JP7323636B2 - クラウドネットワーク到達可能性解析 - Google Patents

クラウドネットワーク到達可能性解析 Download PDF

Info

Publication number
JP7323636B2
JP7323636B2 JP2021559267A JP2021559267A JP7323636B2 JP 7323636 B2 JP7323636 B2 JP 7323636B2 JP 2021559267 A JP2021559267 A JP 2021559267A JP 2021559267 A JP2021559267 A JP 2021559267A JP 7323636 B2 JP7323636 B2 JP 7323636B2
Authority
JP
Japan
Prior art keywords
network
data packet
simulated
reachability
instance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021559267A
Other languages
English (en)
Other versions
JP2022526986A (ja
Inventor
リウ,ホイ
チョン,レスリー
ヤン,ホンクン
アグラワル,シシャ
ヤバトカル,ラジ
ルオ,ティエンチオン
アダブ,ガールギー
スモルカ,ステフェン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Google LLC
Original Assignee
Google LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Google LLC filed Critical Google LLC
Publication of JP2022526986A publication Critical patent/JP2022526986A/ja
Priority to JP2023122374A priority Critical patent/JP2023145612A/ja
Application granted granted Critical
Publication of JP7323636B2 publication Critical patent/JP7323636B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0853Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1029Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers using data related to the state of servers by a load balancer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/26Route discovery packet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/70Routing based on monitoring results

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

技術分野
本開示は、クラウドネットワークの到達可能性解析に関する。
背景
バーチャルプライベートクラウド(VPC)は、パブリッククラウド環境内に割り当てられた共有のコンピューティングリソースのオンデマンドで構成可能なプールである。VPCは、ユーザに対して他のクラウドユーザからの独立性を提供する。VPCは、バーチャルプライベートネットワーク(VPN)を介してユーザのオンプレミスネットワークまたは他のリモートリソースと通信し得る1つまたは複数のバーチャルマシン(VM)を実行してもよい。多数のVM、ネットワークゲートウェイ、ロードバランサなどを含み得るVPCの潜在的規模および複雑さのために、VPCを動作させて維持するためには相当なネットワーク構成が必要であることが多い。
概要
本開示の一局面は、クラウドネットワーク到達可能性解析を提供するための方法を提供する。上記方法は、データ処理ハードウェアにおいて、ターゲットの到達可能性ステータスを要求する到達可能性クエリを受信するステップを含む。上記到達可能性クエリは、データパケットに関連付けられたパケットヘッダを含む。上記パケットヘッダは、上記データパケットの送信元に関連付けられた送信元インターネットプロトコル(IP)アドレスと、上記データパケットの送信先に関連付けられた送信先IPアドレスとを含む。上記解析は、上記データ処理ハードウェアが、データプレーンモデルを使用して、上記パケットヘッダに基づいて上記データパケットの1つまたは複数のシミュレーションされた転送経路を生成するステップも含む。各々のシミュレーションされた転送経路は、対応するネットワーク構成情報を含む。上記方法は、上記データ処理ハードウェアが、上記1つまたは複数のシミュレーションされた転送経路に基づいて上記ターゲットの上記到達可能性ステータスを特定するステップも含む。上記方法は、上記データ処理ハードウェアが、上記特定された到達可能性ステータスおよび上記1つまたは複数のシミュレーションされた転送経路を、上記到達可能性クエリに関連付けられたユーザデバイスに提供するステップも含む。上記1つまたは複数のシミュレーションされた転送経路は、上記ユーザデバイスによって受信されると、上記ユーザデバイスに、各々のシミュレーションされた転送経路の上記ネットワーク構成情報を提示させる。
本開示の実現例は、以下の任意の特徴のうちの1つまたは複数を含んでもよい。いくつかの実現例において、上記1つまたは複数のシミュレーションされた転送経路の上記到達可能性ステータスを特定するステップは、ネットワーク抽象状態マシンを使用するステップを含む。上記ユーザデバイスは、ローカルに通知されたルートを使用してリモートネットワークから上記データパケットを送信するように構成されてもよい。いくつかの例において、上記ネットワーク構成情報は、バーチャルプライベートクラウド(VPC)ネットワーク内で上記データパケットを導くためのポート/インターフェイス、VPCネットワーク間で上記データパケットを導くためのポート/インターフェイス、VPCネットワークと非VPCネットワークとの間で上記データパケットを導くためのポート/インターフェイス、上記対応するシミュレーションされた転送経路に沿った各ステップにおいて上記データパケットに適用されるファイアウォールルール、または上記対応するシミュレーションされた転送経路に沿った各ステップに関連付けられたネットワーク構成、のうちの少なくとも1つを含む。
任意に、上記方法は、上記データ処理ハードウェアが、上記対応するネットワーク構成情報に基づいて、上記1つまたは複数のシミュレーションされた転送経路の各々に対してネットワーク到達可能性解析を実行するステップを含む。上記ネットワーク到達可能性解析は、上記対応するシミュレーションされた転送経路に沿って上記データパケットの到達可能性の最終状態を特定すること、上記対応するシミュレーションされた転送経路に沿って1つまたは複数の不良構成を発見すること、または上記対応するシミュレーションされた転送経路に沿って不整合構成または廃止された構成を発見すること、のうちの少なくとも1つを実行するように構成されてもよい。
いくつかの実現例において、上記到達可能性の最終状態は、上記データパケットが上記送信先に送達されることを示す送達状態、上記データパケットが、不明の構成を有する別のネットワークに転送されることを示す転送状態、構成チェックポイントの失敗または構成の欠落により上記データパケットが削除されることを示す削除状態、または重要な構成の欠落により上記ネットワーク到達可能性解析が不可能であることを示すアボート状態、のうちのいずれか1つを含む。上記ネットワーク到達可能性解析を実行するステップは、オンデマンドモード、連続モード、プレサブミットモードまたはポストサブミットモードのうちの少なくとも1つのモードで上記ネットワーク到達可能性解析を実行するステップを含んでもよい。
いくつかの例において、上記パケットヘッダはさらに、上記データパケットに関連付けられたプロトコルと、上記データパケットに関連付けられた送信元ポートと、上記データパケットに関連付けられた送信先ポートとを含む。上記データパケットの上記送信元は、第1のネットワークにおいて実行される第1のインスタンスを含んでもよく、上記データパケットの上記送信先は、上記第1のネットワークとは異なる第2のネットワークにおいて実行される第2のインスタンスを含んでもよい。いくつかの実現例において、上記第1のネットワークは、VPCネットワークを含み、上記第2のネットワークは、オンプレミスネットワークを含む。上記第1のネットワークおよび上記第2のネットワークは、それぞれのVPCネットワークを含んでもよい。
上記データパケットの上記送信元は、第1のインスタンスを含んでもよく、上記データパケットの上記送信先は、第2のインスタンスを含んでもよい。上記第1のインスタンスも上記第2のインスタンスも、同一のVPCネットワークにおいて実行される。上記データパケットの上記送信元は、外部ネットワークに位置し、上記データパケットの上記送信先は、VPCネットワークにおいて実行されるグローバルHTTPSロードバランサを含んでもよい。上記グローバルHTTPSロードバランサは、上記データパケットを複数の異なるバックエンドのうちの1つにルーティングするように構成される。上記データパケットの1つまたは複数のシミュレーションされた転送経路を生成するステップは、上記グローバルHTTPSロードバランサから上記複数の異なるバックエンドのうちの各々への対応するシミュレーションされた転送経路を生成するステップを含んでもよい。
本開示の別の局面は、クラウド到達可能性解析を提供するためのシステムを提供する。上記システムは、データ処理ハードウェアと、上記データ処理ハードウェアと通信するメモリハードウェアとを含む。上記メモリハードウェアは、命令を格納し、上記命令は、上記データ処理ハードウェア上で実行されると、上記データ処理ハードウェアに動作を実行させる。上記動作は、ターゲットの到達可能性ステータスを要求する到達可能性クエリを受信するステップを含む。上記到達可能性クエリは、データパケットに関連付けられたパケットヘッダを含む。上記パケットヘッダは、上記データパケットの送信元に関連付けられた送信元インターネットプロトコル(IP)アドレスと、上記データパケットの送信先に関連付けられた送信先IPアドレスとを含む。上記解析は、データプレーンモデルを使用して、上記パケットヘッダに基づいて上記データパケットの1つまたは複数のシミュレーションされた転送経路を生成するステップも含む。各々のシミュレーションされた転送経路は、対応するネットワーク構成情報を含む。上記動作は、上記1つまたは複数のシミュレーションされた転送経路に基づいて上記ターゲットの上記到達可能性ステータスを特定するステップも含む。上記動作は、上記特定された到達可能性ステータスおよび上記1つまたは複数のシミュレーションされた転送経路を、上記到達可能性クエリに関連付けられたユーザデバイスに提供するステップも含む。上記1つまたは複数のシミュレーションされた転送経路は、上記ユーザデバイスによって受信されると、上記ユーザデバイスに、各々のシミュレーションされた転送経路の上記ネットワーク構成情報を提示させる。
この局面は、以下の任意の特徴のうちの1つまたは複数を含んでもよい、いくつかの実現例において、上記1つまたは複数のシミュレーションされた転送経路の上記到達可能性ステータスを特定するステップは、ネットワーク抽象状態マシンを使用するステップを含む。上記ユーザデバイスは、ローカルに通知されたルートを使用してリモートネットワークから上記データパケットを送信するように構成されてもよい。いくつかの例において、上記ネットワーク構成情報は、バーチャルプライベートクラウド(VPC)ネットワーク内で上記データパケットを導くためのポート/インターフェイス、VPCネットワーク間で上記データパケットを導くためのポート/インターフェイス、VPCネットワークと非VPCネットワークとの間で上記データパケットを導くためのポート/インターフェイス、上記対応するシミュレーションされた転送経路に沿った各ステップにおいて上記データパケットに適用されるファイアウォールルール、または上記対応するシミュレーションされた転送経路に沿った各ステップに関連付けられたネットワーク構成、のうちの少なくとも1つを含む。
任意に、上記動作は、上記対応するネットワーク構成情報に基づいて、上記1つまたは複数のシミュレーションされた転送経路の各々に対してネットワーク到達可能性解析を実行するステップを含む。上記ネットワーク到達可能性解析は、上記対応するシミュレーションされた転送経路に沿って上記データパケットの到達可能性の最終状態を特定すること、上記対応するシミュレーションされた転送経路に沿って1つまたは複数の不良構成を発見すること、または上記対応するシミュレーションされた転送経路に沿って不整合構成または廃止された構成を発見すること、のうちの少なくとも1つを実行するように構成されてもよい。
いくつかの実現例において、上記到達可能性の最終状態は、上記データパケットが上記送信先に送達されることを示す送達状態、上記データパケットが、不明の構成を有する別のネットワークに転送されることを示す転送状態、構成チェックポイントの失敗または構成の欠落により上記データパケットが削除されることを示す削除状態、または重要な構成の欠落により上記ネットワーク到達可能性解析が不可能であることを示すアボート状態、のうちのいずれか1つを含む。上記ネットワーク到達可能性解析を実行するステップは、オンデマンドモード、連続モード、プレサブミットモードまたはポストサブミットモードのうちの少なくとも1つのモードで上記ネットワーク到達可能性解析を実行するステップを含んでもよい。
いくつかの例において、上記パケットヘッダはさらに、上記データパケットに関連付けられたプロトコルと、上記データパケットに関連付けられた送信元ポートと、上記データパケットに関連付けられた送信先ポートとを含む。上記データパケットの上記送信元は、第1のネットワークにおいて実行される第1のインスタンスを含んでもよく、上記データパケットの上記送信先は、上記第1のネットワークとは異なる第2のネットワークにおいて実行される第2のインスタンスを含んでもよい。いくつかの実現例において、上記第1のネットワークは、VPCネットワークを含み、上記第2のネットワークは、オンプレミスネットワークを含む。上記第1のネットワークおよび上記第2のネットワークは、それぞれのVPCネットワークを含んでもよい。
上記データパケットの上記送信元は、第1のインスタンスを含んでもよく、上記データパケットの上記送信先は、第2のインスタンスを含んでもよい。上記第1のインスタンスも上記第2のインスタンスも、同一のVPCネットワークにおいて実行される。上記データパケットの上記送信元は、外部ネットワークに位置し、上記データパケットの上記送信先は、VPCネットワークにおいて実行されるグローバルHTTPSロードバランサを含んでもよい。上記グローバルHTTPSロードバランサは、上記データパケットを複数の異なるバックエンドのうちの1つにルーティングするように構成される。上記データパケットの1つまたは複数のシミュレーションされた転送経路を生成するステップは、上記グローバルHTTPSロードバランサから上記複数の異なるバックエンドのうちの各々への対応するシミュレーションされた転送経路を生成するステップを含んでもよい。
本開示の1つまたは複数の実現例の詳細は、添付の図面および以下の説明に記載されている。他の局面、特徴および利点は、説明および図面および特許請求の範囲から明らかであろう。
クラウドネットワーク到達可能性解析を実行するための例示的なシステムの概略図である。 図1のシステムのバーチャルマシンの例示的な構成要素の概略図である。 図1のシステムのネットワーク抽象状態マシンを含む例示的な構成要素の概略図である。 シミュレーションされた転送経路の特定された到達可能性ステータスを示す例示的なレポートの概略図である。 図3のネットワーク抽象状態マシンの概略図である。 バーチャルマシンと別のバーチャルマシンとの間の転送経路をシミュレーションするためのネットワーク抽象状態マシンの状態図の概略図である。 バーチャルマシンとロードバランサとの間の転送経路をシミュレーションするためのネットワーク抽象状態マシンの状態図の概略図である。 バーチャルマシンとオンプレミスネットワークとの間の転送経路をシミュレーションするためのネットワーク抽象状態マシンの状態図の概略図である。 インターネットとバーチャルマシンとの間の転送経路をシミュレーションするためのネットワーク抽象状態マシンの状態図の概略図である。 オンプレミスネットワークバーチャルマシンとバーチャルプライベートクラウドバーチャルマシンとの間の転送経路をシミュレーションするためのネットワーク抽象状態マシンの状態図の概略図である。 シミュレーションされたデータパケットの最終到達可能性状態の原因の表である。 シミュレーションされたデータパケットの最終到達可能性状態の原因の表である。 ロードバランサを介した外部ホストとバーチャルプライベートクラウドバーチャルマシンとの間のシミュレーションされた転送経路の概略図である。 クラウドネットワーク到達可能性解析を実行する方法のための動作の例示的な構成のフローチャートである。 本明細書に記載されているシステムおよび方法を実現するために使用され得る例示的なコンピューティングデバイスの概略図である。
さまざまな図面における同様の参照符号は、同様の要素を示す。
詳細な説明
バーチャルプライベートクラウド(VPC)は、ユーザに対して他のクラウドユーザからの独立性を提供するためにパブリッククラウド環境内に割り当てられた共有のコンピューティングリソースのオンデマンドで構成可能なプールである。この独立(分離)は、プライベートインターネットプロトコル(IP)サブネットおよび/またはバーチャル通信構成体を割り当てることによって行われてもよい。VPCは、VPC環境への安全性の高いアクセスを確実にするために、バーチャルプライベートネットワーク(VPN)を介してユーザのオンプレミスネットワークまたは他のリモートリソースと通信し得る1つまたは複数のバーチャルマシン(VM)を実行してもよい。VPC環境の中には、規模が非常に大きくて(すなわち、多数のVM、ネットワークゲートウェイ、ロードバランサなどを含む)非常に複雑であるものもあるので、VPCネットワークを動作させて維持するためには相当なネットワーク構成が必要であることが多い。
本明細書における実現例は、ユーザが、複数のフィールド(たとえば、送信元アドレスおよび送信先アドレス、プロトコル、送信元ポートおよび送信先ポートなど)を有するパケットヘッダを指定して、VPCネットワーク、ピアリングVPCネットワーク、VPNトンネルを介したおよび/またはユーザのオンプレミスネットワークへのデータパケットの少なくとも1つの予想される転送経路を(パケットヘッダを使用して)シミュレーションすることを可能にするクラウド到達可能性解析部に向けられる。クラウド到達可能性解析部は、各々のシミュレーションされた経路に対して、たとえばルートおよびファイアウォールルールを含む構成情報を提供する。転送経路の状態を実際に検証する(すなわち、データパケットを実際に送信する)こととは対照的に、クラウド到達可能性解析部は、その代わりに、VPCネットワークのアクティブな構成に基づいて解析を実行する。これは、「インテントベースの」パケットトレーシングと称されることもある。
すなわち、クラウド到達可能性解析部は、VPC内またはVPCネットワークと非VPCネットワーク(たとえば、オンプレミスネットワーク)との間のネットワーク到達可能性の構成ベースの静的な解析を提供する。ユーザは、パケットヘッダの1つまたは複数のパラメータを指定してもよく、クラウド到達可能性解析部は、パケット転送経路を生成してシミュレーションする。クラウド到達可能性解析部は、各々のシミュレーションされた経路の各ステップについて、一致する構成(たとえば、ファイアウォールルール、ルートなど)を提供する。したがって、クラウド到達可能性解析部は、ユーザがネットワーク構成を用いて所期の到達可能性を検証することを可能にし、不整合構成、廃止された構成または正しく構成されていない構成を発見することを手助けする。また、クラウド到達可能性解析部は、新たな構成変更からエラーを確認して検出し、提案されている構成変更によるネットワーク接続性の影響を解析する。
図1を参照して、いくつかの実現例において、例示的なシステム100は、ユーザデバイス10を含み、ユーザデバイス10は、それぞれのユーザ12に関連付けられて、ネットワーク60(たとえば、インターネット)およびオンプレミスネットワーク70(すなわち、ユーザデバイス10がネットワーク60に接続するために使用するローカルネットワーク)を介してリモートシステム140と通信する。オンプレミスネットワーク70は、オンプレミスネットワーク70のための転送ホストの役割を果たすネットワークゲートウェイ72(たとえば、ルータ)を含む。ユーザデバイス10は、デスクトップワークステーション、ラップトップワークステーションまたはモバイルデバイス(すなわち、スマートフォン)などの任意のコンピューティングデバイスに対応してもよい。ユーザデバイス10は、コンピューティングリソース18(たとえば、データ処理ハードウェア)および/またはストレージリソース16(たとえば、メモリハードウェア)を含む。
リモートシステム140は、コンピューティングリソース144(たとえば、データ処理ハードウェア)を含むスケーラブルな/弾力性のあるリソース142、および/または、ストレージリソース146(たとえば、メモリハードウェア)を有する単一のコンピュータ、複数のコンピュータ、または分散型システム(たとえば、クラウド環境)であってもよい。クライアントまたはコンピューティングリソース144のうちの1つまたは複数によるストレージリソース146のスケーラブルな使用を可能にするために、ストレージリソース146上にデータストア(すなわち、リモートストレージデバイス)を配置してもよい。リモートシステム140は、1つまたは複数のバーチャルマシン(VM)250,250a~nを実装して実行するように構成される。VMのうちの1つまたは複数は、ユーザ12に関連付けられるかまたはユーザ12によって操作されるバーチャルプライベートクラウド(VPC)環境またはVPCネットワーク148において、セキュリティ上安全に実行される。VPCネットワーク148は、ロードバランサ、ゲートウェイ、フロントエンドおよびバックエンドなどのさまざまな他のネットワーク要素を含んでもよい。
図2に示されている例において、分散型システム140は、リソース110(たとえば、ハードウェアリソース110h)のコレクション210と、バーチャルマシンモニタ(VMM)220と、VM250のうちの1つまたは複数を実行するVMレイヤ240と、アプリケーションレイヤ260とを含む。各ハードウェアリソース110hは、1つまたは複数の物理的中央処理装置(pCPU)144(「物理的なプロセッサ144」)と、メモリハードウェア146とを含んでもよい。各ハードウェアリソース110hは、単一の物理的なプロセッサ144を有するように示されているが、いずれのハードウェアリソース110hも複数の物理的なプロセッサ144を含んでもよい。オペレーティングシステム212は、リソース110のコレクション210上で実行されてもよい。
いくつかの例において、VMM220は、VM250を作成して実行するように構成されたソフトウェア、ファームウェアまたはハードウェアのうちの少なくとも1つを含むハイパーバイザ220(たとえば、Compute Engine)に対応する。1つまたは複数のVM250を実行するVMM220に関連付けられたコンピュータ(すなわち、データ処理ハードウェア144)は、ホストマシンと称されることもあるのに対して、各VM250は、ゲストマシンと称されることもある。ここで、VMM220またはハイパーバイザは、バーチャルオペレーティングプラットフォームを有する対応するゲストオペレーティングシステム(OS)212gを各VM250に提供して、VM250上での対応するゲストOS212gの実行を管理するように構成される。本明細書において使用される各VM250は、「インスタンス」または「VMインスタンス」と称されることもある。いくつかの例において、さまざまなオペレーティングシステムの複数のインスタンスは、仮想化されたリソースを共有してもよい。たとえば、Linux(商標)オペレーティングシステムの第1のVM250、Windows(商標)オペレーティングシステムの第2のVM250、およびOS X(商標)オペレーティングシステムの第3のVM250は全て、単一の物理的なx86マシン上で動作してもよい。
VMレイヤ240は、1つまたは複数のバーチャルマシン250を含む。分散型システム140は、ユーザ12がオンデマンドでVM250を起動することを可能にする。VM250は、実際のコンピュータシステムをエミュレートして、専用のハードウェア、ソフトウェアまたはそれらの組み合わせを含み得る実際のコンピュータシステムまたは仮想のコンピュータシステムのコンピュータアーキテクチャおよび機能に基づいて動作する。いくつかの例において、分散型システム140は、1つまたは複数のVM250を起動する前にユーザ12を認可して認証する。ソフトウェアのインスタンス、または単純にインスタンスとは、分散型システム140のデータ処理ハードウェア144上で提供される(実行される)VM250のことである。
各VM250は、1つまたは複数のバーチャル中央処理装置(vCPU)252(「バーチャルプロセッサ」)を含んでもよい。示されている例において、第1のバーチャルマシン250aは、1つまたは複数のバーチャルプロセッサ252の第1のセット252aを含み、第2のバーチャルマシン250bは、1つまたは複数のバーチャルプロセッサ252の第2のセット252bを含む。第2のセット252bはバーチャルプロセッサ252を1つだけ含むものとして示されているが、いかなる数のバーチャルプロセッサ252を含むことも可能である。各バーチャルプロセッサ252は、1つまたは複数の物理的なプロセッサ144をエミュレートする。たとえば、1つまたは複数のバーチャルプロセッサ252の第1のセット252aは、1つまたは複数の物理的なプロセッサ144の第1のセット113aをエミュレートし、1つまたは複数のバーチャルプロセッサ252の第2のセット252bは、1つまたは複数の物理的なプロセッサ144の第2のセット113bをエミュレートする。アプリケーションレイヤ260は、バーチャルマシン250上で実行され得るソフトウェアリソース110s,110sa,110sb(ソフトウェアアプリケーション)を含む。
一般に、ソフトウェアの各インスタンス(たとえば、バーチャルマシン250)は、物理的なメモリハードウェア146上でのサービスのために揮発性および不揮発性記憶容量を提供する少なくとも1つのバーチャルストレージデバイス262を含む。たとえば、物理的なメモリハードウェア146上の記憶容量は、永続ディスク(PD)を含み得て、永続ディスク(PD)は、揮発性メモリを提供するために、メモリハードウェア146またはランダムアクセスメモリ(RAM)のいくつかの物理的なディスク(たとえば、メモリ領域116(図13))にわたってユーザ12のためにデータを格納する。より具体的には、対応するVM250の各バーチャルストレージデバイス262は、不揮発性ストレージを提供するために、メモリハードウェア146上の関連付けられた物理的なブロックストレージボリュームVに、バイトまたはビット(ブロック)のシーケンスの状態でデータを移動させる。したがって、対応するVMインスタンス250のバーチャルストレージデバイス262は、メモリハードウェア146上で対応する物理的なブロックストレージボリュームVにマッピングする記憶容量を提供する。いくつかの例において、バーチャルストレージデバイス262は、メモリハードウェア146上のデータへのランダムアクセスをサポートし、一般にバッファリングされたI/Oを使用する。例としては、ハードディスク、CD-ROMドライブおよびフラッシュドライブが挙げられる。同様に、物理的なメモリハードウェア146の揮発性メモリ(たとえば、RAM)の一部は、バーチャルストレージデバイス262にわたって分配されてもよい。
ゲストオペレーティングシステム212g内には、ゲストカーネル214gがある。カーネルは、OSに対するアクセスおよび制御が十分なオペレーティングシステムのコアであるコンピュータプログラムである。すなわち、カーネルは、ホストマシンのアプリケーション110sとハードウェアリソース110hとの間の仲介役である。最も最近のコンピューティングシステムは、バーチャルメモリを保護されたカーネル空間およびユーザ空間216gに分離する。一般に、カーネルは、保護されたカーネル空間内の揮発性メモリにとどまり、ユーザ空間216gから分離されている。安全性および信頼性を向上させるために、アプリケーション110sおよび他のソフトウェアサービスは、一般的には、ゲストユーザ空間216gにおいて実行され、保護されたカーネル空間と対話するのに必要な特権を有していない。
図1に戻って、リモートシステム140は、VPCネットワーク148および/またはオンプレミスネットワーク70間または内で1つまたは複数のネットワーク転送経路80,80a~nを解析するためのクラウド到達可能性解析部150を実行して、各ネットワーク転送経路80に関する到達可能性ステータス172および/またはネットワーク構成情報162を特定する。
クラウド到達可能性解析部150は、ターゲットの到達可能性ステータス172を要求する到達可能性クエリ20をユーザデバイス10から受信する。このターゲットは、オンプレミスネットワークゲートウェイ72、1つまたは複数のVM250、ファイアウォールルール、および/または、ロードバランサ(図11)などのVCPネットワーク148の他の構成要素を含んでもよい。ターゲットがファイアウォールルールである場合、到達可能性ステータス172は、VPCネットワーク148に送達されて構成の中の特定のルールにヒットし得るパケットが存在するか否かによって決まる。到達可能性クエリ20は、データパケット24に関連付けられたパケットヘッダ22(たとえば、インターネットプロトコル(IP)バージョン4(IPv4)またはIPバージョン6(IPv6)パケットヘッダ)を含む。いくつかの例では、到達可能性クエリ20は、データパケット24と、関連付けられたパケットヘッダ22とを含むが、他の例では、クラウド到達可能性解析部150は、パケットヘッダ22を受信して対応するデータパケット24を生成する。パケットヘッダ22は、複数のデータパケットパラメータ25,25a~nを含む。たとえば、パケットヘッダ22は、送信元インターネットプロトコル(IP)アドレス25aと、送信先IPアドレス25bとを含む。任意に、パケットヘッダ22は、プロトコルタイプ25c、送信元ポート25dおよび/または送信先ポート25eなどの他のパラメータ25を含む。
クラウド到達可能性解析部150は、関連付けられたパケットヘッダ22を有するデータパケット24を受信または取得する経路生成部160を含む。経路生成部160は、データプレーンモデル164を使用して、パケットヘッダ22に基づいてデータパケット24の1つまたは複数のシミュレーションされた転送経路80(本明細書では、トレースとも称される)を生成する。各々のシミュレーションされた転送経路80は、対応するネットワーク構成情報162を含む。データプレーンモデル164は、VPCネットワーク148のネットワーク構成要素からネットワーク構成情報162を取得し、たとえば、VPCネットワーク148内でデータパケット24を導くためのポート/インターフェイス、異なるVPCネットワーク148間でデータパケット24を導くためのポート/インターフェイス、VPCネットワーク148と非VPCネットワーク(たとえば、オンプレミスネットワーク70)との間でデータパケット24を導くためのポート/インターフェイス、対応するシミュレーションされた転送経路80に沿った各ステップにおいてデータパケット24に適用されるファイアウォールルール、および/または、対応するシミュレーションされた転送経路80に沿った各ステップに関連付けられたネットワーク構成を含む。本明細書において使用されるシミュレーションされた転送経路80に沿った各ステップとは、送信元インスタンスと送信先インスタンスとの間の中間デバイス(たとえば、ゲートウェイ、ロードバランサなど)のことである。
いくつかの実現例において、データプレーンモデル164は、ネットワーク構成情報162からインスタンスを導き出すことによってネットワーク148のデータプレーンをモデル化する理想的なデータプレーンモデルである。いくつかの例において、ネットワーク構成情報162は、VPCネットワーク148に関連付けられたプロジェクト構成に格納される。データプレーンモデル164は、導き出されたインスタンスを解析して、到達可能性特性を特定して検証する。すなわち、データプレーンモデル164は、到達可能性解析のために関連するネットワーク構成を抽象化する。ネットワーク構成情報162は、VPCネットワーク構成情報、ネットワークサービス情報(たとえば、ロードバランサ)、ハイブリッドクラウド構成、VM構成および/またはプラットフォーム構成(たとえば、コンテナ化されたアプリケーションのためのプラットフォーム)を含んでもよい。
シミュレーションされた転送経路80は、VPCネットワーク148内および/またはVPCネットワーク148とオンプレミスネットワーク70との間のデータパケット24の転送経路を表す。たとえば、1つのシミュレーションされた転送経路80は、第1のインスタンス(たとえば、VM250a)から第2のインスタンス(たとえば、VM250b)への転送経路を表し、第1のインスタンスも第2のインスタンスも同一のVPCネットワーク148において実行される。任意に、1つのシミュレーションされた転送経路80についてのデータパケットの送信元は、VPCネットワーク148である第1のネットワークにおいて実行されるインスタンス(たとえば、VM250)であり、送信先は、第1のネットワークとは異なるVPCネットワーク148である第2のネットワークにおいて実行される第2のインスタンス(たとえば、異なるVM250)である。
別の例において、1つのシミュレーションされた転送経路80は、1つのVM250から外部ネットワーク(たとえば、インターネット60)への転送経路80を表す。すなわち、データパケット24の送信元(すなわち、送信元IPアドレス25a)は、第1のネットワークにおいて実行される第1のインスタンス(たとえば、VPCネットワーク148におけるVM250)を含み、データパケット24の送信先(すなわち、送信先IPアドレス25b)は、第1のネットワークとは異なる第2のネットワーク(たとえば、オンプレミスネットワーク70)において実行される第2のインスタンスを含む。さらに他の例において、シミュレーションされた転送経路80は、VM250からロードバランサ1110(図11)へ、および/または、(たとえば、バーチャルプライベートネットワーク(VPN)トンネルを介して)VM250からオンプレミスネットワーク70のネットワークゲートウェイ72へを表す。これらの例の各々は、方向が逆にされてもよい。すなわち、シミュレーションされた転送経路80のうちの1つは、インターネット60からVM250またはロードバランサ1110へ、および/または、オンプレミスネットワークゲートウェイ72からVM250へを含んでもよい。ユーザデバイス10は、ローカルに通知されたルートを使用してリモートネットワーク(たとえば、オンプレミスネットワーク70)からデータパケット24を送信するように構成されてもよい。すなわち、クラウド到達可能性解析部150は、オンプレミスネットワーク70のネットワーク構成情報162へのアクセスを有することができないので、クラウド到達可能性解析部150は、オンプレミスネットワーク70から発生するデータパケット24に対して正しいルートおよびファイアウォールルールが構成されるか否かを確認することができない。しかし、クラウド到達可能性解析部150は、VPCネットワーク148からの構成がデータパケット24を意図された送信先に送達することを可能にするか否かを確認することができる。クラウド到達可能性解析部150によって確認される最も重要な構成は、通知されたルートおよびイングレスファイアウォールルールを含む。
別の例として、データパケット24の送信元は、外部ネットワーク(たとえば、オンプレミスネットワーク70)に位置し、データパケット24の送信先は、VPCネットワーク148において実行されるグローバルHTTPSロードバランサ1110を含む。グローバルHTTPSロードバランサ1110は、データパケット24を複数の異なるバックエンドVM250(図11)のうちの1つにルーティングするように構成されてもよい。経路生成部160は、グローバルHTTPSロードバランサから複数の異なるバックエンドVM250のうちの各々への対応するシミュレーションされた転送経路80を生成してもよい。
本明細書に記載されている例示的な経路80は、例示に過ぎず、限定的であるよう意図されたものではない。すなわち、クラウド到達可能性解析部150は、他の転送経路80も解析またはシミュレーションしてもよい。たとえば、クラウド到達可能性解析部150は、他のネットワーク(たとえば、オンプレミスネットワーク70またはピアリングVPCネットワーク)のネットワーク構成情報162を(たとえば、ユーザ12から)受信または取得し、これらのネットワークを介したシミュレーションされた経路80を含んでもよい。言い換えれば、クラウド到達可能性解析部150は、クラウド到達可能性解析部150がネットワーク構成情報162を取得する任意のネットワークおよび関連付けられたネットワーク構成要素(たとえば、ゲートウェイ、ロードバランサ、フロントエンド、バックエンドなど)を介した転送経路80を解析してもよい。いくつかの例において、クラウド到達可能性解析部150は、ネットワーク構成情報162が入手できなくなった時点で(たとえば、オンプレミスゲートウェイ72において)解析を停止する。
経路生成部160は、経路80および対応するネットワーク構成情報162を経路解析部170に渡し、経路解析部170は、1つまたは複数のシミュレーションされた転送経路80に基づいて到達可能性クエリ20のターゲットの到達可能性ステータス172を特定する。いくつかの例において、経路解析部170は、対応するネットワーク構成情報162に基づいて、1つまたは複数のシミュレーションされた転送経路80の各々に対してネットワーク到達可能性解析を実行する。経路解析部170は、オンデマンドモード、連続モード、プレサブミットモードまたはポストサブミットモードのうちの少なくとも1つのモードでネットワーク到達可能性解析を実行してもよい。たとえば、到達可能性クエリ20は、ユーザデバイス10がクラウド到達可能性解析部150に停止するよう指示するまでの(または、他の閾値が満たされるまでの、たとえばある時間が経過するまでの)、単一のシミュレーションまたは連続的なシミュレーションの要求を示してもよい。いくつかの実現例において、経路解析部170は、対応するシミュレーションされた転送経路80に沿って1つまたは複数の不良構成を発見することによって、または、対応するシミュレーションされた転送経路80に沿って不整合構成または廃止された構成を発見することによって、対応するシミュレーションされた転送経路80に沿ったデータパケット24の到達可能性の最終状態172(本明細書では、到達可能性ステータス172とも称される)を特定する。
クラウド到達可能性解析部150は、特定された到達可能性ステータス172および1つまたは複数のシミュレーションされた転送経路80を、到達可能性クエリ20に関連付けられたユーザデバイス10に提供する。以下でより詳細に説明するように、1つまたは複数のシミュレーションされた転送経路80は、ユーザデバイス10によって受信されると、ユーザデバイス10に、各々のシミュレーションされた転送経路80のネットワーク構成情報162をユーザ12に対して提示させる。
ここで図3Aを参照して、いくつかの実現例において、経路解析部170は、1つまたは複数のシミュレーションされた転送経路80を生成するためのネットワーク抽象状態マシン(NAM)400を含む。NAM400は、VPCネットワーク148がどのようにしてデータパケットを処理するかについての理想的なモデルであってもよい。いくつかの例において、NAM400は、抽象であるため、VPCネットワーク148の実際の実装からは独立している。任意に、NAM400は、データパケット24の到達可能性の最終状態172を特定し、到達可能性の最終状態172は、データパケット24が送信先に送達されることを示す送達状態174a、データパケット24が、不明の構成を有する別のネットワークに転送されることを示す転送状態174b、構成チェックポイントの失敗または構成の欠落によりデータパケット24が削除されることを示す削除状態174c、または重要な構成の欠落によりネットワーク到達可能性解析が不可能であることを示すアボート状態174dのうちのいずれか1つを含む。NAM400は、状態が複数の後継状態を有し得るという点において非決定的であってもよい。たとえば、同一のIPマスクおよび優先順位を有するいくつかのルートがデータパケットに適用される場合、不特定のハッシュ関数に基づいてそれらの中からルートが選択される。これは、基本的には決定的なプロセスであるが、ルートのうちの1つを非決定的に選択することによってよりよくモデル化される。なぜなら、ハッシュ関数は、変更される可能性がある内部実装であるからである。
ここで図3Bを参照して、クラウド到達可能性解析部150は、各々のシミュレーションされた転送経路80の特定された到達可能性ステータス172をユーザデバイス10に提供する。これは、ユーザデバイスに、各々のシミュレーションされた転送経路80のネットワーク構成情報162をユーザ12に対して提示させる。たとえば、レポート300は、生成されたデータパケット24(たとえば、パケットヘッダ22)に関する詳細をユーザ12に示してもよい。レポート300は、トレースまたはシミュレーションされた転送経路80に沿った各ステップ310,310a~nまたはホップに関連する情報を示してもよい。示されている例において、データパケット24は、ステップ310a(すなわち、ステップ0)において送信元インスタンスから出発し、ステップ310b(すなわち、ステップ1)においてエグレスファイアウォールルールが適用され、ステップ310c(すなわち、ステップ2)においてデータパケットがルーティングされ、ステップ310d(すなわち、ステップ3)において送信先インスタンスに到達し、ステップ310e(すなわち、ステップ4)においてイングレスファイアウォールルールが適用され、ステップ310f(すなわち、ステップ5)において送信先インスタンスに送達される。これらのステップ310の各々は、関連するネットワーク構成情報162を含む。
レポート300は、各々のシミュレーションされた転送経路80の特定された到達可能性ステータス172の理由または根拠(たとえば、パケットは、ファイアウォールルールによって拒否されたので削除された)を示してもよく、その目的は、トラブルシューティングを手助けし、および/もしくは、不整合構成および無効な構成によって引き起こされるネットワーク接続を検出するためであり、または、新たなもしくは変更された構成を確認するためである。いくつかの例において、クラウド到達可能性解析部150は、構成変更影響解析を提供する。シミュレーションされた転送経路80の各々は、アプリケーション(たとえば、ウェブブラウザ)の一部としてユーザデバイス上のグラフィカルユーザインターフェイス(GUI)の一部として提示されてもよい。示されている例は、1つだけの転送経路80(すなわち、トレース1)に関する詳細を提供しているが、シミュレーションされた各転送経路80(すなわち、複数のトレース)が提供されてもよい。いくつかの例において、レポート300は、データパケット24の特定された到達可能性ステータス172を示す概要セクション320を含む。
ここで図4を参照して、いくつかの実現例において、NAM400は、エグレスチェック410と、イングレスチェック420と、経路に特有のチェック430とを含む。いくつかの例において、エグレスチェック410は、エグレスファイアウォールチェック412と、一致ルート414とを含む。エグレスファイアウォールチェックは、(たとえば、ネットワーク構成情報162内で)一致するエグレスファイアウォールルールを探し出す。エグレスファイアウォールルールは、送信元インスタンス(たとえば、VM250)に適用されるファイアウォールルールである。一致ルート414は、シミュレーションされた転送経路80にとっての適切なルートを探し出して適用してもよい。また、一致ルート414は、送信元インスタンスがVM250である場合、送信先IPアドレス25bについて一致するルートがあるか否かを判断してもよい。一致するルートがない場合、NAM400は、ルートを、インターネットゲートウェイとして次のホップを有するデフォルトルートと一致させてもよい。イングレスファイアウォールチェック422は、エグレスファイアウォールチェック412のように、一致するイングレスファイアウォールルール(すなわち、送信先インスタンスに適用されるファイアウォールルール)を探し出して適用する。
経路に特有のチェック430は、NAM400が評価しているシミュレーションされた転送経路80のタイプに基づく。すなわち、経路に特有のチェック430は、シミュレーションされた転送経路80の送信元インスタンスおよび送信先インスタンスに左右される。たとえば、送信先インスタンスがVPNトンネル434を介したVPNゲートウェイ432である場合、特定の状態(図7)がNAM400による評価に含まれる。同様に、送信先インスタンスが転送ルール436を有するロードバランサである場合、異なる状態(図6および図8)が評価される。送信先インスタンスがピアリングネットワークゲートウェイ438である場合、さらに他の状態がNAM400の状態マシンにおいて評価される。
図5~図9は、データパケット24のさまざまなシミュレーションされた転送経路80を解析する際のNAM400を表す例示的な状態マシン500,600,700,800,900を示す図である。たとえば、図5は、第1のVM250と第2のVM250との間または第1のVM250からインターネット60へのシミュレーションされた転送経路80を解析する際のNAM400の状態マシン500を示す。状態マシン500は、送信元VM250に対応するインスタンス状態510から開始する。そこから、状態マシン500は、アボート状態512(たとえばネットワーク構成情報162の欠落により解析が続行できない)、エグレスファイアウォールルールを適用514、または、VM250が外部IP(Foreign IP)を有するデータパケットを送受信することを許可されるスプーフィングチェック518状態に遷移する。削除状態516において、データパケット24は、ネットワーク構成チェックの失敗またはネットワーク構成情報162の欠落により削除されてもよい。状態520において、適切なルートが探し出されて適用され、状態522において、データパケット24はVMインスタンスに到達してもよく、状態528において、データパケット24は構成が不明である(したがって、解析が停止する)別のネットワークに転送されてもよく、状態526において、ネットワークアドレス変換(NAT)によりパケットヘッダ22を修正してもよく、または、状態524において、イングレスファイアウォールルールを適用してもよい。状態530において、データパケット24は、パケットヘッダ22に指定された送信先に送達される。
ここで図6を参照して、状態マシン600は、VM250とロードバランサ1110(図11)との間のシミュレーションされた転送経路80を解析する際のNAM400を表す。状態マシン600は、送信元VM250に対応するインスタンス状態610から開始する。そこから、状態マシン600は、アボート状態612(たとえばネットワーク構成情報162の欠落により解析が続行できない)、エグレスファイアウォールルールを適用614、または、VM250が外部IPを有するデータパケットを送受信することを許可されるスプーフィングチェック618状態に遷移する。削除状態616において、データパケット24は、ネットワーク構成チェックの失敗またはネットワーク構成情報162の欠落により削除されてもよい。状態620において、適切なルートが探し出されて適用され、状態622において、構成が不明である(したがって、解析が停止する)別のネットワークに転送されてもよい。状態624において、NAM400は、適切な転送ルールを適用し、状態626において、内部または外部ロードバランサ1110に到達する。そこから、データパケット24は、1つまたは複数のバックエンド628,628a~nに転送されてもよく、データパケットは、状態630において削除されるか、または状態632において送達される。
ここで図7を参照して、状態マシン700は、VPNを介したVM250とオンプレミスネットワーク70との間のシミュレーションされた転送経路80を解析する際のNAM400を表す。状態マシン700は、送信元VM250に対応するインスタンス状態710から開始する。そこから、状態マシン600は、アボート状態712(たとえばネットワーク構成情報162の欠落により解析が続行できない)、エグレスファイアウォールルールを適用714、または、VM250が外部IPを有するデータパケットを送受信することを許可されるスプーフィングチェック718状態に遷移する。削除状態716において、データパケット24は、ネットワーク構成チェックの失敗またはネットワーク構成情報162の欠落により削除されてもよい。状態720において、適切なルートが探し出されて適用され、状態722において、構成が不明である(したがって、解析が停止する)別のネットワークに転送され、その後、1つまたは複数のオンプレミスバックエンド728,728a~nに転送される。状態724において、データパケット24は、VPNトンネルのローカル側に到達し、状態726において、データパケット24は、VPNゲートウェイに到達して、1つまたは複数のVCPバックエンド628に転送されてもよい。
ここで図8を参照して、状態マシン800は、インターネット60とVM250との間またはインターネット60とロードバランサ1110との間のシミュレーションされた転送経路80を解析する際のNAM400を表す。状態マシン800は、インターネット60から発生するデータパケット24のインターネット状態810から開始する。そこから、状態マシン800は、状態816に進んでもよく、状態816において、データパケット24は、ネットワーク構成チェックの失敗またはネットワーク構成情報162の欠落により削除される。また、状態マシン800は、状態812に進んで、NATによりパケットヘッダ22を修正してもよい。NAT状態812から、データパケット24は、818においてVMインスタンスに到達し、状態820において削除されるか、または状態822において送達される。また、状態マシン800は、状態814に進んでもよく、状態814において、送信先がロードバランサ1110である場合、適切な転送ルールを適用する。そこから、状態マシン800は、状態824に進み、状態824において、データパケット24は、外部ロードバランサに到達する。次に、状態マシン800は、プロキシ接続状態826に遷移し、プロキシ接続状態826において、以前の接続が新たな接続にプロキシされ、NAM400は、後続のトレースまたはシミュレーションのために新たなデータパケット24を生成する。そうでなければ、状態マシン800は、データパケット24を1つまたは複数のバックエンド628に転送することをシミュレーションし、データパケットは、状態828において削除されるか、または状態830において送達される。
ここで図9を参照して、状態マシン900は、オンプレミスネットワーク70(たとえば、オンプレミスネットワーク70内に位置するVM)とVCP VM250との間のシミュレーションされた転送経路80を解析する際のNAM400を表す。ここで、状態マシン900は、データパケット24がプライベートネットワーク(たとえば、オンプレミスネットワーク70)から発生する状態910から開始する。そこから、状態マシン900は、状態912に遷移して、適切なルートを適用する。次に、状態マシン900は、状態914において、ネットワーク構成チェックの失敗またはネットワーク構成情報162の欠落によりパケットを削除するか、または状態916においてインスタンスへの到達に進む。そこから、NAM400は、状態918においてイングレスファイアウォールルールを適用し、状態920においてデータパケットを送達する。
いくつかの例において、クラウド到達可能性解析部150は、VPCネットワーク148によって通知されたルートをオンプレミスネットワーク70に逆方向に追跡することによって転送経路80をシミュレーションする。クラウド到達可能性解析部150は、一般に、オンプレミスネットワーク構成へのアクセスを持たないが、クラウド到達可能性解析部150は、たとえばVPNを介したオンプレミスネットワーク70への静的および動的なルートの構成へのアクセスを有する。したがって、クラウド到達可能性解析部は、動的なルートのためにオンプレミスネットワーク70が構成または受信すべきであったVPCネットワーク148のルートをシミュレーションしてもよい。データパケット24が(VPN関連ルートから導き出された)オンプレミスネットワーク範囲から調達される場合、クラウド到達可能性解析部150は、「推測された」ルートをパケット上で適用してもよい。
ここで図10Aおよび図10Bを参照して、表1000a,1000bは、NAM400におけるデータパケットの考えられる最終到達可能性状態172(すなわち、削除174a、転送174b、送達174cまたはアボート174d)、最終状態より前のNAM400の状態(図5~図9)、および最終状態の関連付けられた原因を示す。すなわち、表1000a,1000bは、状態マシン500,600,700,800,900において最終状態174a~dに遷移する原因の例を提供する。
ここで図11を参照して、例示的な転送経路80cは、外部ホスト(たとえば、ユーザデバイス10)から開始し、インターネット60を介してVPCネットワーク148内のロードバランサ1110に進む。ロードバランサ1110は、データパケットをフロントエンドサーバ1020に転送し、フロントエンドサーバ1020は、データパケットを1つまたは複数のバックエンドまたはVM250に分配する。このシナリオでは、転送経路80cは、一般的なネットワークレベルのロードバランサよりも複雑である。この例では、クラウド到達可能性解析部150は、外部ホスト(たとえば、ユーザデバイス10)からロードバランサ1110(たとえば、グローバルHTTPSロードバランサ)にデータパケット24をトレースする。いくつかの例において、ロードバランサは、プロキシロードバランサであるため、TCP接続は、フロントエンドサーバ1020において終了し、フロントエンドサーバ1020は、1つまたは複数のバックエンドVM250との新たなTCP接続を開始する。クラウド到達可能性解析部は、NAM400を使用してこの挙動をシミュレーションする。実際のデータプレーンにおいては、ロードバランシングアルゴリズムは、各接続についてVMを選択してもよいが、クラウド到達可能性解析部150は、データプレーン経路を予測しないが、その代わりにいかなる構成問題も識別して、予想される挙動へのさらなる可視性をユーザに提供する静的構成解析ツールであってもよい。したがって、この場合、クラウド到達可能性解析部150は、各々の考えられる経路についてトレースを提供する(たとえば、VM250aに対して第1のトレース、VM250bに対して第2のトレース、およびVM250bに対して第3のトレース)。
図12は、クラウドネットワーク到達可能性解析を実行する方法1200のための動作の例示的な構成のフローチャートである。方法1200は、動作1202において、データ処理ハードウェア144において、ターゲット70,250,1110の到達可能性ステータス172を要求する到達可能性クエリ20を受信するステップを含む。到達可能性クエリ20は、データパケット24に関連付けられたパケットヘッダ22を含み、パケットヘッダ22は、データパケット24の送信元に関連付けられた送信元IPアドレス25aと、データパケット24の送信先に関連付けられた送信先IPアドレス25bとを含む。
動作1204において、方法1200は、データ処理ハードウェア144が、データプレーンモデル164を使用して、パケットヘッダ22に基づいてデータパケット24の1つまたは複数のシミュレーションされた転送経路80を生成するステップを含む。シミュレーションされた転送経路80の各々は、対応するネットワーク構成情報162を含む。動作1206において、方法1200は、データ処理ハードウェア144が、1つまたは複数のシミュレーションされた転送経路80に基づいてターゲット70,250,1110の到達可能性ステータス172を特定するステップを含む。動作1208において、方法1200は、データ処理ハードウェア144が、特定された到達可能性ステータス172および1つまたは複数のシミュレーションされた転送経路80を、到達可能性クエリ20に関連付けられたユーザデバイス10に提供するステップを含む。1つまたは複数のシミュレーションされた転送経路80は、ユーザデバイス10によって受信されると、ユーザデバイス10に、各々のシミュレーションされた転送経路80のネットワーク構成情報162を提示させる。
図13は、本明細書に記載されているシステムおよび方法を実現するために使用され得る例示的なコンピューティングデバイス1300の概略図である。コンピューティングデバイス1300は、ラップトップ、デスクトップ、ワークステーション、パーソナルデジタルアシスタント、サーバ、ブレードサーバ、メインフレームおよび他の適切なコンピュータなどのさまざまな形態のデジタルコンピュータを表すよう意図されている。ここに示されている構成要素、それらの接続および関係、ならびにそれらの機能は、例示に過ぎないよう意図されており、本明細書に記載されているおよび/またはクレームされている本発明の実現例を限定するよう意図されたものではない。
コンピューティングデバイス1300は、プロセッサ1310と、メモリ1320と、ストレージデバイス1330と、メモリ1320および高速拡張ポート1350に接続する高速インターフェイス/コントローラ1340と、低速バス1370およびストレージデバイス1330に接続する低速インターフェイス/コントローラ1360とを含む。構成要素1310,1320,1330,1340,1350および1360の各々は、さまざまなバスを使用して相互接続されており、共通のマザーボード上にまたは他の態様で適宜搭載されてもよい。プロセッサ1310は、コンピューティングデバイス1300内で実行するための命令を処理することができ、これらの命令は、高速インターフェイス1340に結合されたディスプレイ1380などの外部入力/出力デバイス上でグラフィカルユーザインターフェイス(GUI)のためのグラフィカル情報を表示するための、メモリ1320内またはストレージデバイス1330上に格納された命令を含む。他の実現例では、複数のメモリおよび複数のタイプのメモリとともに、複数のプロセッサおよび/または複数のバスが適宜使用されてもよい。また、複数のコンピューティングデバイス1300が接続されてもよく、各デバイスは、(たとえば、サーババンク、ブレードサーバの群、またはマルチプロセッサシステムとして)必要な動作の一部を提供する。
メモリ1320は、コンピューティングデバイス1300内に情報を非一時的に格納する。メモリ1320は、コンピュータ読取可能媒体、揮発性メモリユニットまたは不揮発性メモリユニットであってもよい。非一時的なメモリ1320は、コンピューティングデバイス1300による使用のためにプログラム(たとえば、命令のシーケンス)またはデータ(たとえば、プログラム状態情報)を一時的にまたは永久的に格納するために使用される物理的なデバイスであってもよい。不揮発性メモリの例としては、フラッシュメモリおよびリードオンリメモリ(ROM)/プログラマブルリードオンリメモリ(PROM)/消去可能なプログラマブルリードオンリメモリ(EPROM)/電子的に消去可能なプログラマブルリードオンリメモリ(EEPROM)(たとえば、一般に、ブートプログラムなどのファームウェアで使用される)が挙げられるが、これらに限定されるものではない。揮発性メモリの例としては、ランダムアクセスメモリ(RAM)、ダイナミックランダムアクセスメモリ(DRAM)、スタティックランダムアクセスメモリ(SRAM)、相変化メモリ(PCM)およびディスクまたはテープが挙げられるが、これらに限定されるものではない。
ストレージデバイス1330は、コンピューティングデバイス1300に対してマスストレージを提供することができる。いくつかの実現例において、ストレージデバイス1330は、コンピュータ読取可能媒体である。さまざまな異なる実現例において、ストレージデバイス1330は、ストレージエリアネットワークまたは他の構成におけるデバイスを含む、フロッピー(登録商標)ディスクデバイス、ハードディスクデバイス、光ディスクデバイス、またはテープデバイス、フラッシュメモリもしくは他の同様のソリッドステートメモリデバイス、またはデバイスのアレイであってもよい。さらなる実現例において、コンピュータプログラム製品は、情報担体において有形に具体化される。コンピュータプログラム製品は、実行されると上記の方法などの1つまたは複数の方法を実行する命令を含む。情報担体は、メモリ1320、ストレージデバイス1330またはメモリオンプロセッサ1310などのコンピュータまたは機械読取可能媒体である。
高速コントローラ1340は、コンピューティングデバイス1300のための帯域幅集約型動作を管理する一方、低速コントローラ1360は、より低い帯域幅集約型動作を管理する。このような役割の割り当ては、例示に過ぎない。いくつかの実現例において、高速コントローラ1340は、メモリ1320、ディスプレイ1380(たとえば、グラフィックスプロセッサまたはアクセラレータを介する)、およびさまざまな拡張カード(図示せず)を受け付け得る高速拡張ポート1350に結合される。いくつかの実現例において、低速コントローラ1360は、ストレージデバイス1330および低速拡張ポート1390に結合される。さまざまな通信ポート(たとえば、USB、ブルートゥース(登録商標)、イーサネット(登録商標)、ワイヤレスイーサネット)を含み得る低速拡張ポート1390は、たとえばネットワークアダプタを介して、1つまたは複数の入力/出力デバイス(キーボード、ポインティングデバイス、スキャナなど)またはネットワーキングデバイス(スイッチもしくはルータなど)に結合されてもよい。
コンピューティングデバイス1300は、図面に示されているように、多数の異なる形態で実現されてもよい。たとえば、それは、標準的なサーバ1300aとして実現されてもよく、またはこのようなサーバ1300aの群で複数回実現されてもよく、またはラップトップコンピュータ1300bとして実現されてもよく、またはラックサーバシステム1300cの一部として実現されてもよい。
本明細書に記載されているシステムおよび技術のさまざまな実現例は、デジタル電子および/もしくは光回路、集積回路、特別に設計されたASIC(特定用途向け集積回路)、コンピュータハードウェア、ファームウェア、ソフトウェア、ならびに/または、それらの組み合わせで実現することができる。これらのさまざまな実現例は、少なくとも1つのプログラマブルプロセッサを含むプログラマブルシステム上で実行可能および/または解釈可能な1つまたは複数のコンピュータプログラムでの実現例を含むことができ、少なくとも1つのプログラマブルプロセッサは、特別目的プロセッサまたは汎用プロセッサであってもよく、ストレージシステム、少なくとも1つの入力デバイスおよび少なくとも1つの出力デバイスとの間でデータおよび命令を送受信するように結合されている。
ソフトウェアアプリケーション(すなわち、ソフトウェアリソース)とは、コンピューティングデバイスにタスクを実行させるコンピュータソフトウェアのことであってもよい。いくつかの例において、ソフトウェアアプリケーションは、「アプリケーション」、「アプリ」または「プログラム」と称されることもある。アプリケーションの例としては、システム診断アプリケーション、システム管理アプリケーション、システムメンテナンスアプリケーション、ワードプロセッシングアプリケーション、スプレッドシートアプリケーション、メッセージングアプリケーション、メディアストリーミングアプリケーション、ソーシャルネットワーキングアプリケーション、およびゲーミングアプリケーションが挙げられるが、これらに限定されるものではない。
これらのコンピュータプログラム(プログラム、ソフトウェア、ソフトウェアアプリケーションまたはコードとしても知られている)は、プログラマブルプロセッサのための機械命令を含み、高レベル手続き言語および/もしくはオブジェクト指向プログラミング言語で、ならびに/または、アセンブリ/機械言語で実現することができる。本明細書において使用される「機械読取可能媒体」および「コンピュータ読取可能媒体」という語は、機械読取可能な信号として機械命令を受信する機械読取可能媒体を含む、機械命令および/またはデータをプログラマブルプロセッサに提供するために使用される任意のコンピュータプログラム製品、非一時的なコンピュータ読取可能媒体、装置および/またはデバイス(たとえば、磁気ディスク、光ディスク、メモリ、プログラマブルロジックデバイス(PLD))を指す。「機械読取可能な信号」という語は、機械命令および/またはデータをプログラマブルプロセッサに提供するために使用される任意の信号を指す。
本明細書に記載されているプロセスおよび論理フローは、データ処理ハードウェアとも称される1つまたは複数のプログラマブルプロセッサによって実行することができ、これらの1つまたは複数のプログラマブルプロセッサは、入力データ上で動作して出力を生成することによって機能を実行するように1つまたは複数のコンピュータプログラムを実行する。また、プロセスおよび論理フローは、特別目的論理回路(たとえば、FPGA(フィールドプログラマブルゲートアレイ)またはASIC(特定用途向け集積回路))によって実行することもできる。コンピュータプログラムの実行に適したプロセッサは、一例として、汎用マイクロプロセッサも特別目的マイクロプロセッサも含み、任意の種類のデジタルコンピュータの任意の1つまたは複数のプロセッサを含む。一般に、プロセッサは、リードオンリメモリまたはランダムアクセスメモリまたはそれら両方から命令およびデータを受信する。コンピュータの必須の要素は、命令を実行するためのプロセッサと、命令およびデータを格納するための1つまたは複数のメモリデバイスとである。一般に、コンピュータは、データを格納するための1つまたは複数のマスストレージデバイス(たとえば、磁気、光磁気ディスクまたは光ディスク)も含み、または、1つまたは複数のマスストレージデバイスとの間でデータを受信したり送信したり送受信したりするように動作可能に結合される。しかし、コンピュータは、このようなデバイスを有していなくてもよい。コンピュータプログラム命令およびデータを格納するのに適したコンピュータ読取可能媒体は、全ての形態の不揮発性メモリ、媒体およびメモリデバイスを含み、一例として、半導体メモリデバイス(たとえば、EPROM、EEPROMおよびフラッシュメモリデバイス)、磁気ディスク(たとえば、内部ハードディスクまたはリムーバブルディスク)、光磁気ディスク、ならびにCD ROMおよびDVD-ROMディスクを含む。プロセッサおよびメモリは、特別目的論理回路によって補完されることができ、または特別目的論理回路に組み込まれることができる。
ユーザとの対話を提供するために、本開示の1つまたは複数の局面は、ユーザに情報を表示するためのディスプレイデバイス(たとえば、CRT(陰極線管)、LCD(液晶ディスプレイ)モニタまたはタッチスクリーン)と、任意にユーザがコンピュータに入力を提供することができるキーボードおよびポインティングデバイス(たとえば、マウスまたはトラックボール)とを有するコンピュータ上で実現することができる。他の種類のデバイスを使用してユーザとの対話を提供することもでき、たとえば、ユーザに提供されるフィードバックは、任意の形態の感覚フィードバック(たとえば、視覚フィードバック、聴覚フィードバックまたは触覚フィードバック)であってもよく、ユーザからの入力は、音響入力、音声入力または触覚入力を含む任意の形態で受信することができる。また、コンピュータは、ユーザが使用するデバイスとの間でドキュメントを送受信することによって、たとえばウェブブラウザから受信された要求に応答してユーザのクライアントデバイス上のウェブブラウザにウェブページを送信することによって、ユーザと対話することができる。
いくつかの実現例について説明してきた。しかし、本開示の精神および範囲から逸脱することなくさまざまな変更がなされてもよいということが理解されるであろう。したがって、他の実現例は、以下の特許請求の範囲の範囲内である。

Claims (29)

  1. クラウドネットワーク到達可能性解析の方法(1200)であって、
    データ処理ハードウェア(144)において、ネットワークを介してターゲット(70,250,1110)の到達可能性ステータス(172)を要求する到達可能性クエリ(20)を受信するステップを備え、前記到達可能性クエリ(20)は、データパケット(24)に関連付けられたパケットヘッダ(22)を備え、前記パケットヘッダ(22)は、
    前記データパケット(24)の送信元に関連付けられた送信元インターネットプロトコル(IP)アドレス(25a)と、
    前記データパケット(24)の送信先に関連付けられた送信先IPアドレス(25b)とを備え、
    前記方法(1200)はさらに、
    前記データ処理ハードウェア(144)において、データプレーンモデル(164)を使用して、前記パケットヘッダ(22)に基づいて前記データパケット(24)の1つまたは複数のシミュレーションされた転送経路(80)を生成するステップを備え、各々のシミュレーションされた転送経路(80)は、前記ネットワークに関連付けられた対応するネットワーク構成情報(162)を備え、前記方法(1200)はさらに、
    前記1つまたは複数のシミュレーションされた転送経路(80)のそれぞれのシミュレーションされた転送経路において:
    データ処理ハードウェア(144)において、前記対応するネットワーク構成情報(162)から、前記それぞれのシミュレーションされた転送経路に適用される第1のインスタンスの少なくとも1つのエグレスファイアウォールルールを決定するステップと、
    データ処理ハードウェア(144)において、前記対応するネットワーク構成情報(162)から、それぞれのシミュレーションされた転送経路に適用される第2のインスタンスの少なくとも1つのイングレスファイアウォールルールを決定するステップと、
    前記データ処理ハードウェア(144)において、前記対応するネットワーク構成情報(162)から、前記第1のインスタンス及び前記第2のインスタンスに基づくそれぞれのシミュレーションされた転送経路の種類に基づく経路に特有のチェックを決定するステップと、
    前記データ処理ハードウェア(144)において、前記経路に特有のチェックを使用して、前記少なくとも1つのエグレスファイアウォールルールおよび前記少なくとも1つのイングレスファイアウォールルールに基づいて前記ターゲット(70,250,1110)の前記到達可能性ステータス(172)を特定するステップと、
    前記データ処理ハードウェア(144)において、それぞれの特定された到達可能性ステータス(172)および前記1つまたは複数のシミュレーションされた転送経路(80)を、前記到達可能性クエリ(20)に関連付けられた前記送信元に提供するステップとを備え、前記1つまたは複数のシミュレーションされた転送経路(80)は、前記送信元によって受信されると、前記送信元に、各々のシミュレーションされた転送経路(80)の前記対応するネットワーク構成情報(162)を提示させ、
    前記提示されたネットワーク構成情報(162)は、
    前記第1のインスタンスの前記少なくとも1つのエグレスファイアウォールルールと、
    前記第2のインスタンスの前記少なくとも1つのイングレスファイアウォールルールとを含む、方法(1200)。
  2. 前記1つまたは複数のシミュレーションされた転送経路(80)の前記到達可能性ステータス(172)を特定するステップは、ネットワーク抽象状態マシン(400)を使用するステップを備える、請求項1に記載の方法(1200)。
  3. 前記送信元は、ローカルに通知されたルートを使用してリモートネットワークから前記データパケット(24)を送信するように構成される、請求項1または請求項2に記載の方法(1200)。
  4. 前記ネットワーク構成情報(162)は、
    バーチャルプライベートクラウド(VPC)ネットワーク(148)内で前記データパケット(24)を導くためのポート/インターフェイス、または、
    VPCネットワーク(148)間で前記データパケット(24)を導くためのポート/インターフェイス、
    VPCネットワーク(148)と非VPCネットワーク(70)との間で前記データパケット(24)を導くためのポート/インターフェイス、のうちの少なくとも1つを備える、請求項1から請求項3のいずれか1項に記載の方法(1200)。
  5. 前記データ処理ハードウェア(144)において、前記対応するネットワーク構成情報(162)に基づいて、前記1つまたは複数のシミュレーションされた転送経路(80)の各々に対してネットワーク到達可能性解析を実行するステップをさらに備える、請求項1から請求項4のいずれか1項に記載の方法(1200)。
  6. 前記ネットワーク到達可能性解析は、
    前記対応するシミュレーションされた転送経路(80)に沿って前記データパケット(24)の到達可能性の最終状態を特定すること、
    前記対応するシミュレーションされた転送経路(80)に沿って1つまたは複数の不良構成を発見すること、または
    前記対応するシミュレーションされた転送経路(80)に沿って不整合構成または廃止された構成を発見すること、のうちの少なくとも1つを実行するように構成される、請求項5に記載の方法(1200)。
  7. 前記到達可能性の最終状態は、
    前記データパケット(24)が前記送信先に送達されることを示す送達状態(174a)、
    前記データパケット(24)が、不明の構成を有する別のネットワークに転送されることを示す転送状態(174b)、
    構成チェックポイントの失敗または構成の欠落により前記データパケット(24)が削除されることを示す削除状態(174c)、または
    重要な構成の欠落により前記ネットワーク到達可能性解析が不可能であることを示すアボート状態(174d)、のうちのいずれか1つを備える、請求項6に記載の方法(1200)。
  8. 前記パケットヘッダ(22)はさらに、
    前記データパケット(24)に関連付けられたプロトコル(25c)と、
    前記データパケット(24)に関連付けられた送信元ポート(25d)と、
    前記データパケット(24)に関連付けられた送信先ポート(25e)とを備える、請求項1から請求項のいずれか1項に記載の方法(1200)。
  9. 前記データパケット(24)の前記送信元は、第1のネットワークにおいて実行される前記第1のインスタンスを備え、前記データパケット(24)の前記送信先は、前記第1のネットワークとは異なる第2のネットワークにおいて実行される前記第2のインスタンスを備える、請求項1から請求項のいずれか1項に記載の方法(1200)。
  10. 前記第1のネットワークは、バーチャルプライベートクラウド(VPC)ネットワーク(148)を備え、前記第2のネットワークは、オンプレミスネットワーク(70)を備える、請求項に記載の方法(1200)。
  11. 前記第1のネットワークおよび前記第2のネットワークは、それぞれのバーチャルプライベートクラウド(VPC)ネットワーク(148)を備える、請求項に記載の方法(1200)。
  12. 前記データパケット(24)の前記送信元は、前記第1のインスタンスを備え、前記データパケット(24)の前記送信先は、前記第2のインスタンスを備え、前記第1のインスタンスも前記第2のインスタンスも、同一のバーチャルプライベートクラウド(VPC)ネットワーク(148)において実行される、請求項1から請求項のいずれか1項に記載の方法(1200)。
  13. 前記データパケット(24)の前記送信元は、外部ネットワークに位置し、前記データパケット(24)の前記送信先は、バーチャルプライベートクラウド(VPC)ネットワーク(148)において実行されるグローバルHTTPSロードバランサ(1110)を備え、前記グローバルHTTPSロードバランサ(1110)は、前記データパケット(24)を複数の異なるバックエンドバーチャルマシン(VM)(250)のうちの1つにルーティングするように構成される、請求項1から請求項12のいずれか1項に記載の方法(1200)。
  14. 前記データパケット(24)の1つまたは複数のシミュレーションされた転送経路(80)を生成するステップは、前記グローバルHTTPSロードバランサ(1110)から前記複数の異なるバックエンドVM(250)のうちの各々への対応するシミュレーションされた転送経路(80)を生成するステップを備える、請求項13に記載の方法(1200)。
  15. システム(100)であって、
    データ処理ハードウェアと、
    前記データ処理ハードウェアと通信するメモリハードウェアとを備え、前記メモリハードウェアは、命令を格納し、前記命令は、前記データ処理ハードウェア上で実行されると、前記データ処理ハードウェアに動作を実行させ、前記動作は、
    ネットワークを介してターゲット(70,250,1110)の到達可能性ステータス(172)を要求する到達可能性クエリ(20)を受信するステップを備え、前記到達可能性クエリ(20)は、データパケット(24)に関連付けられたパケットヘッダ(22)を備え、前記パケットヘッダ(22)は、
    前記データパケット(24)の送信元に関連付けられた送信元インターネットプロトコル(IP)アドレス(25a)と、
    前記データパケット(24)の送信先に関連付けられた送信先IPアドレス(25b)とを備え、
    前記動作はさらに、
    データプレーンモデル(164)を使用して、前記パケットヘッダ(22)に基づいて前記データパケット(24)の1つまたは複数のシミュレーションされた転送経路(80)を生成するステップを備え、各々のシミュレーションされた転送経路(80)は、前記ネットワークに関連付けられた対応するネットワーク構成情報(162)を備え、前記動作はさらに、
    前記1つまたは複数のシミュレーションされた転送経路(80)のそれぞれのシミュレーションされた転送経路において:
    前記対応するネットワーク構成情報(162)から、前記それぞれのシミュレーションされた転送経路に適用される第1のインスタンスの少なくとも1つのエグレスファイアウォールルールを決定するステップと、
    前記対応するネットワーク構成情報(162)から、それぞれのシミュレーションされた転送経路に適用される第2のインスタンスの少なくとも1つのイングレスファイアウォールルールを決定するステップと、
    前記対応するネットワーク構成情報(162)から、前記第1のインスタンス及び前記第2のインスタンスに基づくそれぞれのシミュレーションされた転送経路の種類に基づく経路に特有のチェックを決定するステップと、
    前記1つまたは複数のシミュレーションされた転送経路(80)に基づいて前記ターゲット(70,250,1110)の前記到達可能性ステータス(172)を特定するステップと、
    前記特定された到達可能性ステータス(172)および前記1つまたは複数のシミュレーションされた転送経路(80)を、前記到達可能性クエリ(20)に関連付けられた送信元に提供するステップとを備え、前記1つまたは複数のシミュレーションされた転送経路(80)は、前記送信元によって受信されると、前記送信元に、各々のシミュレーションされた転送経路(80)の前記対応するネットワーク構成情報(162)を提示させ、
    提示されたネットワーク構成情報は、
    前記第1のインスタンスの前記少なくとも1つのエグレスファイアウォールルールと、
    前記第2のインスタンスの前記少なくとも1つのイングレスファイアウォールルールとを含む、システム(100)。
  16. 前記1つまたは複数のシミュレーションされた転送経路(80)の前記到達可能性ステータス(172)を特定するステップは、ネットワーク抽象状態マシン(400)を使用するステップを備える、請求項15に記載のシステム(100)。
  17. 前記送信元は、ローカルに通知されたルートを使用してリモートネットワークから前記データパケット(24)を送信するように構成される、請求項15または請求項16に記載のシステム(100)。
  18. 前記ネットワーク構成情報(162)は、
    バーチャルプライベートクラウド(VPC)ネットワーク(148)内で前記データパケット(24)を導くためのポート/インターフェイス、
    VPCネットワーク(148)間で前記データパケット(24)を導くためのポート/インターフェイス、または、
    VPCネットワーク(148)と非VPCネットワーク(70)との間で前記データパケット(24)を導くためのポート/インターフェイス、のうちの少なくとも1つを備える、請求項15から請求項17のいずれか1項に記載のシステム(100)。
  19. 前記動作はさらに、前記対応するネットワーク構成情報(162)に基づいて、前記1つまたは複数のシミュレーションされた転送経路(80)の各々に対してネットワーク到達可能性解析を実行するステップを備える、請求項15から請求項18のいずれか1項に記載のシステム(100)。
  20. 前記ネットワーク到達可能性解析は、
    前記対応するシミュレーションされた転送経路(80)に沿って前記データパケット(24)の到達可能性の最終状態を特定すること、
    前記対応するシミュレーションされた転送経路(80)に沿って1つまたは複数の不良構成を発見すること、または
    前記対応するシミュレーションされた転送経路(80)に沿って不整合構成または廃止された構成を発見すること、のうちの少なくとも1つを実行するように構成される、請求項19に記載のシステム(100)。
  21. 前記到達可能性の最終状態は、
    前記データパケット(24)が前記送信先に送達されることを示す送達状態(174a)、
    前記データパケット(24)が、不明の構成を有する別のネットワークに転送されることを示す転送状態(174b)、
    構成チェックポイントの失敗または構成の欠落により前記データパケット(24)が削除されることを示す削除状態(174c)、または
    重要な構成の欠落により前記ネットワーク到達可能性解析が不可能であることを示すアボート状態(174d)、のうちのいずれか1つを備える、請求項20に記載のシステム(100)。
  22. 前記パケットヘッダ(22)はさらに、
    前記データパケット(24)に関連付けられたプロトコル(25c)と、
    前記データパケット(24)に関連付けられた送信元ポート(25d)と、
    前記データパケット(24)に関連付けられた送信先ポート(25e)とを備える、請求項15から請求項21のいずれか1項に記載のシステム(100)。
  23. 前記データパケット(24)の前記送信元は、第1のネットワークにおいて実行される前記第1のインスタンスを備え、前記データパケット(24)の前記送信先は、前記第1のネットワークとは異なる第2のネットワークにおいて実行される前記第2のインスタンスを備える、請求項15から請求項22のいずれか1項に記載のシステム(100)。
  24. 前記第1のネットワークは、バーチャルプライベートクラウド(VPC)ネットワーク(148)を備え、前記第2のネットワークは、オンプレミスネットワーク(70)を備える、請求項23に記載のシステム(100)。
  25. 前記第1のネットワークおよび前記第2のネットワークは、それぞれのバーチャルプライベートクラウド(VPC)ネットワーク(148)を備える、請求項23に記載のシステム(100)。
  26. 前記データパケット(24)の前記送信元は、前記第1のインスタンスを備え、前記データパケット(24)の前記送信先は、前記第2のインスタンスを備え、前記第1のインスタンスも前記第2のインスタンスも、同一のバーチャルプライベートクラウド(VPC)ネットワーク(148)において実行される、請求項15から請求項22のいずれか1項に記載のシステム(100)。
  27. 前記データパケット(24)の前記送信元は、外部ネットワークに位置し、前記データパケット(24)の前記送信先は、バーチャルプライベートクラウド(VPC)ネットワーク(148)において実行されるグローバルHTTPSロードバランサ(1110)を備え、前記グローバルHTTPSロードバランサ(1110)は、前記データパケット(24)を複数の異なるバックエンドバーチャルマシン(VM)(250)のうちの1つにルーティングするように構成される、請求項15から請求項26のいずれか1項に記載のシステム(100)。
  28. 前記データパケット(24)の1つまたは複数のシミュレーションされた転送経路(80)を生成するステップは、前記グローバルHTTPSロードバランサ(1110)から前記複数の異なるバックエンドVM(250)のうちの各々への対応するシミュレーションされた転送経路(80)を生成するステップを備える、請求項27に記載のシステム(100)。
  29. 請求項1から請求項14のいずれか1項に記載の方法をコンピューターに実行させるための、プログラム。
JP2021559267A 2019-04-05 2020-04-03 クラウドネットワーク到達可能性解析 Active JP7323636B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2023122374A JP2023145612A (ja) 2019-04-05 2023-07-27 クラウドネットワーク到達可能性解析

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201962830159P 2019-04-05 2019-04-05
US62/830,159 2019-04-05
PCT/US2020/026729 WO2020206361A1 (en) 2019-04-05 2020-04-03 Cloud network reachability analysis

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2023122374A Division JP2023145612A (ja) 2019-04-05 2023-07-27 クラウドネットワーク到達可能性解析

Publications (2)

Publication Number Publication Date
JP2022526986A JP2022526986A (ja) 2022-05-27
JP7323636B2 true JP7323636B2 (ja) 2023-08-08

Family

ID=70465493

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2021559267A Active JP7323636B2 (ja) 2019-04-05 2020-04-03 クラウドネットワーク到達可能性解析
JP2023122374A Pending JP2023145612A (ja) 2019-04-05 2023-07-27 クラウドネットワーク到達可能性解析

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2023122374A Pending JP2023145612A (ja) 2019-04-05 2023-07-27 クラウドネットワーク到達可能性解析

Country Status (6)

Country Link
US (2) US11477110B2 (ja)
EP (1) EP3949295A1 (ja)
JP (2) JP7323636B2 (ja)
KR (1) KR20210128003A (ja)
CN (2) CN116346635A (ja)
WO (1) WO2020206361A1 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7323636B2 (ja) 2019-04-05 2023-08-08 グーグル エルエルシー クラウドネットワーク到達可能性解析
CN111817907B (zh) * 2019-04-11 2022-12-30 华为技术有限公司 一种可达性的验证方法和装置
US11729077B2 (en) * 2019-11-29 2023-08-15 Amazon Technologies, Inc. Configuration and management of scalable global private networks
US10999169B1 (en) * 2019-11-29 2021-05-04 Amazon Technologies, Inc. Configuration and management of scalable global private networks
US11336528B2 (en) 2019-11-29 2022-05-17 Amazon Technologies, Inc. Configuration and management of scalable global private networks
US11533231B2 (en) * 2019-11-29 2022-12-20 Amazon Technologies, Inc. Configuration and management of scalable global private networks
CN113162779B (zh) * 2020-01-07 2024-03-05 华为云计算技术有限公司 一种多云互联的方法及设备
US11283699B2 (en) 2020-01-17 2022-03-22 Vmware, Inc. Practical overlay network latency measurement in datacenter
US11736436B2 (en) * 2020-12-31 2023-08-22 Vmware, Inc. Identifying routes with indirect addressing in a datacenter
US11336533B1 (en) 2021-01-08 2022-05-17 Vmware, Inc. Network visualization of correlations between logical elements and associated physical elements
CN112994987B (zh) * 2021-05-07 2021-09-14 阿里云计算有限公司 云网络、用于云网络的测量系统、方法、设备及存储介质
US11711278B2 (en) 2021-07-24 2023-07-25 Vmware, Inc. Visualization of flow trace operation across multiple sites
US20230031462A1 (en) * 2021-07-30 2023-02-02 Oracle International Corporation Selective handling of traffic received from on-premises data centers
CN113938395B (zh) * 2021-08-30 2024-01-19 阿里巴巴(中国)有限公司 数据分析方法、系统、设备及存储介质
US11706109B2 (en) 2021-09-17 2023-07-18 Vmware, Inc. Performance of traffic monitoring actions
CN116996387A (zh) * 2022-04-26 2023-11-03 华为云计算技术有限公司 一种网络意图挖掘方法、装置及相关设备
CN115065613B (zh) * 2022-06-08 2024-01-12 北京启明星辰信息安全技术有限公司 一种基于防火墙配置的网络连通性分析系统及分析方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010109673A1 (ja) 2009-03-24 2010-09-30 株式会社日立製作所 管理システム及び情報処理システム
JP2017524320A (ja) 2014-07-30 2017-08-24 フォワード・ネットワークス・インコーポレテッド ネットワーク管理のためのシステムおよび方法
US20180115469A1 (en) 2016-10-21 2018-04-26 Forward Networks, Inc. Systems and methods for an interactive network analysis platform
US20190075056A1 (en) 2017-09-06 2019-03-07 Nicira, Inc. Internet protocol flow data including firewall rules
US20200007569A1 (en) 2018-06-27 2020-01-02 Amazon Technologies, Inc. Automated packetless network reachability analysis

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8634289B2 (en) * 2009-12-31 2014-01-21 Alcatel Lucent Efficient protection scheme for MPLS multicast
US9729414B1 (en) * 2012-05-21 2017-08-08 Thousandeyes, Inc. Monitoring service availability using distributed BGP routing feeds
US9112794B2 (en) * 2013-11-05 2015-08-18 International Business Machines Corporation Dynamic multipath forwarding in software defined data center networks
US10116493B2 (en) * 2014-11-21 2018-10-30 Cisco Technology, Inc. Recovering from virtual port channel peer failure
US10097995B2 (en) * 2015-07-12 2018-10-09 Qualcomm Incorporated Network architecture and security with encrypted network reachability contexts
US10348556B2 (en) * 2016-06-02 2019-07-09 Alibaba Group Holding Limited Method and network infrastructure for a direct public traffic connection within a datacenter
CN109547349B (zh) * 2018-12-06 2021-07-06 郑州云海信息技术有限公司 基于虚拟路由的流量管理方法、装置、终端及存储介质
JP7323636B2 (ja) 2019-04-05 2023-08-08 グーグル エルエルシー クラウドネットワーク到達可能性解析

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010109673A1 (ja) 2009-03-24 2010-09-30 株式会社日立製作所 管理システム及び情報処理システム
JP2017524320A (ja) 2014-07-30 2017-08-24 フォワード・ネットワークス・インコーポレテッド ネットワーク管理のためのシステムおよび方法
US20180115469A1 (en) 2016-10-21 2018-04-26 Forward Networks, Inc. Systems and methods for an interactive network analysis platform
US20190075056A1 (en) 2017-09-06 2019-03-07 Nicira, Inc. Internet protocol flow data including firewall rules
US20200007569A1 (en) 2018-06-27 2020-01-02 Amazon Technologies, Inc. Automated packetless network reachability analysis

Also Published As

Publication number Publication date
JP2022526986A (ja) 2022-05-27
CN113924761A (zh) 2022-01-11
CN113924761B (zh) 2023-05-05
WO2020206361A1 (en) 2020-10-08
KR20210128003A (ko) 2021-10-25
US20200322249A1 (en) 2020-10-08
US20230006915A1 (en) 2023-01-05
US11968110B2 (en) 2024-04-23
JP2023145612A (ja) 2023-10-11
US11477110B2 (en) 2022-10-18
EP3949295A1 (en) 2022-02-09
CN116346635A (zh) 2023-06-27

Similar Documents

Publication Publication Date Title
JP7323636B2 (ja) クラウドネットワーク到達可能性解析
US11695731B2 (en) Distributed identity-based firewalls
US20220060539A1 (en) Distributed network services
US11765044B2 (en) Change impact simulation analysis
CN105988922A (zh) 应用程序的测试方法、装置及服务器
US20220294699A1 (en) Network Reachability Impact Analysis
US11546224B2 (en) Virtual network layer for distributed systems
US11805030B1 (en) Techniques for network packet event related script execution
Xu et al. SDN state inconsistency verification in openstack
US11038954B2 (en) Secure public connectivity to virtual machines of a cloud computing environment
US20230418638A1 (en) Log level management portal for virtual desktop infrastructure (vdi) components
Van Vorst et al. PrimoGENI for hybrid network simulation and emulation experiments in GENI
US10613991B2 (en) Transparent routers to provide services
Hartpence Curricular and performance measurement challenges in cloud environments
CN115834410A (zh) 将网络靶场的Linux虚拟机替换为容器的方法及装置
Katta V-NetLab: A Test-bed for Security Experiments

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211206

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211206

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230627

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230727

R150 Certificate of patent or registration of utility model

Ref document number: 7323636

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150