公开(公告)号：CN117561699A

公开(公告)日：2024-02-13

申请号：CN202280045019.0

申请日：2022-05-23

Applicant: 微软技术许可有限责任公司

Inventor： S·克勒布施 ,  S·沃洛斯 ,  S·艾伦 ,  A·尼诺·迪亚兹 ,  J·斯塔克斯 ,  K·戈登 ,  M·科斯塔

IPC: H04L9/40

Abstract: 一种包括托管服务的系统被配置为执行：向处理单元的中央处理单元上的受信实体提供针对虚拟机(VM)的启动的命令；针对客户操作系统，向VM分配存储器的至少一部分；向受信实体提交用以测量VM的地址空间的请求，以提供客户操作系统的地址空间的测量摘要；在配置对象中包括用户针对服务逻辑提供的策略，其中该策略定义针对服务逻辑的一个或多个规则，其中该一个或多个规则包括针对哪些容器可以在客户操作系统中运行的至少一个规则；对该策略进行哈希处理以提供策略的哈希摘要；向受信实体提交策略的哈希摘要；以及完成VM的启动。

公开(公告)号：CN115885261A

公开(公告)日：2023-03-31

申请号：CN202180040280.7

申请日：2021-04-06

Applicant: 微软技术许可有限责任公司

Inventor： A·T·郭 ,  F·J·史密斯四世 ,  J·斯塔克斯 ,  L·罗伊特 ,  D·托马斯 ,  H·R·普拉帕卡 ,  B·M·舒尔茨 ,  J·J·刘

IPC: G06F9/455 ,  G06F21/53

Abstract: 细粒度可选择的部分特权容器虚拟计算环境提供了载体，通过该载体可以将涉及修改主机计算环境的特定方面的进程传递给主机计算环境并在其上执行，同时维持在主机计算环境的其余方面和部分特权的容器计算环境之间有利的和期望的保护和隔离。这样的部分特权是基于直接或间接描述的如下动作来提供的：允许由在部分特权容器虚拟计算环境中执行的进程在主机计算环境上进行的动作和不允许的动作。主机计算环境操作系统的各方面(诸如，内核)被扩展为对接到以容器为中心的机制以接收如下的信息，该信息关于内核可以允许或拒绝哪些动作，即使尝试这样的动作的进程本来具有足够的特权。