特表 2024-507142 サービスプロバイダプライベートネットワークを顧客プライベートネットワークに接続するためのクラウドインフラストラクチャリソース

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公表特許公報(A)

(11)【公表番号】

(43)【公表日】2024-02-16

(54)【発明の名称】サービスプロバイダプライベートネットワークを顧客プライベートネットワークに接続するためのクラウドインフラストラクチャリソース

(51)【国際特許分類】

   H04L 61/2503 20220101AFI20240208BHJP

【ＦＩ】

H04L61/2503

【審査請求】未請求

【予備審査請求】未請求

(21)【出願番号】P 2023548593

(86)(22)【出願日】2022-01-14

(85)【翻訳文提出日】2023-10-06

(86)【国際出願番号】 US2022012513

(87)【国際公開番号】W WO2022173552

(87)【国際公開日】2022-08-18

(31)【優先権主張番号】63/149,273

(32)【優先日】2021-02-13

(33)【優先権主張国・地域又は機関】US

(31)【優先権主張番号】17/347,061

(32)【優先日】2021-06-14

(33)【優先権主張国・地域又は機関】US

(81)【指定国・地域】

(71)【出願人】

【識別番号】502303739

【氏名又は名称】オラクル・インターナショナル・コーポレイション

(74)【代理人】

【識別番号】110001195

【氏名又は名称】弁理士法人深見特許事務所

(72)【発明者】

【氏名】ベイカー，シェーン

(72)【発明者】

【氏名】カンナ，リチェンドラ

(72)【発明者】

【氏名】トレイシー，レオナード・トーマス

(72)【発明者】

【氏名】ペイ，グアンホン

(57)【要約】

顧客のプライベートネットワーク上のリソースへのアクセスを、サービスプロバイダのプライベートネットワーク上のリソースに提供するための技術。Ｓ２Ｃ（Service to Customer）リソースは、クラウドインフラストラクチャ上に展開され、アクセスを容易にする。ＩＰアドレス範囲は、プライベートネットワーク間で重複してもよく、および／またはプライベートＩＰアドレスは、１つ以上のプライベートネットワークに使用されてもよい。Ｓ２Ｃリソースは、プライベートネットワーク間のデータ交換を可能にする。例えば、Ｓ２Ｃリソースは、各プライベートネットワーク内のデータがプライベートネットワークによって適切に処理され得るＩＰアドレスを使用するように、ＩＰアドレス間で変換される。

【特許請求の範囲】

【請求項1】

システムであって、
顧客のために構成された第１の仮想ネットワークを備え、前記第１の仮想ネットワークは、第１のインターネットプロトコル（ＩＰ）アドレスを有する第１のリソースを含み、
サービスプロバイダのために構成された第２の仮想ネットワークを備え、前記第２の仮想ネットワークは、第２のＩＰアドレスを有する第２のリソースを含み、前記第２のリソースによる前記第１のリソースへのアクセスに基づいて前記顧客にサービスを提供するように構成され、
１つ以上のネットワークリソースを備え、
前記１つ以上のネットワークリソースは、ネットワークアドレス変換（ＮＡＴ）マッピングに基づいて、第１のＩＰアドレスと保留ＩＰアドレスとの間のＮＡＴマッピングを決定するように構成され、前記保留ＩＰアドレスは、前記第１の仮想ネットワークの第１のＩＰアドレス範囲外および前記第２の仮想ネットワークの第２のＩＰアドレス範囲外にあり、
前記１つ以上のネットワークリソースは、第１のパケットを前記第２の仮想ネットワークに送信すること、または前記第２の仮想ネットワークから第２のパケットを受信することの少なくとも一方を実行するように構成され、前記第１のパケットのペイロードは、前記保留ＩＰアドレスを含み、前記第２のパケットのヘッダは、前記保留ＩＰアドレスを宛先アドレスとして含み、
前記第１のリソースへの前記第２のリソースの前記アクセスは、前記第１のＩＰアドレスと前記保留ＩＰアドレスとの間の前記ＮＡＴマッピングに基づいている、システム。

【請求項2】

前記１つ以上のネットワークリソースは、ゲートウェイを含み、
前記第２のパケットは、前記ゲートウェイによって受信され、
前記ゲートウェイは、
前記第１のＩＰアドレスと前記保留ＩＰアドレスとの間の前記ＮＡＴマッピングに基づいて前記第１のＩＰアドレスを決定し、
前記第１のＩＰアドレスを用いて前記保留ＩＰアドレスを少なくとも置換することによって前記第２のパケットを更新し、
前記更新された第２のパケットを前記第１の仮想ネットワークに送信するように構成されている、請求項１に記載のシステム。

【請求項3】

前記１つ以上のネットワークリソースは、ドメイン名システム（ＤＮＳ）サービスを含み、
前記第１のパケットは、前記ＤＮＳサービスによって送信され、
前記ＤＮＳサービスは、
前記第２の仮想ネットワークから、完全修飾ドメイン名（ＦＱＤＮ）を含むＤＮＳクエリを受信し、
前記ＦＱＤＮと前記顧客に関連付けられたＦＱＤＮリストとの間の適合を判定し、
前記ＤＮＳクエリを前記顧客のＤＮＳリゾルバに送信し、
前記ＤＮＳリゾルバから、前記第１のＩＰアドレスを含むＤＮＳ応答を受信し、
前記第１のＩＰアドレスと前記保留ＩＰアドレスとの間の前記ＮＡＴマッピングを生成し、
前記ＮＡＴマッピングに基づいて、前記保留ＩＰアドレスを用いて前記第１のＩＰアドレスを少なくとも置換することによって、前記ＤＮＳ応答を更新し、
前記更新されたＤＮＳ応答を前記第２の仮想ネットワークに送信するように構成されている、請求項１に記載のシステム。

【請求項4】

前記１つ以上のネットワークリソースは、ドメイン名システム（ＤＮＳ）サービスを含み、
前記第１のパケットは、前記ＤＮＳサービスによって送信され、
前記ＤＮＳサービスは、
前記第２の仮想ネットワークから、完全修飾ドメイン名（ＦＱＤＮ）を含むＤＮＳクエリを受信し、
前記ＦＱＤＮが前記顧客に関連付けられたＦＱＤＮリストから除外されていると判断し、
前記ＤＮＳクエリを前記サービスプロバイダのＤＮＳリゾルバに送信し、
前記ＤＮＳリゾルバから、第３のＩＰアドレスを含むＤＮＳ応答を受信し、
前記ＤＮＳ応答を前記第２の仮想ネットワークに送信するように構成されている、請求項１に記載のシステム。

【請求項5】

前記１つ以上のネットワークリソースは、データベースサービスを含み、
前記データベースサービスは、
前記第２の仮想ネットワークから、データベースクエリを受信し、
前記第１の仮想ネットワークの第１のネットワークインターフェイスの第３のＩＰアドレスと、前記第１の仮想ネットワークのデータベースの第４のＩＰアドレスとを決定し、
前記データベースクエリを、前記第３のＩＰアドレスをソースとして含み、前記第４のＩＰアドレスを宛先として含む第３のパケットに入れて前記第１の仮想ネットワークに送信し、
前記第１の仮想ネットワークから、データベース応答を受信し、
前記第２の仮想ネットワークの第２のネットワークインターフェイスの第５のＩＰアドレスを決定し、
前記データベース応答を、前記第５のＩＰアドレスをソースとして含み、前記第２のＩＰアドレスを宛先として含む第４のパケットに入れて前記第２の仮想ネットワークに送信するように構成されている、請求項１に記載のシステム。

【請求項6】

前記第１のＩＰアドレス範囲は、前記第２のＩＰアドレス範囲と重複する、請求項１に記載のシステム。

【請求項7】

前記第１のＩＰアドレス範囲は、他の顧客のために構成された第３の仮想ネットワークの第３のＩＰアドレス範囲と重複し、
前記サービスプロバイダの前記第２のリソースは、前記第２のリソースによる前記第３の仮想ネットワークの第３のリソースへのアクセスに基づいて、前記サービスを前記他の顧客に提供するように構成されている、請求項１に記載のシステム。

【請求項8】

前記第１の仮想ネットワークに関連付けられた仮想ネットワークインターフェイスカードをさらに備え、
前記仮想ネットワークインターフェイスカードは、前記第１のＩＰアドレス範囲内の複数のＩＰアドレスを用いてアドレス指定可能である、請求項１に記載のシステム。

【請求項9】

前記複数のＩＰアドレスのうちの少なくとも１つは、前記サービスプロバイダの異なるサービスに関連付けられる、請求項８に記載のシステム。

【請求項10】

前記第２の仮想ネットワークに関連付けられた仮想ネットワークインターフェイスカードをさらに備え、
前記仮想ネットワークインターフェイスカードは、前記第２のＩＰアドレス範囲内の複数のＩＰアドレスを用いてアドレス指定可能である、請求項１に記載のシステム。

【請求項11】

前記複数のＩＰアドレスのうちの少なくとも２つは、前記サービスプロバイダの異なるサービスに関連付けられる、請求項１０に記載のシステム。

【請求項12】

システムによって実施される方法であって、前記方法は、
ネットワークアドレス変換（ＮＡＴ）マッピングに基づいて、第１のＩＰアドレスと保留ＩＰアドレスとの間のＮＡＴマッピングを決定することを含み、前記第１のＩＰアドレスは、顧客のために構成された第１の仮想ネットワークの第１のＩＰアドレス範囲内にあり、前記保留ＩＰアドレスは、前記第１のＩＰアドレス範囲外およびサービスプロバイダのために構成された第２の仮想ネットワークの第２のＩＰアドレス範囲外にあり、
第１のパケットを前記第２の仮想ネットワークに送信すること、または前記第２の仮想ネットワークから第２のパケットを受信することの少なくとも一方を含み、前記第１のパケットのペイロードは、前記保留ＩＰアドレスを含み、前記第２のパケットのヘッダは、前記保留ＩＰアドレスを宛先アドレスとして含み、
前記第２の仮想ネットワークの第２のリソースによる前記第１の仮想ネットワークの第１のリソースへのアクセスは、前記第１のＩＰアドレスと前記保留ＩＰアドレスとの間の前記ＮＡＴマッピングに基づいている、方法。

【請求項13】

前記サービスプロバイダのサービスに対する前記顧客の要求を受信することと、
顧客識別子とサービスプロバイダ識別子の対に対して、一組のＤＮＳサービスのうちの少なくとも１つを起動することとをさらに含む、請求項１２に記載の方法。

【請求項14】

前記第２のパケットのプロトコルと、ソースＩＰアドレスと、ソースポートと、宛先ＩＰアドレスと、宛先ポートとを含むタプルを決定することと、
前記タプルに基づいて、前記一組のＤＮＳサービスからＤＮＳサービスを選択することと、
前記第２のパケットを前記ＤＮＳサービスに送信することとをさらに含む、請求項１３に記載の方法。

【請求項15】

前記第１のＩＰアドレス範囲は、前記第２のＩＰアドレス範囲と重複する、請求項１２に記載の方法。

【請求項16】

前記第１のＩＰアドレス範囲は、他の顧客のために構成された第３の仮想ネットワークの第３のＩＰアドレス範囲と重複し、
前記サービスプロバイダの前記第２のリソースは、前記第２のリソースによる前記第３の仮想ネットワークの第３のリソースへのアクセスに基づいて、サービスを前記他の顧客に提供するように構成されている、請求項１２に記載の方法。

【請求項17】

システム上で実行されると、前記システムに以下の動作を実行させる命令を記憶する１つ以上の非一時的なコンピュータ可読記憶媒体であって、
前記動作は、
ネットワークアドレス変換（ＮＡＴ）マッピングに基づいて、第１のＩＰアドレスと保留ＩＰアドレスとの間のＮＡＴマッピングを決定することを含み、前記第１のＩＰアドレスは、顧客のために構成された第１の仮想ネットワークの第１のＩＰアドレス範囲内にあり、前記保留ＩＰアドレスは、前記第１のＩＰアドレス範囲外およびサービスプロバイダのために構成された第２の仮想ネットワークの第２のＩＰアドレス範囲外にあり、
第１のパケットを前記第２の仮想ネットワークに送信すること、または前記第２の仮想ネットワークから第２のパケットを受信することの少なくとも一方を含み、前記第１のパケットのペイロードは、前記保留ＩＰアドレスを含み、前記第２のパケットのヘッダは、前記保留ＩＰアドレスを宛先アドレスとして含み、
前記第２の仮想ネットワークの第２のリソースによる前記第１の仮想ネットワークの第１のリソースへのアクセスは、前記第１のＩＰアドレスと前記保留ＩＰアドレスとの間の前記ＮＡＴマッピングに基づいている、１つ以上の非一時的なコンピュータ可読記憶媒体。

【請求項18】

前記動作は、
前記第１のＩＰアドレスと前記保留ＩＰアドレスとの間の前記ＮＡＴマッピングに基づいて前記第１のＩＰアドレスを決定することと、
前記第１のＩＰアドレスを用いて前記保留ＩＰアドレスを少なくとも置換することによって前記第２のパケットを更新することと、
前記更新された第２のパケットを前記第１の仮想ネットワークに送信することとをさらに含む、請求項１７に記載の１つ以上の非一時的なコンピュータ可読記憶媒体。

【請求項19】

前記動作は、
前記第２の仮想ネットワークから、完全修飾ドメイン名（ＦＱＤＮ）を含むＤＮＳクエリを受信することと、
前記ＦＱＤＮと前記顧客に関連付けられたＦＱＤＮリストとの間の適合を判定することと、
前記ＤＮＳクエリを前記顧客のＤＮＳリゾルバに送信することと、
前記ＤＮＳリゾルバから、前記第１のＩＰアドレスを含むＤＮＳ応答を受信することと、
前記第１のＩＰアドレスと前記保留ＩＰアドレスとの間の前記ＮＡＴマッピングを生成することと、
前記ＮＡＴマッピングに基づいて、前記保留ＩＰアドレスを用いて前記第１のＩＰアドレスを少なくとも置換することによって、前記ＤＮＳ応答を更新することと、
前記更新されたＤＮＳ応答を前記第２の仮想ネットワークに送信することとをさらに含む、請求項１７に記載の１つ以上の非一時的なコンピュータ可読記憶媒体。

【請求項20】

前記動作は、
前記第２の仮想ネットワークから、データベースクエリを受信することと、
前記第１の仮想ネットワークの第１のネットワークインターフェイスの第３のＩＰアドレスと、前記第１の仮想ネットワークのデータベースの第４のＩＰアドレスとを決定することと、
前記データベースクエリを、前記第３のＩＰアドレスをソースとして含み、前記第４のＩＰアドレスを宛先として含む第３のパケットに入れて前記第１の仮想ネットワークに送信することと、
前記第１の仮想ネットワークから、データベース応答を受信することと、
前記第２の仮想ネットワークの第２のネットワークインターフェイスの第５のＩＰアドレスを決定することと、
前記データベース応答を、前記第５のＩＰアドレスをソースとして含み、前記第２のリソースの第２のＩＰアドレスを宛先として含む第４のパケットに入れて前記第２の仮想ネットワークに送信することとをさらに含む、請求項１７に記載の１つ以上の非一時的なコンピュータ可読記憶媒体。

【発明の詳細な説明】

【技術分野】

【0001】

この国際特許出願は、２０２１年２月１３日に出願された米国仮出願第６３／１４９２７３号の利益を主張する、２０２１年６月１４日に出願され、「サービスプロバイダプライベートネットワークを顧客プライベートネットワークに接続するためのクラウドインフラストラクチャリソース」と題される米国特許出願第１７／３４７０６１号の優先権を主張しており、これらの出願の全体があらゆる目的で参照により本開示に援用される。

【背景技術】

【0002】

背景
オラクル（登録商標）クラウドインフラストラクチャ（ＯＣＩ）などのクラウドインフラストラクチャは、企業が可用性の高いクラウドホスト環境において広範囲のアプリケーションおよびサービスを構築および実行することを可能にする一連の補完的なクラウドサービスを提供することができる。企業は、公衆クラウドの全ての利益を提供しながら、オンプレミスデータセンタ環境を複製するクラウド環境を必要とする。クラウドインフラストラクチャは、物理アンダーレイネットワーク上で動作し且つ企業のオンプレミスネットワークから安全にアクセス可能な柔軟なオーバーレイ仮想ネットワークにおいて、高性能の計算、記憶、およびネットワーク機能を提供することができる。ＯＣＩなどのクラウドインフラストラクチャによって、企業は、オンプレミスワークロードの管理と同じ方法で、企業のクラウドベースワークロードを管理することができ、アプリケーション自体に変更を加えることなく、既存の多くのオンプレミスアプリケーションを迅速に移行することができる。したがって、企業は、オンプレミスネットワークと同じ制御、隔離、セキュリティ、および予測可能な性能で、クラウドの全ての利点を得ることができる。

【0003】

仮想ネットワーキングは、クラウドリソースへのアクセス、接続、安全性、および変更を可能にするため、クラウドインフラストラクチャおよびクラウドアプリケーションの基礎である。仮想ネットワーキングは、異なる物理的な場所にある複数のコンピュータ、仮想マシン（ＶＭ）、仮想サーバ、または他の装置間の通信を可能にする。物理ネットワーキングがケーブルおよび他のハードウェアを介してコンピューターシステムを接続するのに対し、仮想ネットワーキングは、ソフトウェア管理を用いて、インターネットを介して異なる物理的な場所にあるコンピュータおよびサーバを接続する。仮想ネットワークは、ネットワークスイッチ、ルータ、およびアダプタなどの従来のネットワーク要素の仮想化要素を用いて、より効率的なルーティングおよびより容易なネットワークの構成／再構成を可能にする。

【0004】

顧客およびサービスプロバイダなどのエンティティは、クラウドインフラストラクチャ上で展開されるプライベートネットワークを構成することができる。このようなプライベートネットワークは、仮想プライベートネットワークまたは仮想クラウドネットワークとも呼ばれる。一般的に、プライベートネットワークは、各プライベートネットワークへのアクセスが厳重に制御されるように隔離される。例えば、１つのエンティティは、別のエンティティのプライベートネットワークにアクセスすることができず、エンティティのプライベートネットワーク間にデータを交換することができない。

【発明の概要】

【課題を解決するための手段】

【0005】

概要
本開示は、一般的に仮想ネットワーキングに関する。より詳しくは、顧客のプライベートネットワーク上のリソースへのアクセスを、サービスプロバイダのプライベートネットワーク上のリソースに提供するための技術が記載されている。このアクセスは、２つのプライベートネットワークの各プライベートネットワークの少なくとも一部を仮想化するクラウドインフラストラクチャ上の一組のネットワークリソースを介して、提供されてもよい。本明細書において、このアクセスは、サービスプロバイダから顧客へのアクセスまたはサービスから消費者へのアクセスと称されてもよく、簡潔にするために「Ｓ２Ｃ」アクセスと省略されてもよい。

【0006】

本開示のいくつかの実施形態によれば、２つのプライベートネットワークは、重複するインターネットプロトコル（ＩＰ）アドレス範囲（例えば、クラスレスドメイン間ルーティング（ＣＩＤＲ）範囲）を有し得る。追加的にまたは代替的に、複数の顧客のプライベートネットワークは、重複するＩＰアドレス範囲を有してもよい。さらに、ＩＰアドレス範囲が重複しない場合でも、各プライベートは、それ自体のプライベートＩＰアドレスセットを有してもよい。

【0007】

クラウドインフラストラクチャのネットワークリソースは、異なるネットワーク機能を実装することによって、Ｓ２Ｃアクセスを提供するように構成されている。これらのネットワークリソースは、簡潔にするために、本明細書では「Ｓ２Ｃリソース」と呼ばれることがある。ネットワーク機能は、サービスプロバイダのリソースから顧客のリソースへのインバウンドパケットフローと、顧客のリソースからサービスプロバイダのリソースへのアウトバウンドパケットフローとをサポートする２つのプライベートネットワークのＩＰアドレスを変換することを含む。

【0008】

ドメイン名システム（ＤＮＳ）環境において、サービスプロバイダのリソース（例えば、サービスプロバイダの仮想クラウドネットワーク内のインスタンス）からのＤＮＳクエリは、Ｓ２Ｃリソースによって、顧客のプライベートネットワーク（例えば、顧客の仮想クラウドネットワーク内のプライベートエンドポイント）のＩＰアドレスにマッピングされる保留ＩＰアドレスに解決される。サービスプロバイダのプライベートネットワークからのインバウンドパケットフローは、保留ＩＰアドレスを宛先として使用する。Ｓ２Ｃリソースは、顧客のプライベートネットワークに入るために、その宛先アドレスを顧客のＩＰアドレスに更新する。逆に、顧客のプライベートネットワークからのアウトバウンドパケットフローは、顧客のＩＰアドレスをソースとして使用する。Ｓ２Ｃリソースは、サービスプロバイダのプライベートネットワークに入るために、そのソースアドレスを保留ＩＰアドレスに更新する。

【0009】

実際のアプリケーションクラスタ（ＲＡＣ）環境において、Ｓ２Ｃリソースは、サービスプロバイダのリソース（例えば、サービスプロバイダの仮想クラウドネットワーク内のインスタンス）から、ＲＡＣトラフィックを受信する。このＲＡＣトラフィックは、サービスプロバイダのプライベートネットワークのソースＩＰアドレスおよび宛先ＩＰアドレスを有する。これらのＩＰアドレスは、顧客のプライベートネットワークのＩＰアドレスに更新され、ＲＡＣトラフィックは、顧客のプライベートネットワークのＩＰアドレスに送信される。逆に、Ｓ２Ｃリソースは、顧客のリソース（例えば、顧客の仮想クラウドネットワーク内のデータベースサービス）から、ＲＡＣ応答を受信する。このＲＡＣ応答は、顧客のプライベートネットワークのソースＩＰアドレスおよび宛先ＩＰアドレスを有する。これらのＩＰアドレスは、サービスプロバイダのプライベートネットワークのＩＰアドレスに更新され、ＲＡＣ応答は、サービスプロバイダのプライベートネットワークのＩＰアドレスに送信される。

【0010】

各サービスプロバイダと顧客の対に対して、特定組のリソースを展開することができる。クラウドインフラストラクチャは、仮想ネットワークインターフェイスカード（ＶＮＩＣ）を提供する一群の仮想化装置を含む。ＶＮＩＣは、Ｓ２Ｃリソースに接続されている。また、ＶＮＩＣは、２つのプライベートクラウドにも接続されているが、これらのＶＮＩＣは、Ｓ２ＣリソースのＶＮＩＣとは異なる種類であってもよい。Ｓ２Ｃリソースを介して２つのプライベートネットワーク間で交換されるデータは、ＶＮＩＣを介して流れる。

【0011】

この概要は、特許請求される主題の重要なまたは本質的な特徴を特定することを意図しておらず、特許請求される主題の範囲を決定するために単独で使用されることも意図していない。主題は、本特許出願の明細書全体の適切な部分、任意またはすべての図面および各請求項を参照することによって、理解されるべきである。

【0012】

上記の特徴および実施形態ならびに他の特徴および実施形態は、以下の明細書、特許請求の範囲および添付の図面を参照すればより明らかになるであろう。

【0013】

以下、図面を参照して例示的な実施例を詳細に説明する。

【図面の簡単な説明】

【0014】

【図1】特定の実施形態に従って、クラウドサービスプロバイダインフラストラクチャによってホストされている仮想またはオーバーレイクラウドネットワークを示す分散環境のハイレベル図である。

【図2】特定の実施形態に従って、ＣＳＰＩ内の物理ネットワークの物理要素を示すアーキテクチャ概略図である。

【図3】特定の実施形態に従って、ホストマシンが複数のネットワーク仮想化装置（ＮＶＤ）に接続されているＣＳＰＩの例示的な配置を示す図である。

【図4】特定の実施形態に従って、ホストマシンとマルチテナント機能をサポートするためのＩ／Ｏ仮想化を提供するＮＶＤとの間の接続を示す図である。

【図5】特定の実施形態に従って、ＣＳＰＩによって提供された物理ネットワークを示す概略ブロック図である。

【図6】少なくとも１つの実施形態に従って、プライベートネットワーク間のＳ２Ｃサービスの一例を示す図である。

【図7】少なくとも１つの実施形態に従って、ＤＮＳトラフィックおよびプロキシ無しＳ２トラフィックをサポートする一組のＳ２Ｃリソースを介して顧客プライベートネットワークに接続されたサービスプロバイダプライベートネットワークの一例を示す図である。

【図8】少なくとも１つの実施形態に従って、ＲＡＣトラフィックをサポートする一組のＳ２Ｃリソースを介して顧客プライベートネットワークに接続されたサービスプロバイダプライベートネットワークの一例を示す図である。

【図9】少なくとも１つの実施形態に従って、サービスプロバイダプライベートネットワークの構成要素の一例を示す図である。

【図10】少なくとも１つの実施形態に従って、顧客プライベートネットワークの構成要素の一例を示す図である。

【図11】少なくとも１つの実施形態に従って、Ｓ２Ｃリソースを実装するクラウドインフラストラクチャの構成要素の一例を示す図である。

【図12】少なくとも１つの実施形態に従って、ＤＮＳトラフィックの一例を示す図である。

【図13】少なくとも１つの実施形態に従って、プロキシ無しトラフィックの一例を示す図である。

【図14】少なくとも１つの実施形態に従って、ＤＮＳトラフィックの別の一例を示す図である。

【図15】少なくとも１つの実施形態に従って、ＲＡＣトラフィックの一例を示す図である。

【図16】少なくとも１つの実施形態に従って、Ｓ２Ｃサービスを提供するためのフローの一例を示す図である。

【図17】少なくとも１つの実施形態に従って、サービスプロバイダプライベートネットワークがＤＮＳトラフィック、プロキシ無しトラフィック、およびＲＡＣトラフィックをサポートするためのフローの一例を示す図である。

【図18】少なくとも１つの実施形態に従って、顧客プライベートネットワークがＤＮＳトラフィック、プロキシ無しトラフィック、およびＲＡＣトラフィックをサポートするためのフローの一例を示す図である。

【図19】少なくとも１つの実施形態に従って、Ｓ２ＣリソースがＤＮＳサービスをサポートするためのフローの一例を示す図である。

【図20】少なくとも１つの実施形態に従って、プロキシ無しＳ２Ｃトラフィックをサポートするためのフローの一例を示す図である。

【図21】少なくとも１つの実施形態に従って、Ｓ２ＣリソースがＲＡＣサービスをサポートするためのフローの一例を示す図である。

【図22】少なくとも１つの実施形態に従って、クラウドインフラストラクチャをサービスシステムとして実装するための１つのパターンを示すブロック図である。

【図23】少なくとも１つの実施形態に従って、クラウドインフラストラクチャをサービスシステムとして実装するための別のパターンを示すブロック図である。

【図24】少なくとも１つの実施形態に従って、クラウドインフラストラクチャをサービスシステムとして実装するための別のパターンを示すブロック図である。

【図25】少なくとも１つの実施形態に従って、クラウドインフラストラクチャをサービスシステムとして実装するための別のパターンを示すブロック図である。

【図26】少なくとも１つの実施形態に従って、例示的なコンピュータシステムを示すブロック図である。

【発明を実施するための形態】

【0015】

詳細な説明
本開示は、一般的に仮想ネットワーキングに関し、より詳しくは、顧客のプライベートネットワーク上のリソースへのアクセスをサービスプロバイダのプライベートネットワーク上のリソースに提供することに関する。Ｓ２Ｃリソースは、アクセスを容易にするためにクラウドインフラストラクチャ上で展開される。ＩＰアドレス範囲がプライベートネットワーク間で重複し得る、および／またはプライベートＩＰアドレスが１つ以上のプライベートネットワークに使用され得るが、Ｓ２Ｃリソースは、プライベートネットワーク間のデータ交換を可能にする。例えば、Ｓ２Ｃリソースは、ＩＰアドレス間の変換を行う。これによって、各プライベートネットワーク内のデータは、プライベートネットワークによって適切に処理され得るＩＰアドレスを使用する。クラウドインフラストラクチャは、仮想ネットワークインターフェイスカード（ＶＮＩＣ）を提供する仮想化装置群を含む。各サービスプロバイダと顧客の対に対して、一組のＳ２Ｃリソースが展開され、ＶＮＩＣは、これらのリソースおよびプライベートネットワークに接続されている。データ交換は、ＶＮＩＣおよびＳ２Ｃリソースを介して行われる。

【0016】

仮想ネットワーキングアーキテクチャの例
クラウドサービスという用語は、一般的に、クラウドサービスプロバイダ（ＣＳＰ）が、システムおよびインフラストラクチャ（クラウドインフラストラクチャ）を用いて、ユーザまたは顧客がオンデマンドで（例えば、サブスクリプションモデルを介して）利用できるサービスを指す。通常、ＣＳＰのインフラストラクチャを構成するサーバおよびシステムは、顧客自身のオンプレミスサーバおよびシステムから離れている。したがって、顧客は、サービス用のハードウェアおよびソフトウェア資源を別途購入することなく、ＣＳＰによって提供されるクラウドサービスを利用することができる。クラウドサービスは、サービスを提供するために使用されるインフラストラクチャの調達に顧客が投資する必要がなく、アプリケーションおよび計算リソースへの容易且つ拡張可能なアクセスを加入している顧客に提供するように設計されている。

【0017】

様々な種類のクラウドサービスを提供するクラウドサービスプロバイダがいくつかある。クラウドサービスは、ＳａａＳ（Software-as-a-Service）、ＰａａＳ（Platform-as-a-Service）、ＩａａＳ（Infrastructure-as-a-Service）などの様々な異なる種類またはモデルを含む。

【0018】

顧客は、ＣＳＰによって提供される１つ以上のクラウドサービスに加入することができる。顧客は、個人、組織、企業などの任意のエンティティであってもよい。顧客がＣＳＰによって提供されるサービスに加入または登録すると、その顧客に対してテナントまたはアカウントが作成される。その後、顧客は、このアカウントを介して、アカウントに関連付けられた１つ以上の加入済みクラウドリソースにアクセスすることができる。

【0019】

上述したように、ＩａａＳ（Infrastructure as a Service）は、１つの特定種類のクラウドコンピューティングサービスである。ＩａａＳモデルにおいて、ＣＳＰは、顧客が自身のカスタマイズ可能なネットワークを構築し、顧客リソースを展開するために使用できるインフラストラクチャ（クラウドサービスプロバイダインフラストラクチャまたはＣＳＰＩと呼ばれる）を提供する。したがって、顧客のリソースおよびネットワークは、ＣＳＰによって提供されたインフラストラクチャによって分散環境にホストされる。これは、顧客のインフラストラクチャが顧客のリソースおよびネットワークをホストする従来のコンピューティングとは異なる。

【0020】

ＣＳＰＩは、基板ネットワークまたはアンダーレイネットワークとも呼ばれる物理ネットワークを形成する、様々なホストマシン、メモリリソース、およびネットワークリソースを含む相互接続された高性能の計算リソースを含んでもよい。ＣＳＰＩのリソースは、１つ以上の地理的な地域にわたって地理的に分散されている１つ以上のデータセンタに分散されてもよい。仮想化ソフトウェアは、これらの物理リソースによって実行され、仮想化分散環境を提供することができる。仮想化は、物理ネットワーク上に（ソフトウェアベースネットワーク、ソフトウェア定義ネットワーク、または仮想ネットワークとも呼ばれる）オーバーレイネットワークを作成する。ＣＳＰＩ物理ネットワークは、物理ネットワークの上に１つ以上のオーバーレイまたは仮想ネットワークを作成するための基礎を提供する。仮想ネットワークまたはオーバーレイネットワークは、１つ以上の仮想クラウドネットワーク（ＶＣＮ）を含むことができる。仮想ネットワークは、ソフトウェア仮想化技術（例えば、ハイパーバイザ、ネットワーク仮想化装置（ＮＶＤ）（例えば、スマートＮＩＣ）によって実行される機能、トップオブラック（ＴＯＲ）スイッチ、ＮＶＤによって実行される１つ以上の機能を実装するスマートＴＯＲ、および他のメカニズム）を用いて実装され、物理ネットワークの上で実行できるネットワーク抽象化層を作成する。仮想ネットワークは、ピアツーピアネットワーク、ＩＰネットワークなどの様々な形態をとることができる。仮想ネットワークは、典型的には、レイヤ３ＩＰネットワークまたはレイヤ２ＶＬＡＮのいずれかである。このような仮想ネットワークまたはオーバーレイネットワークは、しばしば仮想レイヤ３ネットワークまたはオーバーレイレイヤ３ネットワークと呼ばれる。仮想ネットワークのために開発されたプロトコルの例は、ＩＰ－ｉｎ－ＩＰ（またはＧＲＥ（Generic Routing Encapsulation））、仮想拡張可能ＬＡＮ（ＶＸＬＡＮ－ＩＥＴＦ ＲＦＣ７３４８）、仮想プライベートネットワーク（ＶＰＮ）（例えば、ＭＰＬＳレイヤ３仮想プライベートネットワーク（ＲＦＣ４３６４））、ＶＭｗａｒｅ ＮＳＸ、ＧＥＮＥＶＥ（Generic Network Virtualization Encapsulation）などを含む。

【0021】

ＩａａＳの場合、ＣＳＰによって提供されたインフラストラクチャ（ＣＳＰＩ）は、パブリックネットワーク（例えば、インターネット）を介して仮想化計算リソースを提供するように構成されてもよい。ＩａａＳモデルにおいて、クラウドコンピューティングサービスプロバイダは、インフラストラクチャ要素（例えば、サーバ、記憶装置、ネットワークノード（例えば、ハードウェア）、展開ソフトウェア、プラットフォーム仮想化（例えば、ハイパーバイザ層）など）をホストすることができる。場合によっては、ＩａａＳプロバイダは、それらのインフラストラクチャ要素に付随する様々なサービス（例えば、課金、監視、ロギング、セキュリティ、負荷分散およびクラスタリングなど）を提供することができる。これらのサービスがポリシー駆動型であるため、ＩａａＳユーザは、負荷分散を駆動するためのポリシーを実装することによって、アプリケーションの可用性および性能を維持することができる。ＣＳＰＩは、インフラストラクチャおよび一連の補完的なクラウドサービスを提供する。これによって、顧客は、可用性の高いホスト型分散環境で幅広いアプリケーションおよびサービスを構築し、実行することができる。ＣＳＰＩは、顧客オンプレミスネットワークなどの様々なネットワーク拠点から安全にアクセスできる柔軟な仮想ネットワーク上で高性能の計算リソースおよび能力ならびに記憶容量を提供する。顧客がＣＳＰによって提供されたＩａａＳサービスに加入または登録すると、その顧客のために作成されたテナンシは、ＣＳＰＩから安全に分離されたパーティションとなり、顧客は、クラウドリソースを作成、整理、管理することができる。

【0022】

顧客は、ＣＳＰＩによって提供された計算リソース、メモリリソース、およびネットワーキングリソースを使用して、独自の仮想ネットワークを構築することができる。これらの仮想ネットワーク上に、計算インスタンスなどの1つ以上の顧客リソースまたはワークロードを展開することができる。例えば、顧客は、ＣＳＰＩによって提供されたリソースを使用して、仮想クラウドネットワーク（ＶＣＮ）と呼ばれる１つ以上のカスタマイズ可能なプライベート仮想ネットワークを構築することができる。顧客は、顧客ＶＣＮ上で１つ以上の顧客リソース、例えば計算インスタンスを展開することができる。計算インスタンスは、仮想マシン、ベアメタルインスタンスなどであってもよい。したがって、ＣＳＰＩは、顧客が可用性の高い仮想ホスト環境において様々なアプリケーションおよびサービスを構築および実行することを可能にするインフラストラクチャおよび一連の相補的なクラウドサービスを提供する。顧客は、ＣＳＰＩによって提供された基礎的な物理リソースを管理または制御しないが、オペレーティングシステム、記憶、および展開されたアプリケーションを制御し、場合によっては一部のネットワーキングコンポーネント（例えば、ファイアウォール）を限定的に制御する。

【0023】

ＣＳＰは、顧客およびネットワーク管理者がＣＳＰＩリソースを使用してクラウドに展開されたリソースを構成、アクセス、および管理することを可能にするコンソールを提供することができる。特定の実施形態において、コンソールは、ＣＳＰＩを利用および管理するために使用することができるウェブベースのユーザインターフェイスを提供する。いくつかの実施形態において、コンソールは、ＣＳＰによって提供されたウェブベースのアプリケーションである。

【0024】

ＣＳＰＩは、シングルテナンシアーキテクチャまたはマルチテナンシアーキテクチャをサポートすることができる。シングルテナンシアーキテクチャにおいて、ソフトウェア（例えば、アプリケーション、データベース）またはハードウェア要素（例えば、ホストマシンまたはサーバ）は、単一の顧客またはテナントにサービスを提供する。マルチテナンシアーキテクチャにおいて、ソフトウェアまたはハードウェア要素は、複数の顧客またはテナントにサービスを提供する。したがって、マルチテナンシアーキテクチャにおいて、ＣＳＰＩリソースは、複数の顧客またはテナントの間で共有される。マルチテナンシ環境において、各テナントのデータが分離され、他のテナントから見えないようにするために、ＣＳＰＩには予防措置および保護措置が講じられる。

【0025】

物理ネットワークにおいて、ネットワークエンドポイント（エンドポイント）は、物理ネットワークに接続され、接続されているネットワークと双方向に通信するコンピューティング装置またはシステムを指す。物理ネットワークのネットワークエンドポイントは、ローカルエリアネットワーク（ＬＡＮ）、ワイドエリアネットワーク（ＷＡＮ）、または他の種類の物理ネットワークに接続されてもよい。物理ネットワークの従来のエンドポイントの例は、モデム、ハブ、ブリッジ、スイッチ、ルータ、および他のネットワーキング装置、物理コンピュータ（またはホストマシン）などを含む。物理ネットワークの各物理装置は、当該装置と通信するために使用できる固定ネットワークアドレスを有する。この固定ネットワークアドレスは、レイヤ２アドレス（例えば、ＭＡＣアドレス）、固定レイヤ３アドレス（例えば、ＩＰアドレス）などであってもよい。仮想化環境または仮想ネットワークにおいて、エンドポイントは、物理ネットワークの要素によってホストされている（例えば、物理ホストマシンによってホストされている）仮想マシンなどの様々な仮想エンドポイントを含むことができる。仮想ネットワークのこれらのエンドポイントは、オーバーレイレイヤ２アドレス（例えば、オーバーレイＭＡＣアドレス）およびオーバーレイレイヤ３アドレス（例えば、オーバーレイＩＰアドレス）などのオーバーレイアドレスによってアドレス指定される。ネットワークオーバーレイは、ネットワーク管理者がソフトウェア管理を用いて（例えば、仮想ネットワークの制御プレーンを実装するソフトウェアを介して）ネットワークエンドポイントに関連付けられたオーバーレイアドレスを移動できるようにすることによって柔軟性を実現する。したがって、物理ネットワークとは異なり、仮想ネットワークにおいて、ネットワーク管理ソフトウェアを使用して、オーバーレイアドレス（例えば、オーバーレイＩＰアドレス）を１つのエンドポイントから別のエンドポイントに移動することができる。仮想ネットワークが物理ネットワーク上に構築されているため、仮想ネットワークおよび基礎となる物理ネットワークの両方は、仮想ネットワークの要素間の通信に関与する。このような通信を容易にするために、ＣＳＰＩの各要素は、仮想ネットワークのオーバーレイアドレスを基板ネットワークの実際の物理アドレスにまたは基板ネットワークの実際の物理アドレスを仮想ネットワークのオーバーレイアドレスにマッピングするマッピングを学習および記憶するように構成されている。これらのマッピングは、通信を容易にするために使用される。仮想ネットワークのルーティングを容易にするために、顧客トラフィックは、カプセル化される。

【0026】

したがって、物理アドレス（例えば、物理ＩＰアドレス）は、物理ネットワークの要素に関連付けられ、オーバーレイアドレス（例えば、オーバーレイＩＰアドレス）は、仮想ネットワークのエンティティに関連付けられる。物理ＩＰアドレスとオーバーレイＩＰアドレスは、いずれも実ＩＰアドレスである。これらは、仮想ＩＰアドレスとは別物であり、仮想ＩＰアドレスは、複数の実ＩＰアドレスにマッピングされる。仮想ＩＰアドレスは、仮想IPアドレスと複数の実ＩＰアドレスの間の１対多のマッピングを提供する。

【0027】

クラウドインフラストラクチャまたはＣＳＰＩは、世界中の１つ以上の地域の１つ以上のデータセンタに物理的にホストされる。ＣＳＰＩは、物理ネットワークまたは基板ネットワークの要素と、物理ネットワーク要素上に構築された仮想ネットワークの仮想化要素（例えば、仮想ネットワーク、計算インスタンス、仮想マシン）とを含んでもよい。特定の実施形態において、ＣＳＰＩは、レルム（realm）、地域（region）、および利用可能なドメイン（domain）において編成およびホストされる。地域は、典型的には、１つ以上のデータセンタを含む局所的な地理的領域である。地域は、一般的に互いに独立しており、例えば、国または大陸を跨ぐ広大な距離によって分離されてもよい。例えば、第１の地域は、オーストラリアにあってもよく、別の地域は、日本にあってもよく、さらに別の地域は、インドにあってもよい。ＣＳＰＩリソースは、各地域が独立したＣＳＰＩリソースのサブセットを有するようにこれらの地域間で分割される。各地域は、一連のコアインフラストラクチャサービスおよびリソース、例えば、計算リソース（例えば、ベアメタルサーバ、仮想マシン、コンテナおよび関連インフラストラクチャ）、記憶リソース（例えば、ブロックボリューム記憶、ファイル記憶、オブジェクト記憶、アーカイブ記憶）、ネットワーキングリソース（例えば、仮想クラウドネットワーク（ＶＣＮ）、負荷分散リソース、オンプレミスネットワークへの接続）、データベースリソース、エッジネットワーキングリソース（例えば、ＤＮＳ）、アクセス管理および監視リソースなどを提供することができる。各地域は、一般的に、当該地域をレルム内の他の地域に接続するための複数の経路を持つ。

【0028】

一般的に、アプリケーションは、近くのリソースを使用することが遠くのリソースを使用することよりも速いため、最も多く使用される地域に展開される（すなわち、その地域に関連するインフラストラクチャ上に展開される）。また、アプリケーションは、大規模な気象システムまたは地震などの地域全体のイベントのリスクを軽減するための冗長性、法的管轄、税金ドメイン、および他のビジネスまたは社会的基準に対する様々な要件を満たすための冗長性など、様々な理由で異なる地域に展開されてもよい。

【0029】

地域内のデータセンタは、さらに編成され、利用可能なドメイン（availability domain：ＡＤ）に細分化されてもよい。利用可能なドメインは、ある地域に配置された１つ以上のデータセンタに対応してもよい。地域は、１つ以上の利用可能なドメインから構成されてもよい。このような分散環境において、ＣＳＰＩリソースは、仮想クラウドネットワーク（ＶＣＮ）などの地域に固有なものまたは計算インスタンスなどの利用可能なドメインに固有なものである。

【0030】

１つの地域内のＡＤは、フォールトトレラント（fault tolerant）になるように互いに分離され、同時に故障する可能性が非常に低くなるように構成されている。これは、１つの地域内の１つのＡＤの障害が同じ地域内の他のＡＤの可用性に影響を与えることが殆どないように、ネットワーキング、物理ケーブル、ケーブル経路、ケーブル入口などの重要なインフラストラクチャリソースを共有しないように、ＡＤを構成することによって達成される。同じ地域内のＡＤを低遅延広帯域のネットワークで互いに接続することによって、他のネットワーク（例えば、インターネット、顧客オンプレミスネットワーク）への高可用性接続を提供し、複数のＡＤにおいて高可用性および災害復旧の両方のための複製システムを構築することができる。クラウドセンアイスは、複数のＡＤを利用して、高可用性を確保すると共に、リソースの障害から保護する。ＩａａＳプロバイダによって提供されたインフラストラクチャが成長するにつれて、追加の容量と共により多くの地域およびＡＤを追加してもよい。利用可能なドメイン間のトラフィックは、通常、暗号化される。

【0031】

特定の実施形態において、地域は、レルムにグループ化される。レルムは、地域の論理的な集合である。レルムは、互いに隔離されており、いかなるデータを共有しない。同じレルム内の地域は、互いに通信することができるが、異なるレルム内の地域は、通信することができない。ＣＳＰの顧客のテナンシまたはアカウントは、単一のレルムに存在し、その単一のレルムに属する１つ以上の地域を跨ることができる。典型的には、顧客がＩａａＳサービスに加入すると、レルム内の顧客指定地域（「ホーム」地域と呼ばれる）に、その顧客のテナンシまたはアカウントが作成される。顧客は、顧客のテナンシをレルム内の１つ以上の他の地域に拡張することができる。顧客は、顧客のテナンシが存在するレルム内に存在していない地域にアクセスすることができない。

【0032】

ＩａａＳプロバイダは、複数のレルムを提供することができ、各レルムは、特定の組の顧客またはユーザに対応する。例えば、商用レルムは、商用顧客のために提供されてもよい。別の例として、レルムは、特定の国のためにまたはその国の顧客のために提供されてもよい。さらに別の例として、政府用レルムは、例えば政府のために提供されてもよい。例えば、政府用レルムは、特定の政府のために作成されてもよく、商用レルムよりも高いセキュリティレベルを有してもよい。例えば、オラクル（登録商標）クラウドインフラストラクチャ（ＯＣＩ）は、現在、商用領域向けのレルムと、政府クラウド領域向けの２つのレルム（例えば、ＦｅｄＲＡＭＰ認可およびＩＬ５認可）とを提供する。

【0033】

特定の実施形態において、ＡＤは、１つ以上の障害ドメイン（fault domain）に細分化することができる。障害ドメインは、反親和性（anti-affinity）を提供するために、ＡＤ内のインフラストラクチャリソースをグループ化したものである。障害ドメインは、計算インスタンスを分散することができる。これによって、計算インスタンスは、１つのＡＤ内の同じ物理ハードウェア上に配置されない。これは、反親和性として知られている。障害ドメインは、１つの障害点を共有する一組のハードウェア要素（コンピュータ、スイッチなど）を指す。計算プールは、障害ドメインに論理的に分割される。このため、１つの障害ドメインに影響を与えるハードウェア障害または計算ハードウェア保守イベントは、他の障害ドメインのインスタンスに影響を与えない。実施形態によっては、各ＡＤの障害ドメインの数は、異なってもよい。例えば、特定の実施形態において、各ＡＤは、３つの障害ドメインを含む。障害ドメインは、ＡＤ内の論理データセンタとして機能する。

【0034】

顧客がＩａａＳサービスに加入すると、ＣＳＰＩからのリソースは、顧客にプロビジョニングされ、顧客のテナンシに関連付けられる。顧客は、これらのプロビジョニングされたリソースを使用して、プライベートネットワークを構築し、これらのネットワーク上にリソースを展開することができる。ＣＳＰＩによってクラウド上でホストされている顧客ネットワークは、仮想クラウドネットワーク（ＶＣＮ）と呼ばれる。顧客は、顧客用に割り当てられたＣＳＰＩリソースを使用して、１つ以上の仮想クラウドネットワーク（ＶＣＮ）を構成することができる。ＶＣＮとは、仮想またはソフトウェア定義のプライベートネットワークである。顧客のＶＣＮに配備された顧客リソースは、計算インスタンス（例えば、仮想マシン、ベアメタルインスタンス）および他のリソースを含むことができる。これらの計算インスタンスは、アプリケーション、ロードバランサ、データベースなどの様々な顧客作業負荷を表してもよい。ＶＣＮ上に配備された計算インスタンスは、インターネットなどのパブリックネットワークを介して公的にアクセス可能なエンドポイント（パブリックエンドポイント）と通信することができ、同じＶＣＮまたは他のＶＣＮ（例えば、顧客の他のＶＣＮ、または顧客に属さないＶＣＮ）内の他のインスタンスと通信することができ、顧客オンプレミスデータセンタまたはネットワークと通信することができ、センディエンドポイントと通信することができ、および他の種類のエンドポイントと通信することができる。

【0035】

ＣＳＰは、ＣＳＰＩを用いて多様なサービスを提供することができる。場合によっては、ＣＳＰＩの顧客自身は、サービスプロバイダのように振る舞い、ＣＳＰＩリソースを使用してサービスを提供することができる。サービスプロバイダは、識別情報（例えば、ＩＰアドレス、ＤＮＳ名およびポート）によって特徴付けられるサービスエンドポイントを公開することができる。顧客のリソース（例えば、計算インスタンス）は、サービスによって公開されたその特定のサービスのサービスエンドポイントにアクセスすることによって、特定のサービスを消費することができる。これらのサービスエンドポイントは、一般に、ユーザがエンドポイントに関連付けられたパブリックＩＰアドレスを使用して、インターネットなどのパブリック通信ネットワークを介して公的にアクセス可能なエンドポイントである。公的にアクセス可能なネットワークエンドポイントは、パブリックエンドポイントと呼ばれることもある。

【0036】

特定の実施形態において、サービスプロバイダは、（サービスエンドポイントと呼ばれることもある）サービスのエンドポイントを介してサービスを公開することができる。サービスの顧客は、このサービスエンドポイントを使用してサービスにアクセスすることができる。特定の実施形態において、サービスのために提供されたサービスエンドポイントは、そのサービスを消費しようとする複数の顧客によってアクセスすることができる。他の実装形態において、専用のサービスエンドポイントを顧客に提供してもよい。したがって、その顧客のみは、その専用センディエンドポイントを使用してサービスにアクセスすることができる。

【0037】

特定の実施形態において、ＶＣＮは、作成されると、そのＶＣＮに割り当てられたプライベートオーバーレイＩＰアドレス範囲（例えば、１０．０／１６）であるプライベートオーバーレイクラスレスドメイン間ルーティング（Classless Inter-Domain Routing：ＣＩＤＲ）アドレス空間に関連付けられる。ＶＣＮは、関連するサブネット、ルートテーブル、およびゲートウェイを含む。ＶＣＮは、単一の地域内に存在するが、地域の１つ以上または全ての利用可能なドメインに拡張することができる。ゲートウェイは、ＶＣＮ用に構成され、ＶＣＮとＶＣＮ外部の１つ以上のエンドポイントとの間のトラフィック通信を可能にする仮想インターフェイスである。ＶＣＮの１つ以上の異なる種類のゲートウェイを構成することによって、異なる種類のエンドポイント間の通信を可能にすることができる。

【0038】

ＶＣＮは、１つ以上のサブネットなどの１つ以上のサブネットワークに細分化されてもよい。
したがって、サブネットは、ＶＣＮ内で作成され得る構成単位または区画である。ＶＣＮは、１つ以上のサブネットを持つことができる。ＶＣＮ内の各サブネットは、当該ＶＣＮ内の他のサブネットと重複せず、当該ＶＣＮのアドレス空間のアドレス空間サブセットを表すオーバーレイＩＰアドレス（例えば、１０．０．０．０／２４および１０．０．１．０／２４）の連続範囲に関連付けられる。

【0039】

各計算インスタンスは、仮想ネットワークインターフェイスカード（ＶＮＩＣ）に関連付けられる。これによって、各計算インスタンスは、ＶＣＮのサブネットに参加することができる。ＶＮＩＣは、物理ネットワークインターフェイスカード（ＮＩＣ）の論理表現である。一般的に、ＶＮＩＣは、エンティティ（例えば、計算インスタンス、サービス）と仮想ネットワークとの間のインターフェイスである。ＶＮＩＣは、サブネットに存在し、１つ以上の関連するＩＰアドレスと、関連するセキュリティルールまたはポリシーとを有する。ＶＮＩＣは、スイッチ上のレイヤ２ポートに相当する。ＶＮＩＣは、計算インスタンスと、ＶＣＮ内のサブネットとに接続されている。計算インスタンスに関連付けられたＶＮＩＣは、計算インスタンスがＶＣＮのサブネットの一部であることを可能にし、計算インスタンスが、計算インスタンスと同じサブネット上にあるエンドポイントと、ＶＣＮ内の異なるサブネット内のエンドポイントと、またはＶＣＮ外部のエンドポイントと通信する（例えば、パケットを送信および受信する）ことを可能にする。したがって、計算インスタンスに関連するＶＮＩＣは、計算インスタンスがＶＣＮの内部および外部のエンドポイントとどのように接続しているかを判断する。計算インスタンスのＶＮＩＣは、計算インスタンスが作成され、ＶＣＮ内のサブネットに追加されるときに作成され、その計算インスタンスに関連付けられる。サブネットは、計算インスタンスのセットからなる場合、計算インスタンスのセットに対応するＶＮＩＣを含み、各ＶＮＩＣは、コンピュータインスタンスのセット内の計算インスタンスに接続されている。

【0040】

計算インスタンスに関連するＶＮＩＣを介して、各計算インスタンスにはプライベートオーバーレイＩＰアドレスが割り当てられる。このプライベートオーバーレイＩＰアドレスは、計算インスタンスの作成時に計算インスタンスに関連するＶＮＩＣに割り当てられ、計算インスタンスのトラフィックをルーティングするために使用される。特定のサブネット内の全てのＶＮＩＣは、同じルートテーブル、セキュリティリスト、およびＤＨＣＰオプションを使用する。上述したように、ＶＣＮ内の各サブネットは、当該ＶＣＮ内の他のサブネットと重複せず、当該ＶＣＮのアドレス空間のアドレス空間サブセットを表すオーバーレイＩＰアドレス（例えば、１０．０．０．０／２４および１０．０．１．０／２４）の連続範囲に関連付けられる。ＶＣＮの特定のサブネット上のＶＮＩＣの場合、ＶＮＩＣに割り当てられたオーバーレイＩＰアドレスは、サブネットに割り当てられたオーバーレイＩＰアドレスの連続範囲からのアドレスである。

【0041】

特定の実施形態において、必要に応じて、計算インスタンスには、プライベートオーバーレイＩＰアドレスに加えて、追加のオーバーレイＩＰアドレス、例えば、パブリックサブネットの場合に１つ以上のパブリックＩＰアドレスを割り当てることができる。これらの複数のアドレスは、同じＶＮＩＣ、または計算インスタンスに関連付けられた複数のＶＮＩＣに割り当てられる。しかしながら、各インスタンスは、インスタンス起動時に作成され、インスタンスに割り当てられたオーバーレイプライベートＩＰアドレスに関連付けられたプライマリＶＮＩＣを有する。このプライマリＶＮＩＣは、削除することができない。セカンダリＶＮＩＣと呼ばれる追加のＶＮＩＣは、プライマリＶＮＩＣと同じ利用可能なドメイン内の既存のインスタンスに追加することができる。全てのＶＮＩＣは、インスタンスと同じ利用可能なドメインにある。セカンダリＶＮＩＣは、プライマリＶＮＩＣと同じＶＣＮのサブネットにあってもよく、または同じＶＣＮまたは異なるＶＣＮの異なるサブネットにあってもよい。

【0042】

計算インスタンスは、パブリックサブネットにある場合、オプションでパブリックＩＰアドレスを割り当てられることができる。サブネットを作成するときに、当該サブネットをパブリックサブネットまたはプライベートサブネットのいずれかとして指定することができる。プライベートサブネットとは、当該サブネット内のリソース（例えば、計算インスタンス）および関連するＶＮＩＣがパブリックオーバーレイＩＰアドレスを持つことができないことを意味する。パブリックサブネットとは、サブネット内のリソースおよび関連するＶＮＩＣがパブリックＩＰアドレスを持つことができることを意味する。顧客は、地域またはレルム内の単一の利用可能なドメインまたは複数の利用可能なドメインにわたって存在するサブネットを指定することができる。

【0043】

上述したように、ＶＣＮは、１つ以上のサブネットに細分化されてもよい。特定の実施形態において、ＶＣＮのために構成された仮想ルータ（ＶＣＮ ＶＲまたは単にＶＲと呼ばれる）は、ＶＣＮのサブネット間の通信を可能にする。ＶＣＮ内のサブネットの場合、ＶＲは、サブネット（すなわち、当該サブネット上の計算インスタンス）と、ＶＣＮ内部の他のサブネット上のエンドポイントおよびＶＣＮ外部の他のエンドポイントとの通信を可能にする当該サブネットの論理ゲートウェイを表す。ＶＣＮ ＶＲは、ＶＣＮ内のＶＮＩＣと、ＶＣＮに関連する仮想ゲートウェイ（ゲートウェイ）との間のトラフィックをルーティングするように構成された論理エンティティである。ゲートウェイは、図１に関して以下でさらに説明される。ＶＣＮ ＶＲは、レイヤ３／ＩＰレイヤの概念である。一実施形態において、１つのＶＣＮに対して１つのＶＣＮ ＶＲが存在する。このＶＣＮ ＶＲは、ＩＰアドレスによってアドレス指定された無制限の数のポートを潜在的に有し、ＶＣＮの各サブネットに対して１つのポートを有する。このようにして、ＶＣＮ ＶＲは、ＶＣＮ ＶＲが接続されているＶＣＮの各サブネットに対して異なるＩＰアドレスを有する。また、ＶＲは、ＶＣＮのために構成された様々なゲートウェイに接続されている。特定の実施形態において、サブネットのオーバーレイＩＰアドレス範囲からの特定のオーバーレイＩＰアドレスは、そのサブネットのＶＣＮ ＶＲのポートに保留される。例えば、関連するアドレス範囲１０．０／１６および１０．１／１６を各々有する２つのサブネットを有するＶＣＮを考える。アドレス範囲１０．０／１６を有するＶＣＮの第１のサブネットの場合、この範囲からのアドレスは、そのサブネットのＶＣＮ ＶＲのポートに保留される。場合によっては、この範囲からの第１のＩＰアドレスは、ＶＣＮ ＶＲに保留されてもよい。例えば、オーバーレイＩＰアドレス範囲１０．０／１６を有するサブネットの場合、ＩＰアドレス１０．０．０．１は、そのサブネットのＶＣＮ ＶＲのポートに保留されてもよい。同じＶＣＮ内のアドレス範囲１０．１／１６を有する第２のサブネットの場合、ＶＣＮ ＶＲは、ＩＰアドレス１０．１．０．１を有する第２のサブネットのポートを有してもよい。ＶＣＮ ＶＲは、ＶＣＮ内の各サブネットに対して異なるＩＰアドレスを有する。

【0044】

いくつかの他の実施形態において、ＶＣＮ内の各サブネットは、ＶＲに関連付けられた保留またはデフォルトＩＰアドレスを使用してサブネットによってアドレス指定可能な、それ自身に関連するＶＲを有してもよい。保留またはデフォルトＩＰアドレスは、例えば、そのサブネットに関連付けられたＩＰアドレス範囲からの第１のＩＰアドレスであってもよい。サブネット内のＶＮＩＣは、このデフォルトまたは保留ＩＰアドレスを使用して、サブネットに関連付けられたＶＲと通信（例えば、パケットを送信および受信）することができる。このような実施形態において、ＶＲは、そのサブネットの着信／送信ポイントである。ＶＣＮ内のサブネットに関連付けられたＶＲは、ＶＣＮ内の他のサブネットに関連付けられた他のＶＲと通信することができる。また、ＶＲは、ＶＣＮに関連付けられたゲートウェイと通信することができる。サブネットのＶＲ機能は、サブネット内のＶＮＩＣのＶＮＩＣ機能を実行する１つ以上のＮＶＤ上で実行され、またはそれによって実行される。

【0045】

ルートテーブル、セキュリティルール、およびＤＨＣＰオプションは、ＶＣＮのために構成されてもよい。ルートテーブルは、ＶＣＮの仮想ルートテーブルであり、ゲートウェイまたは特別に構成されたインスタンスを経由して、トラフィックをＶＣＮ内部のサブネットからＶＣＮ外部の宛先にルーティングするためのルールを含む。ＶＣＮとの間でパケットの転送/ルーティングを制御するために、ＶＣＮのルートテーブルをカスタマイズすることができる。ＤＨＣＰオプションは、インスタンスの起動時にインスタンスに自動的に提供される構成情報を指す。

【0046】

ＶＣＮのために構成されたセキュリティルールは、ＶＣＮのオーバーレイファイアウォールルールを表す。セキュリティルールは、受信ルールおよび送信ルールを含むことができ、（例えば、プロトコルおよびポートに基づいて）ＶＣＮ内のインスタンスに出入りすることを許可されるトラフィックの種類を指定することができる。顧客は、特定の規則をステートフルまたはステートレスにするかを選択することができる。例えば、顧客は、ソースＣＩＤＲ０．０．０．０／０および宛先ＴＣＰポート２２を含むステートフル受信ルールを設定することによって、任意の場所から１組のインスタンスへの着信ＳＳＨトラフィックを許可することができる。セキュリティルールは、ネットワークセキュリティグループまたはセキュリティリストを使用して実装されてもよい。ネットワークセキュリティグループは、そのグループ内のリソースのみに適用されるセキュリティルールのセットからなる。一方、セキュリティリストは、そのセキュリティリストを使用するサブネット内の全てのリソースに適用されるルールを含む。ＶＣＮは、デフォルトセキュリティルールとデフォルトセキュリティリストを含んでもよい。ＶＣＮのために構成されたＤＨＣＰオプションは、ＶＣＮ内のインスタンスが起動するときに自動的に提供される構成情報を提供する。

【0047】

特定の実施形態において、ＶＣＮの構成情報は、ＶＣＮ制御プレーンによって決定され、記憶される。ＶＣＮの構成情報は、例えば、ＶＣＮに関連するアドレス範囲、ＶＣＮ内のサブネットおよび関連情報、ＶＣＮに関連する１つ以上のＶＲ、ＶＣＮ内の計算インスタンスおよび関連ＶＮＩＣ、ＶＣＮに関連する種々の仮想化ネットワーク機能（例えば、ＶＮＩＣ、ＶＲ、ゲートウェイ）を実行するＮＶＤ、ＶＣＮの状態情報、および他のＶＣＮ関連情報を含んでもよい。特定の実施形態において、ＶＣＮ配信サービスは、ＶＣＮ制御プレーンによって記憶された構成情報またはその一部をＮＶＤに公開する。配信された情報を用いて、ＮＶＤによって記憶および使用される情報（例えば、転送テーブル、ルーティングテーブルなど）を更新することによって、ＶＣＮ内のコンピュートインスタンスとの間でパケットを転送することができる。

【0048】

特定の実施形態において、ＶＣＮおよびサブネットの作成は、ＶＣＮ制御プレーン（ＣＰ）によって処理され、計算インスタンスの起動は、計算制御プレーンによって処理される。計算制御プレーンは、計算インスタンスの物理リソースを割り当て、次にＶＣＮ制御プレーンを呼び出して、ＶＮＩＣを作成し、計算インスタンスに接続するように構成される。また、ＶＣＮ ＣＰは、パケットの転送およびルーティング機能を実行するように構成されたＶＣＮデータプレーンに、ＶＣＮデータマッピングを送信する。特定の実施形態において、ＶＣＮ ＣＰは、更新をＶＣＮデータプレーンに提供するように構成された配信サービスを提供する。ＶＣＮ制御プレーンの例は、図２１、２２、２３、および２４（参照番号２１１６、２２１６、２３１６、および２４１６を参照）に示され、以下に説明される。

【0049】

顧客は、ＣＳＰＩによってホストされているリソースを用いて、１つ以上のＶＣＮを作成することができる。顧客ＶＣＮ上に展開された計算インスタンスは、異なるエンドポイントと通信することができる。これらのエンドポイントは、ＣＳＰＩによってホストされているエンドポイントおよびＣＳＰＬ外部のエンドポイントを含むことができる。

【0050】

ＣＳＰＩを用いてクラウドベースのサービスを実装するための様々な異なるアーキテクチャは、図１、２、３、４、５、２１、２２、２３、および２５に示され、以下に説明される。図１は、特定の実施形態に従って、ＣＳＰＩによってホストされているオーバーレイＶＣＮまたは顧客ＶＣＮを示す分散環境１００のハイレベル図である。図１に示された分散環境は、オーバーレイネットワーク内の複数の要素を含む。図１に示された分散環境１００は、単なる例であり、特許請求された実施形態の範囲を不当に限定することを意図していない。多くの変形例、代替例、および修正例が可能である。例えば、いくつかの実装形態において、図１に示された分散環境は、図１に示されたものより多いまたは少ないシステムまたは要素を有してもよく、２つ以上のシステムを組み合わせてもよく、または異なるシステムの構成または配置を有してもよい。

【0051】

図１の例に示されたように、分散環境１００は、顧客が加入して仮想クラウドネットワーク（ＶＣＮ）を構築するために使用することができるサービスおよびリソースを提供するＣＳＰＩ１０１を含む。特定の実施形態において、ＣＳＰＩ１０１は、加入顧客にＩａａＳサービスを提供する。ＣＳＰＩ１０１内のデータセンタは、１つ以上の地域に編成されてもよい。図１は、地域の一例である「ＵＳ地域」１０２を示す。顧客は、地域１０２に対して顧客ＶＣＮ１０４を構成している。顧客は、ＶＣＮ１０４上に様々な計算インスタンスを展開することができ、計算インスタンスは、仮想マシンまたはベアメタルインスタンスを含むことができる。インスタンスの例は、アプリケーション、データベース、ロードバランサなどを含む。

【0052】

図１に示された実施形態において、顧客ＶＣＮ１０４は、２つのサブネット、すなわち、「サブネット－１」および「サブネット－２」を含み、各サブネットは、各自のＣＩＤＲ ＩＰアドレス範囲を有する。図１において、サブネット－１のオーバーレイＩＰアドレス範囲は、１０．０／１６であり、サブネット－２のアドレス範囲は、１０．１／１６である。ＶＣＮ仮想ルータ１０５は、ＶＣＮ１０４のサブネット間の通信およびＶＣＮ外部の他のエンドポイントとの通信を可能にするＶＣＮの論理ゲートウェイを表す。ＶＣＮ ＶＲ１０５は、ＶＣＮ１０４内のＶＮＩＣとＶＣＮ１０４に関連するゲートウェイとの間でトラフィックをルーティングするように構成される。ＶＣＮ ＶＲ１０５は、ＶＣＮ１０４の各サブネットにポートを提供する。例えば、ＶＲ１０５は、ＩＰアドレス１０．０．０．１を有するポートをサブネット－１に提供することができ、ＩＰアドレス１０．１．０．１を有するポートをサブネット－２に提供することができる。

【0053】

各サブネット上に複数の計算インスタンスを展開することができる。この場合、計算インスタンスは、仮想マシンインスタンスおよび／またはベアメタルインスタンスであってもよい。サブネット内の計算インスタンスは、ＣＳＰＩ１０１内の１つ以上のホストマシンによってホストされてもよい。計算インスタンスは、当該計算インスタンスに関連するＶＮＩＣを介してサブネットに参加する。例えば、図１に示すように、計算インスタンスＣ１は、当該計算インスタンスに関連するＶＮＩＣを介したサブネット－１の一部である。同様に、計算インスタンスＣ２は、Ｃ２に関連するＶＮＩＣを介したサブネット－１の一部である。同様に、仮想マシンインスタンスまたはベアメタルインスタンスであり得る複数の計算インスタンスは、サブネット－１の一部であってもよい。各計算インスタンスには、関連するＶＮＩＣを介して、プライベートオーバーレイＩＰアドレスおよびＭＡＣアドレスが割り当てられる。例えば、図１において、計算インスタンスＣ１は、オーバーレイＩＰアドレス１０．０．０．２およびＭＡＣアドレスＭ１を有し、計算インスタンスＣ２は、プライベートオーバーレイＩＰアドレス１０．０．０．３およびＭＡＣアドレスＭ２を有する。計算インスタンスＣ１およびＣ２を含むサブネット－１内の各計算インスタンスは、サブネット－１のＶＣＮ ＶＲ１０５のポートのＩＰアドレスであるＩＰアドレス１０．０．０．１を使用して、ＶＣＮ ＶＲ１０５へのデフォルトルートを有する。

【0054】

サブネット－２には、仮想マシンインスタンスおよび／またはベアメタルインスタンスを含む複数の計算インスタンスを展開することができる。例えば、図１に示すように、計算インスタンスＤｌおよびＤ２は、それぞれの計算インスタンスに関連するＶＮＩＣを介したサブネット－２の一部である。図１に示す実施形態において、計算インスタンスＤ１は、オーバーレイＩＰアドレス１０．１．０．２およびＭＡＣアドレスＭＭ１を有し、計算インスタンスＤ２は、プライベートオーバーレイＩＰアドレス１０．１．０．３およびＭＡＣアドレスＭＭ２を有する。計算インスタンスＤ１およびＤ２を含むサブネット－２内の各計算インスタンスは、サブネット－２のＶＣＮ ＶＲ１０５のポートのＩＰアドレスであるＩＰアドレス１０．１．０．１を使用して、ＶＣＮ ＶＲ１０５へのデフォルトルートを有する。

【0055】

また、ＶＣＮ Ａ１０４は、１つ以上のロードバランサを含んでもよい。例えば、ロードバランサは、サブネットに対して提供されてもよく、サブネット上の複数の計算インスタンス間でトラフィックをロードバランスするように構成されてもよい。また、ロードバランサは、ＶＣＮ内のサブネット間でトラフィックをロードバランスするように提供されてもよい。

【0056】

ＶＣＮ１０４上に展開された特定の計算インスタンスは、様々な異なるエンドポイントと通信することができる。これらのエンドポイントは、ＣＳＰＩ２００によってホストされているエンドポイントと、ＣＳＰＩ２００外部のエンドポイントとを含んでもよい。ＣＳＰＩ１０１によってホストされているエンドポイントは、特定の計算インスタンスと同じサブネット上のエンドポイント（例えば、サブネット－１の２つの計算インスタンス間の通信）、異なるサブネットにあるが同じＶＣＮ内のエンドポイント（例えば、サブネット－１の計算インスタンスとサブネット－２の計算インスタンスとの間の通信）、同じ地域の異なるＶＣＮ内のエンドポイント（例えば、サブネット－１の計算インスタンスと、同じ地域１０６または１１０のＶＣＮ内のエンドポイントとの間の通信、サブネット－１内の計算インスタンスと、同じ地域のサービスネットワーク１１０内のエンドポイントとの間の通信）、または異なる地域のＶＣＮ内のエンドポイント（例えば、サブネット－１の計算インスタンスと、異なる地域１０８のＶＣＮ内のエンドポイントとの間の通信）を含んでもよい。また、ＣＳＰＩ１０１によってホストされているサブネット内の計算インスタンスは、ＣＳＰＩ１０１によってホストされていない（すなわち、ＣＳＰＩ１０１の外部にある）エンドポイントと通信することができる。これらの外部のエンドポイントは、顧客オンプレミスネットワーク１１６内のエンドポイント、他のリモートクラウドホストネットワーク１１８内のエンドポイント、インターネットなどのパブリックネットワークを介してアクセス可能なパブリックエンドポイント１１４、および他のエンドポイントを含む。

【0057】

同じサブネット上の計算インスタンス間の通信は、ソース計算インスタンスおよび宛先計算インスタンスに関連するＶＮＩＣを使用して促進される。例えば、サブネット－１内の計算インスタンスＣ１は、サブネット－１内の計算インスタンスＣ２にパケットを送信したいことがある。ソース計算インスタンスから送信され、その宛先が同じサブネット内の別の計算インスタンスであるパケットの場合、このパケットは、まず、ソース計算インスタンスに関連するＶＮＩＣによって処理される。ソース計算インスタンスに関連するＶＮＩＣによって実行される処理は、パケットヘッダからパケットの宛先情報を決定することと、ソース計算インスタンスに関連するＶＮＩＣに対して構成された任意のポリシー（例えば、セキュリティリスト）を識別することと、パケットのネクストホップ（next hop）を決定することと、必要に応じて任意のパケットのカプセル化機能／カプセル除去機能を実行することと、パケットの意図した宛先への通信を容易にするためにパケットをネクストホップに転送／ルーティングすることとを含んでもよい。宛先計算インスタンスがソース計算インスタンスと同じサブネットにある場合、ソース計算インスタンスに関連するＶＮＩＣは、宛先計算インスタンスに関連するＶＮＩＣを識別し、処理するためのパケットをそのＶＮＩＣに転送するように構成されている。次いで、宛先計算インスタンスに関連するＶＮＩＣは、実行され、パケットを宛先計算インスタンスに転送する。

【0058】

サブネット内の計算インスタンスから同じＶＣＮの異なるサブネット内のエンドポイントにパケットを通信する場合、通信は、ソース計算インスタンスおよび宛先計算インスタンスに関連するＶＮＩＣと、ＶＣＮ ＶＲとによって促進される。例えば、図１のサブネット－１の計算インスタンスＣ１がサブネット－２の計算インスタンスＤ１にパケットを送信したい場合、パケットは、まず、計算インスタンスＣ１に関連するＶＮＩＣによって処理される。計算インスタンスＣ１に関連するＶＮＩＣは、ＶＣＮ ＶＲのデフォルトルートまたはポート１０．０．０．１を使用して、パケットをＶＣＮ ＶＲ１０５にルーティングするように構成されている。ＶＣＮ ＶＲ１０５は、ポート１０．１．０．１を使用してパケットをサブネット－２にルーティングするように構成されている。その後、パケットは、Ｄ１に関連するＶＮＩＣによって受信および処理され、ＶＮＩＣは、パケットを計算インスタンスＤ１に転送する。

【0059】

ＶＣＮ１０４内の計算インスタンスからＶＣＮ１０４の外部のエンドポイントにパケットを通信するために、通信は、ソース計算インスタンスに関連するＶＮＩＣ、ＶＣＮ ＶＲ１０５、およびＶＣＮ１０４に関連するゲートウェイによって促進される。１つ以上の種類のゲートウェイをＶＣＮ１０４に関連付けることができる。ゲートウェイは、ＶＣＮと別のエンドポイントとの間のインターフェイスであり、別のエンドポイントは、ＶＣＮの外部にある。ゲートウェイは、レイヤ３／ＩＰレイヤ概念であり、ＶＣＮとＶＣＮの外部のエンドポイントとの通信を可能にする。したがって、ゲートウェイは、ＶＣＮと他のＶＣＮまたはネットワークとの間のトラフィックフローを容易にする。異なる種類のエンドポイントとの異なる種類の通信を容易にするために、様々な異なる種類のゲートウェイをＶＣＮに設定することができる。ゲートウェイによって、通信は、パブリックネットワーク（例えば、インターネット）またはプライベートネットワークを介して行われてもよい。これらの通信には、様々な通信プロトコルを使用してもよい。

【0060】

例えば、計算インスタンスＣ１は、ＶＣＮ１０４の外部のエンドポイントと通信したい場合がある。パケットは、まず、ソース計算インスタンスＣ１に関連するＶＮＩＣによって処理されてもよい。ＶＮＩＣ処理は、パケットの宛先がＣｌのサブネット－１の外部にあると判断する。Ｃ１に関連するＶＮＩＣは、パケットをＶＣＮ１０４のＶＣＮ ＶＲ１０５に転送することができる。次いで、ＶＣＮ ＶＲ１０５は、パケットを処理し、処理の一部として、パケットの宛先に基づいて、ＶＣＮ１０４に関連する特定のゲートウェイをパケットのネクストホップとして決定する。その後、ＶＣＮ ＶＲ１０５は、パケットを特定のゲートウェイに転送することができる。例えば、宛先が顧客のオペプレミスネットワーク内のエンドポイントである場合、パケットは、ＶＣＮ ＶＲ１０５によって、ＶＣＮ１０４のために構成された動的ルーティングゲートウェイ（ＤＲＧ）１２２に転送されてもよい。その後、パケットは、ゲートウェイからネクストホップに転送され、意図した最終の宛先へのパケットの通信を容易にすることができる。

【0061】

ＶＣＮのために様々な異なる種類のゲートウェイを構成してもよい。ＶＣＮのために構成され得るゲートウェイの例は、図１に示され、以下に説明される。ＶＣＮに関連するゲートウェイの例は、図２１、２２、２３、および図２４（例えば、参照番号２１３４、２１３６、２１３８、２２３４、２２３６、２２３８、２３３４、２３３６、２３３８、２４３４、２４３６、および２４３８によって示されたゲートウェイ）にも示され、以下に説明される。図１に示された実施形態に示されるように、動的ルーティングゲートウェイ（ＤＲＧ）１２２は、顧客ＶＣＮ１０４に追加されてもよく、またはそれに関連付けられてもよい。ＤＲＧ１２２は、顧客ＶＣＮ１０４と別のエンドポイントとの間のプライベートネットワークトラフィック通信を行うための経路を提供する。別のエンドポイントは、顧客オンプレミスネットワーク１１６、ＣＳＰＩ１０１の異なる地域内のＶＣＮ１０８、またはＣＳＰＩ１０１によってホストされていない他のリモートクラウドネットワーク１１８であってもよい。顧客オンプレミスネットワーク１１６は、顧客のリソースを用いて構築された顧客ネットワークまたは顧客データセンタであってもよい。顧客オンプレミスネットワーク１１６へのアクセスは、一般的に厳しく制限される。顧客オンプレミスネットワーク１１６と、ＣＳＰＩ１０１によってクラウドに展開またはホストされる１つ以上のＶＣＮ１０４との両方を有する顧客の場合、顧客は、オンプレミスネットワーク１１６およびクラウドベースのＶＣＮ１０４が互いに通信できることを望む場合がある。これによって、顧客は、ＣＳＰＩ１０１によってホストされている顧客のＶＣＮ１０４とオンプレミスネットワーク１１６とを含む拡張ハイブリッド環境を構築することができる。ＤＲＧ１２２は、このような通信を可能にする。このような通信を可能にするために、通信チャネル１２４が設定される。この場合、通信チャネルの一方のエンドポイントは、顧客オンプレミスネットワーク１１６にあり、他方のエンドポイントは、ＣＳＰＩ１０１にあり、顧客ＶＣＮ１０４に接続されている。通信チャネル１２４は、インターネットなどのパブリック通信ネットワーク、またはプライベート通信ネットワークを経由することができる。インターネットなどのパブリック通信ネットワーク上のＩＰｓｅｃ ＶＰＮ技術、パブリックネットワークの代わりにプライベートネットワークを使用するオラクル（登録商標）のFastConnect技術などの様々な異なる通信プロトコルを使用することができる。通信チャネル１２４の１つのエンドポイントを形成する顧客オンプレミスネットワーク１１６内の装置または機器は、図１に示されたＣＰＥ１２６などの顧客構内機器（ＣＰＥ）と呼ばれる。ＣＳＰＩ１０１側のエンドポイントは、ＤＲＧ１２２を実行するホストマシンであってもよい。

【0062】

特定の実施形態において、リモートピアリング接続（ＲＰＣ）をＤＲＧに追加することができる。これによって、顧客は、１つのＶＣＮを別の地域内の別のＶＣＮとピアリングすることができる。このようなＲＰＣを使用して、顧客ＶＣＮ１０４は、ＤＲＧ１２２を使用して、別の地域内のＶＣＮ１０８に接続することができる。また、ＤＲＧ１２２は、ＣＳＰＩ１０１によってホストされていない他のリモートクラウドネットワーク１１８、例えば、マイクロソフト（登録商標）Azureクラウド、アマゾン（登録商標）ＡＷＳクラウドと通信するために使用されてもよい。

【0063】

図１に示すように、顧客ＶＣＮ１０４上の計算インスタンスがインターネットなどのパブリックネットワークを介してアクセス可能なパブリックエンドポイント１１４と通信することを可能にするように、顧客ＶＣＮ１０４にインターネットゲートウェイ（ＩＧＷ）１２０を構成することができる。ＩＧＷ１１２０は、ＶＣＮをインターネットなどのパブリックネットワークに接続するためのゲートウェイである。ＩＧＷ１２０は、ＶＣＮ１０４などのＶＣＮ内のパブリックサブネット（パブリックサブネット内のリソースは、パブリックオーバーレイＩＰアドレスを有する）がインターネットなどのパブリックネットワーク１１４上のパブリックエンドポイント１１２に直接アクセスすることを可能にする。ＩＧＷ１２０を使用して、ＶＣＮ１０４内のサブネットからまたはインターネットからの接続を開始することができる。

【0064】

顧客ＶＣＮ１０４にネットワークアドレス変換（ＮＡＴ）ゲートウェイ１２８を構成することができる。ＮＡＴゲートウェイ１２８は、顧客ＶＣＮ内の専用のパブリックオーバーレイＩＰアドレスを有しないクラウドリソースを、直接着信インターネット接続（例えば、Ｌ４－Ｌ７接続）に曝すことなくインターネットにアクセスすることを可能にする。これによって、ＶＣＮ１０４のプライベートサブネット－１などのＶＣＮ内のプライベートサブネットがインターネット上のパブリックエンドポイントにプライベートアクセスすることを可能にする。ＮＡＴゲートウェイにおいて、プライベートサブネットからパブリックインターネットに接続を開始することができるが、インターネットからプライベートサブネットに接続を開始することができない。

【0065】

特定の実施形態において、顧客ＶＣＮ１０４にサービスゲートウェイ（ＳＧＷ）１２６を構成することができる。ＳＧＷ１２６は、ＶＣＮ１０４とサービスネットワーク１１０にサポートされているサービスエンドポイントとの間のプライベートネットワークトラフィックの経路を提供する。特定の実施形態において、サービスネットワーク１１０は、ＣＳＰによって提供されてもよく、様々なサービスを提供することができる。このようなサービスネットワークの例は、顧客が使用できる様々なサービスを提供するオラクル（登録商標）サービスネットワークである。例えば、顧客ＶＣＮ１０４のプライベートサブネット内の計算インスタンス（例えば、データベースシステム）は、パブリックＩＰアドレスまたはインターネットへのアクセスを必要とすることなく、サービスエンドポイント（例えば、オブジェクト記憶装置）にデータをバックアップすることができる。いくつかの実施形態において、ＶＣＮは、１つのみのＳＧＷを有することができ、ＶＣＮ内のサブネットのみから接続を開始することができ、サービスネットワーク１１０から接続を開始することができない。ＶＣＮを他のＶＣＮにピアリングする場合、他のＶＣＮ内のリソースは、通常ＳＧＷにアクセスすることができない。FastConnectまたはVPN ConnectでＶＣＮに接続されているオンプレミスネットワーク内のリソースも、そのＶＣＮに構成されたサービスゲートウェイを使用することができる。

【0066】

いくつかの実装形態において、ＳＧＷ１２６は、サービスクラスレスドメイン間ルーティング（ＣＩＤＲ）ラベルを使用する。ＣＩＤＲラベルは、関心のあるサービスまたはサービスのグループに対する全ての地域公開ＩＰアドレス範囲を表す文字列である。顧客は、ＳＧＷおよび関連するルーティングルールを設定する際に、サービスＣＩＤＲラベルを使用してサービスへのトラフィックを制御する。顧客は、サービスのパブリックＩＰアドレスが将来に変化する場合、セキュリティルールを調整する必要なく、セキュリティルールを設定するときにオプションとしてサービスＣＩＤＲラベルを使用することができる。

【0067】

ローカルピアリングゲートウェイ（ＬＰＧ）１３２は、顧客ＶＣＮ１０４に追加可能なゲートウェイであり、ＶＣＮ１０４が同じ地域内の別のＶＣＮとピアリングすることを可能にするものである。ピアリングとは、トラフィックがインターネットなどのパブリックネットワークを経由することなく、または顧客オンプレミスネットワーク１１６を通してトラフィックをルーティングすることなく、ＶＣＮがプライベートＩＰアドレスを使用して通信することを意味する。好ましい実施形態において、ＶＣＮは、確立した各ピアリングに対して個別のＬＰＧを有する。ローカルピアリングまたはＶＣＮピアリングは、異なるアプリケーション間またはインフラストラクチャ管理機能間のネットワーク接続を確立するために使用される一般的な慣行である。

【0068】

サービスネットワーク１１０のサービスのプロバイダなどのサービスプロバイダは、異なるアクセスモデルを使用してサービスへのアクセスを提供することができる。パブリックアクセスモデルによれば、サービスは、インターネットなどのパブリックネットワークを介して顧客ＶＣＮ内の計算インスタンスによって公的にアクセス可能なパブリックエンドポイントとして公開されてもよく、またはＳＧＷ１２６を介してプライベートにアクセスされてもよい。特定のプライベートアクセスモデルによれば、サービスは、顧客ＶＣＮ内のプライベートサブネット内のプライベートＩＰエンドポイントとしてアクセスされてもよい。これは、プライベートエンドポイント（ＰＥ）アクセスと呼ばれ、サービスプロバイダがそのサービスを顧客のプライベートネットワーク内のインスタンスとして公開することを可能にする。プライベートエンドポイントリソースは、顧客ＶＣＮ内のサービスを表す。各ＰＥは、顧客が顧客ＶＣＮ内のサブネットから選択したＶＮＩＣ（ＰＥ－ＶＮＩＣと呼ばれ、１つまたは複数のプライベートＩＰを持つ）として現れる。従って、ＰＥは、ＶＮＩＣを使用して顧客のプライベートＶＣＮサブネット内でサービスを提供する方法を提供する。エンドポイントがＶＮＩＣとして公開されるため、ＰＥ ＶＮＩＣは、ＶＮＩＣに関連する全ての機能、例えば、ルーティングルールおよびセキュリティリストなどを利用することができる。

【0069】

サービスプロバイダは、サービスを登録することによって、ＰＥを介したアクセスを可能にする。プロバイダは、顧客テナントへのサービスの表示を規制するポリシーをサービスに関連付けることができる。プロバイダは、特にマルチテナントサービスの場合、単一の仮想ＩＰアドレス（ＶＩＰ）の下に複数のサービスを登録することができる。（複数のＶＣＮにおいて）同じサービスを表すプライベートエンドポイントが複数存在する場合もある。

【0070】

その後、プライベートサブネット内の計算インスタンスは、ＰＥ ＶＮＩＣのプライベートＩＰアドレスまたはサービスＤＮＳ名を用いて、サービスにアクセスすることができる。顧客ＶＣＮ内の計算インスタンスは、顧客ＶＣＮ内のＰＥのプライベートＩＰアドレスにトラフィックを送信することによって、サービスにアクセスすることができる。プライベートアクセスゲートウェイ（ＰＡＧＷ）１３０は、顧客サブネットプライベートエンドポイントから／への全てのトラフィックの受信ポイント／送信ポイントとして機能するサービスプロバイダＶＣＮ（例えば、サービスネットワーク１１０内のＶＣＮ）に接続できるゲートウェイリソースである。ＰＡＧＷ１３０によって、プロバイダは、内部ＩＰアドレスリソースを利用することなく、ＰＥ接続の数を拡張することができる。プロバイダは、単一のＶＣＮに登録された任意の数のサービスに対して１つのＰＡＧＷを設定するだけでよい。プロバイダは、１人以上の顧客の複数のＶＣＮにおいて、サービスをプライバシーエンドポイントとして示すことができる。顧客の観点から、ＰＥ ＶＮＩＣは、顧客のインスタンスに接続されているのではなく、顧客が対話したいサービスに接続されているように見える。プライベートエンドポイントに向けられたトラフィックは、ＰＡＧＷ１３０を介してサービスにルーティングされる。これらは、顧客対サービスプライベート接続（Ｃ２Ｓ接続）と呼ばれる。

【0071】

また、ＰＥ概念を用いて、トラフィックがFastConnect/IPsecリンクおよび顧客ＶＣＮ内のプライベートエンドポイントを通って流れることを可能にすることで、サービスのプライベートアクセスを顧客オンプレミスネットワークおよびデータセンタに拡張することもできる。また、トラフィックがＬＰＧ１３２および顧客ＶＣＮ内のＰＥ間を通って流れることを可能にすることで、サービスのプライベートアクセスを顧客ピアリングＶＣＮに拡張することもできる。

【0072】

顧客は、サブネットレベルでＶＣＮのルーティングを制御することができるため、ＶＣＮ１０４などの顧客ＶＣＮにおいて各ゲートウェイを使用するサブネットを指定することができる。ＶＣＮのルートテーブルを用いて、特定のゲートウェイを介してトラフィックをＶＣＮの外部にルーティングできるか否かを判断することができる。例えば、特定の事例において、顧客ＶＣＮ１０４内のパブリックサブネットのルートテーブルは、ＩＧＷ１２０を介して非ローカルトラフィックを送信することができる。同じ顧客ＶＣＮ１０４内のプライベートサブネットのルートテーブルは、ＳＧＷ１２６を介してＣＳＰサービスへのトラフィックを送信することができる。残りの全てのトラフィックは、ＮＡＴゲートウェイ１２８を介して送信されてもよい。ルートテーブルは、ＶＣＮから出るトラフィックのみを制御する。

【0073】

ＶＣＮに関連するセキュリティリストは、インバウンド接続およびゲートウェイを介してＶＣＮに入来するトラフィックを制御するために使用される。サブネット内の全てのリソースは、同じミュートテーブルおよびセキュリティリストを使用する。セキュリティリストは、ＶＣＮのサブネット内のインスタンスに出入りする特定の種類のトラフィックを制御するために使用されてもよい。セキュリティリストルールは、受信（インバウンド）ルールと、送信（アウトバウンド）ルールとを含んでもよい。例えば、受信ルールは、許可されたソースアドレス範囲を指定することができ、送信ルールは、許可された宛先アドレス範囲を指定することができる。セキュリティルールは、特定のプロトコル（例えば、ＴＣＰ、ＩＣＭＰ）、特定のポート（例えば、ＳＳＨの場合ポート２２、ウィンドウズ（登録商標）ＲＤＰの場合ポート３３８９）などを指定することができる。特定の実装形態において、インスタンスのオペレーティングシステムは、セキュリティリストルールと一致する独自のファイアウォールルールを実施することができる。ルールは、ステートフル（例えば、接続が追跡され、応答トラフィックに対する明示的なセキュリティのリストルールなしで応答が自動的に許可される）またはステートレスであってもよい。

【0074】

顧客ＶＣＮ（すなわち、ＶＣＮ１０４上に展開されたリソースまたは計算インスタンス）からのアクセスは、パブリックアクセス、プライベートアクセス、または専用アクセスとして分類されることができる。パブリックアクセスは、パブリックＩＰアドレスまたはＮＡＴを用いてパブリックエンドポイントにアクセスするためのアクセスモデルを指す。プライベートアクセスは、プライベートＩＰアドレス（例えば、プライベートサブネット内のリソース）を持つＶＣＮ１０４内の顧客ワークロードが、インターネットなどのパブリックネットワークを経由することなく、サービスにアクセスすることを可能にする。特定の実施形態において、ＣＳＰＩ１０１は、プライベートＩＰアドレスを持つ顧客ＶＣＮワークロードが、サービスゲートウェイを使用して、サービスのパブリックサービスエンドポイントにアクセスすることを可能にする。したがって、サービスゲートウェイは、顧客ＶＣＮと顧客プライベートネットワークの外部に存在するサービスのパブリックエンドポイントとの間に仮想リンクを確立することによって、プライベートアクセスモデルを提供する。

【0075】

さらに、ＣＳＰＩは、FastConnectパブリックピアリングなどの技術を使用する専用パブリックアクセスを提供することができる。この場合、顧客オンプレミスインスタンスは、インターネットなどのパブリックネットワークを経由することなく、FastConnect接続を用いて顧客ＶＣＮ内の１つ以上のサービスにアクセスすることができる。また、ＣＳＰＩは、FastConnectプライベートピアリングを使用する専用プライベートアクセスを提供することもできる。この場合、プライベートＩＰアドレスを持つ顧客オンプレミスインスタンスは、FastConnect接続を用いて顧客ＶＣＮワークロードにアクセスすることができる。FastConnectは、パブリックインターネットを用いて顧客オンプレミスネットワークをＣＳＰＩおよびそのサービスに接続する代わりに使用されるネットワーク接続である。FastConnectは、インターネットベースの接続と比較して、より高い帯域幅オプションと信頼性の高い一貫したネットワーキング体験を持つ専用のプライベート接続を、簡単、柔軟且つ経済的に作成する方法を提供する。

【0076】

図１および上記の添付の説明は、例示的な仮想ネットワークにおける様々な仮想化要素を説明する。上述したように、仮想ネットワークは、基礎となる物理ネットワークまたは基板ネットワーク上に構築される。図２は、特定の実施形態に従って、仮想ネットワークの基盤を提供するＣＳＰＩ２００内の物理ネットワーク内の物理要素を示す簡略化アーキテクチャ図である。図示のように、ＣＳＰＩ２００は、クラウドサービスプロバイダ（ＣＳＰ）によって提供された要素およびリソース（例えば、計算リソース、メモリリソース、およびネットワーキングリソース）を含む分散環境を提供する。これらの要素およびリソースは、加入している顧客、すなわち、ＣＳＰによって提供された１つ以上のサービスに加入している顧客にクラウドサービス（例えば、ＩａａＳサービス）を提供するために使用される。顧客が加入しているサービスに基づいて、ＣＳＰＩ２００は、一部のリソース（例えば、計算リソース、メモリリソース、およびネットワーキングリソース）を顧客に提供する。その後、顧客は、ＣＳＰＩ２００によって提供された物理的な計算リソース、メモリリソース、およびネットワーキングリソースを使用して、独自のクラウドベースの（すなわち、ＣＳＰＩホスト型）カスタマイズ可能なプライベート仮想ネットワークを構築することができる。前述したように、これらの顧客ネットワークは、仮想クラウドネットワーク（ＶＣＮ）と呼ばれる。顧客は、これらの顧客ＶＣＮに、計算インスタンスなどの１つ以上の顧客リソースを展開することができる。計算インスタンスは、仮想マシン、ベアメタルインスタンスなどであってもよい。ＣＳＰＩ２００は、顧客が高可用性のホスト環境において広範なアプリケーションおよびサービスを構築および実行することを可能にする、インフラストラクチャおよび一連の補完的なクラウドサービスを提供する。

【0077】

図２に示す例示的な実施形態において、ＣＳＰＩ２００の物理要素は、１つ以上の物理ホストマシンまたは物理サーバ（例えば、２０２、２０６、２０８）、ネットワーク仮想化装置（ＮＶＤ）（例えば、２１０、２１２）、トップオブラック（ＴＯＲ）スイッチ（例えば、２１４、２１６）、物理ネットワーク（例えば、２１８）、および物理ネットワーク２１８内のスイッチを含む。物理ホストマシンまたはサーバは、ＶＣＮの１つ以上のサブネットに参加している様々な計算インスタンスをホストし、実行することができる。計算インスタンスは、仮想マシンインスタンスおよびベアメタルインスタンスを含んでもよい。例えば、図１に示された様々な計算インスタンスは、図２に示された物理的ホストマシンによってホストされてもよい。ＶＣＮ内の仮想マシン計算インスタンスは、１つのホストマシンによって実行されてもよく、または複数の異なるホストマシンによって実行されてもよい。また、物理ホストマシンは、仮想ホストマシン、コンテナベースのホストまたは機能などをホストすることができる。図１に示されたＶＩＣおよびＶＣＮ ＶＲは、図２に示されたＦＴＶＤによって実行されてもよい。図１に示されたゲートウェイは、図２に示されたホストマシンおよび／またはＮＶＤによって実行されてもよい。

【0078】

ホストマシンまたはサーバは、ホストマシン上で仮想化環境を作成するおよび可能にするハイパーバイザ（仮想マシンモニタまたはＶＭＭとも呼ばれる）を実行することができる。仮想化または仮想化環境は、クラウドベースコンピューティングを容易にする。１つ以上の計算インスタンスは、ホストマシン上のハイパーバイザによって、ホストマシン上で作成され、実行され、管理されてもよい。ホストマシン上のハイパーバイザは、ホストマシンの物理的な計算リソース（例えば、計算リソース、メモリリソース、およびネットワーキングリソース）をホストマシン上で実行される様々な計算インスタンス間で共有させることができる。

【0079】

例えば、図２に示すように、ホストマシン２０２および２０８は、ハイパーバイザ２６０および２６６をそれぞれ実行する。これらのハイパーバイザは、ソフトウェア、ファームウエア、ハードウェア、またはそれらの組み合わせを使用して実装されてもよい。典型的には、ハイパーバイザは、ホストマシンのオペレーティングシステム（ＯＳ）に常駐するプロセスまたはソフトウェア層であり、ＯＳは、ホストマシンのハードウェアプロセッサ上で実行される。ハイパーバイザは、ホストマシンの物理的な計算リソース（例えば、プロセッサ／コア、メモリリソース、ネットワーキングリソースなどの処理リソース）を、ホストマシンによって実行される様々な仮想マシン計算インスタンスの間で共有させる仮想化環境を提供する。例えば、図２において、ハイパーバイザ２６０は、ホストマシン２０２のＯＳに常駐し、ホストマシン２０２の計算リソース（例えば、処理リソース、メモリリソース、およびネットワーキングリソース）を、ホストマシン２０２によって実行されるコンピューティングインスタンス（例えば、仮想マシン）間で共有させることができる。仮想マシンは、独自のＯＳ（ゲストＯＳと呼ばれる）を持つことができる。このゲストＯＳは、ホストマシンのＯＳと同じであってもよく、異なってもよい。ホストマシンによって実行される仮想マシンのＯＳは、同じホストマシンによって実行される他の仮想マシンのＯＳと同じであってもよく、異なってもよい。したがって、ハイパーバイザは、ホストマシンの同じ計算リソースを共有させながら、複数のＯＳを並行して実行することができる。図２に示されたホストマシンは、同じ種類のハイパーバイザを有してもよく、異なる種類のハイパーバイザを有してもよい。

【0080】

計算インスタンスは、仮想マシンインスタンスまたはベアメタルインスタンスであってもよい。図２において、ホストマシン２０２上の計算インスタンス２６８およびホストマシン２０８上の計算インスタンス２７４は、仮想マシンインスタンスの一例である。ホストマシン２０６は、顧客に提供されるベアメタルインスタンスの一例である。

【0081】

特定の例において、ホストマシンの全体は、単一の顧客に提供されてもよく、そのホストマシンによってホストされている１つ以上の計算インスタンス（仮想マシンまたはベアメタルインスタンスのいずれか）は、全て同じ顧客に属してもよい。他の例において、ホストマシンは、複数の顧客（すなわち、複数のテナント）間で共有されてもよい。このようなマルチテナントシナリオにおいて、ホストマシンは、異なる顧客に属する仮想マシン計算インスタンスをホストすることができる。これらの計算インスタンスは、異なる顧客の異なるＶＣＮのメンバであってもよい。特定の実施形態において、ベアメタル計算インスタンスは、ハイパーバイザを設けていないベアメタルサーバによってホストされている。ベアメタル計算インスタンスが提供される場合、単一の顧客またはテナントは、ベアメタルインスタンスをホストするホストマシンの物理ＣＰＵ、メモリ、およびネットワークインターフェイスの制御を維持し、ホストマシンは、他の顧客またはテナントに共有されない。

【0082】

前述したように、ＶＣＮの一部である各計算インスタンスは、計算インスタンスがＶＣＮのサブネットのメンバになることを可能にするＶＮＩＣに関連付けられる。計算インスタンスに関連付けられたＶＮＩＣは、計算インスタンスとの間のパケットまたはフレームの通信を容易にする。ＶＮＩＣは、計算インスタンスが作成されるときに当該計算インスタンスに関連付けられる。特定の実施形態において、ホストマシンによって実行される計算インスタンスについて、その計算インスタンスに関連付けられたＶＮＩＣは、ホストマシンに接続されたＮＶＤによって実行される。例えば、図２において、ホストマシン２０２は、ＶＮＩＣ２７６に関連付けられた仮想マシン計算インスタンス２６８を実行し、ＶＮＩＣ２７６は、ホストマシン２０２に接続されたＮＶＤ２１０によって実行される。別の例として、ホストマシン２０６によってホストされているベアメタルインスタンス２７２は、ホストマシン２０６に接続されたＮＶＤ２１２によって実行されるＶＮＩＣ２８０に関連付けられる。さらに別の例として、ＶＮＩＣ２８４は、ホストマシン２０８によって実行される計算インスタンス２７４に関連付けられ、ＶＮＩＣ２８４は、ホストマシン２０８に接続されているＮＶＤ２１２によって実行される。

【0083】

ホストマシンによってホストされている計算インスタンスについて、そのホストマシンに接続されたＮＶＤは、計算インスタンスがメンバであるＶＣＮに対応するＶＣＮ ＶＲを実行する。例えば、図２に示された実施形態において、ＮＶＤ２１０は、計算インスタンス２６８がメンバであるＶＣＮに対応するＶＣＮ ＶＲ２７７を実行する。また、ＮＶＤ２１２は、ホストマシン２０６および２０８によってホストされている計算インスタンスに対応するＶＣＮに対応する１つ以上のＶＣＮ ＶＲ２８３を実行することができる。

【0084】

ホストマシンは、当該ホストマシンを他の装置に接続するための１つ以上のネットワークインターフェイスカード（ＮＩＣ）を含むことができる。ホストマシン上のＮＩＣは、ホストマシンを別の装置に通信可能に接続するための１つ以上のポート（またはインターフェイス）を提供することができる。例えば、ホストマシンおよびＮＶＤに設けられた１つ以上のポート（またはインターフェイス）を用いて、当該ホストマシンを当該ＮＶＤに接続することができる。また、ホストマシンを他のホストマシンなどの他の装置に接続することもできる。

【0085】

例えば、図２において、ホストマシン２０２は、ホストマシン２０２のＮＩＣ２３２によって提供されるポート２３４とＮＶＤ２１０のポート２３６との間に延在するリンク２２０を使用してＮＶＤ２１０に接続されている。ホストマシン２０６は、ホストマシン２０６のＮＩＣ２４４によって提供されるポート２４６とＮＶＤ２１２のポート２４８との間に延在するリンク２２４を使用してＮＶＤ２１２に接続されている。ホストマシン２０８は、ホストマシン２０８のＮＩＣ２５０によって提供されるポート２５２とＮＶＤ２１２のポート２５４との間に延在するリンク２２６を使用してＮＶＤ２１２に接続されている。

【0086】

同様に、ＮＶＤは、通信リンクを介して、（スイッチファブリックとも呼ばれる）物理ネットワーク２１８に接続されているトップオブラック（ＴＯＲ）スイッチに接続されている。特定の実施形態において、ホストマシンとＮＶＤとの間のリンクおよびＮＶＤとＴＯＲスイッチとの間のリンクは、イーサネット（登録商標）リンクである。例えば、図２において、ＮＶＤ２１０および２１２は、リンク２２８および２３０を介して、ＴＯＲスイッチ２１４および２１６にそれぞれ接続される。特定の実施形態において、リンク２２０、２２４、２２６、２２８、および２３０は、イーサネット（登録商標）リンクである。ＴＯＲに接続されているホストマシンおよびＮＶＤの集合体は、ラックと呼ばれることがある。

【0087】

物理ネットワーク２１８は、ＴＯＲスイッチの相互通信を可能にする通信ファブリックを提供する。物理ネットワーク２１８は、多層ネットワークであってもよい。特定の実装形態において、物理ネットワーク２１８は、スイッチの多層Ｃｌｏｓネットワークであり、ＴＯＲスイッチ２１４および２１６は、多層およびマルチノード物理スイッチングネットワーク２１８のリーフレベルノードを表す。２層ネットワーク、３層ネットワーク、４層ネットワーク、５層ネットワーク、および一般に「ｎ」層ネットワークを含むがこれらに限定されない異なるＣｌｏｓネットワーク構成は、可能である。ＣＩｏｓネットワークの一例は、図５に示され、以下に説明される。

【0088】

ホストマシンとＮ個のＶＤとの間には、１対１構成、多対１構成、および１対多構成などの様々な異なる接続構成が可能である。１対１構成の実装例において、各ホストマシンは、それ自体の別個のＮＶＤに接続されている。例えば、図２において、ホストマシン２０２は、ホストマシン２０２のＮＩＣ２３２を介してＮＶＤ２１０に接続されている。多対１の構成において、複数のホストマシンは、１つのＮＶＤに接続されている。例えば、図２において、ホストマシン２０６および２０８は、それぞれＮＩＣ２４４および２５０を介して同じＮＶＤ２１２に接続されている。

【0089】

１対多の構成において、１つのホストマシンは、複数のＮＶＤに接続されている。図３は、ホストマシンが複数のＮＶＤに接続されているＣＳＰＩ３００内の一例を示す。図３に示すように、ホストマシン３０２は、複数のポート３０６および３０Ｓを含むネットワークインターフェイスカード（ＮＩＣ）３０４を備える。ホストマシン３００は、ポート３０６およびリンク３２０を介して第１のＮＶＤ３１０に接続され、ポート３０８およびリンク３２２を介して第２のＮＶＤ３１２に接続されている。ポート３０６および３０８は、イーサネット（登録商標）ポートであってもよく、ホストマシン３０２とＮＶＤ３１０および３１２との間のリンク３２０および３２２は、イーサネット（登録商標）リンクであってもよい。ＮＶＤ３１０は、第１のＴＯＲスイッチ３１４に接続され、ＮＶＤ３１２は、第２のＴＯＲスイッチ３１６に接続されている。ＮＶＤ３１０および３１２とＴＯＲスイッチ３１４および３１６との間のリンクは、イーサネット（登録商標）リンクであってもよい。ＴＯＲスイッチ３１４および３１６は、多層物理ネットワーク３１８内の層－０スイッチング装置を表す。

【0090】

図３に示す構成は、物理スイッチネットワーク３１８からホストマシン３０２への２つの別々の物理ネットワーク経路、すなわち、ＴＯＲスイッチ３１４からＮＶＤ３１０を経由してホストマシン３０２への第１の経路と、ＴＯＲスイッチ３１６からＮＶＤ３１２を経由してホストマシン３０２への第２の経路とを提供する。別々の経路は、ホストマシン３０２の強化された可用性（高可用性と呼ばれる）を提供する。経路の一方に問題がある（例えば、経路の一方のリンクが故障する）場合または装置に問題がある（例えば、特定のＮＶＤが機能していない）場合、ホストマシン３０２との間の通信に他方の経路を使用することができる。

【0091】

図３に示された構成において、ホストマシンは、ホストマシンのＮＩＣによって提供された２つの異なるポートを用いて２つの異なるＮＶＤに接続されている。他の実施形態において、ホストマシンは、ホストマシンと複数のＮＶＤとの接続を可能にする複数のＮＩＣを含んでもよい。

【0092】

再び図２を参照して、ＮＶＤは、１つ以上のネットワーク仮想化機能および／または記憶仮想化機能を実行する物理装置または要素である。ＮＶＤは、１つ以上の処理ユニット（例えば、ＣＰＵ、ネットワーク処理ユニット（ＮＰＵ）、ＦＰＧＡ、パケット処理パイプライン）、キャッシュを含むメモリ、およびポートを有する任意の装置であってもよい。様々な仮想化機能は、ＮＶＤの１つ以上の処理ユニットによって実行されるソフトウェア／ファームウエアによって実行されてもよい。

【0093】

ＮＶＤは、様々な異なる形で実装されてもよい。例えば、特定の実施形態において、ＮＶＤは、内蔵プロセッサを搭載したスマートＮＩＣまたはインテリジェントＮＩＣと呼ばれるインターフェイスカードとして実装される。スマートＮＩＣは、ホストマシン上のＮＩＣとは別個の装置である。図２において、ＮＶＤ２１０は、ホストマシン２０２に接続されているスマートＮＩＣとして実装されてもよく、ＮＶＤ２１２は、ホストマシン２０６および２０８に接続されているスマートＮＩＣとして実装されてもよい。

【0094】

しかしながら、スマートＮＩＣは、ＮＶＤ実装の一例にすぎない。様々な他の実装が可能である。例えば、いくつかの他の実装例において、ＮＶＤまたはＮＶＤによって実行される１つ以上の機能は、ＣＳＰＩ２００の１つ以上のホストマシン、１つ以上のＴＯＲスイッチ、および他の要素に組み込まれてもよく、またはそれらによって実行されてもよい。例えば、ＮＶＤは、ホストマシンに統合されてもよい。この場合、ＮＶＤによって実行される機能は、ホストマシンによって実行される。別の例として、ＮＶＤは、ＴＯＲスイッチの一部であってもよく、またはＴＯＲスイッチは、ＴＯＲスイッチがパブリッククラウドに使用される様々な複雑なパケット変換を実行することを可能にするＮＶＤによって実行される機能を実行するように構成されてもよい。ＮＶＤの機能を実行するＴＯＲは、スマートＴＯＲと呼ばれることがある。ベアメタル（ＢＭ）インスタンスではなく仮想マシン（ＶＭ）インスタンスを顧客に提供するさらに他の実装形態において、ＮＶＤによって提供される機能は、ホストマシンのハイパーバイザの内部に実装されてもよい。いくつかの他の実装形態において、ＮＶＤの機能の一部は、一組のホストマシン上で動作する集中型サービスにオフロードされてもよい。

【0095】

図２に示すように、スマートＮＩＣとして実装される場合などの特定の実施形態において、ＮＶＤは、当該ＮＶＤを１つ以上のホストマシンおよび１つ以上のＴＯＲスイッチに接続することを可能にする複数の物理ポートを備えてもよい。ＮＶＤ上のポートは、ホスト向きポート（「サウスポート」（south port）とも呼ばれる）またはネットワーク向きもしくはＴＯＲ向きポート（「ノースポート」（north port）とも呼ばれる）に分類することができる。ＮＶＤのホスト向きポートは、ＮＶＤをホストマシンに接続するために使用されるポートである。図２においてホスト向きポートの例は、ＮＶＤ２１０のポート２３６、およびＮＶＤ２１２のポート２４８および２５４を含む。ＮＶＤのネットワーク向きポートは、ＮＶＤをＴＯＲスイッチに接続するために使用されるポートである。図２のネットワーク向きポートの例は、ＮＶＤ２１０のポート２５６、およびＮＶＤ２１２のポート２５８を含む。図２に示すように、ＮＶＤ２１０は、ＮＶＤ２１０のポート２５６からＴＯＲスイッチ２１４まで延びるリンク２２８を介してＴＯＲスイッチ２１４に接続されている。同様に、ＮＶＤ２１２は、ＮＶＤ２１２のポート２５８からＴＯＲスイッチ２１６まで延びるリンク２３０を介してＴＯＲスイッチ２１６に接続されている。

【0096】

ＮＶＤは、ホスト向きポートを介して、ホストマシンからパケットおよびフレーム（例えば、ホストマシンによってホストされている計算インスタンスによって生成されたパケットおよびフレーム）を受信し、必要なパケット処理を実行した後、ＮＶＤのネットワーク向きポートを介してパケットおよびフレームをＴＯＲスイッチに転送することができる。ＮＶＤは、ＮＶＤのネットワーク向きポートを介してＴＯＲスイッチからパケットおよびフレームを受信し、必要なパケット処理を実行した後、ＮＶＤのホスト向きポートを介してパケットおよびフレームをホストマシンに転送することができる。

【0097】

特定の実施形態において、ＮＶＤとＴＯＲスイッチとの間に複数のポートおよび関連するリンクを設けてもよい。これらのポートおよびリンクを集約することによって、複数のポートまたはリンクのリンクアグリゲータグループ（ＬＡＧと称される）を形成することができる。リンクの集約は、２つのエンドポイント間（例えば、ＮＶＤとＴＯＲスイッチとの間）の複数の物理リンクを単一の論理リンクとして扱うことを可能にする。所定のＬＡＧ内の全ての物理リンクは、同じ速度で全二重モードで動作することができる。ＬＡＧは、２つのエンドポイント間の接続の帯域幅および信頼性を高めるのに役立つ。ＬＡＧ内の物理リンクのうちの１つが故障した場合、トラフィックは、ＬＡＧ内の別の物理リンクに動的かつ透過的に再割り当てられる。集約された物理リンクは、個々のリンクよりも高い帯域幅を提供する。ＬＡＧに関連付けられた複数のポートは、単一の論理ポートとして扱われる。トラフィックをＬＡＧの複数の物理リンクに負荷分散することができる。２つのエンドポイント間に１つ以上のＬＡＧを構成することができる。２つのエンドポイントは、例えば、ＮＶＤとＴＯＲスイッチとの間にあってもよく、ホストマシンとＮＶＤとの間にであってもよい。

【0098】

ＮＶＤは、ネットワーク仮想化機能を実装または実行する。これらの機能は、ＮＶＤによって実行されるソフトウェア／ファームウエアによって実行される。ネットワーク仮想化機能の例は、限定されないが、パケットのカプセル化およびカプセル化解除機能、ＶＣＮネットワークを作成するための機能、ＶＣＮセキュリティリスト（ファイアウォール）機能などのネットワークポリシーを実装するための機能、ＶＣＮ内の計算インスタンスとの間のパケットのルーティングおよび転送を容易にするための機能などを含む。特定の実施形態において、パケットを受信すると、ＮＶＤは、パケットを処理し、パケットをどのように転送またはルーティングするかを判断するパケット処理パイプラインを実行するように構成されている。このパケット処理パイプラインの一部として、ＮＶＤは、ＶＣＮ内のシス（cis）に関連するＶＮＩＣの実行、ＶＣＮに関連する仮想ルータ（ＶＲ）の実行、仮想ネットワーク内の転送またはルーティングを容易にするためのパケットのカプセル化およびカプセル解除、特定のゲートウェイ（例えば、ローカルピアリングゲートウェイ）の実行、セキュリティリストの実装、ネットワークセキュリティグループ、ネットワークアドレス変換（ＮＡＴ）機能（例えば、ホスト毎にパブリックＩＰからプライベートＩＰへの変換）、スロットリング機能、および他の機能を提供する。

【0099】

いくつかの実施形態において、ＮＶＤにおけるパケット処理データ経路は、複数のパケットパイプラインを含んでもよい。各々のパケットパイプラインは、一連のパケット変換ステージから構成される。いくつかの実装形態において、パケットを受信すると、当該パケットは、解析され、単一のパイプラインに分類される。次いで、パケットは、破棄されるまたはＮＶＤのインターフェイスを介して送出されるまで、線形方式でステージ毎に処理される。これらのステージは、基本機能のパケット処理ビルディングブロック（例えば、ヘッダの検証、スロットルの実行、新しいレイヤ２ヘッダの挿入、Ｌ４ファイアウォールの実行、ＶＣＮカプセル化／カプセル解除）を提供し、その結果、既存のステージを組み立てることによって新しいパイプラインを構築することができ、新しいステージを作成して既存のパイプラインに挿入することによって新しい機能を追加することができる。

【0100】

ＮＶＤは、ＶＣＮの制御プレーンおよびデータプレーンに対応する制御プレーン機能およびデータプレーン機能の両方を実行することができる。ＶＣＮ制御プレーンの例は、図２１、２２、２３、および２４（参照番号２１１６、２２１６、２３１６、および２４１６参照）に示され、以下に説明される。ＶＣＮデータプレーンの例は、図２１、２２、２３、および２４（参照番号２１１８、２２１８、２３１８、および２４１８参照）に示され、以下に説明される。制御プレーン機能は、データをどのように転送するかを制御するためのネットワークの構成（例えば、ルートおよびルートテーブルの設定、ＶＮＩＣの構成）に使用される機能を含む。特定の実施形態において、全てのオーバーレイと基板とのマッピングを集中的に計算し、ＮＶＤおよび仮想ネットワークエッジ装置（例えば、ＤＲＧ、ＳＧＷ、ＩＧＷなどの様々なゲートウェイ）に公開するＶＣＮ制御プレーンが提供される。また、同じメカニズムを使用してファイアウォールルールを公開することができる。特定の実施形態において、ＮＶＤは、当該ＮＶＤに関連するマッピングのみを取得する。データプレーン機能は、制御プレーンを使用して設定された構成に基づいて、パケットの実際のルーティング／転送を行う機能を含む。ＶＣＮデータプレーンは、顧客のネットワークパケットが基幹ネットワークを通過する前に、当該ネットワークパケットをカプセル化することによって実装される。カプセル化／カプセル解除機能は、ＮＶＤに実装される。特定の実施形態において、ＮＶＤは、ホストマシンに出入りする全てのネットワークパケットを傍受し、ネットワーク仮想化機能を実行するように構成されている。

【0101】

上述したように、ＮＶＤは、ＶＮＩＣおよびＶＣＮ ＶＲを含む様々な仮想化機能を実行する。ＮＶＤは、ＶＮＩＣに接続された１つ以上のホストマシンによってホストされている計算インスタンスに関連するＶＮＩＣを実行することができる。例えば、図２に示すように、ＮＶＤ２１０は、ＮＶＤ２１０に接続されたホストマシン２０２によってホストされている計算インスタンス２６８に関連するＶＮＩＣ２７６の機能を実行する。別の例として、ＮＶＤ２１２は、ホストマシン２０６によってホストされているベアメタル計算インスタンス２７２に関連するＶＮＩＣ２８０を実行し、ホストマシン２０８によってホストされている計算インスタンス２７４に関連するＶＮＩＣ２８４を実行する。ホストマシンは、異なる顧客に属する異なるＶＣＮに属する計算インスタンスをホストすることができる。ホストマシンに接続されたＮＶＤは、計算インスタンスに対応するＶＮＩＣを実行する（すなわち、ＶＮＩＣに関連する機能を実行する）ことができる。

【0102】

また、ＮＶＤは、計算インスタンスのＶＣＮに対応するＶＣＮ仮想ルータを実行する。例えば、図２に示された実施形態において、ＮＶＤ２１０は、計算インスタンス２６８が属するＶＣＮに対応するＶＣＮ ＶＲ２７７を実行する。ＮＶＤ２１２は、ホストマシン２０６および２０８にホストされている計算インスタンスが属する１つ以上のＶＣＮに対応する１つ以上のＶＣＮ ＶＲ２８３を実行する。特定の実施形態において、ＶＣＮに対応するＶＣＮ ＶＲは、そのＶＣＮに属する少なくとも１つの計算インスタンスをホストするホストマシンに接続された全てのＮＶＤによって実行される。ホストマシンが異なるＶＣＮに属する計算インスタンスをホストする場合、そのホストマシンに接続されたＮＶＤは、異なるＶＣＮに対応するＶＣＮ ＶＲを実行することができる。

【0103】

ＶＮＩＣおよびＶＣＮ ＶＲに加えて、ＮＶＤは、様々なソフトウェア（例えば、デーモン）を実行し、ＮＶＤによって実行される様々なネットワーク仮想化機能を容易にする１つ以上のハードウェア要素を含むことができる。簡略化のために、これらの様々な要素は、図２に示す「パケット処理要素」としてグループ化される。例えば、ＮＶＤ２１０は、パケット処理要素２８６を含み、ＮＶＤ２１２は、パケット処理要素２８８を含む。例えば、ＮＶＤのパケット処理要素は、ＮＶＤのポートおよびハードワーキングインターフェイスと相互作用することによって、ＮＶＤを使用して受信され、通信される全てのパケットを監視し、ネットワーク情報を記憶するように構成されたパケットプロセッサを含んでもよい。ネットワーク情報は、例えば、ＮＶＤによって処理される異なるネットワークフローを特定するためのネットワークフロー情報および各フローの情報（例えば、各フローの統計情報）を含んでもよい。特定の実施形態において、ネットワークフロー情報は、ＶＮＩＣ単位で記憶されてもよい。別の例として、パケット処理要素は、ＮＶＤによって記憶された情報を１つ以上の異なる複製ターゲットストアに複製するように構成された複製エージェント（replication agent）を含むことができる。さらに別の例として、パケット処理要素は、ＮＶＤのロギング機能を実行するように構成されたロギングエージェント（logging agent）を含んでもよい。また、パケット処理要素は、ＮＶＤの性能および健全性を監視し、場合によっては、ＮＶＤに接続されている他の要素の状態および健全性を監視するためのソフトウェアを含んでもよい。

【0104】

図１は、ＶＣＮと、ＶＣＮ内のサブネットと、サブネット上に展開された計算インスタンスと、計算インスタンスに関連付けられたＶＮＩＣと、ＶＣＮのＶＲと、ＶＣＮのために構成された一組のゲートウェイとを含む例示的な仮想またはオーバーレイネットワークの要素を示す。図１に示されたオーバーレイ要素は、図２に示された物理的要素のうちの１つ以上によって実行またはホストされてもよい。例えば、ＶＣＮ内の計算インスタンスは、図２に示された１つ以上のホストマシンによって実行またはホストされてもよい。ホストマシンによってホストされている計算インスタンスの場合、その計算インスタンスに関連するＶＮＩＣは、典型的には、そのホストマシンに接続されたＮＶＤによって実行される（すなわち、ＶＮＩＣ機能は、そのホストマシンに接続されたＮＶＤによって提供される）。ＶＣＮのＶＣＮ ＶＲ機能は、そのＶＣＮの一部である計算インスタンスをホストまたは実行するホストマシンに接続されている全てのＮＶＤによって実行される。ＶＣＮに関連するゲートウェイは、１つ以上の異なる種類のＮＶＤによって実行されてもよい。例えば、いくつかのゲートウェイは、スマートＮＩＣによって実行されてもよく、他のゲートウェイは、１つ以上のホストマシンまたはＮＶＤの他の実装形態によって実行されてもよい。

【0105】

上述したように、顧客ＶＣＮ内の計算インスタンスは、様々な異なるエンドポイントと通信することができる。これらのエンドポイントは、ソース計算インスタンスと同じサブネットにあってもよく、異なるサブネット内であるがソース計算インスタンスと同じＶＣＮにあってもよく、またはソース計算インスタンスのＶＣＮ外部のエンドポイントを含んでもよい。これらの通信は、計算インスタンスに関連付けられたＶＮＩＣ、ＶＣＮ ＶＲ、およびＶＣＮに関連付けられたゲートウェイを用いて促進される。

【0106】

ＶＣＮ内の同じサブネット上の２つの計算インスタンス間の通信は、ソース計算インスタンスおよび宛先計算インスタンスに関連付けられたＶＮＩＣを用いて促進される。ソース計算インスタンスおよび宛先計算インスタンスは、同じホストマシンによってホストされてもよく、異なるホストマシンによってホストされてもよい。ソース計算インスタンスから発信されたパケットは、ソース計算インスタンスをホストするホストマシンから、そのホストマシンに接続されたＮＶＤに転送されてもよい。ＮＶＤにおいて、パケットは、パケット処理パイプラインを用いて処理され、このパイプラインは、ソース計算インスタンスに関連するＶＮＩＣの実行を含むことができる。パケットの宛先エンドポイントが同じサブネットにあるため、ソース計算インスタンスに関連付けられたＶＮＩＣの実行により、パケットは、宛先計算インスタンスに関連付けられたＶＮＩＣを実行するＮＶＤに転送され、ＮＶＤは、パケットを処理し、宛先計算インスタンスに転送する。ソース計算インスタンスおよび宛先計算インスタンスに関連するＶＮＩＣは、（例えば、ソース計算インスタンスと宛先計算インスタンスの両方が同じホストマシンによってホストされている場合）同じＮＶＤ上で実行されてもよく、または（例えば、ソース計算インスタンスおよび宛先計算インスタンスが異なるＮＶＤに接続された異なるホストマシンによってホストされている場合）異なるＮＶＤ上で実行されてもよい。ＶＮＩＣは、ＮＶＤによって記憶されたルーティング／転送テーブルを使用して、パケットのネクストホップを決定することができる。

【0107】

サブネット内の計算インスタンスから同じＶＣＮ内の異なるサブネット内のエンドポイントにパケットを通信する場合、ソース計算インスタンスから発信されたパケットは、ソース計算インスタンスをホストするホストマシンから、そのホストマシンに接続されたＮＶＤに通信される。ＮＶＤにおいて、パケットは、１つ以上のＶＮＩＣの実行を含むことができるパケット処理パイプラインおよびＶＣＮに関連するＶＲを用いて処理される。例えば、ＮＶＤは、パケット処理パイプラインの一部として、ソース計算インスタンスに関連するＶＮＩＣに対応する機能を実行または呼び出す（ＶＮＩＣを実行するとも呼ばれる）。ＶＮＩＣによって実行される機能は、パケット上のＶＬＡＮタグを調べることを含んでもよい。パケットの宛先がサブネットの外部にあるため、ＶＣＮ ＶＲ機能は、呼び出され、ＮＶＤによって実行される。その後、ＶＣＮ ＶＲは、パケットを、宛先計算インスタンスに関連付けられたＶＮＩＣを実行するＮＶＤにルーティングする。そして、宛先計算インスタンスに関連付けられたＶＮＩＣは、パケットを処理し、パケットを宛先計算インスタンスに転送する。ソース計算インスタンスおよび宛先計算インスタンスに関連するＶＮＩＣは、（例えば、ソース計算インスタンスと宛先計算インスタンスの両方が同じホストマシンによってホストされている場合）同じＮＶＤ上で実行されてもよく、（例えば、ソース計算インスタンスおよび宛先計算インスタンスが異なるＮＶＤに接続された異なるホストマシンによってホストされている場合）異なるＮＶＤ上で実行されてもよい。

【0108】

パケットの宛先がソース計算インスタンスのＶＣＮの外部にある場合、ソース計算インスタンスから発信されたパケットは、ソース計算インスタンスをホストするホストマシンから、そのホストマシンに接続されたＮＶＤに通信される。ＮＶＤは、ソース計算インスタンスに関連するＶＮＩＣを実行する。パケットの宛先エンドポイントがＶＣＮの外部にあるため、パケットは、そのＶＣＮのＶＣＮ ＶＲによって処理される。ＮＶＤは、ＶＣＮ ＶＲ機能を呼び出し、その結果、パケットは、ＶＣＮに関連付けられた適切なゲートウェイを実行するＮＶＤに転送される場合がある。例えば、宛先が顧客オンプレミスネットワーク内のエンドポイントである場合、パケットは、ＶＣＮ ＶＲによって、ＶＣＮのために構成されたＤＲＧゲートウェイを実行するＮＶＤに転送されてもよい。ＶＣＮ ＶＲは、ソース計算インスタンスに関連するＶＮＩＣを実行するＮＶＤと同じＮＶＤ上で実行されてもよく、異なるＮＶＤによって実行されてもよい。ゲートウェイは、スマートＮＩＣ、ホストマシン、または他のＮＶＤ実装であるＮＶＤによって実行されてもよい。次いで、パケットは、ゲートウェイによって処理され、意図した宛先エンドポイントへのパケットの通信を容易にするためのネクストホップに転送される。例えば、図２に示された実施形態において、計算インスタンス２６８から発信されたパケットは、（ＮＩＣ２３２を用いて）リンク２２０を介してホストマシン２０２からＮＶＤ２１０に通信されてもよい。ＮＶＤ２１０上のＶＮＩＣ２７６は、ソース計算インスタンス２６８に関連するＶＮＩＣであるため、呼び出される。ＶＮＩＣ２７６は、パケット内のカプセル化された情報を検査し、意図した宛先エンドポイントへのパケットの通信を容易にする目的でパケットを転送するためのネクストホップを決定し、決定したネクストホップにパケットを転送するように構成されている。

【0109】

ＶＣＮ上に展開された計算インスタンスは、様々な異なるエンドポイントと通信することができる。これらのエンドポイントは、ＣＳＰＩ２００によってホストされているエンドポイントと、ＣＳＰＩ２００外部のエンドポイントとを含んでもよい。ＣＳＰＩ２００によってホストされているエンドポイントは、（顧客ＶＣＮ、または顧客に属さないＶＣＮであり得る）同じＶＣＮまたは他のＶＣＮ内のインスタンスを含んでもよい。ＣＳＰＩ２００によってホストされているエンドポイント間の通信は、物理ネットワーク２１８を介して実行されてもよい。また、計算インスタンスは、ＣＳＰＩ２００によってホストされていないまたはＣＳＰＩ２００の外部にあるエンドポイントと通信することもできる。これらのエンドポイントの例は、顧客オンプレミスネットワークまたはデータセンタ内のエンドポイント、またはインターネットなどのパブリックネットワークを介してアクセス可能なパブリックエンドポイントを含む。ＣＳＰＩ２００外部のエンドポイントとの通信は、様々な通信プロトコルを用いて、パブリックネットワーク（例えば、インターネット）（図２に図示せず）またはプライベートネットワーク（図２に図示せず）を介して実行されてもよい。

【0110】

図２に示されたＣＳＰＩ２００のアーキテクチャは、単なる一例であり、限定することを意図していない。代替的な実施形態において、変形、代替、および修正が可能である。例えば、いくつかの実装形態において、ＣＳＰＩ２００は、図２に示されたものよりも多いまたは少ないシステムまたは要素を有してもよく、２つ以上のシステムを組み合わせてもよく、または異なるシステム構成または配置を有してもよい。図２に示されたシステム、サブシステム、および他の要素は、それぞれのシステムの１つ以上の処理ユニット（例えば、プロセッサ、コア）によって実行されるソフトウェア（例えば、コード、命令、プログラム）、ハードウェア、またはそれらの組み合わせで実装されてもよい。ソフトウェアは、非一時的な記憶媒体（例えば、メモリ装置）に記憶されてもよい。

【0111】

図４は、特定の実施形態に従って、マルチテナント機能をサポートするためのＩ／Ｏ仮想化を提供するためのホストマシンとＮＶＤとの間の接続を示す図である。図４に示すように、ホストマシン４０２は、仮想化環境を提供するハイパーバイザ４０４を実行する。ホストマシン４０２は、２つの仮想マシンインスタンス、すなわち、顧客／テナント＃１に属するＶＭ１ ４０６と、顧客／テナント＃２に属するＶＭ２ ４０８とを実行する。ホストマシン４０２は、リンク４１４を介してＮＶＤ４１２に接続されている物理ＮＩＣ４１０を含む。計算インスタンスの各々は、ＮＶＤ４１２によって実行されるＶＮＩＣに接続されている。図４の実施形態において、ＶＭ１ ４０６は、ＶＮＩＣ－ＶＭ１ ４２０に接続され、ＶＭ２ ４０８は、ＶＮＩＣ－ＶＭ２ ４２２に接続されている。

【0112】

図４に示すように、ＮＩＣ４１０は、２つの論理ＮＩＣ、すなわち、論理ＮＩＣ Ａ ４１６および論理ＮＩＣ Ｂ ４１８を含む。各仮想マシンは、それ自身の論理ＮＩＣに接続され、それ自身の論理ＮＩＣと共に動作するように構成される。例えば、ＶＭ１ ４０６は、論理ＮＩＣ Ａ ４１６に接続され、ＶＭ２ ４０８は、論理ＮＩＣ Ｂ ４１８に接続されている。ホストマシン４０２が複数のテナントによって共有されている１つの物理ＮＩＣ４１０のみからなるにもかかわらず、論理ＮＩＣにより、各テナントの仮想マシンは、自分自身のホストマシンおよびＮＩＣを所有しているとと信じている。

【0113】

特定の実施形態において、各論理ＮＩＣには、それ自身のＶＬＡＮ ＩＤが割り当てられる。したがって、テナント＃１の論理ＮＩＣ Ａ ４１６には特定のＶＬＡＮ ＩＤが割り当てられ、テナント＃２の論理ＮＩＣ Ｂ ４１８には別のＶＬＡＮ ＩＤが割り当てられる。ＶＭ１ ４０６からパケットが通信されると、ハイパーバイザは、テナント＃１に割り当てられたタグをパケットに取り付けた後、リンク４１４を介してパケットをホストマシン４０２からＮＶＤ４１２に通信する。同様に、ＶＭ２ ４０８からパケットが通信されると、ハイパーバイザは、テナント＃２に割り当てられたタグをパケットに取り付けた後、リンク４１４を介してパケットをホストマシン４０２からＮＶＤ４１２に通信する。したがって、ホストマシン４０２からＮＶＤ４１２に通信されたパケット４２４は、特定のテナントおよび関連するＶＭを識別する関連タグ４２６を有する。ＮＶＤ上でホストマシン４０２からパケット４２４を受信した場合、当該パケットに関連するタグ４２６を用いて、当該パケットがＶＮＩＣ－ＶＭ１ ４２０によって処理されるべきか、ＶＮＩＣ－ＶＭ２ ４２２によって処理されるべきかを判断する。そして、パケットは、対応するＶＮＩＣによって処理される。図４に示された構成は、各テナントの計算インスタンスが、自分自身のホストマシンおよびＮＩＣを所有していると信じることを可能にする。図４に示された構成は、マルチテナント機能をサポートするためのＩ／Ｏ仮想化を提供する。

【0114】

図５は、特定の実施形態に従って、物理ネットワーク５００を示す概略ブロック図である。図５に示された実施形態は、Ｃｌｏｓネットワークとして構築される。Ｃｌｏｓネットワークは、高い二分割帯域幅および最大リソース利用率を維持しながら、接続冗長性を提供するように設計された特定の種類のネットワークトポロジである。Ｃｌｏｓネットワークは、一種の非ブロッキング、多段または多層スイッチングネットワークであり、段または層の数は、２、３、４、５などであってもよい。図５に示された実施形態は、層１、２および３を含む３層ネットワークである。ＴＯＲスイッチ５０４は、Ｃｌｏｓネットワークの層－０スイッチを表す。１つ以上のＮＶＤは、ＴＯＲスイッチに接続されている。層－０スイッチは、物理ネットワークのエッジ装置とも呼ばれる。層－０スイッチは、リーフスイッチとも呼ばれる層－１スイッチに接続されている。図５に示された実施形態において、「ｎ」個の層－０ ＴＯＲスイッチは、「ｎ」個の層－１スイッチに接続され、ポッドを形成する。ポッド内の各層－０スイッチは、ポッド内の全ての層－１スイッチに相互接続されるが、ポッド間のスイッチは、接続されない。特定の実装例において、２つのポッドは、ブロックと呼ばれる。各ブロックは、「ｎ」個の層－２スイッチ（スパインスイッチとも呼ばれる）によってサービスを提供されるまたはそれに接続されている。物理ネットワークトポロジーは、複数のブロックを含んでもよい。同様に、層－２スイッチは、「ｎ」個の層－３スイッチ（スーパースパインスイッチとも呼ばれる）に接続されている。物理ネットワーク５００を介したパケットの通信は、典型的には、１つ以上のレイヤ３通信プロトコルを使用して実行される。典型的には、ＴＯＲ層を除く物理ネットワークの全ての層は、ｎウェイ冗長であり、したがって高い可用性を実現することができる。ポッドおよびブロックにポリシーを指定して、物理ネットワークのスイッチの相互可視性を制御することによって、物理ネットワークを拡張することができる。

【0115】

Ｃｌｏｓネットワークの特徴は、ある層－０スイッチから別の層－０スイッチに到達する（または、層－０スイッチに接続されたＮＶＤから層－０スイッチに接続された別のＮＶＤに到達する）最大ホップカウントが一定であることである。例えば、３層のＣｌｏｓネットワークにおいて、パケットが１つのＮＶＤから別のＮＶＤに到達するために最大７つのホップが必要とされる。この場合、ソースＮＶＤおよびターゲットＮＶＤは、Ｃｌｏｓネットワークのリーフ層に接続されている。同様に、４層のＣｌｏｓネットワークにおいて、パケットが１つのＮＶＤから別のＮＶＤに到達するために最大９つのホップが必要とされる。この場合、ソースＮＶＤおよびターゲットＮＶＤは、Ｃｌｏｓネットワークのリーフ層に接続されている。したがって、Ｃｌｏｓネットワークアーキテクチャは、データセンタ内およびデータセンタ間の通信に重要なネットワーク全体の遅延を一定に保つ。Ｃｌｏｓトポロジーは、水平方向に拡張可能であり、コスト効率に優れている。各階層により多くのスイッチ（例えば、より多くのリーフスイッチおよびスパインスイッチ）を増設すること、および隣接する階層のスイッチ間にリンク数を増やすことによって、ネットワークの帯域幅／スループット容量を容易に増加させることができる。

【0116】

特定の実施形態において、ＣＳＰＩ内の各リソースには、クラウド識別子（ＣＩＤ）と呼ばれる固有識別子が割り当てられる。この識別子は、リソースの情報の一部として含まれる。この識別子を用いて、例えば、コンソールまたはＡＰＩを介してリソースを管理することができる。ＣＩＤの例示的なシンタックスは、以下の通りである。

【0117】

ocid1.<RESOURCE TYPE>.<REALM>.[REGION].[FUTURE USE].<UNIQUE ID>である。
式中、
「ocid1」は、ＣＩＤのバージョンを示す文字列である。

【0118】

「RESOURCE TYPE」は、リソースの種類（例えば、インスタンス、ボリューム、ＶＣＮ、サブネット、ユーザ、グループ）を表す。

【0119】

「REALM」は、リソースが存在する領域を表す。例示的な値として、「ｃ１」は、商業領域を表し、「ｃ２」は、政府クラウド領域を表し、または「ｃ３」は、連邦政府クラウド領域を表す。各領域は、独自のドメイン名を持つことができる。

【0120】

「REGION」は、リソースが属する地域を表す。地域がリソースに適用されない場合、この部分は空白であってもよい。

【0121】

「FUTURE USE」は、将来使用のために保留されていることを示す。
「UNIQUE ID」は、固有ＩＤの部分である。このフォーマットは、リソースまたはサービスの種類によって異なる場合がある。

【0122】

Ｓ２Ｃサービスの例
図６は、少なくとも１つの実施形態に従って、プライベートネットワーク間のＳ２Ｃサービスの一例を示す。Ｓ２Ｃサービスは、クラウドインフラストラクチャ６５０のリソースによって提供されてもよい。クラウドインフラストラクチャ６５０は、サービスプロバイダのために展開されたＶＣＮと、顧客のために展開されたＶＣＮとを含んでもよい。サービスプロバイダは、クラウドインフラストラクチャ６５０によって展開されたＶＣＮ６５１を含むサービスプロバイダプライベートネットワーク６６０を運用することができる。必要に応じて、サービスプロバイダプライベートネットワーク６６０は、オンプレミスネットワーク６６１を含む。同様に、顧客は、クラウドインフラストラクチャ６５０によって展開されたＶＣＮ６５２を含む顧客プライベートネットワーク６７０を運用することができる。必要に応じて、顧客プライベートネットワーク６７０は、オンプレミスネットワーク６７１を含む。サービスプロバイダプライベートネットワーク６６０は、Ｓ２Ｃリソース６８０を介して、顧客プライベートネットワーク６７０に接続することができる。ＶＣＮおよびオンプレミスネットワークは、FastConnectを介してまたはインターネットなどのパブリックネットワークを介した仮想プライベートネットワーク（ＶＰＮ）接続を介して接続されてもよい。オンプレミスネットワークに加えてまたはその代わりに、プライベートネットワークは、ピアネットワーク（例えば、他のピアＶＣＮ）を含むことができる。

【0123】

図６の例において、サービスプロバイダプライベートネットワーク６６０に各々類似する複数のサービスプロバイダプライベートネットワークが、存在してもよい。同様に、顧客プライベートネットワーク６７０に各々類似する複数の顧客プライベートネットワークが、存在してもよい。各サービスプロバイダと顧客の対または各サービスプロバイダプライベートネットワークと顧客プライベートネットワークの対に対して、Ｓ２Ｃリソースは、Ｓ２Ｃリソース６８０と同様に、クラウドインフラストラクチャ６５０によって展開される。

【0124】

サービスプロバイダプライベートネットワーク６６０と顧客プライベートネットワーク６７０の対を参照すると、Ｓ２Ｃリソース６８０は、例えば、変換サービス６８２を含むＳ２Ｃサービスを提供する。例えば、ＤＮＳサービス、ＲＡＣサービス、およびレイヤ７（Ｌ７）アプリケーションサービスを含む異なる種類の変換サービス６８２が可能である。一般的に、変換サービスは、データアドレス指定およびアドレス変換をサポートする。したがって、データが、サービスプロバイダプライベートネットワーク６６０と顧客プライベートネットワーク６７０のいずれかの内で処理されてもよく、サービスプロバイダプライベートネットワーク６６０と顧客プライベートネットワーク６７０の間で流されてもよい。

【0125】

例えば、サービスプロバイダプライベートネットワーク６６０のサービスリソース６６２は、顧客プライベートネットワーク６７０のターゲットリソース６７２のデータにアクセスするためのアクセス要求６６４を送信することができる。アクセス要求６６４のソースＩＰアドレスおよび宛先ＩＰアドレスは、サービスプロバイダプライベートネットワーク６６０の環境内部では使用可能であるが、その外部では使用できない。このアクセス要求６６４は、クラウドインフラストラクチャ６５０によってサポートされている接続を介して、Ｓ２Ｃリソース６８０によって受信されてもよい。変換サービス６８２は、顧客プライベートネットワーク６７０の環境内部では使用可能であるがその外部では使用できないＩＰアドレスを用いて、アクセス要求６６４のソースＩＰアドレスおよび宛先ＩＰアドレスを更新することによって、変換された要求６８４を生成することができる。この変換された要求６８４は、クラウドインフラストラクチャ６５０によってサポートされている接続を介して、ターゲットリソース６７２に送信されてもよい。

【0126】

同様に、ターゲットリソース６７２は、ターゲットリソース６７２からのデータを含むアクセス応答６７４を送信することができる。アクセス応答６７４のソースＩＰアドレスおよび宛先ＩＰアドレスは、顧客プライベートネットワーク６７０の環境内部では使用可能であるが、その外部では使用できない。このアクセス応答６７４は、クラウドインフラストラクチャ６５０によってサポートされている接続を介して、Ｓ２Ｃリソース６８０によって受信されてもよい。変換サービス６８２は、サービスプロバイダプライベートネットワーク６６０の環境内部では使用可能であるがその外部では使用可能でないＩＰアドレスを用いて、アクセス応答６７４のソースＩＰアドレスおよび宛先ＩＰアドレスを更新することによって、変換された応答６８６を生成することができる。この変換された応答６８６は、クラウドインフラストラクチャ６５０によってサポートされている接続を介して、サービスリソース６６２に送信されてもよい。

【0127】

一例において、サービスプロバイダプライベートネットワーク６６０は、一連のサービス、例えば、分析、データ処理、セキュリティサービスなどをサポートする一組のサービスリソースを含んでもよい。ＶＣＮ６５１のみの実装形態の場合、一組のサービスリソースは、ＶＣＮ６５１上でホストされてもよく、例えば、計算インスタンス（例えば、仮想マシン、ベアメタルマシン）を含んでもよい。オンプレミスネットワーク６６１も含む実装形態の場合、一組のサービスリソースは、プレミスネットワーク６６１上で完全にホストされてもよく、ＶＣＮ６５１上で完全にホストされてもよく、またはそれらの間に分散されてもよい。

【0128】

顧客は、１つ以上のサービスに加入することができる。サービスに加入する時に、サービスプロバイダプライベートネットワーク６６０の対応するサービスリソースは、顧客プライベートネットワーク６７０の１つ以上のターゲットリソースへのＳ２Ｃアクセスを必要とし得る。ＶＣＮ６５２のみの実装形態の場合、顧客の一組のターゲットリソースは、ＶＣＮ６５２上でホストされてもよく、例えば、計算インスタンス（例えば、仮想マシン、ベアメタルマシン）および記憶インスタンス（例えば、データベース）を含んでもよい。オンプレミスネットワーク６７１も含む実装形態の場合、一組のターゲットリソースは、プレミスネットワーク６７１上で完全にホストされてもよく、ＶＣＮ６５２上で完全にホストされてもよく、またはそれらの間に分散されてもよい。

【0129】

一般的に、ＶＣＮ６５１またはＶＣＮ６５２などのＶＣＮは、サブネット、ルートテーブル、およびゲートウェイを含む従来のネットワークのソフトウェア定義仮想バージョンであってもよい。様々な計算インスタンスは、ＶＣＮ上で実行することができる。例えば、ＶＣＮは、エンティティ（例えば、サービスプロバイダまたは顧客）がクラウドインフラストラクチャ６５０内に構築した仮想プライベートネットワークである。クラウドインフラストラクチャ６５０は、特定の領域に配置されてもよい。計算インスタンスを起動する前に、少なくとも１つのクラウドインフラストラクチャを構築する必要がある。クラウドインフラストラクチャ６５０は、必要に応じて、パブリックトラフィックを処理するためのインターネットゲートウェイ、仮想プライベートネットワーク（ＶＰＮ）接続、または顧客のオンプレミスネットワークを安全に拡張するためのＯＣＩ FastConnectを含むように構成されてもよい。

【0130】

ＶＣＮは、トラフィックがインターネットを横断しないように、別のＶＣＮにプライベートに接続されてもよい。この場合、２つのＶＣＮのクラスレスドメイン間ルーティング（ＣＩＤＲ）は、重複しない。しかしながら、サービスプロバイダのＶＣＮと顧客のＶＣＮとの間またはサービスプロバイダの複数の顧客のＶＣＮの間のいずれにＣＩＤＲが重複する場合、プライベート接続は、少なくともＳ２Ｃアクセスのために使用できない可能性がある。例えば、ＶＣＮ６５１およびＶＣＮ６５２の各々は、ＶＣＮ内の他のサブネットと重複しないＩＰバージョン４（ＩＰｖ４）またはバージョン６（ＩＰｖ６）アドレスの連続範囲を有してもよい。この場合、Ｓ２Ｃリソースは、展開されてもよい。

【0131】

図７は、少なくとも１つの実施形態に従って、ＤＮＳトラフィックおよびプロキシ無しＳ２トラフィックをサポートする一組のＳ２Ｃリソース７３０を介して顧客プライベートネットワーク７２０に接続されたサービスプロバイダプライベートネットワーク７１０の一例を示す。サービスプロバイダプライベートネットワーク７１０、顧客プライベートネットワーク７２０、およびＳ２Ｃリソース７３０は、それぞれ、サービスプロバイダプライベートネットワーク６６０、顧客プライベートネットワーク６７０、およびＳ２Ｃリソース６８０の一例である。サービスプロバイダプライベートネットワーク７１０から発信され、顧客のＤＮＳに関連付けられたＤＮＳクエリは、Ｓ２Ｃリソース７３０によって処理され、サービスプロバイダプライベートネットワーク７１０にＤＮＳ解決を提供することができる。解決されると、ネットワークアドレス変換（ＮＡＴ）マッピングが生成され、トラフィックが、ＮＡＴマッピングに基づいて、一組のＳ２Ｃリソース７３０を介して、サービスプロバイダプライベートネットワーク７１０と顧客プライベートネットワーク７２０との間で流れることができる。

【0132】

図示のように、サービスプロバイダプライベートネットワーク７１０は、サービスリソース７１２と、サービスプロバイダＳ２Ｃインターフェイス７１４と、サービスプロバイダＤＮＳリゾルバ７１６とを含む。サービスプロバイダＳ２Ｃインターフェイス７１４は、サービスリソース７１２およびサービスプロバイダＤＮＳリゾルバ７１６に接続され、サービスリソース７１２およびサービスプロバイダＤＮＳリゾルバ７１６が一組のＳ２Ｃリソース７３０とインターフェイスすることを可能にする。同様に、顧客プライベートネットワーク７２０は、ターゲットリソース７２２と、顧客Ｓ２Ｃインターフェイス７２４と、顧客ＤＮＳリゾルバ７２６とを含む。顧客Ｓ２Ｃインターフェイス７２４は、ターゲットリソース７２２および顧客ＤＮＳリゾルバ７２６に接続され、ターゲットリソース７２２および顧客ＤＮＳリゾルバ７２６が一組のＳ２Ｃリソース７３０とインターフェイスすることを可能にする。

【0133】

計算インスタンスなどのサービスリソース７１２は、サービスを顧客に提供する。これによって、サービスは、プライベートエンドポイントなどのターゲットリソース７２２へのアクセスを必要とする。一例において、顧客は、ターゲットリソース７２２（例えば、www.exampleFQDN1.com）にアクセスするための完全修飾ドメイン名（ＦＱＤＮ）を定義することができる。ターゲットリソース７２２に最初にアクセスする時に、サービスリソース７１２は、対応するＩＰアドレスではなく、ＦＱＤＮを用いて、トラフィックをターゲットリソース７２２に送信することができる。したがって、サービスリソース７１２は、ＦＱＤＮを含むＤＮＳクエリを開始することができる。サービスプロバイダＳ２Ｃインターフェイス７１４は、ＤＮＳクエリを受信し、一組のＳ２Ｃリソース７３０に送信する。一組のＳ２Ｃリソース７３０は、ＤＮＳプロキシを含む。ＤＮＳプロキシ７３２は、ＦＱＤＮと顧客によって予め定義されたＦＱＤＮリストとの間の適合を判定する。この適合に基づいて、ＤＮＳプロキシ７３２は、ＤＮＳクエリを顧客Ｓ２Ｃインターフェイス７２４に送信し、顧客Ｓ２Ｃインターフェイス７２４は、ＤＮＳクエリを顧客ＤＮＳリゾルバ７２６に送信する。これに応答して、顧客ＤＮＳリゾルバ７２６は、ターゲットリソース７２２のＩＰアドレスを決定することによって、ＤＮＳクエリを解決する。このＩＰアドレスは、ＦＱＤＮに対応し、顧客プライベートネットワーク７２０内で使用可能である（例えば、顧客プライベートネットワーク７２０のＩＰアドレス範囲内のアドレスとして定義される）。ターゲットリソース７２２のＩＰアドレスを含むＤＮＳ応答は、顧客Ｓ２Ｃインターフェイス７２４を介して、ＤＮＳプロキシ７３２に返送される。

【0134】

ＤＮＳ応答内のターゲットリソース７２２のＩＰアドレスが、顧客プライベートネットワーク７２０の環境のみで使用可能であり、サービスプロバイダプライベートネットワーク７１０の環境では使用できないため、ＤＮＳプロキシは、保留ＩＰアドレスを生成し、ターゲットリソース７２２のＩＰアドレスに関連付ける。保留ＩＰアドレスは、顧客プライベートネットワーク７２０のＩＰアドレス範囲外およびサービスプロバイダプライベートネットワーク７１０のＩＰアドレス範囲外のアドレスとして定義することができる。この関連付けは、保留ＩＰアドレスとターゲットリソース７２２のＩＰアドレスとの間のＮＡＴマッピング７３４に記憶されてもよい。このＮＡＴマッピング７３４は、一組のＳ２Ｃリソース７３０によって保持されている。

【0135】

次に、ＤＮＳプロキシは、保留ＩＰアドレスを用いて少なくともターゲットリソース７２２のＩＰアドレスを置換することによって、ＤＮＳ応答を更新し、サービスプロバイダＳ２Ｃインターフェイスを介して、更新されたＤＮＳ応答をサービスリソース７１２に送信する。サービスリソース７１２は、このＤＮＳ応答を受信し、ＦＱＤＮが保留ＩＰアドレスに関連付けられていることを決定すると、その後の使用のためにこの関連付けをキャッシュすることができる。

【0136】

サービスリソース７１２からターゲットリソース７２２へのトラフィックおよびそれに対する応答は、保留ＩＰアドレスおよびＮＡＴマッピング７３４に依存する。例えば、サービスリソース７１２は、保留ＩＰアドレスへのデータを送信することができる。データのフローは、ＤＮＳプロキシ７３２を介してプロキシされてもよい。この場合、アドレス変換は、ＮＡＴマッピング７３４に従って、ＤＮＳプロキシ７３２によって実行される。追加的にまたは代替的に、データのフローは、ＤＮＳプロキシ７３２を介してプロキシされなくてもよい。この場合、データのフローは、一組のＳ２Ｃリソース７３０のゲートウェイ７３６を経由してもよい。例えば、ゲートウェイ７３６は、サービスプロバイダプライベートネットワーク７１０と顧客プライベートネットワーク７２０との間に構築されたプライベートゲートウェイ（ＰＡＧＷ）であってもよい。この場合も、ゲートウェイ７３６は、ＮＡＴマッピング７３４に依存してアドレス変換を実行する。両方の場合において、少なくともＩＰ宛先アドレスは、ターゲットリソース７２２のＩＰアドレスを用いて保留ＩＰアドレスを置換することによって更新される。

【0137】

ターゲットリソース７２２からの応答に対して逆方向のフローが実行される。例えば、応答データは、ターゲットリソース７２２のＩＰアドレスをソースアドレスとして含む。（フローがプロキシされる場合の）ＤＮＳプロキシ７３２または（フローがプロキシされない場合の）ゲートウェイ７３６は、ソースアドレスとしての保留ＩＰアドレスを用いて少なくともターゲットリソース７２２のＩＰアドレスを置換することによって、応答データを更新し、更新されたデータをサービスリソース７１２に送信する。

【0138】

別の例において、サービスリソース７１２は、ＤＮＳクエリを生成し、サービスプロバイダＳ２Ｃインターフェイス７１４を介してＤＮＳプロキシ７３２に送信する。このＤＮＳクエリは、本明細書で上述したものとは異なるＦＱＤＮ（例えば、www.exampleFQDN2.com）を含む。この例において、ＤＮＳプロキシ７３２は、ＦＱＤＮと顧客によって定義されたＦＱＤＮリストとの間に適合が存在していないと判定する。不適合は、ＦＱＤＮがサービスプロバイダプライベートネットワーク７１０のリソースに対応し、したがって、サービスプロバイダＤＮＳリゾルバ７１６によって解決され得ることを示すと仮定されてもよい。したがって、ＤＮＳプロキシ７３２は、サービスプロバイダＳ２Ｃインターフェイス７１４を介して、ＤＮＳクエリをサービスプロバイダＤＮＳリゾルバ７１６に送信する。解決すると、サービスプロバイダＤＮＳリゾルバ７１６は、ＦＱＤＮに対応し、サービスプロバイダプライベートネットワーク７１０内で使用可能なＩＰアドレスを決定する（例えば、サービスプロバイダプライベートネットワーク７１０のＩＰアドレス範囲内のアドレスとして定義される）。サービスプロバイダＤＮＳリゾルバ７１６は、サービスプロバイダＳ２Ｃインターフェイス７１４を介してこのサービスプロバイダのＩＰアドレスをサービスリソース７１２に送信して、その後サービスリソース７１２によって使用される。

【0139】

図８は、少なくとも１つの実施形態に従って、ＲＡＣトラフィックをサポートする一組のＳ２Ｃリソース８３０を介して顧客プライベートネットワーク８２０に接続されたサービスプロバイダプライベートネットワーク８１０の一例を示す。サービスプロバイダプライベートネットワーク８１０、顧客プライベートネットワーク８２０、およびＳ２Ｃリソース８３０は、それぞれ、サービスプロバイダプライベートネットワーク６６０、顧客プライベートネットワーク６７０、およびＳ２Ｃリソース１８０の一例である。ＲＡＣトラフィックは、サービスプロバイダプライベートネットワーク８１０のサービスリソース８１２から発信され、顧客プライベートネットワーク８２０のデータベースリソース８２２に送信されてもよい。同様に、ＲＡＣ応答は、データベースリソース８２２から発信され、サービスリソース８１２に送信されてもよい。一組のＳ２Ｃリソース８３０は、ＲＡＣトラフィックおよびＲＡＣ応答の交換を可能にするために、ＩＰアドレスを変換するアドレス変換サービス８３２を含んでもよい。この場合、ＮＡＴマッピングを必要としない可能性がある。代わりに、アドレス変換は、アドレス変換サービス８３２によって得られた、サービスプロバイダプライベートネットワーク８１０のサービスプロバイダＳ２Ｃインターフェイス８１４のＩＰアドレスおよび顧客プライベートネットワーク８２０の顧客Ｓ２Ｃインターフェイス８２４のＩＰアドレスに関する知識に依拠することができる。この知識は、サービスプロバイダプライベートネットワーク８１０と顧客プライベートネットワーク８２０の対に対して一組のＳ２Ｃリソース８３０を展開するために使用される構成の一部であってもよい。

【0140】

一例において、サービスプロバイダＳ２Ｃインターフェイス８１４のＩＰアドレスおよび顧客Ｓ２Ｃインターフェイス８２４のＩＰアドレスは、一組のＳ２Ｃリソースの構成ファイル内で定義される。また、サービスリソース８１２のＩＰアドレスおよびデータベースリソース８２２のＩＰアドレスは、構成ファイル内で定義されてもよく、または一組のＳ２Ｃリソース８３０を介したトラフィックルーティングに基づいて経時的に学習されてもよい。

【0141】

サービスリソース８１２は、ＲＡＣデータをサービスプロバイダＳ２Ｃインターフェイス８１４に送信することができる。このデータは、サービスリソース８１２のＩＰアドレスをソースアドレスとして含み、サービスプロバイダＳ２Ｃインターフェイス８１４のＩＰアドレスを宛先アドレスとして含む。その後、サービスプロバイダＳ２Ｃインターフェイス８１４は、このデータをアドレス変換サービス８３２に送信する。アドレス変換サービス８３２は、少なくともソースＩＰアドレスおよび宛先ＩＰアドレスを、顧客Ｓ２Ｃインターフェイス８２４のＩＰアドレスおよびデータベースリソース８２２のＩＰアドレスにそれぞれ置換することによって、ＲＡＣデータを更新する。更新されたＲＡＣデータは、顧客Ｓ２Ｃインターフェイス８２４を介して、データベースリソース８２２に送信される。

【0142】

データベースリソース８２２から返される応答に対して逆方向のフローが実行される。例えば、応答データは、データベースリソース８２２のＩＰアドレスをソースアドレスとして含み、顧客Ｓ２Ｃインターフェイス８２４のＩＰアドレスを宛先アドレスとして含む。この場合、アドレス変換サービス８３２は、少なくともソースＩＰアドレスおよび宛先ＩＰアドレスを、サービスプロバイダＳ２Ｃインターフェイス８１４のＩＰアドレスおよびサービスリソース８１２のＩＰアドレスにそれぞれ置換することによって、データを更新する。更新されたデータは、サービスプロバイダＳ２Ｃインターフェイス８１４を介して、サービスリソース８１２に送信される。

【0143】

図９～１１は、サービスプロバイダプライベートネットワーク、顧客プライベートネットワーク、およびクラウドインフラストラクチャのネットワーク構成要素およびそれらの間の接続の例を示す。これらの構成要素は、本明細書で上述した構成要素のうちのいくつかの例示的な実装形態である。

【0144】

図９は、少なくとも１つの実施形態に従って、サービスプロバイダプライベートネットワーク９１０の構成要素の一例を示す。サービスプロバイダプライベートネットワーク９１０は、サービスプロバイダプライベートネットワーク６６０、２１０、および８１０の例である。サービスプロバイダプライベートネットワーク９１０の少なくとも一部、例えばＶＣＮは、クラウドインフラストラクチャ上で実装される。

【0145】

サービスプロバイダプライベートネットワーク９１０は、一組のリソースを有するようにサービスプロバイダによって構成され、各リソースは、サービスプロバイダプライベートネットワーク９１０のＩＰアドレス範囲（例えば、１０．０．０．０／１６）内のＩＰアドレスを有する。一組のリソースは、例えば、サービスインスタンス９１２、サービスインスタンス９１６、およびＤＮＳリゾルバ９１８を含む。２つのサービスインスタンス９１２および９１６は、顧客が加入することができる異なる種類のサービスを提供することができ、これらのサービスは、Ｓ２Ｃアクセスに依存する。

【0146】

一例において、サービスインスタンス９１２は、ＩＰアドレス（例えば、１０．０．２．２）を有し、ＤＮＳクエリおよび特定の通信プロトコル（例えば、ハイパーテキスト転送プロトコルセキュア（ＨＴＴＰＳ）などのアプリケーション層プロトコル）をサポートする計算インスタンスである。これに対して、サービスインスタンス９１６も計算インスタンスであるが、さらに異なるＩＰアドレス（例えば、１０．０．２．３）を有し、ＲＡＣ環境においてシングルクライアントアクセスネーム（ＳＣＡＮ）プロトコルなどのデータベースアクセスプロトコルをサポートする。また、ＤＮＳリゾルバ９１８は、さらに異なるＩＰアドレス（例えば、１０．０．５５．５５）を有し、サービスプロバイダプライベートネットワーク９１０のドメインに関連する（例えば、サービスプロバイダプライベートネットワーク９１０のＩＰアドレス範囲内のＩＰアドレスを有するＦＱＤＮに関連する）ＤＮＳクエリのＤＮＳ解決をサポートする。図示されていないが、サービスインスタンス９１２、サービスインスタンス９１６、およびＤＮＳリゾルバ９１８の各々は、サービスプロバイダプライベートネットワーク９１０のリソースと通信する１つ以上のＶＮＩＣを有してもよい。

【0147】

顧客がサービスプロバイダの１つ以上のサービスに加入すると、当該サービスをサポートするために、対応する一組のＳ２Ｃリソースが起動される。さらに、Ｓ２Ｃインターフェイス９１４がサービスプロバイダプライベートネットワーク９１０（例えば、このネットワークのホスト）に接続される。Ｓ２Ｃインターフェイス９１４は、多くの異なるＩＰアドレス（図９は、数を正の整数「ｎ」として示す）を有する。各ＩＰアドレスは、サービスプロバイダプライベートネットワーク９１０のＩＰアドレス範囲内にあり、１つのサービスに対応する。例えば、ＤＮＳ機能を行う場合、Ｓ２Ｃインターフェイス９１４は、（図９では「ＩＰ１」として示される）第１のＩＰアドレスを有し、第１のＩＰアドレスを用いてＤＮＳトラフィック９０１を送受信する。同様に、ＲＡＣ機能を行う場合、Ｓ２Ｃインターフェイス９１４は、（図９では「ＩＰ２」として示される）第２のＩＰアドレスをし、第２のＩＰアドレスを用いてＲＡＣトラフィック９０５を送受信する。

【0148】

次の図にさらに示されているように、クラウドインフラストラクチャは、ネットワークインターフェイス機能をサービスとして提供する専用の仮想化装置群を含むことができる。このような実装形態において、Ｓ２Ｃインターフェイス９１４は、仮想化装置群上でホストされているＶＮＩＣであってもよい。Ｓ２Ｃインターフェイス９１４のＩＰアドレス（例えば、「ＩＰ１」、「ＩＰ２」、．．．、「ＩＰｎ」）は、サービスプロバイダの入力に基づいて、構成ファイル内で定義されてもよい。Ｓ２Ｃインターフェイス９１４は、サービスプロバイダプライベートネットワーク９１０のＩＰアドレス範囲に属し且つ異なる種類のサービスに対応する複数のＩＰアドレスをサポートする能力を有するため、フローティングサービス（ＦＳ）ＶＮＩＣと称されてもよい。

【0149】

ＤＮＳトラフィック９０１の例において、サービスインスタンス９１２は、任意のＤＮＳクエリをＳ２Ｃインターフェイスの第１のＩＰアドレス（例えば、「ＩＰ１」）に送信し、このＩＰアドレスからＤＮＳ解決を受信するように構成されている。同様に、ＤＮＳリゾルバ９１８を介して解決され得るＤＮＳクエリは、第１のＩＰアドレスを用いて送信される。これに対して、ＲＡＣトラフィック９０５をサポートするために、サービスインスタンス９１６は、任意のＲＡＣトラフィックをＳ２Ｃインターフェイスの第２のＩＰアドレス（例えば、「ＩＰ２」）に送信し、Ｓ２Ｃインターフェイスの第２のＩＰアドレス（例えば、「ＩＰ２」）からＲＡＣ応答を受信するように構成されている。

【0150】

図１０は、少なくとも１つの実施形態に従って、顧客プライベートネットワーク１０１０の構成要素の一例を示す。顧客プライベートネットワーク１０１０は、顧客プライベートネットワーク６７０、７２０、および８２０の一例である。顧客プライベートネットワーク１０１０の少なくとも一部、例えばＶＣＮは、クラウドインフラストラクチャ上で実装される。

【0151】

顧客プライベートネットワーク１０１０は、一組のリソースを有するように顧客によって構成され、各リソースは、顧客プライベートネットワーク１０１０のＩＰアドレス範囲（例えば、１０．０．０．０／１６）内のＩＰアドレスを有する。再び図９を参照して、顧客プライベートネットワーク１０１０のＩＰアドレス範囲は、サービスプロバイダプライベートネットワーク９１０のＩＰアドレス範囲と重複してもよい。一組のリソースは、例えば、顧客エンドポイント１０１４、ＤＮＳリゾルバ１０１６、およびデータベースサービス１０１８を含む。顧客は、サービスインスタンス９１２および９１６によってサポートされているサービスなどのサービスプロバイダのサービスに加入することができるため、顧客エンドポイント１０１４およびデータベースサービス１０１８へのＳ２Ｃアクセスを必要とする。

【0152】

顧客エンドポイント１０１４は、サービスプロバイダのサービスに関連付けられ、顧客プライベートネットワーク１０１０のＩＰアドレス範囲内のＩＰアドレス（１０．０．１０．２）を有するターゲットリソース、例えば、顧客ＶＣＮまたは顧客オンプレミスネットワークを含む計算インスタンスを表す。一例において、顧客エンドポイント１０１４は、プライベートＩＰアドレスを有し、クラウドインフラストラクチャ設備を介してサービスプロバイダのサービスのみにアクセスすることを容易にするように構成されている。この例において、プライベートエンドポイント（例えば、プライベートＩＰアドレスを有するＶＮＩＣ）は、ターゲットリソースをサービスに公開する。データベースサービス１０１８は、顧客プライベートネットワーク１０１０のＩＰアドレス範囲内のＩＰアドレス（１０．０．１０．１０）を有し、顧客のデータベース内の作業負荷を管理するためのサービスを提供するリソースを表す。データベースは、顧客のＶＣＮ内および／またはオンプレミスネットワークにあってもよい。また、ＤＮＳリゾルバ１０１６は、さらに異なるＩＰアドレス（例えば、１０．３３．３３）を有し、顧客プライベートネットワーク１０１０のドメインに関連する（例えば、顧客プライベートネットワーク１０１０のＩＰアドレス範囲内のＩＰアドレスを有するＦＱＤＮに関連する）ＤＮＳクエリのＤＮＳ解決をサポートする。図示されていないが、顧客エンドポイント１０１４、ＤＮＳリゾルバ１０１６、およびデータベースサービス１０１８の各々は、顧客プライベートネットワーク１０１０のリソースと通信する１つ以上のＶＮＩＣを有してもよい。

【0153】

顧客が顧客の１つ以上のサービスに加入すると、当該サービスをサポートするために、対応する一組のＳ２Ｃリソースが起動される。さらに、Ｓ２Ｃインターフェイス１０１２は、顧客プライベートネットワーク１０１０（例えば、このネットワークのホスト）に接続される。Ｓ２Ｃインターフェイス１０１２は、多くの異なるＩＰアドレス（図１０は、数字を正の整数「ｎ」として示す）を有する。各ＩＰアドレスは、顧客プライベートネットワーク１０１０のＩＰアドレス範囲内にあり、１つのサービスに対応する。例えば、プロキシされていないＳ２Ｃトラフィックの場合、Ｓ２Ｃインターフェイス１０１２の第１のＩＰアドレス（ＩＰ１）が使用可能である。ＤＮＳトラフィックおよびＲＡＣトラフィックの場合、Ｓ２Ｃインターフェイス１０１２の第２のＩＰアドレス（ＩＰ２）が使用可能である。顧客対サービスプロバイダ（Ｃ２Ｓ）トラフィックの場合、Ｓ２Ｃインターフェイス１０１２のさらに別のＩＰアドレス（例えば、ＩＰｎ）が使用可能である。

【0154】

次の図にさらに示されているように、クラウドインフラストラクチャは、ネットワークインターフェイス機能をサービスとして提供する専用の仮想化装置群を含むことができる。このような実装形態において、Ｓ２Ｃインターフェイス１０１２は、仮想化装置群上でホストされているＶＮＩＣであってもよい。Ｓ２Ｃインターフェイス１０１２のＩＰアドレス（例えば、「ＩＰ１」、「ＩＰ２」、．．．、「ＩＰｎ」）は、顧客の入力に基づいて、構成ファイル内で定義されてもよい。顧客プライベートネットワーク１０１０のＩＰアドレス範囲に属し且つ異なる種類のサービスに対応する複数のＩＰアドレスをサポートする能力を有するため、Ｓ２Ｃインターフェイス１０１２は、ＦＳ ＶＮＩＣと称されてもよい。

【0155】

図１１は、少なくとも１つの実施形態に従って、Ｓ２Ｃリソースを実装するクラウドインフラストラクチャ１１００の構成要素の一例を示す。クラウドインフラストラクチャ１１００は、図１のクラウドインフラストラクチャ１５０の一例である。図示のように、構成要素は、ゲートウェイ１１１０と、仮想化装置群１１２０と、ＤＮＳリソース１１３０と、ＮＡＴマッピングデータストア１１４０と、ＲＡＣリソース１１５０とを含む。一般的に、これらの構成要素は、サービスプロバイダプライベートネットワークから顧客プライベートネットワークへのＳ２Ｃアクセスを可能にする。仮想化装置群１１２０は、クラウドインフラストラクチャ１１００の物理ネットワークに配置されているが、ゲートウェイ１１１０、ＤＮＳリソース１１３０、ＲＡＣリソース１１５０、およびＮＡＴマッピングデータストア１１４０は、物理ネットワーク上の仮想ネットワーク（例えば、オーバーレイネットワーク）に配置されてもよい。

【0156】

一例において、ゲートウェイ１１１０は、サービスプロバイダプライベートネットワークと顧客プライベートネットワークとの間のトラフィックを可能にする。ゲートウェイ１１１０は、顧客のＶＣＮがデータをパブリックインターネットに公開することなく、サービスプロバイダのＶＣＮを介して提供された特定のサービスにプライベートにアクセスすることを可能にするサービスゲートウェイとして構成されてもよい。この場合、ゲートウェイ１１１０は、プライベートゲートウェイと呼ばれることがある。上述したように、Ｓ２Ｃアクセスは、保留ＩＰアドレス（例えば、クラスＥ ＩＰアドレス）に依存してもよい。ゲートウェイ１１１０は、サービスプロバイダプライベートネットワークから顧客プライベートネットワークへのデータに対して、保留ＩＰアドレスを顧客プライベートネットワークのＩＰアドレスにマッピングするＮＡＴマッピング１１１２（例えば、宛先ＮＡＴ－ＤＮＡＴ）を記憶することができる。逆方向のデータの場合、ＮＡＴマッピング１１１２は、顧客のＳ２ＣインターフェイスのＩＰアドレス（例えば、図１０に記載されたＦＳ ＶＮＩＣの「ＩＰ１」）をサービスプロバイダコンピュータネットワークのサービスリソースにマッピングする。

【0157】

仮想化装置群１１２０は、仮想ネットワークインターフェイスを提供する一群の専用の仮想化装置を含む。ＶＮＩＣは、サブネット内に常駐し、計算インスタンスに接続されてもよい。図１１には示されていないが、仮想化装置群１１２０は、サービスプロバイダプライベートネットワーク（例えば、サービスプロバイダＳ２Ｃインターフェイス）に接続されているＦＳ ＶＮＩＣと、顧客プライベートネットワーク（例えば、顧客Ｓ２Ｃインターフェイス）に接続されているＦＳ ＶＮＩＣとを提供する。さらに、仮想化装置群１１２０は、ＤＮＳリソース１１３０およびＲＡＣリソース１１５０などのＳ２Ｃリソースに接続されているＶＮＩＣを提供する。これらのＶＮＩＣは、セキュリティリスト処理、ルートルール処理、またはピアマッピングをサポートしない軽量バージョンであり、マイクロＶＮＩＣ（μＶＮＩＣ）と呼ばれてもよい。

【0158】

ＤＮＳリソース１１３０は、ＤＮＳ調停（例えば、照会されたＦＱＤＮが顧客のＦＱＤＮまたはサービスプロバイダのＦＱＤＮであるかという判断）、ＤＮＳ解決（例えば、調停に応じて、ＤＮＳクエリを顧客のＤＮＳリゾルバまたはサービスプロバイダのＤＮＳリゾルバに送信すること）、およびＩＰアドレスのＮＡＴマッピングを含むＤＮＳ機能をサポートするＳ２Ｃリソースを表す。一例において、ＤＮＳリソース１１３０は、顧客がサービスプロバイダのサービスに加入するときに展開され、加入は、サービスプロバイダプライベートネットワークおよび顧客プライベートネットワークからのＳ２Ｃ ＤＮＳトラフィックを含む。ＤＮＳリソース１１３０は、サービスプロバイダ用（ＳＰＦ）Ｓ２Ｃインターフェイス１１３２と、顧客用（ＣＦ）Ｓ２Ｃインターフェイス１１３４と、ＤＮＳプロキシ１１３６とを含む。ＳＰＦ Ｓ２Ｃインターフェイス１１３２およびＣＦ Ｓ２Ｃインターフェイス１１３４の各々は、仮想化装置群１１２０によって提供されるμＶＮＩＣであってもよい。ＳＰＦ Ｓ２Ｃインターフェイス１１３２は、サービスプロバイダのＦＳ ＶＮＩＣと通信するように構成されている。これに対して、ＣＦ Ｓ２Ｃインターフェイス１１３４は、顧客のＦＳ ＶＮＩＣと通信するように構成されている。ＤＮＳプロキシ１１３６は、ＳＰＦ Ｓ２Ｃインターフェイス１１３２を介してＤＮＳクエリを受信し、調停を実行し、必要に応じて、ＣＦ Ｓ２Ｃインターフェイスを介してＤＮＳクエリを顧客のＤＮＳリゾルバに、またはＳＰＦ Ｓ２Ｃインターフェイス１１３２を介してサービスプロバイダのＤＮＳリゾルバに送信する。また、ＣＦ Ｓ２Ｃインターフェイス１１３４を介して顧客のＤＮＳリゾルバからＤＮＳ応答を受信すると、ＤＮＳプロキシは、ＤＮＳ応答からの顧客のＩＰアドレスを保留ＩＰアドレスにマッピングし、このマッピングをＮＡＴマッピングデータストア１１４０に記憶し、保留ＩＰアドレスを含むようにクエリ応答を修正し、ＳＰＦ Ｓ２Ｃインターフェイス１１３２を介して、修正応答をサービスプロバイダプライベートネットワークに送信する。

【0159】

ＮＡＴマッピングデータストア１１４０は、地域ベースで、保留ＩＰアドレスと顧客ＩＰアドレスとの間の異なるマッピング（例えば、ＤＮＡＴマッピング）を保持することができる。ゲートウェイ１１１０は、このようなマッピングをＮＡＴマッピング１１１２のＤＮＡＴマッピングの一部として検索および記憶することができる。

【0160】

ＲＡＣリソース１１５０は、アドレス変換サービスを含むＲＡＣ機能をサポートするＳ２Ｃリソースを表す。一例において、ＲＡＣリソース１１５０は、顧客がサービスプロバイダのサービスに加入するときに展開され、加入は、サービスプロバイダプライベートネットワークおよび顧客プライベートネットワークからのＳ２Ｃ ＲＡＣトラフィックを含む。ＲＡＣリソース１１５０は、ＳＰＦ Ｓ２Ｃインターフェイス１１５２と、ＣＦ Ｓ２Ｃインターフェイス１１５４と、ＲＡＣプロキシ１１５６とを含む。ＳＰＦ Ｓ２Ｃインターフェイス１１５２およびＣＦ Ｓ２Ｃインターフェイス１１５４の各々は、仮想化装置群１１２０によって提供されるμＶＮＩＣであってもよい。ＳＰＦ Ｓ２Ｃインターフェイス１１５２は、サービスプロバイダのＦＳ ＶＮＩＣと通信するように構成されている。これに対して、ＣＦ Ｓ２Ｃインターフェイス１１５４は、顧客のＦＳ ＶＮＩＣと通信するように構成されている。ＲＡＣプロキシ１１５６は、サービスプロバイダプライベートネットワークからＲＡＣトラフィックを受信し、顧客プライベートネットワークのＩＰアドレスを使用するようにこのトラフィックを再アドレス指定し、ＣＦ Ｓ２Ｃ１１５４を介して更新されたＲＡＣトラフィックを送信する。逆方向のフローの場合、ＲＡＣプロキシ１１５６は、顧客プライベートネットワークからＲＡＣリターンを受信し、サービスプライベートネットワークのＩＰアドレスを使用するようにこのリターンを再アドレス指定し、ＳＰＦ Ｓ２Ｃ１１５２を介して更新されたＲＡＣリターンを送信する。

【0161】

一例において、高可用性を達成するために、各サービスプロバイダと顧客の対に対して、複数の冗長Ｓ２Ｃリソース（例えば、３組のＤＮＳリソース１１３０）が起動される。Ｓ２Ｃリソースに送信されるパケットを受信すると、仮想化装置群１１２０は、パケットが送信される複数のＳ２Ｃリソースのうちの１つを選択することができる。異なる種類の選択が可能である。例えば、Ｓ２Ｃリソースは、ランダムに選択される。別の例において、負荷分散は、Ｓ２Ｃリソースごとに処理されるパケットの数を追跡することによって考慮される。さらに別の例において、選択は、パケット自体に依存することができる。例えば、パケットは、プロトコル情報、ソースＩＰアドレス、ソースポート、宛先ＩＰアドレス、および宛先ポートを含む。この５つのタプルは、パケットの署名を表す。署名は、ハッシュ化することができる。ハッシュは、各々が１つのＳ２Ｃリソースに対応する複数のハッシュ範囲と比較されてもよい。ハッシュがＳ２Ｃリソースのハッシュ範囲に適合すると、そのＳ２Ｃリソースが選択され、パケットがそのＳ２Ｃリソースに送信される。

【0162】

クラウドインフラストラクチャ１５０の様々な構成要素を通るデータのフローは、図１２～１４においてさらに説明される。ＤＮＳクエリ、プロキシ無しトラフィック、およびＲＡＣトラフィックに関する例は、例示の目的のために提供される。説明を明確にするために、図９～６で説明した構成要素も参照される。

【0163】

図１２は、少なくとも１つの実施形態に従って、ＤＮＳトラフィックの一例を示す。サービスインスタンス９１２は、顧客のＤＮＳに属する特定のＦＱＤＮに対して、ＤＮＳクエリ１２１０を開始する。したがって、ＤＮＳ要求１２１２は、サービスインスタンス９１２からサービスプロバイダのＳ２Ｃインターフェイス９１４に送信される。一例において、ＤＮＳ要求１２１２は、ヘッダとペイロードを含むパケットである。ヘッダのソースアドレスは、サービスインスタンスのＩＰアドレス（例えば、１０．０．２．２）である。ヘッダの宛先アドレスは、Ｓ２Ｃインターフェイス９１４のＩＰアドレス（例えば、１０．０．３．１１として示された「ＩＰ１」）である。このＩＰアドレスは、ＤＮＳクエリに固有である。ペイロードは、ＦＱＤＮを含む。

【0164】

次に、ＤＮＳ要求１２１は、サービスプロバイダプライベートネットワーク９１０からＤＮＳリソース１１３０に送信される。論理レベルでは、Ｓ２Ｃインターフェイス９１４は、ＤＮＳ要求１２１２をＳＰＦ Ｓ２Ｃインターフェイス１１３２に送信する。物理レベルでは、ＤＮＳ要求１２１２は、仮想化装置群１１２０を介してルーティングされる。

【0165】

ＤＮＳプロキシ１１３６は、ＤＮＳ要求１２１を受信し、ＦＱＤＮと顧客によって定義されたＦＱＤＮリストとの間の適合を判定する。この判定は、文字列サフィックスの適合を含むことができる。その後、ＤＮＳプロキシ１１３６は、ヘッダ情報を変更することによって、ＤＮＳリクエスト１２１を更新する。例えば、ソースアドレスは、顧客のＳ２Ｃインターフェイス１０１２のＩＰアドレス（例えば、１０．０．２．２２として示された「ＩＰ２」）に変更され、このＩＰアドレスは、ＤＮＳクエリを受信するように構成されている。同様に、宛先アドレスは、顧客のＤＮＳリゾルバ１０１６のＩＰアドレス（例えば、１０．３３．３３）に変更される。ペイロードは、同じままであり、ＦＱＤＮを含む。結果として得られたＤＮＳ要求１２２２は、顧客プライベートネットワーク１０１０に送信される。論理レベルでは、ＣＦ Ｓ２Ｃインターフェイス１１３４は、ＤＮＳ要求１２２２を顧客のＳ２Ｃインターフェイス１０１２に送信する。物理レベルでは、ＤＮＳ要求１２２２は、仮想化装置群１１２０を介してルーティングされる。

【0166】

顧客のＳ２Ｃインターフェイス１０１２は、ＤＮＳ要求１２２２を受信し、そのヘッダに基づいて顧客のＤＮＳリゾルバ１０１６に送信する。その後、顧客のＤＮＳリゾルバ１０１６は、ＦＱＤＮを顧客ＩＰアドレス（例えば、顧客エンドポイント１０１４に対応する１０．０．１０．２）に解決し、ＤＮＳ応答１２３２を返送する。一例において、ＤＮＳ応答１２３２は、ヘッダとペイロードを含むパケットである。ヘッダのソースアドレスは、ＤＮＳリゾルバのＩＰアドレス（例えば、１０．３３．３３）である。ヘッダの宛先アドレスは、Ｓ２Ｃインターフェイス１０１２のＩＰアドレス（例えば、１０．０．２．２２として示された「ＩＰ２」）であり、このＩＰアドレスは、ＤＮＳクエリに固有である。ペイロードは、顧客ＩＰアドレス（例えば、１０．０．１０．２）を含む。

【0167】

顧客のＳ２Ｃインターフェイス１０１２は、ＤＮＳ応答１２３２を受信し、ＣＦ Ｓ２Ｃインターフェイス１１３４を介してＤＮＳ応答１２３２をＤＮＳプロキシ１１３６に送信する。ＤＮＳプロキシ１１３６は、ペイロードからのカスタムＩＰアドレスを保留ＩＰアドレス（２５４．０．２．３５）にマッピングし、得られたＮＡＴマッピング１２２４をＮＡＴマッピングデータストア１１４０に記憶する。また、ＤＮＳプロキシ１１３６は、ヘッダ情報を変更することによって、ＤＮＳレスポンス１２３２を更新する。例えば、ソースアドレスは、サービスのＳ２Ｃインターフェイス９１４のＩＰアドレス（例えば、１０．０．３．１１として示された「ＩＰ１」）に変更され、このＩＰアドレスは、ＤＮＳクエリを受信するように構成されている。同様に、宛先アドレスは、サービスインスタンス９１２のＩＰアドレス（例えば、１０．０．２．２）に変更される。ペイロードは、保留ＩＰアドレス（例えば、２５４．０．２．３５）を含む。結果として得られたＤＮＳ応答１２２６は、ＳＰＦ Ｓ２Ｃインターフェイス１１３２を介して、サービスプロバイダのＳ２Ｃインターフェイス９１４に送信される。サービスプロバイダのＳ２Ｃインターフェイス９１４は、そのヘッダ情報に基づいてＤＮＳ応答１２２６をサービスインスタンス９１２に送信する。

【0168】

図１３は、少なくとも１つの実施形態に従って、プロキシ無しトラフィックの一例を示す。この場合、サービスインスタンス９１２は、既にＤＮＳクエリを実行しており、顧客のＦＱＤＮを保留ＩＰアドレス（例えば、２５４．０．２．３５）に解決している。サービスインスタンス９１２は、Ｓ２Ｃトラフィック１３１２をゲートウェイに送信する。一例において、Ｓ２Ｃトラフィック１３１２は、パケットを含む。パケットのヘッダは、サービスインスタンスのＩＰアドレス（１０．０．２．２）をソースアドレスとして含み、保留ＩＰアドレスを宛先アドレスとして含む。

【0169】

次に、ゲートウェイ１１１０は、ＮＡＴマッピング１１１２をルックアップし、ＤＮＡＴマッピングから、保留ＩＰアドレスが顧客ＩＰアドレス（例えば、１０．０．１０．２）にマッピングされていることと、ＳＮＡＴマッピングから、サービスインスタンスＩＰアドレスがプロキシ無しトラフィック用の顧客のＳ２ＣインターフェイスのＩＰアドレス（例えば、１０．０．２．２１として示された「ＩＰ１」）にマッピングされていることとを決定する。ゲートウェイ１１１０は、ヘッダ情報を変更することによって、Ｓ２Ｃトラフィック１３１２を更新する。例えば、ソースアドレスは、顧客のＳ２ＣインターフェイスのＩＰアドレス（例えば、１０．０．２．２１）に変更される。同様に、宛先アドレスは、顧客ＩＰアドレス（例えば、１０．０．１０．２）に変更される。結果として得られたＳ２Ｃトラフィック１３２２は、顧客のＳ２Ｃインターフェイス１０１２に送信される。物理レベルでは、Ｓ２Ｃトラフィック１３２２は、仮想化装置群１１２０を介してルーティングされる。

【0170】

顧客のＳ２Ｃインターフェイス１０１２は、Ｓ２Ｃトラフィック１３２２を受信し、そのヘッダ情報に基づいて顧客エンドポイント１０１４に送信する。これに応答して、顧客エンドポイント１０１４は、Ｓ２Ｃリターン１３３２を生成して送信する。一例において、Ｓ２Ｃリターンはパケットを含む。当該パケットのヘッダは、顧客エンドポイントのＩＰアドレス（例えば、１０．０．１０．２）をソースアドレスとして含み、Ｓ２Ｃ顧客のＳ２Ｃインターフェイス１０１２のＩＰアドレス（例えば、１０．０．２．２１）を含む。

【0171】

その後、顧客のＳ２Ｃインターフェイス１０１２は、Ｓ２Ｃ応答１３３２をゲートウェイ１１１０に送信する。ゲートウェイは、ＮＡＴマッピング１１１２に基づいて、Ｓ２Ｃリターンを更新する。例えば、ソースアドレスは、保留ＩＰアドレス（例えば、２５４．０．２．３５）に変更され、宛先アドレスは、サービスインスタンス９１２のＩＰアドレス（例えば、１０．０．２．２）に変更される。結果として得られたＳ２Ｃリターン１３２４は、サービスインスタンス９１２に送信される。

【0172】

図１４は、少なくとも１つの実施形態に従って、ＤＮＳトラフィックの別の一例を示す。この場合、ＤＮＳクエリは、顧客ではなくサービスプロバイダのドメイン名に属するＦＱＤＮに対するものである。サービスインスタンス９１２は、ＦＱＤＮに対するＤＮＳクエリ１４１０を開始する。したがって、ＤＮＳ要求１４１２は、サービスインスタンス９１２からサービスプロバイダのＳ２Ｃインターフェイス９１４に送信される。一例において、ＤＮＳ要求１４１２は、ヘッダとペイロードを含むパケットである。ヘッダのソースアドレスは、サービスインスタンスのＩＰアドレス（例えば、１０．０．２．２）である。ヘッダの宛先アドレスは、Ｓ２Ｃインターフェイス９１４のＩＰアドレス（例えば、１０．０．３．１１として示された「ＩＰ１」）であり、このＩＰアドレスは、ＤＮＳクエリに固有である。ペイロードは、ＦＱＤＮを含む。

【0173】

次に、ＤＮＳ要求１４１２は、サービスプロバイダプライベートネットワーク９１０からＤＮＳリソース１１３０に送信される。論理レベルでは、Ｓ２Ｃインターフェイス９１４は、ＤＮＳ要求１４１２をＳＰＦ Ｓ２Ｃインターフェイス１１３２に送信する。物理レベルでは、ＤＮＳ要求１４１２は、仮想化装置群１１２０を介してルーティングされる。

【0174】

ＤＮＳプロキシ１１３６は、ＤＮＳ要求１４１２を受信し、ＦＱＤＮと顧客によって定義されたＦＱＤＮリストとの間に適合が存在していないと判定する。この判定は、文字列サフィックスの適合を含むことができる。したがって、ＤＮＳプロキシ１１３６は、ＦＱＤＮがサービスプロバイダのＤＮＳに属するという決定をデフォルト値にする。ＤＮＳプロキシ１１３６は、ソースアドレスをＳ２Ｃインターフェイス９１４のＩＰアドレス（例えば、１０．０．３．１１）に変更し、宛先アドレスをサービスプロバイダのＤＮＳリゾルバ９１８（例えば、１０．０．５５．５５）に変更することによって、ＤＮＳ要求１４１２を再アドレス指定する。結果として得られたクエリ要求１４２２は、Ｓ２Ｃインターフェイス９１４に送り返され、Ｓ２Ｃインターフェイス９１４は、クエリ要求１４２２をＤＮＳリゾルバ９１８に送信する。ＤＮＳリゾルバ９１８は、ＤＮＳ解決を実行し、ＦＱＤＮに対応するサービスプロバイダＩＰアドレスを決定すると、ＤＮＳ応答をＳ２Ｃインターフェイス９１４に送信する。ＤＮＳ応答１４１４は、ヘッダとペイロードを有するパケットであってもよい。ヘッダのソースアドレスは、ＤＮＳリゾルバ９１８のＩＰアドレス（例えば、１０．０．５５．５５）である。ヘッダの宛先アドレスは、Ｓ２Ｃインターフェイス９１４のＩＰアドレス（例えば、１０．０．３．１１）である。ペイロードは、サービスプロバイダＩＰアドレスを含む。次に、Ｓ２Ｃインターフェイス９１４は、ソースアドレスをＳ２Ｃインターフェイス９１４のＩＰアドレス（例えば、１０．０．３．１１）に変更し、宛先アドレスをサービスインスタンス９１２（例えば、１０．０．２．２）に変更することによって、ＤＮＳ応答１４１４を再アドレス指定する。結果として得られたクエリ応答１４１６は、サービスインスタンス９１２に送信される。

【0175】

図１５は、少なくとも１つの実施形態に従って、ＲＡＣトラフィックの一例を示す。図示のように、サービスインスタンス９１６は、ＲＡＣトラフィック１５１２を生成し送信する。ＲＡＣトラフィック１５１２は、ヘッダとペイロードを有するパケットを含むことができる。ヘッダのソースアドレスは、サービスインスタンス９１６のＩＰアドレス（例えば、１０．０．２．３）である。ヘッダの宛先アドレスは、Ｓ２Ｃインターフェイス９１４のＩＰアドレス（例えば、１０．０．３．１２として示された「ＩＰ２」）であり、このＩＰアドレスは、ＲＡＣトラフィック用に構成されている。ペイロードは、データベースクエリを含む。

【0176】

次に、ＲＡＣトラフィック１５１２は、サービスプロバイダプライベートネットワーク９１０からＲＡＣリソース１１５０に送信される。論理レベルでは、Ｓ２Ｃインターフェイス９１４は、ＲＡＣトラフィック１５１２をＳＰＦ Ｓ２Ｃインターフェイス１１５２に送信する。物理レベルでは、ＲＡＣトラフィック１５１２は、仮想化装置群１１２０を介してルーティングされる。

【0177】

ＲＡＣプロキシ１１５６は、ＲＡＣトラフィック１５１２を受信し、顧客プライベートネットワークに転送するためにＲＡＣトラフィック１５１２を再アドレス指定する。例えば、ソースＩＰアドレスは、顧客のＳ２Ｃインターフェイス１０１２のＩＰアドレス（例えば、１０．０．２．２２として示された「ＩＰ２」）に変更され、このＩＰアドレスは、ＲＡＣトラフィック用に構成されている。宛先ＩＰアドレスは、データベースサービス１０１８のＩＰアドレス（例えば、１０．０．１０．１０）に変更される。ペイロードは、変更されない。結果として得られたＳ２Ｃトラフィック１５２２は、ＣＦ Ｓ２Ｃインターフェイス１１５４を介して顧客のＳ２Ｃインターフェイス１０１２に送信される。

【0178】

顧客のＳ２Ｃインターフェイス１０１２は、Ｓ２Ｃトラフィック１５２２を受信し、そのヘッダに基づいてＳ２Ｃトラフィック１５２２をデータベースサービス１０１８に送信する。次に、データベースサービス１０１８は、ペイロードに基づいてＲＡＣリターン１５３２を生成して送信する。ＲＡＣリターン１５３２は、ヘッダとペイロードを有するパケットを含んでもよい。ヘッダのソースアドレスは、データベースサービスのＩＰアドレス（例えば、１０．０．１０．１０）である。ヘッダの宛先アドレスは、顧客のＳ２Ｃインターフェイス１０１２のＩＰアドレス（例えば、１０．０．２．２２）である。ペイロードは、データベースクエリの結果である。次に、顧客のＳ２Ｃインターフェイス１０１２は、ＣＦ Ｓ２Ｃインターフェイス１１５４を介して、ＲＡＣリターン１５３２をＲＡＣプロキシ１１５６に送信する。

【0179】

ＲＡＣプロキシ１１５６は、ＲＡＣリターン１５３２を受信し、サービスプロバイダプライベートネットワークに転送するためにＲＡＣリターン１５３２を再アドレス指定する。例えば、ソースＩＰアドレスは、サービスプロバイダのＳ２Ｃインターフェイス９１４のＩＰアドレス（例えば、１０．０．３．１２として示された「ＩＰ２」）に変更され、このＩＰアドレスは、ＲＡＣトラフィック用に構成されている。宛先ＩＰアドレスは、サービスインスタンスのＩＰアドレス（例えば、１０．０．２．３）に変更される。ペイロードは、変更されない。結果として得られたＲＡＣリターン１５２４は、ＳＰＦ Ｓ２Ｃインターフェイス１１５２を介して、サービスプロバイダのＳ２Ｃインターフェイス９１４に送信される。サービスプロバイダのＳ２Ｃインターフェイス９１４は、そのヘッダに基づいてＲＡＣリターン１５２４をサービスインスタンス９１６に送信する。

【0180】

図１６～２１は、Ｓ２Ｃアクセスを提供するためのフローの一例を示す。フローの動作を実行するための命令の一部または全ては、ハードウェア回路として実装されてもよく、および／または、例えばクラウドインフラストラクチャを含むコンピュータシステムの非一時的なコンピュータ可読媒体上でコンピュータ可読命令として記憶されてもよい。命令は、実装されると、コンピュータシステムのプロセッサによって実行可能な回路またはコードを含むモジュールを表す。このような命令を用いて、本明細書に記載された特定の動作を実行するようにコンピュータシステムを構成する。関連するプロセッサと組み合わせた各回路またはコードは、それぞれの動作を実行するための手段を表す。動作は、特定の順序で示されているが、理解すべきことは、特定の順序が必要ではなく、１つ以上の動作を省略し、スキップし、並列に実行してもよく、および／または動作の順序を変更してもよいことである。

【0181】

図１６は、少なくとも１つの実施形態に従って、Ｓ２Ｃサービスを提供するためのフローの一例を示す。このフローは、動作１６０２から開始することができる。動作１６０２において、サービスプロバイダデータを受信し、サービスプロバイダのサービスに関連付ける。例えば、サービスプロバイダは、ＶＣＮを含むサービスプロバイダプライベートネットワークを運用することができる。このＶＣＮは、クラウドインフラストラクチャのオーバーレイである。サービスプロバイダプライベートネットワークは、異なる種類のサービスをサポートすることができる。クラウドインフラストラクチャの制御プレーンは、サービスプロバイダの装置から入力を受信することができる。この入力は、サービスを構成するための様々なデータ、例えば、サービスを特定するためのデータ、およびサービスを提供するようにネットワーク構成を設定するためのデータ、例えば、使用されるサブネットおよびＩＰアドレスを含むことができる。動作１６０４において、顧客データを受信し、サーバに関連付ける。例えば、顧客は、ＶＣＮを含む顧客プライベートネットワークを運用することができる。このＶＣＮは、クラウドインフラストラクチャのオーバーレイである。クラウドインフラストラクチャの制御プレーンは、ユーザの装置から入力を受信することができる。この入力は、顧客のサービスを設定するための様々なデータ、例えば、サービスを特定するためのデータ、およびサービスがアクセスできるプライベートエンドポイントを設定するためのデータ、例えば、使用されるサブネット、ＩＰアドレスおよびＦＱＤＮを含むことができる。動作１６０６において、Ｓ２Ｃリソースを展開することができる。例えば、Ｓ２Ｃリソースは、サービスとプロバイダの対のために特別に展開され、顧客が要求するサービスをサポートする。この展開は、冗長ＤＮＳリソースおよび冗長ＲＡＣリソースなどのＳ２Ｃサービスを提供する冗長ホストを起動することを含むことができる。Ｓ２Ｃインターフェイスも展開されてもよい。動作１６０２において、ターゲットリソースへのサービスリソースのＳ２Ｃアクセスを管理する。例えば、Ｓ２Ｃリソースは、要求されたサービスに基づいて、Ｓ２Ｃアクセスを管理する。ＤＮＳクエリに対して、ＤＮＳリソースは、ＤＮＳプロキシおよびＮＡＴマッピング機能を提供することができる。ＲＡＣクエリに対して、ＲＡＣリソースは、アドレス変換を提供することができる。プロキシ無しトラフィックに対して、ゲートウェイは、プロキシ無しトラフィックをルーティングできるように、ＤＮＳリソースによって生成されたＮＡＴマッピングを検索することができる。

【0182】

図１７は、少なくとも１つの実施形態に従って、サービスプロバイダプライベートネットワークがＤＮＳトラフィック、プロキシ無しトラフィック、およびＲＡＣトラフィックをサポートするためのフローの一例を示す。例示的なフローは、サービスプロバイダプライベートネットワークのサービスリソースによって実行されてもよい。このフローは、動作１７０２から開始することができる。動作１７０２において、サービスインスタンスは、サービスインスタンスによって提供されるサービスを受信する顧客エンドポイントのＦＱＤＮを決定する。動作１７０４において、サービスインスタンスは、第１の所定のＩＰ宛先アドレスを有するＤＮＳクエリを送信する。例えば、この宛先アドレスは、サービスプロバイダのＳ２ＣインターフェイスのＩＰアドレス（例えば、第１の所定のＩＰアドレス）に設定される。このＩＰアドレスは、ＤＮＳクエリ用に設定される。動作１７０６において、サービスインスタンスは、ＤＮＳクエリ応答を受信する。このＤＮＳクエリ応答は、ＤＮＳ解決を示すペイロードを含むパケットであってもよい。このペイロードは、例えば、Ｓ２Ｃ ＤＮＳリソースによって顧客エンドポイントの顧客ＩＰアドレスにマッピングされた保留ＩＰアドレスを含むことができる。動作１７０８において、サービスインスタンスは、トラフィックを顧客エンドポイントに送信する。このトラフィックは、保留ＩＰアドレスを宛先アドレスとして使用し、サービスインスタンスのＩＰアドレスをソースアドレスとして使用するパケットを含むことができる。パケットは、ゲートウェイに送信されてもよい。動作１７１０において、サービスインスタンスは、トラフィックリターンを受信する。このトラフィックリターンは、顧客エンドポイントから送信され、ゲートウェイから受信され、パケットを含むことができる。このパケットは、保留ＩＰアドレスをソースアドレスとして使用し、サービスインスタンスのＩＰアドレスを宛先アドレス（例えば、第１の所定のＩＰアドレス）として使用する。動作１７１２において、同じまたは異なるサービスインスタンスは、ＲＡＣトラフィックを顧客のデータベースサービスに送信する。このＲＡＣトラフィックは、パケットを含むことができる。このパケットのソースアドレスは、サービスインスタンスのＩＰアドレスである。このパケットの宛先アドレスは、サービスプロバイダのＳ２Ｃインターフェイスの第２の所定のＩＰアドレスである。このＩＰアドレスは、ＲＡＣトラフィック用に設定される。動作１７１４において、サービスは、ＲＡＣリターンを受信する。このＲＡＣリターンは、顧客のデータベースサービスから発信され、Ｓ２Ｃインターフェイスから受信され、パケットを含むことができる。パケットは、Ｓ２Ｃインターフェイスの第２の所定のＩＰアドレスをソースアドレスとして使用し、サービスインスタンスのＩＰアドレスを宛先アドレスとして使用する。

【0183】

図１８は、少なくとも１つの実施形態に従って、顧客プライベートネットワークがＤＮＳトラフィック、プロキシ無しトラフィック、およびＲＡＣトラフィックをサポートするためのフローの一例を示す。動作１８０２において、顧客プライベートネットワークは、第１の所定のＩＰソースアドレスを有するＤＮＳクエリを受信する。例えば、ＤＮＳクエリは、ヘッダとペイロードを有するパケットを含む。ペイロードは、ＦＱＤＮを含む。ヘッダのソースアドレスは、顧客のＳ２ＣインターフェイスのＩＰアドレス（例えば、第１の所定のＩＰアドレス）であり、このＩＰアドレスは、ＤＮＳクエリ用に構成されている。ヘッダの宛先アドレスは、顧客のＤＮＳリゾルバのＩＰアドレスである。ＤＮＳクエリは、Ｓ２Ｃ ＤＮＳリソースから受信されてもよい。Ｓ２Ｃインターフェイスは、解決のためにＤＮＳクエリをＤＮＳリゾルバに送信する。動作１８０４において、顧客プライベートネットワークは、ＤＮＳ応答を送信する。このＤＮＳ応答は、パケットを含むことができる。このパケットのペイロードは、ＦＱＤＮに関連付けられた顧客ＩＰアドレスを含む。このパケットのヘッダのソースアドレスは、ＤＮＳリゾルバのＩＰアドレスであり、このパケットのヘッダの宛先アドレスは、顧客のＳ２ＣインターフェイスのＩＰアドレス（例えば、第１の所定のＩＰアドレス）である。Ｓ２Ｃインターフェイスは、ＤＮＳ応答をＳ２Ｃ ＤＮＳリソースに送信する。動作１８０６において、顧客プライベートネットワークは、顧客エンドポイントへのトラフィックを受信する。このトラフィックは、サービスインスタンスから発信され、ゲートウェイを介して送信されるパケットを含むことができる。このパケットの宛先アドレスは、顧客エンドポイントのＩＰアドレスである。このパケットのソースアドレスは、顧客のＳ２Ｃインターフェイスの第２の所定のＩＰアドレスであり、このＩＰアドレスは、プロキシ無しトラフィック用に構成されている。動作１８０８において、顧客プライベートネットワークは、トラフィックリターンを送信する。同様に、トラフィックリターンは、パケットを含むことができる。このパケットの宛先アドレスは、第２の所定のＩＰアドレスである。このパケットのソースアドレスは、顧客エンドポイントのＩＰアドレスである。動作１８１０において、顧客プライベートネットワークは、データベースサービスへのＲＡＣトラフィックを受信する。このトラフィックは、サービスインスタンスから発信され、Ｓ２Ｃ ＲＡＣリソースを介して送信されるパケットを含むことができる。パケットの宛先アドレスは、データベースサービスのＩＰアドレスである。このパケットのソースアドレスは、顧客のＳ２Ｃインターフェイスの第１の所定のＩＰアドレスである。動作１８１２において、顧客プライベートネットワークは、ＲＡＣリターンを送信する。ＲＡＣリターンは、パケットを含むことができる。このパケットの宛先アドレスは、第１の所定のＩＰアドレスである。このパケットのソースアドレスは、データベースサービスのＩＰアドレスである。

【0184】

図１９は、少なくとも１つの実施形態に従って、Ｓ２ＣリソースがＤＮＳサービスをサポートするためのフローの一例を示す。Ｓ２Ｃリソースは、例えば、ＤＮＳリソースを含むことができる。一例において、フローは、動作１９０２から開始することができる。動作１９０２において、ＤＮＳリソースは、ＤＮＳクエリを受信する。ＤＮＳクエリは、サービスインスタンスから送信され、パケットを含み、サービスプロバイダのＳ２Ｃインターフェイスから受信されてもよい。したがって、このパケットの宛先アドレスは、サービスプロバイダのＳ２Ｃインターフェイスの第１の所定のＩＰアドレスであり、このＩＰアドレスは、ＤＮＳクエリ用に構成されている。このパケットのペイロードは、ＦＱＤＮを含むことができる。このパケットのソースアドレスは、サービスインスタンスのＩＰアドレスである。動作１９０４において、ＤＮＳリソースは、ＦＱＤＮが顧客によって定義されたＦＤＱＮリストと適合するか否かを判定する調停を実行することができる。そうである場合、動作１９０４の後に動作１９１０が実行される。そうでない場合、動作１９２０が実行される。動作１９１０において、ＤＮＳリソースは、ペイロードを含み、顧客のＤＮＳリゾルバへのＤＮＳクエリを送信する。ＤＮＳクエリは、パケットであってもよい。このパケットの宛先アドレスは、ＤＮＳリゾルバのＩＰアドレスであってもよい。このパケットのソースアドレスは、顧客のＳ２Ｃインターフェイスの第２の所定のＩＰアドレスであってもよい。このＩＰアドレスは、ＤＮＳクエリ用に構成されている。ＤＮＳクエリは、顧客のＳ２Ｃインターフェイスを介して、ＤＮＳリゾルバに送信される。動作１９１２において、ＤＮＳリソースは、ＤＮＳクエリに対するＤＮＳ応答を受信する。ＤＮＳ応答は、顧客のＤＮＳリゾルバから送信され、顧客のＳ２Ｃインターフェイスを介して受信され、ＦＱＤＮに関連付けられた顧客エンドポイントの顧客ＩＰアドレスを含む。ＤＮＳ応答は、パケットを含むことができる。このパケットの宛先アドレスは、顧客のＳ２Ｃインターフェイスの第２の所定のＩＰアドレスである。ソースアドレスは、ＤＮＳリゾルバのＩＰアドレスである。動作１９１４において、ＤＮＳリソースは、ＤＮＳ応答からの顧客ＩＰアドレスを保留ＩＰアドレスにマッピングする。動作１９１６において、ＤＮＳリソースは、このＮＡＴマッピングをＮＡＴマッピングデータストアに記憶する。動作１９１８において、ＤＮＳリソースは、保留ＩＰアドレスを含むＤＮＳ応答を送信する。例えば、ＤＮＳ応答は、パケットである。このパケットのペイロードは、保留ＩＰアドレスを含む。このパケットのソースアドレスは、サービスプロバイダのＳ２Ｃインターフェイスの第１の所定のＩＰアドレスである。このパケットの宛先アドレスは、サービスインスタンスのＩＰアドレスである。このパケットは、サービスプロバイダのＳ２Ｃインターフェイスに送信される。動作１９２０において、ＤＮＳリソースは、ＦＱＤＮがサービスプロバイダに属することを決定する。したがって、ＤＮＳリソースは、ＤＮＳクエリをサービスプロバイダのＤＮＳリゾルバに送信する。ＤＮＳクエリは、ペイロード内のＦＱＤＮを有するパケットを含むことができる。このパケットのソースアドレスは、サービスプロバイダのＳ２Ｃインターフェイスの第１の所定のＩＰアドレスである。このパケットの宛先アドレスは、サービスプロバイダのＤＮＳリゾルバのＩＰアドレスである。このパケットは、サービスプロバイダのＳ２Ｃインターフェイスに送信される。

【0185】

図２０は、少なくとも１つの実施形態に従って、プロキシ無しＳ２Ｃトラフィックをサポートするためのフローの一例を示す。一例において、フローは、動作２００２から開始することができる。動作２００２において、ゲートウェイは、保留ＩＰアドレスを有するトラフィックを受信する。例えば、このトラフィックは、パケットを含む。このパケットのソースアドレスは、サービスインスタンスのＩＰアドレスである。このパケットの宛先アドレスは、保留ＩＰアドレスである。動作２００４において、ゲートウェイは、顧客エンドポイントの顧客ＩＰアドレスを決定する。例えば、保留ＩＰアドレスは、保留ＩＰアドレスを顧客ＩＰアドレスに関連付けるＮＡＴマッピングをルックアップするときに使用される。動作２００６において、ゲートウェイは、顧客ＩＰアドレスを用いてトラフィックを送信する。例えば、パケットのヘッダを更新することによって、宛先アドレスを保留ＩＰアドレスから顧客ＩＰアドレスに変更する。ソースアドレスも、顧客のＳ２ＣインターフェイスのＩＰアドレスに更新されてもよい。このＩＰアドレスは、プロキシ無しＳ２Ｃトラフィック用に構成されている。パケットは、顧客のＳ２Ｃインターフェイスに送信されてもよい。動作２００８において、ゲートウェイは、顧客ＩＰアドレスを有するトラフィックリターンを受信する。例えば、トラフィックリターンは、パケットを含む。このパケットのソースアドレスは、顧客ＩＰアドレスである。このパケットの宛先アドレスは、顧客のＳ２ＣインターフェイスのＩＰアドレスである。このパケットは、顧客のＳ２Ｃインターフェイスから受信されてもよい。動作２０１０において、ゲートウェイは、保留ＩＰアドレスを決定する。例えば、ＮＡＴマッピングの逆ルックアップが用いられる。動作２０１４において、ゲートウェイは、保留ＩＰアドレスを有するトラフィックリターンを送信する。例えば、トラフィックリターンは、パケットを含む。このパケットのソースアドレスは、保留ＩＰアドレスである。このパケットの宛先アドレスは、サービスインスタンスのＩＰアドレスである。このパケットは、サービスインスタンスに送信される。

【0186】

図２１は、少なくとも１つの実施形態に従って、Ｓ２ＣリソースがＲＡＣサービスをサポートするためのフローの一例を示す。一例において、フローは、動作２１０２から開始することができる。動作２１０２において、ＲＡＣリソースは、ＲＡＣトラフィックを受信する。ＲＡＣトラフィックは、サービスプロバイダプライベートネットワークのサービスインスタンスから送信され、パケットを含むことができる。このパケットのソースアドレスは、サービスインスタンスのＩＰアドレスである。このパケットの宛先アドレスは、サービスプロバイダのＩＰアドレスの第１の所定のＩＰアドレスである。このＩＰアドレスは、ＲＡＣトラフィック用に構成されている。このパケットは、サービスプロバイダのＳ２Ｃインターフェイスから受信されてもよい。動作２１０４において、ＲＡＣリソースは、顧客のＳ２Ｃインターフェイスの第２の所定のＩＰアドレスを決定する。このＩＰアドレスは、ＲＡＣトラフィック用に構成されている。動作２１０６において、ＲＡＣリソースは、第２の所定のＩＰアドレスを用いてＲＡＣトラフィックを送信する。例えば、パケットのヘッダを更新することによって、宛先アドレスは、第１の所定のＩＰアドレスから顧客のデータベースサービスのＩＰアドレスに変更される。パケットのソースアドレスは、サービスインスタンスのＩＰアドレスから第２の所定のＩＰアドレスに変更される。パケットは、顧客のＳ２Ｃインターフェイスに送信されてもよい。動作２１０８において、ＲＡＣリソースは、第２の所定のＩＰアドレスを有するＲＡＣリターンを受信する。例えば、ＲＡＣリターンは、パケットを含む。このパケットのソースアドレスは、データベースサービスのＩＰアドレスである。このパケットの宛先アドレスは、顧客のＳ２Ｃインターフェイスの第２の所定のＩＰアドレスである。このパケットは、顧客のＳ２Ｃインターフェイスから受信されてもよい。動作２１１０において、ＲＡＣサービスは、第１の所定のＩＰアドレスを、ＲＡＣリターンを送信すべきアドレスとして決定する。動作２１１４において、ＲＡＣサービスは、第１の所定のＩＰアドレスを有するＲＡＣリターンを送信する。例えば、ＲＡＣリターンは、パケットを含む。このパケットのソースアドレスは、第１の所定のＩＰアドレスである。このパケットの宛先アドレスは、サービスインスタンスのＩＰアドレスである。このパケットは、サービスプロバイダのＳ２Ｃインターフェイスに送信される。

【0187】

ＩａａＳアーキテクチャの例
上述したように、ＩａａＳ（Infrastructure as a Service）は、１つの特定の種類のクラウドコンピューティングである。ＩａａＳは、パブリックネットワーク（例えば、インターネット）を介して仮想化計算リソースを提供するように構成されてもよい。ＩａａＳモデルにおいて、クラウドコンピューティングプロバイダは、インフラストラクチャ要素（例えば、サーバ、記憶装置、ネットワークノード（例えば、ハードウェア）、展開ソフトウェア、プラットフォーム仮想化（例えば、ハイパーバイザ層）など）をホストすることができる。場合によっては、ＩａａＳプロバイダは、インフラストラクチャ要素に付随する様々なサービス（例えば、課金、監視、ロギング、セキュリティ、負荷分散およびクラスタリングなど）を提供することができる。したがって、これらのサービスがポリシー駆動型であり得るため、ＩａａＳユーザは、アプリケーションの可用性および性能を維持するために、負荷分散を駆動するためのポリシーを実装することができる。

【0188】

いくつかの例において、ＩａａＳ顧客は、インターネットなどの広域ネットワーク（ＷＡＮ）を介してリソースおよびサービスにアクセスすることができ、クラウドプロバイダのサービスを使用してアプリケーションスタックの残りの要素をインストールすることができる。例えば、ユーザは、ＩａａＳプラットフォームにログインして、仮想マシン（ＶＭ）を作成し、各ＶＭにオペレーティングシステム（ＯＳ）をインストールし、データベースなどのミドルウエアを展開し、ワークロードおよびバックアップの記憶バケットを作成し、ＶＭに企業ソフトウェアをインストールすることができる。顧客は、プロバイダのサービスを使用して、ネットワークトラフィックのバランシング、アプリケーションのトラブルシューティング、パフォーマンスの監視、災害復旧の管理などを含む様々な機能を実行することができる。

【0189】

殆どの場合、クラウドコンピューティングモデルは、クラウドプロバイダの参加を必要とする。クラウドプロバイダは、ＩａａＳの提供（例えば、オファー、レンタル、販売）に特化した第３者サービスであってもよいが、その必要はない。また、企業は、プライベートクラウドを配置し、インフラストラクチャサービスを提供するプロバイダになることもできる。

【0190】

いくつかの例において、ＩａａＳの配置は、用意したアプリケーションサーバなどに新しいアプリケーションまたは新しいバージョンのアプリケーションを配置するプロセスである。ＩａａＳの配置は、サーバを用意する（例えば、ライブラリ、デーモンなどをインストールする）プロセスを含んでもよい。ＩａａＳの配置は、多くの場合、クラウドプロバイダによって、ハイパーバイザ層（例えば、サーバ、記憶装置、ネットワークハードウェア、および仮想化）の下で管理される。したがって、顧客は、ＯＳ、ミドルウエア、および／またはアプリケーションの展開（例えば、セルフサービス仮想マシン（例えば、オンデマンドでスピンアップできるもの）などを行うことができる。

【0191】

いくつかの例において、ＩａａＳのプロビジョニングは、使用されるコンピュータまたは仮想ホストを取得すること、およびコンピュータまたは仮想ホスト上に必要なライブラリまたはサービスをインストールすることを含んでもよい。殆どの場合、配置は、プロビジョニングを含まず、まずプロビジョニングを実行する必要がある。

【0192】

場合によっては、ＩａａＳのプロビジョニングには２つの異なる課題がある。第１に、何かを実行する前に、インフラストラクチャの初期セットをプロビジョニングするという課題がある。第２に、全てのものをプロビジョニングした後に、既存のインフラストラクチャを進化させる（例えば、新しいサービスの追加、サービスの変更、サービスの削除）という課題がある。場合によっては、インフラストラクチャの構成を宣言的に定義することを可能にすることによって、これらの２つの課題に対処することができる。言い換えれば、インフラストラクチャ（例えば、どの要素が必要とされるか、およびこれらの要素がどのように相互作用するか）は、１つ以上の構成ファイルによって定義されてもよい。したがって、インフラストラクチャの全体的なトポロジー（例えば、どのリソースがどれに依存し、どのように連携するか）は、宣言的に記述することができる。いくつかの例において、トポロジが定義されると、構成ファイルに記述された異なる要素を作成および／または管理するためのワークフローを生成することができる。

【0193】

いくつかの例において、インフラストラクチャは、多くの相互接続された要素を含むことができる。例えば、コアネットワークとしても知られている１つ以上の仮想プライベートクラウド（ＶＰＣ）（例えば、構成可能な計算リソースおよび／または共有されている計算リソースの潜在的なオンデマンドプール）が存在してもよい。いくつかの例において、ネットワークのセキュリティがどのように設定されるかを定義するためにプロビジョニングされる１つ以上のセキュリティグループルールと、１つ以上の仮想マシン（ＶＭ）とが存在する可能性がある。ロードバランサ、データベースなどの他のインフラストラクチャ要素もプロビジョニングされてもよい。ますます多くのインフラストラクチャ要素が望まれるおよび／または追加されるにつれて、インフラストラクチャは、漸進的に進化することができる。

【0194】

いくつかの例において、様々な仮想コンピューティング環境にわたってインフラストラクチャコードの展開を可能にするために、連続展開技法を採用してもよい。また、記載された技法は、これらの環境内のインフラストラクチャ管理を可能にすることができる。いくつかの例において、サービスチームは、１つ以上の、通常多くの異なる生産環境（例えば、時には全世界に及ぶ種々の異なる地理的場所にわたって）に展開されることが望まれるコードを書き込むことができる。しかしながら、いくつかの例において、コードを展開するためのインフラストラクチャを最初に設定しなければならない。いくつかの例において、プロビジョニングは、手動で行うことができ、プロビジョニングツールを用いてリソースをプロビジョニングすることができ、および／またはインフラストラクチャをプロビジョニングした後に、展開ツールを用いてコードを展開することができる。

【0195】

図２２は、少なくとも１つの実施形態に従って、ＩａａＳアーキテクチャの例示的なパターンを示すブロック図２２００である。サービスオペレータ２２０２は、仮想クラウドネットワーク（ＶＣＮ）２２０６およびセキュアホストサブネット２２０８を含み得るセキュアホストテナンシ２２０４に通信可能に接続されてもよい。いくつかの例において、サービスオペレータ２２０２は、１つ以上のクライアントコンピューティング装置を使用することができる。１つ以上のクライアントコンピューティング装置は、例えば、Microsoft Windows Mobile（登録商標）のようなソフトウェア、および／またはｉＯＳ、Windowsフォン、アンドロイド（登録商標）、ブラックベリー８およびパームＯＳなどのさまざまなモバイルオペレーティングシステムを実行することができ、インターネット、電子メール、ショートメッセージサービス（ＳＭＳ）、ブラックベリー（登録商標）または他の通信プロトコルが有効化された手持ち式携帯装置（例えば、iPhone（登録商標）、携帯電話、Ipad（登録商標）、タブレット、携帯情報端末（ＰＤＡ）またはウエアラブル装置（Google Glass（登録商標）ヘッドマウントディスプレイ）であってもよい。クライアントコンピューティング装置は、例示として、Microsoft Windows（登録商標）オペレーティングシステム、Apple Macintosh（登録商標）オペレーティングシステムおよび／またはLinux（登録商標）オペレーティングシステムのさまざまなバージョンを実行するパーソナルコンピュータおよび／またはラップトップコンピュータを含む汎用のパーソナルコンピュータであってもよい。代替的には、クライアントコンピューティング装置は、例えば、さまざまなGNU/Linuxオペレーティングシステム、例えば、Google Chrome（登録商標）ＯＳを含むがこれに限定されない市販のUNIX（登録商標）またはUNIXに類似するさまざまなオペレーティングシステムを実行するワークステーションコンピュータであってもよい。代替的にまたは追加的には、クライアントコンピューティング装置は、ＶＣＮ２２０６および／またはインターネットにアクセスできるネットワークを介して通信可能な他の電子機器、例えば、シンクライアントコンピュータ、インターネット対応のゲームシステム（例えば、Kinect（登録商標）ジェスチャ入力装置を備えるまたは備えないMicrosoft Xbox（登録商標）ゲームコンソール）、および／またはパーソナルメッセージング装置であってもよい。

【0196】

ＶＣＮ２２０６は、ＳＳＨ ＶＣＮ２２１２に含まれるＬＰＧ２２１０を介して、セキュアシェル（ＳＳＨ）ＶＣＮ２２１２に通信可能に接続できるローカルピアリングゲートウェイ（ＬＰＧ）２２１０を含むことができる。ＳＳＨ ＶＣＮ２２１２は、ＳＳＨサブネット２２１４を含むことができ、ＳＳＨ ＶＣＮ２２１２は、制御プレーンＶＣＮ２２１６に含まれるＬＰＧ２２１０を介して、制御プレーンＶＣＮ２２１６に通信可能に接続されることができる。また、ＳＳＨ ＶＣＮ２２１２は、ＬＰＧ２２１０を介して、データプレーンＶＣＮ２２１８に通信可能に接続されることができる。制御プレーンＶＣＮ２２１６およびデータプレーンＶＣＮ２２１８は、ＩａａＳプロバイダによって所有および／または運営され得るサービステナンシ２２１９に含まれてもよい。

【0197】

制御プレーンＶＣＮ２２１６は、境界ネットワーク（例えば、企業イントラネットと外部ネットワークとの間の企業ネットワークの部分）として機能する制御プレーンＤＭＺ（demilitarized zone）層２２２０を含むことができる。ＤＭＺベースのサーバは、特定の信頼性を有し、セキュリティ侵害を封じ込めることができる。さらに、ＤＭＺ層２２２０は、１つ以上のロードバランサ（ＬＢ）サブネット２２２２と、アプリサブネット２２２６を含むことができる制御プレーンアプリ層２２２４と、データベース（ＤＢ）サブネット２２３０（例えば、フロントエンドＤＢサブネットおよび／またはバックエンドＤＢサブネット）を含むことができる制御プレーンデータ層２２２８とを含むことができる。制御プレーンＤＭＺ層２２２０に含まれたＬＢサブネット２２２２は、制御プレーンアプリ層２２２４に含まれるアプリサブネット２２２６と制御プレーンＶＣＮ２２１６に含まれ得るインターネットゲートウェイ２２３４とに通信可能に接続されてもよく、アプリサブリ２２２６は、制御プレーンデータ層２２２８に含まれるＤＢサブネット２２３０と、サービスゲートウェイ２２３６と、ネットワークアドレス変換（ＮＡＴ）ゲートウェイ２２３８とに通信可能に接続されてもよい。制御プレーンＶＣＮ２２１６は、サービスゲートウェイ２２３６およびＮＡＴゲートウェイ２２３８を含むことができる。

【0198】

制御プレーンＶＣＮ２２１６は、データプレーンミラーアプリ層２２４０を含むことができ、データプレーンミラーアプリ層２２４０は、アプリサブネット２２２６を含むことができる。データプレーンミラーアプリ層２２４０に含まれたアプリサブネット２２２６は、計算インスタンス２２４４を実行することができる仮想ネットワークインターフェイスコントローラ（ＶＮＩＣ）２２４２を含むことができる。計算インスタンス２２４４は、データプレーンミラーアプリ層２２４０のアプリサブネット２２２６を、データプレーンアプリ層２２４６に含まれ得るアプリサブネット２２２６に通信可能に接続することができる。

【0199】

データプレーンＶＣＮ２２１８は、データプレーンアプリ層２２４６と、データプレーンＤＭＺ層２２４８と、データプレーンデータ層２２５０とを含むことができる。データプレーンＤＭＺ層２２４８は、データプレーンアプリ層２２４６のアプリサブネット２２２６およびデータプレーンＶＣＮ２２１８のインターネットゲートウェイ２２３４に通信可能に接続され得るＬＢサブネット２２２２を含むことができる。アプリサブネット２２２６は、データプレーンＶＣＮ２２１８のサービスゲートウェイ２２３６およびデータプレーンＶＣＮ２２１８のＮＡＴゲートウェイ２２３８に通信可能に接続されてもよい。また、データプレーンデータ層２２５０は、データプレーンアプリ層２２４６のアプリサブネット２２２６に通信可能に接続され得るＤＢサブネット２２３０を含むことができる。

【0200】

制御プレーンＶＣＮ２２１６のインターネットゲートウェイ２２３４およびデータプレーンＶＣＮ２２１８のインターネットゲートウェイ２２３４は、パブリックインターネット２２５４に通信可能に接続され得るメタデータ管理サービス２２５２に通信可能に接続されてもよい。パブリックインターネット２２５４は、制御プレーンＶＣＮ２２１６のＮＡＴゲートウェイ２２３８およびデータプレーンＶＣＮ２２１８のＮＡＴゲートウェイ２２３８に通信可能に接続されてもよい。制御プレーンＶＣＮ２２１６のサービスゲートウェイ２２３６およびデータプレーンＶＣＮ２２１８のサービスゲートウェイ２２３６は、クラウドサービス２２５６に通信可能に接続されてもよい。

【0201】

いくつかの例において、制御プレーンＶＣＮ２２１６またはデータプレーンＶＣＮ２２１８のサービスゲートウェイ２２３６は、パブリックインターネット２２５４を経由することなく、クラウドサービス２２５６へのアプリケーションプログラミングインターフェイス（ＡＰＩ）呼び出しを行うことができる。サービスゲートウェイ２２３６からのクラウドサービス２２５６へのＡＰＩ呼び出しは、一方向であり得る。サービスゲートウェイ２２３６は、クラウドサービス２２５６へのＡＰＩ呼び出しを行うことができ、クラウドサービス２２５６は、要求データをサービスゲートウェイ２２３６に送信することができる。しかしながら、クラウドサービス２２５６は、サービスゲートウェイ２２３６へのＡＰＩ呼び出しを開始しないことがある。

【0202】

いくつかの例において、セキュアホストテナンシ２２０４は、孤立であり得るサービステナンシ２２１９に直接に接続されてもよい。セキュアホストサブネット２２０８は、孤立のシステムとの双方向通信を可能にするＬＰＧ２２１０を介して、ＳＳＨサブネット２２１４と通信することができる。セキュアホストサブネット２２０８をＳＳＨサブネット２２１４に接続することによって、セキュアホストサブネット２２０８は、サービステナンシ２２１９内の他のエンティティにアクセスすることができる。

【0203】

制御プレーンＶＣＮ２２１６は、サービステナンシ２２１９のユーザが所望のリソースを設定またはプロビジョニングすることを可能にする。制御プレーンＶＣＮ２２１６においてプロビジョニングされた所望のリソースは、データプレーンＶＣＮ２２１８において展開または使用されてもよい。いくつかの例において、制御プレーンＶＣＮ２２１６は、データプレーンＶＣＮ２２１８から隔離されてもよく、制御プレーンＶＣＮ２２１６のデータプレーンミラーアプリ層２２４０は、データプレーンミラーアプリ層２２４０およびデータプレーンアプリ層２２４６に含まれ得るＶＮＩＣ２２４２を介して、データプレーンＶＣＮ２２１８のデータプレーンアプリ層２２４６と通信することができる。

【0204】

いくつかの例において、システムのユーザまたは顧客は、要求をメタデータ管理サービス２２５２に通信することができるパブリックインターネット２２５４を介して、例えば、作成、読み取り、更新、または削除（ＣＲＵＤ）操作などの要求を行うことができる。メタデータ管理サービス２２５２は、インターネットゲートウェイ２２３４を介して、要求を制御プレーンＶＣＮ２２１６に通信することができる。要求は、制御プレーンＤＭＺ層２２２０に含まれるＬＢサブネット２２２２によって受信されてもよい。ＬＢサブネット２２２２は、要求が有効であると判断することができ、この判断に応答して、ＬＢサブネット２２２２は、要求を制御プレーンアプリ層２２２４に含まれるアプリサブネット２２２６に送信することができる。要求が検証され、パブリックインターネット２２５４への呼び出しを必要とする場合、パブリックインターネット２２５４への呼び出しを、パブリックインターネット２２５４への呼び出しを行うことができるＮＡＴゲートウェイ２２３８に送信することができる。要求を記憶するためのメモリは、ＤＢサブネット２２３０に格納されてもよい。

【0205】

いくつかの例において、データプレーンミラーアプリ層２２４０は、制御プレーンＶＣＮ２２１６とデータプレーンＶＣＮ２２１８との間の直接通信を容易にすることができる。例えば、構成に対する変更、更新、または他の適切な修正は、データプレーンＶＣＮ２２１８に含まれるリソースに適用されることが望ましい場合がある。制御プレーンＶＣＮ２２１６は、ＶＮＩＣ２２４２を介してデータプレーンＶＣＮ２２１８に含まれるリソースと直接に通信することができるため、構成に対する変更、更新、または他の適切な修正を実行することができる。

【0206】

いくつかの実施形態において、制御プレーンＶＣＮ２２１６およびデータプレーンＶＣＮ２２１８は、サービステナンシ２２１９に含まれてもよい。この場合、システムのユーザまたは顧客は、制御プレーンＶＣＮ２２１６またはデータプレーンＶＣＮ２２１８のいずれかを所有または操作しなくてもよい。代わりに、ＩａａＳプロバイダは、制御プレーンＶＣＮ２２１６およびデータプレーンＶＣＮ２２１８を所有または操作してもよく、これらの両方は、サービステナンシ２２１９に含まれてもよい。この実施形態は、ネットワークの隔離を可能にすることによって、ユーザまたは顧客が他のユーザのリソースまたは他の顧客のリソースと対話することを防止できる。また、この実施形態は、システムのユーザまたは顧客が、記憶するための所望のレベルのセキュリティを有しない可能性のあるパブリックインターネット２２５４に依存する必要なく、データベースをプライベートに記憶することを可能にすることができる。

【0207】

他の実施形態において、制御プレーンＶＣＮ２２１６に含まれるＬＢサブネット２２２２は、サービスゲートウェイ２２３６から信号を受信するように構成されてもよい。この実施形態において、制御プレーンＶＣＮ２２１６およびデータプレーンＶＣＮ２２１８は、パブリックインターネット２２５４を呼び出すことなく、ＩａａＳプロバイダの顧客によって呼び出されるように構成されてもよい。顧客が使用するデータベースは、ＩａａＳプロバイダによって制御され、パブリックインターネット２２５４から隔離され得るサービステナンシ２２１９に格納され得るため、ＩａａＳプロバイダの顧客は、この実施形態を望む場合がある。

【0208】

図２３は、少なくとも１つの実施形態に従って、ＩａａＳアーキテクチャの別の例示的なパラメータを示すブロック図２３００である。サービスオペレータ２３０２（例えば、図２２のサービスオペレータ２２０２）は、仮想クラウドネットワーク（ＶＣＮ）２３０６（例えば、図２２のＶＣＮ２２０６）およびセキュアホストサブネット２３０８（例えば、図２２のセキュアホストサブネット２２０８）を含み得るセキュアホストテナンシ２３０４（例えば、図２２のセキュアホストテナンシ２２０４）に通信可能に接続されてもよい。ＶＣＮ２３０６は、ＳＳＨ ＶＣＮ２３１２に含まれるＬＰＧ２２１０を介してセキュアシェル（ＳＳＨ）ＶＣＮ２３１２（例えば、図２２のＳＳＨ ＶＣＮ２２１２）に通信可能に接続され得るローカルピアリングゲートウェイ（ＬＰＧ）２３１０（例えば、図２２のＬＰＧ２２１０）を含むことができる。ＳＳＨ ＶＣＮ２３１２は、ＳＳＨサブネット２３１４（例えば、図２２のＳＳＨサブネット２２１４）を含むことができ、ＳＳＨ ＶＣＮ２３１２は、制御プレーンＶＣＮ２３１６に含まれるＬＰＧ２３１０を介して制御プレーンＶＣＮ２３１６（例えば、図２２の制御プレーンＶＣＮ２２１６）に通信可能に接続することができる。制御プレーンＶＣＮ２３１６は、サービステナンシ２３１９（例えば、図２２のサービステナンシ２２１９）に含まれてもよく、データプレーンＶＣＮ２３１８（例えば、図２２のデータプレーンＶＣＮ２２１８）は、システムのユーザまたは顧客によって所有または運営され得る顧客テナンシ２３２１に含まれてもよい。

【0209】

制御プレーンＶＣＮ２３１６は、ＬＢサブネット２３２２（例えば、図２２のＬＢサブネット２２２２）を含むことができる制御プレーンＤＭＺ層２３２０（例えば、図２２の制御プレーンＤＭＺ層２２２０）と、アプリサブネット２３２６（例えば、図２２のアプリサブネット２２２６）を含むことができる制御プレーンアプリ層２３２４（例えば、図２２の制御プレーンアプリ層２２２４）と、データベース（ＤＢ）サブネット２３３０（例えば、図２２のＤＢサブネット２２３０）を含むことができる制御プレーンデータ層２３２８（例えば、図２２の制御プレーンデータ層２２２８）とを含むことができる。制御プレーンＤＭＺ層２３２０に含まれるＬＢサブネット２３２２は、制御プレーンアプリ層２３２４に含まれるアプリサブネット２３２６と、制御プレーンＶＣＮ２３１６に含まれ得るインターネットゲートウェイ２３３４（例えば、図２２のインターネットゲートウェイ２２３４）とに通信可能に接続されてもよい。アプリサブネット２３２６は、制御プレーンデータ層２３２８に含まれるＤＢサブネット２３３０、サービスゲートウェイ２３３６（例えば、図２２のサービスゲートウェイ）およびネットワークアドレス変換（ＮＡＴ）ゲートウェイ２３３８（例えば、図２２のＮＡＴゲートウェイ２２３８）に通信可能に接続されてもよい。制御プレーンＶＣＮ２３１６は、サービスゲートウェイ２３３６およびＮＡＴゲートウェイ２３３８を含むことができる。

【0210】

制御プレーンＶＣＮ２３１６は、アプリサブネット２３２６を含むことができるデータプレーンミラーアプリ層２３４０（例えば、図２２のデータプレーンミラーアプリ層２２４０）を含むことができる。データプレーンミラーアプリ層２３４０に含まれるアプリサブネット２３２６は、（例えば、図２２の計算インスタンス２２４４と同様の）計算インスタンス２３４４を実行することができる仮想ネットワークインターフェイスコントローラ（ＶＮＩＣ）２３４２（例えば、ＶＮＩＣ２２４２）を含むことができる。計算インスタンス２３４４は、データプレーンミラーアプリ層２３４０に含まれるＶＮＩＣ２３４２およびデータプレーンアプリ層２３４６に含まれるＶＮＩＣ２３４２を介して、データプレーンミラーアプリ層２３４０のアプリサブネット２３２６と、データプレーンアプリ層２３４６（例えば、図２２のデータプレーンアプリ層２２４６）に含まれ得るアプリサブネット２３２６との間の通信を促進することができる。

【0211】

制御プレーンＶＣＮ２３１６に含まれるインターネットゲートウェイ２３３４は、パブリックインターネット２３５４（例えば、図２２のパブリックインターネット２２５４）に通信可能に接続され得るメタデータ管理サービス２３５２（例えば、図２２のメタデータ管理サービス２２５２）に通信可能に接続されてもよい。パブリックインターネット２３５４は、制御プレーンＶＣＮ２３１６に含まれるＮＡＴゲートウェイ２３３８に通信可能に接続されてもよい。制御プレーンＶＣＮ２３１６に含まれるサービスゲートウェイ２３３６は、クラウドサービス２３５６（例えば、図２２のクラウドサービス２２５６）に通信可能に接続されてもよい。

【0212】

いくつかの例において、データプレーンＶＣＮ２３１８は、顧客テナンシ２３２１に含まれてもよい。この場合、ＩａａＳプロバイダは、顧客ごとに制御プレーンＶＣＮ２３１６を提供することができ、ＩａａＳプロバイダは、顧客ごとに、サービステナンシ２３１９に含まれる固有の計算インスタンス２３４４を構成することができる。各計算インスタンス２３４４は、サービステナンシ２３１９に含まれる制御プレーンＶＣＮ２３１６と、顧客テナンシ２３２１に含まれるデータプレーンＶＣＮ２３１８との間の通信を許可することができる。計算インスタンス２３４４は、サービステナンシ２３１９に含まれる制御プレーンＶＣＮ２３１６においてプロビジョニングされるリソースを、顧客テナンシ２３２１に含まれるデータプレーンＶＣＮ２３１８に展開することまたは使用することを許可することができる。

【0213】

他の例において、ＩａａＳプロバイダの顧客は、顧客テナンシ２３２１に存在するデータベースを有することができる。この例において、制御プレーンＶＣＮ２３１６は、アプリサブネット２３２６を含むことができるデータプレーンマイナーアプリ層２３４０を含むことができる。データプレーンミラーアプリ層２３４０は、データプレーンＶＣＮ２３１８に存在してもよいが、データプレーンミラーアプリ層２３４０は、データプレーンＶＣＮ２３１８に存在しなくてもよい。すなわち、データプレーンミラーアプリ層２３４０は、顧客テナンシ２３２１にアクセスすることができるが、データプレーンミラーアプリ層２３４０は、データプレーンＶＣＮ２３１８に存在しなくてもよく、ＩａａＳプロバイダの顧客によって所有または運営されなくてもよい。データプレーンミラーアプリ層２３４０は、データプレーンＶＣＮ２３１８への呼び出しを行うように構成されてもよいが、制御プレーンＶＣＮ２３１６に含まれる任意のエンティティへの呼び出しを行うように構成されなくてもよい。顧客は、制御プレーンＶＣＮ２３１６にプロビジョニングされたデータプレーンＶＣＮ２３１８内のリソースを展開することまたは使用することを望むことができ、データプレーンミラーアプリケーション階層２３４０は、顧客のリソースの所望の展開または他の使用を促進することができる。

【0214】

いくつかの実施形態において、ＩａａＳプロバイダの顧客は、フィルタをデータプレーンＶＣＮ２３１８に適用することができる。この実施形態において、顧客は、データプレーンＶＣＮ２３１８がアクセスできるものを決定することができ、顧客は、データプレーンＶＣＮ２３１８からのパブリックインターネット２３５４へのアクセスを制限することができる。ＩａａＳプロバイダは、データプレーンＶＣＮ２３１８から任意の外部ネットワークまたはデータベースへのアクセスにフィルタを適用するまたは制御することができない場合がある。顧客が顧客テナンシ２３２１に含まれるデータプレーンＶＣＮ２３１８にフィルタおよび制御を適用することは、データプレーンＶＣＮ２３１８を他の顧客およびパブリックインターネット２３５４から隔離することを支援することができる。

【0215】

いくつかの実施形態において、クラウドサービス２３５６は、サービスゲートウェイ２３３６によって呼び出されて、パブリックインターネット２３５４上に、制御プレーンＶＣＮ２３１６上に、またはデータプレーンＶＣＮ２３１８上に存在していない可能性があるサービスにアクセスすることができる。クラウドサービス２３５６と制御プレーンＶＣＮ２３１６またはデータプレーンＶＣＮ２３１８との間の接続は、ライブまたは連続的でなくてもよい。クラウドサービス２３５６は、ＩａａＳプロバイダによって所有または運営されている別のネットワーク上に存在してもよい。クラウドサービス２３５６は、サービスゲートウェイ２３３６から呼び出しを受信するように構成されてもよく、パブリックインターネット２３５４から呼び出しを受信しないように構成されてもよい。いくつかのクラウドサービス２３５６は、他のクラウドサービス２３５６から隔離されてもよく、制御プレーンＶＣＮ２３１６は、制御プレーンＶＣＮ２３１６と同じ地域に配置していない可能性があるクラウドサービス２３５６から隔離されてもよい。例えば、制御プレーンＶＣＮ２３１６は、「地域１」に配置されてもよく、クラウドサービス「展開１６」は、「地域１」および「地域２」に配置されてもよい。展開１６への呼び出しが地域１に配置された制御プレーンＶＣＮ２３１６に含まれるサービスゲートウェイ２３３６によって行われる場合、この呼び出しは、地域１内の展開１６に送信されてもよい。この例において、制御プレーンＶＣＮ２３１６または地域１の展開１６は、地域２の展開１６と通信可能に接続されなくてもよい。

【0216】

図２４は、少なくとも１つの実施形態に従って、ＩａａＳアーキテクチャの別の例示的なパターンを示すブロック図２４００である。サービスオペレータ２４０２（例えば、図２２のサービスオペレータ２２０２）は、仮想クラウドネットワーク（ＶＣＮ）２４０６（例えば、図２２のＶＣＮ２２０６）およびセキュアホストサブネット２４０８（例えば、図２２のセキュアホストサブネット２２０８）を含み得るセキュアホストテナンシ２４０４（例えば、図２２のセキュアホストテナンシ２２０４）に通信可能に接続されてもよい。ＶＣＮ２４０６は、ＳＳＨ ＶＣＮ２４１２に含まれるＬＰＧ２４１０を介してＳＳＨ ＶＣＮ２４１２（例えば、図２２のＳＳＨ ＶＣＮ２２１２）に通信可能に接続され得るＬＰＧ２４１０（例えば、図２２のＬＰＧ２２１０）を含むことができる。ＳＳＨ ＶＣＮ２４１２は、ＳＳＨサブネット２４１４（例えば、図２２のＳＳＨサブネット２２１４）を含むことができ、ＳＳＨ ＶＣＮ２４１２は、制御プレーンＶＣＮ２４１６に含まれるＬＰＧ２４１０を介して制御プレーンＶＣＮ２４１６（例えば、図２２の制御プレーンＶＣＮ２２１６）に通信可能に接続されてもよく、データプレーンＶＣＮ２４１８に含まれるＬＰＧ２４１０を介してデータプレーンＶＣＮ２４１８（例えば、図２２のデータプレーン２２２４）に通信可能に接続されてもよい。制御プレーンＶＣＮ２４１６およびデータプレーンＶＣＮ２４１８は、サービステナンシ２４１９（例えば、図２２のサービステナント２２１９）に含まれてもよい。

【0217】

制御プレーンＶＣＮ２４１６は、ロードバランサ（ＬＢ）サブネット２４２２（例えば、図２２のＬＢサブネット２２２２）を含むことができる制御プレーンＤＭＺ層２４２０（例えば、図２２の制御プレーンＤＭＺ層２２２０）と、アプリサブネット２４２６（例えば、図２２のアプリサブネット２２２６）を含むことができる制御プレーンアプリ層２４２４（例えば、図２２の制御プレーンアプリ層２２２４）と、ＤＢサブネット２４３０を含むことができる制御プレーンデータ層２４２８（例えば、図２２の制御プレーンデータ層２２２８）とを含むことができる。制御プレーンＤＭＺ層２４２０に含まれるＬＢサブネット２４２２は、制御プレーンアプリ層２４２４に含まれるアプリサブネット２４２６と、制御プレーンＶＣＮ２４１６に含まれ得るインターネットゲートウェイ２４３４（例えば、図２２のインターネットゲートウェイ２２４４）とに通信可能に接続されてもよい。アプリサブネット２４２６は、制御プレーンデータ層２４２８に含まれるＤＢサブネット２４３０と、サービスゲートウェイ２４３６（例えば、図２２のサービスゲートウェイ）およびネットワークアドレス変換（ＮＡＴ）ゲートウェイ２４３８（例えば、図２２のＮＡＴゲートウェイ２２４８）とに通信可能に接続されてもよい。制御プレーンＶＣＮ２４１６は、サービスゲートウェイ２４３６およびＮＡＴゲートウェイ２４３８を含むことができる。

【0218】

データプレーンＶＣＮ２４１８は、データプレーンアプリ層２４４６（例えば、図２２のデータプレーンアプリ層２２４６）と、データプレーンＤＭＺ層２４４８（例えば、図２２のデータプレーンＤＭＺ層２２４８）と、データプレーンデータ層２４５０（例えば、図２２のデータプレーンデータ階層２２５０）とを含むことができる。データプレーンＤＭＺ層２４４８は、データプレーンＶＣＮ２４１８に含まれるデータプレーンアプリ層２４４６およびインターネットゲートウェイ２４３４の信頼できるアプリサブネット２４６０および信頼できないアプリサブネット２４６２に通信可能に接続され得るＬＢサブネット２４２２を含むことができる。信頼できるアプリサブネット２４６０は、データプレーンＶＣＮ２４１８に含まれるサービスゲートウェイ２４３６、データプレーンＶＣＮ２４１８に含まれるＮＡＴゲートウェイ２４３８、およびデータプレーンデータ層２４５０に含まれるＤＢサブネット２４３０に通信可能に接続されてもよい。信頼できないアプリサブネット２４６２は、データプレーンＶＣＮ２４１８に含まれるサービスゲートウェイ２４３６、およびデータプレーンデータ層２４５０に含まれるＤＢサブネット２４３０に通信可能に接続されてもよい。データプレーンデータ層２４５０は、データプレーンＶＣＮ２４１８に含まれるサービスゲートウェイ２４３６に通信可能に接続され得るＤＢサブネット２４３０を含むことができる。

【0219】

信頼できないアプリサブネット２４６２は、テナント仮想マシン（ＶＭ）２４６６（１）～（Ｎ）に通信可能に接続され得る１つ以上のプライマリＶＮＩＣ２４６４（１）～（Ｎ）を含むことができる。各テナントＶＭ２４６６（１）～（Ｎ）は、それぞれの顧客テナンシ２４７０（１）～（Ｎ）に含まれ得るそれぞれのコンテナ送信ＶＣＮ２４６８（１）～（Ｎ）に含まれ得るそれぞれのアプリサブネット２４６７（１）～（Ｎ）に通信可能に接続されてもよい。それぞれのセカンダリＶＮＩＣ２４７２（１）～（Ｎ）は、データプレーンＶＣＮ２４１８に含まれる信頼できないアプリサブネット２４６２と、コンテナ送信ＶＣＮ２４６８（１）～（Ｎ）に含まれるアプリサブネットとの間の通信を促進することができる。各コンテナ送信ＶＣＮ２４６８（１）～（Ｎ）は、パブリックインターネット２４５４（例えば、図２２のパブリックインターネット２２５４）に通信可能に接続され得るＮＡＴゲートウェイ２４３８を含むことができる。

【0220】

制御プレーンＶＣＮ２４１６に含まれるインターネットゲートウェイ２４３４およびデータプレーンＶＣＮ２４１８に含まれるインターネットゲートウェイ２４３４は、パブリックインターネット２４５４に通信可能に接続され得るメタデータ管理サービス２４５２（例えば、図２２のメタデータ管理システム２２５２）に通信可能に接続されてもよい。パブリックインターネット２４５４は、制御プレーンＶＣＮ２４１６に含まれるＮＡＴゲートウェイ２４３８およびデータプレーンＶＣＮ２４１８に含まれるＮＡＴゲートウェイ２４３８に通信可能に接続されてもよい。制御プレーンＶＣＮ２４１６に含まれるサービスゲートウェイ２４３６およびデータプレーンＶＣＮ２４１８に含まれるサービスゲートウェイ２４３６は、クラウドサービス２４５６に通信可能に接続されてもよい。

【0221】

いくつかの実施形態において、データプレーンＶＣＮ２４１８は、顧客テナンシ２４７０に統合されてもよい。この統合は、コードを実行するときにサポートを望む場合がある場合などのいくつかの場合において、ＩａａＳプロバイダの顧客にとって有用または望ましい場合がある。顧客は、実行すると、破壊的であり得る、他の顧客リソースと通信し得る、または望ましくない影響を引き起こし得るコードを提供することがある。従って、ＩａａＳプロバイダは、顧客がＩａａＳプロバイダに提供したコードを実行するか否かを判断することができる。

【0222】

いくつかの例において、ＩａａＳプロバイダの顧客は、一時的なネットワークアクセスをＩａａＳプロバイダに許可することができ、データプレーンアプリ層２４４６に追加する機能を要求することができる。機能を実行するためのコードは、ＶＭ２４６６（１）～（Ｎ）で実行されてもよいが、データプレーンＶＣＮ２４１８上の他の場所で実行されるように構成されることができない。各ＶＭ２４６６（１）～（Ｎ）は、１つの顧客テナンシ２４７０に接続されてもよい。ＶＭ２４６６（１）～（Ｎ）に含まれるそれぞれのコンテナ２４７１（１）～（Ｎ）は、コードを実行するように構成されてもよい。この場合、二重の隔離（例えば、コンテナ２４７１（１）～（Ｎ）は、コードを実行し、コンテナ２４７１（１）～（Ｎ）は、少なくとも、信頼できないアプリサブネット２４６２に含まれるＶＭ２４６６（１）～（Ｎ）に含まれ得る）が存在してもよく、これは、誤ったコードまたは望ましくないコードがＩａａＳプロバイダのネットワークに損傷を与えること、または異なる顧客のネットワークに損傷を与えることを防止することを支援することができる。コンテナ２４７１（１）～（Ｎ）は、顧客テナンシ２４７０に通信可能に接続されてもよく、顧客テナンシ２４７０からデータを送信または受信するように構成されてもよい。コンテナ２４７１（１）～（Ｎ）は、データプレーンＶＣＮ２４１８内の任意の他のエンティティからデータを送信または受信するように構成されなくてもよい。コードの実行が完了すると、ＩａａＳプロバイダは、コンテナ２４７１（Ｉ）～（Ｎ）をキルするまたは廃棄することができる。

【0223】

いくつかの実施形態において、信頼できるアプリサブネット２４６０は、ＩａａＳプロバイダによって所有または運営され得るコードを実行することができる。この実施形態において、信頼できるアプリサブネット２４６０は、ＤＢサブネット２４３０に通信可能に接続され、ＤＢサブネット２４３０においてＣＲＵＤ操作を実行するように構成されてもよい。信頼できないアプリサブネット２４６２は、ＤＢサブネット２４３０に通信可能に接続され得るが、この実施形態において、信頼できないアプリサブネットは、ＤＢサブネット２４３０内で読み取り操作を実行するように構成されてもよい。各顧客のＶＭ２４６６（１）～（Ｎ）に含まれ、顧客からのコードを実行することができるコンテナ２４７１（１）～（Ｎ）は、ＤＢサブネット２４３０と通信可能に接続されなくてもよい。

【0224】

他の実施形態において、制御プレーンＶＣＮ２４１６およびデータプレーンＶＣＮ２４１８は、通信可能に直接に結合されなくてもよい。この実施形態において、制御プレーンＶＣＮ２４１６とデータプレーンＶＣＮ２４１８との間に直接的な通信は、存在しないことがある。しかしながら、少なくとも１つの方法による間接的な通信は、存在してもよい。制御プレーンＶＣＮ２４１６とデータプレーンＶＣＮ２４１８との間の通信を容易にすることができるＬＰＧ２４１０が、ＩａａＳプロバイダによって確立されてもよい。別の例において、制御プレーンＶＣＮ２４１６またはデータプレーンＶＣＮ２４１８は、サービスゲートウェイ２４３６を介してクラウドサービス２４５６への呼び出しを行うことができる。例えば、制御プレーンＶＣＮ２４１６からクラウドサービス２４５６への呼び出しは、データプレーンＶＣＮ２４１８と通信することができるサービスの要求を含むことができる。

【0225】

図２５は、少なくとも１つの実施形態に従って、ＩａａＳアーキテクチャの別の例示的なパラメータを示すブロック図２５００である。サービスオペレータ２５０２（例えば、図２２のサービスオペレータ２２０２）は、仮想クラウドネットワーク（ＶＣＮ）２５０６（例えば、図２２のＶＣＮ２２０６）およびセキュアホストサブネット２５０８（例えば、図２２のセキュアホストサブネット２２０８）を含み得るセキュアホストテナンシ２５０４（例えば、図２２のセキュアホストテナンシ２２０４）に通信可能に接続されてもよい。ＶＣＮ２５０６は、ＳＳＨ ＶＣＮ２５１２に含まれるＬＰＧ２５１０を介してＳＳＨ ＶＣＮ２５１２（例えば、図２２のＳＳＨ ＶＣＮ２２１２）に通信可能に接続され得るＬＰＧ２５１０（例えば、図２２のＬＰＧ２２１０）を含むことができる。ＳＳＨ ＶＣＮ２５１２は、ＳＳＨサブネット２５１４（例えば、図２２のＳＳＨサブネット２２１４）を含むことができ、ＳＳＨ ＶＣＮ２５１２は、制御プレーンＶＣＮ２５１６に含まれるＬＰＧ２５１０を介して制御プレーンＶＣＮ２５１６（例えば、図２２の制御プレーンＶＣＮ２２１６）に通信可能に接続されてもよく、データプレーンＶＣＮ２５１８に含まれるＬＰＧ２５１０を介してデータプレーンＶＣＮ２５１８（例えば、図２２のデータプレーン２２１８）に通信可能に接続されてもよい。制御プレーンＶＣＮ２５１６およびデータプレーンＶＣＮ２５１８は、サービステナンシ２５１９（例えば、図２２のサービステナンシ２２２５）に含まれてもよい。

【0226】

制御プレーンＶＣＮ２５１６は、ＬＢサブネット２５２２（例えば、図２２のＬＢサブネット２２２２）を含み得る制御プレーンＤＭＺ層２５２０（例えば、図２２の制御プレーンＤＭＺ層２２２０）、アプリサブネット２５２６（例えば、図２２のアプリサブネット２２２６）を含み得る制御プレーンアプリ層２５２４（例えば、図２２の制御プレーンアプリ層２２２４）、ＤＢサブネット２５３０（例えば、図２４のＤＢサブネット２４３０）を含み得る制御プレーンデータ層２５２８（例えば、図２２の制御プレーンデータ層２２２８）を含むことができる。制御プレーンＤＭＺ層２５２０に含まれるＬＢサブネット２５２２は、制御プレーンアプリ層２５２４に含まれるアプリサブネット２５２６と、制御プレーンＶＣＮ２５１６に含まれ得るインターネットゲートウェイ２５３４（例えば、図２２のインターネットゲートウェイ２２３４）とに通信可能に接続されてもよい。アプリサブネット２５２６は、制御プレーンデータ層２５２８に含まれるＤＢサブネット２５３０と、サービスゲートウェイ２５３６（例えば、図２２のサービスゲートウェイ）およびネットワークアドレス変換（ＮＡＴ）ゲートウェイ２５３８（例えば、図２２のＮＡＴゲートウェイ２２３８）とに通信可能に接続されてもよい。制御プレーンＶＣＮ２５１６は、サービスゲートウェイ２５３６およびＮＡＴゲートウェイ２５３８を含むことができる。

【0227】

データプレーンＶＣＮ２５１８は、データプレーンアプリ層２５４６（例えば、図２２のデータプレーンアプリ層２２４６）、データプレーンＤＭＺ層２５４８（例えば、図２２のデータプレーンＤＭＺ層２２４８）、およびデータプレーンデータ層２５５０（例えば、図２２のデータプレーンデータ層２２５０）を含むことができる。データプレーンＤＭＺ層２５４８は、データプレーンアプリ層２５４６の信頼できるアプリサブネット２５６０（例えば、図２４の信頼できるアプリサブネット２４６０）および信頼できないアプリサブネット２５６２（例えば、図２４の信頼できないアプリサブネット２４６２）およびデータプレーンＶＣＮ２５１８に含まれるインターネットゲートウェイ２５３４に通信可能に接続され得るＬＢサブネット２５２２を含むことができる。信頼できるアプリサブネット２５６０は、データプレーンＶＣＮ２５１８に含まれるサービスゲートウェイ２５３６、データプレーンＶＣＮ２５１８に含まれるＮＡＴゲートウェイ２５３８、およびデータプレーンデータ層２５５０に含まれるＤＢサブネット２５３０に通信可能に接続されてもよい。信頼できないアプリサブネット２５６２は、データプレーンＶＣＮ２５１８に含まれるサービスゲートウェイ２５３６、およびデータプレーンデータ層２５５０に含まれるＤＢサブネット２５３０に通信可能に接続されてもよい。データプレーンデータ層２５５０は、データプレーンＶＣＮ２５１８に含まれるサービスゲートウェイ２５３６に通信可能に接続され得るＤＢサブケット２５３０を含むことができる。

【0228】

信頼できないアプリサブネット２５６２は、信頼できないアプリサブネット２５６２に常駐するテナント仮想マシン（ＶＭ）２５６６（１）～（Ｎ）に通信可能に接続され得るプライマリＹＮＩＣ２５６４（１）～（Ｎ）を含むことができる。各テナントＶＭ２５６６（１）～（Ｎ）は、それぞれのコンテナ２５６７（１）～（Ｎ）においてコードを実行することができ、コンテナ送信ＶＣＮ２５６８に含まれ得るデータプレーンアプリ層２５４６に含まれ得るアプリサブネット２５２６に通信可能に接続されてもよい。各セカンダリＶＮＩＣ２５７２（１）～（Ｎ）は、データプレーンＶＣＮ２５１８に含まれる信頼できないアプリサブネット２５６２とコンテナ送信ＶＣＮ２５６８に含まれるアプリサブネットとの間の通信を促進することができる。コンテナ送信ＶＣＮは、パブリックインターネット２５５４（例えば、図２２のパブリックインターネット２２５４）に通信可能に接続することができるＮＡＴゲートウェイ２５３８を含むことができる。

【0229】

制御プレーンＶＣＮ２５１６に含まれるインターネットゲートウェイ２５３４およびデータプレーンＶＣＮ２５１８に含まれるインターネットゲートウェイ２５３４は、パブリックインターネット２５５４に通信可能に接続され得るメタデータ管理サービス２５５２（例えば、図２２のメタデータ管理システム２２５２）に通信可能に接続されてもよい。パブリックインターネット２５５４は、制御プレーンＶＣＮ２５１６に含まれるインターネットゲートウェイ２５３４およびデータプレーンＶＣＮ２５１８に含まれるＮＡＴゲートウェイ２５３８に通信可能に接続されてもよい。制御プレーンＶＣＮ２５１６に含まれるインターネットゲートウェイ２５３４およびデータプレーンＶＣＮ２５１８に含まれるサービスゲートウェイ２５３６は、クラウドサービス２５５６に通信可能に接続されてもよい。

【0230】

いくつかの例において、図２５のブロック図２５００のアーキテクチャによって示されたパターンは、図２２のブロック図２２００のアーキテクチャによって示されたパターンの例外と考えられ、ＩａａＳプロバイダが顧客と直接に通信できない（例えば、非接続地域）場合、ＩａａＳプロバイダの顧客にとって望ましいことがある。顧客は、各顧客のＶＭ２５６６（１）～（Ｎ）に含まれるそれぞれのコンテナ２５６７（１）～（Ｎ）にリアルタイムでアクセスすることができる。コンテナ２５６７（１）～（Ｎ）は、コンテナ送信ＶＣＮ２５６８に含まれ得るデータプレーンアプリ層２５４６のアプリサブネット２５２６に含まれるそれぞれのセカンダリＶＮＩＣ２５７２（１）～（Ｎ）を呼び出すように構成されてもよい。セカンダリＶＮＩＣ２５７２（１）～（Ｎ）は、パブリックインターネット２５５４に呼び出しを送信することができるＮＡＴゲートウェイ２５３８に呼び出しを送信することができる。この例において、顧客がリアルタイムでアクセスできるコンテナ２５６７（１）～（Ｎ）は、制御プレーンＶＣＮ２５１６から隔離されてもよく、データプレーンＶＣＮ２５１８に含まれる他のエンティティから隔離されてもよい。また、コンテナ２５６７（１）～（Ｎ）は、他の顧客のリソースから隔離されてもよい。

【0231】

他の例において、顧客は、コンテナ２５６７（１）～（Ｎ）を使用して、クラウドサービス２５５６を呼び出すことができる。この例では、顧客は、コンテナ２５６７（１）～（Ｎ）において、クラウドサービス２５５６からサービスを要求するコードを実行することができる。コンテナ２５６７（１）～（Ｎ）は、要求をパブリックインターネット２５５４に送信することができるＮＡＴゲートウェイに要求を送信することができるセカンダリＶＮＩＣ２５７２（１）～（Ｎ）にこの要求を送信することができる。パブリックインターネット２５５４は、インターネットゲートウェイ２５３４を介して、制御プレーンＶＣＮ２５１６に含まれるＬＢサブネット２５２２にこの要求を送信することができる。要求が有効であるとの判断に応答して、ＬＢサブネットは、この要求をアプリサブネット２５２６に送信することができ、アプリサブネット２５２６は、サービスゲートウェイ２５３６を介して、この要求をクラウドサービス２５５６に要求を送信することができる。

【0232】

なお、図示されたＩａａＳアーキテクチャ２２００、２３００、２４００および２５００は、図示されたもの以外の要素を含んでもよい。また、図示された実施形態は、本開示の実施形態を組み込むことができるクラウドインフラストラクチャシステムの一部の例に過ぎない。他のいくつかの実施形態において、ＩａａＳシステムは、図示されたものよりも多いまたは少ない要素を有してよく、２つ以上の要素を組み合わせてよく、または要素の異なる構成または配置を有してよい。

【0233】

特定の実施形態において、本明細書に記載されたＩａａＳシステムは、セルフサービス、サブスクリプションベース、柔軟な拡張可能性、信頼性、高可用性、および安全な方法で顧客に提供されるアプリケーション、ミドルウェア、およびデータベースサービスのスイートを含むことができる。このようなＩａａＳシステムの一例は、本出願人によって提供されたオラクル（登録商標）クラウドインフラストラクチャ（ＯＣＩ）である。

【0234】

図２６は、様々な実施形態が実装され得る例示的なコンピュータシステム２６００を示す。システム２６００は、上述したコンピュータシステムのいずれかを実装するために使用されてもよい。図示のように、コンピュータシステム２６００は、バスサブシステム２６０２を介して多数の周辺サブシステムと通信する処理ユニット２６０４を含む。これらの周辺サブシステムは、処理加速ユニット２６０６、Ｉ／Ｏサブシステム２６０８、記憶サブシステム２６１８、および通信サブシステム２６２４を含んでもよい。記憶サブシステム２６１８は、有形のコンピュータ可読記憶媒体２６２２およびシステムメモリ２６１０を含む。

【0235】

バスサブシステム２６０２は、コンピュータシステム２６００の様々な構成要素およびサブシステムを意図したように相互に通信させるための機構を提供する。バスサブシステム２６０２は、単一のバスとして概略的に示されているが、バスサブシステムの代替的な実施形態は、複数のバスを利用してもよい。バスサブシステム２６０２は、メモリバスまたはメモリコントローラ、周辺バス、および様々なバスアーキテクチャのいずれかを使用するローカルバスを含む、いくつかの種類のバス構造のいずれかであってもよい。例えば、このようなアーキテクチャは、業界標準アーキテクチャ（ＩＳＡ）バス、マイクロチャネルアーキテクチャ（ＭＣＡ）、バス拡張ＩＳＡ（ＥＩＳＡ）バス、ビデオ電子標準協会（ＶＥＳＡ）ローカルバス、およびＩＥＥＥ Ｐ１３８６．１標準に準拠して製造されたメザニンバスとして実装できる周辺機器相互接続（ＰＣＩ）バスなどを含むことができる。

【0236】

１つ以上の集積回路（例えば、従来のマイクロプロセッサまたはマイクロコントローラ）として実装され得る処理ユニット２６０４は、コンピュータシステム２６００の動作を制御する。処理ユニット２６０４は、１つ以上のプロセッサを含んでもよい。これらのプロセッサは、シングルコアまたはマルチコアプロセッサを含んでもよい。いくつかの実施形態において、処理ユニット２６０４は、各処理ユニットに含まれるシングルコアまたはマルチコアプロセッサを有する１つ以上の独立した処理ユニット２６３２および／または２６３４として実装されてもよい。他の実施形態において、処理ユニット２６０４は、２つのデュアルコアプロセッサを単一のチップに統合することによって形成されたクワッドコア（quad-core）処理ユニットとして実装されてもよい。

【0237】

様々な実施形態において、処理ユニット２６０４は、プログラムコードに応答して様々なプログラムを実行することができ、同時に実行する複数のプログラムまたはプロセスを維持することができる。任意の時点で、実行されるプログラムコードの一部または全部は、プロセッサ２６０４および／または記憶サブシステム２６１８に常駐することができる。プロセッサ２６０４は、適切なプログラミングを通して、上述した様々な機能性を提供することができる。コンピュータシステム２６００は、デジタル信号プロセッサ（ＤＳＰ）、専用プロセッサおよび／または同種のものを含むことができる処理加速ユニット２６０６をさらに含んでもよい。

【0238】

Ｉ／Ｏサブシステム２６０８は、ユーザインターフェイス入力装置と、ユーザインターフェイス出力装置とを含むことができる。ユーザインターフェイス入力装置は、キーボード、マウスまたはトラックボールなどのポインティング装置、ディスプレイに組み込まれたタッチパッドまたはタッチスクリーン、スクロールホイール、クリックホイール、ダイヤル、ボタン、スイッチ、キーパッド、音声命令認識システムを備える音声入力装置、マイクロフォン、および他の種類の入力装置を含んでもよい。また、ユーザインターフェイス入力装置は、例えば、Microsoft Kinect（登録商標）モーションセンサのようなモーション検知および／またはジェスチャ認識装置を含んでもよい。Microsoft Kinect（登録商標）モーションセンサは、ジェスチャおよび音声命令を利用する自然ユーザインターフェース（NUI）を介して、Microsoft Xbox（登録商標）３６０ゲームコントローラなどの入力装置を制御することができ、それと対話することができる。また、ユーザインターフェイス入力装置は、Google Glass（登録商標）瞬き検出器のような眼球ジェスチャ認識装置を含むことができる。Google Glass（登録商標）瞬き検出器は、ユーザの眼球活動（例えば、写真を撮るときおよび／またはメニューを選択するときの「瞬き」）を検出し、眼球活動を入力装置（例えば、Google Glass（登録商標））に入力する入力に変換する。さらに、ユーザインターフェイス入力装置は、音声命令を介してユーザと音声認識システム（例えば、Siri（登録商標）ナビゲータ）との対話を可能にする音声認識検出装置を含んでもよい。

【0239】

また、ユーザインターフェイス入力装置は、三次元（３Ｄ）マウス、ジョイスティックまたはポインティングスティック、ゲームパッド、グラフィックタブレット、スピーカなどのオーディオ／ビジュアル装置、デジタルカメラ、デジタルビデオカメラ、ポータブルメディアプレーヤ、ウェブカメラ、イメージスキャナ、指紋スキャナ、バーコードリーダ、３Ｄスキャナ、３Ｄプリンタ、レーザ距離計、および視線追跡装置を含むがこれらに限定されない。さらに、ユーザインターフェイス入力装置は、例えば、コンピュータ断層撮影装置、磁気共鳴像装置、超音波放射断層撮影装置、および医療用超音波装置などのような医用画像入力装置を含んでもよい。また、ユーザインターフェイス入力装置は、例えば、ＭＩＤＩキーボードおよび電子楽器などの音声入力装置を含んでもよい。

【0240】

ユーザインターフェイス出力装置は、ディスプレイサブシステム、インジケータライト、またはオーディオ出力装置などの非視覚ディスプレイを含んでもよい。ディスプレイサブシステムは、例えば、陰極線管（ＣＲＴ）、液晶ディスプレイ（ＬＣＤ）またはプラズマディスプレイを使用するフラットパネル装置、投射装置またはタッチスクリーンであってもよい。一般に、「出力装置」という用語を使用する場合、コンピュータシステム２６００から情報をユーザまたは他のコンピュータに出力するためのすべての可能な種類の装置および機構を含むことを意図している。例えば、ユーザインターフェイス出力装置は、文字、画像およびオーディオ／ビデオ情報を視覚的に伝達するさまざまな表示装置、例えば、モニタ、プリンタ、スピーカ、ヘッドフォン、カーナビゲーションシステム、プロッタ、音声出力装置、およびモデムを含むがこれらに限定されない。
コンピュータシステム２６００は、記憶サブシステム２６１８を含むことができる。記憶サブシステム２６１８は、ソフトウェア要素を備え、図示では、これらのソフトウェア要素は、システムメモリ２６１０内に配置されている。システムメモリ２６１０は、処理ユニット２６０４にロード可能かつ実行可能なプログラム命令、およびこれらのプログラムの実行により生成されたデータを記憶することができる。

【0241】

コンピュータシステム２６００の構成およびタイプに応じて、システムメモリ２６１０は、揮発性メモリ（例えば、ランダムアクセスメモリ（random access memory：ＲＡＭ））であってもよく、および／または、不揮発性メモリ（例えば、読取り専用メモリ（read-only memory：ＲＯＭ）、フラッシュメモリ）であってもよい。一般に、ＲＡＭは、処理ユニット２６０４がすぐにアクセス可能なデータおよび／またはプログラムモジュール、および／または、処理ユニット２６０４によって現在操作および実行されているデータおよび／またはプログラムモジュールを収容する。いくつかの実現例では、システムメモリ２６１０は、スタティックランダムアクセスメモリ（static random access memory：ＳＲＡＭ）またはダイナミックランダムアクセスメモリ（dynamic random access memory：ＤＲＡＭ）などの複数の異なるタイプのメモリを含み得る。いくつかの実現例では、始動中などにコンピュータシステム２６００内の要素間で情報を転送することを助ける基本ルーチンを含む基本入力／出力システム（basic input/output system：ＢＩＯＳ）が、一般にＲＯＭに格納され得る。一例としておよび非限定的に、システムメモリ２６１０は、クライアントアプリケーション、ウェブブラウザ、中間層アプリケーション、リレーショナルデータベース管理システム（relational database management system：ＲＤＢＭＳ）などを含み得るアプリケーションプログラム２６１２、プログラムデータ２６１４およびオペレーティングシステム２６１６も示す。一例として、オペレーティングシステム２６１６は、Microsoft Windows（登録商標）、Apple Macintosh（登録商標）および／もしくはLinux（登録商標）オペレーティングシステムのさまざまなバージョン、さまざまな市販のUNIX（登録商標）もしくはUNIXライクオペレーティングシステム（さまざまなGNU／Linuxオペレーティングシステム、Google Chrome（登録商標）ＯＳなどを含むが、これらに限定されるものではない）、および／または、ｉＯＳ、Windows（登録商標）フォン、アンドロイド（登録商標）ＯＳ、ブラックベリー（登録商標）２６ ＯＳおよびパーム（登録商標）ＯＳオペレーティングシステムなどのモバイルオペレーティングシステムを含み得る。

【0242】

また、記憶サブシステム２６１８は、いくつかの実施例の機能を提供する基本的なプログラミングおよびデータ構造を格納するための有形のコンピュータ可読記憶媒体を提供することができる。プロセッサによって実行されたときに上記の機能を提供するソフトウェア（プログラム、コードモジュール、命令）は、記憶サブシステム２６１８に記憶されてもよい。これらのソフトウェアモジュールまたは命令は、処理ユニット２６０４によって実行されてもよい。また、記憶サブシステム２６１８は、本開示に従って使用されるデータを記憶するためのリポジトリを提供することができる。

【0243】

また、記憶サブシステム２６００は、コンピュータ可読記憶媒体２６２２にさらに接続可能なコンピュータ可読記憶媒体リーダ２６２０を含むことができる。コンピュータ可読記憶媒体２６２２は、システムメモリ２６１０と共に、または必要に応じてシステムメモリ２６１０と組み合わせて、コンピュータ可読情報を一時的におよび／または永久に収容、格納、送信および検索するための記憶媒体に加えて、リモート記憶装置、ローカル記憶装置、固定的な記憶装置および／または取外し可能な記憶装置を包括的に表すことができる。

【0244】

また、コードまたはコードの一部を含むコンピュータ可読記憶媒体２６２２は、当該技術分野において公知のまたは使用される任意の適切な媒体を含んでもよい。当該媒体は、情報の格納および／または送信のための任意の方法または技術において実現される揮発性および不揮発性の、取外し可能および取外し不可能な媒体などであるが、これらに限定されるものではない記憶媒体および通信媒体を含む。これは、ＲＡＭ、ＲＯＭ、電子的消去・プログラム可能ＲＯＭ（electronically erasable programmable ROM：ＥＥＰＲＯＭ）、フラッシュメモリもしくは他のメモリ技術、ＣＤ－ＲＯＭ、デジタル多用途ディスク（digital versatile disk：ＤＶＤ）、または他の光学式記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置もしくは他の磁気記憶装置、または他の有形のコンピュータ可読媒体などの有形のコンピュータ可読記憶媒体を含むことができる。また、これは、データ信号、データ送信などの無形のコンピュータ可読媒体、または、所望の情報を送信するために使用可能であり且つコンピュータシステム２６００によってアクセス可能なその他の媒体を含むことができる。

【0245】

一例として、コンピュータ可読記憶媒体２６２２は、取外し不可能な不揮発性磁気媒体から読取るまたは当該媒体に書込むハードディスクドライブ、取外し可能な不揮発性磁気ディスクから読取るまたは当該ディスクに書込む磁気ディスクドライブ、ならびに、ＣＤ ＲＯＭ、ＤＶＤおよびブルーレイ（登録商標）ディスクまたは他の光学式媒体などの取外し可能な不揮発性光学ディスクから読取るまたは当該ディスクに書込む光学式ディスクドライブを含んでもよい。コンピュータ可読記憶媒体２６２２は、ジップ（登録商標）ドライブ、フラッシュメモリカード、ユニバーサルシリアルバス（universal serial bus：ＵＳＢ）フラッシュドライブ、セキュアデジタル（secure digital：ＳＤ）カード、ＤＶＤディスク、デジタルビデオテープなどを含み得るが、これらに限定されるものではない。また、コンピュータ可読記憶媒体２６２２は、フラッシュメモリベースのＳＳＤ、企業向けフラッシュドライブ、ソリッドステートＲＯＭなどの不揮発性メモリに基づくソリッドステートドライブ（solid-state drive：ＳＳＤ）、ソリッドステートＲＡＭ、ダイナミックＲＡＭ、スタティックＲＡＭなどの揮発性メモリに基づくＳＳＤ、ＤＲＡＭベースのＳＳＤ、磁気抵抗ＲＡＭ（magnetoresistive RAM：ＭＲＡＭ）ＳＳＤ、およびＤＲＡＭとフラッシュメモリベースのＳＳＤとの組み合わせを使用するハイブリッドＳＳＤを含んでもよい。ディスクドライブおよびそれらの関連のコンピュータ可読媒体は、コンピュータ可読命令、データ構造、プログラムモジュールおよび他のデータの不揮発性記憶装置をコンピュータシステム２６００に提供することができる。

【0246】

通信サブシステム２６２４は、他のコンピュータシステムおよびネットワークとのインターフェイスを提供する。通信サブシステム２６２４は、他のシステムからデータを受信したり、コンピュータシステム２６００から他のシステムにデータを送信するためのインターフェイスの役割を果たす。例えば、通信サブシステム２６２４は、コンピュータシステム２６００がインターネットを介して１つ以上の装置に接続することを可能にし得る。いくつかの実施例では、通信サブシステム２６２４は、（例えば３Ｇ、４ＧまたはＥＤＧＥ（enhanced data rates for global evolution）などの携帯電話技術、高度データネットワーク技術を用いて）無線音声および／またはデータネットワークにアクセスするための無線周波数（radio frequency：ＲＦ）トランシーバ構成要素、ＷｉＦｉ（登録商標）（ＩＥＥＥ８０２．１１ファミリ標準または他のモバイル通信技術またはそれらの任意の組み合わせ）、全地球測位システム（global positioning system：ＧＰＳ）レシーバ構成要素、および／または、他の構成要素を含んでもよい。いくつかの実施例では、通信サブシステム２６２４は、無線インターフェイスに加えて、または無線インターフェイスの代わりに、有線ネットワーク接続（例えばイーサネット）を提供することができる。

【0247】

また、いくつかの実施例において、通信サブシステム２６２４は、コンピュータシステム２６００を使用し得る１人以上のユーザを代表して、構造化されたおよび／または構造化されていないデータフィード２６２６、イベントストリーム２６２８、イベント更新２６３０などの形態で入力通信を受信することができる。

【0248】

一例として、通信サブシステム２６２４は、ツイッター（登録商標）フィード、フェースブック（登録商標）更新、リッチ・サイト・サマリ（Rich Site Summary：ＲＳＳ）フィードなどのウェブフィードなどのデータフィード２６２６をリアルタイムでソーシャルネットワークおよび／または他の通信サービスのユーザから受信し、および／または、１つ以上の第三者情報源からリアルタイム更新を受信するように構成されてもよい。

【0249】

また、通信サブシステム２６２４は、連続的なデータストリームの形態でデータを受信するように構成され得て、当該データは、連続的である場合もあれば本質的に明確な端部を持たない状態で境界がない場合もあるリアルタイムイベントのイベントストリーム２６２８および／またはイベント更新２６３０を含んでもよい。連続的なデータを生成するアプリケーションの例としては、例えばセンサデータアプリケーション、金融ティッカ、ネットワーク性能測定ツール（例えばネットワークモニタリングおよびトラフィック管理アプリケーション）、クリックストリーム分析ツール、自動車交通モニタリングなどを含んでもよい。

【0250】

また、通信サブシステム２６２４は、構造化されたおよび／または構造化されていないデータフィード２６２６、イベントストリーム２６２８、イベント更新２６３０などを、コンピュータシステム２６００に結合された１つ以上のストリーミングデータソースコンピュータと通信し得る１つ以上のデータベースに出力するように構成されてもよい。

【0251】

コンピュータシステム２６００は、手持ち式携帯機器（例えば、iPhone（登録商標）携帯電話、Ipad（登録商標）計算タブレット、ＰＤＡ）、ウェアラブル装置（例えば、Google Glass（登録商標）ヘッドマウントディスプレイ）、ＰＣ、ワークステーション、メインフレーム、キオスク、サーバラックまたはその他のデータ処理システムを含む様々な種類のうちの１つであってもよい。

【0252】

前述の説明において、説明の目的で、本開示の実施例を完全に理解できるようにするために、具体的な詳細を記載する。しかしながら、これらの具体的な詳細がなくても、様々な実施例を実施できることは明らかであろう。以下の説明は、例のみを提供し、本開示の範囲、適用性、または構成を制限することを意図していない。むしろ、実施例の以下の説明は、実施例を実施するための可能な説明を当業者に提供するものである。添付の特許請求の範囲に規定される本開示の精神及び範囲から逸脱することなく、要素の機能および配置に様々な変更を加えることができることを理解されたい。図面および説明は、制限的であることを意図していない。回路、システム、ネットワーク、プロセス、および他の構成要素は、不必要な詳細で実施例を不明瞭にしないために、ブロック図の形態で構成要素として示されてもよい。他の実施例では、周知の回路、プロセス、アルゴリズム、構造、および技術は、実施例を不明瞭にしないために、不必要な詳細なしに示されてもよい。本開示の教示は、モバイルアプリケーション、非モバイルアプリケーション、デスクトップアプリケーション、ウェブアプリケーション、エンタープライズアプリケーションなどの様々な種類のアプリケーションに適用することもできる。また、本開示の教示は、特定の動作環境（例えば、オペレーティングシステム、デバイス、プラットフォームなど）に限定されるものではなく、複数の異なる動作環境に適用することができる。

【0253】

また、留意すべきことは、各々の実施例は、フローチャート、フロー図、データフロー図、構造図、またはブロック図として示された処理として説明されていることである。フローチャートは、操作を順次処理として説明しているが、多くの操作は、並行でまたは同時に実行することができる。さらに、操作の順序を再配置してもよい。処理は、その操作が完了した時点で終了するが、図に示されていない追加のステップを含んでもよい。処理は、メソッド、関数、プロシージャ、サブルーチン、サブプログラムなどに対応することができる。処理が関数に対応する場合、その終了は、呼び出し関数またはメイン関数の戻りに対応することができる。

【0254】

「例」および「例示的」という用語は、本明細書において、「例、事例、または例示として役立つ」という意味で使用される。本明細書において「例示的」または「例」として説明された任意の実施形態または設計は、必ずしも他の実施形態または設計よりも好ましいまたは有利であると解釈されるべきではない。

【0255】

「機械可読記憶媒体」または「コンピュータ可読記憶媒体」という用語は、携帯型または非携帯型の記憶装置、光記憶装置、ならびに命令および／またはデータを記憶、格納、または搬送することができる様々な他の媒体を含むが、これらに限定されない。機械可読記憶媒体またはコンピュータ可読記憶媒体は、データを記憶することができ、無線または有線接続を介して伝搬する搬送波および／または一時的な電子信号を含まない非一時的な媒体を含んでもよい。非一時的な媒体の例は、磁気ディスクまたはテープ、コンパクトディスク（ＣＤ）またはデジタル多用途ディスク（ＤＶＤ）などの光記憶媒体、フラッシュメモリ、メモリまたはメモリ装置を含み得るが、これらに限定されない。コンピュータプログラム製品は、プロシージャ、関数、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウェアパッケージ、クラス、命令、データ構造、またはプログラム文の任意の組み合わせを表し得るコードおよび／または機械実行可能命令を含んでもよい。コードセグメントは、情報、データ、引数、パラメータ、またはメモリ内容を転送および／または受取ることによって、別のコードセグメントまたはハードウェア回路に結合されてもよい。情報、引数、パラメータおよびデータなどは、メモリ共有、メッセージ転送、トークン転送、ネットワーク送信などの任意の適切な手段を介して、伝達され、転送され、または送信されてもよい。

【0256】

さらに、実施形態は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語、またはそれらの任意の組み合わせによって実施されてもよい。ソフトウェア、ファームウェア、ミドルウェアまたはマイクロコードに実施される場合、必要な作業を実行するプログラムコードまたはコードセグメントは、機械可読媒体に記憶されてもよい。プロセッサは、必要な作業を実行することができる。一部の図面に示されたシステムは、様々な構成で提供されてもよい。いくつかの例において、システムは、システムの１つ以上の要素がクラウドコンピューティングシステム内の１つ以上のネットワークにわたって分散される分散システムとして構成されてもよい。要素が特定の動作を実行するように「構成されている」として説明される場合、このような構成は、例えば、動作を実行するように電子回路または他のハードウェアを設計することによって、動作を実行するように電子回路（例えば、マイクロプロセッサまたは他の適切な電子回路）をプログラミングまたは制御することによって、またはそれらの任意の組み合わせによって達成されてもよい。

【0257】

本開示の特定の実施形態を説明してきたが、さまざまな変更、改変、代替構成、および同等物も本開示の範囲内に包含される。本開示の実施形態は、特定のデータ処理環境内で動作するのに限定されず、複数のデータ処理環境内で自由に動作することができる。さらに、一連の特定の処置およびステップを用いて本開示の実施形態を説明してきたが、本開示の範囲が説明された一連の処置およびステップに限定されないことは、当業者にとって明らかであろう。上述した実施形態のさまざまな特徴および態様は、個別にまたは共同で使用することができる。

【0258】

さらに、ハードウェアおよびソフトウェアの特定の組み合わせを用いて本開示の実施形態を説明してきたが、ハードウェアおよびソフトウェアの他の組み合わせも本開示の範囲内に含まれることを認識すべきである。ハードウェアのみ、ソフトウェアのみ、またはそれらの組み合わせを用いて、本開示の実施形態を実現することができる。本開示に記載されたさまざまなプロセスは、同一のプロセッサまたは任意の組み合わせの異なるプロセッサ上で実行することができる。したがって、特定の処理を実行するように構成要素またはモジュールを構成すると説明する場合、その構成は、例えば、その処理を実行するように電子回路を設計することによって、その処理を実行するようにプログラム可能な電子回路（マイクロプロセッサなど）をプログラムすることによって、またはそれらの組み合わせによって実現することができる。プロセスは、プロセス間の通信を行う従来技術を含むがこれに限定されないさまざまな技術を用いて通信を行うことができる。異なる対のプロセスは、異なる技術を使用することができ、または同一対のプロセスは、異なる時間で異なる技術を使用することができる。

【0259】

したがって、明細書および図面は、限定的な意味ではなく例示的な意味であるとみなすべきである。しかしながら、特許請求の範囲により定められた幅広い主旨および範囲から逸脱することなく、追加、削減、削除および他の修飾および変更を行ってもよいことは、明らかであろう。したがって、本開示の特定の実施形態を説明したが、これらの実施形態は、限定することを意図していない。さまざまな変更およびその等価物は、添付の特許請求の範囲に含まれる。

【0260】

本開示を説明する文脈に（特に特許請求の範囲の文脈に）使用された不定冠詞「a」／「an」、定冠詞「the」および同様の参照は、本明細書に特に明記しない限りまたは内容上明らかに他の意味を示す場合を除き、単数および複数の両方を含むように解釈すべきである。用語「含む（comprising）」、「有する（having）」、「含む（including）」、および「含有する（containing）」は、特に明記しない限り、非限定的な用語（すなわち、「含むがこれに限定されない」という意味）として解釈されるべきである。「接続されている」という用語は、たとえ何かが介在していても、その一部または全部が内部に含まれている、取り付けられている、または一緒に結合されていると解釈されるべきである。本明細書において、値の範囲の列挙は、単にその範囲内に含まれる各個別の値を各々言及する速記方法として意図され、本明細書に特に明記しない限り、各個別の値は、本明細書に個別に記載されるように、本明細書に組み込まれる。本明細書に特に明記しない限りまたは内容上明らかに他の意味を示す場合を除き、本明細書に記載の全ての方法は、任意の適切な順序で行うことができる。本明細書において、任意の例および全ての例または例示的な言語（例えば、「～のような」）の使用は、本開示の実施形態をより明瞭にするよう意図されており、特に明記しない限り、本開示の範囲を限定するものではない。明細書内の用語は、本開示の実施に不可欠な任意の非請求要素を示すものと解釈すべきではない。

【0261】

句「Ｘ、Ｙ、またはＺの少なくとも１つ」というフレーズのような選言的言語は、特に断らない限り、項目、用語などがＸ、ＹもしくはＺ、またはそれらの任意の組み合わせ（例えば、Ｘ、Ｙ、および／またはＺ）のいずれかであってもよいことを示すために一般的に用いられるものとして文脈内で理解されることを意図している。したがって、このような選言的言語は、特定の実施形態が、Ｘの少なくとも１つ、Ｙの少なくとも１つ、またはＺの少なくとも１つが存在することを必要とすることを一般的に意図しておらず、または暗示していない。

【0262】

本開示の実施形態の例は、以下の項に照らして説明することができる。
項１
システムであって、
顧客のために構成された第１の仮想ネットワークを備え、第１の仮想ネットワークは、第１のインターネットプロトコル（ＩＰ）アドレスを有する第１のリソースを含み、
サービスプロバイダのために構成された第２の仮想ネットワークを備え、第２の仮想ネットワークは、第２のＩＰアドレスを有する第２のリソースを含み、第２のリソースによる第１のリソースへのアクセスに基づいて顧客にサービスを提供するように構成され、
１つ以上のネットワークリソースを備え、
１つ以上のネットワークリソースは、ネットワークアドレス変換（ＮＡＴ）マッピングに基づいて、第１のＩＰアドレスと保留ＩＰアドレスとの間のＮＡＴマッピングを決定するように構成され、保留ＩＰアドレスは、第１の仮想ネットワークの第１のＩＰアドレス範囲外および第２の仮想ネットワークの第２のＩＰアドレス範囲外にあり、
１つ以上のネットワークリソースは、第１のパケットを第２の仮想ネットワークに送信すること、または第２の仮想ネットワークから第２のパケットを受信することの少なくとも一方を実行するように構成され、第１のパケットのペイロードは、保留ＩＰアドレスを含み、第２のパケットのヘッダは、保留ＩＰアドレスを宛先アドレスとして含み、
第１のリソースへの第２のリソースのアクセスは、第１のＩＰアドレスと保留ＩＰアドレスとの間のＮＡＴマッピングに基づいている、システム。

【0263】

項２
１つ以上のネットワークリソースは、ゲートウェイを含み、
第２のパケットは、ゲートウェイによって受信され、
ゲートウェイは、
第１のＩＰアドレスと保留ＩＰアドレスとの間のＮＡＴマッピングに基づいて第１のＩＰアドレスを決定し、
第１のＩＰアドレスを用いて保留ＩＰアドレスを少なくとも置換することによって第２のパケットを更新し、
更新された第２のパケットを第１の仮想ネットワークに送信するように構成されている、項１に記載のシステム。

【0264】

項３
１つ以上のネットワークリソースは、ドメイン名システム（ＤＮＳ）サービスを含み、
第１のパケットは、ＤＮＳサービスによって送信され、
ＤＮＳサービスは、
第２の仮想ネットワークから、完全修飾ドメイン名（ＦＱＤＮ）を含むＤＮＳクエリを受信し、
ＦＱＤＮと顧客に関連付けられたＦＱＤＮリストとの間の適合を判定し、
ＤＮＳクエリを顧客のＤＮＳリゾルバに送信し、
ＤＮＳリゾルバから、第１のＩＰアドレスを含むＤＮＳ応答を受信し、
第１のＩＰアドレスと保留ＩＰアドレスとの間のＮＡＴマッピングを生成し、
ＮＡＴマッピングに基づいて、保留ＩＰアドレスを用いて第１のＩＰアドレスを少なくとも置換することによって、ＤＮＳ応答を更新し、
更新されたＤＮＳ応答を第２の仮想ネットワークに送信するように構成されている、項１に記載のシステム。

【0265】

項４
１つ以上のネットワークリソースは、ドメイン名システム（ＤＮＳ）サービスを含み、
第１のパケットは、ＤＮＳサービスによって送信され、
ＤＮＳサービスは、
第２の仮想ネットワークから、完全修飾ドメイン名（ＦＱＤＮ）を含むＤＮＳクエリを受信し、
ＦＱＤＮが顧客に関連付けられたＦＱＤＮリストから除外されていると判断し、
ＤＮＳクエリをサービスプロバイダのＤＮＳリゾルバに送信し、
ＤＮＳリゾルバから、第３のＩＰアドレスを含むＤＮＳ応答を受信し、
ＤＮＳ応答を第２の仮想ネットワークに送信するように構成されている、項１に記載のシステム。

【0266】

項５
１つ以上のネットワークリソースは、データベースサービスを含み、
データベースサービスは、
第２の仮想ネットワークから、データベースクエリを受信し、
第１の仮想ネットワークの第１のネットワークインターフェイスの第３のＩＰアドレスと、第１の仮想ネットワークのデータベースの第４のＩＰアドレスとを決定し、
データベースクエリを、第３のＩＰアドレスをソースとして含み、第４のＩＰアドレスを宛先として含む第３のパケットに入れて第１の仮想ネットワークに送信し、
第１の仮想ネットワークから、データベース応答を受信し、
第２の仮想ネットワークの第２のネットワークインターフェイスの第５のＩＰアドレスを決定し、
データベース応答を、第５のＩＰアドレスをソースとして含み、第２のＩＰアドレスを宛先として含む第４のパケットに入れて第２の仮想ネットワークに送信するように構成されている、項１に記載のシステム。

【0267】

項６
第１のＩＰアドレス範囲は、第２のＩＰアドレス範囲と重複する、項１に記載のシステム。

【0268】

項７
第１のＩＰアドレス範囲は、他の顧客のために構成された第３の仮想ネットワークの第３のＩＰアドレス範囲と重複し、
サービスプロバイダの第２のリソースは、第２のリソースによる第３の仮想ネットワークの第３のリソースへのアクセスに基づいて、サービスを他の顧客に提供するように構成されている、項１に記載のシステム。

【0269】

項８
第１の仮想ネットワークに関連付けられた仮想ネットワークインターフェイスカードをさらに備え、
仮想ネットワークインターフェイスカードは、第１のＩＰアドレス範囲内の複数のＩＰアドレスを用いてアドレス指定可能である、項１に記載のシステム。

【0270】

項９
複数のＩＰアドレスのうちの少なくとも１つは、サービスプロバイダの異なるサービスに関連付けられる、項８に記載のシステム。

【0271】

項１０
第２の仮想ネットワークに関連付けられた仮想ネットワークインターフェイスカードをさらに備え、
仮想ネットワークインターフェイスカードは、第２のＩＰアドレス範囲内の複数のＩＰアドレスを用いてアドレス指定可能である、項１に記載のシステム。

【0272】

項１１
複数のＩＰアドレスのうちの少なくとも２つは、サービスプロバイダの異なるサービスに関連付けられる、項１０に記載のシステム。

【0273】

項１２
システムによって実施される方法であって、方法は、
ネットワークアドレス変換（ＮＡＴ）マッピングに基づいて、第１のＩＰアドレスと保留ＩＰアドレスとの間のＮＡＴマッピングを決定することを含み、第１のＩＰアドレスは、顧客のために構成された第１の仮想ネットワークの第１のＩＰアドレス範囲内にあり、保留ＩＰアドレスは、第１のＩＰアドレス範囲外およびサービスプロバイダのために構成された第２の仮想ネットワークの第２のＩＰアドレス範囲外にあり、
第１のパケットを第２の仮想ネットワークに送信すること、または第２の仮想ネットワークから第２のパケットを受信することの少なくとも一方を含み、第１のパケットのペイロードは、保留ＩＰアドレスを含み、第２のパケットのヘッダは、保留ＩＰアドレスを宛先アドレスとして含み、
第２の仮想ネットワークの第２のリソースによる第１の仮想ネットワークの第１のリソースへのアクセスは、第１のＩＰアドレスと保留ＩＰアドレスとの間のＮＡＴマッピングに基づいている、方法。

【0274】

項１３
サービスプロバイダのサービスに対する顧客の要求を受信することと、
顧客識別子とサービスプロバイダ識別子の対に対して、一組のＤＮＳサービスのうちの少なくとも１つを起動することとをさらに含む、項１２に記載の方法。

【0275】

項１４
第２のパケットのプロトコルと、ソースＩＰアドレスと、ソースポートと、宛先ＩＰアドレスと、宛先ポートとを含むタプルを決定することと、
タプルに基づいて、一組のＤＮＳサービスからＤＮＳサービスを選択することと、
第２のパケットをＤＮＳサービスに送信することとをさらに含む、項１３に記載の方法。

【0276】

項１５
第１のＩＰアドレス範囲は、第２のＩＰアドレス範囲と重複する、項１２に記載の方法。

【0277】

項１６
第１のＩＰアドレス範囲は、他の顧客のために構成された第３の仮想ネットワークの第３のＩＰアドレス範囲と重複し、
サービスプロバイダの第２のリソースは、第２のリソースによる第３の仮想ネットワークの第３のリソースへのアクセスに基づいて、サービスを他の顧客に提供するように構成されている、項１２に記載の方法。

【0278】

項１７
システム上で実行されると、システムに以下の動作を実行させる命令を記憶する１つ以上の非一時的なコンピュータ可読記憶媒体であって、
動作は、
ネットワークアドレス変換（ＮＡＴ）マッピングに基づいて、第１のＩＰアドレスと保留ＩＰアドレスとの間のＮＡＴマッピングを決定することを含み、第１のＩＰアドレスは、顧客のために構成された第１の仮想ネットワークの第１のＩＰアドレス範囲内にあり、保留ＩＰアドレスは、第１のＩＰアドレス範囲外およびサービスプロバイダのために構成された第２の仮想ネットワークの第２のＩＰアドレス範囲外にあり、
第１のパケットを第２の仮想ネットワークに送信すること、または第２の仮想ネットワークから第２のパケットを受信することの少なくとも一方を含み、第１のパケットのペイロードは、保留ＩＰアドレスを含み、第２のパケットのヘッダは、保留ＩＰアドレスを宛先アドレスとして含み、
第２の仮想ネットワークの第２のリソースによる第１の仮想ネットワークの第１のリソースへのアクセスは、第１のＩＰアドレスと保留ＩＰアドレスとの間のＮＡＴマッピングに基づいている、非一時的なコンピュータ可読記憶媒体。

【0279】

項１８
動作は、
第１のＩＰアドレスと保留ＩＰアドレスとの間のＮＡＴマッピングに基づいて第１のＩＰアドレスを決定することと、
第１のＩＰアドレスを用いて保留ＩＰアドレスを少なくとも置換することによって第２のパケットを更新することと、
更新された第２のパケットを第１の仮想ネットワークに送信することとをさらに含む、項１７に記載の非一時的なコンピュータ可読記憶媒体。

【0280】

項１９
動作は、
第２の仮想ネットワークから、完全修飾ドメイン名（ＦＱＤＮ）を含むＤＮＳクエリを受信することと、
ＦＱＤＮと顧客に関連付けられたＦＱＤＮリストとの間の適合を判定することと、
ＤＮＳクエリを顧客のＤＮＳリゾルバに送信することと、
ＤＮＳリゾルバから、第１のＩＰアドレスを含むＤＮＳ応答を受信することと、
第１のＩＰアドレスと保留ＩＰアドレスとの間のＮＡＴマッピングを生成することと、
ＮＡＴマッピングに基づいて、保留ＩＰアドレスを用いて第１のＩＰアドレスを少なくとも置換することによって、ＤＮＳ応答を更新することと、
更新されたＤＮＳ応答を第２の仮想ネットワークに送信することとをさらに含む、項１７に記載の非一時的なコンピュータ可読記憶媒体。

【0281】

項２０
動作は、
第２の仮想ネットワークから、データベースクエリを受信することと、
第１の仮想ネットワークの第１のネットワークインターフェイスの第３のＩＰアドレスと、第１の仮想ネットワークのデータベースの第４のＩＰアドレスとを決定することと、
データベースクエリを、第３のＩＰアドレスをソースとして含み、第４のＩＰアドレスを宛先として含む第３のパケットに入れて第１の仮想ネットワークに送信することと、
第１の仮想ネットワークから、データベース応答を受信することと、
第２の仮想ネットワークの第２のネットワークインターフェイスの第５のＩＰアドレスを決定することと、
データベース応答を、第５のＩＰアドレスをソースとして含み、第２のリソースの第２のＩＰアドレスを宛先として含む第４のパケットに入れて第２の仮想ネットワークに送信することとをさらに含む、項１７に記載の非一時的なコンピュータ可読記憶媒体。

【0282】

本開示を実施するために知られている最良の形態を含み、本開示の好ましい実施形態が本明細書に記載されている。これらの好ましい実施形態の変形形態は、前述の説明を読めば当業者には明らかになるであろう。当業者は、適宜、このような変形例を採用することができ、本開示は、本明細書に具体的に記載されている以外の方法で実施されてもよい。したがって、本開示は、適用される法律によって許可され、本明細書に添付された請求項に記載された主題の全ての変形および等価物を含む。さらに、その全ての可能な変形における上記の要素の任意の組み合わせは、本明細書において別段の指示がない限り、本開示に包含される。

【0283】

本明細書に引用された刊行物、特許出願、および特許を含む全ての参考文献は、各文献が参照により組み込まれることが個別にかつ明確に示され、その全体が本明細書に記載された場合と同じ程度に、参照により組み込まれるものとする。

【0284】

前述の明細書において、本開示の態様は、その特定の実施形態を参照して説明されているが、当業者は、本開示がそれに限定されないことを認識するであろう。上述の開示の様々な特徴および態様は、個々にまたは共同で使用されてもよい。さらに、実施形態は、本明細書のより広い精神および範囲から逸脱することなく、本明細書に説明されるものを超える任意の数の環境および用途において利用されることができる。したがって、明細書および図面は、限定的ではなく例示的であると見なされるべきである。

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】

【図9】

【図10】

【図11】

【図12】

【図13】

【図14】

【図15】

【図16】

【図17】

【図18】

【図19】

【図20】

【図21】

【図22】

【図23】

【図24】

【図25】

【図26】

【国際調査報告】