【技术实现步骤摘要】
【国外来华专利技术】多云结构中的弹性策略缩放相关申请的交叉引用本申请要求标题为“多云结构中的弹性策略缩放(ELASTICPOLICYSCALINGINMULTI-CLOUDFABRICS)”并且于2018年8月20日提交的美国专利申请No.16/105,822的优先权,该申请的内容通过引用整体地并入本文。
本技术涉及云计算,并且更具体地涉及多云策略缩放和集成。
技术介绍
支持因特网的设备的普遍存在已为因特网服务和内容创建了巨大需求。我们已成为连接的社会,其中用户日益依赖于网络服务和内容。这种连接因特网的革命已为常常努力为大量用户请求服务而又未达到用户性能期望的服务和内容提供商创建了重大挑战。例如,云提供商通常需要大型且复杂的数据中心来跟上来自用户的网络和内容需求。这些数据中心通常配备有被配置为托管具体服务的服务器场,并且包括被编程用于路由数据中心业务并实施大量安全策略的许多交换机和路由器。在许多情况下,具体数据中心被期望处置数百万业务流并实施许多安全要求。由诸如企业之类的私有实体所拥有的私有网络类似地对计算资源和性能的需...
【技术保护点】
1.一种方法,包括:/n在使多个虚拟私有云互连的虚拟私有云上部署策略代理的集群,所述虚拟私有云和所述多个虚拟私有云驻留在与多云结构相关联的云中;/n基于一个或多个公共属性,将所述多个虚拟私有云中的端点映射到所述集群中的策略代理;/n基于所述端点到所述策略代理的映射来跨所述策略代理分发与所述端点相关联的安全策略,其中,所述安全策略包括针对与各个端点子集相关联的业务而定义的多个安全策略组,并且其中,每个安全策略组被部署在相应的策略代理上,所述相应的策略代理被映射到与该安全策略组相关联的相应的端点子集;/n由所述集群中的每个相应的策略代理向所述多个私有虚拟云中的相应的第一组虚拟网...
【技术特征摘要】
【国外来华专利技术】20180820 US 16/105,8221.一种方法,包括:
在使多个虚拟私有云互连的虚拟私有云上部署策略代理的集群,所述虚拟私有云和所述多个虚拟私有云驻留在与多云结构相关联的云中;
基于一个或多个公共属性,将所述多个虚拟私有云中的端点映射到所述集群中的策略代理;
基于所述端点到所述策略代理的映射来跨所述策略代理分发与所述端点相关联的安全策略,其中,所述安全策略包括针对与各个端点子集相关联的业务而定义的多个安全策略组,并且其中,每个安全策略组被部署在相应的策略代理上,所述相应的策略代理被映射到与该安全策略组相关联的相应的端点子集;
由所述集群中的每个相应的策略代理向所述多个私有虚拟云中的相应的第一组虚拟网关通告与被映射到所述相应的策略代理的相应的端点子集相关联的一个或多个路由;
基于边界网关协议(BGP)路由图,防止所述集群中的每个相应的策略代理通告与所述多个私有虚拟云中的相应的第二组虚拟网关相关联的路由;以及
响应于接收到与所述端点中的一个或多个端点相关联的业务,通过所述相应的策略代理应用在所述相应的策略代理上部署的安全策略组中的一个或多个安全策略。
2.根据权利要求1所述的方法,还包括:
定义与所述多个安全策略组相关联的相应的安全组标签(SGT);以及
基于相应的端点属性,使所述端点与所述相应的SGT相关联。
3.根据权利要求2所述的方法,其中,所述相应的端点属性包括以下项中的至少一项:与所述端点相关联的相应的业务类型、以及与所述端点相关联的一个或多个相应的预定安全要求。
4.根据权利要求2或3所述的方法,其中,使所述端点与所述相应的SGT相关联包括:将所述端点的相应的IP地址映射到所述相应的SGT,以产生IP至SGT映射。
5.根据权利要求4所述的方法,其中,将所述安全策略组中的所述一个或多个安全策略应用于与所述端点中的所述一个或多个端点相关联的业务是基于所述IP至SGT映射而进行的,所述安全策略组中的所述一个或多个安全策略包括针对与所述端点中的所述一个或多个端点中的至少一个端点相关联的相应的SGT所定义的一组安全策略。
6.根据权利要求5所述的方法,其中,所述云包括公有云,并且所述多云结构包括所述公有云和私有云,其中,所述相应的SGT对应于所述私有云上的相应的端点组(EPG),并且所述多个安全策略组对应于所述私有云上的EPG策略。
7.根据权利要求6所述的方法,其中,将所述安全策略组中的所述一个或多个安全策略应用于与所述端点中的所述一个或多个端点相关联的业务包括:对所述业务应用与目的地端点相关联的一定数量的安全策略,其中,安全策略的该数量大于所述公有云针对所述公有云中的每个端点所许可的安全策略的最大数量。
8.根据前述权利要求中任一项所述的方法,其中,所述一种或多种公共属性包括以下项中的至少一项:与所述端点相关联的公共虚拟私有云、与所述端点相关联的公共子网、与所述端点相关联的公共端点组、以及与所述端点相关联的公共虚拟路由和转发实例。
9.根据前述权利要求中任一项所述的方法,其中,所述策略代理被配置为:在向与所述业务相关联的相应的目的地端点转发所述业务之前,在相应的出口接口处应用所述安全策略。
10.根据前述权利要求中任一项所述的方法,还包括:
识别与驻留在来自所述多个虚拟私有云中的特定虚拟私有云外部的一组端点相关联的多个外部前缀;
将所述多个外部前缀聚合为单个外部前缀,所述单个外部前缀落在与所述特定虚拟私有云相关联的相应的前缀的范围之外;以及
将所述特定虚拟私有云中的一个或多个端点配置为针对与所述单个外部前缀匹配的业务应用许可规则。
11.一种系统,包括:
一个或多个处理器;以及
至少一个计算机可读存储介质,所述至少一个计算机可读存储介质在其中存储有指令,所述指令当被所述一个或多个处理器执行时,使所述系统执行以下操作:
在使多个虚拟私有云互连的虚拟私有云上部署策略代理的集群,所述虚拟私有云和所述多个虚拟私有云驻留在与多云结构相关联的云中;
基于一种或多种公共属性将所述多个虚拟私有云中的端点映射到所述集群中的策略代理;
基于所述端点到所述策略代理的映射跨所述策略代理分发针对与所述端点相关联的业务的安全策略,其中,所述安全策略包括针对与各个端点子集相关联的业务而定义的多个安全策略组,并且其中,每个安全策略组被部署在相应的策略代理上,所述相应的策略代理被映射到相应的端点子集;
由所述集群中的每个相应的策略代理向所述多个私有虚拟云中的第一组相应的虚拟网关通告与被映射到所述相应的策略代理的...
【专利技术属性】
技术研发人员:拉贾戈帕兰·贾纳吉拉曼,西瓦库马尔·加纳帕奇,普拉尚斯·马泰提,帕特尔·阿米特库马尔·瓦尔吉卜哈,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。