CN103309722A - 一种云计算系统及其应用访问方法 - Google Patents
一种云计算系统及其应用访问方法 Download PDFInfo
- Publication number
- CN103309722A CN103309722A CN 201210066966 CN201210066966A CN103309722A CN 103309722 A CN103309722 A CN 103309722A CN 201210066966 CN201210066966 CN 201210066966 CN 201210066966 A CN201210066966 A CN 201210066966A CN 103309722 A CN103309722 A CN 103309722A
- Authority
- CN
- China
- Prior art keywords
- apphole
- user
- application
- agency
- hole
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种云计算系统的应用访问方法,包括:将不同类别的应用分别安装在不同的虚拟机上,并根据所安装应用的类别对仅运行一类应用的虚拟机(APPHole)进行提高安全性的优化;Hole代理根据用户对应用的需求与相应的APPHole连接,为该用户提供所连接APPHole上的应用;在用户使用完应用后,Hole代理断开与APPHole的连接,云计算系统回收APPHole中提供给用户的资源。本发明还提供了一种云计算系统。通过本发明,能够大大加强云计算系统的安全性。
Description
技术领域
本发明涉及云计算技术,特别涉及一种云计算系统及其应用访问方法。
背景技术
云计算服务的一种形式是系统将虚拟机提供给用户使用,该虚拟机预先安装了操作系统,用户可以像使用本地计算机一样使用该虚拟机。图1为现有云计算系统的架构示意图。
如图1所示,云计算系统包括如下组建:
1、产品网络:用户可以访问到的网络,提供给虚拟机面向用户的网络。用户可以通过该网络,连线到虚拟机,并可以使用该虚拟机上的资源。
2、Host or Hypervisor:物理机,提供虚拟机的运行环境和虚拟硬件仿真环境,包括软体和硬体。取决于不同的虚拟化架构,比如VM-ware,Xen,KVM等等。
3、产品NIC(Network Interface Card):即网卡,该网卡是Host orHypervisor上的一块物理网卡,所有虚拟机上的虚拟网卡通过虚拟网桥连接并通过该物理网卡与产品网络连接。
4、虚拟机:虚拟主机,在云计算系统中,通过虚拟化技术创建的操作系统实例,运行在Host or Hypervisor上。
5、虚拟网桥:通过操作系统中的软体实现类似物理网桥的功能。目前现代操作系统都支持虚拟网桥。
6、Eth0与Tap1.0:Eth0是在虚拟机上的虚拟网卡,对应于Host orHypervisor上创建的虚拟网口Tap1.0,并连接到虚拟网桥上。
7、管理NIC:即网卡,该网卡是Host or Hypervisor上的一块物理网卡,所有与管理相关联的操作,比如启动,删除虚拟机,监控虚拟机状态,动态迁移虚拟机,控制Host or Hypervisor等等操作都通过该网卡与管理网络连接,并只有云内部的管理服务器才可以访问到。
8、管理网络:所有管理NIC和管理服务器连接的网络。
9、管理服务器:负责该云计算体系的管理,包括虚拟机管理,流量监控,性能监控等等操作。该服务器与用户产品网络隔离,被内部管理员使用。
在图1所示的现有云计算系统中,在虚拟机的使用上,用户申请一台虚拟机,将需要的所有应用程序安装在这台虚拟机上,并完全使用该虚拟机上的应用。这一点与传统的操作系统使用没有出入,即应用程序All-in-One。
上述应用方式,即用户使用的所有应用在单一的一台机器上(或虚拟机上),这样的方式在安全上具有原始的先天不足:
对于宿主机(应用程序被安装的目标机器)来说,会随着应用程序的增多而变得不安全。因为增加越多的应用,这就意味着开启更多的系统服务或者端口等等,暴漏更多的系统资源给外界。同时,应用程序本身的缺陷(可能导致信息泄露,或者系统崩溃)几率也会随着安装应用程序的数量增大而大大增加。
对于用户来说,集所有的应用于一台机器(All-in-One)意味着,一旦黑客掌握了这台机器,他将会取得所有应用的控制权,包括聊天记录,电子邮件记录,信用卡账号等等,在这种情况下,意味着用户信息将完全失去保障。
发明内容
本发明提供了一种云计算系统及其应用访问方法,能够提高云计算系统的安全性。
为实现上述目的,本发明采用如下的技术方案:
一种云计算系统的应用访问方法,包括:
将不同类别的应用分别安装在不同的虚拟机上,并根据所安装应用的类别对仅运行一类应用的虚拟机(APPHole)进行提高安全性的优化;
Hole代理根据用户对应用的需求与相应的APPHole连接,为所述用户提供所连接APPHole上的应用;
在所述用户使用完应用后,所述Hole代理断开与所述APPHole的连接,所述云计算系统回收所述APPHole中提供给所述用户的资源。
较佳地,所述Hole代理安装在用户向所述云计算系统申请的一台虚拟机上,所述Hole代理与所述APPHole之间的连接,和用户与所述云计算系统间的网络连接相隔离。
较佳地,对所述APPHole与所述Hole代理间传输的数据进行加密处理。
较佳地,安装Hole代理的虚拟机的操作系统与所述APPHole的操作系统相同或不同。
较佳地,所述Hole代理安装在用户本地的机器中。
较佳地,所述安装在虚拟机上的Hole代理与APPHole之间采用预设的安全连接。
较佳地,所述APPHole将应用运行过程中产生的记录数据不保存在所述APPHole中,保存在所述云计算系统的APPHole资源池中。
较佳地,当与所述Hole代理连接的任一APPHole发生故障时,所述Hole代理自动连接与所述任一APPHole运行相同类别应用的另一APPHole,利用所述另一APPHole为用户提供所述应用。
较佳地,根据所述云计算系统的设置预先进行应用的分类,或者,根据用户的需求设置应用的分类。
一种云计算系统,包括:仅运行一类应用、且已进行提高安全性优化后的虚拟机APPHole、Hole代理、APPHole实例处理器、APPHole管理器;
所述APPHole实例处理器,用于为不同类别的应用创建或删除相应的APPHole;
所述Hole代理,用于根据用户需求申请APPHole,并建立与申请的APPHole之间的连接,为用户提供所连接的APPHole上的应用;还用于在用户使用完所述应用后,断开与所述APPHole之间的连接,并通知所述APPHole管理器释放所述APPHole的资源;
所述APPHole管理器,用于接收所述Hole代理的通知,并释放所述APPHole中提供给所述用户的资源。
较佳地,该系统进一步包括:用户申请的一台虚拟机,用于与用户连接,安装并运行所述Hole代理;
所述Hole代理与所述APPHole之间的连接与用户和所述云计算系统间的网络连接相隔离。
较佳地,所述Hole代理安装在用户本地的机器中。
较佳地,所述APPHole实例处理器,进一步用于创建所述APPHole时创建支持所述预设的安全协议的APPHole;
所述Hole代理,进一步用于对与所述APPHole间传输的数据按照预设的安全协议进行处理;
所述APPHole,进一步用于按照预设的安全协议处理与所述Hole代理间传输的数据。
较佳地,所述系统进一步包括APPHole资源池,用于存储所述APPHole运行应用过程中的数据记录。
较佳地,所述Hole代理,在与自身连接的任一APPHole发生故障时,还用于自动连接与所述任一APPHole运行相同类别应用的另一APPHole,利用所述另一APPHole为用户提供所述应用。
由上述技术方案可见,本发明中,将不同类别的应用分别安装在不同的虚拟机上,并根据所安装应用的类别对仅运行一类应用的虚拟机(APPHole)进行提高安全性的优化;Hole代理根据用户对应用的需求与相应的APPHole连接,为该用户提供所连接APPHole上的应用;在用户使用完应用后,Hole代理断开与APPHole的连接,云计算系统回收APPHole中提供给用户的资源。通过上述方式,能够将云计算系统中的应用离散地安装在不同的优化后的APPHole上,这样,对于每个APPHole能够实现系统暴露最小化,从而提高云计算系统的安全性。
附图说明
图1为现有云计算系统的架构示意图;
图2为本发明中云计算系统的应用访问方法具体流程图;
图3为本发明中云计算系统的基本架构图;
图4为本发明实施例中云计算系统的实例示意图;
图5(a)和图5(b)分别为集合应用和定制化应用的示意图;
图6为APPHole与专有安全网络连接的示意图;
图7为Hole代理的进行APPHole申请和释放的界面示意图;
图8为用户虚拟机桌面示意图;
图9为APPHole安全通道示意图;
图10为APPHole管理层级示意图;
图11为APPHole实例处理器示意图。
具体实施方式
为使本发明的目的、技术手段和优点更加清楚明白,以下结合附图对本发明做进一步详细说明。
本发明的基本思想是:将应用离散化,从而提高云计算系统的安全性。
具体地,本发明中,将应用进行分类,并针对不同类型的应用创建不同的虚拟机,该虚拟机针对相应的应用类型进行优化,实现系统暴露的最小化,提高系统的安全性。下面,为描述方便,将上述经过优化、且仅运行一类应用的虚拟机称为APPHole。
图2为本发明中云计算系统的应用访问方法具体流程图,该方法流程可以对应在图3所示的云计算系统中实施。其中,如图3所示,该云计算系统包括:APPHole、Hole代理、APPHole实例处理器和APPHole管理器。如图2和图3所示,本发明中的应用访问方法流程如下:
步骤201,将不同类别的应用分别安装在不同的APPHole上,并根据所安装应用的类别对APPHole进行提高安全性的优化。
在具体实现时,可以预先针对不同类别的应用创建APPHole,并进行提高安全性的优化。在进行优化时,根据APPHole运行的一类应用进行,具体优化一般包括对操作系统进行的优化、对驱动进行的优化和对系统服务的优化。对操作系统进行优化时,只需要满足APPHole对应一类应用的需求即可,最简化操作系统,并使系统暴漏最小化;对驱动进行优化时,安装的驱动越简单越少则越好,以减小操作系统由于驱动的漏洞遭受攻击的几率;对系统服务优化时,只提供最基本的供相应类别应用使用的系统服务。
其中,关于应用的类别区分,可以根据云计算系统的配置进行,例如按照业内通用的应用类别区分:APPHole(IM)只提供即时聊天服务,APPHole(Mail)提供邮件服务,APPHole(CC)提供信用卡(Credit Card)服务等。或者,应用类别的区分也可以根据用户需求进行设置,例如,用户指定APPHole仅用于运行QQ应用,则可以创建仅用于运行QQ应用的APPHole。
在图3所示的云计算系统中,可以通过APPHole实例处理器创建与不同类别应用对应的APPHole,该APPHole即为一个经过优化的瘦虚拟机,通过分类,把所有相似的应用放在一个虚拟机中,或者根据用户需求创建用户定制的虚拟机,该虚拟机只有一类或者一种应用在运行,例如即时聊天工具MSN或者Skype等,只提供单一服务。
其中,APPHole实例处理器可以是在云计算系统中管理服务器上的组件,根据预先保存的模板创建和删除APPHole,并增加新的模板到云计算系统的APPHole资源池中。比如,增加一种新的应用类型,并为此类型定制一个APPHole模板。取决于安全策略,需要共享文件系统可写。保存的APPHole模板可以是针对应用类型优化后的,这样,依据该模板创建的APPHole就成为优化后的APPHole。
步骤202,Hole代理根据用户对应用的需求与相应的APPHole连接,为用户提供所连接APPHole上的应用。
Hole代理根据用户对应用的需求,为用户申请与相应应用对应的APPHole,创建与该APPHole的连接。
最简单地,Hole代理安装在用户本地设备(手机等手持嵌入式设备或个人电脑等)中,与需要的不同APPHole连接,为用户提供各个APPHole所运行的应用。其中,Hole代理能够实现云计算系统对用户的认证,只有通过认证的用户才能构建并提出APPHole的申请。为增强安全性,Hole代理与APPHole之间的数据传输可以进行进一步的安全处理,例如对传输的数据进行加密,Hole代理与APPHole之间建立预设的安全连接,按照预设的安全协议对数据进行处理,这种情况下,需要在创建APPHole时创建支持相应安全协议的APPHole。
为进一步提高安全性,优选地,Hole代理可以安装在用户向云计算系统申请的一台虚拟机中,用户通过本地设备(手机等手持嵌入式设备或个人电脑等)连接云计算系统的虚拟机,安装在虚拟机中的Hole代理与云计算系统中的不同APPHole连接,为用户提供各类应用。这样,Hole代理与APPHole间的连接可以和用户与云计算系统间的网络相隔离,从而极大地增强了安全性,同时,二者间也会建立预设的安全连接,按照预设的安全协议对数据进行处理,这种情况下,需要在创建APPHole时创建支持相应安全协议的APPHole。另外,当Hole代理安装在用户申请的虚拟机中时,用户虚拟机中可以不再安装相关的应用,这样使得用户虚拟机也暴漏最小化,同时增强了用户虚拟机的安全性。同时,安装Hole代理的虚拟机的操作系统与连接的APPHole的操作系统可以相同,也可以不相同,Hole代理连接的多个APPHole也可以是不同的操作系统,这样就可以提供真正跨越系统平台的应用,Windows虚拟机的用户一样可以使用Mac系统的应用。需要做的只是申请一个操作系统为Mac的APPHole。可见,本发明还能够实现一种跨操作系统的应用访问方式。
上述关于Hole代理与APPHole连接的具体建立方式、以及APPHole为用户提供应用的方式可以采用现有方式实现,这里就不再赘述。
在APPHole运行过程中,可以将产生的记录数据保存在云计算系统的存储资源池中,而不是保存在用于运行APPHole的物理机上。这样,既能保证数据的安全性,又能在将来需要这些历史数据时重新获取相应数据。
另外,当与Hole代理连接的某APPHole A发生故障时,Hole代理自动连接与APPHole A运行相同类别应用的另一APPHole B,利用APPHole B继续为用户提供应用,从而为用户带来更好的应用体验。
步骤203,在用户使用完应用后,Hole代理断开与APPHole的连接,云计算系统回收该APPHole中提供给用户的资源。
用户使用完应用后,Hole代理断开自身与相应APPHole之间的连接,并通知云计算系统回收相应的资源。在图3所示的云计算系统中,可以由Hole代理断开自身与相应APPHole之间的连接,这样,用户无法继续使用APPHole上运行的应用,同时,Hole代理通知APPHole管理器释放APPHole的资源,APPHole管理器接收Hole代理的通知后,释放APPHole中提供给前述用户的资源,以使该APPHole的应用被其他用户使用。一般地,APPHole管理器位于物理机中,用于管理物理机中的所有APPHole,Hole代理在发送释放APPHole的通知时,直接向要释放的APPHole所在物理机中的APPHole管理器发送即可。
对于云计算系统中不再需要的APPHole,可以由APPHole实例处理器实现相应APPHole的删除,当需要的时候,还可以从模板重新创建相应的APPHole。
至此,本发明中的应用访问流程结束。通过上述本发明的方法,能够将不同类型的应用离散安装在不同的APPHole上,每个APPHole只运行一类或一种应用,并针对该类或该种应用进行提高安全性的优化,从而使系统暴露最小化,提高云计算系统的安全性。
接下来,给出一个具体的引入本发明应用访问方法的云计算系统的实例,如图4所示,该云计算系统是以Hole代理安装在用户虚拟机中为例的。下面通过逐个模块的说明对系统实现做详细介绍。
1.APPHole实例
一个真实的APPHole对于用户来说就是一类应用的集合,或者是一种新的定制化应用。以即时聊天工具为例,图5(a)为集合(set/box)应用,图5(b)为一种新的定制化应用。
其中,集合应用指一类传统应用的集合,比如,QQ、MSN、SKYPE、G-talk等等。这些可以被打包放在一个APPHole作为即时聊天应用提供给用户,当用户在自己的虚拟机中申请一个即时聊天APPHole的时候,呈现给用户的应该是这样的一类打包好的应用界面。当然也可以是其中的几种或一种(比如:只有QQ)。定制化应用指非传统应用,由云计算开发组或运营商定制化出的一种新的应用,这种应用在图5(b)中也归于即时聊天应用,但不属于传统应用。具有全新的界面设计或全新的软体实现。
图5所示的界面只是简单的实施参考,实际上的界面设计可以与此不同,取决于具体的应用场景和工业设计方法。
如前所述,在实现上,APPHole的操作系统应该尽可能使暴漏最小化(如:只开放这一类应用的端口,只提供最基本的供这类应用使用的系统服务等)。APPHole应该由云计算服务提供商提供并负责维护(如:升级安全补丁,开发新的APPHole模板等)。在高效且高安全的策略下,不会保存用户的任何上次使用的信息,所有的聊天记录,购买记录,上网痕迹全部都将在释放APPHole的时候自动销毁,所以无需担心信息泄露。在这种情况下可以使用RAMDisk。
2.APPHole与专有安全网络
APPHole NIC是Host or Hypervisor上的一块物理网卡,所有APPHole都将通过各自运行的物理机的APPHole NIC连接到专有安全网络,该APPHole NIC使用严格的防火墙策略和包过滤机制。APPHole虚拟网桥与传统虚拟网桥类似,但加入了更多安全增强特性,如:更加严格的防火墙安全策略;包过滤和检测机制;隐藏技术等等。在高安全策略下,APPHole的数据传输也可以使用加密通道,即所有连接到安全网络的数据包全部经由加密通道被加密过,避免在系统内部发生信息泄露(例如:监听)。同时,可以加入认证机制,比如只有获得授权可以使用APPHole的用户,产生的数据包才可以允许通过该网口,非带有认证信息的数据包(例如:在包中增加认证包头)将被剔除掉。如图6所示。
3.Hole代理
用户通过自己虚拟机上的Hole代理申请或者释放一个APPHole,图7为一个实例。使用一个简单的界面用以管理各种不同的APPHole (申请,释放,删除等等)。同时将不同的APPHole界面映射到用户虚拟机桌面上。如图8所示。在Hole代理中成功申请到的APPHole,将立即显示在桌面上供用户直接连接使用。
图8所示的界面只是简单的实施参考,桌面以Ubuntu为例,实际上的界面设计可以与此不同,取决于具体的应用场景和工业设计方法。在用户退出系统之后(比如:关机),按照不同的安全策略,APPHole保留的周期可以不同,由后台调度器统一负责管理。在高安全的策略下,所有APPHole将超期,即用户再次登入系统,实际上还是没有任何应用的系统。
4.安全通道
Hole代理与APPHole进行连接的通道,加密的通道,其视频和音频流,包括鼠标键盘通道一定已经被加密,只有获得认证的用户(已经向云计算运营商取得证书)才能构建并提出APPHole的申请,实现Hole代理和APPHole之间高效且安全的协议连接(如:SPICE)。需要Hole代理支持该协议,并在由系统创建APPHole的时候指定以该种协议创建虚拟机。尽可能降低网络带宽并保证高质量APPHole图像(分辨率和传输比率也可以供用户选择),高效视频和音频压缩,准确的鼠标键盘事件,通道需要加密(也可以根据安全策略供用户配置)。如图9所示。
5.APPHole管理器和调度器
APPHole管理器运行在host或hypervisor上,负责向该节点物理机运行的各个客户虚拟机中的Hole代理交互,下达和执行指令;并同时负责在该节点机上生成APPHole实例并建立客户指定的连接(通过安全通道)。所有管理器被管理服务器上的调度器统一管理,调度器的另外一端连接APPHole实例处理器。管理层次划分如图10所示。
6.APPHole实例处理器
运行在管理服务器上的组件,负责连接调度器和APPHole存储系统,从模板创建和删除APPHole实例,并也可以由系统管理员控制,添加或者删除新的APPHole模板到APPHole资源池中。比如,增加一种新的应用类型,并为此类型定制一个APPHole模板。取决于安全策略,需要共享文件系统可写。如图11所示。
7.APPHole资源池
被APPHole实例处理器访问,使用共享存储存放APPHole的模板和创建的APPHole。可以为统一存储系统,也可以为异构存储系统。可以分开存储模板和运行实例APPHole,比如模板存储于NFS,运行实例放在DFS上。APPHole资源池,可以使用分布式文件系统(DFS)来实现(如:Hadoop,Ceph等),也可以结合使用iscsi,nas等体系。模板存储,可以使用比较稳定且廉价的实现(如:NFS等)。
存储体系不局限在一种解决方案,可以由很多种,根据具体的用户模式和策略而定。
上述即为本发明中的应用访问方法和相应的云计算系统。通过上述本发明的处理,利用分类把应用离散到不同的虚拟机中,该虚拟机经过了针对不同种应用做了优化,从安全性,可靠性和性能上都将好于传统的方式。同时,为每个APPHole都专门做了针对于一种应用的优化,使得系统暴漏最小化,应用专一化,图形定制化等等变得更加容易。由于一个APPHole就是一个小操作系统(小的虚拟机),所以具备了所有虚拟机的特性,如:动态迁移,备份,回滚等等特性。使用APPHole根本上解决了很多以前在传统系统中的天然安全缺陷,过于集中和密集的信息方式。而APPHole是被调度器统一管理,此刻和下一刻都将可能使用的是不同的APPHole,用户不知道有任何不同,甚至不知道这些APPHole在世界上的那个角落,只有当要使用的时候才会开启并通过安全隧道连接进入。进一步地,由于使用了APPHole,用户虚拟机中不再需要安装相关的应用,这样使得用户虚拟机也暴漏最小化,同时增强了用户虚拟机的安全性。
进一步地,通过APPHole调度器负载均衡所有APPHole,调度策略可由管理员配置,比如:根据性能策略,可以使新申请的APPHole创建在与用户虚拟机同host优先的策略;根据安全策略,可以缩短超期时间;根据公平策略,可以使每个用户的申请达到比较公平的APPHole使用方式。完全可以根据不同的需求和场景,实现策略的优化和定制化。
总之,通过上述处理,能够带来全新的用户体验,高度的安全策略和真正的跨平台应用访问。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (15)
1.一种云计算系统的应用访问方法,其特征在于,该方法包括:
将不同类别的应用分别安装在不同的虚拟机上,并根据所安装应用的类别对仅运行一类应用的虚拟机(APPHole)进行提高安全性的优化;
Hole代理根据用户对应用的需求与相应的APPHole连接,为所述用户提供所连接APPHole上的应用;
在所述用户使用完应用后,所述Hole代理断开与所述APPHole的连接,所述云计算系统回收所述APPHole中提供给所述用户的资源。
2.根据权利要求1所述的方法,其特征在于,所述Hole代理安装在用户向所述云计算系统申请的一台虚拟机上,所述Hole代理与所述APPHole之间的连接,和用户与所述云计算系统间的网络连接相隔离。
3.根据权利要求2所述的方法,其特征在于,对所述APPHole与所述Hole代理间传输的数据进行加密处理。
4.根据权利要求2所述的方法,其特征在于,安装Hole代理的虚拟机的操作系统与所述APPHole的操作系统相同或不同。
5.根据权利要求1所述的方法,其特征在于,所述Hole代理安装在用户本地设备中。
6.根据权利要求2、3、4或5所述的方法,其特征在于,所述安装在虚拟机上的Hole代理与APPHole之间采用预设的安全连接。
7.根据权利要求1所述的方法,其特征在于,所述APPHole将应用运行过程中产生的记录数据不保存在所述APPHole中,保存在所述云计算系统的APPHole资源池中。
8.根据权利要求1所述的方法,其特征在于,当与所述Hole代理连接的任一APPHole发生故障时,所述Hole代理自动连接与所述任一APPHole运行相同类别应用的另一APPHole,利用所述另一APPHole为用户提供所述应用。
9.根据权利要求1、2、3、4、5、7或8所述的方法,其特征在于,根据所述云计算系统的设置预先进行应用的分类,或者,根据用户的需求设置应用的分类。
10.一种云计算系统,其特征在于,该系统包括:仅运行一类应用、且已进行提高安全性优化后的虚拟机APPHole、Hole代理、APPHole实例处理器、APPHole管理器;
所述APPHole实例处理器,用于为不同类别的应用创建或删除相应的APPHole;
所述Hole代理,用于根据用户需求申请APPHole,并建立与申请的APPHole之间的连接,为用户提供所连接的APPHole上的应用;还用于在用户使用完所述应用后,断开与所述APPHole之间的连接,并通知所述APPHole管理器释放所述APPHole的资源;
所述APPHole管理器,用于接收所述Hole代理的通知,并释放所述APPHole中提供给所述用户的资源。
11.根据权利要求10所述的系统,其特征在于,该系统进一步包括:用户申请的一台虚拟机,用于与用户连接,安装并运行所述Hole代理;
所述Hole代理与所述APPHole之间的连接与用户和所述云计算系统间的网络连接相隔离。
12.根据权利要求10所述的系统,其特征在于,所述Hole代理安装在用户本地的机器中。
13.根据权利要求11或12所述的系统,其特征在于,所述APPHole实例处理器,进一步用于创建所述APPHole时创建支持所述预设的安全协议的APPHole;
所述Hole代理,进一步用于对与所述APPHole间传输的数据按照预设的安全协议进行处理;
所述APPHole,进一步用于按照预设的安全协议处理与所述Hole代理间传输的数据。
14.根据权利要求10所述的系统,其特征在于,所述系统进一步包括APPHole资源池,用于存储所述APPHole运行应用过程中的数据记录。
15.根据权利要求10、11、12、14或15所述的系统,其特征在于,所述Hole代理,在与自身连接的任一APPHole发生故障时,还用于自动连接与所述任一APPHole运行相同类别应用的另一APPHole,利用所述另一APPHole为用户提供所述应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201210066966 CN103309722A (zh) | 2012-03-14 | 2012-03-14 | 一种云计算系统及其应用访问方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201210066966 CN103309722A (zh) | 2012-03-14 | 2012-03-14 | 一种云计算系统及其应用访问方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103309722A true CN103309722A (zh) | 2013-09-18 |
Family
ID=49134981
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201210066966 Pending CN103309722A (zh) | 2012-03-14 | 2012-03-14 | 一种云计算系统及其应用访问方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103309722A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561101A (zh) * | 2013-11-06 | 2014-02-05 | 中国联合网络通信集团有限公司 | 一种网络文件系统 |
| CN104092743A (zh) * | 2014-06-27 | 2014-10-08 | 清华大学 | 云环境下用户数据的保护方法及系统 |
| CN105183495A (zh) * | 2014-05-29 | 2015-12-23 | 黑莓有限公司 | 跨操作系统域来协调活动视图 |
| CN107391235A (zh) * | 2017-08-17 | 2017-11-24 | 苏州科达特种视讯有限公司 | 多业务系统的运行方法及运行装置 |
| CN109496415A (zh) * | 2018-03-23 | 2019-03-19 | 华为技术有限公司 | 一种虚拟机访问远端加速设备方法及系统 |
-
2012
- 2012-03-14 CN CN 201210066966 patent/CN103309722A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561101A (zh) * | 2013-11-06 | 2014-02-05 | 中国联合网络通信集团有限公司 | 一种网络文件系统 |
| CN105183495A (zh) * | 2014-05-29 | 2015-12-23 | 黑莓有限公司 | 跨操作系统域来协调活动视图 |
| CN105183495B (zh) * | 2014-05-29 | 2018-06-29 | 黑莓有限公司 | 跨操作系统域来协调活动视图 |
| CN104092743A (zh) * | 2014-06-27 | 2014-10-08 | 清华大学 | 云环境下用户数据的保护方法及系统 |
| CN104092743B (zh) * | 2014-06-27 | 2017-08-11 | 清华大学 | 云环境下用户数据的保护方法及系统 |
| CN107391235A (zh) * | 2017-08-17 | 2017-11-24 | 苏州科达特种视讯有限公司 | 多业务系统的运行方法及运行装置 |
| CN107391235B (zh) * | 2017-08-17 | 2020-12-01 | 苏州科达特种视讯有限公司 | 多业务系统的运行方法及运行装置 |
| CN109496415A (zh) * | 2018-03-23 | 2019-03-19 | 华为技术有限公司 | 一种虚拟机访问远端加速设备方法及系统 |
| WO2019178855A1 (zh) * | 2018-03-23 | 2019-09-26 | 华为技术有限公司 | 一种虚拟机访问远端加速设备方法及系统 |
| CN109496415B (zh) * | 2018-03-23 | 2021-02-09 | 华为技术有限公司 | 一种虚拟机访问远端加速设备方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110535831B (zh) | 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质 | |
| US10461999B2 (en) | Methods and systems for managing interconnection of virtual network functions | |
| CN100486200C (zh) | Usb映射方法 | |
| US9509760B2 (en) | Virtual packet analyzer for a cloud computing environment | |
| CN103685608B (zh) | 一种自动配置安全虚拟机ip地址的方法及装置 | |
| US8769127B2 (en) | Cross-domain solution (CDS) collaborate-access-browse (CAB) and assured file transfer (AFT) | |
| CN102110197B (zh) | 多核处理器的计算环境中实现tpm的方法及其系统 | |
| US10686685B2 (en) | Suspending and resuming virtual machines in a network | |
| CN106850549B (zh) | 一种分布式加密服务网关及实现方法 | |
| CN102790716A (zh) | 使用物理网络交换机保护虚拟化计算环境的方法和装置 | |
| CN112272177B (zh) | 一种批量部署蜜网诱捕节点的方法 | |
| CN107347078B (zh) | 一种基于云服务的操作系统弱口令安全检测方法 | |
| CN103309722A (zh) | 一种云计算系统及其应用访问方法 | |
| CN109951337B (zh) | 一种虚拟化运维堡垒系统 | |
| US10599856B2 (en) | Network security for data storage systems | |
| CN106170763A (zh) | 一种软件校验方法和装置 | |
| JP2022094938A (ja) | データアクセスを監視及び制御する為の方法、コンピュータ・プログラム、及びセキュリティシステムエージェント機器 | |
| CN111818081B (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
| CN115454636A (zh) | 一种容器云平台gpu资源调度方法、装置及应用 | |
| CN109189652A (zh) | 一种封闭网络终端行为数据的采集方法及系统 | |
| CN112511562A (zh) | 一种基于单向隔离一体机及云桌面技术的跨网数据传送系统 | |
| CN106528267A (zh) | 基于Xen特权域的网络通信监控系统及方法 | |
| CN110661868A (zh) | 一种可拓展的可视化应用部署的解决方法 | |
| US20220329529A1 (en) | 5g filters for virtual network functions | |
| CN112068953B (zh) | 一种云资源精细化管理溯源系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130918 |