ホーム > 特許ランキング > Google LLC
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-11-20
(45)【発行日】2024-11-28
(54)【発明の名称】クラウドネットワーク到達可能性解析
(51)【国際特許分類】
H04L 61/2567 20220101AFI20241121BHJP
H04L 45/76 20220101ALI20241121BHJP
【FI】
H04L61/2567
H04L45/76
【請求項の数】
20
【外国語出願】
(21)【出願番号】P 2023122374
(22)【出願日】2023-07-27
(62)【分割の表示】P 2021559267の分割
【原出願日】2020-04-03
(65)【公開番号】P2023145612
(43)【公開日】2023-10-11
【審査請求日】2023-08-08
(31)【優先権主張番号】62/830,159
(32)【優先日】2019-04-05
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】502208397
【氏名又は名称】グーグル エルエルシー
【氏名又は名称原語表記】Google LLC
【住所又は居所原語表記】1600 Amphitheatre Parkway 94043 Mountain View, CA U.S.A.
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】リウ,ホイ
(72)【発明者】
【氏名】チョン,レスリー
(72)【発明者】
【氏名】ヤン,ホンクン
(72)【発明者】
【氏名】アグラワル,シシャ
(72)【発明者】
【氏名】ヤバトカル,ラジ
(72)【発明者】
【氏名】ルオ,ティエンチオン
(72)【発明者】
【氏名】アダブ,ガールギー
(72)【発明者】
【氏名】スモルカ,ステフェン
【審査官】速水 雄太
(56)【参考文献】
【文献】特表2017-524320(JP,A)
【文献】米国特許出願公開第2019/0097940(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00-12/66
41/00-101/695
(57)【特許請求の範囲】
【請求項1】
データ処理ハードウェアによって実行される、コンピュータにより実現される方法であって、前記方法は、前記データ処理ハードウェアに動作を実行させ、前記動作は、バーチャルプライベートクラウド(VPC)ネットワークの送信元インターネットプロトコル(IP)アドレスから前記VPCネットワークの送信先IPアドレスへのネットワークトラフィックの到達可能性ステータスを要求するVPC到達可能性要求をユーザデバイスから受信することを含み、前記VPC到達可能性要求は、プロトコルタイプを含み、前記動作はさらに、
前記VPCネットワークの構成を定義するネットワーク構成情報を取得することと、
モデルおよび前記ネットワーク構成情報を使用して、送信元IPアドレスおよび前記送信先IPアドレスに基づいてデータパケットのシミュレーションされた転送経路を生成することとを含み、前記シミュレーションされた転送経路は、複数のホップを含み、前記動作はさらに、
前記シミュレーションされた転送経路に基づいて、前記送信元IPアドレスから前記送信先IPアドレスに到達不可能であると判断することと、
前記送信先IPアドレスが到達不可能であるとの判断に応答して、到達可能性レポートを生成することとを含み、前記到達可能性レポートは、
前記シミュレーションされた転送経路の前記複数のホップの各ホップと、
前記送信元IPアドレスから前記送信先IPアドレスに到達不可能である根拠とを含み、前記動作はさらに、
前記到達可能性レポートを前記ユーザデバイスに提供することを含む、方法。
【請求項2】
前記VPC到達可能性要求は、送信先ポートをさらに含む、請求項1に記載の方法。
【請求項3】
前記送信先IPアドレスが到達不可能であると判断することは、ネットワーク抽象状態マシンを使用することを含む、請求項1または2に記載の方法。
【請求項4】
前記ネットワーク構成情報は、前記VPCネットワーク内で前記データパケットを導くためのポート/インターフェイス、
前記シミュレーションされた転送経路に沿った各ステップにおいて前記データパケットに適用されるファイアウォールルール、および
前記シミュレーションされた転送経路に沿った前記複数のホップの各ホップに関連付けられたネットワーク構成を含む、請求項1~3のいずれかに記載の方法。
【請求項5】
前記送信先IPアドレスが到達不可能であると判断することは、構成チェックポイントの失敗または構成の欠落により前記データパケットが削除されることを示す削除状態、または
構成の欠落により前記送信先IPアドレスのネットワーク到達可能性解析が不可能であることを示すアボート状態、を判断することを含む、請求項1~4のいずれかに記載の方法。
【請求項6】
前記VPC到達可能性要求は、前記データパケットに関連付けられた送信元ポートと、
前記データパケットに関連付けられた送信先ポートとをさらに含む、請求項1~5のいずれかに記載の方法。
【請求項7】
前記送信元IPアドレスは、第1のバーチャルマシン(VM)に関連付けられ、前記送信先IPアドレスは、第2のVMに関連付けられる、請求項1~6のいずれかに記載の方法。
【請求項8】
前記複数のホップのうちの少なくとも1つのホップは、前記VPCネットワーク内にロードバランサを含む、請求項1~7のいずれかに記載の方法。
【請求項9】
前記送信先IPアドレスが到達不可能であると判断することは、前記シミュレーションされた転送経路のタイプに基づいて、経路に特有のチェックを前記ネットワーク構成情報から判断することを含む、請求項1~8のいずれかに記載の方法。
【請求項10】
前記シミュレーションされた転送経路の前記タイプは、前記シミュレーションされた転送経路の送信元インスタンスおよび送信先インスタンスに基づく、請求項9に記載の方法。
【請求項11】
システムであって、データ処理ハードウェアと、
前記データ処理ハードウェアと通信するメモリハードウェアとを備え、前記メモリハードウェアは、命令を格納し、前記命令は、前記データ処理ハードウェア上で実行されると、前記データ処理ハードウェアに動作を実行させ、前記動作は、
バーチャルプライベートクラウド(VPC)ネットワークの送信元インターネットプロトコル(IP)アドレスから前記VPCネットワークの送信先IPアドレスへのネットワークトラフィックの到達可能性ステータスを要求するVPC到達可能性要求をユーザデバイスから受信することを含み、前記VPC到達可能性要求は、プロトコルタイプを含み、前記動作はさらに、
前記VPCネットワークの構成を定義するネットワーク構成情報を取得することと、
モデルおよび前記ネットワーク構成情報を使用して、送信元IPアドレスおよび前記送信先IPアドレスに基づいてデータパケットのシミュレーションされた転送経路を生成することとを含み、前記シミュレーションされた転送経路は、複数のホップを含み、前記動作はさらに、
前記シミュレーションされた転送経路に基づいて、前記送信元IPアドレスから前記送信先IPアドレスに到達不可能であると判断することと、
前記送信先IPアドレスが到達不可能であるとの判断に応答して、到達可能性レポートを生成することとを含み、前記到達可能性レポートは、
前記シミュレーションされた転送経路の前記複数のホップの各ホップと、
前記送信元IPアドレスから前記送信先IPアドレスに到達不可能である根拠とを含み、前記動作はさらに、
前記到達可能性レポートを前記ユーザデバイスに提供することを含む、システム。
【請求項12】
前記VPC到達可能性要求は、送信先ポートをさらに含む、請求項11に記載のシステム。
【請求項13】
前記送信先IPアドレスが到達不可能であると判断することは、ネットワーク抽象状態マシンを使用することを含む、請求項11または12に記載のシステム。
【請求項14】
前記ネットワーク構成情報は、前記VPCネットワーク内で前記データパケットを導くためのポート/インターフェイス、
前記シミュレーションされた転送経路に沿った各ステップにおいて前記データパケットに適用されるファイアウォールルール、および
前記シミュレーションされた転送経路に沿った前記複数のホップの各ホップに関連付けられたネットワーク構成を含む、請求項11~13のいずれかに記載のシステム。
【請求項15】
前記送信先IPアドレスが到達不可能であると判断することは、構成チェックポイントの失敗または構成の欠落により前記データパケットが削除されることを示す削除状態、または
構成の欠落により前記送信先IPアドレスのネットワーク到達可能性解析が不可能であることを示すアボート状態、を判断することを含む、請求項11~14のいずれかに記載のシステム。
【請求項16】
前記VPC到達可能性要求は、前記データパケットに関連付けられた送信元ポートと、
前記データパケットに関連付けられた送信先ポートとをさらに含む、請求項11~15のいずれかに記載のシステム。
【請求項17】
前記送信元IPアドレスは、第1のバーチャルマシン(VM)に関連付けられ、前記送信先IPアドレスは、第2のVMに関連付けられる、請求項11~16のいずれかに記載のシステム。
【請求項18】
前記複数のホップのうちの少なくとも1つのホップは、前記VPCネットワーク内にロードバランサを含む、請求項11~17のいずれかに記載のシステム。
【請求項19】
前記送信先IPアドレスが到達不可能であると判断することは、前記シミュレーションされた転送経路のタイプに基づいて、経路に特有のチェックを前記ネットワーク構成情報から判断することを含む、請求項11~18のいずれかに記載のシステム。
【請求項20】
前記シミュレーションされた転送経路の前記タイプは、前記シミュレーションされた転送経路の送信元インスタンスおよび送信先インスタンスに基づく、請求項19に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
技術分野
本開示は、クラウドネットワークの到達可能性解析に関する。
本開示は、クラウドネットワークの到達可能性解析に関する。
【背景技術】
【0002】
背景
バーチャルプライベートクラウド(VPC)は、パブリッククラウド環境内に割り当てられた共有のコンピューティングリソースのオンデマンドで構成可能なプールである。VPCは、ユーザに対して他のクラウドユーザからの独立性を提供する。VPCは、バーチャルプライベートネットワーク(VPN)を介してユーザのオンプレミスネットワークまたは他のリモートリソースと通信し得る1つまたは複数のバーチャルマシン(VM)を実行してもよい。多数のVM、ネットワークゲートウェイ、ロードバランサなどを含み得るVPCの潜在的規模および複雑さのために、VPCを動作させて維持するためには相当なネットワーク構成が必要であることが多い。
バーチャルプライベートクラウド(VPC)は、パブリッククラウド環境内に割り当てられた共有のコンピューティングリソースのオンデマンドで構成可能なプールである。VPCは、ユーザに対して他のクラウドユーザからの独立性を提供する。VPCは、バーチャルプライベートネットワーク(VPN)を介してユーザのオンプレミスネットワークまたは他のリモートリソースと通信し得る1つまたは複数のバーチャルマシン(VM)を実行してもよい。多数のVM、ネットワークゲートウェイ、ロードバランサなどを含み得るVPCの潜在的規模および複雑さのために、VPCを動作させて維持するためには相当なネットワーク構成が必要であることが多い。
【発明の概要】
【0003】
概要
本開示の一局面は、クラウドネットワーク到達可能性解析を提供するための方法を提供する。上記方法は、データ処理ハードウェアにおいて、ターゲットの到達可能性ステータスを要求する到達可能性クエリを受信するステップを含む。上記到達可能性クエリは、データパケットに関連付けられたパケットヘッダを含む。上記パケットヘッダは、上記データパケットの送信元に関連付けられた送信元インターネットプロトコル(IP)アドレスと、上記データパケットの送信先に関連付けられた送信先IPアドレスとを含む。上記解析は、上記データ処理ハードウェアが、データプレーンモデルを使用して、上記パケットヘッダに基づいて上記データパケットの1つまたは複数のシミュレーションされた転送経路を生成するステップも含む。各々のシミュレーションされた転送経路は、対応するネットワーク構成情報を含む。上記方法は、上記データ処理ハードウェアが、上記1つまたは複数のシミュレーションされた転送経路に基づいて上記ターゲットの上記到達可能性ステータスを特定するステップも含む。上記方法は、上記データ処理ハードウェアが、上記特定された到達可能性ステータスおよび上記1つまたは複数のシミュレーションされた転送経路を、上記到達可能性クエリに関連付けられたユーザデバイスに提供するステップも含む。上記1つまたは複数のシミュレーションされた転送経路は、上記ユーザデバイスによって受信されると、上記ユーザデバイスに、各々のシミュレーションされた転送経路の上記ネットワーク構成情報を提示させる。
本開示の一局面は、クラウドネットワーク到達可能性解析を提供するための方法を提供する。上記方法は、データ処理ハードウェアにおいて、ターゲットの到達可能性ステータスを要求する到達可能性クエリを受信するステップを含む。上記到達可能性クエリは、データパケットに関連付けられたパケットヘッダを含む。上記パケットヘッダは、上記データパケットの送信元に関連付けられた送信元インターネットプロトコル(IP)アドレスと、上記データパケットの送信先に関連付けられた送信先IPアドレスとを含む。上記解析は、上記データ処理ハードウェアが、データプレーンモデルを使用して、上記パケットヘッダに基づいて上記データパケットの1つまたは複数のシミュレーションされた転送経路を生成するステップも含む。各々のシミュレーションされた転送経路は、対応するネットワーク構成情報を含む。上記方法は、上記データ処理ハードウェアが、上記1つまたは複数のシミュレーションされた転送経路に基づいて上記ターゲットの上記到達可能性ステータスを特定するステップも含む。上記方法は、上記データ処理ハードウェアが、上記特定された到達可能性ステータスおよび上記1つまたは複数のシミュレーションされた転送経路を、上記到達可能性クエリに関連付けられたユーザデバイスに提供するステップも含む。上記1つまたは複数のシミュレーションされた転送経路は、上記ユーザデバイスによって受信されると、上記ユーザデバイスに、各々のシミュレーションされた転送経路の上記ネットワーク構成情報を提示させる。
【0004】
本開示の実現例は、以下の任意の特徴のうちの1つまたは複数を含んでもよい。いくつかの実現例において、上記1つまたは複数のシミュレーションされた転送経路の上記到達可能性ステータスを特定するステップは、ネットワーク抽象状態マシンを使用するステップを含む。上記ユーザデバイスは、ローカルに通知されたルートを使用してリモートネットワークから上記データパケットを送信するように構成されてもよい。いくつかの例において、上記ネットワーク構成情報は、バーチャルプライベートクラウド(VPC)ネットワーク内で上記データパケットを導くためのポート/インターフェイス、VPCネットワーク間で上記データパケットを導くためのポート/インターフェイス、VPCネットワークと非VPCネットワークとの間で上記データパケットを導くためのポート/インターフェイス、上記対応するシミュレーションされた転送経路に沿った各ステップにおいて上記データパケットに適用されるファイアウォールルール、または上記対応するシミュレーションされた転送経路に沿った各ステップに関連付けられたネットワーク構成、のうちの少
なくとも1つを含む。
なくとも1つを含む。
【0005】
任意に、上記方法は、上記データ処理ハードウェアが、上記対応するネットワーク構成情報に基づいて、上記1つまたは複数のシミュレーションされた転送経路の各々に対してネットワーク到達可能性解析を実行するステップを含む。上記ネットワーク到達可能性解析は、上記対応するシミュレーションされた転送経路に沿って上記データパケットの到達可能性の最終状態を特定すること、上記対応するシミュレーションされた転送経路に沿って1つまたは複数の不良構成を発見すること、または上記対応するシミュレーションされた転送経路に沿って不整合構成または廃止された構成を発見すること、のうちの少なくとも1つを実行するように構成されてもよい。
【0006】
いくつかの実現例において、上記到達可能性の最終状態は、上記データパケットが上記送信先に送達されることを示す送達状態、上記データパケットが、不明の構成を有する別のネットワークに転送されることを示す転送状態、構成チェックポイントの失敗または構成の欠落により上記データパケットが削除されることを示す削除状態、または重要な構成の欠落により上記ネットワーク到達可能性解析が不可能であることを示すアボート状態、のうちのいずれか1つを含む。上記ネットワーク到達可能性解析を実行するステップは、オンデマンドモード、連続モード、プレサブミットモードまたはポストサブミットモードのうちの少なくとも1つのモードで上記ネットワーク到達可能性解析を実行するステップを含んでもよい。
【0007】
いくつかの例において、上記パケットヘッダはさらに、上記データパケットに関連付けられたプロトコルと、上記データパケットに関連付けられた送信元ポートと、上記データパケットに関連付けられた送信先ポートとを含む。上記データパケットの上記送信元は、第1のネットワークにおいて実行される第1のインスタンスを含んでもよく、上記データパケットの上記送信先は、上記第1のネットワークとは異なる第2のネットワークにおいて実行される第2のインスタンスを含んでもよい。いくつかの実現例において、上記第1のネットワークは、VPCネットワークを含み、上記第2のネットワークは、オンプレミスネットワークを含む。上記第1のネットワークおよび上記第2のネットワークは、それぞれのVPCネットワークを含んでもよい。
【0008】
上記データパケットの上記送信元は、第1のインスタンスを含んでもよく、上記データパケットの上記送信先は、第2のインスタンスを含んでもよい。上記第1のインスタンスも上記第2のインスタンスも、同一のVPCネットワークにおいて実行される。上記データパケットの上記送信元は、外部ネットワークに位置し、上記データパケットの上記送信先は、VPCネットワークにおいて実行されるグローバルHTTPSロードバランサを含んでもよい。上記グローバルHTTPSロードバランサは、上記データパケットを複数の異なるバックエンドのうちの1つにルーティングするように構成される。上記データパケットの1つまたは複数のシミュレーションされた転送経路を生成するステップは、上記グローバルHTTPSロードバランサから上記複数の異なるバックエンドのうちの各々への対応するシミュレーションされた転送経路を生成するステップを含んでもよい。
【0009】
本開示の別の局面は、クラウド到達可能性解析を提供するためのシステムを提供する。上記システムは、データ処理ハードウェアと、上記データ処理ハードウェアと通信するメモリハードウェアとを含む。上記メモリハードウェアは、命令を格納し、上記命令は、上記データ処理ハードウェア上で実行されると、上記データ処理ハードウェアに動作を実行させる。上記動作は、ターゲットの到達可能性ステータスを要求する到達可能性クエリを受信するステップを含む。上記到達可能性クエリは、データパケットに関連付けられたパケットヘッダを含む。上記パケットヘッダは、上記データパケットの送信元に関連付けられた送信元インターネットプロトコル(IP)アドレスと、上記データパケットの送信先
に関連付けられた送信先IPアドレスとを含む。上記解析は、データプレーンモデルを使用して、上記パケットヘッダに基づいて上記データパケットの1つまたは複数のシミュレーションされた転送経路を生成するステップも含む。各々のシミュレーションされた転送経路は、対応するネットワーク構成情報を含む。上記動作は、上記1つまたは複数のシミュレーションされた転送経路に基づいて上記ターゲットの上記到達可能性ステータスを特定するステップも含む。上記動作は、上記特定された到達可能性ステータスおよび上記1つまたは複数のシミュレーションされた転送経路を、上記到達可能性クエリに関連付けられたユーザデバイスに提供するステップも含む。上記1つまたは複数のシミュレーションされた転送経路は、上記ユーザデバイスによって受信されると、上記ユーザデバイスに、各々のシミュレーションされた転送経路の上記ネットワーク構成情報を提示させる。
に関連付けられた送信先IPアドレスとを含む。上記解析は、データプレーンモデルを使用して、上記パケットヘッダに基づいて上記データパケットの1つまたは複数のシミュレーションされた転送経路を生成するステップも含む。各々のシミュレーションされた転送経路は、対応するネットワーク構成情報を含む。上記動作は、上記1つまたは複数のシミュレーションされた転送経路に基づいて上記ターゲットの上記到達可能性ステータスを特定するステップも含む。上記動作は、上記特定された到達可能性ステータスおよび上記1つまたは複数のシミュレーションされた転送経路を、上記到達可能性クエリに関連付けられたユーザデバイスに提供するステップも含む。上記1つまたは複数のシミュレーションされた転送経路は、上記ユーザデバイスによって受信されると、上記ユーザデバイスに、各々のシミュレーションされた転送経路の上記ネットワーク構成情報を提示させる。
【0010】
この局面は、以下の任意の特徴のうちの1つまたは複数を含んでもよい、いくつかの実現例において、上記1つまたは複数のシミュレーションされた転送経路の上記到達可能性ステータスを特定するステップは、ネットワーク抽象状態マシンを使用するステップを含む。上記ユーザデバイスは、ローカルに通知されたルートを使用してリモートネットワークから上記データパケットを送信するように構成されてもよい。いくつかの例において、上記ネットワーク構成情報は、バーチャルプライベートクラウド(VPC)ネットワーク内で上記データパケットを導くためのポート/インターフェイス、VPCネットワーク間で上記データパケットを導くためのポート/インターフェイス、VPCネットワークと非VPCネットワークとの間で上記データパケットを導くためのポート/インターフェイス、上記対応するシミュレーションされた転送経路に沿った各ステップにおいて上記データパケットに適用されるファイアウォールルール、または上記対応するシミュレーションされた転送経路に沿った各ステップに関連付けられたネットワーク構成、のうちの少なくとも1つを含む。
【0011】
任意に、上記動作は、上記対応するネットワーク構成情報に基づいて、上記1つまたは複数のシミュレーションされた転送経路の各々に対してネットワーク到達可能性解析を実行するステップを含む。上記ネットワーク到達可能性解析は、上記対応するシミュレーションされた転送経路に沿って上記データパケットの到達可能性の最終状態を特定すること、上記対応するシミュレーションされた転送経路に沿って1つまたは複数の不良構成を発見すること、または上記対応するシミュレーションされた転送経路に沿って不整合構成または廃止された構成を発見すること、のうちの少なくとも1つを実行するように構成されてもよい。
【0012】
いくつかの実現例において、上記到達可能性の最終状態は、上記データパケットが上記送信先に送達されることを示す送達状態、上記データパケットが、不明の構成を有する別のネットワークに転送されることを示す転送状態、構成チェックポイントの失敗または構成の欠落により上記データパケットが削除されることを示す削除状態、または重要な構成の欠落により上記ネットワーク到達可能性解析が不可能であることを示すアボート状態、のうちのいずれか1つを含む。上記ネットワーク到達可能性解析を実行するステップは、オンデマンドモード、連続モード、プレサブミットモードまたはポストサブミットモードのうちの少なくとも1つのモードで上記ネットワーク到達可能性解析を実行するステップを含んでもよい。
【0013】
いくつかの例において、上記パケットヘッダはさらに、上記データパケットに関連付けられたプロトコルと、上記データパケットに関連付けられた送信元ポートと、上記データパケットに関連付けられた送信先ポートとを含む。上記データパケットの上記送信元は、第1のネットワークにおいて実行される第1のインスタンスを含んでもよく、上記データパケットの上記送信先は、上記第1のネットワークとは異なる第2のネットワークにおいて実行される第2のインスタンスを含んでもよい。いくつかの実現例において、上記第1
のネットワークは、VPCネットワークを含み、上記第2のネットワークは、オンプレミスネットワークを含む。上記第1のネットワークおよび上記第2のネットワークは、それぞれのVPCネットワークを含んでもよい。
のネットワークは、VPCネットワークを含み、上記第2のネットワークは、オンプレミスネットワークを含む。上記第1のネットワークおよび上記第2のネットワークは、それぞれのVPCネットワークを含んでもよい。
【0014】
上記データパケットの上記送信元は、第1のインスタンスを含んでもよく、上記データパケットの上記送信先は、第2のインスタンスを含んでもよい。上記第1のインスタンスも上記第2のインスタンスも、同一のVPCネットワークにおいて実行される。上記データパケットの上記送信元は、外部ネットワークに位置し、上記データパケットの上記送信先は、VPCネットワークにおいて実行されるグローバルHTTPSロードバランサを含んでもよい。上記グローバルHTTPSロードバランサは、上記データパケットを複数の異なるバックエンドのうちの1つにルーティングするように構成される。上記データパケットの1つまたは複数のシミュレーションされた転送経路を生成するステップは、上記グローバルHTTPSロードバランサから上記複数の異なるバックエンドのうちの各々への対応するシミュレーションされた転送経路を生成するステップを含んでもよい。
【0015】
本開示の1つまたは複数の実現例の詳細は、添付の図面および以下の説明に記載されている。他の局面、特徴および利点は、説明および図面および特許請求の範囲から明らかであろう。
【図面の簡単な説明】
【0016】
【図1】クラウドネットワーク到達可能性解析を実行するための例示的なシステムの概略図である。
【図3B】シミュレーションされた転送経路の特定された到達可能性ステータスを示す例示的なレポートの概略図である。
【図5】バーチャルマシンと別のバーチャルマシンとの間の転送経路をシミュレーションするためのネットワーク抽象状態マシンの状態図の概略図である。
【図6】バーチャルマシンとロードバランサとの間の転送経路をシミュレーションするためのネットワーク抽象状態マシンの状態図の概略図である。
【図7】バーチャルマシンとオンプレミスネットワークとの間の転送経路をシミュレーションするためのネットワーク抽象状態マシンの状態図の概略図である。
【図8】インターネットとバーチャルマシンとの間の転送経路をシミュレーションするためのネットワーク抽象状態マシンの状態図の概略図である。
【図9】オンプレミスネットワークバーチャルマシンとバーチャルプライベートクラウドバーチャルマシンとの間の転送経路をシミュレーションするためのネットワーク抽象状態マシンの状態図の概略図である。
【図10A】シミュレーションされたデータパケットの最終到達可能性状態の原因の表である。
【図10B】シミュレーションされたデータパケットの最終到達可能性状態の原因の表である。
【図11】ロードバランサを介した外部ホストとバーチャルプライベートクラウドバーチャルマシンとの間のシミュレーションされた転送経路の概略図である。
【図12】クラウドネットワーク到達可能性解析を実行する方法のための動作の例示的な構成のフローチャートである。
【図13】本明細書に記載されているシステムおよび方法を実現するために使用され得る例示的なコンピューティングデバイスの概略図である。
【発明を実施するための形態】
【0017】
さまざまな図面における同様の参照符号は、同様の要素を示す。
詳細な説明
バーチャルプライベートクラウド(VPC)は、ユーザに対して他のクラウドユーザからの独立性を提供するためにパブリッククラウド環境内に割り当てられた共有のコンピューティングリソースのオンデマンドで構成可能なプールである。この独立(分離)は、プライベートインターネットプロトコル(IP)サブネットおよび/またはバーチャル通信構成体を割り当てることによって行われてもよい。VPCは、VPC環境への安全性の高いアクセスを確実にするために、バーチャルプライベートネットワーク(VPN)を介してユーザのオンプレミスネットワークまたは他のリモートリソースと通信し得る1つまたは複数のバーチャルマシン(VM)を実行してもよい。VPC環境の中には、規模が非常に大きくて(すなわち、多数のVM、ネットワークゲートウェイ、ロードバランサなどを含む)非常に複雑であるものもあるので、VPCネットワークを動作させて維持するためには相当なネットワーク構成が必要であることが多い。
詳細な説明
バーチャルプライベートクラウド(VPC)は、ユーザに対して他のクラウドユーザからの独立性を提供するためにパブリッククラウド環境内に割り当てられた共有のコンピューティングリソースのオンデマンドで構成可能なプールである。この独立(分離)は、プライベートインターネットプロトコル(IP)サブネットおよび/またはバーチャル通信構成体を割り当てることによって行われてもよい。VPCは、VPC環境への安全性の高いアクセスを確実にするために、バーチャルプライベートネットワーク(VPN)を介してユーザのオンプレミスネットワークまたは他のリモートリソースと通信し得る1つまたは複数のバーチャルマシン(VM)を実行してもよい。VPC環境の中には、規模が非常に大きくて(すなわち、多数のVM、ネットワークゲートウェイ、ロードバランサなどを含む)非常に複雑であるものもあるので、VPCネットワークを動作させて維持するためには相当なネットワーク構成が必要であることが多い。
【0018】
本明細書における実現例は、ユーザが、複数のフィールド(たとえば、送信元アドレスおよび送信先アドレス、プロトコル、送信元ポートおよび送信先ポートなど)を有するパケットヘッダを指定して、VPCネットワーク、ピアリングVPCネットワーク、VPNトンネルを介したおよび/またはユーザのオンプレミスネットワークへのデータパケットの少なくとも1つの予想される転送経路を(パケットヘッダを使用して)シミュレーションすることを可能にするクラウド到達可能性解析部に向けられる。クラウド到達可能性解析部は、各々のシミュレーションされた経路に対して、たとえばルートおよびファイアウォールルールを含む構成情報を提供する。転送経路の状態を実際に検証する(すなわち、データパケットを実際に送信する)こととは対照的に、クラウド到達可能性解析部は、その代わりに、VPCネットワークのアクティブな構成に基づいて解析を実行する。これは、「インテントベースの」パケットトレーシングと称されることもある。
【0019】
すなわち、クラウド到達可能性解析部は、VPC内またはVPCネットワークと非VPCネットワーク(たとえば、オンプレミスネットワーク)との間のネットワーク到達可能性の構成ベースの静的な解析を提供する。ユーザは、パケットヘッダの1つまたは複数のパラメータを指定してもよく、クラウド到達可能性解析部は、パケット転送経路を生成してシミュレーションする。クラウド到達可能性解析部は、各々のシミュレーションされた経路の各ステップについて、一致する構成(たとえば、ファイアウォールルール、ルートなど)を提供する。したがって、クラウド到達可能性解析部は、ユーザがネットワーク構成を用いて所期の到達可能性を検証することを可能にし、不整合構成、廃止された構成または正しく構成されていない構成を発見することを手助けする。また、クラウド到達可能性解析部は、新たな構成変更からエラーを確認して検出し、提案されている構成変更によるネットワーク接続性の影響を解析する。
【0020】
図1を参照して、いくつかの実現例において、例示的なシステム100は、ユーザデバイス10を含み、ユーザデバイス10は、それぞれのユーザ12に関連付けられて、ネットワーク60(たとえば、インターネット)およびオンプレミスネットワーク70(すなわち、ユーザデバイス10がネットワーク60に接続するために使用するローカルネットワーク)を介してリモートシステム140と通信する。オンプレミスネットワーク70は、オンプレミスネットワーク70のための転送ホストの役割を果たすネットワークゲートウェイ72(たとえば、ルータ)を含む。ユーザデバイス10は、デスクトップワークステーション、ラップトップワークステーションまたはモバイルデバイス(すなわち、スマートフォン)などの任意のコンピューティングデバイスに対応してもよい。ユーザデバイス10は、コンピューティングリソース18(たとえば、データ処理ハードウェア)および/またはストレージリソース16(たとえば、メモリハードウェア)を含む。
【0021】
リモートシステム140は、コンピューティングリソース144(たとえば、データ処理ハードウェア)を含むスケーラブルな/弾力性のあるリソース142、および/または、ストレージリソース146(たとえば、メモリハードウェア)を有する単一のコンピュータ、複数のコンピュータ、または分散型システム(たとえば、クラウド環境)であってもよい。クライアントまたはコンピューティングリソース144のうちの1つまたは複数によるストレージリソース146のスケーラブルな使用を可能にするために、ストレージリソース146上にデータストア(すなわち、リモートストレージデバイス)を配置してもよい。リモートシステム140は、1つまたは複数のバーチャルマシン(VM)250,250a~nを実装して実行するように構成される。VMのうちの1つまたは複数は、ユーザ12に関連付けられるかまたはユーザ12によって操作されるバーチャルプライベートクラウド(VPC)環境またはVPCネットワーク148において、セキュリティ上安全に実行される。VPCネットワーク148は、ロードバランサ、ゲートウェイ、フロントエンドおよびバックエンドなどのさまざまな他のネットワーク要素を含んでもよい。
【0022】
図2に示されている例において、分散型システム140は、リソース110(たとえば、ハードウェアリソース110h)のコレクション210と、バーチャルマシンモニタ(VMM)220と、VM250のうちの1つまたは複数を実行するVMレイヤ240と、アプリケーションレイヤ260とを含む。各ハードウェアリソース110hは、1つまたは複数の物理的中央処理装置(pCPU)144(「物理的なプロセッサ144」)と、メモリハードウェア146とを含んでもよい。各ハードウェアリソース110hは、単一の物理的なプロセッサ144を有するように示されているが、いずれのハードウェアリソース110hも複数の物理的なプロセッサ144を含んでもよい。オペレーティングシステム212は、リソース110のコレクション210上で実行されてもよい。
【0023】
いくつかの例において、VMM220は、VM250を作成して実行するように構成されたソフトウェア、ファームウェアまたはハードウェアのうちの少なくとも1つを含むハイパーバイザ220(たとえば、Compute Engine)に対応する。1つまたは複数のVM250を実行するVMM220に関連付けられたコンピュータ(すなわち、データ処理ハードウェア144)は、ホストマシンと称されることもあるのに対して、各VM250は、ゲストマシンと称されることもある。ここで、VMM220またはハイパーバイザは、バーチャルオペレーティングプラットフォームを有する対応するゲストオペレーティングシステム(OS)212gを各VM250に提供して、VM250上での対応するゲストOS212gの実行を管理するように構成される。本明細書において使用される各VM250は、「インスタンス」または「VMインスタンス」と称されることもある。いくつかの例において、さまざまなオペレーティングシステムの複数のインスタンスは、仮想化されたリソースを共有してもよい。たとえば、Linux(商標)オペレーティングシステムの第1のVM250、Windows(商標)オペレーティングシステムの第2のVM250、およびOS X(商標)オペレーティングシステムの第3のVM250は全て、単一の物理的なx86マシン上で動作してもよい。
【0024】
VMレイヤ240は、1つまたは複数のバーチャルマシン250を含む。分散型システム140は、ユーザ12がオンデマンドでVM250を起動することを可能にする。VM250は、実際のコンピュータシステムをエミュレートして、専用のハードウェア、ソフトウェアまたはそれらの組み合わせを含み得る実際のコンピュータシステムまたは仮想のコンピュータシステムのコンピュータアーキテクチャおよび機能に基づいて動作する。いくつかの例において、分散型システム140は、1つまたは複数のVM250を起動する前にユーザ12を認可して認証する。ソフトウェアのインスタンス、または単純にインスタンスとは、分散型システム140のデータ処理ハードウェア144上で提供される(実行される)VM250のことである。
【0025】
各VM250は、1つまたは複数のバーチャル中央処理装置(vCPU)252(「バーチャルプロセッサ」)を含んでもよい。示されている例において、第1のバーチャルマシン250aは、1つまたは複数のバーチャルプロセッサ252の第1のセット252aを含み、第2のバーチャルマシン250bは、1つまたは複数のバーチャルプロセッサ252の第2のセット252bを含む。第2のセット252bはバーチャルプロセッサ252を1つだけ含むものとして示されているが、いかなる数のバーチャルプロセッサ252を含むことも可能である。各バーチャルプロセッサ252は、1つまたは複数の物理的なプロセッサ144をエミュレートする。たとえば、1つまたは複数のバーチャルプロセッサ252の第1のセット252aは、1つまたは複数の物理的なプロセッサ144の第1のセット113aをエミュレートし、1つまたは複数のバーチャルプロセッサ252の第2のセット252bは、1つまたは複数の物理的なプロセッサ144の第2のセット113bをエミュレートする。アプリケーションレイヤ260は、バーチャルマシン250上で実行され得るソフトウェアリソース110s,110sa,110sb(ソフトウェアアプリケーション)を含む。
【0026】
一般に、ソフトウェアの各インスタンス(たとえば、バーチャルマシン250)は、物理的なメモリハードウェア146上でのサービスのために揮発性および不揮発性記憶容量を提供する少なくとも1つのバーチャルストレージデバイス262を含む。たとえば、物理的なメモリハードウェア146上の記憶容量は、永続ディスク(PD)を含み得て、永続ディスク(PD)は、揮発性メモリを提供するために、メモリハードウェア146またはランダムアクセスメモリ(RAM)のいくつかの物理的なディスク(たとえば、メモリ領域116(図13))にわたってユーザ12のためにデータを格納する。より具体的には、対応するVM250の各バーチャルストレージデバイス262は、不揮発性ストレージを提供するために、メモリハードウェア146上の関連付けられた物理的なブロックストレージボリュームVに、バイトまたはビット(ブロック)のシーケンスの状態でデータを移動させる。したがって、対応するVMインスタンス250のバーチャルストレージデバイス262は、メモリハードウェア146上で対応する物理的なブロックストレージボリュームVにマッピングする記憶容量を提供する。いくつかの例において、バーチャルストレージデバイス262は、メモリハードウェア146上のデータへのランダムアクセスをサポートし、一般にバッファリングされたI/Oを使用する。例としては、ハードディスク、CD-ROMドライブおよびフラッシュドライブが挙げられる。同様に、物理的なメモリハードウェア146の揮発性メモリ(たとえば、RAM)の一部は、バーチャルストレージデバイス262にわたって分配されてもよい。
【0027】
ゲストオペレーティングシステム212g内には、ゲストカーネル214gがある。カーネルは、OSに対するアクセスおよび制御が十分なオペレーティングシステムのコアであるコンピュータプログラムである。すなわち、カーネルは、ホストマシンのアプリケーション110sとハードウェアリソース110hとの間の仲介役である。最も最近のコンピューティングシステムは、バーチャルメモリを保護されたカーネル空間およびユーザ空間216gに分離する。一般に、カーネルは、保護されたカーネル空間内の揮発性メモリにとどまり、ユーザ空間216gから分離されている。安全性および信頼性を向上させるために、アプリケーション110sおよび他のソフトウェアサービスは、一般的には、ゲストユーザ空間216gにおいて実行され、保護されたカーネル空間と対話するのに必要な特権を有していない。
【0028】
図1に戻って、リモートシステム140は、VPCネットワーク148および/またはオンプレミスネットワーク70間または内で1つまたは複数のネットワーク転送経路80,80a~nを解析するためのクラウド到達可能性解析部150を実行して、各ネットワーク転送経路80に関する到達可能性ステータス172および/またはネットワーク構成
情報162を特定する。
情報162を特定する。
【0029】
クラウド到達可能性解析部150は、ターゲットの到達可能性ステータス172を要求する到達可能性クエリ20をユーザデバイス10から受信する。このターゲットは、オンプレミスネットワークゲートウェイ72、1つまたは複数のVM250、ファイアウォールルール、および/または、ロードバランサ(図11)などのVCPネットワーク148の他の構成要素を含んでもよい。ターゲットがファイアウォールルールである場合、到達可能性ステータス172は、VPCネットワーク148に送達されて構成の中の特定のルールにヒットし得るパケットが存在するか否かによって決まる。到達可能性クエリ20は、データパケット24に関連付けられたパケットヘッダ22(たとえば、インターネットプロトコル(IP)バージョン4(IPv4)またはIPバージョン6(IPv6)パケットヘッダ)を含む。いくつかの例では、到達可能性クエリ20は、データパケット24と、関連付けられたパケットヘッダ22とを含むが、他の例では、クラウド到達可能性解析部150は、パケットヘッダ22を受信して対応するデータパケット24を生成する。パケットヘッダ22は、複数のデータパケットパラメータ25,25a~nを含む。たとえば、パケットヘッダ22は、送信元インターネットプロトコル(IP)アドレス25aと、送信先IPアドレス25bとを含む。任意に、パケットヘッダ22は、プロトコルタイプ25c、送信元ポート25dおよび/または送信先ポート25eなどの他のパラメータ25を含む。
【0030】
クラウド到達可能性解析部150は、関連付けられたパケットヘッダ22を有するデータパケット24を受信または取得する経路生成部160を含む。経路生成部160は、データプレーンモデル164を使用して、パケットヘッダ22に基づいてデータパケット24の1つまたは複数のシミュレーションされた転送経路80(本明細書では、トレースとも称される)を生成する。各々のシミュレーションされた転送経路80は、対応するネットワーク構成情報162を含む。データプレーンモデル164は、VPCネットワーク148のネットワーク構成要素からネットワーク構成情報162を取得し、たとえば、VPCネットワーク148内でデータパケット24を導くためのポート/インターフェイス、異なるVPCネットワーク148間でデータパケット24を導くためのポート/インターフェイス、VPCネットワーク148と非VPCネットワーク(たとえば、オンプレミスネットワーク70)との間でデータパケット24を導くためのポート/インターフェイス、対応するシミュレーションされた転送経路80に沿った各ステップにおいてデータパケット24に適用されるファイアウォールルール、および/または、対応するシミュレーションされた転送経路80に沿った各ステップに関連付けられたネットワーク構成を含む。本明細書において使用されるシミュレーションされた転送経路80に沿った各ステップとは、送信元インスタンスと送信先インスタンスとの間の中間デバイス(たとえば、ゲートウェイ、ロードバランサなど)のことである。
【0031】
いくつかの実現例において、データプレーンモデル164は、ネットワーク構成情報162からインスタンスを導き出すことによってネットワーク148のデータプレーンをモデル化する理想的なデータプレーンモデルである。いくつかの例において、ネットワーク構成情報162は、VPCネットワーク148に関連付けられたプロジェクト構成に格納される。データプレーンモデル164は、導き出されたインスタンスを解析して、到達可能性特性を特定して検証する。すなわち、データプレーンモデル164は、到達可能性解析のために関連するネットワーク構成を抽象化する。ネットワーク構成情報162は、VPCネットワーク構成情報、ネットワークサービス情報(たとえば、ロードバランサ)、ハイブリッドクラウド構成、VM構成および/またはプラットフォーム構成(たとえば、コンテナ化されたアプリケーションのためのプラットフォーム)を含んでもよい。
【0032】
シミュレーションされた転送経路80は、VPCネットワーク148内および/または
VPCネットワーク148とオンプレミスネットワーク70との間のデータパケット24の転送経路を表す。たとえば、1つのシミュレーションされた転送経路80は、第1のインスタンス(たとえば、VM250a)から第2のインスタンス(たとえば、VM250b)への転送経路を表し、第1のインスタンスも第2のインスタンスも同一のVPCネットワーク148において実行される。任意に、1つのシミュレーションされた転送経路80についてのデータパケットの送信元は、VPCネットワーク148である第1のネットワークにおいて実行されるインスタンス(たとえば、VM250)であり、送信先は、第1のネットワークとは異なるVPCネットワーク148である第2のネットワークにおいて実行される第2のインスタンス(たとえば、異なるVM250)である。
VPCネットワーク148とオンプレミスネットワーク70との間のデータパケット24の転送経路を表す。たとえば、1つのシミュレーションされた転送経路80は、第1のインスタンス(たとえば、VM250a)から第2のインスタンス(たとえば、VM250b)への転送経路を表し、第1のインスタンスも第2のインスタンスも同一のVPCネットワーク148において実行される。任意に、1つのシミュレーションされた転送経路80についてのデータパケットの送信元は、VPCネットワーク148である第1のネットワークにおいて実行されるインスタンス(たとえば、VM250)であり、送信先は、第1のネットワークとは異なるVPCネットワーク148である第2のネットワークにおいて実行される第2のインスタンス(たとえば、異なるVM250)である。
【0033】
別の例において、1つのシミュレーションされた転送経路80は、1つのVM250から外部ネットワーク(たとえば、インターネット60)への転送経路80を表す。すなわち、データパケット24の送信元(すなわち、送信元IPアドレス25a)は、第1のネットワークにおいて実行される第1のインスタンス(たとえば、VPCネットワーク148におけるVM250)を含み、データパケット24の送信先(すなわち、送信先IPアドレス25b)は、第1のネットワークとは異なる第2のネットワーク(たとえば、オンプレミスネットワーク70)において実行される第2のインスタンスを含む。さらに他の例において、シミュレーションされた転送経路80は、VM250からロードバランサ1110(図11)へ、および/または、(たとえば、バーチャルプライベートネットワーク(VPN)トンネルを介して)VM250からオンプレミスネットワーク70のネットワークゲートウェイ72へを表す。これらの例の各々は、方向が逆にされてもよい。すなわち、シミュレーションされた転送経路80のうちの1つは、インターネット60からVM250またはロードバランサ1110へ、および/または、オンプレミスネットワークゲートウェイ72からVM250へを含んでもよい。ユーザデバイス10は、ローカルに通知されたルートを使用してリモートネットワーク(たとえば、オンプレミスネットワーク70)からデータパケット24を送信するように構成されてもよい。すなわち、クラウド到達可能性解析部150は、オンプレミスネットワーク70のネットワーク構成情報162へのアクセスを有することができないので、クラウド到達可能性解析部150は、オンプレミスネットワーク70から発生するデータパケット24に対して正しいルートおよびファイアウォールルールが構成されるか否かを確認することができない。しかし、クラウド到達可能性解析部150は、VPCネットワーク148からの構成がデータパケット24を意図された送信先に送達することを可能にするか否かを確認することができる。クラウド到達可能性解析部150によって確認される最も重要な構成は、通知されたルートおよびイングレスファイアウォールルールを含む。
【0034】
別の例として、データパケット24の送信元は、外部ネットワーク(たとえば、オンプレミスネットワーク70)に位置し、データパケット24の送信先は、VPCネットワーク148において実行されるグローバルHTTPSロードバランサ1110を含む。グローバルHTTPSロードバランサ1110は、データパケット24を複数の異なるバックエンドVM250(図11)のうちの1つにルーティングするように構成されてもよい。経路生成部160は、グローバルHTTPSロードバランサから複数の異なるバックエンドVM250のうちの各々への対応するシミュレーションされた転送経路80を生成してもよい。
【0035】
本明細書に記載されている例示的な経路80は、例示に過ぎず、限定的であるよう意図されたものではない。すなわち、クラウド到達可能性解析部150は、他の転送経路80も解析またはシミュレーションしてもよい。たとえば、クラウド到達可能性解析部150は、他のネットワーク(たとえば、オンプレミスネットワーク70またはピアリングVPCネットワーク)のネットワーク構成情報162を(たとえば、ユーザ12から)受信または取得し、これらのネットワークを介したシミュレーションされた経路80を含んでも
よい。言い換えれば、クラウド到達可能性解析部150は、クラウド到達可能性解析部150がネットワーク構成情報162を取得する任意のネットワークおよび関連付けられたネットワーク構成要素(たとえば、ゲートウェイ、ロードバランサ、フロントエンド、バックエンドなど)を介した転送経路80を解析してもよい。いくつかの例において、クラウド到達可能性解析部150は、ネットワーク構成情報162が入手できなくなった時点で(たとえば、オンプレミスゲートウェイ72において)解析を停止する。
よい。言い換えれば、クラウド到達可能性解析部150は、クラウド到達可能性解析部150がネットワーク構成情報162を取得する任意のネットワークおよび関連付けられたネットワーク構成要素(たとえば、ゲートウェイ、ロードバランサ、フロントエンド、バックエンドなど)を介した転送経路80を解析してもよい。いくつかの例において、クラウド到達可能性解析部150は、ネットワーク構成情報162が入手できなくなった時点で(たとえば、オンプレミスゲートウェイ72において)解析を停止する。
【0036】
経路生成部160は、経路80および対応するネットワーク構成情報162を経路解析部170に渡し、経路解析部170は、1つまたは複数のシミュレーションされた転送経路80に基づいて到達可能性クエリ20のターゲットの到達可能性ステータス172を特定する。いくつかの例において、経路解析部170は、対応するネットワーク構成情報162に基づいて、1つまたは複数のシミュレーションされた転送経路80の各々に対してネットワーク到達可能性解析を実行する。経路解析部170は、オンデマンドモード、連続モード、プレサブミットモードまたはポストサブミットモードのうちの少なくとも1つのモードでネットワーク到達可能性解析を実行してもよい。たとえば、到達可能性クエリ20は、ユーザデバイス10がクラウド到達可能性解析部150に停止するよう指示するまでの(または、他の閾値が満たされるまでの、たとえばある時間が経過するまでの)、単一のシミュレーションまたは連続的なシミュレーションの要求を示してもよい。いくつかの実現例において、経路解析部170は、対応するシミュレーションされた転送経路80に沿って1つまたは複数の不良構成を発見することによって、または、対応するシミュレーションされた転送経路80に沿って不整合構成または廃止された構成を発見することによって、対応するシミュレーションされた転送経路80に沿ったデータパケット24の到達可能性の最終状態172(本明細書では、到達可能性ステータス172とも称される)を特定する。
【0037】
クラウド到達可能性解析部150は、特定された到達可能性ステータス172および1つまたは複数のシミュレーションされた転送経路80を、到達可能性クエリ20に関連付けられたユーザデバイス10に提供する。以下でより詳細に説明するように、1つまたは複数のシミュレーションされた転送経路80は、ユーザデバイス10によって受信されると、ユーザデバイス10に、各々のシミュレーションされた転送経路80のネットワーク構成情報162をユーザ12に対して提示させる。
【0038】
ここで図3Aを参照して、いくつかの実現例において、経路解析部170は、1つまたは複数のシミュレーションされた転送経路80を生成するためのネットワーク抽象状態マシン(NAM)400を含む。NAM400は、VPCネットワーク148がどのようにしてデータパケットを処理するかについての理想的なモデルであってもよい。いくつかの例において、NAM400は、抽象であるため、VPCネットワーク148の実際の実装からは独立している。任意に、NAM400は、データパケット24の到達可能性の最終状態172を特定し、到達可能性の最終状態172は、データパケット24が送信先に送達されることを示す送達状態174a、データパケット24が、不明の構成を有する別のネットワークに転送されることを示す転送状態174b、構成チェックポイントの失敗または構成の欠落によりデータパケット24が削除されることを示す削除状態174c、または重要な構成の欠落によりネットワーク到達可能性解析が不可能であることを示すアボート状態174dのうちのいずれか1つを含む。NAM400は、状態が複数の後継状態を有し得るという点において非決定的であってもよい。たとえば、同一のIPマスクおよび優先順位を有するいくつかのルートがデータパケットに適用される場合、不特定のハッシュ関数に基づいてそれらの中からルートが選択される。これは、基本的には決定的なプロセスであるが、ルートのうちの1つを非決定的に選択することによってよりよくモデル化される。なぜなら、ハッシュ関数は、変更される可能性がある内部実装であるからである。
【0039】
ここで図3Bを参照して、クラウド到達可能性解析部150は、各々のシミュレーションされた転送経路80の特定された到達可能性ステータス172をユーザデバイス10に提供する。これは、ユーザデバイスに、各々のシミュレーションされた転送経路80のネットワーク構成情報162をユーザ12に対して提示させる。たとえば、レポート300は、生成されたデータパケット24(たとえば、パケットヘッダ22)に関する詳細をユーザ12に示してもよい。レポート300は、トレースまたはシミュレーションされた転送経路80に沿った各ステップ310,310a~nまたはホップに関連する情報を示してもよい。示されている例において、データパケット24は、ステップ310a(すなわち、ステップ0)において送信元インスタンスから出発し、ステップ310b(すなわち、ステップ1)においてエグレスファイアウォールルールが適用され、ステップ310c(すなわち、ステップ2)においてデータパケットがルーティングされ、ステップ310d(すなわち、ステップ3)において送信先インスタンスに到達し、ステップ310e(すなわち、ステップ4)においてイングレスファイアウォールルールが適用され、ステップ310f(すなわち、ステップ5)において送信先インスタンスに送達される。これらのステップ310の各々は、関連するネットワーク構成情報162を含む。
【0040】
レポート300は、各々のシミュレーションされた転送経路80の特定された到達可能性ステータス172の理由または根拠(たとえば、パケットは、ファイアウォールルールによって拒否されたので削除された)を示してもよく、その目的は、トラブルシューティングを手助けし、および/もしくは、不整合構成および無効な構成によって引き起こされるネットワーク接続を検出するためであり、または、新たなもしくは変更された構成を確認するためである。いくつかの例において、クラウド到達可能性解析部150は、構成変更影響解析を提供する。シミュレーションされた転送経路80の各々は、アプリケーション(たとえば、ウェブブラウザ)の一部としてユーザデバイス上のグラフィカルユーザインターフェイス(GUI)の一部として提示されてもよい。示されている例は、1つだけの転送経路80(すなわち、トレース1)に関する詳細を提供しているが、シミュレーションされた各転送経路80(すなわち、複数のトレース)が提供されてもよい。いくつかの例において、レポート300は、データパケット24の特定された到達可能性ステータス172を示す概要セクション320を含む。
【0041】
ここで図4を参照して、いくつかの実現例において、NAM400は、エグレスチェック410と、イングレスチェック420と、経路に特有のチェック430とを含む。いくつかの例において、エグレスチェック410は、エグレスファイアウォールチェック412と、一致ルート414とを含む。エグレスファイアウォールチェックは、(たとえば、ネットワーク構成情報162内で)一致するエグレスファイアウォールルールを探し出す。エグレスファイアウォールルールは、送信元インスタンス(たとえば、VM250)に適用されるファイアウォールルールである。一致ルート414は、シミュレーションされた転送経路80にとっての適切なルートを探し出して適用してもよい。また、一致ルート414は、送信元インスタンスがVM250である場合、送信先IPアドレス25bについて一致するルートがあるか否かを判断してもよい。一致するルートがない場合、NAM400は、ルートを、インターネットゲートウェイとして次のホップを有するデフォルトルートと一致させてもよい。イングレスファイアウォールチェック422は、エグレスファイアウォールチェック412のように、一致するイングレスファイアウォールルール(すなわち、送信先インスタンスに適用されるファイアウォールルール)を探し出して適用する。
【0042】
経路に特有のチェック430は、NAM400が評価しているシミュレーションされた転送経路80のタイプに基づく。すなわち、経路に特有のチェック430は、シミュレーションされた転送経路80の送信元インスタンスおよび送信先インスタンスに左右される
。たとえば、送信先インスタンスがVPNトンネル434を介したVPNゲートウェイ432である場合、特定の状態(図7)がNAM400による評価に含まれる。同様に、送信先インスタンスが転送ルール436を有するロードバランサである場合、異なる状態(図6および図8)が評価される。送信先インスタンスがピアリングネットワークゲートウェイ438である場合、さらに他の状態がNAM400の状態マシンにおいて評価される。
。たとえば、送信先インスタンスがVPNトンネル434を介したVPNゲートウェイ432である場合、特定の状態(図7)がNAM400による評価に含まれる。同様に、送信先インスタンスが転送ルール436を有するロードバランサである場合、異なる状態(図6および図8)が評価される。送信先インスタンスがピアリングネットワークゲートウェイ438である場合、さらに他の状態がNAM400の状態マシンにおいて評価される。
【0043】
図5~図9は、データパケット24のさまざまなシミュレーションされた転送経路80を解析する際のNAM400を表す例示的な状態マシン500,600,700,800,900を示す図である。たとえば、図5は、第1のVM250と第2のVM250との間または第1のVM250からインターネット60へのシミュレーションされた転送経路80を解析する際のNAM400の状態マシン500を示す。状態マシン500は、送信元VM250に対応するインスタンス状態510から開始する。そこから、状態マシン500は、アボート状態512(たとえばネットワーク構成情報162の欠落により解析が続行できない)、エグレスファイアウォールルールを適用514、または、VM250が外部IP(Foreign IP)を有するデータパケットを送受信することを許可されるスプーフィングチェック518状態に遷移する。削除状態516において、データパケット24は、ネットワーク構成チェックの失敗またはネットワーク構成情報162の欠落により削除されてもよい。状態520において、適切なルートが探し出されて適用され、状態522において、データパケット24はVMインスタンスに到達してもよく、状態528において、データパケット24は構成が不明である(したがって、解析が停止する)別のネットワークに転送されてもよく、状態526において、ネットワークアドレス変換(NAT)によりパケットヘッダ22を修正してもよく、または、状態524において、イングレスファイアウォールルールを適用してもよい。状態530において、データパケット24は、パケットヘッダ22に指定された送信先に送達される。
【0044】
ここで図6を参照して、状態マシン600は、VM250とロードバランサ1110(図11)との間のシミュレーションされた転送経路80を解析する際のNAM400を表す。状態マシン600は、送信元VM250に対応するインスタンス状態610から開始する。そこから、状態マシン600は、アボート状態612(たとえばネットワーク構成情報162の欠落により解析が続行できない)、エグレスファイアウォールルールを適用614、または、VM250が外部IPを有するデータパケットを送受信することを許可されるスプーフィングチェック618状態に遷移する。削除状態616において、データパケット24は、ネットワーク構成チェックの失敗またはネットワーク構成情報162の欠落により削除されてもよい。状態620において、適切なルートが探し出されて適用され、状態622において、構成が不明である(したがって、解析が停止する)別のネットワークに転送されてもよい。状態624において、NAM400は、適切な転送ルールを適用し、状態626において、内部または外部ロードバランサ1110に到達する。そこから、データパケット24は、1つまたは複数のバックエンド628,628a~nに転送されてもよく、データパケットは、状態630において削除されるか、または状態632において送達される。
【0045】
ここで図7を参照して、状態マシン700は、VPNを介したVM250とオンプレミスネットワーク70との間のシミュレーションされた転送経路80を解析する際のNAM400を表す。状態マシン700は、送信元VM250に対応するインスタンス状態710から開始する。そこから、状態マシン600は、アボート状態712(たとえばネットワーク構成情報162の欠落により解析が続行できない)、エグレスファイアウォールルールを適用714、または、VM250が外部IPを有するデータパケットを送受信することを許可されるスプーフィングチェック718状態に遷移する。削除状態716において、データパケット24は、ネットワーク構成チェックの失敗またはネットワーク構成情
報162の欠落により削除されてもよい。状態720において、適切なルートが探し出されて適用され、状態722において、構成が不明である(したがって、解析が停止する)別のネットワークに転送され、その後、1つまたは複数のオンプレミスバックエンド728,728a~nに転送される。状態724において、データパケット24は、VPNトンネルのローカル側に到達し、状態726において、データパケット24は、VPNゲートウェイに到達して、1つまたは複数のVCPバックエンド628に転送されてもよい。
報162の欠落により削除されてもよい。状態720において、適切なルートが探し出されて適用され、状態722において、構成が不明である(したがって、解析が停止する)別のネットワークに転送され、その後、1つまたは複数のオンプレミスバックエンド728,728a~nに転送される。状態724において、データパケット24は、VPNトンネルのローカル側に到達し、状態726において、データパケット24は、VPNゲートウェイに到達して、1つまたは複数のVCPバックエンド628に転送されてもよい。
【0046】
ここで図8を参照して、状態マシン800は、インターネット60とVM250との間またはインターネット60とロードバランサ1110との間のシミュレーションされた転送経路80を解析する際のNAM400を表す。状態マシン800は、インターネット60から発生するデータパケット24のインターネット状態810から開始する。そこから、状態マシン800は、状態816に進んでもよく、状態816において、データパケット24は、ネットワーク構成チェックの失敗またはネットワーク構成情報162の欠落により削除される。また、状態マシン800は、状態812に進んで、NATによりパケットヘッダ22を修正してもよい。NAT状態812から、データパケット24は、818においてVMインスタンスに到達し、状態820において削除されるか、または状態822において送達される。また、状態マシン800は、状態814に進んでもよく、状態814において、送信先がロードバランサ1110である場合、適切な転送ルールを適用する。そこから、状態マシン800は、状態824に進み、状態824において、データパケット24は、外部ロードバランサに到達する。次に、状態マシン800は、プロキシ接続状態826に遷移し、プロキシ接続状態826において、以前の接続が新たな接続にプロキシされ、NAM400は、後続のトレースまたはシミュレーションのために新たなデータパケット24を生成する。そうでなければ、状態マシン800は、データパケット24を1つまたは複数のバックエンド628に転送することをシミュレーションし、データパケットは、状態828において削除されるか、または状態830において送達される。
【0047】
ここで図9を参照して、状態マシン900は、オンプレミスネットワーク70(たとえば、オンプレミスネットワーク70内に位置するVM)とVCP VM250との間のシミュレーションされた転送経路80を解析する際のNAM400を表す。ここで、状態マシン900は、データパケット24がプライベートネットワーク(たとえば、オンプレミスネットワーク70)から発生する状態910から開始する。そこから、状態マシン900は、状態912に遷移して、適切なルートを適用する。次に、状態マシン900は、状態914において、ネットワーク構成チェックの失敗またはネットワーク構成情報162の欠落によりパケットを削除するか、または状態916においてインスタンスへの到達に進む。そこから、NAM400は、状態918においてイングレスファイアウォールルールを適用し、状態920においてデータパケットを送達する。
【0048】
いくつかの例において、クラウド到達可能性解析部150は、VPCネットワーク148によって通知されたルートをオンプレミスネットワーク70に逆方向に追跡することによって転送経路80をシミュレーションする。クラウド到達可能性解析部150は、一般に、オンプレミスネットワーク構成へのアクセスを持たないが、クラウド到達可能性解析部150は、たとえばVPNを介したオンプレミスネットワーク70への静的および動的なルートの構成へのアクセスを有する。したがって、クラウド到達可能性解析部は、動的なルートのためにオンプレミスネットワーク70が構成または受信すべきであったVPCネットワーク148のルートをシミュレーションしてもよい。データパケット24が(VPN関連ルートから導き出された)オンプレミスネットワーク範囲から調達される場合、クラウド到達可能性解析部150は、「推測された」ルートをパケット上で適用してもよい。
【0049】
ここで図10Aおよび図10Bを参照して、表1000a,1000bは、NAM40
0におけるデータパケットの考えられる最終到達可能性状態172(すなわち、削除174a、転送174b、送達174cまたはアボート174d)、最終状態より前のNAM400の状態(図5~図9)、および最終状態の関連付けられた原因を示す。すなわち、表1000a,1000bは、状態マシン500,600,700,800,900において最終状態174a~dに遷移する原因の例を提供する。
0におけるデータパケットの考えられる最終到達可能性状態172(すなわち、削除174a、転送174b、送達174cまたはアボート174d)、最終状態より前のNAM400の状態(図5~図9)、および最終状態の関連付けられた原因を示す。すなわち、表1000a,1000bは、状態マシン500,600,700,800,900において最終状態174a~dに遷移する原因の例を提供する。
【0050】
ここで図11を参照して、例示的な転送経路80cは、外部ホスト(たとえば、ユーザデバイス10)から開始し、インターネット60を介してVPCネットワーク148内のロードバランサ1110に進む。ロードバランサ1110は、データパケットをフロントエンドサーバ1020に転送し、フロントエンドサーバ1020は、データパケットを1つまたは複数のバックエンドまたはVM250に分配する。このシナリオでは、転送経路80cは、一般的なネットワークレベルのロードバランサよりも複雑である。この例では、クラウド到達可能性解析部150は、外部ホスト(たとえば、ユーザデバイス10)からロードバランサ1110(たとえば、グローバルHTTPSロードバランサ)にデータパケット24をトレースする。いくつかの例において、ロードバランサは、プロキシロードバランサであるため、TCP接続は、フロントエンドサーバ1020において終了し、フロントエンドサーバ1020は、1つまたは複数のバックエンドVM250との新たなTCP接続を開始する。クラウド到達可能性解析部は、NAM400を使用してこの挙動をシミュレーションする。実際のデータプレーンにおいては、ロードバランシングアルゴリズムは、各接続についてVMを選択してもよいが、クラウド到達可能性解析部150は、データプレーン経路を予測しないが、その代わりにいかなる構成問題も識別して、予想される挙動へのさらなる可視性をユーザに提供する静的構成解析ツールであってもよい。したがって、この場合、クラウド到達可能性解析部150は、各々の考えられる経路についてトレースを提供する(たとえば、VM250aに対して第1のトレース、VM250bに対して第2のトレース、およびVM250bに対して第3のトレース)。
【0051】
図12は、クラウドネットワーク到達可能性解析を実行する方法1200のための動作の例示的な構成のフローチャートである。方法1200は、動作1202において、データ処理ハードウェア144において、ターゲット70,250,1110の到達可能性ステータス172を要求する到達可能性クエリ20を受信するステップを含む。到達可能性クエリ20は、データパケット24に関連付けられたパケットヘッダ22を含み、パケットヘッダ22は、データパケット24の送信元に関連付けられた送信元IPアドレス25aと、データパケット24の送信先に関連付けられた送信先IPアドレス25bとを含む。
【0052】
動作1204において、方法1200は、データ処理ハードウェア144が、データプレーンモデル164を使用して、パケットヘッダ22に基づいてデータパケット24の1つまたは複数のシミュレーションされた転送経路80を生成するステップを含む。シミュレーションされた転送経路80の各々は、対応するネットワーク構成情報162を含む。動作1206において、方法1200は、データ処理ハードウェア144が、1つまたは複数のシミュレーションされた転送経路80に基づいてターゲット70,250,1110の到達可能性ステータス172を特定するステップを含む。動作1208において、方法1200は、データ処理ハードウェア144が、特定された到達可能性ステータス172および1つまたは複数のシミュレーションされた転送経路80を、到達可能性クエリ20に関連付けられたユーザデバイス10に提供するステップを含む。1つまたは複数のシミュレーションされた転送経路80は、ユーザデバイス10によって受信されると、ユーザデバイス10に、各々のシミュレーションされた転送経路80のネットワーク構成情報162を提示させる。
【0053】
図13は、本明細書に記載されているシステムおよび方法を実現するために使用され得
る例示的なコンピューティングデバイス1300の概略図である。コンピューティングデバイス1300は、ラップトップ、デスクトップ、ワークステーション、パーソナルデジタルアシスタント、サーバ、ブレードサーバ、メインフレームおよび他の適切なコンピュータなどのさまざまな形態のデジタルコンピュータを表すよう意図されている。ここに示されている構成要素、それらの接続および関係、ならびにそれらの機能は、例示に過ぎないよう意図されており、本明細書に記載されているおよび/またはクレームされている本発明の実現例を限定するよう意図されたものではない。
る例示的なコンピューティングデバイス1300の概略図である。コンピューティングデバイス1300は、ラップトップ、デスクトップ、ワークステーション、パーソナルデジタルアシスタント、サーバ、ブレードサーバ、メインフレームおよび他の適切なコンピュータなどのさまざまな形態のデジタルコンピュータを表すよう意図されている。ここに示されている構成要素、それらの接続および関係、ならびにそれらの機能は、例示に過ぎないよう意図されており、本明細書に記載されているおよび/またはクレームされている本発明の実現例を限定するよう意図されたものではない。
【0054】
コンピューティングデバイス1300は、プロセッサ1310と、メモリ1320と、ストレージデバイス1330と、メモリ1320および高速拡張ポート1350に接続する高速インターフェイス/コントローラ1340と、低速バス1370およびストレージデバイス1330に接続する低速インターフェイス/コントローラ1360とを含む。構成要素1310,1320,1330,1340,1350および1360の各々は、さまざまなバスを使用して相互接続されており、共通のマザーボード上にまたは他の態様で適宜搭載されてもよい。プロセッサ1310は、コンピューティングデバイス1300内で実行するための命令を処理することができ、これらの命令は、高速インターフェイス1340に結合されたディスプレイ1380などの外部入力/出力デバイス上でグラフィカルユーザインターフェイス(GUI)のためのグラフィカル情報を表示するための、メモリ1320内またはストレージデバイス1330上に格納された命令を含む。他の実現例では、複数のメモリおよび複数のタイプのメモリとともに、複数のプロセッサおよび/または複数のバスが適宜使用されてもよい。また、複数のコンピューティングデバイス1300が接続されてもよく、各デバイスは、(たとえば、サーババンク、ブレードサーバの群、またはマルチプロセッサシステムとして)必要な動作の一部を提供する。
【0055】
メモリ1320は、コンピューティングデバイス1300内に情報を非一時的に格納する。メモリ1320は、コンピュータ読取可能媒体、揮発性メモリユニットまたは不揮発性メモリユニットであってもよい。非一時的なメモリ1320は、コンピューティングデバイス1300による使用のためにプログラム(たとえば、命令のシーケンス)またはデータ(たとえば、プログラム状態情報)を一時的にまたは永久的に格納するために使用される物理的なデバイスであってもよい。不揮発性メモリの例としては、フラッシュメモリおよびリードオンリメモリ(ROM)/プログラマブルリードオンリメモリ(PROM)/消去可能なプログラマブルリードオンリメモリ(EPROM)/電子的に消去可能なプログラマブルリードオンリメモリ(EEPROM)(たとえば、一般に、ブートプログラムなどのファームウェアで使用される)が挙げられるが、これらに限定されるものではない。揮発性メモリの例としては、ランダムアクセスメモリ(RAM)、ダイナミックランダムアクセスメモリ(DRAM)、スタティックランダムアクセスメモリ(SRAM)、相変化メモリ(PCM)およびディスクまたはテープが挙げられるが、これらに限定されるものではない。
【0056】
ストレージデバイス1330は、コンピューティングデバイス1300に対してマスストレージを提供することができる。いくつかの実現例において、ストレージデバイス1330は、コンピュータ読取可能媒体である。さまざまな異なる実現例において、ストレージデバイス1330は、ストレージエリアネットワークまたは他の構成におけるデバイスを含む、フロッピー(登録商標)ディスクデバイス、ハードディスクデバイス、光ディスクデバイス、またはテープデバイス、フラッシュメモリもしくは他の同様のソリッドステートメモリデバイス、またはデバイスのアレイであってもよい。さらなる実現例において、コンピュータプログラム製品は、情報担体において有形に具体化される。コンピュータプログラム製品は、実行されると上記の方法などの1つまたは複数の方法を実行する命令を含む。情報担体は、メモリ1320、ストレージデバイス1330またはメモリオンプロセッサ1310などのコンピュータまたは機械読取可能媒体である。
【0057】
高速コントローラ1340は、コンピューティングデバイス1300のための帯域幅集約型動作を管理する一方、低速コントローラ1360は、より低い帯域幅集約型動作を管理する。このような役割の割り当ては、例示に過ぎない。いくつかの実現例において、高速コントローラ1340は、メモリ1320、ディスプレイ1380(たとえば、グラフィックスプロセッサまたはアクセラレータを介する)、およびさまざまな拡張カード(図示せず)を受け付け得る高速拡張ポート1350に結合される。いくつかの実現例において、低速コントローラ1360は、ストレージデバイス1330および低速拡張ポート1390に結合される。さまざまな通信ポート(たとえば、USB、ブルートゥース(登録商標)、イーサネット(登録商標)、ワイヤレスイーサネット)を含み得る低速拡張ポート1390は、たとえばネットワークアダプタを介して、1つまたは複数の入力/出力デバイス(キーボード、ポインティングデバイス、スキャナなど)またはネットワーキングデバイス(スイッチもしくはルータなど)に結合されてもよい。
【0058】
コンピューティングデバイス1300は、図面に示されているように、多数の異なる形態で実現されてもよい。たとえば、それは、標準的なサーバ1300aとして実現されてもよく、またはこのようなサーバ1300aの群で複数回実現されてもよく、またはラップトップコンピュータ1300bとして実現されてもよく、またはラックサーバシステム1300cの一部として実現されてもよい。
【0059】
本明細書に記載されているシステムおよび技術のさまざまな実現例は、デジタル電子および/もしくは光回路、集積回路、特別に設計されたASIC(特定用途向け集積回路)、コンピュータハードウェア、ファームウェア、ソフトウェア、ならびに/または、それらの組み合わせで実現することができる。これらのさまざまな実現例は、少なくとも1つのプログラマブルプロセッサを含むプログラマブルシステム上で実行可能および/または解釈可能な1つまたは複数のコンピュータプログラムでの実現例を含むことができ、少なくとも1つのプログラマブルプロセッサは、特別目的プロセッサまたは汎用プロセッサであってもよく、ストレージシステム、少なくとも1つの入力デバイスおよび少なくとも1つの出力デバイスとの間でデータおよび命令を送受信するように結合されている。
【0060】
ソフトウェアアプリケーション(すなわち、ソフトウェアリソース)とは、コンピューティングデバイスにタスクを実行させるコンピュータソフトウェアのことであってもよい。いくつかの例において、ソフトウェアアプリケーションは、「アプリケーション」、「アプリ」または「プログラム」と称されることもある。アプリケーションの例としては、システム診断アプリケーション、システム管理アプリケーション、システムメンテナンスアプリケーション、ワードプロセッシングアプリケーション、スプレッドシートアプリケーション、メッセージングアプリケーション、メディアストリーミングアプリケーション、ソーシャルネットワーキングアプリケーション、およびゲーミングアプリケーションが挙げられるが、これらに限定されるものではない。
【0061】
これらのコンピュータプログラム(プログラム、ソフトウェア、ソフトウェアアプリケーションまたはコードとしても知られている)は、プログラマブルプロセッサのための機械命令を含み、高レベル手続き言語および/もしくはオブジェクト指向プログラミング言語で、ならびに/または、アセンブリ/機械言語で実現することができる。本明細書において使用される「機械読取可能媒体」および「コンピュータ読取可能媒体」という語は、機械読取可能な信号として機械命令を受信する機械読取可能媒体を含む、機械命令および/またはデータをプログラマブルプロセッサに提供するために使用される任意のコンピュータプログラム製品、非一時的なコンピュータ読取可能媒体、装置および/またはデバイス(たとえば、磁気ディスク、光ディスク、メモリ、プログラマブルロジックデバイス(PLD))を指す。「機械読取可能な信号」という語は、機械命令および/またはデータ
をプログラマブルプロセッサに提供するために使用される任意の信号を指す。
をプログラマブルプロセッサに提供するために使用される任意の信号を指す。
【0062】
本明細書に記載されているプロセスおよび論理フローは、データ処理ハードウェアとも称される1つまたは複数のプログラマブルプロセッサによって実行することができ、これらの1つまたは複数のプログラマブルプロセッサは、入力データ上で動作して出力を生成することによって機能を実行するように1つまたは複数のコンピュータプログラムを実行する。また、プロセスおよび論理フローは、特別目的論理回路(たとえば、FPGA(フィールドプログラマブルゲートアレイ)またはASIC(特定用途向け集積回路))によって実行することもできる。コンピュータプログラムの実行に適したプロセッサは、一例として、汎用マイクロプロセッサも特別目的マイクロプロセッサも含み、任意の種類のデジタルコンピュータの任意の1つまたは複数のプロセッサを含む。一般に、プロセッサは、リードオンリメモリまたはランダムアクセスメモリまたはそれら両方から命令およびデータを受信する。コンピュータの必須の要素は、命令を実行するためのプロセッサと、命令およびデータを格納するための1つまたは複数のメモリデバイスとである。一般に、コンピュータは、データを格納するための1つまたは複数のマスストレージデバイス(たとえば、磁気、光磁気ディスクまたは光ディスク)も含み、または、1つまたは複数のマスストレージデバイスとの間でデータを受信したり送信したり送受信したりするように動作可能に結合される。しかし、コンピュータは、このようなデバイスを有していなくてもよい。コンピュータプログラム命令およびデータを格納するのに適したコンピュータ読取可能媒体は、全ての形態の不揮発性メモリ、媒体およびメモリデバイスを含み、一例として、半導体メモリデバイス(たとえば、EPROM、EEPROMおよびフラッシュメモリデバイス)、磁気ディスク(たとえば、内部ハードディスクまたはリムーバブルディスク)、光磁気ディスク、ならびにCD ROMおよびDVD-ROMディスクを含む。プロセッサおよびメモリは、特別目的論理回路によって補完されることができ、または特別目的論理回路に組み込まれることができる。
【0063】
ユーザとの対話を提供するために、本開示の1つまたは複数の局面は、ユーザに情報を表示するためのディスプレイデバイス(たとえば、CRT(陰極線管)、LCD(液晶ディスプレイ)モニタまたはタッチスクリーン)と、任意にユーザがコンピュータに入力を提供することができるキーボードおよびポインティングデバイス(たとえば、マウスまたはトラックボール)とを有するコンピュータ上で実現することができる。他の種類のデバイスを使用してユーザとの対話を提供することもでき、たとえば、ユーザに提供されるフィードバックは、任意の形態の感覚フィードバック(たとえば、視覚フィードバック、聴覚フィードバックまたは触覚フィードバック)であってもよく、ユーザからの入力は、音響入力、音声入力または触覚入力を含む任意の形態で受信することができる。また、コンピュータは、ユーザが使用するデバイスとの間でドキュメントを送受信することによって、たとえばウェブブラウザから受信された要求に応答してユーザのクライアントデバイス上のウェブブラウザにウェブページを送信することによって、ユーザと対話することができる。
【0064】
いくつかの実現例について説明してきた。しかし、本開示の精神および範囲から逸脱することなくさまざまな変更がなされてもよいということが理解されるであろう。したがって、他の実現例は、以下の特許請求の範囲の範囲内である。
【図1】
【図2】
【図3A】
【図3B】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10A】
【図10B】
【図11】
【図12】
【図13】