JP2024503322A - 仮想化されたクラウド環境におけるレイヤ２ネットワーキングストーム制御 - Google Patents

Abstract

Ｌ２仮想ネットワークにおける通信のための技術が説明される。ある例では、Ｌ２仮想ネットワークは、ホストマシンのセット上でホストされる複数のＬ２計算インスタンスと、ネットワーク仮想化デバイスのセット上でホストされる複数のＬ２仮想ネットワークインターフェースおよびＬ２仮想スイッチとを含む。Ｌ２仮想ネットワークインターフェースは、Ｌ２仮想ネットワークのＬ２ポートをエミュレートする。Ｌ２ポートに適用可能なストーム制御情報が、Ｌ２仮想ネットワークインターフェースをホストするネットワーク仮想化デバイスに送信される。

Description

関連出願の参照
この国際特許出願は、２０２０年１２月３０日に提出された「LAYER-2 NETWORKING STORM CONTROL IN A VIRTUALIZED CLOUD ENVIRONMENT」と題される米国仮出願６３／１３２，３７７の利益を主張する、２０２１年１０月５日に提出された「LAYER-2 NETWORKING USING ACCESS CONTROL LISTS IN A VIRTUALIZED CLOUD ENVIRONMENT」と題される米国特許出願１７／４９４，７２９に対する優先権を主張し、その内容は、あらゆる目的のためにその全体が参照により本明細書に組み込まれる。

背景
クラウドコンピューティングは、コンピューティングリソースのオンデマンド可用性を提供する。クラウドコンピューティングは、インターネットを介してユーザに利用可能なデータセンタに基づくことができる。クラウドコンピューティングは、サービスとしてのインフラストラクチャ（ＩａａＳ）を提供することができる。仮想ネットワークは、ユーザによる使用のために作成されてもよい。しかしながら、これらの仮想ネットワークは、それらの機能性および価値を制約する制限を有する。したがって、さらなる改善が望まれる。

概要
本開示は、仮想化されたクラウド環境に関する。仮想化されたクラウド環境においてレイヤ２ネットワーキング機能を提供するための技術が説明される。レイヤ２機能は、仮想化されたクラウド環境によって提供されるレイヤ３ネットワーキング機能に加えて、およびそれと関連して、提供される。

本開示のいくつかの実施形態は、顧客の仮想クラウドネットワーク（ＶＣＮ）など、プライベートネットワーク内でレイヤ２仮想ローカルエリアネットワーク（ＶＬＡＮ）を顧客に提供することに関する。レイヤ２ＶＬＡＮにおいては、異なる計算インスタンスが接続される。顧客は、計算インスタンスを接続するエミュレートされた単一スイッチの認知を与えられる。実際、このエミュレートされたスイッチは、ローカルスイッチの集合を含む無限にスケーラブルな分散型スイッチとして実現される。より具体的には、各計算インスタンスは、ネットワーク仮想化デバイス（ＮＶＤ）に接続されたホストマシン上で実行される。ＮＶＤに接続されたホスト上の各計算インスタンスについて、ＮＶＤは、計算インスタンスに関連付けられるレイヤ２仮想ネットワークインターフェースカード（ＶＮＩＣ）およびローカルスイッチをホストする。レイヤ２ＶＮＩＣは、レイヤ２ＶＬＡＮ上において計算インスタンスのポートを表す。ローカルスイッチは、ＶＮＩＣを、レイヤ２ＶＬＡＮの他の計算インスタンスに関連付けられる他のＶＮＩＣ（例えば、他のポート）に接続する。例えば、ストーム制御を含む、様々なレイヤ２ネットワークサービスがサポートされる。

ここでは、方法、システム、１つ以上のプロセッサによって実行可能なプログラム、コード、または命令を記憶する非一時的コンピュータ可読記憶媒体などを含む様々な実施形態について説明する。

特定の実施形態に従って、クラウドサービスプロバイダインフラストラクチャによってホストされている仮想またはオーバーレイクラウドネットワークを示す分散環境のハイレベル図である。 特定の実施形態に従って、ＣＳＰＩ内の物理ネットワークの物理要素を示すアーキテクチャ概略図である。 特定の実施形態に従って、ホストマシンが複数のネットワーク仮想化デバイス（ＮＶＤ）に接続されているＣＳＰＩの例示的な配置を示す図である。 特定の実施形態に従って、ホストマシンとマルチテナント機能をサポートするためのＩ／Ｏ仮想化を提供するＮＶＤとの間の接続を示す図である。 特定の実施形態に従って、ＣＳＰＩによって提供される物理ネットワークを示す概略ブロック図である。 ある実施形態によるコンピューティングネットワークの概略図である。 ある実施形態による、ＶＬＡＮの論理およびハードウェア概略図である。 ある実施形態による、複数の接続されたＬ２ ＶＬＡＮの論理概略図である。 ある実施形態による、複数の接続されたＬ２ ＶＬＡＮおよびサブネット９００の論理概略図である。 ある実施形態による、ＶＬＡＮ内通信およびＶＬＡＮ内の学習の概略図である。 ある実施形態によるＶＬＡＮの概略図である。 ある実施形態による、ＶＬＡＮ内通信のためのプロセス１２００を示すフローチャートである。 ある実施形態による、Ｌ２仮想ネットワークのためにストーム制御の構成を定義するのに好適な例示的環境を図示する。 いくつかの実施形態による、レイヤ仮想ネットワークにおける例示的なストーム制御技術を示す図である。 いくつかの実施形態による、Ｌ２仮想ネットワークにおいてストーム制御情報を使用するためのプロセスを示すシーケンス図である。 いくつかの実施形態による、ストーム制御情報の生成および配信を判断するためのプロセスを示すフローチャートである。 いくつかの実施形態による、収集されたメトリックに基づいてストーム制御ポリシーを更新するためのプロセスを示すフローチャートである。 いくつかの実施形態による、ストーム制御情報を更新するためのプロセスを示すフローチャートである。 少なくとも１つの実施形態に従って、クラウドインフラストラクチャをサービスシステムとして実現するための１つのパターンを示すブロック図である。 少なくとも１つの実施形態に従って、クラウドインフラストラクチャをサービスシステムとして実現するための別のパターンを示すブロック図である。 少なくとも１つの実施形態に従って、クラウドインフラストラクチャをサービスシステムとして実現するための別のパターンを示すブロック図である。 少なくとも１つの実施形態に従って、クラウドインフラストラクチャをサービスシステムとして実現するための別のパターンを示すブロック図である。 少なくとも１つの実施形態に従って、例示的なコンピュータシステムを示すブロック図である。

詳細な説明
以下の説明では、説明の目的のために、特定の詳細が、特定の実施形態の完全な理解を促すために記載される。しかしながら、様々な実施形態がこれらの具体的な詳細なしに実施されてもよいことは明らかであろう。図および記載は、限定することを意図したものではない。「例示的」という文言は、ここでは、「例、事例、または例示として供される」ことを意味するために用いられる。「例示的」としてここに記載される任意の実施形態または設計は、必ずしも、他の実施形態もしくは設計よりも好ましいまたは有利であると解釈されるべきではない。

Ａ．例示的な仮想ネットワーキングアーキテクチャ
クラウドサービスという用語は、一般的に、クラウドサービスプロバイダ（ＣＳＰ）が、システムおよびインフラストラクチャ（クラウドインフラストラクチャ）を用いて、ユーザまたは顧客がオンデマンドで（例えば、サブスクリプションモデルを介して）利用できるサービスを指す。通常、ＣＳＰのインフラストラクチャを構成するサーバおよびシステムは、顧客自身のオンプレミスサーバおよびシステムから離れている。したがって、顧客は、サービス用のハードウェアおよびソフトウェア資源を別途購入することなく、ＣＳＰによって提供されるクラウドサービスを利用することができる。クラウドサービスは、サービスを提供するために使用されるインフラストラクチャの調達に顧客が投資する必要がなく、アプリケーションおよび計算リソースへの容易且つ拡張可能なアクセスを加入している顧客に提供するように設計されている。

様々な種類のクラウドサービスを提供するクラウドサービスプロバイダがいくつかある。クラウドサービスは、ＳａａＳ（Software-as-a-Service）、ＰａａＳ（Platform-as-a-Service）、ＩａａＳ（Infrastructure-as-a-Service）などの様々な異なる種類またはモデルを含む。

顧客は、ＣＳＰによって提供される１つ以上のクラウドサービスに加入することができる。顧客は、個人、組織、企業などの任意のエンティティであってもよい。顧客がＣＳＰによって提供されるサービスに加入または登録すると、その顧客に対してテナントまたはアカウントが作成される。その後、顧客は、このアカウントを介して、アカウントに関連付けられた１つ以上の加入済みクラウドリソースにアクセスすることができる。

上述したように、ＩａａＳ（Infrastructure as a Service）は、１つの特定種類のクラウドコンピューティングサービスである。ＩａａＳモデルにおいて、ＣＳＰは、顧客が自身のカスタマイズ可能なネットワークを構築し、顧客リソースを展開するために使用できるインフラストラクチャ（クラウドサービスプロバイダインフラストラクチャまたはＣＳＰＩと呼ばれる）を提供する。したがって、顧客のリソースおよびネットワークは、ＣＳＰによって提供されたインフラストラクチャによって分散環境にホストされる。これは、顧客のインフラストラクチャが顧客のリソースおよびネットワークをホストする従来のコンピューティングとは異なる。

ＣＳＰＩは、基板ネットワークまたはアンダーレイネットワークとも呼ばれる物理ネットワークを形成する、様々なホストマシン、メモリリソース、およびネットワークリソースを含む相互接続された高性能の計算リソースを含んでもよい。ＣＳＰＩのリソースは、１つ以上の地理的な地域にわたって地理的に分散されている１つ以上のデータセンタに分散されてもよい。仮想化ソフトウェアは、これらの物理リソースによって実行され、仮想化分散環境を提供することができる。仮想化は、物理ネットワーク上に（ソフトウエアベースネットワーク、ソフトウェア定義ネットワーク、または仮想ネットワークとも呼ばれる）オーバーレイネットワークを作成する。ＣＳＰＩ物理ネットワークは、物理ネットワークの上に１つ以上のオーバーレイまたは仮想ネットワークを作成するための基礎を提供する。仮想ネットワークまたはオーバーレイネットワークは、１つ以上の仮想クラウドネットワーク（ＶＣＮ）を含むことができる。仮想ネットワークは、ソフトウェア仮想化技術（例えば、ハイパーバイザ、ネットワーク仮想化デバイス（ＮＶＤ）（例えば、スマートＮＩＣ）によって実行される機能、トップオブラック（ＴＯＲ）スイッチ、ＮＶＤによって実行される１つ以上の機能を実装するスマートＴＯＲ、および他のメカニズム）を用いて実装され、物理ネットワークの上で実行できるネットワーク抽象化層を作成する。仮想ネットワークは、ピアツーピアネットワーク、ＩＰネットワークなどの様々な形態をとることができる。仮想ネットワークは、典型的には、レイヤ３ＩＰネットワークまたはレイヤ２ＶＬＡＮのいずれかである。このような仮想ネットワークまたはオーバーレイネットワークは、しばしば仮想レイヤ３ネットワークまたはオーバーレイレイヤ３ネットワークと呼ばれる。仮想ネットワークのために開発されたプロトコルの例は、ＩＰ－ｉｎ－ＩＰ（またはＧＲＥ（Generic Routing Encapsulation））、仮想拡張可能ＬＡＮ（ＶＸＬＡＮ－ＩＥＴＦ ＲＦＣ７３４８）、仮想プライベートネットワーク（ＶＰＮ）（例えば、ＭＰＬＳレイヤ３仮想プライベートネットワーク（ＲＦＣ４３６４））、ＶＭｗａｒｅ ＮＳＸ、ＧＥＮＥＶＥ（Generic Network Virtualization Encapsulation）などを含む。

ＩａａＳの場合、ＣＳＰによって提供されたインフラストラクチャ（ＣＳＰＩ）は、パブリックネットワーク（例えば、インターネット）を介して仮想化計算リソースを提供するように構成されてもよい。ＩａａＳモデルにおいて、クラウドコンピューティングサービスプロバイダは、インフラストラクチャ要素（例えば、サーバ、記憶装置、ネットワークノード（例えば、ハードウェア）、展開ソフトウェア、プラットフォーム仮想化（例えば、ハイパーバイザ層）など）をホストすることができる。場合によっては、ＩａａＳプロバイダは、それらのインフラストラクチャ要素に付随する様々なサービス（例えば、課金、監視、ロギング、セキュリティ、負荷分散およびクラスタリングなど）を提供することができる。これらのサービスがポリシー駆動型であるため、ＩａａＳユーザは、負荷分散を駆動するためのポリシーを実装することによって、アプリケーションの可用性および性能を維持することができる。ＣＳＰＩは、インフラストラクチャおよび一連の補完的なクラウドサービスを提供する。これによって、顧客は、可用性の高いホスト型分散環境で幅広いアプリケーションおよびサービスを構築し、実行することができる。ＣＳＰＩは、顧客オンプレミスネットワークなどの様々なネットワーク拠点から安全にアクセスできる柔軟な仮想ネットワーク上で高性能の計算リソースおよび能力ならびに記憶容量を提供する。顧客がＣＳＰによって提供されたＩａａＳサービスに加入または登録すると、その顧客のために作成されたテナンシは、ＣＳＰＩから安全に分離されたパーティションとなり、顧客は、クラウドリソースを作成、整理、管理することができる。

顧客は、ＣＳＰＩによって提供された計算リソース、メモリリソース、およびネットワーキングリソースを使用して、独自の仮想ネットワークを構築することができる。これらの仮想ネットワーク上に、計算インスタンスなどの1つ以上の顧客リソースまたはワークロードを展開することができる。例えば、顧客は、ＣＳＰＩによって提供されたリソースを使用して、仮想クラウドネットワーク（ＶＣＮ）と呼ばれる１つ以上のカスタマイズ可能なプライベート仮想ネットワークを構築することができる。顧客は、顧客ＶＣＮ上で１つ以上の顧客リソース、例えば計算インスタンスを展開することができる。計算インスタンスは、仮想マシン、ベアメタルインスタンスなどであってもよい。したがって、ＣＳＰＩは、顧客が可用性の高い仮想ホスト環境において様々なアプリケーションおよびサービスを構築および実行することを可能にするインフラストラクチャおよび一連の相補的なクラウドサービスを提供する。顧客は、ＣＳＰＩによって提供された基礎的な物理リソースを管理または制御しないが、オペレーティングシステム、記憶、および展開されたアプリケーションを制御し、場合によっては一部のネットワーキングコンポーネント（例えば、ファイアウォール）を限定的に制御する。

ＣＳＰは、顧客およびネットワーク管理者がＣＳＰＩリソースを使用してクラウドに展開されたリソースを構成、アクセス、および管理することを可能にするコンソールを提供することができる。特定の実施形態において、コンソールは、ＣＳＰＩを利用および管理するために使用することができるウェブベースのユーザインターフェイスを提供する。いくつかの実施形態において、コンソールは、ＣＳＰによって提供されたウェブベースのアプリケーションである。

ＣＳＰＩは、シングルテナンシアーキテクチャまたはマルチテナンシアーキテクチャをサポートすることができる。シングルテナンシアーキテクチャにおいて、ソフトウェア（例えば、アプリケーション、データベース）またはハードウェア要素（例えば、ホストマシンまたはサーバ）は、単一の顧客またはテナントにサービスを提供する。マルチテナンシアーキテクチャにおいて、ソフトウェアまたはハードウェア要素は、複数の顧客またはテナントにサービスを提供する。したがって、マルチテナンシアーキテクチャにおいて、ＣＳＰＩリソースは、複数の顧客またはテナントの間で共有される。マルチテナンシ環境において、各テナントのデータが分離され、他のテナントから見えないようにするために、ＣＳＰＩには予防措置および保護措置が講じられる。

物理ネットワークにおいて、ネットワークエンドポイント（エンドポイント）は、物理ネットワークに接続され、接続されているネットワークと双方向に通信するコンピューティング装置またはシステムを指す。物理ネットワークのネットワークエンドポイントは、ローカルエリアネットワーク（ＬＡＮ）、ワイドエリアネットワーク（ＷＡＮ）、または他の種類の物理ネットワークに接続されてもよい。物理ネットワークの従来のエンドポイントの例は、モデム、ハブ、ブリッジ、スイッチ、ルータ、および他のネットワーキング装置、物理コンピュータ（またはホストマシン）などを含む。物理ネットワークの各物理装置は、当該装置と通信するために使用できる固定ネットワークアドレスを有する。この固定ネットワークアドレスは、レイヤ２アドレス（例えば、ＭＡＣアドレス）、固定レイヤ３アドレス（例えば、ＩＰアドレス）などであってもよい。仮想化環境または仮想ネットワークにおいて、エンドポイントは、物理ネットワークの要素によってホストされている（例えば、物理ホストマシンによってホストされている）仮想マシンなどの様々な仮想エンドポイントを含むことができる。仮想ネットワークのこれらのエンドポイントは、オーバーレイレイヤ２アドレス（例えば、オーバーレイＭＡＣアドレス）およびオーバーレイレイヤ３アドレス（例えば、オーバーレイＩＰアドレス）などのオーバーレイアドレスによってアドレス指定される。ネットワークオーバーレイは、ネットワーク管理者がソフトウェア管理を用いて（例えば、仮想ネットワークの制御プレーンを実装するソフトウェアを介して）ネットワークエンドポイントに関連付けられたオーバーレイアドレスを移動できるようにすることによって柔軟性を実現する。したがって、物理ネットワークとは異なり、仮想ネットワークにおいて、ネットワーク管理ソフトウェアを使用して、オーバーレイアドレス（例えば、オーバーレイＩＰアドレス）を１つのエンドポイントから別のエンドポイントに移動することができる。仮想ネットワークが物理ネットワーク上に構築されているため、仮想ネットワークおよび基礎となる物理ネットワークの両方は、仮想ネットワークの要素間の通信に関与する。このような通信を容易にするために、ＣＳＰＩの各要素は、仮想ネットワークのオーバーレイアドレスを基板ネットワークの実際の物理アドレスにまたは基板ネットワークの実際の物理アドレスを仮想ネットワークのオーバーレイアドレスにマッピングするマッピングを学習および記憶するように構成されている。これらのマッピングは、通信を容易にするために使用される。仮想ネットワークのルーティングを容易にするために、顧客トラフィックは、カプセル化される。

したがって、物理アドレス（例えば、物理ＩＰアドレス）は、物理ネットワークの要素に関連付けられ、オーバーレイアドレス（例えば、オーバーレイＩＰアドレス）は、仮想ネットワークのエンティティに関連付けられる。物理ＩＰアドレスとオーバーレイＩＰアドレスは、いずれも実ＩＰアドレスである。これらは、仮想ＩＰアドレスとは別物であり、仮想ＩＰアドレスは、複数の実ＩＰアドレスにマッピングされる。仮想ＩＰアドレスは、仮想IPアドレスと複数の実ＩＰアドレスの間の１対多のマッピングを提供する。

クラウドインフラストラクチャまたはＣＳＰＩは、世界中の１つ以上の地域の１つ以上のデータセンタに物理的にホストされる。ＣＳＰＩは、物理ネットワークまたは基板ネットワークの要素と、物理ネットワーク要素上に構築された仮想ネットワークの仮想化要素（例えば、仮想ネットワーク、計算インスタンス、仮想マシン）とを含んでもよい。特定の実施形態において、ＣＳＰＩは、レルム（realm）、地域（region）、および利用可能なドメイン（domain）において編成およびホストされる。地域は、典型的には、１つ以上のデータセンタを含む局所的な地理的領域である。地域は、一般的に互いに独立しており、例えば、国または大陸を跨ぐ広大な距離によって分離されてもよい。例えば、第１の地域は、オーストラリアにあってもよく、別の地域は、日本にあってもよく、さらに別の地域は、インドにあってもよい。ＣＳＰＩリソースは、各地域が独立したＣＳＰＩリソースのサブセットを有するようにこれらの地域間で分割される。各地域は、一連のコアインフラストラクチャサービスおよびリソース、例えば、計算リソース（例えば、ベアメタルサーバ、仮想マシン、コンテナおよび関連インフラストラクチャ）、記憶リソース（例えば、ブロックボリューム記憶、ファイル記憶、オブジェクト記憶、アーカイブ記憶）、ネットワーキングリソース（例えば、仮想クラウドネットワーク（ＶＣＮ）、負荷分散リソース、オンプレミスネットワークへの接続）、データベースリソース、エッジネットワーキングリソース（例えば、ＤＮＳ）、アクセス管理および監視リソースなどを提供することができる。各地域は、一般的に、当該地域をレルム内の他の地域に接続するための複数の経路を持つ。

一般的に、アプリケーションは、近くのリソースを使用することが遠くのリソースを使用することよりも速いため、最も多く使用される地域に展開される（すなわち、その地域に関連するインフラストラクチャ上に展開される）。また、アプリケーションは、大規模な気象システムまたは地震などの地域全体のイベントのリスクを軽減するための冗長性、法的管轄、税金ドメイン、および他のビジネスまたは社会的基準に対する様々な要件を満たすための冗長性など、様々な理由で異なる地域に展開されてもよい。

地域内のデータセンタは、さらに編成され、利用可能なドメイン（availability domain：ＡＤ）に細分化されてもよい。利用可能なドメインは、ある地域に配置された１つ以上のデータセンタに対応してもよい。地域は、１つ以上の利用可能なドメインから構成されてもよい。このような分散環境において、ＣＳＰＩリソースは、仮想クラウドネットワーク（ＶＣＮ）などの地域に固有なものまたは計算インスタンスなどの利用可能なドメインに固有なものである。

１つの地域内のＡＤは、フォールトトレラント（fault tolerant）になるように互いに分離され、同時に故障する可能性が非常に低くなるように構成されている。これは、１つの地域内の１つのＡＤの障害が同じ地域内の他のＡＤの可用性に影響を与えることが殆どないように、ネットワーキング、物理ケーブル、ケーブル経路、ケーブル入口などの重要なインフラストラクチャリソースを共有しないように、ＡＤを構成することによって達成される。同じ地域内のＡＤを低遅延広帯域のネットワークで互いに接続することによって、他のネットワーク（例えば、インターネット、顧客オンプレミスネットワーク）への高可用性接続を提供し、複数のＡＤにおいて高可用性および災害復旧の両方のための複製システムを構築することができる。クラウドセンアイスは、複数のＡＤを利用して、高可用性を確保すると共に、リソースの障害から保護する。ＩａａＳプロバイダによって提供されたインフラストラクチャが成長するにつれて、追加の容量と共により多くの地域およびＡＤを追加してもよい。利用可能なドメイン間のトラフィックは、通常、暗号化される。

特定の実施形態において、地域は、レルムにグループ化される。レルムは、地域の論理的な集合である。レルムは、互いに隔離されており、いかなるデータを共有しない。同じレルム内の地域は、互いに通信することができるが、異なるレルム内の地域は、通信することができない。ＣＳＰの顧客のテナンシまたはアカウントは、単一のレルムに存在し、その単一のレルムに属する１つ以上の地域を跨ることができる。典型的には、顧客がＩａａＳサービスに加入すると、レルム内の顧客指定地域（「ホーム」地域と呼ばれる）に、その顧客のテナンシまたはアカウントが作成される。顧客は、顧客のテナンシをレルム内の１つ以上の他の地域に拡張することができる。顧客は、顧客のテナンシが存在するレルム内に存在していない地域にアクセスすることができない。

ＩａａＳプロバイダは、複数のレルムを提供することができ、各レルムは、特定の組の顧客またはユーザに対応する。例えば、商用レルムは、商用顧客のために提供されてもよい。別の例として、レルムは、特定の国のためにまたはその国の顧客のために提供されてもよい。さらに別の例として、政府用レルムは、例えば政府のために提供されてもよい。例えば、政府用レルムは、特定の政府のために作成されてもよく、商用レルムよりも高いセキュリティレベルを有してもよい。例えば、オラクル（登録商標）クラウドインフラストラクチャ（ＯＣＩ）は、現在、商用領域向けのレルムと、政府クラウド領域向けの２つのレルム（例えば、ＦｅｄＲＡＭＰ認可およびＩＬ５認可）とを提供する。

特定の実施形態において、ＡＤは、１つ以上の障害ドメイン（fault domain）に細分化することができる。障害ドメインは、反親和性（anti-affinity）を提供するために、ＡＤ内のインフラストラクチャリソースをグループ化したものである。障害ドメインは、計算インスタンスを分散することができる。これによって、計算インスタンスは、１つのＡＤ内の同じ物理ハードウェア上に配置されない。これは、反親和性として知られている。障害ドメインは、１つの障害点を共有するハードウェア要素（コンピュータ、スイッチなど）の集合を指す。計算プールは、障害ドメインに論理的に分割される。このため、１つの障害ドメインに影響を与えるハードウェア障害または計算ハードウェア保守イベントは、他の障害ドメインのインスタンスに影響を与えない。実施形態によっては、各ＡＤの障害ドメインの数は、異なってもよい。例えば、特定の実施形態において、各ＡＤは、３つの障害ドメインを含む。障害ドメインは、ＡＤ内の論理データセンタとして機能する。

顧客がＩａａＳサービスに加入すると、ＣＳＰＩからのリソースは、顧客にプロビジョニングされ、顧客のテナンシに関連付けられる。顧客は、これらのプロビジョニングされたリソースを使用して、プライベートネットワークを構築し、これらのネットワーク上にリソースを展開することができる。ＣＳＰＩによってクラウド上でホストされている顧客ネットワークは、仮想クラウドネットワーク（ＶＣＮ）と呼ばれる。顧客は、顧客用に割り当てられたＣＳＰＩリソースを使用して、１つ以上の仮想クラウドネットワーク（ＶＣＮ）を構成することができる。ＶＣＮとは、仮想またはソフトウェア定義のプライベートネットワークである。顧客のＶＣＮに配備された顧客リソースは、計算インスタンス（例えば、仮想マシン、ベアメタルインスタンス）および他のリソースを含むことができる。これらの計算インスタンスは、アプリケーション、ロードバランサ、データベースなどの様々な顧客作業負荷を表してもよい。ＶＣＮ上に配備された計算インスタンスは、インターネットなどのパブリックネットワークを介して公的にアクセス可能なエンドポイント（パブリックエンドポイント）と通信することができ、同じＶＣＮまたは他のＶＣＮ（例えば、顧客の他のＶＣＮ、または顧客に属さないＶＣＮ）内の他のインスタンスと通信することができ、顧客オンプレミスデータセンタまたはネットワークと通信することができ、センディエンドポイントと通信することができ、および他の種類のエンドポイントと通信することができる。

ＣＳＰは、ＣＳＰＩを用いて多様なサービスを提供することができる。場合によっては、ＣＳＰＩの顧客自身は、サービスプロバイダのように振る舞い、ＣＳＰＩリソースを使用してサービスを提供することができる。サービスプロバイダは、識別情報（例えば、ＩＰアドレス、ＤＮＳ名およびポート）によって特徴付けられるサービスエンドポイントを公開することができる。顧客のリソース（例えば、計算インスタンス）は、サービスによって公開されたその特定のサービスのサービスエンドポイントにアクセスすることによって、特定のサービスを消費することができる。これらのサービスエンドポイントは、一般に、ユーザがエンドポイントに関連付けられたパブリックＩＰアドレスを使用して、インターネットなどのパブリック通信ネットワークを介して公的にアクセス可能なエンドポイントである。公的にアクセス可能なネットワークエンドポイントは、パブリックエンドポイントと呼ばれることもある。

特定の実施形態において、サービスプロバイダは、（サービスエンドポイントと呼ばれることもある）サービスのエンドポイントを介してサービスを公開することができる。サービスの顧客は、このサービスエンドポイントを使用してサービスにアクセスすることができる。特定の実施形態において、サービスのために提供されたサービスエンドポイントは、そのサービスを消費しようとする複数の顧客によってアクセスすることができる。他の実装形態において、専用のサービスエンドポイントを顧客に提供してもよい。したがって、その顧客のみは、その専用センディエンドポイントを使用してサービスにアクセスすることができる。

特定の実施形態において、ＶＣＮは、作成されると、そのＶＣＮに割り当てられたプライベートオーバーレイＩＰアドレス範囲（例えば、１０．０／１６）であるプライベートオーバーレイクラスレスドメイン間ルーティング（Classless Inter-Domain Routing：ＣＩＤＲ）アドレス空間に関連付けられる。ＶＣＮは、関連するサブネット、ルートテーブル、およびゲートウェイを含む。ＶＣＮは、単一の地域内に存在するが、地域の１つ以上または全ての利用可能なドメインに拡張することができる。ゲートウェイは、ＶＣＮ用に構成され、ＶＣＮとＶＣＮ外部の１つ以上のエンドポイントとの間のトラフィック通信を可能にする仮想インターフェースである。ＶＣＮの１つ以上の異なる種類のゲートウェイを構成することによって、異なる種類のエンドポイント間の通信を可能にすることができる。

ＶＣＮは、１つ以上のサブネットなどの１つ以上のサブネットワークに細分化されてもよい。したがって、サブネットは、ＶＣＮ内で作成され得る構成単位または区画である。ＶＣＮは、１つ以上のサブネットを持つことができる。ＶＣＮ内の各サブネットは、当該ＶＣＮ内の他のサブネットと重複せず、当該ＶＣＮのアドレス空間のアドレス空間サブセットを表すオーバーレイＩＰアドレス（例えば、１０．０．０．０／２４および１０．０．１．０／２４）の連続範囲に関連付けられる。

各計算インスタンスは、仮想ネットワークインターフェイスカード（ＶＮＩＣ）に関連付けられる。これによって、各計算インスタンスは、ＶＣＮのサブネットに参加することができる。ＶＮＩＣは、物理ネットワークインターフェイスカード（ＮＩＣ）の論理表現である。一般的に、ＶＮＩＣは、エンティティ（例えば、計算インスタンス、サービス）と仮想ネットワークとの間のインターフェースである。ＶＮＩＣは、サブネットに存在し、１つ以上の関連するＩＰアドレスと、関連するセキュリティルールまたはポリシーとを有する。ＶＮＩＣは、スイッチ上のレイヤ２ポートに相当する。ＶＮＩＣは、計算インスタンスと、ＶＣＮ内のサブネットとに接続されている。計算インスタンスに関連付けられたＶＮＩＣは、計算インスタンスがＶＣＮのサブネットの一部であることを可能にし、計算インスタンスが、計算インスタンスと同じサブネット上にあるエンドポイントと、ＶＣＮ内の異なるサブネット内のエンドポイントと、またはＶＣＮ外部のエンドポイントと通信する（例えば、パケットを送信および受信する）ことを可能にする。したがって、計算インスタンスに関連するＶＮＩＣは、計算インスタンスがＶＣＮの内部および外部のエンドポイントとどのように接続しているかを判断する。計算インスタンスのＶＮＩＣは、計算インスタンスが作成され、ＶＣＮ内のサブネットに追加されるときに作成され、その計算インスタンスに関連付けられる。サブネットは、計算インスタンスのセットからなる場合、計算インスタンスのセットに対応するＶＮＩＣを含み、各ＶＮＩＣは、コンピュータインスタンスのセット内の計算インスタンスに接続されている。

計算インスタンスに関連するＶＮＩＣを介して、各計算インスタンスにはプライベートオーバーレイＩＰアドレスが割り当てられる。このプライベートオーバーレイＩＰアドレスは、計算インスタンスの作成時に計算インスタンスに関連するＶＮＩＣに割り当てられ、計算インスタンスのトラフィックをルーティングするために使用される。特定のサブネット内の全てのＶＮＩＣは、同じルートテーブル、セキュリティリスト、およびＤＨＣＰオプションを使用する。上述したように、ＶＣＮ内の各サブネットは、当該ＶＣＮ内の他のサブネットと重複せず、当該ＶＣＮのアドレス空間のアドレス空間サブセットを表すオーバーレイＩＰアドレス（例えば、１０．０．０．０／２４および１０．０．１．０／２４）の連続範囲に関連付けられる。ＶＣＮの特定のサブネット上のＶＮＩＣの場合、ＶＮＩＣに割り当てられたオーバーレイＩＰアドレスは、サブネットに割り当てられたオーバーレイＩＰアドレスの連続範囲からのアドレスである。

特定の実施形態において、必要に応じて、計算インスタンスには、プライベートオーバーレイＩＰアドレスに加えて、追加のオーバーレイＩＰアドレス、例えば、パブリックサブネットの場合に１つ以上のパブリックＩＰアドレスを割り当てることができる。これらの複数のアドレスは、同じＶＮＩＣ、または計算インスタンスに関連付けられた複数のＶＮＩＣに割り当てられる。しかしながら、各インスタンスは、インスタンス起動時に作成され、インスタンスに割り当てられたオーバーレイプライベートＩＰアドレスに関連付けられたプライマリＶＮＩＣを有する。このプライマリＶＮＩＣは、削除することができない。セカンダリＶＮＩＣと呼ばれる追加のＶＮＩＣは、プライマリＶＮＩＣと同じ利用可能なドメイン内の既存のインスタンスに追加することができる。全てのＶＮＩＣは、インスタンスと同じ利用可能なドメインにある。セカンダリＶＮＩＣは、プライマリＶＮＩＣと同じＶＣＮのサブネットにあってもよく、または同じＶＣＮまたは異なるＶＣＮの異なるサブネットにあってもよい。

計算インスタンスは、パブリックサブネットにある場合、オプションでパブリックＩＰアドレスを割り当てられることができる。サブネットを作成するときに、当該サブネットをパブリックサブネットまたはプライベートサブネットのいずれかとして指定することができる。プライベートサブネットとは、当該サブネット内のリソース（例えば、計算インスタンス）および関連するＶＮＩＣがパブリックオーバーレイＩＰアドレスを持つことができないことを意味する。パブリックサブネットとは、サブネット内のリソースおよび関連するＶＮＩＣがパブリックＩＰアドレスを持つことができることを意味する。顧客は、地域またはレルム内の単一の利用可能なドメインまたは複数の利用可能なドメインにわたって存在するサブネットを指定することができる。

上述したように、ＶＣＮは、１つ以上のサブネットに細分化されてもよい。特定の実施形態において、ＶＣＮのために構成された仮想ルータ（ＶＣＮ ＶＲまたは単にＶＲと呼ばれる）は、ＶＣＮのサブネット間の通信を可能にする。ＶＣＮ内のサブネットの場合、ＶＲは、サブネット（すなわち、当該サブネット上の計算インスタンス）と、ＶＣＮ内部の他のサブネット上のエンドポイントおよびＶＣＮ外部の他のエンドポイントとの通信を可能にする当該サブネットの論理ゲートウェイを表す。ＶＣＮ ＶＲは、ＶＣＮ内のＶＮＩＣと、ＶＣＮに関連する仮想ゲートウェイ（ゲートウェイ）との間のトラフィックをルーティングするように構成された論理エンティティである。ゲートウェイは、図１に関して以下でさらに説明される。ＶＣＮ ＶＲは、レイヤ３／ＩＰレイヤの概念である。一実施形態において、１つのＶＣＮに対して１つのＶＣＮ ＶＲが存在する。このＶＣＮ ＶＲは、ＩＰアドレスによってアドレス指定された無制限の数のポートを潜在的に有し、ＶＣＮの各サブネットに対して１つのポートを有する。このようにして、ＶＣＮ ＶＲは、ＶＣＮ ＶＲが接続されているＶＣＮの各サブネットに対して異なるＩＰアドレスを有する。また、ＶＲは、ＶＣＮのために構成された様々なゲートウェイに接続されている。特定の実施形態において、サブネットのオーバーレイＩＰアドレス範囲からの特定のオーバーレイＩＰアドレスは、そのサブネットのＶＣＮ ＶＲのポートに保留される。例えば、関連するアドレス範囲１０．０／１６および１０．１／１６を各々有する２つのサブネットを有するＶＣＮを考える。アドレス範囲１０．０／１６を有するＶＣＮの第１のサブネットの場合、この範囲からのアドレスは、そのサブネットのＶＣＮ ＶＲのポートに保留される。場合によっては、この範囲からの第１のＩＰアドレスは、ＶＣＮ ＶＲに保留されてもよい。例えば、オーバーレイＩＰアドレス範囲１０．０／１６を有するサブネットの場合、ＩＰアドレス１０．０．０．１は、そのサブネットのＶＣＮ ＶＲのポートに保留されてもよい。同じＶＣＮ内のアドレス範囲１０．１／１６を有する第２のサブネットの場合、ＶＣＮ ＶＲは、ＩＰアドレス１０．１．０．１を有する第２のサブネットのポートを有してもよい。ＶＣＮ ＶＲは、ＶＣＮ内の各サブネットに対して異なるＩＰアドレスを有する。

いくつかの他の実施形態において、ＶＣＮ内の各サブネットは、ＶＲに関連付けられた保留またはデフォルトＩＰアドレスを使用してサブネットによってアドレス指定可能な、それ自身に関連するＶＲを有してもよい。保留またはデフォルトＩＰアドレスは、例えば、そのサブネットに関連付けられたＩＰアドレスの範囲からの第１のＩＰアドレスであってもよい。サブネット内のＶＮＩＣは、このデフォルトまたは保留ＩＰアドレスを使用して、サブネットに関連付けられたＶＲと通信（例えば、パケットを送信および受信）することができる。このような実施形態において、ＶＲは、そのサブネットの着信／送信ポイントである。ＶＣＮ内のサブネットに関連付けられたＶＲは、ＶＣＮ内の他のサブネットに関連付けられた他のＶＲと通信することができる。また、ＶＲは、ＶＣＮに関連付けられたゲートウェイと通信することができる。サブネットのＶＲ機能は、サブネット内のＶＮＩＣのＶＮＩＣ機能を実行する１つ以上のＮＶＤ上で実行され、またはそれによって実行される。

ルートテーブル、セキュリティルール、およびＤＨＣＰオプションは、ＶＣＮのために構成されてもよい。ルートテーブルは、ＶＣＮの仮想ルートテーブルであり、ゲートウェイまたは特別に構成されたインスタンスを経由して、トラフィックをＶＣＮ内部のサブネットからＶＣＮ外部の宛先にルーティングするためのルールを含む。ＶＣＮとの間でパケットの転送/ルーティングを制御するために、ＶＣＮのルートテーブルをカスタマイズすることができる。ＤＨＣＰオプションは、インスタンスの起動時にインスタンスに自動的に提供される構成情報を指す。

ＶＣＮのために構成されたセキュリティルールは、ＶＣＮのオーバーレイファイアウォールルールを表す。セキュリティルールは、受信ルールおよび送信ルールを含むことができ、（例えば、プロトコルおよびポートに基づいて）ＶＣＮ内のインスタンスに出入りすることを許可されるトラフィックの種類を指定することができる。顧客は、特定の規則をステートフルまたはステートレスにするかを選択することができる。例えば、顧客は、送信元ＣＩＤＲ０．０．０．０／０および宛先ＴＣＰポート２２を含むステートフル受信ルールを設定することによって、任意の場所から１組のインスタンスへの着信ＳＳＨトラフィックを許可することができる。セキュリティルールは、ネットワークセキュリティグループまたはセキュリティリストを使用して実装されてもよい。ネットワークセキュリティグループは、そのグループ内のリソースのみに適用されるセキュリティルールのセットからなる。一方、セキュリティリストは、そのセキュリティリストを使用するサブネット内の全てのリソースに適用されるルールを含む。ＶＣＮは、デフォルトセキュリティルールとデフォルトセキュリティリストを含んでもよい。ＶＣＮのために構成されたＤＨＣＰオプションは、ＶＣＮ内のインスタンスが起動するときに自動的に提供される構成情報を提供する。

特定の実施形態において、ＶＣＮの構成情報は、ＶＣＮ制御プレーンによって決定され、記憶される。ＶＣＮの構成情報は、例えば、ＶＣＮに関連するアドレス範囲、ＶＣＮ内のサブネットおよび関連情報、ＶＣＮに関連する１つ以上のＶＲ、ＶＣＮ内の計算インスタンスおよび関連ＶＮＩＣ、ＶＣＮに関連する種々の仮想化ネットワーク機能（例えば、ＶＮＩＣ、ＶＲ、ゲートウェイ）を実行するＮＶＤ、ＶＣＮの状態情報、および他のＶＣＮ関連情報を含んでもよい。特定の実施形態において、ＶＣＮ配信サービスは、ＶＣＮ制御プレーンによって記憶された構成情報またはその一部をＮＶＤに公開する。配信された情報を用いて、ＮＶＤによって記憶および使用される情報（例えば、転送テーブル、ルーティングテーブルなど）を更新することによって、ＶＣＮ内のコンピュートインスタンスとの間でパケットを転送することができる。

特定の実施形態において、ＶＣＮおよびサブネットの作成は、ＶＣＮ制御プレーン（ＣＰ）によって処理され、計算インスタンスの起動は、計算制御プレーンによって処理される。計算制御プレーンは、計算インスタンスの物理リソースを割り当て、次にＶＣＮ制御プレーンを呼び出して、ＶＮＩＣを作成し、計算インスタンスに接続するように構成される。また、ＶＣＮ ＣＰは、パケットの転送およびルーティング機能を実行するように構成されたＶＣＮデータプレーンに、ＶＣＮデータマッピングを送信する。特定の実施形態において、ＶＣＮ ＣＰは、更新をＶＣＮデータプレーンに提供するように構成された配信サービスを提供する。ＶＣＮ制御プレーンの例は、図１７、１８、１９および２０（参照番号、１７１６、１８１６、１９１６および２０１６を参照）に示され、以下に説明される。

顧客は、ＣＳＰＩによってホストされているリソースを用いて、１つ以上のＶＣＮを作成することができる。顧客ＶＣＮ上に展開された計算インスタンスは、異なるエンドポイントと通信することができる。これらのエンドポイントは、ＣＳＰＩによってホストされているエンドポイントおよびＣＳＰＬ外部のエンドポイントを含むことができる。

ＣＳＰＩを用いてクラウドベースのサービスを実装するための様々な異なるアーキテクチャは、図１、２、３、４、５、１７、１８、１９および２１に示され、以下に説明される。図１は、特定の実施形態に従って、ＣＳＰＩによってホストされているオーバーレイＶＣＮまたは顧客ＶＣＮを示す分散環境１００のハイレベル図である。図１に示された分散環境は、オーバーレイネットワーク内の複数の要素を含む。図１に示された分散環境１００は、単なる例であり、特許請求された実施形態の範囲を不当に限定することを意図していない。多くの変形例、代替例、および修正例が可能である。例えば、いくつかの実装形態において、図１に示された分散環境は、図１に示されたものより多いまたは少ないシステムまたは要素を有してもよく、２つ以上のシステムを組み合わせてもよく、または異なるシステムの構成または配置を有してもよい。

図１の例に示されたように、分散環境１００は、顧客が加入して仮想クラウドネットワーク（ＶＣＮ）を構築するために使用することができるサービスおよびリソースを提供するＣＳＰＩ１０１を含む。特定の実施形態において、ＣＳＰＩ１０１は、加入顧客にＩａａＳサービスを提供する。ＣＳＰＩ１０１内のデータセンタは、１つ以上の地域に編成されてもよい。図１は、地域の一例である「ＵＳ地域」１０２を示す。顧客は、地域１０２に対して顧客ＶＣＮ１０４を構成している。顧客は、ＶＣＮ１０４上に様々な計算インスタンスを展開することができ、計算インスタンスは、仮想マシンまたはベアメタルインスタンスを含むことができる。インスタンスの例は、アプリケーション、データベース、ロードバランサなどを含む。

図１に示された実施形態において、顧客ＶＣＮ１０４は、２つのサブネット、すなわち、「サブネット－１」および「サブネット－２」を含み、各サブネットは、各自のＣＩＤＲ ＩＰアドレス範囲を有する。図１において、サブネット－１のオーバーレイＩＰアドレス範囲は、１０．０／１６であり、サブネット－２のアドレス範囲は、１０．１／１６である。ＶＣＮ仮想ルータ１０５は、ＶＣＮ１０４のサブネット間の通信およびＶＣＮ外部の他のエンドポイントとの通信を可能にするＶＣＮの論理ゲートウェイを表す。ＶＣＮ ＶＲ１０５は、ＶＣＮ１０４内のＶＮＩＣとＶＣＮ１０４に関連するゲートウェイとの間でトラフィックをルーティングするように構成される。ＶＣＮ ＶＲ１０５は、ＶＣＮ１０４の各サブネットにポートを提供する。例えば、ＶＲ１０５は、ＩＰアドレス１０．０．０．１を有するポートをサブネット－１に提供することができ、ＩＰアドレス１０．１．０．１を有するポートをサブネット－２に提供することができる。

各サブネット上に複数の計算インスタンスを展開することができる。この場合、計算インスタンスは、仮想マシンインスタンスおよび／またはベアメタルインスタンスであってもよい。サブネット内の計算インスタンスは、ＣＳＰＩ１０１内の１つ以上のホストマシンによってホストされてもよい。計算インスタンスは、当該計算インスタンスに関連するＶＮＩＣを介してサブネットに参加する。例えば、図１に示すように、計算インスタンスＣ１は、当該計算インスタンスに関連するＶＮＩＣを介したサブネット－１の一部である。同様に、計算インスタンスＣ２は、Ｃ２に関連するＶＮＩＣを介したサブネット－１の一部である。同様に、仮想マシンインスタンスまたはベアメタルインスタンスであり得る複数の計算インスタンスは、サブネット－１の一部であってもよい。各計算インスタンスには、関連するＶＮＩＣを介して、プライベートオーバーレイＩＰアドレスおよびＭＡＣアドレスが割り当てられる。例えば、図１において、計算インスタンスＣ１は、オーバーレイＩＰアドレス１０．０．０．２およびＭＡＣアドレスＭ１を有し、計算インスタンスＣ２は、プライベートオーバーレイＩＰアドレス１０．０．０．３およびＭＡＣアドレスＭ２を有する。計算インスタンスＣ１およびＣ２を含むサブネット－１内の各計算インスタンスは、サブネット－１のＶＣＮ ＶＲ１０５のポートのＩＰアドレスであるＩＰアドレス１０．０．０．１を使用して、ＶＣＮ ＶＲ１０５へのデフォルトルートを有する。

サブネット－２には、仮想マシンインスタンスおよび／またはベアメタルインスタンスを含む複数の計算インスタンスを展開することができる。例えば、図１に示すように、計算インスタンスＤｌおよびＤ２は、それぞれの計算インスタンスに関連するＶＮＩＣを介したサブネット－２の一部である。図１に示す実施形態において、計算インスタンスＤ１は、オーバーレイＩＰアドレス１０．１．０．２およびＭＡＣアドレスＭＭ１を有し、計算インスタンスＤ２は、プライベートオーバーレイＩＰアドレス１０．１．０．３およびＭＡＣアドレスＭＭ２を有する。計算インスタンスＤ１およびＤ２を含むサブネット－２内の各計算インスタンスは、サブネット－２のＶＣＮ ＶＲ１０５のポートのＩＰアドレスであるＩＰアドレス１０．１．０．１を使用して、ＶＣＮ ＶＲ１０５へのデフォルトルートを有する。

また、ＶＣＮ Ａ１０４は、１つ以上のロードバランサを含んでもよい。例えば、ロードバランサは、サブネットに対して提供されてもよく、サブネット上の複数の計算インスタンス間でトラフィックをロードバランスするように構成されてもよい。また、ロードバランサは、ＶＣＮ内のサブネット間でトラフィックをロードバランスするように提供されてもよい。

ＶＣＮ１０４上に展開された特定の計算インスタンスは、様々な異なるエンドポイントと通信することができる。これらのエンドポイントは、ＣＳＰＩ２００によってホストされているエンドポイントと、ＣＳＰＩ２００外部のエンドポイントとを含んでもよい。ＣＳＰＩ１０１によってホストされているエンドポイントは、特定の計算インスタンスと同じサブネット上のエンドポイント（例えば、サブネット－１の２つの計算インスタンス間の通信）、異なるサブネットにあるが同じＶＣＮ内のエンドポイント（例えば、サブネット－１の計算インスタンスとサブネット－２の計算インスタンスとの間の通信）、同じ地域の異なるＶＣＮ内のエンドポイント（例えば、サブネット－１の計算インスタンスと、同じ地域１０６または１１０のＶＣＮ内のエンドポイントとの間の通信、サブネット－１内の計算インスタンスと、同じ地域のサービスネットワーク１１０内のエンドポイントとの間の通信）、または異なる地域のＶＣＮ内のエンドポイント（例えば、サブネット－１の計算インスタンスと、異なる地域１０８のＶＣＮ内のエンドポイントとの間の通信）を含んでもよい。また、ＣＳＰＩ１０１によってホストされているサブネット内の計算インスタンスは、ＣＳＰＩ１０１によってホストされていない（すなわち、ＣＳＰＩ１０１の外部にある）エンドポイントと通信することができる。これらの外部のエンドポイントは、顧客オンプレミスネットワーク１１６内のエンドポイント、他のリモートクラウドホストネットワーク１１８内のエンドポイント、インターネットなどのパブリックネットワークを介してアクセス可能なパブリックエンドポイント１１４、および他のエンドポイントを含む。

同じサブネット上の計算インスタンス間の通信は、送信元計算インスタンスおよび宛先計算インスタンスに関連するＶＮＩＣを使用して促進される。例えば、サブネット－１内の計算インスタンスＣ１は、サブネット－１内の計算インスタンスＣ２にパケットを送信したいことがある。送信元計算インスタンスから送信され、その宛先が同じサブネット内の別の計算インスタンスであるパケットの場合、このパケットは、まず、送信元計算インスタンスに関連するＶＮＩＣによって処理される。送信元計算インスタンスに関連するＶＮＩＣによって実行される処理は、パケットヘッダからパケットの宛先情報を決定することと、送信元計算インスタンスに関連するＶＮＩＣに対して構成された任意のポリシー（例えば、セキュリティリスト）を識別することと、パケットのネクストホップ（next hop）を決定することと、必要に応じて任意のパケットのカプセル化／カプセル除去機能を実行することと、パケットの意図した宛先への通信を容易にするためにパケットをネクストホップに転送／ルーティングすることとを含んでもよい。宛先計算インスタンスが送信元計算インスタンスと同じサブネットにある場合、送信元計算インスタンスに関連するＶＮＩＣは、宛先計算インスタンスに関連するＶＮＩＣを識別し、処理するためのパケットをそのＶＮＩＣに転送するように構成されている。次いで、宛先計算インスタンスに関連するＶＮＩＣは、実行され、パケットを宛先計算インスタンスに転送する。

サブネット内の計算インスタンスから同じＶＣＮの異なるサブネット内のエンドポイントにパケットを通信する場合、通信は、送信元計算インスタンスおよび宛先計算インスタンスに関連するＶＮＩＣと、ＶＣＮ ＶＲとによって促進される。例えば、図１のサブネット－１の計算インスタンスＣ１がサブネット－２の計算インスタンスＤ１にパケットを送信したい場合、パケットは、まず、計算インスタンスＣ１に関連するＶＮＩＣによって処理される。計算インスタンスＣ１に関連するＶＮＩＣは、ＶＣＮ ＶＲのデフォルトルートまたはポート１０．０．０．１を使用して、パケットをＶＣＮ ＶＲ１０５にルーティングするように構成されている。ＶＣＮ ＶＲ１０５は、ポート１０．１．０．１を使用してパケットをサブネット－２にルーティングするように構成されている。その後、パケットは、Ｄ１に関連するＶＮＩＣによって受信および処理され、ＶＮＩＣは、パケットを計算インスタンスＤ１に転送する。

ＶＣＮ１０４内の計算インスタンスからＶＣＮ１０４の外部のエンドポイントにパケットを通信するために、通信は、送信元計算インスタンスに関連するＶＮＩＣ、ＶＣＮ ＶＲ１０５、およびＶＣＮ１０４に関連するゲートウェイによって促進される。１つ以上の種類のゲートウェイをＶＣＮ１０４に関連付けることができる。ゲートウェイは、ＶＣＮと別のエンドポイントとの間のインターフェースであり、別のエンドポイントは、ＶＣＮの外部にある。ゲートウェイは、レイヤ３／ＩＰレイヤ概念であり、ＶＣＮとＶＣＮの外部のエンドポイントとの通信を可能にする。したがって、ゲートウェイは、ＶＣＮと他のＶＣＮまたはネットワークとの間のトラフィックフローを容易にする。異なる種類のエンドポイントとの異なる種類の通信を容易にするために、様々な異なる種類のゲートウェイをＶＣＮに設定することができる。ゲートウェイによって、通信は、パブリックネットワーク（例えば、インターネット）またはプライベートネットワークを介して行われてもよい。これらの通信には、様々な通信プロトコルを使用してもよい。

例えば、計算インスタンスＣ１は、ＶＣＮ１０４の外部のエンドポイントと通信したい場合がある。パケットは、まず、送信元計算インスタンスＣ１に関連するＶＮＩＣによって処理されてもよい。ＶＮＩＣ処理は、パケットの宛先がＣｌのサブネット－１の外部にあると判断する。Ｃ１に関連するＶＮＩＣは、パケットをＶＣＮ１０４のＶＣＮ ＶＲ１０５に転送することができる。次いで、ＶＣＮ ＶＲ１０５は、パケットを処理し、処理の一部として、パケットの宛先に基づいて、ＶＣＮ１０４に関連する特定のゲートウェイをパケットのネクストホップとして決定する。その後、ＶＣＮ ＶＲ１０５は、パケットを特定のゲートウェイに転送することができる。例えば、宛先が顧客のオペプレミスネットワーク内のエンドポイントである場合、パケットは、ＶＣＮ ＶＲ１０５によって、ＶＣＮ１０４のために構成された動的ルーティングゲートウェイ（ＤＲＧ）１２２に転送されてもよい。その後、パケットは、ゲートウェイからネクストホップに転送され、意図した最終の宛先へのパケットの通信を容易にすることができる。

ＶＣＮのために様々な異なる種類のゲートウェイを構成してもよい。ＶＣＮのために構成され得るゲートウェイの例は、図１に示され、以下に説明される。ＶＣＮに関連するゲートウェイの例は、図１７、１８、１９および２０（例えば、参照番号１７３４、１７３６、１７３８、１８３４、１８３６、１８３８、１９３４、１９３６、１９３８、２０３４、２０３６、および２０３８によって示されたゲートウェイ）にも示され、以下に説明される。図１に示された実施形態に示されるように、動的ルーティングゲートウェイ（ＤＲＧ）１２２は、顧客ＶＣＮ１０４に追加されてもよく、またはそれに関連付けられてもよい。ＤＲＧ１２２は、顧客ＶＣＮ１０４と別のエンドポイントとの間のプライベートネットワークトラフィック通信を行うための経路を提供する。別のエンドポイントは、顧客オンプレミスネットワーク１１６、ＣＳＰＩ１０１の異なる地域内のＶＣＮ１０８、またはＣＳＰＩ１０１によってホストされていない他のリモートクラウドネットワーク１１８であってもよい。顧客オンプレミスネットワーク１１６は、顧客のリソースを用いて構築された顧客ネットワークまたは顧客データセンタであってもよい。顧客オンプレミスネットワーク１１６へのアクセスは、一般的に厳しく制限される。顧客オンプレミスネットワーク１１６と、ＣＳＰＩ１０１によってクラウドに展開またはホストされる１つ以上のＶＣＮ１０４との両方を有する顧客の場合、顧客は、オンプレミスネットワーク１１６およびクラウドベースのＶＣＮ１０４が互いに通信できることを望む場合がある。これによって、顧客は、ＣＳＰＩ１０１によってホストされている顧客のＶＣＮ１０４とオンプレミスネットワーク１１６とを含む拡張ハイブリッド環境を構築することができる。ＤＲＧ１２２は、このような通信を可能にする。このような通信を可能にするために、通信チャネル１２４が設定される。この場合、通信チャネルの一方のエンドポイントは、顧客オンプレミスネットワーク１１６にあり、他方のエンドポイントは、ＣＳＰＩ１０１にあり、顧客ＶＣＮ１０４に接続されている。通信チャネル１２４は、インターネットなどのパブリック通信ネットワーク、またはプライベート通信ネットワークを経由することができる。インターネットなどのパブリック通信ネットワーク上のＩＰｓｅｃ ＶＰＮ技術、パブリックネットワークの代わりにプライベートネットワークを使用するオラクル（登録商標）のFastConnect技術などの様々な異なる通信プロトコルを使用することができる。通信チャネル１２４の１つのエンドポイントを形成する顧客オンプレミスネットワーク１１６内の装置または機器は、図１に示されたＣＰＥ１２６などの顧客構内機器（ＣＰＥ）と呼ばれる。ＣＳＰＩ１０１側のエンドポイントは、ＤＲＧ１２２を実行するホストマシンであってもよい。

特定の実施形態において、リモートピアリング接続（ＲＰＣ）をＤＲＧに追加することができる。これによって、顧客は、１つのＶＣＮを別の地域内の別のＶＣＮとピアリングすることができる。このようなＲＰＣを使用して、顧客ＶＣＮ１０４は、ＤＲＧ１２２を使用して、別の地域内のＶＣＮ１０８に接続することができる。また、ＤＲＧ１２２は、ＣＳＰＩ１０１によってホストされていない他のリモートクラウドネットワーク１１８、例えば、マイクロソフト（登録商標）Azureクラウド、アマゾン（登録商標）ＡＷＳクラウドと通信するために使用されてもよい。

図１に示すように、顧客ＶＣＮ１０４上の計算インスタンスがインターネットなどのパブリックネットワークを介してアクセス可能なパブリックエンドポイント１１４と通信することを可能にするように、顧客ＶＣＮ１０４にインターネットゲートウェイ（ＩＧＷ）１２０を構成することができる。ＩＧＷ１１２０は、ＶＣＮをインターネットなどのパブリックネットワークに接続するためのゲートウェイである。ＩＧＷ１２０は、ＶＣＮ１０４などのＶＣＮ内のパブリックサブネット（パブリックサブネット内のリソースは、パブリックオーバーレイＩＰアドレスを有する）がインターネットなどのパブリックネットワーク１１４上のパブリックエンドポイント１１２に直接アクセスすることを可能にする。ＩＧＷ１２０を使用して、ＶＣＮ１０４内のサブネットからまたはインターネットからの接続を開始することができる。

顧客ＶＣＮ１０４にネットワークアドレス変換（ＮＡＴ）ゲートウェイ１２８を構成することができる。ＮＡＴゲートウェイ１２８は、顧客ＶＣＮ内の専用のパブリックオーバーレイＩＰアドレスを有しないクラウドリソースを、直接着信インターネット接続（例えば、Ｌ４－Ｌ７接続）に曝すことなくインターネットにアクセスすることを可能にする。これによって、ＶＣＮ１０４のプライベートサブネット－１などのＶＣＮ内のプライベートサブネットがインターネット上のパブリックエンドポイントにプライベートアクセスすることを可能にする。ＮＡＴゲートウェイにおいて、プライベートサブネットからパブリックインターネットに接続を開始することができるが、インターネットからプライベートサブネットに接続を開始することができない。

特定の実施形態において、顧客ＶＣＮ１０４にサービスゲートウェイ（ＳＧＷ）１２６を構成することができる。ＳＧＷ１２６は、ＶＣＮ１０４とサービスネットワーク１１０にサポートされているサービスエンドポイントとの間のプライベートネットワークトラフィックの経路を提供する。特定の実施形態において、サービスネットワーク１１０は、ＣＳＰによって提供されてもよく、様々なサービスを提供することができる。このようなサービスネットワークの例は、顧客が使用できる様々なサービスを提供するオラクル（登録商標）サービスネットワークである。例えば、顧客ＶＣＮ１０４のプライベートサブネット内の計算インスタンス（例えば、データベースシステム）は、パブリックＩＰアドレスまたはインターネットへのアクセスを必要とすることなく、サービスエンドポイント（例えば、オブジェクト記憶装置）にデータをバックアップすることができる。いくつかの実施形態において、ＶＣＮは、１つのみのＳＧＷを有することができ、ＶＣＮ内のサブネットのみから接続を開始することができ、サービスネットワーク１１０から接続を開始することができない。ＶＣＮを他のＶＣＮにピアリングする場合、他のＶＣＮ内のリソースは、通常ＳＧＷにアクセスすることができない。FastConnectまたはVPN ConnectでＶＣＮに接続されているオンプレミスネットワーク内のリソースも、そのＶＣＮに構成されたサービスゲートウェイを使用することができる。

いくつかの実装形態において、ＳＧＷ１２６は、サービスクラスレスドメイン間ルーティング（ＣＩＤＲ）ラベルを使用する。ＣＩＤＲラベルは、関心のあるサービスまたはサービスのグループに対する全ての地域公開ＩＰアドレス範囲を表す文字列である。顧客は、ＳＧＷおよび関連するルーティングルールを設定する際に、サービスＣＩＤＲラベルを使用してサービスへのトラフィックを制御する。顧客は、サービスのパブリックＩＰアドレスが将来に変化する場合、セキュリティルールを調整する必要なく、セキュリティルールを設定するときにオプションとしてサービスＣＩＤＲラベルを使用することができる。

ローカルピアリングゲートウェイ（ＬＰＧ）１３２は、顧客ＶＣＮ１０４に追加可能なゲートウェイであり、ＶＣＮ１０４が同じ地域内の別のＶＣＮとピアリングすることを可能にするものである。ピアリングとは、トラフィックがインターネットなどのパブリックネットワークを経由することなく、または顧客オンプレミスネットワーク１１６を通してトラフィックをルーティングすることなく、ＶＣＮがプライベートＩＰアドレスを使用して通信することを意味する。好ましい実施形態において、ＶＣＮは、確立した各ピアリングに対して個別のＬＰＧを有する。ローカルピアリングまたはＶＣＮピアリングは、異なるアプリケーション間またはインフラストラクチャ管理機能間のネットワーク接続を確立するために使用される一般的な慣行である。

サービスネットワーク１１０のサービスのプロバイダなどのサービスプロバイダは、異なるアクセスモデルを使用してサービスへのアクセスを提供することができる。パブリックアクセスモデルによれば、サービスは、インターネットなどのパブリックネットワークを介して顧客ＶＣＮ内の計算インスタンスによって公的にアクセス可能なパブリックエンドポイントとして公開されてもよく、またはＳＧＷ１２６を介してプライベートにアクセスされてもよい。特定のプライベートアクセスモデルによれば、サービスは、顧客ＶＣＮ内のプライベートサブネット内のプライベートＩＰエンドポイントとしてアクセスされてもよい。これは、プライベートエンドポイント（ＰＥ）アクセスと呼ばれ、サービスプロバイダがそのサービスを顧客のプライベートネットワーク内のインスタンスとして公開することを可能にする。プライベートエンドポイントリソースは、顧客ＶＣＮ内のサービスを表す。各ＰＥは、顧客が顧客ＶＣＮ内のサブネットから選択したＶＮＩＣ（ＰＥ－ＶＮＩＣと呼ばれ、１つまたは複数のプライベートＩＰを持つ）として現れる。従って、ＰＥは、ＶＮＩＣを使用して顧客のプライベートＶＣＮサブネット内でサービスを提供する方法を提供する。エンドポイントがＶＮＩＣとして公開されるため、ＰＥ ＶＮＩＣは、ＶＮＩＣに関連する全ての機能、例えば、ルーティングルールおよびセキュリティリストなどを利用することができる。

サービスプロバイダは、サービスを登録することによって、ＰＥを介したアクセスを可能にする。プロバイダは、顧客テナントへのサービスの表示を規制するポリシーをサービスに関連付けることができる。プロバイダは、特にマルチテナントサービスの場合、単一の仮想ＩＰアドレス（ＶＩＰ）の下に複数のサービスを登録することができる。（複数のＶＣＮにおいて）同じサービスを表すプライベートエンドポイントが複数存在する場合もある。

その後、プライベートサブネット内の計算インスタンスは、ＰＥ ＶＮＩＣのプライベートＩＰアドレスまたはサービスＤＮＳ名を用いて、サービスにアクセスすることができる。顧客ＶＣＮ内の計算インスタンスは、顧客ＶＣＮ内のＰＥのプライベートＩＰアドレスにトラフィックを送信することによって、サービスにアクセスすることができる。プライベートアクセスゲートウェイ（ＰＡＧＷ）１３０は、顧客サブネットプライベートエンドポイントから／への全てのトラフィックの受信ポイント／送信ポイントとして機能するサービスプロバイダＶＣＮ（例えば、サービスネットワーク１１０内のＶＣＮ）に接続できるゲートウェイリソースである。ＰＡＧＷ１３０によって、プロバイダは、内部ＩＰアドレスリソースを利用することなく、ＰＥ接続の数を拡張することができる。プロバイダは、単一のＶＣＮに登録された任意の数のサービスに対して１つのＰＡＧＷを設定するだけでよい。プロバイダは、１人以上の顧客の複数のＶＣＮにおいて、サービスをプライバシーエンドポイントとして示すことができる。顧客の観点から、ＰＥ ＶＮＩＣは、顧客のインスタンスに接続されているのではなく、顧客が対話したいサービスに接続されているように見える。プライベートエンドポイントに向けられたトラフィックは、ＰＡＧＷ１３０を介してサービスにルーティングされる。これらは、顧客対サービスプライベート接続（Ｃ２Ｓ接続）と呼ばれる。

また、ＰＥ概念を用いて、トラフィックがFastConnect/IPsecリンクおよび顧客ＶＣＮ内のプライベートエンドポイントを通って流れることを可能にすることで、サービスのプライベートアクセスを顧客オンプレミスネットワークおよびデータセンタに拡張することもできる。また、トラフィックがＬＰＧ１３２および顧客ＶＣＮ内のＰＥ間を通って流れることを可能にすることで、サービスのプライベートアクセスを顧客ピアリングＶＣＮに拡張することもできる。

顧客は、サブネットレベルでＶＣＮのルーティングを制御することができるため、ＶＣＮ１０４などの顧客ＶＣＮにおいて各ゲートウェイを使用するサブネットを指定することができる。ＶＣＮのルートテーブルを用いて、特定のゲートウェイを介してトラフィックをＶＣＮの外部にルーティングできるか否かを判断することができる。例えば、特定の事例において、顧客ＶＣＮ１０４内のパブリックサブネットのルートテーブルは、ＩＧＷ１２０を介して非ローカルトラフィックを送信することができる。同じ顧客ＶＣＮ１０４内のプライベートサブネットのルートテーブルは、ＳＧＷ１２６を介してＣＳＰサービスへのトラフィックを送信することができる。残りの全てのトラフィックは、ＮＡＴゲートウェイ１２８を介して送信されてもよい。ルートテーブルは、ＶＣＮから出るトラフィックのみを制御する。

ＶＣＮに関連するセキュリティリストは、インバウンド接続およびゲートウェイを介してＶＣＮに入来するトラフィックを制御するために使用される。サブネット内の全てのリソースは、同じミュートテーブルおよびセキュリティリストを使用する。セキュリティリストは、ＶＣＮのサブネット内のインスタンスに出入りする特定の種類のトラフィックを制御するために使用されてもよい。セキュリティリストルールは、受信（インバウンド）ルールと、送信（アウトバウンド）ルールとを含んでもよい。例えば、受信ルールは、許可された送信元アドレス範囲を指定することができ、送信ルールは、許可された宛先アドレス範囲を指定することができる。セキュリティルールは、特定のプロトコル（例えば、ＴＣＰ、ＩＣＭＰ）、特定のポート（例えば、ＳＳＨの場合ポート２２、ウィンドウズ（登録商標）ＲＤＰの場合ポート３３８９）などを指定することができる。特定の実装形態において、インスタンスのオペレーティングシステムは、セキュリティリストルールと一致する独自のファイアウォールルールを実施することができる。ルールは、ステートフル（例えば、接続が追跡され、応答トラフィックに対する明示的なセキュリティのリストルールなしで応答が自動的に許可される）またはステートレスであってもよい。

顧客ＶＣＮ（すなわち、ＶＣＮ１０４上に展開されたリソースまたは計算インスタンス）からのアクセスは、パブリックアクセス、プライベートアクセス、または専用アクセスとして分類されることができる。パブリックアクセスは、パブリックＩＰアドレスまたはＮＡＴを用いてパブリックエンドポイントにアクセスするためのアクセスモデルを指す。プライベートアクセスは、プライベートＩＰアドレス（例えば、プライベートサブネット内のリソース）を持つＶＣＮ１０４内の顧客ワークロードが、インターネットなどのパブリックネットワークを経由することなく、サービスにアクセスすることを可能にする。特定の実施形態において、ＣＳＰＩ１０１は、プライベートＩＰアドレスを持つ顧客ＶＣＮワークロードが、サービスゲートウェイを使用して、サービスのパブリックサービスエンドポイントにアクセスすることを可能にする。したがって、サービスゲートウェイは、顧客ＶＣＮと顧客プライベートネットワークの外部に存在するサービスのパブリックエンドポイントとの間に仮想リンクを確立することによって、プライベートアクセスモデルを提供する。

さらに、ＣＳＰＩは、FastConnectパブリックピアリングなどの技術を使用する専用パブリックアクセスを提供することができる。この場合、顧客オンプレミスインスタンスは、インターネットなどのパブリックネットワークを経由することなく、FastConnect接続を用いて顧客ＶＣＮ内の１つ以上のサービスにアクセスすることができる。また、ＣＳＰＩは、FastConnectプライベートピアリングを使用する専用プライベートアクセスを提供することもできる。この場合、プライベートＩＰアドレスを持つ顧客オンプレミスインスタンスは、FastConnect接続を用いて顧客ＶＣＮワークロードにアクセスすることができる。FastConnectは、パブリックインターネットを用いて顧客オンプレミスネットワークをＣＳＰＩおよびそのサービスに接続する代わりに使用されるネットワーク接続である。FastConnectは、インターネットベースの接続と比較して、より高い帯域幅オプションと信頼性の高い一貫したネットワーキング体験を持つ専用のプライベート接続を、簡単、柔軟且つ経済的に作成する方法を提供する。

図１および上記の添付の説明は、例示的な仮想ネットワークにおける様々な仮想化要素を説明する。上述したように、仮想ネットワークは、基礎となる物理ネットワークまたは基板ネットワーク上に構築される。図２は、特定の実施形態に従って、仮想ネットワークの基盤を提供するＣＳＰＩ２００内の物理ネットワーク内の物理要素を示す簡略化アーキテクチャ図である。図示のように、ＣＳＰＩ２００は、クラウドサービスプロバイダ（ＣＳＰ）によって提供された要素およびリソース（例えば、計算リソース、メモリリソース、およびネットワーキングリソース）を含む分散環境を提供する。これらの要素およびリソースは、加入している顧客、すなわち、ＣＳＰによって提供された１つ以上のサービスに加入している顧客にクラウドサービス（例えば、ＩａａＳサービス）を提供するために使用される。顧客が加入しているサービスに基づいて、ＣＳＰＩ２００は、一部のリソース（例えば、計算リソース、メモリリソース、およびネットワーキングリソース）を顧客に提供する。その後、顧客は、ＣＳＰＩ２００によって提供された物理的な計算リソース、メモリリソース、およびネットワーキングリソースを使用して、独自のクラウドベースの（すなわち、ＣＳＰＩホスト型）カスタマイズ可能なプライベート仮想ネットワークを構築することができる。前述したように、これらの顧客ネットワークは、仮想クラウドネットワーク（ＶＣＮ）と呼ばれる。顧客は、これらの顧客ＶＣＮに、計算インスタンスなどの１つ以上の顧客リソースを展開することができる。計算インスタンスは、仮想マシン、ベアメタルインスタンスなどであってもよい。ＣＳＰＩ２００は、顧客が高可用性のホスト環境において広範なアプリケーションおよびサービスを構築および実行することを可能にする、インフラストラクチャおよび一連の補完的なクラウドサービスを提供する。

図２に示す例示的な実施形態において、ＣＳＰＩ２００の物理要素は、１つ以上の物理ホストマシンまたは物理サーバ（例えば、２０２、２０６、２０８）、ネットワーク仮想化デバイス（ＮＶＤ）（例えば、２１０、２１２）、トップオブラック（ＴＯＲ）スイッチ（例えば、２１４、２１６）、物理ネットワーク（例えば、２１８）、および物理ネットワーク２１８内のスイッチを含む。物理ホストマシンまたはサーバは、ＶＣＮの１つ以上のサブネットに参加している様々な計算インスタンスをホストし、実行することができる。計算インスタンスは、仮想マシンインスタンスおよびベアメタルインスタンスを含んでもよい。例えば、図１に示された様々な計算インスタンスは、図２に示された物理的ホストマシンによってホストされてもよい。ＶＣＮ内の仮想マシン計算インスタンスは、１つのホストマシンによって実行されてもよく、または複数の異なるホストマシンによって実行されてもよい。また、物理ホストマシンは、仮想ホストマシン、コンテナベースのホストまたは機能などをホストすることができる。図１に示されたＶＩＣおよびＶＣＮ ＶＲは、図２に示されたＦＴＶＤによって実行されてもよい。図１に示されたゲートウェイは、図２に示されたホストマシンおよび／またはＮＶＤによって実行されてもよい。

ホストマシンまたはサーバは、ホストマシン上で仮想化環境を作成するおよび可能にするハイパーバイザ（仮想マシンモニタまたはＶＭＭとも呼ばれる）を実行することができる。仮想化または仮想化環境は、クラウドベースコンピューティングを容易にする。１つ以上の計算インスタンスは、ホストマシン上のハイパーバイザによって、ホストマシン上で作成され、実行され、管理されてもよい。ホストマシン上のハイパーバイザは、ホストマシンの物理的な計算リソース（例えば、計算リソース、メモリリソース、およびネットワーキングリソース）をホストマシン上で実行される様々な計算インスタンス間で共有させることができる。

例えば、図２に示すように、ホストマシン２０２および２０８は、ハイパーバイザ２６０および２６６をそれぞれ実行する。これらのハイパーバイザは、ソフトウェア、ファームウエア、ハードウェア、またはそれらの組み合わせを使用して実装されてもよい。典型的には、ハイパーバイザは、ホストマシンのオペレーティングシステム（ＯＳ）に常駐するプロセスまたはソフトウェア層であり、ＯＳは、ホストマシンのハードウエアプロセッサ上で実行される。ハイパーバイザは、ホストマシンの物理的な計算リソース（例えば、プロセッサ／コア、メモリリソース、ネットワーキングリソースなどの処理リソース）を、ホストマシンによって実行される様々な仮想マシン計算インスタンスの間で共有させる仮想化環境を提供する。例えば、図２において、ハイパーバイザ２６０は、ホストマシン２０２のＯＳに常駐し、ホストマシン２０２の計算リソース（例えば、処理リソース、メモリリソース、およびネットワーキングリソース）を、ホストマシン２０２によって実行されるコンピューティングインスタンス（例えば、仮想マシン）間で共有させることができる。仮想マシンは、独自のＯＳ（ゲストＯＳと呼ばれる）を持つことができる。このゲストＯＳは、ホストマシンのＯＳと同じであってもよく、異なってもよい。ホストマシンによって実行される仮想マシンのＯＳは、同じホストマシンによって実行される他の仮想マシンのＯＳと同じであってもよく、異なってもよい。したがって、ハイパーバイザは、ホストマシンの同じ計算リソースを共有させながら、複数のＯＳを並行して実行することができる。図２に示されたホストマシンは、同じ種類のハイパーバイザを有してもよく、異なる種類のハイパーバイザを有してもよい。

計算インスタンスは、仮想マシンインスタンスまたはベアメタルインスタンスであってもよい。図２において、ホストマシン２０２上の計算インスタンス２６８およびホストマシン２０８上の計算インスタンス２７４は、仮想マシンインスタンスの一例である。ホストマシン２０６は、顧客に提供されるベアメタルインスタンスの一例である。

特定の例において、ホストマシンの全体は、単一の顧客に提供されてもよく、そのホストマシンによってホストされている１つ以上の計算インスタンス（仮想マシンまたはベアメタルインスタンスのいずれか）は、全て同じ顧客に属してもよい。他の例において、ホストマシンは、複数の顧客（すなわち、複数のテナント）間で共有されてもよい。このようなマルチテナントシナリオにおいて、ホストマシンは、異なる顧客に属する仮想マシン計算インスタンスをホストすることができる。これらの計算インスタンスは、異なる顧客の異なるＶＣＮのメンバであってもよい。特定の実施形態において、ベアメタル計算インスタンスは、ハイパーバイザを設けていないベアメタルサーバによってホストされている。ベアメタル計算インスタンスが提供される場合、単一の顧客またはテナントは、ベアメタルインスタンスをホストするホストマシンの物理ＣＰＵ、メモリ、およびネットワークインターフェースの制御を維持し、ホストマシンは、他の顧客またはテナントに共有されない。

前述したように、ＶＣＮの一部である各計算インスタンスは、計算インスタンスがＶＣＮのサブネットのメンバになることを可能にするＶＮＩＣに関連付けられる。計算インスタンスに関連付けられたＶＮＩＣは、計算インスタンスとの間のパケットまたはフレームの通信を容易にする。ＶＮＩＣは、計算インスタンスが作成されるときに当該計算インスタンスに関連付けられる。特定の実施形態において、ホストマシンによって実行される計算インスタンスについて、その計算インスタンスに関連付けられたＶＮＩＣは、ホストマシンに接続されたＮＶＤによって実行される。例えば、図２において、ホストマシン２０２は、ＶＮＩＣ２７６に関連付けられた仮想マシン計算インスタンス２６８を実行し、ＶＮＩＣ２７６は、ホストマシン２０２に接続されたＮＶＤ２１０によって実行される。別の例として、ホストマシン２０６によってホストされているベアメタルインスタンス２７２は、ホストマシン２０６に接続されたＮＶＤ２１２によって実行されるＶＮＩＣ２８０に関連付けられる。さらに別の例として、ＶＮＩＣ２８４は、ホストマシン２０８によって実行される計算インスタンス２７４に関連付けられ、ＶＮＩＣ２８４は、ホストマシン２０８に接続されているＮＶＤ２１２によって実行される。

ホストマシンによってホストされている計算インスタンスについて、そのホストマシンに接続されたＮＶＤは、計算インスタンスがメンバであるＶＣＮに対応するＶＣＮ ＶＲを実行する。例えば、図２に示された実施形態において、ＮＶＤ２１０は、計算インスタンス２６８がメンバであるＶＣＮに対応するＶＣＮ ＶＲ２７７を実行する。また、ＮＶＤ２１２は、ホストマシン２０６および２０８によってホストされている計算インスタンスに対応するＶＣＮに対応する１つ以上のＶＣＮ ＶＲ２８３を実行することができる。

ホストマシンは、当該ホストマシンを他の装置に接続するための１つ以上のネットワークインターフェイスカード（ＮＩＣ）を含むことができる。ホストマシン上のＮＩＣは、ホストマシンを別の装置に通信可能に接続するための１つ以上のポート（またはインターフェイス）を提供することができる。例えば、ホストマシンおよびＮＶＤに設けられた１つ以上のポート（またはインターフェイス）を用いて、当該ホストマシンを当該ＮＶＤに接続することができる。また、ホストマシンを他のホストマシンなどの他の装置に接続することもできる。

例えば、図２において、ホストマシン２０２は、ホストマシン２０２のＮＩＣ２３２によって提供されるポート２３４とＮＶＤ２１０のポート２３６との間に延在するリンク２２０を使用してＮＶＤ２１０に接続されている。ホストマシン２０６は、ホストマシン２０６のＮＩＣ２４４によって提供されるポート２４６とＮＶＤ２１２のポート２４８との間に延在するリンク２２４を使用してＮＶＤ２１２に接続されている。ホストマシン２０８は、ホストマシン２０８のＮＩＣ２５０によって提供されるポート２５２とＮＶＤ２１２のポート２５４との間に延在するリンク２２６を使用してＮＶＤ２１２に接続されている。

同様に、ＮＶＤは、通信リンクを介して、（スイッチファブリックとも呼ばれる）物理ネットワーク２１８に接続されているトップオブラック（ＴＯＲ）スイッチに接続されている。特定の実施形態において、ホストマシンとＮＶＤとの間のリンクおよびＮＶＤとＴＯＲスイッチとの間のリンクは、イーサネット（登録商標）リンクである。例えば、図２において、ＮＶＤ２１０および２１２は、リンク２２８および２３０を介して、ＴＯＲスイッチ２１４および２１６にそれぞれ接続される。特定の実施形態において、リンク２２０、２２４、２２６、２２８、および２３０は、イーサネット（登録商標）リンクである。ＴＯＲに接続されているホストマシンおよびＮＶＤの集合体は、ラックと呼ばれることがある。

物理ネットワーク２１８は、ＴＯＲスイッチの相互通信を可能にする通信ファブリックを提供する。物理ネットワーク２１８は、多層ネットワークであってもよい。特定の実装形態において、物理ネットワーク２１８は、スイッチの多層Ｃｌｏｓネットワークであり、ＴＯＲスイッチ２１４および２１６は、多層およびマルチノード物理スイッチングネットワーク２１８のリーフレベルノードを表す。２層ネットワーク、３層ネットワーク、４層ネットワーク、５層ネットワーク、および一般に「ｎ」層ネットワークを含むがこれらに限定されない異なるＣｌｏｓネットワーク構成は、可能である。ＣＩｏｓネットワークの一例は、図５に示され、以下に説明される。

ホストマシンとＮ個のＶＤとの間には、１対１構成、多対１構成、および１対多構成などの様々な異なる接続構成が可能である。１対１構成の実装例において、各ホストマシンは、それ自体の別個のＮＶＤに接続されている。例えば、図２において、ホストマシン２０２は、ホストマシン２０２のＮＩＣ２３２を介してＮＶＤ２１０に接続されている。多対１の構成において、複数のホストマシンは、１つのＮＶＤに接続されている。例えば、図２において、ホストマシン２０６および２０８は、それぞれＮＩＣ２４４および２５０を介して同じＮＶＤ２１２に接続されている。

１対多の構成において、１つのホストマシンは、複数のＮＶＤに接続されている。図３は、ホストマシンが複数のＮＶＤに接続されているＣＳＰＩ３００内の一例を示す。図３に示すように、ホストマシン３０２は、複数のポート３０６および３０Ｓを含むネットワークインターフェースカード（ＮＩＣ）３０４を備える。ホストマシン３００は、ポート３０６およびリンク３２０を介して第１のＮＶＤ３１０に接続され、ポート３０８およびリンク３２２を介して第２のＮＶＤ３１２に接続されている。ポート３０６および３０８は、イーサネット（登録商標）ポートであってもよく、ホストマシン３０２とＮＶＤ３１０および３１２との間のリンク３２０および３２２は、イーサネット（登録商標）リンクであってもよい。ＮＶＤ３１０は、第１のＴＯＲスイッチ３１４に接続され、ＮＶＤ３１２は、第２のＴＯＲスイッチ３１６に接続されている。ＮＶＤ３１０および３１２とＴＯＲスイッチ３１４および３１６との間のリンクは、イーサネット（登録商標）リンクであってもよい。ＴＯＲスイッチ３１４および３１６は、多層物理ネットワーク３１８内の層－０スイッチング装置を表す。

図３に示す構成は、物理スイッチネットワーク３１８からホストマシン３０２への２つの別々の物理ネットワーク経路、すなわち、ＴＯＲスイッチ３１４からＮＶＤ３１０を経由してホストマシン３０２への第１の経路と、ＴＯＲスイッチ３１６からＮＶＤ３１２を経由してホストマシン３０２への第２の経路とを提供する。別々の経路は、ホストマシン３０２の強化された可用性（高可用性と呼ばれる）を提供する。経路の一方に問題がある（例えば、経路の一方のリンクが故障する）場合または装置に問題がある（例えば、特定のＮＶＤが機能していない）場合、ホストマシン３０２との間の通信に他方の経路を使用することができる。

図３に示された構成において、ホストマシンは、ホストマシンのＮＩＣによって提供された２つの異なるポートを用いて２つの異なるＮＶＤに接続されている。他の実施形態において、ホストマシンは、ホストマシンと複数のＮＶＤとの接続を可能にする複数のＮＩＣを含んでもよい。

再び図２を参照して、ＮＶＤは、１つ以上のネットワーク仮想化機能および／または記憶仮想化機能を実行する物理装置または要素である。ＮＶＤは、１つ以上の処理ユニット（例えば、ＣＰＵ、ネットワーク処理ユニット（ＮＰＵ）、ＦＰＧＡ、パケット処理パイプライン）、キャッシュを含むメモリ、およびポートを有する任意の装置であってもよい。様々な仮想化機能は、ＮＶＤの１つ以上の処理ユニットによって実行されるソフトウェア／ファームウエアによって実行されてもよい。

ＮＶＤは、様々な異なる形で実装されてもよい。例えば、特定の実施形態において、ＮＶＤは、内蔵プロセッサを搭載したスマートＮＩＣまたはインテリジェントＮＩＣと呼ばれるインターフェイスカードとして実装される。スマートＮＩＣは、ホストマシン上のＮＩＣとは別個の装置である。図２において、ＮＶＤ２１０は、ホストマシン２０２に接続されているスマートＮＩＣとして実装されてもよく、ＮＶＤ２１２は、ホストマシン２０６および２０８に接続されているスマートＮＩＣとして実装されてもよい。

しかしながら、スマートＮＩＣは、ＮＶＤ実装の一例にすぎない。様々な他の実装が可能である。例えば、いくつかの他の実装例において、ＮＶＤまたはＮＶＤによって実行される１つ以上の機能は、ＣＳＰＩ２００の１つ以上のホストマシン、１つ以上のＴＯＲスイッチ、および他の要素に組み込まれてもよく、またはそれらによって実行されてもよい。例えば、ＮＶＤは、ホストマシンに統合されてもよい。この場合、ＮＶＤによって実行される機能は、ホストマシンによって実行される。別の例として、ＮＶＤは、ＴＯＲスイッチの一部であってもよく、またはＴＯＲスイッチは、ＴＯＲスイッチがパブリッククラウドに使用される様々な複雑なパケット変換を実行することを可能にするＮＶＤによって実行される機能を実行するように構成されてもよい。ＮＶＤの機能を実行するＴＯＲは、スマートＴＯＲと呼ばれることがある。ベアメタル（ＢＭ）インスタンスではなく仮想マシン（ＶＭ）インスタンスを顧客に提供するさらに他の実装形態において、ＮＶＤによって提供される機能は、ホストマシンのハイパーバイザの内部に実装されてもよい。いくつかの他の実装形態において、ＮＶＤの機能の一部は、一組のホストマシン上で動作する集中型サービスにオフロードされてもよい。

図２に示すように、スマートＮＩＣとして実装される場合などの特定の実施形態において、ＮＶＤは、当該ＮＶＤを１つ以上のホストマシンおよび１つ以上のＴＯＲスイッチに接続することを可能にする複数の物理ポートを備えてもよい。ＮＶＤ上のポートは、ホスト向きポート（「サウスポート」（south port）とも呼ばれる）またはネットワーク向きもしくはＴＯＲ向きポート（「ノースポート」（north port）とも呼ばれる）に分類することができる。ＮＶＤのホスト向きポートは、ＮＶＤをホストマシンに接続するために使用されるポートである。図２においてホスト向きポートの例は、ＮＶＤ２１０のポート２３６、およびＮＶＤ２１２のポート２４８および２５４を含む。ＮＶＤのネットワーク向きポートは、ＮＶＤをＴＯＲスイッチに接続するために使用されるポートである。図２のネットワーク向きポートの例は、ＮＶＤ２１０のポート２５６、およびＮＶＤ２１２のポート２５８を含む。図２に示すように、ＮＶＤ２１０は、ＮＶＤ２１０のポート２５６からＴＯＲスイッチ２１４まで延びるリンク２２８を介してＴＯＲスイッチ２１４に接続されている。同様に、ＮＶＤ２１２は、ＮＶＤ２１２のポート２５８からＴＯＲスイッチ２１６まで延びるリンク２３０を介してＴＯＲスイッチ２１６に接続されている。

ＮＶＤは、ホスト向きポートを介して、ホストマシンからパケットおよびフレーム（例えば、ホストマシンによってホストされている計算インスタンスによって生成されたパケットおよびフレーム）を受信し、必要なパケット処理を実行した後、ＮＶＤのネットワーク向きポートを介してパケットおよびフレームをＴＯＲスイッチに転送することができる。ＮＶＤは、ＮＶＤのネットワーク向きポートを介してＴＯＲスイッチからパケットおよびフレームを受信し、必要なパケット処理を実行した後、ＮＶＤのホスト向きポートを介してパケットおよびフレームをホストマシンに転送することができる。

特定の実施形態において、ＮＶＤとＴＯＲスイッチとの間に複数のポートおよび関連するリンクを設けてもよい。これらのポートおよびリンクを集約することによって、複数のポートまたはリンクのリンクアグリゲータグループ（ＬＡＧと称される）を形成することができる。リンクの集約は、２つのエンドポイント間（例えば、ＮＶＤとＴＯＲスイッチとの間）の複数の物理リンクを単一の論理リンクとして扱うことを可能にする。所定のＬＡＧ内の全ての物理リンクは、同じ速度で全二重モードで動作することができる。ＬＡＧは、２つのエンドポイント間の接続の帯域幅および信頼性を高めるのに役立つ。ＬＡＧ内の物理リンクのうちの１つが故障した場合、トラフィックは、ＬＡＧ内の別の物理リンクに動的かつ透過的に再割り当てられる。集約された物理リンクは、個々のリンクよりも高い帯域幅を提供する。ＬＡＧに関連付けられた複数のポートは、単一の論理ポートとして扱われる。トラフィックをＬＡＧの複数の物理リンクに負荷分散することができる。２つのエンドポイント間に１つ以上のＬＡＧを構成することができる。２つのエンドポイントは、例えば、ＮＶＤとＴＯＲスイッチとの間にあってもよく、ホストマシンとＮＶＤとの間にであってもよい。

ＮＶＤは、ネットワーク仮想化機能を実装または実行する。これらの機能は、ＮＶＤによって実行されるソフトウェア／ファームウェアによって実行される。ネットワーク仮想化機能の例は、限定されないが、パケットのカプセル化およびカプセル化解除機能、ＶＣＮネットワークを作成するための機能、ＶＣＮセキュリティリスト（ファイアウォール）機能などのネットワークポリシーを実装するための機能、ＶＣＮ内の計算インスタンスとの間のパケットのルーティングおよび転送を容易にするための機能などを含む。特定の実施形態において、パケットを受信すると、ＮＶＤは、パケットを処理し、パケットをどのように転送またはルーティングするかを判断するパケット処理パイプラインを実行するように構成されている。このパケット処理パイプラインの一部として、ＮＶＤは、ＶＣＮ内のシス（cis）に関連するＶＮＩＣの実行、ＶＣＮに関連する仮想ルータ（ＶＲ）の実行、仮想ネットワーク内の転送またはルーティングを容易にするためのパケットのカプセル化およびカプセル解除、特定のゲートウェイ（例えば、ローカルピアリングゲートウェイ）の実行、セキュリティリストの実装、ネットワークセキュリティグループ、ネットワークアドレス変換（ＮＡＴ）機能（例えば、ホスト毎にパブリックＩＰからプライベートＩＰへの変換）、スロットリング機能、および他の機能を提供する。

いくつかの実施形態において、ＮＶＤにおけるパケット処理データ経路は、複数のパケットパイプラインを含んでもよい。各々のパケットパイプラインは、一連のパケット変換ステージから構成される。いくつかの実装形態において、パケットを受信すると、当該パケットは、解析され、単一のパイプラインに分類される。次いで、パケットは、破棄されるまたはＮＶＤのインターフェースを介して送出されるまで、線形方式でステージ毎に処理される。これらのステージは、基本機能のパケット処理ビルディングブロック（例えば、ヘッダの検証、スロットルの実行、新しいレイヤ２ヘッダの挿入、Ｌ４ファイアウォールの実行、ＶＣＮカプセル化／カプセル解除）を提供し、その結果、既存のステージを組み立てることによって新しいパイプラインを構築することができ、新しいステージを作成して既存のパイプラインに挿入することによって新しい機能を追加することができる。

ＮＶＤは、ＶＣＮの制御プレーンおよびデータプレーンに対応する制御プレーン機能およびデータプレーン機能の両方を実行することができる。ＶＣＮ制御プレーンの例は、図１７、１８、１９および２０（参照番号１７１６、１８１６、１９１６および２０１６参照）に示され、以下に説明される。ＶＣＮデータプレーンの例は、図１７、１８、１９および２０（参照番号１７１８、１８１８、１９１８および２０１８参照）に示され、以下に説明される。制御プレーン機能は、データをどのように転送するかを制御するためのネットワークの構成（例えば、ルートおよびルートテーブルの設定、ＶＮＩＣの構成）に使用される機能を含む。特定の実施形態において、全てのオーバーレイと基板とのマッピングを集中的に計算し、ＮＶＤおよび仮想ネットワークエッジ装置（例えば、ＤＲＧ、ＳＧＷ、ＩＧＷなどの様々なゲートウェイ）に公開するＶＣＮ制御プレーンが提供される。また、同じメカニズムを使用してファイアウォールルールを公開することができる。特定の実施形態において、ＮＶＤは、当該ＮＶＤに関連するマッピングのみを取得する。データプレーン機能は、制御プレーンを使用して設定された構成に基づいて、パケットの実際のルーティング／転送を行う機能を含む。ＶＣＮデータプレーンは、顧客のネットワークパケットが基幹ネットワークを通過する前に、当該ネットワークパケットをカプセル化することによって実装される。カプセル化／カプセル解除機能は、ＮＶＤに実装される。特定の実施形態において、ＮＶＤは、ホストマシンに出入りする全てのネットワークパケットを傍受し、ネットワーク仮想化機能を実行するように構成されている。

上述したように、ＮＶＤは、ＶＮＩＣおよびＶＣＮ ＶＲを含む様々な仮想化機能を実行する。ＮＶＤは、ＶＮＩＣに接続された１つ以上のホストマシンによってホストされている計算インスタンスに関連するＶＮＩＣを実行することができる。例えば、図２に示すように、ＮＶＤ２１０は、ＮＶＤ２１０に接続されたホストマシン２０２によってホストされている計算インスタンス２６８に関連するＶＮＩＣ２７６の機能を実行する。別の例として、ＮＶＤ２１２は、ホストマシン２０６によってホストされているベアメタル計算インスタンス２７２に関連するＶＮＩＣ２８０を実行し、ホストマシン２０８によってホストされている計算インスタンス２７４に関連するＶＮＩＣ２８４を実行する。ホストマシンは、異なる顧客に属する異なるＶＣＮに属する計算インスタンスをホストすることができる。ホストマシンに接続されたＮＶＤは、計算インスタンスに対応するＶＮＩＣを実行する（すなわち、ＶＮＩＣに関連する機能を実行する）ことができる。

また、ＮＶＤは、計算インスタンスのＶＣＮに対応するＶＣＮ仮想ルータを実行する。例えば、図２に示された実施形態において、ＮＶＤ２１０は、計算インスタンス２６８が属するＶＣＮに対応するＶＣＮ ＶＲ２７７を実行する。ＮＶＤ２１２は、ホストマシン２０６および２０８にホストされている計算インスタンスが属する１つ以上のＶＣＮに対応する１つ以上のＶＣＮ ＶＲ２８３を実行する。特定の実施形態において、ＶＣＮに対応するＶＣＮ ＶＲは、そのＶＣＮに属する少なくとも１つの計算インスタンスをホストするホストマシンに接続された全てのＮＶＤによって実行される。ホストマシンが異なるＶＣＮに属する計算インスタンスをホストする場合、そのホストマシンに接続されたＮＶＤは、異なるＶＣＮに対応するＶＣＮ ＶＲを実行することができる。

ＶＮＩＣおよびＶＣＮ ＶＲに加えて、ＮＶＤは、様々なソフトウエア（例えば、デーモン）を実行し、ＮＶＤによって実行される様々なネットワーク仮想化機能を容易にする１つ以上のハードウェア要素を含むことができる。簡略化のために、これらの様々な要素は、図２に示す「パケット処理要素」としてグループ化される。例えば、ＮＶＤ２１０は、パケット処理要素２８６を含み、ＮＶＤ２１２は、パケット処理要素２８８を含む。例えば、ＮＶＤのパケット処理要素は、ＮＶＤのポートおよびハードワーキングインターフェイスと相互作用することによって、ＮＶＤを使用して受信され、通信される全てのパケットを監視し、ネットワーク情報を記憶するように構成されたパケットプロセッサを含んでもよい。ネットワーク情報は、例えば、ＮＶＤによって処理される異なるネットワークフローを特定するためのネットワークフロー情報および各フローの情報（例えば、各フローの統計情報）を含んでもよい。特定の実施形態において、ネットワークフロー情報は、ＶＮＩＣ単位で記憶されてもよい。別の例として、パケット処理要素は、ＮＶＤによって記憶された情報を１つ以上の異なる複製ターゲットストアに複製するように構成された複製エージェント（replication agent）を含むことができる。さらに別の例として、パケット処理要素は、ＮＶＤのロギング機能を実行するように構成されたロギングエージェント（logging agent）を含んでもよい。また、パケット処理要素は、ＮＶＤの性能および健全性を監視し、場合によっては、ＮＶＤに接続されている他の要素の状態および健全性を監視するためのソフトウェアを含んでもよい。

図１は、ＶＣＮと、ＶＣＮ内のサブネットと、サブネット上に展開された計算インスタンスと、計算インスタンスに関連付けられたＶＮＩＣと、ＶＣＮのＶＲと、ＶＣＮのために構成された一組のゲートウェイとを含む例示的な仮想またはオーバーレイネットワークの要素を示す。図１に示されたオーバーレイ要素は、図２に示された物理的要素のうちの１つ以上によって実行またはホストされてもよい。例えば、ＶＣＮ内の計算インスタンスは、図２に示された１つ以上のホストマシンによって実行またはホストされてもよい。ホストマシンによってホストされている計算インスタンスの場合、その計算インスタンスに関連するＶＮＩＣは、典型的には、そのホストマシンに接続されたＮＶＤによって実行される（すなわち、ＶＮＩＣ機能は、そのホストマシンに接続されたＮＶＤによって提供される）。ＶＣＮのＶＣＮ ＶＲ機能は、そのＶＣＮの一部である計算インスタンスをホストまたは実行するホストマシンに接続されている全てのＮＶＤによって実行される。ＶＣＮに関連するゲートウェイは、１つ以上の異なる種類のＮＶＤによって実行されてもよい。例えば、いくつかのゲートウェイは、スマートＮＩＣによって実行されてもよく、他のゲートウェイは、１つ以上のホストマシンまたはＮＶＤの他の実装形態によって実行されてもよい。

上述したように、顧客ＶＣＮ内の計算インスタンスは、様々な異なるエンドポイントと通信することができる。これらのエンドポイントは、送信元計算インスタンスと同じサブネットにあってもよく、異なるサブネット内であるが送信元計算インスタンスと同じＶＣＮにあってもよく、または送信元計算インスタンスのＶＣＮ外部のエンドポイントを含んでもよい。これらの通信は、計算インスタンスに関連付けられたＶＮＩＣ、ＶＣＮ ＶＲ、およびＶＣＮに関連付けられたゲートウェイを用いて促進される。

ＶＣＮ内の同じサブネット上の２つの計算インスタンス間の通信は、送信元計算インスタンスおよび宛先計算インスタンスに関連付けられたＶＮＩＣを用いて促進される。送信元計算インスタンスおよび宛先計算インスタンスは、同じホストマシンによってホストされてもよく、異なるホストマシンによってホストされてもよい。送信元計算インスタンスから発信されたパケットは、送信元計算インスタンスをホストするホストマシンから、そのホストマシンに接続されたＮＶＤに転送されてもよい。ＮＶＤにおいて、パケットは、パケット処理パイプラインを用いて処理され、このパイプラインは、送信元計算インスタンスに関連するＶＮＩＣの実行を含むことができる。パケットの宛先エンドポイントが同じサブネットにあるため、送信元計算インスタンスに関連付けられたＶＮＩＣの実行により、パケットは、宛先計算インスタンスに関連付けられたＶＮＩＣを実行するＮＶＤに転送され、ＮＶＤは、パケットを処理し、宛先計算インスタンスに転送する。送信元計算インスタンスおよび宛先計算インスタンスに関連するＶＮＩＣは、（例えば、送信元計算インスタンスと宛先計算インスタンスの両方が同じホストマシンによってホストされている場合）同じＮＶＤ上で実行されてもよく、または（例えば、送信元計算インスタンスおよび宛先計算インスタンスが異なるＮＶＤに接続された異なるホストマシンによってホストされている場合）異なるＮＶＤ上で実行されてもよい。ＶＮＩＣは、ＮＶＤによって記憶されたルーティング／転送テーブルを使用して、パケットのネクストホップを決定することができる。

サブネット内の計算インスタンスから同じＶＣＮ内の異なるサブネット内のエンドポイントにパケットを通信する場合、送信元計算インスタンスから発信されたパケットは、送信元計算インスタンスをホストするホストマシンから、そのホストマシンに接続されたＮＶＤに通信される。ＮＶＤにおいて、パケットは、１つ以上のＶＮＩＣの実行を含むことができるパケット処理パイプラインおよびＶＣＮに関連するＶＲを用いて処理される。例えば、ＮＶＤは、パケット処理パイプラインの一部として、送信元計算インスタンスに関連するＶＮＩＣに対応する機能を実行または呼び出す（ＶＮＩＣを実行するとも呼ばれる）。ＶＮＩＣによって実行される機能は、パケット上のＶＬＡＮタグを調べることを含んでもよい。パケットの宛先がサブネットの外部にあるため、ＶＣＮ ＶＲ機能は、呼び出され、ＮＶＤによって実行される。その後、ＶＣＮ ＶＲは、パケットを、宛先計算インスタンスに関連付けられたＶＮＩＣを実行するＮＶＤにルーティングする。そして、宛先計算インスタンスに関連付けられたＶＮＩＣは、パケットを処理し、パケットを宛先計算インスタンスに転送する。送信元計算インスタンスおよび宛先計算インスタンスに関連するＶＮＩＣは、（例えば、送信元計算インスタンスと宛先計算インスタンスの両方が同じホストマシンによってホストされている場合）同じＮＶＤ上で実行されてもよく、（例えば、送信元計算インスタンスおよび宛先計算インスタンスが異なるＮＶＤに接続された異なるホストマシンによってホストされている場合）異なるＮＶＤ上で実行されてもよい。

パケットの宛先が送信元計算インスタンスのＶＣＮの外部にある場合、送信元計算インスタンスから発信されたパケットは、送信元計算インスタンスをホストするホストマシンから、そのホストマシンに接続されたＮＶＤに通信される。ＮＶＤは、送信元計算インスタンスに関連するＶＮＩＣを実行する。パケットの宛先エンドポイントがＶＣＮの外部にあるため、パケットは、そのＶＣＮのＶＣＮ ＶＲによって処理される。ＮＶＤは、ＶＣＮ ＶＲ機能を呼び出し、その結果、パケットは、ＶＣＮに関連付けられた適切なゲートウェイを実行するＮＶＤに転送される場合がある。例えば、宛先が顧客オンプレミスネットワーク内のエンドポイントである場合、パケットは、ＶＣＮ ＶＲによって、ＶＣＮのために構成されたＤＲＧゲートウェイを実行するＮＶＤに転送されてもよい。ＶＣＮ ＶＲは、送信元計算インスタンスに関連するＶＮＩＣを実行するＮＶＤと同じＮＶＤ上で実行されてもよく、異なるＮＶＤによって実行されてもよい。ゲートウェイは、スマートＮＩＣ、ホストマシン、または他のＮＶＤ実装であるＮＶＤによって実行されてもよい。次いで、パケットは、ゲートウェイによって処理され、意図した宛先エンドポイントへのパケットの通信を容易にするためのネクストホップに転送される。例えば、図２に示された実施形態において、計算インスタンス２６８から発信されたパケットは、（ＮＩＣ２３２を用いて）リンク２２０を介してホストマシン２０２からＮＶＤ２１０に通信されてもよい。ＮＶＤ２１０上のＶＮＩＣ２７６は、送信元計算インスタンス２６８に関連するＶＮＩＣであるため、呼び出される。ＶＮＩＣ２７６は、パケット内のカプセル化された情報を検査し、意図した宛先エンドポイントへのパケットの通信を容易にする目的でパケットを転送するためのネクストホップを決定し、決定したネクストホップにパケットを転送するように構成されている。

ＶＣＮ上に展開された計算インスタンスは、様々な異なるエンドポイントと通信することができる。これらのエンドポイントは、ＣＳＰＩ２００によってホストされているエンドポイントと、ＣＳＰＩ２００外部のエンドポイントとを含んでもよい。ＣＳＰＩ２００によってホストされているエンドポイントは、（顧客ＶＣＮ、または顧客に属さないＶＣＮであり得る）同じＶＣＮまたは他のＶＣＮ内のインスタンスを含んでもよい。ＣＳＰＩ２００によってホストされているエンドポイント間の通信は、物理ネットワーク２１８を介して実行されてもよい。また、計算インスタンスは、ＣＳＰＩ２００によってホストされていないまたはＣＳＰＩ２００の外部にあるエンドポイントと通信することもできる。これらのエンドポイントの例は、顧客オンプレミスネットワークまたはデータセンタ内のエンドポイント、またはインターネットなどのパブリックネットワークを介してアクセス可能なパブリックエンドポイントを含む。ＣＳＰＩ２００外部のエンドポイントとの通信は、様々な通信プロトコルを用いて、パブリックネットワーク（例えば、インターネット）（図２に図示せず）またはプライベートネットワーク（図２に図示せず）を介して実行されてもよい。

図２に示されたＣＳＰＩ２００のアーキテクチャは、単なる一例であり、限定することを意図していない。代替的な実施形態において、変形、代替、および修正が可能である。例えば、いくつかの実装形態において、ＣＳＰＩ２００は、図２に示されたものよりも多いまたは少ないシステムまたは要素を有してもよく、２つ以上のシステムを組み合わせてもよく、または異なるシステム構成または配置を有してもよい。図２に示されたシステム、サブシステム、および他の要素は、それぞれのシステムの１つ以上の処理ユニット（例えば、プロセッサ、コア）によって実行されるソフトウェア（例えば、コード、命令、プログラム）、ハードウェア、またはそれらの組み合わせで実装されてもよい。ソフトウェアは、非一時的な記憶媒体（例えば、メモリ装置）に記憶されてもよい。

図４は、特定の実施形態に従って、マルチテナント機能をサポートするためのＩ／Ｏ仮想化を提供するためのホストマシンとＮＶＤとの間の接続を示す図である。図４に示すように、ホストマシン４０２は、仮想化環境を提供するハイパーバイザ４０４を実行する。ホストマシン４０２は、２つの仮想マシンインスタンス、すなわち、顧客／テナント＃１に属するＶＭ１ ４０６と、顧客／テナント＃２に属するＶＭ２ ４０８とを実行する。ホストマシン４０２は、リンク４１４を介してＮＶＤ４１２に接続されている物理ＮＩＣ４１０を含む。計算インスタンスの各々は、ＮＶＤ４１２によって実行されるＶＮＩＣに接続されている。図４の実施形態において、ＶＭ１ ４０６は、ＶＮＩＣ－ＶＭ１ ４２０に接続され、ＶＭ２ ４０８は、ＶＮＩＣ－ＶＭ２ ４２２に接続されている。

図４に示すように、ＮＩＣ４１０は、２つの論理ＮＩＣ、すなわち、論理ＮＩＣ Ａ ４１６および論理ＮＩＣ Ｂ ４１８を含む。各仮想マシンは、それ自身の論理ＮＩＣに接続され、それ自身の論理ＮＩＣと共に動作するように構成される。例えば、ＶＭ１ ４０６は、論理ＮＩＣ Ａ ４１６に接続され、ＶＭ２ ４０８は、論理ＮＩＣ Ｂ ４１８に接続されている。ホストマシン４０２が複数のテナントによって共有されている１つの物理ＮＩＣ４１０のみからなるにもかかわらず、論理ＮＩＣにより、各テナントの仮想マシンは、自分自身のホストマシンおよびＮＩＣを所有していると信じている。

特定の実施形態において、各論理ＮＩＣには、それ自身のＶＬＡＮ ＩＤが割り当てられる。したがって、テナント＃１の論理ＮＩＣ Ａ ４１６には特定のＶＬＡＮ ＩＤが割り当てられ、テナント＃２の論理ＮＩＣ Ｂ ４１８には別のＶＬＡＮ ＩＤが割り当てられる。ＶＭ１ ４０６からパケットが通信されると、ハイパーバイザは、テナント＃１に割り当てられたタグをパケットに取り付けた後、リンク４１４を介してパケットをホストマシン４０２からＮＶＤ４１２に通信する。同様に、ＶＭ２ ４０８からパケットが通信されると、ハイパーバイザは、テナント＃２に割り当てられたタグをパケットに取り付けた後、リンク４１４を介してパケットをホストマシン４０２からＮＶＤ４１２に通信する。したがって、ホストマシン４０２からＮＶＤ４１２に通信されたパケット４２４は、特定のテナントおよび関連するＶＭを識別する関連タグ４２６を有する。ＮＶＤ上でホストマシン４０２からパケット４２４を受信した場合、当該パケットに関連するタグ４２６を用いて、当該パケットがＶＮＩＣ－ＶＭ１ ４２０によって処理されるべきか、ＶＮＩＣ－ＶＭ２ ４２２によって処理されるべきかを判断する。そして、パケットは、対応するＶＮＩＣによって処理される。図４に示された構成は、各テナントの計算インスタンスが、自分自身のホストマシンおよびＮＩＣを所有していると信じることを可能にする。図４に示された構成は、マルチテナント機能をサポートするためのＩ／Ｏ仮想化を提供する。

図５は、特定の実施形態に従って、物理ネットワーク５００を示す概略ブロック図である。図５に示された実施形態は、Ｃｌｏｓネットワークとして構築される。Ｃｌｏｓネットワークは、高い二分割帯域幅および最大リソース利用率を維持しながら、接続冗長性を提供するように設計された特定の種類のネットワークトポロジである。Ｃｌｏｓネットワークは、一種の非ブロッキング、多段または多層スイッチングネットワークであり、段または層の数は、２、３、４、５などであってもよい。図５に示された実施形態は、層１、２および３を含む３層ネットワークである。ＴＯＲスイッチ５０４は、Ｃｌｏｓネットワークの層－０スイッチを表す。１つ以上のＮＶＤは、ＴＯＲスイッチに接続されている。層－０スイッチは、物理ネットワークのエッジ装置とも呼ばれる。層－０スイッチは、リーフスイッチとも呼ばれる層－１スイッチに接続されている。図５に示された実施形態において、「ｎ」個の層－０ ＴＯＲスイッチは、「ｎ」個の層－１スイッチに接続され、ポッドを形成する。ポッド内の各層－０スイッチは、ポッド内の全ての層－１スイッチに相互接続されるが、ポッド間のスイッチは、接続されない。特定の実装例において、２つのポッドは、ブロックと呼ばれる。各ブロックは、「ｎ」個の層－２スイッチ（スパインスイッチとも呼ばれる）によってサービスを提供されるまたはそれに接続されている。物理ネットワークトポロジは、複数のブロックを含んでもよい。同様に、層－２スイッチは、「ｎ」個の層－３スイッチ（スーパースパインスイッチとも呼ばれる）に接続されている。物理ネットワーク５００を介したパケットの通信は、典型的には、１つ以上のレイヤ３通信プロトコルを使用して実行される。典型的には、ＴＯＲ層を除く物理ネットワークの全ての層は、ｎウェイ冗長であり、したがって高い可用性を実現することができる。ポッドおよびブロックにポリシーを指定して、物理ネットワークのスイッチの相互可視性を制御することによって、物理ネットワークを拡張することができる。

Ｃｌｏｓネットワークの特徴は、ある層－０スイッチから別の層－０スイッチに到達する（または、層－０スイッチに接続されたＮＶＤから層－０スイッチに接続された別のＮＶＤに到達する）最大ホップカウントが一定であることである。例えば、３層のＣｌｏｓネットワークにおいて、パケットが１つのＮＶＤから別のＮＶＤに到達するために最大７つのホップが必要とされる。この場合、送信元ＮＶＤおよびターゲットＮＶＤは、Ｃｌｏｓネットワークのリーフ層に接続されている。同様に、４層のＣｌｏｓネットワークにおいて、パケットが１つのＮＶＤから別のＮＶＤに到達するために最大９つのホップが必要とされる。この場合、送信元ＮＶＤおよびターゲットＮＶＤは、Ｃｌｏｓネットワークのリーフ層に接続されている。したがって、Ｃｌｏｓネットワークアーキテクチャは、データセンタ内およびデータセンタ間の通信に重要なネットワーク全体の遅延を一定に保つ。Ｃｌｏｓトポロジは、水平方向に拡張可能であり、コスト効率に優れている。各階層により多くのスイッチ（例えば、より多くのリーフスイッチおよびスパインスイッチ）を増設すること、および隣接する階層のスイッチ間にリンク数を増やすことによって、ネットワークの帯域幅／スループット容量を容易に増加させることができる。

特定の実施形態において、ＣＳＰＩ内の各リソースには、クラウド識別子（ＣＩＤ）と呼ばれる固有識別子が割り当てられる。この識別子は、リソースの情報の一部として含まれる。この識別子を用いて、例えば、コンソールまたはＡＰＩを介してリソースを管理することができる。ＣＩＤの例示的なシンタックスは、以下の通りである。

ocid1.<RESOURCE TYPE>.<REALM>.[REGION].[FUTURE USE].<UNIQUE ID>である。式中、
「ocid1」は、ＣＩＤのバージョンを示す文字列である。

「RESOURCE TYPE」は、リソースの種類（例えば、インスタンス、ボリューム、ＶＣＮ、サブネット、ユーザ、グループ）を表す。

「REALM」は、リソースが存在する領域を表す。例示的な値として、「ｃ１」は、商業領域を表し、「ｃ２」は、政府クラウド領域を表し、または「ｃ３」は、連邦政府クラウド領域を表す。各領域は、独自のドメイン名を持つことができる。

「REGION」は、リソースが属する地域を表す。地域がリソースに適用されない場合、この部分は空白であってもよい。

「FUTURE USE」は、将来使用のために保留されていることを示す。
「UNIQUE ID」は、固有ＩＤの部分である。このフォーマットは、リソースまたはサービスの種類によって異なる場合がある。

Ｂ．例示的なレイヤ２ＶＬＡＮアーキテクチャ
このセクションでは、仮想化されたクラウド環境においてレイヤ２ネットワーキング機能を提供するための技術を説明する。レイヤ２機能は、仮想化されたクラウド環境によって提供されるレイヤ３ネットワーキング機能に加えて、およびそれに関連して、提供される。特定の実施形態では、仮想レイヤ２およびレイヤ３機能は、Oracle Corporationが提供するOracle Cloud Infrastructure (OCI)によって提供される。

レイヤ２ネットワーク機能の導入後、このセクションでは、ＶＬＡＮのレイヤ２実現を説明する。その後、ストーム制御を含むレイヤ２ＶＬＡＮサービスについて説明する。

序
企業顧客のオンプレミスアプリケーションをクラウドサービスプロバイダ（ＣＳＰ）によって提供されるクラウド環境に移行させる企業顧客の数は、急速に増加し続けている。しかしながら、これらの顧客の多くは、クラウド環境に移行する道程が非常に多難であり得、顧客の既存のアプリケーションを、クラウド環境において動作可能にするために、再構築および再設計する必要があることを、すぐに認識する。これは、オンプレミス環境のために書かれたアプリケーションは、しばしば、監視、可用性、および規模に関して物理ネットワークの特徴に依存するからである。したがって、これらのオンプレミスアプリケーションは、クラウド環境において動作することができるようになる前に、再構築および再設計される必要がある。

オンプレミスアプリケーションがクラウド環境に容易に移行できない理由はいくつかある。主な理由の１つは、現在のクラウド仮想ネットワークがＯＳＩモデルのレイヤ３、例えばＩＰレイヤで動作し、アプリケーションによって必要とされるレイヤ２機能を提供しないことである。レイヤ３ベースのルーティングまたは転送は、パケットのレイヤ３ヘッダに含まれる情報に基づいて、たとえば、パケットのレイヤ３ヘッダに含まれる宛先ＩＰアドレスに基づいて、パケットがどこに（たとえば、どの顧客インスタンスに）送信されるべきかを判断することを含む。これを容易にするために、仮想化されたクラウドネットワーク内のＩＰアドレスの位置は、集中制御および編成システムまたはコントローラを介して判断される。これらは、例えば、仮想化されたクラウド環境内の顧客エンティティまたはリソースに関連付けられたＩＰアドレスを含んでもよい。

多くの顧客は、現在のクラウド提供およびＩａａＳサービスプロバイダによっては現在のところ対処されていない、レイヤ２ネットワーキング能力に対する厳格な要件を有するアプリケーションを、顧客のオンプレミス環境において動作させている。例えば、トラフィックは、現在のクラウド提供であり、レイヤ３ヘッダを使用するレイヤ３プロトコルを使用してルーティングされ、アプリケーションによって必要とされるレイヤ２機能はサポートされない。これらのレイヤ２機能は、アドレス解決プロトコル（ＡＲＰ）処理、媒体アクセス制御（ＭＡＣ）アドレス学習、およびレイヤ２ブロードキャスト能力、レイヤ２（ＭＡＣベースの）転送、レイヤ２ネットワーキング構築物などの機能を含み得る。本開示で説明されるように、仮想化されたクラウドネットワークにおいて、仮想化されたレイヤ２ネットワーキング機能を提供することによって、顧客は、いかなる実質的な再構築または再設計も必要とせずに、今や、顧客のレガシーアプリケーションをクラウド環境にシームレスに移行させることができる。例えば、ここで説明される仮想化されたレイヤ２ネットワーキング能力は、そのようなアプリケーション（例えば、VMware vSphere, vCenter, vSAN および NSX-Tコンポーネント）が、オンプレミス環境で行われるようにレイヤ２で通信することを可能にする。これらのアプリケーションは、パブリッククラウドにおいて同じバージョンおよび構成を実行することが可能であり、それによって、顧客は、レガシーアプリケーションに関連付けられる既存の知識、ツール、およびプロセスを含むレガシーオンプレミスアプリケーションを使用することが可能になる。顧客は、（例えば、VMware ソフトウェア定義データセンター(SDDC)を使用して）自身のアプリケーションからネイティブクラウドサービスにアクセスすることもできる。

別の例として、フェイルオーバのためにレイヤ２ブロードキャストサポートを必要とするいくつかのレガシーオンプレミスアプリケーション（例えば、企業クラスタ化ソフトウェアアプリケーション、ネットワーク仮想アプライアンス）がある。例示的なアプリケーションは、Fortinet FortiGate, IBM（登録商標） QRadar, Palo Alto firewalls, Cisco ASA, Juniper SRX, および Oracle RAC（Real Application Clustering）を含む。本開示で説明するように、仮想化されたパブリッククラウドにおいて、仮想化されたレイヤ２ネットワーキングを提供することによって、これらのアプライアンスは、今や、変更されずに、仮想化されたパブリッククラウド環境において動作することができる。ここに記載されるように、オンプレミスに匹敵する仮想化されたレイヤ２ネットワーキング機能が提供される。本開示で説明する仮想化されたレイヤ２ネットワーキング機能は、従来のレイヤ２ネットワーキングをサポートする。これは、顧客定義のＶＬＡＮ、ならびにユニキャスト、ブロードキャスト、およびマルチキャストレイヤ２トラフィック機能のサポートを含む。レイヤ２ベースのパケットのルーティングおよび転送は、レイヤ２プロトコルを使用することと、たとえば、パケットのレイヤ２ヘッダに含まれる情報を使用して、たとえばレイヤ２ヘッダに含まれる宛先ＭＡＣアドレスに基づいて、パケットをルーティングまたは転送することとを含む。ARP, Gratuitousアドレス解決プロトコルl(GARP), および逆アドレス解決プロトコル (RARP)などの企業アプリケーション（例えば、クラスタリングソフトウェアアプリケーション）によって使用されるプロトコルも、今や、クラウド環境において機能し得る。

従来の仮想化されたクラウドインフラストラクチャが、仮想化されたレイヤ３ネットワーキングをサポートし、レイヤ２ネットワーキングをサポートしない、いくつかの理由がある。レイヤ２ネットワークは、通常、レイヤ３ネットワークと同様にスケーリングしない。レイヤ２ネットワーク制御プロトコルは、スケーリングのために望まれる高度化のレベルを有していない。例えば、レイヤ３ネットワークは、レイヤ２ネットワークが取り組まなければならないパケットループ化について心配する必要がない。ＩＰパケット（すなわち、レイヤ３パケット）は、有効期間（ＴＴＬ）という概念を有するが、レイヤ２パケットはそうではない。レイヤ３パケットの内部に含まれるＩＰアドレスは、サブネット、ＣＩＤＲ範囲などのトポロジの概念を有するが、レイヤ２アドレス（例えば、ＭＡＣアドレス）はそうではない。レイヤ３ＩＰネットワークは、経路情報を見つけるための、パケットインターネット探査、経路探索といった、トラブルシューティングを容易にする組込みツールを有する。そのようなツールは、レイヤ２については利用可能ではない。レイヤ３ネットワークは、レイヤ２では利用可能ではないマルチパス機能をサポートする。特にネットワークにおいてエンティティ間で情報を交換するための高度な制御プロトコル（例えば、Border Gateway Protocol (BGP) および Open Shortest Path First (OSPF)）の欠如のため、レイヤ２ネットワークは、ネットワークについて学習するためにブロードキャストおよびマルチキャストに依拠しなければならず、これはネットワーク性能に悪影響を与え得る。ネットワークが変化すると、レイヤ２のための学習プロセスは繰り返されなければならないが、これはレイヤ３では必要ではない。これらおよび他の理由から、クラウドＩａａＳサービスプロバイダにとっては、レイヤ２ではなくレイヤ３で動作するインフラストラクチャを提供する方が、より望ましい。

しかしながら、レイヤ２機能は、その複数の欠点にもかかわらず、多くのオンプレミスアプリケーションによって必要とされる。例えば、インスタンスが計算インスタンス（例えば、ベアメタル、仮想マシンもしくはコンテナ）もしくはロードバランサ、ｎｆｓマウントポイント、または他のサービスインスタンスなどのサービスインスタンスであり得る仮想ネットワーク「Ｖ」において、顧客（顧客１）がＩＰ１を有するインスタンスＡおよびＩＰ２を有するインスタンスＢの２つのインスタンスを有する、仮想化されたクラウド構成を仮定する。仮想ネットワークＶは、他の仮想ネットワークおよび下層の物理ネットワークから隔離された別個のアドレス空間である。たとえば、この隔離は、パケットカプセル化またはＮＡＴを含む様々な技術を使用して達成され得る。このため、顧客の仮想ネットワーク内のインスタンスのＩＰアドレスは、それがホストされる物理ネットワーク内のアドレスとは異なる。物理ＩＰおよびすべての仮想ＩＰアドレスの仮想インターフェースを知っている集中型ＳＤＮ（ソフトウェア定義ネットワーキング）制御プレーンが提供される。パケットがインスタンスＡから仮想ネットワークＶ内のＩＰ２の宛先に送信されるとき、仮想ネットワークＳＤＮスタックは、ＩＰ２がどこに位置するかを知る必要がある。それは、Ｖ用の仮想ＩＰアドレスＩＰ２がホストされている物理ネットワーク内のＩＰにパケットを送信することができるように、これを事前に知らなければならない。仮想ＩＰアドレスの位置は、クラウド内で修正することができ、したがって、物理ＩＰと仮想ＩＰアドレスとの間の関係を変更する。仮想ＩＰアドレスを移動させる（例えば、仮想マシンに関連付けられるＩＰアドレスを別の仮想マシンに移動させるか、または仮想マシンを新たな物理ホストにマイグレートする）たびに、ＳＤＮ制御プレーンに対してＡＰＩ呼出しを行って、コントローラに、ＩＰが移動されていることを知らせて、それが、ＳＤＮスタックにおいてパケットプロセッサ（データプレーン）を含むすべての参加者を更新することができるようにしなければならない。しかし、そのようなＡＰＩ呼出しを行わないアプリケーションのクラスがある。例は、様々なオンプレミスアプリケーション、VMwareなどの様々な仮想化ソフトウェアベンダによって提供されるアプリケーションなどを含む。仮想化されたクラウド環境において仮想レイヤ２ネットワークを容易にすることの価値は、そのようなＡＰＩ呼出しを行うようにプログラムされていないようなアプリケーションのサポート、または非ＩＰレイヤ３およびＭＡＣ学習のためのサポートなど、他のレイヤ２ネットワーキング機能に依存するアプリケーションのサポートを可能にする。

仮想レイヤ２ネットワークは、ブロードキャストドメインを作成し、学習は、ブロードキャストドメインのメンバによって実行される。仮想レイヤ２ドメインでは、このレイヤ２ドメイン内の任意のホスト上の任意のＭＡＣ上に任意のＩＰが存在し得、システムは、標準的なレイヤ２ネットワーキングプロトコルを使用して学習し、システムは、ＭＡＣおよびＩＰがその仮想レイヤ２ネットワーク内のどこに存在するかに関して中央コントローラによって明示的に伝えられる必要がなく、これらのネットワーキングプリミティブを仮想化する。これは、低レイテンシフェイルオーバを必要とするアプリケーション、複数のノードに対するブロードキャストまたはマルチキャストプロトコルをサポートする必要があるアプリケーション、ならびにＩＰアドレスおよびＭＡＣアドレスがどこで有効であるかを判断するためにＳＤＮ制御プレーンまたはＡＰＩエンドポイントへのＡＰＩ呼出しをどのように行うかを知らないレガシーアプリケーションが実行されることを可能にする。したがって、仮想化されたクラウド環境においてレイヤ２ネットワーキング能力を提供することは、ＩＰレイヤ３レベルでは利用可能でない機能性をサポートできるよう求められる。

仮想化されたクラウド環境において仮想レイヤ２を提供することの別の技術的利点は、非ＩＰプロトコルを含む様々な異なるレイヤ３プロトコル（ＩＰＶ４、ＩＰＶ６など）がサポートされることを可能にすることである。例えば、IPX, AppleTalkなどの様々な非ＩＰプロトコルをサポートすることができる。既存のクラウドＩａａＳプロバイダは、それらの仮想化されたクラウドネットワークにおいてレイヤ２機能を提供しないので、それらは、これらの非ＩＰプロトコルをサポートすることはできない。本開示で説明されるようなレイヤ２ネットワーキング機能を提供することによって、レイヤ３におけるプロトコル、およびレイヤ２レベル機能の可用性を必要とし、それに依存するアプリケーションに対するサポートを提供することができる。

本開示で説明される技術を使用して、レイヤ３およびレイヤ２機能の両方が、仮想化されたクラウドインフラストラクチャにおいて提供される。前述のように、レイヤ３ベースのネットワーキングは、レイヤ２ネットワーキングによっては提供されない特定の効率、特にスケーリングに充分に適している効率を提供する。レイヤ３機能に加えてレイヤ２機能を提供することにより、レイヤ２機能をよりスケーラブルな態様で提供しながら、レイヤ３によって提供されるそのような効率性を（たとえば、よりスケーラブルなソリューションを提供するために）活用することが可能になる。例えば、仮想化されたレイヤ３は、学習目的のためにブロードキャストを使用しなければならないことを回避する。レイヤ３を、その効率性のために提供し、ならびに、同時に、仮想化されたレイヤ２を、それを必要とするアプリケーション、およびレイヤ２機能を有さずに機能することはできないアプリケーションを有効にするため、および非ＩＰプロトコルなどをサポートするために提供することによって、仮想化されたクラウド環境における完全な柔軟性が顧客に提供される。

顧客ら自身は、レイヤ２環境がレイヤ３環境とともに存在するハイブリッド環境を有し、仮想化されたクラウド環境は、今やこれらの環境の両方をサポートすることができる。顧客は、サブネットなどのレイヤ３ネットワークおよび／またはＶＬＡＮなどのレイヤ２ネットワークを有することができ、これらの２つの環境は、仮想化されたクラウド環境内で互いにやりとりすることができる。

仮想化されたクラウド環境はまた、マルチテナンシをサポートする必要もある。マルチテナンシは、レイヤ３機能およびレイヤ２機能の両方を同じ仮想化されたクラウド環境においてプロビジョニングすることを技術的に困難かつ複雑にする。例えば、レイヤ２ブロードキャストドメインは、クラウドプロバイダのインフラストラクチャ内で多くの異なる顧客にわたって管理されなければならない。本開示に記載される実施形態は、これらの技術的問題を克服する。

仮想化プロバイダ（例えば、VMware）の場合、物理レイヤ２ネットワークをエミュレートする仮想化されたレイヤ２ネットワークは、ワークロードが変更されずに実行されることを可能にする。次いで、そのような仮想化プロバイダによって提供されるアプリケーションは、クラウドインフラストラクチャによって提供される仮想化されたレイヤ２ネットワーク上で実行することができる。たとえば、そのようなアプリケーションは、レイヤ２ネットワーク上で実行される必要があるインスタンスのセットを含み得る。顧客がそのようなアプリケーションを自身のオンプレミス環境から仮想化されたクラウド環境にリフトおよびシフトすることを望む場合、単にアプリケーションを取り込んでそれをクラウド内で実行することはできず、なぜならば、これらのアプリケーションは、現在の仮想化されたクラウドプロバイダによっては提供されない下層のレイヤ２ネットワークに依拠するからである（例えば、レイヤ２ネットワーク機能は、仮想マシンのマイグレーションを実行するため、またはＭＡＣおよびＩＰアドレスが有効であるところで移動するために使用される）。これらの理由から、そのようなアプリケーションは、仮想化されたクラウド環境においてネイティブに動作することはできない。ここで説明される技術を使用して、クラウドプロバイダは、仮想化されたレイヤ３ネットワークを提供することに加えて、仮想化されたレイヤ２ネットワークも提供する。ここで、そのようなアプリケーションスタックは、クラウド環境内で変更されずに実行することができ、クラウド環境内でネスト化された仮想化を実行することができる。顧客は今や、クラウド内で自分自身のレイヤ２アプリケーションを実行し、それらを管理することができる。アプリケーションプロバイダは、これを容易にするために、自身のソフトウェアに変更を加える必要はない。そのようなレガシーアプリケーションまたはワークロード（例えば、レガシーロードバランサ、レガシーアプリケーション、KVM、Openstack、クラスタリングソフトウェア）は、今や、仮想化されたクラウド環境で変更されずに実行することができる。

ここに説明されるような仮想化されたレイヤ２機能を提供することによって、非ＩＰプロトコルを含む、種々のレイヤ３プロトコルが、今や、仮想化されたクラウド環境によってサポートされることができる。イーサネットを例にとると、様々な非ＩＰプロトコルを含む様々な異なるEtherTypes（どのようなタイプのレイヤ３パケットが送信されているかを伝え；レイヤ３においてどのようなプロトコルを期待すべきかを伝える、レイヤ２ヘッダ内のフィールド）をサポートすることができる。EtherTypesは、イーサネット（登録商標）フレーム内の２オクテットフィールドである。これは、どのプロトコルがフレームのペイロードにカプセル化され、ペイロードがどのように処理されるかを判断するためにデータリンク層によって受信端で使用されるかを示すために使用される。EtherTypesはまた、８０２．１Ｑ ＶＬＡＮタグ付けの基礎として使用され、ＶＬＡＮからのパケットを、イーサネットトランク上で他のＶＬＡＮトラフィックと多重化される送信のために、カプセル化する。EtherTypesの例は、ＩＰＶ４、ＩＰＶ６、アドレス解決プロトコル（ＡＲＰ）、AppleTalk、IPXなどを含む。レイヤ２プロトコルをサポートするクラウドネットワークは、レイヤ３レイヤにおいて任意のプロトコルをサポートすることができる。同様に、クラウドインフラストラクチャがレイヤ３プロトコルに対するサポートを提供するとき、クラウドインフラストラクチャは、ＴＣＰ、ＵＤＰ、ＩＣＭＰなどのレイヤ４における様々なプロトコルをサポートすることができる。ネットワークは、仮想化がレイヤ３で提供されるとき、レイヤ４プロトコルにアグノスティックであり得る。同様に、ネットワークは、仮想化がレイヤ２において提供されるとき、レイヤ３プロトコルにアグノスティックであり得る。この技術は、ＦＤＤＩ、インフィニバンドなどを含む任意のレイヤ２ネットワークタイプをサポートするように拡張することができる。

したがって、物理ネットワーク用に記述された多くのアプリケーション、特にブロードキャストドメインを共有するコンピュータノードのクラスタとともに動作するアプリケーションは、Ｌ３仮想ネットワークにおいてサポートされないレイヤ２機能を使用する。以下の６つの例は、レイヤ２ネットワーキング能力を提供しないことから生じ得る複雑さを強調する：
（１）先行するＡＰＩ呼出しなしでのＭＡＣおよびＩＰの割り当て。ネットワークアプライアンスおよびハイパーバイザ（VMware等）は、クラウド仮想ネットワークのために構築されなかった。それらは、ＭＡＣが一意である限りＭＡＣを使用することができ、ＤＨＣＰサーバから動的アドレスを取得するか、またはクラスタに割り当てられた任意のＩＰを使用することができる、と仮定する。それらがこれらレイヤ２アドレスおよびレイヤ３アドレスの割り当てについて制御プレーンに通知するように構成できる機構は、存在しないことが多い。ＭＡＣおよびＩＰがどこにあるかが分からない場合、レイヤ３仮想ネットワークは、トラフィックをどこに送るべきかがわからない。
（２）高可用性およびライブマイグレーションのためのＭＡＣならびにＩＰの低レイテンシ再割り当て。多くのオンプレミスアプリケーションは、高可用性のためにＡＲＰを使用してＩＰおよびＭＡＣを再割り当てし、－クラスタまたはＨＡペア内のインスタンスが応答することを停止すると、新たにアクティブなインスタンスは、Gratuitous ARP (GARP)を送信して、サービスＩＰをそのＭＡＣに再割り当てするか、または逆ARP (RARP) を送信して、サービスＭＡＣをそのインターフェースに再割り当てする。これは、ハイパーバイザ上でインスタンスをライブマイグレーションするときにも重要であり：新たなホストは、ゲストトラフィックが新たなホストに送信されるようにゲストが移動するとＲＡＲＰを送信しなければならない。割り当ては、ＡＰＩ呼出しなしで行われるだけでなく、非常に低いレイテンシ（サブミリ秒）であることも必要である。これは、ＲＥＳＴエンドポイントへのＨＴＴＰＳ呼出しでは達成できない。
（３）ＭＡＣアドレスによるインターフェース多重化。ハイパーバイザが単一のホスト上で複数の仮想マシンをホストし、そのすべてが同じネットワーク上にあるとき、ゲストインターフェースは、それらのＭＡＣによって区別される。これは、同じ仮想インターフェース上の複数のＭＡＣに対するサポートを必要とする。
（４）ＶＬＡＮサポート。単一の物理仮想マシンホストは、ＶＬＡＮタグの使用によって示されるように、複数のブロードキャストドメイン上にある必要があることになる。例えば、VMware ESXはトラフィック分離のためにＶＬＡＮを使用する（例えば、ゲスト仮想マシンは、あるＶＬＡＮ上で通信し、ストレージは別のＶＬＡＮ上で通信し、ホスト仮想マシンはさらに別のＶＬＡＮ上で通信してもよい）。
（５）ブロードキャストおよびマルチキャストトラフィックの使用。ＡＲＰはＬ２ブロードキャストを必要とし、クラスタおよびＨＡアプリケーションのためにブロードキャストおよびマルチキャストトラフィックを使用するオンプレミスアプリケーションの例がある。
（６）非ＩＰトラフィックのサポート。Ｌ３ネットワークは、通信するためにＩＰｖ４またはＩＰｖ６ヘッダを必要とするので、ＩＰ以外のＬ３プロトコルの使用は機能しないことになる。Ｌ２仮想化は、ＶＬＡＮ内のネットワークがＬ３プロトコルに依存しないものであり得ることを意味し、－Ｌ３ヘッダは、ＩＰｖ４、ＩＰｖ６、ＩＰＸ、または他の何かによるかもしれず－、さらには全く存在しないこともあり得る。

レイヤ２ＶＬＡＮ実現例
ここで開示されるように、レイヤ２（Ｌ２）ネットワークは、クラウドネットワーク内で作成することができる。この仮想Ｌ２ネットワークは、ここではＶＬＡＮと呼ばれる仮想化されたＬ２ＶＬＡＮなどの１つまたはいくつかのレイヤ２仮想ネットワークを含む。各ＶＬＡＮは、複数の計算インスタンスを含むことができ、それらの各々は、少なくとも１つのＬ２仮想ネットワークインターフェース（例えば、Ｌ２ ＶＮＩＣ）およびＬ２仮想スイッチに関連付けることができる。いくつかの実施形態では、Ｌ２仮想ネットワークインターフェースおよびＬ２仮想スイッチの各ペアは、ＮＶＤ上でホストされる。ＮＶＤは、複数のそのようなペアをホストすることができ、各ペアは、異なる計算インスタンスに関連付けられる。Ｌ２仮想スイッチの集合は、ＶＬＡＮのエミュレートされた単一のＬ２スイッチを表す。Ｌ２仮想ネットワークインターフェースは、エミュレートされた単一Ｌ２スイッチ上のＬ２ポートの集合を表す。ＶＬＡＮは、ここでは実体仮想ルータ（ＲＶＲ）またはＬ２ ＶＳＲＳとも呼ばれるＶＬＡＮスイッチングおよびルーティングサービス（ＶＳＲＳ）を介して、他のＶＬＡＮ、レイヤ３（Ｌ３）ネットワーク、オンプレミスネットワーク、および／または他のネットワークに接続することができる。このアーキテクチャの例を以下で説明する。

ここで図６を参照すると、コンピューティングネットワークの一実施形態の概略図が示されている。ＶＣＮ６０２は、ＣＳＰＩ６０１に存在する。ＶＣＮ６０２は、ＶＣＮ６０２を他のネットワークに接続する複数のゲートウェイを含む。これらのゲートウェイは、ＶＣＮ６０２を、例えば、オンプレミスデータセンタ６０６などのオンプレミスネットワークに接続することができるＤＲＧ６０４を含む。ゲートウェイは、たとえば、ＶＣＮ６０２を別のＶＣＮに接続するためのＬＰＧ、ならびに／またはＶＣＮ６０２をインターネットに接続するためのＩＧＷおよび／もしくはＮＡＴゲートウェイを含み得るゲートウェイ６００をさらに含み得る。ＶＣＮ６０２のゲートウェイは、ＶＣＮ６０２をサービスネットワーク６１２に接続することができるサービスゲートウェイ６１０をさらに含み得る。サービスネットワーク６１２は、例えば、自律型データベース６１４および／もしくはオブジェクトストア６１６を含む、１つまたはいくつかのデータベースならびに／またはストアを含み得る。サービスネットワークは、例えばパブリックＩＰ範囲であり得るＩＰ範囲の集約を含む概念的なネットワークを含み得る。いくつかの実施形態では、これらのＩＰ範囲は、ＣＳＰＩ６０１プロバイダによって提供されるパブリックサービスのいくつかまたはすべてをカバーすることができる。これらのサービスは、例えば、インターネットゲートウェイまたはＮＡＴゲートウェイを介してアクセスすることができる。いくつかの実施形態では、サービスネットワークは、サービスネットワーク内のサービスが、ローカル領域から、その目的のための専用ゲートウェイ（サービスゲートウェイ）を通して、アクセスされる方法を提供する。いくつかの実施形態では、これらのサービスのバックエンドは、例えば、それら自体のプライベートネットワークにおいて実現することができる。いくつかの実施形態では、サービスネットワーク６１２は、さらなる追加のデータベースを含むことができる。

ＶＣＮ６０２は、複数の仮想ネットワークを含むことができる。これらのネットワークは、各々、１つまたはいくつかの計算インスタンスを含むことができ、１つまたはいくつかの計算インスタンスは、それらのそれぞれのネットワーク内、ネットワーク間、またはＶＣＮ６０２の外部で通信することができる。ＶＣＮ６０２の仮想ネットワークの１つは、Ｌ３サブネット６２０である。Ｌ３サブネット６２０は、ＶＣＮ６０２内で作成された構成の単位または細分化である。サブネット６２０は、ＶＣＮ６０２の仮想化されたクラウド環境において仮想レイヤ３ネットワークを含むことができ、ＶＣＮ６０２は、ＣＰＳＩ６０１の下層の物理ネットワーク上でホストされる。図６は単一のサブネット６２０を示すが、ＶＣＮ６０２は１つ以上のサブネットを有することができる。ＶＣＮ６０２内の各サブネットは、そのＶＣＮ内の他のサブネットと重複せず、ＶＣＮのアドレス空間内のアドレス空間サブセットを表す、オーバーレイＩＰアドレス（例えば、10.0.0.0/24および10.0.1.0/24）の連続範囲と関連付けられることができる。いくつかの実施形態では、このＩＰアドレス空間は、ＣＰＳＩ６０１に関連付けられるアドレス空間から隔離することができる。

サブネット６２０は、１つ以上の計算インスタンスを含み、具体的には、第１の計算インスタンス６２２－Ａおよび第２の計算インスタンス６２２－Ｂを含む。計算インスタンス６２２－Ａ、６２２－Ｂは、サブネット６２０内で互いに通信することができ、またはサブネット６２０の外部の他のインスタンス、デバイス、および／もしくはネットワークと通信することができる。サブネット６２０の外部の通信は、仮想ルータ（ＶＲ）６２４によって可能にされる。ＶＲ６２４は、サブネット６２０とＶＣＮ６０２の他のネットワークとの間の通信を可能にする。サブネット６２０の場合、ＶＲ６２４は、サブネット６２０（例えば、計算インスタンス６２２－Ａ、６２２－Ｂ）が、ＶＣＮ６０２内の他のネットワーク上のエンドポイント、およびＶＣＮ６０２の外部の他のエンドポイントと通信することを可能にする論理ゲートウェイを表す。

ＶＣＮ６０２は、追加のネットワークをさらに含むことができ、具体的には、仮想Ｌ２ネットワークの例である１つまたはいくつかのＬ２ ＶＬＡＮ（ここではＶＬＡＮと呼ばれる）を含むことができる。これらの１つまたはいくつかのＶＬＡＮは、各々、ＶＣＮ６０２のクラウド環境に局在化され、および／またはＣＰＳＩ６０１の下層の物理ネットワークによってホストされる、仮想レイヤ２ネットワークを含むことができる。図６の実施形態では、ＶＣＮ６０２は、ＶＬＡＮ Ａ６３０およびＶＬＡＮ Ｂ６４０を含む。ＶＣＮ６０２内の各ＶＬＡＮ６３０、６４０は、そのＶＣＮ内の他のサブネットまたはＶＬＡＮ等の、当該ＶＣＮ内の他のネットワークと重複せず、ＶＣＮのアドレス空間内のアドレス空間サブセットを表す、オーバーレイＩＰアドレス（例えば、10.0.0.0/24 および 10.0.1.0/24）の連続範囲と関連付けられることができる。いくつかの実施形態では、ＶＬＡＮのこのＩＰアドレス空間は、ＣＰＳＩ６０１に関連付けられるアドレス空間から隔離され得る。ＶＬＡＮ６３０、６４０の各々は、１つ以上の計算インスタンスを含むことができ、具体的には、ＶＬＡＮ Ａ６３０は、たとえば、第１の計算インスタンス６３２－Ａおよび第２の計算インスタンス６３２－Ｂを含むことができる。いくつかの実施形態では、ＶＬＡＮ Ａ６３０は、追加の計算インスタンスを含むことができる。ＶＬＡＮ Ｂ６４０は、例えば、第１の計算インスタンス６４２－Ａと、第２の計算インスタンス６４２－Ｂとを含むことができる。計算インスタンス６３２－Ａ、６３２－Ｂ、６４２－Ａ、６４２－Ｂの各々は、ＩＰアドレスおよびＭＡＣアドレスを有することができる。これらのアドレスは、任意の所望の方法で割り当てられるかまたは生成され得る。いくつかの実施形態では、これらのアドレスは、計算インスタンスのＶＬＡＮのＣＩＤＲ内にあり得、いくつかの実施形態では、これらのアドレスは、任意のアドレスであり得る。ＶＬＡＮの計算インスタンスがＶＬＡＮの外部のエンドポイントと通信する実施形態では、これらのアドレスの一方または両方はＶＬＡＮ ＣＩＤＲからのものであるが、すべての通信がＶＬＡＮ内である場合、これらのアドレスはＶＬＡＮ ＣＩＤＲ内のアドレスに限定されない。アドレスが制御プレーンによって割り当てられるネットワークとは対照的に、ＶＬＡＮ内の計算インスタンスのＩＰおよび／またはＭＡＣアドレスは、そのＶＬＡＮのユーザ／顧客によって割り当てられ得、次いで、これらのＩＰおよび／またはＭＡＣアドレスは、以下に論じられる学習のためのプロセスに従って、ＶＬＡＮ内の計算インスタンスによって発見および／または学習され得る。

各ＶＬＡＮはＶＬＡＮ スイッチングおよびルーティングサービス（ＶＳＲＳ）を含むことができ、具体的には、ＶＬＡＮ Ａ６３０はＶＳＲＳ Ａ６３４を含み、ＶＬＡＮ Ｂ６４０はＶＳＲＳ Ｂ６４４を含む。各ＶＳＲＳ６３４、６４４は、ＶＬＡＮ内でレイヤ２スイッチングおよびローカル学習に参加し、また、ＡＲＰ、ＮＤＰ、およびルーティングを含むすべての必要なレイヤ３ネットワーク機能を実行する。ＶＳＲＳは、ＩＰをＭＡＣにマッピングしなければならないので、ＡＲＰ（レイヤ２プロトコルである）を実行する。

これらのクラウドベースのＶＬＡＮでは、各仮想インターフェースまたは仮想ゲートウェイは、仮想ＭＡＣアドレスであり得る、１つ以上の媒体アクセス制御（ＭＡＣ）アドレスと関連付けられることができる。ＶＬＡＮ内で、例えば、ベアメタル、ＶＭ、もしくはコンテナであり得る１つ以上の計算インスタンス６３２－Ａ、６３２－Ｂ、６４２－Ａ、６４２－Ｂ、および／または１つ以上のサービスインスタンスは、仮想スイッチを介して互いに直接通信することができる。他のＶＬＡＮまたはＬ３ネットワークなどとの、ＶＬＡＮの外部の通信は、ＶＳＲＳ６３４、６４４を介して可能にされる。ＶＳＲＳ６３４、６４４は、ＶＬＡＮネットワークに対してＩＰルーティングなどのレイヤ３機能を提供する分散型サービスである。いくつかの実施形態では、ＶＳＲＳ６３４、６４４は、ＩＰネットワークおよびＬ２ネットワークの交差点に位置し、クラウドベースのＬ２ドメイン内でＩＰルーティングおよびＬ２学習に参加することができる、水平にスケーラブルな高可用性ルーティングサービスである。

ＶＳＲＳ６３４、６４４は、インフラストラクチャ内で複数のノードにわたって分散され得、ＶＳＲＳ６３４、６４４機能は、スケーラブルであり得、具体的には、水平にスケーラブルであり得る。いくつかの実施形態では、ＶＳＲＳ６３４、６４４の機能を実現するノードの各々は、ルータおよび／またはスイッチの機能を互いに共有および複製する。さらに、これらのノードは、それら自体を、単一のＶＳＲＳ６３４、６４４として、ＶＬＡＮ６３０、６４０内のインスタンスのすべてに対して提示することができる。ＶＳＲＳ６３４、６４４は、ＣＳＰＩ６０１内の、具体的には仮想ネットワーク内の、任意の仮想化デバイス上に実現され得る。したがって、いくつかの実施形態では、ＶＳＲＳ６３４、６４４は、NIC、SmartNIC、スイッチ、Smartスイッチまたは汎用計算ホストを含む仮想ネットワーク仮想化デバイスのいずれか上で実現され得る。

ＶＳＲＳ６３４、６４４は、クラウドネットワークをサポートする、例えば、１つまたはいくつかのｘ８６サーバ等の１つもしくはいくつかのサーバ、もしくは１つもしくはいくつかのＮＩＣ、具体的には、１つもしくはいくつかのSmartNIC等の１つもしくはいくつかのネットワーキングデバイス等の、１つまたはいくつかのハードウェアノード上に常駐するサービスであることができる。いくつかの実施形態では、ＶＳＲＳ６３４、６４４は、サーバフリート上に実現され得る。したがって、ＶＳＲＳ６３４、６４４は、ルーティングおよびセキュリティポリシーを評価することとともにＬ２およびＬ３学習に参加し、それを共有する、仮想ネットワーキング実施者の、集中管理されるフリートであるかまたはエッジに分散されてもよい、ノードのフリートにわたって分散されるサービスであり得る。いくつかの実施形態では、ＶＳＲＳインスタンスの各々は、新たなマッピング情報がＶＳＲＳインスタンスによって学習されるので、この新たなマッピング情報で他のＶＳＲＳインスタンスを更新することができる。例えば、ＶＳＲＳインスタンスが、そのＶＬＡＮ内の１つまたはいくつかのＣＩについてＩＰ、インターフェース、および／またはＭＡＣマッピングを学習すると、ＶＳＲＳインスタンスは、その更新された情報をＶＣＮ内の他のＶＳＲＳインスタンスに提供することができる。このクロスアップデートを介して、第１のＶＬＡＮに関連付けられるＶＳＲＳインスタンスは、他のＶＬＡＮ内のＣＩついてのＩＰ、インターフェース、および／またはＭＡＣマッピングを含むマッピングを知ることができ、いくつかの実施形態では、ＶＣＮ６０２内の他のＶＬＡＮ内のＣＩについてのＩＰ、インターフェース、および／またはＭＡＣマッピングを含むマッピングを知ることができる。ＶＳＲＳがサーバフリート上に存在し、および／またはノードのフリートにわたって分散されるとき、これらの更新は大幅に促進され得る。

いくつかの実施形態では、ＶＳＲＳ６３４、６４４はまた、ＤＨＣＰリレー；ＤＨＣＰ（ホスティング）；ＤＨＣＰｖ６；ＩＰｖ６近隣探索プロトコルなどの近隣探索プロトコル；ＤＮＳ；ホスティングＤＮＳｖ６；ＩＰｖ６のためのＳＬＡＡＣ；ＮＴＰ；メタデータサービス；およびブロックストアマウントポイントを含むが、それらに限定されない、ネットワーキングに必要な１つまたはいくつかのより上位のサービスをホストしてもよい。いくつかの実施形態では、ＶＳＲＳは、複数のネットワークアドレス空間の間で変換するための１つ以上のネットワークアドレス変換（ＮＡＴ）機能をサポートすることができる。いくつかの実施形態では、ＶＳＲＳは、アンチスプーフィング、アンチＭＡＣスプーフィング、ＩＰｖ４のためのＡＲＰキャッシュポイズニング対策、ＩＰｖ６ルータ広告（ＲＡ）ガード、ＤＨＣＰガード、アクセス制御リスト（ＡＣＬ）を使用したパケットフィルタリング；および／または逆経路転送チェックを組み込むことができる。ＶＳＲＳは、例えば、ＡＲＰ、ＧＡＲＰ、パケットフィルタ（ＡＣＬ）、ＤＨＣＰリレー、および／またはＩＰルーティングプロトコルを含む機能を実現することができる。ＶＳＲＳ６３４、６４４は、例えば、ＭＡＣアドレスを学習し、有効期限切れのＭＡＣアドレスを無効にし、ＭＡＣアドレスの移動を取り扱い、ＭＡＣアドレス情報を調べることができ、ＭＡＣ情報のフラッディングの取り扱い、ストーム制御の取り扱い、ループ防止、例えば、クラウド内のＩＧＭＰ等のプロトコルを介したレイヤ２マルチキャスト、ログを含む統計収集、ＳＮＭＰを使用する統計、監視、ならびに／またはブロードキャスト、総トラフィック、ビット、スパニングツリーパケットなどについての統計を収集および使用することができる。

仮想ネットワーク内で、ＶＳＲＳ６３４、６４４は、異なるインスタンス化として現れ得る。いくつかの実施形態では、ＶＳＲＳのこれらのインスタンス化の各々は、ＶＬＡＮ６３０、６４０に関連付けることができ、いくつかの実施形態では、各ＶＬＡＮ６３０、６４０は、ＶＳＲＳ６３４、６４４のインスタンス化を有することができる。いくつかの実施形態では、ＶＳＲＳ６３４、６４４の各インスタンス化は、ＶＳＲＳ６３４、６４４のインスタンス化が関連付けられるＶＬＡＮ６３０、６４０に対応する１つまたはいくつかの固有のテーブルを有することができる。ＶＳＲＳ６３４、６４４の各インスタンス化は、ＶＳＲＳ６３４、６４４のそのインスタンス化に関連付けられる固有のテーブルを生成および／またはキュレートすることができる。したがって、単一のサービスが１つまたはいくつかのクラウドネットワークのためにＶＳＲＳ６３４、６４４機能を提供してもよい一方で、クラウドネットワーク内のＶＳＲＳ６３４、６４４の個々のインスタンス化は、固有のレイヤ２転送テーブルおよびレイヤ３転送テーブルを有することができ、一方で、複数のそのような顧客ネットワークは、重なるレイヤ２転送テーブルおよびレイヤ３転送テーブルを有することができる。

いくつかの実施形態では、ＶＳＲＳ６３４、６４４は、複数のテナントにわたって競合するＶＬＡＮおよびＩＰ空間をサポートし得る。これは、同じＶＳＲＳ６３４、６４４上に複数のテナントを有することを含み得る。いくつかの実施形態では、これらのテナントのいくつかまたはすべては、同じＩＰアドレス空間、同じＭＡＣ空間、および同じＶＬＡＮ空間のうちのいくつかまたはすべてを使用するよう選択することができる。これは、アドレスを選択する際にユーザに極度の柔軟性を提供することができる。いくつかの実施形態では、このマルチテナンシは、各テナントに別個の仮想ネットワークを提供することによってサポートされ、この仮想ネットワークは、クラウドネットワーク内のプライベートネットワークである。各仮想ネットワークには一意の識別子が与えられる。同様に、いくつかの実施形態では、各ホストは、一意の識別子を有することができ、および／または各仮想インターフェースもしくは仮想ゲートウェイは、一意の識別子を有することができる。いくつかの実施形態では、これらの一意の識別子、具体的にはテナントに対する仮想ネットワークの一意の識別子は、各通信において符号化することができる。各仮想ネットワークに一意の識別子を提供し、これを通信内に含めることによって、ＶＳＲＳ６３４、６４４の単一のインスタンス化は、重複するアドレスおよび／または名前空間を有する複数のテナントに応対することができる。

ＶＳＲＳ６３４、６４４は、ＶＬＡＮ６３０、６４０内でのＬ２ネットワークとの作成および／もしくはそれとの通信を容易にし、ならびに／またはそれを可能にするために、これらのスイッチング機能および／またはルーティング機能を実行することができる。このＶＬＡＮ６３０、６４０は、クラウドコンピューティング環境内で、より具体的には、そのクラウドコンピューティング環境における仮想ネットワーク内において、見出され得る。

例えば、ＶＬＡＮ６３０、６４０の各々は、複数の計算インスタンス６３２－Ａ、６３２－Ｂ、６４２－Ａ、６４２－Ｂを含む。ＶＳＲＳ６３４、６４４は、あるＶＬＡＮ６３０、６４０における計算インスタンスと、別のＶＬＡＮ６３０、６４０またはサブネット６２０における計算インスタンスとの間の通信を可能にする。いくつかの実施形態では、ＶＳＲＳ６３４、６４４は、あるＶＬＡＮ６３０、６４０内の計算インスタンスと、別のＶＣＮ、インターネットを含むＶＣＮの外部の別のネットワーク、オンプレミスデータセンタなどとの間の通信を可能にする。そのような実施形態では、例えば、計算インスタンス６３２－Ａなどの計算インスタンスは、ＶＬＡＮ、この例ではＶＬＡＮ Ａ６３０の外側のエンドポイントに通信を送信することができる。計算インスタンス（６３２－Ａ）は、ＶＳＲＳ Ａ６３４に通信を送信することができ、ＶＳＲＳ Ａ６３４は、その通信を、所望のエンドポイントと通信可能に結合されたルータ６２４、６４４またはゲートウェイ６０４、６０８、６１０に向けることができる。所望のエンドポイントと通信可能に結合されたルータ６２４、６４４またはゲートウェイ６０４、６０８、６１０は、計算インスタンス（６３２－Ａ）から通信を受信することができ、その通信を所望のエンドポイントに向けることができる。

ここで図７を参照すると、ＶＬＡＮ７００の論理およびハードウェア概略図が示されている。理解されるように、ＶＬＡＮ７００は、複数のエンドポイントを含み、具体的には、複数の計算インスタンスおよびＶＳＲＳを含む。複数の計算インスタンス（ＣＩ）は、１つまたはいくつかのホストマシン上でインスタンス化される。いくつかの実施形態では、これは、各ＣＩが固有のホストマシン上でインスタンス化されるように一対一の関係にあることができ、および／またはいくつかの実施形態では、これは、複数のＣＩが単一の共通ホストマシン上でインスタンス化されるように多対一の関係にあることができる。様々な実施形態では、ＣＩは、Ｌ２プロトコルを使用して互いに通信するように構成されることによって、レイヤ２ＣＩであることができる。図７は、いくつかのＣＩが固有のホストマシン上でインスタンス化され、いくつかのＣＩが共通のホストマシンを共有するシナリオを示す。図７に見られるように、インスタンス１（ＣＩ１）７０４－Ａはホストマシン１ ７０２－Ａ上でインスタンス化され、インスタンス２（ＣＩ２）７０４－Ｂはホストマシン２ ７０２－Ｂ上でインスタンス化され、インスタンス３（ＣＩ３）７０４－Ｃおよびインスタンス４（ＣＩ４）７０４－Ｄは共通のホストマシン７０２－Ｃ上でインスタンス化される。

ＣＩ７０４－Ａ、７０４－Ｂ、７０４－Ｃ、７０４－Ｄの各々は、ＶＬＡＮ７００内の他のＣＩ７０４－Ａ、７０４－Ｂ、７０４－Ｃ、７０４－Ｄ、およびＶＳＲＳ７１４と通信可能に結合される。具体的には、ＣＩ７０４－Ａ、７０４－Ｂ、７０４－Ｃ、７０４－Ｄの各々は、ＶＬＡＮ７００内の他のＣＩ７０４－Ａ、７０４－Ｂ、７０４－Ｃ、７０４－Ｄ、およびＶＳＲＳ７１４に、Ｌ２ ＶＮＩＣおよびスイッチを介して接続される。各ＣＩ７０４－Ａ、７０４－Ｂ、７０４－Ｃ、７０４－Ｄは、固有のＬ２ ＶＮＩＣおよびスイッチに関連付けられる。スイッチは、ローカルであり、Ｌ２ ＶＮＩＣに固有に関連付けられ、Ｌ２ ＶＮＩＣのために展開される、Ｌ２仮想スイッチであり得る。具体的には、ＣＩ１ ７０４－ＡはＬ２ ＶＮＩＣ１ ７０８－Ａおよびスイッチ１ ７１０－Ａに関連付けられ、ＣＩ２ ７０４－ＢはＬ２ ＶＮＩＣ２ ７０８－Ｂおよびスイッチ７１０－Ｂに関連付けられ、ＣＩ３ ７０４－ＣはＬ２ ＶＮＩＣ３ ７０８－Ｃおよびスイッチ３ ７１０－Ｃに関連付けられ、ＣＩ４ ７０４－Ｄは、Ｌ２ ＶＮＩＣ４ ７０８－Ｄおよびスイッチ４ ７１０－Ｄに関連付けられる。

いくつかの実施形態では、各Ｌ２ ＶＮＩＣ７０８およびその関連付けられるスイッチ７１０は、ＮＶＤ７０６上でインスタンス化され得る。このインスタンス化は、単一のＬ２ ＶＮＩＣ７０８およびその関連付けられるスイッチ７１０が固有のＮＶＤ７０６上でインスタンス化されるように一対一の関係にあることができ、またはこのインスタンス化は、複数のＬ２ ＶＮＩＣ７０８およびそれらの関連付けられるスイッチ７１０が単一の共通のＮＶＤ７０６上でインスタンス化されるように多対一の関係にあることができる。具体的には、Ｌ２ ＶＮＩＣ１ ７０８－Ａおよびスイッチ１ ７１０－Ａは、ＮＶＤ１ ７０６－Ａ上でインスタンス化され、Ｌ２ ＶＮＩＣ２ ７０８－Ｂおよびスイッチ２ ７１０－Ｂは、ＮＶＤ２上でインスタンス化され、Ｌ２ ＶＮＩＣ３ ７０８－Ｃおよびスイッチ３ ７１０－ＣならびにＬ２ ＶＮＩＣ４ ７０８－Ｄおよびスイッチ７１０－Ｄの両方は、共通のＮＶＤ、すなわちＮＶＤ ７０６－Ｃ上でインスタンス化される。

いくつかの実施形態では、ＶＳＲＳ７１４は、複数のテナントにわたって競合するＶＬＡＮおよびＩＰ空間をサポートすることができる。これは、同じＶＳＲＳ７１４上に複数のテナントを有することを含むことができる。いくつかの実施形態では、これらのテナントのいくつかまたはすべては、同じＩＰアドレス空間、同じＭＡＣ空間、および同じＶＬＡＮ空間のうちのいくつかまたはすべてを使用するよう選択することができる。これは、アドレスを選択する際にユーザに極度の柔軟性を提供することができる。いくつかの実施形態では、このマルチテナンシは、各テナントに別個の仮想ネットワークを提供することによってサポートされ、この仮想ネットワークは、クラウドネットワーク内のプライベートネットワークである。各仮想ネットワーク（例えば、各ＶＬＡＮまたはＶＣＮ）には、ＶＬＡＮ識別子であり得るＶＣＮ識別子などの一意の識別子が与えられる。この一意の識別子は、例えば、制御プレーンによって、具体的には、ＣＳＰＩの制御プレーンによって選択されることができる。いくつかの実施形態では、この一意のＶＬＡＮ識別子は、パケットカプセル化において含まれ得る、および／または使用され得る、１つまたはいくつかのビットを含み得る。同様に、いくつかの実施形態では、各ホストは、一意の識別子を有することができ、および／または各仮想インターフェースもしくは仮想ゲートウェイは、一意の識別子を有することができる。いくつかの実施形態では、これらの一意の識別子、具体的にはテナントに対する仮想ネットワークの一意の識別子は、各通信において符号化することができる。各仮想ネットワークに一意の識別子を提供し、これを通信内に含めることによって、ＶＳＲＳの単一のインスタンス化は、重複するアドレスおよび／または名前空間を有する複数のテナントに応対することができる。いくつかの実施形態では、ＶＳＲＳ７１４は、通信に関連付けられる、具体的には通信のＶＣＮヘッダ内の、ＶＣＮ識別子および／またはＶＬＡＮ識別子に基づいて、パケットがどのテナントに属するかを判断することができる。ここで開示される実施形態では、ＶＬＡＮに出入りする通信は、ＶＬＡＮ識別子を含むことができるＶＣＮヘッダを有することができる。ＶＬＡＮ識別子を含むＶＣＮヘッダに基づいて、ＶＳＲＳ７１４はテナンシを判断することができ、言い換えれば、受信側ＶＳＲＳは、どのＶＬＡＮおよび／またはどのテナントに通信を送信するかを判断することができる。加えて、ＶＬＡＮに属する各計算インスタンス（例えば、Ｌ２計算インスタンス）には、その計算インスタンスに関連付けられるＬ２ ＶＮＩＣを識別する一意のインターフェース識別子が与えられる。インターフェース識別子は、（例えば、フレームのヘッダに含まれることによって）コンピュータインスタンスからのトラフィックおよび／またはコンピュータインスタンスへのトラフィックに含まれ得、計算インスタンスに関連付けられるＬ２ ＶＮＩＣを識別するためにＮＶＤによって使用され得る。言い換えれば、インターフェース識別子は、計算インスタンスおよび／またはそれの関連付けられるＬ２ ＶＮＩＣを一意に示すことができる。

図７に示されるように、スイッチ７１０－Ａ、７１０－Ｂ、７１０－Ｃ、７１０－Ｄは共に、ここでは分散型スイッチ７１２とも呼ばれる、Ｌ２分散型スイッチ７１２を形成することができる。顧客の観点からは、Ｌ２分散型スイッチ７１２内の各スイッチ７１０－Ａ、７１０－Ｂ、７１０－Ｃ、７１０－Ｄは、ＶＬＡＮ内のＣＩのすべてに接続する単一のスイッチである。しかしながら、単一のスイッチのユーザエクスペリエンスをエミュレートするＬ２分散型スイッチ７１２は、無限にスケーラブルであり、ローカルスイッチ（たとえば、図７の例示的な例では、スイッチ７１０－Ａ、７１０－Ｂ、７１０－Ｃ、７１０－Ｄ）の集合を含む。図７に示すように、各ＣＩは、ＮＶＤに接続されたホストマシン上で実行される。ＮＶＤに接続されたホスト上の各ＣＩについて、ＮＶＤは、計算インスタンスに関連付けられるレイヤ２ＶＮＩＣおよびローカルスイッチ（たとえば、ＮＶＤにローカルであり、レイヤ２ＶＮＩＣに関連付けられ、Ｌ２分散型スイッチ７１２の１つのメンバまたは構成要素であるＬ２仮想スイッチ）をホストする。レイヤ２ＶＮＩＣは、レイヤ２ＶＬＡＮ上において計算インスタンスのポートを表す。ローカルスイッチは、ＶＮＩＣをレイヤ２ＶＬＡＮの他の計算インスタンスに関連付けられる他のＶＮＩＣ（例えば、他のポート）に接続する。

ＣＩ７０４－Ａ、７０４－Ｂ、７０４－Ｃ、７０４－Ｄの各々は、ＶＬＡＮ７００内のＣＩ７０４－Ａ、７０４－Ｂ、７０４－Ｃ、７０４－Ｄの他のものと、またはＶＳＲＳ７１４と通信することができる。ＣＩ７０４－Ａ、７０４－Ｂ、７０４－Ｃ、７０４－Ｄのうちの１つは、ＣＩ７０４－Ａ、７０４－Ｂ、７０４－Ｃ、７０４－Ｄのうちの受信側ＣＩまたはＶＳＲＳ７１４のＭＡＣアドレスおよびインターフェース識別子にフレームを送信することによって、フレームをＣＩ７０４－Ａ、７０４－Ｂ、７０４－Ｃのうちの別のＣＩまたはＶＳＲＳ７１４に送信する。ＭＡＣアドレスおよびインターフェース識別子は、フレームのヘッダに含まれ得る。ここで上記で説明したように、インターフェース識別子は、ＣＩ７０４－Ａ、７０４－Ｂ、７０４－Ｃ、７０４－Ｄのうちの受信側ＣＩまたはＶＳＲＳ７１４のＬ２ ＶＮＩＣを示すことができる。

一実施形態では、ＣＩ１ ７０４－Ａは送信元ＣＩであり得、Ｌ２ ＶＮＩＣ７０８－Ａは送信元Ｌ２ ＶＮＩＣであり得、スイッチ７１０－Ａは送信元Ｌ２仮想スイッチであり得る。この実施形態では、ＣＩ３ ７０４－Ｃは宛先ＣＩであり得、Ｌ２ ＶＮＩＣ３ ７０８－Ｃは宛先Ｌ２ ＶＮＩＣであり得る。送信元ＣＩは、フレームを、送信元ＭＡＣアドレスおよび宛先ＭＡＣアドレスとともに送信することができる。このフレームは、送信元ＶＮＩＣおよび送信元スイッチをインスタンス化するＮＶＤ７０６－Ａによってインターセプトされ得る。

Ｌ２ ＶＮＩＣ７０８－Ａ、７０８－Ｂ、７０８－Ｃ、７０８－Ｄは、ＶＬＡＮ７００について、各々、ＭＡＣアドレスをＬ２ ＶＮＩＣのインターフェース識別子にマッピングすることを学習することができる。このマッピングは、ＶＬＡＮ７００内から受信されるフレームおよび／または通信に基づいて学習されることができる。この、以前に決定されたマッピングに基づいて、送信元ＶＮＩＣは、ＶＬＡＮ内の宛先ＣＩに関連付けられた宛先インターフェースのインターフェース識別子を判断することができ、フレームをカプセル化することができる。いくつかの実施形態では、このカプセル化は、ＧＥＮＥＶＥカプセル化、具体的には、カプセル化されるフレームのＬ２（イーサネット（登録商標））ヘッダを含むＬ２ ＧＥＮＥＶＥカプセル化を含むことができる。カプセル化されたフレームは、宛先ＭＡＣ、宛先インターフェース識別子、送信元ＭＡＣ、および送信元インターフェース識別子を識別することができる。

送信元ＶＮＩＣは、カプセル化されたフレームを送信元スイッチに渡すことができ、送信元スイッチは、フレームを宛先ＶＮＩＣに向けることができる。フレームを受信すると、宛先ＶＮＩＣは、フレームをカプセル化解除し、次いで、フレームを宛先ＣＩに提供することができる。

ここで図８を参照すると、複数の接続されたＬ２ ＶＬＡＮ８００の論理概略図が示されている。図８に示される特定の実施形態では、両方のＶＬＡＮは同じＶＣＮに位置する。理解されるように、複数の接続されたＬ２ ＶＬＡＮ８００は、第１のＶＬＡＮであるＶＬＡＮ Ａ８０２－Ａと、第２のＶＬＡＮであるＶＬＡＮ Ｂ８０２－Ｂとを含むことができる。これらのＶＬＡＮ８０２－Ａ、８０２－Ｂの各々は、１つまたはいくつかのＣＩを含むことができ、それらの各々は、関連付けられたＬ２ ＶＮＩＣおよび関連付けられたＬ２仮想スイッチを有することができる。さらに、これらのＶＬＡＮ８０２－Ａ、８０２－Ｂの各々は、ＶＳＲＳを含むことができる。

具体的には、ＶＬＡＮ Ａ８０２－Ａは、Ｌ２ ＶＮＩＣ１ ８０６－Ａおよびスイッチ１ ８０８－Ａに接続されたインスタンス１ ８０４－Ａと、Ｌ２ ＶＮＩＣ２ ８０６－Ｂおよびスイッチ８０８－Ｂに接続されたインスタンス２ ８０４－Ｂと、Ｌ２ ＶＮＩＣ３ ８０６－Ｃおよびスイッチ３ ８０８－Ｃに接続されたインスタンス３ ８０４－Ｃとを含むことができる。ＶＬＡＮ Ｂ ８０２－Ｂは、Ｌ２ ＶＮＩＣ４ ８０６－Ｄおよびスイッチ４ ８０８－Ｄに接続されたインスタンス４ ８０４－Ｄと、Ｌ２ ＶＮＩＣ５ ８０６－Ｅおよびスイッチ８０８－Ｅに接続されたインスタンス５ ８０４－Ｅと、Ｌ２ ＶＮＩＣ６ ８０６－Ｆおよびスイッチ３ ８０８－Ｆに接続されたインスタンス６ ８０４－Ｆとを含むことができる。ＶＬＡＮ Ａ８０２－ＡはＶＳＲＳ Ａ８１０－Ａをさらに含むことができ、ＶＬＡＮ Ｂ８０２－ＢはＶＳＲＳ Ｂ８１０－Ｂを含むことができる。ＶＬＡＮ Ａ８０２－ＡのＣＩ８０４－Ａ、８０４－Ｂ、８０４－Ｃの各々は、ＶＳＲＳ Ａ８１０－Ａに通信可能に結合されることができ、ＶＬＡＮ Ｂ８０２－ＢのＣＩ８０４－Ｄ、８０４－Ｅ、８０４－Ｆの各々は、ＶＳＲＳ Ｂ８１０－Ｂに通信可能に結合されることができる。

ＶＬＡＮ Ａ８０２－Ａは、ＶＬＡＮ Ｂ８０２－Ｂに、それぞれのＶＳＲＳ８１０－Ａ、８１０－Ｂを介して、通信可能に結合されることができる。各ＶＳＲＳは、同様に、ゲートウェイ８１２に結合されることができ、ゲートウェイは、各ＶＬＡＮ８０２－Ａ、８０２－Ｂ内のＣＩ８０４－Ａ、８０４－Ｂ、８０４－Ｃ、８０４－Ｄ、８０４－Ｅ、８０４－Ｆに対するアクセスを、ＶＬＡＮ８０２－Ａ、８０２－Ｂが位置するＶＣＮの外部の他のネットワークに提供することができる。いくつかの実施形態では、これらのネットワークは、例えば、１つまたはいくつかのオンプレミスネットワーク、別のＶＣＮ、サービスネットワーク、インターネットなどの公衆ネットワークなどを含むことができる。

ＶＬＡＮ Ａ８０２－Ａ内のＣＩ８０４－Ａ、８０４－Ｂ、８０４－Ｃの各々は、各ＶＬＡＮ８０２－Ａ、８０２－ＢのＶＳＲＳ８１０－Ａ、８１０－Ｂを介して、ＶＬＡＮ Ｂ８０２－Ｂ内のＣＩ８０４－Ｄ、８０４－Ｅ、８０４－Ｆと通信することができる。たとえば、ＶＬＡＮ８０２－Ａ、８０２－Ｂのうちの１つにおけるＣＩ８０４－Ａ、８０４－Ｂ、８０４－Ｃ、８０４－Ｄ、８０４－Ｅ、８０４－Ｆのうちの１つは、ＶＬＡＮ８０２－Ａ、８０２－Ｂの他方におけるＣＩ８０４－Ａ、８０４－Ｂ、８０４－Ｃ、８０４－Ｄ、８０４－Ｅ、８０４－Ｆに、フレームを送信することができる。このフレームは、送信元ＶＬＡＮのＶＳＲＳを介して送信元ＶＬＡＮを出ることができ、宛先ＶＬＡＮに入り、宛先ＶＳＲＳを介して宛先ＣＩにルーティングされることができる。

一実施形態では、ＣＩ１ ８０４－Ａは送信元ＣＩであり得、ＶＮＩＣ８０６－Ａは送信元ＶＮＩＣであり得、スイッチ８０８－Ａは送信元スイッチであり得る。この実施形態では、ＣＩ ５ ８０４－Ｅは宛先ＣＩであり得、Ｌ２ ＶＮＩＣ５ ８０６－Ｅは宛先ＶＮＩＣであり得る。ＶＳＲＳ Ａ８１０－Ａは、ＳＶＳＲＳとして識別される送信元ＶＳＲＳであり得、ＶＳＲＳ Ｂ８１０－Ｂは、ＤＶＳＲＳとして識別される宛先ＶＳＲＳであり得る。

送信元ＣＩは、フレームをＭＡＣアドレスとともに送信することができる。このフレームは、送信元ＶＮＩＣおよび送信元スイッチをインスタンス化するＮＶＤによってインターセプトされ得る。送信元ＶＮＩＣは、フレームをカプセル化する。いくつかの実施形態では、このカプセル化は、ＧＥＮＥＶＥカプセル化、具体的にはＬ２ ＧＥＮＥＶＥカプセル化を含むことができる。カプセル化されたフレームは、宛先ＣＩの宛先アドレスを識別することができる。いくつかの実施形態では、この宛先アドレスはまた、宛先ＶＳＲＳの宛先アドレスを含むこともできる。宛先ＣＩの宛先アドレスは、宛先ＩＰアドレス、宛先ＣＩの宛先ＭＡＣ、および／または宛先ＣＩに関連付けられる宛先ＶＮＩＣの宛先インターフェース識別子を含むことができる。宛先ＶＳＲＳの宛先アドレスは、宛先ＶＳＲＳのＩＰアドレス、宛先ＶＳＲＳに関連付けられる宛先ＶＮＩＣのインターフェース識別子、および／または宛先ＶＳＲＳのＭＡＣアドレスを含むことができる。

送信元ＶＳＲＳは、送信元スイッチからフレームを受信することができ、フレームの宛先アドレスからＶＮＩＣマッピングを検索することができ、その宛先アドレスは宛先ＩＰアドレスであり得、パケットを宛先ＶＳＲＳに転送することができる。宛先ＶＳＲＳは、フレームを受信することができる。フレームに含まれる宛先アドレスに基づいて、宛先ＶＳＲＳは、フレームを宛先ＶＮＩＣに転送することができる。宛先ＶＮＩＣは、フレームを受信し、カプセル化解除することができ、次いで、宛先ＣＩにフレームを提供することができる。

ここで図９を参照すると、複数の接続されたＬ２ ＶＬＡＮおよびサブネット９００の論理概略図が示されている。図９に示す特定の実施形態では、ＶＬＡＮおよびサブネットの両方が同じＶＣＮに位置する。これは、ＶＬＡＮおよびサブネットの両方の、仮想ルータおよびＶＳＲＳが、ゲートウェイを介して接続されるのではなく、直接接続されるために、示される。

理解されるように、これは、第１のＶＬＡＮ、ＶＬＡＮ Ａ９０２－Ａ、第２のＶＬＡＮ、ＶＬＡＮ Ｂ９０２－Ｂ、およびサブネット９３０を含むことができる。これらのＶＬＡＮ９０２－Ａ、９０２－Ｂの各々は、１つまたはいくつかのＣＩを含むことができ、それらの各々は、関連付けられたＬ２ ＶＮＩＣおよび関連付けられたＬ２スイッチを有することができる。さらに、これらのＶＬＡＮ９０２－Ａ、９０２－Ｂの各々は、ＶＳＲＳを含むことができる。同様に、Ｌ３サブネットであり得るサブネット９３０は、１つまたはいくつかのＣＩを含むことができ、それらの各々は、関連付けられたＬ３ ＶＮＩＣを有することができ、Ｌ３サブネット９３０は仮想ルータ９１６を含むことができる。

具体的には、ＶＬＡＮ Ａ９０２－Ａは、Ｌ２ ＶＮＩＣ１ ９０６－Ａおよびスイッチ１ ９０８－Ａに接続されたインスタンス１ ９０４－Ａと、Ｌ２ ＶＮＩＣ２ ９０６－Ｂおよびスイッチ２ ９０８－Ｂに接続されたインスタンス２ ９０４－Ｂと、Ｌ２ ＶＮＩＣ３ ９０６－Ｃおよびスイッチ３ ９０８－Ｃに接続されたインスタンス３ ９０４－Ｃとを含むことができる。ＶＬＡＮ Ｂ ９０２－Ｂは、Ｌ２ ＶＮＩＣ４ ９０６－Ｄおよびスイッチ４ ９０８－Ｄに接続されたインスタンス４ ９０４－Ｄと、Ｌ２ ＶＮＩＣ５ ９０６－Ｅおよびスイッチ５ ９０８－Ｅに接続されたインスタンス５ ９０４－Ｅと、Ｌ２ ＶＮＩＣ６ ９０６－Ｆおよびスイッチ６ ９０８－Ｆに接続されたインスタンス６ ９０４－Ｆとを含むことができる。ＶＬＡＮ Ａ９０２－Ａはさらに、ＶＳＲＳ Ａ９１０－Ａを含むことができ、ＶＬＡＮ Ｂ９０２－ＢはＶＳＲＳ Ｂ９１０－Ｂを含むことができる。ＶＬＡＮ Ａ９０２－ＡのＣＩ９０４－Ａ、９０４－Ｂ、９０４－Ｃの各々は、ＶＳＲＳ Ａ９１０－Ａに通信可能に結合されることができ、ＶＬＡＮ Ｂ９０２－ＢのＣＩ９０４－Ｄ、９０４－Ｅ、９０４－Ｆの各々は、ＶＳＲＳ Ｂ９１０－Ｂに通信可能に結合されることができる。Ｌ３サブネット９３０は、１つまたはいくつかのＣＩを含むことができ、具体的には、Ｌ３ ＶＮＩＣ７ ９０６－Ｇに通信可能に結合されるインスタンス７ ９０４－Ｇを含むことができる。Ｌ３サブネット９３０は仮想ルータ９１６を含むことができる。

ＶＬＡＮ Ａ９０２－Ａは、ＶＬＡＮ Ｂ９０２－Ｂに、それぞれのＶＳＲＳ９１０－Ａ、９１０－Ｂを介して通信可能に結合されることができる。Ｌ３サブネット９３０は、仮想ルータ９１６を介してＶＬＡＮ Ａ９０２－ＡおよびＶＬＡＮ Ｂ９０２－Ｂと通信可能に結合されることができる。仮想ルータ９１６およびＶＳＲＳインスタンス９１０－Ａ、９１０－Ｂの各々は、同様に、ゲートウェイ９１２に結合されることができ、ゲートウェイ９１２は、各ＶＬＡＮ９０２－Ａ、９０２－Ｂおよびサブネット９３０におけるＣＩ９０４－Ａ、９０４－Ｂ、９０４－Ｃ、９０４－Ｄ、９０４－Ｅ、９０４－Ｆ、９０４－Ｇに対するアクセスを、ＶＬＡＮ９０２－Ａ、９０２－Ｂおよびサブネット９３０が位置するＶＣＮの外部の他のネットワークに、与えることができる。いくつかの実施形態では、これらのネットワークは、例えば、１つまたはいくつかのオンプレミスネットワーク、別のＶＣＮ、サービスネットワーク、インターネットなどの公衆ネットワークなどを含むことができる。

各ＶＳＲＳインスタンス９１０－Ａ、９１０－Ｂは、関連付けられたＶＬＡＮ９０２－Ａ、９０２－Ｂを出るフレームのための発信経路と、関連付けられたＶＬＡＮ９０２－Ａ、９０２－Ｂに入るフレームのための着信経路とを提供することができる。ＶＬＡＮ９０２－Ａ、９０２－ＢのＶＳＲＳインスタンス９１０－Ａ、９１０－Ｂから、フレームは、同じＶＣＮ上もしくは異なるＶＣＮもしくはネットワーク上のいずれかの別のＶＬＡＮ内のＬ２ ＣＩ等のＬ２エンドポイント、および／または同じＶＣＮもしくは異なるＶＣＮもしくはネットワーク上のサブネット内のＬ３ ＣＩなどのＬ３エンドポイントを含む、任意の所望のエンドポイントに送信されることができる。

一実施形態では、ＣＩ１ ９０４－Ａは送信元ＣＩであり得、ＶＮＩＣ９０６－Ａは送信元ＶＮＩＣであり得、スイッチ９０８－Ａは送信元スイッチであり得る。この実施形態では、ＣＩ７ ９０４－Ｇは宛先ＣＩであり得、ＶＮＩＣ７ ９０６－Ｇは宛先ＶＮＩＣであり得る。ＶＳＲＳ Ａ９１０－Ａは、ＳＶＳＲＳとして識別される送信元ＶＳＲＳであり得、仮想ルータ（ＶＲ）９１６は、宛先ＶＲであり得る。

送信元ＣＩは、フレームをＭＡＣアドレスとともに送信することができる。このフレームは、送信元ＶＮＩＣおよび送信元スイッチをインスタンス化するＮＶＤによってインターセプトされ得る。送信元ＶＮＩＣは、フレームをカプセル化する。いくつかの実施形態では、このカプセル化は、ＧＥＮＥＶＥカプセル化、具体的にはＬ２ ＧＥＮＥＶＥカプセル化を含むことができる。カプセル化されたフレームは、宛先ＣＩの宛先アドレスを識別することができる。いくつかの実施形態では、この宛先アドレスはまた、送信元ＣＩのＶＬＡＮのＶＳＲＳの宛先アドレスを含むこともできる。宛先ＣＩの宛先アドレスは、宛先ＩＰアドレス、宛先ＣＩの宛先ＭＡＣ、および／または宛先ＣＩの宛先ＶＮＩＣの宛先インターフェース識別子を含むことができる。

送信元ＶＳＲＳは、送信元スイッチからフレームを受信することができ、フレームの宛先アドレスからＶＮＩＣマッピングを検索することができ、その宛先アドレスは宛先ＩＰアドレスであり得、フレームを宛先ＶＲに転送することができる。宛先ＶＲは、フレームを受信することができる。フレームに含まれる宛先アドレスに基づいて、宛先ＶＲは、フレームを宛先ＶＮＩＣに転送することができる。宛先ＶＮＩＣは、フレームを受信し、カプセル化解除することができ、次いで、宛先ＣＩにフレームを提供することができる。

仮想Ｌ２ネットワーク内におけるＬ２ ＶＮＩＣおよび／またはＬ２仮想スイッチによる学習
ここで図１０を参照すると、ＶＬＡＮ１０００内のＶＬＡＮ内通信および学習の一実施形態の概略図が示されている。ここでの学習は、Ｌ２ ＶＮＩＣ、送信元ＣＩのＶＬＡＮのＶＳＲＳ、および／またはＬ２仮想スイッチが、ＭＡＣアドレスとＬ２ ＶＮＩＣ／／ＶＳＲＳ ＶＮＩＣとの間（より具体的には、Ｌ２計算インスタンスまたはＶＳＲＳに関連付けられるＭＡＣアドレスと、ＶＳＲＳ ＶＮＩＣに関連付けられるこれらのＬ２計算インスタンスのＬ２ ＶＮＩＣに関連付けられるインターフェース識別子との間）の関連付けをどのように学習するかに特有である。一般に、学習は着信トラフィックに基づく。この学習は、インターフェース対ＭＡＣアドレス学習の局面に関して、Ｌ２計算インスタンスが宛先ＭＡＣアドレスを学習するために実現し得る学習プロセス（たとえば、ＡＲＰプロセス）とは異なる。（例えば、Ｌ２ ＶＮＩＣ／Ｌ２仮想スイッチおよびＬ２計算インスタンスの）２つの学習プロセスは、図１２において共同で実現されるとしてものとして示されている。

理解されるように、ＶＬＡＮ１０００は、Ｌ２ ＶＮＩＣ１ １００２－ＡおよびＬ２スイッチ１ １００４－Ａをインスタンス化するＮＶＤ１ １００１－Ａと通信可能に結合される計算インスタンス１ １０００－Ａを含む。ＶＬＡＮ１０００はまた、Ｌ２ ＶＮＩＣ２ １００２－ＢおよびＬ２スイッチ２ １００４－Ａをインスタンス化するＮＶＤ２ １００１－Ｂと通信可能に結合される計算インスタンス２ １０００－Ｂを含む。ＶＬＡＮ１０００はまた、サーバフリート上で実行され、ＶＳＲＳ ＶＮＩＣ１００２－ＣおよびＶＳＲＳスイッチ１００４－Ｃを含むＶＳＲＳ１０１５を含む。スイッチ１００４－Ａ、１００４－Ｂ、１００４－Ｃのすべては、共に、Ｌ２分散型スイッチ１０５０を形成する。ＶＳＲＳ１０１５は、エンドポイント１００８と通信可能に結合され、エンドポイント１００８は、ゲートウェイを含むことができ、具体的には、例えば別のＶＳＲＳの形態のＬ２／Ｌ３ルータ、または例えば仮想ルータの形態のＬ３ルータを含むことができる。

ＶＬＡＮ１０００をホストするＶＣＮの制御プレーン１０１０は、ＶＬＡＮ１０００上の各Ｌ２ ＶＮＩＣおよび各Ｌ２ ＶＮＩＣのネットワーク配置を識別する情報を維持する。たとえば、この情報は、Ｌ２ ＶＮＩＣについて、Ｌ２ ＶＮＩＣに関連付けられたインターフェース識別子、および／またはＬ２ ＶＮＩＣをホストするＮＶＤの物理ＩＰアドレスを含むことができる。制御プレーン１０１０は、ＶＬＡＮ１０００内のインターフェースをこの情報で（例えば、周期的に、またはオンデマンドで）更新する。したがって、ＶＬＡＮ１０００内の各Ｌ２ ＶＮＩＣ１００２－Ａ、１００２－Ｂ、１００２－Ｃは、制御プレーン１０１０から情報を受信し、ＶＬＡＮ内のインターフェースを識別し、この情報をテーブルにポピュレートする。Ｌ２ ＶＮＩＣによってポピュレートされたテーブルは、Ｌ２ ＶＮＩＣをホストするＮＶＤにローカルに記憶され得る。ＶＮＩＣ１００２－Ａ、１００２－Ｂ、１００２－Ｃがすでに現在のテーブルを含む場合、ＶＮＩＣ１００２－Ａ、１００２－Ｂ、１００２－Ｃは、ＶＮＩＣ１００２－Ａ、１００２－Ｂ、１００２－Ｃの現在のテーブルと制御プレーン１０１０から受信された情報／テーブルとの間のいかなる矛盾も判断することができる。ＶＮＩＣ１００２－Ａ、１００２－Ｂ、１００２－Ｃは、いくつかの実施形態では、制御プレーン１０１０から受信した情報と一致するようにそのテーブルを更新することができる。

図１０に見られるように、フレームは、Ｌ２スイッチ１００４－Ａ、１００４－Ｂ、１００４－Ｃを介して送信され、受信側ＶＮＩＣ１００２－Ａ、１００２－Ｂ、１００２－Ｃによって受信される。フレームがＶＮＩＣ１００２－Ａ、１００２－Ｂ、１００２－Ｃによって受信されると、そのＶＮＩＣは、そのフレームの送信元インターフェース（送信元ＶＮＩＣ）および送信元ＭＡＣアドレスのマッピングを学習する。制御プレーン１０１０から受信された情報のそのテーブルに基づいて、ＶＮＩＣは、（受信されたフレームからの）送信元ＭＡＣアドレスを、送信元ＶＮＩＣのインターフェース識別子ならびにそのＶＮＩＣのＩＰアドレスおよび／またはそのＶＮＩＣをホストするＮＶＤのＩＰアドレスにマッピングすることができる（インターフェース識別子およびＩＰアドレスが表から入手可能である場合）。したがって、Ｌ２ ＶＮＩＣ１００２－Ａ、１００２－Ｂ、１００２－Ｃは、受信された通信および／またはフレームに基づいて、インターフェース識別子のＭＡＣアドレスへのマッピングを学習する。各ＶＮＩＣ１００２－Ａ、１００２－Ｂ、１００２－Ｃは、そのＬ２転送（ＦＷＤ）テーブル１００６－Ａ、１００６－Ｂ、１００６－Ｃを、この学習されたマッピング情報とともに、有することができる。いくつかの実施形態では、Ｌ２転送テーブルは、ＭＡＣアドレスを含み、インターフェース識別子または物理ＩＰアドレスのうちの少なくとも１つと関連付ける。そのような実施形態では、ＭＡＣアドレスは、Ｌ２計算インスタンスに割り当てられたアドレスであり、Ｌ２計算インスタンスに関連付けられるＬ２ ＶＮＩＣによってエミュレートされるポートに対応し得る。インターフェース識別子は、Ｌ２ ＶＮＩＣおよび／またはＬ２計算インスタンスを一意に識別することができる。仮想ＩＰアドレスは、Ｌ２ ＶＮＩＣのそれとすることができる。また、物理ＩＰアドレスは、Ｌ２ ＶＮＩＣをホストするＮＶＤのそれとすることができる。Ｌ２ ＶＮＩＣによって更新されたＬ２転送は、Ｌ２ ＶＮＩＣをホストするＮＶＤ上にローカルに記憶され得、フレームを方向付けるためにＬ２ ＶＮＩＣに関連付けられたＬ２仮想スイッチによって使用され得る。いくつかの実施形態では、共通ＶＬＡＮ内のＶＮＩＣは、それらのマッピングテーブルのすべてまたは部分を互いに共有することができる。

上記のネットワークアーキテクチャに照らして、トラフィックフローがここにおいて次に説明される。説明を明確にするために、トラフィックフローは、計算インスタンス２ １０００－Ｂ、Ｌ２ ＶＮＩＣ２ １０００２－Ｂ、Ｌ２スイッチ２ １００４－Ｂ、およびＮＶＤ２ １００１－Ｂに関連して説明される。この説明は、他の計算インスタンスとの間のトラフィックフローに等価に適用される。

ここで上述したように、ＶＬＡＮは、Ｌ３物理ネットワークの上のオーバーレイＬ２ネットワークとして、ＶＣＮ内で実現される。ＶＬＡＮのＬ２計算インスタンスは、送信元ＭＡＣアドレスおよび宛先ＭＡＣアドレスとしてオーバーレイＭＡＣアドレス（仮想ＭＡＣアドレスとも呼ばれる）を含むＬ２フレームを送信または受信することができる。Ｌ２フレームはまた、送信元ＩＰアドレスおよび宛先ＩＰアドレスとしてオーバーレイＩＰアドレス（仮想ＩＰアドレスとも呼ばれる）を含むパケットをカプセル化することもできる。計算インスタンスのオーバーレイＩＰアドレスは、いくつかの実施形態では、ＶＬＡＮのＣＩＤＲ範囲に属することができる。他のオーバーレイＩＰアドレスは、ＣＩＤＲ範囲（この場合、Ｌ２フレームはＶＬＡＮ内を流れる）またはＣＩＤＲ範囲外（この場合、Ｌ２フレームは、他のネットワークに宛てられるか、または他のネットワークから受信される）に属することができる。Ｌ２フレームはまた、ＶＬＡＮを一意に識別し、同じＮＶＤ上の複数のＬ２ ＶＮＩＣと区別するために使用され得る、ＶＬＡＮタグを含むことができる。Ｌ２フレームは、計算インスタンスのホストマシンから、別のＮＶＤから、またはＶＳＲＳをホストするサーバフリートから、トンネルを介して、ＮＶＤによって、カプセル化されたパケットで、受信され得る。これらの異なる場合において、カプセル化されたパケットは、物理ネットワーク上で送信されるＬ３パケットであり得、送信元ＩＰアドレスおよび宛先ＩＰアドレスは、物理ＩＰアドレスである。ＧＥＮＥＶＥカプセル化を含む、異なるタイプのカプセル化が可能である。ＮＶＤは、受信したパケットをカプセル化解除してＬ２フレームを抽出することができる。同様に、Ｌ２フレームを送信するために、ＮＶＤは、それをＬ３パケットにカプセル化し、それを物理基板上で送信することができる。

インスタンス２ １０００－ＢからのＶＬＡＮ内発信トラフィックの場合、ＮＶＤ２ １００１－Ｂは、イーサネットリンクを介してインスタンス２ １０００－Ｂのホストマシンからフレームを受信する。フレームは、Ｌ２ ＶＮＩＣ２ １０００－Ｂを識別するインターフェース識別子を含む。フレームは、送信元ＭＡＣアドレスとしてインスタンス２ １０００－ＢのオーバーレイＭＡＣアドレス（例えば、Ｍ.２）を含み、宛先ＭＡＣアドレスとしてインスタンス１ １０００－ＡのオーバーレイＭＡＣアドレス（例えば、Ｍ.１）を含む。インターフェース識別子が与えられると、ＮＶＤ２ １００１－Ｂは、さらなる処理のためにフレームをＬ２ ＶＮＩＣ２ １００２－Ｂに渡す。Ｌ２ ＶＮＩＣ２ １００２－Ｂは、フレームをＬ２スイッチ２ １００４－Ｂに転送する。Ｌ２転送テーブル１００６－Ｂに基づいて、Ｌ２スイッチ２ １００４－Ｂは、宛先ＭＡＣアドレスが既知であるかどうかを判断する（たとえば、Ｌ２転送テーブル１００６－Ｂ中のエントリと突き合わせる）。

既知である場合、Ｌ２スイッチ２ １００４－Ｂは、Ｌ２ ＶＮＩＣ１ １００２－Ａが、関連するトンネルエンドポイントである、と判断し、フレームをＬ２ ＶＮＩＣ１ １００２－Ａに転送する。転送は、フレームのパケットにおけるカプセル化およびパケットのカプセル化解除（たとえば、ＧＥＮＥＶＥカプセル化およびカプセル化解除）を含むことができ、パケットは、フレームと、宛先アドレスとしてのＮＶＤ１ １００１－Ａの物理ＩＰアドレス（たとえば、ＩＰ.１）と、送信元アドレスとしてのＮＶＤ ２ １００１－Ｂの物理ＩＰアドレス（例えば、ＩＰ.２）とを含む。

未知の場合、Ｌ２スイッチ２ １００４－Ｂは、ＶＬＡＮの様々なＶＮＩＣ（たとえば、ＶＬＡＮのＬ２ ＶＮＩＣ１ １００２－Ａおよび任意の他のＬ２ ＶＮＩＣを含む）にフレームをブロードキャストし、ブロードキャストされたフレームは、関連するＮＶＤ間で処理（たとえば、カプセル化、送信、カプセル化解除）される。いくつかの実施形態では、このブロードキャストは、物理ネットワークにおいて実行され、またはより具体的には、物理ネットワークにおいてエミュレートされ、ＶＬＡＮ内のＶＳＲＳを含んで、各Ｌ２ ＶＮＩＣに、別々に、フレームをカプセル化することができる。したがって、ブロードキャストは、物理ネットワークにおいて一連の複製されたユニキャストパケットを介してエミュレートされる。次いで、各Ｌ２ ＶＮＩＣは、フレームを受信し、Ｌ２ ＶＮＩＣ２ １００２－Ｂのインターフェース識別子と送信元ＭＡＣアドレス（例えば、Ｍ.２）と送信元物理ＩＰアドレス（例えば、ＩＰ.２）との間の関連付けを学習する。

計算インスタンス１ １０００－Ａから計算インスタンス２ １０００－ＢへのＶＬＡＮ内着信トラフィックの場合、ＮＶＤ２ １００１－Ｂは、ＮＶＤ１からパケットを受信する。パケットは、送信元アドレスとしてのＩＰ.１およびフレームを有し、フレームは、宛先ＭＡＣアドレスとしてＭ.２および送信元ＭＡＣアドレスとしてＭ.１を含む。フレームはまた、Ｌ２ ＶＮＩＣ１ １００２－Ａのネットワーク識別子を含む。カプセル化解除で、ＶＮＩＣ２は、フレームを受信し、このインターフェース識別子がＭ.１および／またはＩＰ.１に関連付けられていることを学習し、以前に未知である場合には、この学習された情報を、Ｌ２転送テーブル１００６－Ｂにおいて、スイッチ２に、後の発信トラフィックのために、記憶する。代替として、カプセル化解除で、Ｌ２ ＶＮＩＣ２ １００２－Ｂは、フレームを受信し、このインターフェース識別子がＭ.１および／またはＩＰ.１に関連付けられることを学習し、この情報が既知である場合には、有効時間をリフレッシュする。

ＶＬＡＮ１０００内のインスタンス２ １０００－Ｂから別のＶＬＡＮ内のインスタンスに送信される発信トラフィックについては、ＶＳＲＳ ＶＮＩＣおよびＶＳＲＳスイッチが使用されることを除いて、上記の発信トラフィックと同様の流れが存在し得る。特に、宛先ＭＡＣアドレスは、ＶＬＡＮ１０００のＬ２ブロードキャスト内にない（それは、他のＬ２ＶＬＡＮ内にある）。したがって、宛先インスタンスのオーバーレイ宛先ＩＰアドレス（たとえば、ＩＰ.Ａ）が、この発信トラフィックのために使用される。例えば、Ｌ２ ＶＮＩＣ２ １００２－Ｂは、ＩＰ.ＡがＶＬＡＮ１０００のＣＩＤＲ範囲外にある、と判断する。したがって、Ｌ２ ＶＮＩＣ２ １００２－Ｂは、宛先ＭＡＣアドレスをデフォルトゲートウェイＭＡＣアドレス（たとえば、Ｍ.ＤＧ）に設定する。Ｍ.ＤＧに基づいて、Ｌ２スイッチ２ １００４－Ｂは、発信トラフィックをＶＳＲＳ ＶＮＩＣに（例えば、トンネルを介して、適切なエンドツーエンドカプセル化で）送信する。ＶＳＲＳ ＶＮＩＣは、発信トラフィックをＶＳＲＳスイッチに転送する。次に、ＶＳＲＳスイッチは、ルーティング機能を実行し、ここで、オーバーレイ宛先ＩＰアドレス（例えば、ＩＰ.Ａ）に基づいて、ＶＬＡＮ１０００のＶＳＲＳスイッチは、発信トラフィックを他のＶＬＡＮのＶＳＲＳスイッチに（例えば、これら２つのＶＬＡＮ間の仮想ルータを介して、適切なエンドツーエンドカプセル化で）送信する。次に、他のＶＬＡＮのＶＳＲＳスイッチは、ＩＰ.ＡがこのＶＬＡＮのＣＩＤＲ範囲内にある、と判断することによって、スイッチング機能を実行し、ＩＰ.Ａに基づいてそのＡＲＰキャッシュの検索を実行して、ＩＰ.Ａに関連付けられる宛先ＭＡＣアドレスを判断する。ＡＲＰキャッシュ内に一致がない場合、宛先ＭＡＣアドレスを判断するために、他のＶＬＡＮの異なるＬ２ ＶＮＩＣに、ＡＲＰ要求が送信される。そうでない場合には、ＶＳＲＳスイッチは、発信トラフィックを、関連するＶＮＩＣに、（例えば、トンネルを介して適切なカプセル化で）送信する。

別のＶＬＡＮ内のインスタンスからＶＬＡＮ１０００内のインスタンスへの着信トラフィックの場合、トラフィックフローは、逆方向であること除いて上記と同様である。ＶＬＡＮ１０００内のインスタンスからＬ３ネットワークへの発信トラフィックの場合、トラフィックフローは、ＶＬＡＮ１０００のＶＳＲＳスイッチが仮想ルータを介して仮想Ｌ３ネットワーク内の宛先ＶＮＩＣにパケットを直接ルーティングする（例えば、パケットを別のＶＳＲＳスイッチを介してルーティングする必要がない）ことを除いて、上記と同様である。仮想Ｌ３ネットワークからＶＬＡＮ１０００内のインスタンスへの着信トラフィックの場合、トラフィックフローは、パケットが、パケットをＶＬＡＮ内でフレームとして送信するＶＬＡＮ１０００ＡのＶＳＲＳスイッチによって受信されることを除いて、上記と同様である。ＶＬＡＮ１０００と他のネットワークとの間のトラフィック（発信または着信）については、ＶＳＲＳスイッチが同様に使用され、そのルーティング機能が発信で使用されて、適切なゲートウェイ（例えば、ＩＧＷ、ＮＧＷ、ＤＲＧ、ＳＧＷ、ＬＰＧ）を介してパケットを送信し、そのスイッチング機能が着信で使用されて、ＶＬＡＮ１０００内でフレームを送信する。

ここで図１１を参照すると、ＶＬＡＮ１１００（例えば、クラウドベースの仮想Ｌ２ネットワーク）の実施形態の概略図が示されており、具体的には、ＶＬＡＮの実現図が示されている。

ここで上述したように、ＶＬＡＮは、「ｎ」個の計算インスタンス１１０２－Ａ、１１０２－Ｂ、１１０２－Ｎを含むことができ、その各々はホストマシン上で実行される。前述のように、計算インスタンスとホストマシンとの間の一対一の関連付け、または複数の計算インスタンスと単一のホストマシンとの間の多対一の関連付けが存在し得る。各計算インスタンス１１０２－Ａ、１１０２－Ｂ、１１０２－Ｎは、Ｌ２計算インスタンスとすることができ、その場合、それは、少なくとも１つの仮想インターフェース（例えば、Ｌ２ ＶＮＩＣ）１１０４－Ａ、１１０４－Ｂ、１１０４－Ｎおよびスイッチ１１０６－Ａ、１１０６－Ｂ、１１０６－Ｎに関連付けられる。スイッチ１１０６－Ａ、１１０６－Ｂ、１１０６－Ｎは、Ｌ２仮想スイッチであり、共にＬ２分散スイッチ型１１０７を形成する。

ホストマシン上の計算インスタンス１１０２－Ａ、１１０２－Ｂ、１１０２－Ｎに関連付けられるＬ２ ＶＮＩＣ１１０４－Ａ、１１０４－Ｂ、１１０４－Ｎおよびスイッチ１１０６－Ａ、１１０６－Ｂ、１１０６－Ｎのペアは、ホストマシンに接続されたＮＶＤ１１０８－Ａ、１１０８－Ｂ、１１０８－Ｎ上のソフトウェアモジュールのペアである。各Ｌ２ ＶＮＩＣ１１０４－Ａ、１１０４－Ｂ、１１０４－Ｎは、顧客の認知された単一スイッチ（ここではｖスイッチと呼ぶ）のＬ２ポートを表す。一般に、ホストマシン「ｉ」は、計算インスタンス「ｉ」を実行し、ＮＶＤ「ｉ」に接続される。次いで、ＮＶＤ「ｉ」は、Ｌ２ ＶＮＩＣ「ｉ」およびスイッチ「ｉ」を実行する。Ｌ２ ＶＮＩＣ「ｉ」は、ｖスイッチのＬ２ポート「ｉ」を表す。「ｉ」は１と「ｎ」との間の正の整数である。ここでも、一対一の関連付けが説明されるが、他のタイプの関連付けも可能である。例えば、単一のＮＶＤを複数のホストに接続することができ、各々が、ＶＬＡＮに属する１つ以上の計算インスタンスを実行する。そうである場合、ＮＶＤは、計算インスタンスのうちの１つに各々が対応する、Ｌ２ ＶＮＩＣおよびスイッチの複数のペアをホストする。

ＶＬＡＮは、ＶＳＲＳ１１１０のインスタンスを含むことができる。ＶＳＲＳ１１１０は、スイッチングおよびルーティング機能を実行し、ＶＳＲＳ ＶＮＩＣ１１１２およびＶＳＲＳスイッチ１１１４のインスタンスを含む。ＶＳＲＳ ＶＮＩＣ１１１２は、ｖスイッチ上のポートを表し、このポートは、仮想ルータを介してｖスイッチを他のネットワークに接続する。示されるように、ＶＳＲＳ１１１０は、サーバフリート１１１６上でインスタンス化され得る。

制御プレーン１１１８は、Ｌ２ ＶＮＩＣ１１０４－Ａ、１１０４－Ｂ、１１０４－ＮおよびＶＬＡＮにおけるそれらの配置を識別する情報を追跡することができる。制御プレーン１１１０はさらに、この情報をＶＬＡＮ内のＬ２インターフェース１１０４－Ａ、１１０４－Ｂ、１１０４－Ｎに提供することができる。

図１１に示すように、ＶＬＡＮは、物理ネットワーク１１２０の上に構築することができるクラウドベースの仮想Ｌ２ネットワークとすることができる。いくつかの実施形態では、この物理ネットワーク１１２０は、ＮＶＤ１１０８－Ａ、１１０８－Ｂ、１１０８－Ｎを含むことができる。

概して、ＶＬＡＮの第１のＬ２計算インスタンス（例えば、計算インスタンス１ １１０２－Ａ）は、Ｌ２プロトコルを使用してＶＬＡＮの第２の計算インスタンス（例えば、計算インスタンス２ １１０２－Ｂ）と通信することができる。例えば、あるフレームは、ＶＬＡＮを介してこれらの２つのＬ２計算インスタンス間で送信されることができる。それにもかかわらず、フレームは、フレームが下層の物理ネットワーク１１２０を介して送信され得るように、カプセル化され、トンネリングされ、ルーティングされ、および／または他の処理を受けることができる。

例えば、計算インスタンス１ １１０２－Ａは、計算インスタンス２ １１０２－Ｂ宛てのフレームを送信する。ホストマシン１とＮＶＤ１との間のネットワーク接続、ＮＶＤ１と物理ネットワーク１１２０との間のネットワーク接続、物理ネットワーク１１２０とＮＶＤ２との間のネットワーク接続、およびＮＶＤ２とホストマシン２との間のネットワーク接続（例えば、ＴＣＰ／ＩＰ接続、イーサネット（登録商標）接続、トンネリング接続など）に応じて、異なるタイプの処理がフレームに適用され得る。例えば、フレームは、フレームが計算インスタンス２に到達するまで、ＮＶＤ１によって受信され、カプセル化され、以下同様である。フレームが下層の物理リソース間で送信され得るようにこの処理が仮定され、簡潔かつ明瞭にするために、その説明は、ＶＬＡＮおよび関連するＬ２動作の説明から省略する。

仮想Ｌ２ネットワーク通信
複数の形態の通信が、仮想Ｌ２ネットワーク内で、または仮想Ｌ２ネットワークを用いて生じ得る。これらは、ＶＬＡＮ内通信を含み得る。そのような実施形態では、送信元計算インスタンスは、送信元計算インスタンス（ＣＩ）と同じＶＬＡＮにある宛先計算インスタンスに通信を送信することができる。通信は、送信元ＣＩのＶＬＡＮの外部のエンドポイントに送信することもできる。これは、たとえば、第１のＶＬＡＮ内の送信元ＣＩと第２のＶＬＡＮ内の宛先ＣＩとの間の通信、第１のＶＬＡＮ内の送信元ＣＩとＬ３サブネット内の宛先ＣＩとの間の通信、および／または第１のＶＬＡＮ内の送信元ＣＩから送信元ＣＩのＶＬＡＮを含むＶＣＮの外部の宛先ＣＩへの通信を含むことができる。この通信は、さらに、例えば、宛先ＣＩのＶＬＡＮの外部の送信元ＣＩから、宛先ＣＩにおいて、通信を受信することを含むことができる。この送信元ＣＩは、別のＶＬＡＮ内、Ｌ３サブネット内、または送信元ＣＩのＶＬＡＮを含むＶＣＮの外部にあり得る。

ＶＬＡＮ内の各ＣＩは、トラフィックフローにおいて能動的役割を果たすことができる。これは、ここではインターフェース対ＭＡＣアドレスとも称される、インターフェース識別子対ＭＡＣアドレスの学習、ＶＬＡＮ内のＬ２転送テーブルを維持するためのＶＬＡＮ内のインスタンスのマッピング、ならびに通信（例えば、Ｌ２通信の場合ではフレーム）の送信および／または受信を含む。ＶＳＲＳは、ＶＬＡＮ内の通信において、およびＶＬＡＮの外部の送信元ＣＩまたは宛先ＣＩとの通信において、能動的役割を果たすことができる。ＶＳＲＳは、Ｌ２ネットワーク内およびＬ３ネットワーク内における存在を維持して、発信および着信通信を可能にすることができる。

ここで図１２を参照すると、ＶＬＡＮ内通信のためのプロセス１２００の一実施形態を示すフローチャートが示されている。いくつかの実施形態では、プロセス１２００は、共通ＶＬＡＮ内の計算インスタンスによって実行され得る。このプロセスは、具体的には、送信元ＣＩがＶＬＡＮ内の宛先ＣＩに通信を送信するが、その宛先ＣＩのＩＰ対ＭＡＣアドレスマッピングを知らない場合に実行され得る。これは、例えば、送信元ＣＩが、ＶＬＡＮにおいてＩＰアドレスを有する宛先ＣＩにパケットを送信するが、送信元ＣＩがそのＩＰアドレスに対するＭＡＣアドレスを知らない場合に起こり得る。この場合、ＡＲＰプロセスを実行して、宛先ＭＡＣアドレスおよびＩＰ対ＭＡＣアドレスマッピングを学習することができる。

送信元ＣＩがＩＰ対ＭＡＣアドレスマッピングを知っている場合、送信元ＣＩは、宛先ＣＩに直接パケットを送信することができ、ＡＲＰプロセスが実行される必要はない。いくつかの実施形態では、このパケットは、ＶＬＡＮ内通信における送信元ＶＮＩＣがＬ２ ＶＮＩＣである送信元ＶＮＩＣによってインターセプトされ得る。送信元ＶＮＩＣが宛先ＭＡＣアドレスについてインターフェース対ＭＡＣアドレスマッピングを知っている場合、送信元ＶＮＩＣは、パケットを例えばＬ２カプセル化でカプセル化することができ、対応するフレームを、宛先ＭＡＣアドレスに向けて、ＶＬＡＮ内通信における宛先ＶＮＩＣがＬ２ ＶＮＩＣである宛先ＶＮＩＣに、転送することができる。

送信元ＶＮＩＣがＭＡＣアドレスについてインターフェース対ＭＡＣアドレスマッピングを知らない場合、送信元ＶＮＩＣは、インターフェース対ＭＡＣアドレス学習プロセスの局面を実行することができる。これは、送信元ＶＮＩＣがＶＬＡＮ内のすべてのインターフェースにフレームを送信することを含むことができる。いくつかの実施形態では、このフレームは、ブロードキャストを介してＶＬＡＮ内のインターフェースのすべてに送信され得る。いくつかの実施形態では、このブロードキャストは、物理ネットワークにおいてシリアルユニキャストの形態で実現され得る。このフレームは、宛先ＭＡＣおよびＩＰアドレスと、インターフェース識別子と、送信元ＶＮＩＣのＭＡＣアドレスおよびＩＰアドレスとを含むことができる。ＶＬＡＮ内のＶＮＩＣの各々は、このフレームを受信することができ、送信元ＶＮＩＣのインターフェース対ＭＡＣアドレスマッピングを学習することができる。

受信側ＶＮＩＣの各々はさらに、フレームをカプセル化解除し、カプセル化解除されたフレーム（たとえば、対応するパケット）をそれらの関連付けられるＣＩに転送することができる。各ＣＩは、転送されたパケットを評価することができるネットワークインターフェースを含むことができる。転送されたパケットを受信したＣＩが宛先ＭＡＣおよび／またはＩＰアドレスと一致しない、とネットワークインターフェースが判断した場合、パケットはドロップされる。転送されたフレームを受信したＣＩが宛先ＭＡＣおよび／またはＩＰアドレスと一致する、とネットワークインターフェースが判断した場合、パケットはＣＩによって受信される。いくつかの実施形態では、パケットの宛先ＭＡＣおよび／またはＩＰアドレスに一致するＭＡＣおよび／またはＩＰアドレスを有するＣＩは、送信元ＣＩに応答を送信することができ、それによって、送信元ＶＮＩＣは、宛先ＣＩのインターフェース対ＭＡＣアドレスマッピングを学習することができ、それによって、送信元ＣＩは、宛先ＣＩのＩＰ対ＭＡＣアドレスマッピングを学習することができる。

送信元ＣＩがＩＰ対ＭＡＣアドレスマッピングを知らない場合、または宛先ＣＩに対する送信元ＣＩのＩＰ対ＭＡＣアドレスマッピングが古い場合、プロセス１２００を実行することができる。かくして、ＩＰ対ＭＡＣアドレスマッピングが既知となると、送信元ＣＩはパケットを送信することができる。ＩＰ対ＭＡＣアドレスマッピングが既知でない場合、プロセス１２００を実行することができる。インターフェース対ＭＡＣアドレスマッピングが既知でない場合、上で概説したインターフェース対ＭＡＣアドレス学習プロセスを実行することができる。インターフェース対ＭＡＣアドレスマッピングが既知である場合、送信元ＶＮＩＣは、対応するフレームを宛先ＶＮＩＣに送信することができる。プロセス１２００はブロック１２０２から始まり、送信元ＣＩは、宛先ＣＩのＩＰ対ＭＡＣアドレスマッピングが送信元ＣＩに未知である、と判断する。いくつかの実施形態では、これは、送信元ＣＩが、パケットについて宛先ＩＰアドレスを判断することと、その宛先ＩＰアドレスが送信元ＣＩのマッピングテーブルに記憶されたＭＡＣアドレスに関連付けられていないと判断することとを含み得る。代替として、送信元ＣＩは、その宛先ＣＩについてＩＰ対ＭＡＣアドレスマッピングが古い、と判断し得る。マッピングは、いくつかの実施形態では、マッピングがある時間制限内で更新および／または検証されていない場合、古くあり得る。宛先ＣＩのＩＰ対ＭＡＣアドレスマッピングが未知である、および／または送信元ＣＩに古いと判断すると、送信元ＣＩは、宛先ＩＰアドレスについてＡＲＰ要求を開始し、イーサネットブロードキャストのためにＡＲＰ要求を送信する。

ブロック１２０４において、ここでは送信元インターフェースとも呼ばれる送信元ＶＮＩＣは、送信元ＣＩからＡＲＰ要求を受信する。送信元インターフェースは、ＶＬＡＮ上のすべてのインターフェースを識別し、ＶＬＡＮブロードキャストドメイン上のすべてのインターフェースにＡＲＰ要求を送信する。前述のように、制御プレーンは、ＶＬＡＮ上のインターフェースのすべてを知っており、その情報をＶＬＡＮとのインターフェースに提供するので、送信元インターフェースは、同様に、ＶＬＡＮ内のインターフェースのすべてを知っており、ＶＬＡＮ内のインターフェースの各々にＡＲＰ要求を送信することができる。これを行うために、送信元インターフェースは、ＡＲＰ要求を複製し、ＶＬＡＮ上のインターフェースの各々のためにＡＲＰ要求のうちの１つをカプセル化する。各カプセル化されたＡＲＰ要求は、送信元ＣＩインターフェース識別子と、送信元ＣＩ ＭＡＣアドレスおよびＩＰアドレスと、ターゲットＩＰアドレスと、宛先ＣＩインターフェース識別子とを含む。送信元ＣＩインターフェースは、複製されカプセル化されたＡＲＰ要求（たとえば、ＡＲＰメッセージ）をシリアルユニキャストとして送ることによってイーサネットブロードキャストを複製し、１つのＡＲＰ要求がＶＬＡＮ内の各インターフェースに送られる。

ブロック１２０６において、ＶＬＡＮブロードキャストドメイン内の各インターフェースは、ＡＲＰメッセージを受信し、カプセル化解除する。ＡＲＰメッセージを受信するＶＬＡＮブロードキャストドメイン内のインターフェースの各々は、このメッセージが送信元ＣＩ ＭＡＣアドレスおよびＩＰアドレスならびに送信元ＣＩインターフェース識別子を識別するので、送信元ＣＩの送信元ＶＮＩＣのインターフェース対ＭＡＣアドレスマッピング（例えば、送信元ＣＩのＭＡＣアドレスに対する送信元インターフェースのインターフェース識別子）を学習する。送信元ＣＩについてインターフェース対ＭＡＣアドレスマッピングを学習することの一部として、インターフェースの各々は、そのマッピングテーブル（たとえば、そのＬ２転送テーブル）を更新することができ、更新されたマッピングをその関連付けられたスイッチおよび／またはＣＩに提供することができる。各受信側インターフェースは、ＶＳＲＳを除いて、カプセル化解除されたパケットをそれらの関連付けられたＣＩに転送することができる。転送されたカプセル化解除されたパケットのＣＩ受信者、具体的にはそのＣＩのネットワークインターフェースは、ターゲットＩＰアドレスがＣＩのＩＰアドレスと一致するかどうかを判断することができる。そのインターフェースに関連付けられるＣＩのＩＰアドレスが宛先ＣＩ ＩＰアドレスと一致しない場合、いくつかの実施形態では、パケットはそのＣＩによってドロップされ、さらなるアクションは行われない。ＶＳＲＳの場合、ＶＳＲＳは、ターゲットＩＰアドレスがＶＳＲＳのＩＰアドレスと一致するかどうかを判断することができる。ＶＳＲＳのＩＰアドレスが、受信されたパケットにおいて指定されたターゲットＩＰアドレスと一致しない場合、いくつかの実施形態では、パケットはＶＳＲＳによってドロップされ、さらなるアクションは行われない。

受信されたパケットにおいて指定された宛先ＣＩ ＩＰアドレスが、受信側インターフェースに関連付けられるＣＩ（宛先ＣＩ）のＩＰアドレスと一致する、と判断された場合、ブロック１２０８に示すように、宛先ＣＩは、ユニキャストＡＲＰ応答であり得る応答を送信元インターフェースに送信する。この応答は、宛先ＣＩ ＭＡＣアドレスおよび宛先ＣＩ ＩＰアドレスと、送信元ＣＩ ＩＰアドレスおよびＭＡＣアドレスとを含む。この応答は、ブロック１２１０に示すように、宛先インターフェースによって受信され、それは、ユニキャストＡＲＰ応答をカプセル化する。いくつかの実施形態では、このカプセル化は、ＧＥＮＥＶＥカプセル化を含むことができる。宛先インターフェースは、カプセル化されたＡＲＰ応答を、宛先スイッチを介して送信元インターフェースに転送することができる。この応答は、宛先ＣＩ ＭＡＣアドレスおよびＩＰアドレスならびに宛先ＣＩインターフェース識別子と、送信元ＣＩ ＭＡＣアドレスおよびＩＰアドレスならびに送信元ＣＩインターフェース識別子とを含む。

ブロック１２１２において、送信元インターフェースは、ＡＲＰ応答を受信し、それをカプセル化解除する。送信元インターフェースはさらに、カプセル化および／またはカプセル化されたフレームに含まれる情報に基づいて、宛先ＣＩについてのインターフェース対ＭＡＣアドレスマッピングを学習することができる。送信元インターフェースは、いくつかの実施形態では、ＡＲＰ応答を送信元ＣＩに転送することができる。

ブロック１２１４において、送信元ＣＩはＡＲＰ応答を受信する。いくつかの実施形態では、送信元ＣＩは、ＡＲＰ応答に含まれる情報に基づいてマッピングテーブルを更新することができ、具体的には、宛先ＣＩのＭＡＣアドレスおよびＩＰアドレスに基づいてＩＰ対ＭＡＣアドレスマッピングを反映するようにマッピングテーブルを更新することができる。その後、送信元ＣＩは、このＭＡＣアドレスに基づいて宛先ＣＩにパケットを送信することができる。このパケットは、送信元ＣＩのＭＡＣアドレスおよびインターフェース識別子を送信元ＭＡＣアドレスおよび送信元インターフェースとして含み、宛先ＣＩのＭＡＣアドレスおよびインターフェース識別子を宛先ＭＡＣアドレスおよび宛先インターフェースとして含むことができる。

ブロック１２１６において、送信元インターフェースは、送信元ＣＩからパケットを受信することができる。送信元インターフェースは、パケットをカプセル化することができ、いくつかの実施形態では、このカプセル化は、ＧＥＮＥＶＥカプセル化を使用する。送信元インターフェースは、対応するフレームを宛先ＣＩに、具体的には宛先インターフェースに転送することができる。カプセル化されたフレームは、送信元ＣＩのＭＡＣアドレスおよびインターフェース識別子を送信元ＭＡＣアドレスおよび送信元インターフェース識別子として含み、宛先ＣＩのＭＡＣアドレスおよびインターフェース識別子を宛先ＭＡＣアドレスおよび宛先インターフェースとして含むことができる。

ブロック１２１８において、宛先インターフェースは、送信元インターフェースからフレームを受信する。宛先インターフェースは、フレームをカプセル化解除することができ、次いで、対応するパケットを宛先ＣＩに転送することができる。ブロック１２２０において、宛先ＣＩは、宛先インターフェースからパケットを受信する。

ストーム制御
物理Ｌ２ネットワークは、エンドステーションが大量のフレームを迅速なトラフィックのバーストで送信し得るフレームストームを被る可能性がある。そのようなトラフィックのバーストは、未知のユニキャスト宛先アドレスを有するフレームまたはブロードキャストもしくはマルチキャスト宛先アドレスを有するフレームが複製されるＬ２ネットワークのフラッディング特性によってさらに増幅され得る。そのような「増幅されたトラフィックバースト」は、ネットワーク全体をすばやく停止させ得る。これは、特に、ネットワークがループを－たとえほんの短い期間であっても－有する場合に当てはまる。したがって、Ｌ２トラフィックストームは、ネットワーク全体の障害を引き起こす可能性がある。スパニングツリーの使用を含む、Ｌ２トラフィックストームを防止するための異なる技術が存在する。しかしながら、そのような技術は、典型的には、物理Ｌ２ネットワーク内でのマルチパス通信の使用を禁止する。

本開示の実施形態は、ここで上述したように、物理ネットワーク（例えば、Ｌ３物理ネットワーク）の上にオーバーレイされるＬ２仮想ネットワークを提供する。仮想化されたＬ２ ＶＬＡＮ（ここではＶＬＡＮと呼ぶ）などのＬ２仮想ネットワークは、マルチパス通信を可能にしながらストーム制御を提供する技術を用いて実現される。

ＶＬＡＮでは、ブロードキャストまたはマルチキャストを使用して、１つの計算インスタンスからＶＬＡＮ内にある複数の計算インスタンスにフレームを送信することができる。２つの計算インスタンス間にループが存在する場合、ブロードキャストまたはマルチキャストは、フレームストームをもたらし得る。このストームを防止するために、異なる技術が可能である。例示的な技術では、フレーム伝送のレート（例えば、フレーム／秒および／またはビット／秒）は、顧客のスイッチ（ここでは、「ｖスイッチ」と呼ばれ、それは、顧客の、単一の仮想スイッチの認知に対応することを示す）のポートを表す異なるＶＮＩＣにわたって監視される。ここにおいて上記で説明したように、このｖスイッチは、実際には、複数のＮＶＤにわたるＬ２分散型スイッチであり、各ＮＶＤは、Ｌ２分散型スイッチに属する１つ以上のＬ２仮想スイッチをホストする。レートは、制限ポリシーと比較される。レートがこのポリシーに違反する場合、違反するＶＮＩＣをシャットダウンすることができ、または違反のタイプに応じて、それが処理しているフレームのいくつかをドロップすることができる。ストーム制御のこれらおよび他の局面は、ここにおいて次に記載される。

図１３は、ある実施形態に従った、Ｌ２仮想ネットワークのためにストーム制御の構成（コンフィグレーション）を定義するのに適した例示的な環境を示す。実施形態では、環境は、１つ以上のネットワーク（図示せず）を介して顧客デバイス１３２０と通信するコンピュータシステム１３１０を含む。コンピュータシステム１３１０は、ＶＣＮ１３１２をホストするハードウェアコンピューティングリソースのセットを含むことができる。ハードウェアコンピューティングリソースのうちの１つ以上によってホストされる制御プレーンは、顧客デバイス１３２０から入力を受信し、処理し、ＶＣＮ１３１２内にＬ２仮想ネットワーク（図１３ではＬ２ＶＬＡＮ１３１４として示される）を展開することができる。

ある例では、顧客デバイス１３２０からの入力は、様々なタイプの情報を含むことができる。この情報は、コンソールまたはＡＰＩ呼出しを介して指定することができ、顧客指定される構成情報の中でもとりわけ、Ｌ２ ＶＬＡＮ構成１３２２およびストーム制御構成１３２４を含むことができる。

Ｌ２ ＶＬＡＮ構成１３２２は、例えば、Ｌ２ ＶＬＡＮ１３１４に含まれるべきＬ２計算インスタンスの数、タイプ、および構成を示すことができる。加えて、Ｌ２ ＶＬＡＮ構成１３２２は、顧客認知ｖスイッチ上のポートの顧客指定名、（Ｌ２計算インスタンスであり得る）計算インスタンスのＭＡＣアドレス、およびポートとＭＡＣアドレス（または、より一般的には、計算インスタンス）との間の関連付けを示すことができる。例えば、顧客は、Ｌ２ ＶＬＡＮ１３１４が２つのＬ２計算インスタンスを含む必要があることを指定することができ、第１のＬ２計算インスタンスはＭＡＣアドレスＭ.１を有し、Ｐ１と名付けられた第１のポートに関連付けられ、第２のＬ２計算インスタンスはＭＡＣアドレスＭ.２を有し、Ｐ２と名付けられた第２のポートに関連付けられる。

ストーム制御構成１３２４は、例えば、Ｌ２ ＶＬＡＮ１３１４内の、ＶＬＡＮ１３１４への、および／またはＶＬＡＮ１３１４からのフレームを含むトラフィックの流れを制御するストーム制御ポリシーを示すことができる。ストーム制御ポリシーは、アクションのセットおよびトラフィックフロー条件のセットを示すことができる。あるトラフィックフロー条件が検出されるか、またはその違反が検出される（例えば、測定される）と、対応するアクションが開始または実行され得る。ストーム制御構成１３２４は、トラフィックフロー条件の違反のタイプに応じてトラフィックのフローをさらに制御するエスカレーションポリシーをさらに示すことができる。例えば、エスカレーションポリシーは、違反が、ある持続時間内で（例えば、特定の違反頻度もしくは回数で）繰り返し検出されるか、またはある持続時間を超える時間長にわたって持続する場合、別のアクションのセット（例えば、エスカレーションアクション）が開始または実行され得ることを示す。

実施形態では、異なるストーム制御構成タイプが可能であり、互いに併せてまたは独立して使用することができる。第１のストーム制御構成タイプは、ストーム制御がｖスイッチの特定のポート（またはそのポートのサブセット）に適用されるか、またはポートの全セットに（たとえば、ＶＬＡＮ全体に）適用されるかを示す。特に、顧客は、ポートごと、ポートのセット、および／またはポートの全セットの許容伝送レート（例えば、フレーム／秒および／またはビット／秒の単位で定義される最大伝送レート）を指定することができる。第２のストーム制御構成タイプは、ストーム制御がユニキャストされるフレーム、ならびに／またはブロードキャストされるフレームおよび／もしくはマルチキャストされるフレームに適用されるかどうかを示す。第３のストーム制御構成タイプは、ストーム制御のために使用すべき伝送レートのタイプ（例えば、フレーム／秒および／またはビット／秒）を示す。第４のストーム制御構成タイプは、ストーム制御ポリシーの違反に対して実行されるべきアクションを示す。例えば、顧客は、許可された伝送レートを超えるフレームがドロップされるべきであることを指定することができる。代替的に、顧客は、許可された伝送レートに違反するポート（例えば、そのポートは、許可された伝送レートを超えるフレームを受信および／または送信する）をシャットダウンし動作停止する（例えば、リンク状態をダウンする）べきであると指定することができる。第５のストーム制御構成タイプは、フレームをドロップし、続いてポートシャットダウンを含む、エスカレーションポリシーを定義することができる（例えば、違反が断続的である場合、超過フレームを破棄することができる。しかし、違反が、ある期間にわたって、より持続的である場合、違反するポートはシャットダウンされるべきである）。第６のストーム制御構成タイプは、報告されるべきメトリックおよび／または統計を示し、これらのメトリックおよび／または統計は、トラブルシューティングのために使用され得る。例えば、顧客は、システムログ（syslog）、フローログ、特定のメトリック（例えば、どれだけのフレームが送信されたか、どれだけのフレームがドロップされたか、どのようなポートが使用されたか、どれだけの頻度でフレームがドロップされたか（例えば、フレームドロップレート）、どれだけの頻度でフレーム伝送スパイク（例えば、許可された伝送レートをある量だけ超える）が観察されたかなど）、ウォーターマーク（例えば、最も高い送信スパイクおよびそのタイミング）、ならびに違反に関する警告を要求することができる。

上記の入力は、制御プレーンによって受信されることができ、顧客は、各ストーム制御構成タイプのパラメータを、それ自体の顧客プレゼンテーションを使用して（例えば、ｖスイッチのポートの、それ自体の命名法を使用することによって）、指定する。制御プレーンは、実際のネットワーク実現例（たとえば、Ｌ２分散型スイッチ）およびＬ２ＶＬＡＮ構成１３２２（たとえば、ポートの顧客定義）に基づいてストーム制御情報を生成する。制御プレーンはまた、生成されたストーム制御情報をＮＶＤに配信し、ＮＶＤによるストーム制御の実施を編成する。

したがって、制御プレーンは、種々の情報を受信し、次いで、Ｌ２ ＶＬＡＮ１３１４の異なるリソースを展開および管理し、関連するストーム制御構成を生成し、これらのリソースに配信する。例えば、Ｌ２ ＶＬＡＮ１３１４は、Ｌ２ ＶＬＡＮ構成１３２２に従って構成され、ホストマシン上でホストされる要求された計算インスタンスと、ＮＶＤ上でホストされるＬ２ ＶＮＩＣ－Ｌ２仮想スイッチのペアとを含む。ストーム制御構成を生成するために、制御プレーンは、顧客定義をストーム制御構成からＬ２ ＶＬＡＮ１３１４の実際のトポロジに変換する。たとえば、各Ｌ２ ＶＮＩＣはポートをエミュレートし、制御プレーンは、Ｌ２ ＶＮＩＣ（例えば、そのインターフェース識別子、そのＭＡＣアドレス（指定されない場合）、および／またはＬ２ ＶＮＩＣをホストするＮＶＤのＩＰアドレス）を、ポートの名前（および、指定される場合には、指定されたＭＡＣアドレス）と、関連付ける。ポート名を使用するのではなく、ストーム制御構成は、関連するＬ２ ＶＮＩＣ（例えば、それらのインターフェース識別子、それらのＭＡＣアドレス、および／またはＬ２ ＶＮＩＣをホストするＮＶＤのＩＰアドレス）を識別することによって、ストーム制御を示す。Ｌ２ ＶＮＩＣをホストするＮＶＤは、Ｌ２ ＶＮＩＣに関連付けられるストーム制御構成を受信して適用し、ＮＶＤはトラフィックフロー実施を実行することができる。

図１４は、ある実施形態による、レイヤ２仮想ネットワークにおける例示的なストーム制御技術を図示する。レイヤ２仮想ネットワークは、ここではＶＬＡＮと呼ばれる。図１４の上部は、ＶＬＡＮの実現図１４１０を示す。図１４の下部は、ＶＬＡＮの顧客プレゼンテーション１４２０を示す。

ここで上述したように、ＶＬＡＮは、「ｎ」個の計算インスタンスを含むことができ、それらの各々はホストマシン上で実行される。図１４は、計算インスタンスとホストマシンとの間の一対一の関連付けを示しているが、１つのホストマシンが複数の計算インスタンスを実行することができる、多対一の関連付けが可能である。各計算インスタンスは、少なくとも１つの仮想インターフェース（例えば、Ｌ２ ＶＮＩＣ）およびスイッチ（例えば、Ｌ２仮想スイッチ）に関連付けられる。ホストマシン上の計算インスタンスに関連付けられるＶＮＩＣおよびスイッチのペアは、ホストマシンに接続されたＮＶＤ上のソフトウェアモジュールのペアであり得る。各Ｌ２ ＶＮＩＣは、顧客のｖスイッチのＬ２ポートを表す。図１４の例示では、ホストマシン「ｉ」は、計算インスタンス「ｉ」を実行し、ＮＶＤ「ｉ」に接続される。次に、ＮＶＤ「ｉ」は、ＶＮＩＣ「ｉ」およびスイッチ「ｉ」を実行する。ＶＮＩＣ「ｉ」は、ｖスイッチのＬ２ポート「ｉ」を表す。ｉは１～ｎの正の整数である。ここでもまた、一対一の関連付けが説明されるが、他のタイプの関連付けも可能である。例えば、単一のＮＶＤを複数のホストに接続することができ、それらの各々が、ＶＬＡＮに属する１つ以上の計算インスタンスを実行する。その場合、ＮＶＤは、各々が計算インスタンスのうちの１つに対応するＶＮＩＣおよびスイッチの複数のペアをホストする。

顧客の入力は、制御プレーン（例えば、ＶＬＡＮを含むＶＣＮの制御プレーン）によって受信され得る。入力は、ＡＰＩ呼出しおよび／またはコンソールを介して受信することができ、ストーム制御の異なる次元を指定することができる。ストーム制御の編成は、制御プレーンによって管理することができ、ストーム制御の実施は、ＮＶＤ（データプレーン）のレベルで行うことができる。

ある例では、ここにおいて上記で説明したように、ＮＶＤのＬ２ ＶＮＩＣは、着信トラフィックに基づいてインターフェース対ＭＡＣアドレスマッピングを学習する。そのようなマッピングは、ＶＬＡＮの識別子とともに制御プレーンに送られ得る。制御プレーンは、異なるＬ２ ＶＮＩＣをホストする異なるＮＶＤから同様のマッピングを受信し、インターフェース識別子と、ＭＡＣアドレスと、（たとえば、ＮＶＤの）物理ＩＰアドレスと、ＶＬＡＮ識別子と、ストーム制御パラメータとの間のマッピングを生成することができる。

例えば、ＶＮＩＣ１は、Ｍ.２（計算インスタンス２のオーバーレイＭＡＣアドレス）はＩＤ.２（Ｌ２ ＶＮＩＣ２のインターフェース識別子）およびＩＰ.２（ＮＶＤ２の物理アドレス）に関連付けられること、ならびにＭ.ｎ（計算インスタンスｎのオーバーレイＭＡＣアドレス）はＩＤ.ｎ（Ｌ２ ＶＮＩＣ ｎのインターフェース識別子）およびＩＰ.ｎ（ＮＶＤ ｎの物理アドレス）に関連付けられることを学習する。同様に、ＶＮＩＣ２は、Ｍ.１（計算インスタンス１のオーバーレイＭＡＣアドレス）はＩＤ.１（Ｌ２ ＶＮＩＣ１のインターフェース識別子）およびＩＰ.１（ＮＶＤ１の物理アドレス）に関連付けられることを学習する。これらの関連付けは、マッピングの一部として制御プレーンに報告され、制御プレーンは、｛顧客１；Ｍ.１→ＩＤ.１；ＩＰ.１；ＶＬＡＮ Ａ｝、｛顧客１，Ｍ.２→ＩＤ.２，ＩＰ.２；ＶＬＡＮ Ａ｝，．．．，｛顧客１，Ｍ.ｎ→ＩＤ.ｎ，ＩＰ.ｎ；ＶＬＡＮ Ａ｝のマッピングを生成することができる。

顧客入力はまた、図１３に関連して説明したＬ２ ＶＬＡＮ構成に加えて、ストーム制御構成１４２２を指定することができる。説明のため、顧客入力は、ストーム制御構成１４２２の一部として、ポート１、２、およびｎの各々は、それぞれ１，０００ＦＰＳ、２，０００ＦＰＳ、および３，０００ＦＰＳの制限を有し、違反が生じる場合、フレームをドロップすべきであることを指定する。（例えば、Ｌ２ ＶＬＡＮ構成からの）そのＶＬＡＮの顧客定義と実際の実現例との間の関連付け（例えば、ＶＮＩＣ１，２，．．．，ｎは、それぞれポート１，２，．．．，ｎに対応する）に基づいて、制御プレーンは、ＶＬＡＮ全体に対するストーム制御情報１４１１、すなわち、｛顧客１；Ｍ.１→ＩＤ.１，ＩＰ.１；ＶＬＡＮ Ａ；制限：１，０００ＦＰＳ；アクション：ドロップ｝，｛顧客１，Ｍ.２→ＩＤ.２，ＩＰ.２；ＶＬＡＮ Ａ；制限：２，０００ＦＰＳ；アクション：ドロップ｝，．．．，｛顧客１，Ｍ.ｎ→ＩＤ.ｎ，ＩＰ.ｎ；ＶＬＡＮ Ａ，制限：３，０００ＦＰＳ；アクション：ドロップ｝を含むことができる。この例示的な例では、「制限」はトラフィックフロー条件に対応し、その値（例えば、「１，０００ＦＰＳ」）は最大ＦＰＳレートに対応し、「アクション：ドロップ」は、最大ＦＰＳレートを超えたときにフレームをドロップするアクションに対応する。

別の例示では、顧客入力は、断続的な違反時にフレームをドロップし、持続的な違反時に違反ポートをシャットダウンするために、ＶＬＡＮ内で許容される総制限（たとえば、６，０００ＦＰＳ）を指定することができる。制御プレーンは、ポート（例えば、Ｌ２ ＶＮＩＣ）にわたって総制限を割り当てて、ポートごとの個別の制限（例えば、総制限を「ｎ」で割ったものなど、Ｌ２ ＶＮＩＣあたり）を判断することができる。動的乗数「Ｘ」は、各個別の制限に関連付けられ、確認された違反に応じて経時的に調整され得る（例えば、Ｌ２ ＶＮＩＣ１に対する動的乗数「Ｘ」は、最初に「２」に設定され、違反が確認される場合、増加され、ある期間内に違反が確認されない場合、減少される）。さらに、制御プレーンは、ＦＰＳに基づいて違反時にフレームがドロップされるべきであること、およびある期間内に閾値を超えるフレームの総数に基づいて違反ポートがシャットダウンされるべきであることを定義することができる。例えば、Ｌ２ ＶＮＩＣ１の場合、制御プレーンは、以下の個別のストーム制御情報｛制限：（６，０００／３）＊Ｘ；Ｘ＝２；アクション：フレームをドロップする；エスカレーション：１時間以内のフレームの総数が１０，０００，０００フレームを超える場合、シャットダウン｝を生成する。制御プレーンは、残りのＬ２ ＶＮＩＣについて同様の個別のストーム情報を生成し、そのような情報の各々は、ＶＬＡＮ全体の全体的なストーム制御情報１４１１（例えば、｛顧客１，Ｍ.１→ＩＤ.１，ＩＰ.１；ＶＬＡＮ Ａ；制限：（６，０００／３）＊Ｘ；Ｘ＝２；アクション：フレームをドロップする；エスカレーション：１時間以内のフレームの総数が１０，０００，０００フレームを超える場合、シャットダウン｝）に含めることができる。

そのＶＬＡＮの顧客定義と実際の実現との間の関連付け（例えば、Ｌ２ ＶＮＩＣ１はポート１に対応する）およびマッピング（例えば、顧客１，Ｍ.１→ＩＤ.１；ＩＰ.１；ＶＬＡＮ Ａ）に基づいて、制御プレーンは、ストーム制御のローカル実施のために、関連する個別のストーム制御部分をＮＶＤに配信することができる。例えば、Ｌ２ ＶＮＩＣ１に適用可能な個別のストーム制御情報１４１４（１）は、Ｌ２ ＶＮＩＣ１をホストするＮＶＤ１に送信される。例示の目的で、この個別のストーム制御情報１４１４（１）は｛ＶＮＩＣ１→制限：１，０００ＦＰＳ；アクション：ドロップ｝を含むか、または、適応可能な場合、｛ＶＮＩＣ１→制限：（６，０００／３）＊Ｘ；Ｘ＝２；アクション：フレームをドロップする；エスカレーション：１時間以内のフレームの総数が１０，０００，０００フレームを超える場合、シャットダウン｝がＮＶＤ１に送信される）。同様に、Ｌ２ ＶＮＩＣ２に適用可能な個別のストーム制御情報１４１４（２）が、Ｌ２ ＶＮＩＣ２をホストするＮＶＤ２に送信される。顧客はまた、ポートのセット（例えば、ポートｎ）についてストーム制御を要求しなくてもよい。したがって、個別のストーム制御情報は生成されず、関連するＮＶＤに送信されなくてもよい（例えば、Ｌ２ ＶＮＩＣｎに対して個別のストーム制御情報が定義されず、ＮＶＤｎに送信されない）。

ストーム制御の実施は、ＮＶＤによって、着信トラフィックおよび／または発信トラフィックに対して実行され得る。着信実施のため、および例示目的でＮＶＤ１を参照して、ＮＶＤ１は、適用可能なトラフィックフロー条件（例えば、ストーム制御ポリシーおよび／もしくはエスカレーションポリシーのＦＰＳならびに／またはＢＰＳ制限）と比較するために、Ｌ２ ＶＮＩＣ１へのトラフィックフロー（例えば、Ｌ２ ＶＮＩＣ１に送信されるフレームのＦＰＳおよび／もしくはＢＰＳなどの伝送レート、ならびに／またはＬ２ ＶＮＩＣ１に送信される１時間以内のフレームもしくはビットの総数などの総伝送量）を監視する。違反が検出された場合、ＮＶＤ１は適用可能なアクションを実行する（例えば、Ｌ２ ＶＮＩＣ１に送信されたフレームをドロップするか、またはＬ２ ＶＮＩＣ１をリンクダウンし停止する）。対照的に、発信実施のため、および例示目的でＮＶＤ１も参照すると、ＮＶＤ１は、残りのＮＶＤの個別のストーム制御情報を受信し、この情報をＬ２ ＶＮＩＣ１からの発信実施のために使用する。例えば、ＮＶＤ１は、制御プレーンから、ＮＶＤ２に対して設定された適用可能な制限を受信する。Ｌ２ ＶＮＩＣ１によってＬ２ ＶＮＩＣ２に送信されるフレームの伝送レート（例えば、ＦＰＳおよび／またはＢＰＳ）がＦＰＳ制限および／またはＢＰＳ制限を超える場合、そのようなフレームは、ＮＶＤ２に送信され、次いでそこでドロップされるのではなく、ＮＶＤ１によってドロップされる。そのようなフレームの総伝送量が許容時間単位制限を超える場合、Ｌ２ ＶＮＩＣ１はリンクダウンされる。

異なるＮＶＤは、フレーム伝送およびフレームドロップに関する情報を制御プレーンに報告することができる。この情報は、伝送レート、総伝送量（たとえば、送信されるフレームの総数、および／または送信されるビットの総数）、ドロップレート、総ドロップ量（例えば、ドロップされたフレームの総数および／またはドロップされたビットの総数）、実行されるアクション（例えば、ドロップ、シャットダウン、エスカレーション）などを含むことができる。ＮＶＤから送信される情報は、関連するＬ２ ＶＮＩＣおよび／またはＶＬＡＮに関するメタデータで注釈を付けることができる（例えば、メタデータは、関連するＬ２ ＶＮＩＣを識別することができ、ＶＬＡＮ ＩＤを含むことができる）。

次に、制御プレーンは、異なるＮＶＤから情報を収集し、顧客によって要求されるメトリックおよび／または統計を生成することができる。警告をプッシュすることができる。他のタイプのメトリックおよび／または統計を、顧客の要求に応じてプッシュまたは提示することができる。

動的乗数「Ｘ」がストーム制御の構成情報において使用される場合、制御プレーンは、伝送レートおよび／または総伝送量が設定された制限とどのように対比されるかの比較をすることができる。比較に応じて、動的乗数「Ｘ」は、各ＶＮＩＣについて増加または減少させることができる。

ここにおいて上記でさらに説明されるように、顧客のＶＬＡＮは、ＶＳＲＳのインスタンスを含むことができる（図１４に図示せず）。ＶＳＲＳは、スイッチングおよびルーティング機能を実行し、ｖスイッチ上のポートを表すＶＳＲＳ ＶＮＩＣを含み、このポートは、仮想ルータを介してｖスイッチを他のネットワークに接続する。ストーム制御の同様の構成情報が、ＶＳＲＳのために生成され、ローカル実施のためにＶＳＲＳに送信され得る。さらに、ＶＳＲＳが別のネットワークとの間でルーティングするであろうトラフィックのドロップをサポートするために、マッピングは、計算インスタンスのオーバーレイＩＰアドレスを含むことができる。（例えば、送信元または宛先ＩＰアドレスとしての）計算インスタンスのオーバーレイＩＰアドレスを有するトラフィックが違反をもたらす場合、ＶＳＲＳは、このトラフィックをドロップすることができ、エスカレーション構成に応じて適用可能な場合、ＶＳＲＳ ＶＮＩＣをリンクダウンすることができる。

図１５は、いくつかの実施形態による、Ｌ２仮想ネットワークにおいてストーム制御情報を使用するためのプロセスを示すシーケンス図である。実施形態では、顧客によって操作されるリモートデバイス１５１０（例えば、顧客のオンプレミスネットワークからのデバイスであって、顧客デバイス１３２０等の、ＶＣＮに遠隔接続されるデバイス）は、制御プレーン１５２０と通信して、顧客のＶＬＡＮのためにストーム制御を構成する。制御プレーン１５２０は、ＶＬＡＮのＬ２ ＶＮＩＣおよびＬ２仮想スイッチをホストするＮＶＤ１５３０によるストーム制御の実施を編成する。

図示のように、シーケンス図は、顧客デバイス１５１０が顧客の入力を制御プレーン１５２０に送信する状態でストームすることができる。入力は、他の情報（例えば、ＶＬＡＮ構成）の中でも、とりわけ、ストーム制御構成を示す。ストーム制御構成は、顧客が認知するｖスイッチの、あるポート、ポートのセット、またはポートの全セットに特定であり得る。次に、制御プレーン１５２０は、ストーム制御構成に基づいてストーム制御情報を生成する。ストーム制御情報は、ＶＬＡＮに適用されるグローバルストーム制御情報を含むことができ、および／またはＬ２ ＶＮＩＣごとに個別のストーム制御情報を含むことができる。概して、制御プレーン１５２０は、ストーム制御構成をポートの顧客定義からＬ２ ＶＮＩＣ実現例に変換し、ストーム制御ポリシー、エスカレーションポリシー、またはそれに対する修正（例えば、動的乗数「Ｘ」に基づいて伝送制限を調整することによる）をストーム制御情報に含ませることができる。制御プレーン１５２０はまた、ストーム制御情報を受信することになるＮＶＤ１３０のセットを判断する。概して、ストーム制御が適用されるポートを顧客が指定する場合、制御プレーン１５２０は、対応するＬ２ ＶＮＩＣと、このＬ２ ＶＮＩＣ１５３０をホストするＮＶＤ１５３０とを判断する。Ｌ２ ＶＮＩＣに対して定義され（顧客によってポートに対して定義されるストーム制御構成に対応する）個別のストーム制御情報が、ＮＶＤ１５３０に送信される。

次に、ＮＶＤ１５３０は、関連するストーム制御情報を受信して記憶する。ＮＶＤ１５３０によってホストされ、個別のストーム制御情報が記憶されるＬ２ ＶＮＩＣへの着信トラフィックは、ＮＶＤによって制御される。同様に、Ｌ２ ＶＮＩＣから（異なるＮＶＤ上でホストされ得る）別のＬ２ ＶＮＩＣへの発信トラフィックは、ＮＶＤによって、このストーム制御情報および／または別のＬ２ ＶＮＩＣのストーム制御情報を使用して、制御され得る。制御は、トラフィックフロー条件またはその違反が検出されたかどうか、ならびに／またはストーム制御ポリシーおよび／もしくはエスカレーションポリシーを実施するための違反のタイプを判断することを含むことができる。

さらに、ＮＶＤ１５３０は、Ｌ２ ＶＮＩＣの着信および／もしくは発信トラフィックフローに関するメトリックならびに／または統計を収集することができる。そのようなメトリックおよび／または統計は、プッシュ機構（例えば、周期的）またはプル機構（例えば、制御プレーン１５２０からのオンデマンド）を使用して制御プレーン１５２０に報告される。制御プレーン１５２０は、ＮＶＤ１５３０から受信されたメトリック／統計を顧客デバイス１５１０に送信することができ、ならびに／または複数のＮＶＤ１５３０から報告されたメトリックおよび／もしくは統計の集約または組合せに基づいて新たなメトリックおよび／もしくは統計を生成し、顧客デバイス１５１０に送信することができる。さらに、制御プレーン１５２０は、ＮＶＤ１５３０のうちの１つ以上から報告されたメトリックおよび／または統計に基づいて、ストーム制御情報に対する更新を生成することができる。例えば、Ｌ２ ＶＮＩＣに対して設定されたＦＰＳ制限を参照して、この制限が部分的に乗数「Ｘ」を使用して定義される場合、この乗数は、Ｌ２ ＶＮＩＣに対する着信および／もしくは発信トラフィックの量を示すメトリックならびに／もしくは統計、ならびに／またはＬ２ ＶＮＩＣに対して定義されるストーム制御ポリシーおよび／もしくはエスカレーションポリシーの違反タイプに応じて調整（例えば、増加または減少）することができる。ＮＶＤ１５３０に関連付けられる個別のストーム制御情報に対する更新は、ＮＶＤ１５３０に（例えば、プッシュ機構で）送信することができる。追加または代替として、更新されたストーム制御情報全体がこのＮＶＤ１５３０に送られ得る。

図１６は、いくつかの実施形態による、ストーム制御情報を判断し、生成し、配信するためのプロセス１６００を示すフローチャートである。いくつかの実施形態では、プロセス１６００は、下層の物理ネットワーク上でのレイヤ２仮想ネットワークの展開を管理する制御プレーンによって実行されることができる。

プロセス１６００はブロック１６０２で開始し、制御プレーンは顧客のネットワーク構成を記憶し、この構成はポートの定義を示す。いくつかの実施形態では、顧客の入力は、ＡＰＩ呼出しおよび／またはコンソールを介して顧客デバイスから受信され、Ｌ２仮想ネットワーク構成（例えば、図１３に関連して説明されたようなＬ２ ＶＬＡＮ構成）を示す。この入力はまた、Ｌ２仮想ネットワークの顧客認知ｖスイッチのためのポートの顧客定義を示すことができる。この入力は、ネットワーク構成の一部として記憶することができる。

ブロック１６０４において、制御プレーンは、Ｌ２仮想ネットワークのアドレスとＬ２仮想ネットワークをホストする物理ネットワークのアドレスとを関連付けるマッピング情報を記憶する。例えば、Ｌ２仮想ネットワークは、計算インスタンスと、計算インスタンス毎に、Ｌ２ ＶＮＩＣとＬ２仮想スイッチとのペアとを含む。物理ネットワークは、計算インスタンスを実行するホストマシンと、Ｌ２ ＶＮＩＣ－Ｌ２仮想スイッチのペアを実行するＮＶＤとを含む。計算インスタンスのアドレス（例えば、ＩＰアドレス）および／またはＬ２ ＶＮＩＣのアドレス（例えば、ＭＡＣアドレスおよびインターフェース識別子）は、ホストマシンおよびＮＶＤのアドレス（例えば、ＩＰアドレス）にマッピングすることができる。

ブロック１６０６において、制御プレーンは、ストーム制御構成を示す顧客入力を受信する。いくつかの実施形態では、顧客入力は、ストーム制御構成（例えば、図１３に関連して説明したストーム制御構成）を示すために、ＡＰＩ呼出しおよび／またはコンソールを介して顧客デバイスから受信される。

ブロック１６０８において、制御プレーンは、ストーム制御情報を受信するべきＮＶＤのセットを判断する。いくつかの実施形態では、ストーム制御構成は、ｖスイッチのポートに対して指定される。ネットワーク構成に基づいて、制御プレーンは、ポートとＬ２仮想ネットワークのＬ２ ＶＮＩＣとの間の対応関係を判断する。マッピング情報に基づいて、制御プレーンは、Ｌ２ ＶＮＩＣと物理ネットワークのＮＶＤとの間の関連付けを判断し、このＮＶＤはＬ２ ＶＮＩＣをホストする。したがって、制御プレーンは、制御情報がＬ２ ＶＮＩＣのために定義され、ＮＶＤに送信されるべきであると判断する。同様の判断を、ポートのセットまたはポートの全セットにストーム制御構成が適用されることを顧客の入力が示すかどうかに応じて、ＮＶＤのセット上でホストされるＬ２ ＶＮＩＣのセットに対して、または複数のＮＶＤ上でホストされるすべてのＬ２ ＶＮＩＣに対して、行うことができる。

ブロック１６１０において、制御プレーンは、マッピング情報およびネットワーク構成に基づいてストーム制御情報を生成する。いくつかの実施形態では、制御プレーンは、ネットワーク構成に基づいて、顧客指定ポートをＬ２ ＶＮＩＣに変換し、マッピング情報に基づいて、関連付けられるＮＶＤを判断する。制御プレーンはまた、図１４～図１５に関連して説明したように、ストーム制御構成から、Ｌ２ ＶＮＩＣのために定義されるストーム制御情報に含めるために、およびＮＶＤに展開されるよう、ストーム制御ポリシー、エスカレーションポリシー、および／またはそれに対する修正を判断することができる。

ブロック１６１２において、制御プレーンは、ＮＶＤのセットにストーム制御情報を送信する。いくつかの実施形態では、適用可能な場合には、個別のストーム制御情報が、Ｌ２ ＶＮＩＣのために生成される。この個別のストーム制御情報は、Ｌ２ ＶＮＩＣをホストするＮＶＤに送信される。

図１７は、いくつかの実施形態による、収集されたメトリックに基づいてストーム制御ポリシーを更新するためのプロセス１７００を示すフローチャートである。いくつかの実施形態では、プロセス１７００は、ＮＶＤに以前に送信されたストーム制御情報を更新するために制御プレーンによって実行され得る。

プロセス１７００はブロック１７０２で始まり、制御プレーンは、収集するメトリック／統計のタイプをＮＶＤのセットに示す。いくつかの実施形態では、ＮＶＤはＬ２ ＶＮＩＣをホストする。メトリック／統計のタイプは、Ｌ２ ＶＮＩＣの着信トラフィックフローおよび／または発信トラフィックフローに関連し得る（例えば、着信および／または発信フローのＦＰＳ、ＢＰＳ、違反数、違反率、違反の時間長の持続性など）。このＬ２ ＶＮＩＣは、顧客がメトリック／統計監視について顧客の入力において識別したポートに対応することができる。メトリック／統計のタイプは、顧客によって入力において指定され得る。追加または代替として、制御プレーンは、ストーム制御ポリシーおよび／またはエスカレーションポリシーに対する更新を行うことができるように、監視すべきメトリック／統計のタイプを定義することができる。メトリック／統計のタイプは、定義され、ＮＶＤに送信されるストーム制御情報に、またはＮＶＤに送信される別個の情報に、含まれ得る。

ブロック１７０４において、制御プレーンは、ＮＶＤのセットから、Ｌ２仮想ネットワーク内のトラフィックフローに関するメトリックおよび／または統計を受信する。いくつかの実施形態では、上記の情報を受信したＮＶＤは、示されたタイプごとにメトリックおよび／または統計を収集することができ、それらを制御プレーンに報告することができる。次に、制御プレーンは、そのようなメトリックおよび／または統計を複数のＮＶＤから経時的に収集することができる。

ブロック１７０６において、制御プレーンは、フロー制御情報に対する更新を判断する。いくつかの実施形態では、フロー制御情報は、複数のＬ２ ＶＮＩＣに適用されるグローバルフロー制御情報である。この場合、更新は、複数のＬ２ ＶＮＩＣに関連するメトリックおよび／または統計値に応じて、関連するＮＶＤに対する制御パラメータ（たとえば、制限、乗数）またはアクション（例えば、ドロップする代わりに、リンクダウンを実行する）を変更することであり得る。他の実施形態では、フロー制御情報は、特定のＬ２ ＶＮＩＣに適用される個別のフロー制御情報である。この場合、更新は、そのＬ２ ＶＮＩＣもしくは複数のＬ２ ＶＮＩＣに固有のメトリックおよび／または統計に応じて、Ｌ２ ＶＮＩＣをホストするＮＶＤについて制御パラメータ（たとえば、制限、乗数）またはアクション（例えば、ドロップする代わりに、リンクダウンを実行する）を変更することであり得る。

ブロック１７０８において、制御プレーンは、更新を受信するＮＶＤのセットを判断する。いくつかの実施形態では、更新はグローバルストーム制御情報に対するものである。この場合、この情報を受信したＮＶＤが識別される。いくつかの実施形態では、更新は、ＮＶＤ上でホストされるあるＬ２ ＶＮＩＣの個別のストーム制御情報に対するものである。この場合、このＮＶＤが識別される。

ブロック１７１０において、制御プレーンは、更新または更新されたストーム制御情報をＮＶＤのセットに送信する。いくつかの実施形態では、プッシュ機構が使用される。

図１８は、いくつかの実施形態による、ストーム制御情報を更新するためのプロセス１８００を示すフローチャートである。いくつかの実施形態では、プロセス１８００は、制御プレーンと通信しており、計算インスタンスとペアとして関連付けられるＬ２ ＶＮＩＣおよびＬ２仮想スイッチを実行するＮＶＤによって実行され得る。Ｌ２ ＶＮＩＣ、Ｌ２仮想スイッチ、および計算インスタンスは、顧客のＬ２仮想ネットワークに属することができる。

プロセス１８００は、ブロック１８０２で開始し、ＮＶＤは、Ｌ２ ＶＮＩＣおよびＬ２仮想スイッチをホストし、Ｌ２ ＶＮＩＣに関連付けられるストーム制御情報を受信し、記憶する。いくつかの実施形態では、このストーム制御情報は、Ｌ２ ＶＮＩＣのために定義された個別のストーム制御情報であり、制御プレーンから受信される。いくつかの実施形態では、このストーム制御情報は、複数のＮＶＤによってホストされる複数のＬ２ ＶＮＩＣのために定義されたグローバルストーム制御情報であり、制御プレーンによって複数のＮＶＤに送信される。

ブロック１８０４において、ＮＶＤは、Ｌ２ ＶＮＩＣへのトラフィックフローおよび／またはＬ２ ＶＮＩＣからのトラフィックフローを監視する。いくつかの実施形態では、監視は、Ｌ２ ＶＮＩＣへの着信トラフィックに対してであり、ストーム制御情報によって示されるストーム制御ポリシーおよび／またはエスカレーションポリシーに基づいて実行される。例えば、ストーム制御情報は、Ｌ２ ＶＮＩＣに対する着信フレームのＦＰＳおよび／または着信ビットのＢＰＳに対する制限を示す。したがって、Ｌ２ ＶＮＩＣへのトラフィックのＦＰＳおよび／またはＢＰＳは、経時的に監視される。他の実施形態では、監視は、Ｌ２ ＶＮＩＣからの発信トラフィックに対してであり、Ｌ２ ＶＮＩＣまたは別のＬ２ ＶＮＩＣに対して定義されたストーム制御情報によって示されるストーム制御ポリシーおよび／またはエスカレーションポリシーに基づいて実行される。例えば、ストーム制御情報は、Ｌ２ ＶＮＩＣに対する発信フレームのＦＰＳおよび／または発信ビットのＢＰＳに対する制限を示す。したがって、Ｌ２ ＶＮＩＣからのトラフィックのＦＰＳおよび／またはＢＰＳは、経時的に監視される。

ブロック１８０６において、ＮＶＤは、ストーム制御ポリシー違反が検出されたかどうかを判断する。いくつかの実施形態では、ストーム制御情報は、トラフィックフロー条件を指定したストーム制御ポリシーを示す。監視されるトラフィックフローは、トラフィックフロー条件と比較されて、違反が生じているか否かが判断される。たとえば、ＦＰＳ／ＢＰＳ制限がストーム制御ポリシーによって定義され、監視されるＦＰＳ／ＢＰＳがこの制限（たとえば、最大伝送レート）を超える場合、違反が検出される。ストーム制御ポリシー違反が検出された場合、ブロック１８１０がブロック１８０６に続く。そうでない場合、ブロック１８２０がブロック１８０６に続く。

ブロック１８１０において、ＮＶＤは、違反のタイプを判断する。いくつかの実施形態では、ストーム制御ポリシーは、ある持続時間を示す。違反の時間長がその持続時間を超える場合、許容できない持続的違反が検出される。そうでない場合、違反は非持続的であると判断される。他の実施形態では、ストーム制御ポリシーは違反率（例えば、単位時間内の違反の数）を示す。単位時間当たりの違反の検出数が違反率を超える場合、許容できない頻繁な違反が検出される。そうでなければ、違反はまれであると判断される。

ブロック１８１２において、ＮＶＤは、違反のタイプに基づいてアクションを開始する。いくつかの実施形態では、ストーム制御ポリシーは、違反が持続的でないおよび／またはまれであるときに実行されるべきアクションを示す。そうでない場合、ストーム制御ポリシーは、アクション（例えば、違反が持続的および／または頻繁であるときに実行されるときのエスカレートしたアクション）を示すエスカレーションポリシーを指す。ＮＶＤは、アクションを実行する（例えば、フレームをドロップする、Ｌ２ ＶＮＩＣをリンクダウンするなど）。

ブロック１８２０において、ＮＶＤは、Ｌ２ ＶＮＩＣから、および／またはＬ２ ＶＮＩＣに、フレームを送信する。特に、違反は検出されない。したがって、ストーム制御を適用する必要はなく、着信トラフィックおよび／または発信トラフィックは変更されない。

ブロック１８２２において、ＮＶＤは、メトリックおよび／または統計を収集し、制御プレーンに送信する。メトリックおよび／または統計のタイプは、ここで上記で説明したように、制御プレーンによってＮＶＤに事前に示され得る。ＮＶＤは、収集されたメトリックおよび／または統計をプッシュまたはプル機構で報告することができる。

Ｃ．例示的なサービスとしてのインフラストラクチャのアーキテクチャ
上述したように、ＩａａＳ（Infrastructure as a Service）は、１つの特定の種類のクラウドコンピューティングである。ＩａａＳは、パブリックネットワーク（例えば、インターネット）を介して仮想化計算リソースを提供するように構成されてもよい。ＩａａＳモデルにおいて、クラウドコンピューティングプロバイダは、インフラストラクチャ要素（例えば、サーバ、記憶装置、ネットワークノード（例えば、ハードウェア）、展開ソフトウェア、プラットフォーム仮想化（例えば、ハイパーバイザ層）など）をホストすることができる。場合によっては、ＩａａＳプロバイダは、インフラストラクチャ要素に付随する様々なサービス（例えば、課金、監視、ロギング、セキュリティ、負荷分散およびクラスタリングなど）を提供することができる。したがって、これらのサービスがポリシー駆動型であり得るため、ＩａａＳユーザは、アプリケーションの可用性および性能を維持するために、負荷分散を駆動するためのポリシーを実装することができる。

いくつかの例において、ＩａａＳ顧客は、インターネットなどの広域ネットワーク（ＷＡＮ）を介してリソースおよびサービスにアクセスすることができ、クラウドプロバイダのサービスを使用してアプリケーションスタックの残りの要素をインストールすることができる。例えば、ユーザは、ＩａａＳプラットフォームにログインして、仮想マシン（ＶＭ）を作成し、各ＶＭにオペレーティングシステム（ＯＳ）をインストールし、データベースなどのミドルウェアを展開し、ワークロードおよびバックアップの記憶バケットを作成し、ＶＭに企業ソフトウェアをインストールすることができる。顧客は、プロバイダのサービスを使用して、ネットワークトラフィックのバランシング、アプリケーションのトラブルシューティング、パフォーマンスの監視、災害復旧の管理などを含む様々な機能を実行することができる。

殆どの場合、クラウドコンピューティングモデルは、クラウドプロバイダの参加を必要とする。クラウドプロバイダは、ＩａａＳの提供（例えば、オファー、レンタル、販売）に特化した第３者サービスであってもよいが、その必要はない。また、企業は、プライベートクラウドを配置し、インフラストラクチャサービスを提供するプロバイダになることもできる。

いくつかの例において、ＩａａＳの配置は、用意したアプリケーションサーバなどに新しいアプリケーションまたは新しいバージョンのアプリケーションを配置するプロセスである。ＩａａＳの配置は、サーバを用意する（例えば、ライブラリ、デーモンなどをインストールする）プロセスを含んでもよい。ＩａａＳの配置は、多くの場合、クラウドプロバイダによって、ハイパーバイザ層（例えば、サーバ、記憶装置、ネットワークハードウエア、および仮想化）の下で管理される。したがって、顧客は、ＯＳ、ミドルウェア、および／またはアプリケーションの展開（例えば、セルフサービス仮想マシン（例えば、オンデマンドでスピンアップできるもの）などを行うことができる。

いくつかの例において、ＩａａＳのプロビジョニングは、使用されるコンピュータまたは仮想ホストを取得すること、およびコンピュータまたは仮想ホスト上に必要なライブラリまたはサービスをインストールすることを含んでもよい。殆どの場合、配置は、プロビジョニングを含まず、まずプロビジョニングを実行する必要がある。

場合によっては、ＩａａＳのプロビジョニングには２つの異なる課題がある。第１に、何かを実行する前に、インフラストラクチャの初期セットをプロビジョニングするという課題がある。第２に、全てのものをプロビジョニングした後に、既存のインフラストラクチャを進化させる（例えば、新しいサービスの追加、サービスの変更、サービスの削除）という課題がある。場合によっては、インフラストラクチャの構成を宣言的に定義することを可能にすることによって、これらの２つの課題に対処することができる。言い換えれば、インフラストラクチャ（例えば、どの要素が必要とされるか、およびこれらの要素がどのように相互作用するか）は、１つ以上の構成ファイルによって定義されてもよい。したがって、インフラストラクチャの全体的なトポロジ（例えば、どのリソースがどれに依存し、どのように連携するか）は、宣言的に記述することができる。いくつかの例において、トポロジが定義されると、構成ファイルに記述された異なる要素を作成および／または管理するためのワークフローを生成することができる。

いくつかの例において、インフラストラクチャは、多くの相互接続された要素を含むことができる。例えば、コアネットワークとしても知られている１つ以上の仮想プライベートクラウド（ＶＰＣ）（例えば、構成可能な計算リソースおよび／または共有されている計算リソースの潜在的なオンデマンドプール）が存在してもよい。いくつかの例において、ネットワークのセキュリティがどのように設定されるかを定義するためにプロビジョニングされる１つ以上のセキュリティグループルールと、１つ以上の仮想マシン（ＶＭ）とが存在する可能性がある。ロードバランサ、データベースなどの他のインフラストラクチャ要素もプロビジョニングされてもよい。ますます多くのインフラストラクチャ要素が望まれるおよび／または追加されるにつれて、インフラストラクチャは、漸進的に進化することができる。

いくつかの例において、様々な仮想コンピューティング環境にわたってインフラストラクチャコードの展開を可能にするために、連続展開技法を採用してもよい。また、記載された技法は、これらの環境内のインフラストラクチャ管理を可能にすることができる。いくつかの例において、サービスチームは、１つ以上の、通常多くの異なる生産環境（例えば、時には全世界に及ぶ種々の異なる地理的場所にわたって）に展開されることが望まれるコードを書き込むことができる。しかしながら、いくつかの例において、コードを展開するためのインフラストラクチャを最初に設定しなければならない。いくつかの例において、プロビジョニングは、手動で行うことができ、プロビジョニングツールを用いてリソースをプロビジョニングすることができ、および／またはインフラストラクチャをプロビジョニングした後に、展開ツールを用いてコードを展開することができる。

図１９は、少なくとも１つの実施形態に従って、ＩａａＳアーキテクチャの例示的なパターンを示すブロック図１９００である。サービスオペレータ１９０２は、仮想クラウドネットワーク（ＶＣＮ）１９０６およびセキュアホストサブネット１９０８を含み得るセキュアホストテナンシ１９０４に通信可能に結合されてもよい。いくつかの例において、サービスオペレータ１９０２は、１つ以上のクライアントコンピューティング装置を使用することができる。１つ以上のクライアントコンピューティング装置は、例えば、Microsoft Windows Mobile（登録商標）のようなソフトウェア、および／またはｉＯＳ、Windowsフォン、アンドロイド（登録商標）、ブラックベリー８およびパームＯＳなどのさまざまなモバイルオペレーティングシステムを実行することができ、インターネット、電子メール、ショートメッセージサービス（ＳＭＳ）、ブラックベリー（登録商標）または他の通信プロトコルが有効化された手持ち式携帯装置（例えば、iPhone（登録商標）、携帯電話、Ipad（登録商標）、タブレット、携帯情報端末（ＰＤＡ）またはウェアラブル装置（Google（登録商標）Glass（登録商標）ヘッドマウントディスプレイ）であってもよい。クライアントコンピューティング装置は、例示として、Microsoft Windows（登録商標）オペレーティングシステム、Apple Macintosh（登録商標）オペレーティングシステムおよび／またはLinux（登録商標）オペレーティングシステムのさまざまなバージョンを実行するパーソナルコンピュータおよび／またはラップトップコンピュータを含む汎用のパーソナルコンピュータであってもよい。代替的には、クライアントコンピューティング装置は、例えば、さまざまなGNU/Linuxオペレーティングシステム、例えば、Google Chrome（登録商標）ＯＳを含むがこれに限定されない市販のUNIX（登録商標）またはUNIXに類似するさまざまなオペレーティングシステムを実行するワークステーションコンピュータであってもよい。代替的にまたは追加的には、クライアントコンピューティング装置は、ＶＣＮ１９０６および／またはインターネットにアクセスできるネットワークを介して通信可能な他の電子機器、例えば、シンクライアントコンピュータ、インターネット対応のゲームシステム（例えば、Kinect（登録商標）ジェスチャ入力装置を備えるまたは備えないMicrosoft Xbox（登録商標）ゲームコンソール）、および／またはパーソナルメッセージング装置であってもよい。

ＶＣＮ１９０６は、ＳＳＨ ＶＣＮ１９１２に含まれるＬＰＧ１９１０を介して、セキュアシェル（ＳＳＨ）ＶＣＮ１９１２に通信可能に結合できるローカルピアリングゲートウェイ（ＬＰＧ）１９１０を含むことができる。ＳＳＨ ＶＣＮ１９１２は、ＳＳＨサブネット１９１４を含むことができ、ＳＳＨ ＶＣＮ１９１２は、制御プレーンＶＣＮ１９１６に含まれるＬＰＧ１９１０を介して、制御プレーンＶＣＮ１９１６に通信可能に結合されることができる。また、ＳＳＨ ＶＣＮ１９１２は、ＬＰＧ１９１０を介して、データプレーンＶＣＮ１９１８に通信可能に結合されることができる。制御プレーンＶＣＮ１９１６およびデータプレーンＶＣＮ１９１８は、ＩａａＳプロバイダによって所有および／または運営され得るサービステナンシ１９１９に含まれてもよい。

制御プレーンＶＣＮ１９１６は、境界ネットワーク（例えば、企業イントラネットと外部ネットワークとの間の企業ネットワークの部分）として機能する制御プレーンＤＭＺ（demilitarized zone）層１９２０を含むことができる。ＤＭＺベースのサーバは、特定の信頼性を有し、セキュリティ侵害を封じ込めることができる。さらに、ＤＭＺ層１９２０は、１つ以上のロードバランサ（ＬＢ）サブネット１９２２と、アプリサブネット１９２６を含むことができる制御プレーンアプリ層１９２４と、データベース（ＤＢ）サブネット１９３０（例えば、フロントエンドＤＢサブネットおよび／またはバックエンドＤＢサブネット）を含むことができる制御プレーンデータ層１９２８とを含むことができる。制御プレーンＤＭＺ層１９２０に含まれたＬＢサブネット１９２２は、制御プレーンアプリ層１９２４に含まれるアプリサブネット１９２６と制御プレーンＶＣＮ１９１６に含まれ得るインターネットゲートウェイ１９３４とに通信可能に結合されてもよく、アプリサブリ１９２６は、制御プレーンデータ層１９２８に含まれるＤＢサブネット１９３０と、サービスゲートウェイ１９３６と、ネットワークアドレス変換（ＮＡＴ）ゲートウェイ１９３８とに通信可能に結合されてもよい。制御プレーンＶＣＮ１９１６は、サービスゲートウェイ１９３６およびＮＡＴゲートウェイ１９３８を含むことができる。

制御プレーンＶＣＮ１９１６は、データプレーンミラーアプリ層１９４０を含むことができ、データプレーンミラーアプリ層１９４０は、アプリサブネット１９２６を含むことができる。データプレーンミラーアプリ層１９４０に含まれたアプリサブネット１９２６は、計算インスタンス１９４４を実行することができる仮想ネットワークインターフェイスコントローラ（ＶＮＩＣ）１９４２を含むことができる。計算インスタンス１９４４は、データプレーンミラーアプリ層１９４０のアプリサブネット１９２６を、データプレーンアプリ層１９４６に含まれ得るアプリサブネット１９２６に通信可能に結合することができる。

データプレーンＶＣＮ１９１８は、データプレーンアプリ層１９４６と、データプレーンＤＭＺ層１９４８と、データプレーンデータ層１９５０とを含むことができる。データプレーンＤＭＺ層１９４８は、データプレーンアプリ層１９４６のアプリサブネット１９２６およびデータプレーンＶＣＮ１９１８のインターネットゲートウェイ１９３４に通信可能に結合され得るＬＢサブネット１９２２を含むことができる。アプリサブネット１９２６は、データプレーンＶＣＮ１９１８のサービスゲートウェイ１９３６およびデータプレーンＶＣＮ１９１８のＮＡＴゲートウェイ１９３８に通信可能に結合されてもよい。また、データプレーンデータ層１９５０は、データプレーンアプリ層１９４６のアプリサブネット１９２６に通信可能に結合され得るＤＢサブネット１９３０を含むことができる。

制御プレーンＶＣＮ１９１６のインターネットゲートウェイ１９３４およびデータプレーンＶＣＮ１９１８のインターネットゲートウェイ１９３４は、パブリックインターネット１９５４に通信可能に結合され得るメタデータ管理サービス１９５２に通信可能に結合されてもよい。パブリックインターネット１９５４は、制御プレーンＶＣＮ１９１６のＮＡＴゲートウェイ１９３８およびデータプレーンＶＣＮ１９１８のＮＡＴゲートウェイ１９３８に通信可能に結合されてもよい。制御プレーンＶＣＮ１９１６のサービスゲートウェイ１９３６およびデータプレーンＶＣＮ１９１８のサービスゲートウェイ１９３６は、クラウドサービス１９５６に通信可能に結合されてもよい。

いくつかの例において、制御プレーンＶＣＮ１９１６またはデータプレーンＶＣＮ１９１８のサービスゲートウェイ１９３６は、パブリックインターネット１９５４を経由することなく、クラウドサービス１９５６へのアプリケーションプログラミングインターフェイス（ＡＰＩ）呼び出しを行うことができる。サービスゲートウェイ１９３６からのクラウドサービス１９５６へのＡＰＩ呼び出しは、一方向であり得る。サービスゲートウェイ１９３６は、クラウドサービス１９５６へのＡＰＩ呼び出しを行うことができ、クラウドサービス１９５６は、要求データをサービスゲートウェイ１９３６に送信することができる。しかしながら、クラウドサービス１９５６は、サービスゲートウェイ１９３６へのＡＰＩ呼び出しを開始しないことがある。

いくつかの例において、セキュアホストテナンシ１９０４は、孤立であり得るサービステナンシ１９１９に直接に接続されてもよい。セキュアホストサブネット１９０８は、孤立のシステムとの双方向通信を可能にするＬＰＧ１９１０を介して、ＳＳＨサブネット１９１４と通信することができる。セキュアホストサブネット１９０８をＳＳＨサブネット１９１４に接続することによって、セキュアホストサブネット１９０８は、サービステナンシ１９１９内の他のエンティティにアクセスすることができる。

制御プレーンＶＣＮ１９１６は、サービステナンシ１９１９のユーザが所望のリソースを設定またはプロビジョニングすることを可能にする。制御プレーンＶＣＮ１９１６においてプロビジョニングされた所望のリソースは、データプレーンＶＣＮ１９１８において展開または使用されてもよい。いくつかの例において、制御プレーンＶＣＮ１９１６は、データプレーンＶＣＮ１９１８から隔離されてもよく、制御プレーンＶＣＮ１９１６のデータプレーンミラーアプリ層１９４０は、データプレーンミラーアプリ層１９４０およびデータプレーンアプリ層１９４６に含まれ得るＶＮＩＣ１９４２を介して、データプレーンＶＣＮ１９１８のデータプレーンアプリ層１９４６と通信することができる。

いくつかの例において、システムのユーザまたは顧客は、要求をメタデータ管理サービス１９５２に通信することができるパブリックインターネット１９５４を介して、例えば、作成、読み取り、更新、または削除（ＣＲＵＤ）操作などの要求を行うことができる。メタデータ管理サービス１９５２は、インターネットゲートウェイ１９３４を介して、要求を制御プレーンＶＣＮ１９１６に通信することができる。要求は、制御プレーンＤＭＺ層１９２０に含まれるＬＢサブネット１９２２によって受信されてもよい。ＬＢサブネット１９２２は、要求が有効であると判断することができ、この判断に応答して、ＬＢサブネット１９２２は、要求を制御プレーンアプリ層１９２４に含まれるアプリサブネット１９２６に送信することができる。要求が検証され、パブリックインターネット１９５４への呼び出しを必要とする場合、パブリックインターネット１９５４への呼び出しを、パブリックインターネット１９５４への呼び出しを行うことができるＮＡＴゲートウェイ１９３８に送信することができる。要求を記憶するためのメモリは、ＤＢサブネット１９３０に格納されてもよい。

いくつかの例において、データプレーンミラーアプリ層１９４０は、制御プレーンＶＣＮ１９１６とデータプレーンＶＣＮ１９１８との間の直接通信を容易にすることができる。例えば、構成に対する変更、更新、または他の適切な修正は、データプレーンＶＣＮ１９１８に含まれるリソースに適用されることが望ましい場合がある。制御プレーンＶＣＮ１９１６は、ＶＮＩＣ１９４２を介してデータプレーンＶＣＮ１９１８に含まれるリソースと直接に通信することができるため、構成に対する変更、更新、または他の適切な修正を実行することができる。

いくつかの実施形態において、制御プレーンＶＣＮ１９１６およびデータプレーンＶＣＮ１９１８は、サービステナンシ１９１９に含まれてもよい。この場合、システムのユーザまたは顧客は、制御プレーンＶＣＮ１９１６またはデータプレーンＶＣＮ１９１８のいずれかを所有または操作しなくてもよい。代わりに、ＩａａＳプロバイダは、制御プレーンＶＣＮ１９１６およびデータプレーンＶＣＮ１９１８を所有または操作してもよく、これらの両方は、サービステナンシ１９１９に含まれてもよい。この実施形態は、ネットワークの隔離を可能にすることによって、ユーザまたは顧客が他のユーザのリソースまたは他の顧客のリソースと対話することを防止できる。また、この実施形態は、システムのユーザまたは顧客が、記憶するための所望のレベルのセキュリティを有しない可能性のあるパブリックインターネット１９５４に依存する必要なく、データベースをプライベートに記憶することを可能にすることができる。

他の実施形態において、制御プレーンＶＣＮ１９１６に含まれるＬＢサブネット１９２２は、サービスゲートウェイ１９３６から信号を受信するように構成されてもよい。この実施形態において、制御プレーンＶＣＮ１９１６およびデータプレーンＶＣＮ１９１８は、パブリックインターネット１９５４を呼び出すことなく、ＩａａＳプロバイダの顧客によって呼び出されるように構成されてもよい。顧客が使用するデータベースは、ＩａａＳプロバイダによって制御され、パブリックインターネット１９５４から隔離され得るサービステナンシ１９１９に格納され得るため、ＩａａＳプロバイダの顧客は、この実施形態を望む場合がある。

図２０は、少なくとも１つの実施形態に従って、ＩａａＳアーキテクチャの別の例示的なパラメータを示すブロック図２０００である。サービスオペレータ２００２（例えば、図１９のサービスオペレータ１９０２）は、仮想クラウドネットワーク（ＶＣＮ）２００６（例えば、図１９のＶＣＮ１９０６）およびセキュアホストサブネット２００８（例えば、図１９のセキュアホストサブネット１９０８）を含み得るセキュアホストテナンシ２００４（例えば、図１９のセキュアホストテナンシ１９０４）に通信可能に結合されてもよい。ＶＣＮ２００６は、ＳＳＨ ＶＣＮ２０１２に含まれるＬＰＧ１９１０を介してセキュアシェル（ＳＳＨ）ＶＣＮ２０１２（例えば、図１９のＳＳＨ ＶＣＮ１９１２）に通信可能に結合され得るローカルピアリングゲートウェイ（ＬＰＧ）２０１０（例えば、図１９のＬＰＧ１９１０）を含むことができる。ＳＳＨ ＶＣＮ２０１２は、ＳＳＨサブネット２０１４（例えば、図１９のＳＳＨサブネット１９１４）を含むことができ、ＳＳＨ ＶＣＮ２０１２は、制御プレーンＶＣＮ２０１６に含まれるＬＰＧ２０１０を介して制御プレーンＶＣＮ２０１６（例えば、図１９の制御プレーンＶＣＮ１９１６）に通信可能に結合することができる。制御プレーンＶＣＮ２０１６は、サービステナンシ２０１９（例えば、図１９のサービステナンシ１９１９）に含まれてもよく、データプレーンＶＣＮ２０１８（例えば、図１９のデータプレーンＶＣＮ１９１８）は、システムのユーザまたは顧客によって所有または運営され得る顧客テナンシ２０２１に含まれてもよい。

制御プレーンＶＣＮ２０１６は、ＬＢサブネット２０２２（例えば、図１９のＬＢサブネット１９２２）を含むことができる制御プレーンＤＭＺティア２０２０（例えば、図１９の制御プレーンＤＭＺ層１９２０）と、アプリサブネット２０２６（例えば、図１９のアプリサブネット１９２６）を含むことができる制御プレーンアプリ層２０２４（例えば、図１９の制御プレーンアプリ層１９２４）と、データベース（ＤＢ）サブネット２０３０（例えば、図１９のＤＢサブネット１９３０と同様）を含むことができる制御プレーンデータティア２０２８（例えば、図１９の制御プレーンデータ層１９２８）とを含むことができる。制御プレーンＤＭＺ層２０２０に含まれるＬＢサブネット２０２２は、制御プレーンアプリ層２０２４に含まれるアプリサブネット２０２６と、制御プレーンＶＣＮ２０１６に含まれ得るインターネットゲートウェイ２０３４（例えば、図１９のインターネットゲートウェイ１９３４）とに通信可能に結合されてもよい。アプリサブネット２０２６は、制御プレーンデータ層２０２８に含まれるＤＢサブネット２０３０、サービスゲートウェイ２０３６（例えば、図１９のサービスゲートウェイ）およびネットワークアドレス変換（ＮＡＴ）ゲートウェイ２０３８（例えば、図１９のＮＡＴゲートウェイ１９３８）に通信可能に結合されてもよい。制御プレーンＶＣＮ２０１６は、サービスゲートウェイ２０３６およびＮＡＴゲートウェイ２０３８を含むことができる。

制御プレーンＶＣＮ２０１６は、アプリサブネット２０２６を含むことができるデータプレーンミラーアプリ層２０４０（例えば、図１９のデータプレーンミラーアプリ層１９４０）を含むことができる。データプレーンミラーアプリ層２０４０に含まれるアプリサブネット２０２６は、（例えば、図１９の計算インスタンス１９４４と同様の）計算インスタンス２０４４を実行することができる仮想ネットワークインターフェイスコントローラ（ＶＮＩＣ）２０４２（例えば、ＶＮＩＣ１９４２）を含むことができる。計算インスタンス２０４４は、データプレーンミラーアプリ層２０４０に含まれるＶＮＩＣ２０４２およびデータプレーンアプリ層２０４６に含まれるＶＮＩＣ２０４２を介して、データプレーンミラーアプリ層２０４０のアプリサブネット２０２６と、データプレーンアプリ層２０４６（例えば、図１９のデータプレーンアプリ層１９４６）に含まれ得るアプリサブネット２０２６との間の通信を促進することができる。

制御プレーンＶＣＮ２０１６に含まれるインターネットゲートウェイ２０３４は、パブリックインターネット２０５４（例えば、図１９のパブリックインターネット１９５４）に通信可能に結合され得るメタデータ管理サービス２０５２（例えば、図１９のメタデータ管理サービス１９５２）に通信可能に結合されてもよい。パブリックインターネット２０５４は、制御プレーンＶＣＮ２０１６に含まれるＮＡＴゲートウェイ２０３８に通信可能に結合されてもよい。制御プレーンＶＣＮ２０１６に含まれるサービスゲートウェイ２０３６は、クラウドサービス２０５６（例えば、図１９のクラウドサービス１９５６）に通信可能に結合されてもよい。

いくつかの例において、データプレーンＶＣＮ２０１８は、顧客テナンシ２０２１に含まれてもよい。この場合、ＩａａＳプロバイダは、顧客ごとに制御プレーンＶＣＮ２０１６を提供することができ、ＩａａＳプロバイダは、顧客ごとに、サービステナンシ２０１９に含まれる固有の計算インスタンス２０４４を構成することができる。各計算インスタンス２０４４は、サービステナンシ２０１９に含まれる制御プレーンＶＣＮ２０１６と、顧客テナンシ２０２１に含まれるデータプレーンＶＣＮ２０１８との間の通信を許可することができる。計算インスタンス２０４４は、サービステナンシ２０１９に含まれる制御プレーンＶＣＮ２０１６においてプロビジョニングされるリソースを、顧客テナンシ２０２１に含まれるデータプレーンＶＣＮ２０１８に展開することまたは使用することを許可することができる。

他の例において、ＩａａＳプロバイダの顧客は、顧客テナンシ２０２１に存在するデータベースを有することができる。この例において、制御プレーンＶＣＮ２０１６は、アプリサブネット２０２６を含むことができるデータプレーンマイナーアプリ層２０４０を含むことができる。データプレーンミラーアプリ層２０４０は、データプレーンＶＣＮ２０１８に存在してもよいが、データプレーンミラーアプリ層２０４０は、データプレーンＶＣＮ２０１８に存在しなくてもよい。すなわち、データプレーンミラーアプリ層２０４０は、顧客テナンシ２０２１にアクセスすることができるが、データプレーンミラーアプリ層２０４０は、データプレーンＶＣＮ２０１８に存在しなくてもよく、ＩａａＳプロバイダの顧客によって所有または運営されなくてもよい。データプレーンミラーアプリ層２０４０は、データプレーンＶＣＮ２０１８への呼び出しを行うように構成されてもよいが、制御プレーンＶＣＮ２０１６に含まれる任意のエンティティへの呼び出しを行うように構成されなくてもよい。顧客は、制御プレーンＶＣＮ２０１６にプロビジョニングされたデータプレーンＶＣＮ２０１８内のリソースを展開することまたは使用することを望むことができ、データプレーンミラーアプリケーション階層２０４０は、顧客のリソースの所望の展開または他の使用を促進することができる。

いくつかの実施形態において、ＩａａＳプロバイダの顧客は、フィルタをデータプレーンＶＣＮ２０１８に適用することができる。この実施形態において、顧客は、データプレーンＶＣＮ２０１８がアクセスできるものを決定することができ、顧客は、データプレーンＶＣＮ２０１８からのパブリックインターネット２０５４へのアクセスを制限することができる。ＩａａＳプロバイダは、データプレーンＶＣＮ２０１８から任意の外部ネットワークまたはデータベースへのアクセスにフィルタを適用するまたは制御することができない場合がある。顧客が顧客テナンシ２０２１に含まれるデータプレーンＶＣＮ２０１８にフィルタおよび制御を適用することは、データプレーンＶＣＮ２０１８を他の顧客およびパブリックインターネット２０５４から隔離することを支援することができる。

いくつかの実施形態において、クラウドサービス２０５６は、サービスゲートウェイ２０３６によって呼び出されて、パブリックインターネット２０５４上に、制御プレーンＶＣＮ２０１６上に、またはデータプレーンＶＣＮ２０１８上に存在していない可能性があるサービスにアクセスすることができる。クラウドサービス２０５６と制御プレーンＶＣＮ２０１６またはデータプレーンＶＣＮ２０１８との間の接続は、ライブまたは連続的でなくてもよい。クラウドサービス２０５６は、ＩａａＳプロバイダによって所有または運営されている別のネットワーク上に存在してもよい。クラウドサービス２０５６は、サービスゲートウェイ２０３６から呼び出しを受信するように構成されてもよく、パブリックインターネット２０５４から呼び出しを受信しないように構成されてもよい。いくつかのクラウドサービス２０５６は、他のクラウドサービス２０５６から隔離されてもよく、制御プレーンＶＣＮ２０１６は、制御プレーンＶＣＮ２０１６と同じ地域に配置していない可能性があるクラウドサービス２０５６から隔離されてもよい。例えば、制御プレーンＶＣＮ２０１６は、「地域１」に配置されてもよく、クラウドサービス「展開１９」は、「地域１」および「地域２」に配置されてもよい。展開１９への呼び出しが地域１に配置された制御プレーンＶＣＮ２０１６に含まれるサービスゲートウェイ２０３６によって行われる場合、この呼び出しは、地域１内の展開１９に送信されてもよい。この例において、制御プレーンＶＣＮ２０１６または地域１の展開１９は、地域２の展開１９と通信可能に結合されなくてもよい。

図２１は、少なくとも１つの実施形態に従って、ＩａａＳアーキテクチャの別の例示的なパターンを示すブロック図２１００である。サービスオペレータ２１０２（例えば、図１９のサービスオペレータ１９０２）は、仮想クラウドネットワーク（ＶＣＮ）２１０６（例えば、図１９のＶＣＮ１９０６）およびセキュアホストサブネット２１０８（例えば、図１９のセキュアホストサブネット１９０８）を含み得るセキュアホストテナンシ２１０４（例えば、図１９のセキュアホストテナンシ１９０４）に通信可能に結合されてもよい。ＶＣＮ２１０６は、ＳＳＨ ＶＣＮ２１１２に含まれるＬＰＧ２１１０を介してＳＳＨ ＶＣＮ２１１２（例えば、図１９のＳＳＨ ＶＣＮ１９１２）に通信可能に結合され得るＬＰＧ２１１０（例えば、図１９のＬＰＧ１９１０）を含むことができる。ＳＳＨ ＶＣＮ２１１２は、ＳＳＨサブネット２１１４（例えば、図１９のＳＳＨサブネット１９１４）を含むことができ、ＳＳＨ ＶＣＮ２１１２は、制御プレーンＶＣＮ２１１６に含まれるＬＰＧ２１１０を介して制御プレーンＶＣＮ２１１６（例えば、図１９の制御プレーンＶＣＮ１９１６）に通信可能に結合されてもよく、データプレーンＶＣＮ２１１８に含まれるＬＰＧ２１１０を介してデータプレーンＶＣＮ２１１８（例えば、図１９のデータプレーン１９１８）に通信可能に結合されてもよい。制御プレーンＶＣＮ２１１６およびデータプレーンＶＣＮ２１１８は、サービステナンシ２１１９（例えば、図１９のサービステナント１９１９）に含まれてもよい。

制御プレーンＶＣＮ２１１６は、ロードバランサ（ＬＢ）サブネット２１２２（例えば、図１９のＬＢサブネット１９２２）を含むことができる制御プレーンＤＭＺ層２１２０（例えば、図１９の制御プレーンＤＭＺ層１９２０）と、アプリサブネット２１２６（例えば、図１９のアプリサブネット１９２６と同様）を含むことができる制御プレーンアプリ層２１２４（例えば、図１９の制御プレーンアプリ層１９２４）と、ＤＢサブネット２１３０を含むことができる制御プレーンデータ層２１２８（例えば、図１９の制御プレーンデータ層１９２８）とを含むことができる。制御プレーンＤＭＺ層２１２０に含まれるＬＢサブネット２１２２は、制御プレーンアプリ層２１２４に含まれるアプリサブネット２１２６と、制御プレーンＶＣＮ２１１６に含まれ得るインターネットゲートウェイ２１３４（例えば、図１９のインターネットゲートウェイ１９３４）とに通信可能に結合されてもよい。アプリサブネット２１２６は、制御プレーンデータ層２１２８に含まれるＤＢサブネット２１３０と、サービスゲートウェイ２１３６（例えば、図１９のサービスゲートウェイ）およびネットワークアドレス変換（ＮＡＴ）ゲートウェイ２１３８（例えば、図１９のＮＡＴゲートウェイ１９３８）とに通信可能に結合されてもよい。制御プレーンＶＣＮ２１１６は、サービスゲートウェイ２１３６およびＮＡＴゲートウェイ２１３８を含むことができる。

データプレーンＶＣＮ２１１８は、データプレーンアプリ層２１４６（例えば、図１９のデータプレーンアプリ層１９４６）と、データプレーンＤＭＺ層２１４８（例えば、図１９のデータプレーンＤＭＺ層１９４８）と、データプレーンデータ層２１５０（例えば、図１９のデータプレーンデータ階層１９５０）とを含むことができる。データプレーンＤＭＺ層２１４８は、データプレーンＶＣＮ２１１８に含まれるデータプレーンアプリ層２１４６およびインターネットゲートウェイ２１３４の信頼できるアプリサブネット２１６０および信頼できないアプリサブネット２１６２に通信可能に結合され得るＬＢサブネット２１２２を含むことができる。信頼できるアプリサブネット２１６０は、データプレーンＶＣＮ２１１８に含まれるサービスゲートウェイ２１３６、データプレーンＶＣＮ２１１８に含まれるＮＡＴゲートウェイ２１３８、およびデータプレーンデータ層２１５０に含まれるＤＢサブネット２１３０に通信可能に結合されてもよい。信頼できないアプリサブネット２１６２は、データプレーンＶＣＮ２１１８に含まれるサービスゲートウェイ２１３６、およびデータプレーンデータ層２１５０に含まれるＤＢサブネット２１３０に通信可能に結合されてもよい。データプレーンデータ層２１５０は、データプレーンＶＣＮ２１１８に含まれるサービスゲートウェイ２１３６に通信可能に結合され得るＤＢサブネット２１３０を含むことができる。

信頼できないアプリサブネット２１６２は、テナント仮想マシン（ＶＭ）２１６６（１）～（Ｎ）に通信可能に結合され得る１つ以上のプライマリＶＮＩＣ２１６４（１）～（Ｎ）を含むことができる。各テナントＶＭ２１６６（１）～（Ｎ）は、それぞれの顧客テナンシ２１７０（１）～（Ｎ）に含まれ得るそれぞれのコンテナ送信ＶＣＮ２１６８（１）～（Ｎ）に含まれ得るそれぞれのアプリサブネット２１６７（１）～（Ｎ）に通信可能に結合されてもよい。それぞれのセカンダリＶＮＩＣ２１７２（１）～（Ｎ）は、データプレーンＶＣＮ２１１８に含まれる信頼できないアプリサブネット２１６２と、コンテナ送信ＶＣＮ２１６８（１）～（Ｎ）に含まれるアプリサブネットとの間の通信を促進することができる。各コンテナ送信ＶＣＮ２１６８（１）～（Ｎ）は、パブリックインターネット２１５４（例えば、図１９のパブリックインターネット１９５４）に通信可能に結合され得るＮＡＴゲートウェイ２１３８を含むことができる。

制御プレーンＶＣＮ２１１６に含まれるインターネットゲートウェイ２１３４およびデータプレーンＶＣＮ２１１８に含まれるインターネットゲートウェイ２１３４は、パブリックインターネット２１５４に通信可能に結合され得るメタデータ管理サービス２１５２（例えば、図１９のメタデータ管理システム１９５２）に通信可能に結合されてもよい。パブリックインターネット２１５４は、制御プレーンＶＣＮ２１１６に含まれるＮＡＴゲートウェイ２１３８およびデータプレーンＶＣＮ２１１８に含まれるＮＡＴゲートウェイ２１３８に通信可能に結合されてもよい。制御プレーンＶＣＮ２１１６に含まれるサービスゲートウェイ２１３６およびデータプレーンＶＣＮ２１１８に含まれるサービスゲートウェイ２１３６は、クラウドサービス２１５６に通信可能に結合されてもよい。

いくつかの実施形態において、データプレーンＶＣＮ２１１８は、顧客テナンシ２１７０に統合されてもよい。この統合は、コードを実行するときにサポートを望む場合がある場合などのいくつかの場合において、ＩａａＳプロバイダの顧客にとって有用または望ましい場合がある。顧客は、実行すると、破壊的であり得る、他の顧客リソースと通信し得る、または望ましくない影響を引き起こし得るコードを提供することがある。従って、ＩａａＳプロバイダは、顧客がＩａａＳプロバイダに提供したコードを実行するか否かを判断することができる。

いくつかの例において、ＩａａＳプロバイダの顧客は、一時的なネットワークアクセスをＩａａＳプロバイダに許可することができ、データプレーンアプリ層２１４６に追加する機能を要求することができる。機能を実行するためのコードは、ＶＭ２１６６（１）～（Ｎ）で実行されてもよいが、データプレーンＶＣＮ２１１８上の他の場所で実行されるように構成されることができない。各ＶＭ２１６６（１）～（Ｎ）は、１つの顧客テナンシ２１７０に接続されてもよい。ＶＭ２１６６（１）～（Ｎ）に含まれるそれぞれのコンテナ２１７１（１）～（Ｎ）は、コードを実行するように構成されてもよい。この場合、二重の隔離（例えば、コンテナ２１７１（１）～（Ｎ）は、コードを実行し、コンテナ２１７１（１）～（Ｎ）は、少なくとも、信頼できないアプリサブネット２１６２に含まれるＶＭ２１６６（１）～（Ｎ）に含まれ得る）が存在してもよく、これは、誤ったコードまたは望ましくないコードがＩａａＳプロバイダのネットワークに損傷を与えること、または異なる顧客のネットワークに損傷を与えることを防止することを支援することができる。コンテナ２１７１（１）～（Ｎ）は、顧客テナンシ２１７０に通信可能に結合されてもよく、顧客テナンシ２１７０からデータを送信または受信するように構成されてもよい。コンテナ２１７１（１）～（Ｎ）は、データプレーンＶＣＮ２１１８内の任意の他のエンティティからデータを送信または受信するように構成されなくてもよい。コードの実行が完了すると、ＩａａＳ提供者は、コンテナ２１７１（Ｉ）～（Ｎ）をキルするまたは廃棄することができる。

いくつかの実施形態において、信頼できるアプリサブネット２１６０は、ＩａａＳプロバイダによって所有または運営され得るコードを実行することができる。この実施形態において、信頼できるアプリサブネット２１６０は、ＤＢサブネット２１３０に通信可能に結合され、ＤＢサブネット２１３０においてＣＲＵＤ操作を実行するように構成されてもよい。信頼できないアプリサブネット２１６２は、ＤＢサブネット２１３０に通信可能に結合され得るが、この実施形態において、信頼できないアプリサブネットは、ＤＢサブネット２１３０内で読み取り操作を実行するように構成されてもよい。各顧客のＶＭ２１６６（１）～（Ｎ）に含まれ、顧客からのコードを実行することができるコンテナ２１７１（１）～（Ｎ）は、ＤＢサブネット２１３０と通信可能に結合されなくてもよい。

他の実施形態において、制御プレーンＶＣＮ２１１６およびデータプレーンＶＣＮ２１１８は、通信可能に直接に結合されなくてもよい。この実施形態において、制御プレーンＶＣＮ２１１６とデータプレーンＶＣＮ２１１８との間に直接的な通信は、存在しないことがある。しかしながら、少なくとも１つの方法による間接的な通信は、存在してもよい。制御プレーンＶＣＮ２１１６とデータプレーンＶＣＮ２１１８との間の通信を容易にすることができるＬＰＧ２１１０が、ＩａａＳプロバイダによって確立されてもよい。別の例において、制御プレーンＶＣＮ２１１６またはデータプレーンＶＣＮ２１１８は、サービスゲートウェイ２１３６を介してクラウドサービス２１５６への呼び出しを行うことができる。例えば、制御プレーンＶＣＮ２１１６からクラウドサービス２１５６への呼び出しは、データプレーンＶＣＮ２１１８と通信することができるサービスの要求を含むことができる。

図２２は、少なくとも１つの実施形態に従って、ＩａａＳアーキテクチャの別の例示的なパラメータを示すブロック図２２００である。サービスオペレータ２２０２（例えば、図１９のサービスオペレータ１９０２）は、仮想クラウドネットワーク（ＶＣＮ）２２０６（例えば、図１９のＶＣＮ１９０６）およびセキュアホストサブネット－２２０８（例えば、図１９のセキュアホストサブネット１９０８）を含み得るセキュアホストテナンシ２２０４（例えば、図１９のセキュアホストテナンシ１９０４）に通信可能に結合されてもよい。ＶＣＮ２２０６は、ＳＳＨ ＶＣＮ２２１２に含まれるＬＰＧ２２１０を介してＳＳＨ ＶＣＮ２２１２（例えば、図１９のＳＳＨ ＶＣＮ１９１２）に通信可能に結合され得るＬＰＧ２２１０（例えば、図１９のＬＰＧ１９１０）を含むことができる。ＳＳＨ ＶＣＮ２２１２は、ＳＳＨサブネット－２２１４（例えば、図１９のＳＳＨサブネット１９１４）を含むことができ、ＳＳＨ ＶＣＮ２２１２は、制御プレーンＶＣＮ２２１６に含まれるＬＰＧ２２１０を介して制御プレーンＶＣＮ２２１６（例えば、図１９の制御プレーンＶＣＮ１９１６）に通信可能に結合されてもよく、データプレーンＶＣＮ２２１８に含まれるＬＰＧ２２１０を介してデータプレーンＶＣＮ２２１８（例えば、図１９のデータプレーン１９１８）に通信可能に結合されてもよい。制御プレーンＶＣＮ２２１６およびデータプレーンＶＣＮ２２１８は、サービステナンシ２２１９（例えば、図１９のサービステナンシ１９１９）に含まれてもよい。

制御プレーンＶＣＮ２２１６は、ＬＢサブネット２２２２（例えば、図１９のＬＢサブネット１９２２）を含み得る制御プレーンＤＭＺ層２２２０（例えば、図１９の制御プレーンＤＭＺ層１９２０）、アプリサブネット２２２６（例えば、図１９のアプリサブネット１９２６）を含み得る制御プレーンアプリ層２２２４（例えば、図１９の制御プレーンアプリ層１９２４）、ＤＢサブネット２２３０（例えば、図２１のＤＢサブネット２１３０）を含み得る制御プレーンデータティア２２２８（例えば、図１９の制御プレーンデータティア１９２８）を含むことができる。制御プレーンＤＭＺ層２２２０に含まれるＬＢサブネット２２２２は、制御プレーンアプリ層２２２４に含まれるアプリサブネット２２２６と、制御プレーンＶＣＮ２２１６に含まれ得るインターネットゲートウェイ２２３４（例えば、図１９のインターネットゲートウェイ１９３４）とに通信可能に結合されてもよい。アプリサブネット２２２６は、制御プレーンデータ層２２２８に含まれるＤＢサブネット２２３０と、サービスゲートウェイ２２３６（例えば、図１９のサービスゲートウェイ）およびネットワークアドレス変換（ＮＡＴ）ゲートウェイ２２３８（例えば、図１９のＮＡＴゲートウェイ１９３８）とに通信可能に結合されてもよい。制御プレーンＶＣＮ２２１６は、サービスゲートウェイ２２３６およびＮＡＴゲートウェイ２２３８を含むことができる。

データプレーンＶＣＮ２２１８は、データプレーンアプリ層２２４６（例えば、図１９のデータプレーンアプリ層１９４６）、データプレーンＤＭＺ層２２４８（例えば、図１９のデータプレーンＤＭＺ層１９４８）、およびデータプレーンデータ層２２５０（例えば、図１９のデータプレーンデータ層１９５０）を含むことができる。データプレーンＤＭＺ層２２４８は、データプレーンアプリ層２２４６の信頼できるアプリサブネット２２６０（例えば、図２１の信頼できるアプリサブネット２１６０）および信頼できないアプリサブネット２２６２（例えば、図２１の信頼できないアプリサブネット２１６２）およびデータプレーンＶＣＮ２２１８に含まれるインターネットゲートウェイ２２３４に通信可能に結合され得るＬＢサブネット２２２２を含むことができる。信頼できるアプリサブネット２２６０は、データプレーンＶＣＮ２２１８に含まれるサービスゲートウェイ２２３６、データプレーンＶＣＮ２２１８に含まれるＮＡＴゲートウェイ２２３８、およびデータプレーンデータ層２２５０に含まれるＤＢサブネット２２３０に通信可能に結合されてもよい。信頼できないアプリサブネット２２６２は、データプレーンＶＣＮ２２１８に含まれるサービスゲートウェイ２２３６、およびデータプレーンデータ層２２５０に含まれるＤＢサブネット２２３０に通信可能に結合されてもよい。データプレーンデータ層２２５０は、データプレーンＶＣＮ２２１８に含まれるサービスゲートウェイ２２３６に通信可能に結合され得るＤＢサブケット２２３０を含むことができる。

信頼できないアプリサブネット２２６２は、信頼できないアプリサブネット２２６２に常駐するテナント仮想マシン（ＶＭ）２２６６（１）～（Ｎ）に通信可能に結合され得るプライマリＹＮＩＣ２２６４（１）～（Ｎ）を含むことができる。各テナントＶＭ２２６６（１）～（Ｎ）は、それぞれのコンテナ２２６７（１）～（Ｎ）においてコードを実行することができ、コンテナ送信ＶＣＮ２２６８に含まれ得るデータプレーンアプリ層２２４６に含まれ得るアプリサブネット２２２６に通信可能に結合されてもよい。各セカンダリＶＮＩＣ２２７２（１）～（Ｎ）は、データプレーンＶＣＮ２２１８に含まれる信頼できないアプリサブネット２２６２とコンテナ送信ＶＣＮ２２６８に含まれるアプリサブネットとの間の通信を促進することができる。コンテナ送信ＶＣＮは、パブリックインターネット２２５４（例えば、図１９のパブリックインターネット１９５４）に通信可能に結合することができるＮＡＴゲートウェイ２２３８を含むことができる。

制御プレーンＶＣＮ２２１６に含まれるインターネットゲートウェイ２２３４およびデータプレーンＶＣＮ２２１８に含まれるインターネットゲートウェイ２２３４は、パブリックインターネット２２５４に通信可能に結合され得るメタデータ管理サービス２２５２（例えば、図１９のメタデータ管理システム１９５２）に通信可能に結合されてもよい。パブリックインターネット２２５４は、制御プレーンＶＣＮ２２１６に含まれるインターネットゲートウェイ２２３４およびデータプレーンＶＣＮ２２１８に含まれるＮＡＴゲートウェイ２２３８に通信可能に結合されてもよい。制御プレーンＶＣＮ２２１６に含まれるインターネットゲートウェイ２２３４およびデータプレーンＶＣＮ２２１８に含まれるサービスゲートウェイ２２３６は、クラウドサービス２２５６に通信可能に結合されてもよい。

いくつかの例において、図２２のブロック図２２００のアーキテクチャによって示されたパターンは、図２１のブロック図２１００のアーキテクチャによって示されたパターンの例外と考えられ、ＩａａＳプロバイダが顧客と直接に通信できない（例えば、非接続地域）場合、ＩａａＳプロバイダの顧客にとって望ましいことがある。顧客は、各顧客のＶＭ２２６６（１）～（Ｎ）に含まれるそれぞれのコンテナ２２６７（１）～（Ｎ）にリアルタイムでアクセスすることができる。コンテナ２２６７（１）～（Ｎ）は、コンテナ送信ＶＣＮ２２６８に含まれ得るデータプレーンアプリ層２２４６のアプリサブネット２２２６に含まれるそれぞれのセカンダリＶＮＩＣ２２７２（１）～（Ｎ）を呼び出すように構成されてもよい。セカンダリＶＮＩＣ２２７２（１）～（Ｎ）は、パブリックインターネット２２５４に呼び出しを送信することができるＮＡＴゲートウェイ２２３８に呼び出しを送信することができる。この例において、顧客がリアルタイムでアクセスできるコンテナ２２６７（１）～（Ｎ）は、制御プレーンＶＣＮ２２１６から隔離されてもよく、データプレーンＶＣＮ２２１８に含まれる他のエンティティから隔離されてもよい。また、コンテナ２２６７（１）～（Ｎ）は、他の顧客のリソースから隔離されてもよい。

他の例において、顧客は、コンテナ２２６７（１）～（Ｎ）を使用して、クラウドサービス２２５６を呼び出すことができる。この例では、顧客は、コンテナ２２６７（１）～（Ｎ）において、クラウドサービス２２５６からサービスを要求するコードを実行することができる。コンテナ２２６７（１）～（Ｎ）は、要求をパブリックインターネット２２５４に送信することができるＮＡＴゲートウェイに要求を送信することができるセカンダリＶＮＩＣ２２７２（１）～（Ｎ）にこの要求を送信することができる。パブリックインターネット２２５４は、インターネットゲートウェイ２２３４を介して、制御プレーンＶＣＮ２２１６に含まれるＬＢサブネット２２２２にこの要求を送信することができる。要求が有効であるとの判断に応答して、ＬＢサブネットは、この要求をアプリサブネット２２２６に送信することができ、アプリサブネット２２２６は、サービスゲートウェイ２２３６を介して、この要求をクラウドサービス２２５６に要求を送信することができる。

なお、図示されたＩａａＳアーキテクチャ１９００、２０００、２１００および２２００は、図示されたもの以外の要素を含んでもよい。また、図示された実施形態は、本開示の実施形態を組み込むことができるクラウドインフラストラクチャシステムの一部の例に過ぎない。他のいくつかの実施形態において、ＩａａＳシステムは、図示されたものよりも多いまたは少ない要素を有してよく、２つ以上の要素を組み合わせてよく、または要素の異なる構成または配置を有してよい。

特定の実施形態において、本明細書に記載されたＩａａＳシステムは、セルフサービス、サブスクリプションベース、柔軟な拡張可能性、信頼性、高可用性、および安全な方法で顧客に提供されるアプリケーション、ミドルウェア、およびデータベースサービスのスイートを含むことができる。このようなＩａａＳシステムの一例は、本出願人によって提供されたオラクル（登録商標）クラウドインフラストラクチャ（ＯＣＩ）である。

図２３は、様々な実施形態が実装され得る例示的なコンピュータシステム２３００を示す。システム２３００は、上述したコンピュータシステムのいずれかを実装するために使用されてもよい。図示のように、コンピュータシステム２３００は、バスサブシステム２３０２を介して多数の周辺サブシステムと通信する処理ユニット２３０４を含む。これらの周辺サブシステムは、処理加速ユニット２３０６、Ｉ／Ｏサブシステム２３０８、記憶サブシステム２３１８、および通信サブシステム２３２４を含んでもよい。記憶サブシステム２３１８は、有形のコンピュータ可読記憶媒体２３２２およびシステムメモリ２３１０を含む。

バスサブシステム２３０２は、コンピュータシステム２３００の様々な構成要素およびサブシステムを意図したように相互に通信させるための機構を提供する。バスサブシステム２３０２は、単一のバスとして概略的に示されているが、バスサブシステムの代替的な実施形態は、複数のバスを利用してもよい。バスサブシステム２３０２は、メモリバスまたはメモリコントローラ、周辺バス、および様々なバスアーキテクチャのいずれかを使用するローカルバスを含む、いくつかの種類のバス構造のいずれかであってもよい。例えば、このようなアーキテクチャは、業界標準アーキテクチャ（ＩＳＡ）バス、マイクロチャネルアーキテクチャ（ＭＣＡ）、バス拡張ＩＳＡ（ＥＩＳＡ）バス、ビデオ電子標準協会（ＶＥＳＡ）ローカルバス、およびＩＥＥＥ Ｐ１３８６．１標準に準拠して製造されたメザニンバスとして実装できる周辺機器相互接続（ＰＣＩ）バスなどを含むことができる。

１つ以上の集積回路（例えば、従来のマイクロプロセッサまたはマイクロコントローラ）として実装され得る処理ユニット２３０４は、コンピュータシステム２３００の動作を制御する。処理ユニット２３０４は、１つ以上のプロセッサを含んでもよい。これらのプロセッサは、シングルコアまたはマルチコアプロセッサを含んでもよい。いくつかの実施形態において、処理ユニット２３０４は、各処理ユニットに含まれるシングルコアまたはマルチコアプロセッサを有する１つ以上の独立した処理ユニット２３３２および／または２３３４として実装されてもよい。他の実施形態において、処理ユニット２３０４は、２つのデュアルコアプロセッサを単一のチップに統合することによって形成されたクワッドコア（quad-core）処理ユニットとして実装されてもよい。

様々な実施形態において、処理ユニット２３０４は、プログラムコードに応答して様々なプログラムを実行することができ、同時に実行する複数のプログラムまたはプロセスを維持することができる。任意の時点で、実行されるプログラムコードの一部または全部は、プロセッサ２３０４および／または記憶サブシステム２３１８に常駐することができる。プロセッサ２３０４は、適切なプログラミングを通して、上述した様々な機能性を提供することができる。コンピュータシステム２３００は、デジタル信号プロセッサ（ＤＳＰ）、専用プロセッサおよび／または同種のものを含むことができる処理加速ユニット２３０６をさらに含んでもよい。

Ｉ／Ｏサブシステム２３０８は、ユーザインターフェイス入力装置と、ユーザインターフェイス出力装置とを含むことができる。ユーザインターフェイス入力装置は、キーボード、マウスまたはトラックボールなどのポインティング装置、ディスプレイに組み込まれたタッチパッドまたはタッチスクリーン、スクロールホイール、クリックホイール、ダイヤル、ボタン、スイッチ、キーパッド、音声命令認識システムを備える音声入力装置、マイクロフォン、および他の種類の入力装置を含んでもよい。また、ユーザインターフェイス入力装置は、例えば、Microsoft Kinect（登録商標）モーションセンサのようなモーション検知および／またはジェスチャ認識装置を含んでもよい。Microsoft Kinect（登録商標）モーションセンサは、ジェスチャおよび音声命令を利用する自然ユーザインターフェース（NUI）を介して、Microsoft Xbox（登録商標）３６０ゲームコントローラなどの入力装置を制御することができ、それと対話することができる。また、ユーザインターフェイス入力装置は、Google Glass（登録商標）瞬き検出器のような眼球ジェスチャ認識装置を含むことができる。Google Glass（登録商標）瞬き検出器は、ユーザの眼球活動（例えば、写真を撮るときおよび／またはメニューを選択するときの「瞬き」）を検出し、眼球活動を入力装置（例えば、Google Glass（登録商標））に入力する入力に変換する。さらに、ユーザインターフェイス入力装置は、音声命令を介してユーザと音声認識システム（例えば、Siri（登録商標）ナビゲータ）との対話を可能にする音声認識検出装置を含んでもよい。

また、ユーザインターフェイス入力装置は、三次元（３Ｄ）マウス、ジョイスティックまたはポインティングスティック、ゲームパッド、グラフィックタブレット、スピーカなどのオーディオ／ビジュアル装置、デジタルカメラ、デジタルビデオカメラ、ポータブルメディアプレーヤ、ウェブカメラ、イメージスキャナ、指紋スキャナ、バーコードリーダ、３Ｄスキャナ、３Ｄプリンタ、レーザ距離計、および視線追跡装置を含むがこれらに限定されない。さらに、ユーザインターフェイス入力装置は、例えば、コンピュータ断層撮影装置、磁気共鳴像装置、超音波放射断層撮影装置、または医療用超音波装置などのような医用画像入力装置を含んでもよい。また、ユーザインターフェイス入力装置は、例えば、ＭＩＤＩキーボードおよび電子楽器などの音声入力装置を含んでもよい。

ユーザインターフェイス出力装置は、ディスプレイサブシステム、インジケータライト、またはオーディオ出力装置などの非視覚ディスプレイを含んでもよい。ディスプレイサブシステムは、例えば、陰極線管（ＣＲＴ）、液晶ディスプレイ（ＬＣＤ）またはプラズマディスプレイを使用するフラットパネル装置、投射装置またはタッチスクリーンであってもよい。一般に、「出力装置」という用語を使用する場合、コンピュータシステム２３００から情報をユーザまたは他のコンピュータに出力するためのすべての可能な種類の装置および機構を含むことを意図している。例えば、ユーザインターフェイス出力装置は、文字、画像およびオーディオ／ビデオ情報を視覚的に伝達するさまざまな表示装置、例えば、モニタ、プリンタ、スピーカ、ヘッドフォン、カーナビゲーションシステム、プロッタ、音声出力装置、およびモデムを含むがこれらに限定されない。

コンピュータシステム２３００は、記憶サブシステム２３１８を含むことができる。記憶サブシステム２３１８は、ソフトウェア要素を備え、図示では、これらのソフトウェア要素は、システムメモリ２３１０内に配置されている。システムメモリ２３１０は、処理ユニット２３０４にロード可能かつ実行可能なプログラム命令、およびこれらのプログラムの実行により生成されたデータを記憶することができる。

コンピュータシステム２３００の構成およびタイプに応じて、システムメモリ２３１０は、揮発性メモリ（例えば、ランダムアクセスメモリ（random access memory：ＲＡＭ））であってもよく、および／または、不揮発性メモリ（例えば、読取り専用メモリ（read-only memory：ＲＯＭ）、フラッシュメモリ）であってもよい。一般に、ＲＡＭは、処理ユニット２３０４がすぐにアクセス可能なデータおよび／またはプログラムモジュール、および／または、処理ユニット２３０４によって現在操作および実行されているデータおよび／またはプログラムモジュールを収容する。いくつかの実現例では、システムメモリ２３１０は、スタティックランダムアクセスメモリ（static random access memory：ＳＲＡＭ）またはダイナミックランダムアクセスメモリ（dynamic random access memory：ＤＲＡＭ）などの複数の異なるタイプのメモリを含み得る。いくつかの実現例では、始動中などにコンピュータシステム２３００内の要素間で情報を転送することを助ける基本ルーチンを含む基本入力／出力システム（basic input/output system：ＢＩＯＳ）が、一般にＲＯＭに格納され得る。一例としておよび非限定的に、システムメモリ２３１０は、クライアントアプリケーション、ウェブブラウザ、中間層アプリケーション、リレーショナルデータベース管理システム（relational database management system：ＲＤＢＭＳ）などを含み得るアプリケーションプログラム２３１２、プログラムデータ２３１４およびオペレーティングシステム２３１６も示す。一例として、オペレーティングシステム２３１６は、マイクロソフトウィンドウズ（登録商標）、Apple Macintosh（登録商標）および／もしくはＬｉｎｕｘ（登録商標）オペレーティングシステムのさまざまなバージョン、さまざまな市販のＵＮＩＸ（登録商標）もしくはＵＮＩＸライクオペレーティングシステム（さまざまなＧＮＵ／Ｌｉｎｕｘオペレーティングシステム、Google Chrome（登録商標）ＯＳなどを含むが、これらに限定されるものではない）、および／または、ｉＯＳ、Windows（登録商標）フォン、アンドロイド（登録商標）ＯＳ、ブラックベリー（登録商標）２３ ＯＳおよびパーム（登録商標）ＯＳオペレーティングシステムなどのモバイルオペレーティングシステムを含み得る。

また、記憶サブシステム２３１８は、いくつかの実施例の機能を提供する基本的なプログラミングおよびデータ構造を格納するための有形のコンピュータ可読記憶媒体を提供することができる。プロセッサによって実行されたときに上記の機能を提供するソフトウェア（プログラム、コードモジュール、命令）は、記憶サブシステム２３１８に記憶されてもよい。これらのソフトウェアモジュールまたは命令は、処理ユニット２３０４によって実行されてもよい。また、記憶サブシステム２３１８は、本開示に従って使用されるデータを記憶するためのリポジトリを提供することができる。

また、記憶サブシステム２３００は、コンピュータ可読記憶媒体２３２２にさらに接続可能なコンピュータ可読記憶媒体リーダ２３２０を含むことができる。コンピュータ可読記憶媒体２３２２は、システムメモリ２３１０とともに、または必要に応じてシステムメモリ２３１０と組み合わせて、コンピュータ可読情報を一時的におよび／または永久に収容、格納、送信および検索するための記憶媒体に加えて、リモート記憶装置、ローカル記憶装置、固定的な記憶装置および／または取外し可能な記憶装置を包括的に表すことができる。

また、コードまたはコードの一部を含むコンピュータ可読記憶媒体２３２２は、当該技術分野において公知のまたは使用される任意の適切な媒体を含んでもよい。当該媒体は、情報の格納および／または送信のための任意の方法または技術において実現される揮発性および不揮発性の、取外し可能および取外し不可能な媒体などであるが、これらに限定されるものではない記憶媒体および通信媒体を含む。これは、ＲＡＭ、ＲＯＭ、電子的消去・プログラム可能ＲＯＭ（electronically erasable programmable ROM：ＥＥＰＲＯＭ）、フラッシュメモリもしくは他のメモリ技術、ＣＤ－ＲＯＭ、デジタル多用途ディスク（digital versatile disk：ＤＶＤ）、または他の光学式記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置もしくは他の磁気記憶装置、または他の有形のコンピュータ可読媒体などの有形のコンピュータ可読記憶媒体を含むことができる。また、これは、データ信号、データ送信などの無形のコンピュータ可読媒体、または、所望の情報を送信するために使用可能であり且つコンピュータシステム２３００によってアクセス可能なその他の媒体を含むことができる。

一例として、コンピュータ可読記憶媒体２３２２は、取外し不可能な不揮発性磁気媒体から読取るまたは当該媒体に書込むハードディスクドライブ、取外し可能な不揮発性磁気ディスクから読取るまたは当該ディスクに書込む磁気ディスクドライブ、ならびに、ＣＤ ＲＯＭ、ＤＶＤおよびブルーレイ（登録商標）ディスクまたは他の光学式媒体などの取外し可能な不揮発性光学ディスクから読取るまたは当該ディスクに書込む光学式ディスクドライブを含んでもよい。コンピュータ可読記憶媒体２３２２は、ジップ（登録商標）ドライブ、フラッシュメモリカード、ユニバーサルシリアルバス（universal serial bus：ＵＳＢ）フラッシュドライブ、セキュアデジタル（secure digital：ＳＤ）カード、ＤＶＤディスク、デジタルビデオテープなどを含み得るが、これらに限定されるものではない。また、コンピュータ可読記憶媒体２３２２は、フラッシュメモリベースのＳＳＤ、企業向けフラッシュドライブ、ソリッドステートＲＯＭなどの不揮発性メモリに基づくソリッドステートドライブ（solid-state drive：ＳＳＤ）、ソリッドステートＲＡＭ、ダイナミックＲＡＭ、スタティックＲＡＭなどの揮発性メモリに基づくＳＳＤ、ＤＲＡＭベースのＳＳＤ、磁気抵抗ＲＡＭ（magnetoresistive RAM：ＭＲＡＭ）ＳＳＤ、およびＤＲＡＭとフラッシュメモリベースのＳＳＤとの組み合わせを使用するハイブリッドＳＳＤを含んでもよい。ディスクドライブおよびそれらの関連のコンピュータ可読媒体は、コンピュータ可読命令、データ構造、プログラムモジュールおよび他のデータの不揮発性記憶装置をコンピュータシステム２３００に提供することができる。

通信サブシステム２３２４は、他のコンピュータシステムおよびネットワークとのインターフェースを提供する。通信サブシステム２３２４は、他のシステムからデータを受信したり、コンピュータシステム２３００から他のシステムにデータを送信するためのインターフェイスの役割を果たす。例えば、通信サブシステム２３２４は、コンピュータシステム２３００がインターネットを介して１つ以上の装置に接続することを可能にし得る。いくつかの実施例では、通信サブシステム２３２４は、（例えば３Ｇ、４ＧまたはＥＤＧＥ（enhanced data rates for global evolution）などの携帯電話技術、高度データネットワーク技術を用いて）無線音声および／またはデータネットワークにアクセスするための無線周波数（radio frequency：ＲＦ）トランシーバ構成要素、ＷｉＦｉ（ＩＥＥＥ８０２．１１ファミリ標準または他のモバイル通信技術またはそれらの任意の組み合わせ）、全地球測位システム（global positioning system：ＧＰＳ）レシーバ構成要素、および／または、他の構成要素を含んでもよい。いくつかの実施例では、通信サブシステム２３２４は、無線インターフェースに加えて、または無線インターフェースの代わりに、有線ネットワーク接続（例えばイーサネット）を提供することができる。

また、いくつかの実施例において、通信サブシステム２３２４は、コンピュータシステム２３００を使用し得る１人以上のユーザを代表して、構造化されたおよび／または構造化されていないデータフィード２３２６、イベントストリーム２３２８、イベント更新２３３０などの形態で入力通信を受信することができる。

一例として、通信サブシステム２３２４は、ツイッター（登録商標）フィード、フェースブック（登録商標）更新、リッチ・サイト・サマリ（Rich Site Summary：ＲＳＳ）フィードなどのウェブフィードなどのデータフィード２３２６をリアルタイムでソーシャルネットワークおよび／または他の通信サービスのユーザから受信し、および／または、１つ以上の第三者情報源からリアルタイム更新を受信するように構成されてもよい。

また、通信サブシステム２３２４は、連続的なデータストリームの形態でデータを受信するように構成され得て、当該データは、連続的である場合もあれば本質的に明確な端部を持たない状態で境界がない場合もあるリアルタイムイベントのイベントストリーム２３２８および／またはイベント更新２３３０を含んでもよい。連続的なデータを生成するアプリケーションの例としては、例えばセンサデータアプリケーション、金融ティッカ、ネットワーク性能測定ツール（例えばネットワークモニタリングおよびトラフィック管理アプリケーション）、クリックストリーム分析ツール、自動車交通モニタリングなどを含んでもよい。

また、通信サブシステム２３２４は、構造化されたおよび／または構造化されていないデータフィード２３２６、イベントストリーム２３２８、イベント更新２３３０などを、コンピュータシステム２３００に結合された１つ以上のストリーミングデータソースコンピュータと通信し得る１つ以上のデータベースに出力するように構成されてもよい。

コンピュータシステム２３００は、手持ち式携帯機器（例えば、iPhone（登録商標）携帯電話、Ipad（登録商標）計算タブレット、ＰＤＡ）、ウェアラブル装置（例えば、Google Glass（登録商標）ヘッドマウントディスプレイ）、ＰＣ、ワークステーション、メインフレーム、キオスク、サーバラックまたはその他のデータ処理システムを含む様々な種類のうちの１つであってもよい。

前述の説明において、説明の目的で、本開示の実施例を完全に理解できるようにするために、具体的な詳細を記載する。しかしながら、これらの具体的な詳細がなくても、様々な実施例を実施できることは明らかであろう。以下の説明は、例のみを提供し、本開示の範囲、適用性、または構成を制限することを意図していない。むしろ、実施例の以下の説明は、実施例を実施するための可能な説明を当業者に提供するものである。添付の特許請求の範囲に規定される本開示の精神及び範囲から逸脱することなく、要素の機能および配置に様々な変更を加えることができることを理解されたい。図面および説明は、制限的であることを意図していない。回路、システム、ネットワーク、プロセス、および他の構成要素は、不必要な詳細で実施例を不明瞭にしないために、ブロック図の形態で構成要素として示されてもよい。他の実施例では、周知の回路、プロセス、アルゴリズム、構造、および技術は、実施例を不明瞭にしないために、不必要な詳細なしに示されてもよい。本開示の教示は、モバイルアプリケーション、非モバイルアプリケーション、デスクトップアプリケーション、ウェブアプリケーション、エンタープライズアプリケーションなどの様々な種類のアプリケーションに適用することもできる。また、本開示の教示は、特定の動作環境（例えば、オペレーティングシステム、デバイス、プラットフォームなど）に限定されるものではなく、複数の異なる動作環境に適用することができる。

また、留意すべきことは、各々の実施例は、フローチャート、フロー図、データフロー図、構造図、またはブロック図として示された処理として説明されていることである。フローチャートは、操作を順次処理として説明しているが、多くの操作は、並行でまたは同時に実行することができる。さらに、操作の順序を再配置してもよい。処理は、その操作が完了した時点で終了するが、図に示されていない追加のステップを含んでもよい。処理は、メソッド、関数、プロシージャ、サブルーチン、サブプログラムなどに対応することができる。処理が関数に対応する場合、その終了は、呼び出し関数またはメイン関数の戻りに対応することができる。

「例」および「例示的」という用語は、本明細書において、「例、事例、または例示として役立つ」という意味で使用される。本明細書において「例示的」または「例」として説明された任意の実施形態または設計は、必ずしも他の実施形態または設計よりも好ましいまたは有利であると解釈されるべきではない。

「機械可読記憶媒体」または「コンピュータ可読記憶媒体」という用語は、携帯型または非携帯型の記憶装置、光記憶装置、ならびに命令および／またはデータを記憶、格納、または搬送することができる様々な他の媒体を含むが、これらに限定されない。機械可読記憶媒体またはコンピュータ可読記憶媒体は、データを記憶することができ、無線または有線接続を介して伝搬する搬送波および／または一時的な電子信号を含まない非一時的な媒体を含んでもよい。非一時的な媒体の例は、磁気ディスクまたはテープ、コンパクトディスク（ＣＤ）またはデジタル多用途ディスク（ＤＶＤ）などの光記憶媒体、フラッシュメモリ、メモリまたはメモリ装置を含み得るが、これらに限定されない。コンピュータプログラム製品は、プロシージャ、関数、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウエアパッケージ、クラス、命令、データ構造、またはプログラム文の任意の組み合わせを表し得るコードおよび／または機械実行可能命令を含んでもよい。コードセグメントは、情報、データ、引数、パラメータ、またはメモリ内容を転送および／または受取ることによって、別のコードセグメントまたはハードウェア回路に結合されてもよい。情報、引数、パラメータおよびデータなどは、メモリ共有、メッセージ転送、トークン転送、ネットワーク送信などの任意の適切な手段を介して、伝達され、転送され、または送信されてもよい。

さらに、実施形態は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語、またはそれらの任意の組み合わせによって実施されてもよい。ソフトウェア、ファームウェア、ミドルウェアまたはマイクロコードに実施される場合、必要な作業を実行するプログラムコードまたはコードセグメントは、機械可読媒体に記憶されてもよい。プロセッサは、必要な作業を実行することができる。一部の図面に示されたシステムは、様々な構成で提供されてもよい。いくつかの例において、システムは、システムの１つ以上の要素がクラウドコンピューティングシステム内の１つ以上のネットワークにわたって分散される分散システムとして構成されてもよい。要素が特定の動作を実行するように「構成されている」として説明される場合、このような構成は、例えば、動作を実行するように電子回路または他のハードウェアを設計することによって、動作を実行するように電子回路（例えば、マイクロプロセッサまたは他の適切な電子回路）をプログラミングまたは制御することによって、またはそれらの任意の組み合わせによって達成されてもよい。

本開示の特定の実施形態を説明してきたが、さまざまな変更、改変、代替構成、および同等物も本開示の範囲内に包含される。本開示の実施形態は、特定のデータ処理環境内で動作するのに限定されず、複数のデータ処理環境内で自由に動作することができる。さらに、一連の特定の処置およびステップを用いて本開示の実施形態を説明してきたが、本開示の範囲が説明された一連の処置およびステップに限定されないことは、当業者にとって明らかであろう。上述した実施形態のさまざまな特徴および態様は、個別にまたは共同で使用することができる。

さらに、ハードウェアおよびソフトウェアの特定の組み合わせを用いて本開示の実施形態を説明してきたが、ハードウェアおよびソフトウェアの他の組み合わせも本開示の範囲内に含まれることを認識すべきである。ハードウェアのみ、ソフトウェアのみ、またはそれらの組み合わせを用いて、本開示の実施形態を実現することができる。本開示に記載されたさまざまなプロセスは、同一のプロセッサまたは任意の組み合わせの異なるプロセッサ上で実行することができる。したがって、特定の処理を実行するように構成要素またはモジュールを構成すると説明する場合、その構成は、例えば、その処理を実行するように電子回路を設計することによって、その処理を実行するようにプログラム可能な電子回路（マイクロプロセッサなど）をプログラムすることによって、またはそれらの組み合わせによって実現することができる。プロセスは、プロセス間の通信を行う従来技術を含むがこれに限定されないさまざまな技術を用いて通信を行うことができる。異なる対のプロセスは、異なる技術を使用することができ、または同一対のプロセスは、異なる時間で異なる技術を使用することができる。

したがって、明細書および図面は、限定的な意味ではなく例示的な意味であるとみなすべきである。しかしながら、特許請求の範囲により定められた幅広い主旨および範囲から逸脱することなく、追加、削減、削除および他の修飾および変更を行ってもよいことは、明らかであろう。したがって、本開示の特定の実施形態を説明したが、これらの実施形態は、限定することを意図していない。さまざまな変更およびその等価物は、添付の特許請求の範囲に含まれる。

本開示の実施形態の例は、以下の項に照らして説明することができる。
項１．方法であって、顧客のレイヤ２仮想ネットワークのアドレスと、上記レイヤ２仮想ネットワークをホストする物理ネットワークのアドレスとを関連付けるマッピング情報を記憶することを含み、上記レイヤ２仮想ネットワークは、複数の計算インスタンスと、複数のレイヤ２仮想ネットワークインターフェースと、複数のレイヤ２仮想スイッチとを備え、上記物理ネットワークは、複数のネットワーク仮想化デバイス（ＮＶＤ）と複数のホストマシンとを備え、上記複数の計算インスタンスのうちのある計算インスタンスは、上記複数のホストマシンのうちのあるホストマシン上でホストされ、上記ある計算インスタンスは、上記複数のレイヤ２仮想ネットワークインターフェースのうちのあるレイヤ２仮想ネットワークインターフェースと、上記複数のレイヤ２仮想スイッチのうちのあるレイヤ２仮想スイッチとに関連付けられ、上記あるレイヤ２仮想ネットワークインターフェースおよび上記あるレイヤ２仮想スイッチは、上記複数のＮＶＤのうちのあるＮＶＤ上でホストされ、上記あるＮＶＤと上記あるホストマシンとは通信可能に結合され、上記方法はさらに、顧客の入力を受信することを含み、上記入力は、上記レイヤ２仮想ネットワークにおけるトラフィックフローのためにストーム制御構成を指定し、上記方法はさらに、上記ストーム制御構成および上記マッピング情報に基づいて、上記あるＮＶＤのためにストーム制御情報を生成することと、上記ストーム制御情報を上記あるＮＶＤに送信することとを含む、方法。

項２．上記入力は、上記ストーム制御構成がポートに適用されることを示し、トラフィックフロー条件で実行されるべきアクションを指定し、上記方法はさらに、上記ポートは上記あるレイヤ２仮想ネットワークインターフェースの媒体アクセス制御（ＭＡＣ）アドレスに対応すると判断することと、上記マッピング情報に基づいて、上記ＭＡＣアドレスは上記あるＮＶＤのインターネットプロトコル（ＩＰ）アドレスに関連付けられている、と判断することと、上記ストーム制御情報において、上記ＭＡＣアドレスおよび上記ＩＰアドレスに基づいて上記トラフィックフロー条件および上記アクションを示すこととを含む、項１に記載の方法。

項３．上記トラフィックフロー条件は、フレーム伝送レートを含み、上記アクションは、フレームをドロップすること、または上記ポートをリンクダウンすることを含む、項２に記載の方法。

項４．上記トラフィックフロー条件は、最大フレーム伝送レートおよび持続時間を含み、上記アクションは、フレーム伝送レートが上記最大フレーム伝送レートを超過するとフレームをドロップすることと、上記持続時間を超える時間長にわたって上記超過が検出されると上記ポートをリンクダウンすることとを含む、項２に記載の方法。

項５．上記入力は、上記ストーム制御構成のストーム制御ポリシーが、ユニキャストされるフレーム、ブロードキャストされるフレーム、またはマルチキャストされるフレームのうちの少なくとも１つに適用されることを示し、上記ストーム制御情報は、上記ストーム制御ポリシーと、上記あるレイヤ２仮想ネットワークインターフェースに関連付けられるフレームの流れを制御するための、上記あるＮＶＤへのフレームブロードキャストまたはフレームマルチキャストのうちの上記少なくとも１つに対する上記ストーム制御ポリシーの適用可能性とを示す、項１～４のいずれか１項に記載の方法。

項６．上記入力は、上記ストーム制御構成のストーム制御ポリシーと、上記ストーム制御ポリシーの違反で実行される上記ストーム制御ポリシーのアクションと、上記ストーム制御ポリシーの反復違反で適用される上記ストーム制御構成のエスカレーションポリシーとを示し、上記ストーム制御情報は、上記ストーム制御ポリシーと、上記アクションと、上記エスカレーションポリシーとを、上記あるレイヤ２仮想ネットワークインターフェースに関連付けられるフレームの流れを制御するために、上記あるＮＶＤに示す、項１～５のいずれか１項に記載の方法。

項７．上記入力は、上記ストーム制御構成の伝送レートのタイプを示し、上記伝送レートのタイプは、フレーム／秒またはビット／秒のうちの少なくとも１つを含み、上記ストーム制御情報は、上記伝送レートのタイプを、上記あるレイヤ２仮想ネットワークインターフェースに関連付けられるフレームの流れを制御するために、上記あるＮＶＤに示す、項１～６のいずれか１項に記載の方法。

項８．上記入力は、上記ストーム制御構成の統計のタイプを示し、上記ストーム制御情報は、上記統計のタイプを、上記あるレイヤ２仮想ネットワークインターフェースに関連付けられるフレームの流れに関する統計を収集するために、上記あるＮＶＤに示す、項１～７のいずれか１項に記載の方法。

項９．上記入力は、上記ストーム制御構成が複数のポートに適用されることを示し、上記方法はさらに、上記複数のポートは上記複数のレイヤ２仮想ネットワークインターフェースのうちのあるレイヤ２仮想ネットワークインターフェースのセットに対応する、と判断することと、上記マッピング情報に基づいて、上記あるレイヤ２仮想ネットワークインターフェースのセットが上記複数のＮＶＤのうちのあるＮＶＤのセットに関連付けられる、と判断することと、上記あるＮＶＤのセットの各ＮＶＤに上記ストーム制御情報を送信することとを含む、項１～８のいずれか１項に記載の方法。

項１０．上記ストーム制御構成、上記ストーム制御情報、上記あるＮＶＤ、および上記あるレイヤ２仮想ネットワークインターフェースは、それぞれ、第１のストーム制御構成、第１のストーム制御情報、第１のＮＶＤ、および第１のレイヤ２仮想ネットワークインターフェースであり、上記方法はさらに、上記入力は、（ｉ）第２のストーム構成と、（ｉｉ）上記第１のストーム制御構成は第１のポートに適用されることと、（ｉｉｉ）上記第２のストーム構成は第２のポートに適用されることと示す、と判断することと、上記第１のポートは上記第１のレイヤ２仮想ネットワークインターフェースに対応し、上記第２のポートは上記複数のレイヤ２仮想ネットワークインターフェースのうちの第２のレイヤ２仮想ネットワークインターフェースに対応する、と判断することと、上記マッピング情報に基づいて、上記第１のレイヤ２仮想ネットワークインターフェースは上記第１のＮＶＤによってホストされ、上記第２のレイヤ２仮想ネットワークインターフェースは上記複数のＮＶＤのうちの第２のＮＶＤによってホストされる、と判断することと、上記第２のストーム構成に基づいて第２のストーム制御情報を生成することと、上記第２のＮＶＤに上記第２のストーム制御情報を送信することとを含む、項１～９のいずれか１項に記載の方法。

項１１．上記ストーム制御構成は、伝送レートに対する第１の制限を示し、上記ストーム制御構成は、乗数による上記第１の制限の調整に対応する第２の制限を示す、項１～１０のいずれか１項に記載の方法。

項１２．上記方法はさらに、上記トラフィックフローに関するメトリックを収集することと、上記メトリックに基づいて上記乗数を更新することと、上記ストーム制御構成に関する更新を上記あるＮＶＤに送信することとを含み、上記更新は、上記更新された乗数または上記更新された乗数に基づく更新された第２の制限のうちの少なくとも１つを含む、項１１に記載の方法。

項１３．ネットワーク仮想化デバイスであって、１つ以上のプロセッサと、命令を記憶する１つ以上のコンピュータ可読記憶媒体とを備え、上記命令は、上記１つ以上のプロセッサによって実行されると、上記ネットワーク仮想化デバイスを、顧客のレイヤ２仮想ネットワークに属するレイヤ２仮想ネットワークインターフェースおよびレイヤ２仮想スイッチをホストするよう構成し、上記レイヤ２仮想ネットワークインターフェースおよび上記レイヤ２仮想スイッチは、上記レイヤ２仮想ネットワークに属するレイヤ２計算インスタンスに関連付けられ、上記レイヤ２計算インスタンスは、上記ネットワーク仮想化デバイスを備える物理ネットワークのホストマシン上でホストされ、上記ホストマシンおよび上記ネットワーク仮想化デバイスは、通信可能に結合され、上記レイヤ２仮想ネットワークは、上記物理ネットワーク上でホストされ、複数のレイヤ２計算インスタンスと、複数のレイヤ２仮想ネットワークインターフェースと、複数のレイヤ２仮想スイッチとを備え、上記命令は、さらに、上記１つ以上のプロセッサによって実行されると、上記ネットワーク仮想化デバイスを、ストーム制御ポリシーと、上記ストーム制御ポリシーの違反で実行されるべきアクションとを示すストーム制御情報を記憶するよう構成し、上記レイヤ２仮想ネットワークインターフェースへのトラフィックフローおよび／または上記レイヤ２仮想ネットワークインターフェースからのトラフィックフローを監視するよう構成し、上記トラフィックフローは上記ストーム制御ポリシーに違反する、と判断するよう構成し、上記ストーム制御ポリシーに違反する上記トラフィックフローに基づいて上記アクションを開始するよう構成する、ネットワーク仮想化デバイス。

項１４．上記ストーム制御ポリシーは、上記レイヤ２仮想ネットワークインターフェースへの着信トラフィックに対する最大伝送レートを示し、上記アクションは、フレームをドロップすることを含み、上記トラフィックフローは上記ストーム制御ポリシーに違反する、と判断することは、上記レイヤ２仮想ネットワークインターフェースへの着信フレームの伝送レートが上記最大伝送レートを超える、と判断することを含み、上記アクションを開始することは、着信フレームをドロップすることを含む、項１３に記載のネットワーク仮想化デバイス。

項１５．上記ストーム制御ポリシーはさらに、エスカレーションアクションのための持続時間を示し、上記エスカレーションアクションはリンクダウンを含み、上記トラフィックフローは上記ストーム制御ポリシーに違反する、と判断することは、上記伝送レートは上記持続時間よりも長く持続した、と判断することをさらに含み、上記アクションを開始することは、上記レイヤ２仮想ネットワークインターフェースをリンクダウンすることをさらに含む、項１４に記載のネットワーク仮想化デバイス。

項１６．上記レイヤ２仮想ネットワークインターフェースは、第１のレイヤ２仮想ネットワークインターフェースであり、上記ストーム制御ポリシーは、第２のレイヤ２仮想ネットワークインターフェースへの着信トラフィックに対する最大伝送レートを示し、上記アクションは、フレームをドロップすることを含み、上記トラフィックフローは上記ストーム制御ポリシーに違反する、と判断することは、上記第１のレイヤ２仮想ネットワークインターフェースから上記第２のレイヤ２仮想ネットワークインターフェースへのフレームの伝送レートが上記最大伝送レートを超える、と判断することを含み、上記アクションを開始することは、上記第１のレイヤ２仮想ネットワークインターフェースから上記第２のレイヤ２仮想ネットワークインターフェースへのフレームをドロップすることを含む、項１４に記載のネットワーク仮想化デバイス。

項１７．上記ストーム制御情報は、上記顧客の入力によって示されるストーム制御構成と、上記レイヤ２仮想ネットワークのアドレスと上記物理ネットワークのアドレスとを関連付けるマッピング情報とに基づいて生成される、項１４に記載のネットワーク仮想化デバイス。

項１８．上記顧客の上記入力は、上記ストーム制御構成が適用されるポートを示し、上記ストーム制御情報はさらに、上記ポートと上記レイヤ２仮想ネットワークインターフェースとの間の対応関係に基づいて生成され、上記対応関係に基づいて上記レイヤ２仮想ネットワークインターフェースに適用される、項１７に記載のネットワーク仮想化デバイス。

項１９．システムであって、１つ以上のプロセッサと、命令を記憶する１つ以上のコンピュータ可読記憶媒体とを備え、上記命令は、上記１つ以上のプロセッサによって実行されると、上記システムを、顧客のレイヤ２仮想ネットワークのアドレスと、上記レイヤ２仮想ネットワークをホストする物理ネットワークのアドレスとを関連付けるマッピング情報を記憶するよう構成し、上記レイヤ２仮想ネットワークは、複数の計算インスタンスと、複数のレイヤ２仮想ネットワークインターフェースと、複数のレイヤ２仮想スイッチとを備え、上記物理ネットワークは、複数のネットワーク仮想化デバイス（ＮＶＤ）と複数のホストマシンとを備え、上記複数の計算インスタンスのうちのある計算インスタンスは、上記複数のホストマシンのうちのあるホストマシン上でホストされ、上記ある計算インスタンスは、上記複数のレイヤ２仮想ネットワークインターフェースのうちのあるレイヤ２仮想ネットワークインターフェースと、上記複数のレイヤ２仮想スイッチのうちのあるレイヤ２仮想スイッチとに関連付けられ、上記あるレイヤ２仮想ネットワークインターフェースおよび上記あるレイヤ２仮想スイッチは、上記複数のＮＶＤのうちのあるＮＶＤ上でホストされ、上記あるＮＶＤと上記あるホストマシンとは通信可能に結合され、上記命令は、さらに、上記１つ以上のプロセッサによって実行されると、上記システムを、顧客の入力を受信するよう構成し、上記入力は、上記レイヤ２仮想ネットワークにおけるトラフィックフローのためにストーム制御構成を指定し、上記命令は、さらに、上記１つ以上のプロセッサによって実行されると、上記システムを、上記ストーム制御構成および上記マッピング情報に基づいて、上記あるＮＶＤのためにストーム制御情報を生成するよう構成し、上記ストーム制御情報を上記あるＮＶＤに送信するよう構成する、システム。

項２０．上記あるＮＶＤをさらに備え、上記あるＮＶＤは、上記ストーム制御情報を記憶するよう構成され、上記ストーム制御情報は、ストーム制御ポリシーと、上記ストーム制御ポリシーの違反で実行されるべきアクションとを示し、上記あるＮＶＤはさらに、上記レイヤ２仮想ネットワークインターフェースへのトラフィックフローおよび／または上記レイヤ２仮想ネットワークインターフェースからのトラフィックフローを監視するよう構成され、上記トラフィックフローは上記ストーム制御ポリシーに違反する、と判断するよう構成され、上記ストーム制御ポリシーに違反する上記トラフィックフローに基づいて上記アクションを開始するよう構成される、項１９に記載のシステム。

本開示を説明する文脈に（特に特許請求の範囲の文脈に）使用された不定冠詞「a」／「an」、定冠詞「the」および同様の参照は、本明細書に特に明記しない限りまたは内容上明らかに他の意味を示す場合を除き、単数および複数の両方を含むように解釈すべきである。用語「含む（comprising）」、「有する（having）」、「含む（including）」、および「含有する（containing）」は、特に明記しない限り、非限定的な用語（すなわち、「含むがこれに限定されない」という意味）として解釈されるべきである。「接続されている」という用語は、たとえ何かが介在していても、その一部または全部が内部に含まれている、取り付けられている、または一緒に結合されていると解釈されるべきである。本明細書において、値の範囲の列挙は、単にその範囲内に含まれる各個別の値を各々言及する速記方法として意図され、本明細書に特に明記しない限り、各個別の値は、本明細書に個別に記載されるように、本明細書に組み込まれる。本明細書に特に明記しない限りまたは内容上明らかに他の意味を示す場合を除き、本明細書に記載の全ての方法は、任意の適切な順序で行うことができる。本明細書において、任意の例および全ての例または例示的な言語（例えば、「～のような」）の使用は、本開示の実施形態をより明瞭にするよう意図されており、特に明記しない限り、本開示の範囲を限定するものではない。明細書内の用語は、本開示の実施に不可欠な任意の非請求要素を示すものと解釈すべきではない。

句「Ｘ、Ｙ、またはＺの少なくとも１つ」というフレーズのような選言的言語は、特に断らない限り、項目、用語などがＸ、ＹもしくはＺ、またはそれらの任意の組み合わせ（例えば、Ｘ、Ｙ、および／またはＺ）のいずれかであってもよいことを示すために一般的に用いられるものとして文脈内で理解されることを意図している。したがって、このような選言的言語は、特定の実施形態が、Ｘの少なくとも１つ、Ｙの少なくとも１つ、またはＺの少なくとも１つが存在することを必要とすることを一般に意図しておらず、また、それを暗示していない。

本開示を実施するために知られている最良の形態を含み、本開示の好ましい実施形態が本明細書に記載されている。これらの好ましい実施形態の変形形態は、前述の説明を読めば当業者には明らかになるであろう。当業者は、適宜、このような変形例を採用することができ、本開示は、本明細書に具体的に記載されている以外の方法で実施されてもよい。したがって、本開示は、適用される法律によって許可され、本明細書に添付された請求項に記載された主題の全ての変形および等価物を含む。さらに、その全ての可能な変形における上記の要素の任意の組み合わせは、本明細書において別段の指示がない限り、本開示に包含される。

本明細書に引用された刊行物、特許出願、および特許を含む全ての参考文献は、各文献が参照により組み込まれることが個別にかつ明確に示され、その全体が本明細書に記載された場合と同じ程度に、参照により組み込まれるものとする。

前述の明細書において、本開示の態様は、その特定の実施形態を参照して説明されているが、当業者は、本開示がそれに限定されないことを認識するであろう。上述の開示の様々な特徴および態様は、個々にまたは共同で使用されてもよい。さらに、実施形態は、本明細書のより広い精神および範囲から逸脱することなく、本明細書に説明されるものを超える任意の数の環境および用途において利用されることができる。したがって、明細書および図面は、限定的ではなく例示的であると見なされるべきである。

Claims (20)

1. 方法であって、
   顧客のレイヤ２仮想ネットワークのアドレスと、前記レイヤ２仮想ネットワークをホストする物理ネットワークのアドレスとを関連付けるマッピング情報を記憶することを含み、
   前記レイヤ２仮想ネットワークは、複数の計算インスタンスと、複数のレイヤ２仮想ネットワークインターフェースと、複数のレイヤ２仮想スイッチとを備え、
   前記物理ネットワークは、複数のネットワーク仮想化デバイス（ＮＶＤ）と複数のホストマシンとを備え、
   前記複数の計算インスタンスのうちのある計算インスタンスは、前記複数のホストマシンのうちのあるホストマシン上でホストされ、
   前記ある計算インスタンスは、前記複数のレイヤ２仮想ネットワークインターフェースのうちのあるレイヤ２仮想ネットワークインターフェースと、前記複数のレイヤ２仮想スイッチのうちのあるレイヤ２仮想スイッチとに関連付けられ、
   前記あるレイヤ２仮想ネットワークインターフェースおよび前記あるレイヤ２仮想スイッチは、前記複数のＮＶＤのうちのあるＮＶＤ上でホストされ、
   前記あるＮＶＤと前記あるホストマシンとは通信可能に結合され、前記方法はさらに、
   顧客の入力を受信することを含み、前記入力は、前記レイヤ２仮想ネットワークにおけるトラフィックフローのためにストーム制御構成を指定し、前記方法はさらに、
   前記ストーム制御構成および前記マッピング情報に基づいて、前記あるＮＶＤのためにストーム制御情報を生成することと、
   前記ストーム制御情報を前記あるＮＶＤに送信することとを含む、方法。
2. 前記入力は、前記ストーム制御構成がポートに適用されることを示し、トラフィックフロー条件で実行されるべきアクションを指定し、前記方法はさらに、
   前記ポートは前記あるレイヤ２仮想ネットワークインターフェースの媒体アクセス制御（ＭＡＣ）アドレスに対応すると判断することと、
   前記マッピング情報に基づいて、前記ＭＡＣアドレスは前記あるＮＶＤのインターネットプロトコル（ＩＰ）アドレスに関連付けられている、と判断することと、
   前記ストーム制御情報において、前記ＭＡＣアドレスおよび前記ＩＰアドレスに基づいて前記トラフィックフロー条件および前記アクションを示すこととを含む、請求項１に記載の方法。
3. 前記トラフィックフロー条件は、フレーム伝送レートを含み、前記アクションは、フレームをドロップすること、または前記ポートをリンクダウンすることを含む、請求項２に記載の方法。
4. 前記トラフィックフロー条件は、最大フレーム伝送レートおよび持続時間を含み、前記アクションは、フレーム伝送レートが前記最大フレーム伝送レートを超過するとフレームをドロップすることと、前記持続時間を超える時間長にわたって前記超過が検出されると前記ポートをリンクダウンすることとを含む、請求項２に記載の方法。
5. 前記入力は、前記ストーム制御構成のストーム制御ポリシーが、ユニキャストされるフレーム、ブロードキャストされるフレーム、またはマルチキャストされるフレームのうちの少なくとも１つに適用されることを示し、前記ストーム制御情報は、前記ストーム制御ポリシーと、前記あるレイヤ２仮想ネットワークインターフェースに関連付けられるフレームの流れを制御するための、前記あるＮＶＤへのフレームブロードキャストまたはフレームマルチキャストのうちの前記少なくとも１つに対する前記ストーム制御ポリシーの適用可能性とを示す、請求項１～４のいずれか１項に記載の方法。
6. 前記入力は、前記ストーム制御構成のストーム制御ポリシーと、前記ストーム制御ポリシーの違反で実行される前記ストーム制御ポリシーのアクションと、前記ストーム制御ポリシーの反復違反で適用される前記ストーム制御構成のエスカレーションポリシーとを示し、前記ストーム制御情報は、前記ストーム制御ポリシーと、前記アクションと、前記エスカレーションポリシーとを、前記あるレイヤ２仮想ネットワークインターフェースに関連付けられるフレームの流れを制御するために、前記あるＮＶＤに示す、請求項１～５のいずれか１項に記載の方法。
7. 前記入力は、前記ストーム制御構成の伝送レートのタイプを示し、前記伝送レートのタイプは、フレーム／秒またはビット／秒のうちの少なくとも１つを含み、前記ストーム制御情報は、前記伝送レートのタイプを、前記あるレイヤ２仮想ネットワークインターフェースに関連付けられるフレームの流れを制御するために、前記あるＮＶＤに示す、請求項１～６のいずれか１項に記載の方法。
8. 前記入力は、前記ストーム制御構成の統計のタイプを示し、前記ストーム制御情報は、前記統計のタイプを、前記あるレイヤ２仮想ネットワークインターフェースに関連付けられるフレームの流れに関する統計を収集するために、前記あるＮＶＤに示す、請求項１～７のいずれか１項に記載の方法。
9. 前記入力は、前記ストーム制御構成が複数のポートに適用されることを示し、前記方法はさらに、
   前記複数のポートは前記複数のレイヤ２仮想ネットワークインターフェースのうちのあるレイヤ２仮想ネットワークインターフェースのセットに対応する、と判断することと、
   前記マッピング情報に基づいて、前記あるレイヤ２仮想ネットワークインターフェースのセットが前記複数のＮＶＤのうちのあるＮＶＤのセットに関連付けられる、と判断することと、
   前記あるＮＶＤのセットの各ＮＶＤに前記ストーム制御情報を送信することとを含む、請求項１～８のいずれか１項に記載の方法。
10. 前記ストーム制御構成、前記ストーム制御情報、前記あるＮＶＤ、および前記あるレイヤ２仮想ネットワークインターフェースは、それぞれ、第１のストーム制御構成、第１のストーム制御情報、第１のＮＶＤ、および第１のレイヤ２仮想ネットワークインターフェースであり、前記方法はさらに、
    前記入力は、（ｉ）第２のストーム構成と、（ｉｉ）前記第１のストーム制御構成は第１のポートに適用されることと、（ｉｉｉ）前記第２のストーム構成は第２のポートに適用されることと示す、と判断することと、
    前記第１のポートは前記第１のレイヤ２仮想ネットワークインターフェースに対応し、前記第２のポートは前記複数のレイヤ２仮想ネットワークインターフェースのうちの第２のレイヤ２仮想ネットワークインターフェースに対応する、と判断することと、
    前記マッピング情報に基づいて、前記第１のレイヤ２仮想ネットワークインターフェースは前記第１のＮＶＤによってホストされ、前記第２のレイヤ２仮想ネットワークインターフェースは前記複数のＮＶＤのうちの第２のＮＶＤによってホストされる、と判断することと、
    前記第２のストーム構成に基づいて第２のストーム制御情報を生成することと、
    前記第２のＮＶＤに前記第２のストーム制御情報を送信することとを含む、請求項１～９のいずれか１項に記載の方法。
11. 前記ストーム制御構成は、伝送レートに対する第１の制限を示し、前記ストーム制御構成は、乗数による前記第１の制限の調整に対応する第２の制限を示す、請求項１～１０のいずれか１項に記載の方法。
12. 前記方法はさらに、
    前記トラフィックフローに関するメトリックを収集することと、
    前記メトリックに基づいて前記乗数を更新することと、
    前記ストーム制御構成に関する更新を前記あるＮＶＤに送信することとを含み、当該更新は、前記更新された乗数または前記更新された乗数に基づく更新された第２の制限のうちの少なくとも１つを含む、請求項１１に記載の方法。
13. ネットワーク仮想化デバイスであって、
    １つ以上のプロセッサと、
    命令を記憶する１つ以上のコンピュータ可読記憶媒体とを備え、前記命令は、前記１つ以上のプロセッサによって実行されると、前記ネットワーク仮想化デバイスを、
    顧客のレイヤ２仮想ネットワークに属するレイヤ２仮想ネットワークインターフェースおよびレイヤ２仮想スイッチをホストするよう構成し、
    前記レイヤ２仮想ネットワークインターフェースおよび前記レイヤ２仮想スイッチは、前記レイヤ２仮想ネットワークに属するレイヤ２計算インスタンスに関連付けられ、
    前記レイヤ２計算インスタンスは、前記ネットワーク仮想化デバイスを備える物理ネットワークのホストマシン上でホストされ、前記ホストマシンおよび前記ネットワーク仮想化デバイスは、通信可能に結合され、
    前記レイヤ２仮想ネットワークは、前記物理ネットワーク上でホストされ、複数のレイヤ２計算インスタンスと、複数のレイヤ２仮想ネットワークインターフェースと、複数のレイヤ２仮想スイッチとを備え、前記命令は、さらに、前記１つ以上のプロセッサによって実行されると、前記ネットワーク仮想化デバイスを、
    ストーム制御ポリシーと、前記ストーム制御ポリシーの違反で実行されるべきアクションとを示すストーム制御情報を記憶するよう構成し、
    前記レイヤ２仮想ネットワークインターフェースへのトラフィックフローおよび／または前記レイヤ２仮想ネットワークインターフェースからのトラフィックフローを監視するよう構成し、
    前記トラフィックフローは前記ストーム制御ポリシーに違反する、と判断するよう構成し、
    前記ストーム制御ポリシーに違反する前記トラフィックフローに基づいて前記アクションを開始するよう構成する、ネットワーク仮想化デバイス。
14. 前記ストーム制御ポリシーは、前記レイヤ２仮想ネットワークインターフェースへの着信トラフィックに対する最大伝送レートを示し、前記アクションは、フレームをドロップすることを含み、前記トラフィックフローは前記ストーム制御ポリシーに違反する、と判断することは、前記レイヤ２仮想ネットワークインターフェースへの着信フレームの伝送レートが前記最大伝送レートを超える、と判断することを含み、前記アクションを開始することは、着信フレームをドロップすることを含む、請求項１３に記載のネットワーク仮想化デバイス。
15. 前記ストーム制御ポリシーはさらに、エスカレーションアクションのための持続時間を示し、前記エスカレーションアクションはリンクダウンを含み、前記トラフィックフローは前記ストーム制御ポリシーに違反する、と判断することは、前記伝送レートは前記持続時間よりも長く持続した、と判断することをさらに含み、前記アクションを開始することは、前記レイヤ２仮想ネットワークインターフェースをリンクダウンすることをさらに含む、請求項１４に記載のネットワーク仮想化デバイス。
16. 前記レイヤ２仮想ネットワークインターフェースは、第１のレイヤ２仮想ネットワークインターフェースであり、前記ストーム制御ポリシーは、第２のレイヤ２仮想ネットワークインターフェースへの着信トラフィックに対する最大伝送レートを示し、前記アクションは、フレームをドロップすることを含み、前記トラフィックフローは前記ストーム制御ポリシーに違反する、と判断することは、前記第１のレイヤ２仮想ネットワークインターフェースから前記第２のレイヤ２仮想ネットワークインターフェースへのフレームの伝送レートが前記最大伝送レートを超える、と判断することを含み、前記アクションを開始することは、前記第１のレイヤ２仮想ネットワークインターフェースから前記第２のレイヤ２仮想ネットワークインターフェースへのフレームをドロップすることを含む、請求項１４に記載のネットワーク仮想化デバイス。
17. 前記ストーム制御情報は、前記顧客の入力によって示されるストーム制御構成と、前記レイヤ２仮想ネットワークのアドレスと前記物理ネットワークのアドレスとを関連付けるマッピング情報とに基づいて生成される、請求項１４に記載のネットワーク仮想化デバイス。
18. 前記顧客の前記入力は、前記ストーム制御構成が適用されるポートを示し、前記ストーム制御情報はさらに、前記ポートと前記レイヤ２仮想ネットワークインターフェースとの間の対応関係に基づいて生成され、前記対応関係に基づいて前記レイヤ２仮想ネットワークインターフェースに適用される、請求項１７に記載のネットワーク仮想化デバイス。
19. システムであって、
    １つ以上のプロセッサと、
    命令を記憶する１つ以上のコンピュータ可読記憶媒体とを備え、前記命令は、前記１つ以上のプロセッサによって実行されると、前記システムを、
    顧客のレイヤ２仮想ネットワークのアドレスと、前記レイヤ２仮想ネットワークをホストする物理ネットワークのアドレスとを関連付けるマッピング情報を記憶するよう構成し、
    前記レイヤ２仮想ネットワークは、複数の計算インスタンスと、複数のレイヤ２仮想ネットワークインターフェースと、複数のレイヤ２仮想スイッチとを備え、
    前記物理ネットワークは、複数のネットワーク仮想化デバイス（ＮＶＤ）と複数のホストマシンとを備え、
    前記複数の計算インスタンスのうちのある計算インスタンスは、前記複数のホストマシンのうちのあるホストマシン上でホストされ、
    前記ある計算インスタンスは、前記複数のレイヤ２仮想ネットワークインターフェースのうちのあるレイヤ２仮想ネットワークインターフェースと、前記複数のレイヤ２仮想スイッチのうちのあるレイヤ２仮想スイッチとに関連付けられ、
    前記あるレイヤ２仮想ネットワークインターフェースおよび前記あるレイヤ２仮想スイッチは、前記複数のＮＶＤのうちのあるＮＶＤ上でホストされ、
    前記あるＮＶＤと前記あるホストマシンとは通信可能に結合され、前記命令は、さらに、前記１つ以上のプロセッサによって実行されると、前記システムを、
    顧客の入力を受信するよう構成し、前記入力は、前記レイヤ２仮想ネットワークにおけるトラフィックフローのためにストーム制御構成を指定し、前記命令は、さらに、前記１つ以上のプロセッサによって実行されると、前記システムを、
    前記ストーム制御構成および前記マッピング情報に基づいて、前記あるＮＶＤのためにストーム制御情報を生成するよう構成し、
    前記ストーム制御情報を前記あるＮＶＤに送信するよう構成する、システム。
20. 前記あるＮＶＤをさらに備え、前記あるＮＶＤは、
    前記ストーム制御情報を記憶するよう構成され、前記ストーム制御情報は、ストーム制御ポリシーと、前記ストーム制御ポリシーの違反で実行されるべきアクションとを示し、前記あるＮＶＤはさらに、
    前記レイヤ２仮想ネットワークインターフェースへのトラフィックフローおよび／または前記レイヤ２仮想ネットワークインターフェースからのトラフィックフローを監視するよう構成され、
    前記トラフィックフローは前記ストーム制御ポリシーに違反する、と判断するよう構成され、
    前記ストーム制御ポリシーに違反する前記トラフィックフローに基づいて前記アクションを開始するよう構成される、請求項１９に記載のシステム。

Images