【技术实现步骤摘要】
【国外来华专利技术】虚拟计算元件的微分段相关申请本申请涉及并要求2016年12月22日提交的标题为“虚拟计算元件的微分段(MICRO-SEGMENTATIONOFVIRTUALCOMPUTINGELEMENTS)”的美国临时专利申请62/437,891和2017年10月23日提交的标题为“虚拟计算元件的微分段(MICRO-SEGMENTATIONOFVIRTUALCOMPUTINGELEMENTS)”的美国非临时专利申请15/790,303的优先权,其全部内容通过引用并入本文。技术背景可通过通信网络访问的应用程序可被分段为多个组。对一个组中的应用程序的访问可与访问另一个组中的应用程序不同地控制。控制该访问可以由网络防火墙类型系统执行,该系统调节在其上运行应用程序的物理和/或虚拟计算系统之间交换的网络业务。例如,如果用户不希望一个组中的应用程序与另一个组中的应用程序交换通信,则用户可以创建防火墙规则以防止这种通信。许多应用程序用多个层(tier)来实现。每个应用程序层可以在不同的系统上执行。在一个常见示例中,客户端可以通过因特网访问的基于web的应用程序,可以以三层来实现:web服务器层...
【技术保护点】
1.一种基于在其上运行的应用程序对虚拟计算元件进行微分段的方法,所述方法包括:识别包括多个虚拟机的一个或更多个多层应用程序,其中所述一个或更多个多层应用程序中的每个应用程序层包括所述多个虚拟机中的至少一个;维护关于所述一个或更多个多层应用程序的信息,其中所述信息至少指示所述多个虚拟机中的每个虚拟机的安全组;识别所述多个虚拟机中的虚拟机之间的通信业务流;至少部分地基于所述信息识别所述通信业务流中的一个或更多个可移除业务流;以及阻止所述一个或更多个可移除业务流。
【技术特征摘要】
【国外来华专利技术】2016.12.22 US 62/437,891;2017.10.23 US 15/790,3031.一种基于在其上运行的应用程序对虚拟计算元件进行微分段的方法,所述方法包括:识别包括多个虚拟机的一个或更多个多层应用程序,其中所述一个或更多个多层应用程序中的每个应用程序层包括所述多个虚拟机中的至少一个;维护关于所述一个或更多个多层应用程序的信息,其中所述信息至少指示所述多个虚拟机中的每个虚拟机的安全组;识别所述多个虚拟机中的虚拟机之间的通信业务流;至少部分地基于所述信息识别所述通信业务流中的一个或更多个可移除业务流;以及阻止所述一个或更多个可移除业务流。2.如权利要求1所述的方法,还包括:向用户呈现所述一个或更多个可移除业务流;从所述用户接收应移除所述可移除业务流的确认;以及其中响应于所述确认,阻止所述可移除业务流。3.如权利要求2所述的方法,其中呈现所述可移除业务流包括:呈现图形显示,所述图形显示将所述多个虚拟机中的虚拟机可视地分组到相应的应用程序层和相应的安全组中;以及显示所述虚拟机之间的所述通信业务流。4.如权利要求3所述的方法,其中所述图形显示标记所述应用程序层和所述安全组。5.如权利要求3所述的方法,其中呈现所述可移除业务流还包括:突出显示所显示的通信业务流的所述可移除业务流。6.如权利要求1所述的方法,其中阻止所述一个或更多个可移除业务流包括:实现阻止所述一个或更多个可移除业务流的一个或更多个防火墙规则。7.如权利要求1所述的方法,其中多层应用程序中的每一个包括三层,其中所述三层包括web层、应用程序层和数据库层。8.如权利要求7所述的方法,其中所述一个或更多个可移除业务流包括:除了所述web层与所述应用程序层之间、所述应用程序层与所述数据库层之间以及外部系统与所述web层之间的业务流之外的业务流。9.如权利要求1所述的方法,其中识别所述通信业务流包括:在托管所述多个虚拟机的一个或更多个计算系统中,识别进出多个虚拟机中的每个虚拟机的通信业务。10.如权利要求1所述的方法,其中所述信息还包括用于所述一个或更多个多层应用程序中的每一个的标识符。11.一种用于基于在其上运行的应用程序对虚拟计算元件进行微分段的系统,所述系统包括:一个或更多个计算机可读存储介质;处理...
【专利技术属性】
技术研发人员:L·V·贡达,R·克里希纳穆尔蒂,
申请(专利权)人:NICIRA股份有限公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。