TWI531185B - 分散式虛擬網路閘道 - Google Patents
分散式虛擬網路閘道 Download PDFInfo
- Publication number
- TWI531185B TWI531185B TW100117829A TW100117829A TWI531185B TW I531185 B TWI531185 B TW I531185B TW 100117829 A TW100117829 A TW 100117829A TW 100117829 A TW100117829 A TW 100117829A TW I531185 B TWI531185 B TW I531185B
- Authority
- TW
- Taiwan
- Prior art keywords
- address
- endpoint
- data packets
- network
- target
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本發明係關於分散式虛擬網路閘道。
大規模的網路化系統係利用於各種設定的普通平台,該等各種設定包括對商業及操作功能而運行服務應用程式及維持資料。舉例而言,一資料中心(例如,實體雲端計算基礎建設)可同時對複數個客戶提供各種服務(例如,網頁應用程式、電子郵件服務、搜尋引擎服務等等)。此等大規模的網路化系統典型地包括大量的資源分散遍及資料中心,其中各個資源類似運行於一實體主機上的一實體機器或一虛擬機器(VM)。當資料中心裝載多重住戶(例如,客戶程式)時,此等資源從資料中心被分配至不同的住戶以滿足該等住戶的使用要求。分配到一住戶的資源集可被分組於一邏輯或虛擬子集中,以方便管理及安全隔離。
資料中心的客戶常常要求運行於一企業私人網路中的服務應用程式(例如,由地理上遠離資料中心的一客戶所管理的伺服器)或要求其他第三方網路,與資料中心之中運行在資源上的軟體互動。為了實施此互動同時將分配至一住戶的資源安全地與分配至其他住戶的資源分開,一主機服務提供者可利用一單一、集中路由的機制,供以在屬於一虛擬子集之中的一住戶的所有機器之間,或由一主機超管理器所管理的資源及住戶的遠端資源之間,作為一網路閘道。然而,利用集中路由機制的此架構係效率不彰的,因為操作取決於機制實體靠近該機制所服務的機器/資源。舉例而言,若機器/資源係在資料中心的不同部分或在不同位置中(例如,散佈於資料中心及企業私人網路),則至少某些機器/資源在由其他機器/資源利用的同時,將面對較高的潛伏期及與驅動程式連接的較低的頻寬。因此,集中路由機制成為用於進入及離開一特定虛擬子集的通訊的一常常壅塞的點。再者,當配置為所有通訊透過此集中路由機制通過時,機器/資源將被迫傳送資料封包通過次佳的路由。
如此,利用新興技術,以藉由將驅動程式安裝於實體機器(併入本端機器網路堆疊中)或虛擬機器(併入虛擬交換網路堆疊中)之中,而分散虛擬網路閘道或驅動程式遍及一資料中心,此舉將藉由發現及利用最佳的網路途徑而增進資料封包的傳送、藉由分散閘道功能而減少網路配置、且供以進一步隔離資料中心客戶的通訊。
提供此發明內容以一簡化的形式介紹概念,此概念於以下的詳細實施方式進一步說明。此發明內容並非意圖識別所主張的標的之關鍵特徵或重要特徵,亦非意圖被用於幫助決定所主張標的之範疇。
本發明的實施例提供分散式虛擬網路閘道的一架構,該架構解決上述之問題。此等閘道可採取驅動程式的形式,而可藉由裝設驅動程式在實體機器(併入本端機器網路堆疊之中)或虛擬機器(併入虛擬交換網路堆疊之中)之中而供應遍及一資料中心。如以下將詳細的說明,驅動程式藉由發現及利用最佳網路途徑來增進資料封包的傳送、藉由分散閘道功能來降低網路壅塞、且供以進一步隔離資料中心客戶的通訊。再者,驅動程式保護運行於一雲端計算平台中的一客戶的服務應用程式的完整性,該雲端計算平台係配置成允許多重住戶(例如,每一個雲端具有數萬個住戶)在一雲端服務資料中心分享計算資源。
一般而言,驅動程式支援在端點之間選擇一最適當的格式及一通訊的途徑,而分配至服務應用程式,同時驅動程式支援虛擬地在一資料中心之中將分配的網路轉接器與其他資源分隔。藉由澄清的方式,端點可包含網路轉接器,該等網路轉接器在虛擬機器(VMs)及/或實體機器上初始化。為了達成在通訊之中的格式選擇及資料封包的途徑,在實施例中,驅動程式向外伸展至目錄服務,該等目錄服務幫助驅動程式對驅動程式的分別的來源及目標端點作成路由決策。藉由來自目錄服務所返回的資訊的援助,驅動程式能夠適當地從目錄服務管理資料封包的路由,且同時,驅動程式能夠藉由適當地轉換資料封包而防止未授權的通訊。
在一範例實施例中,驅動程式供以散佈虛擬式閘道功能至一實體網路之中節點的多重虛擬的端點。初始,供應驅動程式以與在網路節點上初始化的端點合作。再者,實施目錄服務以維持虛擬網際網路協定(IP)位址及位置相依位址之間的一映射,並且根據在一網路之中連接端點的已知途徑實施一列舉轉換動作表。當將各個驅動程式從一中心位置處的驅動程式調離時,或當將各個驅動程式整體併入驅動程式之中而本端地存取目錄服務時,驅動程式之各者能夠與目錄服務通訊。
在操作中,鏈結至一特定驅動程式的一接收者端點可接收一或更多資料封包。驅動程式可讀取資料封包的一標頭,以確認一來源IP位址及一目標IP位址。驅動程式可進一步在一請求之中打包來源及目標IP位址用於路由資訊,且內部地或外部地將請求傳達至目錄服務。目錄服務可藉由檢閱來源及目標IP位址的映射,以一遞送路徑的適當位置相依位址,從驅動程式回應請求。此外,目錄服務可藉由檢閱遞送路徑的表,以適當的轉換動作而回應請求。轉換動作可包括以下一或多者:重新寫入資料封包的標頭以包括位置相依位址、在分別的外部資料封包之中包覆資料封包作為內部資料封包,其中該等外部資料封包以攜帶位置相依位址的標頭所組成、或以一通道協定配置資料封包(例如,對資料中心的每一個安全策略,或由一客戶所建立的一服務模式)。
在於驅動程式處接收路由資訊之後,驅動程式可立即對接收者端點驅動遞送路徑及轉換動作。反之,當從接收者端點傳送資料封包時,接收者端點實施遞送路徑且應用轉換動作。在其他實施例中,驅動程式可直接對資料封包實行適當的轉換動作,而非依賴一端點(例如,接收者端點)以實行此功能。
因此,在驅動程式及目錄服務協力作用以作成一根據情報的路由決策之後,鏈結至驅動程式的接收者端點可立即被提供網路途徑的一最佳選項,藉此降低網路擁塞;且接收者端點可立即被提供一適當的轉換動作,藉此強制在資料中心之外部隔離傳送。
此處明確地說明本發明的實施例的標的以滿足法規的要求。然而,說明本身並非意圖限制此專利的範疇。反之,發明人已經考慮所主張的標的亦可以其他方式體現、包括不同的步驟或與此文件中所述的步驟相似的步驟之結合、與其他現有或未來的技術之連結。再者,儘管此處所使用的「步驟」及/或「方塊」一詞可表示方法所體現的不同元件,但此等詞彙不應被詮釋為暗示此處所揭示的各種步驟之中或之間任何特定的順序,除非且不計當個別步驟的順序被明確地說明。
本發明的實施例關於在分散式驅動程式處用於作成根據情報的路由決策的方法、電腦系統、及電腦可讀取媒體,該等分散式驅動程式以一局部的方式提供虛擬的閘道功能。
在一個態樣中,本發明的實施例係關於具有電腦可執行指令安裝於其上的一或更多電腦可讀取媒體,當執行該等指令時,電腦可讀取媒體實行用於管理端點之間的資料封包的分散的一方法。在實施例中,該方法包括於一第一端點偵測一或更多資料封包的步驟。典型地,資料封包之各者包括一標頭,該標頭包含一來源位址及一目標位址。與第一端點相關聯的一驅動程式可發送一請求至一目錄服務。在一範例實施例中,請求攜帶來源位址及目標位址,或攜帶某些指標。在接收請求之後,目錄服務立即實行一查詢,以將來源位址及目標位址轉譯成一遞送路徑及一轉換動作。遞送路徑及轉換動作可在對驅動程式的一回應之中,而從目錄服務發送。然而,驅動程式及/或端點亦維持丟棄一或更多資料封包的能力,該一或更多資料封包無法匹配在目錄服務中關於起源、接收者及標靶端點的一規則。丟棄資料封包的此能力提供驅動程式強制網路之中的隔離的授權。
在收到回應之後,驅動程式可立即實行一路由決策,該路由決策係部分基於第一端點是否為資料封包的一起源端點、作用以遞送資料封包至一標靶端點上的一接收者端點、或標靶端點。當第一端點代表起源端點(由來源位址識別)時,路由決策可導致以下一或更多轉換動作:(a)重新寫入資料封包的標頭,以包括位置相依位址;(b)在分別的外部資料封包之中包覆資料封包作為內部資料封包,其中外部資料封包之各者包括一標頭,該標頭攜帶位置相依位址;或(c)以一通道協定配置資料封包。當第一端點代表接收者端點時,路由決策可導致以下一或更多轉換動作:(a)遞送經包覆的資料封包或具有重新寫入的標頭之資料封包通過另一網路途徑;(b)重新導向經包覆的資料封包或具有重新寫入的標頭之資料封包通過一通道;或(c)從資料封包移除(removing)通道協定。當第一端點代表標靶端點(由目標位址識別)時,路由決策可導致以下一或更多轉換動作:(a)解開經包覆的資料封包;(b)重新儲存已重新寫入的資料封包的標頭;或(c)從資料封包移除通道協定以準備用於消耗(consumption)。
在另一態樣中,本發明的實施例係關於在端點之間用於支援及隔離通訊的一電腦系統。初始,電腦系統包括一目錄服務、一第一端點、一第二端點、及本端地供應至第一端點的一驅動程式。一般而言,目錄服務在虛擬網際網路協定(IP)位址及一實體網路的位置相依位址之間維持一映射。在操作中,第一端點可著手與標頭一起構成產生一或更多資料封包,該等標頭包括一來源IP位址及一目標IP位址。在此實例中,來源IP位址指向第一(起源)端點,且目標IP位址指向第二(標靶)端點。
在偵測到第一端點嘗試從一節點(例如,實體機器或虛擬機器)傳送資料封包至第二端點之後,驅動程式立即實行一路由決策。在一範例實施例中,由驅動程式對各個連接引發且執行一獨特的路由決策,各個連接係由第一端點作成。在實施例中,實行路由決策牽涉但非限於以下步驟:與目錄服務通訊,以部分基於來源IP位址及目標IP位址,來決定一遞送路徑及一轉換動作;決定第一端點及第二端點是否駐居於一通用資料中心之中;及決定若來源IP位址及目標IP位址被移除(removed),則第二端點是否無法轉譯資料封包的標頭。
當決定第一端點及第二端點係駐居於一通用資料中心之中時,驅動程式可以遞送路徑的分別的位置相依位址,來重新寫入來源IP位址及目標IP位址。在另一實施例中,驅動程式可在分別的外部資料封包之中包覆資料封包作為內部資料封包,其中外部資料封包之各者包括一標頭,該標頭揭露遞送路徑的位置相依位址。存在著引發包覆的轉換動作的數個情境。在一個情境中,當決定若來源位址及目標位址被移除,則第二端點無法轉譯資料封包的標頭時,包覆係被觸發。可能需要包覆的其他潛在情境包括(a)偵測網路轉譯的某些形式(NAT)存在於來源及目標IP位址之間,及/或(b)從來源及目標IP位址認知到第一及第二端點(例如,起源及標靶網路轉接器)橫跨多重虛擬網路,使得並不存在來自端點的位置相依位址及端點的虛擬IP位址的一對一映射。
當決定轉換動作支配一層保護以保衛提供於該第一端點及該第二端點之間的連接時,驅動器可基於所接收的轉換動作而轉換資料封包。在一個實例中,轉換動作牽涉將通道協定(例如,安全插座通道協定(SSTP)或網際網路協定安全(IPsec))應用至資料封包。
仍在另一態樣中,本發明的實施例關於回應於來自一分散式、虛擬網路閘道的一請求而用於識別一網路途徑及轉換動作的一電腦化方法。初始,本方法牽涉提供一目錄服務,該目錄服務在虛擬IP位址及位置相依位址之間維持一映射。目錄服務亦可維持一表,該表認知一適當的轉換動作。在一個實例中,表係根據通訊策略而設計,該等通訊策略確保在一網路之中連接端點的途徑上的資料封包流量。在另一實例中,表係基於一服務模式(例如,服務等級協議(SLA)),該服務模式被建立用於一資料中心的一客戶,該資料中心裝載客戶的服務應用程式。
本方法可進一步涉及從一虛擬網路閘道接收一請求的步驟與一接收者端點通訊。典型地,該請求包括一來源IP位址及一目標IP位址的指標,該來源IP位址及該目標IP位址透過一或更多資料封包攜帶而藉由接收者端點接受。在收到請求之後,目錄服務可立即實行以下至少一個查詢程序:以來源IP位址及目標IP位址檢閱映射,以識別透過一實體網路構成的資料封包的一遞送路徑的相對應的位置相依位址;或以遞送路徑檢閱表,以識別一相對應的轉換動作。如以下更加完整的討論,轉換動作可牽涉但非限於以下一或更多者:重新寫入資料封包的標頭,以包括位置相依位址;在分別的外部資料封包之中包覆資料封包作為內部資料封包,其中該等外部資料封包之各者包括一標頭,該標頭攜帶位置相依位址;或以一通道協定配置資料封包。最終,目錄服務可返回一回應,該回應對虛擬網路閘道傳達經識別的遞送路徑及經識別的轉換動作的指標。
在簡要地說明本發明的實施例的一概觀之後,以下說明適以實施本發明的實施例的一範例操作環境。
大致參考圖式,且具體而言初始參考第1圖,顯示且大致指定用於實施本發明的實施例的一範例操作環境為計算設備100。計算設備100係僅為一適合的計算環境的範例,且並非意圖對本發明的實施例的使用或功能的範疇建議任何限制。計算環境100亦不應被詮釋為對關於圖示的元件的任何一者或結合具有任何依附或要求。
本發明的實施例可以電腦編碼或機器可使用的指令的一般情境說明,電腦編碼或機器可使用的指令包括諸如程式元件的電腦可執行指令,而程式元件由一電腦或其他機器執行,例如一個人資料助理或其他手持設備。一般而言,程式元件包括常式、程式、物件、元件、資料結構、及論及實行特定任務或實施特定抽象資料類型的編碼的諸如此類者。本發明的實施例可實施於各種系統配置之中,包括手持設備、客戶電子設備、一般功能的電腦、專門計算設備等等。本發明的實施例亦可實施於分散式計算環境中,其中任務係藉由透過一通訊網路鏈結的遠端處理設備實行。
繼續參照第1圖,計算設備100包括一匯流排110,該匯流排110直接或間接與以下設備耦接;記憶體112、一或更多處理器114、一或更多展示元件116、輸入/輸出(I/O)埠118、I/O元件120、及一圖示性電源供應器122。匯流排110代表一或更多匯流排(例如,一位址匯流排、資料匯流排、或此等之結合)。儘管為了清楚起見以線條顯示第1圖的各種方塊,實際上,各種元件的界線並非如此清楚,且比喻來說,線條應更明確地為灰色及模糊的。舉例而言,吾人可考慮諸如一顯示設備的一展示元件為一I/O元件。而且,處理器具有記憶體。此處的本發明認知到此為本領域的天性且重申第1圖僅為圖示性的一範例計算設備,該範例計算設備可與本發明的一或更多實施例連接使用。此等類別之間所述的「工作站」、「伺服器」、「膝上型電腦」、「手持設備」等等並無區別,以上所有均考慮在第1圖的範疇之中,且稱為「電腦」或「計算設備」。
計算設備100典型地包括各種電腦可讀取媒體。藉由範例的方式且非限制,電腦可讀取媒體可包含隨機存取記憶體(RAM);唯讀記憶體(ROM);電子可抹除可程式唯讀記憶體(EEPROM);快閃記憶體或其他記憶技術;CDROM,數位光碟(DVDs)或其他光學或影像媒體;磁性卡匣、磁帶、磁碟儲存或其他磁性儲存設備,或可用以編碼所欲資訊且可由計算設備100存取的其他媒體。
記憶體112包括電腦儲存媒體,具有可揮發及/或不可揮發記憶體的形式。記憶體可為可移除、不可移除、或此等之結合。範例硬體設備包括固態記憶體、硬碟、光碟驅動等等。計算設備100包括一或更多處理器,該一或更多處理器從諸如記憶體112或I/O元件120的各種實體讀取資料。展示元件116呈現資料指令至一使用者或其他設備。範例展示元件包括一顯示設備、喇叭、列印元件、振動元件等等。I/O埠118允許計算設備100邏輯性地耦接至其他設備,包括耦接至I/O元件120,其中某些可為內建的。圖示性元件包括一麥克風、操縱桿、遊戲板、天線接收器、掃描機、印表機、無線設備等等。
參照第1及2圖,一節點211及一節點212可由第1圖的範例計算設備100所實施。再者,端點201、202及230可存取第1圖的部分記憶體,且運行於第1圖的部分處理器上。類似地,在VM開關222的虛擬交換網路堆疊之中(在虛擬式機器270及275上支援端點201及202)及/或在用於實體機器的本端機器網路堆疊之中(支援端點230),安裝了本端閘道功能的驅動程式223及233,可存取第1圖的部分記憶體112,且運行於第1圖的部分處理器上。
現在轉向第2圖,根據本發明的一實施例圖示一方塊圖,顯示一範例雲端計算平台200,該範例雲端計算平台200配置成藉由利用路由資訊而於驅動程式223及233實行路由策略,該路由資訊係從使用各種形式的轉換的一目錄服務220蒐集到。在實施例中,儘管圖示為可耦接至一個雲端計算平台200而操作,但目錄服務220可存在於一特定雲端的範疇的外部(即,目錄服務220可代表共享於公共及私人雲端上的一雲端服務)。與各種雲端一起操作的能力允許目錄服務啟用橫跨多重雲端的網路。
應瞭解且體會第2圖中所顯示的雲端計算平台200僅為一個合適的計算系統環境的一範例,且並非意圖對本發明的實施例的使用或功能的範疇建議任何限制。舉例而言,雲端計算平台200可為一公共雲端、一私人雲端、或一專用雲端。雲端計算平台200之任一者不應詮釋為關於此處所圖示的元件的任何單一元件或結合而具有任何依賴或要求。再者,儘管為了清楚起見以線條顯示第2圖的各種方塊,實際上,各種元件的界線並非如此清楚,且比喻來說,線條應更明確地為灰色及模糊的。此外,可利用任何數量的實體機器、虛擬機器、資料中心、端點、或以上之結合,以達成在本發明的實施例的範疇之中的所欲功能。
雲端計算平台200可包括一或更多資料中心(例如,資料中心225),該資料中心包含節點(例如,節點211及212)用於裝載服務應用程式及其他軟體。對於本發明的每一個實施例,節點211及/或212可代表包含任何形式的計算設備的實體機器,舉例而言,一個人電腦、一桌上型電腦、一膝上型電腦、一行動設備、一消費電子設備、伺服器、第1圖的計算設備100、及諸如此類者。在另一實施例中,節點211及/或212可代表虛擬機器或可對虛擬機器的操作提供基礎的支援,例如虛擬機器270及275。在操作中,虛擬機器270及275支援資料中心225的住戶的操作。如此處所使用,「住戶」一詞一般代表由雲端計算平台200的一客戶所擁有的服務應用程式的元件程式(例如,各種角色的實例)。
一般而言,虛擬機器270及275基於置於服務應用程式上的要求(例如,處理負載的量)而分配至服務應用程式的端點201及202。如此處所使用,「虛擬機器」一詞並非意味著限制,且可代表任何軟體、應用程式、操作系統、或由一處理單元執行的程式,以構成端點201及202的基礎。在另一實施例中,虛擬機器代表由一節點劃分出,用於支援資料中心225的住戶的處理能力及記憶資源。以此方式,節點211裝載且支援虛擬機器270及275的操作,同時裝載劃分出而用於支援資料中心225的其他住戶的其他虛擬機器,其中住戶包括由不同客戶所擁有的其他服務應用程式的端點。因此,虛擬機器270及275可包括處理能力、儲存位置、及在資料中心225之中的其他資產,適以支援節點201及202。
在操作中,虛擬機器270及275在資料中心225的資源(例如,節點211)之中動態地被分配,且端點(例如,端點201及202)動態地被放置於經分配的虛擬機器270及275上,以滿足當前處理負載。在一個實例中,一結構控制器(fabric controller)232係負責自動地分配虛擬機器270及275,且用於放置端點201及202於資料中心225之中。藉由範例的方式,結構控制器232可依賴一服務模式(例如,由擁有服務應用程式的一客戶指派),以提供如何且何時分配虛擬機器270及275及如何且何時放置端點201及202在虛擬機器上的方針。
在一個實例中,節點211及212裝載支援端點201、202、及230的操作。「端點」一詞並非意味著限制,但可涵蓋一服務應用程式的一程式元件(例如,資料中心225的住戶),或運行於一節點、實體機器、或VM上的網路轉接器。在一個態樣中,端點201、202及230在雲端計算平台200的情境之中操作,且因此,透過在端點之間作成的動態連接而內部地通訊。在另一態樣中,端點201、202、及230透過一實體網路拓撲而外部地通訊至一遠端網路的資源(例如,第3圖的企業私人網路325的資源375)。外部連接可進一步牽涉透過一網路(未顯示)而互相連接至分散於資料中心225的實體資源上的端點。在一個實施例中,如端點230所圖示,網路直接互相連接此等資源,使得一起源端點(用於產生資料封包)可認知一接收者端點的一位置(用於遞送資料封包至一標靶端點)或標靶端點的一位置(用於消耗資料封包),以便於此等端點之間建立一通訊。在另一實施例中,網路間接地互相連接資源,使得定址至端點201或202(此等端點係分別裝載於虛擬機器270及275上)的資料的一封包,可在邏輯上分散至駐居於相同節點上的一適當端點之前,透過網路路由且傳遞至VM開關222。此外,網路可在通道上(例如,安全通道)建立一通訊,藉此實施一額外的保護層,或利用標準的保衛量測以連接於服務應用程式的端點之間。藉由範例的方式,通道可包括但非限於一或更多區域網路(LANs)及/或廣域網路(WANs)。此等網路化環境係通常可見於辦公室、企業範圍的電腦網路、企業內部網路、及網際網路。因此,此處不進一步說明網路。
雲端計算平台200包括資料中心225,配置成裝載且支援端點201、202、及230的操作,該等端點分配至一特定的服務應用程式。此處所使用的「服務應用程式」一詞廣泛地代表任何軟體或部分的軟體,該軟體運行於資料中心225的頂端或存取資料中心225之中的儲存位置、在雲端計算平台200之中的另一資料中心、位於一客戶的前提之下而在一企業私人網路中的資源(例如,第3圖的企業私人網路325的資源375)、及/或在一第三方網路中的資源(例如,第3圖的第三方網路335的資源325)。如上所討論,端點201、202、及230可代表部分的軟體、元件程式、或參與服務應用程式之中的角色的實例。在另一實施例中,端點201、202、及230可代表可存取至服務應用程式的經儲存的資料。應瞭解且體會第2圖中所顯示的端點201、202、及230僅為支援服務應用程式的合適部分的一範例,且並非意圖對本發明的實施例的使用或功能的範疇建議任何限制。
儘管說明一個服務應用程式在一單一資料中心225中分散於兩個節點211及212上,但應瞭解且體會在各種資料中心之中或其他合適的設備而駐居於任何數量的節點的任何數量的服務應用程式可被使用,且本發明的實施例並非限於此處所述的此等節點、服務應用程式、及資料中心。再者,任何數量的端點可舉例於節點之中及/或分配至服務應用程式,且圖示於第2圖及第3圖中的端點係僅為了說明的目的而顯示。
在一個實例中,資料中心225的構造允許一管理系統(例如,結構控制器232)或雲端計算平台200的管理員舉例新的端點或重新分配現有的端點,以支援一服務應用程式。結構控制器232亦可建立且記下網路途徑及通道,以連接端點201、202、及230。再者,結構控制器232可週期性地對資料中心225的一拓樸進行快照。此等快照可透過資料中心網路及端點的位址,而記錄目前所建立的網路途徑及通道。此等快照可接替至目錄服務220而儲存於目錄服務220之中。在實施例中,目錄服務220可配置成根據一實體網路的位置相依位址而儲存虛擬IP位址。再者,目錄服務220可配置成儲存轉換動作,該等轉換動作與資料中心網路的分別的網路途徑及通道相關聯。以此方式,服務應用程式的服務模式的保衛策略係藉由在資料封包上的目錄服務220而強制實施,其中資料封包在服務應用程式的住戶之間傳送。
如上所討論,當前發明的實施例介紹一架構,該架構藉由利用實體層(實線)之中的網路途徑及通道,允許一虛擬層(虛線)上端點之間的通訊。在實體層之中,端點可透過鏈結的一網路而達到。一般而言,較佳地為基於互動端點的一位置而明智地選擇網路的適當鏈結,以便避免將所有通訊通過一中央路由機制,因此而避免網路壅塞。為了達成實體層鏈結的明智地選擇以及資料封包橫越所選擇的鏈結的適當轉換,在實施例中,藉由兩個不同的技術支援架構,該等兩個技術協力操作:驅動程式223及233,及目錄服務220。
驅動程式223及233係與一或更多端點相關聯,且係安裝於資料中心225之中,作為驅動程式幫助的終點的一類型的一功能。若端點(例如,端點230)係裝載於一實體機器(例如,節點212)上,則驅動程式233係在主機開關(未顯示)之中實施,該主機開關直接放置資料封包至端點之間的流量。在此實施例中,當偵測到一或更多資料封包到達或離開端點230之後,驅動程式233可立即藉由發送一請求273至目錄服務220而徵詢路由資訊,該請求273攜帶併入資料封包的一標頭之中的來源IP位址及目標IP位址。在接收路由資訊的請求273之後,目錄服務220可以一回應274來回覆,該回應274攜帶用於資料封包的一遞送路徑及適合用於遞送路徑的一轉換動作。
若端點(例如,端點201及202)係裝載於一虛擬機器上(例如,虛擬機器270及275),則驅動程式(例如,驅動程式223)係實施於網路堆疊之中、隱藏所有存在的轉接器、且呈現網路的一單一虛擬式的介面。在此實施例中,驅動程式223可代表一獨立VM開關,或可併入一存在的VM開關(例如,VM開關222)之中。在實施例中,提供VM開關以在資料中心225的內部及外部的端點之間給予隔離的連接,如下參照第3圖更完整地討論。如此處所使用,「虛擬機器開關」或「VM開關」一詞並非意味著限制,但可涵蓋駐居於一資料中心、企業私人網路、第三方網路等等之中任何基於軟體的元件,且負責安全地路由資料封包橫跨一服務應用程式的端點之間的網路。藉由範例的方式,VM開關可為任何網路週邊設備(例如,機架頂端開關、在節點中的實體網路介面、在VMs中的虛擬介面卡、或在非虛擬式主機中的一網路堆疊),該設備揭露用於網路管理的某些應用程式介面(API)。在其他範例中,藉由VM開關所執行的所有或部分的操作(例如,與目錄服務220通訊、封包的包覆、解除、修改、及其他動作)可藉由一路由模組而實行。如此,VM開關可安裝一或更多路由模組、網路週邊設備、實體開關、路由設備、及諸如此類者。
與驅動程式233類似,驅動程式223可在偵測到一或更多資料封包到達或離開端點201或202之任一者之後,驅動程式233可藉由發送一請求271至目錄服務220而徵詢路由資訊,該請求271攜帶在資料封包的一標頭之中的來源IP位址及目標IP位址。在接收到用於路由資訊的請求271之後,目錄服務220可立即以一回應272來回覆,該回應272攜帶用於資料封包的一遞送路徑及適合用於遞送路徑的一轉換動作。
現參照第2圖及第3圖,現在將討論介於驅動程式223及233,及目錄服務220之間的額外的互動。如上所討論,驅動程式可分散於資料中心225的多重節點上,且在資料中心225外部的資源上。驅動程式223及233可以一或更多因素的一函數,而動態地被舉例於資料中心225之中的一節點上或從資料中心225之中的一節點撤除,該一或更多因素例如IP流量的一比率、由資料中心225的住路消耗的一計算負載、及一節點是否被連上線或離線。在一個實施例中,結構控制器232係負責舉例或撤除VM開關。
在操作中,驅動程式223及233代表對分別節點的一虛擬網路轉接器,且供以對一服務應用程式或子網路之中的一特定端點作為一閘道。在此實施例中,提供一拓撲,其中當傳送資料封包時閘道以關於何處、如何、及何者實體層鏈結應於使用而作成路由決策。藉由分散驅動程式橫跨內部及外部節點,此閘道功能如今被虛擬化且散佈於網路上。
在一範例實施例中,路由決策幫助決定一遞送路徑,該遞送路徑無須總是要求透過中央伺服器發送資料封包。再者,路由決策可專門為對每一連接/每一機器的基礎。在一個實例中,一路由決策可決定將一高度保護的轉換動作應用至利用安全通道鏈結端點橫跨遠端資料中心的資料封包。在另一實例中,一路由決策可決定利用更輕量的轉換動作,例如當端點同時存在於一通用安全網路上時,包覆或重新寫入資料封包的標頭。在此實例中,端點可駐居於相同的子網路之中,且可透過介於一資料中心網路的伺服器之間的一直接路徑而彼此可見。因此,路由決策可權衡相同子網路之中的端點的能力,以使用路由在不具有共同壅塞點的實體層鏈結上,以便最佳化端點的互相連接。此等及其他路由決策參照第4圖而更完整地說明。
在實施例中,路由/重新寫入元件(RCs)224及234係分別提供於驅動器223及233之中。在操作中,RCs 224及234能夠接受起源自一節點或端點的一操作系統的各個資料封包,或接受透過一安全通道或網路途徑所傳送的各個資料封包,且基於資料封包(例如,攜帶於標頭之中的資訊)而決定任何的修正遞送路徑及轉換動作。在一個實例中,RCs 224及234檢驗所接受的各個資料封包的來源IP位址及/或目標IP位址,且查詢路由資訊的目錄服務220(例如,透過請求271及273)。目錄服務220可分別以回應272及274回答請求271及273,該等回應包括各種類型的路由資訊。因此,RCs 224及234供應管理多重通道/重新寫入協定的能力,該能力回應路由資訊且對資料封包支援不同的遞送處理。
一般而言,目錄服務220保留網路315的知識以及網路315之中的網路途徑及安全通道350。藉由範例的方式,此知識包括關於端點的資訊、端點駐居於何者網路之中、在此等網路之中建立何者網路途徑、何者轉換動作係適於橫跨網路途徑的特定遞送路徑、及如何實行轉換動作。在操作中,RCs 224及234的事件徵詢路由資訊,目錄服務220可應用此網路知識以通知一第一端點如何搜尋在網路315之中的一第二端點。說明至此,目錄服務220在虛擬IP位址及位置相依位址之間維持一映射310。在一範例實施例中,映射在互相連接的端點之間維持一或更多邏輯關聯,且強制與端點相關聯的存取控制,以便達成網路可達性。在一個實例中,邏輯關聯屬於介於一子網路的成員的端點之間的一關聯。
目錄服務220亦可維持一表320,該表320認知一適當的轉換動作。在一個實例中,表320係經設計以強制一通訊策略,該通訊策略典型地藉由一客戶透過一服務等級協議(SLA)而設定在適當位置。在另一實例中,通訊策略特定地經設計用於一服務應用程式及/或子網路,且可包括准許的一清單,該清單確保何者系統處理係被同意存取子網路的成員端點,及端點是否可直接被連接而無須牽涉一中央路由設備。仍在另一實例中,通訊策略可表達應對特定端點確保何者保衛等級。在另一實例中,通訊策略供以作為保衛模式,該保衛模式在從驅動程式接收請求之後,立即對可應用的入口掃描映射310,且決定起源資料傳送是否基於可應用入口之中的資訊而被授權。仍在另一實例中,通訊策略可代表應用至一埠號或一網路轉接器的規則,該等規則可從資料中心225的一節點取得,以便確認埠號或網路轉接器是否被准許實行某些操作。
在目錄服務220從一驅動器接收請求之後,目錄服務220可立即實行以下查詢程序:以來源IP位址及目標IP位址檢閱映射310,以識別相對應的位置相依位址,該位置相依位址透過一實體網路380構成資料封包的一遞送路徑;或以遞送路徑檢閱表320,以識別一相對應的轉換動作。換句話說,目錄服務接收一資料組(來源IP位址、目標IP位址),且透過針對映射310及表320的轉譯,而返回資料組(遞送路徑、轉換動作)。返回的資料組在請求驅動程式之中支援路由決策作成處理。
如以下更完整地討論,轉換動作可牽涉但非限於以下一或更多者:重新寫入資料封包的包頭,以包括位置相依位址;在分別的外部資料封包之中包覆資料封包作為內部資料封包,其中各個外部資料封包包括一標頭,該標頭攜帶位置相依位址;或以一通道協定配置資料封包。最終,目錄服務220可返回一回應,該回應傳達至經識別的遞送路徑及經識別的轉換動作的請求驅動程式(虛擬網路閘道)指標。
儘管第2圖及第3圖中描繪為一單一中央伺服器,該伺服器推送資訊至一請求驅動程式,但目錄服務220的功能可透過連結且存檔至一組機器的本端檔案而實施。或者,目錄服務220的功能可於請求驅動程式之前的一段時間先行快取,若此舉先前被推送出,則刪除發送一外部請求的步驟。
現參照第3圖,根據本發明的一實施例,顯示一分散式計算環境300的一範例架構的一概要圖,該分散式計算環境300將虛擬網路位址解析為實體網路途徑及轉換動作。初始,分散式計算環境300包括一實體網路380,如參考第2圖所討論,該實體網路包括一企業私人網路325、一第三方網路335、及一雲端計算平台200。如此處所使用,「實體網路」一詞並非意味著限制,但可涵蓋有形的機制及裝備(例如,光纖線、電路箱、開關、天線、IP路由器、及諸如此類者),以及無形的通訊及成載波,該等通訊及成載波於地理上遠端的位置促進端點之間的通訊。藉由範例的方式,實體網路380可包括在網際網路之中所利用的任何有線或無線技術,或可取得用於提昇不同網路之間的通訊的技術。
一般而言,企業私人網路325包括資源,例如由雲端計算平台200的一客戶所管理的資源375。通常,此等資源裝載且支援由客戶所擁有的服務應用程式的元件的操作。端點B 385代表服務應用程式的一或更多元件。在實施例中,諸如第2圖的虛擬機器270的資源被分配於第2圖的資料中心225之中,以裝載且支援服務應用程式的遠端地分散的元件的操作。端點A 211及C 212代表服務應用程式的兩個此等遠端地分散的元件。在操作中,端點A 211、B 385、及C 212彼此協力工作,以確保服務應用程式適當地運行。在一個實例中,協力工作牽涉在端點A 211、B 385、及C 212之間通過實體網路380的網路315傳送資料封包316。
亦提供第三方網路335在實體網路380之中。在實施例中,第三方網路335可代表並非第3圖的企業私人網路325或雲端計算平台200的任何其他網路。藉由範例的方式,第三方網路335可包括持有由服務應用程式所使用的資訊的一資料儲存,或提供軟體以支援服務應用程式的一或更多操作的一供應商。在實施例中,第三方網路335代表資源的一網路,包括具有一端點D 345安裝於其上的資源355,該資源355可取得第6圖的雲端計算平台200。
典型地,資源355及375,及資料中心225包括或鏈結至一計算單元的某些形式(例如,中央處理單元、微處理器等等),以支援運行於計算單元之上的端點及/或元件的操作。如此處所使用,「計算單元」一詞一般代表具有處理能力及儲存記憶體的一專門計算設備,該專門計算設備支援一或更多操作系統或其他下方的軟體。在一個實例中,計算單元以有形的硬體元件或機器配置,該等硬體元件或機器係為整體的或可操作地耦接至資源355及375,以及資料中心225,以使得各個設備能夠實行各種處理及操作。在另一實例中,計算單元可涵蓋耦接至電腦可讀取媒體的一處理器(未顯示),該電腦可讀取媒體由各個資源355及375以及資料中心225所容納。一般而言,電腦可讀取媒體至少暫時地儲存複數個電腦軟體組件(例如,端點A 211、B 385、C 212、及D 345),該等電腦軟體組件可由處理器執行。如此處所使用,「處理器」一詞並非意味著限制且可涵蓋計算單元的任何元件,該等元件以一計算能力作用。在此能力中,處理器可配置為處理指令的一有形物件。在一範例實施例中,處理可牽涉擷取、解碼/詮釋、執行、及回寫指令。
虛擬網路覆蓋330(「覆蓋330」)係典型地被建立用於一單一服務應用程式,例如包括端點A 211、B 385、C 212、及D 345的服務應用程式,以便提昇且保衛服務應用程式的端點之間的通訊。一般而言,覆蓋330代表一層虛擬IP位址,而非實體IP位址,其中虛擬IP位址虛擬地代表服務應用程式的端點且連接虛擬表徵。在其他實施例中,覆蓋330係建立於實體網路380的頂部上的一虛擬網路,該實體網路380包括分配至控制服務應用程式的客戶的資源。在操作中,覆蓋330維持互相連接的端點A 211、B 385、C 212、及D 345的一或更多邏輯性相關聯,且可強制與端點A 211、B 385、C 212、及D 345相關聯的存取控制/安全,以便達成實體網路的可達性(例如,使用一實體運輸)。
現參照第3圖及第4圖,將說明各種可能的路由決策。具體而言,第4圖顯示一範例決策樹400的一概要圖,根據本發明的一實施例,用於將從目錄服務220分散的路由資訊應用至一路由決策。如上所述,一驅動程式可部分基於鏈結至驅動程式的一對象端點是否代表資料封包的一起源端點、作用以遞送資料封包至一標靶端點上的一接收者端點、或標靶端點,而實行一路由決策。在一第一實例中,當對象端點代表起源端點(例如,端點C212)時,與起源端點相關聯的驅動程式可偵測起源端點,如方塊401所描繪,嘗試傳送從起源端點產生的一或更多資料封包。如方塊402所描繪,驅動程式可接著徵詢目錄服務220以藉由發送一請求實行一查找程序,該請求包含指向對象端點的一來源IP位址及一目標IP位址的指標。
如方塊403所描繪,路由決策係部分基於從目錄服務220傳送至驅動程式的路由資訊而執行。路由決策可導致但非限於以下一或更多轉換動作:重新寫入資料封包的標頭,以包括位置相依位址(見方塊404);以一通道協定配置資料封包且透過一安全通道重新導向資料封包(見方塊405);或在分別的外部資料封包之中包覆資料封包作為內部資料封包(見方塊406),其中外部資料封包之各者包括攜帶位置相依位址的一標頭。
在一範例實施例中,當驅動程式決定起源端點及標靶端點兩者均駐居於一通用資料中心或子網路之中之後,路由可導致轉換動作,該轉換動作針對分別的位置相依位址而重新寫入來源IP位址及目標IP位址。然而,當驅動程式決定若來源IP位址及目標IP位址被移除(removed)(例如,接收者/標靶端點係在不同於起源端點所駐居的資料中心或子網路中的一資料中心或子網路之中)則接收者端點或標靶端點無法轉譯資料封包的標頭時,路由決策可導致在分別的外部資料封包之中包覆資料封包作為內部資料封包,以便保留來源及目標IP位址在資料封包的一酬載之中。在以上即刻所述的此實施例中,驅動程式亦可認知介於端點之間的一網路途徑係實質上足夠地被保護以滿足一確保服務模式的安全策略。反之,當驅動程式認知到連接一或更多端點的網路途徑缺乏由確保服務模式所支配的保護或保衛連接的一級別時,路由決策可導致轉換動作,該轉換動作轉換資料封包以包括安全通道協定,藉此嘗試避免被惡意動作攔截資料封包。
如方塊407所描繪,在執行路由決策的之後,起源端點可立即著手傳送經處理的資料封包至一接收者端點(例如,端點A 211或D 345)或一標靶端點(例如,端點B 385)。儘管此處所述的接收者端點係為一單一網路躍點,但應體會且瞭解網路中可存在不只一個的中間躍點,該等躍點允許接收者端點能夠遞送至另外的一或更多接收者端點。在一第二實例中,當對象端點代表接收者端點時,如方塊408所描繪,與接收者端點相關聯的驅動程式可偵測經處理的資料封包到達此端點。如方塊409所描繪,驅動程式可接著徵詢目錄服務220,以藉由發送包含來源IP位址及目標IP位址的指標的一請求,來實行一查詢程序。
如方塊410所描繪,路由決策係部分基於從目錄服務220傳遞至驅動程式的路由資訊而執行。路由決策可導致以下一或更多轉換動作:重新導向經包覆的資料封包或具有重新寫入的標頭的資料封包通過一通道550(見方塊411)(例如,見端點D 345);從資料封包移除通道協定(見方塊412);或遞送經包覆的資料封包或具有重新寫入的標頭的資料封包通過另一網路途徑(見方塊413)(例如,見端點A 211)。再一次地,是否引發遞送資料封包通過一網路途徑的轉換動作,或引發重新導向資料封包通過一通道的轉換動作的路由決策,係牽涉到識別端點係分別地鏈結在安全連接上或鏈結在橫跨未保護的網路(例如,網際網路)的連接上。
在執行路由決策之後,如方塊414所描繪,接收者端點可立即著手傳送經處理的資料封包至標靶端點(例如,端點B 385)。在一第三實例中,當對象端點代表標靶端點時,如方塊415所描繪,與標靶端點相關聯的驅動程式可偵測到經處理的資料封包的到達。如方塊416所描繪,驅動程式可接著徵詢目錄服務220以藉由發送一請求而實行一查詢程序,該請求包含來源IP位址及指向標靶端點的目標IP位址的指標。
如方塊417所描繪,路由決策係部分基於路由資訊而執行,該路由資訊係從目錄服務220傳遞至驅動程式。當對象端點代表標靶端點時,路由決策可導致一或更多以下的轉換動作:重新儲存已重新寫入的資料封包的標頭(見方塊418);從資料封包移除(removing)通道協定以準備用於消耗(consumption)(見方塊419);或解開經包覆的資料封包(見方塊420)。
現在轉向第5圖,圖示一流程圖,根據本發明的一實施例,顯示一方法500用於回應於來自驅動程式的一請求,而識別適當的實體網路途徑及轉換動作。如可從以上的討論所搜集到,方法500的步驟係撰寫自第2圖及第3圖的目錄服務220的觀點。初始,如方塊510所描繪,方法500牽涉提供目錄服務,該目錄服務維持虛擬IP位址及位置相依位址之間的一映射。目錄服務亦可維持一表,該表認知一適當的轉換動作。在一個實例中,表係根據通訊策略而設計,該等通訊策略確保在一網路之中連接端點的途徑上的資料封包流量。在另一實例中,表係基於一服務模式(例如,服務等級協議(SLA)),該服務模式被建立用於一資料中心的一客戶,該資料中心裝載客戶的服務應用程式。
如方塊520所描繪,方法500可進一步牽涉從一虛擬網路閘道或驅動程式接收一請求的步驟,該虛擬網路閘道或驅動程式係與一對象端點相關聯,或被建立用於與一對相端點本端通訊。典型地,請求包括一來源IP位址及一目標IP位址的指標,該來源IP位址及該目標IP位址藉由接收者端點所接受的一或更多資料封包的一標頭攜帶。在接收請求之後,目錄服務可立即實行以下的查詢程序(見方塊530):以來源IP位址及目標IP位址檢閱映射,以識別相對應的位置相依位址,該位置相依位址透過一實體網路以資料封包的一遞送路徑構成(見方塊540);及/或以遞送路徑檢閱表,以識別一相對應的轉換動作(見方塊550)。轉換動作可牽涉但非限於以下一或多者:重新寫入資料封包的標頭以包括位置相依位址;重新儲存此重新寫入;在分別的外部資料封包之中包覆資料封包作為內部資料封包,該等外部封包之各者包括一標頭,該標頭攜帶位置相依位址;解開所包覆的資料封包;以一通道協定配置資料封包;或移除通道協定。如於方塊560所描繪,目錄服務可返回一回應,該回應對虛擬網路閘道傳達經識別的遞送路徑及經識別的轉換動作的指標。
已說明關於特定實施例的本發明的實施例,該等特定實施例意圖以所有的態樣圖示而非限制。替代實施例將對技藝人士而言成為顯而易見的,其中替代實施例附屬於本發明的實施例而不悖離本發明的實施例的範疇。
從以上所述,將可見本發明係良好適以達成以上所述的所有終端及態樣的一者,並與系統及方法的顯見及隱含的其他優點一起。應瞭解可利用某些特徵及子結合,且無須參考其他特徵及子結合而可被利用。此發明被考慮且在申請專利範圍的範疇之中。
100...計算設備
110...匯流排
112...記憶體
114...處理器
116...展示元件
118...I/O埠
120...I/O元件
122...電源供應器
200...範例雲端計算平台
201...端點
202...端點
211...節點
212...節點
220...目錄服務
222...VM開關
223...驅動程式
224...RC
225...資料中心
230...端點
232...結構控制器
233...驅動程式
234...RC
270...虛擬式機器
271...請求
272...回應
273...請求
274...回應
275...虛擬式機器
300...分散式計算環境
310...映射
315...網路
316...資料封包
320...表
325...企業私人網路
330...虛擬網路覆蓋
335...第三方網路
345...端點
350...安全通道
355...資源
375...資源
380...實體網路
385...端點
以下參考隨附的圖式說明本發明的實施例,其中:
第1圖係一範例計算環境的一方塊圖,適以用於實施本發明的實施例;
第2圖係一方塊圖,圖式一範例雲端計算平台,適以用於實施本發明的實施例,該等實施例配置成在一資料中心之中供應且促進驅動程式的操作;
第3圖係一範例架構的一概要圖,該範例架構根據本發明的一實施例,將虛擬網路位址解析為實體網路途徑及轉換動作;
第4圖係一範例決策樹的一概要圖,該範例決策樹根據本發明的一實施例,用於將從一目錄服務分散的路由資訊應用至一路由決策;及
第5圖係一流程圖,根據本發明的一實施例,顯示一種回應於來自驅動程式的一請求而用於識別適當的實體網路途徑及轉換動作的方法。
201...端點
211...節點
212...節點
220...目錄服務
225...資料中心
230...端點
300...分散式計算環境
310...映射
315...網路
316...資料封包
320...表
325...企業私人網路
330...虛擬網路覆蓋
335...第三方網路
345...端點
350...安全通道
355...資源
375...資源
380...實體網路
385...端點
Claims (19)
- 一種電腦可讀取儲存媒體,該電腦可讀取儲存媒體排除信號本身而具有電腦可執行指令安裝於該電腦可讀取儲存媒體上,當執行該等指令時,實行用於管理端點之間的資料封包的分散的一方法,該方法包含以下步驟:於一第一端點處偵測一個或更多個資料封包,其中該一個或更多個資料封包之各者包括一標頭,該標頭包含一來源位址及一目標位址;發送一請求至一目錄服務,該請求攜帶該來源位址及該目標位址;從該目錄服務接收一回應,該回應攜帶一遞送路徑;實行一路由決策,該決策包含基於該所接收的遞送路徑而重新定址該一個或更多個資料封包,其中部分基於該遞送路徑而重新定址該一個或更多個資料封包之步驟包含以下步驟:於分別的外部資料封包之中包覆該一個或更多個資料封包作為內部資料封包,其中該等外部封包之各者包括一標頭,該標頭揭露一實體網路的位置相依位址;及部分基於該位置相依位址而傳送該一個或更多個重新定址的資料封包至一第二端點。
- 如申請專利範圍第1項之電腦可讀取儲存媒體,其中該方法進一步包含以下步驟:從該目錄服務接收攜帶一 轉換動作的該回應。
- 如申請專利範圍第2項之電腦可讀取儲存媒體,其中實行一路由決策的步驟進一步包含以下步驟:基於該所接收的轉換動作轉換該一個或更多個資料封包。
- 如申請專利範圍第3項之電腦可讀取儲存媒體,其中轉換該一個或更多個資料封包之步驟係在以下情況之後立即發生:存取一服務模式,且決定該服務模式指示提供一層保護,以保衛該第一端點及該第二端點之間的連接。
- 如申請專利範圍第1項之電腦可讀取儲存媒體,其中該第一端點代表產生該一個或更多個資料封包的一端點,且其中該第二端點代表由該一個或更多個重新定址的資料封包的一標頭所標定的一端點。
- 如申請專利範圍第1項之電腦可讀取儲存媒體,其中該第一端點代表運行於一實體機器上或一虛擬機器(VM)上,產生該一個或更多個資料封包的一網路轉接器。
- 如申請專利範圍第6項之電腦可讀取儲存媒體,其中該第二端點代表運行於一實體機器上或一VM上,由該 一個或更多個重新定址的資料封包的一標頭所標定的一網路轉接器。
- 如申請專利範圍第1項之電腦可讀取儲存媒體,其中該來源位址及該目標位址分別代表一虛擬空間的網路指派位址、虛擬網際網路協定(IP)位址。
- 如申請專利範圍第1項之電腦可讀取儲存媒體,其中基於該遞送路徑而重新定址該一個或更多個資料封包的步驟包含以下步驟:將在該一個或更多個資料封包的該標頭之中的該來源位址及該目標位址移除(removing);及分別以一實體網路的位置相依位址取代該來源位址及該目標位址。
- 如申請專利範圍第9項之電腦可讀取儲存媒體,其中取代該來源位址及該目標位址之步驟係在以下情況之後立即發生:識別該第一端點及該第二端點係駐居於一通用資料中心之中,且識別該來源位址及該目標位址屬於一通用虛擬空間。
- 如申請專利範圍第1項之電腦可讀取儲存媒體,其中包覆該一個或更多個資料封包之步驟在以下情況之後立即發生:決定若該來源位址及該目標位址被移除 (removed),則該第二端點無法轉譯該一個或更多個資料封包的該等標頭。
- 如申請專利範圍第1項之電腦可讀取儲存媒體,其中安裝一驅動程式以實行該路由決策,且其中該驅動程式係安裝於一資料中心之中的一節點上,該節點裝載該第一端點。
- 如申請專利範圍第12項之電腦可讀取儲存媒體,其中該第一端點每一次對傳送資料封包建立一連接時,該驅動程式實行一路由決策。
- 如申請專利範圍第13項之電腦可讀取儲存媒體,其中該驅動程式包括一路由元件,該路由元件配置成接受該一個或更多個資料封包,且從該一個或更多個資料封包的該標頭讀取該來源位址及該目標位址。
- 如申請專利範圍第14項之電腦可讀取儲存媒體,其中該驅動程式配置成在該第一端點建立與該第二端點的一連接之後,立即將該來源位址及該網路位址與該目錄服務通訊。
- 一種用於在端點之間支援且隔離通訊的電腦系統,該電腦系統包含: 一目錄服務,該目錄服務在一實體網路的虛擬網際網路協定(IP)位址及位置相依位址之間維持一映射;一第一端點,該第一端點產生一個或更多個資料封包,該一個或更多個資料封包以包括一來源IP位址及一目標IP位址的標頭構成,其中該來源IP位址指向該第一端點,且其中該目標IP位址指向一第二端點;及一驅動程式,該驅動程式對每一個由該第一端點作成的連接實行一路由決策,其中實行該路由決策的步驟包含以下步驟:(a)與該目錄服務通訊,以該來源IP位址及該目標IP位址的一函數關係,來決定一遞送路徑及一轉換動作;(b)在決定該第一端點及該第二端點係駐居於一通用資料中心之中之後,立即以該遞送路徑的分別的位置相依位址,重新寫入該來源IP位址及該目標IP位址;(c)在決定若該來源IP位址及該目標IP位址被移除,則該第二端點無法轉譯該一個或更多個資料封包的該等標頭之後,立即在分別的外部資料封包之中包覆該一個或更多個資料封包作為內部資料封包,其中該等外部封包之各者包括一標頭,該標頭揭露該遞送路徑的位置相依位址;及(d)在決定該轉換動作支配一層保護以保衛提供於該第一端點及該第二端點之間的連接之後,立即基於該所接收的轉換動作轉換該一個或更多個資料封包。
- 如申請專利範圍第16項之電腦系統,其中該來源IP位址及該目標IP位址係分別根據該第一端點及該第二端點所揭露的功能性而指派,其中該位置相依位址係分別根據該實體網路之中的該第一端點及該第二端點的位置而指派。
- 如申請專利範圍第16項之電腦系統,其中該目錄服務維持一表,該表根據預先建立的通道或網路途徑的一記錄而給予該適當的轉換動作,該記錄與該第一端點及該第二端點鏈結。
- 一種回應於來自一分散式、虛擬網路閘道的一請求而用於識別一網路途徑及轉換動作的電腦化方法,該方法包含以下步驟:提供一目錄服務,該目錄服務在虛擬網際網路協定(IP)位址及位置相依位址之間維持一映射,且維持認知一適當的轉換動作的一表,其中該表係根據通訊策略而設計,該等通訊策略確保在一網路之中連接端點的途徑上的資料封包流量;從與一接收者終端通訊的一虛擬網路閘道接收一請求,其中該請求包括一來源IP位址及一目標IP位址的指標,該來源IP位址及該目標IP位址透過一個或更多個資料封包的一標頭攜帶,該標頭由該接收者終端接受; 以該來源IP位址及該目標IP位址檢閱該映射,以識別相對應的位置相依位址,該等位置相依位址透過一實體網路組成該一個或更多個資料封包的一遞送路徑;以該遞送路徑檢閱該表,以識別一相對應的轉換動作,其中該轉換動作包含以下至少一者:(a)重新寫入該一個或更多個資料封包的該標頭,以包括該位置相依位址;(b)在分別的外部資料封包之中包覆該一個或更多個資料封包作為內部資料封包,其中該等外部封包之各者包括攜帶該位置相依位址的一標頭;或(c)以一通道協定配置該一個或更多個資料封包;及返回一回應,該回應係傳遞至該經識別的遞送路徑及該經識別的轉換動作的該虛擬網路閘道指標,其中該虛擬網路閘道將該回應通訊至該接收者端點,且其中當從該虛擬網路閘道傳送該一個或更多個資料封包時,該接收者端點實施該經識別的遞送路徑及該經識別的轉換動作。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/820,896 US8374183B2 (en) | 2010-06-22 | 2010-06-22 | Distributed virtual network gateways |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201203956A TW201203956A (en) | 2012-01-16 |
TWI531185B true TWI531185B (zh) | 2016-04-21 |
Family
ID=45328629
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW100117829A TWI531185B (zh) | 2010-06-22 | 2011-05-20 | 分散式虛擬網路閘道 |
Country Status (6)
Country | Link |
---|---|
US (3) | US8374183B2 (zh) |
EP (1) | EP2586160B1 (zh) |
JP (1) | JP5809696B2 (zh) |
CN (1) | CN102948132B (zh) |
TW (1) | TWI531185B (zh) |
WO (1) | WO2011162942A2 (zh) |
Families Citing this family (137)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8924524B2 (en) | 2009-07-27 | 2014-12-30 | Vmware, Inc. | Automated network configuration of virtual machines in a virtual lab data environment |
US20100131284A1 (en) * | 2008-11-26 | 2010-05-27 | Michael Day Duffy | Methods and apparatus for analysis of healthcare markets |
US8743888B2 (en) | 2010-07-06 | 2014-06-03 | Nicira, Inc. | Network control apparatus and method |
US9680750B2 (en) | 2010-07-06 | 2017-06-13 | Nicira, Inc. | Use of tunnels to hide network addresses |
US8964528B2 (en) | 2010-07-06 | 2015-02-24 | Nicira, Inc. | Method and apparatus for robust packet distribution among hierarchical managed switching elements |
US9525647B2 (en) | 2010-07-06 | 2016-12-20 | Nicira, Inc. | Network control apparatus and method for creating and modifying logical switching elements |
US10103939B2 (en) | 2010-07-06 | 2018-10-16 | Nicira, Inc. | Network control apparatus and method for populating logical datapath sets |
US8694653B2 (en) * | 2010-12-10 | 2014-04-08 | Microsoft Corporation | Targeted data transfer between operational domains |
US10645006B2 (en) * | 2010-12-28 | 2020-05-05 | Nec Corporation | Information system, control apparatus, communication method, and program |
US10142218B2 (en) * | 2011-01-14 | 2018-11-27 | International Business Machines Corporation | Hypervisor routing between networks in a virtual networking environment |
US8825900B1 (en) | 2011-04-05 | 2014-09-02 | Nicira, Inc. | Method and apparatus for stateless transport layer tunneling |
US9043452B2 (en) | 2011-05-04 | 2015-05-26 | Nicira, Inc. | Network control apparatus and method for port isolation |
US9288081B2 (en) | 2011-08-17 | 2016-03-15 | Nicira, Inc. | Connecting unmanaged segmented networks by managing interconnection switching elements |
EP3462686B1 (en) | 2011-08-17 | 2019-10-16 | Nicira Inc. | Distributed logical l3 routing |
US8867403B2 (en) | 2011-08-18 | 2014-10-21 | International Business Machines Corporation | Virtual network overlays |
US9178833B2 (en) | 2011-10-25 | 2015-11-03 | Nicira, Inc. | Chassis controller |
US9203701B2 (en) | 2011-10-25 | 2015-12-01 | Nicira, Inc. | Network virtualization apparatus and method with scheduling capabilities |
US9288104B2 (en) | 2011-10-25 | 2016-03-15 | Nicira, Inc. | Chassis controllers for converting universal flows |
US9137107B2 (en) | 2011-10-25 | 2015-09-15 | Nicira, Inc. | Physical controllers for converting universal flows |
EP2777219B1 (en) * | 2011-11-09 | 2016-08-17 | Nec Corporation | Method and system for supporting transport of data packets in a network |
US9015823B2 (en) | 2011-11-15 | 2015-04-21 | Nicira, Inc. | Firewalls in logical networks |
CN103209084B (zh) * | 2012-01-13 | 2016-02-24 | 硕天科技股份有限公司 | 不间断电源及其控制电源分配单元的方法 |
TW201338326A (zh) * | 2012-03-13 | 2013-09-16 | Cyber Power Systems Inc | 電源分配單元及利用單一ip控制多數電源分配單元的方法 |
EP2832076B1 (en) * | 2012-03-30 | 2018-05-02 | Nokia Solutions and Networks Oy | Centralized ip address management for distributed gateways |
US9331937B2 (en) | 2012-04-18 | 2016-05-03 | Nicira, Inc. | Exchange of network state information between forwarding elements |
TWI482469B (zh) * | 2012-05-23 | 2015-04-21 | Gemtek Technology Co Ltd | 路由裝置 |
US8909780B1 (en) * | 2012-05-24 | 2014-12-09 | Amazon Technologies, Inc. | Connection following during network reconfiguration |
CN104350725B (zh) * | 2012-06-06 | 2019-01-11 | 华为技术有限公司 | 通过软件定义网络进行信息中心网络的无缝集成和独立演进方法 |
US9952909B2 (en) * | 2012-06-20 | 2018-04-24 | Paypal, Inc. | Multiple service classes in a shared cloud |
WO2014011163A1 (en) * | 2012-07-11 | 2014-01-16 | Empire Technology Development Llc | Network congestion reduction |
US9331940B2 (en) | 2012-08-28 | 2016-05-03 | Alcatel Lucent | System and method providing distributed virtual routing and switching (DVRS) |
US9007953B1 (en) * | 2012-12-28 | 2015-04-14 | Sprint Communications Company L.P. | Estimating average user throughput in a wireless network |
AU2014201359B2 (en) * | 2013-03-15 | 2017-08-31 | Verisign, Inc. | Method and system for intelligent many-to-many service routing over EPP |
US10389608B2 (en) | 2013-03-15 | 2019-08-20 | Amazon Technologies, Inc. | Network traffic mapping and performance analysis |
US9973375B2 (en) * | 2013-04-22 | 2018-05-15 | Cisco Technology, Inc. | App store portal providing point-and-click deployment of third-party virtualized network functions |
US9887960B2 (en) | 2013-08-14 | 2018-02-06 | Nicira, Inc. | Providing services for logical networks |
US9952885B2 (en) | 2013-08-14 | 2018-04-24 | Nicira, Inc. | Generation of configuration files for a DHCP module executing within a virtualized container |
US9503371B2 (en) | 2013-09-04 | 2016-11-22 | Nicira, Inc. | High availability L3 gateways for logical networks |
US9577845B2 (en) | 2013-09-04 | 2017-02-21 | Nicira, Inc. | Multiple active L3 gateways for logical networks |
US9405568B2 (en) | 2013-09-13 | 2016-08-02 | Microsoft Technology Licensing, Llc | Multi-tenant network stack |
EP3053379A4 (en) | 2013-09-30 | 2017-05-03 | Schneider Electric Industries SAS | Cloud-authenticated site resource management devices, apparatuses, methods and systems |
US10063458B2 (en) | 2013-10-13 | 2018-08-28 | Nicira, Inc. | Asymmetric connection with external networks |
US9977685B2 (en) | 2013-10-13 | 2018-05-22 | Nicira, Inc. | Configuration of logical router |
US9300585B2 (en) * | 2013-11-15 | 2016-03-29 | Cisco Technology, Inc. | Shortening of service paths in service chains in a communications network |
US9864623B2 (en) | 2013-11-21 | 2018-01-09 | Centurylink Intellectual Property Llc | Physical to virtual network transport function abstraction |
US9438506B2 (en) * | 2013-12-11 | 2016-09-06 | Amazon Technologies, Inc. | Identity and access management-based access control in virtual networks |
US9712438B2 (en) * | 2014-01-08 | 2017-07-18 | Microsoft Technology Licensing, Llc | Routing messages between virtual networks |
US9917728B2 (en) | 2014-01-14 | 2018-03-13 | Nant Holdings Ip, Llc | Software-based fabric enablement |
US10212101B2 (en) | 2014-01-14 | 2019-02-19 | Nant Holdings Ip, Llc | Low level provisioning of network fabrics |
US9313129B2 (en) | 2014-03-14 | 2016-04-12 | Nicira, Inc. | Logical router processing by network controller |
US9225597B2 (en) | 2014-03-14 | 2015-12-29 | Nicira, Inc. | Managed gateways peering with external router to attract ingress packets |
US9419855B2 (en) | 2014-03-14 | 2016-08-16 | Nicira, Inc. | Static routes for logical routers |
US9590901B2 (en) | 2014-03-14 | 2017-03-07 | Nicira, Inc. | Route advertisement by managed gateways |
US9503321B2 (en) | 2014-03-21 | 2016-11-22 | Nicira, Inc. | Dynamic routing for logical routers |
US9647883B2 (en) | 2014-03-21 | 2017-05-09 | Nicria, Inc. | Multiple levels of logical routers |
US9413644B2 (en) | 2014-03-27 | 2016-08-09 | Nicira, Inc. | Ingress ECMP in virtual distributed routing environment |
US9893988B2 (en) | 2014-03-27 | 2018-02-13 | Nicira, Inc. | Address resolution using multiple designated instances of a logical router |
US9948493B2 (en) | 2014-04-03 | 2018-04-17 | Centurylink Intellectual Property Llc | Network functions virtualization interconnection gateway |
US9917851B2 (en) | 2014-04-28 | 2018-03-13 | Sophos Limited | Intrusion detection using a heartbeat |
US10122753B2 (en) | 2014-04-28 | 2018-11-06 | Sophos Limited | Using reputation to avoid false malware detections |
US9392015B2 (en) * | 2014-04-28 | 2016-07-12 | Sophos Limited | Advanced persistent threat detection |
US10375024B2 (en) * | 2014-06-20 | 2019-08-06 | Zscaler, Inc. | Cloud-based virtual private access systems and methods |
US10616180B2 (en) | 2014-06-20 | 2020-04-07 | Zscaler, Inc. | Clientless connection setup for cloud-based virtual private access systems and methods |
US10225327B2 (en) | 2014-08-13 | 2019-03-05 | Centurylink Intellectual Property Llc | Remoting application servers |
US9898318B2 (en) | 2014-08-15 | 2018-02-20 | Centurylink Intellectual Property Llc | Multi-line/multi-state virtualized OAM transponder |
WO2016032467A1 (en) * | 2014-08-27 | 2016-03-03 | Adaptive Spectrum And Signal Alignment, Inc. | Systems, methods, and apparatuses for implementing the virtualization of access node functions |
US9768980B2 (en) | 2014-09-30 | 2017-09-19 | Nicira, Inc. | Virtual distributed bridging |
US10020960B2 (en) | 2014-09-30 | 2018-07-10 | Nicira, Inc. | Virtual distributed bridging |
US10250443B2 (en) | 2014-09-30 | 2019-04-02 | Nicira, Inc. | Using physical location to modify behavior of a distributed virtual network element |
US10511458B2 (en) | 2014-09-30 | 2019-12-17 | Nicira, Inc. | Virtual distributed bridging |
US9410712B2 (en) | 2014-10-08 | 2016-08-09 | Google Inc. | Data management profile for a fabric network |
FR3028124A1 (fr) * | 2014-11-05 | 2016-05-06 | Orange | Procede de controle des politiques de trafic depuis un module de securite dans un terminal mobile |
GB201915196D0 (en) | 2014-12-18 | 2019-12-04 | Sophos Ltd | A method and system for network access control based on traffic monitoring and vulnerability detection using process related information |
US9787605B2 (en) | 2015-01-30 | 2017-10-10 | Nicira, Inc. | Logical router with multiple routing components |
US10038628B2 (en) | 2015-04-04 | 2018-07-31 | Nicira, Inc. | Route server mode for dynamic routing between logical and physical networks |
US9967134B2 (en) | 2015-04-06 | 2018-05-08 | Nicira, Inc. | Reduction of network churn based on differences in input state |
US20160352577A1 (en) * | 2015-05-27 | 2016-12-01 | Nimbus 9, Inc. | Multiple gateway virtualization |
US20160373405A1 (en) * | 2015-06-16 | 2016-12-22 | Amazon Technologies, Inc. | Managing dynamic ip address assignments |
US10225184B2 (en) | 2015-06-30 | 2019-03-05 | Nicira, Inc. | Redirecting traffic in a virtual distributed router environment |
CN105138920A (zh) * | 2015-07-30 | 2015-12-09 | 浪潮电子信息产业股份有限公司 | 一种内网终端安全管理的实现方法 |
US10230629B2 (en) | 2015-08-11 | 2019-03-12 | Nicira, Inc. | Static route configuration for logical router |
US10057157B2 (en) | 2015-08-31 | 2018-08-21 | Nicira, Inc. | Automatically advertising NAT routes between logical routers |
US9860214B2 (en) * | 2015-09-10 | 2018-01-02 | International Business Machines Corporation | Interconnecting external networks with overlay networks in a shared computing environment |
US9930587B2 (en) * | 2015-09-18 | 2018-03-27 | Huawei Technologies Co., Ltd. | Distributed virtual gateways |
US10645528B2 (en) | 2015-09-18 | 2020-05-05 | Huawei Technologies Co., Ltd. | System and methods for reliable communication with mobility along a predictable route |
US9882833B2 (en) | 2015-09-28 | 2018-01-30 | Centurylink Intellectual Property Llc | Intent-based services orchestration |
US10204122B2 (en) | 2015-09-30 | 2019-02-12 | Nicira, Inc. | Implementing an interface between tuple and message-driven control entities |
US10447605B2 (en) * | 2015-10-27 | 2019-10-15 | Avago Technologies International Sales Pte. Limited | Flow-based host discovery in SDN networks |
US10965649B2 (en) * | 2015-10-30 | 2021-03-30 | Fatpipe, Inc. | Persistent data communication sessions across WAN |
US10095535B2 (en) | 2015-10-31 | 2018-10-09 | Nicira, Inc. | Static route types for logical routers |
US11200291B2 (en) | 2015-11-02 | 2021-12-14 | International Business Machines Corporation | Automated generation of web API descriptions from usage data |
US10333849B2 (en) | 2016-04-28 | 2019-06-25 | Nicira, Inc. | Automatic configuration of logical routers on edge nodes |
US11019167B2 (en) | 2016-04-29 | 2021-05-25 | Nicira, Inc. | Management of update queues for network controller |
US10484515B2 (en) | 2016-04-29 | 2019-11-19 | Nicira, Inc. | Implementing logical metadata proxy servers in logical networks |
US10841273B2 (en) | 2016-04-29 | 2020-11-17 | Nicira, Inc. | Implementing logical DHCP servers in logical networks |
US10091161B2 (en) | 2016-04-30 | 2018-10-02 | Nicira, Inc. | Assignment of router ID for logical routers |
CN107370715B (zh) * | 2016-05-12 | 2020-09-18 | 深信服科技股份有限公司 | 网络安全防护方法及装置 |
US11968179B2 (en) | 2016-05-18 | 2024-04-23 | Zscaler, Inc. | Private application access with browser isolation |
US11838271B2 (en) | 2016-05-18 | 2023-12-05 | Zscaler, Inc. | Providing users secure access to business-to-business (B2B) applications |
US11949661B2 (en) | 2016-05-18 | 2024-04-02 | Zscaler, Inc. | Systems and methods for selecting application connectors through a cloud-based system for private application access |
US11936623B2 (en) | 2016-05-18 | 2024-03-19 | Zscaler, Inc. | Systems and methods for utilizing sub-clouds in a cloud-based system for private application access |
US10153973B2 (en) | 2016-06-29 | 2018-12-11 | Nicira, Inc. | Installation of routing tables for logical router in route server mode |
US10560320B2 (en) | 2016-06-29 | 2020-02-11 | Nicira, Inc. | Ranking of gateways in cluster |
US10630576B2 (en) | 2016-08-05 | 2020-04-21 | Huawei Technologies Co., Ltd. | Virtual network routing to dynamic end point locations in support of service-based traffic forwarding |
US10454758B2 (en) | 2016-08-31 | 2019-10-22 | Nicira, Inc. | Edge node cluster network redundancy and fast convergence using an underlay anycast VTEP IP |
US10341236B2 (en) | 2016-09-30 | 2019-07-02 | Nicira, Inc. | Anycast edge service gateways |
US10608843B2 (en) * | 2016-10-14 | 2020-03-31 | Cisco Technology, Inc. | Isolation networks for computer devices |
CN108011801B (zh) * | 2016-11-01 | 2020-12-04 | 阿里巴巴集团控股有限公司 | 数据传输的方法、设备、装置及系统 |
US9906401B1 (en) | 2016-11-22 | 2018-02-27 | Gigamon Inc. | Network visibility appliances for cloud computing architectures |
CN107493313A (zh) * | 2016-12-19 | 2017-12-19 | 汪海军 | 云管理系统与方法 |
US10212071B2 (en) | 2016-12-21 | 2019-02-19 | Nicira, Inc. | Bypassing a load balancer in a return path of network traffic |
US10742746B2 (en) | 2016-12-21 | 2020-08-11 | Nicira, Inc. | Bypassing a load balancer in a return path of network traffic |
US10237123B2 (en) | 2016-12-21 | 2019-03-19 | Nicira, Inc. | Dynamic recovery from a split-brain failure in edge nodes |
US10616045B2 (en) | 2016-12-22 | 2020-04-07 | Nicira, Inc. | Migration of centralized routing components of logical router |
CN108881020B (zh) * | 2017-05-11 | 2020-11-06 | 中兴通讯股份有限公司 | 有源可信路由管理的方法、装置及其计算机设备 |
US10681000B2 (en) | 2017-06-30 | 2020-06-09 | Nicira, Inc. | Assignment of unique physical network addresses for logical network addresses |
US10637800B2 (en) | 2017-06-30 | 2020-04-28 | Nicira, Inc | Replacement of logical network addresses with physical network addresses |
MX2020004380A (es) * | 2017-10-25 | 2021-01-15 | Walmart Apollo Llc | Sistemas y métodos para enrutar datos en ambientes distribuidos. |
US10374827B2 (en) | 2017-11-14 | 2019-08-06 | Nicira, Inc. | Identifier that maps to different networks at different datacenters |
US10511459B2 (en) | 2017-11-14 | 2019-12-17 | Nicira, Inc. | Selection of managed forwarding element for bridge spanning multiple datacenters |
US10476841B2 (en) | 2018-03-23 | 2019-11-12 | Microsoft Technology Licensing, Llc | Stateless tunnels |
US10999244B2 (en) * | 2018-09-21 | 2021-05-04 | Microsoft Technology Licensing, Llc | Mapping a service into a virtual network using source network address translation |
US10931560B2 (en) | 2018-11-23 | 2021-02-23 | Vmware, Inc. | Using route type to determine routing protocol behavior |
US10797998B2 (en) | 2018-12-05 | 2020-10-06 | Vmware, Inc. | Route server for distributed routers using hierarchical routing protocol |
US10938788B2 (en) | 2018-12-12 | 2021-03-02 | Vmware, Inc. | Static routes for policy-based VPN |
US10880124B2 (en) | 2018-12-28 | 2020-12-29 | Alibaba Group Holding Limited | Offload controller control of programmable switch |
US11627080B2 (en) * | 2019-01-18 | 2023-04-11 | Vmware, Inc. | Service insertion in public cloud environments |
US11095480B2 (en) | 2019-08-30 | 2021-08-17 | Vmware, Inc. | Traffic optimization using distributed edge services |
CN112787902B (zh) * | 2019-11-08 | 2023-11-21 | 中兴通讯股份有限公司 | 报文封装方法及装置、报文解封装方法及装置 |
US11606294B2 (en) | 2020-07-16 | 2023-03-14 | Vmware, Inc. | Host computer configured to facilitate distributed SNAT service |
US11616755B2 (en) | 2020-07-16 | 2023-03-28 | Vmware, Inc. | Facilitating distributed SNAT service |
US11611613B2 (en) | 2020-07-24 | 2023-03-21 | Vmware, Inc. | Policy-based forwarding to a load balancer of a load balancing cluster |
US11902050B2 (en) | 2020-07-28 | 2024-02-13 | VMware LLC | Method for providing distributed gateway service at host computer |
US11451413B2 (en) | 2020-07-28 | 2022-09-20 | Vmware, Inc. | Method for advertising availability of distributed gateway service and machines at host computer |
US11863347B2 (en) * | 2021-06-17 | 2024-01-02 | Avago Technologies International Sales Pte. Limited | Systems and methods for inter-device networking using intra-device protcols |
US11895159B2 (en) | 2021-06-30 | 2024-02-06 | International Business Machines Corporation | Security capability determination |
US12040977B1 (en) | 2023-06-13 | 2024-07-16 | Zscaler, Inc. | Systems and methods for providing secure software-as-a-service (SaaS) access from unmanaged devices |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999005590A2 (en) | 1997-07-25 | 1999-02-04 | Starvox, Inc. | Apparatus and method for integrated voice gateway |
US7058727B2 (en) * | 1998-09-28 | 2006-06-06 | International Business Machines Corporation | Method and apparatus load balancing server daemons within a server |
SE516122C2 (sv) * | 1999-02-11 | 2001-11-19 | Ericsson Telefon Ab L M | Anordning och förfarande relaterande till paketdatakommunikation och ett paketdatakommunikationssystem |
US6434627B1 (en) | 1999-03-15 | 2002-08-13 | Cisco Technology, Inc. | IP network for accomodating mobile users with incompatible network addressing |
US6697872B1 (en) * | 1999-10-15 | 2004-02-24 | Cisco Technology | Distributed packet processing using encapsulation and decapsulation chains |
US20020091855A1 (en) | 2000-02-02 | 2002-07-11 | Yechiam Yemini | Method and apparatus for dynamically addressing and routing in a data network |
US7310666B2 (en) * | 2001-06-29 | 2007-12-18 | International Business Machines Corporation | Method and system for restricting and enhancing topology displays for multi-customer logical networks within a network management system |
US7281058B1 (en) * | 2002-10-09 | 2007-10-09 | Juniper Networks, Inc. | Delivering and receiving multicast content across a unicast network |
US7890633B2 (en) | 2003-02-13 | 2011-02-15 | Oracle America, Inc. | System and method of extending virtual address resolution for mapping networks |
US7499451B2 (en) * | 2003-02-20 | 2009-03-03 | Fujitsu Limited | Computer node, cluster system, cluster managing method, and cluster managing program |
JP4021780B2 (ja) * | 2003-02-20 | 2007-12-12 | 富士通株式会社 | 計算機ノード、クラスタシステム、クラスタ管理方法、クラスタ管理プログラム |
US20040249974A1 (en) | 2003-03-31 | 2004-12-09 | Alkhatib Hasan S. | Secure virtual address realm |
US7593346B2 (en) | 2003-07-31 | 2009-09-22 | Cisco Technology, Inc. | Distributing and balancing traffic flow in a virtual gateway |
US7327687B2 (en) * | 2003-12-30 | 2008-02-05 | Ixia | Wireless network virtual station address translation with external data source |
US7697501B2 (en) | 2004-02-06 | 2010-04-13 | Qualcomm Incorporated | Methods and apparatus for separating home agent functionality |
WO2005107161A1 (fr) | 2004-04-28 | 2005-11-10 | Beijing Jiaxun Feihong Electrical Co., Ltd. | Systeme et procede de communications d'un reseau de telecommunications ip et leur application |
GB2418326B (en) * | 2004-09-17 | 2007-04-11 | Hewlett Packard Development Co | Network vitrualization |
TWI310275B (en) | 2004-10-19 | 2009-05-21 | Nec Corp | Virtual private network gateway device and hosting system |
JP4707992B2 (ja) * | 2004-10-22 | 2011-06-22 | 富士通株式会社 | 暗号化通信システム |
JP4619943B2 (ja) * | 2005-12-28 | 2011-01-26 | 富士通株式会社 | パケット通信方法、パケット通信システム |
JP4603505B2 (ja) | 2006-05-10 | 2010-12-22 | 富士通株式会社 | パケットルーティング制御プログラム、パケットルーティング制御方法及びコンピュータシステム |
US7840701B2 (en) * | 2007-02-21 | 2010-11-23 | Array Networks, Inc. | Dynamic system and method for virtual private network (VPN) packet level routing using dual-NAT method |
US8055789B2 (en) | 2007-03-27 | 2011-11-08 | Amazon Technologies, Inc. | Configuring intercommunications between computing nodes |
US8020203B2 (en) | 2007-12-03 | 2011-09-13 | Novell, Inc. | Techniques for high availability of virtual private networks (VPN's) |
-
2010
- 2010-06-22 US US12/820,896 patent/US8374183B2/en active Active
-
2011
- 2011-05-20 TW TW100117829A patent/TWI531185B/zh not_active IP Right Cessation
- 2011-06-06 EP EP11798589.5A patent/EP2586160B1/en active Active
- 2011-06-06 JP JP2013516590A patent/JP5809696B2/ja active Active
- 2011-06-06 WO PCT/US2011/039324 patent/WO2011162942A2/en active Application Filing
- 2011-06-06 CN CN201180030856.8A patent/CN102948132B/zh active Active
-
2013
- 2013-01-25 US US13/749,847 patent/US8982890B2/en active Active
-
2015
- 2015-03-13 US US14/657,957 patent/US9876717B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN102948132B (zh) | 2017-04-12 |
EP2586160A2 (en) | 2013-05-01 |
WO2011162942A2 (en) | 2011-12-29 |
JP5809696B2 (ja) | 2015-11-11 |
US8374183B2 (en) | 2013-02-12 |
EP2586160B1 (en) | 2018-11-07 |
US8982890B2 (en) | 2015-03-17 |
WO2011162942A3 (en) | 2012-04-05 |
US20130136133A1 (en) | 2013-05-30 |
JP2013533689A (ja) | 2013-08-22 |
CN102948132A (zh) | 2013-02-27 |
US20110310899A1 (en) | 2011-12-22 |
US20150188818A1 (en) | 2015-07-02 |
US9876717B2 (en) | 2018-01-23 |
TW201203956A (en) | 2012-01-16 |
EP2586160A4 (en) | 2017-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI531185B (zh) | 分散式虛擬網路閘道 | |
US11063819B2 (en) | Managing use of alternative intermediate destination computing nodes for provided computer networks | |
US8407366B2 (en) | Interconnecting members of a virtual network | |
US9736016B2 (en) | Managing failure behavior for computing nodes of provided computer networks | |
US10164868B2 (en) | Hypervisor routing between networks in a virtual networking environment | |
US8972603B1 (en) | Managing encoded multi-part communications | |
US9864727B1 (en) | Providing dynamically scaling computing load balancing | |
US10728089B2 (en) | Providing access to configurable private computer networks | |
US20170099260A1 (en) | Providing location-specific network access to remote services | |
US20160006610A1 (en) | Providing local secure network access to remote services | |
US20120182993A1 (en) | Hypervisor application of service tags in a virtual networking environment | |
CN109937400A (zh) | 用于虚拟机的实时迁移的流状态传送 | |
US20220141080A1 (en) | Availability-enhancing gateways for network traffic in virtualized computing environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |