CN116325668A - 到云资源的自动连接 - Google Patents

Abstract

本技术涉及接收将本地部署站点中的至少一个路由域与云环境中的至少一个虚拟网络相关联的标签，云环境与云服务提供商相关联。本技术还涉及利用云服务提供商使填充路由表和传播表自动化。

Description

到云资源的自动连接

相关申请的交叉引用

本申请要求于2021年4月8日提交的第17/390,239号美国非临时专利申请的权益和优先权，该美国非临时专利申请要求于2021年4月8日提交的题为“Automated WorkloadMapping of Cloud IaaS and Cloud Partner Interconnect”的第63/172,450号美国临时专利申请的权益和优先权，每个申请均通过引用以其整体并入本文。

技术领域

本技术总体上涉及计算机网络领域，更具体地，涉及用于自动连接到云资源的方法、系统和非暂时性计算机可读存储介质。

背景技术

企业网络常实现多样且复杂的网络拓扑以满足企业需求。这样的网络的日益增加的多样性和复杂性给网络管理员带来了较大的压力，并且为更多问题的出现打开了大门，例如，低于期望的正常运行时间。对于网络管理员，建立和管理网络连接可能是非常具有挑战性且耗时的，并且通常导致较低的稳定/准确连接的保障、较低的正常运行时间和/或缺乏某些期望的特征。

附图说明

为了描述可以获得本公开的各种优点和特征的方式，将通过参考在附图中示出的其具体实施例来呈现以上简要描述的原理的更具体的描述。应当理解，这些附图仅描绘了本公开的示例性实施例并且因此不应被认为是对本公开的范围的限制，通过使用附图以附加的具体性和细节来描述和解释本文的原理，在附图中：

图1示出了根据本公开的一些示例的高级网络架构的示例；

图2示出了根据本公开的一些示例的网络拓扑的示例；

图3示出了根据本公开的一些示例的示出用于管理覆盖网络(overlay network)的协议的操作的图示的示例；

图4示出了根据本公开的一些示例的示出用于分段网络的虚拟专用网络的操作的图示的示例；

图5示出了根据本公开的一些示例的能够自动连接到云资源的网络的示例；

图6A至图6C示出了针对网络控制器的图形用户界面(GUI)的示例；

图7是根据本公开的一些示例的用于自动连接到云资源的方法的流程图；以及

图8示出了用于实现本技术的某些方面的系统的示例。

具体实施方式

下面详细讨论本公开的各个实施例。虽然讨论了具体的实现方式，但是，应当理解，仅出于示例性目的而这样做。相关领域的技术人员将认识到，在不脱离本公开的精神和范围的情况下可以使用其他组件和配置。因此，以下描述和附图是说明性的并且不应被理解为是限制性的。为了提供对本公开的全面理解，描述了许多具体细节。然而，在某些实例中，没有描述众所周知的或传统的细节以避免混淆本描述。本公开中对一个实施例或实施例的引用，可以是对同一实施例或任一实施例的引用；并且，这样的引用意味着至少一个实施例。

对“一个实施例”或“实施例”的引用是指关于该实施例描述的特定特征、结构或特性被包括在本公开的至少一个实施例中。在说明书中的各个地方出现的短语“在一个实施例中”不一定都指同一实施例，也不是与其他实施例相互排斥的单独或替代实施例。此外，描述了可以由一些实施例呈现而不由其他实施例呈现的各种特征。

在本说明书中使用的术语总体上具有它们在本领域中、在本公开的情境下以及在使用每个术语的具体情境中的普通含义。替代语言和同义词可以用于本文讨论的术语中的任何一个或多个，并且不应对术语是否在本文中详细阐述或讨论赋予特殊意义。在一些情况下，提供了某些术语的同义词。一个或多个同义词的叙述不排除其他同义词的使用。本说明书中任何地方的示例的使用，包括本文讨论的任何术语的示例，仅是说明性的，并不旨在进一步限制本公开或任何示例术语的范围和含义。同样地，本公开不限于本说明书中给出的各种实施例。

不旨在限制本公开的范围，下面给出了根据本公开实施例的仪器、装置、方法及其相关结果的示例。应当注意，为了方便读者，示例中可以使用标题或副标题，这绝不应限制本公开的范围。除非另有定义，否则本文使用的技术和科学术语具有本公开内容所属领域的普通技术人员通常理解的含义。在发生冲突的情况下，以本文件(包括定义)为准。本公开的附加特征和优点将在随后的描述中阐述，并且部分地从描述中显而易见，或者可以通过实践本文公开的原理而获知。本公开的特征和优点可以通过所附权利要求中特别指出的仪器和组合来实现和获得。本公开的这些和其他特征将通过以下描述和所附权利要求变得更加明显或者可以通过实践本文阐述的原理而获知。

概述

在独立权利要求中阐述了本发明的各方面，并且在从属权利要求中阐述了优选特征。一个方面的特征可以单独地或与其他方面结合地应用于每个方面。

本技术提供了用于自动连接到云资源的方法、系统和非暂时性计算机可读存储介质。

一种示例方法可以包括接收将本地部署站点中的至少一个路由域与云环境中的至少一个虚拟网络相关联的标签，云环境与云服务提供商(CSP)相关联。该方法还可以包括在与软件定义云基础设施(SDCI)提供商相关联的软件定义广域网(SDWAN)路由器上配置虚拟交叉连接(VXC)，该VXC将本地部署站点连接到与CSP相关联的云环境。该方法还可以包括向VXC分配边界网关协议(BGP)参数。该方法还可以包括在与CSP相关联的云环境中的连接网关上配置BGP对等(peering)。该方法还可以包括将连接网关连接到云环境中的至少一个虚拟网络。该方法还可以包括用标签标记至少一个虚拟网络。该方法还可以包括配置本地部署站点中的至少一个路由域和云环境中的至少一个虚拟网络之间的连接，该连接至少部分地基于标签。

在该方法的一些实施例中，将连接网关连接到至少一个虚拟网络可以包括调用API以使用与SDCI提供商相关联的接口。该方法还可以包括使用该接口来连接到连接网关。该方法还可以包括将标签映射到至少一个虚拟网络。

在该方法的一些实施例中，针对至少一个虚拟网络中的每个虚拟网络，将标签映射到至少一个虚拟网络包括向云环境中的至少一个虚拟网络附加云网关。该方法还可以包括针对至少一个虚拟网络保存现有路由表。该方法还可以包括针对至少一个虚拟网络创建新路由表。该方法还可以包括向新路由表添加指向云网关的默认路由。该方法还可以包括基于新路由表启用路由传播。该方法还可以包括将云网关关联到连接网关，其中，被通告的前缀列表被设定为针对至少一个虚拟网络的地址前缀。

在该方法的一些实施例中，配置本地部署站点中的至少一个路由域和至少一个虚拟网络之间的连接可以包括向SDWAN路由器提供BGP配置。该方法还可以包括向SDWAN路由器提供段配置。该方法还可以包括基于虚拟局域网(VLAN)向SDWAN路由器提供子接口配置。

在一些实施例中，该方法还包括更新标签。该方法还可以包括自动地发现被标签影响的连接。该方法还可以包括自动地发现云环境上的被标签影响的一个或多个虚拟网络。该方法还可以包括向被标签影响的一个或多个虚拟网络附加新云网关。

在一些实施例中，该方法还包括针对被标签影响的一个或多个虚拟网络更新现有路由表。该方法还可以包括基于现有路由表启用路由传播。该方法还可以包括将新云网关附加到被影响的连接网关，该被影响的连接网关属于被标签影响的连接和被标签影响的一个或多个虚拟网络。

在该方法的一些实施例中，更新标签包括向标签添加与一个或多个虚拟网络对应的一个或多个新虚拟网络。

一种示例系统可以包括一个或多个处理器以及存储指令的至少一个计算机可读存储介质，该指令在由一个或多个处理器执行时使一个或多个处理器接收将本地部署站点中的至少一个路由域与云环境中的至少一个虚拟网络相关联的标签，云环境与云服务提供商(CSP)相关联。该指令还可以使一个或多个处理器在与软件定义云基础设施(SDCI)提供商相关联的软件定义广域网(SDWAN)路由器上配置虚拟交叉连接(VXC)，该VXC将本地部署站点连接到与CSP相关联的云环境。该指令还可以使一个或多个处理器向VXC分配边界网关协议(BGP)参数。该指令还可以使一个或多个处理器在与CSP相关联的云环境中的连接网关上配置BGP对等。该指令还可以使一个或多个处理器将连接网关连接到云环境中的至少一个虚拟网络。该指令还可以使一个或多个处理器用标签标记至少一个虚拟网络。该指令还可以使一个或多个处理器配置本地部署站点中的至少一个路由域和云环境中的至少一个虚拟网络之间的连接，该连接至少部分地基于标签。

一种存储有指令的示例非暂时性计算机可读存储介质，该指令在由处理器执行时使处理器接收将本地部署站点中的至少一个路由域与云环境中的至少一个虚拟网络相关联的标签，云环境与云服务提供商(CSP)相关联。该指令还可以使处理器在与软件定义云基础设施(SDCI)提供商相关联的软件定义广域网(SDWAN)路由器上配置虚拟交叉连接(VXC)，该VXC将本地部署站点连接到与CSP相关联的云环境。该指令还可以使处理器向VXC分配边界网关协议(BGP)参数。该指令还可以使处理器在与CSP相关联的云环境中的连接网关上配置BGP对等。该指令还可以使处理器将连接网关连接到云环境中的至少一个虚拟网络。该指令还可以使处理器用标签标记至少一个虚拟网络。该指令还可以使处理器配置本地部署站点中的至少一个路由域和云环境中的至少一个虚拟网络之间的连接，该连接至少部分地基于标签。

示例实施例

本公开将首先讨论软件定义广域网(SD-WAN)的网络架构和拓扑的示例，以及这样的网络的各种覆盖。然后，本公开将讨论用于自动连接到云资源的示例实施例。最后，本公开将讨论可以用于执行本技术的示例计算系统。

图1示出了用于实现本技术的各方面的网络架构100的示例。实现网络架构100的示例是

SD-WAN架构。然而，本领域普通技术人员将理解，针对网络架构100以及本公开中所讨论的任何系统，在类似或替代配置中可以有附加的或更少的组件。为了简洁和清楚，本公开中提供图示和示例。其他实施例可以包括不同数量和/或类型的元件，但是本领域普通技术人员将认识到，这样的变化不脱离本公开的范围。

在该示例中，网络架构100可以包括编排平面102、管理平面120、控制平面130和数据平面140。编排平面102可以协助边缘网络设备142(例如，交换机、路由器等)自动加载到覆盖网络。编排平面102可以包括一个或多个实体或虚拟网络编排器设备104。(一个或多个)网络编排器设备104可以执行边缘网络设备142的初始认证以及编排控制平面130的设备和数据平面140的设备之间的连接。在一些实施例中，(一个或多个)网络编排器设备104还可以实现位于网络地址转换(NAT)之后的设备的通信。在一些实施例中，实体或虚拟

SD-WAN vBond设备可以作为(一个或多个)网络编排器设备104来操作。

管理平面120可以负责网络的中央配置和监视。管理平面120可以包括一个或多个实体或虚拟网络管理设备122。在一些实施例中，(一个或多个)网络管理设备122可以经由图形用户界面提供网络的集中管理，以使用户能够监视、配置和维护底层(underlay)和覆盖网络中的边缘网络设备142和链路(例如，互联网传输网络160、MPLS网络162、4G/LTE网络164)。(一个或多个)网络管理设备122可以支持多租户并且实现与不同实体(例如，企业、企业内的部门、部门内的组等)相关联的逻辑上隔离的网络的集中管理。替代地或附加地，(一个或多个)网络管理设备122可以是针对单个实体的专用网络管理系统。在一些实施例中，实体或虚拟

SD-WAN vManage设备可以作为(一个或多个)网络管理设备122来操作。管理平面120可以包括分析引擎124以提供针对网络的分析。

控制平面130可以建立和维护网络拓扑并且做出关于流量的流向的决定。控制平面130可以包括(一个或多个)实体或虚拟网络控制器设备132。(一个或多个)网络控制器设备132可以建立到每个网络设备142的安全连接，并且经由控制平面协议(例如，覆盖管理协议(OMP)(下面进一步详细讨论)、开放最短路径优先(OSPF)、中间系统到中间系统(IS-IS)、边界网关协议(BGP)、协议无关多播(PIM)、互联网组管理协议(IGMP)、互联网控制消息协议(ICMP)、地址解析协议(ARP)、双向转发检测(BFD)、链路聚合控制协议(LACP)等)来分配路由和策略信息。在一些实施例中，(一个或多个)网络控制器设备132可以作为路由反射器来操作。(一个或多个)网络控制器设备132还可以编排数据平面140中的边缘网络设备142之间的安全连接。例如，在一些实施例中，(一个或多个)网络控制器设备132可以在(一个或多个)网络设备142之间分配密钥信息。这可以允许网络支持安全网络协议或应用(例如，互联网协议安全(IPSec)、传输层安全(TLS)、安全外壳(SSH)等)而无需互联网密钥交换(IKE)，并且实现网络的可扩展性。在一些实施例中，实体或虚拟

SD-WAN vSmart控制器可以作为(一个或多个)网络控制器设备132来操作。

数据平面140可以负责基于来自控制平面130的决定来转发分组。数据平面140可以包括边缘网络设备142，边缘网络设备142可以是实体或虚拟网络设备。边缘网络设备142可以在组织的各种网络环境的边缘处操作，例如，在一个或多个数据中心或协同定位中心150、校园网络152、分支办事处网络154、本地办事处网络154等中、或在云(例如，基础设施即服务(IaaS)、平台即服务(paas)、SaaS和其他云服务提供商网络)中。边缘网络设备142可以通过一个或多个WAN传输(例如，经由一个或多个互联网传输网络160(例如，数字订户线(DSL)、电缆等)、MPLS网络162(或其他专用分组交换网络(例如，城域以太网、帧中继、异步传输模式(ATM)等)、移动网络164(例如，4G、4G/LTE、5G等)、或其他WAN技术(例如，同步光网络(SONET)、同步数字体系(SDH)、密集波分复用(DWDM))、或其他光纤技术；租用线路(例如，T1/E1、T3/E3等)；公共交换电话网络(PSTN)、集成服务数字网络(ISDN)、或其它专用电路交换网络；小孔径终端(VSAT)或其它卫星网络等)在站点之间提供安全数据平面连接。边缘网络设备142可以负责流量转发、安全、加密、服务质量(QoS)和路由(例如，BGP、OSPF等)等任务。在一些实施例中，实体或虚拟

SD-WAN vEdge路由器可以作为边缘网络设备142来操作。

图2示出了用于示出网络架构100的各个方面的网络拓扑200的示例。网络拓扑200可以包括管理网络202、一对网络站点204A和204B(统称为204)(例如，(一个或多个)数据中心150、(一个或多个)校园网络152、(一个或多个)分支办事处网络154、(一个或多个)本地办事处网络156、(一个或多个)云服务提供商网络等)以及一对互联网传输网络160A和160B(统称为160)。管理网络202可以包括一个或多个网络编排器设备104、一个或多个网络管理设备122、以及一个或多个网络控制器设备132。虽然在该示例中管理网络202被示出为单个网络，但是本领域普通技术人员将理解，管理网络202的各个元件可以分布在任何数量的网络上和/或与站点204共处一地。在该示例中，可以通过传输网络160A或160B到达管理网络202的每个元件。

每个站点可以包括连接到一个或多个站点网络设备208的一个或多个端点206。端点206可以包括通用计算设备(例如，服务器、工作站、台式计算机等)、移动计算设备(例如，膝上型计算机、平板计算机、移动电话等)、可穿戴设备(例如，手表、眼镜或其它头戴式显示器(HMD)、耳用设备等)等。端点206还可以包括物联网(IoT)设备或装备，例如，农业装备(例如，牲畜跟踪和管理系统、浇水设备、无人机(UAV)等)；连接的汽车和其他车辆；智能家居传感器和设备(例如，报警系统、安全摄像机、照明、电器、媒体播放器、HVAC装备、公用事业仪表、窗户、自动门、门铃、锁等)；办公装备(例如，台式电话、复印机、传真机等)；医疗设备(例如，起搏器、生物传感器、医疗装备等)；工业装备(例如，机器人、工厂机械、建筑装备、工业传感器等)；零售装备(例如，自动售货机、销售点(POS)设备、射频识别(RFID)标签等)；智能城市设备(例如，路灯、停车计时器、废物管理传感器等)；运输和物流装备(例如，旋转式车辆、租赁汽车跟踪器、导航设备、库存监视器等)等。

站点网络设备208可以包括实体或虚拟交换机、路由器和其它网络设备。虽然在该示例中站点204A被示出为包括一对站点网络设备并且站点204B被示出为包括单个站点网络设备，但是站点网络设备208可以包括任何网络拓扑中的任何数量的网络设备，包括多层(例如，核心、分布和访问层)、脊叶、网状、树状、总线、中心辐射等。例如，在一些实施例中，一个或多个数据中心网络可以实现

应用中心基础设施(ACI)架构和/或一个或多个校园网络可以实现/>

软件定义访问(SD访问或SDA)架构。站点网络设备208可以将端点206连接到一个或多个边缘网络设备142，并且边缘网络设备142可以用于直接连接到传输网络160。

在一些实施例中，“颜色”可以用于标识单独的WAN传输网络，并且不同的WAN传输网可以被分配不同的颜色(例如，mpls、专用1(private1)、商用互联网(biz-internet)、城域以太网(metro-ethernet)、lte等)。在该示例中，网络拓扑200可以针对互联网传输网络160A利用称为“商用互联网(biz-internet)”的颜色，并且针对互联网传输网络160B利用称为“公共互联网(public-internet)”的颜色。

在一些实施例中，每个边缘网络设备208可以形成到(一个或多个)网络控制器设备132的数据报传输层安全(DTLS)或TLS控制连接，并且通过每个传输网络160连接到任何网络控制器设备132。在一些实施例中，边缘网络设备142还可以经由IPSec隧道安全地连接到其他站点中的边缘网络设备。在一些实施例中，BFD协议可以在这些隧道中的每条隧道内被使用，以检测丢失、延迟、抖动以及路径故障。

在边缘网络设备142上，可以使用颜色来帮助标识或区分单独的WAN传输隧道(例如，在单个边缘网络设备上相同的颜色不可以使用两次)。颜色本身也具有重要性。例如，颜色城域以太网、mpls和专用1(private1)、专用2(private2)、专用3(private3)、专用4(private4)、专用5(private5)和专用6(private6)可以被认为是专用颜色，这些专用颜色可以用于专用网络或没有传输IP端点的NAT寻址的地方(例如，因为在相同颜色的两个端点之间可能没有NAT)。当边缘网络设备142使用专用颜色时，它们可以尝试使用本地的、专用的、底层的IP地址来建立到其它边缘网络设备的IPSec隧道。公共颜色可以包括3g、商用(biz)、互联网(internet)、蓝色、青铜色、定制1、定制2、定制3、默认、金色、绿色、lte、公共互联网、红色和银色。公共颜色可以被边缘网络设备142使用，以建立到NAT后IP地址(如果涉及NAT)的隧道。如果边缘网络设备142使用专用颜色并且需要NAT来与其他专用颜色通信，则配置中的运营商设置可以指示边缘网络设备142使用专用IP地址还是使用公共IP地址。使用该设置，两个专用颜色当其一或两者使用NAT时可以建立会话。

图3示出了示出OMP操作的图示300的示例，OMP可以在一些实施例中用于管理网络的覆盖(例如，网络架构100)。在该示例中，OMP消息302A和OMP消息302B(统称为302)可以分别在网络控制器设备132以及边缘网络设备142A和边缘网络设备142B之间来回传输，控制平面信息(例如，路由前缀、下一跳路由、密码密钥、策略信息等)可以通过相应的安全DTLS或TLS连接304A以及TLS连接304B交换。网络控制器设备132可以与路由反射器类似地进行操作。例如，网络控制器设备132可以从边缘网络设备142接收路由，处理任何策略并且将任何策略应用于路由，并且将路由通告到覆盖中的其它边缘网络设备142。如果没有限定的策略，则边缘络设备142可以以与全网状拓扑类似的方式工作，在这种方式中每个边缘网络设备142可以直接地连接到另一站点处的另一边缘网络设备142，并且从每个站点接收全路由信息。

OMP可以通告各种类型的路由。例如，OMP可以通告OMP路由，OMP路由可以与从边缘网络设备142的本地站点或服务端获知的前缀对应。前缀可以源自静态或连接的路由，或来自例如OSPF或BGP协议，并且被重新分配到OMP中，因此它们可以在覆盖间被传输。OMP路由可以通告诸如传输位置(TLOC)信息(其可以与BGP下一跳IP地址类似)之类的属性以及诸如起源、路由发起者、优先级、站点标识符、标签和虚拟专用网络(VPN)之类的其他属性。如果OMP路由指向的TLOC是活动的，则OMP路由可以被安装在转发表中。

作为另一示例，OMP可以通告TLOC路由，该TLOC路由可以与连接到传输网络160中的边缘网络设备142上的逻辑隧道端点对应。在一些实施例中，TLOC路由可以由三元组唯一地标识和表示，三元组包括IP地址、链路颜色和封装(例如，通用路由封装(GRE)、IPSec等)。除了系统IP地址、颜色和封装之外，TLOC路由还可以承载诸如TLOC专用和公共IP地址、运营商、优先级、站点标识符、标签和权重之类的属性。在一些实施例中，当活动BFD会话与特定边缘网络设备142上的TLOC相关联时，该TLOC可以处于活动状态。

作为另一示例，OMP可以通告服务路由，服务路由可以表示可以连接到边缘网络设备142的本地站点并且通过服务插入可以由其它站点访问以供使用的服务(例如，防火墙、分布式拒绝服务(DDoS)缓解器、负载平衡器、入侵防止系统(IPS)、入侵检测系统(IDS)、WAN优化器等)。此外，这些路由还可以包括VPN；VPN标签可以以更新类型被发送，以告知网络控制器设备132在远程站点处哪些VPN被服务。

在图3的示例中，OMP被示出为在边缘网络设备142和网络控制器设备132之间建立的DTLS/TLS隧道304上运行。此外，图示300示出了通过WAN传输网络160A在TLOC 308A和TLOC 308C之间建立的IPSec隧道306A，以及通过WAN传输网络160B在TLOC 308B和TLOC308D之间建立的IPSec隧道306B。一旦IPSec隧道306A和IPSec隧道306B被建立，BFD就可以在它们中的每条隧道上被启用。

图4示出了示出VPN的操作的图示400的示例，VPN可以在一些实施例中被使用以为网络(例如，网络架构100)提供分段。VPN可以彼此隔离并且可以有它们自己的转发表。接口或子接口可以在单个VPN下被明确地配置，并且不可以是多于一个VPN的一部分。标签可以在OMP路由属性和分组封装中被使用，这些标签可以标识分组所属的VPN。VPN号可以是具有从0到65530的值的四字节整数。在一些实施例中，(一个或多个)网络编排器设备104、(一个或多个)网络管理设备122、(一个或多个)网络控制器设备132和/或(一个或多个)边缘网络设备142可以各自包括传输VPN 402(例如，0号VPN)和管理VPN 404(例如，512号VPN)。传输VPN 402可以包括分别连接到WAN传输网络(例如，MPLS网络162和互联网传输网络160)的一个或多个实体或虚拟网络接口(例如，网络接口410A和网络接口410B)。到(一个或多个)网络控制器设备132或(一个或多个)网络控制器设备132和(一个或多个)网络编排器设备104之间的安全DTLS/TLS连接可以从传输VPN 402发起。此外，静态路由或默认路由或动态路由协议可以在传输VPN 402内被配置以获得适当的下一跳信息，使得控制平面130可以被建立并且IPSec隧道306(未示出)可以连接到远程站点。

管理VPN 404可以通过网络接口410C承载往返(一个或多个)网络编排器设备104、(一个或多个)网络管理设备122、(一个或多个)网络控制器设备132和/或(一个或多个)边缘网络设备142的带外管理流量。在一些实施例中，管理VPN 404不能在覆盖网络上被承载。

除了传输VPN 402和管理VPN 404之外，(一个或多个)网络编排器设备104、(一个或多个)网络管理设备122、(一个或多个)网络控制器设备132或(一个或多个)边缘网络设备142还可以包括一个或多个服务端VPN 406。服务端VPN 406可以包括一个或多个实体或虚拟网络接口(例如，网络接口410D和网络接口410E)，一个或多个实体或虚拟网络接口连接到一个或多个本地站点网络412并且承载用户数据流量。(一个或多个)服务端VPN 406可以针对诸如OSPF或BGP、虚拟路由器冗余协议(VRRP)、QoS、流量整形、施策之类的特征而被启用。在一些实施例中，通过将从站点412处的(一个或多个)网络控制器设备132接收到的OMP路由重新分配到服务端VPN路由协议中，用户流量可以通过IPSec隧道被引导至其它站点。进一步，通过将服务VPN路由通告到OMP路由协议中，来自本地站点412的路由可以被通告到其他站点，OMP路由协议可以被发送到(一个或多个)网络控制器设备132并且被重新分配到网络中的其他边缘网络设备142。虽然在该示例中网络接口410A-E(统称为410)被示出为实体接口，但是本领域普通技术人员将理解，传输VPN和服务VPN中的接口410也可以替代地是子接口。

现在，本公开转向讨论用于自动连接到云资源的示例。本技术可以利用在图1至图4中描述的SDWAN网络中可用的工具，来自动进行从本地部署网段到云资源的意图驱动连接。通过自动地和动态地将本地部署网段映射到云资源，可以减少网络管理员的工作量、可以保持较高的正常运行时间并且可以保持遍及连接链的服务级别协议。这通过将云资源动态地映射到网络站点的网段(例如，本地部署网络)来满足本领域的需要。

图5示出了能够自动连接到云资源的网络的示例。网络控制器500可以将请求发送到连接网关530和互连网关550，连接网关530和互连网关550将段570-1、段570-2或段570-3中的任一段连接到虚拟网络520-1、虚拟网络520-2或虚拟网络520-3中的任何虚拟网络。

网络控制器500可以是与图1示出的(一个或多个)网络控制器设备132类似的网络控制器。例如，网络控制器500可以是利用CISCO vManage的控制器。网络控制器500可以将请求和配置发送到连接网关530和互连网关550。例如，发送到互连网关550的配置可以包括用于建立边界网关协议(BGP)的配置、用于网段的配置或用于基于VLAN的子接口的配置。

SDWAN结构560可以是与图1示出的数据中心150、校园152、分支办事处154或本地办事处156类似的网络，或与图2示出的网络204A和网络204B类似的网络。SDWAN结构560可以是包含段570-1、段570-2和段570-3(统称为段570)的本地部署网络。例如，段570可以是虚拟路由功能。

SDCI网络540可以是软件定义云基础设施(SDCI)网络。SDCI网络540可以与图1示出的数据中心150、校园152、分支办事处154或本地办事处156类似，或与图2示出的网络204A和网络204B类似。SDCI网络540可以充当SDWAN结构560和云环境510之间的中间网络。

云环境510可以是与图2示出的网络204A和网络204B类似的网络。云环境510可以包含虚拟网络520-1、虚拟网络520-2和虚拟网络520-3(以下统称为“虚拟网络520”)。

互连网关550和连接网关530可以是路由器或网络边缘。互连网关550可以将SDWAN结构560连接到SDCI网络540。连接网关530可以将SDCI网络540连接到云环境510。

例如，云环境510可以是亚马逊云计算服务(Amazon Web Services)，虚拟网络520可以是虚拟专用云，并且连接网关530可以是直接连接网关。在另一示例中，云环境510可以是谷歌云(Google Cloud)，虚拟网络520可以是虚拟专用云，并且连接网关530可以是谷歌云路由器。

网络控制器500可以在段570和虚拟网络520之间建立连接。该连接可以由网络控制器500接收到的标签启用，这些标签指示段570和虚拟网络520之间的连接应当被建立。例如，这些标签可以将SDWAN结构560的段(例如，虚拟网络、路由域、前缀、子网等)映射或关联到云环境510中的虚拟网络(例如，虚拟专用网络或路由域等)，这些标签可以用于建立SDWAN结构560中的段和云环境510中的虚拟网络之间的连接。在一些示例中，标签可以基于一个或多个因素(例如，但不限于，公共属性(例如，公共服务或功能、相关联的用户/组/设备的公共集合、公共安全组或策略、需求公共集合等)、关系和优先级等)来将(一个或多个)段与虚拟网络相关联。这些标签可以从网络管理员、自动化过程或经由其他方法接收。

为了实现段570和虚拟网络520之间的连接，网络控制器可以将请求和配置发送到互连网关550和连接网关530。网络控制器500可以在互连网关550和连接网关530之间以及在连接网关530和虚拟网络520之间建立连接。总之，网络控制器500可以在段570和虚拟网络520之间建立连接，因为段570已经被连接到互连网关550。

网络控制器500可以在互连网关550和连接网关530之间建立连接。在一些示例中，该连接可以是虚拟交叉连接(VXC)。VXC是层2连接或数据链路层连接，发起于互连网关550并且延伸到连接网关530。

网络控制器500可以建立VXC并且将其发送到SDCI网络540上的互连网关550。以下是用于在互连网关550上建立VXC的代码的示例，网络控制器500可以将该代码发送到互连网关550：

a_end＝{}

a_end['vlan']＝0

a_end['innerVlan']＝0

b_end＝{}

b_end['productUid']＝destinationProductId#Partner port Location Id

b_end['vlan']＝0

b_end['innerVlan']＝0

cloud_vxc_req['productUid']＝sourceProductId#MVE Product Id

associated_vxcs＝{}

associated_vxcs['productName']＝connectivityName#Name of theconnection

associated_vxcs['rateLimit']＝connectivitySpeed#Speed of theconnection

associated_vxcs['aEnd']＝a_end

associated_vxcs['bEnd']＝b_end

associated_vxcs_array＝[]

associated_vxcs_array.append(associated_vxcs)

cloud_vxc_req['associatedVxcs']＝associated_vxcs_array

create_vxc_array＝[]

create_vxc_array.append(cloud_vxc_req)

一旦互连网关550接收到VXC，SDCI网络540就可以验证VXC创建请求。操作网络控制器500的网络管理员可以验证该请求，或该请求可以以自动的方式被验证，或经由其它方法被验证。

网络控制器500可以经由连接网关530在互连网关550和(一个或多个)虚拟网络520之间建立连接。虚拟网络520可以由网络控制器500接收的标签来指定。

网络控制器500可以调用API来请求连接网关530接受SDCI网络540的虚拟接口。例如，当云环境510是亚马逊云计算服务时，虚拟接口可以是专用接口或转接虚拟接口。在另一示例中，当云环境510是谷歌云时，虚拟接口可以是伙伴互连。以下是用于请求连接网关530接受SDCI网络540的虚拟接口的代码的示例，网络控制器500可以将该代码发送到连接网关530：

response＝self.get_dc_client().confirm_private_virtual_interface(virtualInte rfaceId＝vif_id,

directConnectGatewayId＝dcg_id)

使用该虚拟接口，网络控制器500可以将标签中指定的虚拟网络映射到一组虚拟网络520。例如，为了将其在云环境510是亚马逊云计算服务时实现，针对每个虚拟网络520，网络控制器500可以：

1)创建虚拟专用网关并且将其附加到虚拟网络520：

response＝self.get_ec2_client().create_vpn_gateway(Type＝vpg_type,

AmazonSideAsn＝asn,

DryRun＝False)

response＝self.get_ec2_client().attach_vpn_gateway(VpcId＝vpc_id,

VpnGatewayId＝vpg_id)

2)针对虚拟网络520保存现有路由表并且针对虚拟网络520创建新路由表：

#Build the tag specifications.

tag_list＝[{'Key':route_table_fields['name'],'Value':name}]

tag_specifications＝[

{

'ResourceType':'route-table',

'Tags':tag_list,

}

]

response＝self.get_ec2_client().create_route_table(VpcId＝vpc_id,

TagSpecifications＝tag_specifications)

3)向新路由表添加指向虚拟专用网关的默认路由：

ret_code＝self.get_ec2_client().create_route(DestinationCidrBlock＝cidr_block,

GatewayId＝gw_id,

RouteTableId＝route_table_id)

response＝

self.get_ec2_client().replace_route_table_association(AssociationId＝old_association_id,

RouteTableId＝new_route_table_id)

4)将虚拟专用网关与连接网关530相关联，被通告的前缀列表被设定为针对虚拟网络520的地址前缀：

response＝

self.get_dc_client().create_direct_connect_gateway_association(directConnectGatewayId＝dcg_id,

gatewayId＝gw_id,

addAllowedPrefixesToDirectConnectGateway＝advertised_prefix_list)

在一些情况下，为了完成从段570到虚拟网络520的连接，网络控制器500可以将配置推送到互连网关550。网络控制器500可以在互连网关550和虚拟网络520之间配置边界网关协议(BGP)对等。网络连接500可以将各种配置推送到互连网关550以建立BGP对等，包括：

1)BGP对等配置：

vrf definition 10

rd 1:1

address-family ipv4

route-target export 65000:1

route-target import 65000:1

exit-address-family

！

address-family ipv6

exit-address-family

！

！

2)段配置：

interface GigabitEthernet1.2936

no shutdown

encapsulation dot1Q 2936

vrf forwarding 10

ip address 192.168.0.29 255.255.255.252

ip mtu 1496

exit3)虚拟网络子接口配置

router bgp 65000

bgp log-neighbor-changes

address-family ipv4 unicast vrf 10

distance bgp 20 200 20

neighbor 192.168.0.30remote-as 64515

neighbor 192.168.0.30activate

neighbor 192.168.0.30activate

neighbor 192.168.0.30description test-tgw-asn

neighbor 192.168.0.30ebgp-multihop

neighbor 192.168.0.30password 0ECLZMN8MSXGDV65IZGM5neighbor192.168.0.30send-community both

redistribute omp

exit-address-family

！

timers bgp 60 180

！

在一些示例中，管理SDWAN结构560和云环境510之间的连接的标签可以被更新。网络控制器500可以自动地发现被标签影响的连接以及段570和虚拟网络520中的端点，并且相应地应用标签变化。例如，当云环境510是亚马逊云计算服务时，网络控制器500可以向被影响的虚拟网络520和连接网关530附加新虚拟云网关，并且针对虚拟网络520更新路由表。

图6A至图6C示出了图5示出的网络控制器500的图形用户界面(GUI)的示例。通过这些GUI，网络管理员可以发现虚拟网络520、向虚拟网络520添加标签、或编辑虚拟网络520的标签。

图6A示出了用于发现虚拟网络520的GUI 610。在云环境510与网络控制器500相关联之后，网络控制器500可以从相应的帐户同步所有虚拟网络520并且显示它们。GUI 610可以显示诸如云环境510的名称之类的信息，并且针对每个虚拟网络520可以显示云区域、账户名称、主机虚拟网络名称、主机虚拟网络标签、虚拟网络是否可支持互连、账户ID、和主机虚拟网络ID。网络管理员可以使用GUI 610来选择在多个云环境510上的多个虚拟网络520，并且将它们分组为被称为标签的单个逻辑组。该标签充当与标签相关联的所有虚拟网络520的单个控制点。

图6B示出了用于创建标签的GUI 620。网络管理员可以指定标签名称并且选择给定区域中的虚拟网络520。网络管理员可以选择是否启用新标签的互连连接。标签一旦被创建，就可以关联到作为互连连接创建的一部分的连接，以建立从段570到虚拟网络520的连接。

图6C示出了用于编辑标签的GUI 630。网络管理员可以在稍后修改已经部署的标签的组成，以更新与标签相关联的虚拟网络520。如果作了这样的修改，则网络控制器500可以相应地检测和调整连接。

图7示出了用于自动连接到云资源的示例方法700。虽然示例方法700描绘了特定的操作序列，但是序列可以被改变而不脱离本公开的范围。例如，描绘的操作中的一些操作可以并行执行或以不同的顺序来执行，这实质上不影响方法700的功能。在其他示例中，实现方法700的示例设备或系统的不同组件可以基本上同时或以指定顺序来执行功能。

在框710处，方法700包括接收将本地部署站点中的至少一个路由域与云环境中的至少一个虚拟网络相关联的标签，云环境与云服务提供商(CSP)相关联。例如，图5示出的网络控制器500可以接收将本地部署站点中的至少一个路由域与云环境(与CSP相关联)中的至少一个虚拟网络相关联的标签。

在框720处，方法700包括在与软件定义云基础设施提供商(SDCI)相关联的软件定义广域网(SDWAN)路由器上配置虚拟交叉连接(VXC)，VXC将本地部署站点连接到与CSP相关联的云环境。例如，图5示出的网络控制器500可以在与SDCI提供商相关联的SDWAN路由器上建立VXC，VXC将本地部署站点连接到与CSP相关联的云环境。

在框730处，方法700包括向VXC分配边界网关协议(BGP)参数。例如，图5示出的网络控制器500可以向VXC分配BGP参数。

在框740处，方法700包括在与CSP相关联的云环境中的连接网关上配置BGP对等。例如，图5示出的网络控制器500可以在与CSP相关联的云环境中的连接网关上配置BGP对等。

在框750处，方法700包括将连接网关连接到云环境中的至少一个虚拟网络。例如，图5示出的网络控制器500可以将连接网关连接到云环境中的至少一个虚拟网络。

在框750处，在将连接网关连接到云环境中的至少一个虚拟网络的另一示例中，方法700可以包括调用API以使用与SDCI提供商相关联的接口。此外，方法700可以包括使用接口来连接到连接网关。此外，方法700可以包括将标签映射到至少一个虚拟网络。

在映射标签的另一示例中，方法700可以包括向云环境中的至少一个虚拟网络附加云网关。此外，方法700可以包括针对至少一个虚拟网络保存现有路由表。此外，方法700可以包括针对至少一个虚拟网络创建新路由表。此外，方法700可以包括向新路由表添加指向云网关的默认路由。此外，方法700可以包括基于新路由表启用路由传播。此外，方法700可以包括将云网关关联到连接网关。在一些示例中，被通告的前缀列表被设定为针对至少一个虚拟网络的地址前缀。

在框760处，方法700包括用标签标记至少一个虚拟网络。例如，图5示出的网络控制器500可以用标签标记至少一个虚拟网络。

在框770处，方法700包括建立本地部署站点中的至少一个路由域与云环境中的至少一个虚拟网络之间的连接。例如，图5示出的网络控制器500可以建立本地部署站点中的至少一个路由域与云环境中的至少一个虚拟网络之间的连接。在一些示例中，该连接至少部分地基于标签。

在框770处，在建立连接的另一示例中，方法700可以包括向SDWAN路由器提供BGP配置。此外，方法700可以包括向SDWAN路由器提供段配置。此外，方法700可以包括基于虚拟局域网向SDWAN路由器提供子接口配置。

在一些实施例中，方法700还可以包括更新标签。例如，图5示出的网络控制器500可以更新标签。此外，方法700可以包括自动地发现被标签影响的连接。此外，方法700可以包括自动地发现云环境上的被标签影响的一个或多个虚拟网络。此外，方法700可以包括向被标签影响的一个或多个虚拟网络附加新云网关。在一些示例中，更新标签包括向标签添加与一个或多个虚拟网络对应的一个或多个新虚拟网络。

在一些实施例中，所述方法700还可以包括针对被标签影响的一个或多个虚拟网络更新现有路由表。例如，图5示出的网络控制器500可以针对被标签影响的一个或多个虚拟网络更新现有路由表。方法700还可以包括基于现有路由表启用路由传播。方法700还可以包括将新云网关附加到被影响的连接网关，被影响的连接网关属于被标签影响的连接和被标签影响的一个或多个虚拟网络。

图8示出了计算系统800的示例，计算系统800可以是例如构成网络控制器500或网络控制器500的任何组件的任何计算设备，其中系统的组件使用连接805与彼此通信。连接805可以是经由总线的实体连接，或是(例如，在芯片组架构中)到处理器810的直接连接。连接805还可以是虚拟连接、联网连接或逻辑连接。

在一些实施例中，计算系统800是分布式系统，其中本公开中所描述的功能可以被分布在数据中心、多个数据中心和对等网络等内。在一些实施例中，所描述的系统组件中的一个或多个表示许多这样的组件，每个组件执行针对组件所描述的功能中的一些或全部。在一些实施例中，组件可以是实体或虚拟设备。

示例系统800包括至少一个处理单元(CPU或处理器)810和将各种系统组件(包括系统存储器815(例如，只读存储器(ROM)820和随机存取存储器(RAM)825))耦合到处理器810的连接805。计算系统800可以包括与邻近的处理器810直接连接的高速存储器的缓存812，或被集成为处理器810一部分的高速存储器的缓存812。

处理器810可以包括任何通用处理器和硬件服务或软件服务(例如，存储在存储设备830中的服务832、服务834和服务836)，其被配置为控制处理器810和专用处理器，在处理器810和专用处理器中软件指令被并入到实际的处理器设计中。处理器810实质上可以是包含多个核或处理器、总线、存储器控制器、缓存等的完全自容的计算系统。多核处理器可以是对称的或不对称的。

为了实现用户交互，计算系统800包括输入设备845，输入设备845可以表示任何数量的输入机制，例如，用于语音的麦克风、用于手势或图形输入的触敏屏幕、键盘、鼠标、运动输入、语音等。计算系统800还可以包括输出设备835，输出设备835可以是本领域技术人员已知的多个输出机制中的一个或多个输出机制。在一些实例中，多模式系统可以使用户能够提供多种类型的输入/输出以与计算系统800通信。计算系统800可以包括通信接口840，通信接口840总体可以控制和管理用户输入和系统输出。没有关于在任何特定硬件布置上操作的限制，并且因此在改进的硬件或固件布置被开发时，本文的基本特征可以容易地被替换为改进的硬件或固件布置。

存储设备830可以是非易失性存储器设备并且可以是硬盘或可以是可以存储可由计算机访问的数据的其他类型的计算机可读介质，例如，磁带盒、闪存卡、固态存储器设备、数字多功能盘、盒式磁带、随机存取存储器(RAM)、只读存储器(ROM)和/或这些设备的某种组合。

存储设备830可以包括软件服务、服务器、服务等，当限定这样的软件的代码由处理器810执行时，该代码使系统执行功能。在一些实施例中，执行特定功能的硬件服务可以包括存储在与必要的硬件组件(例如，处理器810、连接805、输出设备835等)连接的计算机可读介质中的软件组件，以执行该功能。

总之，本技术涉及接收将本地部署站点中的至少一个路由域与云环境中的至少一个虚拟网络相关联的标签，云环境与云服务提供商相关联。本技术还涉及利用云服务提供商使填充路由表和传播表自动化。

为了解释的清楚，在一些情况下，本技术可以被表示为包括各个功能块，这些功能块包括包含以下各项的功能块：设备、设备组件、在软件中体现的方法中的步骤或例程、或硬件和软件的组合。

本文所描述的任何步骤、操作、功能或过程可以由硬件和软件服务或服务的组合或服务单独或与其它设备组合来执行或实现。在一些实施例中，服务可以是驻留在客户端设备的存储器和/或内容管理系统的一个或多个服务器中的软件并且当处理器执行与服务相关联的软件时可以执行一个或多个功能。在一些实施例中，服务是执行具体功能的程序或程序集合。在一些实施例中，服务可以被认为是服务器。存储器可以是非暂时性计算机可读介质。

在一些实施例中，计算机可读存储设备、介质、和存储器可以包括包含比特流等的电缆或无线信号。然而，当提及时，非暂时性计算机可读存储介质明确地排除诸如能量、载波信号、电磁波和信号本身之类的介质。

可以使用存储在计算机可读介质或可以从计算机可读介质获取的计算机可执行指令来实现根据上述示例的方法。这样的指令可以包括例如使或配置通用计算机、专用计算机、或专用处理设备执行某项功能或一组功能的指令和数据。所使用的部分计算机资源可以通过网络访问。计算机可执行指令可以是例如二进制、中间格式指令(例如，汇编语言、固件、或源代码)。可以用于存储指令、在根据所述示例的方法期间使用的和/或创建的信息的计算机可读介质的示例包括磁盘或光盘、固态存储器设备、闪存、提供非易失性存储器的USB设备、网络存储设备等。

根据这些公开实现多种方法的设备可以包括硬件、固件和/或软件，并且可以采用多种形状因子中的任何一种。这样的形状因子的典型示例包括服务器、膝上型计算机、智能电话、小形状因子个人计算机、个人数字助理等。本文描述的功能还可以被体现在外围设备或附加卡中。作为进一步的示例，这样的功能也可以被实现在不同芯片之间或在单个设备中执行的不同进程之间的电路板上。

指令、用于传达这样的指令的介质、用于执行这样的指令的计算资源、以及用于支持这样的计算资源的其他结构是用于提供这些公开中描述的功能的模块。

Claims (23)

1.一种方法，包括：

接收将本地部署站点中的至少一个路由域与云环境中的至少一个虚拟网络相关联的标签，所述云环境与云服务提供商(CSP)相关联；

在与软件定义云基础设施(SDCI)提供商相关联的软件定义广域网(SDWAN)路由器上配置虚拟交叉连接(VXC)，所述VXC将所述本地部署站点连接到与所述CSP相关联的所述云环境；

向所述VXC分配边界网关协议(BGP)参数；

在与所述CSP相关联的所述云环境中的连接网关上配置BGP对等；

将所述连接网关连接到所述云环境中的所述至少一个虚拟网络；

用所述标签标记所述至少一个虚拟网络；以及

配置所述本地部署站点中的所述至少一个路由域和所述云环境中的所述至少一个虚拟网络之间的连接，其中，所述连接至少部分地基于所述标签。

2.根据权利要求1所述的方法，其中，将所述连接网关连接到所述至少一个虚拟网络包括：

调用API以使用与所述SDCI提供商相关联的接口；

使用所述接口来连接到所述连接网关；以及

将所述标签映射到所述至少一个虚拟网络。

3.根据权利要求2所述的方法，其中，针对所述至少一个虚拟网络中的每个虚拟网络，将所述标签映射到所述至少一个虚拟网络包括：

向所述云环境中的所述至少一个虚拟网络附加云网关；

针对所述至少一个虚拟网络保存现有路由表；

针对所述至少一个虚拟网络创建新路由表；

向所述新路由表添加指向所述云网关的默认路由；

基于所述新路由表启用路由传播；以及

将所述云网关关联到所述连接网关，其中，被通告的前缀列表被设定为针对所述至少一个虚拟网络的地址前缀。

4.根据权利要求1至3中任一项所述的方法，其中，配置所述本地部署站点中的所述至少一个路由域和所述至少一个虚拟网络之间的连接包括：

向所述SDWAN路由器提供BGP配置；

向所述SDWAN路由器提供段配置；以及

基于虚拟局域网(VLAN)，向所述SDWAN路由器提供子接口配置。

5.根据权利要求1至4中任一项所述的方法，还包括：

更新所述标签；

自动地发现被所述标签影响的连接；

自动地发现所述云环境上的被所述标签影响的一个或多个虚拟网络；以及

向被所述标签影响的所述一个或多个虚拟网络附加新云网关。

6.根据权利要求5所述的方法，还包括：

针对被所述标签影响的所述一个或多个虚拟网络更新现有路由表；

基于所述现有路由表启用路由传播；以及

将所述新云网关附加到被影响的连接网关，所述被影响的连接网关属于被所述标签影响的所述连接和被所述标签影响的所述一个或多个虚拟网络。

7.根据权利要求5或6所述的方法，其中，更新所述标签包括向所述标签添加与所述一个或多个虚拟网络对应的一个或多个新虚拟网络。

8.一种系统，包括：

一个或多个处理器；以及

至少一个计算机可读存储介质，存储有指令，所述指令在由所述一个或多个处理器执行时使所述一个或多个处理器：

接收将本地部署站点中的至少一个路由域与云环境中的至少一个虚拟网络相关联的标签，所述云环境与云服务提供商(CSP)相关联；

在与软件定义云基础设施(SDCI)提供商相关联的软件定义广域网(SDWAN)路由器上配置虚拟交叉连接(VXC)，所述VXC将所述本地部署站点连接到与所述CSP相关联的所述云环境；

向所述VXC分配边界网关协议(BGP)参数；

在与所述CSP相关联的所述云环境中的连接网关上配置BGP对等；

将所述连接网关连接到所述云环境中的所述至少一个虚拟网络；

用所述标签标记所述至少一个虚拟网络；以及

配置所述本地部署站点中的所述至少一个路由域和所述云环境中的所述至少一个虚拟网络之间的连接，其中，所述连接至少部分地基于所述标签。

9.根据权利要求8所述的系统，其中，用于将所述连接网关连接到所述至少一个虚拟网络的所述指令还能够使所述一个或多个处理器：

调用API以使用与所述SDCI提供商相关联的接口；

使用所述接口来连接到所述连接网关；以及

将所述标签映射到所述至少一个虚拟网络。

10.根据权利要求9所述的系统，其中，针对所述至少一个虚拟网络中的每个虚拟网络，用于将所述标签映射到所述至少一个虚拟网络的所述指令还能够使所述一个或多个处理器：

向所述云环境中的所述至少一个虚拟网络附加云网关；

针对所述至少一个虚拟网络保存现有路由表；

针对所述至少一个虚拟网络创建新路由表；

向所述新路由表添加指向所述云网关的默认路由；

基于所述新路由表启用路由传播；以及

将所述云网关关联到所述连接网关，其中，被通告的前缀列表被设定为针对所述至少一个虚拟网络的地址前缀。

11.根据权利要求8至10中任一项所述的系统，其中，用于配置所述本地部署站点中的所述至少一个路由域和所述至少一个虚拟网络之间的连接的所述指令还能够使所述一个或多个处理器：

向所述SDWAN路由器提供BGP配置；

向所述SDWAN路由器提供段配置；以及

基于虚拟局域网(VLAN)，向所述SDWAN路由器提供子接口配置。

12.根据权利要求8至11中任一项所述的系统，其中，所述指令还能够使所述一个或多个处理器：

更新所述标签；

自动地发现被所述标签影响的连接；

自动地发现所述云环境上的被所述标签影响的一个或多个虚拟网络；以及

向被所述标签影响的所述一个或多个虚拟网络附加新云网关。

13.根据权利要求12中所述的系统，其中，所述指令还能够使所述一个或多个处理器：

针对被所述标签影响的所述一个或多个虚拟网络更新现有路由表；

基于所述现有路由表启用路由传播；以及

将所述新云网关附加到被影响的连接网关，所述被影响的连接网关属于被所述标签影响的所述连接和被所述标签影响的所述一个或多个虚拟网络。

14.根据权利要求12或13所述的系统，用于更新所述标签的所述指令还能够使所述一个或多个处理器向所述标签添加与所述一个或多个虚拟网络对应的一个或多个新虚拟网络。

15.一种存储有指令的非暂时性计算机可读存储介质，所述指令在由处理器执行时使所述处理器：

接收将本地部署站点中的至少一个路由域与云环境中的至少一个虚拟网络相关联的标签，所述云环境与云服务提供商(CSP)相关联；

在与软件定义云基础设施(SDCI)提供商相关联的软件定义广域网(SDWAN)路由器上配置虚拟交叉连接(VXC)，所述VXC将所述本地部署站点连接到与所述CSP相关联的所述云环境；

向所述VXC分配边界网关协议(BGP)参数；

在与所述CSP相关联的所述云环境中的连接网关上配置BGP对等；

将所述连接网关连接到所述云环境中的所述至少一个虚拟网络；

用所述标签标记所述至少一个虚拟网络；以及

配置所述本地部署站点中的所述至少一个路由域和所述云环境中的所述至少一个虚拟网络之间的连接，其中，所述连接至少部分地基于所述标签。

16.根据权利要求15所述的非暂时性计算机可读存储介质，其中，用于将所述连接网关连接到所述至少一个虚拟网络的所述指令还能够使所述处理器：

调用API以使用与所述SDCI提供商相关联的接口；

使用所述接口来连接到所述连接网关；以及

将所述标签映射到所述至少一个虚拟网络。

17.根据权利要求16所述的非暂时性计算机可读介质，其中，针对所述至少一个虚拟网络中的每个虚拟网络，用于将所述标签映射到所述至少一个虚拟网络的所述指令还能够使所述处理器：

向所述云环境中的所述至少一个虚拟网络附加云网关；

针对所述至少一个虚拟网络保存现有路由表；

针对所述至少一个虚拟网络创建新路由表；

向所述新路由表添加指向所述云网关的默认路由；

基于所述新路由表启用路由传播；以及

将所述云网关关联到所述连接网关，其中，被通告的前缀列表被设定为针对所述至少一个虚拟网络的地址前缀。

18.根据权利要求15至17中任一项所述的非暂时性计算机可读存储介质，其中，用于配置所述本地部署站点中的所述至少一个路由域和所述至少一个虚拟网络之间的连接的所述指令还能够使所述处理器：

向所述SDWAN路由器提供BGP配置；

向所述SDWAN路由器提供段配置；以及

基于虚拟局域网(VLAN)，向所述SDWAN路由器提供子接口配置。

19.根据权利要求15至18中任一项所述的非暂时性计算机可读存储介质，其中，所述指令还能够使所述处理器：

更新所述标签；

自动地发现被所述标签影响的连接；

自动地发现所述云环境上的被所述标签影响的一个或多个虚拟网络；以及

向被所述标签影响的所述一个或多个虚拟网络附加新云网关。

20.根据权利要求19所述的非暂时性计算机可读存储介质，其中，所述指令还能够使所述处理器：

针对被所述标签影响的所述一个或多个虚拟网络更新现有路由表；

基于所述现有路由表启用路由传播；以及

将所述新云网关附加到被影响的连接网关，所述被影响的连接网关属于被所述标签影响的所述连接和被所述标签影响的所述一个或多个虚拟网络。

21.一种装置，包括：

用于接收将本地部署站点中的至少一个路由域与云环境中的至少一个虚拟网络相关联的标签的组件，所述云环境与云服务提供商(CSP)相关联；

用于在与软件定义云基础设施(SDCI)提供商相关联的软件定义广域网(SDWAN)路由器上配置虚拟交叉连接(VXC)的组件，所述VXC将所述本地部署站点连接到与所述CSP相关联的所述云环境；

用于向所述VXC分配边界网关协议(BGP)参数的组件；

用于在与所述CSP相关联的所述云环境中的连接网关上配置BGP对等的组件；

用于将所述连接网关连接到所述云环境中的所述至少一个虚拟网络的组件；

用于用所述标签标记所述至少一个虚拟网络的组件；以及

用于配置所述本地部署站点中的所述至少一个路由域和所述云环境中的所述至少一个虚拟网络之间的连接的组件，其中，所述连接至少部分地基于所述标签。

22.根据权利要求21所述的装置，还包括用于实现根据权利要求2至7中任一项所述的方法的组件。

23.一种包括指令的计算机程序、计算机程序产品或计算机可读介所述指令在由计算机执行时使所述计算机执行根据权利要求1至7中任一项所述的方法的步骤。

Images