努力或服务提供商干预来 发布,并随后因此被缩放。
[0027] 云计算模型可由各种特性组成,诸如按需自服务、广泛网络访问、资源池、快速灵 活性、测定的服务等。云计算模型还可形成各种服务模型,诸如例如软件即服务(SaaS)、平 台即服务(PaaS)以及基础结构即服务(IaaS)。云计算模型还可以使用不同的部署模型来部 署,诸如私有云、社区云、公共云和混合云等。在本说明书和权利要求中,"云计算环境"是在 其中部署了云计算的环境。
[0028] 图1示出促成代理数据访问请求和响应的示例计算机体系结构100。参考图1,计算 机体系结构100包括外部身份提供方153、代理流水线101、查询引擎113和数据储存库141、 142和143。外部身份提供方153、代理流水线101、查询引擎113和数据储存库141、142和143 中的每一者可通过诸如例如局域网("LAN")、广域网("WAN")或甚至因特网等网络(或作为 网络的一部分)彼此连接。因此,外部身份提供方153、代理流水线101、查询引擎113以及数 据储存库141、142和143中的每一者以及任何其它连接的计算机系统及其组件都可创建消 息相关数据并通过网络交换消息相关数据(例如,网际协议("IP")数据报和利用IP数据报 的其它更高层协议,诸如传输控制协议("TCP")、超文本传输协议("HTTP")、简单邮件传输 协议("SMTP")等或使用其他非数据报协议)。
[0029]如所描绘的,安全边界154使外部身份提供方153与代理流水线101、查询引擎113 和数据储存库141、142、143等分离。外部身份提供方153可位于公共网络(诸如例如因特网) 上。代理流水线101、查询引擎113和数据储存库141、142、143等可位于专用网络(诸如例如 公司内联网)上。由此,实现安全边界154的组件(例如防火墙)保护代理流水线110、查询引 擎113和数据储存库141、142、143等免受公共网络上引起的威胁。
[0030] -般来说,外部实体提供方153可使外部身份与提交给代理流水线101的数据请求 相关联。外部实体提供方153可散布在多个不同的计算域上。
[0031] 代理流水线101包括认证服务102、代理服务107和高速缓存服务111。认证服务102 进一步包括外部IdPs确认服务102、内部目录映射服务104和域106。外部IdPs确认服务102 被配置成确认外部Id以实现对代理流水线101的公共访问。内部目录映射服务104被配置成 参考访问目录119(例如,Active_D_i.rectory %)以将外部Id映射到一个或多个相应的内部Id (例如,一个或多个Active Director/账户)。域106是支持对内部用户和系统进行认证和 授权的内部域。
[0032] 代理服务107包括请求代理服务和响应重写服务。基于内部Id,请求代理服务107 可使数据访问请求与查询引擎113处的先前注册的查询逻辑匹配。请求代理服务108被配置 成将数据访问请求发送给高速缓存服务111和/或发送到为先前注册的查询逻辑定义的端 点上。响应重写服务109被配置成接收来自为注册的查询逻辑定义的端点的数据访问响应。 响应重写服务109可重写数据访问响应以使其表现为好像该数据访问响应是从代理流水线 1〇1(而非定义的端点)返回的。
[0033] 高速缓存服务111被配置成维护分布式高速缓存112。分布式高速缓存112是有跨 机器访问能力的分布式高速缓存。高速缓存服务111可监视对数据储存库141、142、143等 (以及其他后端数据)的改变以使分布式高速缓存112保持最新。
[0034] 当数据访问请求被接收到时,高速缓存服务111可检查分布式高速缓存112以确定 请求的数据中的一些或全部是否被高速缓存。如果任何请求的数据都被高速缓存,则被高 速缓存的请求的数据可被从分布式高速缓存112返回到相应的数据访问响应中。
[0035] 可从与数据访问请求匹配的(为注册的查询逻辑)定义的端点中检索没有被高速 缓存在分布式高速缓存112中的任何请求的数据。
[0036]查询引擎113被配置成接收来自用户(诸如,系统操作员或数据管理员)的查询逻 辑注册。当查询逻辑注册被接收到时,查询引擎113注册实体并将合适的查询逻辑封装在该 实体内。查询引擎113可定义涉及该查询逻辑的用于数据访问请求的端点。适当时,查询逻 辑可被配置成从数据储存库141、142、143等中的一者或多者中检索请求的数据。
[0037] 例如,管理员151可将查询逻辑注册152提交给查询引擎113。响应于接收到查询注 册152,查询引擎113可注册针对实体114A的条目并将逻辑114B封装在实体114A内。查询引 擎可定义定向到逻辑114B的用于数据访问请求的端点124。查询引擎113可配置逻辑114B以 从数据储存库141检索数据。储存库141可包括管理员151感兴趣和/或与管理员151相关联 的其他用户感兴趣的数据。
[0038]管理员151或另一用户也可能(或先前)已经提交了使得查询引擎113注册实体 116A和117A的查询逻辑注册。实体116A封装逻辑116B,并具有定向到逻辑116B的用于数据 访问请求的端点126。逻辑116B被配置成从数据储存库141和142检索数据。类似地,实体 117A封装逻辑117B,并且具有定向到逻辑117B的用于数据访问请求的端点127。逻辑117B被 配置成从数据储存库143检索数据。
[0039]图2示出用于代理数据访问请求和响应的示例方法200的流程图。方法200将参考 计算机架构100的组件和数据来描述。
[0040]方法200包括接收来自外部身份的数据访问请求,该数据访问请求请求维护在安 全边界之内的数据,该外部身份在安全边界之外(201)。例如,认证服务102可接收来自外部 身份提供者153的请求131。请求131可请求访问安全边界154之内的数据。请求131包括指示 外部身份的ID 132。
[00411 在接收到请求131之际,外部IdPs确认服务103可确认ID 132以实现对代理流水线 101的公共访问。外部IdPs确认服务103还可确认发起请求131的域以实现对代理流水线101 的专用访问。
[0042]方法200包括将外部身份映射到相应的内部身份,内部身份被配置成供在安全边 界之内使用(202)。例如,内部目录映射服务104可参考访问目录119以将ID 132映射到相应 的内部ID 133。内部ID 113可被配置成供在安全边界154之内使用。在一方面,内部ID 133 是用于访问代理流水线101中的其他组件的有效ActiveDi: rectory**账户模拟。
[0043] 认证服务102可将与内部ID 133相关联的请求131发送给代理服务107。请求代理 服务108可将请求131匹配到实体116A。例如,请求131可来自将数据存储在数据储存库141 和142中的公司雇员。
[0044] 方法200包括将数据访问请求发送给为与外部实体相关联的先前注册的逻辑展示 的端点,该先前注册的逻辑绑定到维护所请求的数据的一个或多个数据源(203)。例如,请 求代理服务108可向端点126发送请求131。如所描述的,端点126是为逻辑116B定义的,并且 逻辑116B被绑定到数据储存库141和142。
[0045] 请求可行进通过高速缓存服务111。高速缓存服务111可检查分布式高速缓存112 以确定是否有任何请求的数据被高速缓存在分布式高速缓存112中。
[0046] 查询引擎113可接收来自端点126的请求131。逻辑116B可处理请求131并从数据储 存库141和142检索所请求的数据。查询引擎131可将所请求的数据包括在响应136中。查询 引擎113可将响应136返回给代理服务107。
[0047]被高速缓存在分布式高速缓存112中的任何所请求的数据都可被集成在响应136 中。例如,高速缓存命中118(如果存在任何高速缓存命中的话)可被集成到响应136中。 [0048]方法200包括接收对该数据访问请求的响应,该响应包括所请求的数据(204)。例 如,代理服务107可接收响应136。
[0049]方法200包括重写响应以表明是代理流水线的组件生成了该响应,重写该响应使 所展示的