專利名稱:自動化遷移中的網(wǎng)絡(luò)重配置的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及計算機(jī)系統(tǒng),以及計算機(jī)系統(tǒng)服務(wù)技術(shù)和信息技術(shù)(IT)變換任務(wù)�����。
背景技術(shù):
遷移����、鞏固(consolidation)、虛擬化和云化(cloudification)是信息技術(shù)(IT) 變換任務(wù)中的一些任務(wù)���,尤其涉及當(dāng)今時代的成本節(jié)約和綠色數(shù)據(jù)中心�。在本公開中���,這些任務(wù)以及類似的任務(wù)被總稱為“遷移”�����。遷移中的任務(wù)包括發(fā)現(xiàn)依賴性(cbpendency)或親和性(affinity)��,S卩��,什么組件(服務(wù)器����、應(yīng)用��、應(yīng)用模塊�、數(shù)據(jù)庫等)通過網(wǎng)絡(luò)與其他什么組件交互。在將組件遷移到具有不同地址(例如IP地址或在域名服務(wù)的上下文中的域名) 和可能不同的網(wǎng)絡(luò)拓?fù)涞哪繕?biāo)環(huán)境時�����,需要設(shè)置目標(biāo)環(huán)境中的防火墻配置��,以使得所有需要交互的組件仍然可以交互����,但不需要打開太多不必要的通信路徑。例如��,“防火墻重配置” 是指重新配置或設(shè)置目標(biāo)環(huán)境中的防火墻參數(shù)�,使得目標(biāo)環(huán)境中的組件在遷移后仍然可以交互。防火墻重配置目前是手動來做的�,通常甚至不去訪問源環(huán)境中的依賴性的具體表示��。將應(yīng)用遷移到新的網(wǎng)絡(luò)應(yīng)當(dāng)仍然允許交互無縫地發(fā)生�,例如�,使得新的防火墻等允許遷移后的應(yīng)用能像以前那樣運(yùn)行。在缺少“允許”規(guī)則這個意義上的錯誤的防火墻重配置是重要的錯誤來源���,這些錯誤在以后的端對端測試中出現(xiàn)��,并很難識別和糾正�����,由此造成了長期遷移進(jìn)度表和高遷移成本�。由于這些原因�,許多企業(yè)繼續(xù)回避遷移。反之��,在目標(biāo)環(huán)境中制定太多的“允許”規(guī)則可能會將目標(biāo)環(huán)境開放給更多類型的攻擊�����,這比必要的和在源環(huán)境中可能發(fā)生的攻擊會更多��。
發(fā)明內(nèi)容
提供了一種用于自動化遷移中的網(wǎng)絡(luò)重配置的方法和系統(tǒng)�。在一個方面�,該方法可包括基于一個或多個正被遷移的組件的與源環(huán)境相關(guān)的一個或多個網(wǎng)絡(luò)級屬性和與目標(biāo)環(huán)境相關(guān)的一個或多個網(wǎng)絡(luò)級屬性���,確定目標(biāo)環(huán)境的一個或多個網(wǎng)絡(luò)功能中的網(wǎng)絡(luò)重配置需求�����。該方法還可包括將網(wǎng)絡(luò)重配置需求應(yīng)用到目標(biāo)環(huán)境中的一個或多個網(wǎng)絡(luò)功能。在一個方面���,用于遷移中的網(wǎng)絡(luò)重配置的系統(tǒng)可包括模塊���,其可被操作以基于一個或多個正被遷移的組件的與源環(huán)境相關(guān)的一個或多個網(wǎng)絡(luò)級屬性和與目標(biāo)環(huán)境相關(guān)的一個或多個網(wǎng)絡(luò)級屬性,確定目標(biāo)環(huán)境的一個或多個網(wǎng)絡(luò)功能中的網(wǎng)絡(luò)重配置需求�����。該系統(tǒng)也可包括規(guī)則應(yīng)用模塊���,其可被操作以將網(wǎng)絡(luò)重配置需求應(yīng)用到目標(biāo)環(huán)境中的一個或多個網(wǎng)絡(luò)功能���。還可提供計算機(jī)可讀存儲介質(zhì),其存儲可由機(jī)器執(zhí)行以完成此處所述的一個或多個方法的指令的程序��。以下將參考附圖詳細(xì)描述更多的特征以及各種實施例的結(jié)構(gòu)和操作。在附圖中���,類似的標(biāo)號指示相同或功能上類似的元件����。
圖IA和IB示出了一個實施例中的防火墻重配置的概念�。圖2是示出了基于本公開的一個實施例中的防火墻配置分析的防火墻重配置的流程圖。圖3A和;3B示出了本公開的一個實施例中的用于執(zhí)行網(wǎng)絡(luò)和/或防火墻重配置的系統(tǒng)的各功能組件�。圖4A和4B示出了一個實施例中的示例性防火墻配置。圖5示出了 web服務(wù)器如何從源環(huán)境中的其IP地址被遷移到目標(biāo)環(huán)境中的不同 IP地址的例子�����。圖6示出了計算機(jī)系統(tǒng)的例子���,其中可實行或執(zhí)行本公開的系統(tǒng)和方法���。
具體實施例方式公開了一種用于自動執(zhí)行網(wǎng)絡(luò)重配置的方法和系統(tǒng),例如��,修改諸如防火墻相關(guān)參數(shù)的網(wǎng)絡(luò)級參數(shù)��,以重新配置在遷移中和/或在遷移后與組件相關(guān)的防火墻設(shè)置。本公開的防火墻重配置也可以設(shè)置與用于遷移的組件相關(guān)的防火墻參數(shù)���。比如�,如果目標(biāo)環(huán)境是新的數(shù)據(jù)中心�����,則從頭開始配置防火墻�����。在一方面�����,自動發(fā)現(xiàn)用于遷移中涉及的所有組件的網(wǎng)絡(luò)級信息��,且應(yīng)用防火墻重配置�����,使得遷移后的組件發(fā)揮作用并給新的計算環(huán)境提供組件如遷移前的功能����,同時為了安全,允許最小數(shù)量的不必要的開放連接穿過防火墻���。公開的系統(tǒng)和方法可自動提議或甚至默默地設(shè)置新的正確的防火墻配置等�����,而不是留給用戶來發(fā)現(xiàn)和進(jìn)行這種設(shè)置�����。公開的系統(tǒng)和方法可避免這樣的場景�,其中人類用戶或是忽略需要被允許以使得應(yīng)用仍然可以發(fā)揮作用的某些流(flow)���,或是允許太多的流來避免第一個問題���,但由此使得目標(biāo)環(huán)境不那么安全。圖IA和IB示出了一個實施例中的防火墻重配置的概念�。圖IA示出了遷移前的源企業(yè)環(huán)境,其中在機(jī)器&104上運(yùn)行的web服務(wù)器102可由106處的防火墻保護(hù)�����,而在機(jī)器)(2110上運(yùn)行的數(shù)據(jù)服務(wù)器108可由112處的防火墻保護(hù)����。在該源環(huán)境中���,防火墻116和 112被這樣配置,使得客戶機(jī)114能通過106處的防火墻訪問102處的web服務(wù)器���,且102 處的web服務(wù)器能通過112處的防火墻訪問108處的數(shù)據(jù)服務(wù)器��。該附圖也示出了未被遷移的��、或者至少不是在這個時間點被遷移的�����、或者不是被遷移到同一個目標(biāo)環(huán)境的郵件服務(wù)器113�����。這僅是關(guān)于應(yīng)用結(jié)構(gòu)或網(wǎng)絡(luò)結(jié)構(gòu)在目標(biāo)環(huán)境中可以如何變化的一個例子。為了說明的目的����,假設(shè)兩個防火墻都是CISCOtmPIX設(shè)備。圖4A示出了地址和源防火墻配置的例子���。假設(shè)Pixioe是106處的防火墻的主機(jī)名�。該防火墻具有兩個接口, dmz 和 outside����。dmz 接口 142 (ip 地址=192. 168. 1. 0)是安全性較高的接口,而 outside 接口 140(ip地址=209. 165. 201.0)是安全性較低的接口���。私有地址被用于位于dmz接口的后面的�����、102處的web服務(wù)器(ip地址=192. 168. 1. 1��,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)-outside = 209. 165.201. 1)���。由于dmz接口是比outside接口安全性更高的接口,從DMZ發(fā)起的到因特網(wǎng)的任何通信流(traffic)都將是缺省允許的��。但是��,假設(shè)(由于該服務(wù)器可能會從外部被攻擊)到因特網(wǎng)的訪問應(yīng)當(dāng)僅允許來自于服務(wù)器提供的服務(wù)�����。同時假設(shè)未被遷移的郵件服務(wù)器 113 具有地址(ip 地址=192. 168. 1. 3,NAT-outside = 209. 165. 201. 3)���。在這種情況下�,106處的防火墻可被配置如下(部分配置文件)hostname pixl06nameif ethernetO outside securityOnameif ethernetl dmz securitylOOip address outside 209. 165. 201. 1 255. 255. 255. 0ip address dmz 192. 168. 1. 0 255. 255. 255. 0nat (dmz) 1 192. 168. 1. 0 255. 255. 255. 0 0 0global 1 209. 165. 201. 1-209. 165. 201. 254 netmask 255. 255. 255. 0access-list N0_DMZ_0UT permit tcp 192.168.1.1 any eq 80access-list N0_DMZ_0UT permit tcp 192.168.1.1 any eq httpsaccess-list N0_DMZ_0UT permit tcp 192. 168. 1. 3 any eq smtpaccess-list N0_DMZ_0UT deny ip any anyaccess-group N0_DMZ_0UT in interface dmzstatic (dmz, outside) 209. 165. 201. 1 192. 168. 1. 1 netmask255. 255. 255. 255 0 0access-list INTERNET_T0_DMZ permit tcp any 209.165.201.1 eq webaccess-list INTERNET_T0_DMZ permit tcp any 209. 165. 201. 1 eq httpsaccess-list INTERNET_T0_DMZ permit tcp any 209.165.201.3 eq smtpaccess-group INTERNET_T0_DMZ in interface outside該例子包括了兩個訪問列表��。列表INTERNET_T0_DMZ與接口 outside關(guān)聯(lián)(見最后一行)并定義了通過該接口哪些通信流被允許進(jìn)入��。列表N0_DMZ_0UT與接口 dmz關(guān)聯(lián) (見倒數(shù)第6行)并定義了通過該接口哪些通信流被允許進(jìn)入���。允許從客戶機(jī)114到web 服務(wù)器102的正常的未加密的web通信流的行是“access-list INTERNET_T0_DMZ permit tcp any 209. 165. 201. 1 eq web”�����。字段“access-list INTERNET_T0_DMZ”定義了該規(guī)則屬于哪個訪問列表�����。字段“permit”是指這是允許(而不是拒絕)通信流的規(guī)則�。字段“tcp” 是指使用的協(xié)議���。下一字段“any”是指傳入通信流的源IP地址,并表明這可以是任意(因此特別是客戶機(jī)114的)地址��。字段“209. 165.201. 1”是指傳入通信流的目標(biāo)地址,并特指web服務(wù)器102的對外可見地址��。最后一個字段“eq web”是指傳入通信流的目標(biāo)端口��, 這里是符號表示(“web”而不是“80”)����,且意味特別地,到端口 80的通信流被該規(guī)則允許���。注意該訪問列表INTERNET_T0_DMZ不像訪問列表N0_DMZ_0UT那樣需要帶有字段 "deny ip any any”的最終規(guī)則�����,因為最開始兩行中的字段“securityO”和“securitylOO” 定義了較高安全性和較低安全性的概念���,這暗示了對于接口 “outside”來說缺省的 “deny”,因為通信流會從較低網(wǎng)絡(luò)區(qū)進(jìn)入到較高網(wǎng)絡(luò)區(qū)���。以“nat”和“glcAal”開頭的幾行共同定義了網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則���。它們通過ID字段“1”而連接。它們定義了整個外部地址范圍��,從209. 165.201. 1到209. 165. 201. 254,都被轉(zhuǎn)換為從192. 168. 1開始的相應(yīng)dmz地址�����。圖4A僅示出了這些轉(zhuǎn)換的兩個例子���。類似地��,假設(shè)pixl 112是如圖4B所示的112處的防火墻的主機(jī)名�����。該防火墻具有兩個接口����,dmz和inside��。dmz接口 (ip地址=192. 168. 1. 254)是安全性較低的接口�����,
6而inside (ip地址=10. 1. 1. 254)是安全性較高的接口��。私有地址用于位于inside接口后面的 108 處的數(shù)據(jù)服務(wù)器(ip 地址=10. 1. 1. 2,NAT-dmz = 192. 168. 1. 2)��。由于 inside 接口是比dmz接口安全性高的接口�����,從內(nèi)部網(wǎng)絡(luò)發(fā)起到dmz的任何通信流都是被缺省允許的���。112處的防火墻可被配置如下(部分配置文件)hostname pixll2nameif ethernetO dmz securityOnameif ethernetl inside security 100ip address dmz 192. 168. 1. 254 255. 255. 255. 0ip address inside 10. 1. 1. 254 255. 255. 255. 0nat (inside) 1 10.1.1.0 255. 255. 255. 0 0 0global 1 192. 168. 1. 0—192. 168. 1. 254 netmask 255. 255. 255. 0static (inside, dmz) 192. 168. 1. 2 10. 1. 1. 2 netmask 255. 255. 255. 255 0 0access-list DMZ_T0_INSIDE permit tcp any 192. 168. 1.2 eq 50000access-group DMZ_T0_INSIDE in interface dmz這里尤其地,最后的access-list行表示來自任意地址的通信流被允許在端口 50000上進(jìn)入數(shù)據(jù)服務(wù)器(在地址轉(zhuǎn)換前是地址192. 168. 1.幻����,端口 50000在該例子中被假設(shè)為數(shù)據(jù)庫端口。更嚴(yán)格的規(guī)則可以是����,通過用“192. 168. 1. 1”來替換“任意”,僅允許來自web服務(wù)器的此類通信流����。以上規(guī)則是源環(huán)境100中的防火墻規(guī)則。在將web服務(wù)器和數(shù)據(jù)服務(wù)器遷移到如圖IB所示的�����、此處被稱為目標(biāo)環(huán)境的新的環(huán)境時���,本公開的系統(tǒng)和方法可自動發(fā)現(xiàn)防火墻重配置需求并應(yīng)用這些需求�,這樣客戶機(jī) 114可以訪問在目標(biāo)環(huán)境中IM處的機(jī)器上運(yùn)行的web服務(wù)器102,且在IM處的機(jī)器上運(yùn)行的web服務(wù)器102可以訪問在目標(biāo)環(huán)境中120處的機(jī)器上運(yùn)行的數(shù)據(jù)服務(wù)器108�����。在一方面�,自動發(fā)現(xiàn)技術(shù)可被用來識別遷移前源環(huán)境100中的主機(jī)和防火墻配置,這些配置需要在適當(dāng)變化后被復(fù)制在遷移后的目標(biāo)環(huán)境199中��。所執(zhí)行的自動分析可包括(例如�����,通過分析諸如以上所示的防火墻配置來)分析防火墻配置����,并且例如,通過發(fā)出諸如netstat的狀態(tài)命令以檢查運(yùn)行時或系統(tǒng)狀態(tài)���,來分析源環(huán)境主機(jī)處的網(wǎng)絡(luò)狀態(tài)信息����。自動分析還可包括網(wǎng)絡(luò)流分析、網(wǎng)絡(luò)日志分析����、分析中間件和應(yīng)用配置中的配置依賴性,以及直接在代碼或程序等中分析依賴性���。例如,對于在web服務(wù)器102上執(zhí)行的netstat 命令的分析可以表明192. 168. 1. 1 :5678(應(yīng)用端口 )和192. 168. 1. 2 :50000 (數(shù)據(jù)服務(wù)器 108上的DB2端口 )之間存在連通性����。例如,如果在配置的依賴性中檢測到主機(jī)名��,例如��,從web服務(wù)器102到數(shù)據(jù)服務(wù)器 108 之間的連接是通過配置"an HIS server on host www. example, com links to database EXDATA at port 50000 on server data, example, com��,����,(主機(jī)www. example, com 上的HIS服務(wù)器連接到服務(wù)器data, example, com上的端口 50000處的數(shù)據(jù)庫EXDATA)而檢測到的,典型地���,源端口(上述例子中的5678)由于未被指定而不會被獲知����。而且,每個服務(wù)器可能具有若干IP地址�����。在這種情況下��,此時IP地址不需要被轉(zhuǎn)換���,而僅僅是后來被轉(zhuǎn)換以用于設(shè)置合適的目標(biāo)規(guī)則���。
注意,例如由于組織困難��,并不總是能獲得源環(huán)境的確切的防火墻規(guī)則���。比如�����,網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)可能不包含在一個組織中�,而且很難從網(wǎng)絡(luò)提供商處獲得詳細(xì)的防火墻規(guī)則��。 即使在可獲得防火墻配置的地方,分析如上所述的附加數(shù)據(jù)資源也是有用的����,尤其是,如果由于網(wǎng)絡(luò)結(jié)構(gòu)的變化一些應(yīng)用未在源環(huán)境中被防火墻分離���、但在目標(biāo)環(huán)境中被防火墻分離的話�。比如�����,一些應(yīng)用可被移到遠(yuǎn)程數(shù)據(jù)中心或云�,而其他的則仍然離業(yè)務(wù)運(yùn)作更接近����。分析除了已知防火墻規(guī)則之外的附加數(shù)據(jù)的另一個理由是,如果防火墻規(guī)則包括具有“any” 字段的寬泛的“permit”規(guī)則��,而例如由于與以前相比同一個區(qū)域中有較少的應(yīng)用或甚至僅僅是為了增強(qiáng)安全性��,在目標(biāo)環(huán)境中想要更精確的規(guī)則�。最后的這幾個例子在實踐中可能需要人類專家檢查。圖2是示出了基于本公開的實施例中的防火墻配置分析的防火墻重配置的流程圖���。典型地�����,從發(fā)現(xiàn)步驟201開始��,其結(jié)果是源防火墻配置220或源組件連通性222即活動的或配置好的連接中一個或二者���?����?蓪⒆罴舛说姆椒ㄓ糜谠摬襟E��,例如�,CISCOtmPIX 防火墻上的“sh conf”命令�����,以獲得防火墻配置��,以及使用通常的發(fā)現(xiàn)工具�����,例如 IBM Tivoli Application D印endency Discovery Manager (應(yīng)用依賴性發(fā)現(xiàn)管理器)禾口 IBM Research Galapagos 工具(Kostas Magoutis, Murthy Devarakonda, Nikolai Joukov,以及Norbert G. Vogl =Galapagos 分布式系統(tǒng)中的端對端應(yīng)用存儲關(guān)系的模型驅(qū)動發(fā)現(xiàn),IBM研究與開發(fā)雜志����,2008年第52卷第4/5期)。步驟202涉及識別用于遷移組件的相關(guān)源防火墻規(guī)則的集合R��。給定源防火墻配置�,R是與正被遷移到遷移后環(huán)境的至少一個組件相關(guān)的其規(guī)則的子組。正被遷移的組件可在用于遷移的安置計劃(placement plan)2M中給出���。在上述例子中�����,集合R將是確保從客戶機(jī)114通過web服務(wù)器102到數(shù)據(jù)服務(wù)器108的請求仍然能以端對端的方式被滿足的規(guī)則,以及拒絕許多其他到這些服務(wù)器和從這些服務(wù)器來的通信流的規(guī)則��。集合R的識別是通過發(fā)現(xiàn)包括一個或多個被遷移服務(wù)器的ip地址的所有防火墻配置規(guī)則完成的(即��,上述例子中從“access-list”開始的行)�。“包括”是指在防火墻的相應(yīng)接口上計算的地址范圍(即����,具體的地址����、任何地址����、或具有通配符的地址, 例如192. 168. 1. * )包含該服務(wù)器的地址(例如��,192. 168. 1. *包括192. 168. 1. O禾口 192. 168. 1. 1等)���。在上述防火墻pixl06的例子中�,與遷移相關(guān)的防火墻配置規(guī)則的子集被加粗突出顯示����。注意,由于防火墻Pixioe保護(hù)的郵件服務(wù)器(smtp服務(wù)器)未遷移����,相應(yīng)的防火墻規(guī)則沒有被突出顯示,且在遷移后的環(huán)境中不相關(guān)�。如果也知道服務(wù)器實際上在什么端口監(jiān)聽(listen),可執(zhí)行額外的檢查以確定規(guī)則是否包括這些端口中的至少一個���。在這個例子中�����,最開始五行實際上沒有被遷移(新的防火墻可能有不同的名稱���、不同的接口名稱和不同的IP地址)���,但需要用來解釋以下的幾行。本公開的方法也可以發(fā)現(xiàn)網(wǎng)絡(luò)流����,比如,實際發(fā)生的網(wǎng)絡(luò)流或是被配置的網(wǎng)絡(luò)流�����。 如果本公開的方法發(fā)現(xiàn)這種網(wǎng)絡(luò)流而不是防火墻配置��,則所有這些流的集合變成與遷移相關(guān)的規(guī)則集R��。發(fā)現(xiàn)步驟201可從分析將可能被遷移的源組件開始���。另外,典型地可發(fā)現(xiàn)組件間的通信流可能會流經(jīng)的所有防火墻和路由器�����。在一方面,從netstat和/或配置的依賴性分析獲得的信息可以是足夠的����,在這種情況下,不需要發(fā)現(xiàn)組件間的通信流可能會流經(jīng)的所有防火墻和路由器�。例如,如果之前一些組件被兩個防火墻分割(不同的數(shù)據(jù)中心)并在此后僅被一個防火墻分割(移入具有一個防火墻的數(shù)據(jù)中心)����,或者反之,則比如�����,可以執(zhí)行附加發(fā)現(xiàn)以便確定信息����,例如從哪個源防火墻獲取用于哪個目標(biāo)防火墻的哪個組件的
fn息ο如果確定僅遷移發(fā)現(xiàn)的組件的一個子集(例如,因為有波次計劃(wave plan)且當(dāng)前正在遷移一個波次)�,則所發(fā)現(xiàn)的連接會局限于兩個組件中的一個被實際遷移的那些連接。簡言之���,波次計劃是指把相關(guān)的組件組合在一起���,這樣它們可以被一起遷移并在目標(biāo)環(huán)境中一起被測試�����。在204���,使用安置計劃。安置計劃說明了從源環(huán)境100到目標(biāo)環(huán)境199名稱或地址是如何改變的��。換句話說����,安置計劃簡短地描述了組件將被放置在目標(biāo)環(huán)境中的何處??墒褂檬謩雍妥詣訖C(jī)制二者來得出遷移中的安置計劃。表 權(quán)利要求
1.一種用于自動化遷移中的網(wǎng)絡(luò)重配置的方法�,包括基于一個或多個正被遷移的組件的與源環(huán)境相關(guān)的一個或多個網(wǎng)絡(luò)級的屬性和與目標(biāo)環(huán)境相關(guān)的一個或多個網(wǎng)絡(luò)級的屬性,使用處理器確定目標(biāo)環(huán)境的一個或多個網(wǎng)絡(luò)功能中的網(wǎng)絡(luò)重配置需求�����;以及將所述網(wǎng)絡(luò)重配置需求應(yīng)用到目標(biāo)環(huán)境中的一個或多個網(wǎng)絡(luò)功能中�����。
2.如權(quán)利要求1所述的方法�,還包括使用處理器自動發(fā)現(xiàn)與一個或多個正被遷移的組件的源環(huán)境相關(guān)的一個或多個網(wǎng)絡(luò)級的屬性。
3.如權(quán)利要求2所述的方法�,其中所述發(fā)現(xiàn)與源環(huán)境相關(guān)的一個或多個網(wǎng)絡(luò)級的屬性包括以下各項中的一個或多個進(jìn)行與源環(huán)境相關(guān)的防火墻配置文件的分析;或觀察源環(huán)境處的運(yùn)行時網(wǎng)絡(luò)流���;或分析在源環(huán)境上運(yùn)行的一個或多個服務(wù)器處的配置依賴性�����;或分析防火墻日志文件���;或以上的組合。
4.如權(quán)利要求1所述的方法�,其中,網(wǎng)絡(luò)重配置需求包括防火墻重配置需求����。
5.如權(quán)利要求1所述的方法,其中確定網(wǎng)絡(luò)重配置需求包括識別與正被遷移的一個或多個組件相關(guān)的源環(huán)境的網(wǎng)絡(luò)配置中的一個或多個規(guī)則���; 將該一個或多個規(guī)則轉(zhuǎn)換為包括目標(biāo)環(huán)境的網(wǎng)絡(luò)配置�����;以及將轉(zhuǎn)換的一個或多個規(guī)則應(yīng)用到目標(biāo)環(huán)境中��。
6.如權(quán)利要求5所述的方法��,其中源環(huán)境的網(wǎng)絡(luò)配置包括源環(huán)境的防火墻配置���,且目標(biāo)環(huán)境的網(wǎng)絡(luò)配置包括目標(biāo)環(huán)境的防火墻配置��,且其中應(yīng)用的步驟包括修改目標(biāo)環(huán)境的防火墻接口��。
7.如權(quán)利要求6所述的方法����,還包括修改源環(huán)境的防火墻配置以刪除與一個或多個組件相關(guān)的一個或多個規(guī)則���。
8.如權(quán)利要求5所述的方法����,其中將轉(zhuǎn)換的一個或多個規(guī)則應(yīng)用到目標(biāo)環(huán)境中包括合并轉(zhuǎn)換的一個或多個規(guī)則與目標(biāo)環(huán)境中的現(xiàn)有規(guī)則��。
9.如權(quán)利要求1所述的方法�,其中應(yīng)用網(wǎng)絡(luò)重配置需求包括對目標(biāo)環(huán)境的網(wǎng)絡(luò)配置文件進(jìn)行更改��。
10.如權(quán)利要求1所述的方法���,還包括對動態(tài)DNS進(jìn)行更改����。
11.一種用于遷移中的網(wǎng)絡(luò)重配置的系統(tǒng),包括 處理器�����;模塊��,其可操作以基于一個或多個正被遷移的組件的與源環(huán)境相關(guān)的一個或多個網(wǎng)絡(luò)級的屬性和與目標(biāo)環(huán)境相關(guān)的一個或多個網(wǎng)絡(luò)級的屬性��,確定目標(biāo)環(huán)境的一個或多個網(wǎng)絡(luò)功能中的網(wǎng)絡(luò)重配置需求����;以及規(guī)則應(yīng)用模塊,其可操作以將所述網(wǎng)絡(luò)重配置需求應(yīng)用到目標(biāo)環(huán)境中的一個或多個網(wǎng)絡(luò)功能中�。
12.如權(quán)利要求11所述的系統(tǒng),還包括發(fā)現(xiàn)模塊����,可操作以發(fā)現(xiàn)與源環(huán)境相關(guān)的一個或多個網(wǎng)絡(luò)級的屬性�。
13.如權(quán)利要求11所述的系統(tǒng)���,其中所述模塊可操作以識別與一個或多個正被遷移的組件相關(guān)的源環(huán)境的網(wǎng)絡(luò)配置中的一個或多個規(guī)則�,且所述系統(tǒng)還包括轉(zhuǎn)換模塊�,其可操作以將一個或多個規(guī)則轉(zhuǎn)換為包括目標(biāo)環(huán)境的網(wǎng)絡(luò)配置。
14.如權(quán)利要求13所述的系統(tǒng)��,其中��,所述規(guī)則應(yīng)用模塊通過包括轉(zhuǎn)換的一個或多個規(guī)則來修改目標(biāo)環(huán)境的網(wǎng)絡(luò)配置�。
15.如權(quán)利要求14所述的系統(tǒng),其中目標(biāo)環(huán)境的網(wǎng)絡(luò)配置包括防火墻配置��。
16.如權(quán)利要求11所述的系統(tǒng)�����,還包括用于自動發(fā)現(xiàn)一個或多個正被遷移的組件的與目標(biāo)環(huán)境相關(guān)的一個或多個網(wǎng)絡(luò)級屬性的模塊��。
17.如權(quán)利要求1所述的方法�����,還包括使用處理器自動發(fā)現(xiàn)一個或多個正被遷移的組件的與目標(biāo)環(huán)境相關(guān)的一個或多個網(wǎng)絡(luò)級屬性�。
18.如權(quán)利要求17所述的方法���,其中發(fā)現(xiàn)與目標(biāo)環(huán)境相關(guān)的一個或多個網(wǎng)絡(luò)級屬性包括進(jìn)行與目標(biāo)環(huán)境相關(guān)的防火墻配置文件的分析。
全文摘要
自動化遷移中的網(wǎng)絡(luò)重配置例如防火墻重配置�����,可包括基于發(fā)現(xiàn)確定目標(biāo)環(huán)境的一個或多個網(wǎng)絡(luò)功能中的網(wǎng)絡(luò)重配置需求�����;以及將所述網(wǎng)絡(luò)重配置需求應(yīng)用到目標(biāo)環(huán)境中的一個或多個網(wǎng)絡(luò)功能���。
文檔編號H04L12/24GK102271053SQ20111013917
公開日2011年12月7日 申請日期2011年5月26日 優(yōu)先權(quán)日2010年6月3日
發(fā)明者B·M·普費(fèi)茨曼, H·V·拉馬薩米, K·巴塔查里亞, N·A·尤科夫 申請人:國際商業(yè)機(jī)器公司