改变影响模拟分析的制作方法

本公开涉及云网络中的改变影响模拟分析。

背景技术：

1、虚拟私有云(vpc)是在公共云环境内分配的共享计算资源的按需可配置池。vpc为用户提供与其他云用户的隔离。vpc可以执行一个或多个虚拟机(vm)，这些虚拟机可以通过虚拟专用网络(vpn)与用户的本地网络或其他远程资源进行通信。由于vpc的潜在规模和复杂性(其可能包括任意数量的vm、网络网关、负载均衡器等)，通常需要大量网络配置来操作和维护vpc。

技术实现思路

1、本公开的一个方面提供了一种网络改变模拟的方法。该方法包括在数据处理硬件处接收网络的生产网络模型的一个或多个参数改变。该方法还包括通过数据处理硬件生成包括一个或多个参数改变的模拟网络模型。另外，该方法包括通过数据处理硬件分析模拟网络模型内的模拟网络流，并通过数据处理硬件生成包括参数改变对网络的影响的报告。

2、本公开的这一方面可以包括以下可选特征中的一个或多个。在一些示例中，该方法还包括在数据处理硬件处接收包括生产网络模型的记录工作流的生产网络日志，并且通过数据处理硬件在模拟网络模型内模拟生产网络日志的生产工作流以生成模拟网络日志。在一些示例中，分析模拟网络流包括：通过数据处理硬件将生产网络日志与模拟网络日志进行比较，以及通过数据处理硬件识别生产网络日志与模拟网络日志之间的差异。可选地，生产网络日志是虚拟专用连接流日志和防火墙规则日志之一。

3、在一些示例中，该方法可以包括通过数据处理硬件确定所提议的参数改变对生产网络模型的影响。这里，该方法可以包括确定所提议的参数改变的影响包括对网络可达性、防火墙阴影规则预测的防火墙命中率、用户意图规则、安全合规性规则以及资源配额和利用率中的至少一项的影响。

4、在一些配置中，生成模拟网络模型包括通过数据处理硬件将一个或多个提议的参数改变递增地合并到生产网络模型中。在一些示例中，该方法包括通过数据处理硬件接收生产网络的一个或多个不变参数。该方法还可以包括当参数改变对网络的影响是可接受的时，通过数据处理硬件改变网络的配置。

5、本公开的另一方面提供了一种系统。该系统包括数据处理硬件以及与数据处理硬件通信的存储器硬件。存储器硬件存储当在数据处理硬件上执行时使数据处理硬件执行操作的指令。这些操作包括接收网络的生产网络模型的一个或多个参数改变。这些操作还包括生成包括一个或多个参数改变的模拟网络模型。另一操作包括分析模拟网络模型内的模拟网络流。这些操作还包括生成包括参数改变对网络的影响的报告。

6、本公开的这一方面可以包括以下可选特征中的一个或多个。在一个示例中，该操作包括接收包括生产网络模型的记录工作流的生产网络日志。另一操作包括在模拟网络模型内模拟生产网络日志的生产工作流以生成模拟网络日志。这里，分析模拟网络流可以包括将生产网络日志与模拟网络日志进行比较，并识别生产网络日志与模拟网络日志之间的差异。可选地，生产网络日志是虚拟专用连接流日志和防火墙规则日志之一。

7、在一些配置中，操作还包括确定所提议的参数改变对生产网络模型的影响。这里，确定所提议的参数改变的影响包括确定对网络可达性、防火墙阴影规则预测的防火墙命中率、用户意图规则、安全合规性规则以及资源配额和利用率中的至少一项的影响。

8、在一些示例中，生成模拟网络模型包括通过数据处理硬件将一个或多个提议的参数改变递增地合并到生产网络模型中。在一些实施方式中，操作包括通过数据处理硬件接收生产网络的一个或多个不变参数。在一些配置中，操作包括当参数改变对网络的影响是可接受的时改变网络的配置。

9、本公开的另一个方面提供了一种编码在非暂时性计算机可读存储介质上的计算机程序产品，包括当由数据处理装置执行时使数据处理装置执行操作的指令。这些操作包括接收网络的生产网络模型的一个或多个参数改变。另一操作包括生成包括一个或多个参数改变的模拟网络模型。这些操作包括接收网络的生产网络模型的一个或多个参数改变。这些操作还包括生成包括一个或多个参数改变的模拟网络模型。另一操作包括分析模拟网络模型内的模拟网络流。这些操作还包括生成包括参数改变对网络的影响的报告。

10、本公开的这一方面可以包括以下可选特征中的一个或多个。在一个示例中，操作包括接收包括生产网络模型的记录工作流的生产网络日志。另一操作包括在模拟网络模型内模拟生产网络日志的生产工作流以生成模拟网络日志。这里，分析模拟网络流可以包括将生产网络日志与模拟网络日志进行比较，并识别生产网络日志与模拟网络日志之间的差异。可选地，生产网络日志是虚拟专用连接流日志和防火墙规则日志之一。

11、在一些配置中，操作还包括确定所提议的参数改变对生产网络模型的影响。这里，确定所提议的参数改变的影响包括确定对网络可达性、防火墙阴影规则预测的防火墙命中率、用户意图规则、安全合规性规则以及资源配额和利用率中的至少一项的影响。

12、在一些示例中，生成模拟网络模型包括通过数据处理硬件将一个或多个提议的参数改变递增地合并到生产网络模型中。在一些实施方式中，操作包括通过数据处理硬件接收生产网络的一个或多个不变参数。在一些配置中，操作包括当参数改变对网络的影响是可接受的时改变网络的配置。

13、本公开的一个或多个实施方式的细节在附图和下面的描述中阐述。其他方面、特征和优点将从描述和附图以及权利要求中显而易见。

技术特征：

1.一种网络配置模拟的方法(500)，所述方法(500)包括：

2.根据权利要求1所述的方法(500)，还包括：

3.根据权利要求2所述的方法(500)，其中，分析所述模拟网络流(362)包括：

4.根据权利要求2或3所述的方法(500)，其中，所述生产网络日志(322)是虚拟专用连接流日志(322a)和防火墙规则日志(322b)中的一个。

5.根据权利要求1至4中的任一项所述的方法(500)，还包括通过所述数据处理硬件(204)确定所述参数改变(84)对所述生产网络模型(354)的影响。

6.根据权利要求5所述的方法(500)，其中，确定所述参数改变(84)的所述影响包括确定对网络可达性、防火墙阴影规则预测的防火墙命中率、用户意图规则、安全合规性规则或资源配额和利用率中的至少一个的影响。

7.根据权利要求1至6中的任一项所述的方法(500)，其中，生成所述模拟网络模型(356)包括通过所述数据处理硬件(204)将所述一个或多个参数改变(84)递增地合并到所述生产网络模型中(354)。

8.根据权利要求1至7中的任一项所述的方法(500)，还包括通过所述数据处理硬件(204)接收所述生产网络模型(354)的一个或多个不变参数(86)。

9.根据权利要求1至8中的任一项所述的方法(500)，还包括当所述参数改变(84)对所述网络(200)的所述影响是可接受的时，通过所述数据处理硬件(204)改变所述网络(200)的配置。

10.一种系统(10)，包括：

11.根据权利要求10所述的系统(10)，其中，所述操作还包括：

12.根据权利要求11所述的系统(10)，其中，分析所述模拟网络流(362)包括：

13.根据权利要求11或12所述的系统(10)，其中，所述生产网络日志(322)是虚拟专用连接流日志(322a)和防火墙规则日志(322b)中的一个。

14.根据权利要求10至13中的任一项所述的系统(10)，其中，所述操作还包括确定所述参数改变(84)对所述生产网络模型(354)的影响。

15.根据权利要求14所述的系统(10)，其中，确定所述参数改变(84)的所述影响包括确定对网络可达性、防火墙阴影规则预测的防火墙命中率、用户意图规则、安全合规性规则或资源配额和利用率中的至少一个的影响。

16.根据权利要求10至15中的任一项所述的系统(10)，其中，生成所述模拟网络模型(356)包括将所述一个或多个参数改变(84)递增地合并到所述生产网络模型中(354)。

17.根据权利要求10至16中的任一项所述的系统(10)，其中，所述操作还包括接收所述生产网络模型(354)的一个或多个不变参数(86)。

18.根据权利要求10至17中的任一项所述的系统(10)，其中，所述操作还包括当所述参数改变(84)对所述网络(200)的所述影响是可接受的时，改变所述网络(200)的配置。

19.一种编码在非暂时性计算机可读存储介质(206)上的计算机程序产品，包括当由数据处理装置(204)执行时使所述数据处理装置(204)执行操作的指令，所述操作包括：

20.根据权利要求19所述的计算机程序产品，其中，所述操作还包括：

21.根据权利要求20所述的计算机程序产品，其中，分析所述模拟网络流(362)包括：

22.根据权利要求20或21所述的计算机程序产品，其中，所述生产网络日志(322)是虚拟专用连接流日志(322a)和防火墙规则日志(322b)中的一个。

23.根据权利要求19至22中的任一项所述的计算机程序产品，其中，所述操作还包括确定所述参数改变(84)对所述生产网络模型(354)的影响。

24.根据权利要求23所述的计算机程序产品，其中，确定所述参数改变(84)的所述影响包括确定对网络可达性、防火墙阴影规则预测的防火墙命中率、用户意图规则、安全合规性规则或资源配额和利用率中的至少一个的影响。

25.根据权利要求19至24中的任一项所述的计算机程序产品，其中，生成所述模拟网络模型(356)包括将所述一个或多个参数改变(84)递增地合并到所述生产网络模型(354)中。

26.根据权利要求19至25中的任一项所述的计算机程序产品，其中，所述操作还包括接收所述生产网络模型(354)的一个或多个不变参数(86)。

27.根据权利要求19至26中的任一项所述的计算机程序产品，其中，所述操作还包括当所述参数改变(84)对所述网络(200)的所述影响是可接受的时，改变所述网络(200)的配置。

技术总结
一种用于模拟网络配置的系统(100)包括数据处理硬件(204)以及与数据处理硬件(204)通信的存储器硬件(206)。存储器硬件(206)存储当在数据处理硬件(204)上执行时使数据处理硬件(204)执行操作的指令。这些操作包括接收网络(200)的生产网络模型(354)的一个或多个参数改变(84)。这些操作还包括生成包括一个或多个参数改变(84)的模拟网络模型(356)。另一操作包括分析模拟网络模型(356)内的模拟网络流(362)。这些操作还包括生成报告(332)。这些操作还可以包括在模拟网络模型(356)内模拟生产网络日志(322)的生产工作流以生成模拟网络日志(366)。

技术研发人员：加尔吉·阿达夫,刘慧,维什哈·古普塔,维卡斯·阿加尔瓦尔,蔡侃,张晓瑜
受保护的技术使用者：谷歌有限责任公司
技术研发日：
技术公布日：2024/1/13