背景技術(shù)：

許多公司和其他組織操作計(jì)算機(jī)網(wǎng)絡(luò)，這些計(jì)算機(jī)網(wǎng)絡(luò)使眾多計(jì)算系統(tǒng)互連以支持它們的操作，諸如其中計(jì)算系統(tǒng)位于同一位置(例如，作為本地網(wǎng)絡(luò)的一部分)或者相反地位于多個(gè)截然不同的地理位置中(例如，通過一個(gè)或多個(gè)私有或公共中間網(wǎng)絡(luò)加以連接)。例如，容納顯著數(shù)量互連計(jì)算系統(tǒng)的數(shù)據(jù)中心已變得司空見慣，諸如由單一組織操作和代表所述組織操作的私有數(shù)據(jù)中心，以及由實(shí)體作為業(yè)務(wù)加以操作來向客戶提供計(jì)算資源的公共數(shù)據(jù)中心。

一些提供商允許他們的客戶使用位于這類數(shù)據(jù)中心處的資源來創(chuàng)建邏輯上隔離的網(wǎng)絡(luò)。例如，可以向客戶分配某一組虛擬化服務(wù)器和/或在由提供商管理的主機(jī)處實(shí)現(xiàn)的其他資源，并且可以向客戶提供關(guān)于資源的網(wǎng)絡(luò)配置的相當(dāng)大的靈活性。客戶可以例如選擇到服務(wù)器的ip(互聯(lián)網(wǎng)協(xié)議)地址，定義他們選擇的子網(wǎng)，等等。使用提供商資源實(shí)現(xiàn)的此類客戶可配置網(wǎng)絡(luò)可以被稱為多種名稱，包括“隔離虛擬網(wǎng)絡(luò)”或“虛擬私有云”。在一些情境下，客戶可以向隔離虛擬網(wǎng)絡(luò)內(nèi)的一些資源指派私有ip地址(即，在隔離虛擬網(wǎng)絡(luò)之外不可見或通告的地址)，例如，不必考慮關(guān)于隔離虛擬網(wǎng)絡(luò)之外的資源的地址的唯一性。提供商可以在這類環(huán)境中支持高水平的安全性、網(wǎng)絡(luò)隔離和可用性，以使得客戶能夠在隔離虛擬網(wǎng)絡(luò)中運(yùn)行關(guān)鍵業(yè)務(wù)應(yīng)用，并且經(jīng)歷與在客戶擁有的場(chǎng)所可實(shí)現(xiàn)的服務(wù)類似(或更高)的服務(wù)質(zhì)量。

至少一些支持隔離虛擬網(wǎng)絡(luò)的提供商也可以實(shí)現(xiàn)多種其他服務(wù)，如存儲(chǔ)服務(wù)、數(shù)據(jù)庫服務(wù)等。這些其他服務(wù)中的一些可以被設(shè)計(jì)成可從公共互聯(lián)網(wǎng)訪問—例如，可以為客戶端建立一組公開通告的ip地址或?qū)?yīng)的uri(統(tǒng)一資源標(biāo)識(shí)符)以訪問這種服務(wù)的資源。至少在一些環(huán)境中，對(duì)于希望在其高度安全的隔離虛擬網(wǎng)絡(luò)中訪問這類公開通告的服務(wù)的客戶而言，在不潛在地降低安全性或招致大量成本的情況下這樣做可能并不簡(jiǎn)單。

附圖說明

圖1示出根據(jù)至少一些實(shí)施方案的可以建立私有別名端點(diǎn)(pae)以使得能夠在提供商網(wǎng)絡(luò)的隔離虛擬網(wǎng)絡(luò)(ivn)與一個(gè)或多個(gè)公共可訪問服務(wù)之間路由網(wǎng)絡(luò)流量而在ivn處不指派公共ip地址并且不穿過客戶網(wǎng)絡(luò)的示例系統(tǒng)環(huán)境。

圖2示出根據(jù)至少一些實(shí)施方案的將在隔離虛擬網(wǎng)絡(luò)的計(jì)算實(shí)例處始發(fā)的數(shù)據(jù)包引導(dǎo)朝向公共可訪問服務(wù)處的目的地所涉及的示例性部件。

圖3a和圖3b示出根據(jù)至少一些實(shí)施方案的可以處理在隔離虛擬網(wǎng)絡(luò)的計(jì)算實(shí)例處始發(fā)的數(shù)據(jù)包的替代性服務(wù)側(cè)部件的各自實(shí)例。

圖4示出根據(jù)至少一些實(shí)施方案的在計(jì)算實(shí)例處始發(fā)的基線數(shù)據(jù)包的封裝格式的實(shí)例。

圖5示出根據(jù)至少一些實(shí)施方案的pae配置請(qǐng)求和響應(yīng)的實(shí)例。

圖6示出根據(jù)至少一些實(shí)施方案的pae配置數(shù)據(jù)庫內(nèi)容的實(shí)例。

圖7示出根據(jù)至少一些實(shí)施方案的使用ivn和pae標(biāo)識(shí)符來區(qū)分在服務(wù)處從具有相同私有ip地址的計(jì)算實(shí)例接收的請(qǐng)求的實(shí)例。

圖8是示出根據(jù)至少一些實(shí)施方案的可以被執(zhí)行來配置pae的操作的各方面的流程圖。

圖9是示出根據(jù)至少一些實(shí)施方案的用于將數(shù)據(jù)包從計(jì)算實(shí)例傳送到公共可訪問服務(wù)的隧道協(xié)議的使用的流程圖。

圖10是示出可以在至少一些實(shí)施方案中使用的示例性計(jì)算裝置的框圖。

雖然在本文中通過舉例針對(duì)若干實(shí)施方案和示意性附圖描述了實(shí)施方案，但是本領(lǐng)域的技術(shù)人員應(yīng)認(rèn)識(shí)到，實(shí)施方案不限于所描述的實(shí)施方案或附圖。應(yīng)理解，附圖和對(duì)其的詳細(xì)描述并非意圖將實(shí)施方案限于所公開的特定形式，而是相反，其意圖在于涵蓋落入由所附權(quán)利要求書限定的精神和范圍內(nèi)的所有修改、等效物和替代方案。本文中使用的標(biāo)題都僅用于組織目的，并且并不意圖用于限制本說明書或權(quán)利要求書的范圍。貫穿本申請(qǐng)所使用的詞語“可以”是在許可的意義上(即意指具有可能性)、而非強(qiáng)制的意義上(即意指必須)使用。類似地，詞語“包括(include/including/includes)”意味著包括但不限于。

具體實(shí)施方式

描述了用于在提供商網(wǎng)絡(luò)處支持私有別名端點(diǎn)(pae)的方法和設(shè)備的各種實(shí)施方案。由諸如公司或公共部門組織的實(shí)體建立用于將可通過互聯(lián)網(wǎng)和/或其他網(wǎng)絡(luò)訪問的一種或多種服務(wù)(諸如各種類型的多租戶和/或單租戶基于云的計(jì)算或存儲(chǔ)服務(wù))提供至一組分布式客戶端的網(wǎng)絡(luò)在本文中可以被稱為提供商網(wǎng)絡(luò)。至少一些提供商網(wǎng)絡(luò)也可以被稱為“公共云”環(huán)境。給定的提供商網(wǎng)絡(luò)可包括托管實(shí)現(xiàn)、配置和分布由提供商提供的基礎(chǔ)設(shè)施和服務(wù)所需的各種資源池的許多數(shù)據(jù)中心，諸如物理和/或虛擬化計(jì)算機(jī)服務(wù)器、存儲(chǔ)裝置、聯(lián)網(wǎng)設(shè)備等的集合。在至少一些實(shí)施方案中，在提供商網(wǎng)絡(luò)處實(shí)現(xiàn)的虛擬計(jì)算服務(wù)可以使得客戶端能夠?qū)⒁粋€(gè)或多個(gè)客體虛擬機(jī)(在本文中可以稱為“計(jì)算實(shí)例”或簡(jiǎn)稱為“實(shí)例”)用于它們的應(yīng)用，其中一個(gè)或多個(gè)計(jì)算實(shí)例在大實(shí)例主機(jī)群中的實(shí)例主機(jī)上執(zhí)行。在大型提供商網(wǎng)絡(luò)內(nèi)，一些數(shù)據(jù)中心可以位于與其他數(shù)據(jù)中心不同的城市、州或國家中，并且在一些實(shí)施方案中，分配給給定應(yīng)用的資源可以分布在若干這類位置中，以實(shí)現(xiàn)期望的可用性水平、故障恢復(fù)力和性能。

在至少一些實(shí)施方案中，提供商網(wǎng)絡(luò)可以使得客戶能夠請(qǐng)求在提供商的數(shù)據(jù)中心處建立“隔離虛擬網(wǎng)絡(luò)”(ivn)。ivn(在一些環(huán)境中也可以稱為“虛擬私有云”或vpc)可包括在提供商網(wǎng)絡(luò)的邏輯上隔離的部分中的計(jì)算和/或其他資源的集合，通過其，客戶被授予關(guān)于網(wǎng)絡(luò)配置的實(shí)質(zhì)性控制。在一些實(shí)施方案中，例如，客戶可以選擇要用于ivn資源(諸如各種計(jì)算實(shí)例)的ip(互聯(lián)網(wǎng)協(xié)議)地址范圍、管理ivn內(nèi)的子網(wǎng)的創(chuàng)建以及用于ivn的路由表的配置等。在一些實(shí)施方案中，對(duì)于ivn內(nèi)的裝置中的至少一些，至少在默認(rèn)情況下，ip地址在ivn之外可能是不可見的。與作為通過bgp(邊界網(wǎng)關(guān)協(xié)議)或其他類似協(xié)議在公共互聯(lián)網(wǎng)上直接或間接通告的結(jié)果可從公共互聯(lián)網(wǎng)訪問的“公共”ip地址相比，這類ip地址在本文中可以被稱為“私有”ip地址。私有地址的使用可以使得客戶端能夠保護(hù)它們的應(yīng)用免受源自例如互聯(lián)網(wǎng)的潛在攻擊。在一些實(shí)施方案中，ivn支持可以是提供商網(wǎng)絡(luò)的更一般的虛擬計(jì)算服務(wù)(vcs)的特征之一。例如，vcs還可以支持計(jì)算實(shí)例的預(yù)留或分配，所述計(jì)算實(shí)例不是ivn的一部分并且vcs(而不是分配了實(shí)例的客戶端)為其執(zhí)行所需的大部分或全部網(wǎng)絡(luò)配置。

在提供商網(wǎng)絡(luò)中實(shí)現(xiàn)的服務(wù)中的至少一些(諸如一個(gè)或多個(gè)存儲(chǔ)服務(wù)或數(shù)據(jù)庫服務(wù))可以是公共可訪問的。也就是說，可以用于訪問服務(wù)的某一組ip地址(或?qū)?yīng)的主機(jī)名/uri)可以被公開地通告，并且客戶端因此能夠從具有到互聯(lián)網(wǎng)的連接性的裝置向這種服務(wù)提交服務(wù)請(qǐng)求。例如，名為“svcx”的存儲(chǔ)服務(wù)可以由客戶端通過公共通告的uri(諸如https://svcx.<providername>.com)訪問，并且這種服務(wù)的ip地址可以從一個(gè)或多個(gè)域名服務(wù)(dns)服務(wù)器獲得。

代表客戶端在ivn內(nèi)運(yùn)行的一些應(yīng)用可能需要訪問這類公共可訪問服務(wù)。例如，在ivn中的客戶端計(jì)算實(shí)例上運(yùn)行的電子商務(wù)應(yīng)用可能需要讀取或?qū)懭霐?shù)據(jù)到提供商網(wǎng)絡(luò)的公共可訪問的存儲(chǔ)服務(wù)。建立到公共可訪問服務(wù)的連接性的一種方式可涉及向ivn內(nèi)的資源指派一個(gè)或多個(gè)公共ip地址(和/或?yàn)閕vn設(shè)置可訪問互聯(lián)網(wǎng)的網(wǎng)關(guān))，這可能是與ivn客戶端的隔離和安全要求有些相悖的實(shí)踐。在ivn中運(yùn)行的計(jì)算實(shí)例與公共可訪問服務(wù)的資源之間建立連接性的另一種方式可以是首先在ivn與客戶網(wǎng)絡(luò)之間建立vpn(虛擬私有網(wǎng)絡(luò))連接，且然后通過客戶網(wǎng)絡(luò)間接地將流量從ivn發(fā)送到公共可訪問服務(wù)。然而，至少在一些環(huán)境中，這種基于vpn的連接性可能相當(dāng)昂貴，并且用于流量的間接路徑可能不一定足夠快(例如，相對(duì)于端到端延時(shí))以滿足客戶端應(yīng)用要求。

因此，為了促進(jìn)ivn資源與至少一些公共可訪問服務(wù)之間的有效連接性，在一些實(shí)施方案中，提供商網(wǎng)絡(luò)運(yùn)營商可以支持針對(duì)ivn的私有別名端點(diǎn)的建立。顧名思義，pae可以用作表示公共可訪問服務(wù)的“虛擬”端點(diǎn)，并且pae可以是“私有的”，因?yàn)槠涫褂貌恍枰騣vn內(nèi)的任何實(shí)體指派公共網(wǎng)絡(luò)地址。在一些環(huán)境中，pae也可以被稱為“虛擬私有端點(diǎn)”。在至少一些實(shí)施方案中，pae可以使在代表客戶端建立的ivn內(nèi)運(yùn)行的應(yīng)用能夠向在提供商網(wǎng)絡(luò)內(nèi)的其他地方實(shí)現(xiàn)的公共可訪問服務(wù)發(fā)送服務(wù)請(qǐng)求(并且從其接收響應(yīng))，例如，不必將ivn暴露給公共互聯(lián)網(wǎng)并且不需要穿過提供商網(wǎng)絡(luò)之外的網(wǎng)絡(luò)鏈路。如下所述，可以使用隧道協(xié)議來封裝在ivn處始發(fā)的流量數(shù)據(jù)包，用于傳輸?shù)教峁┥叹W(wǎng)絡(luò)的實(shí)現(xiàn)公共可訪問服務(wù)的部分。在各種實(shí)施方案中，在ivn中運(yùn)行的客戶端應(yīng)用和實(shí)現(xiàn)客戶端服務(wù)請(qǐng)求的公共可訪問服務(wù)的資源兩者甚至不必知道隧道協(xié)議的使用。也就是說，在這類實(shí)施方案中，可能不需要對(duì)客戶端應(yīng)用或在服務(wù)資源處服務(wù)客戶端請(qǐng)求所涉及的邏輯進(jìn)行改變。

在至少一個(gè)實(shí)施方案中，pae的建立可涉及客戶端執(zhí)行ivn配置的幾個(gè)附加步驟，在易用性方面非常類似于通常由客戶端執(zhí)行的ivn網(wǎng)絡(luò)配置的其他方面所要求的那些類別的步驟?？蛻舳丝衫缤ㄟ^編程式管理/事務(wù)管理接口(例如，控制臺(tái)或應(yīng)用編程接口(api))請(qǐng)求創(chuàng)建用于ivn的pae，且然后將pae與由用戶友好的服務(wù)名稱標(biāo)識(shí)的選定服務(wù)相關(guān)聯(lián)。然后，在一些實(shí)施方案中，客戶端可以例如在為ivn的一個(gè)或多個(gè)子網(wǎng)設(shè)置的路由表中指定pae作為其目的地是公共可訪問服務(wù)的任何節(jié)點(diǎn)或資源的流量的目標(biāo)。在一些實(shí)現(xiàn)中，通用別名(諸如服務(wù)名稱“svc1”)可以用于將服務(wù)指示為路由表中的目的地，并且指派給pae的標(biāo)識(shí)符可以被指示為目標(biāo)。在這類實(shí)現(xiàn)中，當(dāng)指定目的地時(shí)，客戶端可以不必標(biāo)識(shí)服務(wù)的任何ip地址。在至少一些實(shí)施方案中，客戶端可以在給定ivn處設(shè)置若干不同的pae，例如，以便能夠訪問在ivn之外實(shí)現(xiàn)的多個(gè)不同服務(wù)。

在已經(jīng)配置pae并且將其指示為旨在用于來自特定ivn的服務(wù)的流量的目標(biāo)之后，在ivn的計(jì)算實(shí)例(其中計(jì)算實(shí)例已經(jīng)被指派私有ip地址并且沒有公共ip地址)上運(yùn)行的客戶端應(yīng)用可以類似于從連接互聯(lián)網(wǎng)的裝置發(fā)出這類請(qǐng)求的方式向服務(wù)發(fā)出請(qǐng)求。例如，可以從計(jì)算實(shí)例(例如，向提供商網(wǎng)絡(luò)的dns服務(wù)器)發(fā)出dns請(qǐng)求以獲得服務(wù)的公共ip地址。應(yīng)用可以使用web服務(wù)api(或由服務(wù)支持的任何類似的編程接口)來提交服務(wù)請(qǐng)求，計(jì)算實(shí)例的操作系統(tǒng)或其他部件可將所述服務(wù)請(qǐng)求轉(zhuǎn)變成一個(gè)或多個(gè)基線數(shù)據(jù)包，其中將服務(wù)的公共ip地址作為目的地并且將實(shí)例的私有ip地址作為源。

如前所述，計(jì)算實(shí)例可以實(shí)現(xiàn)為在實(shí)例主機(jī)上運(yùn)行的客體虛擬機(jī)。在至少一些實(shí)施方案中，實(shí)例主機(jī)可包括虛擬化管理軟件堆棧的各種部件，諸如管理程序和/或特權(quán)操作系統(tǒng)實(shí)例(通常稱為“dom-0”或域零實(shí)例)。這種虛擬化管理部件(其在本文中可以被稱為vmc)可以負(fù)責(zé)將在客體虛擬機(jī)處發(fā)出的資源請(qǐng)求轉(zhuǎn)換為在硬件資源處執(zhí)行的物理操作。在一個(gè)實(shí)施方案中，在實(shí)例主機(jī)處運(yùn)行的vmc可以攔截從計(jì)算實(shí)例發(fā)出的基線數(shù)據(jù)包，并且vmc可以負(fù)責(zé)確定基線數(shù)據(jù)包應(yīng)當(dāng)如何變換(或者是否應(yīng)當(dāng)變換)以便在實(shí)例化主機(jī)所附接的物理網(wǎng)絡(luò)上傳輸。在一些實(shí)現(xiàn)中，vmc可以訪問ivn元數(shù)據(jù)記錄，其指示將pae選擇為導(dǎo)向到服務(wù)的流量的目標(biāo)，并且還可以訪問服務(wù)的公共ip地址列表。vmc因此可能夠確定所攔截的基線數(shù)據(jù)包將被傳送到與pae相關(guān)聯(lián)的服務(wù)。

在至少一些實(shí)施方案中，可以將各種服務(wù)(包括配置ivn的虛擬計(jì)算服務(wù)和指派給pae的目的地服務(wù))指派給提供商網(wǎng)絡(luò)的各自邏輯上不同的部分。在給定服務(wù)對(duì)之間的流量可能必須穿過橋接網(wǎng)絡(luò)(其也可以被稱為邊界網(wǎng)絡(luò))以從源服務(wù)到達(dá)目的地服務(wù)。這類橋接網(wǎng)絡(luò)也可以被認(rèn)為是提供商網(wǎng)絡(luò)的專用子集，正如源服務(wù)網(wǎng)絡(luò)和目的地服務(wù)網(wǎng)絡(luò)可以被認(rèn)為是提供商網(wǎng)絡(luò)的子集。顧名思義，橋接網(wǎng)絡(luò)可以用作提供商網(wǎng)絡(luò)的各種邏輯上不同的部分之間的中間網(wǎng)絡(luò)(并且在一些情況下，用作提供商網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的中介)。vmc可能不能直接訪問要被穿過以到達(dá)目的地服務(wù)的橋接網(wǎng)絡(luò)，并且因此可能需要使用能夠?qū)?shù)據(jù)包路由到這種橋接網(wǎng)絡(luò)上的中介。因此，在至少一些實(shí)施方案中，vmc可以例如在數(shù)據(jù)包的第一封裝版本中將基線數(shù)據(jù)包的內(nèi)容傳遞到隧道中介。然后，這個(gè)第一封裝數(shù)據(jù)包可以由隧道中介根據(jù)所選擇的隧道協(xié)議進(jìn)行變換，并且數(shù)據(jù)包的第二封裝版本可以通過橋接網(wǎng)絡(luò)路徑或隧道被傳送到目的地服務(wù)的節(jié)點(diǎn)。在各種實(shí)施方案中，多種不同封裝方法中的任一種可以用于封裝的任一階段；下文進(jìn)一步詳細(xì)描述封裝技術(shù)的一些具體實(shí)例。

在一個(gè)實(shí)施方案中，由隧道中介添加的一個(gè)或多個(gè)報(bào)頭可包括源ivn和/或與目的地服務(wù)相關(guān)聯(lián)的pae的編碼或表示。在一個(gè)實(shí)現(xiàn)中，例如，隧道協(xié)議可涉及在ipv6兼容數(shù)據(jù)包格式內(nèi)封裝ipv4基線數(shù)據(jù)包，其中一些ipv6地址位用于編碼ivn和/或pae標(biāo)識(shí)符。在目的地服務(wù)處，可以從封裝版本中提取基線數(shù)據(jù)包的內(nèi)容(包括例如，服務(wù)請(qǐng)求和源計(jì)算實(shí)例的私有ip地址)以及ivn和/或pae的標(biāo)識(shí)符。在一些實(shí)施方案中，ivn或pae標(biāo)識(shí)符可用于區(qū)分可能已經(jīng)被指派相同私有ip地址的源計(jì)算實(shí)例(在不同ivn處)，如下文進(jìn)一步詳細(xì)描述的?？梢詧?zhí)行在基線數(shù)據(jù)包本體中指示的所請(qǐng)求操作，并且可以向在源實(shí)例主機(jī)處的請(qǐng)求應(yīng)用返回響應(yīng)，例如，在相反方向上使用類似類型的隧道和封裝技術(shù)。

在至少一些實(shí)施方案中，客戶端可能夠?qū)⒃L問控制策略應(yīng)用于pae，例如，使用先前提到的那些類別的管理編程接口。訪問控制策略可以例如指示允許(或禁止)的操作或服務(wù)請(qǐng)求的類型、允許/禁止操作的對(duì)象(例如，在存儲(chǔ)相關(guān)服務(wù)處的文件或目錄)、策略所適用的時(shí)間段(例如，工作日的特定小時(shí))、策略所適用的主體(例如，特定用戶或群組)等。在將這類策略指派給pae的一些實(shí)施方案中，可以檢查從服務(wù)處的封裝數(shù)據(jù)包提取的請(qǐng)求，以確保它們不違反可應(yīng)用的策略。在其他實(shí)施方案中，代替或除了在目的地服務(wù)處檢查，可以在ivn側(cè)檢查潛在策略違反—例如，vmc可以中止請(qǐng)求的傳輸，如果其確定請(qǐng)求違反與待使用的pae相關(guān)聯(lián)的策略。

在一個(gè)實(shí)施方案中，pae可以不僅用于在ivn與由提供商網(wǎng)絡(luò)實(shí)現(xiàn)的服務(wù)之間路由數(shù)據(jù)包，而且還用于在ivn與在提供商網(wǎng)絡(luò)中的其他地方實(shí)現(xiàn)的第三方服務(wù)之間路由數(shù)據(jù)包。在這種實(shí)施方案中，第三方(例如，提供商網(wǎng)絡(luò)的虛擬計(jì)算服務(wù)的另一客戶)可以使用某一組提供商網(wǎng)絡(luò)資源來建立服務(wù)，并且通告可以訪問服務(wù)的公共ip地址。第三方提供商可以例如通過向提供商網(wǎng)絡(luò)的配置管理器提交請(qǐng)求來注冊(cè)其用于pae訪問的服務(wù)。配置管理器可以驗(yàn)證候選第三方服務(wù)能夠通過pae被指示為目標(biāo)的路由來支持訪問。例如，在一些實(shí)施方案中，配置管理器可以啟動(dòng)將能夠?qū)崿F(xiàn)隧道協(xié)議的前端節(jié)點(diǎn)(諸如智能負(fù)載平衡器)指派給第三方服務(wù)。在其他實(shí)施方案中，如果第三方服務(wù)運(yùn)營商已經(jīng)建立了旨在實(shí)現(xiàn)隧道協(xié)議的節(jié)點(diǎn)，則可以驗(yàn)證這類節(jié)點(diǎn)的能力。在第三方服務(wù)已經(jīng)注冊(cè)并且根據(jù)隧道協(xié)議可以提取(解封裝)和封裝數(shù)據(jù)包的前端節(jié)點(diǎn)已經(jīng)建立之后，客戶端可以在它們的ivn處配置pae以訪問第三方服務(wù)。例如，可以將第三方服務(wù)的名稱或別名(例如，“thirdpartysvc1”)添加到服務(wù)目的地選項(xiàng)列表(例如，“storagesvc1”、“dbsvc1”等等，其表示已經(jīng)被配置為pae支持的公共可訪問服務(wù))，所述服務(wù)目的地選項(xiàng)列表可以由客戶端使用編程接口而與pae相關(guān)聯(lián)。

示例性系統(tǒng)環(huán)境

圖1示出根據(jù)至少一些實(shí)施方案的可以建立私有別名端點(diǎn)(pae)以使得能夠在提供商網(wǎng)絡(luò)的隔離虛擬網(wǎng)絡(luò)與一個(gè)或多個(gè)公共可訪問服務(wù)之間路由網(wǎng)絡(luò)流量而在ivn處不指派公共ip地址并且不穿過客戶網(wǎng)絡(luò)的示例系統(tǒng)環(huán)境。如圖所示，系統(tǒng)100包括提供商網(wǎng)絡(luò)102，在所述提供商網(wǎng)絡(luò)102處，實(shí)現(xiàn)了包括虛擬計(jì)算服務(wù)(vcs)和公共可訪問服務(wù)svc1(即，使得其客戶端能夠通過公開通告的ip地址或uri提交請(qǐng)求的服務(wù))的多個(gè)服務(wù)。公共可訪問服務(wù)svc1可包括例如存儲(chǔ)服務(wù)(提供對(duì)任意大小的存儲(chǔ)對(duì)象的基于web服務(wù)的訪問)、非關(guān)系數(shù)據(jù)庫服務(wù)、關(guān)系數(shù)據(jù)庫服務(wù)、通知服務(wù)、消息排隊(duì)服務(wù)或多種其他類型服務(wù)中的任一個(gè)。這些服務(wù)中的每一個(gè)可包括多個(gè)主機(jī)、存儲(chǔ)裝置和其他計(jì)算設(shè)備，它們共同形成提供商網(wǎng)絡(luò)的邏輯上分離的部分，例如具有其自己的管理層或控制平面層。在圖1中，例如，vcs的資源位于vcs網(wǎng)絡(luò)104內(nèi)，而svc1的資源位于svc1網(wǎng)絡(luò)170內(nèi)。

在vcs網(wǎng)絡(luò)104內(nèi)，可以代表各種客戶端建立許多不同的隔離虛擬網(wǎng)絡(luò)(ivn)110，諸如ivn110a和ivn110b。代表其建立給定ivn110的客戶端可以被授予關(guān)于ivn的網(wǎng)絡(luò)配置的相當(dāng)大的靈活性—例如，客戶端可以向各種計(jì)算實(shí)例112指派期望的ip地址而不必確保ip地址不與在ivn之外使用的其他地址重疊，設(shè)置子網(wǎng)，填充路由表等。如圖所示，每個(gè)ivn可包括多個(gè)實(shí)例主機(jī)(ih)130，諸如ivn110a中的ih130a和130b以及ivm110b中的ih130m和130n。一個(gè)或多個(gè)計(jì)算實(shí)例(ci)112可以在每個(gè)ih130處被實(shí)例化，諸如在ih130a處的ci112a、在ih130b處的ci112b、在ih130m處的ci112k和在ih130n處的ci112l。每個(gè)計(jì)算實(shí)例可用于一個(gè)或多個(gè)客戶端應(yīng)用或應(yīng)用子部件。

在圖1所示的實(shí)施方案中，服務(wù)svc1包括至少兩層資源：前端(fe)節(jié)點(diǎn)171(諸如負(fù)載平衡器和/或請(qǐng)求路由器)，所述前端節(jié)點(diǎn)171被配置來接收輸入服務(wù)請(qǐng)求并傳送出站服務(wù)響應(yīng)；以及后端(be)節(jié)點(diǎn)173，在所述后端節(jié)點(diǎn)173處實(shí)現(xiàn)用于履行服務(wù)請(qǐng)求的服務(wù)的邏輯。至少一些fe節(jié)點(diǎn)(諸如fe節(jié)點(diǎn)171a、171b和171c)可具有指派給它們的公共ip地址，從而使svc1可公開訪問，例如公共互聯(lián)網(wǎng)139的裝置以及客戶擁有的網(wǎng)絡(luò)(諸如網(wǎng)絡(luò)185)處的互聯(lián)網(wǎng)連接裝置。

在所描繪的實(shí)施方案中，在ivn110a處已經(jīng)建立了私有別名端點(diǎn)(pae)150，例如以使得svc1相關(guān)數(shù)據(jù)包能夠在ci110a(其具有不能從公共互聯(lián)網(wǎng)直接訪問的私有ip地址)與svc1網(wǎng)絡(luò)170之間流動(dòng)，而不需要ci110a具有被指派給它的公共ip地址，并且不需要流量穿過客戶擁有的網(wǎng)絡(luò)185或公共互聯(lián)網(wǎng)139的鏈路。如下文進(jìn)一步詳細(xì)描述的，在一些實(shí)施方案中可以建立用于ivn110a的路由表?xiàng)l目，以指示在ivn110a的一個(gè)或多個(gè)子網(wǎng)(包括其中配置了ci110a的子網(wǎng))處始發(fā)并且目的地為svc1的流量以pae150為目標(biāo)。在至少一些實(shí)施方案中，這個(gè)路由表?xiàng)l目以及其他元數(shù)據(jù)(諸如svc1的公共ip地址列表)可以用于在ivn110a的每個(gè)實(shí)例主機(jī)130上運(yùn)行的虛擬化管理部件(vmc)(例如，管理程序部件)。ivn配置管理器106可以實(shí)現(xiàn)一個(gè)或多個(gè)編程接口(諸如應(yīng)用編程接口(api)、基于web的控制臺(tái)、命令行工具或圖形用戶接口等)，使得客戶端能夠請(qǐng)求創(chuàng)建pae、將特定服務(wù)與pae相關(guān)聯(lián)、創(chuàng)建或修改ivn的路由表?xiàng)l目等。

實(shí)例主機(jī)130a處的vmc可以攔截在ci112a處生成并包含導(dǎo)向到svc1的服務(wù)請(qǐng)求的出站基線網(wǎng)絡(luò)數(shù)據(jù)包。(應(yīng)注意，一些服務(wù)請(qǐng)求和其相關(guān)聯(lián)的請(qǐng)求參數(shù)可能需要多于一個(gè)數(shù)據(jù)包。為了簡(jiǎn)化呈現(xiàn)，在以下的討論中假定服務(wù)請(qǐng)求裝入基線數(shù)據(jù)包。在各種實(shí)施方案中，本文描述的用于這類服務(wù)請(qǐng)求的隧道技術(shù)也可以用于跨越數(shù)據(jù)包邊界的服務(wù)請(qǐng)求)。服務(wù)請(qǐng)求可以根據(jù)由svc1支持的任何適當(dāng)?shù)慕涌?諸如http(超文本傳輸協(xié)議)、https(安全http)、xml(可擴(kuò)展標(biāo)記語言)等)來格式化?；€數(shù)據(jù)包可指示作為源的ci的私有ip地址和作為目的地的svc1的公共ip地址。在所描繪的實(shí)施方案中，vmc可根據(jù)第一封裝協(xié)議從基線數(shù)據(jù)包生成第一封裝數(shù)據(jù)包。在一些實(shí)現(xiàn)中，在第一封裝數(shù)據(jù)包內(nèi)，基線數(shù)據(jù)包可以被包括在本體中，而第一封裝協(xié)議的一個(gè)或多個(gè)附加報(bào)頭可以包括(除其他信息之外)數(shù)據(jù)包包含pae流量的指示。在所描繪的實(shí)施方案中，如由用于pae流量162的虛線箭頭所指示，第一封裝數(shù)據(jù)包可以從實(shí)例主機(jī)112a被傳送到隧道中介(ti)，諸如隧道中介群140中的ti142a。可能已經(jīng)建立了ti群140(其可包括被設(shè)置為ti的多個(gè)計(jì)算裝置，諸如ti142a、142b等)，以允許流量在vcs網(wǎng)絡(luò)104與提供商網(wǎng)絡(luò)的多種其他邏輯上分離的網(wǎng)絡(luò)(包括svc1的網(wǎng)絡(luò)170)之間流動(dòng)。在一些實(shí)施方案中，隧道中介可包括針對(duì)網(wǎng)絡(luò)相關(guān)處理而優(yōu)化的專用計(jì)算裝置。在其他實(shí)施方案中，隧道中介可包括在通用計(jì)算裝置處執(zhí)行的進(jìn)程或線程。

在至少一些實(shí)施方案中，在接收到第一封裝數(shù)據(jù)包時(shí)，ti142a可以提取基線數(shù)據(jù)包的內(nèi)容以及由vmc添加的報(bào)頭。在一個(gè)實(shí)施方案中，ti142a可利用與特定隧道協(xié)議相關(guān)聯(lián)的映射數(shù)據(jù)庫來分別從基線數(shù)據(jù)包的源和目的地地址生成不同的源和目的地地址。例如，在一個(gè)實(shí)現(xiàn)中，基線數(shù)據(jù)包源和目的地ip地址可以根據(jù)ipv4(互聯(lián)網(wǎng)協(xié)議第4版)被格式化，并且ti142a可以利用更長的ipv6(互聯(lián)網(wǎng)協(xié)議第6版)地址來替換它們，用于將要通過內(nèi)部橋接網(wǎng)絡(luò)160發(fā)送到svc1網(wǎng)絡(luò)170的第二封裝數(shù)據(jù)包。內(nèi)部橋接網(wǎng)絡(luò)160可以用作提供商網(wǎng)絡(luò)中的交叉服務(wù)流量的路徑，例如，用于來自虛擬計(jì)算服務(wù)的目的地為公共可訪問服務(wù)的流量。在一些實(shí)施方案中，內(nèi)部橋接網(wǎng)絡(luò)160可以被稱為邊界網(wǎng)絡(luò)，并且還可以用于在公共互聯(lián)網(wǎng)與虛擬計(jì)算服務(wù)之間流動(dòng)的流量。

在一個(gè)實(shí)現(xiàn)中，在ti142a處，基線數(shù)據(jù)包的源ip地址可以用作映射數(shù)據(jù)庫中的密鑰，以查找將要在出站的第二封裝數(shù)據(jù)包中使用的對(duì)應(yīng)源地址。類似地，在這種實(shí)現(xiàn)中，基線數(shù)據(jù)包的目的地ip地址可以用作映射數(shù)據(jù)庫中的密鑰，以查找在將要在出站的第二封裝數(shù)據(jù)包中使用的對(duì)應(yīng)目的地地址。在至少一些實(shí)施方案中，使用用于第二封裝數(shù)據(jù)包的源地址和目的地地址的更大數(shù)量的位可使得ti142a能夠包括源ivn(例如，在數(shù)據(jù)包源于ci112a處的情況下，ivn110a)的標(biāo)識(shí)符和/或第二封裝數(shù)據(jù)包中的pae(例如，pae150)的標(biāo)識(shí)符的編碼。在一些實(shí)施方案中，在第一封裝數(shù)據(jù)包中，pae和/或ivn的標(biāo)識(shí)符可以被包括在由vmc添加的報(bào)頭中，并且ti142可以從這類報(bào)頭獲得標(biāo)識(shí)符。在其他實(shí)施方案中，從映射數(shù)據(jù)庫獲得的源和目的地地址可包括ivn和/或pae的編碼的標(biāo)識(shí)符。

在ti142a處生成的第二封裝數(shù)據(jù)包可通過橋接網(wǎng)絡(luò)160傳送到目的地服務(wù)svc1的前端節(jié)點(diǎn)171(例如，171a)。前端節(jié)點(diǎn)171可能夠根據(jù)隧道協(xié)議執(zhí)行解封裝，以提取基線數(shù)據(jù)包的內(nèi)容(包括源ci私有ip地址)以及源ivn(例如，ivn110a)的標(biāo)識(shí)符和/或pae(例如，pae150)的標(biāo)識(shí)符以用于路由。在至少一些實(shí)施方案中，pae和/或源ivn的標(biāo)識(shí)可使得svc1節(jié)點(diǎn)能夠區(qū)分來自具有相同源私有ip地址的不同計(jì)算實(shí)例的服務(wù)請(qǐng)求，如下文更詳細(xì)地描述的。在基線數(shù)據(jù)包中指示的服務(wù)請(qǐng)求可以被傳遞到后端節(jié)點(diǎn)173(例如，173a)以用于處理。在處理了所述請(qǐng)求之后，可以在后端節(jié)點(diǎn)處生成基線響應(yīng)數(shù)據(jù)包，根據(jù)隧道協(xié)議將所述基線響應(yīng)數(shù)據(jù)包封裝，并且以相反的方向?qū)⑵鋫魉突卣?qǐng)求的源(ci112a)。ti142(例如，ti142a或不同的ti)可通過內(nèi)部橋接網(wǎng)絡(luò)160接收封裝的響應(yīng)，使用第一封裝協(xié)議生成修改的封裝版本，并將其傳送到在ih130a處的vmc。vmc可以提取基線響應(yīng)數(shù)據(jù)包并將其提供給源ci112a。

應(yīng)注意，雖然上文已經(jīng)討論了兩種不同的封裝協(xié)議，但是在一些實(shí)施方案中，可能僅需要或使用單個(gè)封裝協(xié)議來促進(jìn)計(jì)算實(shí)例與公共可訪問服務(wù)之間的流量。例如，在一個(gè)這種實(shí)施方案中，vmc可能夠?qū)崿F(xiàn)用于內(nèi)部橋接網(wǎng)絡(luò)上的流量的隧道協(xié)議，并且因此vmc本身可以充當(dāng)隧道中介。在這種實(shí)施方案中，vmc可以攔截具有作為目的地的與pae150相關(guān)聯(lián)的公共可訪問服務(wù)的數(shù)據(jù)包，生成包含源ivn和/或pae的編碼的封裝數(shù)據(jù)包，并且將所述封裝數(shù)據(jù)包傳送到橋接網(wǎng)絡(luò)裝置。

通過使用pae作為朝向svc1導(dǎo)向的流量的路由表?xiàng)l目中的目標(biāo)，客戶端可能夠避免在ivn與svc1之間路由流量的兩種其他方法，這兩者也在圖1中示出。在一種方法中，代表其建立ivn110b的客戶端可以決定為其ivn建立互聯(lián)網(wǎng)網(wǎng)關(guān)182和/或?qū)⒐瞚p地址(其可以從公共互聯(lián)網(wǎng)訪問)指派給其實(shí)例中的一個(gè)，諸如ci112k。在這種情境下，包含在ci112k處生成的svc1請(qǐng)求的基線數(shù)據(jù)包可以例如通過類似于指示用于互聯(lián)網(wǎng)網(wǎng)關(guān)(igw)流量的路徑163的路徑，被傳送到svc1節(jié)點(diǎn)(例如，fe節(jié)點(diǎn)171b)，而不使用上述那種類別的隧道協(xié)議。在一些情況下，用于在公共ip地址處始發(fā)的流量的路徑可包括公共互聯(lián)網(wǎng)的鏈路139。與使用互聯(lián)網(wǎng)網(wǎng)關(guān)方法相比，使用pae方法的一個(gè)潛在優(yōu)點(diǎn)是，ivn110b可能比ivn110a(不必為其指派公共ip地址)更容易受到來自公共互聯(lián)網(wǎng)的攻擊(由于暴露公共ip地址)。

在使用pae的第二替代方案中，客戶端可以建立vpn(虛擬私有網(wǎng)絡(luò))網(wǎng)關(guān)183，以在ivn110b與客戶擁有的網(wǎng)絡(luò)185之間提供安全的連接性。從諸如ci112l的實(shí)例導(dǎo)向到svc1的數(shù)據(jù)包可以首先發(fā)送到客戶擁有的網(wǎng)絡(luò)185，且然后(例如，通過公共互聯(lián)網(wǎng)鏈路139)發(fā)送到svc1節(jié)點(diǎn)(諸如fe節(jié)點(diǎn)171c)。應(yīng)注意，建立了vpn網(wǎng)關(guān)185的ivn(諸如110b)不需要利用公共ip地址，并且不需要建立互聯(lián)網(wǎng)網(wǎng)關(guān)182，并且僅使用vpn網(wǎng)關(guān)的客戶端可以從而避免以上提及的安全漏洞。然而，在許多情況下，對(duì)于源自提供商網(wǎng)絡(luò)(例如，在ivn內(nèi)的實(shí)例處)并且目標(biāo)是提供商網(wǎng)絡(luò)內(nèi)的目的地(例如，svc1節(jié)點(diǎn))的流量，使用到外部網(wǎng)絡(luò)的vpn連接在若干方面可能是低效的。例如，在至少一些實(shí)施方案中，與pae方法相比，如果使用vpn方法，可能遇到更高的延時(shí)，可能維持更低的吞吐量和/或可能導(dǎo)致更高的計(jì)費(fèi)成本。盡管在圖1中示出分別對(duì)應(yīng)于以上討論的三種替代路由方法(即，使用pae的路由、使用公共ip地址作為源ip地址的路由以及使用vpn的路由)的三個(gè)單獨(dú)的fe節(jié)點(diǎn)171a、171b和171c，但是在至少一些實(shí)施方案中，任何給定的fe節(jié)點(diǎn)可能夠處理使用任何替代方案?jìng)魉偷牧髁?。因此，三個(gè)fe節(jié)點(diǎn)的圖示并不意味著暗示各自的fe節(jié)點(diǎn)組需要用于不同的連接性替代方案。

在一個(gè)實(shí)施方案中，虛擬計(jì)算服務(wù)可以提供暴露一組api的服務(wù)連接庫(scl)，其可以被調(diào)用以使用pae從在ivn的計(jì)算實(shí)例上運(yùn)行的應(yīng)用來訪問公共可訪問服務(wù)。在這種情境下，應(yīng)用可以發(fā)出指示目標(biāo)服務(wù)svc1的api調(diào)用，其中服務(wù)請(qǐng)求的內(nèi)容由api調(diào)用的參數(shù)指示。scl可以確定應(yīng)用意圖向svc1提交服務(wù)請(qǐng)求，并且可以啟動(dòng)將服務(wù)請(qǐng)求傳送到svc1所需的適當(dāng)封裝的實(shí)現(xiàn)。因此，代替使用傳統(tǒng)方法，其中應(yīng)用啟動(dòng)基線數(shù)據(jù)包的生成，從服務(wù)請(qǐng)求創(chuàng)建數(shù)據(jù)包的工作可以由scl處理。在一些這類實(shí)施方案中，應(yīng)用甚至不需要獲得目標(biāo)服務(wù)的特定公共ip地址；例如，服務(wù)請(qǐng)求的目的地可以由服務(wù)名稱而不是特定網(wǎng)絡(luò)地址指示。在一個(gè)實(shí)施方案中，即使應(yīng)用指示api調(diào)用中的服務(wù)的特定目標(biāo)公共地址，scl可以將封裝版本的服務(wù)請(qǐng)求傳送到目標(biāo)服務(wù)的不同公共或私有ip地址(只要由scl選擇的實(shí)際目的地能夠適當(dāng)?shù)仨憫?yīng)于服務(wù)請(qǐng)求)。

數(shù)據(jù)包流動(dòng)實(shí)例

圖2示出根據(jù)至少一些實(shí)施方案的將在隔離虛擬網(wǎng)絡(luò)的計(jì)算實(shí)例處始發(fā)的數(shù)據(jù)包引導(dǎo)朝向公共可訪問服務(wù)處的目的地所涉及的示例性部件。如圖所示，ivn210的實(shí)例主機(jī)230可包括多個(gè)計(jì)算實(shí)例112，諸如實(shí)例112a和112b。每個(gè)實(shí)例112可包括在客體虛擬機(jī)上運(yùn)行的各自操作系統(tǒng)實(shí)例。客戶端應(yīng)用的一個(gè)或多個(gè)部件可以在每個(gè)計(jì)算實(shí)例處運(yùn)行，諸如計(jì)算實(shí)例112a處的應(yīng)用進(jìn)程220a和計(jì)算實(shí)例112b處的應(yīng)用進(jìn)程220b。計(jì)算實(shí)例與實(shí)例主機(jī)的硬件部件(諸如用于網(wǎng)絡(luò)流量的網(wǎng)絡(luò)接口卡或nic)之間的交互可以由一個(gè)或多個(gè)虛擬化管理部件(vmc)(諸如vmc240)管理。vmc可以例如包括管理程序和/或特權(quán)操作系統(tǒng)實(shí)例(其有時(shí)可以被稱為域零或dom0操作系統(tǒng)實(shí)例)。

在所描繪的實(shí)施方案中，至少一些應(yīng)用可能需要訪問在ivn之外實(shí)現(xiàn)的一個(gè)或多個(gè)服務(wù)(例如，可以向所述一個(gè)或多個(gè)服務(wù)提交服務(wù)請(qǐng)求并且可以從其接收服務(wù)響應(yīng))。例如，應(yīng)用進(jìn)程220b可要求訪問公共可訪問服務(wù)svc1。因此，如圖2中標(biāo)記為“1”的箭頭所示，可以從計(jì)算實(shí)例向dns服務(wù)器252(例如，可以從實(shí)現(xiàn)ivn210的虛擬計(jì)算服務(wù)網(wǎng)絡(luò)內(nèi)訪問的dns服務(wù)器)提交請(qǐng)求svc1的ip地址的dns查詢204。dns服務(wù)器252可以提供由svc1暴露或通告的公共ip地址205，如標(biāo)記為“2”的箭頭所指示。在至少一些實(shí)施方案中，如果應(yīng)用在一段時(shí)間內(nèi)沒有與svc1交互，則可以僅執(zhí)行dns查找。也就是說，一旦已經(jīng)獲得了svc1的地址，就可以在沒有與dns服務(wù)器252的進(jìn)一步交互的情況下由實(shí)例112b長期使用(例如，只要地址保持有效)。

在所描繪的實(shí)施方案中，導(dǎo)向到svc1的服務(wù)請(qǐng)求可以包括在實(shí)例112b處生成的基線數(shù)據(jù)包250的本體中，并且發(fā)送到計(jì)算實(shí)例的網(wǎng)絡(luò)堆棧以用于向svc1傳播。基線數(shù)據(jù)包250可以指示實(shí)例112b的私有ip地址作為其源地址，并且svc1的公共ip地址作為目的地。與其他網(wǎng)絡(luò)數(shù)據(jù)包一樣，vmc240(其可以負(fù)責(zé)物理網(wǎng)絡(luò)傳輸)可以攔截基線數(shù)據(jù)包，如標(biāo)記為“3”的箭頭所指示。

在所描繪的實(shí)施方案中，vmc240可以訪問pae相關(guān)的元數(shù)據(jù)和其他ivn元數(shù)據(jù)，諸如路由表235和svc1公共ip地址的列表236。路由表235可包括指示應(yīng)當(dāng)用于路由通往各種目的地的數(shù)據(jù)包的目標(biāo)的條目—例如，對(duì)于目的地地址在范圍n1.n2.n3.*中的數(shù)據(jù)包，應(yīng)當(dāng)使用目標(biāo)k.l.m.n。在圖2所示的實(shí)例中，已經(jīng)創(chuàng)建了用于svc1的任何節(jié)點(diǎn)的數(shù)據(jù)包的路由表，其中私有別名端點(diǎn)pae-1被指示為目標(biāo)。在所描繪的實(shí)施方案中，基于對(duì)在基線數(shù)據(jù)包250中指示的目的地和對(duì)其可用的pae相關(guān)元數(shù)據(jù)的分析，vmc240可以生成第一封裝數(shù)據(jù)包251。數(shù)據(jù)包251的本體可以并入基線數(shù)據(jù)包250的內(nèi)容(包括其源和目的地信息)，而附加報(bào)頭260可以由vmc240根據(jù)用于vmc與隧道中介242之間的通信的第一封裝協(xié)議p1來生成。封裝數(shù)據(jù)包251可以從vmc240發(fā)送到特定隧道中介242，如標(biāo)記為“4”的箭頭所指示。在至少一些實(shí)施方案中，p1報(bào)頭260可包括基線數(shù)據(jù)包與pae1相關(guān)聯(lián)和/或在ivn210處始發(fā)的指示。應(yīng)注意，vmc240與隧道中介242之間的路徑本身可包括若干跳，例如，基于圖2中未示出的路由表?xiàng)l目選擇各跳的目標(biāo)。

隧道中介242可以檢查包含在封裝數(shù)據(jù)包251中的p1報(bào)頭260和/或基線數(shù)據(jù)包250的源/目的地報(bào)頭。使用第二封裝協(xié)議p2(本文中也稱為隧道協(xié)議)的映射數(shù)據(jù)庫262，隧道中介242可以生成包括一個(gè)或多個(gè)p2報(bào)頭261和基線數(shù)據(jù)包250的第二封裝數(shù)據(jù)包255。在一些實(shí)施方案中，基線數(shù)據(jù)包的源和目的地地址可以用作映射數(shù)據(jù)庫262的索引，以標(biāo)識(shí)將要用于數(shù)據(jù)包255的新的源和數(shù)據(jù)包報(bào)頭。在一些實(shí)現(xiàn)中，根據(jù)協(xié)議p2，ipv4基線數(shù)據(jù)包250可以例如使用siit(無狀態(tài)ip/icmp(互聯(lián)網(wǎng)協(xié)議/互聯(lián)網(wǎng)控制消息協(xié)議))轉(zhuǎn)換)或類似的ipv4-ipv6報(bào)頭轉(zhuǎn)換機(jī)制而被被封裝在ipv6兼容數(shù)據(jù)包255內(nèi)。在其他實(shí)施方案中，提供商網(wǎng)絡(luò)的專有封裝協(xié)議可以用于生成封裝數(shù)據(jù)包255。在一些實(shí)施方案中，代替使用ipv6，隧道中介可以使用諸如tcp選項(xiàng)報(bào)頭的附加ipv4報(bào)頭，或者可以使用udp(用戶數(shù)據(jù)報(bào)協(xié)議)封裝(例如，通過將基線數(shù)據(jù)包內(nèi)容并入udp消息內(nèi))。在一些實(shí)施方案中，可以包括在p1報(bào)頭260和p2報(bào)頭261內(nèi)的那些類別的信息的實(shí)例在圖4中提供并且在下文描述?？梢詫⒎庋b數(shù)據(jù)包255從隧道中介242傳送到將要被穿過以到達(dá)svc2節(jié)點(diǎn)的適當(dāng)橋接網(wǎng)絡(luò)160的裝置。

圖3a和圖3b示出根據(jù)至少一些實(shí)施方案的可以處理在隔離虛擬網(wǎng)絡(luò)的計(jì)算實(shí)例處始發(fā)的數(shù)據(jù)包的服務(wù)側(cè)部件的各自實(shí)例。如先前提及的，在一些實(shí)施方案中，至少兩種類型的服務(wù)可以支持來自已經(jīng)配置了pae的ivn的客戶端訪問。第一類型的服務(wù)可以由提供商網(wǎng)絡(luò)運(yùn)營商實(shí)現(xiàn)，而第二類型可以包括由第三方(如提供商網(wǎng)絡(luò)的客戶)實(shí)現(xiàn)的服務(wù)。對(duì)于第一類型的服務(wù)，諸如圖3a所示的提供商網(wǎng)絡(luò)實(shí)現(xiàn)的服務(wù)376，前端節(jié)點(diǎn)374可以熟知(即能夠?qū)崿F(xiàn))由隧道中介242使用的封裝協(xié)議p2。也就是說，在接收到根據(jù)協(xié)議p2格式化的數(shù)據(jù)包255時(shí)，服務(wù)376的前端節(jié)點(diǎn)374可能夠提取基線數(shù)據(jù)包內(nèi)容并且生成可以被發(fā)送到后端節(jié)點(diǎn)374以供處理的對(duì)應(yīng)內(nèi)部請(qǐng)求350。在一些情況下，提供商網(wǎng)絡(luò)實(shí)現(xiàn)的服務(wù)可以支持例如根據(jù)http(超文本傳輸協(xié)議)格式化的服務(wù)請(qǐng)求，并且前端節(jié)點(diǎn)可以向基線請(qǐng)求添加一個(gè)或多個(gè)x-forwarded-for報(bào)頭以指示生成基線數(shù)據(jù)包的源ivn和/或用于路由基線數(shù)據(jù)包的pae的標(biāo)識(shí)符。在已經(jīng)在后端節(jié)點(diǎn)處執(zhí)行所請(qǐng)求的操作之后，可以例如使用響應(yīng)路徑中的類似封裝技術(shù)將響應(yīng)傳送回到請(qǐng)求計(jì)算實(shí)例。例如，服務(wù)376的熟知p2的前端節(jié)點(diǎn)374可以生成包括基線響應(yīng)的至少一部分的p2兼容封裝數(shù)據(jù)包，并且通過橋接網(wǎng)絡(luò)160將其發(fā)送到隧道中介242，所述隧道中介242繼而可以生成p1兼容封裝數(shù)據(jù)包并將其傳送到適當(dāng)?shù)膙mc240。vmc240可以從p1兼容數(shù)據(jù)包提取基線響應(yīng)，并將其提供給源計(jì)算實(shí)例，諸如112b。

與由提供商網(wǎng)絡(luò)運(yùn)營商實(shí)現(xiàn)的服務(wù)節(jié)點(diǎn)相反，至少一些第三方服務(wù)(諸如圖3b所示的第三方服務(wù)378)可不包括能夠從根據(jù)協(xié)議p2生成的封裝數(shù)據(jù)包255中提取基線數(shù)據(jù)包的節(jié)點(diǎn)。在一些情況下，例如，p2的細(xì)節(jié)可能不可用于第三方服務(wù)運(yùn)營商，或者這類運(yùn)營商可能沒有用于構(gòu)建p2兼容服務(wù)節(jié)點(diǎn)的資源或?qū)ｉT知識(shí)。因此，在至少一些實(shí)現(xiàn)中，響應(yīng)于針對(duì)基于pae的路由注冊(cè)這類第三方服務(wù)的請(qǐng)求或響應(yīng)于注冊(cè)后請(qǐng)求，提供商網(wǎng)絡(luò)的配置或控制平面部件可以建立一個(gè)或多個(gè)服務(wù)側(cè)熟知p2的中介370。這種服務(wù)側(cè)中介370可以從封裝數(shù)據(jù)包255中提取基線數(shù)據(jù)包250，并將它們傳送到第三方服務(wù)378的前端節(jié)點(diǎn)375。前端節(jié)點(diǎn)375隨后可以將基線數(shù)據(jù)包250轉(zhuǎn)換成內(nèi)部請(qǐng)求352，其可以以專有第三方格式、http或根據(jù)服務(wù)378的后端節(jié)點(diǎn)380所期望的任何其他接口生成。然后，可以在后端節(jié)點(diǎn)處履行與內(nèi)部請(qǐng)求352相對(duì)應(yīng)的操作，并且可以在中介370處封裝之后將響應(yīng)沿相反方向傳送到始發(fā)請(qǐng)求的計(jì)算實(shí)例。

封裝格式

圖4示出根據(jù)至少一些實(shí)施方案的在計(jì)算實(shí)例處始發(fā)的基線數(shù)據(jù)包的封裝格式的實(shí)例。如圖所示，在所描繪的實(shí)施方案中，基線數(shù)據(jù)包402可以指示源和目的地ip第4版地址。例如，在隔離虛擬網(wǎng)絡(luò)內(nèi)，客戶端可以將私有ip地址“10.0.1.2”(未在ivn之外通告)指派給計(jì)算實(shí)例112，并且這個(gè)私有ip地址可以被指示為基線數(shù)據(jù)包402中的源地址。可以由dns服務(wù)器響應(yīng)于對(duì)將從計(jì)算實(shí)例訪問的特定公共可訪問服務(wù)svc1的地址的dns查詢來提供公共ip第4版地址“176.32.101.25”。服務(wù)的這個(gè)公共地址可以被指示為基線數(shù)據(jù)包402的目的地。tcp端口數(shù)量也可以在基線數(shù)據(jù)包中指示，例如，端口4321作為計(jì)算實(shí)例處的源端口，并且端口80作為目的地服務(wù)端口?；€數(shù)據(jù)包402的有效負(fù)載或本體部分可以指示正被傳送的服務(wù)請(qǐng)求的類型，諸如導(dǎo)向到存儲(chǔ)服務(wù)的讀取或?qū)懭胝?qǐng)求，以及服務(wù)請(qǐng)求的參數(shù)。

在所描繪的實(shí)施方案中，根據(jù)用于與隧道中介通信的第一封裝協(xié)議p1，基線數(shù)據(jù)包402可以由實(shí)例的主機(jī)處的虛擬化管理部件(例如，vmc-x)封裝。在p1兼容數(shù)據(jù)包404中，基線數(shù)據(jù)包可以包括在本體中，并且可以添加一個(gè)或多個(gè)p1報(bào)頭。在一些實(shí)現(xiàn)中，vmc的標(biāo)識(shí)符可以被指示為源，并且隧道中介群可以被指示為目的地。在一些實(shí)施方案中，數(shù)據(jù)包404中可以包括其他p1特定的報(bào)頭，例如，標(biāo)識(shí)生成基線數(shù)據(jù)包的源ivn和/或指示在指定svc1作為目的地的路由表?xiàng)l目中指示的pae。在至少一些實(shí)施方案中，p1兼容格式可以使用ip第4版格式用于各種報(bào)頭字段。

在所描繪的實(shí)施方案中，在隧道中介處，可以剝離p1兼容數(shù)據(jù)包404的p1報(bào)頭，并且可以根據(jù)隧道協(xié)議p2添加一組不同的報(bào)頭以用于跨越橋接網(wǎng)絡(luò)到目的地服務(wù)的通信。在所描繪的實(shí)施方案中，由隧道中介生成的p2兼容數(shù)據(jù)包406可以包括ipv6源和目的地字段。在一些實(shí)施方案中，可用于ipv6中的源地址的128位的32位子集可以用于指示源計(jì)算實(shí)例的私有ipv4地址。類似地，可用于ipv6中的目的地地址的128位的32位子集可以用于指示目的地服務(wù)的ipv4公共地址。例如，數(shù)據(jù)包406的源地址的低階位是0a00:0102，其是源ipv4地址10.0.1.2的替代表示，并且數(shù)據(jù)包406的目的地地址的低階位是b020:657d，其是ipv4目的地地址176.32.101.25的替代表示。

在一個(gè)實(shí)現(xiàn)中，如圖4所示的地址結(jié)構(gòu)408所指示，ipv6中可用的128個(gè)地址位可以根據(jù)隧道協(xié)議p2如下使用。最低階的32位(位0至31)可用于源或目的地ipv4地址，位40-71可用于指示pae標(biāo)識(shí)符，并且位80-127可用于分配給正在實(shí)現(xiàn)源ivn或目的地服務(wù)的提供商網(wǎng)絡(luò)位置或數(shù)據(jù)中心的48位ipv6前綴。在所描繪的實(shí)現(xiàn)中，為pae標(biāo)識(shí)符留出的32位中的24位(例如，較高階24位)可以指示源ivn標(biāo)識(shí)符。因此，在至少一些實(shí)施方案中，ivn標(biāo)識(shí)符可以嵌入在pae標(biāo)識(shí)符中，并且因此可從其中提取。在不同的實(shí)現(xiàn)中，可以使用用于表示源ivn標(biāo)識(shí)符、pae標(biāo)識(shí)符或兩者的其他編碼技術(shù)。一些數(shù)量的位可以保留供將來使用(rfu)，諸如位31-39和位72-80，例如以適應(yīng)唯一地標(biāo)識(shí)pae所需的位數(shù)量的可能的未來增加。構(gòu)造如圖所示的p2兼容封裝數(shù)據(jù)包地址(例如，具有用于編碼ipv4源/目的地地址的最低有效32位)的一個(gè)優(yōu)點(diǎn)是，至少一些負(fù)載平衡器在它們接收到這種ipv6兼容數(shù)據(jù)包時(shí)可以選擇相同的目的地，正如在僅128位的ipv4部分被指示為目的地的情況下將選擇的。在不同實(shí)施方案中，可以使用其他方法來劃分ipv6兼容地址結(jié)構(gòu)，例如，其中位的不同子集用于指示ivn標(biāo)識(shí)符和/或pae標(biāo)識(shí)符。

根據(jù)至少一些實(shí)施方案，隧道協(xié)議可以在運(yùn)行源計(jì)算實(shí)例的實(shí)例主機(jī)處實(shí)現(xiàn)，例如，不需要單獨(dú)的隧道中介群。在這類實(shí)施方案中，圖4所示的兩步封裝可以組合成在實(shí)例主機(jī)處運(yùn)行的vmc和/或不同服務(wù)連接部件處實(shí)現(xiàn)的單個(gè)邏輯步驟。在這類實(shí)施方案中，vmc和/或服務(wù)連接部件可以被認(rèn)為是源計(jì)算實(shí)例與目的地服務(wù)之間的隧道中介。

pae配置

圖5示出根據(jù)至少一些實(shí)施方案的pae配置請(qǐng)求和響應(yīng)的實(shí)例。如圖所示，提供商網(wǎng)絡(luò)的配置管理器592可以實(shí)現(xiàn)一個(gè)或多個(gè)編程接口550，諸如api、基于web的控制臺(tái)、定制gui或命令行工具。使用這種接口，客戶端502可以提交“在ivn中創(chuàng)建pae”請(qǐng)求505以在指定的ivn中創(chuàng)建私有別名端點(diǎn)，例如，指示ivn標(biāo)識(shí)符作為請(qǐng)求中的參數(shù)。作為響應(yīng)，配置管理器592可以生成所請(qǐng)求pae的一個(gè)或多個(gè)條目并將其存儲(chǔ)在其配置數(shù)據(jù)庫中，并且在響應(yīng)507中提供新創(chuàng)建的pae的標(biāo)識(shí)符。在一些實(shí)施方案中，在為客戶端建立ivn的時(shí)間，可以針對(duì)ivn自動(dòng)建立一個(gè)或多個(gè)pae，并且在這類情境下，可以不需要顯式的pae創(chuàng)建請(qǐng)求。

客戶端502可以在創(chuàng)建pae之后向配置管理器592提交“為pae指派服務(wù)”請(qǐng)求509，指示其流量將使用pae進(jìn)行路由的特定服務(wù)。在一些實(shí)現(xiàn)中，pae標(biāo)識(shí)符和服務(wù)標(biāo)識(shí)符在這種請(qǐng)求中可以作為參數(shù)提供。作為響應(yīng)，配置管理器592可以更新其關(guān)于pae的配置元數(shù)據(jù)，并且提供服務(wù)分配的確認(rèn)511。在一些實(shí)施方案中，編程接口550可以提供注冊(cè)服務(wù)名稱的列表(例如，在下拉菜單中)，從所述列表中可以選擇一個(gè)注冊(cè)服務(wù)名稱用于與正被配置的pa相關(guān)聯(lián)。

在一些實(shí)施方案中，例如響應(yīng)于指定策略和pae的“為pae指派策略”請(qǐng)求513，可以為pae指派各種類型的訪問控制策略。適用的策略的實(shí)例在圖6中示出并在下文描述。配置管理器592可以存儲(chǔ)所指示策略的表示以及策略與pae的關(guān)聯(lián)，并且向客戶端提供所述關(guān)聯(lián)的確認(rèn)515。在至少一些實(shí)施方案中，雖然可以為pae請(qǐng)求策略的關(guān)聯(lián)，但是策略的實(shí)際強(qiáng)制實(shí)施可以在以下中的一個(gè)或多個(gè)處執(zhí)行：(a)指派給pae的服務(wù)；(n)不同的服務(wù)，諸如提供商網(wǎng)絡(luò)的授權(quán)和認(rèn)證服務(wù)，所述服務(wù)可以由指派配給pae的服務(wù)調(diào)用以強(qiáng)制實(shí)施策略；或者(c)在根據(jù)pae路由服務(wù)請(qǐng)求的實(shí)例主機(jī)的vmc處。在一些實(shí)施方案中，例如在將確認(rèn)515提供給客戶端之前，可以由配置管理器將策略的指示傳送到指派給pae的服務(wù)的控制平面部件。

在一些實(shí)施方案中，提供商網(wǎng)絡(luò)的客戶端還可以提交請(qǐng)求517以注冊(cè)用于pae輔助路由的服務(wù)。例如，可以使用提供商網(wǎng)絡(luò)的某一組資源來建立第三方服務(wù)(即，不由提供商網(wǎng)絡(luò)運(yùn)營商直接管理的服務(wù))，并且這種第三方服務(wù)的運(yùn)營商可能希望允許從ivn內(nèi)訪問服務(wù)，而不需要在ivn處使用公共ip地址。在這種情境下，客戶端502可以提交提供服務(wù)配置細(xì)節(jié)(例如，服務(wù)的前端節(jié)點(diǎn)的地址)的“注冊(cè)服務(wù)用于pae”請(qǐng)求。在至少一些實(shí)現(xiàn)中，除負(fù)責(zé)建立pae的配置管理器之外的不同配置管理器可以負(fù)責(zé)注冊(cè)服務(wù)，并且一組不同的編程接口可以用于服務(wù)注冊(cè)請(qǐng)求。響應(yīng)于服務(wù)注冊(cè)請(qǐng)求，配置管理器可以執(zhí)行一個(gè)或多個(gè)驗(yàn)證操作，例如，以便在接受服務(wù)并在響應(yīng)519中向客戶端提供注冊(cè)名稱或注冊(cè)服務(wù)的標(biāo)識(shí)符之前，驗(yàn)證所提議的待注冊(cè)服務(wù)滿足用于pae兼容性的某些標(biāo)準(zhǔn)。在一個(gè)實(shí)現(xiàn)中，例如，可以查詢或測(cè)試服務(wù)的前端部件以確保其可以接收由使用提供商網(wǎng)絡(luò)的封裝協(xié)議的隧道中介生成的請(qǐng)求。

在一些實(shí)施方案中，除了圖5所示的那些之外，可以支持附加的配置請(qǐng)求類型。例如，在一些實(shí)施方案中，可以由已經(jīng)建立第三方服務(wù)的客戶端提交用于配置服務(wù)側(cè)隧道中介(諸如圖3b的熟知p2的中介370)的請(qǐng)求。在一個(gè)實(shí)施方案中，客戶端可能夠使用附加類型的配置請(qǐng)求將pae重新指派給不同的服務(wù)，或者將多于一個(gè)服務(wù)指派給pae。在一些實(shí)現(xiàn)中，可能不支持圖5所示的所有類型的配置請(qǐng)求。如先前提及的，客戶端可以建立與給定ivn相關(guān)聯(lián)的多個(gè)pae(例如，用于從相同的ivn內(nèi)訪問不同的服務(wù))，并且具有多個(gè)ivn的客戶端可以在每個(gè)這種ivn處建立一個(gè)或多個(gè)pae。

圖6示出根據(jù)至少一些實(shí)施方案的pae配置數(shù)據(jù)庫內(nèi)容的實(shí)例。示出了用于已經(jīng)在配置管理器592的幫助下建立兩個(gè)pae的特定ivn(ivn-j)的配置數(shù)據(jù)庫。pae604a被指派服務(wù)“storagesvc1”(在提供商網(wǎng)絡(luò)處實(shí)現(xiàn)的存儲(chǔ)服務(wù))，如服務(wù)標(biāo)識(shí)符字段606a中所指示，而pae604a被指派服務(wù)“dbsvc1”(在提供商網(wǎng)絡(luò)處實(shí)現(xiàn)的數(shù)據(jù)庫服務(wù))，如服務(wù)標(biāo)識(shí)符字段606b中所指示。pae604a具有被指派給它的訪問策略608a，而pae604b具有兩個(gè)訪問策略608b和608c。

在所描繪的實(shí)例中，訪問策略608a適用于從或朝向具有在范圍ci-ip地址范圍610a中的ip地址的計(jì)算實(shí)例導(dǎo)向的storagesvc1流量。在一些實(shí)施方案中，代替使用ip地址來指示將被應(yīng)用策略的流量，可以使用計(jì)算實(shí)例的實(shí)例名稱或其他標(biāo)識(shí)數(shù)據(jù)?？梢栽诓呗?08a的允許操作類型字段612a中指示允許從地址范圍610a內(nèi)請(qǐng)求(例如，讀取與寫入)的操作類型的列表，并且在對(duì)象列表614a中指示這些操作可以被導(dǎo)向到的服務(wù)storagesvc1的對(duì)象(例如，存儲(chǔ)在目錄“/xyz”中的對(duì)象)。在所描繪的實(shí)例中，可以在適用的時(shí)間范圍字段616a中指示將要應(yīng)用策略608a的時(shí)間范圍(例如，每個(gè)工作日的特定小時(shí)或一周的特定天)。主體列表(例如，用戶或群組的標(biāo)識(shí)符)618a也可以與策略608a相關(guān)聯(lián)，指示其服務(wù)請(qǐng)求將由策略608a中指示的規(guī)則管制的實(shí)體。

將針對(duì)pae604b強(qiáng)制實(shí)施的訪問策略608b和608c中的每一個(gè)可以指示它們各自的ci-ip地址范圍610，從而指示將被應(yīng)用策略的規(guī)則的計(jì)算實(shí)例。在諸如608b的一些策略中，例如，代替或除了所允許的操作類型，可以(例如，在禁止操作類型字段613中)指示禁止的操作類型。在所描繪的實(shí)例中，如對(duì)象列表614b中的“*”所指示，針對(duì)在主體列表618b中指示的主體，可以禁止dbsvc1的所有對(duì)象進(jìn)行字段613中指示的操作。如圖所示，針對(duì)每個(gè)策略，并不需要指定可包括在策略中的所有類型的條目—例如，策略608b不包括適用的時(shí)間范圍，而策略608c不包括主體列表。默認(rèn)值可以用于未包括在策略中的那些類型的條目—例如，可以假定整天是適用的時(shí)間范圍，并且如果沒有列出特定主體，則策略規(guī)則可以應(yīng)用于所有主體。在所描繪的實(shí)例中，字段612b可以指示在適用的時(shí)間范圍616c期間，針對(duì)字段614c中列出的對(duì)象所允許的操作類型。

在一些實(shí)施方案中，如果客戶端沒有為給定的pae指定特定的訪問策略，則提供商網(wǎng)絡(luò)可以應(yīng)用某一組默認(rèn)值來確定將應(yīng)用于提交給對(duì)應(yīng)服務(wù)的服務(wù)請(qǐng)求的規(guī)則。在一些實(shí)現(xiàn)中，在不同的服務(wù)之間，默認(rèn)值可能不同。如先前提及的，在一些實(shí)施方案中，已經(jīng)被指派pae的服務(wù)可以負(fù)責(zé)強(qiáng)制實(shí)施策略(在服務(wù)自己的節(jié)點(diǎn)處，或者通過向提供商網(wǎng)絡(luò)的另一服務(wù)提交請(qǐng)求，諸如身份和授權(quán)管理服務(wù))。對(duì)某些服務(wù)的服務(wù)請(qǐng)求可以以這樣的方式被加密：使得僅可能在請(qǐng)求到達(dá)服務(wù)之后確定所請(qǐng)求的操作的類型，并且作為結(jié)果，可能必須在服務(wù)端應(yīng)用訪問策略。在這類情況下，可由客戶端為其指示策略的配置管理器(例如，ivn配置管理器)將策略傳送到服務(wù)(例如，到服務(wù)的控制平面或管理部件)。在其他實(shí)施方案中，策略的至少一些規(guī)則可以在請(qǐng)求者端(例如，ivn端)強(qiáng)制實(shí)施—例如，如果對(duì)應(yīng)的用戶在適用策略的主體列表中被列出，并且對(duì)所列出主體的所有寫入都被禁止，則vmc可能拒絕從計(jì)算實(shí)例發(fā)出的寫入請(qǐng)求。

區(qū)分來自重復(fù)使用的私有ip地址的請(qǐng)求

在一些實(shí)施方案中，如上所述，客戶端可以使用在ivn網(wǎng)絡(luò)配置上授予的靈活性來將他們選擇的私有ip地址指派給ivn計(jì)算實(shí)例，例如，而不考慮相同的地址是否在其他地方(例如，在其他ivn中或在公共互聯(lián)網(wǎng)中)正在使用。在一些情況下，客戶端可以向不同ivn中的實(shí)例指派相同的ip地址。由于許多原因(諸如為了準(zhǔn)確記錄在服務(wù)處從其接收請(qǐng)求的源)，可能有用的是，服務(wù)能夠區(qū)分來自不同ivn的請(qǐng)求，即使在請(qǐng)求中可能指示相同的源ip地址。

圖7示出根據(jù)至少一些實(shí)施方案的使用ivn和pae標(biāo)識(shí)符來區(qū)分在服務(wù)處從具有相同私有ip地址的計(jì)算實(shí)例接收的請(qǐng)求的實(shí)例。如圖所示，各自的ivn702a和702b可以由客戶端c1設(shè)置，其中ivn702a被設(shè)置為由客戶端組織的工程部使用，并且ivn702b被設(shè)置為由所述組織的市場(chǎng)部使用。在所描繪的實(shí)例中，兩個(gè)組織可能需要訪問存儲(chǔ)在相同的公共可訪問存儲(chǔ)服務(wù)“storagesvc1”處的對(duì)象。pae750a可以被建立用于從ivn702a訪問storagesvc1，并且pae750b可以被建立用于從ivn702b訪問storagesvc1。

客戶端c1可以(例如故意地或偶然地)將相同的私有ip地址10.4.5.6指派給ivn702a中的計(jì)算實(shí)例710a，并且指派給ivn702b中的計(jì)算實(shí)例710k。導(dǎo)向到storagesvc1的服務(wù)請(qǐng)求可以在計(jì)算實(shí)例710a和710k兩者處生成。根據(jù)可以在如上所述的提供商網(wǎng)絡(luò)的隧道中介處實(shí)現(xiàn)的封裝協(xié)議，指示來自ivn702a的用于讀取storagesvc1的對(duì)象x的請(qǐng)求的封裝服務(wù)請(qǐng)求數(shù)據(jù)包774a可以被傳送到前端節(jié)點(diǎn)771。封裝數(shù)據(jù)包774a可以指示私有ip地址10.4.5.6作為請(qǐng)求的原始源，并且還可以包括用于路由請(qǐng)求的ivn標(biāo)識(shí)符702a和pae750a的編碼。類似地，指示讀取服務(wù)的對(duì)象y的請(qǐng)求的封裝數(shù)據(jù)包774b可以在前端節(jié)點(diǎn)771處被接收。在所描繪的實(shí)施方案中，數(shù)據(jù)包774b還可以指示其源實(shí)例的私有ip地址(10.4.5.6，與數(shù)據(jù)包774a中指示的相同)、用于路由其請(qǐng)求的源ivn(702b)和pae750b。

前端節(jié)點(diǎn)771(和/或執(zhí)行所請(qǐng)求的工作的后端節(jié)點(diǎn)773)可能夠使用包括在所接收的數(shù)據(jù)包中的ivn和/或pae標(biāo)識(shí)信息來區(qū)分請(qǐng)求的源，即使數(shù)據(jù)包774a和774b中指示的源ip地址是相同的。因此，可以(由fe節(jié)點(diǎn)或be節(jié)點(diǎn))生成日志記錄733a，其指示接收或處理讀取x的請(qǐng)求的時(shí)間戳t1、請(qǐng)求計(jì)算實(shí)例的私有ip地址10.4.5.6、ivn702a和pae750a的標(biāo)識(shí)符。針對(duì)讀取y的請(qǐng)求可以生成類似的日志記錄733b，其指示接收或處理的時(shí)間戳t2、源ip地址10.4.5.6以及ivn702b和pae750b的標(biāo)識(shí)符。在一些實(shí)施方案中，僅ivn的標(biāo)識(shí)符或標(biāo)識(shí)符pae可以包括在日志記錄中(或者在封裝數(shù)據(jù)包中)，因?yàn)槿我粋€(gè)可能足以將請(qǐng)求的源區(qū)別開。

應(yīng)注意，如上所述，在隧道中介將ivn或pae標(biāo)識(shí)符并入封裝數(shù)據(jù)包774的源報(bào)頭內(nèi)的實(shí)施方案中，即使在服務(wù)側(cè)節(jié)點(diǎn)(諸如前端節(jié)點(diǎn)771和/或后端節(jié)點(diǎn)773)可能不一定能夠解析源報(bào)頭的內(nèi)容的情境下，也可以將來自不同ivn的流量區(qū)別開。例如，如果第三方服務(wù)被注冊(cè)以使用基于pae的路由，并且ipv6被用于封裝，則第三方服務(wù)的節(jié)點(diǎn)可能不知道ipv6報(bào)頭的哪些特定位被用于對(duì)源ivn信息或源pae信息進(jìn)行編碼。然而，由于來自ivn702a的數(shù)據(jù)包p1的ipv6源報(bào)頭將不同于來自ivn702b的數(shù)據(jù)包p2的ipv6源報(bào)頭，所以第三方服務(wù)節(jié)點(diǎn)將至少能夠確定p1和p2來自不同的源，即使在第三方服務(wù)節(jié)點(diǎn)處未確定關(guān)于ivn標(biāo)識(shí)符和/或pae標(biāo)識(shí)符的細(xì)節(jié)。當(dāng)然，如果第三方服務(wù)節(jié)點(diǎn)負(fù)責(zé)實(shí)現(xiàn)類似于圖6所示的訪問控制策略，并且訪問控制策略與特定ivn或特定pae相關(guān)聯(lián)，則第三方服務(wù)節(jié)點(diǎn)可能必須獲得ivn/pae標(biāo)識(shí)符。

用于私有別名端點(diǎn)的方法

圖8是示出根據(jù)至少一些實(shí)施方案的可以被執(zhí)行來配置pae的操作的各方面的流程圖。如元素801所示，可以例如使用虛擬計(jì)算服務(wù)的資源，在提供商網(wǎng)絡(luò)處代表客戶端c1建立一個(gè)或多個(gè)隔離虛擬網(wǎng)絡(luò)。每個(gè)ivn可以包括某一組資源，諸如計(jì)算實(shí)例等，對(duì)于所述資源，可以由客戶端進(jìn)行內(nèi)部網(wǎng)絡(luò)配置選擇(諸如子網(wǎng)設(shè)置、ip地址指派等)。例如，客戶端可以為計(jì)算實(shí)例的虛擬網(wǎng)絡(luò)接口指派私有ip地址(在ivn之外不被通告的地址)，而不必確保給定的私有ip地址相對(duì)于ivn之外的資源是唯一的。如果客戶端希望在兩個(gè)不同的ivn(即ivn1和ivn2)處使用相同的私有ip地址“a.b.c.d”，則這個(gè)地址可以被指派給例如ivn1中的計(jì)算實(shí)例ci1和ivn2中的不同計(jì)算實(shí)例ci1。應(yīng)注意，在至少一些實(shí)施方案中，在給定ivn內(nèi)仍可能需要ip地址的唯一性—例如，相同的ip地址可能不能分配給在同一ivn內(nèi)啟動(dòng)的兩個(gè)實(shí)例。

在所描繪的實(shí)施方案中，虛擬計(jì)算服務(wù)可使得客戶端能夠使用與ivn相關(guān)聯(lián)的私有端點(diǎn)別名(pae)，將來自具有私有ip地址的ivn計(jì)算實(shí)例的服務(wù)請(qǐng)求提交給公共可訪問的服務(wù)(例如，由提供商網(wǎng)絡(luò)運(yùn)營商實(shí)現(xiàn)的存儲(chǔ)或數(shù)據(jù)庫服務(wù)，和/或由提供商網(wǎng)絡(luò)的其他客戶實(shí)現(xiàn)的第三方服務(wù))。如元素804所示，可以例如由虛擬計(jì)算服務(wù)或提供商網(wǎng)絡(luò)的配置管理器部件來創(chuàng)建和存儲(chǔ)表示代表c1為ivn1建立的特定pae(pae1)的元數(shù)據(jù)記錄。在至少一些實(shí)現(xiàn)中，在創(chuàng)建pae1(例如，響應(yīng)于來自c1的編程請(qǐng)求)時(shí)，pae1不需要與任何特定服務(wù)相關(guān)聯(lián)或綁定到任何特定服務(wù)。在與ivn1相關(guān)聯(lián)的路由表內(nèi)，例如在提供商網(wǎng)絡(luò)中的其他地方(即，在ivn1之外)實(shí)現(xiàn)的選定服務(wù)被指派給pae1的單獨(dú)配置步驟之后，如元素807所示，pae1最終可以被指示為針對(duì)在ivn1內(nèi)始發(fā)并朝向所述選定服務(wù)導(dǎo)向的網(wǎng)絡(luò)流量的路由目標(biāo)。

在至少一些實(shí)施方案中，例如在提供商網(wǎng)絡(luò)運(yùn)營商已經(jīng)建立并測(cè)試/驗(yàn)證了可能需要用于實(shí)現(xiàn)封裝協(xié)議的部件(例如，隧道中介)之后，許多服務(wù)已被注冊(cè)為pae支持，所述封裝協(xié)議用于在ivn端具有私有ip地址的實(shí)例與在服務(wù)端具有公共ip地址的服務(wù)節(jié)點(diǎn)之間傳送數(shù)據(jù)包。在一些實(shí)施方案中，服務(wù)的公共ip地址也可能必須在配置數(shù)據(jù)庫中進(jìn)行驗(yàn)證(并且根據(jù)需要更新)，隧道中介和/或在ivn的實(shí)例主機(jī)處的虛擬化管理部件可訪問所述配置數(shù)據(jù)庫。在至少一個(gè)實(shí)施方案中，在將服務(wù)svc1指派給pae1(元素807)時(shí)，客戶端c1可用的編程接口可使得客戶端能夠從這種注冊(cè)的組中選擇服務(wù)—也就是說，可以僅允許客戶端將預(yù)先批準(zhǔn)的服務(wù)關(guān)聯(lián)至設(shè)置用于其ivn的pae。在一個(gè)實(shí)現(xiàn)中，可以通過設(shè)置pae的“服務(wù)”屬性的值，在ivn配置數(shù)據(jù)庫內(nèi)表示pae(諸如pae1)與服務(wù)(諸如svc1)之間的關(guān)聯(lián)。

在一些實(shí)施方案中，一個(gè)或多個(gè)訪問策略可以與給定的pae(諸如pae1)相關(guān)聯(lián)(元素810)。訪問策略可以例如指示使用pae1允許或禁止的操作或服務(wù)請(qǐng)求的類型、通過pae1授予訪問的對(duì)象類型、應(yīng)用策略規(guī)則的主體(例如，用戶或群組)、應(yīng)用策略規(guī)則的時(shí)間段等等。在一些實(shí)施方案中，客戶端c1可以例如使用編程接口來指示其針對(duì)pae1所選擇的訪問策略。在一些實(shí)現(xiàn)中，如果客戶端不指示一個(gè)訪問策略，則可以將默認(rèn)訪問策略應(yīng)用于pae。在一些實(shí)現(xiàn)中，策略也可以表示為pae的屬性。在可將多個(gè)策略指派給給定pae的一些實(shí)施方案中，配置管理器可以負(fù)責(zé)檢測(cè)不同策略之間的沖突。例如，一個(gè)策略可能允許對(duì)特定對(duì)象的特定類型的操作，而另一個(gè)策略可能禁止這種類型的操作。在一些實(shí)現(xiàn)中，配置管理器可以請(qǐng)求客戶端在沖突策略之間劃分優(yōu)先級(jí)或者移除沖突。在其他實(shí)施方案中，配置管理器可以簡(jiǎn)單地以某種默認(rèn)優(yōu)先級(jí)順序來應(yīng)用指定的策略(例如，其中默認(rèn)最近應(yīng)用的策略超越較早的策略)，并且可以相應(yīng)地解決沖突。

在所描繪的實(shí)施方案中，指示pae1作為目的地為svc1的流量的目標(biāo)的路由表?xiàng)l目可以創(chuàng)建并附接(例如，由c1通過使用編程接口提交的請(qǐng)求)到ivn1的一個(gè)或多個(gè)子網(wǎng)(元素813)。代替將特定ip地址范圍指定為路由表?xiàng)l目的源和目的地，可以將服務(wù)的注冊(cè)名稱指示為目的地，并且當(dāng)創(chuàng)建pae1時(shí)指派給pae1的名稱或標(biāo)識(shí)符可以被指示為目標(biāo)，從而從客戶端c1的角度大大簡(jiǎn)化了ivn1與svc1之間的路由管理。在附接了路由表?xiàng)l目之后，子網(wǎng)的實(shí)例與svc1之間的流量流動(dòng)可以開始。

在至少一些實(shí)施方案中，可能是這樣的情況：與指派給一個(gè)或多個(gè)pae(例如，pae1)的服務(wù)(例如，svc1)相關(guān)聯(lián)的一組公共ip地址可以隨時(shí)間改變。在所描繪的實(shí)施方案中，注冊(cè)服務(wù)(諸如svc1)的控制平面或管理部件和/或虛擬計(jì)算服務(wù)的配置管理器可以負(fù)責(zé)將公共ip地址列表和/或其他pae相關(guān)配置信息的更新傳播到其中可以使用這類地址的部件(元素816)。可以例如對(duì)可從將要實(shí)現(xiàn)上述類別的封裝協(xié)議的隧道中介訪問的配置數(shù)據(jù)庫和/或可從ivn實(shí)例主機(jī)的虛擬化管理部件訪問的數(shù)據(jù)庫進(jìn)行這類更新。

圖9是示出根據(jù)至少一些實(shí)施方案的用于將數(shù)據(jù)包從計(jì)算實(shí)例傳送到公共可訪問服務(wù)的隧道協(xié)議的使用的流程圖。如元素901所示，可以在ivn(ivn1)處實(shí)現(xiàn)的計(jì)算實(shí)例ci1處確定(例如，使用dns查詢)待訪問的服務(wù)svc1的公共ip地址“addr1”，對(duì)于所述ivn，pae(pae1)已建立用于去往/來自svc1的流量。在計(jì)算實(shí)例ci1處，可以生成其本體指示服務(wù)請(qǐng)求sr1的至少一部分的基線數(shù)據(jù)包bp1(元素904)。ci1的私有ip地址可以被指示為bp1的源地址，并且addr1可以被指示為目的地。bp1可以從ci1朝向addr1傳送，例如，使用附接到ci1的虛擬網(wǎng)絡(luò)接口。

在所描繪的實(shí)施方案中，基線數(shù)據(jù)包bp1可以由在運(yùn)行ci1的實(shí)例主機(jī)處的虛擬化管理部件(vmc)諸如管理程序或特權(quán)域操作系統(tǒng)攔截(元素907)。vmc可以例如用作實(shí)例主機(jī)的虛擬化資源(諸如虛擬網(wǎng)絡(luò)接口)與硬件部件(諸如物理網(wǎng)絡(luò)接口卡)之間的中介。vmc可以分析bp1的目的地地址和/或pae配置信息的一個(gè)或多個(gè)元素，諸如指示從ci1到svc1的流量應(yīng)以pae1為目標(biāo)的路由表?xiàng)l目。在至少一個(gè)實(shí)施方案中，vmc還可以或者替代地能夠在svc1的公共ip地址列表中查找addr1?；趯?duì)配置信息的檢查，vmc可能夠確定從bp1導(dǎo)出的第一封裝數(shù)據(jù)包ep1將被發(fā)送到隧道中介，例如用于通過橋接網(wǎng)絡(luò)進(jìn)一步向addr1傳輸(元素910)。隧道中介可以例如是已經(jīng)被設(shè)置用于通過內(nèi)部橋接網(wǎng)絡(luò)在虛擬計(jì)算服務(wù)(諸如ci1)的節(jié)點(diǎn)與公共可訪問服務(wù)(諸如svc1)的節(jié)點(diǎn)之間路由流量的多節(jié)點(diǎn)群中的一個(gè)節(jié)點(diǎn)。在一些實(shí)施方案中，可以根據(jù)用于在虛擬計(jì)算服務(wù)的各種部件內(nèi)路由的第一封裝協(xié)議p1來格式化第一封裝數(shù)據(jù)包ep1。在ep1內(nèi)，bp1(包括bp1的源和目的地報(bào)頭)可以被并入本體部件中，并且在一些實(shí)現(xiàn)中，可以由vmc添加一個(gè)或多個(gè)p1報(bào)頭。ep1的添加的報(bào)頭可以指示例如作為源的vmc(或運(yùn)行vmc的實(shí)例主機(jī))和作為目的地的隧道群(或特定隧道中介)。在一個(gè)實(shí)現(xiàn)中，ivn1和/或pae1的標(biāo)識(shí)符也可以包括在ep1報(bào)頭中。在一些實(shí)施方案中，ep1報(bào)頭可能不一定指示pae1的標(biāo)識(shí)符，而是可包括指示ep1是與pae相關(guān)聯(lián)的數(shù)據(jù)包的字段。

在所描繪的實(shí)施方案中，ep1可以最終到達(dá)隧道中介，例如，在穿過虛擬計(jì)算服務(wù)的網(wǎng)絡(luò)的一個(gè)或多個(gè)跳之后。在隧道中介處，可以提取bp1并且可以檢查ep1報(bào)頭的內(nèi)容。bp1的源和目的地地址(即，ci1的私有ip地址和svc1地址addr1)可以用于在隧道協(xié)議p2的映射數(shù)據(jù)庫中查找對(duì)應(yīng)的源和目的地地址，所述源和目的地地址將在第二封裝數(shù)據(jù)包ep2中指定(元素913)。在一些實(shí)施方案中，可以根據(jù)ipv4格式化基線數(shù)據(jù)包bp1(和/或ep1)，而將要在隧道協(xié)議中使用的源和目的地地址可以根據(jù)ipv6格式化，例如使用siit或類似的ipv4-ipv6轉(zhuǎn)換協(xié)議。在其他實(shí)施方案中，隧道協(xié)議可以是專有的，例如，不一定需要使用ipv6樣式的地址。在ipv6地址不用于隧道協(xié)議的一些實(shí)施方案中，可以使用附加ipv4報(bào)頭(諸如tcp選項(xiàng)報(bào)頭)來執(zhí)行基線數(shù)據(jù)包的封裝。在至少一個(gè)實(shí)施方案中，可以使用udp(用戶數(shù)據(jù)報(bào)協(xié)議)封裝(例如，通過將基線數(shù)據(jù)包并入udp消息內(nèi))。在所描繪的實(shí)施方案中，ep1報(bào)頭可以被移除并且在隧道中介處由ep2報(bào)頭代替。如圖4所示，在一些實(shí)施方案中，一個(gè)或多個(gè)ep2報(bào)頭可分別指示或編碼(a)bp1源地址和目的地地址(例如，使用128位中的32位ep2源地址報(bào)頭來對(duì)32位bp1源ip地址進(jìn)行編碼，并且使用128位中的32位ep2目的地地址字段來對(duì)32位bp1目的地ip地址進(jìn)行編碼)和/或(b)源ivn(ivn1)和用于路由的pae(pae1)的標(biāo)識(shí)符。在一些實(shí)現(xiàn)中，可包括在ip2報(bào)頭中的pae標(biāo)識(shí)符本身可包括對(duì)應(yīng)ivn的標(biāo)識(shí)符的編碼，且因此pae標(biāo)識(shí)符可以在服務(wù)處用于確定已從其接收到請(qǐng)求的ivn和pae兩者。在至少一個(gè)實(shí)現(xiàn)中，bp1目的地地址可以如下方式分別包括在ep2源和目的地報(bào)頭內(nèi)(例如，在最低的32位中)：負(fù)載平衡器將給定數(shù)據(jù)包路由到相同的服務(wù)前端節(jié)點(diǎn)，無論是使用了bp1目的地地址還是使用了ep2目的地地址。

ep2可以例如通過在提供商網(wǎng)絡(luò)內(nèi)建立的橋接網(wǎng)絡(luò)的選定路徑從隧道中介傳送到svc1的前端節(jié)點(diǎn)(元素916)。在一些實(shí)施方案中，ep2可以僅使用由提供商網(wǎng)絡(luò)運(yùn)營商管理和/或擁有的私有網(wǎng)絡(luò)鏈路到達(dá)svc1。在其他實(shí)施方案中，用于ep2的路徑可包括公共網(wǎng)絡(luò)鏈路(例如，數(shù)據(jù)包可穿過提供商網(wǎng)絡(luò)之外的或由除提供商網(wǎng)絡(luò)運(yùn)營商之外的實(shí)體管理/擁有的網(wǎng)絡(luò)裝置)。在svc1的前端節(jié)點(diǎn)處，可以提取指示服務(wù)請(qǐng)求sr1的bp1內(nèi)容(元素919)。另外，源實(shí)例ci1的唯一標(biāo)識(shí)在使用ep2報(bào)頭的服務(wù)處是可能的，例如，即使與指派給其他ivn的其他實(shí)例的ip地址相同的ip地址被指派給ci1。在每個(gè)ivn可僅包括具有特定私有ip地址的單個(gè)實(shí)例的實(shí)施方案中，例如，可以使用用于路由bp1的內(nèi)容(其可以從一個(gè)或多個(gè)ep2報(bào)頭中提取)的源ivn和/或pae的標(biāo)識(shí)符將來自這類實(shí)例的服務(wù)請(qǐng)求區(qū)別開。在至少一些實(shí)施方案中，可以在服務(wù)側(cè)根據(jù)與pae相關(guān)聯(lián)的一個(gè)或多個(gè)訪問控制策略來驗(yàn)證服務(wù)請(qǐng)求sr1。在檢查訪問許可之后，可以例如在服務(wù)svc1的后端節(jié)點(diǎn)處執(zhí)行所請(qǐng)求的操作。在至少一些實(shí)施方案中，可以對(duì)至少一些類型的請(qǐng)求生成響應(yīng)，并且可以以相反的順序使用相同的協(xié)議在朝向ci1的相反方向上傳送所述響應(yīng)。例如，其內(nèi)容在后端服務(wù)節(jié)點(diǎn)處生成的基線響應(yīng)可以在服務(wù)的前端節(jié)點(diǎn)處根據(jù)隧道協(xié)議p2格式化，并且通過橋接網(wǎng)絡(luò)傳送到虛擬計(jì)算服務(wù)的隧道中介。在隧道中介處，可以提取響應(yīng)，根據(jù)第一封裝協(xié)議p1將所述響應(yīng)格式化，并將其傳遞到運(yùn)行ci1的實(shí)例主機(jī)處的vmc。vmc可以提取基線響應(yīng)并將其提供給ci1。

應(yīng)注意，在各種實(shí)施方案中，除了圖8和圖9的流程圖所示的操作之外的操作可以用于實(shí)現(xiàn)用于支持私有別名端點(diǎn)的技術(shù)中的至少一些。在一些實(shí)施方案中，所示操作中的一些可以不實(shí)現(xiàn)，可以以不同的順序或者在與圖8或圖9所示的部件不同的部件處實(shí)現(xiàn)，或者并行地而不是順序地實(shí)現(xiàn)。在至少一個(gè)實(shí)施方案中，針對(duì)隧道中介和vmc所描述的功能例如可以組合—例如，允許數(shù)據(jù)包在無需由單獨(dú)中介進(jìn)一步封裝的情況下通過選定路徑被傳送到服務(wù)的隧道協(xié)議可以在vmc處實(shí)現(xiàn)。在另一個(gè)實(shí)施方案中，可以將基線數(shù)據(jù)包從計(jì)算實(shí)例或從非虛擬化計(jì)算裝置傳送到隧道中介，而無需由vmc封裝。

使用案例

上述建立私有別名端點(diǎn)以用作從隔離虛擬網(wǎng)絡(luò)的計(jì)算實(shí)例到公共可訪問服務(wù)的流量的路由目標(biāo)的技術(shù)在多種情境下可能是有用的。隨著越來越多的分布式應(yīng)用被遷移到提供商網(wǎng)絡(luò)環(huán)境，并且基于網(wǎng)絡(luò)的攻擊者的復(fù)雜性增加，對(duì)保護(hù)和隔離客戶端應(yīng)用免受源自公共互聯(lián)網(wǎng)的網(wǎng)絡(luò)入侵的需要也在增加。盡管隔離虛擬網(wǎng)絡(luò)使得客戶端能夠?yàn)椴粡墓不ヂ?lián)網(wǎng)通告或不可從公共互聯(lián)網(wǎng)訪問的計(jì)算實(shí)例分配私有ip地址，但是從這類實(shí)例訪問期望在公共ip地址處始發(fā)請(qǐng)求的服務(wù)可能會(huì)出現(xiàn)問題。私有別名端點(diǎn)可使得能夠傳送這類服務(wù)請(qǐng)求，而不需要潛在的安全妥協(xié)并且不存在通過vpn連接的低效/昂貴的請(qǐng)求路由。

可鑒于以下條款對(duì)本公開的實(shí)施方案進(jìn)行描述：

1.一種系統(tǒng)，其包括：

提供商網(wǎng)絡(luò)的配置管理器；

實(shí)例主機(jī)的虛擬化管理部件(vmc)，其中代表客戶端建立的第一隔離虛擬網(wǎng)絡(luò)(ivn)的第一計(jì)算實(shí)例在所述實(shí)例主機(jī)處被實(shí)例化，并且其中所述第一計(jì)算實(shí)例具有由所述客戶端選擇的私有網(wǎng)絡(luò)地址；以及

隧道中介；

其中所述配置管理器被配置來存儲(chǔ)第一元數(shù)據(jù)條目，所述第一元數(shù)據(jù)條目表示第一私有別名端點(diǎn)(pae)作為在所述第一ivn處始發(fā)并被導(dǎo)向到特定服務(wù)的數(shù)據(jù)包的路由目標(biāo)的指定，其中所述數(shù)據(jù)包將被遞送所述特定服務(wù)而不將公共通告的網(wǎng)絡(luò)地址指示為源地址；

其中所述vmc被配置來至少部分地基于對(duì)所述第一元數(shù)據(jù)條目的檢查向所述隧道中介傳送從在所述vmc處攔截的基線數(shù)據(jù)包導(dǎo)出的第一封裝數(shù)據(jù)包，其中所述基線數(shù)據(jù)包是在所述第一計(jì)算實(shí)例處生成并且被導(dǎo)向到所述特定服務(wù)的公共通告的網(wǎng)絡(luò)地址；以及

其中所述隧道中介被配置來：

根據(jù)隧道協(xié)議從所述第一封裝數(shù)據(jù)包生成第二封裝數(shù)據(jù)包，其中所述第二封裝數(shù)據(jù)包包括指示所述第一ivn作為源ivn的報(bào)頭部件；以及

將所述第二封裝數(shù)據(jù)包傳送到所述特定服務(wù)的一個(gè)或多個(gè)節(jié)點(diǎn)中的第一節(jié)點(diǎn)，其中所述第一節(jié)點(diǎn)被配置來(a)從所述第二封裝數(shù)據(jù)包確定所述第一ivn的標(biāo)識(shí)符和所述私有網(wǎng)絡(luò)地址，以及(b)啟動(dòng)一個(gè)或多個(gè)操作以履行在所述基線數(shù)據(jù)包中指示的服務(wù)請(qǐng)求。

2.如條款1所述的系統(tǒng)，其中所述第二封裝數(shù)據(jù)包根據(jù)ipv6(互聯(lián)網(wǎng)協(xié)議第6版)被格式化，并且其中所述基線數(shù)據(jù)包根據(jù)ipv4(互聯(lián)網(wǎng)協(xié)議第4版)被格式化。

3.如條款1所述的系統(tǒng)，其中所述特定服務(wù)支持在多個(gè)對(duì)象上的多個(gè)操作類型，其中(a)所述特定服務(wù)的所述第一節(jié)點(diǎn)或(b)所述vmc中的一個(gè)或多個(gè)被配置來：

在啟動(dòng)所述一個(gè)或多個(gè)操作之前，啟動(dòng)確定所述服務(wù)請(qǐng)求是否符合指派給所述第一pae的第一訪問控制策略，其中所述第一訪問控制策略相對(duì)于使用所述第一pae作為路由目標(biāo)提交的請(qǐng)求，指示以下中的一個(gè)或多個(gè)：(a)所述多個(gè)操作類型中的允許操作類型，(b)所述多個(gè)操作類型中的禁止操作類型，(c)允許所述多個(gè)操作類型中的特定操作類型的時(shí)間間隔，或(d)允許所述多個(gè)操作類型中的特定操作類型所針對(duì)的所述多個(gè)對(duì)象中的特定對(duì)象。

4.如條款1所述的系統(tǒng)，其中所述配置管理器進(jìn)一步被配置來：

將第二pae指定為在所述第一ivn處始發(fā)的附加數(shù)據(jù)包的路由目標(biāo)，其中所述附加數(shù)據(jù)包將被遞送到不同服務(wù)。

5.如條款1所述的系統(tǒng)，其中所述配置管理器進(jìn)一步被配置來：

在所述客戶端的所述請(qǐng)求，將所述私有網(wǎng)絡(luò)地址指派給在所述客戶端的第二ivn處建立的第二計(jì)算實(shí)例；

建立將用于路由在所述第二ivn處始發(fā)并被導(dǎo)向到所述特定服務(wù)的流量的第二pae；

并且其中所述服務(wù)的所述第一節(jié)點(diǎn)被配置來：

基于對(duì)由所述隧道中介生成的特定封裝報(bào)頭的檢查，確定在所述第一節(jié)點(diǎn)處提取的特定基線數(shù)據(jù)包是在所述第一計(jì)算實(shí)例處還是在所述第二計(jì)算實(shí)例處生成的。

6.一種方法，其包括：

在提供商網(wǎng)絡(luò)的隧道中介處確定第一私有別名端點(diǎn)(pae)已經(jīng)被指定為在代表客戶端建立的第一隔離虛擬網(wǎng)絡(luò)(ivn)處始發(fā)的流量的路由目標(biāo)，其中所述流量將被遞送到特定公共可訪問服務(wù)；

在所述隧道中介處接收從所述第一ivn的第一計(jì)算實(shí)例被導(dǎo)向到所述特定公共可訪問服務(wù)的公共通告的網(wǎng)絡(luò)地址的基線數(shù)據(jù)包；以及

通過所述隧道中介向所述特定服務(wù)的第一節(jié)點(diǎn)傳送包括(a)所述基線數(shù)據(jù)包的內(nèi)容和(b)所述第一ivn作為源ivn的指示的封裝數(shù)據(jù)包。

7.如條款6所述的方法，其中所述封裝數(shù)據(jù)包根據(jù)ipv6(互聯(lián)網(wǎng)協(xié)議第6版)被格式化，并且其中所述基線數(shù)據(jù)包根據(jù)ipv4(互聯(lián)網(wǎng)協(xié)議第4版)被格式化。

8.如條款6所述的方法，其中所述特定服務(wù)支持多個(gè)對(duì)象上的多個(gè)操作類型，所述方法還包括：

在所述第一ivn的配置管理器處，從所述客戶端接收將第一訪問控制策略應(yīng)用于所述第一pae的請(qǐng)求，其中所述第一訪問控制策略相對(duì)于使用所述第一pae作為路由目標(biāo)提交的請(qǐng)求，指示以下中的一個(gè)或多個(gè)：(a)所述多個(gè)操作類型中的允許操作類型，(b)所述多個(gè)操作類型中的禁止操作類型，(c)允許所述多個(gè)操作類型中的特定操作類型的時(shí)間間隔，或(d)允許所述多個(gè)操作類型中的特定操作類型所針對(duì)的所述多個(gè)對(duì)象中的特定對(duì)象；以及

在根據(jù)所述基線數(shù)據(jù)包中指示的特定請(qǐng)求執(zhí)行第一操作之前，驗(yàn)證所述第一訪問控制策略允許所述第一操作。

9.如條款6所述的方法，其還包括：

指定第二pae作為在所述第一ivn始發(fā)的附加流量的路由目標(biāo)，其中所述附加流量將被遞送到不同服務(wù)。

10.如條款6所述的方法，其中所述第一計(jì)算實(shí)例具有在所述客戶端的所述請(qǐng)求被指派給它的特定私有ip地址，所述方法還包括：

代表所述客戶端建立第二ivn，其中所述第二ivn包括第二計(jì)算實(shí)例；

在所述客戶端的所述請(qǐng)求，將所述特定私有ip地址指派給所述第二計(jì)算實(shí)例；

建立將用于路由在所述第二ivn始發(fā)并被導(dǎo)向到所述特定服務(wù)的流量的第二pae；

在所述特定服務(wù)的特定節(jié)點(diǎn)處，基于對(duì)所述隧道中介生成的封裝報(bào)頭的檢查，確定在所述特定節(jié)點(diǎn)處接收到的特定基線數(shù)據(jù)包是在指派了所述特定私有ip地址的所述第一計(jì)算實(shí)例處生成，還是在指派了所述特定私有ip地址的所述第二計(jì)算實(shí)例處生成。

11.如條款6所述的方法，其中根據(jù)在所述提供商網(wǎng)絡(luò)處實(shí)現(xiàn)的專有隧道協(xié)議來格式化所述封裝數(shù)據(jù)包。

12.如條款6所述的方法，其中所述封裝數(shù)據(jù)包包括具有所述第一pae的標(biāo)識(shí)符的表示的報(bào)頭。

13.如條款6所述的方法，其還包括：

在所述提供商網(wǎng)絡(luò)的配置管理器處，通過編程接口從所述客戶端接收生成所述第一pae的請(qǐng)求；以及

響應(yīng)于所述請(qǐng)求，由所述配置管理器存儲(chǔ)表示所述第一pae的元數(shù)據(jù)條目。

14.如條款6所述的方法，其還包括：

在所述提供商網(wǎng)絡(luò)的配置管理器處，通過編程接口接收注冊(cè)不同服務(wù)以使用pae進(jìn)行訪問的請(qǐng)求；以及

響應(yīng)于所述請(qǐng)求，由所述配置管理器將所述不同服務(wù)添加到服務(wù)集合，所述客戶端可以從所述服務(wù)集合選擇特定服務(wù)以與特定pae相關(guān)聯(lián)。

15.如條款14所述的方法，其中所述不同服務(wù)由所述提供商網(wǎng)絡(luò)的不同客戶端使用所述提供商網(wǎng)絡(luò)的一組資源來實(shí)現(xiàn)，所述方法還包括：

建立用于所述不同服務(wù)的一個(gè)或多個(gè)前端節(jié)點(diǎn)，所述一個(gè)或多個(gè)前端節(jié)點(diǎn)包括被配置來提取從導(dǎo)向到所述不同服務(wù)的基線數(shù)據(jù)包導(dǎo)出的封裝數(shù)據(jù)包的內(nèi)容的特定前端節(jié)點(diǎn)。

16.一種存儲(chǔ)程序指令的非暫時(shí)性計(jì)算機(jī)可訪問存儲(chǔ)介質(zhì)，所述程序指令在一個(gè)或多個(gè)處理器上執(zhí)行時(shí)實(shí)現(xiàn)提供商網(wǎng)絡(luò)的隧道中介，其中所述隧道中介被配置來：

根據(jù)第一私有別名端點(diǎn)(pae)作為從代表客戶端在所述提供商網(wǎng)絡(luò)處建立的第一隔離虛擬網(wǎng)絡(luò)(ivn)導(dǎo)向到特定服務(wù)的流量的路由目標(biāo)的指定，接收在所述第一ivn的第一計(jì)算實(shí)例處生成的基線數(shù)據(jù)包，其中所述基線數(shù)據(jù)包指示所述特定服務(wù)的公共ip(互聯(lián)網(wǎng)協(xié)議)地址作為它的目的地地址；

根據(jù)選定的隧道協(xié)議，生成包括(a)所述基線數(shù)據(jù)包的內(nèi)容的至少一部分和(b)指示所述第一ivn作為源ivn的報(bào)頭部件的封裝數(shù)據(jù)包；以及

將所述封裝數(shù)據(jù)包傳送到所述特定服務(wù)的第一節(jié)點(diǎn)。

17.如條款16所述的非暫時(shí)性計(jì)算機(jī)可訪問存儲(chǔ)介質(zhì)，其中所述封裝數(shù)據(jù)包根據(jù)ipv6(互聯(lián)網(wǎng)協(xié)議第6版)被格式化，并且其中所述基線數(shù)據(jù)包根據(jù)ipv4(互聯(lián)網(wǎng)協(xié)議第4版)被格式化。

18.如條款16所述的非暫時(shí)性計(jì)算機(jī)可訪問存儲(chǔ)介質(zhì)，其中所述隧道中介進(jìn)一步被配置來：

根據(jù)第二pae作為從第一ivn導(dǎo)向到不同服務(wù)的流量的路由目標(biāo)的指定，接收在所述第一ivn的第二計(jì)算實(shí)例處生成的第二基線數(shù)據(jù)包的表示，其中所述第二基線數(shù)據(jù)包指示所述不同服務(wù)的公共ip地址作為它的目的地地址；

根據(jù)所述選定的隧道協(xié)議，生成包括(a)所述第二基線數(shù)據(jù)包的內(nèi)容的至少一部分和(b)指示所述第一ivn作為源ivn的報(bào)頭部件的第二封裝數(shù)據(jù)包；以及

將所述第二封裝數(shù)據(jù)包傳送到所述不同服務(wù)的不同節(jié)點(diǎn)。

19.如條款16所述的非暫時(shí)性計(jì)算機(jī)可訪問存儲(chǔ)介質(zhì)，其中所述第一封裝數(shù)據(jù)包包括所述第一計(jì)算實(shí)例的私有ip地址的指示，其中所述隧道中介進(jìn)一步被配置來：

根據(jù)第二pae作為從代表所述客戶端建立的第二ivn導(dǎo)向到所述特定服務(wù)的流量的路由目標(biāo)的指定，接收在所述第二ivn的第二計(jì)算實(shí)例處生成的第二基線數(shù)據(jù)包的表示，其中所述第二基線數(shù)據(jù)包指示所述特定服務(wù)的所述公共ip地址作為它的目的地地址；

根據(jù)所述選定的隧道協(xié)議生成第二封裝數(shù)據(jù)包，所述第二封裝數(shù)據(jù)包包括(a)所述第二基線數(shù)據(jù)包的內(nèi)容的至少一部分、(b)指示所述第二ivn作為源ivn的報(bào)頭部件以及(c)所述私有ip地址的指示；以及

將所述第二封裝數(shù)據(jù)包傳送到所述特定服務(wù)的所述第一節(jié)點(diǎn)，其中所述特定服務(wù)的所述第一節(jié)點(diǎn)被配置來基于對(duì)所述第二封裝數(shù)據(jù)包的檢查，確定所述第二基線數(shù)據(jù)包是在所述第一計(jì)算實(shí)例處生成還是在所述第二計(jì)算實(shí)例處生成。

20.如條款16所述的非暫時(shí)性計(jì)算機(jī)可訪問存儲(chǔ)介質(zhì)，其中所述封裝數(shù)據(jù)包包括具有所述第一pae的標(biāo)識(shí)符的表示的報(bào)頭。

說明性計(jì)算機(jī)系統(tǒng)

在至少一些實(shí)施方案中，實(shí)現(xiàn)用于支持私有別名端點(diǎn)的部件(諸如配置管理器、vmc、隧道中介以及公共可訪問服務(wù)的節(jié)點(diǎn))中的一個(gè)或多個(gè)的服務(wù)器可包括通用計(jì)算機(jī)系統(tǒng)，其包括或被配置來訪問一個(gè)或多個(gè)計(jì)算機(jī)可訪問介質(zhì)。圖10示出這種通用計(jì)算裝置9000。在示出的實(shí)施方案中，計(jì)算裝置9000包括通過輸入/輸出(i/o)接口9030耦接到系統(tǒng)存儲(chǔ)器9020(其可包括非易失性和易失性存儲(chǔ)器模塊)的一個(gè)或多個(gè)處理器9010。計(jì)算裝置9000還包括耦接到i/o接口9030的網(wǎng)絡(luò)接口9040。

在各種實(shí)施方案中，計(jì)算裝置9000可為包括一個(gè)處理器9010的單處理器系統(tǒng)，或包括若干處理器9010(例如兩個(gè)、四個(gè)、八個(gè)或另一合適數(shù)量)的多處理器系統(tǒng)。處理器9010可以是能夠執(zhí)行指令的任何合適處理器。例如，在各種實(shí)施方案中，處理器9010可以是實(shí)現(xiàn)多種指令集架構(gòu)(isa)中任何一種架構(gòu)的通用或嵌入式處理器，所述架構(gòu)諸如x86、powerpc、sparc、或mipsisa或任何其他合適的isa。在多處理器系統(tǒng)中，每一個(gè)處理器9010通?？梢缘灰欢▽?shí)現(xiàn)相同的isa。在一些實(shí)現(xiàn)中，代替或者除了常規(guī)處理器之外，可使用圖形處理單元(gpu)。

系統(tǒng)存儲(chǔ)器9020可被配置來存儲(chǔ)可由處理器9010訪問的指令和數(shù)據(jù)。在至少一些實(shí)施方案中，系統(tǒng)存儲(chǔ)器9020可包括易失性部分和非易失性部分；在其他實(shí)施方案中，可僅使用易失性存儲(chǔ)器。在各種實(shí)施方案中，系統(tǒng)存儲(chǔ)器9020的易失性部分可以使用任何合適的存儲(chǔ)器技術(shù)諸如靜態(tài)隨機(jī)存取存儲(chǔ)器(sram)、同步動(dòng)態(tài)ram或任何其他類型的存儲(chǔ)器來實(shí)現(xiàn)。在一些實(shí)施方案中，對(duì)于系統(tǒng)存儲(chǔ)器的非易失性部分(其可包括例如一個(gè)或多個(gè)nvdimm)，可以使用基于閃存的存儲(chǔ)器裝置，包括nand閃存裝置。在至少一些實(shí)施方案中，系統(tǒng)存儲(chǔ)器的非易失性部分可包括電源，諸如超級(jí)電容器或其他電力存儲(chǔ)裝置(例如，電池)。在各種實(shí)施方案中，可以使用基于憶阻器的電阻隨機(jī)存取存儲(chǔ)器(reram)、三維nand技術(shù)、鐵電ram、磁阻ram(mram)或各種類型的相變存儲(chǔ)器(pcm)中的任一種，至少用于系統(tǒng)存儲(chǔ)器的非易失性部分。在示出的實(shí)施方案中，實(shí)現(xiàn)一個(gè)或多個(gè)期望功能的程序指令和數(shù)據(jù)(諸如以上所述的那些方法、技術(shù)以及數(shù)據(jù))展示成作為代碼9025和數(shù)據(jù)9026存儲(chǔ)在系統(tǒng)存儲(chǔ)器9020內(nèi)。

在一個(gè)實(shí)施方案中，i/o接口9030可被配置來協(xié)調(diào)裝置中的處理器9010、系統(tǒng)存儲(chǔ)器9020以及任何外圍裝置之間的i/o流量，所述外圍裝置包括網(wǎng)絡(luò)接口9040或其他外圍接口，諸如各種類型的永久和/或易失性存儲(chǔ)裝置。在一些實(shí)施方案中，i/o接口9030可執(zhí)行任何必需協(xié)議、時(shí)序或其他數(shù)據(jù)轉(zhuǎn)換以將來自一個(gè)部件(例如，系統(tǒng)存儲(chǔ)器9020)的數(shù)據(jù)信號(hào)轉(zhuǎn)變成適合于由另一個(gè)部件(例如，處理器9010)使用的格式。在一些實(shí)施方案中，i/o接口9030可包括對(duì)于通過各種類型的外圍總線附接的裝置的支持，所述外圍總線例如像外圍部件互連(pci)總線標(biāo)準(zhǔn)或通用串行總線(usb)標(biāo)準(zhǔn)的變型。在一些實(shí)施方案中，i/o接口9030的功能可分到兩個(gè)或更多個(gè)單獨(dú)的部件中，例如像北橋和南橋。另外，在一些實(shí)施方案中，i/o接口9030的一些或所有功能，諸如到系統(tǒng)存儲(chǔ)器9020的接口，可直接并入處理器9010中。

網(wǎng)絡(luò)接口9040可以被配置來允許數(shù)據(jù)在計(jì)算裝置9000與附接到一個(gè)或多個(gè)網(wǎng)絡(luò)9050的其他裝置9060(例如像圖1至圖9所示的其他計(jì)算機(jī)系統(tǒng)或裝置)之間進(jìn)行交換。在各個(gè)實(shí)施方案中，網(wǎng)絡(luò)接口9040可以支持通過任何合適的有線或無線通用數(shù)據(jù)網(wǎng)絡(luò)(例如像以太網(wǎng)網(wǎng)絡(luò)類型)進(jìn)行通信。另外，網(wǎng)絡(luò)接口9040可以支持通過電信/電話網(wǎng)絡(luò)(諸如模擬語音網(wǎng)絡(luò)或數(shù)字光纖通信網(wǎng)絡(luò))、通過存儲(chǔ)區(qū)域網(wǎng)絡(luò)(諸如光纖通道san)或通過任何其他合適類型的網(wǎng)絡(luò)和/或協(xié)議進(jìn)行通信。

在一些實(shí)施方案中，系統(tǒng)存儲(chǔ)器9020可以是計(jì)算機(jī)可訪問介質(zhì)的一個(gè)實(shí)施方案，所述計(jì)算機(jī)可訪問介質(zhì)被配置來存儲(chǔ)如以上針對(duì)圖1至圖9所述的用于實(shí)現(xiàn)對(duì)應(yīng)方法和設(shè)備的實(shí)施方案的程序指令和數(shù)據(jù)。然而，在其他實(shí)施方案中，可以在不同類型的計(jì)算機(jī)可訪問介質(zhì)上接收、發(fā)送或存儲(chǔ)程序指令和/或數(shù)據(jù)。一般來說，計(jì)算機(jī)可訪問介質(zhì)可包括非暫時(shí)性存儲(chǔ)介質(zhì)或存儲(chǔ)器介質(zhì)，諸如磁性或光學(xué)介質(zhì)，例如通過i/o接口9030耦接到計(jì)算裝置9000的磁盤或dvd/cd。非暫時(shí)性計(jì)算機(jī)可訪問存儲(chǔ)介質(zhì)也可包括可作為系統(tǒng)存儲(chǔ)器9020或另一類型存儲(chǔ)器而被包括在計(jì)算裝置9000的一些實(shí)施方案中的任何易失性或非易失性介質(zhì)，諸如ram(例如，sdram、ddrsdram、rdram、sram等)、rom等。另外，計(jì)算機(jī)可訪問介質(zhì)可包括傳輸介質(zhì)或信號(hào)，諸如通過通信介質(zhì)(諸如網(wǎng)絡(luò)和/或無線鏈路)傳達(dá)的電信號(hào)、電磁信號(hào)或數(shù)字信號(hào)，諸如可通過網(wǎng)絡(luò)接口9040來實(shí)現(xiàn)。多個(gè)計(jì)算裝置(諸如圖10中示出的那些裝置)中的部分或全部可用來實(shí)現(xiàn)各種實(shí)施方案中的所描述功能；例如在多種不同的裝置和服務(wù)器上運(yùn)行的軟件部件可協(xié)作來提供所述功能。在一些實(shí)施方案中，除了或代替使用通用計(jì)算機(jī)系統(tǒng)來實(shí)施，所描述功能的部分可使用存儲(chǔ)裝置、網(wǎng)絡(luò)裝置或?qū)Ｓ糜?jì)算機(jī)系統(tǒng)來實(shí)施。如本文所使用的術(shù)語“計(jì)算裝置”是指至少所有這些類型的裝置，并且不限于這些類型的裝置。

總結(jié)

各種實(shí)施方案還可包括在計(jì)算機(jī)可訪問介質(zhì)上接收、發(fā)送或存儲(chǔ)根據(jù)前面的描述而實(shí)施的指令和/或數(shù)據(jù)。一般來說，計(jì)算機(jī)可訪問介質(zhì)可包括存儲(chǔ)介質(zhì)或存儲(chǔ)器介質(zhì)，諸如磁性或光學(xué)介質(zhì)(例如，磁盤或dvd/cd-rom)，易失性或非易失性介質(zhì)(諸如ram(例如，sdram、ddr、rdram、sram等)、rom等)，以及通過通信介質(zhì)(諸如網(wǎng)絡(luò)和/或無線鏈路)傳達(dá)的傳輸介質(zhì)或信號(hào)，諸如電信號(hào)、電磁信號(hào)或數(shù)字信號(hào)。

如圖示出并且在本文中描述的各種方法表示方法的示例性實(shí)施方案。所述方法可以在軟件、硬件或其組合中實(shí)現(xiàn)。方法的順序可以改變，并且各種元素可以添加、重新排序、組合、省略、修改等。

受益于本公開的本領(lǐng)域技術(shù)人員將清楚地知曉可做出各種修改和變化。旨在包括所有這些修改和變化，并且因此，以上描述應(yīng)視為具有說明性而非限制性意義。