具有用户职责划分的网络虚拟化基础设施制造技术

一些实施例提供了用于管理一个或多个逻辑网络的网络管理和控制系统的方法。该方法从第一用户接收用于逻辑网络的一个或多个安全区的定义。每个安全区定义都包括用于指派给该安全区的数据计算节点(DCN)的安全规则的集合。该方法从第二用户接收要部署在逻辑网络中的应用的定义。该应用定义指定要求的集合。基于所指定的要求的集合，该方法将实现该应用的DCN指派给用于逻辑网络的安全区中的一个或多个安全区。个安全区。个安全区。

【技术实现步骤摘要】
【国外来华专利技术】具有用户职责划分的网络虚拟化基础设施

技术介绍

[0001]随着越来越多的网络移到云(公共的、私有的或混合的)，公司或其它实体内的应用开发者通常想要部署可以跨越这些站点的应用。这对网络管理员(例如，公司的IT团队)提出了各种挑战。在当前系统中，应用开发者要么必须了解安全和联网配置才能自行部署应用，要么与网络管理员合作以将应用部署在网络中。需要各种解决方案来解决这些问题。

技术实现思路

[0002]本专利技术的一些实施例提供了一种网络管理系统，用于管理具有跨一个或多个站点(例如，数据中心)定义的一个或多个逻辑网络的虚拟化基础设施。网络管理系统允许虚拟基础设施的顶级用户(例如，云提供商、企业的网络管理员)定义虚拟化基础设施的提供商逻辑网络并定义一个或多个次级用户(例如，租户、企业组织单元)。这些次级用户可以进而为不同的用户定义账户。具体而言，次级用户可以定义对三级用户(例如，应用开发者)以及其他次级用户不透明的安全和联网配置(例如，逻辑联网构造(logical networking construct)、安全区(security zone))。应用开发者可以指定他们的应用要求，而无需对安全和联网配置的任何知识，并且一些实施例的网络管理系统根据这些要求自动地部署应用，同时确保遵守安全和联网策略。
[0003]如所提到的，顶级用户定义提供商逻辑网络(此逻辑网络将在本文中被称为提供商逻辑网络，而不管顶级用户是云提供商、企业网络管理员等)。在一些实施例中，此提供商逻辑网络是使用特定数据模型(诸如分层策略树，其具有节点和节点之间的连接)来定义的。通过该数据模型，顶级用户可以定义安全策略和安全组以及逻辑网络元件(例如，逻辑路由器和/或逻辑交换机)。此外，在一些实施例中，提供商数据模型包括对其上部署有虚拟化基础设施的物理基础设施的定义。一些实施例的这种物理基础设施可以指定跨其部署该虚拟化基础设施的多个联合站点(federated sites)，以及此站点内的物理元件的组(例如，每个站点中物理地连接到外部网络的边缘设备的组、每个站点内的物理服务器的区和/或转发元件)。
[0004]在一些实施例中，次级用户(本文称为租户)被授予定义他们自己的安全和联网配置以及使用由提供商网络暴露的某些实体的能力。虽然这些提供商网络实体可以被暴露给租户用户，但租户用户被限制查看或编辑提供商网络(包括这些实体)的配置。此外，为了提供用户之间的隔离，一个租户用户被限制查看(或修改)任何其他租户用户的配置。即，为每个租户提供只能查看和修改他们自己的配置的能力，而不能查看和修改任何其他租户或更高级别的提供商用户的配置。在租户的配置内，可以创建子用户，这些子用户可以定义他们自己的经隔离的配置(在一些实施例中，该配置可以链接到租户或提供商配置)。这些经隔离的配置中的每一个都可以被称为虚拟混合云(VHC)；如下文进一步描述的，每个VHC可以被隔离到单个站点或跨多个物理站点(例如，企业内部数据中心、分支机构和公共云的组合)散布。
[0005]在一些实施例中，用于租户配置的数据模型与用于提供商配置的数据模型相似。
即，租户配置也被表示为(例如，在网络管理系统的存储装置中)具有相似节点和连接的分层策略树。但是，一个区别在于，在一些实施例中，仅提供商用户策略树包括定义站点以及站点内的物理计算设备组的物理基础设施节点。即，一些实施例阻止租户用户查看或配置提供商物理基础设施节点以及定义他们自己的物理基础设施策略。
[0006]此外，当定义(例如，创建、修改)相同类型的实体时，API对于租户用户和对于提供商用户是相似的。例如，租户管理员可以定义安全策略和安全组以及逻辑网络元件。在一些实施例中，租户用户(和/或租户的子用户)可以定义逻辑网络，包括数据计算节点(例如，虚拟机(VM)、容器等)所连接到的逻辑交换机和将这些逻辑交换机彼此连接的逻辑路由器。如下文进一步描述的，在一些实施例中，数据计算节点(DCN)可以实现部署在租户逻辑网络中的应用。
[0007]在一些实施例中，逻辑路由器可以是层0(T0)逻辑路由器或者层1(T1)逻辑路由器，层0(T0)逻辑路由器提供到外部网络的连接，层1(T1)逻辑路由器(i)将逻辑交换机彼此连接、(ii)提供服务(例如，防火墙、负载平衡等)以及(iii)启用到T0逻辑路由器的连接。一些实施例仅允许提供商用户定义T0逻辑路由器，以便提供商用户(例如，企业IT团队)可以监督与虚拟化基础设施的外部连接相关的所有规则(例如，用于与外部路由器的路由协议、虚拟专用网络(VPN)连接等)。在一些实施例中，提供商用户可以为单个T0路由器定义多个虚拟路由和转发表(VRF)。另一方面，在一些实施例中，租户用户只能定义T1逻辑路由器。在其它实施例中，当由提供商创建租户用户时，隔离的VHC被自动地创建，其具有特定于该租户的T0 VRF。租户用户可以管理此T0 VRF并定义诸如路由协议(例如，BGP、OSPF)和VPN之类的服务，同时将这种配置与任何子用户隔离。
[0008]在一些实施例中，所有类型的用户(提供商、租户、子用户)可以为他们各自的VHC定义安全策略。在一些实施例中，这种安全策略可以包括安全规则(例如，分布式防火墙规则和/或网关防火墙规则)、安全组定义和域。在一些实施例中，域是一个或多个站点(例如，在相似地理区域内)的逻辑分组，它们用作将不同逻辑实体分组在一起(例如，出于安全性目的)的包络(envelope)。例如，在一些实施例中，应用于域的防火墙策略或其它策略微分段将自动被应用于在该域内定义的逻辑端点的所有组。在一些实施例中，安全组是共享一个或多个属性(例如，操作系统、区域、应用层等)的逻辑网络端点的组。用户(提供商或租户)可以将安全规则应用于安全组，并且网络管理和控制系统将这些安全规则翻译成应用于该安全组中的每个DCN的规则。在一些实施例中，安全规则和组是在域内定义的。
[0009]虽然租户用户不能配置或查看在提供商VHC内定义的实体的配置，但一些实施例允许提供商用户暴露这些实体中的一些实体以供租户用户使用。在一些实施例中，提供商用户经由标签(label)将这些实体暴露给一个或多个租户，这允许租户用户识别实体的类型和导入的任何特定特性，但不能查看或修改实体的完整配置。例如，提供商用户可以暴露T0逻辑路由器，或者仅租户用户(或其子用户)可以将其T1逻辑路由器连接到的T0逻辑路由器的VRF。标签可以指示该T0逻辑路由器所跨越的站点，但不指示连接到该T0逻辑路由器的VLAN片段(segment)或其路由协议配置。提供商用户可以经由标签暴露的其它类型的实体包括租户用户可以用来定义防火墙规则的安全组(租户用户知道使得DCN属于一安全组的属性，但不知道租户VHC之外的组的完整成员资格)、租户用户可以用于T1逻辑路由器的边缘集群(用于实现逻辑路由器的集中路由组件的设备的物理基础设施分组)，以及诸如负载
平衡器之类的服务。
[0010]如上面所提到的，除了被提供有在VHC中配置他们自己的经隔离的逻辑网络和安全策略的能力之外，每个租户用户还可以定义附本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种针对管理一个或多个逻辑网络的网络管理和控制系统的方法，包括：从第一用户接收用于逻辑网络的一个或多个安全区的定义，每个安全区定义包括用于指派给所述安全区的数据计算节点(DCN)的安全规则的集合；从第二用户接收要部署在所述逻辑网络中的应用的定义，所述应用定义指定要求的集合；以及基于所指定的所述要求的集合，将实现所述应用的DCN指派给用于所述逻辑网络的所述安全区中的一个或多个安全区。2.如权利要求1所述的方法，其中：第一安全区包括允许第一安全区中的DCN与所述逻辑网络之外的端点之间的连接的规则；并且第二安全区不允许第二安全区中的DCN与所述逻辑网络之外的端点之间的连接。3.如权利要求2所述的方法，其中，只有被指派给第一安全区的DCN被允许连接到所述逻辑网络之外的端点。4.如权利要求2所述的方法，其中，第二安全区包括允许第一安全区中的DCN与第二安全区中的DCN之间的连接的规则。5.如权利要求1所述的方法，其中，所述逻辑网络跨至少两个虚拟云，其中第一虚拟云中的DCN不被允许与第二虚拟云中的DCN通信，直到所述DCN被指派给特定安全区。6.如权利要求5所述的方法，其中，指派给第一安全区的第一虚拟云中的第一DCN与指派给第二安全区的第二虚拟云中的第二DCN通信。7.如权利要求6所述的方法，其中，第一DCN属于所述应用的特定层，而第二DCN不属于任何应用。8.如权利要求1所述的方法，其中，所述应用的定义包括至少两个应用层。9.如权利要求8所述的方法，其中，属于第一应用层的DCN被指派给第一安全区，并且属于第二应用层的DCN被指派给第二安全区。10.如权利要求9所述的方法，其中：第一应用层是从外部设备接收通信的web层，并且第二应用层是被限制从外部设备接收通信的数据库层；被指派给第一安全区的DCN被允许接收来自互联网源的入口连接，并且被指派给第二安全区的DCN只被允许接收来自被指派给第一安全区的DCN的入口连接。11.如权利要求1所述的方法，其中，定义所述安全区的安全规则的所述集合是通过由所述网络管理和控制系统管理的网络元件应用的防火墙规则来实现的。12.如权利要求1所述的方法，其中，第一用户管理用于所述逻辑网络的至少一部分的联网和安全配置，并且第二用户是未被授权访问用于所述逻辑网络的所述联网和安全配置的应用开发者用户。13.如权利要求1所述的方法，其中，所述一个或多个安全区是用于所述逻辑网络的安全区的第一集合，所述方法还包括从第三用户接收用于所述逻辑网络的安全区的第二集合的定义。14.如权利要求13所述的方法，其中：第一用户是管理所述逻辑网络的租户用户；
第三用户是提供商用户，其向网络管理和控制系统定义租户第一用户和多个附加租户用户；并且安全区的第二集合是为由所述租户第一用户和所述多个附加租户用户管理的多个逻辑网络定义的。15.一种用于管理跨一组数据中心部署的虚拟基础设施的网络管理和控制系统的方法，包括：接收要在所述虚拟基础设施中部署的应用的定义，所述应用定义指定(i)所述应用的层的集合和(ii)用于部署所述应用的要求的集合；基于所述应用定义，自动定义逻辑网络体系架构，用于对在所述一组数据中心中实现所述应用层的数据计算节点(DCN)进行连接；以及在...

【专利技术属性】
技术研发人员：S，
申请(专利权)人：VM维尔股份有限公司，
类型：发明
国别省市：