[发明专利]多云结构中的弹性策略缩放

权利要求书

1.一种方法，包括：

在使多个虚拟私有云互连的虚拟私有云上部署策略代理的集群，所述虚拟私有云和所述多个虚拟私有云驻留在与多云结构相关联的云中；

基于一个或多个公共属性，将所述多个虚拟私有云中的端点映射到所述集群中的策略代理；

基于所述端点到所述策略代理的映射来跨所述策略代理分发与所述端点相关联的安全策略，其中，所述安全策略包括针对与各个端点子集相关联的业务而定义的多个安全策略组，并且其中，每个安全策略组被部署在相应的策略代理上，所述相应的策略代理被映射到与该安全策略组相关联的相应的端点子集；

由所述集群中的每个相应的策略代理向所述多个虚拟私有云中的相应的第一组虚拟网关通告与被映射到所述相应的策略代理的相应的端点子集相关联的一个或多个路由；

基于边界网关协议(BGP)路由图，防止所述集群中的每个相应的策略代理通告与所述多个虚拟私有云中的相应的第二组虚拟网关相关联的路由；以及

响应于接收到与所述端点中的一个或多个端点相关联的业务，通过所述相应的策略代理应用在所述相应的策略代理上部署的安全策略组中的一个或多个安全策略。

2.根据权利要求1所述的方法，还包括：

定义与所述多个安全策略组相关联的相应的安全组标签(SGT)；以及

基于相应的端点属性，使所述端点与所述相应的SGT相关联。

3.根据权利要求2所述的方法，其中，所述相应的端点属性包括以下项中的至少一项：与所述端点相关联的相应的业务类型、以及与所述端点相关联的一个或多个相应的预定安全要求。

4.根据权利要求2或3所述的方法，其中，使所述端点与所述相应的SGT相关联包括：将所述端点的相应的IP地址映射到所述相应的SGT，以产生IP至SGT映射。

5.根据权利要求4所述的方法，其中，将所述安全策略组中的所述一个或多个安全策略应用于与所述端点中的所述一个或多个端点相关联的业务是基于所述IP至SGT映射而进行的，所述安全策略组中的所述一个或多个安全策略包括针对与所述端点中的所述一个或多个端点中的至少一个端点相关联的相应的SGT所定义的一组安全策略。

6.根据权利要求5所述的方法，其中，所述云包括公有云，并且所述多云结构包括所述公有云和私有云，其中，所述相应的SGT对应于所述私有云上的相应的端点组(EPG)，并且所述多个安全策略组对应于所述私有云上的EPG策略。

7.根据权利要求6所述的方法，其中，将所述安全策略组中的所述一个或多个安全策略应用于与所述端点中的所述一个或多个端点相关联的业务包括：对所述业务应用与目的地端点相关联的一定数量的安全策略，其中，安全策略的该数量大于所述公有云针对所述公有云中的每个端点所许可的安全策略的最大数量。

8.根据权利要求1至3中任一项所述的方法，其中，所述一种或多种公共属性包括以下项中的至少一项：与所述端点相关联的公共虚拟私有云、与所述端点相关联的公共子网、与所述端点相关联的公共端点组、以及与所述端点相关联的公共虚拟路由和转发实例。

9.根据权利要求1至3中任一项所述的方法，其中，所述策略代理被配置为：在向与所述业务相关联的相应的目的地端点转发所述业务之前，在相应的出口接口处应用所述安全策略。

10.根据权利要求1至3中任一项所述的方法，还包括：

识别与驻留在来自所述多个虚拟私有云中的特定虚拟私有云外部的一组端点相关联的多个外部前缀；

将所述多个外部前缀聚合为单个外部前缀，所述单个外部前缀落在与所述特定虚拟私有云相关联的相应的前缀的范围之外；以及

将所述特定虚拟私有云中的一个或多个端点配置为针对与所述单个外部前缀匹配的业务应用许可规则。