對共享存儲資源的安全訪問的制作方法
【專利摘要】一種方法可包括在第一網(wǎng)絡(luò)上將第一存儲信息存儲在計(jì)算機(jī)存儲系統(tǒng)的存儲裝置中����。計(jì)算機(jī)存儲系統(tǒng)可將第一存儲信息轉(zhuǎn)換成第一虛擬存儲實(shí)例��,在沒有與第一網(wǎng)絡(luò)和存儲裝置通信的第二網(wǎng)絡(luò)上提供對第一虛擬存儲實(shí)例的訪問�����,并通過第二網(wǎng)絡(luò)啟用第一虛擬存儲實(shí)例的修改�����,以創(chuàng)建第一修改后虛擬存儲實(shí)例��。計(jì)算機(jī)存儲系統(tǒng)可基于第一修改后存儲實(shí)例����,將第一修改后存儲實(shí)例轉(zhuǎn)換成第一修改后存儲信息���,并在存儲裝置上存儲第一修改后存儲信息����。
【專利說明】對共享存儲資源的安全訪問
【技術(shù)領(lǐng)域】
[0001] 本公開的實(shí)施例通常涉及數(shù)據(jù)存儲的領(lǐng)域,更具體地���,涉及在網(wǎng)絡(luò)環(huán)境中安全地 訪問共享存儲資源���。
【發(fā)明內(nèi)容】
[0002] 本公開的一個或多個實(shí)施例可包括涉及安全訪問共享存儲資源的方法、系統(tǒng)和計(jì) 算機(jī)程序產(chǎn)品��。根據(jù)本公開的一個實(shí)施例�,一種方法可包括在第一網(wǎng)絡(luò)上將第一存儲信息 存儲在計(jì)算機(jī)存儲系統(tǒng)的存儲裝置中。計(jì)算機(jī)存儲系統(tǒng)可將第一存儲信息轉(zhuǎn)換成第一虛擬 存儲實(shí)例�����,在沒有與第一網(wǎng)絡(luò)和存儲裝置通信的第二網(wǎng)絡(luò)上提供對第一虛擬存儲實(shí)例的訪 問����,并通過第二網(wǎng)絡(luò)啟用(enable)第一虛擬存儲實(shí)例的修改以創(chuàng)建第一修改后虛擬存儲 實(shí)例。計(jì)算機(jī)存儲系統(tǒng)還可基于第一修改后存儲實(shí)例��,將第一修改后存儲實(shí)例轉(zhuǎn)換成第一 修改后存儲信息��,并在存儲裝置上存儲第一修改后存儲信息���。
[0003] 根據(jù)本公開的一個實(shí)施例���,一種用于訪問所存儲的信息的系統(tǒng)可包括用于存儲信 息的第一存儲裝置�、用于存儲信息的實(shí)例的第二存儲裝置�����、用于在第一和第二存儲裝置之 間提供通信的第一網(wǎng)絡(luò)�����、以及用于提供對信息的實(shí)例的訪問但不能訪問第一網(wǎng)絡(luò)和第一存 儲裝置的第二網(wǎng)絡(luò)�����。
【專利附圖】
【附圖說明】
[0004] 為了使本發(fā)明容易理解����,將參照在附圖中表示的特定實(shí)施例提供更具體的描述�。 應(yīng)當(dāng)理解,這些附圖僅描述本發(fā)明的典型實(shí)施例�����,而并不因此被認(rèn)為是限制其范圍,本方法 和系統(tǒng)將通過使用附圖具體地描述和說明���,其中:
[0005] 圖1描述根據(jù)本發(fā)明的實(shí)施例的云計(jì)算節(jié)點(diǎn)���;
[0006] 圖2描述根據(jù)本發(fā)明的實(shí)施例的云計(jì)算環(huán)境;
[0007] 圖3描述根據(jù)本發(fā)明的實(shí)施例的抽象模型層��;
[0008] 圖4描述根據(jù)本發(fā)明的用于訪問所存儲的信息的系統(tǒng)的代表性實(shí)施例�����;
[0009] 圖5描述根據(jù)本發(fā)明的用于訪問所存儲的信息的系統(tǒng)的代表性實(shí)施例�����;
[0010] 圖6描述圖5的實(shí)施例的網(wǎng)絡(luò)安全體系結(jié)構(gòu)����;
[0011] 圖7示出用于提供對共享存儲資源的安全訪問的方法的例子;
[0012] 圖8示出用于提供對共享存儲資源的安全訪問的方法的例子��。
【具體實(shí)施方式】
[0013] 如本領(lǐng)域技術(shù)人員知道的��,本發(fā)明的各方面可以體現(xiàn)為系統(tǒng)�、方法或計(jì)算機(jī)程序 產(chǎn)品�����。因此�,本發(fā)明的各方面可采用完全硬件實(shí)施例���、完全軟件實(shí)施例(包含固件����、駐留軟 件�����、微代碼等)或軟件和硬件方面的結(jié)合的形式��,它們通?���?啥急环Q為"電路"���、"模塊"或 "系統(tǒng)"�。另外��,本發(fā)明的各方面可采用計(jì)算機(jī)程序產(chǎn)品的形式,其具體化在其上具有計(jì)算機(jī) 可讀程序代碼的一個或多個計(jì)算機(jī)可讀介質(zhì)中�����。
[0014] 可以利用一個或多個計(jì)算機(jī)可讀介質(zhì)的任何組合�。計(jì)算機(jī)可讀介質(zhì)可以是計(jì)算機(jī) 可讀信號介質(zhì)或計(jì)算機(jī)可讀存儲介質(zhì)。計(jì)算機(jī)可讀存儲介質(zhì)例如可以是但不限于電���、磁�����、 光��、電磁����、紅外或半導(dǎo)體系統(tǒng)���、裝置或設(shè)備���、或者前面所述的任何適當(dāng)組合。計(jì)算機(jī)可讀存儲 介質(zhì)的更具體的例子(非窮舉列表)可包括如下介質(zhì):具有一個或多個導(dǎo)線的電連接�、便攜 式計(jì)算機(jī)磁盤����、硬盤����、隨機(jī)存儲存儲器(RAM)、只讀存儲器(ROM)�、可擦除可編程只讀存儲器 (EPROM或閃存)、光纖���、便攜式緊湊型只讀存儲器(CD-ROM)�、光存儲裝置、磁存儲裝置、或前 面所述的任何適當(dāng)組合�����。在本文的上下文中���,計(jì)算機(jī)可讀存儲介質(zhì)可以是任何有形介質(zhì),它 可包含或存儲由指令執(zhí)行系統(tǒng)����、裝置或設(shè)備使用或與其一起使用的程序�����。
[0015] 計(jì)算機(jī)可讀信號介質(zhì)可包括例如以基帶或作為載波的一部分的傳播數(shù)據(jù)信號,在 其中包含計(jì)算機(jī)可讀程序代碼�。這種傳播信號可采用多種形式,包括但不限于電磁�、光或其 任意組合。計(jì)算機(jī)可讀信號介質(zhì)可以是任何不是計(jì)算機(jī)可讀存儲介質(zhì)但可通信�����、傳播或傳 輸由指令執(zhí)行系統(tǒng)�����、裝置或設(shè)備使用或與其一起使用的程序的計(jì)算機(jī)可讀介質(zhì)����。
[0016] 具體化在計(jì)算機(jī)可讀介質(zhì)上的程序代碼可以使用任何適當(dāng)?shù)慕橘|(zhì)傳輸,包括但不 限于無線����、有線、光纖電纜���、RF等或者前述的任何適當(dāng)組合���。
[0017] 用于實(shí)現(xiàn)本發(fā)明的各方面的操作的計(jì)算機(jī)程序代碼可以用一個或多個編程語言 的任意組合編寫���,包括諸如Java、Smalltalk�、C++或類似語目的面向?qū)ο蟮木幊陶Z目、諸如 "C"編程語言或類似編程語言的傳統(tǒng)過程編程語言��。程序代碼可以作為獨(dú)立軟件包完全在 用戶的計(jì)算機(jī)上執(zhí)行�����、或者部分地在用戶計(jì)算機(jī)上執(zhí)行�、或者部分在用戶計(jì)算機(jī)上部分在 遠(yuǎn)程計(jì)算機(jī)上執(zhí)行或者完全在遠(yuǎn)程計(jì)算機(jī)或服務(wù)器上執(zhí)行。在后者的情形下���,遠(yuǎn)程計(jì)算機(jī) 可以通過包括局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)的任何類型的網(wǎng)絡(luò)連接到用戶的計(jì)算機(jī)���,或者 可以進(jìn)行去往外部計(jì)算機(jī)的連接(例如,使用因特網(wǎng)服務(wù)供應(yīng)商通過因特網(wǎng))�。
[0018] 下面參照根據(jù)本發(fā)明的實(shí)施例的方法、裝置(系統(tǒng))和計(jì)算機(jī)程序產(chǎn)品的流程圖 表示和/或框圖描述本發(fā)明的各方面���。應(yīng)當(dāng)知道�,流程圖表示和/或框圖的每個方框以及流 程圖表示和/或框圖中方框的組合可由計(jì)算機(jī)程序指令實(shí)現(xiàn)。這些計(jì)算機(jī)程序指令可以提 供給通用計(jì)算機(jī)�、專用計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器以產(chǎn)生一種機(jī)器����,以使 得通過計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行的指令創(chuàng)建用于實(shí)現(xiàn)在流程圖和/ 或框圖的方框中指定的功能/動作。
[0019] 這些計(jì)算機(jī)程序指令還可以存儲在計(jì)算機(jī)可讀介質(zhì)中�����,它可以引導(dǎo)計(jì)算機(jī)�、其它 可編程數(shù)據(jù)處理裝置、或其它設(shè)備以特定方式工作�,以使得在計(jì)算機(jī)可讀介質(zhì)上存儲的指 令產(chǎn)生包括用于實(shí)現(xiàn)在流程圖和/或框圖的方框中指定的功能/動作的指令的制造品。
[0020] 計(jì)算機(jī)程序指令還可以被加載到計(jì)算機(jī)����、其它可編程數(shù)據(jù)處理裝置或其它設(shè)備 上,以使得一系列操作步驟在計(jì)算機(jī)���、其它可編程裝置或其它設(shè)備上執(zhí)行以產(chǎn)生計(jì)算機(jī)實(shí) 現(xiàn)的過程����,以使得在計(jì)算機(jī)或其它可編程裝置上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖和/或 框圖的方框中指定的功能/動作的過程。
[0021] 首先應(yīng)當(dāng)理解��,盡管本公開包括關(guān)于云計(jì)算的詳細(xì)描述�����,但其中記載的技術(shù)方案 的實(shí)現(xiàn)卻不限于云計(jì)算環(huán)境���,而是可以結(jié)合現(xiàn)在已知或以后開發(fā)的任何其它類型的計(jì)算環(huán) 境而實(shí)現(xiàn)��,包括例如在網(wǎng)絡(luò)中的節(jié)點(diǎn)群的分布式環(huán)境�����,其中一個節(jié)點(diǎn)代表一個獨(dú)立的操作 系統(tǒng)。
[0022] 云計(jì)算是一種服務(wù)交付模式,用于對共享的可配置計(jì)算資源池進(jìn)行方便、按需的 網(wǎng)絡(luò)訪問�?����?膳渲糜?jì)算資源是能夠以最小的管理成本或與服務(wù)提供者進(jìn)行最少的交互就能 快速部署和釋放的資源��,例如可以是網(wǎng)絡(luò)����、網(wǎng)絡(luò)帶寬、服務(wù)器�、處理�、內(nèi)存、存儲��、應(yīng)用�����、虛擬 機(jī)和服務(wù)���。這種云模式可以包括至少五個特征����、至少三個服務(wù)模型和至少四個部署模型�����。
[0023] 特征包括:
[0024] 按需自助式服務(wù):云的消費(fèi)者在無需與服務(wù)提供者進(jìn)行人為交互的情況下能夠單 方面自動地按需部署諸如服務(wù)器時(shí)間和網(wǎng)絡(luò)存儲等的計(jì)算能力��。
[0025] 廣泛的網(wǎng)絡(luò)接入:計(jì)算能力可以通過標(biāo)準(zhǔn)機(jī)制在網(wǎng)絡(luò)上獲取����,這種標(biāo)準(zhǔn)機(jī)制促進(jìn) 了通過不同種類的瘦客戶機(jī)平臺或厚客戶機(jī)平臺(例如移動電話���、膝上型電腦、個人數(shù)字 助理PDA)對云的使用���。
[0026] 資源池:提供者的計(jì)算資源被歸入資源池并通過多租戶(multi-tenant)模式服 務(wù)于多重消費(fèi)者����,其中按需將不同的實(shí)體資源和虛擬資源動態(tài)地分配和再分配�����。一般情況 下��,消費(fèi)者不能控制或甚至并不知曉所提供的資源的確切位置�,但可以在較高抽象程度上 指定位置(例如國家���、州或數(shù)據(jù)中心)���,因此具有位置無關(guān)性。
[0027] 迅速彈性:能夠迅速�����、有彈性地(有時(shí)是自動地)部署計(jì)算能力,以實(shí)現(xiàn)快速擴(kuò)展���, 并且能迅速釋放來快速縮小�����。在消費(fèi)者看來��,用于部署的可用計(jì)算能力往往顯得是無限的�, 并能在任意時(shí)候都能獲取任意數(shù)量的計(jì)算能力���。
[0028] 可測量的服務(wù):云系統(tǒng)通過利用適于服務(wù)類型(例如存儲�、處理���、帶寬和活躍用戶 帳號)的某種抽象程度的計(jì)量能力����,自動地控制和優(yōu)化資源效用��。可以監(jiān)測�、控制和報(bào)告資 源使用情況,為服務(wù)提供者和消費(fèi)者雙方提供透明度��。
[0029] 服務(wù)模型如下:
[0030] 軟件即服務(wù)(SaaS):向消費(fèi)者提供的能力是使用提供者在云基礎(chǔ)架構(gòu)上運(yùn)行的 應(yīng)用�。可以通過諸如網(wǎng)絡(luò)瀏覽器的瘦客戶機(jī)接口(例如基于網(wǎng)絡(luò)的電子郵件)從各種客戶 機(jī)設(shè)備訪問應(yīng)用���。除了有限的特定于用戶的應(yīng)用配置設(shè)置外�,消費(fèi)者既不管理也不控制包 括網(wǎng)絡(luò)��、服務(wù)器����、操作系統(tǒng)、存儲����、乃至單個應(yīng)用能力等的底層云基礎(chǔ)架構(gòu)��。
[0031] 平臺即服務(wù)(PaaS):向消費(fèi)者提供的能力是在云基礎(chǔ)架構(gòu)上部署消費(fèi)者創(chuàng)建或 獲得的應(yīng)用���,這些應(yīng)用利用提供者支持的程序設(shè)計(jì)語言和工具創(chuàng)建����。消費(fèi)者既不管理也不 控制包括網(wǎng)絡(luò)、服務(wù)器�����、操作系統(tǒng)或存儲的底層云基礎(chǔ)架構(gòu)�����,但對其部署的應(yīng)用具有控制 權(quán)���,對應(yīng)用托管環(huán)境配置可能也具有控制權(quán)�。
[0032] 基礎(chǔ)架構(gòu)即服務(wù)(IaaS):向消費(fèi)者提供的能力是消費(fèi)者能夠在其中部署并運(yùn)行 包括操作系統(tǒng)和應(yīng)用的任意軟件的處理��、存儲���、網(wǎng)絡(luò)和其他基礎(chǔ)計(jì)算資源����。消費(fèi)者既不管理 也不控制底層的云基礎(chǔ)架構(gòu)����,但是對操作系統(tǒng)、存儲和其部署的應(yīng)用具有控制權(quán),對選擇的 網(wǎng)絡(luò)組件(例如主機(jī)防火墻)可能具有有限的控制權(quán)�����。
[0033] 部署模型如下:
[0034] 私有云:云基礎(chǔ)架構(gòu)單獨(dú)為某個組織運(yùn)行�����。云基礎(chǔ)架構(gòu)可以由該組織或第三方管 理并且可以存在于該組織內(nèi)部或外部�。
[0035] 共同體云:云基礎(chǔ)架構(gòu)被若干組織共享并支持有共同利害關(guān)系(例如任務(wù)使命、 安全要求��、政策和合規(guī)考慮)的特定共同體��。共同體云可以由共同體內(nèi)的多個組織或第三 方管理并且可以存在于該共同體內(nèi)部或外部����。
[0036] 公共云:云基礎(chǔ)架構(gòu)向公眾或大型產(chǎn)業(yè)群提供并由出售云服務(wù)的組織擁有。
[0037] 混合云:云基礎(chǔ)架構(gòu)由兩個或更多部署模型的云(私有云��、共同體云或公共云)組 成���,這些云依然是獨(dú)特的實(shí)體,但是通過使數(shù)據(jù)和應(yīng)用能夠移植的標(biāo)準(zhǔn)化技術(shù)或私有技術(shù) (例如用于云之間的負(fù)載平衡的云突發(fā)流量分擔(dān)技術(shù))綁定在一起��。
[0038] 云計(jì)算環(huán)境是面向服務(wù)的,特點(diǎn)集中在無狀態(tài)性�、低耦合性、模塊性和語意的互操 作性��。云計(jì)算的核心是包含互連節(jié)點(diǎn)網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)����。
[0039] 現(xiàn)在參考圖1,其中顯示了云計(jì)算節(jié)點(diǎn)的一個例子��。圖1顯示的云計(jì)算節(jié)點(diǎn)10僅僅 是適合的云計(jì)算節(jié)點(diǎn)的一個示例��,不應(yīng)對本發(fā)明實(shí)施例的功能和使用范圍帶來任何限制�����。 總之���,云計(jì)算節(jié)點(diǎn)10能夠被用來實(shí)現(xiàn)和/或執(zhí)行以上所述的任何功能����。
[0040] 云計(jì)算節(jié)點(diǎn)10具有計(jì)算機(jī)系統(tǒng)/服務(wù)器12,其可與眾多其它通用或?qū)S糜?jì)算系 統(tǒng)環(huán)境或配置一起操作�。眾所周知,適于與計(jì)算機(jī)系統(tǒng)/服務(wù)器12 -起操作的計(jì)算系統(tǒng)���、 環(huán)境和/或配置的例子包括但不限于:個人計(jì)算機(jī)系統(tǒng)�����、服務(wù)器計(jì)算機(jī)系統(tǒng)�、瘦客戶機(jī)、厚 客戶機(jī)��、手持或膝上設(shè)備����、基于微處理器的系統(tǒng)、機(jī)頂盒�、可編程消費(fèi)電子產(chǎn)品、網(wǎng)絡(luò)個人電 腦�����、小型計(jì)算機(jī)系統(tǒng)�����、大型計(jì)算機(jī)系統(tǒng)和包括上述任意系統(tǒng)的分布式云計(jì)算技術(shù)環(huán)境�,等 等。
[0041] 計(jì)算機(jī)系統(tǒng)/服務(wù)器12可以在由計(jì)算機(jī)系統(tǒng)執(zhí)行的計(jì)算機(jī)系統(tǒng)可執(zhí)行指令(諸 如程序模塊)的一般語境下描述��。通常����,程序模塊可以包括執(zhí)行特定的任務(wù)或者實(shí)現(xiàn)特定 的抽象數(shù)據(jù)類型的例程、程序���、目標(biāo)程序�����、組件���、邏輯、數(shù)據(jù)結(jié)構(gòu)等�����。計(jì)算機(jī)系統(tǒng)/服務(wù)器12 可以在通過通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行任務(wù)的分布式云計(jì)算環(huán)境中實(shí)施����。在分布式 云計(jì)算環(huán)境中,程序模塊可以位于包括存儲設(shè)備的本地或遠(yuǎn)程計(jì)算系統(tǒng)存儲介質(zhì)上��。
[0042] 如圖1所示�����,云計(jì)算節(jié)點(diǎn)10中的計(jì)算機(jī)系統(tǒng)/服務(wù)器12以通用計(jì)算設(shè)備的形式 表現(xiàn)。計(jì)算機(jī)系統(tǒng)/服務(wù)器12的組件可以包括但不限于:一個或者多個處理器或者處理單 元16,系統(tǒng)存儲器28,連接不同系統(tǒng)組件(包括系統(tǒng)存儲器28和處理單元16)的總線18���。
[0043] 總線18表示幾類總線結(jié)構(gòu)中的一種或多種����,包括存儲器總線或者存儲器控制器����, 外圍總線,圖形加速端口��,處理器或者使用多種總線結(jié)構(gòu)中的任意總線結(jié)構(gòu)的局域總線���。舉 例來說�,這些體系結(jié)構(gòu)包括但不限于工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(ISA)總線���,微通道體系結(jié)構(gòu)(MAC) 總線����,增強(qiáng)型ISA總線�、視頻電子標(biāo)準(zhǔn)協(xié)會(VESA)局域總線以及外圍組件互連(PCI)總線�����。
[0044] 計(jì)算機(jī)系統(tǒng)/服務(wù)器12典型地包括多種計(jì)算機(jī)系統(tǒng)可讀介質(zhì)。這些介質(zhì)可以是 能夠被計(jì)算機(jī)系統(tǒng)/服務(wù)器12訪問的任意可獲得的介質(zhì)���,包括易失性和非易失性介質(zhì)����,可 移動的和不可移動的介質(zhì)����。
[0045] 系統(tǒng)存儲器28可以包括易失性存儲器形式的計(jì)算機(jī)系統(tǒng)可讀介質(zhì),例如隨機(jī)存 取存儲器(RAM) 30和/或高速緩存存儲器32�。計(jì)算機(jī)系統(tǒng)/服務(wù)器12可以進(jìn)一步包括其 它可移動/不可移動的、易失性/非易失性計(jì)算機(jī)系統(tǒng)存儲介質(zhì)�。僅作為舉例,存儲系統(tǒng)34 可以用于讀寫不可移動的�、非易失磁性及/或固態(tài)介質(zhì)(圖1未顯示,通常稱為"硬盤驅(qū)動 器")���。盡管圖1中未示出�����,可以提供用于對可移動非易失性磁盤(例如"軟盤")讀寫的磁 盤驅(qū)動器����,以及對可移動非易失性光盤(例如⑶-ROM,DVD-ROM或者其它光介質(zhì))讀寫的光 盤驅(qū)動器�����。盡管沒有示出���,可以提供可移除的或者不可移除的固態(tài)存儲系統(tǒng)�����,這些固態(tài)存儲 系統(tǒng)可以采用例如閃存或其它半導(dǎo)體存儲�����。在這些情況下��,每個驅(qū)動器可以通過一個或者 多個數(shù)據(jù)介質(zhì)接口與總線18相連���。存儲器28可以包括至少一個程序產(chǎn)品,該程序產(chǎn)品具 有一組(例如至少一個)程序模塊,這些程序模塊被配置以執(zhí)行本發(fā)明各實(shí)施例的功能�。
[0046] 具有一組(至少一個)程序模塊42的程序/實(shí)用工具40,可以存儲在存儲器28 中,這樣的程序模塊42包括但不限于操作系統(tǒng)���、一個或者多個應(yīng)用程序�����、其它程序模塊以 及程序數(shù)據(jù)�����,這些示例中的每一個或某種組合中可能包括網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)。程序模塊42通 常執(zhí)行本發(fā)明所描述的實(shí)施例中的功能和/或方法��。程序模塊42可以存儲在操作系統(tǒng)的 內(nèi)核中�。
[0047] 計(jì)算機(jī)系統(tǒng)/服務(wù)器12也可以與一個或多個外部設(shè)備14(例如鍵盤、指向設(shè)備�����、 顯示器24等)通信�����,還可與一個或者多個使得用戶能與該計(jì)算機(jī)系統(tǒng)/服務(wù)器12交互的 設(shè)備通信,和/或與使得該計(jì)算機(jī)系統(tǒng)/服務(wù)器12能與一個或多個其它計(jì)算設(shè)備進(jìn)行通信 的任何設(shè)備(例如網(wǎng)卡�����,調(diào)制解調(diào)器等等)通信�。這種通信可以通過輸入/輸出(I/O)接 口 22進(jìn)行。并且�,計(jì)算機(jī)系統(tǒng)/服務(wù)器12還可以通過網(wǎng)絡(luò)適配器20與一個或者多個網(wǎng)絡(luò) (例如局域網(wǎng)(LAN),廣域網(wǎng)(WAN)和/或公共網(wǎng)絡(luò)�����,例如因特網(wǎng))通信�����。如圖所示��,網(wǎng)絡(luò)適 配器20通過總線18與計(jì)算機(jī)系統(tǒng)/服務(wù)器12的其它模塊通信����。應(yīng)當(dāng)明白,盡管圖中未示 出���,其它硬件和/或軟件模塊可以與計(jì)算機(jī)系統(tǒng)/服務(wù)器12 -起操作�,包括但不限于:微代 碼、設(shè)備驅(qū)動器��、冗余處理單元��、外部磁盤驅(qū)動陣列���、RAID系統(tǒng)�、磁帶驅(qū)動器以及數(shù)據(jù)備份存 儲系統(tǒng)等�。
[0048] 現(xiàn)在參考圖2,其中顯示了示例性的云計(jì)算環(huán)境50�。如圖所示,云計(jì)算環(huán)境50包括 云計(jì)算消費(fèi)者使用的本地計(jì)算設(shè)備可以與其相通信的一個或者多個云計(jì)算節(jié)點(diǎn)10,本地計(jì) 算設(shè)備例如可以是個人數(shù)字助理(PDA)或移動電話54A�,臺式電腦54B���、筆記本電腦54C和 /或汽車計(jì)算機(jī)系統(tǒng)54N���。云計(jì)算節(jié)點(diǎn)10之間可以相互通信?�?梢栽诎ǖ幌抻谌缟纤?述的私有云�、共同體云、公共云或混合云或者它們的組合的一個或者多個網(wǎng)絡(luò)中將云計(jì)算 節(jié)點(diǎn)10進(jìn)行物理或虛擬分組(圖中未顯示)���。這樣��,云的消費(fèi)者無需在本地計(jì)算設(shè)備上維 護(hù)資源就能請求云計(jì)算環(huán)境50提供的基礎(chǔ)架構(gòu)即服務(wù)(IaaS)���、平臺即服務(wù)(PaaS)和/或 軟件即服務(wù)(SaaS)��。應(yīng)當(dāng)理解���,圖2顯示的各類計(jì)算設(shè)備54A-N僅僅是示意性的,云計(jì)算節(jié) 點(diǎn)10以及云計(jì)算環(huán)境50可以與任意類型網(wǎng)絡(luò)上和/或網(wǎng)絡(luò)可尋址連接的任意類型的計(jì)算 設(shè)備(例如使用網(wǎng)絡(luò)瀏覽器)通信��。在圖2及其它地方�,"A-N"可以表示不確定的范圍,其 中"A"表示第一項(xiàng)��,并且"N"表示第二���、第三或者后續(xù)的項(xiàng)���。
[0049] 現(xiàn)在參考圖3,其中顯示了云計(jì)算環(huán)境50(圖2)提供的一組功能抽象層。首先應(yīng) 當(dāng)理解��,圖3所示的組件���、層以及功能都僅僅是示意性的�,本發(fā)明的實(shí)施例不限于此。如圖 3所示��,提供下列層和對應(yīng)功能:
[0050] 硬件和軟件層60包括硬件和軟件組件��。硬件組件的例子包括:主機(jī)���,例如 IBM? zSeries?系統(tǒng)�;基于Rise(精簡指令集計(jì)算機(jī))體系結(jié)構(gòu)的服務(wù)器���,例如 iBMpSeries? 系統(tǒng)����;IBM xSeries? 系統(tǒng)�;iBMBladeCenter? 系統(tǒng)��;存儲設(shè)備���;網(wǎng)絡(luò)和 網(wǎng)絡(luò)組件����。軟件組件的例子包括:網(wǎng)絡(luò)應(yīng)用服務(wù)器軟件,例如IBM WebSphere?應(yīng)用服 務(wù)器軟件�����;數(shù)據(jù)庫軟件����,例如IBM DB2?數(shù)據(jù)庫軟件。(IBM, zSeries, pSeries, xSeries, B IadeCenter, WebSphere以及DB2是國際商業(yè)機(jī)器公司在全世界各地的注冊商標(biāo))�����。
[0051] 虛擬層62提供一個抽象層�,該層可以提供下列虛擬實(shí)體的例子:虛擬服務(wù)器、虛 擬存儲���、虛擬網(wǎng)絡(luò)(包括虛擬私有網(wǎng)絡(luò))�����、虛擬應(yīng)用和操作系統(tǒng)���,以及虛擬客戶端。
[0052] 在一個示例中���,管理層64可以提供下述功能:資源供應(yīng)功能:提供用于在云計(jì)算 環(huán)境中執(zhí)行任務(wù)的計(jì)算資源和其它資源的動態(tài)獲?��?;計(jì)量和定價(jià)功能:在云計(jì)算環(huán)境內(nèi)對 資源的使用進(jìn)行成本跟蹤����,并為此提供帳單和發(fā)票。在一個例子中�,該資源可以包括應(yīng)用軟 件許可。安全功能:為云的消費(fèi)者和任務(wù)提供身份認(rèn)證�����,如登陸訪問�����,為數(shù)據(jù)和其它資源提 供保護(hù)����。用戶門戶功能:為消費(fèi)者和系統(tǒng)管理員提供對云計(jì)算環(huán)境的訪問。服務(wù)水平管理 功能:提供云計(jì)算資源的分配和管理�����,以滿足必需的服務(wù)水平���。服務(wù)水平協(xié)議(SLA)計(jì)劃和 履行功能:為根據(jù)SLA預(yù)測的對云計(jì)算資源未來需求提供預(yù)先安排和供應(yīng)����。
[0053] 工作負(fù)載層66提供云計(jì)算環(huán)境可能實(shí)現(xiàn)的功能的示例�。在該層中,可提供的工作 負(fù)載或功能的示例包括:地圖繪制與導(dǎo)航�����;軟件開發(fā)及生命周期管理���;虛擬教室的教學(xué)提 供�����;數(shù)據(jù)分析處理��;交易處理����;以及移動桌面����。
[0054] 如上所述�����,在此公開了一種用于安全訪問共享存儲(諸如由云計(jì)算環(huán)境50提供的 存儲)的系統(tǒng)�、方法和計(jì)算機(jī)程序產(chǎn)品�����。
[0055] 在云環(huán)境50中��,多個用戶可共享資源��。例如�����,提供基于云的服務(wù)的服務(wù)供應(yīng)商可 向多個用戶--即��,它的客戶--提供通過公共底層基礎(chǔ)設(shè)施實(shí)現(xiàn)的硬件和/或軟件資源����。 服務(wù)供應(yīng)商的客戶可以是無關(guān)的人、企業(yè)、政府�����、組織和其它實(shí)體�����。由服務(wù)供應(yīng)商處理和/ 或存儲的客戶數(shù)據(jù)可以是私有或?qū)S玫?��。保護(hù)這些數(shù)據(jù)的安全和私密性是提供云服務(wù)的重 要方面。因此����,云服務(wù)供應(yīng)商尋求將它的客戶彼此相隔離,盡管它們使用相同的底層處理�����、 存儲器和存儲資源����。該隔離應(yīng)當(dāng)足夠強(qiáng)大以保護(hù)不受到無意和有意的入侵。
[0056] 參照圖4,用于訪問所存儲的信息70或系統(tǒng)70的計(jì)算機(jī)存儲系統(tǒng)可包括一個或多 個存儲系統(tǒng)72����、一個或多個虛擬存儲實(shí)例80����、一個或多個第一網(wǎng)絡(luò)90和一個或多個第二網(wǎng) 絡(luò)92���。系統(tǒng)70可以進(jìn)一步包括一個或多個虛擬機(jī)實(shí)例100���。系統(tǒng)70可以是云計(jì)算環(huán)境50 的一個例子,并可以是硬件和軟件層60和/或虛擬層62的一個例子��。系統(tǒng)70可以包括其 它可選的或附加的單元���,并可以忽略一個或多個單元�����。
[0057] 存儲系統(tǒng)72可包括一個或多個存儲裝置74,其是提供實(shí)際的硬件級數(shù)據(jù)存儲的 子系統(tǒng)���。存儲系統(tǒng)72還可以包括其它硬件和/或軟件單元,例如控制��、管理和/或支持裝 置74的子系統(tǒng)��。例如,存儲系統(tǒng)72可包括用于在裝置74間平衡計(jì)算和/或網(wǎng)絡(luò)負(fù)載的子 系統(tǒng)�����、管理功率消耗或環(huán)境因素的子系統(tǒng)等等����。系統(tǒng)70可例如通過第一網(wǎng)絡(luò)90與系統(tǒng)70 的某些其它單元進(jìn)行通信���。系統(tǒng)72可以是存儲設(shè)備(被示為包括在圖3的硬件和軟件層 60中)和/或虛擬存儲(被示為包括在圖3的虛擬層62中)的例子���。系統(tǒng)72可以提供用 于提供遠(yuǎn)程存儲服務(wù)(例如基于云的存儲服務(wù))的裝置。系統(tǒng)72的全部或一部分可駐留 在被選擇以提供物理的(鎖和鑰匙)安全的設(shè)施中�,例如數(shù)據(jù)中心。
[0058] 存儲裝置74可以是任何提供數(shù)據(jù)的永久存儲的裝置���。裝置74可包括一個或多個 數(shù)據(jù)存儲驅(qū)動器��,其是提供實(shí)際的比特級���、塊級和文件級存儲的較低層組件。數(shù)據(jù)存儲驅(qū)動 器的例子包括但不限于硬盤驅(qū)動器����、固態(tài)驅(qū)動器�、磁帶存儲裝置和/或光學(xué)存儲裝置����。例 如,存儲裝置74可以是或者包括一個或多個文件服務(wù)器�、直接附加存儲(DAS)裝置、存儲區(qū) 域網(wǎng)(SAN)裝置�、和/或附加存儲(NAS)裝置,其每一個都包含一個或多個數(shù)據(jù)存儲驅(qū)動 器���。存儲裝置74的例子包括IBM?的擴(kuò)展網(wǎng)絡(luò)附加存儲(SONAS)裝置��、IBM XIV存儲系統(tǒng) 裝置���、和IBMStorwize? V7000裝置。存儲裝置74可包括或?qū)崿F(xiàn)諸如邏輯盤�����、卷����、分區(qū)��、文 件系統(tǒng)�、目錄的邏輯或組織特征�、數(shù)據(jù)文件和/或數(shù)據(jù)塊。存儲裝置74可以是或者可包括 一個或多個數(shù)據(jù)存儲驅(qū)動器和/或一個或多個驅(qū)動器陣列����。驅(qū)動器陣列的例子是獨(dú)立冗余 磁盤陣列(RAID),其將多個邏輯或物理驅(qū)動器組合成單個邏輯驅(qū)動器以例如降低訪問時(shí)間 和/或增加可靠性����。
[0059] 存儲系統(tǒng)72可以利用物理存儲裝置實(shí)現(xiàn)邏輯存儲裝置�����。具有四個分區(qū)的物理存 儲裝置例如可以用作四個邏輯存儲裝置��,每一個對應(yīng)一個分區(qū)�。在本公開中,短語"存儲裝 置"包括物理和邏輯存儲裝置兩者���。因此�,存儲裝置74可以是物理裝置或邏輯裝置���,例如分 區(qū)或邏輯驅(qū)動器�����。
[0060] 存儲信息76可以是存儲在一個或多個存儲裝置74上的任何數(shù)據(jù)�����。例如����,存儲信 息76可包括在計(jì)算機(jī)存儲系統(tǒng)72上存儲的單個文件或塊;或者文件或塊的集合���;或者文 件系統(tǒng)的一部分���,例如一個或多個目錄;或者邏輯磁盤或磁盤陣列��;或者分區(qū)�、片或卷,例 如與系統(tǒng)70的特定所有者(租戶)�����、工作組(子租戶)和/或用戶(來賓)相關(guān)聯(lián)的分區(qū)。 因此��,存儲信息76可以不僅包括這樣的數(shù)據(jù)�,還可以包括它的結(jié)構(gòu)、存儲單元和元數(shù)據(jù)�。例 如,存儲信息76可包括與特定租戶相關(guān)聯(lián)的一個或多個文件系統(tǒng)�����、文件系統(tǒng)中的數(shù)據(jù)文 件���、以及諸如文件和目錄結(jié)構(gòu)��、所有權(quán)和訪問控制(權(quán)限)的有關(guān)分層結(jié)構(gòu)。簡而言之�,存 儲信息76可以是在存儲系統(tǒng)72中存儲的并通過某些準(zhǔn)則選擇的任何數(shù)量的組織數(shù)據(jù)的鏡 像,例如����,所有屬于系統(tǒng)70的特定租戶、子租戶或來賓的數(shù)據(jù)���。存儲信息76的實(shí)例可以跨 越多個物理存儲裝置74��。例如�����,存儲系統(tǒng)70可以在超過一個的存儲裝置74上向特定租戶�����、 子租戶或來賓分配諸如邏輯磁盤的存儲空間���。該分配可以是動態(tài)的�����,并可隨時(shí)間變化��。因 此�,存儲信息76可以是當(dāng)前存儲在一個或多個裝置74上的數(shù)據(jù)的一部分或區(qū)塊���,其在邏輯 上與特定租戶�、子租戶或來賓相關(guān)聯(lián)并被組織在諸如文件系統(tǒng)的結(jié)構(gòu)中�。例如當(dāng)用戶(來 賓)改變文件或目錄時(shí),數(shù)據(jù)的內(nèi)容的變化最終被保存為對應(yīng)的存儲信息76的變化。
[0061] 存儲信息76可包括單元���、子域(subdivision)����、或諸如數(shù)據(jù)文件78和/或數(shù)據(jù)文 件結(jié)構(gòu)77的結(jié)構(gòu)����。數(shù)據(jù)文件78是用于在存儲裝置74的文件系統(tǒng)中存儲數(shù)據(jù)并用于使數(shù) 據(jù)可由程序和系統(tǒng)使用的資源。數(shù)據(jù)文件78可具有標(biāo)識文件名�、相關(guān)用戶名(例如,來賓 標(biāo)識符)�����、相關(guān)組名(例如���,租戶標(biāo)識符)和其它屬性�。本公開中的"文件"通常是指可被存 儲的數(shù)據(jù)并包括塊級存儲����、文件級存儲和流數(shù)據(jù)�����。
[0062] 數(shù)據(jù)文件結(jié)構(gòu)77可以是一個或多個數(shù)據(jù)文件78的關(guān)聯(lián)。例如��,存儲信息76可包 括在提供文件夾或目錄的分層系統(tǒng)的文件系統(tǒng)中關(guān)聯(lián)的數(shù)據(jù)文件78���。目錄可包含一個或多 個數(shù)據(jù)文件78和/或子目錄���,其本身可包含數(shù)據(jù)文件和/或子目錄。該分層結(jié)構(gòu)是數(shù)據(jù)文 件結(jié)構(gòu)77的一個例子�����。更一般來��,數(shù)據(jù)文件結(jié)構(gòu)77可以是任何結(jié)構(gòu)的�����、邏輯的或組織的系 統(tǒng)����,諸如在存儲信息76中包括或?qū)崿F(xiàn)的一個或多個分區(qū)、卷��、片、文件系統(tǒng)或者目錄�。
[0063] 存儲信息76的實(shí)例可以作為一個或多個存儲文件95存儲在存儲系統(tǒng)72上。每 個存儲文件95可代表存儲信息76的完整實(shí)例或者存儲信息76的實(shí)例的邏輯分塊����。例如, 存儲系統(tǒng)76可包括獨(dú)立冗余磁盤陣列(RAID)����。RAID可用作邏輯存儲裝置,并可以若干配 置(級別)中的一個將數(shù)據(jù)分布在磁盤陣列上����,以提高速度(例如,通過到多個磁盤的并行 I/O)��、可靠性(例如���,通過冗余和/或奇偶校驗(yàn))或兩者��。將數(shù)據(jù)分割在多個磁盤上以用于 并行訪問可被稱為"分條(striping)"�。分條將數(shù)據(jù)分割成邏輯條��,例如���,陣列中每個磁盤 一個條��。存儲信息76的實(shí)例可被分割成條��,例如以加快創(chuàng)建RAID以存儲存儲信息�。每個 條可以是存儲文件95的例子�。條狀存儲文件95可映射存儲系統(tǒng)72中實(shí)際的邏輯或物理 RAID,或者可另外選擇。
[0064] 存儲系統(tǒng)72和/或其任何存儲裝置74可以是共享資源��。例如�,通過存儲系統(tǒng)72 提供基于云的存儲的服務(wù)供應(yīng)商可具有多個用戶。每個用戶可具有該服務(wù)供應(yīng)商的賬戶�����, 并可通過該賬戶來存儲�����、獲取���、保存和另外操作系統(tǒng)72上的數(shù)據(jù)��。托管多個用戶的服務(wù)供 應(yīng)商可以將系統(tǒng)72的一部分分配給每個用戶��。由不同用戶存儲的數(shù)據(jù)可以駐留在同一個 系統(tǒng)72上�,并可駐留在同一個存儲裝置74上。每個用戶可將他或她的數(shù)據(jù)看作是私有和 機(jī)密的��。因此�����,服務(wù)供應(yīng)商可尋求提供用戶之間的隔離����。該隔離可通過對每個用戶授權(quán)獨(dú) 占地訪問該用戶所擁有的私有數(shù)據(jù)以及通過拒絕任何用戶訪問不同用戶所擁有的私有數(shù) 據(jù)來保護(hù)相互的隱私和安全。系統(tǒng)72可以被配置為允許每個用戶只訪問授權(quán)數(shù)據(jù)并防止 對未授權(quán)數(shù)據(jù)的無意或有意入侵����。在傳統(tǒng)的多用戶系統(tǒng)中保護(hù)隱私的機(jī)制包括分區(qū)、文件 系統(tǒng)���、權(quán)限系統(tǒng)����,并在物理上將一個用戶的存儲與所有其它用戶的存儲分離�����。例如,將第一 存儲裝置74專用于第一用戶并將第二存儲裝置74專用于第二用戶在物理上將第一用戶的 存儲與第二用戶的存儲相隔離�。傳統(tǒng)的共享存儲并不提供每個用戶與底層存儲裝置之間的 物理分離,造成一個用戶可在共享存儲系統(tǒng)72內(nèi)入侵另一個用戶的風(fēng)險(xiǎn)�。
[0065] 系統(tǒng)70的服務(wù)供應(yīng)商或其它運(yùn)營商可以定義用戶間的關(guān)聯(lián)�����。個體用戶有時(shí)可被 稱為來賓(guest)����,而用戶組或聯(lián)合可被稱為租戶(tenant)。來賓可以是被授權(quán)訪問系統(tǒng) 70的人或?qū)嶓w�;或者來賓可以是被授權(quán)訪問系統(tǒng)70的服務(wù)、進(jìn)程�、應(yīng)用或其它自動功能。來 賓可以有相關(guān)的賬戶�����、標(biāo)識符���、名稱���、密碼�、權(quán)限和其它屬性�。租戶可以是任何自然、邏輯�、或 任意組的來賓,并可具有相關(guān)的賬戶�、標(biāo)識符、名稱��、子域(子租戶)和其它屬性�。例如,租 戶可以是為管理方便而由運(yùn)營商定義的命名組�。對于另一個例子,租戶可對應(yīng)于自然單元�����, 諸如從系統(tǒng)70獲取存儲服務(wù)的個人����、機(jī)構(gòu)、企業(yè)��、組織或政府���。例如�,服務(wù)供應(yīng)商可以具有 多個來賓,每個企業(yè)具有多個雇員���。每個企業(yè)可具有相關(guān)聯(lián)的租戶賬戶���,并且它的每個雇員 可以具有與該租戶賬戶相關(guān)聯(lián)的來賓賬戶。每個租戶可例如通過允許或拒絕所選擇的來賓 訪問所選擇的數(shù)據(jù)文件78和/或數(shù)據(jù)文件結(jié)構(gòu)77來控制或管理它的相關(guān)聯(lián)的來賓賬戶�����。 例如�����,企業(yè)(租戶)可以授權(quán)它的所有雇員(來賓)有權(quán)讀取并寫入由該企業(yè)擁有的所有 數(shù)據(jù)�;或者企業(yè)可以限制某些雇員對某些數(shù)據(jù)的訪問���。個體用戶可被授權(quán)訪問超過一個的 來賓賬戶��,而來賓賬戶可以具有超過一個的授權(quán)用戶��。詞語"所有者"有時(shí)可以是指租戶或 者來賓���,例如����,在應(yīng)用于其中一方或雙方的上下文中�����。
[0066] 系統(tǒng)70的特定資源可以與特定租戶和/或來賓相關(guān)聯(lián)���。從系統(tǒng)的角度�����,特定租戶 可被看作是與該租戶相關(guān)聯(lián)的資源的集合�。例如���,系統(tǒng)70可靜態(tài)或動態(tài)地向特定租戶分配 虛擬存儲(在此有時(shí)簡寫為"VS")實(shí)例80��、虛擬機(jī)(在此有時(shí)簡寫為"VM")實(shí)例100�����、和 /或特定存儲裝置74的部分�����。
[0067] 虛擬化是允許第一計(jì)算機(jī)系統(tǒng)模擬第二計(jì)算機(jī)系統(tǒng)的技術(shù)����。第一計(jì)算機(jī)系統(tǒng)(被 稱為虛擬主機(jī))是提供諸如處理功率����、存儲器和對存儲的訪問的資源的實(shí)際或物理的機(jī) 器����。第二計(jì)算機(jī)系統(tǒng)被主機(jī)模擬并在主機(jī)上執(zhí)行�,被稱為虛擬機(jī)或VM����。VM可運(yùn)行操作系統(tǒng) 和軟件應(yīng)用,如同它是實(shí)際的機(jī)器一樣����。當(dāng)VM請求硬件資源時(shí),主機(jī)攔截并滿足該請求���。主 機(jī)可并發(fā)運(yùn)行多個VM�����,每個VM可以在能力和配置方面不同�����。例如����,一個VM可以模仿計(jì)算機(jī) 的第一操作系統(tǒng),而第二VM可以模仿計(jì)算機(jī)的第二(相同或不同的)操作系統(tǒng)����。VM可以模 擬幾乎任何類型的計(jì)算機(jī)系統(tǒng)或設(shè)備,包括通用計(jì)算機(jī)和諸如存儲系統(tǒng)或裝置的專用計(jì)算 機(jī)系統(tǒng)�。
[0068] 虛擬主機(jī)可以運(yùn)行稱為管理程序的軟件層以支持一個或多個VM。管理程序攔截來 自每個VM的對于處理器��、存儲器���、存儲和其它資源的請求���,并通過本地主機(jī)資源滿足這些 請求。管理程序可以在操作系統(tǒng)上運(yùn)行或者直接在底層主機(jī)硬件上運(yùn)行�。向較高級軟件提 供硬件資源的較低級軟件有時(shí)可被稱為內(nèi)核(kernel)。向VM提供資源而不依賴于明確的 中間操作系統(tǒng)的管理程序可以被稱為基于內(nèi)核的管理程序。運(yùn)行至少基于內(nèi)核的管理程序 和一個或多個VM的主機(jī)可被稱為基于內(nèi)核的虛擬機(jī)環(huán)境�。
[0069] 在虛擬主機(jī)上運(yùn)行的VM并不直接訪問主機(jī)資源。相反���,VM僅可通過管理程序訪 問主機(jī)資源�����,因此���,這可將每個VM與其它托管VM隔離和/或?qū)⒃谙到y(tǒng)70中選擇的組件彼 此隔離(例如,將網(wǎng)絡(luò)90與網(wǎng)絡(luò)92隔離)��。實(shí)際上�����,管理程序可以對每個托管VM創(chuàng)建私有 的受保護(hù)的操作空間����,并將每個VM與同一主機(jī)上的其它VM隔離��。該受保護(hù)的空間有時(shí)可 被稱為"沙箱(sandbox)"���。沙箱對沙箱內(nèi)部的資源創(chuàng)建安全和隱私���。例如���,如果VM正在運(yùn) 行應(yīng)用程序,那么分配給該應(yīng)用的處理器和存儲器享有免被其它VM入侵的保護(hù)��。例如�����,如 果VM和它的應(yīng)用依賴于傳統(tǒng)的共享物理存儲��,則存儲在位于VM沙箱外部的用于執(zhí)行該應(yīng) 用的物理存儲裝置上發(fā)生��。在這個傳統(tǒng)的例子中���,即使正在執(zhí)行的應(yīng)用受到保護(hù)����,底層物理 數(shù)據(jù)存儲也不受到保護(hù)��。
[0070] VS實(shí)例80可以是存儲裝置74的虛擬實(shí)現(xiàn)���,并可包括諸如網(wǎng)絡(luò)接口的支持功能�����。 VS實(shí)例80可包括一個或多個虛擬存儲磁盤或磁盤陣列(例如�����,在后面描述的邏輯存儲系統(tǒng) 或LSS實(shí)例96)����。虛擬磁盤陣列可以用作虛擬RAID設(shè)備。用作存儲裝置的VS實(shí)例80可以 訪問虛擬磁盤或磁盤陣列�,以例如打開、讀取和寫數(shù)據(jù)文件�,就像虛擬存儲是實(shí)際的物理存 儲一樣。實(shí)際上�,管理程序85可通過將這些訪問請求傳送到存儲系統(tǒng)72上的實(shí)際存儲來 滿足這些訪問請求。VS實(shí)例80的指向(尋址到)虛擬磁盤或磁盤陣列的數(shù)據(jù)讀取和寫入 可以通過管理程序85基本上實(shí)時(shí)地傳送到存儲系統(tǒng)72,通過管理程序的間接引用��。在主機(jī) 上的管理程序85上的VM實(shí)例80可以與管理程序85進(jìn)行通信�,但不能直接與存儲系統(tǒng)72 進(jìn)行通信�。管理程序85可以有效地將存儲系統(tǒng)72與第二網(wǎng)絡(luò)92相隔離。
[0071] 虛擬存儲可以反映對應(yīng)的實(shí)際存儲的特征和屬性��。例如,存儲信息76的實(shí)例可包 括數(shù)據(jù)文件結(jié)構(gòu)77����、數(shù)據(jù)文件78、租戶和/或來賓關(guān)聯(lián)和其它屬性���。數(shù)據(jù)文件實(shí)例(也稱 為數(shù)據(jù)文件結(jié)構(gòu)實(shí)例)87 (虛擬存儲)可對應(yīng)于數(shù)據(jù)文件結(jié)構(gòu)77 (實(shí)際存儲)���,數(shù)據(jù)文件實(shí) 例(也稱為數(shù)據(jù)文件結(jié)構(gòu)實(shí)例)88 (虛擬存儲)可對應(yīng)于數(shù)據(jù)文件78 (實(shí)際存儲)。當(dāng)向 VS實(shí)例80導(dǎo)出存儲信息76的實(shí)例時(shí)���,每個數(shù)據(jù)文件結(jié)構(gòu)77可因此產(chǎn)生對應(yīng)的數(shù)據(jù)文件結(jié) 構(gòu)實(shí)例87,每個數(shù)據(jù)文件78可產(chǎn)生對應(yīng)的數(shù)據(jù)文件實(shí)例88�����。因此��,導(dǎo)出到VS實(shí)例80的存 儲信息76的實(shí)例可以保存它的數(shù)據(jù)�、結(jié)構(gòu)����、元數(shù)據(jù)和租戶一來賓所有權(quán)。實(shí)際上而非虛擬 地��,數(shù)據(jù)文件結(jié)構(gòu)實(shí)例87和數(shù)據(jù)文件實(shí)例88可以被看作是經(jīng)過管理程序85傳遞到存儲系 統(tǒng)72中的對應(yīng)存儲項(xiàng)目的引用。
[0072] 在實(shí)施例中���,特定VS實(shí)例80可以關(guān)聯(lián)于和/或?qū)S糜谔囟▉碣e���。在實(shí)施例中,特 定VS實(shí)例80可以關(guān)聯(lián)于和/或?qū)S糜谔囟ㄗ鈶?����,并以文件系統(tǒng)被合作者共享的方式由該 租戶的一個或多個來賓共享��。例如���,VS實(shí)例80可以是與特定租戶相關(guān)聯(lián)的并可例如通過 在VS實(shí)例80中實(shí)現(xiàn)的NFS或CIFS文件系統(tǒng)能夠被該租戶的所有來賓或所選擇的來賓訪 問的所有數(shù)據(jù)或者所選擇的數(shù)據(jù)的虛擬���。
[0073] 實(shí)現(xiàn)VS實(shí)例80的VM可以用作沙箱,其占用它自己的受保護(hù)的操作空間��。管理程 序85有效地授權(quán)每個VS實(shí)例80獨(dú)占地訪問它自己的資源�����,拒絕每個VS實(shí)例訪問與其它 VS實(shí)例相關(guān)聯(lián)的資源�����,并保護(hù)每個VS實(shí)例不受其它VS實(shí)例的入侵��。因此���,向VS實(shí)例80導(dǎo) 出存儲信息76的實(shí)例在VS主機(jī)82上保護(hù)該數(shù)據(jù)不受與在同一個VS主機(jī)82上運(yùn)行的其 它VS實(shí)例相關(guān)聯(lián)的其它來賓的入侵�。例如���,與第一來賓相關(guān)聯(lián)的第一 VS實(shí)例不能訪問與 第二來賓相關(guān)聯(lián)的第二VS實(shí)例����,因?yàn)閮蓚€VS實(shí)例都是由管理程序85提供沙箱的����。
[0074] 向VS實(shí)例80導(dǎo)出存儲信息76的實(shí)例還將VS實(shí)例80和它的相關(guān)聯(lián)的來賓與存 儲系統(tǒng)72隔離。管理程序85可將VS實(shí)例80與第一網(wǎng)絡(luò)90和/或存儲系統(tǒng)72隔離���。每 個VS實(shí)例80通過管理程序85獲取存儲服務(wù)���,而不是經(jīng)由直接訪問后端存儲系統(tǒng)72。如果 系統(tǒng)70包括源自對應(yīng)的存儲信息76的實(shí)例的多個VS實(shí)例80,并且每個具有相關(guān)聯(lián)的所有 者��,則每個VS實(shí)例80與底層存儲系統(tǒng)72相隔離。每一個都與系統(tǒng)72隔離的多個所有者 彼此相互隔離�。多個所有者在數(shù)據(jù)存儲方面享有安全性和隱私。
[0075] VS實(shí)例80可以是存儲裝置74的模擬����,可包括一個或多個虛擬數(shù)據(jù)存儲磁盤或磁 盤陣列。通過向VS實(shí)例80輸出存儲文件95而獲取的虛擬磁盤可以被稱為存儲文件實(shí)例 96�����。作為功能性虛擬存儲的包括一個或多個VS文件實(shí)例96的邏輯結(jié)構(gòu)可被稱為LSS實(shí)例 98�����。LSS實(shí)例98可以被認(rèn)為是由管理程序85抽象成存儲信息76的實(shí)例的邏輯窗口�,通過 它,VS實(shí)例80例如代表一個或多個連接的VM實(shí)例100獲取實(shí)際的存儲�。
[0076] LSS實(shí)例98可以用諸如NFS或CIFS的文件系統(tǒng)來格式化。LSS實(shí)例98的文件系 統(tǒng)可以不同于存儲系統(tǒng)72的本地文件系統(tǒng)��。例如�����,LSS實(shí)例文件系統(tǒng)可由租戶選擇,以例 如通過VS實(shí)例80和它的LSS實(shí)例98在租戶的來賓之間加快文件共享�����。
[0077] 包括至少兩個VS文件實(shí)例96的LSS實(shí)例98可以被配置為RAID�。例如�����,存儲信息 76的實(shí)例中的數(shù)據(jù)可以被分成條��,而每一條可以被分配給存儲文件95�。分別向VS實(shí)例80 導(dǎo)出每個存儲文件95可生成對應(yīng)的VS文件實(shí)例96的集合。包括VS文件實(shí)例96的集合 的LSS實(shí)例98可以根據(jù)底層分條而被配置為RAID�����,并可用文件系統(tǒng)進(jìn)行格式化�。LSS實(shí)例 96可對應(yīng)于存儲系統(tǒng)72中的實(shí)際RAID,或者可獨(dú)立于實(shí)際存儲的結(jié)構(gòu)來創(chuàng)建����。
[0078] 虛擬存儲主機(jī)82可以是支持系統(tǒng)70中的一個或多個VS實(shí)例80的虛擬化主機(jī)。 在圖4的例子中���,主機(jī)82可運(yùn)行管理程序85,其支持被表示為80A-N的多個VS實(shí)例���。盡管 圖4示出兩個VS實(shí)例���,但應(yīng)當(dāng)理解,主機(jī)82可支持無限數(shù)量的VS實(shí)例����。VS主機(jī)82可包括 與管理程序85和VS實(shí)例80有關(guān)或無關(guān)的其它硬件和/或軟件。例如����,主機(jī)82可運(yùn)行軟 件以允許管理或協(xié)調(diào)系統(tǒng)70內(nèi)的VS主機(jī)82。VS主機(jī)82可以是云計(jì)算節(jié)點(diǎn)10或計(jì)算機(jī) 系統(tǒng)/服務(wù)器12的例子��。
[0079] 虛擬存儲系統(tǒng)84可包括一個或多個VS主機(jī)82��。系統(tǒng)70可利用多個VS主機(jī)82���, 以例如支持分發(fā)給多個主機(jī)82的多個VS實(shí)例80�����。VS系統(tǒng)84可被看作是系統(tǒng)70的支持 和/或協(xié)調(diào)一個或多個主機(jī)82的子系統(tǒng)��。圖4示出只有一個主機(jī)82的VS系統(tǒng)84 ;然而 應(yīng)當(dāng)理解��,VS系統(tǒng)84可包括無限數(shù)量的主機(jī)82��。VS系統(tǒng)84可以包括其它硬件和/或軟 件�。例如,系統(tǒng)84可運(yùn)行子系統(tǒng)以例如通過在可用主機(jī)82之間平衡計(jì)算和/或網(wǎng)絡(luò)負(fù)載 來協(xié)調(diào)VS系統(tǒng)84的主機(jī)82��。
[0080] 第一網(wǎng)絡(luò)90可以是計(jì)算機(jī)網(wǎng)絡(luò)����,其提供從存儲系統(tǒng)72到一個或多個VS系統(tǒng)84 并由此到VS主機(jī)82并由此到一個或多個VS實(shí)例80的通信鏈路��。網(wǎng)絡(luò)90可以包含未在 圖4中示出的硬件和/或軟件組件以支持在存儲系統(tǒng)72與一個或多個VS系統(tǒng)84及其主 機(jī)82之間數(shù)據(jù)在任一方向上的傳輸��。網(wǎng)絡(luò)90可以利用各種介質(zhì)�����、導(dǎo)體���、設(shè)備和協(xié)議���。例如, 網(wǎng)絡(luò)90可以利用一個或多個光纖導(dǎo)體和網(wǎng)絡(luò)文件系統(tǒng)(NFS)協(xié)議。網(wǎng)絡(luò)90可以是私有網(wǎng) 絡(luò)����,例如,由系統(tǒng)70的運(yùn)營商維護(hù)并通過租戶和其它方與直接連接隔離的網(wǎng)絡(luò)�����。
[0081] 第一網(wǎng)絡(luò)90通過連接存儲系統(tǒng)72和VS系統(tǒng)84來提供將每個存儲信息76的實(shí)例 傳送給對應(yīng)的VS實(shí)例80的方式���。在實(shí)施例中��,該通信可以利用文件系統(tǒng)導(dǎo)出--即���,允許 網(wǎng)絡(luò)設(shè)備與其它網(wǎng)絡(luò)設(shè)備共享文件或文件系統(tǒng)的機(jī)制一發(fā)生。例如���,第一網(wǎng)絡(luò)可以利用 NFS協(xié)議�����,其提供文件系統(tǒng)導(dǎo)出特征��。存儲信息76可以被存儲為一個或多個存儲文件95,到 存儲文件95的映射可以從諸如邏輯磁盤或磁盤陣列的系統(tǒng)72的邏輯結(jié)構(gòu)中導(dǎo)出�。因此, 系統(tǒng)72可以經(jīng)由NFS出口而向VS實(shí)例80導(dǎo)出存儲實(shí)例76的每個存儲文件95�����。所導(dǎo)出的 存儲文件可以穿過管理程序85到達(dá)對應(yīng)的VS實(shí)例80,并可作為LSS實(shí)例98的對應(yīng)VS文 件實(shí)例96出現(xiàn)��。包含兩個或多個VS文件實(shí)例的LSS實(shí)例98可能被配置為虛擬RAID�。
[0082] 例如,參照圖4,存儲系統(tǒng)72可以通過NFS出口 86A將存儲信息76的實(shí)例導(dǎo)出到 VS實(shí)例80A���,作為單個存儲文件95�。在經(jīng)過管理程序85傳遞到VS實(shí)例80A后���,存儲文件 95可出現(xiàn)在VS實(shí)例80A中,作為LSS實(shí)例98A內(nèi)的VS文件實(shí)例96A�。LSS實(shí)例98A可以將 存儲信息的數(shù)據(jù)文件結(jié)構(gòu)77保存為數(shù)據(jù)文件結(jié)構(gòu)實(shí)例87,并將數(shù)據(jù)文件78保存為數(shù)據(jù)文 件實(shí)例88。對于另一個例子�,存儲系統(tǒng)72可以將存儲信息76的實(shí)例導(dǎo)出到VS實(shí)例80N, 作為存儲文件的集合����。例如,存儲信息76可采用邏輯或物理磁盤陣列的形式駐留在存儲系 統(tǒng)72上���。因此�,存儲系統(tǒng)72可通過一組NFS出口 86N并通過對應(yīng)的存儲文件的集合將陣 列中的一組磁盤導(dǎo)出到VS實(shí)例80N。在傳遞經(jīng)過管理程序后�,該存儲文件的集合可以作為 LSS實(shí)例98N內(nèi)的存儲器文件實(shí)例96N的集合出現(xiàn)。例如����,通過在準(zhǔn)備存儲文件95時(shí)對數(shù) 據(jù)分條,陣列可被格式化為RAID設(shè)備��。為了簡化���,圖4省略了 LSS實(shí)例98N內(nèi)的數(shù)據(jù)文件 實(shí)例和數(shù)據(jù)文件結(jié)構(gòu)實(shí)例�����,但應(yīng)當(dāng)理解���,這些特征可以出現(xiàn)在LSS實(shí)例98N內(nèi)。
[0083] LSS實(shí)例98N的結(jié)構(gòu)和格式可以不同于對應(yīng)的存儲信息96���。例如��,在存儲系統(tǒng)72 中表示為在給定文件系統(tǒng)中格式化的單個邏輯磁盤的存儲信息可以在VS實(shí)例80中被表示 為在不同的文件系統(tǒng)中格式化的虛擬RAID設(shè)備��。
[0084] VS實(shí)例80可以將LSS實(shí)例當(dāng)作存儲裝置��,以例如讀取或?qū)懭胛募?��。存儲資源請求 以與處理器資源請求從VM傳遞到主機(jī)CPU的相同方式從VS實(shí)例80 (VM)經(jīng)過管理程序85 傳遞到存儲系統(tǒng)72��。LSS實(shí)例98可提供基本上實(shí)時(shí)的從VS實(shí)例80到存儲系統(tǒng)72的對應(yīng) 的存儲信息76的傳遞����。VS實(shí)例80可通過引用由LSS實(shí)例98表示的存儲信息76的鏡像 或代理來間接地從存儲系統(tǒng)72的對應(yīng)的實(shí)際存儲信息76中讀取數(shù)據(jù)或向其寫入數(shù)據(jù)�。給 定VS實(shí)例80的訪問的范圍限于所導(dǎo)出的存儲信息72的范圍。如果給定VS實(shí)例80和對 應(yīng)的存儲信息和特定租戶相關(guān)聯(lián)���,則該租戶可"看見"它自己的數(shù)據(jù)���,但不能"看見"共享同 一個存儲系統(tǒng)72的其它租戶的數(shù)據(jù)�。導(dǎo)出過程結(jié)合VS實(shí)例80的虛擬化將每個租戶隔離 到存儲系統(tǒng)72的特定區(qū)域,保護(hù)租戶彼此的隱私和安全�。
[0085] 在另一個實(shí)施例中,存儲系統(tǒng)72與VS實(shí)例之間的通信可以利用邏輯單元號或 LUN���,其是用于識別例如SAN存儲裝置中通過諸如SCSI和光纖信道的協(xié)議尋址的存儲裝置 的編號�����。例如����,由存儲系統(tǒng)72通過網(wǎng)絡(luò)90傳遞到VS主機(jī)82的單個LUN可作為塊設(shè)備經(jīng) 過管理程序85傳遞到VS實(shí)例80,該塊設(shè)備可作為LSS實(shí)例98的VS文件實(shí)例96出現(xiàn)在 VS實(shí)例80內(nèi)。然后���,LSS實(shí)例98可以用方便相關(guān)聯(lián)的租戶的文件系統(tǒng)格式化���。對于另一 個例子,一組LUN可以從存儲系統(tǒng)72傳遞到VS實(shí)例80,并作為包括對應(yīng)的VS文件實(shí)例96 的集合的LSS實(shí)例98出現(xiàn)����。LSS實(shí)例98可以適合于相關(guān)聯(lián)的租戶的方式來配置和格式化。 除了用于創(chuàng)建LSS實(shí)例98的方法外���,通過LUN與存儲系統(tǒng)72通信的VS實(shí)例80類似于通 過NFS出口進(jìn)行通信的VS實(shí)例80�。
[0086] 虛擬機(jī)實(shí)例80可以是支持由系統(tǒng)70的來賓用戶實(shí)行的會話的VM�。例如,租戶可 以對授權(quán)用戶建立來賓賬戶��。每個賬戶可以具有諸如用戶名和密碼的證書��,允許來賓通過 在網(wǎng)站上的表中輸入證書來建立與系統(tǒng)70的授權(quán)連接。當(dāng)來賓登錄時(shí)�����,系統(tǒng)70可以分配 或創(chuàng)建VM實(shí)例100 (來賓會話)����,來賓可通過它從系統(tǒng)70獲取服務(wù)。例如��,對于圖像存儲服 務(wù)��,來賓的VM實(shí)例100可以提供允許來賓向存儲系統(tǒng)72上傳或從存儲系統(tǒng)72下載圖像的 特征����。通過VM實(shí)例100實(shí)現(xiàn)的來賓會話可以是分配給該來賓的永久進(jìn)程或者是在登錄時(shí) 創(chuàng)建并在退出時(shí)注銷的臨時(shí)(ad hoc)進(jìn)程。
[0087] 來賓可利用廣泛的有形裝置的任何一種建立到系統(tǒng)70的連接�����,諸如個人計(jì)算機(jī)����、 蜂窩電話�、智能電話�、平板設(shè)備��、個人數(shù)字助理等���。由個體來賓直接操作的有形裝置(未示 出)可以用作厚客戶機(jī)或瘦客戶機(jī)��。作為厚客戶機(jī)����,該裝置可以作為基本完全自立的計(jì)算 機(jī)來操作�。因此,該裝置可以運(yùn)行操作系統(tǒng)和/或應(yīng)用����,并主要依賴系統(tǒng)70進(jìn)行數(shù)據(jù)存儲。 在該上下文中�����,VM實(shí)例100可以用作相對簡單的網(wǎng)關(guān)以用于訪問遠(yuǎn)程的基于云的服務(wù)�����。 [0088] 作為瘦客戶機(jī),有形裝置可以作為例如支持?jǐn)?shù)據(jù)輸入和/或數(shù)據(jù)顯示并從網(wǎng)絡(luò)服 務(wù)器獲取軟件服務(wù)而無需運(yùn)行重要的本地應(yīng)用的終端來操作�。在該上下文中,VM實(shí)例100 可以用作網(wǎng)絡(luò)服務(wù)器或遠(yuǎn)程執(zhí)行引擎��,其可例如運(yùn)行操作系統(tǒng)���、應(yīng)用等�,并可另外依賴系統(tǒng) 70進(jìn)行數(shù)據(jù)存儲��。這些體系結(jié)構(gòu)例子僅僅是說明�。VM實(shí)例100是虛擬機(jī),并因此可以代表 相關(guān)的來賓模擬廣泛的計(jì)算設(shè)備��。VM實(shí)例100可以是云計(jì)算節(jié)點(diǎn)10����、計(jì)算機(jī)系統(tǒng)/服務(wù)器 12或圖2的設(shè)備54A-N中的任何一個的虛擬例子。
[0089] 由于VM實(shí)例100是虛擬機(jī)����,因此,它可以實(shí)現(xiàn)在VS實(shí)例80的上下文中討論的沙 箱技術(shù)���。因此����,VM實(shí)例100可以將它的相關(guān)的來賓會話同與其它來賓會話相關(guān)聯(lián)的其它VM 實(shí)例相隔離�����,從而保護(hù)每個來賓彼此的安全性和隱私�����。用于VM實(shí)例100的沙箱的范圍是維 持相關(guān)聯(lián)的來賓會話的計(jì)算活動��。相反���,用于VS實(shí)例80的沙箱的范圍是通過存儲系統(tǒng)72 滿足的存儲有關(guān)的請求��。系統(tǒng)70用一個VM(VM實(shí)例100)保護(hù)每個來賓的應(yīng)用級安全和隱 私���,用第二VM(VS實(shí)例80)保護(hù)存儲級的隱私和安全。因此�,系統(tǒng)70保護(hù)整個來賓會話的 隱私。
[0090] 與特定來賓相關(guān)聯(lián)的VM實(shí)例100可以同與同一授權(quán)來賓相關(guān)聯(lián)的VS實(shí)例80進(jìn) 行通信���。該通信允許VM實(shí)例100代表來賓獲取存儲資源(最終從存儲系統(tǒng)72)��。在圖像存 儲系統(tǒng)中��,例如�����,來賓可通過VM實(shí)例100會話發(fā)布上載圖像文件的命令����,該VM實(shí)例100接 收所上載的文件并將該文件傳輸?shù)较嚓P(guān)的VS實(shí)例80, VS實(shí)例80將該文件傳輸給存儲系統(tǒng) 72,由存儲系統(tǒng)72存儲該來賓和/或租戶的文件。該通信發(fā)生在安全的環(huán)境中��,通過VM實(shí) 例100與來賓隔離��,并通過VS實(shí)例80與存儲系統(tǒng)72隔離���,維護(hù)了會話的隱私和安全���。
[0091] VM主機(jī)102可以是適于支持一個或多個VM實(shí)例100的虛擬主機(jī)的例子。VM主機(jī) 102可以運(yùn)行VM管理程序105,其可支持被表示為100A-N的多個VM實(shí)例��。用于VM管理程 序105和管理程序85的預(yù)期軟件包括K虛擬機(jī)(KVM)��、VMWare和IBM Power管理程序��。VM 主機(jī)102可包括與VM管理程序105和VM實(shí)例100有關(guān)或無關(guān)的其它硬件和/或軟件。例 如�����,主機(jī)102可運(yùn)行軟件以例如通過平衡可用主機(jī)102之間的計(jì)算和/或通信負(fù)載來方便 在系統(tǒng)70內(nèi)管理主機(jī)102��。主機(jī)102可以是云計(jì)算節(jié)點(diǎn)10或計(jì)算機(jī)系統(tǒng)/服務(wù)器12的例 子�����。
[0092] 圖4示出了兩個VM主機(jī)���,其被標(biāo)記為102A和102N。應(yīng)當(dāng)理解�,系統(tǒng)70可包括無 限數(shù)量的VM主機(jī)102。圖4示出示例性的實(shí)施例���,其將VM主機(jī)82和管理程序85與VM主 機(jī)102和VM管理程序105隔離���。在另一個實(shí)施例中,主機(jī)82和102可駐留在同一個物理 機(jī)器上���,并可由同一個管理程序支持�。圖4是系統(tǒng)70的通用功能或概念表示,其通過其它 體系結(jié)構(gòu)實(shí)現(xiàn)相同的功能特征��。
[0093] VM主機(jī)系統(tǒng)104可包括一個或多個VM主機(jī)102,以例如支持分布到多個VM主機(jī) 102的多個VM實(shí)例100�。VM系統(tǒng)104可以被看作是系統(tǒng)70的協(xié)調(diào)一個或多個主機(jī)102的 子系統(tǒng)。圖4示出系統(tǒng)104具有兩個VM主機(jī)102A和102N��。應(yīng)當(dāng)理解�����,系統(tǒng)104可以包括 無限數(shù)量的VM主機(jī)102�。系統(tǒng)104可包括其它硬件和/或軟件。例如��,系統(tǒng)104可運(yùn)行例 如通過在可用主機(jī)104之間平衡計(jì)算和/或網(wǎng)絡(luò)負(fù)載來協(xié)調(diào)系統(tǒng)104的VM主機(jī)102的子 系統(tǒng)�。
[0094] 第二網(wǎng)絡(luò)92可以是物理或虛擬計(jì)算機(jī)網(wǎng)絡(luò),其提供從VM主機(jī)系統(tǒng)104到VS系統(tǒng) 84的通信鏈路�。網(wǎng)絡(luò)92允許VM實(shí)例100向它的相關(guān)聯(lián)的VS實(shí)例80傳輸數(shù)據(jù)以及從那里 接收數(shù)據(jù)。網(wǎng)絡(luò)92可包括硬件和/或軟件組件(未在圖4中示出)以支持?jǐn)?shù)據(jù)在任一方 向上的傳輸�����。網(wǎng)絡(luò)92可利用各種介質(zhì)�����、導(dǎo)體、設(shè)備和協(xié)議��。例如���,在一個實(shí)施例中�,物理網(wǎng) 絡(luò)92可包括一個或多個光纖導(dǎo)體和NFS協(xié)議��。在另一個實(shí)施例中���,網(wǎng)絡(luò)92可包括因特網(wǎng), 并可利用TCP/IP協(xié)議以例如實(shí)現(xiàn)虛擬專用網(wǎng)以將遠(yuǎn)程VM主機(jī)102連接到VS主機(jī)82�。租 戶可例如維持內(nèi)部部署(on-premises) VM主機(jī)102,并通過網(wǎng)絡(luò)92將數(shù)據(jù)導(dǎo)出到外部部署 (off-premises) VS 主機(jī) 82。
[0095] 在一個實(shí)施例中�����,第二網(wǎng)絡(luò)92可以是實(shí)現(xiàn)為VM的虛擬網(wǎng)絡(luò)��,類似于所實(shí)現(xiàn)的VS 實(shí)例80或VM實(shí)例100��。因此���,虛擬網(wǎng)絡(luò)92的一個或多個實(shí)例可在運(yùn)行在主機(jī)上的管理程 序上運(yùn)行�����。在一個實(shí)施例中��,虛擬網(wǎng)絡(luò)主機(jī)可不同于VS主機(jī)82和/或VM主機(jī)102�。在一 個實(shí)施例中,一個主機(jī)可以支持不同類型的VM�����,包括VM實(shí)例84�、VM實(shí)例100和虛擬網(wǎng)絡(luò)實(shí) 例92的任意組合。
[0096] 在一個實(shí)施例中��,第二網(wǎng)絡(luò)92可以是虛擬局域網(wǎng)(VLAN)�。在傳統(tǒng)的局域網(wǎng)(LAN) 中,網(wǎng)絡(luò)設(shè)備位于單個廣播域中��,例如�����,以相對近的物理近距離在同一個網(wǎng)絡(luò)交換機(jī)上���。 VLAN是可包括在不同廣播域中(例如����,在不同的交換機(jī)上)的設(shè)備的物理LAN的邏輯模擬。 VLAN是邏輯定義的�,而非物理定義的,因此�,它所連接的設(shè)備可以是物理上遠(yuǎn)距離的。簡而 言之�,VLAN是非本地LAN,其可例如連接駐留在物理上遠(yuǎn)距離位置的工作組的成員��。實(shí)現(xiàn)為 VLAN的網(wǎng)絡(luò)92可以允許與特定租戶相關(guān)聯(lián)的VM實(shí)例從更大的距離范圍或網(wǎng)絡(luò)拓?fù)溥B接到 同一個VS實(shí)例80���。
[0097] 第二網(wǎng)絡(luò)92可包括超過一個的底層網(wǎng)絡(luò)���,例如�,如圖4所示,支持VM實(shí)例100A-C 的第一 VM主機(jī)102A可以通過第一個第二網(wǎng)絡(luò)92A與第一 VS實(shí)例80A進(jìn)行通信���;而支持 VM實(shí)例100D-N的第二VM主機(jī)102N可以通過第二個第二網(wǎng)絡(luò)92N與第二VS實(shí)例80N進(jìn)行 通信���。底層網(wǎng)絡(luò)92A和92N可在類型和/或協(xié)議上不同。向網(wǎng)絡(luò)92A和92N分配VM實(shí)例 可以依賴于與每個VM實(shí)例相關(guān)聯(lián)的租戶和/或來賓�。例如���,第一租戶的所有通信業(yè)務(wù)可以 通過指定的第二網(wǎng)絡(luò)92A路由,而第二租戶的所有業(yè)務(wù)可以通過不同的第二網(wǎng)絡(luò)92N路由���。 這種租戶獨(dú)占的資源分配提供了租戶之間的隔離�。例如����,將指定租戶的VS實(shí)例80置于與 同一租戶的VM實(shí)例100相同的專用虛擬網(wǎng)絡(luò)92上--并將其它租戶排除在這些專用資源 之外--提供了該租戶與其它租戶之間的隔離。
[0098] 第二網(wǎng)絡(luò)92通過將一個或多個VM實(shí)例100連接到VS實(shí)例80提供了將導(dǎo)出到VS 實(shí)例80的存儲信息76通過第二網(wǎng)絡(luò)92傳輸?shù)竭B接到VS實(shí)例80的每個VM實(shí)例100的方 式�。在一個實(shí)施例中,該通信可以利用文件系統(tǒng)導(dǎo)出發(fā)生�����。例如�,第二網(wǎng)絡(luò)92可以利用NFS 協(xié)議。VS裝置80可以通過NFS將它的LSS實(shí)例98導(dǎo)出到每個所連接的VM實(shí)例100��。所 導(dǎo)出的LSS實(shí)例98可以穿過VM管理程序105,并作為虛擬裝置出現(xiàn)在VM實(shí)例100內(nèi)���。VM 實(shí)例100可以作為存儲裝置訪問虛擬裝置����。尋址到該驅(qū)動器的存儲訪問經(jīng)過它傳遞到VS 實(shí)例80并最終到達(dá)存儲系統(tǒng)72。例如����,如果指定VM實(shí)例的用戶打開特定的數(shù)據(jù)文件,則文 件訪問請求從VM實(shí)例傳送到VS實(shí)例���,并最終到達(dá)存儲系統(tǒng)72���。排除網(wǎng)絡(luò)延遲,該串聯(lián)的 訪問可基本實(shí)時(shí)地發(fā)生��。對于終端用戶��,所導(dǎo)出的文件系統(tǒng)可看起來對VM實(shí)例100是本地 的���?���?傊?����,將數(shù)據(jù)從存儲系統(tǒng)72導(dǎo)出到VS實(shí)例80的過程類似于將數(shù)據(jù)從VS實(shí)例80導(dǎo)出 到VM實(shí)例100的過程�。
[0099] 將一個或多個存儲文件95通過NFS從存儲系統(tǒng)72導(dǎo)出到VS實(shí)例100并再通過 NFS從VS實(shí)例導(dǎo)出到VM實(shí)例的實(shí)施例有時(shí)可被稱為"NFS再導(dǎo)出器"。在拓?fù)浣Y(jié)構(gòu)上���,該實(shí) 施例將VS實(shí)例100插入存儲系統(tǒng)72與VM實(shí)例100之間�,這兩者都在NFS網(wǎng)絡(luò)上��。在該例 子中�����,VS實(shí)例80可以用作類似防火墻的裝置���,其允許VM實(shí)例100上的來賓會話在私有安 全的會話中訪問存儲系統(tǒng)72�����。
[0100] 基于管理程序的VM實(shí)例100是沙箱會話����。雖然多個來賓可通過公共VS實(shí)例80 共享公共文件系統(tǒng)�,但同一個VM主機(jī)102上的多個來賓彼此隔離。
[0101] 虛擬存儲空間實(shí)例94或VSS實(shí)例94可以是VS實(shí)例80的虛擬存儲的鏡像����,其可通 過第二網(wǎng)絡(luò)92被VM實(shí)例100訪問��。例如���,如果VS實(shí)例80向VM實(shí)例100導(dǎo)出它的虛擬存 儲(即,它的LSS實(shí)例98)��,則VSS實(shí)例94可以作為邏輯驅(qū)動器或類似結(jié)構(gòu)出現(xiàn)�����。該驅(qū)動器 可被VM實(shí)例100引用以訪問VS實(shí)例100的虛擬存儲���,VM實(shí)例100可將該請求通過LSS實(shí) 例98和管理程序95傳送到存儲系統(tǒng)72�����。VSS實(shí)例94例如可用為方便VM實(shí)例100的來賓 而選擇的文件系統(tǒng)來格式化���。VSS實(shí)例94可在功能上類似于LSS實(shí)例98。也就是說�,LSS 實(shí)例98可以被認(rèn)為是從VS實(shí)例80到存儲系統(tǒng)72上的實(shí)際存儲(存儲信息的實(shí)例)或從 該實(shí)際存儲到VS實(shí)例80的邏輯窗口,而VSS實(shí)例94可以被認(rèn)為是從VM實(shí)例100到VS實(shí) 例80或從VS實(shí)例80到VM實(shí)例100的邏輯窗口����。VSS實(shí)例94和LSS實(shí)例98兩者都可以 提供被管理程序抽象的對諸如駐留在另一個設(shè)備(邏輯的或虛擬的)上的文件系統(tǒng)的數(shù)據(jù) 的訪問。
[0102] VS實(shí)例80可以對每個所連接的VM實(shí)例100創(chuàng)建VSS實(shí)例94��。例如����,在圖4中, VS實(shí)例80N具有多個所連接的VM實(shí)例100D-N和對應(yīng)的一組VSS實(shí)例94N�����,每個VM特定的 訪問機(jī)制在VS實(shí)例中����。VS主機(jī)或VM主機(jī)可以擔(dān)任用于VSS實(shí)例的虛擬服務(wù)器。
[0103] 現(xiàn)在再參照圖5,系統(tǒng)70可以支持一個或多個租戶120 ;每個租戶120可包括與該 租戶120相關(guān)聯(lián)并隸屬于該租戶120的一個或多個來賓122 ;系統(tǒng)70可以向租戶和/或來 賓分配諸如VS實(shí)例80和VM實(shí)例100的資源��。在圖5的示例性例子中��,第一租戶120A和 它的相關(guān)資源用實(shí)線表示���;第二租戶120B和它的資源由長虛線表示�,第三租戶120N和它 的資源用短虛線表不��。在VM主機(jī)系統(tǒng)104中,第一 VM主機(jī)102A支持用于租戶120A的第 一來賓的第一 VM實(shí)例100A1���、用于租戶120B的第一來賓的第二VM實(shí)例100B1和用于租戶 120N的第一來賓的第三VM實(shí)例100N1��。第二VM主機(jī)102B同樣地支持用于租戶120A的第 二來賓的第一 VM實(shí)例lOOAn�����、用于租戶120B的第二來賓的第二VM實(shí)例100B2和用于租戶 120N的第二來賓的第三VM實(shí)例100N2����。第三VM主機(jī)102N2同樣地支持用于租戶120B和 120N的其它來賓的其它VM實(shí)例100B3�、IOOBn和lOONn。
[0104] 資源分配--即�,特定租戶和來賓到特定VM主機(jī)的映射--可以是靜態(tài)或動態(tài) 的。對于靜態(tài)分配��,預(yù)先確定的資源可專用于預(yù)先確定的租戶和/或來賓����。對于動態(tài)分配, 資源可以基本實(shí)時(shí)地根據(jù)需要分配�。例如,系統(tǒng)70可以在特定來賓登錄時(shí)在所選擇的VM 主機(jī)上對該來賓創(chuàng)建VM實(shí)例��,并可在該來賓注銷時(shí)消除該VM實(shí)例。針對下一個新的VM實(shí) 例選擇VM主機(jī)可自動發(fā)生�����,例如通過選擇具有最低計(jì)算和/或通信負(fù)載的VM主機(jī)��。指定 VM主機(jī)可以同時(shí)支持與不同租戶相關(guān)聯(lián)的VM實(shí)例��,而指定租戶可以具有在不同VM主機(jī)上 運(yùn)行的VM實(shí)例�。租戶與VM主機(jī)之間的對應(yīng)關(guān)系可以隨時(shí)間變化�;各個VM實(shí)例可以是短暫 的,僅在相關(guān)的來賓會話期間存在�。圖5示出了在特定時(shí)間點(diǎn)的典型分配的快照,以例如突 出租戶�、來賓和資源之間的典型關(guān)系。
[0105] 系統(tǒng)70還可代表租戶120A-N分配虛擬存儲資源�。如圖5所示,示例性的VS系統(tǒng) 84可包括兩個VS主機(jī)82A和82N��,它們每一個支持一個或多個VS實(shí)例80A-N�。在該例子 中,租戶120A對應(yīng)于VS實(shí)例80A ;租戶120B對應(yīng)于VS實(shí)例80B ;租戶120N對應(yīng)于VS實(shí)例 80N�。在該例子中,VS實(shí)例80A和80B在第一 VS主機(jī)82A上運(yùn)行����,實(shí)例80N在第二VS主機(jī) 82N上運(yùn)行��。該VS主機(jī)分配類似于VM主機(jī)102的分配��,可以是靜態(tài)的或動態(tài)的����。例如��,系 統(tǒng)70可以在需要時(shí)創(chuàng)建VS實(shí)例�,例如每當(dāng)租戶具有至少一個活動的來賓會話時(shí),并在不需 要時(shí)消除它���,以例如釋放資源�。
[0106] 系統(tǒng)70可以維持各種VM實(shí)例100A1 - IOONn之間經(jīng)由第二網(wǎng)絡(luò)92的網(wǎng)絡(luò)通信����。 在一個實(shí)施例中,網(wǎng)絡(luò)92可包括一個或多個VLAN��,其每一個是LAN的模擬實(shí)例�。系統(tǒng)70可 以維持用于每個租戶的不同的獨(dú)立VLAN。例如,與VM實(shí)例100A1和IOOAn相關(guān)聯(lián)的第一 租戶120A具有相關(guān)聯(lián)的第一 VLAN�����,其根據(jù)每個來賓被標(biāo)記為92A1和92An ;第二租戶120B 同樣具有被標(biāo)記為92Bl-92Bn的第二VLAN ;第三租戶120N具有被標(biāo)記為92Nl-92Nn的第 三VLAN�����。每個租戶的多個VM實(shí)例(來賓會話)被連接到該租戶的公共VS實(shí)例��。因此����,相 關(guān)聯(lián)的租戶的所有來賓可以訪問相同的底層虛擬存儲�。例如,對于第一租戶120A�����,VM實(shí)例 100A1 (第一來賓)和VM實(shí)例IOOAn (第二來賓)都連接到同一個VS實(shí)例80A��。因此�����,第一 和第二來賓都可訪問(服從權(quán)限)同一個虛擬存儲,即VS實(shí)例80A����。
[0107] 盡管圖5示出了用于每個租戶的第二網(wǎng)絡(luò)92 (VLAN),但在一個實(shí)施例中�����,租戶可 以具有超過一個的相關(guān)聯(lián)的網(wǎng)絡(luò)92����。例如,一個VLAN可以處理預(yù)先確定的VM實(shí)例集合的 通信��,另一個VLAN可以處理第二預(yù)先確定的VM實(shí)例集合的通信����。該實(shí)施例對于指定租戶 將網(wǎng)絡(luò)92分成多個單獨(dú)的信道,以例如平衡負(fù)載或隔離諸如工作組的子租戶��。租戶同樣可 具有超過一個的相關(guān)聯(lián)的VS實(shí)例���。例如����,租戶120A可以具有多個相關(guān)聯(lián)的VS實(shí)例,它們 每個與存儲系統(tǒng)72中的租戶120A的物理存儲的一部分相關(guān)聯(lián)����。
[0108] 租戶與資源之間的關(guān)聯(lián)持續(xù)到物理存儲系統(tǒng)72。繼續(xù)該例子�,第一租戶120A具有 通過第一網(wǎng)絡(luò)90 (被單獨(dú)標(biāo)記為90A)與VS實(shí)例80A通信的相關(guān)聯(lián)的存儲信息76A ;第二 租戶具有通過網(wǎng)絡(luò)90B與VS實(shí)例80B通信的存儲信息76B,第三租戶120N具有通過網(wǎng)絡(luò) 90N與VS實(shí)例80N通信的存儲信息76N��。作為這種虛擬存儲與物理存儲之間的每個租戶關(guān) 聯(lián)的結(jié)果����,來自特定VM實(shí)例的存儲資源請求傳送到存儲系統(tǒng)72中的對應(yīng)存儲信息。例如���, 通過租戶120A的VM實(shí)例100A1保存的數(shù)據(jù)文件傳遞到租戶120A的存儲信息76A。
[0109] VM主機(jī)系統(tǒng)104中的租戶����、VS系統(tǒng)84和存儲系統(tǒng)72之間的分離維護(hù)了每個租戶 的隱私和安全。例如�,獨(dú)占地分配給租戶120A的資源不會與獨(dú)占地分配給租戶120B-N的 資源進(jìn)行通信。因此�,與租戶120A相關(guān)聯(lián)的資源對于租戶120B-N是不可見的,反之亦然���。
[0110] 現(xiàn)在參照圖6,系統(tǒng)70的安全體系結(jié)構(gòu)130可包括兩個區(qū)域�。第一區(qū)域132用雙 點(diǎn)劃線表示,包括物理存儲系統(tǒng)72����、VS主機(jī)82、VM主機(jī)102和連接它們的通信路徑�。因此, 第一區(qū)域132包括不能被租戶和來賓訪問的系統(tǒng)70的基礎(chǔ)設(shè)施�����。第二區(qū)域134用虛線表 示�,包括VS實(shí)例80和VM實(shí)例100的租戶和來賓可見的部分。因此����,第二區(qū)域134包括系 統(tǒng)70的公共的云可訪問側(cè),用戶可在此看見����、存儲和交換數(shù)據(jù)。
[0111] 區(qū)域132和134之間的橋接出現(xiàn)在主機(jī)82和102中���,并在管理程序85和VM管理 程序105的支配下��。在管理程序之上運(yùn)行的VS實(shí)例和VM實(shí)例處于第二區(qū)域134中���,并被管 理程序進(jìn)行沙箱管理���。VS實(shí)例和VM實(shí)例僅通過在主機(jī)上運(yùn)行的管理程序與第一區(qū)域132 進(jìn)行通信。因此���,VS實(shí)例和VM實(shí)例執(zhí)行對包括存儲系統(tǒng)72的第一區(qū)域132的間接的受保 護(hù)的訪問�。使用進(jìn)行沙箱管理的中間VS和VM實(shí)例消除了需要從公共的第二區(qū)域132直接 托管共享物理存儲系統(tǒng)72 -因此�����,消除了隨著這種直接托管產(chǎn)生的隱私和安全問題�。
[0112] 現(xiàn)在再參照圖7,用于提供對所共享的存儲資源的安全訪問的方法200可包括在 第一網(wǎng)絡(luò)上將第一(或隨后的)存儲信息存儲202在存儲系統(tǒng)的存儲裝置中;將第一(或隨 后的)存儲信息轉(zhuǎn)換204成第一(或隨后的)虛擬存儲實(shí)例�;在沒有與第一網(wǎng)絡(luò)和存儲裝 置通信的第二網(wǎng)絡(luò)上提供對第一(或隨后的)虛擬存儲實(shí)例的訪問206 ;通過第二網(wǎng)絡(luò)啟 用208第一(或隨后的)虛擬存儲實(shí)例的修改以創(chuàng)建第一(或隨后的)修改后虛擬存儲實(shí) 例�;根據(jù)第一(或隨后的)修改后存儲實(shí)例,將第一(或隨后的)修改后存儲實(shí)例轉(zhuǎn)換210 成第一(或隨后的)修改后存儲信息����;以及在存儲裝置上存儲212第一(或隨后的)修改 后存儲信息。
[0113] 在第一網(wǎng)絡(luò)90上將存儲信息76存儲202在計(jì)算機(jī)存儲系統(tǒng)70的存儲裝置中可包 括在存儲系統(tǒng)72上存儲一個或多個數(shù)據(jù)文件78����。存儲信息76可與系統(tǒng)70的租戶和/或 來賓相關(guān)聯(lián)�。存儲202還可包括創(chuàng)建或利用邏輯結(jié)構(gòu)�����,諸如邏輯磁盤��、分區(qū)�、卷和/或文件 系統(tǒng),以在存儲信息76內(nèi)提供組織框架以接收數(shù)據(jù)文件78��。例如����,系統(tǒng)70的運(yùn)營商可以在 存儲系統(tǒng)70上向新的租戶分配存儲設(shè)備,并定義與該租戶相關(guān)聯(lián)的邏輯磁盤和文件系統(tǒng)�����, 以接收與該租戶相關(guān)聯(lián)的數(shù)據(jù)文件���。
[0114] 將存儲信息76轉(zhuǎn)換204成VS實(shí)例80可包括在連接到第一網(wǎng)絡(luò)90的VS主機(jī)82 上創(chuàng)建VS實(shí)例80���。轉(zhuǎn)換204還可包括經(jīng)由網(wǎng)絡(luò)90建立VS實(shí)例80與存儲信息76之間的 通信�����,并使得VS實(shí)例80能夠訪問存儲信息76,例如利用LUN或NFS導(dǎo)出�����。所導(dǎo)出的存儲信 息76可以在VS實(shí)例80內(nèi)被表示為LSS實(shí)例98, VS實(shí)例80引用LSS實(shí)例98進(jìn)行的存儲 訪問可以通過管理程序85和網(wǎng)絡(luò)90傳遞或分解到存儲信息76�����。轉(zhuǎn)換204可包括由管理 程序85維持虛擬存儲和實(shí)際存儲之間的引用����。轉(zhuǎn)換204可包括將LSS實(shí)例98例如配置成 RAID和/或例如用文件系統(tǒng)來格式化LSS實(shí)例98�����。轉(zhuǎn)換204可包括在VS實(shí)例80中保存 存儲信息76的組織框架(例如目錄分層體系)�����、存儲單元(例如數(shù)據(jù)文件)和元數(shù)據(jù)(例 如�,租戶所有權(quán))�。因此�,所導(dǎo)出的存儲信息76可通常鏡像底層存儲信息76的結(jié)構(gòu)和內(nèi)容���。 該鏡像可以是邏輯映射或轉(zhuǎn)換�,而不是實(shí)際的復(fù)制��。例如�����,VS實(shí)例80的租戶可見文件系統(tǒng) 可不同于存儲系統(tǒng)72的本地文件系統(tǒng)����。因此,轉(zhuǎn)換204可包括將由存儲系統(tǒng)72支持的特 征轉(zhuǎn)換成由VS實(shí)例80支持的對應(yīng)或等同特征�����。轉(zhuǎn)換204可包括數(shù)據(jù)的算術(shù)轉(zhuǎn)換�����,例如解 壓縮由存儲系統(tǒng)72以壓縮格式存儲的數(shù)據(jù)����。
[0115] 在一個實(shí)施例中����,轉(zhuǎn)換204可包括使用管理程序轉(zhuǎn)換存儲信息�����。例如���,VS主機(jī)82 可以運(yùn)行管理程序85以支持VS實(shí)例的一個或多個虛擬主機(jī)�,例如VS實(shí)例80的實(shí)例��。因 此�,轉(zhuǎn)換204使用管理程序以支持虛擬存儲裝置(VS實(shí)例80)。實(shí)際上����,管理程序85可以將 實(shí)際的邏輯或物理存儲轉(zhuǎn)換或映射到虛擬存儲,反之亦然�����。
[0116] 在一個實(shí)施例中��,轉(zhuǎn)換204可包括將在存儲信息76的實(shí)例中包括的一個或多個數(shù) 據(jù)文件78轉(zhuǎn)換成相關(guān)聯(lián)的VS實(shí)例80的對應(yīng)數(shù)據(jù)文件實(shí)例88。轉(zhuǎn)換數(shù)據(jù)文件78可包括將 它的內(nèi)容�����、屬性和/或性質(zhì)(例如��,它的相關(guān)的文件名����、所有權(quán)和權(quán)限)從存儲系統(tǒng)72本身 的格式翻譯或轉(zhuǎn)換成由VS實(shí)例80實(shí)現(xiàn)的格式�。實(shí)際上,管理程序85可以維持?jǐn)?shù)據(jù)文件實(shí) 例88,作為對應(yīng)的數(shù)據(jù)文件78的引用����。
[0117] 在一個實(shí)施例中,轉(zhuǎn)換204可以包括將在存儲信息76中包括的一個或多個數(shù)據(jù)文 件結(jié)構(gòu)77轉(zhuǎn)換成相關(guān)聯(lián)的VS實(shí)例80的對應(yīng)的數(shù)據(jù)文件結(jié)構(gòu)實(shí)例87�����。例如����,存儲系統(tǒng)72 的本地文件系統(tǒng)可以實(shí)現(xiàn)分層目錄結(jié)構(gòu),其例如包括目錄名稱�����、路徑名稱、分層關(guān)系�、所有 權(quán)和權(quán)限。轉(zhuǎn)換204可包括將該目錄結(jié)構(gòu)轉(zhuǎn)換成VS實(shí)例80的文件系統(tǒng)的目錄結(jié)構(gòu)�,以使 得數(shù)據(jù)文件結(jié)構(gòu)實(shí)例87鏡像數(shù)據(jù)文件結(jié)構(gòu)77。實(shí)際上���,管理程序85可以維持?jǐn)?shù)據(jù)文件結(jié) 構(gòu)實(shí)例87,作為對對應(yīng)的數(shù)據(jù)文件結(jié)構(gòu)77的引用�����。
[0118] 在沒有與第一網(wǎng)絡(luò)90和存儲裝置74通信的第二網(wǎng)絡(luò)92上提供對VS實(shí)例80的訪 問206可包括在第二網(wǎng)絡(luò)92與支持VS實(shí)例80的VS主機(jī)82之間建立連接���。建立連接的 過程可依賴于所使用的網(wǎng)絡(luò)92的類型。例如�����,VS主機(jī)82可具有諸如網(wǎng)絡(luò)接口卡(NIC)的 硬件接口�����,NIC可具有相關(guān)的地址以允許其它網(wǎng)絡(luò)設(shè)備向/從NIC發(fā)送/接收數(shù)據(jù)�����,并從而 向/從VS主機(jī)82發(fā)送/接收數(shù)據(jù)。因此��,提供訪問206可包括例如用標(biāo)識VS主機(jī)82和 /或VS實(shí)例80的數(shù)據(jù)配置第二網(wǎng)絡(luò)92 ;例如用標(biāo)識網(wǎng)絡(luò)92和/或VS實(shí)例80的數(shù)據(jù)配置 VS主機(jī)82 ;和/或例如用允許VS實(shí)例80通過支持VS主機(jī)82訪問網(wǎng)絡(luò)92的數(shù)據(jù)配置VS 實(shí)例80(其是VS主機(jī)82的VM)��。在一個實(shí)施例中����,第二網(wǎng)絡(luò)92可以是虛擬網(wǎng)絡(luò)���。例如�,第 二網(wǎng)絡(luò)92可以是虛擬專用網(wǎng)(VPN)�、虛擬局域網(wǎng)(VLAN)或在VM中運(yùn)行并由管理程序支持 的虛擬網(wǎng)絡(luò)實(shí)現(xiàn)。
[0119] 提供訪問206還可包括維持第一網(wǎng)絡(luò)90與第二網(wǎng)絡(luò)92之間沒有直接通信��。在拓 撲結(jié)構(gòu)上位于第一網(wǎng)絡(luò)90與第二網(wǎng)絡(luò)92之間的管理程序85可有效地阻斷兩個網(wǎng)絡(luò)之間 的直接通信����。第一網(wǎng)絡(luò)90在邏輯上位于VS主機(jī)82的管理程序85的主機(jī)側(cè),而第二網(wǎng)絡(luò) 92在邏輯上位于管理程序85的VM側(cè)(即�,在VS實(shí)例側(cè))。由管理程序85提供的沙箱可 有效地向同一 VS主機(jī)82上的其它VS實(shí)例隱藏每個VS實(shí)例����。該沙箱可同樣有效地向每個 VS實(shí)例80隱藏由VS主機(jī)82使用的實(shí)際或物理資源�����。每個VS實(shí)例80通過管理程序85獲 取諸如存儲的資源�����,管理程序85作為存儲系統(tǒng)72的代理滿足存儲訪問請求�����。因此����,管理程 序85消除了 VS實(shí)例80對第一網(wǎng)絡(luò)和存儲系統(tǒng)72的直接訪問�����。因此�,第一網(wǎng)絡(luò)90和存儲 器系統(tǒng)72都可以向VS實(shí)例80和連接到VS實(shí)例的第二網(wǎng)絡(luò)92隱藏。由于第二網(wǎng)絡(luò)92不 能通過VS實(shí)例80訪問第一網(wǎng)絡(luò)90并且由于兩個網(wǎng)絡(luò)沒有另外連接��,因此第二網(wǎng)絡(luò)92沒 有與第一網(wǎng)絡(luò)90進(jìn)行通信��。
[0120] 通過第二網(wǎng)絡(luò)92啟用208VS實(shí)例80的修改以創(chuàng)建修改后VS實(shí)例可包括允許任 何經(jīng)由網(wǎng)絡(luò)92對導(dǎo)出到VS實(shí)例80的存儲信息76的實(shí)際或潛在變化。例如���,在其中第二 網(wǎng)絡(luò)92將VS實(shí)例80連接到VM實(shí)例100的實(shí)施例中�,啟用208可包括授權(quán)VM實(shí)例100訪 問VS實(shí)例80,例如��,以使得VM實(shí)例100的用戶可以通過VS實(shí)例80從存儲信息實(shí)際或可能 獲取諸如數(shù)據(jù)文件的數(shù)據(jù)�,編輯該數(shù)據(jù),并通過VS實(shí)例80保存該變化(最終是存儲信息的 變化)�����。啟用208可包括任何適合于允許通過網(wǎng)絡(luò)92訪問VS實(shí)例80以及它的虛擬存儲的 操作和配置��。
[0121] 在一個實(shí)施例中����,啟用208VS實(shí)例80的修改可包括由第一 VM實(shí)例100和第二VM 實(shí)例100啟用VS實(shí)例80的修改����,其中第一和第二VM實(shí)例沒有與第一網(wǎng)絡(luò)90和存儲裝置 通信。VS實(shí)例80可代表由租戶擁有并由該租戶的多個來賓共享的文件系統(tǒng)(即���,存儲信 息)���。因此�,VS實(shí)例80可以支持經(jīng)由網(wǎng)絡(luò)92到多個VM實(shí)例100的連接���,其中每個VM實(shí)例 是與該租戶的特定來賓相關(guān)聯(lián)的會話���。因此,啟用208可包括建立����、授權(quán)或配置從多個VM 實(shí)例到單個共享VS實(shí)例80的網(wǎng)絡(luò)訪問。
[0122] 在一個實(shí)施例中�,將修改后存儲實(shí)例轉(zhuǎn)換210成修改后存儲信息可包括準(zhǔn)備、格 式化或轉(zhuǎn)換用于實(shí)際存儲的修改后存儲實(shí)例��,例如通過對修改后存儲實(shí)例應(yīng)用由轉(zhuǎn)換204 執(zhí)行的一個或多個操作的逆操作��。例如�,在使VM實(shí)例100連接到VS實(shí)例80的實(shí)施例中, VM實(shí)例100的用戶可以訪問數(shù)據(jù)文件77,系統(tǒng)70可以將數(shù)據(jù)文件傳遞經(jīng)過VS實(shí)例到達(dá)VM 實(shí)例���。轉(zhuǎn)換204可在數(shù)據(jù)文件正從存儲系統(tǒng)72上的存儲信息經(jīng)過管理程序85向VS實(shí)例 80傳送時(shí)發(fā)生��。在VM實(shí)例100的會話中�,用戶可以編輯數(shù)據(jù)文件。在保存了所編輯的數(shù)據(jù) 文件后��,VM實(shí)例100引用VS實(shí)例80以用于訪問存儲����。修改后的數(shù)據(jù)文件(S卩,修改后存 儲信息)經(jīng)過VS實(shí)例80傳送回并最終到達(dá)存儲系統(tǒng)72的實(shí)際存儲�。轉(zhuǎn)換210可在修改 后的數(shù)據(jù)文件正在經(jīng)過VS實(shí)例80傳送到存儲系統(tǒng)72時(shí)發(fā)生。轉(zhuǎn)換210可以使在轉(zhuǎn)換204 中包括的任何操作反轉(zhuǎn)�。例如,轉(zhuǎn)換210可包括通過管理程序85向存儲系統(tǒng)72寫入修改 后存儲信息��,管理程序85可以將修改后存儲信息映射回到存儲系統(tǒng)72的本地文件系統(tǒng)����。
[0123] 在存儲裝置74上存儲212修改后存儲信息76可包括在存儲系統(tǒng)72上保存轉(zhuǎn)換 210的修改后存儲器信息����,例如通過在存儲系統(tǒng)72的邏輯或物理存儲裝置74上的存儲。存 儲212將修改后存儲信息保存在存儲系統(tǒng)72的永久存儲信息76中�。例如,在VM實(shí)例100 內(nèi)修改的數(shù)據(jù)文件實(shí)例可以復(fù)寫實(shí)際存儲中對應(yīng)的數(shù)據(jù)文件���。
[0124] 在一個實(shí)施例中����,方法200還可包括根據(jù)預(yù)先選擇的文件系統(tǒng),在第二網(wǎng)絡(luò)92上 創(chuàng)建VSS實(shí)例94, VSS實(shí)例94包括VS實(shí)例80��。VSS實(shí)例94可以是VS實(shí)例80的虛擬存儲 的鏡像�,其可通過第二網(wǎng)絡(luò)92被VM實(shí)例100訪問。創(chuàng)建VS存儲空間實(shí)例可包括將VS實(shí) 例80的虛擬文件系統(tǒng)導(dǎo)出到VM實(shí)例100���。在傳送經(jīng)過VM主機(jī)102的VM管理程序104后���, VSS實(shí)例94可作為例如VM實(shí)例100內(nèi)的虛擬驅(qū)動器出現(xiàn),VM實(shí)例100可通過該虛擬驅(qū)動 器訪問VS實(shí)例100的虛擬存儲�。該虛擬驅(qū)動器可以例如用所選擇的文件系統(tǒng)格式化。
[0125] 在一個實(shí)施例中����,方法200還可包括在基于內(nèi)核的VM環(huán)境中創(chuàng)建VSS實(shí)例。VSS 實(shí)例94可以提供經(jīng)由網(wǎng)絡(luò)92從VM實(shí)例100對VS實(shí)例80的虛擬存儲的訪問���。VSS實(shí)例 94存在于VM環(huán)境中���,例如在運(yùn)行管理程序85的VS主機(jī)上。VSS實(shí)例的主機(jī)可以運(yùn)行基于 內(nèi)核的管理程序,即����,不在單獨(dú)的獨(dú)立操作系統(tǒng)上運(yùn)行的管理程序。主機(jī)�����、基于內(nèi)核的管理 程序和所支持的VM的組合被稱為基于內(nèi)核的VM環(huán)境��。
[0126] 在一個實(shí)施例中���,方法200還可包括:(a)將存儲信息76的實(shí)例存儲為第一和第 二(或隨后的)存儲文件95 ; (b)將這些存儲文件95轉(zhuǎn)換成對應(yīng)的存儲文件實(shí)例96 ; (c) 使用獨(dú)立磁盤冗余陣列(RAID)協(xié)議從存儲文件實(shí)例96中創(chuàng)建LSS實(shí)例98 ; (d)例如用文 件系統(tǒng)格式化存儲文件實(shí)例����。項(xiàng)(a)可包括例如通過對用于RAID設(shè)備的數(shù)據(jù)分條并將這 些條存儲為包括兩個或多個存儲文件的集合來在邏輯上分割存儲信息中的數(shù)據(jù)��。項(xiàng)(b)可 包括對每個存儲文件95應(yīng)用轉(zhuǎn)換204��。項(xiàng)(c)可包括創(chuàng)建包括存儲文件實(shí)例96的邏輯結(jié) 構(gòu)���,該結(jié)構(gòu)模擬磁盤陣列子系統(tǒng)。項(xiàng)(d)可包括用預(yù)先選擇的文件系統(tǒng)格式化LSS實(shí)例98�����, 其可不同于存儲系統(tǒng)72的格式化。
[0127] 在一個實(shí)施例中��,方法200還可包括:(e)通過網(wǎng)絡(luò)文件系統(tǒng)(NFS)協(xié)議將第一和 第二(或隨后的)VS文件實(shí)例96發(fā)送到存儲系統(tǒng)的托管虛擬存儲空間實(shí)例94的虛擬服務(wù) 器��;(f)由管理程序防止第一網(wǎng)絡(luò)與第二網(wǎng)絡(luò)之間的通信��。虛擬服務(wù)器可以是VS主機(jī)82�、 VM主機(jī)102和/或第二網(wǎng)絡(luò)92上的中間服務(wù)器,并可以通過VSS實(shí)例94被VS實(shí)例80和 一個或多個相關(guān)聯(lián)的VM實(shí)例100訪問���。項(xiàng)(e)可包括在存儲系統(tǒng)72上配置NFS導(dǎo)出以與 VSS實(shí)例的主機(jī)或服務(wù)器共享一個或多個VS文件實(shí)例96�����。項(xiàng)(f)可包括由管理程序85和 /或VS管理程序105提供的沙箱���,其提供對存儲的抽象訪問。
[0128] 在一個實(shí)施例中�����,方法200還可包括:(g)將第一和第二(或隨后的)VS文件實(shí)例 96作為邏輯單元號(LUN)和/或存儲邏輯單元向計(jì)算機(jī)存儲系統(tǒng)的托管虛擬存儲空間實(shí) 例的虛擬服務(wù)器發(fā)送�����;(h)由管理程序防止第一網(wǎng)絡(luò)與第二網(wǎng)絡(luò)之間的通信。項(xiàng)(g)和(h) 在功能上可等同于項(xiàng)(e)和(f)��,除了通信由LUN和/或存儲邏輯單元創(chuàng)建而不是NFS導(dǎo)出 以外��。
[0129] 在一個實(shí)施例中�����,方法200還可包括使用NFS協(xié)議將VSS實(shí)例94發(fā)送到VM實(shí)例 100��。
[0130] 在一個實(shí)施例中�����,方法200還可以包括由管理程序維持第一網(wǎng)絡(luò)90與第二網(wǎng)絡(luò)92 之間的隔離���。該隔離可以是由管理程序85和/或VM管理程序105提供的沙箱的結(jié)果��,其 提供對諸如存儲的資源的抽象訪問���。
[0131] 在一個實(shí)施例中��,方法200可以將VS實(shí)例80、VM實(shí)例100和其它引用單元應(yīng)用于 存儲信息76的第二或隨后的實(shí)例��。使用"第一"或"第二"描述單元通常并不意在將方法 200限于僅有一個或兩個這種類型的單元���。
[0132] 在一個實(shí)施例中���,方法200可包括根據(jù)基于第一存儲信息的標(biāo)準(zhǔn)文件結(jié)構(gòu)在第二 網(wǎng)絡(luò)92上創(chuàng)建第一虛擬存儲空間,以及在第二網(wǎng)絡(luò)92上創(chuàng)建不能與第一虛擬存儲空間共 同訪問的第二虛擬存儲空間�����,其中第一虛擬存儲空間包括第一虛擬存儲實(shí)例���,第二虛擬存 儲空間具有基于第二存儲信息的標(biāo)準(zhǔn)文件結(jié)構(gòu)并包括第二虛擬存儲實(shí)例��。
[0133] 在一個實(shí)施例中���,方法200還可包括在第一虛擬局域網(wǎng)上托管第一虛擬存儲空 間,以及在沒有與第一虛擬局域網(wǎng)通信的第二虛擬局域網(wǎng)上托管第二虛擬存儲空間�����。
[0134] 現(xiàn)在參照圖8,用于提供對共享存儲資源的安全訪問的方法可包括:在第一網(wǎng)絡(luò) 90上將一個或多個存儲信息的實(shí)例72存儲302在存儲裝置74中�;將一個或多個存儲信息 的實(shí)例轉(zhuǎn)換304成一個或多個VS實(shí)例80,每個VS實(shí)例以虛擬形式表示對應(yīng)的存儲信息76 ; 通過沒有與第一網(wǎng)絡(luò)90和存儲裝置74通信的第二網(wǎng)絡(luò)92,提供306對一個或多個VS實(shí)例 80的訪問�。存儲302可等同或類似于存儲202�。轉(zhuǎn)換304可等同或類似于轉(zhuǎn)換204,其中以 虛擬形式表示是指由管理程序85提供給VS實(shí)例80的存儲信息的抽象鏡像。提供306可 以等同或類似于提供206���。方法300可包括其它�����、可選的或附加的單元�;可以省略一個或多 個單元��;和/或可遵從與所列出的不同的單元順序��。
[0135] 在一個實(shí)施例中���,通過第二網(wǎng)絡(luò)92提供對第一 VS實(shí)例80的訪問306可包括提 供對通過第一虛擬局域網(wǎng)(VLAN)共享第一 VS實(shí)例80的第一 VM實(shí)例100和第二VM實(shí)例 100的訪問���;通過第二網(wǎng)絡(luò)92提供對第二VS實(shí)例80的訪問包括對通過沒有與第一 VLAN 通信的第二VLAN共享第二VS實(shí)例80的第三VS實(shí)例80和第四VS實(shí)例80的訪問。例如���, 第一 VS實(shí)例80A可以提供對與第一租戶120A相關(guān)聯(lián)的所存儲的數(shù)據(jù)的訪問��,第二或隨后 的VS實(shí)例80B可以提供對與第二租戶120B相關(guān)聯(lián)的所存儲的數(shù)據(jù)的訪問����。第一租戶120A 的一個或多個來賓(其每一個具有相關(guān)的VM實(shí)例)可以通過VLAN 92A共享對第一 VS實(shí) 例80A的訪問�,第二租戶120B的一個或多個來賓(其每一個具有相關(guān)的VM實(shí)例100)可以 通過不同的VLAN 92B共享對第二VS實(shí)例80B的訪問。VS實(shí)例80A和80B彼此并不通信����, VLAN 92A和92B彼此并不通信,多個VM實(shí)例100也彼此不通信�。連接到VLAN 92A的與租 戶120A相關(guān)聯(lián)的VM實(shí)例可以通過VS實(shí)例80A共享數(shù)據(jù),然而��,連接到VLAN 92B的與租戶 120B相關(guān)聯(lián)的VM實(shí)例同樣可以通過VS實(shí)例80B共享數(shù)據(jù)����。
[0136] 如應(yīng)當(dāng)知道的,前面的實(shí)施例僅用于說明的目的��。在實(shí)施例中�,步驟可以被添加或 移除,并且許多步驟可以至少部分地并行執(zhí)行���。數(shù)字文件的不同部分或者不同的相關(guān)數(shù)字 文件可以同時(shí)進(jìn)行處理或者優(yōu)先處理�,以為了速度或傳遞的目的�。諸如在陣列中搜索多個 模式的過程可以有效地或?qū)嶋H上同時(shí)地執(zhí)行���。例如,某些或全部進(jìn)程可以使用單個處理器 或多個處理器進(jìn)行線程化�。
[0137] 在此所使用的術(shù)語僅用于描述特定實(shí)施例的目的,并不意味著限定本公開�。如在 此所使用的,單數(shù)形式"一"�、"一個"和"該"意在也包括復(fù)數(shù)形式,除非上下文作了明確的說 明�。還應(yīng)當(dāng)理解,術(shù)語"包括"和/或"包含"在本文中使用時(shí)是指出現(xiàn)所述的特征��、整體�����、步 驟�����、操作���、單元和/或組件���,但并不排除存在或添加一個或多個其它特征��、整體�����、步驟����、操作�、 單元�����、組件和/或它們的組合�����。
[0138] 在后附權(quán)利要求中的所有裝置或步驟加功能元件的對應(yīng)結(jié)構(gòu)���、材料����、動作和等同 意在包括用于執(zhí)行與具體要求保護(hù)的其它要求保護(hù)的要素結(jié)合的功能的任何結(jié)構(gòu)����、材料或 動作���。已經(jīng)呈現(xiàn)了本發(fā)明的描述以用于說明和描述的目的,但并不意在是窮盡的或者將本 發(fā)明限于所公開的形式�����。在不偏離本發(fā)明的范圍和精神的情況下�,許多修改和變形對于本 領(lǐng)域技術(shù)人員是顯而易見的。所選擇和描述的實(shí)施例是為了最好地解釋本發(fā)明的原理和實(shí) 際的應(yīng)用���,以及使得本領(lǐng)域技術(shù)人員能夠理解本發(fā)明的具有各種修改的各種實(shí)施例適合于 所構(gòu)想的特定用途���。
[0139] 本公開可以采用完全硬件實(shí)施方式、完全軟件實(shí)施方式或者包含硬件和軟件單元 的實(shí)施方式��。在一個實(shí)施例中����,本公開可以實(shí)現(xiàn)為軟件,其包括但不限于固件��、駐留軟件、微 代碼等�。另外,本公開可以采用計(jì)算機(jī)程序產(chǎn)品的形式��,其可由計(jì)算機(jī)可用或計(jì)算機(jī)可讀介 質(zhì)訪問����,提供由計(jì)算機(jī)或任何指令執(zhí)行系統(tǒng)使用或與其一起使用的程序代碼。為了說明的 目的�,計(jì)算機(jī)可用或計(jì)算機(jī)可讀介質(zhì)可以是任何有形的裝置,其可包含����、存儲��、傳送���、傳播或 傳輸由指令執(zhí)行系統(tǒng)�、裝置或設(shè)備使用或與其一起使用的程序��。
[0140] 介質(zhì)可以是電的����、磁的、光的、電磁的���、紅外的或半導(dǎo)體系統(tǒng)(或裝置或設(shè)備)或傳 播介質(zhì)����。計(jì)算機(jī)可讀介質(zhì)的例子包括半導(dǎo)體或固態(tài)存儲器�����、磁帶����、可移動計(jì)算機(jī)軟盤、隨機(jī) 存取存儲器(RAM)����、只讀存儲器(ROM)、剛性磁盤和光盤�����。當(dāng)前光盤的例子包括緊湊型只讀 存儲器(CD-ROM)�����、緊湊型讀/寫盤(CD-R/D)和DVD。
[0141] 適合于存儲和/或執(zhí)行程序代碼的數(shù)據(jù)處理系統(tǒng)可包括至少一個處理器��,其通過 系統(tǒng)總線直接或間接地連接到存儲器單元���。存儲器單元可以包括在程序代碼的實(shí)際執(zhí)行期 間利用的本地存儲器����、大容量存儲器和為了減少在執(zhí)行期間必須從大容量存儲器中獲取代 碼的次數(shù)而提供至少某些程序代碼的臨時(shí)存儲的高速緩存器��。
[0142] 輸入/輸出或I/O設(shè)備(包括但不限于鍵盤���、顯示器和定點(diǎn)設(shè)備)可直接地或通 過中間I/O控制器連接到系統(tǒng)��。網(wǎng)絡(luò)適配器也可以連接到系統(tǒng)以使得數(shù)據(jù)處理系統(tǒng)能夠通 過中間專用或公共網(wǎng)絡(luò)連接到其它數(shù)據(jù)處理系統(tǒng)或遠(yuǎn)程打印機(jī)或存儲設(shè)備���。調(diào)制解調(diào)器���、 電纜解調(diào)器和以太網(wǎng)卡只是幾種目前可用類型的網(wǎng)絡(luò)適配器��。
【權(quán)利要求】
1. 一種方法����,包括: 在第一網(wǎng)絡(luò)上將第一存儲信息存儲在計(jì)算機(jī)存儲系統(tǒng)的存儲裝置中; 由所述計(jì)算機(jī)存儲系統(tǒng)將所述第一存儲信息轉(zhuǎn)換成第一虛擬存儲實(shí)例��; 由所述計(jì)算機(jī)存儲系統(tǒng)在沒有與所述第一網(wǎng)絡(luò)和所述存儲裝置通信的第二網(wǎng)絡(luò)上提 供對所述第一虛擬存儲實(shí)例的訪問����; 由所述計(jì)算機(jī)存儲系統(tǒng)通過所述第二網(wǎng)絡(luò)啟用所述第一虛擬存儲實(shí)例的修改,以創(chuàng)建 第一修改后虛擬存儲實(shí)例��; 由所述計(jì)算機(jī)存儲系統(tǒng)基于所述第一修改后存儲實(shí)例����,將所述第一修改后存儲實(shí)例轉(zhuǎn) 換為第一修改后存儲信息;以及 在所述存儲裝置上存儲所述第一修改后存儲信息�����。
2. 如權(quán)利要求1所述的方法��,其中���,轉(zhuǎn)換所述第一存儲信息包括:通過使用所述計(jì)算機(jī) 存儲系統(tǒng)的管理程序來轉(zhuǎn)換所述第一存儲信息�。
3. 如權(quán)利要求1所述的方法�����,其中,轉(zhuǎn)換所述第一存儲信息包括:將在所述第一存儲信 息中包括的數(shù)據(jù)文件轉(zhuǎn)換為所述第一虛擬存儲實(shí)例的數(shù)據(jù)文件結(jié)構(gòu)實(shí)例��。
4. 如權(quán)利要求1所述的方法����,其中,轉(zhuǎn)換所述第一存儲信息包括:將在所述第一存儲信 息中包括的數(shù)據(jù)文件結(jié)構(gòu)轉(zhuǎn)換為所述第一虛擬存儲實(shí)例的數(shù)據(jù)文件結(jié)構(gòu)實(shí)例���。
5. 如權(quán)利要求1所述的方法����,其中�,啟用所述第一虛擬存儲實(shí)例的修改包括:由第一虛 擬機(jī)實(shí)例和第二虛擬機(jī)實(shí)例啟用所述第一虛擬存儲實(shí)例的修改,所述第一虛擬機(jī)實(shí)例和所 述第二虛擬機(jī)實(shí)例沒有與所述第一網(wǎng)絡(luò)和所述存儲裝置進(jìn)行通信����。
6. 如權(quán)利要求1所述的方法,還包括:由所述計(jì)算機(jī)存儲系統(tǒng)根據(jù)預(yù)先選擇的文件系 統(tǒng)在所述第二網(wǎng)絡(luò)上創(chuàng)建虛擬存儲空間實(shí)例��,所述虛擬存儲空間實(shí)例包括所述第一虛擬存 儲實(shí)例���。
7. 如權(quán)利要求6所述的方法,還包括:由所述計(jì)算機(jī)存儲系統(tǒng)在基于內(nèi)核的虛擬機(jī)環(huán) 境中創(chuàng)建所述虛擬存儲空間實(shí)例����。
8. 如權(quán)利要求6所述的方法�,還包括: 在所述存儲裝置中將所述第一存儲信息存儲為第一存儲文件和第二存儲文件�; 由所述計(jì)算機(jī)存儲系統(tǒng)將所述第一存儲文件和所述第二存儲文件分別轉(zhuǎn)換為第一虛 擬存儲文件實(shí)例和第二虛擬存儲文件實(shí)例; 由所述計(jì)算機(jī)存儲系統(tǒng)使用獨(dú)立磁盤冗余陣列協(xié)議創(chuàng)建所述第一虛擬存儲文件實(shí)例 和所述第二虛擬存儲文件實(shí)例的邏輯存儲系統(tǒng)實(shí)例��;以及 由所述計(jì)算機(jī)存儲系統(tǒng)根據(jù)所述虛擬存儲空間實(shí)例的所述預(yù)先選擇的文件系統(tǒng)來格 式化所述第一虛擬存儲文件實(shí)例和所述第二虛擬存儲文件實(shí)例�����。
9. 如權(quán)利要求8所述的方法����,還包括: 由所述計(jì)算機(jī)存儲系統(tǒng)使用網(wǎng)絡(luò)文件系統(tǒng)協(xié)議將所述第一虛擬存儲文件實(shí)例和所述 第二虛擬存儲文件實(shí)例發(fā)送到所述存儲系統(tǒng)的托管所述虛擬存儲空間實(shí)例的虛擬服務(wù)器; 以及 由所述計(jì)算機(jī)存儲系統(tǒng)的管理程序阻止所述第一網(wǎng)絡(luò)與所述第二網(wǎng)絡(luò)之間的通信����。
10. 如權(quán)利要求8所述的方法,還包括: 由所述計(jì)算機(jī)存儲系統(tǒng)將所述第一虛擬存儲文件實(shí)例和所述第二虛擬存儲文件實(shí)例 作為存儲邏輯單元發(fā)送到所述計(jì)算機(jī)存儲系統(tǒng)的托管所述虛擬存儲空間實(shí)例的虛擬服務(wù) 器�;以及 由所述計(jì)算機(jī)存儲系統(tǒng)的管理程序阻止所述第一網(wǎng)絡(luò)與所述第二網(wǎng)絡(luò)之間的通信。
11. 如權(quán)利要求6所述的方法���,還包括:由所述計(jì)算機(jī)存儲系統(tǒng)使用網(wǎng)絡(luò)文件系統(tǒng)協(xié)議 將所述虛擬存儲空間實(shí)例發(fā)送到虛擬機(jī)實(shí)例�。
12. 如權(quán)利要求6所述的方法�,還包括:由所述計(jì)算機(jī)存儲系統(tǒng)的管理程序維持所述第 一網(wǎng)絡(luò)與所述第二網(wǎng)絡(luò)之間的隔離����。
13. 如權(quán)利要求1所述的方法��,還包括: 在所述第一網(wǎng)絡(luò)上將不同于所述第一存儲信息的第二存儲信息存儲在所述存儲裝置 中�; 由所述計(jì)算機(jī)存儲系統(tǒng)將所述第二存儲信息轉(zhuǎn)換為第二虛擬存儲實(shí)例; 由所述計(jì)算機(jī)存儲系統(tǒng)在所述第二網(wǎng)絡(luò)上提供對所述第二虛擬存儲實(shí)例的訪問��,而不 提供對所述第一虛擬存儲實(shí)例和所述第二虛擬存儲實(shí)例兩者的共享訪問�����; 由所述計(jì)算機(jī)存儲系統(tǒng)通過所述第二網(wǎng)絡(luò)啟用所述第二虛擬存儲實(shí)例的修改��,以創(chuàng)建 第二修改后虛擬存儲實(shí)例�����; 由所述計(jì)算機(jī)存儲系統(tǒng)將所述第二修改后虛擬存儲實(shí)例轉(zhuǎn)換為第二修改后存儲信息�����; 以及 在所述第一網(wǎng)絡(luò)上將所述第二修改后存儲信息存儲在所述存儲裝置中�。
14. 如權(quán)利要求13所述的方法,還包括: 由所述計(jì)算機(jī)存儲系統(tǒng)根據(jù)基于所述第一存儲信息的標(biāo)準(zhǔn)文件結(jié)構(gòu)在所述第二網(wǎng)絡(luò) 上創(chuàng)建第一虛擬存儲空間�����,所述第一虛擬存儲空間包括所述第一虛擬存儲實(shí)例���;以及 由所述計(jì)算機(jī)存儲系統(tǒng)在所述第二網(wǎng)絡(luò)上創(chuàng)建不能與所述第一虛擬存儲空間共同訪 問的第二虛擬存儲空間���,所述第二虛擬存儲空間具有基于所述第二存儲信息的標(biāo)準(zhǔn)文件結(jié) 構(gòu)并包括所述第二虛擬存儲實(shí)例。
15. 如權(quán)利要求14所述的方法��,還包括:由所述計(jì)算機(jī)存儲系統(tǒng)在第一虛擬局域網(wǎng)上 托管所述第一虛擬存儲空間����,以及在沒有與所述第一虛擬局域網(wǎng)通信的第二虛擬局域網(wǎng)上 托管所述第二虛擬存儲空間。
16. 如權(quán)利要求1所述的方法�,其中,所述第二網(wǎng)絡(luò)是虛擬網(wǎng)絡(luò)����。
17. -種方法,包括: 在第一網(wǎng)絡(luò)上將第一存儲信息存儲在第一存儲裝置中�; 由計(jì)算機(jī)存儲系統(tǒng)將所述第一存儲信息轉(zhuǎn)換為以虛擬形式表示所述第一存儲信息的 第一虛擬存儲實(shí)例;以及 由所述計(jì)算機(jī)存儲系統(tǒng)在沒有與所述第一網(wǎng)絡(luò)和所述存儲裝置通信的第二網(wǎng)絡(luò)上提 供對所述第一虛擬存儲實(shí)例的訪問��。
18. 如權(quán)利要求17所述的方法���,還包括: 在所述第一網(wǎng)絡(luò)上將不同于所述第一存儲信息的第二存儲信息存儲在所述存儲裝置 中��; 由所述計(jì)算機(jī)存儲系統(tǒng)將所述第二存儲信息轉(zhuǎn)換為以虛擬形式表示所述第二存儲信 息的第二虛擬存儲實(shí)例�;以及 由所述計(jì)算機(jī)存儲系統(tǒng)在所述第二網(wǎng)絡(luò)上提供對所述第二虛擬存儲實(shí)例的訪問,所述 第一虛擬存儲實(shí)例和所述第二虛擬存儲實(shí)例不能彼此訪問����。
19. 如權(quán)利要求18所述的方法,其中���, 由所述計(jì)算機(jī)存儲系統(tǒng)在所述第二網(wǎng)絡(luò)上提供對所述第一虛擬存儲實(shí)例的訪問包括: 提供對第一機(jī)器和第二機(jī)器的訪問����,所述第一機(jī)器和所述第二機(jī)器通過第一虛擬局域網(wǎng)共 享所述第一虛擬存儲實(shí)例��; 由所述計(jì)算機(jī)存儲系統(tǒng)在所述第二網(wǎng)絡(luò)上提供對所述第二虛擬存儲實(shí)例的訪問包括: 提供對第三機(jī)器和第四機(jī)器的訪問���,所述第三機(jī)器和第四機(jī)器通過沒有與所述第一虛擬局 域網(wǎng)通信的第二虛擬局域網(wǎng)共享所述第二虛擬存儲實(shí)例�。
20. -種用于訪問所存儲的信息的系統(tǒng)���,包括: 至少第一處理器����; 存儲器;以及 包括在存儲器上存儲的多個指令的程序�����,所述多個指令響應(yīng)于屬性的選擇而由至少所 述第一處理器執(zhí)行以: 在第一網(wǎng)絡(luò)上將第一存儲信息存儲在存儲系統(tǒng)的存儲裝置中���; 將所述第一存儲信息轉(zhuǎn)換成第一虛擬存儲實(shí)例; 在沒有與所述第一網(wǎng)絡(luò)和所述存儲裝置通信的第二網(wǎng)絡(luò)上提供對所述第一虛擬存儲 實(shí)例的訪問��; 通過所述第二網(wǎng)絡(luò)啟用所述第一虛擬存儲實(shí)例的修改����,以創(chuàng)建第一修改后虛擬存儲實(shí) 例; 基于所述第一修改后存儲實(shí)例���,將所述第一修改后虛擬存儲實(shí)例轉(zhuǎn)換為第一修改后存 儲信息�;以及 在所述存儲裝置上存儲所述第一修改后存儲信息����。
21. 如權(quán)利要求20所述的系統(tǒng),其中����,所述多個指令包括這樣的指令�,其響應(yīng)于所述屬 性的選擇而由至少所述第一處理器執(zhí)行以: 在所述第一網(wǎng)絡(luò)上將不同于所述第一存儲信息的第二存儲信息存儲在所述存儲裝置 中�; 將所述第二存儲信息轉(zhuǎn)換為第二虛擬存儲實(shí)例; 在所述第二網(wǎng)絡(luò)上提供對所述第二虛擬存儲實(shí)例的訪問����; 通過所述第二網(wǎng)絡(luò)啟用所述第二虛擬存儲實(shí)例的修改,以創(chuàng)建第二修改后虛擬存儲實(shí) 例���; 將所述第二修改后虛擬存儲實(shí)例轉(zhuǎn)換為第二修改后存儲信息��;以及 在所述第一網(wǎng)絡(luò)上將所述第二修改后存儲信息存儲在所述存儲裝置中�����。
22. 如權(quán)利要求21所述的系統(tǒng)���,其中,所述多個指令包括這樣的指令��,其響應(yīng)于所述屬 性的選擇而由至少所述第一處理器執(zhí)行以: 通過所述存儲系統(tǒng)的管理程序在所述第一網(wǎng)絡(luò)與所述第二網(wǎng)絡(luò)之間交換信息�����;以及 由所述管理程序維持所述第一網(wǎng)絡(luò)與所述第二網(wǎng)絡(luò)之間的訪問隔離。
23. -種用于訪問所存儲的信息的計(jì)算機(jī)程序產(chǎn)品�����,所述計(jì)算機(jī)程序產(chǎn)品包括: 計(jì)算機(jī)可讀存儲介質(zhì)�,其具有在其中具體化的計(jì)算機(jī)可讀程序代碼,所述計(jì)算機(jī)可讀 程序代碼由處理器執(zhí)行以: 在第一網(wǎng)絡(luò)上將第一存儲信息存儲在存儲系統(tǒng)的存儲裝置中���; 將所述第一存儲信息轉(zhuǎn)換成第一虛擬存儲實(shí)例; 在沒有與所述第一網(wǎng)絡(luò)和所述存儲裝置通信的第二網(wǎng)絡(luò)上提供對所述第一虛擬存儲 實(shí)例的訪問���; 通過所述第二網(wǎng)絡(luò)啟用所述第一虛擬存儲實(shí)例的修改���,以創(chuàng)建第一修改后虛擬存儲實(shí) 例; 基于所述第一修改后虛擬存儲實(shí)例���,將所述第一修改后虛擬存儲實(shí)例轉(zhuǎn)換為第一修改 后存儲信息�����;以及 在所述存儲裝置上存儲所述第一修改后存儲信息�����。
24. 如權(quán)利要求23所述的計(jì)算機(jī)程序產(chǎn)品����,其中,所述計(jì)算機(jī)可讀代碼還被配置為在 所述第二網(wǎng)絡(luò)上創(chuàng)建虛擬存儲空間實(shí)例���,其類似于預(yù)先選擇的文件系統(tǒng)并包括所述第一虛 擬存儲實(shí)例����,所述虛擬存儲空間被創(chuàng)建在基于內(nèi)核的虛擬機(jī)環(huán)境中�����。
25. 如權(quán)利要求23所述的計(jì)算機(jī)程序產(chǎn)品��,其中����,所述計(jì)算機(jī)可讀代碼還被配置為由 第一虛擬機(jī)實(shí)例啟用所述虛擬存儲空間的修改,所述第一虛擬機(jī)實(shí)例沒有與所述第一網(wǎng)絡(luò) 和所述存儲裝置通信����。
26. -種用于訪問所存儲的信息的系統(tǒng),包括: 第一存儲裝置�����,用于存儲所述信息; 第二存儲裝置�����,用于存儲所述信息的實(shí)例���; 第一網(wǎng)絡(luò)�,其在所述第一存儲裝置與所述第二存儲裝置之間提供通信����;以及 第二網(wǎng)絡(luò)�����,其提供對所述信息的所述實(shí)例的訪問��,但不提供對所述第一網(wǎng)絡(luò)和所述第 一存儲裝置的訪問����。
【文檔編號】G06F12/08GK104335189SQ201380026998
【公開日】2015年2月4日 申請日期:2013年4月11日 優(yōu)先權(quán)日:2012年6月28日
【發(fā)明者】K·D·許恩, R·S·伊斯拉姆, B·普拉瓦爾提 申請人:國際商業(yè)機(jī)器公司