CN106464717A - 将公共云与专用网络资源连接 - Google Patents
将公共云与专用网络资源连接 Download PDFInfo
- Publication number
- CN106464717A CN106464717A CN201580024694.5A CN201580024694A CN106464717A CN 106464717 A CN106464717 A CN 106464717A CN 201580024694 A CN201580024694 A CN 201580024694A CN 106464717 A CN106464717 A CN 106464717A
- Authority
- CN
- China
- Prior art keywords
- resource
- place
- action
- public cloud
- voucher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/562—Brokering proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
- Sub-Exchange Stations And Push- Button Telephones (AREA)
Abstract
公共云与专用网络中的场所内资源之间的连接的自动供应。这允许在公共云中的应用要访问专用网络中的场所内资源时容易得建立连接。在确定在公共云中运行的应用要访问场所内资源之际发起自动供应。供应通过标识提供对场所内资源的访问的桥接基础结构来发生。接着访问凭证以供在稍后连接到桥接基础结构时使用。因应用而异的凭证被安全提供给应用。因应用而异的凭证能够被公共云上的代理使用来连接到所标识的桥接基础结构。配置包接着被创建,该配置包包括因资源而异的凭证、场所内资源的身份、以及可执行文件。
Description
背景
公共云主存平台主存使用资源(诸如数据库和服务)的应用。常规地,被此类主存在公共云上的应用所使用的资源也位于公共云内。如果这些资源位于专用网络中,则那些资源将被移动到公共云以便被此类应用使用。然而,出于安全性、合规性或法律原因,一些资源无法被移动到公共云。
为了允许对专用网络上的这些资源的访问,网络管理员常常被要求打开它们防火墙中的端口以允许从因特网进入它们的网络的话务,在网络非军事化区(DMZ)中部署将外部话务转发到资源的代理和/或网关,或者使用虚拟专用网络(VPN)来将应用连接到它们的专用网络。
本文要求保护的主题不限于解决任何缺点或仅在诸如上述环境这样的环境中操作的各实施例。相反,提供该背景仅用于例示其中可实施所述一些实施例的一个示例性技术领域。
简要概述
本文描述的至少一些实施例涉及公共云与专用网络中的场所内资源之间的连接的自动供应。这允许在公共云中的应用要访问专用网络中的场所内资源时容易地建立连接。在确定在公共云中运行的应用要访问场所内资源之际发起自动供应。场所内资源的示例包括数据库、数据存储、web服务、应用服务器等等。
供应通过标识提供对场所内资源的访问的桥接基础结构来发生。桥接基础结构是公共云基础结构的一部分,并且可以由出于这一目的而设计的服务来供应或分配。如果需要,可以按需分配或创建这一桥接基础结构的选择元件。用于访问桥接基础结构的凭证接着被访问以供在稍后连接到桥接基础结构时使用。具有发送权限的因应用而异的凭证被安全且自动地提供到要访问专用网络上的资源的应用的应用运行时。因应用而异的凭证能够被嵌入在公共云上的应用的运行时中的代理使用来连接到所标识的桥接基础结构。配置包接着被创建,该配置包包括因资源而异的凭证、场所内资源的身份、以及可执行文件。用户可以与可执行文件交互以在专用网络中部署代理,该代理使用因资源而异的凭证提供场所内资源与桥接基础结构之间的安全连通性。代理位于专用网络内部,并且使用来自专用网络的出站通信来连接到桥接基础结构。因而,网络管理员不必打开防火墙端口或者为代理建立VPN连接以连接到桥接基础结构。
本文描述的至少一些实施例涉及在公共云中的应用与场所内资源之间的连接的自动建立。首先,桥接基础结构被自动访问。桥接基础结构被配置成与专用网络内的第一控件交互。例如,这一第一控件可以被表示为主存在专用网络上并且由供应连接时使用的配置包内的可执行文件所部署的代理。代理安全地连接到桥接基础结构并且在桥接基础结构与场所内资源之间转发话务。向在公共云中运行的应用提供第二控件。第二控件被结构化成使得至少一个应用可以被用于经由桥接基础结构安全地与专用网络的场所内资源连接。
在一个示例中,第二控件可以被实现为嵌入在应用运行时中的代理,该代理控制截取来自应用的以场所内资源为目的地的消息,在恰适的网络消息或索道协议上使该消息形成帧,并且在桥接基础结构上将它们重定向到第一控件,第一控件进而将其转发到场所内资源。响应沿逆向路径回到公共云上的应用。
本概述并非旨在标识出要求保护的主题的关键特征或必要特征,亦非旨在用作辅助确定要求保护的主题的范围。
附图简述
为了描述能够获得上述和其它优点和特征的方式,各实施例的更具体的描述将通过参考各附图来呈现。可以理解,这些附图只描绘了示例实施例,并且因此不被认为是对其范围的限制,将通过使用附图并利用附加特征和细节来描述和解释各实施例,在附图中:
图1抽象地解说了其中可采用本文中所描述的一些实施例的计算系统;
图2解说了本文描述的原理可在其中操作的环境,并且该环境包括与桥接基础结构互连的公共云以及专用网络;
图3解说了与桥接基础结构相关联的三个时间阶段;
图4解说了用于供应公共云与专用网络中的场所内资源之间的连接的方法的流程图;
图5解说了与供应公共云与专用网络中的场所内资源之间的连接相关联的数据流的具体示例;
图6解说了用于建立从公共云到专用网络中的场所内资源的访问的方法的流程图;
图7解说了用于使用一旦连接到应用和专用云中的场所内资源的桥接基础结构的方法的流程图;以及
图8解说了示出公共云中的应用接着可如何使用桥接基础结构访问专用网络上的资源的更具体示例的运行时过程。
详细描述
本文描述的至少一些实施例涉及公共云与专用网络中的场所内资源之间的连接的自动供应。这允许在公共云中的应用要访问专用网络中的场所内资源时容易得建立连接。在确定在公共云中运行的应用要访问场所内资源之际发起自动供应。场所内资源的示例包括数据库、数据存储、web服务、应用服务器等等。
供应通过标识提供对场所内资源的访问的桥接基础结构来发生。桥接基础结构是公共云基础结构的一部分,并且可以由出于这一目的而设计的服务来供应或分配。场所内资源的网络身份被配置为桥接基础结构的元数据。如果要求,可以按需分配或创建这一桥接基础结构的选择元件。用于访问桥接基础结构的凭证接着被访问以供在稍后连接到桥接基础结构时使用。具有发送权限的因应用而异的凭证被安全且自动地提供到要访问专用网络上的资源的应用的应用运行时。因应用而异的凭证能够被嵌入在公共云上的应用运行时中的代理使用来连接到所标识的桥接基础结构。配置包接着被创建,该配置包包括因资源而异的凭证、场所内资源的身份、以及可执行文件。例如,可执行文件可以被统一资源标识符(URI)标识,该统一资源标识符包含桥接基础结构的身份以及能被用于访问桥接基础结构的具有接收权限的一次性口令。用户可以与可执行文件交互以在专用网络中部署代理,该代理使用因资源而异的凭证提供场所内资源与桥接基础结构之间的连通性。
本文描述的至少一些实施例涉及在公共云中的应用与场所内资源之间的连接的自动建立。首先,桥接基础结构被自动访问。桥接基础结构被配置成与专用网络内的第一控件交互。例如,这一第一控件可以被表示为在供应连接时使用的配置包内的可执行文件。代理安全地连接到桥接基础结构并且在桥接基础结构与场所内资源之间转发话务。向在公共云中运行的应用提供第二控件。第二控件被结构化成使得至少一个应用可以被用于经由桥接基础结构安全地与专用网络的场所内资源连接。
在一个示例中,第二控件可以被实现为嵌入在应用运行时中的代理,该代理控制截取来自应用的以场所内资源为目的地的消息,在恰适的网络消息或索道协议上使该消息形成帧,并且在桥接基础结构上将它们重定向到第一控件,第一控件进而将其转发到场所内资源。响应沿逆向路径回到公共云上的应用。
将参考图1描述对计算系统的一些介绍性讨论。接着,将参考后续附图来描述供应和利用桥接基础结构以便允许公共云使用专用网络中的资源的原理。
计算系统现在越来越多地采取多种多样的形式。例如,计算系统可以是手持式设备、电器、膝上型计算机、台式计算机、大型机、分布式计算系统、数据中心、或甚至是常规上不被认为是计算系统的设备(诸如可穿戴设备(如眼镜))。在本说明书以及权利要求书中,术语“计算系统”被广义地定义为包括任何设备或系统(或其组合),该设备或系统包含至少一个物理且有形的处理器以及其上能具有可由处理器执行的计算机可执行指令的物理且有形的存储器。存储器可以采取任何形式,并可以取决于计算系统的性质和形式。计算系统可以分布在网络环境中,并可包括多个组分计算系统。
如图1所例示,在其最基本的配置中,计算系统100通常包括至少一个硬件处理单元102和存储器104。存储器104可以是物理系统存储器,该物理系统存储器可以是易失性的、非易失性的、或两者的某种组合。术语“存储器”也可在此用来指示诸如物理存储介质这样的非易失性大容量存储器。如果计算系统是分布式的,则处理、存储器和/或存储能力也可以是分布式的。如本文中所使用的,术语“可执行模块”或“可执行组件”可指可在计算系统上执行的软件对象、例程或方法。此处所描述的不同组件、模块、引擎以及服务可以实现为在计算系统上执行的对象或进程(例如,作为分开的线程)。
在随后的描述中,参考由一个或多个计算系统执行的动作描述了各实施例。如果这样的动作是以软件实现的,则执行动作的相关联计算系统的一个或多个处理器响应于已经执行了计算机可执行指令来引导计算系统的操作。例如,这样的计算机可执行指令可以在形成计算机程序产品的一个或多个计算机可读介质上实现。这样的操作的示例涉及对数据的操纵。计算机可执行指令(以及被操纵的数据)可以存储在计算系统100的存储器104中。计算系统100还可包含允许计算系统100例如通过网络110与其他计算系统通信的通信信道108。计算系统100还包括显示器112,显示器112可被用于向用户显示视觉表示。
本文所述的实施例可包括或利用专用或通用计算系统,该专用或通用计算系统包括诸如举例来说一个或多个处理器和系统存储器等计算机硬件,如以下更详细讨论的。本文中描述的各实施例还包括用于承载或存储计算机可执行指令和/或数据结构的物理和其他计算机可读介质。这样的计算机可读介质可以是可由通用或专用计算系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。承载计算机可执行指令的计算机可读介质是传输介质。由此,作为示例而非限制,本发明的各实施例可包括至少两种显著不同的计算机可读介质:存储介质和传输介质。
计算机可读存储介质包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备,或可用于存储计算机可执行指令或数据结构形式的所需程序代码手段且可由通用或专用计算系统访问的任何其他物理且有形存储介质。
“网络”被定义为允许在计算系统和/或模块和/或其他电子设备之间传输电子数据的一个或多个数据链路。当信息通过网络或另一通信连接(硬连线、无线、或者硬连线或无线的组合)传输或提供给计算系统时,该计算系统将该连接适当地视为传输介质。传输介质可以包括可以用来携带所需要的以计算机可执行的指令或数据结构的形式存在的程序代码手段并可以被通用或专用计算系统访问的网络和/或数据链路。上述的组合应当也被包括在计算机可读介质的范围内。
此外,在到达各种计算系统组件之后,计算机可执行指令或数据结构形式的程序代码手段可从传输介质自动转移到存储介质(或反之亦然)。例如,通过网络或数据链路接收到的计算机可执行指令或数据结构可被缓存在网络接口模块(例如,“NIC”)内的RAM中,然后最终被传送到计算系统RAM和/或计算系统处的较不易失性的存储介质。因而,应当理解,存储介质可被包括在还利用(或甚至主要利用)传输介质的计算系统组件中。
计算机可执行指令例如包括,当在处理器处执行时使通用计算系统、专用计算系统、或专用处理设备执行某一功能或某组功能的指令和数据。计算机可执行指令可例如是二进制或甚至是在被处理器直接执行之前经受某种转换(诸如编译)的指令,诸如中间格式指令(诸如汇编语言或甚至是源代码)。尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述特征或动作。相反,上述特征和动作是作为实现权利要求的示例形式而公开的。
本领域的技术人员将理解,本发明可以在具有许多类型的计算系统配置的网络计算环境中实践,这些计算机系统配置包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持式设备、多处理器系统、基于微处理器的或可编程消费电子设备、网络PC、小型计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机、数据中心、可穿戴设备(诸如眼镜)等等。本发明也可在其中通过网络链接(或者通过硬连线数据链路、无线数据链路,或者通过硬连线和无线数据链路的组合)的本地和远程计算系统两者都执行任务的分布式系统环境中实施。在分布式系统环境中,程序模块可以位于本地和远程存储器存储设备二者中。
根据本文描述的原理,主存在公共云上的应用与远程专用网络上的资源通信,就好像该应用在该专用网络上本地运行一样。此外,此类连通性可以用仅仅若干姿势来进行配置。通过具有嵌入在应用被主存的运行时中的代理,此类连通性可以用字面上若干个配置姿势来建立,这些配置姿势涉及1)创建具有相关联的桥接基础结构的远程资源的逻辑表示,2)为专用网络上的该远程资源安装代理,该代理自动连接到桥接基础基础,以及3)自动配置应用运行时中的代理以截取远程资源的话务并且将其定向到桥接基础结构。这一机制的一个独特的能力在于,整个应用群(或层)(诸如web或移动层)可以从专用网络被移动到公共云,而无需任何代码或配置改变,同时保持其他关键层(诸如数据库)在安全专用网络上。
在本说明书和下面的权利要求书中,“云计算”被定义为用于允许对可配置计算资源(例如,网络、服务器、存储、应用和服务)的共享池的按需网络访问的模型。“云计算”的定义不限于可从这样的模型(在被合适地部署时)中获得的任何其它多个优点。
例如,云计算当前用于市场中,以便提供对可配置的计算资源的共享的池的无所不在的并且方便的按需的访问。此外,可配置的计算资源的共享的池还可以通过虚拟化快速地提供,利用低的管理努力或服务提供商交互,释放,然后,相应地缩放。
云计算模型可以由各种特征构成,诸如按需自助、宽的网络接入、资源汇聚、快速的弹性、测量的服务,以此类推。云计算模型还可形成各种服务模型,诸如例如软件即服务(“SaaS”)、平台即服务(“PaaS”)以及基础结构即服务(“IaaS”)。也可以使用不同的部署模型,诸如私有的云、社区云、公开的云、混合型云,等等,来部署云计算模型。在该描述和权利要求书中,“云计算环境”是其中采用了云计算的环境。
图2图示此处所述的原理可在其中操作的环境200。环境200包括公共云210和专用网络220。公共云210具有在其中运行的各种应用211。例如,公共云210被解说为在其中运行应用211A、211B和211C,但省略号211D表示由公共云210运行的应用数量的灵活性。应用211A被解说为略大,因为它将被用作本文描述的主要示例。公共云210可以实现具有多个消费者的云计算模型,因此称为术语“公共”。
专用网络220其中运行了场所内资源221。例如,场所内资源221被解说为包括资源221A和221B,但省略号221C表示可以存在在专用网络220内运行的大量各种资源。资源221A被解说为略大,因为它将被用作本文描述的主要示例。可被访问的资源的示例包括,例如,数据库、服务器、存储、文件、目录等等。还存在桥接基础结构230,公共云210中的应用211A使用该桥接基础结构230来访问专用网络220中的资源221A。箭头231到238表示与使用桥接基础结构230相关联的示例数据流并且将在下文接合图7来进一步描述。
如图3中解说的,存在与桥接基础结构相关联的三个时间阶段300。供应阶段310,之后是连接阶段320,之后是使用阶段330。供应阶段310的目的是使得连接阶段320更容易且更自动得执行。事实上,连接阶段320可以被推迟直到恰恰在使用阶段330之前,此时公共云实际上使用桥接基础结构230来与场所内资源221A通信。
图4解说了用于自动供应公共云与专用网络中的场所内资源之间的连接的方法400的流程图。方法400是图3的供应阶段310的一个示例。由于方法400可在图2的网络环境200中执行,因此现在将频繁参照图2来描述图4的方法400。
在确定在公共云中运行的应用要访问专用网络的场所内资源之际发起方法400(动作401)。例如,专用网络220内的用户可以确定公共云210的应用211A要访问专用网络210的资源221A。例如,应用211A可以要求对位于专用网络220内的资源221A的访问以提供信息或处理请求。访问远程资源的此类意图可以由应用211A的开发者在应用开发期间指示或配置。替换地,这一意图可以在管理员部署或配置应用211A期间确定。
通过在用户与控件(例如,超链接)交互之际自动执行线410以下的内容来执行方法400。具体地,标识提供对场所内资源的访问的桥接结构(动作411)。这可以被包括为超链接内的自变量。相应地,网站可以在用户将场所内资源的身份提供给网站之际指派桥接基础结构。用于连接到桥接基础结构的凭证接着被访问(动作412)。这包括被提供给公共云210中的应用211A的因应用而异的凭证251(动作413)。例如,在图2中,因资源而异的凭证241可被用于建立将桥接基础结构230与场所内资源221A连接的第一控件242。因应用而异的凭证242可被用于建立将桥接基础结构230与应用211A连接的第二控件252。
此外,方法400包括创建(动作414)配置包,该配置包包括因资源而异的凭证、控件242的可执行文件、以及场所内资源的身份。控件242的可执行文件被配置成在用户选择该控件之际被执行,并且使用因资源而异的凭证来提供专用网络上的场所内资源与桥接基础结构之间的连通性。换言之,可执行文件可被用于建立第一控件242。
相应地,在完成方法400之际,环境200的专用网络220具有因资源而异的凭证241,以及可以与其交互(在具有因资源而异的凭证241的上下文中)以便建立资源221A与桥接基础结构230之间的连接的控件242。此外,公共云210具有因应用而异的凭证251,以及可被公共云使用(在具有因应用而异的凭证251的上下文中)以便建立应用211A与桥接基础结构230之间的连接的控件252。
该方法可以针对专用网络220中的不同资源被执行多次以便为每一场所内资源建立不同的桥接基础结构。可能存在针对每一资源的不同的因资源而异的控件。在一些实施例中,如果多个应用要使用相同的场所内资源,则对应的控件242可被用于为在公共云中运行的多个应用连接到该场所内资源。也可能针对连接到场所内资源的每一应用存在不同的因应用而异的控件。在一些实施例中,如果多个应用要使用相同的场所内资源,则它们可以共享相同控件252。省略号225表示也可在公共云210与其他专用网络之间建立类似的桥接基础结构。
图5解说了示例环境,其中桥接基础结构被供应有资源代理控件242,资源代理控件242被设立为被主存在专用网络中。在这一图示中,公共云被标记为“Azure”。然而,本文描述的原理可应用于任何公共云以实现与专用网络中的资源的连通性,而不管公共云的供应商或身份如何。专用网络的信任边界被标记为“企业内网信任边界”。公共云与专用网络之间用于允许公共云中的应用访问专用网络中的资源的连接将在此处被称为“混合连接”。
首先,用户创建逻辑混合连接,该逻辑混合连接指定专用网络上的远程资源的网络地址。这自动生成两个凭证;场所内代理上的具有接收权限的第一凭证(即,因资源而异的凭证),以及用于公共云上的应用的具有发送权限的第二凭证(即,因应用而异的凭证)。这还自动生成短寿命的一次性口令(OTP),并且将该口令作为查询参数嵌入在到专用网络的资源代理的链接中(参见附图5中的箭头1)。
用户接着可以从专用网络点击到场所内代理的链接(参见附图5中的箭头2)。这导致应用被下载(参见附图5中的箭头3)。应用从该链接的查询参数中提取短寿命的一次性口令(OTP)并且使用该口令来获取具有接收权限的凭证。应用接着配置专用网络上的代理服务(附图5中的“混合连接管理器CO应用”)并且向其提供具有接收权限的凭证。
专用网络上的代理服务接着自动启动。代理服务使用具有接收权限的凭证以确定它设计代理哪个场所内资源,并且接着将其自身配置为该服务的代理。附图5中的箭头4到10示出这可能针对特定实现而发生,但其他
公共云上的应用被配置有到表示专用网络上的远程资源的期望逻辑混合连接的链接。具有发送权限的凭证被配置在应用上,并且应用连接到逻辑混合连接。
图6解说了用于建立从公共云到专用网络中的场所内资源的访问的方法600的流程图。方法600可以作为图3的连接阶段320的一部分来执行并且可以在图2的环境200的上下文中执行。相应地,现在将频繁地参考图2的环境200来描述图6的方法600。
该方法包括自动访问(动作601)在公共云与专用网络之间操作的桥接基础结构。例如,参考图2,桥接基础结构230被配置成使用第一控件242与专用网络220内的用户系统交互。第一控件242被结构化成使得当被配置有用于桥接基础结构的因资源而异的凭证时,第一控件242自动建立到桥接基础结构230的安全连接。当此类连接建立时,第一控件242标识桥接基础结构230被供应访问的场所内资源221A。此外,第一控件242被结构化成从桥接基础结构230接收所截取的话务,其中所截取的话务由第二控件252转发到桥接基础结构230上。第一控件242将其自身配置成将所截取的话务从桥接基础结构230转发到资源221A。第二控件252同样地被配置成截取来自应用211A并且以场所内资源221A为目的地的话务,在恰适的帧消息中使其形成帧,并且将其重路由到桥接基础结构230上。此外,第二控件252被提供(动作602)给在公共云210中运行的应用。第二控件252被结构化成使得应用221A可以经由桥接基础结构230安全地与专用网络的场所内资源连接。第二控件252可以总是维持与桥接基础结构230的连接或者替换地该连接可以按需建立。如果连接是按需建立的,则当应用211A试图访问资源221A(动作603)时,第二控件252完成应用211A与场所内资源221A之间的通信路径。
图7解说了用于使用一旦连接到应用和专用云中的场所内资源的桥接基础结构的方法700的流程图。方法700表示图6的使用阶段630的一个示例。方法700可以在图2的环境200内执行以使得参考图2中的多个数据流231到238。相应地,现在将参考图2的环境200来描述图7的方法700。由第二控件执行的动作在图7中标题(“第二控件”)下的左侧列中参考,并且在710系列中被标记。由第一控件执行的动作在图7中标题(“第一控件”)下的右侧列中参考,并且在720系列中被标记。
第二控件首先截取(动作711)来自应用的以场所内资源为目的地的通信。例如,在图2中,第二控件252接收(如由箭头231表示的)来自应用211A的通信。这一通信可以被结构化成如果该资源要从公共云之内访问那样相同的结构。相应地,应用211A本身可以对于该资源实际位于哪里完全不可知。第一控件242、第二控件252与桥接基础结构230建立的通信信道的存在可能是从应用211A的视角抽象出来的某样事物。
第二控件接着使用恰适的帧或隧道即时使来自应用211A的原始消息形成帧,并且在桥接基础结构上重定向(动作712)该通信以供由第一控件路由到场所内资源。使原始消息形成帧保留了场所内资源的访问控制可能要求的或者用于正确处理原始消息的任何消息头部或其他控制信息。当然,这一通信可以出于安全性而被加密。例如,在图2中,第二控件252被解说为在桥接基础结构230上重定向(如由箭头232表示的)该通信。
第一控件接着在桥接基础结构上接收到经重定向的通信(动作721)。例如,在图2中,第一控件242被解说为接收通信(由箭头233表示)。第一控件接着从原始消息中移除帧形成,并且将该通信重定向到场所内资源(动作722)。例如,在图2中,第一控件242被解说为将该通信重定向(由箭头234表示)到场所内资源221A。如果没有来自场所内资源对该通信的响应(判断框723中的“否”),则方法700接着可以结束。
如果存在对该通信的响应(判断框723中的“是”),则第一控件接收该响应(动作724),使用所选帧机制使其形成帧,并且在桥接基础结构上转发该响应(动作725)。例如,在图2中,第一控件242从场所内资源221A接收响应(如由箭头235表示)并且将该响应重定向(如由箭头236表示)到桥接基础结构230上。
第二控件在桥接基础结构上接收到该响应(动作713),移除第一控件添加的帧形成,并且将来自场所内资源的原始响应重定向到应用211A(动作714)。例如,在图2中,第二控件242在桥接基础结构230上接收到该响应(如由箭头237表示),并且将该响应重定向(如由箭头238表示)回到应用。在一些实施例中,该响应可以表现为相同或者具有相同的模式,不管场所内资源在公共云内还是在专用网络内。
图8解说了示出公共云中的应用接着可如何使用桥接基础结构访问专用网络上的资源的更具体示例的运行时过程。在这一情形中,应用是网站。再一次,尽管应用被标记为“Azure”网站,但本文描述的原理不限于任何特定的公共云身份或供应商,并且不限于请求专用网络资源的应用供应商或身份。在任何情形中,应用对远程资源(无法直接从公共云抵达)寻址,就好像它位于附近且能够直接访问那样。
应用被主存在其上的公共云平台将代理嵌入应用运行时内。代理(图8中的混合连接代理)确定应用链接到的逻辑混合连接以及它所表示的远程资源的地址/端口信息。代理截取来自应用的以该远程资源为目的地的所有话务,将NetTcpRelayBinding用于使原始消息形成帧,并且将其发送到混合连接。尽管在这一具体示例中使用NetTcpRelayBinding,但其他帧形成机制或隧道协议可被使用。
混合连接将应用发送的所有请求转发到主存在专用网络上的资源代理(图8中的“混合连接管理器服务”)以供进一步转发到远程资源。此外,混合连接向应用转发远程资源发送的所有响应。
专用网络上的代理服务使用出站网络连通性(例如,通过TCP、HTTP、HTTPS或Web套接字)来监听来自公共云的连接请求。来自公共云上的应用的连接请求接着被转发到专用网络上的资源,并且响应被返回到公共云上的应用。代理在将其转发给资源之前从原始消息移除NetTcpRelayBinding的帧形成,并且相反地在将来自资源的响应返回到应用时添加帧形成。
相应地,本文描述的原理提供了一种用于供应、连接和使用允许公共云中的应用连接到场所内资源的桥接基础结构的便捷且高度自动化的机制。本发明可具体化为其它具体形式而不背离其精神或本质特征。所描述的实施例在所有方面都应被认为仅是说明性而非限制性的。从而,本发明的范围由所附权利要求书而非前述描述指示。落入权利要求书的等效方案的含义和范围内的所有改变应被权利要求书的范围所涵盖。
Claims (10)
1.一种用于自动供应公共云与专用网络中的场所内资源之间的连接的方法,所述方法包括:
确定在所述公共云中运行的应用要访问所述专用网络的场所内资源的动作;
响应于所述确定动作自动执行以下动作的动作:
标识提供对所述场所内资源的访问的桥接基础结构的动作;
访问用于连接到所述桥接基础结构的凭证的动作;
将因应用而异的凭证安全提供给所述公共云上的应用的动作,所述因应用而异的凭证能够被所述公共云上的代理使用来连接到所标识的桥接基础结构;以及
创建配置包的动作,所述配置包包括因资源而异的凭证、控件的可执行文件、以及所述场所内资源的身份,所述控件的可执行文件被配置成在被用户选择之际被执行并且使用所述因资源而异的凭证提供所述专用网络上的场所内资源与所述桥接基础结构之间的连通性。
2.如权利要求1所述的方法,其特征在于,所述专用网络中的场所内资源是所述专用网络中的第一场所内资源,所述桥接基础结构是第一桥接基础结构,所述凭证是第一凭证,所述因应用而异的凭证是第一因应用而异的凭证,所述因资源而异的凭证是第一因资源而异的凭证,所述方法进一步包括:
确定在所述公共云中运行的应用要访问所述专用网络的第二场所内资源的动作;
响应于确定在所述公共云中运行的应用要访问所述专用网络的第二场所内资源的动作来自动执行以下动作的动作:
标识提供对所述第二场所内资源的访问的第二桥接基础结构的动作;
访问用于连接到所述第二桥接基础结构的第二凭证的动作;
将第二因应用而异的凭证安全提供给所述公共云上的应用的动作,所述第二因应用而异的凭证能够被所述公共云上的代理使用来连接到所述第二桥接基础结构;以及
创建配置包的动作,所述配置包包括第二因资源而异的凭证以及所述第二场所内资源的身份,所述控件的可执行文件的执行使用所述第二因资源而异的凭证提供所述专用网络上的第二场所内资源与所述第二桥接基础结构之间的连通性。
3.如权利要求1所述的方法,其特征在于,所述场所内资源是服务器。
4.如权利要求1所述的方法,其特征在于,所述场所内资源是数据库。
5.如权利要求1所述的方法,其特征在于,所述场所内资源是存储。
6.如权利要求1所述的方法,其特征在于,确定在所述公共云中运行的应用要访问所述专用网络的场所内资源的动作包括:
导航到网站并且向所述网站指示要使得所述场所内资源对所述公共云可用的动作。
7.如权利要求6所述的方法,其特征在于,所述确定动作进一步包括:
接收对于所述桥接基础结构和所述场所内资源而言唯一的控件的动作,所述控件能够被选择以获得所述因资源而异的凭证。
8.如权利要求7所述的方法,其特征在于,所述确定动作进一步包括:
用户选择所述控件藉此发起所述自动执行动作的动作。
9.如权利要求7所述的方法,其特征在于,所述控件是超链接。
10.一种包括一个或多个计算机可读存储介质的计算机程序产品,所述一个或多个计算机可读存储介质其上具有计算机可执行指令,所述计算机可执行指令被结构化成使得在由计算系统的一个或多个处理器执行时使得所述计算系统:响应于确定在公共云中运行的应用要访问专用网络的场所内应用,自动供应所述公共云与所述专用网络中的场所内资源之间的连接:
标识提供对所述场所内资源的访问的桥接基础结构的动作;
访问用于连接到所述桥接基础结构的凭证的动作;
将因应用而异的凭证安全提供给所述公共云上的应用的动作,所述因应用而异的凭证能够被所述公共云上的代理使用来连接到所标识的桥接基础结构;以及
创建配置包的动作,所述配置包包括因资源而异的凭证、控件的可执行文件、以及所述场所内资源的身份,所述控件的可执行文件被配置成在被用户选择之际被执行并且使用所述因资源而异的凭证提供所述专用网络上的场所内资源与所述桥接基础结构之间的连通性。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201461992073P | 2014-05-12 | 2014-05-12 | |
US61/992,073 | 2014-05-12 | ||
PCT/US2015/030223 WO2015175438A1 (en) | 2014-05-12 | 2015-05-11 | Connecting public cloud with private network resources |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106464717A true CN106464717A (zh) | 2017-02-22 |
CN106464717B CN106464717B (zh) | 2019-05-17 |
Family
ID=53276270
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580025031.5A Active CN106464721B (zh) | 2014-05-12 | 2015-05-11 | 将公共云与专用网络资源连接的方法 |
CN201580024694.5A Active CN106464717B (zh) | 2014-05-12 | 2015-05-11 | 用于将公共云与专用网络资源连接的方法 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580025031.5A Active CN106464721B (zh) | 2014-05-12 | 2015-05-11 | 将公共云与专用网络资源连接的方法 |
Country Status (8)
Country | Link |
---|---|
US (3) | US10075531B2 (zh) |
EP (2) | EP3143746B1 (zh) |
JP (2) | JP2017518696A (zh) |
CN (2) | CN106464721B (zh) |
BR (2) | BR112016024582A2 (zh) |
ES (1) | ES2690474T3 (zh) |
RU (2) | RU2016144305A (zh) |
WO (2) | WO2015175438A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113412601A (zh) * | 2019-09-17 | 2021-09-17 | 微软技术许可有限责任公司 | 集中式远程迁移客户端凭证管理 |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9251114B1 (en) * | 2012-10-12 | 2016-02-02 | Egnyte, Inc. | Systems and methods for facilitating access to private files using a cloud storage system |
JP2017518696A (ja) | 2014-05-12 | 2017-07-06 | マイクロソフト テクノロジー ライセンシング,エルエルシー | パブリッククラウドのプライベートネットワーク資源との接続 |
JP2017534109A (ja) | 2014-09-30 | 2017-11-16 | ヒューレット パッカード エンタープライズ デベロップメント エル ピーHewlett Packard Enterprise Development LP | セカンドデーオペレーションのトポロジーベースの管理 |
US10038721B2 (en) * | 2015-02-16 | 2018-07-31 | International Business Machines Corporation | Enabling an on-premises resource to be exposed to a public cloud application securely and seamlessly |
US9667698B2 (en) | 2015-09-30 | 2017-05-30 | International Business Machines Corporation | Secure port forwarding to access data between public processing locations and on-premise components |
US10171322B2 (en) * | 2016-01-11 | 2019-01-01 | International Business Machines Corporation | Dynamic and secure cloud to on-premise interaction and connection management |
US10785288B2 (en) * | 2017-02-22 | 2020-09-22 | International Business Machines Corporation | Deferential support of request driven cloud services |
US10791095B2 (en) * | 2017-03-01 | 2020-09-29 | Xiid Corporation | Secure authentication and data transfer for cloud systems |
US10346443B2 (en) * | 2017-05-09 | 2019-07-09 | Entit Software Llc | Managing services instances |
US10608959B2 (en) * | 2017-09-11 | 2020-03-31 | Vmware, Inc. | Securely managing and diagnosing network middleboxes |
US20210166226A1 (en) * | 2018-04-10 | 2021-06-03 | Visa International Service Association | Deep link authentication |
US11140165B2 (en) | 2019-07-22 | 2021-10-05 | Bank Of America Corporation | System for selective mapping of distributed resources across network edge framework for authorized user access |
US10992735B2 (en) | 2019-07-22 | 2021-04-27 | Bank Of America Corporation | System for generating event-based linkages between distributed resources for tailored data access |
US11329954B1 (en) * | 2019-07-30 | 2022-05-10 | Berryville Holdings, LLC | Traceless access to remote deployed devices in undisclosed locations |
CN110650149A (zh) * | 2019-10-09 | 2020-01-03 | 广东蓄能发电有限公司 | 一种基于云计算的可扩充多源数据并发信息通知的网络架构 |
US11755377B2 (en) * | 2019-12-09 | 2023-09-12 | Hewlett Packard Enterprise Development Lp | Infrastructure resource mapping mechanism based on determined best match proposal for workload deployment |
US11997093B2 (en) * | 2020-09-30 | 2024-05-28 | Goodwell Technologies, Inc. | Secure private network navigation |
US20220141658A1 (en) * | 2020-11-05 | 2022-05-05 | Visa International Service Association | One-time wireless authentication of an internet-of-things device |
CA3185381A1 (en) | 2021-04-08 | 2022-10-13 | Balaji Sundararajan | Automated connectivity to cloud resources |
US11792088B1 (en) * | 2022-09-02 | 2023-10-17 | Microsoft Technology Licensing, Llc | Network management engine for a cloud computing system |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101335626A (zh) * | 2008-08-06 | 2008-12-31 | 中国网通集团宽带业务应用国家工程实验室有限公司 | 多级认证方法和多级认证系统 |
EP2228968A2 (en) * | 2009-03-13 | 2010-09-15 | Novell, Inc. | System and method for transparent cloud access |
CN102420846A (zh) * | 2010-10-15 | 2012-04-18 | 微软公司 | 企业用户对主存的虚拟机的远程访问 |
US20120331528A1 (en) * | 2011-06-27 | 2012-12-27 | Osmosix, Inc. | Apparatus, systems and methods for secure and selective access to services in hybrid public-private infrastructures |
CN103188339A (zh) * | 2011-12-02 | 2013-07-03 | 微软公司 | 将场所内网络与公共云进行连接 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4761019A (en) | 1987-09-04 | 1988-08-02 | Chrysler Motors Corporation | Steering knuckle assembly |
US6104716A (en) | 1997-03-28 | 2000-08-15 | International Business Machines Corporation | Method and apparatus for lightweight secure communication tunneling over the internet |
US20050273849A1 (en) | 2004-03-11 | 2005-12-08 | Aep Networks | Network access using secure tunnel |
US9426024B2 (en) * | 2007-06-22 | 2016-08-23 | Red Hat, Inc. | Establishing communication between enterprise nodes migrated to a public cloud and private enterprise infrastructure |
EP2206050A4 (en) * | 2007-09-28 | 2013-05-22 | Xcerion Ab | NETWORK OPERATING SYSTEM |
US10411975B2 (en) * | 2013-03-15 | 2019-09-10 | Csc Agility Platform, Inc. | System and method for a cloud computing abstraction with multi-tier deployment policy |
US8230050B1 (en) | 2008-12-10 | 2012-07-24 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
US8627426B2 (en) | 2010-04-26 | 2014-01-07 | Vmware, Inc. | Cloud platform architecture |
US9201667B2 (en) | 2010-12-31 | 2015-12-01 | Vmware, Inc. | Providing virtual desktops using resources accessed on public computer networks |
CN103650426B (zh) | 2011-05-06 | 2016-10-05 | 思杰系统有限公司 | 用于在公共云与私有云之间进行云桥接的系统和方法 |
US9253252B2 (en) | 2011-05-06 | 2016-02-02 | Citrix Systems, Inc. | Systems and methods for cloud bridging between intranet resources and cloud resources |
US9203807B2 (en) * | 2011-09-09 | 2015-12-01 | Kingston Digital, Inc. | Private cloud server and client architecture without utilizing a routing server |
US9201704B2 (en) * | 2012-04-05 | 2015-12-01 | Cisco Technology, Inc. | System and method for migrating application virtual machines in a network environment |
EP2909716B1 (en) * | 2012-10-16 | 2021-02-17 | Citrix Systems, Inc. | Systems and methods for bridging between public and private clouds through multi-level api integration |
US9344487B2 (en) * | 2013-03-14 | 2016-05-17 | Alcatel Lucent | Method for networking cPaaS components for application on-boarding |
US20140366155A1 (en) * | 2013-06-11 | 2014-12-11 | Cisco Technology, Inc. | Method and system of providing storage services in multiple public clouds |
US9424062B1 (en) * | 2014-03-24 | 2016-08-23 | Amazon Technologies, Inc. | Virtualization infrastructure support |
JP2017518696A (ja) | 2014-05-12 | 2017-07-06 | マイクロソフト テクノロジー ライセンシング,エルエルシー | パブリッククラウドのプライベートネットワーク資源との接続 |
-
2015
- 2015-05-11 JP JP2016567776A patent/JP2017518696A/ja active Pending
- 2015-05-11 US US14/708,867 patent/US10075531B2/en active Active
- 2015-05-11 US US14/708,859 patent/US9912755B2/en active Active
- 2015-05-11 EP EP15726433.4A patent/EP3143746B1/en active Active
- 2015-05-11 EP EP15726432.6A patent/EP3143745B1/en active Active
- 2015-05-11 ES ES15726433.4T patent/ES2690474T3/es active Active
- 2015-05-11 BR BR112016024582A patent/BR112016024582A2/pt not_active Application Discontinuation
- 2015-05-11 CN CN201580025031.5A patent/CN106464721B/zh active Active
- 2015-05-11 BR BR112016025138A patent/BR112016025138A2/pt not_active Application Discontinuation
- 2015-05-11 WO PCT/US2015/030223 patent/WO2015175438A1/en active Application Filing
- 2015-05-11 WO PCT/US2015/030222 patent/WO2015175437A1/en active Application Filing
- 2015-05-11 RU RU2016144305A patent/RU2016144305A/ru not_active Application Discontinuation
- 2015-05-11 RU RU2016144290A patent/RU2016144290A/ru not_active Application Discontinuation
- 2015-05-11 CN CN201580024694.5A patent/CN106464717B/zh active Active
- 2015-05-11 JP JP2016567739A patent/JP2017516410A/ja active Pending
-
2018
- 2018-02-23 US US15/904,015 patent/US10171591B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101335626A (zh) * | 2008-08-06 | 2008-12-31 | 中国网通集团宽带业务应用国家工程实验室有限公司 | 多级认证方法和多级认证系统 |
EP2228968A2 (en) * | 2009-03-13 | 2010-09-15 | Novell, Inc. | System and method for transparent cloud access |
CN102420846A (zh) * | 2010-10-15 | 2012-04-18 | 微软公司 | 企业用户对主存的虚拟机的远程访问 |
US20120331528A1 (en) * | 2011-06-27 | 2012-12-27 | Osmosix, Inc. | Apparatus, systems and methods for secure and selective access to services in hybrid public-private infrastructures |
CN103188339A (zh) * | 2011-12-02 | 2013-07-03 | 微软公司 | 将场所内网络与公共云进行连接 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113412601A (zh) * | 2019-09-17 | 2021-09-17 | 微软技术许可有限责任公司 | 集中式远程迁移客户端凭证管理 |
US12015698B2 (en) | 2019-09-17 | 2024-06-18 | Microsoft Technology Licensing, Llc | Centralized remote migration client credential management |
Also Published As
Publication number | Publication date |
---|---|
CN106464721A (zh) | 2017-02-22 |
US20150326672A1 (en) | 2015-11-12 |
JP2017518696A (ja) | 2017-07-06 |
WO2015175437A1 (en) | 2015-11-19 |
EP3143745B1 (en) | 2020-10-07 |
RU2016144290A (ru) | 2018-05-11 |
CN106464717B (zh) | 2019-05-17 |
US10075531B2 (en) | 2018-09-11 |
US20150326579A1 (en) | 2015-11-12 |
EP3143746A1 (en) | 2017-03-22 |
ES2690474T3 (es) | 2018-11-21 |
CN106464721B (zh) | 2019-09-24 |
US20180183879A1 (en) | 2018-06-28 |
BR112016025138A2 (pt) | 2017-08-15 |
US9912755B2 (en) | 2018-03-06 |
EP3143745A1 (en) | 2017-03-22 |
WO2015175438A1 (en) | 2015-11-19 |
US10171591B2 (en) | 2019-01-01 |
JP2017516410A (ja) | 2017-06-15 |
RU2016144305A (ru) | 2018-05-14 |
EP3143746B1 (en) | 2018-07-11 |
BR112016024582A2 (pt) | 2017-08-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106464717A (zh) | 将公共云与专用网络资源连接 | |
US10044756B2 (en) | Enabling an on-premises resource to be exposed to a public cloud application securely and seamlessly | |
JP5998248B2 (ja) | 遠隔サービスへのローカル安全なネットワークアクセスを提供する方法 | |
CN108062248B (zh) | 异构虚拟化平台的资源管理方法、系统、设备及存储介质 | |
US20180198845A1 (en) | Local Microservice Development for Remote Deployment | |
US11290425B2 (en) | Configuring network security based on device management characteristics | |
CN102986190A (zh) | 资源访问管理 | |
US10547597B2 (en) | Secure network connections | |
US20230246879A1 (en) | Architecture of a multi-cloud control plane -network adaptor | |
Boroufar | Software Delivery in Multi-Cloud Architecture | |
US20240195681A1 (en) | Secure bi-directional network connectivity system between private networks | |
US20240129185A1 (en) | Secure bi-directional network connectivity system between private networks | |
US20240126590A1 (en) | Authorization framework in a multi-cloud infrastructure | |
Singh et al. | Development of Python API for a Network Switch | |
Cabianca | Implementing Hybrid Connectivity | |
WO2024138123A1 (en) | Secure bi-directional network connectivity system between private networks | |
De Tender et al. | Azure Site Recovery: Recovery Plans and Advanced Configurations | |
Das et al. | AWS Networking Cookbook | |
Xu | Automating the Configuration of Virtual Private Network Servers | |
Gadre et al. | Network Function Virtualization: A Primer | |
Malta et al. | An Authentication Broker for Virtual Laboratories | |
Bidot García | Next generation networks-The technologies and enablers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |