云环境中的基础设施支持

背景技术

数据中心是容纳计算机系统以及各种联网组件、存储组件和其他相关组件的设施。数据中心可以例如作为远程计算服务而向企业和个人提供计算服务，或者提供“软件即服务”(例如，云计算)。

为了支持数据中心资源的有效利用，虚拟化技术允许物理计算设备托管一个或多个虚拟机(VM)，该一个或多个虚拟机作为所连接的用户的独立计算机设备而出现并操作。数据中心可以以动态方式来创建、维护或删除虚拟机。

许多企业利用包括虚拟网络对等(peering)的虚拟化技术来为其业务部门或业务线(LOB)提供连接的但安全的工作空间。虚拟机对等方可以使用专用IP地址而在虚拟网络内彼此直接链接。除了不需要虚拟专用网络(VPN)网关这一事实之外，虚拟网络对等还使得大型组织能够为团队提供对虚拟化资源的经管理的访问。例如，组织可以在区域内创建对等链路，从而允许通信跨虚拟网络的隔离，使得公共服务和策略可以被共享。

然而，当企业在虚拟化环境中扩展其网络时，可能会遇到限制。例如，虚拟化服务提供方可能会限制所支持的对等链路的数量。组织可能需要在组织内的各个LOB之间提供隔离，并且可以将每个LOB托管在其自己的虚拟网络中，并且使用虚拟网络对等来提供对等方之间的连接。许多企业使用网格状网络来支持连接要求。然而，当企业尝试在虚拟化环境中复制其网络时，所支持的对等链路数量的限制可能会阻止其在无需大量的重新架构和成本的情况下，从传统系统扩展到虚拟化环境。例如，企业可以具有多达100个LOB，从而需要约5000个对等链路来将对应网格状网络迁移到虚拟化环境。

相对于这些考虑和其他考虑，提出了本文进行的公开内容。

发明内容

所公开的实施例描述了用于允许企业业务线(LOB)将其网络扩展到云并且因此使得其网络能够从内部部署的数据中心迁移到云中的虚拟化系统的技术。在一些实施例中，虚拟网络对等以及轴辐式架构(hub and spoke architecture)可以被实现。

在一个示例场景中，企业用户可以将各种LOB的网络迁移到云，每个LOB可以由一个或多个项目组成，并且各自可能需要网格状网络拓扑来提供各种LOB和其他服务之间的连接。每个项目可以进一步包括多个环境，诸如开发、生产、上线和其他环境，并且其中每个环境可能需要其自己的虚拟网络。附加地，每个环境可以进一步包括前端子网、中间层、子网和后端子网。这样，企业可以利用虚拟网络及其子网作为不同环境之间的细粒度隔离边界，以满足合规性要求。虚拟网络对等限制可能会限制此类网络的部署。备选解决方案的开发可能成本很高，并且需要在部署复杂性之间进行权衡。此外，LOB可能需要访问其他LOB以及连接回企业的虚拟网络。为了实现这样的连接，第一解决方案可以是在各种虚拟网络之间创建网格状网络架构。然而，这样的网格状网络需要大量的虚拟网络到虚拟网络的对等链路，对等链路的数量可能与虚拟网络的数量和LOB的数量直接成比例。

在各个实施例中，描述了用于将网格状网络转换为可以托管在虚拟化环境中的轴辐式网络(hub and spoke network)的技术。通过提供这样的机制来将网格状网络接入虚拟化环境，虚拟网络互连的限制可以被减少，从而允许为需要网格状网络的用户和需要更多互连的其他场景更有效地实现虚拟化服务。

在一个实施例中，第一虚拟网络枢纽(hub)可以被实现，第一虚拟网络枢纽包括第一中央虚拟网络，第一中央虚拟网络具有到形成第一轴辐(hub and spoke)的多个轮辐式虚拟网络(spoke virtual network)的直接虚拟连接，轮辐式虚拟网络的数量可以根据对数据中心的约束而被确定。第一虚拟网络枢纽可以具有到第二枢纽虚拟网络的直接虚拟连接，第二枢纽虚拟网络包括第二中央虚拟网络，第二中央虚拟网络具有到形成第二轴辐的多个轮辐式虚拟网络的直接虚拟连接。第一轴辐或第二轴辐中的任一轮辐式虚拟网络可以借助所连接的中央虚拟网络而与第一轴辐或第二轴辐中的任何其他虚拟网络形成虚拟连接。来自轮辐的通信可以借助作为对等网络而连接的枢纽而被支持。轮辐可以被配置为借助枢纽来进行通信。以这种方式，轴辐消除了将轮辐彼此直接连接的需要。该模式可以以线性方式继续，以允许形成大量的轴辐分组(hub and spoke grouping)，轴辐分组可以在拓扑上支持任意大小的网格状网络。以此方式，对虚拟网络之间的连接的先前限制可以被避免，同时允许具有多个LOB的用户在无需重新架构其软件架构和/或应用的情况下，将其网格状拓扑迁移到虚拟化云环境。具有多个LOB的用户还可以在虚拟化云环境中，以允许可扩展增长的同时提供对数据中心资源的有效利用的方式来支持其网格状拓扑。

提供本发明内容来以简化形式介绍一些概念，这些概念将在以下的具体实施方式中进一步描述。本发明内容并不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。此外，所要求保护的主题不限于解决在本公开的任何部分中指出的任何或所有缺点的实现。

附图说明

参考附图来描述具体实施方式。在本文详述的描述中，参考了构成本文的一部分的附图，并通过例示的方式示出了特定的实施例或示例。本文中的附图未按比例绘制。贯穿多个附图，相同的附图标记表示相同的元素。

图1是图示了根据本公开的数据中心的图；

图2是图示了根据本公开的虚拟机实例的图；

图3是图示了企业网络的图。

图4是图示了根据本公开的虚拟网络枢纽的各方面的图；

图5是图示了根据本公开的示例轴辐的实现的图；

图6是描绘了根据本公开的用于实现轴辐式拓扑的示例过程的流程图；

图7是描绘了根据本公开的用于实现轴辐式拓扑的示例过程的流程图；

图8是根据本公开的示例计算设备。

具体实施方式

本文描述了用于使得诸如企业的用户能够在虚拟化环境中支持多业务线(LOB)的方法和系统。在各个实施例中，描述了用于在虚拟化环境中托管轴辐式拓扑的技术，该技术允许数据中心将高度互连的网络(诸如网格状网络)接入虚拟化环境，同时避免对虚拟网络互连的限制。轴辐式虚拟网络拓扑允许为具有多个LOB且需要多对多拓扑(诸如网格状网络)的用户实现虚拟化服务。尽管本公开在网格状网络的上下文中描述了许多示例实施例，但是所公开的方法和系统可以利用以多个虚拟连接为特征的其他拓扑来实现。

图1图示了其中本文描述的实施例可以被实现的示例计算环境。图1图示了数据中心100，数据中心100被配置为经由用户计算机102a、102b和102c(在本文中被简称为“计算机102”，或者复数形式的“计算机102”)来向用户100a、100b或100c(在本文中可以被简称为“用户100”或复数形式的“用户100”)提供计算资源。由数据中心100提供的计算资源可以包括各种类型的资源，诸如计算资源、数据存储资源、数据通信资源等。每个类型的计算资源可以是通用的，也可以在多个特定配置中使用。例如，计算资源可以用作虚拟机。虚拟机可以被配置为执行应用，应用包括Web服务器、应用服务器、媒体服务器、数据库服务器等。数据存储资源可以包括文件存储设备、块存储设备等。计算资源的每个类型或配置，诸如处理器的数量以及存储器和/或存储容量的大小，可以以不同的配置来获得。在一些实施例中，资源可以以被称为实例(诸如，虚拟机实例或存储实例)的单元的形式提供给客户端。虚拟计算实例可以被称为虚拟机，并且可以例如包括具有指定计算能力(可以通过指示CPU的类型和数量、主存储器大小等来指定)的一个或多个服务器以及所指定的软件堆栈(例如，可以进而在管理程序之上运行的特定版本的操作系统)。

数据中心100可以包括服务器116a、116b和116c(在本文中被简称为“服务器116”，或者复数形式的“服务器116”)，服务器提供可用作虚拟机118a和118b(在本文中可以被简称为“虚拟机118”或复数形式的“虚拟机118”)的计算资源。虚拟机118可以被配置为执行应用，诸如Web服务器、应用服务器、媒体服务器、数据库服务器等。可以提供的其他资源包括数据存储资源(图1中未示出)，并且可以包括文件存储设备、块存储设备等。服务器116还可以执行管理和控制数据中心(诸如控制器115)中的资源分配的功能。控制器115可以是结构控制器或被配置为管理服务器116上的虚拟机分配的另一类型的程序。

参考图1，通信网络130可以例如是链接网络的公共可访问网络，并且可以由诸如互联网的各种实体来操作。在其他实施例中，通信网络130可以是专用网络，诸如公众完全或部分不可访问的公司网络。

通信网络130可以提供对计算机102的访问。计算机102可以是用户100使用的计算机。计算机102a、102b或102c可以是服务器、台式或膝上型个人计算机、平板计算机、智能电话、机顶盒或能够访问数据中心100的任何其他计算设备。用户计算机102a或102b可以直接连接到互联网(例如，经由电缆调制解调器)。用户计算机102c可以在数据中心100内部，并且可以经由内部网络而直接连接到数据中心100中的资源。尽管仅三个用户计算机102a、102b和102c被描绘，但是应当理解，可以存在多个用户计算机。

计算机102也可以被用于配置由数据中心100提供的计算资源的各方面。例如，数据中心100可以提供Web接口，其操作的各方面可以借助Web接口，通过使用用户计算机102上执行的Web浏览器应用来配置。备选地，用户计算机102上执行的独立应用可以被用于访问数据中心100所公开的应用编程接口(API)，以执行配置操作。

服务器116可以被配置为提供上述计算资源。服务器116中的一个或多个可以被配置为执行管理器120a或120b(在本文中可以被简称为“管理器120”，或者复数形式的“管理器120”)，管理器120a或120b被配置为执行虚拟机。例如，管理器120可以是虚拟机监视器(VMM)、结构控制器或被配置为使得能够在服务器116上执行虚拟机118的另一类型的程序。

应当理解，尽管以上公开的实施例在虚拟机的上下文中进行讨论，但是其他类型的实现可以与本文所公开的概念和技术一起使用。

在图1所示的示例数据中心100中，网络设备111可以被用来将服务器116a和116b互连。网络设备111可以包括一个或多个交换机、路由器或其他网络设备。网络设备111也可以被连接到网关140，网关140被连接到通信网络130。网络设备111可以例如通过根据需要，基于这样的通信特性(例如，包括源地址和/或目的地地址的报头信息、协议标识符等)和/或专用网络的特性(例如，基于网络拓扑的路线等)而转发分组或其他数据通信来支持数据中心100中的网络内的通信。应当理解，为了简单起见，该示例的计算系统和其他设备的各个方面在未示出某些常规细节的情况下被图示。附加计算系统和其他设备在其他实施例中可以被互连，并且可以以不同的方式被互连。

应当理解，图1所示的网络拓扑已被极大地简化，并且更多的网络和联网设备可以被用来将本文所公开的各种计算系统互连。这些网络拓扑和设备对本领域技术人员而言应是明显的。

还应当理解，图1中描述的数据中心100仅是例示性的，并且可以利用其他实现。附加地，应当理解，本文所公开的功能可以以软件、硬件或软件和硬件的组合来实现。对于本领域技术人员而言，其他实现应是明显的。还应当理解，服务器、网关或其他计算设备可以包括可以交互并执行所描述的功能类型的硬件或软件的任何组合，包括但不限于台式机或其他计算机、数据库服务器、网络存储设备和其他网络设备、PDA、平板电脑、智能电话、互联网设备、基于电视的系统(例如，使用机顶盒和/或个人/数字录像机)以及具有适当通信功能的各种其他消费类产品。附加地，在一些实施例中，由所图示的模块提供的功能可以被组合在更少的模块中或者被分布在附加的模块中。类似地，在一些实施例中，所示模块中的一些模块的功能性可能未被提供和/或其他附加功能性可能可用。

在一些实施例中，诸如在图2中，示出了数据中心200，数据中心200可以被视为共享计算资源和共享基础设施的集合。例如，如图2所示，数据中心200可以包括虚拟机容器204、物理主机202、逻辑分组208和数据中心212。虚拟机容器204可以被称为虚拟机插槽。物理主机202的硬件和/或软件配置可能有所不同，并且因此无论它们位于同一物理机架还是数据中心上，物理主机202可能都不相同。物理主机202可以由多个虚拟机容器204共享，每个容器204能够托管虚拟机。多个物理主机202可以共享资源，诸如在数据中心212上提供的电源(在图2中未示出)。数据中心212还可以包括一个或多个路由器(在图2中也未示出)，路由器可以服务于多个物理主机202来路由网络流量。控制器或配置服务器214可以包括配置有指令的存储器和处理器，用于管理对计算资源进行配置和取消配置以及检测计算资源的健康和/或故障的工作流。配置服务器214可以确定资源在数据中心内的放置。在一些实施例中，该放置可以至少部分地基于可用计算资源和/或计算资源之间的关系。

图3图示了大型企业300的一个示例，大型企业300部署运行多个项目312的多个LOB 310，项目312可以各自运行多个虚拟网络。LOB虚拟网络可能需要访问其他LOB以及可以经由网格状网络提供服务的其他公共服务。如图3所示，业务部门可能需要访问其他业务线、内部部署的数据中心以及用于托管组织所共享的服务的公共服务虚拟网络315。例如，在一个区域中，企业可能拥有多个业务线(LOB)，并且每个业务部门可以在具有自己的开发、测试、上线和生产环境的虚拟网络内运行，而虚拟网络进而共享源代码存储库、开发人员工具、安全性和其他资源。

使用虚拟网络对等，网格状拓扑可以被实现为确保所有对等方均可以访问所有其他对等方。一些组织可以通过在各种虚拟网络之间创建网格状网络架构来解决其对网络隔离和连接性的需求。在网格状网络中，网络中的所有节点被互连，因此网络流量可能很快，并且可以根据需要而被轻松重定向。网格状拓扑的缺点是它会创建冗余连接，与其他拓扑相比，其操作和管理成本很高。此外，如下表所示，所需的对等链路的数量可能会很快达到数据中心的极限。虚拟网络对等链路的数量基于虚拟网络和业务部门的数量呈指数增长。

在各种实施例中，内部部署的网格状网络可以被转换为可以被托管在虚拟化环境中的轴辐式网络。通过以这种方式将网格状网络接入虚拟环境，对虚拟网络互连的限制可以被减少，从而允许为需要网格状网络的用户和需要更多互连的其他场景有效地实现虚拟化服务。

在一个实施例中，第一虚拟网络枢纽可以被实现，第一虚拟网络枢纽包括第一中央虚拟网络，第一中央虚拟网络具有到形成第一轴辐的多个轮辐式虚拟网络的直接虚拟连接，轮辐式虚拟网络的数量可以根据对数据中心的约束而被确定。第一虚拟网络枢纽可以具有到第二虚拟网络枢纽的直接虚拟连接，第二虚拟网络枢纽包括第二中央虚拟网络，第二中央虚拟网络具有到形成第二轴辐的多个轮辐式虚拟网络的直接虚拟连接。第一轴辐或第二轴辐中的任何轮辐式虚拟网络可以借助所连接的中央虚拟网络而与第一轴辐或第二轴辐中的任何其他虚拟网络形成虚拟连接。该模式可以以线性方式继续，以允许形成大量的轴辐分组，轴辐分组可以在拓扑上支持任意大小的网格状网络。

以这种方式，对虚拟网络之间的连接的先前限制可以被避免，同时允许具有多个LOB的用户在无需重新架构其拓扑的情况下，将其网格状拓扑迁移到虚拟化云环境。在所描述的轴辐式虚拟网络拓扑支持的一个场景中，每个LOB可以管理其自己的服务订阅，使得团队能够独立处理项目，同时维护多个隔离的环境，诸如开发、生产和上线环境。这些环境中的每一个可以被分配在其自己的虚拟网络中。一个典型的环境可以由一个或多个子网组成，诸如前端子网、中间层和后端子网，它们可以提供对隔离边界的更大控制。

在一些实施例中，虚拟网络405可以如图4所示被链接，以聚合枢纽405中的资源，资源可以由网络中的轮辐410共享。虚拟网络链接使得可以在不会影响网络的其余部分的情况下，轻松添加和删除轮辐，这为业务部门在其环境内提供了更大的灵活性。虚拟网络链接还支持集中式监视和管理。附加地，枢纽可以聚合连接来避免达到对等链路限制。在一些实施例中，网络流量可以使用网络安全组来定向，网络安全组指定了允许或拒绝流量的规则以及控制分组路由的经用户定义的路线。

虚拟网络链接还可以支持分层的隔离方法，例如，为每个项目环境部署一个虚拟网络来改进安全性。链接模型可以使得能够将每个开发、测试、上线和生产环境托管在其自己的虚拟网络中。

在图5所示的一个示例实施例中，轴辐式架构500可以被实现为支持由访问相同数据的多个业务部门部署的项目。在该模型中，每个区域515具有其自己的数据中心，并且项目可以跨区域部署。例如，一个业务部门可能具有用于分析全球客户数据的项目。团队可以在连接到区域虚拟网络枢纽的其自己的虚拟网络轮辐中部署他们的解决方案。枢纽网络包括诸如身份管理的共享服务，并且被连接到其他中央管理服务所驻留的内部部署的数据中心。在一个示例中，部署可以跨区域进行。专用虚拟电路可以被实现来支持每个大洲的选定区域之间的通信或区域交叉连接。选定数量的虚拟网络枢纽可以每个区域实现，例如，每个部署类型一个虚拟网络枢纽。每个枢纽可能必须通过虚拟网络对等而连接到指定数量的轮辐。使用该架构，企业可以将其虚拟网络对等链路约束到虚拟环境的服务提供方所支持的级别。网络已被部署。

在一些实施例中，隔离边界可以被实现用于跨大型虚拟机生态系统的更大访问控制。在一个示例中，基于角色的访问控制(RBAC)可以被实现为基于用户在企业内的角色来调节对资源的访问。附加地，资源管理器策略可以在项目级别建立。RBAC可以通过划分职责并且基于需要授予对资源的访问权限来限定用户活动的范围。例如，一个角色可以被允许管理虚拟网络及其中的所有内容，而另一角色则可以仅管理单个资源，诸如SQL数据库。同样，资源管理器策略可以设置资源限制并支持部署约定。例如，一个运营团队可以指定仅某些类型的虚拟机或子网被允许。企业可以使用RBAC和策略的组合来减少该拓扑中的虚拟网络对等链路的数量，使得它们不超过给定数据中心的极限。

通过为对等网络提供轴辐式架构，LOB可以根据需要而为项目提供隔离，同时还允许访问共享资源。这些改进和效率提供了更高的可用性，从而允许在数据中心中灵活且可扩展的高度连接的虚拟网络，同时有效地利用数据中心的计算资源。所公开的技术可以在任何类型的联网环境中实现，包括提供虚拟化计算和网络资源的联网环境。在一个示例实现中，轴辐实现可以被实现为支持区块链。例如，在一个实现中，一个枢纽可以被分配给每个参与方。在另一示例实现中，在诸如合并和收购场景的组合场景中，不同的网络可以使用轴辐来保持对不同网络的访问控制，从而在不同时间进行迁移。

现在转向图6，图示了根据本公开的用于在虚拟化计算环境中实现网络的示例操作过程。操作过程可以在包括一个或多个计算设备的系统中实现。参考图6，操作601图示了接收数据，数据指示将在虚拟化计算环境中实现的网格状网络拓扑。

操作601之后可以是操作603。操作603图示了确定网格状网络拓扑中的节点数量超过第一阈值。

操作603之后可以是操作605。操作605图示了实例化第一虚拟枢纽网络、以及被连接至第一虚拟枢纽网络的一个或多个轮辐式虚拟网络，来形成第一轴辐式拓扑。

操作605之后可以是操作607。操作607图示了将网格状网络拓扑中的节点和互连分配给轮辐式虚拟网络。

操作607之后可以是操作609。操作609图示了实例化附加轮辐式虚拟网络，并且将其连接到第一虚拟枢纽网络，直到轮辐式虚拟网络的数量达到第二阈值或者网格状网络拓扑中的节点和互连被分配为止。

操作609之后可以是操作611。操作611图示了响应于确定轮辐式虚拟网络的数量超过第二阈值并且网格状网络拓扑中的节点和互连未被分配，实例化第二虚拟枢纽网络。

操作611之后可以是操作613。操作613图示了实例化一个或多个轮辐式虚拟网络，并且将其连接到第二枢纽以形成第二轴辐式拓扑。

操作613之后可以是操作615。操作615图示了将网格状网络拓扑中的未经分配的节点和互连分配给第二轴辐式拓扑。

操作615之后可以是操作617。操作617图示了建立从第一虚拟网络枢纽到第二枢纽虚拟网络的虚拟连接。

操作617之后可以是操作619。操作619图示了实例化附加轮辐式虚拟网络，并且将其连接到经实例化的枢纽，直到网格状网络拓扑中的节点和互连被分配为止。

在一个实施例中，从第二虚拟枢纽网络到第三虚拟枢纽网络的虚拟连接被实例化。

在一个实施例中，第一阈值和第二阈值基于虚拟化计算环境的性能参数而被确定。

在一个实施例中，第一阈值和第二阈值基于网格状网络拓扑的性能目标而被动态地确定。

在一个实施例中，第一轴辐式网络和第二轴辐式网络被允许分配给不同的业务线。

在一个实施例中，第一阈值和第二阈值根据虚拟化计算环境的策略而被确定。

在一个实施例中，到附加虚拟枢纽网络的附加虚拟连接被实例化。

在一个实施例中，与第一轴辐式拓扑和第二轴辐式拓扑不同的安全策略被允许建立。

在一个实施例中，第一阈值和第二阈值可以基于网络状况和/或期望性能指标而被确定。例如，第一阈值和/或第二阈值可以基于针对用户的服务水平协议而被确定。第一阈值和/或第二阈值也可以基于节点和连接的期望比率而被确定。与轮辐连接的节点数量以及枢纽网络中的轮辐数量可以被调整，以在带宽、响应时间和其他性能参数方面提供目标性能。备选地，阈值可以基于为计算环境建立的极限而被设置为最大水平。

参考图7，图示了用于在虚拟化计算环境中实现网络的另一示例操作过程。操作过程可以在包括一个或多个计算设备的系统中实现。参考图7，操作701图示了接收数据，数据指示待添加到虚拟化计算环境中的一个或多个轴辐式拓扑的网格状网络拓扑。

操作701之后可以是操作703。操作703图示了确定将网格状网络拓扑中的多个节点添加到一个或多个轴辐式拓扑超过第一阈值。

操作703之后可以是操作705。操作705图示了实例化虚拟枢纽网络、以及被连接至虚拟枢纽网络的一个或多个轮辐式虚拟网络，以形成附加轴辐式拓扑。

操作705之后可以是操作707。操作707图示了将网格状网络拓扑中的节点和互连分配给轮辐式虚拟网络。

操作707之后可以是操作709。操作709图示了实例化附加轮辐式虚拟网络，并且将其连接到虚拟枢纽网络，直到轮辐式虚拟网络的数量达到第二阈值或者网格状网络拓扑中的节点和互连被分配为止。

操作709之后可以是操作711。操作711图示了实例化附加轮辐式虚拟网络，并且将其连接到虚拟枢纽网络，直到轮辐式虚拟网络的数量达到第二阈值或者网格状网络拓扑中的节点和互连被分配为止。

在一个实施例中，为每个项目环境部署一个虚拟网络被允许。

在一个实施例中，轴辐式拓扑被允许访问一个或多个共享资源。

在一个实施例中，基于角色的访问控制(RBAC)可以被实现，以基于由用户建立的角色来调节对资源的访问。附加地，RBAC和策略的组合可以被用于减少虚拟网络对等链路的数量。

在一个实施例中，第一阈值和第二阈值基于网格状网络拓扑的性能目标而被动态地确定。

在一个实施例中，第一轴辐式网络或第二轴辐式网络中的轮辐式虚拟网络的最大数量可以根据虚拟化计算环境的策略而被确定。

在一个实施例中，用户可以被允许将第一轴辐式网络和第二轴辐式网络分配给不同的业务线。

在一个实施例中，网格状网络可以被映射到第一轴辐式网络和第二轴辐式网络中的拓扑等价网络。

示例条款

本文提出的公开内容可以鉴于以下条款来考虑。

示例条款A，一种用于在虚拟化计算环境中实现网络拓扑的方法，虚拟化计算环境包括多个计算设备，多个计算设备被配置为托管经由虚拟网络而被通信耦合的多个虚拟机，方法包括：

接收数据，数据指示将在虚拟化计算环境中被实现的网格状网络拓扑；

确定网格状网络拓扑中的节点数量超过第一阈值；

实例化第一虚拟枢纽网络、以及被连接至第一虚拟枢纽网络的一个或多个轮辐式虚拟网络，以形成第一轴辐式拓扑；

将网格状网络拓扑中的节点和互连分配给轮辐式虚拟网络；

实例化附加轮辐式虚拟网络，并且将它们连接到第一虚拟枢纽网络，直到轮辐式虚拟网络的数量达到第二阈值、或者网格状网络拓扑中的节点和互连被分配为止；

响应于确定轮辐式虚拟网络的数量超过第二阈值、并且网格状网络拓扑中的节点和互连尚未被分配，实例化第二虚拟枢纽网络；

实例化一个或多个轮辐式虚拟网络，并且将它们连接到第二枢纽，以形成第二轴辐式拓扑；

将网格状网络拓扑中未的经分配的节点和互连分配给第二轴辐式拓扑；

建立从第一虚拟网络枢纽到第二枢纽虚拟网络的虚拟连接；以及

实例化附加轮辐式虚拟网络，并且将其连接到经实例化的枢纽，直到网格状网络拓扑中的节点和互连被分配为止。

示例条款B，根据示例条款A的方法，还包括实例化从第二虚拟枢纽网络到第三虚拟枢纽网络的虚拟连接。

示例条款C，根据示例条款A至B中任一项的方法，其中第一阈值和第二阈值基于虚拟化计算环境的性能参数而被确定。

示例条款D，根据示例条款A至C中任一项的方法，其中第一阈值和第二阈值基于针对网格状网络拓扑的性能目标而被动态地确定。

示例条款E，根据示例条款A至D中任一项的方法，还包括允许第一轴辐式网络和第二轴辐式网络到不同的业务线的分配。

示例条款F，根据示例条款A至E中任一项的方法，其中第一阈值和第二阈值根据虚拟化计算环境的策略而被确定。

示例条款G，根据示例条款A至F中任一项的方法，还包括实例化到附加虚拟枢纽网络的附加虚拟连接。

示例条款H，根据示例条款A至G中任一项的方法，还包括允许针对第一轴辐式拓扑和第二轴辐式拓扑的不同的安全策略的建立。

示例条款I，一种系统，包括：

一个或多个处理器；以及

存储器，与一个或多个处理器通信，存储器具有存储在其上的计算机可读指令，计算机可读指令在由一个或多个处理器执行时，使系统执行操作，操作包括：

接收数据，数据指示将被添加到虚拟化计算环境中的一个或多个轴辐式拓扑的网格状网络拓扑；

确定将网格状网络拓扑中的多个节点添加到一个或多个轴辐式拓扑超过第一阈值；

实例化虚拟枢纽网络、以及被连接至虚拟枢纽网络的一个或多个轮辐式虚拟网络，以形成附加轴辐式拓扑；

将网格状网络拓扑中的节点和互连分配给轮辐式虚拟网络；

实例化附加轮辐式虚拟网络，并且将它们连接到虚拟枢纽网络，直到轮辐式虚拟网络的数量达到第二阈值、或者网格状网络拓扑中的节点和互连被分配为止；以及

响应于确定轮辐式虚拟网络的数量超过第二阈值、并且网格状网络拓扑中的节点和互连尚未被分配，添加轴辐式拓扑，直到网格状网络拓扑中的节点和互连被分配为止。

示例条款J，根据示例条款I的系统，还包括允许每个项目环境一个虚拟网络的部署。

示例条款K，根据示例条款I至J中任一项的系统，还包括：允许轴辐式拓扑访问一个或多个共享资源。

示例条款L，根据示例条款I至K中任一项的系统，还包括：启用基于角色的访问控制(RBAC)，以基于由用户建立的角色来调节对资源的访问。

示例条款M，根据示例条款I至L中任一项的系统，还包括使用RBAC和策略的组合来减少虚拟网络对等链路的数量。

示例条款N，根据示例条款I至M中任一项的系统，其中第一阈值和第二阈值基于网格状网络拓扑的性能目标而被动态地确定。

示例条款O，根据示例条款I至N中任一项的系统，其中轴辐式网络中的轮辐式虚拟网络的最大数量根据虚拟化计算环境的策略而被确定。

示例条款P，根据示例条款I至O中任一项的系统，还包括：允许轴辐式拓扑到不同的业务线的分配。

示例条款Q，一种计算机可读存储介质，其上存储有计算机可执行指令，计算机可执行指令在由计算设备的一个或多个处理器执行时，使计算设备执行操作，操作包括：

确定网格状网络拓扑中的节点数量超过第一阈值；

使第一虚拟枢纽网络、以及被连接至第一虚拟枢纽网络的一个或多个轮辐式虚拟网络被实例化，以形成第一轴辐式拓扑；

使网格状网络拓扑中的节点和互连被分配给轮辐式虚拟网络；

使附加轮辐式虚拟网络被实例化，并且将它们连接到第一枢纽，直到轮辐式虚拟网络的数量达到第二阈值、或者网格状网络拓扑中的节点和互连被分配为止；

响应于确定轮辐式虚拟网络的数量超过第二阈值、并且网格状网络拓扑中的节点和互连尚未被分配，实例化第二虚拟枢纽网络；

实例化一个或多个轮辐式虚拟网络，并且将它们连接到第二枢纽，以形成第二轴辐式拓扑；

将网格状网络拓扑中的未经分配的节点和互连分配给第二轴辐式拓扑；

建立从第一虚拟网络枢纽到第二枢纽虚拟网络的虚拟连接；以及

实例化附加轮辐式虚拟网络，并且将它们连接到经实例化的枢纽，直到网格状网络拓扑中的节点和互连被分配为止。

示例条款R，根据示例条款Q的计算机可读存储介质，还包括实例化从第二虚拟网络枢纽到第三枢纽虚拟网络的虚拟连接，第三枢纽虚拟网络包括第三中央虚拟网络；以及

实例化从第三虚拟枢纽网络到一个或多个轮辐式虚拟网络的虚拟连接，以形成第三轴辐式拓扑。

示例条款S，根据示例条款Q至R中任一项的计算机可读存储介质，还包括实例化附加虚拟连接来形成附加轴辐式网络。

示例条款T，根据示例条款Q至S中任一项的计算机可读存储介质，其中网格状网络拓扑被映射到第一轴辐式拓扑和第二轴辐式拓扑中的拓扑等价网络。

本文中关于某些示例和实施例描述了本公开的各个方面，这些示例和实施例旨在例示而不是限制本公开。应当理解，本文提出的主题可以被实现为计算机过程、计算机控制的装置或者计算系统或制品，诸如计算机可读存储介质。尽管本文描述的主题在一个或多个计算设备上执行的程序模块的一般上下文中被呈现，但本领域技术人员将认识到，其他实现可以结合其他类型的程序模块来执行。通常，程序模块包括例程、程序、组件、数据结构以及执行特定任务或实现特定抽象数据类型的其他类型的结构。

本领域技术人员还将理解，本文描述的主题可以在除本文描述的计算机系统配置之外的其他计算机系统配置(包括多处理器系统)上或与其他计算机系统配置一起实践。本文描述的实施例也可以在分布式计算环境中实践，在分布式计算环境中，任务由借助通信网络链接的远程处理设备来执行。在分布式计算环境中，程序模块可以位于本地和远程存储器存储设备中。

由用户或代表用户建立的、用于提供经由互联网和/或其他网络可访问分布式客户端集合的一个或多个服务(诸如各种类型的基于云的计算或存储)的网络可以被称为服务提供方。这样的网络可以包括一个或多个数据中心，诸如图1所示的数据中心100，一个或多个数据中心被配置为托管可以用于实现和分发由服务提供方提供的基础设施和服务的物理和/或虚拟计算机服务器、存储设备、联网设施等。

在一些实施例中，实现本文描述的一个或多个技术的一部分或全部(包括实现网络流量的捕获的技术)的服务器可以包括通用计算机系统，通用计算机系统包括或被配置为访问一个或多个计算机可访问介质。图8图示了这样的通用计算设备800。在所图示的实施例中，计算设备800包括一个或多个处理器810a、810b和/或810n(在本文中可以被简称为“处理器810”或者复数形式的“处理器810”)，一个或多个处理器经由输入/输出(I/O)接口830而被耦合到系统存储器88。计算设备800还包括耦合至I/O接口830的网络接口840。

在各种实施例中，计算设备800可以是包括一个处理器810的单处理器系统或者包括多个处理器810(例如，两个、四个、八个或另一合适数量)的多处理器系统。处理器810可以是能够执行指令的任何合适的处理器。例如，在各种实施例中，处理器810可以是实现各种指令集架构(ISA)(诸如x86、PowerPC、SPARC或MIPS ISA或任何其他合适的ISA)中的任一个的通用或嵌入式处理器。在多处理器系统中，每个处理器810可以共同但不一定实现相同的ISA。

系统存储器88可以被配置为存储可由(多个)处理器810访问的指令和数据。在各个实施例中，系统存储器88可以使用任何合适的存储器技术来实现，诸如静态随机存取存储器(SRAM)、同步动态RAM(SDRAM)、非易失性/闪存类型的存储器或者任何其他类型的存储器。在所示的实施例中，实现一个或多个期望功能(诸如上述那些方法、技术和数据)的程序指令和数据被示出为以代码825和数据826的形式被存储在系统存储器88中。

在一个实施例中，I/O接口830可以被配置为协调处理器810、系统存储器88和设备中的任何外围设备之间的I/O流量，外围设备包括网络接口840或其他外围接口。在一些实施例中，I/O接口830可以执行任何必要的协议、定时或其他数据转换，以将来自一个组件(例如，系统存储器88)的数据信号转换为适用于另一组件(例如，处理器810)使用的格式。在一些实施例中，I/O接口830可以包括对借助各种类型的外围总线附接的设备的支持，外围总线诸如是外围组件互连(PCI)总线标准或通用串行总线(USB)标准的变型。在一些实施例中，I/O接口830的功能可以被划分为两个或更多个单独组件。而且，在一些实施例中，I/O接口830的一些或全部功能(例如，到系统存储器88的接口)可以被直接并入处理器810中。

网络接口840可以被配置为允许数据在计算设备800以及与一个或多个网络850附接的其他一个或多个设备860(诸如图1至图4所示的其他计算机系统或设备)之间交换。在各种实施例中，网络接口840可以支持经由任何合适的有线或无线通用数据网络(例如诸如以太网类型的网络)进行通信。附加地，网络接口840可以支持经由诸如模拟语音网络或数字光纤通信网络的电信/电话网络、经由诸如光纤通道SAN的存储区域网络或者经由任何其他合适类型的网络和/或协议进行通信。

在一些实施例中，系统存储器88可以是计算机可访问介质的一个实施例，计算机可访问介质被配置为存储如以上针对图1至图19的程序指令和数据，以实现对应方法和装置的实施例。然而，在其他实施例中，程序指令和/或数据可以在不同类型的计算机可访问介质上被接收、发送或存储。计算机可访问介质可以包括非暂时性存储介质或存储器介质，诸如磁性或光学介质，例如，经由I/O接口830耦合到计算设备800的磁盘或DVD/CD。非暂时性计算机可访问介质还可以包括任何易失性或非易失性介质，诸如RAM(例如，SDRAM、DDRSDRAM、RDRAM、SRAM等)、ROM等，任何易失性或非易失性介质可以被包括在计算设备800的一些实施例中作为系统存储器88或另一类型的存储器。此外，计算机可访问介质可以包括经由诸如网络和/或无线链路的通信介质来传送诸如电、电磁或数字信号的传输介质或信号，诸如可以经由网络接口840来实现。多个计算设备中的各部分或全部(诸如图8中所示的那些)在各种实施例中可以被用于实现所描述的功能；例如，在各种不同的设备和服务器上运行的软件组件可以协作来提供功能。在一些实施例中，除了使用通用计算机系统来实现或代替使用通用计算机系统来实现，所描述的功能的各部分可以使用存储设备、网络设备或专用计算机系统来实现。如本文所使用的术语“计算设备”指代至少所有这些类型的设备，并且不限于这些类型的设备。

各种存储设备及其相关联的计算机可读介质为本文的计算设备提供了非易失性存储。如本文所讨论的计算机可读介质可以指代大容量存储设备，诸如固态驱动装置、硬盘或CD-ROM驱动装置。然而，本领域技术人员应理解，计算机可读介质可以是计算设备可以访问的任何可用的计算机存储介质。

作为示例而非限制，计算机存储介质可以包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据的信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动介质。例如，计算机介质包括但不限于RAM、ROM、EPROM、EEPROM、闪存或其他固态存储器技术、CD-ROM、数字多功能磁盘(“DVD”)、HD-DVD、BLU-RAY或其他光学存储设备、磁带盒、磁带、磁盘存储设备或其他磁性存储设备，或者可用于存储期望信息并且可由本文所讨论的计算设备访问的任何其他介质。为了权利要求的目的，短语“计算机存储介质”、“计算机可读存储介质”及其变型本身不包括波、信号和/或其他瞬时和/或无形的通信介质。

对本文提出的软件模块进行编码也可以变换本文提出的计算机可读介质的物理结构。在本说明书的不同实现中，物理结构的特定变换可以与各种因素相关。这样的因素的示例可以包括但不限于用于实现计算机可读介质的技术、计算机可读介质的特征是初级存储还是初级存储等。例如，如果计算机可读介质被实现为基于半导体的存储器，则本文中所公开的软件可以通过变换半导体存储器的物理状态而被编码在计算机可读介质上。例如，软件可以变换构成半导体存储器的晶体管、电容器或其他分立电路元件的状态。软件还可以变换这些组件的物理状态，以在其上存储数据。

作为另一示例，本文所公开的计算机可读介质可以使用磁性或光学技术来实现。在这样的实现中，当软件被编码在其中时，本文所呈现的软件可以变换磁性或光学介质的物理状态。这些变换可以包括改变给定磁性介质内特定位置的磁特性。这些变换还可以包括改变给定光学介质内特定位置的物理特征或特性，以改变那些位置的光学特性。在不脱离本说明书的范围和精神的情况下，物理媒体的其他变换是可能的，提供前述示例仅是为了支持该讨论。

鉴于以上内容，应当理解，许多类型的物理变换在所公开的计算设备中发生，以存储和执行本文提出的软件组件和/或功能。还可以预期，所公开的计算设备可以不包括图8所示的所有所示组件、可以包括图8中未明确示出的其他组件或者可以采用与图8所示的架构完全不同的架构。

尽管已使用结构特征和/或方法动作特定的语言描述了各种配置，但是应当理解，所附表示中限定的主题不必限于所描述的特定特征或动作。相反，特定特征和动作被公开为实现所要求保护的主题的示例形式。

除非另外特别说明或者在上下文中被理解为“被使用”，否则本文中所使用的条件语言，诸如“可以(can、could)”、“可能(may、might)”、“例如”等，通常意在传达某些实施例包括某些特征、元素和/或步骤，而其他实施例不包括某些特征、元素和/或步骤。因此，这样的条件语言通常不旨在暗示一个或多个实施例以任何方式要求特征、元素和/或步骤，或者一个或多个实施例必须包括用于在有或没有另一输入或提示的情况下决定这些特征、元素和/或步骤是否包括在任何特定实施例内或在任何特定实施例中执行的逻辑。术语“包括(comprising、including)”、“具有”等是同义词，并且以开放式方式包含，并且不排除附加元素、特征、动作、操作等。同样，术语“或者”以其包含的含义使用(而不是以其专有的含义使用)，使得例如在用于连接元素列表时，术语“或者”表示列表中的一个或多个或全部元素。

尽管已描述了某些示例实施例，但是这些实施例仅通过示例的方式给出，并且无意于限制本文公开的发明范围。因此，以上描述中的任何内容都不旨在暗示任何特定的特征、特性、步骤、模块或块是必要的或必不可少的。实际上，本文描述的新颖方法和系统可以以多种其他形式来体现，此外，在不脱离本文所公开的本发明的精神的情况下，可以对本文的方法和系统的形式进行各种省略、替换和改变。所附权利要求书及其等同物旨在涵盖将落入本文所公开的本发明的范围和精神内的形式或修改。

应当理解，在描述中对“第一”、“第二”等项的任何引用都不旨在并且不应被解释为必须对应于对权利要求的“第一”、“第二”等元素的任何引用。具体地，在本发明内容和/或以下具体实施方式中，在没有与权利要求、甚至是发明内容和/或具体实施方式的其他段落相对应的这样的指定的情况下，项和/或抽象概念(诸如例如，各个计算设备和/或计算集群的操作状态)可以通过附图标记来区分。例如，在本公开的段落内对计算群集的“第一操作状态”和“第二操作状态”的任何指定仅用于区分计算群集在该特定段落内的两个不同操作状态，而不是任何其他段落、尤其是不是权利要求。

最后，尽管已使用结构特征和/或方法动作特定的语言描述了各种技术，但是应理解，所附表示中限定的主题不必限于所描述的特定特征或动作。相反，特定特征和动作被公开为实现所要求保护的主题的示例形式。