本公开涉及用于隔离虚拟网络的私有别名端点。根据私有别名端点作为从提供商网络的隔离虚拟网络内导向到服务的流量的路由目标的指定,隧道中介接收在计算实例处生成的基线数据包。所述基线数据包指示所述服务的公共IP(互联网协议)地址作为目的地,并且指示所述计算实例的私有IP地址作为源。根据隧道协议,所述隧道中介生成包括所述基线数据包的至少一部分和指示所述隔离虚拟网络的报头的封装数据包。所述封装数据包被传送到所述服务的节点。
【技术实现步骤摘要】
用于隔离虚拟网络的私有别名端点本申请是申请日为2015年9月18日的、名称为“用于隔离虚拟网络的私有别名端点”的专利技术专利申请No.201580050148.9的分案申请。
本专利技术涉及一种用于隔离虚拟网络的私有别名端点。
技术介绍
许多公司和其他组织操作计算机网络,这些计算机网络使众多计算系统互连以支持它们的操作,诸如其中计算系统位于同一位置(例如,作为本地网络的一部分)或者相反地位于多个截然不同的地理位置中(例如,通过一个或多个私有或公共中间网络加以连接)。例如,容纳显著数量互连计算系统的数据中心已变得司空见惯,诸如由单一组织操作和代表所述组织操作的私有数据中心,以及由实体作为业务加以操作来向客户提供计算资源的公共数据中心。一些提供商允许他们的客户使用位于这类数据中心处的资源来创建逻辑上隔离的网络。例如,可以向客户分配某一组虚拟化服务器和/或在由提供商管理的主机处实现的其他资源,并且可以向客户提供关于资源的网络配置的相当大的灵活性。客户可以例如选择到服务器的IP(互联网协议)地址,定义他们选择的子网,等等。使用提供商资源实现的此类客户可配置网络可以被称为多种名称,包括“隔离虚拟网络”或“虚拟私有云”。在一些情境下,客户可以向隔离虚拟网络内的一些资源指派私有IP地址(即,在隔离虚拟网络之外不可见或通告的地址),例如,不必考虑关于隔离虚拟网络之外的资源的地址的唯一性。提供商可以在这类环境中支持高水平的安全性、网络隔离和可用性,以使得客户能够在隔离虚拟网络中运行关键业务应用,并且经历与在客户拥有的场所可实现的服务类似(或更高)的服务质量。至少一些支持隔离虚拟网络的提供商也可以实现多种其他服务,如存储服务、数据库服务等。这些其他服务中的一些可以被设计成可从公共互联网访问—例如,可以为客户端建立一组公开通告的IP地址或对应的URI(统一资源标识符)以访问这种服务的资源。至少在一些环境中,对于希望在其高度安全的隔离虚拟网络中访问这类公开通告的服务的客户而言,在不潜在地降低安全性或招致大量成本的情况下这样做可能并不简单。
技术实现思路
本公开提供了一种方法,包括:在提供商网络的隧道中介处确定第一私有别名端点(PAE)已经被指定为在代表客户端建立的第一隔离虚拟网络(IVN)处始发的流量的路由目标,其中所述流量将被递送到特定公共可访问服务;在所述隧道中介处接收从所述第一IVN的第一计算实例被导向到所述特定公共可访问服务的公共通告的网络地址的基线数据包;以及通过所述隧道中介向所述特定服务的第一节点传送包括(a)所述基线数据包的内容和(b)所述第一IVN作为源IVN的指示的封装数据包。附图说明图1示出根据至少一些实施方案的可以建立私有别名端点(PAE)以使得能够在提供商网络的隔离虚拟网络(IVN)与一个或多个公共可访问服务之间路由网络流量而在IVN处不指派公共IP地址并且不穿过客户网络的示例系统环境。图2示出根据至少一些实施方案的将在隔离虚拟网络的计算实例处始发的数据包引导朝向公共可访问服务处的目的地所涉及的示例性部件。图3a和图3b示出根据至少一些实施方案的可以处理在隔离虚拟网络的计算实例处始发的数据包的替代性服务侧部件的各自实例。图4示出根据至少一些实施方案的在计算实例处始发的基线数据包的封装格式的实例。图5示出根据至少一些实施方案的PAE配置请求和响应的实例。图6示出根据至少一些实施方案的PAE配置数据库内容的实例。图7示出根据至少一些实施方案的使用IVN和PAE标识符来区分在服务处从具有相同私有IP地址的计算实例接收的请求的实例。图8是示出根据至少一些实施方案的可以被执行来配置PAE的操作的各方面的流程图。图9是示出根据至少一些实施方案的用于将数据包从计算实例传送到公共可访问服务的隧道协议的使用的流程图。图10是示出可以在至少一些实施方案中使用的示例性计算装置的框图。虽然在本文中通过举例针对若干实施方案和示意性附图描述了实施方案,但是本领域的技术人员应认识到,实施方案不限于所描述的实施方案或附图。应理解,附图和对其的详细描述并非意图将实施方案限于所公开的特定形式,而是相反,其意图在于涵盖落入由所附权利要求书限定的精神和范围内的所有修改、等效物和替代方案。本文中使用的标题都仅用于组织目的,并且并不意图用于限制本说明书或权利要求书的范围。贯穿本申请所使用的词语“可以”是在许可的意义上(即意指具有可能性)、而非强制的意义上(即意指必须)使用。类似地,词语“包括(include/including/includes)”意味着包括但不限于。具体实施方式描述了用于在提供商网络处支持私有别名端点(PAE)的方法和设备的各种实施方案。由诸如公司或公共部门组织的实体建立用于将可通过互联网和/或其他网络访问的一种或多种服务(诸如各种类型的多租户和/或单租户基于云的计算或存储服务)提供至一组分布式客户端的网络在本文中可以被称为提供商网络。至少一些提供商网络也可以被称为“公共云”环境。给定的提供商网络可包括托管实现、配置和分布由提供商提供的基础设施和服务所需的各种资源池的许多数据中心,诸如物理和/或虚拟化计算机服务器、存储装置、联网设备等的集合。在至少一些实施方案中,在提供商网络处实现的虚拟计算服务可以使得客户端能够将一个或多个客体虚拟机(在本文中可以称为“计算实例”或简称为“实例”)用于它们的应用,其中一个或多个计算实例在大实例主机群中的实例主机上执行。在大型提供商网络内,一些数据中心可以位于与其他数据中心不同的城市、州或国家中,并且在一些实施方案中,分配给给定应用的资源可以分布在若干这类位置中,以实现期望的可用性水平、故障恢复力和性能。在至少一些实施方案中,提供商网络可以使得客户能够请求在提供商的数据中心处建立“隔离虚拟网络”(IVN)。IVN(在一些环境中也可以称为“虚拟私有云”或VPC)可包括在提供商网络的逻辑上隔离的部分中的计算和/或其他资源的集合,通过其,客户被授予关于网络配置的实质性控制。在一些实施方案中,例如,客户可以选择要用于IVN资源(诸如各种计算实例)的IP(互联网协议)地址范围、管理IVN内的子网的创建以及用于IVN的路由表的配置等。在一些实施方案中,对于IVN内的装置中的至少一些,至少在默认情况下,IP地址在IVN之外可能是不可见的。与作为通过BGP(边界网关协议)或其他类似协议在公共互联网上直接或间接通告的结果可从公共互联网访问的“公共”IP地址相比,这类IP地址在本文中可以被称为“私有”IP地址。私有地址的使用可以使得客户端能够保护它们的应用免受源自例如互联网的潜在攻击。在一些实施方案中,IVN支持可以是提供商网络的更一般的虚拟计算服务(VCS)的特征之一。例如,VCS还可以支持计算实例的预留或分配,所述计算实例不是IVN的一部分并且VCS(而不是分配了实例的客户端)为其执行所需的大部分或全部网络配置。在提供商网络中实现的服务中的至少一些(诸如一个或多个存储服务或数据库服本文档来自技高网...
【技术保护点】
1.一种方法,其包括:/n在提供商网络的隧道中介处确定第一私有别名端点(PAE)已经被指定为在代表客户端建立的第一隔离虚拟网络(IVN)处始发的流量的路由目标,其中所述流量将被递送到特定公共可访问服务;/n在所述隧道中介处接收从所述第一IVN的第一计算实例被导向到所述特定公共可访问服务的公共通告的网络地址的基线数据包;以及/n通过所述隧道中介向所述特定服务的第一节点传送包括(a)所述基线数据包的内容和(b)所述第一IVN作为源IVN的指示的封装数据包。/n
【技术特征摘要】
20140919 US 14/491,7581.一种方法,其包括:
在提供商网络的隧道中介处确定第一私有别名端点(PAE)已经被指定为在代表客户端建立的第一隔离虚拟网络(IVN)处始发的流量的路由目标,其中所述流量将被递送到特定公共可访问服务;
在所述隧道中介处接收从所述第一IVN的第一计算实例被导向到所述特定公共可访问服务的公共通告的网络地址的基线数据包;以及
通过所述隧道中介向所述特定服务的第一节点传送包括(a)所述基线数据包的内容和(b)所述第一IVN作为源IVN的指示的封装数据包。
2.如权利要求1所述的方法,其中所述封装数据包根据IPv6(互联网协议第6版)被格式化,并且其中所述基线数据包根据IPv4(互联网协议第4版)被格式化。
3.如权利要求1所述的方法,其中所述特定服务支持多个对象上的多个操作类型,所述方法还包括:
在所述第一IVN的配置管理器处,从所述客户端接收将第一访问控制策略应用于所述第一PAE的请求,其中所述第一访问控制策略相对于使用所述第一PAE作为路由目标提交的请求,指示以下中的一个或多个:(a)所述多个操作类型中的允许操作类型,(b)所述多个操作类型中的禁止操作类型,(c)允许所述多个操作类型中的特定操作类型的时间间隔,或(d)允许所述多个操作类型中的特定操作类型所针对的所述多个对象中的特定对象;以及
在根据所述基线数据包中指示的特定请求执行第一操作之前,验证所述第一访问控制策略允许所述第一操作。
4.如权利要求1所述的方法,其还包括:
指定第二PAE作为在所述第一IVN始发的附加流量的路由目标,其中所述附加流量将被递送到不同服务。
5.如权利要求1所述的方法,其中所述第一计算实例具有...
【专利技术属性】
技术研发人员:K·C·米勒,R·A·希恩,D·S·劳伦斯,M·S·ED·欧维斯,A·B·迪金森,
申请(专利权)人:亚马逊科技公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。