CN117693932A - 用于数据流的基于网络策略的流量管理的系统、分类器和方法 - Google Patents
用于数据流的基于网络策略的流量管理的系统、分类器和方法 Download PDFInfo
- Publication number
- CN117693932A CN117693932A CN202280047013.7A CN202280047013A CN117693932A CN 117693932 A CN117693932 A CN 117693932A CN 202280047013 A CN202280047013 A CN 202280047013A CN 117693932 A CN117693932 A CN 117693932A
- Authority
- CN
- China
- Prior art keywords
- network
- data stream
- incoming data
- cloud
- network device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title description 9
- 238000007405 data analysis Methods 0.000 claims abstract 11
- 238000004891 communication Methods 0.000 claims description 49
- 238000005538 encapsulation Methods 0.000 claims description 23
- 230000005540 biological transmission Effects 0.000 claims description 20
- 230000003068 static effect Effects 0.000 claims description 16
- 238000013507 mapping Methods 0.000 claims description 14
- 238000012544 monitoring process Methods 0.000 claims description 5
- 230000007704 transition Effects 0.000 claims description 2
- 230000008878 coupling Effects 0.000 claims 1
- 238000010168 coupling process Methods 0.000 claims 1
- 238000005859 coupling reaction Methods 0.000 claims 1
- 238000004458 analytical method Methods 0.000 description 11
- 238000003066 decision tree Methods 0.000 description 9
- 230000006855 networking Effects 0.000 description 5
- 230000000875 corresponding effect Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000002085 persistent effect Effects 0.000 description 3
- 108090000623 proteins and genes Proteins 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000005206 flow analysis Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000001052 transient effect Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000006641 stabilisation Effects 0.000 description 1
- 238000011105 stabilization Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种以用于基于策略的数据流量管理的分类架构为特征的系统。第一架构类型是作为Kubernetes集群操作的控制器和节点。该集群包括主节点和入口节点,入口节点被配置为访问主节点以获得入口节点接收的数据流的(一个或多个)属性,基于(一个或多个)属性确定适用于数据流的网络策略,以及基于网络策略确定分类标识符,以提供与数据流相关联的上下文和可靠关联。第二架构类型以包括数据分析逻辑和消息重新配置逻辑的入口网关为特征。数据分析逻辑确定适用于数据流的网络策略,并分配分类标识符以影响路由路径。消息重新配置逻辑将分类标识符封装到数据流内容中,以生成用于通过云或多云网络路由的分类数据流。
Description
相关申请的交叉引用
本申请要求2022年4月25日提交的No.17/727,891美国申请和2022年4月25日提交的No.17/727899美国申请的优先权权益,这两项美国申请都要求2021年4月30日提交的No.63/182,691美国临时专利申请的优先权权益,以上所有申请的全部内容通过引用并入本文。
技术领域
本公开的实施例涉及联网领域。更具体地,本公开的一个实施例涉及云网络基础设施,其可靠地将属于云实例的应用关联到在云网络上传播的数据流。
背景技术
在过去几年中,云计算提供了基础设施即服务(IaaS),其中资源作为公共云网络的部分提供,并使其作为服务对租户可访问。这些服务之一允许租户运行驻留在公共云网络内的软件组件(例如,诸如虚拟服务器的虚拟机实例)。因此,该软件功能性的迁移导致虚拟专用云网络(VPC)的增加使用,虚拟专用云网络(VPC)即按需可配置的共享资源池,其在公共云网络内分配,并在使用资源的不同组织或其他实体(下文中称为“用户”)之间提供一定程度的隔离。然而,公共云网络资源的增加使用量导致了更大的数据流量,并添加了对云网络管理的复杂性。
最近,已经开发和部署了具有独立于选择的一个或多个公共云提供商来监视和管理云联网的能力的一些软件平台。例如,一个软件平台以控制器和一组网关为特征,所述控制器和一组网关被部署为VPC的软件组件并且彼此通信地耦合。对于该软件平台,控制器和网关可以被配置为支持云网络上的数据流传输(例如,数据分组的路由),其中与数据流相关联的分组从源(例如,第一应用)被路由到目的地(例如,第二应用)。
对于该常规的网络架构,由于增加的云复杂性,变得非常难以确定地辨别哪些应用与网络上传播的数据流相关,以便确定如何处理数据流来满足该应用的不同要求。照惯例,每个应用被分配包括在数据流的每个分组中的互联网协议(IP)地址。然而,随着IP地址变得越来越短暂,它们在标识作为数据流的源的应用中的使用变得越来越不可靠。换句话说,由于云网络内由IP地址标识的资源呈指数级增长,这些IP地址将需要变得更短暂,并且因此,依赖IP地址进行源标识将随着时间推移变得更不可靠。
此外,随着数据流量的量值逐步扩大,由于越来越多的企业将软件组件迁移到云网络中,每个网关用来监视和管理数据流量的路由所需要的操作复杂性也相应地增加。该操作复杂性可能源于对更频繁地更新路由配置的改变的需要,这是耗时的并且破坏正在进行的通信。随着更多的公司他们的联网运营迁移到公共云网络,网络的汇聚(稳定化)和避免作为公共云网络的部分部署的VPC内的数据通信中断是必要的。下面描述并且需要一种通过基于策略的路由和源应用到其数据流的更准确关联来实现网络汇聚的技术。
附图说明
本发明的实施例在附图的各图中以示例的方式而非限制的方式图示,在附图中相同的附图标记指示相似的元件,并且在附图中:
图1是执行基于策略的数据流分类的云网络基础设施的第一示例性实施例。
图2是图1的云网络基础设施的更详细的表示。
图3是示例性决策树结构,其图示了确定与由图1的云网络基础设施内的入口网关进行的数据流相关联的一个或多个网络策略。
图4A是图2的入口网关的逻辑架构的第一示例性实施例。
图4B是图2的入口网关的逻辑架构的第二示例性实施例。
图5是图2的入口网关的一般逻辑操作的示例性实施例。
图6是包括执行基于策略的数据流分类的第二类分类器的云网络基础设施的第二示例性实施例。
图7是包括执行基于策略的数据流分类的第三类分类器的云网络基础设施的第三示例性实施例。
图8A-8E是与从图2、6-7的入口网关传输的分类数据流相关联的消息的逻辑结构的示例性实施例。
具体实施方式
描述了针对以基于策略的数据流量管理方案为基础的改进的云网络基础设施的系统和方法的实施例。云网络基础设施支持数据流(例如,消息或一系列消息)的基于策略的路由,这可以通过将分类标识符分配给在云网络基础设施上传播的每个数据流来实现。分类标识符(在下文中是“类ID”)标识数据流的类型,其中这样的标识以哪个用户定义的网络策略(或者两个或更多个网络策略的哪个组)包括关于数据流转发的要求为依据,所述要求由与数据流的源和/或目的地相关联的某些属性以及流本身的属性来满足。在本文中,类ID可以对应于确定的网络策略(例如,每个类ID和对应的网络策略之间的一对一映射),或者类ID可以对应于网络策略的某个组(组合)。对类ID的使用将在应用和它们在云网络或作为集体云网络(即,多云网络)操作的多个(不同的)云网络上传播的数据流以及数据流本身的上下文之间提供更可靠的关联。
云网络基础设施的一个实施例可以涉及公共云网络内的负载均衡的全网状网络,其已经被配置为减轻由于通信链路故障所致的去往或来自虚拟专用云网络(VPC)的通信的中断。全网状网络可以通过建立(i)在云网络的边缘作为虚拟专用云网络操作的基于云的联网基础设施(下文中是“边缘VPC”)和(ii)支持数据流量从一个VPC到另一个的传播(在下文中是“转接VPC”)的作为虚拟专用云网络操作的基于云的联网基础设施来实现。
在本文中,根据本公开的一个实施例,第一边缘VPC可以包括通信地耦合到一个或多个云实例(例如,每个云实例可以支持一个或多个应用)的至少一个网关(在下文中是“入口网关”)。第二边缘VPC可以包括也通信地耦合到一个或多个云实例的至少一个网关(在下文中是“出口网关”)。入口网关和出口网关可以经由一个或多个对等通信链路通信地耦合到部署在转接VPC内的(例如,两个或更多个)网关集(下文中是“转接网关”),所述一个或多个对等通信链路根据安全网络协议(诸如,例如互联网协议安全(IPSec)隧道)进行操作。可以根据唯一的无类域间路由(CIDR)路由地址来访问这些网关中的每一个,以通过网络传播消息。
如下所述,每个入口网关被配置为基于与数据流相关联的属性将类ID分配给传入数据流,该数据流符合并由此满足由特定用户(例如,公司、联盟等)的管理员为云网络基础设施定义的一个或多个网络策略的某些要求。在本文中,网络策略通常指定期望的状态,其可以由管控网络设备(诸如网关)之间的数据流(消息)转发的需求的集合来表示。这些网络设备可以是物理网络设备(例如,具有诸如硬件路由器、硬件控制器的电路系统的电子设备,诸如计算机、智能电话、平板设备等之类的端点设备)或虚拟网络设备(例如,作为特定网络设备操作的软件构造)。
在本文中,根据本公开的一个实施例,类ID可以被表示为24位或32位值,其可以被分配有“本地”粒度(例如,类ID仅与该通信会话的相邻网络设备之间的数据流的片段有关),或者可以被分配有“全局”粒度(例如,类ID是唯一的,并且与遍及私有云网络的任何通信的特定数据流有关)。“全局”类ID降低了流分析(例如,对特定消息的传播进行采样)的复杂性,并且改进了总体网络效率,因为类ID的改变率减弱,从而降低了控制器为解决类ID改变而进行的网关配置改变的频率,并且这将在下文中讨论。
根据本公开的该实施例,与数据流相关联的属性可以至少部分基于静态属性和动态属性。假设入口网关与作为数据流的源的云实例的应用共处一地,则可以从与入口网关相关联的信息中明确与数据流相关联的静态属性。静态属性的示例可以包括但不被限制或限定于基于位置的属性(例如,相同的云区域、相同的云地带、相同的地理位置,诸如国家、州、城市、社区或其他地理区域、相同的云提供商等)。相反,动态属性可以诸如通过使用数据流的源地址作为对地址到属性映射数据存储的索引从数据流的内容中获得,如下所述。
作为另一个示例,可以通过决策树结构来确定类ID,该决策树结构可以基于哪个网络策略或网络策略的组合与和数据流相关联的某些属性最密切相关来分配结果类ID。替代地,类ID可以在控制器级,其中与每个应用相关联的数据流被分类,并且控制器向每个入口网关提供IP地址到类ID的映射表。独立于类ID确定过程的类型,类ID的数量可以对应于网络策略的数量,使得类ID仅当与特定网络策略相关联的需求改变时才改变。
根据本公开的另一个实施例,可以通过使用应用编程接口(API)来确定类ID。对于该实施例,作为作为第一边缘VPC的部分的Kubernetes集群的出口网关操作的入口网关访问API以检索与数据流相关联的属性。例如,这些属性可以包括与源应用相关联的属性。基于这些属性连同从数据流本身获取的属性,可以根据决策树或其他类型的确定性方案来确定类ID值。根据本公开的又一实施例,可以基于作为在源应用和入口网关之间交换的证书的部分而包括的信息来获得类ID,入口网关利用服务网格部署作为出口网关操作,如下所述。
与负载均衡的全网状网络系统架构的一个实施例相关联的逻辑的另外细节在下面描述:
实例子网:边缘VPC可以支持多个实例子网,使得来自特定实例子网的云实例的数据流被转发到选择的入口网关。
云实例:软件组件的集合,被配置为在云(或多云)网络内接收传入数据流(一个或多个消息)和/或传输传出数据流。作为说明性示例,云实例可以由虚拟web服务器、由虚拟web服务器处理的多个应用以及由虚拟web服务器维护的数据库组成。对于这种和其他配置,云实例可以生成(和传输)不同类型的数据流,取决于数据流的属性对所述不同类型的数据流不同地分类。例如,由作为在web服务器上操作的应用中的第一应用的备份代理发起的数据流将与作为与相同云实例相关联的多个应用之一的浏览器应用相比被不同地分类。
网关:可以在一个或多个VPC中部署多个网关,以控制从云实例(包括源应用)到云实例(包括目的应用)的数据流的路由。具有相似的架构,网关可以基于它们在云(或多云)网络内的位置/可操作性而被不同地标识。“入口”网关被配置为与包括应用的云实例交互,而“转接”网关被配置为进一步协助定向到另一边缘VPC内的入口网关的数据流(例如,一个或多个消息)的传播。
IPSec隧道:在网关之间建立的安全的对等通信链路,其中网关可以位于相同VPC内或者位于不同的相邻VPC内。对等通信链路通过被称为“互联网协议安全性”(IPSec)的安全网络协议套件来保护。关于全网状网络部署的一个实施例,作为说明性示例,在边缘VPC可以包括“M”个网关(例如,M≥1)并且相邻(转接)VPC具有N个网关(N≥1)的情况下,可以在边缘VPC和转接VPC之间创建M×N个IPSec隧道。这些IPSec隧道在网关中由虚拟隧道接口(VTI)表示,并且隧道状态由VTI状态表示。
网关路由:在网关路由表中,网关和隧道终止的IP可寻址目的地(例如,另一个网关、内部部署(on-prem)计算设备等)之间的路由路径例如由虚拟隧道接口(VTI)标识,可以至少部分地由在入口网关处生成的类ID来管控。可以至少部分地基于对与数据流量相关联的某些信息(例如,5元组-源IP地址、目的地IP地址、源端口、目的地端口、选择的传输协议)进行的分析来进一步管控路由路径。如果任何IPSec隧道状态被改变或禁用(或重新激活),则可以从关于所选择路由路径的终止点的考虑中移除(或添加)对应的VTI。
I.术语
在下面的描述中,某些术语用于描述本发明的特征。在某些情形下,术语“逻辑”和“设备”代表被配置为执行一个或多个功能的硬件、软件或其组合。作为硬件,逻辑(或设备)可以构成控制逻辑,其可以包括具有数据处理或存储功能性的电路系统。这样的控制电路系统的示例可以包括但不被限制或限定为处理器(例如,微处理器、一个或多个处理器内核、微控制器、控制器、可编程门阵列、专用集成电路等)、无线接收器、发射器和/或收发器、半导体存储器或组合逻辑。
替代地或者与上述硬件电路系统组合,逻辑(或网络设备)可以是一个或多个软件模块形式的软件。(一个或多个)软件模块可以包括可执行应用、应用编程接口(API)、子例程、函数、过程、小应用、小服务程序、例程、源代码、共享库/动态加载库或一个或多个指令。(一个或多个)软件模块可以被编码为处理器,即虚拟处理器。
(一个或多个)软件模块可以存储在任何类型的合适的非暂时存储介质或暂时存储介质(例如,电、光、声或其他形式的传播信号,诸如载波、红外信号或数字信号)中。非暂时性存储介质的示例可以包括但不被限制或限定为可编程电路;半导体存储器;非永久性存储器,诸如易失性存储器(例如,任何类型的随机存取存储器“RAM”);永久性存储装置,诸如非易失性存储器(例如,只读存储器“ROM”、电源支持的RAM、闪存、相变存储器等)、固态驱动器、硬盘驱动器、光盘驱动器或便携式存储器设备。作为软件,该逻辑可以作为存储在永久性存储装置中的固件来操作。
术语“计算机化的”通常表示任何对应的操作由与软件组合的硬件来进行。
术语“网关”可以被解释为虚拟或物理逻辑。例如,作为说明性示例,网关可以对应于软件组件形式的虚拟逻辑,诸如被分配了与包括网关的VPC相关联的IP地址范围内的私有IP地址的基于虚拟机(VM)的数据路由组件。该网关允许云服务提供商(CSP)和企业在包括公共网络(例如因特网)的虚拟和物理网络之间使能数据中心和云网络流量路由。替代地,在一些实施例中,网关可以对应于物理逻辑,诸如通信地耦合到网络并被分配了硬件(MAC)地址和IP地址的电子设备。
术语“云网络基础设施”通常指代基于与公共云网络相关联的硬件对特定软件的执行而生成或者可以被部署在多云网络内的软件组件(例如,实例)的组合。每个软件组件(或软件组件的组合)可以构成与公共云(或多云)网络相关联的虚拟网络资源,诸如虚拟交换机、虚拟网关等。
术语“消息”通常指代具有规定格式并根据合适的递送协议传输的信息。因此,每个消息可以是一个或多个分组、帧或具有规定格式的任何其他比特序列的形式。“数据流”通常指代从源(例如,第一应用实例或其他软件组件)向目的地(例如,第二应用实例或其他软件组件)传输的一个或多个消息。
术语“通信链路”可以被解释为两个或更多个网络设备之间的物理或逻辑通信路径。例如,作为物理通信路径,可以使用以电线、光纤、线缆、总线迹线或使用红外、射频(RF)的无线信道形式的有线和/或无线互连。作为逻辑通信路径,通信链路可以是应用编程接口(API)或其他软件构造,其提供可以用逻辑表示构成两个网络设备的两个软件组件之间的信息传送。
最后,如本文使用的术语“或”和“和/或”应被解释为包含性的,或者意指任何一个或任何组合。作为示例,“A、B或C”或者“A、B和/或C”意指“以下各项中的任一个:A;B;C;A和B;A和C;B和C;A、B和C”。仅当元件、功能、步骤或动作的组合以某种方式固有地相互排斥时,才将出现该定义的例外。
由于本发明易受许多不同形式的实施例影响,因此本公开旨在应被认为是本发明原理的示例,并且不是旨在将本发明限制于所示出和描述的特定实施例。
II.通用云网络基础设施
参考图1,云网络基础设施110的示例性实施例,其部署在公共云网络100内,并且对与特定企业相关联的用户可访问。在本文中,云网络基础设施110包括虚拟专用云网络(VPC)的集合,其支持驻留在不同VPC中的一个或多个云实例之间的可靠通信。云网络基础设施110可以被配置为作为负载均衡的全网状网络来操作,如在2020年10月23日提交的题为“Active Mesh Network System and Method”的美国专利申请No.17/079,399中所描述的,该美国专利申请的全部内容通过引用并入本文。
根据本公开的该实施例,如所示出的,云网络基础设施110可以被配置为由控制器115管理的多个VPC。在本文中,控制器115被通信地耦合以向这些VPC内的一个或多个虚拟网络设备提供信息,从而通过用户定义的网络策略来执行数据流分类,并且至少部分地依赖于数据流的分类标识符(下文中是“类ID”)来控制数据流路由。
在本文中,VPC包括第一VPC(下文中是“第一边缘VPC”)120、第二边缘VPC 130和第三VPC(下文中是“中转VPC”)140。转接VPC 140使能第一边缘VPC 120和第二边缘VPC 130之间的通信。尽管为了清楚起见,在图1中图示了两个边缘VPC 120和130,但是设想云网络基础设施110可以部署附加的边缘VPC和多个中转VPC。
如所示出的,第一边缘VPC 120被配置有一个或多个实例子网150(下文中是“子网”),其中这些实例子网150中的每一个可以包括一个或多个云实例。如所示出的,云子网150的云实例(例如,云实例155)内的应用157可以被配置为与类分配路由逻辑160交换数据流。类分配路由逻辑160可以被配置为(i)分析与来自源应用157的传入数据流165的每个消息相关联的内容(例如,报头信息、元信息等),(ii)将类ID 170分配给数据流165,以及(iii)将类ID 170封装到与数据流165相关联的消息(或每个消息)中。
在本文中,根据本公开的一个实施例,可以分析数据流165的内容,以标识与数据流165相关联的某些属性167。这些属性167可以通过访问从控制器115提供的属性查找数据存储(未示出)来标识,其中5元组的一部分(例如,基于5元组的一个或多个元素的值——源IP地址、目的地IP地址、源端口、目的地端口、传输协议)可以用于访问与源应用157和/或目的地应用相关联的某些属性。基于这些属性167,类分配路由逻辑160可以确定针对这种类型的数据流165的用户定义的网络策略180。类ID 170以哪个网络策略180(以及其要求)与数据流165的标识属性167相关(并被其满足)为依据。
此后,如在图8A-8E中图示的,用于将类ID 170放置到与数据流165相关联的(一个或多个)消息中的封装方案可以取决于云网络基础设施110所支持的传输协议,这产生了分类数据流175。一般而言,类ID 170可以被封装到(一个或多个)消息中的每一个的IPSec报头中,以形成分类数据流175。
转接VPC 140通过不同的网关转发分类数据流175,其中转发可能受到类ID 170影响。作为第二边缘VPC 130的组件的重新路由逻辑185可以被配置为从分类数据流175中移除类ID 170,并将原始传输的数据流165的内容定向到作为由第二边缘VPC 130支持的实例子网195的部分的目标目的地云实例190。
现在参考图2,示出了图1云网络基础设施110的示例性实施例的更详细的表示,该云网络基础设施110包括经由转接VPC 140通信地耦合的第一边缘VPC 120和第二边缘VPC130。在本文中,第一边缘VPC 120被配置有(一个或多个)实例子网150,其中实例子网150内的云实例155被配置为与类分配路由逻辑160交换数据流,即在第一边缘VPC 120中维护的(例如,两个或更多个)网关集2001-200M(M≥2)中的网关。在本文中,这些网关2001-200M被称为“入口网关”2001-200M。
更具体地,用于云网络基础设施110的控制器115被配置为通过使用VPC路由表210来管理(一个或多个)实例子网150和入口网关集2001-200M之间的通信,该VPC路由表210最初被配置为标识哪个入口网关2001...或200M负责与哪个实例子网150或云实例进行交互。根据本公开的一个实施例,云实例155中的每一个可以包括作为虚拟资源共同操作的多个软件组件。例如,如上所述,云实例155可以对应于被配置为执行多个应用205的虚拟web服务器,其中这些应用205可以生成和输出不同类型的数据流165。
仍然参考图2,根据本公开的一个实施例,云网络基础设施110可以通过将部署在边缘VPC 120内的入口网关集2001-200M对等到可以被称为“转接网关”2201-220N的部署在转接VPC 140内的网关集2201-220N(N≥2)来实现。为了便于说明,入口网关集2001-200M被表示为第一入口网关2001和第二入口网关2002,尽管可以在边缘VPC 120内部署三个或更多个入口网关。类似地,转接网关集2201-220N由第一转接网关2201和第二转接网关2202表示,尽管可以在转接VPC 140内部署三个或更多个转接网关。
如所示出的,入口网关2001被配置用于经由对等通信链路230与转接网关2201-2202通信。特别地,根据本公开的一个实施例,入口网关(例如,入口网关2001)可以经由多个活动对等通信链路通信地耦合到每个转接网关2201-2202。类似地,如出于说明目的所示,转接网关2203-2204可以经由对等通信链路232以及经由对等通信链路234在第二边缘VPC 130中维护的网关集2401-240P(P≥2)通信地耦合到其他转接网关(例如,转接网关2201-2202)。在本文中,这些网关2401-240P被称为“出口网关”2401-240P。此外,对等通信链路230、232和/或234可以构成密码安全隧道,诸如IPSec隧道。IPSec隧道230、232和234的管理可以通过由相应网关2001-2002、2201-2204和2401-2402中的每一个维护的网关路由表(未示出)来实现。
关于操作,第一边缘VPC 120被配置有一个或多个实例子网150,其包括包含云实例155的多个云实例。云实例155被配置为向入口网关2001提供数据流165。入口网关2001被配置为分析数据流165的内容,并向其分配类ID 170。类ID 170以来自网络策略250组中的哪个网络策略包括与传入数据流165的属性具有高度相关性的要求为依据。例如,根据本公开的一个实施例,类ID 170可以至少部分基于来自用户定义的网络策略250组中的哪个网络策略180由与数据流165的属性相关的要求组成。
更具体地,在制定网络策略250和接收传入数据流165之后,入口网关2001被配置为通过确定数据流165的属性167来分析数据流165的内容。这些属性167可以包括静态属性260和动态属性265。
根据本公开的一个实施例,基于入口网关2001和云实例155二者的共同定位,静态属性260可以从与入口网关2001相关联的属性中可获得。静态属性260的示例可以包括与云实例155的位置相关联的信息,云实例155包括数据流165的源应用,所述云实例155的位置将是与入口网关2001相同的位置(例如,云提供商、云区域、云地带、地理位置,诸如国家、州、城市、社区或其他子区域)。通过由控制器115提供的IP地址到属性的映射270,动态属性265可以可用于入口网关2001。映射270标识可以适用于源应用的属性。这些属性可以包括但不被限制或限定于在表A中阐述的以下属性:
表A
此后,可以至少部分基于这些属性260和265中的一些或全部的值来确定类ID170。
根据本公开的其他实施例,可以至少部分地通过决策树分析来确定类ID 170,该决策树分析将特定属性的值与将表示与网络策略要求的相关性的决策相关联。
作为说明性示例,图3中示出了供在确定与数据流165相关联的一个或多个网络策略中使用的决策树结构300。在本文中,决策树结构300可以以基于特定属性的存在(或不存在)和/或这些属性的值的决策310为特征。第一决策320的结果可以标识数据流165与第一网络策略330相关联或者服从第二决策340。类似地,基于第二决策340,产生结果345,该结果345标识数据流165与第二网络策略350相关联或者服从第三决策360。该决策树分析一直进行到网络策略180被确定。在确定与数据流165相关联的网络策略后,入口网关2001可以分配对应于数据流165的属性与之高度相关的网络策略或网络策略组的类ID。
返回参考图2,将类ID 170封装到数据流165中的方式(其产生分类数据流175)可以取决于云网络基础设施110所支持的传输协议。例如,在数据流165构成一个或多个基于UDP的IP分组的情况下,可以用加密的主体段(例如,在ESP报头之后,在Wireguard报头之后,等等)来实现类ID 170,如在图8A-8E中示出并且在下面描述。
转接VPC 140通过不同的转接网关2201-2204转发分类数据流175,其中转发可能受到类ID 170影响。例如,类ID 170可以用于确定在将分类数据流路由到出口网关2401中使用哪个通信链路232。附加地,转接网关2201-2204中的每一个可以被配置为至少部分地基于类ID 170来进行过滤操作,以代替依赖源或目的地IP地址的常规防火墙技术。作为示例,转接网关(例如,转接网关2201)可以通过消除超过特定大小(以字节为单位)、超过特定突发大小或突发长度、超过带宽阈值、构成完全禁止传输的特定类型的数据流(或者到特定应用或到特定边缘VPC)等的数据流来进行流量限制操作。
作为第二边缘VPC 130的组件的出口网关2401负责从分类数据流165中移除类ID170,并将数据流165的内容定向到作为由第二边缘VPC 130支持的子网195的部分的目标目的地云实例190。
III.通用分类架构
A.IP分类器
现在参考图4A,示出了图2入口网关2001的逻辑架构的第一示例性实施例。在本文中,入口网关2001包括接口400、控制逻辑410、队列420和非暂时性存储介质(例如,数据存储)430。数据存储430以队列监视和选择逻辑440、类ID分析逻辑450、消息重新配置逻辑460和网络策略250为特征。入口网关2001被配置为经由接口400接收数据流165(例如,一个或多个消息),并生成与数据流165相关联的类ID 170,以作为数据流165的部分从接口400传输。
如所示出的,队列420可以是传入队列422和/或传出队列424。例如,在经由接口400接收之后,在由类ID分析逻辑450进行分析之前,与数据流165相关联的内容可以暂时维持在传入队列422内。传出队列424也可以用作等待从入口网关2001传输的分类数据流175的暂时性存储装置。可以根据分类优先级来构造传出队列424,其中可以基于所分配的类ID来区分分类数据流175的传输的优先级。一般而言,排队策略可以至少部分基于分配给数据流165的类ID。
更具体地,由控制逻辑410(例如,一个或多个处理器)执行的队列监视和选择逻辑440可以检测与传入队列422内的数据流165相关联的内容的存储,并相应地向类ID分析逻辑450发信号。类ID分析逻辑450被配置为(i)确定哪个网络策略250适用于数据流165,以及(ii)根据所确定的网络策略分配类ID 170。例如,可以通过基于数据流165的属性167确定网络策略250的哪些要求与这些属性167相关来选择类ID 170。类ID 170可以对应于具有与数据流165的属性最佳相关的要求的网络策略或网络策略组。
附加地,消息重新配置逻辑460适于将类ID 170适当地封装到数据流165中,以生成分类数据流175,用于定向到目标云实例的传输。附加地,消息重新配置逻辑460可以包括路由预测逻辑,以选择特定的转接网关和通信链路来接收分类数据流。这样的选择可以至少部分基于封装到分类数据流175中的类ID 170。例如,分类数据流175可以被路由到特定的转接网关2202,该特定的转接网关2202被配置有特定数据流所需要的特定安全策略(例如,在分类数据流175是信用卡信息的情况下,转接网关2202支持支付卡行业数据安全标准“PCIDSS”)。
在消息重新配置逻辑460的上述操作的同时(例如,至少在时间上部分重叠)或之后,由控制逻辑410执行的队列监视和选择逻辑440可以基于与数据流165相关联并且被封装到分类数据流175中的类ID 170选择一个传出队列424。可以为传出队列424分配一定的优先级,使得可以在与另一个类ID相关联的分类数据流175之前传输与特定类ID相关联的分类数据流175。
参考图4B,示出了入口网关2001的逻辑架构的第二示例性实施例。在本文中,入口网关2001包括接口400、控制逻辑410、队列420和非暂时性存储介质(例如,数据存储)430,如在图4A中图示。然而,代替一种类型的流分析逻辑(例如类ID分析逻辑)450,数据存储430包括被配置为与属性到网络策略数据存储485、网关特性数据存储(用于静态属性)490和网络策略到类ID数据存储495相组合操作的类ID分配逻辑480。在本文中,类ID分配逻辑480被配置为通过至少访问来自网关特性数据存储490的静态属性和来自数据流165的内容的动态属性,从网络策略250中确定适用于数据流165的网络策略180。一般而言,某些属性(例如,静态、动态或静态和动态属性的组合)可以用于确定哪些网络策略250适用于数据流165。此后,类ID分配逻辑480访问网络策略到类ID数据存储495,以确定与源自云实例155的数据流165相关联的类ID 170。当然,作为替代实施例(未示出),类ID分配逻辑480可以简单地基于属性到类ID的关系访问规定的表。
现在参考图5,示出了图2的入口网关2001的一般逻辑操作的示例性实施例。在本文中,入口网关2001包括类ID分配逻辑500;路由预测逻辑520;流量限制器逻辑540;和队列选择逻辑560。在本文中,传入数据流165由类ID分配逻辑500接收,基于哪个网络策略(或哪些策略)适用于数据流165,类ID分配逻辑500将类ID分配给数据流165。类ID 170被封装在数据流165内,以生成分类数据流175。分类数据流175被提供给路由预测逻辑520。
路由预测逻辑520被配置为确定特定的转接网关和对应的通信链路,以接收分类数据流175,用于路由到目标应用。该确定可以至少部分地基于所选择的类ID 170。流量限制器逻辑540被配置为接收分类数据流175,并通过过滤控制分类数据流的传播来“整形”流量。队列选择逻辑560确定哪些传出队列424接收分类数据流175,尤其是当不同的输出队列424被分配不同的优先级时。
B.Kubernetes分类器
现在参考图6,示出了包括执行基于策略的数据流分类的第二类型分类器的云网络基础设施600的第二示例性实施例。在本文中,Kubernetes集群610可以被部署为第一边缘VPC 120的部分。一般而言,Kubernetes是用于部署、管理和扩展容器的开源编排软件。Kubernetes集群610以多个节点620为特征,所述多个节点620包括主节点630和一个或多个工作者节点650。如所示出的,节点620可以是物理网络设备或虚拟网络设备(例如,虚拟机)。
根据一个实施例,主节点630控制Kubernetes集群610的状态,而(一个或多个)工作者节点650是执行由主节点630分配的任务(例如,运行应用等)的组件。一般而言,主节点630可以以API服务器640为特征,该API服务器640向所有Kubernetes资源展露代表性状态转移(RESTful)API接口645,并提供与控制器逻辑648的通信,该控制器逻辑648具有与图2的控制器115相关联的特定功能性。控制器逻辑648可以被提供对由图2的控制器115填充的具有IP/属性映射的本地存储装置的访问,其中“IP”可以是例如源应用的IP地址。设想该映射可能关于涉及与数据流165的消息相关联的5元组特性。
如所示出的,每个工作者节点650可以被配置有一个或多个容器,即运行应用的逻辑设备。在本文中,第一工作者节点652可以包括作为图2的入口网关2001(下文中是“入口节点”652)操作的一个或多个容器。在从另一工作者节点654(例如,作为图1的云实例155操作的虚拟机,其作为诸如web浏览器应用的源应用操作)接收到数据流165后,入口节点652被配置为经由API接口645访问API服务器640,以从控制器逻辑648获得与数据流165相关联的属性660。这些属性660可以基于源应用654的IP地址665获得。这些属性600可以与和源应用656相关联的属性相组合。
此后,根据属性660连同作为数据流165的部分包括的属性,入口节点652被配置为基于从图2的控制器115提供的属性-策略映射670来确定与数据流165相符的网络策略180(或网络策略组)(例如,经由决策树分析或其他类型的确定性方案)。基于适用于数据流165的网络策略180和类ID之间的映射675,类ID 170可以被确定并封装到数据流165中,以在从Kubernetes集群610向目标源应用传输之前形成分类数据流175。
C.服务网格分类器
参考图7,示出了包括执行基于策略的数据流分类的第三类型分类器的云网络基础设施700的第三示例性实施例。在本文中,Kubernetes集群710可以被部署为第一边缘VPC120的部分。如图6中所示,Kubernetes集群710以多个节点720为特征,所述多个节点720包括主节点730和一个或多个工作者节点750。主节点730控制Kubernetes集群710的状态,而(一个或多个)工作者节点750是执行由主节点730分配的任务(例如,运行应用等)的组件。不同于图6的Kubernetes分类方案,该分类器从相同或不同工作者节点750内的两个容器之间交换的数字(TLS)证书中获得属性。
更具体地,如所示出的,第一容器760建立在作为图2的入口网关2001操作的第二容器770(下文中是“入口容器”770)处终止的安全通信链路780(例如,传输层安全“TLS”链路)。第一容器760可以作为运行包括作为覆盖物理集群的虚拟集群的名字空间762的源应用的云实例来操作,并且包括与源应用相关联的属性765和/或作为维护在第一容器760中运行的源应用的属性765的数据存储的服务账户764。属性765可以被包括在第一容器760和入口容器770之间交换的TLS证书790中并从该TLS证书790获得。
仍然参考图7,在访问属性765连同作为数据流165的部分包括的属性后,入口容器770被配置为基于从图2的控制器115提供的属性-策略映射795来确定与数据流165相符的网络策略180(或网络策略组)(例如,经由决策树分析或其他类型的确定性方案)。基于适用于数据流165的网络策略180和类ID 170之间的另一映射797,类ID 170可以被确定,并由封装逻辑798封装到数据流165中以在从Kubernetes集群710向目标目的地应用传输之前形成分类数据流175。
IV.用于数据流的消息配置
现在参考图8A-8E,示出了与从图2、6-7的入口网关传输的分类数据流相关联的消息的逻辑结构的示例性实施例。关于支持第一通信协议(ESP)的图8A,与数据流175相关联的传入消息(例如,IP分组)800被接收并且被封装,以便在通信链路(例如,隧道)上传输。封装消息805包括隧道报头810,隧道报头810可以包括可选的用户数据报协议(UDP)报头812、封装安全协议(ESP)报头814和确定的类ID 170。在本文中,类ID 170是封装消息的部分,以防止在传输期间被入侵者或任何恶意应用或实体篡改。封装消息805被包括作为IP消息的部分,从而具有IP报头820,以便通过基于IP的通信链路从入口网关传输。
关于支持第二通信协议(WireGuard)的图8B,与数据流175相关联的传入消息(例如,IP分组)800被接收并且被封装,以便在通信链路(例如,隧道)上传输。封装消息825包括隧道报头830,该隧道报头830可以包括可选的用户数据报协议(UDP)报头832、WireGuard报头834和确定的类ID 170。封装消息825被包括作为IP消息的部分,从而具有IP报头840,以便通过基于IP的通信链路从入口网关传输。
关于支持第三通信协议(通用路由封装)的图8C,与数据流175相关联的传入消息(例如,IP分组)800被接收并且被封装,以便通过通信链路(例如,隧道)进行传输。封装的消息850包括通用路由封装(GRE)报头860,该通用路由封装(GRE)报头860可以包括可用字段以包括所确定的类ID 170。封装消息850被包括作为IP消息的部分,从而具有IP报头865,以便通过基于IP的通信链路从入口网关传输。
关于支持诸如虚拟可扩展LAN(VXLAN)的第四通信(封装)协议的图8D,与数据流175相关联的传入消息(例如,IP分组)800被接收并且被封装,以便通过通信链路(例如,隧道)进行传输。封装消息870包括VXLAN报头875,该VXLAN报头875可以包括确定的类ID 170,并且类ID 170可以被包括作为封装消息870的部分。封装消息870被包括作为具有IP报头875的IP消息的部分,以便在基于IP的通信链路上路由来自入口网关的传输。
关于支持诸如虚拟可扩展LAN(VXLAN)的第四通信(封装)协议的图8D,与数据流175相关联的传入消息(例如,IP分组)800被接收并且被封装,以便通过通信链路(例如,隧道)进行传输。封装消息870包括VXLAN报头875,该VXLAN报头875可以包括确定的类ID 170(例如,放置在24比特VNI字段中),并且类ID 170可以被包括作为封装消息870的部分。封装消息870被包括作为具有IP报头880的IP消息的部分,以便在基于IP的通信链路上路由来自入口网关的传输。
关于支持诸如Geneve的第五通信(封装)协议的图8E,与数据流175相关联的传入消息(例如,IP分组)800被接收并且被封装,以便在通信链路(例如,隧道)上传输。封装消息885包括Geneve报头890,该Geneve报头890可以包括确定的类ID 170。封装消息885被包括作为具有IP报头895的IP消息的部分,以便在基于IP的通信链路上路由来自入口网关的传输。
在不脱离本公开的精神的情况下,本发明的实施例可以以其他特定形式体现。所描述的实施例在所有方面都仅被认为是说明性的,而不是限制性的。
Claims (45)
1.一种系统,包括:
控制器;
作为Kubernetes集群操作的多个节点,所述多个节点包括
通信地耦合到控制器的主节点,以及
入口节点,包括执行应用的一个或多个逻辑设备,所述入口节点被配置为(i)基于与数据流的源相关联的网络地址访问主节点以至少获得与入口节点接收的数据流相关联的第一属性,(ii)基于至少第一属性确定适用于数据流的一个或多个网络策略,以及(iii)基于所述一个或多个网络策略确定分类标识符,
其中所述分类标识符在通过云网络传播期间提供与数据流相关联的上下文以及在应用和与所述应用相关联的数据流之间的可靠关联。
2.根据权利要求1所述的系统,其中,所述主节点包括(a)控制器逻辑,其被配置为建立与所述控制器的通信耦合,以及(b)应用编程接口(API)服务器,其向所述入口节点展露代表性状态转移(RESTful)API接口。
3.根据权利要求2所述的系统,其中,所述控制器逻辑被配置为访问所述控制器的本地存储装置,所述本地存储装置包括网络地址和对应于每个网络地址的属性之间的映射。
4.根据权利要求1所述的系统,其中,所述网络地址是互联网协议(IP)地址。
5.根据权利要求1所述的系统,其中,所述入口节点被配置为基于经由所述主节点从所述控制器获得的所述第一属性和从所述数据流获得的一个或多个属性来确定适用于所述数据流的一个或多个网络策略。
6.根据权利要求1所述的系统,其中,所述多个节点中的入口节点被配置为将所述分类标识符封装到包括来自所述数据流的内容的一个或多个消息中。
7.根据权利要求6所述的系统,其中,所述一个或多个公共云网络包括第一公共云网络和第二公共云网络。
8.根据权利要求6所述的系统,其中,所述分类标识符在管理部署在一个或多个公共云网络中的虚拟专用云网络之间的数据流中使用。
9.根据权利要求6所述的系统,其中,所述一个或多个消息中的第一消息包括互联网协议(IP)分组和隧道报头,所述隧道报头包括封装安全协议(ESP)报头和分类标识符。
10.根据权利要求6所述的系统,其中,所述一个或多个消息中的第一消息包括互联网协议(IP)分组和隧道报头,所述隧道报头包括WireGuard报头和分类标识符。
11.根据权利要求6所述的系统,其中,所述一个或多个消息中的第一消息包括互联网协议(IP)分组和通用路由封装(GRE)报头,所述通用路由封装(GRE)报头包括包含分类标识符的字段。
12.根据权利要求6所述的系统,其中,所述一个或多个消息中的第一消息包括互联网协议(IP)分组、虚拟可扩展局域网(VXLAN)报头和分类标识符。
13.一种系统,包括:
控制器,包括属性-策略映射;
多个节点,包括
第一节点,包括执行至少第一应用的一个或多个逻辑设备,以及
经由安全通信链路耦合到第一节点的第二节点,第二节点被配置为从第一节点接收传输层安全性(TLS)证书,TLS证书包括向第二节点提供数据流的第一应用的一个或多个属性,
其中所述第二节点被配置为(i)从所述TLS证书获得所述一个或多个属性,(ii)基于所述控制器内的属性-策略映射来确定符合所述数据流的一个或多个网络策略,以及(iii)基于所述一个或多个网络策略来确定分类标识符,所述分类标识符在云网络上传播期间提供与所述数据流相关联的上下文以及所述源应用和所述数据流之间的可靠关联。
14.根据权利要求13所述的系统,其中,所述多个节点包括主节点,所述主节点被配置为控制作为Kubernetes集群操作的多个节点的状态。
15.根据权利要求13所述的系统,其中,所述第一节点包括对应于运行所述源应用的云实例的一个或多个逻辑设备。
16.根据权利要求15所述的系统,其中,所述云实例对应于覆盖物理网络设备集群的虚拟网络设备集群。
17.根据权利要求13所述的系统,其中,所述第二节点基于从映射中访问所述分类标识符来确定所述分类标识符,所述映射包括对应于所述分类标识符的一个或多个网络策略。
18.根据权利要求13所述的系统,其中,所述第二代码进一步被配置为将所述分类标识符封装到包括来自所述数据流的内容的一个或多个消息中。
19.根据权利要求18所述的系统,其中,所述一个或多个消息中的第一消息包括互联网协议(IP)分组和隧道报头,所述隧道报头包括分类标识符和(a)封装安全协议(ESP)报头、(b)WireGuard报头或(c)虚拟可扩展局域网(VXLAN)报头。
20.根据权利要求6所述的系统,其中,所述一个或多个消息中的第一消息包括互联网协议(IP)分组和通用路由封装(GRE)报头,所述通用路由封装(GRE)报头包括包含分类标识符的字段。
21.一种入口节点,包括:
被配置为访问主节点以基于与数据流的源相关联的网络地址获得与入口节点接收的数据流相关联的至少第一属性的逻辑;
被配置为至少基于所述第一属性来确定适用于所述数据流的一个或多个网络策略的逻辑;和
被配置为基于所述一个或多个网络策略来确定分类标识符的逻辑。
22.一种网络设备,包括:
数据分析逻辑,被配置为确定多个网络策略中的至少一个网络策略中的哪一个适用于传入数据流,并且根据所述至少一个网络策略分配分类标识符,其中所述分类标识符被配置为影响通过至少一个云网络的路由路径;和
消息重新配置逻辑,被配置为将所述分类标识符封装到所述传入数据流的内容中,以生成用于通过所述至少一个云网络从源路由到目的地的分类数据流。
23.根据权利要求21所述的网络设备,进一步包括:
一个或多个队列;和
队列监视和选择逻辑,被配置为检测与所述一个或多个队列中的传入数据流相关联的内容的存储,并向数据分析逻辑发信号。
24.根据权利要求23所述的网络设备,其中,所述一个或多个队列包括根据分类优先级配置的至少第一队列和第二队列,在所述分类优先级中,与分类数据流相关联的规定范围的分类标识符被放入在来自所述网络设备的分类数据流的传输中被分配了较高分类的第一队列中。
25.根据权利要求22所述的网络设备,其中,所述消息重新配置逻辑进一步包括路由预测逻辑,所述路由预测逻辑被配置为选择特定的转接网关和通信链路来接收所述分类数据流。
26.根据权利要求22所述的网络设备,进一步包括控制逻辑,所述控制逻辑被配置为执行存储在非暂时性存储介质内的数据分析逻辑和消息重新配置逻辑。
27.根据权利要求22所述的网络设备,通信地耦合到对应于第一云实例的源和对应于第二云实例的目的地。
28.根据权利要求27所述的网络设备,其中,所述第一云实例部署在第一公共云网络内,并且所述第二云实例部署在不同于所述第一公共云网络的第二公共云网络内。
29.根据权利要求22所述的网络设备,其中,所述数据分析逻辑通过至少(i)访问来自网关特性数据存储的静态属性和来自所述传入数据流的内容的动态属性,以确定适用于所述传入数据流的至少第一网络策略,以及(ii)访问针对网络策略到分类标识符映射的数据存储,以确定与所述数据流相关联的分类标识符,从而确定多个网络策略中的至少一个网络策略中的哪一个适用于所述传入数据流。
30.根据权利要求22所述的网络设备,其中,所述数据分析逻辑通过至少访问与所述传入数据流的内容相关联的属性来确定适用于所述传入数据流的至少第一网络策略,从而确定多个网络策略中的至少一个网络策略中的哪一个适用于所述传入数据流。
31.根据权利要求30所述的网络设备,其中,访问与传入数据流的内容相关联的属性包括:基于与接收传入数据流的网络设备相关联的特性,获得与传入数据流相关联的静态属性。
32.根据权利要求31所述的网络设备,其中,与所述传入数据流相关联的静态属性包括作为入口网关操作的网络设备的位置,所述位置对应于作为传入数据流的源操作的云实例的位置。
33.根据权利要求30所述的网络设备,其中,访问与传入数据流相关联的属性包括获得与传入数据流相关联的动态属性,所述动态属性是基于(i)与传入数据流的源相关联的网络地址和(ii)与源相关联的属性之间的映射而获得的。
34.根据权利要求22所述的网络设备,其中,确定所述多个网络策略中的至少一个网络策略中的哪一个适用于所述传入数据流包括标识与和所述传入数据流相关联的属性相关的一个或多个网络策略。
35.一种网络设备,包括:
控制逻辑;
多个队列;和
通信地耦合到控制逻辑和所述多个队列的非暂时性存储介质,所述非暂时性存储介质包括
一个或多个队列,
数据分析逻辑,被配置为确定多个网络策略中的至少一个网络策略中的哪一个适用于传入数据流,并且根据所述至少一个网络策略分配分类标识符,其中所述分类标识符被配置为影响通过至少一个云网络的路由路径,以及
消息重新配置逻辑,被配置为将所述分类标识符封装到所述传入数据流的内容中,以生成用于通过所述至少一个云网络从源路由到目的地的分类数据流。
36.根据权利要求35所述的网络设备,进一步包括:
队列监视和选择逻辑,被配置为检测与所述一个或多个队列内的传入数据流相关联的内容的存储,并向数据分析逻辑发信号。
37.根据权利要求36所述的网络设备,其中,所述消息重新配置逻辑进一步包括路由预测逻辑,所述路由预测逻辑被配置为选择转接网关和通信链路来接收所述分类数据流,并继续将所述分类数据流路由到所述目的地。
38.根据权利要求35所述的网络设备,其通信地耦合到对应于第一云实例的源和对应于第二云实例的目的地。
39.根据权利要求38所述的网络设备,其中,所述第一云实例部署在第一公共云网络内,并且所述第二云实例部署在不同于所述第一公共云网络的第二公共云网络内。
40.根据权利要求35所述的网络设备,其中,所述数据分析逻辑通过至少(i)访问来自网关特性数据存储的静态属性和来自所述传入数据流的内容的动态属性,以确定适用于所述传入数据流的至少第一网络策略,以及(ii)访问针对网络策略到分类标识符映射的数据存储,以确定与所述数据流相关联的分类标识符,从而确定多个网络策略中的至少一个网络策略中的哪一个适用于所述传入数据流。
41.根据权利要求35所述的网络设备,其中,所述数据分析逻辑通过至少访问与所述传入数据流的内容相关联的属性来确定适用于所述传入数据流的至少第一网络策略,从而确定多个网络策略中的至少一个网络策略中的哪一个适用于所述传入数据流。
42.根据权利要求41所述的网络设备,其中,访问与传入数据流的内容相关联的属性包括:基于与接收传入数据流的网络设备相关联的特性,获得与传入数据流相关联的静态属性。
43.根据权利要求42所述的网络设备,其中,与所述传入数据流相关联的静态属性包括作为入口网关操作的网络设备的位置,所述位置对应于作为传入数据流的源操作的云实例的位置。
44.根据权利要求41所述的网络设备,其中,访问与传入数据流相关联的属性包括获得与传入数据流相关联的动态属性,所述动态属性是基于(i)与传入数据流的源相关联的网络地址和(ii)与源相关联的属性之间的映射而获得的。
45.根据权利要求35所述的网络设备,其中,确定所述多个网络策略中的至少一个网络策略中的哪一个适用于所述传入数据流包括标识与和所述传入数据流相关联的属性相关的一个或多个网络策略。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US63/182691 | 2021-04-30 | ||
| US202217727899A | 2022-04-25 | 2022-04-25 | |
| US17/727899 | 2022-04-25 | ||
| US17/727891 | 2022-04-25 | ||
| PCT/US2022/026808 WO2022232445A2 (en) | 2021-04-30 | 2022-04-28 | System, classifier and method for network policy-based traffic management of data flows |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117693932A true CN117693932A (zh) | 2024-03-12 |
Family
ID=90128727
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280047013.7A Pending CN117693932A (zh) | 2021-04-30 | 2022-04-28 | 用于数据流的基于网络策略的流量管理的系统、分类器和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117693932A (zh) |
-
2022
- 2022-04-28 CN CN202280047013.7A patent/CN117693932A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3494718B1 (en) | Systems and methods for application-friendly protocol data unit (pdu) session management | |
| CN107409089B (zh) | 一种在网络引擎中实施的方法及虚拟网络功能控制器 | |
| US20220239701A1 (en) | Control access to domains, servers, and content | |
| US20190132251A1 (en) | Method and system for supporting multiple qos flows for unstructured pdu sessions | |
| US9654395B2 (en) | SDN-based service chaining system | |
| EP3243304B1 (en) | Selective routing of network traffic for remote inspection in computer networks | |
| US20210135991A1 (en) | Associating route tables with ingress traffic to logically isolated networks | |
| US10778465B1 (en) | Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud | |
| CN112385194B (zh) | 远程网络之间的状态分组传输 | |
| US8675669B2 (en) | Policy homomorphic network extension | |
| CN114365454B (zh) | 无状态安全功能的分布 | |
| US11916883B1 (en) | System and method for segmenting transit capabilities within a multi-cloud architecture | |
| US11943223B1 (en) | System and method for restricting communications between virtual private cloud networks through security domains | |
| CN117201574A (zh) | 一种基于公有云的vpc之间的通信方法及相关产品 | |
| CN114175583B (zh) | 自愈网络中的系统资源管理 | |
| US20210119859A1 (en) | Topology Agnostic Security Services | |
| CN117693932A (zh) | 用于数据流的基于网络策略的流量管理的系统、分类器和方法 | |
| EP4331200A2 (en) | System, classifier and method for network policy-based traffic management of data flows | |
| CN117652133A (zh) | 具有数据流分类功能性的入口网关 | |
| EP4331199A1 (en) | Ingress gateway with data flow classification functionality | |
| US11258720B2 (en) | Flow-based isolation in a service network implemented over a software-defined network | |
| US20240205192A1 (en) | System and method for segmenting transit capabilities within a multi-cloud architecture | |
| KR101724922B1 (ko) | 미들박스 제어 장치 및 방법 | |
| CN114978567A (zh) | 微分支部署中的认证链接 | |
| WO2024049905A1 (en) | Controller for coordinating flow separation of intra-vpc or inter-vpc communications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |