虚拟网络中基于身份和访问管理的访问控制制造技术

本发明专利技术提供用于为虚拟(覆盖)网络环境中的实体之间的连接提供基于身份和访问管理的访问控制的方法和设备。在所述覆盖网络的封装层处，可利用带外连接创建过程强制执行访问控制并且因此根据策略允许或拒绝源与目标之间的覆盖网络连接。例如，可给予资源身份，所识别的资源可担任角色，并且可针对所述角色定义策略，所述策略包括与建立到其他资源的连接有关的权限。当给定资源(所述源)试图建立到另一个资源(所述目标)的连接时，可确定角色，识别所述角色的策略，并且检验权限以确定是允许还是拒绝在所述覆盖网络之上从所述源到所述目标的连接。

【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
许多公司和其他组织操作互连众多计算系统的计算机网络以支持其运营，诸如其中所述计算系统位于同一位置(例如，作为本地网络的一部分)或者替代地位于多个不同的地理位置中(例如，通过一个或多个私有和/或公共中间网络连接)。例如，包括显著数量的互连的计算系统的数据中心已变得司空见惯，诸如由单个组织操作并用于所述组织的私有数据中心和由实体进行商业运营来向客户或客户端提供计算资源的公共数据中心。一些公共数据中心运营商为由各种客户端所拥有的计算硬件提供网络访问、电源以及安全安装设施，而其他公共数据中心运营商提供还包括可供其客户端使用的硬件资源的“全方位服务”设施。然而，随着典型数据中心规模和范围的不断扩大，供应、操纵和管理物理计算资源的任务变得越来越复杂。用于商用硬件的虚拟化技术的出现已关于为具有多样化需求的众多客户端管理大规模计算资源提供了益处，从而允许各种计算资源高效且安全地由多个客户端共享，并且促进在一组物理节点之间对计算资源的供应、管理和移动。例如，虚拟化技术可以通过为每个用户提供由单个物理计算机托管的一个或多个虚拟机而允许所述单个物理计算机在多个用户之间共享，其中每个这样的虚拟机是充当不同逻辑计算系统的软件模拟，所述软件模拟使用户幻想他们是给定硬件资源的唯一操作者和管理者，同时还在各种虚拟机之间提供了应用程序隔离和安全性。此外，一些虚拟化技术能够提供跨越两个或更多个物理资源的虚拟资源，诸如具有跨越多个不同物理计算系统的多个虚拟处理器的单一虚拟机。作为另一个实例，虚拟化技术可以通过为每个用户提供可以跨多个数据存储装置分布的虚拟化数据存储库而允许数据存储硬件在多个用户之间共享，其中每个这样的虚拟化数据存储库充当不同的逻辑数据存储库，所述逻辑数据存储库使用户幻想他们是数据存储资源的唯一操作者和管理者。作为另一个实例，虚拟化操作系统可通过以下方式而更容易在物理节点之间移动：停止和开始，或甚至使用有时称为“热迁移”的过程在运行时通过网络复制存储页面、之后是最终快照并重新路由网络流量。总之，这些趋势已经导致用于多个客户或“租户”的大规模“实用型”(即用即付)计算环境的出现，所述计算环境一方面共享来自计算和存储资源的大型公共池的资源，而另一方面使得其租户专用资源以维护其隐私和安全的逻辑上隔离的方式起作用。这类系统称为多租户云计算环境或“公共云”。在这种使用中，术语“公共的”并不意指租户使用无隔离且不安全。相反，它意指公众的成员可访问公共云中逻辑上隔离的资源，并且在至少一些情况下，为它们所使用的内容付费，例如按每小时、每千兆字节或每月付费。附图说明图1是根据至少一些实施方案的用于覆盖网络连接的访问控制方法的高级流程图。图2示出其中可实现用于访问控制的方法和设备的实施方案的示例性提供商网络环境。图3示出根据至少一些实施方案的提供商网络上的访问控制服务。图4A和4B提供根据至少一些实施方案的通用策略格式的非限制性实例。图5A和5B提供根据至少一些实施方案的可针对主体或资源定义的策略的非限制性实例。图6是示出根据至少一些实施方案的用于在客户端的虚拟私有网络上的资源实例之间提供访问控制的方法和设备的框图。图7是示出根据至少一些实施方案的用于在客户端的虚拟私有网络上的资源实例与外部端点之间提供访问控制的方法和设备的框图。图8是根据至少一些实施方案的用于覆盖网络连接的访问控制方法的流程图，其中主体担任角色，角色具有策略，并且访问基于对角色的策略的评估而被允许或拒绝。图9示出根据至少一些实施方案的示例性提供商网络环境。图10示出根据一些实施方案的使用IP隧道技术在网络底层(networksubstrate)上实现覆盖网络的示例性数据中心。图11是根据至少一些实施方案的示例性提供商网络的框图，所述提供商网络向客户端提供存储虚拟化服务和硬件虚拟化服务。图12示出根据至少一些实施方案的向至少一些客户端提供虚拟私有网络的示例性提供商网络。图13示出根据至少一些实施方案的提供商网络上的示例性虚拟私有网络实现方式中的子网和群组。图14是示出可在一些实施方案中使用的示例性计算机系统的框图。虽然在本文中通过对若干实施方案和示意性附图举例的方式描述了实施方案，但本领域的技术人员应认识到，实施方案不限于所描述的实施方案或附图。应理解，附图和对其的详细描述并非意图将实施方案限于所公开的特定形式，而相反，其意图在于涵盖落入由所附权利要求书限定的精神和范围内的所有修改、等效物和替代方案。本文中使用的标题都仅用于组织目的，并且并不意图用于限制本说明书或权利要求书的范围。如贯穿本申请所用，词语“可”是以允许意义(即，意味着有可能)而不是强制意义(即，意味着必须)使用。类似地，词语“包括(include/including/includes)”表示包括但不限于。具体实施方式描述了用于虚拟网络中的基于身份和访问管理的访问控制的方法和设备的各种实施方案。更具体地，描述了用于对覆盖网络环境中的实体之间的连接提供基于身份和访问管理的控制、建立和管理的方法的实施方案。这些方法在本文中可称为基于身份和访问管理的访问控制方法，或简单地称为访问控制方法。覆盖网络环境可例如在网络底层之上使用封装协议技术进行两个实体之间的通信。在网络底层之上使用封装协议技术的覆盖网络环境中，可由网络分组源(产生网络分组的实体)产生网络分组，在根据封装协议技术实现的封装层处对网络分组进行包装或封装以产生封装协议分组(在本文中也称为封装分组或网络底层分组)。然后，可根据封装分组的路由信息在网络底层之上将封装分组路由到目的地。根据封装信息在网络底层之上路由封装分组可被视为：在网络底层之上通过覆盖网络路线或路径来发送封装分组。在目的地处，封装层将网络分组从封装分组移出(称为解封装的过程)，并且将网络分组提供或发送到网络分组目的地(消费网络分组的实体)。在常规的物理网络环境中，试图向另一个IP地址发送分组的物理节点所使用的第一步是：发送ARP(地址解析协议)分组，ARP分组是逻辑上由子网上的所有主机接收的广播分组。(在一些实现方式中，网络交换机可高速缓存先前广播的结果并缩短(short-circuit)这个过程，但逻辑算法保持相同。)ARP分组用作资源发现消息，即关于哪个物理节点是对应于所需IP地址的本文档来自技高网...

【技术保护点】
一种提供商网络，其包括：网络底层；一个或多个计算装置，所述一个或多个计算装置在所述提供商网络上实现被配置来管理并评估策略的访问控制服务；以及多个主机装置，其中每个主机装置实现一个或多个资源实例；其中所述主机装置中的一个或多个各自被配置来：从所述相应主机装置上的资源实例获得网络分组；与所述访问控制服务通信，以根据由所述服务执行的对与所述资源实例相关联的策略的评估确定是否允许所述资源实例打开到由所述网络分组指示的目标的连接；如果根据所述策略允许所述资源实例打开到由所述网络分组指示的目标的连接，那么通过所述网络底层之上的覆盖网络路径将一个或多个网络分组从所述资源实例发送到所述目标；并且如果根据所述策略不允许所述资源实例打开到由所述网络分组指示的目标的连接，那么丢弃所述网络分组而无需将所述网络分组发送到所述目标。

【技术特征摘要】
【国外来华专利技术】2013.12.11 US 14/103,6281.一种提供商网络，其包括：
网络底层；
一个或多个计算装置，所述一个或多个计算装置在所述提供商网
络上实现被配置来管理并评估策略的访问控制服务；以及
多个主机装置，其中每个主机装置实现一个或多个资源实例；
其中所述主机装置中的一个或多个各自被配置来：
从所述相应主机装置上的资源实例获得网络分组；
与所述访问控制服务通信，以根据由所述服务执行的对与所述资
源实例相关联的策略的评估确定是否允许所述资源实例打开到由所
述网络分组指示的目标的连接；
如果根据所述策略允许所述资源实例打开到由所述网络分组指
示的目标的连接，那么通过所述网络底层之上的覆盖网络路径将一个
或多个网络分组从所述资源实例发送到所述目标；并且
如果根据所述策略不允许所述资源实例打开到由所述网络分组
指示的目标的连接，那么丢弃所述网络分组而无需将所述网络分组发
送到所述目标。
2.如权利要求1所述的提供商网络，其中所述目标是所述提供
商网络上的另一个资源实例或另一个网络上的端点。
3.如权利要求1所述的提供商网络，其中所述资源实例和所述
目标都是特定客户端在所述提供商网络上的私有网络实现方式中的
资源实例。
4.如权利要求1所述的提供商网络，其中为了确定是否允许所
述资源实例打开到由所述网络分组指示的目标的连接，所述访问控制
服务进一步被配置来确定并评估与所述目标相关联的策略，其中只有
在与所述资源实例相关联的所述策略和与所述目标相关联的所述策
略都允许所述连接时，才允许所述资源实例打开到所述目标的连接。
5.如权利要求1所述的提供商网络，其中所述资源实例被实现
为所述主机装置上的虚拟机(VM)，其中每个主机装置包括监视所述
相应主机装置上的多个虚拟机(VM)的虚拟机监视程序(VMM)，并且
其中所述主机装置上的所述VMM执行所述获得、所述访问和所述发
送。
6.如权利要求1所述的提供商网络，其中为了评估与所述资源
实例相关联的所述策略，所述访问控制服务被配置来：
确定所述资源实例已经在特定客户端在所述提供商网络上的私
有网络实现方式中担任角色；
确定与所述资源实例所担任的所述角色相关联的策略；并且
评估与所述角色相关联的所述策略。
7.如权利要求1所述的提供商网络，其中为了通过所述网络底
层之上的覆盖网络将所述一个或多个网络分组从所述资源实例发送
到所述目标，所述主机装置被配置来：
根据封装协议封装所述一个或多个网络分组，以产生一个或多个
封装分组；并且
将所述封装分组发送到所述网络底层上，以便根据所述封装分组
中的路由信息路由到所述目标。
8.如权利要求1所述的提供商网络，其还包括一个或多个网络

\t装置，所述一个或多个网络装置被配置来：
与在所述网络底层上实现的覆盖网络外部的端点通信，以便为所
述端点在所述覆盖网络上建立身份；
访问所述访问控制服务，以根据对与目标资源实例相关联的策略
的评估确定允许所述端点打开通过所述覆盖网络到所述目标资源实
例的连接；并且
响应...

【专利技术属性】
技术研发人员：M·赖兰，
申请(专利权)人：亚马逊科技公司，
类型：发明
国别省市：美国;US