[发明专利]虚拟计算元件的微分段

说明书

本文公开的技术实现了虚拟计算元件的微分段。在特定实施例中，一种方法提供识别包括多个虚拟机的一个或更多个多层应用程序。一个或更多个多层应用程序的每个应用程序层包括多个虚拟机中的至少一个。该方法还提供维护关于一个或更多个多层应用程序的信息。该信息至少指示多个虚拟机中的每个虚拟机的安全组。另外，该方法提供识别多个虚拟机中的虚拟机之间的通信业务流，并至少部分地基于该信息识别通信业务流中的一个或更多个可移除业务流。该方法然后提供阻止该一个或更多个可移除业务流。

相关申请

本申请涉及并要求2016年12月22日提交的标题为“虚拟计算元件的微分段(MICRO-SEGMENTATION OF VIRTUAL COMPUTING ELEMENTS)”的美国临时专利申请62/437,891和2017年10月23日提交的标题为“虚拟计算元件的微分段(MICRO-SEGMENTATION OFVIRTUAL COMPUTING ELEMENTS)”的美国非临时专利申请15/790,303的优先权，其全部内容通过引用并入本文。

背景技术

可通过通信网络访问的应用程序可被分段为多个组。对一个组中的应用程序的访问可与访问另一个组中的应用程序不同地控制。控制该访问可以由网络防火墙类型系统执行，该系统调节在其上运行应用程序的物理和/或虚拟计算系统之间交换的网络业务。例如，如果用户不希望一个组中的应用程序与另一个组中的应用程序交换通信，则用户可以创建防火墙规则以防止这种通信。

许多应用程序用多个层(tier)来实现。每个应用程序层可以在不同的系统上执行。在一个常见示例中，客户端可以通过因特网访问的基于web的应用程序，可以以三层来实现：web服务器层、应用程序服务器层和数据库层。三层中的每一层执行特定功能以支持向客户端提供基于web的应用程序。虽然三层中的每一层都是应用程序本身，但上面讨论的应用程序分段将它们组合在一起作为一个基于Web的应用程序。因此，不可能基于该分组来控制各个应用程序层之间的访问。

发明内容

本文公开的技术实现了虚拟计算元件的微分段。在特定实施例中，一种方法提供识别包括多个虚拟机的一个或更多个多层应用程序。一个或更多个多层应用程序中的每个应用程序层包括多个虚拟机中的至少一个。该方法还提供维护关于一个或更多个多层应用程序的信息。该信息至少指示多个虚拟机中的每个虚拟机的安全组。另外，该方法提供识别多个虚拟机中的虚拟机之间的通信业务流，并至少部分地基于该信息识别通信业务流中的一个或更多个可移除业务流。该方法然后提供阻止一个或更多个可移除业务流。

在一些实施例中，该方法提供将一个或更多个可移除业务流呈现给用户并从用户接收应当移除可移除业务流的确认。在这些实施例中，响应于所述确认，发生对可移除业务流的阻止。此外，在这些实施例中，呈现可移除业务流包括：呈现图形显示，其将多个虚拟机中的虚拟机可视地分组到相应的应用程序层和相应的安全组中，并显示虚拟机之间的通信业务流。在某些情况下，图形显示标记应用程序层和安全组。另外，在一些情况下，呈现可移除业务流还包括突出显示(highlight)所显示的通信业务流的可移除业务流。

在一些实施例中，阻止一个或更多个可移除业务流包括：实现阻止一个或更多个可移除业务流的一个或更多个防火墙规则。

在一些实施例中，多层应用程序中的每一个包括三个层，其中所述三个层包括web层、应用程序层和数据库层。

在一些实施例中，一个或更多个可移除业务流包括：除了web层和应用程序层之间、应用程序层和数据库层之间以及外部系统和web层之间的业务流之外的业务流。

在一些实施例中，识别通信业务流包括在托管多个虚拟机的一个或更多个计算系统中，识别进出多个虚拟机中的每个虚拟机的通信业务。

在一些实施例中，该信息还包括用于一个或更多个多层应用程序中的每一个的标识符。