[发明专利]将裸机资源清除为在云计算中可使用的可信状态

说明书

一种裸机资源包括可信部分和非可信部分。可信部分包括可信硬件、映像存储库和清除管理器。清除管理器在裸机资源的启动期间可执行以对非可信部分执行清除过程，清除过程包括：删除非可信部分中的BIOS，并且从非可信硬件上的映像存储库加载可信BIOS，以将非可信部分置于可信状态下。裸机资源可以在被置于可信状态下之后被供应给云提供方的租户。

背景技术

云计算通常涉及通过互联网递送计算服务，该计算服务可以涉及服务器、存储装置、数据库、联网、软件等。提供这些计算服务的公司被称为云提供方，并且通常基于使用来向云计算服务进行收费。

通常，云提供方使用虚拟化来实现可以被指派给不同租户的可重用计算资源池。虚拟化是将物理基础设施分开以创建各种专用资源(诸如虚拟机(VM))的技术，这些专用资源可以在相同服务器上运行操作系统和应用的不同实例。使用服务器虚拟化，云提供方可以最大程度地使用服务器资源并减少所需服务器的数量。此外，VM可以作为分离的隔离单元运行，从而提供故障和安全隔离。云提供方可以依赖于虚拟化技术来保护硬件免受各种侵入式攻击，诸如由固件恶意软件引起的攻击、bios级管理程序攻击、BIOS(基本输入/输出系统)/固件覆盖和拒绝服务攻击。通常，系统板上的非易失性存储器模块是这种攻击的目标，这是因为将非易失性存储器作为目标允许攻击在整个系统功率循环中持续存在。虚拟化可以有助于将非易失性存储器模块与这种攻击隔离。

为了提高性能，云计算租户越来越多地需要裸机访问最新高性能硬件和/或加速器，以应对云中的诸如人工智能或机器学习工作负载的工作负载。裸机访问可以包括向租户提供对单租户物理服务器(而非VM)的访问。裸机访问可以允许租户访问裸机服务器上的硬件，诸如以安装自定义驱动程序或固件。

对于云提供方而言向租户提供服务器的裸机访问可以具有挑战。例如，在不具有用于将硬件与攻击隔离的虚拟化层的情况下，维护裸机服务器的安全方面可以存在挑战。此外，不同于可以由管理程序在VM被租户使用完之后终止的VM，不存在用于在裸机服务器被租户使用完之后擦除裸机服务器的高效的自动化机制。

附图说明

在以下描述中参考以下附图详细地描述实施例和示例。通过在附图中示出的示例来说明实施例，在附图中，相同的附图标记指示类似元件。

图1图示了根据实施例的包括裸机资源和可信基础设施设备的系统；

图2示出了根据实施例的发起和执行清除过程的方法；

图3图示了根据实施例的可以采用本文中所描述的原理的云环境；

图4图示了根据实施例的可以采用本文中所描述的原理的数据中心；

图5示出了根据实施例的裸机资源被供应给租户的云环境；以及

图6图示了根据实施例的可以采用本文中所描述的原理的计算系统。

具体实施方式

出于简单和说明之目的，通过主要参考实施例及其示例来描述本公开的原理。在以下描述中，阐述了若干具体细节以便提供对实施例和示例的理解。然而，对于本领域的普通技术人员而言将明显的是，实施例和示例可以在不限制这些具体细节的情况下被实践。在一些实例中，众所周知的方法和/或结构尚未被详细地描述，以免不必要地模糊对实施例和示例的描述。此外，实施例和示例可以以各种组合一起被使用。

根据本公开的实施例，描述了使得能够供应可重新指派的裸机计算机资源的硬件和方法。供应可以由云计算租户的云提供方在云计算环境中执行。图1示出了根据实施例的包括裸机资源110和可信基础设施设备150的系统100。裸机资源110也可以被称为裸机服务器或裸机机器。裸机资源110包括与虚拟服务器相反的物理服务器。在示例中，裸机资源110被分配给云计算环境中的单个租户(例如仅专用于单个租户)，并且租户可以根据需要配置裸机资源110。