向系统资源提供安全容器单元的制作方法
【专利说明】向系统资源提供安全容器单元
[0001]发明背景
[0002]许多公司和其它组织操作互连许多计算系统以支持其操作的计算机网络,例如,其中计算系统被共置(例如,作为局域网的一部分)或代替地位于多个不同的地理位置(例如,通过一个或多个私有或公共中间网络连接)。例如,容纳大量互连计算系统的数据中心已经变得很平常,例如由单一组织操作并代表单一组织的私有数据中心,和由如企业的实体操作以提供计算资源到客户的公共数据中心。一些公共数据中心运营商向各种客户拥有的硬件提供网络访问、电源,和安全安装设施,而其它公共数据中心运营商提供“全方位服务”设施,所述设施也包括可供其客户使用的硬件资源。然而,随着典型的数据中心的规模和范围增大,供应、掌管和管理物理计算资源的任务变得越来越复杂。
[0003]商用硬件虚拟化技术的出现向具有多样化需求的许多客户提供了关于管理大规模计算资源的益处,从而允许多个客户高效并安全地共享各种计算资源。例如,虚拟化技术可通过向每个用户提供单个物理计算机器托管的一个或多个虚拟机同时也在各种虚拟机之间提供应用程序隔离和安全性来允许单个物理计算机器在多个用户之间共享,其中每个所述虚拟机是充当不同逻辑计算系统的软件模拟,所述软件模拟向用户提供其是给定硬件计算资源的唯一运营商和管理者的错觉。另外,一些虚拟化技术能够提供跨越两个或多个物理资源的虚拟资源,例如具有跨越多个不同物理计算系统的多个虚拟处理器的单个虚拟机。
[0004]网络服各
[0005]传统的网络模型允许客户通过HTTP客户端程序(例如,网络浏览器)访问网络资源(例如,应用程序、服务和数据)。已开发被称为网络服务的技术来提供到网络资源的编程访问。网络服务可用以通过网络服务界面来提供到网络资源的编程访问,所述网络资源包括网络连接的计算机(例如,网络服务器系统)上托管的技术平台(例如,应用程序和服务)和数据(例如,产品目录和其它数据库)。一般来说,网络服务界面可被配置以提供标准的、跨平台的API (应用编程接口),以在请求执行某个服务的客户和服务提供者之间进行通信。在一些实施中,网络服务界面可被配置以支持包括描述服务请求和对所述请求的响应的信息的文件或消息的交换。所述文件或消息可使用标准化的网络协议来交换,所述网络协议例如超文本传输协议(HTTP),且所述文件或消息可用独立于平台的数据格式来格式化,例如可扩展标记语言(XML)。
[0006]从外部服务提供者(例如,共置运营商)接收计算服务的客户可能希望确保未经授权的人员无法篡改客户的数据或损害客户的计算操作。为了解决这些问题,一些共置设施通过在笼子中操作机架计算系统来隔离一些客户的机架计算系统。然而,所述笼子可能在给定时间占用设施中比客户需要多的空间。另外,客户可能需要比笼子内的空间大的空间,从而可能需要建构新的笼子以保护额外的机架计算系统。将所有客户的计算资源封装在大笼子也可能使得客户在单个攻击点容易受到安全威胁。例如,一个作恶者可能能够通过访问单个入口点来破坏大量的计算服务,或窃取或毁坏大量客户的数据。
【附图说明】
[0007]图1示出可用以使用安全容器单元来提供云服务到客户的计算系统的一个实施方案。
[0008]图2是示出安全访问机架级安全容器单元的前部和背部的云计算系统的数据中心的顶视图的方框图。
[0009]图3示出具有容纳个别计算装置的安全容器单元的云计算系统的一个实施方案。
[0010]图4示出具有容纳两个或多个计算装置的安全容器单元的云计算系统的一个实施方案。
[0011]图5示出从机架的前部和后部安全访问服务器的机架系统的一个实施方案。
[0012]图6示出从机架的前部和后部安全访问服务器级安全容器单元的机架系统的一个实施方案。
[0013]图7示出使用安全容器单元来提供计算资源到客户的一个实施方案。
[0014]图8示出提供到安全容器单元中的硬件资源的访问的一个实施方案。
[0015]图9示出访问安全容器单元中的计算装置的审计报告的实例。
[0016]图10示出给客户的示出访问安全容器单元中的客户计算装置的报告的实例。
[0017]图11是提供存储虚拟化服务和硬件虚拟化服务的示例性服务提供者的方框图。
[0018]图12示出在一些实施方案中可用以供应计算资源的计算机系统的一个实施方案。
[0019]虽然本文以举例的方式描述了若干实施方案和说明性附图的实施方案,但是本领域技术人员将认识到,实施方案不限于所述实施方案或附图。应理解,附图及其详细描述并不意在将实施方案限制为所公开的具体形式,相反,意图在于涵盖落入由所附权利要求所限定的精神和范围内的所有修改、等效物和替代物。本文所用的标题仅用于组织目的,而不意味着被用来限制本说明书或权利要求书的范围。如本申请书通篇所使用,单词“可”用于允许的意义(即,意思是有可能),而不是强制的意义(即,意思是必须)。类似地,单词“包括”意思是包括但不限于。
【具体实施方式】
[0020]公开用于向客户提供资源(例如计算资源)的系统和方法的各种实施方案。
[0021]根据一个实施方案,一种用于提供资源给客户的系统包括机架、所述机架中的子架级安全容器单元,和供应控制系统。所述子架级安全容器单元各自封装系统资源。所述机架容纳所述子架级安全容器单元中的两个或多个。对于每个客户,所述供应控制系统将子架级安全容器单元的集合供应到所述客户。响应于所述客户对所述客户的系统资源的受限物理访问请求(例如,通过API调用),安全容器单元的集合中的系统资源可被供应给客户。每个机架可包括两个或多个客户的子架级安全容器单元。每个客户的安全容器单元的集合可包括两个或多个机架中的安全容器单元。对于每个客户,供应控制系统可监测并创建对所述客户的子架级安全容器单元的集合中所述系统资源的物理访问的事件的记录。在一些实施方案中,所述供应控制系统通过操作所述安全容器单元上的锁来控制对客户的安全容器单元的集合的访问。所述锁可基于所述客户提供的访问标准来操作。所述客户例如可指定哪些人可访问安全容器单元中的系统资源、可什么时候访问所述系统资源,和为什么目的访问所述系统资源。
[0022]根据一个实施方案,一种用于提供资源给客户的系统包括机架、安全容器单元,和供应控制系统。所述安全容器单元各自封装系统资源。对于每个客户,供应控制系统将安全容器单元的集合供应到所述客户。所述安全容器单元的集合中的一个或多个安全容器单元中至少一个与所述集合中安全容器单元中至少另外一个在不同的机架中。所述供应控制系统可监测并创建对每个客户的子架级安全容器单元的集合中所述计算资源的物理访问的事件的记录。
[0023]根据一个实施方案,一种提供资源给客户的方法包括:向两个或多个客户中每一个供应安全容器单元的集合,其中每个安全容器单元包含系统资源。可监测、控制,或监测并控制每个客户对所述安全容器单元的集合中所述系统资源的访问。
[0024]根据一个实施方案,一种用于控制对资源的访问的系统包括数据中心中一个或多个机架中的多个安全容器单元,和安全容器单元访问控制系统。所述安全容器单元访问控制系统包括处理器和被耦合到所述处理器的存储器。所述处理器可存储程序指令,所述程序指令可由所述处理器执行以实施:对于每个客户,监测对所述安全容器单元中系统资源的访问;和控制对所述安全容器单元中所述系统资源的访问。
[0025]如本文所使用,“锁”是指一种需要操作以允许访问一个或多个资源的装置、元件、系统或它们的组合。在一些情况下,通过向锁(例如钥匙或锁)施加或使用物理对象来释放所述锁。在一些情况下,通过使用生物特征数据来释放锁。锁的实例包括钥匙锁、电子锁装置、磁锁、键盘锁系统、电磁锁机构、挂锁。
[0026]如本文所使用,“供应”是指使得资源、资产或系统可供个人或实体(例如,云服务客户)使用。在一些情况下,供应包括将资源、资产或系统分配到个人或实体,供所述个人或实体专用或得利。例如,可控制安全容器单元中的计算装置,使得计算装置仅可用于特定客户的权益。
[0027]如本文所使用,“安全容器单元”是指物理上包含硬件资源(例如,服务器)使得需要采取与访问硬件资源分开的行动来访问其它硬件资源的元件、系统,或它们的组合。安全容器单元可包括笼子、箱子、围栏、金属丝网、墙壁或其它实现包含的元件。安全容器单元可包括锁。
[0028]如本文所使用,“子架级”是指包括或占用小于整个机架的级别。例如,机架中的子架级安全容器单元允许将一个或多个额外的子架级安全容器单元安装在同一机架中。子架级安全容器单元可包含单个计算装置,或一个以上的计算装置。
[0029]如本文所使用,“系统资源”包括可单独使用或与其它资源组合使用以执行操作(例如,计算操作、数据存储操作)或提供服务的任何硬件、装置、系统、软件、固件,或它们的组合。系统资源的实例包括计算资源、数据存储资源、网络资源、电力系统、计算装置、数据存储装置、机架式服务器、网络控制装置、供电单元、电信设备、电缆,和电力系统组件。
[0030]如本文所使用,“计算”包括可由计算机执行的任何操作,例如计算、数据存储、数据检索,或通信。
[0031]如本文所使用,“计算装置”包括其中可执行计算操作的各种装置中的任何装置,例如计算机系统或其组件。计算装置的一个实例是机架式服务器。如本文所使用,术语计算装置并不仅限于在本领域中称为计算机的那些集成电路,而是宽泛地代表服务器、微控制器、微型计算机、可编程逻辑控制器(PLC)、专用集成电路,和其它可编程电路,且这些术语在本文中可互换使用。计算装置的一些实例包括电子商务服务器、网络装置、电信设备、医疗设备、电力管理和控制装置,和专业音响设备(数字、模拟,或它们的组合)。在各种实施方案中,存储器可包括但不限于计算机可读介质,例如随机存取存储器(RAM)。或者,也可使用光碟-只读存储器(CD-ROM)、磁光盘(MOD),和/或数字多功能光盘(DVD)。又,额外的输入通道可包括与操作员接口相关的计算机外围设备,例如鼠标和键盘。或者,也可使用其它计算机外围设备,其例如可包括扫描仪。另外,在一些实施方案中,额外的输出通道可包括操作者接口监示器和/或打印机。
[0032]如本文所使用,“数据中心”包括其中执行计算机操作的任何设施或设施的部分。数据中心可包括专用于特定功能或服务于多个功能的服务器。计算机操作的实例包括信息处理、通信、测试、模拟、配电和控制,以及操作控制。
[0033]如本文所使用,“机架”是指可包含或物理上支撑一个或多个计算装置的机架、容器、框架,或其它元件或元件的组合。
[0034]在各种实施方案中,安全容器单元用以向客户提供系统资源,例如计算资源和数据存储资源。在一些实施方案中,通过划分机架使得每个隔室之间存在物理障碍来制成安全容器单元。隔室可包括门和门上的物理锁。锁可接收控制信号(例如,以锁定或解锁安全容器单元)。信号例如可通过IP来发送。在隔室中每一个内,硬件可专用于单个客户。例如,安全容器单元可包括专门用于为特定的客户执行计算操作的一个计算装置。当满足一个或多个条件(例如,试图维修或更换计算装置的数据技术员已被认证)时,安全容器单元可被解锁。
[0035]在一些实施方案中,在粒度子架级上提供安全容器单元。每个安全容器单元可专用于特定客户的资源并将所述资源隔