CN112640382A - 多云结构中的弹性策略缩放 - Google Patents
多云结构中的弹性策略缩放 Download PDFInfo
- Publication number
- CN112640382A CN112640382A CN201980054402.0A CN201980054402A CN112640382A CN 112640382 A CN112640382 A CN 112640382A CN 201980054402 A CN201980054402 A CN 201980054402A CN 112640382 A CN112640382 A CN 112640382A
- Authority
- CN
- China
- Prior art keywords
- policy
- endpoints
- security
- endpoint
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
用于多云结构中的弹性策略缩放的系统、方法和计算机可读介质。一种方法可涉及:与多云结构相关联的云中,在使分支虚拟私有云(VPC)互连的枢纽VPC上部署策略代理的集群;以及将所述分支VPC中的端点映射到所述策略代理。该方法可涉及:基于端点到策略代理的映射跨策略代理分发针对端点的策略组;以及由每个策略代理向分支VPC中的相应的第一组虚拟网关通告与映射到策略代理的端点相关联的路由;以及防止策略代理通告与分支VPC中的第二组虚拟网关相关联的路由。该方法可涉及:通过策略代理将策略代理上的策略组应用于策略代理所接收的业务。
Description
相关申请的交叉引用
本申请要求标题为“多云结构中的弹性策略缩放(ELASTIC POLICY SCALING INMULTI-CLOUD FABRICS)”并且于2018年8月20日提交的美国专利申请No.16/105,822的优先权,该申请的内容通过引用整体地并入本文。
技术领域
本技术涉及云计算,并且更具体地涉及多云策略缩放和集成。
背景技术
支持因特网的设备的普遍存在已为因特网服务和内容创建了巨大需求。我们已成为连接的社会,其中用户日益依赖于网络服务和内容。这种连接因特网的革命已为常常努力为大量用户请求服务而又未达到用户性能期望的服务和内容提供商创建了重大挑战。例如,云提供商通常需要大型且复杂的数据中心来跟上来自用户的网络和内容需求。这些数据中心通常配备有被配置为托管具体服务的服务器场,并且包括被编程用于路由数据中心业务并实施大量安全策略的许多交换机和路由器。在许多情况下,具体数据中心被期望处置数百万业务流并实施许多安全要求。
由诸如企业之类的私有实体所拥有的私有网络类似地对计算资源和性能的需求日益增加。为了满足此类增加的需求,私有实体常常从公有云提供商购买计算资源和服务。例如,私有实体可以在公有云上创建虚拟私有云并将该虚拟私有云连接到其私有网络,以便使其可用的计算资源和能力增长。以这种方式,私有实体可将其本地部署(on-premises)数据中心与托管在公有云上的远程数据中心互连,由此扩展其私有网络。遗憾的是,策略模型一致性的缺乏以及数据中心与云提供商解决方案之间的配置限制大大地限制了私有实体集成不同的环境并跨数据中心环境应用一致的策略模型的能力。例如,思科的软件定义网络和数据中心管理解决方案(以应用为中心的基础设施(ACI))支持成千上万种安全策略,包括每叶交换机128K合约规则、64K IP地址和4K端点组(EPG)。相比之下,亚马逊的公有云解决方案Amazon Web Services(AWS)具有每端点250个安全规则的限制,这比由ACI支持的策略的规模小几个数量级。因此,云与数据中心解决方案之间迥然不同的策略模型和配置限制可能大大地限制混合云实施方案中的策略的可伸缩性和一致性。
附图说明
为了描述可获得本公开的上述及其他优点和特征的方式,将通过参考附图中图示的其具体实施例来渲染以上简要地描述的原理的更特定描述。在理解这些附图仅描绘本公开的示例性实施例并因此不应被认为限制其范围后,通过使用附图来以附加详情和细节描述并说明本文的原理,在附图中:
图1图示了用于包括本地部署站点和公有云的多云结构中的策略缩放和集成的示例架构;
图2图示了将在本地部署站点中配置的策略转换为部署在公有云上的路由器的集群中的策略代理上的访问控制列表(ACL)规则的示例策略映射;
图3图示了被应用于在图1所示的示例架构中配置的不同虚拟私有云上的端点之间的流的规则;
图4图示了在图1所示的示例架构中配置的路由器的集群中的策略的示例分发;
图5图示了图1所示的示例架构中的路由的示例分布,用于确保业务由包含针对该业务所定义的策略的适当的策略代理来处理;
图6图示了在图1所示的示例架构中的端点处实现的用于聚合路由以缩放安全规则的示例方案;
图7图示了用于多云结构中的弹性策略缩放和集成的示例方法;
图8图示了根据各种实施例的示例网络设备;并且
图9图示了根据各种实施例的示例计算设备。
具体实施例
在下面详细地讨论本公开的各种实施例。虽然讨论了具体实施方案,但是应该理解,这是仅为了图示目的而做的。相关领域的技术人员将认识到,在不脱离本公开的精神和范围的情况下,可以使用其他组件和配置。
概述
本公开的附加特征和优点将在下面的描述中被阐述,并部分地将从描述中是显然的,或者可通过实践本文公开的原理来学习。可借助于所附权利要求中特别指出的手段和组合来实现并获得本公开的特征和优点。根据以下描述和所附权利要求,本公开的这些和其他特征将变得更充分显而易见,或者可通过实践本文阐述的原理来学习。
本文公开的是用于多云结构中的弹性策略缩放和集成的系统、方法和计算机可读介质。在一些示例中,方法可涉及在使多个分支虚拟私有云互联的枢纽(hub)虚拟私有云上部署路由器或“策略代理”的集群。可将枢纽虚拟私有云和多个分支(spoke)虚拟私有云托管在与多云结构相关联的云上。云可以是例如公有云。多云结构可扩展到附加云,例如,私有云。
该方法可进一步涉及基于一个或多个公共属性来将多个分支虚拟私有云中的端点映射到集群中的策略代理。该一个或多个公共属性可包括与端点相关联的公共虚拟私有云、与端点相关联的公共子网、与端点相关联的公共端点组(EPG)、与端点相关联的公共虚拟路由和转发(VRF)实例等。此外,该方法可涉及基于端点到策略代理的映射来跨策略代理分发与端点相关联的安全策略。安全策略可包括针对与相应的端点子集相关联的业务所定义的安全策略组,并且可将每个安全策略组部署在映射到与该安全策略组相关联的相应的端点子集的策略代理上。
该方法可涉及:由集群中的每个相应的策略代理向多个分支私有虚拟云中的相应的第一组虚拟网关通告与映射到相应的策略代理的相应的端点子集相关联的路由;以及基于边界网关协议(BGP)路由图,防止集群中的每个相应的策略代理通告与多个分支私有虚拟云中的相应的第二组虚拟网关相关联的路由。该方法可进一步涉及响应于相应的策略代理而接收与端点中的一个或多个相关联的业务,通过相应的策略代理应用在该策略代理上部署的安全策略组中的一个或多个安全策略。
在一些情况下,该方法可涉及:定义与安全策略组相关联的相应的安全组标签(SGT);以及基于相应的端点属性使端点与相应的SGT相关联。相应的端点属性可包括例如与端点相关联的相应的业务类型、与端点相关联的预定安全要求等。此外,在一些示例中,使端点与相应的SGT相关联可包括将端点的相应的IP地址映射到相应的SGT,以产生IP至SGT映射。IP地址可用于标识用于跨多云结构的业务的端点。因此,IP至SGT映射可用于将安全策略应用于与端点的IP地址相关联的业务。例如,每个SGT可与针对映射到SGT的端点所定义的一组安全策略相关联。当路由器或策略代理然后接收到与映射到SGT的IP相关联的业务时,该路由器或策略代理可对该业务应用与该SGT相关联的任何安全策略。
在一些实施方案中,相应的SGT可对应于与多云结构相关联的私有云上相应的端点EPG,并且安全策略组可对应于私有云上的EPG策略。相应的策略代理可基于业务的目的地端点来应用安全策略。在一些情况下,相应的策略代理可在向目的地端点转发业务之前通过其(一个或多个)出口接口应用安全策略。相应的策略代理还可为任何端点存储、处理和/或应用比由云针对该云中的每个端点所许可的最大数量的安全策略更高数量的安全策略。
在一些实施方案中,该方法还可涉及:对于多个分支虚拟私有云中的每个端点,识别用于源自驻留在与该端点不同的相应的分支虚拟私有云上的源端点的业务的相应的一组许可规则;以及基于与与源端点相对应的两个或更多个IP地址相关联的公共前缀来聚合该相应的一组许可规则中的两个或更多个,以产生与该端点相关联的一个或多个基于前缀的规则。公共前缀可包括针对落在与端点驻留的相应的分支虚拟私有云相对应的地址范围之外的两个或更多个IP地址计算出的前缀。一旦已针对两个或更多个IP地址计算出一个或多个基于前缀的规则,就可将端点配置为将一个或多个基于前缀的规则应用于与公共前缀匹配的业务。
在一些示例中,提供了一种用于多云结构中的弹性策略缩放和集成的系统。该系统可包括一个或多个处理器和至少一个计算机可读存储介质,该至少一个计算机可读存储介质存储指令,这些指令当被一个或多个处理器执行时,使该系统执行用于多云结构中的弹性策略缩放和集成的操作。例如,操作可涉及在使多个虚拟私有云互连的虚拟私有云上部署策略代理的集群,该虚拟私有云和多个虚拟私有云驻留在与多云结构相关联的云中。操作还可涉及:基于一种或多种公共属性来将多个虚拟私有云中的端点映射到集群中的策略代理;以及基于端点到策略代理的映射来跨策略代理分发用于与端点相关联的业务的安全策略。安全策略可包括针对与相应的端点子集相关联的业务所定义的安全策略组,并且可将每个安全策略组部署在映射到相应的端点子集的相应的策略代理上。
操作可进一步涉及:由集群中的每个相应的策略代理向多个私有虚拟云中的相应的第一组虚拟网关通告与映射到相应的策略代理的相应的端点子集相关联的一个或多个路由;以及基于边界网关协议(BGP)路由图,防止集群中的每个相应的策略代理向多个私有虚拟云中的多个虚拟网关通告与多个私有虚拟云中的相应的第二组虚拟网关相关联的路由。操作可涉及响应于相应的策略代理来接收与端点中的一个或多个端点相关联的业务,通过相应的策略代理应用在该相应的策略代理上部署的安全策略组中的一个或多个安全策略。
在一些示例中,提供了一种用于多云结构中的弹性策略缩放和集成的非暂时性计算机可读存储介质。该非暂时性计算机可读存储介质可包括在其上存储的指令,这些指令当被一个或多个处理器执行时,使一个或多个处理器执行用于多云结构中的弹性策略缩放和集成的操作。例如,操作可涉及:在使多个虚拟私有云互连的虚拟私有云上部署策略代理的集群,该虚拟私有云和多个虚拟私有云驻留在与多云结构相关联的云中;基于一个或多个公共属性来将多个虚拟私有云中的端点映射到集群中的策略代理;以及基于端点到策略代理的映射来跨策略代理分发用于与端点相关联的业务的安全策略。安全策略可包括针对与相应的端点子集相关联的业务所定义的安全策略组,并且可将每个安全策略组部署在映射到相应的端点子集的相应的策略代理上。
操作可进一步涉及:由集群中的每个相应的策略代理向多个私有虚拟云中的第一组相应的虚拟网关通告与映射到相应的策略代理的相应的端点子集相关联的一个或多个路由;以及基于边界网关协议(BGP)路由图,防止集群中的每个相应的策略代理向多个私有虚拟云中的多个虚拟网关通告与多个私有虚拟云中的第二组相应的虚拟网关相关联的路由。操作还可涉及响应于相应的策略代理而接收与端点中的一个或多个相关联的业务,通过相应的策略代理应用在该相应的策略代理上部署的安全策略组中的一个或多个安全策略。
示例实施例的描述
所公开的技术解决了本领域中对多云结构中的弹性策略缩放和策略模型集成的需要。本文阐述的方法可跨迥然不同的云或数据中心环境集成安全策略并跨迥然不同的云或数据中心环境支持弹性策略缩放,而不管由特定云提供商在混合环境中施加的具体策略限制。例如,本文的方法可跨多个数据中心或公有云扩展云或数据中心解决方案(例如,思科的以应用为中心的基础设施(ACI)),以跨多个数据中心或公有云实施一致的策略模型。可缩放跨多个数据中心或公有云实现的安全策略的数量,以超过由特定云提供商施加的安全策略约束或极限。本文的方法因此可跨多个数据中心或云提供增加的策略一致性、灵活性和粒度。
将在以下公开中描述本技术如下。讨论从多云架构中的策略缩放和管理的概述开始。讨论继续到如图1所示的用于多云结构中的策略缩放和集成的示例架构的描述。然后将接着如图2-7所示的用于多云结构中的策略缩放和集成的示例策略和配置的描述。讨论结束于如图8所示的示例网络设备和如图9所示的示例计算设备(包括适合于执行联网和计算操作的示例硬件组件的)的描述。本公开现在转向多云结构中的策略缩放和管理的概述讨论。
多云结构或数据中心解决方案(例如,思科的以应用为中心的基础设施(ACI))可针对多个网络结构或数据中心(例如,本地部署数据中心和一个或多个云站点)中的工作负载而管理网络、安全和服务。多云解决方案可将端点分组为称作端点组(EPG)的端点组或集合,并且将安全策略或合约应用于对应的EPG。利用多云解决方案,EPG可包括本地部署数据中心和(一个或多个)公有云两者中的端点。通过EPG,因此可针对来自本地部署数据中心和(一个或多个)公有云两者上的端点的业务实施安全策略或合约。安全策略和联网配置可由与多云解决方案相关联的一个或多个控制器(例如,ACI应用策略基础设施控制器或APIC)来管理。
如先前提及的,公有云中的联网配置和策略可具有由云提供商施加的各种限制。此类限制可将由云提供商支持的安全策略的数量限制得远低于由在本地部署数据中心处实现的数据中心解决方案所支持的策略的规模。例如,思科的ACI支持成千上万种安全策略,包括每叶交换机128K合约规则、64K IP地址和4K EPG,然而亚马逊的AWS具有每端点250个安全规则的限制。因此,当思科的ACI解决方案与诸如亚马逊的AWS的公有云解决方案集成时,公有云的限制可对ACI解决方案施加不必要的限制并创建不一致的策略模型。
可将云上的安全规则应用于目的地端点和第4层(L4)端口。可按组或IP地址引用目的地端点。虽然对端点进行分组有助于缩放安全规则,但是不能将此类安全规则应用于在云外部的端点或位于驻留在诸如负载平衡器或防火墙的服务设备之后的不同虚拟路由和转发(VRF)实例或虚拟私有云(VPC)上的云端点。此外,当云主机实例运行多个应用时,将很快达到由云提供商施加的安全规则限制。例如,假定有5个容器在云主机上运行且是端口映射的。将在25个外部IP与主机谈话的情况下而达到AWS的250规则限制:25个IP x 5个TCP(传输控制协议)端口x 2个方向。虽然具有基于前缀的规则可对此规模限制的情况有帮助,但是当需要将安全组策略应用于各个IP地址(例如,/32个IP)时,此限制变得严重。然而/32个IP地址可能是必需的,以便支持微分段或者计算基于标签的分组,其中IP子网和策略实质上解耦。
另外,对于混合云互连,公有云不提供第2层(L2)伸展。这又意味着需要在第3层(L3)构造上应用所有安全组策略,这变得显著地受到由如上所提及的云提供商的资源规模约束的限制。为了说明,假定云托管的“共享服务”由上百个ACI本地部署EPG使用,并且因此由上千个端点使用。这意味着必须枚举云内部的ACI端点IP地址,以便对云安全策略进行编程。然而,考虑到云施加的规模限制,枚举上千个IP地址将不会在云中扩展。此外,对于任何策略变化,必须重新枚举跨所有上千个IP地址的安全组条目,从而引起附加可伸缩性问题。
为了克服由云施加的规模限制,与依靠诸如安全组之类的云原生构造相反,本文的方法可实现策略引擎以在云上应用策略。策略引擎可以是诸如思科的CSR 1000v之类的云服务路由器(CSR)上的软件或基于VM的策略代理。
图1图示了用于多云结构中的策略缩放和集成的示例架构100。架构100可包括诸如私有云或数据中心之类的本地部署站点104(例如,站点A)上的网络结构114以及公有云106(例如,站点B)上互连的VPC 120、122A,122B,122C。
可根据诸如思科的ACI之类的SDN或数据中心解决方案来配置网络结构114,该网络结构114可通过一个或多个控制器(例如,控制器108(例如,APIC))来实现和/或管理。控制器108可管理网络结构114中的诸如以下项的元件的安全策略和互连性:交换机(例如,叶交换机、骨干交换机等)、路由器(例如,物理或虚拟网关或路由器等)、端点(例如,VM、软件容器、虚拟器具、服务器、应用、服务链、工作负载等)、和/或本地部署站点104中的任何其他元件(物理的和/或虚拟的/逻辑的)。
控制器108可配置EPG 116A-D,这些EPG可用于管理并实现针对端点组的策略和配置。EPG(例如116A-D)是包含直接或间接连接到网络(例如,网络结构114)的端点(例如,VM、软件容器、虚拟器具、服务器、应用、服务链、工作负载等)的受管理对象。端点具有某些属性,诸如地址、位置、身份、功能性等,并且可以是物理的和/或虚拟的。EPG因此是此类端点基于一个或多个公共因素的逻辑分组。可用于将端点分组成公共EPG的非限定示例因素包括公共安全要求、端点是否需要VM移动性、公共QoS(服务质量)设定、公共L4-L7(第4层至第7层)服务等。EPG(例如,116A-D)可跨多个交换机并且可与相应的网桥域(BD)相关联。在一些情况下,EPG中的端点成员资格可以是静态的或动态的。
EPG 116A-D可包含相应的端点成员资格并且可表示基于如先前说明的不同相应的因素的不同EPG(例如,逻辑分组)。例如,EPG 116A可以表示被配置为web服务器的端点的逻辑分组(例如,WEB-EPG),EPG 116B可以表示被配置为数据库服务器的端点的逻辑分组(例如,DB-EPG),EPG 116C可以表示被配置为应用A服务器的端点的逻辑分组(例如,APP.A-EPG),而EPG 116D可以表示被配置为应用B服务器的端点的逻辑分组(例如,APP.B-EPG)。控制器108可为EPG 116A-D中的每一个配置具体策略(例如,合约、过滤器、要求等)。此类策略或合约可定义例如哪些EPG 116A-D可彼此通信以及哪些类型的业务可在EPG116A-D之间传递。
架构100可包括多站点控制器112(例如,多站点APIC),该多站点控制器与本地部署站点104中的控制器108和公有云106上的云控制器110(例如,云APIC)进行通信并且与控制器108和云控制器110一起工作,以在本地部署站点104和公有云106两者上管理并实现策略和配置。多站点控制器112可在本地部署站点104和公有云106两者上实现相同策略模型,其可基于诸如思科的ACI的特定SDN或数据中心解决方案。例如,多站点控制器112可在本地部署站点104和公有云106两者上实现EPG和EPG策略。此类策略可由多站点控制器112与本地部署站点104中的控制器108和公有云106中的云控制器110一起协调。
公有云106还可实现不同策略模型并且可以具有它自己的一组要求(例如,策略要求、可伸缩性要求等),这组要求可能与由控制器108、多站点控制器112和云控制器110实现的解决方案所施加的要求不同。公有云106上的策略模型和要求可取决于云提供商。例如,AWS可以实现安全组并施加250规则限制。如在下面进一步描述的,本文的方法可将由公有云106施加的策略模型和要求与和控制器108、多站点控制器112和云控制器110相关联的策略模型和要求集成和缩放,以便应用一致的策略模型并增加在架构100(包括公有云106)上实现的整体解决方案的可伸缩性。
公有云106包括VPC 120、122A、122B和122C,这些VPC表示托管在公有云106上并与本地部署站点104互连的虚拟私有云(即VPC)。VPC 120、122A、122B和122C可托管公有云106上供由本地部署站点104使用的应用和资源。在一些情况下,VPC 120、122A、122B和122C可表示与本地部署站点104相对应的虚拟路由和转发(VRF)实例。
可通过VPC 120互连公有云106上的VPC 120、122A、122B和122C。在此示例中,VPC120、122A、122B和122C是按枢纽分支(hub-and-spoke)拓扑而配置的,其中VPC 120用作枢纽而VPC 122A-C用作分支。然而,其他互连和拓扑也是可能的并在本文中设想。
VPC 122A-C可包括相应的虚拟网关132A-C,这些虚拟网关将VPC122A-C与VPC 120互连并路由业务进出VPC 122A-C。在一些情况下,虚拟网关132A-C可以是例如部署在公有云106上并更具体地部署在VPC122A-C中的每一个上的VM,这些VM运行诸如WAN或网络网关服务的相应的网络服务。VPC 122A-C还可托管相应的端点134、136、138,这些端点连接到相应的虚拟网关132A-C以与在相应的VPC 122A-C外部的设备和应用(诸如VPC 120和本地部署站点104)进行通信。VPC 122A-C中的每一个均可托管任何数量的端点,并且特定VPC上的多个端点可具有类似或不同的属性。
在此示例中,VPC 122A上的端点(EP)134与安全组140相关联,VPC 122B上的EP136与安全组142相关联,而VPC 122C上的EP 138与安全组144相关联。安全组是公有云106的允许对具体业务或云实例应用具体安全规则的构造。安全组因此作为用于关联的(一个或多个)云实例以控制(一个或多个)此类云实例的入站和出站业务的虚拟防火墙。在一些情况下,安全组134、136、138可遵循白名单模型,该白名单模型支持定义允许或许可规则以允许与那些允许或许可规则相关联的业务。
VPC 120(例如,枢纽VPC)可包括策略代理126、128、130的集群124。策略代理126、128、130可以是被配置为存储和实施策略并执行如本文所描述的其他功能的路由器,诸如云服务路由器或CSR。策略代理126、128、130可(直接或间接地)连接到VPC 122A-C上的虚拟网关132A-C以在VPC 120与VPC 122A-C之间路由业务。策略代理126、128、130中的每一个均可具有到虚拟网关132A-C中的每一个的路由并因此可与虚拟网关132A-C中的每一个进行通信。然而,如在下面进一步说明的,在一些情况下,策略代理126、128、130中的每一个均可以将路由图通告给虚拟网关132A-C的子集以增加可伸缩性。
在一些情况下,策略代理126、128、130可以是部署在公有云106中的VM上的虚拟路由器。此外,策略代理126、128、130可包括策略引擎或软件,这些策略引擎或软件如在下面进一步说明的,允许策略代理126、128、130对于与VPC 120、122A、122B、122C相关联的业务应用策略,而不必依靠诸如安全组140、142、144之类的云原生对象或构造,并且不受由与公有云106相关联的云提供商施加的具体要求或限制限制。在一些情况下,策略代理126、128、130可包括被配置为将具体策略应用于具体业务和/或地址(例如,IP地址或前缀)的软件或基于VM的策略引擎。策略代理126、128、130因此可兼作路由器和策略代理。
策略代理126、128、130可将策略应用于IP地址或前缀组。可基于IP至SGT映射通过安全组标签(SGT)来进行这一点。SGT可指定应该被应用于与映射到SGT的IP相关联的业务的具体策略。可用SGT标记与映射到SGT的IP相关联的业务以指示与该SGT相关联的策略应该被应用于该业务。策略代理126、128、130然后可将业务与SGT进行匹配并对业务应用针对SGT所定义的任何策略。SGT因此允许策略代理126、128、130对与映射到SGT的IP相关联的业务应用访问控制列表(ACL)规则。
利用IP地址分组,可在不必定义枚举每个IP地址的安全规则的情况下在SGT上应用ACL,从而允许公有云106中的策略缩放到超过由与公有云106相关联的云提供商所施加的限制(诸如在亚马逊的AWS的情况下为250规则限制)。SGT和关联的策略可镜像或与由控制器108、110、112实现的策略模型相称以跨架构100实现一致的策略模型,并且可根据与控制器108、110、112相关联的更具扩张性要求缩放。
策略代理126、128、130可被配置为可基于多个因素弹性地伸缩。例如,策略代理126、128、130可基于各个云端点(例如,EP 134、136、138)或端点组的策略规模和带宽需求弹性地伸缩。作为另一示例,可按VRF、策略代理上的带宽可用性等而缩放策略代理126、128、130。
集群124中的策略代理126、128、130可跨不同端点(例如,EP 134、136、138)应用策略。策略可遍布集群124,使得给定EP(例如,134、136、138)可以在集群124中的策略代理126、128、130中的一个或子集中具有其一个或多个策略。可通过若干映射算法例如基于VRF或VPC的映射、基于子网的映射、基于EPG的映射等中的任一种完成端点124与集群124中的策略代理之间的映射。在一些情况下,还有用于选择在哪一个策略代理中安装给定策略的其他约束,诸如源端点的规模和带宽要求;策略代理的现有配置;目的地是在VRF、VPC或公有云106内部还是外部;等。
图2图示了示例策略映射200,该示例策略映射200将通过控制器108在本地部署站点104中配置的策略202转换为公有云106中的集群124中的策略代理126、128、130上的ACL204。在此示例中,策略映射200将针对EPG所定义的策略转换为针对SGT的规则。
例如,在本地部署站点104中配置的策略202包括定义针对本地部署站点104中的EPG 116A-C之间的业务的规则的合约206、208、210。具体地,合约206定义针对EPG 116A与EPG 116B之间的业务的规则。合约208定义针对EPG 116B与EPG 116D之间的业务的规则。合约210定义针对EPG 116C与EPG 116A之间的业务的规则。
在公有云106处,集群124可包括具有与策略206、208、210相对应的规则212、214、216的ACL 204。具体地,规则212表示针对SGT218A与SGT 218B之间的业务的规则。SGT 218A被映射到与EPG 116A相关联的端点的IP,而SGT 218B被映射到与EPG 116B相关联的端点的IP。因此,与SGT 218A和SGT 218B相关联的规则212和与EPG 116A和EPG 116B相关联的策略206一致。
规则214表示针对SGT 218B与SGT 218D之间的业务的规则。如先前提及的,SGT218B被映射到与EPG 116B相关联的端点的IP,而SGT218D被映射到与EPG 116D相关联的端点的IP。因此,与SGT 218B和SGT 218D相关联的规则214和与EPG 116B和EPG 116D相关联的策略208一致。
规则216表示针对SGT 218C与SGT 218A之间的业务的规则。如先前提及的,SGT218A被映射到与EPG 116A相关联的端点的IP,而SGT218C被映射到与EPG 116C相关联的端点的IP。因此,与SGT 218BC和SGT 218A相关联的规则216和与EPG 116C和EPG 116A相关联的策略210一致。
基于包括规则212、214、216的ACL 204,集群124可缩放用于公有云106的策略并通过策略代理126、128、130应用与本地部署站点104中的策略202匹配的安全规则。如先前说明的,可基于诸如基于VRF或基于VPC的分发、基于带宽的分发等的一种或多种方案将规则212、214、216分发给集群124中的具体策略代理(例如,126、128、130)。
图3图示了被应用于VPC 122A上的端点134与VPC 122B上的端点136之间的流302的规则212。在此示例中,端点134被映射到SGT 218A(例如,通过与端点134相关联的IP)并且端点136被映射到SGT 218B(例如,通过与端点136相关联的IP)。基于端点134到SGT 218A的映射和端点136到SGT 218B的映射,规则212可对于公有云106上的业务流302实施在EPG116A与EPG 116B之间在策略206中定义的合约。
在此示例中,规则212被实现在集群124中的策略代理126中。虚拟网关132A首先将流302从端点134发送到策略代理126。策略代理126接收流302并且策略代理126基于SGT218A和/或SGT 218B使流302与规则212相关联。例如,在一些情况下,策略代理126可基于目的地SGT应用规则。在其他情况下,策略代理126可基于源SGT或源SGT和目的地SGT两者应用规则。
一旦策略代理126使流302与规则212相关联,它就可将该规则应用于流302并将流302发送到VPC 122B上的虚拟网关132B以供最终递送到端点136。例如,假定规则212是定义了从SGT 218A到SGT 218B的业务应该被许可的允许规则。策略代理126因此可基于许可从SGT 218A到SGT 218B的业务的规则212而允许将流302递送到端点136。
图4图示了集群124中的策略的示例分发400。在此示例中,基于与策略相关联的目的地VPC将策略分发给集群124中的具体策略代理(例如,126、128、130)。然而,在其他示例中,可基于其他方案执行策略的分发。例如,可基于源VPC、源和目的地VPC、源和/或目的地VRF、子网、带宽等来分发策略。
基于示例分发方案400,在策略代理126处实现与以VPC 122B作为其目的地的业务相关联的策略406。另一方面,在策略代理128处实现与以VPC 122C作为其目的地的业务相关联的策略408。因此,集群124中的仅特定策略代理—或策略代理的子集—可以针对给定业务实现策略。这导致可伸缩性增加,因为不必在集群124中的所有策略代理上安装或实现每组策略。
利用这种设计,集群124中的策略代理(例如,126、128、130)的组合可成为这样的虚拟实体:该虚拟实体在其集群(例如,124)中具有n个策略代理(例如,126、128、130)并且能够在公有云106中跨所有端点(例如,EP 134、136、138)应用策略。集群124可在必要时通过添加或移除策略代理(例如,路由器)来在大小上增长和缩小。
然而,如果集群124中仅策略代理的子集具有针对给定业务的必要策略,则将需要相应地路由业务以通过适当的策略代理。虽然所有策略代理(例如,126、128、130)都具有到达所有可能的目的地的路由,但是每个策略代理仅可以基于该策略代理承载了哪些策略来通告特定的一组路由。可通过使用运用例如BGP(边界网关协议)路由图的路由控制来实现这一点,如在下面参考图5进一步描述的。
因此,当VPC 122A上的虚拟网关132A接收到从VPC 122A上的端点134到VPC 122B上的端点136的流402时,虚拟网关132A将流402发送到VPC 120上的策略代理126,该策略代理126包含针对去往VPC122B的业务的策略。策略代理126接收流402并对流402应用来自策略406的针对去往VPC 122B的业务的一个或多个策略。策略代理126因此获得流402并在将流402发送到VPC 122B上的虚拟网关132B之前将必要的策略应用于流402。在一些情况下,策略代理126可基于流402中被映射到VPC 122B上的端点136的IP的SGT来识别来自策略406的哪些具体策略对应于流402。
另一方面,当VPC 122A上的虚拟网关132A接收到从VPC 122A上的端点134到VPC122C上的端点138的流404时,虚拟网关132A将流404发送到VPC 120上的策略代理128,该策略代理128包含针对去往VPC 122C的业务的策略。策略代理128接收流404并应用来自策略406的针对去往VPC 122C的业务的一个或多个策略。策略代理128因此获得流404并在将流404发送到VPC 122C上的虚拟网关132C之前将必要的策略应用于流404。在一些情况下,策略代理128可基于流404中被映射到VPC 122C上的端点138的IP的SGT来识别与流404相对应的具体策略。
图5图示了由集群124中的策略代理126、128、130进行的示例路由分发500,用于确保业务由集群124中包含针对该业务的策略的适当的策略代理处理。在此示例中,通告502表示VPC 122B的CIDR(无类域间路由)的通告(例如,通过BGP),通告504表示VPC 122C的CIDR的通告(例如,通过BGP)。路由图506表示用于停止VPC 122B的CIDR的通告502的路由图,并且路由图508表示用于停止VPC 122C的CIDR的通告504的路由图。路由图506、508可以实质上告诉BGP避免通告某些路由(例如,VPC 122B的CIDR、VPC 122C的CIDR)。这样,路由图506、508可以防止某些策略代理(例如,126、128、130)向虚拟网关132A-C发送某些BGP通告,以确保那些虚拟网关132A-C不向到没有针对那些目的地的策略的某些策略代理的某些目的地发送业务。因此,利用路由图506、508,策略代理126、128、130可确保它们仅从他们具有针对策略的虚拟网关132A-C接收业务。
在图5中,策略代理126承载针对去往VPC 122B的业务的策略,但是不承载针对去往VPC 122C的业务的策略。因此,策略代理126可将通告502发送到VPC 122A上的虚拟网关132A,从而将VPC 122B的CIDR通告给虚拟网关132A,使得从虚拟网关132A发送到VPC 122B的业务通过策略代理126而不是策略代理128或策略代理130。另外,策略代理126实现路由图508以阻止策略代理126通告VPC 122C的CIDR。通告502和路由图508将因此确保策略代理126通告VPC 122B的CIDR而不通告VPC 122C的CIDR,以便允许策略代理126接收并处理到VPC 122B的业务,同时确保到VPC 122C的业务未被发送到策略代理126。
另一方面,策略代理128承载针对去往VPC 122C的业务的策略,但是不承载针对去往VPC 122B的业务的策略。因此,策略代理128可将通告504发送到VPC 122A上的虚拟网关132A,从而将VPC 122C的CIDR通告给虚拟网关132A,使得从虚拟网关132A发送到VPC 122C的业务通过策略代理128而不是策略代理126或策略代理130。另外,策略代理128实现路由图506以阻止策略代理128通告VPC 122B的CIDR。通告504和路由图506因此将确保策略代理128通告VPC 122C的CIDR而不通告VPC 122B的CIDR,以便允许策略代理128接收并处理到VPC 122C的业务,同时确保到VPC 122B的业务未被发送到策略代理128。
策略代理130不承载针对去往VPC 122B或VPC 122C的业务的策略。因此,策略代理130不向虚拟网关132A-C中的任一者发送通告502或504。为此,策略代理130实现路由图506和路由图508两者以防止策略代理130针对VPC 122B的CIDR和VPC 122C的CIDR发送通告502或504。
如上所示,使用通告502和504及路由图506和508允许跨集群124中的策略代理分发策略,同时确保来自VPC 122A-C的业务被路由通过集群124中承载针对该业务的策略的策略代理或策略代理的子集。
一旦路由如上所述被修剪,就保证了业务将命中为该业务的目的地VPC服务的指定策略代理或策略代理的子集。因此,可在两个策略代理中对一对实体(诸如两个VPC(或)两个EPG)所需要的策略进行编程,每个策略代理为目的地VPC或EPG中的一个服务。
注意,来自一个VPC的业务可取决于目的地VPC而命中策略代理(例如,126、128、130)中的任一个。为了允许源路由检查,所有策略代理都可学习路由,但是仅一个(或子集)策略代理将给定路由分发给其他VPC。源路由检查对于防止VPC内的恶意端点跨越交谈是有用的。这提供了仅在策略代理的出口接口上应用某些策略的灵活性。在一些场景中,仅在出口接口上应用策略帮助增大规模。例如,为了使得VPC 122A和VPC 122B能够在端口443上与VPC(122C)交谈,如果应用在入口隧道接口上则2条规则是必需的,然而如果应用在出口接口上则仅一条规则是必需的。此外,在没有源路由检查的情况下,可允许在此示例中为共享子网的VPC子网SI跨VPC交谈,然而不能允许在此示例中为严格私有的子网S2与其他VPC跨越交谈。
如本文所示,这些方法允许在集群124中的策略代理上灵活地缩放策略,从而绕过原生云资源限制,诸如AWS的250规则限制。此外,除了上述内容之外,为得到较大的安全,还可在公有云106上的端点134、136、138处实现基本安全策略。这可为可能不使用外部策略代理的VPC(例如,VPC 122A、VPC 122B、VPC 122C)内的端点通信提供白名单策略模型,以便防止来自VPC内的其他端点、来自因特网或来自其他VPC的流氓业务。在主机实例处提供安全策略的云中的安全模型在端点保护方面是最粒度的安全方法,并且不应该受到损害。以下提出的方案可以在端点处对规则数的最少添加实现这一点,同时通过策略代理(例如,路由器126、128、130)提供缩放。
端点134、136、138处的安全规则可处置针对VPC CIDR内的业务(即,未命中枢纽VPC(即VPC 120)的业务)的安全组(例如,140、142、144)规则,以及处置针对来自策略代理的来自VPC外部的业务的最小的一组IP规则。这些规则可基于一些独特的路由聚合方案。利用白名单模型,在没有这些规则的情况下,将丢弃来自VPC外部的业务。同时,更粒度的策略是不必要的,因为这些策略被应用在位于朝向端点的业务的路径中的策略代理中。
针对所有端点和子网的聚合(超网络)规则不应该落在VPC的CIDR地址范围内。这是因为对于VPC内业务仍应该保持具体规则。
图6图示了用于聚合路由以缩放在端点处实现的安全规则的示例方案600。在此示例中,VPC 122A的CIDR 602是10.1.0.0/16。端点IP的列表604包括应该应用策略的端点(例如,134)的IP(例如,606、608、610、612、614、616)。列表604包括IP 15.1.1.5/32(606)、IP15.1.2.6/32(608)、IP 15.1.2.7/32(610)、IP 20.1.1.10/32(612)、IP 20.1.1.20/32(614)和IP 10.2.0.5/32(616)。
可根据聚合列表618来聚合列表604中的IP(例如,606、608、610、612、614、616)。聚合列表618包括聚合前缀620和聚合前缀622。聚合前缀620将IP 15.1.1.5/32(606)、15.1.2.6/32(608)和15.1.2.7/32(610)聚合为前缀15.1.0.0/22。聚合前缀622将IP20.1.1.10/32(612)和20.1.1.20/32(614)聚合为前缀20.0.0.0/7。IP 10.2.0.5/32(616)未被聚合以防止与VPC 122A的CIDR 602(10.1.0.0/16)重叠。
由于超网络0.0.0.0/3将落在VPC 122A的CIDR 602(10.1.0.0/16)内,所以不进一步聚合前缀620和622。
如上所示,可将6个不同/32规则(即,与IP 606、608、610、612、614、616相关联的规则)成功地压缩为3个基于前缀的安全组规则(即,与聚合前缀620、聚合前缀622和IP 616相关联的安全规则),从而在公有云106内缩放策略。假定VPC 122A中的端点(例如,EP 134)已打开5个端口(例如,SSH、RPC和3个应用端口),在没有这种方案的情况下,以上示例将需要18条规则(即,6个前缀x 3个端口)。相比之下,利用所提出的方案,需要仅3条规则(即,3个前缀x 1条允许所有规则),并且可在(一个或多个)策略代理中实现用于仅允许某些前缀和端口的细粒度规则。
在描述了示例系统和构思后,本公开现在转向图7所示的方法。本文概述的步骤是示例并且可被以其任何组合(包括排除、添加或修改某些步骤的组合)实现。
在步骤702处,方法可涉及在使多个分支虚拟私有云(例如,122A、122B、122C)互联的枢纽虚拟私有云(例如,120)上部署策略代理(例如,126、128、130)的集群(例如,124)。可将枢纽虚拟私有云和多个分支虚拟私有云托管在与多云结构(例如,100)相关联的云(例如,106)上。
在步骤704处,方法可涉及基于一个或多个常见属性来将多个分支虚拟私有云中的端点(例如,134、136、138)映射到集群(例如,124)中的策略代理(例如,126、128、130)。该一个或多个公共属性可包括与端点相关联的公共虚拟私有云(例如,VPC 122A、VPC 122B、VPC122C)、与端点相关联的公共子网、与端点相关联的公共端点组(EPG)、与端点相关联的公共虚拟路由和转发(VRF)实例等。例如,该一个或多个公共属性可包括与端点相关联的公共虚拟私有云。在此示例中,可将驻留在同一虚拟私有云上的端点映射到同一策略代理。为了说明,可基于具有公共VPC的端点134将驻留在VPC 122A中的端点134映射到策略代理126。可将驻留在VPC 122B中并因此具有公共VPC的端点136映射到策略代理128,并且可将驻留在VPC 122C中并因此具有公共VPC的端点138映射到策略代理130。
在步骤706处,方法可涉及基于端点到策略代理(例如,126、128、130)的映射跨策略代理(例如,126、128、130)分发与端点相关联的安全策略(例如,204)。在一些情况下,还可基于诸如端点上的策略规模和/或带宽要求、策略代理上的带宽可用性等的其他因素来分发安全策略。此外,安全策略可包括针对与相应的端点子集相关联的业务所定义的安全策略组。例如,安全策略可包括针对VPC 122A上的端点集合所定义的安全策略组、针对VPC122B上的端点集合所定义的安全策略组以及针对VPC 122C上的端点集合所定义的安全策略组。可将每个安全策略组部署在被映射到与安全策略组相关联的相应的端点子集的策略代理上。例如,可将针对VPC 122A上的端点集合所定义的安全策略组部署在映射到该端点集合的策略代理上,可将针对VPC 122B上的该端点集合所定义的安全策略组部署在映射到该端点集合的策略代理上,并且可将针对VPC 122C上的该端点集合所定义的安全策略组部署在映射到该端点集合的策略代理上。
安全策略跨集群(例如,124)中的不同策略代理的分发可增加整个集群上的安全策略的规模。例如,不是跨集群中的所有策略代理镜像相同安全策略,而是将不同安全策略分发给策略代理中的至少一些允许集群总共支持更大数量的安全策略。分发给不同策略代理的安全策略越多,可以由集群总体上支持的安全策略总数越高。
在步骤708处,方法可涉及由集群中的每个相应的策略代理向多个分支私有虚拟云(例如,122A、122B、122C)中的相应的第一组虚拟网关(例如,132A、132B或132C)通告与映射到相应的策略代理的相应的端点子集相关联的路由。这可确保第一组虚拟网关将与相应的端点子集相关联的业务转发到具有针对相应的端点子集的安全策略的相应的策略代理。
在步骤710处,基于边界网关协议(BGP)路由图,方法可涉及防止集群中的每个相应的策略代理通告与多个分支私有虚拟云中的相应的第二组虚拟网关相关联的路由。相应的第二组虚拟网关可以是为相应的策略代理没有针对安全策略的那些端点路由业务的虚拟网关。这可确保第二组虚拟网关不转发与相应的策略代理没有针对安全策略的端点相关联的业务。
为了说明,如果在策略代理126处部署了针对VPC 122B上的端点136所定义的安全策略,则在步骤708处策略代理126可向虚拟网关132A通告与端点136相关联的路由。另一方面,如果未在策略代理126处部署针对VPC 122C上的端点138所定义的安全策略,则在步骤710处策略代理126可使用路由图来避免向虚拟网关132A通告与端点138相关联的路由。这样,如果虚拟网关132A接收到去往端点136的业务,则它会将业务转发到然后可应用针对端点136所定义的安全策略的策略代理126,而如果虚拟网关132A接收到去往端点138的业务,则它不会将业务转发到没有针对端点138所定义的安全策略的策略代理126。
在步骤712处,方法可涉及,响应于相应的策略代理接收到与端点中的一个或多个端点相关联的业务,通过相应的策略代理应用在该相应的策略代理上部署的安全策略组中的一个或多个安全策略。因此,当相应的策略代理接收到业务时,它可应用它针对该具体业务具有的任何安全策略。例如,如果策略代理126接收到针对端点136的业务,则策略代理126可应用它针对端点136具有的任何安全策略。
在一些情况下,方法可涉及:定义与安全策略组相关联的相应的安全组标签(SGT)(例如,218A-D);以及基于相应的端点属性来使端点(例如,134、136、138)与相应SGT相关联。相应的端点属性可包括例如与端点相关联的相应的业务类型(例如,web业务、应用业务等)、与端点相关联的预定安全要求等。此外,在一些示例中,使端点与相应的SGT相关联可包括将端点的相应的IP地址映射到相应的SGT,以产生IP至SGT映射。IP至SGT映射可用于将安全策略应用于与端点的IP地址相关联的业务。例如,每个SGT可与针对映射到SGT的端点所定义的一组安全策略(例如,212、214、216)相关联。当策略代理然后接收到与映射到SGT的IP相关联的业务时,策略代理可对该业务应用与该SGT相关联的任何安全策略。
在一些实施方式中,相应的SGT可对应于与多云结构相关联的私有云(例如,104)上相应的端点EPG(例如,116A-D),并且安全策略组可对应于私有云上的EPG策略(例如,206、208、210)。相应的SGT因此可用于转换来自私有云的EPG策略并将经转换的EPG策略应用于公有云(例如,106)上的VPC(122A-C)中的端点(134、136、138)。因此,如果公有云(例如,106)不支持私有云(例如,104)上的策略(例如,EPG策略206、208、210)的数量和/或类型,则可使用SGT来镜像公有云(例如,106)上的那些策略并将由策略代理(例如,126、128、130)在公有云上应用的策略的规模增加到超过公有云所支持的策略的数量。这样,公有云上的VPC(122A、122B、122C)不受策略模型或由与公有云相关联的云提供商施加的限制约束。
在一些情况下,策略代理(例如,126、128、130)可基于业务的目的地端点应用安全策略。例如,可将策略代理配置为仅在其出口接口上应用安全策略。这种配置可帮助增加由集群(例如,124)支持的整体策略的规模。为了说明,假定网络运营商想要允许VPC-1至VPC-10仅在端口443上与VPC-11进行通信。在此示例中,网络运营商可在路由器的入口接口处应用10条规则来实现此结果。另一方面,网络运营商可通过在出口接口处应用单个规则来实现相同的结果。
在一些实施方案中,方法还可在端点(例如,134、136、138)处应用一些安全策略。可进行这一点以为同一VPC内的端点通信提供白名单策略模型,因为此类业务不可穿越外部策略代理(例如,126、128、130)。端点处的安全策略因此可防止来自同一VPC内的其他端点、来自因特网或来自其他VPC的流氓业务。安全策略可提供针对VPC的CIDR内的业务(例如,不穿越枢纽VPC 120的业务)的安全组规则和针对来自枢纽VPC(例如,120)外部的业务的IP规则。在白名单模型中,在端点处没有此类安全策略的情况下,则可能丢弃来自端点的VPC外部的业务。端点处的安全策略不一定必须为粒度的,因为粒度安全策略可由业务的路径中的策略代理(例如,126、128、130)应用,如先前描述的。
为了获得可伸缩性,可基于诸如基于前缀的聚合方案之类的聚合方案来聚合端点处的安全策略。针对所有端点和子网的聚合规则(例如,超网络规则)可被配置为防止此类聚合规则落入VPC的CIDR地址范围内,使得可保持针对VPC内业务的规则。规则的聚合可允许将不同规则压缩成在诸如前缀级别之类的聚合级别下应用的少量规则,从而改进此类规则的可伸缩性。
为了说明,在一些示例中,可将多个外部端点前缀汇总成聚合前缀,并且可在VPC中的一个或多个端点处应用针对该聚合前缀的规则。在不与VPC中的任何子网重叠的情况下,可以尽可能地汇总聚合前缀。
例如,如果VPC的子网是10.0.0.0/8并且外部前缀是11.1.1.0/24、11.1.2.0/24、11.2.1.0/24和11.2.2.0/24,则可将外部前缀汇总为11.1.0.0/16和11.2.0.0/16。然而,在此示例中,可将经汇总的前缀11.1.0.0/16和11.2.0.0/16进一步汇总成单个前缀;即11.0.0.0/8,其不与VPC子网10.0.0.0/8重叠。这产生少得多的条目,这因此增加可伸缩性。
可为每个汇总(或聚合)前缀建立单一规则以允许与汇总前缀相关联的业务。针对每个应用端口的规则在端点处不是必需的,因为这已经在策略代理处处置了。因此,端点上的规则可被配置为允许来自汇总前缀的所有业务。这种方法可大大节省每个端点处的安全规则,每个端点处的安全规则在AWS云解决方案的示例中限于250条安全规则。
本公开现在转向图8和图9,图8和图9图示了示例网络设备和计算设备,诸如交换机、路由器、客户端设备等。
图8图示了适合于实现策略代理并执行交换、路由和其他联网操作的示例网络设备800。网络设备800包括中央处理单元(CPU)804、接口802和连接810(例如,PCI总线)。CPU804当在适当的软件或固件的控制下进行动作时,其负责执行分组管理、错误检测和/或路由功能。CPU804优选地在包括操作系统和任何适当的应用软件的软件的控制下履行所有这些功能。CPU 804可以包括一个或多个处理器808,诸如来自INTEL X86系列微处理器的处理器。在一些情况下,处理器808可以是用于控制网络设备800的操作的专门地设计的硬件。在一些情况下,存储器806(例如,非易失性RAM、ROM等)也形成CPU 804的一部分。然而,存在能将存储器耦合到系统的许多不同方式。
接口802通常作为模块化接口卡(有时称为“线卡”)被提供。通常,它们控制数据分组在网络上的发送和接收并且有时支持与网络设备800一起使用的其他外围设备。可以提供的接口包括以太网接口、帧中继接口、电缆接口、DSL接口、令牌环接口等。另外,可以提供各种甚高速接口,诸如快速令牌环接口、无线接口、以太网接口、千兆以太网接口、ATM接口、HSSI接口、POS接口、FDDI接口、WIFI接口、3G/4G/5G蜂窝接口、CAN总线、LoRA等。通常,这些接口可以包括适于与适当的媒体通信的端口。在一些情况下,它们还可以包括独立处理器,并且在一些情况下,包括易失性RAM。独立处理器可以控制如分组交换、介质控制、信号处理、密码处理和管理这样的通信密集型任务。通过为通信密集任务提供单独的处理器,这些接口允许主微处理器804高效地执行路由计算、网络诊断、安全功能等。
尽管图8所示的系统是本技术的一个具体网络设备,但是它绝不意指可在上面实现本技术的唯一网络设备架构。例如,常常使用具有处置通信以及路由计算等的单个处理器的架构。进一步地,其他类型的接口和介质也能与网络设备800一起使用。
不管网络设备的配置如何,它都可以采用被配置为存储用于本文描述的漫游、路由优化和路由功能的通用网络操作和机制的程序指令的一个或多个存储器或存储模块(包括存储器806)。例如,程序指令可以控制操作系统和/或一个或多个应用的操作。一个或多个存储器还可以被配置为存储诸如移动性绑定、注册和关联表的表等。存储器806还能保持各种软件容器及虚拟化执行环境和数据。
网络设备800还可包括专用集成电路(ASIC),该ASIC可被配置为执行路由和/或交换操作。例如,ASIC可通过连接810与网络设备800中的其他组件进行通信,以交换数据和信号并协调由网络设备800进行的各种类型的操作,诸如路由、交换和/或数据存储操作。
图9图示了计算系统架构900,其中系统的组件使用诸如总线之类的连接905彼此电通信。示例性系统900包括处理单元(CPU或处理器)910和系统连接905,该系统连接905将包括诸如只读存储器(ROM)920和随机存取存储器(RAM)925之类的系统存储器915的各种系统组件耦合到处理器910。系统900可包括与处理器910的一部分直接连接、与处理器910的一部分极为靠近或作为处理器910的一部分集成的高速存储器的缓存。系统900可将数据从存储器915和/或存储设备930复制到缓存912以供由处理器910快速访问。以这种方式,缓存可提供性能提升,这避免处理器910在等待数据时的延迟。这些和其他模块可控制或被配置为控制处理器910以执行各种动作。其他系统存储器915也可以供使用。存储器915可包括具有不同性能特性的多种不同类型的存储器。处理器910可包括任何通用处理器和硬件或被配置为控制处理器910以及将软件指令并入到实际处理器设计中的专用处理器的软件服务,诸如存储在存储设备930中的服务1 932、服务2 934和服务3 936。处理器910可以是包含多个核心或处理器、总线、存储器控制器、缓存等的完全自包含计算系统。多核心处理器可以是对称的或非对称的。
为了使得用户能够与计算设备900交互,输入设备945可表示任何数量的输入机制,诸如用于语音的麦克风、用于手势或图形输入的触敏屏幕、键盘、鼠标、运动输入、语音等。输出设备935也可以是为本领域的技术人员已知的许多输出机制中的一种或多种。在一些情况下,多模态系统可使得用户能够提供多种类型的输入来与计算设备900进行通信。通信接口940通常可管制并管理用户输入和系统输出。对在任何特定硬件布置上操作没有限制,并且因此这里的基本功能可以容易地随着它们被开发而被改进的硬件或固件布置取代。
存储设备930是非易失性存储器并且可以是硬盘或可存储可由计算机访问的数据的其他类型的计算机可读介质,诸如磁带、闪速存储卡、固态存储器设备、数字通用盘、磁盒、随机存取存储器(RAM)925、只读存储器(ROM)920和前述项的混合。
存储设备930可包括用于控制处理器910的服务932、934、936。设想了其他硬件或软件模块。存储设备930可连接到系统连接905。在一个方面中,执行特定功能的硬件模块可连同必要的硬件组件(诸如处理器910、连接905、输出设备935等)一起包括存储在计算机可读介质中的软件组件,以执行功能。
为了说明的清楚,在一些情况下可以将本技术呈现为包括各个功能块,这些功能块包括具有设备、设备组件、以软件或硬件和软件的组合体现的方法中的步骤或例程的功能块。
在一些实施例中,计算机可读存储设备、介质和存储器可包括包含比特流等的电缆或无线信号。然而,当提及时,非暂时性计算机可读存储介质明确地排除诸如能量、载波信号、电磁波和信号本身的介质。
可使用被存储在计算机可读介质中或者可以其他方式从计算机可读介质获得的计算机可执行指令来实现根据上述示例的方法。此类指令可包括例如使得或以其他方式配置通用计算机、专用计算机或专用处理设备以执行某个功能或功能组的指令和数据。可通过网络访问所使用的计算机资源的各部分。计算机可执行指令可以是例如二进制文件、诸如汇编语言的中间格式指令、固件或源代码。可以用于存储指令、所使用的信息和/或在根据描述的示例的方法期间创建的信息的计算机可读介质的示例包括磁盘或光盘、闪速存储器、提供有非易失性存储器的USB设备、联网的存储设备等。
实现根据这些公开的方法的设备可包括硬件、固件和/或软件,并且可采取各种形状因数中的任一种。此类形状因数的典型示例包括膝上型电脑、智能电话、小形状因数个人计算机、个人数字助理、机架安装设备、独立设备等。还可在外围设备或附加卡中体现本文描述的功能性。作为另外的示例,还可在不同芯片当中的电路板或在单个设备中执行的不同进程上实现这种功能性。
指令、用于交付此类指令的介质、用于执行它们的计算资源以及用于支持此类计算资源的其他结构是用于提供这些公开中描述的功能的手段。
尽管使用各种示例和附加信息来说明所附权利要求的范围内的各方面,但是不应该基于此类示例中的特定特征或布置来暗示对权利要求的限制,因为本领域的普通技术人员将能够使用这些示例来导出各式各样的实施方案。进一步地并且尽管可能已用特定于结构特征和/或方法步骤的示例的语言描述了某个主题,但是应当理解,所附权利要求中定义的主题不一定限于这些描述的特征或行为。例如,可不同地分发或者在除本文标识的组件以外的组件中执行这种功能性。相反,所描述的特征和步骤作为在所附权利要求的范围内的系统和方法的组件的示例被公开。
引用集合中的“至少一个”的权利要求语言指示集合中的一个成员或集合中的多个成员满足权利要求。例如,引用“A和B中的至少一个”的权利要求语言意指A、B或A和B。
Claims (20)
1.一种方法,包括:
在使多个虚拟私有云互连的虚拟私有云上部署策略代理的集群,所述虚拟私有云和所述多个虚拟私有云驻留在与多云结构相关联的云中;
基于一个或多个公共属性,将所述多个虚拟私有云中的端点映射到所述集群中的策略代理;
基于所述端点到所述策略代理的映射来跨所述策略代理分发与所述端点相关联的安全策略,其中,所述安全策略包括针对与各个端点子集相关联的业务而定义的多个安全策略组,并且其中,每个安全策略组被部署在相应的策略代理上,所述相应的策略代理被映射到与该安全策略组相关联的相应的端点子集;
由所述集群中的每个相应的策略代理向所述多个私有虚拟云中的相应的第一组虚拟网关通告与被映射到所述相应的策略代理的相应的端点子集相关联的一个或多个路由;
基于边界网关协议(BGP)路由图,防止所述集群中的每个相应的策略代理通告与所述多个私有虚拟云中的相应的第二组虚拟网关相关联的路由;以及
响应于接收到与所述端点中的一个或多个端点相关联的业务,通过所述相应的策略代理应用在所述相应的策略代理上部署的安全策略组中的一个或多个安全策略。
2.根据权利要求1所述的方法,还包括:
定义与所述多个安全策略组相关联的相应的安全组标签(SGT);以及
基于相应的端点属性,使所述端点与所述相应的SGT相关联。
3.根据权利要求2所述的方法,其中,所述相应的端点属性包括以下项中的至少一项:与所述端点相关联的相应的业务类型、以及与所述端点相关联的一个或多个相应的预定安全要求。
4.根据权利要求2或3所述的方法,其中,使所述端点与所述相应的SGT相关联包括:将所述端点的相应的IP地址映射到所述相应的SGT,以产生IP至SGT映射。
5.根据权利要求4所述的方法,其中,将所述安全策略组中的所述一个或多个安全策略应用于与所述端点中的所述一个或多个端点相关联的业务是基于所述IP至SGT映射而进行的,所述安全策略组中的所述一个或多个安全策略包括针对与所述端点中的所述一个或多个端点中的至少一个端点相关联的相应的SGT所定义的一组安全策略。
6.根据权利要求5所述的方法,其中,所述云包括公有云,并且所述多云结构包括所述公有云和私有云,其中,所述相应的SGT对应于所述私有云上的相应的端点组(EPG),并且所述多个安全策略组对应于所述私有云上的EPG策略。
7.根据权利要求6所述的方法,其中,将所述安全策略组中的所述一个或多个安全策略应用于与所述端点中的所述一个或多个端点相关联的业务包括:对所述业务应用与目的地端点相关联的一定数量的安全策略,其中,安全策略的该数量大于所述公有云针对所述公有云中的每个端点所许可的安全策略的最大数量。
8.根据前述权利要求中任一项所述的方法,其中,所述一种或多种公共属性包括以下项中的至少一项:与所述端点相关联的公共虚拟私有云、与所述端点相关联的公共子网、与所述端点相关联的公共端点组、以及与所述端点相关联的公共虚拟路由和转发实例。
9.根据前述权利要求中任一项所述的方法,其中,所述策略代理被配置为:在向与所述业务相关联的相应的目的地端点转发所述业务之前,在相应的出口接口处应用所述安全策略。
10.根据前述权利要求中任一项所述的方法,还包括:
识别与驻留在来自所述多个虚拟私有云中的特定虚拟私有云外部的一组端点相关联的多个外部前缀;
将所述多个外部前缀聚合为单个外部前缀,所述单个外部前缀落在与所述特定虚拟私有云相关联的相应的前缀的范围之外;以及
将所述特定虚拟私有云中的一个或多个端点配置为针对与所述单个外部前缀匹配的业务应用许可规则。
11.一种系统,包括:
一个或多个处理器;以及
至少一个计算机可读存储介质,所述至少一个计算机可读存储介质在其中存储有指令,所述指令当被所述一个或多个处理器执行时,使所述系统执行以下操作:
在使多个虚拟私有云互连的虚拟私有云上部署策略代理的集群,所述虚拟私有云和所述多个虚拟私有云驻留在与多云结构相关联的云中;
基于一种或多种公共属性将所述多个虚拟私有云中的端点映射到所述集群中的策略代理;
基于所述端点到所述策略代理的映射跨所述策略代理分发针对与所述端点相关联的业务的安全策略,其中,所述安全策略包括针对与各个端点子集相关联的业务而定义的多个安全策略组,并且其中,每个安全策略组被部署在相应的策略代理上,所述相应的策略代理被映射到相应的端点子集;
由所述集群中的每个相应的策略代理向所述多个私有虚拟云中的第一组相应的虚拟网关通告与被映射到所述相应的策略代理的相应的端点子集相关联的一个或多个路由;
基于边界网关协议(BGP)路由图,防止所述集群中的每个相应的策略代理通告与所述多个私有虚拟云中的第二组相应的虚拟网关相关联的路由;以及
响应于所述相应的策略代理接收到与所述端点中的一个或多个端点相关联的业务,通过所述相应的策略代理应用在所述相应的策略代理上部署的所述安全策略组中的一个或多个安全策略。
12.根据权利要求11所述的系统,所述至少一个计算机可读存储介质存储附加指令,所述附加指令当被所述一个或多个处理器执行时,使所述系统执行以下操作:
定义与所述多个安全策略组相关联的相应的安全组标签(SGT);以及
基于相应的端点属性,使所述端点与所述相应的SGT相关联。
13.根据权利要求12所述的系统,其中,所述相应的端点属性包括以下项中的至少一项:与所述端点相关联的相应的业务类型、以及与所述端点相关联的一个或多个相应的预定安全要求。
14.根据权利要求12或13所述的系统,其中,使所述端点与所述相应的SGT相关联包括:将所述端点的相应的IP地址映射到所述相应的SGT,以产生IP至SGT映射。
15.根据权利要求14所述的系统,其中,将所述安全策略组中的所述一个或多个安全策略应用于与所述端点中的所述一个或多个端点相关联的业务是基于所述IP至SGT映射而进行的,所述安全策略组中的所述一个或多个安全策略包括针对与所述端点中的所述一个或多个端点中的至少一个端点相关联的相应的SGT所定义的一组安全策略。
16.根据权利要求15所述的系统,其中,所述云包括公有云,并且所述多云结构包括所述公有云和私有云,其中,所述相应的SGT对应于所述私有云上的相应的端点组(EPG),并且所述安全策略组对应于所述私有云上的EPG策略。
17.根据权利要求16所述的系统,其中,将所述安全策略组中的所述一个或多个安全策略应用于与所述端点中的所述一个或多个端点相关联的业务包括:对所述业务应用与目的地端点相关联的一定数量的安全策略,其中,安全策略的该数量大于所述公有云针对所述公有云中的每个端点所许可的安全策略的最大数量。
18.一种非暂时性计算机可读存储介质,包括:
存储在其中的指令,所述指令当被一个或多个处理器执行时,使所述一个或多个处理器执行以下操作:
在使多个虚拟私有云互连的虚拟私有云上部署策略代理的集群,所述虚拟私有云和所述多个虚拟私有云驻留在与多云结构相关联的云中;
基于一种或多种公共属性将所述多个虚拟私有云中的端点映射到所述集群中的策略代理;
基于所述端点到所述策略代理的映射跨所述策略代理分发针对与所述端点相关联的业务的安全策略,其中,所述安全策略包括针对与各个端点子集相关联的业务而定义的多个安全策略组,并且其中,每个安全策略组被部署在相应的策略代理上,所述相应的策略代理被映射到相应的端点子集;
由所述集群中的每个相应的策略代理向所述多个私有虚拟云中的第一组相应的虚拟网关通告与被映射到所述相应的策略代理的相应的端点子集相关联的一个或多个路由;
基于边界网关协议(BGP)路由图,防止所述集群中的每个相应的策略代理通告与所述多个私有虚拟云中的第二组相应的虚拟网关相关联的路由;以及
响应于所述相应的策略代理接收到与所述端点中的一个或多个端点相关联的业务,通过所述相应的策略代理应用在所述相应的策略代理上部署的安全策略组中的一个或多个安全策略。
19.根据权利要求18所述的非暂时性计算机可读存储介质,存储有附加指令,所述附加指令当由所述一个或多个处理器执行时,使所述一个或多个处理器执行以下操作:
定义与所述多个安全策略组相关联的相应的安全组标签(SGT);以及
基于相应的端点属性使所述端点与所述相应的SGT相关联,其中,将所述安全策略组中的所述一个或多个安全策略应用于与所述端点中的所述一个或多个端点相关联的业务是基于与所述端点中的所述一个或多个端点相关联的相应的SGT而进行的,所述安全策略组中的所述一个或多个安全策略包括针对与所述端点中的所述一个或多个端点相关联的所述相应的SGT所定义的一组安全策略。
20.根据权利要求18或19所述的非暂时性计算机可读存储介质,存储有附加指令,所述附加指令当被所述一个或多个处理器执行时,使所述一个或多个处理器执行以下操作:
识别与驻留在来自多个分支虚拟私有云中的特定分支虚拟私有云外部的一组端点相关联的多个外部前缀;
将所述多个外部前缀聚合为单个外部前缀,所述单个外部前缀落在与所述特定分支虚拟私有云相关联的相应的前缀的范围之外;以及
将所述特定分支虚拟私有云中的一个或多个端点配置为针对与所述单个外部前缀匹配的业务应用许可规则。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/105,822 US11159569B2 (en) | 2018-08-20 | 2018-08-20 | Elastic policy scaling in multi-cloud fabrics |
| US16/105,822 | 2018-08-20 | ||
| PCT/US2019/046775 WO2020041119A1 (en) | 2018-08-20 | 2019-08-16 | Elastic policy scaling in multi-cloud fabrics |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112640382A true CN112640382A (zh) | 2021-04-09 |
| CN112640382B CN112640382B (zh) | 2022-12-20 |
Family
ID=67809698
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980054402.0A Active CN112640382B (zh) | 2018-08-20 | 2019-08-16 | 多云结构中的弹性策略缩放 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11159569B2 (zh) |
| EP (1) | EP3841723B1 (zh) |
| CN (1) | CN112640382B (zh) |
| WO (1) | WO2020041119A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114143048A (zh) * | 2021-11-18 | 2022-03-04 | 绿盟科技集团股份有限公司 | 一种安全资源管理的方法、装置及存储介质 |
| CN114244592A (zh) * | 2021-12-08 | 2022-03-25 | 中盈优创资讯科技有限公司 | 一种vpc环境下安全服务的调度方法及装置 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11102214B2 (en) * | 2018-08-27 | 2021-08-24 | Amazon Technologies, Inc. | Directory access sharing across web services accounts |
| US11175970B2 (en) * | 2018-10-24 | 2021-11-16 | Sap Se | Messaging in a multi-cloud computing environment |
| US11012475B2 (en) * | 2018-10-26 | 2021-05-18 | Valtix, Inc. | Managing computer security services for cloud computing platforms |
| US11240203B1 (en) * | 2018-12-07 | 2022-02-01 | Amazon Technologies, Inc. | Network segmentation by automatically generated security groups |
| EP4145282A1 (en) * | 2018-12-21 | 2023-03-08 | Huawei Cloud Computing Technologies Co., Ltd. | Mechanism to reduce serverless function startup latency |
| US11388197B2 (en) * | 2019-07-24 | 2022-07-12 | Research & Business Foundation Sungkyunkwan University | I2NSF NSF monitoring YANG data model |
| KR20210012956A (ko) * | 2019-07-24 | 2021-02-03 | 성균관대학교산학협력단 | I2nsf 소비자 직면 인터페이스 양 데이터 모델 |
| US11297036B1 (en) * | 2019-09-03 | 2022-04-05 | Rapid7, Inc. | Single whitelisted ingress endpoint on 1 and 2 way TLS connections |
| US11201897B1 (en) | 2019-09-03 | 2021-12-14 | Rapid7, Inc. | Secure multiplexed routing |
| US11336528B2 (en) | 2019-11-29 | 2022-05-17 | Amazon Technologies, Inc. | Configuration and management of scalable global private networks |
| US11533231B2 (en) * | 2019-11-29 | 2022-12-20 | Amazon Technologies, Inc. | Configuration and management of scalable global private networks |
| US11729077B2 (en) * | 2019-11-29 | 2023-08-15 | Amazon Technologies, Inc. | Configuration and management of scalable global private networks |
| US11502942B1 (en) * | 2020-02-27 | 2022-11-15 | Aviatrix Systems, Inc. | Active mesh network system and method |
| US11329913B2 (en) * | 2020-03-26 | 2022-05-10 | Fortinet, Inc. | Avoiding asymetric routing in an SDWAN by dynamically setting BGP attributes within routing information advertised by an SDWAN appliance |
| EP4295528A1 (en) * | 2021-02-17 | 2023-12-27 | Aviatrix Systems, Inc. | Cloud-based egress filtering system |
| US11665208B2 (en) * | 2021-03-23 | 2023-05-30 | Verizon Patent And Licensing Inc. | Systems and methods for selectively routing a SIP message without a parameter identifying a telephone number |
| US11848865B2 (en) | 2021-05-27 | 2023-12-19 | Cisco Technology, Inc. | Application programming interface (API)-based multi-tenant routing control plane |
| WO2023150528A1 (en) * | 2022-02-02 | 2023-08-10 | Oracle International Corporation | Architecture of a multi-cloud control plane -network adaptor |
| CN115412527B (zh) * | 2022-08-29 | 2024-03-01 | 北京火山引擎科技有限公司 | 虚拟私有网络之间单向通信的方法及通信装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020021675A1 (en) * | 1999-10-19 | 2002-02-21 | At&T Corp. | System and method for packet network configuration debugging and database |
| CN105376303A (zh) * | 2015-10-23 | 2016-03-02 | 深圳前海达闼云端智能科技有限公司 | 一种Docker实现系统及其通信方法 |
| CN106462545A (zh) * | 2014-03-31 | 2017-02-22 | 亚马逊科技公司 | 可缩放文件存储服务 |
| US20170180211A1 (en) * | 2015-12-18 | 2017-06-22 | Convergent Technology Advisors | Hybrid cloud integration fabric and ontology for integration of data, applications, and information technology infrastructure |
| US20180062917A1 (en) * | 2016-08-27 | 2018-03-01 | Nicira, Inc. | Extension of network control system into public cloud |
Family Cites Families (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3813225A (en) | 1969-03-10 | 1974-05-28 | Ppg Industries Inc | Fluidized solids reactor with refractory lining |
| US20060206606A1 (en) * | 2005-03-08 | 2006-09-14 | At&T Corporation | Method and apparatus for providing dynamic traffic control within a communications network |
| US20080148342A1 (en) * | 2006-12-13 | 2008-06-19 | Cisco Technology, Inc. | Management of application specific data traffic |
| US8705513B2 (en) * | 2009-12-15 | 2014-04-22 | At&T Intellectual Property I, L.P. | Methods and apparatus to communicatively couple virtual private networks to virtual machines within distributive computing networks |
| US8473557B2 (en) * | 2010-08-24 | 2013-06-25 | At&T Intellectual Property I, L.P. | Methods and apparatus to migrate virtual machines between distributive computing networks across a wide area network |
| US9083651B2 (en) * | 2011-12-07 | 2015-07-14 | Citrix Systems, Inc. | Controlling a network interface using virtual switch proxying |
| US8813225B1 (en) * | 2012-06-15 | 2014-08-19 | Amazon Technologies, Inc. | Provider-arbitrated mandatory access control policies in cloud computing environments |
| US9210169B2 (en) * | 2012-12-20 | 2015-12-08 | Cisco Technology, Inc. | Network session management based on contextual information |
| US20140188972A1 (en) * | 2012-12-31 | 2014-07-03 | Oracle International Corporation | Modeling enterprise resources and associating metadata therewith |
| US9306978B2 (en) * | 2013-03-15 | 2016-04-05 | Bracket Computing, Inc. | Automatic tuning of virtual data center resource utilization policies |
| CN105518651B (zh) * | 2013-09-04 | 2018-10-16 | 慧与发展有限责任合伙企业 | 用于云服务的基于策略的资源选择方法、系统和存储介质 |
| US9538423B2 (en) * | 2013-11-01 | 2017-01-03 | Cisco Technology, Inc. | Routing packet traffic using hierarchical forwarding groups |
| CN104639512B (zh) * | 2013-11-14 | 2018-08-21 | 华为技术有限公司 | 网络安全方法和设备 |
| US9813379B1 (en) * | 2014-05-09 | 2017-11-07 | Amazon Technologies, Inc. | Virtual private gateways using compute instances |
| US10313225B1 (en) * | 2014-05-09 | 2019-06-04 | Amazon Technologies, Inc. | Scalable routing service |
| US9825905B2 (en) * | 2014-10-13 | 2017-11-21 | Vmware Inc. | Central namespace controller for multi-tenant cloud environments |
| US10129078B2 (en) * | 2014-10-30 | 2018-11-13 | Equinix, Inc. | Orchestration engine for real-time configuration and management of interconnections within a cloud-based services exchange |
| US10511540B1 (en) * | 2014-12-22 | 2019-12-17 | VCE IP Holding Company LLC | Systems and methods of predictive display of cloud offerings based on real-time infrastructure data configurations |
| US9806991B2 (en) * | 2015-01-21 | 2017-10-31 | Cisco Technology, Inc. | Rendering network policy and monitoring compliance |
| CN104796348B (zh) * | 2015-04-03 | 2018-02-13 | 华为技术有限公司 | 基于sdn的idc网络出口流量均衡调整方法、设备及系统 |
| US9948552B2 (en) * | 2015-04-17 | 2018-04-17 | Equinix, Inc. | Cloud-based services exchange |
| US10021197B2 (en) * | 2015-05-12 | 2018-07-10 | Equinix, Inc. | Multiple cloud services delivery by a cloud exchange |
| US20160373405A1 (en) * | 2015-06-16 | 2016-12-22 | Amazon Technologies, Inc. | Managing dynamic ip address assignments |
| US10797992B2 (en) * | 2015-07-07 | 2020-10-06 | Cisco Technology, Inc. | Intelligent wide area network (IWAN) |
| US10728096B2 (en) * | 2015-10-02 | 2020-07-28 | Arista Networks, Inc. | Dynamic service device integration |
| US10462136B2 (en) * | 2015-10-13 | 2019-10-29 | Cisco Technology, Inc. | Hybrid cloud security groups |
| US9674108B1 (en) | 2015-12-30 | 2017-06-06 | Accenture Global Solutions Limited | Hub-and-spoke connection architecture |
| US10523631B1 (en) * | 2016-04-14 | 2019-12-31 | Equinix, Inc. | Communities of interest in a cloud exchange |
| US10819630B1 (en) * | 2016-04-20 | 2020-10-27 | Equinix, Inc. | Layer three instances for a cloud-based services exchange |
| US10341371B2 (en) * | 2016-08-31 | 2019-07-02 | Nicira, Inc. | Identifying and handling threats to data compute nodes in public cloud |
| US10262255B2 (en) * | 2016-12-14 | 2019-04-16 | Trackonomy Systems, Inc. | Multifunction adhesive product for ubiquitous realtime tracking |
| EP3639505B1 (en) * | 2017-06-13 | 2022-09-28 | Equinix, Inc. | Service peering exchange |
| US10609081B1 (en) * | 2017-06-20 | 2020-03-31 | Cisco Technology, Inc. | Applying computer network security policy using domain name to security group tag mapping |
| US10439877B2 (en) * | 2017-06-26 | 2019-10-08 | Cisco Technology, Inc. | Systems and methods for enabling wide area multicast domain name system |
| US11212210B2 (en) * | 2017-09-21 | 2021-12-28 | Silver Peak Systems, Inc. | Selective route exporting using source type |
| US10447498B2 (en) * | 2017-10-06 | 2019-10-15 | ZenDesk, Inc. | Facilitating communications between virtual private clouds hosted by different cloud providers |
| US10080117B1 (en) * | 2017-10-20 | 2018-09-18 | International Business Machines Corporation | Controlling operation of computing devices |
| US10601672B2 (en) * | 2017-10-24 | 2020-03-24 | Cisco Technology, Inc. | Inter-tenant workload performance correlation and recommendation |
| US10897453B2 (en) * | 2018-01-26 | 2021-01-19 | Nicira, Inc. | Providing networking and security to workloads via a control virtual private cloud shared across multiple virtual private clouds |
| US10742607B2 (en) * | 2018-02-06 | 2020-08-11 | Juniper Networks, Inc. | Application-aware firewall policy enforcement by data center controller |
| US20200028758A1 (en) * | 2018-07-17 | 2020-01-23 | Cisco Technology, Inc. | Multi-cloud connectivity using srv6 and bgp |
-
2018
- 2018-08-20 US US16/105,822 patent/US11159569B2/en active Active
-
2019
- 2019-08-16 WO PCT/US2019/046775 patent/WO2020041119A1/en unknown
- 2019-08-16 CN CN201980054402.0A patent/CN112640382B/zh active Active
- 2019-08-16 EP EP19762036.2A patent/EP3841723B1/en active Active
-
2021
- 2021-10-20 US US17/506,553 patent/US11838325B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020021675A1 (en) * | 1999-10-19 | 2002-02-21 | At&T Corp. | System and method for packet network configuration debugging and database |
| CN106462545A (zh) * | 2014-03-31 | 2017-02-22 | 亚马逊科技公司 | 可缩放文件存储服务 |
| CN105376303A (zh) * | 2015-10-23 | 2016-03-02 | 深圳前海达闼云端智能科技有限公司 | 一种Docker实现系统及其通信方法 |
| US20170180211A1 (en) * | 2015-12-18 | 2017-06-22 | Convergent Technology Advisors | Hybrid cloud integration fabric and ontology for integration of data, applications, and information technology infrastructure |
| US20180062917A1 (en) * | 2016-08-27 | 2018-03-01 | Nicira, Inc. | Extension of network control system into public cloud |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114143048A (zh) * | 2021-11-18 | 2022-03-04 | 绿盟科技集团股份有限公司 | 一种安全资源管理的方法、装置及存储介质 |
| CN114143048B (zh) * | 2021-11-18 | 2023-09-26 | 绿盟科技集团股份有限公司 | 一种安全资源管理的方法、装置及存储介质 |
| CN114244592A (zh) * | 2021-12-08 | 2022-03-25 | 中盈优创资讯科技有限公司 | 一种vpc环境下安全服务的调度方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020041119A1 (en) | 2020-02-27 |
| CN112640382B (zh) | 2022-12-20 |
| US11838325B2 (en) | 2023-12-05 |
| US11159569B2 (en) | 2021-10-26 |
| US20200059492A1 (en) | 2020-02-20 |
| EP3841723B1 (en) | 2022-05-18 |
| US20220046061A1 (en) | 2022-02-10 |
| EP3841723A1 (en) | 2021-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112640382B (zh) | 多云结构中的弹性策略缩放 | |
| CN113316919B (zh) | 通信方法和系统 | |
| JP7355830B2 (ja) | マルチクラウド環境におけるオンデマンドフローに基づくポリシー実施のためのシステムおよび方法 | |
| US10951691B2 (en) | Load balancing in a distributed system | |
| US11057350B2 (en) | Layer 2 mobility for hybrid multi-cloud deployments without host-overlay | |
| US9571394B1 (en) | Tunneled packet aggregation for virtual networks | |
| US11799972B2 (en) | Session management in a forwarding plane | |
| US11252590B2 (en) | License based traffic management in hybrid networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |