[发明专利]用于控制对命令执行的用户访问的系统和方法

说明书

本发明描述了用于向用户提供访问以便在网络可访问计算资源上执行命令的技术。在某些情况下，为用户建立许可以便在由在线服务提供的计算节点上执行命令，例如通过在那些提供的计算节点外部维护各种许可信息，以用于在控制用户访问、使用和/或修改所提供的计算节点的能力。接口组件可以使用此类外部许可信息，以便确定特定用户是否被授权在一个或多个特定计算节点上执行一个或多个特定命令，并且在被授权时启动在所述计算节点上同时并独立地执行所述命令。所述接口组件还可以聚合来自执行所述命令的每个计算节点的结果，之后将所述结果提供给所述用户。

技术领域

本申请涉及计算机领域，具体地，涉及用于控制对命令执行的用户访问的系统和方法。

背景技术

许多公司和其他组织操作计算机网络，这些计算机网络使众多计算系统互连以支持它们的操作，其中计算系统可位于同一位置(例如，作为私有本地局域网络、或“LAN”的一部分)，或者相反，位于多个截然不同的地理位置(例如，经由一个或多个其他私有或共享中间网络加以连接)。例如，容纳显著数量互连共同定位计算系统的数据中心已变得司空见惯，如由单一组织运营或代表所述组织运营的私有数据中心，以及由实体作为业务加以运营来向客户提供计算资源的公共数据中心。一些公共数据中心运营商为各种客户所拥有的硬件提供网络访问、电力以及安全安装设施，而其他公共数据中心运营商提供“全方位服务”设施，这些设施也包括可供其客户使用的硬件资源。然而，随着典型数据中心和计算机网络的规模和范围不断扩大，供应、操纵和管理相关联的物理计算资源的任务变得越来越复杂。

商用硬件用虚拟化技术的出现已针对管理大规模计算资源为需求多样化的许多客户提供了一些益处，从而允许在在多个客户之间有效且安全地共享各种计算资源。例如，虚拟化技术(诸如由VMWare、XEN、Linux的KVM (“基于内核的虚拟机”)、或用户模式Linux所提供的虚拟技术)可以通过为每个用户提供由单个物理计算机托管的一个或多个虚拟机，允许所述单个物理计算机在多个用户之间共享，其中每个这样的虚拟机充当不同逻辑计算系统的软件模拟，所述软件模拟使用户幻想他们是给定硬件计算资源的唯一操作员和管理员，同时还在各种虚拟机之间提供了应用程序隔离和安全性。

虽然存在网络可访问服务(其向用户提供对虚拟机和服务所控制的其他计算相关资源的访问)，但存在有关这种访问的各种问题。

发明内容

根据本申请的一个方面，一种用于控制对命令执行的用户访问的由计算机实现的方法包括：通过在一个或多个计算系统上执行的外壳程序聚合器接收来自第一用户的请求，所述请求指示在多个计算节点中的每个计算节点上的操作系统上要执行的命令，所述多个计算节点由用于供所述第一用户使用的网络可访问服务所提供并且各自代表所述第一用户执行一个或多个程序；通过所述外壳程序聚合器并且至少部分地基于存储的许可信息来确定所述第一用户被授权使所述多个计算节点中的每个计算节点执行所述命令；以及通过所述外壳程序聚合器并且响应于所述确定，启动由所述多个计算节点中的每个计算节点上的操作系统执行所述命令；通过所述外壳程序聚合器接收由所述多个计算节点中的每个计算节点上的操作系统执行所述命令的结果；以及通过所述外壳程序聚合器聚合所接收的结果并且向所述第一用户返回所聚合的结果。

根据本申请的另一方面，一种用于控制对命令执行的用户访问的系统包括一个或多个计算机系统，其中所述一个或多个计算机系统包括联接到一个或多个存储器的一个或多个处理器，所述一个或多个存储器包括指令，所述指令在执行时使计算系统至少进行：通过所述系统接收来自第一用户的信息，所述信息指示从网络可访问服务提供的多个虚拟机内运行的多个操作系统中的每个操作系统上要执行的多个命令对应的高级指示；通过所述系统并且基于所述高级指示确定要在所述多个操作系统中的每个操作系统上执行的所述多个命令；通过所述系统并且至少部分地基于存储在所述多个操作系统外部的所述第一用户的许可信息，确定所述第一用户被授权对所述多个虚拟机中的每个虚拟机执行所述多个命令；通过所述系统启动在所述多个操作系统中的每个操作系统上执行所述多个命令；通过所述系统接收对所述多个虚拟机中的每个虚拟机执行所述多个命令的结果；以及通过所述系统聚合所接收的结果并且向所述第一用户返回所聚合的结果。