[发明专利]确定网络配置依赖关系的跨度

说明书

在一个实施例中，描述了一种用于确定网络配置依赖关系的跨度的计算机实现的方法。在一个实施例中，该方法包括：由在计算机网络中实现的中央控制器接收表示具有节点和第一类型链路的图的图数据。节点包括第一类型节点、第二类型节点和第三类型节点。确定节点的子集之间的多个第二类型链路。对于每个第一类型链路，如果两个节点也由第二类型链路连接，则移除由第一类型链路连接的两个节点之间的第一类型链路。对于每个第二类型节点，移除第二类型节点，并连结第二类型节点的传入链路和传出链路。确定第一类型节点和第三类型节点的初始跨度和实际跨度。对于每个第一/第二类型节点，根据为该节点确定的实际跨度生成和发送配置消息。

背景技术

软件定义的网络通常使用网络控制器来配置逻辑网络。网络控制器可以包括中央控制器和本地控制器。中央控制器可以被配置为从管理平面接收指定要在网络中实现的网络配置依赖关系(dependencies)的配置指令。可以将配置依赖关系指定为例如防火墙规则、服务插入请求、负载均衡请求、IPSec请求或VPN会话请求。在接收到配置指令后，中央控制器处理指令，形成指示要如何在主机计算机中实现指令的配置消息，并将配置消息发送到在主机中实现的本地控制器以供执行。

中央控制器可以接收配置指令，其指定例如分布式防火墙规则。该规则可声明(state)特定主机需要监视和控制传入的(incoming)和传出的(outgoing)网络流量，并阻止从特定源发送到特定目的地的流量。特定主机、特定源和特定目的地的标识被称为规则组件并且可以使用基于软件的构造在指令中编码。

构造是为规则的组件创建的数据结构，用于存储与组件关联的数据。构造的示例包括应用于(AppliedTo)构造、源(Source)构造和目的地(Destination)构造。应用于构造可用于存储例如有关需要监视规则中定义的流量的特定主机的信息。源构造可用于存储有关规则中定义的特定源的信息。目的地构造可用于存储有关规则中定义的特定目的地的信息。应用于构造的示例应用的细节在标题为“在防火墙执行设备上提供防火墙规则(Provisioning Firewall Rules on a Firewall Enforcing Device)”的美国专利9,215,214中进行了描述，该专利的全部内容通过引用并入本文。

构造可与一组或更多组实体相关联。实体的示例包括该构造应用于的主机、虚拟机(“VM”)、IP地址和/或MAC地址。实体的组称为分组对象(GroupingObjects)。

分组对象是一种数据结构，其用于存储属于分组对象的实体的标识符。例如，如果防火墙规则指定host 1需要监控流量，那么配置指令可包括分组对象1，该分组对象1与应用于构造关联并包括host 1的标识符。如果规则指定从IP地址1和IP地址2发送的流量需要被阻塞，那么配置指令可包括与源结构相关联并且包括IP地址1和IP地址2的分组对象2。如果规则指定发送到VM3和VM4的流量需要被阻塞，则配置指令可以包括与目的地构造相关联并且包括VM3和VM4的标识符的分组对象3。

基于配置指令，中央控制平面可以生成包括规则和分组对象的配置消息，并且可以将消息发送至需要配置规则的主机和该主机上的分组对象。需要向其发送配置消息的一组主机称为跨度(span)。

然而，确定跨度是困难的，并且难度通常与规则的复杂性以及规则之间和分组对象之间的相互依赖关系成比例。通常，中央控制器为各个规则生成树图，并将这些图合并为结果图，也称为跨度图。跨度图可以包括大量节点和链路，所述链路连接节点并表示节点之间的依赖关系。遍历这样的跨度图以确定针对各个规则和各个分组对象的跨度对内存和CPU资源有很大的需求。

发明内容

在一个实施例中，计算机实现的方法允许确定计算机网络中的配置依赖关系的跨度。跨度通常包括中央控制器需要向其发送配置消息以允许主机配置网络依赖关系的一组主机，例如防火墙规则、服务插入功能、负载均衡服务、IPSec服务和/或VPN会话服务。在整个公开中，主要参考分布式防火墙规则的实现来描述该方法；但是，该方法也适用于负载均衡和其他服务。