[发明专利]企业用户对主存的虚拟机的远程访问

说明书

技术领域

本发明涉及远程呈现系统，尤其涉及企业用户对主存的虚拟机的远程访问。

背景技术

联网的一种日益流行的形式一般被称为远程呈现系统，其能使用诸如远程桌面协议(远程呈现)以及独立计算架构(ICA)等协议来与远程客户端共享桌面和在服务器上执行的其他应用。这样的计算系统通常将来自客户端的键盘按压和鼠标点击或选择传送到服务器，通过网络连接在另一方向将屏幕更新转播回去。由此，当实际上仅仅向客户端设备发送如在服务器侧上显现的桌面或应用的屏幕截图时，用户具有好像他的或她的机器正在完全地本地操作的体验。

许多向其用户提供虚拟机的企业正在从公共云提供者购买计算容量。云提供者(也被称为公共主存者(public hoster))出售虚拟机形式的计算容量，最终用户在“即用即付(pay as you go)”的基础上为计算容量付费。类似地，企业也能够从这些云提供者购买计算容量以扩展其计算容量。云提供者可使用虚拟化主机来部署虚拟机并向企业承租人出售虚拟机。云提供者的数据中心中的虚拟化主机可被联结到云提供者的域，而承租人(云服务的计算容量的购买者)拥有实际的虚拟机。

企业承租人通常有许多用户。承租人可进一步将计算容量细分并将从云租赁的个体虚拟机分配给来自他的企业的个体用户。这些用户需要以类似于他们访问他们的本地计算机的方式访问那些虚拟机。例如，远程桌面协议可被用来访问虚拟机。在服务提供者处，该基础结构可以以对虚拟机的所有远程桌面访问是通过主计算机完成的方式来被设置。

通过云提供者提供远程服务可提供一些好处，诸如：

1.即使承租人虚拟机不具有联网设置也可提供访问。

2.可为诸如Windows、Linux等多操作系统(OS)虚拟机工作负荷提供访问。

3.在虚拟机上执行人工/网络操作系统安装的能力。

4.云提供者的网关和客虚拟机之间的网络连通性是不需要的，从而使得云提供者的网络和承租人的网络能够隔离(客虚拟机可进一步驻留于它们自己的隔离网络中)。

发明内容

上述情形的一个问题是，通过云提供者的虚拟化主机对云中的虚拟机的远程呈现访问必须对承租人的企业的最终用户是安全的。

在各实施例中，公开了用于使得企业的最终用户能够通过云提供者的虚拟化主机和远程呈现网关接收对主存(hosted)的公共云中的分配的虚拟机的安全远程呈现访问的方法和系统。因此企业管理员可从云提供者购买计算容量并进一步将购买的计算容量在企业最终用户间细分。云提供者不需要为作为计算容量的消费者的企业的每个最终用户创建影子账户。云提供者也不需要将主机信息暴露给承租人。云提供者也不需要将主机信息暴露给互联网。在一实施例中，用X.509证书签署的定制令牌可被用来保护远程呈现访问。在其它实施例中，可使用具有用于身份联盟的安全令牌服务(STS)的SAML令牌。

在一个实施例中，通过使用终端服务网关处的定制授权插件和虚拟化主机处的间接监听器组件的组合，可提供授权。因此企业管理员可以能够进一步细分购买的公共云容量并将承租人虚拟机在最终用户间分配，而不需要公共云提供者(被称为“主存者”)为每个企业最终用户创建影子账户。当客户端连接于远程呈现网关时主机细节还可以被抽象，以保护结构(fabric)免受攻击并使承租人虚拟机能够跨云提供者的虚拟化主机自由移动而不影响远程呈现访问。

除了上述方面，构成本公开的一部分的权利要求、附图、以及文本还描述了其他方面。本领域技术人员之一可理解，本公开的一个或更多个方面可包括但不限于用于实现本公开的本文所提及的电路和/或编程；该电路和/或编程实质上可以是配置成实现本文所提及的方面的硬件、软件和/或固件的任何组合，这取决于系统设计者的设计选择。

以上是概述，并且因此必然包含细节的简化、一般化及省略。本领域技术人员将明白，本概述只是说明性的并且决不旨在是限制性的。

附图说明

参考附图来进一步描述根据本说明书的用于图形数据传输到远程计算设备的系统、方法和计算机可读介质，在附图中：

图1和2描绘了其中可实现本公开的各方面的示例计算机系统。

图3描绘了用于实施本公开的各方面的虚拟化操作环境。

图4描绘了用于实施本公开的各方面的虚拟化操作环境。

图5示出了包括用于实现远程桌面服务的电路的计算机系统。

图6描绘了用于实施本公开的各方面的操作环境。

图7描绘了用于实施本公开的各方面的操作环境。