[发明专利]用于SDDC的策略约束框架

说明书

本发明的一些实施例提供了一种用于处理对软件定义的数据中心(SDDC)中的资源执行操作的请求的方法。在一些实施例中，资源是软件定义的(SD)资源。该方法最初接收针对SDDC中的第一资源执行操作的请求。该方法通过将请求的属性集合与对为资源指定的操作施加约束的策略集合的属性集合进行比较来识别与接收到的对第一资源的请求匹配(即，适用于该请求)的策略。在一些实施例中，可以针对SDDC的不同层次资源级别的资源来表达若干策略的若干属性集合。当识别出的策略指定所请求的操作违反对为第一资源指定的操作的约束时，该方法拒绝接收到的请求。

背景技术

当今，软件定义的数据中心(SDDC)是私有云和公共云的重要部分。为了管理SDDC，必须对被提供给其用户的资源强加各种各样的组织要求。这些包括高度特定于每个SDDC的定制/策略。这些要求超出了基于角色的访问控制(RBAC)。例如，这些要求可以是防火墙策略，诸如(1)默认防火墙策略是列入白名单(除非使用明确的防火墙规则打开，否则不允许任何通信)，(2)对于给定的工作负载/应用，不允许所选择类型的业务，(3)仅某些源网络地址可以将业务发送到给定的工作负载，或者(4)不允许对指定的路由器或工作负载使用通用全拒绝或全允许规则。当基础设施服务是真正的多租户且每个租户有其自己的策略时，支持这些策略会增加进一步的挑战。

发明内容

本发明的一些实施例提供了一种用于处理对在软件定义的数据中心(SDDC)中的资源执行操作的请求的方法。在一些实施例中，资源是软件定义的(SD)资源。该方法最初接收针对SDDC中的第一资源执行操作的请求。该方法通过将请求的属性集合与对为资源指定的操作施加约束的策略集合的属性集合进行比较来识别与接收到的对第一资源的请求匹配(即，适用于该请求)的策略。在一些实施例中，可以针对SDDC的不同层次资源级别的资源来表达若干策略的若干属性集合。

当识别出的策略指定所请求的操作违反对为第一资源指定的操作的约束时，该方法拒绝接收到的请求。另一方面，在一些实施例中，当识别出的策略指定所请求的操作满足对为第一资源指定的操作的约束时，该方法执行与接收到的请求相关联的操作。在其它实施例中，仅当请求没有违反与该请求匹配的任何策略的约束时，该方法才执行该操作。在一些实施例中，可以为第一资源或为该资源的类型明确指定匹配策略，或者当为作为SDDC的层次资源级别中的第一资源的父资源的第二资源定义匹配策略时，可以为第一资源间接指定匹配策略。

在一些实施例中，以声明性格式定义策略集合中的策略。同样，在一些实施例中，资源的示例包括转发元件(例如，受管理的软件交换机和路由器、由受管理的软件交换机和路由器实现的逻辑交换机和路由器等)、物理或逻辑网络、物理或逻辑网络段、物理或逻辑网络接口、计算元件(例如，虚拟机、容器等)和服务中间盒模块(例如，执行诸如防火墙操作、负载均衡操作、网络地址转换操作、加密操作、入侵检测操作、入侵防御操作等中间盒服务操作的服务VM或模块)。

在一些实施例中，该方法在接收请求之前接收若干策略，并将这些策略中的每个策略存储在存储装置中，这些策略用来识别与随后接收到的请求匹配的策略。在一些实施例中，接收到的策略包括目标，该目标指定该策略应用于的一个或多个数据中心资源集合。它还包括表达式，该表达式指定对所指定的资源集合的操作的约束。在一些实施例中，接收到的策略以声明性格式表达。

在一些实施例中，每个策略的目标包括用于指定的资源集合的资源类型，以及识别数据中心的资源层次结构中的所指定的资源集合的路径前缀。在一些实施例中，用于接收到的策略的表达式指定了对可以在该策略的目标资源集合上指定的操作的一个或多个约束。约束的一个示例是值约束，该值约束限制作为该策略的目标的资源的属性的值。在一些实施例中，值约束包括作为包括运算符、排除运算符或相等运算符之一的运算符。约束的另一个示例是实体实例计数约束，该实体实例计数约束限制目标资源的实例的数量。还有的另一个示例是相关属性约束，该相关属性约束限制目标资源的次要属性的值，该目标资源具有由值约束定义的主要属性。