改变影响模拟分析的制作方法

1.本公开涉及云网络中的改变影响模拟分析。


背景技术：

2.虚拟私有云(vpc)是在公共云环境内分配的共享计算资源的按需可配置池。vpc为用户提供与其他云用户的隔离。vpc可以执行一个或多个虚拟机(vm)，这些虚拟机可以通过虚拟专用网络(vpn)与用户的本地网络或其他远程资源进行通信。由于vpc的潜在规模和复杂性(其可能包括任意数量的vm、网络网关、负载均衡器等)，通常需要大量网络配置来操作和维护vpc。


技术实现要素：

3.本公开的一个方面提供了一种网络改变模拟的方法。该方法包括在数据处理硬件处接收网络的生产网络模型的一个或多个参数改变。该方法还包括通过数据处理硬件生成包括一个或多个参数改变的模拟网络模型。另外，该方法包括通过数据处理硬件分析模拟网络模型内的模拟网络流，并通过数据处理硬件生成包括参数改变对网络的影响的报告。
4.本公开的这一方面可以包括以下可选特征中的一个或多个。在一些示例中，该方法还包括在数据处理硬件处接收包括生产网络模型的记录工作流的生产网络日志，并且通过数据处理硬件在模拟网络模型内模拟生产网络日志的生产工作流以生成模拟网络日志。在一些示例中，分析模拟网络流包括：通过数据处理硬件将生产网络日志与模拟网络日志进行比较，以及通过数据处理硬件识别生产网络日志与模拟网络日志之间的差异。可选地，生产网络日志是虚拟专用连接流日志和防火墙规则日志之一。
5.在一些示例中，该方法可以包括通过数据处理硬件确定所提议的参数改变对生产网络模型的影响。这里，该方法可以包括确定所提议的参数改变的影响包括对网络可达性、防火墙阴影规则预测的防火墙命中率、用户意图规则、安全合规性规则以及资源配额和利用率中的至少一项的影响。
6.在一些配置中，生成模拟网络模型包括通过数据处理硬件将一个或多个提议的参数改变递增地合并到生产网络模型中。在一些示例中，该方法包括通过数据处理硬件接收生产网络的一个或多个不变参数。该方法还可以包括当参数改变对网络的影响是可接受的时，通过数据处理硬件改变网络的配置。
7.本公开的另一方面提供了一种系统。该系统包括数据处理硬件以及与数据处理硬件通信的存储器硬件。存储器硬件存储当在数据处理硬件上执行时使数据处理硬件执行操作的指令。这些操作包括接收网络的生产网络模型的一个或多个参数改变。这些操作还包括生成包括一个或多个参数改变的模拟网络模型。另一操作包括分析模拟网络模型内的模拟网络流。这些操作还包括生成包括参数改变对网络的影响的报告。
8.本公开的这一方面可以包括以下可选特征中的一个或多个。在一个示例中，该操作包括接收包括生产网络模型的记录工作流的生产网络日志。另一操作包括在模拟网络模
型内模拟生产网络日志的生产工作流以生成模拟网络日志。这里，分析模拟网络流可以包括将生产网络日志与模拟网络日志进行比较，并识别生产网络日志与模拟网络日志之间的差异。可选地，生产网络日志是虚拟专用连接流日志和防火墙规则日志之一。
9.在一些配置中，操作还包括确定所提议的参数改变对生产网络模型的影响。这里，确定所提议的参数改变的影响包括确定对网络可达性、防火墙阴影规则预测的防火墙命中率、用户意图规则、安全合规性规则以及资源配额和利用率中的至少一项的影响。
10.在一些示例中，生成模拟网络模型包括通过数据处理硬件将一个或多个提议的参数改变递增地合并到生产网络模型中。在一些实施方式中，操作包括通过数据处理硬件接收生产网络的一个或多个不变参数。在一些配置中，操作包括当参数改变对网络的影响是可接受的时改变网络的配置。
11.本公开的另一个方面提供了一种编码在非暂时性计算机可读存储介质上的计算机程序产品，包括当由数据处理装置执行时使数据处理装置执行操作的指令。这些操作包括接收网络的生产网络模型的一个或多个参数改变。另一操作包括生成包括一个或多个参数改变的模拟网络模型。这些操作包括接收网络的生产网络模型的一个或多个参数改变。这些操作还包括生成包括一个或多个参数改变的模拟网络模型。另一操作包括分析模拟网络模型内的模拟网络流。这些操作还包括生成包括参数改变对网络的影响的报告。
12.本公开的这一方面可以包括以下可选特征中的一个或多个。在一个示例中，操作包括接收包括生产网络模型的记录工作流的生产网络日志。另一操作包括在模拟网络模型内模拟生产网络日志的生产工作流以生成模拟网络日志。这里，分析模拟网络流可以包括将生产网络日志与模拟网络日志进行比较，并识别生产网络日志与模拟网络日志之间的差异。可选地，生产网络日志是虚拟专用连接流日志和防火墙规则日志之一。
13.在一些配置中，操作还包括确定所提议的参数改变对生产网络模型的影响。这里，确定所提议的参数改变的影响包括确定对网络可达性、防火墙阴影规则预测的防火墙命中率、用户意图规则、安全合规性规则以及资源配额和利用率中的至少一项的影响。
14.在一些示例中，生成模拟网络模型包括通过数据处理硬件将一个或多个提议的参数改变递增地合并到生产网络模型中。在一些实施方式中，操作包括通过数据处理硬件接收生产网络的一个或多个不变参数。在一些配置中，操作包括当参数改变对网络的影响是可接受的时改变网络的配置。
15.本公开的一个或多个实施方式的细节在附图和下面的描述中阐述。其他方面、特征和优点将从描述和附图以及权利要求中显而易见。
附图说明
16.图1是用于在云网络中执行改变影响模拟分析的示例系统的示意图。
17.图2是图1的系统的虚拟机的示例组件的示意图。
18.图3是用于使用图1系统的网络改变模拟器的示例工作流的流程图。
19.图4是执行改变影响模拟分析的方法的操作的示例性布置的流程图。
20.图5是可以用于实现本文描述的系统和方法的示例计算设备的示意图。
21.各个附图中相同的附图标记指示相同的元件。
250可以被称为“实例”或“vm实例”。在一些示例中，各种操作系统的多个实例可以共享虚拟化资源。例如，操作系统的第一vm 250、操作系统的第二vm 250和操作系统的第三vm 250都可以在单个物理x86机器上运行。
29.vm层240包括一个或多个虚拟机250。分布式系统200使用户12能够按需启动vm 250。vm 250模拟真实的计算机系统并且基于真实的计算机系统或假设的计算机系统的计算机架构和功能来操作，这可能涉及专门的硬件、软件或其组合。在一些示例中，分布式系统200在启动一个或多个vm 250之前授权和认证用户12。软件的实例，或简称为实例，是指托管在分布式系统200的数据处理硬件204上(在其上执行)的vm 250。
30.每个vm 250可以包括一个或多个虚拟中央处理单元(vcpu)252(“虚拟处理器”)。在所示的示例中，第一虚拟机250a包括一个或多个虚拟处理器252的第一组252a，第二虚拟机250b包括一个或多个虚拟处理器252的第二组252b。虽然第二组252b被示为仅包括一个虚拟处理器252，但是任何数量的虚拟处理器252都是可能的。每个虚拟处理器252模拟一个或多个物理处理器204。例如，一个或多个虚拟处理器252的第一组252a模拟一个或多个物理处理器204的第一组204a，一个或多个虚拟处理器252的第二组252b模拟一个或多个物理处理器204的第二组204b。应用层260包括可以在虚拟机250上执行的软件资源110s、110sa、110sb(软件应用)。
31.通常，每个软件实例(例如，虚拟机250)包括至少一个虚拟存储设备262，其为物理存储器硬件206上的服务提供易失性和非易失性存储容量。例如，物理存储器硬件206上的存储容量可以包括：永久性磁盘(pd)，永久性磁盘(pd)跨存储器硬件206的若干物理磁盘(例如，存储器区域620(图9))为用户12存储数据；或者随机存取存储器(ram)，以提供易失性存储器。更具体地，对应的vm 250的每个虚拟存储设备262将数据以字节或比特的序列(块)移动到存储器硬件206上的相关联的物理块存储卷v以提供非易失性存储。因此，对应vm实例250的虚拟存储设备262提供映射到存储器硬件206上的对应物理块存储卷v的存储容量。在一些示例中，虚拟存储设备262支持对存储器硬件206上的数据的随机存取并且通常使用缓冲的i/o。示例包括硬盘、cd-rom驱动器和闪存驱动器。类似地，物理存储器硬件206的易失性存储器(例如，ram)的部分可以跨虚拟存储设备262划分。
32.在访客操作系统212g内驻留了访客内核214g。内核是一种计算机程序，它是操作系统的核心，具有对os的完全访问和控制。也就是说，内核是应用110s与主机的硬件资源110h之间的中介。大多数现代计算系统将虚拟存储器分离为受保护的内核空间和用户空间216g。内核通常保留在受保护的内核空间内的易失性存储器中，并与用户空间216g隔离。为了提高安全性和可靠性，应用110s和其他软件服务通常在访客用户空间216g中执行，并且缺乏与受保护的内核空间交互所必需的特权。
33.继续参考图1，云网络200还可以执行vpc智能系统300，该系统提供用于监视和管理vpc 208的不同模块。如图1中大体所示，网络模拟系统300包括：网络监视器310，其被配置为监视vpc 208的健康、安全和操作；网络日志记录器320，其被配置为记录vpc 208内的业务流和防火墙事件；以及网络改变模拟器330，其可操作以识别提议的改变84对vpc 208的网络参数82的影响。网络改变模拟器330分析对云网络200的一个或多个网络参数82的提议的改变80是否将影响云网络200的性能。使用该分析，用户12然后可以决定在实际实施到云网络200中之前是接受、拒绝还是修改提议的改变84。
34.网络监视器310可以被合并在改变分析系统304内或作为网络模拟系统300的独立模块。网络监视器310可操作以评估vpc 208的总体健康。例如，网络监视器310可以进行配置检查，识别网络故障和断开的连接，监视vpc 208内的资源利用率和配额，在vpc 208内进行ip地址重叠检查，和/或识别由于网络健康不佳而导致的资源容量减少。网络监视器310还可以监视vpc 208的防火墙规则和防火墙命中以识别关于vpc 208的安全的潜在问题。网络监视器310还可以被配置为监视vpc 208以识别vpc 208的元件(诸如子网、防火墙和负载均衡器)是否未得到充分利用。当被包括时，网络监视器310可以被配置为基于vpc 208的监视来生成包括参数改变84的建议的自动改变请求80b。
35.网络改变模拟器330接收或获得改变请求80、80a、80b，该改变请求包括对云网络200的网络参数82的提议的改变84。可以改变的网络参数82的示例包括(i)添加或删除防火墙规则，(ii)添加或删除vpc对等互联，(iii)添加或删除ip地址块、vm 250、子网和/或负载均衡器，和/或(iv)添加或减少vpn隧道、bb掩码、zakim端点等。网络改变模拟器330可以通过用户设备20直接从用户12接收或获得包括参数改变84的改变请求80、80a。附加地或备选地，网络改变模拟器330可以接收或获得包括由网络模拟系统300的网络监视器310推荐的参数改变84的改变请求80、80b。除了改变请求80之外，网络改变模拟器330还从网络监视器310接收或提取一个或多个不变参数86。不变参数86可以包括由云网络200的管理员或服务提供商或由用户12指定的安全合规性规则。不变参数86包括不能通过改变请求80修改的网络参数。
36.除了获得改变请求80和不变参数86之外，网络改变模拟器330还检索与云网络200的当前或先前配置(其可以被称为生产配置)相关联的一个或多个网络日志322。网络日志322可以包括vpc流日志322、322a和/或防火墙日志322、322b。vpc流日志322a包括从每个vm 250发送和由每个vm 250接收的样本网络流的记录，而防火墙日志322b包括对应于允许或拒绝流量的特定防火墙规则的每个实例的连接记录。防火墙日志322b的连接记录包含源和目的地ip地址、协议和端口、日期和时间、以及对应用于允许或拒绝的流量的特定防火墙规则的引用。
37.网络改变模拟器330包括监视和管理网络改变模拟器330的活动的模拟工作流引擎340。模拟工作流引擎340发送和接收网络模拟系统300和云环境200内的模拟信息。模拟工作流引擎340还将模拟任务指配给网络改变模拟器330的其他模块350、360、370，如以下段落中所讨论的。例如，模拟工作流引擎340可以从用户设备20或网络监视器310接收改变请求80，然后管理网络改变模拟器330内的操作以确定和报告改变请求80的潜在影响。
38.网络改变模拟器330的模块350之一包括网络建模器350，其可操作以基于改变请求80之一生成模拟网络模型356。网络建模器350以表示vpc 208的当前生产配置的生产网络模型354开始。网络建模器350然后通过递增地合并改变请求80中指定的参数改变84来生成模拟网络模型356。因此，模拟网络模型356包括合并了参数改变84的vpc 208的一个或多个图。
39.网络改变模拟器330的另一个模块包括日志重放器360，其通过重放从网络日志记录器320获得的网络日志322之一来在模拟网络模型356内执行模拟网络流362。提醒一下，从网络日志记录器获得的日志322包括由网络智能系统270为云网络200的生产配置生成的vpc日志322a和防火墙规则日志322b。因此，模型日志重放器360使用vpc日志322a和防火墙
规则日志322b以基于模拟网络模型356模拟将在云网络200内发生的工作流。
40.日志重放器360在执行网络日志322中提供的示例工作流时分析模拟网络模型356以确定改变84将对vpc 208的性能度量产生的影响。日志重放器360分析并报告与模拟网络模型356相关联的多个性能度量。例如，日志重放器360分析参数改变84将对vpc 208内的可达性产生的影响。这里，日志重放器360识别改变是否正在打开先前被阻止的ip范围和/或vm 250之间的可达性，或者替代地，断开先前开放的ip范围和/或vm 250之间的可达性。日志重放器360可以基于由用户指定的可达性意图来解读对可达性的影响。
41.日志重放器360还分析和报告参数改变84对防火墙规则关系产生的影响。例如，日志重放器360分析参数改变84是否导致额外的或消除的防火墙阴影。日志重放器360还识别防火墙最优性和/或防火墙安全边界是否发生改变。对于防火墙最优性，日志重放器360分析并报告模拟网络模型356是否包括额外的防火墙阴影关系，这导致vpc 208的防火墙更冗长且更不佳，或者防火墙阴影关系是否已经被消除，从而使防火墙更优化。关于防火墙安全边界，日志重放器360分析并报告参数改变84是否导致安全边界被打开或收紧。日志重放器360还可以分析并报告模拟网络模型356的预测防火墙命中率。
42.日志重放器360还可以分析模拟网络模型356是否对由用户12指定的网络意图产生影响。例如，用户12可以最初指定vpc 208的意图是进行或支持特定的业务功能(例如，配置蜂窝网络、管理产品物流)。此处，网络评估器360分析合并到模拟网络模型356中的改变84是否将遵守或违反vpc 208的意图规则。类似地，日志重放器360分析并报告模拟网络模型356是否对vpc 208的网络合规性规则产生影响。日志重放器360将模拟网络模型356上的模拟工作流的结果存储为模拟日志366。
43.日志重放器360记录在模拟网络模型356内重放生产日志322的结果作为模拟日志366并且将模拟日志366存储在改变分析系统304上。模拟工作流引擎340然后将模拟日志366与对应的生产日志322进行比较以识别生产网络模型354(即，当前vpc网络208)与模拟网络模型356(即，包括参数改变84的vpc网络208)之间的差异。
44.除了使用网络日志322中提供的样本工作流执行模拟网络模型356的动态分析的日志重放器360之外，网络改变模拟器330的改变分析系统304还可以包括网络分析器370，其执行模拟网络模型356的静态分析。这里，网络分析器370被配置为在模拟网络模型356上执行验证测试以识别关于提议的参数改变84的潜在问题。例如，网络分析器370可以执行参数改变84与生产网络参数82的比较(例如，静态分析、使用不变量的配置检查等)以突出生产网络模型354与模拟网络模型356之间的差异。在一些示例中，网络监视器310和网络分析器370集成在相同的模块内以执行监视和分析功能两者。
45.网络分析器370可以可操作以评估网络模拟模型356的总体健康。例如，网络分析器370可以进行配置检查，识别未使用的路由和断开的连接，监视网络模拟模型356内的资源利用率和配额，在网络模拟模型356内进行ip地址重叠检查，和/或识别由于网络健康不佳而导致的资源容量减少。网络分析器370还可以分析网络模拟模型356的防火墙规则和防火墙命中以识别关于网络模拟模型356的安全的潜在问题。附加地或备选地，网络分析器370可以分析模拟网络模型356以识别网络模拟模型356的元件(诸如子网、防火墙和负载均衡器)是否重叠和/或未充分利用。
46.基于在日志重放器360处的动态分析和/或在网络分析器370处的静态分析的结
果，网络改变模拟器330可以生成改变影响报告332，并将改变影响报告332经由用户设备20呈现给用户12。如果实施参数改变84，改变影响报告332识别对vpc 208的网络可达性、防火墙、用户意图规则、安全合规性规则以及资源配额和利用率的影响。改变影响报告332在被用户设备20接收时使用户设备20将改变影响报告332呈现给用户12以评估未决参数改变84是应该被接受、拒绝还是修改。如图3所示和稍后描述的，用户12可以使用改变影响报告332来决定是接受、拒绝还是编辑参数改变84。
47.现在参考图3，为经由用户设备20与网络改变模拟器330对接的用户12提供示例工作流400。在块402处，用户12或网络监视器310生成包括参数改变84的改变请求80。在块404处，网络分析器370分析参数改变84并生成静态分析影响报告332、332a，其识别参数改变84将对vpc网络208产生的影响。静态分析影响报告332a可以识别对网络可达性、防火墙阴影规则和预测命中率、用户意图规则、安全合规性规则以及资源配额和利用率的影响。
48.网络改变模拟器330向用户设备20提供静态分析影响报告332a，其中，在决定块406处，用户12提供关于未决参数改变84的影响对用户12来说是否是可接受的指令。在静态分析影响报告332a指示参数改变84将对vpc 208没有影响或影响最小的情况下，用户12可以决定未决参数改变84是可接受的并且进行到块408以接受未决参数改变84。相反，静态分析影响报告332a可以清楚地指示参数改变84将导致vpc 208的故障。这里，用户12可以响应未决参数改变84是不可接受的并且进行到决定块410以决定是否应该编辑参数改变84。如果用户12决定不编辑参数改变84，则工作流进行到块412并且参数改变84被拒绝。
49.当参数改变84的影响在决定块406处不是明确可接受的或者是不可接受的时，用户12可以指示网络改变模拟器330在块414处执行日志重放。如上所述，通过在模拟网络模型356内重放生产日志322来在日志重放器360上进行日志重放414以生成模拟日志366。工作流然后前进到块416，其中，将模拟日志366与生产日志322进行比较以识别生产网络模型354(即，当前vpc 208)与模拟网络模型356(即，提议的vpc 208)之间的差异。网络改变模拟器330然后基于生产日志322与模拟日志366之间的差异来生成详细说明生产网络模型354与模拟网络模型356之间差异的动态分析影响报告332b。
50.在决定块418处，用户12检查动态分析影响报告332b以确定生产网络模型354与模拟网络模型356之间的差异是否是可接受的。如果差异是可接受的，则工作流前进到块408并且参数改变84被合并408到vpc 208中。如果差异是不可接受的，则工作流进行到决定块410，其中，用户12决定是否编辑参数改变84。如果用户12不想要编辑参数改变84(即，在块410处的回答为“否”)，则参数改变在块412处被拒绝。然而，如果用户12决定编辑参数改变84，则工作流进行到块420，其中，用户12可以修改参数改变84中的一个或多个。当参数改变84在块420被编辑时，工作流返回到块402并且发起包括编辑的参数改变84的另一改变请求80。因此，工作流400重复直到参数改变84在块408处被接受或在块412处被拒绝，从而允许用户12迭代地修改、模拟和审查对vpc 208的参数改变84而不中断生产vpc 208。
51.图4是执行改变影响模拟分析的方法500的操作的示例性布置的流程图。方法500包括，在操作502处，在数据处理硬件204接收网络208的生产网络模型354的一个或多个参数改变84。在操作504处，方法500包括通过数据处理硬件204生成包括一个或多个参数改变84的模拟网络模型356。在操作506处，方法500包括在数据处理硬件204处接收生产网络模型354的生产网络日志322。在操作508处，方法500包括通过数据处理硬件204在模拟网络模
型356内模拟生产网络日志322的执行以生成模拟网络日志366。方法500还包括：在操作510处，通过数据处理硬件分析204分析模拟网络日志366；以及在操作512处，通过数据处理硬件生成包括参数改变84对网络208的影响的网络影响报告332。
52.图5是可以用于实现本文档中描述的系统和方法的示例计算设备600的示意图。计算设备600旨在表示各种形式的数字计算机，诸如膝上型计算机、台式计算机、工作站、个人数字助理、服务器、刀片服务器、大型机和其他适当的计算机。此处所示的组件、它们的连接和关系以及它们的功能仅意味着是示例性的，并不意味着限制本文档中描述和/或要求保护的发明的实现方式。
53.计算设备600包括处理器610、存储器620、存储设备630、连接到存储器620和高速扩展端口650的高速接口/控制器640、以及连接到低速总线670和存储设备630的低速接口/控制器660。组件610、620、630、640、650和660中的每一个都使用各种总线互连，并且可以安装在公共主板上或以其他适当的方式安装。处理器610可以处理用于在计算设备600内执行的指令，包括存储在存储器620中或存储设备630上以在诸如耦合到高速接口640的显示器680的外部输入/输出设备上显示用于图形用户界面(gui)的图形信息的指令。在其他实施方式中，可以适当地使用多个处理器和/或多条总线以及多个存储器和多种类型的存储器。此外，可以连接多个计算设备600，其中每个设备提供必要操作的部分(例如，作为服务器组、一组刀片服务器或多处理器系统)。
54.存储器620在计算设备600内非暂时性地存储信息。存储器620可以是计算机可读介质、易失性存储单元或非易失性存储单元。非暂时性存储器620可以是用于在临时或永久的基础上存储程序(例如，指令序列)或数据(例如，程序状态信息)以供计算设备600使用的物理设备。非易失性存储器的示例包括但不限于闪存和只读存储器(rom)/可编程只读存储器(prom)/可擦除可编程只读存储器(eprom)/电可擦除可编程只读存储器(eeprom)(例如，通常用于固件，诸如引导程序)。易失性存储器的示例包括但不限于随机存取存储器(ram)、动态随机存取存储器(dram)、静态随机存取存储器(sram)、相变存储器(pcm)以及磁盘或磁带。
55.存储设备630能够为计算设备600提供大容量存储。在一些实施方式中，存储设备630是计算机可读介质。在各种不同的实施方式中，存储设备630可以是软盘设备、硬盘设备、光盘设备或磁带设备、闪存或其他类似的固态存储设备或设备阵列(包括在存储区域网络或其他配置中的设备)。在另外的实施方式中，计算机程序产品有形地体现在信息载体中。计算机程序产品包含指令，这些指令在执行时执行一种或多种方法，诸如上述方法。信息载体是计算机或机器可读介质，诸如存储器620、存储设备630或处理器610上的存储器。
56.高速控制器640管理计算设备600的带宽密集型操作，而低速控制器660管理较低带宽密集型操作。这种职责分配只是示例性的。在一些实施方式中，高速控制器640耦合到存储器620、显示器680(例如，通过图形处理器或加速器)以及高速扩展端口650(其可以接受各种扩展卡(未示出))。在一些实施方式中，低速控制器660耦合到存储设备630和低速扩展端口690。可以包括各种通信端口(例如，usb、蓝牙、以太网、无线以太网)的低速扩展端口690可以例如通过网络适配器耦合到一个或多个输入/输出设备，诸如键盘、定点设备、扫描仪或网络设备(诸如交换机或路由器)。
57.计算设备600可以以多种不同的形式实现，如图所示。例如，它可以实现为标准服
务器600a或在一组这样的服务器600a中多次实现，实现为膝上型计算机600b，或实现为机架服务器系统600c的一部分。
58.本文描述的系统和技术的各种实施方式可以在数字电子和/或光学电路、集成电路、专门设计的asic(专用集成电路)、计算机硬件、固件、软件和/或其组合中实现。这些各种实施方式可以包括在可编程系统上可执行和/或可解释的一个或多个计算机程序中的实施方式，该可编程系统包括至少一个可编程处理器，其可以是专用的或通用的，被耦合以从存储系统、至少一个输入设备和至少一个输出设备接收数据和指令，并且向存储系统、至少一个输入设备和至少一个输出设备传输数据和指令。
59.软件应用(即，软件资源)可以指使计算设备执行任务的计算机软件。在一些示例中，软件应用可被称为“应用”、“app”或“程序”。示例应用包括但不限于系统诊断应用、系统管理应用、系统维护应用、文字处理应用、电子表格应用、消息传递应用、媒体流应用、社交网络应用和游戏应用。
60.这些计算机程序(也称为程序、软件、软件应用或代码)包括用于可编程处理器的机器指令，并且可以以高级过程和/或面向对象的编程语言和/或以汇编/机器语言来实现。如本文所使用的，术语“机器可读介质”和“计算机可读介质”是指用于向可编程处理器提供机器指令和/或数据的任何计算机程序产品、非暂时性计算机可读介质、装置和/或设备(例如，磁盘、光盘、存储器、可编程逻辑器件(pld))，包括接收机器指令作为机器可读信号的机器可读介质。术语“机器可读信号”是指用于向可编程处理器提供机器指令和/或数据的任何信号。
61.本说明书中描述的过程和逻辑流程可以由执行一个或多个计算机程序以通过对输入数据进行操作并生成输出来执行功能的一个或多个可编程处理器(也称为数据处理硬件)来执行。过程和逻辑流程也可以由专用逻辑电路(例如，fpga(现场可编程门阵列)或asic(专用集成电路))执行。例如，适合于执行计算机程序的处理器包括通用和专用微处理器两者，以及任何种类的数字计算机的任何一个或多个处理器。通常，处理器将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的基本元件是用于执行指令的处理器和用于存储指令和数据的一个或多个存储器设备。通常，计算机还将包括用于存储数据的一个或多个大容量存储设备，例如磁盘、磁光盘或光盘，或者可操作地耦合到其以从其接收数据或向其传送数据或两者。然而，计算机不需要具有这样的设备。适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、介质和存储器设备，例如包括：半导体存储器设备，例如eprom、eeprom和闪存设备；磁盘，例如内部硬盘或可移除盘；磁光盘；以及cd rom和dvd-rom盘。处理器和存储器可以由专用逻辑电路补充或并入专用逻辑电路中。
62.为了提供与用户的交互，可以在具有用于向用户显示信息的显示设备(例如crt(阴极射线管)、lcd(液晶显示器)监视器或触摸屏)并且可选地具有用户可以通过其向计算机提供输入的键盘和定点设备(例如鼠标或轨迹球)的计算机上实现本公开的一个或多个方面。其他类型的设备也可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的感觉反馈，例如视觉反馈、听觉反馈或触觉反馈；并且可以以任何形式接收来自用户的输入，包括声音、语音或触觉输入。另外，计算机可以通过向由用户使用的设备发送文档以及从由用户使用的设备接收文档(例如，通过响应于从在用户的客户端设备上的web浏览
器收到的请求，将网页发送到web浏览器)来与用户进行交互。
63.已经描述了许多实施方式。然而，应当理解，在不脱离本公开的精神和范围的情况下可以进行各种修改。因此，其他实施方式在所附权利要求的范围内。

技术特征：
1.一种网络配置模拟的方法(500)，所述方法(500)包括：在数据处理硬件(204)处接收网络(200)的生产网络模型(354)的一个或多个参数改变(84)；通过所述数据处理硬件(204)生成包括所述一个或多个参数改变(84)的模拟网络模型(356)；通过所述数据处理硬件(204)分析所述模拟网络模型(356)内的模拟网络流(362)；以及通过所述数据处理硬件(204)生成包括所述参数改变(84)对所述网络(200)的影响的报告(332)。2.根据权利要求1所述的方法(500)，还包括：在所述数据处理硬件(204)处接收包括所述生产网络模型(354)的记录工作流的生产网络日志(322)；以及通过所述数据处理硬件(204)在所述模拟网络模型(356)内模拟所述生产网络日志(322)的生产工作流以生成模拟网络日志(366)。3.根据权利要求2所述的方法(500)，其中，分析所述模拟网络流(362)包括：通过所述数据处理硬件(204)将所述生产网络日志(322)与所述模拟网络日志(366)进行比较；以及通过所述数据处理硬件(204)识别所述生产网络日志(322)与所述模拟网络日志(366)之间的差异。4.根据权利要求2或3所述的方法(500)，其中，所述生产网络日志(322)是虚拟专用连接流日志(322a)和防火墙规则日志(322b)中的一个。5.根据权利要求1至4中的任一项所述的方法(500)，还包括通过所述数据处理硬件(204)确定所述参数改变(84)对所述生产网络模型(354)的影响。6.根据权利要求5所述的方法(500)，其中，确定所述参数改变(84)的所述影响包括确定对网络可达性、防火墙阴影规则预测的防火墙命中率、用户意图规则、安全合规性规则或资源配额和利用率中的至少一个的影响。7.根据权利要求1至6中的任一项所述的方法(500)，其中，生成所述模拟网络模型(356)包括通过所述数据处理硬件(204)将所述一个或多个参数改变(84)递增地合并到所述生产网络模型中(354)。8.根据权利要求1至7中的任一项所述的方法(500)，还包括通过所述数据处理硬件(204)接收所述生产网络模型(354)的一个或多个不变参数(86)。9.根据权利要求1至8中的任一项所述的方法(500)，还包括当所述参数改变(84)对所述网络(200)的所述影响是可接受的时，通过所述数据处理硬件(204)改变所述网络(200)的配置。10.一种系统(10)，包括：数据处理硬件(204)；以及与所述数据处理硬件(204)通信的存储器硬件(206)，所述存储器硬件(206)存储当在所述数据处理硬件上执行时使所述数据处理硬件执行操作的指令，所述操作包括：接收网络(200)的生产网络模型(354)的一个或多个参数改变(84)；
生成包括所述一个或多个参数改变(84)的模拟网络模型(356)；分析所述模拟网络模型(356)内的模拟网络流(362)；以及生成包括所述参数改变(84)对所述网络(200)的影响的报告(332)。11.根据权利要求10所述的系统(10)，其中，所述操作还包括：接收包括所述生产网络模型(354)的记录工作流的生产网络日志(322)；以及在所述模拟网络模型(356)内模拟所述生产网络日志(322)的生产工作流以生成模拟网络日志(366)。12.根据权利要求11所述的系统(10)，其中，分析所述模拟网络流(362)包括：将所述生产网络日志(322)与所述模拟网络日志(366)进行比较；以及识别所述生产网络日志(322)与所述模拟网络日志(366)之间的差异。13.根据权利要求11或12所述的系统(10)，其中，所述生产网络日志(322)是虚拟专用连接流日志(322a)和防火墙规则日志(322b)中的一个。14.根据权利要求10至13中的任一项所述的系统(10)，其中，所述操作还包括确定所述参数改变(84)对所述生产网络模型(354)的影响。15.根据权利要求14所述的系统(10)，其中，确定所述参数改变(84)的所述影响包括确定对网络可达性、防火墙阴影规则预测的防火墙命中率、用户意图规则、安全合规性规则或资源配额和利用率中的至少一个的影响。16.根据权利要求10至15中的任一项所述的系统(10)，其中，生成所述模拟网络模型(356)包括将所述一个或多个参数改变(84)递增地合并到所述生产网络模型中(354)。17.根据权利要求10至16中的任一项所述的系统(10)，其中，所述操作还包括接收所述生产网络模型(354)的一个或多个不变参数(86)。18.根据权利要求10至17中的任一项所述的系统(10)，其中，所述操作还包括当所述参数改变(84)对所述网络(200)的所述影响是可接受的时，改变所述网络(200)的配置。19.一种编码在非暂时性计算机可读存储介质(206)上的计算机程序产品，包括当由数据处理装置(204)执行时使所述数据处理装置(204)执行操作的指令，所述操作包括：接收网络(200)的生产网络模型(354)的一个或多个参数改变(84)；生成包括所述一个或多个参数改变(84)的模拟网络模型(356)；分析所述模拟网络模型(356)内的模拟网络流(362)；以及生成包括所述参数改变(84)对所述网络(200)的影响的报告(332)。20.根据权利要求19所述的计算机程序产品，其中，所述操作还包括：接收包括所述生产网络模型(354)的记录工作流的生产网络日志(322)；以及在所述模拟网络模型(356)内模拟所述生产网络日志(322)的生产工作流以生成模拟网络日志(366)。21.根据权利要求20所述的计算机程序产品，其中，分析所述模拟网络流(362)包括：将所述生产网络日志(322)与所述模拟网络日志(366)进行比较；以及识别所述生产网络日志(322)与所述模拟网络日志(366)之间的差异。22.根据权利要求20或21所述的计算机程序产品，其中，所述生产网络日志(322)是虚拟专用连接流日志(322a)和防火墙规则日志(322b)中的一个。23.根据权利要求19至22中的任一项所述的计算机程序产品，其中，所述操作还包括确
定所述参数改变(84)对所述生产网络模型(354)的影响。24.根据权利要求23所述的计算机程序产品，其中，确定所述参数改变(84)的所述影响包括确定对网络可达性、防火墙阴影规则预测的防火墙命中率、用户意图规则、安全合规性规则或资源配额和利用率中的至少一个的影响。25.根据权利要求19至24中的任一项所述的计算机程序产品，其中，生成所述模拟网络模型(356)包括将所述一个或多个参数改变(84)递增地合并到所述生产网络模型(354)中。26.根据权利要求19至25中的任一项所述的计算机程序产品，其中，所述操作还包括接收所述生产网络模型(354)的一个或多个不变参数(86)。27.根据权利要求19至26中的任一项所述的计算机程序产品，其中，所述操作还包括当所述参数改变(84)对所述网络(200)的所述影响是可接受的时，改变所述网络(200)的配置。

技术总结
一种用于模拟网络配置的系统(100)包括数据处理硬件(204)以及与数据处理硬件(204)通信的存储器硬件(206)。存储器硬件(206)存储当在数据处理硬件(204)上执行时使数据处理硬件(204)执行操作的指令。这些操作包括接收网络(200)的生产网络模型(354)的一个或多个参数改变(84)。这些操作还包括生成包括一个或多个参数改变(84)的模拟网络模型(356)。另一操作包括分析模拟网络模型(356)内的模拟网络流(362)。这些操作还包括生成报告(332)。这些操作还可以包括在模拟网络模型(356)内模拟生产网络日志(322)的生产工作流以生成模拟网络日志(366)。志(366)。志(366)。


技术研发人员：加尔吉
受保护的技术使用者：谷歌有限责任公司
技术研发日：2021.11.04
技术公布日：2023/7/21