0优选地接收平台更新,并且将平台更新变换成如图2所示的平台就绪更新。更新优选地按照任何分级相关策略来运行,并且使得策略在被部署时来实施。平台更新可以是配置用于在计算装置上的资源操作和执行的代码、二进制或其他机器可读数据(例如应用、服务、脚本、操作系统等)。例如,开发人员可将应用推送到平台。平台更新备选地可以是平台中的动作、指令和配置变化。例如,开发人员可提交将数据库绑定到应用的命令。作为主要功能,分级管线140生成组件配置和自适应,其能够用来正确制定平台中的平台更新。优选地,能够为分级管线140以及分级管线所处理的关联组件来定义策略。平台优选地允许组件被单独配置并且被给予为开发人员选择的库和资源所开发的灵活性。但是,平台还使策略能够实施,并且策略可用于平台中使用的资源的类型和版本。分级管线140优选地能够识别策略外部的封装相关性,并且创建能够在策略注入器120中或者更具体来说是在语义管线150中应用的自适应。类似地,级可知道在系统中允许哪些服务,并且级可用来将应用绑定到那些服务。分级管线140优选地处理平台更新,并且确定应当应用于平台更新的正确自适应,以在平台中正确集成更新。分级管线140还可配置用于其他服务。分级管线140的级可以是病毒扫描仪,其检查平台更新的完整性。规则策略实施还可在分级管线140中通过向策略引擎提交平台更新或者至少平台更新的参数(例如动作和提交实体)来实施。
[0013]在备选实施例中,系统作为补充或备选可包括语义管线150。语义管线150优选地是能够在实施透明策略注入中使用的变化。语义管线能够在语义上知道所操作的资源、所执行的操作以及必须应用于那个资源以便使它符合策略的规则。在一种示范使用情况中,语义管线150能够用来匿名化个人可识别信息以免从特定组件泄漏(例如为了企业HIPA顺应性或者PCI顺应性)。由于语义管线150完全集成到那个特定组件的所有组件间交互中,所以存在关于个人可识别信息为了顺应性而经过净化、编辑或者匿名化的某个等级的保证。语义管线150类似地能够在其他使用情况中应用。
[0014]2.用于变换组件间通信的系统
如图5所示,用于变换组件间通信的系统能够包括语义管线150,其用来在语义上解释涉及组件的事务或操作,并且对事务应用所定义策略。语义管线150能够是策略注入器120的特定实现和应用。相应地,语义管线能够与上述系统结合使用。优选地,策略配置通过上述系统来分配和配置。语义管线150优选地在语义上知道通信信道中的发生情况,以及在平台的较宽视图(例如使用跨平台的语义管线的组合知识)中,平台能够具有跨平台的语义认识。可为任何适当等级的组件交互来构建语义认识。例如,语义管线150中的语义认识可考虑它所用于的组件的类型(例如,作为用于数据库的语义管线),但是级可伴随交互的更深认识来构建,以便考虑与那种类型的组件的可能交互的特定性质(例如,向数据库传递哪些数据库命令)。优选地,各组件(或隔离容器)可配置有一个或多个语义管线150。备选地,一组组件可由单个语义管线150来提供服务。类似地,单个组件能够在通信上耦合到多个语义管线150—不同的语义管线150能够配置成和绑定到通信的不同端口或形式。在没有用于组件的语义管线150的所配置作用的变化中,可省略语义管线150。语义管线150优选地配置用于策略实施,作为策略注入的一种优选形式。语义管线150的策略可由外部实体来定义和配置。备选地,平台可因对平台更新分级而创建或改变语义管线150的级。
[0015]语义管线150能够具有多级,其中每级可由不同实体来定义。级能够执行任何数量的操作。在一个变化中,语义管线级转化组件的通信,以便由策略批准资源来解释。在另一个变化中,语义管线级能够是用户的检验或者应用规则准许。优选地,语义管线级能够调用策略模块,其将确定是否准许所请求通信。规则策略可使用请求组件、目标组件、请求的参数和/或事务的任何适当性质来确定是允许还是拒绝事务。另外,规则策略可消耗或者访问另一个服务,以进一步处理请求。策略引擎的输出还可以是与请求的过程有关的其他数据。作为示例,可定义禁止应用向数据库发出DROP命令的规则策略。语义管线150中的级优选地按照策略引擎(例如认证服务器和策略注入器)所提供的规则来评估数据库命令。评估器例如可检查数据库命令是否为DROP命令。如果命令不是DROP命令,则评估器进行应答,确认允许该命令由应用来执行,并且语义管线将命令传递到下一级上。如果命令是DROP命令,则评估器使语义管线150不向前传递命令,而是拒绝该命令或者完全中断连接,优选地如策略引擎所提供的规则所定义。规则策略的处理优选地不仅仅是处理直接请求方,并且还能够考虑请求的完整上下文。规则策略优选地能够考虑当前请求方的使用、当前请求方代表谁进行呼叫和/或当前请求方代表什么进行呼叫。例如,在实施规则策略时可检查服务器-服务器-服务器-服务器通信(或者其他适当的多方通信)中的所有方。在另一个变化中,语义管线级能够包括组件间事务的审计。审计优选地对组件外部的任何事务来执行。由于所有事务通过语义管线150发生,所以平台能够创建完全自动化审计能力。
[0016]语义管线150能够绑定到组件的出局通信和/或入局通信。例如,应用在与数据库对话时可具有与其绑定的语义管线150。备选地,语义管线150可绑定到数据库。作为另一个备选方案,语义管线150可绑定到应用,并且独立语义管线150可绑定到数据库。语义管线150备选地可绑定到模式。例如,可为所有HTTP业务或者所有数据库事件来定义语义管线150。
[0017]3.用于透明注入策略的方法
在计算基础设施中透明注入策略优选地涉及系统的组件的整个生存期的策略实施的集成。具体来说,策略注入优选地在组件的分级和/或主动使用期间来应用。用于操作平台中的组件(方法S100)和分级(方法S200)的方法用来使策略能够应用于基础设施的组件,而无需影响单独组件。该方法能够用于构造可组合和可编程基础设施。各组件优选地是无关的,并且能够在无需更新其他关联组件的情况下被开发和更新。对调节IT解决方案中的策略的IT经理和管理员,这提供一种基础设施,其中策略能够集成到任何部署的解决方案的操作中。对于对平台部署应用和服务的开发人员,这因操控策略顺应性的策略层而允许开发中的更大灵活性以及与其他团队进行协作的简易性。同时,诸如顺应性、审计、安全性、可见性和控制之类的企业问题能够通过在平台的组件的集成和交互期间透明应用策略来取得。该方法优选地用于企业导向(PaaS)基础设施中,但是备选地可用于任何适当系统中。该系统优选地与上述系统基本上相似。透明策略注入优选地在平台中的任何组件的整个生存期、例如在分级期间和操作期间来应用。在优选变化中,策略能够包括资源消耗策略(与存储器、磁盘、交易帐户、通信速率和其他消耗量度)、访问策略(例如,哪一个应用能够访问哪些服务)和/或部署/分级策略(例如,哪一个用户/作用能够对诸如生产、开发等的哪一个环境部署app或服务;以及响应部署而必须进行哪些相关部署;等等)。
[0018]如图6所示,用于透明注入策略的方法S100优选地包括:建立平台的组件集合的策略更新(S110);向组件集合发布策略更新(S120);在组件集合的主机认证策略更新(S130);由主机来检验定向到至少第二组件的操作请求的策略顺应性(S140);以及在通信信道流中应用检验策略的结果(S150)。该方法用来安全可靠地向集群/分布式计算系统中的主机分配策略。在缺省地拒绝准许并且当所接收策略明确准许访问时准予访问的一个变化中,能够促进策略实施的可靠性。策略实施优选地主要在相应组件附近本地实施。在该方法中取得的已更新策略配置的安全发布和保证能够允许策略可靠地分配给不同的主机。本地操作策略能够应用于任何组件间操作,同时避免其他集中策略或者仅分级策略方式所遭遇的等待时间问题、缩放问题和/或安全性问题。该方法优选地允许策略在任何两个组件之间来实施,和/或操作在平台上发生。通过将策略集成到基础设施的交互模型中,能够取得健壮策略。此外,策略作为基础设施层来建立,使得基础组件的相关性和职责降低。例如,对组件的变更无法违反策略顺应性,因为策略顺应性构内置于基础设施中的操作中。组件寻址或名称空间方式还能够灵活地应用于目标、指定或引用平台上部署的组件。方法S100优选地与通过组件的生存期的策略实施的其他变化结合使用,例如以下所述的方法S200。
[0019]包括建立平台的组件集合的策略更新的框S110用来接收和配置平台中的策略。策略优选地由实体来设置。实体(例如用户帐户、管理员帐户等)优选地具有规则、特权、准许或者使该实体能够定义至少一个策略方面的其他所定义能力。能够存在为系统的不同部分来设置策略的多个实体。例如,IT解决方案团队的三个不同部门可包括C1管理、零售和客户支持,其全部可定义跨平台上的生产、开发和沙箱环境的变化策略。策略作为补充或备选可从企业中的现有策略存储单元来导入。多个实体优选地共同定义平台的各种方面的策略。可为平台的所支持库、协议、框架或其他适当组件来定义策略。更优选地,策略可定义应当使用的组件的特定版本。类似地,可为容许或阻止动作来定义策略。在一个变化中,可专门为不同目标或指定组件来定义动作策略。例如,可定义禁止DROP和INSERT命令代表应用对数据库来执行的策略。策略可通过配置文件来定义和传递、通过控制面板图形用户界面来检索、通过应用编程接口(API)、命令行接口(CLI)来检索或者按照任何适当方式来接收。策略优选地最初在中央认证服务器系统来建立。认证服务器系统能够托管或管理策略的规范形式。组件集合能够是多个组件的集合(例如通过父名称空间节点来识别的组件实例、一类或一种类型的组件等)、单个组件(例如单个所指定组件实例)和/或空集。当组件通过分级管线来处理时,能够向任何新组件适当地指定现有策略。
[0020]与在平台组件的实现(其中开发人员必须按照顺应方式主动设计封装)中实施这类策略相反,策略优选地在平台的组件间操作中透明注入。策略实施优选地在组件应用逻辑之上的层来注入,使得策略顺应性在组件设计层之上被抽象。换言之,可在无需应用知道策略或者对策略进行适应(即,除了配置之外,应用代码优选地没有改变)的情况下应用策略。策略能够集成到分级管线和/或信道策略注入器中。
[0021]建立平台的组件集合的策略更新还能够包括通过名称空间策略寻址语法来建立组件集合的策略更新。名称空间策略寻址语法用来扩展对基础设施的大部分的粒度