通过跨多个虚拟私有云共享的控制虚拟私有云为工作负载提供联网和安全制造技术

本公开总体上涉及在实现于软件定义的数据中心上的逻辑网络的控制虚拟私有云中部署代理控制平面和/或南北数据平面。所述控制虚拟私有云由所述网络的多个计算虚拟私有云共享。在一些实施例中，代理控制平面被部署在所述控制虚拟私有云上，并且将策略直接分发到所述逻辑网络的端点。在一些实施例中，南北数据平面被部署在所述控制虚拟私有云上，并且直接管理来自所述逻辑网络的端点的南北网络流量。在一些实施例中，代理控制平面和南北网络数据平面被部署在所述控制虚拟私有云上。

Provides networking and security for workloads through control of shared virtual private clouds across multiple virtual private clouds

【技术实现步骤摘要】
【国外来华专利技术】通过跨多个虚拟私有云共享的控制虚拟私有云为工作负载提供联网和安全相关申请的交叉引用本申请要求于2018年1月26日提交的题目为“通过跨多个虚拟私有云共享的控制虚拟私有云为工作负载提供联网和安全(PROVIDINGNETWORKINGANDSECURITYTOWORKLOADSVIAACONTROLVIRTUALPRIVATECLOUDSHAREDACROSSMULTIPLEVIRTUALPRIVATECLOUDS)”的15/881,710号美国非临时申请的权益。本申请涉及：于2016年8月27日提交的题目为“将网络控制系统扩展到公共云中(EXTENSIONOFNETWORKCONTROLSYSTEMINTOPUBLICCLOUD)”的62/380,411号美国临时申请；于2016年8月31日提交的题目为“将网络控制系统扩展到公共云中(EXTENSIONOFNETWORKCONTROLSYSTEMINTOPUBLICCLOUD)”的15/253,829号美国申请；于2016年8月31日提交的题目为“无需覆盖网络的公共云数据计算节点中的管理转发元素执行(MANAGEDFORWARDINGELEMENTEXECUTINGINPUBLICCLOUDDATACOMPUTENODEWITHOUTOVERLAYNETWORK)”的15/253,832号美国申请；于2016年8月31日提交的题目为“在具有不同内部和外部网络地址的公共云数据计算节点中进行管理转发元素执行(MANAGEDFORWARDINGELEMENTEXECUTINGINPUBLICCLOUDDATACOMPUTENODEWITHDIFFERENTINTERNALANDEXTERNALNETWORKADDRESSES)”的15/253,833号美国申请；于2016年8月31日提交的题目为“在公共云数据计算节点的单独命名空间中而不是在工作负载应用程序中的管理转发元素执行(MANAGEDFORWARDINGELEMENTEXECUTINGINSEPARATENAMESPACEOFPUBLICCLOUDDATACOMPUTENODETHANWORKLOADAPPLICATION)”的15/253,834号美国申请；于2016年9月28日提交的题目为“公共云中的逻辑网络的南北流量的集中处理(CENTRALIZEDPROCESSINGOFNORTH-SOUTHTRAFFICFORLOGICALNETWORKINPUBLICCLOUD)”的15/279,382号美国申请；于2016年9月28日提交的题目为“用于在公共云中实现的逻辑网络的分布式网络加密(DISTRIBUTEDNETWORKENCRYPTIONFORLOGICALNETWORKIMPLEMENTEDINPUBLICCLOUD)”的15/279,394号美国申请；于2016年9月28日提交的题目为“公共和私有数据中心之间扩展的逻辑网络域(LOGICALNETWORKDOMAINSSTRETCHEDBETWEENPUBLICANDPRIVATEDATACENTERS)”的15/279,403号美国申请；于2016年9月28日提交的题目为“公共云中的逻辑网络的南北流量的分布式处理(DISTRIBUTEDPROCESSINGOFNORTH-SOUTHTRAFFICFORLOGICALNETWORKINPUBLICCLOUD)”的15/279,409号美国申请；于2016年12月5日提交的题目为“网络虚拟化平台的策略定义和执行(POLICYDEFINITIONANDENFORCEMENTFORANETWORKVIRTUALIZATIONPLATFORM)”的15/369,580号美国申请；于2016年12月5日提交的题目为“网络虚拟化的多层策略定义和执行框架(MULTI-LAYERPOLICYDEFINITIONANDENFORCEMENTFRAMEWORKFORNETWORKVIRTUALIZATION)”的发行为9,762,619号美国专利的15/369,596号美国申请；于2017年1月13日提交的题目为“基于逻辑端口标识符的虚拟交换机中的网络流量管理(MANAGINGNETWORKTRAFFICINVIRTUALSWITCHESBASEDONLOGICALPORTIDENTIFIERS)”的15/406,249号美国申请；于2017年12月4日提交的题目为“公共云逻辑网络中的状态服务的高可用性(HIGHAVAILABILITYFORSTATEFULSERVICESINPUBLICCLOUDLOGICALNETWORKS)”的15/831,372号美国申请；以及于2017年12月4日提交的题目为“公共云逻辑网络中集中式路由器的故障转移(FAILOVEROFCENTRALIZEDROUTERSINPUBLICCLOUDLOGICALNETWORKS)”的15/831,369号美国申请。这些申请的全部内容通过引用合并于本文。
本公开总体上涉及逻辑网络，并且更具体地涉及实现分层逻辑网络，该分层逻辑网络部署跨多个计算虚拟私有云共享的控制虚拟私有云。
技术介绍
越来越多的用户(例如，组织、公司)将其网络转移到构建在数据中心的云中。该网络可以包括私有数据中心和公共数据中心，或几个私有和/或公共数据中心的组合。软件定义的数据中心使网络管理员能够通过提供软件覆盖图来更轻松地管理在多个数据中心上运行的网络，以便从管理员的角度将在多个数据中心上运行的网络视为一个集中的系统——逻辑网络。与任何网络一样，逻辑网络可以包括多个主机计算系统(例如，虚拟私有云)，每个部署一个或更多个虚拟机，这些虚拟机遍布组成软件定义的数据中心的整个数据中心。为了在整个逻辑网络的端点上实施网络策略(例如，安全策略、路由策略、实施策略)，每个主机计算系统(例如，每个虚拟私有云)可以在本地操作代理控制平面，该代理控制平面管理在其相应的主机计算系统内的网络策略规则的转发。然而，针对每个主机计算系统(例如，针对每个虚拟私有云)本地操作代理控制平面可能是计算资源密集且昂贵的任务(例如，因为控制平面可以由虚拟机集群来操作和/或操作控制平面可能需要专用硬件，其与操作工作负载虚拟机的硬件不同)。随着网络规模的扩大，这个问题变得越来越大-网络中存在大量的主机计算系统(例如，更多的虚拟私有云)，网络管理员操作逻辑网络耗费更多的计算资源，且成本更加昂贵。因此，使用传统技术来操作逻辑网络对于网络管理员而言变得繁重。
技术实现思路
本文公开的专利技术旨在实现在软件定义的数据中心上操作的分层逻辑网络，该分层逻辑网络在由逻辑网络的多个计算虚拟私有云共享的控制虚拟私有云中部署代理控制平面和/或南北数据平面(north-southdataplane)。在一些实施例中，一种用于使用控制虚拟私有云(例如，在软件定义的数据中心上实现的逻辑网络的控制虚拟私有云)跨虚拟私有云在虚拟机上实施策略(例如，安全策略、路由策略、实施策略)的方法。该方法包括，在包括代理控制平面的本文档来自技高网...

【技术保护点】
1.一种用于使用控制虚拟私有云跨虚拟私有云在虚拟机上实施策略的方法，所述方法包括：/n在包括代理控制平面的所述控制虚拟私有云上，其中所述代理控制平面与第一虚拟私有云的至少第一虚拟机和第二虚拟私有云的至少第二虚拟机直接通信：/n接收策略；以及/n直接将所述策略的第一规则传输至所述第一虚拟机并将所述策略的第二规则传输至所述第二虚拟机，而不通过所述第一虚拟私有云或所述第二虚拟私有云本地的中间代理控制平面；/n在所述第一虚拟私有云的所述第一虚拟机上：/n从所述控制虚拟私有云的所述代理控制平面接收所述第一规则；以及/n经由第一本地控制平面代理在所述第一虚拟机上实施所述第一规则；/n在所述第二虚拟私有云的所述第二虚拟机上：/n从所述控制虚拟私有云的所述代理控制平面接收所述第二规则；以及/n经由第二本地控制平面代理在所述第二虚拟机上实施所述第二规则。/n

【技术特征摘要】
【国外来华专利技术】20180126 US 15/881,7101.一种用于使用控制虚拟私有云跨虚拟私有云在虚拟机上实施策略的方法，所述方法包括：
在包括代理控制平面的所述控制虚拟私有云上，其中所述代理控制平面与第一虚拟私有云的至少第一虚拟机和第二虚拟私有云的至少第二虚拟机直接通信：
接收策略；以及
直接将所述策略的第一规则传输至所述第一虚拟机并将所述策略的第二规则传输至所述第二虚拟机，而不通过所述第一虚拟私有云或所述第二虚拟私有云本地的中间代理控制平面；
在所述第一虚拟私有云的所述第一虚拟机上：
从所述控制虚拟私有云的所述代理控制平面接收所述第一规则；以及
经由第一本地控制平面代理在所述第一虚拟机上实施所述第一规则；
在所述第二虚拟私有云的所述第二虚拟机上：
从所述控制虚拟私有云的所述代理控制平面接收所述第二规则；以及
经由第二本地控制平面代理在所述第二虚拟机上实施所述第二规则。


2.根据权利要求1所述的方法，其中所述代理控制平面由所述控制虚拟私有云的一个或更多个虚拟机实现。


3.根据权利要求1所述的方法，其中所述代理控制平面由所述控制虚拟私有云的多个虚拟机实现。


4.根据权利要求1所述的方法，其中根据确定由所述代理控制平面控制的虚拟机的数量超过预定数量，将所述代理控制平面自动水平缩放至所述控制虚拟私有云的多个虚拟机。


5.根据权利要求1所述的方法，其中所述第一规则和所述第二规则是所述策略的相同规则。


6.根据权利要求1所述的方法，其中所述控制虚拟私有云与所述第一虚拟私有云对等。


7.根据权利要求1所述的方法，其中所述控制虚拟私有云经由虚拟私有网络与所述第一虚拟私有云通信。


8.根据权利要求1所述的方法，其中：
所述控制虚拟私有云包括南北数据平面；
所述第一虚拟私有云不在本地包括南北数据平面；以及
所述第二虚拟私有云不在本地包含南北数据平面。


9.根据权利要求1所述的方法，其中：
所述控制虚拟私有云包括南北数据平面；
所述第一虚拟私有云本地包括第一南北数据平面；以及
所述第二虚拟私有云本地包括第二南北数据平面。


10.根据权利要求1所述的方法，其中所述控制虚拟私有云、所述第一虚拟私有云和所述第二虚拟私有云在第一数据中心的计算系统上实现。


11.根据权利要求1所述的方法，其中所述控制虚拟私有云被部署在第一数据中心的计算系统上，并且所述第一虚拟私有云在不同于所述第一数据中心的第二数据中心的计算系统上实现。


12.根据权利要求1所述的方法，其中：
所述逻辑网络在包括第一公共数据中心的软件定义的数据中心上实现，以及
所述控制虚拟私有云包括被配置为与所述第一公共数据中心的云服务提供商的应用编程接口通信的云插件。


13.根据权利要求1所述的方法，其中所述控制虚拟私有云在第一公共数据中心上实现，并且从在不同于所述第一公共数据中心的私有数据中心上实现的网络控制器接收策略。


14.根据权利要求1所述的方法，其中所述策略是安全策略。


15.一种...

【专利技术属性】
技术研发人员：M·希拉，G·钱德拉谢卡尔，汪粟，A·卡特雷卡，V·阿加瓦尔，
申请(专利权)人：NICIRA股份有限公司，
类型：发明
国别省市：美国;US