提供了用于使用白名單和黑名單規則進行按需安全提供的系統、方法和計算機可讀介質。包括多個網莢的網絡中的系統可以在第一網莢中針對第一端點組(EPG)配置安全策略，該安全策略包括黑名單和白名單規則，該黑名單和白名單規則定義用于第一EPG與網絡中的第二網莢中的第二EPG之間的通信的流量安全實施規則。該系統可以基于每個策略的相應特性，將相應隱式優先級分配給一個或多個安全策略，其中，與較不具體的策略相比，更具體的策略被分配更高的優先級。該系統可以通過在第二網莢中針對第一EPG動態提供安全策略并從第一網莢中移除安全策略，來對檢測到的與第一EPG相關聯的虛擬機到網絡中的第二網莢的移動做出響應。

相關申請的交叉引用

本申請要求于2018年6月21日遞交的美國申請No.16/014,644的優先權，其進而要求于2018年3月20日遞交的美國臨時專利申請62/645,429的權益，其全部內容通過引用合并于此。

技術領域

本技術涉及網絡配置和安全策略提供。

背景技術

計算機網絡正變得越來越復雜，經常涉及網絡各層的低級和高級配置。例如，計算機網絡通常包括許多接入策略、轉發策略、路由策略、安全策略、服務質量(QoS)策略等，它們共同定義了網絡的整體行為和操作。網絡運營商具有廣泛的配置選項，用于根據用戶的需求定制網絡。雖然可用的不同配置選項為網絡運營商提供了一些靈活性和對網絡的控制，但它們也增加了網絡的復雜性。在許多情況下，配置過程可能變得非常復雜，并且配置策略可能難以管理，特別是在可能實現更大量的配置策略和策略修改的較大網絡中。毫不奇怪，網絡配置過程越來越容易出錯。此外，在復雜的網絡中排除錯誤和管理策略可能極其困難。

附圖說明

為了描述能夠獲得本公開的上述和其他優點和特征的方式，將通過參考在附圖中示出的本公開的具體實施例來對以上簡要描述的原理進行更具體的描述。應當理解，這些附圖僅描繪了本公開的示例性實施例，因此不應被認為是對其范圍的限制，通過使用附圖，以附加的特征和細節來描述和說明本文的原理，其中：

圖1示出了示例網絡環境；

圖2示出了在圖1的示例網絡環境中按需提供白名單和黑名單規則的示例場景；

圖3示出了用于按需提供的示例方法；

圖4示出了用于按需提供的另一示例方法；

圖5示出了用于定制規則優先級的示例方法；

圖6示出了示例網絡設備；以及

圖7示出了示例計算設備。

具體實施方式

下文詳細討論了本公開的各種實施例。雖然討論了具體實現方式，但是應當理解，這樣做僅僅是為了說明的目的。相關領域的技術人員將認識到，在不脫離本公開的精神和范圍的情況下，可以使用其他組件和配置。因此，下面的描述和附圖是說明性的，而不應被解釋為限制性的。描述了許多具體細節以提供對本公開的透徹理解。然而，在某些情況下，沒有描述公知的或常規的細節，以避免使描述不清楚。對本公開中的一個實施例或實施例的引用可以是對同一實施例或任何實施例的引用；并且，這樣的引用意味著至少一個實施例。

在一個實施例中，在一些示例中包括在合同內的安全策略包括黑名單和白名單規則，該黑名單和白名單規則定義用于網絡中的網莢(pod)內的端點組(EPG)之間的通信的流量安全實施，這些安全策略可以各自被分配與每個相應策略的特性相對應的優先級等級。當檢測到與EPG相關聯的虛擬機(VM)從一個網莢移動到另一網莢時，可以在另一網莢中自動提供安全策略。