用于为多云环境生成网络健康数据和其它分析的系统和方法

相关申请的交叉引用

本申请要求2020年4月21日提交的美国临时专利申请号63/013,529、2020年5月5日提交的美国临时专利申请号63/020425、2020年12月18日提交的美国专利申请号17/127922、2020年12月18日提交的美国专利申请号17/127924的优先权，所述专利的全部内容通过引用并入本文中。

技术领域

本公开的实施例涉及云联网领域。更具体地，本公开的一个实施例针对用于提供跨越单个公共云网络或多个公共云网络的企业网络的操作可见性的系统和方法。

背景技术

直到最近，企业一直依赖于安装在紧密接近其用户驻留的一个或多个电子设备上的应用软件（下文中称为“预置电子设备”）。这些预置电子设备可以对应于端点设备（例如，个人计算机、蜂窝智能电话、上网本等）、本地维护的大型机、或甚至例如本地服务器。取决于企业的规模，购买预置电子设备及其对应的软件需要大量的前期资本支出，连同维持这些预置电子设备的可操作性的大量持续运营成本。这些运营成本可能包括部署、管理、维护、升级、维修和更换这些电子设备的成本。

最近，更多的企业和个人已经开始依赖于公共云网络（下文中称为“公共云”）用于向用户提供各种服务，从文字处理应用功能到网络管理。“公共云”是一个具有多租户架构的完全虚拟化的环境，其为租户（即用户）提供共享计算和存储资源的能力，同时保持每个用户的云帐户内的数据隔离。虚拟化环境包括由一组物理数据中心提供的按需云计算平台，其中每个数据中心包括由云提供商托管的大量服务器。不同类型的公共云网络的示例可以包括但不受限或局限于例如AMAZON WEB SERVICES®、MICROSOFT® AZURE®、GOOGLECLOUD PLATFORM™或ORACLE CLOUD™。

对公共云网络的该日益依赖在很大程度上是由于这种特定部署提供的大量成本节约优点。然而，对于许多类型的服务，诸如网络管理，例如当企业运营依赖于单个公共云的可操作性或多个公共云网络的可操作性时，网络管理员面临多个挑战。例如，在企业部署的网络依赖于多个公共云网络（下文中称为“多云网络”）的情况下，网络管理员一直不能够有效地对多云网络内发生的连接性问题进行故障排除。这样的无效故障排除的一个原因是，没有常规的解决方案可用于管理员或用户来可视化其多云网络部署的连接性。另一个原因是云网络提供商仅准许用户访问有限数量的构造，从而控制用户可访问的网络信息的类型和量。结果，网络信息的类型或量很少足以使得管理员或用户能够快速且有效地对网络连接问题进行故障排除和校正。

同样，没有常规的解决方案来可视地监测不同公共云网络（多云网络）中的网络设备之间的业务交换，并保留与多云网络的网络设备相关联的状态信息，以更快速地检测可能暗示网络攻击正在进行或多云网络的健康受损的操作异常。

附图说明

本公开的实施例在附图的各图中通过示例的方式而非限制的方式进行图示，附图中类似的附图标记指示相似的元件，并且其中：

图1是根据一些实施例的分布式云计算系统的示例性实施例的图解，该分布式云计算系统包括管理跨越多个云网络的构造的控制器；

图2A是根据一些实施例的部署在云计算平台内的控制器的逻辑表示的示例性图示；

图2B是根据一些实施例的部署在云计算平台内的拓扑系统逻辑的逻辑表示的示例性图示；

图3A-3C是根据一些实施例显示可视化平台的仪表板的部分的接口屏，其旨在图示与云计算环境内的网络业务和构造有关的信息；

图4A-4H是根据一些实施例显示可视化平台的拓扑映射的部分的接口屏，其旨在图示云计算环境内的构造及其之间的连接；和

图5A-5G是根据一些实施例显示可视化平台的一个方面的部分的示例性接口屏，其旨在图示描述通过云计算环境内的一个或多个构造的网络业务流的信息；

图6是根据一些实施例的拓扑系统逻辑、控制器和由控制器管理的一个或多个网关之间的示例性通信方法的流程图；

图7A-7B是根据一些实施例的由拓扑系统逻辑施行并在图4A-5A中图示的加标签和搜索方法的流程图；和

图8是根据一些实施例的由拓扑系统逻辑施行并在图4G-4H中图示的重放功能的示例性方法的流程图。

具体实施方式

本公开的实施例针对一种系统，其被配置为提供跨越一个或多个云计算环境的网络的操作可见性。根据一个实施例，该系统可以包括正在一个或多个云计算资源中操作的软件实例，并且该软件实例被配置为收集信息并呈现图形用户接口（GUI），该图形用户接口提供跨越多个（两个或更多个）云计算环境（下文中称为“多云计算环境”或“多云网络”）的网络的构造之间的连接性的交互式视觉呈现。在其它实施例中，该系统包括软件实例和控制器，该控制器被配置为管理部署在一个或多个云计算环境中（诸如在多云环境内）的构造并与软件实例通信。

如下面将进一步详细讨论的，软件实例可以使用一个或多个应用编程接口（API）调用向控制器查询信息，以检索控制器存储的详述控制器管理的每个构造的状态信息的信息。控制器从部署在多云网络内的一个或多个网关获得这样的信息，其中（一个或多个）网关被配置为基于周期性（或非周期性）将这种信息传输给控制器。应当理解，如本文中所讨论的，术语“多云网络”指多个云网络，其中每个云网络可以构成由不同的云计算环境资源提供商（下文中称为“云提供商”）提供的公共云网络。

如本领域所知，控制器可以被配置为对每个网关进行编程，以控制网络业务的路由，诸如通过向网关提供关于网络业务如何在各种网关之间路由的指令。作为说明性示例，控制器可以指令网关关于来自一个子网络（下文中称为“子网”）的虚拟机（VM）是否可以直接与来自另一个子网的VM通信，或者网络业务将如何在由控制器管理的云计算环境内从源流向目的地。此外，本公开的实施例讨论了由软件实例向控制器提供的指令，这些指令然后由控制器传输到一个或多个网关，并且包括将网络数据从网关传输到软件实例的可路由地址（例如，互联网协议“IP”地址等）的指令的软件实例。

因此，作为一般实施例，软件实例可以向控制器查询指示由控制器管理的每个构造的状态和元数据的数据，并且还从一个或多个网关接收网络数据。软件实例包括在由一个或多个处理器（例如，作为云计算资源的一部分）执行时生成各种可视化的逻辑，这些可视化是构造状态和元数据（统称为“构造元数据”）以及网络数据的组合。可视化可以是交互式的，并被提供给诸如网络管理员、信息技术（IT）专业人员或诸如此类的用户。此外，可视化可以被配置为接收用户输入，这使软件实例的逻辑（“拓扑系统逻辑”）更改可视化。如下面所讨论和附图所图示的，可视化可以包括但不受限或局限于提供网络的总体状态和健康状况以及特定网络参数的仪表板视图；动态拓扑映射，其提供每个构造和标识构造之间的通信的链路的视觉呈现；以及网络流可视化，其提供详述网络业务如何流过（或已经流过）由控制器管理的云计算环境的各种图示。每个可视化可以提供跨越多云网络的数据。

在一些实施例中，响应于用户输入，拓扑系统逻辑可以经由拓扑映射可视化为一个或多个构造生成标签，并存储那些标签以供搜索。例如，可以接收进一步的用户输入，使拓扑系统逻辑搜索由控制器管理的许多构造，并经由拓扑映射显示加标签的构造以及它们之间的任何链路。在又一些实施例中，响应于接收到的包括一个或多个标签作为搜索项的用户输入，拓扑系统逻辑可以生成图示（一个或多个）对应的加标签的构造的网络流的可视化。

通过向控制器查询构造元数据并从一个或多个网关接收网络数据，拓扑系统逻辑可以生成上面所描述的示例性可视化以及附图中所示出的示例性可视化，其图示了与一个或多个加标签的构造相关联的网络业务流。如通篇所述，所图示的网络业务流可以对应于部署在多个云网络中的构造。这样的可操作性通过使得用户能够用有意义的标签来给驻留在不同公共云网络中的一个或多个网关加标签，并搜索对应于该标签的构造参数、构造状态、链路状态和网络业务流，从而为用户提供了优于现有技术的许多优点。

拓扑系统逻辑的附加功能是生成可视化，其图示控制器管理的网络随时间推移的改变。例如并且如下面所描述的，拓扑系统逻辑可以存储针对给定时间点（例如t

I.术语

在以下描述中，某些术语用于描述本发明的特征。在某些情形下，术语“逻辑”代表被配置为施行一个或多个功能的硬件、固件和/或软件。作为硬件，该逻辑可以包括具有数据处理或存储功能的电路。这样的电路的示例可以包括但不受限或局限于微处理器、一个或多个处理器内核、可编程门阵列、微控制器、专用集成电路、无线接收器、发射器和/或收发器电路、半导体存储器或组合逻辑。

替代地，或与上面所描述的硬件电路相组合，逻辑可以是以一个或多个软件模块形式的软件。（一个或多个）软件模块可以包括可执行应用、应用编程接口（API）、子例程、函数、程序、小应用程序、小服务程序、例程、源代码、共享库/动态加载库或一个或多个指令。（一个或多个）软件模块可以存储在任何类型的合适的非暂时性存储介质或暂时性存储介质中（例如，电、光、声或其它形式的传播信号，诸如载波、红外信号或数字信号）。非暂时性存储介质的示例可以包括但不受限或局限于可编程电路；半导体存储器；非永久性存储装置，诸如易失性存储器（例如，任何类型的随机存取存储器“RAM”）；永久性存储装置，诸如非易失性存储器（例如，只读存储器“ROM”、电力支持的RAM、闪速存储器、相变存储器等）、固态驱动器、硬盘驱动器、光盘驱动器或便携式存储器设备。作为固件，可执行代码可以存储在永久存储装置中。

术语“计算机化”一般表示任何对应的操作由硬件组合软件和/或固件进行。

术语“构造”可以解释为针对特定功能的虚拟或物理逻辑，诸如网关、虚拟私有云网络（VPC）、子网络或诸如此类。例如，作为说明性示例，该构造可以对应于以软件形式的虚拟逻辑（例如，虚拟机），其可以将设备特定的地址（例如，媒体访问控制“MAC”地址）和/或特定IP子网所支持的IP地址范围内的IP地址分配给特定IP子网。替代地，在一些实施例中，该构造可以对应于物理逻辑，诸如通信地耦合到网络并被分配了MAC和/或（一个或多个）IP地址的电子设备。电子设备的示例可以包括但不受限或局限于个人计算机（例如，台式计算机、膝上型计算机、平板或上网本）、移动电话、独立器具、传感器、服务器或信息路由设备（例如，路由器、桥接路由器（“brouter”）等）。设想每个构造可以至少构成作为公共网络一部分驻留的逻辑，尽管某些构造可以被部署为“预置”（或本地）网络的一部分。

术语“网关”可以指部署在公共云网络内或与公共云网络一起部署的虚拟私有云网络内的软件实例，并控制公共云网络内和来自公共云网络的数据业务（例如，至一个或多个远程站点，包括可以处理、存储和/或继续数据路由的计算设备）。本文中，每个网关可以作为“中转网关”或“分支网关”操作，它们是具有相似架构的网关，但是基于它们在云计算环境内的位置/配置而被不同地标识。例如,“分支”网关被配置为与目标实例交互，而“中枢”网关被配置为进一步协助定向到预置网络内的分支网关或计算设备的数据业务（例如，一个或多个消息）的传播。

术语“网络业务度量”可以指网络业务传输的测量，包括量、频率和/或等待时间。在一些实施例中，网络业务度量可以包括源和/或目的地的标识（例如，IP地址、始发/目的地网关、始发/目的地VPC、始发/目的地地理区域等）。另外，在一些实施例中，网络业务度量还可以指对网络业务传输的测量施行的分析和/或过滤。

术语“控制器”可以指部署在云计算环境（例如，公共云网络的资源）内的软件实例，其管理跨越不同公共云网络（多云网络）的一个或多个云计算环境的某些方面的可操作性。例如，控制器可以被配置为收集与每个VPC和/或每个网关实例有关的信息，并且配置与跨越多云网络的一个或多个VPC和/或网关实例相关联的一个或多个路由表，以在不同的源和目的地之间建立通信链路（例如，逻辑连接）。这些源和/或目的地可以包括但不局限于或受限于预置计算设备、网关实例或其它类型的云资源。

术语“消息”一般指以规定格式的信息，并根据合适的递送协议传输。因此，每个消息可以以一个或多个分组、帧或具有规定格式的任何其它比特序列的形式。

术语“链路”一般可以解释为两个或更多个构造之间的物理或逻辑通信路径。例如，作为物理通信路径，可以使用以电线、光纤、线缆、总线迹线或使用红外、射频（RF）的无线信道形式的有线和/或无线互连。逻辑通信路径包括使得能够在多个构造之间交换信息的任何通信方案。

最后，本文中使用的术语“或”和“和/或”应解释为包含性的，或意指任何一个或任何组合。作为示例，“A、B或C”或“A、B和/或C”意指“以下中的任何一种：A；B；C；A和B；A和C；B和C；A、B和C”。只有当元件、功能、步骤或动作的组合以某种方式固有地相互排斥时，才将出现该定义的例外。

由于本发明易受许多不同形式的实施例的影响，因此意图的是本公开内容应被视为本发明原理的示例，而不意图将本发明限制于所示出和所描述的特定实施例。

II.总体架构-拓扑系统

参考图1，示出了分布式云管理系统100的示例性实施例的图解，其中云计算系统以用于管理驻留在多个云网络中的构造的控制器102和用于可视化受管构造的软件实例138（下文中称为“拓扑系统逻辑”）为特征。更具体地，控制器102被配置为管理跨越多个云网络的多个构造，诸如云（网络）A 104和云（网络）B 106。在示例性图示中，云A 104为与关联于虚拟网络（VNET）116

具体地，构造的第一分组108部署在云A 104内，并且构造的第二分组110和第三分组112部署在云B 106内。控制器102利用API集合来提供指令并接收与这些构造中的每一个相关联的数据（状态信息）以及与这些构造之间的每个连接有关的状态信息（链路状态）。由构造返回的构造元数据可以取决于构造的类型（例如，区域、VPC、网关、子网、VPC内的实例等），其中构造元数据的示例可以包括但不受限或局限于以下构造参数（属性）中的一个或多个：构造名称、构造标识符、加密启用、与该构造相关联的VPC的属性（例如，VPC名称、标识符和/或区域等）、构造被部署在其中的云属性（例如，构造驻留在其中的云供应商、云类型等）或诸如此类。

此外，云管理系统100包括对云计算资源136进行处理的拓扑系统逻辑138。在一些实施例中，拓扑系统逻辑138可以是托管在用户的基础设施即服务（IaaS）云或多云环境上的逻辑。作为一个示例，拓扑系统逻辑138可以作为公共云网络内的实例启动（例如，作为AWS®中的EC2®实例）。作为替代示例，拓扑系统逻辑138可以作为AZURE®中的虚拟机来启动。当启动时，拓扑系统逻辑138被分配可路由地址，诸如例如静态IP地址。

如所示出的，拓扑系统逻辑138经由例如API与控制器102通信，使得拓扑系统逻辑138能够经由一个或多个API调用将查询传输到控制器102。拓扑系统逻辑138在由云计算资源136执行时，施行包括响应于特定事件经由API调用针对构造元数据查询控制器102的操作。特定事件可以根据周期性间隔或非周期性间隔或者触发事件，诸如经由用户输入的对可视化的用户请求。

在一些实施例中，响应于经由API调用从拓扑系统逻辑138接收查询，控制器102访问存储在控制器102上或由控制器102存储的数据，并经由API向拓扑系统逻辑138返回请求的数据。例如，拓扑系统逻辑138可以向控制器102发起一个或多个查询，以获得与控制器102管理的构造相关联的拓扑信息（例如，由控制器102管理的所有网关的列表、由控制器102管理的所有VPC或VNET的列表、或者从数据库表收集的其它数据）连同与如上面所描述的每个构造相关联的状态信息。

在接收到所请求的构造元数据时，拓扑系统逻辑138施行一次或多次分析，并确定是否需要请求任何附加的构造元数据。例如，拓扑系统逻辑138可以向控制器102提供第一查询，请求由控制器102管理的所有网关的列表。响应于接收到所请求的构造元数据，拓扑系统逻辑102确定所列出的网关之间的互连。随后，拓扑系统逻辑138可以向控制器102提供第二查询，请求由控制器管理的所有VPC的列表。响应于接收到所请求的构造元数据，拓扑系统逻辑138确定每个VPC和对应网关之间的关联。

例如，在一些实施例中，接收到的构造元数据为每个网关提供详细信息，使得拓扑系统逻辑138能够生成表示网关的数据对象，例如构造元数据的数据库表。表示多个网关的数据对象被交叉引用，以基于每个网关的参数构建拓扑映射，这些参数尤其可以包括：云网络用户账户名称；云提供商名称；VPC名称；网关名称；VPC区域；沙盒IP地址；网关子网标识符；网关子网CIDR；网关区；关联云计算帐户的名称；VPC标识符；VPC状态；父VPC名称；VPCCIDR；等等。类似地，构造元数据也被用来生成表示每个VPC对象和每个子网对象的数据对象。

此外，为了确定网络内的连接是否在两个中转网关之间，拓扑系统逻辑138可以利用单独的API调用向控制器102查询所有中转网关的列表。因此，拓扑系统逻辑138然后能够确定第一网关和第二网关之间的连接是否在两个中转网关之间。在一些实施例中，如下面将讨论的，中转网关之间的连接以及分支网关和中转之间的连接可以以两种不同的方法可视地表示。

除了从控制器102接收构造元数据之外，拓扑系统逻辑138还可以从控制器102管理的一个或多个网关接收网络数据。例如，对于每个网络分组，网络数据可以包括但不受限或局限于入口接口、源IP地址、目的地IP地址、IP协议、UDP或TCP的源端口、UDP或TCP的目的地端口、ICMP的类型和代码、IP“服务类型”等。在一个实施例中，网络数据可以使用IP协议（例如UDP）从网关传输到拓扑系统逻辑138。在一些实施例中，网络数据经由NetFlow网络协议被收集和导出。

为了将网关配置为向拓扑系统逻辑138传输网络数据，拓扑系统逻辑138可以向控制器102提供指令，控制器102继而向控制器102管理的每个网关提供指令。这些指令提供拓扑系统逻辑138的IP地址，该IP地址被用作寻址网络数据传输的IP地址。

如下面将详细讨论的，拓扑系统逻辑138可以生成包括一个或多个交互式显示屏的可视化平台。这些显示屏可以包括仪表板、拓扑映射和网络流可视化。此外，可视化平台可以被配置为接收用户输入，该用户输入引起对所显示的数据的过滤。

例如并且仍参考图1，拓扑系统逻辑138可以生成链接控制器102检测到的构造的连接的拓扑映射可视化，由云A 104和云B 106表示的逻辑区域132内的构造图示。此外，拓扑系统逻辑138可以生成各种图形用户接口（GUI）,其图示了如第二逻辑区域134所图示的在由控制器102管理的构造之间往返流动的网络流的网络业务流、业务流热图、分组捕获、网络健康、链路等待时间、加密、防火墙等。

本公开的实施例提供了优于当前系统的许多优点，当前系统提供了图示控制器参数的仪表板，因为当前系统不提供可视化跨多个云网络部署的构造之间的连接、多个云的资源状态和资源之间的连接以及通过跨越多个云的构造的网络数据流的能力。作为一个示例，企业网络可以利用部署在多个云网络中的资源，并且企业网络的管理员可能期望获得与这些资源相关联的所有构造和连接的状态的可视化。然而，由于企业网络跨越多个云网络，因此常规系统无法提供这样的解决方案。仅通过获得单个云内每个构造的状态的文本表示（例如，通过命令行接口），管理员不能够获得整个企业网络的构造、它们之间的连接以及每个构造的状态的完整视图。另外，异常或恶意网络业务模式的检测可能以当前系统提供的方式不可检测。

如本文中所使用的，构造、其之间的连接和每个构造的状态的可视化（或视觉显示）被称为拓扑映射。当前系统未能提供跨多个云网络的拓扑映射，并且未能允许管理员跨多个云网络进行搜索或者可视化第一云网络中的构造或连接的状态改变如何影响第二云网络中的资源或连接的状态。在一些实施例中，拓扑映射可以随着构造或连接的状态改变而自动改变，或者在响应于某些事件（诸如在周期性时间间隔内）而接收到构造元数据更新时自动更改（例如，“动态拓扑映射”）。

在一些实施例中，可以使用多个控制器跨多个云网络部署网络，以管理网络的可操作性。在一些这样的实施例中，每个控制器可以从其管理的网络和构造收集信息，并且单个控制器可以获得所有这样的信息，从而使得可视化平台能够提供跨（一个或多个）网络的可见性，所述网络跨越多个控制器。

参考图2A，根据一些实施例示出了部署在云管理系统100内的控制器102的逻辑表示的示例性图示。如上所述，控制器102可以是部署在云网络内的软件实例，以帮助管理多个公共云网络内的构造的可操作性。根据该实施例，控制器102可以配置有某些逻辑模块，包括VPC网关创建逻辑200、通信接口逻辑202和数据检索逻辑204。控制器102还可以包括路由表数据库206。

在一些实施例中，网关创建逻辑200施行操作以在VPC内创建网关，包括在VPC内创建虚拟机，向虚拟机提供配置数据，并基于配置数据提示网关的初始化。在其中所利用的云计算资源是AWS®的一个实施例中，VPC网关创建逻辑200在VPC内启动虚拟机，该虚拟机是AMAZON® EC2实例。使用由控制器102发布的预配置的虚拟机映像来启动虚拟机。在特定实施例中，虚拟机映像是亚马逊机器映像（AMI）。当启动时，虚拟机能够接收和解释来自控制器102的指令。

通信接口逻辑202可以被配置为经由API与拓扑系统逻辑138通信。控制器102可以经由一个或多个API调用从拓扑系统逻辑138接收查询，并经由API用所请求的数据进行响应。

数据检索逻辑204可以被配置为访问控制器102管理的每个构造，并从中获得构造元数据。替代地或附加地，数据检索逻辑204可以接收从构造传输（或“推送”）的这样的构造元数据，而无需控制器102发起一个或多个查询（例如，API调用）。

路由表数据库206可以存储VPC路由表数据。例如，控制器102可以配置与每个VPC相关联的VPC路由表，以在中转网关和与特定实例子网相关联的云实例之间建立通信链路（例如，逻辑连接）。VPC路由表被编程为支持不同源和目的地之间的通信链路，诸如预置的计算设备、特定实例子网内的云实例或诸如此类。因此，控制器102获得并存储控制器102权限内的资源（例如，诸如网关、子网、VPC、VPC内的实例等构造）的某些属性的信息，以及与这些资源之间的连接（通信链路）有关的状态信息。

参考图2B，根据一些实施例，示出了云计算平台内部署的拓扑系统逻辑138的逻辑表示的示例性图示。拓扑系统逻辑138可以是使用云计算资源136部署的软件实例，并且被配置为与控制器102和由控制器102管理的每个网关通信。拓扑系统逻辑138配置有某些逻辑模块，包括加标签逻辑208、标签数据库210、接口生成逻辑212、通信接口逻辑214、拓扑快照逻辑216。此外，拓扑系统逻辑138可以包括快照数据库218、构造元数据数据库220和网络数据数据库222。

在一些实施例中，标记逻辑208在由一个或多个处理器执行时，施行下面关于图4A-5A和7A-7B所讨论的操作。在一些实施例中，由加标签逻辑208生成的标签可以存储在标签数据库210中。

在一些实施例中，接口生成逻辑212在由一个或多个处理器执行时，施行如下面所讨论的操作，并且使生成如图4A-5G中所图示的示例性交互式用户接口。在一些实施例中，由加标签逻辑208生成标签。

在一些实施例中，通信接口逻辑214在由一个或多个处理器执行时，施行如本文中所讨论的与向控制器查询构造元数据、接收所请求的构造元数据和从控制器管理的一个或多个网关接收网络数据有关的操作。在一些实施例中，接收到的构造元数据和网络数据可以存储在构造元数据数据库220和网络数据数据库222（其可以是单独的或组合的数据库）中。

在一些实施例中，拓扑快照逻辑216在由一个或多个处理器执行时，施行如下面关于图4G-4H和图8所讨论的操作。在一些实施例中，由拓扑快照逻辑216生成的快照（记录的数据）可以存储在快照数据库218中。

III.示例性用户接口——拓扑系统可视化平台

图3A-5G中所图示的示例性用户接口可以由拓扑系统逻辑138配置，以在各种显示屏上并且经由各种应用呈现和显示。例如，图3A-5G中所图示的每个用户接口可以被配置为通过网络浏览器显示在计算机显示屏、膝上型计算机、移动设备或包括网络浏览器的任何其它网络设备上。此外，图3A-5G中所图示的每个用户接口可以被配置为通过专用软件应用来显示，该专用软件应用被安装和配置为在上面所描述的任何网络设备上执行。例如，拓扑系统逻辑138可以被配置为向软件应用（本领域中称为“app”）提供本文中描述的数据和用户接口，该软件应用可以被安装和配置为由网络设备的一个或多个处理器执行。因此，在执行时，app使在本文中描述的用户接口被呈现在网络设备的显示屏（或相关联的显示屏）上。

1.仪表板

现在参考图3A-3C，根据一些实施例，示出了显示拓扑系统可视化平台（“可视化平台”）的仪表板的部分的图形用户接口（GUI）屏（或“接口屏”），其中每个部分被配置为图示由拓扑系统获得或确定的信息。图3A-3C的接口屏可以共同包括“仪表板”300，其显示与跨一个或多个云提供商、并且特别是跨多个云提供商部署的网络有关的各种属性。

例如，如图3A中所示出的仪表板300包括若干显示部分302、306和308。导航面板304也被示出为由拓扑系统逻辑138生成的可视化平台的一部分。显示部分302显示与由控制器（例如，图1的控制器102）管理的构造有关的信息，其中所述构造部署在一个或多个云网络中。显示的信息可以包括但不限于部署的网关数量、当前虚拟私有网络（VPN）用户数量、用户账户数量、暂时网关（TGW）数量、网络连接数量（可选地根据云计算服务过滤）、边界网关协议（BGP）连接数量等。

图3A的显示部分306包括虚拟数据中心列表，虚拟数据中心包括网络资源，同样可选地跨越多个云网络。具体地，显示部分306包括用户输入字段（例如，复选框），其被配置为接收用户输入，该用户输入指示仪表板300所显示的内容如何被一个或多个特定云网络（例如，AWS®、GOOGLE®、CLOUD PLATFORM®（GCP）、AZURE®、ORACLE CLOUD INFRASTRUCTURE®（OCI））过滤。在一些实施例中，虚拟数据中心是可以托管在公共云上的云计算资源池。

另外，显示部分308图示了世界地图，包括显示部分306中列出的每个虚拟数据中心的图形表示，例如诸如图标309，以及世界地图上表示其地理位置的位置。显示部分308可以根据在显示部分306中提供的“按云过滤”的选择来过滤，并且可以被配置为接收用户输入来调整地图的放大率（例如，“放大”或“缩小”）。

导航面板304包括由可视化平台提供的每个一般可视化的链路，包括仪表板300、（图4A-4E的）拓扑映射400和（图5A-5G的）网络流可视化500。

现参考图3B，通过多个显示部分310和312示出了显示多个曲线图和图表的仪表板300的一部分的图示。显示部分310和312中的每一个都显示贯穿多云部署的资源分布。

例如，作为说明性实施例，显示部分310以多个条形图为特征，所述条形图解图示了针对由控制器管理的资源的度量；然而，如通过审阅本公开的附图应该理解的，条形图仅仅是可以用于呈现数据的一种类型的图示，并且本公开不意图如此限于所示出的特定图形表示类型。显示部分310通过具体显示“按云的账户”、“按云的网关”和“按云的中转网关”，图示了显示在仪表板上的数据对应于跨越多个云网络的构造和网络业务。类似地，显示部分312提供针对网关度量的图形表示，包括“按类型的网关”、“按区域的网关”和“按大小的网关”。在一些实施例中，网关度量包括部署的网关总数、虚拟私有网络（VPN）用户的数量、与一个或多个网关相关联的用户账户的数量、中转网关的数量、由特定云计算资源提供商部署的网关的数量、边界网关协议（BGP）连接的数量或暂时网关附件的数量中的一个或多个。

图3A-3B图示了网关的各种度量和特性，其中度量可以包括以下中的一个或多个：部署的网关总数、虚拟私有网络（VPN）用户数量、用户账户的数量、中转网关的数量、由特定云计算资源提供商部署的网关的数量、边界网关协议（BGP）连接的数量或暂时网关附件的数量。

另外，一个或多个度量可以由网关特性导出或基于网关特性，网关特性可包括其中部署每个网关的云计算网络、每个网关的类型、每个网关的大小或其中部署每个网关的地理区域中的一个或多个。

现在参考图3C，示出了网络功能或操作或可操作性的另一图形表示的图示，其基于由拓扑系统逻辑138收集和处理的数据，并显示为仪表板300的一部分。更具体地，根据该说明性实施例，显示部分314提供可调整时间段（例如，24小时）内跨越多个云网络的资源之间的网络业务的图形表示。该时间段可以由拓扑系统逻辑138基于用户输入的接收来调整。例如，可以接收对应于用户示出的曲线图的一部分的选择的用户输入。响应于这样接收到的用户输入，拓扑系统逻辑138可以更改图形表示以针对现在可以由更小的时间间隔（例如，15分钟、30分钟、1小时等）表示的所选择的部分。

在一些实施例中，仪表板300（和图4A-5G中讨论的其它可视化）是用户输入请求这样的可视化的结果。在一些实施例中，响应于接收到请求，拓扑系统逻辑138将请求如上面所讨论的构造元数据，并将构造元数据和从网关接收的最新网络数据存储在数据存储（诸如构造元数据数据库220和/或网络数据数据库222，如上所述，其可以是单个数据库）中。此外，拓扑系统逻辑138然后基于存储的数据生成所请求的可视化。

在一些实施例中，拓扑系统逻辑138将以周期性时间间隔（例如，每30秒、每1分钟等）自动更新可视化（例如，生成更新的可视化，并使显示屏重新呈现）。在一些实施例中，在触发事件发生时，诸如接收到请求刷新显示屏的用户输入时，将生成并显示更新的可视化。更新的可视化将基于自先前呈现以来新接收或获得的构造元数据和/或网络数据来更新。

2.拓扑映射

现在参考图4A-4E，根据一些实施例示出了显示由拓扑系统逻辑138生成的可视化平台的拓扑映射400的部分的接口屏。具体地，图4A-4E图示了部署在由控制器102管理的一个或多个云网络中的多个构造以及各种构造之间的连接。

参考图4A，根据一些实施例，示出了由拓扑系统逻辑138生成的拓扑映射400的示例性图示。如所示出的，拓扑映射400包括由控制器（例如，图1的控制器102）管理的构造的图形表示。拓扑映射400使得用户能够可视化所有已知的构造，这些构造可以部署在单个云上或者跨多个云网络部署。在示例性图示中，看到所显示的构造被部署在包括AZURE®、GCP和AWS®的多个云网络上。

拓扑映射400是交互式显示屏，其被配置为接收各种形式的用户输入（例如，拖动和重新定位构造、选择（一个或多个）构造以查看构造参数、输入文本、选择设置或激活按钮等）。接收到的用户输入可以被配置为重新定位构造、使显示构造参数、应用过滤器、搜索构造、运行诊断、应用（一个或多个）标签等。

如图4A中所图示的，构造402（例如网关402）被图示为正在被选择。在所示出的实施例中，网关402的选择导致在显示部分422中显示网关402的参数。例如，显示部分422可以提供所选择的构造的名称，“网关”（网关402）、被配置为接收用户输入的用户输入按钮424和426、以及构造参数的列表428——包括构造是否被加密、构造的云提供商、与构造相关联的网关名称、与构造相关联的VPC标识符、构造的云类型、构造的VPC区域、构造是否是中转VPC等。应当注意，如上面所讨论的，构造参数可以对应于由控制器102接收的构造元数据，并且不限于附图中所图示的参数。代替地，本公开包括所选择的构造的所有参数。如本领域中已知的，中转VPC操作以连接多个VPC和/或远程网络。

拓扑映射400还图示了各种构造之间的多个连接（例如，被图示为节点或顶点）。参考所选择的网关402，图示了若干连接（通信链路），包括但不限于：到网关404的链路412、到中转网关406的链路414、间接将网关402链接到中转网关410的链路416等。此外，变化的图形标记可以指示链路中的差异。例如，在一些实施例中，实心链路可以指示两个分支网关之间的链路或者网关到中转网关的链路。此外，在一些实施例中，虚线可以指示两个中转网关之间的链路。另外，在一些实施例中，可以对链路进行颜色编码，以提供关于链路状态的视觉指示，例如，绿色为活动，以及红色为不活动。

拓扑映射400还图示了除网关之外的构造，包括子网（诸如子网418）和虚拟数据中心（诸如虚拟数据中心408、420）（例如，分别表示AWS®资源和AZURE®资源）。

参考图4B，根据一些实施例，示出了由图示诊断功能的拓扑系统逻辑138生成的拓扑映射400的示例性图示。如图4A中所示出的，拓扑映射400可以显示按钮426（例如，标记为“诊断”），其被配置为接收激活按钮26的用户输入，这使拓扑系统逻辑138施行诊断程序的发起。在激活按钮426时，拓扑系统逻辑138使呈现显示框430，显示框430包括若干输入字段432-438，每个输入字段被配置为接收指示诊断程序的方面的用户输入。如所示出的，拓扑系统逻辑138被配置为对所选择的构造（网关402）施行诊断程序；然而，在其它实施例中，显示框430可以包括附加的用户输入字段，该用户输入字段被配置为接收将在其上施行诊断程序（或从其发起）的构造。

此外，拓扑系统逻辑138可以被配置为提供指示位于或邻近图4A中所图示的一个或多个链路的链路等待时间的值。拓扑系统逻辑138可以被配置为自动发送数据分组（例如，ping）并且通过分析数据分组被发送的时间和数据分组被接收的时间（包括在来自数据分组的目的地的响应分组中）来确定分组在传输中花费的时间。每条链路的链路等待时间可以以周期性间隔（例如每30秒、60秒等）更新，或者响应于触发事件（例如，接收到指示视觉的刷新的用户输入）而更新。尽管图4A中所图示的链路子集包括链路等待时间的指示，但是这可以为所有链路提供。有利的是，网络管理员可以使用链路等待时间的视觉来重新定位构造（例如，终止和重新启动不同子网中的虚拟机），以便改进链路等待时间。此外，链路等待时间的视觉可以用于评估与特定服务质量（QoS）水平（例如，如合同中所阐述）的不兼容性。另外，拓扑系统逻辑138可以设置等待时间阈值并监测链路等待时间，使得当链路等待时间满足或超过等待时间阈值（其可以对应于上面提到的特定QoS水平）时，生成通知或拓扑映射400的更改。

参考图4B，输入字段432-434被配置为分别接收目的地和接口的用户输入。按钮436-438被配置为经由用户输入激活，所述用户输入分别对应于对ping或跟踪路由的诊断程序的选择。尽管未示出，但是在其它实施例中，可以提供对应于其它诊断程序的选择的输入字段，例如包括TCP转储和/或链路等待时间检查。如图4B中所示出的，响应于激活按钮436（ping）的用户输入，拓扑系统逻辑138发起一个程序，其中从所选择的构造（网关402）向字段432中提供的目的地地址（例如，IP地址8.8.8.8）传输ping。ping的结果440被实时图示。因此，经由拓扑系统逻辑138通过拓扑映射400提供的诊断过程，可以向用户提供在跨越多个云网络的构造上施行的各种诊断程序的结果（例如，可以在部署在第一云中的第一网关和部署在第二云中的第二网关之间施行ping程序）,具有经由拓扑系统逻辑138生成的可视化平台提供的结果的视觉。

参考图4C，根据一些实施例，示出了由图示搜索和过滤功能的拓扑系统逻辑138生成的拓扑映射400’的示例性图示。拓扑系统逻辑138提供的另一个功能是在拓扑映射400内的搜索，以及基于接收到的用户输入（例如搜索项）对显示的构造的过滤。如所示出的，显示部分422可以包括输入字段442，例如文本框，其被配置为接收对应于搜索项的用户输入。响应于在输入字段442处接收用户输入，拓扑系统逻辑138施行拓扑映射400中显示的构造的搜索。该搜索可以是对存储的构造元数据的搜索，其中该搜索包括对图2B的构造元数据数据库220的一个或多个查询。从一个或多个查询返回的数据然后用于生成拓扑映射400’，这是拓扑映射400的过滤视图，仅显示与搜索项相关联的构造。例如，搜索项可以对应于上面讨论的任何构造参数。拓扑系统逻辑138不需要接收指定的参数，而是可以代替地只搜索数据库220内的所有构造参数以获得对应于搜索项的值。

应当理解，本公开的系统可以根据多个搜索项或参数进行过滤。另外，将理解，如自始至终所讨论的，拓扑系统逻辑138有利地存储跨越多个云网络的构造的构造元数据。因此，作为拓扑系统逻辑138接收一个或多个搜索项的结果而提供的过滤视图可以对应于跨越多个云网络的多个构造。

参考图4D，根据一些实施例，示出了由图示加标签的构造的拓扑系统逻辑138生成的拓扑映射400的示例性图示。如所示出的，显示部分422包括用户输入按钮424（例如，标记为“添加标签”），其对应于由拓扑系统逻辑138施行的加标签功能。响应于接收到激活按钮424的用户输入，显示框444由拓扑系统逻辑138生成，并被配置为接收对应于要与一个或多个所选择的构造相关联的标签（例如，字母数字文本）的进一步用户输入。在图4D的说明性示例中，选择了单个节点，即构造（网关402）。

在经由显示框444内包括的用户输入激活“添加”按钮时，将生成标签“ccdata”,并将其与所选择的构造（网关402）相关联。标签与所选择的构造的生成和关联包括由拓扑系统逻辑138施行的若干操作。例如，拓扑系统逻辑138生成并存储表，其中该表可以存储在图2B的标签数据库210中。该表包括标签“ccdata”和每个所选择的构造的唯一标识符、网关402的唯一标识符的关联。因此，并且在下面更详细讨论的，对构造加标签使得用户能够通过其相关联的（一个或多个）标签搜索拓扑映射400以获得构造，这对于用户来说是有利的，因为他们不再需要记住或通过唯一标识符来搜索，唯一标识符通常是长的字母数字串。此外，当多个构造被加标签有相同的标签时，用户可以搜索该标签，并且拓扑系统逻辑138将继而生成显示，该显示示出与作为搜索项提供的标签相关联的多个构造。在一些实施例中，如图4E中所示出的，拓扑映射400可以被过滤以仅显示与作为搜索项提供的标签相关联的多个构造。然而，在其它实施例中，尽管未示出，但是可以显示整个构造，同时与作为搜索项提供的标签相关联的多个构造以与那些不与标签相关联的构造在视觉上不同的方式显示（例如，突出显示、颜色编码等）。

参考图4E，根据一些实施例，示出了由图示图4D中所图示的加标签功能结合按标签搜索功能的拓扑系统逻辑138生成的拓扑映射400”的示例性图示。如上面所讨论的，拓扑系统逻辑138施行操作以基于接收到的用户输入生成标签，并将标签与一个或多个所选择的构造（例如，如关于图4D讨论的网关402）相关联。在图4E中所示出的图示中，假设已经施行了与图4D中所讨论的类似的操作集合，并且包括网关402的构造450已经被加标签有相同的标签，例如“ccdata”。

拓扑映射400”图示了拓扑映射400的视图，其中显示的构造已经由搜索项“ccdata”过滤，如作为用户输入提供给显示框422的文本448所图示的。另外，在接收到作为用户输入的文本448时，拓扑系统逻辑138在显示框422中图示搜索项（例如，搜索项446），并且进一步过滤拓扑映射400以显示拓扑映射400”，其图示了与搜索项446相关联的构造。

如上所述，假设构造450的分组已经加标签有“ccdata”；因此，在接收到作为用户输入的搜索项446时，拓扑系统逻辑138查询标签数据库210以检索用“ccdata”加标签的每个构造的唯一标识符。随后，拓扑系统逻辑138生成并使显示拓扑映射400”，其包括构造的分组450。

此外，图4E图示了拓扑系统逻辑138的加标签功能的第二方面，其在单个实例中要施行给构造加标签的操作。如所示出的，构造450的分组看起来是经由用户输入选择的。拓扑系统逻辑138进一步被配置为用显示框452中提供的用户输入来给所选择的构造加标签，如上面所讨论的，显示框452的显示是激活“添加标签”按钮424的结果。具体地，显示框452被示出为接收用户输入454（Company 1）。因此，响应于显示框452内的“添加”按钮的激活，拓扑系统逻辑138将生成“Company 1”的标签，并将分组450内的每个构造与“Company 1”的标签相关联。

应当注意的是，图4E的图示示例公开了拓扑系统逻辑138的加标签功能的又另一方面，即，构造可以与多个标签相关联。如所示出的，分组450的每个构造与至少两个标签相关联：“ccdata”和“Company 1”。

应当理解的是，标签不仅仅更换构造标识符（诸如IP地址），而且由于多个资源可能具有相同的标签，给构造加标签允许用户可视化其中贯穿整个网络部署构造的指定子集的位置，其可能跨越多个云网络。如在图5A-5G中图示的并且将关于图5A-5G讨论的，通过（一个或多个）标签的搜索使得用户能够可视化与（一个或多个）标签相关联的构造的特定网络数据。

参考图4F，根据一些实施例，示出了由图示活动用户跟踪功能的拓扑系统逻辑138生成的拓扑映射400的示例性图示。图4F的拓扑映射400的“拓扑”方面的视图包括输入按钮454和显示部分456。输入按钮454（例如，标记为“取得活动用户”）可以被配置为接收对应于可视化活动用户的用户请求的用户输入，例如，与诸如网关452之类的所选择的网关相关联的用户输入。活动用户可以是登录到虚拟私有网络（VPN）的用户，该虚拟私有网络能够访问由云网络提供的资源。显示部分456可以被配置为接收对应于所选择的活动用户（例如活动用户458）的跟踪功能的选择和发起的用户输入，以及跟踪功能是否要跟踪所选择的活动用户的网络业务，其中所选择的活动用户是源还是目的地。

更具体地，作为构造元数据的一部分，拓扑系统逻辑138接收与利用控制器102管理的资源的活动用户有关的信息。在经由用户输入激活输入按钮454时，拓扑系统逻辑138可以向构造元数据数据库220查询与所选择的网关有关的活动用户。在检索到所选择的网关的活动用户时，拓扑系统逻辑138通过显示与所选择的网关相关联的活动用户的其它标记的图形表示来引起拓扑映射400的更改。然而，在一些实施例中，不需要选择网关，使得拓扑系统逻辑138检索由控制器102管理的每个网关的活动用户。

在图4F中所图示的示例性实施例中，假设选择了网关452，并且已经经由用户输入激活了输入按钮454。示出了多个活动用户登录到与网关452相关联的VPN，包括活动用户458。另外，图4F图示了显示部分456已经接收到对应于跟踪网络工作的选择的用户输入，使得具有活动用户458的目的地地址的网络业务将被拓扑系统逻辑138跟踪。网络业务的跟踪可以包括监测进入或离开所选择的网关的每个数据分组的源IP地址或目的地IP地址。在一些实施例中，可以使用与活动用户458的图形表示相邻和/或连接到活动用户458的图形表示的图形表示来显示被跟踪的网络业务。如所示出的，经由图形表示460

参考图4G-4H，根据一些实施例，示出了由图示重放功能的拓扑系统逻辑138生成的拓扑映射400’’’和400’’’’的示例性图示。拓扑系统逻辑138可以配置有在给定时间实例周期性地或者当接收到指示这样的保存操作的用户输入时保存由控制器102管理的每个构造和连接的状态的功能。给定时间实例的每个构造和连接的状态记录可以统称为“快照”。每个构造的状态可以包括与如本文中讨论的构造相关联的每个参数的记录。另外，拓扑系统逻辑138可以被配置为确定第一快照和第二后续快照之间的对应构造和对应连接的状态差异（如果适用的话）。拓扑系统逻辑138然后可以生成图示状态差异的接口屏。

图4G的图示图示了在时间实例t

3.网络流可视化

现在参考图5A-5G，根据一些实施例，示出了图示由拓扑系统逻辑138生成的网络业务流的接口屏。具体地，图5A-5G图示了表示部署在由控制器102管理的一个或多个云网络中的多个构造之间的网络业务流的可视化（“网络流可视化500”）以及各种构造之间的连接。

作为简要回顾，上面讨论的仪表板300被配置为提供云计算环境参数的可视化，诸如活动网关的数量、VPN用户的数量、与控制器管理的云计算环境相关联的虚拟数据中心的细节、虚拟数据中心的位置等。此外，拓扑映射400被配置为提供由控制器管理的每个构造如何连接的可视化；因此，提供了由控制器管理的整个云计算环境的交互的视觉。最后，网络流可视化500被配置为提供在由控制器管理的构造之间流动的网络业务的可视化。因此，由包括仪表板300、拓扑映射400和网络流可视化500的拓扑系统逻辑138生成的可视化平台提供了由控制器管理的整个云计算环境的整体视图，如贯穿本公开所讨论的，其可以跨越多个云网络。

i.概述

现在参考图5A，根据一些实施例，示出了由拓扑系统逻辑138生成的网络流可视化500的可视化的示例性图示。如所示出的，网络流可视化500包括多个显示部分502-508，其中显示部分508包括多个图表510

显示部分502表示网络流可视化500的标题，所述标题被配置为接收对应于重定向到网络流可视化500的特定方面的选择的用户输入，所述特定方面诸如：概述、趋势、地理位置、流和记录，其中每个将在下面进一步讨论。特别地，显示部分502指示“概述”是当前正在显示的网络流可视化500的方面。

显示部分504提供了针对时间段的若干过滤选项，在所述时间段内网络业务流要贯穿网络流可视化500显示。例如，显示部分包括输入字段，该输入字段包括被配置为接收对应于开始时间和结束时间的用户输入的日期选择器。此外，可以提供使得能够经由单击进行快速选择的按钮，这些按钮在激活时使拓扑系统逻辑138按预确定的时间段过滤所显示的网络业务流，诸如但不受限于或局限于：“上一小时”、“上一天”、“上一周”、“上个月”等。

显示部分506被配置为提供附加过滤选项，包括按特定类别过滤，诸如但不受限或局限于源地址、目的地地址、流出口（主机）、源端口、目的地部分等，以及对应的搜索项（“过滤项”）。另外，当适用时，显示部分506显示活动过滤器。在所示出的实施例中，当前正在应用先前在图4E中讨论的过滤器446（“ccdata”），其对应于显示部分508的图表510

重要的是，如图5A图示的，经由拓扑映射400生成的标签可以用作搜索项，并在网络流可视化500中应用为过滤器。因此，用户可以经由拓扑映射400提供用户输入，从而使拓扑系统逻辑138生成标签并将该标签与可以部署在多个云网络中的一个或多个所选择的构造相关联。另外，在标签（例如，“ccdata”）的生成和关联之后，拓扑系统逻辑138可以经由网络流可视化500接收进一步的用户输入，从而使拓扑系统逻辑138过滤所显示的网络业务流，并且仅显示加标签有“ccdata”的构造当中（例如，之间、去往和来自）的网络业务流。

此外，如图5B-5C中所示出的，显示部分508的图表510

现在参考图5B，根据一些实施例，示出了由拓扑系统逻辑138生成的网络流可视化500的可视化的示例性图示。如所示出的，根据过滤器514过滤网络流可视化500，这对应于选择图5A的图表510

ii.趋势

参考图5C，根据一些实施例，示出了由拓扑系统逻辑138生成的网络流可视化500的可视化的示例性图示，其旨在图示网络业务流的“趋势”。图5C图示了网络流可视化500的“趋势”方面，其包括关于图5A-5B讨论的显示部分504-506。此外，“趋势”方面可以包括显示部分516-518，其包括根据目的地端口名称的以字节为单位的网络业务随时间的曲线图，以及图示多个目的地端口名称的以字节为单位的网络业务的图表518

如所示出的，根据过滤器514过滤网络流可视化500，过滤器514经由网络流可视化500的“概述”方面生成和应用，并在上面讨论。因此，拓扑系统逻辑138被配置为应用贯穿网络流可视化500持久的过滤器，这意味着在一个方面（例如“概述”）中应用的过滤器将跨其它方面（例如“趋势”）被维护，并过滤其中图示的数据。

现在参考图5D，根据一些实施例，示出了由拓扑系统逻辑138生成的网络流可视化500的可视化的示例性图示，其旨在图示图5C中所示出的曲线图的过滤视图。如图5C中所图示的，显示部分516的曲线图的一部分经由指示符5D-5D被选择。图5D图示了拓扑系统逻辑138被配置为接收对应于对诸如5D-5D之类的曲线图的一部分的选择的用户输入，并更改曲线图的放大率（例如，放大）以突出显示所选择的部分。由于图5C的图表518

iii.地理位置

参考图5E，根据一些实施例，示出了由拓扑系统逻辑138生成的网络流可视化500的可视化的示例性图示，其旨在图示网络业务流的“地理位置”。图5E图示了网络流可视化500的“地理位置”方面，其至少包括关于图5A-5B讨论的显示部分506（在一些实施例中，也可以包括显示部分504）。此外，“地理位置”方面可以包括显示部分520-522。显示部分520图示了“热图”，其包括地理区域的地图，例如世界地图，该地图包括关于地图上各个位置的网络业务密度的视觉指示符。如图5E的说明性实施例所示出的，热图520包括表示热图的视觉指示符，以图示在由控制器102管理的构造之间流动的网络业务的变化密度，其中在构造之间流动的网络业务的密度可以包括热图信息。另外，图表524

具体地，拓扑系统逻辑138基于分别从控制器102和由控制器102管理的网关接收的构造元数据和网络数据，确定在构造之间流动的网络业务的密度。在一些实施例中，图5E中所示出的图示可以在周期性或非周期性的基础上更新（例如，响应于触发事件，诸如接收到的发起刷新的用户输入）。

以与上面关于图3A-5D的用户接口所讨论的类似的方式，热图520和显示部分522的图表可以以各种方式过滤，诸如通过经由显示部分506接收用户输入，选择显示部分522的任何图表的一部分，或通过经由网络流可视化500的不同“方面”应用的持久过滤器。

iv.流

参考图5F，根据一些实施例，示出了由拓扑系统逻辑138生成的网络流可视化500的可视化的示例性图示，其旨在图示网络业务的“流”方面。图5F图示了网络流可视化500的“地理位置”方面，其至少包括关于图5A-5B讨论的显示部分506（在一些实施例中，也可以包括显示部分504）。此外，“流”方面可以包括显示部分526、530和532。显示部分526图示了多个图表528

显示部分530可以是由控制器102管理的源IP和目的地IP的数量的视觉。此外，显示部分532图示了从源IP流向目的地IP的网络业务的图形表示。在一些实施例中，诸如图5F的实施例，图形表示可以显示从源IP地址到目的地IP地址的一系列流线，其中每个流线以视觉上不同的方式图示（例如，每个流线不同的颜色）。图形表示可以被配置为接收选择源或目的地IP地址的用户输入，并且响应于接收这样的用户输入，拓扑系统逻辑138被配置为更改图形表示以强调（或单独显示）与所选择的IP地址相关联的（一个或多个）流。此外，显示部分524和520中的每一个中显示的内容可以根据所选择的IP地址进行过滤和调整，以提供对应于所选择的IP地址的网络数据。

v.记录

参考图5G，根据一些实施例，示出了由拓扑系统逻辑138生成的网络流可视化500的可视化的示例性图示，其旨在图示网络业务的“记录”方面。图5F图示了网络流可视化500的“记录”方面，其至少包括关于图5A-5B讨论的显示部分504-506。

此外，网络流可视化500的“记录”方面包括显示部分534，其图示了关于图5F中所图示的网络业务流的细节的图形表示，例如表格式。例如，该表可以包括提供与以下有关的数据的列：时间戳、主机、目的地IP地址、源IP地址、在时间戳指示的时间流中的字节数量、网络业务流的方向（入口或出口）、在时间戳指示的时间传输的数据分组数量等。

IV.逻辑流

现在参考图6，根据一些实施例，示出了拓扑系统逻辑、控制器和由控制器管理的一个或多个网关之间的示例性通信方法的流程图。图6中图示的每个框表示在方法600中施行的与控制器交换通信并从控制器管理的一个或多个网关接收数据的操作。在方法600的发起之前，可以假设已经部署了诸如图1中所图示的分布式云管理系统。当拓扑系统逻辑（诸如图1的拓扑系统逻辑138）向控制器（诸如图1的控制器102）查询构造元数据时，发起方法600（框602）。如上面所讨论的，查询可以经由一个或多个API调用。随后，拓扑系统逻辑138接收所请求的构造元数据，并将接收到的数据存储在数据库中，诸如图2B的构造元数据数据库220中（框604）。

另外，拓扑系统逻辑从控制器管理的一个或多个网关接收网络数据（框606）。拓扑系统逻辑继续进行将接收到的网络数据存储在数据库（诸如图2B的网络数据数据库222）中。

在接收到构造元数据和网络数据后，拓扑系统逻辑基于接收到的数据生成一个或多个可视化（框608）。图3A-5G中图示了可以生成的示例性可视化；然而，可以由拓扑系统逻辑生成的可视化不限于所图示的那些。

参考图7A-7B，根据一些实施例，示出了由拓扑系统逻辑施行并在图4A-5A中图示的加标签和搜索方法的流程图。图7A-7B中图示的每个框表示由拓扑系统逻辑施行的加标签和搜索操作的方法700中施行的操作。在方法700的发起之前，可以假设已经部署了诸如图1中所图示的分布式云管理系统。当拓扑系统逻辑（诸如图1的拓扑系统逻辑138）生成拓扑映射可视化并使得经由接口用户接口进行呈现时，发起方法700（框702）。在生成拓扑映射可视化后，拓扑系统逻辑经由对应于一个或多个构造的选择的拓扑映射可视化接收用户输入，并且进一步指示标签名称（框704）。响应于接收到的用户输入，拓扑系统逻辑生成将所选择的一个或多个构造的唯一标识符与标签名称相关联的表（框706）。

生成表后，方法700可以继续进行到框708和/或框714。参考框708，拓扑系统逻辑经由拓扑映射可视化接收将标签名称指示为搜索项的进一步的用户输入。响应于接收到搜索项，拓扑系统逻辑查询存储先前生成的表的标签数据库，以检索与搜索项相关联的一个或多个加标签的构造中的每一个的唯一标识符（框710）。在检索唯一标识符后，拓扑系统逻辑施行引起拓扑映射可视化的更改的操作，该操作在视觉上将与搜索项相关联的一个或多个加标签的构造与不与搜索项相关联的构造区分开（框712）。例如，更改可以包括提供可视化，该可视化仅显示与搜索项相关联的加标签构造的图形表示以及包括其间链路的对应网络数据。然而，已经考虑了其它替代，诸如相对于其它构造和网络数据增加与搜索项相关联的加标签构造（和对应的网络数据）的大小（或者减少未加标签构造的大小）。

现在参考图7B和框714，在生成表后，拓扑系统逻辑生成控制器管理的一个或多个构造当中（之间、去往和/或来自）的网络业务流的可视化。应当注意，在一些实施例中，框714的操作可以在生成表之前施行。拓扑系统逻辑经由网络业务流的可视化接收进一步的用户输入，该用户输入将标签名称指示为过滤项（框716）。

响应于接收到过滤项，拓扑系统逻辑查询标签数据库，以检索与过滤项相关联的一个或多个构造中的每一个的唯一标识符（框718）。在检索到唯一标识符后，拓扑系统逻辑施行引起网络业务流的可视化的更改的操作，以仅显示与过滤项相关联的一个或多个构造之间的网络业务流的图示（框720）。例如，图5A中示出了示例性可视化。

现在参考图8，根据一些实施例，示出了由拓扑系统逻辑施行并在图4G-4H中图示的重放功能的示例性方法的流程图。图8中图示的每个框表示由包括重放功能的拓扑系统逻辑施行的操作的方法800中施行的操作。在方法800的发起之前，可以假设已经部署了诸如图1中所图示的分布式云管理系统。当拓扑系统逻辑（诸如图1的拓扑系统逻辑138）在第一时间实例记录由控制器管理的所有构造的构造元数据和可选地网络数据的至少一部分时，发起方法800（框802）。另外，拓扑系统逻辑在第二后续时间实例记录由控制器管理的所有构造的构造元数据和可选地网络数据的至少一部分（框804）。

在第一和第二时间实例记录（例如，存储在数据库（诸如图2B的快照数据库218）中）数据后，并响应于指示发起由控制器管理的构造（和其间的链路）的状态之间的比较的用户输入，拓扑系统逻辑施行第一时间实例记录的数据与第二时间实例记录的数据之间的比较（框806）。

进一步响应于用户输入，拓扑系统逻辑生成图示第一和第二时间实例记录的数据之间的一个或多个差异（如果有的话）的拓扑映射可视化，并使得经由接口用户接口进行呈现（方框）。图4G-4G中示出了示例性的可视化；然而，可以生成的可视化不限于所示出的那些。

在前述描述中，本发明参考其特定示例性实施例进行了描述。然而，将明显的是，在不脱离如所附权利要求中阐述的本发明的更广泛的精神和范围的情况下，可以对其进行各种修改和改变。