扩展企业可信策略框架到云原生应用的制作方法

扩展企业可信策略框架到云原生应用
1.相关申请的交叉引用
2.本技术要求2020年4月3日提交的题为“extending enterprise trusted policy framework to cloud native applications(扩展企业可信策略框架到云原生应用)”的美国非临时专利申请第16/839,485号的权益和优先权，该申请要求2019年4月3日提交的题为“extending enterprise trusted policy framework to cloud native applications(扩展企业可信策略框架到云原生应用)”的美国临时专利申请第62/829,016号的优先权，上述申请的内容通过引用整体并入本文。
技术领域
3.本技术涉及将企业的可信策略框架扩展到云原生应用，更具体地说，涉及将企业流量分段规则扩展到服务网格。


背景技术：

4.企业通常使用扩展到云中的应用。在某些情况下，这些应用由一组微服务组成，这些微服务在有时称为服务网格的网格中捆绑在一起。服务网格的概念是通过将通用功能(例如负载平衡、断路、加密等)从应用中卸载到共享框架中来为高度分解和分布式的应用提供联网和监控。
附图说明
5.为了描述可以获得本公开的上述和其他优点和特征的方式，将通过参考附图中示出的具体实施例来对上述简要描述的原理进行更具体的描述。理解这些附图仅描绘了本公开的示例性实施例并且因此不被认为是对其范围的限制，通过使用附图以额外的特性和细节描述和解释了本文的原理，其中：
6.图1图示了根据各种实施例的示例企业网络和基于云的服务网格；
7.图2a和2b图示了根据各种实施例的示例企业网络和基于云的服务网格；
8.图3图示了根据各种实施例的示例方法；
9.图4图示了根据各种实施例的示例网络设备；和
10.图5图示了根据各种实施例的示例计算设备。
具体实施方式
11.下面详细讨论本公开的各种实施例。虽然讨论了具体的实现方式，但应该理解，这只是为了说明的目的。相关领域的技术人员将认识到，在不脱离本公开的精神和范围的情况下可以使用其他组件和配置。因此，以下描述和附图是说明性的并且不应被解释为限制性的。描述了许多具体细节以提供对本公开的透彻理解。然而，在某些情况下，为了避免混淆描述，没有描述众所周知的或传统的细节。本公开中对一个实施例或一实施例的提及可以是对同一实施例或任一实施例的提及；并且，这样的提及意味着至少一个实施例。
12.提及“一个实施例”或“一实施例”是指结合该实施例描述的特定特征、结构或特性包括在本公开的至少一个实施例中。说明书中各处出现的短语“在一个实施例中”不一定都是指同一实施例，也不是与其他实施例相互排斥的单独或替代的实施例。此外，描述了可以由一些实施例而不是由其他实施例展示的各种特征。
13.本说明书中使用的术语在本领域中、在本公开的上下文中以及在使用每个术语的特定上下文中通常具有它们的普通含义。替代语言和同义词可用于本文中讨论的任何一个或多个术语，并且不应特别重视是否在本文中阐述或讨论了一个术语。在某些情况下，提供了某些术语的同义词。一个或多个同义词的列举不排除使用其他同义词。本说明书中任何地方的示例的使用(包括本文讨论的任何术语的示例)仅是说明性的，并不旨在进一步限制本公开或任何示例术语的范围和含义。同样，本公开不限于本说明书中给出的各种实施例。
14.在不限制本公开范围的情况下，下面给出根据本公开实施例的仪器、装置、方法及其相关结果的示例。需要注意的是，为了方便读者，在示例中可以使用标题或副标题，这绝不应该限制本公开的范围。除非另有定义，否则本文中使用的技术和科学术语具有本公开所属领域的普通技术人员通常理解的含义。在发生冲突的情况下，以本文件(包括定义)为准。
15.本公开的附加特征和优点将在随后的描述中阐述，并且部分将从描述中显而易见，或者可以通过本文公开的原理的实践而获悉。本公开的特征和优点可以通过所附权利要求中特别指出的手段和组合来实现和获得。本公开的这些和其他特征将从以下描述和所附权利要求中变得更加明显，或者可以通过在此阐述的原理的实践而获悉。
16.概述
17.本技术涉及将策略框架从原生企业网络扩展到基于云的服务网格框架。该技术细节意味着从企业网络控制器向服务网格协调器发送向服务网格协调器通知流量分段策略的第一通信。然后，这些策略可以通过与流量分段策略相对应的层7扩展头部应用于源自企业网络内的流量。
18.示例实施例
19.本主题技术的各种实施例涉及将企业策略集成到服务网格中。本技术克服了在从企业网络边界过渡到相互通信的微服务的基于云的服务网格边界时进行通信时的挑战。
20.本技术认识到需要控制服务网格内的服务如何彼此通信以及与外部世界通信。正如当今部署的那样，为服务网格定义的策略与为企业用户、设备和工作负载定义的策略是分离的。本技术通过提供将企业策略和分段语义扩展到服务网格中的机制来解决这些问题。
21.鉴于需要保持跨域的信任，尤其是当它们跨越企业控制的网络时，对这种技术的需求变得特别重要。向云提供企业信任策略的能力是本技术的重要用途之一。
22.本技术提供了在两种不同部署模型下将企业策略集成到服务网格中的解决方案，这取决于数据平面上的策略转换是发生在企业网络内部还是外部。该技术将策略和用于在企业中表达和实施策略的上下文转换为服务网格。这可以部分地通过以下操作实现：将企业(en)策略协调器与服务网格协调器接口连接，并将上下文从一个域(企业到服务网格，反之亦然)转换到另一个域以使能可以在整个企业和基于云的服务网格中实施的统一的端到端策略。协调器策略也可以通过数据平面策略信息进行补充，例如通过向http流量添加x
‑
sgt或x
‑
vni标签。
23.图1图示了本技术的实施例，其中数据平面元数据的转换发生在企业网络之外。在该实施例中(如图2a和2b中所示的实施例)，企业决定使用可用的服务网格实现而不进行任何修改和/或利用提供容器即服务(caas)基础设施的第三方的产品。在这种场景下，企业无法控制服务网格基础设施，只能通过服务网格协调器定义良好的api与其交互。在这种情况下，不可能将企业数据平面带入服务网格，因为服务网格代理无法处理企业特定的数据平面。
24.企业网络根据管理网络的一组策略路由和限制用户或设备的访问。有时，企业网络用户或设备将需要使用外部网络来访问服务、发送通信或完成其他必要的任务。在这些情况下，企业可以在确保其网络管理策略在企业网络之外实施方面具有既得利益。
25.为了允许在第三方服务网格上实施策略，系统可以使用在应用层7处编码的策略标签来补充数据平面流量，并且可以转换来自企业网络的控制平面策略以使其可被服务网格访问。可以使用这些转换后的策略的协调系统的示例是istio。
26.如图1所示，企业网络110包括用户设备120、121和122以及边界网关路由器140。每个用户设备120、121和122在流量可以移动到边界140之前通过边缘节点130、131和132连接。企业网络策略由企业策略协调器100(诸如例如cisco dna center)设置。
27.服务网格160包括用于执行云托管应用的功能的多个软件服务180、181和182(微服务)。服务网格160还包含服务网格协调器150以及通用代理165和服务代理170、171和172。在一些实施例中，服务代理170、171和172可以是istio控制平面上的envoy代理。
28.企业策略协调器100可以通过策略转换服务105将企业策略转换成服务网格协调器150理解和使用的原语。在当前实施例中，企业网络110基于用户120、121和122或其设备125、126和127的身份和凭证应用策略。然而，为了使这些策略可由服务网格160操作，用户或设备(层2或层3)上的策略需要转换为服务(层7)上的策略。例如，策略转换可能导致表示携带某个x
‑
sgt标签值的http/s流量无法访问服务网格160中的特定服务180。此策略转换还需要考虑从服务网格160返回流量需要使用企业语义正确标记(例如，将x
‑
sgt和x
‑
vni标签添加到http流量)。策略转换必须包括服务网格协调器150的正确配置，以确保正确应用这些标签。需要这样以将原生服务网格流量转换回数据平面转换组件中的企业封装流量。
29.数据平面转换服务145可以是能够在企业封装的数据平面流量(例如vxlan
‑
gpo)和原生服务网格流量(例如http/s)之间来回转换的数据平面组件。该组件的一个可能实例化是以数据平面转换服务145的形式，该数据平面转换服务145接受企业封装的流量，提取企业标签(例如，vxlan
‑
gpo头部中携带的vni和sgt字段)，然后将企业特定的标签注入到分组的原始http/s头部(例如x
‑
sgt和x
‑
vni扩展标签)。如果流量是http/s，为了注入http/s标签，数据平面转换服务145还将终止来自企业110的传输层安全(tls)连接并创建新的到服务网格160的tls连接。从服务网格160到企业110的反向路径类似于经由这个数据平面组件。
30.协同地，与数据平面流量转换相结合的控制平面策略转换允许将层2或层3实体(用户或设备)上的企业策略应用于服务网格160中的层7实体(服务)。在一些实施例中，策略转换服务105可以是第三方服务或者可以附加到企业网络策略协调器100。在一些实施例中，数据平面转换服务145可以是第三方服务或者可以附加到边界140。
31.因此，在图1中，企业策略协调器100可以将企业策略转换为可由服务网格160理解和操作的原语。数据平面转换服务145用于将数据计划流量封装转换为http流量，以便它可以被服务网格160理解(或相反，将http流量转换为返回到企业网络110的正确封装的数据计划流量)。这种转换利用了在企业封装和原生服务网格流量之间发生的数据平面转换。
32.图2a和2b图示了本技术的实施例，其中数据平面中的策略的转换发生在企业网络内。在该实施例中，在用http/s标签封装企业流量的企业网络中的边缘处使用代理。
33.企业网络策略协调器100在每个边缘节点130、131和132处注入代理190、191或192以在企业封装的http/s流量和原生服务网格http/s流量之间来回转换。这些代理在企业网络110中的可能实例化的形式是在分组的原始http/s头部中注入企业特定标签(例如x
‑
sgt和x
‑
vni扩展标签)并放弃完全具有sgt/vni字段的企业封装数据平面流量(例如vxlan
‑
gpo)的中间步骤。从服务网格160到企业110的反向路径是类似的。该实施例不需要在边界140或系统中其他地方的数据平面转换服务145。
34.图2b将企业元数据添加到每个边缘节点130、131和132处的流量。封装在边缘130、131和132处的流量中的元数据可以为流量提供进一步的上下文并允许更细微的策略应用。这种元数据封装是可能的，因为数据平面转换发生在企业网络110中的边缘处。元数据可以包括关于任何用户120、121和122或设备125、126或127的特定信息(工作环境、过去的设备行为、安全许可等)、企业网络110上的一般活动、或用于策略应用的其他相关活动。
35.图3图示了根据各种实施例的示例方法。
36.当企业网络110中的企业网络策略协调器100向服务网格160上的服务网格协调器150发送(300)至少一个策略时，该方法开始。这些策略在到达服务网格160上的服务网格协调器150之前通过策略转换服务105。转换采用企业特定的策略，并将它们转换为服务网格160可以理解和执行的公共api。
37.在服务网格160上，服务网格协调器150采用接收到的策略并在代理165和服务代理170、171和172之间协调它们。它设置代理以理解嵌入在来自企业网络110的流量中的标签，例如x
‑
sgt和x
‑
vni标签，并根据企业网络110的策略应用策略。
38.在策略已从企业传送到服务网格之后，边缘节点130、131和132从企业网络110上的设备125、126和127接收(310)流量。在图1、2a和2b描述的系统中，该流量是http/s流量，但其他网络流量也可以由边缘节点130、131和132接收和处理。
39.边缘节点130、131和132继续将网络流量转发(320)到代理165(和/或服务代理170、171或172)，该代理165(和/或服务代理170、171或172)理解先前由企业网络策略协调器100传达的至少一个策略。在各种实施例中，该转发过程可以以不同方式进行。
40.流量可以通过伴随的数据平面转换服务145传递到原生企业边界140(图1中所示的实施例)。在该实施例中，边缘节点130、131和132沿vxlan转发流量并用适当的策略指定填充sgt或vni字段。数据平面转换服务145采用sgt/vni字段并封装http/s流量x
‑
sgt/x
‑
vni标签以供代理165(和/或服务代理170、171或172)使用。
41.在其他实施例中，流量可以由企业网络策略100注入在边缘130、131或132中的代理处理(图2a和2b中所示的实施例)。在该实施例中，流量立即填充有http/s标签(x
‑
sgt或x
‑
vni标签)，并且可能不会沿着带有sgt/vni字段填充的vxlan传递。
42.代理165根据服务网格接收到的任何策略来处理(330)传入流量。这种处理可能受
到企业根据策略封装在数据中的信息的影响，或者在一些实施例中，受到元数据添加到流量中的信息的影响(图2b中所示)。代理将通过服务代理170、171或172路由流量以到达适当的服务180、181或182，并应用适当的限制。
43.为了满足服务请求，服务网格160、服务网格协调器150和服务代理170、171和172协同作用以允许服务180、181和182满足所有、部分或不满足服务要求。数据分别从服务代理170、171和172处的服务180、181和182接收，并且此流量使来自服务请求的x
‑
sgt/x
‑
vni头部恢复。响应通过系统后移，在服务请求经历转换和变换的相同实体处进行反向转换和变换。
44.图4图示了适用于实现本发明的示例性网络设备410。它可以是图1、2a或2b中包括的任何设备的一部分，可以通过网络发送或接收数据。网络设备410包括主中央处理单元(cpu)462、接口468和总线415(例如pci总线)。它优选地在包括操作系统和任何适当应用软件的软件的控制下完成其功能。cpu 462可以包括一个或多个处理器463，例如来自motorola系列微处理器或mips系列微处理器的处理器。在替代实施例中，处理器463是用于控制路由器410的操作的专门设计的硬件。在特定实施例中，存储器461(例如非易失性ram和/或rom)也形成cpu 462的一部分。然而，存在存储器可以与系统耦合的许多不同方式。
45.接口468通常被提供为接口卡(有时称为“线卡”)。通常，它们控制通过网络发送和接收数据分组，有时还支持与路由器410一起使用的其他外围设备。可以提供的接口包括以太网接口、帧中继接口、电缆接口、dsl接口、令牌环接口等。此外，可以提供各种超高速接口，例如快速令牌环接口、无线接口、以太网接口、千兆以太网接口、atm接口、hssi接口、pos接口、fddi接口等。通常，这些接口可以包括适合与适当介质进行通信的端口。在某些情况下，它们还可能包括独立处理器，在某些情况下，还包括易失性ram。独立处理器可以控制诸如分组交换、介质控制和管理之类的通信密集型任务。通过为通信密集型任务提供单独的处理器，这些接口允许主微处理器462有效地执行路由计算、网络诊断、安全功能等。
46.虽然图4所示的系统是本发明的一种具体网络设备，它绝不是可以实现本发明的唯一网络设备架构。例如，经常使用具有处理通信以及路由计算等的单个处理器的架构。此外，其他类型的接口和介质也可以与路由器一起使用。
47.不管网络设备的配置如何，它都可以采用一个或多个存储器或存储器模块(包括存储器461)，其被配置为存储用于通用网络操作的程序指令和本文所述的漫游、路由优化和路由功能的机制。例如，程序指令可以控制操作系统和/或一个或多个应用的操作。一个或多个存储器还可以被配置为存储诸如移动绑定、注册和关联表等的表。
48.图5示出了计算系统500的示例，其可以是例如图1、2a或2b中所示的任何计算设备或其任何组件，其中系统的组件使用连接505彼此通信。连接505可以是经由总线的物理连接，或到处理器510的直接连接，例如在芯片组架构中。连接505也可以是虚拟连接、网络连接或逻辑连接。
49.在一些实施例中，计算系统500是分布式系统，其中本公开中描述的功能可以分布在数据中心、多个数据中心、对等网络等内。在一些实施例中，所描述的系统组件中的一个或多个表示许多这样的组件，每个组件都执行描述组件针对的部分或全部功能。在一些实施例中，组件可以是物理或虚拟设备。
50.示例系统500包括至少一个处理单元(cpu或处理器)510和将包括系统存储器515
(例如只读存储器(rom)520和随机存取存储器(ram)525)的各种系统组件耦合到处理器510的连接505。计算系统500可以包括具有高速存储器512的高速缓存，该高速存储器与处理器510直接连接、紧邻或集成为处理器510的一部分。
51.处理器510可以包括被配置为控制处理器510的任何通用处理器和硬件服务或软件服务，例如存储在存储设备530中的服务532、534和536，以及专用处理器，其中软件指令被合并到实际的处理器设计中。处理器510本质上可以是完全独立的计算系统，包含多个核或处理器、总线、存储器控制器、高速缓存等。多核处理器可以是对称的或非对称的。
52.为了实现用户交互，计算系统500包括输入设备545，其可以代表任何数量的输入机制，例如用于语音的麦克风、用于手势或图形输入的触敏屏幕、键盘、鼠标、运动输入、语音等。计算系统500还可以包括输出设备535，其可以是本领域技术人员已知的多种输出机制中的一种或多种。在一些情况下，多模式系统可以使用户能够提供多种类型的输入/输出以与计算系统500通信。计算系统500可以包括通信接口540，其通常可以支配和管理用户输入和系统输出。对任何特定硬件配置的操作没有限制，因此这里的基本功能可以很容易地替换为改进的硬件或固件配置，因为它们正在开发中。
53.存储设备530可以是非易失性存储设备并且可以是硬盘或其他类型的可以存储计算机可访问的数据的计算机可读介质，例如磁带、闪存卡、固态存储器设备、数字多功能磁盘、盒式磁带、随机存取存储器(ram)、只读存储器(rom)和/或这些设备的某种组合。
54.存储设备530可以包括软件服务、服务器、服务等，当处理器510执行定义这种软件的代码时，它使系统执行功能。在一些实施例中，执行特定功能的硬件服务可以包括存储在计算机可读介质中的软件组件结合必要的硬件组件(例如处理器510、连接505、输出设备535等)以执行功能。
55.为了解释清楚，在一些情况下，本技术可以被呈现为包括单独的功能块，这些功能块包括包含设备、设备组件、以软件体现的方法中的步骤或例程、或者硬件和软件的组合的功能块。
56.本文描述的任何步骤、操作、功能或过程可以由硬件和软件服务或服务的组合单独或与其他设备组合来执行或实现。在一些实施例中，服务可以是驻留在客户端设备和/或内容管理系统的一个或多个服务器的存储器中并在处理器执行与服务相关联的软件时执行一个或多个功能的软件。在一些实施例中，服务是执行特定功能的程序或程序集合。在一些实施例中，服务可以被认为是服务器。存储器可以是非暂态计算机可读介质。
57.在一些实施例中，计算机可读存储设备、介质和存储器可以包括包含比特流等的电缆或无线信号。然而，当提及时，非暂态计算机可读存储介质明确排除诸如能量、载波信号、电磁波和信号本身的介质。
58.根据上述示例的方法可以使用存储的或以其他方式从计算机可读介质可用的计算机可执行指令来实现。这样的指令可以包括例如导致或以其他方式配置通用计算机、专用计算机或专用处理设备以执行特定功能或功能组的指令和数据。使用的部分计算机资源可以通过网络访问。计算机可执行指令可以是例如二进制、中间格式指令，例如汇编语言、固件或源代码。可用于存储指令、使用的信息和/或在根据所描述的示例的方法期间创建的信息的计算机可读介质的示例包括磁盘或光盘、固态存储设备、闪存、提供有非易失性存储器的usb设备、网络存储设备等。
59.实现根据这些公开的方法的设备可以包括硬件、固件和/或软件，并且可以采用多种形式因素中的任一种。此类外形因素的典型示例包括服务器、膝上型电脑、智能电话、小型外形因素个人计算机、个人数字助理等。这里描述的功能也可以体现在外围设备或附加卡中。作为进一步的示例，这样的功能也可以在不同芯片或在单个设备中执行的不同过程之间的电路板上实现。
60.指令、用于传送此类指令的介质、用于执行它们的计算资源以及用于支持此类计算资源的其他结构是用于提供在这些公开中描述的功能的手段。
61.尽管使用各种示例和其他信息来解释所附权利要求范围内的方面，但不应基于此类示例中的特定特征或布置来暗示对权利要求的限制，因为普通技术人员将能够使用这些示例来推导出各种各样的实现。此外，虽然一些主题可能已经以特定于结构特征和/或方法步骤的示例的语言进行了描述，但是应当理解，所附权利要求中定义的主题不一定限于这些描述的特征或动作。例如，这样的功能可以不同地分布或在不同于本文所标识的那些的组件中执行。相反，所描述的特征和步骤被公开为所附权利要求范围内的系统和方法的组件的示例。