CN114374581B - 企业虚拟专用网络（vpn）与虚拟私有云（vpc）粘连 - Google Patents

Abstract

提供了将现有虚拟专用网络(virtual private network，VPN)(如基于MPLS的VPN)与公有云数据中心中的虚拟私有云(virtual private cloud，VPC)进行粘连的技术。可以通过在VPC中配置虚拟路由应用(virtual routing application，VRA)以及在现有VPN中配置虚拟路由应用和虚拟路由应用控制器来实现粘连架构。对于公有云中没有VRA的VPC，流量可以默认路由到具有VRA的VPC。

Description

企业虚拟专用网络(VPN)与虚拟私有云(VPC)粘连

本申请是于2020年8月14日提交中国国家知识产权局、申请号为CN201980013697.7、发明名称为“企业虚拟专用网络(VPN)与云虚拟私有云(VPC)粘连”的中国专利申请的分案申请。

优先权请求

本申请要求2018年2月20日提交的第62/632,669号美国临时专利申请的权益，该临时专利申请通过引用结合到本文。

技术领域

本发明通常涉及粘连现有VPN(例如基于MPLS的VPN)与第三方数据中心(又名云DC)中的虚拟私有云(Virtual Private Cloud，VPC)。

背景技术

云端应用和服务有很多优势，包括增强移动性和随时随地在任意设备上访问应用，使协作更加高效和易于管理。

随着广泛可用的第三方云数据中心在不同地理位置的出现，以及用于监控和预测应用行为的工具的进步，企业在地理上最接近其最终用户的位置实例化应用和工作负载在技术上是可行的。此属性有助于提高端到端时延和整体用户体验。相反，企业可能希望关闭与最终用户距离太远的应用和工作负载(因此移除与已删除的应用和工作负载的网络连接)。此外，企业可能希望利用越来越多的由第三方私有云数据中心(如SAP HANA、OracleCloud、Salesforce Cloud)提供的业务应用。

然而，考虑到大多数企业VPN的构建方式，其中许多是基于多协议标签交换(Multiprotocol Label Switching，MPLS)的，企业必须做一些繁重的工作(例如，升级现有客户提供设备(customer-provided equipment，CPE)，与数据中心供应商签订新的购买协议等)，才能以灵活和可扩展的方式利用这些云端资源。

发明内容

本发明涉及用于将现有VPN与公有云DC中的VPC粘连的技术。

根据本发明的第一方面，一种操作网络设备以将现有虚拟专用网络(virtualprivate network，VPN)与一个或多个公有云数据中心(data center，DC)中的一个或多个虚拟私有云(virtual private cloud，VPC)粘连的方法包括：多个第一网络设备之间通过所述现有VPN进行通信；在第一公共DC中的第一VPC中配置虚拟路由应用；以及在所述现有VPN中配置一个或多个虚拟路由应用。所述方法还包括建立所述现有VPN中的所述第一网络设备与所述第一VPC中的一个或多个第二网络设备之间的多条路径，所述多条路径包括一个或多个物理连接和非安全网络上的一个或多个虚拟连接。附加地，在所述现有VPN中配置虚拟路由应用控制器，用于控制所述第一VPC中的所述虚拟路由应用和所述现有VPN中的所述一个或多个虚拟路由应用，由此，所述虚拟路由应用控制器通过所述第一网络设备和所述第一VPC之间的所述路径路由所述现有虚拟专用网络中的所述多个第一网络设备以访问在所述第一VPC中实例化的应用。

可选地，在第二方面中，作为第一方面的进一步实现，现有VPN是基于多协议标签交换(multiprotocol label switching，MPLS)的VPN。

可选地，在第三方面中，作为前述任一方面的进一步实现，所述一个或多个物理连接包括通过对等文件共享中心的连接。

可选地，在第四方面中，作为前述任一方面的进一步实现，所述非安全网络上的一个或多个虚拟连接包括互联网协议安全(Internet Protocol Security，IPsec)隧道。

可选地，在第五方面中，作为前述任一方面的进一步实现，所述IPsec隧道终止于所述第一VPC的虚拟网关处。

可选地，在第六方面中，作为第四方面的进一步实现，所述IPsec隧道终止所述第一VPC中的所述虚拟路由应用中的一个。

可选地，在第七方面中，作为前述任一方面的进一步实现，所述第一VPC中的所述虚拟路由应用驻留在虚拟机中。

可选地，在第八方面中，作为前述任一方面的进一步实现，所述方法还包括：在所述现有VPN中的所述第一网络设备与第二公共DC中的第二VPC中的一个或多个第二网络设备之间建立多条附加路径，所述多条附加路径包括一个或多个物理连接和非安全网络上的一个或多个虚拟连接；在所述第二VPC中配置虚拟路由应用；以及进一步配置所述路由应用控制器，用于控制所述第二VPC中的所述虚拟路由应用，由此所述虚拟路由应用控制器路由所述现有VPN中的所述多个第一网络设备，通过所述第一网络设备和所述第二VPC之间的所述路径，来访问在所述第二VPC中实例化的应用。

可选地，在第九方面中，作为前述任一方面的进一步实现，所述方法还包括：进一步配置所述虚拟路由应用控制器来路由所述第一网络设备，以通过所述第一VPC并且通过所述现有VPN中的所述第一网络设备和所述第一VPC中的所述一个或多个第二网络设备之间的所述路径路由所述第一网络设备和所述第二VPC之间的通信，来访问所述第二VPC中实例化的应用。

可选地，在第十方面中，作为前述任一方面的进一步实现，所述方法还包括：所述第一VPC中的所述虚拟路由应用监控一个或多个第二VPC与所述多个第一网络设备之间的通信。

根据本发明的另一方面，提供了一种用于实现将现有虚拟专用网络(virtualprivate network，VPN)与一个或多个公有云数据中心(data center，DC)中的一个或多个虚拟私有云(virtual private cloud，VPC)粘连的***。所述***包括第一网络设备，所述第一网络设备包括：网络接口，其用于与一个或多个网络交换通信；存储器，其用于存储数据和指令；以及处理器，其耦合到所述存储器和所述网络接口。所述处理器用于执行所述存储器中存储的指令，以将所述处理器配置来：在所述现有VPN上与一个或多个第二网络设备通信；在所述现有VPN中的所述第一网络设备和所述第二网络设备与第一公有云数据中心(data center，DC)中的第一虚拟私有云(virtual private cloud，VPC)中的一个或多个第三网络设备之间建立多条路径，所述多条路径包括一个或多个物理连接和非安全网络上的一个或多个虚拟连接；以及作为虚拟路由应用控制器操作，以控制所述第一VPC中的虚拟路由应用和所述现有VPN中的一个或多个虚拟路由应用，由此所述虚拟路由应用控制器通过所述第一网络设备和所述第一VPC之间的所述路径路由所述现有虚拟专用网络中的所述的多个第一网络设备和所述第二网络设备以访问在所述第一VPC中实例化的应用。

可选地，在第十二方面中，作为前述任一方面的进一步实现，作为所述虚拟路由应用控制器操作包括计算所述第一VPC与所述第一和第二网络设备之间的路由路径。

可选地，在第十三方面，作为前述两方面的进一步实现，所述处理器还用于执行存储在所述存储器中的指令，以将所述处理器配置来：在所述现有VPN中的所述第一和第二网络设备与第二公共DC中的第二VPC中的一个或多个第三网络设备之间建立多条附加路径，所述多条附加路径包括一个或多个物理连接和非安全网络上的一个或多个虚拟连接；以及进一步操作所述路由应用控制器，以控制所述第二VPC中的所述虚拟路由应用，由此所述虚拟路由应用控制器路由所述现有VPN中的多个第一和第二网络设备，以通过所述现有VPN中的所述第一和第二网络设备与所述第二VPC中的一个或多个第三网络设备之间的附加路径访问在所述第二VPC中实例化的应用。

可选地，在第十四方面中，作为前述三方面的进一步实现，所述处理器还用于执行存储在所述存储器中的指令，配置所述处理器用于，通过所述第一VPC并且通过所述现有VPN中的所述第一和第二网络设备与所述一个或多个第三网络设备之间的路径，路由所述第一和第二网络设备与第二VPC之间的通信以访问在所述第二VPC中实例化的应用，而进一步作为所述虚拟路由应用控制器进行操作。

可选地，在第十五方面中，作为前述四方面的进一步实现，所述处理器还用于执行所述存储器中存储的指令，以配置所述处理器进一步作为所述虚拟路由应用控制器进行操作，以监控所述第一公有云数据中心的一个或多个第二VPC与所述第二网络设备之间的通信。

根据本发明的另一方面，非瞬时性计算机可读介质存储计算机指令，用于将一个或多个虚拟专用网络(virtual private network，VPN)与一个或多个公有云数据中心(data center，DC)中的一个或多个虚拟私有云(virtual private cloud，VPC)粘连，当所述指令由一个或多个处理器执行时，使得一个或多个处理器执行包括以下的过程：多个第一网络设备之间通过所述现有VPN进行通信；在第一公共DC中的第一VPC中配置虚拟路由应用；以及在所述现有VPN中配置一个或多个虚拟路由应用。所述过程还包括建立所述现有VPN中的所述第一网络设备与所述第一VPC中的一个或多个第二网络设备之间的多条路径，所述多条路径包括一个或多个物理连接和非安全网络上的一个或多个虚拟连接。附加地，在所述现有VPN中配置虚拟路由应用控制器，用于控制所述第一VPC中的所述虚拟路由应用和所述现有VPN中的所述一个或多个虚拟路由应用，由此所述虚拟路由应用控制器通过所述第一网络设备和所述第一VPC之间的所述路径路由所述现有虚拟专用网络中的所述多个第一网络设备以访问在所述第一VPC中实例化的应用。

提供本发明内容是为了以简化的形式介绍一些概念，这些概念将在下面的具体实施方式中进一步描述。本发明内容不旨在提供专利申请所要求保护的主题的关键特征或基本特征，也不旨在确定专利申请所要求保护的主题范围。专利申请所要求保护的主题不限于解决背景技术中提到的任何或所有问题的实现方式。

附图说明

本发明的各个方面以示例方式说明，并且不受附图的限制，附图的相同的附图标记指示相同的元件。

图1为VPN实现方式的实施例的架构图。

图2为可用于实现各种实施例的网络设备的框图。

图3为使用安全隧道将VPN的网络设备连接到VPC。

图4为通过IPsec隧道实现VPN的数据中心互联的现有技术布置的示意图。

图5为图4中用于通过IPsec隧道建立VPC到现有VPN的客户站点的连接的现有技术布置的一个示例的流程图。

图6A和6B为使用虚拟路由应用在公有云数据中心内建立VPN，其中图6B提供了图6A的更详细版本。

图7为实现虚拟专用网络以及将VPN与云VPC粘连的实施例的流程图。

图8为在云数据中心中将VRA用作远程探针以扩展对粘连的现有VPN和VPC的监控和控制。

图9为在云DC中使用VRA作为远程探针以进行扩展监控和控制的实施例的流程图。

具体实施方式

下面描述一种将现有虚拟专用网络(virtual private network，VPN)(例如MPLS(多协议标签交换)VPN)与第三方数据中心(又名云DC)中的虚拟私有云(Virtual PrivateCloud，VPC)集成或粘连的技术。粘连架构的实施例通过配置属于公有云的VPC中的虚拟路由应用(virtual routing application，VRA)实现，例如在Amazon Web Service(AWS)数据中心中。对于公有云中没有VRA的VPC，来自这些VPC的流量可以默认路由到具有VRA的VPC。在一些实施例中，所述VRA可以托管在虚拟机(virtual machine，VM)，即容器中。在其它实施例中，所述VRA也可以是驻留在虚拟路由器(virtual router，vRouter)或虚拟交换机(virtual switch，vSwitch)中的软件组件。每个虚拟叠加网可以有一个逻辑上集中的VRA控制器，所述VRA控制器与所有VRA通信以实现叠加网的管理和控制。

虚拟专用网络将专用网络扩展到公共网络，使得用户能够通过共享或公共网络发送和接收数据，就像其计算设备直接连接到专用网络一样。这允许跨VPN运行的应用程序从专用网络的功能、安全性和管理中受益。开发出VPN技术，允许远程用户和分支机构访问公司应用程序和资源。为了确保安全性，使用加密的分层隧道协议建立专用网络连接，并且VPN用户使用认证方法(包括密码或证书)来获得对VPN的访问。通过使用专用连接、虚拟隧道协议或流量加密建立虚拟点对点连接以创建VPN。可从公共互联网上获得的VPN可以提供广域网(wide area network，WAN)的一些优势。从用户的角度来看，可以远程访问专用网络中可用的资源。

当实现为多协议标签交换(Multiprotocol Label Switching，MPLS)虚拟专用网络时，处于不同位置的VPN成员通过MPLS骨干网连接，例如，第一VPN成员和第二VPN成员连接，其中，所述第一VPN成员和所述第二VPN成员通过MPLS骨干网连接到同一VPN。所述第一VPN成员通过第一用户边缘设备15(customer edge，CE)与所述MPLS骨干网的第一运营商边缘设备(Provider Edge，简称PE)连接。第一PE设备17通过所述MPLS骨干网与第二PE设备17连接，并且所述第二PE设备通过第二CE 15与所述第二VPN成员连接。所述第一VPN成员和所述第二VPN成员可以通过所述第一CE 15、所述第一PE 17、所述MPLS骨干网、所述第二PE 17和所述第二CE 15形成的路径进行通信。

图1为VPN实现方式的实施例的架构图，所述VPN可以作为现有VPN的示例，所述现有VPN可以与一个或多个公有云数据中心中的一个或多个虚拟私有云粘连。如图1中所示，所述***是MPLS VPN的网络架构，并且所述MPLS VPN包括MPLS骨干网11和多个VPN成员，或者网络设备13。位于不同位置的网络设备13通过所述MPLS骨干网11互相连接。此外，所述多个VPN成员网络设备13可以属于同一VPN。例如，图1中举例的两个VPN成员网络设备13通过所述MPLS骨干网11互相连接并且属于所述VPN。在所述MPLS骨干网11的边缘处设置两个PE设备，PE设备用于连接VPN成员。例如，如图1中所示，所述MPLS骨干网一端处的VPN成员网络设备13通过CE与PE设备连接，并且使用PE设备通过与所述MPLS骨干网的连接而连接到所述MPLS骨干网的另一端的VPN成员网络设备13。需要说明的是，MPLS VPN中的VPN成员数量、PE设备数量等并不限于两个，并且图1中示出的两个仅用作示例。

图2是可用于实现各种实施例的网络设备(例如图1的VPN成员)的框图。特定网络设备可利用所有示出的组件或仅所述组件的子集，并且设备之间的集成程度可能不同。此外，网络设备可以包含组件的多个实例，例如多个处理单元、处理器、存储器、发射器、接收器。网络设备可以包括配备一个或多个输入/输出设备(如网络接口和存储接口等)的处理单元101。所述处理单元101可以包括中央处理器(central processing unit，CPU)110、存储器120、大容量存储器设备130、以及连接至总线170的I/O接口160。所述总线170可以是几种总线架构类型中的任意一种或多种，包括内存总线或内存控制器、外设总线等。

所述CPU 110可以包括任意类型的电子数据处理器。所述存储器120可包括任意类型的***存储器，例如静态随机存取存储器(static random access memory，SRAM)、动态随机存取存储器(dynamic random access memory，DRAM)、同步DRAM(synchronous DRAM，SDRAM)、只读存储器(read-only memory，ROM)或其组合。在一个实施例中，所述存储器120可以包括在启动时使用的ROM，以及在执行程序时用于存储程序和数据的DRAM。例如，所述存储器120可以存储指令，所述指令可以使得所述处理器CPU 110配置网络设备，以执行以下描述的将现有VPN粘连到虚拟私有云的方法。所述大容量存储设备130可以包括任何类型的存储设备，用于存储数据、程序和其它信息，并且使所述数据、程序和其它信息可通过所述总线170访问。所述大容量存储设备130可以包括固态硬盘、硬盘驱动器、磁盘驱动器、光盘驱动器等中的一种或多种。

所述网络设备的处理单元101还包括一个或多个网络接口150，其可以包括有线链路(例如以太网电缆等)和/或用于接入节点或一个或多个网络180的无线链路。所述网络接口150允许所述处理单元101通过所述网络180与远程单元通信。例如，所述网络接口150可以通过一个或多个发射器/发射天线以及一个或多个接收器/接收天线提供无线通信。在一个实施例中，所述处理单元101耦合到局域网或广域网上进行数据处理以及与远程设备(如其它处理单元、互联网、远程存储设施等)通信。在以下讨论中特别相关的是，所述网络接口可以通过例如安全隧道或通过物理连接(例如直连机制)附加到VPN以及虚拟私有云，。

图2中描绘的组件可以在软件、硬件或其组合中实现。在一些实施例中，软件可以存储在所述存储器120(例如，非暂时性计算机可读介质)、存储设备或一些其他物理存储器中，并且可以由一个或多个处理单元(例如，一个或多个处理器、一个或多个处理器核心、一个或多个GPU等)执行。

虚拟私有云(Virtual Private Cloud，VPC)是在公有云环境中分配的按需配置的共享计算资源池，在使用资源的不同组织之间提供一定程度的隔离。同一云上的一个VPC用户与其他用户的隔离通常通过为每个用户分配私有IP子网和虚拟通信构造(如虚拟局域网VLAN或一组加密通信通道)来实现。在VPC机制中，为每个VPC用户提供云内隔离的同时还提供了VPN功能，以确保组织能够远程访问其VPC云资源。有了这些隔离级别，使用此服务的组织实际上是在云基础设施上工作，而不是与其他用户共享。

VPC通常用于云基础设施即服务。在这种情况下，提供底层公有云基础设施的基础设施供应商和通过此基础设施实现VPC服务的供应商可能是不同的供应商，例如，AmazonWeb Service或AWS。

在VPC与网络设备之间实现安全连接的一个方法是使用安全隧道(如互联网协议安全或IPsec隧道)。在安全隧道模式下，整个IP数据包都可以加密和认证。然后，将其封装到一个带有新的IP报头的新的IP数据包中。隧道模式用于实现网络到网络通信(例如，路由器到链接站点之间)、主机到网络通信(例如，远程用户访问)和主机到主机通信的虚拟专用网络。

图3所示为使用安全隧道将VPN的网络设备连接到VPC。图3的左边是包括网络设备211的客户VPN 207。例如，客户VPN 207可以对应图1的VPN，其中所述网络设备211为所述网络设备13中的一个。尽管图3中仅示出了单个网络设备211，但可以理解的是，典型实施例通常可以具有更多这样的网络设备作为客户VPN 207的一部分。路由器213可用于通过公共网络205将网络设备211从所述客户VPN 207连接到云数据中心209。

所述网络设备211可以在所述公共网络205上建立到所述云数据中心209的网关215的安全隧道203。可以对IP数据包进行加密和认证，然后封装到带有新IP报头的新IP数据包中，并且通过所述VPN 207中的所述网络设备211与所述云数据中心209的VPC 217之间的隧道进行传输。

客户终端设备(customer premise equipment，CPE)通过企业VPN连接到公有云数据中心中实例化的工作负载或应用程序的一个方法是使用隧道(如IPsec隧道，或SD-WAN(广域网中的软件定义网络))将企业的CPE连接到公有云的网关，如AWS虚拟网关或互联网网关(在AWS的示例中)。然而，根据先前的布置，这需要在每套客户终端设备和每个公共数据中心之间建立单独的安全通信隧道，如图4中所示的情形。

图4为通过IPsec隧道实现VPN的数据中心互连的现有技术布置的示意图。客户现有的企业VPN 301连接多个不同的位置，每个位置都具有客户提供设备，包括一个或多个网络设备。在本示例中，这包括具有CPEc的总部315、具有CPEb的企业数据中心313、具有CPEa的第一远程分支机构311以及具有CPEd的第二远程分支317，但其他示例可以是更多或更少的位置。第一VPC VPC-a 325-a位于第一云数据中心321-a中，并且包括虚拟客户提供设备vCPE-a 327-a，其中有多个实例化应用329-a。图4的示例还包括位于第二云数据中心321-b中的第二VPC VPC-b 325-b，并且包括虚拟客户提供设备vCPE-b 327-b，其中有多个实例化应用329-b。其他示例将有更多的或更少的公有云数据中心和数据中心内的VPC。

云数据中心321-a和321-b中的每一个都具有各自的网关GW-a 323-a和GW-b 323-b。所述网关GW-a 323-a和GW-b 323-b可以执行网络地址转换(network addresstranslation，NAT)，通过修改接收到的数据包的IP报头中的网络地址信息，将一个IP地址空间重新映射到另一个。如图4中所示，在先前的布置中，连接到企业现有VPN 301的每个位置中的CPE必须单独建立到每个云数据中心网关的安全通信隧道。

图5为图4中示出的用于通过IPsec隧道建立VPC到现有VPN的客户站点的连接的现有技术布置的一个示例的流程图。通过安全通信隧道建立到所述VPN的VPC连接的过程开始于401，并且所述建立过程针对VPN的每个网络设备和每个VPC单独执行。对于第一网络设备和第一VPC，在403中创建虚拟网关(virtual gateway，VGW)，并且在405中将所述网络设备连接到所述VPC。在407中，创建相应的客户网关(customer gateway，CGW)，然后在409中，为当前网络设备和VPC创建VPN，在411中，更新路由表以说明这一点。然后，在413中，可以配置所述客户网关以反映更新的路由。

403-413的过程仅布置了第一网络设备和第一VPC的连接，并且其他网络设备-VPC对将重复此过程。在图5的示例中，首先执行当前网络设备与其他VPC的连接，然后执行其他网络设备与VPC的连接，但是网络设备-VPC对的连接可以按其他顺序进行。

在图5的示例中，在415中，确定是否将当前网络设备连接到更多VPC，如果是，则在前进到417中的下一个VPC之后，流程循环回到403，以在417中选择用于VPC的连接。如果当前网络设备的VPC连接已经全部建立，则流程从415进行到419，如果有更多的网络设备要连接到VPC，则在421处前进到下一个网络设备之后，流程循环回到403，以对每个附加网络设备及其VPC连接重复403-417。所述过程一直持续到所有网络设备-VPC配对的连接完成。

关于图4和5描述的方法的一个缺点是多点任意互连的复杂性，例如关于图4的隧道所表示的。在云DC中实例化的动态工作负载(例如321-a中的329-a或321-b中的329-b)需要与多个分支机构(例如311、317)和终端数据中心(313)进行通信。大多数企业需要多个位置之间的多点互连，如MPLS第2层/第3层VPN所做的那样。使用SD-WAN覆盖路径来实现所有分支之间的任意网格互连，不仅要求所有分支的CPE支持SD-WAN，还要求CPE管理位于其他位置的其他CPE之间的路由(例如云DC 321-a中的VPC-a 325-a和云DC 321-b中的VPC-b325-b)，与基于MPLS的VPN解决方案相比，这可能会增加CPE的复杂性。

图4的架构在长距离上也表现出较差的性能。当CPE彼此相距甚远或跨越特定边界时，无论是政治边界(例如国家边界)还是与互联网拓扑结构相关的特定边界，公共互联网上的性能都可能存在问题并且不可预测。尽管有许多监控工具可用于测量延迟和网络的各种性能特征，但对互联网上路径的测量是被动的，并且过去的测量可能不代表未来的性能。因此，对于位于不同地理位置的CPE，通过互联网(例如通过SD-WAN)访问云DC中的应用程序，性能可能会存在问题。如果云供应商可以在不同的可用区域(地理上更靠近用户)复制工作负载，则不同云物理位置的复制将需要额外的协调，这并非易事。

还存在与图4的架构的多个安全通信隧道相关联的扩展问题。IPsec可以通过任何Underlay网络在两个位置之间实现安全覆盖连接，例如，在CPE与云DC网关(例如GW-a 323-a或GW-b 323-b)之间。对于少量固定分支机构之间的简单SD-WAN叠加，每个CPE只需要终止少量的IPSec隧道，这在本质上大部分是静态的。然而，对于多个分支，要达到工作负载，例如在云DC 321-a和321-b中的实例化应用329-a、329-b，SD-WAN解决方案需要云DC网关来维护云DC网关和每个单独的分支机构之间的单独的IPsec隧道。对于具有数百或数千个位置的公司，可能有数百(甚至数千)个IPsec隧道终止于云数据中心网关，这对于网关来说可能是非常密集的处理。目前，许多路由器支持大量IPsec隧道的能力有限。

图4的布置还可以具有数据流的端到端安全问题。当来自企业终端的CPE(例如311、313、315或317)的IPsec隧道终止于工作负载或应用329-a，329-b托管的云DC网关(例如GW-a 323-a、GW-b 323-b)时，一些企业担心，进出其工作负载的流量会暴露给数据中心网关后面的其他组织(例如，暴露给在同一数据中心中有工作负载的其他组织)。为了确保进出工作负载的流量不暴露给不需要的实体，IPsec隧道应该直达DC内的工作负载(例如服务器或虚拟机(virtual machine，VM))。

因此，利用关于图4和图5示出的方法，企业(在公司级)必须自己管理连接，包括升级它们的CPE以能够建立到云DC网关(例如，AWS的VGW虚拟网关)的所有IPsec隧道。当企业有许多站点时，除了升级其CPE之外，还必须从云数据中心购买许多IPSec隧道终端点，这非常昂贵。

附加地，关于图4和图5所示的方法不能很好地适应，尤其是当有许多分支要连接到VPC时。此外，VPC和VPN之间没有直接的数据路径。

下面描述一种安全且可扩展的方法，所述方法可以无缝地整合或粘连现有VPN，所述VPN将企业的分支和终端数据中心与混合云DC中的虚拟网络互连起来，而无需升级分支站点和终端数据中心站点中的CPE。在其他方面中，这里描述的实施例允许云端应用程序和工作负载(即，在也为其他客户托管服务的第三方数据中心中实例化的应用和工作负载)通过多条连接路径与客户终端数据中心或分支机构无缝连接，其中一些路径可以是物理连接，一些可以是通过第三方非安全网络的虚拟连接，而不需要升级企业现有CPE。虚拟路由应用或VRA可以用于远程探测第三方云DC，以通过与云DC外部的基于硬件的设备合作来扩展监控和控制。此外，可以在不同云DC之间建立智能隧道，实现最佳路由。

图6A和6B为使用虚拟路由应用以在公有云数据中心内建立VPN，其中图6B提供了图6A的更详细版本。

在图6A的简化表示中，多个CPE通过客户现有VPN 501连接，所述CPE可以包括多个分支机构和企业数据中心，这里都标为505，以及公司位置503。图6A的各种CPE 503和505可以通过所述VPN 501连接，如上面关于通过图4的VPN 301连接的CPE 311-317所描述的那样。然而，现在，图6A的CPE 505包含虚拟路由应用或VRA，并且所述公司位置503或其它VPNCPE包含VRA控制器509。

公有云数据中心中的VPC 527包含软件实现的VPN 529，其中多个应用551在VPC上实例化。现有MPLS VPN 501可以使用第二通信隧道555通过互联网网关515连接到VPC 527的VPN 529。在图4的布置中，每个CPE 521-527通过单独的隧道555连接到云数据中心的网关，与图4中的布置不同，现在通过使用所述VRA控制器509，单个隧道555允许所述现有VPN501上的CPE 503、505连接到所述VPC 527中的VPN 529。如更详细的图6B中所示，公有云上的安全通信隧道555可以终止于公有云数据中心的虚拟网关处或公有云数据中心的VRA，而其他连接也可以包括没有加密的物理连接，例如通过使用诸如直连的协议。

在图6A的示例中，不再需要依赖云供应商的虚拟网关(例如，AWS的vGW)来与客户网关建立IPsec隧道；即，没有必要将VPC与vGW连接起来，绕过IPsec隧道的任何吞吐量限制。这允许绕过供应商的虚拟网关的限制。

可以通过在属于公有云的VPC中放置或配置虚拟路由应用(virtual routingapplication，VRA)来实现粘连架构的实施例。对于公有云中没有VRA的VPC，来自这些VPC的流量可以默认路由到具有VRA的VPC。VPC内的VRA可以托管在虚拟机(virtual machine，VM)中。在其它实施例中，也可以是驻留在虚拟路由器(virtual router，vRouter)或虚拟交换机(virtual switch，vSwitch)中的组件。

每个虚拟叠加网可以有一个逻辑上集中的VRA控制器509，所述VRA控制器509与所有VRA通信以实现叠加网的管理和控制。粘连过程可以包括VRA注册，所述VRA注册可以包括VPC信息以及VPC和VPN映射。VRA控制器可以管理VPC和MPLS VPN站点之间的流量的路径计算和路径建立。这可以结合图6B进行说明。

图6B为用于将公司VPN与公有云DC(例如，AWS(通过直接连接或互联网连接(SD-WAN))、Azure、Huawei-Cloud或其它云DC)中的VPC粘连的架构的实施例的更详细表示。位于不同位置的客户终端设备的多个实例通过客户现有的MPLS VPN 501连接，其中在本示例中示出了两个分支机构505和一个公司机构503，通常有更多(通常非常多)的通过VPN连接的远程位置和企业数据中心。与图4的布置不同，在所述分支机构505中的CPE(例如网络设备)上配置有VRA 507。由网络设备之一(这里是公司位置503)操作VRA控制器。

图6B的示例描述具有第一公有云数据中心511(具有两个可用区域521和531)和第二云数据中心541的实施例。云供应商1DC和云供应商2DC的每个可用区域具有两个VPC(最左边示例标记为527)，每个VPC具有一个激活的VPN实例(最左边示例标记为529)。不同的实施例可以具有不同数量的云供应商DC(具有不同数量的VPC)，图6B的示例只是用于说明。每个云供应商内的不同VPC和给定云供应商内的不同可用区域可以通过VPC对等连接，如523和517所示。在一个具体示例中，所述云供应商数据中心511可以是AWS数据中心，并且所述云供应商数据中心541可以是华为云数据中心。在图6B的示例中，所述可用区域521具有到VPN 501的路径，所述路径使用没有加密的物理连接，例如使用诸如直连的协议。所述可用区域531通过终止于公有云数据中心的虚拟网关515的安全通信隧道在公有云上连接。所述云供应商2DC 541通过终止于VRA的安全通信隧道在公有云上连接。

在每个公有云数据中心的每个VPC内建立一个VRA。在所述公有云数据中心的VPC内以及连接到所述MPLS VPN 501的网络设备内建立的VRA由所述VRA控制器509控制。所述VRA控制器509处理跨云的VPC对等，例如密钥分发，其中从所述VRA控制器509到每个VRA507的控制路径由粗实线表示。

图6B中的数据路径由从MPLS VPN 501上的VRA 507到公有云数据中心上的VRA525的粗虚线表示。在最左边的数据路径的示例中，MPLS 501的VRA 507通过使用例如直连的协议的共置中心集线器513连接到公有云供应商1数据中心、可用区域1 521的VRA 525。公有云供应商1数据中心的VRA 525和可用区域2 531通过互联网网关515连接到MPLS 501的VRA 507，例如当无法直接连接时。数据路径也可以通过VPC对等在云供应商1数据中心521的VRA和531之间流通，如517所表示。VPC中的VPN实例529和MPLS VPN 501中的VRA之间的数据路径可以自行加密。

对于没有直连的区域(例如图6B的531)，所述VRA控制器509可以使用互联网网关515(例如AWS互联网网关)，以在所述MPLS VPN 501中与所述VRA 507建立SD-WAN。所述VRA控制器509可以为每个VRA 507分配弹性IP。对于每个VPC,所述VRA控制器可以为所述VPC创建客户路由表，为每个VRA 507(而不是AWS VPC的虚拟网关(vGA，virtual gateway)或互联网网关(internet gateway，iGA))创建默认路由。所述VRA控制器509可以通过向互联网网关添加路由，使得分配给VRA507的子网成为公共子网，为此，所述VRA控制器509可以创建并将互联网网关连接到VPC，然后为IPv4(互联网协议的第四版本)流量添加目的地址为0.0.0.0/0的路由，或者为IPv6(互联网协议，版本6)添加目的地址为::/0的路由。对于具有直连的区域，如521，VRA 507可以直接与客户网关连接，如513所示。

图7为将现有虚拟专用网络与一个或多个公有云数据中心中的一个或多个虚拟私有云粘连的实施例的流程图。从601和现有VPN 501开始，包括位于(在本示例中)公司位置的网络设备503的各种网络设备通过所述现有VPN与其它网络设备(例如分支机构505)进行通信。603中，公有云数据中心中可以配置VRA 525。605中，可以配置所述现有VPN 501中的VRA 507。

607中，建立所述现有VPN中的第一网络设备与第一VPC中的一个或多个第二网络设备之间的路径，所述路径包括一个或多个物理连接和非安全网络上的一个或多个虚拟连接。在图6B的实施例中，物理连接的示例为可用区域521的示例，所述可用区域521通过使用未加密的物理连接(例如通过使用例如直连的协议)而具有到VPN 501的路径。关于可用性区域531和云供应商2DC 541示出了非安全网络上的虚拟连接的示例，所述可用性区域531通过终止于所述公有云数据中心的虚拟网关515的安全通信隧道连接到公有云，所述云供应商2 541通过终止于VRA的安全通信隧道连接到公有云。尽管在图7中以603、605、607的顺序示出，但是可以按照不同的顺序执行，例如在603和605之前执行607或者同时执行605和607。

609中，所述VRA控制器509用作MPLS VPN 501中的VRA 507和云DC中的VRA 525的控制器。然后，所述现有VPN 501的网络设备可以通过603中建立的路径访问在云527上发起的应用529。

类似地，611中，对于第二公有云DC中的一个或多个第二VPC，所述VRA控制器509可以建立相应的一条或多条附加路径。如在603一样，613中，对于第二公有云DC，可以配置VRA以访问第二VPC中的第二VPN实例，例如云供应商数据库531和541中的第二VPN实例。615中，所述VRA控制器509可以作为所述现有VPN 501中的网络设备的控制器进行操作，以通过在611中建立的相应第二安全通信隧道访问在所述第二VPC中发起的应用。

617中，通过VRA控制器509经由相应的第一隧道(例如603中建立的第一隧道)将第二网络设备505和第二VPC之间的通信路由到另一个第一VPC，所述现有VPN 501的网络设备(例如分支机构505)可以访问在第二VPC中发起的应用。例如，从最左边的VRA 507开始的数据路径可以通过方向连接集线器513，至云供应商DC 521的右边的VPC的VRA，再通过521和531之间的517所示的云对等连接，访问在一个VPC(例如在可用区域2处的云供应商1DC 531的左边)中发起的网络设备应用。

图8为在云数据中心中将VRA用作远程探针以扩展对粘连的现有VPN和VPC的监控和控制的实施例。在图8的示例中，客户网络741通过DC直连集线器位置731连接到云数据中心701。DC直连位置731跨越包括云DC701的云域以及包括客户网络741的客户域。客户网络741对应于图6A和6B的MPLS VPN 501，但是为了简化表示，在本示例中仅明确示出为包括通过一对虚拟局域网vlan 1和vlan 2连接到DC直连位置731的客户路由器/防火墙743。

本示例的云域的实施例包括具有VPC 703的云数据中心701，所述VPC 703具有虚拟专用网关709并包括第一子网705。VRA 711安装在具有多个应用实例707的子网705中。此外，云域中包括附加的云数据中心713和715，每个云数据中心可以具有多个VPC(本例中示出两个)，所述VPC具有VPN实例并且可以通过VPC对等进行连接。例如，云数据中心713包括VPC 751和VPC 753，所述VPC 751和所述VPC 753通过755处的VPC对等进行连接。云数据中心713和715中的每一个内的VPC安装有VRA 711。

在云域中，DC直连位置731为数据中心笼733，所述数据中心笼子733可以包括数据中心直连端点735，所述数据中心直连端点735可以与所述虚拟专用网关709交换控制信号，如虚线箭头所示。客户域中包括客户或合作伙伴笼737，所述客户或合作伙伴笼737可以包括客户或合作伙伴路由器739，所述路由器739可以包括基于硬件的复杂遥测能力。一对虚拟局域网vlan 1和vlan 2跨越客户路由器739延伸到直连端点735。

实心粗箭头表示由所述VRA控制器509管理的客户连接。如图6A和6B所描述，连通性链路从所述客户路由器739连接至子网705的VRA 711。VPC 703的VRA 711可以连接到云DC 13和715的VRA 711，所述云DC 13和715的VRA 711也可以彼此连接，以监控和控制云DC之间的通信。在一些实施例中，云DC 713和715的VRA 711可以执行简单收集，按照固定时间表发送到关闭点。

图9为在云DC中使用VRA作为远程探针以进行扩展监控和控制的实施例的流程图。801中，虚拟路由应用控制器建立连接客户VPN和VPC的路径，图7提供了更多细节。803中，虚拟路由应用用作云数据中心的遥测探针。805中，客户的VRA控制器监控和跟踪属于所述客户的VPC之间的通信。

此处提出的实施例的VRA可以执行多种功能。例如，VRA对VRA控制器的注册可以包括VRA弹性IP、VRA实际分配的IP、时间戳、隧道ID(用于与其他VRA建立IPSec和GRE(通用路由封装)组隧道)。VPC结构可以包括例如名称、vlan、虚拟接口、边界网关协议(bordergateway protocol，BGP)、云供应商ID、类型和/或其它信息，并对所述VRA控制器进行注册。由于AWS不支持第二层广播(即地址解析协议(address resolution protocol，ARP)或邻居传递(neighbor delivery，ND)协议)，在AWS情况下，通过本地分配的路由表，对VRA控制器进行注册的VRA可以包括同一区域内的可达主机和子网，模拟的第2层ARP(IPv4)/ND(Ipv6)进行扫描，以发现同一区域内的所有主动连接的主机和子网。

在其他VRA功能中，代替通过常规PING来发现远程VRA，所述远程VRA可以通过区域名称使用VRA控制器的虚拟PING请求，因为远程VRA可能并不总是活动的。通过使用区域间透明对等(如图6B中的517处所示)，所述VRA允许跨区域和云供应商的VPC对等，以及由叠加所有者控制的弹性和高效路由。所述VRA控制器可以与其他区域的VRA建立IPSec隧道，其中密钥由所述VRA控制器分发。由于实例是按时间(分钟/小时)计费的，因此当在可用性区域中启动工作负载时，每个区域中的VRA会变为活动状态。

关于图8所示的VRA执行的远程遥测探针功能允许所述VRA监控和跟踪属于特定客户(虚拟网络)的VPC之间的通信，其中可以包括元数据，例如：VPC ID(双向)、流量(双向)、时间戳。也可以按照VRA控制器的指示执行附加监控。

如上所述，本文描述的实施例的特征包括新的虚拟路由应用VRA，以将公有云中的VPC或虚拟网络与现有VPN(例如，基于MPLS的VPN)结合。附加地，扩展的VRA到VRA控制器注册可以与云DC虚拟网络注册(例如AWS中的VPC、Azure中的vNET等)一起使用。此外，代替通过常规PING发现远程VRA的可达性，***可以通过区域名称向VRA控制器发送虚拟PING请求，因为远程VRA可能并不总是活动的。此外，模拟的第二层地址解析协议(addressresolution protocol，ARP)(IPv4)/ND(IPv6)可以进行扫描，以发现同一区域内的所有主动连接的主机和子网，这是因为例如AWS云DC不支持第二层ARP。

其他特性包括：VRA控制器可以管理和控制叠加虚拟网；VRA允许跨区域和云供应商的VPC对等，并提供叠加所有者控制的弹性和高效路由；VRA可以进行远程遥测功能；VRA控制器可以管理叠加网络和底层网络之间的映射，并计算跨云和专用网络的VPC之间的路由路径。

应理解，本发明可以具体体现为许多不同的形式且不应被解释为仅限于本文所阐述的实施例。相反，提供这些实施例是为了使本主题彻底和完整，并将本发明充分传达给本领域技术人员。事实上，本主题旨在覆盖包括在由所附权利要求书限定的本主题公开的精神和范围内的这些实施例的替代物、修改和等同物。此外，在本主题的以下详细描述中，阐述了许多具体细节以便提供对本主题的透彻理解。然而，本领域的普通技术人员将清楚到，可以在没有这样具体细节的情况下实践本申请请求保护的主题。

本文结合根据本发明实施例的方法、装置(***)和计算机程序产品的流程说明和/或框图来描述本发明的各方面。应理解，流程说明和/或框图的每个方框以及流程说明和/或框图中的方框的组合可以由计算机可读程序指令实现。这些计算机程序指令可提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器以产生机器，使得所述指令通过所述计算机或其它可编程指令执行装置的处理器执行，创建用于实现流程图和/或框图中指定的功能/动作的机制。

计算机可读非瞬时性介质包括所有类型的计算机可读介质，包括磁性存储介质、光存储介质和固态存储介质，具体不包括信号。应理解，软件可以安装在设备中并随设备一起销售。可替代地，可以获取软件并将其加载到设备中，包括通过磁盘介质或从网络或分发***的任何方式获取软件，例如，包括从软件创建者拥有的服务器或从不是软件创建者拥有但使用的服务器获取软件。例如，可以将软件存储在服务器上，以便通过互联网分发。

本文中所用的术语仅仅是出于描述特定方面的目的，并不是为了限制本发明。除非上下文清楚说明，否则本文所用的单数形式“一个”、“一种”和“所述”包括其复数形式。应进一步了解，本说明书中所用的术语“包括”和/或“包含”用于说明存在所述特征、整数、步骤、操作、元件和/或部件，但并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、部件和/或它们的组合。

本发明的描述的目是说明和描述，并不旨在穷举或限制本发明。在不偏离本发明的范围和精神的前提下，多种修改和改变对本领域技术人员而言是显而易见的。选择和描述的本发明各个方面以便更好地解释本发明的原理和实际应用，并且使本领域技术人员能够理解本发明适合预期特定用途的各种修改。

为了本发明的目的，与所公开的技术相关联的每个过程可以由一个或多个计算设备连续地执行。流程中的每个步骤可以由与其他步骤中使用的计算设备相同或不同的计算设备执行，每个步骤不一定由单个计算设备执行。

虽然已经以特定于结构特征和/或方法动作的语言描述了主题，但是应该理解的是，权利要求书定义的主题不必局限于上面描述的具体特征或动作。相反，公开以上描述的具体特征和动作仅作为实现权利要求的示例形式。

Claims (9)

1.一种路由方法，其特征在于，包括：

获取第一虚拟私有云VPC对应的路由信息和虚拟专用网VPN对应的路由信息，所述第一VPC对应的路由信息包括第一虚拟路由应用VRA，所述VPN对应的路由信息包括第二VRA，所述第一VRA设置于所述第一VPC中的虚拟路由器vRouter、虚拟交换机vSwitch或虚拟机VM，所述第二VRA设置于所述VPN中的vRouter、vSwitch或VM；

基于所述第一VPC对应的路由信息和所述VPN对应的路由信息，获取第一虚拟私有云VPC与虚拟专用网网络VPN中的第一网络设备间的第一路径，其中，所述第一路径包括所述第一VRA以及所述第二VRA；

通过所述第一路径，控制所述第一网络设备访问所述第一VPC中的应用。

2.根据权利要求1所述的方法，其特征在于，所述第一路径包括通过端到端文件共享中心的连接和互联网协议安全IPsec隧道中的一个或多个。

3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

获取第二VPC与所述第一网络设备间的第二路径；

通过所述第二路径，控制所述第一网络设备访问所述第二VPC中的应用。

4.根据权利要求3所述的方法，其特征在于，所述获取第二VPC与所述第一网络设备间的第二路径包括：

获取所述第二VPC对应的路由信息和所述VPN对应的路由信息；

基于所述第二VPC对应的路由信息和所述VPN对应的路由信息，获取所述第二路径。

5.一种路由设备，其特征在于，包括：

网络接口，用于与一个或多个网络通信；

存储器，用于存储数据和指令；

处理器，与所述存储器和所述网络接口耦合，所述处理器用于执行所述存储器中存储的指令，配置所述处理器用于：

获取第一虚拟私有云VPC对应的路由信息和虚拟专用网VPN对应的路由信息，所述第一VPC对应的路由信息包括第一虚拟路由应用VRA，所述VPN对应的路由信息包括第二VRA，所述第一VRA设置于所述第一VPC中的虚拟路由器vRouter、虚拟交换机vSwitch或虚拟机VM，所述第二VRA设置于所述VPN中的vRouter、vSwitch或VM；

基于所述第一VPC对应的路由信息和所述VPN对应的路由信息，获取第一虚拟私有云VPC与虚拟专用网网络VPN中的第一网络设备间的第一路径，其中，所述第一路径包括所述第一VRA以及所述第二VRA；

通过所述第一路径，控制所述第一网络设备访问所述第一VPC中的应用。

6.根据权利要求5所述的设备，其特征在于，所述第一路径包括通过端到端文件共享中心的连接和互联网协议安全IPsec隧道中的一个或多个。

7.根据权利要求5或6所述的设备，其特征在于，所述处理器还用于执行存储在所述存储器中的指令，配置所述处理器配置用于：

获取第二VPC与所述第一网络设备间的第二路径；

通过所述第二路径，控制所述第一网络设备访问所述第二VPC中的应用。

8.根据权利要求7所述的设备，其特征在于，所述处理器用于执行存储在所述存储器中的指令，配置所述处理器配置用于：

获取所述第二VPC对应的路由信息和所述VPN对应的路由信息；

基于所述第二VPC对应的路由信息和所述VPN对应的路由信息，获取所述第二路径。

9.根据权利要求5至8任一所述的设备，其特征在于，所述设备设置于VRA控制器。