[发明专利]虚拟计算元件的微分段

权利要求书

1.一种基于在虚拟计算元件上运行的应用程序对所述虚拟计算元件进行微分段的方法，所述方法包括：

识别包括多个虚拟机的一个或更多个多层应用程序，其中所述一个或更多个多层应用程序中的每个应用程序层包括所述多个虚拟机中的至少一个，并且其中所述识别包括：向所述虚拟机查询进程信息，所述进程信息识别在所述虚拟机上执行的应用程序进程；以及基于来自所述虚拟机的所述进程信息自动识别所述一个或更多个多层应用程序；

维护关于所述一个或更多个多层应用程序的信息，其中所述信息至少指示所述多个虚拟机中的每个虚拟机的安全组；

识别所述多个虚拟机中的虚拟机的应用程序之间的通信业务流；

至少部分地基于所述信息识别所述通信业务流中的一个或更多个可移除业务流；以及

阻止所述一个或更多个可移除业务流。

2.如权利要求1所述的方法，还包括：

向用户界面呈现所述一个或更多个可移除业务流；

从所述用户界面接收应移除所述可移除业务流的确认；以及

其中响应于所述确认，阻止所述可移除业务流。

3.如权利要求2所述的方法，其中呈现所述可移除业务流包括：

呈现图形显示，所述图形显示将所述多个虚拟机中的所述虚拟机可视地分组到相应的应用程序层和相应的安全组中；以及

显示所述虚拟机之间的所述通信业务流。

4.如权利要求3所述的方法，其中所述图形显示标记所述应用程序层和所述安全组。

5.如权利要求3所述的方法，其中呈现所述可移除业务流还包括：

突出显示所显示的通信业务流中的所述可移除业务流。

6.如权利要求1所述的方法，其中阻止所述一个或更多个可移除业务流包括：实现阻止所述一个或更多个可移除业务流的一个或更多个防火墙规则。

7.如权利要求1所述的方法，其中多层应用程序中的每一个包括三层，其中所述三层包括web层、应用程序层和数据库层。

8.如权利要求7所述的方法，其中所述一个或更多个可移除业务流包括：除了所述web层与所述应用程序层之间、所述应用程序层与所述数据库层之间以及外部系统与所述web层之间的业务流之外的业务流。

9.如权利要求1所述的方法，其中识别所述通信业务流包括：

在托管所述多个虚拟机的一个或更多个计算系统中，识别进出多个虚拟机中的每个虚拟机的通信业务。

10.如权利要求1所述的方法，其中所述信息还包括用于所述一个或更多个多层应用程序中的每一个的标识符。

11.一种具有指令的计算机可读介质，所述指令在被执行时使得计算机系统执行如权利要求1-10中任一项所述的方法。

12.一种计算机系统，其被配置为执行如权利要求1-10中任一项所述的方法。