JP2013510506A - ネットワークを介する接続をセキュアにするためのオーバレイの利用方法及びシステム - Google Patents

ネットワークを介する接続をセキュアにするためのオーバレイの利用方法及びシステム Download PDF

Info

Publication number
JP2013510506A
JP2013510506A JP2012537921A JP2012537921A JP2013510506A JP 2013510506 A JP2013510506 A JP 2013510506A JP 2012537921 A JP2012537921 A JP 2012537921A JP 2012537921 A JP2012537921 A JP 2012537921A JP 2013510506 A JP2013510506 A JP 2013510506A
Authority
JP
Japan
Prior art keywords
virtual
address
endpoint
physical
endpoints
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012537921A
Other languages
English (en)
Inventor
アルハティーブ,ハサン
バンサル,ディーパク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2013510506A publication Critical patent/JP2013510506A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5084Providing for device mobility
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

仮想ネットワークオーバレイ(「オーバレイ」)を確立及び管理するためのコンピュータによる処理方法、システム、及び計算機記憶媒体が提供される。オーバレイが、データセンターとエンタープライズ・プライベート・ネットワークとの間にまたがり、サービスアプリケーションの、場所それぞれに常駐しているエンドポイントを含んでいる。データセンター及びエンタープライズ・プライベート・ネットワーク内に常駐しているサービスアプリケーションのエンドポイントは、物理IPアドレスでデータパケットによって到達可能である。サービスアプリケーションのエンドポイントに仮想IPアドレスそれぞれを割り当て、仮想IPアドレスと物理IPアドレスとの間の関連付けを維持することによって、サービスアプリケーションのエンドポイントの仮想プレゼンスがオーバレイ内にインスタンス化される。この関連付けが、オーバレイ内のエンドポイントの仮想プレゼンス間で交換される通信に基づいてデータパケットをサービスアプリケーションのエンドポイント間でルーティングすることを容易にする。その関連付けが、オーバレイ内のサービスアプリケーションのエンドポイント間の接続もセキュアにし、オーバレイ内に仮想プレゼンスを有していない別のエンドポイントからの通信をブロックする。
【選択図】図3

Description

本発明は計算機システムネットワークに関し、具体的には、仮想ネットワークオーバレイに関する。
[0001]大規模ネットワークシステムは、アプリケーションを実行すること並びにビジネスに関するデータ及び操作機能性を維持することに関する様々な設定に使用される共通プラットフォームである。例えば、データセンター(例えば、物理クラウドコンピューティング・インフラストラクチャ)は、(例えば、ウェブアプリケーション、電子メールサービス、検索エンジンサービスなど)様々なサービスを複数の顧客に同時に提供する。これらの大規模ネットワークシステムは、典型的に、データセンターの至るところに分散される大量のリソースを含んでいて、それぞれのリソースは、物理マシン又は物理ホスト上で実行する仮想マシンに共通する。データセンターが、複数のテナント(例えば顧客プログラム)をホスティングするとき、これらのリソースは、同一のデータセンターから異なるテナントへ最適に割り当てられる。
[0002]データセンターの顧客は、しばしば、データセンターのリソース上で実行されるソフトウェアと対話するために、プライベート・エンタープライズ・ネットワーク(例えば、データセンターから地理的にリモートにある顧客によって管理されているサーバー)において実行するビジネスアプリケーションを要求する。プライベート・エンタープライズ・ネットワークとリソースとの間のセキュア接続を提供することは、通常、データセンター内の物理的な分離を確立し、現在実行している別のテナントプログラムが、ビジネスアプリケーションにアクセスすることを制限することを含む。例えば、ホスティングサービスプロバイダーは、専用の物理ネットワークが、プライベート・エンタープライズ・ネットワークの拡張として設定されるように、データセンターから専用の物理ネットワークを切り分けし得る。しかしながら、データセンターは、特定の顧客に割り当てられたリソースの数が(例えば、プロセスの負荷に基づいて)動的に増加又は減少するように構築されているので、専用の物理ネットワークを切り分けし、リソースを個々の顧客に静的に割り当てることは経済上、実用的でない。
本発明の目的は、自動的に、仮想ネットワークオーバレイを確立及び管理するための方法、計算機システムを提供することである。
[0003]この「課題を解決するための手段」は、更に「発明を実施するための形態」に後述される概念を簡潔な形式で紹介するために提供される。この「課題を解決するための手段」は、請求項記載対象の重要な特徴も本質的な特徴も特定するように意図されておらず、請求項記載対象の範囲を決定するときの支援として使用されることも意図されていない。
[0004]本発明の実施形態は、物理ネットワーク上で実行される顧客のサービスアプリケーションのエンドポイント(endpoint)を分離するための機構を提供する。実施形態において、物理ネットワークは、顧客によって管理されるエンタープライズ・プライベート・ネットワーク内のリソースと、クラウドコンピューティング・プラットフォーム内部で供給されるデータセンター内の顧客に割り当てられた仮想マシンと、を含む。多くの場合、データセンターは、顧客のサービスアプリケーションを含む大量のテナントを同時にホスティングし得る。従って、セキュリティを目的とするために顧客のサービスアプリケーションのエンドポイントの分離が望まれていて、それは仮想ネットワークオーバレイ(「オーバレイ」)を確立することによって達成される。オーバレイは、データセンター内の誰が顧客のサービスアプリケーションのエンドポイントと通信可能か、その制約を適所に設定する。
[0005]一実施形態において、オーバレイは、データセンターとプライベート・エンタープライズ・ネットワークとの間にまたがり、それぞれの場所に常駐しているサービスアプリケーションのエンドポイントを含んでいる。例として、クラウドコンピューティング・プラットフォームのデータセンターに常駐している、第1の物理インターネットプロトコル(IP)アドレスによって到達可能な第1のエンドポイントがサービスアプリケーションのコンポーネントとして識別される。加えて、エンタープライズ・プライベート・ネットワークのリソースの1つに常駐している、第2の物理IPアドレスによって到達可能な第2のエンドポイントもサービスアプリケーションのコンポーネントとして識別される。第1及び第2のエンドポイントを識別すると、第1のエンドポイント及び第2のエンドポイントの仮想プレゼンス(virtual presence)がオーバレイ内部にインスタンス化される。例示的な実施形態において、インスタンス化は、第1のエンドポイントに第1の仮想IPアドレスを割り当てるステップと、第2のエンドポイントに第2の仮想IPアドレスを割り当てるステップと、物理IPアドレスと仮想IPアドレスとの間の関連付けを維持するステップと、を含む。この関連付けは、オーバレイ内の第1と第2のエンドポイントとの間において、それらの仮想プレゼンスの間で交換される通信に基づいてパケットをルーティングすることを容易にする。
[0006]更に、この関連付けは、別のアプリケーションのエンドポイントが、オーバレイにインスタンス化されたエンドポイントと通信できないようにする。しかしながら、場合によっては、別のアプリケーションのエンドポイントの除外は個々のオーバレイ間の連合を不可能にしない。例として、個別のオーバレイに常駐しているエンドポイント又は別のリソースは、確立された場合、ゲートウェイを介し相互に通信し得る。ゲートウェイの確立は、より完全に後述されるアクセスコントロールポリシーによって制御され得る。
[0007]更になおオーバレイは、データセンターからリモートにあるネットワーク(例えば、プライベート・エンタープライズ・ネットワーク)に常駐しているエンドポイントをデータセンター内のエンドポイントに対し可視化し、リモートのエンドポイント及びデータセンターのエンドポイントが、インターネットプロトコル(IP)レベルのピアとして通信できるようにする。したがって、オーバレイは、データセンター内の専用の物理ネットワークを切り分けたとき、内在する(前述した)欠点を大幅に減らすと同時にエンタープライズ・プライベート・ネットワークとデータセンターのエンドポイントとの間のセキュアかつシームレスな関係を可能にする。すなわち、一実施形態において、エンドポイント及び別のリソースは地理的に分散され得、別個のプライベート・ネットワークに常駐し得るが、エンドポイント及び別のリソースは、あたかもそれらが単一のネットワーク上に存在するように見え、あたかもそれらが単一のプライベート・ネットワーク上に常駐しているような通信を可能にする。
[0008]添付の図面を参照して本発明の実施形態を詳細に後述する。
[0009]本発明の実施形態の実装に使用する適切な例示的計算環境のブロック図である。 [0010]本発明の実施形態の実装に使用する適切なデータセンター内の仮想マシンを割り当てるように構成された例示的クラウドコンピューティング・プラットフォームを示すブロック図である。 [0011]本発明の実施形態に従って確立される仮想ネットワークオーバレイを有する例示的な分散計算環境のブロック図である。 [0012]本発明の実施形態による仮想ネットワークオーバレイ内部のセキュア接続の概略図である。 [0013]本発明の実施形態に従って確立される仮想ネットワークオーバレイを有する例示的な分散計算環境のブロック図である。 [0013]本発明の実施形態に従って確立される仮想ネットワークオーバレイを有する例示的な分散計算環境のブロック図である。 [0013]本発明の実施形態に従って確立される仮想ネットワークオーバレイを有する例示的な分散計算環境のブロック図である。 [0014]本発明の実施形態による複数の物理インターネットプロトコル(IP)アドレスの重複したレンジ及び仮想IPアドレスの重複していないレンジに関する概要図である。 [0015]本発明の実施形態による仮想ネットワークオーバレイを介し、物理ネットワーク内の異なる場所に常駐している複数のエンドポイント間において通信するための方法を示す流れ図である。 [0016]本発明の実施形態による仮想ネットワークオーバレイを介し、発信元のエンドポイントと送信先のエンドポイントとの間の通信を容易にするための方法を示す流れ図である。
[0017]本発明の実施形態の対象項目が、本明細書において法的要件を満たすように特異性とともに記載される。しかしながら、本記載自身は、この特許の範囲を限定するように意図されていない。むしろ本発明者は、請求項記載対象が、現在又は将来のその他の技術に関連し、この明細書に記載されたものと異なるステップ又は類似したステップの組み合わせを含む別の方法で具体化され得ることも想定している。更に、用語「ステップ」及び/又は「ブロック」が、使用した方法の異なるエレメントを内包するように本明細書に使用され得るが、個別のステップの順番が明示的に記載されていない場合、及び記載されているとき以外は、その用語が本明細書に開示した様々なステップ内又はステップ間の特定の順番のいずれも包含しているように解釈してはいけない。
[0018]本発明の実施形態は、自動的に、仮想ネットワークオーバレイ(「オーバレイ」)を確立及び管理するための方法、計算機システム、及び計算機可読媒体に関連する。一態様において、本発明の実施形態は、計算機が実行可能な具体化された命令を有する1つ以上の計算機可読媒体に関連していて、それが実行されるとき、物理ネットワーク内の異なる場所に常駐している複数のエンドポイントの間の仮想ネットワークオーバレイを介し通信するための方法を実行する。一例において、本方法は、クラウドコンピューティング・プラットフォームのデータセンターに常駐している第1のエンドポイントを識別することと、エンタープライズ・プライベート・ネットワークのリソースに常駐している第2のエンドポイントを識別することと、を含む。典型的に、第1のエンドポイントは、第1の物理インターネットプロトコル(IP)アドレスのデータのパケットによって到達可能であって、第2のエンドポイントは、第2の物理IPアドレスのデータのパケットによって到達可能である。
[0019]本方法は更に、サービスアプリケーションのために確立された仮想ネットワークオーバレイ内の第1のエンドポイント及び第2のエンドポイントの仮想プレゼンスをインスタンス化することを含み得る。例示的な実施形態において、インスタンス化のステップは、(a)第1のエンドポイントに第1の仮想IPアドレスを割り当てるステップと、(b)第1の物理IPアドレスと第1の仮想IPアドレスとの間の関連付けをマップに維持するステップと、(c)第2のエンドポイントに第2の仮想IPアドレスを割り当てるステップと、(d)第2の物理IPアドレスと第2の仮想IPアドレスとの間の関連付けをマップに維持するステップと、のうち1つ以上のステップを含む。作動中、マップは、仮想ネットワークオーバレイ内の仮想プレゼンス間に交換される通信に基づいて第1のエンドポイントと第2のエンドポイントとの間にパケットをルーティングするために利用され得る。例示的な実施形態において、第1のエンドポイント及び/又は第2のエンドポイントがインスタンス化の先駆けとして認証され得、それらがオーバレイへの加入が認可されることを保証し得る。したがって、オーバレイは、サービスアプリケーションの実行中、サービスアプリケーションの一部でないエンドポイントを除外し、高度なセキュリティ水準を維持するためのツールを供給される。これらの認証ツールの特定の実施形態は、より完全に後述される。
[0020]別の態様において、本発明の実施形態は、物理ネットワークに常駐している候補エンドポイントの仮想プレゼンスを仮想ネットワークオーバレイにインスタンス化するための計算機システムに関連する。初めに計算機システムは、少なくともデータセンター及びホスティングネームサーバーを含む。実施形態において、データセンターがクラウドコンピューティング・プラットフォーム内に位置付けられ、候補エンドポイントをホスティングするように構成される。前述した候補エンドポイントは、多くの場合、それに割り当てられた物理IPアドレスを有している。ホスティングネームサーバーは、仮想ネットワークオーバレイに割り当てられた様々な仮想的IPアドレスを識別するように構成される。レンジを識別すると、ホスティングネームサーバーは、レンジから選択される仮想IPアドレスを候補エンドポイントに割り当てる。マップは、計算機システム内のホスティングネームサーバー又は別の任意の計算装置によって維持され得、候補エンドポイントの物理IPアドレスと関連して割り当てられた仮想IPアドレスを維持している。
[0021]更に別の態様において、本発明の実施形態は、仮想ネットワークオーバレイを介した発信元のエンドポイントと送信先のエンドポイントとの間の通信を容易にするための電子化方法に関連する。一実施形態において、本方法は、マップ内の発信元の物理IPアドレスと発信元の仮想IPアドレスを結び付けることと、マップ内の送信先の物理IPアドレスと送信先の仮想IPアドレスを結び付けることと、を含む。典型的に、発信元の物理IPアドレスは、クラウドコンピューティング・プラットフォームのデータセンター内の発信元のエンドポイントの場所を示しているが一方、送信先の物理IPアドレスは、エンタープライズ・プライベート・ネットワークのリソース内の送信先のエンドポイントの場所を示している。本方法は更に、仮想ネットワークオーバレイを利用し、発信元のエンドポイントから送信先のエンドポイントへパケットを送信することを含み得る。一般に、発信元の仮想IPアドレス及び送信先の仮想IPアドレスは、仮想ネットワークオーバレイ内の発信元のエンドポイント及び送信先のエンドポイントの仮想プレゼンスをそれぞれ示している。例示的な実施形態において、パケットを送信するステップは、(a)送信先の仮想IPアドレスへ送信されるように指定されているパケットを識別するステップと、(b)送信先の仮想IPアドレスから送信先の物理IPアドレスへの指定を調整するためにマップを使用するステップと、(c)送信先の物理IPアドレスに基づいて、リソース内の送信先のエンドポイントへパケットをルーティングするステップと、のうち1つ以上のステップを含んでいる。
[0022]本発明の実施形態の概要を簡潔に記載したので、本発明の実施形態を実装する適切な例示的な動作環境を後述する。
[0023]最初に、一般的な図面である図1を参照すると、特に本発明の実施形態を実装するための一般的な計算装置(100)のような例示的な動作環境が示され、指定されている。計算装置(100)は、適切な計算環境の一例に過ぎず、本発明の実施形態の使用又は機能の範囲に関し、いかなる制限も提案することを意図していない。例示したコンポーネントの任意の1つ又は組み合わせに関連するいかなる依存性も必要性も有するように計算環境(100)を解釈してはいけない。
[0024]本発明の実施形態は、計算機又は携帯情報端末、又は他の携帯装置のような他のマシンによって実行されるプログラムコンポーネントのような計算機が実行可能な命令を含むコンピュータープログラム又は計算機が利用可能な命令の一般的な文脈で記載されている。通常、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含むプログラムコンポーネントは、特定のタスクを実行するプログラム、又は特定の抽象データ型を実装しているプログラムを参照している。本発明の実施形態は、携帯装置、家電、汎用計算装置、専用計算装置などを含む様々なシステム構成で実行され得る。本発明の実施形態は、タスクが通信ネットワークを介しリンクされるリモート演算処理装置によって実行される分散計算環境においても実施され得る。
[0025]続けて図1を参照すると、計算装置(100)は、メモリー(112)、1つ以上のプロセッサー(114)、1つ以上の表示コンポーネント(116)、入力/出力(I/O)ポート(118)、I/Oコンポーネント(120)、及び例示的電源(122)装置、直接的又は間接的に接続しているバス(110)を含む。バス(110)は、(アドレスバス、データバス、又はその組み合わせなど)1つ以上のバスであり得ることを示している。明瞭にするために、図1の様々なブロックは実線で表示されているが、実際に様々なコンポーネントを図で表わすことはそれほど明確ではなく、線はより正確には比喩的に、灰色であって曖昧であろう。例えば、表示装置のような表示コンポーネントがI/Oコンポーネントであると考え得る。プロセッサーもメモリーを有する。本明細書の発明者は、上記が技術の原始的であって、図1の図が、本発明の1つ以上の実施形態に関連し使用され得る例示的な計算装置の単なる例示を繰り返していることを認識していている。すべてが図1の範囲内であって「計算機」又は「計算装置」の参照として想定されているので「ワークステーション」、「サーバー」、「ラップトップ」、「携帯装置」など、そのようなカテゴリー間において区別がなされない。
[0026]計算装置(100)は、典型的に、様々な計算機可読媒体を含む。例として、限定しない計算機可読媒体は、ランダムアクセスメモリー(RAM)、読み出し専用メモリー(ROM)、電気的消却・プログラム可能型読み出し専用メモリー(EEPROM)、フラッシュメモリー又はその他のメモリー技術、CDROM、デジタル多用途ディスク(DVD)又はその他の光学式又はホログラフィック式媒体、磁気カセット、磁気テープ、ディスク記憶装置、又はその他の磁気記憶装置、又は所望した情報を符号化するために使用され得、計算装置(100)からアクセスされ得るその他の任意の媒体を含み得る。
[0027]メモリー(112)は、揮発性及び/又は不揮発性メモリー形式の計算機記憶媒体を含む。メモリーは、取り外し可能、取り外し不可能、又はその組み合わせがあり得る。例示的なハードウェアデバイスは、ソリッドステートメモリー、ハードドライブ、光学式ディスクドライブなどを含む。計算装置(100)は、メモリー(112)又はI/Oコンポーネント(120)のような様々なエンティティからデータを読み出す1つ以上のプロセッサーを含む。表示コンポーネント(単数又は複数)(116)は、ユーザー又は別の装置に対するデータの指標を表している。例示的な表示コンポーネントは、ディスプレイ装置、スピーカー、印刷コンポーネント、バイブレーションコンポーネントなどを含む。I/Oポート(118)は、計算装置(100)が、I/Oコンポーネント(120)を含み、中にはそれを内蔵され得るものもある別の装置と論理接続されるようにする。例示的なコンポーネントは、マイクロフォン、ジョイスティック、ゲームパッド、衛星放送受信アンテナ、スキャナー、プリンター、無線装置などを含む。
[0028]図1及び図2を参照して、第1の計算装置(255)及び/又は第2の計算装置(265)は、図1の例示的な計算装置(100)によって実装され得る。更に、エンドポイント(201)及び/又はエンドポイント(202)は、図1のメモリー(112)の一部及び/又は図1のプロセッサー(114)の一部を含み得る。
[0029]ここで図2に移ると、本発明の実施形態による、データセンター(225)内においてサービスアプリケーションが使用する仮想マシン(270)及び(275)を割り当てるように構成された例示的なクラウドコンピューティング・プラットフォーム(200)を示すブロック図が例示されている。図2に示したクラウドコンピューティング・プラットフォーム(200)は、適切な一計算システム環境の例に過ぎず、本発明の実施形態の利用範囲又は機能範囲に関し、いかなる限定も提案するように意図していないことを評価され、十分に理解されよう。例えば、クラウドコンピューティング・プラットフォーム(200)は、パブリッククラウド、プライベートクラウド、又は専用クラウドであり得る。本明細書に例示した単一の任意のコンポーネント又はコンポーネントの組み合わせに関連し、クラウドコンピューティング・プラットフォーム(200)が、いかなる依存性も必要性も有しているように解釈してはいけない。更に、明瞭にするために図2の様々なブロックが実線で表示されているが、実際に様々なコンポーネントを図で表わすことはそれほど明確ではなく、線はより正確には比喩的に灰色であって曖昧であろう。加えて、本発明の実施形態の範囲内において所望の機能性を達成するための物理マシン、仮想マシン、データセンター、エンドポイント、又はその組み合わせがいくつも使用され得る。
[0030]クラウドコンピューティング・プラットフォーム(200)は、特定のサービスアプリケーションのエンドポイント(201)及びエンドポイント(202)の動作をホスティングし、支援するように構成されたデータセンター(225)を含む。本明細書に使用した語句「サービスアプリケーション」は、データセンター(225)内の記憶場所の最上部で実行するか又はそれにアクセスする任意のソフトウェア又はソフトウェアの一部を広範に参照している。一実施形態において、1つ以上のエンドポイント(201)及びエンドポイント(202)は、サービスアプリケーションに参加するソフトウェア、コンポーネントプログラム、又はロールのインスタンスの一部を示し得る。別の実施形態において、1つ以上のエンドポイント(201)及びエンドポイント(202)は、サービスアプリケーションにアクセス可能な格納データを表し得る。図2に示したエンドポイント(201)及びエンドポイント(202)は、サービスアプリケーションを支援するための適切な部品の例に過ぎず、本発明の実施形態の利用範囲又は機能範囲に関し、いかなる制限も提案するように意図していないことを評価され、十分に理解されよう。
[0031]通常、要求(例えば、処理負荷量)に基づいて、サービスアプリケーション上に配置される仮想マシン(270)及び(275)がサービスアプリケーションのエンドポイント(201)及び(202)に割り当てられる。本明細書に使用した語句「仮想マシン」は、限定を意味しておらず、処理装置によって実行されるエンドポイント(201)及び(202)の機能性の基礎にある任意のソフトウェア、アプリケーション、オペレーティングシステム、又はプログラムを参照し得る。更に、仮想マシン(270)及び(275)は、データセンター(225)内のエンドポイント(201)及び(202)を適切に支援するための処理能力、記憶場所、及びその他の資産を含み得る。
[0032]作動中、仮想マシン(270)及び(275)が、データセンター(225)のリソース(例えば、第1の計算装置(255)及び第2の計算装置(265))内に動的に割り当てられ、エンドポイント(例えば、エンドポイント(201)及び(202))が、割り当てられた仮想マシン(270)及び(275)上に現在のプロセス負荷の条件を満たすように動的に配置される。一例において、ファブリック・コントローラー(210)は、仮想マシン(270)及び(275)を自動的に割り当てることに関与し、データセンター(225)内にエンドポイント(201)及び(202)を配置することに関与する。例として、ファブリック・コントローラー(210)は、(例えば、サービスアプリケーションを所有している顧客によって設計される)サービスモデルに従い得、いつ、どのように、仮想マシン(270)及び(275)を割り当て、エンドポイント(201)及び(202)を配置するかに関する誘導を提供する。
[0033]前述したように、仮想マシン(270)及び(275)が、第1の計算装置(255)及び第2計算装置(265)内部に動的に割り当てられ得る。本発明の実施形態ごとに、計算装置(255)及び(265)は、例えば、パーソナルコンピューター、デスクトップコンピューター、ラップトップコンピューター、携帯装置、コンシューマー電子機器、サーバー(単数又は複数)、図1の計算装置(100)など、そのようないくつかの計算装置の形式を示す。一例において、計算装置(255)及び(265)は、仮想マシン(270)及び(275)の動作をホスティングして支援するが一方、同時にデータセンター(225)の別のテナントを支援するために切り分けされた別の仮想マシンをホスティングし、そこではテナントが、異なる顧客によって所有されている別のサービスアプリケーションのエンドポイントを含んでいる。
[0034]一態様において、エンドポイント(201)及び(202)が、クラウドコンピューティング・プラットフォーム(200)の文脈で作動し、従って、仮想マシン(270)及び(275)の間に動的に生成される接続を介し内部で通信し、リモートネットワークのリソース(例えば、図3のエンタープライズ・プライベート・ネットワーク(325)のリソース(375))と物理ネットワークトポロジーを介し外部から通信する。内部の接続は、(図示されていない)ネットワーククラウドを介し、データセンター(225)の物理リソースを横断し分散された仮想マシン(270)及び(275)と相互に接続することを含み得る。ネットワーククラウドがこれらのリソースを相互に接続し、エンドポイント(201)が、エンドポイント(202)及びその他のエンドポイントの間の通信を確立するためにそれらの場所を認識し得る。加えて、ネットワーククラウドは、サービスアプリケーションのエンドポイント(201)及び(202)と接続するチャネルを介し、この通信を確立し得る。例として、チャネルは、限定しない1つ以上のローカルエリアネットワーク(LAN)及び/又は広域ネットワーク(WAN)を含み得る。上記のネットワーク環境は、オフィスにおいてはエンタープライズ・コンピューターネットワーク、イントラネット、及びインターネットが一般的である。したがって、本明細書にネットワークを更に記載しない。
[0035]ここで図3に移ると、本発明の実施形態によって確立される仮想ネットワークオーバレイ(330)を有する例示的な分散計算環境(300)を示したブロック図が表示されている。初めに、分散計算環境(300)は、図2を参照して論述したエンタープライズ・プライベート・ネットワーク(325)及びクラウドコンピューティング・プラットフォーム(200)を含んでいるホスティングネームサーバー(310)及び物理ネットワーク(380)を含む。本明細書に使用した語句「物理ネットワーク」は、限定を意味していないが、地理的にリモートの場所にあるエンドポイント間の通信を容易にする(例えば、ファイバー線、サーキットボックス、スイッチ、アンテナ、IPルーターなど)実体のある機構及び機器並びに実体のない通信及び搬送波を包含し得る。例として、物理ネットワーク(380)は、インターネット内部で利用されるか又は異種ネットワーク間の通信を促進するために利用可能な任意の有線又は無線技術を含み得る。
[0036]通常、エンタープライズ・プライベート・ネットワーク(325)は、クラウドコンピューティング・プラットフォーム(200)の顧客によって管理されるリソース(375)のようなリソースを含む。しばしば、これらのリソースが、顧客によって所有されているサービスアプリケーションのコンポーネントの動作をホスティングし、支援する。エンドポイントB(385)は、サービスアプリケーションの1つ以上のコンポーネントを表している。実施形態において、図2の上記仮想マシン(270)のリソースは、リモートに分散されたサービスアプリケーションのコンポーネントの動作をホスティングし、支援するために図2のデータセンター(225)内に割り当てられる。エンドポイントA(395)は、リモートに分散されたこれらの1つ以上のサービスアプリケーションのコンポーネントを表している。作動中、エンドポイントA(395)及びB(385)は、サービスアプリケーションが適切に実行していることを保証するために相互に協力し作業する。一例において、相互に協力した作業は、物理ネットワーク(380)のネットワーク(315)を介したエンドポイントA(395)とB(385)との間のデータのパケット(316)の送信を含む。
[0037]典型的に、リソース(375)、ホスティングネームサーバー(310)、及びデータセンター(225)は、エンドポイント(単数又は複数)及び/又はその上で実行するコンポーネント(単数又は複数)の動作を支援するための計算装置(例えば、中央演算処理装置、マイクロプロセッサーなど)の形式いくつかを含むか又は接続される。本明細書に利用した語句「計算装置」は通常、1つ以上のオペレーティングシステム又はその他の基本ソフトウェアを支援する処理能力及び記憶装置を有する専用の計算装置を参照している。一例において、計算装置は、それぞれの装置が様々な処理及び動作を実行できるようにするリソース(375)、ホスティングネームサーバー(310)、及びデータセンター(225)と統合又は動作可能に接続された実体のあるハードウェアエレメント又はマシンを用いて構成されている。別の例において、計算装置は、リソース(375)、ホスティングネームサーバー(310)、及びデータセンター(225)それぞれに適応した計算機可読媒体に接続される(図示されていない)プロセッサーを包含し得る。通常、計算機可読媒体は、プロセッサーによって実行可能な複数の計算機ソフトウェアコンポーネント(例えば、エンドポイントA(395)及びB(385))を少なくとも一時的にストアする。本明細書に利用した用語「プロセッサー」は、限定を意味していない、計算機の能力内で作用する計算装置の任意のエレメントを包含し得る。この能力のプロセッサーは、命令を処理する実体のある項目として構成され得る。例示的な実施形態において、処理は、命令をフェッチし、復号化/解釈し、実行し、書き戻すステップを含み得る。
[0038]仮想ネットワークオーバレイ(330)(「オーバレイ(330)」)は、典型的に、サービスアプリケーションのエンドポイント間の通信を促進し、保証するためのエンドポイントA(395)及びB(385)を含むサービスアプリケーションのような単一のサービスアプリケーションに対し確立される。通常、オーバレイ(330)は、物理IPアドレスの代わりに仮想IPアドレスのレイヤを示していて、サービスアプリケーションのエンドポイントを仮想的に示し、セキュアな方法で仮想表現を接続している。別の実施形態において、オーバレイ(330)は、サービスアプリケーションを制御する顧客に割り当てられるリソースを含んでいる物理ネットワーク(380)の最上位に構築される仮想ネットワークである。作動中、オーバレイ(330)は、相互に接続されたエンドポイントA(395)及びB(385)の1つ以上の論理的な関連付けを維持していて、(例えば、物理的な輸送を使用し)物理ネットワークの到達可能性を達成するために要求されるエンドポイントA(395)及びB(385)に関連するアクセスコントロール/セキュリティを実行する。
[0039]ここで図3を参照してオーバレイ(330)の確立を論述する。初めに、クラウドコンピューティング・プラットフォーム(200)のデータセンター(225)に常駐しているエンドポイントA(395)が、特定のサービスアプリケーションのコンポーネントとして識別される。エンドポイントA(395)は、物理ネットワーク(380)のネットワーク(315)を介し第1の物理IPアドレスにて到達可能である。エンドポイントA(395)は、オーバレイ(330)の中に組み込まれたとき、オーバレイ(330)内における、エンドポイントA(395)の仮想プレゼンスA’(331)を位置付ける第1の仮想IPアドレスを割り当てられる。第1の物理IPアドレスと第1の仮想IPアドレスとが結び付けられ得、マップ(320)内部に維持され得る。
[0040]加えて、エンタープライズ・プライベート・ネットワーク(325)のリソース(375)に常駐しているエンドポイントB(385)が、特定のサービスアプリケーションのコンポーネントによって識別され得る。エンドポイントB(385)は、物理ネットワーク(380)のネットワーク(315)を介し第2の物理IPアドレスにて到達可能である。エンドポイントB(385)は、オーバレイ(330)の中に組み込まれたとき、オーバレイ(330)内における、エンドポイントB(385)の仮想プレゼンスB’(332)を位置付ける第2の仮想IPアドレスを割り当てられる。第2の物理IPアドレスと第2の仮想IPアドレスとが結び付けられ得、マップ(320)内部に維持され得る。本明細書に使用した用語「マップ」は、限定を意味していないが、別の値と関連した値を書き出し及び/又は持続するための任意の機構を含み得る。例として、マップ(320)は単に、別のアドレスエントリーと関連し、ストアされたアドレスエントリーを記録するテーブルを参照し得る。示したようにマップは、ホスティングネームサーバー(310)上に維持され、それによってアクセスされ得る。代替として、マップ(320)は、物理ネットワーク(380)と接続されるか又はそれによって到達可能な任意の計算装置に位置付けられ得、図3に示した単一の例に制限されない。作動中、かくしてマップ(320)は、オーバレイ(330)内の仮想プレゼンスA’(331)とB’(332)との間において交換される通信に基づいて、エンドポイントA(395)とB(385)との間にパケット(316)をルーティングするために利用される。例としてマップ(320)は、クライアントエージェントA(340)が、オーバレイ(330)を介しエンドポイントA(395)への伝達を検出する、クライアントエージェントA(395)が、検出時、通信を発した仮想IPアドレスから物理IPアドレスを翻訳するためにマップ(320)にアクセスする、物理IPアドレスに対応して向かわせることによって通信に対する応答を提供する、以上の方法で利用される。
[0041]実施形態において、ホスティングネームサーバー(310)は、エンドポイントA(395)及びB(385)の仮想プレゼンスA’(331)及びB’(332)をインスタンス化するとき、仮想IPアドレスを割り当てることに関与する。インスタンス化のプロセスは更に、オーバレイ(330)の機能性を利用可能にする様々な仮想IPアドレスをオーバレイ(330)に割り当てることを含む。例示的な実施形態において、仮想IPアドレスのレンジは、エンタープライズ・プライベート・ネットワーク(325)又はクラウドコンピューティングネットワーク(200)のどちらか一方のアドレス空間と競合も交わりもしないアドレス空間を含む。特に、オーバレイ(330)に割り当てられた仮想IPアドレスのレンジは、エンドポイントA(395)及びB(385)の第1及び第2の物理IPアドレスにそれぞれ一致するアドレスを含まない。図8を参照して仮想IPアドレスのレンジの選択をより完全に後述する。
[0042]仮想IPアドレスのレンジを選択するとき、インスタンス化のプロセスは、サービスアプリケーションのコンポーネントとして使用されるエンドポイントのグループのメンバーとしてエンドポイントA(395)及びB(385)を加入させることを含む。典型的に、マップ(320)内のサービスアプリケーションと関連付けられたエンドポイントのグループのメンバーすべてが識別され得る。一例において、エンドポイントA(395)及びB(385)は、その動作を支援する追加のコンポーネントをリクエストする、サービスアプリケーション上のエンドポイントのグループのメンバーとして加入される。別の例において、加入は、サービスアプリケーションに関連付けられたサービスモデルを検査することと、サービスモデルに従ってクラウドコンピューティング・プラットフォーム(200)のデータセンター(225)内部の仮想マシン(270)に割り当てることと、仮想マシン(270)上のエンドポイントA(395)を使用することと、を含み得る。実施形態において、サービスモデルは、データセンター(225)内のどの仮想マシンが、サービスアプリケーションの動作を支援するために割り当てられるか管理している。更に、サービスモデルは、クラウドコンピューティング・プラットフォーム(200)に常駐しているサービスアプリケーションのエンドポイントを管理するための命令を提供するインターフェースの青写真として作用し得る。
[0043]一旦、インスタンス化されると、エンドポイントA(395)及びB(385)の仮想プレゼンスA’(331)及びB’(332)は、オーバレイ(330)内のセキュア接続(335)を介し通信し得る。ここで図4を参照してこのセキュア接続(335)を論述する。図4は、示したような本発明の実施形態によるオーバレイ(330)内のセキュア接続(335)の概要図である。初めに、エンドポイントA(395)が、図3のオーバレイ(330)内の物理IPアドレスIP(410)及び仮想IPアドレスIPA’(405)と関連付けられる。物理IPアドレスIP(410)は、物理ネットワークトポロジーの中のチャネル(415)を介し到達可能である。対照的に仮想IPアドレスIPA’(405)は、エンドポイントB(385)に関連付けられた仮想IPアドレスIPB’(425)へセキュア接続(335)を介し伝達する。加えて、エンドポイントB(385)が、物理IPアドレスIP(430)と関連付けられる。物理IPアドレスIP(430)は、物理ネットワークトポロジーの中のチャネル(420)を介し到達可能である。
[0044]作動中、オーバレイ(330)は、仮想IPアドレスIPa’(405)から仮想IPアドレスIPB’(425)へのセキュア接続(335)を介し、エンドポイントA(395)とB(385)との間の完全な接続を可能にする。実施形態において「完全な接続」は、通常、エンドポイント及びその他のリソースが、地理的に分散され得、別個のプライベート・ネットワークに常駐し得るときでも、まるでそれらが単一のネットワークにあるようにエンドポイント及びその他のリソースを表すことと、それらを通信可能であることと、を参照している。
[0045]更に、オーバレイ(330)は、エンドポイントA(395)と、B(385)と、及びサービスアプリケーションに関連付けられたエンドポイントの別のグループのメンバーと、の間の完全な接続を可能にする。例として、完全な接続は、グループのエンドポイントが、まるでデータセンターから切り分けされたそれら自身の専用物理ネットワークを供与されたようにピアツーピア関係の対話ができるようにする。したがって、セキュア接続(335)は、異なるネットワークを介し分散されたとき、グループ内のエンドポイントが、IPサブネットと相互に接続されているように見えるシームレスなIPレベルの接続性をサービスアプリケーションのエンドポイントのグループに提供する。このように、IPベースのサービスアプリケーションは、レガシーに対する修正をせずに、これらのサービスアプリケーションが異なるネットワークを介し通信できるようにすることが必要である。
[0046]加えて、オーバレイ(330)は、サービスアプリケーションのメンバーであるエンドポイントのグループ周辺のその場その場の境界としての役割を果たす。例えば、オーバレイ(330)は、仮想IPアドレスIPA’(405)と仮想IPアドレスIPB’(425)との間のセキュア接続(335)のようなエンドポイントのグループの仮想IPアドレス間のセキュア関係を生成する。これらのセキュア接続は、マップ(320)によって実行され、グループのエンドポイントが、メンバーとして供給されない場合、物理ネットワークの別のものによって到達不可能なことを保証する。例として、グループの仮想IPアドレス間の関係をセキュアにすることは、オーバレイ(330)を介した通信を送信又は受信するとき、エンドポイントを認証することを含む。エンドポイントの物理IPアドレス又は別の指標をチェックすることによる認証は、サービスアプリケーションの一部として事前認証されたそれらエンドポイントだけが、オーバレイ(330)上の通信を送信又は受信可能なことを保証する。オーバレイ(330)を介した通信の送信又は受信を試みているエンドポイントが、それを実行することを事前認証されない場合、認証されないエンドポイントは、グループのそれらのエンドポイントによって到達可能でない。
[0047]図3に戻って、ここでクライアントエージェントA(340)及びクライアントエージェントB(350)を参照してエンドポイントA(395)とB(385)との間の通信を論述する。初めに、クライアントエージェントA(340)が仮想マシン(270)上にインストールされるが一方、クライアントエージェントB(350)がリソース(375)上にインストールされる。例として、クライアントエージェントA(340)は、データセンター(225)内の物理プロセッサーのような特定のマシン上のネットワークプロトコルスタックに位置し得る。この例において、クライアントエージェントA(340)は、エンドポイントA(395)から通信を受信し、それに送信することを容易にするためのネットワークプロトコルスタックにインストールされているアプリケーションである。
[0048]作動中、クライアントエージェントA(340)及びB(350)は、サービスアプリケーションに参加しているエンドポイントの身元及びアドレスにアクセスするためにホスティングネームサーバー(310)と交渉する。例えば、オーバレイ(330)内の仮想プレゼンスB’(332)とセキュア接続(335)を介し通信を送信するエンドポイントA(395)上でクライアントエージェントA(340)は、マップ(320)から仮想プレゼンスB’(332)の物理IPアドレスをリトリーブするためにホスティングネームサーバー(310)と連携する。典型的に、マップ(320)内にはエンドポイントB(385)の物理IPアドレスと対応する仮想プレゼンスB’(332)の仮想IPアドレスとの間の1対1のマッピングが存在する。別の実施形態において、単一のエンドポイントが複数の仮想プレゼンスを有し得る。
[0049]一旦、エンドポイントB(385)の物理IPアドレスが、クライアントエージェントA(340)によって達成される(ホスティングネームサーバー(310)からアドレスの決定を取得する)と、クライアントエージェントA(340)は、パケット(316)をエンドポイントB(385)の物理IPアドレスへ伝達するように1つ以上の輸送技術に自動的に命令する。これらの輸送技術は、仮想マシン(270)において使用されるドライバー、仮想プライベート・ネットワーク(VPN)、インターネットリレー、又は物理ネットワーク(380)のネットワーク(315)を介しエンドポイントB(385)の物理IPアドレスへパケット(316)を送信可能な別の任意の機構も含み得る。したがって、クライアントエージェントA(340)及びB(350)によって使用される輸送技術は、セキュア接続(335)を介し送信された通信のIP−レベルのピアツーピアのセマンティクスを解釈し得、これらの通信に基づいて発信元のエンドポイント(例えばエンドポイントA(395))から送信先のエンドポイント(例えばエンドポイントB(385))へ発するパケットストリームを導き得る。物理IPアドレスが、物理ネットワーク(380)内のエンドポイントB(385)を位置付けるための手段として記載されているが、エンタープライズ・プライベート・ネットワーク(325)のエンドポイントB(385)を位置付ける適切な別のタイプの指標又は物理IPパラメータが使用され得、本発明の実施形態が、本明細書に記載したこれらの物理IPアドレスに限定しないことを理解し、評価されたい。
[0050]別の実施形態において、輸送機構は、ネットワークアドレス変換(NAT)装置として具体化される。初めに、NAT装置は、1つ以上のエンドポイントが常駐しているネットワークの境界に常駐する。NAT装置は、通常、これらのエンドポイントの仮想IPアドレスを別のネットワークに常駐している別のグループのエンドポイントに提示するように構成される。図3を参照して、作動中、NAT装置は、エンドポイントA(395)がエンドポイントB(385)へ情報の伝達を試みるとき、仮想プレゼンスB’(332)の仮想IPアドレスをエンドポイントA(395)に提示する。この時点で仮想プレゼンスA’(331)は、アドレス指定したパケットストリームを仮想プレゼンスB’(332)の仮想IPアドレスへ送信し得る。NAT装置は、ストリーミングパケットを受信し、そのヘッダーを仮想プレゼンスB’(332)の仮想IPアドレスから物理IPアドレスへ変更する。その後、NAT装置は、更新されたヘッダーを有するストリーミングパケットをエンタープライズ・プライベート・ネットワーク(325)内のエンドポイントB(385)へ転送する。
[0051]前述したエンドポイント間の基本的なネットワーク接続を確立するためにNAT装置を利用するか又はその代わりにマップ(320)と連携するこの実施形態は、マップ(320)を支援するか又は置換する異なる機構の例を示しているがしかし、本明細書に記載した本発明の例示的な実施形態を実装することを要求しない。
[0052]更に別の輸送機構の実施形態において、エンドポイントA(395)とB(385)との間の到達可能性が、パブリックインターネットに常駐しているランデブーポイントを介しネットワークの境界を横断して確立され得る。「ランデブーポイント」は、通常、エンタープライズ・プライベート・ネットワーク(325)のリソース(375)とクラウドコンピューティング・プラットフォーム(200)のデータセンター(225)との間の仮想ルーティングブリッジとして作用する。この実施形態において、仮想ルーティングブリッジを介した接続は、パケット(316)を物理ネットワーク(380)内の適切な送信先へ送信するためのランデブーポイントが備わるように、マップ(320)に対するアクセスをランデブーポイントに提供することを含む。
[0053]実施形態において、ポリシーが顧客によって提供され得、サービスアプリケーションが顧客によって所有され得、又はサービスモデルがサービスアプリケーションに関連付けられ得る。ここで図5を参照してこれらのポリシーを論述する。通常、図5は、本明細書において確立されたオーバレイ(330)を有する本発明の実施形態による例示的な分散計算環境(500)のブロック図を表している。
[0054]オーバレイ(330)内には3つの仮想プレゼンスA’(331)、B’(332)、及びX’(333)がある。前述したように仮想プレゼンスA’(331)は、オーバレイ(330)上にインスタンス化されたエンドポイントA(395)の表現であるが一方、仮想プレゼンスB’(332)は、オーバレイ(330)上にインスタンス化されたエンドポイントB(385)の表現である。仮想プレゼンスX’は、オーバレイ(330)上にインスタンス化されたエンドポイントX(595)の表現であって、データセンター(225)によってホスティング、支援される仮想マシン(570)に常駐している。一実施形態において、エンドポイントX(595)は、最近、サービスアプリケーションに関連付けられたエンドポイントのグループに加入されている。エンドポイントX(595)は、サービスアプリケーションからのリクエスト又は(例えば、サービスアプリケーションからの要求の増加によって)より多くのコンポーネントがサービスアプリケーションに加入するように要求されている検出を含むいくつものトリガーによって、エンドポイントのグループに参加するように呼び出され得る。エンドポイントX(595)がエンドポイントのグループに加入するとき、エンドポイントX(595)の物理IPアドレスが自動的に結び付けられ、仮想プレゼンスX’(333)の仮想IPアドレスとの関連が維持される。例示的な実施形態において、仮想プレゼンスX’(333)の仮想IPアドレスは、仮想プレゼンスA’(331)及びB’(332)に対し選択された仮想IPアドレスと同一の仮想IPアドレスのレンジから選択される。更に、仮想プレゼンスA’(331)及びB’(332)に割り当てられた仮想IPアドレスは、仮想プレゼンスX’(333)に割り当てられた仮想IPアドレスと異なり得る。例として、仮想IPアドレス間の差異は、仮想プレゼンスA’(331)、B’(332)、及びX’(333)に割り当てられた特定のアドレスの値にあるが一方、仮想IPアドレスは、更に詳細に後述される同一のレンジから選択されるそれぞれであって、マップ(320)によってそれぞれ管理される。
[0055]エンドポイントのグループのメンバーとして加入されないエンドポイントは、オーバレイ(330)の構成の理由でエンドポイントA(395)、エンドポイントB(385)、及びエンドポイントX(595)へ伝達不可能であるが、エンドポイントA(395)、エンドポイントB(385)、及びエンドポイントX(595)がお互い及び別のエンドポイントのグループのエンドポイントとどのように通信するか管理するためのポリシーが実装されている。実施形態において、ポリシーは、グループのエンドポイント間の関係を制御するエンドポイント間のルールを含む。例として、オーバレイ(330)内のエンドポイント間のルールは、エンドポイントA(395)とB(385)との間の通信を可能にし、エンドポイントA(395)からエンドポイントX(595)への伝達を可能にする。その一方でオーバレイ(330)内の例示的なエンドポイント間のルールが、エンドポイントB(385)からエンドポイントX(595)への伝達を禁止し、エンドポイントX(595)からエンドポイントA(395)への伝達を禁止する。理解され得るように、エンドポイント間のルールは、基本的な物理ネットワーク(380)のネットワーク(315)内におけるエンドポイントの場所にかかわらず、グループ内のエンドポイントとの関係を管理し得る。例として、エンドポイント間のルールは、送信先のエンドポイントへの伝達を開始する発信元のエンドポイントの身元を認証することによって、エンドポイント間のルールの実行を達成するアイピーセック(IPsec)ポリシーを供給することを含む。身元を認証することは、発信元のエンドポイントの物理IPアドレスが、オーバレイ(330)を介した通信を事前に認証された仮想IPアドレスと対応していることを検証するためにホスティングネームサーバー(310)内のマップ(320)をアクセスし、読み出すことを含み得る。
[0056]ここで図6及び図7を参照して物理ネットワーク内のエンドポイントを移動するためのプロセスを論述する。示したように図6及び図7は、本発明の実施形態によって確立されるオーバレイ(330)を有する例示的な分散計算環境(600)のブロック図を表している。初めに、あるイベントが発生すると、エンドポイントA(395)が、クラウドコンピューティング・プラットフォーム(200)内のデータセンター(225)からサードパーティ・ネットワーク(625)内のリソース(670)へ移動される。通常、サードパーティ・ネットワーク(625)は、図3のエンタープライズ・プライベート・ネットワーク(325)でもクラウドコンピューティング・プラットフォーム(200)でもない別の任意のネットワークを参照し得る。例として、サードパーティ・ネットワーク(625)は、サービスアプリケーションによって利用される情報を保持するデータストアか、又は1つ以上のサービスアプリケーションの動作を支援するためのソフトウェアを提供するベンダーを含み得る。
[0057]実施形態において、物理ネットワーク(380)内のエンドポイント(395)のアドレスが、仮想マシン(270)上の物理IPアドレスからリモートのサードパーティ・ネットワーク(625)上のリモートの物理IPアドレスへ変更される。例えば、移動をもたらすイベントは、サービスアプリケーションによって制御されるリソースの再割当てか、仮想マシン(270)が現在利用可能であることを抑止するデータセンター(225)内の変更か、又はサービスモデルのコンポーネントの動作を支援する物理的なホスティング装置を切り換えるための別の任意の理由か、であり得る。
[0058]サードパーティ・ネットワーク(625)は、その上にインストールされたクライアントエージェントC(640)を有するリソース(670)を含んでいて、図6のクラウドコンピューティング・プラットフォーム(200)及び図7のエンタープライズ・プライベート・ネットワーク(325)と異なるリソースのネットワークを示している。しかしながら、本明細書に記載されるエンドポイントA(395)を移動するプロセスは、以下に列挙されたステップを実質的に変更せずに、エンタープライズ・プライベート・ネットワーク(325)又はデータセンター(225)内のエンドポイント(385)を内部で移動することを含み得る。エンドポイントA(395)が一旦、移動すると、ホスティングネームサーバー(310)は、移動したエンドポイントA(395)のリモートの物理IPアドレスを取得する。リモートの物理IPアドレスが、その後、エンドポイントA(395)の仮想プレゼンスA’(331)の仮想IPアドレスと関連して自動的にストアされる。例えば、仮想プレゼンスA’(331)の物理IPアドレスと仮想IPアドレスとの間の結び付きは破棄されるが一方、仮想プレゼンスA’(331)のリモートの物理IPアドレスと、その同一の仮想IPアドレスとの間の結び付きが確立される。したがって、仮想プレゼンスA’(331)は、オーバレイ(330)内の仮想プレゼンスA’(331)と別の仮想プレゼンスとの間のセキュア接続としてマップ(320)に動的に維持される。
[0059]更に、セキュア接続を介した通信を交換するとき、クライアントエージェントC(640)は、サードパーティ・ネットワーク(625)内のエンドポイントA(395)を検索するために、ホスティングネームサーバー(310)と連携するように適合されている。仮想プレゼンスB’(332)とのセキュア接続(335)のような仮想プレゼンスA’(331)及びそのセキュア接続をマップ(320)内に動的に維持するこの特徴が図7に例示されている。例示的な実施形態において、エンドポイントA(395)の移動は、クライアントエージェントB(350)に対し透過的であって、どんな再構成もせずにエンドポイントB(385)とエンドポイントA(395)との間の通信を容易にする。
[0060]ここで図8に移ると、本発明の実施形態による、重複する複数の物理IPアドレスのレンジII(820)及びレンジIII(830)と、重複しない仮想IPアドレスのレンジI(810)を示す略図が例示されている。実施形態において、仮想IPアドレスのレンジI(810)は、図7のオーバレイ(330)に割り当てられたアドレス空間に対応しているが一方、重複するレンジII(820)及びレンジIII(830)の物理IPアドレスは、図3のエンタープライズ・プライベート・ネットワーク(325)及びクラウドコンピューティング・プラットフォーム(200)のアドレス空間に対応している。例示したように物理IPアドレスのレンジII(820)及びIII(830)は、IPバージョン4(IPv4)のアドレスが供給されたとき、利用可能なグローバルアドレス空間が一定限度の量のため、参照番号(850)において交わり得る。しかしながら、仮想IPアドレスのレンジI(810)は、サービスアプリケーションに関連付けられたグループのエンドポイント間のデータパケット及び通信が誤った方向付けでないことを保証するために、物理IPアドレスのレンジII(820)及びIII(830)の重複が抑止される。したがって、仮想IPアドレスのレンジI(810)と物理IPアドレスのレンジII(820)及びIII(830)との間の分離を実装し、競合を禁止するための様々なスキームが(例えば、図7のホスティングネームサーバー(310)を利用し)使用され得る。
[0061]一実施形態において、本スキームは、プライベート・ネットワーク内の物理IPアドレスに対して一般に使用されない一連のパブリックIPアドレスから仮想IPアドレスのレンジI(810)を選択するルーティングの解決を含み得る。仮想IPアドレスを使用する一連のパブリックIPアドレスを切り分けすることによって、物理IPアドレスとして典型的に使用されるプライベートIPアドレスが仮想IPアドレスと重複することがあり得ない。言い換えると、パブリックインターネットを介し呼び出され得るパブリックIPアドレスは、プライベート・ネットワークによって使用される物理IPアドレスと一貫して異なっていて、どんなパスも存在していないため、パブリックインターネットから呼び出され得ない。したがって、パブリックIPアドレスは、ローカルアドレスをリンクするために予約されていて、そもそもグローバルコミュニケーションのために意図されていない。例として、パブリックIPアドレスは、物理IPアドレスのレンジII(820)及びIII(830)のようなプライベート・ネットワーク用に使用されない特有のIPv4プレフィックス(例えば10.254.0.0/16)によって識別され得る。
[0062]別の実施形態において、物理IPアドレスのレンジII(820)及びIII(830)に関連する仮想IPアドレスのレンジI(810)に固有のIPv4アドレスは(例えば、図3のホスティングネームサーバー(310)を利用し)動的に交渉される。一例において、動的な交渉は、双方のネットワークと定期的に通信することによって、図3のエンタープライズ・プライベート・ネットワーク(325)と、図2のクラウドコンピューティング・プラットフォーム(200)とを比較し、固有のIPv4アドレスのレンジを交渉する機構を使用することを含む。このスキームは、物理IPアドレスのレンジII(820)及びIII(830)が、図3の物理ネットワーク(380)のエンドポイントをホスティングするネットワークによって使用される唯一のIPアドレスである前提に基づいている。したがって、図6のサードパーティ・ネットワーク(625)のような別のネットワークが、エンドポイントのホストとして物理ネットワークに加入した場合、レンジI(810)のIPv4アドレスは、新たに加入したネットワークの結果と再び動的に交渉され、レンジI(810)のIPv4アドレスが、ネットワークによって物理IPアドレスに対し割り当てられたIPv4アドレスに対して固有であることを保証する。
[0063]IPバージョン6(IPv6)を利用可能なサービスアプリケーションに関しては、グローバルに固有である一連のIPv6アドレスが、仮想IPアドレスのレンジI(810)に割り当てられる。IPv6の構成内で利用可能なアドレスの数は非常に大きいので、物理IPアドレスのレンジII(820)及びIII(830)との競合が全くないことを保証するためのスキーマを設定することを必要とせずに仮想IPアドレスのレンジI(810)が割り当てられたIPv6プリフィックスを使用することによってグローバルに固有のIPv6アドレスが形成され得る。
[0064]ここで図9に移ると、本発明の実施形態による、物理ネットワーク内の異なる場所に常駐している複数のエンドポイントの間のオーバレイを介し通信するための方法(900)を示す流れ図が例示されている。方法(900)は、(例えば、図2及び図3のクラウドコンピューティング・プラットフォーム(200)のセンターデータ(225)を利用し)クラウドコンピューティング・プラットフォームのデータセンターに常駐している第1のエンドポイントを識別するステップと、(例えば、図3のエンタープライズ・プライベート・ネットワーク(325)のリソース(375)を利用し)エンタープライズ・プライベート・ネットワークのリソースに常駐している第2のエンドポイントを識別するステップと、を含む。これらのステップが、ブロック(910)及び(920)に示されている。実施形態において、第1のエンドポイントは、第1の物理IPアドレスのデータのパケットによって到達可能であるが一方、第2のエンドポイントは、第2の物理IPアドレスのデータのパケットによって到達可能である。方法(900)は更に、ブロック(930)に示したように、特定のサービスアプリケーションに対し確立された(例えば、図3及び図5〜図7のオーバレイ(330)を利用し)オーバレイ内の第1のエンドポイント及び第2のエンドポイントの仮想プレゼンスをインスタンス化することを含む。
[0065]例示的な実施形態において、インスタンス化は、第1のエンドポイントに第1の仮想IPアドレスを割り当てるステップ(ブロック940参照)と、第1の物理IPアドレスと第1の仮想IPアドレスとの間の関連付けをマップに維持するステップと、のうち1つ以上のステップ(ブロック950参照)を含む。更に、インスタンス化のステップは、第2のエンドポイントに第2の仮想IPアドレスを割り当て得(ブロック960参照)、第2の物理IPアドレスと第2の仮想IPアドレスとの間の関連付けをマップに維持するステップ(ブロック970参照)を含み得る。作動中、マップは(例えば、図3のマップ(320)を利用し)オーバレイ内の仮想プレゼンスの間で交換される通信に基づいて第1のエンドポイントと第2のエンドポイントとの間にパケットをルーティングするために使用され得る。このステップがブロック(980)に示されている。
[0066]ここで図10を参照すると、本発明の実施形態によるオーバレイを介し、発信元のエンドポイントと送信先のエンドポイントとの間の通信を容易にするための方法(1000)を示す流れ図が例示されている。一実施形態において、方法(1000)は、マップ内の発信元の仮想IPアドレスを発信元の物理IPアドレスと結び付けることと(例えば、図4のIP(410)及びIPA’(405))、マップ内の送信先の仮想IPアドレスを送信先の物理IPアドレスと結び付けることと(例えば、図4のIP(430)及びIPB’(425))を含む。これらのステップが、ブロック(1010)及び(1020)に示されている。典型的に、発信元の物理IPアドレスは、クラウドコンピューティング・プラットフォームのデータセンター内の発信元のエンドポイントの場所を示しているが一方、送信先の物理IPアドレスは、エンタープライズ・プライベート・ネットワークのリソース内の送信先のエンドポイントの場所を示している。
[0067]方法(1000)は更に、ブロック(1030)に示したように、オーバレイを利用し、発信元のエンドポイントから送信先のエンドポイントへパケットを送信することを含み得る。通常、発信元の仮想IPアドレス及び送信先の仮想IPアドレスは、オーバレイの発信元のエンドポイント及び送信先のエンドポイントの仮想プレゼンスをそれぞれ示している。例示的な実施形態において、パケットを送信するステップは、送信先の仮想IPアドレスへ送信するように指定されているパケットを識別するステップ(ブロック1040参照)と、送信先の仮想IPアドレスから送信先の物理IPアドレスへの指定を調整するためにマップを使用するステップ(ブロック1050参照)と、送信先の物理IPアドレスに基づいてリソース内の送信先のエンドポイントにパケットを送信するステップ(ブロック1060参照)と、のうち1つ以上のステップを含む。
[0068]本発明の実施形態は、限定的というよりもむしろ例示的であるようにあらゆる点で意図されている特定の実施例と関連し記載されている。本発明の実施形態がその範囲から逸脱せずに関係する対象の代替実施形態が、当業者には明らかであろう。
[0069]上記からこの発明が、明白かつ本システム及び方法に固有の別の利点とともに、上記記載されたすべての結果及び目的に達するように十分に適合されていることを理解されよう。特徴及び一部の組み合わせの中には、別の特徴及び一部の組み合わせを参照せずに有用であって使用され得るものもあることを理解されよう。これは想定されていて、本請求項の範囲内にある。
100 計算装置
110 バス
112 メモリー
114 プロセッサー
116 表示コンポーネント
118 入力/出力(I/O)ポート
120 I/Oコンポーネント
122 電源
200 クラウドコンピューティング・プラットフォーム
201 サービスアプリケーションのエンドポイント
202 サービスアプリケーションのエンドポイント
210 ファブリック・コントローラー
225 データセンター
255 第1の計算装置
265 第2の計算装置
270 仮想マシン
275 仮想マシン
300 分散計算環境
310 ホスティングネームサーバー
315 ネットワーク
316 パケット
320 マップ
325 エンタープライズ・プライベート・ネットワーク
330 オーバレイ
331 仮想プレゼンス
332 仮想プレゼンス
335 セキュア接続
340 クライアントエージェントA
350 クライアントエージェントB
375 リソース
380 物理ネットワーク
385 送信先のエンドポイント
395 エンドポイント
400 オーバレイ内のセキュア接続例
405 仮想IPアドレス
410 物理IPアドレス
415 チャネル
420 チャネル
425 仮想IPアドレス
430 物理IPアドレス
500 例示的分散計算環境
570 仮想マシン
585 クライアントエージェント
595 エンドポイント
600 例示的分散計算環境
625 サードパーティ・ネットワーク
640 クライアントエージェント
670 リソース
695 エンドポイント
800 物理IPアドレスのレンジと仮想IPアドレスのレンジ
810 仮想IPアドレスのレンジ
820 物理IPアドレスのレンジ
830 物理IPアドレスのレンジ
850 物理IPアドレスのレンジの交わり部分

Claims (15)

  1. 実行時に物理ネットワーク内の異なる場所に常駐している複数のエンドポイント間の仮想ネットワークオーバレイを介し通信するための方法を実施するように具体化された計算機実行可能命令を有する1つ以上の計算機可読媒体であって、前記方法が、
    クラウドコンピューティング・プラットフォームのデータセンターに常駐している第1のエンドポイントを識別するステップであって、前記第1のエンドポイントが、第1の物理インターネットプロトコル(IP)アドレスによって到達可能なものと、
    エンタープライズ・プライベート・ネットワークのリソースに常駐している第2のエンドポイントを識別するステップであって、前記第2のエンドポイントが、第2の物理IPアドレスによって到達可能なものと、
    サービスアプリケーションに関し確立された前記仮想ネットワークオーバレイ内に前記第1のエンドポイント及び前記第2のエンドポイントの仮想プレゼンスをインスタンス化するステップと、を含んでいて、インスタンス化するステップが、
    (a)前記第1のエンドポイントに第1の仮想IPアドレスを割り当てるステップと、
    (b)前記第1の物理IPアドレスと前記第1の仮想IPアドレスとの間の関連付けをマップに維持するステップと、
    (c)前記第2のエンドポイントに第2の仮想IPアドレスを割り当てるステップと、
    (d)前記第2の物理IPアドレスと前記第2の仮想IPアドレスとの間の関連付けを前記マップに維持するステップであって、前記マップが、前記仮想ネットワークオーバレイ内で交換される通信に基づいて、前記第1のエンドポイントと前記第2のエンドポイントとの間のどこへパケットをルーティングするか命令することを特徴とする1つ以上の計算機可読媒体。
  2. 第1のエンドポイントを識別するステップが、
    前記サービスアプリケーションに関連付けられたサービスモデルを検査するステップであって、前記サービスモデルが、前記サービスアプリケーションの動作を支援するためにどの仮想マシンが割り当てられるか管理しているものと、
    前記サービスモデルに従って前記クラウドコンピューティング・プラットフォームの前記データセンター内に仮想マシンを割り当てるステップと、
    前記仮想マシン上に前記第1のエンドポイントを展開するステップと、を含むことを特徴とする請求項1記載の1つ以上の計算機可読媒体。
  3. 前記方法が更に、仮想IPアドレスのレンジを前記仮想ネットワークオーバレイに割り当てるステップを含んでいて、前記第1の仮想IPアドレス及び前記第2の仮想IPアドレスが、前記割り当てられたレンジから選択されることを特徴とする請求項1記載の1つ以上の計算機可読媒体。
  4. 前記レンジ内の前記仮想IPアドレスが、前記クラウドコンピューティング・プラットフォーム又は前記エンタープライズ・プライベート・ネットワークのどちらか一方によって利用されるレンジ内の物理IPアドレスと重複しないことを特徴とする請求項3記載の1つ以上の計算機可読媒体。
  5. 前記エンタープライズ・プライベート・ネットワークがIPバージョン4(IPv4)のアドレスを供給されるとき、前記仮想IPアドレスのレンジが、前記IPv4アドレスから切り分けされた一連のパブリックIPアドレスに対応していることを特徴とする請求項3記載の1つ以上の計算機可読媒体。
  6. 前記方法が更に、
    サービスアプリケーションの動作を支援するグループのメンバーとして前記第1のエンドポイント及び前記第2のエンドポイントを加入させるステップと、
    前記サービスアプリケーションに関し確立された前記仮想ネットワークオーバレイ内に前記グループの前記メンバーの仮想プレゼンスをインスタンス化するステップを含む請求項1記載の1つ以上の計算機可読媒体。
  7. 物理ネットワークに常駐している候補エンドポイントの仮想プレゼンスを仮想ネットワークオーバレイにインスタンス化するための計算機システムであって、
    物理IPアドレスを有する前記候補エンドポイントをホスティングするクラウドコンピューティング・プラットフォーム内のデータセンターと、
    前記仮想ネットワークオーバレイに割り当てられた仮想IPアドレスのレンジを識別し、前記レンジから選択される仮想IPアドレスを前記候補エンドポイントに割り当て、前記候補エンドポイントの前記物理IPアドレスと関連して割り当てられた前記仮想IPアドレスをマップに維持するホスティングネームサーバーと、を含む計算機システム。
  8. 前記ホスティングネームサーバーが、サービスアプリケーションの動作を支援するために、サービスアプリケーションによって使用されるエンドポイントのグループの身元を確認するために前記マップにアクセスすることを特徴とする請求項7記載の計算機システム。
  9. 前記候補エンドポイントが前記エンドポイントのグループに加入するリクエストをサービスアプリケーションから受信したとき、前記ホスティングネームサーバーが、前記仮想IPアドレスを前記候補エンドポイントに割り当てることを特徴とする請求項7記載の計算機システム。
  10. 前記データセンターが、前記候補エンドポイントをホスティングする複数の仮想マシンを含んでいることと、クライアントエージェントが、前記複数の仮想マシンのうち1つ以上において実行することと、を特徴とする請求項7記載の計算機システム。
  11. クライアントエージェントが、パケットの伝達を始動する前記候補エンドポイント上で前記エンドポイントのグループの前記身元のうち1つ以上をリトリーブするために前記ホスティングネームサーバーと交渉することを特徴とする請求項7記載の計算機システム。
  12. 更に、物理IPアドレスを有するメンバーのエンドポイントをホスティングするリソースをエンタープライズ・プライベート・ネットワーク内に含んでいて、前記メンバーのエンドポイントが、サービスアプリケーションによって使用される前記エンドポイントのグループのメンバーとして割り当てられ、前記メンバーのエンドポイントが、前記仮想IPアドレスのレンジから選択される仮想IPアドレスを割り当てられ、前記メンバーのエンドポイントに割り当てられた前記仮想IPアドレスが、前記候補エンドポイントに割り当てられた前記仮想IPアドレスと異なること、を特徴とする請求項11記載の計算機システム。
  13. 仮想ネットワークオーバレイを介した発信元のエンドポイントと送信先のエンドポイントとの間の通信を容易にするためのコンピュータによる処理方法であって、
    発信元の仮想IPアドレスをマップ内の発信元の物理IPアドレスと結び付けるステップであって、前記発信元の物理IPアドレスが、クラウドコンピューティング・プラットフォームのデータセンター内の前記発信元のエンドポイントの場所を示しているものと、
    送信先の仮想IPアドレスを前記マップ内の送信先の物理IPアドレスと結び付けるステップであって、前記送信先の物理IPアドレスが、エンタープライズ・プライベート・ネットワークのリソース内の前記送信先のエンドポイントの場所を示しているものと、
    前記仮想ネットワークオーバレイを利用し、前記発信元のエンドポイントから前記送信先のエンドポイントへパケットを送信するステップであって、前記発信元の仮想IPアドレス及び前記送信先の仮想IPアドレスが、前記仮想ネットワークオーバレイ内の前記発信元のエンドポイント及び前記送信先のエンドポイントの仮想プレゼンスをそれぞれ示しているものと、を含んでいて、前記パケットを送信するステップが、
    (a)前記送信先の仮想IPアドレスへ送信されるように指定されている前記パケットを識別するステップと、
    (b)前記送信先の仮想IPアドレスから前記送信先の物理IPアドレスに対する前記指定を調整するために前記マップを使用するステップと、
    (c)前記送信先の物理IPアドレスに基づいて、前記パケットを前記リソース内の前記送信先のエンドポイントへルーティングするステップと、を含む方法。
  14. 更に、
    前記発信元の物理IPアドレスを有する前記発信元のエンドポイントを、前記クラウドコンピューティング・プラットフォームの前記データセンターからリモート物理アドレスを有するサードパーティ・ネットワーク内のリソースへ移動するステップと、
    前記仮想ネットワークオーバレイ内の前記発信元のエンドポイントの前記仮想プレゼンスを自動的に維持するステップと、を含む請求項13記載の電子化方法。
  15. 更に、前記発信元のエンドポイントが移動したことを認識すると、前記発信元の仮想IPアドレスを前記マップ内の前記リモートの物理IPアドレスと自動的に結び付けるステップを含む請求項13記載の電子化方法。
JP2012537921A 2009-11-06 2010-10-28 ネットワークを介する接続をセキュアにするためのオーバレイの利用方法及びシステム Pending JP2013510506A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/614,007 2009-11-06
US12/614,007 US20110110377A1 (en) 2009-11-06 2009-11-06 Employing Overlays for Securing Connections Across Networks
PCT/US2010/054559 WO2011056714A2 (en) 2009-11-06 2010-10-28 Employing overlays for securing connections across networks

Publications (1)

Publication Number Publication Date
JP2013510506A true JP2013510506A (ja) 2013-03-21

Family

ID=43970699

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012537921A Pending JP2013510506A (ja) 2009-11-06 2010-10-28 ネットワークを介する接続をセキュアにするためのオーバレイの利用方法及びシステム

Country Status (6)

Country Link
US (1) US20110110377A1 (ja)
EP (1) EP2497229A4 (ja)
JP (1) JP2013510506A (ja)
KR (1) KR101774326B1 (ja)
CN (2) CN109412924A (ja)
WO (1) WO2011056714A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016536867A (ja) * 2013-10-10 2016-11-24 クラウディスティックス, インコーポレーテッド 適応オーバーレイネットワーキング

Families Citing this family (86)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8924524B2 (en) 2009-07-27 2014-12-30 Vmware, Inc. Automated network configuration of virtual machines in a virtual lab data environment
US8230050B1 (en) 2008-12-10 2012-07-24 Amazon Technologies, Inc. Providing access to configurable private computer networks
US9137209B1 (en) 2008-12-10 2015-09-15 Amazon Technologies, Inc. Providing local secure network access to remote services
US9524167B1 (en) 2008-12-10 2016-12-20 Amazon Technologies, Inc. Providing location-specific network access to remote services
US8595378B1 (en) 2009-03-30 2013-11-26 Amazon Technologies, Inc. Managing communications having multiple alternative destinations
US9106540B2 (en) 2009-03-30 2015-08-11 Amazon Technologies, Inc. Providing logical networking functionality for managed computer networks
US8644188B1 (en) 2009-06-25 2014-02-04 Amazon Technologies, Inc. Providing virtual networking functionality for managed computer networks
US9203747B1 (en) 2009-12-07 2015-12-01 Amazon Technologies, Inc. Providing virtual networking device functionality for managed computer networks
US9036504B1 (en) 2009-12-07 2015-05-19 Amazon Technologies, Inc. Using virtual networking devices and routing information to associate network addresses with computing nodes
US8396946B1 (en) 2010-03-31 2013-03-12 Amazon Technologies, Inc. Managing integration of external nodes into provided computer networks
US9282027B1 (en) 2010-03-31 2016-03-08 Amazon Technologies, Inc. Managing use of alternative intermediate destination computing nodes for provided computer networks
US8966027B1 (en) 2010-05-24 2015-02-24 Amazon Technologies, Inc. Managing replication of computing nodes for provided computer networks
US8976949B2 (en) * 2010-06-29 2015-03-10 Telmate, Llc Central call platform
US8892740B2 (en) * 2010-09-10 2014-11-18 International Business Machines Corporation Dynamic application provisioning in cloud computing environments
US8706772B2 (en) * 2010-12-30 2014-04-22 Sap Ag Strict tenant isolation in multi-tenant enabled systems
CN102075537B (zh) * 2011-01-19 2013-12-04 华为技术有限公司 一种实现虚拟机间数据传输的方法和系统
US10225335B2 (en) 2011-02-09 2019-03-05 Cisco Technology, Inc. Apparatus, systems and methods for container based service deployment
US8862933B2 (en) 2011-02-09 2014-10-14 Cliqr Technologies, Inc. Apparatus, systems and methods for deployment and management of distributed computing systems and applications
US8843998B2 (en) * 2011-06-27 2014-09-23 Cliqr Technologies, Inc. Apparatus, systems and methods for secure and selective access to services in hybrid public-private infrastructures
CA2841166C (en) 2011-07-08 2016-12-06 Virnetx, Inc. Dynamic vpn address allocation
US8867403B2 (en) 2011-08-18 2014-10-21 International Business Machines Corporation Virtual network overlays
WO2013028636A1 (en) * 2011-08-19 2013-02-28 Panavisor, Inc Systems and methods for managing a virtual infrastructure
US9203807B2 (en) * 2011-09-09 2015-12-01 Kingston Digital, Inc. Private cloud server and client architecture without utilizing a routing server
US8868710B2 (en) 2011-11-18 2014-10-21 Amazon Technologies, Inc. Virtual network interface objects
US20130151679A1 (en) * 2011-12-09 2013-06-13 Kubisys Inc. Hybrid virtual computing environments
US9052963B2 (en) 2012-05-21 2015-06-09 International Business Machines Corporation Cloud computing data center machine monitor and control
US8649383B1 (en) * 2012-07-31 2014-02-11 Aruba Networks, Inc. Overlaying virtual broadcast domains on an underlying physical network
US9396069B2 (en) * 2012-09-06 2016-07-19 Empire Technology Development Llc Cost reduction for servicing a client through excess network performance
US9253061B2 (en) * 2012-09-12 2016-02-02 International Business Machines Corporation Tunnel health check mechanism in overlay network
JP6040711B2 (ja) * 2012-10-31 2016-12-07 富士通株式会社 管理サーバ、仮想マシンシステム、プログラム及び接続方法
US9313096B2 (en) 2012-12-04 2016-04-12 International Business Machines Corporation Object oriented networks
US9660874B2 (en) * 2012-12-13 2017-05-23 Level 3 Communications, Llc Devices and methods supporting content delivery with delivery services having dynamically configurable log information
CN103905283B (zh) * 2012-12-25 2017-12-15 华为技术有限公司 基于可扩展虚拟局域网的通信方法及装置
KR20140092630A (ko) * 2013-01-16 2014-07-24 삼성전자주식회사 사용자장치, 통신서버 및 그 제어방법
US9191360B2 (en) 2013-01-22 2015-11-17 International Business Machines Corporation Address management in an overlay network environment
US9882713B1 (en) 2013-01-30 2018-01-30 vIPtela Inc. Method and system for key generation, distribution and management
US10389608B2 (en) 2013-03-15 2019-08-20 Amazon Technologies, Inc. Network traffic mapping and performance analysis
KR101337208B1 (ko) * 2013-05-07 2013-12-05 주식회사 안랩 휴대 단말의 어플리케이션 데이터 관리 방법 및 그 장치
US9438596B2 (en) * 2013-07-01 2016-09-06 Holonet Security, Inc. Systems and methods for secured global LAN
CN103442098B (zh) * 2013-09-02 2016-06-08 三星电子(中国)研发中心 一种分配虚拟ip地址的方法、系统和服务器
US11038954B2 (en) * 2013-09-18 2021-06-15 Verizon Patent And Licensing Inc. Secure public connectivity to virtual machines of a cloud computing environment
US9906609B2 (en) 2015-06-02 2018-02-27 GeoFrenzy, Inc. Geofence information delivery systems and methods
US9363638B1 (en) 2015-06-02 2016-06-07 GeoFrenzy, Inc. Registrar mapping toolkit for geofences
KR101625297B1 (ko) * 2013-10-24 2016-05-27 주식회사 케이티 언더레이 네트워크와 연동하여 오버레이 네트워크를 제공하는 방법 및 이를 수행하는 시스템
CN103647853B (zh) * 2013-12-04 2018-07-03 华为技术有限公司 一种在VxLAN中发送ARP报文发送方法、VTEP及VxLAN控制器
US9438506B2 (en) 2013-12-11 2016-09-06 Amazon Technologies, Inc. Identity and access management-based access control in virtual networks
US9467478B1 (en) 2013-12-18 2016-10-11 vIPtela Inc. Overlay management protocol for secure routing based on an overlay network
CN103747020B (zh) * 2014-02-18 2017-01-11 成都致云科技有限公司 一种安全可控的公网访问虚拟资源方法
US10044581B1 (en) 2015-09-29 2018-08-07 Amazon Technologies, Inc. Network traffic tracking using encapsulation protocol
US11838744B2 (en) * 2014-07-29 2023-12-05 GeoFrenzy, Inc. Systems, methods and apparatus for geofence networks
US11240628B2 (en) 2014-07-29 2022-02-01 GeoFrenzy, Inc. Systems and methods for decoupling and delivering geofence geometries to maps
WO2016036287A1 (en) * 2014-09-02 2016-03-10 Telefonaktiebolaget L M Ericsson (Publ) Network node and method for handling a traffic flow related to a local service cloud
US9787499B2 (en) 2014-09-19 2017-10-10 Amazon Technologies, Inc. Private alias endpoints for isolated virtual networks
US9832118B1 (en) 2014-11-14 2017-11-28 Amazon Technologies, Inc. Linking resource instances to virtual networks in provider network environments
US10484297B1 (en) 2015-03-16 2019-11-19 Amazon Technologies, Inc. Automated migration of compute instances to isolated virtual networks
US10749808B1 (en) 2015-06-10 2020-08-18 Amazon Technologies, Inc. Network flow management for isolated virtual networks
US10021196B1 (en) 2015-06-22 2018-07-10 Amazon Technologies, Inc. Private service endpoints in isolated virtual networks
US9860214B2 (en) 2015-09-10 2018-01-02 International Business Machines Corporation Interconnecting external networks with overlay networks in a shared computing environment
US10320644B1 (en) 2015-09-14 2019-06-11 Amazon Technologies, Inc. Traffic analyzer for isolated virtual networks
US20170142234A1 (en) * 2015-11-13 2017-05-18 Microsoft Technology Licensing, Llc Scalable addressing mechanism for virtual machines
US10354425B2 (en) * 2015-12-18 2019-07-16 Snap Inc. Method and system for providing context relevant media augmentation
US9980303B2 (en) 2015-12-18 2018-05-22 Cisco Technology, Inc. Establishing a private network using multi-uplink capable network devices
US10320844B2 (en) 2016-01-13 2019-06-11 Microsoft Technology Licensing, Llc Restricting access to public cloud SaaS applications to a single organization
US10593009B1 (en) 2017-02-22 2020-03-17 Amazon Technologies, Inc. Session coordination for auto-scaled virtualized graphics processing
US10498810B2 (en) * 2017-05-04 2019-12-03 Amazon Technologies, Inc. Coordinating inter-region operations in provider network environments
US10498693B1 (en) 2017-06-23 2019-12-03 Amazon Technologies, Inc. Resizing virtual private networks in provider network environments
US10681000B2 (en) 2017-06-30 2020-06-09 Nicira, Inc. Assignment of unique physical network addresses for logical network addresses
US10637800B2 (en) 2017-06-30 2020-04-28 Nicira, Inc Replacement of logical network addresses with physical network addresses
KR101855632B1 (ko) * 2017-11-23 2018-05-04 (주)소만사 클라우드 상에 구현되는 정보 유출 방지 시스템 및 방법
US10834044B2 (en) 2018-09-19 2020-11-10 Amazon Technologies, Inc. Domain name system operations implemented using scalable virtual traffic hub
US10680945B1 (en) 2018-09-27 2020-06-09 Amazon Technologies, Inc. Extending overlay networks to edge routers of a substrate network
US11102113B2 (en) * 2018-11-08 2021-08-24 Sap Se Mapping of internet protocol addresses in a multi-cloud computing environment
US10785056B1 (en) 2018-11-16 2020-09-22 Amazon Technologies, Inc. Sharing a subnet of a logically isolated network between client accounts of a provider network
EP4145282A1 (en) 2018-12-21 2023-03-08 Huawei Cloud Computing Technologies Co., Ltd. Mechanism to reduce serverless function startup latency
CN111917893B (zh) * 2019-05-10 2022-07-12 华为云计算技术有限公司 虚拟私有云与云下数据中心通信、配置方法及相关装置
US11296981B2 (en) 2019-06-24 2022-04-05 Amazon Technologies, Inc. Serverless packet processing service with configurable exception paths
US10848418B1 (en) 2019-06-24 2020-11-24 Amazon Technologies, Inc. Packet processing service extensions at remote premises
US11088944B2 (en) 2019-06-24 2021-08-10 Amazon Technologies, Inc. Serverless packet processing service with isolated virtual network integration
US11502867B2 (en) * 2019-08-01 2022-11-15 Nvidia Corporation Injection limiting and wave synchronization for scalable in-network computation
WO2021037358A1 (en) * 2019-08-28 2021-03-04 Huawei Technologies Co., Ltd. Virtual local presence based on l3 virtual mapping of remote network nodes
WO2021089169A1 (en) * 2019-11-08 2021-05-14 Huawei Technologies Co., Ltd. Private sub-networks for virtual private networks (vpn) clients
US11451643B2 (en) * 2020-03-30 2022-09-20 Amazon Technologies, Inc. Managed traffic processing for applications with multiple constituent services
US11153195B1 (en) 2020-06-08 2021-10-19 Amazon Techologies, Inc. Packet processing service configuration change propagation management
CN113206833B (zh) * 2021-04-07 2022-10-14 中国科学院大学 一种私有云系统及强制访问控制方法
CN114679370B (zh) * 2021-05-20 2024-01-12 腾讯云计算(北京)有限责任公司 一种服务器托管方法、装置、系统及存储介质
CN115150410A (zh) * 2022-07-19 2022-10-04 京东科技信息技术有限公司 多集群访问方法和系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005027438A1 (ja) * 2003-09-11 2005-03-24 Fujitsu Limited パケット中継装置
JP2008098813A (ja) * 2006-10-10 2008-04-24 Matsushita Electric Ind Co Ltd 情報通信装置、情報通信方法、及びプログラム
WO2009055717A1 (en) * 2007-10-24 2009-04-30 Jonathan Peter Deutsch Various methods and apparatuses for a central station to allocate virtual ip addresses
US20090249473A1 (en) * 2008-03-31 2009-10-01 Cohn Daniel T Authorizing communications between computing nodes

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5845203A (en) * 1996-01-25 1998-12-01 Aertis Cormmunications Remote access application messaging wireless method
US6097719A (en) * 1997-03-11 2000-08-01 Bell Atlantic Network Services, Inc. Public IP transport network
US6611872B1 (en) * 1999-01-11 2003-08-26 Fastforward Networks, Inc. Performing multicast communication in computer networks by using overlay routing
US7552233B2 (en) * 2000-03-16 2009-06-23 Adara Networks, Inc. System and method for information object routing in computer networks
JP2003324487A (ja) * 2002-04-30 2003-11-14 Welltech Computer Co Ltd ネットワーク電話伝送パケット処理のシステム及びその方法
US20030217131A1 (en) * 2002-05-17 2003-11-20 Storage Technology Corporation Processing distribution using instant copy
US7720966B2 (en) * 2002-12-02 2010-05-18 Netsocket, Inc. Arrangements and method for hierarchical resource management in a layered network architecture
US7890633B2 (en) * 2003-02-13 2011-02-15 Oracle America, Inc. System and method of extending virtual address resolution for mapping networks
US20040249974A1 (en) * 2003-03-31 2004-12-09 Alkhatib Hasan S. Secure virtual address realm
CN1319336C (zh) * 2003-05-26 2007-05-30 华为技术有限公司 一种建立虚拟专用网络的方法
US7991852B2 (en) * 2004-01-22 2011-08-02 Alcatel-Lucent Usa Inc. Network architecture and related methods for surviving denial of service attacks
GB2418326B (en) 2004-09-17 2007-04-11 Hewlett Packard Development Co Network vitrualization
US20060098664A1 (en) * 2004-11-09 2006-05-11 Tvblob S.R.I. Intelligent application level multicast module for multimedia transmission
US20060235973A1 (en) * 2005-04-14 2006-10-19 Alcatel Network services infrastructure systems and methods
US7660296B2 (en) * 2005-12-30 2010-02-09 Akamai Technologies, Inc. Reliable, high-throughput, high-performance transport and routing mechanism for arbitrary data flows
US8489701B2 (en) * 2007-01-30 2013-07-16 Microsoft Corporation Private virtual LAN spanning a public network for connection of arbitrary hosts
US9106540B2 (en) * 2009-03-30 2015-08-11 Amazon Technologies, Inc. Providing logical networking functionality for managed computer networks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005027438A1 (ja) * 2003-09-11 2005-03-24 Fujitsu Limited パケット中継装置
JP2008098813A (ja) * 2006-10-10 2008-04-24 Matsushita Electric Ind Co Ltd 情報通信装置、情報通信方法、及びプログラム
WO2009055717A1 (en) * 2007-10-24 2009-04-30 Jonathan Peter Deutsch Various methods and apparatuses for a central station to allocate virtual ip addresses
US20090249473A1 (en) * 2008-03-31 2009-10-01 Cohn Daniel T Authorizing communications between computing nodes

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
坂上 秀和 他: "知識コミュニティ活動のためのコラボレーション支援アーキテクチャ", 情報処理学会研究報告, vol. 第2005巻,第92号, JPN6014031642, 22 September 2005 (2005-09-22), pages 7 - 12, ISSN: 0002864142 *
山本 剛之 他: "プライベートネットワーク内のノードへの透過的アクセスを実現するTNTシステムの開発", 先進的計算基盤システムシンポジウム SACSIS2008 論文集, vol. 第2008巻,第5号, JPN6014031644, 4 June 2008 (2008-06-04), pages 367 - 374, ISSN: 0002864143 *
藤田 範人 他: "大規模な動的グループ通信に適したオーバレイ網制御方式", 電子情報通信学会技術研究報告, vol. 第104巻,第272号, JPN6014031640, 26 August 2004 (2004-08-26), pages 55 - 58, ISSN: 0002864141 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016536867A (ja) * 2013-10-10 2016-11-24 クラウディスティックス, インコーポレーテッド 適応オーバーレイネットワーキング

Also Published As

Publication number Publication date
EP2497229A2 (en) 2012-09-12
WO2011056714A2 (en) 2011-05-12
EP2497229A4 (en) 2016-11-23
KR20120102626A (ko) 2012-09-18
US20110110377A1 (en) 2011-05-12
CN109412924A (zh) 2019-03-01
CN102598591A (zh) 2012-07-18
WO2011056714A3 (en) 2011-09-15
KR101774326B1 (ko) 2017-09-29

Similar Documents

Publication Publication Date Title
JP2013510506A (ja) ネットワークを介する接続をセキュアにするためのオーバレイの利用方法及びシステム
US11063819B2 (en) Managing use of alternative intermediate destination computing nodes for provided computer networks
US10419287B2 (en) Using virtual networking devices and routing information to associate network addresses with computing nodes
US9900214B2 (en) Using virtual networking devices to manage network configuration
US10530657B2 (en) Providing virtual networking functionality for managed computer networks
US9794116B2 (en) Managing use of intermediate destination computing nodes for provided computer networks
CN106462408B (zh) 到云计算环境中的工作空间的低延迟连接
US9736016B2 (en) Managing failure behavior for computing nodes of provided computer networks
US9973379B1 (en) Managing integration of external nodes into provided computer networks
US9356860B1 (en) Managing external communications for provided computer networks
US8683023B1 (en) Managing communications involving external nodes of provided computer networks
US10084851B1 (en) Managing use of intermediate destination hardware devices for provided computer networks
US11770364B2 (en) Private network peering in virtual network environments
JP2011160103A (ja) ゲートウェイ装置及びプログラム、並びに、通信システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130919

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140716

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140728

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20141027

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20141104

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20141127

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20141204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141218

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150408

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20150521