[发明专利]基于软件定义网络加密策略的策略驱动的工作负载启动

权利要求书

1.一种用于加密策略的方法，包括：

由软件定义网络SDN控制器根据安全策略配置网络以在计算设备之间形成隧道，其中，所述安全策略定义了需要加密通信的一种或多种类型的虚拟化应用程序工作负载、并将所述计算设备中的每一个分组到经由各个隧道子集进行通信的多个区中的一个区内，其中，所述隧道子集中的至少一个被配置为承载加密通信，其中，所述计算设备中的每一个为多个虚拟化应用程序工作负载提供执行环境，并且其中，配置所述网络以形成隧道包括：

由所述SDN控制器根据所述安全策略配置隧道的第一子集以承载加密通信，并且所述隧道的第一子集耦接至包括在所述多个区的第一组区中的第一组计算设备；并且

由所述SDN控制器根据所述安全策略配置隧道的第二子集以承载其它通信，并且所述隧道的第二子集耦接至包括在所述多个区的第二组区中的第二组计算设备；

响应于执行虚拟化应用程序工作负载的请求，通过编制引擎访问由所述SDN控制器实现的所述安全策略，所述安全策略包括指示包括所述第一组计算设备的所述第一组区的信息；

基于所述安全策略由所述编制引擎确定所述虚拟化应用程序工作负载需要加密通信；

由所述编制引擎从所述安全策略中定义的用于经由被配置为承载加密通信的至少一个隧道进行通信的所述第一组区中的所述第一组计算设备中选择一计算设备；以及

由所述编制引擎将所述应用程序工作负载部署到所选的计算设备。

2.根据权利要求1所述的方法，

其中，配置所述网络包括：

将所述第一组计算设备分配给所述第一组区；以及

将所述第二组计算设备分配给所述第二组区；

由所述SDN控制器根据所述安全策略，在分配给所述第一组区的所述第一组计算设备之间配置隧道的所述第一子集；并且

由所述SDN控制器根据所述安全策略，在分配给所述第二组区的所述第二组计算设备之间配置隧道的所述第二子集。

3.根据权利要求1所述的方法，其中，选择计算设备包括在不接收指示所选的计算设备用于承载加密通信的至少一个所述隧道的信息的情况下选择所述计算设备。

4.根据权利要求1至3中任一项所述的方法，还包括：

利用所述SDN控制器，从要与所选的计算设备进行通信的所述隧道子集中选择至少一个所述隧道。

5.根据权利要求1至3中任一项所述的方法，还包括：

利用所述SDN控制器给所述虚拟化应用程序工作负载的类型分配标签，所述标签指示各个类型的所述虚拟化应用程序工作负载是否需要加密通信，

其中，所述安全策略指示与具有所述标签的一种或多种类型的虚拟化应用程序工作负载的通信需要加密通信。

6.根据权利要求1至3中任一项所述的方法，还包括：

利用所述SDN控制器给用于经由被配置为承载加密通信的所述隧道的第一子集进行通信的所述第一组计算设备分配标签，

其中，选择计算设备包括基于所述标签选择所述计算设备。

7.根据权利要求1至3中任一项所述的方法，其中，所述安全策略包括具有多个字段的数据结构，其中，所述多个字段中的第一字段指示是否需要加密，并且其中，所述多个字段中的第二字段指示多个应用程序工作负载中的一个应用程序工作负载的类型。

8.根据权利要求1至3中任一项所述的方法，其中，通过所述编制引擎访问所述安全策略包括：

利用所述编制引擎执行允许所述编制引擎访问来自所述SDN控制器的信息的插件；以及

利用执行的所述插件访问所述安全策略。