IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ オラクル・インターナショナル・コーポレイションの特許一覧

特表2024-507147クラウドインフラストラクチャにおけるキャッシュされたフロー情報の無効化
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-02-16
(54)【発明の名称】クラウドインフラストラクチャにおけるキャッシュされたフロー情報の無効化
(51)【国際特許分類】
   H04L 41/0895 20220101AFI20240208BHJP
   H04L 45/76 20220101ALI20240208BHJP
【FI】
H04L41/0895
H04L45/76
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023548603
(86)(22)【出願日】2022-01-14
(85)【翻訳文提出日】2023-10-05
(86)【国際出願番号】 US2022012538
(87)【国際公開番号】W WO2022173555
(87)【国際公開日】2022-08-18
(31)【優先権主張番号】63/149,276
(32)【優先日】2021-02-13
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】17/237,750
(32)【優先日】2021-04-22
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】502303739
【氏名又は名称】オラクル・インターナショナル・コーポレイション
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】トレイシー,レオナード・トーマス
(72)【発明者】
【氏名】クリーガー-スティックレス,ルーカス・マイケル
(72)【発明者】
【氏名】ブラール,ジャグウィンダー・シング
(72)【発明者】
【氏名】ボックマン,ブライス・ユージーン
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA14
5K030MD07
(57)【要約】
クラウド環境におけるパケットのフローをサポートする構成情報の分散を管理するための技術が説明される。ある例では、ネットワーク仮想化デバイスNVD上でホストされる仮想ネットワークインターフェースカード(VNIC)が、VNICに関連付けられる計算インスタンスから第1のパケットを受信する。VNICは、仮想ネットワーク上で第1のパケットを送信するためのフロー情報がNVDのメモリから利用不可である、と判断する。VNICは、NVDを介して、ネットワークインターフェースサービスに第1のパケットを送信し、ネットワークインターフェースサービスは、基板ネットワーク上でパケットを送信するために構成情報を維持し、構成情報に基づいて、基板ネットワーク上で第1のパケットを送信するよう構成される。NVDは、ネットワークインターフェースサービスからフロー情報を受信し、フロー情報は、構成情報のサブセットである。NVDは、フロー情報をメモリに記憶する。
【特許請求の範囲】
【請求項1】
システムであって、
基板ネットワークに接続され、ネットワークインターフェースサービスをホストするサーバのセットと、
仮想ネットワークインターフェースカードをホストし、前記基板ネットワークに接続されるネットワーク仮想化デバイスと、
前記ネットワーク仮想化デバイスに接続され、顧客の仮想ネットワークからの計算インスタンスをホストするホストマシンとを備え、
前記ネットワークインターフェースサービスは、
前記仮想ネットワークの構成に関する構成情報を記憶するよう構成され、
前記構成情報に関するバージョン情報を記憶するよう構成され、
前記仮想ネットワークインターフェースカードは前記構成情報の少なくとも一部に関連付けられる、と判断するよう構成され、
前記バージョン情報に基づいて、前記構成情報の少なくとも前記一部は古い、と判断するよう構成され、
前記少なくとも一部は古いという指示を前記ネットワーク仮想化デバイスに送信するよう構成される、システム。
【請求項2】
前記構成情報の前記一部は、前記仮想ネットワーク上で前記仮想ネットワークインターフェースカードによってパケットを送信するためのフロー情報を含み、前記仮想ネットワークインターフェースカードは、前記フロー情報を記憶するよう構成される、請求項1に記載のシステム。
【請求項3】
前記構成情報は、1つ以上のパケットフローのためのセキュリティポリシー、オーバーレイ対基板インターネットプロトコル(IP)アドレスマッピング、およびルートルールを含み、前記フロー情報は、あるセキュリティポリシー、あるオーバーレイ対基板IPアドレスマッピング、またはあるルートルールのうちの少なくとも1つを含む、請求項2に記載のシステム。
【請求項4】
前記構成情報は、複数の部分を含み、前記ネットワークインターフェースサービスはさらに、
前記複数の部分の各部分について、前記各部分のバージョンのインジケータを記憶するよう構成され、
前記バージョンの前記記憶されたインジケータに基づいて、前記仮想ネットワークインターフェースカードに関連付けられる前記一部の前記バージョンは古い、と判断するよう構成される、請求項1に記載のシステム。
【請求項5】
前記ネットワークインターフェースサービスはさらに、
前記一部の更新されたバージョンおよび前記更新されたバージョンのインジケータを前記ネットワーク仮想化デバイスに送信するよう構成され、前記指示は、前記更新されたバージョンと、前記更新されたバージョンのインジケータとを含む、請求項4に記載のシステム。
【請求項6】
前記ネットワークインターフェースサービスはさらに、
前記ネットワーク仮想化デバイスから、前記仮想ネットワークインターフェースカードに関連付けられる前記一部の更新されたバージョンに対する要求を受信するよう構成され、前記指示は、前記更新されたバージョンが利用可能であることを前記ネットワーク仮想化デバイスに通知し、前記ネットワークインターフェースサービスはさらに、
前記要求に応答して、前記更新されたバージョンを前記ネットワーク仮想化デバイスに送信するよう構成される、請求項4に記載のシステム。
【請求項7】
前記ネットワークインターフェースサービスはさらに、
前記バージョン情報を制御プレーンに送信するよう構成され、
前記制御プレーンから、前記仮想ネットワークインターフェースカードに関連付けられる前記一部の更新されたバージョンと、前記更新されたバージョンのインジケータとを受信するよう構成される、請求項4に記載のシステム。
【請求項8】
前記バージョン情報を送信することは、前記構成情報を形成する前記複数の部分の各部分のバージョンのインジケータがポピュレートされたベクトルクロックを送信することを含む、請求項7に記載のシステム。
【請求項9】
方法であって、
ネットワーク仮想化デバイスが、顧客の仮想ネットワークの構成に関する少なくとも一部の構成情報を記憶することを含み、前記ネットワーク仮想化デバイスは、前記顧客の計算インスタンスのために前記仮想ネットワークに対して仮想ネットワークインターフェースカードをホストし、基板ネットワークに接続され、前記方法はさらに、
前記ネットワーク仮想化デバイスが、前記一部の構成情報に関するバージョン情報を記憶することと、
前記ネットワーク仮想化デバイスが、前記バージョン情報に関する制御プレーンとの通信に基づいて、前記一部は古い、と判断することと、
前記ネットワーク仮想化デバイスが、前記制御プレーンまたはネットワークインターフェースサービスから、前記一部の更新されたバージョンを受信することとを含み、前記ネットワークインターフェースサービスは、前記基板ネットワークに接続されたサーバのセット上でホストされ、前記方法はさらに、
前記ネットワーク仮想化デバイスが、前記一部を前記更新されたバージョンに置き換えることを含む、方法。
【請求項10】
前記ネットワーク仮想化デバイスが、前記制御プレーンに前記バージョン情報を送信することと、
前記ネットワーク仮想化デバイスが、前記制御プレーンから、前記一部は古いという指示を受信することとをさらに含む、請求項9に記載の方法。
【請求項11】
前記バージョン情報を送信することは、前記構成情報の前記一部のバージョンインジケータと他の部分のバージョンインジケータとを含むベクトルクロックを送信することを含み、前記一部および前記他の部分は、前記仮想ネットワーク上で前記仮想ネットワークインターフェースカードによってパケットを送信するためのフロー情報を形成し、前記指示を受信することは、前記一部の更新されたバージョンインジケータを受信することを含む、請求項10に記載の方法。
【請求項12】
前記ネットワーク仮想化デバイスが、前記更新されたバージョンを受信する要求を前記ネットワークインターフェースサービスに送信することと、
前記ネットワーク仮想化デバイスが、前記ネットワークインターフェースサービスから、前記要求に基づいて前記更新されたバージョンを受信することと、
前記ネットワーク仮想化デバイスが、前記更新されたバージョンに基づいてパケットを送信することとをさらに含む、請求項9に記載の方法。
【請求項13】
前記要求は、前記構成情報の前記一部は古いという前記制御プレーンからの指示を受信することに応答して、かつ前記計算インスタンスから前記パケットを受信する前に、前記ネットワークインターフェースサービスに送信される、請求項12に記載の方法。
【請求項14】
前記ネットワーク仮想化デバイスが、前記計算インスタンスのホストマシンからパケットを受信することと、
前記ネットワーク仮想化デバイスが、前記ネットワークインターフェースサービスに、前記構成情報の前記一部が古いことに基づいて、前記パケットを送信することと、
前記ネットワーク仮想化デバイスが、前記ネットワークインターフェースサービスから、前記パケットに基づいて、前記更新されたバージョンを受信することとをさらに含む、請求項9に記載の方法。
【請求項15】
ネットワーク仮想化デバイス上で実行されると、前記ネットワーク仮想化デバイスに動作を実行させる1つ以上の非一時的コンピュータ可読命令であって、前記動作は、
顧客の仮想ネットワークの構成に関する少なくとも一部の構成情報を記憶することを含み、前記ネットワーク仮想化デバイスは、前記顧客の計算インスタンスのために前記仮想ネットワークに対して仮想ネットワークインターフェースカードをホストし、基板ネットワークに接続され、前記動作はさらに、
前記一部の構成情報に関するバージョン情報を記憶することと、
前記バージョン情報に関する制御プレーンとの通信に基づいて、前記一部は古い、と判断することと、
前記制御プレーンまたはネットワークインターフェースサービスから、前記一部の更新されたバージョンを受信することとを含み、前記ネットワークインターフェースサービスは、前記基板ネットワークに接続されたサーバのセット上でホストされ、前記動作はさらに、
前記一部を前記更新されたバージョンで置き換えることを含む、非一時的コンピュータ可読命令。
【請求項16】
前記動作は、前記ネットワークインターフェースサービスから、前記一部の構成情報および前記バージョン情報を受信することをさらに含み、前記一部および前記バージョン情報は、前記仮想ネットワークインターフェースカードに関連付けられるキャッシュに記憶される、請求項15に記載の非一時的コンピュータ可読命令。
【請求項17】
前記構成情報は、前記仮想ネットワークインターフェースカードによってパケットを送信するためのフロー情報を形成する複数の部分を含み、前記動作は、前記ネットワークインターフェースサービスから前記複数の部分の各部分および対応するバージョンインジケータを受信することと、記憶することとをさらに含む、請求項15に記載の非一時的コンピュータ可読命令。
【請求項18】
前記動作はさらに、
前記計算インスタンスのホストマシンからパケットを受信することと、
前記制御プレーンとの通信に基づいて、前記フロー情報は少なくとも1つの古い部分を含む、と判断することと、
前記フロー情報は少なくとも1つの古い部分を含むことに基づいて、前記パケットを前記仮想ネットワークインターフェースカードに送信することとを含む、請求項17に記載の非一時的コンピュータ可読命令。
【請求項19】
前記動作はさらに、
前記仮想ネットワークインターフェースカードから、前記パケットを送信することに応答して、前記少なくとも1つの古い部分の更新されたバージョンを受信することを含む、請求項18に記載の非一時的コンピュータ可読命令。
【請求項20】
前記構成情報は、1つ以上のパケットフローのためのセキュリティポリシー、オーバーレイ対基板インターネットプロトコル(IP)アドレスマッピング、およびルートルールを含み、前記フロー情報は、あるセキュリティポリシー、あるオーバーレイ対基板IPアドレスマッピング、またはあるルートルールのうちの少なくとも1つを含む、請求項17に記載の非一時的コンピュータ可読命令。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の参照
この国際特許出願は、2021年2月13日に提出された米国仮出願63/149,276の利益を主張する、2021年4月22日に提出された「INVALIDATING CACHED FLOW INFORMATION IN A CLOUD INFRASTRUCTURE」と題される米国特許出願17/237,750に対する優先権を主張し、その全内容は、あらゆる目的のために参照により組み込まれる。
【背景技術】
【0002】
背景
Oracle cloud Infrastructure(OCI)等のクラウドインフラストラクチャは、クラウドサービスに加入しているエンティティ(例えば、企業)が、高度に利用可能なクラウドホスト環境において広範囲のアプリケーションおよびサービスを構築および実行することを可能にする、クラウドサービスのセットを提供することができる。加入エンティティは、クラウドサービスプロバイダの顧客と呼ばれる。クラウドインフラストラクチャは、物理的なアンダーレイネットワーク上で動作し、企業のオンプレミスネットワークから安全にアクセス可能な、柔軟なオーバーレイ仮想ネットワークにおいて、高性能計算、記憶、およびネットワーク能力を提供することができる。OCI等のクラウドインフラストラクチャは、概して、顧客が顧客のオンプレミスワークロードを管理するのと同じ方法で、顧客が顧客のクラウドベースのワークロードを管理することを可能にする。したがって、組織は、組織のオンプレミスネットワークと同じ制御、隔離、セキュリティ、および予測可能な性能で、クラウドのすべての恩恵を得ることができる。
【0003】
仮想ネットワーキングは、クラウドリソースにアクセスし、クラウドリソースに接続し、クラウドリソースをセキュアにし、クラウドリソースを修正する能力を可能にするため、仮想ネットワーキングは、クラウドインフラストラクチャおよびクラウドアプリケーションの基礎である。仮想ネットワーキングは、異なる物理位置にわたる複数のコンピュータ、仮想マシン(VM)、仮想サーバ、または他のデバイス間の通信を可能にする。物理ネットワーキングは、ケーブル配線および他のハードウェアを介してコンピュータシステムを接続するが、仮想ネットワーキングは、ソフトウェア管理を使用して、インターネットを介して異なる物理位置におけるコンピュータおよびサーバを接続する。仮想ネットワークは、ネットワークスイッチ、ルータ、およびアダプタ等の従来のネットワーク構成要素の仮想化されたバージョンを使用し、より効率的なルーティングならびにより容易なネットワーク構成および再構成を可能にする。
【発明の概要】
【課題を解決するための手段】
【0004】
概要
本開示は、概して、クラウド環境におけるエンドポイント間のパケットのフローをサポートする構成情報の分散を管理することに関する。構成情報は、概して、ポリシー、ルール、マッピング、ルーティング、ならびにパケットを送信および/または受信するための他のタイプの情報を含む。分散は、メモリ使用量と帯域幅との間のバランスを最適化することができる。特に、構成情報は、仮想ネットワーク内の計算インスタンス間の接続性を集中型方式でサポートするネットワークインターフェースサービスによって記憶され得る。構成情報(本明細書ではフロー情報と呼ばれる)の関連するサブセットも、計算インスタンスの、ネットワークインターフェースサービスおよび仮想ネットワークへのインターフェースを提供する、ネットワーク仮想化デバイス上に、ローカルに記憶され得る。フロー情報が、エンドポイントへのパケットフローをサポートするように、ネットワーク仮想化デバイス上にローカルに存在しない場合、パケットは、それを処理してエンドポイントに送信するネットワークインターフェースサービスに送信され得る。そうでなければ、フロー情報は、ネットワークインターフェースサービスを介してこのパケットを送信することなく、パケットを処理してエンドポイントに送信するよう、ネットワーク仮想化デバイスにおいて使用される。このようにして、ネットワーク仮想化デバイス上に構成情報のセット全体を記憶する(これは、比較的大量のメモリを使用し、ネットワーク仮想化デバイスがサポートすることができるインターフェースの密度を制限する)のではなく、関連するサブセットのみが記憶され、パケットフローのためにローカルに使用され、それによって、メモリ空間を節約し(これは、次いで、ネットワーク仮想化デバイス上で比較的高いインターフェース密度を可能にする)、および(例えば、ネットワークインターフェースサービスを介してエンドポイントにパケットを送信しないことによって、)帯域幅を節約する。
【0005】
採用された用語および表現は、限定ではなく説明の用語として使用され、そのような用語および表現の使用において、図示および説明される特徴またはその部分の任意の均等物を排除する意図はない。しかしながら、特許請求されるシステムおよび方法の範囲内で様々な修正が可能であることが認識される。したがって、本システムおよび方法は、例および任意選択肢的特徴によって具体的に開示されているが、本明細書に開示される概念の修正例および変形例は、当業者によって認識されるはずであり、そのような修正例および変形例は、特許請求の範囲によって規定される通りのシステムおよび方法の範囲内であると見なされることを理解されたい。
【0006】
本概要は、特許請求される主題の主要なまたは本質的な特徴を特定することを意図するものではなく、特許請求される主題の範囲を決定するために単独で使用されることを意図するものでもない。本主題は、本開示の明細書全体、任意のまたはすべての図面、および各請求項の適切な部分を参照することによって理解されるべきである。
【0007】
前述の事項は、他の特徴および実施形態とともに、以下の明細書、請求項、および付随の図面を参照すると、より明白となるであろう。
【0008】
図面の簡単な説明
説明のための例が、以下の図面を参照して以下に詳細に説明される。
【図面の簡単な説明】
【0009】
図1】ある実施形態による、クラウドサービスプロバイダインフラストラクチャによってホストされる仮想またはオーバーレイクラウドネットワークを示す、分散環境の上位図である。
図2】ある実施形態による、CSPI内の物理ネットワークにおける物理構成要素の簡略化されたアーキテクチャ図を示す。
図3】ある実施形態による、ホストマシンが複数のネットワーク仮想化デバイス(NVD)に接続される、CSPI内の例示的配置を示す。
図4】ある実施形態による、ホストマシンとマルチテナンシをサポートするためにI/O仮想化を提供するためのNVDとの間の接続を示す図である。
図5】ある実施形態による、CSPIによって提供される物理ネットワークの簡略化されたブロック図を示す。
図6】ある実施形態による、キャッシュされた構成情報に基づいてパケットフローをサポートするネットワークアーキテクチャの例を示す図である。
図7】ある実施形態による、キャッシュされない構成情報に基づいてパケットフローをサポートするネットワークアーキテクチャの例を示す図である。
図8】ある実施形態による、キャッシュされたフロー情報およびキャッシュされない構成情報に基づいてパケットフローをサポートするネットワークアーキテクチャの例を示す図である。
図9】ある実施形態による、キャッシュされるフロー情報をもたらすアウトバウンドパケットフローの例を示す図である。
図10】ある実施形態による、キャッシュされたフロー情報に基づくアウトバウンドパケットフローの例を示す図である。
図11】ある実施形態による、キャッシュされるフロー情報をもたらすインバウンドパケットフローの例を示す図である。
図12】ある実施形態による、キャッシュされたフロー情報に基づくインバウンドパケットフローの例を示す図である。
図13】ある実施形態による、キャッシュされたフロー情報を無効化および更新する例を示す。
図14】ある実施形態による、キャッシュされたフロー情報を無効化および更新する別の例を示す。
図15】ある実施形態による、キャッシュされるフロー情報をもたらす、パケットを送信するための方法の例を示す図である。
図16】ある実施形態による、キャッシュされるフロー情報をもたらす、パケットを受信するための方法の例を示す図である。
図17】ある実施形態による、フロー情報を生成および送信するための方法の例を示す図である。
図18】ある実施形態による、キャッシュされたフロー情報を無効化および更新するための方法の例を示す。
図19】ある実施形態による、キャッシュされたフロー情報を無効化および更新するための方法の別の例を示す。
図20】ある実施形態による、キャッシュされたフロー情報を無効化および更新するための方法の別の例を示す。
図21】少なくとも1つの実施形態による、クラウドインフラストラクチャをサービスシステムとして実現するための1つのパターンを示すブロック図である。
図22】少なくとも1つの実施形態による、クラウドインフラストラクチャをサービスシステムとして実現するための別のパターンを示すブロック図である。
図23】少なくとも1つの実施形態による、クラウドインフラストラクチャをサービスシステムとして実現するための別のパターンを示すブロック図である。
図24】少なくとも1つの実施形態による、クラウドインフラストラクチャをサービスシステムとして実現するための別のパターンを示すブロック図である。
図25】少なくとも1つの実施形態による、例示的なコンピュータシステムを示すブロック図である。
【発明を実施するための形態】
【0010】
詳細な説明
例示的な仮想ネットワーキングアーキテクチャ
クラウドサービスという用語は、一般的に、クラウドサービスプロバイダ(CSP)が、システムおよびインフラストラクチャ(クラウドインフラストラクチャ)を用いて、ユーザまたは顧客がオンデマンドで(例えば、サブスクリプションモデルを介して)利用できるサービスを指す。通常、CSPのインフラストラクチャを構成するサーバおよびシステムは、顧客自身のオンプレミスサーバおよびシステムから離れている。したがって、顧客は、サービス用のハードウェアおよびソフトウェア資源を別途購入することなく、CSPによって提供されるクラウドサービスを利用することができる。クラウドサービスは、サービスを提供するために使用されるインフラストラクチャの調達に顧客が投資する必要がなく、アプリケーションおよび計算リソースへの容易且つ拡張可能なアクセスを加入している顧客に提供するように設計されている。
【0011】
様々な種類のクラウドサービスを提供するクラウドサービスプロバイダがいくつかある。クラウドサービスは、SaaS(Software-as-a-Service)、PaaS(Platform-as-a-Service)、IaaS(Infrastructure-as-a-Service)などの様々な異なる種類またはモデルを含む。
【0012】
顧客は、CSPによって提供される1つ以上のクラウドサービスに加入することができる。顧客は、個人、組織、企業などの任意のエンティティであってもよい。顧客がCSPによって提供されるサービスに加入または登録すると、その顧客に対してテナントまたはアカウントが作成される。その後、顧客は、このアカウントを介して、アカウントに関連付けられた1つ以上の加入済みクラウドリソースにアクセスすることができる。
【0013】
上述したように、IaaS(Infrastructure as a Service)は、1つの特定種類のクラウドコンピューティングサービスである。IaaSモデルにおいて、CSPは、顧客が自身のカスタマイズ可能なネットワークを構築し、顧客リソースを展開するために使用できるインフラストラクチャ(クラウドサービスプロバイダインフラストラクチャまたはCSPIと呼ばれる)を提供する。したがって、顧客のリソースおよびネットワークは、CSPによって提供されたインフラストラクチャによって分散環境にホストされる。これは、顧客のインフラストラクチャが顧客のリソースおよびネットワークをホストする従来のコンピューティングとは異なる。
【0014】
CSPIは、基板ネットワークまたはアンダーレイネットワークとも呼ばれる物理ネットワークを形成する様々なホストマシン、メモリリソース、およびネットワークリソースを含む相互接続された高性能計算リソースを備え得る。CSPI内のリソースは、1つ以上の地域にわたって地理的に広がり得る1つ以上のデータセンタにわたって広がり得る。仮想化ソフトウェアは、仮想化された分散環境を提供するために、これらの物理リソースによって実行され得る。仮想化は、物理ネットワーク上にオーバーレイネットワーク(ソフトウェアベースのネットワーク、ソフトウェア定義されたネットワーク、または仮想ネットワークとしても公知である)を作成する。CSPI物理ネットワークは、物理ネットワークの上に1つ以上のオーバーレイまたは仮想ネットワークを作成するための基礎を提供する。物理ネットワーク(または基板ネットワークもしくはアンダーレイネットワーク)は、物理スイッチ、ルータ、コンピュータおよびホストマシンなどの物理ネットワークデバイスを含む。オーバーレイネットワークは、物理的な基板ネットワーク上で動作する論理(または仮想)ネットワークである。所与の物理ネットワークが、1つ以上のオーバーレイネットワークをサポートすることができる。オーバーレイネットワークは、典型的には、カプセル化技術を使用して、異なるオーバーレイネットワークに属するトラフィック間を区別する。仮想またはオーバーレイネットワークは、仮想クラウドネットワーク(VCN)とも呼ばれる。仮想ネットワークは、ソフトウェア仮想化技術(たとえば、ハイパーバイザ、ネットワーク仮想化デバイス(NVD)(たとえば、スマートNIC)によって実現される仮想化機能、トップオブラック(TOR)スイッチ、NVDによって実行される1つ以上の機能を実現するスマートTOR、および他の機構)を使用して実現され、物理ネットワークの上で実行され得るネットワーク抽象化の層を作成する。仮想ネットワークは、ピアツーピアネットワーク、IPネットワーク、およびその他を含む、多くの形態をとることができる。仮想ネットワークは、典型的には、レイヤ3 IPネットワークまたはレイヤ2 VLANのいずれかである。仮想またはオーバーレイネットワーキングのこの方法は、しばしば仮想またはオーバーレイレイヤ3ネットワーキングと呼ばれる。仮想ネットワークのために開発されたプロトコルの例は、IP-in-IP(または汎用ルーティングカプセル化(GRE))、仮想拡張可能LAN(VXLAN-IETF RFC7348)、仮想プライベートネットワーク(VPN)(例えば、MPLSレイヤ3仮想プライベートネットワーク(RFC4364))、VMwareのNSX、GENEVE(汎用ネットワーク仮想化カプセル化)などを含む。
【0015】
IaaSの場合、CSPによって提供されたインフラストラクチャ(CSPI)は、パブリックネットワーク(例えば、インターネット)を介して仮想化計算リソースを提供するように構成されてもよい。IaaSモデルにおいて、クラウドコンピューティングサービスプロバイダは、インフラストラクチャ要素(例えば、サーバ、記憶装置、ネットワークノード(例えば、ハードウェア)、展開ソフトウェア、プラットフォーム仮想化(例えば、ハイパーバイザ層)など)をホストすることができる。場合によっては、IaaSプロバイダは、それらのインフラストラクチャ要素に付随する様々なサービス(例えば、課金、監視、ロギング、セキュリティ、負荷分散およびクラスタリングなど)を提供することができる。これらのサービスがポリシー駆動型であるため、IaaSユーザは、負荷分散を駆動するためのポリシーを実装することによって、アプリケーションの可用性および性能を維持することができる。CSPIは、インフラストラクチャおよび一連の補完的なクラウドサービスを提供する。これによって、顧客は、可用性の高いホスト型分散環境で幅広いアプリケーションおよびサービスを構築し、実行することができる。CSPIは、顧客オンプレミスネットワークなどの様々なネットワーク拠点から安全にアクセスできる柔軟な仮想ネットワーク上で高性能の計算リソースおよび能力ならびに記憶容量を提供する。顧客がCSPによって提供されたIaaSサービスに加入または登録すると、その顧客のために作成されたテナンシは、CSPIから安全に分離されたパーティションとなり、顧客は、クラウドリソースを作成、整理、管理することができる。
【0016】
顧客は、CSPIによって提供された計算リソース、メモリリソース、およびネットワーキングリソースを使用して、独自の仮想ネットワークを構築することができる。これらの仮想ネットワーク上に、計算インスタンスなどの1つ以上の顧客リソースまたはワークロードを展開することができる。例えば、顧客は、CSPIによって提供されたリソースを使用して、仮想クラウドネットワーク(VCN)と呼ばれる1つ以上のカスタマイズ可能なプライベート仮想ネットワークを構築することができる。顧客は、顧客VCN上で1つ以上の顧客リソース、例えば計算インスタンスを展開することができる。計算インスタンスは、仮想マシン、ベアメタルインスタンスなどであってもよい。したがって、CSPIは、顧客が可用性の高い仮想ホスト環境において様々なアプリケーションおよびサービスを構築および実行することを可能にするインフラストラクチャおよび一連の相補的なクラウドサービスを提供する。顧客は、CSPIによって提供された基礎的な物理リソースを管理または制御しないが、オペレーティングシステム、記憶、および展開されたアプリケーションを制御し、場合によっては一部のネットワーキングコンポーネント(例えば、ファイアウォール)を限定的に制御する。
【0017】
CSPは、顧客およびネットワーク管理者がCSPIリソースを使用してクラウドに展開されたリソースを構成、アクセス、および管理することを可能にするコンソールを提供することができる。特定の実施形態において、コンソールは、CSPIを利用および管理するために使用することができるウェブベースのユーザインターフェースを提供する。いくつかの実施形態において、コンソールは、CSPによって提供されたウェブベースのアプリケーションである。
【0018】
CSPIは、シングルテナンシアーキテクチャまたはマルチテナンシアーキテクチャをサポートすることができる。シングルテナンシアーキテクチャにおいて、ソフトウェア(例えば、アプリケーション、データベース)またはハードウェア要素(例えば、ホストマシンまたはサーバ)は、単一の顧客またはテナントにサービスを提供する。マルチテナンシアーキテクチャにおいて、ソフトウェアまたはハードウェア要素は、複数の顧客またはテナントにサービスを提供する。したがって、マルチテナンシアーキテクチャにおいて、CSPIリソースは、複数の顧客またはテナントの間で共有される。マルチテナンシ環境において、各テナントのデータが分離され、他のテナントから見えないようにするために、CSPIには予防措置および保護措置が講じられる。
【0019】
物理ネットワークにおいて、ネットワークエンドポイント(エンドポイント)は、物理ネットワークに接続され、接続されているネットワークと双方向に通信するコンピューティング装置またはシステムを指す。物理ネットワークのネットワークエンドポイントは、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、または他の種類の物理ネットワークに接続されてもよい。物理ネットワークの従来のエンドポイントの例は、モデム、ハブ、ブリッジ、スイッチ、ルータ、および他のネットワーキング装置、物理コンピュータ(またはホストマシン)などを含む。物理ネットワークの各物理装置は、当該装置と通信するために使用できる固定ネットワークアドレスを有する。この固定ネットワークアドレスは、レイヤ2アドレス(例えば、MACアドレス)、固定レイヤ3アドレス(例えば、IPアドレス)などであってもよい。仮想化環境または仮想ネットワークにおいて、エンドポイントは、物理ネットワークの要素によってホストされている(例えば、物理ホストマシンによってホストされている)仮想マシンなどの様々な仮想エンドポイントを含むことができる。仮想ネットワークのこれらのエンドポイントは、オーバーレイレイヤ2アドレス(例えば、オーバーレイMACアドレス)およびオーバーレイレイヤ3アドレス(例えば、オーバーレイIPアドレス)などのオーバーレイアドレスによってアドレス指定される。ネットワークオーバーレイは、ネットワーク管理者がソフトウェア管理を用いて(例えば、仮想ネットワークの制御プレーンを実装するソフトウェアを介して)ネットワークエンドポイントに関連付けられたオーバーレイアドレスを移動できるようにすることによって柔軟性を実現する。したがって、物理ネットワークとは異なり、仮想ネットワークにおいて、ネットワーク管理ソフトウェアを使用して、オーバーレイアドレス(例えば、オーバーレイIPアドレス)を1つのエンドポイントから別のエンドポイントに移動することができる。仮想ネットワークが物理ネットワーク上に構築されているため、仮想ネットワークおよび基礎となる物理ネットワークの両方は、仮想ネットワークの要素間の通信に関与する。このような通信を容易にするために、CSPIの各要素は、仮想ネットワークのオーバーレイアドレスを基板ネットワークの実際の物理アドレスにまたは基板ネットワークの実際の物理アドレスを仮想ネットワークのオーバーレイアドレスにマッピングするマッピングを学習および記憶するように構成されている。これらのマッピングは、通信を容易にするために使用される。仮想ネットワークのルーティングを容易にするために、顧客トラフィックは、カプセル化される。
【0020】
したがって、物理アドレス(例えば、物理IPアドレス)は、物理ネットワーク内の構成要素に関連付けられ、オーバーレイアドレス(例えば、オーバーレイIPアドレス)は、仮想またはオーバーレイネットワーク内のエンティティに関連付けられる。物理IPアドレスは、基板または物理ネットワーク内の物理デバイス(例えば、ネットワークデバイス)に関連付けられるIPアドレスである。例えば、各NVDは、関連付けられた物理IPアドレスを有する。オーバーレイIPアドレスは、顧客の仮想クラウドネットワーク(VCN)内の計算インスタンスなど、オーバーレイネットワーク内のエンティティに関連付けられるオーバーレイアドレスである。各々が自身のプライベートVCNを伴う、2つの異なる顧客またはテナントは、互いの知識なしに、潜在的に、それらのVCN内で同じオーバーレイIPアドレスを使用し得る。物理IPアドレスおよびオーバーレイIPアドレスは共に実IPアドレスの種類である。これらは仮想IPアドレスとは別個である。仮想IPアドレスは、典型的には、複数の実IPアドレスを表すかまたは複数の実IPアドレスにマッピングする単一のIPアドレスである。仮想IPアドレスは、仮想IPアドレスと複数の実IPアドレスとの間の1対多マッピングを提供する。たとえば、ロードバランサが、VIPを使用して、各サーバがそれ自体の実際のIPアドレスを有する複数のサーバにマッピングするか、またはそれらを表してもよい。
【0021】
クラウドインフラストラクチャまたはCSPIは、世界中の1つ以上の地域の1つ以上のデータセンタに物理的にホストされる。CSPIは、物理ネットワークまたは基板ネットワークの要素と、物理ネットワーク要素上に構築された仮想ネットワークの仮想化要素(例えば、仮想ネットワーク、計算インスタンス、仮想マシン)とを含んでもよい。特定の実施形態において、CSPIは、レルム(realm)、地域(region)、および利用可能なドメイン(domain)において編成およびホストされる。地域は、典型的には、1つ以上のデータセンタを含む局所的な地理的領域である。地域は、一般的に互いに独立しており、例えば、国または大陸を跨ぐ広大な距離によって分離されてもよい。例えば、第1の地域は、オーストラリアにあってもよく、別の地域は、日本にあってもよく、さらに別の地域は、インドにあってもよい。CSPIリソースは、各地域が独立したCSPIリソースのサブセットを有するようにこれらの地域間で分割される。各地域は、一連のコアインフラストラクチャサービスおよびリソース、例えば、計算リソース(例えば、ベアメタルサーバ、仮想マシン、コンテナおよび関連インフラストラクチャ)、記憶リソース(例えば、ブロックボリューム記憶、ファイル記憶、オブジェクト記憶、アーカイブ記憶)、ネットワーキングリソース(例えば、仮想クラウドネットワーク(VCN)、負荷分散リソース、オンプレミスネットワークへの接続)、データベースリソース、エッジネットワーキングリソース(例えば、DNS)、アクセス管理および監視リソースなどを提供することができる。各地域は、一般的に、当該地域をレルム内の他の地域に接続するための複数の経路を持つ。
【0022】
一般的に、アプリケーションは、近くのリソースを使用することが遠くのリソースを使用することよりも速いため、最も多く使用される地域に展開される(すなわち、その地域に関連するインフラストラクチャ上に展開される)。また、アプリケーションは、大規模な気象システムまたは地震などの地域全体のイベントのリスクを軽減するための冗長性、法的管轄、税金ドメイン、および他のビジネスまたは社会的基準に対する様々な要件を満たすための冗長性など、様々な理由で異なる地域に展開されてもよい。
【0023】
地域内のデータセンタは、さらに編成され、利用可能なドメイン(availability domain:AD)に細分化されてもよい。利用可能なドメインは、ある地域に配置された1つ以上のデータセンタに対応してもよい。地域は、1つ以上の利用可能なドメインから構成されてもよい。このような分散環境において、CSPIリソースは、仮想クラウドネットワーク(VCN)などの地域に固有なものまたは計算インスタンスなどの利用可能なドメインに固有なものである。
【0024】
1つの地域内のADは、フォールトトレラント(fault tolerant)になるように互いに分離され、同時に故障する可能性が非常に低くなるように構成されている。これは、1つの地域内の1つのADの障害が同じ地域内の他のADの可用性に影響を与えることが殆どないように、ネットワーキング、物理ケーブル、ケーブル経路、ケーブル入口などの重要なインフラストラクチャリソースを共有しないように、ADを構成することによって達成される。同じ地域内のADを低遅延広帯域のネットワークで互いに接続することによって、他のネットワーク(例えば、インターネット、顧客オンプレミスネットワーク)への高可用性接続を提供し、複数のADにおいて高可用性および災害復旧の両方のための複製システムを構築することができる。クラウドセンアイスは、複数のADを利用して、高可用性を確保すると共に、リソースの障害から保護する。IaaSプロバイダによって提供されたインフラストラクチャが成長するにつれて、追加の容量と共により多くの地域およびADを追加してもよい。利用可能なドメイン間のトラフィックは、通常、暗号化される。
【0025】
特定の実施形態において、地域は、レルムにグループ化される。レルムは、地域の論理的な集合である。レルムは、互いに隔離されており、いかなるデータを共有しない。同じレルム内の地域は、互いに通信することができるが、異なるレルム内の地域は、通信することができない。CSPの顧客のテナンシまたはアカウントは、単一のレルムに存在し、その単一のレルムに属する1つ以上の地域を跨ることができる。典型的には、顧客がIaaSサービスに加入すると、レルム内の顧客指定地域(「ホーム」地域と呼ばれる)に、その顧客のテナンシまたはアカウントが作成される。顧客は、顧客のテナンシをレルム内の1つ以上の他の地域に拡張することができる。顧客は、顧客のテナンシが存在するレルム内に存在していない地域にアクセスすることができない。
【0026】
IaaSプロバイダは、複数のレルムを提供することができ、各レルムは、特定の組の顧客またはユーザに対応する。例えば、商用レルムは、商用顧客のために提供されてもよい。別の例として、レルムは、特定の国のためにまたはその国の顧客のために提供されてもよい。さらに別の例として、政府用レルムは、例えば政府のために提供されてもよい。例えば、政府用レルムは、特定の政府のために作成されてもよく、商用レルムよりも高いセキュリティレベルを有してもよい。例えば、オラクル(登録商標)クラウドインフラストラクチャ(OCI)は、現在、商用領域向けのレルムと、政府クラウド領域向けの2つのレルム(例えば、FedRAMP認可およびIL5認可)とを提供する。
【0027】
特定の実施形態において、ADは、1つ以上の障害ドメイン(fault domain)に細分化することができる。障害ドメインは、反親和性(anti-affinity)を提供するために、AD内のインフラストラクチャリソースをグループ化したものである。障害ドメインは、計算インスタンスを分散することができる。これによって、計算インスタンスは、1つのAD内の同じ物理ハードウェア上に配置されない。これは、反親和性として知られている。障害ドメインは、1つの障害点を共有するハードウェア要素(コンピュータ、スイッチなど)の集合を指す。計算プールは、障害ドメインに論理的に分割される。このため、1つの障害ドメインに影響を与えるハードウェア障害または計算ハードウェア保守イベントは、他の障害ドメインのインスタンスに影響を与えない。実施形態によっては、各ADの障害ドメインの数は、異なってもよい。例えば、特定の実施形態において、各ADは、3つの障害ドメインを含む。障害ドメインは、AD内の論理データセンタとして機能する。
【0028】
顧客がIaaSサービスに加入すると、CSPIからのリソースは、顧客にプロビジョニングされ、顧客のテナンシに関連付けられる。顧客は、これらのプロビジョニングされたリソースを使用して、プライベートネットワークを構築し、これらのネットワーク上にリソースを展開することができる。CSPIによってクラウド上でホストされている顧客ネットワークは、仮想クラウドネットワーク(VCN)と呼ばれる。顧客は、顧客用に割り当てられたCSPIリソースを使用して、1つ以上の仮想クラウドネットワーク(VCN)を構成することができる。VCNとは、仮想またはソフトウェア定義のプライベートネットワークである。顧客のVCNに配備された顧客リソースは、計算インスタンス(例えば、仮想マシン、ベアメタルインスタンス)および他のリソースを含むことができる。これらの計算インスタンスは、アプリケーション、ロードバランサ、データベースなどの様々な顧客作業負荷を表してもよい。VCN上に配備された計算インスタンスは、インターネットなどのパブリックネットワークを介して公的にアクセス可能なエンドポイント(パブリックエンドポイント)と通信することができ、同じVCNまたは他のVCN(例えば、顧客の他のVCN、または顧客に属さないVCN)内の他のインスタンスと通信することができ、顧客オンプレミスデータセンタまたはネットワークと通信することができ、センディエンドポイントと通信することができ、および他の種類のエンドポイントと通信することができる。
【0029】
CSPは、CSPIを用いて多様なサービスを提供することができる。場合によっては、CSPIの顧客自身は、サービスプロバイダのように振る舞い、CSPIリソースを使用してサービスを提供することができる。サービスプロバイダは、識別情報(例えば、IPアドレス、DNS名およびポート)によって特徴付けられるサービスエンドポイントを公開することができる。顧客のリソース(例えば、計算インスタンス)は、サービスによって公開されたその特定のサービスのサービスエンドポイントにアクセスすることによって、特定のサービスを消費することができる。これらのサービスエンドポイントは、一般に、ユーザがエンドポイントに関連付けられたパブリックIPアドレスを使用して、インターネットなどのパブリック通信ネットワークを介して公的にアクセス可能なエンドポイントである。公的にアクセス可能なネットワークエンドポイントは、パブリックエンドポイントと呼ばれることもある。
【0030】
特定の実施形態において、サービスプロバイダは、(サービスエンドポイントと呼ばれることもある)サービスのエンドポイントを介してサービスを公開することができる。サービスの顧客は、このサービスエンドポイントを使用してサービスにアクセスすることができる。特定の実施形態において、サービスのために提供されたサービスエンドポイントは、そのサービスを消費しようとする複数の顧客によってアクセスすることができる。他の実装形態において、専用のサービスエンドポイントを顧客に提供してもよい。したがって、その顧客のみは、その専用センディエンドポイントを使用してサービスにアクセスすることができる。
【0031】
特定の実施形態において、VCNは、作成されると、そのVCNに割り当てられたプライベートオーバーレイIPアドレス範囲(例えば、10.0/16)であるプライベートオーバーレイクラスレスドメイン間ルーティング(Classless Inter-Domain Routing:CIDR)アドレス空間に関連付けられる。VCNは、関連するサブネット、ルートテーブル、およびゲートウェイを含む。VCNは、単一の地域内に存在するが、地域の1つ以上または全ての利用可能なドメインに拡張することができる。ゲートウェイは、VCN用に構成され、VCNとVCN外部の1つ以上のエンドポイントとの間のトラフィック通信を可能にする仮想インターフェースである。VCNの1つ以上の異なる種類のゲートウェイを構成することによって、異なる種類のエンドポイント間の通信を可能にすることができる。
【0032】
VCNは、1つ以上のサブネットなどの1つ以上のサブネットワークに細分化されてもよい。したがって、サブネットは、VCN内で作成され得る構成単位または区画である。VCNは、1つ以上のサブネットを持つことができる。VCN内の各サブネットは、当該VCN内の他のサブネットと重複せず、当該VCNのアドレス空間のアドレス空間サブセットを表すオーバーレイIPアドレス(例えば、10.0.0.0/24および10.0.1.0/24)の連続範囲に関連付けられる。
【0033】
各計算インスタンスは、仮想ネットワークインターフェースカード(VNIC)に関連付けられる。これによって、各計算インスタンスは、VCNのサブネットに参加することができる。VNICは、物理ネットワークインターフェースカード(NIC)の論理表現である。一般的に、VNICは、エンティティ(例えば、計算インスタンス、サービス)と仮想ネットワークとの間のインターフェースである。VNICは、サブネットに存在し、1つ以上の関連するIPアドレスと、関連するセキュリティルールまたはポリシーとを有する。VNICは、スイッチ上のレイヤ2ポートに相当する。VNICは、計算インスタンスと、VCN内のサブネットとに接続されている。計算インスタンスに関連付けられたVNICは、計算インスタンスがVCNのサブネットの一部であることを可能にし、計算インスタンスが、計算インスタンスと同じサブネット上にあるエンドポイントと、VCN内の異なるサブネット内のエンドポイントと、またはVCN外部のエンドポイントと通信する(例えば、パケットを送信および受信する)ことを可能にする。したがって、計算インスタンスに関連するVNICは、計算インスタンスがVCNの内部および外部のエンドポイントとどのように接続しているかを判断する。計算インスタンスのVNICは、計算インスタンスが作成され、VCN内のサブネットに追加されるときに作成され、その計算インスタンスに関連付けられる。サブネットは、計算インスタンスのセットからなる場合、計算インスタンスのセットに対応するVNICを含み、各VNICは、コンピュータインスタンスのセット内の計算インスタンスに接続されている。
【0034】
計算インスタンスに関連するVNICを介して、各計算インスタンスにはプライベートオーバーレイIPアドレスが割り当てられる。このプライベートオーバーレイIPアドレスは、計算インスタンスの作成時に計算インスタンスに関連するVNICに割り当てられ、計算インスタンスのトラフィックをルーティングするために使用される。特定のサブネット内の全てのVNICは、同じルートテーブル、セキュリティリスト、およびDHCPオプションを使用する。上述したように、VCN内の各サブネットは、当該VCN内の他のサブネットと重複せず、当該VCNのアドレス空間のアドレス空間サブセットを表すオーバーレイIPアドレス(例えば、10.0.0.0/24および10.0.1.0/24)の連続範囲に関連付けられる。VCNの特定のサブネット上のVNICの場合、VNICに割り当てられたオーバーレイIPアドレスは、サブネットに割り当てられたオーバーレイIPアドレスの連続範囲からのアドレスである。
【0035】
特定の実施形態において、必要に応じて、計算インスタンスには、プライベートオーバーレイIPアドレスに加えて、追加のオーバーレイIPアドレス、例えば、パブリックサブネットの場合に1つ以上のパブリックIPアドレスを割り当てることができる。これらの複数のアドレスは、同じVNIC、または計算インスタンスに関連付けられた複数のVNICに割り当てられる。しかしながら、各インスタンスは、インスタンス起動時に作成され、インスタンスに割り当てられたオーバーレイプライベートIPアドレスに関連付けられたプライマリVNICを有する。このプライマリVNICは、削除することができない。セカンダリVNICと呼ばれる追加のVNICは、プライマリVNICと同じ利用可能なドメイン内の既存のインスタンスに追加することができる。全てのVNICは、インスタンスと同じ利用可能なドメインにある。セカンダリVNICは、プライマリVNICと同じVCNのサブネットにあってもよく、または同じVCNまたは異なるVCNの異なるサブネットにあってもよい。
【0036】
計算インスタンスは、パブリックサブネットにある場合、オプションでパブリックIPアドレスを割り当てられることができる。サブネットを作成するときに、当該サブネットをパブリックサブネットまたはプライベートサブネットのいずれかとして指定することができる。プライベートサブネットとは、当該サブネット内のリソース(例えば、計算インスタンス)および関連するVNICがパブリックオーバーレイIPアドレスを持つことができないことを意味する。パブリックサブネットとは、サブネット内のリソースおよび関連するVNICがパブリックIPアドレスを持つことができることを意味する。顧客は、地域またはレルム内の単一の利用可能なドメインまたは複数の利用可能なドメインにわたって存在するサブネットを指定することができる。
【0037】
上述したように、VCNは、1つ以上のサブネットに細分化されてもよい。特定の実施形態において、VCNのために構成された仮想ルータ(VCN VRまたは単にVRと呼ばれる)は、VCNのサブネット間の通信を可能にする。VCN内のサブネットの場合、VRは、サブネット(すなわち、当該サブネット上の計算インスタンス)と、VCN内部の他のサブネット上のエンドポイントおよびVCN外部の他のエンドポイントとの通信を可能にする当該サブネットの論理ゲートウェイを表す。VCN VRは、VCN内のVNICと、VCNに関連する仮想ゲートウェイ(ゲートウェイ)との間のトラフィックをルーティングするように構成された論理エンティティである。ゲートウェイは、図1に関して以下でさらに説明される。VCN VRは、レイヤ3/IPレイヤの概念である。一実施形態において、1つのVCNに対して1つのVCN VRが存在する。このVCN VRは、IPアドレスによってアドレス指定された無制限の数のポートを潜在的に有し、VCNの各サブネットに対して1つのポートを有する。このようにして、VCN VRは、VCN VRが接続されているVCNの各サブネットに対して異なるIPアドレスを有する。また、VRは、VCNのために構成された様々なゲートウェイに接続されている。特定の実施形態において、サブネットのオーバーレイIPアドレス範囲からの特定のオーバーレイIPアドレスは、そのサブネットのVCN VRのポートに保留される。例えば、関連するアドレス範囲10.0/16および10.1/16を各々有する2つのサブネットを有するVCNを考える。アドレス範囲10.0/16を有するVCNの第1のサブネットの場合、この範囲からのアドレスは、そのサブネットのVCN VRのポートに保留される。場合によっては、この範囲からの第1のIPアドレスは、VCN VRに保留されてもよい。例えば、オーバーレイIPアドレス範囲10.0/16を有するサブネットの場合、IPアドレス10.0.0.1は、そのサブネットのVCN VRのポートに保留されてもよい。同じVCN内のアドレス範囲10.1/16を有する第2のサブネットの場合、VCN VRは、IPアドレス10.1.0.1を有する第2のサブネットのポートを有してもよい。VCN VRは、VCN内の各サブネットに対して異なるIPアドレスを有する。
【0038】
いくつかの他の実施形態において、VCN内の各サブネットは、VRに関連付けられた保留またはデフォルトIPアドレスを使用してサブネットによってアドレス指定可能な、それ自身に関連するVRを有してもよい。保留またはデフォルトIPアドレスは、例えば、そのサブネットに関連付けられたIPアドレスの範囲からの第1のIPアドレスであってもよい。サブネット内のVNICは、このデフォルトまたは保留IPアドレスを使用して、サブネットに関連付けられたVRと通信(例えば、パケットを送信および受信)することができる。このような実施形態において、VRは、そのサブネットの着信/送信ポイントである。VCN内のサブネットに関連付けられたVRは、VCN内の他のサブネットに関連付けられた他のVRと通信することができる。また、VRは、VCNに関連付けられたゲートウェイと通信することができる。サブネットのVR機能は、サブネット内のVNICのVNIC機能を実行する1つ以上のNVD上で実行され、またはそれによって実行される。
【0039】
ルートテーブル、セキュリティルール、およびDHCPオプションは、VCNのために構成されてもよい。ルートテーブルは、VCNの仮想ルートテーブルであり、ゲートウェイまたは特別に構成されたインスタンスを経由して、トラフィックをVCN内部のサブネットからVCN外部の宛先にルーティングするためのルールを含む。VCNとの間でパケットの転送/ルーティングを制御するために、VCNのルートテーブルをカスタマイズすることができる。DHCPオプションは、インスタンスの起動時にインスタンスに自動的に提供される構成情報を指す。
【0040】
VCNのために構成されたセキュリティルールは、VCNのオーバーレイファイアウォールルールを表す。セキュリティルールは、受信ルールおよび送信ルールを含むことができ、(例えば、プロトコルおよびポートに基づいて)VCN内のインスタンスに出入りすることを許可されるトラフィックの種類を指定することができる。顧客は、特定の規則をステートフルまたはステートレスにするかを選択することができる。例えば、顧客は、送信元CIDR0.0.0.0/0および宛先TCPポート22を含むステートフル受信ルールを設定することによって、任意の場所から1組のインスタンスへの着信SSHトラフィックを許可することができる。セキュリティルールは、ネットワークセキュリティグループまたはセキュリティリストを使用して実装されてもよい。ネットワークセキュリティグループは、そのグループ内のリソースのみに適用されるセキュリティルールのセットからなる。一方、セキュリティリストは、そのセキュリティリストを使用するサブネット内の全てのリソースに適用されるルールを含む。VCNは、デフォルトセキュリティルールとデフォルトセキュリティリストを含んでもよい。VCNのために構成されたDHCPオプションは、VCN内のインスタンスが起動するときに自動的に提供される構成情報を提供する。
【0041】
特定の実施形態において、VCNの構成情報は、VCN制御プレーンによって決定され、記憶される。VCNの構成情報は、例えば、VCNに関連するアドレス範囲、VCN内のサブネットおよび関連情報、VCNに関連する1つ以上のVR、VCN内の計算インスタンスおよび関連VNIC、VCNに関連する種々の仮想化ネットワーク機能(例えば、VNIC、VR、ゲートウェイ)を実行するNVD、VCNの状態情報、および他のVCN関連情報を含んでもよい。特定の実施形態において、VCN配信サービスは、VCN制御プレーンによって記憶された構成情報またはその一部をNVDに公開する。配信された情報を用いて、NVDによって記憶および使用される情報(例えば、転送テーブル、ルーティングテーブルなど)を更新することによって、VCN内のコンピュートインスタンスとの間でパケットを転送することができる。
【0042】
特定の実施形態において、VCNおよびサブネットの作成は、VCN制御プレーン(CP)によって処理され、計算インスタンスの起動は、計算制御プレーンによって処理される。計算制御プレーンは、計算インスタンスの物理リソースを割り当て、次にVCN制御プレーンを呼び出して、VNICを作成し、計算インスタンスに接続するように構成される。また、VCN CPは、パケットの転送およびルーティング機能を実行するように構成されたVCNデータプレーンに、VCNデータマッピングを送信する。特定の実施形態において、VCN CPは、更新をVCNデータプレーンに提供するように構成された配信サービスを提供する。VCN制御プレーンの例は、図21図22図23および図24(参照番号、2116、2216、2316および2416を参照)に示され、以下に説明される。
【0043】
顧客は、CSPIによってホストされているリソースを用いて、1つ以上のVCNを作成することができる。顧客VCN上に展開された計算インスタンスは、異なるエンドポイントと通信することができる。これらのエンドポイントは、CSPIによってホストされているエンドポイントおよびCSPL外部のエンドポイントを含むことができる。
【0044】
CSPIを用いてクラウドベースのサービスを実装するための様々な異なるアーキテクチャは、図1図2図3図4図5図21図22図23および図25に示され、以下に説明される。図1は、特定の実施形態に従って、CSPIによってホストされているオーバーレイVCNまたは顧客VCNを示す分散環境100のハイレベル図である。図1に示された分散環境は、オーバーレイネットワーク内の複数の要素を含む。図1に示された分散環境100は、単なる例であり、特許請求された実施形態の範囲を不当に限定することを意図していない。多くの変形例、代替例、および修正例が可能である。例えば、いくつかの実装形態において、図1に示された分散環境は、図1に示されたものより多いまたは少ないシステムまたは要素を有してもよく、2つ以上のシステムを組み合わせてもよく、または異なるシステムの構成または配置を有してもよい。
【0045】
図1の例に示されたように、分散環境100は、顧客が加入して仮想クラウドネットワーク(VCN)を構築するために使用することができるサービスおよびリソースを提供するCSPI101を含む。特定の実施形態において、CSPI101は、加入顧客にIaaSサービスを提供する。CSPI101内のデータセンタは、1つ以上の地域に編成されてもよい。図1は、地域の一例である「US地域」102を示す。顧客は、地域102に対して顧客VCN104を構成している。顧客は、VCN104上に様々な計算インスタンスを展開することができ、計算インスタンスは、仮想マシンまたはベアメタルインスタンスを含むことができる。インスタンスの例は、アプリケーション、データベース、ロードバランサなどを含む。
【0046】
図1に示された実施形態において、顧客VCN104は、2つのサブネット、すなわち、「サブネット-1」および「サブネット-2」を含み、各サブネットは、各自のCIDR IPアドレス範囲を有する。図1において、サブネット-1のオーバーレイIPアドレス範囲は、10.0/16であり、サブネット-2のアドレス範囲は、10.1/16である。VCN仮想ルータ105は、VCN104のサブネット間の通信およびVCN外部の他のエンドポイントとの通信を可能にするVCNの論理ゲートウェイを表す。VCN VR105は、VCN104内のVNICとVCN104に関連するゲートウェイとの間でトラフィックをルーティングするように構成される。VCN VR105は、VCN104の各サブネットにポートを提供する。例えば、VR105は、IPアドレス10.0.0.1を有するポートをサブネット-1に提供することができ、IPアドレス10.1.0.1を有するポートをサブネット-2に提供することができる。
【0047】
各サブネット上に複数の計算インスタンスを展開することができる。この場合、計算インスタンスは、仮想マシンインスタンスおよび/またはベアメタルインスタンスであってもよい。サブネット内の計算インスタンスは、CSPI101内の1つ以上のホストマシンによってホストされてもよい。計算インスタンスは、当該計算インスタンスに関連するVNICを介してサブネットに参加する。例えば、図1に示すように、計算インスタンスC1は、当該計算インスタンスに関連するVNICを介したサブネット-1の一部である。同様に、計算インスタンスC2は、C2に関連するVNICを介したサブネット-1の一部である。同様に、仮想マシンインスタンスまたはベアメタルインスタンスであり得る複数の計算インスタンスは、サブネット-1の一部であってもよい。各計算インスタンスには、関連するVNICを介して、プライベートオーバーレイIPアドレスおよびMACアドレスが割り当てられる。例えば、図1において、計算インスタンスC1は、オーバーレイIPアドレス10.0.0.2およびMACアドレスM1を有し、計算インスタンスC2は、プライベートオーバーレイIPアドレス10.0.0.3およびMACアドレスM2を有する。計算インスタンスC1およびC2を含むサブネット-1内の各計算インスタンスは、サブネット-1のVCN VR105のポートのIPアドレスであるIPアドレス10.0.0.1を使用して、VCN VR105へのデフォルトルートを有する。
【0048】
サブネット-2には、仮想マシンインスタンスおよび/またはベアメタルインスタンスを含む複数の計算インスタンスを展開することができる。例えば、図1に示すように、計算インスタンスDlおよびD2は、それぞれの計算インスタンスに関連するVNICを介したサブネット-2の一部である。図1に示す実施形態において、計算インスタンスD1は、オーバーレイIPアドレス10.1.0.2およびMACアドレスMM1を有し、計算インスタンスD2は、プライベートオーバーレイIPアドレス10.1.0.3およびMACアドレスMM2を有する。計算インスタンスD1およびD2を含むサブネット-2内の各計算インスタンスは、サブネット-2のVCN VR105のポートのIPアドレスであるIPアドレス10.1.0.1を使用して、VCN VR105へのデフォルトルートを有する。
【0049】
また、VCN A104は、1つ以上のロードバランサを含んでもよい。例えば、ロードバランサは、サブネットに対して提供されてもよく、サブネット上の複数の計算インスタンス間でトラフィックをロードバランスするように構成されてもよい。また、ロードバランサは、VCN内のサブネット間でトラフィックをロードバランスするように提供されてもよい。
【0050】
VCN104上に展開された特定の計算インスタンスは、様々な異なるエンドポイントと通信することができる。これらのエンドポイントは、CSPI200によってホストされているエンドポイントと、CSPI200外部のエンドポイントとを含んでもよい。CSPI101によってホストされているエンドポイントは、特定の計算インスタンスと同じサブネット上のエンドポイント(例えば、サブネット-1の2つの計算インスタンス間の通信)、異なるサブネットにあるが同じVCN内のエンドポイント(例えば、サブネット-1の計算インスタンスとサブネット-2の計算インスタンスとの間の通信)、同じ地域の異なるVCN内のエンドポイント(例えば、サブネット-1の計算インスタンスと、同じ地域106または110のVCN内のエンドポイントとの間の通信、サブネット-1内の計算インスタンスと、同じ地域のサービスネットワーク110内のエンドポイントとの間の通信)、または異なる地域のVCN内のエンドポイント(例えば、サブネット-1の計算インスタンスと、異なる地域108のVCN内のエンドポイントとの間の通信)を含んでもよい。また、CSPI101によってホストされているサブネット内の計算インスタンスは、CSPI101によってホストされていない(すなわち、CSPI101の外部にある)エンドポイントと通信することができる。これらの外部のエンドポイントは、顧客オンプレミスネットワーク116内のエンドポイント、他のリモートクラウドホストネットワーク118内のエンドポイント、インターネットなどのパブリックネットワークを介してアクセス可能なパブリックエンドポイント114、および他のエンドポイントを含む。
【0051】
同じサブネット上の計算インスタンス間の通信は、送信元計算インスタンスおよび宛先計算インスタンスに関連するVNICを使用して促進される。例えば、サブネット-1内の計算インスタンスC1は、サブネット-1内の計算インスタンスC2にパケットを送信したいことがある。送信元計算インスタンスから送信され、その宛先が同じサブネット内の別の計算インスタンスであるパケットの場合、このパケットは、まず、送信元計算インスタンスに関連するVNICによって処理される。送信元計算インスタンスに関連するVNICによって実行される処理は、パケットヘッダからパケットの宛先情報を決定することと、送信元計算インスタンスに関連するVNICに対して構成された任意のポリシー(例えば、セキュリティリスト)を識別することと、パケットのネクストホップ(next hop)を決定することと、必要に応じて任意のパケットのカプセル化/カプセル除去機能を実行することと、パケットの意図した宛先への通信を容易にするためにパケットをネクストホップに転送/ルーティングすることとを含んでもよい。宛先計算インスタンスが送信元計算インスタンスと同じサブネットにある場合、送信元計算インスタンスに関連するVNICは、宛先計算インスタンスに関連するVNICを識別し、処理するためのパケットをそのVNICに転送するように構成されている。次いで、宛先計算インスタンスに関連するVNICは、実行され、パケットを宛先計算インスタンスに転送する。
【0052】
サブネット内の計算インスタンスから同じVCNの異なるサブネット内のエンドポイントにパケットを通信する場合、通信は、送信元計算インスタンスおよび宛先計算インスタンスに関連するVNICと、VCN VRとによって促進される。例えば、図1のサブネット-1の計算インスタンスC1がサブネット-2の計算インスタンスD1にパケットを送信したい場合、パケットは、まず、計算インスタンスC1に関連するVNICによって処理される。計算インスタンスC1に関連するVNICは、VCN VRのデフォルトルートまたはポート10.0.0.1を使用して、パケットをVCN VR105にルーティングするように構成されている。VCN VR105は、ポート10.1.0.1を使用してパケットをサブネット-2にルーティングするように構成されている。その後、パケットは、D1に関連するVNICによって受信および処理され、VNICは、パケットを計算インスタンスD1に転送する。
【0053】
VCN104内の計算インスタンスからVCN104の外部のエンドポイントにパケットを通信するために、通信は、送信元計算インスタンスに関連するVNIC、VCN VR105、およびVCN104に関連するゲートウェイによって促進される。1つ以上の種類のゲートウェイをVCN104に関連付けることができる。ゲートウェイは、VCNと別のエンドポイントとの間のインターフェースであり、別のエンドポイントは、VCNの外部にある。ゲートウェイは、レイヤ3/IPレイヤ概念であり、VCNとVCNの外部のエンドポイントとの通信を可能にする。したがって、ゲートウェイは、VCNと他のVCNまたはネットワークとの間のトラフィックフローを容易にする。異なる種類のエンドポイントとの異なる種類の通信を容易にするために、様々な異なる種類のゲートウェイをVCNに設定することができる。ゲートウェイによって、通信は、パブリックネットワーク(例えば、インターネット)またはプライベートネットワークを介して行われてもよい。これらの通信には、様々な通信プロトコルを使用してもよい。
【0054】
例えば、計算インスタンスC1は、VCN104の外部のエンドポイントと通信したい場合がある。パケットは、まず、送信元計算インスタンスC1に関連するVNICによって処理されてもよい。VNIC処理は、パケットの宛先がClのサブネット-1の外部にあると判断する。C1に関連するVNICは、パケットをVCN104のVCN VR105に転送することができる。次いで、VCN VR105は、パケットを処理し、処理の一部として、パケットの宛先に基づいて、VCN104に関連する特定のゲートウェイをパケットのネクストホップとして決定する。その後、VCN VR105は、パケットを特定のゲートウェイに転送することができる。例えば、宛先が顧客のオペプレミスネットワーク内のエンドポイントである場合、パケットは、VCN VR105によって、VCN104のために構成された動的ルーティングゲートウェイ(DRG)122に転送されてもよい。その後、パケットは、ゲートウェイからネクストホップに転送され、意図した最終の宛先へのパケットの通信を容易にすることができる。
【0055】
VCNのために様々な異なる種類のゲートウェイを構成してもよい。VCNのために構成され得るゲートウェイの例は、図1に示され、以下に説明される。VCNに関連するゲートウェイの例は、図21図22図23および図24(例えば、参照番号2134、2136、2138、2234、2236、2238、2334、2336、2338、2434、2436、および2438によって示されたゲートウェイ)にも示され、以下に説明される。図1に示された実施形態に示されるように、動的ルーティングゲートウェイ(DRG)122は、顧客VCN104に追加されてもよく、またはそれに関連付けられてもよい。DRG122は、顧客VCN104と別のエンドポイントとの間のプライベートネットワークトラフィック通信を行うための経路を提供する。別のエンドポイントは、顧客オンプレミスネットワーク116、CSPI101の異なる地域内のVCN108、またはCSPI101によってホストされていない他のリモートクラウドネットワーク118であってもよい。顧客オンプレミスネットワーク116は、顧客のリソースを用いて構築された顧客ネットワークまたは顧客データセンタであってもよい。顧客オンプレミスネットワーク116へのアクセスは、一般的に厳しく制限される。顧客オンプレミスネットワーク116と、CSPI101によってクラウドに展開またはホストされる1つ以上のVCN104との両方を有する顧客の場合、顧客は、オンプレミスネットワーク116およびクラウドベースのVCN104が互いに通信できることを望む場合がある。これによって、顧客は、CSPI101によってホストされている顧客のVCN104とオンプレミスネットワーク116とを含む拡張ハイブリッド環境を構築することができる。DRG122は、このような通信を可能にする。このような通信を可能にするために、通信チャネル124が設定される。この場合、通信チャネルの一方のエンドポイントは、顧客オンプレミスネットワーク116にあり、他方のエンドポイントは、CSPI101にあり、顧客VCN104に接続されている。通信チャネル124は、インターネットなどのパブリック通信ネットワーク、またはプライベート通信ネットワークを経由することができる。インターネットなどのパブリック通信ネットワーク上のIPsec VPN技術、パブリックネットワークの代わりにプライベートネットワークを使用するオラクル(登録商標)のFastConnect技術などの様々な異なる通信プロトコルを使用することができる。通信チャネル124の1つのエンドポイントを形成する顧客オンプレミスネットワーク116内の装置または機器は、図1に示されたCPE126などの顧客構内機器(CPE)と呼ばれる。CSPI101側のエンドポイントは、DRG122を実行するホストマシンであってもよい。
【0056】
特定の実施形態において、リモートピアリング接続(RPC)をDRGに追加することができる。これによって、顧客は、1つのVCNを別の地域内の別のVCNとピアリングすることができる。このようなRPCを使用して、顧客VCN104は、DRG122を使用して、別の地域内のVCN108に接続することができる。また、DRG122は、CSPI101によってホストされていない他のリモートクラウドネットワーク118、例えば、マイクロソフト(登録商標)Azureクラウド、アマゾン(登録商標)AWSクラウドと通信するために使用されてもよい。
【0057】
図1に示すように、顧客VCN104上の計算インスタンスがインターネットなどのパブリックネットワークを介してアクセス可能なパブリックエンドポイント114と通信することを可能にするように、顧客VCN104にインターネットゲートウェイ(IGW)120を構成することができる。IGW120は、VCNをインターネットなどのパブリックネットワークに接続するためのゲートウェイである。IGW120は、VCN104などのVCN内のパブリックサブネット(パブリックサブネット内のリソースは、パブリックオーバーレイIPアドレスを有する)がインターネットなどのパブリックネットワーク114上のパブリックエンドポイント112に直接アクセスすることを可能にする。IGW120を使用して、VCN104内のサブネットからまたはインターネットからの接続を開始することができる。
【0058】
顧客VCN104にネットワークアドレス変換(NAT)ゲートウェイ128を構成することができる。NATゲートウェイ128は、顧客VCN内の専用のパブリックオーバーレイIPアドレスを有しないクラウドリソースを、直接着信インターネット接続(例えば、L4-L7接続)に曝すことなくインターネットにアクセスすることを可能にする。これによって、VCN104のプライベートサブネット-1などのVCN内のプライベートサブネットがインターネット上のパブリックエンドポイントにプライベートアクセスすることを可能にする。NATゲートウェイにおいて、プライベートサブネットからパブリックインターネットに接続を開始することができるが、インターネットからプライベートサブネットに接続を開始することができない。
【0059】
特定の実施形態において、顧客VCN104にサービスゲートウェイ(SGW)126を構成することができる。SGW126は、VCN104とサービスネットワーク110にサポートされているサービスエンドポイントとの間のプライベートネットワークトラフィックの経路を提供する。特定の実施形態において、サービスネットワーク110は、CSPによって提供されてもよく、様々なサービスを提供することができる。このようなサービスネットワークの例は、顧客が使用できる様々なサービスを提供するオラクル(登録商標)サービスネットワークである。例えば、顧客VCN104のプライベートサブネット内の計算インスタンス(例えば、データベースシステム)は、パブリックIPアドレスまたはインターネットへのアクセスを必要とすることなく、サービスエンドポイント(例えば、オブジェクト記憶装置)にデータをバックアップすることができる。いくつかの実施形態において、VCNは、1つのみのSGWを有することができ、VCN内のサブネットのみから接続を開始することができ、サービスネットワーク110から接続を開始することができない。VCNを他のVCNにピアリングする場合、他のVCN内のリソースは、通常SGWにアクセスすることができない。FastConnectまたはVPN ConnectでVCNに接続されているオンプレミスネットワーク内のリソースも、そのVCNに構成されたサービスゲートウェイを使用することができる。
【0060】
いくつかの実装形態において、SGW126は、サービスクラスレスドメイン間ルーティング(CIDR)ラベルを使用する。CIDRラベルは、関心のあるサービスまたはサービスのグループに対する全ての地域公開IPアドレス範囲を表す文字列である。顧客は、SGWおよび関連するルーティングルールを設定する際に、サービスCIDRラベルを使用してサービスへのトラフィックを制御する。顧客は、サービスのパブリックIPアドレスが将来に変化する場合、セキュリティルールを調整する必要なく、セキュリティルールを設定するときにオプションとしてサービスCIDRラベルを使用することができる。
【0061】
ローカルピアリングゲートウェイ(LPG)132は、顧客VCN104に追加可能なゲートウェイであり、VCN104が同じ地域内の別のVCNとピアリングすることを可能にするものである。ピアリングとは、トラフィックがインターネットなどのパブリックネットワークを経由することなく、または顧客オンプレミスネットワーク116を通してトラフィックをルーティングすることなく、VCNがプライベートIPアドレスを使用して通信することを意味する。好ましい実施形態において、VCNは、確立した各ピアリングに対して個別のLPGを有する。ローカルピアリングまたはVCNピアリングは、異なるアプリケーション間またはインフラストラクチャ管理機能間のネットワーク接続を確立するために使用される一般的な慣行である。
【0062】
サービスネットワーク110のサービスのプロバイダなどのサービスプロバイダは、異なるアクセスモデルを使用してサービスへのアクセスを提供することができる。パブリックアクセスモデルによれば、サービスは、インターネットなどのパブリックネットワークを介して顧客VCN内の計算インスタンスによって公的にアクセス可能なパブリックエンドポイントとして公開されてもよく、またはSGW126を介してプライベートにアクセスされてもよい。特定のプライベートアクセスモデルによれば、サービスは、顧客VCN内のプライベートサブネット内のプライベートIPエンドポイントとしてアクセスされてもよい。これは、プライベートエンドポイント(PE)アクセスと呼ばれ、サービスプロバイダがそのサービスを顧客のプライベートネットワーク内のインスタンスとして公開することを可能にする。プライベートエンドポイントリソースは、顧客VCN内のサービスを表す。各PEは、顧客が顧客VCN内のサブネットから選択したVNIC(PE-VNICと呼ばれ、1つまたは複数のプライベートIPを持つ)として現れる。従って、PEは、VNICを使用して顧客のプライベートVCNサブネット内でサービスを提供する方法を提供する。エンドポイントがVNICとして公開されるため、PE VNICは、VNICに関連する全ての機能、例えば、ルーティングルールおよびセキュリティリストなどを利用することができる。
【0063】
サービスプロバイダは、サービスを登録することによって、PEを介したアクセスを可能にする。プロバイダは、顧客テナントへのサービスの表示を規制するポリシーをサービスに関連付けることができる。プロバイダは、特にマルチテナントサービスの場合、単一の仮想IPアドレス(VIP)の下に複数のサービスを登録することができる。(複数のVCNにおいて)同じサービスを表すプライベートエンドポイントが複数存在する場合もある。
【0064】
その後、プライベートサブネット内の計算インスタンスは、PE VNICのプライベートIPアドレスまたはサービスDNS名を用いて、サービスにアクセスすることができる。顧客VCN内の計算インスタンスは、顧客VCN内のPEのプライベートIPアドレスにトラフィックを送信することによって、サービスにアクセスすることができる。プライベートアクセスゲートウェイ(PAGW)130は、顧客サブネットプライベートエンドポイントから/への全てのトラフィックの受信ポイント/送信ポイントとして機能するサービスプロバイダVCN(例えば、サービスネットワーク110内のVCN)に接続できるゲートウェイリソースである。PAGW130によって、プロバイダは、内部IPアドレスリソースを利用することなく、PE接続の数を拡張することができる。プロバイダは、単一のVCNに登録された任意の数のサービスに対して1つのPAGWを設定するだけでよい。プロバイダは、1人以上の顧客の複数のVCNにおいて、サービスをプライバシーエンドポイントとして示すことができる。顧客の観点から、PE VNICは、顧客のインスタンスに接続されているのではなく、顧客が対話したいサービスに接続されているように見える。プライベートエンドポイントに向けられたトラフィックは、PAGW130を介してサービスにルーティングされる。これらは、顧客対サービスプライベート接続(C2S接続)と呼ばれる。
【0065】
また、PE概念を用いて、トラフィックがFastConnect/IPsecリンクおよび顧客VCN内のプライベートエンドポイントを通って流れることを可能にすることで、サービスのプライベートアクセスを顧客オンプレミスネットワークおよびデータセンタに拡張することもできる。また、トラフィックがLPG132および顧客VCN内のPE間を通って流れることを可能にすることで、サービスのプライベートアクセスを顧客ピアリングVCNに拡張することもできる。
【0066】
顧客は、サブネットレベルでVCNのルーティングを制御することができるため、VCN104などの顧客VCNにおいて各ゲートウェイを使用するサブネットを指定することができる。VCNのルートテーブルを用いて、特定のゲートウェイを介してトラフィックをVCNの外部にルーティングできるか否かを判断することができる。例えば、特定の事例において、顧客VCN104内のパブリックサブネットのルートテーブルは、IGW120を介して非ローカルトラフィックを送信することができる。同じ顧客VCN104内のプライベートサブネットのルートテーブルは、SGW126を介してCSPサービスへのトラフィックを送信することができる。残りの全てのトラフィックは、NATゲートウェイ128を介して送信されてもよい。ルートテーブルは、VCNから出るトラフィックのみを制御する。
【0067】
VCNに関連するセキュリティリストは、インバウンド接続およびゲートウェイを介してVCNに入来するトラフィックを制御するために使用される。サブネット内の全てのリソースは、同じミュートテーブルおよびセキュリティリストを使用する。セキュリティリストは、VCNのサブネット内のインスタンスに出入りする特定の種類のトラフィックを制御するために使用されてもよい。セキュリティリストルールは、受信(インバウンド)ルールと、送信(アウトバウンド)ルールとを含んでもよい。例えば、受信ルールは、許可された送信元アドレス範囲を指定することができ、送信ルールは、許可された宛先アドレス範囲を指定することができる。セキュリティルールは、特定のプロトコル(例えば、TCP、ICMP)、特定のポート(例えば、SSHの場合ポート22、ウィンドウズ(登録商標)RDPの場合ポート3389)などを指定することができる。特定の実装形態において、インスタンスのオペレーティングシステムは、セキュリティリストルールと一致する独自のファイアウォールルールを実施することができる。ルールは、ステートフル(例えば、接続が追跡され、応答トラフィックに対する明示的なセキュリティのリストルールなしで応答が自動的に許可される)またはステートレスであってもよい。
【0068】
顧客VCN(すなわち、VCN104上に展開されたリソースまたは計算インスタンス)からのアクセスは、パブリックアクセス、プライベートアクセス、または専用アクセスとして分類されることができる。パブリックアクセスは、パブリックIPアドレスまたはNATを用いてパブリックエンドポイントにアクセスするためのアクセスモデルを指す。プライベートアクセスは、プライベートIPアドレス(例えば、プライベートサブネット内のリソース)を持つVCN104内の顧客ワークロードが、インターネットなどのパブリックネットワークを経由することなく、サービスにアクセスすることを可能にする。特定の実施形態において、CSPI101は、プライベートIPアドレスを持つ顧客VCNワークロードが、サービスゲートウェイを使用して、サービスのパブリックサービスエンドポイントにアクセスすることを可能にする。したがって、サービスゲートウェイは、顧客VCNと顧客プライベートネットワークの外部に存在するサービスのパブリックエンドポイントとの間に仮想リンクを確立することによって、プライベートアクセスモデルを提供する。
【0069】
さらに、CSPIは、FastConnectパブリックピアリングなどの技術を使用する専用パブリックアクセスを提供することができる。この場合、顧客オンプレミスインスタンスは、インターネットなどのパブリックネットワークを経由することなく、FastConnect接続を用いて顧客VCN内の1つ以上のサービスにアクセスすることができる。また、CSPIは、FastConnectプライベートピアリングを使用する専用プライベートアクセスを提供することもできる。この場合、プライベートIPアドレスを持つ顧客オンプレミスインスタンスは、FastConnect接続を用いて顧客VCNワークロードにアクセスすることができる。FastConnectは、パブリックインターネットを用いて顧客オンプレミスネットワークをCSPIおよびそのサービスに接続する代わりに使用されるネットワーク接続である。FastConnectは、インターネットベースの接続と比較して、より高い帯域幅オプションと信頼性の高い一貫したネットワーキング体験を持つ専用のプライベート接続を、簡単、柔軟且つ経済的に作成する方法を提供する。
【0070】
図1および上記の添付の説明は、例示的な仮想ネットワークにおける様々な仮想化要素を説明する。上述したように、仮想ネットワークは、基礎となる物理ネットワークまたは基板ネットワーク上に構築される。図2は、特定の実施形態に従って、仮想ネットワークの基盤を提供するCSPI200内の物理ネットワーク内の物理要素を示す簡略化アーキテクチャ図である。図示のように、CSPI200は、クラウドサービスプロバイダ(CSP)によって提供された要素およびリソース(例えば、計算リソース、メモリリソース、およびネットワーキングリソース)を含む分散環境を提供する。これらの要素およびリソースは、加入している顧客、すなわち、CSPによって提供された1つ以上のサービスに加入している顧客にクラウドサービス(例えば、IaaSサービス)を提供するために使用される。顧客が加入しているサービスに基づいて、CSPI200は、一部のリソース(例えば、計算リソース、メモリリソース、およびネットワーキングリソース)を顧客に提供する。その後、顧客は、CSPI200によって提供された物理的な計算リソース、メモリリソース、およびネットワーキングリソースを使用して、独自のクラウドベースの(すなわち、CSPIホスト型)カスタマイズ可能なプライベート仮想ネットワークを構築することができる。前述したように、これらの顧客ネットワークは、仮想クラウドネットワーク(VCN)と呼ばれる。顧客は、これらの顧客VCNに、計算インスタンスなどの1つ以上の顧客リソースを展開することができる。計算インスタンスは、仮想マシン、ベアメタルインスタンスなどであってもよい。CSPI200は、顧客が高可用性のホスト環境において広範なアプリケーションおよびサービスを構築および実行することを可能にする、インフラストラクチャおよび一連の補完的なクラウドサービスを提供する。
【0071】
図2に示す例示的な実施形態において、CSPI200の物理要素は、1つ以上の物理ホストマシンまたは物理サーバ(例えば、202、206、208)、ネットワーク仮想化デバイス(NVD)(例えば、210、212)、トップオブラック(TOR)スイッチ(例えば、214、216)、物理ネットワーク(例えば、218)、および物理ネットワーク218内のスイッチを含む。物理ホストマシンまたはサーバは、VCNの1つ以上のサブネットに参加している様々な計算インスタンスをホストし、実行することができる。計算インスタンスは、仮想マシンインスタンスおよびベアメタルインスタンスを含んでもよい。例えば、図1に示された様々な計算インスタンスは、図2に示された物理的ホストマシンによってホストされてもよい。VCN内の仮想マシン計算インスタンスは、1つのホストマシンによって実行されてもよく、または複数の異なるホストマシンによって実行されてもよい。また、物理ホストマシンは、仮想ホストマシン、コンテナベースのホストまたは機能などをホストすることができる。図1に示されたVICおよびVCN VRは、図2に示されたFTVDによって実行されてもよい。図1に示されたゲートウェイは、図2に示されたホストマシンおよび/またはNVDによって実行されてもよい。
【0072】
ホストマシンまたはサーバは、ホストマシン上で仮想化環境を作成するおよび可能にするハイパーバイザ(仮想マシンモニタまたはVMMとも呼ばれる)を実行することができる。仮想化または仮想化環境は、クラウドベースコンピューティングを容易にする。1つ以上の計算インスタンスは、ホストマシン上のハイパーバイザによって、ホストマシン上で作成され、実行され、管理されてもよい。ホストマシン上のハイパーバイザは、ホストマシンの物理的な計算リソース(例えば、計算リソース、メモリリソース、およびネットワーキングリソース)をホストマシン上で実行される様々な計算インスタンス間で共有させることができる。
【0073】
例えば、図2に示すように、ホストマシン202および208は、ハイパーバイザ260および266をそれぞれ実行する。これらのハイパーバイザは、ソフトウェア、ファームウェア、ハードウェア、またはそれらの組み合わせを使用して実装されてもよい。典型的には、ハイパーバイザは、ホストマシンのオペレーティングシステム(OS)に常駐するプロセスまたはソフトウェア層であり、OSは、ホストマシンのハードウェアプロセッサ上で実行される。ハイパーバイザは、ホストマシンの物理的な計算リソース(例えば、プロセッサ/コア、メモリリソース、ネットワーキングリソースなどの処理リソース)を、ホストマシンによって実行される様々な仮想マシン計算インスタンスの間で共有させる仮想化環境を提供する。例えば、図2において、ハイパーバイザ260は、ホストマシン202のOSに常駐し、ホストマシン202の計算リソース(例えば、処理リソース、メモリリソース、およびネットワーキングリソース)を、ホストマシン202によって実行されるコンピューティングインスタンス(例えば、仮想マシン)間で共有させることができる。仮想マシンは、独自のOS(ゲストOSと呼ばれる)を持つことができる。このゲストOSは、ホストマシンのOSと同じであってもよく、異なってもよい。ホストマシンによって実行される仮想マシンのOSは、同じホストマシンによって実行される他の仮想マシンのOSと同じであってもよく、異なってもよい。したがって、ハイパーバイザは、ホストマシンの同じ計算リソースを共有させながら、複数のOSを並行して実行することができる。図2に示されたホストマシンは、同じ種類のハイパーバイザを有してもよく、異なる種類のハイパーバイザを有してもよい。
【0074】
計算インスタンスは、仮想マシンインスタンスまたはベアメタルインスタンスであってもよい。図2において、ホストマシン202上の計算インスタンス268およびホストマシン208上の計算インスタンス274は、仮想マシンインスタンスの一例である。ホストマシン206は、顧客に提供されるベアメタルインスタンスの一例である。
【0075】
特定の例において、ホストマシンの全体は、単一の顧客に提供されてもよく、そのホストマシンによってホストされている1つ以上の計算インスタンス(仮想マシンまたはベアメタルインスタンスのいずれか)は、全て同じ顧客に属してもよい。他の例において、ホストマシンは、複数の顧客(すなわち、複数のテナント)間で共有されてもよい。このようなマルチテナントシナリオにおいて、ホストマシンは、異なる顧客に属する仮想マシン計算インスタンスをホストすることができる。これらの計算インスタンスは、異なる顧客の異なるVCNのメンバであってもよい。特定の実施形態において、ベアメタル計算インスタンスは、ハイパーバイザを設けていないベアメタルサーバによってホストされている。ベアメタル計算インスタンスが提供される場合、単一の顧客またはテナントは、ベアメタルインスタンスをホストするホストマシンの物理CPU、メモリ、およびネットワークインターフェースの制御を維持し、ホストマシンは、他の顧客またはテナントに共有されない。
【0076】
前述したように、VCNの一部である各計算インスタンスは、計算インスタンスがVCNのサブネットのメンバになることを可能にするVNICに関連付けられる。計算インスタンスに関連付けられたVNICは、計算インスタンスとの間のパケットまたはフレームの通信を容易にする。VNICは、計算インスタンスが作成されるときに当該計算インスタンスに関連付けられる。特定の実施形態において、ホストマシンによって実行される計算インスタンスについて、その計算インスタンスに関連付けられたVNICは、ホストマシンに接続されたNVDによって実行される。例えば、図2において、ホストマシン202は、VNIC276に関連付けられた仮想マシン計算インスタンス268を実行し、VNIC276は、ホストマシン202に接続されたNVD210によって実行される。別の例として、ホストマシン206によってホストされているベアメタルインスタンス272は、ホストマシン206に接続されたNVD212によって実行されるVNIC280に関連付けられる。さらに別の例として、VNIC284は、ホストマシン208によって実行される計算インスタンス274に関連付けられ、VNIC284は、ホストマシン208に接続されているNVD212によって実行される。
【0077】
ホストマシンによってホストされている計算インスタンスについて、そのホストマシンに接続されたNVDは、計算インスタンスがメンバであるVCNに対応するVCN VRを実行する。例えば、図2に示された実施形態において、NVD210は、計算インスタンス268がメンバであるVCNに対応するVCN VR277を実行する。また、NVD212は、ホストマシン206および208によってホストされている計算インスタンスに対応するVCNに対応する1つ以上のVCN VR283を実行することができる。
【0078】
ホストマシンは、当該ホストマシンを他の装置に接続するための1つ以上のネットワークインターフェースカード(NIC)を含むことができる。ホストマシン上のNICは、ホストマシンを別の装置に通信可能に接続するための1つ以上のポート(またはインターフェース)を提供することができる。例えば、ホストマシンおよびNVDに設けられた1つ以上のポート(またはインターフェース)を用いて、当該ホストマシンを当該NVDに接続することができる。また、ホストマシンを他のホストマシンなどの他の装置に接続することもできる。
【0079】
例えば、図2において、ホストマシン202は、ホストマシン202のNIC232によって提供されるポート234とNVD210のポート236との間に延在するリンク220を使用してNVD210に接続されている。ホストマシン206は、ホストマシン206のNIC244によって提供されるポート246とNVD212のポート248との間に延在するリンク224を使用してNVD212に接続されている。ホストマシン208は、ホストマシン208のNIC250によって提供されるポート252とNVD212のポート254との間に延在するリンク226を使用してNVD212に接続されている。
【0080】
同様に、NVDは、通信リンクを介して、(スイッチファブリックとも呼ばれる)物理ネットワーク218に接続されているトップオブラック(TOR)スイッチに接続されている。特定の実施形態において、ホストマシンとNVDとの間のリンクおよびNVDとTORスイッチとの間のリンクは、イーサネット(登録商標)リンクである。例えば、図2において、NVD210および212は、リンク228および230を介して、TORスイッチ214および216にそれぞれ接続される。特定の実施形態において、リンク220、224、226、228、および230は、イーサネット(登録商標)リンクである。TORに接続されているホストマシンおよびNVDの集合体は、ラックと呼ばれることがある。
【0081】
物理ネットワーク218は、TORスイッチの相互通信を可能にする通信ファブリックを提供する。物理ネットワーク218は、多層ネットワークであってもよい。特定の実装形態において、物理ネットワーク218は、スイッチの多層Closネットワークであり、TORスイッチ214および216は、多層およびマルチノード物理スイッチングネットワーク218のリーフレベルノードを表す。2層ネットワーク、3層ネットワーク、4層ネットワーク、5層ネットワーク、および一般に「n」層ネットワークを含むがこれらに限定されない異なるClosネットワーク構成は、可能である。CIosネットワークの一例は、図5に示され、以下に説明される。
【0082】
ホストマシンとN個のVDとの間には、1対1構成、多対1構成、および1対多構成などの様々な異なる接続構成が可能である。1対1構成の実装例において、各ホストマシンは、それ自体の別個のNVDに接続されている。例えば、図2において、ホストマシン202は、ホストマシン202のNIC232を介してNVD210に接続されている。多対1の構成において、複数のホストマシンは、1つのNVDに接続されている。例えば、図2において、ホストマシン206および208は、それぞれNIC244および250を介して同じNVD212に接続されている。
【0083】
1対多の構成において、1つのホストマシンは、複数のNVDに接続されている。図3は、ホストマシンが複数のNVDに接続されているCSPI300内の一例を示す。図3に示すように、ホストマシン302は、複数のポート306および30Sを含むネットワークインターフェースカード(NIC)304を備える。ホストマシン300は、ポート306およびリンク320を介して第1のNVD310に接続され、ポート308およびリンク322を介して第2のNVD312に接続されている。ポート306および308は、イーサネット(登録商標)ポートであってもよく、ホストマシン302とNVD310および312との間のリンク320および322は、イーサネット(登録商標)リンクであってもよい。NVD310は、第1のTORスイッチ314に接続され、NVD312は、第2のTORスイッチ316に接続されている。NVD310および312とTORスイッチ314および316との間のリンクは、イーサネット(登録商標)リンクであってもよい。TORスイッチ314および316は、多層物理ネットワーク318内の層-0スイッチング装置を表す。
【0084】
図3に示す構成は、物理スイッチネットワーク318からホストマシン302への2つの別々の物理ネットワーク経路、すなわち、TORスイッチ314からNVD310を経由してホストマシン302への第1の経路と、TORスイッチ316からNVD312を経由してホストマシン302への第2の経路とを提供する。別々の経路は、ホストマシン302の強化された可用性(高可用性と呼ばれる)を提供する。経路の一方に問題がある(例えば、経路の一方のリンクが故障する)場合または装置に問題がある(例えば、特定のNVDが機能していない)場合、ホストマシン302との間の通信に他方の経路を使用することができる。
【0085】
図3に示された構成において、ホストマシンは、ホストマシンのNICによって提供された2つの異なるポートを用いて2つの異なるNVDに接続されている。他の実施形態において、ホストマシンは、ホストマシンと複数のNVDとの接続を可能にする複数のNICを含んでもよい。
【0086】
再び図2を参照して、NVDは、1つ以上のネットワーク仮想化機能および/または記憶仮想化機能を実行する物理装置または要素である。NVDは、1つ以上の処理ユニット(例えば、CPU、ネットワーク処理ユニット(NPU)、FPGA、パケット処理パイプライン)、キャッシュを含むメモリ、およびポートを有する任意の装置であってもよい。様々な仮想化機能は、NVDの1つ以上の処理ユニットによって実行されるソフトウェア/ファームウェアによって実行されてもよい。
【0087】
NVDは、様々な異なる形で実装されてもよい。例えば、特定の実施形態において、NVDは、内蔵プロセッサを搭載したスマートNICまたはインテリジェントNICと呼ばれるインターフェースカードとして実装される。スマートNICは、ホストマシン上のNICとは別個の装置である。図2において、NVD210は、ホストマシン202に接続されているスマートNICとして実装されてもよく、NVD212は、ホストマシン206および208に接続されているスマートNICとして実装されてもよい。
【0088】
しかしながら、スマートNICは、NVD実装の一例にすぎない。様々な他の実装が可能である。例えば、いくつかの他の実装例において、NVDまたはNVDによって実行される1つ以上の機能は、CSPI200の1つ以上のホストマシン、1つ以上のTORスイッチ、および他の要素に組み込まれてもよく、またはそれらによって実行されてもよい。例えば、NVDは、ホストマシンに統合されてもよい。この場合、NVDによって実行される機能は、ホストマシンによって実行される。別の例として、NVDは、TORスイッチの一部であってもよく、またはTORスイッチは、TORスイッチがパブリッククラウドに使用される様々な複雑なパケット変換を実行することを可能にするNVDによって実行される機能を実行するように構成されてもよい。NVDの機能を実行するTORは、スマートTORと呼ばれることがある。ベアメタル(BM)インスタンスではなく仮想マシン(VM)インスタンスを顧客に提供するさらに他の実装形態において、NVDによって提供される機能は、ホストマシンのハイパーバイザの内部に実装されてもよい。いくつかの他の実装形態において、NVDの機能の一部は、一組のホストマシン上で動作する集中型サービスにオフロードされてもよい。
【0089】
図2に示すように、スマートNICとして実装される場合などの特定の実施形態において、NVDは、当該NVDを1つ以上のホストマシンおよび1つ以上のTORスイッチに接続することを可能にする複数の物理ポートを備えてもよい。NVD上のポートは、ホスト向きポート(「サウスポート」(south port)とも呼ばれる)またはネットワーク向きもしくはTOR向きポート(「ノースポート」(north port)とも呼ばれる)に分類することができる。NVDのホスト向きポートは、NVDをホストマシンに接続するために使用されるポートである。図2においてホスト向きポートの例は、NVD210のポート236、およびNVD212のポート248および254を含む。NVDのネットワーク向きポートは、NVDをTORスイッチに接続するために使用されるポートである。図2のネットワーク向きポートの例は、NVD210のポート256、およびNVD212のポート258を含む。図2に示すように、NVD210は、NVD210のポート256からTORスイッチ214まで延びるリンク228を介してTORスイッチ214に接続されている。同様に、NVD212は、NVD212のポート258からTORスイッチ216まで延びるリンク230を介してTORスイッチ216に接続されている。
【0090】
NVDは、ホスト向きポートを介して、ホストマシンからパケットおよびフレーム(例えば、ホストマシンによってホストされている計算インスタンスによって生成されたパケットおよびフレーム)を受信し、必要なパケット処理を実行した後、NVDのネットワーク向きポートを介してパケットおよびフレームをTORスイッチに転送することができる。NVDは、NVDのネットワーク向きポートを介してTORスイッチからパケットおよびフレームを受信し、必要なパケット処理を実行した後、NVDのホスト向きポートを介してパケットおよびフレームをホストマシンに転送することができる。
【0091】
特定の実施形態において、NVDとTORスイッチとの間に複数のポートおよび関連するリンクを設けてもよい。これらのポートおよびリンクを集約することによって、複数のポートまたはリンクのリンクアグリゲータグループ(LAGと称される)を形成することができる。リンクの集約は、2つのエンドポイント間(例えば、NVDとTORスイッチとの間)の複数の物理リンクを単一の論理リンクとして扱うことを可能にする。所定のLAG内の全ての物理リンクは、同じ速度で全二重モードで動作することができる。LAGは、2つのエンドポイント間の接続の帯域幅および信頼性を高めるのに役立つ。LAG内の物理リンクのうちの1つが故障した場合、トラフィックは、LAG内の別の物理リンクに動的かつ透過的に再割り当てられる。集約された物理リンクは、個々のリンクよりも高い帯域幅を提供する。LAGに関連付けられた複数のポートは、単一の論理ポートとして扱われる。トラフィックをLAGの複数の物理リンクに負荷分散することができる。2つのエンドポイント間に1つ以上のLAGを構成することができる。2つのエンドポイントは、例えば、NVDとTORスイッチとの間にあってもよく、ホストマシンとNVDとの間にであってもよい。
【0092】
NVDは、ネットワーク仮想化機能を実装または実行する。これらの機能は、NVDによって実行されるソフトウェア/ファームウェアによって実行される。ネットワーク仮想化機能の例は、限定されないが、パケットのカプセル化およびカプセル化解除機能、VCNネットワークを作成するための機能、VCNセキュリティリスト(ファイアウォール)機能などのネットワークポリシーを実装するための機能、VCN内の計算インスタンスとの間のパケットのルーティングおよび転送を容易にするための機能などを含む。特定の実施形態において、パケットを受信すると、NVDは、パケットを処理し、パケットをどのように転送またはルーティングするかを判断するパケット処理パイプラインを実行するように構成されている。このパケット処理パイプラインの一部として、NVDは、VCN内の計算インスタンスに関連するVNICの実行、VCNに関連する仮想ルータ(VR)の実行、仮想ネットワーク内の転送またはルーティングを容易にするためのパケットのカプセル化およびカプセル解除、特定のゲートウェイ(例えば、ローカルピアリングゲートウェイ)の実行、セキュリティリストの実装、ネットワークセキュリティグループ、ネットワークアドレス変換(NAT)機能(例えば、ホスト毎にパブリックIPからプライベートIPへの変換)、スロットリング機能、および他の機能を提供する。
【0093】
いくつかの実施形態において、NVDにおけるパケット処理データ経路は、複数のパケットパイプラインを含んでもよい。各々のパケットパイプラインは、一連のパケット変換ステージから構成される。いくつかの実装形態において、パケットを受信すると、当該パケットは、解析され、単一のパイプラインに分類される。次いで、パケットは、破棄されるまたはNVDのインターフェースを介して送出されるまで、線形方式でステージ毎に処理される。これらのステージは、基本機能のパケット処理ビルディングブロック(例えば、ヘッダの検証、スロットルの実行、新しいレイヤ2ヘッダの挿入、L4ファイアウォールの実行、VCNカプセル化/カプセル解除)を提供し、その結果、既存のステージを組み立てることによって新しいパイプラインを構築することができ、新しいステージを作成して既存のパイプラインに挿入することによって新しい機能を追加することができる。
【0094】
NVDは、VCNの制御プレーンおよびデータプレーンに対応する制御プレーン機能およびデータプレーン機能の両方を実行することができる。VCN制御プレーンの例は、図21図22図23および図24(参照番号2116、2216、2316および2416参照)に示され、以下に説明される。VCNデータプレーンの例は、図21図22図23および図24(参照番号2118、2218、2318および2418参照)に示され、以下に説明される。制御プレーン機能は、データをどのように転送するかを制御するためのネットワークの構成(例えば、ルートおよびルートテーブルの設定、VNICの構成)に使用される機能を含む。特定の実施形態において、全てのオーバーレイと基板とのマッピングを集中的に計算し、NVDおよび仮想ネットワークエッジ装置(例えば、DRG、SGW、IGWなどの様々なゲートウェイ)に公開するVCN制御プレーンが提供される。また、同じメカニズムを使用してファイアウォールルールを公開することができる。特定の実施形態において、NVDは、当該NVDに関連するマッピングのみを取得する。データプレーン機能は、制御プレーンを使用して設定された構成に基づいて、パケットの実際のルーティング/転送を行う機能を含む。VCNデータプレーンは、顧客のネットワークパケットが基幹ネットワークを通過する前に、当該ネットワークパケットをカプセル化することによって実装される。カプセル化/カプセル解除機能は、NVDに実装される。特定の実施形態において、NVDは、ホストマシンに出入りする全てのネットワークパケットを傍受し、ネットワーク仮想化機能を実行するように構成されている。
【0095】
上述したように、NVDは、VNICおよびVCN VRを含む様々な仮想化機能を実行する。NVDは、VNICに接続された1つ以上のホストマシンによってホストされている計算インスタンスに関連するVNICを実行することができる。例えば、図2に示すように、NVD210は、NVD210に接続されたホストマシン202によってホストされている計算インスタンス268に関連するVNIC276の機能を実行する。別の例として、NVD212は、ホストマシン206によってホストされているベアメタル計算インスタンス272に関連するVNIC280を実行し、ホストマシン208によってホストされている計算インスタンス274に関連するVNIC284を実行する。ホストマシンは、異なる顧客に属する異なるVCNに属する計算インスタンスをホストすることができる。ホストマシンに接続されたNVDは、計算インスタンスに対応するVNICを実行する(すなわち、VNICに関連する機能を実行する)ことができる。
【0096】
また、NVDは、計算インスタンスのVCNに対応するVCN仮想ルータを実行する。例えば、図2に示された実施形態において、NVD210は、計算インスタンス268が属するVCNに対応するVCN VR277を実行する。NVD212は、ホストマシン206および208にホストされている計算インスタンスが属する1つ以上のVCNに対応する1つ以上のVCN VR283を実行する。特定の実施形態において、VCNに対応するVCN VRは、そのVCNに属する少なくとも1つの計算インスタンスをホストするホストマシンに接続された全てのNVDによって実行される。ホストマシンが異なるVCNに属する計算インスタンスをホストする場合、そのホストマシンに接続されたNVDは、異なるVCNに対応するVCN VRを実行することができる。
【0097】
VNICおよびVCN VRに加えて、NVDは、様々なソフトウェア(例えば、デーモン)を実行し、NVDによって実行される様々なネットワーク仮想化機能を容易にする1つ以上のハードウェア要素を含むことができる。簡略化のために、これらの様々な要素は、図2に示す「パケット処理要素」としてグループ化される。例えば、NVD210は、パケット処理要素286を含み、NVD212は、パケット処理要素288を含む。例えば、NVDのパケット処理要素は、NVDのポートおよびハードワーキングインターフェースと相互作用することによって、NVDを使用して受信され、通信される全てのパケットを監視し、ネットワーク情報を記憶するように構成されたパケットプロセッサを含んでもよい。ネットワーク情報は、例えば、NVDによって処理される異なるネットワークフローを特定するためのネットワークフロー情報および各フローの情報(例えば、各フローの統計情報)を含んでもよい。特定の実施形態において、ネットワークフロー情報は、VNIC単位で記憶されてもよい。別の例として、パケット処理要素は、NVDによって記憶された情報を1つ以上の異なる複製ターゲットストアに複製するように構成された複製エージェント(replication agent)を含むことができる。さらに別の例として、パケット処理要素は、NVDのロギング機能を実行するように構成されたロギングエージェント(logging agent)を含んでもよい。また、パケット処理要素は、NVDの性能および健全性を監視し、場合によっては、NVDに接続されている他の要素の状態および健全性を監視するためのソフトウェアを含んでもよい。
【0098】
図1は、VCNと、VCN内のサブネットと、サブネット上に展開された計算インスタンスと、計算インスタンスに関連付けられたVNICと、VCNのVRと、VCNのために構成された一組のゲートウェイとを含む例示的な仮想またはオーバーレイネットワークの要素を示す。図1に示されたオーバーレイ要素は、図2に示された物理的要素のうちの1つ以上によって実行またはホストされてもよい。例えば、VCN内の計算インスタンスは、図2に示された1つ以上のホストマシンによって実行またはホストされてもよい。ホストマシンによってホストされている計算インスタンスの場合、その計算インスタンスに関連するVNICは、典型的には、そのホストマシンに接続されたNVDによって実行される(すなわち、VNIC機能は、そのホストマシンに接続されたNVDによって提供される)。VCNのVCN VR機能は、そのVCNの一部である計算インスタンスをホストまたは実行するホストマシンに接続されている全てのNVDによって実行される。VCNに関連するゲートウェイは、1つ以上の異なる種類のNVDによって実行されてもよい。例えば、いくつかのゲートウェイは、スマートNICによって実行されてもよく、他のゲートウェイは、1つ以上のホストマシンまたはNVDの他の実装形態によって実行されてもよい。
【0099】
上述したように、顧客VCN内の計算インスタンスは、様々な異なるエンドポイントと通信することができる。これらのエンドポイントは、送信元計算インスタンスと同じサブネットにあってもよく、異なるサブネット内であるが送信元計算インスタンスと同じVCNにあってもよく、または送信元計算インスタンスのVCN外部のエンドポイントを含んでもよい。これらの通信は、計算インスタンスに関連付けられたVNIC、VCN VR、およびVCNに関連付けられたゲートウェイを用いて促進される。
【0100】
VCN内の同じサブネット上の2つの計算インスタンス間の通信は、送信元計算インスタンスおよび宛先計算インスタンスに関連付けられたVNICを用いて促進される。送信元計算インスタンスおよび宛先計算インスタンスは、同じホストマシンによってホストされてもよく、異なるホストマシンによってホストされてもよい。送信元計算インスタンスから発信されたパケットは、送信元計算インスタンスをホストするホストマシンから、そのホストマシンに接続されたNVDに転送されてもよい。NVDにおいて、パケットは、パケット処理パイプラインを用いて処理され、このパイプラインは、送信元計算インスタンスに関連するVNICの実行を含むことができる。パケットの宛先エンドポイントが同じサブネットにあるため、送信元計算インスタンスに関連付けられたVNICの実行により、パケットは、宛先計算インスタンスに関連付けられたVNICを実行するNVDに転送され、NVDは、パケットを処理し、宛先計算インスタンスに転送する。送信元計算インスタンスおよび宛先計算インスタンスに関連するVNICは、(例えば、送信元計算インスタンスと宛先計算インスタンスの両方が同じホストマシンによってホストされている場合)同じNVD上で実行されてもよく、または(例えば、送信元計算インスタンスおよび宛先計算インスタンスが異なるNVDに接続された異なるホストマシンによってホストされている場合)異なるNVD上で実行されてもよい。VNICは、NVDによって記憶されたルーティング/転送テーブルを使用して、パケットのネクストホップを決定することができる。
【0101】
サブネット内の計算インスタンスから同じVCN内の異なるサブネット内のエンドポイントにパケットを通信する場合、送信元計算インスタンスから発信されたパケットは、送信元計算インスタンスをホストするホストマシンから、そのホストマシンに接続されたNVDに通信される。NVDにおいて、パケットは、1つ以上のVNICの実行を含むことができるパケット処理パイプラインおよびVCNに関連するVRを用いて処理される。例えば、NVDは、パケット処理パイプラインの一部として、送信元計算インスタンスに関連するVNICに対応する機能を実行または呼び出す(VNICを実行するとも呼ばれる)。VNICによって実行される機能は、パケット上のVLANタグを調べることを含んでもよい。パケットの宛先がサブネットの外部にあるため、VCN VR機能は、呼び出され、NVDによって実行される。その後、VCN VRは、パケットを、宛先計算インスタンスに関連付けられたVNICを実行するNVDにルーティングする。そして、宛先計算インスタンスに関連付けられたVNICは、パケットを処理し、パケットを宛先計算インスタンスに転送する。送信元計算インスタンスおよび宛先計算インスタンスに関連するVNICは、(例えば、送信元計算インスタンスと宛先計算インスタンスの両方が同じホストマシンによってホストされている場合)同じNVD上で実行されてもよく、(例えば、送信元計算インスタンスおよび宛先計算インスタンスが異なるNVDに接続された異なるホストマシンによってホストされている場合)異なるNVD上で実行されてもよい。
【0102】
パケットの宛先が送信元計算インスタンスのVCNの外部にある場合、送信元計算インスタンスから発信されたパケットは、送信元計算インスタンスをホストするホストマシンから、そのホストマシンに接続されたNVDに通信される。NVDは、送信元計算インスタンスに関連するVNICを実行する。パケットの宛先エンドポイントがVCNの外部にあるため、パケットは、そのVCNのVCN VRによって処理される。NVDは、VCN VR機能を呼び出し、その結果、パケットは、VCNに関連付けられた適切なゲートウェイを実行するNVDに転送される場合がある。例えば、宛先が顧客オンプレミスネットワーク内のエンドポイントである場合、パケットは、VCN VRによって、VCNのために構成されたDRGゲートウェイを実行するNVDに転送されてもよい。VCN VRは、送信元計算インスタンスに関連するVNICを実行するNVDと同じNVD上で実行されてもよく、異なるNVDによって実行されてもよい。ゲートウェイは、スマートNIC、ホストマシン、または他のNVD実装であるNVDによって実行されてもよい。次いで、パケットは、ゲートウェイによって処理され、意図した宛先エンドポイントへのパケットの通信を容易にするためのネクストホップに転送される。例えば、図2に示された実施形態において、計算インスタンス268から発信されたパケットは、(NIC232を用いて)リンク220を介してホストマシン202からNVD210に通信されてもよい。NVD210上のVNIC276は、送信元計算インスタンス268に関連するVNICであるため、呼び出される。VNIC276は、パケット内のカプセル化された情報を検査し、意図した宛先エンドポイントへのパケットの通信を容易にする目的でパケットを転送するためのネクストホップを決定し、決定したネクストホップにパケットを転送するように構成されている。
【0103】
VCN上に展開された計算インスタンスは、様々な異なるエンドポイントと通信することができる。これらのエンドポイントは、CSPI200によってホストされているエンドポイントと、CSPI200外部のエンドポイントとを含んでもよい。CSPI200によってホストされているエンドポイントは、(顧客VCN、または顧客に属さないVCNであり得る)同じVCNまたは他のVCN内のインスタンスを含んでもよい。CSPI200によってホストされているエンドポイント間の通信は、物理ネットワーク218を介して実行されてもよい。また、計算インスタンスは、CSPI200によってホストされていないまたはCSPI200の外部にあるエンドポイントと通信することもできる。これらのエンドポイントの例は、顧客オンプレミスネットワークまたはデータセンタ内のエンドポイント、またはインターネットなどのパブリックネットワークを介してアクセス可能なパブリックエンドポイントを含む。CSPI200外部のエンドポイントとの通信は、様々な通信プロトコルを用いて、パブリックネットワーク(例えば、インターネット)(図2に図示せず)またはプライベートネットワーク(図2に図示せず)を介して実行されてもよい。
【0104】
図2に示されたCSPI200のアーキテクチャは、単なる一例であり、限定することを意図していない。代替的な実施形態において、変形、代替、および修正が可能である。例えば、いくつかの実装形態において、CSPI200は、図2に示されたものよりも多いまたは少ないシステムまたは要素を有してもよく、2つ以上のシステムを組み合わせてもよく、または異なるシステム構成または配置を有してもよい。図2に示されたシステム、サブシステム、および他の要素は、それぞれのシステムの1つ以上の処理ユニット(例えば、プロセッサ、コア)によって実行されるソフトウェア(例えば、コード、命令、プログラム)、ハードウェア、またはそれらの組み合わせで実装されてもよい。ソフトウェアは、非一時的な記憶媒体(例えば、メモリ装置)に記憶されてもよい。
【0105】
図4は、特定の実施形態に従って、マルチテナント機能をサポートするためのI/O仮想化を提供するためのホストマシンとNVDとの間の接続を示す図である。図4に示すように、ホストマシン402は、仮想化環境を提供するハイパーバイザ404を実行する。ホストマシン402は、2つの仮想マシンインスタンス、すなわち、顧客/テナント#1に属するVM1 406と、顧客/テナント#2に属するVM2 408とを実行する。ホストマシン402は、リンク414を介してNVD412に接続されている物理NIC410を含む。計算インスタンスの各々は、NVD412によって実行されるVNICに接続されている。図4の実施形態において、VM1 406は、VNIC-VM1 420に接続され、VM2 408は、VNIC-VM2 422に接続されている。
【0106】
図4に示すように、NIC410は、2つの論理NIC、すなわち、論理NIC A 416および論理NIC B 418を含む。各仮想マシンは、それ自身の論理NICに接続され、それ自身の論理NICと共に動作するように構成される。例えば、VM1 406は、論理NIC A 416に接続され、VM2 408は、論理NIC B 418に接続されている。ホストマシン402が複数のテナントによって共有されている1つの物理NIC410のみからなるにもかかわらず、論理NICにより、各テナントの仮想マシンは、自分自身のホストマシンおよびNICを所有していると信じている。
【0107】
特定の実施形態において、各論理NICには、それ自身のVLAN IDが割り当てられる。したがって、テナント#1の論理NIC A 416には特定のVLAN IDが割り当てられ、テナント#2の論理NIC B 418には別のVLAN IDが割り当てられる。VM1 406からパケットが通信されると、ハイパーバイザは、テナント#1に割り当てられたタグをパケットに取り付けた後、リンク414を介してパケットをホストマシン402からNVD412に通信する。同様に、VM2 408からパケットが通信されると、ハイパーバイザは、テナント#2に割り当てられたタグをパケットに取り付けた後、リンク414を介してパケットをホストマシン402からNVD412に通信する。したがって、ホストマシン402からNVD412に通信されたパケット424は、特定のテナントおよび関連するVMを識別する関連タグ426を有する。NVD上でホストマシン402からパケット424を受信した場合、当該パケットに関連するタグ426を用いて、当該パケットがVNIC-VM1 420によって処理されるべきか、VNIC-VM2 422によって処理されるべきかを判断する。そして、パケットは、対応するVNICによって処理される。図4に示された構成は、各テナントの計算インスタンスが、自分自身のホストマシンおよびNICを所有していると信じることを可能にする。図4に示された構成は、マルチテナント機能をサポートするためのI/O仮想化を提供する。
【0108】
図5は、特定の実施形態に従って、物理ネットワーク500を示す概略ブロック図である。図5に示された実施形態は、Closネットワークとして構築される。Closネットワークは、高い二分割帯域幅および最大リソース利用率を維持しながら、接続冗長性を提供するように設計された特定の種類のネットワークトポロジである。Closネットワークは、一種の非ブロッキング、多段または多層スイッチングネットワークであり、段または層の数は、2、3、4、5などであってもよい。図5に示された実施形態は、層1、2および3を含む3層ネットワークである。TORスイッチ504は、Closネットワークの層-0スイッチを表す。1つ以上のNVDは、TORスイッチに接続されている。層-0スイッチは、物理ネットワークのエッジ装置とも呼ばれる。層-0スイッチは、リーフスイッチとも呼ばれる層-1スイッチに接続されている。図5に示された実施形態において、「n」個の層-0 TORスイッチは、「n」個の層-1スイッチに接続され、ポッドを形成する。ポッド内の各層-0スイッチは、ポッド内の全ての層-1スイッチに相互接続されるが、ポッド間のスイッチは、接続されない。特定の実装例において、2つのポッドは、ブロックと呼ばれる。各ブロックは、「n」個の層-2スイッチ(スパインスイッチとも呼ばれる)によってサービスを提供されるまたはそれに接続されている。物理ネットワークトポロジは、複数のブロックを含んでもよい。同様に、層-2スイッチは、「n」個の層-3スイッチ(スーパースパインスイッチとも呼ばれる)に接続されている。物理ネットワーク500を介したパケットの通信は、典型的には、1つ以上のレイヤ3通信プロトコルを使用して実行される。典型的には、TOR層を除く物理ネットワークの全ての層は、nウェイ冗長であり、したがって高い可用性を実現することができる。ポッドおよびブロックにポリシーを指定して、物理ネットワークのスイッチの相互可視性を制御することによって、物理ネットワークを拡張することができる。
【0109】
Closネットワークの特徴は、ある層-0スイッチから別の層-0スイッチに到達する(または、層-0スイッチに接続されたNVDから層-0スイッチに接続された別のNVDに到達する)最大ホップカウントが一定であることである。例えば、3層のClosネットワークにおいて、パケットが1つのNVDから別のNVDに到達するために最大7つのホップが必要とされる。この場合、送信元NVDおよびターゲットNVDは、Closネットワークのリーフ層に接続されている。同様に、4層のClosネットワークにおいて、パケットが1つのNVDから別のNVDに到達するために最大9つのホップが必要とされる。この場合、送信元NVDおよびターゲットNVDは、Closネットワークのリーフ層に接続されている。したがって、Closネットワークアーキテクチャは、データセンタ内およびデータセンタ間の通信に重要なネットワーク全体の遅延を一定に保つ。Closトポロジは、水平方向に拡張可能であり、コスト効率に優れている。各階層により多くのスイッチ(例えば、より多くのリーフスイッチおよびスパインスイッチ)を増設すること、および隣接する階層のスイッチ間にリンク数を増やすことによって、ネットワークの帯域幅/スループット容量を容易に増加させることができる。
【0110】
特定の実施形態において、CSPI内の各リソースには、クラウド識別子(CID)と呼ばれる固有識別子が割り当てられる。この識別子は、リソースの情報の一部として含まれる。この識別子を用いて、例えば、コンソールまたはAPIを介してリソースを管理することができる。CIDの例示的なシンタックスは、以下の通りである。
【0111】
ocid1.<RESOURCE TYPE>.<REALM>.[REGION][.FUTURE USE].<UNIQUE ID>である。式中、
「ocid1」は、CIDのバージョンを示す文字列である。
【0112】
「RESOURCE TYPE」は、リソースの種類(例えば、インスタンス、ボリューム、VCN、サブネット、ユーザ、グループ)を表す。
【0113】
「REALM」は、リソースが存在する領域を表す。例示的な値として、「c1」は、商業領域を表し、「c2」は、政府クラウド領域を表し、または「c3」は、連邦政府クラウド領域を表す。各領域は、独自のドメイン名を持つことができる。
【0114】
「REGION」は、リソースが属する地域を表す。地域がリソースに適用されない場合、この部分は空白であってもよい。
【0115】
「FUTURE USE」は、将来使用のために保留されていることを示す。
「UNIQUE ID」は、固有IDの部分である。このフォーマットは、リソースまたはサービスの種類によって異なる場合がある。
【0116】
キャッシュされた構成情報およびキャッシュされない構成情報に基づくパケットフロー
図6は、ある実施形態による、キャッシュされた構成情報に基づいてパケットフローをサポートするネットワークアーキテクチャの例を示す図である。このネットワークアーキテクチャは、少なくとも部分的に、CSPのクラウドインフラストラクチャを表す。図示のように、ネットワークアーキテクチャは、ホストマシン660と、NVD670と、基板ネットワーク680と、ホストマシン690とを含む。
【0117】
一般に、ホストマシン660は、顧客の計算インスタンス662などの1つ以上の計算インスタンスをホストし、NVD670に接続される。接続はイーサネット(登録商標)リンクとすることができる。NVD670は、他の仮想機能の中でもとりわけ、計算インスタンス662にアタッチされるVNIC672を含む1つ以上のVNICをホストする。典型的には、VNICは、単一の計算インスタンスに関連付けることができ、仮想ネットワークインターフェース機能を計算インスタンスに提供することができる。仮想ネットワークインターフェース機能は、仮想ネットワークへのインターフェース(例えば、計算インスタンス662の、仮想ネットワーク682へのインターフェース)を提供することを含む。NVD670はまた、スイッチ(例えば、イーサネット(登録商標)リンクをサポートするトップオブラック(TOR)スイッチ)を介して基板ネットワーク680に接続される。基板ネットワーク680はまた、ホストマシン690と接続され、この接続は、別のNVD(簡潔にするため、図6には示されていない)を介することができる。ホストマシン690は、エンドポイント692を含む1つ以上の計算インスタンスをホストすることができる。計算インスタンス662は、VNIC672を介して(および同様に、やはり単純化のために図6には示されていないが、エンドポイント692にアタッチされたVNICを介して、)仮想ネットワーク682上でパケットを送受信することなどによって、エンドポイント692と通信することができる。仮想ネットワーク682は、基板ネットワーク680の上にオーバーレイされるソフトウェアベースまたはソフトウェア定義済みのネットワークであり得る。破線のボックスで示されるように、顧客のVCN600は、計算インスタンス662、VNIC672、およびエンドポイント692を含むことができる(が、エンドポイント692はVCN600の一部でなくてもよいことが可能である)。
【0118】
ある例では、ホストマシン660の計算インスタンスとの間のパケットのフローは、NVD670のメモリに記憶される構成情報674に依存し得る。構成情報674は、セキュリティポリシー(例えば、インバウンドおよび/またはアウトバウンドトラフィックに対するファイアウォールルールに基づくポリシー)、ルーティングルール、オーバーレイ対基板IPアドレスマッピング、ルーティングテーブル、ならびにパケットを送信および/もしくは受信するための他のタイプの情報のいずれかまたはすべてを含むことができる。ある例では、構成情報674は、複数のセットを含むことができ、各セットは、あるVNICのためにキャッシュされ、対応する計算インスタンスに関連付けられ、この計算インスタンスへのアウトバウンドまたはインバウンドパケットのフローに必要とされる情報に特定である。この例では、計算インスタンス662がパケットを送信すると、ホストマシン660は、このパケットをNVD670に転送する。次いで、VNIC672は、適用可能な構成情報をルックアップして、パケットを処理(例えば、ルールを適用し、パケットのヘッダを更新するなど)し、処理されたパケットを仮想ネットワーク682上で送信する。仮想ネットワーク682上でパケットを送信することは、NVD670が、VNIC672および計算インスタンス662に透過な態様で、パケットをさらに処理し、基板ネットワーク680上で送信することを伴う。最終的に、パケットはエンドポイント692によって受信される。逆に、計算インスタンス662に向かうパケットは、最初にNVD670によって受信され、適用可能な構成情報に基づいてVNIC672によって処理され、次いでNVD670からホストマシン660に送信されて、計算インスタンス662に到達する。
【0119】
本明細書において上記で説明したように、図6のネットワークアーキテクチャは、大量の構成情報がNVD670において記憶および維持されることを必要とし得る。さらに、NVD670によってホストされるVNICも、NVD670の処理リソースおよびメモリリソースを使用する。したがって、NVD670上のVNICの密度(例えば、NVD670がホストすることができるVNICの数)は、比較的制限され得る。
【0120】
図7は、ある実施形態による、キャッシュされない構成情報に基づいてパケットフローをサポートするネットワークアーキテクチャの例を示す図である。このネットワークアーキテクチャは、概して、NVDあたりのVNIC密度を増加させることができるが、ネットワーク帯域幅に影響を及ぼし得る。NVDによって構成情報を記憶するのではなく、NVDは、(マイクロVNICと呼ばれる)VNICのストリップダウンされたバージョンをホストし、構成情報は、集中型ネットワークインターフェースサービスを提供するネットワークインターフェースサービスによって記憶される。図示のように、ネットワークアーキテクチャは、ホストマシン710と、NVD720と、サーバフリート730と、基板ネットワーク740と、ホストマシン750とを含む。
【0121】
一般に、ホストマシン710は、顧客の計算インスタンス712などの1つ以上の計算インスタンスをホストし、NVD720に接続される。接続はイーサネット(登録商標)リンクとすることができる。NVD720は、他の仮想機能の中でもとりわけ、計算インスタンス712にアタッチされるVNIC722を含む1つ以上のVNICをホストする。図6のNVD670上にホストされるVNICとは異なり、NVD670上にホストされるVNICはマイクロVNICであり得る。典型的には、マイクロVNICは、VNICよりも実現が単純であり、計算インスタンスにアタッチし、パケットを処理するために構成情報を使用しなくてもよく、代わりに、NVD720を介して、計算インスタンスのアウトバウンドパケットをサーバフリート730上のネットワークインターフェースサービス732に直接送信するよう構成されてもよく、NVD720を介してインバウンドパケットを計算インスタンスに直接送信するよう構成されてもよい。NVD720は、サーバフリート730に(例えば、トンネルまたは他の何らかのピアリング機構を介して)接続される。
【0122】
サーバフリート730は、1人以上の顧客のためにネットワークインターフェースサービス732をホストする、サーバもしくはホストマシンのセットまたはエンクレーブであり得る。ネットワークインターフェースサービス732は、計算インスタンス間の接続性のためのネットワークインターフェース機能を提供する。一例では、ネットワークインターフェースサービス732は、サービスとしてのVNIC(VNICaaS)であり得る。例えば、ネットワークインターフェースサービス732は、マイクロVNIC722に関連付けられるVNIC734を含む複数のVNICを含む。明確にするために、これらのVNICは、(マイクロVNICとは対照的に)サービスVNICと呼ばれ得る。典型的には、あるサービスVNICは、複数のマイクロVNICに関連付けられることができ、マイクロVNICの各々は、次いで、単一の計算インスタンスに関連付けられる。言い換えれば、あるサービスVNICは、複数の計算インスタンスに、それらの対応するマイクロVNICを通じて関連付けられることができ、これらの計算インスタンスに仮想ネットワークインターフェース機能を提供することができる。仮想ネットワークインターフェース機能は、計算インスタンスの、仮想ネットワークへのインターフェース(例えば、計算インスタンス712の、仮想ネットワーク742へのインターフェース)を提供することを含む。
【0123】
サーバフリート730は、スイッチのセットを介して基板ネットワーク740に接続される。基板ネットワーク740はまた、ホストマシン750と接続され、接続は、別のNVD、サーバフリート730、および/または別のサーバフリート(簡略化のために図7に図示せず)を介することができる。ホストマシン750は、エンドポイント752を含む1つ以上の計算インスタンスをホストすることができる。計算インスタンス712は、マイクロVNIC722およびサービスVNIC734を介して(および同様に、やはり簡略化のために図7には示されていない、エンドポイント752にアタッチされたVNICまたはエンドポイント752にアタッチされたマイクロVNICおよびサービスVNICのペアを介して)仮想ネットワーク742上でパケットを送受信することなどによって、エンドポイント752と通信することができる。仮想ネットワーク742は、基板ネットワーク740の上にオーバーレイされる、ソフトウェアベースの、またはソフトウェア定義された、ネットワークであり得る。破線のボックスで示されるように、顧客のVCN760は、計算インスタンス712、マイクロVNIC722、サービスVNIC734、およびエンドポイント752を含むことができる(が、エンドポイント752はVCN760の一部でなくてもよいことが可能である)。
【0124】
ある例では、ホストマシン710の計算インスタンスとの間のパケットのフローは、ネットワークインターフェースサービス732によって記憶される構成情報736に依存し得る。構成情報736は、セキュリティポリシー(例えば、インバウンドおよび/またはアウトバウンドトラフィックに対するファイアウォールルールに基づくポリシー)、ルーティングルール、オーバーレイ対基板IPアドレスマッピング、ルーティングテーブル、ならびにパケットを送信および/もしくは受信するための他のタイプの情報のいずれかまたはすべてを含むことができる。ある例では、構成情報736は、複数のセットを含むことができ、各セットは、あるサービスVNIC、あるマイクロVNIC、および/またはある計算インスタンスのためにキャッシュされる。この例では、計算インスタンス712がパケットを送信すると、ホストマシン710は、このパケットをNVD720に転送する。次いで、マイクロVNIC722は、パケットを、NVD720を介して、ネットワークインターフェースサービス732に送信する。サーバフリート730は、トンネルを介してNVD670からパケットを受信し、それをネットワークインターフェースサービス732に転送する。ネットワークインターフェースサービス732は、パケットをさらに処理するために、サービスVNIC734を選択する。次いで、サービスVNIC734は、適用可能な構成情報をルックアップして、パケットを処理(例えば、ルールを適用し、パケットのヘッダを更新するなど)し、処理されたパケットを仮想ネットワーク742上で送信する。仮想ネットワーク742上でパケットを送信することは、サーバフリート730が、サービスVNIC734、マイクロVNIC722、および計算インスタンス712に透過な態様で、基板ネットワーク740上でパケットを送信することを含む。最終的に、パケットはエンドポイント752によって受信される。逆に、計算インスタンス712宛のパケットは、適用可能な構成情報に基づいてサービスVNIC734によって処理され、サーバフリート730およびNVD720を介してマイクロVNIC722に送信され、次いで、マイクロVNIC722からNVD720およびホストマシン710を介して計算インスタンス712に送信される。
【0125】
本明細書で上述したように、図7のネットワークアーキテクチャは、ホストマシン710との間でパケットがネットワークインターフェースサービス732を通って流れることを必要とし得る。このフローは、特にパケットの量の増加に伴って、ネットワーク帯域幅に影響を与え得る。
【0126】
図8は、ある実施形態による、キャッシュされたフロー情報およびキャッシュされない構成情報に基づいてパケットフローをサポートするネットワークアーキテクチャの例を示す図である。ここで、このネットワークアーキテクチャは、メモリ使用量(およびNVD上のVNIC密度)とネットワーク帯域幅との間のバランスを最適化することができる。ある例では、ネットワークインターフェースサービスが、パケットのフローを管理するために使用可能な構成情報を維持することができる。NVDもまた、VNICをホストし、本明細書ではフロー情報と呼ばれる構成情報の関連サブセットのみを記憶し得る。このサブセットは、ネットワークインターフェースサービスを利用する必要なく、仮想ネットワークから直接パケットを送信および/または受信するために必要とされる、最小量または低減された量の構成情報であり得る。このサブセットが利用不可であるかまたは古い場合にのみ、パケットフローはネットワークインターフェースサービスを伴う必要がある。図示のように、ネットワークアーキテクチャは、ホストマシン810と、NVD820と、サーバフリート830と、基板ネットワーク840と、ホストマシン850とを含む。
【0127】
一般に、ホストマシン810は、顧客の計算インスタンス812などの1つ以上の計算インスタンスをホストし、NVD820に接続される。接続はイーサネット(登録商標)リンクとすることができる。NVD820は、他の仮想機能の中でもとりわけ、計算インスタンス812にアタッチされるVNIC822を含む1つ以上のVNICをホストする。NVD820はまた、仮想ネットワーク842などの1つ以上の仮想ネットワーク上でパケットを送信および/または受信するためにそのようなVNICによって使用可能なフロー情報824を記憶する。NVD820は、サーバフリート830に(例えば、トンネルまたは他の何らかのピアリング機構を介して)接続される。NVD820はまた、(例えば、TORスイッチを介して)基板ネットワーク840に接続される。
【0128】
サーバフリート830は、1人以上の顧客のためにネットワークインターフェースサービス832をホストする、サーバもしくはホストマシンのセットまたはエンクレーブであり得る。ネットワークインターフェースサービス832は、計算インスタンス間の接続性のためのネットワークインターフェース機能を提供する。一例では、ネットワークインターフェースサービス832は、VNICaaSであり得る。たとえば、ネットワークインターフェースサービス832は、VNIC822および計算インスタンス812に関連付けられるサービスVNIC834を含む、複数のサービスVNICを含む。これらのサービスVNICは、パケットを処理および送信するために、ネットワークインターフェースサービス832によって記憶される構成情報836に依拠する。
【0129】
サーバフリート830は、スイッチのセットを介して基板ネットワーク840に接続される。基板ネットワーク840もまた、ホストマシン850と接続され、接続は、別のNVD、サーバフリート830、および/または別のサーバフリート(簡略化のために図8に図示せず)を介することができる。ホストマシン850は、エンドポイント852を含む1つ以上の計算インスタンスをホストすることができる。計算インスタンス812は、VNIC822および/またはサービスVNIC834を介して(および同様に、やはり簡略化のために図8には示されていない、エンドポイント852にアタッチされるVNICまたは他のサービスVNICを介して)仮想ネットワーク842上でパケットを送受信することなどによって、エンドポイント852と通信することができる。仮想ネットワーク842は、基板ネットワーク840の上にオーバーレイされるソフトウェアベースの、またはソフトウェア定義されたネットワークであり得る。破線のボックスで示されるように、顧客のVCN860は、計算インスタンス812、VNIC822、サービスVNIC834、およびエンドポイント852を含むことができる(が、エンドポイント852はVCN860の一部でなくてもよい可能性がある)。
【0130】
ある例では、ホストマシン810の計算インスタンスとの間のパケットのフローは、ネットワークインターフェースサービス832によって記憶される構成情報836と、NVD820によって記憶されるフロー情報824とに依存し得る。構成情報836は、セキュリティポリシー(例えば、インバウンドおよび/またはアウトバウンドトラフィックに対するファイアウォールルールに基づくポリシー)、ルーティングルール、オーバーレイ対基板IPアドレスマッピング、ルーティングテーブル、ならびにパケットを送信および/もしくは受信するための他のタイプの情報のいずれかまたはすべてを含むことができる。比較すると、フロー情報824は、構成情報836のサブセットを含むことができ、このサブセットは、NVD820を介してパケットのフローを処理および管理するために必要とされる、最小量または低減された量の構成情報である。たとえば、フロー情報824は、1つ以上のセキュリティポリシー、1つ以上のオーバーレイ対基板IPアドレスマッピング、1つ以上のルーティングテーブル、および/もしくはそれらの1つ以上の集約のいずれかまたは組合せを含む。フロー情報824は、パケットタイプなどの特定の分解能にグラニュラーであり得る(たとえば、特定のパケットタイプに適用可能な再書込みルールを示すことができる)か、またはより高い分解能レベルに包括的であり得る(たとえば、複数のパケットタイプに適用され、たとえば、あるファイアウォールルールが与えられると、どのようにパケットが処理されるべきかを示すことができる)。概して、フロー情報824は、NVD820に接続されるホストマシン810の1つ以上の計算インスタンスからの、および/またはそれ(ら)へのパケットのフローに特定であるため、フロー情報824の量は、構成情報836の量よりも小さく、一方、構成情報836は、多数のホストマシン上でホストされるはるかに多数の計算インスタンスへのパケットフローおよび/またはそれら多数の計算インスタンスからのパケットフローに適用可能である。ある例では、構成情報836は、複数のセットを含むことができ、各セットは、あるサービスVNIC、ある計算インスタンスにアタッチされるあるVNIC、および/またはその計算インスタンスのためにキャッシュされる。また、この例では、フロー情報824は、複数のセットを含むことができ、各セットは、ある計算インスタンスにアタッチされるあるVNICおよび/またはその計算インスタンスのためにキャッシュされる。
【0131】
例示のために、2つのシナリオを考える。第1のシナリオでは、計算インスタンス812は、パケットをエンドポイント852に送信し、フロー情報824は、この送信をサポートするために利用可能である。このシナリオでは、パケットは、(上側の点線で示されるように)VNIC822によって仮想ネットワーク842上を直接送信され、それに対応して、(下側の実線で示されるように)NVD820によって基板ネットワーク840上を直接送信される。第2の代替シナリオでは、フロー情報824は利用不可である。この場合、パケットは、(下側の点線で示されるように)サービスVNIC834によって処理され仮想ネットワーク842上を送信され、それに対応して、(上側の実線で示されるように)サーバフリート830によって基板ネットワーク840上を送信される。
【0132】
第1のシナリオでは、計算インスタンス812がパケットを送信すると、ホストマシン810は、このパケットをNVD820に転送する。次いで、VNIC822は、適用可能なフロー情報をルックアップしてパケットを処理(例えば、ルールを適用し、パケットのヘッダを更新するなど)し、処理されたパケットを仮想ネットワーク842上で送信する。仮想ネットワーク842上でパケットを送信することは、NVD820が、さらに、VNIC822および計算インスタンス812に透過な態様で、パケットを処理し、基板ネットワーク840上で送信することを伴う。最終的に、パケットはエンドポイント852によって受信される。
【0133】
第2のシナリオでは、計算インスタンス812がパケットを送信すると、ホストマシン810は、このパケットをNVD820に転送する。次いで、VNIC822は、このパケットを処理するために利用可能なフロー情報はないと判断し、代わりに、NVD820を介してネットワークインターフェースサービス832にパケットを送信する。サーバフリート830は、トンネルを介してNVD820からパケットを受信し、それをネットワークインターフェースサービス832に転送する。ネットワークインターフェースサービス832は、パケットをさらに処理するために、サービスVNIC834を選択する。次いで、サービスVNIC834は、適用可能な構成情報をルックアップしてパケットを処理(例えば、ルールを適用し、パケットのヘッダを更新するなど)し、処理されたパケットを仮想ネットワーク842上で送信する。仮想ネットワーク842上でパケットを送信することは、サーバフリート830が、サービスVNIC834、VNIC822、および計算インスタンス812に透過な態様で、パケットを基板ネットワーク840上で送信することを含む。最終的に、パケットはエンドポイント852によって受信される。
【0134】
本明細書において上記で説明したように、図6のネットワークアーキテクチャに関して、NVD820は、より少量の構成情報(たとえば、フロー情報824)を記憶し、それによって、VNICの、より高い密度を可能にする。図7のネットワークアーキテクチャに対して、パケットフローは、必要に応じて(例えば、フロー情報が利用可能でないとき)のみネットワークインターフェースサービス832を伴い、それによって帯域幅負担を軽減する。フロー情報の生成、分散、更新、およびパケットフローの管理の局面は、次の図でさらに説明される。
【0135】
本明細書で上述したように、仮想ネットワーク上のパケットのフローは、オーバーレイリソースを伴うだけでなく、オーバーレイリソースをホストするハードウェアリソースを介した基板ネットワーク上の対応するパケットフローも含む。次の図において、および明瞭さおよび簡潔さのため、仮想ネットワーク上のパケットフローを説明する際、基板ネットワーク上のパケットフローに関する詳細は省略され得、そのような詳細は、上記の説明を参照することによって暗示され得る。
【0136】
図9は、ある実施形態による、キャッシュされるフロー情報をもたらすアウトバウンドパケットフローの例を示す図である。VNIC912をホストするNVD910は、ネットワークインターフェースサービス922をホストするサーバフリート920に接続される。まず、NVD910は、VNIC912が仮想ネットワーク上で直接パケットを送信することを可能にするフロー情報を記憶していない。代わりに、パケットは、ネットワークインターフェースサービス922を介して(例えば、特定のサービスVNICを介して)仮想ネットワーク上を間接的に送信される。その後、NVD910は、ネットワークインターフェースサービス922から適用可能なフロー情報を受信して記憶し、それによって、図10でさらに説明されるように、VNIC912がパケットをそのポイントから直接仮想ネットワーク上を送信することを可能にする。NVD910、VNIC912、サーバフリート920、およびネットワークインターフェースサービス922は、それぞれ、NVD820、VNIC822、サーバフリート830、およびネットワークインターフェースサービス832の例である。図9において、円内に示される数字は、イベントのシーケンスを指す。
【0137】
ある例では、VNIC912は、例えば、VNIC912がアタッチされている計算インスタンスからパケットを受信し、このパケットは、仮想ネットワーク上で送信される(例えば、アウトバウンドパケットである)。パケット内のヘッダ情報が与えられると、VNIC912は、NVD910のキャッシュ914をルックアップして、キャッシュされたフロー情報がパケットの処理に利用可能であるかどうかを判断する。このルックアップは、送信元情報、宛先情報、送信元サブネット、宛先サブネット、パケットタイプなどのnタプルマッチを使用することができる。ルックアップの結果は、キャッシュミスである。したがって、VNIC912は、パケットをネットワークインターフェースサービス922に送信する。次いで、構成情報924が与えられると、ネットワークインターフェースサービス922は、パケットを処理(例えば、ルールを適用し、ヘッダ情報を書き直し、カプセル化を実行するなど)し、処理されたパケットを基板ネットワーク上で送信する。さらに、ネットワークインターフェースサービス922は、フロー情報と、そのフロー情報に関連付けられるバージョン情報とを含むキャッシュエントリを生成する。フロー情報は、パケットを基板番号上で送信するために使用される特定の構成情報のサブセットであり得る。例えば、フロー情報は、あるセキュリティポリシー、あるオーバーレイ対基板IPアドレスマッピング、またはあるルートルールのうちの少なくとも1つを含む。バージョン情報は、フロー情報の現在のバージョンまたはフロー情報の部分の現在のバージョンを示すことができる。例えば、バージョン情報は、フロー情報の現在のバージョンのインジケータ、またはフロー情報の部分ごとの現在のバージョンのインジケータ(例えば、セキュリティポリシーの現在のバージョン、オーバーレイ対基板IPアドレスマッピングの現在のバージョン、およびルートルールの現在のバージョン)である。バージョン情報は、次の図でさらに説明するように、キャッシュエントリを無効にするために使用可能である。ネットワークインターフェースサービス922は、キャッシュエントリをNVD910に送信する。次いで、NVD910は、受信されたキャッシュエントリからフロー情報916およびバージョン情報918をキャッシュ914内にエントリとして記憶する。
【0138】
図10は、ある実施形態による、キャッシュされたフロー情報に基づくアウトバウンドパケットフローの例を示す図である。図10の例は、図9の例に続く。VNIC1012をホストするNVD1010は、ネットワークインターフェースサービス1022をホストするサーバフリート1020に接続される。NVD1010は、キャッシュ1014にフロー情報1016およびバージョン情報1018を記憶する。比較して、ネットワークインターフェースサービス1022は、構成情報1024を記憶する。NVD1010、VNIC1012、キャッシュ1014、フロー情報1016、バージョン情報1018、サーバフリート1020、ネットワークインターフェースサービス1022、および構成情報1024は、それぞれ、NVD910、VNIC912、キャッシュ914、フロー情報916、バージョン情報918、サーバフリート920、ネットワークインターフェースサービス922、および構成情報924の例である。
【0139】
ある例では、VNIC1012は、例えば、VNIC1012がアタッチされる計算インスタンスからパケットを受信し、このパケットは、仮想ネットワーク上を送信される(例えば、アウトバウンドパケットである)。パケット内のヘッダ情報が与えられると、VNIC1012は、キャッシュされたフロー情報がパケットの処理に利用可能であるかどうかを判断するためにキャッシュ1014をルックアップする。ルックアップの結果、フロー情報1016とキャッシュヒットする。バージョン情報1018は、フロー情報1016が有効であることを示す。したがって、VNIC1012は、ネットワークインターフェースサービス1022を介してパケットを送信する必要なく、仮想ネットワーク上で直接パケットを送信する。
【0140】
図11は、ある実施形態による、キャッシュされるフロー情報をもたらすインバウンドパケットフローの例を示す図である。図9は、アウトバウンドトラフィックのフローに基づいてフロー情報を生成およびキャッシュすることを説明するが、図11の例は、インバウンドトラフィックのフローに基づいてこのプロセスを説明する。VNIC1112をホストするNVD1110は、ネットワークインターフェースサービス1122をホストするサーバフリート1120に接続される。まず、NVD1110は、図12でさらに説明されるように、VNIC1112が仮想ネットワークから直接パケットを受信することを可能にするフロー情報を記憶していない。代わりに、パケットは、ネットワークインターフェースサービス1122によって(例えば、特定のサービスVNICを介して)さらに処理される。その後、NVD1110は、ネットワークインターフェースサービス1122から処理されたパケットを受信し、適用可能なフロー情報を記憶し、それによって、VNIC1112が仮想ネットワーク上で直接パケットを送信することを可能にする。NVD1110、VNIC1112、サーバフリート1120、およびネットワークインターフェースサービス1122は、それぞれ、NVD820、VNIC822、サーバフリート830、およびネットワークインターフェースサービス832の例である。
【0141】
ある例では、VNIC1112は、仮想ネットワーク上でインバウンドパケットを受信する。パケット内のヘッダ情報が与えられると、VNIC1112は、NVD1110のキャッシュ1114をルックアップして、キャッシュされたフロー情報がパケットの処理に利用可能であるかどうかを判断する。ルックアップの結果は、キャッシュミスである。したがって、VNIC1112は、パケットをネットワークインターフェースサービス1122に送信する。次いで、構成情報1124を所与として、ネットワークインターフェースサービス1122は、パケットを処理(例えば、ルールを適用し、ヘッダ情報を書き直し、カプセル化を実行するなど)し、処理されたパケットをVNIC1112に送り返し、次いで、VNIC1112は、パケットを、VNIC1112がアタッチされている計算インスタンスに送る。加えて、ネットワークインターフェースサービス1122は、フロー情報とそのフロー情報に関連付けられるバージョン情報とを含むキャッシュエントリを生成する。フロー情報は、基板ネットワーク上でパケットを送信するために使用される特定の構成情報のサブセットであり得る。例えば、フロー情報は、あるセキュリティポリシー、あるオーバーレイ対基板IPアドレスマッピング、またはあるルートルールのうちの少なくとも1つを含む。バージョン情報は、フロー情報の現在のバージョンまたはフロー情報の部分の現在のバージョンを示すことができる。例えば、バージョン情報は、フロー情報の現在のバージョンのインジケータ、またはフロー情報の部分ごとの現在のバージョンのインジケータ(例えば、セキュリティポリシーの現在のバージョン、オーバーレイ対基板IPアドレスマッピングの現在のバージョン、およびルートルールの現在のバージョン)である。バージョン情報は、次の図でさらに説明するように、キャッシュエントリを無効にするために使用可能である。ネットワークインターフェースサービス1122は、キャッシュエントリをNVD1110に送信する。次いで、NVD1110は、受信されたキャッシュエントリからフロー情報1116およびバージョン情報1118をキャッシュ1114内にエントリとして記憶する。
【0142】
図11に関連して上で説明されたように、受信側NVD(たとえば、NVD1110)は、インバウンドトラフィックに基づいてフロー情報をキャッシュする。変形例が存在し得る。例えば、VNICからパケットを受信すると、ネットワークインターフェースサービスは、受信側NVDおよび送信側NVDの両方に、そこでのキャッシュのために、関連フロー情報を送信する。例えば、図9および図11を再び参照すると、送信側NVDがNVD910であり、受信側NVDがNVD1110であると仮定する。VNIC912が(例えば、送信側NVD910を介して)パケットを送信すると、ネットワークインターフェースサービス(例えば、ネットワークインターフェースサービス922または1122)は、送信側NVD910および受信側NVD1110の両方を更新する。
【0143】
さらに、図9および図11に関連して説明したように、キャッシュミス時に、パケットが、ネットワークインターフェースサービスに送信され、必要なフロー情報を含むキャッシュエントリを送信するよう、そのネットワークインターフェースサービスをトリガする。ここでの変形例も存在し得る。たとえば、フロー情報は、ネットワークインターフェースサービスによってNVDに送信されるパケットのヘッダ中、または送信側NVDから受信側NVDに送信されるパケットのヘッダ中に含まれ得る。ネットワークインターフェースサービスが受信側NVDと送信側NVDの両方を更新する状況では、様々なフロー情報を異なるパケットに含めることができる(例えば、フロー情報は、受信側NVDに送信されるパケットに含まれ、フロー情報は、送信側NVDに送信される応答パケットに含まれる)。1つの例示的な変形例では、送信側NVDは、受信側NVDによるその後の使用のために、フロー情報を受信側NVDのヘッダに含める。この例では、受信側NVDは、入来セキュリティポリシーを有さない場合がある。代わりに、署名がヘッダに含まれ、フロー情報が承認されたエンティティによって送信されたことを認証するために受信側NVDによって使用され得る。
【0144】
図12は、ある実施形態による、キャッシュされたフロー情報に基づくインバウンドパケットフローの例を示す図である。図12の例は、図11の例に続く。VNIC1212をホストするNVD1210は、ネットワークインターフェースサービス1222をホストするサーバフリート1220に接続される。NVD1210は、キャッシュ1214にフロー情報1216およびバージョン情報1218を記憶する。比較して、ネットワークインターフェースサービス1222は、構成情報1224を記憶する。NVD1210、VNIC1212、キャッシュ1214、フロー情報1216、バージョン情報1218、サーバフリート1220、ネットワークインターフェースサービス1222、および構成情報1224は、それぞれ、NVD1110、VNIC1112、キャッシュ1114、フロー情報1116、バージョン情報1118、サーバフリート1120、ネットワークインターフェースサービス1122、および構成情報1124の例である。
【0145】
ある例では、VNIC1212は、仮想ネットワーク上でインバウンドパケットを受信する。パケット内のヘッダ情報が与えられると、VNIC1212は、キャッシュされたフロー情報がパケットの処理に利用可能であるかどうかを判断するためにキャッシュ1214をルックアップする。ルックアップの結果、フロー情報1216とキャッシュヒットする。バージョン情報1218は、フロー情報1216が有効であることを示す。したがって、VNIC1212は、さらなる処理のためにこのパケットをネットワークインターフェースサービス1222に送信する必要なしに、VNIC1212がアタッチされている計算インスタンスにパケットを送信する。
【0146】
図13は、ある実施形態による、キャッシュされたフロー情報を無効化および更新する例を示す。この例では、無効化はネットワークインターフェースサービスによって管理することができ、更新はプロアクティブ戦略に従うことができる(例えば、プッシュ機構を実現することによって、更新されたフロー情報が、関連するVNICに送信される)。代替的に、更新は受動的戦略に従うことができる(例えば、プル機構を実現することによって、更新されたフロー情報が、VNICからの更新要求時に、VNICに送信される)。VNIC1312をホストするNVD1310は、ネットワークインターフェースサービス1322をホストするサーバフリート1320に接続される。ネットワークインターフェースサービス1322は、制御プレーン1330と接続される。顧客のコンピューティングデバイス(図13には図示せず)は、制御プレーン1330(例えば、アプリケーションプログラミングインターフェース(API)コール)に接続し、顧客のVCNの構成を更新することができる。更新は、パケットのフローを管理するために使用可能な構成情報に対する変更をもたらすことができる。
【0147】
ある例では、ネットワークインターフェースサービス1322は、構成情報1324と構成情報1324に関連付けられるバージョン情報1326とを記憶する。構成情報1324は、複数の部分(例えば、セキュリティポリシー、オーバーレイ対基板IPアドレスマッピング、ルートルール)を含むことができる。バージョン情報1326は、構成情報1324全体の現在のバージョンのインジケータおよび/または構成情報1324の部分ごとの現在のバージョンのインジケータ(例えば、セキュリティポリシーの現在のバージョン、オーバーレイ対基板IPアドレスマッピングの現在のバージョン、およびルートルールの現在のバージョン)を含むことができる。説明を明確にするために、次の段落では、構成情報1324の部分ごとにバージョンインジケータを使用することを説明する。しかしながら、本プロセスは、1つのバージョンインジケータが構成情報1324全体に使用された場合にも同様に適用される。
【0148】
ネットワークインターフェースサービス1322は、構成情報1324に対する更新を要求する更新要求を制御プレーン1330に送信する。たとえば、更新要求は、バージョンインジケータがポピュレートされたベクトルクロックを含み得る。制御プレーン1330は、バージョンインジケータのうちのどれが古いかを判断する。それらのいずれも古くなっていない場合、構成情報1324に対する更新は必要とされない。そうではなく、あるバージョンインジケータが古い場合、構成情報1324の対応する部分は古く、制御プレーン1330は、置換構成情報部分を、更新されたバージョンインジケータとともに、送信する。たとえば、セキュリティポリシーのバージョンインジケータは、それがまだ最新のバージョンであることを示すが、オーバーレイ対基板IPアドレスマッピングのバージョンインジケータが古い場合、制御プレーン1330は、更新されたオーバーレイ対基板IPアドレスマッピングおよびそれの更新されたバージョンインジケータを送信するだけである。
【0149】
次いで、ネットワークインターフェースサービス1322は、制御プレーン1330からその更新を受信する。ネットワークインターフェースサービス1322は、古い構成情報部分に対応するフロー情報部分を使用するVNICを追跡し、更新されたフロー情報部分および対応するバージョンインジケータを生成し、更新されたフロー情報部分および対応するバージョンインジケータを、当該VNICをホストするNVDにプッシュする。たとえば、NVD1310は、更新されたフロー情報1316および更新されたバージョン情報1318を受信し、VNIC1312による使用のためにそのキャッシュ1314に記憶する。
【0150】
本明細書で上述したように、代わりに受動的戦略を使用することができる。ここで、NVDに更新をプッシュするのではなく、ネットワークインターフェースサービス1322は、影響を受けるVNICに、それらのフロー情報(またはその部分)が古いことを通知し、要求時にのみ更新を送信する。たとえば、フロー情報1316(またはその部分)が古くなったという通知を受信すると、VNIC1312は、それに対する更新をネットワークインターフェースサービス1322に要求することができる。それに応答して、ネットワークインターフェースサービス1322は、更新されたフロー情報(またはその部分)および対応するバージョン情報を送信する。
【0151】
図14は、ある実施形態による、キャッシュされたフロー情報を無効化および更新する別の例を示す。この例では、無効化はNVDによって管理することができ、更新は、(例えば、フロー情報が適用されるパケットを受信する前に更新を要求することによって、)プロアクティブ戦略に従うことができる。代替的に、更新は(例えば、さらなる処理のためにネットワークインターフェースサービスにパケットを送信し、その後、更新されたフロー情報を受信することによって、)受動的戦略に従うことができる。VNIC1412をホストするNVD1410は、ネットワークインターフェースサービス1422をホストするサーバフリート1420に接続される。ネットワークインターフェースサービス1422は、制御プレーン1430と接続される。顧客のコンピューティングデバイス(図14には図示せず)は、制御プレーン1430に接続し、顧客のVCNの構成を更新することができる。更新は、パケットのフローを管理するために使用可能な構成情報に対する変更をもたらすことができる。
【0152】
ある例では、NVD1410は、キャッシュ1414に、フロー情報1416と、フロー情報1416に関連付けられるバージョン情報1418とを記憶する。フロー情報1416は、複数の部分(例えば、セキュリティポリシー、オーバーレイ対基板IPアドレスマッピング、ルートルール)を含むことができる。バージョン情報1418は、フロー情報1416全体の現在のバージョンのインジケータおよび/またはフロー情報1416の部分ごとの現在のバージョンのインジケータ(例えば、セキュリティポリシーの現在のバージョン、オーバーレイ対基板IPアドレスマッピングの現在のバージョン、およびルートルールの現在のバージョン)を含むことができる。説明を明確にするために、次の段落では、フロー情報1416の部分ごとにバージョンインジケータを使用することを説明する。しかしながら、本プロセスは、フロー情報1416全体に対して1つのバージョンインジケータが使用された場合にも同様に適用される。
【0153】
NVD1410は、フロー情報1416に対する更新を要求する更新要求を制御プレーン1430に送信する。たとえば、更新要求は、バージョンインジケータがポピュレートされたベクトルクロックを含み得る。制御プレーン1430は、バージョンインジケータのうちのどれが古いかを判断する。それらのいずれも古くなっていない場合、フロー情報1416に対する更新は必要とされない。そうではなく、あるバージョンインジケータが古い場合、フロー情報1416の対応する部分は古く、制御プレーン1430は、更新が利用可能であることを示す通知をNVD1410に送信する。この通知は、フロー情報1416のどの部分が古いかを示すことができる。
【0154】
受動的戦略では、NVD1410は、フロー情報1416を直ちに更新しない。代わりに、VNIC1412は、パケットを受信し、(たとえば、キャッシュヒットに基づいて)フロー情報1416がそれに適用される、と判断する。VNICはまた、バージョン情報1418が古い(例えば、フロー情報1416の一部は、制御プレーン1430からの通知に従って、古くなっている)と判断する。代替として、通知を受信すると、NVD1410は、キャッシュルックアップが実行されると、ルックアップの結果がキャッシュミスとなるように、キャッシュされたフロー情報1416を無効化する。両方の場合において、VNIC1412は、さらなる処理のために、パケットをネットワークインターフェースサービス1422に送信する。このパケット送信は、受動的更新要求を表す。ネットワークインターフェースサービス1422は、最新バージョン情報1426(これは、図13と同様の方法で制御プレーン1430から更新されることができる)を有する構成情報1424を使用してパケットを処理する。さらに、ネットワークインターフェースサービス1422は、更新をNVD1410に送信し、更新は、更新されたフロー情報(例えば、フロー情報全体であって、その部分ではない)および対応するバージョンインジケータを含む。次いで、NVD1410は、既存のフロー情報1416(またはその古い部分)およびバージョン情報1418(または古いバージョンインジケータ)を、更新されたフロー情報部分および対応するバージョンインジケータで置き換える。
【0155】
例えば、オーバーレイ対基板IPマッピングのみがフロー情報1416において古い。NVD1410は、対応するバージョンインジケータが古いことを示す通知を制御プレーン1430から受信する。次に、VNIC1412は、そうでなければ仮想ネットワーク上で直接送信されたであろうパケットをネットワークインターフェースサービス1422に送信する。これに応答して、ネットワークインターフェースサービス1422は、更新されたフロー情報および対応するバージョンインジケータを送信する。NVD1410は、フロー情報1416における古いオーバーレイ対基板IPアドレスマッピングおよびバージョン情報1418における対応するバージョンインジケータを、更新されたオーバーレイ対基板IPアドレスマッピングおよび対応するバージョンインジケータにそれぞれ置き換える。
【0156】
本明細書において上述したように、代わりにプロアクティブ戦略を使用することができる。ここで、ネットワークインターフェースサービス1422にパケットを送信し、次いで更新を受信し戻すのではなく、NVD1410は、ネットワークインターフェースサービス1422に更新要求を自動的に送信することができる。この要求は、フロー情報1416のどの部分が古いかを示すことができ、ネットワークインターフェースサービス1422は、更新された部分のみを送信してもよい。代替として、そのような指示はなされず、ネットワークインターフェースサービス1422は、フロー情報全体を送信してもよい。
【0157】
図15図20は、構成情報を分散し、パケットフローを管理するための方法の例を示す。これらの方法の動作は、NVDおよび/またはネットワークサービスインターフェースを含むシステムによって実行され得る。動作を実行するための命令のいくつかまたはすべては、ハードウェア回路として実現され、および/またはシステムの非一時的コンピュータ可読媒体上にコンピュータ可読命令として記憶され得る。実現されると、命令は、回路またはシステムのプロセッサによって実行可能なコードを含むモジュールを表す。そのような命令の使用は、本明細書で説明される特定の動作を実行するようにシステムを構成する。関連するプロセッサと組み合わせた各回路またはコードは、それぞれの動作を実行するための手段を表す。動作は特定の順序で示されているが、特定の順序は必要ではなく、1つ以上の動作は省略され、スキップされ、並列に実行され、および/または並べ替えられ得ることを理解されたい。
【0158】
図15は、ある実施形態による、キャッシュされるフロー情報をもたらす、パケットを送信するための方法の例を示す図である。ここで、パケットは、仮想ネットワーク上で送信されるアウトバウンドパケットである。ある例では、本方法は、NVD上でホストされるVNICがパケットを受信する動作1502を含む。パケットは、VNICがアタッチされる計算インスタンスから送信され得る。動作1504において、VNICは、パケットを処理するためにフロー情報がNVDのメモリから利用可能であるかどうかを判断する。例えば、VNICは、パケットのヘッダからの情報に基づいてキャッシュルックアップを実行する。ルックアップがキャッシュヒットをもたらす場合、フロー情報は利用可能である。この場合、動作1510が、動作1504に続く。そうでない場合、動作1520が動作1504に続く。動作1510において、VNICは、仮想ネットワーク上でパケットを直接送信する。たとえば、VNICは、フロー情報に従ってパケットを処理し、次いで、処理されたパケットを、(たとえば、更新されたヘッダ情報とともに、)仮想ネットワーク上で送信する。仮想ネットワーク上で送信することは、NVDが、さらに、下層の基板ネットワーク上で送信するために、パケットを処理することを含むことができる。動作1520においては、NVDにおいてパケットをローカルに処理するために利用可能なフロー情報はない(たとえば、キャッシュされていない)。代わりに、VNICは、パケットを処理するために使用可能な構成情報を記憶するネットワークインターフェースサービスにパケットを送信する。動作1522において、NVDはフロー情報を受信する。このフロー情報は、パケットを処理し仮想ネットワーク上で送信するためにネットワークインターフェースサービスによって(例えば、そこでホストされるサービスVNICによって)使用された構成情報のサブセットであり得る。加えて、フロー情報に関連付けられるバージョン情報が受信され得る。動作1524において、NVDは、フロー情報および該当する場合はバージョン情報をメモリに(たとえばキャッシュエントリとして)記憶する。フローは、仮想ネットワーク上で追加のパケットを送信するために繰り返すことができ、追加のパケットは、計算インスタンスから受信される。
【0159】
図16は、ある実施形態による、キャッシュされるフロー情報をもたらす、パケットを受信するための方法の例を示す図である。ここで、パケットは、仮想ネットワーク上で受信されるインバウンドパケットである。ある例では、本方法は、NVD上でホストされるVNICがパケットを受信する動作1602を含む。パケットは、仮想ネットワーク上のエンドポイントから送信されることができ、VNICがアタッチされる計算インスタンスに宛てられる。動作1604において、VNICは、パケットを処理するためにフロー情報がNVDのメモリから利用可能であるかどうかを判断する。例えば、VNICは、パケットのヘッダからの情報に基づいてキャッシュルックアップを実行する。ルックアップがキャッシュヒットをもたらす場合、フロー情報は利用可能である。この場合、動作1610が、動作1604に続く。そうでない場合、動作1620が動作1604に続く。動作1610において、VNICは、計算インスタンス上で直接パケットを送信する。たとえば、VNICは、フロー情報に従ってパケットを処理し、次いで、処理されたパケットを、(たとえば、更新されたヘッダ情報とともに、)NVDおよび計算インスタンスのホストマシンを介して計算インスタンスに送信する。動作1620においては、NVDにおいてパケットをローカルに処理するために利用可能なフロー情報はない(たとえば、キャッシュされていない)。代わりに、VNICは、パケットを処理するために使用可能な構成情報を記憶するネットワークインターフェースサービスにパケットを送信する。動作1622において、NVDは、ネットワークインターフェースサービスによって処理されたパケットと、フロー情報とを受信する。このフロー情報は、パケットを処理するためにネットワークインターフェースサービスによって(例えば、そこでホストされるサービスVNICによって)使用された構成情報のサブセットであり得る。加えて、フロー情報に関連付けられるバージョン情報が受信され得る。動作1624において、NVDは、フロー情報および該当する場合はバージョン情報をメモリに(たとえばキャッシュエントリとして)記憶する。受信されたパケットはまた、動作1624から動作1610へのループで示されるように、計算インスタンスに直接送信される。フローは、追加のパケットを計算インスタンスに送信するために繰り返され得、追加のパケットは仮想ネットワーク上で受信される。
【0160】
図17は、ある実施形態による、フロー情報を生成および送信するための方法の例を示す図である。ここで、本方法は、ネットワークインターフェースサービスによって実現することができる。ある例では、本方法は、ネットワークインターフェースサービスがパケットを受信する動作1702を含む。ある例では、パケットは、計算インスタンスから発生し、仮想ネットワーク上で送信されるアウトバウンドパケットである。別の例では、パケットは、仮想ネットワーク上で受信され、計算インスタンスに向かうインバウンドパケットである。両方の例において、ネットワークインターフェースサービスは、VNICから、そのVNICをホストするNVDを介して、パケットを受信することができ、NVDは、VNICがパケットを処理することを可能にする(キャッシュされた)フロー情報を記憶していない。動作1704において、ネットワークインターフェースサービス(例えば、そこでホストされるサービスVNIC)は、パケットを処理するべく構成情報を判断する。この判断は、パケットのヘッダ情報に基づくことができる。動作1706において、ネットワークインターフェースサービス(たとえば、サービスVNIC)は、構成情報に基づいてパケットを送信する。第1の例に戻って参照すると、サービスVNICは、構成情報に従ってパケットを処理し、処理されたパケットを仮想ネットワーク上で送信する。第2の例でも、サービスVNICは、構成情報に従ってパケットを処理するが、処理されたパケットをNVDのVNICに送信する。動作1708において、ネットワークインターフェースサービスは、フロー情報を生成する。たとえば、フロー情報は、構成情報のサブセットであり、NVDのVNICが同じタイプのパケットまたは同様のパケットをローカルに処理することを可能にする。このフロー情報は、最新の構成情報に対応することができ、バージョン情報に関連付けられることができる。動作1710において、ネットワークインターフェースサービスは、フロー情報をNVDに送信する。さらに、バージョン情報をNVDに送ることができる。
【0161】
図18は、ある実施形態による、キャッシュされたフロー情報を無効化および更新するための方法の例を示す。ここで、本方法は、VNICをホストするNVDによって実現され得る。ある例では、本方法は、VNICがパケットを受信する動作1802を含む。ある例では、パケットは、計算インスタンスから発生し、仮想ネットワーク上で送信されるアウトバウンドパケットである。別の例では、パケットは、仮想ネットワーク上で受信され、計算インスタンスに向かうインバウンドパケットである。動作1804において、VNICは、フロー情報が古いかどうかを判断し、ここで、フロー情報は、パケットを処理するためにNVDのメモリから利用可能である。例えば、VNICは、フロー情報のバージョン情報が古い(か、またはフロー情報の一部のバージョンインジケータが古い)かどうかを判断する。この判断は、ベクトルクロックを制御プレーンに送信することと、更新されたバージョン情報に関する通知を受信することとを含み得る。動作1804は、動作1802に続くものとして示されているが、動作1804は、動作1804とは独立して実行され得、キャッシュされたフロー情報は、パケットを受信する前に無効化される。フロー情報が古くなっていない場合、動作1810が動作1804に続く。そうでない場合、動作1820が動作1804に続く。動作1810において、VNICは、アウトバウンドトラフィックの場合、仮想ネットワーク上で直接、またはインバウンドトラフィックの場合、計算インスタンスに直接、パケットを送信する。動作1820においては、NVDにおいてローカルにパケットを処理するために有効なフロー情報は利用可能ではない。代わりに、VNICは、パケットを処理するために使用可能な構成情報を記憶するネットワークインターフェースサービスにパケットを送信する。動作1822において、NVDは、フロー情報(および、インバウンドトラフィックの場合、パケット)を受信する。このフロー情報は、パケットを処理し、オーバーレイ基板上でVNICに送り返すためにネットワークインターフェースサービスによって(例えば、そこでホストされるサービスVNICによって)使用された構成情報のサブセットであり得る。加えて、フロー情報に関連付けられるバージョン情報が受信され得る。動作1824において、NVDは、フロー情報および該当する場合はバージョン情報をメモリに(たとえばキャッシュエントリとして)記憶する。フローは、追加のパケットを送信するために繰り返され得、追加のパケットは、計算インスタンスから、または仮想ネットワークから、受信される。
【0162】
図19は、ある実施形態による、キャッシュされたフロー情報を無効化および更新するための方法の別の例を示す。ここで、本方法は、ネットワークインターフェースサービスによって実現することができる。ある例では、本方法は、ネットワークインターフェースサービスが、構成情報が古い、と判断する動作1902を含む。例えば、ネットワークインターフェースサービスは、構成情報のバージョン情報が古い(または、フロー情報の一部のバージョンインジケータが古い)と判断する。この判断は、ベクトルクロックを制御プレーンに送信すること、更新されたバージョン情報についての通知を受信すること、および/または更新された構成情報(もしくはその更新された部分)を受信することを含み得る。動作1904において、ネットワークインターフェースサービスは、制御プレーンからの更新に基づいて更新される必要があるVNICを判断する。たとえば、ネットワークインターフェースサービスは、NVD上のVNICごとに、対応する構成情報およびそれに関連付けられるバージョン情報を追跡する。更新がVNICのために使用される構成情報に影響を及ぼす場合、ネットワークインターフェースサービスは、このVNICは更新されるべきである、と判断する。動作1906において、ネットワークインターフェースサービスは、更新されたフロー情報、および任意選択でバージョン情報を、影響を受けるVNICに送信する。更新されたフロー情報は、更新された構成情報からサブセットとして生成され得る。更新されたフロー情報全体をプッシュすることができ、または、代替的に、それの更新された部分のみを最新バージョンインジケータとともにプッシュすることができる。
【0163】
図20は、ある実施形態による、キャッシュされたフロー情報を無効化および更新するための方法の別の例を示す。ここで、本方法は、ネットワークインターフェースサービスによって実現することができ、受動的戦略に従って更新を完了する。ある例では、本方法は動作2002を含み、ネットワークインターフェースサービスは、動作1902と同様に、構成情報は古い、と判断する。動作2004において、ネットワークインターフェースサービスは、動作1904と同様に、更新される必要があるVNICを判断する。動作2006において、ネットワークインターフェースサービスは、VNICに、そのフロー情報が古い(またはその一部が古い)ことを示す。例えば、対応するキャッシュされたエントリの無効化をもたらす通知を送信することができる。動作2008において、ネットワークインターフェースサービスは、VNICからパケットを受信する。パケットは、インバウンドパケットまたはアウトバウンドパケットであり得る。動作2010において、ネットワークインターフェースサービスは、更新された構成情報を使用して、パケットを処理し、送信する。アウトバウンドトラフィックの場合、パケットは、仮想ネットワーク上で(たとえば、サービスVNICを介して)送信される。インバウンドトラフィックの場合、パケットはVNICに送り返される。動作2012において、ネットワークインターフェースサービスは、更新されたフロー情報および任意選択でバージョン情報をVNICに送信する。更新されたフロー情報は、更新された構成情報からサブセットとして生成され得る。更新されたフロー情報全体を送信することができ、または代替的に、それの更新された部分のみを最新バージョンインジケータと共に送信することができる。
【0164】
例示的なサービスとしてのインフラストラクチャのアーキテクチャ
上述したように、IaaS(Infrastructure as a Service)は、1つの特定の種類のクラウドコンピューティングである。IaaSは、パブリックネットワーク(例えば、インターネット)を介して仮想化計算リソースを提供するように構成されてもよい。IaaSモデルにおいて、クラウドコンピューティングプロバイダは、インフラストラクチャ要素(例えば、サーバ、記憶装置、ネットワークノード(例えば、ハードウェア)、展開ソフトウェア、プラットフォーム仮想化(例えば、ハイパーバイザ層)など)をホストすることができる。場合によっては、IaaSプロバイダは、インフラストラクチャ要素に付随する様々なサービス(例えば、課金、監視、ロギング、セキュリティ、負荷分散およびクラスタリングなど)を提供することができる。したがって、これらのサービスがポリシー駆動型であり得るため、IaaSユーザは、アプリケーションの可用性および性能を維持するために、負荷分散を駆動するためのポリシーを実装することができる。
【0165】
いくつかの例において、IaaS顧客は、インターネットなどの広域ネットワーク(WAN)を介してリソースおよびサービスにアクセスすることができ、クラウドプロバイダのサービスを使用してアプリケーションスタックの残りの要素をインストールすることができる。例えば、ユーザは、IaaSプラットフォームにログインして、仮想マシン(VM)を作成し、各VMにオペレーティングシステム(OS)をインストールし、データベースなどのミドルウェアを展開し、ワークロードおよびバックアップの記憶バケットを作成し、VMに企業ソフトウェアをインストールすることができる。顧客は、プロバイダのサービスを使用して、ネットワークトラフィックのバランシング、アプリケーションのトラブルシューティング、パフォーマンスの監視、災害復旧の管理などを含む様々な機能を実行することができる。
【0166】
殆どの場合、クラウドコンピューティングモデルは、クラウドプロバイダの参加を必要とする。クラウドプロバイダは、IaaSの提供(例えば、オファー、レンタル、販売)に特化した第3者サービスであってもよいが、その必要はない。また、企業は、プライベートクラウドを配置し、インフラストラクチャサービスを提供するプロバイダになることもできる。
【0167】
いくつかの例において、IaaSの配置は、用意したアプリケーションサーバなどに新しいアプリケーションまたは新しいバージョンのアプリケーションを配置するプロセスである。IaaSの配置は、サーバを用意する(例えば、ライブラリ、デーモンなどをインストールする)プロセスを含んでもよい。IaaSの配置は、多くの場合、クラウドプロバイダによって、ハイパーバイザ層(例えば、サーバ、記憶装置、ネットワークハードウェア、および仮想化)の下で管理される。したがって、顧客は、OS、ミドルウェア、および/またはアプリケーションの展開(例えば、セルフサービス仮想マシン(例えば、オンデマンドでスピンアップできるもの)などを行うことができる。
【0168】
いくつかの例において、IaaSのプロビジョニングは、使用されるコンピュータまたは仮想ホストを取得すること、およびコンピュータまたは仮想ホスト上に必要なライブラリまたはサービスをインストールすることを含んでもよい。殆どの場合、配置は、プロビジョニングを含まず、まずプロビジョニングを実行する必要がある。
【0169】
場合によっては、IaaSのプロビジョニングには2つの異なる課題がある。第1に、何かを実行する前に、インフラストラクチャの初期セットをプロビジョニングするという課題がある。第2に、全てのものをプロビジョニングした後に、既存のインフラストラクチャを進化させる(例えば、新しいサービスの追加、サービスの変更、サービスの削除)という課題がある。場合によっては、インフラストラクチャの構成を宣言的に定義することを可能にすることによって、これらの2つの課題に対処することができる。言い換えれば、インフラストラクチャ(例えば、どの要素が必要とされるか、およびこれらの要素がどのように相互作用するか)は、1つ以上の構成ファイルによって定義されてもよい。したがって、インフラストラクチャの全体的なトポロジ(例えば、どのリソースがどれに依存し、どのように連携するか)は、宣言的に記述することができる。いくつかの例において、トポロジが定義されると、構成ファイルに記述された異なる要素を作成および/または管理するためのワークフローを生成することができる。
【0170】
いくつかの例において、インフラストラクチャは、多くの相互接続された要素を含むことができる。例えば、コアネットワークとしても知られている1つ以上の仮想プライベートクラウド(VPC)(例えば、構成可能な計算リソースおよび/または共有されている計算リソースの潜在的なオンデマンドプール)が存在してもよい。いくつかの例において、ネットワークのセキュリティがどのように設定されるかを定義するためにプロビジョニングされる1つ以上のセキュリティグループルールと、1つ以上の仮想マシン(VM)とが存在する可能性がある。ロードバランサ、データベースなどの他のインフラストラクチャ要素もプロビジョニングされてもよい。ますます多くのインフラストラクチャ要素が望まれるおよび/または追加されるにつれて、インフラストラクチャは、漸進的に進化することができる。
【0171】
いくつかの例において、様々な仮想コンピューティング環境にわたってインフラストラクチャコードの展開を可能にするために、連続展開技法を採用してもよい。また、記載された技法は、これらの環境内のインフラストラクチャ管理を可能にすることができる。いくつかの例において、サービスチームは、1つ以上の、通常多くの異なる生産環境(例えば、時には全世界に及ぶ種々の異なる地理的場所にわたって)に展開されることが望まれるコードを書き込むことができる。しかしながら、いくつかの例において、コードを展開するためのインフラストラクチャを最初に設定しなければならない。いくつかの例において、プロビジョニングは、手動で行うことができ、プロビジョニングツールを用いてリソースをプロビジョニングすることができ、および/またはインフラストラクチャをプロビジョニングした後に、展開ツールを用いてコードを展開することができる。
【0172】
図21は、少なくとも1つの実施形態に従って、IaaSアーキテクチャの例示的なパターンを示すブロック図2100である。サービスオペレータ2102は、仮想クラウドネットワーク(VCN)2106およびセキュアホストサブネット2108を含み得るセキュアホストテナンシ2104に通信可能に結合されてもよい。いくつかの例において、サービスオペレータ2102は、1つ以上のクライアントコンピューティング装置を使用することができる。1つ以上のクライアントコンピューティング装置は、例えば、Microsoft Windows Mobile(登録商標)のようなソフトウェア、および/またはiOS、Windowsフォン、アンドロイド(登録商標)、ブラックベリー8およびパームOSなどのさまざまなモバイルオペレーティングシステムを実行することができ、インターネット、電子メール、ショートメッセージサービス(SMS)、ブラックベリー(登録商標)または他の通信プロトコルが有効化された手持ち式携帯装置(例えば、iPhone(登録商標)、携帯電話、Ipad(登録商標)、タブレット、携帯情報端末(PDA)またはウェアラブル装置(Google(登録商標)Glass(登録商標)ヘッドマウントディスプレイ)であってもよい。クライアントコンピューティング装置は、例示として、Microsoft Windows(登録商標)オペレーティングシステム、Apple Macintosh(登録商標)オペレーティングシステムおよび/またはLinux(登録商標)オペレーティングシステムのさまざまなバージョンを実行するパーソナルコンピュータおよび/またはラップトップコンピュータを含む汎用のパーソナルコンピュータであってもよい。代替的には、クライアントコンピューティング装置は、例えば、さまざまなGNU/Linuxオペレーティングシステム、例えば、Google Chrome(登録商標)OSを含むがこれに限定されない市販のUNIX(登録商標)またはUNIXに類似するさまざまなオペレーティングシステムを実行するワークステーションコンピュータであってもよい。代替的にまたは追加的には、クライアントコンピューティング装置は、VCN2106および/またはインターネットにアクセスできるネットワークを介して通信可能な他の電子機器、例えば、シンクライアントコンピュータ、インターネット対応のゲームシステム(例えば、Kinect(登録商標)ジェスチャ入力装置を備えるまたは備えないMicrosoft Xbox(登録商標)ゲームコンソール)、および/またはパーソナルメッセージング装置であってもよい。
【0173】
VCN2106は、SSH VCN2112に含まれるLPG2110を介して、セキュアシェル(SSH)VCN2112に通信可能に結合できるローカルピアリングゲートウェイ(LPG)2110を含むことができる。SSH VCN2112は、SSHサブネット2114を含むことができ、SSH VCN2112は、制御プレーンVCN2116に含まれるLPG2110を介して、制御プレーンVCN2116に通信可能に結合されることができる。また、SSH VCN2112は、LPG2110を介して、データプレーンVCN2118に通信可能に結合されることができる。制御プレーンVCN2116およびデータプレーンVCN2118は、IaaSプロバイダによって所有および/または運営され得るサービステナンシ2119に含まれてもよい。
【0174】
制御プレーンVCN2116は、境界ネットワーク(例えば、企業イントラネットと外部ネットワークとの間の企業ネットワークの部分)として機能する制御プレーンDMZ(demilitarized zone)層2120を含むことができる。DMZベースのサーバは、特定の信頼性を有し、セキュリティ侵害を封じ込めることができる。さらに、DMZ層2120は、1つ以上のロードバランサ(LB)サブネット2122と、アプリサブネット2126を含むことができる制御プレーンアプリ層2124と、データベース(DB)サブネット2130(例えば、フロントエンドDBサブネットおよび/またはバックエンドDBサブネット)を含むことができる制御プレーンデータ層2128とを含むことができる。制御プレーンDMZ層2120に含まれたLBサブネット2122は、制御プレーンアプリ層2124に含まれるアプリサブネット2126と制御プレーンVCN2116に含まれ得るインターネットゲートウェイ2134とに通信可能に結合されてもよく、アプリサブリ2126は、制御プレーンデータ層2128に含まれるDBサブネット2130と、サービスゲートウェイ2136と、ネットワークアドレス変換(NAT)ゲートウェイ2138とに通信可能に結合されてもよい。制御プレーンVCN2116は、サービスゲートウェイ2136およびNATゲートウェイ2138を含むことができる。
【0175】
制御プレーンVCN2116は、データプレーンミラーアプリ層2140を含むことができ、データプレーンミラーアプリ層2140は、アプリサブネット2126を含むことができる。データプレーンミラーアプリ層2140に含まれたアプリサブネット2126は、計算インスタンス2144を実行することができる仮想ネットワークインターフェースコントローラ(VNIC)2142を含むことができる。計算インスタンス2144は、データプレーンミラーアプリ層2140のアプリサブネット2126を、データプレーンアプリ層2146に含まれ得るアプリサブネット2126に通信可能に結合することができる。
【0176】
データプレーンVCN2118は、データプレーンアプリ層2146と、データプレーンDMZ層2148と、データプレーンデータ層2150とを含むことができる。データプレーンDMZ層2148は、データプレーンアプリ層2146のアプリサブネット2126およびデータプレーンVCN2118のインターネットゲートウェイ2134に通信可能に結合され得るLBサブネット2122を含むことができる。アプリサブネット2126は、データプレーンVCN2118のサービスゲートウェイ2136およびデータプレーンVCN2118のNATゲートウェイ2138に通信可能に結合されてもよい。また、データプレーンデータ層2150は、データプレーンアプリ層2146のアプリサブネット2126に通信可能に結合され得るDBサブネット2130を含むことができる。
【0177】
制御プレーンVCN2116のインターネットゲートウェイ2134およびデータプレーンVCN2118のインターネットゲートウェイ2134は、パブリックインターネット2154に通信可能に結合され得るメタデータ管理サービス2152に通信可能に結合されてもよい。パブリックインターネット2154は、制御プレーンVCN2116のNATゲートウェイ2138およびデータプレーンVCN2118のNATゲートウェイ2138に通信可能に結合されてもよい。制御プレーンVCN2116のサービスゲートウェイ2136およびデータプレーンVCN2118のサービスゲートウェイ2136は、クラウドサービス2156に通信可能に結合されてもよい。
【0178】
いくつかの例において、制御プレーンVCN2116またはデータプレーンVCN2118のサービスゲートウェイ2136は、パブリックインターネット2154を経由することなく、クラウドサービス2156へのアプリケーションプログラミングインターフェース(API)呼び出しを行うことができる。サービスゲートウェイ2136からのクラウドサービス2156へのAPI呼び出しは、一方向であり得る。サービスゲートウェイ2136は、クラウドサービス2156へのAPI呼び出しを行うことができ、クラウドサービス2156は、要求データをサービスゲートウェイ2136に送信することができる。しかしながら、クラウドサービス2156は、サービスゲートウェイ2136へのAPI呼び出しを開始しないことがある。
【0179】
いくつかの例において、セキュアホストテナンシ2104は、孤立であり得るサービステナンシ2119に直接に接続されてもよい。セキュアホストサブネット2108は、孤立のシステムとの双方向通信を可能にするLPG2110を介して、SSHサブネット2114と通信することができる。セキュアホストサブネット2108をSSHサブネット2114に接続することによって、セキュアホストサブネット2108は、サービステナンシ2119内の他のエンティティにアクセスすることができる。
【0180】
制御プレーンVCN2116は、サービステナンシ2119のユーザが所望のリソースを設定またはプロビジョニングすることを可能にする。制御プレーンVCN2116においてプロビジョニングされた所望のリソースは、データプレーンVCN2118において展開または使用されてもよい。いくつかの例において、制御プレーンVCN2116は、データプレーンVCN2118から隔離されてもよく、制御プレーンVCN2116のデータプレーンミラーアプリ層2140は、データプレーンミラーアプリ層2140およびデータプレーンアプリ層2146に含まれ得るVNIC2142を介して、データプレーンVCN2118のデータプレーンアプリ層2146と通信することができる。
【0181】
いくつかの例において、システムのユーザまたは顧客は、要求をメタデータ管理サービス2152に通信することができるパブリックインターネット2154を介して、例えば、作成、読み取り、更新、または削除(CRUD)操作などの要求を行うことができる。メタデータ管理サービス2152は、インターネットゲートウェイ2134を介して、要求を制御プレーンVCN2116に通信することができる。要求は、制御プレーンDMZ層2120に含まれるLBサブネット2122によって受信されてもよい。LBサブネット2122は、要求が有効であると判断することができ、この判断に応答して、LBサブネット2122は、要求を制御プレーンアプリ層2124に含まれるアプリサブネット2126に送信することができる。要求が検証され、パブリックインターネット2154への呼び出しを必要とする場合、パブリックインターネット2154への呼び出しを、パブリックインターネット2154への呼び出しを行うことができるNATゲートウェイ2138に送信することができる。要求を記憶するためのメモリは、DBサブネット2130に格納されてもよい。
【0182】
いくつかの例において、データプレーンミラーアプリ層2140は、制御プレーンVCN2116とデータプレーンVCN2118との間の直接通信を容易にすることができる。例えば、構成に対する変更、更新、または他の適切な修正は、データプレーンVCN2118に含まれるリソースに適用されることが望ましい場合がある。制御プレーンVCN2116は、VNIC2142を介してデータプレーンVCN2118に含まれるリソースと直接に通信することができるため、構成に対する変更、更新、または他の適切な修正を実行することができる。
【0183】
いくつかの実施形態において、制御プレーンVCN2116およびデータプレーンVCN2118は、サービステナンシ2119に含まれてもよい。この場合、システムのユーザまたは顧客は、制御プレーンVCN2116またはデータプレーンVCN2118のいずれかを所有または操作しなくてもよい。代わりに、IaaSプロバイダは、制御プレーンVCN2116およびデータプレーンVCN2118を所有または操作してもよく、これらの両方は、サービステナンシ2119に含まれてもよい。この実施形態は、ネットワークの隔離を可能にすることによって、ユーザまたは顧客が他のユーザのリソースまたは他の顧客のリソースと対話することを防止できる。また、この実施形態は、システムのユーザまたは顧客が、記憶するための所望のレベルのセキュリティを有しない可能性のあるパブリックインターネット2154に依存する必要なく、データベースをプライベートに記憶することを可能にすることができる。
【0184】
他の実施形態において、制御プレーンVCN2116に含まれるLBサブネット2122は、サービスゲートウェイ2136から信号を受信するように構成されてもよい。この実施形態において、制御プレーンVCN2116およびデータプレーンVCN2118は、パブリックインターネット2154を呼び出すことなく、IaaSプロバイダの顧客によって呼び出されるように構成されてもよい。顧客が使用するデータベースは、IaaSプロバイダによって制御され、パブリックインターネット2154から隔離され得るサービステナンシ2119に格納され得るため、IaaSプロバイダの顧客は、この実施形態を望む場合がある。
【0185】
図22は、少なくとも1つの実施形態に従って、IaaSアーキテクチャの別の例示的なパラメータを示すブロック図2200である。サービスオペレータ2202(例えば、図21のサービスオペレータ2102)は、仮想クラウドネットワーク(VCN)2206(例えば、図21のVCN2106)およびセキュアホストサブネット2208(例えば、図21のセキュアホストサブネット2108)を含み得るセキュアホストテナンシ2204(例えば、図21のセキュアホストテナンシ2104)に通信可能に結合されてもよい。VCN2206は、SSH VCN2212に含まれるLPG2110を介してセキュアシェル(SSH)VCN2212(例えば、図21のSSH VCN2112)に通信可能に結合され得るローカルピアリングゲートウェイ(LPG)2210(例えば、図21のLPG2110)を含むことができる。SSH VCN2212は、SSHサブネット2214(例えば、図21のSSHサブネット2114)を含むことができ、SSH VCN2212は、制御プレーンVCN2216に含まれるLPG2210を介して制御プレーンVCN2216(例えば、図21の制御プレーンVCN2116)に通信可能に結合することができる。制御プレーンVCN2216は、サービステナンシ2219(例えば、図21のサービステナンシ2119)に含まれてもよく、データプレーンVCN2218(例えば、図21のデータプレーンVCN2118)は、システムのユーザまたは顧客によって所有または運営され得る顧客テナンシ2221に含まれてもよい。
【0186】
制御プレーンVCN2216は、LBサブネット2222(例えば、図21のLBサブネット2122)を含むことができる制御プレーンDMZティア2220(例えば、図21の制御プレーンDMZ層2120)と、アプリサブネット2226(例えば、図21のアプリサブネット2126)を含むことができる制御プレーンアプリ層2224(例えば、図21の制御プレーンアプリ層2124)と、データベース(DB)サブネット2230(例えば、図21のDBサブネット2130と同様)を含むことができる制御プレーンデータティア2228(例えば、図21の制御プレーンデータ層2128)とを含むことができる。制御プレーンDMZ層2220に含まれるLBサブネット2222は、制御プレーンアプリ層2224に含まれるアプリサブネット2226と、制御プレーンVCN2216に含まれ得るインターネットゲートウェイ2234(例えば、図21のインターネットゲートウェイ2134)とに通信可能に結合されてもよい。アプリサブネット2226は、制御プレーンデータ層2228に含まれるDBサブネット2230、サービスゲートウェイ2236(例えば、図21のサービスゲートウェイ)およびネットワークアドレス変換(NAT)ゲートウェイ2238(例えば、図21のNATゲートウェイ2138)に通信可能に結合されてもよい。制御プレーンVCN2216は、サービスゲートウェイ2236およびNATゲートウェイ2238を含むことができる。
【0187】
制御プレーンVCN2216は、アプリサブネット2226を含むことができるデータプレーンミラーアプリ層2240(例えば、図21のデータプレーンミラーアプリ層2140)を含むことができる。データプレーンミラーアプリ層2240に含まれるアプリサブネット2226は、(例えば、図21の計算インスタンス2144と同様の)計算インスタンス2244を実行することができる仮想ネットワークインターフェースコントローラ(VNIC)2242(例えば、VNIC2142)を含むことができる。計算インスタンス2244は、データプレーンミラーアプリ層2240に含まれるVNIC2242およびデータプレーンアプリ層2246に含まれるVNIC2242を介して、データプレーンミラーアプリ層2240のアプリサブネット2226と、データプレーンアプリ層2246(例えば、図21のデータプレーンアプリ層2146)に含まれ得るアプリサブネット2226との間の通信を促進することができる。
【0188】
制御プレーンVCN2216に含まれるインターネットゲートウェイ2234は、パブリックインターネット2254(例えば、図21のパブリックインターネット2154)に通信可能に結合され得るメタデータ管理サービス2252(例えば、図21のメタデータ管理サービス2152)に通信可能に結合されてもよい。パブリックインターネット2254は、制御プレーンVCN2216に含まれるNATゲートウェイ2238に通信可能に結合されてもよい。制御プレーンVCN2216に含まれるサービスゲートウェイ2236は、クラウドサービス2256(例えば、図21のクラウドサービス2156)に通信可能に結合されてもよい。
【0189】
いくつかの例において、データプレーンVCN2218は、顧客テナンシ2221に含まれてもよい。この場合、IaaSプロバイダは、顧客ごとに制御プレーンVCN2216を提供することができ、IaaSプロバイダは、顧客ごとに、サービステナンシ2219に含まれる固有の計算インスタンス2244を構成することができる。各計算インスタンス2244は、サービステナンシ2219に含まれる制御プレーンVCN2216と、顧客テナンシ2221に含まれるデータプレーンVCN2218との間の通信を許可することができる。計算インスタンス2244は、サービステナンシ2219に含まれる制御プレーンVCN2216においてプロビジョニングされるリソースを、顧客テナンシ2221に含まれるデータプレーンVCN2218に展開することまたは使用することを許可することができる。
【0190】
他の例において、IaaSプロバイダの顧客は、顧客テナンシ2221に存在するデータベースを有することができる。この例において、制御プレーンVCN2216は、アプリサブネット2226を含むことができるデータプレーンマイナーアプリ層2240を含むことができる。データプレーンミラーアプリ層2240は、データプレーンVCN2218に存在してもよいが、データプレーンミラーアプリ層2240は、データプレーンVCN2218に存在しなくてもよい。すなわち、データプレーンミラーアプリ層2240は、顧客テナンシ2221にアクセスすることができるが、データプレーンミラーアプリ層2240は、データプレーンVCN2218に存在しなくてもよく、IaaSプロバイダの顧客によって所有または運営されなくてもよい。データプレーンミラーアプリ層2240は、データプレーンVCN2218への呼び出しを行うように構成されてもよいが、制御プレーンVCN2216に含まれる任意のエンティティへの呼び出しを行うように構成されなくてもよい。顧客は、制御プレーンVCN2216にプロビジョニングされたデータプレーンVCN2218内のリソースを展開することまたは使用することを望むことができ、データプレーンミラーアプリケーション階層2240は、顧客のリソースの所望の展開または他の使用を促進することができる。
【0191】
いくつかの実施形態において、IaaSプロバイダの顧客は、フィルタをデータプレーンVCN2218に適用することができる。この実施形態において、顧客は、データプレーンVCN2218がアクセスできるものを決定することができ、顧客は、データプレーンVCN2218からのパブリックインターネット2254へのアクセスを制限することができる。IaaSプロバイダは、データプレーンVCN2218から任意の外部ネットワークまたはデータベースへのアクセスにフィルタを適用するまたは制御することができない場合がある。顧客が顧客テナンシ2221に含まれるデータプレーンVCN2218にフィルタおよび制御を適用することは、データプレーンVCN2218を他の顧客およびパブリックインターネット2254から隔離することを支援することができる。
【0192】
いくつかの実施形態において、クラウドサービス2256は、サービスゲートウェイ2236によって呼び出されて、パブリックインターネット2254上に、制御プレーンVCN2216上に、またはデータプレーンVCN2218上に存在していない可能性があるサービスにアクセスすることができる。クラウドサービス2256と制御プレーンVCN2216またはデータプレーンVCN2218との間の接続は、ライブまたは連続的でなくてもよい。クラウドサービス2256は、IaaSプロバイダによって所有または運営されている別のネットワーク上に存在してもよい。クラウドサービス2256は、サービスゲートウェイ2236から呼び出しを受信するように構成されてもよく、パブリックインターネット2254から呼び出しを受信しないように構成されてもよい。いくつかのクラウドサービス2256は、他のクラウドサービス2256から隔離されてもよく、制御プレーンVCN2216は、制御プレーンVCN2216と同じ地域に配置していない可能性があるクラウドサービス2256から隔離されてもよい。例えば、制御プレーンVCN2216は、「地域1」に配置されてもよく、クラウドサービス「展開21」は、「地域1」および「地域2」に配置されてもよい。展開21への呼び出しが地域1に配置された制御プレーンVCN2216に含まれるサービスゲートウェイ2236によって行われる場合、この呼び出しは、地域1内の展開21に送信されてもよい。この例において、制御プレーンVCN2216または地域1の展開21は、地域2の展開21と通信可能に結合されなくてもよい。
【0193】
図23は、少なくとも1つの実施形態に従って、IaaSアーキテクチャの別の例示的なパターンを示すブロック図2300である。サービスオペレータ2302(例えば、図21のサービスオペレータ2102)は、仮想クラウドネットワーク(VCN)2306(例えば、図21のVCN2106)およびセキュアホストサブネット2308(例えば、図21のセキュアホストサブネット2108)を含み得るセキュアホストテナンシ2304(例えば、図21のセキュアホストテナンシ2104)に通信可能に結合されてもよい。VCN2306は、SSH VCN2312に含まれるLPG2310を介してSSH VCN2312(例えば、図21のSSH VCN2112)に通信可能に結合され得るLPG2310(例えば、図21のLPG2110)を含むことができる。SSH VCN2312は、SSHサブネット2314(例えば、図21のSSHサブネット2114)を含むことができ、SSH VCN2312は、制御プレーンVCN2316に含まれるLPG2310を介して制御プレーンVCN2316(例えば、図21の制御プレーンVCN2116)に通信可能に結合されてもよく、データプレーンVCN2318に含まれるLPG2310を介してデータプレーンVCN2318(例えば、図21のデータプレーン2118)に通信可能に結合されてもよい。制御プレーンVCN2316およびデータプレーンVCN2318は、サービステナンシ2319(例えば、図21のサービステナント2119)に含まれてもよい。
【0194】
制御プレーンVCN2316は、ロードバランサ(LB)サブネット2322(例えば、図21のLBサブネット2122)を含むことができる制御プレーンDMZ層2320(例えば、図21の制御プレーンDMZ層2120)と、アプリサブネット2326(例えば、図21のアプリサブネット2126と同様)を含むことができる制御プレーンアプリ層2324(例えば、図21の制御プレーンアプリ層2124)と、DBサブネット2330を含むことができる制御プレーンデータ層2328(例えば、図21の制御プレーンデータ層2128)とを含むことができる。制御プレーンDMZ層2320に含まれるLBサブネット2322は、制御プレーンアプリ層2324に含まれるアプリサブネット2326と、制御プレーンVCN2316に含まれ得るインターネットゲートウェイ2334(例えば、図21のインターネットゲートウェイ2134)とに通信可能に結合されてもよい。アプリサブネット2326は、制御プレーンデータ層2328に含まれるDBサブネット2330と、サービスゲートウェイ2336(例えば、図21のサービスゲートウェイ)およびネットワークアドレス変換(NAT)ゲートウェイ2338(例えば、図21のNATゲートウェイ2138)とに通信可能に結合されてもよい。制御プレーンVCN2316は、サービスゲートウェイ2336およびNATゲートウェイ2338を含むことができる。
【0195】
データプレーンVCN2318は、データプレーンアプリ層2346(例えば、図21のデータプレーンアプリ層2146)と、データプレーンDMZ層2348(例えば、図21のデータプレーンDMZ層2148)と、データプレーンデータ層2350(例えば、図21のデータプレーンデータ階層2150)とを含むことができる。データプレーンDMZ層2348は、データプレーンVCN2318に含まれるデータプレーンアプリ層2346およびインターネットゲートウェイ2334の信頼できるアプリサブネット2360および信頼できないアプリサブネット2362に通信可能に結合され得るLBサブネット2322を含むことができる。信頼できるアプリサブネット2360は、データプレーンVCN2318に含まれるサービスゲートウェイ2336、データプレーンVCN2318に含まれるNATゲートウェイ2338、およびデータプレーンデータ層2350に含まれるDBサブネット2330に通信可能に結合されてもよい。信頼できないアプリサブネット2362は、データプレーンVCN2318に含まれるサービスゲートウェイ2336、およびデータプレーンデータ層2350に含まれるDBサブネット2330に通信可能に結合されてもよい。データプレーンデータ層2350は、データプレーンVCN2318に含まれるサービスゲートウェイ2336に通信可能に結合され得るDBサブネット2330を含むことができる。
【0196】
信頼できないアプリサブネット2362は、テナント仮想マシン(VM)2366(1)~(N)に通信可能に結合され得る1つ以上のプライマリVNIC2364(1)~(N)を含むことができる。各テナントVM2366(1)~(N)は、それぞれの顧客テナンシ2370(1)~(N)に含まれ得るそれぞれのコンテナ送信VCN2368(1)~(N)に含まれ得るそれぞれのアプリサブネット2367(1)~(N)に通信可能に結合されてもよい。それぞれのセカンダリVNIC2372(1)~(N)は、データプレーンVCN2318に含まれる信頼できないアプリサブネット2362と、コンテナ送信VCN2368(1)~(N)に含まれるアプリサブネットとの間の通信を促進することができる。各コンテナ送信VCN2368(1)~(N)は、パブリックインターネット2354(例えば、図21のパブリックインターネット2154)に通信可能に結合され得るNATゲートウェイ2338を含むことができる。
【0197】
制御プレーンVCN2316に含まれるインターネットゲートウェイ2334およびデータプレーンVCN2318に含まれるインターネットゲートウェイ2334は、パブリックインターネット2354に通信可能に結合され得るメタデータ管理サービス2352(例えば、図21のメタデータ管理システム2152)に通信可能に結合されてもよい。パブリックインターネット2354は、制御プレーンVCN2316に含まれるNATゲートウェイ2338およびデータプレーンVCN2318に含まれるNATゲートウェイ2338に通信可能に結合されてもよい。制御プレーンVCN2316に含まれるサービスゲートウェイ2336およびデータプレーンVCN2318に含まれるサービスゲートウェイ2336は、クラウドサービス2356に通信可能に結合されてもよい。
【0198】
いくつかの実施形態において、データプレーンVCN2318は、顧客テナンシ2370に統合されてもよい。この統合は、コードを実行するときにサポートを望む場合がある場合などのいくつかの場合において、IaaSプロバイダの顧客にとって有用または望ましい場合がある。顧客は、実行すると、破壊的であり得る、他の顧客リソースと通信し得る、または望ましくない影響を引き起こし得るコードを提供することがある。従って、IaaSプロバイダは、顧客がIaaSプロバイダに提供したコードを実行するか否かを判断することができる。
【0199】
いくつかの例において、IaaSプロバイダの顧客は、一時的なネットワークアクセスをIaaSプロバイダに許可することができ、データプレーンアプリ層2346に追加する機能を要求することができる。機能を実行するためのコードは、VM2366(1)~(N)で実行されてもよいが、データプレーンVCN2318上の他の場所で実行されるように構成されることができない。各VM2366(1)~(N)は、1つの顧客テナンシ2370に接続されてもよい。VM2366(1)~(N)に含まれるそれぞれのコンテナ2371(1)~(N)は、コードを実行するように構成されてもよい。この場合、二重の隔離(例えば、コンテナ2371(1)~(N)は、コードを実行し、コンテナ2371(1)~(N)は、少なくとも、信頼できないアプリサブネット2362に含まれるVM2366(1)~(N)に含まれ得る)が存在してもよく、これは、誤ったコードまたは望ましくないコードがIaaSプロバイダのネットワークに損傷を与えること、または異なる顧客のネットワークに損傷を与えることを防止することを支援することができる。コンテナ2371(1)~(N)は、顧客テナンシ2370に通信可能に結合されてもよく、顧客テナンシ2370からデータを送信または受信するように構成されてもよい。コンテナ2371(1)~(N)は、データプレーンVCN2318内の任意の他のエンティティからデータを送信または受信するように構成されなくてもよい。コードの実行が完了すると、IaaS提供者は、コンテナ2371(I)~(N)をキルするまたは廃棄することができる。
【0200】
いくつかの実施形態において、信頼できるアプリサブネット2360は、IaaSプロバイダによって所有または運営され得るコードを実行することができる。この実施形態において、信頼できるアプリサブネット2360は、DBサブネット2330に通信可能に結合され、DBサブネット2330においてCRUD操作を実行するように構成されてもよい。信頼できないアプリサブネット2362は、DBサブネット2330に通信可能に結合され得るが、この実施形態において、信頼できないアプリサブネットは、DBサブネット2330内で読み取り操作を実行するように構成されてもよい。各顧客のVM2366(1)~(N)に含まれ、顧客からのコードを実行することができるコンテナ2371(1)~(N)は、DBサブネット2330と通信可能に結合されなくてもよい。
【0201】
他の実施形態において、制御プレーンVCN2316およびデータプレーンVCN2318は、通信可能に直接に結合されなくてもよい。この実施形態において、制御プレーンVCN2316とデータプレーンVCN2318との間に直接的な通信は、存在しないことがある。しかしながら、少なくとも1つの方法による間接的な通信は、存在してもよい。制御プレーンVCN2316とデータプレーンVCN2318との間の通信を容易にすることができるLPG2310が、IaaSプロバイダによって確立されてもよい。別の例において、制御プレーンVCN2316またはデータプレーンVCN2318は、サービスゲートウェイ2336を介してクラウドサービス2356への呼び出しを行うことができる。例えば、制御プレーンVCN2316からクラウドサービス2356への呼び出しは、データプレーンVCN2318と通信することができるサービスの要求を含むことができる。
【0202】
図24は、少なくとも1つの実施形態に従って、IaaSアーキテクチャの別の例示的なパラメータを示すブロック図2400である。サービスオペレータ2402(例えば、図21のサービスオペレータ2102)は、仮想クラウドネットワーク(VCN)2406(例えば、図21のVCN2106)およびセキュアホストサブネット-2408(例えば、図21のセキュアホストサブネット2108)を含み得るセキュアホストテナンシ2404(例えば、図21のセキュアホストテナンシ2104)に通信可能に結合されてもよい。VCN2406は、SSH VCN2412に含まれるLPG2410を介してSSH VCN2412(例えば、図21のSSH VCN2112)に通信可能に結合され得るLPG2410(例えば、図21のLPG2110)を含むことができる。SSH VCN2412は、SSHサブネット-2414(例えば、図21のSSHサブネット2114)を含むことができ、SSH VCN2412は、制御プレーンVCN2416に含まれるLPG2410を介して制御プレーンVCN2416(例えば、図21の制御プレーンVCN2116)に通信可能に結合されてもよく、データプレーンVCN2418に含まれるLPG2410を介してデータプレーンVCN2418(例えば、図21のデータプレーン2118)に通信可能に結合されてもよい。制御プレーンVCN2416およびデータプレーンVCN2418は、サービステナンシ2419(例えば、図21のサービステナンシ2119)に含まれてもよい。
【0203】
制御プレーンVCN2416は、LBサブネット2422(例えば、図21のLBサブネット2122)を含み得る制御プレーンDMZ層2420(例えば、図21の制御プレーンDMZ層2120)、アプリサブネット2426(例えば、図21のアプリサブネット2126)を含み得る制御プレーンアプリ層2424(例えば、図21の制御プレーンアプリ層2124)、DBサブネット2430(例えば、図23のDBサブネット2330)を含み得る制御プレーンデータティア2428(例えば、図21の制御プレーンデータティア2128)を含むことができる。制御プレーンDMZ層2420に含まれるLBサブネット2422は、制御プレーンアプリ層2424に含まれるアプリサブネット2426と、制御プレーンVCN2416に含まれ得るインターネットゲートウェイ2434(例えば、図21のインターネットゲートウェイ2134)とに通信可能に結合されてもよい。アプリサブネット2426は、制御プレーンデータ層2428に含まれるDBサブネット2430と、サービスゲートウェイ2436(例えば、図21のサービスゲートウェイ)およびネットワークアドレス変換(NAT)ゲートウェイ2438(例えば、図21のNATゲートウェイ2138)とに通信可能に結合されてもよい。制御プレーンVCN2416は、サービスゲートウェイ2436およびNATゲートウェイ2438を含むことができる。
【0204】
データプレーンVCN2418は、データプレーンアプリ層2446(例えば、図21のデータプレーンアプリ層2146)、データプレーンDMZ層2448(例えば、図21のデータプレーンDMZ層2148)、およびデータプレーンデータ層2450(例えば、図21のデータプレーンデータ層2150)を含むことができる。データプレーンDMZ層2448は、データプレーンアプリ層2446の信頼できるアプリサブネット2460(例えば、図23の信頼できるアプリサブネット2360)および信頼できないアプリサブネット2462(例えば、図23の信頼できないアプリサブネット2362)およびデータプレーンVCN2418に含まれるインターネットゲートウェイ2434に通信可能に結合され得るLBサブネット2422を含むことができる。信頼できるアプリサブネット2460は、データプレーンVCN2418に含まれるサービスゲートウェイ2436、データプレーンVCN2418に含まれるNATゲートウェイ2438、およびデータプレーンデータ層2450に含まれるDBサブネット2430に通信可能に結合されてもよい。信頼できないアプリサブネット2462は、データプレーンVCN2418に含まれるサービスゲートウェイ2436、およびデータプレーンデータ層2450に含まれるDBサブネット2430に通信可能に結合されてもよい。データプレーンデータ層2450は、データプレーンVCN2418に含まれるサービスゲートウェイ2436に通信可能に結合され得るDBサブケット2430を含むことができる。
【0205】
信頼できないアプリサブネット2462は、信頼できないアプリサブネット2462に常駐するテナント仮想マシン(VM)2466(1)~(N)に通信可能に結合され得るプライマリYNIC2464(1)~(N)を含むことができる。各テナントVM2466(1)~(N)は、それぞれのコンテナ2467(1)~(N)においてコードを実行することができ、コンテナ送信VCN2468に含まれ得るデータプレーンアプリ層2446に含まれ得るアプリサブネット2426に通信可能に結合されてもよい。各セカンダリVNIC2472(1)~(N)は、データプレーンVCN2418に含まれる信頼できないアプリサブネット2462とコンテナ送信VCN2468に含まれるアプリサブネットとの間の通信を促進することができる。コンテナ送信VCNは、パブリックインターネット2454(例えば、図21のパブリックインターネット2154)に通信可能に結合することができるNATゲートウェイ2438を含むことができる。
【0206】
制御プレーンVCN2416およびデータプレーンVCN2418に含まれるインターネットゲートウェイ2434は、パブリックインターネット2454に通信可能に結合され得るメタデータ管理サービス2452(例えば、図21のメタデータ管理システム2152)に通信可能に結合されてもよい。パブリックインターネット2454は、制御プレーンVCN2416およびデータプレーンVCN2418に含まれるNATゲートウェイ2438に通信可能に結合されてもよい。制御プレーンVCN2416およびデータプレーンVCN2418に含まれるサービスゲートウェイ2436は、クラウドサービス2456に通信可能に結合されてもよい。
【0207】
いくつかの例において、図24のブロック図2400のアーキテクチャによって示されたパターンは、図23のブロック図2300のアーキテクチャによって示されたパターンの例外と考えられ、IaaSプロバイダが顧客と直接に通信できない(例えば、非接続地域)場合、IaaSプロバイダの顧客にとって望ましいことがある。顧客は、各顧客のVM2466(1)~(N)に含まれるそれぞれのコンテナ2467(1)~(N)にリアルタイムでアクセスすることができる。コンテナ2467(1)~(N)は、コンテナ送信VCN2468に含まれ得るデータプレーンアプリ層2446のアプリサブネット2426に含まれるそれぞれのセカンダリVNIC2472(1)~(N)を呼び出すように構成されてもよい。セカンダリVNIC2472(1)~(N)は、パブリックインターネット2454に呼び出しを送信することができるNATゲートウェイ2438に呼び出しを送信することができる。この例において、顧客がリアルタイムでアクセスできるコンテナ2467(1)~(N)は、制御プレーンVCN2416から隔離されてもよく、データプレーンVCN2418に含まれる他のエンティティから隔離されてもよい。また、コンテナ2467(1)~(N)は、他の顧客のリソースから隔離されてもよい。
【0208】
他の例において、顧客は、コンテナ2467(1)~(N)を使用して、クラウドサービス2456を呼び出すことができる。この例では、顧客は、コンテナ2467(1)~(N)において、クラウドサービス2456からサービスを要求するコードを実行することができる。コンテナ2467(1)~(N)は、要求をパブリックインターネット2454に送信することができるNATゲートウェイに要求を送信することができるセカンダリVNIC2472(1)~(N)にこの要求を送信することができる。パブリックインターネット2454は、インターネットゲートウェイ2434を介して、制御プレーンVCN2416に含まれるLBサブネット2422にこの要求を送信することができる。要求が有効であるとの判断に応答して、LBサブネットは、この要求をアプリサブネット2426に送信することができ、アプリサブネット2426は、サービスゲートウェイ2436を介して、この要求をクラウドサービス2456に要求を送信することができる。
【0209】
なお、図示されたIaaSアーキテクチャ2100、2200、2300および2400は、図示されたもの以外の要素を含んでもよい。また、図示された実施形態は、本開示の実施形態を組み込むことができるクラウドインフラストラクチャシステムの一部の例に過ぎない。他のいくつかの実施形態において、IaaSシステムは、図示されたものよりも多いまたは少ない要素を有してよく、2つ以上の要素を組み合わせてよく、または要素の異なる構成または配置を有してよい。
【0210】
特定の実施形態において、本明細書に記載されたIaaSシステムは、セルフサービス、サブスクリプションベース、柔軟な拡張可能性、信頼性、高可用性、および安全な方法で顧客に提供されるアプリケーション、ミドルウェア、およびデータベースサービスのスイートを含むことができる。このようなIaaSシステムの一例は、本出願人によって提供されたオラクル(登録商標)クラウドインフラストラクチャ(OCI)である。
【0211】
図25は、様々な実施形態が実装され得る例示的なコンピュータシステム2500を示す。システム2500は、上述したコンピュータシステムのいずれかを実装するために使用されてもよい。図示のように、コンピュータシステム2500は、バスサブシステム2502を介して多数の周辺サブシステムと通信する処理ユニット2504を含む。これらの周辺サブシステムは、処理加速ユニット2506、I/Oサブシステム2508、記憶サブシステム2518、および通信サブシステム2524を含んでもよい。記憶サブシステム2518は、有形のコンピュータ可読記憶媒体2522およびシステムメモリ2510を含む。
【0212】
バスサブシステム2502は、コンピュータシステム2500の様々な構成要素およびサブシステムを意図したように相互に通信させるための機構を提供する。バスサブシステム2502は、単一のバスとして概略的に示されているが、バスサブシステムの代替的な実施形態は、複数のバスを利用してもよい。バスサブシステム2502は、メモリバスまたはメモリコントローラ、周辺バス、および様々なバスアーキテクチャのいずれかを使用するローカルバスを含む、いくつかの種類のバス構造のいずれかであってもよい。例えば、このようなアーキテクチャは、業界標準アーキテクチャ(ISA)バス、マイクロチャネルアーキテクチャ(MCA)、バス拡張ISA(EISA)バス、ビデオ電子標準協会(VESA)ローカルバス、およびIEEE P1386.1標準に準拠して製造されたメザニンバスとして実装できる周辺機器相互接続(PCI)バスなどを含むことができる。
【0213】
1つ以上の集積回路(例えば、従来のマイクロプロセッサまたはマイクロコントローラ)として実装され得る処理ユニット2504は、コンピュータシステム2500の動作を制御する。処理ユニット2504は、1つ以上のプロセッサを含んでもよい。これらのプロセッサは、シングルコアまたはマルチコアプロセッサを含んでもよい。いくつかの実施形態において、処理ユニット2504は、各処理ユニットに含まれるシングルコアまたはマルチコアプロセッサを有する1つ以上の独立した処理ユニット2532および/または2534として実装されてもよい。他の実施形態において、処理ユニット2504は、2つのデュアルコアプロセッサを単一のチップに統合することによって形成されたクワッドコア(quad-core)処理ユニットとして実装されてもよい。
【0214】
様々な実施形態において、処理ユニット2504は、プログラムコードに応答して様々なプログラムを実行することができ、同時に実行する複数のプログラムまたはプロセスを維持することができる。任意の時点で、実行されるプログラムコードの一部または全部は、プロセッサ2504および/または記憶サブシステム2518に常駐することができる。プロセッサ2504は、適切なプログラミングを通して、上述した様々な機能性を提供することができる。コンピュータシステム2500は、デジタル信号プロセッサ(DSP)、専用プロセッサおよび/または同種のものを含むことができる処理加速ユニット2506をさらに含んでもよい。
【0215】
I/Oサブシステム2508は、ユーザインターフェース入力装置と、ユーザインターフェース出力装置とを含むことができる。ユーザインターフェース入力装置は、キーボード、マウスまたはトラックボールなどのポインティング装置、ディスプレイに組み込まれたタッチパッドまたはタッチスクリーン、スクロールホイール、クリックホイール、ダイヤル、ボタン、スイッチ、キーパッド、音声命令認識システムを備える音声入力装置、マイクロフォン、および他の種類の入力装置を含んでもよい。また、ユーザインターフェース入力装置は、例えば、Microsoft Kinect(登録商標)モーションセンサのようなモーション検知および/またはジェスチャ認識装置を含んでもよい。Microsoft Kinect(登録商標)モーションセンサは、ジェスチャおよび音声命令を利用する自然ユーザインターフェース(NUI)を介して、Microsoft Xbox(登録商標)360ゲームコントローラなどの入力装置を制御することができ、それと対話することができる。また、ユーザインターフェース入力装置は、Google Glass(登録商標)瞬き検出器のような眼球ジェスチャ認識装置を含むことができる。Google Glass(登録商標)瞬き検出器は、ユーザの眼球活動(例えば、写真を撮るときおよび/またはメニューを選択するときの「瞬き」)を検出し、眼球活動を入力装置(例えば、Google Glass(登録商標))に入力する入力に変換する。さらに、ユーザインターフェース入力装置は、音声命令を介してユーザと音声認識システム(例えば、Siri(登録商標)ナビゲータ)との対話を可能にする音声認識検出装置を含んでもよい。
【0216】
また、ユーザインターフェース入力装置は、三次元(3D)マウス、ジョイスティックまたはポインティングスティック、ゲームパッド、グラフィックタブレット、スピーカなどのオーディオ/ビジュアル装置、デジタルカメラ、デジタルビデオカメラ、ポータブルメディアプレーヤ、ウェブカメラ、イメージスキャナ、指紋スキャナ、バーコードリーダ、3Dスキャナ、3Dプリンタ、レーザ距離計、および視線追跡装置を含むがこれらに限定されない。さらに、ユーザインターフェース入力装置は、例えば、コンピュータ断層撮影装置、磁気共鳴像装置、超音波放射断層撮影装置、または医療用超音波装置などのような医用画像入力装置を含んでもよい。また、ユーザインターフェース入力装置は、例えば、MIDIキーボードおよび電子楽器などの音声入力装置を含んでもよい。
【0217】
ユーザインターフェース出力装置は、ディスプレイサブシステム、インジケータライト、またはオーディオ出力装置などの非視覚ディスプレイを含んでもよい。ディスプレイサブシステムは、例えば、陰極線管(CRT)、液晶ディスプレイ(LCD)またはプラズマディスプレイを使用するフラットパネル装置、投射装置またはタッチスクリーンであってもよい。一般に、「出力装置」という用語を使用する場合、コンピュータシステム2500から情報をユーザまたは他のコンピュータに出力するためのすべての可能な種類の装置および機構を含むことを意図している。例えば、ユーザインターフェース出力装置は、文字、画像およびオーディオ/ビデオ情報を視覚的に伝達するさまざまな表示装置、例えば、モニタ、プリンタ、スピーカ、ヘッドフォン、カーナビゲーションシステム、プロッタ、音声出力装置、およびモデムを含むがこれらに限定されない。
【0218】
コンピュータシステム2500は、記憶サブシステム2518を含むことができる。記憶サブシステム2518は、ソフトウェア要素を備え、図示では、これらのソフトウェア要素は、システムメモリ2510内に配置されている。システムメモリ2510は、処理ユニット2504にロード可能かつ実行可能なプログラム命令、およびこれらのプログラムの実行により生成されたデータを記憶することができる。
【0219】
コンピュータシステム2500の構成およびタイプに応じて、システムメモリ2510は、揮発性メモリ(例えば、ランダムアクセスメモリ(random access memory:RAM))であってもよく、および/または、不揮発性メモリ(例えば、読取り専用メモリ(read-only memory:ROM)、フラッシュメモリ)であってもよい。一般に、RAMは、処理ユニット2504がすぐにアクセス可能なデータおよび/またはプログラムモジュール、および/または、処理ユニット2504によって現在操作および実行されているデータおよび/またはプログラムモジュールを収容する。いくつかの実現例では、システムメモリ2510は、スタティックランダムアクセスメモリ(static random access memory:SRAM)またはダイナミックランダムアクセスメモリ(dynamic random access memory:DRAM)などの複数の異なるタイプのメモリを含み得る。いくつかの実現例では、始動中などにコンピュータシステム2500内の要素間で情報を転送することを助ける基本ルーチンを含む基本入力/出力システム(basic input/output system:BIOS)が、一般にROMに格納され得る。一例としておよび非限定的に、システムメモリ2510は、クライアントアプリケーション、ウェブブラウザ、中間層アプリケーション、リレーショナルデータベース管理システム(relational database management system:RDBMS)などを含み得るアプリケーションプログラム2512、プログラムデータ2514およびオペレーティングシステム2516も示す。一例として、オペレーティングシステム2516は、マイクロソフトウィンドウズ(登録商標)、Apple Macintosh(登録商標)および/もしくはLinux(登録商標)オペレーティングシステムのさまざまなバージョン、さまざまな市販のUNIX(登録商標)もしくはUNIXライクオペレーティングシステム(さまざまなGNU/Linuxオペレーティングシステム、Google Chrome(登録商標)OSなどを含むが、これらに限定されるものではない)、および/または、iOS、Windows(登録商標)フォン、アンドロイド(登録商標)OS、ブラックベリー(登録商標)25 OSおよびパーム(登録商標)OSオペレーティングシステムなどのモバイルオペレーティングシステムを含み得る。
【0220】
また、記憶サブシステム2518は、いくつかの実施例の機能を提供する基本的なプログラミングおよびデータ構造を格納するための有形のコンピュータ可読記憶媒体を提供することができる。プロセッサによって実行されたときに上記の機能を提供するソフトウェア(プログラム、コードモジュール、命令)は、記憶サブシステム2518に記憶されてもよい。これらのソフトウェアモジュールまたは命令は、処理ユニット2504によって実行されてもよい。また、記憶サブシステム2518は、本開示に従って使用されるデータを記憶するためのリポジトリを提供することができる。
【0221】
また、記憶サブシステム2500は、コンピュータ可読記憶媒体2522にさらに接続可能なコンピュータ可読記憶媒体リーダ2520を含むことができる。コンピュータ可読記憶媒体2522は、システムメモリ2510とともに、または必要に応じてシステムメモリ2510と組み合わせて、コンピュータ可読情報を一時的におよび/または永久に収容、格納、送信および検索するための記憶媒体に加えて、リモート記憶装置、ローカル記憶装置、固定的な記憶装置および/または取外し可能な記憶装置を包括的に表すことができる。
【0222】
また、コードまたはコードの一部を含むコンピュータ可読記憶媒体2522は、当該技術分野において公知のまたは使用される任意の適切な媒体を含んでもよい。当該媒体は、情報の格納および/または送信のための任意の方法または技術において実現される揮発性および不揮発性の、取外し可能および取外し不可能な媒体などであるが、これらに限定されるものではない記憶媒体および通信媒体を含む。これは、RAM、ROM、電子的消去・プログラム可能ROM(electronically erasable programmable ROM:EEPROM)、フラッシュメモリもしくは他のメモリ技術、CD-ROM、デジタル多用途ディスク(digital versatile disk:DVD)、または他の光学式記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置もしくは他の磁気記憶装置、または他の有形のコンピュータ可読媒体などの有形のコンピュータ可読記憶媒体を含むことができる。また、これは、データ信号、データ送信などの無形のコンピュータ可読媒体、または、所望の情報を送信するために使用可能であり且つコンピュータシステム2500によってアクセス可能なその他の媒体を含むことができる。
【0223】
一例として、コンピュータ可読記憶媒体2522は、取外し不可能な不揮発性磁気媒体から読取るまたは当該媒体に書込むハードディスクドライブ、取外し可能な不揮発性磁気ディスクから読取るまたは当該ディスクに書込む磁気ディスクドライブ、ならびに、CD ROM、DVDおよびブルーレイ(登録商標)ディスクまたは他の光学式媒体などの取外し可能な不揮発性光学ディスクから読取るまたは当該ディスクに書込む光学式ディスクドライブを含んでもよい。コンピュータ可読記憶媒体2522は、ジップ(登録商標)ドライブ、フラッシュメモリカード、ユニバーサルシリアルバス(universal serial bus:USB)フラッシュドライブ、セキュアデジタル(secure digital:SD)カード、DVDディスク、デジタルビデオテープなどを含み得るが、これらに限定されるものではない。また、コンピュータ可読記憶媒体2522は、フラッシュメモリベースのSSD、企業向けフラッシュドライブ、ソリッドステートROMなどの不揮発性メモリに基づくソリッドステートドライブ(solid-state drive:SSD)、ソリッドステートRAM、ダイナミックRAM、スタティックRAMなどの揮発性メモリに基づくSSD、DRAMベースのSSD、磁気抵抗RAM(magnetoresistive RAM:MRAM)SSD、およびDRAMとフラッシュメモリベースのSSDとの組み合わせを使用するハイブリッドSSDを含んでもよい。ディスクドライブおよびそれらの関連のコンピュータ可読媒体は、コンピュータ可読命令、データ構造、プログラムモジュールおよび他のデータの不揮発性記憶装置をコンピュータシステム2500に提供することができる。
【0224】
通信サブシステム2524は、他のコンピュータシステムおよびネットワークとのインターフェースを提供する。通信サブシステム2524は、他のシステムからデータを受信したり、コンピュータシステム2500から他のシステムにデータを送信するためのインターフェースの役割を果たす。例えば、通信サブシステム2524は、コンピュータシステム2500がインターネットを介して1つ以上の装置に接続することを可能にし得る。いくつかの実施例では、通信サブシステム2524は、(例えば3G、4GまたはEDGE(enhanced data rates for global evolution)などの携帯電話技術、高度データネットワーク技術を用いて)無線音声および/またはデータネットワークにアクセスするための無線周波数(radio frequency:RF)トランシーバ構成要素、WiFi(IEEE802.11ファミリ標準または他のモバイル通信技術またはそれらの任意の組み合わせ)、全地球測位システム(global positioning system:GPS)レシーバ構成要素、および/または、他の構成要素を含んでもよい。いくつかの実施例では、通信サブシステム2524は、無線インターフェースに加えて、または無線インターフェースの代わりに、有線ネットワーク接続(例えばイーサネット)を提供することができる。
【0225】
また、いくつかの実施例において、通信サブシステム2524は、コンピュータシステム2500を使用し得る1人以上のユーザを代表して、構造化されたおよび/または構造化されていないデータフィード2526、イベントストリーム2528、イベント更新2530などの形態で入力通信を受信することができる。
【0226】
一例として、通信サブシステム2524は、ツイッター(登録商標)フィード、フェースブック(登録商標)更新、リッチ・サイト・サマリ(Rich Site Summary:RSS)フィードなどのウェブフィードなどのデータフィード2526をリアルタイムでソーシャルネットワークおよび/または他の通信サービスのユーザから受信し、および/または、1つ以上の第三者情報源からリアルタイム更新を受信するように構成されてもよい。
【0227】
また、通信サブシステム2524は、連続的なデータストリームの形態でデータを受信するように構成され得て、当該データは、連続的である場合もあれば本質的に明確な端部を持たない状態で境界がない場合もあるリアルタイムイベントのイベントストリーム2528および/またはイベント更新2530を含んでもよい。連続的なデータを生成するアプリケーションの例としては、例えばセンサデータアプリケーション、金融ティッカ、ネットワーク性能測定ツール(例えばネットワークモニタリングおよびトラフィック管理アプリケーション)、クリックストリーム分析ツール、自動車交通モニタリングなどを含んでもよい。
【0228】
また、通信サブシステム2524は、構造化されたおよび/または構造化されていないデータフィード2526、イベントストリーム2528、イベント更新2530などを、コンピュータシステム2500に結合された1つ以上のストリーミングデータソースコンピュータと通信し得る1つ以上のデータベースに出力するように構成されてもよい。
【0229】
コンピュータシステム2500は、手持ち式携帯機器(例えば、iPhone(登録商標)携帯電話、Ipad(登録商標)計算タブレット、PDA)、ウェアラブル装置(例えば、Google Glass(登録商標)ヘッドマウントディスプレイ)、PC、ワークステーション、メインフレーム、キオスク、サーバラックまたはその他のデータ処理システムを含む様々な種類のうちの1つであってもよい。
【0230】
前述の説明において、説明の目的で、本開示の実施例を完全に理解できるようにするために、具体的な詳細を記載する。しかしながら、これらの具体的な詳細がなくても、様々な実施例を実施できることは明らかであろう。以下の説明は、例のみを提供し、本開示の範囲、適用性、または構成を制限することを意図していない。むしろ、実施例の以下の説明は、実施例を実施するための可能な説明を当業者に提供するものである。添付の特許請求の範囲に規定される本開示の精神及び範囲から逸脱することなく、要素の機能および配置に様々な変更を加えることができることを理解されたい。図面および説明は、制限的であることを意図していない。回路、システム、ネットワーク、プロセス、および他の構成要素は、不必要な詳細で実施例を不明瞭にしないために、ブロック図の形態で構成要素として示されてもよい。他の実施例では、周知の回路、プロセス、アルゴリズム、構造、および技術は、実施例を不明瞭にしないために、不必要な詳細なしに示されてもよい。本開示の教示は、モバイルアプリケーション、非モバイルアプリケーション、デスクトップアプリケーション、ウェブアプリケーション、エンタープライズアプリケーションなどの様々な種類のアプリケーションに適用することもできる。また、本開示の教示は、特定の動作環境(例えば、オペレーティングシステム、デバイス、プラットフォームなど)に限定されるものではなく、複数の異なる動作環境に適用することができる。
【0231】
また、留意すべきことは、各々の実施例は、フローチャート、フロー図、データフロー図、構造図、またはブロック図として示された処理として説明されていることである。フローチャートは、操作を順次処理として説明しているが、多くの操作は、並行でまたは同時に実行することができる。さらに、操作の順序を再配置してもよい。処理は、その操作が完了した時点で終了するが、図に示されていない追加のステップを含んでもよい。処理は、メソッド、関数、プロシージャ、サブルーチン、サブプログラムなどに対応することができる。処理が関数に対応する場合、その終了は、呼び出し関数またはメイン関数の戻りに対応することができる。
【0232】
「例」および「例示的」という用語は、本明細書において、「例、事例、または例示として役立つ」という意味で使用される。本明細書において「例示的」または「例」として説明された任意の実施形態または設計は、必ずしも他の実施形態または設計よりも好ましいまたは有利であると解釈されるべきではない。
【0233】
「機械可読記憶媒体」または「コンピュータ可読記憶媒体」という用語は、携帯型または非携帯型の記憶装置、光記憶装置、ならびに命令および/またはデータを記憶、格納、または搬送することができる様々な他の媒体を含むが、これらに限定されない。機械可読記憶媒体またはコンピュータ可読記憶媒体は、データを記憶することができ、無線または有線接続を介して伝搬する搬送波および/または一時的な電子信号を含まない非一時的な媒体を含んでもよい。非一時的な媒体の例は、磁気ディスクまたはテープ、コンパクトディスク(CD)またはデジタル多用途ディスク(DVD)などの光記憶媒体、フラッシュメモリ、メモリまたはメモリ装置を含み得るが、これらに限定されない。コンピュータプログラム製品は、プロシージャ、関数、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウェアパッケージ、クラス、命令、データ構造、またはプログラム文の任意の組み合わせを表し得るコードおよび/または機械実行可能命令を含んでもよい。コードセグメントは、情報、データ、引数、パラメータ、またはメモリ内容を転送および/または受取ることによって、別のコードセグメントまたはハードウェア回路に結合されてもよい。情報、引数、パラメータおよびデータなどは、メモリ共有、メッセージ転送、トークン転送、ネットワーク送信などの任意の適切な手段を介して、伝達され、転送され、または送信されてもよい。
【0234】
さらに、実施形態は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語、またはそれらの任意の組み合わせによって実施されてもよい。ソフトウェア、ファームウェア、ミドルウェアまたはマイクロコードに実施される場合、必要な作業を実行するプログラムコードまたはコードセグメント(たとえばコンピュータプログラム製品)は、機械可読媒体に記憶されてもよい。プロセッサは、必要な作業を実行することができる。一部の図面に示されたシステムは、様々な構成で提供されてもよい。いくつかの例において、システムは、システムの1つ以上の要素がクラウドコンピューティングシステム内の1つ以上のネットワークにわたって分散される分散システムとして構成されてもよい。要素が特定の動作を実行するように「構成されている」として説明される場合、このような構成は、例えば、動作を実行するように電子回路または他のハードウェアを設計することによって、動作を実行するように電子回路(例えば、マイクロプロセッサまたは他の適切な電子回路)をプログラミングまたは制御することによって、またはそれらの任意の組み合わせによって達成されてもよい。
【0235】
本開示の特定の実施形態を説明してきたが、さまざまな変更、改変、代替構成、および同等物も本開示の範囲内に包含される。本開示の実施形態は、特定のデータ処理環境内で動作するのに限定されず、複数のデータ処理環境内で自由に動作することができる。さらに、一連の特定の処置およびステップを用いて本開示の実施形態を説明してきたが、本開示の範囲が説明された一連の処置およびステップに限定されないことは、当業者にとって明らかであろう。上述した実施形態のさまざまな特徴および態様は、個別にまたは共同で使用することができる。
【0236】
さらに、ハードウェアおよびソフトウェアの特定の組み合わせを用いて本開示の実施形態を説明してきたが、ハードウェアおよびソフトウェアの他の組み合わせも本開示の範囲内に含まれることを認識すべきである。ハードウェアのみ、ソフトウェアのみ、またはそれらの組み合わせを用いて、本開示の実施形態を実現することができる。本開示に記載されたさまざまなプロセスは、同一のプロセッサまたは任意の組み合わせの異なるプロセッサ上で実行することができる。したがって、特定の処理を実行するように構成要素またはモジュールを構成すると説明する場合、その構成は、例えば、その処理を実行するように電子回路を設計することによって、その処理を実行するようにプログラム可能な電子回路(マイクロプロセッサなど)をプログラムすることによって、またはそれらの組み合わせによって実現することができる。プロセスは、プロセス間の通信を行う従来技術を含むがこれに限定されないさまざまな技術を用いて通信を行うことができる。異なる対のプロセスは、異なる技術を使用することができ、または同一対のプロセスは、異なる時間で異なる技術を使用することができる。
【0237】
したがって、明細書および図面は、限定的な意味ではなく例示的な意味であるとみなすべきである。しかしながら、特許請求の範囲により定められた幅広い主旨および範囲から逸脱することなく、追加、削減、削除および他の修飾および変更を行ってもよいことは、明らかであろう。したがって、本開示の特定の実施形態を説明したが、これらの実施形態は、限定することを意図していない。さまざまな変更およびその等価物は、添付の特許請求の範囲に含まれる。
【0238】
本開示を説明する文脈に(特に特許請求の範囲の文脈に)使用された不定冠詞「a」/「an」、定冠詞「the」および同様の参照は、本明細書に特に明記しない限りまたは内容上明らかに他の意味を示す場合を除き、単数および複数の両方を含むように解釈すべきである。用語「含む(comprising)」、「有する(having)」、「含む(including)」、および「含有する(containing)」は、特に明記しない限り、非限定的な用語(すなわち、「含むがこれに限定されない」という意味)として解釈されるべきである。「接続されている」という用語は、たとえ何かが介在していても、その一部または全部が内部に含まれている、取り付けられている、または一緒に結合されていると解釈されるべきである。本明細書において、値の範囲の列挙は、単にその範囲内に含まれる各個別の値を各々言及する速記方法として意図され、本明細書に特に明記しない限り、各個別の値は、本明細書に個別に記載されるように、本明細書に組み込まれる。本明細書に特に明記しない限りまたは内容上明らかに他の意味を示す場合を除き、本明細書に記載の全ての方法は、任意の適切な順序で行うことができる。本明細書において、任意の例および全ての例または例示的な言語(例えば、「~のような」)の使用は、本開示の実施形態をより明瞭にするよう意図されており、特に明記しない限り、本開示の範囲を限定するものではない。明細書内の用語は、本開示の実施に不可欠な任意の非請求要素を示すものと解釈すべきではない。
【0239】
句「X、Y、またはZの少なくとも1つ」というフレーズのような選言的言語は、特に断らない限り、項目、用語などがX、YもしくはZ、またはそれらの任意の組み合わせ(例えば、X、Y、および/またはZ)のいずれかであってもよいことを示すために一般的に用いられるものとして文脈内で理解されることを意図している。したがって、このような選言的言語は、特定の実施形態が、Xの少なくとも1つ、Yの少なくとも1つ、またはZの少なくとも1つが存在することを必要とすることを一般に意図しておらず、また、それを暗示していない。
【0240】
本開示の実施形態の例は、以下の項に照らして説明することができる:
項1.システムであって、基板ネットワークに接続され、ネットワークインターフェースサービスをホストするサーバのセットと、仮想ネットワークインターフェースカードをホストし、上記基板ネットワークに接続されるネットワーク仮想化デバイスと、上記ネットワーク仮想化デバイスに接続され、顧客の仮想ネットワークからの計算インスタンスをホストするホストマシンとを備え、上記ネットワークインターフェースサービスは、上記仮想ネットワークの構成に関する構成情報を記憶するよう構成され、上記構成情報に関するバージョン情報を記憶するよう構成され、上記仮想ネットワークインターフェースカードは上記構成情報の少なくとも一部に関連付けられる、と判断するよう構成され、上記バージョン情報に基づいて、上記構成情報の少なくとも上記一部は古い、と判断するよう構成され、上記少なくとも一部は古いという指示を上記ネットワーク仮想化デバイスに送信するよう構成される、システム。
【0241】
項2.上記構成情報の上記一部は、上記仮想ネットワーク上で上記仮想ネットワークインターフェースカードによってパケットを送信するためのフロー情報を含み、上記仮想ネットワークインターフェースカードは、上記フロー情報を記憶するよう構成される、項1に記載のシステム。
【0242】
項3.上記構成情報は、1つ以上のパケットフローのためのセキュリティポリシー、オーバーレイ対基板インターネットプロトコル(IP)アドレスマッピング、およびルートルールを含み、上記フロー情報は、あるセキュリティポリシー、あるオーバーレイ対基板IPアドレスマッピング、またはあるルートルールのうちの少なくとも1つを含む、項2に記載のシステム。
【0243】
項4.上記構成情報は、複数の部分を含み、上記ネットワークインターフェースサービスはさらに、上記複数の部分の各部分について、上記各部分のバージョンのインジケータを記憶するよう構成され、上記バージョンの上記記憶されたインジケータに基づいて、上記仮想ネットワークインターフェースカードに関連付けられる上記一部の上記バージョンは古い、と判断するよう構成される、項1~3のいずれか1項に記載のシステム。
【0244】
項5.上記ネットワークインターフェースサービスはさらに、上記一部の更新されたバージョンおよび上記更新されたバージョンのインジケータを上記ネットワーク仮想化デバイスに送信するよう構成され、上記指示は、上記更新されたバージョンと、上記更新されたバージョンのインジケータとを含む、項4に記載のシステム。
【0245】
項6.上記ネットワークインターフェースサービスはさらに、上記ネットワーク仮想化デバイスから、上記仮想ネットワークインターフェースカードに関連付けられる上記一部の更新されたバージョンに対する要求を受信するよう構成され、上記指示は、上記更新されたバージョンが利用可能であることを上記ネットワーク仮想化デバイスに通知し、上記ネットワークインターフェースサービスはさらに、上記要求に応答して、上記更新されたバージョンを上記ネットワーク仮想化デバイスに送信するよう構成される、項4に記載のシステム。
【0246】
項7.上記ネットワークインターフェースサービスはさらに、上記バージョン情報を制御プレーンに送信するよう構成され、上記制御プレーンから、上記仮想ネットワークインターフェースカードに関連付けられる上記一部の更新されたバージョンと、上記更新されたバージョンのインジケータとを受信するよう構成される、項4に記載のシステム。
【0247】
項8.上記バージョン情報を送信することは、上記構成情報を形成する上記複数の部分の各部分のバージョンのインジケータがポピュレートされたベクトルクロックを送信することを含む、項7に記載のシステム。
【0248】
項9.方法であって、ネットワーク仮想化デバイスが、顧客の仮想ネットワークの構成に関する少なくとも一部の構成情報を記憶することを含み、上記ネットワーク仮想化デバイスは、上記顧客の計算インスタンスのために上記仮想ネットワークに対して仮想ネットワークインターフェースカードをホストし、基板ネットワークに接続され、上記方法はさらに、上記ネットワーク仮想化デバイスが、上記一部の構成情報に関するバージョン情報を記憶することと、上記ネットワーク仮想化デバイスが、上記バージョン情報に関する制御プレーンとの通信に基づいて、上記一部は古い、と判断することと、上記ネットワーク仮想化デバイスが、上記制御プレーンまたはネットワークインターフェースサービスから、上記一部の更新されたバージョンを受信することとを含み、上記ネットワークインターフェースサービスは、上記基板ネットワークに接続されたサーバのセット上でホストされ、上記方法はさらに、上記ネットワーク仮想化デバイスが、上記一部を上記更新されたバージョンに置き換えることを含む、方法。
【0249】
項10.上記ネットワーク仮想化デバイスが、上記制御プレーンに上記バージョン情報を送信することと、上記ネットワーク仮想化デバイスが、上記制御プレーンから、上記一部は古いという指示を受信することとをさらに含む、項9に記載の方法。
【0250】
項11.上記バージョン情報を送信することは、上記構成情報の上記一部のバージョンインジケータと他の部分のバージョンインジケータとを含むベクトルクロックを送信することを含み、上記一部および上記他の部分は、上記仮想ネットワーク上で上記仮想ネットワークインターフェースカードによってパケットを送信するためのフロー情報を形成し、上記指示を受信することは、上記一部の更新されたバージョンインジケータを受信することを含む、項10に記載の方法。
【0251】
項12.上記ネットワーク仮想化デバイスが、上記更新されたバージョンを受信する要求を上記ネットワークインターフェースサービスに送信することと、上記ネットワーク仮想化デバイスが、上記ネットワークインターフェースサービスから、上記要求に基づいて上記更新されたバージョンを受信することと、上記ネットワーク仮想化デバイスが、上記更新されたバージョンに基づいてパケットを送信することとをさらに含む、項9~11のいずれか1項に記載の方法。
【0252】
項13.上記要求は、上記構成情報の上記一部は古いという上記制御プレーンからの指示を受信することに応答して、かつ上記計算インスタンスから上記パケットを受信する前に、上記ネットワークインターフェースサービスに送信される、項12に記載の方法。
【0253】
項14.上記ネットワーク仮想化デバイスが、上記計算インスタンスのホストマシンからパケットを受信することと、上記ネットワーク仮想化デバイスが、上記ネットワークインターフェースサービスに、上記構成情報の上記一部が古いことに基づいて、上記パケットを送信することと、上記ネットワーク仮想化デバイスが、上記ネットワークインターフェースサービスから、上記パケットに基づいて、上記更新されたバージョンを受信することとをさらに含む、項9~13のいずれか1項に記載の方法。
【0254】
項15.ネットワーク仮想化デバイス上で実行されると、上記ネットワーク仮想化デバイスに動作を実行させる1つ以上の非一時的コンピュータ可読命令であって、上記動作は、顧客の仮想ネットワークの構成に関する少なくとも一部の構成情報を記憶することを含み、上記ネットワーク仮想化デバイスは、上記顧客の計算インスタンスのために上記仮想ネットワークに対して仮想ネットワークインターフェースカードをホストし、基板ネットワークに接続され、上記動作はさらに、上記一部の構成情報に関するバージョン情報を記憶することと、上記バージョン情報に関する制御プレーンとの通信に基づいて、上記一部は古い、と判断することと、上記制御プレーンまたはネットワークインターフェースサービスから、上記一部の更新されたバージョンを受信することとを含み、上記ネットワークインターフェースサービスは、上記基板ネットワークに接続されたサーバのセット上でホストされ、上記動作はさらに、上記一部を上記更新されたバージョンで置き換えることを含む、非一時的コンピュータ可読命令。
【0255】
項16.上記動作は、上記ネットワークインターフェースサービスから、上記一部の構成情報および上記バージョン情報を受信することをさらに含み、上記一部および上記バージョン情報は、上記仮想ネットワークインターフェースカードに関連付けられるキャッシュに記憶される、項15に記載の非一時的コンピュータ可読命令。
【0256】
項17.上記構成情報は、上記仮想ネットワークインターフェースカードによってパケットを送信するためのフロー情報を形成する複数の部分を含み、上記動作は、上記ネットワークインターフェースサービスから上記複数の部分の各部分および対応するバージョンインジケータを受信することと、記憶することとをさらに含む、項15または16に記載の非一時的コンピュータ可読命令。
【0257】
項18.上記動作はさらに、上記計算インスタンスのホストマシンからパケットを受信することと、上記制御プレーンとの通信に基づいて、上記フロー情報は少なくとも1つの古い部分を含む、と判断することと、上記フロー情報は少なくとも1つの古い部分を含むことに基づいて、上記パケットを上記仮想ネットワークインターフェースカードに送信することとを含む、項17に記載の非一時的コンピュータ可読命令。
【0258】
項19.上記動作はさらに、上記仮想ネットワークインターフェースカードから、上記パケットを送信することに応答して、上記少なくとも1つの古い部分の更新されたバージョンを受信することを含む、項18に記載の非一時的コンピュータ可読命令。
【0259】
項20.上記構成情報は、1つ以上のパケットフローのためのセキュリティポリシー、オーバーレイ対基板インターネットプロトコル(IP)アドレスマッピング、およびルートルールを含み、上記フロー情報は、あるセキュリティポリシー、あるオーバーレイ対基板IPアドレスマッピング、またはあるルートルールのうちの少なくとも1つを含む、項17に記載の非一時的コンピュータ可読命令。
【0260】
本開示を実施するために知られている最良の形態を含み、本開示の好ましい実施形態が本明細書に記載されている。これらの好ましい実施形態の変形形態は、前述の説明を読めば当業者には明らかになるであろう。当業者は、適宜、このような変形例を採用することができ、本開示は、本明細書に具体的に記載されている以外の方法で実施されてもよい。したがって、本開示は、適用される法律によって許可され、本明細書に添付された請求項に記載された主題の全ての変形および等価物を含む。さらに、その全ての可能な変形における上記の要素の任意の組み合わせは、本明細書において別段の指示がない限り、本開示に包含される。
【0261】
本明細書に引用された刊行物、特許出願、および特許を含む全ての参考文献は、各文献が参照により組み込まれることが個別にかつ明確に示され、その全体が本明細書に記載された場合と同じ程度に、参照により組み込まれるものとする。
【0262】
前述の明細書において、本開示の態様は、その特定の実施形態を参照して説明されているが、当業者は、本開示がそれに限定されないことを認識するであろう。上述の開示の様々な特徴および態様は、個々にまたは共同で使用されてもよい。さらに、実施形態は、本明細書のより広い精神および範囲から逸脱することなく、本明細書に説明されるものを超える任意の数の環境および用途において利用されることができる。したがって、明細書および図面は、限定的ではなく例示的であると見なされるべきである。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
図17
図18
図19
図20
図21
図22
図23
図24
図25
【国際調査報告】