CN113316919B - 通信方法和系统 - Google Patents
通信方法和系统 Download PDFInfo
- Publication number
- CN113316919B CN113316919B CN202080009946.8A CN202080009946A CN113316919B CN 113316919 B CN113316919 B CN 113316919B CN 202080009946 A CN202080009946 A CN 202080009946A CN 113316919 B CN113316919 B CN 113316919B
- Authority
- CN
- China
- Prior art keywords
- cloud
- policy
- site
- data plane
- routers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/033—Topology update or discovery by updating distance vector protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/44—Distributed routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了用于多云路由和策略互连的技术。示例方法可以包括:将不同的数据平面路由器集合分配到与多云基础结构的云站点中的不同地址空间相关联的数据平面流量,以产生数据平面流量和数据平面路由器的分布式映射。该方法还可以包括:向多云基础结构中的本地部署站点提供来自云站点上的控制平面路由器的路由条目,这些路由条目反映分布式映射并且针对每个地址空间标识由哪个数据平面路由器来处置针对该地址空间的数据平面流量;以及,当数据平面路由器部署在云站点时,向本地部署站点提供来自控制平面路由器的经更新路由信息,该经更新的路由信息将数据平面路由器标识为与相应地址空间相关联的数据平面流量的下一跳。
Description
相关申请的交叉引用
本申请要求于2019年1月18日提交的主题为“无缝多云路由和策略互连(SEAMLESSMULTI-CLOUD ROUTING AND POLICY INTERCONNECTIVITY)”的美国非临时专利申请第16/252,115号的权益和优先权,其内容在此通过引用整体明确并入本文中。
技术领域
本技术涉及云计算,并且更具体地涉及多云策略和路由缩放和标准化。
背景技术
支持互联网的设备的普遍存在性产生了对互联网服务和内容的巨大需求。我们已经成为一个互联社会,用户越来越依赖网络服务和内容。这场互联网连接革命给服务和内容提供商带来了重大挑战,服务和内容提供商经常努力在不低于用户性能预期的情况下为大量用户请求提供服务。例如,云提供商通常需要大型复杂的数据中心来满足用户对网络和内容的需求。这些数据中心通常配备有被配置为托管特定服务的服务器群,并包括大量交换机和路由器,这些交换机和路由器被编程用于路由数据中心流量并执行大量安全策略。在许多情况下,特定的数据中心预计将处置数百万个流量流,并执行众多安全要求。
类似地,诸如企业或组织之类的实体所拥有的专有网络对计算资源和性能的需求日益增长。为了满足此类日益增长的需求,此类实体通常从云提供商购买计算资源和服务。例如,此类实体可以在公有云上创建虚拟专有云或网络,并将虚拟专有云或网络连接到其专有网络或本地部署的(on-premises)网络,以增加其可用的计算资源和能力。通过这种方式,实体可以将其专有数据中心或本地部署的数据中心与托管在公有云上的远程数据中心互连,从而扩展其专有网络。
遗憾的是,在数据中心与云提供商解决方案之间的策略模型和配置限制缺乏一致性,这显著限制了实体的集成不同环境和在多个数据中心环境之间应用一致的策略和路由模型的能力。例如,思科的软件定义网络和数据中心管理解决方案(以应用为中心的基础设施(ACI))支持数十万个安全策略,包括128K合约规则、64K互联网协议(IP)地址和每叶交换机4K端点组(EPG)。相比之下,亚马逊的公有云解决方案Amazon Web Services(AWS)每个端点限制250条的安全规则,这比ACI支持的策略规模小几个数量级。因此,在云与数据中心解决方案之间不同的策略模型和配置限制会显著限制混合云实现中策略和路由的缩放性和一致性。
附图说明
为了描述可以获得本公开的上述和其他优点和特征的方式,将参考在附图中示出的其特定实施例来对以上简要描述的原理进行更具体的描述。理解这些附图仅描绘了本公开的示例性实施例,因此不应被认为是对其范围的限制,通过使用附图以附加的具体性和细节来描述和解释本文的原理,在附图中:
图1A和图1B图示了用于在包括本地部署站点和公有云的多云基础结构中的策略缩放和整合的示例架构的示例;
图2A和图2B图示了用于在公有云中的数据平面路由器之间分发用于示例公有云中的流量的数据平面功能的示例配置;
图3图示了多云基础结构中的示例策略标准化用例;
图4A图示了策略标准化的第一示例用例;
图4B图示了策略标准化的第二示例用例;
图5图示了在云站点中的策略的示例分发,用于确保在云站点中的相应云路由器子集之间分发云站点中的流量的处理和策略的实现;
图6图示了用于聚合在云站点中的路由以缩放在云站点中的端点处实现的安全规则的示例方案;
图7图示了用于在多云基础结构中的弹性策略缩放和整合的示例方法;
图8图示了根据各种示例的示例网络设备;以及
图9图示了根据各种示例的示例计算设备。
具体实施例
下面详细讨论本公开的各种实施例。虽然讨论了具体的实现,但是应该理解,这样做仅是出于说明的目的。相关领域的技术人员将认识到,在不脱离本公开的精神和范围的情况下,可以使用其他组件和配置。因此,以下描述和附图是示例性的,并且不被解释为限制性的。描述了许多具体细节以提供对本公开的透彻理解。但是,在某些情况下,为了避免使描述不清楚,没有描述众所周知或常规的细节。在本公开中对一个实施例或实施例的引用可以是对相同实施例或任何实施例的引用;并且,这些引用是指实施例中的至少一个。
对“一个实施例”或“实施例”的引用是指结合该实施例描述的特定特征、结构或特性包括在本公开的至少一个实施例中。说明书中各个地方出现的短语“在一个实施例中”不一定全部指的是同一实施例,也不是与其他实施例互斥的单独的或替代的实施例。此外,描述了可以由一些实施例而不是其他实施例展现的各种特征。
在本公开的上下文内以及在使用每个术语的特定上下文中,本说明书中使用的术语通常具有其在本领域中的普通含义。可将替代语言和同义词用于本文所讨论的术语中的任何一个或多个,并且对于是否在此阐述或讨论了术语不应有特殊意义。在一些情况下,提供某些术语的同义词。一个或多个同义词的列举不排除使用其他同义词。在本说明书中任何地方使用示例(包括在此讨论的任何术语的示例)仅是说明性的,而无意于进一步限制本公开或任何示例术语的范围和含义。同样,本公开不限于本说明书中给出的各种实施例。
在不意图限制本公开的范围的情况下,下面给出根据本公开的实施例的仪器、装置、方法及其相关结果的示例。注意,为了方便读者,可以在示例中使用标题或副标题,这绝不应限制本公开的范围。除非另有定义,否则本文所使用的技术和科学术语具有本公开所属领域的普通技术人员通常所理解的含义。在发生冲突的情况下,以本文件及其定义为准。
本公开的附加特征和优点将在下面的描述中阐述,并且部分地将从该描述中显而易见,或者可以通过实践本文所公开的原理来获悉。本公开的特征和优点可以通过在所附权利要求中特别指出的仪器和组合来实现和获得。根据以下描述和所附权利要求,本公开的这些和其他特征将变得更加显而易见,或者可以通过实践本文阐述的原理来获悉。
概述
提供了用于多云路由和策略互连的技术。示例方法可以包括:将不同数据平面路由器集合分配给与多云基础结构的云站点中的不同地址空间相关联的数据平面流量,以产生数据平面流量和数据平面路由器的分布式映射。该方法还可以包括:向多云基础结构中的本地部署站点提供来自云站点上的控制平面路由器的路由条目,这些路由条目反映分布式映射,并且这些路由条目针对每个地址空间标识由哪个数据平面路由器来处置针对该地址空间的数据平面流量;以及当数据平面路由器被部署在云站点处时,向本地部署站点提供来自控制平面路由器的经更新的路由信息,该经更新的路由信息将数据平面路由器标识为与相应地址空间相关联的数据平面流量的下一跳。
本文公开了用于在多云基础结构中的无缝路由和策略互连和标准化的系统、方法和计算机可读介质。在一些示例中,提供了一种用于在多云基础结构中的无缝路由和策略互连和标准化的方法。该方法可以包括:将来自多个数据平面路由器的不同数据平面路由器集合分配给与多云基础结构的云站点中的不同地址空间相关联的数据平面流量,以产生数据平面流量和数据平面路由器的分布式映射。多云基础结构可以包括例如一个或多个本地部署站点和/或云站点。此外,不同地址空间可以包括不同专有网络、不同虚拟路由和转发(VRF)实例、不同虚拟专有云(VPC)、不同虚拟网络(例如VNET)、不同网段、不同网络上下文等。
该方法还可以包括:向多云基础结构中的本地部署站点提供来自云站点上的控制平面路由器的路由条目。这些路由条目可以反映数据平面流量和数据平面路由器的分布式映射,并且针对每个地址空间标识由不同数据平面路由器集合中的哪个数据平面路由器集合来处置针对该地址空间的数据平面流量。该控制平面路由器可以是云站点中的控制平面路由器集合中的一个控制平面路由器,控制平面路由器集合被配置为处置与云站点相关联的控制平面流量并且与本地部署站点(和/或多云基础结构中的任何其他设备或站点)交换路由信息。在一些方面,控制平面路由器集合可以包括用于多云基础结构中的每个远程站点的至少两个控制平面路由器。所述至少两个控制平面路由器可以包括在云站点中的全部或部分路由,可以提供控制平面冗余性,并且可以与其他站点建立控制平面会话(例如边界网关协议(BGP)会话)以交换路由信息和路由更新。
该方法还可以包括:响应于一个或多个数据平面路由器被部署在云站点处,向本地部署站点提供来自控制平面路由器的经更新的路由信息。该经更新的路由信息可以将一个或多个数据平面路由器标识为与相应地址空间相关联的数据平面流量的下一跳。本地部署站点可以接收经更新的路由信息,并更新其针对云站点的路由或路由表。
在一些情况下,一个或多个数据平面路由器(和任何其他数据平面路由器)可以基于一个或多个状况(例如流量过载状况、可用带宽达到最小阈值、最大路由容量达到阈值、性能要求等)按需部署。该一个或多个状况可以触发对一个或多个数据平面路由器的部署或取消部署。在一些情况下,控制平面路由器集合中的一个或多个控制平面路由器可以兼作数据平面路由器,作为一个或多个数据平面路由器的补充或替代。例如,一个或多个状况不是触发对一个或多个数据平面路由器的部署(或除了触发对一个或多个数据平面路由器的部署之外),而是一个或多个状况可以触发控制平面路由器集合中的一个或多个控制平面路由器兼作一个或多个数据平面路由器。
在一些方面,提供了一种用于多云基础结构中的无缝路由和策略互连和标准化的系统。该系统可以包括一个或多个处理器和其中存储有指令的至少一个计算机可读存储介质,这些指令当被一个或多个处理器执行时使系统执行以下操作:将来自多个数据平面路由器的不同数据平面路由器集合分配给与在多云基础结构上的云站点中的不同地址空间相关联的数据平面流量,以产生数据平面流量和数据平面路由器的分布式映射,该多云基础结构包括一个或多个本地部署站点和/或云站点;向本地部署站点提供来自云站点上的控制平面路由器的路由条目,这些路由条目反映数据平面流量和数据平面路由器的分布式映射,并且这些路由条目针对每个地址空间标识由不同数据平面路由器集合中的哪个数据平面路由器集合来处置针对该地址空间的数据平面流量;以及响应于一个或多个数据平面路由器被部署在云站点处,向本地部署站点提供来自控制平面路由器的经更新的路由信息,该更新的路由信息将一个或多个数据平面路由器标识为与相应地址空间相关联的数据平面流量的下一跳。
本地部署站点可以接收经更新的路由信息,并更新其针对云站点的路由或路由表。在一些情况下,一个或多个数据平面路由器(和任何其他数据平面路由器)可以基于一个或多个状况(例如流量过载状况、可用带宽达到最小阈值、最大路由容量达到阈值、性能要求等)按需部署。该一个或多个状况可以触发对一个或多个数据平面路由器的部署或取消部署。
不同的地址空间可以包括例如不同专有网络、不同虚拟路由和转发(VRF)实例、不同虚拟专有云(VPC)、不同虚拟网络(例如,VNET)、不同网段、不同网络上下文。此外,控制平面路由器可以是云站点中的控制平面路由器集合中的一个控制平面路由器,控制平面路由器集合被配置为处置与云站点相关联的控制平面流量,并且与本地部署站点(和/或多云基础结构中的其他站点和设备)交换路由信息。在一些情况下,该控制平面路由器集合可以包括用于多云基础结构中的每个远程站点的至少两个控制平面路由器。至少两个控制平面路由器可以包括云站点中的全部或部分路由,可以提供控制平面冗余性,并且可以与其他站点建立控制平面会话(例如BGP会话)以交换路由信息和路由更新。
在一些方面,提供了一种用于多云基础结构中的无缝路由和策略互连和标准化的非暂时性计算机可读存储介质。该非暂时性计算机可读存储介质可以包括存储在其中的指令,这些指令当被一个或多个处理器执行时使该一个或多个处理器执行以下操作:将来自多个数据平面路由器的不同数据平面路由器集合分配给与多云基础结构上的云站点中的不同地址空间相关联的数据平面流量,以产生数据平面流量和数据平面路由器的分布式映射,该多云基础结构包括一个或多个本地部署站点和/或云站点;向本地部署站点提供来自云站点上的控制平面路由器的路由条目,这些这些条目反映数据平面流量和数据平面路由器的分布式映射,并且这些路由条目针对每个地址空间标识由不同数据平面路由器集合中的哪个数据平面路由器集合来处置针对该地址空间的数据平面流量;以及响应于一个或多个数据平面路由器被部署在云站点处,向本地部署站点提供来自控制平面路由器的经更新的路由信息,该经更新的路由信息将一个或多个数据平面路由器标识为与相应地址空间相关联的数据平面流量的下一跳。
本地部署站点可以接收经更新的路由信息,并更新其针对云站点的路由或路由表。在一些情况下,一个或多个数据平面路由器(和任何其他数据平面路由器)可以基于一个或多个状况(例如流量过载状况、可用带宽达到最小阈值、最大路由容量达到阈值、性能要求等)按需部署。一个或多个状况可以触发对一个或多个数据平面路由器的部署或取消部署。
不同的地址空间可以包括例如不同专有网络、不同虚拟路由和转发(VRF)实例、不同虚拟专有云(VPC)、不同虚拟网络(例如,VNET)、不同网段、不同网络上下文。此外,控制平面路由器可以是云站点中的控制平面路由器集合中的一个控制平面路由器,该控制平面路由器集合被配置为处置与云站点相关联的控制平面流量,并与本地部署站点(和/或多云基础结构中的其他站点和设备)交换路由信息。在一些情况下,该控制平面路由器集合可以包括用于多云基础结构中的每个远程站点的至少两个控制平面路由器。该至少两个控制平面路由器可以包括在云站点中的全部或部分路由,可以提供控制平面冗余性,并且可以与其他站点建立控制平面会话(例如BGP会话)以交换路由信息和路由更新。
在一些方面,上述系统、方法和非暂时性计算机可读介质可以包括:对一个或多个云站点中的相应类型的专有或虚拟网络构造(例如,VPC、VNET等)进行转换,以匹配与本地部署站点中特定类型的专有或虚拟网络构造(例如,VRF)相关联的策略和配置设定集合,从而产生横跨多云基础结构的标准化专有或虚拟网络;以及使用标准化专有或虚拟网络在本地部署站点和一个或多个云站点之间提供互连。
在一些方面,该系统、方法和非暂时性计算机可读介质可以包括:横跨多云基础结构对多个策略构造进行标准化。在一些示例中,可以通过以下操作来对策略构造进行标准化:将本地部署站点中的策略构造映射到一个或多个云站点中的相应策略构造;对来自相应策略构造的每个策略构造进行转换,以做出来自本地部署站点的策略构造中映射到相应策略构造中的该策略构造的相应一个策略构造的镜像;响应于接收到与相应策略构造中的该策略构造和/或来自本地部署站点的策略构造中的相应一个策略构造中的端点相关联的流量,将与相应策略构造中的该策略构造和来自本地部署站点的策略构造中的相应一个策略构造相关联的策略集合应用于该流量。
本地部署站点中的策略构造可以具有与一个或多个云站点中的相应策略构造不同的类型。在一些情况下,本地部署站点中的策略构造包括端点组(EPG)或VRF,并且一个或多个云站点中的相应策略构造中的每个包括被一个或多个云站点中的相关联云站点支持的相应类型的安全组或专有网络(例如,VPC、VNET等)。每个EPG或VRF可以包含来自本地部署站点的端点集合,并且一个或多个云站点中的相应策略构造中的每个策略构造可以与来自一个或多个云站点中的每个云站点的相应端点集合相关联。
在一些方面,上述系统、方法和非暂时性计算机可读介质可以包括通过以下操作来对策略构造进行标准化:将来自本地部署站点的策略构造延伸到一个或多个云站点,以在一个或多个云站点中的每个云站点上产生延伸策略构造,其中,该延伸策略构造表示一个或多个云站点中的每个云站点中的相应策略构造;针对一个或多个云站点中映射到延伸策略构造的每个端点,向本地部署站点提供该端点的地址(例如,IP地址、IP前缀、子网等);将该端点的地址映射到本地部署站点上的影子策略构造,该影子策略构造是一个或多个云站点中的每个云站点上的延伸策略构造的镜像;以及,针对来自本地部署站点的策略构造中的每个端点,将端点映射到一个或多个云站点中的每个云站点上的相应影子策略构造,其中,相应影子策略构造是来自本地部署站点的策略构造的镜像。
在一些方面,上述系统、方法和非暂时性计算机可读介质可以包括通过以下操作来对策略构造进行标准化:针对本地部署站点中的策略构造在一个或多个云站中的每个云站点上创建相关联的策略构造,其(相关联的策略构造)具有与本地部署站点中的策略构造不同的类型;针对在一个或多个云站点中的每个云站点上的每个相关联的策略构造,在本地部署站点上提供作为相关联的策略构造的镜像的相应影子策略构造;针对本地部署站点中的策略构造,在一个或多个云站点中的每一个云站点上提供镜像本地部署站点中的策略构造的相应影子策略构造;针对映射到相关联的策略构造的一个或多个云站点中的每个端点,向本地部署站点提供该端点的地址;以及,基于每个端点的地址,将一个或多个云站点中的每个端点映射到本地部署站点上提供的相应影子策略构造。
在一些情况下,对策略构造的标准化还可以包括:建立相应安全策略,用于本地部署站点中的策略构造与一个或多个云站点中的每个云站点上的每个相关联的策略构造之间的流量;以及,将本地部署站点中策略构造中的每个端点映射到一个或多个云站点中的每一个云站点上的相应影子策略构造。在一些情况下,对策略构造的标准化可以还包括:响应于发现云站点中的新端点,向本地部署站点提供新端点的相应地址;以及,基于新端点的相应地址,将新端点映射到本地部署站点上提供的相应影子策略构造。
在一些方面,上述系统、方法和非暂时性计算机可读介质可以包括:在多个数据平面路由器之间分发与云站点中的端点相关联的安全策略,其中,每个数据平面路由器接收到与映射到该数据平面路由器的端点集合相关联的相应子组的安全策略;通过来自多个数据平面路由器的每个数据平面路由器,向包含映射到该数据平面路由器的端点集合中的一个或多个端点的云站点中的每个专有或虚拟网络(例如,每个VPC或VNET)通告与该端点集合相关联的相应路由集合;基于BGP路由图,防止多个数据平面路由器中的每个数据平面路由器通告与云站点中的端点中未映射到该数据平面路由器的那些端点相关联的路由;以及响应于接收到与端点集合中的一个或多个端点相关联的流量,向经由映射到端点集合的该数据平面路由器的流量应用安全策略中与该端点集合相关联的相应子集中的一个或多个安全策略。
示例实施例的描述
所公开的技术解决了本领域中对多云基础结构中的弹性和无缝的策略和路由互连和标准化的需求。本文的方法可以跨多云基础结构中迥然不同的云或数据中心环境整合策略,并跨迥然不同的云或数据中心环境支持弹性路由以及策略缩放和标准化,而不管云或数据中心环境之间的架构、限制和策略约束的任何差异。例如,本文的方法可以跨多个数据中心或公有云来扩展云或数据中心解决方案(例如思科的以应用为中心的基础设施(ACI)),以跨数据中心或云应用一致的策略模型和路由方案。跨数据中心或云实现的安全策略的数量可以被缩放,以超越多云基础结构中一个或多个云提供商施加的策略约束或限制。因此,本文中的方法可以跨多云基础结构提供路由标准化和增加的策略一致性、灵活性和粒度。
本技术将在以下公开中更详细地描述如下。该讨论首先概述了多云基础结构中的路由和策略的标准化和缩放。该讨论之后描述了用于多云基础结构中的路由和策略的标准化和缩放的示例架构,如图1A和图1B所示。然后将描述用于多云基础结构中的路由和策略的标准化和缩放的示例规划和配置,如图2A到图7所示。该讨论以对如图8所图示的示例网络设备和如图9所图示的示例计算设备架构(包括适合于执行联网和计算操作的示例硬件部件)的描述结束。本公开现在转向讨论多云基础结构中的路由和策略的标准化和缩放。
多云基础结构或数据中心解决方案(例如思科的以应用为中心的基础设施(ACI))可以管理多个网络基础结构或数据中心(例如本地部署的数据中心和一个或多个云站点)中的用于工作负载的网络、安全性和服务。多云解决方案可以将端点分组到称为端点组(EPG)的端点的组或集合中,并将安全策略或合约应用于相应EPG。利用该多云解决方案,EPG可以包括本地部署的数据中心和(一个或多个)公有云两者中的端点。EPG允许对来自本地部署的数据中心和(一个或多个)公有云两者上的端点的流量执行安全策略或合约。安全策略和网络配置可由与多云解决方案相关联的一个或多个控制器(例如ACI应用策略基础设施控制器(APIC)和/或多站点APIC)来管理。
如前所述,公有云中的联网配置和策略可以具有由云提供商施加的各种路由和策略模型或方案以及不同约束。在许多情况下,云提供商可施加限制相关联的公有云所支持的安全策略数量的约束,而使得该数量远低于在本地部署的数据中心实现的数据中心解决方案所支持的策略规模。例如,思科的ACI支持数十万个安全策略,包括128K的合约规则、64K的IP地址和每个叶交换机的4K EPG,而亚马逊的AWS限制了每个端点的250条安全规则。相应地,当思科的ACI解决方案与公有云解决方案(例如亚马逊的AWS)整合时,公有云的约束可能会对ACI解决方案施加不必要的约束,并创建不一致的策略模型。
云上的安全规则可以应用于目的地端点和第4层(L4)端口。目的地端点可以按组、前缀、标签、IP地址等而被分类,具体取决于云或数据中心解决方案。虽然基于公共准则对端点或流量进行分组有助于缩放安全规则,但不同云或数据中心解决方案所实现的不同流量分类方案和策略模型可能规划略和路由的一致性构成限制,并且通常会妨碍跨不同云或数据中心环境的安全规则整合。
例如,思科的ACI可以使用EPG,以将在硬件交换机或路由器上施行的安全策略应用于端点组。而另一方面,其他云提供商和解决方案(例如亚马逊的AWS或微软的Azure云计算平台)使用IP地址或其他属性来将流量或端点分类到特定安全组中,并将由主机(例如,服务器)执行的安全策略应用到特定安全组中的流量或端点。各种云或数据中心解决方案中的不同分类、策略执行和策略方案可能对跨不同云或数据中心解决方案的一致性和整合构成限制。
此外,由一个云提供商施加的限制可能在多云或多基础结构环境上产生显著的限制。例如,当云主机实例运行多个应用时,由云提供商施加的安全规则限制可以快速到达提供商的云,这限制了可以从另一个云或数据中心基础结构或环境中整合的安全规则的数量。例如,假设有5个容器在云主机上运行,并且这5个容器被端口映射。在25个外部IP与主机对话的情况下,将达到Amazon的AWS解决方案所施加的250条规则限制:25个IP×5个TCP(传输控制协议)端口×2个方向。虽然具有基于前缀的规则可以针对这种规模限制方面提供帮助,但当安全组策略需要被应用于个单独的IP地址(例如,/32IP)时,此限制会变得严重。而在多种情况下,/32IP地址可能是必要的或期望的。例如,/32IP地址对于支持微分段或计算基于标签的分组可能是必要的或期望的,在该情况下IP子网和策略实质上是分离的。
此外,对于多云互连,公有云通常不提供第2层(L2)扩展。这又意味着需要在第3层(L3)构造上应用安全组策略,而如上所述的,这可能会受到云提供商资源规模限制的显著限制。为了说明这一点,假设云托管的“共享服务”被ACI本地部署站点中的100个EPG使用(并且因此被1000个端点使用)。这意味着应枚举公有云(例如AWS或Azure)内的ACI端点IP地址,以便对云安全策略进行编程。但是,考虑到典型的由云施加的规模限制,枚举1000个IP地址不能在云中缩放。此外,对于任何策略更改,跨所有1000个IP地址的安全组条目必须被重新枚举,从而导致额外的缩放性问题。
为了克服各种云提供商施加的规模限制和在云或数据中心解决方案之间缺乏一致性和整合的问题,本文的方法可以在多基础结构或多云环境中提供策略和路由的标准化和缩放。这可以通过以下方式来实现:对多基础结构或多云环境中的控制平面和数据平面进行解耦合,并使用原生云路由能力(native cloud routing capability)和自定义云路由器集群(例如思科的云服务路由器(CSR)1000lkv)组合来得到可缩放互联功能。
图1A和1B图示了用于多云基础结构100中的无缝互连功能的示例架构。多云基础结构100可以包括本地部署站点102(例如,站点1)(例如专有云或数据中心)以及公有云104和106(例如,站点2和站点3)。在该示例中,本地部署站点102可以实现特定的SDN或数据中心解决方案,例如思科的ACI,而公有云104和106可以实施不同的云解决方案,例如Amazon的AWS和Microsoft的Azure。
可以根据由本地部署站点102实现的特定SDN或数据中心解决方案(例如思科的ACI)来配置本地部署站点102,该特定SDN或数据中心解决方案可以通过一个或多个控制器(例如控制器112(例如,APIC))实现和/或管理。控制器112可以管理本地部署站点102中的元件的安全策略和互连性,这些元件例如是交换机(例如,叶交换机、脊交换机等)、路由器(例如,物理或虚拟网关或路由器等)、端点(例如,VM、软件容器、虚拟设备、服务器、应用、服务链、工作负载等)、和/或本地部署站点102中的任何其他元件(物理的和/或虚拟的/逻辑的)。例如,本地部署站点102可以包括脊交换机120和叶交换机122,这些脊交换机120和叶交换机122被配置为向本地部署站点102中的VM 124、126和128提供网络连接。在该示例中,控制器112可以管理由脊交换机120、叶交换机122和VM 124、126和128处理的流量的安全策略和互连。
控制器112可以配置EPG 130、132和134(EPG 1、EPG 2、EPG N),EPG 130、132和134(EPG 1、EPG 2、EPG N)可以用于管理和实现端点(例如VM 124、126、128)的组的策略和配置。EPG(例如,130、132、134)是包含端点(例如,VM、软件容器、虚拟设备、服务器、应用、服务链、工作负载等)的管理对象,这些端点直接地或间接地连接到网络(例如,本地部署站点102)。每个EPG(130、132、134)可以包括一组端点。例如,EPG 130可以包括VM 124,EPG 132可以包括VM 126,并且EPG 134可以包括VM 128。
EPG 130、132、134中的端点(例如,VM 124、126、128)可以具有某些属性(例如地址、位置、身份、前缀、功能、应用服务等),并且可以是物理的和/或虚拟的。因此,EPG是基于一个或多个共同因素的此类端点的逻辑分组。可用于将端点分组为共同EPG的非限制性示例因素包括共同安全要求、共同VM移动性要求、共同QoS(服务质量)设定、共同L4-L7(第4层到第7层)服务,等等。EPG(例如,130、132、134)可以跨多个交换机,并且可以与相应桥域(BD)相关联。在一些方面,EPG中的端点成员可以是静态的或动态的。
EPG 130、132、134可以包含相应端点成员,并且可以代表基于如前所述的不同相应因素的不同的EPG(例如,逻辑分组)。例如,EPG 130可以代表被配置为网络服务器的端点(例如,VM 124)的逻辑分组(例如,WEB-EPG),EPG 132可以代表被配置为数据库服务器的端点(例如,VM 126)的逻辑分组(例如,DB-EPG),并且EPG 134可以代表被配置为特定应用服务器的端点(例如,VM 128)的逻辑分组(例如,APP.A-EPG)。控制器112可以为每一个EPG130、132、134配置特定策略(例如,合约、过滤器、要求等)。例如,此类策略或合约可以限定哪些EPG可以相互通信以及哪些类型的流量可以在EPG 130、132、134之间通过。
控制器112还可以配置虚拟路由和转发(VRF)实例(136A、136B、136N),这些虚拟路由和转发(VRF)实例(136A、136B、136N)提供用作专有网络并在VRF之间隔离流量的不同地址域。VRF 136A-N可以包括各种相应对象,例如端点(例如,VM 124、126、128)EPG(例如,130、132、134)等。例如,VM 124和EPG 130可以驻留在VRF 136A中,VM 126和EPG 132可以驻留在VRF 136B中,并且VM 128和EPG 134可以驻留在VRF 136N中。
多云基础结构100还可以包括多站点控制器110(例如,多站点APIC),该多站点控制器110与本地部署站点102中的控制器112以及分别在公有云104和公有云106上的云控制器114和116(例如,云APIC)通信,并与控制器112和云控制器114和116一起工作,以管理和实现本地部署站点102和公有云104和106两者上的策略和配置。多站点控制器110可以在本地部署站点102和公有云104和106上实现相同的策略模型,该相同的策略模型可以基于特定的SDN或数据中心解决方案(例如思科的ACI)。例如,多站点控制器110可以在本地部署站点102以及公有云104和106上实现VRF、EPG以及相关联的策略。这些策略可以由多站点控制器110分别与本地部署站点102中的控制器112以及公有云104和106中的云控制器114和116进行协调。
公有云104和106也可以实现不同的策略模型,并且可以具有它们自己的要求集合(例如,策略要求、缩放性要求等),这些要求可以不同于由多站点控制器110、控制器112和云控制器114和116实现的解决方案所施加的那些要求。公有云104和106上的策略模型和要求可以取决于各自的云提供商。例如,AWS可实现安全组并施加250条规则限制,而Azure可通过不同策略约束和限制来实现应用或网络安全组。如下文进一步描述的,本文的方法可以将公有云104和106所施加的路由、策略和要求和与多站点控制器110、控制器112和云控制器114和116相关联的那些路由、策略和要求进行整合和缩放,以便应用一致的路由和策略模型,并增加在多云基础结构100(包括公有云104和106)上实现的整体解决方案的缩放性。
公有云104可以包括虚拟专有云(VPC)154A、154B和154N,这些虚拟专有云(VPC)154A、154B和154N表示公有云104上的专有网络,并且它们可以与本地部署站点102和公有云106互连,如本文所述。VPC 154A、154B和154N可以托管公有云104上的应用和资源,以供本地部署站点102使用。在一些情况下,VPC 154A、154B和154N可以表示本地部署站点102上的VRF(例如,136A、136B、136N)或映射到本地部署站点102上的VRF(例如,136A、136B、136N)。
VPC 154A、154B和154N可以包括公有云104上的端点(EP)158、164和168。例如,VPC154A可以包括EP 158,VPC 154B可以包括EP 164,并且VPC 154N可以包括EP 168。EP 158、164、168可以包括虚拟的/逻辑的和/或物理的端点,例如VM、软件容器、物理服务器等。EP158、164、168可以被包括在安全组160A、160B、160N中,这些安全组160A、160B、160N是由公有云104实现的策略构造,并且它们可以被转换为EPG(如本文所述)。安全组160A、160B、160N可以包括一个或多个相应安全策略,这些安全策略被定义,以用于与安全组160A、160B、160N相关联的一个或多个属性匹配的流量,这些属性例如为IP地址(例如,安全组160A、160B、160N中的EP 158、164、168的IP地址)、标签(例如VM标签或标志)、EP属性(例如VM名称或特征)、IP前缀等。
可以通过路由器156、162和166来路由往返VPC 154A、154B和154N的流量,这些路由器156、162和166可以包括虚拟云路由器、虚拟专有网关或VPN网关(以下称为“vGW”)、云服务路由器(CSR)(例如Cisco CSRlkV路由器),等等。路由器156、162、166可以充当VPC154A、154B、154N的入口点和出口点,并且可以通过数据平面路由器152A、152B、152N的集群150将VPC 154A、154B、154N彼此互连以及互连其他外部设备或网络(例如,本地部署站点102和公有云106)。数据平面路由器152A、152B、152N可以包括虚拟云路由器、虚拟网关、CSR路由器(例如Cisco CSRlkV路由器等)。
路由器156、162和166可以通过控制平面路由器140A和140N的集群138在公有云104与本地部署站点102和公有云106之间提供互连。控制平面路由器140A和140N可以管理到本地部署站点102、公有云106、MSC 110等中的路由的导入和导出,以支持公有云104、本地部署站点102和公有云106之间的互连。在一些实现方式中,控制平面路由器140A和140N可以使用EVPN(以太网虚拟专有网络)BGP(边界网关协议)来导入和导出路由。控制平面路由器140A和140N可以与本地部署站点102、公有云106和/或MSC 110建立BGP会话,以交换路由。
控制平面路由器140A和140N可以包括用于建立BGP会话的BGP演讲者(BGPspeaker)或代理。在一些实现方式中,控制平面路由器140A和140N支持或实现与每个其他站点(例如,本地部署站点102和公有云106)的两个控制平面会话(例如,BGP会话),以实现冗余性和站点间连接。在其他实现方式中,控制平面路由器140A和140N可以针对每个其他站点支持或实现更多或更少的控制平面会话。例如,控制平面路由器140A和140N可以针对一个或多个其他站点(例如,本地部署站点102和/或公有云106)支持或实现单个控制平面会话,也可以针对一个或多个其他站点(例如,本地部署站点102和/或公有云106)支持或实现多于两个的控制平面会话。
控制平面路由器140A和140N可以包括CSR路由器(例如Cisco CSR lkV路由器),并且它们可以配备有足够的容量来存储和管理针对公有云104的所有路由。此外,控制平面路由器140A和140N可以使用数据平面路由器152A、152B、152N的集群150和/或在VPC 154A、154B、154N上的路由器156、162、166来支持或实现内部控制平面会话(例如,BGP会话),以交换和管理针对公有云104的路由信息。在一些情况下,控制平面路由器140A和/或140N也可以兼作数据平面路由器。例如,控制平面路由器140A和/或140N可以兼作数据平面路由器,作为其他数据平面路由器(例如,152A、152B、152N)的补充或替代。
在一些情况下,如下文进一步描述的,数据平面路由器152A、152B、152N可以被映射或指定到VPC 154A、154B、154N的特定子集合,以便在数据平面路由器152A、152B、152N之间分发针对往返于VPC 154A、154B、154N的流量的数据平面路由功能和责任。此处,控制平面路由器140A和140N可以管理内部路由的分发,以将数据平面路由器152A、154B、152N映射到相应的VPC 154A、154B、154N和/或相应地分发路由功能和责任。
此外,公有云104中的云控制器114可以与MSC 110、本地部署站点中的控制器112、以及公有云106上的云控制器116进行通信,以协调和管理在本地部署站点102、公有云104和公有云106之间的策略交换和/或策略转换以及在公有云104中这些策略的实现。例如,云控制器114可以与MSC 110通信,以将本地部署站点102中的EPG 130、132、134(和相关联的策略)映射或转换到公有云104中的安全组160A、160B、160N,将本地部署站点102中的VRF136A、136B、136N映射或转换为公有云104中的VPC 154A、154B和154N,和/或将本地部署站点102中的任何其他策略构造或对象映射或转换到公有云104。
如前所述,多云基础结构100可以包括一个或多个额外的公有云(例如公有云106),该公有云可以实现与公有云104和/或本地部署站点102不同的策略模型、环境、和/或云或数据中心解决方案,并且可具有与公有云104和/或本地部署站点102不同的要求或限制。例如,在一些方面,本地部署站点102可以实现思科的ACI解决方案,而公有云104实现不同的云解决方案(例如亚马逊的AWS),公有云106实现其他不同的云解决方案(例如微软的Azure或Oracle Cloud)。
在图1A和1B的说明性示例中,公有云106可以包括虚拟网络(VNET)178A、178B和178N,这些虚拟网络(VNET)178A、178B和178N表示公有云106上的专有网络,并且可以与本地部署站点102和公有云104互连,如本文所述。与VRF 136A、136B和136N以及VPC 154A、154B和154N类似,VNET 178A、178B和178N可以用作具有特定地址空间的专有虚拟网络,其中,每个虚拟网络与其他虚拟网络分离,并且每个虚拟网络托管相应应用、资源、设备等,并具有特定的安全策略和路由策略。例如,VNET 178A、178B和178N可以在公有云106上托管应用和资源,以供本地部署站点102和/或公有云104使用。在一些情况下,VNET 178A、178B和178N可以表示本地部署站点102上的VRF(例如,136A、136B、136N),或者映射到本地部署站点102上的VRF(例如,136A、136B、136N)。
VNET 178A、178B和178N可以包括公有云106上的端点(EP)184、188和192。例如,VNET 178A可以包括EP 184,VNET 178B可以包括EP 188,而VNET 178N可以包括EP 192。EP184、188、192可以包括虚拟的/逻辑的和/或物理的端点,例如VM、软件容器、物理服务器等。EP 184、188、192可以被包括在应用安全组180A、180B、180N中,这些应用安全组160A、160B、160N是由公有云106实现的策略构造,并且可以如本文所述的被转换为EPG。应用安全组180A、180B、180N可以包括一个或多个相应安全策略,该一个或多个相应安全策略被定义,以用于和与应用安全组180A、180B、180N相关联的一个或多个属性匹配的流量,这些属性为例如IP地址(例如,应用安全组180A、180B、180N中的EP 184、188、192的IP地址)、标签(例如VM标签或标志)、EP属性(例如VM名称或特征)、IP前缀等。
可以通过路由器182、186和190来路由往返VNET 178A、178B和178N的流量,这些路由器182、186和190可以包括虚拟云路由器、虚拟专有网关或VPN网关、CSR路由器(例如Cisco CSRlkV路由器)等。路由器182、186、190可以充当VNET 178A、178B、178N的入口点和出口点,并且可以通过数据平面路由器176A、176B、176N的集群174将VNET 178A、178B、178N彼此互连和互连其他外部设备或网络(例如,本地部署站点102和公有云104)。数据平面路由器176A、176B、176N可以包括虚拟云路由器、虚拟网关、CSR路由器(例如Cisco CSRlkV路由器等)。
路由器182、186和190可以通过控制平面路由器172A和172N的集群170提供公有云106和本地部署站点102和公有云104之间的互连。控制平面路由器172A和172N可以管理路由到本地部署站点102、公有云104、MSC 110等的导入和导出,以支持在公有云106、本地部署站点102和公有云104之间的互连。在一些实现方式中,控制平面路由器172A和172N可以使用EVPN BGP导入和导出路由。控制平面路由器172A和172N可以与本地部署站点102、公有云104和/或MSC 110建立BGP会话,以交换路由。
控制平面路由器172A和172N可以包括用于建立BGP会话的BGP发言者或代理。在一些实现方式中,控制平面路由器172A和172N支持或实现与每个其他站点(例如,本地部署站点102和公有云104)的两个控制平面会话(例如,BGP会话),以实现冗余性和站点间连接。在其他实现方式中,控制平面路由器172A和172N可以针对每个其他站点支持或实现更多或更少的控制平面会话。例如,控制平面路由器172A和172N可以针对一个或多个其他站点(例如,本地部署站点102和/或公有云104)支持或实现单个控制平面会话,也可以针对一个或多个其他站点(例如,本地部署站点102和/或公有云104)支持或实现多于两个的控制平面会话。
控制平面路由器172A和172N可以包括CSR路由器(例如Cisco CSR lkV路由器),并且它们可以配备有足够的容量来存储和管理针对公有云106的所有路由。此外,控制平面路由器172A和172N可以使用数据平面路由器176A、176B、176N的集群174和/或在VNET 178A、178B、178N上的路由器182、186、190来支持或实现内部控制平面会话(例如,BGP会话),以交换和管理针对公有云106的路由信息。在一些情况下,控制平面路由器172A和/或172N也可以兼作数据平面路由器。例如,控制平面路由器172A和/或172N可以兼作数据平面路由器,作为其他数据平面路由器(例如,176A、176B、176N)的补充或替代。
在一些情况下,如下文进一步描述的,数据平面路由器176A、176B、176N可以被映射或指定到VNET 178A、178B和178N的特定子集,以便在数据平面路由器176A、176B、176N之间分发针对往返于VNET 178A、178B和178N的流量的数据平面路由功能和责任。此处,控制平面路由器172A和172N可以管理内部路由的分发,以将数据平面路由器176A、176B、176N映射到相应VNET 178A、154B和178N和/或相应地分发路由功能和责任。
此外,公有云106中的云控制器116可以与MSC 110、本地部署站点中的控制器112、以及公有云104上的云控制器114进行通信,以协调和管理在本地部署站点102、公有云104和公有云106之间的策略交换和/或策略转换以及在公有云106中这些策略的实现。例如,云控制器116可以与MSC 110通信,以将本地部署站点102中的EPG 130、132、134(和相关联的策略)映射或转换到公有云106中的应用安全组180A、180B、180N,将本地部署站点102中的VRF 136A、136B、136N映射或转换为公有云106中的VNET 178A、178B、178N,和/或将本地部署站点102中的任何其他策略构造或对象映射或转换到公有云106。
公有云104和公有云106可以实现用于数据平面路由的网络覆盖(例如VxLAN(虚拟可扩展LAN)),并且可以实现用于控制平面功能的控制平面解决方案(例如,BGP或EVPNBGP)。例如,如前所述,公有云104和公有云106可以实现BGP会话的各个层,以用于控制平面功能。将BGP或BGP EVPN与诸如VxLAN之类的用于站点间会话(例如,在本地部署站点102、公有云104和/或公有云106之间的会话)的覆盖数据平面解决方案一起使用可以有助于使用一个或多个BGP会话提供在站点(例如,102、104、106)之间的VRF(例如,136A、136B、136N)或其他路由域或寻址构造/方案的无缝扩展,并且在网络(例如,IP网络)中承载分组,而无需额外的分段特定配置。MSC 110可以映射本地部署站点102与公有云104、106之间和/或公有云104、106之间的本地虚拟或专有网络(例如,VRF、VPC、VNET)段标识符(ID),并且可以通过BGP或BGP EVPN路由目标的映射来管理到相应虚拟或专有网络(例如,VRF、VPC、VNET)的路由导入和导出。该规划可以在本地部署站点102和公有云104、106上建立公共路由和转发平面。
在一个说明性示例中,公有云104和公有云106可以实现三层BGP会话,以用于控制平面功能。为了说明,公有云104可以实现包括与MSC 110、本地部署站点102和/或公有云106的一个或多个外部控制平面会话(例如,BGP会话)的第一层BGP会话、包括控制平面路由器140A和140N与数据平面路由器152A、152B、152N之间的一个或多个控制平面会话(例如,BGP会话)的第二层BGP会话、以及包括数据平面路由器152A、152B、152N与VPC 154A、154B和154N中的路由器156、162、166之间的一个或多个控制平面会话(例如,BGP会话)的第三层BGP会话。类似地,公有云106可以实现包括与MSC 110、本地部署站点102和/或公有云104的一个或多个外部控制平面会话(例如,BGP会话)的第一层BGP会话、包括控制平面路由器172A和172N与数据平面路由器176A、176B、176N之间的一个或多个控制平面会话(例如,BGP会话)的第二层BGP会话,以及包括数据平面路由器176A、176B、176N与VPC 178A、178B和178N中的路由器182、186、190之间的一个或多个控制平面会话(例如,BGP会话)的第三层BGP会话。
在该示例中,三层BGP会话可以帮助实现以下非限制性示例益处。首先,三层BGP会话可以允许多云基础结构100使用公共专有和/或虚拟网络(例如,VRF、VPC或VNET)用于站点间连接,而不是通过单独的专有和/或虚拟网络(例如单独的VRF)来提供站点间连接。这可以提供在操作上易于管理的经济节约的解决方案。
第二,虽然一些示例仅实现少数(例如两个)BGP会话用于控制平面冗余性,但是可以实现多个数据平面路由器来满足本地部署站点102的较大VRF规模和公有云104、106的带宽需求。因此,当BGP路由被从公有云104或公有云106通告,可以基于VRF136A、136B、136N,VRF的带宽需求(例如,136A、136B或136N)和/或每个VRF(例如,136A、136B或136N)的路由以分布式方式实现属于多个数据平面路由器的多个下一跳。这可以通过控制平面路由器与数据平面路由器之间的多云基础结构100上的公共VRF(或任何其他专有和/或虚拟网络,例如VPC或VNET)内的第二层BGP会话来实现。
第三,通过结合第一层和第二层BGP会话的特征,随着站点数量的增加,随着每个站点的POD数量的增加,和/或随着横跨站点延伸的VRF的数量的增加和/或它们的带宽的增加,公有云104和106可以匹配本地部署站点102和公有云104和106的组合基础结构的规模。
图2A图示了示例配置200,该示例配置200用于在示例公有云(例如,104)中的数据平面路由器(例如,152A、152B、152N)之间分发数据平面功能,以用于示例公有云中的流量。在该示例中,关于公有云104描述了配置200。然而,类似的技术可以在其他云站点(例如,公有云106)中实现。
在配置200中,数据平面路由器152A和152B被分配给VPC 154A和VPC 154B,并且数据平面路由器152N被分配给VPC 154N。因此,往返于VPC 154A和VPC 154B的数据流量的路由由数据平面路由器152A和152B来处置,往返于VPC 154N的数据流量的路由由数据平面路由器152N来处置。为了确保与VPC 154A和VPC 154B相关联的数据流量由数据平面路由器152A和152B来处置并且与VPC 154N相关联的数据流量由数据平面路由器152N来处置,控制平面路由器140A和140N可以定制路由通告(例如,通过BGP会话),以确保与VPC 154A和VPC154B相关联的数据流量由数据平面路由器152A和/或152B来处置并且与VPC 154N相关联的数据流量由数据平面路由器152N来处置。例如,控制平面路由器140A和140N所提供的路由通告可以将数据平面路由器152A和152B映射到VPC 154A和VPC 154B(或与VPC 154A和VPC154B相关联的流量),并将数据平面路由器152N映射到VPC 154N(或与VPC 154N相关联的流量)。
这样的分布式数据平面路由技术可以有助于使公有云104中的数据平面路由适应于特定带宽和其他服务要求,并且有助于弹性地缩放带宽和路由能力。此外,这样的分布式数据平面路由技术可有助于动态地增加或减少公有云104中的数据平面路由能力,以适应当前和/或未来状况。例如,当需要或期望额外带宽来处置公有云104中的数据平面流量时,可以在公有云104上动态地部署一个或多个数据平面云路由器来处置此类流量。控制平面路由器140A和140N然后可以通过路由通告将新部署的一个或多个数据平面云路由器映射或分配到一个或多个VPC,以确保与一个或多个VPC相关联的数据流量由新部署的一个或多个数据平面云路由器来处置。在一些方面,控制平面路由器140A和140N可以通过BGP EVPN会话中提供的下一跳变更属性将与一个或多个VPC相关联的地址(例如,与一个或多个VPC、一个或多个VPC中的端点、一个或多个VPC中的云路由器、和/或一个或多个VPC中的其他资源相关联的IP地址或前缀)传送到其他站点(例如,本地部署站点102和公有云106)。
例如,本文中的数据平面路由技术可以允许公有云104(或任何其他站点)动态地扩展转发平面(例如,控制平面路由器140A和140N)的容量,以适应公有云104中的带宽需要的增加以及公有云104中的资源或对象(例如端点、专有云网络(例如,VPC)等)的添加,同时维持用于冗余性的少量控制平面会话。在一些示例中,控制平面路由器140A和140N的集群138可为一组资源或对象(例如端点、VPC、云路由器等)提供任播地址(anycast address),并通过一个或多个BGP EVPN会话中的下一跳变更将该任播地址传送送到其他站点(例如,本地部署站点102、公有云106)。此外,控制平面路由器140A和140N可以管理控制平面规模,并减少对数据平面路由器152A、152B、152N上的控制平面负担。
为了说明,参考图2B,可以在公有云104上动态地部署新数据平面路由器202,以适应针对VPC 154N的流量或带宽需求的增加。新数据平面路由器202可以例如是虚拟或物理云路由器或网关,例如虚拟网关(vGW)或CSR路由器。此外,新数据平面路由器202可以被分配用于处置与VPC 154N相关联的数据流量,以便适应针对VPC 154N的流量或带宽需求的增加。
在一些情况下,这可以通过由控制平面路由器140N传送到本地部署站点102(和/或MSC 110)的下一跳变更204来实现。例如,为了将新数据平面路由器202的地址传送到本地部署站点102并将与VPC 154N相关联的流量的下一跳变更为包括新数据平面路由器202,控制平面路由器140N可以与本地部署站点102建立BGP会话,并向本地部署站点102发送更新消息。该更新消息可以包括将新数据平面路由器202的地址标识为到VPC 154N中的目的地的下一跳的下一跳属性。更新消息可以使本地部署站点102上的一个或多个BGP发言者接收下一跳变更204,并更新与公有云104上的VPC 154N相关联的BGP路由(例如,用包括新数据平面路由器202的地址的新BGP路由填充一个或多个BGP表)。
在另一示例中,如果新的VPC部署在公有云104上,则一个或多个数据平面路由器可以动态地部署在公有云104上,以处置与新的VPC相关联的数据流量。控制平面路由器140A和/或140N可以类似地执行下一跳变更,以将与新VPC相关联的一个或多个BGP路由传送到本地部署站点102,该一个或多个BGP路由可以将一个或多个数据平面路由器标识为到新的VPC中的目的地的下一跳。
图3图示了多云基础结构100中的示例策略标准化用例300。在该示例中,新的EPG302被配置在本地部署站点102上,并被控制器112传播到本地部署站点102的基础结构。本地部署站点102中的路由器或交换机(例如,120、122)可以将新的EPG 302转换为ACL(访问控制列表)规则,这些ACL规则可以由这些路由器或交换机来执行。
由于该示例中的公有云104和106不支持EPG策略构造,因此新的EPG 302可以被转换为被公有云104和106支持的策略构造,并在公有云104和106中实现为转换后的策略构建。例如,假设公有云104是支持安全组而不是EPG的AWS云,并且公有云106是支持应用安全组或网络安全组而不是EPG的Azure云。那么,MSC 110可以将新的EPG 302转换为安全组304以用于公有云104以及转换为应用安全组306(或网络安全组)以用于公有云106。MSC 110然后可以将安全组304传播到公有云104并且将应用安全组306传播到公有云106。
公有云104可以接收安全组304(例如,通过云控制器114)并实现安全组304,该安全组304是新的EPG 302的镜像并且标准化其相关联的策略,以适应公有云104的环境和要求。类似地,公有云106可以接收应用安全组306(例如,经由云控制器116),并实现应用安全组306,该应用安全组306也是新的EPG 302的镜像并标准化其相关联的策略,以适应公有云106的环境和要求。这样,尽管公有云104和106不支持EPG策略构造,但与新EPG 302相关联的策略可以扩展到公有云104和106,以在多云基础结构100中提供一致的策略视图。
安全组304和应用安全组306可以反映新的EPG 302中的策略。为了将流量匹配到安全组304和应用安全组306并因此将安全组304和应用安全组306中的策略应用于该流量,可以基于一个或多个分类方案将流量分类并匹配到安全组304和应用安全组306。例如,在本地部署站点102中,与新的EPG 302相关联的流量可以通过IP地址、IP前缀或诸如端口和VLAN的分组属性的组合来分类。另一方面,在公有云104和106中,与安全组304和应用安全组306(以及因此新的EPG 302)相关联的流量可以基于例如VM标签、IP地址、端点属性、标签(例如,安全组标签)等来分类。
通过本文的策略标准化,多云基础结构100中的站点间流量可以被分类为属于新的EPG 302、安全组304或应用安全组306,并且基于新的EPG 302的一致的策略应用可以横跨多云基础结构100中的站点(102、104、106)应用于该流量。
虽然图3示出的是EPG的标准化,但是应当注意,可以类似地对其他策略构造执行标准化。例如,本地部署站点102中的VRF可以被转换为VPC以用于公有云104并且被转化为VNET以用于公有云106,并且转换后的VPC和VNET可以分别在公有云104和公有云106处被传播和实现。
此外,无论何时在本地部署站点102、公有云104或公有云106内发现端点,均可以对与该端点相关联的流量应用相同的EPG策略集合,而不管端点所在的基础结构支持什么样的策略模型和要求。当本地部署站点102中的EPG与公有云104和106中的任何一者上的另一个EPG(或安全组或应用安全组)之间存在合约策略时,情况也是如此。这种无缝策略部署可以由MSC 110结合本地部署站点102APIC中的控制器112以及公有云104和106中的云控制器114和116两者来编排。策略部署可以涉及将所发现的端点的细节转换到多云基础结构100中的各个站点,用于所发现的端点与不同站点上的其他端点之间的流量的本地策略应用。
在许多云环境中,IP地址可用于分类和实现策略标准化。然而,站点(例如,本地部署站点102、公有云104和公有云106)之间的此类基于IP的策略标准化可能具有挑战性,因为可以动态地发现端点并且IP地址可以随时间改变。因此,EPG的分类可能会随着时间的推移而改变,从而很难甚至不可能通过用户配置来预提供此类EPG策略。
为了应对这些挑战,可以实施各种策略,例如横跨站点延伸EPG或横跨站点做出EPG和/或合约的镜像。图4A和4B图示了用于策略标准化的不同用例示例,包括图4A中所图示的示例EPG-延伸用例400和图4B中所图示的示例EPG合约用例420。
参考图4A,在示例EPG-延伸用例400中,EPG 130可以在本地部署站点102与公有云104(和/或公有云106)之间延伸,导致云EPG 402表示延伸的EPG 130。这意味着本地部署站点102中的EPG 130和公有云104中的云EPG 402是同一个。流量可以在它们之间流动,而无需任何合约建立。
为了使来自公有云104中的EP的分组被分类为云EPG 402的一部分,MSC 110可以在本地部署站点中的部署作为云EPG 402的影子的影子云EPG 406和在公有云104中部署作为EPG 130的影子的本地部署EPG 408。例如,影子云EPG 406和影子本地部署EPG 408可以将EP描述为IP地址、前缀或子网。本地部署站点102可以使用该信息来了解如何对来自EP的分组进行分类并确定将哪些策略应用于该分组。由于EP的IP地址可能是动态的,因此用于将EP分类为延伸EPG的一部分的该IP信息可以在本地部署站点102与公有云104之间动态地交换。该交换可以使用例如Kafka总线等由MSC 110、控制器112和云控制器114来编排。
EP检测方案可以位于EP所在站点的本地。例如,在本地部署站点102中,EP检测可以基于数据平面学习,而在公有云104中,EP检测可以基于通过云原生服务(例如AWS情况下为AWS Config服务)检测到的EP配置事件(例如,VM配置事件)。检测到的EP然后被映射到EPG(例如,EPG 130)并在共同对象层次结构中表示。随着对层次结构的更改(例如,EP加入、离开、移动等),更改可以反映到其他站点上。
在本地部署站点102中,此类EP由它们相应的EPG表示。在其他站点(例如,公有云104和106)中,此类EP可以表示为External(或)L3Out EPG(在思科的ACI术语中)等。因此,在EPG延伸用例400中,可以通过将EPG 130延伸到公有云104并在本地部署站点102和公有云104中创建影子EPG(例如,406和408)来实现策略标准化。还可以为对应于延伸EPG(例如,130和402)和影子EPG(例如,406和408)的流量配置允许所有合约(allow all contract)404。共同地,允许所有合约404、延伸EPG(例如,130和402)和影子EPG(例如,406和408)可以跨越站点102和104实现策略标准化。站点之间的IP的信息的动态交换可以实现基于IP的标准化,即使在动态或变化的IP地址的情况下。
虽然仅在本地部署站点102与公有云104之间示出了EPG扩展用例400,但应当注意,可以实施相同的原理以将EPG延伸到多云基础结构100中的任何其他站点(例如公有云106),并且横跨多云基础结构100中所有站点对策略进行标准化。
图4B图示了用于策略标准化的示例EPG合约用例420。在该示例中,在本地部署站点102和公有云104中实现了两个独立的EPG:EPG 130在本地部署站点102中实现并且云EPG422在公有云104中实现。EPG 130和云EPG 422通过它们之间的合约424来实现。
当不同站点中的两个EPG之间存在合约时,MSC 110可以在不同站点上创建相应的影子或镜像EPG,并且可以使用IP地址对所发现的EP进行分类,如前所述。因此,在该示例中,MSC 110可以在本地部署站点102中创建影子云EPG 426,并在公有云104中创建影子本地部署EPG 428。影子云EPG 426可作为公有云104中的云EPG 422的镜像,并且影子本地部署EPG 428可作为本地部署站点102中的EPG 130的镜像。
MSC 110还可以在公有云104和本地部署站点102上创建影子合约430。影子合约430可作为本地部署站点102中的EPG 130与公有云104中的云EPG 422之间的合约424的镜像。本地部署站点102和公有云104可以将影子合约430应用于影子EPG(例如,426和428)。例如,当本地部署站点102从公有云104中的端点接收到与影子云EPG 426匹配的流量时,本地部署站点102可以将影子云EPG 426和合约430应用于该流量。类似地,当公有云104从本地部署站点102中的端点接收到与影子本地部署EPG 428匹配的流量时,公有云104可以将影子本地部署EPG 426和合约430应用于该流量。这样,与本地部署站点102中的EPG 130相关联的策略横跨本地部署站点102和公有云104被标准化。这样的技术还可应用于对公有云106和/或任何其他站点中的策略进行标准化,以横跨多云基础结构100中站点获得一致策略视图或应用。
如前所述,云提供商在许多情况下施加各种资源限制和策略约束,这些资源限制和策略约束可能会限制在诸如多云基础结构100之类的混合环境中实现的资源和策略的规模。例如,公有云104和/或公有云106可能具有显著的资源限制和策略约束,这些资源限制和策略约束可能会限制来自本地部署站点102的策略横跨多云基础结构100被部署到公有云104和公有云106。为了实现横跨多云基础结构100的无缝策略扩展,本文的技术可以实现用于横跨多云基础结构100中的站点(102、104、106)匹配策略规模的规划。例如,如果本地部署站点102支持比公有云104和公有云106更大的策略规模,则本文的规划可以横跨公有云104和公有云106匹配本地部署站点102的策略规模。
为了克服由不同云提供商施加的此类限制或约束,可以实现用于策略缩放的示例方案,该示例方案使用云原生策略支持和公有云104和106中的定制策略代理支持集群的组合。在一些方面,可以将安全策略部署在具有云策略代理支持的云路由器(例如CSR路由器)上,从而克服云提供商施加的各种限制。这样的云路由器的规模可能非常大,从而横跨不同的云提供商提供增加的规模。
在一些实现方式中,由本地部署站点102实现的策略构造(例如,ACI策略构造)可以被转换为云原生策略(例如AWS(例如,公有云104)中的安全组(例如,160A、160B、160N)和Azure(例如公有云106)中的应用或网络安全组(例如180A、180B、180N))和定制路由器策略(例如,EPG可以被转换为源组标签(SGT)和到云路由器中的ACL中的合约)。
此外,在公有云104和106中实现的策略可以被分发,以用于横跨具有云策略代理支持的云路由器集群的更大的缩放性。云路由器集群可以将策略应用于与分配或映射到集群中不同云路由器的相应EP或寻址空间(例如,VPC、VNET等)相关联的流量。
图5图示了到公有云104中的云路由器506A、506B、506N的集群504的策略的示例性分布500。策略可以遍历云路由器506A、506B、506N的集群504被分布用于缩放性,和/或确保公有云104中的流量处理和公有云104中的策略实现遍历相应子组云路由器被分布。例如,可以将相应子组策略分发到相应子组云路由器506A、506B、506N,以减少由云路由器506A、506B、506N中的每一个实现的策略总量,从而增加可以遍历云路由器506A、506B、506N的集群504而实现的策略总量。此外,相应子组的云路由器506A、506B、506N可以被配置为存储用于与相应子组策略相关联的目的站(例如,端点、VPC等)和/或与相应子组策略相关联的流量的路由条目。
云路由器506A、506B、506N可以包括任何虚拟路由器或云路由器,例如CSRlkV路由器。在一些情况下,云路由器506A、506B、506N可以是与数据平面路由器152A、152B、152N相同的路由器(例如,与单独的路由器相对)。换言之,云路由器506A、506B、506N的功能和行为可以在数据平面路由器152、152、152中实现。在其他情况下,除了或代替数据平面路由器152A、152B、152N,云路由器506A、506B、506N可以是在公有云104上实现的单独路由器。此外,云路由器506A、506B、506N可以实现被配置为应用如本文所述的策略的策略代理。在一些情况下,云路由器506A、506B、506N可以被配置为VPC 502的一部分,VPC 502被配置为在VPC 502与VPC 154A、154B和154N之间的中心辐射型拓扑中的集线器。
在该示例中,基于与策略相关联的目的站VPC(154A、154B和/或154N),策略被分发到集群504中的特定云路由器(506A、506B、506N)。然而,在其他示例中,可以基于其他方案来执行路由的分发。例如,可以基于源VPC、源和目的站VPC、源和/或目的站VRF、子网、带宽等分发路由。
基于用于分发500的示例性方案,在云路由器506A处实现与将VPC 154B作为其目的站的流量相关联的策略508。另一方面,在云路由器506B处实现与将VPC 154N作为其目的站的流量相关联的策略510。因此,只有集群504中的特定云路由器—或一子组云路由器—可以实现用于给定流量的策略。这导致缩放性增加,因为不必在集群504中的所有云路由器(506A、506B、506N)上安装或实现每组策略。
通过该设计,集群504中的云路由器506A、506B、506N的组合可以成为虚拟实体,该虚拟实体在其集群(例如,504)中具有n个策略代理,该n个策略代理能够遍历在公有云104中的端点(例如,EP 158、164、168)应用策略。集群504可以在必要时通过添加或移除策略代理(例如,云路由器)而在大小上增长和缩小。
然而,如果集群504中只有一子组的云路由器506A、506B、506N具有给定流量的必要策略,则流量需要相应地路由,以通过适当的云路由器。虽然所有策略代理(例如,云路由器506A、506B、506N)可能具有到达所有可能目的站的路由,但每个策略代理可能基于策略代理携带的策略来仅仅通告特定一组的路由。这可以通过使用路由控制例如使用BGP(边界网关协议)路由图来实现,如下面参考图6进一步描述的。
因此,当VPC 154A上的虚拟网关156接收从VPC 154A上的端点158到VPC 154B上的端点164的流512时,虚拟网关156将流512发送到VPC 502上的云路由器506A,该云路由器506A包含用于发往VPC 154B的流量的策略。云路由器506A接收流512,并且将来自发往VPC154B的流量的策略508的一个或多个策略应用于流512。云路由器506A因此获得流512,并且在将流512发送到VPC 154B上的云路由器162之前对流512应用必要的策略。在一些情况下,云路由器506A可以基于映射到VPC 154B上的端点164的流512中的SGT或IP地址来识别来自策略508的哪些特定策略对应于流512。
另一方面,当VPC 154A上的虚拟网关156接收从VPC 154A上的端点158到VPC 154C上的端点168的流514时,虚拟网关156将流514发送到VPC 502上的云路由器506B,该云路由器506B包含用于发往VPC 154C的流量的策略。云路由器506B接收流514,并且应用来自发往VPC 154C的流量的策略510的一个或多个策略。云路由器506B因此获得流514,并且在将流514发送到VPC 154C上的云路由器166之前将必要的策略应用于流514。在一些情况下,云路由器506B可以基于映射到VPC 154C上的端点168的流514中的SGT或IP地址来识别对应于流514的特定策略。
图6示出了由集群504中的云路由器506A、506B、506N进行的示例路由分发600,用于确保流量由集群504中包含该流量的策略的适当的云路由器(例如,策略代理)来处理。在该示例中,通告602表示VPC 154B的CIDR(无类别域间路由)的通告(例如,通过BGP),通告604表示VPC 154N的CIDR的通告(例如,通过BGP)。路由图606表示用于停止VPC 154B的CIDR的通告602的路由图,并且路由图608表示用于停止VPC 154N的CIDR的通告604的路由图。路由图606、608可以实质上告诉BGP避免通告某些路由(例如,VPC 154B的CIDR、VPC 154C的CIDR)。这样,路由图606、608可以防止某些云路由器506A、506B、506N向VPC 154A、154B、154N(例如,向路由器156、162、166)发送某些BGP通告,以确保那些VPC不将某些目的站的流量发送到某些不具有用于这些目的站的策略的云路由器(506A、506B、506N)。因此,利用路由图606、608,云路由器506A、506B、506N可以确保它们只接收来自它们对其具有策略的VPC(例如,154A、154B、154N)的流量。
在图6中,云路由器506A承载用于去往VPC 154B的流量的策略,但不承载用于去往VPC 154N的流量的策略。因此,云路由器506A可以将通告602发送到VPC 154A上的虚拟网关156,从而将VPC 154B的CIDR通告给虚拟网关156,使得从虚拟网关156发送到VPC 154B的流量通过云路由器506A而不是云路由器506B或506N。此外,云路由器506A实现路由图608以阻止云路由器506A通告VPC 154N的CIDR。通告602和路由图608因此将确保云路由器506A通告VPC 154B的CIDR而不通告VPC 154N的CIDR,以允许云路由器506A接收并处理到VPC 154B的流量,同时确保到VPC 154N的流量不被发送到云路由器506A。
另一方面,云路由器506B承载针对去往VPC 154N的流量的策略,但不承载针对去往VPC 154B的流量的策略。因此,云路由器506B可以将通告604发送到VPC 154A上的虚拟网关156,将VPC 154N的CIDR通告给虚拟网关156,使得从虚拟网关156发送到VPC 154N的流量通过云路由器506B而不是云路由器506A或506N。此外,云路由器506B实现路由图606以阻止云路由器506B通告VPC 154B的CIDR。通告604和路由图606因此将确保云路由器506B通告VPC 154N的CIDR而不通告VPC 154B的CIDR,以允许云路由器506B接收并处理到VPC 154N的流量,同时确保到VPC 154B的流量不被发送到云路由器506B。
云路由器506N不承载针对去往VPC 154B或VPC 154N的流量的策略。因此,云路由器506N不向VPC 154A、154B、154N(或路由器156、162、166)中的任何一个发送通告602或604。为此,云路由器506N可以实现路由图606和路由图608两者,以防止云路由器506N针对VPC 154B的CIDR和VPC 154N的CIDR发送通告602或604。
如上所述,使用通告602和604以及路由图606和608允许跨集群504中的云路由器506A、506B、506N分发策略,同时确保来自VPC 154A-N的流量被路由通过集群504中承载针对该流量的策略的云路由器或云路由器的子集。
一旦路由被如上所述定制,就确保了流量将命中为该流量的目的地VPC服务的指定云路由器或指定云路由器子集。因此,可以在两个云路由器(例如,策略代理)中对与一对实体(例如两个VPC(或)两个EPG)相关联的策略进行编程,例如,每个路由器服务于目的地VPC或EPG中的一者。
注意,来自一个VPC的流量可取决于目的地VPC而命中云路由器506A、506B、506N的任何一个。为了允许源路由检查,所有云路由器506A、506B、506N可以学习路由,但仅一个(或子集)云路由器可以将给定路由分发给其他VPC。源路由检查对于防止VPC内的恶意端点跨越交谈是有用的。这提供了仅在云路由器的出口接口上应用某些策略的灵活性。在一些情况下,仅在出口接口上应用策略有助于扩大规模。例如,为了使VPC 154A和VPC 154B能够在端口443上与VPC 154N交谈,如果应用于入口隧道接口,则需要2条规则,而如果应用于出口接口,则只需要一条规则。此外,在没有源路由检查的情况下,可以允许VPC子网SI(在本示例中为共享子网)跨VPC交谈,而S2(在本示例中是严格专有的子网)不允许与其他VPC跨越交谈。
如本文所示,这些方法允许在集群504中的云路由器506A、506B、506N上弹性缩放策略,从而绕过原生云资源限制,例如AWS的250规则限制。此外,除了前述之外,为了更高的安全性,还可以在公有云104上的端点158、164、168处实现某些安全策略。这可为其中可能不使用外部云路由器的VPC(例如,VPC 154A、VPC 154B、VPC 154N)内的端点通信提供白名单策略模型,以防止来自VPC内其他端点、来自互联网或来自其他VPC的恶意流量。在主机实例上提供安全策略的云中的安全模型在端点保护方面是细粒度安全方法,并且不应受到损害。以下提议的方案可以通过对端点处的规则数量的最少增加来实现,同时通过云路由器506A、506B、506N提供缩放。
端点158、164、168处的安全规则可以处置针对VPC CIDR内的流量(即,未命中集线器VPC 502的流量)的安全组(例如,160A、160B、160N)规则,以及处置来自集群504中云路由器的来自VPC外部的流量的最的一组IP规则。这些规则可以基于一个或多个路由聚合方案。使用白名单模型,在没有这些规则的情况下,来自VPC外部的流量可会被丢弃。同时,不需要更细粒度的策略,因为这些策略可以应用在朝向端点的流量路径中的云路由器中。
已经描述了示例系统和概念,本公开现在转向图7中所示的方法。本文概述的步骤是示例,并且可以以其任何组合实现,包括排除、添加或修改某些步骤的组合。
在步骤702处,该方法可以包括在多云基础结构中(例如,100)的云站点(例如,104)上部署控制平面路由器(例如,140A、140N)的集合和多个数据平面路由器(例如,152A、152B、152N)。如图1A和1B所示,多云基础结构(例如,104)可以包括本地部署站点(例如,102)和一个或多个云站点(例如,104、106)。多个数据平面路由器(例如,152A、152B、152N)可以被配置为处置与云站点(例如,104)相关联的数据平面流量。此外,控制平面路由器(例如,140A、140N)的集合可以被配置为处置与云站点(例如,104)相关联的控制平面流量,并与本地部署站点(例如,102)交换路由信息。路由信息可以包括控制平面数据,例如多个路由、路由或跳变更(例如204)、BGP或EVPN BGP数据等。
在一些情况下,控制平面路由器(例如,140A、140N)的集合可以包括用于每个远程站点(例如,102、106)的多个控制平面路由器。例如,在一些实现中,控制平面路由器(例如,140A、140N)的集合可以包括用于每个远程站点的两个控制平面路由器。多个(例如,两个或更多个)控制平面路由器可以提供控制平面冗余性,并且可以用于与多云基础结构(例如,100)中的远程站点(例如,102、106)和/或网络设备(例如多云基础结构中的基础结构控制器(例如,110、112、114、116))建立控制平面会话(例如,BGP会话),并交换路由信息。
在步骤704处,该方法可以包括:将来自多个数据平面路由器(例如,152A、152B、152N)的不同的数据平面路由器集合分配给与云站点中的不同地址空间(例如,104)相关联的数据平面流量,以产生数据平面流量和数据平面路由器的分布式映射。例如,多个数据平面路由器(例如,152A、152B、152N)的不同子集合(例如,一个或多个)可以与和不同地址空间(或在不同地址空间中的路由设备)相关联的数据平面流量相关联或被配置为对该数据平面流量进行处置。不同地址空间可以包括例如不同VPC(例如154A、154B、154N)、不同VNET(例如178A、178B、178N)、不同VRF(例如136A、136B、136N)、不同路由和转发或网络上下文、不同专有网络、不同虚拟网络、不同子网、不同网段或区域,等等。
分配给与不同地址空间相关联的数据平面流量(或分配给不同地址空间)的不同的数据平面路由器集合的每个数据平面路由器可以被配置为处理分配给特定的数据平面路由器集合的特定数据平面流量。例如,数据平面路由器152A可以被分配给VPC 154A和/或其相关联的数据平面流量,并且被配置为处理针对VPC 154A的数据平面流量。类似地,数据平面路由器152B可以被分配给VPC 154B和/或其相关联的数据平面流量,并且被配置为处理针对VPC 154B的数据平面流量,并且数据平面路由器152N可以被分配给VPC 154N和/或其相关联的数据平面流量,并配置为处理针对VPC 154N的数据平面流量。以此方式,在不同的数据平面路由器(例如,152A、152B、152N)之间分发对与VPC 154A、154B和154N相关联的数据平面流量的处理,从而增加了缩放性。
在步骤706处,该方法可以包括:向本地部署站点(例如,102)提供来自控制平面路由器(例如,140A、140N)的集合中的一个控制平面路由器的路由条目,这些路由条目反映数据平面流量和数据平面路由器的分布式映射,并且这些路由条目针对每个地址空间标识由不同数据平面路由器集合中的哪个数据平面路由器集合来处置针对该地址空间的数据平面流量。例如,控制平面路由器140A可以与本地部署站点(例如,102)和/或云控制器(例如,控制器112或多站点云控制器110)建立控制平面会话(例如BGP或EVPN BGP会话),以向本地部署站点(例如,102)提供路由条目。路由条目可以包括用于到云站点(例如,104)的数据平面流量的路由。例如,路由条目可以包括到VPC 154A、154B、154N的数据平面流量的路由或跳和/或网络设备,该网络设备被配置为处理与VPC 154A、154B、154N(例如路由器156、162、166)相关联的流量。在一些情况下,路由条目可以包括其他路由或控制会话信息(例如下一跳变更或更新、BGP属性,等等)。
在步骤708处,该方法可以包括:基于云站点(例如,104)处的一个或多个状况,在云站点(例如,104)处部署一个或多个数据平面路由器(例如,202),这些数据平面路由器被配置为处置针对与云站点(例如,104)相关联的特定地址空间的数据平面流量。例如,基于一个或多个状况,数据平面路由器(例如,202)可以被部署在云站点(例如,104)处,以处置或处理与VPC 154N、VPC 154N中的路由器166、和/或VPC 154N中的任何元件(例如,EP 168)相关联的数据平面流量。一个或多个状况可以包括例如过载状况、带宽需求、达到最小阈值的可用带宽、低于阈值的性能、对额外路由能力的需要、违反服务要求,等等。例如,可以设置最小带宽阈值或最大负载阈值,这些阈值触发对一个或多个额外数据平面路由器的部署,以增加用于与VPC 154N相关联的数据平面流量的路由能力和可用带宽。通过这种方式,云站点(例如104)中数据平面流量的路由能力可以是弹性/可缩放的,并且可以根据需要动态调整。
在步骤710处,该方法可以包括:向本地部署站点(例如,102)提供来自控制平面路由器集合中的一个控制平面路由器的经更新的路由信息,其(该更新的路由信息)将一个或多个数据平面路由器(例如,在步骤708处部署的数据平面路由器202)标识为与特定地址空间相关联的数据平面流量的下一跳。经更新的路由信息可以包括下一跳变更(例如,204),该下一跳变更将在步骤708处部署的一个或多个数据平面路由器(例如,202)标识为用于到特定地址空间(例如,VPC 154N、路由器166、EP 168等)的数据平面流量的下一跳或数据平面路由器。本地部署站点(例如,102)可以使用经更新的路由信息来更新路由或路由表,以将一个或多个数据平面路由器标识为用于到特定地址空间的数据平面流量的跳。在一些情况下,该方法还可以包括:将经更新的路由信息提供给多云基础结构(例如,100)中的其他设备或站点(例如,公有云106、多站点控制器110等),以将一个或多个数据平面路由器(例如,202)标识为用于与特定地址空间相关联的数据平面流量的下一跳或跳,并向那些接收者通知一个或多个数据平面路由器(例如,202)被配置为处置与特定地址空间相关联的数据平面流量的路由信息。
在一些情况下,该方法可以包括:对一个或多个云站点(例如,104、106)中的相应类型的专有网络构造(例如,VPC或VNET)进行转换,以匹配与本地部署站点(例如,102)中的特定类型的专有网络构造(例如,VRF)相关联的策略和/或配置设定集合,以产生横跨多云基础结构(例如,100)的标准化专有网络,以及通过标准化专有网络在本地部署站点(例如,102)和一个或多个云站点(例如,104和106)之间提供互连。在一些情况下,然后可以使用标准化专有网络对多云基础结构(例如100)中的站点间流量进行路由。
在一些方面,该方法可以包括通过以下操作来横跨多云基础结构(例如,100)对多个策略构造(例如,EPG 130-134、安全组160A-N、应用安全组180A-N等)进行标准化:将本地部署站点(例如,102)中的策略构造(例如,EPG、VRF等)映射到一个或多个云站点(例如,104、106)中的相应策略构造(例如,安全组、应用安全组、VPC、VNET等),其中,本地部署站点(例如,102)中的策略构造是与一个或多个云站点(例如,104、106)中的相应策略构造不同类型的策略构造;对来自相应策略构造的每个策略构造进行转换,以做出来自本地部署站点(例如,104)的策略构造中映射到相应策略构造中的该策略构造的相应一个策略构造的镜像(例如,将EPG 302转换为安全组304A和应用安全组304B);以及,响应于接收到与相应策略构造的该策略构造(例如,来自公有云104和/或公有云106的策略构造)和来自本地部署站点(例如,102)的策略构造中映射到相应策略构造中的该策略构造的相应一个策略构造中的至少一者中的一个或多个端点相关联的流量,将与相应策略构造中的该策略构造和来自本地部署站点的策略构造中的相应一个策略构造相关联的策略应用于流量。
例如,本地部署站点102中的EPG 130可以映射到公有云104中的安全组160A和公有云106中的应用安全组180A。然后,可以对公有云104中的安全组160A和公有云106中的应用安全组180A进行转换,以做出EPG 130的镜像(例如,将相同的策略应用于相同类型的流量和/或目的地)。如果公有云104或公有云106随后接收到与EPG 130和/或与EPG 130相关联的端点相关联的流量,则公有云104或公有云106可以将流量分类为与EPG 130(或作为EPG 130的镜像的转换后的安全组)相关联,并使用转换后的安全组或应用安全组来应用与EPG 130相关联的策略。
在一些方面,横跨多云基础结构(例如,100)对多个策略构造进行标准化可以通过将本地部署站点(例如,102)中的策略构造延伸到其他云站点(例如,104、106)来实现。例如,在一些情况下,该方法可以涉及将策略构造(例如,EPG 130、EPG 132、EPG 134、VRF136A、VRF 136B、VRF 136N等)从本地部署站点(例如,102)延伸到一个或多个云站点(例如,104、106),以在一个或多个云站点中的每个云站点上产生延伸策略构造(例如,402)。每个云站点中的延伸策略构造可以是来自本地部署站点(例如102)的策略构造的镜像。
继续该示例,该方法可以包括:针对一个或多个云站点(例如,104、106)中映射到延伸策略构造(例如,402)的每个端点(例如,EP 158、164、168、184、188、192),向本地部署站点(例如,102)提供该端点的地址(例如,IP地址、IP前缀、子网等);将该端点的地址映射到本地部署站点(例如,102)上的影子策略构造(例如,406),该影子策略是一个或多个云站点(例如,104、106)中的每个云站点上的延伸策略构造(例如,402)的镜像;以及针对来自本地部署站点(例如,102)的策略构造中的每个端点,将该端点映射到一个或多个云站点(例如,104、106)中的每个云站点上的相应影子策略构造。相应影子策略构造可以是来自本地部署站点(例如,102)的策略构造的镜像。以此方式,本地部署站点(例如,102)中的一个或多个策略构造(例如EPG或VRF)可以横跨一个或多个云站点(例如,104、106)被标准化。在一些情况下,与一个或多个云站点(例如,104、106)相关的本地部署站点(例如,102)中的所有策略构造或本地部署站点(例如,102)中的所有策略构造可以横跨多云基础结构(例如,100)被标准化,以维持基于本地部署站点(例如,102)处的策略模型的统一的或一致的策略模型或策略应用。
在一些方面,横跨多云基础结构(例如,100)对多个策略构造进行标准化可以通过使用多云基础结构(例如,100)中不同站点上的策略构造之间的合约或策略来实现。例如,在一些情况下,该方法可以包括:基于本地部署站点(例如,102)中的策略构造(例如,EPG130),在一个或多个云站点(例如,104、106)的每个云站点上创建相关联的策略构造(例如,422);以及建立安全策略(例如,424),用于本地部署站点(例如,102)中的策略构造(例如,EPG 130)与一个或多个云站点(例如,104、106)中的每个云站点上的相关联的策略构造(例如,422)之间的流量。该方法还可以包括:针对一个或多个云站点(例如,104、106)中的每个云站点上的每个相关联的策略构造(例如,422),在本地部署站点(例如,102)上提供作为该相关联的策略构造(例如,422)的镜像的影子策略构造(例如,426);以及针对本地部署站点(例如,102)中的策略构造(例如,EPG 130),在一个或多个云站点(例如,104、106)中的每个云站点上提供作为本地部署站点(例如,102)中的该策略构造(例如,EPG 130)的镜像的影子策略构造(例如,428)。
该方法还可以包括:针对一个或多个云站点(例如,104、106)中映射到相关联的策略构造(例如,422)的每个端点(例如,158、164、168、184、188、192),向本地部署站点(例如,102)提供该端点的地址(例如,IP地址、IP前缀、子网等);基于每个端点的地址,将一个或多个云站点(例如,104、106)中的每个端点映射到在本地部署站点(例如,102)上提供的影子策略构造(例如,426);以及将本地部署站点(例如,102)中的策略构造(例如,EPG 130)中的每个端点映射到一个或多个云站点(例如,104、106)中的每个云站点上的影子策略构造(例如,428)。
在一些情况下,该方法可以包括:将在多云基础结构(例如,100)中发现的其他端点映射到相关的标准化策略构造。例如,该方法可以包括:响应于发现云站点(例如,104或106)中的新端点,向本地部署站点(例如,102)提供该新端点的地址;以及基于新端点的地址,将新端点映射到本地部署站点(例如,102)上提供的影子策略构造(例如,426)。通过这种方式,新发现的端点可以被映射到多云基础结构(例如,100)中的相关策略构造,以横跨多云基础结构(例如,100)对用于新发现的端点的策略进行标准化。由于该端点的地址在一些情况下可以是动态的或者是被动态地分配的,因此托管该端点的站点可以将该端点的地址报告给其他站点(例如本地部署站点(例如102)),因此可以使用该端点的地址来将该端点映射到其他站点和/或横跨多云基础结构(例如,100)的特定策略构造。
在一些方面,该方法可以包括:在云站点中的多个数据平面路由器(例如,506A-N)之间分发与云站点(例如,104或106)中的端点相关联的安全策略(例如,508、510),其中,每个数据平面路由器接收与云站点中映射到该数据平面路由器的端点集合相关联的相应安全策略子集。该方法还可以包括:通过云站点中的多个数据平面路由器(例如,506A-N)中的每个数据平面路由器,向云站点(例如,104或106)中的包含该端点集合中的如下一个或多个端点的每个专有或虚拟网络(例如,154A-N或178A-N)通告与该端点集合相关联的相应路由集合(例如,512或514):该一个或多个端点映射到该数据平面路由器,或者映射到被配置为处置与云站点(例如,104或106)中的专有网络或虚拟网络(例如,154A-N或178A-N)相关联的流量的每个相应路由器(例如,156、162、166、182、186或190)。
该方法还可以包括:基于边界网关协议(BGP)路由图(例如,606、608),防止云站点中的多个数据平面路由器(例如,506A-N)中的每个数据平面路由器通告与云站点中的端点中未映射到该数据平面路由器的那些端点相关联的路由;以及响应于接收到与端点集合中的一个或多个端点相关联的流量,通过映射到该端点集合的一个或多个端点的数据平面路由器,将与该端点集合相关联的相应安全策略子集中的一个或多个安全策略应用到与该端点集合中的一个或多个端点相关联的所接收到的流量。
本公开现在转向图8和图9,它们图示了示例网络设备和计算设备,例如交换机、路由器、客户端设备、端点和服务器等。
图8图示了适合于实现策略代理并执行交换、路由和其他联网操作的示例网络设备800。网络设备800包括中央处理单元(CPU)804、接口802和连接810(例如,PCI总线)。CPU804当在适当的软件或固件的控制下进行动作时,其负责执行分组管理、错误检测和/或路由功能。CPU 804优选地在包括操作系统和任何适当的应用软件的软件的控制下履行所有这些功能。CPU 804可以包括一个或多个处理器808,诸如来自INTEL X86系列微处理器的处理器。在一些情况下,处理器808可以是用于控制网络设备800的操作的专门地设计的硬件。在一些情况下,存储器806(例如,非易失性RAM、ROM等)也形成CPU 804的一部分。然而,存在能将存储器耦合到系统的许多不同方式。
接口802通常作为模块化接口卡(有时称为“线卡”)被提供。通常,它们控制数据分组在网络上的发送和接收并且有时支持与网络设备800一起使用的其他外围设备。可以提供的接口包括以太网接口、帧中继接口、电缆接口、DSL接口、令牌环接口等。另外,可以提供各种甚高速接口,诸如快速令牌环接口、无线接口、以太网接口、千兆以太网接口、ATM接口、HSSI接口、POS接口、FDDI接口、WIFI接口、3G/4G/5G蜂窝接口、CAN总线、LoRA等。通常,这些接口可以包括适于与适当的媒体通信的端口。在一些情况下,它们还可以包括独立处理器,并且在一些情况下,包括易失性RAM。独立处理器可以控制如分组交换、介质控制、信号处理、密码处理和管理这样的通信密集型任务。通过为通信密集任务提供单独的处理器,这些接口允许主微处理器804高效地执行路由计算、网络诊断、安全功能等。
尽管图8所示的系统是本技术的一个具体网络设备,但是它绝不意指可在上面实现本技术的唯一网络设备架构。例如,常常使用具有处置通信以及路由计算等的单个处理器的架构。进一步地,其他类型的接口和介质也能与网络设备800一起使用。
不管网络设备的配置如何,它都可以采用被配置为存储用于本文描述的漫游、路由优化和路由功能的通用网络操作和机制的程序指令的一个或多个存储器或存储模块(包括存储器806)。例如,程序指令可以控制操作系统和/或一个或多个应用的操作。一个或多个存储器还可以被配置为存储诸如移动性绑定、注册和关联表的表等。存储器806还能保持各种软件容器及虚拟化执行环境和数据。
网络设备800还可包括专有集成电路(ASIC)812,该ASIC 812可被配置为执行路由和/或交换操作。例如,ASIC 812可通过连接810与网络设备800中的其他组件进行通信,以交换数据和信号并协调由网络设备800进行的各种类型的操作,诸如路由、交换和/或数据存储操作。
图9图示了计算系统架构900,其中系统的组件使用诸如总线之类的连接905彼此电通信。示例性系统900包括处理单元(CPU或处理器)910和系统连接905,该系统连接905将包括诸如只读存储器(ROM)920和随机存取存储器(RAM)925之类的系统存储器915的各种系统组件耦合到处理器910。系统900可包括与处理器910的一部分直接连接、与处理器910的一部分极为靠近或作为处理器910的一部分集成的高速存储器的缓存。系统900可将数据从存储器915和/或存储设备930复制到缓存912以供由处理器910快速访问。以这种方式,缓存可提供性能提升,这避免处理器910在等待数据时的延迟。这些和其他模块可控制或被配置为控制处理器910以执行各种动作。其他系统存储器915也可以供使用。存储器915可包括具有不同性能特性的多种不同类型的存储器。处理器910可包括任何通用处理器和硬件或被配置为控制处理器910以及将软件指令并入到实际处理器设计中的专用处理器的软件服务,诸如存储在存储设备930中的服务1 932、服务2 934和服务3 936。处理器910可以是包含多个核心或处理器、总线、存储器控制器、缓存等的完全自包含计算系统。多核心处理器可以是对称的或非对称的。
为了使得用户能够与计算设备900交互,输入设备945可表示任何数量的输入机制,诸如用于语音的麦克风、用于手势或图形输入的触敏屏幕、键盘、鼠标、运动输入、语音等。输出设备935也可以是为本领域的技术人员已知的许多输出机制中的一种或多种。在一些情况下,多模态系统可使得用户能够提供多种类型的输入来与计算设备900进行通信。通信接口940通常可管制并管理用户输入和系统输出。对在任何特定硬件布置上操作没有限制,并且因此这里的基本功能可以容易地随着它们被开发而被改进的硬件或固件布置取代。
存储设备930是非易失性存储器并且可以是硬盘或可存储可由计算机访问的数据的其他类型的计算机可读介质,诸如磁带、闪速存储卡、固态存储器设备、数字通用盘、磁盒、随机存取存储器(RAM)925、只读存储器(ROM)920和前述项的混合。
存储设备930可包括用于控制处理器910的服务932、934、936。设想了其他硬件或软件模块。存储设备930可连接到系统连接905。在一个方面中,执行特定功能的硬件模块可连同必要的硬件组件(诸如处理器910、连接905、输出设备935等)一起包括存储在计算机可读介质中的软件组件,以执行功能。
为了说明的清楚,在一些情况下可以将本技术呈现为包括各个功能块,这些功能块包括具有设备、设备组件、以软件或硬件和软件的组合体现的方法中的步骤或例程的功能块。
在一些实施例中,计算机可读存储设备、介质和存储器可包括包含比特流等的电缆或无线信号。然而,当提及时,非暂时性计算机可读存储介质明确地排除诸如能量、载波信号、电磁波和信号本身的介质。
可使用被存储在计算机可读介质中或者可以其他方式从计算机可读介质获得的计算机可执行指令来实现根据上述示例的方法。此类指令可包括例如使得或以其他方式配置通用计算机、专用计算机或专用处理设备以执行某个功能或功能组的指令和数据。可通过网络访问所使用的计算机资源的各部分。计算机可执行指令可以是例如二进制文件、诸如汇编语言的中间格式指令、固件或源代码。可以用于存储指令、所使用的信息和/或在根据描述的示例的方法期间创建的信息的计算机可读介质的示例包括磁盘或光盘、闪速存储器、提供有非易失性存储器的USB设备、联网的存储设备等。
实现根据这些公开的方法的设备可包括硬件、固件和/或软件,并且可采取各种形状因数中的任一种。此类形状因数的典型示例包括膝上型电脑、智能电话、小形状因数个人计算机、个人数字助理、机架安装设备、独立设备等。还可在外围设备或附加卡中体现本文描述的功能性。作为另外的示例,还可在不同芯片当中的电路板或在单个设备中执行的不同进程上实现这种功能性。
指令、用于交付此类指令的介质、用于执行它们的计算资源以及用于支持此类计算资源的其他结构是用于提供这些公开中描述的功能的手段。
尽管使用各种示例和附加信息来说明所附权利要求的范围内的各方面,但是不应该基于此类示例中的特定特征或布置来暗示对权利要求的限制,因为本领域的普通技术人员将能够使用这些示例来导出各式各样的实现方式。进一步地并且尽管可能已用特定于结构特征和/或方法步骤的示例的语言描述了某个主题,但是应当理解,所附权利要求中定义的主题不一定限于这些描述的特征或行为。例如,可不同地分发或者在除本文标识的组件以外的组件中执行这种功能性。相反,所描述的特征和步骤作为在所附权利要求的范围内的系统和方法的组件的示例被公开。
引用集合中的“至少一个”的权利要求语言指示集合中的一个成员或集合中的多个成员满足权利要求。例如,引用“A和B中的至少一个”的权利要求语言意指A、B或A和B。
Claims (21)
1.一种通信方法,包括:
将来自多个数据平面路由器的不同数据平面路由器集合分配给与多云基础结构的相应云站点中的不同地址空间相关联的数据平面流量,以产生数据平面流量和数据平面路由器的分布式映射,所述多云基础结构包括本地部署站点和一个或多个云站点;
向所述本地部署站点提供来自所述相应云站点上的控制平面路由器集合中的一个控制平面路由器的路由条目,所述路由条目反映数据平面流量和数据平面路由器的所述分布式映射,并且所述路由条目针对每个地址空间标识由所述不同数据平面路由器集合中的哪个数据平面路由器集合来处置针对该地址空间的数据平面流量,其中,所述控制平面路由器集合被配置为处置与所述相应云站点相关联的控制平面流量并与所述本地部署站点交换路由信息;以及
响应于一个或多个数据平面路由器被部署在所述相应云站点处,向所述本地部署站点提供来自所述控制平面路由器集合中的一个控制平面路由器的经更新的路由信息,所述经更新的路由信息将所述一个或多个数据平面路由器标识为与相应地址空间相关联的数据平面流量的下一跳。
2.根据权利要求1所述的方法,其中,所述控制平面路由器集合包括用于所述多云基础结构中的每个云站点的至少两个控制平面路由器,其中,所述不同地址空间包括不同专有网络、不同地址上下文和不同虚拟网络中的至少一项,并且其中,所述不同地址空间中的每个相应地址空间与被配置为处置与该相应地址空间相关联的流量的至少一个相应路由设备相关联。
3.根据权利要求1或2所述的方法,其中,所述一个或多个数据平面路由器是基于所述相应云站点处的一个或多个状况来部署的,所述一个或多个状况包括流量过载状况、性能要求以及用于数据平面流量的增加的带宽需求中的一者,并且其中,所述路由条目和经更新的路由信息是通过一个或多个边界网关协议(BGP)会话来提供的。
4.根据权利要求1或2所述的方法,还包括:
对所述一个或多个云站点中相应类型的专有网络构造进行转换,以匹配与所述本地部署站点中的特定类型的专有网络构造相关联的策略和配置设定集合,以产生横跨所述多云基础结构的标准化专有网络;以及
通过所述标准化专有网络,在所述本地部署站点和所述一个或多个云站点之间提供互连。
5.根据权利要求1或2所述的方法,还包括通过以下操作来横跨所述多云基础结构对多个策略构造进行标准化:
将所述本地部署站点中的策略构造映射到所述一个或多个云站点中的相应策略构造,其中,所述本地部署站点中的策略构造包括与所述一个或多个云站点中的相应策略构造不同类型的策略构造;
对所述相应策略构造中的每个策略构造进行转换,以做出来自所述本地部署站点的策略构造中映射到所述相应策略构造中的该策略构造的相应一个策略构造的镜像;以及
响应于接收到与所述相应策略构造中的该策略构造和所述本地部署站点的策略构造中的所述相应一个策略构造中的至少一者中的一个或多个端点相关联的流量,将与所述相应策略构造中的该策略构造和来自所述本地部署站点的策略构造中的所述相应一个策略构造相关联的策略集合应用于所述流量。
6.根据权利要求5所述的方法,其中,所述本地部署站点中的策略构造包括端点组(EPG),并且所述一个或多个云站点中的相应策略构造中的每个策略构造包括被所述一个或多个云站点中的关联云站点支持的相应类型的安全组,其中,每个EPG包含来自所述本地部署站点的第一相应端点集合,所述一个或多个云站点中的相应策略构造中的每个策略构造与来自所述一个或多个云站点中的相应一个云站点的第二相应端点集合相关联。
7.根据权利要求5所述的方法,其中,横跨所述多云基础结构对所述多个策略构造进行标准化还包括:
将来自所述本地部署站点的策略构造中的每个策略构造延伸到所述一个或多个云站点,以在所述一个或多个云站点中的每个云站点上产生延伸策略构造,其中,所述延伸策略构造包括所述一个或多个云站点中的每个云站点中的相应策略构造;
针对所述一个或多个云站点中映射到所述延伸策略构造的每个端点,向所述本地部署站点提供该端点的地址;
将该端点的地址映射到所述本地部署站点上的影子策略构造,所述影子策略构造是所述一个或多个云站点中的每个云站点上的所述延伸策略构造的镜像;以及
针对来自所述本地部署站点的策略构造中的每个相应一个策略构造中的每个端点,将该端点映射到所述一个或多个云站点中的每个云站点上的相应影子策略构造,所述相应影子策略构造是来自所述本地部署站点的策略构造中的所述相应一个策略构造的镜像。
8.根据权利要求5所述的方法,其中,横跨所述多云基础结构对所述多个策略构造进行标准化还包括:
针对所述本地部署站点中的每个策略构造,在所述一个或多个云站点中的每个云站点上创建相关联的策略构造,其中,所述本地部署站点中的每个策略构造具有与所述一个或多个云站点中的每个云站点上的所述相关联策略构造不同的类型;
针对所述一个或多个云站点中的每个云站点上的每个相关联的策略构造,在所述本地部署站点上提供作为该相关联的策略构造的镜像的第一相应影子策略构造;
针对所述本地部署站点中的每个策略构造,在所述一个或多个云站点中的每个云站点上提供作为所述本地部署站点中的该策略构造的镜像的第二相应影子策略构造;
针对所述一个或多个云站点中映射到所述相关联的策略构造的每个端点,向所述本地部署站点提供该端点的地址;以及
基于每个端点的所述地址,将所述一个或多个云站点中的每个端点映射到在所述本地部署站点上提供的所述第一相应影子策略构造。
9.根据权利要求8所述的方法,还包括:
建立相应安全策略,用于所述本地部署站点中的每个策略构造与所述一个或多个云站点中的每个云站点上的每个相关联的策略构造之间的流量;
将所述本地部署站点中的每个策略构造中的每个端点映射到所述一个或多个云站点中的每个云站点上的所述第二相应影子策略构造;
响应于发现云站点中的新端点,向所述本地部署站点提供所述新端点的相应地址;以及
基于所述新端点的相应地址,将所述新端点映射到在所述本地部署站点上提供的所述第一相应影子策略构造。
10.根据权利要求1或2所述的方法,还包括:
在所述多个数据平面路由器之间分发与所述相应云站点中的端点相关联的安全策略,每个数据平面路由器接收所述安全策略的与映射到该数据平面路由器的相应端点集合相关联的相应子集;
通过所述多个数据平面路由器中的每个数据平面路由器,向包含映射到该数据平面路由器的所述相应端点集合中的一个或多个端点的所述相应云站点中的每个专有虚拟网络通告与所述相应端点集合相关联的相应路由集合;
基于边界网关协议(BGP)路由图,防止所述多个数据平面路由器中的每个数据平面路由器通告与所述相应云站点中的端点中未映射到该数据平面路由器的那些端点相关联的路由;以及
响应于接收到与所述相应端点集合中的一个或多个端点相关联的流量,向经由映射到所述相应端点集合的该数据平面路由器的流量应用所述安全策略中与所述相应端点集合相关联的所述相应子集中的一个或多个安全策略。
11.一种通信系统,所述系统被配置为:
将来自多个数据平面路由器的不同数据平面路由器集合分配给与多云基础结构中的相应云站点中的不同地址空间相关联的数据平面流量,以产生数据平面流量和数据平面路由器的分布式映射,所述多云基础结构包括本地部署站点和一个或多个云站点;
向所述本地部署站点提供来自所述相应云站点上的控制平面路由器集合中的一个控制平面路由器的路由条目,所述路由条目反映数据平面流量和数据平面路由器的所述分布式映射,并且所述路由条目针对每个地址空间标识由所述不同数据平面路由器集合中的哪个数据平面路由器集合来处置针对该地址空间的数据平面流量,其中,所述控制平面路由器集合被配置为处置与所述相应云站点相关联的控制平面流量并与所述本地部署站点交换路由信息;以及
响应于一个或多个数据平面路由器被部署在所述相应云站点处,向所述本地部署站点提供来自所述控制平面路由器集合中的一个控制平面路由器的经更新的路由信息,所述经更新的路由信息将所述一个或多个数据平面路由器标识为与相应地址空间相关联的数据平面流量的下一跳。
12.根据权利要求11所述的系统,其中,所述控制平面路由器集合包括用于所述多云基础结构中的每个远程站点的至少两个控制平面路由器,其中,所述不同地址空间包括不同专有网络、不同地址上下文和不同虚拟网络中的至少一项,并且其中,所述不同地址空间中的每个相应地址空间与被配置为处置与该相应地址空间相关联的流量的至少一个相应路由设备相关联。
13.根据权利要求11或12所述的系统,还被配置为:
对所述一个或多个云站点中相应类型的专有网络构造进行转换,以匹配与所述本地部署站点中的特定类型的专有网络构造相关联的策略和配置设定集合,以产生横跨所述多云基础结构的标准化专有网络;以及
通过所述标准化专有网络,在所述本地部署站点和所述一个或多个云站点之间提供互连。
14.根据权利要求11至12中任一项所述的系统,还被配置为通过以下操作来横跨所述多云基础结构对多个策略构造进行标准化:
将所述本地部署站点中的策略构造映射到所述一个或多个云站点中的相应策略构造,所述本地部署站点中的策略构造包括与所述一个或多个云站点中的相应策略构造不同类型的策略构造;
对所述相应策略构造中的每个策略构造进行转换,以做出来自所述本地部署站点的策略构造中映射到所述相应策略构造中的该策略构造的相应一个策略构造的镜像;以及
响应于接收到与所述相应策略构造中的该策略构造和所述本地部署站点的策略构造中的所述相应一个策略构造中的至少一者中的一个或多个端点相关联的流量,将与所述相应策略构造中的该策略构造和来自所述本地部署站点的策略构造中的所述相应一个策略构造相关联的策略集合应用于所述流量。
15.根据权利要求14所述的系统,其中,所述本地部署站点中的策略构造包括端点组(EPG),并且所述一个或多个云站点中的相应策略构造中的每个策略构造包括被所述一个或多个云站点中的关联云站点支持的相应类型的安全组,其中,每个EPG包含来自所述本地部署站点的第一相应端点集合,所述一个或多个云站点中的相应策略构造中的每个策略构造与来自所述一个或多个云站点中的相应一个云站点的第二相应端点集合相关联。
16.根据权利要求14所述的系统,其中,横跨所述多云基础结构对所述多个策略构造进行标准化还包括:
将来自所述本地部署站点的策略构造中的每个策略构造延伸到所述一个或多个云站点,以在所述一个或多个云站点中的每个云站点上产生延伸策略构造,其中所述延伸策略构造包括所述一个或多个云站点中的每个云站点中的相应策略构造;
针对所述一个或多个云站点中映射到所述延伸策略构造的每个端点,向所述本地部署站点提供该端点的地址;
将该端点的地址映射到所述本地部署站点上的影子策略构造,所述影子策略构造是所述一个或多个云站点中的每个云站点上的所述延伸策略构造的镜像;以及
针对来自所述本地部署站点的策略构造中的每个相应一个策略构造中的每个端点,将该端点映射到所述一个或多个云站点中的每个云站点上的相应影子策略构造,所述相应影子策略构造是来自所述本地部署站点的策略构造中的所述相应一个策略构造的镜像。
17.根据权利要求14所述的系统,其中,横跨所述多云基础结构对所述多个策略构造进行标准化还包括:
针对所述本地部署站点中的每个策略构造,在所述一个或多个云站点中的每个云站点上创建相关联的策略构造,其中,所述本地部署站点中的每个策略构造具有与所述一个或多个云站点中的每个云站点上的所述相关联策略构造不同的类型;
针对所述一个或多个云站点中的每个云站点上的每个相关联的策略构造,在所述本地部署站点上提供作为该相关联的策略构造的镜像的第一相应影子策略构造;
针对所述本地部署站点中的每个策略构造,在所述一个或多个云站点中的每个云站点上提供作为所述本地部署站点中的该策略构造的镜像的第二相应影子策略构造;
针对所述一个或多个云站点中映射到所述相关联的策略构造的每个端点,向所述本地部署站点提供该端点的地址;以及
基于每个端点的所述地址,将所述一个或多个云站点中的每个端点映射到在所述本地部署站点上提供的所述第一相应影子策略构造。
18.根据权利要求17所述的系统,还被配置为:
建立相应安全策略,用于所述本地部署站点中的每个策略构造与所述一个或多个云站点中的每个云站点上的每个相关联的策略构造之间的流量;
将所述本地部署站点中的每个策略构造中的每个端点映射到所述一个或多个云站点中的每个云站点上的所述第二相应影子策略构造;
响应于发现云站点中的新端点,向所述本地部署站点提供所述新端点的相应地址;以及
基于所述新端点的相应地址,将所述新端点映射到在所述本地部署站点上提供的所述第一相应影子策略构造。
19.一种非暂时性计算机可读存储介质,包括:
存储在其中的指令,所述指令当被一个或多个处理器执行时,使所述一个或多个处理器执行以下操作:
将来自多个数据平面路由器的不同数据平面路由器集合分配给与多云基础结构中的相应云站点中的不同地址空间相关联的数据平面流量,以产生数据平面流量和数据平面路由器的分布式映射,所述多云基础结构包括本地部署站点和一个或多个云站点;
向所述本地部署站点提供来自所述相应云站点上的控制平面路由器集合中的一个控制平面路由器的路由条目,所述路由条目反映数据平面流量和数据平面路由器的所述分布式映射,并且所述路由条目针对每个地址空间标识由所述不同数据平面路由器集合中的哪个数据平面路由器集合来处置针对该地址空间的数据平面流量,其中,所述控制平面路由器集合被配置为处置与所述相应云站点相关联的控制平面流量并与所述本地部署站点交换路由信息;以及
响应于一个或多个数据平面路由器被部署在所述相应云站点处,向所述本地部署站点提供来自所述控制平面路由器集合中的一个控制平面路由器的经更新的路由信息,所述经更新的路由信息将所述一个或多个数据平面路由器标识为与相应地址空间相关联的数据平面流量的下一跳。
20.根据权利要求19所述的计算机可读存储介质,其中,所述控制平面路由器集合包括用于所述多云基础结构中的每个远程站点的至少两个控制平面路由器,其中,所述不同地址空间包括不同专有网络、不同地址上下文和不同虚拟网络中的至少一项,所述计算机可读存储介质存储指令,所述指令当被所述一个或多个处理器执行时,使所述一个或多个处理器执行以下操作:
在所述多个数据平面路由器之间分发与所述相应云站点中的端点相关联的安全策略,每个数据平面路由器接收所述安全策略的与映射到该数据平面路由器的相应端点集合相关联的相应子集;
通过所述多个数据平面路由器中的每个数据平面路由器,向包含映射到该数据平面路由器的所述相应端点集合中的一个或多个端点的所述相应云站点中的每个专有虚拟网络通告与所述相应端点集合相关联的相应路由集合;
基于边界网关协议(BGP)路由图,防止所述多个数据平面路由器中的每个数据平面路由器通告与所述相应云站点中的端点中未映射到该数据平面路由器的那些端点相关联的路由;以及
响应于接收到与所述相应端点集合中的一个或多个端点相关联的流量,向经由映射到所述相应端点集合的该数据平面路由器的流量应用所述安全策略中与所述相应端点集合相关联的所述相应子集中的一个或多个安全策略。
21.根据权利要求19至20中任一项所述的计算机可读存储介质,所述计算机可读存储介质存储指令,所述指令当被所述一个或多个处理器执行时,使所述一个或多个处理器执行根据权利要求2所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/252,115 US11012299B2 (en) | 2019-01-18 | 2019-01-18 | Seamless multi-cloud routing and policy interconnectivity |
| US16/252,115 | 2019-01-18 | ||
| PCT/US2020/013084 WO2020150092A1 (en) | 2019-01-18 | 2020-01-10 | Seamless multi-cloud routing and policy interconnectivity |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113316919A CN113316919A (zh) | 2021-08-27 |
| CN113316919B true CN113316919B (zh) | 2023-03-24 |
Family
ID=69500862
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080009946.8A Active CN113316919B (zh) | 2019-01-18 | 2020-01-10 | 通信方法和系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (3) | US11012299B2 (zh) |
| EP (1) | EP3912316A1 (zh) |
| JP (1) | JP2022517199A (zh) |
| CN (1) | CN113316919B (zh) |
| AU (1) | AU2020208169A1 (zh) |
| CA (1) | CA3126757A1 (zh) |
| WO (1) | WO2020150092A1 (zh) |
Families Citing this family (73)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10454714B2 (en) | 2013-07-10 | 2019-10-22 | Nicira, Inc. | Method and system of overlay flow control |
| US10749711B2 (en) | 2013-07-10 | 2020-08-18 | Nicira, Inc. | Network-link method useful for a last-mile connectivity in an edge-gateway multipath system |
| US10135789B2 (en) | 2015-04-13 | 2018-11-20 | Nicira, Inc. | Method and system of establishing a virtual private network in a cloud service for branch networking |
| US10498652B2 (en) | 2015-04-13 | 2019-12-03 | Nicira, Inc. | Method and system of application-aware routing with crowdsourcing |
| US10425382B2 (en) | 2015-04-13 | 2019-09-24 | Nicira, Inc. | Method and system of a cloud-based multipath routing protocol |
| US20200036624A1 (en) | 2017-01-31 | 2020-01-30 | The Mode Group | High performance software-defined core network |
| US10992558B1 (en) | 2017-11-06 | 2021-04-27 | Vmware, Inc. | Method and apparatus for distributed data network traffic optimization |
| US11706127B2 (en) | 2017-01-31 | 2023-07-18 | Vmware, Inc. | High performance software-defined core network |
| US11121962B2 (en) | 2017-01-31 | 2021-09-14 | Vmware, Inc. | High performance software-defined core network |
| US20180219765A1 (en) | 2017-01-31 | 2018-08-02 | Waltz Networks | Method and Apparatus for Network Traffic Control Optimization |
| US11252079B2 (en) | 2017-01-31 | 2022-02-15 | Vmware, Inc. | High performance software-defined core network |
| US10992568B2 (en) | 2017-01-31 | 2021-04-27 | Vmware, Inc. | High performance software-defined core network |
| US10778528B2 (en) | 2017-02-11 | 2020-09-15 | Nicira, Inc. | Method and system of connecting to a multipath hub in a cluster |
| US10523539B2 (en) | 2017-06-22 | 2019-12-31 | Nicira, Inc. | Method and system of resiliency in cloud-delivered SD-WAN |
| US10999165B2 (en) | 2017-10-02 | 2021-05-04 | Vmware, Inc. | Three tiers of SaaS providers for deploying compute and network infrastructure in the public cloud |
| US11102032B2 (en) | 2017-10-02 | 2021-08-24 | Vmware, Inc. | Routing data message flow through multiple public clouds |
| US11115480B2 (en) | 2017-10-02 | 2021-09-07 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
| US10959098B2 (en) | 2017-10-02 | 2021-03-23 | Vmware, Inc. | Dynamically specifying multiple public cloud edge nodes to connect to an external multi-computer node |
| US11089111B2 (en) | 2017-10-02 | 2021-08-10 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
| US10999100B2 (en) | 2017-10-02 | 2021-05-04 | Vmware, Inc. | Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider |
| US11223514B2 (en) | 2017-11-09 | 2022-01-11 | Nicira, Inc. | Method and system of a dynamic high-availability mode based on current wide area network connectivity |
| US11483762B2 (en) | 2019-02-22 | 2022-10-25 | Vmware, Inc. | Virtual service networks |
| US11146964B2 (en) | 2019-02-22 | 2021-10-12 | Vmware, Inc. | Hierarchical network slice selection |
| US11246087B2 (en) | 2019-02-22 | 2022-02-08 | Vmware, Inc. | Stateful network slice selection using slice selector as connection termination proxy |
| US11792227B2 (en) * | 2019-06-12 | 2023-10-17 | Research & Business Foundation Sungkyunkwan University | I2NSF network security function facing interface YANG data model |
| KR20210012956A (ko) * | 2019-07-24 | 2021-02-03 | 성균관대학교산학협력단 | I2nsf 소비자 직면 인터페이스 양 데이터 모델 |
| US11388197B2 (en) * | 2019-07-24 | 2022-07-12 | Research & Business Foundation Sungkyunkwan University | I2NSF NSF monitoring YANG data model |
| US11522764B2 (en) * | 2019-08-26 | 2022-12-06 | Vmware, Inc. | Forwarding element with physical and virtual data planes |
| US11018995B2 (en) | 2019-08-27 | 2021-05-25 | Vmware, Inc. | Alleviating congestion in a virtual network deployed over public clouds for an entity |
| US11201897B1 (en) | 2019-09-03 | 2021-12-14 | Rapid7, Inc. | Secure multiplexed routing |
| US11297036B1 (en) * | 2019-09-03 | 2022-04-05 | Rapid7, Inc. | Single whitelisted ingress endpoint on 1 and 2 way TLS connections |
| US11153420B2 (en) * | 2019-10-18 | 2021-10-19 | Arista Networks, Inc. | Neighbor equivalence groups |
| US11611507B2 (en) | 2019-10-28 | 2023-03-21 | Vmware, Inc. | Managing forwarding elements at edge nodes connected to a virtual network |
| US11405426B2 (en) | 2019-11-04 | 2022-08-02 | Salesforce.Com, Inc. | Comparing network security specifications for a network to implement a network security policy for the network |
| US11489783B2 (en) | 2019-12-12 | 2022-11-01 | Vmware, Inc. | Performing deep packet inspection in a software defined wide area network |
| US11394640B2 (en) | 2019-12-12 | 2022-07-19 | Vmware, Inc. | Collecting and analyzing data regarding flows associated with DPI parameters |
| US11082258B1 (en) * | 2020-01-14 | 2021-08-03 | Cisco Technology, Inc. | Isolation and segmentation in multi-cloud interconnects |
| US11438789B2 (en) | 2020-01-24 | 2022-09-06 | Vmware, Inc. | Computing and using different path quality metrics for different service classes |
| US11831610B2 (en) * | 2020-06-04 | 2023-11-28 | Vmware, Inc. | System and method for using private native security groups and private native firewall policy rules in a public cloud |
| US11245641B2 (en) | 2020-07-02 | 2022-02-08 | Vmware, Inc. | Methods and apparatus for application aware hub clustering techniques for a hyper scale SD-WAN |
| US11363124B2 (en) | 2020-07-30 | 2022-06-14 | Vmware, Inc. | Zero copy socket splicing |
| US11444865B2 (en) | 2020-11-17 | 2022-09-13 | Vmware, Inc. | Autonomous distributed forwarding plane traceability based anomaly detection in application traffic for hyper-scale SD-WAN |
| US11575600B2 (en) | 2020-11-24 | 2023-02-07 | Vmware, Inc. | Tunnel-less SD-WAN |
| EP4088248A4 (en) * | 2020-12-10 | 2024-02-07 | JPMorgan Chase Bank, N.A. | SYSTEM AND METHOD FOR A CLOUD-FIRST STREAMING AND MARKET DATA UTILITY |
| US11601356B2 (en) | 2020-12-29 | 2023-03-07 | Vmware, Inc. | Emulating packet flows to assess network links for SD-WAN |
| WO2022147152A1 (en) * | 2020-12-31 | 2022-07-07 | Aviatrix Systems, Inc. | Management network and method of operation |
| US11792127B2 (en) | 2021-01-18 | 2023-10-17 | Vmware, Inc. | Network-aware load balancing |
| US11979325B2 (en) | 2021-01-28 | 2024-05-07 | VMware LLC | Dynamic SD-WAN hub cluster scaling with machine learning |
| US20220283839A1 (en) | 2021-03-05 | 2022-09-08 | Vmware, Inc. | Direct access to hardware accelerator in an o-ran system |
| US11836551B2 (en) | 2021-03-05 | 2023-12-05 | Vmware, Inc. | Active and standby RICs |
| US11606290B2 (en) * | 2021-03-25 | 2023-03-14 | Vmware, Inc. | Connectivity between virtual datacenters |
| US11456894B1 (en) | 2021-04-08 | 2022-09-27 | Cisco Technology, Inc. | Automated connectivity to cloud resources |
| KR20230051274A (ko) | 2021-04-08 | 2023-04-17 | 시스코 테크놀러지, 인크. | 클라우드 리소스들에 대한 자동화된 접속성 |
| US12009987B2 (en) | 2021-05-03 | 2024-06-11 | VMware LLC | Methods to support dynamic transit paths through hub clustering across branches in SD-WAN |
| US11582144B2 (en) | 2021-05-03 | 2023-02-14 | Vmware, Inc. | Routing mesh to provide alternate routes through SD-WAN edge forwarding nodes based on degraded operational states of SD-WAN hubs |
| US11729065B2 (en) | 2021-05-06 | 2023-08-15 | Vmware, Inc. | Methods for application defined virtual network service among multiple transport in SD-WAN |
| US12015536B2 (en) | 2021-06-18 | 2024-06-18 | VMware LLC | Method and apparatus for deploying tenant deployable elements across public clouds based on harvested performance metrics of types of resource elements in the public clouds |
| US11489720B1 (en) | 2021-06-18 | 2022-11-01 | Vmware, Inc. | Method and apparatus to evaluate resource elements and public clouds for deploying tenant deployable elements based on harvested performance metrics |
| US11916788B2 (en) * | 2021-07-20 | 2024-02-27 | Micro Focus Llc | Determination of routing domain information to merge IP addresses |
| US11375005B1 (en) | 2021-07-24 | 2022-06-28 | Vmware, Inc. | High availability solutions for a secure access service edge application |
| CN113709157B (zh) * | 2021-08-27 | 2023-06-30 | 四川中电启明星信息技术有限公司 | 基于云路由和安全控制中心的电力安全研发网络结构 |
| CN113472598B (zh) * | 2021-08-31 | 2022-02-25 | 阿里云计算有限公司 | 云服务方法、电子设备和计算机可读存储介质 |
| US11870647B1 (en) * | 2021-09-01 | 2024-01-09 | Amazon Technologies, Inc. | Mapping on-premise network nodes to cloud network nodes |
| US11943146B2 (en) | 2021-10-01 | 2024-03-26 | VMware LLC | Traffic prioritization in SD-WAN |
| US11979277B2 (en) * | 2022-02-02 | 2024-05-07 | Oracle International Corporation | Enhanced network-link architecture for improved end-to-end latency in communication between different cloud environments |
| CN114679450A (zh) * | 2022-02-11 | 2022-06-28 | 锐捷网络股份有限公司 | 一种访问控制方法、装置、电子设备及存储介质 |
| US20230336482A1 (en) * | 2022-04-14 | 2023-10-19 | Dish Wireless L.L.C. | Overcoming limitations of a virtual private cloud (vpc) implemented on a public cloud in a cloud-native fifth generation (5g) wireless telecommunication network |
| CN114826825B (zh) * | 2022-04-19 | 2024-04-16 | 北京金山云网络技术有限公司 | 云网络的组网方法、装置及云网络 |
| US11909815B2 (en) | 2022-06-06 | 2024-02-20 | VMware LLC | Routing based on geolocation costs |
| US12021750B2 (en) * | 2022-08-05 | 2024-06-25 | Cisco Technology, Inc. | Specifying routes to enable layer-2 mobility in hybrid-cloud environments |
| TWI826182B (zh) * | 2022-12-13 | 2023-12-11 | 奔騰網路科技股份有限公司 | 雲平台管理系統 |
| US20240205051A1 (en) * | 2022-12-14 | 2024-06-20 | Amazon Technologies, Inc. | Resource sharing between cloud-hosted virtual networks |
| US20240205078A1 (en) | 2022-12-19 | 2024-06-20 | VMware LLC | Configuring different inter- and intra- communication protocols for components in a ran system |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104205055A (zh) * | 2012-03-29 | 2014-12-10 | 瑞典爱立信有限公司 | 通过openflow数据平面在云计算机中实现epc |
| CN106464583A (zh) * | 2014-05-05 | 2017-02-22 | 瑞典爱立信有限公司 | 实现具有开放流数据和控制平面的云计算机中的3g分组核心 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7924830B2 (en) * | 2008-10-21 | 2011-04-12 | At&T Intellectual Property I, Lp | System and method to route data in an anycast environment |
| KR101797471B1 (ko) * | 2011-05-04 | 2017-11-15 | 주식회사 케이티 | Igp 라우팅 프로토콜을 이용한 인터넷 트래픽 부하 분산 방법 및 시스템 |
| US9331940B2 (en) * | 2012-08-28 | 2016-05-03 | Alcatel Lucent | System and method providing distributed virtual routing and switching (DVRS) |
| US9569233B2 (en) * | 2012-12-31 | 2017-02-14 | F5 Networks, Inc. | Elastic offload of prebuilt traffic management system component virtual machines |
| US9525564B2 (en) * | 2013-02-26 | 2016-12-20 | Zentera Systems, Inc. | Secure virtual network platform for enterprise hybrid cloud computing environments |
| US9037646B2 (en) * | 2013-10-08 | 2015-05-19 | Alef Mobitech Inc. | System and method of delivering data that provides service differentiation and monetization in mobile data networks |
| US9781004B2 (en) * | 2014-10-16 | 2017-10-03 | Cisco Technology, Inc. | Discovering and grouping application endpoints in a network environment |
| US20160191324A1 (en) | 2014-12-26 | 2016-06-30 | vIPtela Inc. | Subsequent address family identifier for service advertisements |
| US9900250B2 (en) * | 2015-03-26 | 2018-02-20 | Cisco Technology, Inc. | Scalable handling of BGP route information in VXLAN with EVPN control plane |
| US10637889B2 (en) * | 2015-07-23 | 2020-04-28 | Cisco Technology, Inc. | Systems, methods, and devices for smart mapping and VPN policy enforcement |
| US10484302B2 (en) * | 2016-08-27 | 2019-11-19 | Nicira, Inc. | Managed forwarding element executing in public cloud data compute node with different internal and external network addresses |
| CN106375384B (zh) * | 2016-08-28 | 2019-06-18 | 北京瑞和云图科技有限公司 | 一种虚拟网络环境中镜像网络流量的管理系统和控制方法 |
| US9906401B1 (en) * | 2016-11-22 | 2018-02-27 | Gigamon Inc. | Network visibility appliances for cloud computing architectures |
| US10721275B2 (en) * | 2017-01-23 | 2020-07-21 | Fireeye, Inc. | Automated enforcement of security policies in cloud and hybrid infrastructure environments |
| US10560328B2 (en) * | 2017-04-20 | 2020-02-11 | Cisco Technology, Inc. | Static network policy analysis for networks |
| KR101826498B1 (ko) * | 2017-05-02 | 2018-02-07 | 나무기술 주식회사 | 클라우드 플랫폼 시스템 |
| CN107346259B (zh) * | 2017-05-10 | 2020-09-08 | 国家计算机网络与信息安全管理中心 | 一种动态部署安全能力的实现方法 |
| US10911495B2 (en) * | 2018-06-27 | 2021-02-02 | Cisco Technology, Inc. | Assurance of security rules in a network |
-
2019
- 2019-01-18 US US16/252,115 patent/US11012299B2/en active Active
-
2020
- 2020-01-10 EP EP20704150.0A patent/EP3912316A1/en not_active Withdrawn
- 2020-01-10 CA CA3126757A patent/CA3126757A1/en active Pending
- 2020-01-10 JP JP2021539413A patent/JP2022517199A/ja active Pending
- 2020-01-10 CN CN202080009946.8A patent/CN113316919B/zh active Active
- 2020-01-10 WO PCT/US2020/013084 patent/WO2020150092A1/en unknown
- 2020-01-10 AU AU2020208169A patent/AU2020208169A1/en active Pending
-
2021
- 2021-04-29 US US17/244,941 patent/US11329876B2/en active Active
-
2022
- 2022-04-13 US US17/719,792 patent/US11582100B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104205055A (zh) * | 2012-03-29 | 2014-12-10 | 瑞典爱立信有限公司 | 通过openflow数据平面在云计算机中实现epc |
| CN106464583A (zh) * | 2014-05-05 | 2017-02-22 | 瑞典爱立信有限公司 | 实现具有开放流数据和控制平面的云计算机中的3g分组核心 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210258216A1 (en) | 2021-08-19 |
| CA3126757A1 (en) | 2020-07-23 |
| US20220239559A1 (en) | 2022-07-28 |
| WO2020150092A1 (en) | 2020-07-23 |
| CN113316919A (zh) | 2021-08-27 |
| JP2022517199A (ja) | 2022-03-07 |
| US20200235990A1 (en) | 2020-07-23 |
| EP3912316A1 (en) | 2021-11-24 |
| US11582100B2 (en) | 2023-02-14 |
| US11012299B2 (en) | 2021-05-18 |
| AU2020208169A1 (en) | 2021-07-22 |
| US11329876B2 (en) | 2022-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113316919B (zh) | 通信方法和系统 | |
| US11838325B2 (en) | Elastic policy scaling in multi-cloud fabrics | |
| US11671450B2 (en) | Dynamic honeypots | |
| US11165828B2 (en) | Systems and methods for on-demand flow-based policy enforcement in multi-cloud environments | |
| US11057350B2 (en) | Layer 2 mobility for hybrid multi-cloud deployments without host-overlay | |
| EP2859444B1 (en) | Elastic enforcement layer for cloud security using sdn | |
| JP2018125837A (ja) | ドメイン間のシームレスサービス機能チェーン | |
| US20230344836A1 (en) | Enforcing data sovereignty policies in a cloud environment | |
| US10567222B2 (en) | Recommending configurations for client networking environment based on aggregated cloud managed information | |
| US11838779B2 (en) | License based traffic management in hybrid networks | |
| US12021750B2 (en) | Specifying routes to enable layer-2 mobility in hybrid-cloud environments | |
| US12021740B2 (en) | Policy enforcement for bare metal servers by top of rack switches |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |