對共享存儲資源的安全訪問的制作方法
【專利摘要】一種方法可包括在第一網(wǎng)絡(luò)上將第一存儲信息存儲在計算機存儲系統(tǒng)的存儲裝置中�����。計算機存儲系統(tǒng)可將第一存儲信息轉(zhuǎn)換成第一虛擬存儲實例����,在沒有與第一網(wǎng)絡(luò)和存儲裝置通信的第二網(wǎng)絡(luò)上提供對第一虛擬存儲實例的訪問�����,并通過第二網(wǎng)絡(luò)啟用第一虛擬存儲實例的修改��,以創(chuàng)建第一修改后虛擬存儲實例��。計算機存儲系統(tǒng)可基于第一修改后存儲實例���,將第一修改后存儲實例轉(zhuǎn)換成第一修改后存儲信息,并在存儲裝置上存儲第一修改后存儲信息�����。
【專利說明】對共享存儲資源的安全訪問
【技術(shù)領(lǐng)域】
[0001] 本公開的實施例通常涉及數(shù)據(jù)存儲的領(lǐng)域,更具體地��,涉及在網(wǎng)絡(luò)環(huán)境中安全地 訪問共享存儲資源�����。
【發(fā)明內(nèi)容】
[0002] 本公開的一個或多個實施例可包括涉及安全訪問共享存儲資源的方法��、系統(tǒng)和計 算機程序產(chǎn)品��。根據(jù)本公開的一個實施例����,一種方法可包括在第一網(wǎng)絡(luò)上將第一存儲信息 存儲在計算機存儲系統(tǒng)的存儲裝置中。計算機存儲系統(tǒng)可將第一存儲信息轉(zhuǎn)換成第一虛擬 存儲實例�,在沒有與第一網(wǎng)絡(luò)和存儲裝置通信的第二網(wǎng)絡(luò)上提供對第一虛擬存儲實例的訪 問,并通過第二網(wǎng)絡(luò)啟用(enable)第一虛擬存儲實例的修改以創(chuàng)建第一修改后虛擬存儲 實例����。計算機存儲系統(tǒng)還可基于第一修改后存儲實例,將第一修改后存儲實例轉(zhuǎn)換成第一 修改后存儲信息��,并在存儲裝置上存儲第一修改后存儲信息。
[0003] 根據(jù)本公開的一個實施例����,一種用于訪問所存儲的信息的系統(tǒng)可包括用于存儲信 息的第一存儲裝置、用于存儲信息的實例的第二存儲裝置���、用于在第一和第二存儲裝置之 間提供通信的第一網(wǎng)絡(luò)�����、以及用于提供對信息的實例的訪問但不能訪問第一網(wǎng)絡(luò)和第一存 儲裝置的第二網(wǎng)絡(luò)�。
【專利附圖】
【附圖說明】
[0004] 為了使本發(fā)明容易理解����,將參照在附圖中表示的特定實施例提供更具體的描述。 應(yīng)當理解����,這些附圖僅描述本發(fā)明的典型實施例,而并不因此被認為是限制其范圍��,本方法 和系統(tǒng)將通過使用附圖具體地描述和說明�,其中:
[0005] 圖1描述根據(jù)本發(fā)明的實施例的云計算節(jié)點;
[0006] 圖2描述根據(jù)本發(fā)明的實施例的云計算環(huán)境�;
[0007] 圖3描述根據(jù)本發(fā)明的實施例的抽象模型層;
[0008] 圖4描述根據(jù)本發(fā)明的用于訪問所存儲的信息的系統(tǒng)的代表性實施例;
[0009] 圖5描述根據(jù)本發(fā)明的用于訪問所存儲的信息的系統(tǒng)的代表性實施例�;
[0010] 圖6描述圖5的實施例的網(wǎng)絡(luò)安全體系結(jié)構(gòu);
[0011] 圖7示出用于提供對共享存儲資源的安全訪問的方法的例子�;
[0012] 圖8示出用于提供對共享存儲資源的安全訪問的方法的例子��。
【具體實施方式】
[0013] 如本領(lǐng)域技術(shù)人員知道的�����,本發(fā)明的各方面可以體現(xiàn)為系統(tǒng)�、方法或計算機程序 產(chǎn)品。因此����,本發(fā)明的各方面可采用完全硬件實施例、完全軟件實施例(包含固件�����、駐留軟 件��、微代碼等)或軟件和硬件方面的結(jié)合的形式�����,它們通常可都被稱為"電路"���、"模塊"或 "系統(tǒng)"��。另外���,本發(fā)明的各方面可采用計算機程序產(chǎn)品的形式,其具體化在其上具有計算機 可讀程序代碼的一個或多個計算機可讀介質(zhì)中�����。
[0014] 可以利用一個或多個計算機可讀介質(zhì)的任何組合��。計算機可讀介質(zhì)可以是計算機 可讀信號介質(zhì)或計算機可讀存儲介質(zhì)��。計算機可讀存儲介質(zhì)例如可以是但不限于電����、磁、 光�����、電磁���、紅外或半導體系統(tǒng)�、裝置或設(shè)備、或者前面所述的任何適當組合����。計算機可讀存儲 介質(zhì)的更具體的例子(非窮舉列表)可包括如下介質(zhì):具有一個或多個導線的電連接、便攜 式計算機磁盤���、硬盤、隨機存儲存儲器(RAM)�����、只讀存儲器(ROM)����、可擦除可編程只讀存儲器 (EPROM或閃存)、光纖�、便攜式緊湊型只讀存儲器(CD-ROM)、光存儲裝置����、磁存儲裝置、或前 面所述的任何適當組合�����。在本文的上下文中,計算機可讀存儲介質(zhì)可以是任何有形介質(zhì)�,它 可包含或存儲由指令執(zhí)行系統(tǒng)、裝置或設(shè)備使用或與其一起使用的程序����。
[0015] 計算機可讀信號介質(zhì)可包括例如以基帶或作為載波的一部分的傳播數(shù)據(jù)信號,在 其中包含計算機可讀程序代碼���。這種傳播信號可采用多種形式��,包括但不限于電磁��、光或其 任意組合��。計算機可讀信號介質(zhì)可以是任何不是計算機可讀存儲介質(zhì)但可通信����、傳播或傳 輸由指令執(zhí)行系統(tǒng)�����、裝置或設(shè)備使用或與其一起使用的程序的計算機可讀介質(zhì)�����。
[0016] 具體化在計算機可讀介質(zhì)上的程序代碼可以使用任何適當?shù)慕橘|(zhì)傳輸,包括但不 限于無線�、有線、光纖電纜���、RF等或者前述的任何適當組合��。
[0017] 用于實現(xiàn)本發(fā)明的各方面的操作的計算機程序代碼可以用一個或多個編程語言 的任意組合編寫��,包括諸如Java、Smalltalk���、C++或類似語目的面向?qū)ο蟮木幊陶Z目��、諸如 "C"編程語言或類似編程語言的傳統(tǒng)過程編程語言���。程序代碼可以作為獨立軟件包完全在 用戶的計算機上執(zhí)行、或者部分地在用戶計算機上執(zhí)行��、或者部分在用戶計算機上部分在 遠程計算機上執(zhí)行或者完全在遠程計算機或服務(wù)器上執(zhí)行����。在后者的情形下���,遠程計算機 可以通過包括局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)的任何類型的網(wǎng)絡(luò)連接到用戶的計算機,或者 可以進行去往外部計算機的連接(例如����,使用因特網(wǎng)服務(wù)供應(yīng)商通過因特網(wǎng))。
[0018] 下面參照根據(jù)本發(fā)明的實施例的方法���、裝置(系統(tǒng))和計算機程序產(chǎn)品的流程圖 表示和/或框圖描述本發(fā)明的各方面�����。應(yīng)當知道�,流程圖表示和/或框圖的每個方框以及流 程圖表示和/或框圖中方框的組合可由計算機程序指令實現(xiàn)�����。這些計算機程序指令可以提 供給通用計算機�、專用計算機或其它可編程數(shù)據(jù)處理裝置的處理器以產(chǎn)生一種機器,以使 得通過計算機或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行的指令創(chuàng)建用于實現(xiàn)在流程圖和/ 或框圖的方框中指定的功能/動作����。
[0019] 這些計算機程序指令還可以存儲在計算機可讀介質(zhì)中,它可以引導計算機����、其它 可編程數(shù)據(jù)處理裝置���、或其它設(shè)備以特定方式工作,以使得在計算機可讀介質(zhì)上存儲的指 令產(chǎn)生包括用于實現(xiàn)在流程圖和/或框圖的方框中指定的功能/動作的指令的制造品����。
[0020] 計算機程序指令還可以被加載到計算機、其它可編程數(shù)據(jù)處理裝置或其它設(shè)備 上�,以使得一系列操作步驟在計算機、其它可編程裝置或其它設(shè)備上執(zhí)行以產(chǎn)生計算機實 現(xiàn)的過程�����,以使得在計算機或其它可編程裝置上執(zhí)行的指令提供用于實現(xiàn)在流程圖和/或 框圖的方框中指定的功能/動作的過程���。
[0021] 首先應(yīng)當理解,盡管本公開包括關(guān)于云計算的詳細描述����,但其中記載的技術(shù)方案 的實現(xiàn)卻不限于云計算環(huán)境,而是可以結(jié)合現(xiàn)在已知或以后開發(fā)的任何其它類型的計算環(huán) 境而實現(xiàn)����,包括例如在網(wǎng)絡(luò)中的節(jié)點群的分布式環(huán)境�,其中一個節(jié)點代表一個獨立的操作 系統(tǒng)�����。
[0022] 云計算是一種服務(wù)交付模式�����,用于對共享的可配置計算資源池進行方便�����、按需的 網(wǎng)絡(luò)訪問�。可配置計算資源是能夠以最小的管理成本或與服務(wù)提供者進行最少的交互就能 快速部署和釋放的資源�,例如可以是網(wǎng)絡(luò)、網(wǎng)絡(luò)帶寬��、服務(wù)器���、處理�、內(nèi)存��、存儲、應(yīng)用����、虛擬 機和服務(wù)。這種云模式可以包括至少五個特征�、至少三個服務(wù)模型和至少四個部署模型。
[0023] 特征包括:
[0024] 按需自助式服務(wù):云的消費者在無需與服務(wù)提供者進行人為交互的情況下能夠單 方面自動地按需部署諸如服務(wù)器時間和網(wǎng)絡(luò)存儲等的計算能力����。
[0025] 廣泛的網(wǎng)絡(luò)接入:計算能力可以通過標準機制在網(wǎng)絡(luò)上獲取,這種標準機制促進 了通過不同種類的瘦客戶機平臺或厚客戶機平臺(例如移動電話���、膝上型電腦��、個人數(shù)字 助理PDA)對云的使用����。
[0026] 資源池:提供者的計算資源被歸入資源池并通過多租戶(multi-tenant)模式服 務(wù)于多重消費者�,其中按需將不同的實體資源和虛擬資源動態(tài)地分配和再分配。一般情況 下���,消費者不能控制或甚至并不知曉所提供的資源的確切位置,但可以在較高抽象程度上 指定位置(例如國家���、州或數(shù)據(jù)中心)�����,因此具有位置無關(guān)性����。
[0027] 迅速彈性:能夠迅速、有彈性地(有時是自動地)部署計算能力����,以實現(xiàn)快速擴展, 并且能迅速釋放來快速縮小����。在消費者看來,用于部署的可用計算能力往往顯得是無限的�����, 并能在任意時候都能獲取任意數(shù)量的計算能力����。
[0028] 可測量的服務(wù):云系統(tǒng)通過利用適于服務(wù)類型(例如存儲、處理����、帶寬和活躍用戶 帳號)的某種抽象程度的計量能力���,自動地控制和優(yōu)化資源效用?���?梢员O(jiān)測、控制和報告資 源使用情況��,為服務(wù)提供者和消費者雙方提供透明度�����。
[0029] 服務(wù)模型如下:
[0030] 軟件即服務(wù)(SaaS):向消費者提供的能力是使用提供者在云基礎(chǔ)架構(gòu)上運行的 應(yīng)用����。可以通過諸如網(wǎng)絡(luò)瀏覽器的瘦客戶機接口(例如基于網(wǎng)絡(luò)的電子郵件)從各種客戶 機設(shè)備訪問應(yīng)用�����。除了有限的特定于用戶的應(yīng)用配置設(shè)置外���,消費者既不管理也不控制包 括網(wǎng)絡(luò)�、服務(wù)器����、操作系統(tǒng)、存儲�����、乃至單個應(yīng)用能力等的底層云基礎(chǔ)架構(gòu)�����。
[0031] 平臺即服務(wù)(PaaS):向消費者提供的能力是在云基礎(chǔ)架構(gòu)上部署消費者創(chuàng)建或 獲得的應(yīng)用����,這些應(yīng)用利用提供者支持的程序設(shè)計語言和工具創(chuàng)建。消費者既不管理也不 控制包括網(wǎng)絡(luò)�、服務(wù)器、操作系統(tǒng)或存儲的底層云基礎(chǔ)架構(gòu)�,但對其部署的應(yīng)用具有控制 權(quán),對應(yīng)用托管環(huán)境配置可能也具有控制權(quán)��。
[0032] 基礎(chǔ)架構(gòu)即服務(wù)(IaaS):向消費者提供的能力是消費者能夠在其中部署并運行 包括操作系統(tǒng)和應(yīng)用的任意軟件的處理��、存儲�、網(wǎng)絡(luò)和其他基礎(chǔ)計算資源��。消費者既不管理 也不控制底層的云基礎(chǔ)架構(gòu)����,但是對操作系統(tǒng)�����、存儲和其部署的應(yīng)用具有控制權(quán)�,對選擇的 網(wǎng)絡(luò)組件(例如主機防火墻)可能具有有限的控制權(quán)。
[0033] 部署模型如下:
[0034] 私有云:云基礎(chǔ)架構(gòu)單獨為某個組織運行�����。云基礎(chǔ)架構(gòu)可以由該組織或第三方管 理并且可以存在于該組織內(nèi)部或外部���。
[0035] 共同體云:云基礎(chǔ)架構(gòu)被若干組織共享并支持有共同利害關(guān)系(例如任務(wù)使命���、 安全要求、政策和合規(guī)考慮)的特定共同體�。共同體云可以由共同體內(nèi)的多個組織或第三 方管理并且可以存在于該共同體內(nèi)部或外部。
[0036] 公共云:云基礎(chǔ)架構(gòu)向公眾或大型產(chǎn)業(yè)群提供并由出售云服務(wù)的組織擁有�。
[0037] 混合云:云基礎(chǔ)架構(gòu)由兩個或更多部署模型的云(私有云、共同體云或公共云)組 成�����,這些云依然是獨特的實體,但是通過使數(shù)據(jù)和應(yīng)用能夠移植的標準化技術(shù)或私有技術(shù) (例如用于云之間的負載平衡的云突發(fā)流量分擔技術(shù))綁定在一起��。
[0038] 云計算環(huán)境是面向服務(wù)的����,特點集中在無狀態(tài)性�、低耦合性、模塊性和語意的互操 作性��。云計算的核心是包含互連節(jié)點網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)�����。
[0039] 現(xiàn)在參考圖1�����,其中顯示了云計算節(jié)點的一個例子�����。圖1顯示的云計算節(jié)點10僅僅 是適合的云計算節(jié)點的一個示例����,不應(yīng)對本發(fā)明實施例的功能和使用范圍帶來任何限制���。 總之,云計算節(jié)點10能夠被用來實現(xiàn)和/或執(zhí)行以上所述的任何功能���。
[0040] 云計算節(jié)點10具有計算機系統(tǒng)/服務(wù)器12,其可與眾多其它通用或?qū)S糜嬎阆?統(tǒng)環(huán)境或配置一起操作��。眾所周知��,適于與計算機系統(tǒng)/服務(wù)器12 -起操作的計算系統(tǒng)��、 環(huán)境和/或配置的例子包括但不限于:個人計算機系統(tǒng)����、服務(wù)器計算機系統(tǒng)���、瘦客戶機�����、厚 客戶機�����、手持或膝上設(shè)備�、基于微處理器的系統(tǒng)、機頂盒�、可編程消費電子產(chǎn)品、網(wǎng)絡(luò)個人電 腦�����、小型計算機系統(tǒng)��、大型計算機系統(tǒng)和包括上述任意系統(tǒng)的分布式云計算技術(shù)環(huán)境����,等 等����。
[0041] 計算機系統(tǒng)/服務(wù)器12可以在由計算機系統(tǒng)執(zhí)行的計算機系統(tǒng)可執(zhí)行指令(諸 如程序模塊)的一般語境下描述。通常�����,程序模塊可以包括執(zhí)行特定的任務(wù)或者實現(xiàn)特定 的抽象數(shù)據(jù)類型的例程�、程序、目標程序����、組件�����、邏輯��、數(shù)據(jù)結(jié)構(gòu)等�。計算機系統(tǒng)/服務(wù)器12 可以在通過通信網(wǎng)絡(luò)鏈接的遠程處理設(shè)備執(zhí)行任務(wù)的分布式云計算環(huán)境中實施����。在分布式 云計算環(huán)境中,程序模塊可以位于包括存儲設(shè)備的本地或遠程計算系統(tǒng)存儲介質(zhì)上�。
[0042] 如圖1所示,云計算節(jié)點10中的計算機系統(tǒng)/服務(wù)器12以通用計算設(shè)備的形式 表現(xiàn)�����。計算機系統(tǒng)/服務(wù)器12的組件可以包括但不限于:一個或者多個處理器或者處理單 元16,系統(tǒng)存儲器28,連接不同系統(tǒng)組件(包括系統(tǒng)存儲器28和處理單元16)的總線18�。
[0043] 總線18表示幾類總線結(jié)構(gòu)中的一種或多種,包括存儲器總線或者存儲器控制器���, 外圍總線�����,圖形加速端口�����,處理器或者使用多種總線結(jié)構(gòu)中的任意總線結(jié)構(gòu)的局域總線����。舉 例來說,這些體系結(jié)構(gòu)包括但不限于工業(yè)標準體系結(jié)構(gòu)(ISA)總線��,微通道體系結(jié)構(gòu)(MAC) 總線�,增強型ISA總線���、視頻電子標準協(xié)會(VESA)局域總線以及外圍組件互連(PCI)總線���。
[0044] 計算機系統(tǒng)/服務(wù)器12典型地包括多種計算機系統(tǒng)可讀介質(zhì)。這些介質(zhì)可以是 能夠被計算機系統(tǒng)/服務(wù)器12訪問的任意可獲得的介質(zhì)��,包括易失性和非易失性介質(zhì)�����,可 移動的和不可移動的介質(zhì)。
[0045] 系統(tǒng)存儲器28可以包括易失性存儲器形式的計算機系統(tǒng)可讀介質(zhì)���,例如隨機存 取存儲器(RAM) 30和/或高速緩存存儲器32�。計算機系統(tǒng)/服務(wù)器12可以進一步包括其 它可移動/不可移動的����、易失性/非易失性計算機系統(tǒng)存儲介質(zhì)。僅作為舉例�����,存儲系統(tǒng)34 可以用于讀寫不可移動的����、非易失磁性及/或固態(tài)介質(zhì)(圖1未顯示,通常稱為"硬盤驅(qū)動 器")�。盡管圖1中未示出,可以提供用于對可移動非易失性磁盤(例如"軟盤")讀寫的磁 盤驅(qū)動器����,以及對可移動非易失性光盤(例如⑶-ROM,DVD-ROM或者其它光介質(zhì))讀寫的光 盤驅(qū)動器�����。盡管沒有示出,可以提供可移除的或者不可移除的固態(tài)存儲系統(tǒng)�,這些固態(tài)存儲 系統(tǒng)可以采用例如閃存或其它半導體存儲。在這些情況下��,每個驅(qū)動器可以通過一個或者 多個數(shù)據(jù)介質(zhì)接口與總線18相連���。存儲器28可以包括至少一個程序產(chǎn)品��,該程序產(chǎn)品具 有一組(例如至少一個)程序模塊���,這些程序模塊被配置以執(zhí)行本發(fā)明各實施例的功能。
[0046] 具有一組(至少一個)程序模塊42的程序/實用工具40,可以存儲在存儲器28 中��,這樣的程序模塊42包括但不限于操作系統(tǒng)����、一個或者多個應(yīng)用程序�����、其它程序模塊以 及程序數(shù)據(jù)����,這些示例中的每一個或某種組合中可能包括網(wǎng)絡(luò)環(huán)境的實現(xiàn)。程序模塊42通 常執(zhí)行本發(fā)明所描述的實施例中的功能和/或方法。程序模塊42可以存儲在操作系統(tǒng)的 內(nèi)核中����。
[0047] 計算機系統(tǒng)/服務(wù)器12也可以與一個或多個外部設(shè)備14(例如鍵盤、指向設(shè)備����、 顯示器24等)通信,還可與一個或者多個使得用戶能與該計算機系統(tǒng)/服務(wù)器12交互的 設(shè)備通信�,和/或與使得該計算機系統(tǒng)/服務(wù)器12能與一個或多個其它計算設(shè)備進行通信 的任何設(shè)備(例如網(wǎng)卡,調(diào)制解調(diào)器等等)通信�。這種通信可以通過輸入/輸出(I/O)接 口 22進行。并且����,計算機系統(tǒng)/服務(wù)器12還可以通過網(wǎng)絡(luò)適配器20與一個或者多個網(wǎng)絡(luò) (例如局域網(wǎng)(LAN),廣域網(wǎng)(WAN)和/或公共網(wǎng)絡(luò)����,例如因特網(wǎng))通信。如圖所示���,網(wǎng)絡(luò)適 配器20通過總線18與計算機系統(tǒng)/服務(wù)器12的其它模塊通信�。應(yīng)當明白����,盡管圖中未示 出���,其它硬件和/或軟件模塊可以與計算機系統(tǒng)/服務(wù)器12 -起操作,包括但不限于:微代 碼��、設(shè)備驅(qū)動器�、冗余處理單元、外部磁盤驅(qū)動陣列����、RAID系統(tǒng)、磁帶驅(qū)動器以及數(shù)據(jù)備份存 儲系統(tǒng)等���。
[0048] 現(xiàn)在參考圖2�,其中顯示了示例性的云計算環(huán)境50�����。如圖所示�����,云計算環(huán)境50包括 云計算消費者使用的本地計算設(shè)備可以與其相通信的一個或者多個云計算節(jié)點10,本地計 算設(shè)備例如可以是個人數(shù)字助理(PDA)或移動電話54A��,臺式電腦54B����、筆記本電腦54C和 /或汽車計算機系統(tǒng)54N。云計算節(jié)點10之間可以相互通信����。可以在包括但不限于如上所 述的私有云�、共同體云、公共云或混合云或者它們的組合的一個或者多個網(wǎng)絡(luò)中將云計算 節(jié)點10進行物理或虛擬分組(圖中未顯示)���。這樣����,云的消費者無需在本地計算設(shè)備上維 護資源就能請求云計算環(huán)境50提供的基礎(chǔ)架構(gòu)即服務(wù)(IaaS)����、平臺即服務(wù)(PaaS)和/或 軟件即服務(wù)(SaaS)。應(yīng)當理解��,圖2顯示的各類計算設(shè)備54A-N僅僅是示意性的�����,云計算節(jié) 點10以及云計算環(huán)境50可以與任意類型網(wǎng)絡(luò)上和/或網(wǎng)絡(luò)可尋址連接的任意類型的計算 設(shè)備(例如使用網(wǎng)絡(luò)瀏覽器)通信。在圖2及其它地方��,"A-N"可以表示不確定的范圍��,其 中"A"表示第一項����,并且"N"表示第二、第三或者后續(xù)的項�。
[0049] 現(xiàn)在參考圖3,其中顯示了云計算環(huán)境50(圖2)提供的一組功能抽象層。首先應(yīng) 當理解���,圖3所示的組件�、層以及功能都僅僅是示意性的���,本發(fā)明的實施例不限于此�����。如圖 3所示�����,提供下列層和對應(yīng)功能:
[0050] 硬件和軟件層60包括硬件和軟件組件�。硬件組件的例子包括:主機���,例如 IBM? zSeries?系統(tǒng)�����;基于Rise(精簡指令集計算機)體系結(jié)構(gòu)的服務(wù)器�����,例如 iBMpSeries? 系統(tǒng)���;IBM xSeries? 系統(tǒng);iBMBladeCenter? 系統(tǒng)�����;存儲設(shè)備����;網(wǎng)絡(luò)和 網(wǎng)絡(luò)組件。軟件組件的例子包括:網(wǎng)絡(luò)應(yīng)用服務(wù)器軟件�,例如IBM WebSphere?應(yīng)用服 務(wù)器軟件;數(shù)據(jù)庫軟件��,例如IBM DB2?數(shù)據(jù)庫軟件。(IBM, zSeries, pSeries, xSeries, B IadeCenter, WebSphere以及DB2是國際商業(yè)機器公司在全世界各地的注冊商標)�。
[0051] 虛擬層62提供一個抽象層,該層可以提供下列虛擬實體的例子:虛擬服務(wù)器���、虛 擬存儲���、虛擬網(wǎng)絡(luò)(包括虛擬私有網(wǎng)絡(luò))、虛擬應(yīng)用和操作系統(tǒng)�,以及虛擬客戶端。
[0052] 在一個示例中���,管理層64可以提供下述功能:資源供應(yīng)功能:提供用于在云計算 環(huán)境中執(zhí)行任務(wù)的計算資源和其它資源的動態(tài)獲?�?;計量和定價功能:在云計算環(huán)境內(nèi)對 資源的使用進行成本跟蹤����,并為此提供帳單和發(fā)票。在一個例子中����,該資源可以包括應(yīng)用軟 件許可。安全功能:為云的消費者和任務(wù)提供身份認證,如登陸訪問�,為數(shù)據(jù)和其它資源提 供保護。用戶門戶功能:為消費者和系統(tǒng)管理員提供對云計算環(huán)境的訪問��。服務(wù)水平管理 功能:提供云計算資源的分配和管理����,以滿足必需的服務(wù)水平���。服務(wù)水平協(xié)議(SLA)計劃和 履行功能:為根據(jù)SLA預測的對云計算資源未來需求提供預先安排和供應(yīng)����。
[0053] 工作負載層66提供云計算環(huán)境可能實現(xiàn)的功能的示例�����。在該層中��,可提供的工作 負載或功能的示例包括:地圖繪制與導航�����;軟件開發(fā)及生命周期管理�;虛擬教室的教學提 供;數(shù)據(jù)分析處理;交易處理��;以及移動桌面����。
[0054] 如上所述,在此公開了一種用于安全訪問共享存儲(諸如由云計算環(huán)境50提供的 存儲)的系統(tǒng)�����、方法和計算機程序產(chǎn)品���。
[0055] 在云環(huán)境50中����,多個用戶可共享資源�����。例如�����,提供基于云的服務(wù)的服務(wù)供應(yīng)商可 向多個用戶--即�����,它的客戶--提供通過公共底層基礎(chǔ)設(shè)施實現(xiàn)的硬件和/或軟件資源。 服務(wù)供應(yīng)商的客戶可以是無關(guān)的人�����、企業(yè)�、政府、組織和其它實體�。由服務(wù)供應(yīng)商處理和/ 或存儲的客戶數(shù)據(jù)可以是私有或?qū)S玫摹1Wo這些數(shù)據(jù)的安全和私密性是提供云服務(wù)的重 要方面���。因此,云服務(wù)供應(yīng)商尋求將它的客戶彼此相隔離���,盡管它們使用相同的底層處理��、 存儲器和存儲資源���。該隔離應(yīng)當足夠強大以保護不受到無意和有意的入侵。
[0056] 參照圖4,用于訪問所存儲的信息70或系統(tǒng)70的計算機存儲系統(tǒng)可包括一個或多 個存儲系統(tǒng)72�、一個或多個虛擬存儲實例80、一個或多個第一網(wǎng)絡(luò)90和一個或多個第二網(wǎng) 絡(luò)92���。系統(tǒng)70可以進一步包括一個或多個虛擬機實例100�����。系統(tǒng)70可以是云計算環(huán)境50 的一個例子���,并可以是硬件和軟件層60和/或虛擬層62的一個例子����。系統(tǒng)70可以包括其 它可選的或附加的單元����,并可以忽略一個或多個單元。
[0057] 存儲系統(tǒng)72可包括一個或多個存儲裝置74,其是提供實際的硬件級數(shù)據(jù)存儲的 子系統(tǒng)�����。存儲系統(tǒng)72還可以包括其它硬件和/或軟件單元��,例如控制�、管理和/或支持裝 置74的子系統(tǒng)。例如�����,存儲系統(tǒng)72可包括用于在裝置74間平衡計算和/或網(wǎng)絡(luò)負載的子 系統(tǒng)、管理功率消耗或環(huán)境因素的子系統(tǒng)等等��。系統(tǒng)70可例如通過第一網(wǎng)絡(luò)90與系統(tǒng)70 的某些其它單元進行通信���。系統(tǒng)72可以是存儲設(shè)備(被示為包括在圖3的硬件和軟件層 60中)和/或虛擬存儲(被示為包括在圖3的虛擬層62中)的例子�。系統(tǒng)72可以提供用 于提供遠程存儲服務(wù)(例如基于云的存儲服務(wù))的裝置�。系統(tǒng)72的全部或一部分可駐留 在被選擇以提供物理的(鎖和鑰匙)安全的設(shè)施中,例如數(shù)據(jù)中心�����。
[0058] 存儲裝置74可以是任何提供數(shù)據(jù)的永久存儲的裝置��。裝置74可包括一個或多個 數(shù)據(jù)存儲驅(qū)動器���,其是提供實際的比特級、塊級和文件級存儲的較低層組件����。數(shù)據(jù)存儲驅(qū)動 器的例子包括但不限于硬盤驅(qū)動器、固態(tài)驅(qū)動器�����、磁帶存儲裝置和/或光學存儲裝置。例 如�,存儲裝置74可以是或者包括一個或多個文件服務(wù)器、直接附加存儲(DAS)裝置�、存儲區(qū) 域網(wǎng)(SAN)裝置、和/或附加存儲(NAS)裝置��,其每一個都包含一個或多個數(shù)據(jù)存儲驅(qū)動 器����。存儲裝置74的例子包括IBM?的擴展網(wǎng)絡(luò)附加存儲(SONAS)裝置、IBM XIV存儲系統(tǒng) 裝置����、和IBMStorwize? V7000裝置。存儲裝置74可包括或?qū)崿F(xiàn)諸如邏輯盤�����、卷�、分區(qū)、文 件系統(tǒng)�����、目錄的邏輯或組織特征�����、數(shù)據(jù)文件和/或數(shù)據(jù)塊。存儲裝置74可以是或者可包括 一個或多個數(shù)據(jù)存儲驅(qū)動器和/或一個或多個驅(qū)動器陣列��。驅(qū)動器陣列的例子是獨立冗余 磁盤陣列(RAID)�,其將多個邏輯或物理驅(qū)動器組合成單個邏輯驅(qū)動器以例如降低訪問時間 和/或增加可靠性。
[0059] 存儲系統(tǒng)72可以利用物理存儲裝置實現(xiàn)邏輯存儲裝置�。具有四個分區(qū)的物理存 儲裝置例如可以用作四個邏輯存儲裝置,每一個對應(yīng)一個分區(qū)��。在本公開中�����,短語"存儲裝 置"包括物理和邏輯存儲裝置兩者���。因此���,存儲裝置74可以是物理裝置或邏輯裝置����,例如分 區(qū)或邏輯驅(qū)動器。
[0060] 存儲信息76可以是存儲在一個或多個存儲裝置74上的任何數(shù)據(jù)�����。例如,存儲信 息76可包括在計算機存儲系統(tǒng)72上存儲的單個文件或塊�����;或者文件或塊的集合���;或者文 件系統(tǒng)的一部分��,例如一個或多個目錄�����;或者邏輯磁盤或磁盤陣列��;或者分區(qū)���、片或卷,例 如與系統(tǒng)70的特定所有者(租戶)���、工作組(子租戶)和/或用戶(來賓)相關(guān)聯(lián)的分區(qū)����。 因此,存儲信息76可以不僅包括這樣的數(shù)據(jù)��,還可以包括它的結(jié)構(gòu)�、存儲單元和元數(shù)據(jù)。例 如��,存儲信息76可包括與特定租戶相關(guān)聯(lián)的一個或多個文件系統(tǒng)�、文件系統(tǒng)中的數(shù)據(jù)文 件、以及諸如文件和目錄結(jié)構(gòu)�����、所有權(quán)和訪問控制(權(quán)限)的有關(guān)分層結(jié)構(gòu)��。簡而言之��,存 儲信息76可以是在存儲系統(tǒng)72中存儲的并通過某些準則選擇的任何數(shù)量的組織數(shù)據(jù)的鏡 像�,例如,所有屬于系統(tǒng)70的特定租戶���、子租戶或來賓的數(shù)據(jù)�����。存儲信息76的實例可以跨 越多個物理存儲裝置74����。例如����,存儲系統(tǒng)70可以在超過一個的存儲裝置74上向特定租戶、 子租戶或來賓分配諸如邏輯磁盤的存儲空間�����。該分配可以是動態(tài)的��,并可隨時間變化��。因 此���,存儲信息76可以是當前存儲在一個或多個裝置74上的數(shù)據(jù)的一部分或區(qū)塊�����,其在邏輯 上與特定租戶���、子租戶或來賓相關(guān)聯(lián)并被組織在諸如文件系統(tǒng)的結(jié)構(gòu)中。例如當用戶(來 賓)改變文件或目錄時,數(shù)據(jù)的內(nèi)容的變化最終被保存為對應(yīng)的存儲信息76的變化��。
[0061] 存儲信息76可包括單元����、子域(subdivision)、或諸如數(shù)據(jù)文件78和/或數(shù)據(jù)文 件結(jié)構(gòu)77的結(jié)構(gòu)����。數(shù)據(jù)文件78是用于在存儲裝置74的文件系統(tǒng)中存儲數(shù)據(jù)并用于使數(shù) 據(jù)可由程序和系統(tǒng)使用的資源。數(shù)據(jù)文件78可具有標識文件名�����、相關(guān)用戶名(例如���,來賓 標識符)�、相關(guān)組名(例如,租戶標識符)和其它屬性。本公開中的"文件"通常是指可被存 儲的數(shù)據(jù)并包括塊級存儲��、文件級存儲和流數(shù)據(jù)。
[0062] 數(shù)據(jù)文件結(jié)構(gòu)77可以是一個或多個數(shù)據(jù)文件78的關(guān)聯(lián)�����。例如,存儲信息76可包 括在提供文件夾或目錄的分層系統(tǒng)的文件系統(tǒng)中關(guān)聯(lián)的數(shù)據(jù)文件78��。目錄可包含一個或多 個數(shù)據(jù)文件78和/或子目錄�,其本身可包含數(shù)據(jù)文件和/或子目錄�����。該分層結(jié)構(gòu)是數(shù)據(jù)文 件結(jié)構(gòu)77的一個例子��。更一般來�,數(shù)據(jù)文件結(jié)構(gòu)77可以是任何結(jié)構(gòu)的、邏輯的或組織的系 統(tǒng)�,諸如在存儲信息76中包括或?qū)崿F(xiàn)的一個或多個分區(qū)、卷��、片��、文件系統(tǒng)或者目錄�。
[0063] 存儲信息76的實例可以作為一個或多個存儲文件95存儲在存儲系統(tǒng)72上。每 個存儲文件95可代表存儲信息76的完整實例或者存儲信息76的實例的邏輯分塊�。例如, 存儲系統(tǒng)76可包括獨立冗余磁盤陣列(RAID)��。RAID可用作邏輯存儲裝置����,并可以若干配 置(級別)中的一個將數(shù)據(jù)分布在磁盤陣列上�,以提高速度(例如���,通過到多個磁盤的并行 I/O)����、可靠性(例如�,通過冗余和/或奇偶校驗)或兩者。將數(shù)據(jù)分割在多個磁盤上以用于 并行訪問可被稱為"分條(striping)"��。分條將數(shù)據(jù)分割成邏輯條��,例如��,陣列中每個磁盤 一個條�����。存儲信息76的實例可被分割成條���,例如以加快創(chuàng)建RAID以存儲存儲信息���。每個 條可以是存儲文件95的例子���。條狀存儲文件95可映射存儲系統(tǒng)72中實際的邏輯或物理 RAID,或者可另外選擇。
[0064] 存儲系統(tǒng)72和/或其任何存儲裝置74可以是共享資源����。例如,通過存儲系統(tǒng)72 提供基于云的存儲的服務(wù)供應(yīng)商可具有多個用戶�����。每個用戶可具有該服務(wù)供應(yīng)商的賬戶���, 并可通過該賬戶來存儲、獲取��、保存和另外操作系統(tǒng)72上的數(shù)據(jù)���。托管多個用戶的服務(wù)供 應(yīng)商可以將系統(tǒng)72的一部分分配給每個用戶�����。由不同用戶存儲的數(shù)據(jù)可以駐留在同一個 系統(tǒng)72上�����,并可駐留在同一個存儲裝置74上���。每個用戶可將他或她的數(shù)據(jù)看作是私有和 機密的����。因此�����,服務(wù)供應(yīng)商可尋求提供用戶之間的隔離�����。該隔離可通過對每個用戶授權(quán)獨 占地訪問該用戶所擁有的私有數(shù)據(jù)以及通過拒絕任何用戶訪問不同用戶所擁有的私有數(shù) 據(jù)來保護相互的隱私和安全��。系統(tǒng)72可以被配置為允許每個用戶只訪問授權(quán)數(shù)據(jù)并防止 對未授權(quán)數(shù)據(jù)的無意或有意入侵��。在傳統(tǒng)的多用戶系統(tǒng)中保護隱私的機制包括分區(qū)�����、文件 系統(tǒng)�����、權(quán)限系統(tǒng),并在物理上將一個用戶的存儲與所有其它用戶的存儲分離�����。例如�����,將第一 存儲裝置74專用于第一用戶并將第二存儲裝置74專用于第二用戶在物理上將第一用戶的 存儲與第二用戶的存儲相隔離��。傳統(tǒng)的共享存儲并不提供每個用戶與底層存儲裝置之間的 物理分離�,造成一個用戶可在共享存儲系統(tǒng)72內(nèi)入侵另一個用戶的風險�����。
[0065] 系統(tǒng)70的服務(wù)供應(yīng)商或其它運營商可以定義用戶間的關(guān)聯(lián)����。個體用戶有時可被 稱為來賓(guest),而用戶組或聯(lián)合可被稱為租戶(tenant)��。來賓可以是被授權(quán)訪問系統(tǒng) 70的人或?qū)嶓w����;或者來賓可以是被授權(quán)訪問系統(tǒng)70的服務(wù)����、進程��、應(yīng)用或其它自動功能�。來 賓可以有相關(guān)的賬戶、標識符�����、名稱����、密碼、權(quán)限和其它屬性���。租戶可以是任何自然�、邏輯��、或 任意組的來賓���,并可具有相關(guān)的賬戶���、標識符��、名稱�、子域(子租戶)和其它屬性����。例如,租 戶可以是為管理方便而由運營商定義的命名組���。對于另一個例子����,租戶可對應(yīng)于自然單元��, 諸如從系統(tǒng)70獲取存儲服務(wù)的個人��、機構(gòu)�、企業(yè)���、組織或政府���。例如,服務(wù)供應(yīng)商可以具有 多個來賓,每個企業(yè)具有多個雇員�����。每個企業(yè)可具有相關(guān)聯(lián)的租戶賬戶���,并且它的每個雇員 可以具有與該租戶賬戶相關(guān)聯(lián)的來賓賬戶�。每個租戶可例如通過允許或拒絕所選擇的來賓 訪問所選擇的數(shù)據(jù)文件78和/或數(shù)據(jù)文件結(jié)構(gòu)77來控制或管理它的相關(guān)聯(lián)的來賓賬戶�。 例如,企業(yè)(租戶)可以授權(quán)它的所有雇員(來賓)有權(quán)讀取并寫入由該企業(yè)擁有的所有 數(shù)據(jù)����;或者企業(yè)可以限制某些雇員對某些數(shù)據(jù)的訪問。個體用戶可被授權(quán)訪問超過一個的 來賓賬戶�����,而來賓賬戶可以具有超過一個的授權(quán)用戶���。詞語"所有者"有時可以是指租戶或 者來賓�,例如��,在應(yīng)用于其中一方或雙方的上下文中����。
[0066] 系統(tǒng)70的特定資源可以與特定租戶和/或來賓相關(guān)聯(lián)��。從系統(tǒng)的角度����,特定租戶 可被看作是與該租戶相關(guān)聯(lián)的資源的集合�����。例如�����,系統(tǒng)70可靜態(tài)或動態(tài)地向特定租戶分配 虛擬存儲(在此有時簡寫為"VS")實例80����、虛擬機(在此有時簡寫為"VM")實例100、和 /或特定存儲裝置74的部分�。
[0067] 虛擬化是允許第一計算機系統(tǒng)模擬第二計算機系統(tǒng)的技術(shù)。第一計算機系統(tǒng)(被 稱為虛擬主機)是提供諸如處理功率��、存儲器和對存儲的訪問的資源的實際或物理的機 器�。第二計算機系統(tǒng)被主機模擬并在主機上執(zhí)行����,被稱為虛擬機或VM���。VM可運行操作系統(tǒng) 和軟件應(yīng)用,如同它是實際的機器一樣����。當VM請求硬件資源時,主機攔截并滿足該請求�����。主 機可并發(fā)運行多個VM����,每個VM可以在能力和配置方面不同。例如����,一個VM可以模仿計算機 的第一操作系統(tǒng),而第二VM可以模仿計算機的第二(相同或不同的)操作系統(tǒng)��。VM可以模 擬幾乎任何類型的計算機系統(tǒng)或設(shè)備�,包括通用計算機和諸如存儲系統(tǒng)或裝置的專用計算 機系統(tǒng)。
[0068] 虛擬主機可以運行稱為管理程序的軟件層以支持一個或多個VM�。管理程序攔截來 自每個VM的對于處理器����、存儲器�����、存儲和其它資源的請求���,并通過本地主機資源滿足這些 請求���。管理程序可以在操作系統(tǒng)上運行或者直接在底層主機硬件上運行。向較高級軟件提 供硬件資源的較低級軟件有時可被稱為內(nèi)核(kernel)�����。向VM提供資源而不依賴于明確的 中間操作系統(tǒng)的管理程序可以被稱為基于內(nèi)核的管理程序����。運行至少基于內(nèi)核的管理程序 和一個或多個VM的主機可被稱為基于內(nèi)核的虛擬機環(huán)境。
[0069] 在虛擬主機上運行的VM并不直接訪問主機資源�。相反,VM僅可通過管理程序訪 問主機資源���,因此�,這可將每個VM與其它托管VM隔離和/或?qū)⒃谙到y(tǒng)70中選擇的組件彼 此隔離(例如����,將網(wǎng)絡(luò)90與網(wǎng)絡(luò)92隔離)。實際上�,管理程序可以對每個托管VM創(chuàng)建私有 的受保護的操作空間,并將每個VM與同一主機上的其它VM隔離����。該受保護的空間有時可 被稱為"沙箱(sandbox)"。沙箱對沙箱內(nèi)部的資源創(chuàng)建安全和隱私���。例如��,如果VM正在運 行應(yīng)用程序�����,那么分配給該應(yīng)用的處理器和存儲器享有免被其它VM入侵的保護���。例如,如 果VM和它的應(yīng)用依賴于傳統(tǒng)的共享物理存儲�,則存儲在位于VM沙箱外部的用于執(zhí)行該應(yīng) 用的物理存儲裝置上發(fā)生。在這個傳統(tǒng)的例子中��,即使正在執(zhí)行的應(yīng)用受到保護,底層物理 數(shù)據(jù)存儲也不受到保護�����。
[0070] VS實例80可以是存儲裝置74的虛擬實現(xiàn)����,并可包括諸如網(wǎng)絡(luò)接口的支持功能。 VS實例80可包括一個或多個虛擬存儲磁盤或磁盤陣列(例如�����,在后面描述的邏輯存儲系統(tǒng) 或LSS實例96)���。虛擬磁盤陣列可以用作虛擬RAID設(shè)備����。用作存儲裝置的VS實例80可以 訪問虛擬磁盤或磁盤陣列��,以例如打開�����、讀取和寫數(shù)據(jù)文件���,就像虛擬存儲是實際的物理存 儲一樣���。實際上,管理程序85可通過將這些訪問請求傳送到存儲系統(tǒng)72上的實際存儲來 滿足這些訪問請求�����。VS實例80的指向(尋址到)虛擬磁盤或磁盤陣列的數(shù)據(jù)讀取和寫入 可以通過管理程序85基本上實時地傳送到存儲系統(tǒng)72,通過管理程序的間接引用����。在主機 上的管理程序85上的VM實例80可以與管理程序85進行通信,但不能直接與存儲系統(tǒng)72 進行通信�����。管理程序85可以有效地將存儲系統(tǒng)72與第二網(wǎng)絡(luò)92相隔離����。
[0071] 虛擬存儲可以反映對應(yīng)的實際存儲的特征和屬性。例如����,存儲信息76的實例可包 括數(shù)據(jù)文件結(jié)構(gòu)77、數(shù)據(jù)文件78����、租戶和/或來賓關(guān)聯(lián)和其它屬性����。數(shù)據(jù)文件實例(也稱 為數(shù)據(jù)文件結(jié)構(gòu)實例)87 (虛擬存儲)可對應(yīng)于數(shù)據(jù)文件結(jié)構(gòu)77 (實際存儲)��,數(shù)據(jù)文件實 例(也稱為數(shù)據(jù)文件結(jié)構(gòu)實例)88 (虛擬存儲)可對應(yīng)于數(shù)據(jù)文件78 (實際存儲)��。當向 VS實例80導出存儲信息76的實例時���,每個數(shù)據(jù)文件結(jié)構(gòu)77可因此產(chǎn)生對應(yīng)的數(shù)據(jù)文件結(jié) 構(gòu)實例87,每個數(shù)據(jù)文件78可產(chǎn)生對應(yīng)的數(shù)據(jù)文件實例88�。因此�����,導出到VS實例80的存 儲信息76的實例可以保存它的數(shù)據(jù)��、結(jié)構(gòu)�����、元數(shù)據(jù)和租戶一來賓所有權(quán)���。實際上而非虛擬 地����,數(shù)據(jù)文件結(jié)構(gòu)實例87和數(shù)據(jù)文件實例88可以被看作是經(jīng)過管理程序85傳遞到存儲系 統(tǒng)72中的對應(yīng)存儲項目的引用。
[0072] 在實施例中���,特定VS實例80可以關(guān)聯(lián)于和/或?qū)S糜谔囟▉碣e�。在實施例中��,特 定VS實例80可以關(guān)聯(lián)于和/或?qū)S糜谔囟ㄗ鈶?,并以文件系統(tǒng)被合作者共享的方式由該 租戶的一個或多個來賓共享��。例如���,VS實例80可以是與特定租戶相關(guān)聯(lián)的并可例如通過 在VS實例80中實現(xiàn)的NFS或CIFS文件系統(tǒng)能夠被該租戶的所有來賓或所選擇的來賓訪 問的所有數(shù)據(jù)或者所選擇的數(shù)據(jù)的虛擬��。
[0073] 實現(xiàn)VS實例80的VM可以用作沙箱�����,其占用它自己的受保護的操作空間����。管理程 序85有效地授權(quán)每個VS實例80獨占地訪問它自己的資源,拒絕每個VS實例訪問與其它 VS實例相關(guān)聯(lián)的資源����,并保護每個VS實例不受其它VS實例的入侵。因此��,向VS實例80導 出存儲信息76的實例在VS主機82上保護該數(shù)據(jù)不受與在同一個VS主機82上運行的其 它VS實例相關(guān)聯(lián)的其它來賓的入侵���。例如�,與第一來賓相關(guān)聯(lián)的第一 VS實例不能訪問與 第二來賓相關(guān)聯(lián)的第二VS實例�����,因為兩個VS實例都是由管理程序85提供沙箱的�。
[0074] 向VS實例80導出存儲信息76的實例還將VS實例80和它的相關(guān)聯(lián)的來賓與存 儲系統(tǒng)72隔離。管理程序85可將VS實例80與第一網(wǎng)絡(luò)90和/或存儲系統(tǒng)72隔離�����。每 個VS實例80通過管理程序85獲取存儲服務(wù)����,而不是經(jīng)由直接訪問后端存儲系統(tǒng)72。如果 系統(tǒng)70包括源自對應(yīng)的存儲信息76的實例的多個VS實例80,并且每個具有相關(guān)聯(lián)的所有 者�����,則每個VS實例80與底層存儲系統(tǒng)72相隔離。每一個都與系統(tǒng)72隔離的多個所有者 彼此相互隔離���。多個所有者在數(shù)據(jù)存儲方面享有安全性和隱私�。
[0075] VS實例80可以是存儲裝置74的模擬�,可包括一個或多個虛擬數(shù)據(jù)存儲磁盤或磁 盤陣列。通過向VS實例80輸出存儲文件95而獲取的虛擬磁盤可以被稱為存儲文件實例 96��。作為功能性虛擬存儲的包括一個或多個VS文件實例96的邏輯結(jié)構(gòu)可被稱為LSS實例 98���。LSS實例98可以被認為是由管理程序85抽象成存儲信息76的實例的邏輯窗口����,通過 它���,VS實例80例如代表一個或多個連接的VM實例100獲取實際的存儲。
[0076] LSS實例98可以用諸如NFS或CIFS的文件系統(tǒng)來格式化��。LSS實例98的文件系 統(tǒng)可以不同于存儲系統(tǒng)72的本地文件系統(tǒng)���。例如����,LSS實例文件系統(tǒng)可由租戶選擇,以例 如通過VS實例80和它的LSS實例98在租戶的來賓之間加快文件共享���。
[0077] 包括至少兩個VS文件實例96的LSS實例98可以被配置為RAID���。例如,存儲信息 76的實例中的數(shù)據(jù)可以被分成條���,而每一條可以被分配給存儲文件95�。分別向VS實例80 導出每個存儲文件95可生成對應(yīng)的VS文件實例96的集合���。包括VS文件實例96的集合 的LSS實例98可以根據(jù)底層分條而被配置為RAID����,并可用文件系統(tǒng)進行格式化�。LSS實例 96可對應(yīng)于存儲系統(tǒng)72中的實際RAID,或者可獨立于實際存儲的結(jié)構(gòu)來創(chuàng)建���。
[0078] 虛擬存儲主機82可以是支持系統(tǒng)70中的一個或多個VS實例80的虛擬化主機�。 在圖4的例子中��,主機82可運行管理程序85,其支持被表示為80A-N的多個VS實例。盡管 圖4示出兩個VS實例�����,但應(yīng)當理解����,主機82可支持無限數(shù)量的VS實例。VS主機82可包括 與管理程序85和VS實例80有關(guān)或無關(guān)的其它硬件和/或軟件���。例如�,主機82可運行軟 件以允許管理或協(xié)調(diào)系統(tǒng)70內(nèi)的VS主機82����。VS主機82可以是云計算節(jié)點10或計算機 系統(tǒng)/服務(wù)器12的例子。
[0079] 虛擬存儲系統(tǒng)84可包括一個或多個VS主機82���。系統(tǒng)70可利用多個VS主機82, 以例如支持分發(fā)給多個主機82的多個VS實例80�����。VS系統(tǒng)84可被看作是系統(tǒng)70的支持 和/或協(xié)調(diào)一個或多個主機82的子系統(tǒng)�。圖4示出只有一個主機82的VS系統(tǒng)84 ;然而 應(yīng)當理解���,VS系統(tǒng)84可包括無限數(shù)量的主機82。VS系統(tǒng)84可以包括其它硬件和/或軟 件��。例如�����,系統(tǒng)84可運行子系統(tǒng)以例如通過在可用主機82之間平衡計算和/或網(wǎng)絡(luò)負載 來協(xié)調(diào)VS系統(tǒng)84的主機82����。
[0080] 第一網(wǎng)絡(luò)90可以是計算機網(wǎng)絡(luò),其提供從存儲系統(tǒng)72到一個或多個VS系統(tǒng)84 并由此到VS主機82并由此到一個或多個VS實例80的通信鏈路�。網(wǎng)絡(luò)90可以包含未在 圖4中示出的硬件和/或軟件組件以支持在存儲系統(tǒng)72與一個或多個VS系統(tǒng)84及其主 機82之間數(shù)據(jù)在任一方向上的傳輸。網(wǎng)絡(luò)90可以利用各種介質(zhì)���、導體���、設(shè)備和協(xié)議。例如���, 網(wǎng)絡(luò)90可以利用一個或多個光纖導體和網(wǎng)絡(luò)文件系統(tǒng)(NFS)協(xié)議�。網(wǎng)絡(luò)90可以是私有網(wǎng) 絡(luò)���,例如�����,由系統(tǒng)70的運營商維護并通過租戶和其它方與直接連接隔離的網(wǎng)絡(luò)�����。
[0081] 第一網(wǎng)絡(luò)90通過連接存儲系統(tǒng)72和VS系統(tǒng)84來提供將每個存儲信息76的實例 傳送給對應(yīng)的VS實例80的方式��。在實施例中��,該通信可以利用文件系統(tǒng)導出--即�����,允許 網(wǎng)絡(luò)設(shè)備與其它網(wǎng)絡(luò)設(shè)備共享文件或文件系統(tǒng)的機制一發(fā)生����。例如,第一網(wǎng)絡(luò)可以利用 NFS協(xié)議�,其提供文件系統(tǒng)導出特征����。存儲信息76可以被存儲為一個或多個存儲文件95,到 存儲文件95的映射可以從諸如邏輯磁盤或磁盤陣列的系統(tǒng)72的邏輯結(jié)構(gòu)中導出��。因此��, 系統(tǒng)72可以經(jīng)由NFS出口而向VS實例80導出存儲實例76的每個存儲文件95�。所導出的 存儲文件可以穿過管理程序85到達對應(yīng)的VS實例80,并可作為LSS實例98的對應(yīng)VS文 件實例96出現(xiàn)��。包含兩個或多個VS文件實例的LSS實例98可能被配置為虛擬RAID��。
[0082] 例如�����,參照圖4,存儲系統(tǒng)72可以通過NFS出口 86A將存儲信息76的實例導出到 VS實例80A�����,作為單個存儲文件95�。在經(jīng)過管理程序85傳遞到VS實例80A后,存儲文件 95可出現(xiàn)在VS實例80A中���,作為LSS實例98A內(nèi)的VS文件實例96A��。LSS實例98A可以將 存儲信息的數(shù)據(jù)文件結(jié)構(gòu)77保存為數(shù)據(jù)文件結(jié)構(gòu)實例87,并將數(shù)據(jù)文件78保存為數(shù)據(jù)文 件實例88��。對于另一個例子����,存儲系統(tǒng)72可以將存儲信息76的實例導出到VS實例80N, 作為存儲文件的集合��。例如���,存儲信息76可采用邏輯或物理磁盤陣列的形式駐留在存儲系 統(tǒng)72上�����。因此��,存儲系統(tǒng)72可通過一組NFS出口 86N并通過對應(yīng)的存儲文件的集合將陣 列中的一組磁盤導出到VS實例80N��。在傳遞經(jīng)過管理程序后��,該存儲文件的集合可以作為 LSS實例98N內(nèi)的存儲器文件實例96N的集合出現(xiàn)��。例如�,通過在準備存儲文件95時對數(shù) 據(jù)分條���,陣列可被格式化為RAID設(shè)備����。為了簡化����,圖4省略了 LSS實例98N內(nèi)的數(shù)據(jù)文件 實例和數(shù)據(jù)文件結(jié)構(gòu)實例,但應(yīng)當理解����,這些特征可以出現(xiàn)在LSS實例98N內(nèi)。
[0083] LSS實例98N的結(jié)構(gòu)和格式可以不同于對應(yīng)的存儲信息96���。例如����,在存儲系統(tǒng)72 中表示為在給定文件系統(tǒng)中格式化的單個邏輯磁盤的存儲信息可以在VS實例80中被表示 為在不同的文件系統(tǒng)中格式化的虛擬RAID設(shè)備��。
[0084] VS實例80可以將LSS實例當作存儲裝置����,以例如讀取或?qū)懭胛募4鎯Y源請求 以與處理器資源請求從VM傳遞到主機CPU的相同方式從VS實例80 (VM)經(jīng)過管理程序85 傳遞到存儲系統(tǒng)72���。LSS實例98可提供基本上實時的從VS實例80到存儲系統(tǒng)72的對應(yīng) 的存儲信息76的傳遞�����。VS實例80可通過引用由LSS實例98表示的存儲信息76的鏡像 或代理來間接地從存儲系統(tǒng)72的對應(yīng)的實際存儲信息76中讀取數(shù)據(jù)或向其寫入數(shù)據(jù)�。給 定VS實例80的訪問的范圍限于所導出的存儲信息72的范圍。如果給定VS實例80和對 應(yīng)的存儲信息和特定租戶相關(guān)聯(lián)��,則該租戶可"看見"它自己的數(shù)據(jù)�,但不能"看見"共享同 一個存儲系統(tǒng)72的其它租戶的數(shù)據(jù)。導出過程結(jié)合VS實例80的虛擬化將每個租戶隔離 到存儲系統(tǒng)72的特定區(qū)域���,保護租戶彼此的隱私和安全���。
[0085] 在另一個實施例中,存儲系統(tǒng)72與VS實例之間的通信可以利用邏輯單元號或 LUN����,其是用于識別例如SAN存儲裝置中通過諸如SCSI和光纖信道的協(xié)議尋址的存儲裝置 的編號。例如���,由存儲系統(tǒng)72通過網(wǎng)絡(luò)90傳遞到VS主機82的單個LUN可作為塊設(shè)備經(jīng) 過管理程序85傳遞到VS實例80,該塊設(shè)備可作為LSS實例98的VS文件實例96出現(xiàn)在 VS實例80內(nèi)�����。然后����,LSS實例98可以用方便相關(guān)聯(lián)的租戶的文件系統(tǒng)格式化。對于另一 個例子�,一組LUN可以從存儲系統(tǒng)72傳遞到VS實例80,并作為包括對應(yīng)的VS文件實例96 的集合的LSS實例98出現(xiàn)。LSS實例98可以適合于相關(guān)聯(lián)的租戶的方式來配置和格式化�����。 除了用于創(chuàng)建LSS實例98的方法外�,通過LUN與存儲系統(tǒng)72通信的VS實例80類似于通 過NFS出口進行通信的VS實例80���。
[0086] 虛擬機實例80可以是支持由系統(tǒng)70的來賓用戶實行的會話的VM���。例如,租戶可 以對授權(quán)用戶建立來賓賬戶�����。每個賬戶可以具有諸如用戶名和密碼的證書��,允許來賓通過 在網(wǎng)站上的表中輸入證書來建立與系統(tǒng)70的授權(quán)連接��。當來賓登錄時��,系統(tǒng)70可以分配 或創(chuàng)建VM實例100 (來賓會話),來賓可通過它從系統(tǒng)70獲取服務(wù)���。例如�,對于圖像存儲服 務(wù)�����,來賓的VM實例100可以提供允許來賓向存儲系統(tǒng)72上傳或從存儲系統(tǒng)72下載圖像的 特征���。通過VM實例100實現(xiàn)的來賓會話可以是分配給該來賓的永久進程或者是在登錄時 創(chuàng)建并在退出時注銷的臨時(ad hoc)進程�。
[0087] 來賓可利用廣泛的有形裝置的任何一種建立到系統(tǒng)70的連接�,諸如個人計算機、 蜂窩電話��、智能電話�、平板設(shè)備、個人數(shù)字助理等�����。由個體來賓直接操作的有形裝置(未示 出)可以用作厚客戶機或瘦客戶機��。作為厚客戶機����,該裝置可以作為基本完全自立的計算 機來操作���。因此,該裝置可以運行操作系統(tǒng)和/或應(yīng)用�����,并主要依賴系統(tǒng)70進行數(shù)據(jù)存儲����。 在該上下文中�,VM實例100可以用作相對簡單的網(wǎng)關(guān)以用于訪問遠程的基于云的服務(wù)。 [0088] 作為瘦客戶機�����,有形裝置可以作為例如支持數(shù)據(jù)輸入和/或數(shù)據(jù)顯示并從網(wǎng)絡(luò)服 務(wù)器獲取軟件服務(wù)而無需運行重要的本地應(yīng)用的終端來操作���。在該上下文中�,VM實例100 可以用作網(wǎng)絡(luò)服務(wù)器或遠程執(zhí)行引擎�,其可例如運行操作系統(tǒng)、應(yīng)用等�,并可另外依賴系統(tǒng) 70進行數(shù)據(jù)存儲����。這些體系結(jié)構(gòu)例子僅僅是說明��。VM實例100是虛擬機��,并因此可以代表 相關(guān)的來賓模擬廣泛的計算設(shè)備��。VM實例100可以是云計算節(jié)點10�、計算機系統(tǒng)/服務(wù)器 12或圖2的設(shè)備54A-N中的任何一個的虛擬例子。
[0089] 由于VM實例100是虛擬機�,因此,它可以實現(xiàn)在VS實例80的上下文中討論的沙 箱技術(shù)�����。因此���,VM實例100可以將它的相關(guān)的來賓會話同與其它來賓會話相關(guān)聯(lián)的其它VM 實例相隔離��,從而保護每個來賓彼此的安全性和隱私�����。用于VM實例100的沙箱的范圍是維 持相關(guān)聯(lián)的來賓會話的計算活動��。相反�����,用于VS實例80的沙箱的范圍是通過存儲系統(tǒng)72 滿足的存儲有關(guān)的請求����。系統(tǒng)70用一個VM(VM實例100)保護每個來賓的應(yīng)用級安全和隱 私,用第二VM(VS實例80)保護存儲級的隱私和安全��。因此���,系統(tǒng)70保護整個來賓會話的 隱私���。
[0090] 與特定來賓相關(guān)聯(lián)的VM實例100可以同與同一授權(quán)來賓相關(guān)聯(lián)的VS實例80進 行通信�。該通信允許VM實例100代表來賓獲取存儲資源(最終從存儲系統(tǒng)72)。在圖像存 儲系統(tǒng)中����,例如,來賓可通過VM實例100會話發(fā)布上載圖像文件的命令�����,該VM實例100接 收所上載的文件并將該文件傳輸?shù)较嚓P(guān)的VS實例80, VS實例80將該文件傳輸給存儲系統(tǒng) 72,由存儲系統(tǒng)72存儲該來賓和/或租戶的文件。該通信發(fā)生在安全的環(huán)境中����,通過VM實 例100與來賓隔離,并通過VS實例80與存儲系統(tǒng)72隔離��,維護了會話的隱私和安全�����。
[0091] VM主機102可以是適于支持一個或多個VM實例100的虛擬主機的例子���。VM主機 102可以運行VM管理程序105,其可支持被表示為100A-N的多個VM實例���。用于VM管理程 序105和管理程序85的預期軟件包括K虛擬機(KVM)、VMWare和IBM Power管理程序���。VM 主機102可包括與VM管理程序105和VM實例100有關(guān)或無關(guān)的其它硬件和/或軟件�。例 如���,主機102可運行軟件以例如通過平衡可用主機102之間的計算和/或通信負載來方便 在系統(tǒng)70內(nèi)管理主機102�。主機102可以是云計算節(jié)點10或計算機系統(tǒng)/服務(wù)器12的例 子。
[0092] 圖4示出了兩個VM主機����,其被標記為102A和102N。應(yīng)當理解���,系統(tǒng)70可包括無 限數(shù)量的VM主機102����。圖4示出示例性的實施例�����,其將VM主機82和管理程序85與VM主 機102和VM管理程序105隔離���。在另一個實施例中�����,主機82和102可駐留在同一個物理 機器上,并可由同一個管理程序支持�����。圖4是系統(tǒng)70的通用功能或概念表示,其通過其它 體系結(jié)構(gòu)實現(xiàn)相同的功能特征���。
[0093] VM主機系統(tǒng)104可包括一個或多個VM主機102,以例如支持分布到多個VM主機 102的多個VM實例100�����。VM系統(tǒng)104可以被看作是系統(tǒng)70的協(xié)調(diào)一個或多個主機102的 子系統(tǒng)�����。圖4示出系統(tǒng)104具有兩個VM主機102A和102N�����。應(yīng)當理解����,系統(tǒng)104可以包括 無限數(shù)量的VM主機102��。系統(tǒng)104可包括其它硬件和/或軟件�。例如,系統(tǒng)104可運行例 如通過在可用主機104之間平衡計算和/或網(wǎng)絡(luò)負載來協(xié)調(diào)系統(tǒng)104的VM主機102的子 系統(tǒng)���。
[0094] 第二網(wǎng)絡(luò)92可以是物理或虛擬計算機網(wǎng)絡(luò)���,其提供從VM主機系統(tǒng)104到VS系統(tǒng) 84的通信鏈路����。網(wǎng)絡(luò)92允許VM實例100向它的相關(guān)聯(lián)的VS實例80傳輸數(shù)據(jù)以及從那里 接收數(shù)據(jù)����。網(wǎng)絡(luò)92可包括硬件和/或軟件組件(未在圖4中示出)以支持數(shù)據(jù)在任一方 向上的傳輸。網(wǎng)絡(luò)92可利用各種介質(zhì)����、導體、設(shè)備和協(xié)議�。例如,在一個實施例中����,物理網(wǎng) 絡(luò)92可包括一個或多個光纖導體和NFS協(xié)議。在另一個實施例中���,網(wǎng)絡(luò)92可包括因特網(wǎng)�����, 并可利用TCP/IP協(xié)議以例如實現(xiàn)虛擬專用網(wǎng)以將遠程VM主機102連接到VS主機82。租 戶可例如維持內(nèi)部部署(on-premises) VM主機102,并通過網(wǎng)絡(luò)92將數(shù)據(jù)導出到外部部署 (off-premises) VS 主機 82。
[0095] 在一個實施例中�����,第二網(wǎng)絡(luò)92可以是實現(xiàn)為VM的虛擬網(wǎng)絡(luò)���,類似于所實現(xiàn)的VS 實例80或VM實例100���。因此,虛擬網(wǎng)絡(luò)92的一個或多個實例可在運行在主機上的管理程 序上運行�����。在一個實施例中���,虛擬網(wǎng)絡(luò)主機可不同于VS主機82和/或VM主機102�。在一 個實施例中����,一個主機可以支持不同類型的VM,包括VM實例84�����、VM實例100和虛擬網(wǎng)絡(luò)實 例92的任意組合。
[0096] 在一個實施例中���,第二網(wǎng)絡(luò)92可以是虛擬局域網(wǎng)(VLAN)�。在傳統(tǒng)的局域網(wǎng)(LAN) 中���,網(wǎng)絡(luò)設(shè)備位于單個廣播域中���,例如,以相對近的物理近距離在同一個網(wǎng)絡(luò)交換機上����。 VLAN是可包括在不同廣播域中(例如,在不同的交換機上)的設(shè)備的物理LAN的邏輯模擬���。 VLAN是邏輯定義的��,而非物理定義的��,因此���,它所連接的設(shè)備可以是物理上遠距離的。簡而 言之�����,VLAN是非本地LAN,其可例如連接駐留在物理上遠距離位置的工作組的成員��。實現(xiàn)為 VLAN的網(wǎng)絡(luò)92可以允許與特定租戶相關(guān)聯(lián)的VM實例從更大的距離范圍或網(wǎng)絡(luò)拓撲連接到 同一個VS實例80�。
[0097] 第二網(wǎng)絡(luò)92可包括超過一個的底層網(wǎng)絡(luò)�,例如,如圖4所示��,支持VM實例100A-C 的第一 VM主機102A可以通過第一個第二網(wǎng)絡(luò)92A與第一 VS實例80A進行通信�����;而支持 VM實例100D-N的第二VM主機102N可以通過第二個第二網(wǎng)絡(luò)92N與第二VS實例80N進行 通信��。底層網(wǎng)絡(luò)92A和92N可在類型和/或協(xié)議上不同���。向網(wǎng)絡(luò)92A和92N分配VM實例 可以依賴于與每個VM實例相關(guān)聯(lián)的租戶和/或來賓��。例如����,第一租戶的所有通信業(yè)務(wù)可以 通過指定的第二網(wǎng)絡(luò)92A路由�����,而第二租戶的所有業(yè)務(wù)可以通過不同的第二網(wǎng)絡(luò)92N路由。 這種租戶獨占的資源分配提供了租戶之間的隔離�����。例如����,將指定租戶的VS實例80置于與 同一租戶的VM實例100相同的專用虛擬網(wǎng)絡(luò)92上--并將其它租戶排除在這些專用資源 之外--提供了該租戶與其它租戶之間的隔離。
[0098] 第二網(wǎng)絡(luò)92通過將一個或多個VM實例100連接到VS實例80提供了將導出到VS 實例80的存儲信息76通過第二網(wǎng)絡(luò)92傳輸?shù)竭B接到VS實例80的每個VM實例100的方 式�����。在一個實施例中��,該通信可以利用文件系統(tǒng)導出發(fā)生����。例如,第二網(wǎng)絡(luò)92可以利用NFS 協(xié)議����。VS裝置80可以通過NFS將它的LSS實例98導出到每個所連接的VM實例100。所 導出的LSS實例98可以穿過VM管理程序105,并作為虛擬裝置出現(xiàn)在VM實例100內(nèi)���。VM 實例100可以作為存儲裝置訪問虛擬裝置����。尋址到該驅(qū)動器的存儲訪問經(jīng)過它傳遞到VS 實例80并最終到達存儲系統(tǒng)72。例如�,如果指定VM實例的用戶打開特定的數(shù)據(jù)文件,則文 件訪問請求從VM實例傳送到VS實例��,并最終到達存儲系統(tǒng)72���。排除網(wǎng)絡(luò)延遲,該串聯(lián)的 訪問可基本實時地發(fā)生�。對于終端用戶,所導出的文件系統(tǒng)可看起來對VM實例100是本地 的���?��?傊瑢?shù)據(jù)從存儲系統(tǒng)72導出到VS實例80的過程類似于將數(shù)據(jù)從VS實例80導出 到VM實例100的過程��。
[0099] 將一個或多個存儲文件95通過NFS從存儲系統(tǒng)72導出到VS實例100并再通過 NFS從VS實例導出到VM實例的實施例有時可被稱為"NFS再導出器"���。在拓撲結(jié)構(gòu)上����,該實 施例將VS實例100插入存儲系統(tǒng)72與VM實例100之間,這兩者都在NFS網(wǎng)絡(luò)上����。在該例 子中,VS實例80可以用作類似防火墻的裝置�,其允許VM實例100上的來賓會話在私有安 全的會話中訪問存儲系統(tǒng)72。
[0100] 基于管理程序的VM實例100是沙箱會話�。雖然多個來賓可通過公共VS實例80 共享公共文件系統(tǒng),但同一個VM主機102上的多個來賓彼此隔離�。
[0101] 虛擬存儲空間實例94或VSS實例94可以是VS實例80的虛擬存儲的鏡像,其可通 過第二網(wǎng)絡(luò)92被VM實例100訪問���。例如����,如果VS實例80向VM實例100導出它的虛擬存 儲(即�,它的LSS實例98),則VSS實例94可以作為邏輯驅(qū)動器或類似結(jié)構(gòu)出現(xiàn)�。該驅(qū)動器 可被VM實例100引用以訪問VS實例100的虛擬存儲,VM實例100可將該請求通過LSS實 例98和管理程序95傳送到存儲系統(tǒng)72��。VSS實例94例如可用為方便VM實例100的來賓 而選擇的文件系統(tǒng)來格式化。VSS實例94可在功能上類似于LSS實例98�。也就是說,LSS 實例98可以被認為是從VS實例80到存儲系統(tǒng)72上的實際存儲(存儲信息的實例)或從 該實際存儲到VS實例80的邏輯窗口����,而VSS實例94可以被認為是從VM實例100到VS實 例80或從VS實例80到VM實例100的邏輯窗口。VSS實例94和LSS實例98兩者都可以 提供被管理程序抽象的對諸如駐留在另一個設(shè)備(邏輯的或虛擬的)上的文件系統(tǒng)的數(shù)據(jù) 的訪問�。
[0102] VS實例80可以對每個所連接的VM實例100創(chuàng)建VSS實例94。例如����,在圖4中, VS實例80N具有多個所連接的VM實例100D-N和對應(yīng)的一組VSS實例94N�����,每個VM特定的 訪問機制在VS實例中�。VS主機或VM主機可以擔任用于VSS實例的虛擬服務(wù)器�。
[0103] 現(xiàn)在再參照圖5,系統(tǒng)70可以支持一個或多個租戶120 ;每個租戶120可包括與該 租戶120相關(guān)聯(lián)并隸屬于該租戶120的一個或多個來賓122 ;系統(tǒng)70可以向租戶和/或來 賓分配諸如VS實例80和VM實例100的資源。在圖5的示例性例子中����,第一租戶120A和 它的相關(guān)資源用實線表示;第二租戶120B和它的資源由長虛線表示�����,第三租戶120N和它 的資源用短虛線表不。在VM主機系統(tǒng)104中�,第一 VM主機102A支持用于租戶120A的第 一來賓的第一 VM實例100A1、用于租戶120B的第一來賓的第二VM實例100B1和用于租戶 120N的第一來賓的第三VM實例100N1��。第二VM主機102B同樣地支持用于租戶120A的第 二來賓的第一 VM實例lOOAn���、用于租戶120B的第二來賓的第二VM實例100B2和用于租戶 120N的第二來賓的第三VM實例100N2�����。第三VM主機102N2同樣地支持用于租戶120B和 120N的其它來賓的其它VM實例100B3���、IOOBn和lOONn。
[0104] 資源分配--即����,特定租戶和來賓到特定VM主機的映射--可以是靜態(tài)或動態(tài) 的。對于靜態(tài)分配����,預先確定的資源可專用于預先確定的租戶和/或來賓。對于動態(tài)分配���, 資源可以基本實時地根據(jù)需要分配��。例如�,系統(tǒng)70可以在特定來賓登錄時在所選擇的VM 主機上對該來賓創(chuàng)建VM實例,并可在該來賓注銷時消除該VM實例�����。針對下一個新的VM實 例選擇VM主機可自動發(fā)生�����,例如通過選擇具有最低計算和/或通信負載的VM主機����。指定 VM主機可以同時支持與不同租戶相關(guān)聯(lián)的VM實例,而指定租戶可以具有在不同VM主機上 運行的VM實例�。租戶與VM主機之間的對應(yīng)關(guān)系可以隨時間變化�;各個VM實例可以是短暫 的,僅在相關(guān)的來賓會話期間存在�����。圖5示出了在特定時間點的典型分配的快照�,以例如突 出租戶、來賓和資源之間的典型關(guān)系。
[0105] 系統(tǒng)70還可代表租戶120A-N分配虛擬存儲資源�����。如圖5所示���,示例性的VS系統(tǒng) 84可包括兩個VS主機82A和82N�,它們每一個支持一個或多個VS實例80A-N��。在該例子 中����,租戶120A對應(yīng)于VS實例80A ;租戶120B對應(yīng)于VS實例80B ;租戶120N對應(yīng)于VS實例 80N。在該例子中�����,VS實例80A和80B在第一 VS主機82A上運行���,實例80N在第二VS主機 82N上運行����。該VS主機分配類似于VM主機102的分配�����,可以是靜態(tài)的或動態(tài)的。例如�,系 統(tǒng)70可以在需要時創(chuàng)建VS實例,例如每當租戶具有至少一個活動的來賓會話時����,并在不需 要時消除它,以例如釋放資源�����。
[0106] 系統(tǒng)70可以維持各種VM實例100A1 - IOONn之間經(jīng)由第二網(wǎng)絡(luò)92的網(wǎng)絡(luò)通信���。 在一個實施例中�����,網(wǎng)絡(luò)92可包括一個或多個VLAN����,其每一個是LAN的模擬實例����。系統(tǒng)70可 以維持用于每個租戶的不同的獨立VLAN。例如�����,與VM實例100A1和IOOAn相關(guān)聯(lián)的第一 租戶120A具有相關(guān)聯(lián)的第一 VLAN�,其根據(jù)每個來賓被標記為92A1和92An ;第二租戶120B 同樣具有被標記為92Bl-92Bn的第二VLAN ;第三租戶120N具有被標記為92Nl-92Nn的第 三VLAN。每個租戶的多個VM實例(來賓會話)被連接到該租戶的公共VS實例���。因此��,相 關(guān)聯(lián)的租戶的所有來賓可以訪問相同的底層虛擬存儲��。例如����,對于第一租戶120A����,VM實例 100A1 (第一來賓)和VM實例IOOAn (第二來賓)都連接到同一個VS實例80A。因此�,第一 和第二來賓都可訪問(服從權(quán)限)同一個虛擬存儲,即VS實例80A���。
[0107] 盡管圖5示出了用于每個租戶的第二網(wǎng)絡(luò)92 (VLAN)��,但在一個實施例中���,租戶可 以具有超過一個的相關(guān)聯(lián)的網(wǎng)絡(luò)92�����。例如���,一個VLAN可以處理預先確定的VM實例集合的 通信,另一個VLAN可以處理第二預先確定的VM實例集合的通信�。該實施例對于指定租戶 將網(wǎng)絡(luò)92分成多個單獨的信道,以例如平衡負載或隔離諸如工作組的子租戶�����。租戶同樣可 具有超過一個的相關(guān)聯(lián)的VS實例����。例如,租戶120A可以具有多個相關(guān)聯(lián)的VS實例����,它們 每個與存儲系統(tǒng)72中的租戶120A的物理存儲的一部分相關(guān)聯(lián)。
[0108] 租戶與資源之間的關(guān)聯(lián)持續(xù)到物理存儲系統(tǒng)72。繼續(xù)該例子��,第一租戶120A具有 通過第一網(wǎng)絡(luò)90 (被單獨標記為90A)與VS實例80A通信的相關(guān)聯(lián)的存儲信息76A ;第二 租戶具有通過網(wǎng)絡(luò)90B與VS實例80B通信的存儲信息76B�����,第三租戶120N具有通過網(wǎng)絡(luò) 90N與VS實例80N通信的存儲信息76N�。作為這種虛擬存儲與物理存儲之間的每個租戶關(guān) 聯(lián)的結(jié)果�����,來自特定VM實例的存儲資源請求傳送到存儲系統(tǒng)72中的對應(yīng)存儲信息�����。例如���, 通過租戶120A的VM實例100A1保存的數(shù)據(jù)文件傳遞到租戶120A的存儲信息76A����。
[0109] VM主機系統(tǒng)104中的租戶�、VS系統(tǒng)84和存儲系統(tǒng)72之間的分離維護了每個租戶 的隱私和安全。例如�,獨占地分配給租戶120A的資源不會與獨占地分配給租戶120B-N的 資源進行通信。因此����,與租戶120A相關(guān)聯(lián)的資源對于租戶120B-N是不可見的�,反之亦然���。
[0110] 現(xiàn)在參照圖6,系統(tǒng)70的安全體系結(jié)構(gòu)130可包括兩個區(qū)域��。第一區(qū)域132用雙 點劃線表示�����,包括物理存儲系統(tǒng)72����、VS主機82��、VM主機102和連接它們的通信路徑�����。因此��, 第一區(qū)域132包括不能被租戶和來賓訪問的系統(tǒng)70的基礎(chǔ)設(shè)施��。第二區(qū)域134用虛線表 示,包括VS實例80和VM實例100的租戶和來賓可見的部分�。因此,第二區(qū)域134包括系 統(tǒng)70的公共的云可訪問側(cè)���,用戶可在此看見、存儲和交換數(shù)據(jù)�����。
[0111] 區(qū)域132和134之間的橋接出現(xiàn)在主機82和102中��,并在管理程序85和VM管理 程序105的支配下����。在管理程序之上運行的VS實例和VM實例處于第二區(qū)域134中,并被管 理程序進行沙箱管理�。VS實例和VM實例僅通過在主機上運行的管理程序與第一區(qū)域132 進行通信。因此�,VS實例和VM實例執(zhí)行對包括存儲系統(tǒng)72的第一區(qū)域132的間接的受保 護的訪問。使用進行沙箱管理的中間VS和VM實例消除了需要從公共的第二區(qū)域132直接 托管共享物理存儲系統(tǒng)72 -因此�,消除了隨著這種直接托管產(chǎn)生的隱私和安全問題。
[0112] 現(xiàn)在再參照圖7,用于提供對所共享的存儲資源的安全訪問的方法200可包括在 第一網(wǎng)絡(luò)上將第一(或隨后的)存儲信息存儲202在存儲系統(tǒng)的存儲裝置中����;將第一(或隨 后的)存儲信息轉(zhuǎn)換204成第一(或隨后的)虛擬存儲實例;在沒有與第一網(wǎng)絡(luò)和存儲裝 置通信的第二網(wǎng)絡(luò)上提供對第一(或隨后的)虛擬存儲實例的訪問206 ;通過第二網(wǎng)絡(luò)啟 用208第一(或隨后的)虛擬存儲實例的修改以創(chuàng)建第一(或隨后的)修改后虛擬存儲實 例;根據(jù)第一(或隨后的)修改后存儲實例�,將第一(或隨后的)修改后存儲實例轉(zhuǎn)換210 成第一(或隨后的)修改后存儲信息;以及在存儲裝置上存儲212第一(或隨后的)修改 后存儲信息����。
[0113] 在第一網(wǎng)絡(luò)90上將存儲信息76存儲202在計算機存儲系統(tǒng)70的存儲裝置中可包 括在存儲系統(tǒng)72上存儲一個或多個數(shù)據(jù)文件78。存儲信息76可與系統(tǒng)70的租戶和/或 來賓相關(guān)聯(lián)����。存儲202還可包括創(chuàng)建或利用邏輯結(jié)構(gòu),諸如邏輯磁盤�、分區(qū)、卷和/或文件 系統(tǒng)��,以在存儲信息76內(nèi)提供組織框架以接收數(shù)據(jù)文件78�。例如,系統(tǒng)70的運營商可以在 存儲系統(tǒng)70上向新的租戶分配存儲設(shè)備��,并定義與該租戶相關(guān)聯(lián)的邏輯磁盤和文件系統(tǒng)����, 以接收與該租戶相關(guān)聯(lián)的數(shù)據(jù)文件。
[0114] 將存儲信息76轉(zhuǎn)換204成VS實例80可包括在連接到第一網(wǎng)絡(luò)90的VS主機82 上創(chuàng)建VS實例80�。轉(zhuǎn)換204還可包括經(jīng)由網(wǎng)絡(luò)90建立VS實例80與存儲信息76之間的 通信,并使得VS實例80能夠訪問存儲信息76,例如利用LUN或NFS導出�����。所導出的存儲信 息76可以在VS實例80內(nèi)被表示為LSS實例98, VS實例80引用LSS實例98進行的存儲 訪問可以通過管理程序85和網(wǎng)絡(luò)90傳遞或分解到存儲信息76。轉(zhuǎn)換204可包括由管理 程序85維持虛擬存儲和實際存儲之間的引用��。轉(zhuǎn)換204可包括將LSS實例98例如配置成 RAID和/或例如用文件系統(tǒng)來格式化LSS實例98��。轉(zhuǎn)換204可包括在VS實例80中保存 存儲信息76的組織框架(例如目錄分層體系)���、存儲單元(例如數(shù)據(jù)文件)和元數(shù)據(jù)(例 如,租戶所有權(quán))���。因此���,所導出的存儲信息76可通常鏡像底層存儲信息76的結(jié)構(gòu)和內(nèi)容。 該鏡像可以是邏輯映射或轉(zhuǎn)換��,而不是實際的復制��。例如�����,VS實例80的租戶可見文件系統(tǒng) 可不同于存儲系統(tǒng)72的本地文件系統(tǒng)�����。因此,轉(zhuǎn)換204可包括將由存儲系統(tǒng)72支持的特 征轉(zhuǎn)換成由VS實例80支持的對應(yīng)或等同特征�����。轉(zhuǎn)換204可包括數(shù)據(jù)的算術(shù)轉(zhuǎn)換���,例如解 壓縮由存儲系統(tǒng)72以壓縮格式存儲的數(shù)據(jù)��。
[0115] 在一個實施例中�,轉(zhuǎn)換204可包括使用管理程序轉(zhuǎn)換存儲信息����。例如,VS主機82 可以運行管理程序85以支持VS實例的一個或多個虛擬主機��,例如VS實例80的實例�����。因 此����,轉(zhuǎn)換204使用管理程序以支持虛擬存儲裝置(VS實例80)�。實際上��,管理程序85可以將 實際的邏輯或物理存儲轉(zhuǎn)換或映射到虛擬存儲�����,反之亦然�����。
[0116] 在一個實施例中��,轉(zhuǎn)換204可包括將在存儲信息76的實例中包括的一個或多個數(shù) 據(jù)文件78轉(zhuǎn)換成相關(guān)聯(lián)的VS實例80的對應(yīng)數(shù)據(jù)文件實例88����。轉(zhuǎn)換數(shù)據(jù)文件78可包括將 它的內(nèi)容�、屬性和/或性質(zhì)(例如,它的相關(guān)的文件名����、所有權(quán)和權(quán)限)從存儲系統(tǒng)72本身 的格式翻譯或轉(zhuǎn)換成由VS實例80實現(xiàn)的格式。實際上���,管理程序85可以維持數(shù)據(jù)文件實 例88,作為對應(yīng)的數(shù)據(jù)文件78的引用�����。
[0117] 在一個實施例中�,轉(zhuǎn)換204可以包括將在存儲信息76中包括的一個或多個數(shù)據(jù)文 件結(jié)構(gòu)77轉(zhuǎn)換成相關(guān)聯(lián)的VS實例80的對應(yīng)的數(shù)據(jù)文件結(jié)構(gòu)實例87。例如���,存儲系統(tǒng)72 的本地文件系統(tǒng)可以實現(xiàn)分層目錄結(jié)構(gòu)��,其例如包括目錄名稱�����、路徑名稱��、分層關(guān)系�����、所有 權(quán)和權(quán)限��。轉(zhuǎn)換204可包括將該目錄結(jié)構(gòu)轉(zhuǎn)換成VS實例80的文件系統(tǒng)的目錄結(jié)構(gòu)���,以使 得數(shù)據(jù)文件結(jié)構(gòu)實例87鏡像數(shù)據(jù)文件結(jié)構(gòu)77。實際上���,管理程序85可以維持數(shù)據(jù)文件結(jié) 構(gòu)實例87,作為對對應(yīng)的數(shù)據(jù)文件結(jié)構(gòu)77的引用�����。
[0118] 在沒有與第一網(wǎng)絡(luò)90和存儲裝置74通信的第二網(wǎng)絡(luò)92上提供對VS實例80的訪 問206可包括在第二網(wǎng)絡(luò)92與支持VS實例80的VS主機82之間建立連接��。建立連接的 過程可依賴于所使用的網(wǎng)絡(luò)92的類型��。例如�,VS主機82可具有諸如網(wǎng)絡(luò)接口卡(NIC)的 硬件接口,NIC可具有相關(guān)的地址以允許其它網(wǎng)絡(luò)設(shè)備向/從NIC發(fā)送/接收數(shù)據(jù)��,并從而 向/從VS主機82發(fā)送/接收數(shù)據(jù)�����。因此���,提供訪問206可包括例如用標識VS主機82和 /或VS實例80的數(shù)據(jù)配置第二網(wǎng)絡(luò)92 ;例如用標識網(wǎng)絡(luò)92和/或VS實例80的數(shù)據(jù)配置 VS主機82 ;和/或例如用允許VS實例80通過支持VS主機82訪問網(wǎng)絡(luò)92的數(shù)據(jù)配置VS 實例80(其是VS主機82的VM)。在一個實施例中�,第二網(wǎng)絡(luò)92可以是虛擬網(wǎng)絡(luò)。例如�,第 二網(wǎng)絡(luò)92可以是虛擬專用網(wǎng)(VPN)、虛擬局域網(wǎng)(VLAN)或在VM中運行并由管理程序支持 的虛擬網(wǎng)絡(luò)實現(xiàn)���。
[0119] 提供訪問206還可包括維持第一網(wǎng)絡(luò)90與第二網(wǎng)絡(luò)92之間沒有直接通信��。在拓 撲結(jié)構(gòu)上位于第一網(wǎng)絡(luò)90與第二網(wǎng)絡(luò)92之間的管理程序85可有效地阻斷兩個網(wǎng)絡(luò)之間 的直接通信���。第一網(wǎng)絡(luò)90在邏輯上位于VS主機82的管理程序85的主機側(cè)�����,而第二網(wǎng)絡(luò) 92在邏輯上位于管理程序85的VM側(cè)(即�����,在VS實例側(cè))�����。由管理程序85提供的沙箱可 有效地向同一 VS主機82上的其它VS實例隱藏每個VS實例�����。該沙箱可同樣有效地向每個 VS實例80隱藏由VS主機82使用的實際或物理資源���。每個VS實例80通過管理程序85獲 取諸如存儲的資源,管理程序85作為存儲系統(tǒng)72的代理滿足存儲訪問請求。因此�����,管理程 序85消除了 VS實例80對第一網(wǎng)絡(luò)和存儲系統(tǒng)72的直接訪問���。因此�����,第一網(wǎng)絡(luò)90和存儲 器系統(tǒng)72都可以向VS實例80和連接到VS實例的第二網(wǎng)絡(luò)92隱藏���。由于第二網(wǎng)絡(luò)92不 能通過VS實例80訪問第一網(wǎng)絡(luò)90并且由于兩個網(wǎng)絡(luò)沒有另外連接,因此第二網(wǎng)絡(luò)92沒 有與第一網(wǎng)絡(luò)90進行通信��。
[0120] 通過第二網(wǎng)絡(luò)92啟用208VS實例80的修改以創(chuàng)建修改后VS實例可包括允許任 何經(jīng)由網(wǎng)絡(luò)92對導出到VS實例80的存儲信息76的實際或潛在變化��。例如�,在其中第二 網(wǎng)絡(luò)92將VS實例80連接到VM實例100的實施例中,啟用208可包括授權(quán)VM實例100訪 問VS實例80,例如���,以使得VM實例100的用戶可以通過VS實例80從存儲信息實際或可能 獲取諸如數(shù)據(jù)文件的數(shù)據(jù)��,編輯該數(shù)據(jù),并通過VS實例80保存該變化(最終是存儲信息的 變化)���。啟用208可包括任何適合于允許通過網(wǎng)絡(luò)92訪問VS實例80以及它的虛擬存儲的 操作和配置�。
[0121] 在一個實施例中,啟用208VS實例80的修改可包括由第一 VM實例100和第二VM 實例100啟用VS實例80的修改�,其中第一和第二VM實例沒有與第一網(wǎng)絡(luò)90和存儲裝置 通信。VS實例80可代表由租戶擁有并由該租戶的多個來賓共享的文件系統(tǒng)(即����,存儲信 息)。因此����,VS實例80可以支持經(jīng)由網(wǎng)絡(luò)92到多個VM實例100的連接,其中每個VM實例 是與該租戶的特定來賓相關(guān)聯(lián)的會話��。因此����,啟用208可包括建立、授權(quán)或配置從多個VM 實例到單個共享VS實例80的網(wǎng)絡(luò)訪問�����。
[0122] 在一個實施例中��,將修改后存儲實例轉(zhuǎn)換210成修改后存儲信息可包括準備、格 式化或轉(zhuǎn)換用于實際存儲的修改后存儲實例���,例如通過對修改后存儲實例應(yīng)用由轉(zhuǎn)換204 執(zhí)行的一個或多個操作的逆操作�����。例如�,在使VM實例100連接到VS實例80的實施例中��, VM實例100的用戶可以訪問數(shù)據(jù)文件77,系統(tǒng)70可以將數(shù)據(jù)文件傳遞經(jīng)過VS實例到達VM 實例��。轉(zhuǎn)換204可在數(shù)據(jù)文件正從存儲系統(tǒng)72上的存儲信息經(jīng)過管理程序85向VS實例 80傳送時發(fā)生���。在VM實例100的會話中���,用戶可以編輯數(shù)據(jù)文件。在保存了所編輯的數(shù)據(jù) 文件后���,VM實例100引用VS實例80以用于訪問存儲���。修改后的數(shù)據(jù)文件(S卩,修改后存 儲信息)經(jīng)過VS實例80傳送回并最終到達存儲系統(tǒng)72的實際存儲����。轉(zhuǎn)換210可在修改 后的數(shù)據(jù)文件正在經(jīng)過VS實例80傳送到存儲系統(tǒng)72時發(fā)生。轉(zhuǎn)換210可以使在轉(zhuǎn)換204 中包括的任何操作反轉(zhuǎn)���。例如����,轉(zhuǎn)換210可包括通過管理程序85向存儲系統(tǒng)72寫入修改 后存儲信息�,管理程序85可以將修改后存儲信息映射回到存儲系統(tǒng)72的本地文件系統(tǒng)。
[0123] 在存儲裝置74上存儲212修改后存儲信息76可包括在存儲系統(tǒng)72上保存轉(zhuǎn)換 210的修改后存儲器信息���,例如通過在存儲系統(tǒng)72的邏輯或物理存儲裝置74上的存儲���。存 儲212將修改后存儲信息保存在存儲系統(tǒng)72的永久存儲信息76中。例如��,在VM實例100 內(nèi)修改的數(shù)據(jù)文件實例可以復寫實際存儲中對應(yīng)的數(shù)據(jù)文件�����。
[0124] 在一個實施例中���,方法200還可包括根據(jù)預先選擇的文件系統(tǒng)�����,在第二網(wǎng)絡(luò)92上 創(chuàng)建VSS實例94, VSS實例94包括VS實例80����。VSS實例94可以是VS實例80的虛擬存儲 的鏡像,其可通過第二網(wǎng)絡(luò)92被VM實例100訪問��。創(chuàng)建VS存儲空間實例可包括將VS實 例80的虛擬文件系統(tǒng)導出到VM實例100��。在傳送經(jīng)過VM主機102的VM管理程序104后����, VSS實例94可作為例如VM實例100內(nèi)的虛擬驅(qū)動器出現(xiàn),VM實例100可通過該虛擬驅(qū)動 器訪問VS實例100的虛擬存儲�����。該虛擬驅(qū)動器可以例如用所選擇的文件系統(tǒng)格式化����。
[0125] 在一個實施例中,方法200還可包括在基于內(nèi)核的VM環(huán)境中創(chuàng)建VSS實例��。VSS 實例94可以提供經(jīng)由網(wǎng)絡(luò)92從VM實例100對VS實例80的虛擬存儲的訪問����。VSS實例 94存在于VM環(huán)境中����,例如在運行管理程序85的VS主機上�����。VSS實例的主機可以運行基于 內(nèi)核的管理程序�����,即�,不在單獨的獨立操作系統(tǒng)上運行的管理程序���。主機���、基于內(nèi)核的管理 程序和所支持的VM的組合被稱為基于內(nèi)核的VM環(huán)境。
[0126] 在一個實施例中���,方法200還可包括:(a)將存儲信息76的實例存儲為第一和第 二(或隨后的)存儲文件95 ; (b)將這些存儲文件95轉(zhuǎn)換成對應(yīng)的存儲文件實例96 ; (c) 使用獨立磁盤冗余陣列(RAID)協(xié)議從存儲文件實例96中創(chuàng)建LSS實例98 ; (d)例如用文 件系統(tǒng)格式化存儲文件實例�。項(a)可包括例如通過對用于RAID設(shè)備的數(shù)據(jù)分條并將這 些條存儲為包括兩個或多個存儲文件的集合來在邏輯上分割存儲信息中的數(shù)據(jù)���。項(b)可 包括對每個存儲文件95應(yīng)用轉(zhuǎn)換204�。項(c)可包括創(chuàng)建包括存儲文件實例96的邏輯結(jié) 構(gòu),該結(jié)構(gòu)模擬磁盤陣列子系統(tǒng)��。項(d)可包括用預先選擇的文件系統(tǒng)格式化LSS實例98�, 其可不同于存儲系統(tǒng)72的格式化。
[0127] 在一個實施例中���,方法200還可包括:(e)通過網(wǎng)絡(luò)文件系統(tǒng)(NFS)協(xié)議將第一和 第二(或隨后的)VS文件實例96發(fā)送到存儲系統(tǒng)的托管虛擬存儲空間實例94的虛擬服務(wù) 器�����;(f)由管理程序防止第一網(wǎng)絡(luò)與第二網(wǎng)絡(luò)之間的通信�。虛擬服務(wù)器可以是VS主機82���、 VM主機102和/或第二網(wǎng)絡(luò)92上的中間服務(wù)器���,并可以通過VSS實例94被VS實例80和 一個或多個相關(guān)聯(lián)的VM實例100訪問。項(e)可包括在存儲系統(tǒng)72上配置NFS導出以與 VSS實例的主機或服務(wù)器共享一個或多個VS文件實例96��。項(f)可包括由管理程序85和 /或VS管理程序105提供的沙箱�����,其提供對存儲的抽象訪問。
[0128] 在一個實施例中��,方法200還可包括:(g)將第一和第二(或隨后的)VS文件實例 96作為邏輯單元號(LUN)和/或存儲邏輯單元向計算機存儲系統(tǒng)的托管虛擬存儲空間實 例的虛擬服務(wù)器發(fā)送��;(h)由管理程序防止第一網(wǎng)絡(luò)與第二網(wǎng)絡(luò)之間的通信��。項(g)和(h) 在功能上可等同于項(e)和(f)����,除了通信由LUN和/或存儲邏輯單元創(chuàng)建而不是NFS導出 以外�����。
[0129] 在一個實施例中��,方法200還可包括使用NFS協(xié)議將VSS實例94發(fā)送到VM實例 100����。
[0130] 在一個實施例中,方法200還可以包括由管理程序維持第一網(wǎng)絡(luò)90與第二網(wǎng)絡(luò)92 之間的隔離�。該隔離可以是由管理程序85和/或VM管理程序105提供的沙箱的結(jié)果,其 提供對諸如存儲的資源的抽象訪問�����。
[0131] 在一個實施例中,方法200可以將VS實例80��、VM實例100和其它引用單元應(yīng)用于 存儲信息76的第二或隨后的實例����。使用"第一"或"第二"描述單元通常并不意在將方法 200限于僅有一個或兩個這種類型的單元。
[0132] 在一個實施例中��,方法200可包括根據(jù)基于第一存儲信息的標準文件結(jié)構(gòu)在第二 網(wǎng)絡(luò)92上創(chuàng)建第一虛擬存儲空間�����,以及在第二網(wǎng)絡(luò)92上創(chuàng)建不能與第一虛擬存儲空間共 同訪問的第二虛擬存儲空間�����,其中第一虛擬存儲空間包括第一虛擬存儲實例���,第二虛擬存 儲空間具有基于第二存儲信息的標準文件結(jié)構(gòu)并包括第二虛擬存儲實例�。
[0133] 在一個實施例中�,方法200還可包括在第一虛擬局域網(wǎng)上托管第一虛擬存儲空 間,以及在沒有與第一虛擬局域網(wǎng)通信的第二虛擬局域網(wǎng)上托管第二虛擬存儲空間����。
[0134] 現(xiàn)在參照圖8,用于提供對共享存儲資源的安全訪問的方法可包括:在第一網(wǎng)絡(luò) 90上將一個或多個存儲信息的實例72存儲302在存儲裝置74中�;將一個或多個存儲信息 的實例轉(zhuǎn)換304成一個或多個VS實例80,每個VS實例以虛擬形式表示對應(yīng)的存儲信息76 ; 通過沒有與第一網(wǎng)絡(luò)90和存儲裝置74通信的第二網(wǎng)絡(luò)92,提供306對一個或多個VS實例 80的訪問����。存儲302可等同或類似于存儲202。轉(zhuǎn)換304可等同或類似于轉(zhuǎn)換204,其中以 虛擬形式表示是指由管理程序85提供給VS實例80的存儲信息的抽象鏡像��。提供306可 以等同或類似于提供206���。方法300可包括其它�、可選的或附加的單元����;可以省略一個或多 個單元�����;和/或可遵從與所列出的不同的單元順序���。
[0135] 在一個實施例中����,通過第二網(wǎng)絡(luò)92提供對第一 VS實例80的訪問306可包括提 供對通過第一虛擬局域網(wǎng)(VLAN)共享第一 VS實例80的第一 VM實例100和第二VM實例 100的訪問;通過第二網(wǎng)絡(luò)92提供對第二VS實例80的訪問包括對通過沒有與第一 VLAN 通信的第二VLAN共享第二VS實例80的第三VS實例80和第四VS實例80的訪問����。例如, 第一 VS實例80A可以提供對與第一租戶120A相關(guān)聯(lián)的所存儲的數(shù)據(jù)的訪問��,第二或隨后 的VS實例80B可以提供對與第二租戶120B相關(guān)聯(lián)的所存儲的數(shù)據(jù)的訪問�����。第一租戶120A 的一個或多個來賓(其每一個具有相關(guān)的VM實例)可以通過VLAN 92A共享對第一 VS實 例80A的訪問����,第二租戶120B的一個或多個來賓(其每一個具有相關(guān)的VM實例100)可以 通過不同的VLAN 92B共享對第二VS實例80B的訪問。VS實例80A和80B彼此并不通信����, VLAN 92A和92B彼此并不通信,多個VM實例100也彼此不通信����。連接到VLAN 92A的與租 戶120A相關(guān)聯(lián)的VM實例可以通過VS實例80A共享數(shù)據(jù),然而�,連接到VLAN 92B的與租戶 120B相關(guān)聯(lián)的VM實例同樣可以通過VS實例80B共享數(shù)據(jù)。
[0136] 如應(yīng)當知道的���,前面的實施例僅用于說明的目的�。在實施例中,步驟可以被添加或 移除����,并且許多步驟可以至少部分地并行執(zhí)行。數(shù)字文件的不同部分或者不同的相關(guān)數(shù)字 文件可以同時進行處理或者優(yōu)先處理�,以為了速度或傳遞的目的。諸如在陣列中搜索多個 模式的過程可以有效地或?qū)嶋H上同時地執(zhí)行�。例如,某些或全部進程可以使用單個處理器 或多個處理器進行線程化���。
[0137] 在此所使用的術(shù)語僅用于描述特定實施例的目的��,并不意味著限定本公開���。如在 此所使用的,單數(shù)形式"一"����、"一個"和"該"意在也包括復數(shù)形式��,除非上下文作了明確的說 明�����。還應(yīng)當理解,術(shù)語"包括"和/或"包含"在本文中使用時是指出現(xiàn)所述的特征�、整體、步 驟���、操作����、單元和/或組件����,但并不排除存在或添加一個或多個其它特征、整體��、步驟����、操作、 單元���、組件和/或它們的組合�����。
[0138] 在后附權(quán)利要求中的所有裝置或步驟加功能元件的對應(yīng)結(jié)構(gòu)���、材料���、動作和等同 意在包括用于執(zhí)行與具體要求保護的其它要求保護的要素結(jié)合的功能的任何結(jié)構(gòu)、材料或 動作�。已經(jīng)呈現(xiàn)了本發(fā)明的描述以用于說明和描述的目的,但并不意在是窮盡的或者將本 發(fā)明限于所公開的形式��。在不偏離本發(fā)明的范圍和精神的情況下����,許多修改和變形對于本 領(lǐng)域技術(shù)人員是顯而易見的。所選擇和描述的實施例是為了最好地解釋本發(fā)明的原理和實 際的應(yīng)用���,以及使得本領(lǐng)域技術(shù)人員能夠理解本發(fā)明的具有各種修改的各種實施例適合于 所構(gòu)想的特定用途��。
[0139] 本公開可以采用完全硬件實施方式�、完全軟件實施方式或者包含硬件和軟件單元 的實施方式����。在一個實施例中,本公開可以實現(xiàn)為軟件�����,其包括但不限于固件�����、駐留軟件����、微 代碼等。另外�,本公開可以采用計算機程序產(chǎn)品的形式,其可由計算機可用或計算機可讀介 質(zhì)訪問�����,提供由計算機或任何指令執(zhí)行系統(tǒng)使用或與其一起使用的程序代碼�����。為了說明的 目的����,計算機可用或計算機可讀介質(zhì)可以是任何有形的裝置,其可包含���、存儲��、傳送��、傳播或 傳輸由指令執(zhí)行系統(tǒng)����、裝置或設(shè)備使用或與其一起使用的程序。
[0140] 介質(zhì)可以是電的���、磁的�����、光的�、電磁的���、紅外的或半導體系統(tǒng)(或裝置或設(shè)備)或傳 播介質(zhì)�����。計算機可讀介質(zhì)的例子包括半導體或固態(tài)存儲器��、磁帶�����、可移動計算機軟盤�����、隨機 存取存儲器(RAM)���、只讀存儲器(ROM)、剛性磁盤和光盤���。當前光盤的例子包括緊湊型只讀 存儲器(CD-ROM)�����、緊湊型讀/寫盤(CD-R/D)和DVD�。
[0141] 適合于存儲和/或執(zhí)行程序代碼的數(shù)據(jù)處理系統(tǒng)可包括至少一個處理器�,其通過 系統(tǒng)總線直接或間接地連接到存儲器單元。存儲器單元可以包括在程序代碼的實際執(zhí)行期 間利用的本地存儲器��、大容量存儲器和為了減少在執(zhí)行期間必須從大容量存儲器中獲取代 碼的次數(shù)而提供至少某些程序代碼的臨時存儲的高速緩存器���。
[0142] 輸入/輸出或I/O設(shè)備(包括但不限于鍵盤����、顯示器和定點設(shè)備)可直接地或通 過中間I/O控制器連接到系統(tǒng)。網(wǎng)絡(luò)適配器也可以連接到系統(tǒng)以使得數(shù)據(jù)處理系統(tǒng)能夠通 過中間專用或公共網(wǎng)絡(luò)連接到其它數(shù)據(jù)處理系統(tǒng)或遠程打印機或存儲設(shè)備���。調(diào)制解調(diào)器����、 電纜解調(diào)器和以太網(wǎng)卡只是幾種目前可用類型的網(wǎng)絡(luò)適配器����。
【權(quán)利要求】
1. 一種方法,包括: 在第一網(wǎng)絡(luò)上將第一存儲信息存儲在計算機存儲系統(tǒng)的存儲裝置中��; 由所述計算機存儲系統(tǒng)將所述第一存儲信息轉(zhuǎn)換成第一虛擬存儲實例�; 由所述計算機存儲系統(tǒng)在沒有與所述第一網(wǎng)絡(luò)和所述存儲裝置通信的第二網(wǎng)絡(luò)上提 供對所述第一虛擬存儲實例的訪問; 由所述計算機存儲系統(tǒng)通過所述第二網(wǎng)絡(luò)啟用所述第一虛擬存儲實例的修改����,以創(chuàng)建 第一修改后虛擬存儲實例; 由所述計算機存儲系統(tǒng)基于所述第一修改后存儲實例��,將所述第一修改后存儲實例轉(zhuǎn) 換為第一修改后存儲信息�;以及 在所述存儲裝置上存儲所述第一修改后存儲信息。
2. 如權(quán)利要求1所述的方法,其中��,轉(zhuǎn)換所述第一存儲信息包括:通過使用所述計算機 存儲系統(tǒng)的管理程序來轉(zhuǎn)換所述第一存儲信息����。
3. 如權(quán)利要求1所述的方法,其中��,轉(zhuǎn)換所述第一存儲信息包括:將在所述第一存儲信 息中包括的數(shù)據(jù)文件轉(zhuǎn)換為所述第一虛擬存儲實例的數(shù)據(jù)文件結(jié)構(gòu)實例��。
4. 如權(quán)利要求1所述的方法��,其中�����,轉(zhuǎn)換所述第一存儲信息包括:將在所述第一存儲信 息中包括的數(shù)據(jù)文件結(jié)構(gòu)轉(zhuǎn)換為所述第一虛擬存儲實例的數(shù)據(jù)文件結(jié)構(gòu)實例�。
5. 如權(quán)利要求1所述的方法��,其中�����,啟用所述第一虛擬存儲實例的修改包括:由第一虛 擬機實例和第二虛擬機實例啟用所述第一虛擬存儲實例的修改��,所述第一虛擬機實例和所 述第二虛擬機實例沒有與所述第一網(wǎng)絡(luò)和所述存儲裝置進行通信。
6. 如權(quán)利要求1所述的方法�����,還包括:由所述計算機存儲系統(tǒng)根據(jù)預先選擇的文件系 統(tǒng)在所述第二網(wǎng)絡(luò)上創(chuàng)建虛擬存儲空間實例���,所述虛擬存儲空間實例包括所述第一虛擬存 儲實例����。
7. 如權(quán)利要求6所述的方法��,還包括:由所述計算機存儲系統(tǒng)在基于內(nèi)核的虛擬機環(huán) 境中創(chuàng)建所述虛擬存儲空間實例���。
8. 如權(quán)利要求6所述的方法���,還包括: 在所述存儲裝置中將所述第一存儲信息存儲為第一存儲文件和第二存儲文件; 由所述計算機存儲系統(tǒng)將所述第一存儲文件和所述第二存儲文件分別轉(zhuǎn)換為第一虛 擬存儲文件實例和第二虛擬存儲文件實例��; 由所述計算機存儲系統(tǒng)使用獨立磁盤冗余陣列協(xié)議創(chuàng)建所述第一虛擬存儲文件實例 和所述第二虛擬存儲文件實例的邏輯存儲系統(tǒng)實例�;以及 由所述計算機存儲系統(tǒng)根據(jù)所述虛擬存儲空間實例的所述預先選擇的文件系統(tǒng)來格 式化所述第一虛擬存儲文件實例和所述第二虛擬存儲文件實例。
9. 如權(quán)利要求8所述的方法����,還包括: 由所述計算機存儲系統(tǒng)使用網(wǎng)絡(luò)文件系統(tǒng)協(xié)議將所述第一虛擬存儲文件實例和所述 第二虛擬存儲文件實例發(fā)送到所述存儲系統(tǒng)的托管所述虛擬存儲空間實例的虛擬服務(wù)器��; 以及 由所述計算機存儲系統(tǒng)的管理程序阻止所述第一網(wǎng)絡(luò)與所述第二網(wǎng)絡(luò)之間的通信��。
10. 如權(quán)利要求8所述的方法�,還包括: 由所述計算機存儲系統(tǒng)將所述第一虛擬存儲文件實例和所述第二虛擬存儲文件實例 作為存儲邏輯單元發(fā)送到所述計算機存儲系統(tǒng)的托管所述虛擬存儲空間實例的虛擬服務(wù) 器���;以及 由所述計算機存儲系統(tǒng)的管理程序阻止所述第一網(wǎng)絡(luò)與所述第二網(wǎng)絡(luò)之間的通信�。
11. 如權(quán)利要求6所述的方法�����,還包括:由所述計算機存儲系統(tǒng)使用網(wǎng)絡(luò)文件系統(tǒng)協(xié)議 將所述虛擬存儲空間實例發(fā)送到虛擬機實例��。
12. 如權(quán)利要求6所述的方法����,還包括:由所述計算機存儲系統(tǒng)的管理程序維持所述第 一網(wǎng)絡(luò)與所述第二網(wǎng)絡(luò)之間的隔離�。
13. 如權(quán)利要求1所述的方法,還包括: 在所述第一網(wǎng)絡(luò)上將不同于所述第一存儲信息的第二存儲信息存儲在所述存儲裝置 中���; 由所述計算機存儲系統(tǒng)將所述第二存儲信息轉(zhuǎn)換為第二虛擬存儲實例���; 由所述計算機存儲系統(tǒng)在所述第二網(wǎng)絡(luò)上提供對所述第二虛擬存儲實例的訪問���,而不 提供對所述第一虛擬存儲實例和所述第二虛擬存儲實例兩者的共享訪問; 由所述計算機存儲系統(tǒng)通過所述第二網(wǎng)絡(luò)啟用所述第二虛擬存儲實例的修改��,以創(chuàng)建 第二修改后虛擬存儲實例����; 由所述計算機存儲系統(tǒng)將所述第二修改后虛擬存儲實例轉(zhuǎn)換為第二修改后存儲信息; 以及 在所述第一網(wǎng)絡(luò)上將所述第二修改后存儲信息存儲在所述存儲裝置中����。
14. 如權(quán)利要求13所述的方法,還包括: 由所述計算機存儲系統(tǒng)根據(jù)基于所述第一存儲信息的標準文件結(jié)構(gòu)在所述第二網(wǎng)絡(luò) 上創(chuàng)建第一虛擬存儲空間�����,所述第一虛擬存儲空間包括所述第一虛擬存儲實例����;以及 由所述計算機存儲系統(tǒng)在所述第二網(wǎng)絡(luò)上創(chuàng)建不能與所述第一虛擬存儲空間共同訪 問的第二虛擬存儲空間,所述第二虛擬存儲空間具有基于所述第二存儲信息的標準文件結(jié) 構(gòu)并包括所述第二虛擬存儲實例����。
15. 如權(quán)利要求14所述的方法,還包括:由所述計算機存儲系統(tǒng)在第一虛擬局域網(wǎng)上 托管所述第一虛擬存儲空間���,以及在沒有與所述第一虛擬局域網(wǎng)通信的第二虛擬局域網(wǎng)上 托管所述第二虛擬存儲空間���。
16. 如權(quán)利要求1所述的方法����,其中����,所述第二網(wǎng)絡(luò)是虛擬網(wǎng)絡(luò)。
17. -種方法��,包括: 在第一網(wǎng)絡(luò)上將第一存儲信息存儲在第一存儲裝置中��; 由計算機存儲系統(tǒng)將所述第一存儲信息轉(zhuǎn)換為以虛擬形式表示所述第一存儲信息的 第一虛擬存儲實例���;以及 由所述計算機存儲系統(tǒng)在沒有與所述第一網(wǎng)絡(luò)和所述存儲裝置通信的第二網(wǎng)絡(luò)上提 供對所述第一虛擬存儲實例的訪問。
18. 如權(quán)利要求17所述的方法��,還包括: 在所述第一網(wǎng)絡(luò)上將不同于所述第一存儲信息的第二存儲信息存儲在所述存儲裝置 中�; 由所述計算機存儲系統(tǒng)將所述第二存儲信息轉(zhuǎn)換為以虛擬形式表示所述第二存儲信 息的第二虛擬存儲實例;以及 由所述計算機存儲系統(tǒng)在所述第二網(wǎng)絡(luò)上提供對所述第二虛擬存儲實例的訪問��,所述 第一虛擬存儲實例和所述第二虛擬存儲實例不能彼此訪問�����。
19. 如權(quán)利要求18所述的方法,其中��, 由所述計算機存儲系統(tǒng)在所述第二網(wǎng)絡(luò)上提供對所述第一虛擬存儲實例的訪問包括: 提供對第一機器和第二機器的訪問����,所述第一機器和所述第二機器通過第一虛擬局域網(wǎng)共 享所述第一虛擬存儲實例; 由所述計算機存儲系統(tǒng)在所述第二網(wǎng)絡(luò)上提供對所述第二虛擬存儲實例的訪問包括: 提供對第三機器和第四機器的訪問����,所述第三機器和第四機器通過沒有與所述第一虛擬局 域網(wǎng)通信的第二虛擬局域網(wǎng)共享所述第二虛擬存儲實例。
20. -種用于訪問所存儲的信息的系統(tǒng)����,包括: 至少第一處理器; 存儲器�;以及 包括在存儲器上存儲的多個指令的程序,所述多個指令響應(yīng)于屬性的選擇而由至少所 述第一處理器執(zhí)行以: 在第一網(wǎng)絡(luò)上將第一存儲信息存儲在存儲系統(tǒng)的存儲裝置中��; 將所述第一存儲信息轉(zhuǎn)換成第一虛擬存儲實例���; 在沒有與所述第一網(wǎng)絡(luò)和所述存儲裝置通信的第二網(wǎng)絡(luò)上提供對所述第一虛擬存儲 實例的訪問����; 通過所述第二網(wǎng)絡(luò)啟用所述第一虛擬存儲實例的修改,以創(chuàng)建第一修改后虛擬存儲實 例��; 基于所述第一修改后存儲實例����,將所述第一修改后虛擬存儲實例轉(zhuǎn)換為第一修改后存 儲信息;以及 在所述存儲裝置上存儲所述第一修改后存儲信息�����。
21. 如權(quán)利要求20所述的系統(tǒng)����,其中,所述多個指令包括這樣的指令����,其響應(yīng)于所述屬 性的選擇而由至少所述第一處理器執(zhí)行以: 在所述第一網(wǎng)絡(luò)上將不同于所述第一存儲信息的第二存儲信息存儲在所述存儲裝置 中; 將所述第二存儲信息轉(zhuǎn)換為第二虛擬存儲實例���; 在所述第二網(wǎng)絡(luò)上提供對所述第二虛擬存儲實例的訪問; 通過所述第二網(wǎng)絡(luò)啟用所述第二虛擬存儲實例的修改�,以創(chuàng)建第二修改后虛擬存儲實 例; 將所述第二修改后虛擬存儲實例轉(zhuǎn)換為第二修改后存儲信息���;以及 在所述第一網(wǎng)絡(luò)上將所述第二修改后存儲信息存儲在所述存儲裝置中����。
22. 如權(quán)利要求21所述的系統(tǒng),其中����,所述多個指令包括這樣的指令,其響應(yīng)于所述屬 性的選擇而由至少所述第一處理器執(zhí)行以: 通過所述存儲系統(tǒng)的管理程序在所述第一網(wǎng)絡(luò)與所述第二網(wǎng)絡(luò)之間交換信息����;以及 由所述管理程序維持所述第一網(wǎng)絡(luò)與所述第二網(wǎng)絡(luò)之間的訪問隔離。
23. -種用于訪問所存儲的信息的計算機程序產(chǎn)品�,所述計算機程序產(chǎn)品包括: 計算機可讀存儲介質(zhì),其具有在其中具體化的計算機可讀程序代碼���,所述計算機可讀 程序代碼由處理器執(zhí)行以: 在第一網(wǎng)絡(luò)上將第一存儲信息存儲在存儲系統(tǒng)的存儲裝置中���; 將所述第一存儲信息轉(zhuǎn)換成第一虛擬存儲實例; 在沒有與所述第一網(wǎng)絡(luò)和所述存儲裝置通信的第二網(wǎng)絡(luò)上提供對所述第一虛擬存儲 實例的訪問�����; 通過所述第二網(wǎng)絡(luò)啟用所述第一虛擬存儲實例的修改,以創(chuàng)建第一修改后虛擬存儲實 例�����; 基于所述第一修改后虛擬存儲實例����,將所述第一修改后虛擬存儲實例轉(zhuǎn)換為第一修改 后存儲信息;以及 在所述存儲裝置上存儲所述第一修改后存儲信息����。
24. 如權(quán)利要求23所述的計算機程序產(chǎn)品,其中����,所述計算機可讀代碼還被配置為在 所述第二網(wǎng)絡(luò)上創(chuàng)建虛擬存儲空間實例,其類似于預先選擇的文件系統(tǒng)并包括所述第一虛 擬存儲實例����,所述虛擬存儲空間被創(chuàng)建在基于內(nèi)核的虛擬機環(huán)境中。
25. 如權(quán)利要求23所述的計算機程序產(chǎn)品�����,其中��,所述計算機可讀代碼還被配置為由 第一虛擬機實例啟用所述虛擬存儲空間的修改,所述第一虛擬機實例沒有與所述第一網(wǎng)絡(luò) 和所述存儲裝置通信���。
26. -種用于訪問所存儲的信息的系統(tǒng),包括: 第一存儲裝置����,用于存儲所述信息; 第二存儲裝置��,用于存儲所述信息的實例����; 第一網(wǎng)絡(luò),其在所述第一存儲裝置與所述第二存儲裝置之間提供通信�;以及 第二網(wǎng)絡(luò),其提供對所述信息的所述實例的訪問����,但不提供對所述第一網(wǎng)絡(luò)和所述第 一存儲裝置的訪問。
【文檔編號】G06F12/08GK104335189SQ201380026998
【公開日】2015年2月4日 申請日期:2013年4月11日 優(yōu)先權(quán)日:2012年6月28日
【發(fā)明者】K·D·許恩, R·S·伊斯拉姆, B·普拉瓦爾提 申請人:國際商業(yè)機器公司