[发明专利]用于在SDDC中定义多分段应用的分层API

说明书

一些实施例提供了一种通过使用基于应用的清单来部署和控制多分段应用的简化机制，基于应用的清单表示如何定义或修改多分段应用的应用分段，以及通信如何在这些分段之间形成简档。在一些实施例中，这些清单是特定于应用的。此外，在一些实施例中，软件定义的数据中心(SDDC)中的部署管理器将这些清单作为模板提供给管理员，当管理员在数据中心中部署多分段应用时，他们可以使用这些模板来表达他们的意图。基于应用的清单还可以用于控制SDDC中先前部署的多分段应用。使用这样的清单将使管理员能够基于端点和网络属性来管理细粒度的微分段规则。

背景技术

在企业数据中心中，防火墙已经是运行于其上的应用的联网和安全的关键。它以访问控制列表(ACL)开始，ACL提供了应用于主机或其他第3层上可用的端口号或IP地址的规则，每个规则都带有允许使用该服务的主机和/或网络的列表。在ACL之后，出现了宏分段(macro-segmentation)，其为主机上运行的每个应用提供基于IP的强制实施。这为企业管理员提供了颗粒级别的控制，以基于VLAN保护他们的工作负载。

利用网络虚拟化，微分段(micro-segmentation)通过基于L4-L7网络服务和属性提供跨数据中心中的主机强制实施分布式防火墙规则的能力，来扭转联网和安全空间。有一些新的防火墙具有在传输层中执行深度分组内省的能力，并且包括Web应用过滤、基于Verb的防火墙和URL过滤。

图1示出了为微分段应用指定防火墙控制的当前工作流程。如图所示，管理员必须首先(在105)定义关于他们想要保护哪个应用的意图。基于该意图，管理员必须(在110)创建域和组来定义应用的每个组件的边界。一旦创建了组，管理员然后基于通信简档来(在115)定义这些组件如何彼此通信。

在创建简档和组之后，在120将所得到的策略发布给软件定义的数据中心(SDDC)网络管理器150。在发布策略之后，管理员然后必须针对管理器控制的数据中心的每个实例登录到网络管理器，并且基于在创建域和组中指定的分组标准来(在125)创建联网和安全组。这些标准可以基于逻辑交换机端口、标记或VM/容器名称。

然后，管理员必须通过应用相应的标记来手动管理(130)工作负载VM/容器，使得它们在125的网络和安全组的创建期间与标准相匹配。当标记与标准匹配时，然后(在135)将通信简档中定义的防火墙规则应用到相应的VM。

该方法有几个缺点。例如，分组标准(标记、VM名称等)的管理是手动的且繁琐的。当必须跨多个环境(例如，开发、试运行和生产)重复此管理时，这尤其有问题。此外，应用的发现和分类是管理开销，而且往往容易出错。当受保护的实体本质上是短暂的时，这种方法对于动态工作负载(例如，容器)环境也是不可扩展的。

发明内容

一些实施例提供了一种通过使用基于应用的清单来部署和控制多分段应用的简化机制，基于应用的清单表示如何定义或修改多分段应用的应用分段，以及通信如何在这些分段之间形成简档。在一些实施例中，这些清单是特定于应用的。此外，在一些实施例中，软件定义的数据中心(SDDC)中的部署管理器将这些清单作为模板提供给管理员，当管理员在数据中心中部署多分段应用时，他们可以使用这些模板来表达他们的意图。基于应用的清单还可以用于控制SDDC中先前部署的多分段应用。使用这样的清单将使管理员能够基于端点和网络属性来管理细粒度的微分段规则。

多分段应用是指包括多个应用分段的应用。在一些实施例中，一个或多个应用分段中的每一个都是在其自己的存储空间(该存储空间与多分段应用的任何其他应用分段的存储空间不相交)中执行的独立应用。在一些实施例中，多分段应用的不同应用分段由不同的机器(例如，不同的VM或容器)实现。