CN114556871B - Vpc自动对等互连 - Google Patents

Vpc自动对等互连 Download PDF

Info

Publication number
CN114556871B
CN114556871B CN202080071464.5A CN202080071464A CN114556871B CN 114556871 B CN114556871 B CN 114556871B CN 202080071464 A CN202080071464 A CN 202080071464A CN 114556871 B CN114556871 B CN 114556871B
Authority
CN
China
Prior art keywords
peer
vpc
interconnection
interconnect
approved
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202080071464.5A
Other languages
English (en)
Other versions
CN114556871A (zh
Inventor
加尔吉·阿达夫
维内特·戈埃尔
帕夫林·拉多斯拉沃夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Google LLC
Original Assignee
Google LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Google LLC filed Critical Google LLC
Publication of CN114556871A publication Critical patent/CN114556871A/zh
Application granted granted Critical
Publication of CN114556871B publication Critical patent/CN114556871B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1059Inter-group management mechanisms, e.g. splitting, merging or interconnection of groups
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本公开提供了在诸如虚拟私有云(VPC)的虚拟网络之间的自动对等互连。VPC可以被配置成以“自动对等互连”模式操作,从而允许接通或关闭自动对等互连。当接通自动对等互连时,该VPC可能会寻求与其他VPC的连接,诸如匹配一个或多个预定义策略的其他VPC。另外,接通了自动对等互连的特定VPC可能会打开以接受来自匹配一个或多个预定义策略的其他VPC的连接请求。用于请求连接的策略可以与用于接受连接请求的策略相同或不同。根据一些示例,VPC可以被设置成“侦听”模式,在这种模式下,它被打开以与匹配预定义策略的任何其他VPC对等互连,但不会主动地寻求建立其他连接。

Description

VPC自动对等互连
相关申请的交叉引用
本申请要求于2019年11月1日提交的题为“VPC自动对等互连(VPC Auto-Peering)”的美国临时申请No.62/929,392的申请日权益,所述美国临时申请的公开内容通过引用在此并入本文。
背景技术
目前,如果云客户想要创建彼此对等互连的虚拟私有云(VPC)网络,则他们必须在对等互连的两侧显式地配置连接。特别地,每个VPC必须指定朝向另一VPC的显式对等互连配置,这能够导致云客户需要设置大量显式配置。例如,如果VPC集线器要与600个其他VPC连接,则VPC集线器将需要600种配置,而其他600个VPC中的每个都需要其自身的配置。除了创建配置之外,还必须维持配置。对等互连的数量越大,创建和维持配置所需的工作量就越大。
发明内容
本公开提供了一种在诸如VPC的虚拟网络之间创建自动对等互连关系而不需要显式双向配置的可能方式。在这方面,为客户提供了一种简单、简略的方式来通过策略自动地创建大量对等互连。
本公开的一个方面提供了一种方法,包括由第一虚拟私有云(VPC)以第一模式操作,其中第一模式启用与第二VPC的自动对等互连;由第一VPC识别第二VPC;在无需操作者干预的情况下由第一VPC自动地请求以发起与第二VPC的对等互连;以及当该请求被第二VPC接受时,由第一VPC建立对等互连连接。
根据一些示例,该方法还可以包括由第一VPC确定所识别的第二VPC是否满足一个或多个预定义策略。一个或多个预定义策略可以指定其中包括第二VPC的组织是否被批准用于对等互连。根据一些示例,一个或多个预定策略还可以指定其中包括第二VPC的组织中的项目是否被批准用于对等互连。在一些示例中,一个或多个策略限制子网和路由的交换。
根据一些实施方式,该方法还可以包括将自动对等互连过滤策略推送到第二VPC。
第二VPC可以以第一模式或以第二模式操作,其中第二VPC侦听自动对等互连请求。
本公开的另一方面提供了一种方法,包括由第二虚拟私有云(VPC)以第二模式操作,其中处于第二模式的第二VPC侦听来自第一VPC的自动对等互连请求;由第二VPC接收来自第一VPC的发起与第二VPC的对等互连的请求;由第二VPC基于一个或多个策略而确定是否与第一VPC对等互连;以及当根据一个或多个策略批准第一VPC时,在无需操作者干预的情况下由第二VPC自动地与第一VPC进行对等互连。
根据一些示例,一个或多个策略可以指定其中包括第一VPC的组织是否被批准用于对等互连。一个或多个策略还可以指定其中包括第一VPC的组织中的项目是否被批准用于对等互连。
在一些示例中,一个或多个策略可以限制子网和路由的交换。该方法还可以包括将自动对等互连过滤策略推送到第一VPC。第一VPC可以以启用了自动对等互连的第一模式操作。
本公开的另一方面提供了一种系统,包括第一虚拟私有云(VPC)中的多个虚拟机、耦接到多个虚拟机的控制器。该控制器包括一个或多个处理器,该一个或多个处理器被配置成以第一模式操作第一VPC,其中第一模式启用与第二VPC的自动对等互连;识别第二VPC,其中,在无需操作者干预的情况下由第一VPC自动请求以发起与第二VPC的对等互连;并且当请求被第二VPC接受时,在第一VPC与第二VPC之间建立对等互连连接。
在一些实施方式中,一个或多个处理器还被配置成确定所识别的第二VPC是否满足一个或多个预定义策略。一个或多个预定义策略可以指定其中包括第二VPC的组织是否被批准用于对等互连。一个或多个预定策略还可以指定其中包括第二VPC的组织中的项目是否被批准用于对等互连。一个或多个策略可以限制子网和路由的交换。
根据一些示例,一个或多个处理器还被配置成将自动对等互连过滤策略推送到第二VPC。
在一些实施方式中,控制器还可以被配置成操作第一VPC以识别第三VPC;在无需操作者干预的情况下由第一VPC自动请求以发起与第三VPC的对等互连;并且当请求被第三VPC接受时,在第一VPC与第三VPC之间建立对等互连连接。
附图说明
图1A是图示根据本公开的各方面的自动对等互连的示例的框图。
图1B是图示根据本公开的各方面的使用用于策略匹配的控制器的自动对等互连的示例的框图。
图1C是图示根据本公开的各方面的用户定义的群组内的自动对等互连的示例的框图。
图2是图示根据本公开的各方面的不同VPC的关系框图。
图3是图示根据本公开的各方面的VPC的部件的框图。
图4是图示根据本公开的各方面的示例用例的框图。
图5是图示根据本公开的各方面的另一示例用例的框图。
图6是图示根据本公开的各方面的示例方法的流程图。
图7是图示根据本公开的各方面的另一示例方法的流程图。
具体实施方式
图1A图示了VPC之间的自动对等互连的示例。自动对等互连是在VPC级别创建的,并且是VPC级别的配置。虽然本文的示例描述了VPC之间的自动对等互连,但应该理解的是,VPC可以包括任意多种类型的虚拟网络中。
VPC可以被配置成以一种或多种模式操作。例如,VPC可能具有“自动对等互连”模式,从而允许接通或关闭自动对等互连。当为特定VPC接通了自动对等互连时,该VPC可能会寻求与其他VPC的连接,诸如匹配一个或多个预定义策略的其他VPC。另外,接通了自动对等互连的特定VPC可能会打开以接受来自匹配一个或多个预定义策略的其他VPC的连接请求。用于请求连接的策略可以与接受连接请求的策略相同或不同。根据一些示例,VPC可以被设置成“侦听”模式,在这种模式下,它被打开以与匹配预定义策略的任何其他VPC对等互连,但不会主动寻求确立其他连接。
根据一些示例,VPC的对等互连模式(自动和/或侦听)能够基于对等互连策略而变化。例如,对于来自名称以字母‘b’开头的VPC的对等互连请求,VPC A可以以侦听模式操作,对于名称以字母“c”开头的VPC,以仅对等互连(例如,仅寻求连接)模式操作,并且对于名称以“d”开头的VPC,以对等互连+侦听模式操作。
如图1A中所示,VPC A 50可以被设置成侦听模式。为此,VPC A 50被打开以接受来自其他VPC 70(诸如,VPC N1、VPC Nm等)的请求。虽然仅示出了几个其他VPC 70,但应当理解,VPC A 50可以接受来自任何数量的其他VPC的连接。
VPC A 50可以确定是否接受来自其他VPC 70的连接。例如,VPC A50可以确定另一VPC,诸如VPC N1,是否匹配预定义策略。
根据一个示例,策略可以包括用于限制对等互连的VPC之间共享子网和路由的导入/导出过滤策略。此类策略可以包括用于接受连接请求的一个或多个规则。例如,此类规则可以指定具体组织、组织内的项目、和/或项目内被批准用于连接的VPC。根据一些示例,此类策略可以包括访问权限。例如,此类访问权限可以由VPC所属的组织或对VPC具有控制的其他实体指派。
例如,虽然一些策略可以指定给定组织内的任何VPC都被批准,但是其他策略可以指定另一组织的特定项目内的仅选定的几个VPC被批准。此外,一些政策可能明确地指示连接请求应被拒绝的特定VPC、项目或组织。
图1B图示了另一示例,其中控制器10促进VPC之间的自动对等互连。例如,每个VPC50、VPC 72、VPC 74可以具有相关联的对等互连策略。对等互连策略可以提供由相关联的VPC允许的对等互连规则。例如,规则可以指示被允许的其他特定VPC、其他类型的VPC、位置、所有者或对应于VPC的其他信息。策略可以存储在每个VPC 50、VPC 72、VPC74处,在控制器10处,或独立地存储在控制器10可访问的存储器设备中。
控制器10可以访问VPC的对等互连策略,并且对它们进行比较。基于该比较,控制器10可以确定VPC 50、VPC 72、VPC 74中的哪一个能够彼此确立对等互连。在示出的示例中,控制器10确定VPC A 50的对等互连策略允许与VPC B 72对等互连,并且VPC B 72的对等互连策略允许与VPC A 50对等互连。因此,控制器向VOC 50、VOC 72指示它们可以彼此对等互连。该指示可以包括例如从控制器传输到VPC 50、VPC 72的消息或指令。在其他示例中,该指示可以存储在控制器10处或其他地方,VPC可以周期性地访问该其他地方的地址以识别所允许的经确定的对等互连。
图1C是图示群组内自动对等互连的示例的框图。例如,VPC的群组可以由用户(诸如,组织的管理员或其他类型的用户)定义。可以基于任意VPC的若干特性(诸如策略、所有者、位置、利用率、应用类型或处置的作业等)而将VPC添加到群组中。
当一个或多个VPC被添加到群组时,VPC可以自动地与群组内的其他VPC对等互连。例如,如图所示,该群组包括VPC A 50、VPC B 72和VPC C 74。在一些示例中,可以通知VPC50、VPC 72、VPC 74它们被包括在群组中,并且可以向它们通知群组中的其他VPC。因此,这些VPC 50、VPC 72、VPC 74中的每个可以与群组中的每个其他VPC对等互连。
参照图2,例如,组织A可以包括若干项目240。例如,组织A可以是在一个或多个实体位置/建筑物中运营的公司、企业单位或任何其他企业、协会等。根据一些示例,组织A可以由其他组织(诸如,组织B)可辨识的唯一组织标识符表示。
例如,项目240中的每个可以是组织的子组织或其他子单位、产品或应用、部门、团队、平台等。每个项目可以包括一个或多个VPC 250至VPC 254。虽然图2中示出了几个VPC,但应当理解,给定项目中可以包括任何数量的VPC。此外,在一些实例中,给定的VPC可能会同时包括在组织内的多个不同项目中。
与组织A类似,单独的组织B可以包括一个或多个项目260,每个项目包括零个或多个VPC 270、VPC 272。组织B可能与组织A无关。在其他示例中,组织B可以与组织A做生意或以其他方式利用来自组织A的信息。仅举例来说,组织A可能是提供数据库服务(项目1)的公司,而组织B可能是具有使用数据库服务的web前端(项目2)的单独公司。因此,组织B的VPC270可能会寻求与组织A的VPC 250连接。
如果VPC不再需要具有显式对等互连配置,则可以实现本地过滤策略。本地过滤策略可以是限制子网和路由的交换的过滤策略,并且可以在VPC配置级别应用。
根据另一示例,策略可以包括对等点过滤策略。返回参照图1A,例如,如果VPC A50仅被配置成在没有导入/导出策略的情况下接受自动对等互连请求,则它可能能够接受对等点过滤策略。在这方面,发起VPC 70(例如,VPC N1)应该能够将导入/导出策略推送到VPCA 50。
当对等互连被自动地创建时,在一些示例中,可以在创建VPC(诸如寻求发起与VPCA 50的连接的VPC N1)上表达过滤策略。在其他示例中,可以在接受VPC(诸如接受来自VPCN1的请求的VPC A)上表达过滤策略。
在创建VPC上表达过滤策略的情况下,可以在VPC级别处将用于创建VPC的过滤策略配置为“自动对等互连本地过滤策略”。可以在创建VPC上将关于接受VPC的过滤策略配置为“自动对等互连对等点过滤策略”。
在接受VPC上表达过滤策略的情况下,接受VPC还可以将其自身的用于过滤的本地策略配置为“自动对等互连本地过滤策略”。接受VPC还可以任选地将过滤策略推送到创建VPC作为“自动对等互连对等点过滤策略”。本地策略可能优先于由对等点推送的“对等点过滤策略”。
在一些情况下,一个VPC对其所有自动创建的对等点可能仅具有单个导入/导出策略。在其他情况下,不同的过滤策略的集合可能会应用于不同的自动创建的VPC的集合。在这种情况下,可以用对应的过滤策略来允许多个自动创建/自动接受策略。
图3图示了示例VPC。VPC可以包括若干计算设备,诸如虚拟机362至366、载荷平衡器370和控制器390。虽然示出了这些计算设备中的仅几个,但是应当理解,每个VPC可以包括任何数量的计算设备,并且第一VPC中的计算设备的数量可能与第二VPC中的计算设备的数量不同。此外,应当理解,例如当硬件被移除、替换、升级或扩展时,每个VPC中的计算设备的数量可能会随着时间而变化。
根据一些示例,计算设备可以包括在一个或多个主机上运行的一个或多个虚拟机362至366。虚拟机362至366中的每个可以运行操作系统和应用。虽然图2中图示了仅几个虚拟机362至366,但应当理解,任何数量的虚拟机可以由任何数量的主机计算设备支持。此外,应当理解,图3中图示的配置仅为示例,并且每个VPC中的计算设备可以具有可能彼此相同或不同的各种结构和部件。
载荷平衡器370可以在虚拟机362至366之间分配作业或任务。例如,计算设备可能具有不同的能力。例如,不同的计算设备可能具有不同的处理速度、工作量等。例如,当接收到执行新任务的命令时,载荷平衡器370可以确定哪个虚拟机362至366负责处置新任务。此外,载荷平衡器370可以监视虚拟机362至366中的每个的计算能力并且根据需要做出调整。例如,如果一个虚拟机发生故障,则载荷平衡器370可以将其进程移动到一个或多个其他虚拟机。在其他示例中,如果一个虚拟机接近能力饱和而另一虚拟机具有可用性,则载荷平衡器370可以移动作业,或者可以仅将新作业发送到具有可用性的虚拟机。
控制器390可以与VPC和其他VPC中的计算设备通信。例如,控制器390接收来自其他VPC的连接请求并确定是否接受该连接。作为另一示例,控制器390可以寻找匹配预定义策略的其他VPC,并且向那些VPC发起连接请求。
控制器390可以包含处理器398、存储器392和通常存在于通用计算机中的其他部件。存储器392能够存储可由处理器398访问的信息,包括能够由处理器398执行的指令396。存储器还能够包括可由处理器398检索、操纵或存储的数据394。
存储器392可能是一种能够存储处理器398可访问的信息的非暂时性计算机可读介质,诸如硬盘驱动器、固态驱动器、磁带驱动器、光存储、存储卡、ROM、RAM、DVD、CD-ROM、可写和只读存储器。处理器398能够是众所周知的处理器或其他鲜为人知的处理器类型。替代地,处理器398能够是专用控制器,诸如ASIC。
指令396能够是由处理器398直接执行的指令集,诸如机器代码,或间接执行的指令集,诸如脚本。在这方面,术语“指令”、“步骤”和“程序”在本文中能够可互换使用。指令396能够以目标代码格式存储以供处理器398直接处理,或以包括在需要时被解释或被预先编译的脚本或独立源代码模块的集合的其他类型的计算机语言存储。
能够由处理器398根据指令396来检索、存储或修改数据394。举例来说,虽然系统和方法不受特定数据结构的限制,但是数据394能够存储在计算机寄存器中,存储在关系数据库中作为具有多个不同字段和记录的表或XML文档。数据394也能够被格式化为计算机可读格式,诸如但不限于二进制值、ASCII或Unicode。此外,数据394能够包括足以识别相关信息的信息,诸如数字、描述性文本、专有代码、指标、对存储在其他存储器(包括其他网络位置)中的数据的引用、或者被函数用来计算相关数据的信息。
如图3的示例中所示,数据394可以包括用于自动地与外部VPC对等互连的一个或多个策略。例如,策略可以包括导入/导出策略、对等点过滤策略、本地过滤策略等。可以访问所述策略以确定是发起还是接受请求。根据一些示例,可以将策略推送到寻求连接的外部VPC。
虽然图3在功能上将处理器398和存储器392图示为在同一块内,但处理器398和存储器392实际上可以包括多个处理器和存储器,所述多个处理器和存储器可以或可以不存储在同一物理外壳内。例如,指令396和数据394中的一些能够存储在可移除CD-ROM上,而其他的能够存储在只读计算机芯片内。指令和数据中的一些或全部能够存储在物理上远离处理器398但仍可由处理器访问的位置。类似地,处理器398实际上能够包括处理器的集合,所述处理器可以并行操作也可以不并行操作。
图4图示了第一示例用例,其中使VPC在轴辐式模型中对等互连。例如,VPC A 450可以是集线器。因此,集线器VPC A 450将其自身设置成侦听或接受模式。VPC A 450允许多个“辐条”VPC 461至VPC 465与它连接。辐条VPC 461至VPC 465中的每个可以在不同时间连接到集线器VPC 450,例如当建立了辐条VPC 461至VPC 465时,当它们需要与集线器VPC450协作时,或者在任何其他时间。类似地,辐条VPC 461至VPC465可以在不同的持续时间内保持与集线器VPC 450的对等互连。因此,虽然在一些实例中,所有VPC 461至VPC 465可以同时与集线器VPC 450对等互连,但在其他实例中,在给定时间可仅使辐条VPC 461至VPC465的子集对等互连。在这方面,当多租户服务公开服务时,新的客户端VPC能够在它们出现并且由IAM策略允许时与所述服务连接。
图5图示了另一示例用例,其中使多个VPC 552至VPC 558在全网格模型中对等互连。在该模型中,使每个VPC都与每个其他VPC对等互连。例如,组织中的所有VPC可以彼此对等互连。可以在所有VPC 552至VPC 558上应用策略以创建自动对等互连。在这种情况下,对等互连双方上的VPC都希望进行对等互连,并且因此创建VPC或接受VPC之间的区别不太相关。因此,所有VPC 552至VPC 558都可以配置自动对等互连创建和/或自动对等互连接受,并且VPC 552至VPC 558可能能够自动计算和创建它们的对等互连。
虽然图4和图5图示了两个不同的示例用例,但是应当理解,更多用例也是可能的。仅举例来说,一些VPC可以与一些其他VPC对等互连,诸如其中一些VPC可能不与每一个其他VPC对等互连的网格模型。
示例方法
除了上述和附图中图示的操作之外,现在还将描述各种操作。应当理解,不必按照下面描述的精确次序执行以下操作。而是,能够以不同的次序或同时处置各种步骤,并且也可以添加或省略各步骤。
图6图示了VPC之间的自动对等互连的示例方法600。仅举例来说,方法800可以由第一VPC内的控制器和第二VPC内的控制器执行,诸如结合图2所描述的控制器。
在框605中,第一VPC以自动对等互连模式操作。在这种模式中,第一VPC可以搜索被配置成允许自动对等互连的其他VPC。同时,在框650中,第二VPC以自动对等互连模式或侦听模式操作,在该模式下,第二VPC被配置成接受来自其他VPC的发起对等互连的请求。根据一些示例,第二VPC可以以自动对等互连模式寻求连接并侦听请求,但仅以侦听模式侦听请求。
在框610中,第一VPC可以检测第二VPC。例如,第二VPC可以广播第一VPC可检测到的一些信息。根据另一示例,集中式配置模型可以实现自动对等互连。可以使用任意多种不同机制来检测第二VPC,并且在一些实例中,此类机制可能取决于架构。
在框615中,第一VPC确定是否发起与第二VPC的对等互连。例如,第一VPC引用一个或多个配置文件,所述配置文件可以存储在VPC处或远程存储。一个或多个配置文件包括用于确定哪些VPC将发起对等互连的规则。例如,一个或多个配置文件可以针对经批准的VPC指定组织标识符、项目标识符和/或VPC标识符。一个或多个配置文件还可以列出第一VPC不应尝试与其发起对等互连的特定组织、项目或VPC。在框620中,第一VPC决定是否发起与第二VPC的对等互连。如果决定不发起对等互连,则过程可以返回框605。
如果第一VPC在框620中决定发起对等互连,则它将在框625中发起对等互连。例如,第一VPC可以向第二VPC发送请求。该请求可以包括例如识别第一VPC的信息。根据一些示例,该请求可以包括更多信息,诸如请求对等互连的持续时间、与第一VPC对等互连的其他VPC等。在框655中,第二VPC从第一VPC接收对等互连请求。
在框660中,第二VPC确定是否与第一VPC对等互连。例如,第二VPC可以查阅其自动对等互连配置文件中的一个或多个。此类配置文件可以指定第二VPC应与之对等互连的特定VPC。在指定特定VPC时,配置文件可以指定被批准或拒绝的组织、项目和/或VPC。
如果第二VPC在框665中决定不与第一VPC对等互连,则可以在框670中拒绝来自第一VPC的请求。然而,如果第二VPC决定与第一VPC对等互连,则可以在框675中建立对等互连。
图7图示了示例方法700,其中控制器使用VPC的策略来促进对等互连。
在框710中,控制器访问关于多个VPC的对等互连策略。例如,策略可以存储在控制器内、在VPC处或在控制器可访问的任何其他位置。每个对等互连策略可以对应于特定VPC,并且可以指示由该特定VPC允许的对等互连连接的规则、参数或其他指南。
在框720中,控制器比较经访问的对等互连策略。例如,控制器可以个别地或共同地分析对等互连策略。
在框730中,控制器基于框720的比较来确定哪些VPC能够彼此对等互连。例如,该比较可以返回指示第一VPC和第二VPC的策略具有允许在第一VPC与第二VPC之间对等互连的一些相同规则的结果。根据其他示例,第一VPC和第二VPC可能具有不同的特性并且它们的策略可以包括不同的规则,但是第一VPC的策略允许与第二VPC对等互连,而第二VPC的策略允许与第一VPC对等互连。因此,在任一示例中,控制器可以将第一VPC和第二VPC识别为用于彼此对等互连的候选。
在框740中,控制器向所确定的VPC指示它们之间的对等互连被批准。举例来说,控制器可以向第一VPC和第二VPC发送指示它们可以继续彼此对等互连的消息或其他通信。
如本文所述的自动对等互连是有利的,因为它促进了多个VPC对等互连的创建和管理。因此,能够使用更少的时间、劳动力和其他资源来创建和维持VPC对等互连。另外,此类自动对等互连降低了人为误差的可能性。
除非另有说明,否则前述替代示例不是相互排斥的,而是可以以各种组合实现以达成独特的优势。因为可以在不背离权利要求所限定的主题的情况下利用上面讨论的特征的这些和其他变型和组合,所以应当以说明的方式而非限制权利要求所限定的主题的方式来理解实施例的前述描述。另外,本文所描述的示例的提供以及措辞为“诸如”、“包括”等条款不应被解释为将权利要求的主题限制为具体示例;而是,所述示例意在说明许多可能的实施例中的仅一个。此外,不同附图中相同的附图标记可以识别相同或相似的元件。

Claims (12)

1.一种用于自动对等互连的方法,包括:
由第一虚拟私有云VPC以第一模式操作,其中,所述第一模式启用与第二VPC的自动对等互连;
由所述第一VPC识别第二VPC;
由所述第一VPC确定所识别的第二VPC是否满足一个或多个预定义策略,其中,所述一个或多个预定义策略指定以下中的一个或多个:其中包括所述第二VPC的组织是否被批准用于对等互连、所述组织中的项目是否被批准用于对等互连、所述第二VPC是否被批准用于对等互连、对所述第二VPC具有控制的实体是否被批准或者所述第二VPC所属的群组是否被批准用于对等互连;
在无需操作者干预的情况下由所述第一VPC自动地请求发起与所述第二VPC的对等互连;以及
当所述请求被所述第二VPC接受时,由所述第一VPC建立所述对等互连连接。
2.根据权利要求1所述的方法,其中,所述一个或多个策略限制子网和路由的交换。
3.根据权利要求1所述的方法,还包括将自动对等互连过滤策略推送到所述第二VPC。
4.根据权利要求1所述的方法,其中,所述第二VPC以所述第一模式或以第二模式操作,其中,所述第二VPC侦听自动对等互连请求。
5.一种用于自动对等互连的方法,包括:
由第二虚拟私有云VPC以第二模式操作,其中,处于所述第二模式的所述第二VPC侦听来自第一VPC的自动对等互连请求;
由所述第二VPC接收来自所述第一VPC的发起与所述第二VPC的对等互连的请求;
由所述第二VPC基于一个或多个策略来确定是否与所述第一VPC对等互连,其中,所述一个或多个预定义策略指定以下中的一个或多个:其中包括所述第二VPC的组织是否被批准用于对等互连、所述组织中的项目是否被批准用于对等互连、所述第二VPC是否被批准用于对等互连、对所述第二VPC具有控制的实体是否被批准或者所述第二VPC所属的群组是否被批准用于对等互连;以及
当所述第一VPC根据所述一个或多个策略被批准时,在无需操作者干预的情况下由所述第二VPC自动地与所述第一VPC进行对等互连。
6.根据权利要求5所述的方法,其中,所述一个或多个策略限制子网和路由的交换。
7.根据权利要求5所述的方法,还包括将自动对等互连过滤策略推送到所述第一VPC。
8.根据权利要求5所述的方法,其中,所述第一VPC以启用自动对等互连的第一模式操作。
9.一种用于自动对等互连的系统,包括:
在第一虚拟私有云VPC中的多个虚拟机;
耦接到所述多个虚拟机的控制器,所述控制器包括一个或多个处理器,所述一个或多个处理器被配置成:
以第一模式操作所述第一VPC,其中,所述第一模式启用与第二VPC的自动对等互连;
识别第二VPC;
确定所识别的第二VPC是否满足一个或多个预定义策略,其中,所述一个或多个预定义策略指定以下中的一个或多个:其中包括所述第二VPC的组织是否被批准用于对等互连、所述组织中的项目是否被批准用于对等互连、所述第二VPC是否被批准用于对等互连、对所述第二VPC具有控制的实体是否被批准或者所述第二VPC所属的群组是否被批准用于对等互连;
在无需操作者干预的情况下由所述第一VPC自动地请求以发起与所述第二VPC的对等互连;以及
当所述请求被所述第二VPC接受时,在所述第一VPC与所述第二VPC之间建立所述对等互连连接。
10.根据权利要求9所述的系统,其中,所述一个或多个策略限制子网和路由的交换。
11.根据权利要求9所述的系统,其中,所述一个或多个处理器还被配置成将自动对等互连过滤策略推送到所述第二VPC。
12.根据权利要求9所述的系统,其中,所述控制器还被配置成操作所述第一VPC以:
识别第三VPC;
在无需操作者干预的情况下由所述第一VPC自动地请求以发起与所述第三VPC的对等互连;以及
当所述请求被所述第三VPC接受时,在所述第一VPC与所述第三VPC之间建立所述对等互连连接。
CN202080071464.5A 2019-11-01 2020-10-30 Vpc自动对等互连 Active CN114556871B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201962929392P 2019-11-01 2019-11-01
US62/929,392 2019-11-01
PCT/US2020/058111 WO2021087199A1 (en) 2019-11-01 2020-10-30 Vpc auto-peering

Publications (2)

Publication Number Publication Date
CN114556871A CN114556871A (zh) 2022-05-27
CN114556871B true CN114556871B (zh) 2024-03-15

Family

ID=73544361

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080071464.5A Active CN114556871B (zh) 2019-11-01 2020-10-30 Vpc自动对等互连

Country Status (4)

Country Link
US (1) US20230144202A1 (zh)
EP (1) EP4022866A1 (zh)
CN (1) CN114556871B (zh)
WO (1) WO2021087199A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115297004B (zh) * 2022-07-25 2024-05-24 紫光云技术有限公司 一种单可用区内vpc对等连接实现方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016181201A1 (en) * 2015-05-14 2016-11-17 Sony Mobile Communications Inc. Method and system for approving or disapproving connection requests
WO2019085311A1 (zh) * 2017-11-02 2019-05-09 平安科技(深圳)有限公司 云平台专有网络间安全互联方法、装置、设备及存储介质
US10310966B1 (en) * 2017-06-01 2019-06-04 Amazon Technologies, Inc. Automatic test stack creation via production system replication
WO2019161206A1 (en) * 2018-02-19 2019-08-22 Futurewei Technologies, Inc. Multi-cloud vpc routing and registration

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9779257B2 (en) * 2012-12-19 2017-10-03 Microsoft Technology Licensing, Llc Orchestrated interaction in access control evaluation
US9602544B2 (en) * 2014-12-05 2017-03-21 Viasat, Inc. Methods and apparatus for providing a secure overlay network between clouds
US9940470B2 (en) * 2015-10-06 2018-04-10 Symantec Corporation Techniques for generating a virtual private container
US10764169B2 (en) * 2017-10-09 2020-09-01 Keysight Technologies, Inc. Methods, systems, and computer readable media for testing virtual network components deployed in virtual private clouds (VPCs)
CN114374581B (zh) * 2018-02-20 2023-07-28 华为技术有限公司 企业虚拟专用网络(vpn)与虚拟私有云(vpc)粘连

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016181201A1 (en) * 2015-05-14 2016-11-17 Sony Mobile Communications Inc. Method and system for approving or disapproving connection requests
US10310966B1 (en) * 2017-06-01 2019-06-04 Amazon Technologies, Inc. Automatic test stack creation via production system replication
WO2019085311A1 (zh) * 2017-11-02 2019-05-09 平安科技(深圳)有限公司 云平台专有网络间安全互联方法、装置、设备及存储介质
WO2019161206A1 (en) * 2018-02-19 2019-08-22 Futurewei Technologies, Inc. Multi-cloud vpc routing and registration

Also Published As

Publication number Publication date
EP4022866A1 (en) 2022-07-06
WO2021087199A1 (en) 2021-05-06
US20230144202A1 (en) 2023-05-11
CN114556871A (zh) 2022-05-27

Similar Documents

Publication Publication Date Title
CN104537076B (zh) 一种文件读写方法及装置
US8805978B1 (en) Distributed cluster reconfiguration
US20120054155A1 (en) Systems and methods for dynamically replicating data objects within a storage network
US20210109890A1 (en) System and method for planning and configuring a file system migration
CN109683911B (zh) 一种实现自动化应用部署及影响分析的系统
US10152343B2 (en) Method and apparatus for managing IT infrastructure in cloud environments by migrating pairs of virtual machines
DE112013007296T5 (de) Bestimmung eines geeigneten Ziels für einen Initiator durch einen Prozessor auf Steuerungsebene
US11811839B2 (en) Managed distribution of data stream contents
US20160041996A1 (en) System and method for developing and implementing a migration plan for migrating a file system
CN112532674A (zh) 一种网络边缘计算系统的创建方法、装置及介质
US20190004844A1 (en) Cloud platform construction method and cloud platform
US20200244766A1 (en) Systems and methods for semi-automatic workload domain deployments
CN114556871B (zh) Vpc自动对等互连
US11301436B2 (en) File storage method and storage apparatus
US10439897B1 (en) Method and apparatus for enabling customized control to applications and users using smart tags
US20200076681A1 (en) Volume allocation management apparatus, volume allocation management method, and volume allocation management program
US20190213268A1 (en) Dynamic subtree pinning in storage systems
US11418515B2 (en) Multi-vendor support for network access control policies
US10992534B2 (en) Forming groups of nodes for assignment to a system management server
CN109981697A (zh) 一种文件转存方法、系统、服务器及存储介质
CN108769123B (zh) 一种数据系统及数据处理方法
US20110276884A1 (en) Scalable affinitized state management
CN114647501A (zh) Mycat系统部署运维方法、装置、设备和存储介质
US11733899B2 (en) Information handling system storage application volume placement tool
KR20160041615A (ko) 클라우드 플랫폼 기반 로그수집 자동화 시스템 및 그 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant