CN105051715A - 用于建立具备独立权限的基于云的实例的系统和方法 - Google Patents
用于建立具备独立权限的基于云的实例的系统和方法 Download PDFInfo
- Publication number
- CN105051715A CN105051715A CN201480015883.1A CN201480015883A CN105051715A CN 105051715 A CN105051715 A CN 105051715A CN 201480015883 A CN201480015883 A CN 201480015883A CN 105051715 A CN105051715 A CN 105051715A
- Authority
- CN
- China
- Prior art keywords
- cloud
- access
- request
- service instance
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
一种促成对基于云的服务实例的管理的方法和系统,该系统包括一个或多个计算系统,该一个或多个计算系统被配置为与至少一个多租户计算云通信,并且被配置为建立在多租户计算云中寄载的基于云的服务实例和具有访问所建立的云服务实例的权限的访问实体。该系统可接收对基于云的服务实例的请求,该请求被认证为源自请求者;查阅与该基于云的服务实例相关联的一组访问控制;响应于所述查阅,确定由所述请求者进行所述请求是否是许可的;以及响应于确定由所述请求者进行所述请求是许可的,使用与所述访问实体相关联的访问证书来使请求者能完成该请求。
Description
相关申请
本申请要求在2013年12月20日提交的、名称为“SystemsandMethodsforEstablishingCloud-BasedInstanceswithIndependentPermisssions”的美国专利申请No.14/137226的优先权,该美国专利申请要求在2013年3月15日提交的、名称为“SystemsandMethodsforEstablishingCloud-BasedInstanceswithIndependentPermisssions”的美国专利申请No.61/786948的优先权,通过引用将这两个美国专利申请全部包含于此。
技术领域
本申请总的涉及管理由多租户云计算服务提供者寄载的基于云的虚拟服务器和服务实例。
背景技术
多租户云计算服务提供者通常允许客户实例化运行该客户指定的软件的虚拟服务器,而不要求客户拥有或管理底层硬件。因此,可以将多租户云计算服务提供者称为主机或主机提供者。主机提供者例如包括Amazon.com有限公司(例如,亚马逊Web服务)、RacksapceHosting有限公司(例如,Rackspace云)、谷歌有限公司(例如,谷歌计算引擎)和微软公司(例如,WindowsAzure)。
发明内容
本公开的各方面和实施例涉及促成对基于云的服务实例的管理的系统和方法。通常,在一些实施例中,管理系统被配置为与至少一个多租户计算云进行通信。管理系统可建立在多租户计算云中寄载的基于云的服务实例和具有访问所建立的云服务实例的权限的访问实体。管理系统可接收来自经认证的请求者对基于云的服务实例的请求,并查阅与该基于云的服务实例关联的一组访问控制以确定由该请求者进行该请求是否是许可的。管理系统可以使用与所述访问实体关联的访问证书使能或促成对于多租户计算云的经授权认证的请求。
至少一个方面涉及促成对基于云的服务实例的管理的方法,该方法包括由被配置为与多租户计算云通信的云管理服务建立在多租户计算云中寄载的基于云的服务实例和具有访问所建立的云服务实例的权限的访问实体;由所述云管理服务接收对所述基于云的服务实例的请求,该请求被认证为源自请求者;由所述云管理服务查阅与所述基于云的服务实例相关联的一组访问控制;由所述云管理服务响应于所述查阅,确定由所述请求者进行所述请求是否是许可的;以及响应于确定由所述请求者进行所述请求是许可的,所述云管理服务使用与所述访问实体相关联的访问证书来使所述请求者能完成所述请求。
该方法还可包括由云管理服务与多租户计算云通信以创建、启动、实例化、发现、识别、复制、导入、配置或生成基于云的服务实例。该方法可包括由云管理服务存储关于所述访问实体的访问证书。
该方法可包括向请求者返回与访问实体关联的访问证书,其中该请求是该请求者对于基于云的服务实例的直接访问请求。该方法可包括将该请求和与访问实体关联的访问证书一起转发给多租户计算云,其中该请求是对于基于云的服务实例执行动作的请求。在转发该请求之前,该方法可包括将该请求从第一请求结构、格式或语言转换成第二请求结构、格式或语言。
该方法可包括创建具有新的访问证书的新访问实体并且配置该访问实体在多租户计算云中的权限,使得该访问实体仅能访问被请求者访问的基于云的服务实例。
至少一个方面涉及促成对基于云的服务实例的管理的系统,该系统包括被配置为与至少一个多租户计算云通信的一个或多个计算系统,该一个或多个计算系统被配置为建立在多租户计算云中寄载的基于云的服务实例和具有访问所建立的云服务实例的权限的访问实体;接收对该基于云的服务实例的请求,该请求被认证为源自请求者;查阅与该基于云的服务实例相关联的一组访问控制;响应于所述查阅,确定由所述请求者进行所述请求是否是许可的;以及响应于确定由所述请求者进行所述请求是许可的,使用与所述访问实体相关联的访问证书来使该请求者能完成所述请求。
该系统还可被配置为通过与多租户计算云通信以创建、启动、实例化、发现、识别、复制、导入、配置或生成基于云的服务实例来建立所述基于云的服务实例。该系统还可被配置为存储关于所述访问实体的访问证书。
该系统还可被配置为向请求者返回与访问实体关联的访问证书,其中该请求是该请求者对于基于云的服务实例的直接访问请求。该系统还可被配置为将该请求和与访问实体关联的访问证书一起转发给多租户计算云,其中该请求是对于基于云的服务实例执行动作的请求。在转发该请求之前,该系统可以将该请求从第一请求结构、格式或语言转换成第二请求结构、格式或语言。
该系统还可被配置为创建具有新的访问证书的新访问实体并且配置该访问实体在多租户计算云中的权限,使得该访问实体仅能访问被请求者访问的基于云的服务实例。
该基于云的服务实例可以提供数据库、负载平衡器、消息队列、通信信道和数据存储的其中之一。该基于云的服务实例可以是在多租户计算云中提供的虚拟服务。该访问实体权限可以被限制为仅允许访问所建立的云服务实例。基于云的服务实例可以与包括一个或多个基于云的服务实例的资源池相关联,并且该访问实体权限可以被限制为仅允许访问该资源池中的基于云的服务实例。请求者、认证服务和第三方签名权威机构中的一个或多个可以对经认证的请求进行加密签名。
附图说明
附图并非意在按比例绘制。在各个附图中,同样的附图标记和参考符号指示同样的元素。为了清楚的目的,在每个附图中可以不对每个组件都进行标记。在这些附图中:
图1为示出示例网络的框图;
图2A和2B是可用作客户计算装置和服务器计算装置的典型的计算机200的框图;
图3为便于促成对基于云的服务实例的管理的方法的流程图。
具体实施方式
图1为示出示例环境的框图,该示例环境包括第三方多租户计算云、在该计算云中操作的虚拟服务器和服务,以及云管理服务。简而言之,客户装置115与云管理服务110(或简称为“管理器”110)交互。管理器110被设计为与多个多租户计算云120a-z交互,每个多租户计算云由多个可能的云提供者的其中之一提供且经由云控制器124a-z进行管理。每个云120提供一个或多个虚拟服务器和被寄载的服务130。通过通信信道以促成每个参与者之间的通信,例如,客户装置115可经由信道152(例如,互联网)来与管理器110通信。管理器可经由私有的专用信道154与第一个云120a通信并且经由另一信道156与其他云120b-z进行通信。通常,云管理服务110可以与云控制器124通信(例如,以分配或释放虚拟服务器或服务),并且云管理服务110可以与云130中的虚拟服务器或服务通信。在一些实施例中,可以使客户装置115能经由直接信道158(例如,在互联网上运行的加密安全隧道)与虚拟服务器或寄载的服务130通信。客户装置115可以与虚拟服务器或服务130通信,并且在一些实施例中,可以与云控制器124通信。
多租户云计算服务提供者通常提供计算平台,例如云控制器124a-z,该计算平台使客户能够以与客户的特定需求匹配的各种不同配置来实例化并使用一个或多个虚拟服务器。客户可以配置、使用或者操作这些服务或服务器以满足该客户的需求。客户可以是个人或者组织,例如公司实体。主机提供者通常将客户表征为帐户,以便将关于一个客户的服务器和服务分到单个帐户的范围内。客户可以具有对于该帐户被授权的一个或多个用户。在通常情况下,每个用户由一个访问实体来代表,其是该用户身份的正式编码,例如使用电子邮件地址、用户ID、帐户ID或上述的某一组合。用户可以例如通过向多租户云计算服务提供者发出请求来提供、配置或使用由该主机提供者寄载的虚拟服务器或服务。例如,用户可以使用诸如HTTP或HTTPS的协议向云控制器124a-z提交请求。主机提供者通常使用与提交该请求的访问实体相关联的一组访问证书来认证该请求。可以通过充当一种看门人的云控制器124来执行该认证。例如,用户可以通过例如在认证会话开始时提供用户名和密码来确认访问实体。一些主机提供者使用键-id/密钥对或公钥/私钥对来进行认证。访问实体可具有多个访问证书。例如,亚马逊Web服务允许两个键-id/密钥对。另外,一个帐户可以具有多个访问实体。例如,亚马逊Web服务允许大量用户经由身份与访问管理(IAM,IdentityandAccessManagement)特征集访问一个帐户。典型地,当主机提供者支持每帐户多个访问实体时,每个访问实体可以具有不同的权利或权限。
多租户云计算服务主机提供者通常还使客户能够启动与虚拟服务器相关的各种服务或者云中的其他服务。这些服务可以被描述为虚拟服务或者被寄载(hosted)的服务。作为这样的服务的一个示例,Amazon.com有限公司提供亚马逊弹性计算云(AmazonEC2,ElasticComputeCloud)、亚马逊简单存储服务(AmazonS3,SimpleStoageService)和亚马逊关系数据库服务(AmazonRDS,RelationDatabaseService)。这些被寄载的或虚拟的服务通常涉及客户所使用的虚拟服务器或者与这些虚拟服务器进行交互。例如,亚马逊ElasticMapReduce(AmazonEMR)是使亚马逊的客户能处理大量数据的web服务。正如Amazon.com公司所解释的:“它[EMR]利用在亚马逊弹性计算云(AmazonEC2)和亚马逊简单存储服务(AmazonS3)的web规模基础架构上运行的寄载Hadpoop框架”(http://aws.amazon.com/elasticm-apreduce/)。
在由主机提供者提供或寄载的服务和服务的特定实例之间是有区别的。也就是说,许多虚拟服务允许用户创建服务的多个实例,其中每个实例提供相同类型的功能但互相独立。例如,ELB(虚拟服务)中的每个“负载平衡器”(虚拟服务实例)被独立地配置且其独立于其他负载平衡器操作。类似地,每个RDS数据库实例独立于其他RDS实例,但它们都是RDS服务的部分。在S3的情况下,每个“桶(bucket)”代表一个单独的存储实例。可以控制对单独服务实例的访问。
更具体地参考图1,管理器110可包括能够与一个或多个多租户计算云120a-z和云控制器124a-z交互的任意计算装置。管理器110可包括单个服务器、服务器集群或虚拟服务器(例如,基于云的服务器)。在一些实施例中,管理器110可以独立于云服务主机提供者而进行操作,也就是说,云管理服务110可以与第三方云进行交互。在一些实施例中,管理器110可以具有一个或多个关联的数据库,用于存储配置信息和/或虚拟服务器映像。管理器110可以通信地连接到私有网和/或公共网,例如,因特网。管理器可以包括运行以监控在云中操作的一个或多个服务器或服务的守护进程。在一些实施例中,管理器将由该守护进程产生的数据记录到数据库中,该数据库可以是本地的、在网络上运行的、或者由基于云的服务提供的。
通常,管理器110能够与云提供者进行交互以建立客户帐户和任意访问实体,例如管理实体、订阅者简档或者用户身份。尽管在实践中访问实体在不同的提供者之间可能具有不同的名称或说明,但本文中将它们称为“访问实体”以避免在伞形客户帐户和客户帐户的个人用户之间的任何混淆。订阅者可以具有单个提供者的多个访问实体,例如,对于该订阅者的每个雇员具有一个访问实体。每个访问实体可以有其自己的关联的认证证书。每个访问实体可以有自己的关联的权限或限制。例如,客户可以具有被授权为进行更改的一个访问实体和仅被授权为只读操作的第二访问实体。
通常,管理器110能够与云提供者进行交互以实例化由该云寄载的基于云的服务和虚拟服务器。该交互可以是采用从管理器110到云提供者或到由云提供者操作的服务的请求的形式。该交互可以是采用通过管理器110执行的步骤的形式。在一些实施例中,管理器110还能够修改实例化的基于云的服务或虚拟服务器,例如暂停服务或者更新虚拟服务器。在一些实施例中,管理器110在标准化指令集和对于每个云主机定制的指令集之间转换。
客户或者客户的代表可以经由客户装置115通过通信信道152访问管理器110或者与其通信。客户装置115可以是服务器、虚拟机、台式计算机、膝上型计算机、移动计算装置或者客户机或客户代理可从其与管理器110进行交互的任何其他计算平台。客户装置115或管理器110还可以是在虚拟计算云120a-z的其中一个中运行的虚拟服务器。通信信道152可以是有线或无线的。通信信道152可以运行于内部网、私有网、公共网之上,或者运行于公共网上的加密私有信道之上。在一些实施例中,管理器110经由通信信道152向客户装置115呈现API(应用编程接口)。在一些实施例中,由管理器110呈现的接口为web接口或者网站。在一些实施例中,客户装置115执行被配置为与管理器110通信的软件。
每个云120是由云提供者提供的并且直接受云控制器124的管理。每个云120a-z可以是多租户云,也就是说,每个云主机可以向多个参与方或租户销售基于云的服务。多租户云计算服务提供者例如包括Amazon.com有限公司(例如亚马逊Web服务)、RackspaceHosting有限公司(例如,Rackspace云)、谷歌有限公司(例如,谷歌计算引擎)和微软公司(例如,WindowsAzure)。提供者通常提供使客户能以匹配他们需求的各种不同配置来实例化多个虚拟服务器以及能启动与这些虚拟服务器相关的各种服务的服务器和服务。例如,Amazon.com有限公司在亚马逊弹性计算云(AmazonEC2)中提供虚拟服务器,以及在亚马逊简单存储服务(AmazonS3)、亚马逊弹性负载平衡器(ELB)、亚马逊DynamoDB和亚马逊关系数据库服务(AmazonRDS)中提供服务。
基于云的服务130是由云控制器124a或云管理器110建立的。例如,客户可以例如经由装置115和通信信道152访问管理器110,并请求建立服务。管理器110对云120a中基于云的服务130的实例化进行协调。接着,客户可以使用管理器110监控基于云的服务实例130并处理任何其他面向服务的请求。在一些实施例中,管理器110给客户装置115提供使得该客户装置115能例如经由通信信道158与服务130直接通信的令牌或访问实体证书。
用户装置115、管理器110和云120a-z可以以任何方式并经由任意一个或多个网络进行连接。图1中示出的信道152、154、156、158可以包括互联网、局域网、web服务器、文件服务器、路由器、数据库、计算机、服务器、网络装置或者能够发送和接收信息的任何其他计算设备。网络可以包括经由电缆、红外端口和无线信号或者连接多个计算装置的任何其他方式所连接的计算装置。网络和连接到网络的任一装置可以经由用于在多个计算装置间或者多个计算装置中通信的任一通信协议进行通信,这些协议包括但不限于:SSL、BitTorrent、HTML、XML、RDP、ICA、FTP、HTTP、SIP、XMPP(也称为Jabber)、TCP、IP、UDP、IPX、SPX、NetBIOS、NetBEUI、SMB、SMTP、以太网(Ethernet)、ARCNET、光纤分布式数据接口(FDDI)、RS232、IEEE802.11、IEEE802.11a、IEEE802.11b、IEEE802.11g、IEEE802.11n、WiMax以及直接异步连接,或者上述的任意组合和/或扩展。该网络可以包括采用用来在移动装置之间通信的任意一种或多种协议的移动电话网络,所述协议包括AMPS、TDMA、CDMA、GSM、GPRS或UMTS。
图2A和2B描述了可用于实施图1所示的计算装置的实施例的计算装置200的框图。每个所示的装置可被部署为任何类型和形式的计算装置或可在其上执行,例如移动平台、个人计算机、服务器、网络装置或能在任何类型和形式的网络上通信且能执行本文所述操作的设备。如图2A和2B所示,每个计算装置200包括中央处理单元221和主存储器单元222。如图2A所示,计算装置200可以包括一个或多个可视显示装置224a-n、键盘226和/或诸如鼠标的指示装置227。如图2B所示,每个计算装置200也可包括其它可选元件,例如一个或多个输入/输出装置230a-230b(总的使用附图标记230表示),以及与中央处理单元221通信的高速缓冲存储器240。
中央处理单元221是响应并处理从主存储器单元222取出的指令的任何逻辑电路。在许多实施例中,中央处理单元由微处理器单元提供,例如:由加利福尼亚州MountainView的Intel公司制造的微处理器单元;由伊利诺伊州Schaumburg的Motorola公司制造的微处理器单元;由加利福尼亚州SantaClara的Transmeta公司制造的微处理器单元;由纽约州WhitePlains的InternationalBusinessMachines公司制造的RS/6000处理器;或者由加利福尼亚州Sunnyvale的AdvancedMicroDevices公司制造的微处理器单元。计算装置200可以基于这些处理器中的任何一种,或者能够如本文所述方式运行的任何其它处理器。中央处理器单元221可以是单核或多核的。中央处理器单元221可包括一个或多个处理器。
主存储器单元222可以是能够存储数据并允许微处理器221直接访问任何存储位置的一个或多个存储器芯片,例如静态随机存取存储器(SRAM)、突发SRAM或同步突发SRAM(BSRAM)、动态随机存取存储器DRAM、快速页模式DRAM(FPMDRAM)、增强型DRAM(EDRAM)、扩展数据输出RAM(EDORAM)、扩展数据输出DRAM(EDODRAM)、突发式扩展数据输出DRAM(BEDODRAM)、增强型DRAM(EDRAM)、同步DRAM(SDRAM)、JEDECSRAM、PC200SDRAM、双数据速率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)、直接内存总线DRAM(DRDRAM)或铁电RAM(FRAM)。主存储器222可以基于上述存储芯片的任何一种,或者能够如本文所述方式运行的任何其它可用存储芯片。在图2A中所示的实施例中,处理器221通过系统总线250(在下面进行更详细的描述)与主存储器222进行通信。图2B描述了在其中处理器通过存储器端口203直接与主存储器222通信的计算装置200的实施例。例如,在图2B中,主存储器222可以是DRDRAM。
图2B描述了在其中主处理器221通过第二总线与高速缓冲存储器240直接通信的实施例,第二总线有时也称为后端总线。其他实施例中,主处理器221使用系统总线250和高速缓冲存储器240通信。高速缓冲存储器240通常有比主存储器222更快的响应时间,并且通常由SRAM、BSRAM或EDRAM提供。在图2B中所示的实施例中,处理器221通过本地系统总线250与多个I/O装置230进行通信。可以使用各种不同的总线将中央处理单元221连接到任何I/O装置230,所述总线包括VESAVL总线、ISA总线、EISA总线、微通道体系结构(MCA)总线、PCI总线、PCI-X总线、PCI-Express总线或NuBus。对于I/O装置是视频显示器224的实施例,处理器221可以使用高级图形端口(AGP)与显示器224通信。图2B描述了主处理器221通过超传输(HyperTransport)、快速I/O或者InfiniBand直接与I/O装置230通信的计算机200的实施例。图2B还描述了在其中混合本地总线和直接通信的实施例:处理器221使用本地互连总线与I/O装置230a进行通信,同时直接与I/O装置230b进行通信。
计算装置200可以支持任何适当的安装装置216,例如用于接纳诸如3.5英寸、5.25英寸磁盘或ZIP磁盘这样的软盘的软盘驱动器、CD-ROM驱动器、CD-R/RW驱动器、DVD-ROM驱动器、各种格式的磁带驱动器、USB装置、硬盘驱动器或适于安装软件和程序或其部分的任何其它装置。计算装置200还可以包括存储装置,诸如一个或者多个硬盘驱动器或者独立磁盘冗余阵列、闪速存储器、或EEPROM,用于存储操作系统和其它相关软件,以及用于存储应用软件程序。或者,可以使用安装装置216的任何一种作为存储装置。此外,操作系统和软件可从例如可引导CD的可引导介质运行,例如一种用于GNU/Linux的可引导CD,该可引导CD可自knoppix.net作为GNU/Linux一个分发版获得。
此外,计算装置200可以包括通过多种连接接口到局域网(LAN)、广域网(WAN)或因特网的网络接口218,所述多种连接包括但不限于标准电话线路、LAN或WAN链路(例如802.11、T1、T3、56kb、X.25、SNA、DECNET)、宽带连接(如ISDN、帧中继、ATM、千兆位以太网、基于SONET的以太网、ADSL、SDSL)、无线连接、或上述任何或所有上述连接的某种组合。可以使用各种通信协议来建立连接。在一个实施例中,计算装置200通过任何类型和/或形式的网关或隧道协议来与其他计算装置200通信,所述网关或隧道协议例如安全套接字层(SSL)或传输层安全(TLS),或位于美国佛罗里达州Ft.Lauderdale的Citrix系统有限公司出品的Citrix网关协议。网络接口218可以包括内置网络适配器、网络接口卡、PCMCIA网卡、卡总线网络适配器、无线网络适配器、USB网络适配器、调制解调器或适用于将计算装置200接口到能够通信并执行本文所述的操作的任何类型的网络的任何其它设备。
计算装置200中可以包括各种I/O装置230a-230n。输入装置包括键盘、鼠标、触控板、轨迹球、麦克风、触摸屏和绘图板。输出装置包括视频显示器、扬声器、喷墨打印机、激光打印机和热升华打印机。如图2A所示,I/O装置230可以由I/O控制器223控制。I/O控制器可以控制一个或多个I/O装置,例如键盘226和指示装置227(如鼠标或光笔)。此外,I/O装置还可以为计算装置200提供存储装置和/或安装介质216。在其他实施例中,计算装置200可以提供USB连接以接纳手持USB存储装置,例如由位于美国加利福尼亚州LosAlamitos的TwintechIndustry有限公司生产的USB闪存驱动系列装置。
在一些实施例中,计算装置200可以包括多个显示装置224a-224n或与其相连,这些显示装置各自可以是相同或不同的类型和/或形式。因而,任何一种I/O装置230a-230n和/或I/O控制器223可以包括任一类型和/或形式的适当的硬件、软件或硬件和软件的组合,以支持、允许或提供通过计算装置200对多个显示装置224a-224n的连接和使用。例如,计算装置200可以包括任何类型和/或形式的视频适配器、视频卡、驱动器和/或库,以与显示装置224a-224n接口、通信、连接或以其他方式使用显示装置。在一个实施例中,视频适配器可以包括多个连接器以与多个显示装置224a-224n接口。在其他实施例中,计算装置200可以包括多个视频适配器,每个视频适配器与显示装置224a-224n中的一个或多个连接。在一些实施例中,计算装置200的操作系统的任一部分都可以被配置用于使用多个显示器224a-224n。在其他实施例中,显示装置224a-224n中的一个或多个可以由一个或多个其它计算装置提供,诸如例如通过网络与计算装置200连接的计算装置200a和200b。这些实施例可以包括被设计和构造为将另一个计算机的显示装置用作计算装置200的第二显示装置224a的任一类型的软件。本领域的普通技术人员应认识和理解可以将计算装置200配置成具有多个显示装置224a-224n的各种方法和实施例。
在另外的实施例中,I/O装置230可以是系统总线250和外部通信总线之间的桥,所述外部通信总线例如USB总线、Apple桌面总线、RS-232串行连接、SCSI总线、FireWire总线、FireWire800总线、以太网总线、AppleTalk总线、千兆位以太网总线、异步传输模式总线、HIPPI总线、超级HIPPI总线、SerialPlus总线、SCI/LAMP总线、光纤信道总线或串行连接的小型计算机系统接口(SCSI)总线。
图2A和2B中描述的那类计算装置200通常在控制任务的调度和对系统资源的访问的操作系统的控制下操作。计算装置200可以运行任何操作系统,如MICROSOFTWINDOWS操作系统的任一版本,不同发行版本的Unix和Linux操作系统,用于Macintosh计算机的任何版本的MACOS,任何嵌入式操作系统,任何实时操作系统,任何开源操作系统,任何专有操作系统,任何用于移动计算装置的操作系统,或者任何其它能够在计算装置上运行并执行本文所述操作的操作系统。典型的操作系统包括:WINDOWS3.x、WINDOWS95、WINDOWS98、WINDOWS2000、WINDOWSNT3.51、WINDOWSNT4.0、WINDOWSCE、WINDOWSXP和WINDOWSVISTA,所有这些均由位于华盛顿州Redmond的微软公司出品;由位于加利福尼亚州Cupertino的苹果计算机出品的MACOS;由位于纽约州Armonk的国际商业机器公司出品的OS/2;以及由位于犹他州盐湖城的Caldera公司发布的可免费使用的Linux操作系统或者任何类型和/或形式的Unix操作系统,以及其它。
计算机系统200可以是任何工作站、台式计算机、膝上型或笔记本计算机、服务器、手持计算机、移动电话或其他便携电信设备、媒体播放设备、游戏系统、移动计算装置,或能够通信并且有足够的处理器能力和存储容量以执行本文所述的操作的任何其它类型和/或形式的计算、电信或者媒体装置。例如,计算机系统200可包括由位于加利福尼亚州Cupertino的苹果计算机公司出品的IPOD系列设备、由位于日本Tokyo的索尼公司出品的PLAYSTATION2、PLAYSTATION3或PERSONALPLAYSTATIONPORTABLE(PSP)装置,由位于日本Kyoto的Nintendo有限公司出品的NINTENDODS、NINTENDOGAMEBOY、NINTENDOGAMEBOYADVANCED或NINTENDOREVOLUTION装置,或者由位于华盛顿Redmond的微软公司出品的XBOX或XBOX360装置。
对于包括移动装置的实施例,该装置可以是JAVA使能蜂窝电话,诸如i55sr、i58sr、i85s、或者i88s,以上这些均由位于伊利诺伊州Schaumburg的摩托罗拉公司制造;由位于日本Kyoto的Kyocera公司制造的6035或7135;或者由位于韩国首尔的Samsung电子有限公司制造的i300或i330。在包括移动装置的其他实施例中,移动装置可以是在PalmOS操作系统控制下操作的个人数字助理(PDA),所述PalmOS操作系统例如TungstenW、VII、VIIx、i705,以上这些均由位于美国加利福尼亚州Milpitas的PalmOne有限公司出品。在其他实施例中,客户机102可以是在PocketPC操作系统控制下操作的个人数据助理(PDA),所述PocketPC操作系统例如iPAQ4155、iPAQ5555、iPAQ1945、iPAQ2215和iPAQ4255,以上这些均由位于美国加利福尼亚州PaloAlto的Hewlett-Packard公司出品;由美国加利福尼亚州Walnut的ViewSonic公司出品的ViewSonicV36;或者由美国纽约州NewYork的ToshibaAmerica有限公司出品的ToshibaPocketPCe405。在其他实施例中,移动装置可以是组合PDA/电话装置,例如,Treo180、Treo270、Treo600、Treo650、Treo700或者Treo700w,以上这些均由由美国加利福尼亚州Milpitas的PalmOne有限公司出品;或者由苹果计算机公司出品的IPHONE系列装置。在另外的实施例中,移动装置是在PocketPC操作系统的控制下操作蜂窝电话,例如由摩托罗拉公司出品的MPx200。在其他实施例中,移动装置可包括具有无线通信能力的移动游戏装置。典型的移动装置可包括上文在图2A和2B中描述的多个元件,包括处理器和主存储器。
图3是促成管理基于云的服务实例的方法的流程图。在一些实施例中,方法300由云管理服务110执行或者由对云管理服务进行响应的组件来执行。管理器110被配置为与多租户计算云120a-z通信。在步骤310中,管理器110建立在多租户计算云120a中寄载的基于云的服务实例130和具有访问所建立的云服务实例130的权限的访问实体。在步骤330,管理器110接收对该基于云的服务实例的请求,该请求被认证为源自请求者,例如源自客户装置115。在步骤350,管理器110查阅与该基于云的服务实例关联的一组访问控制并确定由所述请求者进行所述请求是否是许可的。在步骤370,管理器110使用与该访问实体关联的受限访问证书来使该请求者能完成该请求。
在步骤310,更具体地,管理器110建立在多租户计算云120a中寄载的基于云的服务实例130和具有访问所建立的云服务实例的权限的访问实体。在一些实施例中,该访问实体是与该基于云的服务实例同时建立的。在一些实施例中,预先存在的访问实体被授予权限,或者被识别为具有足够的权限以访问新建立的基于云的服务实例。例如,该基于云的服务实例可以与其他实例分组在一起,并且单个访问实体可以被授予针对该组中的每个实例的权限。该基于云的服务实例可以参加到包括一个或多个基于云的服务实例的资源池中。该资源池也可以被描述为资源的集合或部署。在一些实施例中,例如关于多个请求者的多个访问实体各自被授予访问新建立的基于云的服务实例的权限。在一些实施例中,可以创建具有特定于该新建立的基于云的服务实例的权限的新的访问实体。请求者可以利用多个访问实体。在一些实施例中,访问实体的权限被限制为仅访问在特定资源池中的基于云的服务实例。可以通过管理器110或云控制器124来设置关于新的访问实体的证书,例如访问身份名称和密码。在一些实施例中,管理器提供访问身份名称,而主机生成新的密码,管理器将该密码与该身份名称关联地保存。在其他实施例中,关于新的访问实体的证书包括私钥/公钥对或键标识符和加密键。
在一些实施例中,管理器110通过与多租户计算云120通信来建立基于云的服务实例130。例如,管理器110可提交用于创建、启动、实例化、发现、识别、复制、导入、配置或生成基于云的服务实例的指令。云主机操作的服务器或服务可以接收这些指令。在一些实施例中,管理器110提交单个指令。在一些实施例中,管理器110提交多个指令。例如,管理器110可以将建立访问实体与建立基于云的服务实例分开进行。可以使用特定于云或云提供者的应用编程接口(API)来提交这些指令。在一些实施例中,为基于云的服务实例创建多个访问实体。
基于云的服务实例的示例包括提供数据库、负载平衡器、消息队列、通信信道或数据存储的服务。例如,Amazon.com有限公司提供亚马逊简单存储服务(AmazonS3)、亚马逊弹性负载平衡服务(AmazonELB)和亚马逊关系数据库服务(AmazonRDS)。一些基于云的服务实例可以与其他基于云的服务实例进行交互。例如,Amazon.com有限公司提供亚马逊弹性负载平衡器(AmazonELB),其在亚马逊弹性计算云(AmazonEC2)中的多个虚拟服务器实例之间自动地分发到来的应用流量。管理器110可以建立多个AmazonEC2实例和AmazonELB实例以对EC2实例进行负载平衡。每个实例可以与特定于实例的访问实体一起建立。在一些实施例中,基于云的服务实例是在多租户计算云中提供的虚拟服务。例如,该服务可以是由云主机操作的服务器或虚拟服务器提供的,而这些服务器通常相对于用户隐藏在服务接口之后。在一些实施例中,服务可以被展现为就好像它是可以被单独访问的虚拟服务器一样。例如,亚马逊弹性MapReduce(EMR)可以被展现为服务器,即便它是服务。
在步骤330,管理器110接收对该基于云的服务实例的请求,该请求被认证为源自请求者。该请求可以被描述为经认证的请求,因为该请求的起源可以被认证为来自对于管理器110已知的或之前已认证的请求者。在一些实施例中,管理器110对该请求进行认证或验证。在一些实施例中,使用加密的签名对于来自请求者的请求的可靠性进行验证。请求者、认证服务和第三方签名权威机构中的一个或多个可以对该经认证的请求进行加密签名。在一些实施例中,管理器110使用密钥来解密消息、与该消息关联的哈希值或者伴随该消息的签名令牌。在一些实施例中,该消息是由于经由例如在私有网络上的安全可信信道到达而被认证的。
有一些用于签名消息的已知技术。可以对整个消息进行加密,或者可使用哈希函数对消息进行处理以生成短摘要(“哈希值”),然后可加密该短摘要并将其与原始消息绑定在一起。在一些实施例中,发送方从可信的第三方获取证书,以供在认证中使用。该证书通常包括发送方的标识符和发送方的公钥。该证书还可包括诸如日期戳的额外信息。可以使用由第三方控制的私钥对该证书或者该证书的哈希值进行加密,以证明该证书是由该第三方签发的。发送方使用与证书中的公钥对应的且由发送方控制的私钥来加密消息或者该消息的哈希值。拥有该证书的、该加密消息或哈希值的接收方可以通过可信第三方验证该证书,并且可以使用在证书中包含的公钥来验证该消息是由该证书识别的一方发送的。不需要将该证书与每条消息一起发送。例如,该证书可以具有基于日期戳的一个假定有效期。也可以使用认证消息来源的其他方法,例如,一次性密钥、质询-响应交换或者参与可信网络。
在步骤350,管理器110查阅与该基于云的服务实例关联的一组访问控制并确定由所述请求者进行所述请求是否是许可的。基于云的服务实例与一组访问控制相关联,例如访问控制列表。访问控制指示该经认证的请求的请求者是否被授权进行该请求。管理器110确定该请求是否是被授权的。例如,请求者可以被授权来收集统计数据或执行只读操作但是不能进行更改。如果请求既是经认证的又是经授权的,则管理器110将促成该请求。管理器110可以存储这些访问控制。这些访问控制可以被存储在由管理器110例如通过网络可访问的数据库或数据存储系统中。访问控制可以被组织为层次结构。每个基于云的服务实例可以具有特定于相应实例的一组访问控制。基于云的服务实例可以被分组在一起(例如,被分组成一个“部署”)并且具有用于该组的访问控制的单个集合。
管理器110接收的请求可以是收集监控数据、配置或修改设置、读取数据、写数据、执行查询、将消息加入队列或从队列中取走消息、应用来自批处理或脚本的设置、上载或运行脚本、执行自定义代码、建立服务、复制服务器、将服务实例与资源池关联、将服务实例分组到资源池中、暂停服务、终止服务或服务器的请求,或者影响基于云的服务器或服务实例的任何其他请求。
在步骤370,管理器110使用与访问实体关联的访问证书来使请求者能完成该请求。在一些实施例中,可以由请求者来识别该访问实体。在一些实施例中,可以由管理器110来选择该访问实体。可以基于请求者的身份来选择访问实体。该访问实体可以以请求的性质为基础。例如,当请求没有要求更多实质权利时,可以使用具有较少权利或特权的访问实体。也就是说,检索数据的请求并不一定需要具有管理权的访问实体,因此管理器110可以使用非管理访问实体。可以基于请求要访问的虚拟服务器或服务来选择访问实体。例如,仅具有访问单个服务器的权利的访问实体可以被用于在不需要任何其他访问的情况下的对该服务器的访问。因此,管理器110可以选择最适合该请求要求的访问实体。
在一些实施例中,管理器110可以创建具有新的访问证书的访问实体并且配置该访问实体在多租户计算云中的权限使得该访问实体仅能访问在请求中被访问的基于云的虚拟服务器和/或基于云的服务实例。访问实体可以被创建为仅仅使得请求者能执行请求而不给请求者提供任何对该请求并非必要的访问。当完成该请求时,可以禁用或删除该新的访问实体。在过去一段时间之后,可以禁用或删除该新的访问实体。
管理器110可以仅使能由被授权作出请求的经验证的请求者发起的请求。在一些实施例中,管理器将经认证授权的请求传递给云主机或基于云的服务实例。管理器可以将请求从第一请求语言或格式转换成对目标基于云的服务实例或目标云主机定制的第二语言或格式。在一些实施例中,管理器110执行经认证授权的请求。在一些实施例中,管理器110向请求者返回令牌或证书,使请求者能直接与基于云的服务实例通信以完成该请求。令牌可以是单次使用证书或一次性证书。在一些实施例中,管理器110随后修改该证书,例如改变密码,以终止或撤销返回给请求者的证书。管理器110可以在一个固定时间段之后,即证书可能过期之后,撤销该证书。管理器110可以响应于指示请求者不再使用证书的完成事件来撤销该证书。
在本说明书中所述的主题和操作的实施例可以被实现在数字电子电路中,或在计算机软件、固件或硬件(包括在本说明书中公开的结构及其结构性等价对象)中,或上述的一个或多个的组合中。在本说明书中所述的主题的实施例可以被实现为在计算机可读存储介质上编码的一个或多个计算机程序,即一个或多个计算机程序指令模块,以供数据处理设备执行,或者控制数据处理设备的操作。这些程序指令可以被编码在人工生成的传播信号上,例如,机器生成的电、光或电磁信号,这些信号被生成来编码信息以传输到合适的接收器设备供数据处理装置执行。计算机可读存储介质可以是计算机可读存储装置、计算机可读存储衬底、随机或串行访问存储阵列或装置或上述中一个或多个的组合,或者可以被包含于其中。而且,尽管计算机可读存储介质不是传播的信号,但计算机可读存储介质可以是在人工生成的传播信号中编码的计算机程序指令的来源或目的地。计算机可读存储介质还可以是一个或多个单独的物理组件或介质(例如,多个DVD、CD、盘或其他存储装置),或被包含于其中。
本发明中描述的操作可以被实现为由数据处理设备对在一个或多个计算机可读存储装置上存储的或从其他来源接收的数据执行的操作。术语“数据处理设备”或“计算装置”包括用于处理数据的各种各样的设备、装置和机器,例如包括可编程处理器、计算机、片上系统,或前述中的多个或组合。该设备可包括专用目的逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除了硬件之外,该设备还可包括创建所讨论的计算机程序的执行环境的代码,例如,构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行环境、虚拟机或上述中一个或多个的组合的代码。该设备和执行环境可实现各种不同计算模型架构,例如web服务、分布式计算和网格计算架构。所描述的系统可包括或共享一个或多个数据处理设备、计算装置或处理器。
计算机程序(也被称为程序、软件、软件应用、脚本或代码)可以用任一形式的编程语言来编写,包括编译或解释语言、声明式或过程式语言,并且其可以任何形式进行部署,包括被部署为独立程序或者被部署为适用于在计算环境中使用的模块、组件、子例程、对象或其他单元。计算机程序可以但并非必定对应于文件系统中的文件。程序可以被存储在保存其他程序或数据的文件的一部分中(例如,存储在标记语言文档中的一个或多个脚本)、被存储在专用于所讨论的程序的单个文件中,或者被存储在多个协同文件中(例如,存储一个或多个模块、子程序或代码部分的文件)。计算机程序可以被部署为在一个计算机上执行或者在位于一个站点或分布在多个站点且通过通信网互联的多个计算机上执行。
适合于执行计算机程序的处理器例如包括通用和专用目的微处理器,以及任何种类的数字计算机的任何一个或多个处理器。通常,处理器可以接收来自只读存储器或随机存取存储器或二者的指令和数据。计算机的基本元件是用于根据指令执行动作的处理器和用于存储指令和数据的一个或多个存储装置。通常,计算机还会包括或可操作地耦合到一个或多个用于存储数据的大容量存储装置(例如,磁盘、磁光盘或光盘)以从其接收数据或向其传送数据,或者既从其接收数据又向其传送数据。然而,计算机并非必须具有这样的装置。而且,计算机可以被嵌入到另一装置中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器或便携存储装置(例如通用串行总线(USB)闪存驱动器)。适用于存储计算机程序指令和数据的装置包括一切形式的非易失性存储器、介质和存储装置,举例来说,包括半导体存储装置,例如EPROM、EEPROM,和闪速存储装置;磁盘,例如内置硬盘和可移动盘;磁光盘;以及CDROM和DVD-ROM盘。处理器和存储器可以被辅以专用目的逻辑电路,或者可以被并入到专用目的逻辑电路中。
为提供与用户的交互,本说明书中描述的主题的实施例可以被实现在这样的计算机上,其具有用于向用户显示信息的显示装置,例如LCD(液晶显示)监视器、LED或OLED屏、CRT(阴极射线管)、等离子屏或投影机,以及具有触摸屏、键盘或指示装置(例如鼠标或轨迹球),用户可通过这些装置向计算机提供输入。也可以使用其他种类的装置来提供与用户的交互;例如,提供给用户的反馈可以是任何形式的感觉反馈,例如视觉反馈、听觉反馈或触觉反馈;并且来自用户的输入可以任何形式被接收,包括声音、语言或触觉输入。另外,计算机可以通过向用户使用的装置发送文档和从该装置接收文档来与用户交互;例如,响应于从用户的客户端装置上的网页浏览器接收的请求向在该浏览器发送网页。
在本说明书所述主题的实施例可以被实现在这样的计算系统中,其包括后端组件,例如数据服务器,或者其包括中间组件,例如应用服务器,或者其包括前端组件,例如具有图形用户接口或网页浏览器的客户端计算机,用户通过该图形用户接口或网页浏览器可以与本说明书中所述主题的实施例进行交互,或者这样的后端、中间、前端组件的一个或多个的任一组合。该系统的这些组件可以通过数字数据通信的任何形式或介质(例如,通信网络)进行互联。通信网络的示例包括局域网(“LAN”)和广域网(“WAN”)、互联网(例如,Internet)和对等网(例如,adhoc对等网)。
所描述的计算系统可包括客户机和服务器。客户机和服务器通常互相远离并且典型地通过通信网络进行交互。客户机和服务器的关系是由于在相应计算机上运行且互相具有客户端-服务器关系的计算机程序而产生的。在一些实施例中,服务器传输数据(例如HTML页面)给客户端装置(例如,为了向与该客户端装置交互的用户显示数据并从其接收用户输入的目的)。可以在服务器处接收来自客户端装置的在客户端装置处产生的数据(例如,用户交互的结果)。
尽管本说明书包括具体的实施例细节,但这些不应被诠释为对任何发明的范围或可要求保护的那些内容的范围的限制,而应诠释为针对特定发明的特定实施例的特征的说明。在本说明书中在分开的实施例的上下文中描述的某些特征也可以以组合的方式实现在单个实施例中。相反地,在单个实施例的上下文中描述的各个特征也可以被分别实现在多个实施例中或在任一合适的子组合中。此外,尽管上文中将特征描述为在某些组合中起作用并且甚至最初同样作为组合要求保护,但是在某些情况下来自所要求保护的组合中的一个或多个特征可以脱离该组合,并且所要求的组合可以针对子组合或子组合的各种变形。类似地,尽管在附图中按特定次序描述操作,但这不应被理解为要求按所示的特定次序或按顺序执行这样的操作,或者要求执行全部所示的操作才能得到理想的结果。在某些情况中,多任务和并行处理可能更有利。另外,在上文所述的实施例中各个系统组件的分离不应被理解为在所有的实施例中都要求这样的分离,而应理解为所描述的程序组件和系统通常可以被集成在单个软件产品中或者被打包到多个软件产品中。
在附图、具体实施方式或任一权利要求中的技术特征伴随有附图标记的地方,包含这些附图标记仅是为了增加附图、具体实施方式和权利要求的完整性。因此,附图标记或其缺失对于任何权利要求元素的范围没有任何限制影响。对“或”的引用可以被诠释为包括在内,使得使用“或”描述的任何术语可以指示所描述术语的一个、多个或者全部中的任何一种。
由此,已经描述了本发明主题的特定实施例。其他实施例在所附的权利要求的范围内。
Claims (20)
1.一种促成对基于云的服务实例的管理的方法,所述方法包括:
由被配置为与多租户计算云通信的云管理服务建立在所述多租户计算云中寄载的基于云的服务实例和具有访问所建立的云服务实例的权限的访问实体;
由所述云管理服务接收对所述基于云的服务实例的请求,该请求被认证为源自请求者;
由所述云管理服务查阅与所述基于云的服务实例相关联的一组访问控制;
由所述云管理服务响应于所述查阅,确定由所述请求者进行所述请求是否是许可的;以及
响应于确定由所述请求者进行所述请求是许可的,所述云管理服务使用与所述访问实体相关联的访问证书来使所述请求者能完成所述请求。
2.根据权利要求1所述的方法,其中,建立所述基于云的服务实例包括由所述云管理服务与所述多租户计算云通信以创建、启动、实例化、发现、识别、复制、导入、配置或生成所述基于云的服务实例。
3.根据权利要求1所述的方法,其中,所述基于云的服务实例提供数据库、负载平衡器、消息队列、通信信道和数据存储的其中之一。
4.根据权利要求1所述的方法,其中,所述基于云的服务实例是在所述多租户计算云中提供的虚拟服务。
5.根据权利要求1所述的方法,其中,所述访问实体权限被限制为仅允许访问所建立的云服务实例。
6.根据权利要求1所述的方法,其中,所述基于云的服务实例与资源池相关联,所述资源池包括一个或多个基于云的服务实例,并且所述访问实体权限被限制为仅访问所述资源池中的基于云的服务实例。
7.根据权利要求1所述的方法,
还包括响应于确定由所述请求者进行所述请求是许可的,由所述云管理服务建立具有足以执行所述请求的权限的定制的访问实体;
其中使所述请求者能完成所述请求包括使用与所述定制的访问实体关联的访问证书来使所述请求者能完成所述请求。
8.根据权利要求1所述的方法,其中,所述建立步骤还包括由所述云管理服务存储关于所述访问实体的访问证书。
9.根据权利要求1所述的方法,其中,所述请求是所述请求者对所述基于云的服务实例的直接访问请求,其中使所述请求者能完成所述请求还包括向所述请求者返回与所述访问实体相关联的访问证书。
10.根据权利要求1所述的方法,其中,所述请求是对所述基于云的服务实例执行动作的请求,其中使所述请求者能完成所述请求还包括将所述请求和与所述访问实体关联的访问证书一起转发给所述多租户计算云。
11.一种用于促成对基于云的服务实例的管理的系统,所述系统包括被配置为与至少一个多租户计算云通信的一个或多个计算系统,所述一个或多个计算系统被配置为:
建立在多租户计算云中寄载的基于云的服务实例和具有访问所建立的云服务实例的权限的访问实体;
接收对所述基于云的服务实例的请求,所述请求被认证为源自请求者;
查阅与所述基于云的服务实例相关联的一组访问控制;
响应于所述查阅,确定由所述请求者进行所述请求是否是许可的;以及
响应于确定由所述请求者进行所述请求是许可的,使用与所述访问实体相关联的访问证书来使所述请求者能完成所述请求。
12.根据权利要求11所述的系统,其中,所述计算系统还被配置为通过与所述多租户计算云通信以创建、启动、实例化、发现、识别、复制、导入、配置或生成基于云的服务实例来建立所述基于云的服务实例。
13.根据权利要求11所述的系统,其中,所述基于云的服务实例提供数据库、负载平衡器、消息队列、通信信道和数据存储的其中之一。
14.根据权利要求11所述的系统,其中,所述基于云的服务实例是在所述多租户计算云中提供的虚拟服务。
15.根据权利要求11所述的系统,其中,所述访问实体权限被限制为仅允许访问所建立的云服务实例。
16.根据权利要求11所述的系统,其中,所述基于云的服务实例与资源池相关联,所述资源池包括一个或多个基于云的服务实例,并且所述访问实体权限被限制为仅访问所述资源池中的基于云的服务实例。
17.根据权利要求11所述的系统,
其中,所述计算系统还被配置为响应于确定由所述请求者进行所述请求是许可的,建立具有足以执行所述请求的权限的定制的访问实体;
其中,所述计算系统被配置为使用与所述定制的访问实体关联的访问证书来使所述请求者能完成所述请求。
18.根据权利要求11所述的系统,其中,所述计算系统还被配置为存储关于所述访问实体的访问证书。
19.根据权利要求11所述的系统,其中,所述请求是所述请求者对所述基于云的服务实例的直接访问请求,其中所述计算系统还被配置为向所述请求者返回与所述访问实体相关联的访问证书。
20.根据权利要求11所述的系统,其中,所述请求是对所述基于云的服务实例执行动作的请求,其中所述计算系统还被配置为将所述请求和与所述访问实体关联的访问证书一起转发给所述多租户计算云。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361786948P | 2013-03-15 | 2013-03-15 | |
| US61/786,948 | 2013-03-15 | ||
| US14/137,226 | 2013-12-20 | ||
| US14/137,226 US8769644B1 (en) | 2013-03-15 | 2013-12-20 | Systems and methods for establishing cloud-based instances with independent permissions |
| PCT/US2014/024444 WO2014150878A1 (en) | 2013-03-15 | 2014-03-12 | Systems and methods for establishing cloud-based instances with independent permissions |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105051715A true CN105051715A (zh) | 2015-11-11 |
Family
ID=50982278
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480015883.1A Pending CN105051715A (zh) | 2013-03-15 | 2014-03-12 | 用于建立具备独立权限的基于云的实例的系统和方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US8769644B1 (zh) |
| EP (1) | EP2972948A4 (zh) |
| CN (1) | CN105051715A (zh) |
| AU (1) | AU2014235505A1 (zh) |
| CA (1) | CA2905024A1 (zh) |
| SG (1) | SG11201507356TA (zh) |
| WO (1) | WO2014150878A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106713276A (zh) * | 2016-11-25 | 2017-05-24 | 国信优易数据有限公司 | 一种基于授权认证的数据获取方法及其系统 |
| CN109565511A (zh) * | 2016-09-16 | 2019-04-02 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的租户和服务管理 |
| CN110311967A (zh) * | 2019-06-25 | 2019-10-08 | 北京达佳互联信息技术有限公司 | 数据推送及数据接收的方法、装置、设备及系统 |
| CN110959151A (zh) * | 2017-07-28 | 2020-04-03 | 思杰系统有限公司 | 用于长期运行的软件操作的连接器租用 |
| CN111147509A (zh) * | 2019-12-30 | 2020-05-12 | 北京三快在线科技有限公司 | 网络隔离方法、装置、服务器及存储介质 |
| CN112104621A (zh) * | 2020-08-31 | 2020-12-18 | 新华三信息安全技术有限公司 | 一种流量管理方法及设备 |
Families Citing this family (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9027141B2 (en) | 2012-04-12 | 2015-05-05 | Netflix, Inc. | Method and system for improving security and reliability in a networked application environment |
| US9246765B2 (en) * | 2012-06-20 | 2016-01-26 | Cognizant Business Services Limited | Apparatus and methods for auto-discovery and migration of virtual cloud infrastructure |
| US8769644B1 (en) * | 2013-03-15 | 2014-07-01 | Rightscale, Inc. | Systems and methods for establishing cloud-based instances with independent permissions |
| US10033662B2 (en) * | 2013-09-04 | 2018-07-24 | Hewlett Packard Enterprise Development Lp | Policy based selection of resources for a cloud service |
| US11310050B2 (en) * | 2018-09-17 | 2022-04-19 | Microsoft Technology Licensing, Llc | Verifying a computing device after transport |
| CA2931750C (en) * | 2014-02-07 | 2023-03-07 | Oracle International Corporation | Cloud service custom execution environment |
| US10659523B1 (en) * | 2014-05-23 | 2020-05-19 | Amazon Technologies, Inc. | Isolating compute clusters created for a customer |
| US10320790B1 (en) * | 2014-09-02 | 2019-06-11 | Amazon Technologies, Inc. | Temporarily providing a software product access to a resource |
| WO2016053265A1 (en) * | 2014-09-30 | 2016-04-07 | Hewlett Packard Enterprise Development Lp | Metrics authorization based on a certificate |
| US10924482B1 (en) * | 2014-12-18 | 2021-02-16 | Amazon Technologies, Inc. | Virtual service authorization |
| US10505862B1 (en) * | 2015-02-18 | 2019-12-10 | Amazon Technologies, Inc. | Optimizing for infrastructure diversity constraints in resource placement |
| US9674639B2 (en) | 2015-02-24 | 2017-06-06 | At&T Intellectual Property I, L.P. | Method and apparatus for virtualized network function chaining management |
| US9762585B2 (en) | 2015-03-19 | 2017-09-12 | Microsoft Technology Licensing, Llc | Tenant lockbox |
| US10129156B2 (en) | 2015-03-31 | 2018-11-13 | At&T Intellectual Property I, L.P. | Dynamic creation and management of ephemeral coordinated feedback instances |
| US10277666B2 (en) | 2015-03-31 | 2019-04-30 | At&T Intellectual Property I, L.P. | Escalation of feedback instances |
| US9524200B2 (en) | 2015-03-31 | 2016-12-20 | At&T Intellectual Property I, L.P. | Consultation among feedback instances |
| US10129157B2 (en) | 2015-03-31 | 2018-11-13 | At&T Intellectual Property I, L.P. | Multiple feedback instance inter-coordination to determine optimal actions |
| US9992277B2 (en) | 2015-03-31 | 2018-06-05 | At&T Intellectual Property I, L.P. | Ephemeral feedback instances |
| US9769206B2 (en) | 2015-03-31 | 2017-09-19 | At&T Intellectual Property I, L.P. | Modes of policy participation for feedback instances |
| CN106326226B (zh) * | 2015-06-16 | 2019-05-07 | 苏宁易购集团股份有限公司 | 一种公有云上启动数据库服务的方法及系统 |
| US10931682B2 (en) | 2015-06-30 | 2021-02-23 | Microsoft Technology Licensing, Llc | Privileged identity management |
| CA2987807C (en) * | 2015-07-22 | 2019-12-31 | Huawei Technologies Co., Ltd. | Computer device and method for reading/writing data by computer device |
| CN106487770B (zh) | 2015-09-01 | 2019-07-30 | 阿里巴巴集团控股有限公司 | 鉴权方法及鉴权装置 |
| US10038722B2 (en) * | 2015-09-03 | 2018-07-31 | Vmware, Inc. | Access control policy management in a cloud services environment |
| US10162978B2 (en) * | 2015-09-22 | 2018-12-25 | Mastercard International Incorporated | Secure computer cluster with encryption |
| US10374868B2 (en) * | 2015-10-29 | 2019-08-06 | Pure Storage, Inc. | Distributed command processing in a flash storage system |
| US10084785B2 (en) | 2015-12-13 | 2018-09-25 | Microsoft Technology Licensing, Llc | Connecting and retrieving security tokens based on context |
| US9900317B2 (en) | 2016-02-25 | 2018-02-20 | Red Hat, Inc. | Access guards for multi-tenant logging |
| US10057273B1 (en) * | 2016-03-30 | 2018-08-21 | EMC IP Holding Company LLC | System and method for ensuring per tenant mutual exclusion of data and administrative entities with low latency and high scale |
| US11178217B2 (en) | 2017-01-09 | 2021-11-16 | International Business Machines Corporation | DNS-based in-packet service version tagging |
| US10657239B2 (en) | 2017-05-25 | 2020-05-19 | Oracle International Corporation | Limiting access to application features in cloud applications |
| US10009443B1 (en) * | 2017-06-06 | 2018-06-26 | IP Company 8, LLC | Provisioning remote application servers on a service provider infrastructure as a service platform |
| US11036532B2 (en) * | 2017-11-29 | 2021-06-15 | Microsoft Technology Licensing, Llc | Fast join and leave virtual network |
| US11140050B2 (en) | 2018-09-26 | 2021-10-05 | International Business Machines Corporation | Localization of private service instances |
| US11044257B1 (en) * | 2018-11-26 | 2021-06-22 | Amazon Technologies, Inc. | One-time access to protected resources |
| US11513823B2 (en) * | 2018-12-18 | 2022-11-29 | Servicenow, Inc. | Chat interface for resource management |
| US11651357B2 (en) | 2019-02-01 | 2023-05-16 | Oracle International Corporation | Multifactor authentication without a user footprint |
| US11095644B2 (en) * | 2019-06-04 | 2021-08-17 | Bank Of America Corporation | Monitoring security configurations of cloud-based services |
| US11611548B2 (en) * | 2019-11-22 | 2023-03-21 | Oracle International Corporation | Bulk multifactor authentication enrollment |
| US20220329585A1 (en) * | 2021-04-08 | 2022-10-13 | Zscaler, Inc. | Utilizing endpoint security posture, identification, and remote attestation for restricting private application access |
| US11902181B1 (en) | 2023-04-03 | 2024-02-13 | International Business Machines Corporation | Action first permission management system in cloud computing |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1925399A (zh) * | 2005-09-01 | 2007-03-07 | 阿尔卡特公司 | 分布式认证功能性 |
| US20110126168A1 (en) * | 2009-11-25 | 2011-05-26 | Crowdsource Technologies Ltd. | Cloud plarform for managing software as a service (saas) resources |
| CN102281286A (zh) * | 2010-06-14 | 2011-12-14 | 微软公司 | 用于分布式混合企业的灵活端点顺从和强认证 |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7646778B2 (en) * | 2007-04-27 | 2010-01-12 | Cisco Technology, Inc. | Support of C-tagged service interface in an IEEE 802.1ah bridge |
| US8418222B2 (en) * | 2008-03-05 | 2013-04-09 | Microsoft Corporation | Flexible scalable application authorization for cloud computing environments |
| US9069599B2 (en) | 2008-06-19 | 2015-06-30 | Servicemesh, Inc. | System and method for a cloud computing abstraction layer with security zone facilities |
| US8931038B2 (en) * | 2009-06-19 | 2015-01-06 | Servicemesh, Inc. | System and method for a cloud computing abstraction layer |
| US8250215B2 (en) * | 2008-08-12 | 2012-08-21 | Sap Ag | Method and system for intelligently leveraging cloud computing resources |
| US8706836B2 (en) * | 2008-12-15 | 2014-04-22 | Shara Susznnah Vincent | Live streaming media and data communication hub |
| US7996525B2 (en) | 2008-12-31 | 2011-08-09 | Sap Ag | Systems and methods for dynamically provisioning cloud computing resources |
| WO2011159842A2 (en) * | 2010-06-15 | 2011-12-22 | Nimbula, Inc. | Virtual computing infrastructure |
| US8812627B2 (en) * | 2010-08-20 | 2014-08-19 | Adobe Systems Incorporated | System and method for installation and management of cloud-independent multi-tenant applications |
| US20120109947A1 (en) * | 2010-11-02 | 2012-05-03 | BrightEdge Technologies | Multi-tenant analytics processing |
| US8843618B2 (en) * | 2010-11-24 | 2014-09-23 | Intel Corporation | Cloud service information overlay |
| US9128773B2 (en) * | 2011-02-25 | 2015-09-08 | International Business Machines Corporation | Data processing environment event correlation |
| US8988998B2 (en) * | 2011-02-25 | 2015-03-24 | International Business Machines Corporation | Data processing environment integration control |
| US9104672B2 (en) | 2011-02-25 | 2015-08-11 | International Business Machines Corporation | Virtual security zones for data processing environments |
| US8832818B2 (en) * | 2011-02-28 | 2014-09-09 | Rackspace Us, Inc. | Automated hybrid connections between multiple environments in a data center |
| US9497184B2 (en) * | 2011-03-28 | 2016-11-15 | International Business Machines Corporation | User impersonation/delegation in a token-based authentication system |
| US8543660B2 (en) * | 2011-05-27 | 2013-09-24 | Verizon Patent And Licensing Inc. | Systems and methods for bridging and managing media content associated with separate media content networks |
| US9336060B2 (en) * | 2011-06-17 | 2016-05-10 | Microsoft Technology Licensing, Llc | Middleware services framework for on-premises and cloud deployment |
| US20120331118A1 (en) * | 2011-06-24 | 2012-12-27 | Eccentex Corporation | System and method for hosted dynamic case management |
| US9195971B2 (en) * | 2011-07-12 | 2015-11-24 | Salesforce.Com, Inc. | Method and system for planning a meeting in a cloud computing environment |
| US8589481B2 (en) | 2011-09-14 | 2013-11-19 | Microsoft Corporation | Multi tenant access to applications |
| US20140013409A1 (en) * | 2012-07-06 | 2014-01-09 | Milind I. Halageri | Single sign on for cloud |
| US9319286B2 (en) * | 2012-03-30 | 2016-04-19 | Cognizant Business Services Limited | Apparatus and methods for managing applications in multi-cloud environments |
| US9348652B2 (en) * | 2012-07-02 | 2016-05-24 | Vmware, Inc. | Multi-tenant-cloud-aggregation and application-support system |
| US8856382B2 (en) * | 2012-07-30 | 2014-10-07 | International Business Machines Corporation | On-boarding services to a cloud environment |
| US9276942B2 (en) * | 2012-09-07 | 2016-03-01 | Oracle International Corporation | Multi-tenancy identity management system |
| US9667470B2 (en) * | 2012-09-07 | 2017-05-30 | Oracle International Corporation | Failure handling in the execution flow of provisioning operations in a cloud environment |
| US8438654B1 (en) | 2012-09-14 | 2013-05-07 | Rightscale, Inc. | Systems and methods for associating a virtual machine with an access control right |
| CN102882885B (zh) * | 2012-10-17 | 2015-07-01 | 北京卓微天成科技咨询有限公司 | 一种提高云计算数据安全的方法及系统 |
| US9137131B1 (en) * | 2013-03-12 | 2015-09-15 | Skyhigh Networks, Inc. | Network traffic monitoring system and method to redirect network traffic through a network intermediary |
| US20140222493A1 (en) * | 2013-02-04 | 2014-08-07 | Uni-B Solutions Llc | Process management system, method, and computer-readable medium |
| US8769644B1 (en) * | 2013-03-15 | 2014-07-01 | Rightscale, Inc. | Systems and methods for establishing cloud-based instances with independent permissions |
-
2013
- 2013-12-20 US US14/137,226 patent/US8769644B1/en active Active
-
2014
- 2014-03-12 CA CA2905024A patent/CA2905024A1/en not_active Abandoned
- 2014-03-12 CN CN201480015883.1A patent/CN105051715A/zh active Pending
- 2014-03-12 SG SG11201507356TA patent/SG11201507356TA/en unknown
- 2014-03-12 EP EP14768199.3A patent/EP2972948A4/en not_active Withdrawn
- 2014-03-12 WO PCT/US2014/024444 patent/WO2014150878A1/en active Application Filing
- 2014-03-12 AU AU2014235505A patent/AU2014235505A1/en not_active Abandoned
- 2014-06-27 US US14/317,159 patent/US9215229B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1925399A (zh) * | 2005-09-01 | 2007-03-07 | 阿尔卡特公司 | 分布式认证功能性 |
| US20110126168A1 (en) * | 2009-11-25 | 2011-05-26 | Crowdsource Technologies Ltd. | Cloud plarform for managing software as a service (saas) resources |
| CN102281286A (zh) * | 2010-06-14 | 2011-12-14 | 微软公司 | 用于分布式混合企业的灵活端点顺从和强认证 |
Non-Patent Citations (2)
| Title |
|---|
| 梁超 王延华: "《移动应用程序开发》", 30 September 2004, 清华大学出版社 * |
| 符彦惟 等: "《计算机网络安全实用技术》", 30 September 2008, 清华大学出版社 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109565511A (zh) * | 2016-09-16 | 2019-04-02 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的租户和服务管理 |
| CN109565511B (zh) * | 2016-09-16 | 2021-06-29 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的租户和服务管理 |
| CN106713276A (zh) * | 2016-11-25 | 2017-05-24 | 国信优易数据有限公司 | 一种基于授权认证的数据获取方法及其系统 |
| CN106713276B (zh) * | 2016-11-25 | 2019-08-02 | 国信优易数据有限公司 | 一种基于授权认证的数据获取方法及其系统 |
| CN110959151A (zh) * | 2017-07-28 | 2020-04-03 | 思杰系统有限公司 | 用于长期运行的软件操作的连接器租用 |
| CN110311967A (zh) * | 2019-06-25 | 2019-10-08 | 北京达佳互联信息技术有限公司 | 数据推送及数据接收的方法、装置、设备及系统 |
| CN111147509A (zh) * | 2019-12-30 | 2020-05-12 | 北京三快在线科技有限公司 | 网络隔离方法、装置、服务器及存储介质 |
| CN112104621A (zh) * | 2020-08-31 | 2020-12-18 | 新华三信息安全技术有限公司 | 一种流量管理方法及设备 |
| CN112104621B (zh) * | 2020-08-31 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种流量管理方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140317701A1 (en) | 2014-10-23 |
| US9215229B2 (en) | 2015-12-15 |
| EP2972948A4 (en) | 2016-10-26 |
| EP2972948A1 (en) | 2016-01-20 |
| CA2905024A1 (en) | 2014-09-25 |
| AU2014235505A1 (en) | 2015-09-24 |
| WO2014150878A1 (en) | 2014-09-25 |
| US8769644B1 (en) | 2014-07-01 |
| SG11201507356TA (en) | 2015-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105051715A (zh) | 用于建立具备独立权限的基于云的实例的系统和方法 | |
| US11711219B1 (en) | PKI-based user authentication for web services using blockchain | |
| US10764291B2 (en) | Controlling access between nodes by a key server | |
| US11563588B2 (en) | Securing a path at a selected node | |
| US10142326B2 (en) | Attribute-based access control | |
| KR101701664B1 (ko) | 보안 가상 머신 이송 | |
| US10833860B2 (en) | Shared key processing by a host to secure links | |
| CN108351944B (zh) | 链式安全系统 | |
| US10291605B2 (en) | Validation for requests | |
| US11025413B2 (en) | Securing a storage network using key server authentication | |
| US11522681B2 (en) | Securing a path at a node | |
| US10270757B2 (en) | Managing exchanges of sensitive data | |
| US11038671B2 (en) | Shared key processing by a storage device to secure links | |
| KR20230078706A (ko) | 포스트 양자 암호화를 사용하는 인증서 기반 보안 | |
| US11146379B1 (en) | Credential chaining for shared compute environments | |
| NZ759830A (en) | Key attestation statement generation providing device anonymity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151111 |