特表 2024-511222 クラウドベースの仮想プライベートネットワークの無線式ネットワークへの拡張

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公表特許公報(A)

(11)【公表番号】

(43)【公表日】2024-03-12

(54)【発明の名称】クラウドベースの仮想プライベートネットワークの無線式ネットワークへの拡張

(51)【国際特許分類】

   H04L 45/76 20220101AFI20240305BHJP

【ＦＩ】

H04L45/76

【審査請求】有

【予備審査請求】未請求

(21)【出願番号】P 2023560110

(86)(22)【出願日】2022-03-28

(85)【翻訳文提出日】2023-11-27

(86)【国際出願番号】 US2022022118

(87)【国際公開番号】W WO2022212241

(87)【国際公開日】2022-10-06

(31)【優先権主張番号】17/216,349

(32)【優先日】2021-03-29

(33)【優先権主張国・地域又は機関】US

(81)【指定国・地域】

(71)【出願人】

【識別番号】506329306

【氏名又は名称】アマゾン テクノロジーズ インコーポレイテッド

(74)【代理人】

【識別番号】110000855

【氏名又は名称】弁理士法人浅村特許事務所

(72)【発明者】

【氏名】シェヴァデ、ウペンドラ バールチャンドラ

(72)【発明者】

【氏名】グプタ、ディワカー

(72)【発明者】

【氏名】コスティック、イゴール エイ．

(72)【発明者】

【氏名】エダラ、キラン クマール

(72)【発明者】

【氏名】パールカー、イショルダット

【テーマコード（参考）】

5K030

【Ｆターム（参考）】

5K030KA05

5K030LB05

5K030MD08

(57)【要約】

開示されるのは、クラウドベースの仮想プライベートネットワークを無線式ネットワークに拡張するための様々な実施形態である。一実施形態では、無線式ネットワークに接続する要求がクライアントデバイスから受信される。クライアントデバイスがアクセスすることを許可されるクラウドプロバイダネットワークの仮想プライベートクラウドネットワークが判定される。クライアントデバイスは、無線式ネットワークを通じた仮想プライベートクラウドネットワークへのアクセスが提供される。
【選択図】図１

【特許請求の範囲】

【請求項1】

ネットワークスライスを含む無線式ネットワークと、
関連するインターネットプロトコル（ＩＰ）アドレス範囲を有する仮想プライベートクラウドネットワークをホストするクラウドプロバイダネットワークと、を備え、前記クラウドプロバイダネットワークは、少なくとも１つのコンピューティングデバイスを含み、前記少なくとも１つのコンピューティングデバイスは、少なくとも、
前記ネットワークスライス内の前記仮想プライベートクラウドネットワークのサブネットを作成し、
前記ネットワークスライス及び前記仮想プライベートクラウドネットワークの１つまたは両方に、クライアントデバイスの加入者識別モジュールを登録し、
前記無線式ネットワークに接続する、前記クライアントデバイスからの要求に応答して、前記加入者識別モジュールに、前記仮想プライベートクラウドネットワークの前記関連するＩＰアドレス範囲からのＩＰアドレスを割り当て、
前記無線式ネットワークを通じた前記仮想プライベートクラウドネットワークへのアクセスを前記クライアントデバイスに提供する、
ように構成されている、システム。

【請求項2】

前記仮想プライベートクラウドネットワークの１つ以上のリソースは、前記クラウドプロバイダネットワークのプロバイダサブストレートエクステンション上でホストされ、前記プロバイダサブストレートエクステンションは、前記無線式ネットワーク内に位置し、
前記仮想プライベートクラウドネットワークのためのアクセス制御リストは、前記プロバイダサブストレートエクステンション上でホストされる前記１つ以上のリソースへのアクセスを制御するために使用される、
請求項１に記載のシステム。

【請求項3】

前記少なくとも１つのコンピューティングデバイスは、少なくとも、前記クラウドプロバイダネットワークにおいて、前記仮想プライベートクラウドネットワークと関連付けられた顧客アカウントから前記ネットワークスライス内の前記サブネットを作成するＡＰＩ要求を受信したことに応答して、前記ネットワークスライス内の前記サブネットを作成するようにさらに構成されている、請求項１に記載のシステム。

【請求項4】

前記少なくとも１つのコンピューティングデバイスは、少なくとも、前記クラウドプロバイダネットワークにおいて、前記ネットワークスライス及び前記仮想プライベートクラウドネットワークの前記１つまたは両方に、前記加入者識別モジュールを登録するＡＰＩ要求を受信したことに応答して、前記ネットワークスライス及び前記仮想プライベートクラウドネットワークの前記１つまたは両方に、前記加入者識別モジュールを登録するようにさらに構成されている、請求項１に記載のシステム。

【請求項5】

前記少なくとも１つのコンピューティングデバイスは、少なくとも、前記クラウドプロバイダネットワークの仮想ルータを使用して、前記ネットワークスライスを別のネットワークスライスに接続するようにさらに構成され、前記別のネットワークスライスは、前記仮想プライベートクラウドネットワークの別のサブネットを有する、請求項１に記載のシステム。

【請求項6】

前記無線式ネットワークのためのコアネットワークの少なくとも一部は、前記クラウドプロバイダネットワーク内でホストされる、請求項１に記載のシステム。

【請求項7】

無線式ネットワークのネットワークスライス内のクラウドプロバイダネットワークの仮想プライベートクラウドネットワークのサブネットを作成することと、
前記ネットワークスライス及び前記仮想プライベートクラウドネットワークの１つまたは両方に、クライアントデバイスの加入者識別モジュールを登録することと、
前記無線式ネットワークに接続する要求を前記クライアントデバイスから受信することと、
前記無線式ネットワークに接続する前記要求を前記クライアントデバイスから受信したことに応答して、前記クライアントデバイスがアクセスすることを許可される前記仮想プライベートクラウドネットワークを判定することと、
前記無線式ネットワークに接続する前記要求を前記クライアントデバイスから受信したことに応答して、前記無線式ネットワークを通じた前記仮想プライベートクラウドネットワークへのアクセスを前記クライアントデバイスに提供することと、
を含む、コンピュータにより実施される方法。

【請求項8】

前記無線式ネットワークに接続する要求を異なるクライアントデバイスから受信することと、
前記無線式ネットワークに接続する前記要求を前記異なるクライアントデバイスから受信したことに応答して、前記異なるクライアントデバイスがアクセスすることを許可される前記クラウドプロバイダネットワークの異なる仮想プライベートクラウドネットワークを判定することと、
前記無線式ネットワークに接続する前記要求を前記異なるクライアントデバイスから受信したことに応答して、前記無線式ネットワークを通じた前記異なる仮想プライベートクラウドネットワークへのアクセスを前記異なるクライアントデバイスに提供することと、
をさらに含む、請求項７に記載のコンピュータにより実施される方法。

【請求項9】

前記仮想プライベートクラウドネットワークと関連付けられたルールセットに従って、前記無線式ネットワークの前記ネットワークスライスに前記クライアントデバイスを割り当てることであって、前記ネットワークスライスは、サービス品質要件を満たすように構成されている、前記割り当てること、
前記仮想プライベートクラウドネットワークと関連付けられたルールセットに従って、前記無線式ネットワーク上の前記クライアントデバイスにネットワークアドレスを割り当てること、または
前記無線式ネットワークを介して前記クライアントデバイスにまたは前記クライアントデバイスから送信される通信を暗号化すること、
のうちの少なくとも１つをさらに含む、請求項７に記載のコンピュータにより実施される方法。

【請求項10】

前記仮想プライベートクラウドネットワークの１つ以上の他のネットワークホストと通信するとき、エンドツーエンド暗号化スキームを使用するように前記クライアントデバイスを構成することをさらに含む、請求項７に記載のコンピュータにより実施される方法。

【請求項11】

前記無線式ネットワークを通じた前記仮想プライベートクラウドネットワークへのアクセスを前記クライアントデバイスに提供することは、
前記クライアントデバイスが、前記仮想プライベートクラウドネットワーク上にあり、前記無線式ネットワークを通じて接続された別のクライアントデバイスと通信することを可能にすること、または
前記クライアントデバイスが、前記仮想プライベートクラウドネットワーク上にあり、前記無線式ネットワークではなく前記クラウドプロバイダネットワークを通じて接続されたコンピューティングリソースと通信することを可能にすること、
のうちの少なくとも１つをさらに含む、請求項７に記載のコンピュータにより実施される方法。

【請求項12】

前記クライアントデバイスがアクセスすることを許可される前記仮想プライベートクラウドネットワークを判定することは、
前記クライアントデバイスの前記加入者識別モジュール（ＳＩＭ）または埋め込みＳＩＭ（ｅＳＩＭ）に少なくとも部分的に基づいて、前記クライアントデバイスを識別することと、
前記ＳＩＭまたはｅＳＩＭに少なくとも部分的に基づいて、前記仮想プライベートクラウドネットワークを判定することと、
をさらに含む、請求項７に記載のコンピュータにより実施される方法。

【請求項13】

クラウドプロバイダネットワークの仮想プライベートクラウドネットワーク内で実行されるサービスからネットワークトラフィックを受信することと、
無線式ネットワーク内で前記仮想プライベートクラウドネットワークのために構成されたネットワークスライスを介して、前記仮想プライベートクラウドネットワークに接続されたクライアントデバイスに前記ネットワークトラフィックを回送することであって、前記ネットワークスライスは、１つ以上のサービス品質要件と関連付けられている、前記回送することと、を含む、
コンピュータにより実施される方法。

【請求項14】

前記無線式ネットワークのセルサイトにおいて、前記クラウドプロバイダネットワークのプロバイダサブストレートエクステンション内で前記サービスを実行することをさらに含む、請求項１３に記載のコンピュータにより実施される方法。

【請求項15】

無線式ネットワーク内の前記ネットワークトラフィックに、前記仮想プライベートクラウドネットワークのファイアウォール機能性を提供すること、または
前記仮想プライベートクラウドネットワークをまたがって前記サービスから前記クライアントデバイスに前記ネットワークトラフィックのエンドツーエンド暗号化を提供すること、
のうちの少なくとも１つをさらに含む、請求項１３に記載のコンピュータにより実施される方法。

【発明の詳細な説明】

【技術分野】

【0001】

関連出願の相互参照
本出願は、２０２１年３月２９日に出願された「ＥＸＴＥＮＤＩＮＧ ＣＬＯＵＤ－ＢＡＳＥＤ ＶＩＲＴＵＡＬ ＰＲＩＶＡＴＥ ＮＥＴＷＯＲＫＳ ＴＯ ＲＡＤＩＯ－ＢＡＳＥＤ ＮＥＴＷＯＲＫＳ」と題する米国特許出願１７／２１６，３４９号の利益、及びこの米国特許出願に対する優先権を主張するものであり、この米国特許出願の全体を参照により本明細書に援用する。

【背景技術】

【0002】

５Ｇは、ブロードバンドセルラネットワークの第５世代技術標準であり、最終的にはＬｏｎｇ－Ｔｅｒｍ Ｅｖｏｌｕｔｉｏｎ（ＬＴＥ）の第４世代（４Ｇ）標準に取って代わることが計画されている。５Ｇテクノロジは、大幅に増加した帯域幅を提供するようになり、それによってスマートフォンを超えてセルラ市場を広げて、デスクトップ、セットトップボックス、ラップトップ、モノのインターネット（ＩｏＴ）デバイスなどへのラストマイル接続を提供する。５Ｇセルには４Ｇと同様の周波数スペクトルを使用し得るものがあり、その一方でミリ波帯の周波数スペクトルを使用し得る５Ｇセルもある。ミリ波帯のセルのサービスエリアは比較的小さいが、４Ｇよりもはるかに高いスループットを提供するようになる。

【発明の概要】

【0003】

本開示の多くの態様は、以下の図面を参照して、より良く理解することができる。図面の構成要素は、必ずしも縮尺通りになっているとは限らず、代わりに本開示の原理を明確に例示することに重点を置いている。さらに図面中で、同様の参照数字は、いくつかの図面全体にわたって対応する部分を指定する。

【図面の簡単な説明】

【0004】

【図1】本開示の様々な実施形態に従って、デプロイされ、管理される通信ネットワークの例の図面である。

【図2A】本開示のいくつかの実施形態による、クラウドプロバイダネットワークを含み、さらに、図１の通信ネットワーク内の様々なロケーションで使用され得るクラウドプロバイダネットワークの様々なプロバイダサブストレートエクステンションを含むネットワーク環境の例を示す。

【図2B】本開示のいくつかの実施形態による、図１の通信ネットワークのセルラ化及び地理的分布の例を示す。

【図3A】本開示のいくつかの実施形態による、地理的に分散したプロバイダサブストレートエクステンションを含む図２Ａのネットワーク環境の例を示す。

【図3B】本開示のいくつかの実施形態による、仮想プライベートクラウドネットワークを含む、図２Ａのネットワーク環境の例を示す。

【図4】本開示の様々な実施形態による図２Ａのネットワーク環境の概略ブロック図である。

【図5】本開示の様々な実施形態による、図４のネットワーク環境内の無線式ネットワーク及び仮想プライベートクラウドネットワークの一部として実装される機能性の例を示すフローチャートである。

【図6】本開示の様々な実施形態による、図４のネットワーク環境で使用されるコンピューティング環境の一例の例示を提供する概略ブロック図である。

【発明を実施するための形態】

【0005】

本開示は、クラウドベースの仮想プライベートネットワークを無線式ネットワークに拡張することに関する。仮想プライベートクラウド（ＶＰＣ）は、クラウドプロバイダネットワークなど、別のネットワーク内のカスタム定義された、仮想ネットワークである。ＶＰＣは、クラウドサービス、例えば、計算クラウドもしくはエッジクラウドのための、またはクラウド上で稼働する顧客アプリケーションもしくはワークロードのための基礎的なネットワークレイヤを提供することができる。ＶＰＣは、少なくともそのアドレス空間、内部構造（例えば、ＶＰＣを含むコンピューティングリソース）、及びトランジットパスによって定義されることができる。ＶＰＣリソースは典型的には、クラウドプロバイダネットワーク内でホスト及びプロビジョニングされるが、顧客により所有されるネットワークは、ゲートウェイを通じてＶＰＣに接続され得る。ＶＰＣをホストする際に、クラウドプロバイダネットワークは、ＶＰＣをプロビジョニングするために、クラウドプロバイダネットワークの物理リソース、及び任意選択で仮想リソースを使用して、論理構築を実装する。

【0006】

無線式ネットワークは、ネットワーク接続性をワイヤレスデバイスに提供するための、１つ以上の無線アクセスネットワーク（ＲＡＮ）及び関連するコアネットワークを含む。ＲＡＮは、Ｗｉ－Ｆｉ、４Ｇ、５Ｇ、第６世代（６Ｇ）、及び他のアクセス技術を使用して動作し得る。無線式ネットワークは、サービス品質（ＱｏＳ）要件が顧客及びそれらのアプリケーションのために満たされることを保証するための、ネットワークスライシングをサポートし得る。無線式ネットワーク内の個々のネットワークスライスは、潜在的には定義された期間の間に、アプリケーションまたはデバイスのセットのために、ＲＡＮ及び関連するコアネットワークの両方内でネットワーク容量を確保し、その結果、１つ以上のＱｏＳパラメータが満たされる。ＱｏＳパラメータは、待ち時間、帯域幅、バースト可能帯域幅、及びネットワークホップ数などに関連し得、最大しきい値、最小しきい値、平均しきい値、または他のしきい値に関して定義され得る。

【0007】

本開示の様々な実施形態は、ＶＰＣの概念を無線式ネットワークに拡張し、その結果、特定の無線式ネットワークに接続されたワイヤレスデバイスは、自動的にＶＰＣ上に配置されることができ、よって、デバイスがＶＰＣ上の他のリソースにアクセスすることを可能にする。このようにして、無線式ネットワークに接続されたワイヤレスデバイスは、ＶＰＣ上にある無線式ネットワーク上の他のワイヤレスデバイスと通信することができ、同一のワイヤレスデバイスは、クラウドプロバイダネットワーク内でＶＰＣ上にある他のデバイス及びリソースと通信することができる。さらに、いくつかの実施形態では、無線式ネットワーク上の個々のネットワークスライスは、異なるアクセス制御によって管理される異なるリソースと関連付けられ得る、異なるＶＰＣまたは異なるサブネットワーク（サブネット）のそれぞれへのアクセスを提供し得る。一部のシナリオでは、ワイヤレスデバイスは、トンネリングを通じてなどの仮想ネットワークインターフェースを通じてではなく、ワイヤレスデバイスの実際のネットワークインターフェースを介してＶＰＣとデータ通信している。

【0008】

ＶＰＣは、特定の顧客アカウント（または、同一のビジネス組織に属する異なる顧客アカウントなど、関連する顧客アカウントのセット）に専用の仮想ネットワークである。ＶＰＣは、クラウド内で他の仮想ネットワークから論理的に分離される。顧客は、計算インスタンスなどのリソースをＶＰＣに起動することができる。ＶＰＣを作成するとき、顧客は、Ｃｌａｓｓｌｅｓｓ Ｉｎｔｅｒ－Ｄｏｍａｉｎ ルーティング（ＣＩＤＲ）ブロックの形式においてＶＰＣのためのＩＰｖ４及び／またはＩＰｖ６アドレスの範囲を規定することができる。ＶＰＣは、特定のリージョン内の可用性ゾーンの全てに及ぶことができる。ＶＰＣを作成した後、顧客は、１つ以上のサブネットを各々の可用性ゾーンまたはエッジロケーションに追加することができる。本開示によれば、顧客はまた、それらのＶＰＣのサブネットをネットワークスライスに追加することができる。顧客は、例えば、クラウドプロバイダネットワークのＡＰＩ呼び出しを介して、特定のクライアントデバイス（または、クライアントデバイスのセット）の加入者識別に、ネットワークスライス及びＶＰＣの１つまたは両方を登録することを要求することができる。それに応答して、クラウドプロバイダネットワークは、加入者識別モジュールに、ＶＰＣのＩＰアドレス範囲からインターネットプロトコル（ＩＰ）アドレスを割り当てることができる。これは、クライアントデバイスが、いずれかのさらなるアクセス制御の対象になる、無線式ネットワークのネットワークスライスのその使用を介して、ＶＰＣ内のリソースにアクセスすることを可能にすることができる。

【0009】

アクセス制御は、セキュリティグループまたはネットワークアクセス制御リストを参照することができる。セキュリティグループ（様々な実施態様では、ネットワークセキュリティグループ、アプリケーションセキュリティグループ、クラウドセキュリティグループ、または計算エンジンファイアウォールルールとしても知られる）は、インバウンドトラフィック及びアウトバウンドトラフィックを制御するための仮想マシンインスタンスのための仮想ファイアウォールとして機能する。顧客は、特定のインスタンスに適用することができるポリシーとしてセキュリティグループを定義することができる。顧客がＶＰＣ内でインスタンスを起動するとき、それらは、１つ以上のセキュリティグループをインスタンスに割り当てることができる。セキュリティグループは、サブネットレベルの代わりにインスタンスレベルにおいて機能し得る。したがって、サブネット内の各インスタンスは、セキュリティグループの異なるセットに割り当てられることができる。セキュリティグループごとに、顧客は、インスタンスへのインバウンドトラフィックを制御するルール、及びアウトバウンドトラフィックを制御するルールの別々のセットを追加することができる。セキュリティグループは、戻りトラフィックが自動で許可される点で、ステートフルであることができる。

【0010】

顧客はまた、セキュリティの追加のレイヤをＶＰＣに追加するために、セキュリティグループと同様のルールによりネットワークアクセス制御リスト（ＡＣＬ）をセットアップすることができる。ネットワークＡＣＬは、サブネットレベルにおいて動作し、許可ルール及び拒否ルールをサポートし、それが関連付けられるいずれかのサブネット内の全てのインスタンスに自動で適用する。ネットワークＡＣＬは、戻りトラフィックがルールによって明示的に許可されるべきである点で、ステートフルであり得ない。

【0011】

無線式ネットワークは、複数の通信サービスプロバイダによって動作される複数の異なる無線アクセスネットワークと共に動的にプロビジョニングされ、及び使用されるコアネットワークインフラストラクチャを使用し得る。無線式ネットワークがオンデマンドでプロビジョニングされると共に、無線式ネットワークは、スケールアップもしくはスケールダウンされ得、または動的に終端され得、それによって、特定の期間中にまたはスケジュールに従って定期的に存在し得る、一時的無線式ネットワークを作成する能力を組織に提供する。さらに、セルサイトは、オンデマンドで動的に無線式ネットワークに追加され得、または無線式ネットワークから除去され得る。様々なシナリオでは、組織は、本開示の実施形態を使用して、内部使用のためのプライベート無線式ネットワーク、または第三者顧客にオープンの無線式ネットワークのいずれかを作成し得る。

【0012】

これまでの無線式ネットワークのデプロイは、プロセスの各ステップでの手動によるデプロイ及び構成に依存していた。これには、非常に多大な時間と費用とを必要とすることが判明した。さらに、前世代では、ソフトウェアは本質的にベンダ独自のハードウェアに縛られていて、顧客が代替ソフトウェアをデプロイするのを阻んでいた。対照的に、５Ｇでは、ハードウェアがソフトウェアスタックから切り離されるため、柔軟性が高まり、無線式ネットワークのコンポーネントをクラウドプロバイダのインフラストラクチャ上で実行できるようになる。５Ｇネットワークなどの無線式ネットワークにクラウド配信モデルを使用すると、他のタイプのネットワークよりも高速、低遅延、及び大容量で配信しながらも、数百から数十億の接続デバイスや計算集約型アプリケーションからのネットワークトラフィックを処理することが容易になり得る。

【0013】

これまで、企業は、企業接続ソリューションを評価する際に、パフォーマンスか価格かのどちらかを選択しなければならなかった。セルラネットワークは、高性能、優れた屋内外のカバレッジ、及び高度なサービス品質（ＱｏＳ）の接続機能を提供することができるが、プライベートセルラネットワークは高価で管理が複雑になる可能性がある。イーサネット及びＷｉ－Ｆｉは初期投資がより少なくて済み管理が容易になるが、多くの場合、企業は、それらの信頼性が低く、最適なカバレッジを得るには多くの作業が必要であり、ビットレートや遅延そして信頼性の保証などのＱｏＳ機能を提供していないことに気付く。

【0014】

企業は、様々な５Ｇデバイスやセンサを企業全体（工場のフロア、倉庫、ロビー、及び通信センタ）にわたって自由にデプロイし、管理コンソールからこれらのデバイスの管理、ユーザの登録、及びＱｏＳの割り当てを行うことができる。開示された技術を使用すると、顧客は、全てのデバイス（カメラ、センサ、またはＩｏＴデバイスなど）に一定のビットレートのスループットを割り当て、工場フロアで稼働するデバイスに信頼性の高い低遅延接続を割り当て、全てのハンドヘルドデバイスにブロードバンド接続を割り当てることができる。開示されたサービスは、指定された制約と要件とを満たす接続を提供するために必要な全てのソフトウェアを管理できる。これにより、従来はＷｉ－Ｆｉネットワーク上で実行できなかった、厳格なＱｏＳ要件または高ＩｏＴデバイス密度要件を持つまったく新しい一連のアプリケーションが可能になる。

【0015】

さらに、開示されたサービスは、ＱｏＳのような５Ｇ能力を公開し、管理するアプリケーション開発アプリケーションプログラミングインターフェース（ＡＰＩ）を提供することができ、顧客が、ネットワークの詳細を理解する必要なく、ネットワークの遅延と帯域幅の機能とを最大限に活用できるアプリケーションを構築することを可能にする。

【0016】

さらに、開示されたサービスは、クラウドプロバイダネットワーク内でローカルアプリケーションを実行するためのプライベートゾーンを提供できる。このプライベートゾーンは、より広範なリージョナルゾーンに接続して事実上その一部にすることができ、顧客が、クラウドプロバイダネットワークで使用されているものと同じＡＰＩとツールとを使用してこのプライベートゾーンを管理することを可能にする。可用性ゾーンと同様に、プライベートゾーンには仮想プライベートネットワークサブネットを割り当てることができる。ＡＰＩを使用して、サブネットを作成し、これを、プライベートゾーンや既存の他のゾーンを含む、顧客が使用したい全てのゾーンに割り当てることができる。管理コンソールは、プライベートゾーンを作成するための簡略化されたプロセスを提供する場合がある。仮想マシンのインスタンス及びコンテナは、リージョナルゾーンとまったく同様にプライベートゾーンでも起動できる。顧客は、ネットワークゲートウェイを構成して、ルートの定義、ＩＰアドレスの割り当て、ネットワークアドレス変換（ＮＡＴ）のセットアップなどを行うことができる。自動スケーリングを使用すると、プライベートゾーンで必要に応じて仮想マシンインスタンスまたはコンテナの容量をスケーリングできる。クラウドプロバイダネットワークと同じ管理ＡＰＩ及び認証ＡＰＩをプライベートゾーン内で使用できる。場合によっては、リージョナルゾーンで利用可能なクラウドサービスには、安全な接続を介してプライベートゾーンからリモートでアクセスできるため、ローカルデプロイをアップグレードまたは変更する必要なく、これらのクラウドサービスにアクセスすることができる。

【0017】

本開示の様々な実施形態はまた、クラウドコンピューティングモデルからのエラスティシティ及びユーティリティコンピューティングの概念を、無線式ネットワーク及び関連するコアネットワークに取り入れることができる。例えば、開示された技法は、コア及び無線アクセスネットワーク機能、ならびに関連するコントロールプレーン管理機能をクラウドプロバイダインフラストラクチャ上で実行し、クラウドネイティブコアネットワーク及び／またはクラウドネイティブ無線アクセスネットワーク（ＲＡＮ）を作成することができる。そのようなコア及びＲＡＮネットワーク機能は、一部の実施態様では、第３世代パートナーシッププロジェクト（３ＧＰＰ（登録商標））仕様に基づくことができる。クラウドネイティブな無線式ネットワークを提供することにより、顧客は、利用、遅延要件、及び／またはその他の因子に基づいて、その無線式ネットワークを動的にスケーリングし得る。また、顧客は、動的ネットワーキング及びワークロードの要件に基づいて、新しいインフラストラクチャのプロビジョニング、または既存のインフラストラクチャのプロビジョニング解除をより効果的に管理するために、無線式ネットワーク使用量及びプロビジョニングされたインフラストラクチャの超過容量使用量に関するアラートを受信するためにしきい値を構成することもある。

【0018】

当業者であれば、この開示に照らして理解することになるように、特定の実施形態は、以下のいくつかまたは全てを含む特定の利点を達成することができる可能性がある。すなわち、（１）ポイントツーポイント暗号化及びエンドツーエンド暗号化の組み合わせが、無線式ネットワーク上のデバイスを仮想プライベートクラウドネットワーク上で利用可能なリソースと接続することを可能にすることによって、無線式ネットワークのセキュリティを向上させる、（２）仮想プライベートクラウドネットワークが、４Ｇ及び５Ｇネットワークを含む、無線式ネットワークに拡張することを可能にすることによって、地理的に分散したネットワークの柔軟性を強化する、（３）サービス品質要件を満たすために、無線式ネットワークセグメント上でネットワークスライシングを実装することによって、仮想プライベートクラウドネットワーク上のサービスの信頼性及び性能を向上させる、などである。

【0019】

本開示の利点の中には、ネットワーク機能をデプロイして連鎖させて、指定された制約及び要件を満たすエンドツーエンドサービスを配信する機能がある。本開示によれば、マイクロサービスに編成されたネットワーク機能が連携してエンドツーエンド接続を提供する。１セットのネットワーク機能は無線ネットワークの一部であり、基地局内で動作し、無線信号からＩＰへの変換を実行する。他のネットワーク機能は、加入者関連のビジネスロジックを実行し、インターネットとの間でＩＰトラフィックをルーティングする大規模なデータセンタで実行される。アプリケーションが低遅延通信や予約帯域幅などの５Ｇの新機能を使用するには、これらのタイプのネットワーク機能の両方が連携して、無線スペクトルを適切にスケジュールしかつ予約し、リアルタイムの計算とデータ処理とを実行する必要がある。ここで開示される技法は、セルサイトからインターネットブレイクアウトまで、ネットワーク全体にわたって実行されるネットワーク機能と統合されたエッジロケーションハードウェア（以下にさらに説明する）を提供し、必要なサービス品質（ＱｏＳ）制約を満たすようにネットワーク機能をオーケストレートする。これにより、工場ベースのモノのインターネット（ＩｏＴ）から拡張現実（ＡＲ）、仮想現実（ＶＲ）、ゲームストリーミング、コネクテッドビークルの自律ナビゲーションサポートに至るまで、これまではモバイルネットワーク上で動作不可能だった、厳格なＱｏＳ要件を持つまったく新しい一連のアプリケーションが可能になる。

【0020】

説明されている「エラスティック５Ｇ」サービスは、ネットワークの構築に必要なハードウェア、ソフトウェア、及びネットワーク機能の全てを提供しかつ管理する。いくつかの実施形態では、ネットワーク機能はクラウドサービスプロバイダによって開発され、管理され得るが、説明されたコントロールプレーンは、顧客が単一セットのＡＰＩを使用して、クラウドインフラストラクチャ上で選択したネットワーク機能を呼び出して管理できるように、様々なプロバイダにわたってネットワーク機能を管理できる。エラスティック５Ｇサービスには、ハードウェアからネットワーク機能に至るまでエンドツーエンドの５Ｇネットワークの作成を自動化し、この結果として、デプロイにかかる時間と、ネットワーク運用にかかる運用コストとを削減するという利点がある。ネットワーク機能を公開するＡＰＩを提供することで、開示されたエラスティック５Ｇサービスにより、アプリケーションは、所望のＱｏＳを制約として指定し、その後、ネットワーク機能をデプロイして連鎖させるだけで、指定された要件を満たすエンドツーエンドのサービスを配信できるようになり、したがって新しいアプリケーションを容易に構築することが可能になる。

【0021】

本開示は、クラウドネイティブ５Ｇコア及び／またはクラウドネイティブ５ＧＲＡＮ、及び関連するコントロールプレーンコンポーネントの作成及び管理に関する実施形態について説明する。クラウドネイティブとは、動的なスケーラビリティ、分散コンピューティング、及び高可用性（地理的分散、冗長性、及びフェイルオーバを含む）などのクラウドコンピューティング配信モデルの利点を活用するアプリケーションを構築及び実行するアプローチを指す。クラウドネイティブとは、これらのアプリケーションがパブリッククラウドでのデプロイメントに適したものとなるように作成され、デプロイされる方法を指す。クラウドネイティブアプリケーションは、パブリッククラウドで実行することもできる（実行されることが多い）が、オンプレミスのデータセンタで実行することもできる。一部のクラウドネイティブアプリケーションはコンテナ化することができ、例えば、アプリケーションの異なる部分、機能、またはサブユニットが独自のコンテナにパッケージ化され、これを各部分がリソースの利用を最適化するためにアクティブにスケジュールされ管理されるように、動的にオーケストレートすることができる。これらのコンテナ化されたアプリケーションは、アプリケーションの全体的な俊敏性と保守性とを向上させるために、マイクロサービスアーキテクチャを使用して構築することができる。

【0022】

マイクロサービスアーキテクチャでは、アプリケーションは、互いに独立してデプロイ及びスケール変更が可能であり、ネットワークを介して相互に通信できる、より小さなサブユニット（「マイクロサービス」）の集合として配置される。これらのマイクロサービスは、通常、特定の技術的及び機能的な粒度を持ち、多くの場合、軽量の通信プロトコルを実装しているため、粒度が細かい。アプリケーションのマイクロサービスは、互いに異なる機能を実行でき、独立してデプロイ可能であってもよく、互いに異なるプログラミング言語、データベース、及びハードウェア／ソフトウェア環境を使用する場合がある。アプリケーションをより小さなサービスに分解すると、アプリケーションのモジュール性が有益に向上し、必要に応じて個々のマイクロサービスを置き換えることが可能になり、チームが互いに独立してそのマイクロサービスの開発、デプロイ、及び保守を行うことができるようになることで開発が並列化される。マイクロサービスは、いくつかの例では、仮想マシン、コンテナ、またはサーバレス機能を使用してデプロイされる場合がある。開示されたコア及びＲＡＮソフトウェアは、記載された無線式ネットワークがオンデマンドでデプロイしスケール変更できる独立したサブユニットで構成されるようなマイクロサービスアーキテクチャに従い得る。

【0023】

ここで、図１を参照すると、本開示の様々な実施形態に従って、デプロイされ、管理される通信ネットワーク１００の例が示される。通信ネットワーク１００は、Ｈｉｇｈ Ｓｐｅｅｄ Ｐａｃｋｅｔ Ａｃｃｅｓｓ（ＨＳＰＡ）、第４世代（４Ｇ）Ｌｏｎｇ－Ｔｅｒｍ Ｅｖｏｌｕｔｉｏｎ（ＬＴＥ）ネットワーク、第５世代（５Ｇ）ネットワーク、第６世代（６Ｇ）ネットワーク、４Ｇ及び５Ｇ ＲＡＮの両方を備えた４Ｇ－５Ｇハイブリッドコア、またはワイヤレスネットワークアクセスを提供する別のネットワークなどのセルラネットワークに対応し得る無線式ネットワーク（ＲＢＮ）１０３を含む。無線式ネットワーク１０３は、企業、非営利団体、学校組織、政府機関、または別の組織のためのクラウドサービスプロバイダによって運営され得る。無線式ネットワーク１０３は、様々な実施形態においてプライベートネットワークアドレスまたはパブリックネットワークアドレスを使用することができる。

【0024】

無線式ネットワーク１０３の様々なデプロイメントは、コアネットワーク及びＲＡＮネットワークのうちの１つ以上、ならびにクラウドプロバイダインフラストラクチャ上でコアネットワーク及び／またはＲＡＮネットワークを実行するためのコントロールプレーンを含むことができる。上記のように、これらのコンポーネントは、トラフィックとトランザクションとを効率的にスケール変更するために集中制御と分散処理とが使用されるように、例えばマイクロサービスアーキテクチャを使用して、クラウドネイティブ方式で開発され得る。これらのコンポーネントは、コントロールプレーンとユーザプレーンとの処理が分離されたアプリケーションアーキテクチャ（ＣＵＰＳアーキテクチャ）に従うことにより、３ＧＰＰ（登録商標）仕様に基づくことができる。

【0025】

無線式ネットワーク１０３は、モバイルデバイスまたは固定ロケーションデバイスであり得る複数のワイヤレスデバイス１０６にワイヤレスネットワークアクセスを提供する。様々な例において、ワイヤレスデバイス１０６には、スマートフォン、コネクテッドビークル、ＩｏＴデバイス、センサ、（製造施設などの）機械、ホットスポットなどのデバイスが含まれ得る。ワイヤレスデバイス１０６は、ユーザ装置（ＵＥ）または加入者宅内装置（ＣＰＥ）と呼ばれることもある。

【0026】

この例では、クラウドプロバイダネットワークの２つの仮想プライベートクラウドネットワーク１０７ａ及び１０７ｂは、クライアントデバイスとしてワイヤレスデバイス１０６を包含するように、無線式ネットワーク１０３に拡張されるとして図示される。仮想プライベートクラウドネットワーク１０７ａは、４つのワイヤレスデバイス１０６を含むとして図示されると共に、仮想プライベートクラウドネットワーク１０７ｂは、２つのワイヤレスデバイス１０６を含むとして図示される。これは、単一の無線式ネットワーク１０３が、一部のケースでは、セルごとのベースとして有効にされ得る、複数の異なる仮想プライベートクラウドネットワーク１０７へのアクセスを提供し得ることを示すことである。個々の仮想プライベートクラウドネットワーク１０７は、１つ以上のサービス品質要件を満たすように構成されたワイヤレスデバイス１０６による使用のための１つ以上のネットワークスライスが割り当てられ得る。

【0027】

特定の仮想プライベートクラウドネットワーク１０７内でグループ化されたワイヤレスデバイス１０６は、それらが無線式ネットワーク１０３内の異なるセルまたはポイントに物理的に接続される場合でさえ、それらが単一のネットワークセグメント上にあるかのように相互に通信し得る。その上、特定の仮想プライベートクラウドネットワーク１０７内のワイヤレスデバイス１０６は、それらがローカルネットワーク上にあるかのように、仮想プライベートクラウドネットワーク１０７上でホストされたサービス及び他のリソースと通信し得る。そのようなリソースは、無線式ネットワーク１０３内（例えば、セルサイト、中間サイト、もしくは中心ロケーション）またはクラウドプロバイダネットワークのリージョナルデータセンタ内に位置し得る。

【0028】

無線式ネットワーク１０３は、複数のセル１０９を通じて複数のワイヤレスデバイス１０６へのワイヤレスネットワークのアクセスを提供する、１つ以上の無線アクセスネットワーク（ＲＡＮ）上でプロビジョニングされる容量を含むことができる。ＲＡＮは、異なる通信サービスプロバイダによって動作され得る。セル１０９のそれぞれには、ワイヤレスデバイス１０６との間でワイヤレスデータ信号を送受信する１つ以上のアンテナ及び１つ以上の無線ユニットが装備され得る。アンテナは１つ以上の周波数帯域用に構成され得、無線ユニットもまた周波数アジャイルまたは周波数調整可能にされ得る。信号を特定の方向または方位角範囲に集中させるために、アンテナには特定のゲインまたはビーム幅を関連付けることができ、これにより、異なる方向での周波数の再利用が可能になり得る。さらに、アンテナは、水平偏波、垂直偏波、または円偏波であってもよい。いくつかの例では、無線ユニットは、多入力多出力（ＭＩＭＯ）技術を利用して信号を送信及び受信することができる。したがって、ＲＡＮは、ワイヤレスデバイス１０６との無線接続を可能にする無線アクセス技術を実装し、無線式ネットワークのコアネットワークとの接続を提供する。ＲＡＮのコンポーネントには、所与の物理エリアをカバーする基地局及びアンテナだけでなく、ＲＡＮへの接続を管理するための必要なコアネットワークアイテムが含まれる。

【0029】

データトラフィックは、多くの場合、（例えば、アグリゲーションサイトにおいて）レイヤ３ルータの複数のホップで構成されるファイバトランスポートネットワークを介してコアネットワークにルーティングされる。コアネットワークは通常、１つ以上のデータセンタに収容される。通常、コアネットワークは、エンドデバイスからのデータトラフィックを集約し、加入者及びデバイスを認証し、パーソナライズされたポリシーを適用し、デバイスのモビリティを管理してから、トラフィックをオペレータサービスまたはインターネットにルーティングする。例えば、５Ｇコアは、コントロールプレーンとユーザプレーンとを分離して、いくつかのマイクロサービス要素に分解することができる。５Ｇコアは、物理的なネットワーク要素ではなく、仮想化されたソフトウェアベースの（例えばマイクロサービスとしてデプロイされた）ネットワーク機能を含むことができるため、マルチアクセスエッジコンピューティング（ＭＥＣ）クラウドインフラストラクチャ内でインスタンス化することができる。コアネットワークのネットワーク機能には、ユーザプレーン機能（ＵＰＦ）、アクセスと移動管理機能（ＡＭＦ）、及びセッション管理機能（ＳＭＦ）が含まれ得るが、これらについては以下でさらに詳しく説明する。通信ネットワーク１００の外部のロケーションを宛先とするデータトラフィックの場合、ネットワーク機能は通常、トラフィックが通信ネットワーク１００を出入りできる、インターネットまたはクラウドプロバイダネットワークなどの外部ネットワークに対するファイアウォールを含む。いくつかの実施形態では、通信ネットワーク１００は、コアネットワークからさらに下流のサイト（例えば、アグリゲーションサイトまたは無線式ネットワーク１０３）にトラフィックが出入りできるようにする設備を含むことができることに留意されたい。

【0030】

ＵＰＦは、モバイルインフラストラクチャとデータネットワーク（ＤＮ）との間の相互接続ポイント、つまり、ユーザプレーン（ＧＴＰ－Ｕ）の汎用パケット無線サービス（ＧＰＲＳ）トンネリングプロトコルのカプセル化及びカプセル化解除を提供する。ＵＰＦは、１つ以上のエンドマーカパケットをＲＡＮ基地局に送信するなど、ＲＡＮ内でモビリティを提供するためのセッションアンカポイントを提供することもある。ＵＰＦは、トラフィック一致フィルタに基づいてフローを特定のデータネットワークに誘導するなど、パケットのルーティング及び転送を処理することもある。ＵＰＦのもう１つの機能には、アップリンク（ＵＬ）及びダウンリンク（ＤＬ）のトランスポートレベルのパケットマーキングやレート制限など、フローごとまたはアプリケーションごとのＱｏＳ処理が含まれる。ＵＰＦは、最新のマイクロサービス手法を使用してクラウドネイティブネットワーク機能として実装することができ、例えば、（マネージドサービスを介してコードが実行される基盤となるインフラストラクチャを抽象化する）サーバレスフレームワーク内にデプロイできる。

【0031】

ＡＭＦは、ワイヤレスデバイス１０６またはＲＡＮから接続及びセッション情報を受信することがあり、接続及びモビリティ管理タスクを処理することがある。例えば、ＡＭＦは、ＲＡＮ内の基地局間のハンドオーバを管理することがある。いくつかの例では、ＡＭＦは、特定のＲＡＮコントロールプレーン及びワイヤレスデバイス１０６のトラフィックを終了させることにより、５Ｇコアへのアクセスポイントとみなされることがある。ＡＭＦは、暗号化及び完全性保護アルゴリズムを実装することもある。

【0032】

ＳＭＦは、例えば、プロトコルデータユニット（ＰＤＵ）セッションの作成、更新、及び削除を行い、ＵＰＦ内のセッションコンテキストを管理することにより、セッションの確立または変更を処理することがある。ＳＭＦは、動的ホスト構成プロトコル（ＤＨＣＰ）及びＩＰアドレス管理（ＩＰＡＭ）を実装することもある。ＳＭＦは、最新のマイクロサービス手法を使用してクラウドネイティブネットワーク機能として実装されてもよい。

【0033】

無線式ネットワーク１０３を実装するための様々なネットワーク機能は、ネットワーク機能を実行するように構成された汎用コンピューティングデバイスに対応し得る分散コンピューティングデバイス１１２内にデプロイされ得る。例えば、分散コンピューティングデバイス１１２は、ネットワーク機能を実施する１つ以上のサービスを実行するように順番に構成される１つ以上の仮想マシンインスタンスを実行することができる。一実施形態では、分散コンピューティングデバイス１１２は、各セルサイトにデプロイされる耐久性の高いマシンである。

【0034】

対照的に、１つ以上の集中コンピューティングデバイス１１５は、顧客が運営する中央サイトで様々なネットワーク機能を実行することがある。例えば、集中コンピューティングデバイス１１５は、調整されたサーバルーム内の顧客の構内に集約的に配置されてもよい。集中コンピューティングデバイス１１５は、ネットワーク機能を実施する１つ以上のサービスを実行するように順番に構成される１つ以上の仮想マシンインスタンスを実行することができる。

【0035】

１つ以上の実施形態では、無線式ネットワーク１０３からのネットワークトラフィックは、顧客のサイトから遠隔に位置する１つ以上のデータセンタに配置され得る１つ以上のコアコンピューティングデバイス１１８にバックホールされる。コアコンピューティングデバイス１１８はまた、インターネット及び／または他の外部の公衆またはプライベートネットワークに対応し得るネットワーク１２１への、及びネットワーク１２１からのネットワークトラフィックのルーティングを含む、様々なネットワーク機能を実行し得る。コアコンピューティングデバイス１１８は、通信ネットワーク１００の管理に関連する機能（例えば、請求、モビリティ管理など）と、通信ネットワーク１００と他のネットワークとの間のトラフィックを中継するためのトランスポート機能とを実行し得る。

【0036】

図２Ａは、いくつかの実施形態による、クラウドプロバイダネットワーク２０３を含み、さらに、図１の通信ネットワーク１００内のオンプレミス顧客デプロイと組み合わせて使用され得るクラウドプロバイダネットワーク２０３の様々なプロバイダサブストレートエクステンションを含むネットワーク環境２００の例を示す。クラウドプロバイダネットワーク２０３（単に「クラウド」と呼ばれることもある）は、ネットワークでアクセス可能なコンピューティングリソース（計算、ストレージ、及びネットワーキングリソース、アプリケーション、及びサービスなど）のプールを指し、これらは仮想化またはベアメタルの場合がある。クラウドは、顧客のコマンドに応答して、プログラムでプロビジョニング及びリリースされ得る構成可能なコンピューティングリソースの共有プールへの便利なオンデマンドネットワークアクセスを提供し得る。これらのリソースは、変動する負荷に合わせて調整されるように、動的にプロビジョニングされ、再構成されることがある。したがって、クラウドコンピューティングは、公衆アクセス可能なネットワーク（例えば、インターネット、セルラ通信ネットワーク）を介してサービスとして配信されるアプリケーションと、それらのサービスを提供するクラウドプロバイダのデータセンタ内のハードウェア及びソフトウェアとの両方と見なすことができる。

【0037】

クラウドプロバイダネットワーク２０３は、ネットワークを介してオンデマンドでスケーラブルなコンピューティングプラットフォームをユーザに提供することができ、例えば、ユーザが（中央処理装置（ＣＰＵ）及びグラフィックス処理装置（ＧＰＵ）の一方または両方の使用を介して、任意選択でローカルストレージを用いて、計算インスタンスを提供する）計算サーバ及び（指定された計算インスタンスに仮想化された永続的なブロックストレージを提供する）ブロックストアサーバの使用を介して、スケーラブルな「仮想コンピューティングデバイス」を自由に持つことができるようにする。これらの仮想コンピューティングデバイスは、ハードウェア（様々なタイプのプロセッサ、ローカルメモリ、ランダムアクセスメモリ（ＲＡＭ）、ハードディスク、及び／またはソリッドステートドライブ（ＳＳＤ）ストレージ）、選ばれたオペレーティングシステム、ネットワーク機能、及びプリロードされたアプリケーションソフトウェアを含むパーソナルコンピューティングデバイスの属性を有する。各仮想コンピューティングデバイスはまた、そのコンソール入出力（例えば、キーボード、ディスプレイ、及びマウス）を仮想化することもある。この仮想化により、ユーザは、ブラウザ、ＡＰＩ、ソフトウェア開発キット（ＳＤＫ）などのコンピュータアプリケーションを使用して自身の仮想コンピューティングデバイスに接続することによって、パーソナルコンピューティングデバイスであるかのように、自身の仮想コンピューティングデバイスを構成及び使用することが可能になる。ユーザが利用可能な固定量のハードウェアリソースを所有するパーソナルコンピューティングデバイスとは異なり、仮想コンピューティングデバイスに関連付けられたハードウェアは、ユーザが必要とするリソースに応じてスケールアップまたはスケールダウンすることができる。

【0038】

前述のとおり、ユーザは、中間ネットワーク（複数可）２１２経由で、様々なインターフェース２０６（例えば、ＡＰＩ）を使用して、仮想化コンピューティングデバイス及び他のクラウドプロバイダネットワーク２０３のリソース及びサービスに接続し、５Ｇネットワークなどの電気通信ネットワークを構成して管理することができる。ＡＰＩは、クライアントが事前定義された形式で要求を行った場合に、クライアントが特定の形式で応答を受信する、または定義されたアクションを開始させる必要があるように、クライアントデバイス２１５とサーバとの間のインターフェース２０６及び／または通信プロトコルを参照する。クラウドプロバイダネットワークの状況では、ＡＰＩは、顧客がクラウドプロバイダネットワーク２０３からデータを取得したり、クラウドプロバイダネットワーク２０３内でアクションを実行したりできるようにすることで、顧客がクラウドインフラストラクチャにアクセスするためのゲートウェイを提供し、クラウドプロバイダネットワーク２０３でホストされているリソースやサービスと対話するアプリケーションの開発を可能にする。ＡＰＩは、クラウドプロバイダネットワーク２０３の様々なサービスが相互にデータを交換できるようにすることもできる。ユーザは自身の仮想コンピューティングシステムをデプロイして、自身で使用するための、及び／または自身の顧客もしくはクライアントが使用するための、ネットワークベースのサービスを提供することを選ぶことができる。

【0039】

クラウドプロバイダネットワーク２０３は、サブストレートと呼ばれる物理ネットワーク（例えば、板金ボックス、ケーブル、ラックハードウェア）を含むことができる。サブストレートは、プロバイダネットワークのサービスを実行する物理ハードウェアを含むネットワークファブリックと見なすことができる。サブストレートは、クラウドプロバイダネットワーク２０３の残りの部分から隔離されていてもよく、例えば、サブストレートネットワークアドレスから、クラウドプロバイダのサービスを実行する実稼働ネットワーク内のアドレスへ、または顧客リソースをホストする顧客ネットワークへルーティングすることが不可能な場合がある。

【0040】

クラウドプロバイダネットワーク２０３は、サブストレート上で実行される仮想化コンピューティングリソースのオーバレイネットワークを含むこともある。少なくともいくつかの実施形態では、ネットワークサブストレート上のハイパーバイザまたは他のデバイスまたはプロセスは、カプセル化プロトコル技術を使用して、プロバイダネットワーク内の異なるホスト上のクライアントリソースインスタンス間のネットワークサブストレート上でネットワークパケット（例えば、クライアントＩＰパケット）をカプセル化し、ルーティングすることがある。カプセル化プロトコル技術は、カプセル化されたパケット（ネットワークサブストレートパケットとも呼ばれる）を、オーバレイネットワークパスまたはルートを介してネットワークサブストレート上のエンドポイント間でルーティングするように、ネットワークサブストレート上で使用され得る。カプセル化プロトコル技術は、ネットワークサブストレート上にオーバレイされた仮想ネットワークトポロジを提供するものと見なされ得る。そのため、ネットワークパケットは、オーバレイネットワーク内の構成体（例えば、仮想プライベートクラウド（ＶＰＣ）と呼ばれ得る仮想ネットワーク、セキュリティグループと呼ばれ得るポート／プロトコルファイアウォール構成）に従って、サブストレートネットワークに沿ってルーティングされ得る。マッピングサービス（図示せず）は、これらのネットワークパケットのルーティングを連係させ得る。マッピングサービスは、オーバレイインターネットプロトコル（ＩＰ）とネットワーク識別子との組み合わせをサブストレートＩＰにマッピングする地域的分散ルックアップサービスであってもよく、分散サブストレートコンピューティングデバイスがパケットの送信先を検索できるようにする。

【0041】

例示すると、各物理ホストデバイス（例えば、計算サーバ、ブロックストアサーバ、オブジェクトストアサーバ、制御サーバ）は、サブストレートネットワーク内にＩＰアドレスを有することがある。ハードウェア仮想化技術を使用すると、複数のオペレーティングシステムをホストコンピュータ上で、例えば、計算サーバ上の仮想マシン（ＶＭ）として、同時に実行することが可能になり得る。ホスト上のハイパーバイザ、または仮想マシンモニタ（ＶＭＭ）は、ホスト上の様々なＶＭにホストのハードウェアリソースを割り振り、ＶＭの実行を監視する。各ＶＭには、オーバレイネットワーク内の１つ以上のＩＰアドレスが与えられてもよく、ホスト上のＶＭＭは、ホスト上のＶＭのＩＰアドレスを認識している場合がある。ＶＭＭ（及び／またはネットワークサブストレート上の他のデバイスまたはプロセス）は、カプセル化プロトコル技術を使用して、クラウドプロバイダネットワーク２０３内の異なるホスト上の仮想化リソース間のネットワークサブストレート上でネットワークパケット（例えば、クライアントＩＰパケット）をカプセル化し、ルーティングすることがある。カプセル化プロトコル技術は、カプセル化されたパケットを、オーバレイネットワークパスまたはルートを介してネットワークサブストレート上のエンドポイント間でルーティングするように、ネットワークサブストレート上で使用され得る。カプセル化プロトコル技術は、ネットワークサブストレート上にオーバレイされた仮想ネットワークトポロジを提供するものと見なされ得る。カプセル化プロトコル技術には、ＩＰオーバレイアドレス（例えば、顧客に見えるＩＰアドレス）をサブストレートＩＰアドレス（顧客に見えないＩＰアドレス）にマッピングするマッピングディレクトリを維持するマッピングサービスが含まれ得、このマッピングディレクトリは、エンドポイント間でパケットをルーティングするためにクラウドプロバイダネットワーク２０３上の様々なプロセスによってアクセスされ得る。

【0042】

図示するように、クラウドプロバイダネットワークサブストレートのトラフィック及び動作は、様々な実施形態において、論理コントロールプレーン２１８上で搬送されるコントロールプレーントラフィック、及び論理データプレーン２２１上で搬送されるデータプレーンオペレーションという２つのカテゴリに大まかに細分され得る。データプレーン２２１は、分散コンピューティングシステムを介したユーザデータの移動を表し、コントロールプレーン２１８は、分散コンピューティングシステムを介した制御信号の移動を表す。コントロールプレーン２１８は、一般に、１つ以上の制御サーバにわたって分散され、１つ以上の制御サーバによって実装される、１つ以上のコントロールプレーンコンポーネントまたはサービスを含む。コントロールプレーントラフィックには、一般に、様々な顧客向けに分離された仮想ネットワークの確立、リソースの使用状況や健全性の監視、要求された計算インスタンスが起動される特定のホストまたはサーバの識別、必要に応じた追加ハードウェアのプロビジョニングなどの管理動作が含まれる。データプレーン２２１は、クラウドプロバイダネットワーク２０３上に実装される顧客リソース（例えば、計算インスタンス、コンテナ、ブロックストレージボリューム、データベース、ファイルストレージ）を含む。データプレーントラフィックには、一般に、顧客リソースとの間のデータ転送などの非管理動作が含まれる。

【0043】

コントロールプレーンコンポーネントは、通常、データプレーンサーバとは別個のサーバのセットに実装され、コントロールプレーントラフィックとデータプレーントラフィックとは別個の異なるネットワーク経由で送信される場合がある。いくつかの実施形態では、コントロールプレーントラフィックとデータプレーントラフィックとは、異なるプロトコルによってサポートされ得る。いくつかの実施形態では、クラウドプロバイダネットワーク２０３を介して送信されるメッセージ（例えば、パケット）は、トラフィックがコントロールプレーントラフィックであるかデータプレーントラフィックであるかを示すフラグを含む。いくつかの実施形態では、トラフィックのペイロードを検査して、そのタイプ（例えば、コントロールプレーンかデータプレーンか）を判定することがある。トラフィックタイプを区別するための他の手法も可能である。

【0044】

図示するように、データプレーン２２１は、ベアメタル（例えば、単一テナント）であってもよく、または１以上の顧客向けに複数のＶＭ（「インスタンス」と呼ばれることもある）もしくはマイクロＶＭを実行するために、ハイパーバイザによって仮想化されてもよい、１つ以上の計算サーバを含むことがある。これらの計算サーバは、クラウドプロバイダネットワーク２０３の仮想化コンピューティングサービス（または「ハードウェア仮想化サービス」）をサポートすることができる。仮想化コンピューティングサービスは、コントロールプレーン２１８の一部であってもよく、顧客がインターフェース２０６（例えば、ＡＰＩ）を介してコマンドを発行して、アプリケーションのための計算インスタンス（例えば、ＶＭ、コンテナ）を起動し、管理することを可能にする。仮想化コンピューティングサービスは、様々な計算リソース及び／またはメモリリソースを備えた仮想計算インスタンスを提供することがある。一実施形態では、仮想計算インスタンスのそれぞれは、いくつかのインスタンスタイプのうちの１つに対応してもよい。インスタンスタイプは、そのハードウェアタイプ、計算リソース（例えば、ＣＰＵまたはＣＰＵコアの数、タイプ、及び構成）、メモリリソース（例えば、ローカルメモリの容量、タイプ、及び構成）、ストレージリソース（例えば、ローカルにアクセス可能なストレージの容量、タイプ、及び構成）、ネットワークリソース（例えば、そのネットワークインターフェースの特性及び／またはネットワーク機能）、及び／または他の適切な記述的特性によって特徴付けられ得る。インスタンスタイプ選択機能を使用して、例えば顧客からの入力に（少なくとも部分的に）基づいて、顧客のためにインスタンスタイプを選択することがある。例えば、顧客は、事前定義されたインスタンスタイプのセットからインスタンスタイプを選択することができる。別の例として、顧客は、インスタンスタイプの所望のリソース及び／またはインスタンスが実行するワークロードの要件を指定することがあり、インスタンスタイプ選択機能が、そのような仕様に基づいてインスタンスタイプを選択してもよい。

【0045】

データプレーン２２１はまた、１つ以上のブロックストアサーバを含むことがあり、これは、顧客データのボリュームを格納するための永続ストレージ、及びこれらのボリュームを管理するためのソフトウェアを含むことがある。このようなブロックストアサーバは、クラウドプロバイダネットワーク２０３のマネージドブロックストレージサービスをサポートし得る。マネージドブロックストレージサービスは、コントロールプレーン２１８の一部であり、顧客がインターフェース２０６（例えば、ＡＰＩ）を介してコマンドを発行して、計算インスタンス上で実行されるアプリケーションのボリュームを作成し、管理することを可能にする。ブロックストアサーバは、データがブロックとして記憶される１つ以上のサーバを含む。ブロックはバイトまたはビットのシーケンスであり、ブロックサイズの最大長を有する整数個のレコードを通常は含む。ブロック化されたデータは通常、データバッファに記憶され、一度にブロック全体が読み書きされる。一般に、ボリュームは、ユーザに代わって維持されるデータのセットなどの、論理的なデータの集合体に対応することができる。例えば１ＧＢから１テラバイト（ＴＢ）以上のサイズの範囲の個々のハードドライブとして扱うことができるユーザボリュームは、ブロックストアサーバに記憶された１つ以上のブロックで構成される。個々のハードドライブとして扱われるが、ボリュームは、１つ以上の基礎となる物理ホストデバイス上に実装された１つ以上の仮想化デバイスとして記憶され得ることは理解されよう。ボリュームは、少数回（例えば、最大１６回）パーティション分割され、各パーティションが異なるホストによってホストされてよい。ボリュームのデータは、ボリュームの複数のレプリカを提供するために、クラウドプロバイダネットワーク２０３内の複数のデバイス間で複製され得る（そのようなレプリカは、コンピューティングシステム上のボリュームを集合的に表し得る）。分散コンピューティングシステムにおけるボリュームのレプリカは、有益なことに、例えば、ユーザがボリュームの一次レプリカ、またはブロックレベルで一次レプリカと同期されたボリュームの二次レプリカのいずれかにアクセスできるようにして、一次または二次レプリカのいずれかの障害によって、ボリュームの情報へのアクセスが妨げられないようにすることで、自動的なフェイルオーバ及びリカバリを提供することができる。プライマリレプリカの役割は、ボリュームでの読み取り及び書き込み（「入出力操作」または単に「Ｉ／Ｏ操作」と呼ばれることもある）を容易にし、かつ任意の書き込みをセカンダリに（非同期レプリケーションを使用することもあるが、好ましくは、Ｉ／Ｏパスで同期して）反映させることであり得る。セカンダリレプリカは、プライマリレプリカと同期して更新され、フェイルオーバ動作中にシームレスな移行を提供することができ、これにより、セカンダリレプリカがプライマリレプリカの役割を引き継ぎ、以前のプライマリがセカンダリとして指定されるか、または新しい代替セカンダリレプリカがプロビジョニングされる。本明細書の特定の例では、プライマリレプリカとセカンダリレプリカとについて説明するが、論理ボリュームは複数のセカンダリレプリカを含み得ることが理解されよう。計算インスタンスは、クライアント経由でボリュームへのそのＩ／Ｏを仮想化することがある。クライアントは、計算インスタンスが、リモートデータボリューム（例えば、ネットワーク経由でアクセスされる物理的に別個のコンピューティングデバイスに格納されているデータボリューム）に接続し、リモートデータボリュームでＩ／Ｏ操作を実行できるようにする命令に相当する。クライアントは、計算インスタンスの処理ユニット（例えば、ＣＰＵまたはＧＰＵ）を含むサーバのオフロードカード上に実装され得る。

【0046】

データプレーン２２１は、クラウドプロバイダネットワーク２０３内の別のタイプのストレージに相当する、１つ以上のオブジェクトストアサーバを含むこともある。オブジェクトストレージサーバは、バケットと呼ばれるリソース内にオブジェクトとしてデータが記憶される１つ以上のサーバを含み、クラウドプロバイダネットワーク２０３のマネージドオブジェクトストレージサービスをサポートするために使用されることがある。各オブジェクトは、典型的には、記憶されているデータと、記憶されたオブジェクトの分析に関するオブジェクトストレージサーバの様々な機能を可能にする可変量のメタデータと、オブジェクトを取り出すために使用できるグローバルに一意の識別子またはキーと、を含む。各バケットは、所与のユーザアカウントに関連付けられる。顧客は自身のバケット内に所望の数のオブジェクトを記憶することができ、自身のバケット内のオブジェクトの書き込み、読み出し、及び削除を行うことができ、自身のバケット及びその中に含まれているオブジェクトへのアクセスを制御することができる。さらに、いくつかの異なるオブジェクトストレージサーバが上述のリージョンのうちの異なるリージョンに分散された実施形態では、ユーザは、例えば遅延を最適化するために、バケットが記憶されるリージョン（または複数のリージョン）を選ぶことができる。顧客は、バケットを使用して、ＶＭの起動に使用できるマシンイメージや、ボリュームのデータの特定時点のビューを表すスナップショットなど、様々なタイプのオブジェクトを保存することができる。

【0047】

プロバイダサブストレートエクステンション２２４（「ＰＳＥ」）は、電気通信ネットワークなどの別個のネットワーク内でクラウドプロバイダネットワーク２０３のリソース及びサービスを提供し、それによって（例えば、顧客のデバイスとの通信の遅延、法令順守、セキュリティなどに関連する理由で）クラウドプロバイダネットワーク２０３の機能を新しいロケーションに拡張する。いくつかの実施態様では、ＰＳＥ２２４は、電気通信ネットワーク内で実行するクラウドベースのワークロードに容量を提供するように構成することができる。いくつかの実施態様では、ＰＳＥ２２４は、電気通信ネットワークのコア及び／またはＲＡＮ機能を提供するように構成することができ、追加のハードウェア（例えば、無線アクセスハードウェア）を用いて構成することができる。いくつかの実施態様は、例えば、コア及び／またはＲＡＮ機能によって未使用の容量をクラウドベースのワークロードの実行に使用できるようにすることにより、両方を可能にするように構成され得る。

【0048】

図示するように、そのようなプロバイダサブストレートエクステンション２２４は、他の可能なタイプのサブストレートエクステンションの中でもとりわけ、クラウドプロバイダネットワークマネージドプロバイダサブストレートエクステンション２２７（例えば、クラウドプロバイダネットワーク２０３に関連するものとは別のクラウドプロバイダ管理の施設内に位置するサーバによって形成される）、通信サービスプロバイダサブストレートエクステンション２３０（例えば、通信サービスプロバイダ施設に関連付けられたサーバによって形成される）、顧客マネージドプロバイダサブストレートエクステンション２３３（例えば、顧客またはパートナー施設のオンプレミスに位置するサーバによって形成される）を含むことができる。

【0049】

例示的なプロバイダサブストレートエクステンション２２４に示すように、プロバイダサブストレートエクステンション２２４は、同様に、クラウドプロバイダネットワーク２０３のコントロールプレーン２１８とデータプレーン２２１とをそれぞれ拡張する、コントロールプレーン２３６とデータプレーン２３９との間の論理的分離を含むことができる。プロバイダサブストレートエクステンション２２４は、様々な種類のコンピューティング関連リソースをサポートするために、ソフトウェア及び／またはファームウェア要素を備えたハードウェアの適切な組み合わせを用いて、そうするためにクラウドプロバイダネットワーク２０３を使用する経験を反映するように、例えばクラウドプロバイダネットワークオペレータによって事前に構成されてもよい。例えば、１つ以上のプロバイダサブストレートエクステンションロケーションサーバが、プロバイダサブストレートエクステンション２２４内でのデプロイのためにクラウドプロバイダによってプロビジョニングされ得る。上記のように、クラウドプロバイダネットワーク２０３は、事前定義されたインスタンスタイプのセットを提供することがあり、それぞれが基盤となるハードウェアリソースの様々なタイプ及び量を有する。各インスタンスタイプは、様々なサイズで提供される場合もある。顧客がリージョン内で使用しているのと同じインスタンスのタイプ及びサイズをプロバイダサブストレートエクステンション２２４で使用し続けることができるようにするために、サーバは異種サーバであってもよい。異種サーバは、同じタイプの複数のインスタンスサイズを同時にサポートすることができ、その基盤となるハードウェアリソースによってサポートされているいかなるインスタンスタイプもホストするように再構成することもできる。異種サーバの再構成は、サーバの利用可能な容量を使用してオンザフライで実行することができ、つまり、他のＶＭがまだ実行中であり、プロバイダサブストレートエクステンションロケーションサーバの他の容量を消費している間に、実行することができる。これにより、サーバ上で実行中のインスタンスをより適切にパッキングできるようにすることによって、エッジロケーション内のコンピューティングリソースの利用を改善することができ、また、クラウドプロバイダネットワーク２０３及びクラウドプロバイダネットワークマネージドプロバイダサブストレートエクステンション２２７にわたるインスタンスの使用に関するシームレスな経験を提供することもできる。

【0050】

プロバイダサブストレートエクステンションサーバは、１つ以上の計算インスタンスをホストすることがある。計算インスタンスは、コードとその依存関係の全てとをパッケージ化するＶＭ、またはコンテナであってもよく、その結果、アプリケーションがコンピューティング環境（例えば、ＶＭ及びマイクロＶＭを含む）全体で迅速かつ確実に実行できるようにする。さらに、顧客の希望に応じて、サーバは１つ以上のデータボリュームをホストすることがある。クラウドプロバイダネットワーク２０３のリージョンでは、そのようなボリュームは専用のブロックストアサーバ上でホストされ得る。しかしながら、プロバイダサブストレートエクステンション２２４の容量がリージョン内よりも著しく小さい可能性があるため、プロバイダサブストレートエクステンション２２４がそのような専用ブロックストアサーバを含む場合、最適な利用経験が提供されない可能性がある。したがって、ブロックストレージサービスは、ＶＭの１つがブロックストアソフトウェアを実行してボリュームのデータを保存するように、プロバイダサブストレートエクステンション２２４内で仮想化されることがある。クラウドプロバイダネットワーク２０３のリージョンにおけるブロックストレージサービスの動作と同様に、プロバイダサブストレートエクステンション２２４内のボリュームは、耐久性及び可用性のために複製されてもよい。ボリュームは、プロバイダサブストレートエクステンション２２４内の独自の分離された仮想ネットワーク内でプロビジョニングされ得る。計算インスタンス及び任意のボリュームは、プロバイダサブストレートエクステンション２２４内のプロバイダネットワークデータプレーン２２１のデータプレーン２３９エクステンションを集合的に構成する。

【0051】

プロバイダサブストレートエクステンション２２４内のサーバは、いくつかの実施態様では、特定のローカルコントロールプレーンコンポーネント、例えば、クラウドプロバイダネットワーク２０３に戻る接続が切断された場合にプロバイダサブストレートエクステンション２２４が機能し続けることを可能にするコンポーネントをホストすることがある。これらのコンポーネントの例には、可用性を維持するために必要に応じてプロバイダサブストレートエクステンションサーバ間で計算インスタンスを移動できる移行マネージャや、ボリュームレプリカのロケーションを示すキーバリューデータストアが含まれる。しかしながら、一般に、プロバイダサブストレートエクステンション２２４のコントロールプレーン２３６機能は、顧客がプロバイダサブストレートエクステンション２２４のリソース容量をできるだけ多く使用できるようにするために、クラウドプロバイダネットワーク２０３にとどまる。

【0052】

移行マネージャは、ＰＳＥサーバ（及びクラウドプロバイダのデータセンタのサーバ）上で実行されるローカルコントローラだけでなく、リージョン内で実行される集中連係コンポーネントを有する場合がある。集中連係コンポーネントは、移行がトリガされたときにターゲットエッジロケーション及び／またはターゲットホストを識別することができ、ローカルコントローラはソースホストとターゲットホストとの間のデータ転送を連係させることができる。異なるロケーションにあるホスト間での説明されているリソースの移動は、いくつかの移行形式のうちの１つを取り得る。移行とは、クラウドコンピューティングネットワーク内のホスト間で、またはクラウドコンピューティングネットワーク外のホストとクラウド内のホストとの間で、仮想マシンインスタンス（及び／またはその他のリソース）を移動することを指す。ライブ移行や再起動移行など、様々な種類の移行がある。再起動移行中に、顧客は仮想マシンインスタンスの停止と効果的な電源入れ直しとを経験する。例えば、コントロールプレーンサービスは、元のホスト上の現在のドメインを破棄し、その後、新しいホスト上に仮想マシンインスタンス用の新しいドメインを作成することを含む再起動移行ワークフローを連係させ得る。インスタンスは、元のホストでシャットダウンされ、新しいホストで再度起動させることによって、再起動される。

【0053】

ライブ移行とは、仮想マシンの可用性を大幅に損なうことなく（例えば、仮想マシンのダウンタイムがエンドユーザに気付かれない）実行中の仮想マシンまたはアプリケーションを異なる物理マシン間で移動させるプロセスを指す。コントロールプレーンが、ライブ移行ワークフローを実行すると、インスタンスに関連付けられた新しい「非アクティブ」ドメインを作成できるが、インスタンスの元のドメインは引き続き「アクティブ」ドメインとして実行される。仮想マシンのメモリ（実行中のアプリケーションの任意のメモリ内状態を含む）、ストレージ、及びネットワーク接続性は、アクティブなドメインを持つ元のホストから非アクティブなドメインを持つ宛先ホストまで移転される。仮想マシンは、メモリの内容を宛先ホストに転送している間、状態の変化を防ぐために、短く一時停止される場合がある。コントロールプレーンは、非アクティブドメインをアクティブドメイン化するように移行させ、元のアクティブドメインを降格させて非アクティブドメイン化し得（「フリップ」とも呼ばれる）、その後、非アクティブドメインを破棄し得る。

【0054】

様々なタイプの移行手法には、クリティカルフェーズ（顧客が仮想マシンインスタンスを利用できない時間）の管理が含まれており、このフェーズはできるだけ短くする必要がある。現在開示されている移行手法では、１つ以上の中間ネットワーク２１２を介して接続され得る地理的に離れたロケーションにあるホスト間でリソースが移動されるので、この管理は特に困難となる可能性がある。ライブ移行の場合、開示された手法は、例えば、ロケーション間の遅延、ネットワーク帯域幅／使用パターン、及び／またはインスタンスによってどのメモリページが最も頻繁に使用されるかに基づいて、事前（例えば、インスタンスがまだソースホスト上で実行されている間）にコピーするメモリ状態データの量、及びコピー後（例えば、インスタンスが宛先ホスト上で実行を開始した後）のメモリ状態データの量を動的に判定することができる。さらに、メモリ状態データが転送される特定の時刻は、ロケーション間のネットワークの状態に基づいて動的に判定することができる。この分析は、リージョン内の移行管理コンポーネントによって、またはソースエッジロケーションでローカルに実行されている移行管理コンポーネントによって、実行されてもよい。インスタンスが仮想化ストレージにアクセスできる場合、ソースドメインとターゲットドメインとの両方をストレージに同時にアタッチして、移行中やソースドメインへのロールバックが必要な場合に、そのデータへの中断のないアクセスを可能にし得る。

【0055】

プロバイダサブストレートエクステンション２２４で実行されるサーバソフトウェアは、クラウドプロバイダサブストレートネットワーク上で実行されるようにクラウドプロバイダによって設計されてもよく、このソフトウェアは、ローカルネットワークマネージャ（複数可）２４２を使用してエッジロケーション内にサブストレートネットワークのプライベートレプリカ（「シャドウサブストレート」）を作成することにより、プロバイダサブストレートエクステンション２２４内で変更せずに実行することが可能になり得る。ローカルネットワークマネージャ（複数可）２４２は、プロバイダサブストレートエクステンション２２４サーバ上で動作し、例えば、クラウドプロバイダネットワーク２０３内のプロバイダサブストレートエクステンション２２４とプロキシ２４５、２４８との間の１つまたは複数の仮想プライベートネットワーク（ＶＰＮ）エンドポイントとして機能することにより、ならびに（データプレーンプロキシ２４８からの）データプレーントラフィック及び（コントロールプレーンプロキシ２４５からの）コントロールプレーントラフィックを適切なサーバ（複数可）に関連付ける（トラフィックのカプセル化及びカプセル化解除のための）マッピングサービスを実装することにより、シャドウサブストレートをプロバイダサブストレートエクステンション２２４ネットワークとブリッジさせることができる。プロバイダネットワークのサブストレートオーバレイマッピングサービスのローカルバージョンを実装することにより、ローカルネットワークマネージャ（複数可）２４２は、プロバイダサブストレートエクステンション２２４内のリソースがクラウドプロバイダネットワーク２０３内のリソースとシームレスに通信できるようにする。いくつかの実施態様では、単一のローカルネットワークマネージャ２４２が、プロバイダサブストレートエクステンション２２４内の計算インスタンスをホストする全てのサーバに対してこれらのアクションを実行することがある。他の実施態様では、計算インスタンスをホストするサーバのそれぞれが、専用のローカルネットワークマネージャ２４２を有してもよい。マルチラックエッジロケーションでは、ローカルネットワークマネージャ２４２が互いに開いたトンネルを維持して、ラック間通信はローカルネットワークマネージャ２４２を経由することができる。

【0056】

プロバイダサブストレートエクステンションロケーションは、例えば、プロバイダサブストレートエクステンション２２４ネットワーク及び（公共のインターネットを含む可能性がある）その他の中間ネットワーク２１２を通過する際に、顧客データのセキュリティを維持するため、プロバイダサブストレートエクステンション２２４ネットワークを経由してクラウドプロバイダネットワーク２０３に至る安全なネットワークトンネルを利用することができる。クラウドプロバイダネットワーク２０３内では、これらのトンネルは、（例えば、オーバレイネットワーク内の）分離された仮想ネットワーク、コントロールプレーンプロキシ２４５、データプレーンプロキシ２４８、及びサブストレートネットワークインターフェースを含む仮想インフラストラクチャコンポーネントで構成される。このようなプロキシ２４５、２４８は、計算インスタンス上で実行されるコンテナとして実装され得る。いくつかの実施形態では、計算インスタンスをホストするプロバイダサブストレートエクステンション２２４ロケーションにある各サーバは、少なくとも２つのトンネルを利用することができる。１つはコントロールプレーントラフィック（例えば、コンストレインドアプリケーションプロトコル（ＣｏＡＰ）トラフィック）用であり、もう１つはカプセル化されたデータプレーントラフィック用である。クラウドプロバイダネットワーク２０３内の接続マネージャ（図示せず）は、これらのトンネル及びそのコンポーネントのクラウドプロバイダネットワーク側のライフサイクルを、例えば、必要に応じてそれらを自動的にプロビジョニングし、それらを健全な動作状態に維持することによって管理する。いくつかの実施形態では、プロバイダサブストレートエクステンション２２４ロケーションとクラウドプロバイダネットワーク２０３との間の直接接続を、コントロールプレーン通信及びデータプレーン通信に使用することがある。他のネットワークを介したＶＰＮと比較して、直接接続は、そのネットワークパスが比較的固定され安定しているため、一定の帯域幅とより一貫したネットワークパフォーマンスとを提供する可能性がある。

【0057】

コントロールプレーン（ＣＰ）プロキシ２４５は、エッジロケーションにおける特定のホスト（複数可）を代表するために、クラウドプロバイダネットワーク２０３内でプロビジョニングされることがある。ＣＰプロキシ２４５は、クラウドプロバイダネットワーク２０３内のコントロールプレーン２１８とプロバイダサブストレートエクステンション２２４のコントロールプレーン２３６内のコントロールプレーンターゲットとの間の仲介役である。つまり、ＣＰプロキシ２４５は、プロバイダサブストレートエクステンションサーバ宛ての管理ＡＰＩトラフィックをリージョンサブストレートからプロバイダサブストレートエクステンション２２４へトンネリングさせるためのインフラストラクチャを提供する。例えば、クラウドプロバイダネットワーク２０３の仮想化コンピューティングサービスは、プロバイダサブストレートエクステンション２２４のサーバのＶＭＭにコマンドを発行して、計算インスタンスを起動することがある。ＣＰプロキシ２４５は、プロバイダサブストレートエクステンション２２４のローカルネットワークマネージャ２４２へのトンネル（例えば、ＶＰＮ）を維持する。ＣＰプロキシ２４５内に実装されたソフトウェアは、適格なＡＰＩトラフィックのみがサブストレートから出てサブストレートに戻ることを保証する。ＣＰプロキシ２４５は、サブストレートのセキュリティマテリアル（例えば、暗号化キー、セキュリティトークン）がクラウドプロバイダネットワーク２０３から流出するのを引き続き保護しながら、クラウドプロバイダサブストレート上のリモートサーバを公開するメカニズムを提供する。ＣＰプロキシ２４５によって課される一方向のコントロールプレーントラフィックトンネルはまた、任意の（侵害される可能性のある）デバイスがサブストレートにコールバックすることを防ぐ。ＣＰプロキシ２４５は、プロバイダサブストレートエクステンション２２４のサーバと１対１でインスタンス化することがあり、あるいは同じプロバイダサブストレートエクステンション２２４内の複数のサーバのコントロールプレーントラフィックを管理することができる場合がある。

【0058】

データプレーン（ＤＰ）プロキシ２４８もまた、プロバイダサブストレートエクステンション２２４内の特定のサーバ（複数可）を代表するために、クラウドプロバイダネットワーク２０３内でプロビジョニングされることがある。ＤＰプロキシ２４８は、サーバ（複数可）のシャドウまたはアンカーとして機能し、ホストの健全性（可用性、使用済み／空きの計算及び容量、使用済み／空きのストレージ及び容量、ならびにネットワーク帯域幅の使用状況／可用性を含む）を監視するために、クラウドプロバイダネットワーク２０３内のサービスによって使用されることがある。ＤＰプロキシ２４８はまた、クラウドプロバイダネットワーク２０３内のサーバ（複数可）のプロキシとして機能することにより、分離された仮想ネットワークがプロバイダサブストレートエクステンション２２４とクラウドプロバイダネットワーク２０３とに及ぶことを可能にする。各ＤＰプロキシ２４８は、パケット転送計算インスタンスまたはコンテナとして実装されることがある。図示するように、各ＤＰプロキシ２４８は、ＤＰプロキシ２４８が代表するサーバ（複数可）へのトラフィックを管理するローカルネットワークマネージャ２４２とのＶＰＮトンネルを維持することができる。このトンネルは、プロバイダサブストレートエクステンションサーバ（複数可）とクラウドプロバイダネットワーク２０３との間でデータプレーントラフィックを送信するために使用され得る。プロバイダサブストレートエクステンション２２４とクラウドプロバイダネットワーク２０３との間を流れるデータプレーントラフィックは、そのプロバイダサブストレートエクステンション２２４に関連付けられたＤＰプロキシ２４８を通過することができる。プロバイダサブストレートエクステンション２２４からクラウドプロバイダネットワーク２０３に流れるデータプレーントラフィックの場合、ＤＰプロキシ２４８は、カプセル化されたデータプレーントラフィックを受信し、その正確性を検証し、それがクラウドプロバイダネットワーク２０３に入るのを許可することがある。ＤＰプロキシ２４８は、カプセル化されたトラフィックをクラウドプロバイダネットワーク２０３から直接にプロバイダサブストレートエクステンション２２４まで転送することができる。

【0059】

ローカルネットワークマネージャ（複数可）２４２は、クラウドプロバイダネットワーク２０３内に確立されたプロキシ２４５、２４８との安全なネットワーク接続性を提供することができる。ローカルネットワークマネージャ２４２とプロキシ２４５、２４８との間の接続性が確立された後、顧客は、計算インスタンスをインスタンス化する（及び／または計算インスタンスを使用して他の動作を実行する）ために、クラウドプロバイダネットワーク２０３内でホストされる計算インスタンスに関してコマンドが発行されることになる方法と同じようにプロバイダサブストレートエクステンションリソースを使用して、インターフェース２０６を介して、そのようなコマンドを発行することがある。顧客の観点からすれば、顧客は、プロバイダサブストレートエクステンション２２４内のローカルリソース（及び所望であればクラウドプロバイダネットワーク２０３にあるリソース）をシームレスに使用できるようになった。プロバイダサブストレートエクステンション２２４でサーバ上にセットアップされた計算インスタンスは、所望に応じて、同じネットワーク内にある電子デバイス、及びクラウドプロバイダネットワーク２０３内にセットアップされた他のリソースの両方と通信することがある。プロバイダサブストレートエクステンション２２４と、そのエクステンションと結合されるネットワーク（例えば、通信サービスプロバイダサブストレートエクステンション２３０の例における通信サービスプロバイダネットワーク）との間のネットワーク接続性を提供するために、ローカルゲートウェイ２５１が実装されてもよい。

【0060】

状況によっては、オブジェクトストレージサービスとプロバイダサブストレートエクステンション（ＰＳＥ）２２４との間でのデータの移転が必要になる場合がある。例えば、オブジェクトストレージサービスは、ＶＭの起動に使用されるマシンイメージ、及びボリュームの特定時点のバックアップを表すスナップショットを保存することがある。オブジェクトゲートウェイは、ＰＳＥサーバまたは特殊なストレージデバイス上で提供し、顧客のワークロードに対するＰＳＥリージョンの遅延の影響を最小限に抑えるために、ＰＳＥ２２４内のオブジェクトストレージバケットのコンテンツの構成可能なバケットごとのキャッシュを顧客に提供することがある。オブジェクトゲートウェイは、ＰＳＥ２２４内のボリュームのスナップショットからのスナップショットデータを一時的に保存し、そして可能な場合にはリージョン内のオブジェクトサーバと同期することもある。オブジェクトゲートウェイは、顧客がＰＳＥ２２４内または顧客の構内で使用するために指定したマシンイメージを保存することもある。いくつかの実施態様では、ＰＳＥ２２４内のデータは一意のキーで暗号化され得、クラウドプロバイダは、セキュリティ上の理由から、キーがリージョンからＰＳＥ２２４に共有されることを制限することがある。したがって、オブジェクトストアサーバとオブジェクトゲートウェイとの間で交換されるデータは、暗号化キーまたは他の機密データに関するセキュリティ境界を維持するために、暗号化、復号化、及び／または再暗号化を利用することができる。変換の手段は、これらの操作を実行することができ、ＰＳＥ暗号化キーを使用してスナップショットデータとマシンイメージデータとを保存するために、ＰＳＥバケットが（オブジェクトストアサーバ上に）作成され得る。

【0061】

上記のようにして、それが、従来のクラウドプロバイダデータセンタの外側で顧客デバイスに近づいてクラウドプロバイダネットワーク２０３のリソース及びサービスを提供するという点で、ＰＳＥ２２４はエッジロケーションを形成する。本明細書で言及されるエッジロケーションは、いくつかの方法で構造化され得る。いくつかの実施態様では、エッジロケーションは、（例えば、顧客のワークロードの近くに位置し、どの可用性ゾーンからも離れている可能性がある、小規模なデータセンタ内の、またはクラウドプロバイダの他の施設内の）可用性ゾーンの外側に提供される限られた量の容量を含む、クラウドプロバイダネットワークサブストレートの拡張であり得る。そのようなエッジロケーションは、「ファーゾーン」（他の可用性ゾーンから遠いため）または「ニアゾーン」（顧客のワークロードに近いため）と呼ばれることがある。ニアゾーンは、インターネットなどの公的にアクセス可能なネットワークに、例えば直接、別のネットワーク経由で、またはリージョンへのプライベート接続経由で、様々な方法で接続され得る。通常、ニアゾーンは、リージョンに比べ容量が限られているが、場合によっては、ニアゾーンが、数千ラック以上などのかなりの容量を有することがある。

【0062】

いくつかの実施態様では、エッジロケーションは、顧客またはパートナー施設のオンプレミスに配置された１つ以上のサーバによって形成されるクラウドプロバイダネットワークサブストレートの拡張であってもよく、そのようなサーバ（複数可）は、ネットワーク（例えば、インターネットなどの公的にアクセス可能なネットワーク）を介して、クラウドプロバイダネットワーク２０３の近くの可用性ゾーンまたはリージョンと通信する。クラウドプロバイダネットワークデータセンタの外側に位置するこのタイプのサブストレートエクステンションは、クラウドプロバイダネットワーク２０３の「アウトポスト」と呼ぶことがある。いくつかのアウトポストは、例えば、電気通信データセンタ、電気通信アグリゲーションサイト、及び／または電気通信ネットワーク内の電気通信基地局にわたって広がる物理的インフラストラクチャを有するマルチアクセスエッジコンピューティング（ＭＥＣ）サイトとして、通信ネットワークに統合され得る。オンプレミスの例では、アウトポストの限られた容量は、その施設を所有する顧客（及び顧客が許可したその他の任意のアカウント）のみが使用できる場合がある。電気通信の例では、アウトポストの限られた容量は、電気通信ネットワークのユーザにデータを送信する複数のアプリケーション（例えば、ゲーム、仮想現実アプリケーション、ヘルスケアアプリケーション）間で共有され得る。

【0063】

エッジロケーションは、クラウドプロバイダネットワーク２０３の近くの可用性ゾーンのコントロールプレーンによって少なくとも部分的に制御されるデータプレーン容量を含むことができる。したがって、可用性ゾーングループは、「親」可用性ゾーンと、親可用性ゾーンをホームとする（例えば、少なくとも部分的にそのコントロールプレーンによって制御される）任意の「子」エッジロケーションとを含むことがある。特定の限られたコントロールプレーン機能（例えば、顧客リソースとの低遅延の通信を必要とする機能、及び／または親可用性ゾーンから切断されたときにエッジロケーションが機能し続けることを可能にする機能）もまた、いくつかのエッジロケーションに存在し得る。したがって、上記の例では、エッジロケーションは、顧客デバイス及び／またはワークロードに近い、クラウドプロバイダネットワーク２０３のエッジに位置する少なくともデータプレーン容量の拡張を指す。

【0064】

図１の例では、分散コンピューティングデバイス１１２（図１）、集中コンピューティングデバイス１１５（図１）、及びコアコンピューティングデバイス１１８（図１）は、クラウドプロバイダネットワーク２０３のプロバイダサブストレートエクステンション２２４として実装され得る。通信ネットワーク１００内でのプロバイダサブストレートエクステンション２２４の設置または配置は、通信ネットワーク１００の特定のネットワークトポロジまたはアーキテクチャに応じて変わり得る。プロバイダサブストレートエクステンション２２４は、一般に、通信ネットワーク１００がパケットベースのトラフィック（例えば、ＩＰベースのトラフィック）を発生させることができるどこにでも接続することができる。さらに、所与のプロバイダサブストレートエクステンション２２４とクラウドプロバイダネットワーク２０３との間の通信は、通常、通信ネットワーク１００の少なくとも一部を（例えば、安全なトンネル、仮想プライベートネットワーク、直接接続などを介して）安全に通過する。

【0065】

５Ｇワイヤレスネットワーク開発の取り組みでは、エッジロケーションがマルチアクセスエッジコンピューティング（ＭＥＣ）の実装の可能性として考慮されることがある。このようなエッジロケーションは、ユーザプレーン機能（ＵＰＦ）の一部としてデータトラフィックのブレイクアウトを提供する５Ｇネットワーク内の様々なポイントに接続することができる。古いワイヤレスネットワークでも、エッジロケーションを組み込むことができる。例えば、３Ｇワイヤレスネットワークでは、エッジロケーションは、サービング汎用パケット無線サービスサポートノード（ＳＧＳＮ）またはゲートウェイ汎用パケット無線サービスサポートノード（ＧＧＳＮ）など、通信ネットワーク１００のパケット交換ネットワーク部分に接続することができる。４Ｇワイヤレスネットワークでは、エッジロケーションは、コアネットワークまたは進化型パケットコア（ＥＰＣ）の一部として、サービングゲートウェイ（ＳＧＷ）またはパケットデータネットワークゲートウェイ（ＰＧＷ）に接続することができるいくつかの実施形態では、プロバイダサブストレートエクステンション２２４とクラウドプロバイダネットワーク２０３との間のトラフィックは、コアネットワークを介してルーティングすることなく、通信ネットワーク１００から切り離すことができる。

【0066】

いくつかの実施形態では、プロバイダサブストレートエクステンション２２４は、それぞれの顧客に関連付けられた複数の通信ネットワークに接続することがある。例えば、それぞれの顧客の２つの通信ネットワークが共通点を介してトラフィックを共有またはルーティングする場合、プロバイダサブストレートエクステンション２２４は両方のネットワークに接続され得る。例えば、各顧客は、そのネットワークアドレス空間の一部をプロバイダサブストレートエクステンション２２４に割り当てることがあり、プロバイダサブストレートエクステンション２２４は、通信ネットワーク１００のそれぞれと交換されるトラフィックを区別可能なルータまたはゲートウェイ２５１を含むことがある。例えば、あるネットワークからプロバイダサブストレートエクステンション２２４に宛てられたトラフィックは、別のネットワークから受信したトラフィックとは異なる宛先ＩＰアドレス、送信元ＩＰアドレス、及び／または仮想ローカルエリアネットワーク（ＶＬＡＮ）タグを有する可能性がある。プロバイダサブストレートエクステンション２２４からネットワークの１つにある宛先に向かうトラフィックも同様に、適切なＶＬＡＮタグ、（例えば、宛先ネットワークアドレス空間からプロバイダサブストレートエクステンション２２４に割り振られたプールからの）送信元ＩＰアドレス、及び宛先ＩＰアドレスを有するように、カプセル化することができる。

【0067】

図２Ｂは、高可用性ユーザプレーン機能（ＵＰＦ）を提供するための通信ネットワーク１００（図１）のセルラ化及び地理的分布の例２５３を示す。図２Ｂにおいて、ユーザデバイス２５４は、要求ルータ２５５と通信して、複数のコントロールプレーンセル２５７ａ及び２５７ｂのうちの１つに要求をルーティングする。各コントロールプレーンセル２５７は、ネットワークサービスＡＰＩゲートウェイ２６０、ネットワークスライス構成２６２、ネットワークサービス監視用機能２６４、サイト計画データ２６６（顧客のサイト要件を記述するレイアウト、デバイスタイプ、デバイス数量などを含む）、ネットワークサービス／機能カタログ２６８、ネットワーク機能オーケストレータ２７０、及び／または他のコンポーネントを含むことがある。大規模なエラーが広範囲の顧客に影響を与える可能性を減らすために、独立して動作させる１つ以上のセルを、例えば、顧客ごとに、ネットワークごとに、またはリージョンごとに設けることにより、大きなコントロールプレーンをセルに分割することがある。

【0068】

ネットワークサービス／機能カタログ２６８は、ＮＦリポジトリ機能（ＮＲＦ）とも呼ばれる。サービスベースアーキテクチャ（ＳＢＡ）５Ｇネットワークでは、コントロールプレーン機能と共通データリポジトリとは、マイクロサービスアーキテクチャを使用して構築された相互接続されたネットワーク機能のセットを介して配信され得る。ＮＲＦは、利用可能なＮＦインスタンスとそのサポートされるサービスとの記録を維持することができ、他のＮＦインスタンスがサブスクライブし、所与のタイプのＮＦインスタンスからの登録を通知されることを可能にする。したがって、ＮＲＦは、ＮＦインスタンスからの発見要求を受信することによってサービス発見をサポートし、どのＮＦインスタンスが特定のサービスをサポートするかを明示し得る。ネットワーク機能オーケストレータ２７０は、インスタンス化、スケールアウト／イン、パフォーマンス測定、イベント相関付け、及び終了を含むＮＦライフサイクル管理を実行することがある。ネットワーク機能オーケストレータ２７０は、新しいＮＦをオンボードすること、既存のＮＦの新しいバージョンまたは更新されたバージョンへの移行を管理すること、特定のネットワークスライスまたはより大きなネットワークに適したＮＦセットを識別すること、ならびに無線式ネットワーク１０３を構成する様々なコンピューティングデバイス及びサイトにわたってＮＦをオーケストレートすることもある（図１）。

【0069】

コントロールプレーンセル２５７は、ＲＡＮインターフェース２７３を通じた１つ以上のセルサイト２７２、１つ以上の顧客ローカルデータセンタ２７４、１つ以上のローカルゾーン２７６、及び１つ以上のリージョナルゾーン２７８と通信することがある。ＲＡＮインターフェース２７３は、セルサイト２７２において第三者通信サービスプロバイダによって動作されるＲＡＮ内で容量をプロビジョニングすることまたは解放することを促進するアプリケーションプログラミングインターフェース（ＡＰＩ）を含み得る。セルサイト２７２は、１つ以上の分散ユニット（ＤＵ）ネットワーク機能２８２を実行するコンピューティングハードウェア２８０を含む。顧客ローカルデータセンタ２７４は、１つ以上のＤＵまたは中央ユニット（ＣＵ）ネットワーク機能２８４、ネットワークコントローラ２８５、ＵＰＦ２８６、顧客のワークロードに対応する１つ以上のエッジアプリケーション２８７、及び／または他のコンポーネントを実行するコンピューティングハードウェア２８３を含む。

【0070】

ローカルゾーン２７６は、クラウドサービスプロバイダによって運営されるデータセンタ内にあってもよく、ＡＭＦ、ＳＭＦ、他のネットワーク機能のサービス及び能力を安全に公開するネットワーク公開機能（ＮＥＦ）、認可、登録、及びモビリティ管理のために加入者データを管理する統合データ管理（ＵＤＭ）機能などの１つ以上のコアネットワーク機能２８８を実行してもよい。ローカルゾーン２７６は、ＵＰＦ２８６、メトリック処理用サービス２８９、及び１つ以上のエッジアプリケーション２８７を実行することもある。

【0071】

リージョナルゾーン２７８は、クラウドサービスプロバイダによって運営されるデータセンタ内にあってもよく、１つ以上のコアネットワーク機能２８８；ＵＰＦ２８６；ネットワーク管理システム、サービス配信、サービス履行、サービス保証、及び顧客ケアをサポートする運用サポートシステム（ＯＳＳ）２９０；インターネットプロトコルマルチメディアサブシステム（ＩＭＳ）２９１；製品管理、顧客管理、収益管理、及び／または注文管理をサポートするビジネスサポートシステム（ＢＳＳ）２９２；１つ以上のポータルアプリケーション２９３、及び／または他のコンポーネントを実行してもよい。

【0072】

この例では、通信ネットワーク１００は、個々のコンポーネントの爆発半径を低減するために、セルラアーキテクチャを採用する。最上位レベルでは、個々のコントロールプレーンの障害が全てのデプロイに影響を与えるのを防ぐために、コントロールプレーンは複数のコントロールプレーンセル２５７内にある。

【0073】

各コントロールプレーンセル２５７内には、必要に応じてトラフィックをセカンダリスタックにシフトするコントロールプレーンを備えた複数の冗長スタックが設けられ得る。例えば、セルサイト２７２は、そのデフォルトのコアネットワークとして近くのローカルゾーン２７６を利用するように構成され得る。ローカルゾーン２７６が停止した場合、コントロールプレーンはセルサイト２７２をリダイレクトして、リージョナルゾーン２７８内のバックアップスタックを使用することができる。通常、インターネットからローカルゾーン２７６にルーティングされるトラフィックは、リージョナルゾーン２７８のエンドポイントにシフトされ得る。各コントロールプレーンセル２５７は、複数のサイトにわたって（可用性ゾーンまたはエッジサイトなどにわたって）共通のセッションデータベースを共有する「ステートレス」アーキテクチャを実装することがある。

【0074】

図３Ａは、いくつかの実施形態による、地理的に分散したプロバイダサブストレートエクステンション２２４（図２Ａ）（または「エッジロケーション３０３」）を含む例示的なクラウドプロバイダネットワーク２０３を示す。図示するように、クラウドプロバイダネットワーク２０３は、複数のリージョン３０６として形成されることがあり、ここでリージョン３０６とは、クラウドプロバイダが１つ以上のデータセンタ３０９を有する別個の地理的領域である。各リージョン３０６は、例えばファイバ通信接続などのプライベート高速ネットワークを介して互いに接続された２つ以上の可用性ゾーン（ＡＺ）を含むことがある。可用性ゾーンとは、他の可用性ゾーンに対して、別個の電源、別個のネットワーク、及び別個の冷却を備えた１つ以上のデータセンタ施設を含む、分離された障害ドメインを指す。クラウドプロバイダは、自然災害、大規模な停電、またはその他の予期せぬイベントによって同時に複数の可用性ゾーンがオフラインにならないように、リージョン３０６内で可用性ゾーンを相互に十分に離して配置するよう努める場合がある。顧客は、公的にアクセス可能なネットワーク（例えば、インターネット、セルラ通信ネットワーク、通信サービスプロバイダネットワーク）を介して、クラウドプロバイダネットワーク２０３の可用性ゾーン内のリソースに接続することができる。トランジットセンタ（ＴＣ）は、顧客をクラウドプロバイダネットワーク２０３にリンクさせる主要なバックボーンロケーションであり、他のネットワークプロバイダ施設（例えば、インターネットサービスプロバイダ、電気通信プロバイダ）と同じ場所に設置されてもよい。各リージョン３０６は、冗長性のために２つ以上のＴＣを動作させることができる。リージョン３０６は、各リージョン３０６を少なくとも１つの他のリージョンに接続するプライベートネットワークインフラストラクチャ（例えば、クラウドサービスプロバイダによって制御されるファイバ接続）を含むグローバルネットワークに接続される。クラウドプロバイダネットワーク２０３は、エッジロケーション３０３及びリージョナルエッジキャッシュサーバを介して、これらのリージョン３０６の外部にあるが、これらのリージョン３０６とネットワーク化されているポイントオブプレゼンス（「ＰｏＰ」）からコンテンツを配信することができる。コンピューティングハードウェアのこの区分化及び地理的分散により、クラウドプロバイダネットワーク２０３は、高度のフォールトトレランス及び安定性を有する地球規模の低遅延リソースアクセスを顧客に提供することができる。

【0075】

リージョナルデータセンタまたは可用性ゾーンの数と比較して、エッジロケーション３０３の数は、はるかに多くなる可能性がある。このようにエッジロケーション３０３を広範にわたりデプロイすることで、（リージョナルデータセンタに偶然にも非常に近いエンドユーザデバイスと比較して）はるかに大きなグループのエンドユーザデバイスに対して、クラウドへの低遅延接続を提供することができる。いくつかの実施形態では、各エッジロケーション３０３は、クラウドプロバイダネットワーク２０３の一部（例えば、親可用性ゾーンまたはリージョナルデータセンタ）にピアリングすることがある。このようなピアリングにより、クラウドプロバイダネットワーク２０３内で動作する様々なコンポーネントがエッジロケーション３０３のコンピューティングリソースを管理できるようになる。場合によっては、複数のエッジロケーション３０３が同じ施設（例えば、コンピュータシステムの別個のラック）に配置または設置され、追加の冗長性を提供するように異なるゾーンまたはデータセンタ３０９によって管理されてもよい。本明細書では、エッジロケーション３０３は通常、通信サービスプロバイダネットワークまたは無線式ネットワーク１０３（図１）内として示されているが、クラウドプロバイダネットワーク施設が通信サービスプロバイダ施設に比較的近い場合など、場合によっては、エッジロケーション３０３は、ファイバまたは別のネットワークリンクを介して通信サービスプロバイダネットワークに接続されている間、クラウドプロバイダネットワーク２０３の物理的敷地内に留まり得ることに留意されたい。

【0076】

エッジロケーション３０３は、いくつかの方法で構造化され得る。いくつかの実施態様では、エッジロケーション３０３は、（例えば、顧客のワークロードの近くに位置し、どの可用性ゾーンからも離れている可能性がある、小規模なデータセンタ３０９内の、またはクラウドプロバイダの他の施設内の）可用性ゾーンの外側に提供される限られた量の容量を含む、クラウドプロバイダネットワークサブストレートの拡張であり得る。そのようなエッジロケーション３０３は、（従来の可用性ゾーンよりもローカルまたはユーザのグループに近いため）ローカルゾーンと呼ばれることがある。ローカルゾーンは、インターネットなどの公的にアクセス可能なネットワークに、例えば直接、別のネットワーク経由で、またはリージョン３０６へのプライベート接続経由で、様々な方法で接続され得る。通常、ローカルゾーンは、リージョン３０６に比べ容量が限られているが、場合によっては、ローカルゾーンが、数千ラック以上などのかなりの容量を有することがある。ローカルゾーンの中には、本明細書で説明するエッジロケーション３０３インフラストラクチャの代わりに、典型的なクラウドプロバイダデータセンタと同様のインフラストラクチャを使用するものもあり得る。

【0077】

本明細書に示すように、クラウドプロバイダネットワーク２０３は、いくつかのリージョン３０６として形成することができ、各リージョン３０６は、クラウドプロバイダがデータセンタ３０９をクラスタ化する地理的エリアを表す。各リージョンは、プライベート高速ネットワーク、例えばファイバ通信接続を介して互いに接続された複数の（例えば、２つ以上の）可用性ゾーン（ＡＺ）をさらに含むことがある。ＡＺは、別のＡＺとは別個の電源、別個のネットワーク、及び別個の冷却を備えた１つ以上のデータセンタ施設を含む、分離された障害ドメインを提供し得る。リージョン３０６内のＡＺは、同じ自然災害（またはその他の障害を引き起こすイベント）が影響を与えたり、同時に複数のＡＺをオフラインにしたりしないように、互いに十分に離れたロケーションに配置することが好ましい。顧客は、公衆アクセス可能なネットワーク（インターネット、セルラ通信ネットワークなど）を介して、クラウドプロバイダネットワーク２０３のＡＺに接続できる。

【0078】

クラウドプロバイダネットワーク２０３のＡＺまたはリージョン３０６に対する所与のエッジロケーション３０３のペアレンティングは、いくつかの要因に基づき得る。そのようなペアレンティング要因の１つはデータ主権である。例えば、ある国の通信ネットワークから発信されたデータをその国内に保持するために、その通信ネットワーク内にデプロイされたエッジロケーション３０３を、その国内のＡＺまたはリージョン３０６に対してペアレンティングすることができる。もう１つの要因は、サービスの可用性である。例えば、一部のエッジロケーション３０３は、顧客データ用のローカル不揮発性ストレージ（例えば、ソリッドステートドライブ）、グラフィックスアクセラレータなどのコンポーネントの有無など、異なるハードウェア構成を有し得る。一部のＡＺまたはリージョン３０６には、それらの追加リソースを活用するためのサービスが不足している可能性があるため、エッジロケーション３０３は、それらのリソースの使用をサポートするＡＺまたはリージョン３０６に対してペアレンティングされ得る。別の要因は、ＡＺまたはリージョン３０６とエッジロケーション３０３との間の遅延である。通信ネットワーク内でのエッジロケーション３０３のデプロイは遅延の点で利益になるが、エッジロケーション３０３を遠隔のＡＺまたはリージョン３０６にペアレンティングし、それがエッジロケーション３０３のリージョントラフィックに対する大幅な遅延を導入することにより、それらの利益が打ち消される可能性がある。したがって、エッジロケーション３０３は、多くの場合、（ネットワーク遅延の観点から）近くのＡＺまたはリージョン３０６に対してペアレンティングされる。

【0079】

図３Ｂは、仮想プライベートクラウドネットワーク１０７を含むネットワーク環境２００の例を示し、仮想プライベートクラウドネットワーク１０７は、無線式ネットワーク１０３に結合された、ワイヤレスデバイス１０６（図１）などのような、クライアントデバイス２１５を含むようにクラウドプロバイダネットワーク２０３に及ぶ。クラウドプロバイダネットワーク２０３は、１つ以上のクラウドサービス３２０、１つ以上のファイアウォール３２３、１つ以上のゲートウェイ３２６、１つ以上の仮想ルータ３２９、及び／または他のコンポーネントを含み得る。仮想プライベートクラウドネットワーク１０７は、異種物理ネットワーク及び論理ネットワークの最上部または中に仮想的に存在する、ソフトウェアにより定義されたネットワークに対応し得る。

【0080】

仮想プライベートクラウドネットワーク１０７は、アクセス制御及びセキュリティ管理をサポートし得、アクセス制御及びセキュリティ管理は、仮想プライベートクラウドネットワーク１０７の全体にわたって、及びセキュリティグループなどの仮想プライベートクラウドネットワーク１０７のサブセット内で適用されることができる。仮想プライベートクラウドネットワーク１０７は、企業、教育機関、政府、または別の組織などの顧客のためにクラウドプロバイダによって動作され得る。仮想プライベートクラウドネットワーク１０７は、クラウドプロバイダネットワーク２０３とは別々のかつ顧客によって動作される１つ以上のオンプレミスネットワークへの１つ以上のプライベートネットワークリンクを含み得、その結果、それらのオンプレミスネットワーク上のデバイスも、仮想プライベートクラウドネットワーク１０７に接続される。

【0081】

クラウドサービス３２０は、多種多様な機能性を有効にするように構成され得る。様々な実施形態では、個々のクラウドサービス３２０は、顧客がマシンインスタンスなどの物理コンピューティングリソースまたは仮想コンピューティングリソースを動的に起動することを可能にするサービス、データがそれぞれのバケットに格納された最終的に一貫したデータストレージサービス、キーバリュー及びドキュメントデータ構造をサポートするデータベースサービス、分散されたメッセージキューイングサービス、ワークフロー管理サービス、及び／または他のサービスを提供し得る。クラウドサービス３２０の各々は、対応するアプリケーションプログラミングインターフェース（ＡＰＩ）と関連付けられ得、対応するＡＰＩは、それぞれのクラウドサービス３２０が実行することができる呼び出しのセットまたは動作をサポートする。ＡＰＩへの呼び出しを行うことは、動作を行い、データを処理するように、一連の多くの異なるサービスまたはエージェントを呼び出し得る。

【0082】

ファイアウォール３２３は、どのタイプのネットワークトラフィックを仮想プライベートクラウドネットワーク１０７内で送信することができるかを構成するためのルールセット内で構成され得る。ファイアウォール３２３は、ロギング、侵入検知、サービス拒否保護、及びマルウェアフィルタリングなどの様々な機能をサポートし得る。ゲートウェイ３２６は、仮想プライベートクラウドネットワーク１０７がインターネットなどの外部ネットワーク、他の仮想プライベートクラウドネットワーク、または仮想プライベートクラウドネットワーク１０７内にないクラウドプロバイダネットワーク２０３内の他のリソースと通信することを可能にするように、ネットワークトラフィックを選択的に回送し得る。一部の実施態様では、ゲートウェイ３２６は、仮想プライベートクラウドネットワーク１０７上でプライベートネットワークアドレスを有するデバイスに、公的にルーティング可能なネットワークアドレスを提供するように、ネットワークアドレス変換（ＮＡＴ）を行い得る。ファイアウォール３２３及びゲートウェイ３２６が、クラウドプロバイダネットワーク２０３内に位置するとして図３Ｂに図示されるが、他の例では、ファイアウォール３２３及び／またはゲートウェイ３２６は、プロバイダサブストレートエクステンション２２４（図２Ａ）を通じてエッジロケーション３０３（図３Ａ）において実装され得る。

【0083】

いくつかの実施形態では、クライアントデバイス２１５は、管理エージェントによりモバイルデバイス管理ソフトウェアを実行していることがある。そのようなモバイルデバイス管理ソフトウェアは、データ漏洩を防止するように、クライアントデバイス２１５が、他のネットワークを通じずに、仮想プライベートクラウドネットワーク１０７を通じてのみ接続することを必要とし得る。代わりに、モバイルデバイス管理ソフトウェアは、センシティブアプリケーションが、仮想プライベートクラウドネットワーク１０７のみを通じて通信することを必要とし得る。

【0084】

所与の仮想ルータ３２９は、マルチレイヤパケット処理サービスのノードの集合を含み、マルチレイヤパケット処理サービスのノードの集合は、ローカルにキャッシュされたルーティングアクションまたは回送アクションを即時に実行するように構成されたファストパスノードと、分離されたネットワークのためのクライアントにより規定されたポリシー及び接続性要件に基づいて、異なるパケットフローのために取られることになるアクションを判定するＦａｓｔ－Ｐａｔｈノードとを含む。動的ルーティングがルーティング情報交換プロトコル（例えば、Ｂｏｒｄｅｒ Ｇａｔｅｗａｙ Ｐｒｏｔｏｃｏｌ（ＢＧＰ））と同様のプロトコル）を使用して、分離されたネットワークのペアの間のアプリケーションデータトラフィックのために実装されるシナリオでは、動的ルーティング情報を包含したメッセージの処理は、仮想ルータノードから、他のデバイスにおいて稼働するプロトコル処理エンジンにオフロードされることができ、それによって、仮想ルータノードがルールベースのパケット回送のそれらの主なタスクに専用のままであることを可能にする。

【0085】

異なる地理的リージョン内で実装される（例えば、異なる州、国、または大陸内のデータセンタに位置するリソースを使用して）仮想ルータ３２９は、相互にプログラム的にアタッチされることができ（または、「ピアされる」、ＢＧＰと同様のプロトコルを使用して異なるリージョン内の分離されたネットワークに関する動的ルーティング情報を主翼し、自動で交換するように構成され得、クライアントが分離されたネットワークの間のトラフィックフローのための静的ルートを苦労して構成する必要性を取り除く。クライアントは、ルーティング情報が仮想ルータ３２９の間で転送される方式を制御するように、様々なパラメータ及び設定（使用されることになる特定のプロトコルバージョン、仮想ルータ３２９にまたはから広告されることになるルーティング情報をフィルタするためのルールなど）を規定することができる。広域ネットワーキング（ＷＡＮ）サービスは、有効にされた動的ルーティングによるプログラム的にアタッチされた仮想ルータを使用して、プロバイダネットワークにおいて実装されることができ、クライアントが、世界の周りに分散されたクライアントプレミスとセルラネットワークスライスとの間のトラフィックのためのプロバイダネットワークのプライベートファイババックボーンリンク（様々な他のサービスのユーザの代わりにプロバイダネットワークのデータセンタの間のトラフィックのために既に使用されている）を利用することと、視覚化インターフェースにより使用が容易なツールを使用して、それらの長距離トラフィックを管理することと、を可能にする。仮想ルータ３２９は、仮想プライベートクラウドネットワーク１０７の異なるサブネットに対応する１つ以上の無線式ネットワーク１０３の異なるネットワークスライスの間の接続性を提供し得る。

【0086】

図４を参照すると、様々な実施形態によるネットワーク環境４００が示される。ネットワーク環境４００は、コンピューティング環境４０３、１つ以上のクライアントデバイス４０６、１つ以上の無線アクセスネットワーク（ＲＡＮ）４０９、スペクトル予約サービス４１０、及びネットワーク４１２を介して相互にデータ通信する１つ以上の無線式ネットワーク１０３を含む。ネットワーク４１２は、例えば、インターネット、イントラネット、エクストラネット、ワイドエリアネットワーク（ＷＡＮ）、ローカルエリアネットワーク（ＬＡＮ）、有線ネットワーク、無線ネットワーク、ケーブルネットワーク、衛星ネットワーク、もしくは他の適切なネットワークなど、または２つ以上のこれらのようなネットワークのいずれかの組み合わせを含む。ＲＡＮ４０９は、複数の異なる通信サービスプロバイダによって動作され得る。一部のケースでは、ＲＡＮ４０９のうちの１つ以上は、クラウドプロバイダネットワーク２０３（図２Ａ）またはクラウドプロバイダネットワーク２０３の顧客によって動作され得る。

【0087】

コンピューティング環境４０３は、例えば、サーバコンピュータまたはコンピューティング容量を提供する任意の他のシステムを含んでよい。代わりに、コンピューティング環境４０３は、例えば、１つ以上のサーババンクまたはコンピュータバンクまたは他の配置で配置し得る複数のコンピューティングデバイスを採用し得る。係るコンピューティングデバイスは、単独の設備に位置し得る、または多くの異なる地理的なロケーション間に分散され得る。例えば、コンピューティング環境４０３は、ホストコンピューティングリソース、グリッドコンピューティングリソース、及び／または任意の他の分散コンピューティング配置を一緒に備え得る複数のコンピューティングデバイスを含み得る。いくつかのケースでは、コンピューティング環境４０３は、処理、ネットワーク、ストレージ、または他のコンピューティング関連リソースの割り当て容量が経時的に変化してもよい弾性的な計算リソースに対応してもよい。例えば、コンピューティング環境４０３は、クラウドプロバイダネットワーク２０３に対応することができ、顧客は、ユーティリティコンピューティングモデルに基づくコンピューティングリソースの使用に応じて請求される。

【0088】

いくつかの実施形態では、コンピューティング環境４０３は、例えばハイパーバイザによって物理コンピューティングハードウェア上で実行される仮想マシンインスタンスを含む物理ネットワーク内の仮想化プライベートネットワークに対応し得る。仮想マシンインスタンスとこれらのインスタンス上で実行されているコンテナとは、ルータやスイッチなどの物理ネットワークコンポーネントによって使用可能になる仮想化ネットワークコンポーネントを介してネットワーク接続が与えられる場合がある。

【0089】

様々なアプリケーション及び／または他の機能は、様々な実施形態に従って、コンピューティング環境４０３で実行され得る。また、種々のデータは、コンピューティング環境４０３にアクセス可能であるデータストア４１５に格納される。データストア４１５は、理解できるとおり、複数のデータストア４１５の代表であり得る。データストア４１５に格納されるデータは、例えば、以下に記載する種々のアプリケーション及び／または機能性エンティティの動作に関連付けられる。

【0090】

ユーティリティコンピューティングサービスを提供するクラウドプロバイダネットワークの一部としてのコンピューティング環境４０３は、コンピューティングデバイス４１８及び他のタイプのコンピューティングデバイスを含む。コンピューティングデバイス４１８は、異なるタイプのコンピューティングデバイス４１８に対応することがあり、異なるコンピューティングアーキテクチャを有することがある。コンピューティングアーキテクチャは、ｘ８６、ｘ８６＿６４、ＡＲＭ、Ｓｃａｌａｂｌｅ Ｐｒｏｃｅｓｓｏｒ Ａｒｃｈｉｔｅｃｔｕｒｅ（ＳＰＡＲＣ）、ＰｏｗｅｒＰＣなどの異なるアーキテクチャを持つプロセッサを利用することで異なる場合がある。例えば、あるコンピューティングデバイス４１８はｘ８６プロセッサを有し得るが、他のコンピューティングデバイス４１８はＡＲＭプロセッサを有し得る。コンピューティングデバイス４１８は、ローカルストレージ、グラフィックス処理ユニット（ＧＰＵ）、機械学習エクステンション、及び他の特性など、利用可能なハードウェアリソースも異なる場合がある。

【0091】

コンピューティングデバイス４１８は、仮想マシン（ＶＭ）インスタンス、コンテナ、サーバレス機能などを含み得る、様々な形態の割り振られたコンピューティング容量４２１を有し得る。ＶＭインスタンスは、ＶＭイメージからインスタンス化され得る。この目的のために、顧客は、仮想マシンインスタンスが他のタイプのコンピューティングデバイス４１８ではなく、特定のタイプのコンピューティングデバイス４１８内で起動されるべきであることを指定することがある。様々な例において、１つのＶＭインスタンスが特定のコンピューティングデバイス４１８上で単独で実行されてもよく、または複数のＶＭインスタンスが特定のコンピューティングデバイス４１８上で実行されてもよい。また、特定のコンピューティングデバイス４１８は、異なるタイプのＶＭインスタンスを実行することができ、それらは、コンピューティングデバイス４１８を介して利用可能な異なる量のリソースを提供することができる。例えば、あるタイプのＶＭインスタンスは、他のタイプのＶＭインスタンスよりも多くのメモリ及び処理能力を提供する場合がある。

【0092】

コンピューティング環境４０３上で実行されるコンポーネントは、例えば、仮想プライベートクラウド（ＶＰＣ）管理サービス４２４、１つ以上のネットワークサービス４２７、及び他のアプリケーション、サービス、プロセス、システム、エンジン、または本明細書で詳細に議論されていない機能性を含む。ＶＰＣ管理サービス４２４は、ネットワーク環境４００によって実装される１つ以上の仮想プライベートクラウドネットワーク１０７（図１）の動作を構成及び管理するように実行される。この目的のために、ＶＰＣ管理サービス４２４は、一連のユーザインターフェースを生成し得、または、仮想プライベートクラウドネットワーク１０７が最初に作成され、次いで、修正されることを可能にするアプリケーションプログラミングインターフェース（ＡＰＩ）をサポートし得る。ＶＰＣ管理サービス４２４は、アクセス制御リスト、セキュリティグループ化、ネットワークスライス、暗号化、復号、ネットワークアドレス割り当て及びルーティング、エラスティックネットワークインターフェース、ゲートウェイ、ファイアウォール、及び／または仮想プライベートクラウドネットワーク１０７の他のコンポーネントの構成を有効にし得る。

【0093】

ネットワークサービス４２７は、仮想プライベートクラウドネットワーク１０７ならびに下層物理ネットワーク及び論理ネットワークをサポートする様々なサービスを含む。この目的のために、ネットワークサービス４２７は、ネットワーク環境４００にまたがるネットワークトラフィックのフローをサポートするための、ルーティング、ブリッジング、変換、ファイアウォーリング、トンネリング、暗号化、復号、ロギング、及び／または他の機能を行い得る。

【0094】

データストア４１５に格納されるデータは、例えば、１つ以上のネットワークプラン４３９、１つ以上のセルラトポロジ４４２、１つ以上のスペクトル割り当て４４５、デバイスデータ４４８、１つ以上のＲＢＮメトリック４５１、顧客請求データ４５４、無線ユニット構成データ４５７、アンテナ構成データ４６０、ネットワーク機能構成データ４６３、１つ以上のネットワーク機能ワークロード４６６、１つ以上の顧客ワークロード４６９、１つ以上のネットワークスライス４７０、１つ以上のＱｏＳ要件４７１、１つ以上のアドレス構成４７２、１つ以上のアクセス制御リスト４７３、１つ以上の暗号化構成４７４、１つ以上のファイアウォールルールセット４７５、及び潜在的に他のデータを含む。

【0095】

ネットワークプラン４３９は、顧客のためにデプロイされることになる無線式ネットワーク１０３の仕様である。例えば、ネットワークプラン４３９は、カバーされることになる構内のロケーションまたは地理的エリア、セルの数、デバイス識別情報及び許可、所望の最大ネットワーク遅延、１つ以上のクラスのデバイスに対する所望の帯域幅またはネットワークスループット、アプリケーションまたはサービスの１つ以上のサービス品質パラメータ、ＲＢＮ１０３によってカバーされる１つ以上のルート、ＲＢＮ１０３もしくはＲＢＮ１０３の一部のためのカバレッジのスケジュール、ＲＢＮ１０３もしくはＲＢＮ１０３の一部のためのカバレッジの周期的スケジュール、ＲＢＮ１０３もしくはＲＢＮ１０３の一部のための開始時間、ＲＢＮ１０３もしくはＲＢＮ１０３の一部のための終了時間、どの仮想プライベートクラウドネットワーク１０７がＲＢＮ１０３内の様々なロケーションにおいてサポートされることになるか、及び／または無線式ネットワーク１０３を作成するために使用できる他のパラメータを含むことができる。顧客は、ユーザインターフェースを介してこれらのパラメータの１つ以上を手動で指定することができる。パラメータの１つ以上が、デフォルトパラメータとして事前設定されている場合がある。場合によっては、ネットワークプラン４３９は、無人航空機を使用した自動現場調査に少なくとも部分的に基づいて顧客向けに生成され得る。ネットワークプラン４３９を規定するパラメータの値は、クラウドサービスプロバイダがユーティリティコンピューティングモデルの下で顧客に請求するための基礎として使用され得る。例えば、サービス水準合意（ＳＬＡ）で、より低い遅延間目標及び／またはより高い帯域幅目標に対して、顧客にはより高い金額が請求される場合があり、顧客は、提供される地理的エリア、スペクトルの利用可能性などに基づいて、デバイス当たり、セル当たりで、請求される場合がある。場合によっては、ネットワークプラン４３９は、顧客の既存のプライベートネットワークの自動プローブに少なくとも部分的に基づいて判定されたしきい値及び参照パラメータを組み込むことができる。

【0096】

セルラトポロジ４４２は、セルのロケーションを考慮して可能な場合には、周波数スペクトルの再利用を考慮した、顧客のための複数のセルの配置を含む。セルラトポロジ４４２は、サイト調査を行って自動的に生成することができる。場合によっては、セルラトポロジ４４２内のセルの数は、カバーされることになる所望の地理的エリア、様々なサイトでのバックホール接続の可用性、信号伝播、利用可能な周波数スペクトル、及び／または他のパラメータに基づいて自動的に判定され得る。無線式ネットワーク１０３の場合、セルラトポロジ４４２は、組織構内の１つ以上の建物、学区内の１つ以上の学校、大学または大学システム内の１つ以上の建物、及び他のエリアをカバーするように開発され得る。

【0097】

スペクトル割り当て４４５には、無線式ネットワーク１０３に割り振られるのに利用可能な周波数スペクトルと、無線式ネットワーク１０３に現在割り振られている周波数スペクトルとが含まれる。周波数スペクトルには、制限なく公的にアクセス可能なスペクトル、顧客が個人的に所有またはリースしているスペクトル、プロバイダが所有またはリースしているスペクトル、無料で使用できるが予約が必要なスペクトルなどが含まれる場合がある。

【0098】

デバイスデータ４４８は、無線式ネットワーク１０３への接続が許可されるワイヤレスデバイス１０６を記述するデータに対応する。このデバイスデータ４４８には、対応するユーザ、アカウント情報、請求情報、データプラン、許可されたアプリケーションまたは用途、ワイヤレスデバイス１０６がモバイルであるか固定であるかのインディケーション、ロケーション、現在のセル、ネットワークアドレス、デバイス識別子（例えば、国際モバイル機器識別（ＩＭＥＩ）番号、機器シリアル番号（ＥＳＮ）、メディアアクセス制御（ＭＡＣ）アドレス、加入者識別モジュール（ＳＩＭ）番号など）などが含まれる。一実施態様では、ＳＩＭは、クライアントデバイス２１５（図３Ｂ）を特定の仮想プライベートクラウドネットワーク１０７にマッピングするために使用され得る。個々のワイヤレスデバイス１０６は、物理的に取り外し可能なＳＩＭの代わりにまたは加えて、埋め込みＳＩＭ（ｅＳＩＭ）を使用し得る。また、一部のケースでは、ワイヤレスデバイス１０６は、複数のＳＩＭ及び／または複数のｅＳＩＭを有し得、複数のＳＩＭ及び／または複数のｅＳＩＭは次いで、各々が複数の仮想プライベートクラウドネットワーク１０７のそれぞれ１つに関連付けられ得る。

【0099】

ＲＢＮメトリック４５１は、無線式ネットワーク１０３のパフォーマンスまたは健全性を示す様々なメトリックまたは統計を含む。このようなＲＢＮメトリック４５１には、帯域幅メトリック、ドロップパケットメトリック、信号強度メトリック、遅延メトリックなどが含まれ得る。ＲＢＮメトリック４５１は、デバイス当たり、セル当たり、顧客当たりなどで集約され得る。

【0100】

顧客請求データ４５４は、プロバイダによる顧客のための無線式ネットワーク１０３の動作に対して顧客が負担すべき料金を指定する。料金には、顧客にデプロイされた機器に基づく固定費及び／または追跡される使用メトリックによって判定される使用に基づく使用費が含まれる場合がある。場合によっては、顧客が、前払いで機器を購入している場合があり、帯域幅またはバックエンドネットワークのコストのみが請求される場合がある。他の場合には、顧客は、前払い費用を負担しない場合があり、純粋に使用に基づいて請求される場合がある。ユーティリティコンピューティングモデルに基づいて機器が顧客に提供されるので、クラウドサービスプロバイダは、不必要なハードウェアのオーバプロビジョニングを回避しながら、顧客の目標パフォーマンスメトリックを満たすために、機器の最適な構成を選択できる。

【0101】

無線ユニット構成データ４５７は、無線式ネットワーク１０３にデプロイされる無線ユニットの構成設定に対応し得る。このような設定には、使用すべき周波数、使用すべきプロトコル、変調パラメータ、帯域幅、ネットワークルーティング及び／またはバックホール構成などが含まれる場合がある。

【0102】

アンテナ構成データ４６０は、使用すべき周波数、方位角、垂直配向または水平配向、ビーム傾斜、及び／または（例えば、アンテナ上のネットワーク接続されたモータ及び制御装置によって）自動的に制御され得る他のパラメータ、またはユーザに特定の方法でアンテナを取り付けるか、もしくはアンテナに物理的な変更を加えるように指示することによって手動で制御され得る他のパラメータを含む、アンテナの構成設定に対応し得る。

【0103】

ネットワーク機能構成データ４６３は、無線式ネットワーク１０３の様々なネットワーク機能の動作を構成する構成設定に対応する。様々な実施形態において、ネットワーク機能は、セルサイト、顧客アグリゲーションサイト、または顧客から遠隔に位置するデータセンタにあるコンピューティングデバイス４１８に位置するＶＭインスタンスまたはコンテナにデプロイされ得る。ネットワーク機能の非限定的な例としては、アクセスと移動管理機能、セッション管理機能、ユーザプレーン機能、ポリシー制御機能、認証サーバ機能、統合データ管理機能、アプリケーション機能、ネットワーク公開機能、ネットワーク機能リポジトリ、ネットワークスライス選択機能、及び／またはその他が挙げられ得る。ネットワーク機能ワークロード４６６は、１つ以上のネットワーク機能を実行するため、割り振られたコンピューティング容量４２１内で起動されることになるマシンイメージ、コンテナ、または機能に対応する。

【0104】

顧客ワークロード４６９は、割り振られたコンピューティング容量４２１内のネットワーク機能ワークロード４６６と並行に、またはその代わりに、実行され得る顧客のマシンイメージ、コンテナ、または機能に対応する。例えば、顧客ワークロード４６９は、顧客アプリケーションまたはサービスを提供しまたはサポートし得る。様々な例において、顧客ワークロード４６９は、工場自動化、自律ロボット工学、拡張現実、仮想現実、設計、監視などに関連する。

【0105】

ネットワークスライス４７０は、１つ以上の特定のサービス品質要件４７１のための指定されたネットワークトラフィックのフローに対応する。フローは、特定のクライアントデバイス４０６上で実行される特定のアプリケーションと関連付けられたフロー、特定のクライアントデバイス４０６からの全てのネットワークトラフィック、全てのクライアントデバイス４０６から特定の宛先へのフロー、特定のクライアントデバイス４０６から特定の宛先へのフロー、仮想プライベートクラウドネットワーク１０７と関連付けられたフロー、及び仮想プライベートクラウドネットワーク１０７内のサブネットと関連付けられたフローなどに対応し得る。一例では、ネットワークスライス４７０は、ソースポート、ソースネットワークアドレス、宛先ポート、宛先ネットワークアドレス、及び／または他の情報によって識別される。ネットワークスライス４７０は、特定の期間の間もしくは特定の量のデータに対して有効であり得、またはネットワークスライス４７０は、キャンセルもしくは解放されるまで有効であり得る。一例では、ネットワークスライス４７０は、クライアントデバイス４０６上で実行される特定のアプリケーションのためにオンデマンドで割り振られる。一部のシナリオでは、ネットワークスライス４７０は、特定の有効な繰り返し期間（例えば、平日毎晩深夜から午前５時まで）を有し、またはネットワークスライス４７０のためのサービス品質要件４７１は、繰り返し期間、現在のコストレベル、及び／または他の因子もしくはイベントに基づいて変化し得る。

【0106】

加えて、ネットワークスライス４７０は、単一の仮想プライベートクラウドネットワーク１０７と関連付けられた潜在的に複数のネットワークスライス４７０のための区別された管理を提供するように、異なるセキュリティプロパティと関連付けられ得る。例えば、第１のネットワークスライス４７０は、より大きなアクセスを有するアドミニストレーティブサーバに対応し得ると共に、第２のネットワークスライス４７０は制限されたアクセスを有するエンドユーザのクライアントデバイス２１５（図３Ｂ）に対応し得る。

【0107】

サービス品質要件４７１は、最小または最大帯域幅、最小または最大待ち時間、最小または最大信頼性測定、及び最小または最大信号強度などに対応し得る。サービス品質要件４７１は、対応するレベルのコストと関連付けられ得、対応するレベルのコストは、固定されたコンポーネント、使用に基づくコンポーネント、及び／または輻輳に基づくコンポーネントを含み得る。例えば、サービス品質要件４７１は、繰り返し月次固定コスト、セッションごともしくはメガバイトごとのコスト、及び／またはセルサイトもしくは特定のネットワークリンクにおける輻輳に基づいたコストと関連付けられ得る。一部のケースでは、顧客は、高レベルのサービスを提供するサービス品質要件４７１を選択し得る。他のケースでは、しかしながら、顧客は、低レベルのコストを提供するが、特定の時間の間または特定の態様においてサービス品質を低下させるサービス品質要件４７１を選択し得る。例えば、顧客は、低コストでネットワークを通じてバックアップデータを送信するために、一晩中高スループットを可能にする、及び、そうでなければより低い優先度のスループットを可能にするサービス品質要件４７１を選び得る。

【0108】

アドレス構成４７２は、仮想プライベートクラウドネットワーク１０７のための個々のクライアントデバイス２１５へのネットワークアドレスの割り当てを構成する。そのようなネットワークアドレスは、ＩＰｖ４アドレス、ＩＰｖ６アドレス、及び／または他のタイプのアドレスを含み得る。例えば、仮想プライベートクラウドネットワーク１０７は、複数のサブネットとのプライベートネットワークアドレス空間を有し得、異なるサブネットは、異なるアクセス制御リスト４７３、セキュリティグループ、ネットワークスライス４７０、及びＱｏＳ要件４７１などと関連付けられ得る。アドレス構成４７２は、デバイスデータ４４８において（例えば、ＳＩＭによって）識別された特定のデバイスがどのようにネットワークアドレスを割り当てられることになるか、及びネットワークアドレスが遮断する特定のデバイスを提供する。一部のケースでは、アドレス構成４７２は、公的にルーティング可能なネットワークアドレスが割り当てられることを示し得る。

【0109】

アクセス制御リスト４７３は、仮想プライベートクラウドネットワーク１０７内のどのデバイス（または、サブネット）が仮想プライベートクラウドネットワーク１０７内の他のデバイス（または、サブネット）にアクセスすることを許可されることを定義し得る。アクセス制御リスト４７３はまた、アプリケーションごとまたはポートごとのベースにアクセス制御を規定し得る。アクセス制御リスト４７３は、グループの全てのメンバに影響を及ぼし得るＶＰＣ管理サービス４２４により管理アクションの対象になる、仮想プライベートクラウドネットワーク１０７内のデバイスのセキュリティグループ、または異なるサブセットを参照し得る。

【0110】

暗号化構成４７４は、仮想プライベートクラウドネットワーク１０７内で使用されることになる暗号化及び復号を定義し得る。一部のケースでは、暗号化構成４７４は、ポイントツーポイント暗号化及びエンドツーエンド暗号化が使用されることを定義し得る。エンドツーエンド暗号化は、仮想プライベートクラウドネットワーク１０７内の各々のネットワークホスト上で実行されるサービスによって、または各々のホストが通信中である初期ゲートウェイ３２６（図３Ｂ）によって実装され得る。ポイントツーポイント暗号化は、例えば、顧客のオンプレミスネットワークへのプライベートリンク、または無線式ネットワーク１０３へ及びからのリンクなど、ネットワーク内の異なるリンクのために実装され得る。

【0111】

ファイアウォールルールセット４７５は、仮想プライベートクラウドネットワーク１０７内のファイアウォール３２３（図３Ｂ）によって使用される様々なルールを定義し得る。それらのルールは、ネットワークトラフィックがいつドロップされることになるか、どのネットワークトラフィックがログ記録されることになるか、サービス拒否保護、マルウェア保護、及び／または他のタイプのファイアウォールルールを構成し得る。

【0112】

クライアントデバイス４０６は、ネットワーク４１２に結合され得る複数のクライアントデバイス４０６を表す。クライアントデバイス４０６は、例えば、コンピュータシステムなどのプロセッサベースのシステムを含み得る。係るコンピュータシステムは、デスクトップコンピュータ、ラップトップコンピュータ、パーソナルデジタルアシスタント、携帯電話、スマートフォン、セットトップボックス、音楽プレーヤ、ウェブパッド、タブレットコンピュータシステム、ゲーム機、電子書籍リーダ、スマートウォッチ、ヘッドマウントディスプレイ、音声インターフェースデバイス、または他のデバイスの形で具体化されてよい。クライアントデバイス４０６は、例えば、液晶ディスプレイ（ＬＣＤ）、ガスプラズマベースのフラットパネルディスプレイ、有機発光ダイオード（ＯＬＥＤ）ディスプレイ、電子インク（Ｅインク）ディスプレイ、ＬＣＤプロジェクタ、または他の種類の表示装置などの１つ以上のデバイスを備えるディスプレイを含み得る。

【0113】

クライアントデバイス４０６は、クライアントアプリケーション４３６及び／または他のアプリケーション等の種々のアプリケーションを実行するよう構成されてもよい。クライアントアプリケーション４３６をクライアントデバイス４０６内で実行し、例えば、コンピューティング環境４０３及び／または他のサーバによって提供されるネットワークコンテンツにアクセスすることによって、ディスプレイ上のユーザインターフェースをレンダリングすることができる。この目的のために、クライアントアプリケーション４３６は、例えば、ブラウザ、専用アプリケーションなどを備えてもよく、ユーザインターフェースは、ネットワークページ、アプリケーション画面などを備えてもよい。クライアントデバイス４０６は、クライアントアプリケーション４３６に加えて、例えば、ｅメールアプリケーション、ソーシャルネットワーキングアプリケーション、ワードプロセッサ、スプレッドシート、及び／または他のアプリケーション等のアプリケーションを実行するよう構成されてもよい。

【0114】

いくつかの実施形態では、スペクトル予約サービス４１０は、ＲＡＮ４０９内の顧客の使用のために周波数スペクトルの予約を提供する。ある１つのシナリオでは、スペクトル予約サービス４１０は、公的にアクセス可能なスペクトルにおける予約及び共存を管理するために、サードパーティなどのエンティティによって運営される。このようなスペクトルの一例は、市民ブロードバンド無線サービス（ＣＢＲＳ）である。別のシナリオでは、スペクトル予約サービス４１０は、プロバイダが所有またはライセンスを付与したスペクトルの部分を販売またはサブライセンスするために、電気通信サービスプロバイダによって運営される。

【0115】

次に図５を参照すると、示されるのは、様々な実施形態による無線式ネットワーク１０３（図１）に拡張される仮想プライベートクラウドネットワーク１０７（図１）の一部分の動作の一例を提示するフローチャートである。フローチャート５００が本明細書に説明される仮想プライベートクラウドネットワーク１０７の一部分の動作を実装するために利用され得る、多くの異なる種類の機能配置の例を単に提示するにすぎないことが理解される。代替形態として、フローチャート５００は、１つ以上の実施形態による、コンピューティング環境４０３（図４）内に実装された方法の要素の例を示していると見なされ得る。

【0116】

ボックス５０１から始まり、ＶＰＣ管理サービス４２４（図４）は、無線式ネットワーク１０３（図１）のネットワークスライス４７０（図４）内の仮想プライベートクラウドネットワーク１０７（図１）のサブネットを作成する。例えば、ＶＰＣ管理サービス４２４は、クラウドプロバイダネットワーク２０３（図２Ａ）において、仮想プライベートクラウドネットワーク１０７と関連付けられた顧客アカウントから、ネットワークスライス４７０内のサブネットを作成するＡＰＩ要求を受信したことに応答して、サブネットを作成し得る。ネットワークスライス４７０は、１つ以上のＱｏＳ要件４７１（図４）、及びネットワークスライス４７０のための無線式ネットワーク１０３内の容量を確保する他のパラメータと関連付けられ得る。容量は、帯域幅、ネットワーク機能処理能力（例えば、ユーザプレーン機能（ＵＰＦ）または別のネットワーク機能のリソース）、及びより低い待ち時間を提供するためのリソースなどを含み得る。

【0117】

ボックス５０２では、ＶＰＣ管理サービス４２４は、クライアントデバイス２１５（図３Ｂ）と関連付けられた１つ以上の加入者識別モジュール（ＳＩＭ）または埋め込みＳＩＭ（ｅＳＩＭ）を登録し得、クライアントデバイス２１５は、無線式ネットワーク１０３を介して仮想プライベートクラウドネットワーク１０７へのアクセスが許可されるべきである。ＳＩＭまたはｅＳＩＭと関連付けられた識別子は、デバイスデータ４４８（図４）及び／またはアクセス制御リスト４７３（図４）に記録され得る。例えば、ＶＰＣ管理サービス４２４は、ネットワークスライス４７０及び／または仮想プライベートクラウドネットワーク１０７の１つまたは両方にＳＩＭまたはｅＳＩＭを登録するＡＰＩ要求を受信したことに応答して、ネットワークスライス４７０及び／または仮想プライベートクラウドネットワーク１０７にＳＩＭまたはｅＳＩＭを登録し得る。ＡＰＩ要求は、仮想プライベートクラウドネットワーク１０７またはネットワークスライス４７０と関連付けられた顧客アカウントから受信され得る。

【0118】

ボックス５０３では、要求は、無線式ネットワーク１０３に接続するように、クライアントデバイス２１５から受信される。例えば、クライアントデバイス２１５は、ターンオンされ、無線式ネットワーク１０３の無線アクセスネットワーク４０９（図４）からのネットワーク接続性のためのネゴシエートを始めるワイヤレスデバイス１０６（図１）であり得る。クライアントデバイス２１５は、無線アクセスネットワーク４０９のセルサイトにおいて無線ユニットと通信し得る。

【0119】

ボックス５０６では、無線式ネットワーク１０３は、クライアントデバイス２１５を識別する。例えば、無線式ネットワーク１０３は、ＳＩＭまたはｅＳＩＭからクライアントデバイス２１５によって提示される識別子を判定し得る。一部のケースでは、クライアントデバイス２１５は、複数のＳＩＭまたはｅＳＩＭを有し得る。他の識別子は、Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｍｏｂｉｌｅ Ｅｑｕｉｐｍｅｎｔ Ｉｄｅｎｔｉｔｙ（ＩＭＥＩ）番号、Ｅｑｕｉｐｍｅｎｔ Ｓｅｒｉａｌ Ｎｕｍｂｅｒ（ＥＳＮ）、媒体アクセス制御（ＭＡＣ）アドレス、及び／または他の識別子を含み得る。

【0120】

ボックス５０７では、ＶＰＣ管理サービス４２４または無線式ネットワーク１０３のコアネットワーク内のサービスは、クライアントデバイス２１５がアクセスを許可される仮想プライベートクラウドネットワーク１０７を判定する。一部のケースでは、複数の仮想プライベートクラウドネットワーク１０７は、無線式ネットワーク１０３を通じてアクセス可能であり得る。１つのシナリオでは、無線式ネットワーク１０３は、単一の仮想プライベートクラウドネットワーク１０７を有する組織によって動作されるプライベートネットワークである。一部のケースでは、クライアントデバイス２１５は、複数の仮想プライベートクラウドネットワーク１０７へのアクセスが許可され得る。ＶＰＣ管理サービス４２４は、アクセス制御リスト４７３内で列挙された識別子への識別子の比較（例えば、ＳＩＭからの）に基づいて、クライアントデバイス２１５がアクセスを有するかどうかを判定し得る。例えば、クライアントデバイス２１５内の潜在的に複数のＳＩＭまたはｅＳＩＭの特定のＳＩＭまたはｅＳＩＭは、別々の仮想プライベートクラウドネットワーク１０７へのアクセスを許可し得る。また、クライアントデバイス２１５は、仮想プライベートクラウドネットワーク１０７へのアクセスを許可されると共に、仮想プライベートクラウドネットワーク１０７は、無線式ネットワーク１０３内でセルサイトごとのベースに有効または無効にされ得る。

【0121】

ボックス５０９では、無線式ネットワーク１０３は、仮想プライベートクラウドネットワーク１０７に少なくとも部分的に基づいて、ルールセットに従って、インターネットプロトコル（ＩＰ）アドレスなどのネットワークアドレスをクライアントデバイス２１５に割り当てる。無線式ネットワーク１０３に接続するいずれかのクライアントデバイス２１５は、ネットワークアドレスが割り当てられ得ると共に、このケースにおいて割り当てられたネットワークアドレスは、仮想プライベートクラウドネットワーク１０７と関連付けられた、アドレス構成４７２（図４）に少なくとも部分的に基づいて選ばれる。すなわち、仮想プライベートクラウドネットワーク１０７上の他のホストは、潜在的にそれらが無線式ネットワーク１０３に接続されず、クラウドプロバイダネットワーク２０３（図２Ａ）に接続される場合、同一のアドレスブロック内の所与のネットワークアドレスであり得る。一部のケースでは、クライアントデバイス２１５の異なるグループは、仮想プライベートクラウドネットワーク１０７内の異なるサブネットに割り当てられ得、それは次いで、ＱｏＳ要件４７１（図４）によりアクセス制御及び／またはネットワークスライス４７０（図４）のための区別された取り扱いを可能にすることができる。

【0122】

ボックス５１２では、ＶＰＣ管理サービス４２４は、暗号化構成４７４（図４）に従って、仮想プライベートクラウドネットワーク１０７内のクライアントデバイス２１５に及び／またはクライアントデバイス２１５からのネットワークトラフィックのための暗号化を構成する。これは、エンドツーエンド暗号化及び／またはポイントツーポイント暗号化を含み得る。例えば、仮想プライベートクラウドネットワーク１０７上のネットワークホストは、エンドツーエンド暗号化及びトンネリングを行うように、エージェントまたはサービスを実行するように構成され得る。加えて、無線式ネットワーク１０３及び仮想プライベートクラウドネットワーク１０７内のゲートウェイは、ポイントツーポイント暗号化及びトンネリングを行うように構成され得る。一部のケースでは、暗号化は、クライアントデバイス２１５のＳＩＭから生成され、ＳＩＭに格納されたセキュリティキーを採用し得る。

【0123】

ボックス５１３では、ＶＰＣ管理サービス４２４は、ルールセットに従って、クライアントデバイス２１５のためのネットワークスライス４７０を構成し、または、ルールセットに従って、待ち時間、帯域幅などに関連する１つ以上のＱｏＳ要件４７１を有し得る無線式ネットワーク１０３内の既存のネットワークスライス４７０にクライアントデバイス２１５を割り当てる。例えば、無線式ネットワーク１０３は、ロボティック工場にデプロイされ得、そこでは、ロボットの第１のセットは、製造タスクを行うように一日中動作し、ロボットの第２のセットは、清掃タスクを行うように夜間に動作する。ロボットの第１のセットは、ロボットの第２のセットとは異なるネットワークアドレスのサブネット及び異なるネットワークスライス４７０を割り当てられ得る。さらに、ＱｏＳ要件４７１は、例えば、時間スケジュールに従って変化し得、その結果、ネットワーク容量は、夜間にロボットの第２のセットに主に利用可能にされる。ネットワークスライス４７０は、無線アクセスネットワーク４０９内の帯域幅と共に、コアネットワーク内の処理容量を確保し得、それは、待ち時間を低減させるＱｏＳ要件４７１を満たすために、ネットワーク機能ワークロード４６６がクラウドプロバイダネットワーク２０３からプロバイダサブストレートエクステンション２２４（図２Ａ）のセルサイトまたは他のエッジロケーション３０３（図３Ａ）に転送されることを結果としてもたらす。

【0124】

ボックス５１５では、ＶＰＣ管理サービス４２４は、クライアントデバイス２１５に、無線式ネットワーク１０３を通じた仮想プライベートクラウドネットワーク１０７へのアクセスを提供する。これは、クライアントデバイス２１５が４Ｇまたは５Ｇネットワークと接続するように、無線式ネットワーク１０３に単純に接続し、クライアントデバイス２１５が仮想プライベートクラウドネットワーク１０７に自動的に接続されるという点で、仮想プライベートネットワーク（ＶＰＮ）トンネルまたはプライベートリンクを介してクライアントデバイス２１５を仮想プライベートクラウドネットワーク１０７に手動で接続することとは異なる。例えば、一部の実施態様では、ユーザ名及びパスワードなどの認証情報による追加の認証が回避され得る。また、クライアントデバイス２１５に与えられるネットワークアドレスは、仮想プライベートクラウドネットワーク１０７のアドレスブロック内にあり、パブリックアドレスでなく、または無線式ネットワーク１０３の他のサブネット内にある。

【0125】

ボックス５１８では、無線式ネットワーク１０３及びネットワークサービス４２７は、アクセス制御リスト４７３（図４）内で規定されたセキュリティグループまたはアクセス制御を施行することができる１つ以上のファイアウォール３２３（図３Ｂ）及び１つ以上のゲートウェイ３２６（図３Ｂ）を潜在的に使用して、仮想プライベートクラウドネットワーク１０７を通じて、１つ以上のクラウドサービス３２０（図３Ｂ）とクライアントデバイス２１５との間でネットワークトラフィックをルーティングまたは回送する。アクセス制御リスト４７３も、無線式ネットワーク１０３内のクラウドプロバイダネットワーク２０３のプロバイダサブストレートエクステンション２２４内でホストされた１つ以上のリソースへのアクセスを制御し得る。ネットワークトラフィックは、クライアントデバイス２１５のためにプロビジョニングされ、１つ以上のＱｏＳ要件４７１が適用されるネットワークスライス４７０の対象になり得る。

【0126】

ファイアウォール３２３は、パケットをフィルタし、データをトランスコードし、接続をドロップまたは遮断し、及びトラフィックをログ記録するなどのために、ファイアウォールルールセット４７５（図４）内で定義されたルールを施行し得る。一部のシナリオでは、クラウドサービス３２０、ゲートウェイ３２６、及びファイアウォール３２３は、サービス品質要件４７１を満たすために、無線式ネットワーク１０３内のプロバイダサブストレートエクステンション２２４上で（セルサイト、顧客サイト、または他の中間ロケーションにおいて）デプロイされ得る。そのようなケースでは、ネットワークトラフィックは、無線式ネットワーク１０３内で全体的に、または無線式ネットワーク１０３内のエッジロケーション／ローカルゾーン内に留まり得、リージョナルデータセンタにまたがらない。一部のシナリオでは、無線式ネットワーク１０３は、仮想プライベートクラウドネットワーク１０７上にある無線式ネットワーク１０３に接続されたクライアントデバイス２１５と他のクライアントデバイス２１５との間の通信を有効にし得る。他のシナリオでは、クライアントデバイス２１５は、クラウドプロバイダネットワーク２０３及び仮想プライベートクラウドネットワーク１０７上にあるが、無線式ネットワーク１０３上にないクラウドサービス３２０と通信する。一例では、仮想ルータ３２９（図３Ｂ）は、第１のネットワークスライス４７０を第２のネットワークスライス４７０と接続するために使用され得、第１の及び第２のネットワークスライス４７０は、仮想プライベートクラウドネットワーク１０７の異なるサブネットと関連付けられる。その後、フローチャート５００は終了する。

【0127】

図６を参照すると、本開示の実施形態による、コンピューティング環境４０３の概略ブロック図が示されている。コンピューティング環境４０３は、１つ以上のコンピューティングデバイス６００を含む。各コンピューティングデバイス６００は、例えば、プロセッサ６０３及びメモリ６０６を有する少なくとも１つのプロセッサ回路を含み、それら両方が、ローカルインターフェース６０９に結合される。このために、各コンピューティングデバイス６００は、例えば、少なくとも１つのサーバコンピュータまたは同様のデバイスを備え得る。ローカルインターフェース６０９は、理解できるとおり、例えば、付随するアドレス／制御バスを含むデータバスまたは他のバス構造を含み得る。

【0128】

メモリ６０６に格納されるのは、データと、プロセッサ６０３によって実行可能ないくつかのコンポーネントとの両方である。特に、メモリ６０６に格納され、プロセッサ６０３によって実行可能であるのは、ＶＰＣ管理サービス４２４、ネットワークサービス４２７、及び潜在的に他のアプリケーションである。また、メモリ６０６に格納されるのは、データストア４１５及び他のデータであってもよい。加えて、オペレーティングシステムは、メモリ６０６に格納され、かつプロセッサ６０３により実行可能であり得る。

【0129】

理解できるとおり、メモリ６０６に格納され、かつプロセッサ６０３により実行可能である他のアプリケーションが存在してもよいことが理解される。本明細書に説明される任意の構成要素が、ソフトウェアの形態で実装される場合、例えばＣ、Ｃ＋＋、Ｃ＃、ＯｂｊｅｃｔｉｖｅＣ、Ｊａｖａ（登録商標）、ＪａｖａＳｃｒｉｐｔ（登録商標）、Ｐｅｒｌ、ＰＨＰ、Ｖｉｓｕａｌ Ｂａｓｉｃ（登録商標）、Ｐｙｔｈｏｎ（登録商標）、Ｒｕｂｙ、Ｆｌａｓｈ（登録商標）、または他のプログラミング言語等のいくつかのプログラミング言語のうちの任意の１つを採用し得る。

【0130】

いくつかのソフトウェア構成要素が、メモリ６０６に格納され、プロセッサ６０３によって実行可能である。この点において、「実行可能」という用語は、プロセッサ６０３により最終的に起動可能である形式のプログラムファイルを意味する。実行可能なプログラムの例として、例えば、メモリ６０６のランダムアクセス部分にロード可能であり、かつプロセッサ６０３により起動可能なフォーマットで機械コードに変換可能なコンパイルされたプログラム、メモリ６０６のランダムアクセス部分にロード可能であり、かつプロセッサ６０３により起動可能なオブジェクトコード等の適切なフォーマットで表現され得るソースコード、またはプロセッサ６０３により実行されるようにメモリ６０６のランダムアクセス部分で命令を生成する別の実行可能なプログラムにより解釈され得るソースコード等が挙げられ得る。実行可能なプログラムは、例えば、ランダムアクセスメモリ（ＲＡＭ）、読み取り専用メモリ（ＲＯＭ）、ハードドライブ、ソリッドステートドライブ、ＵＳＢフラッシュドライブ、メモリカード、コンパクトディスク（ＣＤ）もしくはデジタル多用途ディスク（ＤＶＤ）等の光ディスク、フロッピーディスク、磁気テープ、または他のメモリ構成要素を含むメモリ６０６の任意の部分または構成要素に格納され得る。

【0131】

メモリ６０６は、揮発性メモリと不揮発性メモリとの両方及びデータストレージ構成要素を含むものとして本明細書に定義される。揮発性構成要素は、電源喪失時にデータ値を保持しないものである。不揮発性構成要素は、電源喪失時にデータを保持するものである。したがって、メモリ６０６は、例えば、ランダムアクセスアクセスメモリ（ＲＡＭ）、読み取り専用メモリ（ＲＯＭ）、ハードディスクドライブ、ソリッドステートドライブ、ＵＳＢフラッシュドライブ、メモリカードリーダを介してアクセスされるメモリカード、関連するフロッピーディスクドライブを介してアクセスされるフロッピーディスク、光ディスクドライブを介してアクセスされる光ディスク、適切なテープドライブを介してアクセスされる磁気テープ、及び／または他のメモリ構成要素、あるいはこれらのメモリ構成要素のうちの任意の２つ以上の組み合わせを含み得る。加えて、ＲＡＭは、例えば、スタティックランダムアクセスメモリ（ＳＲＡＭ）、ダイナミックランダムアクセスメモリ（ＤＲＡＭ）、または磁気ランダムアクセスメモリ（ＭＲＡＭ）、及び他のこのようなデバイスを含み得る。ＲＯＭは、例えば、プログラマブル読み取り専用メモリ（ＰＲＯＭ）、消去可能プログラマブル読み取り専用メモリ（ＥＰＲＯＭ）、電気的消去可能プログラマブル読み取り専用メモリ（ＥＥＰＲＯＭ）、または他の同様のメモリデバイスを含み得る。

【0132】

また、プロセッサ６０３は、複数のプロセッサ６０３及び／または複数のプロセッサコアを表し得、メモリ６０６は、それぞれ並列処理回路で動作する複数のメモリ６０６を表し得る。このような場合、ローカルインターフェース６０９は、多数のプロセッサ６０３のうちの任意の２つの間、任意のプロセッサ６０３とメモリ６０６のうちのいずれかとの間、またはメモリ６０６のうちの任意の２つの間等の通信を容易にする適切なネットワークであり得る。ローカルインターフェース６０９は、例えば、ロードバランシングの実施を含むこの通信を調整するように設計される追加のシステムを備えてもよい。プロセッサ６０３は、電気的構造またはいくつかの他の利用可能な構造を有してもよい。

【0133】

本明細書に記載のＶＰＣ管理サービス４２４、ネットワークサービス４２７、及び他の種々のシステムは、上述のように、汎用ハードウェアにより実行されるソフトウェアまたはコードで具体化され得るが、代替として、同様のものが専用ハードウェアまたはソフトウェア／汎用ハードウェアと専用ハードウェアとの組み合わせで具体化されてもよい。専用ハードウェアで具体化される場合、各々は、多数の技術のうちの任意の１つまたはその組み合わせを用いる回路または状態機械として実装されることができる。これらの技術は、１つ以上のデータ信号の印可時に種々の論理機能を実装するために論理ゲートを有する離散論理回路、適切な論理ゲートを有する特定用途向け集積回路（ＡＳＩＣ）、フィールドプログラマブルゲートアレイ（ＦＰＧＡ）、または他の構成要素等を含んでもよいが、これらに限定されない。このような技術は、概して、当業者により周知であることから、本明細書に詳細に記載しない。

【0134】

フローチャート５００は、無線式ネットワーク１０３及び仮想プライベートクラウドネットワーク１０７の一部の実装の機能及び動作を示す。ソフトウェアで具体化される場合、各ブロックは、特定の論理機能（複数可）を実装するために、プログラム命令を含むコードのモジュール、セグメント、または一部分を表し得る。プログラム命令は、プログラミング言語で書かれる人間が読める命令文を含むソースコード、またはコンピュータシステムまたは他のシステム内のプロセッサ６０３等の適切な実行システムにより認識可能な数値命令を含む機械コードの形式で具体化されてもよい。機械コードは、ソースコード等から変換されてもよい。ハードウェアで具体化する場合、各ブロックは、特定の論理機能（複数可）を実装するために、回路または多数の相互接続された回路を表し得る。

【0135】

フローチャート５００は、具体的な実行順序を示すが、実行順序が図示する順序と異なってもよいことが理解される。例えば、２つ以上のブロックの実行順序は、図示する順序を入れ替えてもよい。また、図５に連続して示される２つ以上のブロックは、同時に、または一部同時に実行し得る。さらに、いくつかの実施形態では、図５に示される１つ以上のブロックは、飛ばされるまたは省かれる場合もある。加えて、有用性の向上、説明、性能測定、または問題解決の手掛かりの提供等の目的で、任意の数のカウンタ、状態変数、警告セマフォ、またはメッセージを、本明細書に記載する論理フローに加えてもよい。全てのこのような変形が、本開示の範囲内にあることが理解される。

【0136】

また、ソフトウェアまたはコードを備える、ＶＰＣ管理サービス４２４及びネットワークサービス４２７を含む、本明細書に記載の任意の論理またはアプリケーションは、例えば、コンピュータシステムまたは他のシステム内のプロセッサ６０３等の命令実行システムが使用する、またはそれに関連して使用する、任意の非一時的なコンピュータ可読媒体で具体化されることができる。この意味では、論理は、例えば、コンピュータ可読媒体から取得可能であり、かつ命令実行システムにより実行可能な命令及び宣言を含む命令文を含み得る。本開示の文脈において、「コンピュータ可読媒体」は、命令実行システムが使用する、またはそれに関連して使用する、本明細書に記載の論理またはアプリケーションを包含、格納、または保持することができる任意の媒体であることができる。

【0137】

コンピュータ可読媒体は、例えば、磁気、光学、または半導体媒体等の多数の物理媒体のうちの任意の１つを含むことができる。適切なコンピュータ可読媒体のより具体的な例として、磁気テープ、磁気フロッピーディスク、磁気ハードドライブ、メモリカード、ソリッドステートドライブ、ＵＳＢフラッシュドライブ、または光ディスクが挙げられるだろうが、これらに限定されない。また、コンピュータ可読媒体は、例えば、スタティックランダムアクセスメモリ（ＳＲＡＭ）及びダイナミックランダムアクセスメモリ（ＤＲＡＭ）、または磁気ランダムアクセスメモリ（ＭＲＡＭ）を含むランダムアクセスメモリ（ＲＡＭ）であってもよい。加えて、コンピュータ可読媒体は、読み取り専用メモリ（ＲＯＭ）、プログラマブル読み取り専用メモリ（ＰＲＯＭ）、消去可能プログラマブル読み取り専用メモリ（ＥＰＲＯＭ）、電気的消去可能プログラマブル読み取り専用メモリ（ＥＥＰＲＯＭ）、または他の種類のメモリデバイスであってもよい。

【0138】

さらに、ＶＰＣ管理サービス４２４及びネットワークサービス４２７を含む、本明細書で説明される任意の論理またはアプリケーションは、様々な方法で実装され構造化され得る。例えば、説明される１つ以上のアプリケーションは、単一のアプリケーションのモジュールまたは構成要素として実装され得る。さらに、本明細書に説明される１つ以上のアプリケーションは、共有されたコンピューティングデバイスもしくは別々のコンピューティングデバイス、またはそれらの組み合わせで実行され得る。例えば、本明細書に説明される複数のアプリケーションは、同じコンピューティングデバイス６００で、または同じコンピューティング環境４０３の複数のコンピューティングデバイス６００で実行され得る。

【0139】

特に明記しない限り、句「Ｘ、ＹまたはＺのうちの少なくとも１つ」などの選言的な言葉は、そうでなければ項目、用語等がＸ、ＹもしくはＺのいずれか、またはその任意の組み合わせ（例えば、Ｘ、Ｙ及び／またはＺ）であってよいことを示すために一般的に用いられるとして文脈の中で理解される。ゆえに、このような選言的言語は、特定の実施形態がＸの少なくとも１つ、Ｙの少なくとも１つ、またはＺの少なくとも１つがそれぞれ存在することを必要とすることを黙示することを一般的に意図しておらず、意図するべきではない。

【0140】

本開示の実施形態は、以下の条項のうちの１つ以上によって説明することができる。

【0141】

条項１．ネットワークスライスを含む無線式ネットワークと、関連するインターネットプロトコル（ＩＰ）アドレス範囲を有する仮想プライベートクラウドネットワークをホストするクラウドプロバイダネットワークと、を備え、前記クラウドプロバイダネットワークは、少なくとも１つのコンピューティングデバイスを含み、前記少なくとも１つのコンピューティングデバイスは、少なくとも、前記ネットワークスライス内の前記仮想プライベートクラウドネットワークのサブネットを作成し、前記ネットワークスライス及び前記仮想プライベートクラウドネットワークの１つまたは両方に、クライアントデバイスの加入者識別モジュールを登録し、前記無線式ネットワークに接続する、前記クライアントデバイスからの要求に応答して、前記加入者識別モジュールに、前記仮想プライベートクラウドネットワークの前記関連するＩＰアドレス範囲からのＩＰアドレスを割り当て、前記無線式ネットワークを通じた前記仮想プライベートクラウドネットワークへのアクセスを前記クライアントデバイスに提供する、ように構成されている、システム。

【0142】

条項２．前記仮想プライベートクラウドネットワークの１つ以上のリソースは、前記クラウドプロバイダネットワークのプロバイダサブストレートエクステンション上でホストされ、前記プロバイダサブストレートエクステンションは、前記無線式ネットワーク内に位置する、条項１に記載のシステム。

【0143】

条項３．前記仮想プライベートクラウドネットワークのためのアクセス制御リストは、前記プロバイダサブストレートエクステンション上でホストされる前記１つ以上のリソースへのアクセスを制御するために使用される、条項２に記載のシステム。

【0144】

条項４．前記少なくとも１つのコンピューティングデバイスは、少なくとも、前記クラウドプロバイダネットワークにおいて、前記仮想プライベートクラウドネットワークと関連付けられた顧客アカウントから前記ネットワークスライス内の前記サブネットを作成するＡＰＩ要求を受信したことに応答して、前記ネットワークスライス内の前記サブネットを作成するようにさらに構成されている、条項１～３のいずれか一項に記載のシステム。

【0145】

条項５．前記少なくとも１つのコンピューティングデバイスは、少なくとも、前記クラウドプロバイダネットワークにおいて、前記ネットワークスライス及び前記仮想プライベートクラウドネットワークの前記１つまたは両方に、前記加入者識別モジュールを登録するＡＰＩ要求を受信したことに応答して、前記ネットワークスライス及び前記仮想プライベートクラウドネットワークの前記１つまたは両方に、前記加入者識別モジュールを登録するようにさらに構成されている、条項１～４のいずれか一項に記載のシステム。

【0146】

条項６．前記少なくとも１つのコンピューティングデバイスは、少なくとも、前記クラウドプロバイダネットワークの仮想ルータを使用して、前記ネットワークスライスを別のネットワークスライスに接続するようにさらに構成され、前記別のネットワークスライスは、前記仮想プライベートクラウドネットワークの別のサブネットを有する、条項１～５のいずれか一項に記載のシステム。

【0147】

条項７．前記無線式ネットワークのためのコアネットワークの少なくとも一部は、前記クラウドプロバイダネットワーク内でホストされる、条項１～６のいずれか一項に記載のシステム。

【0148】

条項８．無線式ネットワークのネットワークスライス内のクラウドプロバイダネットワークの仮想プライベートクラウドネットワークのサブネットを作成することと、前記ネットワークスライス及び前記仮想プライベートクラウドネットワークの１つまたは両方に、クライアントデバイスの加入者識別モジュールを登録することと、前記無線式ネットワークに接続する要求を前記クライアントデバイスから受信することと、前記無線式ネットワークに接続する前記要求を前記クライアントデバイスから受信したことに応答して、前記クライアントデバイスがアクセスすることを許可される前記仮想プライベートクラウドネットワークを判定することと、前記無線式ネットワークに接続する前記要求を前記クライアントデバイスから受信したことに応答して、前記無線式ネットワークを通じた前記仮想プライベートクラウドネットワークへのアクセスを前記クライアントデバイスに提供することと、を含む、コンピュータにより実施される方法。

【0149】

条項９．前記無線式ネットワークに接続する要求を異なるクライアントデバイスから受信することと、前記無線式ネットワークに接続する前記要求を前記異なるクライアントデバイスから受信したことに応答して、前記異なるクライアントデバイスがアクセスすることを許可される前記クラウドプロバイダネットワークの異なる仮想プライベートクラウドネットワークを判定することと、前記無線式ネットワークに接続する前記要求を前記異なるクライアントデバイスから受信したことに応答して、前記無線式ネットワークを通じた前記異なる仮想プライベートクラウドネットワークへのアクセスを前記異なるクライアントデバイスに提供することと、をさらに含む、条項８に記載のコンピュータにより実施される方法。

【0150】

条項１０．前記仮想プライベートクラウドネットワークと関連付けられたルールセットに従って、前記無線式ネットワーク上の前記クライアントデバイスにネットワークアドレスを割り当てることをさらに含む、条項８～９のいずれか一項に記載のコンピュータにより実施される方法。

【0151】

条項１１．前記仮想プライベートクラウドネットワークと関連付けられたルールセットに従って、前記無線式ネットワークの前記ネットワークスライスに前記クライアントデバイスを割り当てることをさらに含み、前記ネットワークスライスは、サービス品質要件を満たすように構成されている、条項８～１０のいずれか一項に記載のコンピュータにより実施される方法。

【0152】

条項１２．前記無線式ネットワークを介して前記クライアントデバイスにまたは前記クライアントデバイスから送信される通信を暗号化することをさらに含む、条項８～１１のいずれか一項に記載のコンピュータにより実施される方法。

【0153】

条項１３．前記仮想プライベートクラウドネットワークの１つ以上の他のネットワークホストと通信するとき、エンドツーエンド暗号化スキームを使用するように前記クライアントデバイスを構成することをさらに含む、条項８～１２のいずれか一項に記載のコンピュータにより実施される方法。

【0154】

条項１４．前記無線式ネットワークを通じた前記仮想プライベートクラウドネットワークへのアクセスを前記クライアントデバイスに提供することは、前記クライアントデバイスが、前記仮想プライベートクラウドネットワーク上にあり、前記無線式ネットワークを通じて接続された別のクライアントデバイスと通信することを可能にすることをさらに含む、条項８～１３のいずれか一項に記載のコンピュータにより実施される方法。

【0155】

条項１５．前記無線式ネットワークを通じた前記仮想プライベートクラウドネットワークへのアクセスを前記クライアントデバイスに提供することは、前記クライアントデバイスが、前記仮想プライベートクラウドネットワーク上にあり、前記無線式ネットワークではなく前記クラウドプロバイダネットワークを通じて接続されたコンピューティングリソースと通信することを可能にすることをさらに含む、条項８～１４のいずれか一項に記載のコンピュータにより実施される方法。

【0156】

条項１６．前記クライアントデバイスがアクセスすることを許可される前記仮想プライベートクラウドネットワークを判定することは、前記クライアントデバイスの前記加入者識別モジュール（ＳＩＭ）または埋め込みＳＩＭ（ｅＳＩＭ）に少なくとも部分的に基づいて、前記クライアントデバイスを識別することと、前記ＳＩＭまたはｅＳＩＭに少なくとも部分的に基づいて、前記仮想プライベートクラウドネットワークを判定することと、をさらに含む、条項８に記載のコンピュータにより実施される方法。

【0157】

条項１７．クラウドプロバイダネットワークの仮想プライベートクラウドネットワーク内で実行されるサービスからネットワークトラフィックを受信することと、無線式ネットワーク内で前記仮想プライベートクラウドネットワークのために構成されたネットワークスライスを介して、前記仮想プライベートクラウドネットワークに接続されたクライアントデバイスに前記ネットワークトラフィックを回送することと、を含み、前記ネットワークスライスは、１つ以上のサービス品質要件と関連付けられている、コンピュータにより実施される方法。

【0158】

条項１８．前記無線式ネットワークのセルサイトにおいて、前記クラウドプロバイダネットワークのプロバイダサブストレートエクステンション内で前記サービスを実行することをさらに含む、条項１７に記載のコンピュータにより実施される方法。

【0159】

条項１９．前記無線式ネットワーク内の前記ネットワークトラフィックに、前記仮想プライベートクラウドネットワークのファイアウォール機能性を提供することをさらに含む、条項１７～１８のいずれか一項に記載のコンピュータにより実施される方法。

【0160】

条項２０．前記仮想プライベートクラウドネットワークをまたがって前記サービスから前記クライアントデバイスに前記ネットワークトラフィックのエンドツーエンド暗号化を提供することをさらに含む、条項１７～１９のいずれか一項に記載のコンピュータにより実施される方法。

【0161】

本開示の上述の実施形態が、本開示の原理を明確に理解するために記述される実装の単なる可能な例であることを強調されたい。本開示の趣旨及び原理から実質的に逸脱することなく、多くの変形及び修正を上述の実施形態（複数可）に加えてもよい。このような全ての修正及び変形は、本開示の範囲内で本明細書に含まれ、以下の特許請求の範囲によって保護されることを意図している。

【図1】

【図2A】

【図2B】

【図3A】

【図3B】

【図4】

【図5】

【図6】

【手続補正書】

【提出日】2023-11-27

【手続補正1】

【補正対象書類名】特許請求の範囲

【補正対象項目名】全文

【補正方法】変更

【補正の内容】

【特許請求の範囲】

【請求項1】

ネットワークスライスを含む無線式ネットワークと、
関連するインターネットプロトコル（ＩＰ）アドレス範囲を有する仮想プライベートクラウドネットワークをホストするクラウドプロバイダネットワークと、を備え、前記仮想プライベートクラウドネットワークの第１のサブネットは、前記クラウドプロバイダネットワーク内の可用性ゾーンに対応し、前記クラウドプロバイダネットワークは、少なくとも１つのコンピューティングデバイスを含み、前記少なくとも１つのコンピューティングデバイスは、少なくとも、
前記ネットワークスライス内の前記仮想プライベートクラウドネットワークの第２のサブネットを作成し、
前記ネットワークスライス及び前記仮想プライベートクラウドネットワークの１つまたは両方に、クライアントデバイスの加入者識別モジュールの識別子を登録し、
前記仮想プライベートクラウドネットワークのセキュリティグループに、前記加入者識別モジュールを割り当て、
前記無線式ネットワークに接続する、前記クライアントデバイスからの要求に応答して、前記要求内に存在する前記識別子が前記無線式ネットワークに接続することが認証されていることを判定し、前記加入者識別モジュールに、前記仮想プライベートクラウドネットワークの前記第２のサブネットからのＩＰアドレスを割り当て、
前記セキュリティグループに割り当てられている前記加入者識別モジュールに少なくとも部分的に基づいて、前記無線式ネットワークを通じた前記仮想プライベートクラウドネットワークの前記第１のサブネット上の計算インスタンスへのアクセスを前記クライアントデバイスに提供する、
ように構成されている、システム。

【請求項2】

前記仮想プライベートクラウドネットワークの１つ以上のリソースは、前記クラウドプロバイダネットワークのプロバイダサブストレートエクステンション上でホストされ、前記プロバイダサブストレートエクステンションは、前記無線式ネットワーク内に位置する、請求項１に記載のシステム。

【請求項3】

前記仮想プライベートクラウドネットワークのためのアクセス制御リストは、前記プロバイダサブストレートエクステンション上でホストされる前記１つ以上のリソースへのアクセスを制御するために使用される、請求項２に記載のシステム。

【請求項4】

前記少なくとも１つのコンピューティングデバイスは、少なくとも、前記クラウドプロバイダネットワークにおいて、前記仮想プライベートクラウドネットワークと関連付けられた顧客アカウントから前記ネットワークスライス内の前記第２のサブネットを作成するＡＰＩ要求を受信したことに応答して、前記ネットワークスライス内の前記第２のサブネットを作成するようにさらに構成されている、請求項１に記載のシステム。

【請求項5】

前記少なくとも１つのコンピューティングデバイスは、少なくとも、前記クラウドプロバイダネットワークにおいて、前記ネットワークスライス及び前記仮想プライベートクラウドネットワークの前記１つまたは両方に、前記加入者識別モジュールの前記識別子を登録するＡＰＩ要求を受信したことに応答して、前記ネットワークスライス及び前記仮想プライベートクラウドネットワークの前記１つまたは両方に、前記加入者識別モジュールの前記識別子を登録するようにさらに構成されている、請求項１に記載のシステム。

【請求項6】

前記少なくとも１つのコンピューティングデバイスは、少なくとも、前記クラウドプロバイダネットワークの仮想ルータを使用して、前記ネットワークスライスを別のネットワークスライスに接続するようにさらに構成され、前記別のネットワークスライスは、前記仮想プライベートクラウドネットワークの第３のサブネットを有する、請求項１に記載のシステム。

【請求項7】

前記無線式ネットワークのためのコアネットワークの少なくとも一部は、前記クラウドプロバイダネットワーク内でホストされる、請求項１に記載のシステム。

【請求項8】

無線式ネットワークのネットワークスライス内のクラウドプロバイダネットワークの仮想プライベートクラウドネットワークのサブネットを作成することと、
前記ネットワークスライス及び前記仮想プライベートクラウドネットワークの１つまたは両方に、クライアントデバイスの加入者識別モジュールの識別子を登録することと、
前記仮想プライベートクラウドネットワークのセキュリティグループに、前記加入者識別モジュールを割り当てることと、
前記無線式ネットワークに接続する要求を前記クライアントデバイスから受信することであって、前記要求は前記識別子を表している、受信することとと、
前記要求内の前記識別子に応答して、前記クライアントデバイスがアクセスすることを許可される前記仮想プライベートクラウドネットワークを判定することと、
前記無線式ネットワークに接続する前記要求を前記クライアントデバイスから受信したことに応答して、前記セキュリティグループに割り当てられている前記加入者識別モジュールに少なくとも部分的に基づいて、前記無線式ネットワークを通じた前記仮想プライベートクラウドネットワーク上の計算インスタンスへのアクセスを前記クライアントデバイスに提供することと、
を含む、コンピュータにより実施される方法。

【請求項9】

前記無線式ネットワークに接続する要求を異なるクライアントデバイスから受信することであって、前記要求は、異なる加入者識別モジュールに関連付けられた異なる識別子を表す前記異なるクライアントデバイスからの要求である、受信することと、
前記異なるクライアントデバイスからの前記要求内の前記異なる識別子に応答して、前記異なるクライアントデバイスがアクセスすることを許可される前記クラウドプロバイダネットワークの異なる仮想プライベートクラウドネットワークを判定することと、
前記無線式ネットワークに接続する前記要求を前記異なるクライアントデバイスから受信したことに応答して、前記無線式ネットワークを通じた前記異なる仮想プライベートクラウドネットワークへのアクセスを前記異なるクライアントデバイスに提供することと、
をさらに含む、請求項８に記載のコンピュータにより実施される方法。

【請求項10】

前記仮想プライベートクラウドネットワークに関連付けられたルールセットに従って、前記無線式ネットワーク上の前記クライアントデバイスにネットワークアドレスを割り当てることをさらに含む、請求項８に記載のコンピュータにより実施される方法。

【請求項11】

前記仮想プライベートクラウドネットワークと関連付けられたルールセットに従って、前記無線式ネットワークの前記ネットワークスライスに前記クライアントデバイスを割り当てることであって、前記ネットワークスライスは、サービス品質要件を満たすように構成されている、前記割り当てることをさらに含む、請求項８に記載のコンピュータにより実施される方法。

【請求項12】

前記無線式ネットワークを介して前記クライアントデバイスにまたは前記クライアントデバイスから送信される通信を暗号化することをさらに含む、請求項８に記載のコンピュータにより実施される方法。

【請求項13】

前記仮想プライベートクラウドネットワークの１つ以上の他のネットワークホストと通信するとき、エンドツーエンド暗号化スキームを使用するように前記クライアントデバイスを構成することをさらに含む、請求項８に記載のコンピュータにより実施される方法。

【請求項14】

前記クライアントデバイスが、前記仮想プライベートクラウドネットワーク上にあり、前記無線式ネットワークを通じて接続された別のクライアントデバイスと通信することを可能にすることをさらに含む、請求項８に記載のコンピュータにより実施される方法。

【請求項15】

前記クライアントデバイスが、前記仮想プライベートクラウドネットワーク上にあり、前記無線式ネットワークではなく前記クラウドプロバイダネットワークを通じて接続されたコンピューティングリソースと通信することを可能にすることをさらに含む、請求項８に記載のコンピュータにより実施される方法。

【請求項16】

前記クライアントデバイスがアクセスすることを許可される前記仮想プライベートクラウドネットワークを判定することは、
前記クライアントデバイスの前記加入者識別モジュール（ＳＩＭ）の前記識別子または埋め込みＳＩＭ（ｅＳＩＭ）に少なくとも部分的に基づいて、前記クライアントデバイスを識別することと、
前記ＳＩＭまたはｅＳＩＭに少なくとも部分的に基づいて、前記仮想プライベートクラウドネットワークを判定することと、
をさらに含む、請求項８に記載のコンピュータにより実施される方法。

【請求項17】

クラウドプロバイダネットワークの仮想プライベートクラウドネットワーク内で実行されるサービスからネットワークトラフィックを受信することであって、前記サービスは、前記仮想プライベートクラウドネットワークの第１のサブネット上にある、受信することと、
前記仮想プライベートクラウドネットワークのセキュリティグループに割り当てられているクライアントデバイスの加入者識別モジュールに少なくとも部分的に基づいて、前記クライアントデバイスに前記ネットワークトラフィックを回送することが許可されることを判定することであって、前記クライアントデバイスは、無線式ネットワーク内で前記仮想プライベートクラウドネットワークのために構成されたネットワークスライスを介して、前記仮想プライベートクラウドネットワークに接続されており、前記ネットワークスライスは、１つ以上のサービス品質（ＱｏＳ）要件に関連付けられており、前記ネットワークスライスは、前記仮想プライベートクラウドネットワークの第２のサブネットに対応する、判定することと、
前記クライアントデバイスに前記ネットワークトラフィックを回送することと、を含む、
コンピュータにより実施される方法。

【請求項18】

前記無線式ネットワークのセルサイトにおいて、前記クラウドプロバイダネットワークのプロバイダサブストレートエクステンション内で前記サービスを実行することをさらに含む、請求項１７に記載のコンピュータにより実施される方法。

【請求項19】

無線式ネットワーク内の前記ネットワークトラフィックに、前記仮想プライベートクラウドネットワークのファイアウォール機能性を提供することをさらに含む、請求項１７に記載のコンピュータにより実施される方法。

【請求項20】

前記仮想プライベートクラウドネットワークをまたがって前記サービスから前記クライアントデバイスに前記ネットワークトラフィックのエンドツーエンド暗号化を提供することをさらに含む、請求項１７に記載のコンピュータにより実施される方法。

【国際調査報告】