[发明专利]用于网络策略的合成约束

说明书

本公开的实施例涉及用于网络策略的合成约束。网络策略中的每个网络策略规定在端点组之间允许的通信的至少一个特性，端点组中的每个端点组包括至少一个端点。根据包括在网络策略中的合成约束来合并网络策略。

技术领域

本公开的实施例涉及用于网络策略的合成约束。

背景技术

网络可以用于在各种端点之间传送数据。网络可以包括用于沿着端点之间的相应路径转发数据的互连设备(例如路由器、交换机等)。另外，可以用部署在网络中的服务功能框来实现各种服务功能，其中服务功能可以应用在沿着网络中的路径传送的数据分组上。

发明内容

在第一方面，提供了一种用于通信管理的方法。该方法包括：由包括处理器的系统接收网络策略，所述网络策略中的每个网络策略规定在端点组之间允许的通信的至少一个特性，所述端点组中的每个端点组包括至少一个端点；以及由所述系统根据包括在所述网络策略中的合成约束并且基于服务功能框约束来合并所述网络策略以生成合成网络策略，所述合成约束包括规定必须允许相应端点组之间的通信的第一合成约束，所述服务功能框约束规定对被添加到端点组之间的路径的至少一个服务功能框的行为的约束，所述至少一个服务功能框应用服务功能，并且所述合成网络策略要被应用于所述端点组之间的通信。

在第二方面，提供了一种用于通信管理的系统。该系统包括：至少一个处理器，以：接收表示相应网络策略的图，所述网络策略中的每个网络策略规定在端点组之间允许的通信的至少一个特性，所述端点组中的每个端点组包括至少一个端点，其中所述图中的第一图包括表示第一合成约束的第一类型的边，所述第一合成约束规定要阻止相应端点组之间的通信，并且所述图中的第二图包括表示与所述第一合成约束不同的第二合成约束的第二类型的边，所述第二类型的边不同于所述第一类型的边；以及将所述图组合成表示合成网络策略的合成图，其中所述组合根据被包括在所述网络策略中的合成约束并且基于服务功能框约束，所述合成约束包括由所述第一类型的边表示的所述第一合成约束和由所述第二类型的边表示的所述第二合成约束，所述服务功能框约束规定对被添加到端点组之间的路径的至少一个服务功能框的行为的约束，并且所述至少一个服务功能框应用服务功能，并且所述合成网络策略要被应用于所述端点组之间的通信。

在第三方面，提供了一种存储指令的非瞬时可读存储介质，所述指令在由系统执行时使得所述系统：定义用于端点组之间的通信的网络策略，所述端点组中的每个端点组包括至少一个端点；在所述网络策略中包括合成约束，所述合成约束用于在所述网络策略与至少另一个网络策略合并以生成合成网络策略时使用，所述合成约束规定必须允许所述端点组之间的通信，并且所述合成网络策略要被应用于所述端点组之间的通信；以及在所述网络策略中包括服务功能框约束，所述服务功能框约束规定对被添加到所述端点组之间的路径的至少一个服务功能框的行为的约束，并且所述至少一个服务功能框应用服务功能。

附图说明

关于以下各图描述了一些实现。

图1A-1D是根据一些示例的图，该图表示可以被提供以管理网络中的通信的对应的不同的示例网络策略。

图2是根据一些实现的示例过程的流程图。

图3是根据一些示例的从输入策略图合成(compose)合成策略图的示意图，该输入策略图包括表示不同合成约束的边类型。

图4A-4B是图示根据一些实现的合并网络策略以形成合成的网络策略的示例的图。

图5是根据一些实现的合并图合成器的示例系统的框图。

图6是根据一些实现的示例布置的框图，该示例布置包括合并图合成器的系统和合并运行时间控制器的系统。

图7是根据一些实现的合并策略编辑器的示例系统的框图。

具体实施方式