境中被逻辑分组在一起形成服务器群206。服务器群206可以包括地理分散但被逻辑分组在一起的服务器206,或彼此位置接近而被逻辑分组在一起的服务器206。在某些实施例中,服务器群206内的地理分散服务器206a-206n可以使用WAN (广域),MAN (城域)或LAN(局域)通信,其中不同的地理区可以被表征为:不同大洲;洲的不同区域;不同国家;不同州;不同城市;不同校区;不同房间;或前述地理位置的任何组合。在某些实施例中,服务器群206可以作为单一实体来管理,而在其他实施例中,服务器群206可以包括多个服务器群。
[0052]在某些实施例中,服务器群可以包括执行大致类似类型的操作系统平台(例如,WINDOWS、UNIX、LINUX、1S、ANDROID、SYMBIAN等)的服务器206。在其他实施例中,服务器群206可以包括执行第一类型操作系统平台的第一组的一个或多个服务器,以及执行第二类型操作系统平台的第二组的一个或多个服务器。
[0053]服务器206可以根据需要被配置为任何类型的服务器,例如第一服务器,应用服务器,网页服务器,代理服务器,设备,网络设备,网关,应用网关,网关服务器,虚拟化服务器,部署服务器,SSL VPN服务器,防火墙,网页服务器,应用服务器或被配置为主应用服务器,执行动态目录的服务器,或执行提供防火墙功能、应用功能或负载平衡功能的应用加速程序的服务器。也可以使用其他服务器类型。
[0054]某些实施例包括第一服务器106a,该服务器接收来自客户端机器240的请求,向第二服务器106b转发请求,以及对由客户端机器240根据来自第二服务器106b的响应所生成的请求做出反应。第一服务器106a可以获得可用于客户端机器240的应用的列举以及与托管在应用列举内被识别的应用的应用服务器206相关联的地址信息。第一服务器106a可随后使用网页界面对客户端的请求呈现响应,并且与客户端240直接通信以向客户端240提供对被识别应用的访问。一个或多个客户端240和/或一个或多个服务器206可以在网络230 (例如网络101)上传送数据。
[0055]图2示出说明性桌面虚拟化系统的高级别架构。如所示,桌面虚拟化系统可以是单个服务器或多服务器系统或云系统,其包括至少一个虚拟化服务器206,虚拟化服务器206经配置向一个或多个客户端访问装置240提供虚拟桌面和/或虚拟应用。如本文所使用的,桌面指的是一个或多个应用可以在其中被托管和/或执行的图形环境或空间。桌面可以包括提供用于操作系统的实例的用户界面的图形壳,本地和/或远程应用可以被集成到该图形壳中。应用可以包括在操作系统的实例(以及,可选地,也包括桌面)已被加载后执行的程序。每个操作系统的实例可以是物理的(例如,每个装置一个操作系统)或虚拟化的(例如,在单个装置上运行的许多OS实例)。每个应用可以在本地装置上执行,或在远程定位的(例如,远程的)装置上执行。
[0056]进一步参考图3,计算机装置301可以被配置为虚拟化环境或云计算环境中的虚拟化服务器(例如单个服务器、多个服务器)。在图3中示出的虚拟化服务器301可以被部署为在图2中示出的服务器206的一个或多个实施例和/或由其实施,或通过其他已知的计算装置来实施。包括在虚拟化服务器301中的是硬件层,其可以包括一个或多个物理盘304、一个或多个物理装置306、一个或多个物理处理器308和一个或多个物理存储器316。在某些实施例中,固件312可以被存储在物理存储器316中的存储器元件内并且可以由物理处理器308中的一个或多个执行。虚拟化服务器301还可以包括操作系统314,其可以被存储在物理存储器316的存储器元件中并由物理处理器308中的一个或多个执行。更进一步,超级管理器302可以被存储在物理存储器316中的存储器元件中并可以由物理处理器308中的一个或多个执行。
[0057]在物理处理器308中的一个或多个上执行的可以是一个或多个虚拟机332A-C ( —般称为332) ο每个虚拟机332可以具有虚拟盘326A-C和虚拟处理器328A-C。在某些实施例中,第一虚拟机332A可以使用虚拟处理器328A执行包括工具堆栈324的控制程序320。控制程序320可以被称为控制虚拟机、DomO、域0,或用于系统管理和/或控制的其他虚拟机。在某些实施例中,一个或多个虚拟机332B-C可以使用虚拟处理器328B-C执行访客(guest)操作系统330A-B。
[0058]虚拟化服务器301可以包括与虚拟化服务器301通信具有一片或多片硬件的硬件层310。在某些实施例中,硬件层310可以包括一个或多个物理盘304、一个或多个物理装置306、一个或多个物理处理器308和一个或多个存储器216。物理组件304、306、308和316可以包括例如上文所述的组件中的任意一个。物理装置306可以包括例如网络接口卡、视频卡、键盘、鼠标、输入装置、监视器、显示装置、扬声器、光学驱动器、存储装置、通用串行总线连接、打印机、扫描器、网络元件(例如,路由器、防火墙、网络地址转换器、负载平衡器、虚拟化专用网络(VPN)网关、动态主机配置协议(DHCP)路由器等)或与虚拟化服务器301连接或通信的任何装置。硬件层310中的物理存储器316可以包括任何类型的存储器。物理存储器316可以存储数据,并且在某些实施例中可以存储一个或多个程序或一组可执行指令。图3示出其中固件312被存储在虚拟化服务器301的物理存储器316内的实施例。存储在物理存储器316中的程序或可执行指令可以由虚拟化服务器301的一个或多个处理器308来执行。
[0059]虚拟化服务器301还可以包括超级管理器302。在某些实施例中,超级管理器302可以是一种程序,其由虚拟化服务器301上的处理器308来执行,以形成和管理任何数量的虚拟机332。超级管理器302可以被称为虚拟机监视器或平台虚拟化软件。在某些实施例中,超级管理器302可以是监控在计算机器上执行的虚拟机的可执行指令和硬件的任何组合。超级管理器302可以是类型2的超级管理器,其中,该超级管理器在执行于虚拟化服务器301上的操作系统314内执行。虚拟机随后在高于该超级管理器的级别执行。在某些实施例中,类型2超级管理器在用户操作系统的背景内执行,使得类型2超级管理器与用户的操作系统交互。在其他实施例中,在虚拟化环境中的一个或多个虚拟化服务器201可以替代包括类型I超级管理器(未示出)。类型I超级管理器可以通过直接访问硬件层310内的硬件和资源在虚拟化服务器301上执行。就是说,虽然类型2超级管理器302通过如所示的主机操作系统314访问系统资源,但是类型I超级管理器无需主机操作系统314可以直接访问所有系统资源。类型I超级管理器可以在虚拟化服务器301的一个或多个物理处理器308上直接执行,并且可以包括存储在物理存储器316中的程序数据。
[0060]在某些实施例中,超级管理器302可以向操作系统330或控制程序320提供虚拟化资源,操作系统330或控制程序320以模拟直接访问系统资源的操作系统330或控制程序的方式在虚拟机332上执行。系统资源可以包括但不限于物理装置306、物理盘304、物理处理器308、物理存储器316和包括在虚拟化服务器301硬件层310中的任何其他组件。超级管理器302可以被用于仿真虚拟化硬件、分区物理硬件、虚拟化物理硬件和/或执行提供访问计算环境的虚拟机。在另外的其他实施例中,超级管理器302控制用于在虚拟化服务器301上执行的虚拟机332的处理器调度和存储器分区。超级管理器302可以包括由加利福尼亚州帕罗奥图(Palo Alto, California)的VMWare公司制造的那些超级管理器;Xen超级管理器,其是其开发由开源xen.0rg社区监督的开源产品;由微软提供的HyperV、VirtualServer或虚拟PC超级管理器或者其他超级管理器。在某些实施例中,虚拟化服务器301执行形成虚拟机平台的超级管理器302,访客操作系统可以在该虚拟机平台上执行。在这些实施例中,虚拟化服务器301可以被称为主机服务器。此类虚拟化服务器的示例是由佛罗里达州劳德代尔堡的Citrix Systems公司提供的XEN SERVER。
[0061]超级管理器3002可以形成访客操作系统330在其中执行的一个或多个虚拟机332B-C (一般被称为332)。在某些实施例中,超级管理器302可以加载虚拟机图像以形成虚拟机332。在其他实施例中,超级管理器302可以在虚拟机332内执行访客操作系统330。在另外的其他实施例中,虚拟机332可以执行访客操作系统330。
[0062]除了形成虚拟机332以外,超级管理器302可以控制至少一个虚拟机332的执行。在其他实施例中,超级管理器302可以向至少一个虚拟机332呈现由虚拟化服务器301提供的至少一个硬件资源(例如,硬件层310内可用的任何硬件资源)的抽象。在其他实施例中,超级管理器302可以控制虚拟机332以其访问虚拟化服务器301中可用的物理处理器308的方式。控制对物理处理器308的访问可以包括确定虚拟机332是否应当访问处理器308,以及物理处理器的性能如何向虚拟机332呈现。
[0063]如图3中所示,虚拟化服务器301可以托管或执行一个或多个虚拟机332。虚拟机332是一组可执行指令,当该其被处理器308执行时,其初始化物理计算机的运行,使得虚拟机332更像物理计算装置执行程序和过程。虽然图3示出其中虚拟化服务器301托管三个虚拟机332的实施例,但是在其他实施例中,虚拟化服务器301可以托管任何数量的虚拟机332。在某些实施例中,超级管理器302向每个虚拟机332提供该虚拟化机332可用的物理硬件、存储器、处理器和其他系统资源的独特虚拟视图。在某些实施例中,该独特虚拟视图可以基于虚拟机允许、一个或多个虚拟化机识别符的策略引擎的应用、访问虚拟机的用户、在虚拟机上执行的应用、由虚拟机访问的网络中的一个或多个,或任何其他期望的标准。例如,超级管理器302可以形成一个或多个非安全的虚拟机332和一个或多个安全的虚拟机332。非安全的虚拟机332可以被阻止访问可能允许安全虚拟机332访问的资源、硬件、存储器位置和程序。在其他实施例中,超级管理器302可以向每个虚拟机332提供该虚拟化机332可用的物理硬件、存储器、处理器和其他系统资源的大致相似的虚拟视图。
[0064]每个虚拟化机332可以包括虚拟盘326A-C(—般称为326)和虚拟处理器328A-C (—般称为328)。在某些实施例中,虚拟盘326是虚拟化服务器301的一个或多个物理盘304或虚拟化服务器301的一个或多个物理盘304的一部分的虚拟化视图。物理盘304的虚拟化视图可以由超级管理器302生成、提供和管理。在某些实施例中,超级管理器302向每个虚拟机332提供物理盘304的独特视图。因此,在这些实施例中,当与其他虚拟盘326比较时,包括在每个虚拟机332中的特定虚拟盘326可以是独特的。
[0065]虚拟处理器328可以是虚拟化服务器301的一个或多个物理处理器308的虚拟化视图。在某些实施例中,物理处理器308的虚拟化视图可以由超级管理器302生成、提供和管理。在某些实施例中,虚拟处理器328几乎具有至少一个物理处理器308的全部相同特征。在其他实施例中,虚拟化处理器308提供物理处理器308的更改视图,使得虚拟处理器328的特性中的至少某些特性不同于对应物理处理器308的特性。
[0066]进一步参考图4,本文所述的某些方面可以在基于云的环境中实施。图4示出云计算环境(或云系统)400的示例。如在图4中可以看出,客户端计算机411-414可以与云管理服务器410通信以访问云系统的计算资源(例如,主机服务器403、存储资源404和网络资源405)。
[0067]管理服务器410可以在一个或多个物理服务器上实施。管理服务器410除了可以运行其他软件以外,还可以运行例如佛罗里达州劳德代尔堡Citrix Systems公司的CLOUDSTACK或OPENSTACK。管理服务器410可以管理各种计算资源,该计算资源包括云硬件和软件资源,例如主机计算机403、数据存储装置404和联网装置405。云硬件和软件资源可以包括专用和/或公共组件。例如,云可以被配置为由一个或多个特定客户或客户端计算机411-414使用和/或在专用网络上使用的专用云。在其他实施例中,公共云或混合的公共-专用云可以由其他客户在开放或混合网络上使用。
[0068]管理服务器410可以经配置提供用户界面,云操作员和云客户可以通过该用户界面与云系统交互。例如,管理服务器410可以向一组API和/或一个或多个云操作员控制台应用(例如,基于独立应用的网页)提供用户界面以允许云操作员管理云资源、配置虚拟化层、管理客户账户并执行其他云管理任务。管理服务器410还可以包括带有用户界面的一组API和/或一个或多个客户控制台应用,该用户界面经配置经由客户端计算机411-414接收来自终端用户的云计算请求(例如形成、更改或破坏云内的虚拟机的请求)。客户端计算机411-414可以经由互联网或其他通信网络连接到管理服务器410,并且可以请求访问由管理服务器410管理的计算资源中的一个或多个计算资源。响应于客户端请求,管理服务器410可以包括资源管理器,该资源管理器经配置基于客户端请求选择和提供云系统的硬件层中的物理资源。例如,管理服务器410和云系统的另外组件可以经配置在网络(例如,互联网)上在客户端计算机411-414提供、形成和管理用于客户的虚拟机和它们的运行环境(例如,超级管理器、存储资源、由网络元件提供的服务等),向客户提供计算资源、数据存储服务、联网性能以及计算机平台和应用支持。云系统还可以经配置提供各种指定服务,各种指定服务包括安全系统、开发环境、用户界面等。
[0069]特定客户端411-414可以例如与形成代表相同终端用户或附属于相同公司或组织的不同用户的虚拟机的不同客户端计算机相关。在其他示例中,特定客户端411-414可以与例如附属于不同公司或组织的用户不相关。对于不相关的客户端,虚拟机上的信息或任何一个用户的存储可以相对于其他用户被隐藏。
[0070]现在参考云计算环境的物理硬件层,可用区401-402(或各区)可以指的是布置的一组物理计算资源。在整个计算资源云中的各区可以与其他区地理分隔。例如,区401可以是位于加利福尼亚州的第一云数据中心,以及区402可以是位于佛罗里达州的第二云数据中心。管理服务器410可以被定位在各可用区中的一个可用区或分开的位置。每个区可以包括通过网关与在该区外面的装置(诸如管理服务器410)接合的内部网络。云的终端用户(例如,客户端411-414)可能或可能未感知到各区之间的区别。例如,终端用户可以请求形成具有指定量的存储器、处理能力和网络能力的虚拟机。管理服务器410可以响应于用户的请求并可以分配资源以形成虚拟机,而无需用户知道该是否使用来自区401或区402的资源来形成虚拟机。在其他示例中,云系统可以允许终端用户请求将虚拟机(或其他云资源)分配在指定区中或区内的指定资源403-405上。
[0071]在这个示例中,每个区401-402可以包括各种物理硬件组件(或计算资源)403-4-5的布置,所述各种物理硬件组件例如,物理托管资源(或处理资源)、物理网络资源、物理存储资源、交换机、以及可以用于向客户提供云计算服务的另外硬件资源。在云区401-402中的物理托管资源可以包括一个或多个计算机服务器403 (诸如上述的经配置可以形成和托管虚拟机实例的虚拟化服务器301)。在云区401或402中的物理网络资源可以包括一个或多个网络元件405 (例如,网络服务供应商),其包括经配置向云客户提供网络服务的硬件和/或软件(诸如防火墙、网络地址转换器、负载平衡器、虚拟专用网络(VPN)网关、动态主机配置协议(DHCP)路由器等等)。在云区401-402中的存储资源可以包括存储盘(例如,固态硬盘(SSD)、硬磁盘等)以及其他存储装置。
[0072]在图4中示出的示例云计算环境还可以包括虚拟化层(例如,如图1-3中所示),该虚拟化层具有经配置形成和管理虚拟机和使用云中的物理资源向客户提供其他服务的另外硬件和/或软件资源。虚拟化层可以包括如上面在图3中所述的超级管理器以及提供网络虚拟化、存储虚拟化等的其他组件。该虚拟化层可以作为与物理资源层分开的层,或可以与物理资源层共享相同的硬件和/或软件资源的部分或全部。例如,虚拟化层可以包括被安装在带有物理计算资源的虚拟化服务器403中的每个中的超级管理器。可以另选使用已知的云系统,例如WINDOWS AZURE (华盛顿雷德蒙德的微软公司),AMAZON EC2 (华盛顿西雅图(Seattle, Washington)的 Amazon, com 公司),IBM BLUE CLOUD (纽约阿蒙克(Armonk, New York)的IBM公司)或其他云系统。
[0073]企业移动管理架构
[0074]图5表示用于在BYOD环境中使用的企业移动技术架构500。该架构允许移动装置502的用户从移动装置502访问企业或个人资源两方面并使用移动装置502用于个人用途。用户可以使用由该用户购买的移动装置502或由企业向用户提供的移动装置502访问此类企业资源504或企业服务508。用户可以使用移动装置502仅用于业务用途或用于业务和个人用途。移动装置可以运行1S操作系统和安卓操作系统或类似操作系统。企业可以选择实施以管理移动装置504的策略。该策略可以通过防火墙或网关以移动装置可以被识别、保障或安全被验证并提供选择性访问或全部访问企业资源的方式来植入。该策略可以是移动装置管理策略、移动应用管理策略、移动数据管理策略或移动装置、应用和数据管理策略的某些组合。通过移动装置管理策略的应用来管理的移动装置504可以被称为登记
目.ο
[0075]移动装置的操作系统可以被划分为管理分区510和未管理分区512。管理分区510可以具有将其应用使运行在管理分区上的应用和存储在管理分区中的数据安全的策略。运行在管理分区上的应用可以是安全应用。在其他实施例中,所有应用可以根据从应用分开接收的一组一个或多个策略文件来执行,并且当应用在装置上执行时,所述策略文件定义一个或多个安全参数、特征、资源限制和/或由移动装置管理系统执行的其他访问控制。通过根据他们相应的策略文件运行,可以允许或限制每个应用与一个或多个其他应用和/或资源通信,从而形成虚拟分区。因此,如本文所使用的,分区可以指的是存储器的物理分区部分(物理分区)、存储器的逻辑分区部分(逻辑分区)和/或如本文所述由于跨多个应用执行一个或多个策略和/或策略文件所形成的虚拟分区。换言之,通过在被管理应用上执行策略,这些被管理应用可以被限制仅能与其他被管理应用和值得信任的企业资源通信,从而形成未被管理应用和装置难以渗透的虚拟分区。
[0076]安全应用可以是电子邮件应用、网页浏览应用、软件即服务(SaaS)访问应用、Windows应用程序访问应用等。安全应用可以是安全本地应用514,由安全应用启动器518执行的安全远程应用522,由安全应用启动器518执行的虚拟化应用526等。安全本地应用514可以由安全应用包装器520来包装。安全应用包装器520可以包括集成策略,当在装置上执行安全本地应用时,该集成策略在移动装置502上执行。安全应用包装器520可以包括将在移动装置502上运行的安全本地应用514指向在企业托管的资源的元数据,在该企业该安全本地应用514可以要求完成在执行安全本地应用514时请求的任务。由安全应用启动器518执行的安全远程应用522可以在安全应用启动器应用518内执行。由安全应用启动器518执行的虚拟化应用526可以利用移动装置502上、在企业资源504的资源等。移动装置502上由安全应用启动器518所执行的虚拟化应用526所使用的资源可以包括用户交互资源、处理资源等。用户交互资源可以被用于收集和传送键盘输入、鼠标输入、照相机输入、触觉输入、音频输入、视觉输入、手势输入等。处理资源可以用于呈现用户界面、处理从企业资源504接收的数据等。在企业资源504由安全应用启动器518所执行的虚拟化应用526所使用的资源可以包括用户界面生成资源、处