A device can receive policy information associated with the first application group and the second application group. The device can receive network topology information associated with the network. The device can generate a first policy based on policy information and network topology information, and a second policy based on policy information and network topology information. The device can provide the virtual network device with information associated with the first policy to allow the virtual network device to implement the first policy in association with the network traffic transmitted between the first application group and the second application group. The device can provide the physical network device with information associated with the second policy to allow the physical network device to implement the second policy in association with the network traffic transmitted between the first application group and the second application group.
【技术实现步骤摘要】
实施数据中心中的物理和虚拟应用组件的微分段策略
技术介绍
微分段是指以与实施基于周界的安全控制相比更加细化的方式实施安全控制,诸如防火墙、入侵防御系统、访问控制列表等。在微分段场景中,管理程序、云平台等可以与作为虚拟机运行的应用组件相关联地实现安全控制。
技术实现思路
根据一些可能的实现,一种设备可以包括一个或多个处理器,一个或多个处理器用于:接收与第一应用组和第二应用组相关联的策略信息,第一应用组包括虚拟应用组件的第一集合,第一应用组包括物理应用组件的第一集合,第二应用组包括虚拟应用组件的第二集合,并且第二应用组包括物理应用组件的第二集合;接收与网络相关联的网络拓扑信息;基于策略信息和网络拓扑信息来生成要提供给网络的虚拟网络设备的第一策略,虚拟应用组件的第一集合中的虚拟应用组件连接到虚拟网络设备;基于策略信息和网络拓扑信息来生成要提供给网络的物理网络设备的第二策略,物理应用组件的第一集合中的物理应用组件连接到物理网络设备;向网络的虚拟网络设备提供与第一策略相关联的信息,以允许虚拟网络设备与在虚拟应用组件的第一集合中的虚拟应用组件与虚拟应用组件的第二集合中的虚拟应用组件之间传送的网络业务相关联地实现第一策略;以及向物理网络设备提供与第二策略相关联的信息,以允许物理网络设备与在物理应用组件的第一集合中的物理应用组件与物理应用组件的第二集合中的另一物理应用组件之间传送的网络业务相关联地实现第二策略。根据一些可能的实现,一种非暂态计算机可读介质可以存储一个或多个指令,这些指令在由一个或多个处理器执行时引起一个或多个处理器:接收与第一应用组和第二应用组相关联的策略信息;接收...
【技术保护点】
1.一种设备,包括:用于接收与第一应用组和第二应用组相关联的策略信息的装置,所述第一应用组包括虚拟应用组件的第一集合,所述第一应用组包括物理应用组件的第一集合,所述第二应用组包括虚拟应用组件的第二集合,所述第二应用组包括物理应用组件的第二集合;用于接收与网络相关联的网络拓扑信息的装置;用于基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的虚拟网络设备的第一策略的装置,所述虚拟应用组件的第一集合中的虚拟应用组件被连接到所述虚拟网络设备;用于基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的物理网络设备的第二策略的装置,所述物理应用组件的第一集合中的物理应用组件被连接到所述物理网络设备;用于向所述网络的所述虚拟网络设备提供与所述第一策略相关联的信息,以允许所述虚拟网络设备与在所述虚拟应用组件的第一集合中的所述虚拟应用组件与所述虚拟应用组件的第二集合中的虚拟应用组件之间传送的网络业务相关联地实现所述第一策略的装置;以及用于向所述物理网络设备提供与所述第二策略相关联的信息,以允许所述物理网络设备与在所述物理应用组件的第一集合中的所述物理应用组件与所述物理应用组件的第二集合中...
【技术特征摘要】
2017.06.30 US 15/639,3661.一种设备,包括:用于接收与第一应用组和第二应用组相关联的策略信息的装置,所述第一应用组包括虚拟应用组件的第一集合,所述第一应用组包括物理应用组件的第一集合,所述第二应用组包括虚拟应用组件的第二集合,所述第二应用组包括物理应用组件的第二集合;用于接收与网络相关联的网络拓扑信息的装置;用于基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的虚拟网络设备的第一策略的装置,所述虚拟应用组件的第一集合中的虚拟应用组件被连接到所述虚拟网络设备;用于基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的物理网络设备的第二策略的装置,所述物理应用组件的第一集合中的物理应用组件被连接到所述物理网络设备;用于向所述网络的所述虚拟网络设备提供与所述第一策略相关联的信息,以允许所述虚拟网络设备与在所述虚拟应用组件的第一集合中的所述虚拟应用组件与所述虚拟应用组件的第二集合中的虚拟应用组件之间传送的网络业务相关联地实现所述第一策略的装置;以及用于向所述物理网络设备提供与所述第二策略相关联的信息,以允许所述物理网络设备与在所述物理应用组件的第一集合中的所述物理应用组件与所述物理应用组件的第二集合中的另一物理应用组件之间传送的网络业务相关联地实现所述第二策略的装置。2.根据权利要求1所述的设备,还包括:用于使用所述网络拓扑信息来确定所述虚拟应用组件被连接到所述虚拟网络设备的装置;以及其中用于提供与所述第一策略相关联的所述信息的所述装置包括:用于基于确定所述虚拟应用组件被连接到所述虚拟网络设备来提供与所述第一策略相关联的所述信息的装置。3.根据权利要求1所述的设备,还包括:用于使用所述网络拓扑信息来确定所述物理应用组件被连接到所述物理网络设备的装置;以及其中用于提供与所述第二策略相关联的所述信息的所述装置包括:用于基于确定所述物理应用组件被连接到所述物理网络设备来提供与所述第二策略相关联的所述信息的装置。4.根据权利要求1所述的设备,还包括:用于生成包括所述虚拟应用组件的第一集合和所述虚拟应用组件的第二集合的逻辑组的装置;以及其中用于生成所述第一策略的所述装置包括:用于基于生成所述逻辑组来生成所述第一策略的装置。5.根据权利要求1所述的设备,还包括:用于生成包括所述物理应用组件的第一集合和所述物理应用组件的第二集合的逻辑组的装置;以及其中用于生成所述第二策略的所述装置包括:用于基于生成所述逻辑组来生成所述第二策略的装置。6.根据权利要求1所述的设备,还包括:用于使用所述网络拓扑信息来确定所述虚拟应用组件是虚拟设备的装置;以及其中用于生成所述第一策略的所述装置包括:用于基于确定所述虚拟应用组件是所述虚拟设备来生成所述第一策略的装置。7.根据权利要求1所述的设备,还包括:用于确定所述虚拟应用组件没有被连接到所述虚拟网络设备的装置;以及用于向所述虚拟网络设备提供去除与所述第一策略相关联的所述信息的指令的装置。8.一种存储指令的非暂态计算机可读介质,所述指令包括:一个或多个指令,所述一个或多个指令在由一个或多个处理器执行时,引起所述一个或多个处理器:接收与第一应用组和第二应用组相关联的策略信息;接收与网络相关联的网络拓扑信息;基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的虚拟网络设备的第一策略;基于所述策略信息和所述网络拓扑信息来生成要被提供给所述网络的物理网络设备的第二策略,所述第一策略不同于所述第二策略;向所述虚拟网络设备提供与所述第一策略相关联的信息,以允许所述虚拟网络设备与在所述第一应用组与所述第二应用组之间传送的网络业务相关联地实现所述第一策略;以及向所述物理网络设备提供与所述第二策略相关联的信息,以允许所述物理网络设备与在所述第一应用组与所述第二应用组之间传送的网络业务相关联地实现所述第二策略。9.根据权利要求8所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时,还引起所述一个或多个处理器:使用所述网络拓扑信息来确定所述第一应用组的虚拟应用组件被连接到所述虚拟网络设备;以及其中引起所述一个或多个处理器提供与所述第一策略相关联的所述信息的所述一个或多个指令引起所述一个或多个处理器:基于确定所述虚拟应用组件被连接到所述虚拟网络设...
【专利技术属性】
技术研发人员:S·尼玛加德达,R·库马,P·T·塞沙德里,S·苏布拉马尼安,
申请(专利权)人:瞻博网络公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。