虛擬網(wǎng)絡(luò)接口對象的制作方法
【專利摘要】用于管理虛擬網(wǎng)絡(luò)接口對象的接口的方法和裝置��。系統(tǒng)可包括資源實(shí)例和網(wǎng)絡(luò)接口虛擬化協(xié)調(diào)器����。響應(yīng)于記錄創(chuàng)建請求,所述協(xié)調(diào)器創(chuàng)建可包括IP地址��、子網(wǎng)信息和安全屬性的接口記錄����。所述協(xié)調(diào)器可響應(yīng)于將所述記錄附加到資源實(shí)例的請求而使得定向到所述IP地址的流量能夠流到所述資源實(shí)例。響應(yīng)于后續(xù)分離請求���,到所述IP地址的所述流量可在所述資源實(shí)例被禁用���。所述接口記錄可響應(yīng)于另一附加請求而被附加到另一資源實(shí)例,從而使得定向到所述IP地址的流量能夠流到所述第二資源實(shí)例���。
【專利說明】虛擬網(wǎng)絡(luò)接口對象
【背景技術(shù)】
[0001]許多公司和其它組織操作互連許多計算系統(tǒng)以支持其操作的計算機(jī)網(wǎng)絡(luò)���,其中例如計算系統(tǒng)被共置(例如�����,作為局域網(wǎng)的一部分),或者位于多個不同的地理位置(例如����,通過一個或多個專用或公共中間網(wǎng)絡(luò)連接)。例如��,容納大量互連計算系統(tǒng)的數(shù)據(jù)中心已變得司空見慣�����,例如由單一組織操作并代表單一組織的專用數(shù)據(jù)中心�,和由實(shí)體企業(yè)操作以向客戶提供計算資源的公共數(shù)據(jù)中心。一些公共數(shù)據(jù)中心運(yùn)營商向各種客戶擁有的硬件提供網(wǎng)絡(luò)接入�、電源和安全的安裝設(shè)施,而其它公共數(shù)據(jù)中心運(yùn)營商提供也包括可供他們的客戶使用的硬件資源的“全程服務(wù)”設(shè)施����。然而,由于典型數(shù)據(jù)中心的規(guī)模和范圍增大��,配置、實(shí)施和管理物理計算資源的任務(wù)已變得越來越復(fù)雜����。
[0002]商用硬件的虛擬化技術(shù)的問世已提供關(guān)于為具有多樣化需求的許多客戶管理大規(guī)模計算資源方面的益處,從而允許多個客戶高效并安全地共享各種計算資源����。例如,虛擬化技術(shù)可通過向每個用戶提供由單個物理計算機(jī)托管的一個或多個虛擬機(jī)來允許單個物理計算機(jī)在多個用戶之間共享��,其中每個此類虛擬機(jī)是軟件模擬����,所述軟件模擬充當(dāng)向用戶提供他們是給定硬件計算資源的唯一操作員和管理員的錯覺的不同的邏輯計算系統(tǒng),同時也在各種虛擬機(jī)之間提供應(yīng)用程序隔離和安全�。另外,一些虛擬化技術(shù)能夠提供跨越兩個或多個物理資源的虛擬資源�����,例如具有跨越多個不同物理計算系統(tǒng)的多個虛擬處理器的單個虛擬機(jī)���。另舉一例�,虛擬化技術(shù)可通過向每個用戶提供可被分布在多個數(shù)據(jù)存儲設(shè)備的虛擬化的數(shù)據(jù)存儲來允許數(shù)據(jù)存儲硬件在多個用戶之間共享��,其中每個此類虛擬化的數(shù)據(jù)存儲充當(dāng)向用戶提供他們是數(shù)據(jù)存儲資源的唯一操作員和管理員的錯覺的不同的邏輯數(shù)據(jù)存儲。
[0003]提供不同類型的虛擬化計算��、存儲和/或其它服務(wù)的數(shù)據(jù)中心的操作員通常依賴于標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議來使用例如各種類型的網(wǎng)絡(luò)接口卡(NIC)的商用網(wǎng)絡(luò)硬件以接收客戶請求并向此類請求傳輸響應(yīng)���。盡管虛擬化技術(shù)有最新進(jìn)展���,虛擬服務(wù)器的許多網(wǎng)絡(luò)相關(guān)的屬性仍通常在個別物理網(wǎng)絡(luò)接口卡的水平上進(jìn)行管理。隨著虛擬化服務(wù)的客戶所要求的不同類型的動態(tài)網(wǎng)絡(luò)配置變化的復(fù)雜性增大���,物理NIC水平上的網(wǎng)絡(luò)管理可能會變得越來越繁瑣。
【專利附圖】
【附圖說明】
[0004]圖1示出根據(jù)至少一些實(shí)施方案的示例性系統(tǒng)環(huán)境�����。
[0005]圖2示出根據(jù)至少一些實(shí)施方案的接口記錄的構(gòu)成要素的實(shí)例���。
[0006]圖3示出根據(jù)一些實(shí)施方案的其中接口記錄被附加到資源實(shí)例的操作�。
[0007]圖4示出根據(jù)一些實(shí)施方案的其中接口記錄被從資源實(shí)例分離的操作��。
[0008]圖5示出根據(jù)一些實(shí)施方案的其中接口記錄被附加到與記錄之前被附加的資源實(shí)例不同的實(shí)例的操作��。
[0009]圖6示出根據(jù)一些實(shí)施方案的其中第二接口記錄被附加到資源實(shí)例的操作���。
[0010]圖7示出根據(jù)一些實(shí)施方案的其中具有附加的接口記錄的資源實(shí)例被從一個服務(wù)平臺移到另一個的操作���。
[0011]圖8a-8d提供根據(jù)一些實(shí)施方案的可通過將接口記錄附加到資源實(shí)例實(shí)現(xiàn)的許多示例性網(wǎng)絡(luò)配置的說明���。
[0012]圖9是根據(jù)至少一些實(shí)施方案的網(wǎng)絡(luò)接口虛擬化協(xié)調(diào)器可提供的示例性基于網(wǎng)頁的接口的部分的說明。
[0013]圖10是根據(jù)至少一些實(shí)施方案的用于提供接口記錄服務(wù)的方法的流程圖���。
[0014]圖11是示出可用于一些實(shí)施方案的示例性計算機(jī)系統(tǒng)的框圖����。
[0015]雖然在本文中以舉例的方式描述了若干實(shí)施方案和說明性附圖的實(shí)施方案���,但是本領(lǐng)域技術(shù)人員應(yīng)認(rèn)識到����,實(shí)施方案并不限于此類實(shí)施方案或附圖��。應(yīng)理解��,附圖及其詳細(xì)描述并不旨在將實(shí)施方案限于所揭露的特定形式��,相反,旨在包括所有落入所附權(quán)利要求書定義的精神和范圍內(nèi)的修改��、等效物和替代物����。本文所用的標(biāo)題僅用于組織目的,而不意味著用來限制本說明書或權(quán)利要求書的范圍�。如本申請書通篇所使用,用語“可”用作許可的意義(即����,意味著有可能),而不是強(qiáng)制的意義(即�,意味著必須)。類似地�����,用語“包括(include/including/includes) ” 意指包括但不限于�����。
【具體實(shí)施方式】
[0016]描述了用于管理虛擬網(wǎng)絡(luò)接口對象的方法和裝置的各種實(shí)施方案���。由例如公司或公共機(jī)構(gòu)的實(shí)體設(shè)置以向一組分布式客戶端提供可通過互聯(lián)網(wǎng)(例如各種類型的基于云的計算或存儲)訪問的一個或多個服務(wù)的網(wǎng)絡(luò)可在本文檔中被稱為供應(yīng)商網(wǎng)絡(luò)。此類供應(yīng)商網(wǎng)絡(luò)可包括托管各種資源池的許多數(shù)據(jù)中心,例如實(shí)施并分布供應(yīng)商提供的服務(wù)所需的物理和虛擬計算機(jī)服務(wù)器��、存儲設(shè)備�、網(wǎng)絡(luò)設(shè)備的集合。
[0017]由于許多不同的原因���,例如為了極大提高可用以訪問不同的資源集合的靈活性而不必求助于繁瑣的安全設(shè)置修改��、重新配置和/或物理移動網(wǎng)絡(luò)接口卡���,在一些實(shí)施方案中,供應(yīng)商網(wǎng)絡(luò)的操作員可設(shè)置網(wǎng)絡(luò)接口的一組虛擬化服務(wù)�����。此類服務(wù)可由負(fù)責(zé)維護(hù)一組接口記錄并對所述接口記錄實(shí)施各種操作的網(wǎng)絡(luò)接口虛擬化協(xié)調(diào)器(在本文檔中也可使用縮寫“NIVC”來表示)啟動�,以管理訪問供應(yīng)商網(wǎng)絡(luò)的各種資源所需的網(wǎng)絡(luò)操作。在一些實(shí)施方案中����,NIVC的功能的不同部分可并入若干不同的協(xié)同操作的軟件組件和/或設(shè)備,例如在供應(yīng)商網(wǎng)絡(luò)的各種硬件平臺上運(yùn)行的管理程序或操作系統(tǒng)軟件的模塊���、邊緣設(shè)備上的路由器軟件等����。
[0018]在一個實(shí)施方式中,供應(yīng)商網(wǎng)絡(luò)可向客戶提供許多虛擬化的計算資源和/或存儲資源的實(shí)例���,每個實(shí)例可能需要網(wǎng)絡(luò)尋址以允許客戶與之互動����。在此類實(shí)施方式中����,NIVC可允許客戶請求創(chuàng)建可修改且可傳送的接口記錄,所述接口記錄包括客戶希望設(shè)置然后隨時間推移按需要與各種資源實(shí)例相關(guān)且不相關(guān)的網(wǎng)絡(luò)配置信息的各種要素(例如����,安全策略、尋址和路由信息)�����。在一些實(shí)施方案中�����,接口記錄可包括一個或多個互聯(lián)網(wǎng)協(xié)議(IP)地址和一個或多個IP地址屬于的子網(wǎng)的子網(wǎng)標(biāo)識符����。另外,各種安全相關(guān)的設(shè)置可被包括在接口記錄中�����,從而例如識別允許哪些實(shí)體或用戶執(zhí)行下文進(jìn)一步詳細(xì)描述的“附加”和“分離”操作����。NIVC可創(chuàng)建請求的接口記錄,且在一個實(shí)施方案中將它存儲在接口記錄的持久存儲庫或數(shù)據(jù)庫中���。
[0019]在一些實(shí)施方案中�,客戶可請求NIVC將接口記錄“附加”到例如虛擬化計算服務(wù)器或存儲服務(wù)器的資源實(shí)例���,從而使得資源實(shí)例能夠接收定向到接口記錄的IP地址的傳入流量�����,并使得來自資源實(shí)例的傳出流量能夠指示它起源于所述IP地址���。網(wǎng)絡(luò)流量可流過碰巧被安裝在物理平臺上的一個或多個物理網(wǎng)絡(luò)接口卡(NIC),虛擬化的資源實(shí)例目前可在所述物理平臺上被實(shí)例化�,但是接口記錄的屬性可被認(rèn)為是獨(dú)立于任何特定的NIC(或NICs)��,且也獨(dú)立于任何特定的資源實(shí)例���。例如,在給定時間點(diǎn)�,接口記錄可能與資源實(shí)例相關(guān)或不相關(guān)(即,可能或不可能“被附加”到資源實(shí)例)����。在它與任何資源實(shí)例不相關(guān)期間,接口記錄可能以非活動模式或靜態(tài)模式存在于NIVC的接口記錄存儲庫中��,從而保留其屬性����。
[0020]在一些實(shí)施方案中,響應(yīng)于將接口記錄從它目前被附加到的資源實(shí)例“分離”的請求���,NIVC可確保定向到接口記錄的一個或多個IP地址的流量不再到達(dá)資源實(shí)例����?��?蛻粢部烧埱驨IVC現(xiàn)在將接口記錄附加到與其之前被附加到的資源實(shí)例不同的資源實(shí)例(例如��,不同的虛擬化計算服務(wù)器)。這個新的附加操作然后可使用任何合適的一組物理NIC來使得針對包括在接口記錄內(nèi)的IP地址的IP流量到達(dá)新附加的資源實(shí)例��,因此允許客戶通過資源實(shí)例輕松地傳送網(wǎng)絡(luò)配置設(shè)置和相關(guān)安全設(shè)置而無需直接處理物理[C���。在各種實(shí)施方案中���,例如修改與給定接口記錄相關(guān)的IP地址、修改安全設(shè)置����、結(jié)算相關(guān)操作等的各種其它操作可由虛擬網(wǎng)絡(luò)接口協(xié)調(diào)器支持。
[0021]示例件系統(tǒng)環(huán)塏
[0022]圖1示出根據(jù)至少一些實(shí)施方案的示例性系統(tǒng)環(huán)境��。系統(tǒng)100可包括多個資源實(shí)例120�����,例如����,被設(shè)置以向客戶端148提供例如云計算服務(wù)或云存儲服務(wù)的各種類型的服務(wù)的供應(yīng)商網(wǎng)絡(luò)的實(shí)例120A、120B�、120C和120D����?���?蛻舳?48進(jìn)而可在例如具有相關(guān)后端數(shù)據(jù)庫的網(wǎng)站的實(shí)例120上實(shí)施各種服務(wù)����,并將它們暴露給其自己的客戶�����。資源實(shí)例120例如可實(shí)施駐留在例如圖1的服務(wù)平臺150A���、150B和150C的一個或多個物理平臺上的虛擬化服務(wù)�����,例如虛擬計算系統(tǒng)或虛擬存儲系統(tǒng)�����。提供虛擬計算系統(tǒng)的資源實(shí)例120的服務(wù)平臺150例如可包括具有一個或多個CPU的硬件服務(wù)器(以及相關(guān)存儲器����、存儲和網(wǎng)絡(luò)硬件)和實(shí)施計算系統(tǒng)的虛擬化的軟件(例如,管理程序和/或操作系統(tǒng)的元素)�。類似地����,提供虛擬存儲系統(tǒng)的服務(wù)平臺150例如可包括部分或所有的一個或多個硬件存儲設(shè)備(例如,磁盤陣列或存儲設(shè)備)和相關(guān)處理元件和軟件�。
[0023]在一些實(shí)施方案中,資源實(shí)例120可被從一個平臺150傳送到另一個平臺����,例如,虛擬計算系統(tǒng)可被最初發(fā)到一個物理服務(wù)器上��,然后按需要移到另一物理服務(wù)器���。另外����,多個資源實(shí)例可駐留在一個服務(wù)平臺150上����,例如,資源實(shí)例120B和120C被示出為駐留在服務(wù)平臺150B上����。在不同的實(shí)施方案中�����,可使用各種方案來分布具有多個駐地資源實(shí)例120的服務(wù)平臺150B的物理資源(例如����,CPU和網(wǎng)卡)��。在一個實(shí)施方案中�,一些資源可被專門分配給資源實(shí)例,例如��,如果服務(wù)平臺150B具有四個CPU����,那么兩個CPU可被分配給資源實(shí)例120B,而另外兩個可被分配給資源實(shí)例120C��。在另一實(shí)施方案中����,可使用時間片來共享物理資源,例如,所有四個CPU可由任一資源實(shí)例使用���,其中調(diào)度機(jī)制被設(shè)置以決定如何在給定時間片內(nèi)在實(shí)例間分布CPU周期���,這取決于CPU周期的計算要求。在圖1示出的實(shí)施方案中�����,每個服務(wù)平臺150具有一個或多個物理網(wǎng)絡(luò)接口卡(NIC)���,服務(wù)平臺150A具有NIC110A,服務(wù)平臺150B具有NIC110B�����,且服務(wù)平臺150C具有NIC110C和IlOD0流到碰巧駐留在給定服務(wù)平臺150上的資源實(shí)例120并從資源實(shí)例120流出的網(wǎng)絡(luò)流量流經(jīng)服務(wù)平臺中的一個或多個NIC110��。在一些實(shí)施方式中�����,單個資源實(shí)例120可跨越多個硬件服務(wù)平臺150��,在這種情況下,可使用可在多個服務(wù)平臺150中任何服務(wù)平臺150上獲得的任何NICI10在一個實(shí)施方案中��,資源實(shí)例120可包括非虛擬化服務(wù)器���,S卩���,可使用在裸硬件服務(wù)平臺150上運(yùn)行的傳統(tǒng)操作系統(tǒng)而不是使用管理程序軟件來實(shí)施資源實(shí)例。
[0024]在示出的實(shí)施方案中��,系統(tǒng)100可包括網(wǎng)絡(luò)接口虛擬化協(xié)調(diào)器(NIVC) 180����,網(wǎng)絡(luò)接口虛擬化協(xié)調(diào)器(NIVC) 180可操作以向網(wǎng)絡(luò)接口提供一組虛擬化服務(wù)??蛻舳?48可提交各種類型的請求153,包括創(chuàng)建接口記錄170��、將接口記錄附加到資源實(shí)例120����、使接口記錄分離、修改接口記錄�����、查詢接口記錄等的請求;下文進(jìn)一步詳細(xì)描述這些類型的操作中的每一個���。響應(yīng)于給定請求153�����,NIVC180可執(zhí)行可影響服務(wù)平臺150上的接口記錄170和資源實(shí)例120的各種操作�,所述操作如由標(biāo)注為157A�、157B、157C和157D的箭頭所指示���。例如,NIVC180可響應(yīng)于來自客戶端148的創(chuàng)建請求而產(chǎn)生接口記錄(例如��,170A和170B)�����,所述接口記錄可各自含有一組網(wǎng)絡(luò)相關(guān)屬性�,所述屬性可按需與各種資源實(shí)例120相關(guān)和不相關(guān)。接口記錄170可在一組存儲器內(nèi)數(shù)據(jù)結(jié)構(gòu)中產(chǎn)生����,且在一些實(shí)施方式中可被存儲在存儲庫185中,例如持久性存儲上的數(shù)據(jù)庫。使用TCP/IP協(xié)議的網(wǎng)絡(luò)的接口記錄例如可包括下文進(jìn)一步詳細(xì)描述的一個或多個IP地址�、含有所述一個或多個IP地址的子網(wǎng)的一個或多個子網(wǎng)標(biāo)識符,和一組安全屬性����。在一些實(shí)施方式中,接口記錄170也可包括一個或多個其它字段��,例如各種狀態(tài)字段��、源地址和目的地址檢查設(shè)置����、結(jié)算相關(guān)信息、目前相關(guān)資源實(shí)例120的識別�、目前與接口記錄相關(guān)的物理網(wǎng)絡(luò)接口卡110的媒體訪問控制(MAC)地址等。使用TCP/IP之外的網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)的接口記錄可包括適于所使用的協(xié)議的網(wǎng)絡(luò)地址相關(guān)信息���。
[0025]在一些實(shí)施方案中��,NIVC180可被配置以根據(jù)接口記錄170中指定的網(wǎng)絡(luò)和安全屬性來執(zhí)行“附加”操作���,以使接口記錄170與資源實(shí)例120動態(tài)相關(guān),借此使得流量能夠流到資源實(shí)例120并從資源實(shí)例120流出�。例如�,在一個實(shí)施方式中����,響應(yīng)于從客戶端148接收的附加請求153,NIVC180可執(zhí)行以下操作中的一些或所有操作:(a)基于指定接口記錄170和/或其它地方中存儲的安全信息���,驗(yàn)證客戶端被授權(quán)以請求將接口記錄附加到指定資源實(shí)例120 ;(b)核實(shí)接口記錄的網(wǎng)絡(luò)信息(一個或多個IP地址���、子網(wǎng)標(biāo)識符等)適于激活到指定資源實(shí)例120或來自指定資源實(shí)例120的網(wǎng)絡(luò)流量(例如,NIVC180可檢查IP地址是否已用于另一實(shí)例而因此不可用)����;(c)確保物理NICllO可操作且可用于在資源實(shí)例120目前所駐留的服務(wù)平臺150上供資源實(shí)例120使用;(d)例如在服務(wù)平臺150上和在適當(dāng)?shù)穆酚善?�、網(wǎng)關(guān)和供應(yīng)商網(wǎng)絡(luò)的其它網(wǎng)絡(luò)設(shè)備上運(yùn)行的管理程序或操作系統(tǒng)軟件中��,啟動或進(jìn)行必需的配置變化�����,以允許特定的資源實(shí)例120開始從接口記錄中指定的一個或多個IP地址發(fā)送流量并在所述一個或多個IP地址處接收流量���;和(e)改變接口記錄170和/或存儲庫185以反映所執(zhí)行的附加操作�����。在一些實(shí)施方式中��,作為配置變化的部分�,例如路由表?xiàng)l目的新的或修改的路由信息可被傳播到一組路由器�、網(wǎng)關(guān)等。在一個實(shí)施方案中����,NIVC180可確保只要每個資源實(shí)例120被激活或發(fā)出,所述資源實(shí)例就附加有至少一個接口記錄170����。
[0026]在一些實(shí)施方案中,NIVC180也可操作以使接口記錄170與其目前被附加到的資源實(shí)例120“分離”或不相關(guān)�。在此類實(shí)施方案中,響應(yīng)于來自客戶端148的分離請求153�,NIVC180可防止定向到或來自接口記錄170中指定的一個或多個IP地址的另外的流量流到資源實(shí)例或從資源實(shí)例流出。為了這樣做����,NIVC180可執(zhí)行以下操作中的一些或所有操作:(a)基于指定接口記錄170和/或其它地方中存儲的安全信息,驗(yàn)證客戶端被授權(quán)以請求附加來自指定資源實(shí)例120的接口記錄�;(b)例如在服務(wù)平臺150上和在適當(dāng)?shù)穆酚善?���、網(wǎng)關(guān)和其它網(wǎng)絡(luò)設(shè)備上運(yùn)行的管理程序或操作系統(tǒng)軟件中����,啟動或進(jìn)行必需的配置變化,以防止與接口記錄170的IP地址相關(guān)的網(wǎng)絡(luò)流量流到指定資源實(shí)例120或從指定資源實(shí)例120流出����;和(c)改變接口記錄170和/或存儲庫185以反映所執(zhí)行的附加操作。
[0027]在一些實(shí)施方案中�����,NIVC180然后可應(yīng)客戶端的請求將之前被附加到特定資源實(shí)例120然后從所述資源實(shí)例120分離的接口記錄170附加到任何期望的資源實(shí)例(與其之前被附加到的資源實(shí)例不同或相同的資源實(shí)例)����。在此類實(shí)施方案中,所述IP地址可首先在一個“附加期間”使用��,以通過特定NICl IOA在一個資源實(shí)例120A上發(fā)送并接收流量���,然后在后續(xù)“附加期間”,可能通過不同的NIC110B和/或在不同的服務(wù)平臺150上在不同的資源實(shí)例120B上發(fā)送并接收流量����。除了允許客戶端在不同時間將給定IP地址映射到不同的資源實(shí)例120���,NIVC180也可允許客戶端再使用與接口記錄170相關(guān)的一些或所有安全設(shè)置,因此大幅降低進(jìn)行網(wǎng)絡(luò)配置變化所需的努力和復(fù)雜性��。在許多實(shí)施方案中��,多個接口記錄170可被附加到單個資源實(shí)例120�����,因此允許多個IP地址用于相同的資源實(shí)例�。在一些實(shí)施方式中,單個接口記錄170可被同時附加到多個資源實(shí)例120:例如�����,NIVC180可能能夠?qū)⒍ㄏ虻浇涌谟涗?70中指定的單個IP地址的流量分布或負(fù)載均衡在兩個或多個資源實(shí)例120上�。在各種實(shí)施方案中,使用NIVC180的這些能力�����,可實(shí)施IP地址�����、子網(wǎng)和網(wǎng)絡(luò)安全設(shè)置到資源實(shí)例120的高靈活映射。
[0028]接口記錄的示例性構(gòu)成要素
[0029]圖2示出根據(jù)至少一些實(shí)施方案的接口記錄170的構(gòu)成要素的實(shí)例��。在一些實(shí)施方式中���,僅可實(shí)施圖2示出的元素或字段的子集����,且并非所有實(shí)施的字段可能都必須被填充(即�,一些字段可能會留空白或空)。當(dāng)創(chuàng)建接口記錄170時����,可為其創(chuàng)建新的接口標(biāo)識符201。在一些實(shí)施方式中��,描述字段202可由請求接口記錄創(chuàng)建的客戶端148填充���,例如�,“新聞網(wǎng)站接口 I ”���。在一些實(shí)施方案中���,其中將使用接口記錄的供應(yīng)商網(wǎng)絡(luò)可包括多個邏輯分區(qū),且在所述情況下���,接口記錄170可包含邏輯分區(qū)標(biāo)識符203�����。例如�,供應(yīng)商網(wǎng)絡(luò)的操作員可通過留出一組服務(wù)平臺150����、一組網(wǎng)絡(luò)地址范圍、其它設(shè)備或資源���,和網(wǎng)絡(luò)管理能力供客戶專用來為特定客戶建立邏輯分區(qū)�,從而有效地向客戶提供其自己隔離和專用的數(shù)據(jù)中心��,雖然客戶使用的設(shè)備可實(shí)際上位于其它客戶共享的設(shè)施上�。在一些實(shí)施方案中,邏輯分區(qū)可包括地理分布的資源���,從而準(zhǔn)予客戶具有訪問資源的虛擬專用“云”的益處�。在一些情況下,接口記錄170可包括區(qū)標(biāo)識符204�,區(qū)標(biāo)識符204例如可指示數(shù)據(jù)中心的地理區(qū)域或集合,所述數(shù)據(jù)中心的服務(wù)平臺150可用于附加到接口記錄170�。
[0030]在不同實(shí)施方案中,可在接口記錄170中包括若干類型的網(wǎng)絡(luò)尋址相關(guān)字段中的任何字段�����。在一些實(shí)施方案中�����,可為接口記錄指定一個或多個專用IP地址205 ;這些IP地址可內(nèi)部用于在供應(yīng)商網(wǎng)絡(luò)中路由�����,且可能不可從供應(yīng)商網(wǎng)絡(luò)外部直接訪問��。在一些實(shí)施方案中��,也可包括一個或多個公共IP地址215 ;這些IP地址例如可能在供應(yīng)商網(wǎng)絡(luò)外部對于公共互聯(lián)網(wǎng)或供應(yīng)商網(wǎng)絡(luò)的對等網(wǎng)絡(luò)的各種路由器可見�。在各種實(shí)施方案中,各種設(shè)備或組件(包括例如NIVC180的組件)可如所需地實(shí)施任何期望的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)以在公共IP地址215和專用IP地址205之間轉(zhuǎn)換�??稍诮涌谟涗泝?nèi)包括一個或多個子網(wǎng)標(biāo)識符225��。
[0031]如本文廣泛使用的術(shù)語子網(wǎng)是網(wǎng)絡(luò)的邏輯可見細(xì)分����。在IP網(wǎng)絡(luò)的情況下��,屬于子網(wǎng)的邏輯或物理設(shè)備的集合可用其IP地址中最常見���、相同���、最重要的位組來尋址。這使得IP地址邏輯分區(qū)為兩個字段:網(wǎng)絡(luò)或路由前綴和“剩余”字段�。剩余字段可充當(dāng)邏輯或物理設(shè)備的特定標(biāo)識符。路由前綴可用無類別域間路由(CIDR)表示法來表示��,其可寫為網(wǎng)絡(luò)的第一地址加上前綴的比特長度���,用斜線(/)字符隔開�。例如���,10.1.1.0/24是始于地址 10.1.1.0的互聯(lián)網(wǎng)協(xié)議版本4網(wǎng)絡(luò)的前綴����,,所述網(wǎng)絡(luò)前綴分配有24個比特��,而剩余的8個比特被保留用于設(shè)備識別��。在IPv4中����,路由前綴也可用子網(wǎng)掩碼的形式指定,所述子網(wǎng)掩碼用如地址的四點(diǎn)分十進(jìn)制表示法來表示��。例如��,255.255.255.0是10.1.1.0/24前綴的網(wǎng)絡(luò)掩碼����。略有不同的表示法可用于IP版本6網(wǎng)絡(luò)且用于使用TCP/IP協(xié)議族以外的協(xié)議的網(wǎng)絡(luò)。由于各種原因而通?��?墒褂米泳W(wǎng)����,例如以在不同的網(wǎng)絡(luò)可尋址設(shè)備集合之間提供邏輯隔離���,以便為了更便于管理而將邏輯分區(qū)的資源(例如虛擬專用云)安排為層次結(jié)構(gòu)�。在一些實(shí)施方式中,接口記錄170中包括的子網(wǎng)標(biāo)識符225可包括字符串��,所述字符串又可包括或編碼子網(wǎng)的CIDR表示法例如�����,“子網(wǎng)-df543fda-10.1.1.0/24”����。在一個實(shí)施方案中��,也可在接口記錄170中包括域名服務(wù)器(DNS)的識別���。
[0032]在一些實(shí)施方案中���,接口記錄170可包括安全相關(guān)屬性235。一些供應(yīng)商網(wǎng)絡(luò)可允許用戶為接口記錄170可被附加到的資源實(shí)例120處允許的傳入和/或傳出流量類型指定規(guī)則��,例如包括防火墻相關(guān)的規(guī)則����;所述規(guī)則可被稱為“安全組”且通過安全組字段245識另IJ�����。各種端口和協(xié)議限制可使用所述規(guī)則來強(qiáng)制執(zhí)行����,且多個規(guī)則可與所述接口記錄相關(guān)��。例如����,用戶可使用安全組來確保只允許HTTP和HTTP傳出或傳入流量,將TCP或UDP(用戶數(shù)據(jù)報協(xié)議)端口的集合限于允許流量的范圍��,根據(jù)各種策略過濾傳入和傳出流量等��。在一些實(shí)施方式中��,可指定附加列表247����,從而指示允許哪些用戶或?qū)嶓w請求將接口記錄170附加到資源實(shí)例120。在一些情況下�����,單獨(dú)的分離列表可用以指定哪些實(shí)體可分離接口記錄170,而在其它情況下�����,例如附加列表247的單個列表可用以識別授權(quán)的附加和分離�����。在一些實(shí)施方案中��,IP地址設(shè)置器列表249中可提供被允許以設(shè)置或修改接口記錄170的IP地址(例如��,公共IP地址215和/或?qū)S肐P地址205)的用戶或?qū)嶓w集合�,而所有者/變址字段253中可指定具有接口記錄170的用戶或?qū)嶓w集合(或可修改其各種其它字段)���。例如����,在一些實(shí)施方式中�����,可允許字段253中識別的所有者/變址來改變附加列表247或IP地址設(shè)置器列表���,因此改變被允許附加或分離接口記錄或修改其IP地址的實(shí)體集合��。雖然術(shù)語“列表”已用于字段247�����、249和253����,但是在各種實(shí)施方案中,列表之外的邏輯數(shù)據(jù)結(jié)構(gòu)(例如���,數(shù)組���、哈希表、集合等)可用以表示被給予各種安全權(quán)限�、角色和/或功能的實(shí)體組。
[0033]在一些實(shí)施方案中�,可允許用戶“終止”資源實(shí)例120。例如��,客戶端148可設(shè)置虛擬計算服務(wù)器資源實(shí)例120�,將接口記錄170附加到實(shí)例,在實(shí)例上運(yùn)行所需的計算集合,然后當(dāng)所需的計算完成(因此指示不再需要資源實(shí)例120)時發(fā)出請求以終止實(shí)例���。在此類實(shí)施方案中�,“DeleteOnTerminate”設(shè)置251可用以指定當(dāng)資源實(shí)例120被終止時附加的接口記錄170發(fā)生了什么事情�����。如果DeleteOnTerminate被設(shè)置為附加到資源實(shí)例120的接口記錄170終止“真”���,那么NIVC180可刪除接口記錄170 (例如�,記錄可從存儲庫185刪除)����。如果DeleteOnTerminate被設(shè)置為“假”,那么NIVC180可保留接口記錄170�,例如使得它可再次被附加到某個其它資源實(shí)例。在一個實(shí)施方案中���,當(dāng)接口記錄170被附加到資源實(shí)例120時,可創(chuàng)建與接口記錄分開的附加記錄以代表所述關(guān)系,且DeleteOnTerminate屬性可作為與接口記錄相關(guān)的替代或補(bǔ)充而與附加記錄相關(guān)。在此類實(shí)施方案中����,接口記錄170可包括目前涉及接口記錄的附加中每一個的一個或多個附加記錄的引用或指針,且可為每個附加記錄設(shè)置“DeleteOnTerminate”的不同值����。在所述環(huán)境中���,碰巧未附加到任何資源實(shí)例120的實(shí)例記錄170只要其保持未附加就可能不具有與其相關(guān)的“DeleteOnTerminate”屬性。通過這樣保持接口記錄與資源實(shí)例無關(guān)�,可減少客戶端248的每次激活新的實(shí)例時設(shè)置各種安全相關(guān)和其它屬性的開銷。
[0034]在一個實(shí)施方案中�����,接口記錄170可包含路由相關(guān)信息����,例如是否要對被傳輸?shù)劫Y源實(shí)例120的網(wǎng)絡(luò)數(shù)據(jù)包執(zhí)行源和/或目的檢查的指示265,接口記錄170被附加到資源實(shí)例120�����。在一些實(shí)施方案中���,如果源/目的檢查設(shè)置被設(shè)置為“假”或“關(guān)閉”����,那么可基于數(shù)據(jù)包的源和目的IP地址來進(jìn)行路由決定,例如�����,數(shù)據(jù)包可被從一個子網(wǎng)轉(zhuǎn)發(fā)到另一個�����;而如果設(shè)置是“真”或“打開”�,那么資源實(shí)例可能不執(zhí)行路由。因此�,在一些實(shí)施方案中,源/目的字段265可用以控制接口記錄所附加到的資源實(shí)例是否對并非最終目的地的數(shù)據(jù)包執(zhí)行路由或網(wǎng)關(guān)功能��,或所述資源實(shí)例是否忽略所述數(shù)據(jù)包����。在其它實(shí)施方案中,接口記錄170中可另外或替代地包括例如路由表?xiàng)l目的其它類型的路由相關(guān)信息�。在一些實(shí)施方式中,可包括結(jié)算相關(guān)信息267�,從而例如識別將要支付與接口記錄170相關(guān)的網(wǎng)絡(luò)流量的實(shí)體或用戶。在一些實(shí)施方式中����,客戶可至少部分地基于他們創(chuàng)建的實(shí)例記錄170的數(shù)量來支付,而不管有多少實(shí)例記錄被附加到資源實(shí)例�;在其它實(shí)施方式中,結(jié)算可包括經(jīng)常性支出(例如�,基于實(shí)例記錄的數(shù)量和/或附加的實(shí)例記錄的數(shù)量)和非經(jīng)常性支出(例如,基于流量測量)����。
[0035]接口狀態(tài)字段268可用以指示接口記錄170的當(dāng)前狀態(tài),例如�����,接口記錄是“可用”�����、“禁用”�����,還是“修復(fù)中”����。類似地,在一些實(shí)施方案中���,附加狀態(tài)字段269可用以指示接口記錄170目前被附加���、被分離還是在被附加或被分離過程中�����。在一個實(shí)施方式中�����,如上所述����,在執(zhí)行對應(yīng)附加操作時����,可創(chuàng)建附加記錄(與接口記錄170分開),且目前附加接口記錄170的一個或多個標(biāo)識符可被存儲在附加id字段271中����。在一些實(shí)施方案中,接口記錄170目前被附加到的一個或多個資源實(shí)例120的標(biāo)識符可存儲在所附加的實(shí)例字段273中�,且請求附加的用戶或?qū)嶓w可通過附加所有者字段275來識別。在一個實(shí)施方案中�����,目前可用于定向到接口記錄170的IP地址或從所述IP地址定向的流量的一個或多個NICllO的標(biāo)識符的列表可例如以MAC地址字段277的形式來保存��。在一些實(shí)施方式中�����,也可用接口記錄保留監(jiān)測信息279�,例如,關(guān)于流到接口記錄的IP地址或從所述IP地址流出的流量的量的統(tǒng)計��。在各種實(shí)施方案中��,接口記錄170中可包括圖2中未示出的其它字段�。在一些實(shí)施方案中,客戶端可使標(biāo)簽(例如��,根據(jù)VLAN標(biāo)準(zhǔn)(例如���,802.1Q標(biāo)準(zhǔn))格式化的虛擬局域網(wǎng)(VLAN)標(biāo)簽)與接口記錄170相關(guān)以實(shí)施網(wǎng)絡(luò)隔離����。在此類實(shí)施方案中����,此類標(biāo)簽也可存儲在接口記錄170中或引用自接口記錄170���。
[0036]在一個實(shí)施方案中,圖2中示出的字段中的一些字段可用其它對象的引用或指針來代替�����。例如��,接口記錄170的安全信息可存儲在不同的安全對象中�����,且接口記錄170可存儲安全對象的引用���。類似地����,在一些實(shí)施方式中�,將資源實(shí)例120附加到接口記錄170的每個附加可由附加對象表示,且接口記錄可指向或代表合適的附加對象�。
[0037]附加、分離和實(shí)例化移動操作[0038]圖3-7示出在各種實(shí)施方案中NIVC180支持的若干類型的操作的實(shí)例���。圖3示出根據(jù)一些實(shí)施方案的其中接口記錄170被附加到資源實(shí)例120的操作���。附加請求301可被客戶端148發(fā)送到NIVC180����,從而識別接口記錄170A和接口記錄將被附加到的資源實(shí)例120A�����。在圖3中����,請求301的表不法“++”(如在“ 170A++120A”中)指不請求是附加請求���。在接收到請求之后��,NIVC180可核實(shí)請求的客戶端被授權(quán)以請求附加且接口記錄中的尋址和其它信息有效��,然后根據(jù)接口記錄170A中指定的細(xì)節(jié)來啟動必需的配置變化以使得流量能夠流到資源實(shí)例120A并從資源實(shí)例120A流出����。在圖3中��,NIVC180響應(yīng)于附加請求301而執(zhí)行的操作由標(biāo)注為311的箭頭和附加指示符321來指示。如前文所述�,例如,若干配置變化可能必須在資源實(shí)例120A駐留的平臺150A的管理程序或操作系統(tǒng)上且在例如所使用的供應(yīng)商網(wǎng)絡(luò)的路由器和網(wǎng)關(guān)的各種網(wǎng)絡(luò)設(shè)備上進(jìn)行和/或傳播���。在一些實(shí)施方案中���,接口記錄170A自身可例如通過改變各種構(gòu)成要素的值來修改,所述構(gòu)成要素例如接口狀態(tài)268��、附加狀態(tài)269����、附加ID271、附加到的實(shí)例273�、附加所有者275和/或MAC地址字段277。在示出的實(shí)例中����,接口記錄的MAC地址字段277可被設(shè)置為NICllO的MAC地址,即如NIC周圍的虛線示出的資源實(shí)例120A可用的NIC�����。
[0039]在一個實(shí)施方案中,接口記錄170可在資源實(shí)例的生命周期的不同階段被附加到資源實(shí)例120���。例如�,當(dāng)特定接口記錄被附加到資源實(shí)例120時���,資源實(shí)例120可在啟動之后處于運(yùn)行狀態(tài)(且可能已經(jīng)服務(wù)于在其已附加到的另一接口記錄的IP地址接收的請求)����。在一些實(shí)施方案中�����,即使資源實(shí)例120目前未啟動或運(yùn)行(例如�����,當(dāng)資源實(shí)例被停止或暫?���;蛘咴诩せ钸^程中時)�����,NIVC180也可允許接口記錄170被附加到資源實(shí)例120。在這種情況下�,例如,網(wǎng)絡(luò)接口記錄可在資源實(shí)例被激活或啟動之前�����,甚至在選擇其將被發(fā)到的服務(wù)平臺150之前被附加到資源實(shí)例�。如果在請求附加操作時不能得到充足的信息,例如如果將要使用的一個或多個NIC的MAC地址尚不清楚�����,那么NIVC180可將接口記錄170A的字段中的一些留為空白或空�����,直到可獲得那些值為止�����。在一些實(shí)施方案中����,NIVC180可產(chǎn)生和/或存儲每個附加的記錄或數(shù)據(jù)結(jié)構(gòu),例如��,具有相關(guān)附加標(biāo)識符的對象可被存儲在存儲庫185或某個其它數(shù)據(jù)庫中,從而識別資源實(shí)例120A����、接口記錄170A,和關(guān)于附加的其它信息�����,例如啟動或完成附加操作的時間�����。在一些實(shí)施方案中���,給定客戶端148可具有可用于客戶端的資源實(shí)例120的接口記錄170的集合或池,且客戶端可簡單地請求NIVC180從接口記錄的池選擇可用的接口記錄170以附加到指定的資源實(shí)例120��。
[0040]在一些實(shí)施方案中��,用于附加到接口記錄170的資源實(shí)例120的IP地址可在附加操作完成之后修改�����。例如�,如果識別為被授權(quán)以改變例如公共IP地址215或?qū)S肐P地址205的IP地址的用戶或?qū)嶓w將IP地址修改請求發(fā)送到NIVC180,那么NIVC可進(jìn)行使請求的變化有效的所必需的配置變化。例如���,在接收到接口記錄170的IP地址修改請求之后���,NIVC可首先確定哪些資源實(shí)例120 (如果有的話)目前被附加到接口記錄170,然后使得定向到改變的IP地址的流量能夠到達(dá)這些資源實(shí)例�����,并自身在接口記錄170中進(jìn)行所需變化����。在一個實(shí)施方案中,與接口記錄170相關(guān)的IP地址中的一個或多個(例如���,公共IP地址215或?qū)S肐P地址205)可由NIVC180代表來自分配給客戶端的IP地址集合的客戶端來選擇�����。
[0041]圖4示出根據(jù)一些實(shí)施方案的其中接口記錄170被從資源實(shí)例120分離的操作��。分離請求401可被客戶端148發(fā)送到NIVC180��,從而識別接口記錄170A和接口記錄從其分離的資源實(shí)例120A�����。在圖3中���,請求401的表示法“一”(如在“170A—120A”中)指示請求是分離請求�����。在一些實(shí)施方式中�����,在接收到請求之后��,NIVC180可首先核實(shí)指定的接口記錄170A目前實(shí)際附加到資源實(shí)例120A�����。如果接口記錄170A沒有附加到資源實(shí)例120A���,那么NIVC180可將錯誤信息發(fā)送回請求的客戶端148��,或在一些實(shí)施方式中���,簡單地記錄和/或忽略請求����。如果接口記錄170A被附加到資源實(shí)例120A,那么NIVC180可檢查請求的客戶端被授權(quán)以請求分離�����,然后根據(jù)接口記錄170A中指定的細(xì)節(jié)來啟動必需的配置變化以使得流量不能流到資源實(shí)例120A或從資源實(shí)例120A流出���。NIVC180響應(yīng)于分離請求301而執(zhí)行的操作在圖4中由標(biāo)注為411的箭頭和附加指示符321上的“X”來指示����。分離配置變化可實(shí)際上簡單地撤消之前所述的附加配置變化�����。在一些實(shí)施方案中���,接口記錄170A自身可例如通過改變各種構(gòu)成要素的值來修改����,所述構(gòu)成要素例如接口狀態(tài)268�、附加狀態(tài)269�、附加ID271���、附加到的實(shí)例273��、附加所有者275和/或MAC地址字段277���。在示出的實(shí)例中,接口記錄的MAC地址字段277可在分離之后被設(shè)置為空�����。
[0042]在一些實(shí)施方案中�,分離請求401可能沒有明確地識別將要被分離的接口記錄170A,相反,請求的客戶端可簡單地指示任何附加的接口記錄170A應(yīng)被從指定的資源實(shí)例120分離。在這種情況下��,NIVC180可能可操作以首先例如通過在存儲庫185中查閱信息來發(fā)現(xiàn)哪些接口記錄170應(yīng)從指定的資源實(shí)例120分離�,然后啟動分離操作。當(dāng)資源實(shí)例被關(guān)閉��、禁用�����、終止或丟棄時��,例如可產(chǎn)生所述請求(分離所有附加的接口記錄170)��。在一些實(shí)施方式中����,如果針對接口記錄170和附加的資源實(shí)例120正被終止而將“DeleteOnTerminate”字段被設(shè)置為真的,那么接口記錄自身可被從存儲庫185刪除��;否貝U��,如果“DeleteOnTerminate”被設(shè)置為假����,那么接口記錄可與其屬性一起保留在存儲庫中,供日后可能重新使用�����。如上文所述,在一些實(shí)施方案中�����,“DeleteOnTerminate”屬性可與接口記錄可引用的附加記錄相關(guān)��,而非與接口記錄自身相關(guān)�����。在一些實(shí)施方式中,分離請求401可能不必指示資源實(shí)例120A�����,而可僅指示指定的接口記錄170A應(yīng)從它碰巧被附加到的任何資源實(shí)例120 (如果有的話)分離����。
[0043]圖5示出根據(jù)一些實(shí)施方案的其中之前被附加到一個資源實(shí)例120A然后與之分離的接口記錄170A被附加到不同的資源實(shí)例120C的操作。附加請求501可被客戶端148發(fā)送到NIVC180�,從而識別接口記錄170A和接口記錄將被附加到的資源實(shí)例120C。在圖5中����,如在圖3中,表示法“++” (如在“170A++120C”中)指示請求是附加請求��。在接收到請求之后���,NIVC180可執(zhí)行類似于上文結(jié)合圖3的描述所述的功能的功能�����,這次將接口記錄170C附加到資源實(shí)例120C�����,資源實(shí)例120C位于與之前所附加的實(shí)例120A不同的服務(wù)平臺(150B)�����,并使用不同的NIC(如圖5中虛線所指示的NIC110B)�。NIVC180響應(yīng)于附加請求501而執(zhí)行的操作在圖5中由標(biāo)注為511的箭頭和附加指示符521來指示��。使用可被動態(tài)附加到不同資源實(shí)例120(且可動態(tài)改變所使用的NIC110)的接口記錄170允許NIVC180向客戶端148提供用于其應(yīng)用程序的網(wǎng)絡(luò)架構(gòu)的顯著靈活性����,和跨業(yè)務(wù)邊界合作的機(jī)會,如下文將在用例部分描述���。例如����,在一個環(huán)境中�����,資源實(shí)例120可被設(shè)置以處理來自客戶的特定應(yīng)用程序的網(wǎng)頁服務(wù)請求。在所述環(huán)境中����,簡單地通過將接口記錄170A從如圖4中示出的一個資源實(shí)例120A分離,然后將接口記錄附加到不同的資源實(shí)例120C��,同時保持接口記錄170A的IP地址不變����,之前被在資源實(shí)例120A處理的傳入網(wǎng)頁服務(wù)請求的工作量現(xiàn)在可在資源實(shí)例120C上處理。這樣可允許客戶端148提供增強(qiáng)的可用性(例如�����,如果資源實(shí)例120A遇到停電或故障)���,或用于部署網(wǎng)頁服務(wù)應(yīng)用程序的增強(qiáng)版的易于使用的機(jī)制(例如���,如果資源實(shí)例120C具有增強(qiáng)版)。
[0044]在一些實(shí)施方案中����,NIVC180可允許多個接口記錄170被附加到相同的資源實(shí)例120。圖6是一個此類實(shí)施方案的說明����,其中第二接口記錄170B被附加到資源實(shí)例120C�,資源實(shí)例120C已附加有接口記錄170A����。響應(yīng)于附加請求601,NIVC180可執(zhí)行類似于針對圖3的附加請求301所述的操作的操作����,使得去往和來自資源實(shí)例120C的網(wǎng)絡(luò)流量最終根據(jù)接口記錄170A和170B的屬性流動����。NIVC180響應(yīng)于附加請求601而執(zhí)行的操作在圖6中由標(biāo)注為611的箭頭和另外的附加指示符621來指示。在圖6示出的實(shí)例中����,單個NIC110B被用以處理附加的接口記錄170A和170B的流量。在一些實(shí)施方案中�,接口記錄170和物理NICl 10之間的映射可為靈活的:即,流經(jīng)給定NICl 10的流量可對應(yīng)于任何數(shù)量的接口記錄170��,且給定接口記錄170的流量可流經(jīng)多個物理NIC110��。
[0045]在一些實(shí)施方式中�����,資源實(shí)例120可通過服務(wù)平臺150傳送,同時保留其附加的接口記錄170和對應(yīng)的網(wǎng)絡(luò)相關(guān)屬性中的至少一些屬性����。圖7示出根據(jù)至少一些實(shí)施方案的其中具有附加的接口記錄170A的資源實(shí)例120A(如之前在圖3示出)被從一個服務(wù)平臺150A移到資源實(shí)例150C的操作。在圖7中����,客戶端148將“移動實(shí)例”請求701發(fā)送到系統(tǒng)100的實(shí)例管理器780,從而指示目前為止位于服務(wù)平臺150A上的資源實(shí)例120A現(xiàn)在應(yīng)位于服務(wù)平臺150C上�����。請求701的表示法“一”(如在“120A — 150C”中)指示請求是移動請求���。在接收到請求之后��,實(shí)例管理器780和NIVC180可執(zhí)行實(shí)施請求的移動所需的任務(wù)����。例如�,移動請求701可被驗(yàn)證以確保請求者有正確的權(quán)限,資源實(shí)例120A然后可被暫?�;虮粠霑簳r排隊(duì)傳入請求的狀態(tài)。資源實(shí)例120A然后可被發(fā)到服務(wù)平臺150C上或在服務(wù)平臺150C示例性�,然后可啟動使定向到附加接口 170A的IP地址的流量流經(jīng)服務(wù)平臺150C上一個或多個合適的NICllO所需的配置變化。在圖7示出的實(shí)例中�,去往和來自資源實(shí)例120A的流量在實(shí)例移動之后被路由通過NIC110C(在一些實(shí)施方案中,接口記錄170A的MAC地址字段可被修改以反映這個情況)����。這樣,可使資源實(shí)例的網(wǎng)絡(luò)屬性(即���,其附加的接口記錄的網(wǎng)絡(luò)屬性)實(shí)質(zhì)上獨(dú)立于所使用的實(shí)際網(wǎng)絡(luò)硬件�。雖然圖8中示出單獨(dú)的實(shí)例管理器780�����,但是在一些實(shí)施方案中��,移動資源實(shí)例的功能可與接口虛擬化功能一起進(jìn)行管理�,即�����,相同的軟件和/或硬件實(shí)體可支持資源實(shí)例管理操作以及接口記錄管理操作�����。
[0046]示例件用例
[0047]上述功能示例性的將一個或多個接口記錄170動態(tài)附加到資源實(shí)例120的指定IP地址和子網(wǎng)并與之分離的能力允許客戶輕松設(shè)置若干不同有用類型的網(wǎng)絡(luò)配置。圖8a_8d提供根據(jù)一些實(shí)施方案的若干所述可實(shí)現(xiàn)的示例性網(wǎng)絡(luò)配置的說明�����。
[0048]圖8a_8d中示出的網(wǎng)絡(luò)配置示出了可包含資源實(shí)例120的供應(yīng)商網(wǎng)絡(luò)的3個不同的組織或?qū)蛹?邏輯分區(qū)級���,子網(wǎng)級和接口記錄級��。所述供應(yīng)商網(wǎng)絡(luò)的操作員可允許給定客戶(例如���,希望使用供應(yīng)商網(wǎng)絡(luò)支持的虛擬計算和/或虛擬存儲服務(wù)的企業(yè)或組織)設(shè)置專供所述客戶使用的一個或多個邏輯分區(qū)。邏輯分區(qū)例如可包括相對大的服務(wù)平臺150的集合和相對大數(shù)量的可用于各種資源實(shí)例120的IP地址�����,資源實(shí)例120可被發(fā)到如客戶所需的這些服務(wù)平臺上��,且可向客戶提供所述資源集合的網(wǎng)絡(luò)管理能力����。在一些實(shí)施方案中,例如���,邏輯分區(qū)的IP地址的集合可被以CIDR表示法指定為“/16”±夾�����,例如“10.1.0.0/16”�����,其指示多達(dá)65�����,536個IP地址可用于所述邏輯分區(qū)�。在一些實(shí)施方案中,邏輯分區(qū)可被稱為“虛擬專用云”��。在一些實(shí)施方式中����,邏輯分區(qū)可設(shè)置有一個或多個網(wǎng)關(guān)����,例如互聯(lián)網(wǎng)網(wǎng)關(guān)或虛擬專用網(wǎng)絡(luò)(VPN)網(wǎng)關(guān)。另外�,在一些實(shí)施方式中�����,可為每個邏輯分區(qū)設(shè)置默認(rèn)DNS服務(wù)器�,且當(dāng)設(shè)置邏輯分區(qū)時也可設(shè)置一個或多個子網(wǎng)和路由表?xiàng)l目���。例如�����,在一個實(shí)施方式中�,當(dāng)客戶請求設(shè)置具有“/16”塊的邏輯分區(qū)時�����,可請求客戶指定也可被設(shè)置在邏輯分區(qū)中的至少一個“/24”子網(wǎng)的CIDR規(guī)范���。例如“10.1.1.0/24”的“/24”子網(wǎng)包括256個IP地址���。在一些實(shí)施方案中,代表其設(shè)置邏輯分區(qū)的客戶可被允許以執(zhí)行所需的各種網(wǎng)絡(luò)管理任務(wù)���,例如設(shè)置各種大小的子網(wǎng)���,和如所需地創(chuàng)建�、附加并分離接口記錄170�����。不同的邏輯分區(qū)和子網(wǎng)可被設(shè)置以實(shí)現(xiàn)各種程度的邏輯隔離:例如�,客戶可能希望將軟件開發(fā)構(gòu)建相關(guān)的網(wǎng)絡(luò)流量與企業(yè)電子郵件網(wǎng)絡(luò)流量分離,且可設(shè)置適當(dāng)層次的邏輯分區(qū)和進(jìn)行這種行為的子網(wǎng)����。在一個實(shí)施方案中,CIDR規(guī)范可代表接口記錄170的專用IP地址(例如存儲在圖2示出的字段205中)����,而公共IP地址(存儲在字段215中)可根據(jù)其它策略來選擇。在一些實(shí)施方案中�����,子網(wǎng)(圖2的字段225)和邏輯分區(qū)(字段203)的標(biāo)識符可存儲在接口記錄中���。在一些實(shí)施方案中,接口記錄的一些或所有尋址信息(邏輯分區(qū)標(biāo)識符�、子網(wǎng)標(biāo)識符����、專用和/或公共IP地址)可在創(chuàng)建接口記錄170之后被動態(tài)修改�����。
[0049]用例場景1:單個子網(wǎng)中的多個IP地址
[0050]圖8a示出根據(jù)一個實(shí)施方案的簡單的網(wǎng)絡(luò)配置�����,其中兩個接口記錄170A和170B與子網(wǎng)811A中的單個資源實(shí)例120A相關(guān)��。接口記錄170A被示出為具有示例性IP地址X.X.X.9��,且接口記錄170B被示出為具有示例性IP地址X.x.x.10���。(兩個地址常見的表示法“X.X.X”意指兩個IPV4地址的前三個點(diǎn)分隔的元素在這個情況下相同��,例如兩個地址可為11.2.3.9和11.2.3.10�。)在一些實(shí)施方案中�,通過如所示出地附加多個接口記錄170,如所期望多的不同的IP地址可與相同的資源實(shí)例相關(guān)�����。這可能有用,以例如由IP地址來隔離不同的應(yīng)用程序或應(yīng)用程序?qū)嵗牧髁?���。例如,在一個環(huán)境中��,若干不同的網(wǎng)站可被設(shè)置在單個資源實(shí)例120上�����,每個網(wǎng)站都具有其自己的IP地址�。在另一實(shí)施方案中,客戶可具有服務(wù)于相同的基本內(nèi)容的多個網(wǎng)頁服務(wù)器��,所述基本內(nèi)容被設(shè)置在單個資源實(shí)例120上���,且客戶可能希望將每個網(wǎng)頁服務(wù)器與不同的IP地址相關(guān)���。
[0051]用例場景2:附加到單個邏輯:分區(qū)中的多個子網(wǎng)
[0052]圖8b示出根據(jù)一個實(shí)施方案的其中來自不同子網(wǎng)的兩個接口記錄170A和170C與單個資源實(shí)例120A相關(guān)的配置。接口記錄170A被示出為在子網(wǎng)811A內(nèi)具有示例性IP地址X.X.0.9����,且接口記錄170C被示出為在不同子網(wǎng)811B內(nèi)具有示例性IP地址X.x.1.10���。這種配置可例如適用于其中網(wǎng)絡(luò)管理流量流經(jīng)一個子網(wǎng)811A而應(yīng)用程序數(shù)據(jù)流量流經(jīng)另一子網(wǎng)811B的環(huán)境�,其中每個子網(wǎng)具有不同的安全屬性。在一個所述情況下���,網(wǎng)絡(luò)管理流量的子網(wǎng)811A可具有比用于應(yīng)用程序數(shù)據(jù)的子網(wǎng)811B更嚴(yán)格的安全規(guī)則和訪問控制�。在另一實(shí)例中�,附加到多個子網(wǎng)811的資源實(shí)例120也可被配置以執(zhí)行各種網(wǎng)絡(luò)安全功能。例如���,如果來自第一子網(wǎng)811A的流量必須被通過資源實(shí)例120路由到第二子網(wǎng)811B�����,那么資源實(shí)例可實(shí)施防火墻�、充當(dāng)防病毒網(wǎng)關(guān)����、執(zhí)行入侵檢測和/或其它類型的網(wǎng)絡(luò)流量分析、篩選或監(jiān)測等����。
[0053]在一些實(shí)施方案中�,類似于圖8b示出的配置也可用以動態(tài)并有效地將資源實(shí)例120從一個子網(wǎng)移到另一子網(wǎng)�。例如,客戶可在資源實(shí)例120A上設(shè)置應(yīng)用程序服務(wù)器實(shí)例���,所述應(yīng)用程序服務(wù)器實(shí)例被在專用于軟件開發(fā)環(huán)境的子網(wǎng)811A內(nèi)附加到接口記錄170A�,并在應(yīng)用程序服務(wù)器實(shí)例上部署了更新的應(yīng)用程序版本�。如果客戶希望對更新的版本開始質(zhì)量保證(QA)測試,且QA測試環(huán)境是在與開發(fā)子網(wǎng)811A隔離的子網(wǎng)811B中����,那么可進(jìn)行以下步驟。首先�,來自子網(wǎng)811B的第二接口記錄170C可被附加到資源實(shí)例120A。然后�,接口記錄170A可被從資源實(shí)例120A分離,因此使得測試能夠單獨(dú)在期望的QA子網(wǎng)中進(jìn)行����,而無需在不同的資源實(shí)例上部署更新的應(yīng)用程序版本。類似地���,應(yīng)用程序可易于通過其它開發(fā)生命周期階段過渡來移動��,例如從QA環(huán)境移到生產(chǎn)環(huán)境等�����。
[0054]在一個環(huán)境中���,客戶可能希望將前端網(wǎng)頁服務(wù)器或可從外部網(wǎng)絡(luò)(即,包含資源實(shí)例120的供應(yīng)商網(wǎng)絡(luò)外部的設(shè)備)訪問的其它資源的集合與例如可存儲敏感數(shù)據(jù)的數(shù)據(jù)庫服務(wù)器的后端服務(wù)器的集合隔離�,以防止從外部網(wǎng)絡(luò)對后端服務(wù)器進(jìn)行直接網(wǎng)絡(luò)訪問。在這種情況下���,在一些實(shí)施方案中�����,圖8b的資源實(shí)例120A可使用子網(wǎng)811A的前端流量和子網(wǎng)811B的后端流量����。因此��,網(wǎng)頁服務(wù)的請求可在資源實(shí)例120A上運(yùn)行的網(wǎng)頁服務(wù)器上通過子網(wǎng)811A來接收��,且滿足這些請求所需的對應(yīng)的后端請求可被發(fā)送到子網(wǎng)811B中的后端服務(wù)器����。來自后端服務(wù)器的響應(yīng)可被接收自子網(wǎng)811B���,并通過子網(wǎng)811A傳輸回請求者。
[0055]在一些實(shí)施方式中���,在不同子網(wǎng)中被附加到多個接口記錄170的實(shí)例120也可被用作路由器���。例如,如果在資源實(shí)例上接收的數(shù)據(jù)包具有可通過一個子網(wǎng)從資源實(shí)例獲得的源IP地址和可通過另一子網(wǎng)獲得的目的IP地址��,且設(shè)置了所需的合適配置設(shè)置(例如�����,如果適當(dāng)?shù)卦O(shè)置了路由表?xiàng)l目)���,那么實(shí)例可通過第二子網(wǎng)將數(shù)據(jù)包路由到目的地址���。
[0056]用例場景3:附加到相同客戶的多個邏輯:分區(qū)
[0057]圖Sc示出根據(jù)一個實(shí)施方案的其中來自設(shè)置用于相同客戶(客戶A)的不同邏輯分區(qū)801A和801B的兩個接口記錄170A和170D與單個資源實(shí)例120A相關(guān)的配置。接口記錄170A被示出為在邏輯分區(qū)801A的子網(wǎng)811A內(nèi)具有示例性IP地址10.0.0.9�,且接口記錄170D被示出為在不同的邏輯分區(qū)801B的子網(wǎng)811B內(nèi)具有IP地址172.16.1.10。這種配置可用于若干目的�����。兩個邏輯分區(qū)801A和801B可能已代表客戶A設(shè)置了各種原因中的任何原因,例如以將客戶A的專用內(nèi)部網(wǎng)的流量與定向到客戶A暴露給他們自己的客戶的非軍事區(qū)(DMZ)網(wǎng)絡(luò)的流量隔離��。例如��,在所述環(huán)境中����,圖Sc的資源實(shí)例120A可被配置以執(zhí)行分區(qū)間路由。在一些實(shí)施方案中�����,客戶可能希望具有由可從兩個邏輯分區(qū)中的設(shè)備訪問的資源實(shí)例120A提供的服務(wù)����,所述服務(wù)也可通過使用類似于圖Sc的配置來示例性���。
[0058]當(dāng)然�����,上文用例I和2中討論的NIVC180支持的其它能力中的一些能力也可使用圖8c中示出的配置類型來在邏輯分區(qū)邊界延伸�。例如�����,在各種實(shí)施方案中,可向在兩個不同CIDR/16地址范圍中的給定資源實(shí)例120提供多個IP地址���,資源實(shí)例可在邏輯分區(qū)上移動等�。在一些實(shí)施方案中��,資源實(shí)例120A也可在邏輯分區(qū)801上提供代理服務(wù)�,或可用以實(shí)施在與數(shù)據(jù)網(wǎng)絡(luò)不同的邏輯分區(qū)中的管理網(wǎng)絡(luò)。
[0059]用例場景4:附加到不同客戶的邏輯:分區(qū)
[0060]在一些實(shí)施方案中�,NIVC180可能能夠在設(shè)置用于不同客戶的邏輯分區(qū)上提供若干橋接服務(wù)。圖8d示出根據(jù)一個實(shí)施方案的其中來自設(shè)置用于各自客戶的不同邏輯分區(qū)801A和801B (分區(qū)801A用于客戶A��,且分區(qū)801B用于客戶B)的兩個接口記錄170A和170E與單個資源實(shí)例120A相關(guān)的配置�����。
[0061]圖8d中示出的功能可示例性若干不同的協(xié)作場景�����。在一個實(shí)例中��,客戶A和客戶B可協(xié)作一個項(xiàng)目??蛻鬉可能已在其邏輯分區(qū)801A中資源實(shí)例120A上部署了內(nèi)容服務(wù)器應(yīng)用程序?�?蛻鬊可能希望訪問所述內(nèi)容服務(wù)器應(yīng)用程序���,但是可能沒有一個公司想將這個服務(wù)器暴露于公共互聯(lián)網(wǎng)����。相反��,客戶B可在其自己的邏輯分區(qū)801B中創(chuàng)建接口記錄170E����,且在所述接口記錄170E上設(shè)置權(quán)限以允許客戶A附加���?��?蛻鬉可將接口記錄170E附加到資源實(shí)例120A,資源實(shí)例120A在客戶A的邏輯分區(qū)801A中運(yùn)行內(nèi)容服務(wù)器���。因此�����,兩個客戶可安全地訪問內(nèi)容服務(wù)器而無需進(jìn)行大量變化����。另外,在一些實(shí)施方式中���,客戶A可使用接口記錄170E的安全屬性來確?����?蛻鬊僅可獲得一個HTTP或多個HTTP端口��,或者可用所期望的其它方式來限制客戶B的邏輯分區(qū)的訪問��。
[0062]在可示例性客戶之間的對等的第二場景中���,客戶A和B可在若干項(xiàng)目上協(xié)作,且可能想私人訪問彼此的邏輯分區(qū)�����。在一個此類實(shí)施方案中�,客戶A可在資源實(shí)例120A上推出網(wǎng)關(guān)應(yīng)用程序(例如,防火墻或路由器),且客戶B可創(chuàng)建接口記錄170E���。網(wǎng)關(guān)應(yīng)用程序所有者客戶A可將接口記錄170E附加到資源實(shí)例120A�����,使得兩個邏輯分區(qū)通過運(yùn)行網(wǎng)關(guān)應(yīng)用程序的雙宿主資源實(shí)例120A來連接�����。這個場景可對兩個客戶的邏輯分區(qū)的IP地址范圍進(jìn)行一些限制���,例如,在一些實(shí)施方式中���,如果其具有重疊的IP地址�����,那么可能需要進(jìn)行某些形式的網(wǎng)絡(luò)地址轉(zhuǎn)換。在一些環(huán)境中����,資源實(shí)例120A可被在專用網(wǎng)絡(luò)應(yīng)用程序(例如,路由器設(shè)備或防火墻設(shè)備)上托管。
[0063]在一些實(shí)施方案中�����,跨分區(qū)附加能力也可用于提供技術(shù)支持能力�����。在一個所述場景中��,客戶A可在資源實(shí)例120A上使用來自供應(yīng)商X的應(yīng)用程序���,其中供應(yīng)商X也是系統(tǒng)100的操作員的客戶�?���?蛻鬉可能遇到與應(yīng)用程序相關(guān)的問題且可能想接收來自供應(yīng)商X的“現(xiàn)場”支持?�?蛻鬉可聯(lián)系供應(yīng)商X����,且供應(yīng)商X可在其自己的邏輯分區(qū)中創(chuàng)建接口記錄170E并給予客戶A附加權(quán)限?�?蛻鬉可將其資源實(shí)例120A附加到供應(yīng)商X的接口記錄170E,例如使得供應(yīng)商X可使用安全外殼(SSH)或遠(yuǎn)程桌面協(xié)議(RDP)來訪問陷入困境的應(yīng)用程序并按需要執(zhí)行故障排除�����?����?芍С炙鲋С?��,而無需使用互聯(lián)網(wǎng)網(wǎng)關(guān)或虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)來訪問客戶A的邏輯分區(qū)�。另外�����,在一些實(shí)施方案中��,客戶A可修改出口策略(例如���,使用接口記錄170E的安全屬性)以防止任何流量被從資源實(shí)例120A傳輸?shù)焦?yīng)商X的邏輯分區(qū)801B��。這可防止供應(yīng)商X無意或惡意訪問客戶A的邏輯分區(qū)801A中的其它資源。
[0064]在一些實(shí)施方案中�����,管理服務(wù)供應(yīng)商(MSP)也可能能夠利用跨分區(qū)附加能力。MSP(客戶A)可托管其自己邏輯分區(qū)(例如�,801A)中的應(yīng)用程序,并將接口記錄170附加到其客戶的邏輯分區(qū)(例如�,MSP客戶B的分區(qū)801B),因此在其自己的分區(qū)中向MSP客戶提供端點(diǎn)以訪問MSP應(yīng)用程序���。MSP可保持控制其中其應(yīng)用程序運(yùn)行的資源實(shí)例(例如��,120A)��,而MSP客戶可能能夠通過MSP客戶的網(wǎng)絡(luò)空間中的IP地址來訪問MSP應(yīng)用程序�。MSP應(yīng)用程序可包括各種不同類型服務(wù)中的任何服務(wù)����,例如,客戶關(guān)系管理(CRM)����、內(nèi)容管理、協(xié)作�����、數(shù)據(jù)庫等。
[0065]除了圖8a_8d中示出的實(shí)例之外���,在各種實(shí)施方案中�����,NIVC180的能力也可示例性其它類型的服務(wù)�。例如����,當(dāng)附加到接口記錄170的第一資源實(shí)例120出現(xiàn)故障或有故障時且如果這樣,高可用性(HA)形式可通過將接口記錄170附加到能夠提供與第一資源實(shí)例類似的服務(wù)的第二資源實(shí)例來實(shí)施�����。在系統(tǒng)100支持各種服務(wù)(例如���,關(guān)系數(shù)據(jù)庫服務(wù)����、map-reduce或其它分布式或并行計算服務(wù)���、部署服務(wù)或負(fù)載均衡服務(wù))的實(shí)施方案中�����,附加到多個客戶邏輯分區(qū)的資源實(shí)例120可用以實(shí)施各種服務(wù)的管理和控制服務(wù)���。所述管理服務(wù)可被稱為“控制平面”能力,如與用于傳輸非管理應(yīng)用程序數(shù)據(jù)或用戶數(shù)據(jù)的“數(shù)據(jù)平面”能力相區(qū)分�����。
[0066]示例件網(wǎng)頁梓口
[0067]在一些實(shí)施方案中��,NIVC180可操作以實(shí)施界定并支持一些或所有上述接口記錄相關(guān)服務(wù)的一個或多個接口�。例如,可實(shí)施一個或多個應(yīng)用程序編程接口(API)�,或可在各種實(shí)施方式中提供各種類型的圖形用戶接口(GUI)或命令行接口。圖9是根據(jù)至少一些實(shí)施方案的NIVC180可提供的示例性基于網(wǎng)頁的接口的部分的說明�����。
[0068]圖9的網(wǎng)頁900包括若干表單字段�,客戶端148可填寫所述表單字段以提供接口記錄創(chuàng)建請求的細(xì)節(jié)的。在網(wǎng)頁900的區(qū)域903中�,可提供友好的問候和概述消息。表單字段904可允許客戶端指定接口記錄的名稱和描述�。在實(shí)施邏輯分區(qū)的實(shí)施方案中����,可提供表單字段905以允許客戶端為請求的接口記錄170指定邏輯分區(qū)�����。在一些實(shí)施方式中���,邏輯分區(qū)的標(biāo)識符集合可例如通過下拉菜單而自動提供��,所述標(biāo)識符集合授權(quán)客戶端148選擇1�����,和/或字段905可預(yù)填充有客戶端可修改的默認(rèn)邏輯分區(qū)標(biāo)識符�。表單字段909可用以指定接口記錄的子網(wǎng)標(biāo)識符����。一個或多個IP地址(包括專用和/或公共IP地址)可使用表單字段917來指定。表單字段921可用于指定各種安全屬性��,例如安全組��、允許附加接口記錄的實(shí)體的列表等。字段925可能可選地用以識別接口記錄將要被附加到的資源實(shí)例120����。在一些實(shí)施方式中,如在字段905的情況下�����,網(wǎng)頁900上的若干其它字段也可預(yù)填充有默認(rèn)值�����,和/或一系列允許選項(xiàng)可通過下拉菜單或類似的機(jī)制來提供���。提交按鈕931可用以提交接口記錄創(chuàng)建請求。
[0069]在一個實(shí)施方式中�����,NIVC180可產(chǎn)生請求的客戶端148可能未填寫的一些或所有字段的值��。在一些實(shí)施方式中���,通過使用基于網(wǎng)頁的接口�����,可在創(chuàng)建接口記錄的過程期間使用若干不同的網(wǎng)頁���。當(dāng)客戶端填寫一個表單條目時�,NIVC180可能能夠自定義或縮小可用于后續(xù)表單條目的選項(xiàng)集合����。在一些實(shí)施方式中,通過如網(wǎng)頁900的接口來提交表單數(shù)據(jù)可導(dǎo)致調(diào)用NIVC180可支持的一個或多個API調(diào)用�����。
[0070]在各種實(shí)施方案中�����,也可提供類似于圖9中示出用于創(chuàng)建接口記錄170的接口以進(jìn)行NIVC180支持的其它類型的操作,例如附加操作�����、分離操作�、刪除操作、IP地址改變操作等����。在一些實(shí)施方案中��,可允許客戶端148提交查詢以例如確定接口記錄170的狀態(tài)�����、識別附加到給定資源實(shí)例120的接口記錄170�����、列出客戶端148在給定子網(wǎng)或邏輯分區(qū)中設(shè)置的所有接口記錄等。
[0071]接口記錄操作的方法
[0072]圖10是根據(jù)至少一些實(shí)施方案的用于提供接口記錄操作的方法的流程圖��。如流程圖中元素1800所示��,接口虛擬化服務(wù)可例如以NIVC180的形式來實(shí)施�。在一些實(shí)施方式中,服務(wù)可由軟件和/或硬件組件的組合來實(shí)施��,例如通過在供應(yīng)商網(wǎng)絡(luò)中各種設(shè)備上運(yùn)行的管理程序軟件���、操作系統(tǒng)軟件�,或路由軟件的組件來實(shí)施�。如元素1805示出,服務(wù)的一個元素可被配置以等待接口虛擬化請求,所述接口虛擬化請求可例如通過類似于圖10中示出的基于網(wǎng)頁的接口來接收��。
[0073]取決于接收的特定類型的請求�,可進(jìn)行適當(dāng)?shù)膭幼骷弦宰鳛轫憫?yīng)。例如���,如果接收到創(chuàng)建新的接口記錄的請求(圖10的元素1810)���,那么所述記錄170可被實(shí)例化并被可選地存儲在存儲庫中(元素1815)。如果接收到附加現(xiàn)有接口記錄的請求(元素1820)���,那么定向到指定用于接口記錄的一個或多個IP地址或從所述IP地址流出的流量可在請求附加到的資源實(shí)例120上示例性(元素1825)��。如果接收到分離請求(元素1830)�,那么去往和來自接口記錄的IP地址的流量可在接口記錄被附加到的資源實(shí)例上被禁用(元素1835)��。如果接收到刪除接口記錄的請求(元素1840)���,那么記錄可被例如從存儲庫185刪除(元素1845)���。
[0074]在接收到修改接口記錄(例如,以改變IP地址)的請求(元素1850)之后���,記錄可如所請求地被修改��,且可啟動任何需要的配置變化(元素1855)�����。在接收到接口記錄查詢(例如�����,以確定一個或多個接口記錄的狀態(tài))(元素I860)之后�����,可產(chǎn)生并提供對查詢的響應(yīng)(元素1865)�。在任一情況下��,合適的授權(quán)和安全檢查可在執(zhí)行一個或多個請求的動作之前執(zhí)行�����。在一些實(shí)施方式中���,一些類型的接口記錄操作可被實(shí)施為冪等操作��,例如��,如果接收到將IP地址改變成A.B.C.D的第一請求�����,然后是請求相同變化的第二請求����,那么第二請求可沒有任何效果。在一些實(shí)施方式中���,如果接收到意外的�����、不支持的�����、未經(jīng)授權(quán)的或無效的請求��,那么可產(chǎn)生錯誤信息����。在對給定請求做出響應(yīng)之后,服務(wù)則可等待下一個接口虛擬化請求��。在一些實(shí)施方式中�,圖10中示出的功能的部分可并行實(shí)施,例如����,一次可處理一個以上的請求。在一些實(shí)施方式中��,可組合若干請求���,例如��,可支持創(chuàng)建并附加實(shí)例記錄的單個請求�����。
[0075]可鑒于以下條款描述示例性實(shí)施方案:
[0076]1.一種系統(tǒng),其包括:
[0077]多個資源實(shí)例�����,包括第一資源實(shí)例和第二資源實(shí)例�;和
[0078]網(wǎng)絡(luò)接口虛擬化協(xié)調(diào)器�;
[0079]其中所述網(wǎng)絡(luò)接口虛擬化協(xié)調(diào)器可操作以:
[0080]響應(yīng)于接口記錄創(chuàng)建請求��,產(chǎn)生接口記錄���,所述接口記錄包括第一互聯(lián)網(wǎng)協(xié)議(IP)地址��、包含所述第一 IP地址的第一子網(wǎng)的子網(wǎng)標(biāo)識符和第一組安全屬性��,并將所述接口記錄存儲在存儲庫中���;
[0081]響應(yīng)于將所述接口記錄附加到所述第一資源實(shí)例的第一附加請求,使得所述第一資源實(shí)例能夠根據(jù)所述第一組安全屬性通過第一網(wǎng)絡(luò)接口卡來接收針對所述第一 IP地址的流量�;
[0082]響應(yīng)于將所述接口記錄從所述第一資源實(shí)例分離的分離請求,防止所述第一資源實(shí)例接收針對所述第一 IP地址的流量�����;和
[0083]響應(yīng)于將所述接口記錄附加到所述第二資源實(shí)例的第二附加請求��,使得所述第二資源實(shí)例能夠根據(jù)所述第一組安全屬性通過第二網(wǎng)絡(luò)接口卡來接收針對所述第一 IP地址的流量�。
[0084]2.如條款I(lǐng)所述的系統(tǒng),其中所述網(wǎng)絡(luò)接口虛擬化協(xié)調(diào)器還可操作以:
[0085]響應(yīng)于第二接口記錄創(chuàng)建請求,產(chǎn)生包括第二 IP地址的第二接口記錄�����,并將所述第二接口記錄存儲在所述存儲庫中;和
[0086]響應(yīng)于將所述第二接口記錄附加到所述第一資源實(shí)例的新的附加請求����,使得所述第一資源實(shí)例能夠接收針對所述第二 IP地址的流量。
[0087]3.如條款2所述的系統(tǒng)�����,其中所述第二 IP地址是第二子網(wǎng)的部分��,且其中所述第二接口記錄包括所述第二子網(wǎng)的子網(wǎng)標(biāo)識符����。[0088]4.如條款3所述的系統(tǒng),其中所述網(wǎng)絡(luò)接口虛擬化協(xié)調(diào)器還可操作以:
[0089]在所述第一資源實(shí)例處接收來自源IP地址的網(wǎng)絡(luò)數(shù)據(jù)包���,其中所述源IP地址可通過所述第一子網(wǎng)從所述第一資源實(shí)例獲得�����,且其中所述網(wǎng)絡(luò)數(shù)據(jù)包具有可通過所述第二子網(wǎng)從所述第一資源實(shí)例獲得的目的IP地址���;和
[0090]通過所述第二子網(wǎng)將所述網(wǎng)絡(luò)數(shù)據(jù)包路由到所述目的IP地址��。
[0091]5.如條款I(lǐng)所述的系統(tǒng),其中所述接口記錄包括一個或多個另外的IP地址����,且其中,響應(yīng)于將所述接口記錄附加到所述第一資源實(shí)例的所述第一附加請求���,所述網(wǎng)絡(luò)接口虛擬化協(xié)調(diào)器還可操作以使得所述第一資源實(shí)例能夠接收針對所述一個或多個另外的IP地址的流量�����。
[0092]6.如條款I(lǐng)所述的系統(tǒng)���,其中所述網(wǎng)絡(luò)接口虛擬化協(xié)調(diào)器還可操作以:
[0093]響應(yīng)于包括新的IP地址的IP地址修改請求,
[0094]修改所述接口記錄以包括所述新的IP地址���;
[0095]識別所述接口記錄被附加到的所述多個資源實(shí)例中的目前附加的資源實(shí)例��;和
[0096]使得所述目前附加的資源實(shí)例能夠接收定向到所述新的IP地址的流量��。
[0097]7.—種方法�����,其包括:
[0098]響應(yīng)于接口記錄創(chuàng)建請求,產(chǎn)生接口記錄,所述接口記錄包括IP地址和包含所述第一 IP地址的第一子網(wǎng)的子網(wǎng)標(biāo)識符�����,并將所述接口記錄存儲在持久存儲庫中�����;
[0099]響應(yīng)于將所述接口記錄附加到多個資源實(shí)例中第一資源實(shí)例的第一附加請求�,使得所述第一資源實(shí)例能夠接收針對所述第一 IP地址的流量;和
[0100]響應(yīng)于將所述接口記錄從所述第一資源實(shí)例分離的分離請求����,防止所述第一資源實(shí)例接收針對所述第一 IP地址的流量,并將所述接口記錄保留在所述持久存儲庫中����。
[0101]8.如條款7所述的方法,還包括:
[0102]響應(yīng)于第二接口記錄創(chuàng)建請求,產(chǎn)生包括第二 IP地址的第二接口記錄���;和
[0103]響應(yīng)于將所述第二接口記錄附加到所述第一資源實(shí)例的第二附加請求����,使得所述第一資源實(shí)例能夠接收針對所述第二 IP地址的流量��。
[0104]9.如條款8所述的方法,其中所述第二 IP地址是第二子網(wǎng)的部分�����,且其中所述第二接口記錄包括所述第二子網(wǎng)的子網(wǎng)標(biāo)識符��。
[0105]10.如條款9所述的方法���,還包括:
[0106]在所述第一資源實(shí)例接收來自源IP地址的網(wǎng)絡(luò)數(shù)據(jù)包,其中所述源IP地址可通過所述第一子網(wǎng)從所述第一資源實(shí)例獲得�,且其中所述網(wǎng)絡(luò)數(shù)據(jù)包具有可通過所述第二子網(wǎng)從所述第一資源實(shí)例獲得的目的IP地址;和
[0107]通過所述第二子網(wǎng)將所述網(wǎng)絡(luò)數(shù)據(jù)包路由到所述目的IP地址�����。
[0108]11.如條款9所述的方法����,還包括:
[0109]響應(yīng)于包括新的IP地址的IP地址修改請求,
[0110]修改所述接口記錄以包括所述新的IP地址�;
[0111]識別所述接口記錄被附加到的所述多個資源實(shí)例中的目前附加的資源實(shí)例;和
[0112]使得所述目前附加的資源實(shí)例能夠接收定向到所述新的IP地址的流量���。
[0113]12.如條款9所述的方法��,其中所述第一子網(wǎng)是具有第一常見互聯(lián)網(wǎng)域名路由(CIDR)地址前綴的網(wǎng)絡(luò)的第一邏輯分區(qū)的部分���,且所述第二子網(wǎng)是具有第二 CIDR地址前綴的所述網(wǎng)絡(luò)的第二邏輯分區(qū)的部分����。
[0114]13.如條款7所述的方法�,其中所述接口記錄包括一組安全屬性,所述安全屬性包括識別被授權(quán)以提交附加請求的一個或多個實(shí)體的第一授權(quán)條目�。
[0115]14.如條款13所述的方法,其中所述組安全屬性包括識別被授權(quán)以修改所述第一授權(quán)條目的一個或多個實(shí)體的第二授權(quán)條目�。
[0116]15.一種存儲計算機(jī)可執(zhí)行以實(shí)施以下動作的程序指令的非臨時性計算機(jī)可訪問存儲介質(zhì):
[0117]響應(yīng)于接口記錄創(chuàng)建請求,產(chǎn)生接口記錄,所述接口記錄包括IP地址和包含所述第一 IP地址的第一子網(wǎng)的子網(wǎng)標(biāo)識符,并將所述接口記錄存儲在持久存儲庫中����;和
[0118]響應(yīng)于將所述接口記錄附加到多個資源實(shí)例中第一資源實(shí)例的第一附加請求,其中所述第一資源實(shí)例在其啟動之后處于運(yùn)行狀態(tài)�����,使得針對所述第一 IP地址的流量能夠在所述第一資源實(shí)例接收�。
[0119]16.如條款15所述的非臨時性計算機(jī)可訪問存儲介質(zhì),其中所述程序指令可由計算機(jī)執(zhí)行以實(shí)施:
[0120]響應(yīng)于第二接口記錄創(chuàng)建請求,產(chǎn)生包括第二 IP地址的第二接口記錄�;和
[0121]響應(yīng)于將所述第二接口記錄附加到所述第一資源實(shí)例的第二附加請求,使得所述第一資源實(shí)例能夠接收針對所述第二 IP地址的流量�����。
[0122]17.如條款16所述的非臨時性計算機(jī)可訪問存儲介質(zhì),其中所述第二 IP地址是第二子網(wǎng)的部分��,且其中所述第二接口記錄包括所述第二子網(wǎng)的子網(wǎng)標(biāo)識符����。
[0123]18.如條款17所述的非臨時性計算機(jī)可訪問存儲介質(zhì)�,其中所述程序指令可由計算機(jī)執(zhí)行以實(shí)施:
[0124]在所述第一資源實(shí)例接收來自源IP地址的網(wǎng)絡(luò)數(shù)據(jù)包,其中所述源IP地址可通過所述第一子網(wǎng)從所述第一資源實(shí)例訪問��,且其中所述網(wǎng)絡(luò)數(shù)據(jù)包具有可通過所述第二子網(wǎng)從所述第一資源實(shí)例訪問的目的IP地址��;和
[0125]通過所述第二子網(wǎng)將所述網(wǎng)絡(luò)數(shù)據(jù)包路由到所述目的IP地址���。
[0126]19.如條款15所述的非臨時性計算機(jī)可訪問存儲介質(zhì),其中所述接口記錄包括一組安全屬性�����,所述安全屬性包括識別被授權(quán)以修改所述IP地址的一個或多個實(shí)體的授權(quán)條目��。
[0127]20.如條款15所述的非臨時性計算機(jī)可訪問存儲介質(zhì),其中所述接口記錄包括一組安全屬性�,所述安全屬性包括識別以下中至少一個的授權(quán)條目:傳入流量的端口限制��、傳入流量的協(xié)議限制、傳出流量的協(xié)議限制��,或傳出流量的協(xié)議限制��。
[0128]21.如條款15所述的非臨時性計算機(jī)可訪問存儲介質(zhì)���,其中所述程序指令可由計算機(jī)執(zhí)行以實(shí)施:
[0129]響應(yīng)于包括新的IP地址的IP地址修改請求���,
[0130]修改所述接口記錄以包括所述新的IP地址;
[0131]識別所述接口記錄被附加到的所述多個資源實(shí)例中的目前附加的資源實(shí)例����;和
[0132]使得所述目前附加的資源實(shí)例能夠接收定向到所述新的IP地址的流量。
[0133]22.如條款17所述的非臨時性計算機(jī)可訪問存儲介質(zhì)�,其中所述第一子網(wǎng)是指定用于傳輸客戶端應(yīng)用程序數(shù)據(jù)的數(shù)據(jù)子網(wǎng),且所述第二子網(wǎng)是指定用于傳輸網(wǎng)絡(luò)管理數(shù)據(jù)的管理子網(wǎng)����。
[0134]23.如條款16所述的非臨時性計算機(jī)可訪問存儲介質(zhì),其中所述第一 IP地址是代表第一客戶維護(hù)的第一網(wǎng)絡(luò)邏輯分區(qū)的部分����,且其中所述第二 IP地址是代表第二客戶維護(hù)的第二網(wǎng)絡(luò)邏輯分區(qū)的部分。
[0135]說明性計算機(jī)系統(tǒng)
[0136]在至少一些實(shí)施方案中����,實(shí)施部分或所有本文描述的一個或多個技術(shù)(包括提供關(guān)于接口記錄170的各種服務(wù)和操作的技術(shù))的服務(wù)器可包括通用計算機(jī)系統(tǒng)�,所述通用計算機(jī)系統(tǒng)包括或配置以訪問一個或多個計算機(jī)可訪問媒體���,例如圖11示出的計算機(jī)系統(tǒng)2000�。在示出的實(shí)施方案中��,計算機(jī)系統(tǒng)2000包括一個或多個處理器2010�,處理器2010通過輸入/輸出(I/O)接口 2030耦接到系統(tǒng)存儲器2020。計算機(jī)系統(tǒng)2000還包括耦接到I/O接口 2030的網(wǎng)絡(luò)接口 2040����。
[0137]在各種實(shí)施方案中�����,計算機(jī)系統(tǒng)2000可為包括一個處理器2010的單處理器系統(tǒng)����,或包括若干處理器2010(例如,兩個����、四個��、八個或另一合適的數(shù)量)的多處理器系統(tǒng)�����。處理器2010可為能夠執(zhí)行指令的任何合適的處理器���。例如,在各種實(shí)施方案中�����,處理器2010可為實(shí)施各種指令集架構(gòu)(ISA)中任何指令集架構(gòu)的通用或嵌入式處理器�����,所述指令集架構(gòu)例如x86����、PowerPC、SPARC或MIPS ISA����,或任何其它合適的ISA。在多處理器系統(tǒng)中,處理器2010中每一個可通常但不一定實(shí)施相同的ISA���。
[0138]系統(tǒng)存儲器2020可被配置以存儲處理器2010可訪問的指令和數(shù)據(jù)��。在各種實(shí)施方案中���,系統(tǒng)存儲器2020可使用任何適當(dāng)?shù)拇鎯ζ骷夹g(shù)來實(shí)施,例如靜態(tài)隨機(jī)存取存儲器(SRAM)�、同步動態(tài)RAM(SDRAM)、非易失性/閃存型存儲器���,或任何其它類型的存儲器����。在示出的實(shí)施方案中��,實(shí)施一個或多個期望的功能(例如��,上述那些方法��、技術(shù)和數(shù)據(jù))的程序指令和數(shù)據(jù)被示出為存儲在系統(tǒng)存儲器2020中作為代碼2025和數(shù)據(jù)2026�����。
[0139]在一個實(shí)施方案中����,I/O接口 2030可被配置以協(xié)調(diào)處理器2010、系統(tǒng)存儲器2020和設(shè)備中任何外圍設(shè)備(包括網(wǎng)絡(luò)接口 2040或其它外圍接口)之間的I/O流量��。在一些實(shí)施方案中�����,I/O接口 2030可執(zhí)行任何必需的協(xié)議����、計時或其它數(shù)據(jù)轉(zhuǎn)換以將來自一個組件(例如,系統(tǒng)存儲器2020)的數(shù)據(jù)信號轉(zhuǎn)換成適于由另一組件(例如�����,處理器2010)使用的格式����。在一些實(shí)施方案中,I/O接口 2030可包括通過各種類型的外設(shè)總線附加的設(shè)備的支持��,例如外圍組件互連(PCI)總線標(biāo)準(zhǔn)或通用串行總線(USB)標(biāo)準(zhǔn)的變型���。在一些實(shí)施方案中���,I/O接口 2030的功能可被分成兩個或多個單獨(dú)的組件���,例如北橋和南橋。又��,在一些實(shí)施方案中,一些或所有I/O接口 2030的功能(例如,系統(tǒng)存儲器2020的接口)可被直接并入處理器2010����。
[0140]網(wǎng)絡(luò)接口 2040可被配置以允許數(shù)據(jù)在計算機(jī)系統(tǒng)2000和附加到一個或多個網(wǎng)絡(luò)2050的其它設(shè)備2060之間進(jìn)行交換�����,其它設(shè)備2060例如如圖1到圖10中示出的其它計算機(jī)系統(tǒng)或設(shè)備�����。在各種實(shí)施方案中����,網(wǎng)絡(luò)接口 2040可通過任何合適的有線或無線通用數(shù)據(jù)網(wǎng)絡(luò)(例如以太網(wǎng)絡(luò)類型)支持通信���。另外�����,網(wǎng)絡(luò)接口 2040可通過電信/電話網(wǎng)絡(luò)(例如模擬語音網(wǎng)絡(luò)或數(shù)字光纖通信網(wǎng)絡(luò))����,通過存儲區(qū)域網(wǎng)絡(luò)(例如光纖通道SAN)����,或通過任何其它合適類型的網(wǎng)絡(luò)和/或協(xié)議來支持通信。
[0141]在一些實(shí)施方案中��,系統(tǒng)存儲器2020可為計算機(jī)可訪問介質(zhì)的一個實(shí)施方案�,所述計算機(jī)可訪問介質(zhì)被配置以存儲如上文圖1到圖10所述用于實(shí)施虛擬網(wǎng)絡(luò)接口記錄的方法和裝置的實(shí)施方案的程序指令和數(shù)據(jù)。然而��,在其它實(shí)施方案中�����,程序指令和/或數(shù)據(jù)可被接收�����、發(fā)送或存儲在不同類型的計算機(jī)可訪問介質(zhì)上。一般來說�,計算機(jī)可訪問介質(zhì)可包括非臨時性存儲介質(zhì)或存儲器介質(zhì),例如磁性或光學(xué)介質(zhì)��,例如�����,通過I/o接口 2030耦接到計算機(jī)系統(tǒng)2000的盤或DVD/CD����。非臨時性計算機(jī)可訪問存儲介質(zhì)也可包括任何易失性或非易失性介質(zhì),例如����,RAM(例如SDRAM、DDR SDRAM�����、RDRAM���、SRAM等)��、ROM等��,所述易失性或非易失性介質(zhì)在計算機(jī)系統(tǒng)2000的一些實(shí)施方案中可被包括作為系統(tǒng)存儲器2020或另一種類型的存儲器���。另外,計算機(jī)可訪問介質(zhì)可包括通過例如網(wǎng)絡(luò)和/或無線鏈路的通信介質(zhì)傳送的傳輸介質(zhì)或信號����,例如電、電磁或數(shù)字信號�,例如可通過網(wǎng)絡(luò)接口 2040來實(shí)施。在各種實(shí)施方案中�,例如圖11中示出的多個計算機(jī)系統(tǒng)中的部分或全部可用以實(shí)施所述功能;例如�����,在各種不同設(shè)備和服務(wù)器上運(yùn)行的軟件組件可協(xié)作以提供功能�。
[0142]益論
[0143]各種實(shí)施方案還可包括在計算機(jī)可訪問介質(zhì)上接收、發(fā)送或存儲根據(jù)以上描述實(shí)施的指令和/或數(shù)據(jù)����。一般來說,計算機(jī)可訪問介質(zhì)可包括存儲介質(zhì)或存儲器介質(zhì)����,例如磁性或光學(xué)介質(zhì)(例如�����,盤或DVD/CD-R0M)�、易失性或非易失性介質(zhì)(例如�,RAM(例如SDRAM、DDR���、RDRAM�、SRAM等)�����、ROM等)��,以及通過例如網(wǎng)絡(luò)和/或無線鏈路的通信介質(zhì)傳送的傳輸介質(zhì)或信號(例如���,電��、電磁或數(shù)字信號)�。
[0144]如附圖中示出且本文描述的各種方法代表方法的示例性實(shí)施方案���。所述方法可在軟件����、硬件,或它們的組合中實(shí)施��?��?筛淖兎椒ǖ捻樞颍铱商砑?�、重新排序��、組合���、省略����、修改各種元素等�。
[0145]如受益于本發(fā)明的本領(lǐng)域技術(shù)人員將顯而易見,可進(jìn)行各種修改和變化��。旨在包含所有所述修改和變化����,因此��,以上描述應(yīng)被認(rèn)為是說明性而非限制性的���。
【權(quán)利要求】
1.一種方法,其包括: 響應(yīng)于接口記錄創(chuàng)建請求����,產(chǎn)生接口記錄,所述接口記錄包括IP地址和包含所述第一IP地址的第一子網(wǎng)的子網(wǎng)標(biāo)識符�����,并將所述接口記錄存儲在持久存儲庫中���; 響應(yīng)于將所述接口記錄附加到多個資源實(shí)例中的第一資源實(shí)例的第一附加請求��,使得所述第一資源實(shí)例能夠接收針對所述第一 IP地址的流量��;和 響應(yīng)于將所述接口記錄從所述第一資源實(shí)例分離的分離請求�,防止所述第一資源實(shí)例接收針對所述第一 IP地址的流量���,并將所述接口記錄保留在所述持久存儲庫中���。
2.如權(quán)利要求1所述的方法��,其還包括: 響應(yīng)于第二接口記錄創(chuàng)建請求��,產(chǎn)生包括第二 IP地址的第二接口記錄��;和響應(yīng)于將所述第二接口記錄附加到所述第一資源實(shí)例的第二附加請求�����,使得所述第一資源實(shí)例能夠接收針對所述第二 IP地址的流量。
3.如權(quán)利要求2所述的方法���,其中所述第二IP地址是第二子網(wǎng)的部分���,且其中所述第二接口記錄包括所述第二子網(wǎng)的子網(wǎng)標(biāo)識符。
4.如權(quán)利要求3所述的方法�����,其還包括: 在所述第一資源實(shí)例處接收來自源IP地址的網(wǎng)絡(luò)數(shù)據(jù)包���,其中所述源IP地址可通過所述第一子網(wǎng)從所述 第一資源實(shí)例獲得�����,且其中所述網(wǎng)絡(luò)數(shù)據(jù)包具有可通過所述第二子網(wǎng)從所述第一資源實(shí)例獲得的目的IP地址�;和 通過所述第二子網(wǎng)將所述網(wǎng)絡(luò)數(shù)據(jù)包路由到所述目的IP地址。
5.如權(quán)利要求3所述的方法����,其還包括: 響應(yīng)于包括新的IP地址的IP地址修改請求, 修改所述接口記錄以包括所述新的IP地址����; 識別所述接口記錄被附加到的所述多個資源實(shí)例中的目前附加的資源實(shí)例;和 使得所述目前附加的資源實(shí)例能夠接收定向到所述新的IP地址的流量���。
6.如權(quán)利要求3所述的方法����,其中所述第一子網(wǎng)是具有第一常見互聯(lián)網(wǎng)域名路由(CIDR)地址前綴的網(wǎng)絡(luò)的第一邏輯分區(qū)的部分�����,且所述第二子網(wǎng)是具有第二 CIDR地址前綴的所述網(wǎng)絡(luò)的第二邏輯分區(qū)的部分�����。
7.如權(quán)利要求1所述的方法,其中所述接口記錄包括一組安全屬性����,所述安全屬性包括識別被授權(quán)以提交附加請求的一個或多個實(shí)體的第一授權(quán)條目。
8.如權(quán)利要求7所述的方法�����,其中所述一組安全屬性包括識別被授權(quán)以修改所述第一授權(quán)條目的一個或多個實(shí)體的第二授權(quán)條目���。
9.一種系統(tǒng)���,其包括: 處理器,其耦接到存儲計算機(jī)可執(zhí)行以實(shí)施以下項(xiàng)的程序指令的非臨時性計算機(jī)可訪問存儲介質(zhì): 響應(yīng)于接口記錄創(chuàng)建請求�,產(chǎn)生接口記錄�,所述接口記錄包括IP地址和包含所述第一IP地址的第一子網(wǎng)的子網(wǎng)標(biāo)識符,并將所述接口記錄存儲在持久存儲庫中����;和 響應(yīng)于將所述接口記錄附加到多個資源實(shí)例中第一資源實(shí)例的第一附加請求,其中所述第一資源實(shí)例在其啟動之后處于運(yùn)行狀態(tài)���,使得針對所述第一 IP地址的流量能夠在所述第一資源實(shí)例處被接收���。
10.如權(quán)利要求9所述的系統(tǒng)����,其中所述程序指令還可由計算機(jī)執(zhí)行以:響應(yīng)于第二接口記錄創(chuàng)建請求�,產(chǎn)生包括第二 IP地址的第二接口記錄;和 響應(yīng)于將所述第二接口記錄附加到所述第一資源實(shí)例的第二附加請求���,使得所述第一資源實(shí)例能夠接收針對所述第二 IP地址的流量�����。
11.如權(quán)利要求10所述的系統(tǒng)��,其中所述程序指令還可由計算機(jī)執(zhí)行以: 在所述第一資源實(shí)例處接收來自源IP地址的網(wǎng)絡(luò)數(shù)據(jù)包�,其中所述源IP地址可通過所述第一子網(wǎng)從所述第一資源實(shí)例訪問�,且其中所述網(wǎng)絡(luò)數(shù)據(jù)包具有可通過與所述第二 IP地址相關(guān)的第二子網(wǎng)從所述第一資源實(shí)例訪問的目的IP地址;和 通過所述第二子網(wǎng)將所述網(wǎng)絡(luò)數(shù)據(jù)包路由到所述目的IP地址��。
12.如權(quán)利要求9所述的系統(tǒng)���,其中所述接口記錄包括一組安全屬性��,所述安全屬性包括識別被授權(quán)以修改所述IP地址的一個或多個實(shí)體的授權(quán)條目���。
13.如權(quán)利要求9所述的系統(tǒng)���,其中所述接口記錄包括一組安全屬性,所述安全屬性包括識別以下至少一項(xiàng)的授權(quán)條目:傳入流量的端口限制��、傳入流量的協(xié)議限制�、傳出流量的協(xié)議限制或傳出流量的協(xié)議限制。
14.如權(quán)利要求10所述的系統(tǒng)����,其中所述第二IP地址是第二子網(wǎng)的部分,且其中所述第一子網(wǎng)是被指定用于傳輸客戶端應(yīng)用程序數(shù)據(jù)的數(shù)據(jù)子網(wǎng)���,且所述第二子網(wǎng)是被指定用于傳輸網(wǎng)絡(luò)管理數(shù)據(jù)的管理子網(wǎng)���。
15.如權(quán)利要求10所述的系統(tǒng),其中所述第一IP地址是代表第一客戶維護(hù)的第一網(wǎng)絡(luò)邏輯分區(qū)的部分��,且其中所述第二 IP地址是代表第二客戶維護(hù)的第二網(wǎng)絡(luò)邏輯分區(qū)的部分�。
【文檔編號】G06F15/16GK103946834SQ201280056307
【公開日】2014年7月23日 申請日期:2012年11月16日 優(yōu)先權(quán)日:2011年11月18日
【發(fā)明者】E·W·舒爾策, A·C·湯普森, A·甘古利, P·C·伊爾, T·L·霍爾格斯, C·J·利菲霍克茲, I·R·賽勒 申請人:亞馬遜科技公司