[发明专利]基于软件定义网络加密策略的策略驱动的工作负载启动

说明书

本发明涉及基于软件定义网络加密策略的策略驱动的工作负载启动。公开了用于跨支持应用程序工作负载的多个类别实现可扩展策略的技术。在一个示例中，该策略是安全策略，其指示需要哪些类型的虚拟化应用程序工作负载来加密通信，并将计算设备分组成经由被配置为承载加密通信的各个隧道进行通信的区。编制引擎基于安全策略中限定的区来选择计算设备，以确保需要加密通信的虚拟化应用程序工作负载经由被配置为承载加密通信的隧道进行通信。

本申请要求于2018年6月29日提交的美国申请号16/024,412的权益，该申请是于2017年11月21日提交的美国申请号15/819,522的部分延续(CIP)，其全部内容通过引用结合于此。

技术领域

本发明总体上涉及计算机网络，并且更具体地，涉及分布式应用程序。

背景技术

虚拟化数据中心正在成为现代信息技术(IT)基础设施的核心基础。特别地，现代数据中心已经广泛利用虚拟化环境，在虚拟化环境中虚拟主机(例如虚拟机或虚拟容器)被部署并在物理计算设备的底层计算平台上执行。

具有大规模数据中心的虚拟化可以提供几个优势。一个优势是虚拟化可以显著提高效率。随着每个物理CPU具有大量内核的多核微处理器架构的出现，底层物理计算设备(即服务器)变得越来越强大，虚拟化变得更容易和更高效。第二个优势是虚拟化提供了对基础设施的显著控制。随着物理计算资源成为可替代资源，例如在基于云的计算环境中，计算基础设施的供应和管理变得更容易。因此，除了虚拟化提供的效率和增加的投资回报(ROI)之外，企业IT人员通常出于它们的管理优势而更喜欢数据中心中的虚拟化计算集群。

发明内容

总体上，本公开描述了用于支持加密策略的应用程序的策略框架的技术，该加密策略用于控制在基于云的虚拟化计算环境中执行的虚拟化应用程序工作负载之间的网络流量。计算环境包括例如启动虚拟化应用程序工作负载的实例的服务器的计算设备。某些类型的虚拟化应用程序工作负载(例如财务应用程序)被指定为具有与这些应用程序工作负载之间的加密通信。然而，并不是所有的计算设备都被配置为有效地提供所需的加密级别。

在本公开中，用于基于云的系统的高级编制引擎的一个或多个示例被公开于编制引擎用于确定哪些计算设备将执行需要增强加密的虚拟化应用程序工作负载的实例的信息。用于虚拟化计算环境的编制引擎可以被配置为指定计算设备通过其通信的网络的状态，并且控制器(例如，软件定义网络(SDN)控制器)可以被配置为管理网络，使得网络的实际状态与由编制引擎指定的状态相匹配。

例如，SDN控制器将网络配置为在计算设备之间形成隧道。隧道在SDN控制器的控制内，并且指示隧道连接的信息可能不可用或无法被编制引擎访问。当SDN控制器控制计算设备之间的隧道时，编制引擎被配置为确定要在哪个计算设备上执行特定的虚拟化应用程序工作负载，但不知道计算设备之间的隧道，并且具体地，不知道被专门配置用于承载加密通信的隧道。

在一个或多个示例中，控制器可以提供指示必须具有加密通信(例如，发送给应用程序工作负载的加密通信、来自应用程序工作负载的加密通信或与特定应用程序工作负载之间的加密通信)的应用程序工作负载的类型的安全策略信息(例如，包括指定特定应用程序工作负载的信息)。控制器还可以向编制引擎公开信息，该信息指示作为被定义为承载加密通信的区的一部分而包括的计算设备。编制引擎可以基于安全策略选择计算设备并将应用程序工作负载部署到所选计算设备，该安全策略包括指示哪些计算设备被包括作为被定义为承载加密通信的区的一部分的信息。然后，SDN控制器可以确保加密通信沿着利用属于该区的计算设备形成的隧道行进。

以这种方式，管理员可以定义指示哪些类型的应用程序工作负载需要加密通信的安全策略，并且确保那些类型的应用程序工作负载被部署到具有加密能力的服务器，而不需要对所有计算设备之间的所有通信强制加密。例如，本公开中描述的技术确保根据需要执行加密，使得执行需要加密通信的应用程序工作负载的计算设备之间的隧道承载加密通信，并且执行不需要加密通信或不需要增强加密的应用程序工作负载的计算设备之间的隧道不必承载加密通信或增强的加密通信。