | 2017-09-26 | Vmware, Inc. | System and method for dynamically configuring a load balancer in a virtual network environment |
CN104683400A (zh) | 2013-11-29 | 2015-06-03 | 英业达科技有限公司 | 云端系统与云端资源配置方法 |
US9967199B2 (en) | 2013-12-09 | 2018-05-08 | Nicira, Inc. | Inspecting operations of a machine to detect elephant flows |
US9270612B2 (en) | 2013-12-13 | 2016-02-23 | International Business Machines Corporation | Software-defined networking interface between multiple platform managers |
US20150169345A1 (en) * | 2013-12-18 | 2015-06-18 | International Business Machines Corporation | Software-defined networking (sdn) for management of traffic between virtual processors |
US9563771B2 (en) | 2014-01-22 | 2017-02-07 | Object Security LTD | Automated and adaptive model-driven security system and method for operating the same |
US9215214B2 (en) | 2014-02-20 | 2015-12-15 | Nicira, Inc. | Provisioning firewall rules on a firewall enforcing device |
US9432796B2 (en) | 2014-05-30 | 2016-08-30 | Apple Inc. | Dynamic adjustment of mobile device based on peer event data |
US9792447B2 (en) | 2014-06-30 | 2017-10-17 | Nicira, Inc. | Method and apparatus for differently encrypting different flows |
US9509715B2 (en) | 2014-08-21 | 2016-11-29 | Salesforce.Com, Inc. | Phishing and threat detection and prevention |
US10397066B2 (en) * | 2014-10-27 | 2019-08-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Content filtering for information centric networks |
US9866408B2 (en) * | 2014-12-12 | 2018-01-09 | Oracle International Corporation | Methods, systems, and computer readable media for configuring a flow interface on a network routing element |
US9891940B2 (en) | 2014-12-29 | 2018-02-13 | Nicira, Inc. | Introspection method and apparatus for network access filtering |
US9401933B1 (en) | 2015-01-20 | 2016-07-26 | Cisco Technology, Inc. | Classification of security policies across multiple security products |
US9609023B2 (en) | 2015-02-10 | 2017-03-28 | International Business Machines Corporation | System and method for software defined deployment of security appliances using policy templates |
US9600320B2 (en) | 2015-02-11 | 2017-03-21 | International Business Machines Corporation | Mitigation of virtual machine security breaches |
CN107251476A (zh) | 2015-02-13 | 2017-10-13 | 维萨国际服务协会 | 保密通信管理 |
US10277666B2 (en) | 2015-03-31 | 2019-04-30 | At&T Intellectual Property I, L.P. | Escalation of feedback instances |
US10740128B2 (en) | 2015-05-07 | 2020-08-11 | Quest Software Inc. | Selecting a cloud from a plurality of clouds for a workload |
US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
US20170063883A1 (en) | 2015-08-26 | 2017-03-02 | Fortinet, Inc. | Metadata information based file processing |
US9699205B2 (en) | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
US9641544B1 (en) | 2015-09-18 | 2017-05-02 | Palo Alto Networks, Inc. | Automated insider threat prevention |
US9929924B2 (en) | 2015-09-25 | 2018-03-27 | Telefonaktiebolaget Lm Ericsson (Publ) | SDN controller logic-inference network troubleshooter (SDN-LINT) tool |
US10652112B2 (en) | 2015-10-02 | 2020-05-12 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Network traffic pre-classification within VM platforms in virtual processing environments |
US10324746B2 (en) | 2015-11-03 | 2019-06-18 | Nicira, Inc. | Extended context delivery for context-based authorization |
US9948611B2 (en) | 2015-12-14 | 2018-04-17 | Nicira, Inc. | Packet tagging for improved guest system security |
US20170170990A1 (en) | 2015-12-15 | 2017-06-15 | Microsoft Technology Licensing, Llc | Scalable Tenant Networks |
CN106921637B (zh) | 2015-12-28 | 2020-02-14 | 华为技术有限公司 | 网络流量中的应用信息的识别方法和装置 |
US20170230419A1 (en) | 2016-02-08 | 2017-08-10 | Hytrust, Inc. | Harmonized governance system for heterogeneous agile information technology environments |
US9967267B2 (en) | 2016-04-15 | 2018-05-08 | Sophos Limited | Forensic analysis of computing activity |
US20170317978A1 (en) | 2016-04-28 | 2017-11-02 | Microsoft Technology Licensing, Llc | Secure interface isolation |
US9762619B1 (en) | 2016-08-30 | 2017-09-12 | Nicira, Inc. | Multi-layer policy definition and enforcement framework for network virtualization |
US9596135B1 (en) | 2016-08-31 | 2017-03-14 | Red Hat, Inc. | Configuring new nodes for using a storage system managed by a unified storage manager |
US10609160B2 (en) | 2016-12-06 | 2020-03-31 | Nicira, Inc. | Performing context-rich attribute-based services on a host |
WO2018118465A1 (en) | 2016-12-22 | 2018-06-28 | Nicira, Inc. | Collecting and processing context attributes on a host |
US10581960B2 (en) | 2016-12-22 | 2020-03-03 | Nicira, Inc. | Performing context-rich attribute-based load balancing on a host |
US10805332B2 (en) | 2017-07-25 | 2020-10-13 | Nicira, Inc. | Context engine model |
US11032246B2 (en) | 2016-12-22 | 2021-06-08 | Nicira, Inc. | Context based firewall services for data message flows for multiple concurrent users on one machine |
US10803173B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Performing context-rich attribute-based process control services on a host |
US10802858B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Collecting and processing contextual attributes on a host |
US10812451B2 (en) | 2016-12-22 | 2020-10-20 | Nicira, Inc. | Performing appID based firewall services on a host |
US10412111B2 (en) | 2016-12-30 | 2019-09-10 | eSentire, Inc. | System and method for determining network security threats |
WO2018141363A1 (en) | 2017-01-31 | 2018-08-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Security for a software container |
US11218497B2 (en) | 2017-02-20 | 2022-01-04 | Micro Focus Llc | Reporting behavior anomalies |
US10778651B2 (en) | 2017-11-15 | 2020-09-15 | Nicira, Inc. | Performing context-rich attribute-based encryption on a host |
US20190034454A1 (en) | 2017-12-19 | 2019-01-31 | Intel Corporation | Expandable tree-based indexing framework that enables expansion of the hadoop distributed file system |
US10862773B2 (en) | 2018-01-26 | 2020-12-08 | Nicira, Inc. | Performing services on data messages associated with endpoint machines |
US10802893B2 (en) | 2018-01-26 | 2020-10-13 | Nicira, Inc. | Performing process control services on endpoint machines |
US10938681B2 (en) | 2018-07-25 | 2021-03-02 | Vmware, Inc. | Context-aware network introspection in software-defined networking (SDN) environments |
-
2017
- 2017-12-04 US US15/830,086 patent/US10609160B2/en active Active
- 2017-12-04 CN CN201780082318.0A patent/CN110168499B/zh active Active
- 2017-12-04 EP EP17832118.8A patent/EP3549015B1/en active Active
- 2017-12-04 WO PCT/US2017/064557 patent/WO2018106612A1/en unknown
- 2017-12-04 US US15/830,074 patent/US10715607B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103765840A (zh) * | 2011-09-01 | 2014-04-30 | 阿尔卡特朗讯 | 用于交换时分复用信号的网元 |
Non-Patent Citations (2)
Title |
---|
Cisco.Cisco Network Solutions for the Telco DCN: Telephone Switch Environments.https://www.cisco.com/c/en/us/td/docs/ios/solutions_docs/telco_dcn/tlcowhit.html.2007,全文. * |
Jeffey1.【分享】解读网络虚拟化起源:OpenFlow协议标准演进过程.https://www.dell.com/community/%E7%BB%BC%E5%90%88%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%88%86%E4%BA%AB-%E8%A7%A3%E8%AF%BB%E7%BD%91%E7%BB%9C%E8%99%9A%E6%8B%9F%E5%8C%96%E8%B5%B7%E6%BA%90-OpenFlow%E5%8D%8F%E8%AE%AE%E6%A0%87%E5%87%86%E6%BC%94%E8%BF%9B%E8%BF%87%E7%A8.2014,全文. * |
Also Published As
Publication number | Publication date |
---|---|
US10609160B2 (en) | 2020-03-31 |
US20180159733A1 (en) | 2018-06-07 |
US10715607B2 (en) | 2020-07-14 |
CN110168499A (zh) | 2019-08-23 |
EP3549015B1 (en) | 2021-10-27 |
EP3549015A1 (en) | 2019-10-09 |
US20180159943A1 (en) | 2018-06-07 |
WO2018106612A1 (en) | 2018-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110168499B (zh) | 在主机上执行上下文丰富的基于属性的服务 | |
US11184327B2 (en) | Context aware middlebox services at datacenter edges | |
CN111095901B (zh) | 服务操作链接方法、设备、系统、以及可读存储介质 | |
US10803173B2 (en) | Performing context-rich attribute-based process control services on a host | |
US11032246B2 (en) | Context based firewall services for data message flows for multiple concurrent users on one machine | |
US11327784B2 (en) | Collecting and processing contextual attributes on a host | |
CN111164939B (zh) | 通过网络指定和利用路径 | |
US10812451B2 (en) | Performing appID based firewall services on a host | |
US10581960B2 (en) | Performing context-rich attribute-based load balancing on a host | |
US20240031372A1 (en) | Performing services on a host | |
US10608993B2 (en) | Firewall rule management | |
US11522835B2 (en) | Context based firewall service for agentless machines | |
US10999220B2 (en) | Context aware middlebox services at datacenter edge | |
US11848946B2 (en) | Efficiently performing intrusion detection | |
US20190036956A1 (en) | Context engine model | |
CN110226155B (zh) | 在主机上收集和处理上下文属性 | |
WO2020009784A1 (en) | Context aware middlebox services at datacenter edges |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |