CN117222995A - 用于通过安全域来限制虚拟专用云网络之间的通信的系统和方法 - Google Patents
用于通过安全域来限制虚拟专用云网络之间的通信的系统和方法 Download PDFInfo
- Publication number
- CN117222995A CN117222995A CN202280029061.3A CN202280029061A CN117222995A CN 117222995 A CN117222995 A CN 117222995A CN 202280029061 A CN202280029061 A CN 202280029061A CN 117222995 A CN117222995 A CN 117222995A
- Authority
- CN
- China
- Prior art keywords
- security domain
- security
- gateway
- gateway associated
- transit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 29
- 238000000034 method Methods 0.000 title claims abstract description 15
- 230000004044 response Effects 0.000 claims abstract description 8
- 230000000903 blocking effect Effects 0.000 abstract 1
- 206010047289 Ventricular extrasystoles Diseases 0.000 description 94
- 238000005129 volume perturbation calorimetry Methods 0.000 description 94
- 238000012545 processing Methods 0.000 description 5
- 238000002955 isolation Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000011218 segmentation Effects 0.000 description 3
- 238000000638 solvent extraction Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241000818946 Homethes Species 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于限制虚拟专用云网络之间的通信的计算机化方法包括创建多个安全域。所述多个安全域中的每一个标识与一个或多个虚拟专用云网络相关联的网关。此外,所述方法以如下各项为特征:根据所述多个安全域中的每一个生成中转路由数据存储;确定在所述多个安全域中的至少第一安全域和第二安全域之间是否存在连接策略;以及响应于确定在第一安全域和第二安全域之间不存在连接策略,阻止与第一安全域相关联的网关和与第二安全域相关联的网关之间的通信。
Description
相关申请的交叉引用
本申请要求2021年7月6日提交的第17/368,689号美国申请的优先权权益,该申请要求题为“Multi-Cloud Transit Segmentation”并且在2021年2月17日提交的第63/150,504号美国临时专利申请的优先权权益,其全部内容通过引用并入本文。
技术领域
本公开的实施例涉及联网领域。更具体地,本公开的一个实施例涉及通过所建立的安全域来限制不同虚拟专用云网络之间的访问。
背景技术
在过去几年中,云计算已经提供了基础设施即服务(IaaS),其中资源作为云计算平台(例如,公共云网络)的一部分来提供,并且被使得作为服务可供租户访问。这些服务之一允许租户运行驻留在云计算平台内的软件组件(例如,诸如虚拟服务器之类的虚拟机实例)。软件功能性向云计算平台中的这种迁移已经导致了对虚拟网络的更多使用,该虚拟网络诸如用于不同公共云提供商的虚拟专用云网络,诸如Web/>(AWS)、Azure Cloud Services、/>Cloud、/>Cloud等。
每个虚拟专用云网络是按需的、可配置的共享资源池,这些资源在云计算平台内被分配,并在使用云资源的不同组织或其他实体(下文中是“用户”)之间提供一定水平的隔离。一个虚拟专用云网络用户与利用相同公共云网络基础设施的其他用户之间的隔离可以通过在每个用户的基础上分配专用互联网协议(IP)子网来实现。对于每个IP子网,公共云服务提供商提供处理和/或存储功能性。特别地,AWS提供Elastic ComputeCloud(EC2)服务,而/>提供不同类型的虚拟机。
最近,为了增加系统吞吐量,上述虚拟专用云网络现在依赖于多个活动的对等通信链路。作为说明性示例,某些网关提供了至存储在虚拟专用云网络中的云软件实例的连接性。这些网关中的每一个被配置成支持至一对网关(下文中是“中转(transit)网关”)的两个基于专用IP的通信链路,这对网关驻留在另一种类型的虚拟专用云网络(下文中是“中转VPC”)内。然而,在中转VPC提供了至位于不同公共云网络上的目的地VPC的连接性的情况下,这种网络架构现在受到高度的安全性关注,这是因为多云连接性增加了攻击者可以得到对虚拟专用云网络的访问的方式的数量。此外,当AWS公共云网络扩展到AWS基础设施之外时,显著地依赖于由Transit Gateway提供的安全性措施是不可能的。此外,不存在策略驱动的选项来创建由云提供商提供的安全性分割。
附图说明
本发明的实施例在附图的各图中以示例的方式而非限制的方式被图示,在附图中,相同的附图标记指示相似的元件,并且在附图中:
图1是利用安全域(security domain)实现的多云计算平台的示例性实施例,该安全域将网关之间的通信限制到驻留在相同安全域内的那些。
图2是利用第一安全域实现的图1的多云计算平台的说明性实施例,该第一安全域包括通过连接策略通信地耦合到驻留在第二安全域内的一个或多个网关的一个或多个网关。
图3是包括安全域数据存储(store)和连接策略数据存储的图1-2的中转虚拟网络组件(VPC/Vnet)内部署的中转网关的示例性实施例。
图4A-4C图示了用于对多云计算平台内的一个或多个安全域以及与这些安全域相关联的连接策略进行编程的图形用户接口(GUI)的示例性实施例。
图5A-5B图示了控制器为了创建指向安全域的构造以及与这些安全域相关联的连接策略所进行的操作的示例性实施例。
图6A-6B是驻留在图1-2的多云计算平台的不同安全域中的两个分支(spoke)网关之间的准许和不准许的互操作性的示例性实施例。
图7是用于建立多云中转分割架构的操作的示例性实施例。
具体实施方式
用于建立在不同类型的公共云网络基础设施上实现的多云计算平台的系统和方法的实施例,该多云计算平台通过不同的安全区域来限制虚拟专用云网络之间的数据流量。本文中,该多云计算平台通过使用安全域和连接策略来实现网络隔离。每个安全域标识可以彼此通信的一组网关。这些网关可以部署在相同的虚拟网络组件内或者不同的虚拟网络组件内,其中这些虚拟网络组件可以驻留在公共云网络的相同区域内、相同公共云网络的不同区域内、或者不同的公共云网络内。作为说明性示例,第一组(例如一个或多个)网关可以在由Web Services(AWS)公共云网络提供的底层网络基础设施所支持的第一虚拟网络组件内操作,而第二组网关可以在由/>公共云网络或/>Cloud所支持的第二虚拟网络组件内操作。每个连接策略标识跨不同安全域的准许通信。
本文中,为了清楚起见,每个虚拟网络组件——例如,有时被称为用于AWS部署的虚拟专用云网络、用于部署的虚拟网络(VNet)、或用于/>Cloud部署的虚拟云网络(VCN)——出于清楚目的将在本文中被统称为“虚拟专用云网络”或“VPC”。因此,该多云计算平台可以以如下各项为特征:(i)第一多个虚拟网络组件,每个虚拟网络组件作为维护可由一组网关访问的云资源的虚拟专用云网络来操作(下文中是“分支VPC”);(ii)第二多个虚拟网络组件,每个虚拟网络组件作为支持来自/去往分支VPC的消息路由的虚拟专用云网络来操作(下文中是“中转VPC”);和/或(iii)共享服务联网基础设施,包括控制器,用于更新和维护分支VPC和/或中转VPC的数据存储,以根据所部署的安全域和连接策略来维护路由信息。
更具体地,根据本公开的一个实施例,每个分支VPC包括一组(例如,两个或更多个)网关(下文中是“分支网关”),这些网关通信地耦合到具有一个或多个特定子网的一个或多个云软件实例。这些云软件实例中的一些或全部可以包括可执行应用。类似地,每个中转VPC可以以包括一组网关的网关集群为特征。部署在中转VPC内的该组网关(下文中是“中转网关”)控制分支VPC之间的消息路由,并且实际上控制部署在不同分支VPC中的云软件实例之间的消息路由。如所示出,分支网关和中转网关中的每一个可以根据唯一的无类别域间路由(CIDR)路由地址被访问,以通过该多云计算平台来传播消息。
除了通信地耦合到分支网关之外,中转网关还可以通信地耦合到部署在预置网络中的一个或多个网络边缘设备(例如,虚拟或物理路由器等)(下文中是“预置网络设备”)。本文中,中转VPC被配置成控制从云软件实例接收数据流量的源分支VPC与目的地分支VPC或预置网络之间的数据流量传播。附加地,根据本公开的实施例,中转VPC进一步被配置成通过控制去往驻留在相同安全域内或者驻留在不同安全域中的网关的数据流量传播来限制数据流量流,只要建立了连接策略以准许这些不同安全域之间的网关通信即可。
下面描述了与可扩展的多云计算平台的一个实施例相关联的逻辑的进一步细节。
I.术语
在以下描述中,某些术语用于描述本发明的特征。在某些情形下,术语“逻辑”和“组件”表示被配置成执行一个或多个功能的硬件、软件或其组合。作为硬件,逻辑(或组件)可以包括具有数据处理或存储功能性的电路。这种电路的示例可以包括但不限于或不局限于处理器(例如,微处理器、一个或多个处理器内核、可编程门阵列、微控制器、专用集成电路等)、半导体存储器或组合逻辑。
替代于上述硬件电路组合或者与上述硬件电路组合,逻辑(或组件)可以是以一个或多个软件模块形式的软件。(一个或多个)软件模块可以被配置成作为虚拟硬件组件(例如,虚拟处理器)或包括一个或多个虚拟硬件组件的虚拟网络设备来操作。(一个或多个)软件模块可以包括但不限于或不局限于可执行应用、应用编程接口(API)、子例程、函数、过程、小应用程序、小服务程序、例程、源代码、共享库/动态加载库、或一个或多个指令。(一个或多个)软件模块可以存储在任何类型的合适的非暂时性存储介质或暂时性存储介质(例如,电、光、声或其他形式的传播信号,诸如载波、红外信号或数字信号)中。非暂时性存储介质的示例可以包括但不限于或不局限于:可编程电路;半导体存储器;非永久性存储装置,诸如易失性存储器(例如,任何类型的随机存取存储器“RAM”);永久性存储装置,诸如非易失性存储器(例如,只读存储器“ROM”、电源支持的(power-backed)RAM、闪速存储器、相变存储器等)、固态驱动器、硬盘驱动器、光盘驱动器或便携式存储器设备。
VPC路由表:VPC路由表是一种逻辑构造,用于指令软件实例如何到达所选的目的地。目的地可以构成另一个软件实例,其可以由可路由的网络地址来标识。VPC路由表包括多个条目,其中每个条目包括目的地的可路由网络地址以及具有路由功能性的软件组件的标识符,该软件组件构成了朝向目的地(目标)的下一跳。该标识符可以包括例如网关标识符。
网关:该术语可以解释为具有数据路由功能性的虚拟或物理逻辑。作为说明性示例,网关可以对应于虚拟逻辑,诸如被指派有与包括该网关的VPC相关联的互联网协议(IP)地址范围内的IP地址的数据路由软件组件。在多云计算平台中部署多个网关,这些网关可以控制数据流量向VPC中/从VPC的进入/外出。虽然具有相似的架构,但是网关可以基于它们在公共云网络内的位置/可操作性而被不同地标识。例如,“分支”网关是支持云软件实例与“中转”网关之间的路由的网关,其中每个中转网关被配置成进一步辅助数据流量(例如,一个或多个消息)从一个分支网关传播到相同分支VPC内或不同VPC内的另一个分支网关。替代地,在一些实施例中,网关可以对应于物理逻辑,诸如通信地耦合到网络并被指派有硬件(MAC)地址和IP地址的电子设备。
IPSec隧道:在相邻虚拟网络组件(诸如相邻VPC)的网关之间建立的安全对等通信链路。对等通信链路可以通过被称为“互联网协议安全性”(IPSec)的安全网络协议套件(suite)被保护。这些IPSec隧道在网关中由虚拟隧道接口(VTI)表示,并且隧道状态由VTI状态表示。
安全域:与被准许交换和传输数据的一个或多个VPC相关联的软件组件的控制器实施网络。因此,相同安全域内的VPC被准许彼此通信,而不同安全域内的VPC在没有连接策略的情况下不能够通信。“连接策略”是为了允许跨安全域连接性而实施的一个或多个规则。
计算机化:该术语一般表示任何对应的操作都是由硬件结合软件来进行的。
消息:以规定格式并根据合适的递送协议来传输的信息。因此,每个消息可以以一个或多个分组、帧、或具有规定格式的任何其他比特序列的形式。
最后,如本文中使用的术语“或”和“和/或”应被解释为包含性的,或者意味着任何一个或任何组合。作为示例,“A、B或C”或“A、B和/或C”意味着:“以下各项中的任何一个:A;B;C;A和B;A和C;B和C;A、B和C”。只有当元件、功能、步骤或动作的组合以某种方式固有地相互排斥时,才将出现该定义的例外。
由于本发明容许许多不同形式的实施例,因此本公开旨在被认为是本发明原理的示例,而不是旨在将本发明限于所示出和描述的具体实施例。
II.通用系统架构
现在参考图1,示出了利用多个安全域1101-110N(N≥1)实现的多云计算平台100的示例性实施例,其中每个安全域1101-110N将网关之间的通信限制到驻留在相同安全域内的那些。本文中,多云计算平台100被配置成提供第一公共云网络125的资源120与第二公共云网络165的资源160之间的连接性。本文中,根据本公开的一个实施例,第一公共云网络125对应于Web Services(AWS)云网络,并且第二公共云网络165对应于/> 云网络,其不同于第一公共云网络125。
根据本公开的一个实施例,第一公共云网络125的资源120以一个或多个分支VPC130为特征,所述一个或多个分支VPC 130通信地耦合到包括一个或多个中转网关142的第一中转VPC 140。本文中,如所示出,一个或多个分支VPC 130的第一分支VPC 131可以被配置有至云软件(应用)实例145中的一些以及第一中转VPC 140的(一个或多个)中转网关142的连接性。预置网络149的网络边缘设备147(例如,虚拟或物理路由器)通信地耦合到(一个或多个)中转网关142,以用于向预置网络149传输数据流量和从预置网络149接收数据流量。
本文中,如对于分支VPC 130中的每一个,第一分支VPC 131根据由共享VPC 152内的控制器150管理的第一VPC路由表155被配置成与第一分支VPC 131中维护的一组(例如,两个或更多个)网关135中的所选网关交换来自某个或某些云器具(appliance)实例145的数据流量。类似地,一个或多个分支VPC 130中的第二分支VPC 132可以被配置有至云软件实例145中的一些的连接性。特别地,对于该实施例,第二分支VPC 132根据也由控制器150管理的第二VPC路由表156被配置成在(一个或多个)一些云器具实例145与第二分支VPC132中维护的一组网关136中的所选网关之间交换数据流量。这些多个分支VPC可以制定多云计算平台100的第一部分的构造。
附加地,根据本公开的一个实施例,第二公共云网络165的资源160可以以一个或多个分支VPC 170(诸如第三、第四和第五分支VPC 171-173)以及包括中转网关182的第二中转VPC 180为特征。本文中,这些分支VPC 171中的每一个可以被配置成与(一个或多个)不同的云软件(应用)实例185通信。例如,根据由控制器150管理的第三VPC路由表157,某些云应用实例185可以被配置成与第三分支VPC 171中维护的一组(例如,两个或更多个)网关175中的所选网关交换数据流量。这些多个分支VPC可以制定多云计算平台100的该第二部分的构造。
如所示出,多个安全域1101-110N可以被配置成限制跨相同公共云网络125或165的分支VPC之间的通信、或跨不同公共云网络125和165的分支VPC之间的通信,如所示出。作为说明性实施例,第一安全域1101可以将通信限制为保持在与第一公共云网络125的第一分支VPC 131相关联的网关135和与第三分支VPC 171相关联的网关175之间。同样,第二安全域1102可以将通信限制为保持在与第二分支VPC 132相关联的网关136以及驻留在第二公共云网络165的第四和第五分支VPC 172和173内的网关176和177之间。(一个或多个)中转网关142和182服务于基于连接策略(在下面描述)来互连相同安全域1101或1102内或不同安全域1101和1102内的分支VPC内的网关。
这些安全域1101和1102可以通过更改至少在与第一中转网关142相关联的第一中转路由数据存储1901和与第二中转网关182相关联的第二中转路由数据存储1902内维护的路由信息来配置。中转路由数据存储1901和1902可以构成路由表。因此,在将去往/来自源分支VPC(例如,第一分支VPC 131)的消息路由到目的地分支VPC(例如,第三分支VPC 171)之前,考虑第一中转路由数据存储1901,以确定当这种通信被安全域1101和1102限制时,这种通信是否可用以及不可用。
现在参考图2,示出了图1的多云计算平台100的另一个说明性实施例,其中多云计算平台100利用包括第一安全域210、第二安全域220和第三安全域230的多个安全域200来实现。本文中,第一安全域210包括网关135,第二安全域220包括网关136和175,并且第三安全域230包括网关176和177。网关135、136和175被配置成通过第一连接策略240彼此通信。作为结果,多云计算平台100通过安全域210/220和230以及诸如第一连接策略240之类的连接策略,在跨越多个区域和/或多个云网络的网关之间提供网络隔离。
更具体地,如图2中所示,与第二分支VPC 132(例如,AWS VPC)相关联的网关136和与第三分支VPC 171(例如,VNet)相关联的网关175可以彼此通信,而与第四VPC172和第五VPC 173相关联的网关176和177被隔离并被阻止与网关135、136和175的通信。通常,在没有连接策略之一(例如,连接策略240)提供这种连接性的情况下,在与第一安全域210相关联的网关135和与第二安全域220相关联的网关136和171之间不存在交叉通信。
本文中,在用户(例如,管理员、设备用户等)设置连接策略240之后,控制器150访问连接策略240内的内容,以确定第一安全域210中维护的资源被准许与第二安全域220中维护的资源通信。特别地,与第一公共云网络125的分支VPC 131/132相关联的网关135/136和第二公共云网络165的分支VPC 171内的网关175可以经由中转网关彼此通信。为了实现这一点,控制器150动态地编程并更新中转路由数据存储1901和1902两者,使得分支VPC中的实例可以经由中转网关142和/或182彼此通信。
参考图3,示出了中转网关300的示例性实施例,中转网关300是部署在中转VPC140内的中转网关142之一。该中转网关300构成覆盖公共云网络基础设施的资源的软件组件,例如诸如图1的基于AWS的中转VPC或基于的中转VNet。该软件组件包括由(虚拟)处理器执行的逻辑,这是由云提供商提供的计算服务,并且为了完整起见而被说明。本文中,根据本公开的一个实施例,中转网关300包括数据流量处理逻辑310、数据流量路由逻辑320和一个或多个中转路由数据存储330,其中中转路由数据存储310可以维护数据流量源(例如,预置网络的路由器、分支VPC、其他中转VPC等)的路由信息,该数据流量源依赖于中转网关300来将传入消息340路由到目的地。
数据流量处理逻辑310被配置成从数据流量源接收传入消息340,该数据流量源诸如被部署为图1的分支VPC 131的一部分的分支网关135,该分支网关135被供应以便访问中转网关300。在接收到传入消息340时,数据流量处理逻辑310被配置成解析传入消息340并对其进行分析,以确定传入消息340的目的地。在目的地可从分支网关135到达的情况下,即任何所建立的安全域包括该目的地驻留在其中的VPC或网络和/或连接策略,则传入消息340的内容被提供给数据流量路由逻辑320。在目的地不可从分支网关135到达的情况下,传入消息340被丢弃和/或错误消息可以被提供给数据流量源和/或控制器,以用于向网络管理员报告。
数据流量路由逻辑320可以被配置成访问中转路由数据存储330中的中转路由数据存储332,以确定下一跳(例如,与目的地相关联的网关、中转网关等)以用于向其传输与传入消息340相关联的内容。作为说明性示例,如图1中所示,对于从第一分支VPC 131内的实例到第三分支VPC 171内的实例的传输,中转路由数据存储332可以标识覆盖与不同云提供商相关联的云基础设施的中转网关182。此后,数据流量路由逻辑320可以组织与传入消息340相关联的内容(例如,封装、重新插入到新消息的有效载荷和/或首部中等等)以产生输出消息350,以用于传输到下一跳,该下一跳由中转路由数据存储330所标识并且基于所选的策略和/或参数(例如,至目的地的跳数、安全性参数等)被认为是最优路径。
III.安全域形成
现在参考图4A-4C,示出了用于建立多云计算平台100内的(一个或多个)安全域以及与这些安全域相关联的可选连接策略的一系列图形用户接口(GUI)的示例性实施例。GUI可以由一个或多个处理器执行的软件来生成,所述处理器即物理处理器、或基于一个或多个物理处理器的逻辑处理器。本文中,如图4A中所示,第一GUI 400构成了可由用户访问的网页,以通过在所指派的字段410内录入与安全域相关联的唯一域名420(例如,Dev_Domain)来创建该安全域。在选择了域名420并完成该过程阶段(例如,激活“录入”按钮425)时,安全域被创建,但是没有分支网关或网络边缘设备被标识。可以重复该过程以创建多个安全域。
在创建了(一个或多个)安全域时,可以通过如图4B中所示的第二GUI 430在多个安全域之间建立连接关系。特别地,第二GUI 430可以包括图形元素440,诸如列出了在多云计算平台100上可用的安全域的下拉菜单。通过选择多个安全域并激活“添加”图形元素450,连接策略在所选的安全域之间被生成。连接策略准许所选的安全域中的分支网关彼此通信,尽管存在这些分支网关处于不同的安全域中的事实。
此后,如图4C中所示,第三GUI 460可以包括输入字段465,以将每个安全域与中转网关相关联,并且用通信地耦合到中转网关的分支网关和/或网络边缘设备(例如,用于与预置网络连接的路由器)来填充每个安全域。第三GUI 460基于标识安全域470、要被包括作为安全域470的成员的分支网关(或网络边缘设备)480、以及该分支网关(或网络边缘设备)480与之通信的中转网关490来建立网络分割。这些字段可以从不同的条目被自动填充,使得中转网关490的条目自动地标识分支网关(或网络边缘设备)480,或者提供具有分支网关/边缘设备选项的下拉菜单。尽管未示出,但是在类似的图形表示中,所设想的是,可以使用在特征上与第三GUI 460类似的另一个GUI来解除分支网关或网络边缘设备与所标识的安全域的关联。
参考图5A-5B,示出了控制器为了创建指向安全域的构造以及与这些安全域相关联的连接策略所进行的操作的示例性实施例。本文中,控制器维护在多云计算平台中阐述的每个中转网关的可用路由。在没有任何安全域的默认状态下,用于每个中转网关的中转路由数据存储可以被配置成具有指向形成多云计算平台的大多数(如果不是全部的话)分支VPC和其他中转网关的活动连接(操作500)。然而,响应于被指派有安全域名的安全域的创建,控制器生成与该安全域相关联的中转路由数据存储(操作510和515)。在多个安全域被创建的情况下,控制器接收与在该多个安全域中的两个或更多个之间建立的任何连接策略相关联的信息(操作520)。需要连接策略的标识来确保与被置于安全域中的分支网关相关联的路由连接也被填充到与(一个或多个)其他所连接的安全域相关联的中转路由数据存储中(操作525)。
此后,由于每个安全域被配置成定义该安全域的成员组件,即一个或多个分支网关和/或网络边缘设备(例如,预置网络的路由器等)以及这些成员组件通信地耦合到的中转网关,因此控制器接收安全域成员资格信息(操作530)。基于安全域成员资格信息,控制器被配置成:将指向(一个或多个)分支网关和/或(一个或多个)网络边缘设备的路由连接包括在每个中转网关中维护的与该安全域相关联的(一个或多个)中转路由数据存储内,这些(一个或多个)分支网关和/或(一个或多个)网络边缘设备中的至少一个与所述中转网关通信(操作540)。此外,控制器确定是否存在与该安全域相关联的连接策略,并且如果存在,则控制器更改与“所连接的”安全域相关联的(一个或多个)中转路由数据存储,以包括指向(一个或多个)分支网关和/或(一个或多个)网络边缘设备的路由连接(操作550和560)。这些中转路由数据存储属于与添加到该安全域的(一个或多个)分支网关和/或(一个或多个)网络边缘设备通信的中转网关。
此外,基于路由连接,控制器动态地编程并更新VPC路由表,使得相同域中的不同分支VPC中的实例可以通信,并且不同安全域中的不同分支VPC中的实例在没有连接策略的情况下通过移除任何这种路由连接而被阻止通信(操作570)。控制器继续监测安全域、连接策略和/或成员组件的移除/添加(操作580、585和590)。
IV.通用安全域可操作性
参考图6A-6B,驻留在图1-2的多云计算平台的不同安全域中的两个分支网关之间的准许和不准许的互操作性的示例性实施例。对于该所图示的示例,第一分支网关600可以作为驻留在图1的第一分支VPC 131内的第一分支网关135来操作,并且第二分支网关610可以作为驻留在第二分支VPC 132内的第二分支网关136来操作。本文中,第一分支网关600驻留在与第二分支网关610不同的安全域中,其中在第一分支网关600与第二分支网关610之间没有建立连接策略。作为结果,经由中转网关300,与第一安全域(例如,图1的安全域1101)相关联的第一分支网关600不能够跟与第二安全域(例如,图1的安全域1102)相关联的第二分支网关610通信。
相比之下,如图1和图6B中所示,第一分支网关600可以要么驻留在与第二分支网关610相同的安全域中,要么驻留在不同的安全域内,只要存在与这些分支网关600和610的连接策略即可。作为结果,经由中转网关300,与第一安全域相关联的第一分支网关600能够并且被准许跟与第二安全域相关联的第二分支网关610通信。
V.操作流程
参考图7,示出了用于通过安全域和连接策略来进行多云计算平台的中转分割的操作的示例性实施例。首先,生成多云计算平台(操作700)。本文中,该多云计算平台以如下为特征:与底层第一公共云网络基础设施相关联的第一组分支VPC和第一组中转VPC、连同与底层第二公共云网络基础设施相关联的第二组分支VPC和第二组中转VPC。此后,启用中转VPC内的一些或所有中转网关以用于分割(操作710)。在中转网关未被启用进行分割的情况下,中转网关将不被配置成作为任何安全域的一部分。
此后,安全域被创建并被指派有唯一的安全域名(操作720)。该操作可以接续地进行以创建两个或更多个安全域(操作725)。替代地,该操作可以异步地(asynchronously)进行,其中可以创建一个或多个安全域来动态地更改该分割,并且使得控制器相应地更新中转路由数据存储。为了清楚起见,所述操作将聚焦于两个安全域的创建上。
在安全域被创建之后,可以建立连接策略,以制定不同安全域之间的连接关系(操作730)。这两个所连接的安全域暗示这些安全域中的每一个中的分支网关可以彼此通信,尽管存在它们驻留在不同的域中的事实。此外,连接策略的存在由控制器来监测,以确保与所连接的分支网关相关联的路由连接被复制用于(一个或多个)不同中转网关中维护的(一个或多个)不同中转路由数据存储。
此后,每个安全域被配置成通过将该安全域与一个或多个分支网关以及这些分支网关通信地耦合到的中转网关相关联来定义该安全域的成员组件(操作740)。安全域成员资格信息(例如,与分支网关及其对应的中转网关相关联的可路由网络地址等)被提供给控制器,该信息连同连接策略一起被用于在每个中转网关中维护的与该安全域相关联的(一个或多个)中转路由数据存储内设置指向(一个或多个)分支网关的路由连接,至少这些(一个或多个)分支网关与所述中转网关通信(操作750和760)。
多云计算平台的分割是动态的,这是由于该分割可以通过安全域、连接策略和/或成员组件的移除/添加或对安全域、连接策略和/或成员组件的改变而被更改(操作770)。
在不脱离本公开的精神的情况下,本发明的实施例可以以其他特定形式体现。所描述的实施例在所有方面都要仅被认为是说明性的,而不是限制性的。因此,实施例的范围由所附权利要求而不是由前述描述来指示。在权利要求的等同物的含义和范围内的所有改变都要包含在权利要求的范围内。
Claims (14)
1.一种用于限制虚拟专用云网络之间的通信的计算机化方法,包括:
创建多个安全域,所述多个安全域中的每一个标识与一个或多个虚拟专用云网络相关联的网关;
根据所述多个安全域中的每一个生成中转路由数据存储;
确定在所述多个安全域中的至少第一安全域和第二安全域之间是否存在连接策略;以及
响应于确定在第一安全域和第二安全域之间不存在连接策略,阻止与第一安全域相关联的网关和与第二安全域相关联的网关之间的通信。
2.根据权利要求1所述的计算机化方法,进一步包括:
响应于确定在第一安全域和第二安全域之间存在连接策略,允许与第一安全域相关联的网关和与第二安全域相关联的网关之间的通信。
3.根据权利要求2所述的计算机化方法,进一步包括:
更新每个中转路由数据存储内的路由信息,以包括与关联于第一安全域的网关和关联于第二安全域的网关之间的路由相关联的路由信息。
4.根据权利要求1所述的计算机化方法,进一步包括:
监测对向所述多个安全域的安全域添加的改变,以生成与所添加的安全域相关联的中转路由数据存储,所述中转路由数据存储作为路由表来操作,以标识可从与所添加的安全域相关联的网关获得以及可到达与所添加的安全域相关联的网关的通信。
5.根据权利要求1所述的计算机化方法,进一步包括:
响应于期望在与第一安全域相关联的网关和与第二安全域相关联的网关之间进行通信,生成允许它们之间的通信的连接策略。
6.根据权利要求5所述的计算机化方法,其中所述连接策略的生成包括生成图形用户接口(GUI),所述图形用户接口包括标识所述多个安全域的第一图形元素、以及第二图形元素,在选择了第一安全域和第二安全域并且激活了第二图形元素时,第二图形元素生成使得与第一安全区域相关联的网关能够跟与第二安全区域相关联的网关通信的连接策略。
7.根据权利要求2所述的计算机化方法,其中所述连接策略对应于为了允许跨安全域连接性而实施的一个或多个规则。
8.一种用于限制虚拟专用云网络之间的通信的多云计算平台,包括:
处理器;以及
软件,在由所述处理器执行时,所述软件被配置成:
(i)创建多个安全域,所述多个安全域中的每一个标识与一个或多个虚拟专用云网络相关联的网关,
(ii)根据所述多个安全域中的每一个生成中转路由数据存储,
(iii)确定在所述多个安全域中的至少第一安全域和第二安全域之间是否存在连接策略,以及
(iv)响应于确定在第一安全域和第二安全域之间不存在连接策略,阻止与第一安全域相关联的网关和与第二安全域相关联的网关之间的通信。
9.根据权利要求8所述的多云计算平台,其中所述软件在执行时进一步被配置成:响应于确定在第一安全域和第二安全域之间存在连接策略,允许与第一安全域相关联的网关和与第二安全域相关联的网关之间的通信。
10.根据权利要求9所述的多云计算平台,其中所述软件在执行时进一步被配置成:更新每个中转路由数据存储内的路由信息,以包括与关联于第一安全域的网关和关联于第二安全域的网关之间的路由相关联的路由信息。
11.根据权利要求8所述的多云计算平台,其中所述软件在执行时进一步被配置成:监测对向所述多个安全域的安全域添加的改变,以生成与所添加的安全域相关联的中转路由数据存储,所述中转路由数据存储作为路由表来操作,以标识可从与所添加的安全域相关联的网关获得以及可到达与所添加的安全域相关联的网关的通信。
12.根据权利要求8所述的多云计算平台,其中所述软件在执行时进一步被配置成:在用户请求时,响应于期望在与第一安全域相关联的网关和与第二安全域相关联的网关之间进行通信,生成允许它们之间的通信的连接策略。
13.根据权利要求12所述的多云计算平台,其中所述软件用于通过至少生成图形用户接口(GUI)来生成所述连接策略,所述图形用户接口包括标识所述多个安全域的第一图形元素、以及第二图形元素,在选择了第一安全域和第二安全域并且激活了第二图形元素时,第二图形元素生成使得与第一安全区域相关联的网关能够跟与第二安全区域相关联的网关通信的连接策略。
14.根据权利要求12所述的多云计算平台,其中所述连接策略对应于为了允许跨安全域连接性而实施的一个或多个规则。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US63/150504 | 2021-02-17 | ||
| US17/368689 | 2021-07-06 | ||
| US17/368,689 US11943223B1 (en) | 2021-02-17 | 2021-07-06 | System and method for restricting communications between virtual private cloud networks through security domains |
| PCT/US2022/016197 WO2022177829A1 (en) | 2021-02-17 | 2022-02-11 | System and method for restricting communications between virtual private cloud networks through security domains |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117222995A true CN117222995A (zh) | 2023-12-12 |
Family
ID=89049740
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280029061.3A Pending CN117222995A (zh) | 2021-02-17 | 2022-02-11 | 用于通过安全域来限制虚拟专用云网络之间的通信的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117222995A (zh) |
-
2022
- 2022-02-11 CN CN202280029061.3A patent/CN117222995A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11272037B2 (en) | Systems and methods for protecting an identity in network communications | |
| US11805045B2 (en) | Selective routing | |
| CN112470436B (zh) | 用于提供多云连通性的系统、方法、以及计算机可读介质 | |
| US10708125B1 (en) | Gateway configuration using a network manager | |
| US11470001B2 (en) | Multi-account gateway | |
| US10498765B2 (en) | Virtual infrastructure perimeter regulator | |
| EP3243304B1 (en) | Selective routing of network traffic for remote inspection in computer networks | |
| US10263839B2 (en) | Remote management system for configuring and/or controlling a computer network switch | |
| WO2016180181A1 (zh) | 业务功能的部署方法及装置 | |
| US20200322181A1 (en) | Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud | |
| US10462630B2 (en) | Network-based machine-to-machine (M2M) private networking system | |
| EP1769377A2 (en) | System for geographically distributed virtual routing | |
| US20240089203A1 (en) | System and method for automatic appliance configuration and operability | |
| US11943223B1 (en) | System and method for restricting communications between virtual private cloud networks through security domains | |
| US11916883B1 (en) | System and method for segmenting transit capabilities within a multi-cloud architecture | |
| CN117222995A (zh) | 用于通过安全域来限制虚拟专用云网络之间的通信的系统和方法 | |
| EP4295556A1 (en) | Multi-cloud network traffic filtering service | |
| CN117203938A (zh) | 用于分割多云架构内的中转能力的系统和方法 | |
| Jeong et al. | Lisp controller: a centralized lisp management system for isp networks | |
| CN108259292B (zh) | 建立隧道的方法及装置 | |
| US11258720B2 (en) | Flow-based isolation in a service network implemented over a software-defined network | |
| CN117178537A (zh) | 多云网络业务过滤服务 | |
| CN116982294A (zh) | 管理网络和操作方法 | |
| CN117693932A (zh) | 用于数据流的基于网络策略的流量管理的系统、分类器和方法 | |
| WO2024049905A1 (en) | Controller for coordinating flow separation of intra-vpc or inter-vpc communications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |