[发明专利]用于隔离虚拟网络的私有别名端点

说明书

本公开涉及用于隔离虚拟网络的私有别名端点。根据私有别名端点作为从提供商网络的隔离虚拟网络内导向到服务的流量的路由目标的指定，隧道中介接收在计算实例处生成的基线数据包。所述基线数据包指示所述服务的公共IP(互联网协议)地址作为目的地，并且指示所述计算实例的私有IP地址作为源。根据隧道协议，所述隧道中介生成包括所述基线数据包的至少一部分和指示所述隔离虚拟网络的报头的封装数据包。所述封装数据包被传送到所述服务的节点。

本申请是申请日为2015年9月18日的、名称为“用于隔离虚拟网络的私有别名端点”的发明专利申请No.201580050148.9的分案申请。

技术领域

本发明涉及一种用于隔离虚拟网络的私有别名端点。

背景技术

许多公司和其他组织操作计算机网络，这些计算机网络使众多计算系统互连以支持它们的操作，诸如其中计算系统位于同一位置(例如，作为本地网络的一部分)或者相反地位于多个截然不同的地理位置中(例如，通过一个或多个私有或公共中间网络加以连接)。例如，容纳显著数量互连计算系统的数据中心已变得司空见惯，诸如由单一组织操作和代表所述组织操作的私有数据中心，以及由实体作为业务加以操作来向客户提供计算资源的公共数据中心。

一些提供商允许他们的客户使用位于这类数据中心处的资源来创建逻辑上隔离的网络。例如，可以向客户分配某一组虚拟化服务器和/或在由提供商管理的主机处实现的其他资源，并且可以向客户提供关于资源的网络配置的相当大的灵活性。客户可以例如选择到服务器的IP(互联网协议)地址，定义他们选择的子网，等等。使用提供商资源实现的此类客户可配置网络可以被称为多种名称，包括“隔离虚拟网络”或“虚拟私有云”。在一些情境下，客户可以向隔离虚拟网络内的一些资源指派私有IP地址(即，在隔离虚拟网络之外不可见或通告的地址)，例如，不必考虑关于隔离虚拟网络之外的资源的地址的唯一性。提供商可以在这类环境中支持高水平的安全性、网络隔离和可用性，以使得客户能够在隔离虚拟网络中运行关键业务应用，并且经历与在客户拥有的场所可实现的服务类似(或更高)的服务质量。

至少一些支持隔离虚拟网络的提供商也可以实现多种其他服务，如存储服务、数据库服务等。这些其他服务中的一些可以被设计成可从公共互联网访问—例如，可以为客户端建立一组公开通告的IP地址或对应的URI(统一资源标识符)以访问这种服务的资源。至少在一些环境中，对于希望在其高度安全的隔离虚拟网络中访问这类公开通告的服务的客户而言，在不潜在地降低安全性或招致大量成本的情况下这样做可能并不简单。

发明内容

本公开提供了一种方法，包括：在提供商网络的隧道中介处确定第一私有别名端点(PAE)已经被指定为在代表客户端建立的第一隔离虚拟网络(IVN)处始发的流量的路由目标，其中所述流量将被递送到特定公共可访问服务；在所述隧道中介处接收从所述第一IVN的第一计算实例被导向到所述特定公共可访问服务的公共通告的网络地址的基线数据包；以及通过所述隧道中介向所述特定服务的第一节点传送包括(a)所述基线数据包的内容和(b)所述第一IVN作为源IVN的指示的封装数据包。

附图说明

图1示出根据至少一些实施方案的可以建立私有别名端点(PAE)以使得能够在提供商网络的隔离虚拟网络(IVN)与一个或多个公共可访问服务之间路由网络流量而在IVN处不指派公共IP地址并且不穿过客户网络的示例系统环境。

图2示出根据至少一些实施方案的将在隔离虚拟网络的计算实例处始发的数据包引导朝向公共可访问服务处的目的地所涉及的示例性部件。

图3a和图3b示出根据至少一些实施方案的可以处理在隔离虚拟网络的计算实例处始发的数据包的替代性服务侧部件的各自实例。

图4示出根据至少一些实施方案的在计算实例处始发的基线数据包的封装格式的实例。

图5示出根据至少一些实施方案的PAE配置请求和响应的实例。