[发明专利]分布式VPN服务

权利要求书

1.一种用于提供虚拟专用网络(VPN)服务的系统，包括：

多个主机计算机，其提供计算和网络资源，其中一组机器在每个主机计算机上执行并且所述机器通过内部网络互连；和

一组边缘节点，其提供从在所述内部网络外部的设备对至少一组机器的访问，所述一组边缘节点通过内部网络连接到所述至少一组机器中的机器，

其中至少一个特定边缘节点动态地协商用于与在内部网络外部的特定设备的连接会话的加密密钥，所述加密密钥用于加密一组传出分组，所述一组传出分组(i)由在特定主机计算机上执行的特定机器生成和发送，并且(ii)目的地为在内部网络外部的所述特定设备，

其中在协商了用于所述连接会话的加密密钥之后，所述特定边缘节点将经协商的加密密钥提供给所述特定主机计算机，以使得通过使用经协商的加密密钥在所述特定主机计算机上加密所述一组传出分组。

2.如权利要求1所述的系统，其中所述内部网络由第一数据中心提供，其中在内部网络外部的所述特定设备是由第二数据中心提供的远程网络中的主机计算机。

3.如权利要求1所述的系统，其中经协商的加密密钥还用于解密从在内部网络外部的所述特定设备到在所述特定主机计算机上执行的所述特定机器的一组传入分组，其中所述一组传入分组和所述一组传出分组属于连接会话。

4.如权利要求1所述的系统，其中所述特定边缘节点为来自所述一组机器的不同的多组传出分组协商多个加密密钥。

5.如权利要求4所述的系统，其中所述特定边缘节点接收传入加密分组，并且通过基于存储在所述传入加密分组的报头中的信息来识别用于解密所述传入加密分组的经协商的密钥，解密所述传入加密分组的一部分。

6.如权利要求4所述的系统，其中所述系统还包括控制器，用于从所述特定边缘节点接收经协商的加密密钥并将经协商的加密密钥分发给所述特定主机计算机。

7.如权利要求4所述的系统，其中所述多个主机计算机实现多个分布式逻辑转发元件，其中所述系统还包括至少一个控制器，用于向主机计算机提供配置数据以配置所述分布式逻辑转发元件。

8.一种用于在包括多个主机计算机的数据中心中提供虚拟专用网络(VPN)服务的方法，所述多个主机计算机包含一个特定计算机，所述方法包括：

接收来自数据中心内的边缘节点的多个加密密钥，其中所述边缘节点协商所述多个加密密钥以加密由在所述特定计算机上执行的多个机器生成并发送的不同的多组传出分组；

选择加密密钥以加密特定的一组传出分组，所述特定的一组传出分组(i)由在所述特定计算机上执行的一组机器中的特定机器生成和发送，且(ii)目的地为在该数据中心外部的特定设备；和

使用所选择的加密密钥来加密目的地为在所述数据中心外部的所述特定设备的所述特定的一组传出分组。

9.如权利要求8所述的方法，其中所述数据中心是第一数据中心，其中在所述数据中心外部的所述特定设备是由第二数据中心提供的远程网络中的主机计算机。

10.如权利要求8所述的方法，其中所选择的加密密钥还用于解密从在所述数据中心外部的所述特定设备到在所述特定计算机上执行的所述特定机器的一组传入分组。

11.如权利要求10所述的方法，其中所述一组传入分组和所述特定的一组传出分组属于特定的L4连接。

12.如权利要求10所述的方法，其中所述一组传入分组和所述特定的一组传出分组属于相同的L2段。

13.如权利要求8所述的方法，其中，所述一组机器包括传送不同的多组传出分组的多个虚拟机(VM)。