CN114514507B - 在云基础设施环境中支持配额策略语言的系统和方法 - Google Patents
在云基础设施环境中支持配额策略语言的系统和方法 Download PDFInfo
- Publication number
- CN114514507B CN114514507B CN202080066710.8A CN202080066710A CN114514507B CN 114514507 B CN114514507 B CN 114514507B CN 202080066710 A CN202080066710 A CN 202080066710A CN 114514507 B CN114514507 B CN 114514507B
- Authority
- CN
- China
- Prior art keywords
- compartment
- quota
- policy
- bay
- quota policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 85
- 239000008186 active pharmaceutical agent Substances 0.000 description 33
- 230000008569 process Effects 0.000 description 25
- 239000002184 metal Substances 0.000 description 21
- 238000007726 management method Methods 0.000 description 20
- 238000013475 authorization Methods 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 230000015654 memory Effects 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 230000005012 migration Effects 0.000 description 5
- 238000013508 migration Methods 0.000 description 5
- 230000006855 networking Effects 0.000 description 5
- 238000011084 recovery Methods 0.000 description 5
- 238000001816 cooling Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 238000013349 risk mitigation Methods 0.000 description 4
- 230000008685 targeting Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000005192 partition Methods 0.000 description 3
- 230000002085 persistent effect Effects 0.000 description 3
- 241000070023 Phoenicopterus roseus Species 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 2
- 230000002567 autonomic effect Effects 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000007667 floating Methods 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000010076 replication Effects 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000002860 competitive effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007728 cost analysis Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000012958 reprocessing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/78—Architectures of resource allocation
- H04L47/782—Hierarchical allocation of resources, e.g. involving a hierarchy of local and centralised entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5077—Logical partitioning of resources; Management or configuration of virtualized resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3006—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
- G06F9/505—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5072—Grid computing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5077—Network service management, e.g. ensuring proper service fulfilment according to agreements wherein the managed service relates to simple transport services, i.e. providing only network infrastructure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/508—Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement
- H04L41/5096—Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement wherein the managed service relates to distributed or central networked applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/76—Admission control; Resource allocation using dynamic resource allocation, e.g. in-call renegotiation requested by the user or requested by the network in response to changing network conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/829—Topology based
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2209/00—Indexing scheme relating to G06F9/00
- G06F2209/50—Indexing scheme relating to G06F9/50
- G06F2209/5022—Workload threshold
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2209/00—Indexing scheme relating to G06F9/00
- G06F2209/50—Indexing scheme relating to G06F9/50
- G06F2209/504—Resource capping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5006—Creating or negotiating SLA contracts, guarantees or penalties
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本文描述的系统和方法支持云基础设施环境中的隔间配额。云管理员一般不具有限制现有云中的资源使用情况的能力。授予用户创建资源的许可允许他们创建多达预定义的账户限制的任何数量的资源。隔间配额允许管理员将用户的资源使用情况限制到适当的水平,从而允许精确调整的成本控制。
Description
版权声明
本专利文档的部分公开内容包含受版权保护的材料。版权所有者不反对任何人对专利文档或专利公开内容进行传真复制,因为它出现在专利商标局的专利文档或记录中,但除此之外保留所有版权权利。
优先权要求和相关申请的交叉引用:
本申请要求于2019年8月9日提交的标题为“SYSTEM AND METHOD FORCOMPARTMENT QUOTAS IN A CLOUD INFRASTRUCTURE ENVIRONMENT”的美国临时专利申请No.62/884,936;2019年8月9日提交的标题为“SYSTEM AND METHOD FOR SUPPORTING AQUOTA POLICY LANGUAGE IN A CLOUD INFRASTRUCTURE ENVIRONMENT”的美国临时专利申请No.62/884,994;以及2019年8月9日提交的标题为“SYSTEM AND METHOD FOR SUPPORTINGA USAGE CALCULATION PROCESS IN A CLOUD INFRASTRUCTURE ENVIRONMENT”的美国临时专利申请No.62/884,998的优先权权益;上述申请中的每一个都通过引用整体并入本文。
本申请还要求以下申请的优先权权益:2020年8月5日提交的标题为“SYSTEM ANDMETHOD FOR COMPARTMENT QUOTAS IN A CLOUD INFRASTRUCTURE ENVIRONMENT”的美国专利申请No.16/986,162;2020年8月5日提交的标题为“SYSTEM AND METHOD FOR SUPPORTINGA QUOTA POLICY LANGUAGE IN A CLOUD INFRASTRUCTURE ENVIRONMENT”的美国专利申请No.16/986,163;2020年8月5日提交的标题为“SYSTEM AND METHOD FOR SUPPORTING AUSAGE CALCULATION PROCESS IN A CLOUD INFRASTRUCTURE ENVIRONMENT”的美国专利申请No.16/986,164;上述申请中的每一个都通过引用整体并入本文。
技术领域
本文描述的实施例一般而言涉及云基础设施环境,诸如基础设施即服务(IaaS),并且特别涉及用于提供用于在此类云基础设施环境内提供资源约束的系统和方法的系统和方法。
背景技术
云基础设施环境可以包括使用户和客户端(在整个说明书中,术语“客户端”和“客户”可以互换使用)能够在高度可用的托管环境中构建和运行广泛的应用和服务的补充云服务集合。
年复一年,越来越多的企业和组织正在将任务关键应用和系统迁移到云基础设施环境。这种转变有多种原因。例如,许多企业正在移动到云,以便降低运营、维护和构建本地基础设施的成本和复杂性。同样,云基础设施还允许更快速的信息技术(IT)递送机制。一些企业和组织还将云基础设施环境视为通过适应更灵活的系统来获得竞争优势的一种手段。
在IaaS(基础设施即服务)模型中,云提供商可以提供、托管和管理基础设施组件,这些基础设施组件在传统设置中将在每个客户/客户端的位置进行本地部署。传统上在本地的组件可以包括硬件,例如数据仓库和数据中心、服务器、存储装置、联网硬件,以及软件,诸如虚拟化软件。
IaaS提供商除了可以提供传统上将在本地部署的硬件和软件之外,还可以向他们的客户端和客户提供服务。作为示例,可以允许客户端和客户定制他们的IaaS订阅以适应他们的需求,这进而允许详细和细分的计费和开发票。IaaS还可以支持诸如负载平衡、冗余性、复制和恢复之类的特征。因为此类服务是由IaaS提供商(而不是客户)提供和支持的,因此这使得客户端和客户可以更加专注于通过更多地推动其服务的自动化和编排来改善他们的业务。
云基础设施使得用户和客户端能够在同一平台上无缝地运行传统企业应用以及云原生应用,从而减少操作开销并实现两种类型的工作负载之间的直接连接性。
发明内容
根据实施例,本文描述了用于为云基础设施环境提供隔间配额的系统和方法。根据实施例,云管理员一般不具有限制现有云中资源的使用情况的能力。授予用户创建资源的许可允许他们创建多达预定义的账户限制的任何数量的资源。隔间配额允许管理员将用户的资源使用情况限制到适当的水平,从而允许精确调整的成本控制。
根据实施例,可以在账户创建时向客户指派由云基础设施环境定义的服务级别限制。这些服务级别限制限制了客户可以跨整个租赁(例如,跨具有多个隔间的多个区域)创建的资源总数。租赁和隔间管理员可以利用隔间配额来设置特定于资源的限制。如果没有此类隔间限制,那么被授权启动实例的用户可以消耗整个租赁中的所有可用容量。隔间资源限制解决了这个问题,并且与服务限制不同,隔间资源限制由客户端和客户经由例如控制台、SDK或API设置和自定义。隔间限制可以在服务限制之上被应用并通过嵌套的隔间层次结构继承。这允许隔间管理员限制资源消耗并围绕可接受的资源使用情况来设置边界。
根据实施例,本文描述的是用于在云基础设施环境中支持配额策略语言的系统和方法。可以通过设置语句语法来配置配额策略。为了设置配额,配额可以建立多个因素。每个配额在服务系列(例如,计算)内可以是唯一的,因此,每个配额可以定义目标服务连同配额名称。接下来,配额可以定义将配额设置到的值,以及配额针对的隔间。可以存在可以被包括的条件集合以确定何时应用配额。
根据实施例,本文描述的是用于支持云基础设施环境中的使用情况计算过程或算法的系统和方法。使用情况计算过程可以被用于确定以隔间的树结构内的隔间为目标的所请求事务是否违反树结构内的父隔间内的任何隔间配额或限制。
附图说明
图1图示了根据实施例的用于提供云基础设施环境的系统。
图2图示了根据实施例的用于在云基础设施环境内提供云基础设施区域的系统。
图3图示了根据实施例的用于在跨越云基础设施环境内的云基础设施区域的隔间内提供隔间策略的系统。
图4图示了根据实施例的用于云基础设施环境内的隔间迁移的系统。
图5示出了用于在云基础设施环境内的隔间迁移期间的策略管理和实行的系统。
图6示出了根据实施例的用于在云基础设施环境中支持隔间配额的系统。
图7示出了根据实施例的用于在云基础设施环境中支持隔间配额的系统。
图8是根据实施例的用于创建隔间配额的方法的流程图。
图9是根据实施例的用于修改隔间配额的方法的流程图。
图10示出了根据实施例的用于在云基础设施环境中实行隔间配额的系统的体系架构。
图11是根据实施例的在云基础设施环境中支持隔间配额的方法的流程图。
图12a、图12b和图12c是根据实施例的示例隔间配额策略语句。
图13图示了根据实施例的配额策略语句的示例。
图14图示了根据实施例的配额策略语句的示例。
图15图示了根据实施例的配额策略语句的示例。
图16图示了根据实施例的配额策略语句的示例。
图17图示了根据实施例的配额策略语句的示例。
图18是根据实施例的用于在云基础设施环境中支持配额策略语言的方法的流程图。
图19示出了根据实施例的用于在云基础设施环境中实行隔间配额的系统的体系架构。
图20是根据实施例的用于在云基础设施环境中支持使用情况计算过程的方法的流程图。
图21是根据实施例的用于在云基础设施环境中支持使用情况计算过程的方法的流程图。
具体实施方式
根据本文的实施例,术语“裸机主机”、“裸机实例”或“裸机计算实例”可以指被提供以供云基础设施环境使用的物理主机(“裸机”)机器。裸机计算实例直接在裸机服务器上运行,而无需管理程序。当供应裸机实例时,用户/客户端可以维护对物理CPU、存储器和网络接口卡(NIC)的单独控制。用户/客户端可以配置和利用每个物理机器的全部能力,就好像它是在他们自己的数据中心中运行的硬件一样。用户/客户端不与任何其它租户共享物理机器。
根据本文的实施例,云基础设施环境可以物理地托管在区域和可用性域中。术语“区域”可以指局部地理地区。术语“可用性域”可以表示位于区域内的一个或多个数据中心。区域由一个或多个可用性域组成。云基础设施可以是特定于区域的,诸如虚拟云网络,或者是特定于可用性域的,诸如计算实例。可用性域彼此隔离,具有容错性,并且不太可能同时发生故障或受到另一个可用性域的故障的影响。当用户/客户端配置他们的云服务时,用户/客户端可以使用多个可用性域来确保高可用性并防止资源故障。一些资源必须在同一个可用性域内创建,诸如实例和附连到它的存储卷。
根据本文的实施例,术语“领域(realm)”可以指区域的逻辑集合。领域彼此隔离并且不共享任何数据。客户的租赁可以存在于单个领域中,并且可以访问属于那个领域的每个区域。例如,可以为商业区域和政府云区域提供领域。
根据本文的实施例,术语“控制台”可以指用户/客户端可以用来访问和管理云基础设施环境的(例如,基于web的)用户接口。
根据本文的实施例,术语“租赁”可以指云基础设施环境内的安全且隔离的分区。当客户端/用户向云基础设施环境注册时,云基础设施环境可以为用户/客户端(或他们的公司)创建租赁。租赁可以是用户/客户端创建、组织和管理其云资源的地方。
根据本文的实施例,术语“隔间”或“多个隔间”可以指相关资源(诸如实例、虚拟云网络、块卷)的集合,这些资源只能由管理员已给予许可的某些组访问。隔间允许客户端/用户组织和控制对其云资源的访问。当客户端/用户开始使用控制台中的资源工作时,隔间可以为客户端/用户正在查看的内容提供过滤器。
根据本文的实施例,术语“租赁”可以指包括所有租户的云资源的根隔间。可以在租赁(根隔间)内并使用用于控制对每个隔间中的资源的访问的对应的策略来创建附加隔间。当用户/客户端创建云资源(诸如实例、块卷或云网络)时,用户/客户端可以指定资源应当属于哪个隔间。
根据本文的实施例,术语“虚拟云网络”可以指在其上运行实例的传统网络的虚拟版本-包括子网、路由表和网关。云网络驻留在单个区域内,但包括该区域的所有可用性域。云网络中定义的每个子网可以位于单个可用性域中,或者可以跨越区域中的所有可用性域。在可以启动实例之前,可以设置至少一个云网络。
根据本文的实施例,术语“实例”可以指在云中运行的计算主机。与传统的基于软件的虚拟机相反,云基础设施环境实例可以允许用户/客户端使用被托管的物理硬件,从而提供更高的安全性和性能。
根据本文的实施例,术语“映像”可以指虚拟硬盘驱动器的模板,该模板定义实例的操作系统和其它软件,例如,LINUX。当启动实例时,可以通过选择其映像来定义其特点。可以提供映像的集合,并且可以使用来自已经配置(例如,作为模板)的现有实例的映像以便使用具有相同软件和定制的实例。
根据本文的实施例,术语“形状”可以指分配给实例的CPU的数量和存储器的量的规范。在负载平衡中,形状可以确定负载平衡器为入口加出口流量预先供应的总最大容量(带宽)。可用的形状可以包括例如100Mbps、400Mbps和8000Mbps。
根据实施例,术语“密钥对”可以指使用云基础设施环境的认证机制。密钥对由私钥文件和公钥文件组成。可以上传公钥,而私钥保存在用户/客户端的设备上。私钥对用户/客户端来说是私有的,就像密码一样。可以根据不同的规范生成密钥对,诸如实例SSH密钥对,以及API签署密钥对。实例SSH密钥对被用于建立与实例的安全外壳(SSH)连接。当供应实例时,可以提供公钥,该公钥保存在实例的授权的密钥文件中。为了登录到实例,提供私钥,该私钥用公钥进行验证。API签署密钥对是PEM(隐私增强邮件)格式并且被用于在提交API请求时对用户/客户端进行认证。
根据本文的实施例,术语“块卷”可以指为云基础设施环境实例提供持久块存储的虚拟盘。可以以与例如计算机上的物理硬盘驱动器相似的方式使用块卷来例如存储数据和应用。卷可以从一个实例分离并附连到另一个实例,而不会丢失数据。
根据本文的实施例,术语“对象存储装置”可以指可以被用于将数据作为对象存储和管理的存储体系架构。数据文件可以是任何类型。一旦数据被上传到对象存储装置,就可以从任何地方访问它。当需要存储大量数据并且数据不是很频繁地改变时,可以使用对象存储装置。对象存储装置的典型用途包括但不限于数据备份、文件共享、存储非结构化数据(例如,日志和传感器生成的数据)。
根据本文的实施例,术语“桶”可以指用于存储数据和文件的逻辑容器。桶可以包含无限数量的对象。
如上所述,云基础设施环境可以包括使用户和客户端能够在高度可用的被托管的环境中构建和运行广泛的应用和服务的互补云服务的集合。
图1示出了根据实施例的用于提供云基础设施环境的系统。
根据实施例,可以在多个硬件和软件资源112上运行的云基础设施环境100可以包括控制台接口102和API 104。此外,云基础设施环境100可以支持多个治理服务110、身份和访问管理(IAM)服务120以及供应服务130。云基础设施环境100还可以例如在层中支持多个资源140,这些层诸如计算机资源层150、网络资源层160和存储资源层170。
根据实施例,例如,诸如具有设备硬件(处理器、存储器……等)12的计算设备10之类的客户端设备可以经由诸如广域网(WAN)、局域网(LAN)或互联网之类的网络与云基础设施环境通信。客户端设备可以包括管理员应用14,其可以包括用户接口16。
根据实施例,在云基础设施环境内,可以支持租赁。在注册和部署时,可以为每个客户端/客户创建租赁,该租赁可以包括云基础设施内的安全且隔离的分区,客户端可以在其中创建、组织和管理他们的云资源。
根据实施例,控制台接口102和API 104可以向客户端提供对云基础设施环境的相应部分的访问和控制。根据实施例,控制台接口可以包括直观的图形界面,其允许客户端创建和管理资源、实例、云网络和存储卷,以及管理与客户端相关联的用户,并在客户端范围内设置许可。同样,API 104可以包括例如利用HTTPS(安全超文本传输协议)的REST API。
根据实施例,控制台接口或API的一个示例可以是配置管理工具(例如,Ansible)。配置管理工具可以被用于云基础设施供应、编排和配置管理。配置管理工具可以允许客户端将配置和供应云基础设施、部署和更新软件资产以及编排复杂的操作过程自动化。
根据实施例,云基础设施环境的治理服务110向客户端提供工具以帮助客户端启用简单的资源治理、管理成本以及控制对云基础设施的访问。作为示例,治理服务提供加标签(tagging),这允许客户端出于信息或操作原因而将标签应用于其资源。可以控制定义的标签,以避免将不正确的标签应用于资源。标签还可以为管理脚本提供灵活的目标选定机制。同样,治理服务可以允许受管理的预算,并从一个地方跟踪所有实际和预测的支出。这允许客户端通过成本分析仪表板掌握使用情况,并按隔间和标签进行过滤,以分析部门、团队和项目的支出。这种数据也可以被导出,用于详细的资源利用报告以及与现有云管理和商业智能工具的集成。治理服务还可以记录事件,事件以后可以被检索、存储和分析以用于跨云基础设施权利和隔间的安全性、合规性和资源优化。
根据实施例,身份和访问管理(IAM)服务120可以为IAM服务中的每个客户端/客户/用户创建与用户凭证(例如,用户名和密码)相关联的用户简档。也可以经由IAM服务在云基础设施中向客户端准予管理员特权。
根据实施例,身份和访问管理服务可以与云基础设施环境集成。在客户端注册后,IAM服务可以在身份服务中创建单独的用户凭证,这然后可以允许单点登录到云基础设施服务以及访问附加的云服务。
根据实施例,供应服务130可以供应例如云基础设施服务内(诸如资源140内)的租赁。可以通过例如控制台接口或经由一个或多个API(诸如API 104)来访问和控制供应服务。供应服务可以允许客户端供应和管理计算主机,这些计算主机可以被称为实例。客户端可以根据需要启动实例以满足计算和应用要求。在客户端启动实例之后,可以从例如客户端设备访问所供应的实例。供应服务还可以提供重新启动实例、从实例附连和分离卷,以及终止实例。
根据实施例,由云基础设施环境提供的资源140可以被分解成多个层,诸如计算资源层150、网络资源层160和存储资源层170。
根据实施例,计算资源层150可以包括多个资源,诸如例如裸机实例152、虚拟机154、边缘服务156和容器158。例如,计算资源层可以被用于供应和管理裸机计算实例,根据需要供应实例以部署和运行应用,就像在本地数据中心中一样。
根据实施例,云基础设施环境可以提供对计算资源层内的一个或多个物理主机(“裸机”)机器的控制。裸机计算实例直接在裸机服务器上运行,无需管理程序。当供应裸机计算实例时,客户端可以保持对物理CPU、存储器和网络接口卡(NIC)的单独控制。裸机计算实例可以被配置并利用每个物理机器的全部功能,就好像它是在本地自己的数据中心中运行的硬件一样。因此,裸机计算实例一般不在租户之间共享。
根据实施例,与基于软件的虚拟环境相反,裸机计算实例可以经由相关联的物理硬件提供高级别的安全性和性能。
根据实施例,云基础设施环境可以提供对计算资源层内的多个虚拟机的控制。例如,可以从可以确定虚拟机操作系统以及其它软件的映像启动虚拟机计算主机。例如,可以基于从其启动虚拟机的映像来确定可用于虚拟机实例的资源的类型和数量。
根据实施例,虚拟机(VM)计算实例可以包括在物理裸机硬件之上运行的独立计算环境。虚拟化使得运行多个彼此隔离的VM成为可能。例如,VM可以用于运行不要求整个物理机器的性能和资源(CPU、存储器、网络带宽、存储装置)的应用。
在一些实施例中,虚拟机实例可以在与裸机实例相同的硬件上运行,这可以提供对使用相同的云优化的硬件、固件、软件堆栈和联网基础设施的充分利用。
根据实施例,云基础设施环境可以在计算资源层内提供多个图形处理单元(GPU)计算实例。加速的计算要求跨每项服务的一致快速的基础设施。利用GPU实例,客户端可以更高效地处理和分析海量数据集,使其对于复杂的机器学习(ML)、人工智能(AI)算法和许多工业HPC应用有用。GPU计算实例可以被供应为虚拟化的计算实例(其中多个GPU计算实例共享相同的裸机硬件),或者可以被供应为为每个GPU计算实例提供专用硬件的裸机实例。
根据实施例,云基础设施环境可以在计算资源层内提供多个容器化的计算实例。独立的容器引擎服务可以被用于构建容器化的应用并将其启动到云中。例如,容器服务可以被用于构建、部署和管理云原生应用。容器服务可以指定容器化的应用所需的计算资源,然后容器引擎可以经由供应服务来供应在云基础设施环境内(例如,在租赁的上下文中)使用的所需计算资源。
根据实施例,可以被使用的一个这样的容器服务引擎是Kubernetes,用于将跨主机集群部署、缩放和管理容器化应用自动化的开源系统。此类容器服务可以将构成应用的容器分组为逻辑单元,以便容易地管理和发现。
根据实施例,网络资源层160可以包括多个资源,诸如例如虚拟云网络(VCN)162、负载平衡器164、边缘服务166和连接服务168。
根据实施例,云基础设施环境可以在网络资源层处提供多个虚拟云网络162。虚拟云网络可以包括实例可以在其上运行的传统网络的虚拟版本,包括客户端子网、路由表和网关。云网络驻留在单个区域内,但包括该区域的所有可用性域。云网络中定义的每个子网可以或者位于单个可用性域中,或者跨越区域中的所有可用性域(推荐)。在启动实例之前,可以配置至少一个云网络。在某些实施例中,可以经由互联网网关配置VCN以处置公共流量、VPN连接或快速连接服务以安全地扩展本地网络。
根据实施例,云基础设施环境可以在网络资源层处提供多个负载平衡器164。负载平衡服务可以提供从一个入口点到可从虚拟云网络(VCN)到达的多个服务器的自动化流量分布。各种负载平衡可以提供公共或私有IP地址以及供应的带宽。
根据实施例,负载平衡器可以改进资源利用、缩放并帮助确保高可用性。可以配置多个负载平衡策略,并且可以提供特定于应用的健康检查以确保负载平衡器仅将流量指向健康的实例。负载平衡器可以通过在将不健康的应用服务器从服务中移除以进行维护之前排出来自该应用服务器的流量来缩短维护窗口。
根据实施例,负载平衡服务使得能够结合VCN创建公共或私有负载平衡器。公共负载平衡器具有可从互联网访问的公共IP地址。私有负载平衡器具有来自托管子网的IP地址,该IP地址仅在VCN内可见。可以为IP地址配置多个侦听器,以对运输不同层的流量(例如,层4和层7(TCP和HTTP)流量)进行负载平衡。公共和私有负载平衡器都可以将数据流量路由到可从VCN到达的任何后端服务器。
根据实施例,公共负载平衡器可以接受来自互联网的流量,可以创建指派有公共地址的公共负载平衡器,该公共地址用作传入流量的入口点。
根据实施例,公共负载平衡器在范围上是区域性的。如果区域包括多个可用性域,那么公共负载平衡器可以具有例如区域性子网或特定于可用性域(特定于AD)的两个子网,每个子网位于分离的可用性域中。利用区域性子网,负载平衡器可以创建主负载平衡器和备用负载平衡器,每个负载平衡器位于不同的可用性域中,以确保即使在可用性域中断期间的可访问性。如果在多个特定于AD的子网中创建负载平衡,那么一个子网可以托管主负载平衡器,而另一个子网托管备用负载平衡器。如果主负载平衡器发生故障,那么公共IP地址可以切换到辅助负载平衡器。该服务将两个负载平衡器视为等效。
根据实施例,如果区域仅包括一个可用性域,那么服务仅要求一个子网(或者区域性的或者特定于AD的)来托管主和备用负载平衡器两者。除了指派的浮动公共IP地址之外,主和备用负载平衡器可以各自具有来自主机子网的私有IP地址。如果存在可用性域中断,那么负载平衡器没有故障转移。
根据实施例,还可以提供私有负载平衡,以便将负载平衡器与互联网隔离并简化安全姿态。负载平衡器服务可以向负载平衡器指派私有地址,其用作传入流量的入口点。
根据实施例,私有负载平衡器可以由服务创建以服务于仅一个子网来托管主和备用负载平衡器。负载平衡器可以是区域性的或特定于AD的,这取决于主机子网的范围。负载平衡器只能从包含主机子网的VCN内访问,或者受安全规则的进一步限制。
根据实施例,指派的浮动私有IP地址对于主机子网是本地的。主和备用负载平衡器各自要求来自主机子网的额外私有IP地址。
根据实施例,如果存在可用性域中断,那么在多AD区域内的区域性子网中创建的私有负载平衡器提供故障转移能力。在特定于AD的子网或单个可用性域区域内的区域性子网中创建的私有负载平衡器没有响应可用性域中断的故障转移能力。
根据实施例,云基础设施环境可以在网络资源层处提供多个边缘服务166。一般而言,边缘服务包括允许客户端管理、保护和维护域和端点的多个服务。例如,这些包括DNS(域名系统)、DDoS(分布式拒绝服务)保护和电子邮件递送。这些服务使客户端能够优化性能、阻止网络攻击和扩展通信。
根据实施例,云基础设施环境可以在网络资源层处提供多个连接服务168。此类连接服务可以提供在客户端数据中心或现有网络与云基础设施环境之间创建专用的、私有连接的简单方式。连接服务可以提供高带宽,以及可靠和一致的网络。
根据实施例,存储资源层170可以包括多个资源,诸如例如块卷172、文件存储装置174、对象存储装置176和本地存储装置178。
根据实施例,块卷172提供支持广泛的I/O密集型工作负载的高性能网络存储容量。客户端可以使用块卷来扩展计算实例的存储容量,以提供可以跨计算实例迁移的耐久和持久的数据存储,并托管大型数据库。
根据实施例,文件存储装置174允许客户端创建可扩展的、分布式、企业级网络文件系统。文件存储装置支持语义、快照能力和静态数据加密。
根据实施例,对象存储装置为非结构化数据提供高吞吐量存储。对象存储服务为大量分析数据或丰富内容(比如图像和视频)实现近乎无限的存储容量。块卷可以备份到对象存储装置以增加持久性。
根据实施例,本地存储装置178可以为I/O密集型应用提供例如以固态驱动器形式的高速且可靠的存储装置。例如,这些可以在裸机实例中提供。本地存储装置为VM和裸机计算实例提供高存储性能。一些示例包括关系数据库、数据仓库、大数据、分析、AI和HPC应用。
图2图示了根据实施例的用于在云基础设施环境内提供云基础设施区域的系统。
根据实施例,以上在图1中描述的云基础设施环境的实例可以托管在不同的区域中,称为云基础设施区域220。如上所述,这些可以经由控制台、SDK或API由客户网络200通过诸如互联网210之类的网络来访问。每个云基础设施区域可以包括管理服务222、计算服务224、存储服务226、边缘服务228、联网服务230和物理基础设施232。
根据实施例,云基础设施可以托管在区域和可用性域中。区域可以是本地化的地理地区,并且可用性域可以是位于区域内的一个或多个数据中心。区域由一个或多个可用性域组成。大多数云基础设施资源可以是或者特定于区域的,诸如虚拟云网络,或者特定于可用性域的,诸如计算实例。可用性域之间和区域之间的流量被加密。
根据实施例,可用性域彼此隔离、容错并且不太可能同时发生故障。因为可用性域不共享基础设施(诸如电源或冷却系统)或内部可用性域网络,所以区域内一个可用性域的故障不太可能影响同一区域内其它可用性域的可用性。
根据实施例,同一区域内的可用性域可以通过低时延、高带宽网络彼此连接,该网络可以提供到互联网和本地部署的高可用性连接性,并在多个可用性域中构建复制的系统以用于高可用性和灾难恢复。
根据实施例,区域独立于其它区域并且可以在地理上分离(例如,跨国家或大陆)。然后,这导致将应用部署在最有可能最常使用该应用的区域内。
但是,根据实施例,应用也可以出于各种原因部署在不同的区域中。例如,这可以包括当诸如天气系统之类的事件使某个区域离线时风险减轻。此外,出于战略原因,诸如税收域或其它商业或社会准则,应用可以部署在其它区域中。
根据实施例,存在跨区域可用的若干服务。这些包括例如管理服务222、计算服务224、存储服务226、边缘服务228和联网服务230。
根据实施例,隔间允许客户端组织和控制对云资源的访问。隔间是只能由被管理员给予许可的特定组访问的相关资源(诸如实例、虚拟云网络、块卷)的集合。隔间可以被认为是逻辑组,而不是物理容器。当在控制台内工作时,隔间可以充当允许被查看的内容的过滤器。
根据实施例,隔间可以具有若干层。例如,可以将租赁视为保持客户端的所有云资源的根隔间。可以在那个根隔间(租赁)内并且利用用于控制对每个隔间中资源的访问的对应的策略创建附加隔间。当客户端创建云资源(诸如实例、块卷或云网络)时,可以将这种资源指向特定的一个或多个隔间。隔间可以跨越区域。
故障域
根据实施例,故障域可以包括可用性域内的硬件和基础设施的分组。每个可用性域可以包括三个故障域。故障域允许实例被分布,以便它们不在单个可用性域内的同一物理硬件上。影响一个故障域的硬件故障或计算硬件维护不会影响其它故障域中的实例。
根据实施例,诸如计算、裸机DB系统或虚拟机DB系统实例之类的资源的放置可以可选地在启动时指定故障域或新实例。通过在当前故障域处终止资源并在另一个故障域处启动资源的新实例,资源可以在放置之后附加地改变故障域。
根据实施例,可以出于多种原因使用故障域,诸如防止意外硬件故障和防止由于维护引起的计划的中断。
可用性
根据实施例,可以提供服务可用性。云基础设施环境内的区域可以提供核心基础设施服务和资源,包括以下:
·计算:计算(裸机&VM、DenseIO&标准)、用于Kubernetes的容器引擎、注册表
·存储:块卷、文件存储装置、对象存储装置、归档存储装置
·联网:虚拟云网络、负载平衡、快速连接
·数据库:数据库、Exadata云服务、自主数据仓库、自主事务
·处理
·边缘:DNS
·平台:身份和访问管理、加标签、审计
根据实施例,以上服务和资源一般是可用的,而其它服务和资源也可以附加地可用(例如,基于区域需求或客户请求)。作为示例,新的云服务可以基于各种考虑因素尽快在地区中可用,考虑因素包括区域性客户需求、在适用的情况下实现监管合规性的能力、资源可用性和其它因素。由于低时延互连骨干网,客户可以在云服务在其归属区域不可用时使用在其它地理区域中的云服务并获得有效结果,前提是数据驻留要求不会阻止他们这样做。
根据实施例,可以在全局可用性、区域性可用性、单区域可用性和域可用性的上下文中考虑资源可用性。一般而言,IAM资源是全局可用的,DB系统、实例和卷是特定于可行性域的。大多数其它资源都是区域性的。
根据实施例,全局可用资源的示例可以包括API签署密钥、隔间、动态组、联合资源、组、策略、标签命名空间、标签密钥和用户。
根据实施例,区域性可用资源的示例可以包括警报、应用、桶(虽然桶是区域性资源,但是当使用用于API调用的正确的特定于区域的对象存储URL时,它们可以从任何位置被访问)、集群、云事件规则、客户本地的装备(CPE)、DHCP选项集、动态路由网关(DRG)、加密密钥、功能、映像、互联网网关、作业、密钥库、负载平衡器、本地对等网关(LPG)、度量、NAT网关、网络安全组、节点池、ons-订阅、ons-话题、储存库、保留的公共Ip、路由表、安全列表、服务网关、堆栈、子网(当创建子网时,它可以被声明为区域性的或特定于可用性域)、虚拟云网络(VCN)和卷备份(卷备份可以作为新卷恢复到存储它们的同一区域内的任何可用性域)。
根据实施例,特定于可用性域的资源的示例可以包括DB系统、临时公共Ip、实例(实例可以附连到同一可用性域中的卷)、子网(当创建子网时,它可以被声明为区域性的或特定于可用性域)和卷(卷可以附连到同一可用性域中的实例)。
隔间
根据实施例,管理员可以管理云基础设施环境内的隔间。
根据实施例,标签可以应用于隔间内的资源。例如,标签可以被用于根据模式(诸如业务需求模式)组织资源。可以在创建资源时将标签应用于资源,或者可以在现有资源上更新标签。
根据实施例,隔间对于云基础设施的构建和组织是重要的。可以在隔间之间移动资源,并且可以(例如,经由用户界面)显示在当前区域内按隔间组织的资源。当用资源工作和管理资源时,可以首先选择隔间。
根据实施例,隔间是租赁范围的,并且可以跨越区域。当创建隔间时,可以使该隔间在订阅租赁的每个区域内可用。
根据实施例,可以删除隔间。为了删除隔间,该隔间可以在删除之前移除其中的所有资源。
根据实施例,删除隔间的动作可以是异步的并且发起工作请求。在执行工作请求时,隔间的状态变为“正在删除”。如果工作请求失败,那么隔间不会被删除并且它返回到活动状态。
根据实施例,在云基础设施环境内创建的每个隔间可以具有某些特性。例如,每个隔间可以被指派唯一标识符(ID),并且可以附加地和可选地被提供有可修改的描述以及名称。根据实施例,子隔间(或子隔间)可以在基本隔间下以分层方式定义。
根据实施例,对隔间和子隔间的访问和控制可以限于管理员或具有足够凭证的其他用户。凭证可以与不同级别的隔间访问权相关联。例如,管理员可以具有查看和访问所有隔间并使用租赁的任何隔间内的资源工作的许可,但具有更受限访问权的用户将没有这种级别的访问和控制。
图3图示了根据实施例的用于在跨越云基础设施环境内的云基础设施区域的隔间内提供隔间策略的系统。
根据实施例,如上所述,以上图1中所述的云基础设施环境300的实例可以被托管在不同区域(诸如云基础设施区域320、330、340、350)中。如上所述,这些可以经由控制台、SDK或API由客户网络301经由诸如互联网之类的网络302来访问。
根据实施例,客户网络301可以包括例如单个计算机、客户计算机网络或其它这样的网络。
根据实施例,虽然图中未示出,但每个云基础设施区域可以包括多个服务,每个服务包括多个资源,诸如管理服务、计算服务、存储服务、边缘服务、网络服务和物理基础设施。
根据实施例,云基础设施可以托管在区域和可用性域中。区域可以是本地化的地理地区,并且可用性域可以是位于区域内的一个或多个数据中心。区域由一个或多个可用性域组成。大多数云基础设施资源可以或者是特定于区域的,诸如虚拟云网络,或者是特定于可用性域的,诸如计算实例。可用性域之间和区域之间的流量被加密。
根据实施例,可用性域彼此隔离、容错并且不太可能同时发生故障。因为可用性域不共享基础设施(诸如电源或冷却系统)或内部可用性域网络,所以区域内的一个可用性域的故障不太可能影响同一区域内其它可用性域的可用性。
根据实施例,同一区域内的可用性域可以通过低时延、高带宽网络彼此连接,该网络可以提供到互联网和本地部署的高可用性连接性,并在多个可用性域中构建复制的系统以用于高可用性和灾难恢复。
根据实施例,区域独立于其它区域并且可以在地理上分离(例如,跨国家或大陆)。然后,这导致将应用部署在最有可能最常使用该应用的区域内。
但是,根据实施例,应用也可以出于各种原因部署在不同的区域中。例如,这可以包括当诸如天气系统之类的事件使某个区域离线时风险减轻。此外,出于战略原因,诸如税收域或其它商业或社会准则,应用可以部署在其它区域中。
根据实施例,存在跨区域可用的若干服务。这些包括例如管理服务、计算服务、存储服务、边缘服务和网络服务。
根据实施例,隔间允许客户端组织和控制对云资源的访问。隔间是只能由被管理员给予许可的特定组访问的相关资源(诸如实例、虚拟云网络、块卷)的集合。隔间可以被认为是逻辑组,而不是物理容器。当在控制台内工作时,隔间可以充当允许被查看的内容的过滤器。
根据实施例,隔间可以具有若干层。例如,可以将租赁305视为保持客户端的所有云资源的根隔间。隔间可以以分层方式组织,诸如隔间360是租赁隔间下面的一级,而子隔间370是隔间360下面的附加层。根据实施例,每个隔间可以与一个或多个隔间策略(诸如隔间策略365和子隔间策略375)相关联。图中未示出租户隔间策略。
根据实施例,在创建隔间或子隔间(诸如隔间360和子隔间370)期间、当时或之后,可以为每个隔间和子隔间编写/创建诸如隔间策略365和子隔间策略375之类的策略。例如,隔间策略可以限制允许哪些用户访问/使用隔间内的资源和服务。如果没有适当的策略,对隔间和/或子隔间的访问可以被限制到具有租赁305级别的许可的用户。
根据实施例,当在隔间内创建隔间(即,子隔间)时,子隔间从其层级更高的隔间继承访问许可。
根据实施例,在创建隔间或子隔间策略后,该策略可以包括指示该策略附连到哪个隔间的规范。这种规范可以包含限制对策略的子序列控制、修改或删除的访问的控制。在一些实施例中,可以将策略附连到租赁、父隔间或策略所针对的特定隔间。
根据实施例,可以将资源放置到隔间中。这可以通过在创建资源后指定作为目标的隔间来完成(隔间是创建资源所需的信息之一)。这可以经由控制台接口来完成。
根据实施例,现有资源也可以移动到不同的隔间。大多数资源在创建之后都可以被移动。
根据实施例,一些资源具有附连的资源依赖性,而一些则没有。当父资源移动时,并非所有附连的依赖关系的行为方式都相同。
根据实施例,对于一些资源,附连的依赖关系与父资源一起移动到新隔间。父资源立即移动,但在一些情况下,附连的依赖关系异步移动,并且在移动完成之前在新隔间中不可见。
根据实施例,对于其它资源,附连的资源依赖关系不移动到新的隔间。此类附连的资源可以被独立移动。
根据实施例,在将资源移动到新隔间之后,治理新隔间的策略立即应用并影响对资源的访问。取决于隔间组织的结构,计量、计费和警报也会受到影响。
根据实施例,在创建之后,隔间可以被移动到例如同一租赁内的不同父隔间。在移动隔间后,该隔间的所有内容(包括子隔间和资源)都会随隔间一起移动。
图4图示了根据实施例的用于云基础设施环境内的隔间迁移的系统。
根据实施例,如上所述,以上图1中描述的云基础设施环境400的实例可以托管在不同区域中。可以在云基础设施环境内定义诸如租赁405、隔间A 460和隔间B 470之类的隔间,并且这些隔间可以跨越区域。如上所述,此类隔间可以经由控制台、SDK或API由客户网络401经由诸如互联网之类的网络402来访问。
根据实施例,客户网络401可以包括例如单个计算机、客户计算机网络或其它此类网络。
根据实施例,隔间允许客户端组织和控制对云资源的访问。隔间是只能由管理员给予许可的特定组访问的相关资源(诸如实例、虚拟云网络、块卷)的集合。隔间可以被认为是逻辑组,而不是物理容器。当在控制台内工作时,隔间可以充当允许被查看的内容的过滤器。
根据实施例,隔间可以具有若干层。例如,可以将租赁405视为保持客户端的所有云资源的根隔间。隔间可以按分层方式组织,诸如隔间A 460和隔间B 470是租赁隔间下面的一级,而子隔间A 465定义在隔间A下,子隔间B 475定义在隔间B下。根据实施例,每个隔间可以与一个或多个隔间策略(未示出)相关联。
根据实施例,例如,在租赁内定义的隔间可以通过例如重定义隔间或子隔间而被移动。
根据实施例,为了移动隔间,可以接收具有足够许可的请求。即,来自属于具有例如对最低共享父隔间的“管理所有资源”许可的组的用户对当前隔间和移动隔间的目的地隔间的请求。
即,例如,必须从具有足够许可的用户接收将子隔间A 465(从465移动到476)从隔间A 460移动到隔间B 470的请求。因为租赁405是源隔间(隔间A 460)和目的地隔间(隔间B470)的最低共享父隔间,所以如图所示移动子隔间A的请求必须从在租赁405隔间内具有“管理所有资源”许可的用户接收。
根据实施例,在另一个示例中,如果从仅在隔间A内具有“管理所有资源”许可的用户接收到将子隔间A 465从隔间A移动到隔间B的请求,那么该请求可能会失败,因为来自用户的请求无法管理目的地隔间(即,隔间B)内的资源。
根据实施例,在将隔间移动到新的父隔间后,新的父隔间的访问策略生效并且先前的父隔间的策略不再适用。在一些情况下,当用指定层次结构的策略移动嵌套的隔间时,可以自动更新策略以确保一致性。
因此,根据实施例,先前应用于子隔间A的隔间A 460的隔间策略将不再适用于子隔间A向隔间B的迁移。然后,隔间B的隔间策略将替代地适用于子隔间A。这将在下图的描述中得到更多解释。
图5示出了用于在云基础设施环境内的隔间迁移期间的策略管理和实行的系统。
根据实施例,并且更具体而言,图5示出了在其中移动隔间的隔间层次结构,以及用于不同策略的结果。
根据实施例,如上所述,以上图1中描述的云基础设施环境500的实例可以托管在不同区域中。可以在云基础设施环境内定义诸如租赁505、隔间A 560和隔间B 565以及隔间D 566之类的隔间,并且这些隔间可以跨越区域。如上所述,此类隔间可以经由控制台、SDK或API由客户网络501经由诸如互联网之类的网络502来访问。
根据实施例,客户网络501可以包括例如单个计算机、客户端计算机网络或其它此类网络。
根据实施例,隔间可以具有若干层。例如,可以将租赁505视为根隔间,其保持客户端的所有云资源。隔间可以以分层方式组织,诸如隔间A 560是租赁下面的一级。隔间B 565和隔间D 566然后被组织为隔间A 560下面的另一级,而隔间C 570被示为最初位于隔间B下面的一级。根据实施例,每个隔间可以与一个或多个隔间策略(诸如隔间B策略582、隔间A策略580和隔间D策略583)相关联。例如,此类策略可以治理对隔间的访问的用户/客户端许可,以及对任何给定隔间内的资源的访问和控制的许可。如上所述,隔间策略可以添加到彼此(即,“堆栈”),使得访问隔间B 565的用户将使其与隔间B 565的交互除了受隔间A策略580治理/限制之外还受隔间B策略582治理/限制。
根据实施例,例如,假定隔间B策略582允许组(组1)管理隔间A-B中的实例系列(隔间层次结构包括隔间B是隔间A的子隔间)。
根据实施例,还假定隔间D策略583允许另一个组(组2)管理隔间A-D中的实例系列(隔间层次结构包括隔间D是隔间A的子隔间)。
根据实施例,在隔间C从隔间B移动到隔间D后,组1的成员不再能够管理隔间C中的实例系列,而组2的成员现在可以管理隔间C中的实例系列。
根据实施例,在某些情况下,在移动隔间后,可以自动更新某些策略。例如,当策略附连到当前和目标父亲的共享祖先时,可以自动更新将隔间层次结构向下指定到移动的隔间的策略。
返回去参考图5,例如,根据实施例,假定隔间A策略允许组(组X)的成员管理隔间B:C中的桶。在将隔间C移动到隔间D时,由于隔间B和D之间的共享祖先(隔间A),因此可以自动更新隔间A策略以允许组X的成员管理隔间D:C中的桶。
根据实施例,附连到租赁的策略同样可以在隔间在租赁内移动后自动更新。
但是,根据实施例,并非所有策略都在隔间移动后自动更新。例如,参考图5,在隔间C从隔间B移动到隔间D的情况下。假定隔间B策略允许管理隔间C中的桶(在移动之前)。当移动隔间C时,隔间B策略不会自动更新。代替地,该策略不再有效并且可以被(例如,手动或自动)移除。
隔间配额
根据实施例,云管理员一般不具有限制现有云中的资源使用情况的能力。授予用户创建资源的许可允许他们创建多达预定义的账户限制的任何数量的资源。隔间配额允许将在隔间中创建或使用资源的能力限制到适当的级别,从而允许精确调整的成本控制。
根据实施例,可以在账户创建时向客户端指派由云基础设施环境定义的服务级别限制。这些服务级别限制限制了客户可以跨整个租赁(例如,跨具有多个隔间的多个区域)创建的资源的总数。租赁和隔间管理员可以利用隔间配额来设置特定于资源的硬限制。如果没有此类隔间限制,那么被授权启动实例的用户可以消耗整个租赁中的所有可用容量。隔间资源限制解决了这个问题,并且与服务限制不同,它由客户端和客户经由例如控制台、SDK或API设置和定制。隔间限制可以应用在服务限制之上,并通过嵌套的隔间层次结构继承。这允许隔间管理员限制资源消耗并围绕可接受的资源使用设置边界。
根据实施例,隔间配额使租赁和隔间管理员更好地控制在云基础设施环境中如何消耗资源,从而使管理员能够使用例如控制台、SDK或API轻松地将资源分配给隔间。隔间配额是管理租赁内客户支出的强大工具集。
图6示出了根据实施例的用于在云基础设施环境中支持隔间配额的系统。
根据实施例,如上所述,以上在图1中描述的云基础设施环境600的实例可以托管在不同区域中,诸如云基础设施区域620、630、640、650。如上所述,这些可以经由控制台603、SDK或API由客户网络601经由诸如互联网之类的网络602来访问。
根据实施例,客户网络601可以包括例如单个计算机、客户计算机的网络或其它此类网络。
根据实施例,虽然图中未示出,但是每个云基础设施区域可以包括多个服务,每个服务包括多个资源,诸如管理服务、计算服务、存储服务、边缘服务、网络服务和物理基础设施。
根据实施例,云基础设施可以托管在区域和可用性域中。区域可以是本地化的地理地区,并且可用性域可以是位于区域内的一个或多个数据中心。区域由一个或多个可用性域组成。大多数云基础设施资源可以或者是特定于区域的,诸如虚拟云网络,或者是特定于可用性域的,诸如计算实例。可用性域之间和区域之间的流量被加密。
根据实施例,可用性域彼此隔离、容错并且不太可能同时发生故障。因为可用性域不共享基础设施(诸如电源或冷却系统)或内部可用性域网络,所以区域内的一个可用性域的故障不太可能影响同一区域内其它可用性域的可用性。
根据实施例,同一区域内的可用性域可以通过低时延、高带宽网络彼此连接,该网络可以提供到互联网和本地部署的高可用性连接性,并在多个可用性域中构建复制的系统以用于高可用性和灾难恢复。
根据实施例,区域独立于其它区域并且可以在地理上分离(例如,跨国家或大陆)。然后,这导致将应用部署在最有可能最常使用该应用的区域内。
但是,根据实施例,应用也可以出于各种原因部署在不同的区域中。例如,这可以包括当诸如天气系统之类的事件使某个区域离线时风险减轻。此外,出于战略原因,诸如税收域或其它商业或社会准则,应用可以部署在其它区域中。
根据实施例,隔间允许客户端组织和控制对云资源的访问。隔间是只能由被管理员给予许可的特定组访问的相关资源(诸如实例、虚拟云网络、块卷)的集合。隔间可以被认为是逻辑组,而不是物理容器。当在控制台内工作时,隔间可以充当允许被查看的内容的过滤器。
根据实施例,隔间可以具有以分层方式布置的若干层或级别。例如,可以将租赁605视为保持客户端的所有云资源的根隔间。隔间可以以分层方式组织,诸如隔间660是租赁隔间下面的一级,而子隔间670是隔间660下面的附加层。根据实施例,每个隔间可以与一个或多个隔间资源配额(诸如租赁资源配额680(即,上面讨论的服务限制)、隔间资源配额682和子隔间资源配额684)相关联。
根据实施例,在创建隔间或子隔间(诸如隔间660和子隔间670)期间、当时或之后,可以经由例如控制台603生成每个对应的隔间资源配额。
根据实施例,由于隔间的分层性质,隔间资源配额集可以设置在根/基本级隔间上。(具有足以在根隔间内管理和创建资源配额的访问级别的)管理员可以在根隔间以及任何嵌套的或“孩子”隔间上设置配额。在父/根隔间上设置的隔间资源配额覆盖在孩子隔间上设置的任何隔间资源配额。以这种方式,父隔间的管理员可以在孩子隔间上创建不能被孩子隔间覆盖的配额。
根据实施例,配额可以具有不同范围,并且在可用性域、区域或全局范围内起作用。当用隔间配额工作时,需要了解有关范围的几个重要事项。当在可用性域(AD)级别设置配额时,配额被分配给每个AD。因此,例如,在隔间上设置2个X7 VM的配额实际上设置了每个AD 2个VM的限制。可以按以特定AD为目标的方式编写配额。同样,区域性配额可以适用于每个区域。例如,如果在隔间上设置了10个功能的配额,那么每个区域将分配10个功能。为了以特定区域为目标,配额可以使用区域参数。
根据实施例,由于隔间配额的分层性质,(例如,资源的)使用情况、子隔间的资源使用情况算作针对主隔间的资源使用情况。即,例如,在三级隔间嵌套中(父隔间、孩子隔间、孙隔间),其中每个隔间和子隔间都具有附连到其的隔间配额策略,孙隔间的任何资源使用情况都计入孩子隔间以及父隔间的隔间配额。
根据实施例,例如,假定隔间资源配额682指定,在隔间范围内,隔间660只能使用10个类型X的虚拟机。在创建子隔间670时,子隔间资源配额684指定,在子隔间范围内,子隔间670只能使用8个类型X的虚拟机。于是,如果子隔间670使用其最大容量的类型X的虚拟机(即,8个),那么隔间660及其任何其它子隔间(例如,图中未示出的子隔间)只能使用附加的2个类型X的虚拟机。上述示例以类似的方式附加地适用于租赁资源配额680(即,服务限制)。
根据实施例,隔间配额可以遵循这些指南进行评估。在策略内,配额语句可以按次序进行评估,后面的语句可以取代以同一资源为目标的前面的语句。如果为同一资源设置了多于一个策略,那么可以应用最严格的策略。服务限制总是优先于配额。虽然有可能为资源指定超出针对那个资源的服务限制的配额,但仍将实行服务限制。
图7示出了根据实施例的用于在云基础设施环境中支持隔间配额的系统。
更具体而言,图7示出了在区域内创建/修改/删除隔间配额之后将隔间配额复制到不同区域。
根据实施例,如上所述,以上在图1中描述的云基础设施环境700的实例可以托管在不同区域中,诸如云基础设施区域720、730、740、750。如上所述,这些可以经由控制台703、SDK或API由客户网络701经由诸如互联网之类的网络702来访问。
根据实施例,客户网络701可以包括例如单个计算机、客户计算机网络或其它此类网络。
根据实施例,虽然图中未示出,但每个云基础设施区域可以包括多个服务,每个服务包括多个资源,诸如管理服务、计算服务、存储服务、边缘服务、网络服务和物理基础设施。
根据实施例,云基础设施可以托管在区域和可用性域中。区域可以是本地化的地理地区,并且可用性域可以是位于区域内的一个或多个数据中心。区域由一个或多个可用性域组成。大多数云基础设施资源可以或者是特定于区域的,诸如虚拟云网络,或者是特定于可用性域的,诸如计算实例。可用性域之间和区域之间的流量被加密。
根据实施例,可用性域彼此隔离、容错并且不太可能同时发生故障。因为可用性域不共享基础设施(诸如电源或冷却系统)或内部可用性域网络,所以区域内的一个可用性域的故障不太可能影响同一区域内其它可用性域的可用性。
根据实施例,同一区域内的可用性域可以通过低时延、高带宽网络彼此连接,该网络可以提供到互联网和本地部署的高可用性连接性,并在多个可用性域中构建复制的系统以用于高可用性和灾难恢复。
根据实施例,区域独立于其它区域并且可以在地理上分离(例如,跨国家或大陆)。然后,这导致将应用部署在最有可能最常使用该应用的区域内。
但是,根据实施例,应用也可以出于各种原因部署在不同的区域中。例如,这可以包括当诸如天气系统之类的事件使某个区域离线时风险减轻。此外,出于战略原因,诸如税收域或其它商业或社会准则,应用可以部署在其它区域中。
根据实施例,隔间允许客户端组织和控制对云资源的访问。隔间是只能由被管理员给予许可的特定组访问的相关资源(诸如实例、虚拟云网络、块卷)的集合。隔间可以被认为是逻辑组,而不是物理容器。当在控制台内工作时,隔间可以充当允许被查看的内容的过滤器。
根据实施例,隔间可以具有以分层方式布置的若干层或级别。例如,可以将租赁705视为保持客户端的所有云资源的根隔间。隔间可以以分层方式组织,例如隔间760是租赁隔间下面的一级,而子隔间770是隔间760下面的附加层。根据实施例,每个隔间可以与一个或多个隔间资源配额(诸如租赁资源配额780(即,上面讨论的服务限制)、隔间资源配额782和子隔间资源配额784)相关联。
根据实施例,在创建隔间或子隔间(诸如隔间760和子隔间770)期间、当时或之后,可以经由例如控制台703生成每个对应的隔间资源配额。
根据实施例,由于隔间的分层性质,隔间资源配额集可以设置在根/基本级隔间上。(具有足以在根隔间内管理和创建资源配额的访问级别的)管理员可以在根隔间以及任何嵌套的或“孩子”隔间上设置配额。在父/根隔间上设置的隔间资源配额覆盖在孩子隔间上设置的任何隔间资源配额。以这种方式,父隔间的管理员可以在孩子隔间上创建不能被孩子隔间覆盖的配额。
根据实施例,配额可以具有不同范围,并且在可用性域、区域或全局范围内起作用。当用隔间配额工作时,需要了解有关范围的几个重要事项。当在可用性域(AD)级别设置配额时,配额被分配给每个AD。因此,例如,在隔间上设置2个X7 VM的配额实际上设置了每个AD 2个VM的限制。可以按以特定AD为目标的方式编写配额。同样,区域性配额可以适用于每个区域。例如,如果在隔间上设置了10个功能的配额,那么每个区域将分配10个功能。为了以特定区域为目标,配额可以使用区域参数。
根据实施例,由于隔间配额的分层性质,(例如,资源的)使用情况、子隔间的资源使用情况算作针对主隔间的资源使用情况。即,例如,在三级隔间嵌套中(父隔间、孩子隔间、孙隔间),其中每个隔间和子隔间都具有附连到其的隔间配额策略,孙隔间的任何资源使用情况都计入孩子隔间以及父隔间的隔间配额。
根据实施例,配额可以在单个区域中被集中管理并在全局范围内被复制。这减少了管理配额所需的努力。例如,在查看图7时,最初可以在区域720内定义子隔间资源配额784和隔间资源配额782。在创建后,资源配额782和784中的每一个都可以被复制到区域730、740和750中。这种复制可以是将配额策略全局复制到每个数据中心中的配额数据平面的异步过程。
根据实施例,隔间配额提供完全关闭单个服务的能力。此外,还提供了用于在资源隔间的层次结构上计算资源使用情况的算法。配额可以由几个主要组件组成:配额用户接口;配额控制平面;配额数据平面;以及配额客户端SDK。
根据实施例,管理员可以通过用户接口管理隔间配额策略,该用户接口在后台调用存储策略的配额控制平面。异步过程将数据全局复制到每个数据中心中的配额数据平面。其它云服务与客户端SDK集成,该客户端SDK可以从服务的持久存储层获取使用情况数据并从配额数据平面获取配额值。然后它决定是否允许资源创建。
根据实施例,可以设置多个条件以便发起隔间配额。这些包括但不限于:创建/更新/删除/列出隔间级别的资源配额;查看隔间资源使用情况;可以全局设置隔间配额以应用于所有区域/AD;特定于区域/AD的隔间配额可以被设置并覆盖全局定义的配额;隔间配额可以与现有的服务配额对应(如果适用);可以有可能通过控制台设置和查看隔间配额;可以由每个相应控制平面严格实行配额;基于当前资源计数或父隔间值设置配额不应当失败;与核心服务计算、DBaaS(数据库即服务)和块存储集成;对于get/list操作实现强读后写一致性;为无法参与(onboard)的团队免费实行零配额的能力;经由策略的声明性配额声明;以及定义隔间配额以充当白名单或者黑名单(即,拒绝没有由配额设置的所有内容或允许所有内容)。
根据实施例,可以扩展控制平面以支持隔间资源限制。
图8是根据实施例的用于创建隔间配额的方法的流程图。
根据实施例,控制台800在接收到指示租户交互的用户创建隔间配额的指令时,控制台可以经由API调用(例如,在租户的家庭区域内的)限制控制平面805以创建隔间配额。
根据实施例,调用可以包括隔间配额所涉及的隔间ID。
根据实施例,限制控制平面805可以与(例如,在租户的家庭区域内的)身份数据平面810通信。通信可以包括目标隔间的隔间ID,并且限制控制平面可以请求与作为目标的隔间相关联的租户。身份控制平面可以返回租户。
根据实施例,在接收到租户时,限制控制平面然后可以查看创建隔间配额的请求是否被充分授权(例如,租户的用户具有足够的许可以在作为目标的隔间上实例化这种隔间配额)。限制控制平面可以通过再次与身份控制平面通信来做到这一点。
根据实施例,在确定请求被授权时,限制控制平面可以在数据库815(例如,Kiev)内(例如,在租户的家庭区域内)创建配额实体。然后可以将隔间配额的成功创建返回到控制台。
根据实施例,数据库815可以被配置为存储并且可以存储与租户(或多个租户)相关联的所有配额。即,例如,(适用于整个租赁的)服务级别限制以及多个隔间级别配额中的每一个都可以存储在一个数据库(例如,Kiev)中,其中一个租户拥有完整的限制。
图9是根据实施例的用于修改隔间配额的方法的流程图。
根据实施例,控制台900在接收到指示租户交互的用户获取、更新或删除隔间配额的指令时,控制台可以调用数据库915以通过请求内包含的配额ID获得所请求的作为目标的隔间配额。
根据实施例,调用可以包括配额的获取/更新/删除操作所涉及的配额ID。
根据实施例,限制控制平面905可以与(例如,在租户的家庭区域内的)身份数据平面910通信。通信可以包括目标隔间的隔间ID,并且限制控制平面可以请求与作为目标的隔间相关联的租户。身份控制平面可以返回租户。
根据实施例,在接收到租户时,限制控制平面然后可以查看创建隔间配额的请求是否被充分授权(例如,租户的用户具有足够的许可在作为目标的隔间上实例化这种隔间配额)。限制控制平面可以通过再次与身份控制平面通信来做到这一点。
根据实施例,在确定请求被授权时,限制控制平面可以在数据库915(例如,Kiev)内(例如,在租户的家庭区域内)获取/更新/删除隔间配额。然后可以将隔间配额的成功创建返回到控制台。
根据实施例,数据库815可以被配置为存储并且可以存储与租户(或多个租户)相关联的所有配额。即,例如,(适用于整个租赁的)服务级别限制以及多个隔间级别配额中的每一个都可以存储在一个数据库(例如,Kiev)中,其中一个租户拥有完整的限制。
图10示出了根据实施例的用于在云基础设施环境中实行隔间配额的系统的体系架构。
根据实施例,图10示出了用户启动要求针对一个或多个隔间资源配额进行检查的实例的体系架构流程。
根据实施例,在步骤1处,可以从例如用户1001接收指令。指令可以指示在区域1000中启动实例的请求,其中请求指定区域内的隔间。
根据实施例,在步骤2处,负载平衡器1020(例如,Flamingo)可以将请求转发到API,诸如公共API代理。
根据实施例,在步骤3处,API可以在身份数据平面1035处执行认证。这种认证步骤可以检查用户是否具有正确的凭证(例如,用户凭证,诸如用户名和密码、一次性密码或其它认证方法),以及用户1001在区域内是否具有足够的授权以在作为目标的隔间内执行所请求的实例启动。例如,如果用户1001没有足够的授权在作为目标的隔间处启动实例(例如,用户1001仅具有在作为目标的隔间的孩子隔间处启动类似实例的授权),那么API 1025可以拒绝请求。如果用户确实有足够的授权,那么API可以允许请求继续进行。
根据实施例,在步骤4处,启动实例的请求可以被转发到计算控制板(CCP)1030。然后,CCP可以在步骤5处在身份数据平面处附加地认证请求。
根据实施例,在步骤6处,计算控制平面可以调用身份数据平面1035以获取与请求所针对的隔间相关联的隔间树,或请求所涉及的整个租赁的隔间树。
根据实施例,在步骤7处,计算控制平面可以从限制服务数据平面1040获取用于租赁或隔间树的所有隔间配额,该限制服务数据平面1040包括隔间配额图1041。这可以包括请求所涉及的特定隔间的多个隔间配额,以及特定隔间上方整个树的隔间配额。
根据实施例,在步骤8处,计算控制平面可以从数据库1045获取隔间的资源使用情况,以及沿着包括请求所涉及的特定隔间的树进行检查以查看所请求的使用情况是否会违反任何隔间的任何隔间配额。如果所请求的使用情况没有违反任何隔间配额,那么可以处理该请求。如果所请求的使用情况会违反沿着隔间树的任何隔间配额,那么可以丢弃该请求且并发送消息以通知用户。
根据实施例,隔间配额被应用于租赁内的特定隔间。当获取隔间树以及所有相关联的隔间配额时,CCP可以获取使用情况并基于请求更新使用情况。作为步骤8的一部分,CCP可以从数据库中获取每个隔间中的实际使用情况。对于整个隔间租赁,CCP可以将每个隔间ID映射到多个计数(使用情况)。然后CCP可以映射整个隔间树布局和存在的配额。然后,CCP可以确保新请求不违反任何配额。如果请求超出配额,CCP可以使该请求失败。
图11是根据实施例的在云基础设施环境中支持隔间配额的方法的流程图。
根据实施例,在步骤1110处,该方法可以提供包括一个或多个微处理器的计算机。
根据实施例,在步骤1120处,该方法可以在计算机处提供云基础设施环境,该云基础设施环境包括多个区域,其中在多个区域内定义租赁。
根据实施例,在步骤1130处,该方法可以提供租赁的多个隔间。
根据实施例,在步骤1140处,该方法可以在云基础设施环境内提供限制服务数据平面,该限制服务数据平面可以访问存储多个隔间资源配额的数据库。
根据实施例,在步骤1150处,该方法可以将多个隔间资源配额中的隔间资源配额与多个隔间中的隔间相关联,隔间资源配额限制隔间内的至少一种类型的资源。
根据实施例,在步骤1160处,该方法可以接收对要在隔间中供应的资源的请求,所请求的资源是受资源配额限制的类型的资源。
根据实施例,在步骤1170处,该方法可以确定所请求资源的供应是否将违反隔间资源配额。
根据实施例,在步骤1180处,该方法可以基于确定隔间资源配额将不被违反来供应所请求的资源。
根据实施例,在步骤1190处,该方法可以基于确定隔间资源配额将被违反来提供对该请求的反对。
配额策略语言
根据实施例,如上所述,云基础设施环境可以为客户提供在隔间上设置资源配额的能力。配额的作用类似于现有的服务限制,除了它们是由客户设置的以限制他们自己的使用,而不是由云基础设施环境设置。服务团队可以在其控制平面中检查这些配额,并硬阻止超过配额的请求。配额可以从限制服务存储和访问,并由客户端通过控制台或REST API设置。此外,云基础设施环境可以支持声明性、人类可读的配额策略语言,以用于创建此类隔间配额。
根据实施例,可以以与编写例如身份策略相似的方式设置隔间资源配额。两者都存在于隔间中并且可以被编写为以不同隔间为目标。资源配额也可以与可以应用的条件集合(诸如例如区域、可用性域和重叠)相关联。
根据实施例,可以通过设置语句语法来配置资源配额。为了设置配额,配额可以建立多个因素。每个配额在服务系列(例如,计算)内可以是唯一的,因此,每个配额可以定义目标服务以及配额名称。接下来,配额可以定义将配额设置为的值,以及配额所针对的隔间。最后,存在可以被包括的条件的集合以确定何时应用这个配额。
根据实施例,隔间配额策略可以使用表达性人类可读的策略语言来编写。策略语言允许丰富的表达能力,包括通过语句覆盖将资源使用情况列入白名单或黑名单的能力。白名单允许创建所有资源,但明确被拒绝的资源除外。黑名单不允许创建资源,但明确被允许的资源除外。
根据实施例,可以使用以简单的声明性语言编写的策略语句来设置隔间配额。一般而言,存在三种类型的配额策略语句:1)设置(set)-设置可以用于隔间的云资源的最大数量;2)取消设置(unset)-将配额重置回默认服务限制;以及3)清零(zero)-移除对用于隔间的云资源的访问。
图12a、图12b和图12c是根据实施例的示例隔间配额策略语句。
图12a示出了根据实施例的设置配额策略。
图12b示出了根据实施例的取消设置配额策略。
图12c示出了根据实施例的清零配额策略。
根据实施例,用于每个配额策略语句的语言组成部分包括以下组成部分:1)动作关键字-动作关键字可以与被定义的配额的类型对应。例如,这可以是set、unset或zero;2)服务系列的名称。例如,这可以是:compute;3)配额或配额关键字;4)配额的名称,其随服务系列而变化。例如,计算系列中的有效配额可以是“vm-standard2-16-count”。此外,通配符可以用于指定名称范围。例如,“/vm-*/”与以字母“vm”开头的所有计算形状匹配;5)设置配额的值的“for”设置语句;6)以及配额覆盖的隔间;7)还可以提供可选条件。例如whererequest.region='us-phoenix-1’。此类条件可以包括request.region和request.ad。
图13图示了根据实施例的配额策略语句的示例。
根据实施例,图13的语句是设置(set)1301语句,其应用于系列1302。配额1303应用于名称1304(例如,资源),该配额将值1306设置为1305。配额可以在1307中应用位置1308,然后条件1309也可以被设置。
根据实施例,以下提供一些示例性配额策略语句,以下提供的是一些示例连同每个配额策略的解释。
根据实施例,配额策略:
Set compute quotas to 0in compartment My Compartment
根据实施例,以上配额策略将在“MyCompartment”中将所有计算配额设置为0,从而不允许创建任何进一步的资源。
根据实施例,配额策略:
Set block-storage quota‘volume-count’to 10in compartment MyCompartment
根据实施例,以上配额策略将在“MyCompartment”中将用于卷计数的块存储配额设置为10。
根据实施例,配额策略:
Set compute quota‘VM.Dense101.16’to 10in compartment MyCompartmentwhere request.region=‘phx’
根据实施例,以上配额策略将在PHX中的隔间MyCompartment上将用于VM.DenseIO1.16计算形状的配额设置为10。
根据实施例,配额策略:
Set compute quota/VM.*/to 10in compartment MyCompartment
根据实施例,通配符表达式也可以被用于一次匹配许多名称。以上配额策略将用于每个VM形状的配额设置为10,而不是将组合配额设置为10。
根据实施例,配额策略格式可以要求配额系列的规范连同可选的名称或名称的列表。
根据实施例,配额位置1008可以包括配额应用到的目标隔间。这常常与配额所在的隔间不同并且可以是它的后代。位置也可以是等同于指定根隔间的“租赁”。
根据实施例,配额策略语句的另一个示例是清零语句。图14图示了根据实施例的配额策略语句的示例。
根据实施例,图14的语句是清零(zero)1401语句,其应用于系列1402。配额1403应用于名称1404(例如,资源)。零配额在1405中应用位置1406,然后条件1407也可以被设置。
根据实施例,以下提供一些示例性配额策略语句,以下提供一些示例连同每个配额策略的解释。
根据实施例,配额策略:
Zero compute quota‘VMStandard2.32’in compartment MyCompartment
根据实施例,以上配额策略语句适用于MyCompartment中的VM标准2.32实例类型。一旦设置了这个配额,用户将无法在那个隔间中启动这些实例中的任何一个(例如,VM标准2.32)。
根据实施例,配额策略语言可以附加地支持白名单。换句话说,将系列中的每个配额设置为0并在此之上明确分配资源。这可以通过建立简单的语句优先规则来实现,即-当两个或更多个语句在同一策略内评估为真时,集合中的最后一个语句将支配。
根据实施例,考虑以下两个配额策略以查看优先关系如何工作以支持白名单。
Zero compute quotas in tenancy Set compute quota'VM.DenseIO1.16'to10in tenancy
根据实施例,可以编写将所有计算配额减少到0的基本语句。在此之上,可以为VM.DenseIO1.16编写第二语句,它希望允许最多到10。重要的是,这个覆盖仅适用于在同一策略中编写的语句。来自不同策略的语句之间不存在优先关系,它们都必须被满足。这使得孩子隔间管理员不可能覆盖父隔间中的配额。管理员可以安全地让孩子隔间管理员在孩子隔间上“管理所有资源”并维持适当的配额。孩子隔间管理员只能进一步减少父隔间内已经存在的配额。
根据实施例,配额策略语句的另一个示例是取消设置语句。图15图示了根据实施例的配额策略语句的示例。
根据实施例,图15的语句是取消设置(unset)1501语句,其应用于系列1502。配额1503针对名称1504(例如,资源)在1505位置1506中取消设置,并具有可选条件1507。
根据实施例,关于优先关系重新处理以上示例,可以取消设置第二配额策略,从而在VM DenseIO1.16上不存在配额。
Zero compute quotas in tenancy Unset compute quota'VM.DenseIO1.16'to10in tenancy
根据实施例,与前面的示例一样,取消设置跨不同的配额策略不起作用。
根据实施例,在每个服务的控制平面内,存在数据库事务保持打开的关键部分(例如,时间)。这个时间段扩展得越长,冲突和故障就会开始渐渐产生。为了最小化这种可能的问题,配额策略可以被考虑并在大约5毫秒的范围内应用。
根据实施例,如上所述,配额可以在隔间级别被实行。因此,可以附加地指定配额以对隔间内的附加实体(诸如用户、组和标签)设置配额。例如,考虑以下配额语句:
Set compute quota'VM.DenseIO1.16'to 20in tenancy where request.user=ocid1.user.dev..aaaaaaaan4xh2xpvzcmabc5m7pd7ioaovc2ktt56fvbhfy77y4v
以上允许将配额部分地放在用户身上,但它并不确保用户将获得20个实例,因为配额在隔间上而不是在用户上。代替地,可以指定为用户设置配额的配额,而不管当前隔间的使用情况如何。
图16图示了根据实施例的配额策略语句的示例。
更具体而言,图16示出了附加地包括范围的配额策略语句。
根据实施例,图16的语句是设置(set)1601语句,其应用于系列1602。配额1603应用于名称1604(例如,资源),其配额设置为1605值1606。配额可以对1607范围1608应用,在1609位置1610中,其中1611条件1612也可以被设置。通过采取以上隔间配额并且使用图16的语句语言重写它,配额策略变为:
Set compute quota'VM.DenseIO1.16'to 10for user MyUser in tenancy
根据实施例,配额策略语言清楚地表达了这个配额应用于MyUser而不是隔间。这将是完全独立于隔间配额的配额,并且在创建资源时需要满足所有配额范围(上述配额策略以及任何隔间配额策略)。
图17图示了根据实施例的配额策略语句的示例。
更具体而言,图17示出了覆盖配额策略。
根据实施例,与隔间配额相关联的优先规则不允许一个策略中的语句覆盖来自不同策略的语句。这意味着为了实现白名单,系统和方法受到单个策略中的最大语句数量的限制。为了解决这个问题,可以使用显式覆盖语句。这个语句建立了一个策略相对于另一个策略的优先关系。这等同于将这些语句一起写成一个长策略的一部分。为了应用覆盖语句,策略必须位于同一个隔间中。
根据实施例,覆盖语句可以包括覆盖语句1700、覆盖1701、一个或多个其它配额1702、在1703策略1704中和名称1705。
根据实施例,考虑以下覆盖语句:
Override quotas in policy BasePolicy
根据实施例,以上覆盖语句提供这个策略中的任何语句将覆盖BasePolicy中的语句。注意的是,覆盖是可传递的。如果a覆盖b并且b覆盖c,那么a覆盖c。
图18是根据实施例的用于在云基础设施环境中支持配额策略语言的方法的流程图。
根据实施例,在步骤1810处,该方法可以提供包括一个或多个微处理器的计算机。
根据实施例,在步骤1820处,该方法可以提供包括多个区域的云基础设施环境,其中在多个区域内定义租赁。
根据实施例,在步骤1830处,该方法可以提供租赁的多个隔间。
根据实施例,在步骤1840处,该方法可以提供控制台接口,该控制台接口提供适于接收指示指令的输入。
根据实施例,在步骤1850处,该方法可以在云基础设施环境内提供限制服务数据平面,该限制服务数据平面可以访问存储多个隔间资源配额的数据库。
根据实施例,在步骤1860处,该方法可以将租赁的隔间与多个隔间配额中的隔间配额相关联。
根据实施例,在步骤1870处,该方法可以将配额策略配置为设置策略、取消设置策略或清零配额策略之一。
使用情况计算过程(算法)
根据实施例,系统和方法可以支持使用情况计算过程或算法以确定所请求的事务是否违反关于隔间的任何限制或配额。
根据实施例,使用情况计算方法可以提供用于评估配额或限制以及对每个隔间的资源计数的SDK。
根据实施例,该过程可以分布在云基础设施环境内的多个系统和子系统当中。
根据实施例,图10示出了用户启动实例的体系架构流程,该实例要求对照一个或多个隔间资源配额进行检查。
图19示出了根据实施例的用于在云基础设施环境中实行隔间配额的系统的体系架构。
根据实施例,在步骤1处,可以从例如用户1901接收指令。指令可以指示在区域1900中启动实例的请求,其中该请求指定区域内的隔间。
根据实施例,在步骤2处,负载平衡器1920(例如,Flamingo)可以将请求转发到API,诸如公共API代理。
根据实施例,在步骤3处,API可以在身份数据平面1935处执行认证。这种认证步骤可以检查用户是否具有正确的凭证(例如,用户凭证,诸如用户名和密码、一次性密码或其它认证方法),以及用户1901在区域内是否具有足够的授权以在作为目标的隔间内执行所请求的实例启动。例如,如果用户1901没有足够的授权以在作为目标的隔间处启动实例(例如,用户1901仅具有在作为目标的隔间的孩子隔间处启动类似实例的授权),那么API 1925可以拒绝请求。如果用户确实有足够的授权,那么API可以允许请求继续进行。
根据实施例,在步骤4处,启动实例的请求可以被转发到计算控制板(CCP)1930。然后,CCP可以在步骤5处在身份数据平面处附加地认证请求。
根据实施例,在步骤6处,计算控制平面可以调用身份数据平面1935以获取与请求所针对的隔间相关联的隔间树,或请求所涉及的整个租赁的隔间树。
根据实施例,在步骤7处,计算控制平面可以从限制服务数据平面1940获取用于租赁或隔间树的所有隔间配额,该限制服务数据平面1940包括隔间配额图1941。这可以包括请求所涉及的特定隔间的多个隔间配额,以及特定隔间上方整个树的隔间配额。
根据实施例,在步骤8处,计算控制平面可以计算谱系中每个隔间的总使用情况。这个总使用情况等于隔间的使用情况和在层次结构中递归向下的每个孩子隔间的总使用情况之和。
根据实施例,CCP 1930可以将每个限制/配额与那个隔间的总使用情况进行比较。如果违反了任何限制/配额,那么CCP可以返回指示预期资源将超过哪些配额和/或限制的反对。除了反对之外,CCP还可以返回预期资源将超过配额的量。
根据实施例,如果CCP确定预期资源将被允许,那么在步骤9处,可以在数据库1945处提交事务。
图20是根据实施例的用于在云基础设施环境中支持使用情况计算过程的方法的流程图。
根据实施例,在步骤2001处,该过程可以从例如身份数据平面获取隔间-树层次结构。这可以包括单个请求(例如,HTTP),其中返回的数据量随着隔间的数量线性增长。
根据实施例,在步骤2002处,该过程可以确定目标隔间(即,事务所针对的隔间)的谱系。谱系可以随着隔间树的高度线性增长。
根据实施例,在步骤2003处,该方法可以通过调用限制服务数据平面来获取在目标隔间上制定的配额策略/服务限制。在这样做时,该过程可以在单个限制服务数据平面请求内获取配额和服务限制请求两者。
根据实施例,在步骤2004处,可以开始数据库事务。
根据实施例,在步骤2005处,可以从数据库桶获取每个受影响的配额的资源计数。对于每个配额,该过程可以检查数据库中的对象以及用于该配额的整个租户使用情况数据。返回的数据可以随着该租户中使用该资源/配额的隔间数量线性增长。
根据实施例,在步骤2006处,该过程可以计算谱系中每个隔间的总使用情况。总使用情况可以是隔间的使用情况加上沿着树递归向下的所有孩子的总使用情况的汇总。这个操作相对于树中的隔间数量是线性的。该过程可以执行递归深度优先树遍历,其中计数出现在树上。
根据实施例,在步骤2007处,该过程可以将每个限制/配额与该隔间的总使用情况进行比较。如果违反了限制/配额,那么该过程可以返回指示违反了哪个配额或限制以及违反了多少的结果对象。
根据实施例,在步骤2008处,该过程可以将事务提交给数据库。
图21是根据实施例的用于在云基础设施环境中支持使用情况计算过程的方法的流程图。
根据实施例,在步骤2110处,该方法可以提供包括一个或多个微处理器的计算机。
根据实施例,在步骤2120处,该方法可以提供包括多个区域的云基础设施环境,其中在多个区域内定义租赁。
根据实施例,在步骤2130处,该方法可以提供租赁的隔间,该隔间属于多个隔间的树结构,其中该隔间与隔间配额策略相关联。
根据实施例,在步骤2140处,该方法可以接收所请求的事务,所请求的事务以隔间为目标。
根据实施例,在步骤2150处,该方法可以确定所请求的事务是否违反了隔间配额策略。
根据实施例,所请求的事务可以请求一种类型的资源。
根据实施例,在步骤2150处描述的确定可以包括附加步骤,包括:获取隔间-树层次结构,该隔间-树层次结构包括作为目标的隔间;确定作为目标的隔间的谱系;通过调用限制服务数据平面来获取在作为目标的隔间上制定的多个隔间配额,其中多个隔间配额包括隔间配额策略,并且其中多个隔间配额中的每一个属于隔间-树层次结构内的隔间;在数据库处启动所请求的事务;从数据库获取对多个隔间配额中的每一个的资源计数,每个资源计数包括所请求资源类型的计数;计算所确定的谱系中每个隔间的所请求资源类型的总使用情况,其中每个隔间的总使用情况包括隔间的使用情况和每个孩子隔间的总使用情况的汇总;以及将多个隔间配额中的每一个与每个隔间的总使用情况进行比较。
根据各种实施例,本文的教导可以使用一个或多个常规的通用或专用计算机、计算设备、机器或微处理器方便地实现,包括根据本公开的教导编程的一个或多个处理器、存储器和/或计算机可读存储介质。熟练的程序员可以基于本公开的教导容易地准备适当的软件编码,这对于软件领域的技术人员来说将是明显的。
在一些实施例中,本文的教导可以包括计算机程序产品,该计算机程序产品可以使用计算机可读介质(或多种介质)来传送(例如,存储或携带)指令,以供一个或多个可编程处理器或计算机执行本教导的任何过程。计算机可读介质的一个示例是具有存储在其上/其中的指令的非暂态计算机可读存储介质(多种介质),指令可以被用于对计算机进行编程以执行本教导的任何过程。此类存储介质的示例可以包括但不限于硬盘驱动器、硬盘、硬驱动器、固定盘或其它机电数据存储设备、软盘、光盘、DVD、CD-ROM、微驱动器和磁光盘、ROM、RAM、EPROM、EEPROM、DRAM、VRAM、闪存设备、磁卡或光卡、纳米系统或适于指令和/或数据的非临时存储的其它类型的存储介质或设备。计算机可读介质的另一个示例是在计算机系统之间或在给定计算机系统的组件之间传送此类指令的瞬态介质。瞬态介质的示例可以包括但不限于载波和传输信号。
因此,从一个角度来看,已经描述了支持云基础设施环境中的隔间配额的系统和方法。云管理员一般没有能力限制现有云中的资源使用情况。授予用户创建资源的许可允许他们创建多达预定义的账户限制的任何数量的资源。隔间配额允许管理员将用户的资源使用情况限制到适当的水平,从而允许精确调整的成本控制。
前述描述是为了说明和描述的目的而提供的。它并非旨在是详尽的或将保护范围限制到所公开的精确形式。对于本领域技术人员来说,许多修改和变化将是明显的。例如,虽然本文提供的示例中的若干示例说明了与企业软件应用组件(诸如Oracle融合应用);云环境(诸如Oracle云基础设施);以及云服务(诸如Oracle融合分析)一起使用;但是根据各种实施例,本文描述的系统和方法可以与其它类型的企业软件应用、云环境、云服务、云计算或其它计算环境一起使用。
选择和描述实施例是为了最好地解释本教导的原理及其实际应用,从而使本领域的其他技术人员能够理解各种实施例以及适于预期的特定用途的各种修改。旨在由以下权利要求及其等同物定义范围。
Claims (17)
1.一种用于支持云基础设施环境中的配额策略语言的系统,包括:
计算机,包括一个或多个微处理器;
云基础设施环境,包括多个地理区域,其中在所述多个地理区域内定义租赁;
所述租赁的多个隔间;
控制台接口,适于接收指示指令的输入;
云基础设施环境内的限制服务数据平面,限制服务数据平面能够访问存储多个隔间资源配额策略的数据库,
其中租赁的所述多个隔间中的隔间与所述多个隔间配额策略中的隔间配额策略相关联,其中所述隔间跨越所述多个地理区域中的每个地理区域,其中所述隔间配额策略跨所述多个地理区域中的每个地理区域应用在所述隔间内,并且其中所述隔间配额策略包括人类可读的格式;
其中隔间配额策略是设置策略、取消设置策略或清零配额策略之一;
其中在所述控制台接口接收到修改所述隔间配额策略的指令,所述指令包括人类可读的格式;以及
其中在接收到修改所述隔间配额策略的指令后,地区范围条件被应用到所述隔间配额策略,以使得所述隔间配额策略在所述多个地理区域中的至少一个地理区域中被排除在所述隔间内实施,同时在除了所述多个地理区域中的所述至少一个地理区域之外的所有地理区域中实施所述隔间配额策略,其中在所述地区范围应用于所述隔间配额策略之后,所述隔间仍然是所述租赁的一个隔间。
2.如权利要求1所述的系统,
其中隔间配额策略定义隔间配额策略所针对的资源系列。
3.如权利要求2所述的系统,
其中隔间配额策略是设置策略;以及
其中隔间配额策略设置隔间配额策略所针对的资源系列的上限阈值。
4.如权利要求2所述的系统,
其中隔间配额策略是取消设置策略;以及
其中隔间配额策略取消设置对隔间配额策略所针对的资源系列先前设置的上限阈值。
5.如权利要求2所述的系统,
其中隔间配额策略是清零配额;以及
其中隔间配额策略移除对隔间配额策略所针对的资源系列的访问。
6.如权利要求2至5中的任一项所述的系统,其中隔间配额策略还包括至少一个条件。
7.一种用于支持云基础设施环境中的配额策略语言的方法,包括:
提供包括一个或多个微处理器的计算机;
提供包括多个地理区域的云基础设施环境,其中在所述多个地理区域内定义租赁;
提供所述租赁的多个隔间;
提供适于接收指示指令的输入的控制台接口;
在云基础设施环境内提供限制服务数据平面,限制服务数据平面能够访问存储多个隔间资源配额策略的数据库,
将租赁的所述多个隔间中的隔间与所述多个隔间配额策略中的隔间配额策略相关联,其中所述隔间跨越所述多个地理区域中的每个地理区域,其中所述隔间配额策略跨所述多个地理区域中的每个地理区域应用在所述隔间内,并且其中所述隔间配额策略包括人类可读的格式;
将配额策略配置为设置策略、取消设置策略或清零配额策略之一;
在所述控制台接口接收修改所述隔间配额策略的指令,所述指令包括人类可读的格式;以及
在接收到修改所述隔间配额策略的指令后,将地区范围条件应用到所述隔间配额策略,以使得所述隔间配额策略在所述多个地理区域中的至少一个地理区域中被排除在所述隔间内实施,同时在除了所述多个地理区域中的所述至少一个地理区域之外的所有地理区域中实施所述隔间配额策略,其中在所述地区范围应用于所述隔间配额策略之后,所述隔间仍然是所述租赁的一个隔间。
8.如权利要求7所述的方法,
其中隔间配额策略定义隔间配额策略所针对的资源系列。
9.如权利要求8所述的方法,
其中隔间配额策略是设置策略;以及
其中隔间配额策略设置隔间配额策略所针对的资源系列的上限阈值。
10.如权利要求8所述的方法,
其中隔间配额策略是取消设置策略;以及
其中隔间配额策略取消设置对隔间配额策略所针对的资源系列先前设置的上限阈值。
11.如权利要求8所述的方法,
其中隔间配额策略是清零配额;以及
其中隔间配额策略移除对隔间配额策略所针对的资源系列的访问。
12.如权利要求8至11中的任一项所述的方法,其中隔间配额策略还包括至少一个条件。
13.一种其上具有用于支持云基础设施环境中的配额策略语言的指令的计算机可读介质,所述指令在被计算机读取和执行时使所述计算机执行包括以下各项的步骤:
提供包括一个或多个微处理器的计算机;
提供包括多个地理区域的云基础设施环境,其中在所述多个地理区域内定义租赁;
提供租赁的多个隔间;
提供适于接收指示指令的输入的控制台接口;
在云基础设施环境内提供限制服务数据平面,限制服务数据平面能够访问存储多个隔间资源配额策略的数据库,
将租赁的所述多个隔间中的隔间与所述多个隔间配额策略中的隔间配额策略相关联,其中所述隔间跨越所述多个地理区域中的每个地理区域,其中所述隔间配额策略跨所述多个地理区域中的每个地理区域应用在所述隔间内,并且其中所述隔间配额策略包括人类可读的格式;
将配额策略配置为设置策略、取消设置策略或清零配额策略之一;
在所述控制台接口接收修改所述隔间配额策略的指令,所述指令包括人类可读的格式;以及
在接收到修改所述隔间配额策略的指令后,将地区范围条件应用到所述隔间配额策略,以使得所述隔间配额策略在所述多个地理区域中的至少一个地理区域中被排除在所述隔间内实施,同时在除了所述多个地理区域中的所述至少一个地理区域之外的所有地理区域中实施所述隔间配额策略,其中在所述地区范围应用于所述隔间配额策略之后,所述隔间仍然是所述租赁的一个隔间。
14.如权利要求13所述的介质,
其中隔间配额策略定义隔间配额策略所针对的资源系列。
15.如权利要求14所述的介质,
其中隔间配额策略是设置策略;以及
其中隔间配额策略设置隔间配额策略所针对的资源系列的上限阈值。
16.如权利要求14所述的介质,
其中隔间配额策略是取消设置策略;以及
其中隔间配额策略取消对隔间配额策略所针对的资源系列先前设置的上限阈值。
17.如权利要求14所述的介质,
其中隔间配额策略是清零配额;以及
其中隔间配额策略移除对隔间配额策略所针对的资源系列的访问。
Applications Claiming Priority (13)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962884994P | 2019-08-09 | 2019-08-09 | |
| US201962884998P | 2019-08-09 | 2019-08-09 | |
| US201962884936P | 2019-08-09 | 2019-08-09 | |
| US62/884,936 | 2019-08-09 | ||
| US62/884,994 | 2019-08-09 | ||
| US62/884,998 | 2019-08-09 | ||
| US16/986,164 US11558312B2 (en) | 2019-08-09 | 2020-08-05 | System and method for supporting a usage calculation process in a cloud infrastructure environment |
| US16/986,164 | 2020-08-05 | ||
| US16/986,162 | 2020-08-05 | ||
| US16/986,162 US11646975B2 (en) | 2019-08-09 | 2020-08-05 | System and method for compartment quotas in a cloud infrastructure environment |
| US16/986,163 US20210042165A1 (en) | 2019-08-09 | 2020-08-05 | System and method for supporting a quota policy language in a cloud infrastructure environment |
| US16/986,163 | 2020-08-05 | ||
| PCT/US2020/045516 WO2021030221A1 (en) | 2019-08-09 | 2020-08-07 | System and method for supporting a quota policy language in a cloud infrastructure environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114514507A CN114514507A (zh) | 2022-05-17 |
| CN114514507B true CN114514507B (zh) | 2024-03-01 |
Family
ID=74498166
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080066708.0A Pending CN114514509A (zh) | 2019-08-09 | 2020-08-07 | 云基础设施环境中用于隔间配额的系统和方法 |
| CN202080066710.8A Active CN114514507B (zh) | 2019-08-09 | 2020-08-07 | 在云基础设施环境中支持配额策略语言的系统和方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080066708.0A Pending CN114514509A (zh) | 2019-08-09 | 2020-08-07 | 云基础设施环境中用于隔间配额的系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (4) | US11646975B2 (zh) |
| EP (2) | EP4010800A1 (zh) |
| JP (2) | JP2022544256A (zh) |
| CN (2) | CN114514509A (zh) |
| WO (2) | WO2021030221A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11646975B2 (en) | 2019-08-09 | 2023-05-09 | Oracle International Corporation | System and method for compartment quotas in a cloud infrastructure environment |
| US11397621B2 (en) * | 2019-08-30 | 2022-07-26 | Oracle International Corporation | System and method for service limit increase for a multi-tenant cloud infrastructure environment |
| US11695559B2 (en) * | 2019-09-30 | 2023-07-04 | Salesforce, Inc. | Nested tenancy that permits a hierarchy having a plurality of levels |
| US11895102B2 (en) * | 2020-03-19 | 2024-02-06 | Nutanix, Inc. | Identity management |
| US20220100749A1 (en) * | 2020-09-25 | 2022-03-31 | Oracle International Corporation | System and method for use of a fragmented query model in an analytic applications environment |
| CN112884382B (zh) * | 2021-04-14 | 2023-07-25 | 北京百度网讯科技有限公司 | 云平台的资源配额管理方法、装置、设备以及存储介质 |
| US11470182B1 (en) * | 2021-10-04 | 2022-10-11 | Monday.com Ltd. | Multi-region cloud architecture |
| WO2023225986A1 (en) * | 2022-05-27 | 2023-11-30 | Microsoft Technology Licensing, Llc | Cloud resources allocation optimization |
| US20240111603A1 (en) * | 2022-09-30 | 2024-04-04 | Amazon Technologies, Inc. | Customer-initiated virtual machine resource allocation sharing |
| KR102656839B1 (ko) * | 2023-01-18 | 2024-04-12 | 주식회사 신세계아이앤씨 | 워크플로우 기반의 클라우드 인프라 자원 통합 신청 서비스 제공방법 및 시스템 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103563294A (zh) * | 2011-06-30 | 2014-02-05 | 国际商业机器公司 | 用于云计算平台安全性的认证和授权方法 |
| CN108829352A (zh) * | 2018-06-06 | 2018-11-16 | 郑州云海信息技术有限公司 | 一种分布式存储系统的用户配额方法及系统 |
Family Cites Families (72)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7406694B2 (en) | 2003-06-20 | 2008-07-29 | Microsoft Corporation | Method and system for tracking kernel resource usage |
| US7421560B2 (en) | 2004-11-30 | 2008-09-02 | Microsoft Corporation | Method and system of computing quota usage |
| US8429630B2 (en) | 2005-09-15 | 2013-04-23 | Ca, Inc. | Globally distributed utility computing cloud |
| US7783666B1 (en) | 2007-09-26 | 2010-08-24 | Netapp, Inc. | Controlling access to storage resources by using access pattern based quotas |
| US8046378B1 (en) | 2007-09-26 | 2011-10-25 | Network Appliance, Inc. | Universal quota entry identification |
| US8001122B2 (en) | 2007-12-12 | 2011-08-16 | Sun Microsystems, Inc. | Relating similar terms for information retrieval |
| US8972978B2 (en) | 2008-05-02 | 2015-03-03 | Skytap | Multitenant hosted virtual machine infrastructure |
| US8424059B2 (en) | 2008-09-22 | 2013-04-16 | International Business Machines Corporation | Calculating multi-tenancy resource requirements and automated tenant dynamic placement in a multi-tenant shared environment |
| JP5439607B2 (ja) | 2010-09-14 | 2014-03-12 | 株式会社日立製作所 | サーバ装置及びサーバ装置の制御方法 |
| US8661120B2 (en) | 2010-09-21 | 2014-02-25 | Amazon Technologies, Inc. | Methods and systems for dynamically managing requests for computing capacity |
| JP5787640B2 (ja) | 2011-06-24 | 2015-09-30 | キヤノン株式会社 | 認証システムおよび認証方法およびプログラム |
| US20130074091A1 (en) | 2011-09-20 | 2013-03-21 | Cloudbyte, Inc. | Techniques for ensuring resources achieve performance metrics in a multi-tenant storage controller |
| US8924361B2 (en) | 2011-10-21 | 2014-12-30 | Salesforce.Com, Inc. | Monitoring entitlement usage in an on-demand system |
| US9058198B2 (en) | 2012-02-29 | 2015-06-16 | Red Hat Inc. | System resource sharing in a multi-tenant platform-as-a-service environment in a cloud computing system |
| US9531607B1 (en) | 2012-06-20 | 2016-12-27 | Amazon Technologies, Inc. | Resource manager |
| US9003477B2 (en) | 2012-06-27 | 2015-04-07 | Microsoft Technology Licensing, Llc | Model for managing hosted resources using logical scopes |
| US8938775B1 (en) | 2012-06-27 | 2015-01-20 | Amazon Technologies, Inc. | Dynamic data loss prevention in a multi-tenant environment |
| US9294507B1 (en) | 2012-06-27 | 2016-03-22 | Amazon Technologies, Inc. | Techniques for data security in a multi-tenant environment |
| US9112777B1 (en) | 2012-10-02 | 2015-08-18 | Amazon Technologies, Inc. | Tag-based resource configuration control |
| US9128745B2 (en) | 2012-12-27 | 2015-09-08 | International Business Machines Corporation | Automatically managing the storage of a virtual machine |
| US9418121B2 (en) | 2013-03-12 | 2016-08-16 | Google Inc. | Search results for descriptive search queries |
| US9396030B2 (en) | 2013-03-13 | 2016-07-19 | Samsung Electronics Co., Ltd. | Quota-based adaptive resource balancing in a scalable heap allocator for multithreaded applications |
| US9027087B2 (en) | 2013-03-14 | 2015-05-05 | Rackspace Us, Inc. | Method and system for identity-based authentication of virtual machines |
| US20140282520A1 (en) | 2013-03-15 | 2014-09-18 | Navin Sabharwal | Provisioning virtual machines on a physical infrastructure |
| US9519653B2 (en) | 2013-04-01 | 2016-12-13 | Ctera Networks, Ltd. | Techniques for efficiently enforcing resource quotas in a multi-tenant cloud storage system |
| US20140359113A1 (en) * | 2013-05-30 | 2014-12-04 | Sap Ag | Application level based resource management in multi-tenant applications |
| US20150067128A1 (en) | 2013-08-27 | 2015-03-05 | Connectloud, Inc. | Method and apparratus for dynamic determination of quotas for software defined cloud catalog services |
| US9405568B2 (en) * | 2013-09-13 | 2016-08-02 | Microsoft Technology Licensing, Llc | Multi-tenant network stack |
| US10110506B2 (en) | 2013-09-20 | 2018-10-23 | Oracle International Corporation | System and method for quota management in a cloud platform environment |
| US10476760B2 (en) * | 2013-10-30 | 2019-11-12 | Oracle International Corporation | System and method for placement logic in a cloud platform environment |
| CN104750558B (zh) | 2013-12-31 | 2018-07-03 | 伊姆西公司 | 在分层配额系统中管理资源分配的方法和装置 |
| US9990258B2 (en) | 2014-01-31 | 2018-06-05 | Hitachi, Ltd. | Management computer and management program |
| US9819626B1 (en) | 2014-03-28 | 2017-11-14 | Amazon Technologies, Inc. | Placement-dependent communication channels in distributed systems |
| US20150286505A1 (en) | 2014-04-03 | 2015-10-08 | Oracle International Corporation | Computing system resource provisioning |
| US10089476B1 (en) * | 2014-06-03 | 2018-10-02 | Amazon Technologies, Inc. | Compartments |
| US10516667B1 (en) | 2014-06-03 | 2019-12-24 | Amazon Technologies, Inc. | Hidden compartments |
| US9928111B2 (en) | 2014-06-23 | 2018-03-27 | Oracle International Corporation | System and method for configuration tagging in a multitenant application server environment |
| US20150372881A1 (en) | 2014-06-23 | 2015-12-24 | Synchronoss Technologies, Inc. | Apparatus, method and system for dynamic allocation of shared cloud-based resources |
| US9519595B1 (en) | 2014-06-27 | 2016-12-13 | Emc Corporation | Provisioning resource using quota |
| US10089676B1 (en) | 2014-11-11 | 2018-10-02 | Amazon Technologies, Inc. | Graph processing service component in a catalog service platform |
| US10565534B2 (en) | 2014-11-11 | 2020-02-18 | Amazon Technologies, Inc. | Constraints and constraint sharing in a catalog service platform |
| US20160132808A1 (en) | 2014-11-11 | 2016-05-12 | Amazon Technologies, Inc. | Portfolios and portfolio sharing in a catalog service platform |
| US9967196B2 (en) * | 2014-11-17 | 2018-05-08 | Software Ag | Systems and/or methods for resource use limitation in a cloud environment |
| CN105893138A (zh) | 2014-12-19 | 2016-08-24 | 伊姆西公司 | 基于配额的资源管理方法和装置 |
| US10225158B1 (en) | 2014-12-22 | 2019-03-05 | EMC IP Holding Company LLC | Policy based system management |
| US9832078B2 (en) | 2015-01-06 | 2017-11-28 | Netapp, Inc. | Stateless resource management |
| US11252190B1 (en) | 2015-04-23 | 2022-02-15 | Amazon Technologies, Inc. | Limited access policy bypass |
| CN107533484B (zh) | 2015-05-07 | 2021-03-02 | 华为技术有限公司 | 用于动态管理虚拟网络功能描述符的系统和方法 |
| US10032137B2 (en) * | 2015-08-31 | 2018-07-24 | Avaya Inc. | Communication systems for multi-source robot control |
| CN106528287B (zh) | 2015-09-09 | 2019-10-29 | 阿里巴巴集团控股有限公司 | 计算机系统资源分配方法和装置 |
| US9990232B2 (en) | 2015-10-06 | 2018-06-05 | Red Hat, Inc. | Quality of service tagging for computing jobs |
| US20170272541A1 (en) * | 2016-03-21 | 2017-09-21 | Linkedin Corporation | Local enforcement of computer resource quotas |
| US10242370B2 (en) | 2016-05-26 | 2019-03-26 | Cloudcolt Software Inc. | Enforcing compliance with administrative requirements relating to using computing resources |
| CN109478147B (zh) | 2016-07-13 | 2021-12-14 | 华为技术有限公司 | 分布式计算系统中的自适应资源管理 |
| US10404614B2 (en) * | 2016-11-21 | 2019-09-03 | Vmware, Inc. | Multi-cloud resource allocation |
| CN106506521B (zh) | 2016-11-28 | 2020-08-07 | 腾讯科技(深圳)有限公司 | 资源访问控制方法和装置 |
| US10659451B2 (en) | 2017-07-18 | 2020-05-19 | Bank Of America Corporation | System and method for injecting a tag into a computing resource |
| US10819652B2 (en) | 2018-07-02 | 2020-10-27 | Amazon Technologies, Inc. | Access management tags |
| US11061737B2 (en) | 2018-07-27 | 2021-07-13 | Vmware, Inc. | Methods, systems and apparatus for governance of virtual computing infrastructure resources |
| US11055128B2 (en) | 2018-07-30 | 2021-07-06 | Open Text GXS ULC | System and method for request isolation |
| CN110795230A (zh) | 2018-08-03 | 2020-02-14 | Emc Ip控股有限公司 | 用以支持统一的分布式实时配额限制的智能解决方案 |
| EP3874857A1 (en) | 2018-11-02 | 2021-09-08 | Nokia Solutions and Networks Oy | Methods and apparatuses for network slice minimum and maximum resource quotas |
| US20200294152A1 (en) | 2019-03-11 | 2020-09-17 | Intellectual Property Control Corporation | Method of Placing Insurance Coverage With Several Insurers |
| CN110032447B (zh) | 2019-04-11 | 2022-02-22 | 北京百度网讯科技有限公司 | 用于分配资源的方法和装置 |
| US10789098B1 (en) | 2019-06-04 | 2020-09-29 | Alibaba Group Holding Limited | Resource transfer operations |
| US11580234B2 (en) | 2019-06-29 | 2023-02-14 | Intel Corporation | Implicit integrity for cryptographic computing |
| US11646975B2 (en) | 2019-08-09 | 2023-05-09 | Oracle International Corporation | System and method for compartment quotas in a cloud infrastructure environment |
| US11689475B2 (en) | 2019-08-09 | 2023-06-27 | Oracle International Corporation | System and method for tag based resource limits or quotas in a cloud infrastructure environment |
| US11556539B2 (en) | 2019-09-16 | 2023-01-17 | Oracle International Corporation | Predicting and halting runaway queries |
| US11469943B2 (en) | 2019-12-06 | 2022-10-11 | Red Hat, Inc. | Pre-scheduling for cloud resource provisioning |
| US11487571B2 (en) | 2020-03-30 | 2022-11-01 | Wipro Limited | Method and system for efficient utilization of resources in containers |
| US10860381B1 (en) | 2020-05-14 | 2020-12-08 | Snowflake Inc. | Flexible computing |
-
2020
- 2020-08-05 US US16/986,162 patent/US11646975B2/en active Active
- 2020-08-05 US US16/986,163 patent/US20210042165A1/en active Pending
- 2020-08-05 US US16/986,164 patent/US11558312B2/en active Active
- 2020-08-07 JP JP2022508587A patent/JP2022544256A/ja active Pending
- 2020-08-07 JP JP2022508588A patent/JP2022544927A/ja active Pending
- 2020-08-07 EP EP20761414.0A patent/EP4010800A1/en active Pending
- 2020-08-07 CN CN202080066708.0A patent/CN114514509A/zh active Pending
- 2020-08-07 CN CN202080066710.8A patent/CN114514507B/zh active Active
- 2020-08-07 WO PCT/US2020/045516 patent/WO2021030221A1/en unknown
- 2020-08-07 EP EP20761669.9A patent/EP4010801A1/en active Pending
- 2020-08-07 WO PCT/US2020/045515 patent/WO2021030220A1/en unknown
-
2023
- 2023-04-20 US US18/137,304 patent/US20230254266A1/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103563294A (zh) * | 2011-06-30 | 2014-02-05 | 国际商业机器公司 | 用于云计算平台安全性的认证和授权方法 |
| CN108829352A (zh) * | 2018-06-06 | 2018-11-16 | 郑州云海信息技术有限公司 | 一种分布式存储系统的用户配额方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11646975B2 (en) | 2023-05-09 |
| WO2021030221A1 (en) | 2021-02-18 |
| EP4010800A1 (en) | 2022-06-15 |
| EP4010801A1 (en) | 2022-06-15 |
| CN114514509A (zh) | 2022-05-17 |
| US20210042165A1 (en) | 2021-02-11 |
| JP2022544256A (ja) | 2022-10-17 |
| JP2022544927A (ja) | 2022-10-24 |
| US20210044540A1 (en) | 2021-02-11 |
| WO2021030220A1 (en) | 2021-02-18 |
| CN114514507A (zh) | 2022-05-17 |
| US20210044505A1 (en) | 2021-02-11 |
| US11558312B2 (en) | 2023-01-17 |
| US20230254266A1 (en) | 2023-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114514507B (zh) | 在云基础设施环境中支持配额策略语言的系统和方法 | |
| US11397621B2 (en) | System and method for service limit increase for a multi-tenant cloud infrastructure environment | |
| US11422846B2 (en) | Image registry resource sharing among container orchestrators in a virtualized computing system | |
| US20230353505A1 (en) | System and method for tag based resource limits or quotas in a cloud infrastructure environment | |
| CN103946834A (zh) | 虚拟网络接口对象 | |
| US20230153145A1 (en) | Pod deployment in a guest cluster executing as a virtual extension of management cluster in a virtualized computing system | |
| US20220237049A1 (en) | Affinity and anti-affinity with constraints for sets of resources and sets of domains in a virtualized and clustered computer system | |
| US8819231B2 (en) | Domain based management of partitions and resource groups | |
| AU2013266420B2 (en) | Pluggable allocation in a cloud computing system | |
| US10956363B2 (en) | Automated data management via machine-readable data definition files | |
| US20230094159A1 (en) | System and method for dynamically partitioned multi-tenant namespaces | |
| US20220237048A1 (en) | Affinity and anti-affinity for sets of resources and sets of domains in a virtualized and clustered computer system | |
| US20240005023A1 (en) | System and method for generating items of inventory a user can access based on hierarchical permissions | |
| US11815999B2 (en) | Optimized alarm state restoration through categorization | |
| US11665167B2 (en) | Dynamically deployed limited access interface to computational resources | |
| Coles et al. | Cells: A self-hosting virtual infrastructure service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |