[发明专利]自动化迁移中的网络重配置的方法和系统

说明书

技术领域

本发明一般涉及计算机系统，以及计算机系统服务技术和信息技术(IT)变换任务。

背景技术

迁移、巩固(consolidation)、虚拟化和云化(cloudification)是信息技术(IT)变换任务中的一些任务，尤其涉及当今时代的成本节约和绿色数据中心。在本公开中，这些任务以及类似的任务被总称为“迁移”。迁移中的任务包括发现依赖性(dependency)或亲和性(affinity)，即，什么组件(服务器、应用、应用模块、数据库等)通过网络与其他什么组件交互。

在将组件迁移到具有不同地址(例如IP地址或在域名服务的上下文中的域名)和可能不同的网络拓扑的目标环境时，需要设置目标环境中的防火墙配置，以使得所有需要交互的组件仍然可以交互，但不需要打开太多不必要的通信路径。例如，“防火墙重配置”是指重新配置或设置目标环境中的防火墙参数，使得目标环境中的组件在迁移后仍然可以交互。防火墙重配置目前是手动来做的，通常甚至不去访问源环境中的依赖性的具体表示。

将应用迁移到新的网络应当仍然允许交互无缝地发生，例如，使得新的防火墙等允许迁移后的应用能像以前那样运行。

在缺少“允许”规则这个意义上的错误的防火墙重配置是重要的错误来源，这些错误在以后的端对端测试中出现，并很难识别和纠正，由此造成了长期迁移进度表和高迁移成本。由于这些原因，许多企业继续回避迁移。反之，在目标环境中制定太多的“允许”规则可能会将目标环境开放给更多类型的攻击，这比必要的和在源环境中可能发生的攻击会更多。

发明内容

提供了一种用于自动化迁移中的网络重配置的方法和系统。在一个方面，该方法可包括：基于一个或多个正被迁移的组件的与源环境相关的一个或多个网络级属性和与目标环境相关的一个或多个网络级属性，确定目标环境的一个或多个网络功能中的网络重配置需求。该方法还可包括将网络重配置需求应用到目标环境中的一个或多个网络功能。

在一个方面，用于迁移中的网络重配置的系统可包括：模块，其可被操作以基于一个或多个正被迁移的组件的与源环境相关的一个或多个网络级属性和与目标环境相关的一个或多个网络级属性，确定目标环境的一个或多个网络功能中的网络重配置需求。该系统也可包括规则应用模块，其可被操作以将网络重配置需求应用到目标环境中的一个或多个网络功能。

还可提供计算机可读存储介质，其存储可由机器执行以完成此处所述的一个或多个方法的指令的程序。

以下将参考附图详细描述更多的特征以及各种实施例的结构和操作。在附图中，类似的标号指示相同或功能上类似的元件。

附图说明

图1A和1B示出了一个实施例中的防火墙重配置的概念。

图2是示出了基于本公开的一个实施例中的防火墙配置分析的防火墙重配置的流程图。

图3A和3B示出了本公开的一个实施例中的用于执行网络和/或防火墙重配置的系统的各功能组件。

图4A和4B示出了一个实施例中的示例性防火墙配置。

图5示出了web服务器如何从源环境中的其IP地址被迁移到目标环境中的不同IP地址的例子。

图6示出了计算机系统的例子，其中可实行或执行本公开的系统和方法。

具体实施方式

公开了一种用于自动执行网络重配置的方法和系统，例如，修改诸如防火墙相关参数的网络级参数，以重新配置在迁移中和/或在迁移后与组件相关的防火墙设置。本公开的防火墙重配置也可以设置与用于迁移的组件相关的防火墙参数。比如，如果目标环境是新的数据中心，则从头开始配置防火墙。在一方面，自动发现用于迁移中涉及的所有组件的网络级信息，且应用防火墙重配置，使得迁移后的组件发挥作用并给新的计算环境提供组件如迁移前的功能，同时为了安全，允许最小数量的不必要的开放连接穿过防火墙。

公开的系统和方法可自动提议或甚至默默地设置新的正确的防火墙配置等，而不是留给用户来发现和进行这种设置。公开的系统和方法可避免这样的场景，其中人类用户或是忽略需要被允许以使得应用仍然可以发挥作用的某些流(flow)，或是允许太多的流来避免第一个问题，但由此使得目标环境不那么安全。