云服务的流线型安全部署制造技术

本文公开了用于云计算环境中的云服务的流线型安全部署的技术。在一个实施例中，一种方法可以包括：响应于接收到在云计算系统中部署云服务的指令，创建对云计算系统中的资源的部署订阅，部署订阅由部署服务拥有；以及根据所创建的部署订阅，实例化由云计算系统中的部署服务可访问的一个或多个计算资源。方法还包括：基于具有经实例化的一个或多个计算资源的清单来取回与云服务相对应的应用的一个或多个组件；以及根据在清单中标识的安装顺序在云计算系统中安装所取回的应用的一个或多个组件。

【技术实现步骤摘要】
【国外来华专利技术】云服务的流线型安全部署
技术介绍
远程或“云”计算通常利用远程服务器的集合来提供计算、数据存储、电子通信或其他云服务。计算机网络可以互连远程服务器，以形成具有一个或多个计算集群的计算结构。在操作期间，计算结构中的多个服务器可以协作以提供支持执行用户应用的分布式计算环境，以便提供期望的云服务。
技术实现思路
该
技术实现思路
被提供来以简化的形式介绍对于下面在详细描述中进一步被描述的概念的选择。该
技术实现思路
不旨在标识所要求保护的主题的关键特征或者必要特征，也不旨在被用于限制所要求保护的主题的范围。云计算系统可以包括被配置为经由计算机网络提供各种云计算服务的大量远程服务器或节点。取决于访问限制，云计算系统或“云”可以是公共的或私有的。例如，公共云向公众提供云服务的订阅，而由于安全性、数据保护、隐私或其他考虑，私有云仅由组织的用户可访问。公共云的示例包括MicrosoftAmazonWeb和Google另一方面，公司、大学、政府实体和其他组织通常可以将专用服务器、数据中心或其他计算设施配置为仅将云服务部署为内部使用。这种云计算系统通常被称为私有云。公共云和私有云计算系统可以彼此提供不同的资源、资源能力、特征或其他操作特性。由于云平台的部署版本、云应用、服务类型提供、可用资源内容或资源属性能力的改变，前述差异通常可以是动态的。例如，与公共云相比，私有云通常在受限的基础设施拓扑中操作。因此，私有云通常提供较少的基础设施故障域或其他计算能力。在另一示例中，私有云通常不提供各种基础设施种类，诸如服务器类型、存储能力等。因此，资源属性能力(诸如私有云服务器中的可部署虚拟机类型)可能会受到限制。在又一示例中，私有云可以提供在公共云中可用的可用应用编程接口(“API”)版本的子集。在又一示例中，与在公共云中提供的并且可以在私有云的稍后版本中提供的资源相比，特定版本的私有云可以具有不同的可用资源集。公共云和私有云之间的差异可能会导致新的/更新的云应用/服务的部署需要不同的部署过程，而私有云提供方可能不容易适应这些过程。例如，公共云提供方(例如Amazon.com公司)通常具有开发人员团队，该团队开发与云服务相对应的应用和关联组件。在部署期间，开发团队可以通过使用部署脚本标识、安装、调试和/或对云服务的各个应用组件执行其他合适的动作来支持云服务的部署。因此，在开发团队的支持下，这种部署过程可以令人满意地操作。然而，当私有云提供方由于各种资源或能力差异而尝试部署或更新相同的云服务时，用于公共云的前述部署过程可能无法令人满意地操作。通常，私有云提供方没有专用于云服务的开发团队，私有云提供方也没有从公共云提供方访问开发团队的权限。因此，涉及调整部署脚本等的复杂部署过程往往会阻止私有云提供方部署新的云服务。因此，私有云的用户体验可能会被降低。所公开技术的几个实施例涉及云计算系统中的云服务的流线型安全部署，甚至无需访问云服务的开发团队。在某些实现中，所公开的技术可以提供“设备体验(applianceexperience)”，据此，与所部署的云服务相关联的内部组件被保持在内部并且对云服务提供方不可见。因此，云服务的实现(资源，诸如用于管理虚拟机的管理程序、用于分配用户存储账户的存储硬件服务、或者用于管理内部服务标识的域控制器等)被视为内部组件或“内脏(guts)”，并被保持在内部且不暴露于云服务提供方。在一个示例实现中，部署服务或部署资源提供方(DRP)是在云计算系统(例如公共云或私有云)中提供的，以用于在云计算系统中部署、更新、故障排除和/或以其他方式管理资源。当新的云服务(或对现有云服务的更新)被存放到DRP(例如从公共云)时，新的云服务的部署清单被提供以在部署或更新新的云服务时引导DRP。部署清单可以包括表示以下的数据：应用组件列表、应用组件更新列表、安装顺序、应用组件的配置简档、以及关于应用组件安装的其他合适信息。部署清单可以采用任何合适的文件格式，诸如JavaScript对象符号(JSON)。当被激活时，DRP通过在新的云服务要被部署的云计算系统中创建新的特殊订阅(在本文中称为“部署订阅”)来执行“自举(bootstrapping)”操作。取决于部署清单，部署订阅可以采用“消耗”或“计量”计费模式。与由云计算系统的实际用户或管理员拥有的典型订阅不同，部署订阅由DRP拥有，并且对云计算系统的任何实际用户或管理员都是不可见的。这种不可见性允许部署订阅保持从用户隐藏，同时在内部提供部署和运行新的云服务的能力。一旦部署订阅在云计算系统中被创建，DRP就可以基于部署清单来创建被用于支持部署过程的初始资源集。例如，初始资源集可以包括密钥保管库或适合于存储凭证、虚拟机、容器(例如Docker容器)、存储账户等的其他合适的秘密存储装置，其被配置为收集用户提供的输入(例如秘密，诸如密码等)以进行云服务部署。通常，用户提供的输入数据可以包括诸如安全性凭证等参数，这些参数允许云服务在云计算系统中操作。在某些实现中，初始资源集可以具有描述可以被用于存储和验证用户提供的值的确切要求(例如安全性凭证的类型等)的元数据。另一预部署操作可以包括收集其余的非秘密参数，诸如用户偏好等。在所有输入被收集之后，DRP可以开始部署过程。与开发团队的典型部署不同，在该典型部署中团队成员知道(多个)部署脚本的确切细节并且具有直接访问计算环境的能力(例如出于故障排除的目的)，DRP可以被配置为执行部署，而不是云计算系统的用户或管理员。在一个示例中，用户指导DRP部署云服务，并且作为响应，DRP取回部署清单中指定的(多个)资源管理器模板(其被签名并且对用户隐藏)，根据资源管理器模板(例如从公共云)取回合适的组件或组件更新，并且部署所取回的组件或组件更新。DRP可以被配置为执行复杂部署的多个操作，包括创建和删除资源，调用端点(例如虚拟机)等。为了添加新的云服务并“扩展”云计算系统，API集合(例如*.提供方命名空间)可以在云计算系统中实现。因此，将用户暴露于所部署的云服务的“内脏”可以被避免。用户还可以被防止干扰在部署云服务期间涉及的内容，因为用户无法访问这种内容。所公开技术的另一方面涉及管理在云计算系统中提供某些云服务所需的秘密。通常，秘密被保存在安全的位置(例如密钥保管库或其他合适类型的秘密存储装置)，其中云服务可以访问已保存的秘密。然而，这种方法可能具有多个缺点。例如，使云服务提供方(例如管理员)直接访问秘密被存储的安全位置可以创建云服务提供方错误地修改或“操作失误(fat-finger)”一个或多个所存储的秘密的机会。云服务提供方可能还会无意中将无效的秘密(错误的域、错误的凭证类型等)供应到安全位置。而且，一些秘密同时具有公共和私有部分(例如公钥和私钥)，并且需要以一致的方式来更新。前述问题中的任何一个都可能会导致云服务无法操作，并且对于部署云服务的“设备”样式操作是不可接受的。为了解决这种问题的至少某些方面，DRP可以被配置为在云服务提供方(人类)和消耗秘密的云服务之间提供间接性。DRP确保秘密有效，并针对公共和私有部分进行适当更新。根据所公开技术本文档来自技高网...

【技术保护点】
1.一种用于云计算系统中的云服务的流线型安全部署的方法，所述云计算系统具有多个服务器，所述多个服务器执行指令以提供部署服务，所述方法包括：/n在接收到在所述云计算系统中部署云服务的指令后，/n创建对所述云计算系统中的资源的部署订阅，所述部署订阅由所述部署服务拥有；/n根据所创建的所述部署订阅，实例化所述云计算系统中的一个或多个计算资源；以及/n使用经实例化的所述计算资源，/n基于标识一个或多个组件的清单和与所述云服务相对应的应用的一个或多个组件的安装顺序来取回所述应用的所述一个或多个组件；以及/n根据在所述清单中被标识的所述安装顺序来将所述应用的所取回的所述一个或多个组件安装在所述云计算系统中；以及/n与所述云计算系统中的所述服务器中的一个或多个服务器一起执行所述应用的所安装的所述一个或多个组件，以使所述云服务对所述云计算系统的用户可用，而无需将所述应用的所述一个或多个组件暴露于所述用户。/n

【技术特征摘要】
【国外来华专利技术】20181129 US 62/772,920;20190301 US 16/290,5511.一种用于云计算系统中的云服务的流线型安全部署的方法，所述云计算系统具有多个服务器，所述多个服务器执行指令以提供部署服务，所述方法包括：
在接收到在所述云计算系统中部署云服务的指令后，
创建对所述云计算系统中的资源的部署订阅，所述部署订阅由所述部署服务拥有；
根据所创建的所述部署订阅，实例化所述云计算系统中的一个或多个计算资源；以及
使用经实例化的所述计算资源，
基于标识一个或多个组件的清单和与所述云服务相对应的应用的一个或多个组件的安装顺序来取回所述应用的所述一个或多个组件；以及
根据在所述清单中被标识的所述安装顺序来将所述应用的所取回的所述一个或多个组件安装在所述云计算系统中；以及
与所述云计算系统中的所述服务器中的一个或多个服务器一起执行所述应用的所安装的所述一个或多个组件，以使所述云服务对所述云计算系统的用户可用，而无需将所述应用的所述一个或多个组件暴露于所述用户。


2.根据权利要求1所述的方法，其中创建所述订阅包括：
从所述部署服务向所述云计算系统的资源管理器发送对所述部署订阅的请求；以及
从所述资源管理器接收所请求的所述部署订阅的授权以用于访问所述云计算系统中的所述资源，所述授权标识所述云计算系统中的、由所述部署服务可访问的资源的数量或类型中的一个或多个。


3.根据权利要求1所述的方法，其中实例化所述一个或多个计算资源包括实例化所述云计算系统中的以下一项或多项：秘密存储装置、虚拟机、或存储账户，所述秘密存储装置、所述虚拟机、容器或所述存储账户仅由所述部署服务可访问而无法由所述云计算系统的管理员或用户访问。


4.根据权利要求1所述的方法，其中：
实例化所述一个或多个计算资源包括实例化虚拟机或容器中的一个或多个；以及
使用经实例化的所述计算资源包括：利用所述部署服务，指导经实例化的所述虚拟机或所述容器取回所述应用的所述一个或多个组件，并且根据所述安装顺序在所述云计算系统中安装或更新所述应用的所取回的所述一个或多个组件。


5.根据权利要求1所述的方法，还包括：
使用经实例化的所述计算资源来收集来自所述云计算系统的管理员的账户凭证；以及
其中取回应用的所述一个或多个组件包括使用来自所述管理员的所收集的所述账户凭证来取回应用的所述一个或多个组件。


6.根据权利要求1所述的方法，其...

【专利技术属性】
技术研发人员：V·波格雷宾斯凯，S·波波夫，A·W·埃格尔，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国;US