使用动态标记和清单的灵活策略语义扩展的制作方法

使用动态标记和清单的灵活策略语义扩展
1.相关申请的交叉引用
2.本技术要求2019年12月13日提交并通过引用整体并入本文的美国申请no.16/713,650的优先权。
技术领域
3.本公开总体涉及通过利用系统生成的动态标签、模板和清单来动态更新策略和重新分组端点以对网络中的运行时事件和其他条件作出反应。


背景技术：

4.云计算为用户提供对计算资源的访问，以满足用户对计算资源的需求。在一些示例中，服务提供商可以管理和向用户提供云计算资源以满足他们的需求，而无需用户投资和维护他们自己的计算基础设施。云计算通常涉及使用数据中心网络，这些网络包含服务器、路由器和其他向用户提供计算资源的设备，例如计算资源、网络资源、存储资源、数据库资源、应用程序资源等。随着数据中心在本地变得越来越大并扩展到混合云和多云环境，对改进策略和分段语义的需求不断增长。
5.为了支持应用程序的细粒度策略实施，微分段技术可用于将网络中的工作负载或端点分组为微分段(或共享共同策略要求的一组端点)。微分段涉及根据端点的属性将端点从默认或基本端点组移动到专门的端点分组中。这些属性中的一些可能包括虚拟机客户操作系统、域名系统(dns)、子网络(子网)、媒体访问控制(mac)地址和/或互联网协议(ip)地址。例如，可以将满足某些微分段标准的端点重新分类并分组为微分段端点组，这些端点组将一组不同的策略应用于端点。虽然这提供了一种技术来实施更细微的策略，但当前依赖的用于重新分组端点的属性受限于它们提供的信息。此外，此信息不足以描述和分类基于容器的工作负载。
6.此外，标签和选择器提供了一种机制来识别和分类基于容器的工作负载。这些标签和选择器可用于基于物理和虚拟的工作负载，以便不仅改善分段语义，还将系统推向意图驱动的网络。然而，标签也是相当静态的用户分配标识符，无需主动干预，因此不反映网络中工作负载的任何运行时状态信息。因此，虽然利用这些技术提供了某些分段语义，但它们不支持动态策略更新以对网络中的某些条件做出反应。
附图说明
7.下面参照附图进行详细描述。在图中，附图标记的最左侧数字标识附图标记首次出现的图。在不同的图中使用相同的附图标记表示相似或相同的项目。附图中描绘的系统不是按比例绘制的，并且图中的组件可以被描绘成彼此不按比例绘制。
8.图1示出了云计算网络的示例流程的系统架构图，该网络具有网络控制器，该网络控制器被配置为将策略映射存储在清单中并与执行软件代理的网络设备通信以监控与相应工作负载相关联的动态标签并在运行时分发动态策略。
9.图2a示出了包括动态标签键和值的示例虚拟可扩展局域网通用协议扩展(vxlan-gpe)分组报头的图。
10.图2b示出了包括动态标签键和值的示例通用网络虚拟化封装(geneve)分组报头的图。
11.图3示出了示例用户清单，包括用户定义的标签和系统生成的标签以分配和/或创建不同的安全策略和分段策略。
12.图4示出了用于云计算网络的网络控制器的示例方法的流程图，用于接收策略的定义、动态操作属性(doa)和触发值，存储策略、doa和触发值之间的映射，并利用软件代理监控各自的工作负载，以确定何时应在运行时将策略应用于工作负载组。
13.图5示出了用于包括在云计算网络中的软件代理的示例方法的流程图，用于接收具有相关联的键值对的策略并监控由键定义的各个工作负载的动态操作属性以查找由值定义的触发值，并通知网络控制器应用相应的策略以响应运行时事件。
14.图6示出了说明数据中心的配置的计算系统图，该配置可用于实现本文所公开的技术的方面。
15.图7是示出用于实现服务器设备的说明性计算机硬件架构的计算机架构图，该服务器设备可用于实现本文提出的各种技术的方面。
具体实施方式
16.概述
17.本发明的方面在独立权利要求中阐述并且优选特征在从属权利要求中阐述。一个方面的特征可以单独或与其他方面结合应用于任何方面。
18.本公开描述了一种利用网络控制器来存储清单中的策略、动态操作属性和触发值之间的映射、以及利用通信中的软件代理来监控各个工作负载或工作负载分组的动态操作属性以查找与动态操作属性相关联的触发值以在运行时应用相应策略的方法。该方法包括在软件定义网络(sdn)控制器处接收策略的定义。该方法还可以包括在sdn控制器处接收与在与所述sdn控制器相关联的网络中运行的工作负载相关联的动态操作属性。该方法还可以包括在所述sdn控制器处接收与所述动态操作属性相关联的触发值的第一指示。该方法还可以包括在所述sdn控制器管理的清单中存储所述策略、所述动态操作属性和所述触发值之间的映射。该方法还可以包括向在端点上运行的软件代理发送动态操作属性和触发值的第二指示。软件代理可以被配置为监控工作负载。该方法还可以包括在所述sdn控制器处从所述软件代理接收所述工作负载的动态操作属性的当前值对应于所述触发值的第三指示。该方法还可以包括至少部分地基于接收到第三指示，将策略发送到软件代理以分发到工作负载。
19.附加地或替代地，该方法包括由在网络中的端点上运行的软件代理应用用于该软件代理正在监控的工作负载的第一策略。该网络可以与软件定义网络(sdn)控制器相关联。该方法还可以包括在所述软件代理处从所述sdn控制器接收与所述工作负载相关联的动态操作属性和与所述动态操作属性相关联的触发值的第一指示。触发值可以与第二策略相关联。该方法还可以包括由所述软件代理确定所述动态操作属性的当前值对应于所述触发值。该方法还可以包括向所述sdn控制器并且从所述软件代理发送所述工作负载的动态操
作属性的当前值对应于所述触发值的第二指示。该方法还可以包括在所述软件代理处从所述sdn控制器接收所述第二策略。该方法还可以包括由所述软件代理应用所述软件代理正在监控的工作负载的第二策略。
20.此外，本文描述的技术可以由具有存储计算机可执行指令的非暂时性计算机可读介质的系统和/或设备执行，当由一个或多个处理器执行时，该指令执行上述方法。
21.示例实施例
22.通常，工作负载分组(或端点分组)被设计为将策略应用于工作负载分组内的所有工作负载(或端点)。当工作负载被实例化时，它被归类在基本工作负载组中，并且它将继承应用于该工作负载分组的策略。工作负载分组可能包含一个或多个旨在具有相同网络策略的工作负载。并非所有工作负载都使用相同的网络策略，因此可能需要区分工作负载组和其中包含的工作负载之间的策略。在被分类为基本工作负载分组之后，可以使用微分段技术根据与工作负载关联的属性将工作负载分类为专门的工作负载分组。这些专门的分组可以变化并且取决于不同的属性，例如虚拟机客户操作系统、域名系统(dns)、子网络、媒体访问控制(mac)地址和/或互联网协议(ip)地址。可以利用附加技术来识别和分类基于容器的工作负载，例如利用标签和选择器。标签和选择器不仅改进了微分段语义，而且还将网络系统推向意图驱动的网络。这些微分段技术允许用户轻松地对类似的工作负载进行分组，而不管工作负载正在运行什么以及它们以何种形式运行。
23.在示例中，工作负载可以开始执行并托管在云计算网络中，例如根据软件定义网络(sdn)架构控制的一个或多个数据中心中的设备网络。这个基于sdn的网络可以包括一个或多个网络控制器，其中网络控制器中的网络控制器可以被配置为与在sdn网络中操作的多个软件代理进行通信。软件代理可用于促进从网络控制器到工作负载的策略传播。软件代理可以配置为在结构内的各种不同网络元素上运行，从而创建数据路径。例如，软件代理可能正在诸如物理服务器的端点上执行。作为非限制性说明性示例，软件代理可以操作和驻留在本地结构中的物理叶交换机、在本地或结构的远程云中的单个服务器上运行的虚拟边缘交换机、传输中的虚拟私有云中的云服务路由器、承载本地和异地工作负载的虚拟机等上。当工作负载开始执行时，网络控制器可以向相关联的软件代理发送基本工作负载分组策略以对基本分组中的工作负载进行分类。根据工作负载的属性，工作负载被移动到具有不同组的策略的专门分组中。但是，重新分组这些工作负载所依赖的属性和标签是相当静态的用户定义标识符，无需主动干预，它们不反映任何运行时状态信息。因此，这些技术不支持动态策略更新以对网络内的运行时事件和条件做出反应。
24.本公开描述了用于网络控制器利用与模板和清单耦合的动态标记以提供有用的运行时语义的技术，该运行时语义用于改进工作负载分组技术并根据整个sdn网络控制的数据中心结构中的各种运行时条件动态应用策略更新。根据本文描述的技术和机制，动态标签可以由结构的各种数据路径元素生成，并且可以与用户定义的标签以及模板和清单一起使用，从而允许管理员表达更强壮的微分段标准以动态分组工作负载。动态标签可以组织为键值对，具有对应于来源区域、叶交换机位置、工作负载属性、工作负载资源使用阈值、活动或非活动时间周期和阈值、正常运行时间、应用程序延迟、应用程序行为等中的一个或多个的键。与每个键对应的是控制器定义的一组明确定义的可接受值。虽然这里呈现了动态键的示例，但是这些示例用作非详尽列表，并且可以实现的动态标签可以是系统相关的。
监控结构内的工作负载的软件代理可以从关联的网络控制器接收动态操作属性(或键)和关联的触发值(或值)的指示。这些键值对在网络控制器可访问的清单中定义，并映射到特定策略。软件代理可以监控这些动态操作属性的工作负载，并且一旦动态操作属性的值满足相关联的触发值之一，负责的代理可以通知相关联的控制器。作为响应，控制器可以确定工作负载的动态操作属性的当前值已经达到相关联的触发值，工作负载需要新的策略并且可以被相应地重新分组。该策略可以由软件代理和/或其他网络元素强制执行，使得工作负载经受一组不同的网络策略和/或经验。
25.在一些示例中，网络管理员可以向网络的网络控制器提供定义一个或多个策略的清单。附加地或替代地，网络控制器可以管理清单，并从网络管理员接收策略。网络控制器可以在清单中存储策略、与在与网络控制器相关联的网络中运行的工作负载相关联的动态操作属性(doa)和与doa相关联的触发值之间的映射。清单可以将映射存储为键值对。在一些示例中，doa可以是键值对的键，触发值可以是键值对的值。
26.然后，一个或多个策略可以被配置为响应于运行时事件和/或其他各种网络条件而动态地应用于网络中的各种工作负载。在一些示例中，网络控制器可以向监控工作负载分组的软件代理发送与软件代理要监控的工作负载相关联的doa的指示。在一些示例中，网络控制器可以向监控工作负载分组的软件代理发送与doa相关联的触发值的另一个指示。在一些示例中，软件代理可以监控分组中的工作负载以识别工作负载的doa的当前值何时达到和/或超过定义的触发值。在一些示例中，可以将策略配置为在指定doa的当前值达到定义的触发值时应用于工作负载。在一些示例中，当指定doa的当前值达到定义的触发值时，软件代理可以向网络控制器发送指示，指示doa的当前值对应于触发值。然后，网络控制器可以基于与触发值对应的doa的当前值来确定将策略应用于工作负载，并且可以将策略发送给软件代理以应用于工作负载。然后，软件代理可以将策略应用到工作负载。附加地或替代地，软件代理可以被配置为监控工作负载以寻找doa的当前值的变化，并向网络控制器发送指示，指示doa的当前值已经变化。网络控制器然后可以确定doa的当前值是否满足相关联的触发值并且可以将策略发送到软件代理以将策略应用于工作负载。然后，软件代理可以将策略应用到工作负载。
27.doa可用于监控工作负载的各种属性，例如但不限于资源使用值、与网络相关联的特定地理区域、消耗端点上资源的第一工作负载的资源使用值比率相比于消耗端点上资源的第二工作负载的资源使用值比率、和/或与工作负载的性能相关联的延迟值、工作负载的运行时间(例如，高峰时间或非高峰时间)、带宽使用值等。例如，doa可以是工作负载的资源使用值，例如cpu使用，并且关联的触发值可以定义为80％。因此，如果工作负载的cpu使用达到或超过其总容量的80％，则可以将策略应用于工作负载。附加地或替代地，如果工作负载的cpu使用低于其总容量的80％，则可以将策略应用于工作负载。附加地或替代地，清单可以定义与doa相关联的多个触发值。例如，第一策略可以对应80％的第一触发值，第二策略可以对应90％的第二触发值。因此，如果工作负载的cpu使用达到或超过90％，则可以将第二策略应用于工作负载。在某些示例中，可以监控多个doa，因此管理员可以实施更复杂的策略语义。例如，第一doa可以是与工作负载的性能相关联的延迟值，并且相关联的触发值可以定义为10毫秒(ms)，配置为使得当工作负载的当前延迟值超过10ms时，可以将新的策略应用于工作负载。附加地或替代地，第二doa可以是工作负载正在运行的特定地理区
域，并且相关联的触发值可以被定义为“亚洲”，被配置为使得当工作负载的当前区域是“亚洲”时，可以将新的策略应用于工作负载。附加地或替代地，策略可以被配置为在第一doa的当前值和第二doa的当前值满足它们对应的触发值时应用于工作负载。
28.在一些示例中，动态标签被表示为键值对。在一些示例中，可以使用各种方法插入表示动态标签的键值对。在一些示例中，表示动态标签的键值对可以包括在控制分组中，例如端点更新消息，并且可以从软件代理直接发送到网络控制器。附加地或替代地，包括表示动态标签的键值对的控制分组可以从软件代理发送到到网络控制器的路由上的其他网络元件。附加地或替代地，表示动态标签的键值对可以包括在数据路径中的分组报头中。在一些示例中，表示动态标签的键值对可以包括在虚拟可扩展局域网通用协议扩展(vxlan-gpe)分组报头中。例如，标签值和标签键可以由vxlan-gpe报头中的保留比特表示。在一些示例中，标签值可以包括在第一个字vxlan-gpe报头的保留比特8-23中。在一些示例中，标签键可以包括在vxlan-gpe报头的第二字的保留比特24-31中。附加地或替代地，表示动态标签的键值对可以包括在通用网络虚拟化封装(geneve)分组报头中。例如，标签值和标签键可以由geneve报头的可变长度选项比特表示。
29.在一些示例中，用户清单可用于本文所述的分段技术。在一些示例中，用户清单可以包括用户定义的标签和系统生成的标签以分配和/或创建网络的不同的安全策略和/或分段策略。在一些示例中，安全策略可以包括访问控制列表(acl)，使得acl可以包括特定ip地址、子网和协议的列表，这些协议是允许的以及许多是不允许的。在一些示例中，清单可以定义动态标签，软件代理能够跟踪这些动态标签并将其嵌入系统中。在一些示例中，动态标签可以是短暂的，和/或在满足某些运行时条件时生成。例如，如果指定的状态发生变化，动态标签将被更改和/或移除以反映状态变化。例如，可以在端点处监控就带宽而言的资源使用。资源使用可能被标记为高，并且相应的端点可能会经受强制执行较低体验质量的策略。当资源使用返回到正常或平均状态时，端点可以返回到其正常的体验质量策略。例如，用户管理员和结构管理员可以在清单中使用动态系统生成的标签来精确识别和/或重新分组端点。在一些示例中，清单中使用的动态标签可以表达关于结构的端点必须如何表现的意图。附加地或替代地，清单中使用的动态标签可以在满足某些运行时条件(如动态标签所指示的)时允许动态策略更新。在一些示例中，管理员可以利用模板来自动创建微分段端点组。例如，由微分段端点组标识的端点可以动态地移入和移出微分段端点组，这些微分段端点组是基于清单中定义的策略作为模板的一部分创建的。在一些示例中，网络控制器可以利用清单中定义的动态标签来通知相关的数据路径代理来监控和嵌入用于特定工作流的相应系统生成的标签。在一些示例中，可以在清单中定义动态标签以在各种粒度级别启用。例如，动态标签可以在租户级别、应用级别、端点(或工作负载)分组级别和/或单个端点(或工作负载)级别表示。
30.本文描述的技术使用与数据中心环境中的模板和清单耦合的动态标记提供关于策略和分段语义的各种改进。例如，本文描述的技术可以改进微分段或工作负载分组技术并且允许响应于运行时事件和/或其他各种网络条件将策略应用于网络中的各种工作负载。此外，在网络中满足动态标签指定的运行时条件之前，无需在网络内的任何设备上预先创建或预先配置这些策略。通过使用动态标签，用户可以使用标签组合来表达对结构的端点必须如何使用模板和清单以更直观和简洁的方式表现的意图。
31.下面将参考附图更全面地描述本公开的某些实现和实施例，其中示出了各个方面。然而，各个方面可以以许多不同的形式来实现并且不应被解释为限于本文所阐述的实现。如本文所述，本公开包括实施例的变体。相同的数字始终指代相同的元素。
32.图1示出了用于在云计算网络102内监控操作属性和动态应用策略更新的示例流程的系统架构图100。云计算网络102可以包括一个或多个数据中心104，该数据中心104包括各种网络设备，例如网络控制器106、交换机108(1)-(n)和/或物理服务器110(1)-(n)，其中n是大于“1”的任何整数。在一些示例中，数据中心104可以跨地理区域定位，并且云计算网络102可以是分布式网络，用户(通常是客户)可以通过该分布式网络经由用户设备进行交互以管理或以其他方式与由云计算网络102提供的服务交互。
33.云计算网络102可以提供物理服务器110(1)-(n)的计算系统资源的按需可用性，例如数据存储、计算能力(例如，cpu、gpu等)、网络、数据库等，无需用户直接主动管理。在一些示例中，云计算网络102可以由服务提供商管理和维护，使得用户不必为他们的计算资源需求投资和维护计算基础设施。通常，可以向用户提供对云计算网络102中物理服务器110(1)-(n)的一部分计算资源的访问或分配使用。云计算网络102可以基于个体用户的需求来扩展，例如通过加速资源或降低资源。云计算网络102的部分可以使用硬件虚拟化来分配，使得云计算网络102的部分可以由用户配置和管理(例如，安全配置、负载平衡配置等)。然而，云计算网络102不需要由服务提供商管理，并且可以由任何实体管理，包括运行应用程序或服务的用户自己。
34.在一些示例中，物理服务器可以托管一个或多个虚拟机。每个虚拟机可以被配置为执行各种操作之一并充当云计算网络102的一个或多个虚拟组件，例如一个或多个工作负载112(1)-(n)，其中n是大于“1”的任何整数。在一些示例中，物理服务器110可以托管任何数量的虚拟机。在一些示例中，一个或多个工作负载112可以分布在多个物理服务器110上。在一些示例中，云计算网络102中的工作负载112(1)-(n)中的每一个可以被包括在工作负载分组114(1)-(n)中，其可以包括工作负载112(1)-(n)，跨云计算网络中的单独物理服务器110(1)-(n)托管。
35.在一些示例中，网络控制器104可以被配置为利用一个或多个网络交换机108(1)-(n)与一个或多个物理服务器110(1)-(n)通信，该网络交换机108(1)-(n)被配置为将通信路由到云计算网络102中的一个或多个工作负载112(1)-(n)。网络交换机108(1)-(n)可以托管在其上执行的软件代理114(1)-(n)。一个或多个软件代理116(1)-(n)可以被配置为监控相应的工作负载112(1)-(n)和/或工作负载分组114(1)-(n)。附加地或替代地，网络控制器104可以被配置为响应于云计算网络102中的运行时事件和/或其他网络条件，将策略存储在清单118中，以便稍后分发到工作负载112(1)-(n)和/或工作负载分组114(1)-(n)中的一个或多个。清单118可以包括一个或多个映射。一个或多个映射可以包括映射到一个或多个键值对122、124的策略120。一个或多个键122(1)-(n)可以包括与一个或多个工作负载112(1)-(n)和/或工作负载分组114(1)-(n)相关联的一个或多个动态操作属性。一个或多个值124(1)-(n)可以包括与一个或多个动态操作属性相关联的一个或多个触发值。
36.通常，清单118中的映射的数量可以基于与云计算网络102交互的管理用户126来扩展，例如管理云计算网络102的操作的管理员或通过相应的管理用户设备与云计算网络102交互的其他实体。管理用户设备可以是能够通过合适的数据通信网络128连接到云计算
网络102的任何类型的计算设备，例如但不限于膝上型计算机或台式计算机、平板计算设备、服务器计算机、电视或移动电话。附加地或替代地，工作负载112(1)-(n)的数量可以基于与云计算网络102交互的用户130的数量而扩展。用户130可以包括与云计算网络102交互的个人用户、用户组、组织、企业或其他实体中的一个或多个，还可以连接、管理和利用由云计算网络102以类似方式提供的资源。
37.管理用户126可以经由网络128提供输入数据132以与网络控制器106交互并且提供要添加到清单118的新策略120(1)-(n)。例如，管理用户126可以提交映射到定义的键值对122(1)、124(1)的策略120(1)。在一些示例中，网络控制器106可以消耗策略120(1)、键122(1)和值124(1)，并将映射存储在清单118中。附加地或替代地，管理用户126可以向云计算网络102中的网络控制器106提供定义一个或多个策略120(1)-(n)的清单118。
38.用户130可以经由网络128提供输入数据134以与在服务器110(1)-(n)上运行的工作负载112(1)-(n)所支持和/或包括在工作负载分组114(1)-(n)中的服务交互。例如，用户130可以提交请求以处理数据、检索数据、存储数据等，从而使托管工作负载112(1)-(n)的虚拟机加速或减速以基于需求处理请求。
39.当应用程序开始在云计算网络102中执行时，使用微分段技术将在物理服务器110上执行的工作负载112分组为默认或基本工作负载组114。在一些示例中，可以根据与工作负载112相关联的属性来识别工作负载112并将其重新分类为专门的工作负载组114。例如，工作负载112(1)-(n)可以被分类为专门的工作负载组114(1)-(n)，它们被配置为由相应的软件代理116(1)-(n)监控以查找与工作负载112(1)-(n)相关联的定义的动态操作属性。软件代理116(1)-(n)可以监控工作负载112(1)-(n)并且响应于与工作负载112(1)-(n)相关联的各种运行时条件，将不同组的策略120(1)-(n)应用到其中的工作负载112(1)-(n)。在一些示例中，动态操作属性可以包括但不限于资源使用值、与网络相关联的特定地理区域、消耗端点上资源的第一工作负载112(1)的资源使用值比率相比消耗端点上资源的第二工作负载112(2)的资源使用值比率、和/或与工作负载112的性能相关联的延迟值、工作负载112的操作时间(例如，高峰时间或非高峰时间)、带宽使用值等。
40.在一些示例中，在诸如网络交换机108的联网设备上运行的软件代理116可以响应于云计算网络102中的运行时事件和/或其他条件，监控一个或多个工作负载112(1)-(n)和/或工作负载组114(1)-(n)的动态操作属性。例如，管理用户126可以向网络控制器106提供一个或多个策略120(1)-(n)和/或包括一个或多个策略120(1)-(n)的清单118。网络控制器106可以维护清单118并将从管理用户126接收的新策略120存储在清单118中。当满足清单118中定义的条件时，这些策略120可以应用于工作负载112和/或工作负载组114。在一些示例中，策略120(1)和键值对122(1)、124(1)之间的映射可以存储在清单中。在一些示例中，键122可以对应于与在云计算网络102中运行的工作负载112和/或工作负载组114相关联的动态操作属性，并且值124可以对应于与动态操作属性相关联的触发值。
41.例如，对应于策略120(1)的键122(1)可以定义要监控的动态操作属性是工作负载112(1)和/或工作负载组114(1)的cpu使用，并且值124(1)可以将触发值定义为总cpu的70％的阈值。因此，映射定义了当工作负载112(1)和/或工作负载组114(1)的cpu使用的当前值(如键122(1)所定义的)达到或超过70％的触发值(如值124(1)定义的)时，则可以将策略120(1)应用于工作负载112(1)和/或工作负载组114(1)。
42.附加地或替代地，对应于策略120(1)的键122(1)可以定义要监控的动态操作属性是托管工作负载112(1)和/或工作负载组114(1)的当前地理区域，并且值124(1)可以将触发值定义为来自与网络相关联的一组地理区域中的特定地理区域，例如“亚洲”。因此，映射定义了当托管工作负载112(1)和/或工作负载组114(1)的当前地理区域(如键122(1)所定义的)满足如值124(1)所定义的“亚洲”的触发值时，则策略120(1)可应用于工作负载112(1)和/或工作负载组114(1)。
43.附加地或替代地，对应于策略120(1)的键122(1)可以定义要被监控的动态操作属性是消耗端点上资源的第一工作负载112(1)的当前资源使用价值比率相比于消耗端点上资源的工作负载组114(1)中的第二工作负载112(2)和/或其他工作负载112(2)-(n)的资源使用值比率，以及值124(1)可以将触发值定义为2:1比率。因此，映射定义了当消耗端点上资源的第一工作负载112(1)的当前资源使用价值比率相比于消耗端点上资源的工作负载组114(1)中的第二工作负载112(2)和/或其他工作负载112(2)-(n)的资源使用值比率(如键122(1)定义的)满足2:1比率(如值124(1)定义的)时，则可以将策略120(1)应用于工作负载112(1)和/或工作负载组114(1)。
44.附加地或替代地，对应于策略120(1)的键122(1)可以定义要监控的动态操作属性是与工作负载112(1)和/或工作负载组114(1)的性能相关联的当前延迟值，并且值124(1)可以将触发值定义为10毫秒(ms)的阈值延迟。因此，映射定义了当与工作负载112(1)和/或工作负载组114(1)的性能相关联的当前延迟值(如键122(1)所定义的)满足如值124(1)所定义的10ms延迟值的触发值时，则策略120(1)可应用于工作负载112(1)和/或工作负载组114(1)。
45.在一些示例中，网络控制器106可以将键122和值124的指示发送到监控一个或多个工作负载112和/或工作负载组114的一个或多个软件代理116。在一些示例中，可以使用各种方法插入表示动态标签的键值对122、124。例如，表示动态标签的键值对122、124可以包括在控制分组中，例如端点更新消息，并且可以从软件代理116直接发送到网络控制器106。附加地或替代地，包括表示动态标签的键值对122、124的控制分组可以从软件代理116发送到到网络控制器106的路由上的其他网络元件。附加地或替代地，表示动态标签的键值对122、124可以包括在数据路径中的分组报头中。在一些示例中，表示动态标签的键值对122、124可以包括在虚拟可扩展局域网通用协议扩展(vxlan-gpe)分组报头中。例如，标签值124和标签键122可以由vxlan-gpe报头中的保留比特表示。在一些示例中，标签值124可以包括在第一个字vxlan-gpe报头的保留比特8-23中。在一些示例中，标签键122可以包括在vxlan-gpe报头的第二字的保留比特24-31中。附加地或替代地，表示动态标签的键值对122、124可以包括在通用网络虚拟化封装(geneve)分组报头中。例如，标签值124和标签键122可以由geneve报头的可变长度选项比特表示。
46.在一些示例中，当键值对122、124被发送到软件代理116时，软件代理116然后可以监控工作负载112和/或工作负载组114的动态操作属性的当前值，由键122定义。例如，当由键122定义的工作负载112和/或工作负载组114的动态操作属性的当前值满足由值124定义的触发值时，软件代理116可以向网络控制器106提供指示。附加地或替代地，一个或多个触发值可由清单118中的值124定义，使得当工作负载112和/或工作负载组114的动态操作属性的当前值满足由值124定义的一个或多个触发值时，软件代理116可以向网络控制器106
提供对应于一个或多个触发值的一个或多个指示。附加地或替代地，软件代理116可以被配置为监控由相应键122定义的工作负载112和/或工作负载组114的多个动态操作属性。在一些示例中，当网络控制器106从软件代理116接收到指示、指示由键122定义的工作负载112和/或工作负载组114的动态操作元素的当前值对应于由值124定义的触发值时，网络控制器106可以将映射到清单118中的键值对122、124的策略发送到从其接收指示的软件代理116。然后，软件代理116可以将策略120应用到工作负载112和/或工作负载组114。
47.在“1”处，网络控制器106可以从管理用户126接收策略120(1)的定义。附加地或替代地，网络控制器106可以从管理用户126接收定义与在云计算网络102中运行的工作负载112(1)相关联的动态操作属性的键122(1)。附加地或替代地，网络控制器106可以从管理用户126接收定义与动态操作属性相关联的触发值的值124(1)。
48.在“2”处，网络控制器106可以在清单118中存储策略120(1)、键122(1)和值124(1)之间的映射。
49.在“3”处，网络控制器106可以向在网络交换机108(1)上操作并被配置为至少监控工作负载112(1)的软件代理116(1)发送定义动态操作属性的键122(1)和定义触发值的值124(1)的指示。附加地或替代地，软件代理116(1)可以在云计算网络102内的任何其他联网设备上运行，例如，执行工作负载112(1)的物理服务器110(1)之一。
50.在“4”处，软件代理116(1)可以确定如键122(1)所定义的与工作负载112(1)相关联的动态操作属性的当前值对应于如值124(1)定义的触发值。软件代理116(1)可以向网络控制器106发送与工作负载112(1)相关联的动态操作属性的当前值对应于触发值的指示。
51.在“5”处，网络控制器106可以至少部分地基于与对应于触发值的工作负载112(1)相关联的动态操作属性的当前值，将策略120(1)发送到软件代理116(1)用于至少分发到工作负载112(1)。附加地或替代地，软件代理116(1)可以将策略120(1)分发到工作负载组114(1)。
52.图2a示出了包括动态标签值202和标签键204的示例虚拟可扩展局域网通用协议扩展(vxlan-gpe)分组报头的图200。动态标签值202和标签键204可以包括来自图1的值124和键122的相同或相似属性。
53.在一些示例中，表示动态标签的键值对204、202可以包括在虚拟可扩展局域网通用协议扩展(vxlan-gpe)分组报头中。例如，标签值202和标签键204可以由vxlan-gpe报头中的保留比特表示。在一些示例中，标签值202可以包括在第一个字vxlan-gpe报头的保留比特8-23中。在一些示例中，标签键204可以包括在vxlan-gpe报头的第二字的保留比特24-31中。在一些示例中，标签键204和标签值202可以仅使用vxlan-gpe分组报头中的几个比特映射到紧凑表示。
54.图2b示出了示例通用网络虚拟化封装(geneve)报头的图210，该报头包括动态标签值和键值，包括在geneve报头分组的可变长度选项212中。包括在可变长度选项212中的动态标签值和标签键可以包括来自图1的值124和键122的相同或相似属性。
55.在一些示例中，表示动态标签的键值对可以包括在通用网络虚拟化封装(geneve)分组报头中。例如，标签值和标签键可以由geneve报头的可变长度选项212比特表示。在一些示例中，包括在可变长度选项212中的标签键和标签值可以仅使用geneve分组报头中的几个比特映射到紧凑表示。
56.图3示出了示例用户清单300，用户定义的标签和系统生成的标签以分配和/或创建不同的安全策略和分段策略用于云计算网络102。
57.在一些示例中，用户清单300可以包括一个或多个用户定义的标签302(1)-(5)。附加地或替代地，用户清单300可以包括一个或多个系统生成的标签304(1)-(4)。在一些示例中，系统生成的标签304(1)-(4)可以定义允许系统在满足某些运行时条件时应用策略更新的动态标签。在一些示例中，用户定义的标签302(1)-(5)可以与系统生成的标签304(1)-(4)结合使用，从而可以将安全策略分配给工作负载112和/或工作负载组114。例如，安全策略可以包括访问控制列表(acl)，使得acl可以包括特定ip地址、子网和协议的列表，这些协议是允许的以及许多是不允许的。在一些示例中，用户定义的标签302(1)-(5)可以与系统生成的标签304(1)-(4)结合使用，使得管理用户可以更精确地识别和重新分组端点(或工作负载)。例如，用户定义的标签302(1)、系统生成的标签304(1)和/或系统生成的标签304(2)可用于定义微分段策略。
58.例如，用户定义的标签302(1)将静态分配给工作负载112和/或工作负载组114的优先级定义为标签键122进行监控，并且将触发值“临界”定义为标签值124进行监控。附加地或替代地，系统生成的标签304(1)可以将与工作负载112和/或工作负载组114的操作相关联的当前带宽使用定义为动态标签键122进行监控，并且将触发值“高”定义为对应的动态标签值124进行监控。附加地或替代地，系统生成的标签304(2)可以将与工作负载112和/或工作负载组114的操作相关联的当前小时定义为动态标签键122进行监控，并且将触发值“非高峰”定义为动态标签值124进行监控。在一些示例中，如果用户定义的标签302(1)、系统生成的标签304(1)和系统生成的标签304(2)中的至少一个的任意组合具有满足的触发值，则系统可以然后将相应的策略120应用于相关联的工作负载112和/或工作负载组114。在一些示例中，应用于相关联工作负载112和/或工作负载组114的策略120可以由清单中的模板字段定义。
59.附加地或替代地，用户定义的标签302(2)-(5)和/或系统生成的标签304(3)和304(4)可用于定义安全规则策略。例如，用户定义的标签302(2)和302(4)可以将静态分配给工作负载的要监控的应用定义为标签键122进行监控，并且将触发值“web”定义为标签值124进行监控。附加地或替代地，系统生成的标签304(3)和304(4)可以将与工作负载的操作相关联的当前区域定义为动态标签键122进行监控，并且系统生成的标签304(3)、304(4)可以将不同的触发值定义为标签值124，以相应地监控和应用不同的安全规则策略。例如，系统生成的标签304(3)可以将触发值“us-west”定义为标签值124进行监控，并且系统生成的标签304(4)可以将触发值触发值“asia”定义为标记值124进行监控。在一些示例中，当与工作负载的操作相关联的当前区域满足由系统生成的标签304(3)定义的“us-west”的标签值124时，工作负载可以继承由安全规则定义的合约名称“allowhttp”。附加地或替代地，当与工作负载的操作相关联的当前区域满足由系统生成的标签304(4)定义的“asia”的标签值124时，工作负载可以继承由安全规则定义的合约名称“denyall”。
60.图4和图5示出了示例方法400和500的流程图，其示出了至少部分地由如图1-3所描述的云计算网络102执行的功能的方面。本文关于图4和5描述的逻辑操作可以(1)作为在计算系统上运行的一系列计算机实现的动作或程序模块和/或(2)作为计算系统内的互连机器逻辑电路或电路模块来实现。
61.本文描述的各种组件的实现是取决于计算系统的性能和其他要求的选择问题。因此，本文描述的逻辑操作被不同地称为操作、结构设备、动作或模块。这些操作、结构设备、动作和模块可以用软件、固件、专用数字逻辑以及它们的任何组合来实现。还应该理解，可以执行比图3和4所示更多或更少的操作并在本文中描述。这些操作也可以并行执行，或者以与本文描述的那些不同的顺序执行。这些操作中的一些或全部也可以由除特定标识的组件之外的组件执行。尽管本公开中描述的技术参考特定组件，但在其他示例中，这些技术可以通过更少的组件、更多的组件、不同的组件或组件的任何配置来实施。
62.图4示出了用于云计算网络102的网络控制器106的示例方法400的流程图，用于接收策略120的定义、定义动态操作属性(doa)的键122和定义触发值的值124，在清单118中存储策略120、键122和值124之间的映射，并利用软件代理116监控各自的工作负载112和/或工作负载组114，以确定何时应在运行时将策略120应用于工作负载112和/或工作负载组114。
63.在402处，云计算网络102的网络控制器106可以接收策略120(1)的定义。附加地或替代地，网络控制器106可以接收包括策略120(1)的定义的清单118。
64.在404处，云计算网络102的网络控制器106可以接收与在云计算网络102中运行的工作负载112相关联的动态操作属性。附加地或替代地，网络控制器106可以接收包括与工作负载112(1)和/或工作负载组114(1)相关联的动态操作属性的清单118。在一些示例中，动态操作属性由键122定义。
65.在406处，云计算网络102的网络控制器106可以接收与动态操作属性相关联的触发值的指示。附加地或替代地，网络控制器106可以接收包括与动态操作属性相关联的触发值的指示的清单118。在一些示例中，触发值由值124(1)定义。
66.在408处，云计算网络102的网络控制器106可以在清单118中存储策略120(1)、由键122(1)定义的动态操作属性和由值124(1)定义的触发值之间的映射。
67.在410处，云计算网络102的网络控制器106可以向在云计算网络102中的网络交换机108(1)上操作并监控工作负载112(1)和/或工作负载组114(1)的软件代理116(1)发送由键122定义的动态操作属性和由值124定义的触发值的指示。
68.在412处，云计算网络102的网络控制器106可以从软件代理116(1)接收如键122(1)所定义的工作负载112(1)的动态操作属性的当前值对应于如值124(1)定义的触发值的指示。
69.在414处，云计算网络102的网络控制器106可以至少部分地基于如键122(1)定义的工作负载112(1)的动态操作属性的当前值对应于如值124(1)定义的触发值，向软件代理112(1)发送策略120(1)。
70.图5示出了用于包括在云计算网络102中的软件代理116的示例方法500的流程图，用于接收具有相关联的键值对122、124的策略120并监控由键122定义的各个工作负载112的动态操作属性以查找由值124定义的触发值，并通知网络控制器106应用相应的策略120以响应运行时事件。
71.在502处，在云计算网络102中的网络交换机108(1)上运行的软件代理116(1)可以对软件代理116(1)正在监控的工作负载112(1)和/或工作负载组114(1)应用第一策略。在一些示例中，云计算网络102与网络控制器106相关联。
72.在504处，软件代理116(1)可以从网络控制器106接收由键122(1)定义的动态操作属性和由值124(1)定义的触发值的指示。在一些示例中，在接收指示之前，管理用户126可以向云计算网络102的网络控制器106发送第二策略120(1)的定义。附加地或替代地，管理用户126可以向网络控制器106发送包括第二策略120(1)的定义的清单118。附加地或替代地，管理用户126可以向云计算网络102的网络控制器106发送与在云计算网络102中运行的工作负载112(1)和/或工作负载组114(1)相关联的动态操作属性。附加地或替代地，管理用户126可以向网络控制器106发送包括与工作负载112(1)和/或工作负载组114(1)相关联的动态操作属性的清单118。在一些示例中，动态操作属性可以由键122(1)定义。附加地或替代地，管理用户126可以向云计算网络102的网络控制器106发送与动态操作属性相关联的触发值的指示。附加地或替代地，管理用户126可以向网络控制器106发送包括与动态操作属性相关联的触发值的指示的清单118。在一些示例中，触发值由值124(1)定义。
73.在506处，软件代理116(1)可以确定如键122(1)所定义的工作负载112(1)的动态操作属性的当前值对应于如值124(1)定义的触发值。
74.在508处，软件代理116(1)可以向云计算网络102的网络控制器106发送如键122(1)定义的工作负载112(1)的动态操作属性的当前值对应于如值124(1)定义的触发值的指示。
75.在510处，软件代理116(1)可以从云计算网络102的网络控制器106接收第二策略120(1)。
76.在512处，软件代理116(1)可以将第二策略120(1)应用到软件代理116(1)正在监控的工作负载112(1)和/或工作负载组114(1)。在一些示例中，至少部分地基于第二策略120(1)，可以将工作负载112(1)和/或工作负载分组114(1)重新分类为新的工作负载组114(2)-(n)。
77.图6是说明数据中心600的配置的计算系统图，该配置可用于实现本文所公开的技术的方面。图6中所示的示例数据中心600包括用于提供计算资源的若干服务器计算机602a-602e(其在本文中可能被单称为“服务器计算机602”或复数称为“服务器计算机602”)。在一些示例中，服务器计算机602可以包括或对应于本文描述的服务器110。
78.服务器计算机602可以是标准塔式、机架式或刀片式服务器计算机，其被适当地配置用于提供本文所述的计算资源。如上所述，云计算网络102提供的计算资源可以是数据处理资源，例如vm实例或硬件计算系统、数据库集群、计算集群、存储集群、数据存储资源、数据库资源、网络资源等。服务器602中的一些还可以被配置为执行能够实例化和/或管理计算资源的资源管理器。例如，在vm实例的情况下，资源管理器可以是管理程序或其他类型的程序，被配置为使得能够在单个服务器计算机602上执行多个vm实例。数据中心600中的服务器计算机602也可以被配置为提供网络服务和其他类型的服务。
79.在图6中所示的示例数据中心600中，适当的lan 608也用于互连服务器计算机602a-602e。应该理解，本文描述的配置和网络拓扑已经大大简化，并且可以使用许多更多的计算系统、软件组件、网络和网络设备来互连本文公开的各种计算系统并提供上述功能。适当的负载平衡设备或其他类型的网络基础设施组件也可以用于平衡数据中心600之间、每个数据中心600中的每个服务器计算机602a-602e之间以及潜在地每个服务器计算机602中的计算资源之间的负载。应当理解，参考图6描述的数据中心600的配置仅是说明性的并
且可以使用其他实现。
80.在一些示例中，服务器计算机602可以各自执行一个或多个工作负载112，其支持跨一组或一群服务器602提供的服务或应用程序。每个服务器计算机602上的工作负载112可以支持单个应用程序或服务，或多个应用程序或服务(用于一个或多个用户)。
81.在一些情况下，云计算网络102可以永久或按需提供计算资源，例如应用容器、vm实例和存储。在其他类型的功能中，由云计算网络102提供的计算资源可用于实现上述各种服务。云计算网络102提供的计算资源可以包括各种类型的计算资源，例如应用容器和vm实例等数据处理资源、数据存储资源、网络资源、数据通信资源、网络服务等。
82.由云计算网络102提供的每种类型的计算资源可以是通用的或者可以在许多特定配置中可用。例如，数据处理资源可以以多种不同配置作为物理计算机或vm实例使用。vm实例可以被配置为执行应用程序，包括web服务器、应用程序服务器、媒体服务器、数据库服务器、一些或所有上述网络服务和/或其他类型的程序。数据存储资源可以包括文件存储设备、块存储设备等。云计算网络102还可以被配置为提供本文未具体提及的其他类型的计算资源。
83.在一个实施例中，由云计算网络102提供的计算资源可以由一个或多个数据中心600(在本文中可能被单数称为“数据中心600”或复数称为“数据中心600”)来启用。数据中心600是用于容纳和操作计算机系统和相关联组件的设施。数据中心600通常包括冗余和备用电源、通信、冷却和安全系统。数据中心600也可以位于地理上不同的位置。下面将关于图6描述可用于实施本文公开的技术的数据中心600的一个说明性实施例。
84.图7示出了能够执行用于实现上述功能的程序组件的服务器计算机602的示例计算机架构。图7所示的计算机架构示出了传统的服务器计算机、工作站、台式计算机、膝上型计算机、平板电脑、网络设备、电子阅读器、智能手机或其他计算设备，并且可以用于执行本文所呈现的任何软件组件。在一些示例中，服务器计算机602可以对应于本文描述的物理服务器110。
85.计算机602包括基板702或“母板”，其是印刷电路板，多个组件或设备可以通过系统总线或其他电通信路径连接到该印刷电路板。在一种说明性配置中，一个或多个中央处理单元(“cpu”)704与芯片组706结合操作。cpu 704可以是执行计算机602的操作所必需的算术和逻辑操作的标准可编程处理器。
86.cpu 704通过操作开关元件从一个离散的物理状态转换到下一个来执行操作，开关元件区分和改变这些状态。开关元件通常包括维持两个二进制状态之一的电子电路，例如触发器，以及基于一个或多个其他开关元件的状态的逻辑组合提供输出状态的电子电路，例如逻辑门。这些基本的开关元件可以组合起来以创建更复杂的逻辑电路，包括寄存器、加法器-减法器、算术逻辑单元、浮点单元等。
87.芯片组706提供cpu 704与基板702上的其余组件和设备之间的接口。芯片组706可以提供到ram 708的接口，ram 708用作计算机602中的主存储器。芯片组706可以进一步提供到计算机可读存储介质的接口，例如只读存储器(“rom”)710或非易失性ram(“nvram”)，用于存储有助于启动计算机602和在各种组件和设备之间传输信息。rom 710或nvram还可以存储根据本文描述的配置操作计算机602所必需的其他软件组件。
88.计算机602可以使用通过网络708(例如网络608)到远程计算设备和计算机系统的
逻辑连接在网络环境中操作。芯片组706可以包括用于通过nic 712提供网络连接的功能，例如千兆以太网适配器。nic 712能够通过网络708(或128)将计算机702连接到其他计算设备。应当理解，计算机602中可以存在多个nic 712，将计算机连接到其他类型的网络和远程计算机系统。
89.计算机602可以连接到为计算机提供非易失性存储的存储设备718。存储设备718可以存储操作系统720、程序722和数据，它们已经在本文中更详细地描述。存储设备718可以通过连接到芯片组706的存储控制器714连接到计算机602。存储设备718可以由一个或多个物理存储单元组成。存储控制器714可以通过串行连接scsi(“sas”)接口、串行高级技术连接(“sata”)接口、光纤通道(“fc”)接口、或其他类型用于在计算机和物理存储单元之间物理连接和传输数据的接口与物理存储单元接口。
90.计算机602可以通过转换物理存储单元的物理状态来将数据存储在存储设备718上以反映正在存储的信息。在本说明书的不同实施例中，物理状态的具体转换可以取决于各种因素。这样的因素的示例可以包括但不限于用于实现物理存储单元的技术、存储设备718是否被表征为主要或次要存储等。
91.例如，计算机602可以通过存储控制器714发出指令来将信息存储到存储设备718以改变磁盘驱动单元内的特定位置的磁特性、光存储单元中的特定位置的反射或折射特性、或固态存储单元中特定电容器、晶体管或其他分立组件的电气特性。在不脱离本描述的范围和精神的情况下，物理介质的其他变换是可能的，提供前述示例只是为了便于本描述。计算机602可以通过检测物理存储单元内的一个或多个特定位置的物理状态或特性来进一步从存储设备718读取信息。
92.除了上述大容量存储设备718之外，计算机602可以访问其他计算机可读存储介质以存储和检索信息，例如程序模块、数据结构或其他数据。本领域技术人员应当理解，计算机可读存储介质是提供数据的非暂时性存储并且可由计算机602访问的任何可用介质。在一些示例中，由云计算网络102和/或其中包括的任何组件执行的操作可以由类似于计算机602的一个或多个设备支持。换句话说，由云计算网络102和/或其中包括的任何组件执行的一些或所有操作可以由在基于云的布置中操作的一个或多个计算机设备602执行。
93.作为示例而非限制，计算机可读存储介质可以包括以任何方法或技术实现的易失性和非易失性、可移除和不可移除介质。计算机可读存储介质包括但不限于ram、rom、可擦除可编程rom(“eprom”)、电可擦除可编程rom(“eeprom”)、闪存或其他固态存储技术、光盘rom(“cd-rom”)、数字多功能光盘(“dvd”)、高清dvd(“hd-dvd”)、blu-ray或其他光学存储器、磁盒、磁带、磁盘存储器或其他磁性存储设备、或任何其他可用于以非暂时性方式存储所需信息的介质。
94.如上所述，存储设备718可以存储用于控制计算机602的操作的操作系统720。根据一个实施例，操作系统包括linux操作系统。根据另一个实施例，操作系统包括来自华盛顿州雷德蒙德的微软公司的server操作系统。根据进一步的实施例，操作系统可以包括unix操作系统或其变体之一。应该理解，也可以使用其他操作系统。存储设备718可以存储计算机602使用的其他系统或应用程序和数据。
95.在一个实施例中，存储设备718或其他计算机可读存储介质被编码有计算机可执行指令，当被加载到计算机602中时，这些指令将计算机从通用计算系统转换为能够实现本
文描述的实施例的专用计算机。如上所述，这些计算机可执行指令通过指定cpu 704如何在状态之间转换来转换计算机602。根据一个实施例，计算机602可以访问存储计算机可执行指令的计算机可读存储介质，这些指令当由计算机602执行时，执行上文关于图1-5描述的各种过程。计算机602还可以包括计算机可读存储介质，其上存储有用于执行本文描述的任何其他计算机实现的操作的指令。
96.计算机602还可以包括一个或多个输入/输出控制器716，用于接收和处理来自多个输入设备的输入，例如键盘、鼠标、触摸板、触摸屏、电子指示笔或其他类型的输入设备。类似地，输入/输出控制器716可以向显示器提供输出，例如计算机监视器、平板显示器、数字投影仪、打印机或其他类型的输出设备。应当理解，计算机602可能不包括图7中所示的所有组件，可以包括未在图7中明确示出的其他组件，或者可能利用与图7所示的完全不同的架构。
97.服务器计算机602可以支持虚拟化层724，例如在服务器计算机602上执行的一个或多个工作负载112。在一些示例中，虚拟化层724可由管理程序支持，该管理程序提供在服务器计算机602上运行的一个或多个虚拟机以执行本文所述的功能。虚拟化层724通常可以支持执行本文描述的技术的至少部分的虚拟资源。网络控制器106可以发送和接收各种数据并将其提供给在网络交换机108上操作的软件代理116。例如，网络控制器可以接收策略120的定义、与工作负载112相关联的由键122定义的动态操作属性、和/或与动态操作属性相关联的由值124定义的触发值。附加地或替代地，网络控制器106可以接收与工作负载112相关联的由键122定义的动态操作属性的当前值对应于由值124定义的触发值的指示。在一些示例中，网络控制器106可以向软件代理116发送策略120。
98.总之，本公开描述了一种利用网络控制器来存储清单中的策略、动态操作属性(doa)和触发值之间的映射、以及利用通信中的软件代理来监控各个工作负载或工作负载分组的doa以查找与doa相关联的触发值以在运行时应用相应策略的方法。该方法提供灵活的策略语义和按需策略供应。该方法包括在网络控制器处接收策略的定义、与工作负载相关联的doa和与doa相关联的触发值，存储策略、doa和触发值之间的映射，向监控各个工作负载的数据路径代理发送doa和触发值，从软件代理接收工作负载的doa的当前值对应于触发值的指示，并将策略发送给软件代理以分发给工作负载。
99.虽然本发明是针对具体实施例进行描述的，但应理解本发明的范围不限于这些具体实施例。由于为适合特定操作要求和环境而改变的其他修改和改变对于本领域技术人员来说将是显而易见的，因此本发明不被认为限于为公开目的而选择的示例，并且涵盖不构成背离本发明的真正精神和范围的所有改变和修改。
100.尽管本技术描述了具有特定结构特征和/或方法动作的实施例，但是应当理解，权利要求不一定限于所描述的特定特征或动作。相反，特定特征和动作仅仅是落入本技术的权利要求范围内的说明性实施例。