TWI524188B - 用於使用多租戶中繼器提供虛擬網路的方法、電腦程式產品及系統 - Google Patents
用於使用多租戶中繼器提供虛擬網路的方法、電腦程式產品及系統 Download PDFInfo
- Publication number
- TWI524188B TWI524188B TW100129995A TW100129995A TWI524188B TW I524188 B TWI524188 B TW I524188B TW 100129995 A TW100129995 A TW 100129995A TW 100129995 A TW100129995 A TW 100129995A TW I524188 B TWI524188 B TW I524188B
- Authority
- TW
- Taiwan
- Prior art keywords
- tenant
- computer system
- data
- computer
- relay service
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Description
本發明係關於使用多租戶中繼器提供虛擬網路。
電腦已變為高度地整合於工作力、家庭、行動裝置、及許多其它地方中。電腦可快速地和有效地處理大量的資訊。經設計以在電腦系統上執行的軟體應用程式允許使用者執行包含商業應用程式、學校作業、娛樂及更多者的各種功能。經常設計軟體應用程式以執行特定任務,例如用以撰寫文件的文書處理應用程式或用以傳送、接收及組織整理電子郵件的電子郵件程式。
在許多情況中,設計軟體應用程式以與其它軟體應用程式或其它電腦系統互動。舉例而言,客戶端電腦系統可經組態以從服務提供者請求服務。服務提供者可從各種客戶端接收請求,及回應於該等請求,而提供服務。提供服務之步驟可包含以下步驟:在提供者和客戶端電腦系統之間傳送各種通訊。經常地,此些電腦系統在不同的電腦網路上,或藉由各種硬體或軟體裝置(例如路由器或防火牆)分離或隔絕。
在一些情況中,在分離的網路上的電腦系統之間建立虛擬私有網路(VPN)、中繼器或其它安全的通訊通道。然而中繼器一般地對一組織為私有的,或為公眾的,允許任何使用者的存取(包含潛在性地具有危害的使用者)。
在此描述的具體實施例是關於提供在電腦系統之間安全地中繼資料的多租戶中繼服務。在一具體實施例中,電腦系統接收一部分的資料,該一部分的資料從屬於第一租戶的第一電腦系統傳遞至第二、不同的電腦系統。具現化的多租戶中繼服務經組態以針對多個不同的租戶來安全地中繼資料。電腦系統建立安全的繞送通道,該安全的繞送通道用以在第一電腦系統和第二電腦系統之間繞送該第一租戶的資料。該安全的繞送通道施用唯一的識別符至從該第一租戶接收的每一部分的資料。電腦系統亦使用該施用的唯一的識別符透過該安全的繞送通道,繞送從該第一電腦系統接收的資料至該第二電腦系統。
在另一具體實施例中,電腦系統接收一部分的資料,該一部分的資料從第一電腦系統傳遞至第二、不同的電腦系統。具現化的多租戶中繼服務經組態以針對多個不同的租戶來中繼資料。電腦系統建立安全的繞送通道,該安全的繞送通道用以在第一電腦系統和第二電腦系統之間繞送資料。安全的繞送通道提供唯一的識別符至從第一租戶接收的每一部分的資料。電腦系統決定各種不同的網路通訊協定的何者為可獲得使用以繞送所接收的
資料,及根據何者網路通訊協定為可獲得使用的決定,動態地選擇最佳化資料傳輸效率的適當的通訊協定。電腦系統亦使用所決定的通訊協定,繞送從第一電腦系統接收的資料至第二電腦系統。使用該施用的唯一的識別符透過安全的繞送通道來繞送資料。
以簡化的形式提供此發明內容以作選擇性的概念的介紹,此些概念進一步於後文中描述在實施方式中。此發明內容無意於識別所主張標的之關鍵特徵或必要特徵,且無意於使用作為決定所主張標的之範圍之助益。
在後續的描述中闡述了額外特徵及優點,且部分特徵及優點根據描述將變得明顯,或可從此處教示的實踐來獲知。本發明的特徵和優點可藉由隨附申請專利範圍中特別地指出之設備及組合之方式來實現和獲得。本發明的特徵將根據後續的說明和隨附的申請專利範圍而變得更為完全的顯明,或可由於後文闡述的本發明的實踐來獲知。
在此描述的具體實施例是關於提供多租戶中繼服務,該多租戶中繼服務在無法彼此之間直接地繞送安全的連接的電腦系統之間安全地中繼資料。在一具體實施例中,電腦系統接收一部分的資料,該一部分的資料從屬於一第一租戶的第一電腦系統傳遞至第二、不同的電腦
系統。具現化的多租戶中繼服務經組態以針對多個不同的租戶而安全地中繼資料。電腦系統建立安全的繞送通道,該安全的繞送通道用以在第一電腦系統和第二電腦系統之間繞送第一租戶的資料。安全的繞送通道施用唯一的識別符至從第一租戶接收的每一部分的資料。電腦系統亦使用該施用的唯一的識別符透過該安全的繞送通道,繞送從第一電腦系統接收的資料至第二電腦系統。
在另一具體實施例中,電腦系統接收一部分的資料,該部分的資料從第一電腦系統傳遞至第二、不同的電腦系統。具現化的多租戶中繼服務經組態以針對多個不同的租戶來中繼資料。電腦系統建立安全的繞送通道,該安全的繞送通道用以在第一電腦系統和第二電腦系統之間繞送資料。安全的繞送通道提供唯一的識別符至從該第一租戶接收的每一部分的資料。電腦系統決定各種不同的網路通訊協定的何者為可獲得使用以繞送所接收的資料,及根據何者網路通訊協定為可獲得使用的決定,動態地選擇最佳化資料傳輸效率的適當的通訊協定。電腦系統亦使用所決定的通訊協定,繞送從第一電腦系統接收的資料至第二電腦系統。使用該施用的唯一的識別符透過安全的繞送通道來繞送資料。
後續的討論目前涉及數種方法和可執行的方法步驟。應可注意到雖然方法步驟可用特定順序來討論或在以特定順序發生的流程圖來示例說明,而除非另外地指明或要求,並不必然地需要特定順序,或由於一步驟與在執行該步驟之前完成的另一步驟為相關時則需要特定順序。
本發明的具體實施例可包含或利用特別目的或一般性目的電腦,該電腦包含:電腦硬體,例如一或多個處理器和系統記憶體,如更為詳細地在後文中討論者。在本發明的範疇內的具體實施例亦包含:用以攜帶或儲存電腦可執行指令及/或資料結構的實體和其它電腦可讀取媒體。此電腦可讀取媒體可為由一般性目的或特別目的電腦系統存取的任何可獲得使用的媒體。儲存電腦可執行指令的電腦可讀取媒體為電腦儲存媒體。攜有電腦可執行指令的電腦可讀取媒體為傳輸媒體。因此,藉由實例方式,而非限制,本發明的具體實施例可包含:至少二個分別不同種類的電腦可讀取媒體:電腦儲存媒體和傳輸媒體。
電腦儲存媒體包含:RAM、ROM、EEPROM、CD-ROM或其它光學磁碟儲存、磁碟儲存或其它磁性儲存裝置或可使用以儲存具有電腦可執行指令或資料結構和可由一般性目的或特殊性目的電腦存取之所欲程式碼工具的任何其它媒體。
「網路」定義為一或多個資料鏈結,該等一或多個資料鏈結促使在電腦系統及/或模組及/或其它電子裝置之間的電子資料之傳輸。當透過網路或另外的通訊連接(硬體線路、無線或硬體線路或無線的組合)傳輸或提供資訊至電腦,電腦適當地視連接為傳輸媒體。傳輸媒體可包含:可使用以攜帶所欲程式碼工具的網路及/或資料鏈結,該程式碼工具具有電腦可執行指令或資料結構的形式和可由一般性目的或特殊性目的電腦來存取。上述的組合應亦可包含在電腦可讀取媒體的範圍內。
再者,在獲取各種電腦系統元件之後,具有電腦可執行指令或資料結構的形式的程式碼工具可自動地從傳輸媒體傳輸至電腦儲存媒體(或反之亦然)。舉例而言,透過網路或資料鏈結而接收的電腦可執行指令或資料結構可被緩衝在網路界面模組(例如“NIC”)內的RAM中,及接著最後地傳送至電腦系統RAM及/或傳送至在電腦系統具有較低揮發性的電腦儲存媒體。因此,應理解電腦儲存媒體可被包含於亦(或甚至主要地)利用傳輸媒體的電腦系統元件中。
電腦可執行指令包含(例如):使得一般性目的電腦、特殊性目的電腦或特殊性目的處理裝置以執行特定功能或一組功能的指令和資料。電腦可執行指令可(例如)為二元制、中間格式指令(例如組合語言)或甚至為來源代碼。雖然已用特定於結構特徵及/或方法步驟的語言來描述本發明內容,可了解到:在隨附的申請專利範圍中界定的發明內容並不必然限定於所描述特徵或前文所描述的步驟。而是,所描述的特徵和步驟經揭露為實施申請專利範圍的實例形式。
此些習知技藝者將了解到:本發明可使用許多類型的電腦系統組態實施於網路計算環境中,該組態包含:個人電腦、桌上型電腦、膝上型電腦、訊息處理器、手持裝置、多處理器系統、基於微處理器的或可程式化的消費者電子、網路PC、小型電腦、大型電腦、行動電話、PDA、傳呼器、路由器、交換器及類似者。本發明可實施於分散式的系統環境中,其中本地端和遠端的電腦系統二者執行任務,該本地端和遠端的電腦系統藉由網路來鏈結(藉由有線資料鏈結、無線資料鏈結或藉由硬體線路和無線資料鏈結的組合)。在分散式的系統環境中,程式模組位於本地端和遠端記憶體儲存裝置二者。
第1圖示例說明電腦架構100,其中可利用本發明的原理。電腦架構100包含:租戶120和主機135,該租戶120和該主機135藉由網路130進行通訊。該租戶和該主機經組態以藉由防火牆125A和125B進行通訊。除了防火牆,通訊可穿越過路由器、交換器、閘道器或其它網路通訊裝置。租戶120可具有實質為任何數目的電腦系統。舉例而言,租戶可為組織,例如政府實體、學校、公司或具有數百、數千或更多電腦系統的其它商業實體。或者,租戶可為使用單一電腦系統的單一使用者。從而,應可了解到:當租戶1(120)在第1圖中顯示為具有三個電腦系統(121A1、121A2及121A3)時,該租戶可具有任何數目的電腦系統。
相應地,主機135亦可具有任何數目的電腦系統、及可提供或管理任何數目的服務。主機可為多租戶主機,該多租戶主機管理不同的租戶的各種不同的服務。每一租戶可訂閱不同的服務或即使為不同版本的服務。租戶的使用者之每一者然後可使用此些服務。多租戶主機驗證該使用者的身份以作為特定客戶或租戶的部分,及藉由此租戶提供此些訂閱的服務。每一租戶的設定、組態、訂閱、儲存的文件及其它項目可保持為分離所有其它的租戶的資訊。在一些情況中,主機135可為基於雲端的主機,而分散於實際上位於世界上任何地方的複數個不同的電腦系統之間。即如此者,任何主機的電腦系統提供租戶請求的服務。
在一些具體實施例,可在租戶120和主機135之間建立虛擬網路。該虛擬網路可使用多租戶中繼服務105(或在此的「服務105」)以安全地在該租戶和該主機之間傳輸資料。該租戶可透過由服務105建立的安全的繞送通道110來傳送資料106。從每一不同的租戶傳送的資料可標籤上唯一的識別符(唯一的ID 107),該唯一的識別符指示從何者租戶接收資料。資料106可藉由安全套接層(SSL)穿隧或其它的安全的通訊方式,行經穿越虛擬私有網路(VPN)。
在一些情況中,該虛擬網路可描述為網路虛擬層,該網路虛擬層管理連接至虛擬網路的租戶電腦系統的建立和位址指定。多租戶中繼服務105可支援在參與該虛擬網路的電腦系統之間的連接。網路虛擬化層可呈現網際網路協定(IP)端點為在電腦系統的作業系統內的網路配接器。在虛擬網路中的每一端點(例如每一電腦系統或租
戶)可接收唯一的位址和來自目錄服務的其它識別符,該位址或來自目錄服務的其它識別符允許電腦系統與在虛擬網路中的其它端點進行通訊。安裝於參與該虛擬網路中的電腦系統之驅動器或軟體代理者(software agent)負責透過中繼服務105傳送IP流量且從中繼服務接收流量。
在一些具體實施例中,多租戶中繼服務105經組態以:建立隔離的繞送網域(routing domain),該繞送網域與中繼服務互動。每一繞送網域可限制對一組授權的機器(租戶和主機)之存取,及可提供一名稱空間以唯一地識別在該網域中的機器。此者不僅保護對中繼服務的存取之安全性,且一旦電腦系統連接至中繼服務時,將電腦系統之間的存取分隔開。在一具體實施例中,多租戶中繼服務可提供一或多個隔離的繞送網域,該繞送網域可使用以建構虛擬網路。在一些情況中,安全套接穿隧協定(secure socket tunneling protocol,SSTP)中繼可被具現化,該安全套接穿隧協定中繼可根據租戶的身份從一特定的子網路指定IP位址。此些和其它觀念將個別地根據第2圖和第3圖的方法200和300來更為詳細地描述。
基於前文所描述的系統和架構,根據所揭露的發明內容而實施的方法將參照第2圖和第3圖的流程圖而較佳地理解。為了達到說明簡化的目的,方法可被呈現及描述作為一序列的方塊。然而,應可理解和了解到本發明
內容並不由方塊的次序來加以限制,如同一些方塊可以不同的順序來進行及/或與在此描述和描繪的其它方塊同時地執行。再者,並非所有示例說明的方塊需要實施於後文中描述的方法。
第2圖示例說明方法200的流程圖,該方法提供在電腦系統之間安全地中繼資料的多租戶中繼服務。方法200現在將頻繁地參照環境100的元件和資料來描述。
方法200包含:在具現化的多租戶中繼服務中接收一部分的資料的步驟,該部分的資料從屬於第一租戶的第一電腦系統傳遞至第二、不同的電腦系統,其中具現化的多租戶中繼服務經組態以針對複數個不同的租戶來安全地中繼資料(步驟210)。舉例而言,多租戶中繼服務105可接收資料106,該資料從租戶1(120)傳遞至主機135。中繼服務可經組態以針對多個不同的租戶而安全地中繼資料。在一些情況中,中繼服務可唯一地識別每一電腦系統(例如121A1)為屬於特定租戶(例如租戶120)的電腦系統。在其它情況中,中繼服務可唯一地識別資料為來自特定的租戶,而無關於資料係來自何者電腦系統。從而,藉由中繼服務105接附於資料的唯一的ID 107可唯一地識別資料從何者租戶接收,及/或識別為特定電腦系統或租戶120的部分之使用者。
如同前文所描述者,主機和租戶電腦系統可實體地分散或可在本地端於不同的網路分散。多租戶中繼服務亦可在複數個分散的電腦系統上執行。在此些情況中,中
繼服務可決定何者路徑為最佳的(例如最高的頻寬、最安全、最短路徑等等),及可使用最佳路徑以繞送資料106。在一些具體實施例中,可安裝軟體代理者或針對連接至多租戶中繼服務的每一電腦系統另外地提供。代理者可負責將電腦系統加入中繼服務及/或提供網域名稱系統(DNS)服務以供IP位址轉換。因此,在使用中繼服務建立的虛擬網路內,電腦系統可在通訊中使用DNS。在一些情況中,多租戶中繼服務係IP層級(IP-level)中繼。在此些情況中,在第一和第二電腦系統之間的通訊係由IP層級管理。
方法200包含:多租戶中繼服務建立安全的繞送通道的步驟,該安全的繞送通道用以在第一電腦系統和第二電腦系統之間繞送第一租戶的資料,其中該安全的繞送通道施用唯一的識別符至從第一租戶接收的每一部分的資料(步驟220)。舉例而言,多租戶中繼服務105可建立安全的繞送通道110,該安全的繞送通道用以在租戶120和主機135之間繞送資料106。該安全的繞送通道可施用唯一的ID 107至從租戶120接收的每一部分的資料。額外地或可替代性地,該安全的繞送通道可施用唯一的ID至從租戶的特定的電腦系統接收的每一部分的資料(例如來自電腦系統121A2)。
建立安全的繞送通道之步驟包含以下步驟:建立IP位址空間,該IP位址空間用以在該安全的繞送通道中於IP位址之間繞送。在使用DNS的情況中,施用至租戶的資
料的唯一的ID 107可從租戶映射至該第一電腦系統(例如121A2)的DNS名稱,以解析該第一電腦系統的DNS的名稱。因此,傳送資料106的電腦的DNS名稱藉由該安全的繞送通道映射至所施用的唯一的ID。
如同前文所提及者,唯一的識別符107可施用至從特定租戶接收的所有資料(例如租戶120),而無關於資料從電腦系統或複數個電腦系統的何者接收。以此方式,該施用的唯一的識別符允許每一租戶具有在多租戶中繼服務內自身擁有唯一的名稱空間,如在租戶和主機之間傳輸的每一部分的資料可唯一地識別為來自該租戶。類似地,該唯一的識別符107可施用至從特定的電腦系統接收的所有資料,其中在電腦系統和主機之間傳送的每一部分的資料可唯一地識別為來自此電腦系統。因此,來自給定的租戶的資料(無關於該租戶的使用者之何者正傳送資料)可保持分離於其它租戶的資料。此者增加安全性的量度至資料傳輸。此增加的安全性(在其它的特徵中)允許中繼服務105以提供安全性保證予使用該服務的租戶。此者對涉及私人、金融、分類或其它需要在安全的環境中傳送的資訊之服務而言為特別重要的。
方法200包含:多租戶中繼服務使用該施用的唯一的識別符藉由該安全的繞送通道,繞送從第一電腦系統所接收的資料至第二電腦系統之步驟(步驟230)。舉例而言,中繼服務105可使用該施用的唯一的識別符107藉由安全的繞送通道110,從租戶120繞送資料106至主
機135。該唯一的識別符藉由安全的繞送通道施用到傳送至該租戶和主機和從該租戶和主機傳送的所有資料。在一些情況中,多個不同的租戶傳送資料至主機135和從主機135接收資料。
舉例而言,如同在第4圖的電腦環境400所示者,租戶420A、420B及420C每一者可傳送不同的資料至多租戶中繼服務405。特定而言,租戶420A傳送資料406A至中繼服務405的該安全的繞送通道410。該安全的繞送通道然後施用唯一的識別符(租戶420A唯一的ID)407A和傳送資料至服務提供者435。類似地,租戶420B和420C傳送資料406B和406C至中繼服務405的該安全的繞送通道410。該安全的繞送通道然後個別地施用唯一的識別符(租戶420B唯一的ID和租戶420C唯一的ID)407B和407C,及傳輸資料至服務提供者435。
即使租戶連接至相同的服務,每一租戶的資料相對於其它租戶的資料保持為分離和安全的。再者,每一租戶的資料唯一地識別為來自一既定的租戶(或來自租戶的特定的使用者/電腦系統)。因此,即使在該等租戶中的二者具有相同的IP位址的情況中,可利用每一租戶具有自身的唯一的識別符來分離和繞送資料。以此方式,中繼服務可在租戶和主機之間安全地中繼資訊。行經返回至租戶的電腦系統(多個)的資料維護:藉由該安全的繞送通道指定予其本身的唯一的ID。再者,在租戶的電腦系統(多個)上執行的應用程式可直接地連接至在主
機系統上執行的應用程式或服務,而無需網路位址轉換,因為通訊資料藉由在來源和目的地之間的虛擬網路上的該安全的繞送通道來通道化(channeled)。
現在返回至第3圖,第3圖示例說明方法300的流程圖,該方法提供在電腦系統之間安全地中繼資料的多租戶中繼服務。方法300現在將頻繁地參照環境100的元件和資料來描述。
方法300包含:在具現化的多租戶中繼服務中接收一部分的資料的步驟,該部分的資料從第一電腦系統傳遞至第二、不同的電腦系統,其中具現化的多租戶中繼服務經組態以針對複數個不同的租戶來中繼資料(步驟310)。舉例而言,多租戶中繼服務105可接收資料106,該資料從電腦系統121A3傳遞至主機135的電腦系統131A1、131A2或131A3中的一者。如同前文所描述者,中繼服務105可經組態以針對各種不同的租戶來中繼資料。某些租戶可包含:一電腦使用者,及某些租戶可包含:數千個或更多個使用者。該中繼服務可唯一地識別電腦系統,例如屬於租戶120的121A3。額外地或可替代性地,中繼服務可識別一電腦使用者為屬於一租戶,而無關於使用者使用何者電腦系統。舉例而言,該使用者可認證為租戶120的成員,及從此認證,獲得對該租戶已訂閱的服務之存取。
方法300進一步包含以下步驟:多租戶中繼服務建立安全的繞送通道之步驟,該安全的繞送通道用以在第一
電腦系統和第二電腦系統之間繞送資料,其中該安全的繞送通道提供唯一的識別符至從第一租戶接收的每一部分的資料(步驟320)。舉例而言,多租戶中繼服務105可產生安全的繞送通道110,該安全的繞送通道用以在租戶120和主機135之間繞送或中繼資料。該安全的繞送通道施用唯一的識別符107至從給定的電腦使用者或電腦系統接收的每一部分的資料。
方法300包含:決定複數個不同的網路通訊協定中的何者為可獲得使用以繞送所接收的資料之步驟(步驟330)。舉例而言,中繼服務105可決定:何者網路通訊協定為可獲得使用以繞送資料106。通訊協定可包含:超文件傳輸協定(HTTP)、傳輸控制協定(TCP)、網際網路協定(IP)或任何其它用以透過網路傳輸資料的通訊協定。中繼服務亦可決定本地端網路是否為可獲得使用以傳輸資料。然後,基於何者網路通訊協定為可獲得使用的決定,中繼服務可動態地選擇最佳化資料傳輸效率的適當的通訊協定(步驟340)。舉例而言,若本地端網路為可獲得使用的,及經判定為安全的,該本地端網路可經選擇為最有效率的,在本地端網路上的通訊協定將可使用以傳輸資料。在作出初始的選擇之後,若網路發生變化,中繼服務可重新評估何者可獲得使用的通訊協定為最適合於傳輸資料。
方法300亦包含:使用所決定的通訊協定繞送從第一電腦系統所接收的資料至第二電腦系統之步驟,其中使
用該施用的識別符透過該安全的繞送通道來繞送資料(步驟350)。舉例而言,中繼服務105的安全的繞送通道110可使用所決定的通訊協定從租戶120繞送資料106至主機135。資料(具有附加於該等資料的唯一的識別符107)使用HTTP、TCP、IP或一些其它已決定的適當的通訊協定來傳輸。在一些情況中,若該租戶和主機位於相同的本地端電腦網路中,中繼服務可導引二個系統在本地端網路上連接,而無需其任一系統保持有防火牆環境。藉由選擇最有效率的(及安全的)通訊協定,可確保最佳的繞送效率。
因此,提供方法、系統和電腦程式產品,該等方法、該等系統和該等電腦程式產品提供在電腦系統之間安全地中繼資料的多租戶中繼服務。系統可使用可獲得使用的本地端網路,及可在可獲得使用的通訊協定間選擇通訊協定以使用最有效率的通訊協定來用於此情況。中繼服務可藉由安全地中繼和唯一地識別從每一租戶接收的資料,在租戶和主機之間建立和維持虛擬網路。以此方式,多租戶中繼服務可服務多租戶主機。
本發明可不需偏離其精神或必要的特性以其它的特定的形式來體現。所描述的具體實施例在所有的態樣中僅考慮為說明性而非限制性的。然而,本發明的範圍可由隨附的申請專利範圍指出,而非藉由前文的描述。落於申請專利範圍的等效者的意義和範圍內之所有變化包含於其範圍內。
100...電腦架構
105...多租戶中繼服務
106...資料
107...唯一的ID
110...安全的繞送通道
120...租戶
121...電腦系統
125...防火牆
130...網路
131...電腦系統
135...主機
400...電腦環境
405...多租戶中繼服務
406...資料
407...唯一的識別符
410...安全的繞送通道
420...租戶
435...服務提供者
為了進一步闡述本發明的具體實施例之上述和其它優點及特徵,本發明的具體實施例的更為特定的描述將藉由參考隨附的圖式來呈現。應了解到此些圖式僅描繪本發明的典型的具體實施例,及因而不被考慮作為本發明的範疇的限制。本發明將透過隨附圖式的使用,利用附加的明確性和細節來描述和解釋,其中:
第1圖示例說明一電腦架構,本發明的具體實施例可在該電腦架構下操作,該電腦架構提供於電腦系統之間安全地中繼資料的多租戶中繼服務。
第2圖示例說明實例方法的流程圖,該實例方法用以提供在電腦系統之間安全地中繼資料的多租戶中繼服務。
第3圖示例說明替代性實例方法的流程圖,該替代性實例方法用以提供在電腦系統之間安全地中繼資料的多租戶中繼服務。
第4圖示例說明本發明的具體實施例,其中透過安全的繞送通道而安全地繞送來自多個租戶的通訊。
【主要元件符號說明】
100...電腦架構
105...多租戶中繼服務
106...資料
107...唯一的ID
110...安全的繞送通道
120...租戶
121...電腦系統
125...防火牆
130...網路
131...電腦系統
135...主機
Claims (20)
- 一種在一電腦網路環境的一電腦系統中的電腦實施方法,該電腦網路環境包含複數個計算系統,該電腦系統包含一處理器和一記憶體,該方法用以提供在電腦系統之間安全地中繼資料的一多租戶中繼服務,該方法包含以下步驟:在一具現化的多租戶中繼服務處接收一部分資料,該部分資料是將從屬於一第一租戶的一第一電腦系統被傳遞至不同的一第二電腦系統,其中該具現化的多租戶中繼服務經組態以針對複數個不同的租戶來安全地中繼資料,該多租戶中繼服務提供一組隔離的繞送網域,各繞送網域包含一組特定機器,各繞送網域提供一名稱空間,該名稱空間在該組隔離的繞送網域中的各網域中唯一地識別該組特定機器中之各機器;該多租戶中繼服務建立一安全的繞送通道,該安全的繞送通道用以在該第一電腦系統和該第二電腦系統之間繞送該第一租戶的資料,其中該安全的繞送通道施用一唯一識別符至從該第一租戶接收的每一部分資料;及該多租戶中繼服務使用該經施用唯一識別符,通過該安全的繞送通道,繞送從該第一電腦系統所接收的資料至該第二電腦系統。
- 如請求項1所述之方法,該方法進一步包含以下步驟: 在該多租戶中繼服務處接收來自不同的一第三電腦系統之一部分資料,該第三電腦系統屬於不同的一第二租戶;該多租戶中繼服務施用一不同的唯一識別符至從該第二租戶接收的每一部分資料;及該多租戶中繼服務使用該經施用的、不同的唯一識別符,通過該安全的繞送通道,繞送從該第三電腦系統所接收的資料至該第二電腦系統。
- 如請求項2所述之方法,其中,即使該第二租戶連接至該第一租戶所連接到的相同的服務,從該第二租戶所接收的資料仍隔離於從該第一租戶所接收的資料,該服務係由該第二電腦系統提供。
- 如請求項2所述之方法,其中該第一租戶的該第一電腦系統和該第二租戶的該第三電腦系統具有相同的IP位址。
- 如請求項1所述之方法,其中建立一安全的繞送通道之步驟包含以下步驟:建立用於以該安全的繞送通道在IP位址之間繞送的IP位址空間。
- 如請求項1所述之方法,進一步包含以下步驟:將用於來自該第一租戶的租戶資料的該唯一識別符映射至該 第一電腦系統的DNS名稱,以解析該第一電腦系統的DNS名稱。
- 如請求項1所述之方法,其中該唯一識別符被施用至從該第一租戶接收的所有資料,而無關於資料係從電腦系統中之哪個或哪些個電腦系統接收。
- 如請求項1所述之方法,其中該經施用唯一識別符允許每一租戶在該多租戶中繼服務內具有自身的唯一名稱空間。
- 如請求項1所述之方法,其中在該第一電腦系統上執行的應用程式顯得是直接地連接至在該第二電腦系統上執行的應用程式或服務,而無需網路位址的轉換,因為通訊資料在一虛擬連接上通過該安全的繞送通道來通道化(channeled)。
- 如請求項1所述之方法,其中該中繼服務係在複數個分散式電腦系統上執行。
- 如請求項10所述之方法,其中資料路徑在該等複數個分散式電腦系統上經最佳化。
- 如請求項1所述之方法,其中該多租戶中繼服務提 供一或多個安全性保證給使用該服務的該等租戶。
- 如請求項1所述之方法,該方法更包含以下步驟:提供一軟體代理者給連接至該多租戶中繼服務的每一電腦系統。
- 如請求項13所述之方法,其中該軟體代理者將機器加入該多租戶中繼服務及提供額外服務,該等額外服務包含用於IP位址轉換的DNS服務。
- 如請求項1所述之方法,其中該多租戶中繼服務包含一IP層級中繼,以使得在該第一和第二電腦系統之間的通訊在IP層級被管理。
- 一種用以實施提供一多租戶中繼服務的方法之電腦程式產品,該多租戶中繼服務在電腦系統之間安全地中繼資料,該電腦程式產品包含一或多個電腦可讀取儲存媒體,該一或多個電腦可讀取媒體具有於其上儲存的電腦可執行指令,當由計算系統的一或多個處理器執行該等電腦可執行指令時使得該計算系統執行該方法,該方法包含以下步驟:在一具現化的多租戶中繼服務處接收一部分資料,該部分資料將從一第一電腦系統被傳遞至不同的一第二電腦系統,其中該具現化的多租戶中繼服務經組態以針對 複數個不同的租戶來中繼資料,該多租戶中繼服務提供一組隔離的繞送網域,各繞送網域包含一組特定機器,各繞送網域提供一名稱空間,該名稱空間在該組隔離的繞送網域之各網域中唯一地識別該組特定機器中之各機器;該多租戶中繼服務建立一安全的繞送通道,該安全的繞送通道用以在該第一電腦系統和該第二電腦系統之間繞送資料,其中該安全的繞送通道提供一唯一識別符給從該第一租戶接收的每一部分資料;決定複數個不同的網路通訊協定中的何者為可獲得使用以繞送該所接收資料;根據何者網路通訊協定為可獲得使用的決定,動態地選擇將資料傳輸效率最佳化的一適當通訊協定;及使用該所選擇的通訊協定來繞送從該第一電腦系統所接收的資料至該第二電腦系統,其中係使用該經施用的唯一識別符通過該安全的繞送通道來繞送該資料。
- 如請求項16所述之電腦程式產品,其中若該第一電腦系統和該第二電腦系統在相同的網路中,該多租戶中繼服務導引該二個系統在區域網路中區域性地連接,而無需任一系統通過一防火牆離開該區域網路。
- 如請求項17所述之電腦程式產品,其中該區域網路經決定為安全的。
- 如請求項16所述之電腦程式產品,其中在決定該網路已發生一或多個變化之後,重新評估可獲得使用的通訊協定之何者最適合於傳送資料。
- 一種電腦系統,該電腦系統包含:一或多個處理器;系統記憶體;具有於其上儲存的電腦可執行指令的一或多個電腦可讀取儲存媒體,當由該一或多個處理器執行該等電腦可執行指令時使得該計算系統執行用以提供一多租戶中繼服務的方法,該多租戶中繼服務安全地在電腦系統之間中繼資料,該方法包含以下步驟:在一具現化的多租戶中繼服務處接收一部分資料,該部分資料將從屬於一第一租戶的一第一電腦系統被傳遞至不同的一第二電腦系統,其中該具現化的多租戶中繼服務經組態以針對複數個不同的租戶來安全地中繼資料,該多租戶中繼服務提供一組隔離的繞送網域,各繞送網域包含一組特定機器,各繞送網域提供一名稱空間,該名稱空間在該組隔離的繞送網域之各網域中唯一地識別該組特定機器中之各機器;該多租戶中繼服務建立一安全的繞送通道,該安全的繞送通道用以在該第一電腦系統和該第二電腦系統之間繞送該第一租戶的資料,其中該安全的繞送通道施用 一唯一識別符至從該第一租戶接收的每一部分資料;該多租戶中繼服務使用該經施用的唯一識別符,通過該安全的繞送通道,繞送從該第一電腦系統所接收的資料至該第二電腦系統;在該多租戶中繼服務處從不同之一第三電腦系統接收一部分資料,該第三電腦系統屬於不同之一第二租戶;該多租戶中繼服務施用一不同的唯一識別符至從該第二租戶接收的每一部分資料;及該多租戶中繼服務使用該經施用的、不同的唯一識別符,通過該安全的繞送通道,繞送從該第三電腦系統所接收的資料至該第二電腦系統之步驟。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/889,283 US8935427B2 (en) | 2010-09-23 | 2010-09-23 | Providing virtual networks using multi-tenant relays |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201229779A TW201229779A (en) | 2012-07-16 |
| TWI524188B true TWI524188B (zh) | 2016-03-01 |
Family
ID=45871806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW100129995A TWI524188B (zh) | 2010-09-23 | 2011-08-22 | 用於使用多租戶中繼器提供虛擬網路的方法、電腦程式產品及系統 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8935427B2 (zh) |
| EP (1) | EP2619959B1 (zh) |
| JP (1) | JP5937078B2 (zh) |
| CN (1) | CN102413032B (zh) |
| AR (1) | AR083103A1 (zh) |
| HK (1) | HK1167533A1 (zh) |
| TW (1) | TWI524188B (zh) |
| WO (1) | WO2012039924A2 (zh) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8769071B2 (en) * | 2011-02-25 | 2014-07-01 | Red Hat, Inc. | Dynamic mapping of identifiers in a multi-tenant computing system |
| US9003141B2 (en) * | 2011-11-14 | 2015-04-07 | Ca, Inc. | Enhanced software application platform |
| US9838370B2 (en) | 2012-09-07 | 2017-12-05 | Oracle International Corporation | Business attribute driven sizing algorithms |
| US8972725B2 (en) * | 2012-09-07 | 2015-03-03 | Oracle International Corporation | Security infrastructure for cloud services |
| US10148530B2 (en) | 2012-09-07 | 2018-12-04 | Oracle International Corporation | Rule based subscription cloning |
| US9542400B2 (en) | 2012-09-07 | 2017-01-10 | Oracle International Corporation | Service archive support |
| US9467355B2 (en) | 2012-09-07 | 2016-10-11 | Oracle International Corporation | Service association model |
| US9621435B2 (en) | 2012-09-07 | 2017-04-11 | Oracle International Corporation | Declarative and extensible model for provisioning of cloud based services |
| EP2893683A1 (en) * | 2012-09-07 | 2015-07-15 | Oracle International Corporation | Ldap-based multi-customer in-cloud identity management system |
| WO2014110167A2 (en) | 2013-01-08 | 2014-07-17 | Purepredictive, Inc. | Integrated machine learning for a data management product |
| US9608958B2 (en) | 2013-03-12 | 2017-03-28 | Oracle International Corporation | Lightweight directory access protocol (LDAP) join search mechanism |
| US9218574B2 (en) | 2013-05-29 | 2015-12-22 | Purepredictive, Inc. | User interface for machine learning |
| US9646262B2 (en) | 2013-06-17 | 2017-05-09 | Purepredictive, Inc. | Data intelligence using machine learning |
| US9961011B2 (en) | 2014-01-21 | 2018-05-01 | Oracle International Corporation | System and method for supporting multi-tenancy in an application server, cloud, or other environment |
| US10318280B2 (en) | 2014-09-24 | 2019-06-11 | Oracle International Corporation | System and method for supporting patching in a multitenant application server environment |
| US9843629B2 (en) * | 2014-09-26 | 2017-12-12 | Oracle International Corporation | System and method for protocol support in a multitenant application server environment |
| TW201613310A (en) * | 2014-09-30 | 2016-04-01 | Ibm | Method, appliance, and computer program product of translating network attributes of packets in a multi-tenant environment |
| US10250512B2 (en) | 2015-01-21 | 2019-04-02 | Oracle International Corporation | System and method for traffic director support in a multitenant application server environment |
| US10142174B2 (en) | 2015-08-25 | 2018-11-27 | Oracle International Corporation | Service deployment infrastructure request provisioning |
| CN105306455B (zh) * | 2015-09-30 | 2019-05-21 | 北京奇虎科技有限公司 | 一种处理数据的方法及终端设备 |
| US10250452B2 (en) | 2015-12-14 | 2019-04-02 | Microsoft Technology Licensing, Llc | Packaging tool for first and third party component deployment |
| US10356038B2 (en) | 2015-12-14 | 2019-07-16 | Microsoft Technology Licensing, Llc | Shared multi-tenant domain name system (DNS) server for virtual networks |
| US10666517B2 (en) | 2015-12-15 | 2020-05-26 | Microsoft Technology Licensing, Llc | End-to-end automated servicing model for cloud computing platforms |
| CN106487811B (zh) * | 2016-11-29 | 2019-06-25 | 北京元心科技有限公司 | 多容器间通信的方法及装置 |
| CN113542128B (zh) * | 2018-10-12 | 2023-03-31 | 华为技术有限公司 | 一种发送路由信息的方法和装置 |
| US11611517B2 (en) * | 2020-05-29 | 2023-03-21 | Equinix, Inc. | Tenant-driven dynamic resource allocation for virtual network functions |
| US11574068B2 (en) * | 2020-06-08 | 2023-02-07 | Open Text Sa Ulc | Methods and systems for tenancy in a multitenant environment |
| US11363095B1 (en) | 2021-01-29 | 2022-06-14 | Netskope, Inc. | Policy-driven client and destination priority |
| CN114944952B (zh) * | 2022-05-20 | 2023-11-07 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06232943A (ja) * | 1993-02-01 | 1994-08-19 | Toshiba Corp | 通信装置 |
| US6609153B1 (en) * | 1998-12-24 | 2003-08-19 | Redback Networks Inc. | Domain isolation through virtual network machines |
| JP4099930B2 (ja) * | 2000-06-02 | 2008-06-11 | 株式会社日立製作所 | ルータ装置及びvpn識別情報の設定方法 |
| JP2002064525A (ja) * | 2000-08-22 | 2002-02-28 | Hitachi Cable Ltd | スイッチングハブ及びネットワーク管理装置 |
| JP3491828B2 (ja) * | 2000-09-04 | 2004-01-26 | 日本電信電話株式会社 | 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム |
| US6832248B1 (en) * | 2001-05-10 | 2004-12-14 | Agami Systems, Inc. | System and method for managing usage quotas |
| US20030105763A1 (en) * | 2001-11-30 | 2003-06-05 | Gemini Networks, Inc. | System, method, and computer program product for providing a wholesale provisioning service |
| US7624437B1 (en) * | 2002-04-02 | 2009-11-24 | Cisco Technology, Inc. | Methods and apparatus for user authentication and interactive unit authentication |
| KR100485769B1 (ko) * | 2002-05-14 | 2005-04-28 | 삼성전자주식회사 | 서로 다른 홈네트워크에 존재하는 네트워크장치간의접속을 제공하기 위한 장치 및 방법 |
| US7062566B2 (en) * | 2002-10-24 | 2006-06-13 | 3Com Corporation | System and method for using virtual local area network tags with a virtual private network |
| US7447212B2 (en) | 2003-09-03 | 2008-11-04 | At&T Intellectual Property I, L.P. | Method and system for automating membership discovery in a distributed computer network |
| US8069153B2 (en) | 2005-12-02 | 2011-11-29 | Salesforce.Com, Inc. | Systems and methods for securing customer data in a multi-tenant environment |
| JP4154615B2 (ja) * | 2005-12-08 | 2008-09-24 | 日本電気株式会社 | Sipサーバ共有モジュール装置、sipメッセージ中継方法、及びプログラム |
| US9112897B2 (en) * | 2006-03-30 | 2015-08-18 | Advanced Network Technology Laboratories Pte Ltd. | System and method for securing a network session |
| US8832179B2 (en) | 2006-06-20 | 2014-09-09 | Ianywhere Solutions, Inc. | Method, system, and computer program product for a relay server |
| JP4855162B2 (ja) * | 2006-07-14 | 2012-01-18 | 株式会社日立製作所 | パケット転送装置及び通信システム |
| US8451806B2 (en) * | 2006-08-21 | 2013-05-28 | Citrix Sysrems, Inc. | Systems and methods for pinging a user's intranet IP address |
| US7852764B2 (en) * | 2006-09-20 | 2010-12-14 | Panasonic Corporation | Relay transmission device and relay transmission method |
| US7783300B2 (en) * | 2006-11-22 | 2010-08-24 | Airdefense, Inc. | Systems and methods for proactively enforcing a wireless free zone |
| US8060594B1 (en) * | 2007-10-23 | 2011-11-15 | Phunware, Inc. | Client-side wireless communications link support for mobile handheld devices |
| JP2009152953A (ja) * | 2007-12-21 | 2009-07-09 | Nec Corp | ゲートウェイ装置およびパケット転送方法 |
| US8073959B2 (en) * | 2008-03-28 | 2011-12-06 | Microsoft Corporation | Automatically detecting whether a computer is connected to a public or private network |
| US8473594B2 (en) | 2008-05-02 | 2013-06-25 | Skytap | Multitenant hosted virtual machine infrastructure |
| US8661056B1 (en) * | 2008-11-03 | 2014-02-25 | Salesforce.Com, Inc. | System, method and computer program product for publicly providing web content of a tenant using a multi-tenant on-demand database service |
| US9734466B2 (en) | 2008-11-11 | 2017-08-15 | Sap Se | Multi-tenancy engine |
| US8271536B2 (en) | 2008-11-14 | 2012-09-18 | Microsoft Corporation | Multi-tenancy using suite of authorization manager components |
| US8359644B2 (en) * | 2008-11-17 | 2013-01-22 | At&T Intellectual Property I, L.P. | Seamless data networking |
| JP5239966B2 (ja) * | 2009-03-17 | 2013-07-17 | 富士通株式会社 | 中継装置、テナント管理プログラム |
-
2010
- 2010-09-23 US US12/889,283 patent/US8935427B2/en active Active
-
2011
- 2011-08-22 TW TW100129995A patent/TWI524188B/zh not_active IP Right Cessation
- 2011-09-06 JP JP2013530167A patent/JP5937078B2/ja active Active
- 2011-09-06 WO PCT/US2011/050579 patent/WO2012039924A2/en active Application Filing
- 2011-09-06 EP EP11827188.1A patent/EP2619959B1/en active Active
- 2011-09-21 CN CN201110300658.0A patent/CN102413032B/zh active Active
- 2011-09-26 AR ARP110103501A patent/AR083103A1/es not_active Application Discontinuation
-
2012
- 2012-08-15 HK HK12108033.8A patent/HK1167533A1/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| JP5937078B2 (ja) | 2016-06-22 |
| EP2619959A4 (en) | 2015-08-12 |
| AR083103A1 (es) | 2013-01-30 |
| US20120079134A1 (en) | 2012-03-29 |
| EP2619959B1 (en) | 2018-10-24 |
| WO2012039924A3 (en) | 2012-06-14 |
| TW201229779A (en) | 2012-07-16 |
| CN102413032A (zh) | 2012-04-11 |
| HK1167533A1 (zh) | 2012-11-30 |
| JP2013541291A (ja) | 2013-11-07 |
| US8935427B2 (en) | 2015-01-13 |
| CN102413032B (zh) | 2014-08-20 |
| WO2012039924A2 (en) | 2012-03-29 |
| EP2619959A2 (en) | 2013-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI524188B (zh) | 用於使用多租戶中繼器提供虛擬網路的方法、電腦程式產品及系統 | |
| CN112470436B (zh) | 用于提供多云连通性的系统、方法、以及计算机可读介质 | |
| US10623390B1 (en) | Sidecar-backed services for cloud computing platform | |
| JP6423047B2 (ja) | 仮想ネットワークインタフェースオブジェクト | |
| US10833992B1 (en) | Associating route tables with ingress traffic to logically isolated networks | |
| US10560431B1 (en) | Virtual private gateway for encrypted communication over dedicated physical link | |
| US7840701B2 (en) | Dynamic system and method for virtual private network (VPN) packet level routing using dual-NAT method | |
| US10154005B2 (en) | System and methods for direct connections between previously unconnected network devices across one or more unknown networks | |
| US20090300750A1 (en) | Proxy Based Two-Way Web-Service Router Gateway | |
| JP5809696B2 (ja) | 分散型仮想ネットワーク・ゲートウェイ | |
| JP5711754B2 (ja) | スマートクライアントルーティング | |
| US10680945B1 (en) | Extending overlay networks to edge routers of a substrate network | |
| WO2016119747A1 (en) | System and method for communicating in an ssl vpn | |
| US20150082378A1 (en) | System and method for enabling scalable isolation contexts in a platform | |
| US10187356B2 (en) | Connectivity between cloud-hosted systems and on-premises enterprise resources | |
| US9929951B1 (en) | Techniques for using mappings to manage network traffic | |
| EP3644576B1 (en) | Replication of an encrypted volume | |
| KR20230003490A (ko) | 오케스트레이션된 프록시 서비스 | |
| US10938778B2 (en) | Route reply back interface for cloud internal communication | |
| JP2010056666A (ja) | ユーザ認証型リバースプロキシー装置、そのデータ中継方法、およびそのプログラム | |
| CN109618014A (zh) | 报文转发方法和装置 | |
| JP2010056665A (ja) | ユーザ識別型リバースプロキシー装置、そのデータ中継方法、およびそのプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |