CN117280665A

CN117280665A - 将基于云的虚拟私有网络扩展到基于无线电的网络

Info

Publication number: CN117280665A
Application number: CN202280033750.1A
Authority: CN
Inventors: U·B·舍瓦德; D·戈普达; I·A·科斯蒂奇; K·K·埃达拉; I·帕鲁尔卡
Original assignee: Amazon Technologies Inc
Current assignee: Amazon Technologies Inc
Priority date: 2021-03-29
Filing date: 2022-03-28
Publication date: 2023-12-22
Also published as: KR20230162083A; EP4315783A1; US20220311744A1; US20240048530A1; WO2022212241A1; JP2024511222A; US11838273B2

Abstract

公开了用于将基于云的虚拟私有网络扩展到基于无线电的网络的各种实施方案。在一个实施方案中，从客户端装置接收连接到基于无线电的网络的请求。确定所述客户端装置被准许接入的云提供商网络的虚拟私有云网络。向所述客户端装置提供通过所述基于无线电的网络对所述虚拟私有云网络的接入。

Description

将基于云的虚拟私有网络扩展到基于无线电的网络

相关申请的交叉引用

本申请要求于2021年3月29日提交的题为“EXTENDING CLOUD-BASEDVIRTUALPRIVATE NETWORKS TO RADIO-BASED NETWORKS”的美国专利申请第17/216,349号的权益和优先权，其全部内容通过引用并入本文。

背景技术

5G是宽带蜂窝网络的第五代技术标准，计划最终取代长期演进(LTE)的第四代(4G)标准。5G技术将大大增加带宽，从而将蜂窝市场扩展到智能手机之外，为台式机、机顶盒、膝上型计算机、物联网(IoT)装置等提供最后一英里连接。一些5G小区可能采用与4G类似的频谱，而另一些5G小区可能采用毫米波频段的频谱。毫米波频段的小区覆盖面积相对较小，但吞吐量比4G高得多。

附图说明

参考以下附图可以更好地理解本公开的许多方面。附图中的部件不必按比例绘制，而将重点放在清楚说明本公开的原理上。此外，图中的相同附图标记指定遍及多个视图中的对应部分。

图1是根据本公开的各种实施方案部署和管理的通信网络的示例的图。

图2A示出了根据本公开的一些实施方案的包括云提供商网络并且进一步包括云提供商网络的各种提供商底层扩展的联网环境的示例，该联网环境可以在图1的通信网络内的各种位置中使用。

图2B描绘了根据本公开的一些实施方案的图1的通信网络的蜂窝化和地理分布的示例。

图3A示出了根据本公开的一些实施方案的图2A的联网环境的示例，该联网环境包括地理上分散的提供商底层扩展。

图3B示出了根据本公开的一些实施方案的包括虚拟私有云网络的图2A的联网环境的示例。

图4是根据本公开的各种实施方案的图2A的联网环境的示意性框图。

图5是示出了根据本公开的各种实施方案的作为图4的联网环境中的基于无线电的网络和虚拟私有云网络的部分而实施的功能性的示例的流程图。

图6是根据本公开的各种实施方案的提供在图4的联网环境中采用的计算环境的一个示例插图的示意性框图。

具体实施方式

本公开涉及将基于云的虚拟私有网络扩展到基于无线电的网络。虚拟私有云(VPC)是另一网络(诸如云提供商网络)内的自定义虚拟网络。VPC可以为云服务(例如，计算云或边缘云)或在云上运行的客户应用程序或工作负载提供基础网络层。VPC至少可以由其地址空间、内部结构(例如，包括VPC的计算资源)和转接路径来定义。尽管客户拥有的网络可能通过网关连接到VPC，但VPC资源通常在云提供商网络内被托管和预配。在托管VPC时，云提供商网络使用云提供商网络的物理资源和可选的虚拟资源来实施逻辑构造来预配VPC。

基于无线电的网络包括一个或多个无线电接入网络(RAN)和相关联的核心网络，以向无线装置提供网络连接性。RAN可以使用Wi-Fi、4G、5G、第六代(6G)和其他接入技术来进行操作。基于无线电的网络可以支持网络切片，以确保满足客户及其应用程序的服务质量(QoS)要求。基于无线电的网络中的单个网络切片可能在所定义时间段内为一组应用程序或装置预留RAN和相关联的核心网络中的网络容量，以便满足一个或多个QoS参数。QoS参数可以涉及延时、带宽、可突发带宽、网络跳数等，并且可以按照最大、最小、平均或其他阈值来定义。

本公开的各种实施方案将VPC的概念扩展到基于无线电的网络，使得连接到特定的基于无线电的网络的无线装置可以自动地放置在VPC上，因此使得装置能够访问VPC上的其他资源。以这种方式，连接到基于无线电的网络的无线装置可以与基于无线电的网络上位于VPC的其他无线装置通信，并且相同无线装置可以与云提供商网络内位于VPC上的其他装置和资源通信。此外，在一些实施方案中，基于无线电的网络上的个别网络切片可以分别提供对不同VPC或VPC的不同子网络(子网)的接入，这些VPC或VPC的不同子网络可以与由不同访问控制管理的不同资源相关联。在一些场景中，无线装置经由无线装置的实际网络接口而不是通过虚拟网络接口(诸如通过隧道)与VPC进行数据通信。

VPC是专用于特定客户账户(或一组相关客户账户，诸如属于同一商业组织的不同客户账户)的虚拟网络。VPC在逻辑上与云中的其他虚拟网络隔离。客户可以将诸如计算实例等资源放入VPC中。创建VPC时，客户可以以无类别域间路由(CIDR)块的形式指定VPC的IPv4和/或IPv6地址的范围。VPC可以跨越特定区域中的所有可用区。在创建VPC之后，客户可以在每一可用区或边缘位置中添加一个或多个子网。根据本公开，客户也可以将其VPC的子网添加到网络切片。客户可以例如经由对云提供商网络的API调用来请求向网络切片和VPC中的一者或两者注册特定客户端装置(或一组客户端装置)的订户身份模块。作为响应，云提供商网络可以从VPC的IP地址范围为订户身份模块分配互联网协议(IP)地址。这可以使得客户端装置能够在任何进一步访问控制下经由其对基于无线电的网络的网络切片的使用来访问VPC中的资源。

访问控制可以指安全组或网络访问控制列表。安全组(在各种实施方式中也称为网络安全组、应用安全组、云安全组或计算引擎防火墙规则)充当虚拟机实例的虚拟防火墙，以控制入站和出站流量。客户可以将安全组定义为可以应用于特定实例的策略。当客户在VPC中启动实例时，其可以为所述实例分配一个或多个安全组。安全组可以在实例级而不是子网级下起作用。因此，子网中的每一实例都可以被分配给不同的一组安全组。对于每一安全组，客户可以添加控制到实例的入站流量的规则以及控制出站流量的单独的一组规则。安全组可以是有状态的，因为自动允许返回流量。

客户还可以利用类似于安全组的规则来设置网络访问控制列表(ACL)，以便为VPC添加额外安全层。网络ACL在子网级下操作，支持允许规则和拒绝规则，并自动应用于与其相关联的任何子网中的所有实例。网络ACL可能不是有状态的，因为返回流量必须得到规则的明确允许。

基于无线电的网络可以使用核心网络基础设施，所述核心网络基础设施是动态预配的，并且与由多个通信服务提供商运营的多个不同无线电接入网络结合使用。虽然基于无线电的网络是按需预配的，但是基于无线电的网络也可以被动态地放大或缩小或终止，由此为组织提供创建短暂的基于无线电的网络的能力，所述短暂的基于无线电的网络可以在特定时间段期间或根据调度周期性地存在。此外，小区站点可以根据需要动态地添加到基于无线电的网络或者从基于无线电的网络移除。在各种场景中，组织可以使用本公开的实施方案来创建仅供内部使用的基于无线电的私有网络，或者对第三方客户开放的基于无线电的网络。

先前基于无线电的网络部署依赖于在过程的每个步骤中手动部署和配置。这被证明是极其耗时和昂贵的。此外，在前几代中，软件固有地与供应商特定的硬件相关，从而阻止客户部署替代软件。相比之下，对于5G，硬件与软件堆栈解耦，这允许更大的灵活性，并允许基于无线电的网络的部件在云提供商基础设施上执行。对基于无线电的网络(诸如5G网络)使用云分发模型可以促进处理来自数百至数十亿个连接装置和计算密集型应用程序的网络流量，同时与其他类型的网络相比传递速度更快、延时更低且容量更大。

从历史上看，企业在评估其企业连接解决方案时必须在性能和价格之间进行选择。蜂窝网络可以提供高性能、良好的室内和室外覆盖范围以及先进的服务质量(QoS)连接功能，但专用蜂窝网络可能价格昂贵且管理复杂。虽然以太网和Wi-Fi需要较少的前期投资并且更易于管理，但企业经常发现它们的可靠性较低，需要大量工作才能获得最佳覆盖范围，并且不提供诸如受保证的比特率、延时和可靠性等QoS特征。

企业可以在整个企业(工厂车间、仓库、大厅和通信中心)自由部署各种5G装置和传感器，并通过管理控制台管理这些装置、注册用户并分配QoS。通过所公开的技术，客户可以为其所有装置(例如相机、传感器或IoT装置)分配恒定的比特率吞吐量，为工厂车间运行的装置提供可靠的低延时连接，并为所有手持装置分配宽带连接。所公开的服务可以管理提供满足指定约束和要求的连接所需的所有软件。这实现了具有严格的QoS或高IoT装置密度要求的一组全新的应用程序，这些应用程序传统上无法在Wi-Fi网络上运行。此外，所公开的服务可以提供公开和管理QoS等5G能力的应用程序开发应用程序编程接口(API)，使得客户能够构建可以充分利用其网络的延时和带宽能力的应用程序，而无需了解网络的细节。

另外，所公开的服务可以提供专用区以在云提供商网络内运行本地应用程序。该专用区可以连接到更广泛的区域性区并成为其有效的一部分，并允许客户使用与云提供商网络中使用的相同的API和工具来管理专用区。与可用区一样，可以为专用区分配虚拟私有网络子网。API可用于创建子网并将其分配给客户希望使用的所有区，包括专用区和现有的其他区。管理控制台可以提供创建专用区的简化过程。虚拟机实例和容器可以在专用区中启动，就像在区域性区中一样。客户可以配置网络网关来定义路由、分配IP地址、设置网络地址转换(NAT)等。自动缩放可用于根据专用区中的需要来缩放虚拟机实例或容器的容量。可以在专用区内使用云提供商网络的相同管理和认证API。在一些情况下，由于可以通过安全连接从专用区远程访问区域性区中可用的云服务，因此无需升级或修改本地部署即可访问这些云服务。

本公开的各种实施方案还可以将弹性和效用计算的概念从云计算模型引入基于无线电的网络和相关联的核心网络。例如，所公开的技术可以在云提供商基础设施上运行核心和无线电接入网络功能以及相关联的控制平面管理功能，从而创建云原生核心网络和/或云原生无线电接入网络(RAN)。在一些实施方式中，这样的核心和RAN网络功能可以基于第三代合作伙伴计划(3GPP)规范。通过提供云原生的基于无线电的网络，客户可以基于利用率、延时要求和/或其他因素动态地缩放其基于无线电的网络。客户还可以配置阈值以接收与其预配的基础设施的基于无线电的网络使用和过剩容量使用相关的警报，以便基于其动态网络和工作负载要求更有效地管理新基础设施的预配或现有基础设施的取消预配。

本领域技术人员根据本公开将理解，某些实施方案可能够实现某些优点，包括以下一些或全部：(1)通过允许点到点和端到端加密的组合将基于无线电的网络上的装置与虚拟私有云网络上可用的资源连接来提高基于无线电的网络的安全性；(2)通过允许虚拟私有云网络扩展到基于无线电的网络(包括4G和5G网络)来增强地理上分散的网络的灵活性；(3)通过在基于无线电的网络分段上实施网络切片来提高虚拟私有云网络上的服务的可靠性和性能，以便满足服务质量要求；等等。

本公开的益处之一是能够将网络功能部署和链接在一起以传递端到端服务，该服务满足指定的约束和要求。根据本公开，组织成微服务的网络功能一起工作以提供端到端连接。一组网络功能是无线电网络的一部分，在蜂窝塔中运行并执行无线信号到IP的转换。其他网络功能在大型数据中心运行，执行与订户相关的业务逻辑并将IP流量路由到互联网并返回。对于使用5G新功能(诸如低延时通信和预留带宽)的应用程序，这两种类型的网络功能需要协同工作以适当地调度和预留无线频谱，并执行实时计算和数据处理。当前公开的技术提供了边缘定位硬件(如下文进一步描述的)，其与从小区站点到互联网分线点跨整个网络运行的网络功能相集成，并且编排网络功能以满足所需的服务质量(QoS)约束。这实现了一组具有严格QoS要求的全新应用程序，从基于工厂的物联网(IoT)到增强现实(AR)、虚拟现实(VR)、游戏流媒体、联网车辆的自主导航支持，这在以前是无法在移动网络上运行的。

所描述的“弹性5G”服务提供并管理构建网络所需的所有硬件、软件和网络功能。在一些实施方案中，网络功能可以由云服务提供商开发和管理，然而，所描述的控制平面可以管理一系列提供商的网络功能，使得客户可以使用单组API来调用和管理他们对云基础设施上的网络功能的选择。弹性5G服务有益地自动创建从硬件到网络功能的端到端5G网络，从而减少部署该网络的时间和运营该网络的运营成本。通过提供公开网络能力的API，所公开的弹性5G服务使应用程序能够简单地将所需的QoS指定为约束，然后将网络功能部署和链接在一起，以传递满足指定要求的端到端服务，从而使轻松构建新应用程序变得可能。

本公开描述了与云原生5G核心和/或云原生5G RAN以及相关联的控制平面部件的创建和管理有关的实施方案。云原生是指一种构建和运行应用程序的方法，它利用云计算分发模型的优势，诸如动态可扩展性、分布式计算和高可用性(包括地理分布、冗余和故障转移)。云原生是指如何创建和部署这些应用程序以适合部署在公共云中。虽然云原生应用程序可以(而且经常)在公共云中运行，但它们也可以在本地数据中心运行。一些云原生应用程序可以容器化，例如将应用程序的不同部分、功能或子单元打包在它们自己的容器中，这些容器可以动态编排，以便积极调度和管理每个部分以优化资源利用率。这些容器化应用程序可以使用微服务架构来构建，以提高应用程序的整体敏捷性和可维护性。

在微服务架构中，应用程序被布置为一系列较小的子单元(“微服务”)，这些子单元可以彼此独立部署和缩放，并且可以通过网络相互通信。这些微服务通常是细粒度的，因为它们具有特定的技术和功能粒度，并且通常实施轻量级通信协议。应用程序的微服务可以执行彼此不同的功能，可以独立部署，并且可以使用彼此不同的编程语言、数据库和硬件/软件环境。将应用程序分解为更小的服务有利于改进应用程序的模块化，实现单个微服务的按需替换，并通过使团队能够彼此独立地开发、部署和维护他们的微服务来使开发并行化。在某些示例中，可以使用虚拟机、容器或无服务器功能来部署微服务。所公开的核心和RAN软件可以遵循微服务架构，使得所描述的基于无线电的网络由可以按需部署和缩放的独立子单元组成。

现在转向图1，其示出了根据本公开的各种实施方案部署和管理的通信网络100的示例。通信网络100包括基于无线电的网络(RBN)103，其可以对应于诸如高速分组接入(HSPA)网络、第四代(4G)长期演进(LTE)网络、第五代(5G)网络、第六代(6G)网络、具有4G和5G RAN的4G-5G混合核心或提供无线网络接入的另一网络等蜂窝网络。基于无线电的网络103可以由企业、非营利组织、学校系统、政府实体或另一组织的云服务提供商来操作。在各种实施方案中，基于无线电的网络103可以使用私有网络地址或公共网络地址。

基于无线电的网络103的各种部署可以包括核心网络和RAN网络中的一个或多个，以及用于在云提供商基础设施上运行核心和/或RAN网络的控制平面。如上所述，这些部件可以以云原生方式开发，例如使用微服务架构，使得使用集中控制和分布式处理来有效地缩放流量和交易。这些部件可以基于3GPP规范，遵循控制平面和用户平面处理分离的应用程序架构(CUPS架构)。

基于无线电的网络103向多个无线装置106提供无线网络接入，这些无线装置可以是移动装置或固定位置装置。在各种示例中，无线装置106可以包括智能手机、联网车辆、IoT装置、传感器、机器(诸如在制造设施中)、热点和其他装置。此类无线装置106有时被称为用户设备(UE)或客户处所设备(CPE)。

在此示例中，云提供商网络的两个虚拟私有云网络107a和107b被示出为扩展到基于无线电的网络103中以涵盖作为客户端装置的无线装置106。虚拟私有云网络107a被示出为包括四个无线装置106，而虚拟私有云网络107b被示出为包括两个无线装置106。这是为了示出了单个基于无线电的网络103可以提供对多个不同虚拟私有云网络107的接入，这在一些情况下可以基于每小区来实现。个别虚拟私有云网络107可以被分配一个或多个网络切片，以供被配置为满足一个或多个服务质量要求的无线装置106使用。

分组在特定虚拟私有云网络107内的无线装置106可以彼此通信，就好像其在单个网络分段上一样，即使其物理连接到基于无线电的网络103中的不同小区或点也是如此。此外，特定虚拟私有云网络107内的无线装置106可以与虚拟私有云网络107上所托管的服务和其他资源通信，就好像其在本地网络上一样。此类资源可以位于基于无线电的网络103内(例如，在小区站点、中间站点或中央位置处)或云提供商网络的区域性数据中心内。

基于无线电的网络103可以包括在一个或多个无线电接入网络(RAN)上预配的容量，所述RAN通过多个小区109向多个无线装置106提供无线网络接入。RAN可以由不同通信服务提供商运营。每个小区109可以配备一个或多个天线和一个或多个无线电单元，其向无线装置106发送无线数据信号和从该无线装置接收无线数据信号。天线可以被配置用于一个或多个频带，并且无线电单元也可以是频率捷变的或频率可调的。天线可以与特定增益或波束宽度相关联，以便将信号聚焦在特定方向或方位角范围内，从而潜在地允许在不同方向上重复使用频率。此外，天线可以是水平极化的、垂直极化的或圆极化的。在一些示例中，无线电单元可以利用多输入多输出(MIMO)技术来发送和接收信号。这样，RAN实施无线电接入技术以实现与无线装置106的无线电连接，并提供与基于无线电的网络的核心网络的连接。RAN的部件包括覆盖给定物理区域的基站和天线，以及用于管理与RAN的连接所需的核心网络项目。

数据流量通常通过由第3层路由器的多个跃点(例如，在聚合站点处)组成的光纤传输网络路由到核心网络。核心网络通常容纳在一个或多个数据中心中。核心网络通常会聚合来自终端装置的数据流量，对订户和装置进行认证，应用个性化策略，并在将流量路由到运营商服务或互联网之前管理装置的移动性。例如，5G核心可以分解为多个微服务元素，其中控制平面和用户平面分离。5G核心可以包括虚拟化的、基于软件的网络功能(例如部署为微服务)，而不是物理网络元素，因此可以在多接入边缘计算(MEC)云基础设施中实例化。核心网络的网络功能可以包括用户平面功能(UPF)、接入和移动性管理功能(AMF)以及会话管理功能(SMF)，下面将进行更详细的描述。对于去往通信网络100之外的位置的数据流量，网络功能通常包括防火墙，流量可以通过所述防火墙进入或离开通信网络100到达外部网络，诸如互联网或云提供商网络。注意，在一些实施方案中，通信网络100可以包括允许流量从核心网络更下游的站点(例如，在聚合站点或基于无线电的网络103处)进入或离开的设施。

UPF提供移动基础设施和数据网络(DN)之间的互连点，即用于用户平面(GTP-U)的通用分组无线服务(GPRS)隧道协议的封装和解封装。UPF还可以提供会话锚点，用于在RAN内提供移动性，包括向RAN基站发送一个或多个结束标记分组。UPF还可以处理分组路由和转发，包括基于流量匹配过滤器将流量定向到特定数据网络。UPF的另一个特征包括每流或每应用程序QoS处理，包括上行链路(UL)和下行链路(DL)的传输级分组标记，以及速率限制。UPF可以使用现代微服务方法被实施为云原生网络功能，例如可部署在无服务器框架内(经由受管理服务抽象出其上运行代码的底层基础设施)。

AMF可以从无线装置106或RAN接收连接和会话信息并且可以处理连接和移动性管理任务。例如，AMF可以管理RAN中的基站之间的切换。在一些示例中，通过终止某些RAN控制平面和无线装置106流量，AMF可以被视为5G核心的接入点。AMF还可以实施加密和完整性保护算法。

SMF可以处理会话建立或修改，例如通过创建、更新和删除协议数据单元(PDU)会话以及管理UPF内的会话上下文。SMF还可以实施动态主机配置协议(DHCP)和IP地址管理(IPAM)。SMF可以使用现代微服务方法被实施为云原生网络功能。

可以在分布式计算装置112中部署实施基于无线电的网络103的各种网络功能，该分布式计算装置可以对应于被配置为执行网络功能的通用计算装置。例如，分布式计算装置112可以执行一个或多个虚拟机实例，这些虚拟机实例又被配置为执行一个或多个执行网络功能的服务。在一个实施方案中，分布式计算装置112是部署在每个小区站点的加固机器。

相比之下，一个或多个集中式计算装置115可以在由客户操作的中央站点处执行各种网络功能。例如，集中式计算装置115可以位于客户在有条件的服务器机房中的处所的中央。集中式计算装置115可以执行一个或多个虚拟机实例，这些虚拟机实例又被配置为执行一个或多个执行网络功能的服务。

在一个或多个实施方案中，来自基于无线电的网络103的网络流量被回程到一个或多个核心计算装置118，这些核心计算装置可以位于远离客户站点的一个或多个数据中心。核心计算装置118还可以执行各种网络功能，包括将网络流量路由到网络121和从该网络路由出来，该网络可以对应于互联网和/或其他外部公共或私有网络。核心计算装置118可以执行与通信网络100的管理相关的功能性(例如，计费、移动性管理等)以及在通信网络100与其他网络之间中继流量的传输功能性。

图2A示出了根据一些实施方案的包括云提供商网络203并且进一步包括云提供商网络203的各种提供商底层扩展的联网环境200的示例，该联网环境可以与图1的通信网络100内的本地客户部署结合使用。云提供商网络203(有时简称为“云”)是指网络可访问的计算资源池(诸如计算、存储和联网资源、应用程序和服务)，其可以是虚拟化的或裸机的。云可以提供对可配置计算资源共享池的便利的按需网络访问，所述可配置计算资源可以响应于客户命令而以编程方式预配和释放。可动态地预配和重新配置这些资源以调节到可变负载。因此，云计算可以被视为通过公共可访问网络(例如，互联网、蜂窝通信网络)作为服务传递的应用程序以及提供那些服务的云提供商数据中心中的硬件和软件。

云提供商网络203可以通过网络向用户提供按需的可扩展计算平台，例如，允许用户经由其使用计算服务器(所述计算服务器经由中央处理单元(CPU)和图形处理单元(GPU)中的一者或两者任选地与本地存储装置一起使用而提供计算实例)和块存储服务器(所述块存储服务器为指定的计算实例提供虚拟化持久块存储)而具有可扩展“虚拟计算装置”供他们使用。这些虚拟计算装置具有个人计算装置的属性，所述属性包括硬件(各种类型的处理器、本地存储器、随机存取存储器(RAM)、硬盘和/或固态驱动器(SSD)存储装置)、操作系统选项、联网能力和预装载应用程序软件。每个虚拟计算装置还可以将其控制台输入和输出(例如，键盘、显示器和鼠标)虚拟化。这种虚拟化允许用户使用诸如浏览器、API、软件开发工具包(SDK)等计算机应用程序连接到他们的虚拟计算装置，以便像个人计算装置一样配置和使用他们的虚拟计算装置。与拥有用户可用的固定数量的硬件资源的个人计算装置不同，与虚拟计算装置相关联的硬件可以取决于用户需要的资源而放大或缩小。

如上文指示，用户可以经由中间网络212使用各种接口206(例如，API)连接到虚拟化计算装置和其他云提供商网络203资源和服务，并配置和管理诸如5G网络的电信网络。API是指客户端装置215与服务器之间的接口206和/或通信协议，使得如果客户端以预定义格式发出请求，则客户端应当接收特定格式的响应或致使发起所定义的动作。在云提供商网络背景中，API通过允许客户从云提供商网络203获得数据或在该云提供商网络内引起动作来为客户提供访问云基础设施的网关，从而使得能够开发与托管在云提供商网络203中的资源和服务交互的应用程序。API还可以使得云提供商网络203的不同服务能够彼此交换数据。用户可以选择部署他们的虚拟计算系统以提供基于网络的服务供自己使用和/或供他们的客户或客户端使用。

云提供商网络203可以包括被称为底层的物理网络(例如，金属板盒、电缆、机架硬件)。可以将底层视为包含运行提供商网络的服务的物理硬件的网络结构。底层可以与云提供商网络203的其余部分隔离，例如，可能无法从底层网络地址路由到运行云提供商服务的生产网络中的地址，或路由到托管客户资源的客户网络。

云提供商网络203还可以包括在底层上运行的虚拟化计算资源的覆盖网络。在至少一些实施方案中，网络底层上的管理程序或其他装置或进程可以使用封装协议技术来封装并通过网络底层在提供商网络内的不同主机上的客户端资源实例之间路由网络分组(例如，客户端IP分组)。封装协议技术可以在网络底层上使用以经由覆盖网络路径或路线在网络底层上的端点之间路由经封装的分组(也称为网络底层分组)。封装协议技术可以被视为提供覆盖在网络底层上的虚拟网络拓扑。因而，可以根据覆盖网络中的构造(例如，可以被称为虚拟私有云(VPC)的虚拟网络、可以被称为安全组的端口/协议防火墙配置)沿着底层网络路由网络分组。映射服务(未示出)可以协调这些网络分组的路由。映射服务可以是将覆盖互联网协议(IP)和网络标识符的组合映射到底层IP使得分布式底层计算装置可以查找将分组发送到哪里的区域分布式查找服务。

为了进行说明，每个物理主机装置(例如，计算服务器、块存储服务器、对象存储服务器、控制服务器)可以在底层网络中具有IP地址。硬件虚拟化技术可以使得多个操作系统能够例如作为计算服务器上的虚拟机(VM)在主机计算机上同时运行。主机上的管理程序或虚拟机监视器(VMM)在主机上的各种VM之间分配主机的硬件资源并监视VM的执行。每个VM可以被设置有覆盖网络中的一个或多个IP地址，并且主机上的VMM可以知晓主机上的VM的IP地址。VMM(和/或网络底层上的其他装置或过程)可以使用封装协议技术来封装网络分组(例如，客户端IP分组)并通过网络底层在云提供商网络203内的不同主机上的虚拟化资源之间路由所述网络分组。封装协议技术可以在网络底层上使用以经由覆盖网络路径或路线在网络底层上的端点之间路由经封装的分组。封装协议技术可以被视为提供覆盖在网络底层上的虚拟网络拓扑。封装协议技术可以包括映射服务，所述映射服务维护映射目录，所述映射目录将IP覆盖地址(例如，对客户可见的IP地址)映射到底层IP地址(对客户不可见的IP地址)，所述底层IP地址可以由云提供商网络203上的各种进程访问以用于在端点之间路由分组。

如图所示，在各种实施方案中，云提供商网络底层的流量和操作可以被广泛地细分为两类：在逻辑控制平面218上承载的控制平面流量和在逻辑数据平面221上承载的数据平面操作。虽然数据平面221表示用户数据通过分布式计算系统的移动，但是控制平面218表示控制信号通过分布式计算系统的移动。控制平面218通常包括分布在一个或多个控制服务器上并由其实施的一个或多个控制平面部件或服务。控制平面流量通常包括管理操作，诸如为各种客户建立隔离的虚拟网络、监视资源使用率和健康状况、标识要启动所请求的计算实例的特定主机或服务器、根据需要预配附加硬件等等。数据平面221包括在云提供商网络203上实施的客户资源(例如，计算实例、容器、块存储卷、数据库、文件存储)。数据平面流量通常包括非管理操作，诸如将数据传送到客户资源以及从客户资源传送数据。

控制平面部件通常在与数据平面服务器分开的一组服务器上实施，并且控制平面流量和数据平面流量可通过单独/不同的网络发送。在一些实施方案中，控制平面流量和数据平面流量可以由不同的协议支持。在一些实施方案中，通过云提供商网络203发送的消息(例如，分组)包括用于指示流量是控制平面流量还是数据平面流量的标志。在一些实施方案中，可以检查流量的有效载荷以确定其类型(例如，是控制平面还是数据平面)。用于区分流量类型的其他技术是可能的。

如图所示，数据平面221可以包括一个或多个计算服务器，所述计算服务器可以是裸机(例如，单个租户)或者可以由管理程序虚拟化以为一个或多个客户运行多个VM(有时被称为“实例”)或microVM。这些计算服务器可以支持云提供商网络203的虚拟化计算服务(或“硬件虚拟化服务”)。虚拟化计算服务可以是控制平面218的一部分，从而允许客户经由接口206(例如，API)发布命令以启动和管理他们的应用程序的计算实例(例如，VM、容器)。虚拟化计算服务可以提供具有不同的计算和/或存储器资源的虚拟计算实例。在一个实施方案中，虚拟计算实例中的每一个可以对应于若干实例类型中的一种。实例类型的特征可以在于其硬件类型、计算资源(例如，CPU或CPU内核的数量、类型和配置)、存储器资源(例如，本地存储器的容量、类型和配置)、存储资源(例如，本地可访问存储装置的容量、类型和配置)、网络资源(例如，其网络接口和/或网络能力的特性)和/或其他合适的描述性特性。使用实例类型选择功能性，可以例如(至少部分地)基于来自客户的输入为客户选择实例类型。例如，客户可以从一组预定义的实例类型中选择实例类型。作为另一个示例，客户可以指定实例类型的期望资源和/或实例将运行的工作负载的要求，并且实例类型选择功能性可以基于这样的规范来选择实例类型。

数据平面221还可以包括一个或多个块存储服务器，所述块存储服务器可以包括用于存储客户数据卷的持久性存储装置以及用于管理这些卷的软件。这些块存储服务器可以支持云提供商网络203的受管理块存储服务。受管理块存储服务可以是控制平面218的一部分，允许客户经由接口206(例如，API)发布命令以创建和管理他们在计算实例上运行的应用程序的卷。块存储服务器包括数据在其上被存储为块的一个或多个服务器。块是字节或位序列，通常包含一定的整数个记录，具有块大小的最大长度。分块数据通常存储在数据缓冲区中并且一次对整个块读取或写入所述分块数据。通常，卷可以对应于数据的逻辑集合，诸如代表用户维持的一组数据。用户卷(其可以被视为例如大小的范围从1GB至1太字节(TB)或更大的个别硬盘驱动器)由存储在块存储服务器上的一个或多个块组成。虽然被视为个别硬盘驱动器，但是应当理解，卷可以被存储作为在一个或多个底层物理主机装置上实施的一个或多个虚拟化装置。卷可以被分区几次(例如，最多16次)，其中每个分区由不同的主机托管。卷的数据可以在云提供商网络203内的多个装置之间复制，以便提供卷的多个副本(其中此类副本可以共同表示计算系统上的卷)。分布式计算系统中的卷副本可以例如通过允许用户访问卷的主副本或卷的以块级与主副本同步的辅助副本有益地提供自动故障转移和恢复，使得主副本或辅助副本的故障不会阻止对卷信息的访问。主副本的作用可以是促进卷上的读取和写入(有时被称为“输入输出操作”或简称为“I/O操作”)，并将任何写入传播到辅助副本(优选地在I/O路径中同步地传播，但是也可以使用异步复制)。辅助副本可以与主副本同步更新，并在故障转移操作期间提供无缝过渡，由此辅助副本承担主副本的角色，并且以前的主副本被指定为辅助副本或预配新的替换辅助副本。虽然本文中的某些示例讨论了主副本和辅助副本，但是应当理解，逻辑卷可以包括多个辅助副本。计算实例可以通过客户端将其I/O虚拟化到卷。客户端表示使得计算实例能够连接到远程数据卷(例如，存储在通过网络访问的物理分离的计算装置上的数据卷)并在远程数据卷处执行I/O操作的指令。客户端可以在包括计算实例的处理单元(例如，CPU或GPU)的服务器的卸载卡上实施。

数据平面221还可以包括一个或多个对象存储服务器，所述对象存储服务器表示云提供商网络203内的另一种类型的存储装置。对象存储服务器包括一个或多个服务器，数据在所述一个或多个服务器上被存储为称为桶的资源内的对象并且可以用于支持云提供商网络203的受管理对象存储服务。每个对象通常包括所存储的数据、启用对象存储服务器关于分析所存储对象的各种能力的可变量的元数据，以及可以用于检索对象的全局唯一标识符或密钥。每个桶与给定的用户账户相关联。客户可以根据需要将许多对象存储在他们的桶中，可以写入、读取和删除他们的桶中的对象，并且可以控制对他们的桶和其中包含的对象的访问。此外，在具有分布在上述区域中的不同区域上的多个不同对象存储服务器的实施方案中，用户可以选择存储桶的区域(或多个区域)，例如以优化延时。客户可以使用桶来存储各种类型的对象，包括可以用于启动VM的机器映像，以及表示卷数据的时间点视图的快照。

提供商底层扩展224(“PSE”)在单独网络(诸如电信网络)内提供云提供商网络203的资源和服务，由此将云提供商网络203的功能性扩展到新位置(例如，出于与客户装置通信的延时、法律合规性、安全性等相关的原因)。在一些实施方式中，PSE 224可以被配置为提供基于云的工作负载的容量以在电信网络内运行。在一些实施方式中，PSE 224可以被配置为提供电信网络的核心和/或RAN功能，并且可以被配置有额外的硬件(例如，无线电接入硬件)。一些实施方式可以配置为允许两者，例如通过允许核心和/或RAN功能未使用的容量用于运行基于云的工作负载。

如所指示的，此类提供商底层扩展224可以包括云提供商网络管理的提供商底层扩展227(例如，由位于与和云提供商网络203相关联的那些设施分开的云提供商管理的设施中的服务器形成)、通信服务提供商底层扩展230(例如，由与通信服务提供商设施相关联的服务器形成)、客户管理的提供商底层扩展233(例如，由位于客户或合作伙伴设施本地的服务器形成)，以及其他可能类型的底层扩展。

如示例性提供商底层扩展224中所示，提供商底层扩展224可以类似地包括控制平面236与数据平面239之间的逻辑分离，所述控制平面和数据平面分别扩展云提供商网络203的控制平面218和数据平面221。提供商底层扩展224可以例如由云提供商网络运营商预先配置有硬件与软件和/或固件元素的适当组合，以支持各种类型的计算相关资源，并且以反映使用云提供商网络203的体验的方式来这样做。例如，一个或多个提供商底层扩展位置服务器可以由云提供商预配以部署在提供商底层扩展224内。如上所述，云提供商网络203可以提供一组预定义的实例类型，每个实例类型具有不同类型和数量的底层硬件资源。也可以以各种大小提供每种实例类型。为了使得客户能够在提供商底层扩展224中继续使用与他们在所述区域中所使用的相同的实例类型和大小，服务器可以是异构服务器。异构服务器可以同时支持相同类型的多个实例大小，并且还可以被重新配置为托管其底层硬件资源支持的任何实例类型。异构服务器的重新配置可以使用服务器的可用容量即时发生，即，在其他VM仍在运行并消耗提供商底层扩展位置服务器的其他容量时发生。这可以通过允许更好地打包服务器上的运行实例来提高边缘位置内计算资源的利用率，并且还提供关于云提供商网络203和云提供商网络管理的提供商底层扩展227上的实例使用的无缝体验。

提供商底层扩展服务器可以托管一个或多个计算实例。计算实例可以是VM，或打包代码及其所有依赖项的容器，使得应用程序可以跨计算环境(例如，包括VM和microVM)快速且可靠地运行。另外，如果客户需要，则服务器可以托管一个或多个数据卷。在云提供商网络203的区域中，此类卷可以托管在专用块存储服务器上。然而，由于在提供商底层扩展224处具有比在所述区域中明显更小的容量的可能性，因此如果提供商底层扩展224包括此类专用块存储服务器，则可能无法提供最佳利用体验。因此，块存储服务可以在提供商底层扩展224中被虚拟化，使得VM中的一者运行块存储软件并存储卷的数据。类似于云提供商网络203的区域中的块存储服务的操作，提供商底层扩展224内的卷可以被复制以实现持久性和可用性。卷可以被预配在其自己在提供商底层扩展224内的隔离虚拟网络中。计算实例和任何卷共同构成提供商网络数据平面221在提供商底层扩展224内的数据平面239扩展。

在一些实施方式中，提供商底层扩展224内的服务器可以托管某些本地控制平面部件，例如，在返回到云提供商网络203的连接发生中断的情况下使得提供商底层扩展224能够继续运行的部件。这些部件的示例包括：迁移管理器，如果需要维持可用性，则所述迁移管理器可以在提供商底层扩展服务器之间移动计算实例；以及密钥值数据存储区，所述密钥值数据存储区指示卷副本所在的位置。然而，通常用于提供商底层扩展224的控制平面236功能性将保留在云提供商网络203中，以便允许客户使用提供商底层扩展224的尽可能多的资源容量。

迁移管理器可能具有在区域中运行的集中协调部件，以及在PSE服务器上运行的本地控制器(以及云提供商数据中心中的服务器)。当迁移被触发时，集中协调部件可以标识目标边缘位置和/或目标主机，而本地控制器可以协调源主机与目标主机之间的数据传送。不同位置中的主机之间的所描述的资源移动可以采取若干形式的迁移中的一者。迁移是指在云计算网络中的主机之间或在云计算网络之外的主机和云内的主机之间移动虚拟机实例(和/或其他资源)。存在不同类型的迁移，包括实时迁移和重启迁移。在重启迁移期间，客户体验到其虚拟机实例的中断和有效的电源循环。例如，控制平面服务可以协调重启迁移工作流程，所述重启迁移工作流程涉及拆除原始主机上的当前域，随后为新主机上的虚拟机实例创建新域。实例通过在原始主机上关闭并在新主机上再次启动来重启。

实时迁移是指在不同的物理机之间移动正在运行的虚拟机或应用程序而不会显著中断虚拟机的可用性(例如，终端用户不会注意到虚拟机的停机时间)的过程。当控制平面执行实时迁移工作流程时，它可以创建与实例相关联的新“非活动”域，而实例的原始域继续作为“活动”域运行。虚拟机的存储器(包括正在运行的应用程序的任何存储器中状态)、存储和网络连接性从具有活动域的原始主机转移到具有非活动域的目的地主机。在将存储器内容传送到目的地主机时，虚拟机可能会短暂暂停以防止状态改变。控制平面可以将非活动域过渡为变成活动域并将原始活动域降级变成非活动域(有时称为“翻转”)，之后可以丢弃非活动域。

用于各种类型的迁移的技术涉及管理关键阶段：虚拟机实例对客户不可用的时间，其应当保持尽可能短。在当前公开的迁移技术中，这可能特别具有挑战性，因为资源正在可以通过一个或多个中间网络212连接的地理上分离的位置中的主机之间移动。对于实时迁移，所公开的技术可以例如基于位置之间的延时、网络带宽/使用模式和/或基于实例最常使用哪些存储器页面来动态地确定要预复制(例如，当实例仍在源主机上运行时)和要后复制(例如，在实例开始在目的地主机上运行之后)的存储器状态数据量。此外，可以基于位置之间的网络状况动态地确定传送存储器状态数据的特定时间。该分析可以由区域中的迁移管理部件执行，或者由在源边缘位置中本地运行的迁移管理部件执行。如果实例已访问虚拟化存储装置，则可以将源域和目标域两者同时附加到存储装置，以使得能够在迁移期间以及在需要回滚到源域的情况下不间断地访问其数据。

在提供商底层扩展224上运行的服务器软件可以由云提供商设计为在云提供商底层网络上运行，并且该软件可以能够通过使用本地网络管理器242在提供商底层扩展224中未经修改地运行以在边缘位置内创建底层网络的专用副本(“影子底层”)。本地网络管理器242可以在提供商底层扩展224服务器上运行并且例如通过充当虚拟私有网络(VPN)端点或提供商底层扩展224与云提供商网络203中的代理245、248之间的端点并通过实施映射服务(用于流量封装和解封装)以使数据平面流量(来自数据平面代理248)和控制平面流量(来自控制平面代理245)与适当服务器相关来桥接影子底层与提供商底层扩展224网络。通过实施提供商网络的底层覆盖映射服务的本地版本，本地网络管理器242允许提供商底层扩展224中的资源与云提供商网络203中的资源进行无缝通信。在一些实施方式中，单个本地网络管理器242可以为托管提供商底层扩展224中的计算实例的所有服务器执行这些动作。在其他实施方式中，托管计算实例的服务器中的每一者可以具有专用的本地网络管理器242。在多机架边缘位置中，机架间通信可以通过本地网络管理器242，其中本地网络管理器242维持彼此之间的开放隧道。

提供商底层扩展位置可以利用通过提供商底层扩展224网络到云提供商网络203的安全联网隧道，例如，以在遍历提供商底层扩展224网络和任何其他中间网络212(可能包括公共互联网)时维持客户数据的安全性。在云提供商网络203内，这些隧道由包括隔离的虚拟网络(例如，在覆盖网络中)、控制平面代理245、数据平面代理248和底层网络接口的虚拟基础设施部件组成。此类代理245、248可以被实施为在计算实例上运行的容器。在一些实施方案中，托管计算实例的提供商底层扩展224位置中的每个服务器可以利用至少两个隧道：一个隧道用于控制平面流量(例如，约束应用协议(CoAP)流量)，一个隧道用于封装的数据平面流量。云提供商网络203内的连接性管理器(未示出)例如通过在需要时自动地预配这些隧道及其部件并将它们维持在健康的操作状态来管理它们的云提供商网络侧生命周期。在一些实施方案中，提供商底层扩展224位置与云提供商网络203之间的直接连接可以用于控制和数据平面通信。与通过其他网络的VPN相比，直接连接可以提供恒定的带宽和更一致的网络性能，因为它的网络路径相对固定和稳定。

可以在云提供商网络203中预配控制平面(CP)代理245以表示边缘位置中的特定主机。CP代理245是云提供商网络203中的控制平面218与提供商底层扩展224的控制平面236中的控制平面目标之间的中介。即，CP代理245提供用于将去往提供商底层扩展服务器的管理API流量从区域底层穿隧到提供商底层扩展224的基础设施。例如，云提供商网络203的虚拟化计算服务可以向提供商底层扩展224的服务器的VMM发出命令以启动计算实例。CP代理245维护到提供商底层扩展224的本地网络管理器242的隧道(例如，VPN)。在CP代理245中实施的软件确保只有格式良好的API流量离开和返回到底层。CP代理245提供了一种机制来暴露云提供商底层上的远程服务器，同时仍然保护底层安全材料(例如，加密密钥、安全令牌)不离开云提供商网络203。由CP代理245强加的单向控制平面流量隧道还防止任何(可能受到威胁的)装置回调到底层。CP代理245可以与提供商底层扩展224处的服务器一对一地实例化，或者可能够管理同一提供商底层扩展224中的多个服务器的控制平面流量。

数据平面(DP)代理248也可以在云提供商网络203中预配以表示提供商底层扩展224中的特定服务器。DP代理248充当服务器的影子或锚点，并且可以由云提供商网络203内的服务使用来监视主机的健康状况(包括其可用性、已使用的/空闲的计算和容量、已使用的/空闲的存储和容量，以及网络带宽使用率/可用性)。DP代理248还允许隔离的虚拟网络通过充当云提供商网络203中的服务器的代理来跨越提供商底层扩展224和云提供商网络203。每个DP代理248可以被实施为分组转发计算实例或容器。如图所示，每个DP代理248可以与本地网络管理器242维持VPN隧道，所述本地网络管理器管理到DP代理248所表示的服务器的流量。该隧道可以用于在提供商底层扩展服务器与云提供商网络203之间发送数据平面流量。在提供商底层扩展224与云提供商网络203之间流动的数据平面流量可以通过与该提供商底层扩展224相关联的DP代理248。对于从提供商底层扩展224流向云提供商网络203的数据平面流量，DP代理248可以接收经封装的数据平面流量，验证其正确性，并允许其进入云提供商网络203。DP代理248可以将经封装的流量从云提供商网络203直接转发到提供商底层扩展224。

本地网络管理器242可以提供与在云提供商网络203中建立的代理245、248的安全网络连接性。在本地网络管理器242与代理245、248之间已经建立连接之后，客户可以经由接口206发出命令，以使用提供商底层扩展资源以与将针对托管在云提供商网络203内的计算实例发出此类命令的方式类似的方式将计算实例进行实例化(和/或使用计算实例执行其他操作)。从客户的角度来看，客户现在可以无缝地使用提供商底层扩展224内的本地资源(以及位于云提供商网络203中的资源，如果需要)。在提供商底层扩展224处的服务器上设置的计算实例可以与位于同一网络中的电子装置通信，以及根据需要与在云提供商网络203中设置的其他资源通信。可以实施本地网关251以提供提供商底层扩展224与和所述扩展相关联的网络(例如，在通信服务提供商底层扩展230的示例中的通信服务提供商网络)之间的网络连接性。

可能存在需要在对象存储服务与提供商底层扩展(PSE)224之间传送数据的情况。例如，对象存储服务可以存储用于启动VM的机器映像，以及表示卷的时间点备份的快照。对象网关可以在PSE服务器或专用存储装置上提供，并为客户提供对其PSE 224中的对象存储桶内容的可配置的按桶高速缓存，以最大限度地减少PSE区域延时对客户工作负载的影响。对象网关还可以临时存储来自PSE 224中的卷的快照的快照数据，然后在可能的情况下与区域中的对象服务器同步。对象网关还可以存储客户指定在PSE 224内或客户处所上使用的机器映像。在一些实施方式中，PSE 224内的数据可以用唯一密钥加密，并且出于安全原因，云提供商可以限制密钥从区域共享到PSE 224。因此，在对象存储服务器与对象网关之间交换的数据可以利用加密、解密和/或重新加密，以便保留关于加密密钥或其他敏感数据的安全边界。变换中介可以执行这些操作，并且可以(在对象存储服务器上)使用PSE加密密钥创建PSE桶以存储快照数据和机器映像数据。

以上述方式，PSE 224形成边缘位置，因为它在传统云提供商数据中心之外和更靠近客户装置处提供云提供商网络203的资源和服务。如本文所指的边缘位置可以通过多种方式结构化。在一些实施方式中，边缘位置可以是云提供商网络底层的扩展，包括在可用区之外(例如，在云提供商的小型数据中心或位于靠近客户工作负载并且可能远离任何可用区的其他设施中)提供的有限量的容量。此类边缘位置可以被称为“远区”(由于远离其他可用区)或“近区”(由于靠近客户工作负载)。近区可以通过各种方式(例如直接、经由另一种网络或经由与区域的专用连接)而连接到诸如互联网等公共可访问网络。虽然通常近区比某个区域具有更有限的容量，但是在一些情况下，近区可能具有相当大的容量，例如数千个或更多机架。

在一些实施方式中，边缘位置可以是由位于客户或合作伙伴设施本地的一个或多个服务器形成的云提供商网络底层的扩展，其中此类服务器通过网络(例如，公共可访问网络，诸如互联网)与云提供商网络203的附近可用区或区域进行通信。位于云提供商网络数据中心之外的这种类型的底层扩展可以被称为云提供商网络203的“前哨”。一些前哨可以例如作为多接入边缘计算(MEC)站点集成到通信网络中，所述MEC站点的物理基础设施分布在电信数据中心、电信聚合站点和/或电信网络内的电信基站上。在本地示例中，前哨的有限容量可能仅供拥有处所的客户(以及客户允许的任何其他账户)使用。在电信示例中，前哨的有限容量可以在向电信网络的用户发送数据的多个应用程序(例如，游戏、虚拟现实应用程序、医疗保健应用程序)之间共享。

边缘位置可以包括至少部分地由云提供商网络203的附近可用区的控制平面控制的数据平面容量。因而，可用区组可以包括“父”可用区和归属于父可用区(例如，至少部分地由其控制平面控制)的任何“子”边缘位置。某些有限的控制平面功能性(例如，需要与客户资源进行低延时通信的特征，和/或使得边缘位置能够在与父可用区断开连接时继续运行的特征)也可能存在于一些边缘位置中。因此，在上述示例中，边缘位置是指位于云提供商网络203的边缘处、靠近客户装置和/或工作负载的至少数据平面容量的扩展。

在图1的示例中，分布式计算装置112(图1)、集中式计算装置115(图1)和核心计算装置118(图1)可以实施为云提供商网络203的提供商底层扩展224。通信网络100内提供商底层扩展224的安装或定位可能因通信网络100的特定网络拓扑或架构而异。提供商底层扩展224通常可以连接到通信网络100可以中断基于分组的流量(例如，基于IP的流量)的任何位置。另外，给定的提供商底层扩展224与云提供商网络203之间的通信通常安全地转接通信网络100的至少一部分(例如，经由安全隧道、虚拟私有网络、直接连接等)。

在5G无线网络开发工作中，边缘位置可以被视为多接入边缘计算(MEC)的一种可能实施方式。此类边缘位置可以连接到5G网络中的各个点，所述点作为用户平面功能(UPF)的一部分为数据流量提供中断。较旧的无线网络也可以包含边缘位置。例如，在3G无线网络中，边缘位置可以连接到通信网络100的分组交换网络部分，诸如连接到服务通用分组无线电服务支持节点(SGSN)或连接到网关通用分组无线电服务支持节点(GGSN)。在4G无线网络中，边缘位置可以作为核心网络或演进分组核心(EPC)的一部分连接到服务网关(SGW)或分组数据网络网关(PGW)。在一些实施方案中，提供商底层扩展224与云提供商网络203之间的流量可以从通信网络100中断，而无需路由通过核心网络。

在一些实施方案中，提供商底层扩展224可以连接到与相应客户相关联的多于一个通信网络。例如，当相应客户的两个通信网络通过公共点共享或路由流量时，提供商底层扩展224可以连接到这两个网络。例如，每个客户可以将其网络地址空间的某个部分分配给提供商底层扩展224，并且提供商底层扩展224可以包括路由器或网关251，所述路由器或网关可以区分与通信网络100中的每一者交换的流量。例如，从一个网络去往提供商底层扩展224的流量与从另一个网络接收的流量相比可能具有不同的目的地IP地址、源IP地址和/或虚拟局域网(VLAN)标签。源自提供商底层扩展224的到网络中的一者上的目的地的流量可以被类似地封装以具有适当的VLAN标签、源IP地址(例如，来自从目的地网络地址空间分配给提供商底层扩展224的池)和目的地IP地址。

图2B描绘了通信网络100(图1)的蜂窝化和地理分布的示例253，用于提供高度可用的用户平面功能(UPF)。在图2B中，用户装置254与请求路由器255通信以将请求路由到多个控制平面小区257a和257b之一。每个控制平面小区257可以包括网络服务API网关260、网络切片配置262、网络服务监视功能264、站点规划数据266(包括描述客户站点要求的布局、装置类型、装置数量等)、网络服务/功能目录268、网络功能编排器270和/或其他部件。可以将较大的控制平面划分为多个小区，以降低大规模错误影响广泛客户的可能性，例如通过每个客户、每个网络或每个独立运行的区域具有一个或多个小区。

网络服务/功能目录268也称为NF存储库功能(NRF)。在基于服务的架构(SBA)5G网络中，可以通过使用微服务架构构建的一组互连网络功能来传递控制平面功能和通用数据存储库。NRF可以维护可用NF实例及其支持的服务的记录，允许其他NF实例订阅并通知来自给定类型的NF实例的注册。因此，NRF可以通过接收来自NF实例的发现请求以及哪些NF实例支持特定服务的详细信息来支持服务发现。网络功能编排器270可以执行NF生命周期管理，包括实例化、向外扩展/向内扩展、性能测量、事件关联和终止。网络功能编排器270还可以载入新的NF，管理向现有NF的新版本或更新后版本的迁移，识别适合特定网络切片或更大网络的NF集，并在构成基于无线电的网络103(图1)的不同计算装置和站点之间编排NF。

控制平面小区257可以通过RAN接口273与一个或多个小区站点272通信、可以与一个或多个客户本地数据中心274、一个或多个本地区(local zone)276以及一个或多个区域性区(regional zone)278通信。RAN接口273可以包括应用程序编程接口(API)，其促进在小区站点272处由第三方通信服务提供商操作的RAN中的容量的预配或释放。小区站点272包括执行一个或多个分布式单元(DU)网络功能282的计算硬件280。客户本地数据中心274包括执行一个或多个DU或中央单元(CU)网络功能284的计算硬件283、网络控制器285、UPF286、对应于客户工作负载的一个或多个边缘应用程序287和/或其他部件。

本地区276(其可以位于由云服务提供商运营的数据中心中)可以执行一个或多个核心网络功能288，诸如AMF、SMF、安全地公开其他网络功能的服务和能力的网络开放功能(NEF)、统一数据管理(UDM)功能，其管理用于授权、注册和移动性管理的订户数据。本地区276还可以执行UPF 286、度量处理服务289和一个或多个边缘应用程序287。

区域性区278(其可以位于由云服务提供商运营的数据中心中)可以执行一个或多个核心网络功能288；UPF 286；支持网络管理系统、服务传递、服务实施、服务保证和客户服务的运营支持系统(OSS)290；互联网协议多媒体子系统(IMS)291；支持产品管理、客户管理、收入管理和/或订单管理的业务支持系统(BSS)292；一个或多个门户应用程序293，和/或其他部件。

在该示例中，通信网络100采用蜂窝架构来减小各个部件的爆炸半径。在顶层，控制平面位于多个控制平面小区257中，以防止单个控制平面故障影响所有部署。

在每个控制平面小区257内，可以提供多个冗余堆栈，其中控制平面根据需要将流量转移到辅助堆栈。例如，小区站点272可以被配置为利用附近的本地区276作为其默认核心网络。在本地区276经历中断的情况下，控制平面可以重定向小区站点272以使用区域性区278中的备份堆栈。通常从互联网路由到本地区276的流量可以转移到区域性区278的端点。每个控制平面小区257可以实施“无状态”架构，该架构跨多个站点(诸如跨可用区或边缘站点)共享公共会话数据库。

图3A示出了根据一些实施方案的包括地理上分散的提供商底层扩展224(图2A)(或“边缘位置303”)的示例性云提供商网络203。如图所示，云提供商网络203可以形成为多个区域306，其中区域306是其中云提供商具有一个或多个数据中心309的单独地理区域。每个区域306可以包括经由诸如例如光纤通信连接等私有高速网络彼此连接的两个或更多个可用区(AZ)。可用区是指包括一个或多个数据中心设施的隔离故障域，所述数据中心设施相对于其他可用区具有单独的电源、单独的联网和单独的冷却。云提供商可能会努力将可用区定位在某个区域306内，使彼此相距足够远，使得自然灾害、大范围停电或其他意外事件不会同时使多于一个可用区离线。客户可以经由公共可访问网络(例如，互联网、蜂窝通信网络、通信服务提供商网络)连接到云提供商网络203的可用区内的资源。转接中心(TC)是将客户链接到云提供商网络203的主要骨干位置，并且可以共同位于其他网络提供商设施(例如，互联网服务提供商、电信提供商)中。每个区域306可以操作两个或更多个TC以实现冗余。区域306连接到全球网络，该全球网络包括将每个区域306连接到至少一个其他区域的私有联网基础设施(例如，由云服务提供商控制的光纤连接)。云提供商网络203可以通过边缘位置303和区域边缘缓存服务器从这些区域306外部但与之联网的存在点(PoP)传递内容。计算硬件的这种划分和地理分布使得云提供商网络203能够在全球范围内以高度的容错性和稳定性为客户提供低延时的资源访问。

与区域数据中心或可用区的数量相比，边缘位置303的数量可以高得多。边缘位置303的这种广泛部署可以为大得多的终端用户装置组提供到云的低延时连接性(与碰巧非常靠近区域数据中心的那些终端用户装置组相比)。在一些实施方案中，每个边缘位置303可以对等到云提供商网络203的某个部分(例如，父可用区或区域数据中心)。这种对等允许在云提供商网络203中操作的各种部件管理边缘位置303的计算资源。在一些情况下，多个边缘位置303可以位于或安装在同一设施(例如，计算机系统的单独机架)中并且由不同的区或数据中心309管理以提供附加冗余。应注意，虽然边缘位置303在本文中通常被描绘为在通信服务提供商网络或基于无线电的网络103(图1)内，但是在一些情况下，诸如当云提供商网络设施相对靠近通信服务提供商设施时，边缘位置303可以保留在云提供商网络203的物理处所内，同时经由光纤或另一网络链路连接到通信服务提供商网络。

边缘位置303可以通过多种方式结构化。在一些实施方式中，边缘位置303可以是云提供商网络底层的扩展，包括在可用区之外(例如，在云提供商的小型数据中心309或位于靠近客户工作负载处并且可能远离任何可用区的其他设施中)提供的有限量的容量。此类边缘位置303可以被称为本地区(因此比传统的可用区更本地或更接近一组用户)。本地区可以通过各种方式(诸如直接、经由另一种网络或经由与区域306的专用连接)而连接到诸如互联网等公共可访问网络。虽然通常本地区比区域306具有更有限的容量，但是在一些情况下，本地区可能具有相当大的容量，例如数千个或更多机架。一些本地区可以使用与典型的云提供商数据中心类似的基础设施，而不是本文描述的边缘位置303基础设施。

如本文指示，云提供商网络203可以形成为多个区域306，其中每个区域306表示云提供商将数据中心309集群在其中的地理区域。每个区域306还可以包括经由例如光纤通信连接等私有高速网络彼此连接的多个(例如，两个或更多个)可用区(AZ)。AZ可以提供包括一个或多个数据中心设施的隔离故障域，所述数据中心设施相对于另一个AZ中的那些数据中心设施具有单独的电源、单独的联网和单独的冷却。优选地，区域306内的AZ彼此相距足够远，使得同一自然灾害(或其他故障诱发事件)不会同时影响多于一个AZ或使多于一个AZ离线。客户可以经由可公共访问的网络(例如，互联网、蜂窝通信网络)连接到云提供商网络203的AZ。

给定边缘位置303作为云提供商网络203的AZ或区域306的父级可以基于许多因素。一种这样的父级因素是数据主权。例如，为了将源自某个国家的通信网络的数据保留在所述国家，部署在所述通信网络中的边缘位置303可以作为所述国家的AZ或区域306的父级。另一个因素是服务的可用性。例如，一些边缘位置303可能具有不同的硬件配置，诸如是否存在部件，诸如用于客户数据的本地非易失性存储装置(例如，固态驱动器)、图形加速器等。一些AZ或区域306可能缺乏利用这些额外资源的服务，因此，边缘位置303可以作为支持使用这些资源的AZ或区域306的父级。另一个因素是AZ或区域306与边缘位置303之间的延时。虽然在通信网络中部署边缘位置303具有延时益处，但是那些益处可能会通过将边缘位置303作为远处AZ或区域306的父级来抵消，这会给边缘位置303到区域流量引入显著延时。因此，边缘位置303通常是附近(就网络延时而言)AZ或区域306的父级。

图3B示出了包括虚拟私有云网络107的联网环境200的示例，所述虚拟私有云网络跨越云提供商网络203以包括耦合到基于无线电的网络103的客户端装置215，诸如无线装置106(图1)。云提供商网络203可以包括一个或多个云服务320、一个或多个防火墙323、一个或多个网关326、一个或多个虚拟路由器329和/或其他部件。虚拟私有云网络107可以对应于存在于异构物理和逻辑网络的顶部上或虚拟地存在于其内的软件定义的网络。

虚拟私有云网络107可以支持访问控制和安全管理，所述访问控制和安全管理可以应用于整个虚拟私有云网络107以及应用于虚拟私有云网络107的子集(诸如安全组)内。虚拟私有云网络107可以由云提供商为诸如企业、教育机构、政府或另一组织等客户运营。虚拟私有云网络107可以包括到与云提供商网络203分离并由客户操作的一个或多个内部网络的一个或多个私有网络链路，使得那些内部网络上的装置也连接到虚拟私有云网络107。

云服务320可被配置为实现各种各样的功能性。在各种实施方案中，个别云服务320可以提供允许客户动态启动和管理物理或虚拟计算资源的服务，所述资源诸如机器实例、数据存储在相应存储桶中的最终一致的数据存储服务、支持关键值和文档数据结构的数据库服务、分布式消息队列服务、工作流管理服务和/或其他服务。每一云服务320可以与支持相应云服务320可以执行的一组调用或操作的对应应用程序编程接口(API)相关联。调用API可能会调用一系列许多不同的服务或代理来执行操作和处理数据。

防火墙323可以在规则集内配置，以配置什么类型的网络流量可以在虚拟私有云网络107内发送。防火墙323可以支持各种功能，诸如日志记录、入侵检测、拒绝服务保护、恶意软件过滤，等等。网关326可以选择性地转发网络流量，以使得虚拟私有云网络107能够与诸如互联网的外部网络、其他虚拟私有云网络或云提供商网络203中不在虚拟私有云网络107内的其他资源通信。在一些实施方式中，网关326可以执行网络地址转换(NAT)，以向在虚拟私有云网络107上具有私有网络地址的装置提供可公共路由的网络地址。尽管防火墙323和网关326在图3B中被示出为位于云提供商网络203中，但是在其他示例中，防火墙323和/或网关326可以通过提供商底层扩展224(图2A)在边缘位置303(图3A)处实施。

在一些实施方案中，客户端装置215可以利用管理代理执行移动装置管理软件。此种移动装置管理软件可能要求客户端装置215仅通过虚拟私有云网络107连接，而不通过其他网络连接，以防止数据泄露。另一选择是，移动装置管理软件可能要求敏感应用仅通过虚拟私有云网络107进行通信。

给定的虚拟路由器329包括多层分组处理服务的节点的集合，包括被配置为快速执行本地缓存的路由或转发动作的快速路径节点，以及基于客户指定的策略和经隔离网络的连接性要求来确定对不同分组流要采取的动作的例外路径节点。在使用路由信息交换协议(例如，类似于边界网关协议(BGP)的协议)为经隔离网络对之间的应用数据流量实施动态路由的场景中，包含动态路由信息的消息的处理可以从虚拟路由器节点卸载到在其他装置上运行的协议处理引擎，由此使得虚拟路由器节点能够保持专用于其基于规则的分组转发的主要任务。

(例如，使用位于不同州、国家或大陆的数据中心处的资源)在不同地理区域中实施的虚拟路由器329可以以编程方式彼此附接(或“对等”)，并被配置为使用类似于BGP的协议来获取和自动交换与不同区域中的经隔离网络相关的动态路由信息，从而消除客户端为经隔离网络之间的流量流动费力地配置静态路由的需要。客户端可以指定各种参数和设置(诸如要使用的特定协议版本、用于过滤要向虚拟路由器329或从虚拟路由器329广告的路由信息的规则等)来控制路由信息在虚拟路由器329之间传送的方式。广域网(WAN)服务可以在提供商网络处使用启用了动态路由的以编程方式附接的虚拟路由器来实施，从而允许客户端利用提供商网络的私有光纤骨干链路(已经代表各种其他服务的用户用于提供商网络的数据中心之间的流量)来用于分布在世界各地的客户端处所与蜂窝网络切片之间的流量，并且使用具有可视化接口的易用工具来管理其长距离流量。虚拟路由器329可以提供对应于虚拟私有云网络107的不同子网的一个或多个基于无线电的网络103的不同网络切片之间的连接性。

参考图4，示出了根据各种实施方案的联网环境400。联网环境400包括计算环境403、一个或多个客户端装置406、一个或多个无线电接入网络(RAN)409、频谱预留服务410以及一个或多个基于无线电的网络103，它们经由网络412彼此进行数据通信。网络412包括例如互联网、内联网、外联网、广域网(WAN)、局域网(LAN)、有线网络、无线网络、有线电视网络、卫星网络或其他合适的网络等，或两个或多个此类网络的任意组合。RAN 409可以由多个不同通信服务提供商运营。在一些情况下，RAN 409中的一个或多个可以由云提供商网络203(图2A)或云提供商网络203的客户运营。

计算环境403可以包括例如服务器计算机或提供计算容量的任何其他系统。可选地，计算环境403可以采用多个计算装置，这些计算装置可以例如布置在一个或多个服务器组或计算机组或其他布置中。这样的计算装置可以位于单个装置中或者可以分布在许多不同的地理位置中。例如，计算环境403可以包括多个计算装置，它们一起可以包括托管的计算资源、网格计算资源和/或任何其他分布式计算布置。在一些情况下，计算环境403可以对应于弹性计算资源，其中处理、网络、存储或其他计算相关资源的分配容量可以随时间变化。例如，计算环境403可以对应于云提供商网络203，其中基于效用计算模型根据客户的计算资源使用向客户收费。

在一些实施方案中，计算环境403可以对应于物理网络内的虚拟化私有网络，包括例如通过管理程序在物理计算硬件上执行的虚拟机实例。虚拟机实例和在这些实例上运行的任何容器可以通过物理网络部件(诸如路由器和交换机)启用的虚拟化网络部件来获得网络连接。

根据各种实施方案，可以在计算环境403中执行各种应用程序和/或其他功能。此外，各种数据存储在计算环境403可访问的数据存储区415中。可以理解，数据存储区415可以表示多个数据存储区415。存储在数据存储区415中的数据例如与下述各种应用程序和/或功能实体的操作相关联。

作为提供效用计算服务的云提供商网络的一部分的计算环境403包括计算装置418和其他类型的计算装置。计算装置418可以对应于不同类型的计算装置418并且可以具有不同的计算架构。计算架构可能因使用具有不同架构的处理器而不同，诸如x86、x86_64、ARM、可扩展处理器架构(SPARC)、PowerPC等。例如，一些计算装置418可以具有x86处理器，而其他计算装置418可以具有ARM处理器。计算装置418也可以在可用的硬件资源方面不同，诸如本地存储装置、图形处理单元(GPU)、机器学习扩展和其他特性。

计算装置418可以具有各种形式的所分配的计算容量421，其可以包括虚拟机(VM)实例、容器、无服务器功能等等。VM实例可以从VM映像实例化。为此，客户可以指定应在特定类型的计算装置418中启动虚拟机实例，而不是在其他类型的计算装置418中。在各种示例中，一个VM实例可以在特定计算装置418上单独执行，或者多个VM实例可以在特定计算装置418上执行。此外，特定计算装置418可以执行不同类型的VM实例，它们可以经由计算装置418提供不同数量的可用资源。例如，某些类型的VM实例可能比其他类型的VM实例提供更多的内存和处理能力。

在计算环境403上执行的部件例如包括虚拟私有云(VPC)管理服务424、一个或多个网络服务427以及本文中没有详细论述的其他应用程序、服务、过程、系统、引擎或功能。执行VPC管理服务424以配置和管理由联网环境400实施的一个或多个虚拟私有云网络107(图1)的操作。为此，VPC管理服务424可以生成一系列用户界面，或可以支持应用程序编程接口(API)，所述应用程序编程接口使得虚拟私有云网络107能够被初始创建、然后被修改。VPC管理服务424可以实现访问控制列表、安全分组、网络切片、加密、解密、网络地址分配和路由、弹性网络接口、网关、防火墙和/或虚拟私有云网络107的其他部件的配置。

网络服务427包括支持虚拟私有云网络107和底层物理和逻辑网络的各种服务。为此，网络服务427可以执行路由、桥接、翻译、防火墙、隧道、加密、解密、日志记录和/或其他功能，以支持网络流量在联网环境400中的流动。

存储在数据存储区415中的数据包括例如一个或多个网络规划439、一个或多个蜂窝拓扑442、一个或多个频谱分配445、装置数据448、一个或多个RBN度量451、客户计费数据454、无线电单元配置数据457、天线配置数据460、网络功能配置数据463、一个或多个网络功能工作负载466、一个或多个客户工作负载469、一个或多个网络切片470、一个或多个QoS要求471、一个或多个地址配置472、一个或多个访问控制列表473、一个或多个加密配置474、一个或多个防火墙规则集475以及可能的其他数据。

网络规划439是要为客户部署的基于无线电的网络103的规范。例如，网络规划439可以包括要覆盖的处所位置或地理区域、小区数量、装置标识信息和许可、期望的最大网络延时、用于一类或多类装置的期望带宽或网络吞吐量、一个或多个用于应用程序或服务的服务质量参数、RBN 103要覆盖的一个或多个路线、RBN 103或RBN 103的部分的覆盖调度，RBN 103或RBN 103的部分的周期性覆盖调度、RBN 103或RBN 103的部分的开始时间、RBN103或RBN 103的部分的结束时间、在RBN 103中的各个位置处将支持哪些虚拟私有云网络107，和/或可用于创建基于无线电的网络103的其他参数。客户可以经由用户界面手动指定这些参数中的一个或多个。一个或多个参数可以预填充为默认参数。在一些情况下，可以至少部分地基于使用无人驾驶飞行器的自动化站点调查为客户生成网络规划439。定义网络规划439的参数值可以用作云服务提供商在效用计算模型下向客户计费的基础。例如，在服务水平协议(SLA)中，客户可能会因较低的延时目标和/或较高的带宽目标而被收取更高的费用，并且可以按装置、按小区、基于服务的地理区域、基于频谱可用性等向客户收费。在一些情况下，网络规划439可以包含至少部分地根据客户的现有私有网络的自动探测确定的阈值和参考参数。

蜂窝拓扑442包括用于客户的多个小区的布置，其在给定小区的位置的情况下考虑频谱的再利用。蜂窝拓扑442可以在给定站点调查的情况下自动生成。在一些情况下，蜂窝拓扑442中的小区数量可以基于要覆盖的期望地理区域、各个站点处回程连接的可用性、信号传播、可用频谱和/或其他参数来自动确定。对于基于无线电的网络103，蜂窝拓扑442可被开发为覆盖组织园区中的一个或多个建筑、学区中的一个或多个学校、大学或大学系统中的一个或多个建筑以及其他区域。

频谱分配445包括可用于分配给基于无线电的网络103的频谱以及当前分配给基于无线电的网络103的频谱。频谱可以包括不受限制地可公开访问的频谱、客户个人拥有或租用的频谱、提供商拥有或租用的频谱、免费使用但需要预订的频谱等。

装置数据448对应于描述被允许连接到基于无线电的网络103的无线装置106的数据。该装置数据448包括相应的用户、账户信息、计费信息、数据规划、允许的应用程序或用途、无线装置106是移动的还是固定的指示、位置、当前小区、网络地址、装置标识符(例如，国际移动设备身份(IMEI)号码、设备序列号(ESN)、媒体访问控制(MAC)地址、用户身份模块(SIM)号码等)，等等。在一个实施方式中，SIM可以用于将客户端装置215(图3B)映射到特定虚拟私有云网络107。个别无线装置106可以使用嵌入式SIM(eSIM)来代替物理的可移除SIM或者作为其补充。此外，在一些情况下，无线装置106可具有多个SIM和/或多个eSIM，所述SIM和/或eSIM又可以各自与多个虚拟私有云网络107中的相应虚拟私有云网络相关联。

RBN度量451包括指示基于无线电的网络103的性能或健康状况的各种度量或统计。这样的RBN度量451可以包括带宽度量、分组丢弃度量、信号强度度量、延时度量等。RBN度量451可以在每个装置的基础上、每个小区的基础上、每个客户的基础上等进行聚合。

客户计费数据454指定客户因提供商为客户操作基于无线电的网络103而产生的费用。费用可包括基于部署给客户的设备的固定成本和/或基于由被跟踪的使用度量确定的利用率的使用成本。在一些情况下，客户可能会预先购买设备，并且可能只需要支付带宽或后端网络成本。在其他情况下，客户可能不会产生任何前期成本，并且可能仅根据使用情况收费。通过基于效用计算模型向客户提供设备，云服务提供商可以选择设备的最佳配置以满足客户目标性能度量，同时避免超量预配不必要的硬件。

无线电单元配置数据457可以对应于部署在基于无线电的网络103中的无线电单元的配置设置。这样的设置可以包括要使用的频率、要使用的协议、调制参数、带宽、网络路由和/或回程配置等。

天线配置数据460可以对应于天线的配置设置，包括要使用的频率、方位角、垂直或水平取向、波束倾斜和/或可以被自动控制或通过指导用户以某种方式安装天线或对天线进行物理更改来手动控制的其他参数(例如，通过连接网络的马达和天线上的控件)。

网络功能配置数据463对应于为基于无线电的网络103配置各种网络功能的操作的配置设置。在各种实施方案中，网络功能可以部署在位于计算装置418中的VM实例或容器中，所述计算装置位于位于小区站点、客户聚合站点或远离客户的数据中心。网络功能的非限制性示例可以包括接入和移动性管理功能、会话管理功能、用户平面功能、策略控制功能、认证服务器功能、统一数据管理功能、应用程序功能、网络开放功能、网络功能存储库、网络切片选择功能和/或其他功能。网络功能工作负载466对应于要在所分配的计算容量421中启动以执行一个或多个网络功能的机器映像、容器或功能。

客户工作负载469对应于客户的机器映像、容器或功能，它们可以与所分配的计算容量421中的网络功能工作负载466一起执行或代替其执行。例如，客户工作负载469可以提供或支持客户应用程序或服务。在各种示例中，客户工作负载469涉及工厂自动化、自主机器人、增强现实、虚拟现实、设计、监控等等。

网络切片470对应于为一个或多个特定服务质量要求471指定的网络流量流。这些流可以对应于与在特定客户端装置406上执行的特定应用程序相关联的流、来自特定客户端装置406的所有网络流量、从所有客户端装置406到特定目的地的流、从特定客户端装置406到特定目的地的流、与虚拟私有云网络107相关联的流动、与虚拟私有云网络107内的子网相关联的流动，等等。在一个示例中，网络切片470由源端口、源网络地址、目的地端口、目的地网络地址和/或其他信息标识。网络切片470可以在特定时间段或特定数据量内有效，或者网络切片470可以在取消或释放之前有效。在一个示例中，网络切片470被按需分配用于在客户端装置406上执行的特定应用程序。在一些场景中，网络切片470具有特定的循环有效时间段(例如，每个工作日晚上从午夜到凌晨5点)，或者对网络切片470的服务质量要求471可以基于循环时间段、当前成本水平和/或其他因素或事件而改变。

另外，网络切片470可以与不同安全性质相关联，以便为与单个虚拟私有云网络107相关联的潜在多个网络切片470提供有区别的管理。例如，第一网络切片470可以对应于具有更大访问权的管理服务器，而第二网络切片470可以对应于具有更有限访问权的终端用户的客户端装置215(图3B)。

服务质量要求471可以对应于最小或最大带宽、最小或最大延时、最小或最大可靠性量度、最小或最大信号强度等。服务质量要求471可以与对应的成本水平相关联，其可以包括固定成分、基于使用的成分和/或基于拥塞的成分。例如，服务质量要求471可以与循环的每月固定成本、每会话或每兆字节成本、和/或基于小区站点或特定网络链路处的拥塞的动态成本相关联。在一些情况下，客户可以选择提供高水平服务的服务质量要求471。然而，在其他情况下，客户可以选择提供低成本水平但在某些时间或某些方面降低服务质量的服务质量要求471。例如，客户可以选择服务质量要求471，其允许通宵高吞吐量和其他较低优先级的吞吐量，以便以低成本通过网络发送备份数据。

地址配置472为虚拟私有云网络107配置网络地址到各个客户端装置215的分配。此类网络地址可以包括IPv4地址、IPv6地址和/或其他类型的地址。例如，虚拟私有云网络107可以具有带有多个子网的私有网络地址空间，并且不同子网可以与不同访问控制列表473、安全组、网络切片470、QoS要求471等相关联。地址配置472提供了装置数据448中(例如，通过SIM)标识的特定装置如何被分配有网络地址，以及来自哪些网络地址块。在一些情况下，地址配置472可以指示分配了可公共路由的网络地址。

访问控制列表473可以定义虚拟私有云网络107中的哪些装置(或子网)被准许访问虚拟私有云网络107中的其他装置(或子网)。访问控制列表473还可以在每应用或每端口的基础上指定访问控制。访问控制列表473可以指虚拟私有云网络107内的安全组或者装置的不同子集，它们受VPC管理服务424的可以影响所述组的所有成员的管理动作的影响。

加密配置474可以定义要在虚拟私有云网络107内使用的加密和解密。在一些情况下，加密配置474可以定义将使用点到点加密和端到端加密的组合。端到端加密可以由在虚拟私有云网络107中的每一网络主机上执行的服务或者每一主机与之通信的初始网关326(图3B)上执行的服务来实施。可以针对网络内的不同链路实施点到点加密，诸如例如到客户的内部网络的私有链路，或者去往及来自基于无线电的网络103的链路。

防火墙规则集475可以定义由虚拟私有云网络107中的防火墙323(图3B)使用的各种规则。这些规则可以配置何时丢弃网络流量、记录哪些网络流量、拒绝服务保护、恶意软件保护和/或其他类型的防火墙规则。

客户端装置406表示可以耦合到网络412的多个客户端装置406。客户端装置406可以包括例如基于处理器的系统，诸如计算机系统。这样的计算机系统可以用以下形式体现：台式计算机、膝上型计算机、个人数字助理、蜂窝电话、智能手机、机顶盒、音乐播放器、连网板、平板计算机系统、游戏机、电子书阅读器、智能手表、头戴式显示器、语音接口装置或其他装置。客户端装置406可以包括显示器，该显示器包括例如一个或多个装置，诸如液晶显示器(LCD)、基于气体等离子体的平板显示器、有机发光二极管(OLED)显示器、电泳墨水(E墨水)显示器、LCD投影仪或其他类型的显示装置等。

客户端装置406可以被配置为执行各种应用程序，诸如客户端应用程序436和/或其他应用程序。客户端应用程序436可以在客户端装置406中执行，例如，以访问由计算环境403和/或其他服务器提供的网络内容，从而在显示器上呈现用户界面。为此，客户端应用程序436可以包括例如浏览器、专用应用程序等，并且用户界面可以包括网页、应用程序屏幕等。客户端装置406可以被配置为执行客户端应用程序436之外的应用程序，诸如例如电子邮件应用程序、社交网络应用程序、文字处理器、电子表格和/或其他应用程序。

在一些实施方案中，频谱预留服务410为客户在RAN 409中的使用提供频谱预留。在一个场景中，频谱预留服务410由诸如第三方之类的实体来操作，以管理公共可访问频谱中的预留和共存。这种频谱的一个示例是公民宽带无线电服务(CBRS)。在另一个场景中，频谱预留服务410由电信服务提供商操作，以便出售或转授该提供商拥有或许可的频谱部分。

接下来参考图5，示出了根据各种实施方案的提供扩展到基于无线电的网络103(图1)的虚拟私有云网络107(图1)的一部分的操作的一个示例的流程图500。可以理解，流程图500仅提供可用于实施如本文中所述的虚拟私有云网络107的部分的操作的许多不同类型的功能布置的示例。作为替代，流程图500可以根据一个或多个实施方案被视为描绘在计算环境403(图4)中实施的方法的元素的示例。

以方框501开始，VPC管理服务424(图4)在基于无线电的网络103(图1)的网络切片470(图4)中创建虚拟私有云网络107(图1)的子网。例如，VPC管理服务424可以响应于在云提供商网络203(图2A)处从与虚拟私有云网络107相关联的客户账户接收到在网络切片470中创建子网的API请求来创建子网。网络切片470可以与一个或多个QoS要求471(图4)以及在基于无线电的网络103中为网络切片470预留容量的其他参数相关联。容量可以包括带宽、网络功能处理能力(例如，用户平面功能(UPF)或另一网络功能的资源)、提供更低延时的资源等等。

在方框502中，VPC管理服务424注册与客户端装置215(图3B)相关联的一个或多个订户身份模块(SIM)或嵌入式SIM(eSIM)，客户端装置215应被准许经由基于无线电的网络103接入虚拟私有云网络107。与SIM或eSIM相关联的标识符可以被记录在装置数据448(图4)和/或访问控制列表473(图4)中。例如，VPC管理服务424可以响应于接收到在网络切片470和/或虚拟私有云网络107中的一者或两者中注册SIM或eSIM的API请求，而在网络切片470和/或虚拟私有云网络107中注册SIM或eSIM。可以从与虚拟私有云网络107或网络切片470相关联的客户账户接收API请求。

在方框503中，从客户端装置215接收连接到基于无线电的网络103的请求。例如，客户端装置215可以是无线装置106(图1)，其被开启并开始协商来自基于无线电的网络103的无线电接入网络409(图4)的网络连接性。客户端装置215可以与无线电接入网络409的小区站点处的无线电单元通信。

在方框506中，基于无线电的网络103识别客户端装置215。例如，基于无线电的网络103可以从SIM或eSIM确定由客户端装置215呈现的标识符。在一些情况下，客户端装置215可以具有多个SIM或eSIM。其他标识符可以包括国际移动设备身份(IMEI)号码、设备序列号(ESN)、媒体访问控制(MAC)地址和/或其他标识符。

在方框507中，VPC管理服务424或基于无线电的网络103的核心网络中的服务确定客户端装置215被准许接入的虚拟私有云网络107。在一些情况下，可以通过基于无线电的网络103接入多个虚拟私有云网络107。在一个场景中，基于无线电的网络103是由具有单个虚拟私有云网络107的组织运营的私有网络。在一些情况下，客户端装置215可以被准许接入多个虚拟私有云网络107。VPC管理服务424可以基于标识符(例如，来自SIM)与在访问控制列表473中列举的标识符的比较来确定客户端装置215是否可以访问。例如，客户端装置215中的潜在多个SIM或eSIM的特定SIM或eSIM可以授权对单独虚拟私有云网络107的接入。此外，虽然客户端装置215可以被准许接入虚拟私有云网络107，但是虚拟私有云网络107可以在基于无线电的网络103中基于每小区站点被启用或停用。

在方框509中，基于无线电的网络103根据至少部分地基于虚拟私有云网络107的规则集将诸如互联网协议(IP)地址的网络地址分配给客户端装置215。虽然连接到基于无线电的网络103的任何客户端装置215可以被分配网络地址，但是在这种情况下分配的网络地址是至少部分地基于与虚拟私有云网络107相关联的地址配置472(图4)选择的。也就是说，可能地，如果虚拟私有云网络107上的其他主机没有连接到基于无线电的网络103以及连接到云提供商网络203(图2A)，那么所述主机可能被赋予相同地址块内的网络地址。在一些情况下，不同组的客户端装置215可以被分配给虚拟私有云网络107内的不同子网，这然后可以允许对具有QoS要求471(图4)的访问控制和/或网络切片470(图4)进行区别处理。

在方框512中，VPC管理服务424根据加密配置474(图4)为去往和/或来自虚拟私有云网络107内的客户端装置215的网络流量配置加密。这可能包括端到端加密和/或点到点加密。例如，虚拟私有云网络107上的网络主机可以被配置为执行代理或服务，以执行端到端加密和隧道。另外，基于无线电的网络103和虚拟私有云网络107内的网关可以被配置为执行点到点加密和隧道。在一些情况下，加密可以采用从客户端装置215的SIM生成或存储在其上的安全密钥。

在方框513中，VPC管理服务424根据规则集为客户端装置215配置网络切片470，或者根据规则集将客户端装置215分配给基于无线电的网络103中的现有网络切片470，所述网络切片可能具有与延时、带宽等相关的一个或多个QoS要求471。例如，基于无线电的网络103可以部署在机器人工厂中，其中第一组机器人在白天操作以执行制造任务，并且第二组机器人在晚上操作以执行清洁任务。第一组机器人可以被分配与第二组机器人不同的网络地址子网和不同的网络切片470。此外，QoS要求471可以根据时间表而改变，例如，使得网络容量在晚上主要可供第二组机器人使用。网络切片470可以预留无线电接入网络409内的带宽以及核心网络中的处理容量，这可导致网络功能工作负载466从云提供商网络203转移到提供商底层扩展224(图2A)的小区站点或其他边缘位置303(图3A)，以便满足QoS要求471来减少延时。

在方框515中，VPC管理服务424向客户端装置215提供通过基于无线电的网络103对虚拟私有云网络107的接入。注意，这不同于经由虚拟私有网络(VPN)隧道或私有链路将客户端装置215手动地连接到虚拟私有云网络107，因为客户端装置215简单地连接到基于无线电的网络103(如同连接到4G或5G网络)，并且客户端装置215自动连接到虚拟私有云网络107。例如，在一些实施方式中，可以避免使用诸如用户名和密码等凭证的额外认证。此外，赋予客户端装置215的网络地址位于虚拟私有云网络107的地址块内，并且不是公共地址，或者在基于无线电的网络103的其他子网内。

在方框518中，基于无线电的网络103和网络服务427潜在地使用一个或多个防火墙323(图3B)和一个或多个网关326(图3B)通过虚拟私有云网络107在一个或多个云服务320(图3B)与客户端装置215之间路由或转发网络流量，所述防火墙和网关可以施行在访问控制列表473(图4)中指定的安全组或访问控制。访问控制列表473还可以控制对托管在基于无线电的网络103中的云提供商网络203的提供商底层扩展224中的一个或多个资源的访问。网络流量可以服从为客户端装置215预配的并且一个或多个QoS要求471适用的网络切片470。

防火墙323可以施行防火墙规则集475(图4)中所定义的规则来过滤分组、对数据进行代码转换、断开或阻止连接、记录流量等等。在一些场景中，云服务320、网关326和防火墙323可以部署在基于无线电的网络103中的提供商底层扩展224上(诸如在小区站点、客户站点或其他中间位置处)，以便满足服务质量要求471。在此类情况下，网络流量可以完全停留在基于无线电的网络103内或者基于无线电的网络103内的边缘位置/本地区内，并且不会越界进入区域性数据中心中。在一些场景中，基于无线电的网络103可以实现客户端装置215与虚拟私有云网络107上的连接到基于无线电的网络103的其他客户端装置215之间的通信。在其他场景中，客户端装置215与云服务320通信，云服务320位于云提供商网络203和虚拟私有云网络107上，但不位于基于无线电的网络103上。在一个示例中，虚拟路由器329(图3B)可用于连接第一网络切片470与第二网络切片470，其中第一和第二网络切片470与虚拟私有云网络107的不同子网相关联。此后，流程图500结束。

参考图6，示出了根据本公开的实施方案的计算环境403的示意性框图。计算环境403包括一个或多个计算装置600。每个计算装置600包括至少一个处理器电路，例如，具有处理器603和存储器606，两者都耦合到本地接口609。为此，每个计算装置600可以包括例如至少一个服务器计算机或类似装置。本地接口609可以包括例如具有伴随的地址/控制总线的数据总线或可以理解的其他总线结构。

存储在存储器606中的是数据和可由处理器603执行的若干部件。具体地，存储在存储器606中并且可由处理器603执行的是VPC管理服务424、网络服务427以及可能的其他应用程序。存储在存储器606中的还可以是数据存储区415和其他数据。此外，操作系统可以存储在存储器606中并可由处理器603执行。

应当理解，可以明了，可以存在存储在存储器606中并且可由处理器603执行的其他应用程序。在此处讨论的任何部件以软件形式实施的情况下，可以采用多种编程语言中的任何一种，诸如例如C、C++、C#、Objective C、Perl、PHP、VisualRuby、/>或其他编程语言。

许多软件部件存储在存储器606中并且可由处理器603执行在这方面，术语“可执行”是指呈最终可以由处理器603运行的形式的程序文件。可执行程序的示例可以是例如可以被翻译成以下代码的编译程序：机器代码，其格式可以加载到存储器606的随机访问部分并由处理器603运行；源代码，其可以以适当的格式表达，诸如能够加载到存储器606的随机访问部分并由处理器603执行的目标代码；或者源代码，其可以由另一个可执行程序解释以在存储器606的随机访问部分中生成将由处理器603执行的指令，等等。可执行程序可以存储在存储器606的任何部分或部件中，包括例如随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器、固态驱动器、USB闪存驱动器、存储卡、诸如光盘(CD)或数字多功能光盘(DVD)等光碟、软盘、磁带或其他存储部件。

存储器606在此被定义为包括易失性和非易失性存储器和数据存储部件。易失性部件是那些在断电时不保留数据值的部件。非易失性部件是那些在断电时保留数据的部件。因此，存储器606可以包括例如随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器、固态驱动器、USB闪存驱动器、经由存储卡读卡器访问的存储卡、经由相关联的软盘驱动器访问的软盘、经由光盘驱动器访问的光盘、经由适当的磁带驱动器访问的磁带，和/或其他存储器部件，或这些存储器部件中的任何两个或更多个的组合。此外，RAM可以包括例如静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)或磁随机存取存储器(MRAM)和其他这样的装置。ROM可以包括例如可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)或其他类似的存储器装置。

此外，处理器603可以表示多个处理器603和/或多个处理器核心，且存储器606可以表示分别在并行处理电路中操作的多个存储器606。在这种情况下，本地接口609可以是促进多个处理器603中的任何两个之间、任何处理器603与存储器606之间、或存储器606中的任何两个之间等的通信的适当网络。本地接口609可以包括被设计成协调该通信的附加系统，包括例如执行负载平衡。处理器603可以是电气的或一些其他可用的结构。

虽然VPC管理服务424、网络服务427和本文描述的其他各种系统可以体现在由如上所述的通用硬件执行的软件或代码中，但是作为替代，它们也可以体现在专用硬件或软件/通用硬件和专用硬件的组合中。如果体现在专用硬件中，每个都可以实施为采用多种技术中的任何一种或组合的电路或状态机。这些技术可包括但不限于具有逻辑门的用于在应用一个或多个数据信号时实施各种逻辑功能的分立逻辑电路、具有适当逻辑门的专用集成电路(ASIC)、现场可编程门阵列(FPGA)，或其他部件等。此类技术通常为本领域技术人员所熟知，因此在此不作详细描述。

流程图500示出了基于无线电的网络103和虚拟私有云网络107的部分的实施方式的功能性和操作。如果体现在软件中，每个块可以代表代码的模块、段或部分，其包括用于实施指定逻辑功能的程序指令。程序指令可以以源代码的形式体现，该源代码包括以编程语言编写的人类可读语句，或以机器代码的形式体现，该机器代码包括可由诸如计算机系统或其他系统中的处理器603的合适的执行系统识别的数字指令。机器代码可能是从源代码等转换过来的。如果体现在硬件中，每个块可以表示一个电路或多个互连电路以实施指定的逻辑功能。

尽管流程图500示出了特定的执行顺序，但可以理解的是，执行顺序可能与所描绘的顺序不同。例如，两个或更多个框的执行顺序可以相对于所示顺序被打乱。此外，图5中连续示出的两个或更多个框可以同时或部分同时执行。此外，在一些实施方案中，图5所示的框中的一个或多个可跳过或省略。此外，为了增强效用、记账、性能测量或提供故障排除帮助等目的，可以将任意数量的计数器、状态变量、警告信号量或消息添加到此处描述的逻辑流。可以理解，所有这种变体都在本公开的范围内。

此外，本文描述的包括软件或代码的任何逻辑或应用程序(包括VPC管理服务424和网络服务427)可以体现在任何非暂时性计算机可读介质中以供指令执行系统(诸如例如计算机系统或其他系统中的处理器603)使用或与其结合使用。在这个意义上，逻辑可以包括，例如，包括可以从计算机可读介质提取并由指令执行系统执行的指令和声明的语句。在本公开的上下文中，“计算机可读介质”可以是可以包含、存储或维护本文描述的逻辑或应用程序以供指令执行系统使用或与其结合使用的任何介质。

计算机可读介质可以包括许多物理介质中的任何一种，诸如例如磁性、光学或半导体介质。合适的计算机可读介质的更具体示例将包括但不限于磁带、磁性软盘、磁性硬盘驱动器、存储卡、固态驱动器、USB闪存驱动器或光盘。此外，计算机可读介质可以是随机存取存储器(RAM)，包括例如静态随机存取存储器(SRAM)和动态随机存取存储器(DRAM)，或磁性随机存取存储器(MRAM)。此外，计算机可读介质可以是只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)或其他类型的存储器装置。

此外，本文描述的任何逻辑或应用程序(包括VPC管理服务424和网络服务427)可以以多种方式实施和结构化。例如，所描述的一个或多个应用程序可以实施为单个应用程序的模块或部件。此外，本文描述的一个或多个应用程序可以在共享或单独的计算装置或其组合中执行。例如，本文描述的多个应用程序可以在同一计算装置600中执行，或者在同一计算环境403中的多个计算装置600中执行。

除非另有特别说明，否则诸如短语“X、Y或Z中的至少一个”等析取语言在上下文中应理解为通常使用的情况以呈现项目、项等可以是X、Y或Z或者其任何组合(例如，X、Y和/或Z)。因此，这种析取语言一般不意图且不应暗示某些实施方案要求分别存在X中的至少一个、Y中的至少一个或Z中的至少一个。

本公开的实施方案可以通过以下一个或多个条款来描述：

条款1.一种系统，其包括：基于无线电的网络，其包括网络切片；以及云提供商网络，其托管具有相关联互联网协议(IP)地址范围的虚拟私有云网络，所述云提供商网络包括至少一个计算装置，所述至少一个计算装置被配置为至少：在所述网络切片中创建所述虚拟私有云网络的子网；在所述网络切片和所述虚拟私有云网络中的一者或两者中注册客户端装置的订户身份模块；响应于来自所述客户端装置的连接到所述基于无线电的网络的请求，将来自所述虚拟私有云网络的所述相关联IP地址范围的IP地址分配给所述订户身份模块；以及向所述客户端装置提供通过所述基于无线电的网络对所述虚拟私有云网络的接入。

条款2.根据条款1所述的系统，其中所述虚拟私有云网络的一个或多个资源托管在所述云提供商网络的提供商底层扩展上，所述提供商底层扩展位于所述基于无线电的网络中。

条款3.根据条款2所述的系统，其中所述虚拟私有云网络的访问控制列表用于控制对托管在所述提供商底层扩展上的所述一个或多个资源的访问。

条款4.根据条款1至3所述的系统，其中所述至少一个计算装置还被配置为响应于在所述云提供商网络处从与所述虚拟私有云网络相关联的客户账户接收到在所述网络切片中创建所述子网的API请求，至少在所述网络切片中创建所述子网。

条款5.根据条款1至4所述的系统，其中所述至少一个计算装置还被配置为响应于在所述云提供商网络处接收到在所述网络切片和所述虚拟私有云网络中的所述一者或两者中注册所述订户身份模块的API请求，至少在所述网络切片和所述虚拟私有云网络中的所述一者或两者中注册所述订户身份模块。

条款6.根据条款1至5所述的系统，其中所述至少一个计算装置还被配置为使用所述云提供商网络的虚拟路由器至少将所述网络切片连接到另一网络切片，所述另一网络切片具有所述虚拟私有云网络的另一子网。

条款7.根据条款1至6所述的系统，其中所述基于无线电的网络的核心网络的至少一部分托管在所述云提供商网络中。

条款8.一种计算机实施的方法，其包括：在基于无线电的网络的网络切片中创建云提供商网络的虚拟私有云网络的子网；在所述网络切片和所述虚拟私有云网络中的一者或两者中注册客户端装置的订户身份模块；从所述客户端装置接收连接到所述基于无线电的网络的请求；响应于从所述客户端装置接收到连接到所述基于无线电的网络的所述请求，确定所述客户端装置被准许接入的所述虚拟私有云网络；以及响应于从所述客户端装置接收到连接到所述基于无线电的网络的所述请求，向所述客户端装置提供通过所述基于无线电的网络对所述虚拟私有云网络的接入。

条款9.根据条款8所述的计算机实施的方法，其还包括：从不同客户端装置接收连接到所述基于无线电的网络的请求；响应于从所述不同客户端装置接收到连接到所述基于无线电的网络的所述请求，确定所述不同客户端装置被准许接入的所述云提供商网络的不同虚拟私有云网络；以及响应于从所述不同客户端装置接收到连接到所述基于无线电的网络的所述请求，向所述不同客户端装置提供通过所述基于无线电的网络对所述不同虚拟私有云网络的接入。

条款10.根据条款8至9所述的计算机实施的方法，其还包括根据与所述虚拟私有云网络相关联的规则集将网络地址分配给所述基于无线电的网络上的所述客户端装置。

条款11.根据条款8至10所述的计算机实施的方法，其还包括根据与所述虚拟私有云网络相关联的规则集将所述客户端装置分配给所述基于无线电的网络的所述网络切片，所述网络切片被配置为满足服务质量要求。

条款12.根据条款8至11所述的计算机实施的方法，其还包括对经由所述基于无线电的网络发送到所述客户端装置或从所述客户端装置发送的通信进行加密。

条款13.根据条款8至12所述的计算机实施的方法，其还包括当与所述虚拟私有云网络的一个或多个其他网络主机进行通信时将所述客户端装置配置为使用端到端加密方案。

条款14.根据条款8至13所述的计算机实施的方法，其中向所述客户端装置提供通过所述基于无线电的网络对所述虚拟私有云网络的接入还包括使得所述客户端装置能够与所述虚拟私有云网络上的并通过所述基于无线电的网络连接的另一客户端装置进行通信。

条款15.根据条款8至14所述的计算机实施的方法，其中向所述客户端装置提供通过所述基于无线电的网络对所述虚拟私有云网络的接入还包括使得所述客户端装置能够与所述虚拟私有云网络上的并通过所述云提供商网络而不是所述基于无线电的网络连接的计算资源进行通信。

条款16.根据条款8所述的计算机实施的方法，其中确定所述客户端装置被准许接入的所述虚拟私有云网络还包括：至少部分地基于所述客户端装置的所述订户身份模块(SIM)或嵌入式SIM(eSIM)来识别所述客户端装置；以及至少部分地基于所述SIM或eSIM来确定所述虚拟私有云网络。

条款17.一种计算机实施的方法，其包括：接收来自在云提供商网络的虚拟私有云网络中执行的服务的网络流量；以及经由基于无线电的网络中为所述虚拟私有云网络配置的网络切片将所述网络流量转发给连接到所述虚拟私有云网络的客户端装置，所述网络切片与一个或多个服务质量要求相关联。

条款18.根据条款17所述的计算机实施的方法，其还包括在所述云提供商网络的位于所述基于无线电的网络的小区站点处的提供商底层扩展中执行所述服务。

条款19.根据条款17至18所述的计算机实施的方法，其还包括提供所述虚拟私有云网络对所述基于无线电的网络内的所述网络流量的防火墙功能性。

条款20.根据条款17至19所述的计算机实施的方法，其还包括提供所述虚拟私有云网络上从所述服务到所述客户端装置的所述网络流量的端到端加密。

应该强调的是，本公开的上述实施方案仅仅是为了清楚理解本公开的原理而阐述的可能的实施方式示例。可以在基本上不脱离本公开的精神和原理的情况下对上述实施方案进行许多变化和修改。在本文中，所有此类修改和变化意在包括在本公开的范围内，并且受所附权利要求书保护。

Claims

1.一种系统，其包括：

基于无线电的网络，其包括网络切片；以及

云提供商网络，其托管具有相关联互联网协议(IP)地址范围的虚拟私有云网络，所述云提供商网络包括至少一个计算装置，所述至少一个计算装置被配置为至少：

在所述网络切片中创建所述虚拟私有云网络的子网；

在所述网络切片和所述虚拟私有云网络中的一者或两者中注册客户端装置的订户身份模块；

响应于来自所述客户端装置的连接到所述基于无线电的网络的请求，将来自所述虚拟私有云网络的所述相关联IP地址范围的IP地址分配给所述订户身份模块；以及

向所述客户端装置提供通过所述基于无线电的网络对所述虚拟私有云网络的接入。

2.根据权利要求1所述的系统，其中所述虚拟私有云网络的一个或多个资源托管在所述云提供商网络的提供商底层扩展上，所述提供商底层扩展位于所述基于无线电的网络中；并且

其中所述虚拟私有云网络的访问控制列表用于控制对托管在所述提供商底层扩展上的所述一个或多个资源的访问。

3.根据权利要求1所述的系统，其中所述至少一个计算装置还被配置为响应于在所述云提供商网络处从与所述虚拟私有云网络相关联的客户账户接收到在所述网络切片中创建所述子网的API请求，至少在所述网络切片中创建所述子网。

4.根据权利要求1所述的系统，其中所述至少一个计算装置还被配置为响应于在所述云提供商网络处接收到在所述网络切片和所述虚拟私有云网络中的所述一者或两者中注册所述订户身份模块的API请求，至少在所述网络切片和所述虚拟私有云网络中的所述一者或两者中注册所述订户身份模块。

5.根据权利要求1所述的系统，其中所述至少一个计算装置还被配置为使用所述云提供商网络的虚拟路由器至少将所述网络切片连接到另一网络切片，所述另一网络切片具有所述虚拟私有云网络的另一子网。

6.根据权利要求1所述的系统，其中所述基于无线电的网络的核心网络的至少一部分托管在所述云提供商网络中。

7.一种计算机实施的方法，其包括：

在基于无线电的网络的网络切片中创建云提供商网络的虚拟私有云网络的子网；

从所述客户端装置接收连接到所述基于无线电的网络的请求；

响应于从所述客户端装置接收到连接到所述基于无线电的网络的所述请求，确定所述客户端装置被准许接入的所述虚拟私有云网络；以及

响应于从所述客户端装置接收到连接到所述基于无线电的网络的所述请求，向所述客户端装置提供通过所述基于无线电的网络对所述虚拟私有云网络的接入。

8.根据权利要求7所述的计算机实施的方法，其还包括：

从不同客户端装置接收连接到所述基于无线电的网络的请求；

响应于从所述不同客户端装置接收到连接到所述基于无线电的网络的所述请求，确定所述不同客户端装置被准许接入的所述云提供商网络的不同虚拟私有云网络；以及

响应于从所述不同客户端装置接收到连接到所述基于无线电的网络的所述请求，向所述不同客户端装置提供通过所述基于无线电的网络对所述不同虚拟私有云网络的接入。

9.根据权利要求7所述的计算机实施的方法，其还包括以下中的至少一者：

根据与所述虚拟私有云网络相关联的规则集将所述客户端装置分配给所述基于无线电的网络的所述网络切片，所述网络切片被配置为满足服务质量要求；

根据与所述虚拟私有云网络相关联的规则集将网络地址分配给所述基于无线电的网络上的所述客户端装置；或

对经由所述基于无线电的网络发送到所述客户端装置或从所述客户端装置发送的通信进行加密。

10.根据权利要求7所述的计算机实施的方法，其还包括当与所述虚拟私有云网络的一个或多个其他网络主机进行通信时将所述客户端装置配置为使用端到端加密方案。

11.根据权利要求7所述的计算机实施的方法，其中向所述客户端装置提供通过所述基于无线电的网络对所述虚拟私有云网络的接入还包括以下中的至少一者：

使得所述客户端装置能够与所述虚拟私有云网络上的并通过所述基于无线电的网络连接的另一客户端装置进行通信；或者

使得所述客户端装置能够与所述虚拟私有云网络上的并通过所述云提供商网络而不是所述基于无线电的网络连接的计算资源进行通信。

12.根据权利要求7所述的计算机实施的方法，其中确定所述客户端装置被准许接入的所述虚拟私有云网络还包括：

至少部分地基于所述客户端装置的所述订户身份模块(SIM)或嵌入式SIM(eSIM)来识别所述客户端装置；以及

至少部分地基于所述SIM或eSIM来确定所述虚拟私有云网络。

13.一种计算机实施的方法，其包括：

接收来自在云提供商网络的虚拟私有云网络中执行的服务的网络流量；以及

经由基于无线电的网络中为所述虚拟私有云网络配置的网络切片将所述网络流量转发给连接到所述虚拟私有云网络的客户端装置，所述网络切片与一个或多个服务质量要求相关联。

14.根据权利要求13所述的计算机实施的方法，其还包括在所述云提供商网络的位于所述基于无线电的网络的小区站点处的提供商底层扩展中执行所述服务。

15.根据权利要求13所述的计算机实施的方法，其还包括以下中的至少一者：

提供所述虚拟私有云网络对所述基于无线电的网络内的所述网络流量的防火墙功能性；或

提供所述虚拟私有云网络上从所述服务到所述客户端装置的所述网络流量的端到端加密。