利用隔离等级条款自动供给托管应用

摘要

本发明公开了一种涉及利用隔离等级条款自动供给托管应用的方法和系统。在一个实施例中，系统包括：基础结构注册部分，用于提供异构基础结构资源集合；自动供给服务单元，用于选择所述异构基础结构资源的子集，该资源的子集履行具有相应隔离等级的服务等级协议(SLA)；以及监控单元，用于收集关于该资源的子集的信息并将所收集的信息发送给自动供给服务单元。在另一个实施例中，该方法包括：提供异构基础结构资源集合；选择该异构基础结构资源的子集，在配置模板中定义该异构基础结构资源的子集，使其履行具有相应隔离等级的服务等级协议(SLA)；以及在该注册部分分配该基础结构资源的子集。

说明书

技术领域

本发明的实施例一般涉及软件技术，更具体来说，涉及利用在服务提供者和服务消费者之间达成的服务等级协议中规定的隔离等级条款自动供给(provisioning)托管应用。

背景技术

数据中心经由因特网向可访问的客户提供服务。在软件领域，数据中心充当服务提供者而客户充当服务消费者。服务提供者不一定等同于软件提供者。在许多情况下，服务提供者和软件提供者达成特定的条件，在该条件下，服务提供者可以向其客户提供不同的软件服务。数据中心提供的服务可以包括托管应用和数据。

在多数情况下，所提供的服务是较低级服务的组合。资源是根据服务规范和消费者需求而被动态分配的。服务等级协议(Service Level Agreement，SLA)是两方之间正式协商的协议。它是存在于客户和他们的服务提供者之间或者存在于服务提供者之间的合同。它记录了关于服务、优先级、责任、担保等的共同理解以及那些可以被所涉及的各方接受并交付的内容，总称为服务等级。改变资源分配、服务组合或服务的使用可能导致客户或数据中心提供者改变他们对他们可能违反服务等级协议的风险的认知(perception)。这些影响加上高频率的新服务请求和不同服务的动态性使得数据中心的管理越来越困难。

数据中心的供给过程包括许多约束、服务特征以及数据中心提供者的目标和个人消费者的目标。需要更好地自动化的一个重要方面是托管应用服务的保护、安全和隔离。

一般来说，可以以很多方式解决客户对于数据中心中托管应用和数据的保护的担心。例如，可以使用一些物理防火墙来彻底地断开运行不同应用以及可能是竞争公司的应用的专用服务器。正如人们所见，不同的保护方法对应于实施特定保护机制所需的不同费用。因此，数据中心的不同客户对于高等级的安全和相关费用之间的最佳折衷方案具有不同的认知。

在许多商业环境中，为了在服务提供者和客户之间订立合同，客户仍然需要签订清楚地列出对特定服务及相应的行为规则的规定和服务消费者的花费的书面(paper-written)合同。这随着每个时间间隔客户请求数量的不断增加而成为瓶颈。因此，自动机制需要取代对协议的人工协商和说明。除了对SLA的说明之外，服务提供者和服务消费者之间的协商也需要自动化。此外，受科学应用的推动，存在一些针对协商协议的方法。然而，这些努力再次集中在对特定服务的计算需求，而疏忽了客户对于保护和安全的担心。

发明内容

描述了一种用于利用隔离等级条款自动供给托管应用的计算系统和方法。在一个实施例中，系统包括：基础结构注册部分，用于提供异构基础结构资源集合；自动供给服务单元，用于选择所述异构基础结构资源的子集，该资源的子集履行具有相应隔离等级的服务等级协议(SLA)；以及监控单元，用于收集关于该资源的子集的信息并将所收集的信息发送给自动供给服务单元。

在一个实施例中，该方法包括：提供异构基础结构资源集合；选择该异构基础结构资源的子集(在配置模板中定义该异构基础结构资源的子集，以便履行具有相应隔离等级的服务等级协议(SLA))；以及分配该基础结构资源的子集。

附图说明

在附图的各图中作为示例而非作为限制地图示本发明，在附图中，相似的附图标记指示类似的部件。应当注意，在此公开中关于“一”或“一个”实施例的提及不一定是同一实施例，并且这样的提及意思是至少一个。

图1是数据中心和其实体的实施例的框图。

图2是表示数据中心中隔离的物理实现和虚拟实现的实施例的框图。

图3是示出利用隔离需求来自动供给的隔间模型(compartment model)的本发明的实施例的框图。

图4是自动供给的实施例的框图，其示出了用于使用隔间模型来实现LOI概念的技术系统架构。

图5是在数据中心中分配资源用于托管应用和数据的实施例的框图。

具体实施方式

本发明的实施例涉及用于利用在服务提供者和服务消费者之间达成的服务等级协议(SLA)中协议通过的隔离等级条款来自动供给托管应用。

在一个实施例中，服务提供者可以是具有多个用于托管客户的应用和数据的基础结构资源的数据中心。数据中心中中断SLA中的一个或多个条款的实现的恶意或意外的事件被视为SLA违规(SLA violation)。SLA违规可能发生在数据中心中的物理实体或逻辑实体上。因此，知晓数据中心的结构可以帮助定义可能发生在该结构的部件上的可能的SLA违规。

图1是数据中心和其实体的实施例的框图。相对于其参与者105示出数据中心100。参与者105是人或包括管理者、客户和用户角色的组织实体。参与者105通过因特网110访问数据中心100的不同实体。数据中心100可以由若干个诸如建筑物_1 115和建筑物_2 120那样的建筑物组成。建筑物_1115和建筑物_2 120容纳了一个或多个不同的、独立的网络路由器125。路由器125充当不同网络域的网关，所述网络域例如网络域130。网络域130包括一个或多个物理机器135。此外，网络域130还可以包括若干虚拟机器140。机器135中的每个容纳一个或多个部件，包括应用服务器、文件系统(例如，文件系统145)和数据库，它们依次包含过程150、文件155和数据。

这些部件定义了数据中心100的结构模型，其能够帮助分析潜在的SLA违规源和目标。这被用来对能够被采用以降低这些违规的概率的不同类型的隔离机制进行分类。

数据中心100中的实体中的一个是参与者105。参与者105允许访问SLA中规定的数据中心100的服务。可能在此等级上发生的潜在的违规是，滥用特权以获知其他参与者的数据和应用，或阻止他们的访问。数据中心100的另一实体是诸如建筑物(例如，建筑物_1 115和建筑物_2 120)、房间、服务器架、机壳(cabinet)和线缆之类的设施。对于这些设施的物理损坏可能导致多项硬件和服务的丢失。

违规也可能发生在数据中心100的硬件实体上。硬件实体：服务器、工作站、带驱动器、路由器(例如，路由器125)等可能经历故障或破坏，这将导致软件不可用。软件自身也可能被视为风险因素。软件实体可以是虚拟机器140、应用服务器、数据管理系统和操作系统。这些软件实体可能包含缺陷或者被危及安全，从而导致正常行为的变更，其破坏数据并使数据不可用。

数据中心100的另一实体是诸如文件155的数据，其可以包括文档、模型、个人信息、目录、证书、名称空间等。对于这些数据的SLA的任何违规导致数据被破坏和不准确的信息。

所描述的违规之间可能具有层次相关性(hierarchical dependency)。例如，对于设施实体的损坏将可能导致硬件被损坏，由此而导致数据被破坏并且由此而丢失数据。因此，SLA的违规的风险根据两个不同客户共享的用来支持他们的应用的基础结构部件而变化。

为了保护数据中心的架构的实体不受到这些侵犯，可以定义若干隔离等级(LOI)。每个隔离等级被设置为隔离具体的实体并由此而保护具体的实体以及驻留于其中的数据。在一个实施例中，隔离等级作为附加条款被包括在在客户(例如，参与者105)和服务提供者(例如，数据中心100)之间达成的服务等级协议中。客户和数据中心100协商适当的隔离等级和相应的费用。SLA的协商是多步过程(multi-step process)，其中客户确定在通过选择适当的LOI来避免认知风险和由该LOI引起的相关费用之间的最佳折衷方案(trade-off)。SLA包括可测量的条款的集合，所述条款的集合表示数据中心提供给客户的担保。作为SLA条款的一部分，LOI与具体基础结构资源的隔离的相关费用的量化近似(quantitative approximation)相关联，以提供隔离担保。

图2是用于表示在数据中心中物理地和虚拟地实施隔离的实施例的框图。数据中心100向两个客户提供基础结构资源，这两个客户是客户_1 205和客户_2 210。应当理解，客户中心可以有多个客户，而客户_1 205和客户_2 210仅用作示例。

根据数据中心的架构的复杂度，可以定义隔离等级的数量。对于数据中心100，示例性地定义了以下等级。

LOI 1-命名隔离(naming isolation)：对象和过程与客户唯一的名称空间相关联，但是可以存储在同一文件系统中，使用同一服务器实例并在同一存储空间中被执行。例如，与客户_1 205相关联的过程150和文件155同与客户_2 210相关联的过程250和文件255一样都被托管在同一文件系统145上。在此等级上，风险是最高的，这是因为一个数据库或服务器的故障会影响许多客户。这种隔离的费用最低，这是因为，假定软件和硬件的容量允许的话，同一服务器实例和物理机器可以用于支持若干客户。

LOI 2-对象隔离：对象被置于机器的单独的盘分区，但是不同客户的过程可以在同一物理或逻辑存储空间中执行。数据库215和应用220作为与文件系统145和过程150和250分离的实例而运行。风险高，这是因为这里的机制是防止数据泄漏(dara compromise)的传播但不防止执行失败或机器故障。费用低，这是因为物理资源仍然是共享的并且分区机制简单，而且没有明显地增加开销。

LOI 3-虚拟网络隔离：过程和对象仅能够通过预留的虚拟网络接口被访问，所述访问是通过经由该预留的虚拟网络接口使用加密进行复用来执行的。图2示出了从建筑物_115引出的共享路由器225的复用。因此，每个客户可以使用不同的逻辑子网、接口和IP地址进行通信。风险低于LOI 2，这是因为这里较好地保护了客户的机密性、完整性和访问控制。费用高于LOI 2，这是因为需要管理附加的软件(例如，虚拟专用网络(VPN)服务器)和单独的安全场景(端口和密钥)

LOI 4-虚拟机器(VM)隔离：过程和对象在机器的单独的逻辑存储空间和分区中执行和存储。机器230被客户_1 205和客户_2 210的过程和对象共享。客户_1 205的过程和对象在VM 240中运行。客户_2 210的过程和对象在VM 235中运行。风险低于LOI 3，这是因为在没有极大的努力和特权访问的情况下，一个VM的故障或泄漏的传播是很难的。费用高于LOI 3，这是因为使用这些方案包括取得软件的许可以及安排在底层物理机器上的额外的计算需求。

LOI 5-硬件机器隔离：客户的过程和对象存储在单独的物理机器上或存储在物理上分开的、独立的计算单元上。这些单元可以被客户访问并且有可能被管理员访问。客户_1 205的过程和对象仅托管在单个机器245中。风险低于LOI 4，这是因为使用了物理隔离，因此机器故障更容易隔离。费用高于LOI 4，这是因为数据中心可能具有成千上万的客户和用户，并且支持此情况意味着成千上万的机器以及甚至用于故障转移(fail-over)情况和数据存档的额外机器。

LOI 6-物理网络隔离：客户的过程和对象存储在仅为该客户预留的物理机器上并且连接到为该客户预留的物理网关。机器250和路由器255仅预留给客户_1 205的过程和对象。风险低于LOI 5，这是因为这是近乎完美的隔离等级。费用高于LOI 5，因为客户的需要要求维护额外的机器网络。

LOI 7_位置隔离：预留给客户的资源存储在单独的物理房间或建筑物中。客户_1 205的机器260和路由器265安放在建筑物_2 120中。风险是最低的，因为没有干扰或者与其他客户无关，例如与客户_2 210无关。这是完美的隔离等级。费用最高，因为整个物理空间和应用程序(utility)专属于客户_1 205。

根据数据中心的架构，隔离等级可以与以上安排的不同。每个LOI表示响应由于资源共享而导致的SLA违规的认知风险的不同配置。安全措施的费用与计算出的风险紧密相连。

图3是示出用于利用隔离需求自动供给的隔间模型的本发明的实施例的框图。隔间是隔离概念的架构表示。隔间305可以被描述为数据中心100。隔间305维护具有包括其它隔间在内的被管理元素(managed element)的注册部分(registry)。被管理元素310是这些被管理元素的一部分。隔间305封装被管理元素310。被管理元素310包括配置315。配置315包括诸如政策(policy)320的若干政策、政策320允许访问对被管理元素310的操作。被管理元素310可以被网关325访问。只有在政策320允许此操作的时候才准予访问。隔间305可以具有诸如网关325的若干网关。政策320表示SLA 330。SLA 330规定了隔离等级335。LOI 335由隔间305来实现。SLA 330是参与者340协议通过的。参与者340有权访问被管理元素310。

隔间305是被管理元素310类的子类。隔间305实现被管理元素310的管理接口。管理接口包括例如下列方法：1)“初始化(init)”，即，利用配置315的变量的集合初始化被管理元素310的实例；2)“开始(start)”，即，部署被管理元素310，在其封装隔间305的注册部分中创建注册以及使其可以被使用；3)“停止(stop)”，即，禁止被管理元素310的可用性但是不将其从注册部分中移除；4)“终止(terminate)”，即，从注册部分中移除被管理元素310的属性和状态；5)“健康检查(check-health)”，即，检查被管理元素310的状态的预定义的参数是否符合SLA 330中定义的条款集合；6)“配置设置(set-config)”，即，将被管理元素310的配置315调整为更新的参数集合。

多个隔间提供相同的逻辑操作接口，但相对于它们的内部实现和根据SLA中规定的LOI所担保的对于SLA违规的保护而不同。被相同的隔间隔离的被管理元素受相同的SLA约束并共享相同的名称空间。实现下列安全原则：1)机密性——在不具有存储在隔间305中的密令(secret)的情况下，由隔间305中的被管理元素310维护的数据不能被读出到隔间305的外部；2)完整性——对由隔间305中的被管理元素310维护的数据执行的操作必须是可利用隔间305中已知和可信任的密钥验证的；3)访问控制——对于针对隔间305中被管理元素310的操作的访问只有在存在允许此操作的明确政策(例如，政策320)的情况下才被准予；4)故障独立(fail independence)—隔间305中的被管理元素310的故障不导致其它隔间的被管理元素故障；5)不干扰(non-interference)—隔间305中的若干被管理元素的数据交换和交互不能被外部监控，除非存在允许外部监控的明确政策(例如，政策320)。

政策的格式为：<主体(subject)，目标(target)，功能(function)，约束条件(constraint)>。“主体”是被管理元素310或发起访问请求的参与者340。“目标”是访问请求所针对的被管理元素310。“功能(function)”是对“目标”的接口或状态的操作或动作。“约束条件”是常数或逻辑表达式，其定义在什么条件下“主体”可以对“目标”执行“功能”。

当作出供给决定时，可以比较不同的隔间。例如，客户_1 205和客户_2210可能想要托管相同的应用和数据但是支付不同的隔离等级的钱。客户_1205可能要求预留数据中心100的整个建筑物_1 115，而客户_2 210可能仅支付拥有他或她的应用和数据的虚拟机器235的钱。尽管这两个请求对于资源来说是不同的，但是它们被按照相同的方式对待。也就是，无论隔间是物理的还是逻辑的，供给过程仅执行它们的被管理元素或隔间类接口中规定的操作。

图4是用于自动供给的实施例的框图，其示出了使用隔间模型实现LOI概念的技术系统架构。可以在客户和数据中心已经协商了客户认知到什么样的SLA违规风险、客户准备支付多少钱以及数据中心能够提供什么样的技术基础结构资源之后，提供表示特定隔离等级的资源的隔间。根据数据中心的架构和能够被识别用于此架构的隔离等级的数量，基础结构选项产生相同数量的SLA模板。例如，如果隔离等级为7，那么SLA模板也为7。对于每个SLA模板，存在配置隔间模板。配置隔间模板或仅仅配置模板根据协议通过的SLA定义了一套被管理元素和部署程序的说明书。

在本发明的一个实施例中，配置隔间模板表示可以基于隔离等级的给定配置的模式(schema)描述的模板。配置模式可以包括下列元素：1)[ON<event>]，其规定在能够执行配置动作之前的先决条件；2)DO<config-action>，其规定要执行的配置动作的标识符；3)ON<compartment-uuid>，其规定负责配置具体隔间、在特定的具体机器接口或IP或端口上监听的供给守护进程(provisioning daemon)的唯一标识符；4)WITH<local-config-utility>，其规定了应用程序(utility)的实际系统名称，该应用程序是在用于执行配置动作的供给守护进程的配置中预先定义的；这应当在安装供给守护进程时完成；5)USING<param-1，...，param-n>，其规定了用于配置动作的参数集合，所述参数必须是特定应用程序的有效项(validentry)；6)[ON FAIL<fail-action |[THROW<event>TO<provisioning-daemon>]>]，其规定了如果配置动作失败，则要执行的动作或要引发的事件；以及7)[THROW<event>TO<provisioning-daemon>]，其规定了在配置动作完成时要引发的事件。

返回参照可以为数据中心100定义的示例性的7个隔离等级，并且考虑上述的配置模式，下面的示例示出根据本发明的实施例的LOI 1的配置模式：

·Do<create-dir>on<application-compartment-uuid>with<mkdir-utility>given<appsvr_path，namespace>

·Do<add-users>on<spatial-compartment-uuid>with<router-config-utility>given<ip-address，router-interface，port-number[]>

·Do<add-object>on<appsvr-path>with<copy>given<object_repository\object_names>

在此示例中，目录由机器上的具有给定名称和路径的具体供给守护进程创建；用户被添加到为此机器配置的路由器，该路由器可经由给定的因特网协议地址、接口和端口来访问；并且对象被添加到在该机器上创建的目录中。

根据客户的需要，也可以存在其它可用的模板。在基础结构资源的自动供给过程中存在三个阶段：协商、基础结构资源选择和事件响应(incidentresponse)。管理员_A、管理员_B和管理员_C可以相应地参与到这些阶段中。协商阶段包括确定基础结构资源、隔离的等级以及用于实现客户需求的这些资源的费用。管理员_A可以参与加载协商策略并向客户_1 205提供具有不同LOI的SLA。客户_1 205选择隔离的具体等级并通过数据中心100在服务等级协议(SLA)330中定义此等级。

LOI作为附加条款在SLA 330中给出。具有相应LOI的SLA 330被提供给数据中心100。数据中心100的自动供给服务405确定实现此SLA所需的隔间划分(compartmentalization)。自动供给服务405查询基础结构注册和隔间管理器(IRCM)410以搜索该SLA所需的异构资源(heterogeneousresource)集合。IRCM 410检查基础结构注册部分415以证实该资源集合的存在。该资源基础结构注册部分415将关于该资源是否可用的响应发送到IRCM 410。该响应随后被发送至供给服务405。如果在基础结构注册部分415中该资源是可用的，则数据中心100向客户_1 205确认所选择的隔离等级是可行的。如果该资源不可用，则数据中心100可以通过存档旧数据或获得新资源找到确保这些资源的途径。

当所需要的基础结构资源存在时，自动供给服务405选择相应LOI的配置隔间模板。自动供给服务405发送所选择的配置模板至IRCM 410。IRCM 410向该异构资源集合提供公共管理接口。根据接收到的配置模板，IRCM 410在基础结构注册部分415中分配该资源集合。IRCM 410向监控单元420发送通知。监控单元420使用多个供给守护进程425监控基础结构资源。供给守护进程425收集关于基础结构的状态和容量的信息。供给守护进程425在后台运行和监听，等待来自供给服务405的命令。每个守护进程具有被安装用于根据隔离的等级(LOI)执行隔间配置模板的规范(specification)的平台专用逻辑(platform specific logic)。根据由数据中心100托管的应用的类型，监控单元420过滤出所收集的信息并对资源创建健康检查和符合(compliance)事件。该健康检查和符合事件的形式为：<compartment，LOI，hw-flag>，其中“flag”指示当前物理主机(host)是否处于健康状态。所收集的信息被发送至供给服务405。

当分配了该组异构基础结构资源时，创建相应隔离等级的隔间模型。隔间的生命周期以该隔间的建立、实例化和激活开始。所述建立包括在资源上使能安全角色、访问控制和其它配置参数。当隔间被完全实例化和激活时，为客户_1 205生成和定制到该隔间的网关的服务端点。

客户_1 205可以具有多个隔间并且可以在现有隔间上改变SLA。这可以包括改变原始协议中的一个或多个组件的LOI，从而可能导致执行该隔间的被管理元素的迁移(migration)和重新调整。

LOI概念和隔间模型支持4个主要目标：自配置(self-configuration)、自优化(self-optimization)、自愈(self-healing)和自保护(self-protection)。自配置指的是基于高级政策(high-level policy)来自动配置组件和系统。自优化指的是连续地、系统地改进性能和效率。自愈指的是检测和修复本地软件和硬件问题。自保护指的是自动告警和防御恶意攻击和故障的传播。

图5是在用于托管应用和数据的数据中心中分配资源的实施例的流程图。在块505，在用于托管应用和数据的数据中心接收客户请求。在块510，数据中心100和客户(例如，客户_1 205)协商服务等级协议(SLA)。服务等级协议定义诸如隔离等级条款之类的多个条款。在块515，数据中心100提供基础结构资源集合。由于每个等级对应于资源的特定配置，因此客户可以在若干隔离等级中选择LOI。LOI(隔离等级)以协商同意的费用作为交换来提供对客户的应用和数据的安全保护。

在块520，客户_1 205选择实现SLA的具体的LOI和资源。在块525，对基础结构资源进行搜索以检查可用性。在决策块530，自动供给服务确定该资源集合的子集是否可用。如果在基础结构注册部分415中该资源不可用，则过程前进至565或510。如果数据中心100能够经由存档旧数据或购买新资源来获得新资源，则过程前进至块565。如果数据中心和客户决定协商新的SLA，则过程前进至块510。

返回参照决策块530，如果在数据中心中该资源可用，则过程前进至块535。在块535，客户和数据中心完成SLA的协商。所选择的LOI连同相应的资源子集一起被确定。在配置模板中定义该资源。

在块540，该配置模板被发送至基础结构注册和隔间管理器(IRCM)410。在块545，IRCM 410在注册部分分配资源的子集。

在实施例中，当在数据中心的注册部分分配了基础结构资源的子集时，在块550，创建隔间。隔间是所选择和所实施的隔离等级的架构表示。在块555中，创建和使能安全角色、访问控制和到资源的进入点。然后，在块560，IRCM 410向监控单元420发送创建了具有相应资源的隔间的通知。

实施例的元素也可以被提供作为用于存储机器可执行指令的机器可读介质。机器可读介质可以包括但是不受限于闪存、光盘、CD-ROM、DVDROM、RAM、EPROM、EEPROM、磁卡或光卡、传播介质或适合存储电子指令的其它类型的机器可读介质。例如，本发明的实施例可以被下载作为计算机程序，其可以从远端计算机(例如，服务器)经由通信链路(例如，调制解调器或网络连接)借助具体实施在载波或其它传播介质中的数据信号被传递至请求计算机(例如，客户端)。

应当理解，在整篇说明书中，对“一个实施例”或“实施例”的提及意味着结合该实施例描述的具体特征、结构或特性包括在本发明的至少一个实施例中。因此，需要强调和理解的是，在本说明书的各个部分中对一个实施例”或“实施例”的两次或更多次的提及不一定都指同一实施例。此外，可以在本发明的一个或多个实施例中适当地组合具体的特征、结构和特性。

在前面的说明书中，参照本发明的特定实施例描述了本发明。然而，显然，在不脱离所附的权利要求书中阐述的本发明的较宽的精神和范围的情况下，可以对本发明进行各种修改和改变。因此，说明书和附图将被视为说明性的而非限制性的。