【技术实现步骤摘要】
云本地软件定义网络架构中基于角色的访问控制自动生成
[0001]相关申请
[0002]本申请要求保护于2022年6月24日提交的美国非临时申请号17/808,970、于2022年5月31日提交的美国临时申请号63/362,319的权益、并且要求保护于2021年10月4日提交的印度临时申请202141044924的权益,通过引用将各个申请的全部内容结合在此。
[0003]本公开涉及一种虚拟计算基础设施,并且更具体地,涉及云本地网络的访问控制策略。
技术介绍
[0004]在典型的云数据中心环境中,存在提供运行各种应用的计算和/或存储能力的互连服务器的大型集合。例如,数据中心可以包括托管用户(即,数据中心的客户)的应用和服务的设施。例如,数据中心可以托管全部的基础设施设备,诸如联网与存储系统、冗余电源、以及环境控制。在典型的数据中心中,存储系统与应用服务器的集群经由由一层或多层物理网络交换机和路由器提供的高速交换结构而互连。更精密的数据中心为遍布世界各地的基础设施提供位于各种物理托管设施中的用户支持设备。
[0005]虚拟化数据中心正变成现代信息技术(IT)基础设施的核心基础。具体地,现代数据中心具有广泛应用的虚拟化环境,在该环境中,诸如虚拟机或容器的虚拟主机,此处,也被称为虚拟运行元件,被部署在物理计算设备的底层计算平台上并且在物理计算设备的底层计算平台上运行。
[0006]数据中心或包括一个或多个服务器的任意环境内的虚拟化能够提供若干优点。一个优点在于,虚拟化能够提供显著提高的效率。由于 ...
【技术保护点】
【技术特征摘要】
1.一种用于软件定义网络SDN架构系统的网络控制器,所述网络控制器包括:处理电路;以及一个或多个配置节点,被配置为由所述处理电路执行,其中,所述一个或多个配置节点包括应用编程接口API服务器,以对关于容器编排系统的本地资源的操作的请求进行处理,并且所述一个或多个配置节点包括自定义API服务器,以对关于SDN架构配置的自定义资源的操作的请求进行处理,以:接收请求,生成关于所述容器编排系统中的角色的访问控制策略,其中,所述请求指定由所述自定义API服务器和所述API服务器所提供的聚合API的多个功能;执行所述多个功能;将所述多个功能的执行记录在审计日志中;对所述审计日志进行解析,以确定由于执行所述多个功能而访问的所述容器编排系统的多种资源,并且针对所述多种资源中的每种资源确定由于执行所述多个功能而对相应资源执行的多个动作的相应的一种或多种类型的操作;并且至少部分基于已解析的审计日志创建所述角色的所述访问控制策略,以许可角色对所述多种资源中的每种资源执行所述相应的一种或多种类型的操作。2.根据权利要求1所述的网络控制器,其中,为了执行所述多个功能,所述一个或多个配置节点被进一步配置为由所述处理电路执行,以:对由所述多个功能指示的第一一种或多种资源中的每种资源,执行由所述多个功能指示的第一相应的一种或多种操作;至少部分基于对所述第一一种或多种资源中的每种资源执行的所述第一相应的一种或多种操作,确定对不由所述多个功能指示的第二一种或多种资源中的每种资源执行的第二相应的一种或多种操作;并且对所述第二一种或多种资源中的每种资源,执行所述第二相应的一种或多种操作。3.根据权利要求1所述的网络控制器,其中,为了记录所述多个功能的执行,所述一个或多个配置节点被进一步配置为由所述处理电路执行,以:针对所述多个功能中的每个功能,记录指示通过执行所述功能而访问的一种或多种资源并且指示通过执行所述功能而对所述一种或多种资源中的每种资源执行的所述相应的一种或多种类型的操作的事件。4.根据权利要求1所述的网络控制器,其中,为了对所述审计日志进行解析,所述一个或多个配置节点被进一步配置为由所述处理电路执行,以:至少部分基于所述审计日志中所记录的事件的时间戳,对所述审计日志进行过滤。5.根据权利要求1所述的网络控制器,其中,为了对所述审计日志进行解析,所述一个或多个配置节点被进一步配置为由所述处理电路执行,以:至少部分基于所述审计日志中记录的事件的命名空间,对所述审计日志进行过滤。6.根据权利要求1所述的网络控制器,其中,为了对所述审计日志进行解析,所述一个或多个配置节点被进一步配置为由所述处理电路执行,以:基于所述审计日志,确定所述多种资源中的每种资源与所述相应的一种或多种类型的操作之间的关联性。7.根据权利要求1至6中任一项所述的网络控制器,其中,所述一个或多个配置节点被
进一步配置为由所述处理电路执行,以:至少部分基于所述角色的所述访问控制策略与所述角色的已配置访问控制策略的比较,对所述角色的所述访问控制策略进行验证。8.根据权利要求1至6中任一项所述的网络控制器,其中,所述聚合API的所述功能包括对关于SDN架构配置的自定义资源的一个或多个实例的操作的请求,其中,关于所述SDN架构配置的所述自定义资源中的每种自定义资源与所述SDN架构系统中的配置对象的类型对应。9.根据权利要求1至6中任一项所述的网络控制器,其中,所述聚合API的所述功能包括对关于所述容器编排系统的一种或多种本地资源的实例的操作的请求。10.根据权利要求1至6中任一项所述的网络控制器,其中,所述容器编排系统包括Kubernetes。11.根据权利要求1至6中任一项所述的网络控制器,其中,所述相应的一种或多种类型的操作中的每种操作包括创建、读取、更新、以及删除CRUD操作中的一种或多种。12.一种用于基于角色的访问控制的方法,所述方法包括:由用于软件定义网络SDN架构系统的网络控制器的处理电路接收请求,以生成关于容器...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。