提供计算机服务的方法和设备的制作方法

专利名称：提供计算机服务的方法和设备的制作方法
技术领域：
本发明涉及用于提供计算机服务的方法和设备。
在优选实施例中，本发明涉及一种方法和设备，通过利用这里称为“虚拟服务器”，可选地使用“虚拟网络”，用于通过网络提供计算机服务。
背景技术：
众所周知，个人和机构不断更新其计算机设备。例如，个人或机构可能只是希望改进当前拥有的软件应用程序的运行速度，因而一般要购买适当的新的计算机或网络服务器，以便获得更新的因而也更快的中央处理器，更多和/或更快的内存等。因为所存储的文件大小或数据量的增长或简单地为了更快速访问存储的文件/数据，个人或机构可能需要附加的和/或更快文件和/或数据存储。作为进一步的例子，较新的软件应用程序可能具有超过当前个人或机构所拥有的最小的计算机规范。如以下将详细讨论的，附加的或新的、更新的计算机设备的购买引发了各种问题，这具体包括需要相当大的资金支出及安装和设置新设备的时间。任何情形下，就财务来说及在维护所耗费的时间方面，维护计算机设备的费用是相当大的。
当今的IT应用(不论是现成的和预定的)趋向于被设计为围绕运行Microsoft NT或Windows2000操作系统，以及近来的Linux，BSD及其它Unix变种的较小尺度的Intel体系结构服务器。这些较小尺度的系统趋于在机构中激增，导致上述管理上的困难。虽然大型计算机对于一定的应用可提供较低的“总拥有费用”，但离开这些体系结构的工业趋势已经意味着应用程序不再被设计为在它们上面运行，而“移植”应用程序似乎有不可接受的破坏性、危险性及成本。
此外，在电子商务基础结构的供应中，对于以因特网为主的应用，机构已经花费了相当多的时间，资源和资金，采购并建立及维护新的托管系统(hosting system)，包括多个分开的服务器，防火墙，网络路由器及交换机，其目的都是为了通过因特网向用户传送一个或多个应用程序。
现在将简要讨论与若干特定的计算机领域相关的现有技术状态。
文件和数据服务器，包括存档服务个人和商业、非商业及政府机构当前使用文件和数据服务器，使用一个或多个文件/数据共享协议，诸如NFS，NFS+，SMB，及Appleshare，允许存储和访问共享计算机系统上计算机保持的信息。这些计算机系统运行文件共享软件，并或者由使用它们的个人或机构拥有并操作，或者承包给第三方机构操作。文件和数据服务器还能够用来对信息存档。
在需求增加时，个人或机构或者更新现有的服务器，或者在不这样做时，采购附加或更新替换的服务器。
应用程序服务供应个人和商业、非商业与政府机构当前使用在计算机系统上运行的IT(信息技术)应用程序。这些计算机系统运行一个或多个应用程序，并由使用它们的个人或机构拥有或操作，或者承包给第三方机构操作。很多个人和机构现在已开始使用应用程序服务供应商通过因特网或其它外部网络提供IT应用程序服务。
通过因特网或其它网络应用程序投送中所涉及的现有技术包括以下之一共享运行在单个实服务器上的单个应用程序实例的多个机构，这有相关的安全性，可管理性及可使用性问题；多个机构，每一个带有它们自己的运行在单个实服务器上的应用程序实例，这也有相关的安全性，可管理性及可使用性问题；多个机构，每一个带有它们自己的运行在单个实服务器上的多个服务器分区上的应用程序实例，这由于分区一般是静态的而有限制；或者多个机构，每一带有它们自己专用的服务器保持在ASP托管中心(hosting centre)，每一个运行专用应用程序实例。
数据库服务供应个人和商业、非商业及政府机构当前使用IT应用程序，这些程序访问客户机/服务器或运行在计算机系统上的分布式数据库。这些计算机系统运行一个或多个应用程序并或者由使用它们的个人或机构拥有和操作，或者承包给第三方机构操作。许多个人和机构现在已开始使用外部服务供应商，通过因特网或其它外部网络提供客户机/服务器或分布式数据库服务。
客户机/服务器或分布式数据库服务器通过因特网或其它网络投送中所涉及的现有技术涉及以下之一共享运行在单个实服务器上的单个数据库管理系统实例的多个机构，这具有相关的安全性，可管理性及可使用性问题；多个机构，每一个带有它们自己的运行在单个实服务器上的数据库管理系统实例，这也有相关的安全性，可管理性及可使用性问题；多个机构，每一个带有它们自己的运行在单个实服务器上的多个服务器分区上的数据库管理系统实例，这由于分区一般是静态的而有限制；或者多个机构，每一个带有它们自己专用的数据库服务器，它保持在运行数据库管理系统的一个或多个实例的服务供应商托管中心。
数据仓库服务供应个人和商业、非商业及政府机构当前使用访问传统的客户机/服务器或运行在计算机系统上的分布式数据仓库的IT应用程序。这些计算机系统运行一个或多个应用程序，并或者由使用它们的个人或机构拥有或操作，或者承包给第三方机构操作。许多个人和机构现在已开始使用外部服务供应商通过因特网或其它外部网络提供客户机/服务器或分布式数据仓库服务。
传统的客户机/服务器或分布式数据仓库服务器通过因特网或其它外部网络投送中所涉及的现有技术包括以下之一共享运行在单个实服务器上的单个数据仓库管理系统实例的多个机构，这有相关的安全性，可管理性及可使用性问题；多个机构，每一个带有它们自己的运行在单个实服务器上的数据仓库管理系统实例，这也有相关的安全性，可管理性及可使用性问题；多个机构，每一个带有它们自己的运行在单个实服务器上的多个服务器分区上的数据仓库管理系统实例，这由于分区一般是静态的而有限制；或者多个机构，每一个带有它们自己专用的数据仓库服务器保持在ASP托管中心。
知识服务供应个人和商业、非商业及政府机构当前使用知识管理系统，诸如内联网、外联网和因特网web服务器、搜索引擎、web缓存器、自由文本检索系统及知识共享应用程序，诸如Lotus Notes/Domino，它们访问客户机/服务器或运行在计算机系统上的分布式知识管理数据库。这些计算机系统运行一个或多个应用程序，并或者由使用它们的个人或机构拥有和操作，或者承包给第三方机构操作。许多个人和机构现在开始使用外部服务供应商通过因特网或其它外部网络提供客户机/服务器或分布式知识管理服务。
客户机/服务器或分布式知识管理服务器通过因特网或其它外部网络投送中所涉及的现有技术包括以下之一共享运行在单个实服务器上的单个知识管理系统实例的多个机构，这具有相关的安全性，可管理性及可使用性问题；多个机构，每一个带有它们自己的运行在单个实服务器上的数据库管理系统实例，这也有相关的安全性，可管理性及可使用性问题；多个机构，每一个带有它们自己的运行在单个实服务器上的多个服务器分区上的知识管理系统实例，这由于分区一般是静态的而有限制；或者多个机构，每一个带有它们自己专用的知识管理服务器，保持在服务供应商托管中心。
数字媒体产生服务器个人和商业、非商业及政府机构当前使用文件和数据服务器，在音频记录和产生，视频记录和产生，数字摄影和成象，电视节目制作，影片制作，全息照片产生和其它多媒体材料产生过程期间，允许在共享计算机系统上存储和访问计算机保持的数字媒体信息。数字媒体信息可由包含数字形式的图象、动画或音频记录的数据文件组成，但也可以包含信息如何在制作室系统内被处理的相关的信息，诸如包含自动排序和合成信息的编辑策略列表或MIDI文件。这些计算机系统运行文件共享软件并且或者由使用它们的个人或机构拥有并操作，或者承包给第三方机构操作。在需求增加时，个人和机构或者更新现有的服务器，或者在不这样做时，进而采购服务器。
“知识产权”与流媒体服务(streaming media service)个人和商业、非商业及政府机构当前使用“知识产权”服务器，这些服务器允许在共享计算机系统上存储并访问计算机保持的数字媒体或其它“知识产权”信息。这些计算机系统运行“知识产权”管理，发放许可证并下载应用程序，并或者由使用它们的个人或机构拥有并操作，或者承包给第三方机构操作。“知识产权”可包括但不限于数字照片，声音记录，视频记录，数字电影，静止全息照片，活动全息照片，数字动画，软件，固件，绘画，设计图，方案，计划和文档。
现有技术涉及共享运行在单个实服务器上的单个“知识产权”系统实例的多个机构，这有相关的安全性，可管理性及可获得性限制；使用运行在单个实服务器上的多个“知识产权”系统实例的多个机构，这有相关的安全性，可管理性及可获得性限制；多个机构，每一个有它们自己的运行在单个实服务器上的多个服务器分区上的“知识产权”系统实例，由于分区一般是静止的，这是有限制的；或者多个机构，每一个有它们自己的专用的内部操作的或在“知识产权”托管中心的“知识产权”服务器。
Web托管个人和商业、非商业及政府机构当前使用运行在计算机系统上的Web服务器。这些计算机系统运行一个或多个web应用程序并包含一个或多个web内容集合，并或者由使用它们的个人或机构拥有并操作，或者承包给第三方机构操作。许多个人和机构使用因特网服务供应商通过因特网或其它外部网络提供web托管服务。
Web托管应用程序通过因特网或其它外部网络投送中所涉及的现有技术包括以下之一共享运行在单个实服务器上的单个Web服务器应用程序实例的多个机构，这具有相关的安全性，可管理性及可使用性问题；多个机构，使用运行在单个实服务器上由单个Web服务器应用程序实例生成的“虚拟Web服务器”，这也有相关的安全性，可管理性及可使用性问题；多个机构，每一个带有它们自己的运行在单个实服务器的多个服务器分区上的Web服务器实例，由于分区一般是静止的，这是有限制的；或者多个机构，每一个带有它们自己的专用Web服务器，保持在外部服务供应商托管中心。
复杂的电子商务Web托管个人和商业、非商业及政府机构当前使用运行在计算机系统上的万维网电子商务系统。这些计算机系统运行一个或多个相关的web服务器，数据库服务器及应用程序，并或者由使用它们的个人或机构拥有并操作，或者承包给第三方机构操作。许多个人和机构使用托管服务供应商通过因特网或其它外部网络提供复杂的web托管服务。
在复杂Web托管应用程序通过因特网或其它外部网络投送中涉及的现有技术包括专用服务器硬件复杂阵列的构成，以便提供Web服务器，安全防火墙，数据库服务器，应用程序服务器和各种系统开发，测试和管理服务器能力，常常以高的资金成本，相当规模的采购及安装交付周期，并在托管中心占用相当量的室内场地空间。
计算机和高性能计算服务供应个人和商业、非商业及政府机构当前使用运行在计算性能有限的桌面或服务器计算机系统上的IT应用程序。这些计算机系统运行一个或多个应用程序，并或者由使用它们的个人或机构拥有并操作，或者承包给第三方机构操作。许多个人和机构现在开始使用服务供应商通过因特网或其它外部网络提供高性能计算服务。希望通过运行在现有的IT系统上的应用程序或者直接，或者间接借助于自动请求使用更强大的计算服务。
用于通过因特网或其它外部网络提供高性能计算服务所涉及的现有技术包括以下之一共享运行在计算服务器或超级计算机上的单个应用程序实例的多个机构，这有相关的安全性，可管理性及可使用性问题；多个机构，每一个有它们自己的运行在单个实服务器上的应用程序实例，这也有相关的安全性，可管理性及可使用性问题；多个机构，每一个有它们自己的运行在单个实服务器上的多个服务器分区上的应用程序实例，这由于分区一般是静态的而有限制；或者多个机构，每一个有它们自己专用的服务器，保持在高性能计算中心。
电子传信和会议服务供应个人和商业、非商业及政府机构当前使用运行在计算机系统上的电子传信服务器。这些计算机系统运行一个或多个应用程序，并或者由使用它们的个人或机构拥有并操作，或者承包给第三方机构操作。许多个人和机构现在开始使用因特网服务供应商通过因特网或其它外部网络提供传信和会议服务。
在通过因特网或其它网络传信服务投送中所涉及的现有技术包括以下之一共享运行在单个实服务器上的单个传信或会议应用程序实例的多个机构，这有相关的安全性，可管理性及可使用性问题；多个机构，每一个带有它们自己的运行在单个实服务器上的传信或会议应用程序实例，这也有相关的安全性，可管理性及可使用性问题；多个机构，每一个带有它们自己的运行在单个实服务器上的多个服务器分区上的传信或会议应用程序实例，这由于分区一般是静态的而有限制；或者多个机构，每一个带有它们自己专用的传信或会议服务器，保持在服务供应商托管中心。
学习神经计算机服务供应当前正在对学习神经计算机(learning neuro-computer)进行研究和开发。为了允许这些系统对多个个人和机构可访问，可使用网络把顾客连接到一个或多个学习神经计算机应用程序，这些程序是在一个或多个传统的或学习神经计算机硬件平台上执行的。用于访问这些系统的顾客终端可以使用传统的计算机技术或学习神经计算机技术。
对于上述每一个服务，现有技术的限制和缺陷包含以下的事实，附加容量的购买要花费相当的时间进行(例如定购，配置和安装)；附加的服务器涉及附加的维护和操作支持成本；引起额外的资金消耗；随着服务器数目增加，系统的可使用性，可靠性，备份和管理变得更为困难和耗费；启动风险需要大容量以便被启动，但可能不希望或不能够提供大量初始承诺及所涉及的费用；需要共享访问信息和数据的机构之间的结合风险为了安全或操作的原因要求安装分开的服务器；供应的服务器容量要在高峰负载或存储使用条件下提供可接受的服务，过高提供这种容量一般达到不必要的成本；暂时的业务需求需要暂时的服务器和容量的采购，常常涉及可能不需要超过暂时需求的设备和系统的采购；较小的中等规模的服务器不能取得更复杂的高可用性技术或使能够更有效使用二级磁盘和磁带存储器的优点；服务合并为较大服务器计算机是有困难的，因为需要与维护并对其有效支持所需的专家资源之需一同，判明管理大系统的主要采购成本；运行在分开的硬件上的附加的入侵检测系统常常需要添加到高安全性应用程序，以便检测攻击；开发和测试系统的原型机需要分开供应，这涉及附加的硬件成本和系统管理；以及对灾难性恢复的目的提供备份设施，常常涉及类似的或等同的硬件及软件系统的采购，并对它们设置就绪以便在主系统有故障时运行服务，其结果增加了复杂性和成本。

发明内容
根据本发明的第一方面，提供了对多个顾客提供一个或多个计算机服务的设备，该设备包括一个实计算机，其上按每一所述顾客请求为每一所述顾客建立至少一个虚拟机，用于每一所述顾客的所述至少一个虚拟机具有由该个别顾客规定的规范。
实计算机一般将具有运行实操作系统的一个或多个实处理器，实物理内存(一般可以是任何适用的类型)，及一个或多个实存储装置(诸如硬盘，磁带，全息或其它光存储装置等，并进而是在分子量级或量子量级存储信息的存储系统)。顾客将一般对设备供应商/操作者形成可用的虚拟机付费，或许是基于一次性的，或基于正在进行的，或许是按常规的预定。费用可基于一个或多个若干不同的因素计算。设备可被这样配置，使得特定顾客之外或与其无关的用户可以访问该顾客的虚拟机，只要可选地给出这样作的授权和/或支付费用或预定即可。
可在实计算机内为所述顾客至少之一建立多个虚拟机。
用于所述顾客至少之一的虚拟机或每一虚拟机可连接到实计算机内为所述至少一个顾客建立的虚拟网络。优选地，提供虚拟入侵检测装置用于检测对虚拟网络的攻击。
至少一个虚拟机可连接到一虚拟防火墙，该防火墙可连接到顾客和/或其它用户能够连接的外部网络，使得由顾客或其它用户通过所述外部网络对所述至少一个虚拟机的访问只能通过虚拟防火墙进行。
特定顾客的虚拟机或每一虚拟机可连接到顾客的虚拟机或多个虚拟机专用的虚拟防火墙，每一虚拟防火墙可连接到每一所述顾客和/或其它用户能够连接的外部网络，使得由顾客或其它用户通过所述外部网络对虚拟机的访问只能通过为该虚拟机或多个虚拟机提供的虚拟防火墙进行。每一虚拟防火墙可在实计算机内建立，用于每一顾客的虚拟机或多个虚拟机连接到该顾客虚拟机或多个虚拟机专用的虚拟防火墙的第一端口，每一虚拟防火墙具有连接到在实计算机内建立并可连接到外部网络的虚拟网络的第二端口。每一虚拟防火墙的第二端口可连接到在实计算机内建立并可连接到外部网络的同一虚拟网络。
虚拟防火墙或其至少之一最好在实计算机上由虚拟机实现，所述虚拟防火墙虚拟机运行防火墙软件。
该设备最好包括多个实的数据存储装置及至少一个虚拟存储子系统，该子系统配置为允许所述实数据存储装置模拟一个或多个虚拟存储装置。至少一个虚拟存储子系统最好配置为模拟至少一个用于每一顾客的各虚拟存储装置。最好装设检测装置，用于检测恶意的软件证据或对至少一个虚拟存储子系统的敌意的攻击签字。
该设备最好配置为提供从以下选择的至少一个服务文件，数据和存档服务；应用程序托管服务；数据库托管服务；数据仓库服务；知识管理托管服务；数字媒体产生服务；“知识产权”和流媒体服务；简单web托管服务；复杂电子商务web托管服务；高性能计算服务；电子传信和会议服务；及学习神经计算机服务。
该设备可包括虚拟专用网络软件，以便为至少某些所述虚拟机之间的通信提供加密的通信信道。
该设备最好包括虚拟专用网络软件，以便为至少一个虚拟机与外部计算机之间的通信提供加密的通信信道。
该设备可包括虚拟专用网络软件，以便为第一虚拟网络与第二虚拟网络之间的通信提供加密的通信信道。
该设备最好包括虚拟专用网络软件，以便为虚拟网络与外部计算机之间的通信提供加密的通信信道。
实计算机可包括多个物理计算机。这种多个物理计算机可全部由一般是计算机实现的配置、控制和管理系统进行配置、控制和管理。这种系统，例如根据瞬时需求通过在多个物理计算机之间进行处理器或内存负载平衡，能够用来保证多个物理计算机的资源在对多个顾客操作虚拟机时最有效地被使用。
可用组合地提供上述第一设备，以及与所述第一设备基本等同的第二设备，第一和第二设备通过通信信道连接，使得第二设备能够提供第一设备的冗余，从而如果第一设备有故障可提供灾难恢复。
根据本发明的第二方面，提供了一种为多个顾客提供一个或多个计算机服务的方法，该方法包括步骤在一个实计算机上按每一所述顾客请求为每一顾客建立至少一个虚拟机，用于每一所述顾客的所述至少一个虚拟机具有由该个别顾客规定的规范。
该方法可包括在实计算机内为所述顾客至少之一建立多个虚拟机的步骤。
该方法包括在实计算机内为所述顾客至少之一建立虚拟网络，并把用于所述顾客之一的虚拟机或每一虚拟机连接到所述虚拟网络的步骤。
该方法可包括使用虚拟入侵检测装置检测对虚拟网络的攻击的步骤。
该方法可包括以下步骤，把至少一个虚拟机连接到一虚拟防火墙，并把虚拟防火墙或每一虚拟防火墙连接到顾客和/或其它用户能够连接的外部网络，使得由顾客或其它用户通过所述外部网络对虚拟机的访问只能通过虚拟防火墙进行。
该方法可包括这样的步骤，即把用于特定顾客的虚拟机或每一虚拟机连接到顾客的虚拟机或多个虚拟机专用的虚拟防火墙，并把每一虚拟防火墙连接到每一所述顾客和/或其它用户能够连接的外部网络，使得由顾客或其它用户通过所述外部网络对虚拟机的访问只能通过对该虚拟机或多个虚拟机装设的虚拟防火墙进行。每一虚拟防火墙最好在实计算机内建立，用于每一顾客的虚拟机或多个虚拟机连接到该顾客虚拟机或多个虚拟机专用的虚拟防火墙的第一端口，每一虚拟防火墙具有连接到在实计算机内建立并连接到外部网络的虚拟网络的第二端口。每一虚拟防火墙的第二端口可连接到在实计算机内建立并连接到外部网络的同一虚拟网络。
该方法可包括这样的步骤，即配置至少一个虚拟存储子系统允许多个实数据存储装置模拟一个或多个虚拟存储装置。该方法可包括以下步骤，配置至少一个虚拟存储子系统模拟至少一个用于每一顾客的各虚拟存储装置。该方法可包括以下步骤，使用检测装置以便检测恶意的软件证据或对至少一个虚拟存储子系统的敌意的攻击签字。
根据本发明的第三方面，提供了一种代表多个顾客操作实计算机的方法，该方法包括这样的步骤在实计算机上操作多个虚拟机，所述多个虚拟机的每一个，根据由虚拟机代表该顾客机提供的计算机服务，具有由每一顾客规定的规范。
该方法可包括在实计算机内为所述顾客至少之一操作多个虚拟机的步骤。
该方法可包括在实计算机内对所述顾客至少之一操作虚拟网络，用于所述至少一个顾客的每一虚拟机连接到所述虚拟网络的步骤。
该方法可包括使用虚拟入侵检测装置以便检测对虚拟网络的攻击的步骤。
至少一个虚拟机可连接到一虚拟防火墙，虚拟防火墙或每一虚拟防火墙连接到顾客和/或其它用户能够连接的外部网络，使得由顾客或其它用户通过所述外部网络对虚拟机的访问只能通过虚拟防火墙进行。
用于特定顾客的虚拟机或每一虚拟机可连接到顾客的虚拟机或多个虚拟机专用的虚拟防火墙，每一虚拟防火墙连接到每一所述顾客和/或其它用户能够连接的外部网络，使得由顾客或其它用户通过所述外部网络对虚拟机的访问只能通过对该虚拟机或多个虚拟机装设的虚拟防火墙进行。每一虚拟防火墙最好在实计算机内建立，用于每一顾客的虚拟机或每一虚拟机连接到该顾客虚拟机或多个虚拟机专用的虚拟防火墙的第一端口，每一虚拟防火墙具有连接到在实计算机内建立并连接到外部网络的虚拟网络的第二端口。每一虚拟防火墙的第二端口可连接到在实计算机内建立并可连接到外部网络的同一虚拟网络。
可提供并配置至少一个虚拟存储子系统，以允许多个实数据存储装置模拟一个或多个虚拟存储装置。可配置至少一个虚拟存储子系统以便模拟至少一个用于每一顾客的各虚拟存储装置。可使用一种检测装置以便检测恶意的软件证据或对至少一个虚拟存储子系统的敌意的攻击签字。
在上述方法任何之一中，所提供的服务可包括从以下所选择的服务至少之一文件，数据和存档服务；应用程序托管服务；数据库托管服务；数据仓库服务；知识管理托管服务；数字媒体产生服务；“知识产权”和流媒体服务；简单web托管服务；复杂电子商务web托管服务；高性能计算服务；电子传信和会议服务；及学习神经计算机服务。
任何上述方法可包括使用虚拟专用网络软件，以便为至少某些所述虚拟机之间的通信提供加密的通信信道的步骤。
任何上述方法可最好包括使用虚拟专用网络软件，以便为至少一个虚拟机与外部计算机之间的通信提供加密的通信信道的步骤。
任何上述方法可包括使用虚拟专用网络软件，以便为第一虚拟网络与第二虚拟网络之间的通信提供加密的通信信道的步骤。
任何上述方法最好包括使用虚拟专用网络软件，以便为虚拟网络与外部计算机之间的通信提供加密的通信信道的步骤。
根据本发明的第四方面，提供了对多个顾客提供从以下选择的一个或多个计算机服务的方法文件，数据和存档服务；应用程序托管服务；数据库托管服务；数据仓库服务；知识管理托管服务；数字媒体产生服务；“知识产权”和流媒体服务；简单web托管服务；复杂电子商务web托管服务；高性能计算服务；电子传信和会议服务；及学习神经计算机服务；该方法包括以下步骤按每一所述顾客的请求在一实计算机上为每一所述顾客建立至少一个虚拟机，用于每一所述顾客的所述至少一个虚拟机，具有根据由所述顾客请求的计算机服务或多个服务确定的规范。
任何上述方法可包括把所述至少一个虚拟机从第一实计算机向第二实计算机移动的步骤。
本发明的优选实施例包括通过网络(这可以是专用网络，虚拟专用网络，工业或其它“外联网”(即由许多机构共享的专用网络)，或因特网)投送计算机服务。对于顾客和其它用户，服务将显现为完全正常并如同使用实计算机等作为直接接口所提供的那样，而不象是通过由本发明的优选实施例提供的虚拟服务器等。以提供远程文件服务器服务为例，顾客需要的文件服务器具有特定的类型的CPU，内存量，数据存储容量等，能够简单地按需要接触服务供应商。然后如以下所详细讨论那样，供应商将在实计算机上建立虚拟配置。由顾客进行的这一接触可以电子的方式进行，并且由供应商进行的建立可通过对此的响应自动进行。对于顾客，虚拟文件服务器显现得如同在顾客自己的内部网上具有实CPU、实内存、实数据存储盘等的实文件服务器那样。如果任何时候不论是永久的或暂时地，例如顾客需要额外的内存或数据存储容量，这可由顾客最好通过在线定购，并使得实际上最好自动地立即可得。即使是小型业务和个人也将可有效访问最近的和最复杂的处理器、内存装置、数据存储装置等。
本发明的优选实施例能够提供以下的投送包括存档服务的网络文件和数据服务；应用程序托管服务数据库托管服务和数据库服务；数据仓库服务；知识管理托管服务；数字媒体产生存储服务；“知识产权”及流媒体服务；简单Web托管服务；复杂电子商务Web托管服务；高性能计算服务；电子传信和会议服务；及学习神经计算机服务；均使用安全的“虚拟计算机”，这些虚拟计算机使用虚拟服务器技术在一个或多个实计算机上生成。这些安全的“虚拟计算机”一般将运行在安全托管中心操作的一个或多个实计算机的一集群上，该中心通过通信网络提供服务投送，这种网络一般可能是不安全的，并可包括因特网或一个或多个实专用网或虚拟专用网。
一般来说，用于执行本发明优选实施例的适当的设备的例子通过采取传统的实计算机系统构成，这样的实计算机系统包括一个或多个实CPU(中央处理器)，实内存，实磁盘或其它存储器，以及实网络和实I/O(输入/输出)系统，并且然后加载包括操作系统与虚拟机提取程序的软件，这允许在物理服务器上生成若干虚拟服务器。然后诸如以上所讨论的允许投送各种服务的操作系统和其它软件，被加载到虚拟服务器。然后物理计算机系统连接到有若干顾客连接的网络系统，并然后使得运行服务的虚拟服务器对顾客可用以便进行配置和建立。然后每一顾客机构内的多个用户或其它(可能是不相关的)用户能够使用虚拟服务器上提供的相关的服务，同时使用虚拟机隔离机制使顾客应用程序和数据彼此保持隔离。这样，能够使用分开的虚拟服务器向多个分开的顾客提供服务，这时是使用一个计算机系统，而不是象现有技术方法中那样使用若干分开的实计算机系统。
应当理解，本发明不涉及虚拟机技术以及它们本身如何操作。而是本发明的优选实施例涉及用于执行特定类型的工作的虚拟机的应用程序，以及可用于任何及所有的应用程序的各种可选的或优选的变形和增强。
应当选择和配置可采用的具体的变形和增强，以便对顾客产生最大效用。对于最大效用所采用的增强的组合将根据若干因素而有所不同，例如包括由服务供应商使用的商业和定价模型；所提供的服务的混合；被提供服务的工业部门；以及由服务供应商所取的商业观点，包括技术中的研究方法。以下将讨论可能的各种变形和增强。
变形与增强现在将讨论可使用的变形与增强。在整个说明书中将参照这些变形与增强。这些变形与增强的某些由于商业和/或安全性和/或技术上的原因而实际上是更为理想的。应当理解，可以使用其它的变形与增强。这些变形与增强的至少某些使用了已知的现有技术。
虚拟机和虚拟服务器虚拟机技术用于本发明的优选实施例。虚拟机技术本身并不是新的。确实，IBM在1960年代和1970年代以IBM VM产品首创了这种技术，这种产品允许主机被划分为数个虚拟IBM主机，这些主机上可运行数个不同的操作系统。若干研究人员也已经设计出，例如在可定标多处理器上优化虚拟机使用的软件技术。例如，在US-A-6075938中，公开了能够用于在大规模共享内存多处理器计算机上生成和控制多虚拟机的软件。
本发明的优选实施例在用于允许由服务供应商通过网络向顾客投送服务的操作中，在计算机硬件和软件设备和方法的构成和操作中使用了虚拟机技术。
虚拟机技术一般包括为在实计算机系统上运行的而书写的特别的软件，这种实计算机系统本身包括一个或多个中央处理器，物理内存，磁盘存储装置，磁带存储装置，网络接口装置和其它输入/输出装置。当运行虚拟机软件时，能够生成虚拟计算机或服务器，这包括虚拟中央处理器，“虚拟物理”存储空间，虚拟磁盘或磁带或其它存储装置，虚拟网络接口装置和其它虚拟输入/输出装置。现成的商用计算机操作系统(诸如Microsoft NT，Windows 2000，Linux，Solaris，BSDI等)能够运行在虚拟机上，如同它们为实的物理机那样，并允许当前流行的计算机应用程序在虚拟机内运行，这些程序或者是定制开发的，“商业”上可得的，或者从数个现成的和预定模块系统集成通常可运行在物理计算机上。对于运行在虚拟机上的操作系统，虚拟机表现为实的。通过虚拟机软件能够生成多个虚拟机，使得能够生成若干虚拟计算环境，这些计算环境通常情形下使用现有技术设备和方法本来需要数个分开的物理计算机。这些虚拟机可通过虚拟网络(参见以下)互连，使得例如通常需要多个物理服务器的复杂的电子商务系统基础结构，安全防火墙，网络路由器和交换机能够在一个物理计算机内“虚拟化”。
多层次客户虚拟服务器的使用对于一定的应用程序，宜在本身运行在实计算机上的第一层虚拟服务器内生成第二层虚拟服务器。可使用这种附加的抽象以便进一步生成安全性分隔，或允许机器的加载和资源更有效的平衡。
实服务器内的虚拟网络可在虚拟服务器附加在其上的实服务器内生成虚拟网络。
能够通过软件生成虚拟网络，以便生成模拟以太网(IEEE802.3)，令牌环(IEEE802.5)或其它网络协议的虚拟网络接口装置和虚拟局域网。这些虚拟网络装置和虚拟网络允许一个或多个虚拟机彼此通信。至于运行在机器上的操作系统和应用程序，它们通过符合一个或多个工业标准的快速网简单地连接。
虚拟安全防火墙如果虚拟网络需要互连但只允许一定的业务量通过，可以使用嵌入的“虚拟安全防火墙”提供对虚拟服务器和虚拟网络及在实服务器内生成的虚拟网络之间的保护。
虚拟安全防火墙类似于传统的防火墙操作，即它们由运行在计算机上的主机操作系统的特定的防火墙软件应用程序组成。防火墙应用程序可以是来自若干软件公司的定制书写的或购买现成的产品(Network Associates，Check Point等(例如参见US-A-5835726))，并被编程以允许装置连接到防火墙所连接的计算机或网络，以便以由一组规则所限定的方式通信。例如这些规则被编程为一个或多个配置文件和说明，从其能够形成网络地址和端口连接通过防火墙到防火墙连接的第二网络上对应的其它端口。例如能够生成复杂配置，其中六个分开的网络能够通过六个接口防火墙系统互连，它们将有选择地允许连接到六个网络的计算机受到被编程到防火墙中的限制彼此通信。防火墙系统还可以被编程以检测违反规则试图通过防火墙通信，并能够产生提示安全操作员调查的登录文件和审计追踪。应当注意，在本发明的优选实施例中，虚拟防火墙将运行在本身运行的各虚拟机的操作系统的顶层。换言之，虚拟防火墙本身最终运行在各虚拟机上。
虚拟专用网络嵌入的“虚拟专用网络”和隧道容量的网络可允许通过另一网络(它可能是不安全的或易受攻击的)，通过虚拟服务器或在虚拟服务器(可能是连接到实服务器内的一个或多个虚拟网络)和/或另一子网络之间进行加密通信。
虚拟专用网络(VPN)允许两个或多个计算机或网络之间通过第三个网络进行通信，该第三网络可以是非常广泛地或松散地连接的(诸如因特网)。虚拟专用网络技术(例如参见US-A-5835726)的设计，使得计算机运行专门的软件，该软件提供虚拟专用网络网关以便加密数据流，并通过非安全的第三网络发送到另一网关，该网关对信息解密并将其继续发送到目标计算机或网络，且反之也然。诸如IPSEC工业标准已经设计出以允许多个厂家的虚拟专用网络软件之间可进行标准的互操作。
存储器使用现有技术虚拟磁盘和磁带机构的先进的次存储子系统，以及分级磁盘到磁带系统，其每一种本身可以是现有技术中已知的类型，可被提供以优化物理存储器的使用。如上所述也可使用其它更先进类型的存储器。这些系统工作在除了由虚拟机操作软件本身通常进行的存储虚拟化之外。
在诸如由VMware和IBM生产的数个虚拟机操作软件的例子中，虚拟机操作软件生成虚拟磁盘装置，并把它们映射为附加到虚拟机已经在其上被生成的物理计算机的物理磁盘存储系统内的“容器文件”。
本发明的优选实施例的优点在于以下的事实，这种系统允许存储容量分配给虚拟服务器，使得所提供的总存储容量可以超过物理连接的存储容量的实际量。这是因为不是所有虚拟服务器将在所有的时间占满它们被分配的所有存储器。
由StorageTek，IBM和其它公司制造的先进的次存储子系统类型优化了物理存储器的使用，使得虚拟服务器不需要特别的磁盘或磁带驱动器可运行传统的软件，同时物理服务器可使用先进的专有的软件与先进的存储机构通信。这些先进的存储机构除了其它方面之外，可以在非常高速的半导体RAM中高速缓存常访问的数据(这样免除了通常在磁盘寻道时间，旋转等待时间，旋转速度和磁盘头读/写速度中引起的时间滞后)；优化了数据在实磁盘上的放置以提高性能(为了降低磁盘激励器寻找时间以及旋转磁存储器涉及的旋转等待时间)；提供了对虚拟磁盘进行“快照”的能力，以便为存档或返回的目的提供瞬时拷贝；并通过消除在两个分开的地方复制同一存储的信息的拷贝而优化了空间使用(诸如当文件或文件组被拷贝时)。当实际上实存储器由商用操作系统不易使用的高速磁盘存储器和专有的复杂的高性能磁带存储器时，虚拟磁带系统(如由StorageTek，IBM，Hitachi及其它供应商制造的)可用来生成一类磁带驱动器，运行在虚拟机上的商用操作系统可被编程与之通信。最后，分层的存储系统能够自动地将不常使用的文件(这可能由整个虚拟磁盘组成)从高价值的旋转磁盘存储器转移到低价值的串行访问或随机访问磁带系统，这些系统可采用与多个磁带驱动器连接的自动机器人磁带库。
磁盘存储器通过虚拟机软件的虚拟化可与虚拟存储系统的容量配合，以便就容量、吞吐量和性能对提供给虚拟机的存储器进行性能优化。存储区网络(SAN)可用来通过SCSI或光纤通道(Fibrechannel)连接实计算机与一个或多个先进的虚拟磁盘及磁带存储系统，或者直接或者通过存储区网络交换机，在本地或跨越距离，允许运行在一个城市的虚拟服务器访问来自位于另一城市的存储器的数据，或能够跨越数个地点复制以改进对灾难的恢复能力。
这种虚拟存储器和存储区网络系统它们本身是已知的，并可从例如包括Storage Technology Corporation of Louisville，Colorado，USA等数个公司获得。例如还可参考US-A-5459857及US-A-5371882。
内存管理可在物理服务器及其主机操作系统内建立先进的虚拟内存管理系统，使得与虚拟服务器软件协同操作以允许虚拟服务器显现出具有物理内存，其和可能超过出现在实的服务器上“虚拟物理内存”的量。这是可能的，因为不是所有的虚拟服务器总是使用所有的它们被分配显示出的物理内存。
备份备份系统能够这样建立，使得或者虚拟服务器备份它们自己的存储器到外部驱动器，诸如被直接连接的磁带驱动器，或者它们通过实或虚拟网络连接备份它们的存储器到托管服务器。备份系统还能够这样建立，使得虚拟服务器不需要进行它们自己的备份。确实，实服务器进行包含虚拟服务器的存储器和配置的文件和数据库备份。
虚拟服务器的检验指示，存档和灾难恢复可提供设施以允许虚拟服务器(或虚拟服务器组)被检验指示以保持服务器和虚拟处理器状态，并形成用于存档的服务器的拷贝，或允许整个虚拟服务器通过实际网络被移动到另一实计算机。服务器的移动能够例如为测试的的目的而被使用，以出于商业原因，方便虚拟服务器的移动，以便平衡服务器的性能，或为冗余的目的而移动服务器。对高可用性的应用程序可使用虚拟服务器的人工或自动排序检验指示，因为不可靠的硬件失效或指示其将要失效时，被检验指示的虚拟服务器能够在可靠的物理服务器硬件上被重新启动。如果原来的实计算机服务器失效，单一的或多个检验指示虚拟服务器的拷贝能够用来在另一实计算机上提供灾难恢复服务。
CPU和内存能够通过若干技术提供物理服务器中CPU和内存容量。单一的或多个处理器服务器能够或者被单独使用或与分布在它们之中的虚拟服务器多集群在一起使用。这些服务器或者访问本地附加的次存储器或共享在存储区网络上的中心存储器(如上所述其本身可能采用虚拟磁盘及磁带技术)。可使用大规模并行共享内存或NUMA(非一致内存访问)或ccNUMA(超高速缓存相干非一致内存访问)计算机，以便投送提供服务的多个虚拟服务器可在其上运行的较大的物理服务器。物理服务器可以是被硬件分区为一个或多个CPU的分布式处理单元，其每一个上可运行多个虚拟服务器。
代码形态服务器例如使用由Transmeta开发的已知的代码变形技术(code-morphing technology)类型，可以使用其本身变形以模拟另一中央处理器指令集的处理器技术构成单个、多个或大规模并行的计算机。可在这种硬件平台上构成操作系统和虚拟服务器系统，以便允许生成具有不同虚拟处理器体系结构的多个虚拟服务器，允许本发明的特性和优点以更高的性能和灵活性表现出来。
可使用代码变形处理器专门构成专用虚拟机托管计算机，以便允许非常大量根本不同系统体系结构的计算机虚拟化，诸如IntelPentium，Intel Itanium，Compaq Alpha，Sun Ultrasparc，PA-RISC，及Motorola PowerPC。
机器仿真服务器使用机器仿真软件和技术的混合，可使用运行一种操作系统的处理器技术构成单个，多个或大规模并行计算机。代码运行在这种操作系统上以模拟另一中央处理器和计算机系统的指令集与计算机体系结构。操作系统和虚拟服务器系统可在这种硬件平台上构成，以便允许生成具有不同虚拟处理器体系结构的多个虚拟服务器，以允许本发明的特性与优点以更高的性能和灵活性表现出来。机器仿真软件从若干供应商可获得，例如允许使用Intel Pentium处理器模拟IBMSystem/390处理器，DEC VAX系统，及Intel Itanium体系结构。
新出现技术的使用近来并新出现的先进的处理器，内存和次存储器技术可用来投送显然可由传统技术构成的虚拟服务器。这允许服务以更高的性能，较低的成本和更大的灵活性投送，同时使用商业软件保持当前的服务，操作系统和应用程序。这些较新的处理器技术可被专门设计以提供虚拟服务器平台，并可采用专门服务于这种应用程序的标量，并行化，管道化，向量和阵列指令集(允许同时在多个流或数据块上执行多个指令)，寄存器结构，逻辑单元体系结构和接口。为了生成高可用性虚拟服务器，可对虚拟服务器的使用专门开发处理器，或采用通用处理器以允许使用高可用性表决型系统。原则上可使用带有虚拟化软件的特别高速的技术，诸如光计算机(使用光束切换处理信息，生成逻辑门并生成内存存储)，量子计算机(使用量子力学原理处理并存储信息)，以及分子计算机(在分子水平生成逻辑门和内存)，生成多个商用虚拟机，它们尽管虚拟化和仿真无效，但将运行在比当今的处理器和内存技术更高数量级。可使用采用二进制或多态逻辑或模拟处理的内存和次存储系统。可以通过物理机使用采用全息术的存储元件，以便或者在传统的开关逻辑内存(使用专用付立叶变换逻辑电路)或者其它材料，诸如聚合物晶体结构(使用光束全息术)中存储信息，使得虚拟机软件使用这种内存生成很大量的“虚拟物理”内存供运行商用操作系统的商用虚拟机使用。
这些技术将允许产生这些先进的计算技术的公司开发那些技术，并从那些技术获得商业利益，而不会把它们的操作细节透露给竞争者。
学习神经计算机的使用可使用人工智能学习神经计算机技术提供使用已知和新出现的技术的多个虚拟人工智能学习神经计算机。使用带有数个处理神经元的学习神经计算机系统，可写出并运行软件，使得实学习神经计算机系统生成带有数个虚拟处理神经元的数个虚拟学习神经计算机系统，该系统可能或可能不映射单个或多个神经元到实处理神经元。
此外，使用对于带有数个处理神经元的学习神经计算机系统已知和新出现的技术，可写出并运行软件使得实学习神经计算机系统生成数个虚拟的传统的，通常的或代码变形服务器及服务，例如允许商业或传统的操作系统和应用程序在非常先进的神经计算机硬件平台上运行。这些学习神经计算机本身可以或者直接使用特定的硬件执行，或者本身可以在虚拟神经计算机机器内被编程，然后在先进的光学，量子或分子计算机上执行。
使用先进的互连和分布式处理系统使用已知和新出现的技术，实计算机系统可在网络到处分布并互连，使得数个实计算机系统作为一个，容错协同机操作。这种机器与传统的或全息术内存和存储子系统一同，可采用传统的、代码变形或学习神经计算机处理技术，它们也可以是在网络到处分布的。机器上的软件将以类似的方式使用网络及内部互连，允许因带宽限制作分布处理和信息存储。
虚拟服务器的控制虚拟服务器的控制例如可借助于托管它们的实计算机上的直接附加的控制台进行，或借助于通过带内或带外网络系统连接的控制台进行，这些系统可能或可能不连接到实服务器内部的虚拟网络。
虚拟服务器的设置虚拟服务器的设置例如可借助于实的基于托管服务器的设置程序，借助于网络可访问手册或半自动设置程序，或借助于链接到允许系统的最终用户对其付费的处理应用程序自动设置器程序进行，在孤立的或连网的设置中建立并自设置一个或多个虚拟服务器。虚拟服务器的设置还可使用编程工具被自动化，这样生成虚拟硬件平台以满足自动或人工生成并引入到虚拟硬件中的软件或系统应用程序的需要。虚拟服务器和虚拟网络的设置可按以上使用在线或离线系统进行，其中例如销售代理可使用基于计算机的实用程序绘制虚拟服务器和网络设置，当就绪时向服务供应商传送，并在很短时间内被转换为虚拟服务器和网络的设置。
实计算机和存储系统的控制和管理其上运行虚拟服务器的实计算机例如可以借助于在实计算机上直接附加的控制台，或借助于通过带内或带外网络系统连接的控制台管理和控制，这些控制台可能或可能不连接到实服务器内的虚拟网络。这些控制台可允许实计算机的操作参数由操作人员监视并控制，并可采用作为控制和监视工具的图象显示，以允许每一托管一个或多个虚拟服务器的实计算机被管理和控制。
强化的安全性隔离虚拟服务器的安全隔离实际上是特别重要的。使用实服务器上可置信的安全内核和其它可置信的基于计算的元件，并一同使用安全可置信的虚拟服务器抽象软件可实现强化的安全性。要根据用于安全计算机系统评估的公用准则使用安全系统开发寿命周期开发这种可置信软件。此外，可使用涉及加标签的安全性隔离的安全性功能。在这种方式中，虚拟服务器可对于技术安全性的置信性对其重要的数个顾客运行，每一虚拟服务器运行在不同的安全性级别，同时实计算机，其操作系统和虚拟服务器软件提供虚拟服务器可在其内执行的非常可靠的技术上安全的隔离。
安全入侵检测为了提供对由顾客结合到虚拟服务器主机系统中的安全性功能以上或超过的入侵检测，且不干扰虚拟服务器主机系统，运行在实计算机上的虚拟化网络入侵检测系统能够监视虚拟网络上的数据流，以便根据静态的、动态的或探试规则集，检测是否有一个或多个虚拟计算机被错用或受到敌意性的攻击。特别书写了入侵检测软件以便检测数个预先编程的或自学习的攻击性签字，它们能够被简单地作为来自一定的网络地址到另一网络地址和被保护的端口范围未授权的连接试图，以至到典型的黑客攻击序列的探试模式识别。然后虚拟入侵检测系统能够提示一个或多个系统操作员。另外或附加地，可自动调用分析，逃避或响应过程，以便例如关闭或收紧主机或防火墙安全性。此外，虚拟入侵检测系统能够运行在实计算机上并自动扫描内存和存储空间，指示恶意软件或行动的存在。多个入侵检测系统能够使信息在服务供应商内通过单个实服务器，多个服务器，或通过数个服务供应商的多个实服务器关联在一起，并然后激励手册或自动校正响应。
子系统内的互操作为了优化运行在虚拟服务器系统上的各种服务的性能，可使用机制使实服务器，虚拟服务器和存储子系统之间能够进行互操作，以便它们作为一个互操作的“虚拟机托管主机系统”操作。
连续更新能力为了允许连续更新，虚拟服务器可运行在允许CPU，存储和输入/输出能力被断开，重新设置和更新的实服务器和存储子系统上，同时虚拟服务器连续投送服务。取决于实际使用的硬件，不同代的硬件(诸如CPU)可在一个系统中混合，且虚拟服务器被允许在不同能力的CPU之间动态移动。
使用监视和收费由顾客使用并对顾客的收费返回能够通过若干途径计算。计数机制可建立在虚拟服务器或实计算机软件内，以便允许虚拟服务器的服务使用与软件许可证付费发放一同计算。这些计数设施能够集成到设置软件，以便允许单独或同时使用若干不同的价目表结构对收费使用帐到即付。
快速启动为了允许快速启动提供服务的虚拟服务器，可从已经以最流行软件设置预先加载的预先设置的虚拟服务器拷贝虚拟服务器。
资源平衡控制设施可插入到虚拟服务器或实主机操作系统软件中，以便允许服务操作员对各虚拟服务器和实硬件/软件子系统设定和改变操作参数。这些参数可包含虚拟服务器彼此相对的优先级，它们能够分配的内存范围，以及它们能够耗用的系统和网络输入/输出带宽和资源量。
结论本发明及其优选实施例有若干优点，可用来极大增加基于虚拟服务的进入市场的速度，成本-效益，灵活性，可管理性，可靠性与性能，其方式使得极大增加服务供应商或其它采用本发明的顾客的市场份额。具体来说，按CPU能力，主内存存储器或次存储器在软件控制下向虚拟计算机进一步分配资源的能力，意味着各种服务的顾客能够以极高的速度和便利重新设置并更新他们的虚拟计算机提供的服务，而能力仍然保留在中心资源池中。虚拟服务器的CPU资源从实服务器的分离和抽取，意味着能够与实服务器中物理CPU数目无关地生成提供用户服务的数个虚拟服务器，这提供了很大的灵活性与成本效益。使用虚拟磁盘和磁带存储子系统允许存储量分配到虚拟服务器超过实际连接的物理存储量，这允许对服务操作者形成显著成本节省，这节省可进而传送到顾客。通过实主机计算机，先进的虚拟磁盘和磁带系统的使用允许进而集结存储空间，降低成本，并提高性能，尽管运行在虚拟服务器上的操作系统和应用程序看得见虚拟磁盘且不需要专门的软件就位。由于运行在带有被管理的硬件和存储系统的高可用性硬件上的虚拟服务器系统的规模经济性和较大的可靠性，运行和维护服务器系统的操作成本被显著降低。由于系统的虚拟化，对顾客的使用复制标准的配置的能力，以及在软件控制下设置虚拟服务器和虚拟网络复杂的配置的能力，对于服务的系统安装和配置的成本显著降低。要求系统能力的开办经营不需要购买和安装重要硬件项目；而是能够基于帐到即付即时地提供服务。合资经营可使用由外部托管服务供应商操作的分开的虚拟服务器用于他们的服务。在特定的工业部门内，能够提供部门特定的服务，使得合资经营项目服务和单个机构服务可同等地但是从分开的虚拟服务器系统提供。能够对硬件系统容量进行宏观管理以便考虑提供服务的虚拟服务器的计划的利用水平，应付平均负荷水平和个别的峰值，与对每一应用程序和/或顾客涉及分开的硬件服务器的现有技术方法相比，所有这一切都显著节省了成本。在容量存在的情形下能够易于提供临时性的顾客需求；当这种需求不再有时，整个的环境能够保持用于未来激活。运行在虚拟服务器上的顾客的服务能够简单地在他们的配置中，而仍然取得由大规模系统和存储子系统提供的容量，可管理性和性能的优点。多个顾客服务器整合为一个或多个大的服务器不需要顾客的资金支出；服务供应商使用管理虚拟托管业务的高调节业务过程，平衡容量和资金支出。能够运行基于先进的网络和主机的安全入侵检测系统，而无需额外的附加的专用入侵检测硬件。原型机，开发和测试系统能够易于从产生系统克隆，反之也然，而无需提供额外的专用硬件。服务器连同安全防火墙复杂的配置能够在“虚拟空间”中非常快速地构成，这允许对于复杂的电子商务系统非常高速地进行市场营销。通过实托管计算机可使用未来的计算机硬件和软件技术，而不会因有运行服务及应用程序造成有害的冲击或改变。对于灾难恢复或其它目的，能够非常高速对由一个或多个虚拟服务器组成的服务进行检验指示或关闭，并重新定位到其它托管系统或托管供应商。能够向数个机构提供包括学习神经计算机在内的先进计算机服务。先进的学习神经计算机可用来仿真传统型的一个或多个虚拟服务器，这允许未来的计算机系统执行传统的软件并提供传统的服务。
要知道，当前如果一个机构例如希望在因特网上在线主持一个电子商务应用程序，起初必须与在托管中心有足够机柜空间的托管服务供应商订立合同。然后一般要耗费八周的时间采购并安装顾客专用的计算机设备，并把系统引导到充分无故障的工作状态。反之，根据本发明的实施例，一旦对于这种基础结构的规范已经由顾客确定并传送给供应商，这一般是在线进行的，整个的等价的虚拟系统只需几分钟的或更短的时间就能够全自动或半自动地就绪。
能够看到，服务供应商能够提供虚拟化的IT和电子商务基础结构服务，它们几乎完全避免了需要顾客机构采购他们自己的物理IT服务器基础结构，或者在他们自己的办公室内，在IT外购公司的办公室中，或在因特网托管服务供应商办公室内，而是使用由托管服务供应商投送的虚拟化的IT基础结构。
此外如上所述，服务供应商能够向全体顾客提供所有的概念上的处理器能力，内存容量和所有的存储容量，这些能力在每一种情形下可能超过可用的实际的处理器能力，实际的内存容量和实际的存储容量，事实在于不是所有的顾客总是在使用所有他们被分配的处理器能力，内存容量和存储容量。实际上，供应商将进行监视以保证实际的处理器能力，内存或存储容量不会被达到或超过，可能在需要时采取措施进而添加实际的能力。


现在将参照附图通过例子说明本发明的实施例，其中图1图示出本发明一个实施例的物理系统体系结构的第一例；以及图2图示出对应于图1的物理系统体系结构的逻辑系统体系结构的一例；图3图示出本发明一实施例的另一物理系统体系结构的一例；图4图示出对于本发明一实施例的虚拟设备配置一例；图5图示出在物理上分开的实计算机上生成的多个类似的虚拟服务器网络的连接；图6图示出本发明实施例的另一例。
具体实施例方式
重要的是要注意，根据本发明优选实施例的的设备呈现两个不同的部分，即物理和虚拟部分。
首先，在物理世界，设备包括计算机室，电源，服务器，存储子系统，网络交换机和其它物理设备标准部件组装在一起，以便提供带有特定特征的高性能计算平台，它们本身支持计算机，存储器和网络的高性能的虚拟化。
其次，使用上述的虚拟机，网络和存储技术，在“虚拟世界”中构成一系列设备。
虽然有性能和容量上的考虑，但应当注意，一般物理设备实际的结构与虚拟设备的结构无关，或反之亦然。这一独特的性质意味着在一特定物理设备类型上构成的以投送服务的虚拟设备，能够成功地重新定位到不同设计或规模的不同物理设备上，而无需如传统上所需的那样物理上重新配置或修改。一旦虚拟托管系统组装好，受性能和容量限制，一般来说虚拟系统配置的任何设计能够在其上组装。
物理和逻辑系统体系结构图1图示出本发明一实施例的物理系统体系结构的一例，并示出硬件组件之间的相互关系。图1示出使用公用的虚拟服务器基础结构如何能够投送所有的服务。该图示出以下变形和强化的使用先进的次虚拟磁盘和磁带子系统，采用物理内存超高速缓存以优化吞吐量并降低存储访问转动等待时间和寻找时间；使用分层存储系统以备份虚拟服务器；在实服务器中的CPU/内存供给；用于实计算机和存储系统管理的控制系统；以及，安全入侵检测。
计算机室60以空调和清洁，冗余的电力准备好。类似的计算机室61在距离几英里或公里远的另一建筑物中准备好。多个高带宽光纤通信链路铺设在计算机室60，61之间。具有如下所述的两个计算机室60，61和多个硬件连接系统提供了灾难恢复和复原性能。
以最大CPU和内存配置(例如每计算机2太拉字节)配置大量的多处理器服务器62机柜，或互连的NUMA或ccNUMA大规模并行计算机62，这种计算机例如可能包含每计算机高达512个处理器，并安装在每一计算机室60，61。在各服务器62每一个中安装存储区网络(例如光纤通道)和局域网(例如千兆位以太网或ATM)接口卡。带外控制台管理子系统63通过实网络64连接以便允许各服务器62的启动，配置，控制，监视和关闭。这些各种局域网和存储区网络连接和接口适配器被适配到计算机中，以便保证输入/输出带宽最大化并消除潜在的性能瓶颈。这是通过以下进行的，识别包含处理器的托管计算机最大可能的输入/输出带宽，然后根据系统的体系结构，安装多个接口卡，使得中央处理器能够通过那些接口以最大可能的吞吐量和最低的响应时间驱动数据。然后这些接口连接到存储区网络，该网络备有足够的带宽，可规定一定的存储区网络交换机/路由器的配置。反过来，这些交换机/路由器连接到以下所述的虚拟存储子系统，再次是用足够的接口和连接通路，以便允许有最高可能的数据吞吐量和最低的响应时间。
若干虚拟存储子系统65配置为允许多个实物理磁盘66模拟一个或多个不同规格的虚拟磁盘阵列，例如带有总量为超过5太拉字节，按最优的配置，几百个太拉字节的存储量。这些安装在每一计算机室60，61中。虚拟机器人磁盘/磁带子系统67配置为自动从虚拟存储子系统65，通过磁盘缓存器向实磁带子系统68转移不使用的数据。这些安装在每一计算机室60，61中。使用虚拟存储和虚拟磁盘/磁带子系统65，67，在实计算机62中生成的所有虚拟服务器的存储由存储子系统65自动备份。
存储区网络交换机安装在每一计算机室60，61及服务器62中，使用存储区网络69，虚拟存储器65和虚拟磁盘/磁带子系统67连接到每一其它和存储区网络。计算机室60，61之间的跨越连接也是由存储区网络69提供的。
两个或多个高速网络交换机(例如千兆位以太网)70安装在每一计算机室60，61以传输顾客数据流。高速网络交换机70通过实网络71连接在一起并连接到各实服务器62的每一个。
两个或多个高速安全防火墙设备72安装在每一计算机室60，61中，并分别连接到高速网络交换机70连接的实网络71。防火墙设备72以高速(例如2.4 Gbps)连接到一个或多个外部网络100，它们可能包括因特网。安装有入侵检测传感器73并连接到高速网络交换机70。
安装有控制台63，并按需要与各系统组件互连，以管理和控制各系统组件。如图所示，控制台63可连接到分开的物理网络64，该网络分别从承载顾客数据流的网络系统69，70连接到存储器子系统65及服务器62。
现在参见图2，其中图示出对应于图1中所示物理系统体系结构的逻辑系统体系结构以及硬件和软件模块的互连的一例。图2示出使用公用服务器基础结构如何能够投送所有的服务。该图示出以下的变形和强化的使用两个层次的存储器虚拟化；先进的次虚拟磁盘和磁带子系统；以及使用存储区网络的虚拟服务器的检验指示，存档和灾难恢复。
现在参见图2，虚拟存储器阵列80配置为在图1的每一计算机室60，61中对于服务器和/或并行计算机62的机柜，提供操作系统加载和的页面/交换空间。实操作系统软件81安装在服务器系统62上，它们使用虚拟存储器阵列80，诸如虚拟磁盘和磁带存储系统80，作为它们的主磁盘系统。然后服务器系统62被启动并引导。然后虚拟机操作软件82与所需的配置和控制软件一同安装在服务器系统62。在优化的配置中，实操作系统81与虚拟机操作软件82的功能被紧密结合以优化性能。还安装并配置资源管理和报告系统。
然后准备预先配置的虚拟服务器83，并存储在配置和虚拟存储容器文件内，且包含用于不同顾客A，B，C，D，E的虚拟机操作系统84和应用程序和/或服务器软件85。虚拟服务器83内多个一级虚拟磁盘(B)作为二级虚拟磁盘存储。虚拟磁盘和磁带存储系统80上的二级虚拟磁盘分区或容器文件附加在实计算机操作系统81及虚拟机软件82上。通过优化效率、性能和容量的方式在实物理磁盘和磁带之间分布数据，虚拟磁盘和磁带存储系统80提供了又一级别的虚拟化。当使用两级存储虚拟化时，对存储管理系统进行配置，以便与虚拟机操作系统软件82协同操作，优化存储空间效率，用途和性能。设置到面向顾客的配置，报告，控制和管理系统(未示出)的软件接口，这允许顾客付费，配置并设置虚拟服务器的互连网络，可选地使用图形用户接口。最好还启动扫描入侵检测系统端口监视程序，以便对于敌意的指纹或恶意的软件或攻击模式自动扫描所有附加的系统存储器。
现在将说明设备的可替换的结构，以便以更专门的组件描述整个系统的体系结构。
示例性物理设备设计1为了示例的目的，这一对于物理设备的设计是基于使用来自IBM和VMware的有市售的公开的现有专业技术标准部件的物理设备结构。
准备好有空调和清洁，冗余的三相电源(对于大的存储子系统一般需要三相供电)的计算机室。在一定距离远在存储区网络互连系统的限制内构建一个类似的计算机室。
现在参见图3，准备标准的19英寸(大约48cm)宽的工业设备机柜，并安装四个IBM Netfinity x370服务器A1，B1，C1，D1，配置有八个Pentium III Xeon 933MHz 2MB cache处理器和4GB主内存(可扩展到32GB)。服务器内不安装本地磁盘存储器。Ultra-fast Wide SCSI适配卡A2，B2，C2，D2与两个光纤通道适配器A3/A4，B3/B4，C3/C4，D3/D4装配到每一服务器。对于系统引导和其它系统管理存储目的，主要使用每系统两个Ultra-fast Wide SCSI通道。对于连接最终由在服务器上被主控的虚拟机所使用的存储器之用，主要使用每系统两个光纤通道适配器。
装设一个以上的光纤通道接口，以便使系统的输入/输出吞吐量最大化。假设系统的外围组件互连(PCI)总线运行在66MHz且为64位宽，则单个PCI总线上的最大突发传输率为528Mbyte/秒，而光纤通道连接的峰值突发输入/输出吞吐量为100Mbyte/秒。
用于四个系统的键盘/视频/鼠标控制台连接通过键盘/视频/鼠标切换开关，或通过先进的系统管理PCI适配器卡直接连接到键盘，监视器或鼠标。至少两个Gigabit以太网PCI卡装配到每一服务器，一个(A10，B10，C10，D10)用于虚拟机和链接到顾客的外部网络之间的主网络连接，另一个用于服务管理之用。
设备的存储子系统部分使用IBM Enterprise Storage SystemF20存储阵列14构成，它的全面配置是36GB磁盘15的阵列，八个光纤通道适配器和互连A6/A7，B6/B7，C6/C7，D6/D7，以及两个双端口SCSI适配器及互连A5，B5，C5，D5，分别用于提供主虚拟机磁盘存储和系统引导/管理。附加的SCSI适配器和互连18与一对光纤通道适配器及互连19，20用于更多的系统管理服务器，这些服务器能够由光纤通道或ESCON互连13连接到机器人磁带备份系统17，以便提供到磁带的磁盘存储备份。最后，使用两个专有的IBM ESCON连接16链接存储阵列14到在另一位置的第二存储阵列，以允许保存可用性重要信息的镜象拷贝。IBM ESS 14装有最大量的物理内存高速缓存以优化磁盘性能。当前最大为32GB，用于虚拟机数据存储的磁盘配置为以224GB的IBM ESS14为限当前最大规格的RAID-5阵列。
IBM ESS 14配置为对四个连接的x370处理服务器平均提供2太拉字节的存储量，这是两个光纤通道接口的每一个有五个224GB光纤通道直接连接虚拟磁盘，加上提供给通过SCSI接口连接的四个服务器的每一个为18GB的其它四个系统磁盘。在这一配置中，IBM x370服务器A1，B1，C1，D1“看见”单个的SCSI或光纤通道磁盘；另外IBM ESS存储器阵列14虚拟化为性能和可靠性而排布为RAID阵列的内部磁盘，并通过大内存高速缓存连接。这免除了运行在x370服务器A1，B1，C1，D1每一个的操作系统内核必须管理RAID磁盘系统或提供内存高速缓存。
四个IBM x370服务器A1，B1，C1，D1上的主千兆位以太网接口连接到高速千兆位以太网交换机2(诸如由Cisco制造的)。四个IBM x370服务器A1，B1，C1，D1上的次千兆位以太网接口连接到第二高速千兆位以太网交换机3用于系统管理。这两个交换机2，3不连接在一起。
IBM ESS存储器阵列14的以太网端口10，分开的存储系统管理服务器5，ESS控制台计算机4(运行Microsoft Windows NT及专用系统管理软件的分开的工作站)，其它系统供应和管理系统7，8，9，与局域网6也连接到第二千兆位以太网交换机3。
位于地理分开位置的上述类型的第二物理设备可按第一设备构建，并例如借助于千兆以太网和IBM ESCON互连。
一旦组装成物理设备，各网络和存储装置每一个的基础操作软件被加载并配置，以呈现如上所述的网络和存储设施，虽然在这一阶段IBM x370服务器不必启动。然后，为了生成虚拟机环境，VMware ESX软件加载到x370服务器之一并安装到由IBM ESS向其提供的18GB系统磁盘。一旦安装，VMware软件即被启动，并然后能够借助于在线配置工具人工或自动配置虚拟机和虚拟网络，以提供虚拟机环境满足顾客需要。例如使用在IBM ESS上提供的FlashCopy设施，这一系统图象可被拷贝供其它IBM x370服务器使用，允许启动其它服务器。
一旦系统被启动且顾客虚拟机生成并如以下进而所讨论使用，能够使用若干系统管理和性能软件工具优化整个系统性能，其优化方式从人力观点在较小的系统上是禁止的。例如，通过IBM ESS提供的设施允许使用单个的管理工具先期主动管理磁盘存储容量和性能，以消除性能瓶颈。
示例性物理设备设计2在这一设计中，设备组装基本上与上述设计1类似，所不同在于四个IBM x370服务器由单个NUMA大规模并行服务器代替，诸如IBM x430 64处理器服务器，或可从其它硬件制造商获得的类似的或更大的处理能力的类似的服务器。其优点是允许单个托管系统图象被使用，这明显简化了存储管理和系统管理，从而降低了操作成本。这种大规模并行服务器通过多个光纤通道或IBM ESCON接口连接到存储子系统，在服务器和存储子系统之间提供非常高的输入/输出带宽。一种增强型能够包括多个存储子系统的使用，该子系统是通过采用存储区网络光纤通道交换机的非常高的带宽存储区网络连接的。很清除，操作系统内核和虚拟机软件将必须被设计为可在不同物理体系结构的机器上正确操作，并使用存储区网络，虽然如前所述，可能的虚拟系统设备的配置不受影响。
示例性物理设备设计3在这种设计中，描述了非常基本的配置，其只适用于小规模的托管工作，并就室内空间，系统能力，及特别是系统管理与支持而言，不能象上述复杂的设计那样达到明显的规模经济效益。
准备包括室内空间，电力与空调的物理工作环境。单个的四路处理器服务器(诸如Dell Poweredge 6400)配置有4GB物理内存，分离的4×2磁盘底板，内部RAID控制器，八个36GB磁盘，及两个Gigabit以太网网卡，一个用于通过网络连接顾客，另一个用于连接系统管理网络。
VWware ESX软件加载到服务器以生成虚拟机环境。一旦安装，VWware软件即被启动，并然后借助于在线配置工具人工或自动配置虚拟机和虚拟网络，以提供虚拟机环境满足顾客需要。
“虚拟设备”构成现在参照图4，该示出本发明的实施例的虚拟设备一例。图4中所示的例子使用实服务器内的虚拟网络，虚拟安全防火墙，嵌入的虚拟专用网络，及安全入侵检测。
使用虚拟机软件在实计算机30内为第一顾客生成一个或多个虚拟服务器VSA(图1中示出两个)。使用软件系统管理程序控制虚拟机软件内的配置。用于第一顾客的第一虚拟网络VNA在实计算机30内部生成，借助于虚拟机软件顾客A的虚拟服务器VSA与之连接。生成更多的虚拟服务器31，其上安装操作系统和入侵检测软件系统，更多的虚拟服务器31还连接到第一虚拟网络VNA。
生成具有两个虚拟网络接口33，34的另外的虚拟服务器32。一个接口33连接到顾客A的虚拟网络VNA。另一接口34连接到虚拟“超级”网络35，该网络也附加到依次物理连接到(潜在不安全的)外部网络(诸如以太网)100的实计算机30的实网络接口之一。顾客A的实局域网LANA通过运行防火墙和虚拟专用网软件的服务器36连接到外部网络100。防火墙操作系统和软件安装在虚拟服务器32上，且软件以所需的访问和登录规则被编程。虚拟专用网软件还安装在防火墙虚拟服务器32上，且连接被编程以便通过加密的安全通道把顾客的网络LANA连接到虚拟网络VNA。这样，只有顾客A能够访问顾客A的虚拟网络VNA和虚拟服务器VSA。如所述，顾客A一般将具有在实服务器36上运行防火墙和虚拟专用网软件的硬件防火墙系统，该服务器插入在顾客A的网络LANA与外部网络100之间。示出顾客A的各工作站WSA与顾客A的网络LANA连接。入侵检测系统37最好安装在外部网络100与实托管计算机30之间。
除非虚拟服务器VSA已经事先预加载软件，否则操作系统软件和应用程序要被安装到虚拟服务器。
一旦上述的系统建成，向顾客A的机构显现的结构，整个如同虚拟服务器VSA和应用程序及它们上的数据运行在传统的物理硬件并直接连接到顾客A的网络LANA那样，如图4中虚线所示。
如图4中所示，对于附加的未连接的顾客B和C及合资的JV可重复相同的过程。
图5图示出，使用虚拟专用网技术如何能够互连在物理上分开(且可能是地理上远离的)的实计算机30，30’上生成的多个类似的虚拟服务器网络。从图5可以理解，第一实计算机30如以上参照图4被设置，以便为多个顾客A，B，C，JV提供带有虚拟服务器VS的虚拟网络VN。第一实计算机30的虚拟“超级”网络35通过外部网络100连接到以对应的方式建立的第二实计算机30’的虚拟“超级”网络35’，以便为顾客A，B，C，JV提供带有虚拟服务器VS’的第二组虚拟网络VN’。每一顾客的虚拟服务器VS，VS’显现给顾客如同它们在相同的(实)网络上那样。能够在虚拟空间中类似地构成大量的其它顾客系统以便共享相同的硬件系统。
应当理解的是，对于虚拟服务器、虚拟网络，虚拟操作系统和虚拟防火墙等，可以根据不同的顾客需要使用不同的配置。
在图6中图示出能够向广大的顾客群提供服务的Web托管配置的一例。能够通过这种结构投送的服务包括“知识产权”和流媒体服务，简单的Web托管服务，及复杂电子商务Web托管服务。所示的例子使用实服务器内的虚拟网络；包括虚拟多端口防火墙在内的虚拟安全防火墙；及安全入侵检测。所示的例子除了对“拥有”在实计算机30上被托管的电子商务系统的顾客提供安全虚拟专用网连接之外，还能够对外部网络上的大量用户特别提供安全防护交易Web服务。
在图6所示的复杂Web托管系统的具体的例子中，对于第一顾客A，通过生成具有两个虚拟网络连接121，122的虚拟服务器120而生成两端口的安全防火墙，并在其上安装防火墙操作系统和防火墙软件。一个端口121连接到与实外部网络接口100连接的“超级”虚拟网络35。另一端口122连接到第一虚拟网络123(DMZ1)，业内专业人员通常称之为“De-Militarised Zone”或“DMZ”。
通过生成带有两个虚拟网端口125，126的虚拟服务器124，并在其上安装操作系统和Web服务器软件，生成一两端口Web服务器。在实计算机30内一个端口125连接到第一虚拟网123(DMZ1)，而另一端口126连接到第二虚拟网127(DMZ2)。
通过生成具有四个虚拟网连接129，130，131，132的又一个虚拟服务器128，并在其上安装防火墙操作系统与防火墙软件，生成四端口防火墙。第一端口129连接到第一虚拟网络123(DMZ1)，第二端口130连接到第二虚拟网络127(DMZ2)，且另外两个端口131，132每一个连接到分别生成的虚拟网络133，134，它们分别连接到在实计算机30内生成的两个另外的虚拟服务器135，136之一。这另外的虚拟服务器之一135配置有操作系统并以应用程序软件加载。其它另外的虚拟服务器136配置有操作系统并以数据库管理系统软件加载。虚拟磁盘140附加在按顾客或应用程序要求的规格的虚拟服务器上。
然后如传统的电子商务系统那样，顾客A的电子商务应用程序系统和数据被加载并配置在虚拟的Web服务器124，应用程序服务器135及数据库服务器136上，并设置防火墙规则以便只允许进行确属应用程序正常功能的通信。又生成另外的虚拟服务器137，其上安装入侵检测软件系统，该另外的虚拟服务器137也连接到第一虚拟网络123(DMZ1)。
可以按上述方式，形成到顾客A的网络上传统的服务器的虚拟专用网或到附加的虚拟服务器网络的连接。
系统对服务的用户X和Y及顾客A显现为由分立的物理服务器和防火墙构成的“复杂Web”托管系统。
能够在虚拟空间中类似地构成大量的其它顾客Web托管和电子商务系统，以便对于其它顾客B和C如图6中图示那样共享相同的硬件系统，这些顾客的每一个可能要求非常不同的虚拟服务器，防火墙，磁盘和网络设备的结构，配置和能力。
可使用以上讨论的一个或多个变形或增强型构成进一步的增强型。例如，可由顾客使用基于Web系统配置程序，进行虚拟服务器的配置；资源管理和向顾客使用的收费返回可以是自动的；如果一个硬件系统失效或过载，能够使用虚拟机软件对系统作出检验指示并在其它硬件上重新启动；使用硬件热交换特性，能够在虚拟服务器运行时安装附加的硬件并移除老的硬件；可以采用多层客户虚拟服务器，从而在其它虚拟服务器内生成虚拟服务器，以便增加功能或安全隔离。
已经具体参照所示的例子说明了本发明的实施例。然而应当理解，在本发明的范围内可对所述的例子作出变形和修改。例如可能希望在两个实物理机之间提供“隧道”，以便允许沿运行在物理机之一上的虚拟机与运行在其它物理机上的另一虚拟机之间的返回通道直接通信。
权利要求
1.为多个顾客提供一个或多个计算机服务的设备，该设备包括一个实计算机，其上按每一所述顾客请求为每一顾客建立至少一个虚拟机，对于每一所述顾客的所述至少一个虚拟机具有由该个别顾客规定的规范。
2.根据权利要求1的设备，其特征在于，在实计算机内为所述顾客至少之一建立多个虚拟机。
3.根据权利要求1或2的设备，其特征在于，用于所述顾客至少之一的虚拟机或每一虚拟机连接到实计算机内为所述至少一个顾客建立的虚拟网络。
4.根据权利要求3的设备，其特征在于，包括虚拟入侵检测装置，用于检测对虚拟网络的攻击。
5.根据任何权利要求1到4的设备，其特征在于，至少一个虚拟机连接到一虚拟防火墙，该防火墙连接到顾客和/或其它用户能够连接的外部网络，使得由顾客或其它用户通过所述外部网络对所述至少一个虚拟机的访问只能通过虚拟防火墙进行。
6.根据任何权利要求1到4的设备，其特征在于，用于特定顾客的虚拟机或每一虚拟机可连接到该顾客的虚拟机或多个虚拟机专用的虚拟防火墙，每一虚拟防火墙可连接到每一所述顾客和/或其它用户能够连接的外部网络，使得由顾客或其它用户通过所述外部网络对虚拟机的访问只能通过对该虚拟机或多个虚拟机提供的虚拟防火墙进行。
7.根据权利要求6的设备，其特征在于，每一虚拟防火墙在实计算机内建立，用于每一顾客的虚拟机或每一虚拟机连接到该顾客虚拟机或多个虚拟机专用的虚拟防火墙的第一端口，每一虚拟防火墙具有连接到在实计算机内建立并可连接到外部网络的虚拟网络的第二端口。
8.根据权利要求7的设备，其特征在于，每一虚拟防火墙的第二端口连接到在实计算机内建立并可连接到外部网络的同一虚拟网络。
9.根据任何权利要求5到8的设备，其特征在于，虚拟防火墙或其至少之一在实计算机上由虚拟机实现，所述虚拟防火墙虚拟机运行防火墙软件。
10.根据任何权利要求1到9的设备，其特征在于，包括多个实数据存储装置及至少一个虚拟存储子系统，该子系统配置为允许所述实数据存储装置模拟一个或多个虚拟存储装置。
11.根据权利要求10的设备，其特征在于，至少一个虚拟存储子系统配置为模拟至少一个用于每一顾客的各虚拟存储装置。
12.根据权利要求10或11的设备，其特征在于，包括一检测装置，用于检测恶意的软件证据或对至少一个虚拟存储子系统的敌意的攻击签字。
13.根据任何权利要求1到12的设备，其特征在于，所述设备可配置为提供从以下所选择的服务至少之一文件，数据和存档服务；应用程序托管服务；数据库托管服务；数据仓库服务；知识管理托管服务；数字媒体产生服务；“知识产权”和流媒体服务；简单web托管服务；复杂电子商务web托管服务；高性能计算服务；电子传信和会议服务；及学习神经计算机服务。
14.根据任何权利要求1到13的设备，其特征在于，包括虚拟专用网络软件，以便为至少某些所述虚拟机之间的通信提供加密的通信信道。
15.根据任何权利要求1到14的设备，其特征在于，包括虚拟专用网络软件，以便为至少一个虚拟机与外部计算机之间的通信提供加密的通信信道。
16.根据任何权利要求1到15的设备，其特征在于，包括虚拟专用网络软件，以便为第一虚拟网络与第二虚拟网络之间的通信提供加密的通信信道。
17.根据任何权利要求1到16的设备，其特征在于，包括虚拟专用网络软件，以便为虚拟网络与外部计算机之间的通信提供加密的通信信道。
18.根据任何权利要求1到17的设备，其特征在于，实计算机包括多个物理计算机。
19.组合地，根据任何权利要求1到18的第一设备，以及与所述第一设备基本等同的第二设备，第一和第二设备通过通信信道连接，使得第二设备能够提供第一设备的冗余，从而如果第一设备有故障可提供灾难恢复。
20.一种为多个顾客提供一个或多个计算机服务的方法，该方法包括步骤在一个实计算机上按每一所述顾客请求为每一顾客建立至少一个虚拟机，用于每一所述顾客的所述至少一个虚拟机具有由该个别顾客规定的规范。
21.根据权利要求20的方法，其特征在于，包括在实计算机内为所述顾客至少之一建立多个虚拟机的步骤。
22.根据权利要求20或21的方法，其特征在于，包括在实计算机内为所述顾客至少之一建立虚拟网络，并把用于所述至少一个顾客的虚拟机或每一虚拟机连接到所述虚拟网络的步骤。
23.根据权利要求22的方法，其特征在于，包括使用虚拟入侵检测装置检测对虚拟网络的攻击的步骤。
24.根据任何权利要求20到23的方法，其特征在于，包括以下步骤，把至少一个虚拟机连接到一虚拟防火墙，并把虚拟防火墙或每一虚拟防火墙连接到顾客和/或其它用户能够连接的外部网络，使得由顾客或其它用户通过所述外部网络对虚拟机的访问只能通过虚拟防火墙进行。
25.根据任何权利要求20到23的方法，包括以下步骤，把用于特定顾客的虚拟机或每一虚拟机连接到该顾客的虚拟机或多个虚拟机专用的虚拟防火墙，并把每一虚拟防火墙连接到每一所述顾客和/或其它用户能够连接的外部网络，使得由顾客或其它用户通过所述外部网络对虚拟机的访问只能通过为该虚拟机或多个虚拟机提供的虚拟防火墙进行。
26.根据权利要求25的方法，其特征在于，每一虚拟防火墙在实计算机内建立，用于每一顾客的虚拟机或每一虚拟机连接到该顾客虚拟机或多个虚拟机专用的虚拟防火墙的第一端口，每一虚拟防火墙具有连接到在实计算机内建立并连接到外部网络的虚拟网络的第二端口。
27.根据权利要求26的方法，其特征在于，每一虚拟防火墙的第二端口连接到在实计算机内建立并连接到外部网络的同一虚拟网络。
28.根据任何权利要求20到27的方法，其特征在于，包括以下步骤，配置至少一个虚拟存储子系统以允许多个实数据存储装置模拟一个或多个虚拟存储装置。
29.根据权利要求28的方法，其特征在于，包括以下步骤，配置至少一个虚拟存储子系统以模拟至少一个用于每一顾客的各虚拟存储装置。
30.根据权利要求28或29的方法，其特征在于，包括以下步骤，使用检测装置以便检测恶意的软件证据或对至少一个虚拟存储子系统的敌意的攻击签字。
31.一种代表多个顾客操作实计算机的方法，该方法包括以下步骤在实计算机上操作多个虚拟机，所述多个虚拟机的每一个，根据由虚拟机代表该顾客提供的计算机服务，具有分别由各顾客规定的规范。
32.根据权利要求31的方法，其特征在于，包括在实计算机内为所述顾客至少之一操作多个虚拟机的步骤。
33.根据权利要求31或32的方法，其特征在于，包括在实计算机内为所述顾客至少之一操作虚拟网络，用于所述至少一个顾客的虚拟机或每一虚拟机连接到所述虚拟网络的步骤。
34.根据权利要求33的方法，其特征在于，包括使用虚拟入侵检测装置以便检测对虚拟网络的攻击的步骤。
35.根据任何权利要求31到34的方法，其特征在于，至少一个虚拟机连接到一虚拟防火墙，虚拟防火墙或每一虚拟防火墙连接到顾客和/或其它用户能够连接的外部网络，使得由顾客或其它用户通过所述外部网络对虚拟机的访问只能通过虚拟防火墙进行。
36.根据任何权利要求31到34的方法，其特征在于，用于特定顾客的虚拟机或每一虚拟机可连接到顾客的虚拟机或多个虚拟机专用的虚拟防火墙，每一虚拟防火墙连接到每一所述顾客和/或其它用户能够连接的外部网络，使得由顾客或其它用户通过所述外部网络对虚拟机的访问只能通过为该虚拟机或多个虚拟机提供的虚拟防火墙进行。
37.根据权利要求36的方法，其特征在于，每一虚拟防火墙在实计算机内建立，用于每一顾客的虚拟机或每一虚拟机连接到该顾客虚拟机或多个虚拟机专用的虚拟防火墙的第一端口，每一虚拟防火墙具有连接到在实计算机内建立并连接到外部网络的虚拟网络的第二端口。
38.根据权利要求37的方法，其特征在于，每一虚拟防火墙的第二端口连接到在实计算机内建立并可连接到外部网络的同一虚拟网络。
39.根据任何权利要求31到38的方法，其特征在于，提供并配置至少一个虚拟存储子系统，以允许多个实数据存储装置模拟一个或多个虚拟存储装置。
40.根据权利要求39的方法，其特征在于，配置至少一个虚拟存储子系统以便对每一顾客模拟至少一个各虚拟存储装置。
41.根据权利要求39或40的方法，其特征在于，使用一种检测装置以便检测恶意的软件证据或对至少一个虚拟存储子系统的敌意的攻击的签字。
42.根据任何权利要求20到41的方法，其特征在于，所提供的服务可包括从以下所选择的服务至少之一文件，数据和存档服务；应用程序托管服务；数据库托管服务；数据仓库服务；知识管理托管服务；数字媒体产生服务；“知识产权”和流媒体服务；简单web托管服务；复杂电子商务web托管服务；高性能计算服务；电子传信和会议服务；及学习神经计算机服务。
43.根据任何权利要求20到42的方法，其特征在于，包括使用虚拟专用网络软件，以便为至少某些所述虚拟机之间的通信提供加密的通信信道的步骤。
44.根据任何权利要求20到43的方法，其特征在于，包括使用虚拟专用网络软件，以便为至少一个虚拟机与外部计算机之间的通信提供加密的通信信道的步骤。
45.根据任何权利要求20到44的方法，其特征在于，包括使用虚拟专用网络软件，以便为第一虚拟网络与第二虚拟网络之间的通信提供加密的通信信道的步骤。
46.根据任何权利要求20到45的方法，其特征在于，包括使用虚拟专用网络软件，以便为虚拟网络与外部计算机之间的通信提供加密的通信信道的步骤。
47.一种为多个顾客提供从以下选择的一个或多个计算机服务的方法文件，数据和存档服务；应用程序托管服务；数据库托管服务；数据仓库服务；知识管理托管服务；数字媒体产生服务；“知识产权”和流媒体服务；简单web托管服务；复杂电子商务web托管服务；高性能计算服务；电子传信和会议服务；及学习神经计算机服务；该方法包括以下步骤按每一所述顾客的请求在一实计算机上为每一所述顾客建立至少一个虚拟机，用于每一所述顾客的所述至少一个虚拟机，具有根据由所述顾客请求的计算机服务或多个服务确定的规范。
48.根据任何权利要求20到47的方法，其特征在于，包括把所述至少一个虚拟机从第一实计算机向第二实计算机移动的步骤。
全文摘要
本发明涉及提供计算机服务的方法和设备。公开了向多个顾客(A，B，C)提供一个或多个计算机服务的设备和方法。在一个实计算机(30)上按每一顾客(A，B，C)的请求为每一顾客(A，B，C)建立至少一个虚拟机(VS)。用于每一顾客(A，B，C)的虚拟机或每一虚拟机(VS)具有由该各个顾客(A，B，C)规定的规范。
文档编号G06F15/00GK1448017SQ01814310
公开日2003年10月8日 申请日期2001年7月3日 优先权日2000年7月5日
发明者杰弗里·D·特里梅恩 申请人:恩斯特&扬有限责任合伙公司