[发明专利]用于多租户环境中支持访问控制列表的方法和装置

说明书

技术领域

本公开一般地涉及通信网络，更具体地，涉及在多租户环境中支持访问控制列表。

背景技术

许多企业和服务供应商客户正在构建私有云或公共云。云计算使得对可以以最少的管理工作来快速配设和发布的可配置资源的共享池的网络访问成为可能。在多租户模型中，供应商的资源被集中起来以服务多个客户，其中根据客户需求对不同的物理和虚拟资源进行动态分配和再分配。在云计算中，多租户环境允许多个客户使用同一公共云。在支持多租户的数据中心中，针对不同租户、网络或虚拟机需要自定义访问控制列表(ACL)。由于对存储器和处理的约束，一个网络设备难以支持大量的特有ACL。

附图说明

图1示出本文所描述的实施例可以在其中被实现的网络的示例。

图2示出根据一个实施例的访问控制列表变量表。

图3描述对实现本文所描述的实施例有用的网络设备的示例。

图4是根据一个实施例示出了用于配置多租户环境的访问控制列表的过程的概要的流程图。

在整个附图的多个视图中，相应的参考字符指示相应的部分。

具体实施方式

概览

在一个实施例中，方法一般包括：标识网络中的多个租户间的公共访问控制列表参数(ACL)和可变ACL参数、将可变ACL参数的参数值映射到租户、生成租户的多租户访问控制列表、将多租户访问控制列表和映射存储于网络设备处、将多租户访问控制列表应用到网络设备处的端口。多租户访问控制列表包括公共ACL参数和可变ACL参数。

在另一实施例中，装置通常包括处理器，该处理器用于标识网络中的多个租户间的公共访问控制列表参数(ACL)和可变ACL参数、将可变ACL参数的参数值映射到租户、生成租户的多租户访问控制列表。该装置还包括用于存储多租户访问控制列表和映射的存储器。多租户访问控制列表包括公共ACL参数和可变ACL参数并被配置以供虚拟交换机处的使用。

示例实施例

呈现下面的描述是为了使本领域的普通技术人员能够制造和使用本实施例。对具体实施例和应用的描述仅作为示例被提供，各种修改对本领域的技术人员将是显而易见的。本文所描述的一般原理可以被应用到其它的应用而不背离实施例的范围。因此，实施例不限于所示出的那些，而是被赋予与本文所描述的原理和特征一致的最广泛的范围。为了清楚的目的，与实施例涉及的技术领域中公知的技术材料相关的细节没有被详细描述。

云计算提供从底层基础架构抽象出来的、按需大规模被提供的资源和服务。云计算的内在是具有大量应用的、使用按需云基础设施的多个租户的存在。支持多租户已经成为对数据中心的一项重要要求，尤其是在数据中心支持虚拟化服务器(被称为虚拟机(VM))的情况下。多个虚拟机共享硬件资源而不互相干扰，使得多个操作系统和应用可以同时在一台计算机上运行。

在支持多租户的数据中心中，存在对于基于每个租户的自定义访问控制列表(ACL)的需要。例如，容宿(host)大量租户的服务供应商需要对每个租户、每个网络或每个虚拟机定义的ACL进行配置。在网络设备处需要附加的存储器来支持大量的ACL并且需要附加的处理来优化用于数据路径决策性能的ACL以及分发ACL。此外，大量的ACL使得配置的复杂性增加。根据存储器和处理约束，存在对于特有的(unique)访问控制列表的数目的限制，该特有的访问控制列表在传统的系统中能够被充分地支持。

本文所描述的实施例提供对可以在网络设备上以对ACL的语法和语义的最小的改变以及最小的配置复杂性被配置的多租户ACL的支持。如下面的详细描述，这些实施例利用一个事实，即除了在客户(租户)间存在差异的一些规则，该规则集的其余部分在不同的客户间保持不变。因此，覆盖公共规则集的公共决策树被用于一组用户，不同的树或查找机制被用于捕获在客户间存在差异的特有规则，而不是为每个客户编译包括所有的规则的单独的决策树。

实施例通过ACL中与在配置中所定义的租户特定属性相对应的变量的使用简化了ACL的配置。由于ACL数量的减少，通过提供降低的存储器要求和处理要求来优化ACL和分发ACL，实施例的伸缩性比传统系统更好。