[发明专利]向系统资源提供安全容器单元

说明书

发明背景

许多公司和其它组织操作互连许多计算系统以支持其操作的计算机网络，例如，其中计算系统被共置(例如，作为局域网的一部分)或代替地位于多个不同的地理位置(例如，通过一个或多个私有或公共中间网络连接)。例如，容纳大量互连计算系统的数据中心已经变得很平常，例如由单一组织操作并代表单一组织的私有数据中心，和由如企业的实体操作以提供计算资源到客户的公共数据中心。一些公共数据中心运营商向各种客户拥有的硬件提供网络访问、电源，和安全安装设施，而其它公共数据中心运营商提供“全方位服务”设施，所述设施也包括可供其客户使用的硬件资源。然而，随着典型的数据中心的规模和范围增大，供应、掌管和管理物理计算资源的任务变得越来越复杂。

商用硬件虚拟化技术的出现向具有多样化需求的许多客户提供了关于管理大规模计算资源的益处，从而允许多个客户高效并安全地共享各种计算资源。例如，虚拟化技术可通过向每个用户提供单个物理计算机器托管的一个或多个虚拟机同时也在各种虚拟机之间提供应用程序隔离和安全性来允许单个物理计算机器在多个用户之间共享，其中每个所述虚拟机是充当不同逻辑计算系统的软件模拟，所述软件模拟向用户提供其是给定硬件计算资源的唯一运营商和管理者的错觉。另外，一些虚拟化技术能够提供跨越两个或多个物理资源的虚拟资源，例如具有跨越多个不同物理计算系统的多个虚拟处理器的单个虚拟机。

网络服务

传统的网络模型允许客户通过HTTP客户端程序(例如，网络浏览器)访问网络资源(例如，应用程序、服务和数据)。已开发被称为网络服务的技术来提供到网络资源的编程访问。网络服务可用以通过网络服务界面来提供到网络资源的编程访问，所述网络资源包括网络连接的计算机(例如，网络服务器系统)上托管的技术平台(例如，应用程序和服务)和数据(例如，产品目录和其它数据库)。一般来说，网络服务界面可被配置以提供标准的、跨平台的API(应用编程接口)，以在请求执行某个服务的客户和服务提供者之间进行通信。在一些实施中，网络服务界面可被配置以支持包括描述服务请求和对所述请求的响应的信息的文件或消息的交换。所述文件或消息可使用标准化的网络协议来交换，所述网络协议例如超文本传输协议(HTTP)，且所述文件或消息可用独立于平台的数据格式来格式化，例如可扩展标记语言(XML)。

从外部服务提供者(例如，共置运营商)接收计算服务的客户可能希望确保未经授权的人员无法篡改客户的数据或损害客户的计算操作。为了解决这些问题，一些共置设施通过在笼子中操作机架计算系统来隔离一些客户的机架计算系统。然而，所述笼子可能在给定时间占用设施中比客户需要多的空间。另外，客户可能需要比笼子内的空间大的空间，从而可能需要建构新的笼子以保护额外的机架计算系统。将所有客户的计算资源封装在大笼子也可能使得客户在单个攻击点容易受到安全威胁。例如，一个作恶者可能能够通过访问单个入口点来破坏大量的计算服务，或窃取或毁坏大量客户的数据。

附图说明

图1示出可用以使用安全容器单元来提供云服务到客户的计算系统的一个实施方案。

图2是示出安全访问机架级安全容器单元的前部和背部的云计算系统的数据中心的顶视图的方框图。

图3示出具有容纳个别计算装置的安全容器单元的云计算系统的一个实施方案。

图4示出具有容纳两个或多个计算装置的安全容器单元的云计算系统的一个实施方案。

图5示出从机架的前部和后部安全访问服务器的机架系统的一个实施方案。

图6示出从机架的前部和后部安全访问服务器级安全容器单元的机架系统的一个实施方案。

图7示出使用安全容器单元来提供计算资源到客户的一个实施方案。

图8示出提供到安全容器单元中的硬件资源的访问的一个实施方案。

图9示出访问安全容器单元中的计算装置的审计报告的实例。

图10示出给客户的示出访问安全容器单元中的客户计算装置的报告的实例。

图11是提供存储虚拟化服务和硬件虚拟化服务的示例性服务提供者的方框图。

图12示出在一些实施方案中可用以供应计算资源的计算机系统的一个实施方案。