CN111066301B - 用于强制执行统一全局策略的方法、系统及存储介质 - Google Patents

用于强制执行统一全局策略的方法、系统及存储介质 Download PDF

Info

Publication number
CN111066301B
CN111066301B CN201980004140.7A CN201980004140A CN111066301B CN 111066301 B CN111066301 B CN 111066301B CN 201980004140 A CN201980004140 A CN 201980004140A CN 111066301 B CN111066301 B CN 111066301B
Authority
CN
China
Prior art keywords
virtual machine
destination
logical port
rules
computing system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201980004140.7A
Other languages
English (en)
Other versions
CN111066301A (zh
Inventor
M·希拉
J·杰恩
G·钱德拉谢卡尔
A·森古普塔
P·塔迦尔
A·特斯默
V·阿加瓦尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nicira Inc
Original Assignee
Nicira Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nicira Inc filed Critical Nicira Inc
Publication of CN111066301A publication Critical patent/CN111066301A/zh
Application granted granted Critical
Publication of CN111066301B publication Critical patent/CN111066301B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5061Pools of addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开总体上涉及在逻辑网络的多个虚拟私有云上应用全局统一安全策略。逻辑网络被部署在软件定义的数据中心上,该数据中心构成一个或更多个私有和/或公共数据中心。逻辑网络的多个虚拟私有云可以具有一个或更多个重叠的互联网协议地址块,其中每个虚拟私有云部署一个或更多个虚拟机和/或容器。使用虚拟机和/或容器的逻辑端口将全局统一安全策略传播到贯穿逻辑网络的端点。

Description

用于强制执行统一全局策略的方法、系统及存储介质
相关申请的交叉引用
本申请要求于2018年1月26日提交的、申请号为15/881,703、题为“在具有重叠IP地址块的虚拟私有云上的统一安全策略(UNIFIED SECURITY POLICIES ACROSS VIRTUALPRIVATE CLOUDSWITH OVERLAPPING IP ADDRESS BLOCKS)”的美国非临时申请的优先权。
本申请涉及:2016年8月27日提交的、申请号为62/380,411、题为“将网络控制系统扩展到公共云中(EXTENSION OF NETWORK CONTROL SYSTEM INTO PUBLIC CLOUD)”的美国临时申请;2016年8月31日提交的、申请号为15/253,829,题为“将网络控制系统扩展到公共云中(EXTENSION OF NETWORK CONTROL SYSTEM INTO PUBLIC CLOUD)”的美国申请;2016年8月31日提交的、申请号为15/253,832,题为“在无覆盖网络的公共云数据计算节点中执行的托管转发元件(MANAGED FORWARDING ELEMENT EXECUTING IN PUBLIC CLOUD DATACOMPUTE NODE WITHOUT OVERLAY NETWORK)”的美国申请;2016年8月31日提交的、申请号为15/253,833、题为“在具有不同内部和外部网络地址的公共云数据计算节点中执行的托管转发元件(MANAGED FORWARDING ELEMENT EXECUTING IN PUBLIC CLOUD DATA COMPUTENODE WITH DIFFERENT INTERNAL AND EXTERNAL NETWORK ADDRESSES)”的美国申请;2016年8月31日提交的申请号为15/253,834、题为“在公共云数据计算节点的分离命名空间中而不是工作负载应用程序中执行的托管转发元件(MANAGED FORWARDING ELEMENT EXECUTINGIN SEPARATE NAMESPACE OF PUBLIC CLOUD DATA COMPUTE NODE THAN WORKLOADAPPLICATION)”的美国申请;2016年9月28日提交的、申请号为15/279,382、题为“用于公共云中的逻辑网络的南北交通的集中式处理(CENTRALIZED PROCESSING OF NORTH-SOUTHTRAFFIC FOR LOGICAL NETWORK IN PUBLIC CLOUD)”的美国申请;2016年9月28日提交的、申请号为15/279,394、题为“用于在公共云中实现的逻辑网络的分布式网络加密(DISTRIBUTED NETWORK ENCRYPTION FOR LOGICAL NETWORK IMPLEMENTED IN PUBLICCLOUD)”美国申请;2016年9月28日提交的、申请号为15/279,403,题为“公共和私有数据中心之间延伸的逻辑网络域(LOGICAL NETWORK DOMAINS STRETCHED BETWEEN PUBLIC ANDPRIVATE DATACENTERS)”的美国申请;2016年9月28日提交、申请号为15/279,409,题为“用于公共云中的逻辑网络的南北交通的分布式处理(DISTRIBUTED PROCESSING OF NORTH-SOUTH TRAFFIC FOR LOGICAL NETWORK IN PUBLIC CLOUD)”的美国申请;2016年12月5日提交的、申请号为15/369,580、题为“用于网络虚拟化平台的策略定义和强制执行(POLICYDEFINITION AND ENFORCEMENT FOR A NETWORK VIRTUALIZATION PLATFORM)”的美国申请;2016年12月5日提交的、申请号为15/369,596、题为“用于网络虚拟化的多层策略定义和强制执行框架(MULTI-LAYER POLICY DEFINITION AND ENFORCEMENT FRAMEWORK FORNETWORK VIRTUALIZATION)”的美国申请,发布为专利号为9,762,619的美国专利;以及2017年1月13日提交的、申请号为15/406,249、题为“在基于逻辑端口标识符的虚拟交换机中管理网络流量(MANAGING NETWORK TRAFFIC IN VIRTUAL SWITCHES BASED ON LOGICAL PORTIDENTIFIERS)”的美国申请。这些申请中的每一个的内容通过引用整体合并于此。
技术领域
本公开总体上涉及逻辑网络,并且更具体地涉及通过使用逻辑端口在软件定义的数据中心上运行的逻辑网络来分发统一的安全策略。
背景技术
越来越多的用户(例如,组织、公司)将其网络转移到基于数据中心所构建的云中。该网络可以包含私有数据中心和公共数据中心,或几个私有数据中心和/或公共数据中心的组合。软件定义的数据中心使得网络的管理员能够通过提供逻辑覆盖网络来更轻松地管理在多个数据中心上运行的网络,该网络也可以简称为“逻辑网络”,并且在业界也称为软件定义的网络(SDN)。逻辑覆盖网络使用隧道协议(例如VXLAN或Geneve)与基础物理基础架构分离,并且可以跨多个数据中心扩展。
与任何网络一样,管理员可能希望对逻辑网络强制执行全局安全策略。通常由使用虚拟机的互联网协议(IP)地址的网络来强制执行安全策略。但是,如果为网络的不同虚拟机分配了重叠的IP地址,则可能难以将统一的安全策略统一地应用于逻辑网络的所有端点。例如,如果软件定义的数据中心的公共数据中心分配了管理员可以控制的两个隔离的计算资源集,但是它们使用重叠的IP地址进行部署,则无法使用传统技术在两个计算资源集上正确强制执行单个统一的安全策略。
发明内容
本文公开的发明通过执行使用逻辑端口的策略,来增强在运行在软件定义的数据中心上的逻辑网络上的统一安全策略的强制执行。
在一些实施例中,描述了一种用于在运行在软件定义的数据中心上的逻辑网络上对两个或更多个隔离的计算系统强制执行具有规则的统一全局策略的方法。该方法包括在中央控制器处:向第一计算系统和第二计算系统(例如,在公共数据中心中)传输统一全局策略的规则,其中,每个计算系统包括分配给特定互联网协议地址块的虚拟机。该方法还包括在第一计算系统的第一虚拟机处:接收统一全局策略的多个规则;标识要从第一虚拟机传输到目的地虚拟机的数据包;标识第一虚拟机对应的源逻辑端口和目的地虚拟机对应的目的地逻辑端口;根据基于源逻辑端口和目的地逻辑端口的、规则之一禁止数据包从第一虚拟机到目的地虚拟机传输的判定,放弃传输该数据包;以及根据基于源逻辑端口和目的地逻辑端口的、该规则不禁止数据包从第一虚拟机到目的地虚拟机传输的判定,使用该目的地逻辑端口传输通信,其中该通信包括该数据包。
在一些实施例中,描述了一种或更多种非暂时性(和/或暂时性)计算机可读存储介质(其可选地包括一个或更多个模块、程序和/或用于执行多种功能的指令集),存储一个或更多个程序,该程序被配置为由一个或更多个处理器执行,以在运行在软件定义的数据中心上的逻辑网络上对两个或更多个隔离的计算系统强制执行具有规则的统一全局策略。一个或更多个程序包括用于在中央控制器处向第一计算系统和第二计算系统传输统一全局策略的规则的指令。第一计算系统和第二计算系统每个包括被分配了特定互联网协议地址块的虚拟机。一个或更多个程序还包括用于在第一虚拟机处执行如上所述的方法的指令。
在一些实施例中,描述了一种系统(其可选地包括存储器以及一个或更多个模块、程序和/或在存储器中的用于执行多种功能的指令集),用于在运行在软件定义的数据中心上的逻辑网络上对两个或更多个隔离的计算系统强制执行具有多个规则的统一全局策略。
附图说明
以下描述和相关附图教导了本发明的最佳模式。因此,本领域技术人员将理解落入本发明的范围内的最佳模式的变化。本领域技术人员将理解,以下描述的特征可以以各种方式组合以形成本发明的多种变型。结果,本发明不限于以下描述的具体示例,而是仅由权利要求书及其等同物限制。
图1示出了示出在软件定义的数据中心上运行的示例性逻辑网络的框图。
图2示出了描述使用IP地址在示例性逻辑网络上强制执行全局安全策略的示例性操作场景的流程图。
图3示出了示出示例性逻辑网络的虚拟机的分配的IP地址和工作负载的表。
图4示出了示出示例性逻辑网络的虚拟私有云的网络组件的框图。
图5示出了描述使用逻辑端口在示例性逻辑网络上强制执行全局安全策略的示例性操作场景的流程图。
具体实施方式
本文公开的本发明针对用于使用逻辑端口在逻辑网络的端点处强制执行统一安全策略(例如,防火墙规则,转发规则)的实施例。逻辑网络可以在软件定义的数据中心上运行,该逻辑网络可选地包括用于连接网络的虚拟机和/或容器的逻辑交换机和路由器。该逻辑网络进一步由中央管理和控制系统管理,该中央管理和控制系统又可选地由该逻辑网络的所有者(例如,组织、公司)的网络管理员来配置。
在一些实施例中,软件定义的数据中心跨越一个或更多个私有数据中心,其中中央管理和控制系统可以直接访问和控制转发元件;和/或一个或更多个公共云多租户数据中心,其中中央管理和控制系统不具有对转发元件的直接访问和控制。此外,一个或更多个公共云数据中心可以是属于相同的云服务提供商或属于不同的云服务提供商。
典型的数据中心(公共的还是私有的)包括多个主机计算系统,每个主机计算系统由一个或更多个处理器提供动力,并且每个主机系统包括存储器。存储器可以包括一个或更多个计算机可读存储介质。一个或更多个计算机可读存储介质可以是有形的和非暂时性的,和/或可以是暂时性的。存储器可以包括高速随机存取存储器,并且还可以包括非易失性存储器(例如,一个或更多个闪存存储设备、一个或更多个磁盘存储设备和/或其他非易失性固态存储设备)。存储器中包括的一个或更多个计算机可读存储介质可以存储包括指令的一个或更多个程序。指令可以配置成实现逻辑网络(的至少一部分)。
在一些实施例中,逻辑网络提供工作负载(例如,虚拟机的、容器的)之间的连接性,这些工作负载存在于在(公共或私有)数据中心上运行的同一主机计算系统上,或者在跨一个或更多个(公共和/或私有)数据中心运行的单独主机计算系统上运行。
在一些实施例中,中央管理和控制系统将私有数据中心管理和控制扩展到公共数据中心,从而将管理和控制扩展到跨越软件定义的数据中心的整个逻辑网络。例如,中央管理和控制系统指导与逻辑网络相关联的网络控制器和转发元件,以针对从虚拟机和/或容器发送的数据包以及发送到虚拟机和/或容器的数据包强制执行安全策略(例如,防火墙规则、转发规则)。在一些实施例中,公共数据中心向承租人提供由承租人控制的一个或更多个隔离的计算资源集,其在本文中称为虚拟私有云。
图1示出了在软件定义的数据中心上操作并且由中央管理和控制系统管理的示例性逻辑网络100。在该实施例中,托管逻辑网络100的软件定义的数据中心包括数据中心110和数据中心111。数据中心110是私有数据中心,操作中心管理和控制系统120。在其他实施例中,数据中心110可以是公共数据中心。数据中心111是公共数据中心,托管逻辑网络的多个计算虚拟私有云,包括虚拟私有云130和虚拟私有云131。软件定义的数据中心还可选地包括一个或更多个其他公共和/或私有数据中心(非显示)。
在一些实施例中,为了使中央管理和控制系统120管理逻辑网络100,在每个虚拟私有云上部署了连接到其相应虚拟机的第一级网络控制器(例如,网关控制器)。虚拟私有云130包括本地网关控制器140,以及虚拟私有云131包括本地网关控制器141。在一些实施例中,本地网关控制器操作网关数据路径用于:与同一数据中心内的逻辑网络的其他虚拟私有云进行通信,和/或与在不同(私有和/或公共)数据中心中的逻辑网络的其他虚拟私有云进行通信,以及与外部网络进行通信。
同样如图1所示,逻辑网络100进一步将多个工作负载作为虚拟机来操作,虚拟机包括虚拟私有云130的虚拟机150-152和虚拟私有云131的虚拟机153-155。工作负载还可选地部署在一个虚拟机内的一个或更多个容器上。逻辑网络的虚拟机(或逻辑网络的容器)可选地执行一个或更多个工作负载应用程序,例如网页服务器、应用程序服务器或数据库服务器。例如,在虚拟私有云130中,虚拟机150正在执行网页服务器,虚拟机151正在执行数据库服务器,并且虚拟机152正在执行应用程序服务器。类似地,在虚拟私有云131中,虚拟机153正在执行网页服务器,虚拟机154正在执行应用程序服务器,并且虚拟机155正在执行数据库服务器。
在一些实施例中,逻辑网络的每个虚拟机包括用于连接到逻辑网络的网络接口,从而实现网络的虚拟机之间的通信。例如,虚拟机的网络接口可选地包括虚拟网络接口。此外,在每个虚拟机内,可选地将托管转发元件插入工作负载应用程序和网络接口之间的数据路径中。可选地,可以在每个虚拟机上运行配置其各自的托管转发元件的本地控制代理。
在交叉引用的申请号为15/253,829的美国申请,申请号为15/253,832的美国申请、申请号为15/253,833的美国申请,申请号为15/253,834的美国申请,申请号为15/279,382的美国申请,申请号为15/279,394的美国申请,申请号为15/279,403的美国申请和申请号为15/279,409的美国申请,更详细地描述了有关网络管理和控制系统的功能及其管理在私有数据中心和公共数据中心上的逻辑网络的能力。
如上所述,全局安全策略也在运行在软件定义的数据中心(例如,包括数据中心110和111)上的逻辑网络(例如,逻辑网络100)上实现。通常,基于互联网协议(IP)地址在目标端点(例如,虚拟机、容器)处强制执行诸如防火墙规则之类的安全策略。
当将逻辑网络部署在软件定义的数据中心上时,其虚拟私有云被分配IP地址块。如果网络上存在多个虚拟私有云(例如,用于公司的第一部门的第一虚拟私有云和用于公司的第二部门的第二虚拟私有云),那么在进行部署时,虚拟私有云中的两个或更多个虚拟私有云可能被分配了部分重叠的IP地址块。也就是说,第一虚拟私有云的至少一个虚拟机和第二虚拟私有云的至少一个虚拟机可能被分配了相同的IP地址(或者同一虚拟私有云内的不同容器可能被分配了重叠的IP地址)。此外,由于IP地址是由公共数据中心的云服务提供商分配的,因此管理员可能无法直接控制如何将IP地址分配给逻辑网络的端点(例如,虚拟机、容器)。
逻辑网络的两个或更多个虚拟私有云之间的IP地址重叠可能导致安全策略的不一致和意外的应用。当将单个安全策略配置为在网络的所有(或多个)端点上强制执行(例如,统一的安全策略)并且基于IP地址强制执行该安全策略时,是尤其地有问题的,这是在网络中强制执行防火墙规则的常规方法。图2示出了用于对使用IP地址的逻辑网络100的端点强制执行包括多个防火墙规则的全局安全策略的流程图200。在该示例中,全局安全策略包括第一防火墙规则(在此称为“防火墙规则A”),该第一防火墙规则禁止虚拟机的网页服务器工作负载与不同虚拟机的数据库服务器工作负载进行通信。因此,简而言之,防火墙规则A是“拒绝网页到数据库”防火墙规则。
在一些实施例中,为了贯穿逻辑网络100来分配相同的安全策略,中央控制器120将与逻辑网络的虚拟私有云中的工作负载相对应的所有逻辑端口视为连接到相应的托管转发元件,其由其各自的网关控制器控制。这样,在框210处,中央控制器120将安全策略下推到逻辑网络的网关控制器,包括网关控制器(例如140-141)。因此,本地网络的网关控制器(例如140-141)接收相同的安全策略信息。
在框220处,在接收到安全策略后,每个网关控制器(例如,逻辑网络100的网关控制器140-141)执行跨度计算,以识别虚拟机的目标托管转发元件,虚拟机需要策略的每个规则并将每个规则分发到其各自的目标托管转发元件。然后,管理每个虚拟机的本地控制代理可以在其各自的托管转发元件上强制执行接收到的规则。
如所提及的,当将虚拟机部署在网络中时,对其分配了IP地址。在某些情况下,在部署时,不同的虚拟私有云可能被分配了至少部分重叠的IP地址块。例如,图3在表300中示出了分配给虚拟私有云130和131的每个虚拟机的IP地址和服务器组。如在行310所示,为虚拟机150分配了IP地址10.0.0.10和网页服务器工作负载。如在行320所示,为虚拟机151分配了IP地址10.0.0.20和数据库服务器工作负载。如在行330所示,为虚拟机152分配了IP地址10.0.0.30和应用程序服务器工作负载。如在行340所示,为虚拟机153分配了IP地址10.0.0.10网页服务器工作负载。如在行350所示,为虚拟机154分配了IP地址10.0.0.20和应用程序服务器工作负载。如在行360所示,为虚拟机165分配了IP地址10.0.0.30和数据库服务器工作负载。
通常基于虚拟机的IP地址在网络的端点处强制实施防火墙规则。在一些实施例中,防火墙规则A配置成在虚拟私有云130处而不是在虚拟私有云131处进行操作(并且因此不是在网络的所有端点上统一地强制执行的统一防火墙规则)。如上所述,防火墙规则A禁止网页服务器工作负载与数据库服务器工作负载进行通信。当将该规则转换至IP地址时,防火墙规则A禁止IP地址为10.0.0.10的虚拟机与IP地址为10.0.0.20的虚拟机之间进行通信。
返回图2,在框230处,虚拟机150的本地控制代理识别目的地为虚拟机151(目的地虚拟机)的数据包(在本文中称为“数据包A”)。在框240处,一旦识别出数据包A,则虚拟机150的本地控制代理进一步识别数据包的源IP地址和目的地IP地址。在此示例中,数据包A的源IP地址和目的地IP地址分别为10.0.0.10和10.0.0.20。
在框250处,一旦确定数据包A的源IP地址和目的地IP地址,则虚拟机150的本地控制代理将这些IP地址与在虚拟私有云130处正在强制执行的防火墙规则(其包括防火墙规则A)进行比较。但是,防火墙规则A禁止在10.0.0.10和10.0.0.20IP地址之间进行通信。这样,在框260处,虚拟机150的本地控制代理阻止虚拟机150的托管转发元件将数据包A传输到其预期的目的地(虚拟机151),从而满足防火墙规则A的阻止网页服务器工作负载(虚拟机150)和数据库服务器工作负载(虚拟机151)之间的通信的强制执行规则。
在一些实施例中,防火墙规则A是配置为在逻辑网络的所有端点(包括在虚拟私有云130和虚拟私有云131处)上统一地操作的统一防火墙规则。在这种情况下,如在框230-260中所述的在虚拟私有云130上强制执行统一防火墙规则A,但也在如框231-261中所述的在虚拟私有云131上强制执行。
在框231处,虚拟机153的本地控制代理标识要从虚拟机153(源虚拟机)传输到虚拟机154(目的地虚拟机)的数据包(此处称为“数据包B”)。在框241处,一旦识别出数据包B,则虚拟机153的本地控制代理进一步识别该数据包的源IP地址和目的地IP地址。在此示例中,数据包B的源IP地址和目的地IP地址分别为10.0.0.10和10.0.0.20。
在框251处,一旦确定数据包B的源IP地址和目的地IP地址,则虚拟机153的本地控制代理将这些IP地址与在虚拟私有云131处正在强制执行的防火墙规则(包括统一防火墙规则A)进行比较。但是,统一防火墙规则A禁止在10.0.0.10和10.0.0.20IP地址之间进行通信。这样,在框261处,虚拟机153的本地控制代理阻止虚拟机153的托管转发元件将数据包B传输到虚拟机154。
然而,与在虚拟私有云130中对防火墙规则A的强制执行相反,在虚拟私有131中对防火墙规则A的强制执行导致了阻止网页服务器工作负载(虚拟机153)与数据库服务器工作负载(虚拟机154)之间的通信的策略,因为在虚拟私有云131中,IP地址10.0.0.10对应于网页服务器工作负载,而IP地址10.0.0.20对应于应用程序服务器工作负载。这不是防火墙规则A的意图,防火墙规则A旨在阻止网页服务器工作负载与数据库工作程序之间的通信,而不是阻止网页服务器工作负载与应用程序工作负载之间的通信。
因此,流程图200示出了在软件定义的数据中心的逻辑网络的所有端点上应用单个统一防火墙规则(如防火墙规则,通常是基于虚拟机的IP地址)的问题。对于在软件定义的数据中心上运行的逻辑网络(诸如逻辑网络100)而言,这尤其成问题,该逻辑网络可以利用一个或更多个公共数据中心,通过对虚拟机的IP地址的分配,网络管理员无法控制该公共数据中心。因此,网络管理员通常被迫配置目标防火墙规则,而不是单个统一防火墙规则,以确保在其网络上的全局安全策略的一致应用。
本文公开的技术通过基于逻辑端口而不是IP地址强制执行安全规则(例如,根据RFC 4122格式的36个字符的通用唯一标识符(UUID)分配给网络的每个虚拟机),解决了逻辑网络的不同虚拟私有云之间IP地址重叠导致的此问题。在一些实施例中,逻辑端口是根据RFC 4122格式的36个字符(例如32个十六进制字符和4个连字符)的通用唯一标识符(UUID)。在一些实施例中,逻辑端口被表示为在存储器中和在数据包中的16字节值。
在一些实施例中,当在软件定义的数据中心中部署逻辑网络时,为每个虚拟机分配唯一的逻辑端口,该唯一的逻辑端口用于将虚拟机加入相应的逻辑网络或逻辑交换机。如前所述,这些逻辑端口在整个逻辑网络上都是唯一的。因此,与IP地址不同,逻辑端口在逻辑网络的虚拟私有云之间不会重叠。类似地,在部署容器的逻辑网络中,为每个容器分配了唯一的逻辑端口,该唯一的逻辑端口用于将容器加入到相应的逻辑网络或逻辑交换机。
图4-图5描述了在虚拟私有云131上的统一防火墙规则A(例如,统一的“拒绝网页到数据库”规则)的强制执行,虚拟私有云131使用逻辑端口而不是IP地址来标识目的地虚拟机(或容器)。图4示出了根据一些实施例的逻辑网络100的虚拟私有云131的放大图。参考图5的流程图500的框510-590描述了在虚拟私有云131上强制执行统一防火墙规则A的示例操作场景。
在框510处,虚拟私有云131的网关控制器141从中央控制器120接收全局安全策略,该全局安全策略包括至少一个统一防火墙规则(包括统一防火墙规则A)。在框520处,一旦接收到该全局安全策略,则网关控制器141将所有相关规则(包括所有统一策略,例如统一防火墙规则A)转换为逻辑端口标识符(而不是IP地址),并将转换后的策略下推到虚拟机153-155中
在框530处,管理托管转发元件173(其可以是虚拟机内部的虚拟交换机)的虚拟机153的本地控制代理163识别具有与数据包B相同的源和目的地(虚拟机154)的第三数据包(在本文中称为“数据包C”)。在框540处,一旦识别出数据包C,则本地控制代理163基于该数据包,识别与该源虚拟机(虚拟机153)相对应的源逻辑端口以及与目的地虚拟机(虚拟机154)相对应的目的地逻辑端口。
在框550处,本地控制代理163将识别的源逻辑端口和目的地逻辑端口与在虚拟私有云131上正在强制执行的防火墙规则(其包括统一防火墙规则A)进行比较。如上所述,防火墙规则已被从IP地址转换为逻辑端口标识符。本地控制代理163将数据包C的源逻辑端口和目的地逻辑端口与转换后的防火墙规则(包括统一防火墙规则A)进行比较,以确定在统一防火墙规则下是否允许将数据包C传输到其目的地虚拟机(或目的地容器)。
根据在框560处允许通信的判定,本地控制代理163允许将数据包C转发到其目的地虚拟机(或目的地容器)。在一些实施例中,如果逻辑网络是覆盖网络,则源虚拟机(或源容器)在将数据包传输到其目的地之前将数据包用其源逻辑端口封装(如下文在框570处所述)。在一些实施例中,如果逻辑网络是非覆盖网络,则源虚拟机(或源容器)将数据包传输到其目的地,而不用其源逻辑端口封装该数据包(如下文在框571处所述)。
根据在框560处不允许通信的判定,在框572处源虚拟机(或源容器)丢弃该数据包(因此该数据包不被转发到其目的地虚拟机或目的地容器)。
如参照图2的框210-260和210-261所描述的,在基于IP地址的强制执行下,统一防火墙规则A不适当地阻止了虚拟机153(网络服务器)和虚拟机154(应用程序服务器)之间的通信。相反,如果基于逻辑端口标识符强制执行统一防火墙规则A,则不会发生这种意外的强制执行,因为与IP地址相反,逻辑端口标识符在逻辑网络的所有虚拟机(和/或容器)中都是唯一的。更具体地说,共享相同IP地址的两个虚拟机(或两个容器)分别被分配了(例如,在部署网络时)网络中唯一的逻辑端口标识符。
这样,虽然参考图2的框210-261描述的IP地址转换的统一防火墙规则A会不适当的使本地控制代理163禁止托管转发元件173将数据包C传输到虚拟机154,参考框510-560描述的本地端口转换的统一防火墙规则A导致本地控制代理163适当地允许托管转发元件173将数据包C传输到虚拟机154。因此,在基于逻辑端口的规则应用下,统一防火墙规则A不会阻止虚拟机153与虚拟机154之间的通信。这样,如果其他任何适用的防火墙规则都没有阻止通信,则本地控制代理不会阻止数据包C到虚拟机154的通信。
在一些实施例中,一旦标识了源逻辑端口,则在框570处本地控制代理使托管转发元件173将源逻辑端口(例如,作为报头)封装到数据包C得到封装的数据包中。因此,封装的数据包包括具有一个或更多个报头的数据包C,一个或更多个报头包括被封装到该数据包的虚拟机153的源逻辑端口。
在此示例性操作中,由于全局安全策略向下分发到工作负载级别,因此安全策略在工作负载(例如,分别为虚拟机153-155的工作负载183-185)旁边运行-安全策略由本地控制代理(例如,分别为虚拟机153-155的本地控制代理163-165)强制执行,该全局安全策略与工作负载位于同一附件表面上。这样,如果工作负载受到损害,也可以包括安全代理。鉴于这种潜在的风险,这种封装的好处是,通过将源逻辑标识符封装到数据包通信中,策略可以由发送方工作负载和接收方工作负载(而不是仅由发送方工作负载)两者强制执行,从而为网络提供第二级安全。
在一些实施例中,不执行源逻辑端口的封装。例如,逻辑网络的网络管理员可能不希望封装附带的叠加功能,但仍可能希望对工作负载进行微分段。也就是说,将安全代理直接嵌入到逻辑网络的虚拟机中的另一个好处是跨虚拟机的微分段-微分段允许逻辑网络为每个虚拟机提供自己的外围防御,从而消除相邻工作负载之间的未授权访问。因此,即使没有封装,逻辑网络100仍然提供微分段的益处。
在框580处,在创建数据包C的封装数据包之后,本地控制代理163指示托管转发元件173将封装数据包传输到虚拟机154。类似地,在框571处,如果未执行封装,则本地控制代理163指示托管转发元件173将数据包C传输到虚拟机154。
在框590处,托管转发元件173将数据包(未封装的数据包C或包括数据包C的封装的数据包)转发到虚拟机的网络接口193,虚拟机的网络接口193随后转发该数据包(未封装的数据包C或封装的数据包C)到目的地虚拟机(或目的地容器)。在交叉引用的申请号为15/406,249的美国申请中更详细地讨论了使用逻辑端口来管理通过虚拟交换机转发数据包。
如所讨论的,通过封装,当在目的地虚拟机(或目的地容器)处接收到数据包时,可以在目的地处(基于源逻辑端口、目的地逻辑端口对)重新执行策略。在一些实施例中,一旦接收到封装的数据包C,则目的地虚拟机(或目的地容器)基于包含数据包的源逻辑端口的封装的报头来确定(例如,经由目的地虚拟机的本地控制代理)在统一防火墙规则A下是否允许将数据包C从源虚拟机(或源容器)传输到目的地虚拟机(或目的地容器)。根据在统一防火墙规则A下不允许将数据包C从源虚拟机传输到目的地虚拟机的判定,目的地虚拟机丢弃数据包C。如上所述,在目的地虚拟机(或目的地容器)处的第二级强制执行防止了源虚拟机(或源容器)受到损害。
所包括的描述和附图描绘了特定的实现方式,以教导本领域技术人员如何制作和使用最佳模式。为了教导发明原理的目的,已经简化或省略了一些常规方面。本领域技术人员将意识到落入本发明范围内的来自这些实现方式的变型。本领域技术人员还将意识到,上述特征可以以各种方式组合以形成多种实现方式。

Claims (22)

1.一种用于在运行在软件定义的数据中心上的逻辑网络上对两个或更多个隔离的计算系统强制执行具有多个规则的统一全局策略的方法,所述方法包括:
在中央控制器处,向至少第一计算系统和第二计算系统传输所述统一全局策略的所述多个规则,其中所述第一计算系统包括被分配了第一互联网协议(IP)地址块的第一组虚拟机,以及所述第二计算系统包括被分配了第二IP地址块的第二组虚拟机,所述第一IP地址块具有与所述第二IP地址块的地址空间至少部分重叠的地址空间;以及
在所述第一计算系统的第一虚拟机处:
接收所述统一全局策略的所述多个规则;
识别要从所述第一虚拟机向目的地虚拟机传输的数据包;
识别与所述第一虚拟机对应的源逻辑端口和与所述目的地虚拟机对应的目的地逻辑端口;
基于所述源逻辑端口和所述目的地逻辑端口判定所述多个规则中的第一规则禁止所述数据包从所述第一虚拟机向所述目的地虚拟机传输,根据所述判定,放弃传输所述数据包;以及
基于所述源逻辑端口和所述目的地逻辑端口判定包括所述第一规则的所述多个规则不禁止所述数据包从所述第一虚拟机向所述目的地虚拟机传输,根据所述判定,使用所述目的地逻辑端口传输通信,其中所述通信包括所述数据包。
2.根据权利要求1所述的方法,其中所述第一组虚拟机中的第一虚拟机被分配了第一IP地址和逻辑端口标识符,而所述第二组虚拟机中的另一虚拟机被分配了相同的第一IP地址,但不同的逻辑端口标识符。
3.根据权利要求1所述的方法,还包括:
基于所述逻辑网络的逻辑拓扑将所述多个规则从IP地址转换为逻辑端口标识符;
其中所述第一虚拟机接收所述多个规则包括:接收转换后的多个规则。
4.根据权利要求1所述的方法,还包括:
根据包括所述第一规则的所述多个规则不禁止所述数据包从所述第一虚拟机向所述目的地虚拟机传输的判定:
在从所述第一虚拟机向所述目的地虚拟机传输所述通信之前,在所述通信封装至少源逻辑端口标识符。
5.根据权利要求1所述的方法,还包括:
响应于接收到所述统一全局策略的所述多个规则,配置所述第一虚拟机的虚拟交换机以应用所述统一全局策略的所述多个规则。
6.根据权利要求5所述的方法,其中识别要从所述第一虚拟机向所述目的地虚拟机传输的所述数据包,以及识别与所述第一虚拟机对应的所述源逻辑端口和与所述目的地虚拟机对应的所述目的地逻辑端口,是由管理所述虚拟交换机的本地控制代理执行的。
7.根据权利要求1所述的方法,其中所述第一计算系统包括所述目的地虚拟机。
8.根据权利要求1所述的方法,其中所述第一计算系统和所述第二计算系统正在由第一云服务提供商提供的公共数据中心上执行。
9.根据权利要求1所述的方法,其中:
所述第一计算系统正在由第一云服务提供商提供的第一公共数据中心上执行;以及
所述第二计算系统正在由与所述第一云服务提供商不同的第二云服务提供商提供的第二公共数据中心上执行。
10.根据权利要求1所述的方法,其中所述第一虚拟机经由控制平面从所述中央控制器接收所述统一全局策略的所述多个规则。
11.根据权利要求10所述的方法,其中所述控制平面是在所述第一计算系统上执行的本地控制平面。
12.根据权利要求10所述的方法,其中所述控制平面是在私有数据中心上执行的中央计算系统的中央控制平面。
13.根据权利要求1所述的方法,其中所述第一虚拟机正在执行应用程序类型的单个工作负载。
14.根据权利要求1所述的方法,其中所述第一虚拟机正在执行多个工作负载。
15.根据权利要求1所述的方法,其中所述第一规则是统一防火墙规则。
16.如权利要求15所述的方法,其中在所述逻辑网络的所有端点上统一地强制执行所述统一防火墙规则。
17.一种非暂时性计算机可读存储介质,存储一个或更多个程序,所述程序配置成由一个或更多个处理器执行,以在运行在软件定义的数据中心上的逻辑网络上对两个或更多个隔离的计算系统强制执行具有多个规则的统一全局策略,所述一个或更多个程序包括指令,用于:
在中央控制器处,向至少第一计算系统和第二计算系统传输所述统一全局策略的所述多个规则,其中所述第一计算系统包括被分配了第一互联网协议(IP)地址块的第一组虚拟机,以及所述第二计算系统包括被分配了第二IP地址块的第二组虚拟机,所述第一IP地址块具有与所述第二IP地址块的地址空间至少部分重叠的地址空间;以及
在所述第一计算系统的第一虚拟机处:
接收所述统一全局策略的所述多个规则;
识别要从所述第一虚拟机向目的地虚拟机传输的数据包;
识别与所述第一虚拟机对应的源逻辑端口和与所述目的地虚拟机对应的目的地逻辑端口;
基于所述源逻辑端口和所述目的地逻辑端口判定所述多个规则中的第一规则禁止所述数据包从所述第一虚拟机向所述目的地虚拟机传输,根据所述判定,放弃传输所述数据包;以及
基于所述源逻辑端口和所述目的地逻辑端口判定包括所述第一规则的所述多个规则不禁止所述数据包从所述第一虚拟机向所述目的地虚拟机传输,根据所述判定,使用所述目的地逻辑端口传输通信,其中所述通信包括所述数据包。
18.根据权利要求17所述的非暂时性计算机可读存储介质,其中所述第一组虚拟机中的一虚拟机被分配了第一IP地址和第一逻辑端口标识符,而所述第二组虚拟机中的另一虚拟机被分配了相同的第一IP地址,但不同的逻辑端口标识符。
19.根据权利要求17所述的非暂时性计算机可读存储介质,其中,所述一个或更多个程序还包括指令,用于:
根据包括所述第一规则的所述多个规则不禁止所述数据包从所述第一虚拟机向所述目的地虚拟机传输的判定:
在从所述第一虚拟机向所述目的地虚拟机传输所述通信之前,在所述通信封装至少源逻辑端口标识符。
20.一种用于在运行在软件定义的数据中心上的逻辑网络上对两个或更多个隔离的计算系统强制执行具有多个规则的统一全局策略的系统,所述系统包括:
中央控制器,配置成向至少第一计算系统和第二计算系统传输所述统一全局策略的所述多个规则,其中所述第一计算系统包括被分配了第一互联网协议(IP)地址块的第一组虚拟机,以及所述第二计算系统包括被分配了第二IP地址块的第二组虚拟机,所述第一IP地址块具有与所述第二IP地址块的地址空间至少部分重叠的地址空间;以及
所述第一计算系统的第一虚拟机,其中所述第一计算系统的所述第一虚拟机配置成:
接收所述统一全局策略的所述多个规则;
识别要从所述第一虚拟机向目的地虚拟机传输的数据包;
识别与所述第一虚拟机对应的源逻辑端口和与所述目的地虚拟机对应的目的地逻辑端口;
基于所述源逻辑端口和所述目的地逻辑端口判定所述多个规则中的第一规则禁止所述数据包从所述第一虚拟机向所述目的地虚拟机传输,根据所述判定,放弃传输所述数据包;以及
基于所述源逻辑端口和所述目的地逻辑端口判定包括所述第一规则的所述多个规则不禁止所述数据包从所述第一虚拟机向所述目的地虚拟机传输,根据所述判定,使用所述目的地逻辑端口传输通信,其中所述通信包括所述数据包。
21.根据权利要求20所述的系统,其中所述第一组虚拟机中的第一虚拟机被分配了第一IP地址和逻辑端口标识符,而所述第二组虚拟机中的另一虚拟机被分配了相同的第一IP地址,但不同的逻辑端口标识符。
22.根据权利要求20所述的系统,其中,所述第一计算系统的所述第一虚拟机还配置成:
根据包括所述第一规则的所述多个规则不禁止所述数据包从所述第一虚拟机向所述目的地虚拟机传输的判定:
在从所述第一虚拟机向所述目的地虚拟机传输所述通信之前,用所述通信封装至少源逻辑端口标识符。
CN201980004140.7A 2018-01-26 2019-01-25 用于强制执行统一全局策略的方法、系统及存储介质 Active CN111066301B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/881,703 US10848461B2 (en) 2018-01-26 2018-01-26 Unified security policies across virtual private clouds with overlapping IP address blocks
US15/881,703 2018-01-26
PCT/US2019/015266 WO2019148018A1 (en) 2018-01-26 2019-01-25 Unified security policies across virtual private clouds with overlapping ip address blocks

Publications (2)

Publication Number Publication Date
CN111066301A CN111066301A (zh) 2020-04-24
CN111066301B true CN111066301B (zh) 2022-04-19

Family

ID=65363418

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980004140.7A Active CN111066301B (zh) 2018-01-26 2019-01-25 用于强制执行统一全局策略的方法、系统及存储介质

Country Status (4)

Country Link
US (1) US10848461B2 (zh)
EP (1) EP3677009B1 (zh)
CN (1) CN111066301B (zh)
WO (1) WO2019148018A1 (zh)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9558029B2 (en) * 2015-05-17 2017-01-31 Nicira, Inc. Logical processing for containers
US10078526B2 (en) 2015-11-01 2018-09-18 Nicira, Inc. Securing a managed forwarding element that operates within a data compute node
US10063469B2 (en) 2015-12-16 2018-08-28 Nicira, Inc. Forwarding element implementation for containers
US11310204B2 (en) * 2018-11-13 2022-04-19 Sap Se Centralized access to data repository from a multi-cloud computing environment
US11909766B2 (en) * 2020-01-28 2024-02-20 Illumio, Inc. Managing a segmentation policy for workloads in a secure enclave
CN113709052B (zh) * 2020-05-21 2024-02-27 中移(苏州)软件技术有限公司 一种网络报文的处理方法、装置、电子设备和存储介质
CN113746879B (zh) * 2020-05-28 2023-04-28 阿里巴巴集团控股有限公司 一种基于虚拟私有云vpc的数据处理方法及装置
US11989575B2 (en) * 2020-06-05 2024-05-21 Nightwing Group, Llc. Bi-directional interpositioning of virtual hardware
US11595306B2 (en) * 2020-07-22 2023-02-28 CAST AI Group, Inc. Executing workloads across multiple cloud service providers
CN112231044A (zh) * 2020-09-04 2021-01-15 北京金山云网络技术有限公司 对安全容器的健康检测方法、电子设备及介质
US11909721B2 (en) 2020-12-29 2024-02-20 Mastercard International Incorporated Systems and methods for automated firewall provisioning for virtual machines
CN112688818B (zh) * 2020-12-30 2023-01-10 北京天融信网络安全技术有限公司 数据发送方法、装置、电子设备及可读存储介质
US11848949B2 (en) 2021-01-30 2023-12-19 Netskope, Inc. Dynamic distribution of unified policies in a cloud-based policy enforcement system
US12015619B2 (en) 2021-01-30 2024-06-18 Netskope, Inc. Dynamic routing of access request streams in a unified policy enforcement system
US11777993B2 (en) 2021-01-30 2023-10-03 Netskope, Inc. Unified system for detecting policy enforcement issues in a cloud-based environment
JP2024505527A (ja) * 2021-01-30 2024-02-06 ネットスコープ, インク. クラウドにおける統合ポリシー施行管理
WO2022177819A1 (en) * 2021-02-17 2022-08-25 Aviatrix Systems, Inc. Multi-cloud network traffic filtering service
CN113162835B (zh) * 2021-02-26 2022-08-09 北京百度网讯科技有限公司 访问服务资源的方法、装置、设备以及存储介质
US11663159B2 (en) 2021-08-31 2023-05-30 International Business Machines Corporation Deterministic enforcement in data virtualization systems
CN114615022A (zh) * 2022-02-17 2022-06-10 奇安信科技集团股份有限公司 云内流量牵引方法及装置
CN115118654B (zh) * 2022-06-17 2023-08-18 北京百度网讯科技有限公司 虚拟网络下的数据转发方法、系统、装置及程序产品
CN115412527B (zh) * 2022-08-29 2024-03-01 北京火山引擎科技有限公司 虚拟私有网络之间单向通信的方法及通信装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015071888A1 (en) * 2013-11-18 2015-05-21 Telefonaktiebolaget L M Ericsson (Publ) Multi-tenant isolation in a cloud environment using software defined networking
WO2015173759A1 (en) * 2014-05-13 2015-11-19 Telefonaktiebolaget L M Ericsson (Publ) Virtual flow network in a cloud environment

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8532108B2 (en) * 2009-09-30 2013-09-10 Alcatel Lucent Layer 2 seamless site extension of enterprises in cloud computing
US8817620B2 (en) * 2010-07-06 2014-08-26 Nicira, Inc. Network virtualization apparatus and method
US20140052877A1 (en) * 2012-08-16 2014-02-20 Wenbo Mao Method and apparatus for tenant programmable logical network for multi-tenancy cloud datacenters
US9602430B2 (en) * 2012-08-21 2017-03-21 Brocade Communications Systems, Inc. Global VLANs for fabric switches
US9130901B2 (en) 2013-02-26 2015-09-08 Zentera Systems, Inc. Peripheral firewall system for application protection in cloud computing environments
US10484334B1 (en) * 2013-02-26 2019-11-19 Zentera Systems, Inc. Distributed firewall security system that extends across different cloud computing networks
US9344349B2 (en) * 2013-07-12 2016-05-17 Nicira, Inc. Tracing network packets by a cluster of network controllers
US9407580B2 (en) * 2013-07-12 2016-08-02 Nicira, Inc. Maintaining data stored with a packet
US9888405B2 (en) * 2013-11-05 2018-02-06 Cisco Technology, Inc. Networking apparatuses and packet statistic determination methods employing atomic counters
US9647883B2 (en) * 2014-03-21 2017-05-09 Nicria, Inc. Multiple levels of logical routers
US9503321B2 (en) * 2014-03-21 2016-11-22 Nicira, Inc. Dynamic routing for logical routers
WO2016048185A1 (en) * 2014-09-26 2016-03-31 Emc Corporation Policy based provisioning of storage system resources
US10079779B2 (en) * 2015-01-30 2018-09-18 Nicira, Inc. Implementing logical router uplinks
US10609091B2 (en) * 2015-04-03 2020-03-31 Nicira, Inc. Method, apparatus, and system for implementing a content switch
CN106330779B (zh) * 2015-06-23 2019-07-26 联想企业解决方案(新加坡)有限公司 服务器、物理交换机以及通信系统
US10547588B2 (en) 2016-04-30 2020-01-28 Nicira, Inc. Method of translating a logical switch into a set of network addresses
US10333983B2 (en) 2016-08-30 2019-06-25 Nicira, Inc. Policy definition and enforcement for a network virtualization platform
US10868737B2 (en) * 2016-10-26 2020-12-15 Arizona Board Of Regents On Behalf Of Arizona State University Security policy analysis framework for distributed software defined networking (SDN) based cloud environments
US10721275B2 (en) * 2017-01-23 2020-07-21 Fireeye, Inc. Automated enforcement of security policies in cloud and hybrid infrastructure environments

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015071888A1 (en) * 2013-11-18 2015-05-21 Telefonaktiebolaget L M Ericsson (Publ) Multi-tenant isolation in a cloud environment using software defined networking
WO2015173759A1 (en) * 2014-05-13 2015-11-19 Telefonaktiebolaget L M Ericsson (Publ) Virtual flow network in a cloud environment

Also Published As

Publication number Publication date
EP3677009B1 (en) 2021-08-04
CN111066301A (zh) 2020-04-24
US10848461B2 (en) 2020-11-24
US20190238508A1 (en) 2019-08-01
EP3677009A1 (en) 2020-07-08
WO2019148018A1 (en) 2019-08-01

Similar Documents

Publication Publication Date Title
CN111066301B (zh) 用于强制执行统一全局策略的方法、系统及存储介质
US10547463B2 (en) Multicast helper to link virtual extensible LANs
CN111742525B (zh) 多云vpc路由和注册
US10541836B2 (en) Virtual gateways and implicit routing in distributed overlay virtual environments
EP3080707B1 (en) Identity and access management-based access control in virtual networks
US8370834B2 (en) Routing across a virtual network
US11089021B2 (en) Private network layering in provider network environments
JP5859519B2 (ja) データパケットの配信管理方法
US9178828B2 (en) Architecture for agentless service insertion
US9313048B2 (en) Location aware virtual service provisioning in a hybrid cloud environment
EP2491684B1 (en) Method and apparatus for transparent cloud computing with a virtualized network infrastructure
US11269673B2 (en) Client-defined rules in provider network environments
US20150124823A1 (en) Tenant dhcp in an overlay network
US10862796B1 (en) Flow policies for virtual networks in provider network environments
WO2021147358A1 (zh) 一种网络接口的建立方法、装置及系统
US10862709B1 (en) Conditional flow policy rules for packet flows in provider network environments
CN113596192A (zh) 一种基于网闸组网的通信方法、装置、设备及介质
WO2023134350A1 (zh) 一种报文发送方法、报文接收方法、信息发送方法及装置
US20230006998A1 (en) Management of private networks over multiple local networks
CN115412527A (zh) 虚拟私有网络之间单向通信的方法及通信装置
KR20230021506A (ko) 사용자 정의 기반의 가상 네트워크 설정 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant