CN113316925B - 确定网络配置依赖关系的跨度 - Google Patents
确定网络配置依赖关系的跨度 Download PDFInfo
- Publication number
- CN113316925B CN113316925B CN201980089630.1A CN201980089630A CN113316925B CN 113316925 B CN113316925 B CN 113316925B CN 201980089630 A CN201980089630 A CN 201980089630A CN 113316925 B CN113316925 B CN 113316925B
- Authority
- CN
- China
- Prior art keywords
- type
- nodes
- node
- span
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 49
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 claims description 3
- 238000013508 migration Methods 0.000 claims description 3
- 230000005012 migration Effects 0.000 claims description 3
- 230000004044 response Effects 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 40
- 230000008569 process Effects 0.000 description 22
- 238000012986 modification Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 239000007787 solid Substances 0.000 description 8
- 238000010276 construction Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 239000004744 fabric Substances 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000013138 pruning Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000027455 binding Effects 0.000 description 1
- 238000009739 binding Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在一个实施例中,描述了一种用于确定网络配置依赖关系的跨度的计算机实现的方法。在一个实施例中,该方法包括:由在计算机网络中实现的中央控制器接收表示具有节点和第一类型链路的图的图数据。节点包括第一类型节点、第二类型节点和第三类型节点。确定节点的子集之间的多个第二类型链路。对于每个第一类型链路,如果两个节点也由第二类型链路连接,则移除由第一类型链路连接的两个节点之间的第一类型链路。对于每个第二类型节点,移除第二类型节点,并连结第二类型节点的传入链路和传出链路。确定第一类型节点和第三类型节点的初始跨度和实际跨度。对于每个第一/第二类型节点,根据为该节点确定的实际跨度生成和发送配置消息。
Description
背景技术
软件定义的网络通常使用网络控制器来配置逻辑网络。网络控制器可以包括中央控制器和本地控制器。中央控制器可以被配置为从管理平面接收指定要在网络中实现的网络配置依赖关系(dependencies)的配置指令。可以将配置依赖关系指定为例如防火墙规则、服务***请求、负载均衡请求、IPSec请求或VPN会话请求。在接收到配置指令后,中央控制器处理指令,形成指示要如何在主机计算机中实现指令的配置消息,并将配置消息发送到在主机中实现的本地控制器以供执行。
中央控制器可以接收配置指令,其指定例如分布式防火墙规则。该规则可声明(state)特定主机需要监视和控制传入的(incoming)和传出的(outgoing)网络流量,并阻止从特定源发送到特定目的地的流量。特定主机、特定源和特定目的地的标识被称为规则组件并且可以使用基于软件的构造在指令中编码。
构造是为规则的组件创建的数据结构,用于存储与组件关联的数据。构造的示例包括应用于(AppliedTo)构造、源(Source)构造和目的地(Destination)构造。应用于构造可用于存储例如有关需要监视规则中定义的流量的特定主机的信息。源构造可用于存储有关规则中定义的特定源的信息。目的地构造可用于存储有关规则中定义的特定目的地的信息。应用于构造的示例应用的细节在标题为“在防火墙执行设备上提供防火墙规则(Provisioning Firewall Rules on a Firewall Enforcing Device)”的美国专利9,215,214中进行了描述,该专利的全部内容通过引用并入本文。
构造可与一组或更多组实体相关联。实体的示例包括该构造应用于的主机、虚拟机(“VM”)、IP地址和/或MAC地址。实体的组称为分组对象(GroupingObjects)。
分组对象是一种数据结构,其用于存储属于分组对象的实体的标识符。例如,如果防火墙规则指定host 1需要监控流量,那么配置指令可包括分组对象1,该分组对象1与应用于构造关联并包括host 1的标识符。如果规则指定从IP地址1和IP地址2发送的流量需要被阻塞,那么配置指令可包括与源结构相关联并且包括IP地址1和IP地址2的分组对象2。如果规则指定发送到VM3和VM4的流量需要被阻塞,则配置指令可以包括与目的地构造相关联并且包括VM3和VM4的标识符的分组对象3。
基于配置指令,中央控制平面可以生成包括规则和分组对象的配置消息,并且可以将消息发送至需要配置规则的主机和该主机上的分组对象。需要向其发送配置消息的一组主机称为跨度(span)。
然而,确定跨度是困难的,并且难度通常与规则的复杂性以及规则之间和分组对象之间的相互依赖关系成比例。通常,中央控制器为各个规则生成树图,并将这些图合并为结果图,也称为跨度图。跨度图可以包括大量节点和链路,所述链路连接节点并表示节点之间的依赖关系。遍历这样的跨度图以确定针对各个规则和各个分组对象的跨度对内存和CPU资源有很大的需求。
发明内容
在一个实施例中,计算机实现的方法允许确定计算机网络中的配置依赖关系的跨度。跨度通常包括中央控制器需要向其发送配置消息以允许主机配置网络依赖关系的一组主机,例如防火墙规则、服务***功能、负载均衡服务、IPSec服务和/或VPN会话服务。在整个公开中,主要参考分布式防火墙规则的实现来描述该方法;但是,该方法也适用于负载均衡和其他服务。
计算机实现的方法允许有效、高效、自动地确定跨度,并且不会对内存和CPU资源造成显著需求。该方法允许确定跨度以仅将那些需要从中央控制器接收配置消息的主机包括在跨度中,而不包括跨度中的其他主机。因此,该方法防止将配置消息发送到不需要接收消息的主机。这进而允许最小化经由网络发送配置消息可能对网络带宽和流量的影响。
用于确定网络配置依赖关系的跨度的方法可以在中央控制器中实现,也称为中央控制平面,或者被配置为控制网络配置的任何其他网络组件。中央控制器在接收到来自管理平面的配置指令后,使用该指令生成树图,也称为跨度图,其包括节点和有向链路。节点可以表示规则、构造、对象、VM、主机、IP地址、MAC地址等。节点的示例包括构造(construct),例如应用于构造、源构造、目的地构造;分组对象,例如分组对象1、分组对象2和分组对象3等。图中的有向链路连接节点并捕获配置指令中指定的组件之间的配置依赖关系。
在一个实施例中,一种用于确定网络配置依赖关系的跨度的方法包括:检查跨度图、确定并向该图中添加新的有向链路以生成修改的跨度图、修剪修改后的图中的一些旧的有向链路、修剪修改后的图中的一些节点,确定修改后的图中某些节点的初始跨度,并进一步处理修改后的图以确定修改后的图中节点的实际跨度。图4-9中详细描述了示例过程。
一旦确定了修改后的图中某些节点的实际跨度,中央控制器生成配置消息,这些配置消息捕获从中央控制器接收到的配置指令导出的网络配置依赖关系,并将配置消息发送到实际跨度中标识的主机。
本文还描述了执行软件应用程序的计算机***的实施例,所述软件应用程序被编程以实现上述用于确定网络配置依赖关系的跨度的方法。
本文还描述了包括指令的非暂时性计算机可读存储介质的实施例,所述指令在由一个或更多个计算机处理器执行时使所述一个或更多个处理器执行用于确定网络配置依赖关系的跨度的上述方法。
附图说明
在图中:
图1是描绘用于确定网络配置依赖关系的跨度的示例逻辑网络环境的示例物理实现视图的框图。
图2是描绘分组对象的示例的框图。
图3是描绘示例树图的框图。
图4是描绘表示两个规则的示例树图的框图。
图5是描绘被执行以确定配置依赖关系的跨度的示例过程的步骤之一的框图。
图6是描绘被执行以确定配置依赖关系的跨度的示例过程的步骤之一的框图。
图7是描绘被执行以确定配置依赖关系的跨度的示例过程的步骤之一的框图。
图8A是描绘示例初始跨度表的框图。
图8B是描绘示例实际跨度表的框图。
图9是用于实现确定配置依赖关系的跨度的过程的示例流程图。
图10是描绘修改后的示例树图的框图。
图11是描绘被执行以确定配置依赖关系的跨度的示例过程的步骤之一的框图。
图12是描绘被执行以确定配置依赖关系的跨度的示例过程的步骤之一的框图。
图13是描绘被执行以确定配置依赖关系的跨度的示例过程的步骤之一的框图。
图14是描绘示例初始跨度表的框图。
图15是描绘示例实际跨度表的框图。
具体实施方式
在下面的描述中,为了解释的目的,阐述了许多具体细节以提供对本文描述的方法的透彻理解。然而,显而易见的是,可以在没有这些具体细节的情况下实践本方法。在某些情况下,众所周知的结构和设备以框图形式示出,以避免不必要地混淆本方法。
1.示例物理实现
图1是描绘用于确定网络配置依赖关系的跨度的示例逻辑网络环境的示例物理实现视图的框图。在所描绘的示例中,环境10包括管理平面120、中央控制平面150和网络配置数据库130。在一个实施例中,管理平面120和中央控制平面150可以被实现为分布式***或集群***。
管理平面120是软件应用程序,当它被执行时,用于管理和监控在网络实体上配置的网络服务。管理平面120可以被配置为例如接收来自用户的配置请求,并处理请求以生成配置指令。管理平面120还可以被配置为向中央控制平面150发送配置指令,以指示平面150基于指令生成用于在网络中的主机计算机上实现配置请求的配置消息。管理平面120可以将该请求以及配置指令存储在一个或更多个网络配置数据库130中。
在所描绘的示例中,用户110生成配置请求以实现分布式防火墙规则115。该请求可以声明规则115需要在例如主机1上实现,并且从主机1发送到主机2的流量需要被阻塞。
基于规则115,管理平面120可以创建与规则115的组件相对应的构造和分组对象。例如,管理平面120可以创建应用于构造、源构造、目的地构造、分组对象1、分组对象2、和分组对象3。应用于构造可以与分组对象1相关联,分组对象1可以包括VM1和VM2的标识符。源构造可以与分组对象2相关联,分组对象2可以包括IP地址1、IP地址2和VM10的标识符。目的地构造可以与分组对象3相关联,分组对象3可以包括IP地址3和IP地址4。管理平面120可以创建和关联附加对象,这些附加对象可以包括其他VM的标识符、IP地址和/或MAC地址。管理平面120包括规则配置指令140中的构造和分组对象,并且将指令140发送到中央控制器150。
在接收到规则配置指令140时,中央控制器150解析指令,基于指令生成树图,确定规则115的跨度并跨配置指令中标识的分组对象,生成包含构造和分组对象的配置消息,并向包括在相应跨度中的主机发送配置消息,以请求在主机上实现的本地控制平面在主机上配置规则115。
2.分组对象的示例
图2是描绘分组对象的示例的框图。在所描绘的示例中,分组对象对应于管理平面120为规则115确定的组件。在其他示例中,分组对象可以包括附加和/或其他元素。
通常,为规则定义的分组对象可以包括该规则应用于的虚拟机的IP地址、MAC地址和/或标识符。在所描绘的示例中,为规则115的应用于构造生成了分组对象1 151,并且分组对象1 151包括VM1的标识符142和VM2的标识符143。分组对象2 152是为源构造创建的,并且包括IP地址1 144、IP地址2 145和VM10的标识符141。分组对象3 152是为目的地构造创建的并且包括IP地址3 146和IP地址4 147。
3.表示规则的示例跨度图
图3是描绘示例树图的框图。假设中央控制器接收到用于配置防火墙规则140以阻塞从特定源到特定目的地的流量的配置指令。指令可以包括指示规则140将在属于分组对象1的VM1和VM2上实现的应用于构造。指令还可以包括指示将实现规则140以阻塞从属于分组对象2的VM10、IP地址1和IP地址2发送的流量的源构造。指令还可以包括指示要实现规则140以阻塞被发送到属于分组对象3的IP地址3和IP地址4的流量的目的地构造。
所描绘的树图包括对应于规则140的根节点。根节点连接到构造节点,该构造节点包括应用于节点310、源节点360和目的地节点392。应用于节点310是分组对象1节点320的父节点,它是两个节点的父节点:VM1节点330和VM2节点332。VM节点连接到主机1节点350,主机1节点350对应于在其上实现VM1和VM2的主机1。
源节点360是分组对象2节点370的父节点,分组对象2节点370是IP1节点380、VM10节点382和IP2节点384的父节点。节点380、382和384连接到主机10节点390,主机10节点390对应于在其上实现IP地址1、VM10和IP地址2的主机10。
目的地节点392是分组对象3节点394的父节点,分组对象3节点394是IP3节点395和IP4节点396的父节点。IP3节点395对应于IP地址3,IP4节点396对应于IP地址4。
在所描绘的示例中,规则节点140被称为第一类型节点,应用于节点310、源节点360和目的地节点392被称为第二类型节点,并且分组对象节点320、370和394被称为第三类型节点。节点使用有向链路连接,有向链路也称为第一类型链路。
4.表示多个规则的示例跨度图
图4是描绘表示两个规则的示例树图的框图。所描绘的图用于描述清晰的示例;然而,可以为任何计数的规则生成跨度图。
所描绘的图示出了两个节点:规则1节点440和规则2节点450。规则1节点440包括声明以下项的描述:动作是“阻塞”;该规则适用于分组对象1,分组对象1包括VM1和VM2;规则的源是使用分组对象2定义的,分组对象2包括IP地址1、IP地址2和VM10;以及规则的目的地是使用分组对象3定义的,分组对象3包括IP地址3和IP地址4。对应于规则1的树图在图3中详细描述。
以应用于节点310为根的树分支仅包括与主机对应的一个节点;它是主机1节点350。主机1节点350是属于以应用于节点310为根的应用于分支的唯一主机。因此,规则1的跨度是{主机1}。这意味着规则1配置消息需要被发送至主机1。
规则2节点450包括声明以下项的描述:动作是“阻塞”;该规则适用于分组对象4,分组对象4包括VM3和VM4;规则的源是使用分组对象3定义的,分组对象3包括IP地址3和IP地址4;以及规则的目的地包括分组对象3和IP地址5。注意,规则的目的地构造以及规则的源构造和应用于构造不需要使用分组对象定义;相反,它们可包括虚拟机的IP地址、MAC地址和/或标识符。
规则2节点450是应用于节点452、源节点494和目的地节点492的父节点。以应用于节点452为根的分支包括分组对象4节点460,分组对象4节点460又包括VM3节点470和VM4节点472。源节点494是分组对象3节点394的父节点。目的地节点492是分组对象3 394和IP5节点474的父节点。分组对象3节点394是IP地址3节点395和IP地址4节点396的父节点。
以应用于节点452为根的树分支仅包括与主机对应的一个节点;它是主机2节点480。主机2节点480是属于以应用于节点452为根的应用于分支的唯一主机。因此,规则2的跨度是{主机2}。这意味着规则2配置消息需要被发送到主机2。
虽然仅针对规则和仅针对简单图确定实际跨度可能很容易,但为规则和具有许多规则和许多分组对象的复杂图的分组对象确定实际跨度可能很困难。下面描述的方法允许确定所有类型的图和对象的实际跨度。
5.从跨度图确定跨度
在一个实施例中,当中央控制器从管理平面接收到配置指令时,用于确定网络配置依赖关系的实际跨度的自动化过程开始。在接收到指令后,中央控制平面调用树图生成器来生成具有节点和链路的跨度图,这些链路代表配置指令中定义的配置依赖关系。跨度图的示例在图4中描绘。
在一个实施例中,跨度图中的节点包括一个或更多个第一类型节点、一个或更多个第二类型节点、一个或更多个第三类型节点,以及可选地其他类型的节点。如果图表示例如分布式防火墙规则,则第一类型节点对应于规则节点;第二类型节点对应于应用于节点、源节点和目的地节点;第三类型节点对应于分组对象节点。
在一个实施例中,由中央控制器基于配置指令生成的跨度图中的链路为有向链路,称为第一类型链路。第一类型链路代表要在计算机网络中配置的网络配置依赖关系。可以使用实线箭头来描绘第一类型链路,例如图4中的第一类型链路442。
5.1.将第二类型链路添加到跨度图
图5是描绘被执行以确定配置依赖关系的跨度的示例过程的步骤之一的框图。在该步骤中,中央控制器为跨度图确定图中节点子集的多个第二类型链路。该子集包括第一类型节点(即规则节点)、源节点、目的地节点,以及直接连接到源节点和/或目的地节点的分组对象节点。使用虚线箭头描绘第二类型链路,例如图5中的第二类型链路542。
在所描绘的示例中,第二类型链路包括从分组对象2节点370到源节点360的虚线箭头,从分组对象3节点394到节点392、494和492的虚线箭头,从源节点360到规则节点440的虚线箭头542,从目的地节点392到规则1节点440的虚线箭头,从源节点494到规则2节点450的虚线箭头,从目的地节点492到规则2节点450的虚线箭头。
5.2.从图中移除一个或更多个第一类型链路
图6是描绘被执行以确定配置依赖关系的跨度的示例过程的步骤之一的框图。在该步骤中,如果且仅如果两个节点也由多个第二类型链路中的第二类型链路连接,则中央控制器为树图中的每个第一类型链路移除由第一类型链路连接的两个节点之间的第一类型链路。例如,在该步骤中,中央控制器移除图5所示的第一类型链路442。因此链路442未在图6中描绘。相应的第二类型链路留在图中。
5.3.从图中移除一个或更多个第二类型节点
图7是描绘被执行以确定配置依赖关系的跨度的示例过程的步骤之一的框图。在该步骤中,中央控制器为一个或更多个第二类型节点中的每个第二类型节点移除第二类型节点,并且合并第二类型节点的传入链路和第二类型节点的传出链路。具体来说,如果有相同类型的传入和传出链路,则它们将被合并为该类型的单个链路。如果存在一种类型的传出链路而没有匹配的传入链路,则可以将不同类型的两条链路合并为指向第一类型节点的第二类型链路。例如,在该步骤中,中央控制器移除节点310、360、392、494、492、452,它们在图6中描绘。这些节点未在图7中描绘。
5.4.确定初始跨度
在一个实施例中,中央控制器通过遍历跨度图中对应的第一类型链路来确定第一类型节点的初始跨度和第三类型节点的初始跨度。第一类型节点的初始跨度包括跨度图中通过遍历以第一类型节点为根的树分支中的第一类型链路从第一类型节点可到达的主机节点的一个或更多个主机标识符。第三类型节点的初始跨度包括跨度图中通过遍历以第三类型节点为根的树分支中的第一类型链路从第三类型节点可到达的主机节点的一个或更多个主机标识符。
在一个实施例中,为第一类型节点和第二类型节点确定的初始跨度被存储在跨度表中。
5.5.示例初始跨度表
图8A是描绘示例初始跨度表820的框图。示例跨度表820可以表示为包括两行和每行中的多个列的数据结构。在所描绘的示例中,跨度表820中的第一行用于存储节点的标识符,包括规则节点的标识符和分组对象节点的标识符。跨度表820中的第二行用于存储在从规则节点引出的路径上找到的主机的标识符和在从分组对象节点引出的路径上找到的主机的标识符。存储在第二行中的主机标识符指示找到的用于该节点的初始跨度;然而,它们可以被修改,如图9所示。
在图7所描绘的示例中,为所有规则节点(包括规则1节点440和规则2节点450)以及所有分组对象节点(包括分组对象1节点320、370、394和460)创建/更新初始跨度表。
初始跨度可以通过跟随图7中从规则1节点440到细主机1节点350的实线箭头确定。因此,跨度表820可以更新为包括针对规则1的{主机1}。
通过跟随图7中从规则2节点450开始的实线箭头,可以找到主机2节点480。因此,可以更新跨度表820以包括针对规则2的{主机2}。
通过跟随图7中从分组对象1节点320开始的实线箭头,可以找到主机1节点350。因此,可以更新跨度表820以包括针对分组对象1的{主机1}。
通过跟随图7中从分组对象2节点370开始的实线箭头,可以找到主机10节点390。因此,可以更新跨度表820以包括针对分组对象2的{主机10}。
跟随图7中从分组对象3节点394开始的实线箭头不引向任何主机。因此,可以更新跨度表820B以指示没有针对分组对象3的跨度。
通过跟随图7中从分组对象4节点460开始的实线箭头,可以找到主机2节点480。因此,可以更新跨度表820以包括针对分组对象4的{主机2}。
5.6.确定实际跨度
在一个实施例中,中央控制器使用存储在初始跨度表中的信息并确定针对规则和分组对象的实际跨度。
在一个实施例中,节点的实际跨度是通过跟随图7中所示的虚线箭头来确定的。跟随虚线箭头不意味着搜索主机,而是意味着使用初始跨度表的内容和虚线箭头路径来确定节点的实际跨度。注意规则节点的实际跨度通常对应于规则节点的初始跨度表中包括的初始跨度。
在一个实施例中,中央控制器确定树图中第一类型节点和第三类型节点的实际跨度。中央控制器可以将实际跨度存储在跨度高速缓存中;用于存储实际跨度的数据结构通常与用于存储跨度表的数据结构相同。
5.7.示例实际跨度表
图8B是描绘示例实际跨度表的框图。在所描绘的示例中,实际跨度被存储在称为实际跨度表1820的数据结构中。用于树图的第一类型节点和第三类型节点的实际跨度表的内容由中央控制器确定。
例如,通过跟随图7中从分组对象2节点370开始的虚线箭头,可以找到规则1节点440。然后,在图8A所示的初始跨度表820中查找规则1和分组对象2的跨度。查找到的跨度分别包括{主机1}和{主机10}。但是,由于没有实线从规则1指向分组对象2,因此分组对象2的初始跨度表中的{主机10}的跨度不是分组对象2的实际跨度。因此,分组对象2的实际跨度为{主机1},如图8B中的实际跨度表1820所示。
通过跟随图7中从分组对象3节点394开始的虚线箭头,可以找到规则1节点440和规则2节点450。然后,在图8A所示的初始跨度表820中查找规则1、规则2和分组对象3的跨度。查找到的跨度包括{主机1}和{主机2}。由于跨度表中没有分组对象3的跨度,因此分组对象3的实际跨度为{主机1,主机2},如图8B的实际跨度表1820所示。
如图7中所示,没有从分组对象1节点320开始的虚线箭头。因此,对于分组对象1,如图8A中所示,分组对象1的实际跨度对应于跨度表820中所示的跨度。这包括{主机1}。因此,分组对象1的实际跨度是{主机1},如图8B中的实际跨度表1820所示。
如图7中所示,没有从分组对象4节点460开始的虚线箭头。因此,对于分组对象4,如图8A中所示,分组对象4的实际跨度对应于初始跨度表820中所示的跨度。这包括{主机2}。因此,分组对象4的实际跨度是{主机2},如图8B中的实际跨度表1820所示。
规则1的实际跨度对应于规则1的初始跨度并且是{主机1},如图8B中的实际跨度表1820所示。
规则2的实际跨度对应于规则2的初始跨度并且是{主机2},如图8B中的实际跨度表1820所示。
6.根据实际跨度发送配置消息
在一个实施例中,一旦确定了规则和分组对象的实际跨度,中央控制器生成规则的配置消息和分组对象的配置消息,并根据实际跨度信息发送配置消息。例如,规则1的配置消息被发送到主机1,因为规则1的实际跨度是{主机1};规则2的配置消息被发送到主机2,因为规则2的实际跨度是{主机2};分组对象1的配置消息被发送到主机1,因为分组对象1的实际跨度是{主机1};分组对象2的配置消息被发送到主机1,因为分组对象2的实际跨度是{主机1};分组对象3的配置消息被发送到主机1和主机2,因为分组对象3的实际跨度是{主机1,主机2};并且分组对象4的配置消息被发送到主机2,因为分组对象4的实际跨度是{主机2}。
7.示例流程图
图9是用于实现确定配置依赖关系的跨度的过程的示例流程图。该示例过程可以在计算机网络中执行的中央控制器中实现。更具体地,该过程可以在中央控制器的跨度生成器中实现,并且一旦中央控制器的树图生成器完成生成表示计算机网络的网络配置依赖关系的跨度图,就可以调用该过程。
在步骤902中,中央控制器接收图数据,该图数据表示具有多个节点和多个节点之间的多个第一类型链路的跨度图。图节点可以包括一个或更多个第一类型节点、一个或更多个第二类型节点和一个或更多个第三类型节点。
如果该图表示例如分布式防火墙规则,则第一类型节点对应于防火墙规则;第二类型节点对应于应用于节点、源节点和目的地节点;第三类型节点对应于标识的用于防火墙规则的分组对象。图节点还可以包括其他类型的节点,诸如虚拟机标识符、IP地址、MAC地址、主机标识符等。节点的示例在图4中描述。
在步骤904中,中央控制器确定一个或更多个第三类型节点、一个或更多个第二类型节点和一个或更多个第一类型节点的子集之间的多个第二类型链路。如果该图表示例如分布式防火墙规则,则第二类型链路是将分组对象节点连接到源节点的链路,将分组对象节点连接到目的地节点的链路,将源节点连接到规则节点的链路,以及将源/目的地节点连接到规则节点的链路。使用虚线箭头示出第二类型链路的示例,如图5中所示。
在步骤906中,对于多个第一类型链路中的每个第一类型链路,如果由第一类型链路连接的两个节点也通过多个第二类型链路中的第二类型链路连接,则中央控制器移除这两个节点之间的第一类型链路。从图中移除第一类型链路的示例在图6中进行了描述。
在步骤908中,对于一个或更多个第二类型节点中的每个第二类型节点,中央控制器移除第二类型节点,并连结(concatenate)第二类型节点的传入链路与第二类型节点的传出链路。从图中移除第二类型节点的示例在图7中描述。
在步骤910中,中央控制器通过遍历多个第一类型链路,确定一个或更多个第一类型节点和一个或更多个第三类型节点的初始跨度表的内容。图8A中描述了初始跨度表的示例,图8A描述了确定初始跨度表的内容的过程。
在步骤912中,中央控制器基于初始跨度表的内容,通过遍历图中的多个第二类型链路,确定一个或更多个第一类型节点和一个或更多个第三类型节点的多个实际跨度。
如果该图表示例如分布式防火墙规则,则一个或更多个第一类型节点的针对特定规则的实际跨度指示为特定规则生成的配置消息需要被发送到的一个或更多个主机。图中的一个或更多个第三类型节点的针对特定分组对象的实际跨度指示为特定分组对象生成的配置消息要被发送到的一个或更多个主机。确定实际跨度的示例过程在图7中描述。
在步骤914中,对于一个或更多个第一类型节点中的每个第一类型节点,中央控制器为第一类型节点确定配置消息,并根据为第一类型节点确定的实际跨度发送为第一类型节点确定的配置消息。配置消息的示例可以包括中央控制器生成并发送到在主机中实现的本地控制器以配置主机上的规则的消息。例如,中央控制器可以为特定规则生成消息,并且在消息中包括规则的描述、规则的源实体、规则的目的地实体和针对规则的动作。中央控制器可以向主机发送消息,所述主机的标识符包括在所生成的针对特定规则的实际跨度中,以向主机通知该特定规则。在接收到该消息后,在该主机上执行的本地控制器可以更新其自己的本地控制平面信息并配置该特定规则。
在步骤916中,对于一个或更多个第三类型节点中的每个第三类型节点,中央控制器为第三类型节点确定配置消息,并根据为第三类型节点确定的实际跨度发送为第三类型节点确定的配置消息。配置消息的示例可以包括中央控制器生成并发送给在主机中实现的本地控制器以配置主机上的规则的消息。
在步骤918中,中央控制平面测试图数据是否已被修改。该修改可以反映诸如网络中一个或更多个设备的迁移、从网络配置中删除一些设备或向网络中添加新设备等事件。
如果中央控制器确定图已被修改,则中央控制器接收反映修改的新的图数据。新的图数据表示具有第一类型节点、第二类型节点、第三类型节点和第一类型链路的修改后的图。然后,中央控制器进行到上述步骤904。
然而,如果中央控制器确定图尚未被修改,则中央控制器可以在步骤922中完成执行。或者,中央控制器可以在步骤918中等待图已经被修改的通知。
8.从修改后的跨度图确定跨度
图10是描绘修改后的示例树图的框图。假设图4所示的规则2 450已被修改,并且修改包括图10所示的修改后的规则4050、以及修改后的应用于构造,其包括分组对象3和分组对象4。修改反映在图10中,其中应用于节点452现在连接到分组对象3节点1020和分组对象4节点460。修改后的跨度图表示规则1 440和修改后的规则2 4050。可以使用图9中描述的方法确定修改后的跨度图的实际跨度。请注意,修改后的图的实际跨度将与图4中描绘的原始图的实际跨度不同。
图10中描绘的修改后的图包括第一类型节点、第二类型节点、第三类型节点和节点之间的第一类型链路。第一类型链路代表计算机网络中的网络配置依赖关系,并使用实线箭头描绘,例如图10中的第一类型链路1042。
图11是描绘被执行以确定配置依赖关系的跨度的示例过程的步骤之一的框图。在该步骤中,中央控制器为修改后的图确定一个或更多个第三类型节点、一个或更多个第二类型节点、一个或更多个第一类型节点的子集之间的多个第二类型链路,并将这些第二类型链路添加到树图中。使用虚线箭头在图11中描绘了第二型链路,例如示例虚线箭头1142。
图12是描绘被执行以确定配置依赖关系的跨度的示例过程的步骤之一的框图。在该步骤中,对于树图中的每个第一类型链路,如果由第一类型链路连接的两个节点还通过多个第二类型链路中的第二类型链路连接,则中央控制器移除这两个节点之间的第一类型链路。例如,在该步骤中,中央控制器移除图11所示的第一类型链路1042。该链路未在图12中描绘。
图13是描绘被执行以确定配置依赖关系的跨度的示例过程的步骤之一的框图。在该步骤中,对于一个或更多个第二类型节点中的每个第二类型节点,中央控制器移除第二类型节点,并连结第二类型节点的传入链路与第二类型节点的传出链路。例如,在该步骤中,中央控制器移除节点310、360、392、494、492、452,这些节点在图12中描绘。这些节点未在图13中描绘。
图14是描绘示例初始跨度表1420的框图。针对每个节点,示例初始跨度表1420的内容包括主机的一个或更多个主机标识符,所述主机可从图13中描绘的树图中的节点到达。使用图9的步骤910中描述的方法确定初始跨度。
示例初始跨度表1420包括分组对象1的初始跨度{主机1}、分组对象2无初始跨度、分组对象3的初始跨度{主机10}、分组对象4的初始跨度{主机2}、规则1的初始跨度{主机1}、和规则2的初始跨度{主机2,主机10}。
一旦确定了第一类型节点和第二类型节点的初始跨度,中央控制器就确定节点的实际跨度。
图15是描绘示例实际跨度表1520的框图。节点的实际跨度通过跟随图13中所示的从每个分组对象开始的虚线箭头确定,以找到一个或更多个对应的规则。然后,中央控制器查找分组对象的初始跨度和相应的规则,并确定分组对象的实际跨度。
例如,通过跟随图13中从分组对象2 1010开始的虚线箭头,可以找到规则1 440节点。然后,在图14所示的初始跨度表1420中查找规则1和分组对象2的跨度。查找到的跨度分别包括{主机1}和{主机10}。但是,由于没有从规则1指向分组对象2的实线,所以分组对象2的跨度表中的初始跨度{主机10}不是分组对象2的实际跨度。因此,实际跨度表1520中分组对象2的实际跨度为{主机1}。
使用类似的方法,确定分组对象3的实际跨度为{主机1,主机10},分组对象1的实际跨度为{主机1},分组对象4的实际跨度为{主机2},规则1的实际跨度为{主机1},规则2的实际跨度包括{主机2,主机10},如实际跨度表1520所示。
9.附加实现的示例
除了使用跨度图来确定跨度以在计算机网络中配置分布式防火墙规则之外,跨度图还可用于配置负载均衡服务。用于配置负载均衡服务的跨度图可以包括节点和边。节点可以对应于负载均衡虚拟服务器和逻辑服务路由器集群,而边可以表示节点之间的依赖关系。节点还可以包括负载均衡简档(profile),例如应用程序简档、永久性简档、TCP简档、Web应用程序防火墙(“WAF”)简档、客户端SSL简档和服务器SSL简档。节点之间的边可以指示简档与服务器和路由器之间的依赖关系。代表负载均衡虚拟服务器的对象的跨度可取决于负载均衡虚拟服务器的跨度。负载均衡虚拟服务器的跨度取决于负载均衡服务的跨度。负载均衡服务的跨度可取决于图中将服务连接到逻辑服务提供商或集群的边的存在。可以使用与用于分布式防火墙规则的跨度图类似的跨度图来解析负载均衡配置的依赖关系,如上所述。
跨度图还可用于配置计算机网络中的IPSec服务和VPN会话服务。用于配置IPSec和/或VPN服务的跨度图可包括节点和边。节点可以对应于IPSec VPN会话、源集群、IPSec对等端点、IPSec本地端点等。边可以表示IPSec VPN服务之间和源集群之间的绑定。IPSecVPN服务的跨度可以包括源集群中的边缘节点。IPSec对等端点和IPSec本地端点的跨度可以包含相应的源集群中包括的边缘节点。可以使用与用于分布式防火墙规则的跨度图类似的跨度图来解析服务配置的依赖关系,如上所述。
10.实现机制
本方法可以使用包括一个或更多个处理器和存储器的计算***来实现。一个或更多个处理器和存储器可以由一个或更多个硬件机器提供。硬件机器包括用于寻址主存储器和用于在硬件机器的各种组件之中和之间传输数据的通信总线或其他通信机制。硬件机器还包括与总线耦合的一个或更多个处理器,用于处理信息。处理器可以是微处理器、片上***(SoC)或其他类型的硬件处理器。
主存储器可以是随机存取存储器(RAM)或其他动态存储设备。它可以耦合到通信总线并用于存储信息和由处理器执行的软件指令。主存储器还可用于在要由一个或更多个处理器执行的软件指令的执行期间存储临时变量或其他中间信息。
11.一般考虑
虽然各种附图中的一些可以以特定顺序示出多个逻辑阶段,但不依赖于顺序的阶段可以被重新排序并且其他阶段可以被组合或分解。虽然可能会具体提到一些重新排序或其他分组,但其他的排序或分组对本领域普通技术人员来说将是显而易见的,因此本文呈现的排序和分组并不是替代方案的穷尽列表。此外,应该认识到,这些阶段可以用硬件、固件、软件或其任何组合来实现。
为了解释的目的,已经关于特定实施例描述了前述描述。然而,以上说明性实施例并不旨在是穷举的或将权利要求的范围限制为所公开的精确形式。鉴于上述教导,许多修改和变化是可能的。选择实施例以解释基本权利要求及其实际应用的原理,从而使本领域的其他技术人员能够最好地使用具有适合于预期用途的各种修改的实施例。
本文对包含在权利要求中的术语的任何定义阐述都可以支配在权利要求中使用的这些术语的含义。未在权利要求中明确记载的限制、要素、特性、特征、优点或属性不应以任何方式限制权利要求的范围。说明书和附图被认为是说明性的而不是限制性的意义。
Claims (13)
1.一种用于确定网络配置依赖关系的跨度的计算机实现的方法,所述方法包括:
由计算机网络中实现的中央控制器接收图数据,所述图数据表示具有多个图节点和所述多个图节点之间的多个第一类型链路的规则依赖关系图,并且表示所述计算机网络中的网络配置依赖关系,
其中所述图节点包括一个或更多个第一类型节点、一个或更多个第二类型节点、一个或更多个第三类型节点以及一组主机节点;
其中所述一个或更多个第一类型节点包括与一个或更多个规则相对应的一个或更多个规则节点;
其中所述一个或更多个第二类型节点包括以下项中的一个或更多个:应用于节点、源节点和目的地节点,其中针对特定规则的应用于节点定义所述特定规则所应用于的实体;其中针对特定规则的源节点定义所述特定规则应用于的一个或更多个源实体;以及其中针对特定规则的目的地节点定义所述特定规则应用于的一个或更多个目的地实体;
其中所述一个或更多个第三类型节点包括与针对所述一个或更多个规则所标识的分组对象相对应的一个或更多个分组对象节点,其中分组对象是用于存储属于所述分组对象的实体的标识符的数据结构;
确定所述一个或更多个第三类型节点、所述一个或更多个第二类型节点和所述一个或更多个第一类型节点的子集之间的多个第二类型链路,其中所述子集包括规则节点、源节点、目的地节点和直接连接到所述源节点和/或所述目的地节点的分组对象节点;
对于所述多个第一类型链路中的每个第一类型链路,如果由所述第一类型链路连接的两个节点也由所述多个第二类型链路中的第二类型链路连接,则移除所述两个节点之间的第一类型链路;
对于所述一个或更多个第二类型节点中的每个第二类型节点,移除第二类型节点并将针对所述第二类型节点的传入链路与针对所述第二类型节点的传出链路连结起来;
确定包括所述一个或更多个第一类型节点和所述一个或更多个第三类型节点的初始跨度的初始跨度表的内容,其中第一类型节点的初始跨度包括在所述规则依赖关系图中通过遍历所述多个第一类型链路从所述第一类型节点可到达的主机节点的一个或更多个主机标识符,以及第三类型节点的初始跨度包括在所述规则依赖关系图中通过遍历以所述第三类型节点为根的树分支中的所述第一类型链路从所述第三类型节点可到达的主机节点的一个或更多个主机标识符;
确定所述一个或更多个第一类型节点和所述一个或更多个第三类型节点的多个实际跨度,其中第一类型节点的实际跨度对应于所述初始跨度表中所述第一类型节点的所述初始跨度,以及其中第三类型节点的实际跨度对应于所述第三类型节点的所述初始跨度和通过从所述第三类型节点开始遍历所述多个第二类型链路找到的所述多个第一类型节点中的任何第一类型节点的所述初始跨度;以及
将所述一个或更多个第一类型节点和所述一个或更多个第三类型节点的配置消息发送到所述多个实际跨度中标识的主机。
2.如权利要求1所述的计算机实现的方法,其中所述一个或更多个第一类型节点的针对特定规则的实际跨度指示针对所述特定规则生成的配置消息被发送到的一个或更多个主机;以及其中,所述一个或更多个第三类型节点的针对特定分组对象的实际跨度指示针对所述特定分组对象生成的配置消息被发送到的一个或更多个主机。
3.如权利要求1所述的计算机实现的方法,其中所述图是基于树图生成的,所述树图是基于由所述计算机网络中实现的管理平面应用提供的数据而创建的。
4.如权利要求1所述的计算机实现的方法,还包括:接收所述图数据已经被修改的指示;并且响应于接收到所述图数据已经被修改的所述指示,更新当前包括在所述图中的节点的所述多个实际跨度。
5.如权利要求4所述的计算机实现的方法,其中所述图数据由一个或更多个事件进行修改,所述一个或更多个事件选自包括以下项的组:所述计算机网络中的一个或更多个设备的迁移、从所述网络配置中删除设备、或向所述计算机网络添加新的设备。
6.如权利要求1所述的计算机实现的方法,其中所述配置消息配置所述主机上的规则。
7.一种在计算机网络中实现并被配置为实现用于确定网络配置依赖关系的跨度的机制的中央控制器,所述中央控制器包括:
一个或更多个处理器;
一个或更多个存储器单元;以及
一个或更多个非暂时性计算机可读存储介质,其存储一个或更多个计算机指令,所述一个或更多个计算机指令在由所述一个或更多个处理器执行时,使所述一个或更多个处理器执行:
由所述计算机网络中实现的所述中央控制器接收图数据,所述图数据表示具有多个图节点和所述多个图节点之间的多个第一类型链路的规则依赖关系图,并且表示所述计算机网络中的网络配置依赖关系,其中所述图节点包括一个或更多个第一类型节点、一个或更多个第二类型节点、一个或更多个第三类型节点以及一组主机节点;
其中所述一个或更多个第一类型节点包括与一个或更多个规则相对应的一个或更多个规则节点;
其中所述一个或更多个第二类型节点包括以下项中的一个或更多个:应用于节点、源节点和目的地节点,其中针对特定规则的应用于节点定义所述特定规则所应用于的实体;其中针对特定规则的源节点定义所述特定规则应用于的一个或更多个源实体;以及其中针对特定规则的目的地节点定义所述特定规则应用于的一个或更多个目的地实体;
其中所述一个或更多个第三类型节点包括与针对所述一个或更多个规则所标识的分组对象相对应的一个或更多个分组对象节点,其中分组对象是用于存储属于所述分组对象的实体的标识符的数据结构;
确定所述一个或更多个第三类型节点、所述一个或更多个第二类型节点和所述一个或更多个第一类型节点的子集之间的多个第二类型链路,其中所述子集包括规则节点、源节点、目的地节点和直接连接到所述源节点和/或所述目的地节点的分组对象节点;
对于所述多个第一类型链路中的每个第一类型链路,如果由所述第一类型链路连接的两个节点也由所述多个第二类型链路中的第二类型链路连接,则移除所述两个节点之间的第一类型链路;
对于所述一个或更多个第二类型节点中的每个第二类型节点,移除第二类型节点并将针对所述第二类型节点的传入链路与所述第二类型节点的传出链路连结起来;
确定包括所述一个或更多个第一类型节点和所述一个或更多个第三类型节点的初始跨度的初始跨度表的内容,其中第一类型节点的初始跨度包括在所述规则依赖关系图中通过遍历所述多个第一类型链路从所述第一类型节点可到达的主机节点的一个或更多个主机标识符,以及第三类型节点的初始跨度包括在所述规则依赖关系图中通过遍历以所述第三类型节点为根的树分支中的所述第一类型链路从所述第三类型节点可到达的主机节点的一个或更多个主机标识符;
确定所述一个或更多个第一类型节点和所述一个或更多个第三类型节点的多个实际跨度,其中第一类型节点的实际跨度对应于所述初始跨度表中所述第一类型节点的所述初始跨度,以及其中第三类型节点的实际跨度对应于所述第三类型节点的所述初始跨度和通过遍历所述多个第二类型链路找到的所述多个第一类型节点中的任何第一类型节点的所述初始跨度;以及
将所述一个或更多个第一类型节点和所述一个或更多个第三类型节点的配置消息发送到所述多个实际跨度中标识的主机。
8.如权利要求7所述的中央控制器,其中所述一个或更多个第一类型节点的针对特定规则的实际跨度指示针对所述特定规则生成的配置消息被发送到的一个或更多个主机;以及其中,对于特定规则,所述一个或更多个第三类型节点的针对特定分组对象的实际跨度指示针对所述特定分组对象生成的配置消息被发送到的一个或更多个主机。
9.如权利要求7所述的中央控制器,其中所述图是基于树图生成的,所述树图是基于由所述计算机网络中实现的管理平面应用提供的数据而创建的。
10.如权利要求7所述的中央控制器,进一步使所述一个或更多个处理器执行:接收所述图数据已经被修改的指示;并且响应于接收到所述图数据已经被修改的所述指示,更新当前包括在所述图中的节点的所述多个实际跨度。
11.如权利要求10所述的中央控制器,其中所述图数据由一个或更多个事件进行修改,所述一个或更多个事件选自包括以下项的组:所述计算机网络中的一个或更多个设备的迁移、从所述网络配置中删除设备、或向所述计算机网络添加新的设备中。
12.如权利要求7所述的中央控制器,其中所述配置消息配置所述主机上的规则。
13.一种或更多种非暂时性计算机可读存储介质,其存储一个或更多个计算机指令,所述一个或更多个计算机指令在由一个或更多个处理器执行时,使所述一个或更多个处理器执行如权利要求1-6中任一项所述的步骤。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2019/072493 WO2020150856A1 (en) | 2019-01-21 | 2019-01-21 | Determining spans for network configuration dependencies |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113316925A CN113316925A (zh) | 2021-08-27 |
CN113316925B true CN113316925B (zh) | 2023-07-04 |
Family
ID=71735335
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980089630.1A Active CN113316925B (zh) | 2019-01-21 | 2019-01-21 | 确定网络配置依赖关系的跨度 |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP3903471A4 (zh) |
CN (1) | CN113316925B (zh) |
WO (1) | WO2020150856A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114285889B (zh) * | 2021-12-21 | 2024-05-17 | 中国农业银行股份有限公司 | 应用服务的配置信息的处理方法、装置和设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104283788A (zh) * | 2013-07-08 | 2015-01-14 | 北京市翌晨通信技术研究所 | 一种基于信令机制的向量网拓扑探测方法 |
CN105306333A (zh) * | 2014-06-30 | 2016-02-03 | 瞻博网络公司 | 跨越多个网络的服务链接 |
CN105592124A (zh) * | 2014-11-13 | 2016-05-18 | 镇江鼎拓科技信息有限公司 | 一种分布式虚拟现实***网络构建方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7983182B2 (en) * | 2002-02-01 | 2011-07-19 | Tellabs Operations, Inc. | Methods and apparatus for exchanging network connectivity and capability information |
US7889675B2 (en) * | 2003-01-31 | 2011-02-15 | Tellabs Operations, Inc. | Method and system for multi-layer network routing |
US9813328B2 (en) * | 2012-04-12 | 2017-11-07 | Hewlett Packard Enterprise Development Lp | Assigning selected groups to routing structures |
WO2016072996A1 (en) * | 2014-11-06 | 2016-05-12 | Hewlett Packard Enterprise Development Lp | Network policy graphs |
US9787641B2 (en) * | 2015-06-30 | 2017-10-10 | Nicira, Inc. | Firewall rule management |
US10382529B2 (en) * | 2016-01-29 | 2019-08-13 | Nicira, Inc. | Directed graph based span computation and configuration dispatching |
US10230582B2 (en) * | 2016-08-29 | 2019-03-12 | International Business Machines Corporation | Identifying resources for purging in a cloud based on inter-dependency graph analysis |
US10742509B2 (en) * | 2016-11-03 | 2020-08-11 | Nicira, Inc. | Logical network configuration span |
-
2019
- 2019-01-21 WO PCT/CN2019/072493 patent/WO2020150856A1/en unknown
- 2019-01-21 CN CN201980089630.1A patent/CN113316925B/zh active Active
- 2019-01-21 EP EP19911274.9A patent/EP3903471A4/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104283788A (zh) * | 2013-07-08 | 2015-01-14 | 北京市翌晨通信技术研究所 | 一种基于信令机制的向量网拓扑探测方法 |
CN105306333A (zh) * | 2014-06-30 | 2016-02-03 | 瞻博网络公司 | 跨越多个网络的服务链接 |
CN105592124A (zh) * | 2014-11-13 | 2016-05-18 | 镇江鼎拓科技信息有限公司 | 一种分布式虚拟现实***网络构建方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113316925A (zh) | 2021-08-27 |
WO2020150856A1 (en) | 2020-07-30 |
EP3903471A4 (en) | 2022-08-03 |
EP3903471A1 (en) | 2021-11-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10986139B2 (en) | Micro-segmentation in virtualized computing environments | |
US11076019B2 (en) | Scheduling services on a platform including configurable resources | |
US20170054801A1 (en) | Method, apparatus and system pertaining to cloud computing | |
Michel et al. | The programmable data plane: Abstractions, architectures, algorithms, and applications | |
US10411947B2 (en) | Hot swapping and hot scaling containers | |
US9092271B2 (en) | Load balancing for single-address tenants | |
KR101714279B1 (ko) | 폴리시 기반 데이터센터 네트워크 자동화를 제공하는 시스템 및 방법 | |
CN105657081B (zh) | 提供dhcp服务的方法、装置及*** | |
US10698741B2 (en) | Resource allocation method for VNF and apparatus | |
US10198338B2 (en) | System and method of generating data center alarms for missing events | |
JP2003188877A (ja) | 分散ネットワークインフラストラクチャサービスを管理するシステム | |
US11650859B2 (en) | Cloud environment configuration based on task parallelization | |
CN112166579A (zh) | 提供虚拟化网络功能的多服务器架构集群 | |
US11531564B2 (en) | Executing multi-stage distributed computing operations with independent rollback workflow | |
de Souza et al. | Qvia-sdn: Towards qos-aware virtual infrastructure allocation on sdn-based clouds | |
Katsikas et al. | Metron: High-performance NFV service chaining even in the presence of blackboxes | |
CN113316925B (zh) | 确定网络配置依赖关系的跨度 | |
US10397055B2 (en) | Priority based scheduling in network controller using graph theoretic method | |
EP3862880A1 (en) | Computer-implemented method for reducing service disruption times for a universal customer premise equipment, ucpe, device with resource constraint in a network functions virtualization, nfv, network infrastructure | |
Gadre et al. | Centralized approaches for virtual network function placement in SDN-enabled networks | |
CN112714903A (zh) | 使用客户端提供的决策元数据的基于可缩放小区的包处理服务 | |
US11258669B2 (en) | Differential dataflow approach for computing grouping membership in network controllers | |
US20230024980A1 (en) | Service execution method and apparatus, system, and storage medium | |
US11133960B2 (en) | Systems and methods for configuring virtual networks | |
WO2023066224A1 (zh) | 一种部署容器服务的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: California, USA Patentee after: Weirui LLC Country or region after: U.S.A. Address before: California, USA Patentee before: VMWARE, Inc. Country or region before: U.S.A. |
|
CP03 | Change of name, title or address |