在聯網計算環(huán)境中授權操作請求的方法和系統的制作方法
【專利摘要】本發(fā)明涉及一種在聯網計算環(huán)境中授權操作請求的方法和系統。提供一種用于在聯網計算環(huán)境(例如��,云計算環(huán)境)中授權用戶請求的操作的方法���。在一個典型實施例中����,接收對與計算資源關聯的特定操作的請求。標識可能受所請求的操作影響的已連接系統�����。確定已連接系統的實際用戶���。請求來自每個所述實際用戶的響應�����。收集所述響應并對其進行加權以便判定是否許可對所請求的操作的授權�����。
【專利說明】在聯網計算環(huán)境中授權操作請求的方法和系統
【技術領域】
[0001] 本發(fā)明的實施例一般地涉及授權用戶針對計算資源的操作請求��。具體地說�,本發(fā) 明涉及在聯網計算環(huán)境(例如�,云計算環(huán)境)中收集響應并對其進行加權以便判定是否授 權用戶請求的特定操作。
【背景技術】
[0002] 聯網計算環(huán)境(例如�,云計算環(huán)境)是對先前網格環(huán)境的增強��,由此可以通過一個 或多個額外抽象層(例如,云層)進一步增強多個網格和其它計算資源�,因此使得不同設備 對于最終消費者而言就像單個無縫資源池。這些資源可以包括諸如以下事物:物理或邏輯 計算引擎�、服務器和設備、設備存儲器以及存儲設備等����。
[0003] 在當今的云計算環(huán)境中,虛擬機��、平臺服務和軟件服務通常由多個用戶以及其它 云系統共享和使用���。當在云計算環(huán)境中針對計算資源(硬件或軟件)采取操作(例如服務 器重新引導或應用關閉)時����,有時難以確定將對其它用戶和系統產生何種影響�����。
【發(fā)明內容】
[0004] 一般而言�,本發(fā)明的實施例涉及一種用于在聯網計算環(huán)境(例如,云計算環(huán)境)中 授權用戶請求的操作的方法����。在一個典型實施例中,接收對與計算資源關聯的特定操作的 請求。標識可能受所請求的操作影響的已連接系統�����。確定已連接系統的實際用戶�。請求來 自每個所述實際用戶的響應。收集所述響應并對其進行加權以便判定是否許可對所請求的 操作的授權���。
[0005] 本發(fā)明的第一方面提供一種用于在聯網計算環(huán)境中授權操作的計算機實現的方 法�,包括:接收與計算資源關聯的操作請求�����;確定可能受所請求的操作影響的已連接系統�����; 確定每個已連接系統的實際用戶���;接收來自一個或多個所述實際用戶的響應����;分析與每個 做出響應的實際用戶關聯的用戶數據�����;基于所述分析����,對每個做出響應的實際用戶的響應 進行加權;以及當許可授權時���,執(zhí)行所請求的操作��。
[0006] 本發(fā)明的第二方面提供一種用于在聯網計算環(huán)境中授權操作的系統����,包括:包括 指令的存儲介質��;耦合到所述存儲介質的總線��;以及耦合到所述總線的處理器����,當所述處 理器執(zhí)行所述指令時,導致所述系統:接收與計算資源關聯的操作請求��;確定可能受所請 求的操作影響的已連接系統�;確定每個已連接系統的實際用戶��;接收來自一個或多個所述 實際用戶的響應�;分析與每個做出響應的實際用戶關聯的用戶數據����;基于所述分析,對每 個做出響應的實際用戶的響應進行加權�;以及當許可授權時,執(zhí)行所請求的操作���。
[0007] 本發(fā)明的第三方面提供一種用于在聯網計算環(huán)境中授權操作的計算機程序產品�, 所述計算機程序產品包括計算機可讀存儲介質�,以及存儲在所述計算機可讀存儲介質上的 程序指令,以便:接收與計算資源關聯的操作請求�����;確定可能受所請求的操作影響的已連 接系統�;確定每個已連接系統的實際用戶;接收來自一個或多個所述實際用戶的響應����;分 析與每個做出響應的實際用戶關聯的用戶數據;基于所述分析����,對每個做出響應的實際用 戶的響應進行加權����;以及當許可授權時�����,執(zhí)行所請求的操作�����。
[0008] 本發(fā)明的第四方面提供一種部署在用于在聯網計算環(huán)境中授權操作的系統的方 法�����,包括:提供一種計算機基礎架構�,其可操作以:接收與計算資源關聯的操作請求���;確定 可能受所請求的操作影響的已連接系統��;確定每個已連接系統的實際用戶�;接收來自一個 或多個所述實際用戶的響應����;分析與每個做出響應的實際用戶關聯的用戶數據���;基于所述 分析,對每個做出響應的實際用戶的響應進行加權����;以及當許可授權時,執(zhí)行所請求的操 作���。
【專利附圖】
【附圖說明】
[0009] 從以下結合附圖的對本發(fā)明的不同方面的詳細描述��,將更容易地理解本發(fā)明的這 些和其它特性�����,這些附圖是:
[0010] 圖1表示根據本發(fā)明一實施例的云計算節(jié)點�����;
[0011] 圖2表示根據本發(fā)明一實施例的云計算環(huán)境���;
[0012] 圖3表示根據本發(fā)明一實施例的抽象模型層;
[0013] 圖4表不根據本發(fā)明一實施例的系統圖���;
[0014] 圖5表示根據本發(fā)明一實施例的方法流程圖����。
[0015] 附圖不一定按比例。附圖僅是示意性表示���,并非旨在描述本發(fā)明的特定參數����。附 圖旨在僅示出本發(fā)明的典型實施例���,因此不應被視為限制本發(fā)明的范圍。在附圖中���,相似編 號表示相似元素����。
【具體實施方式】
[0016] 現在��,在此參考附圖更全面地描述示例性實施例����,在附圖中示出實施例����。但是�����,本 公開可以以多種不同的形式體現�,并且不應被解釋為限于在此給出的實施例。相反���,提供這 些實施例以便本公開詳盡且完整����,并且將本公開的范圍完全傳達給所屬【技術領域】的技術人 員��。在描述中��,可以省略公知特性和技術的細節(jié)以避免不必要地使提供的實施例變得模糊 不清�����。
[0017] 在此使用的術語只是為了描述特定的實施例并且并非旨在作為本公開的限制���。如 在此使用的�����,單數形式"一"�、"一個"和"該"旨在同樣包括復數形式,除非上下文明確地另有 所指�。此外,術語"一"����、"一個"等的使用并不表示數量限制,而是表示存在至少一個提及的 項����。術語"組"旨在表示至少一個的數量��。還將理解����,當在此說明書中使用時,術語"包括" 和/或"包含"指定了聲明的特性���、區(qū)域�����、整數���、步驟���、操作、元素和/或組件的存在�����,但是并不 排除一個或多個其它特性��、區(qū)域��、整數����、步驟、操作����、元素、組件和/或其組合的存在或增加���。
[0018] 如上所述�,本發(fā)明的實施例涉及一種用于在聯網計算環(huán)境(例如,云計算環(huán)境)中 授權用戶請求的操作的方法�。在一個典型實施例中,接收對與計算資源關聯的特定操作的 請求���。標識可能受所請求的操作影響的已連接系統�。確定已連接系統的實際用戶��。請求來 自每個所述實際用戶的響應���。收集所述響應并對其進行加權以便判定是否許可對所請求的 操作的授權����。
[0019] 在執(zhí)行這些功能中的一個或多個時��,在此描述的各個方面允許云提供者和/或云 消費者獲得保險策略��,以便防止在計算基礎架構中出現數據丟失/SLA故障�。這種功能可以 涉及多個元素����,例如以下能力:通過使用"風險提供者"表評估不同的保險提供者����,然后基于 該表的結果�����,自動向工作負載處理請求應用保險策略����。
[0020] 首先應當理解,盡管本公開包括關于云計算的詳細描述���,但其中記載的技術方案 的實現卻不限于云計算環(huán)境�����,而是能夠結合現在已知或以后開發(fā)的任何其它類型的計算環(huán) 境而實現�。
[0021] 云計算是一種服務交付模式�,用于對共享的可配置計算資源池進行方便、按需的 網絡訪問��??膳渲糜嬎阗Y源是能夠以最小的管理成本或與服務提供者進行最少的交互就能 快速部署和釋放的資源,例如可以是網絡��、網絡帶寬、服務器���、處理��、內存�、存儲�����、應用�、虛擬 機和服務。這種云模式可以包括至少五個特征�����、至少三個服務模型和至少四個部署模型��。
[0022] 特征包括:
[0023] 按需自助式服務:云的消費者在無需與服務提供者進行人為交互的情況下能夠單 方面自動地按需部署諸如服務器時間和網絡存儲等的計算能力���。
[0024] 廣泛的網絡接入:計算能力可以通過標準機制在網絡上獲取���,這種標準機制促進 了通過不同種類的瘦客戶機平臺或厚客戶機平臺(例如移動電話����、膝上型電腦�����、個人數字 助理PDA)對云的使用�����。
[0025] 資源池:提供者的計算資源被歸入資源池并通過多租戶(multi-tenant)模式服 務于多重消費者����,其中按需將不同的實體資源和虛擬資源動態(tài)地分配和再分配��。一般情況 下�����,消費者不能控制或甚至并不知曉所提供的資源的確切位置�����,但可以在較高抽象程度上 指定位置(例如國家��、州或數據中心)�����,因此具有位置無關性����。
[0026] 迅速彈性:能夠迅速、有彈性地(有時是自動地)部署計算能力��,以實現快速擴展�����, 并且能迅速釋放來快速縮小�����。在消費者看來,用于部署的可用計算能力往往顯得是無限的���, 并能在任意時候都能獲取任意數量的計算能力����。
[0027] 可測量的服務:云系統通過利用適于服務類型(例如存儲、處理�、帶寬和活躍用戶 帳號)的某種抽象程度的計量能力�,自動地控制和優(yōu)化資源效用?���?梢员O(jiān)測����、控制和報告資 源使用情況,為服務提供者和消費者雙方提供透明度��。
[0028] 服務模型如下:
[0029] 軟件即服務(SaaS):向消費者提供的能力是使用提供者在云基礎架構上運行的 應用�����?��?梢酝ㄟ^諸如網絡瀏覽器的瘦客戶機接口(例如基于網絡的電子郵件)從各種客戶 機設備訪問應用�。除了有限的特定于用戶的應用配置設置外��,消費者既不管理也不控制包 括網絡、服務器�����、操作系統����、存儲、乃至單個應用能力等的底層云基礎架構���。
[0030] 平臺即服務(PaaS):向消費者提供的能力是在云基礎架構上部署消費者創(chuàng)建或 獲得的應用�,這些應用利用提供者支持的程序設計語言和工具創(chuàng)建�。消費者既不管理也不 控制包括網絡、服務器�、操作系統或存儲的底層云基礎架構,但對其部署的應用具有控制 權�,對應用托管環(huán)境配置可能也具有控制權。
[0031] 基礎架構即服務(IaaS):向消費者提供的能力是消費者能夠在其中部署并運行 包括操作系統和應用的任意軟件的處理�、存儲、網絡和其它基礎計算資源�����。消費者既不管理 也不控制底層的云基礎架構��,但是對操作系統、存儲和其部署的應用具有控制權�,對選擇的 網絡組件(例如主機防火墻)可能具有有限的控制權。
[0032] 部署模型如下:
[0033] 私有云:云基礎架構單獨為某個組織運行�����。云基礎架構可以由該組織或第三方管 理并且可以存在于該組織內部或外部���。
[0034] 共同體云:云基礎架構被若干組織共享并支持有共同利害關系(例如任務使命、 安全要求���、政策和合規(guī)考慮)的特定共同體��。共同體云可以由共同體內的多個組織或第三 方管理并且可以存在于該共同體內部或外部���。
[0035] 公共云:云基礎架構向公眾或大型產業(yè)群提供并由出售云服務的組織擁有。
[0036] 混合云:云基礎架構由兩個或更多部署模型的云(私有云��、共同體云或公共云)組 成��,這些云依然是獨特的實體����,但是通過使數據和應用能夠移植的標準化技術或私有技術 (例如用于云之間的負載平衡的云突發(fā)流量分擔技術)綁定在一起。
[0037] 云計算環(huán)境是面向服務的,特點集中在無狀態(tài)性����、低耦合性、模塊性和語意的互操 作性���。云計算的核心是包含互連節(jié)點網絡的基礎架構�。
[0038] 現在參考圖1���,其中顯示了云計算節(jié)點的一個例子����。圖1顯示的云計算節(jié)點10僅僅 是適合的云計算節(jié)點的一個示例�����,不應對本發(fā)明實施例的功能和使用范圍帶來任何限制����。 總之,云計算節(jié)點10能夠被用來實現和/或執(zhí)行以上所述的任何功能����。
[0039] 云計算節(jié)點10具有計算機系統/服務器12,其可與眾多其它通用或專用計算系 統環(huán)境或配置一起操作�����。眾所周知����,適于與計算機系統/服務器12 -起操作的計算系統���、 環(huán)境和/或配置的例子包括但不限于:個人計算機系統��、服務器計算機系統�、瘦客戶機�、厚 客戶機����、手持或膝上設備、多處理器系統���、基于微處理器的系統��、機頂盒���、可編程消費電子產 品�、網絡個人電腦�����、小型計算機系統�����、大型計算機系統和包括上述任意系統或設備的分布 式云計算技術環(huán)境���,等等���。
[0040] 計算機系統/服務器12可以在由計算機系統執(zhí)行的計算機系統可執(zhí)行指令(諸 如程序模塊)的一般語境下描述。通常���,程序模塊可以包括執(zhí)行特定的任務或者實現特定 的抽象數據類型的例程���、程序、目標程序�、組件、邏輯����、數據結構等�。計算機系統/服務器12 可以在通過通信網絡鏈接的遠程處理設備執(zhí)行任務的分布式云計算環(huán)境中實施�����。在分布式 云計算環(huán)境中�����,程序模塊可以位于包括存儲設備的本地或遠程計算機系統存儲介質上�。
[0041] 如圖1所示,云計算節(jié)點10中的計算機系統/服務器12以通用計算設備的形式 表現��。計算機系統/服務器12的組件可以包括但不限于:一個或者多個處理器或者處理單 元16,系統存儲器28,連接不同系統組件(包括系統存儲器28和處理器16)的總線18�。
[0042] 總線18表示幾類總線結構中的一種或多種,包括存儲器總線或者存儲器控制器���, 外圍總線,圖形加速端口��,處理器或者使用多種總線結構中的任意總線結構的局域總線�����。舉 例來說�����,這些體系結構包括但不限于工業(yè)標準體系結構(ISA)總線,微通道體系結構(MCA) 總線�,增強型ISA (EISA)總線、視頻電子標準協會(VESA)局域總線以及外圍組件互連(PCI) 總線�����。
[0043] 計算機系統/服務器12典型地包括多種計算機系統可讀介質����。這些介質可以是 能夠被計算機系統/服務器12訪問的任意可獲得的介質,包括易失性和非易失性介質���,可 移動的和不可移動的介質���。
[0044] 系統存儲器28可以包括易失性存儲器形式的計算機系統可讀介質,例如隨機存 取存儲器(RAM) 30和/或高速緩沖存儲器32�����。計算機系統/服務器12可以進一步包括其 它可移動/不可移動的����、易失性/非易失性計算機系統存儲介質�����。僅作為舉例�,存儲系統34 可以用于讀寫不可移動的�、非易失性磁介質(圖1未顯示,通常稱為"硬盤驅動器")��。盡管 圖1中未示出�����,可以提供用于對可移動非易失性磁盤(例如"軟盤")讀寫的磁盤驅動器���, 以及對可移動非易失性光盤(例如⑶-R〇M�����、DVD-ROM或者其它光介質)讀寫的光盤驅動器���。 在這些情況下��,每個驅動器可以通過一個或者多個數據介質接口與總線18相連�����。如下面進 一步示出和描述的,存儲器28可以包括至少一個程序產品���,該程序產品具有一組(例如至 少一個)程序模塊���,這些程序模塊被配置以執(zhí)行本發(fā)明各實施例的功能。
[0045] 本發(fā)明的實施例可以實現計算機可讀信號介質��,該計算機可讀信號介質可以包 括傳播的數據信號�,其中承載了計算機可讀程序代碼(例如,在基帶中或者作為載波一部 分)���。這種傳播的信號可以采用多種形式�����,包括一但不限于一電磁信號�、光信號或上述的任 意合適的組合��。計算機可讀信號介質可以是計算機可讀存儲介質以外的任何計算機可讀介 質����,該計算機可讀介質可以發(fā)送���、傳播或者傳輸用于由指令執(zhí)行系統、裝置或者器件使用或 者與其結合使用的程序�����。
[0046] 計算機可讀介質上包含的程序代碼可以用任何適當的介質傳輸�����,包括一但不限 于一無線����、有線、光纜�����、射頻(RF)等等���,或者上述的任意合適的組合���。
[0047] 具有一組(至少一個)程序模塊42的程序/實用工具40,可以存儲在存儲器28 中����,存儲器28中具有操作系統��、一個或者多個應用程序���、其它程序模塊以及程序數據,這些 示例中的每一個或某種組合中可能包括網絡環(huán)境的實現����。程序模塊42通常執(zhí)行本發(fā)明所 描述的實施例中的功能和/或方法。
[0048] 計算機系統/服務器12也可以與一個或多個外部設備14(例如鍵盤����、指向設備、 顯示器24等)通信����,還可與一個或者多個使得用戶能與該計算機系統/服務器12交互的 設備通信,和/或與使得該計算機系統/服務器12能與一個或多個其它計算設備進行通信 的任何設備(例如網卡����,調制解調器等等)通信。這種通信可以通過I/O接口 22進行���。并 且�����,計算機系統/服務器12還可以通過網絡適配器20與一個或者多個網絡(例如局域網 (LAN)�,廣域網(WAN)和/或公共網絡,例如因特網)通信�����。如圖所示����,網絡適配器20通過 總線18與計算機系統/服務器12的其它組件通信。應當明白��,盡管圖中未示出����,其它硬件 和/或軟件組件可以與計算機系統/服務器12 -起操作,包括但不限于:微代碼�、設備驅動 器、冗余處理單元���、外部磁盤驅動陣列���、RAID系統�、磁帶驅動器以及數據備份存儲系統等�。
[0049] 現在參考圖2,其中顯示了示例性的云計算環(huán)境50。如圖所示��,云計算環(huán)境50包 括云計算消費者使用的本地計算設備可以與其相通信的一個或者多個云計算節(jié)點10,本地 計算設備例如可以是個人數字助理(PDA)或移動電話54A��,臺式電腦54B�、筆記本電腦54C 和/或汽車計算機系統54N�。云計算節(jié)點10之間可以相互通信?����?梢栽诎ǖ幌抻谌?上所述的私有云�����、共同體云�、公共云或混合云或者它們的組合的一個或者多個網絡中將云 計算節(jié)點10進行物理或虛擬分組(圖中未顯示)。這樣�,云的消費者無需在本地計算設備 上維護資源就能請求云計算環(huán)境50提供的基礎架構即服務(IaaS)、平臺即服務(PaaS)和 /或軟件即服務(SaaS)����。應當理解���,圖2顯示的各類計算設備54A-N僅僅是示意性的,云計 算節(jié)點10以及云計算環(huán)境50可以與任意類型網絡上和/或網絡可尋址連接的任意類型的 計算設備(例如使用網絡瀏覽器)通信��。
[0050] 現在參考圖3,其中顯示了云計算環(huán)境50(圖2)提供的一組功能抽象層�。首先應 當理解,圖3所示的組件��、層以及功能都僅僅是示意性的�,本發(fā)明的實施例不限于此。如圖 3所示�,提供下列層和對應功能:
[0051] 硬件和軟件層60包括硬件和軟件組件。硬件組件的例子包括:主機��,例如 IBM? zSeries?系統�;基于Rise(精簡指令集計算機)體系結構的服務器,例如IBM system p?系統��;IBM System χ?系統�;IBM BladeCeilte:r?系統;存儲器件�;網絡和網 絡組件。軟件組件的例子包括:網絡應用服務器軟件����,例如IBM WebSphere?,應用服務 器軟件���;數據庫軟件,例如IBM DB2?數據庫軟件���。(IBM���、system X����、System p、System X����、 BladeCenter、WebSphere以及DB2是國際商業(yè)機器公司在全世界各地的注冊商標)��。
[0052] 虛擬層62提供一個抽象層����,該層可以提供下列虛擬實體的例子:虛擬服務器、虛 擬存儲����、虛擬網絡(包括虛擬私有網絡)��、虛擬應用和操作系統�,以及虛擬客戶端�。
[0053] 在一個示例中,管理層64可以提供下述功能:資源供應功能:提供用于在云計算 環(huán)境中執(zhí)行任務的計算資源和其它資源的動態(tài)獲?�?����;計量和定價功能:在云計算環(huán)境內對 資源的使用進行成本跟蹤���,并為此提供帳單和發(fā)票���。在一個例子中,該資源可以包括應用軟 件許可���。安全功能:為云的消費者和任務提供身份認證��,為數據和其它資源提供保護�����。用戶 門戶功能:為消費者和系統管理員提供對云計算環(huán)境的訪問����。服務水平管理功能:提供云 計算資源的分配和管理,以滿足必需的服務水平����。服務水平協議(SLA)計劃和履行功能:為 根據SLA預測的對云計算資源未來需求提供預先安排和供應。進一步管理層可以提供操作 授權�,其表示為本發(fā)明實施例中的功能。
[0054] 工作負載層66提供云計算環(huán)境可能實現的功能的示例�。在該層中,可提供的工作 負載或功能的示例包括:地圖繪制與導航�;軟件開發(fā)及生命周期管理���;虛擬教室的教學提 供����;數據分析處理���;交易處理����;以及用戶數據存儲和備份。如上所述��,上面針對圖3描述的 所有實例都僅僅是示例性的��,本發(fā)明并不限于這些實例�。
[0055] 出于示例目的給出了對本發(fā)明的不同實施例的描述,但應該理解����,在此描述的本 發(fā)明的所有功能通常可以由操作授權功能(屬于管理層64,該層可以有形地體現為程序/ 實用工具40的程序代碼42的模塊(圖1))執(zhí)行�����。但是�����,并非一定如此����。相反,在此描述的 功能可以由圖3中所示的任意層60-66執(zhí)行/實現和/或啟用���。
[0056] 應該重申�,盡管本公開包括關于云計算的詳細描述,但其中記載的技術方案的實 現卻不限于云計算環(huán)境�����,而是能夠結合現在已知或以后開發(fā)的任何類型的聯網計算環(huán)境而 實現����。
[0057] 現在參考圖4,示出根據本發(fā)明一實施例的描述在此討論的功能的系統圖。應該理 解����,可以在任何類型的聯網計算環(huán)境80(例如,云計算環(huán)境50)中實現在此描述的教導��。圖 4中示出計算機系統/服務器12,其可以實現為單獨的計算機系統或聯網計算機系統�����。如 果在聯網計算環(huán)境80中實現在此描述的教導��,則每個客戶機不需要具有操作授權引擎(引 擎70)��。相反�,可以將引擎70加載到服務器或服務器功能設備上,該服務器或服務器功能設 備與客戶機(例如���,以無線方式)通信以便提供操作授權功能���。總之�����,如圖所示�,引擎70被 示出在計算機系統/服務器12中。一般而言����,引擎70可以在圖1的計算機系統12上實現 為程序/實用工具40,并且可以實現在此描述的功能。如進一步示出的���,引擎70 (在一個實 施例中)包括規(guī)則和/或計算引擎��,該引擎處理一組(至少一個)規(guī)則/邏輯72和/或在 提供以下的操作授權��。
[0058] 沿著這些線��,引擎70可以執(zhí)行多個功能�,類似于通用計算機。具體地說����,除了其它 功能之外,引擎70可以(除了其它方面):接收與計算資源關聯的操作請求�����;確定可能受 所請求的操作影響的已連接系統�����;確定已連接系統的實際用戶��;請求來自已連接系統的每 個實際用戶的響應�;分析與每個做出響應的實際用戶關聯的用戶數據(例如使用和/或角 色);基于分析����,對每個做出響應的實際用戶的響應進行加權;以及當許可授權時����,執(zhí)行所 請求的操作���?����;谧龀鲰憫膶嶋H用戶的加權后的響應而確定許可授權�。
[0059] 示例件實例
[0060] 該部分將在示例性實例的上下文中描述上面討論的教導。應該理解����,該實例(例 如,在此描述的應用���、服務��、值等)旨在是示例性的���,在此描述的教導中可以存在其它實施 例。
[0061] 如圖4中所示�,云計算環(huán)境50包括計算機系統12、虛擬機(VM)78和應用服務 86A-N�。計算機系統12包括操作授權引擎(或引擎)70。引擎70可以讀取規(guī)則/邏輯72����。 VM78包括Web服務器應用82和數據庫應用84��。Web服務器應用82由Web用戶88A-N和 Web服務器管理員92訪問����。數據庫應用84由數據庫管理員94和數據庫用戶96 (執(zhí)行數據 庫查詢)訪問�。
[0062] 發(fā)出請求以便在云計算環(huán)境50中執(zhí)行與計算資源(硬件或軟件)關聯的操作(例 如,破壞性操作)�����。"操作"如在此使用的�,指與計算資源關聯的任何操作,其可能對一個或 多個用戶�����、服務或系統具有破壞性影響�。實例操作可以包括但不限于重新引導虛擬機的操 作系統,關閉或重新啟動應用服務器�����,關閉或強制連接數據庫�,或者保存涉及關閉資源的云 資源快照(即,映像)����。在引擎70處接收請求。在所述示例性實例中���,在引擎70處接收用 于重新引導VM78的請求���。
[0063] 接收請求之后,引擎70檢索可能受所請求的操作影響的系統列表�。例如,如果請 求系統重新引導����,則引擎70可以檢測具有到受影響計算資源的任何開放連接的任何已連 接系統。已連接系統可以包括但不限于與計算資源協調工作的云實例(例如�����,連接到數據 庫服務器的Web服務器)��、屬于最終用戶的客戶機系統�����,或者由計算資源管理員使用的客戶 機系統���?����?蛻魴C系統可以由端口�、協議或者被訪問的內容來標識。在所述示例性實例中��,標 識Web服務86A-N����、Web用戶88A-N的客戶機設備、Web服務器管理員92的客戶機設備���、數 據庫管理員94的客戶機設備��,以及數據庫用戶96的客戶機設備��。
[0064] 標識已連接系統(多個)之后�����,引擎70可以確定每個標識的已連接系統的實際用 戶(多個)�����。如果已連接系統是云計算環(huán)境中的對等系統��,則引擎70可以參考云系統的數 據庫以便查找已連接系統的技術所有者(多個)��。此外�����,如果已知連接源自遠程系統上的特 定應用(即�,經由分析使用的端口 /協議)��,則引擎70可以參考應用的所有者(多個)����。在 所述示例性實例中,實際用戶被確定為Web用戶88A-N�、Web服務器管理員92、數據庫管理 員94以及數據庫用戶96����。
[0065] 在一個實例中,實際用戶類型可以包括但不限于活躍用戶��、消極用戶和/或不活 躍用戶��。活躍用戶可以是以下任何用戶:具有到計算資源的開放連接��,并且主動使用計算資 源(例如�,針對計算資源運行命令)。消極用戶可以是以下任何用戶:具有到計算資源的開 放連接���,但不主動使用計算資源����。不活躍用戶可以是以下任何管理員或人員:以其它方式與 計算資源關聯�����,但不主動或被動使用計算資源���。在其它實例中�����,可以定義其它類型的用戶����。
[0066] 確定實際用戶之后,引擎70可以向請求響應(例如����,投票)的每個實際用戶傳輸 關于用戶是否授權所請求的操作的通知。實例通知(和響應)包括但不限于電子郵件消息���、 文本消息���、即時消息、彈出窗口���、移動推送通知等。在所述示例性實例中�,經由電子郵件消息 將通知發(fā)送到每個實際用戶(即,Web用戶88A-N��、Web服務器管理員92��、數據庫管理員94 以及數據庫用戶96)�。
[0067] 引擎70收集來自用戶的關于是否認證所請求的操作的響應。實例響應可以包括 "是"���、"否"���、"在經過一段時間之后是"以及"在執(zhí)行某個操作之后是"�。上面列出的實例僅 僅是示例性的����,并且并非旨在作為限制。引擎70可以允許和處理其它響應��。在所述示例性 實例中����,每個實際用戶經由電子郵件消息進行響應,其中管理員(Web服務器管理員92和數 據庫管理員94)和數據庫用戶96進行響應以便認證所請求的操作��。剩余用戶發(fā)送"否"響 應��。
[0068] 在一個實例中�����,預定時間量可以指定引擎70可以等待響應的時間量��。在經過該時 間量之后,當判定是否認證所請求的操作時��,將不考慮任何未做出響應的用戶����。在一個實例 中,用戶可以建立簡檔�,該簡檔指定在用戶不能及時進行響應的情況下要采取的某些操作。 例如,用戶簡檔可以指定執(zhí)行清理過程�,或者在執(zhí)行所請求的操作之前保存任何腳本���。
[0069] 備選地或此外�,引擎70可要求在可以認證所請求的操作之前,收集一組特定用戶 的投票��。該組用戶可以包括諸如以下用戶:應用所有者、系統所有者����、具有高當前活動率的 用戶���、當前管理應用的用戶(通過端口���、協議��、用戶角色�����、用戶登錄ID等確定)等?����?梢栽?該組用戶中包括其它類型的用戶�����。
[0070] 接收響應之后�,引擎70可以根據與相應實際用戶關聯的數據(例如角色或使用)�����, 對每個響應進行加權�����。在一個實例中���,為具有活躍連接的實際用戶的響應賦予的優(yōu)先級可 以高于具有不活躍連接的實際用戶。在另一個實例中��,為頻繁查詢數據庫或者當前執(zhí)行長 時間數據庫操作的用戶賦予的優(yōu)先級可以高于具有開放但不活躍的數據庫連接的用戶�。為 管理用戶賦予的優(yōu)先級可以高于非管理用戶。為具有特定角色的用戶賦予的優(yōu)先級可以高 于具有其它角色的用戶���。上面列出的實例僅僅是示例性的�����,并且并非旨在作為限制����。當確 定用戶優(yōu)先級時����,可以使用其它準則�?��?梢栽谝?guī)則/邏輯72中定義用于對每個實際用戶響 應進行加權的過程��。在所述示例性實例中,對來自每個做出響應的實際用戶的響應進行加 權���,其中來自管理員(Web服務器管理員92和數據庫管理員94)的響應比來自其余實際用 戶的響應具有更多的加權。
[0071] 對每個做出響應的實際用戶的響應進行加權之后,引擎70可以判定是否認證所 請求的操作�����。該決策可以基于加權后的響應����。在某些實例中,認證決策還可以考慮其它因 素����,例如當所請求的操作涉及關閉特定服務器時,是否可提供充足的故障轉移服務器���。在所 述示例性實例中���,基于實際用戶的總加權響應做出重新引導VM78的決策。如上所述����,上面 針對圖4描述的所有實例都僅僅是示例性的,本發(fā)明并不限于這些實例�����。
[0072] 現在參考圖5,示出根據本發(fā)明一實施例的方法流程圖。在步驟S1��,接收與聯網計 算環(huán)境80(例如�����,云計算環(huán)境50)中的計算資源關聯的操作請求���。在步驟S2,確定可能受 所請求的操作影響的已連接系統。在步驟S3,確定已連接系統的實際用戶���。在步驟S4,請 求來自每個實際用戶的響應��。在步驟S5,分析與提交響應的每個實際用戶關聯的用戶數據 (例如使用和/或角色)�。在步驟S6,基于分析�����,對每個做出響應的實際用戶的響應進行加 權�。在步驟S7,當許可授權時,執(zhí)行所請求的操作�����。用于許可授權的判定基于做出響應的用 戶的加權后的響應。
[0073] 盡管在此被示出和描述為操作授權解決方案�,但應該理解,本發(fā)明還提供各種備 選實施例�����。例如�����,在一個實施例中�����,本發(fā)明提供一種計算機可讀/可用介質�,其包括計算機 程序代碼以使計算機基礎架構能夠提供在此討論的操作授權功能。在此方面�����,計算機可讀/ 可用介質包括實現本發(fā)明的每個不同過程的程序代碼����。應該理解����,術語計算機可讀介質或 計算機可用介質包括程序代碼的任何類型物理實施例中的一個或多個���。具體地說����,計算機 可讀/可用介質可以包括以下程序代碼:包含在一個或多個便攜式存儲制品(例如���,光盤�����、 磁盤、磁帶等)上��;包含在計算設備的一個或多個數據存儲部分上���,例如存儲器28 (圖1) 和/或存儲系統34 (圖1)(例如���,固定磁盤、只讀存儲器�、隨機存取存儲器���、高速緩沖存儲器 等)。
[0074] 在另一個實施例中�����,本發(fā)明提供一種基于訂閱��、廣告和/或費用執(zhí)行本發(fā)明過程 的方法���。即���,服務提供者(例如解決方案集成商)可以提供操作授權功能。在這種情況下�����, 服務提供者可以為一個或多個用戶對執(zhí)行本發(fā)明過程的計算機基礎架構(例如計算機系 統12(圖1))進行創(chuàng)建���、維護����、支持等���。作為回報�,服務提供者可以按照訂閱和/或費用協 議從用戶(多個)處收到付款和/或服務提供者可以通過向一個或多個第三方銷售廣告內 容而收到付款。
[0075] 在另一個實施例中���,本發(fā)明提供一種用于操作授權的計算機實現的方法�。在這種 情況下����,可以提供計算機基礎架構(例如計算機系統12(圖1)),并且可以獲得(例如���,創(chuàng) 建�����、購買、使用���、修改等)一個或多個用于執(zhí)行本發(fā)明過程的系統并將這些系統部署到計算 機基礎架構���。在此方面,系統的部署可以包括以下一項或多項:(1)在計算設備(例如計算 機系統12 (圖1))上從計算機可讀介質安裝程序代碼�;(2)將一個或多個計算設備添加到 計算機基礎架構�;以及(3)結合和/或修改計算機基礎架構的一個或多個現有系統以使計 算機基礎架構能夠執(zhí)行本發(fā)明的過程���。
[0076] 如在此使用的�,應該理解���,術語"程序代碼"和"計算機程序代碼"是同義的���,并且 指一組指令的以任何語言、代碼或符號表示的任何表達�,旨在使具有信息處理能力的計算 設備直接執(zhí)行特定的功能,或者執(zhí)行以下兩者之一或全部后執(zhí)行特定的功能:(a)轉換為 另一種語言���、代碼或符號���;和/或(b)以不同的材料形式再現。在此方面�,程序代碼可以體 現為以下一項或多項:應用/軟件程序、組件軟件/函數庫�����、操作系統、特定計算設備的基本 設備系統/驅動器等����。
[0077] 適合于存儲和/或執(zhí)行程序代碼的數據處理系統可以在下面提供,并且可以包括 至少一個以通信方式通過系統總線直接或間接耦合到存儲元件的處理器����。存儲元件可以包 括但不限于在程序代碼的實際執(zhí)行期間采用的本地存儲器、大容量存儲裝置以及提供至少 某些程序代碼的臨時存儲以減少必須在執(zhí)行期間從大容量存儲裝置檢索代碼的次數的高 速緩沖存儲器�����。輸入/輸出和/或其它外部設備(包括但不限于鍵盤��、顯示器�、指點設備 等)可以直接或通過中間設備控制器與系統相連。
[0078] 網絡適配器也可以被連接到系統以使數據處理系統能夠通過中間專用或公共網 絡的任意組合變得與其它數據處理系統����、遠程打印機、存儲器件等相連��。示例性網絡適配器 包括但不限于調制解調器�、電纜調制解調器和以太網卡����。
[0079] 出于示例和描述目的提供了本發(fā)明的不同方面的上述描述�。其并非旨在是窮舉的 或將本發(fā)明限于所公開的精確形式�����,并且很顯然��,許多修改和變型都是可能的���。這些對所屬 【技術領域】的技術人員來說顯而易見的修改和變型旨在被包括在如所附權利要求限定的本 發(fā)明的范圍之內���。
【權利要求】
1. 一種用于在聯網計算環(huán)境中授權操作的計算機實現的方法��,所述方法包括: 接收與計算資源關聯的操作請求����; 確定可能受所請求的操作影響的已連接系統����; 確定每個已連接系統的實際用戶��; 接收來自一個或多個所述實際用戶的響應���; 分析與每個做出響應的實際用戶關聯的用戶數據�; 基于所述分析,對每個做出響應的實際用戶的響應進行加權����;以及 當許可授權時,執(zhí)行所請求的操作�。
2. 根據權利要求1的計算機實現的方法,其中基于加權后的響應而許可授權���。
3. 根據權利要求1的計算機實現的方法���,其中所述用戶數據包括數據使用或用戶角色 中的至少一個。
4. 根據權利要求1的計算機實現的方法���,其中實際用戶包括活躍用戶��、消極用戶或不 活躍用戶中的至少一個�����。
5. 根據權利要求1的計算機實現的方法���,還包括經由傳輸到每個實際用戶的通知�,請 求來自每個實際用戶的響應����。
6. 根據權利要求5的計算機實現的方法�����,其中要求每個實際用戶在預定時間量內進行 響應����。
7. 根據權利要求1的計算機實現的方法,其中所述聯網計算環(huán)境是云計算環(huán)境�。
8. -種用于在聯網計算環(huán)境中授權操作的系統,所述系統包括: 包括指令的存儲介質�����; 耦合到所述存儲介質的總線�;以及 耦合到所述總線的處理器,當所述處理器執(zhí)行所述指令時�,導致所述系統: 接收與計算資源關聯的操作請求; 確定可能受所請求的操作影響的已連接系統��; 確定每個已連接系統的實際用戶���; 接收來自一個或多個所述實際用戶的響應�����; 分析與每個做出響應的實際用戶關聯的用戶數據�; 基于所述分析,對每個做出響應的實際用戶的響應進行加權���;以及 當許可授權時���,執(zhí)行所請求的操作。
9. 根據權利要求8的系統�,其中基于加權后的響應而許可授權。
10. 根據權利要求8的系統��,其中所述用戶數據包括數據使用或用戶角色中的至少一 個����。
11. 根據權利要求8的系統,其中實際用戶包括活躍用戶�����、消極用戶或不活躍用戶中的 至少一個�����。
12. 根據權利要求8的系統,所述存儲介質還包括指令����,其用于經由傳輸到每個實際用 戶的通知���,請求來自每個實際用戶的響應�。
13. 根據權利要求12的系統�,所述存儲介質還包括指令,其用于要求每個實際用戶在 預定時間量內進行響應���。
14. 根據權利要求8的系統�,其中所述聯網計算環(huán)境是云計算環(huán)境����。
【文檔編號】G06F9/44GK104216702SQ201410241836
【公開日】2014年12月17日 申請日期:2014年6月3日 優(yōu)先權日:2013年6月4日
【發(fā)明者】K·阿布伊薩德, L·S·德魯卡, 張秀百, D·C·克魯克 申請人:國際商業(yè)機器公司