在一个示例中,一种方法包括由计算设备接收配置数据,该配置数据限定:针对网络功能的外部虚拟域,该外部虚拟域被连接到公共网络并由计算设备的提供方管理;针对网络功能的虚拟域,该虚拟域与外部虚拟域分离、被配置有安全隧道接口、被连接到客户网络并由计算设备提供方的客户管理;由实现基于路由的虚拟私有网络的外部虚拟域将经由安全隧道从公共网络接收的加密网络业务转发到在被配置在虚拟域中的安全隧道接口;由虚拟域对加密网络业务进行解密以生成网络业务;并且由虚拟域将网络业务转发到客户网络。发到客户网络。发到客户网络。
【技术实现步骤摘要】
【国外来华专利技术】共享设备内的虚拟域
[0001]交叉引用
[0002]本申请要求于2020年8月31日提交的美国专利申请号17/008,027的权益,其全部内容通过引用并入本文。
[0003]本公开涉及数据中心,并且更具体地,涉及在应用网络功能的共享设备内使用虚拟域。
技术介绍
[0004]数据中心提供方可以采用诸如数据中心或数据仓库的设施,其中提供方的多个客户以最低的成本和复杂性在该设施中提供连接和/或定位网络、服务器和存储设备,并互连到各种电信、云和(多个)其他网络服务提供方。这样的数据中心可以由多个客户共享。通过在此类设施上互连,包括电信提供方、互联网服务提供方(ISP)、应用服务提供方、服务提供方、内容提供方和其他提供方以及企业在内的提供方的客户可以享受更少的延时,并且可以自由地专注于他们的核心业务。
[0005]诸如数据中心提供方的网络运营商可以提供网络功能,这些网络功能可以被应用于遍历由数据中心提供方所管理的数据中心的交换结构的分组。网络功能可以使用专门的硬件设备来实现,诸如防火墙或路由器,有时被称为物理网络功能(PNF),或者使用网络功能虚拟化(NFV)架构或可以包括虚拟化网络功能(VNF)的基础设施(NFVI)来实现。例如,网络功能(PNF或VNF)可以提供防火墙、路由、运营商级网络地址转换(CG
‑
NAT)、视频性能增强代理、传输控制协议(TCP)优化和报头丰富、高速缓存、负载平衡或其他网络功能。VNF可以由一个或多个虚拟机、容器或NFV基础设施的其他执行环境执行。以这种方式,虚拟化网络功能可以由服务器、交换机、存储设备和云计算基础设施来执行。
技术实现思路
[0006]总的来说,本公开描述了用于在数据中心提供方的多个客户之间共享的设备内使用虚拟域来提供安全的虚拟私有网络、客户间网络转发和网络功能的应用的技术。提供网络功能(诸如PNF和VNF)的设备可以提供耦合到该设备的客户网络的域隔离。客户网络可以与数据中心提供方的客户相关联,其可以包括企业、网络服务提供方、云服务提供方和其他客户。与客户网络相关联的客户设备可以共处于数据中心提供方的数据中心内并连接到数据中心交换结构,或者可以经由网络服务提供方或到数据中心交换结构的其他连接而连接到数据中心。
[0007]在一些示例中,数据中心提供方可以部署设备并为设备配置针对相应客户的多个虚拟域和外部虚拟域,外部虚拟域作为虚拟域到达外部网络(诸如未链接到设备的虚拟域中的一个的互联网服务提供方或云服务提供方的网络)的网关来操作。位于数据中心内的共处客户网络可以经由外部虚拟域到达客户的分支机构。此外,数据中心提供方可以使用
虚拟域的配对之间的预先配置连接来配置设备,以实现分组在链接到虚拟域的客户网络之间的虚拟域之间的路由。这种预先配置的连接可以包括客户的虚拟域和外部虚拟域之间的连接,以使得客户的客户网络能够到达外部网络。
[0008]在一些示例中,该设备通过执行基于路由的VPN技术并在虚拟域内终止安全VPN隧道来集成安全虚拟私有网络(VPN)功能。与安全VPN网关终止安全VPN隧道(例如,在其他操作中对加密业务进行解密)并将解密业务转发到目的地网络的部署相反,被配置在设备中的外部虚拟域将基于路由的VPN应用于在外部虚拟域处接收的加密业务,以将加密业务引导到设备的虚拟域,该虚拟域链接到加密业务的目的地网络。该虚拟域配置有安全隧道接口,并在将业务转发到目的地网络之前对业务进行解密。实际上,该设备支持在具有安全VPN隧道端点的多个虚拟域上的安全VPN。
[0009]上文描述的各方面以及本文所描述的另外方面可以提供呈现至少一种实际应用的一个或多个技术优势。例如,隔离针对客户的虚拟域并在客户特定虚拟域内终止安全VPN隧道可以提高客户业务的安全性,因为针对多个客户的未加密业务不会穿过公用链路。此外,这种技术优势仅通过多个客户共享的单个设备产生。作为另一示例,如上所述,这些技术可以在促进安全业务处理的同时,有助于单个设备上的多租户。因此,数据中心提供方可以部署可以在数据中心提供方的多个不同客户之间安全共享的单个设备(或将单个设备租给经销商),从而增加设备的利用率,并且至少在某些情况下导致高效率。
[0010]在一个示例中,一种计算设备包括耦合到存储器的处理电路,该处理电路和存储器被配置为实现:网络功能;针对网络功能的外部虚拟域,该外部虚拟域连接到公共网络并由计算设备的提供方管理;以及针对网络功能的虚拟域,该虚拟域与外部虚拟域分离、配置有安全隧道接口、连接到客户网络并由计算设备的提供方的客户管理,其中外部虚拟域实现基于路由的虚拟私有网络,以将经由安全隧道从公共网络接收的加密网络业务转发到在虚拟域中配置的安全隧道接口,并且其中虚拟域被配置为对加密网络业务进行解密以生成网络业务并将网络业务转发到客户网络。
[0011]在一个示例中,一种计算设备包括耦合到存储器的处理电路,该处理电路和存储器被配置为实现:网络功能;针对网络功能的第一虚拟域,该第一虚拟域连接到第一客户网络并由计算设备的提供方的第一客户管理;针对网络功能的第二虚拟域,该第二虚拟域与第一虚拟域分离、连接到第二客户网络并由计算设备的提供方的第二客户管理;以及虚拟域连接,该虚拟域连接使得网络业务能够从第一虚拟域转发到第二虚拟域,该虚拟域连接由计算设备的提供方配置。
[0012]在一个示例中,一种方法包括由计算设备接收配置数据,该配置数据限定:针对网络功能的外部虚拟域,该外部虚拟域连接到公共网络并由计算设备的提供方管理;针对网络功能的虚拟域,该虚拟域与外部虚拟域分离、配置有安全隧道接口、连接到客户网络并由计算设备的提供方的客户管理;由实现基于路由的虚拟私有网络的外部虚拟域将经由安全隧道从公共网络接收的加密网络业务转发到在虚拟域中配置的安全隧道接口;由虚拟域对加密网络业务进行解密以生成网络业务;并且由虚拟域将网络业务转发到客户网络。
[0013]一个或多个示例的细节在附图和下面的描述中阐述。其他特征、目的和优点将从描述和附图以及权利要求中显而易见。
附图说明
[0014]图1是图示了包括根据本文所描述的技术配置和操作的示例设备的系统的框图。
[0015]图2是图示了包括根据本文所描述的技术配置和操作的执行虚拟化网络功能的示例设备的系统的框图。
[0016]图3图示了根据本文所描述的技术的具有提供包括设备的多个云交换点的基于城域的云交换的网络系统的概念图。
[0017]图4是图示了根据本公开的技术的设备的示例操作模式的流程图。
[0018]图5是图示了根据本公开的一种或多种技术进行操作的计算设备的一个示例的进一步细节的框图。
[0019]图6是图示了根据本公开中描述的技术的设备的示例操作模式的流程图。
[0020]贯穿附图和文本,相似的参考字符标示相似的元素。
具体实施方式
[0021]图1是图示了根据本文所描述的技术配置和操作的包括示例设备104的系统100的框图。在图1的示例中,系本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种计算设备,包括:被耦合到存储器的处理电路系统,所述处理电路系统和所述存储器被配置为实现:网络功能;针对所述网络功能的外部虚拟域,所述外部虚拟域被连接到公共网络,并且由针对所述计算设备的提供方管理;以及针对所述网络功能的虚拟域,所述虚拟域与所述外部虚拟域分离,被配置有安全隧道接口,被连接到客户网络,并且由针对所述计算设备的所述提供方的客户管理,其中所述外部虚拟域实现基于路由的虚拟私有网络,以向被配置在所述虚拟域中的所述安全隧道接口转发经由安全隧道从所述公共网络接收的加密网络业务,并且其中所述虚拟域被配置为对所述加密网络业务进行解密以生成网络业务,并且向所述客户网络转发所述网络业务。2.根据权利要求1所述的计算设备,其中所述虚拟域包括第一虚拟域,并且所述客户网络包括第一客户网络,其中所述处理电路系统和所述存储器还被配置为实现:针对所述网络功能的第二虚拟域,所述第二虚拟域与所述第一虚拟域和所述外部虚拟域分离,并且被连接到第二客户网络,其中所述第一虚拟域和所述第二虚拟域被配置有虚拟域连接以及路由信息或防火墙规则,以使所述第一虚拟域向所述第二虚拟域转发从所述客户网络接收的所选择的网络业务,以用于向所述第二客户网络转发。3.根据权利要求2所述的计算设备,其中所述第二客户网络是云服务提供方网络。4.根据权利要求2所述的计算设备,其中所述安全隧道接口是第一安全隧道接口,其中所述第二虚拟域被配置有第二安全隧道接口,其中所述外部虚拟域实现所述基于路由的虚拟私有网络,以向所述第二虚拟域中的所述第二安全隧道接口转发经由不同安全隧道从所述公共网络接收的其他加密网络业务,并且其中所述第二虚拟域被配置为对所述其他加密网络业务进行解密以生成其他网络业务,并且向所述第二客户网络转发所述其他网络业务。5.根据权利要求1所述的计算设备,其中所述计算设备被配置为对所述提供方限制用以配置所述外部虚拟域的授权,其中所述计算设备被配置为允许所述客户配置所述虚拟域。6.根据权利要求1所述的计算设备,其中所述网络功能是虚拟化的网络功能。7.根据权利要求1所述的计算设备,其中所述基于路由的虚拟私有网络包括将前缀映射到所述安全隧道接口的路由,并且应用所述路由以向被配置在所述虚拟域中的所述安全隧道接口转发所述加密网络业务。8.根据权利要求1所述的计算设备,其中所述外部虚拟域实现虚拟私有网络网关。9.根据权利要求1所述的计算设备,其中所述虚拟域被配置为在向所述客户网络转发所述网络业务之前,将所述网络功能应用于所述网络业务。10.根据权利要求1所述的计算设备,
其中所述虚拟域包括存储从所述客户网络接收的路由信息的虚拟路由和转发实例或防火墙域中的一个,并且其中所述虚拟域被配置为将所述路由信息应用于所述网络业务以向所述客户网络转发所述网络业务。11.根据权利要求1所述的计算设备...
【专利技术属性】
技术研发人员:S,
申请(专利权)人:环球互连及数据中心公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。