CN102413032B - 提供使用多承租人中继的虚拟网络 - Google Patents
提供使用多承租人中继的虚拟网络 Download PDFInfo
- Publication number
- CN102413032B CN102413032B CN201110300658.0A CN201110300658A CN102413032B CN 102413032 B CN102413032 B CN 102413032B CN 201110300658 A CN201110300658 A CN 201110300658A CN 102413032 B CN102413032 B CN 102413032B
- Authority
- CN
- China
- Prior art keywords
- computer system
- data
- tenant
- relay services
- many tenants
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了提供使用多承租人中继的虚拟网络。各实施例涉及提供多承租人中继服务,该多承租人中继服务在计算机系统之间安全地中继数据。计算机系统接收要被从属于第一承租人的第一计算机系统传递到不同的第二计算机系统的数据的一部分。实例化的多承租人中继服务被配置成为多个不同承租人安全地中继数据。该计算机系统创建用于在该第一计算机系统和该第二计算机系统之间路由该第一承租人的该数据的安全路由通道。该安全路由通道向从该第一承租人接收的数据的每个部分应用唯一标识符。该计算机系统还使用所应用的唯一标识符通过该安全路由通道将来自该第一计算机系统的所接收的数据路由到该第二计算机系统。
Description
技术领域
本发明涉及提供多承租人中继服务,尤其涉及提供使用多承租人中继的虚拟网络。
背景技术
计算机已变得高度集成于工作、家庭、移动设备以及许多其他地方中。计算机可快速且有效地处理大量信息。被设计成在计算机系统上运行的软件应用程序允许用户执行包括商业应用程序、学校作业、娱乐等等在内的各种各样的功能。软件应用程序通常被设计成执行特定任务,诸如用于草拟文档的文字处理器应用程序或者用于发送、接收和组织电子邮件的电子邮件程序。
在许多情况下,软件应用程序被设计为与其他软件应用程序或其他计算机系统交互。例如,客户端计算机系统可被配置成从服务提供商请求服务。服务提供商可从各种客户端接收请求,并且响应于这些请求而提供服务。提供服务可包括在提供商和客户端计算机系统之间传送各种通信。通常,这些计算机系统在不同的计算机网络上,这些不同的计算机网络被各种硬件或软件设备(诸如路由器和防火墙)分离或阻隔。
在某些情况下,可在处于分离的网络上的计算机系统之间建立虚拟专用网络(VPN)、中继或其他安全通信通道。然而,中继通常要么是对组织专用的,要么是公开的,这允许访问任何用户,包括可能有害的用户。
发明内容
此处描述的实施例涉及提供多承租人中继服务,该多承租人中继服务在计算机系统之间安全地中继数据。在一个实施例中,计算机系统接收要被从属于第一承租人的第一计算机系统传递到不同的第二计算机系统的数据的一部分。实例化的多承租人中继服务被配置成为多个不同承租人安全地中继数据。该计算机系统创建用于在该第一计算机系统和该第二计算机系统之间路由该第一承租人的该数据的安全路由通道。该安全路由通道向从该第一承租人接收的数据的每个部分应用唯一标识符。该计算机系统还使用所应用的唯一标识符通过该安全路由通道将来自该第一计算机系统的所接收的数据路由到该第二计算机系统。
在另一实施例中,计算机系统接收要被从第一计算机系统传递到不同的第二计算机系统的数据的一部分。实例化的多承租人中继服务被配置成为多个不同承租人中继数据。该计算机系统创建用于在该第一计算机系统和该第二计算机系统之间路由该数据的安全路由通道。该安全路由通道向从该第一承租人接收的数据的每个部分提供唯一标识符。该计算机系统确定各种不同网络协议中的哪些网络协议对于路由所接收的数据是可用的,且基于对哪些网络协议是可用的的确定,动态选择使数据传输效率最优化的适当的协议。该计算机系统还使用所确定的协议将来自该第一计算机系统的所接收的数据路由到该第二计算机系统。使用所应用的唯一标识符通过该安全路由通道路由该数据。
提供本发明内容以便以简化形式介绍将在以下的具体实施方式中进一步描述的一些概念。本发明内容并不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
本发明的附加特征和优点将在以下描述中阐述,且其一部分根据本描述将是显而易见的,或可通过对此处的原理的实践来获悉。本发明的特征和优点可通过在所附权利要求书中特别指出的工具和组合来实现和获得。本发明的特征将通过以下描述和所附权利要求书变得更加显而易见,或可通过对下文中所述的本发明的实践来获悉。
附图说明
为了进一步阐明本发明的各实施例的以上和其他优点和特征,将参考附图来呈现本发明的各实施例的更具体的描述。可以理解,这些附图只描绘本发明的典型实施例,因此将不被认为是对其范围的限制。本发明将通过使用附图用附加特征和细节来描述和解释,附图中:
图1示出本发明的实施例可在其中操作的计算机体系结构,该操作包括提供在计算机系统之间安全地中继数据的多承租人中继服务。
图2示出用于提供在计算机系统之间安全地中继数据的多承租人中继服务的示例方法的流程图。
图3示出用于提供在计算机系统之间安全地中继数据的多承租人中继服务的一替代示例方法的流程图。
图4示出本发明的一实施例,其中来自多个承租人的通信通过安全路由通道被安全地路由。
具体实施方式
此处描述的实施例涉及提供多承租人中继服务,该多承租人中继服务在不能在彼此之间直接路由安全连接的计算机系统之间安全地中继数据。在一个实施例中,计算机系统接收要被从属于第一承租人的第一计算机系统传递到不同的第二计算机系统的数据的一部分。实例化的多承租人中继服务被配置成为多个不同承租人安全地中继数据。该计算机系统创建用于在该第一计算机系统和该第二计算机系统之间路由该第一承租人的该数据的安全路由通道。该安全路由通道向从该第一承租人接收的数据的每个部分应用唯一标识符。该计算机系统还使用所应用的唯一标识符通过该安全路由通道将来自该第一计算机系统的所接收的数据路由到该第二计算机系统。
在另一实施例中,计算机系统接收要被从第一计算机系统传递到不同的第二计算机系统的数据的一部分。实例化的多承租人中继服务被配置成为多个不同承租人中继数据。该计算机系统创建用于在该第一计算机系统和该第二计算机系统之间路由该数据的安全路由通道。该安全路由通道向从该第一承租人接收的数据的每个部分提供唯一标识符。该计算机系统确定各种不同网络协议中的哪些网络协议对于路由所接收的数据是可用的,且基于对哪些网络协议是可用的的确定,动态选择使数据传输效率最优化的适当的协议。该计算机系统还使用所确定的协议将来自该第一计算机系统的所接收的数据路由到该第二计算机系统。使用所应用的唯一标识符通过该安全路由通道路由该数据。
现在,后续讨论参考可被执行的多个方法和方法动作。应当记住,虽然这些方法动作可能是按一定次序讨论的,或者是在流程图中被描绘为是按照特定顺序进行的,然而并非必然需要特定的次序,除非特别声明,或者是因为一个动作依赖于另一动作在该动作被执行之前完成而需要的。
本发明的各实施例可包括或利用专用或通用计算机,该专用或通用计算机包括诸如例如一个或多个处理器和系统存储器等计算机硬件,如以下更详细讨论的。本发明范围内的各实施例还包括用于携带或存储计算机可执行指令和/或数据结构的物理介质和其他计算机可读介质。这些计算机可读介质可以是通用或专用计算机系统能够访问的任何可用介质。存储计算机可执行指令的计算机可读介质是计算机存储介质。携带计算机可执行指令的计算机可读介质是传输介质。由此,作为示例而非限制,本发明的各实施例可包括至少两种完全不同类型的计算机可读介质:计算机存储介质和传输介质。
计算机存储介质包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备、或可用于存储计算机可执行指令或数据结构形式的所需程序代码手段且可由通用或专用计算机访问的任何其他介质。
“网络”被定义为允许在计算机系统和/或模块和/或其他电子设备之间传输电子数据的一个或多个数据链接。当信息通过网络或另一个通信连接(硬连线、无线、或者硬连线或无线的组合)传输或提供给计算机时,该计算机将该连接适当地视为传输介质。传输介质可包括可用于携带计算机可执行指令或数据结构形式的所需程序代码手段且可由通用或专用计算机访问的网络和/或数据链接。上述的组合也应被包括在计算机可读介质的范围内。
此外,在到达各种计算机系统组件之后,计算机可执行指令或数据结构形式的程序代码手段可从传输介质自动传输到计算机存储介质(或反之亦然)。例如,通过网络或数据链接接收到的计算机可执行指令或数据结构可被缓存在网络接口模块(例如,“NIC”)内的RAM中,然后最终被传输到计算机系统RAM和/或计算机系统处的较不易失性的计算机存储介质。因而,应当理解,计算机存储介质可被包括在还利用(甚至主要利用)传输介质的计算机系统组件中。
计算机可执行指令包括例如,使通用计算机、专用计算机、或专用处理设备执行某一功能或某组功能的指令和数据。计算机可执行指令可以是例如二进制代码、诸如汇编语言之类的中间格式指令、或甚至源代码。尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述特征或动作。相反,上述特征和动作是作为实现权利要求的示例形式而公开的。
本领域的技术人员将理解,本发明可以在具有许多类型的计算机系统配置的网络计算环境中实践,这些计算机系统配置包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持式设备、多处理器系统、基于微处理器的或可编程消费电子设备、网络PC、小型计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机等等。本发明也可在其中通过网络链接(或者通过硬连线数据链接、无线数据链接,或者通过硬连线和无线数据链接的组合)的本地和远程计算机系统两者都执行任务的分布式系统环境中实施。在分布式系统环境中,程序模块可位于本地和远程存储器存储设备中。
图1示出了可在其中采用本发明的原理的计算机体系结构100。计算机体系结构100包括通过因特网130通信的承租人120和主机135。承租人和主机可被配置成穿过防火墙125A和125B通信。除了防火墙以外,通信还可穿过路由器、交换机、网关或其他网络通信设备。承租人120可具有基本上任何数量的计算机系统。例如,承租人可以是组织,诸如可具有数百、数千或更多计算机系统的政府实体、学校、公司或其他商业实体。或者,承租人可以是具有单个计算机系统的单个用户。相应地,要理解,尽管图1中示出承租人1(120)具有三个计算机系统(121A1、121A2和121A3),然而该承租人可具有任意数量的计算机系统。
相应地,主机135也可具有任意数量的计算机系统,并可提供或主存(host)任意数量的服务。主机可以是为不同的承租人主存各种不同服务的多承租人主机。每个承租人可订阅不同的服务,甚至不同版本的服务。那么承租人的用户中的每一个都能访问那些服务。多承租人主机验证用户的身份为某个客户端或承租人的一部分,并提供该承租人所订阅的那些服务。每个承租人的设定、配置、订阅、所存储的文档和其他项目与所有其他承租人的信息保持分离。在某些情况下,主机135可以是基于云的主机,分布于可在物理上位于世界上任何地方的多个不同计算机系统间。这样,主机的任一计算机系统可提供承租人所请求的服务。
在一些实施例中,在承租人120和主机135之间可建立虚拟网络。虚拟网络可使用多承租人中继服务105(或本文中的“服务105”)在承租人和主机之间安全地传输数据。承租人可通过由服务105建立的安全路由通道110发送数据106。可用唯一标识符(唯一ID107)标记从每个不同承租人发送的数据,该唯一标识符指示该数据是从哪个承租人处接收的。数据106可通过安全套接字层(SSL)隧道或其他安全通信手段通过虚拟专用网络(VPN)传送。
在某些情况下,此虚拟网络可被描述为网络虚拟化层,该网络虚拟化层管理连接到该虚拟网络的承租人计算机系统的创建和地址分配。多承租人中继服务105可支持参与虚拟网络的计算机系统之间的连通性。网络虚拟化层可将网际协议(IP)端点暴露为计算机系统的操作系统内的网络适配器。虚拟网络里的每个端点(即,每个计算机系统或承租人)可从目录服务接收唯一地址或其他标识符,该唯一地址或其他标识符允许该计算机系统与虚拟网络里的其他端点通信。安装在参与虚拟网络的计算机系统上的驱动器或软件代理可以负责通过中继服务105发送IP流量并从该中继服务接收流量。
在一些实施例中,多承租人服务105被配置成创建与中继服务交互的孤立的路由域。每个路由域能限制对一组授权(承租人或主机)机器的访问并能提供命名空间以唯一地标识该域中的机器。这不仅使对中继服务的访问安全,而且在计算机系统连接到中继服务后对这些计算机系统之间的访问进行了划分。在一个实施例中,多承租人中继服务可提供一个或更多个孤立的路由域,该一个或更多个孤立的路由域可用于构建虚拟网络。在一些情况下,可实例化安全套接字隧道协议(SSTP)中继,该SSTP中继基于该承租人的身份从特定的子网分配IP地址。下面,分别针对图2和图3的方法200和300,更详细地描述这些和其他概念。
考虑到以上描述的系统和体系结构,参考图2和图3的流程图将更好地理解可依照所公开的主题实现的方法。为了解释简明起见,这些方法被示出和描述为一系列框。然而,应该理解和了解,所要求保护的主题不受框的次序的限制,因为一些框可按不同的次序进行和/或与此处所描绘和描述的其他框同时进行。此外,并非全部所示出的框都是实现下面所描述的方法所必需的。
图2示出用于提供在计算机系统之间安全地中继数据的多承租人中继服务的方法200的流程图。现在将频繁参照环境100的组件和数据来描述方法200。
方法200包括如下动作:在实例化的多承租人中继服务处,接收要被从属于第一承租人的第一计算机系统传递到不同的第二计算机系统的数据的一部分,其中该实例化的多承租人中继服务被配置成为多个不同承租人安全地中继数据(动作210)。例如,多承租人中继服务105可接收要被从承租人1(120)传递到主机135的数据106。中继服务可被配置成为多个不同承租人安全地中继数据。在某些情况下,该中继服务可将每个计算机系统(例如,121A1)唯一地标识为属于某个承租人(例如,承租人120)的计算机系统。在其他情况下,该中继服务可将该数据唯一地标识为来自某个承租人,而不管该数据来自哪个计算机系统。相应地,由中继服务105附加于该数据的唯一ID107可唯一地标识从其接收该数据的承租人和/或作为承租人120的一部分的特定计算机系统或用户。
如同上面指示的,主机和承租人计算机系统可以是在物理上分布式的,或者可以在不同网络上本地分布的。多承租人中继服务还可以运行在多个分布式计算机系统上。在这样的情况下,中继服务可确定哪些路径是最优的(例如,最高带宽、最安全、最短路径等)且可以使用偏好路径来路由数据106。在一些实施例中,可为连接到多承租人中继服务的每个计算机系统安装或以其他方式提供软件代理。该代理可负责将计算机系统加入该中继服务和/或提供用于IP地址翻译的域名系统(DNS)服务。因此,在使用该中继服务建立的虚拟网络内,计算机系统可在其通信中使用DNS。在一些情况下,该多承租人中继服务是IP层中继。在这样的情况下,在IP层管理第一和第二计算机系统之间的通信。
方法200包括如下动作:多承租人中继服务创建安全路由通道,用以在第一计算机系统和第二计算机系统之间路由第一承租人的数据,其中该安全路由通道向从第一承租人接收的数据的每一部分应用唯一标识符(动作220)。例如,多承租人中继服务105可创建用于在承租人120和主机135之间路由数据106的安全路由通道110。该安全路由通道可向从承租人120接收的数据的每一部分应用唯一标识符107。附加地或替代地,该安全路由通道可向从该承租人的特定计算机系统(例如,从计算机系统121A2)接收的数据的每一部分应用该唯一标识符。
创建安全路由通道可包括创建用于在安全路由通道中的IP地址之间进行路由的IP地址空间。在使用DNS的情况下,应用于该承租人的数据的唯一ID 107可被从该承租人映射到该第一计算机系统(例如,121A2)的DNS名称以解析该第一计算机的DNS名称。因此,发送数据106的计算机的DNS名称被映射到由安全路由通道应用的唯一ID。
如同之前提到过的,唯一标识符107可被应用于从某一承租人(例如,承租人120)接收的所有数据,而不管该数据是从哪个计算机系统或哪些计算机系统接收的。用这种方式,所应用的唯一标识符允许每个承租人在多承租人中继服务中拥有自己的唯一命名空间,因为在承租人和主机之间传输的数据的每一部分被唯一地标识为来自该承租人。类似地,唯一标识符107可被应用于从某一计算机系统接收的所有数据,其中在该计算机系统和主机之间传输的数据的每一部分被唯一地标识为来自那个计算机系统。因此,来自给定承租人的数据(不管承租人的用户中的哪个正在发送该数据)被保持与其他承租人的数据分离。这增加了数据传输的安全度。此增加的安全性(以及其他特征)允许中继服务105向使用该服务的承租人提供安全保证。这对于涉及私人的、财务的、机密的或需要在安全环境传送的其他信息的服务是尤其重要的。
方法200包括如下动作:多承租人中继服务使用所应用的唯一标识符通过该安全路由通道将来自第一计算机系统的所接收的数据路由到第二计算机系统(动作230)。例如,中继服务105可使用所应用的唯一标识符107通过安全路由通道110将来自承租人120的数据106路由到主机135。该唯一标识符被应用到通过安全路由通道传输的(去往和来自该承租人和主机的)所有数据。在一些情况下,多个不同承租人向主机105发送数据以及从主机105接收数据。
例如,如图4的计算机环境400中所示,承租人420A、420B和420C每个可各自向多承租人中继服务405发送不同的数据。具体来说,承租人420A向中继服务405的安全路由通道410发送数据406A。然后安全路由通道应用唯一标识符(承租人420A唯一ID)407A并将该数据传输至服务提供商435。类似地,承租人420B和420C向中继服务405的安全路由通道410发送数据406B和406C。然后安全路由通道分别应用唯一标识符(承租人420B唯一ID和承租人420C唯一ID)407B和407C,并将该数据传输至服务提供商435。
保持每个承租人的数据与其他承租人的数据的分离和安全,即便这些承租人正连接于相同的服务。而且,每个承租人的数据被唯一地标识为来自给定承租人(或来自该承租人的特定用户/计算机系统)。因此,在每个承租人具有它自己的唯一标识符的情况下,即便在两个承租人具有相同IP地址的情况下,数据也能被分离和路由。用这种方式,中继服务可安全地在承租人和主机之间中继信息。传送回承租人的计算机系统的数据保持由安全路由通道分配给它的唯一ID。而且,在承租人的计算机系统上运行的应用程序可以看上去像是直接连接于在主机系统上运行的应用程序或服务而不经网络地址翻译,因为通信数据是通过源和目的地之间的虚拟网络经由安全路由通道传递(channel)的。
现在转向图3,图3示出用于提供在计算机系统之间安全地中继数据的多承租人中继服务的方法300的流程图。现在将频繁参照环境100的组件和数据来描述方法300。
方法300包括如下动作:在实例化的多承租人中继服务处,接收要被从第一计算机系统传递到不同的第二计算机系统的数据的一部分,其中该实例化的多承租人中继服务被配置成为多个不同承租人中继数据(动作310)。例如,多承租人中继服务105可接收要被从计算机系统121A3传递到主机135的计算机系统131A1、131A2或131A3中的一个的数据106。如同上面指出的,中继服务105可被配置成为各种不同承租人中继数据。一些承租人可包括一个计算机用户而一些承租人可包括数千个或者更多用户。中继服务可将计算机系统(比如121A3)唯一地标识为属于承租人120。附加地或替代地,中继服务可将计算机用户标识为属于承租人,而不管用户正在使用哪个计算机系统。例如,用户可认证为承租人120的成员,并且通过该认证,能够访问该承租人订阅的服务。
方法300进一步包括如下动作:多承租人中继服务创建安全路由通道,用以在第一计算机系统和第二计算机系统之间路由数据,其中该安全路由通道向从第一承租人接收的数据的每一部分提供唯一标识符(动作320)。例如,多承租人中继服务105可创建用于在承租人120和主机135之间路由或中继数据的安全路由通道110。该安全路由通道向从给定计算机用户或计算机系统接收的数据的每一部分应用唯一标识符107。
方法300包括如下动作:确定多个不同网络协议中的哪些网络协议对于路由所接收的数据是可用的(动作330)。例如,中继服务105可确定哪些网络服务对于路由数据106是可用的。所述协议可包括超文本传输协议(HTTP)、传输控制协议(TCP)、网际协议(IP)或用于通过网络传输数据的任何其他协议。该中继服务还可确定本地网络是否对于传输数据是可用的。然后,基于对哪些网络协议是可用的的确定,中继服务可动态选择使数据传输效率最优化的适当协议(动作340)。例如,如果本地网络是可用的,并且被确定为是安全的,则该本地网络可被选择为最高效的,并使用该本地网络来传输数据。在作出初始选择之后,如果网络发生了改变,则中继服务可重新评估哪些可用协议对于传输数据是最适当的。
方法300还包括如下动作:使用所确定的协议将来自第一计算机系统的所接收的数据路由到第二计算机系统,其中该数据是使用所应用的唯一标识符通过安全路由通道路由的(动作350)。例如,中继服务105的安全路由通道110可使用所确定的协议来将来自承租人120的数据106路由至主机135。使用HTTP、TCP、IP或某种其他所确定的适当协议传输该数据(该数据具有附加于它的唯一标识符107)。在一些情况下,如果该承租人和主机在同一本地计算机网络上,则该中继服务可指导这两个系统连接到该本地网络上而任一系统均不离开被防火墙保护的环境。通过选择最高效(且安全)的协议,可以确保最优的路由效率。
因此,提供了提供在计算机系统之间安全中继数据的多承租人中继服务的方法、系统和计算机程序产品。该系统可使用本地网络(当可用时)并可在可用协议中作出选择以针对具体情形使用最高效的协议。通过安全地中继并唯一地标识它从每个承租人接收到的数据,该中继服务可在承租人和主机之间建立并保持虚拟网络。用这种方式,多承租人中继服务可服务多承租人主机。
本发明可被具体化为其他具体形式而不背离其精神或本质特征。所描述的实施例在所有方面都应被认为仅是说明性而非限制性的。因此,本发明的范围由所附权利要求书而非前述描述指示。落入权利要求书的等效方案的含义和范围内的所有改变被权利要求书的范围所涵盖。
Claims (21)
1.一种在包括多个计算系统的计算机联网环境中,在包括处理器和存储器的计算机系统处的计算机实现的方法,所述方法用于提供在计算机系统之间安全地中继数据的多承租人中继服务,所述方法包括:
在实例化的多承租人中继服务处接收要被从属于第一承租人的第一计算机系统传递到不同的第二计算机系统的数据的一部分的动作,其中所述实例化的多承租人中继服务被配置成为多个不同承租人安全地中继数据,所述多承租人中继服务提供一个或多个孤立的路由域,每个路由域提供一命名空间,所述命名空间唯一地标识所述一个或多个孤立的路由域的每一个中的每个机器,以对所述计算机系统之间的访问进行划分;
所述多承租人中继服务创建用于在所述第一计算机系统和所述第二计算机系统之间路由所述第一承租人的所述数据的安全路由通道的动作,其中所述安全路由通道向从所述第一承租人接收的数据的每一部分应用唯一标识符;以及
所述多承租人中继服务使用所应用的唯一标识符通过所述安全路由通道将来自所述第一计算机系统的所接收的数据路由到所述第二计算机系统的动作。
2.如权利要求1所述的方法,其特征在于,进一步包括:
在所述多承租人中继服务处接收来自属于不同的第二承租人的不同的第三计算机系统的数据的一部分的动作;
所述多承租人中继服务向从所述第二承租人接收的信息的每一部分应用不同的唯一标识符的动作;以及
所述多承租人中继服务使用所应用的不同的唯一标识符通过所述安全路由通道将来自所述第三计算机系统的所接收的数据路由到所述第二计算机系统的动作。
3.如权利要求2所述的方法,其特征在于,从所述第二承租人接收的所述数据被与从所述第一承租人接收的所述数据隔离,即便所述第二承租人正连接到所述第一承租人正连接的同一服务,所述同一服务是由所述第二计算机系统提供的。
4.如权利要求2所述的方法,其特征在于,所述第一承租人的所述第一计算机系统和所述第二承租人的所述第三计算机系统具有相同的IP地址。
5.如权利要求1所述的方法,其特征在于,创建安全路由通道包括创建用于在所述安全路由通道中的IP地址之间路由的IP地址空间。
6.如权利要求1所述的方法,其特征在于,进一步包括将来自所述第一承租人的承租人数据的所述唯一标识符映射到所述第一计算机系统的DNS名称以解析所述第一计算机的DNS名称。
7.如权利要求1所述的方法,其特征在于,所述唯一标识符被应用于从所述第一承租人接收的所有数据,而不管所述数据是从哪个计算机系统或哪些计算机系统接收的。
8.如权利要求1所述的方法,其特征在于,所应用的唯一标识符允许每个承租人在所述多承租人中继服务中具有它们自己的唯一命名空间。
9.如权利要求1所述的方法,其特征在于,经由虚拟连接通过所述安全路由通道传送通信数据,以使得在所述第一计算机系统上运行的应用程序虚拟连接到在所述第二计算机系统上运行的应用程序或服务而不经网络地址翻译。
10.如权利要求1所述的方法,其特征在于,所述中继服务运行在多个分布式计算机系统上。
11.如权利要求10所述的方法,其特征在于,在所述多个分布式计算机系统上优化数据路径。
12.如权利要求1所述的方法,其特征在于,所述多承租人中继服务向使用所述服务的所述承租人提供一个或更多安全保证。
13.如权利要求1所述的方法,其特征在于,进一步包括为连接到所述多承租人中继服务的每个计算机系统提供软件代理的动作。
14.如权利要求13所述的方法,其特征在于,所述代理将机器加入所述多承租人中继服务并提供包括用于IP地址翻译的DNS服务在内的附加服务。
15.如权利要求1所述的方法,其特征在于,所述多承租人中继服务包括IP层中继,以便在所述IP层管理所述第一和第二计算机系统之间的通信。
16.一种用于提供在计算机系统之间安全地中继数据的多承租人中继服务的方法,所述方法包括:
在实例化的多承租人中继服务处接收要被从属于第一承租人的第一计算机系统传递到不同的第二计算机系统的数据的一部分的动作,其中所述实例化的多承租人中继服务被配置成为多个不同承租人中继数据,所述多承租人中继服务提供一个或多个孤立的路由域,每个路由域提供一命名空间,所述命名空间唯一地标识所述一个或多个孤立的路由域的每一个中的每个机器,以对所述计算机系统之间的访问进行划分;
多承租人中继服务创建用于在所述第一计算机系统和所述第二计算机系统之间路由所述第一承租人的所述数据的安全路由通道的动作,其中所述安全路由通道向从所述第一承租人接收的数据的每一部分提供唯一标识符;
确定多个不同网络协议中的哪些网络协议对于路由所接收的数据可用的动作;
基于哪些网络协议可用的所述确定,动态选择使数据传输效率最优化的适当协议的动作;以及
使用所确定的协议将来自所述第一计算机系统的所述所接收的数据路由到所述第二计算机系统的动作,其中所述数据是使用所应用的唯一标识符通过所述安全路由通道路由的。
17.如权利要求16所述的方法,其特征在于,如果所述第一计算机系统和所述第二计算机系统在同一网络中,那么所述多承租人中继服务指导这两个系统本地连接在本地网络上而任一系统均不离开被防火墙保护的环境。
18.如权利要求17所述的方法,其特征在于,所述本地网络被确定为是安全的。
19.如权利要求16所述的方法,其特征在于,在确定所述网络发生一个或更多个变化之后,重新评估哪个可用协议对于传输数据最适当的动作。
20.一种用于提供在计算机系统之间安全地中继数据的多承租人中继服务的计算机系统,包括:
用于在实例化的多承租人中继服务处接收要被从属于第一承租人的第一计算机系统传递到不同的第二计算机系统的数据的一部分的装置,其中所述实例化的多承租人中继服务被配置成为多个不同承租人安全地中继数据,所述多承租人中继服务提供一个或多个孤立的路由域,每个路由域提供一命名空间,所述命名空间唯一地标识所述一个或多个孤立的路由域的每一个中的每个机器,以对所述计算机系统之间的访问进行划分;
用于创建用于在所述第一计算机系统和所述第二计算机系统之间路由所述第一承租人的所述数据的安全路由通道的装置,其中所述安全路由通道向从所述第一承租人接收的数据的每一部分应用唯一标识符;以及
用于使用所应用的唯一标识符通过所述安全路由通道将来自所述第一计算机系统的所接收的数据路由到所述第二计算机系统的装置。
21.如权利要求20所述的计算机系统,其特征在于,进一步包括:
用于在所述多承租人中继服务处接收来自属于不同的第二承租人的不同的第三计算机系统的数据的一部分的装置;
用于向从所述第二承租人接收的信息的每一部分应用不同的唯一标识符的装置;以及
用于使用所应用的不同的唯一标识符通过所述安全路由通道将来自所述第三计算机系统的所接收的数据路由到所述第二计算机系统的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/889,283 US8935427B2 (en) | 2010-09-23 | 2010-09-23 | Providing virtual networks using multi-tenant relays |
| US12/889,283 | 2010-09-23 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102413032A CN102413032A (zh) | 2012-04-11 |
| CN102413032B true CN102413032B (zh) | 2014-08-20 |
Family
ID=45871806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110300658.0A Active CN102413032B (zh) | 2010-09-23 | 2011-09-21 | 提供使用多承租人中继的虚拟网络 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8935427B2 (zh) |
| EP (1) | EP2619959B1 (zh) |
| JP (1) | JP5937078B2 (zh) |
| CN (1) | CN102413032B (zh) |
| AR (1) | AR083103A1 (zh) |
| HK (1) | HK1167533A1 (zh) |
| TW (1) | TWI524188B (zh) |
| WO (1) | WO2012039924A2 (zh) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8769071B2 (en) * | 2011-02-25 | 2014-07-01 | Red Hat, Inc. | Dynamic mapping of identifiers in a multi-tenant computing system |
| US9003141B2 (en) * | 2011-11-14 | 2015-04-07 | Ca, Inc. | Enhanced software application platform |
| US9838370B2 (en) | 2012-09-07 | 2017-12-05 | Oracle International Corporation | Business attribute driven sizing algorithms |
| US8972725B2 (en) * | 2012-09-07 | 2015-03-03 | Oracle International Corporation | Security infrastructure for cloud services |
| US10148530B2 (en) | 2012-09-07 | 2018-12-04 | Oracle International Corporation | Rule based subscription cloning |
| US9542400B2 (en) | 2012-09-07 | 2017-01-10 | Oracle International Corporation | Service archive support |
| US9467355B2 (en) | 2012-09-07 | 2016-10-11 | Oracle International Corporation | Service association model |
| US9621435B2 (en) | 2012-09-07 | 2017-04-11 | Oracle International Corporation | Declarative and extensible model for provisioning of cloud based services |
| EP2893683A1 (en) * | 2012-09-07 | 2015-07-15 | Oracle International Corporation | Ldap-based multi-customer in-cloud identity management system |
| WO2014110167A2 (en) | 2013-01-08 | 2014-07-17 | Purepredictive, Inc. | Integrated machine learning for a data management product |
| US9608958B2 (en) | 2013-03-12 | 2017-03-28 | Oracle International Corporation | Lightweight directory access protocol (LDAP) join search mechanism |
| US9218574B2 (en) | 2013-05-29 | 2015-12-22 | Purepredictive, Inc. | User interface for machine learning |
| US9646262B2 (en) | 2013-06-17 | 2017-05-09 | Purepredictive, Inc. | Data intelligence using machine learning |
| US9961011B2 (en) | 2014-01-21 | 2018-05-01 | Oracle International Corporation | System and method for supporting multi-tenancy in an application server, cloud, or other environment |
| US10318280B2 (en) | 2014-09-24 | 2019-06-11 | Oracle International Corporation | System and method for supporting patching in a multitenant application server environment |
| US9843629B2 (en) * | 2014-09-26 | 2017-12-12 | Oracle International Corporation | System and method for protocol support in a multitenant application server environment |
| TW201613310A (en) * | 2014-09-30 | 2016-04-01 | Ibm | Method, appliance, and computer program product of translating network attributes of packets in a multi-tenant environment |
| US10250512B2 (en) | 2015-01-21 | 2019-04-02 | Oracle International Corporation | System and method for traffic director support in a multitenant application server environment |
| US10142174B2 (en) | 2015-08-25 | 2018-11-27 | Oracle International Corporation | Service deployment infrastructure request provisioning |
| CN105306455B (zh) * | 2015-09-30 | 2019-05-21 | 北京奇虎科技有限公司 | 一种处理数据的方法及终端设备 |
| US10250452B2 (en) | 2015-12-14 | 2019-04-02 | Microsoft Technology Licensing, Llc | Packaging tool for first and third party component deployment |
| US10356038B2 (en) | 2015-12-14 | 2019-07-16 | Microsoft Technology Licensing, Llc | Shared multi-tenant domain name system (DNS) server for virtual networks |
| US10666517B2 (en) | 2015-12-15 | 2020-05-26 | Microsoft Technology Licensing, Llc | End-to-end automated servicing model for cloud computing platforms |
| CN106487811B (zh) * | 2016-11-29 | 2019-06-25 | 北京元心科技有限公司 | 多容器间通信的方法及装置 |
| CN113542128B (zh) * | 2018-10-12 | 2023-03-31 | 华为技术有限公司 | 一种发送路由信息的方法和装置 |
| US11611517B2 (en) * | 2020-05-29 | 2023-03-21 | Equinix, Inc. | Tenant-driven dynamic resource allocation for virtual network functions |
| US11574068B2 (en) * | 2020-06-08 | 2023-02-07 | Open Text Sa Ulc | Methods and systems for tenancy in a multitenant environment |
| US11363095B1 (en) | 2021-01-29 | 2022-06-14 | Netskope, Inc. | Policy-driven client and destination priority |
| CN114944952B (zh) * | 2022-05-20 | 2023-11-07 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106524A (zh) * | 2006-07-14 | 2008-01-16 | 日立通讯技术株式会社 | 包传输装置及通信系统 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06232943A (ja) * | 1993-02-01 | 1994-08-19 | Toshiba Corp | 通信装置 |
| US6609153B1 (en) * | 1998-12-24 | 2003-08-19 | Redback Networks Inc. | Domain isolation through virtual network machines |
| JP4099930B2 (ja) * | 2000-06-02 | 2008-06-11 | 株式会社日立製作所 | ルータ装置及びvpn識別情報の設定方法 |
| JP2002064525A (ja) * | 2000-08-22 | 2002-02-28 | Hitachi Cable Ltd | スイッチングハブ及びネットワーク管理装置 |
| JP3491828B2 (ja) * | 2000-09-04 | 2004-01-26 | 日本電信電話株式会社 | 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム |
| US6832248B1 (en) * | 2001-05-10 | 2004-12-14 | Agami Systems, Inc. | System and method for managing usage quotas |
| US20030105763A1 (en) * | 2001-11-30 | 2003-06-05 | Gemini Networks, Inc. | System, method, and computer program product for providing a wholesale provisioning service |
| US7624437B1 (en) * | 2002-04-02 | 2009-11-24 | Cisco Technology, Inc. | Methods and apparatus for user authentication and interactive unit authentication |
| KR100485769B1 (ko) * | 2002-05-14 | 2005-04-28 | 삼성전자주식회사 | 서로 다른 홈네트워크에 존재하는 네트워크장치간의접속을 제공하기 위한 장치 및 방법 |
| US7062566B2 (en) * | 2002-10-24 | 2006-06-13 | 3Com Corporation | System and method for using virtual local area network tags with a virtual private network |
| US7447212B2 (en) | 2003-09-03 | 2008-11-04 | At&T Intellectual Property I, L.P. | Method and system for automating membership discovery in a distributed computer network |
| US8069153B2 (en) | 2005-12-02 | 2011-11-29 | Salesforce.Com, Inc. | Systems and methods for securing customer data in a multi-tenant environment |
| JP4154615B2 (ja) * | 2005-12-08 | 2008-09-24 | 日本電気株式会社 | Sipサーバ共有モジュール装置、sipメッセージ中継方法、及びプログラム |
| US9112897B2 (en) * | 2006-03-30 | 2015-08-18 | Advanced Network Technology Laboratories Pte Ltd. | System and method for securing a network session |
| US8832179B2 (en) | 2006-06-20 | 2014-09-09 | Ianywhere Solutions, Inc. | Method, system, and computer program product for a relay server |
| US8451806B2 (en) * | 2006-08-21 | 2013-05-28 | Citrix Sysrems, Inc. | Systems and methods for pinging a user's intranet IP address |
| US7852764B2 (en) * | 2006-09-20 | 2010-12-14 | Panasonic Corporation | Relay transmission device and relay transmission method |
| US7783300B2 (en) * | 2006-11-22 | 2010-08-24 | Airdefense, Inc. | Systems and methods for proactively enforcing a wireless free zone |
| US8060594B1 (en) * | 2007-10-23 | 2011-11-15 | Phunware, Inc. | Client-side wireless communications link support for mobile handheld devices |
| JP2009152953A (ja) * | 2007-12-21 | 2009-07-09 | Nec Corp | ゲートウェイ装置およびパケット転送方法 |
| US8073959B2 (en) * | 2008-03-28 | 2011-12-06 | Microsoft Corporation | Automatically detecting whether a computer is connected to a public or private network |
| US8473594B2 (en) | 2008-05-02 | 2013-06-25 | Skytap | Multitenant hosted virtual machine infrastructure |
| US8661056B1 (en) * | 2008-11-03 | 2014-02-25 | Salesforce.Com, Inc. | System, method and computer program product for publicly providing web content of a tenant using a multi-tenant on-demand database service |
| US9734466B2 (en) | 2008-11-11 | 2017-08-15 | Sap Se | Multi-tenancy engine |
| US8271536B2 (en) | 2008-11-14 | 2012-09-18 | Microsoft Corporation | Multi-tenancy using suite of authorization manager components |
| US8359644B2 (en) * | 2008-11-17 | 2013-01-22 | At&T Intellectual Property I, L.P. | Seamless data networking |
| JP5239966B2 (ja) * | 2009-03-17 | 2013-07-17 | 富士通株式会社 | 中継装置、テナント管理プログラム |
-
2010
- 2010-09-23 US US12/889,283 patent/US8935427B2/en active Active
-
2011
- 2011-08-22 TW TW100129995A patent/TWI524188B/zh not_active IP Right Cessation
- 2011-09-06 JP JP2013530167A patent/JP5937078B2/ja active Active
- 2011-09-06 WO PCT/US2011/050579 patent/WO2012039924A2/en active Application Filing
- 2011-09-06 EP EP11827188.1A patent/EP2619959B1/en active Active
- 2011-09-21 CN CN201110300658.0A patent/CN102413032B/zh active Active
- 2011-09-26 AR ARP110103501A patent/AR083103A1/es not_active Application Discontinuation
-
2012
- 2012-08-15 HK HK12108033.8A patent/HK1167533A1/zh not_active IP Right Cessation
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106524A (zh) * | 2006-07-14 | 2008-01-16 | 日立通讯技术株式会社 | 包传输装置及通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5937078B2 (ja) | 2016-06-22 |
| EP2619959A4 (en) | 2015-08-12 |
| AR083103A1 (es) | 2013-01-30 |
| US20120079134A1 (en) | 2012-03-29 |
| EP2619959B1 (en) | 2018-10-24 |
| TWI524188B (zh) | 2016-03-01 |
| WO2012039924A3 (en) | 2012-06-14 |
| TW201229779A (en) | 2012-07-16 |
| CN102413032A (zh) | 2012-04-11 |
| HK1167533A1 (zh) | 2012-11-30 |
| JP2013541291A (ja) | 2013-11-07 |
| US8935427B2 (en) | 2015-01-13 |
| WO2012039924A2 (en) | 2012-03-29 |
| EP2619959A2 (en) | 2013-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102413032B (zh) | 提供使用多承租人中继的虚拟网络 | |
| ES2663410T3 (es) | Un controlador de red y un método informático implementado para definir automáticamente reglas de reenvío para configurar un dispositivo de interconexión de red informático | |
| US10389542B2 (en) | Multicast helper to link virtual extensible LANs | |
| US20160241509A1 (en) | Method and System for Integrating On-Premise and Cloud Domain Name Systems | |
| US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
| JP2013533689A (ja) | 分散型仮想ネットワーク・ゲートウェイ | |
| AU2022201580B2 (en) | Methods and apparatus for providing traffic forwarder via dynamic overlay network | |
| CN103179192A (zh) | 虚拟服务器迁移的报文转发方法、系统及nat服务设备 | |
| AU2014200353A1 (en) | Inline network switch having serial ports for out-of-band serial console access | |
| JPWO2015068255A1 (ja) | ネットワークシステム、通信制御装置、及び通信方法 | |
| US10528759B2 (en) | Application programming interface bridge for transporting a local request from a local client system to a target server system, and method thereof | |
| US9929951B1 (en) | Techniques for using mappings to manage network traffic | |
| KR20180007898A (ko) | 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법 | |
| JP5137201B2 (ja) | ユーザ認証型リバースプロキシー装置、そのデータ中継方法、およびそのプログラム | |
| Bronzino et al. | Demonstrating Context-Aware Services in the Mobility First Future Internet Architecture | |
| Fowler | Cloud Network Engineering | |
| JP5073616B2 (ja) | ユーザ識別型リバースプロキシー装置、そのデータ中継方法、およびそのプログラム | |
| CN109618014A (zh) | 报文转发方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1167533 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1167533 Country of ref document: HK |
|
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150429 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150429 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |