提供对远程服务的本地安全网络访问制造技术

描述了用于为用户提供对计算机网络进行访问的技术，比如使用户能够创建由远程可配置的网络服务为供所述用户使用而提供的计算机网络。这种被提供的计算机网络可被配置成仅可由创建了它们的用户访问的专用计算机网络，并且每个都可以由可配置的网络服务的客户端创建和配置成是对客户端现有的计算机网络的扩展，比如对客户端现有的专用计算机网络的专用计算机网络扩展。另外，对远程资源服务的访问可以按各种形式配置并且从这种计算机网络提供，比如用于包括作为被提供的计算机网络一部分的本地访问机构，其被配置成将被发送到所述访问机构的通信转发至特定的远程资源服务。

【技术实现步骤摘要】
提供对远程服务的本地安全网络访问本申请是2011年6月10日提交的、申请号为200980149575.7、专利技术名称为“提供对远程服务的本地安全网络访问”的专利申请的分案申请。
技术介绍
许多公司和其他组织运营着计算机网络，这种计算机网络将大量计算系统进行互连以支持它们的工作，比如，其中计算系统被共同布置(例如，作为本地网络的一部分)，或者作为代替，位于多个不同的地理位置(例如，经由一个或多个专用的或公共的中间网络连接)。例如，安放着大量互连的计算系统的数据中心已变得平常，比如由单个组织运营或者代表单个组织的专用数据中心，以及作为商业组织由实体所运营以便为客户提供计算资源的公共数据中心。一些公共数据中心的运营者为各种客户所拥有的硬件提供网络访问、权力、以及安全安装设施，而其他的公共数据中心运营者则提供“完全服务”设施，其还包括可供它们的客户使用的硬件资源。然而，随着一般的数据中心的规模和范围的增大，提供、管理、和经营物理的计算资源的任务已变得越来越复杂。 对商品硬件进行虚拟化的技术的出现已提供了一些益处，这些益处是关于为许多有不同需求的客户管理大规模计算资源，允许各种计算资源由多个用户有效地且安全地共享。例如，通过VMWare、XEN、或用户模式的Linux所提供的虚拟化技术，其可以允许通过给每个用户提供由单个物理的计算机主机托管(hosted)的一个或多个虚拟机，在多个用户之间共享所述单个物理的计算机，每个这种虚拟机作为软件模拟充当着不同的逻辑计算系统，其给用户提供了一种他们是给定硬件计算资源唯一的操作者和管理者的假象，同时还提供了在各种虚拟机之间的应用隔离和安全。此外，一些虚拟化技术能够提供跨一个或多个物理资源的虚拟资源，比如具有多个虚拟处理器的单个虚拟机，该虚拟机跨多个不同的物理的计算系统。 附图简述 图1A和IB是网络图，其示出的互动过程的示例实施方式，牵涉创建和配置了专用计算机网络的远程客户端。 图2是网络图，其示出的互联的计算系统的示例实施方式，其用于提供到达客户端的计算机网络。 图3是框图，其示出的示例计算系统适合用于执行一种用于提供计算机网络供远程客户端使用的系统的实施方式。 图4A和4B示出可配置的网络服务管理例程的示例实施方式的流程图。 图5示出节点通信管理例程的示例实施方式的流程图。 图6示出外部通信管理例程的示例实施方式的流程图。 图7示出远程资源服务访问例程的示例实施方式的流程图。 图8示出VPN创建实现例程的示例实施方式的流程图。 详细描述 此处描述了用于比如在对于远程用户可用的、可配置的网络服务的控制下，给用户提供到计算机网络的访问的技术。在至少一些实施方式中，远程用户可以通过公共网络上与可配置的网络服务互动，以便创建和配置计算机网络用于供用户使用，其中被配置的计算机网络是由可配置的网络服务提供的，并且包括多个计算节点，所述计算节点由可配置的网络服务所维持，或者以其他的方式受可配置的网络服务所控制。在配置了这样一个计算机网络之后，用户可以从一个或多个远程位置与计算机网络互动，所述计算机网络是由可配置的网络服务提供给用户的，比如用于执行在所提供的计算机网络的计算节点上的程序。在至少一些实施方式中，可配置的网络服务是付费服务，使得可配置的网络服务的用户是为了至少一些由可配置的网络服务所提供的功能性而向可配置的网络服务支付费用的客户。另外，在至少一些实施方式中，所描述的技术中的一些或全部是由可配置的网络服务管理模块的实施方式被自动执行的，可选择地是与其他的通信管理模块一起被自动执行的，正如下面以更多细节描述的一样。 在至少一些实施方式中，由可配置的网络服务提供的计算机网络中的至少一些是专用计算机网络，其仅能由可配置的网络服务的用户访问，以便这些被提供的计算机网络被创建和配置(或者通过其他为其明确配置访问)。例如，可配置的网络服务可以给用户提供到计算机网络的安全专用访问，所述用户是可配置的网络服务的客户端，而所述计算机网络被提供用于客户端，这通过比如启用在客户端的一个或多个远程计算系统与被提供的计算机网络之间的VPN( “虚拟专用网络”)连接或其他安全连接，或者可以使用其他的安全和/或认证技术使得客户端能够以专用其安全的方式与被提供的计算机网络互动。另外，在至少一些实施方式中，由可配置的网络服务提供的计算机网络中的至少一些每个都由客户端创建和配置，成为对客户端的现有计算机网络的扩展，比如对客户端现有的远程专用计算机网络的专用计算机网络扩展(例如，客户端即企业实体的远程企业网络)。在这样的实施方式中，在现有的计算机网络与被提供的新的计算机网络扩展之间的安全专用访问可以使用一个或多个VPN连接或其他专用连接被相类似地启用。关于建立客户端到计算机网络的访问的额外细节被包括在下文中，所述计算机网络由可配置的网络服务的实施方式所提供。 在各种实施方式中，可配置的网络服务的客户端可以按多种方式创建和配置由可配置的网络服务提供的计算机网络。在至少一些实施方式中，可配置的网络服务提供一个或多个API ( “应用编程接口”)，其使得客户端的计算系统能够与可配置的网络服务编程式地互动，以执行由可配置的网络服务所提供的计算机网络的创建、配置和启动用途中的一些或全部动作，同时在至少一些实施方式中，作为可配置的网络服务的客户端的用户，其可以与可配置的网络服务交互式地互动，以执行一些或全部这种动作(例如，经由GU1、或图形用户接口、或者由可配置的网络服务所提供的其他控制台)，而不管是不是经由这些API的使用来代替或附加地执行了这些动作。在一些实施方式中，对于用户可用的⑶I可基于对用户选择性可用的基础API，而在其他实施方式中，可以按其他方式实现GUI。另外，客户端的计算设备与可配置的网络服务之间的互动过程可能至少部分地建立在所述客户端的计算设备与可配置的网络服务之间所发送的电子消息(例如，电子邮件消息)的基础上，t匕如按照可配置的网络服务中的基于消息的API。 例如，在至少一些实施方式中，客户端可以与可配置的网络服务的实施方式互动，从而为要被提供用于客户端的计算机网络具体指定配置信息，其中配置信息可选择地包括各种类型的信息，比如以下非排他性的列表中的一个或多个:多个被具体指定的网络地址，其分配给被提供的计算机网络中的多个计算节点；被提供的计算机网络的具体指定的网络拓扑信息；以及被提供的计算机网络的具体指定的网络访问限制。多个被具体指定的网络地址可包括例如网络地址中的一个或多个范围，并且如果被提供的计算机网络是客户端的远程专用计算机网络的扩展，其可相应于虚拟的和/或专用的网络地址的子集，用于远程专用计算机网络。被具体指定的网络拓扑信息可以指示，例如要被分组到一起的、被提供的计算机网络中的计算节点的子集，或者其为以其他方式共享的公共互通特征，比如将一个或多个连网的设备具体指定成被提供的计算机网络的一部分(例如，路由器、交换机，等等)，并且管理或者以其他方式与具有被特殊具体指定的网络地址的计算节点相关联，或者通过其他方式指示被提供的计算机网络的子集、或者被提供计算机网络的计算节点的其他分组。具体指定的网络访问限制信息可以指示，例如，对于被提供的计算机网络的计算节本文档来自技高网...

【技术保护点】
一种存储有内容的非瞬时性计算机可读介质，所述内容将可配置的网络服务的计算系统配置为：基于从所述可配置的网络服务的客户端接收到的第一配置信息，在所述可配置的网络服务处为所述客户端创建专用虚拟网络，所述专用虚拟网络包括与多个专用网络地址相关联的多个计算节点；经由所提供的所述可配置的网络服务的编程接口，接收针对所述专用虚拟网络的第二配置信息，所述第二配置信息指定在所述专用虚拟网络外部的所指示的服务；通过指派所述多个专用网络地址中的专用网络地址以在所述专用虚拟网络中表示所指示的服务，在所述专用虚拟网络中配置表示所指示的服务的本地访问机制；以及向所指示的服务转发向所指派的专用网络地址发送的通信。

【技术特征摘要】
2008.12.10 US 12/332,2161.一种存储有内容的非瞬时性计算机可读介质，所述内容将可配置的网络服务的计算系统配置为: 基于从所述可配置的网络服务的客户端接收到的第一配置信息，在所述可配置的网络服务处为所述客户端创建专用虚拟网络，所述专用虚拟网络包括与多个专用网络地址相关联的多个计算节点； 经由所提供的所述可配置的网络服务的编程接口，接收针对所述专用虚拟网络的第二配置信息，所述第二配置信息指定在所述专用虚拟网络外部的所指示的服务； 通过指派所述多个专用网络地址中的专用网络地址以在所述专用虚拟网络中表示所指示的服务，在所述专用虚拟网络中配置表示所指示的服务的本地访问机制；以及 向所指示的服务转发向所指派的专用网络地址发送的通信。2.根据权利要求1所述的非瞬时性计算机可读介质，其中，所存储的内容还将所述计算系统配置为: 配置所述可配置的网络服务和远程计算机网络的一个或更多个计算系统之间的虚拟专用网络连接；以及 经由所述虚拟专用网络连接在所述专用虚拟网络的所述计算节点和所述远程计算机网络的所述一个或更多个计算系统之间转发一个或更多个附加通信。3.根据权利要求2所述的非瞬时性计算机可读介质，其中，所述多个虚拟网络地址是所述远程计算机网络的多个专用网络地址的子集，并且所述专用虚拟网络的创建包括:将所述专用虚拟网络配置为所述远程计算机网络的扩展。4.根据权利要求1所述的非瞬时性计算机可读介质，其中，所接收的配置信息还包括用于防止从所述专用虚拟网络到与所述多个专用网络地址不相关联的外部计算系统的访问的网络访问限制信息。5.根据权利要求1所述的非瞬时性计算机可读介质，其中，所接收的第一配置信息还指定使用所述专用虚拟网络具有的所述多个专用网络地址，所述专用虚拟网络的创建包括向所述多个计算节点指派所述多个专用网络地址中的多个专用网络地址，并且将所指派的用于表示所述专用虚拟网络中的所指示的服务的所述专用网络地址选择为与所述多个专用网络地址不同。6.根据权利要求1所述的非瞬时性计算机可读介质，其中，所存储的内容还将所述计算系统配置为: 经由所提供的编程接口接收第三配置信息，所述第三配置信息指定在所述远程专用计算机网络外部并在所述专用虚拟网络外部的一个或更多个附加服务；以及 针对所述附加服务中的每一个，在所述专用虚拟网络中创建表示所述附加服务的不同的本地访问机制，所创建的本地访问机制中的每一个具有与所述多个计算节点中的任意一个均不相关联的所述多个专用网络地址中所指派的不同的专用网络地址。7.根据权利要求1所述的非瞬时性计算机可读介质，其中，所指示的服务是数据存储服务、程序执行服务或异步消息传递服务。8.根据权利要求1所述的非瞬时性计算机可读介质，其中，所提供的编程接口包括“应用编程接口” API，并且所述第一配置信息和所述第二配置信息中的一个或两者的接收是基于远程计算系统代表所述客户端对API的调用。9.一种计算机实现的方法，包括: 由在一个或更多个计算机系统上执行的可配置的网络服务从所述可配置的网络服务的客户端接收用于配置虚拟网络的第一配置信息，所述第一配置信息从远程计算机网络所使用的地址范围中指定多个专用网络地址； 由所述可配置的网络服务基于所述第一配置信息创建所述虚拟网络，所创建的虚拟网络包括多个计算节点，每个所述计算节点与所指定的专用网络地址之一相关联； 由所述可配置的网络服务接收第二配置信息，所述第二配置信息指定在所述远程计算机网络外部且在所创建的虚拟网络外部的所指示的服务； 由所述可配置的网络服务在所创建的虚拟网络中创建表示所指示的服务且使通信能够从所创建的虚拟网络中的所述多个计算节点转发到所指示的服务的本地访问机制，所述创建包括指派所指定的专用网络地址之一以表示所创建的虚拟网络中的所指示的服务；以及 由所述可配置的网络服务向所指示的服务转发经由所创建的虚拟网络向针对所指示的服务的所指派的一个专用网络地址发送的通信。10.根据权利要求9所述的计算机实现的方法，还包括: 由所述可配置的网络服务基于从所述客户端接收的指令配置所创建的虚拟网络的所述多个计算节点中的一个或更多个和所述远程计算机网络的一个或更多个计算系统之间的虚拟专用网络连接；以及 由所述可配置的网络服务经由所述虚拟专用网络连接在所创建的专用网络的所述一个或更多个计算节点和所述远程计算机网络的其他计算系统之间转发一个或更多个附加通信。11.根据权利要求10所述的计算机实现的方法，其中，向针对所指示的服务的所指派的一个专用网络地址发送的所述通信是来自所创建的虚拟网络的所述多个计算节点之一，并且向所指示的服务的所述通信的转发至少部分经由所述可配置的网络服务的一个或更多个内部网络发生。12.根据权利要求10所述的计算机实现的方法，其中，向针对所指示的服务的所指派的一个专用网络地址发送的所述通信是来自所...

【专利技术属性】
技术研发人员：埃里克·詹森·布兰德温，丹尼尔·T·科恩，安德鲁·J·德恩，
申请(专利权)人：亚马逊技术有限公司，
类型：发明
国别省市：美国;US