[发明专利]一种用于从虚拟计算群提供低延时计算能力的系统及计算机实施的方法

权利要求书

1.一种用于从虚拟计算群提供低延时计算能力的系统，所述系统包括：

电子数据存储，所述电子数据存储被配置为存储用户的至少一个程序代码；以及

虚拟计算系统，所述虚拟计算系统包括执行特定计算机可执行指令的一个或多个硬件计算装置，所述虚拟计算系统与所述电子数据存储通信，并且被配置为至少：

在一个或多个物理计算装置上维持多个虚拟机实例，其中所述多个虚拟机实例包括：预热池，所述预热池包括其上加载有一个或多个软件组件并且等待被分配给用户的虚拟机实例；以及活性池，所述活性池包括当前分配给一个或多个用户的虚拟机实例；

接收在所述虚拟计算系统上执行与特定用户相关联的程序代码的请求，所述请求包括指示所述程序代码和与所述程序代码相关联的所述特定用户的信息；

基于所述接收的请求确定指定要通过其执行所述程序代码的一个或多个安全参数的用户指定的安全策略；

从所述预热池或所述活性池中选择要用于执行所述程序代码的虚拟机实例；

基于所述用户指定的安全策略在所述选择的虚拟机实例中创建容器；以及

致使与所述特定用户相关联的所述程序代码从所述电子数据存储中加载到所述容器中并根据所述安全策略在所述容器中执行。

2.根据权利要求1所述的系统，其中所述一个或多个安全参数包括以下各项中的一个或多个：处理持续时间限制、存储器限制、用于启用传输控制协议(“TCP”)套接字连接的参数、用于启用到所述容器的入站或出站网络连接的参数、用于使所述容器与虚拟专用云进行通信的参数、用于使所述容器与所述选择的虚拟机实例上所包含的第二容器进行通信的参数、用于使所述容器能够与第二虚拟机实例上所包含的第二容器进行通信的参数，以及允许所述容器与所述程序代码相关联地执行的访问受限功能的列表。

3.根据权利要求1所述的系统，其中所述用户指定的安全策略是至少部分基于与所述特定用户相关联的安全策略。

4.一种用于从虚拟计算群提供低延时计算能力的系统，其包括：

虚拟计算系统，所述虚拟计算系统包括执行特定计算机可执行指令的一个或多个硬件计算装置，并且被配置为至少：

基于在所述虚拟计算系统上执行程序代码的请求确定指定要通过其执行所述程序代码的一个或多个安全参数的用户指定的安全策略，所述程序代码与特定用户相关联；

从一个或多个物理计算装置上保持的多个虚拟机实例中选择要用于执行所述程序代码的虚拟机实例，其中所述多个虚拟机实例包括：预热池，所述预热池包括其上加载有一个或多个软件组件并且等待被分配给用户的虚拟机实例；以及活性池，所述活性池包括当前分配给一个或多个用户的虚拟机实例；

基于所述一个或多个安全参数在所述选择的虚拟机实例中获取容器；以及

致使与所述特定用户相关联的所述程序代码至少部分地基于所述用户指定的安全策略而在所述容器中执行。

5.根据权利要求4所述的系统，其中所述一个或多个安全参数包括以下各项中的一个或多个：处理持续时间限制、存储器限制、用于启用传输控制协议(“TCP”)套接字连接的参数、用于启用到所述容器的入站或出站网络连接的参数、用于使所述容器能够与辅助服务进行通信的参数、用于使所述容器能够与所述选择的虚拟机实例上所包含的第二容器进行通信的参数、用于使所述容器能够与第二虚拟机实例上所包含的第二容器进行通信的参数，以及允许所述容器与所述程序代码相关联地执行的访问受限功能的列表。

6.根据权利要求4所述的系统，其中所述安全策略还指定要被分配用于在所述虚拟计算系统上执行所述程序代码的计算资源量，并且其中在所述虚拟机实例上创建所述容器至少包括从所述虚拟机实例上可用的计算资源中分配指示的计算资源量。

7.根据权利要求4所述的系统，其中所述安全策略还包括配置数据，所述配置数据至少指示要使用可信凭证来执行的所述程序代码的第一部分和不使用所述可信凭证执行的所述程序代码的第二部分。

8.根据权利要求4所述的系统，其中所述用户指定的安全策略是至少部分基于与所述特定用户相关联的安全策略。