访问数据的方法、装置及系统.pdf

本发明公开了一种访问数据的方法、装置及系统，该方法包括：接收来自公共虚拟机的数据访问请求，以请求访问存储系统上的原始数据，数据访问请求包括用户相关的信息和与用户对应的操作类型；根据操作类型，判断数据访问请求所请求访问的数据是否是具有访问权限属性的数据；如果是，则根据本地内存中存储的与请求访问的数据对应的元数据，确定数据访问请求是否有访问的权限，其中，元数据包括用户相关的信息和与用户对应的操作类型，本地内存中存储的元数据是本地从存储系统中加载而来的；如果数据访问请求有访问的权限，则允许公共虚拟机通过私有虚拟机本身访问存储系统中存储的原始数据。通过上述方式，本发明能够为鉴权的访问请求提供加速。

权利要求书
1.  一种访问数据的方法，其特征在于，公共虚拟机的虚拟硬盘映射 在存储系统中，私有虚拟机部署在所述公共虚拟机和所述存储系统之 间，所述公共虚拟机通过所述私有虚拟机访问所述存储系统，且所述私 有虚拟机与所述存储系统之间可以互相传输信息，所述方法包括：
私有虚拟机接收来自公共虚拟机的数据访问请求，以请求访问存储 系统上的原始数据，所述数据访问请求包括用户相关的信息和与所述用 户对应的操作类型；
所述私有虚拟机根据所述操作类型，判断所述数据访问请求所请求 访问的数据是否是具有访问权限属性的数据；
如果是，则所述私有虚拟机根据本地内存中存储的与所述请求访问 的数据对应的元数据，确定所述数据访问请求是否有访问的权限，其中， 所述元数据包括用户相关的信息和与所述用户对应的操作类型，所述本 地内存中存储的元数据是所述私有虚拟机从所述存储系统中加载而来 的；
如果所述数据访问请求有访问的权限，则所述私有虚拟机允许所述 公共虚拟机通过所述私有虚拟机本身访问所述存储系统中存储的所述 原始数据。

2.  根据权利要求1所述的方法，其特征在于，所述私有虚拟机接收 来自公共虚拟机的数据访问请求，以请求访问存储系统上的原始数据的 步骤之前，包括：
所述私有虚拟机加载所述存储系统上的与有访问权限的原始数据 对应的元数据；
所述与有访问权限的原始数据对应的元数据加载完毕后，所述私有 虚拟机将本地的IP地址更换为第一IP地址，并通知所述存储系统将其 IP地址更换为非第一IP地址，其中，所述第一IP地址为所述存储系统 在更换前的IP地址。

3.  根据权利要求1或2所述的方法，其特征在于，所述私有虚拟机 根据所述操作类型，判断所述请求访问的数据是否是具有访问权限属性 的数据的步骤之后，包括：
如果是具有访问权限属性的数据，且所述私有虚拟机的本地内存中 没有存储与所述请求访问的数据对应的元数据，则所述私有虚拟机通过 FileRPC协议从所述存储系统获取与所述请求访问的数据对应的元数 据，并根据获取的与所述请求访问的数据对应的元数据，确定所述数据 访问请求是否有访问的权限。

4.  根据权利要求1所述的方法，其特征在于，所述方法还包括：
所述私有虚拟机接收来自所述存储系统的召回信息，所述召回信息 通知所述私有虚拟机发生改变的元数据，以便于所述私有虚拟机对所述 发生改变的元数据进行失效处理。

5.  根据权利要求1-4任一项所述的方法，其特征在于，所述方法还 包括：
所述私有虚拟机根据所述公共虚拟机的操作习惯，预先通过 FileRPC协议从所述存储系统获取所述公共虚拟机将要访问的数据所对 应的元数据。

6.  一种访问数据的装置，其特征在于，公共虚拟机的虚拟硬盘映射 在存储系统中，所述装置部署在所述公共虚拟机和所述存储系统之间， 所述公共虚拟机通过所述装置访问所述存储系统，且所述装置与所述存 储系统之间可以互相传输信息，所述装置包括：第一接收模块、判断模 块、权限确定模块以及允许访问模块；
所述第一接收模块用于接收来自公共虚拟机的数据访问请求，以请 求访问存储系统上的原始数据，所述数据访问请求包括用户相关的信息 和与所述用户对应的操作类型；
所述判断模块用于根据所述第一接收模块接收的数据访问请求中 包括的所述操作类型，判断所述数据访问请求所请求访问的数据是否是 具有访问权限属性的数据；
所述权限确定模块用于在所述判断模块的判断结果为是具有访问 权限属性的数据时，根据本地内存中存储的与所述请求访问的数据对应 的元数据，确定所述数据访问请求是否有访问的权限，其中，所述元数 据包括用户相关的信息和与所述用户对应的操作类型，所述本地内存中 存储的元数据是从所述存储系统中加载而来的；
所述允许访问模块用于在所述权限确定模块确定所述数据访问请 求有访问的权限时，允许所述公共虚拟机访问所述存储系统中存储的所 述原始数据。

7.  根据权利要求6所述的装置，其特征在于，所述装置还包括：加 载模块、地址切换模块；
所述加载模块用于加载所述存储系统上的与有访问权限的原始数 据对应的元数据；
所述地址切换模块用于在所述加载模块加载所述与有访问权限的 原始数据对应的元数据完毕后，将本地的IP地址更换为第一IP地址， 并通知所述存储系统将其IP地址更换为非第一IP地址，其中，所述第 一IP地址为所述存储系统在更换前的IP地址。

8.  根据权利要求6或7所述的装置，其特征在于，所述装置还包括： 第一获取模块，
所述第一获取模块用于在所述请求访问的数据是具有访问权限属 性的数据时，且本地内存中没有存储与所述请求访问的数据对应的元数 据时，通过FileRPC协议从所述存储系统获取与所述请求访问的数据对 应的元数据；
所述权限确定模块还用于根据所述第一获取模块获取的与所述请 求访问的数据对应的元数据，确定所述数据访问请求是否有访问的权 限。

9.  根据权利要求6所述的装置，其特征在于，所述装置还包括：第 二接收模块，
所述第二接收模块用于接收来自所述存储系统的召回信息，所述召 回信息通知所述装置发生改变的元数据，以便于所述装置对所述发生改 变的元数据进行失效处理。

10.  根据权利要求6-9任一项所述的装置，其特征在于，所述装置还 包括：第二获取模块，
所述第二获取模块用于根据所述公共虚拟机的操作习惯，预先通过 FileRPC协议从所述存储系统获取所述公共虚拟机将要访问的数据所对 应的元数据。

11.  一种访问数据的装置，其特征在于，公共虚拟机的虚拟硬盘映射 在存储系统中，所述装置部署在所述公共虚拟机和所述存储系统之间， 所述公共虚拟机通过所述装置访问所述存储系统，且所述装置与所述存 储系统之间可以互相传输信息，所述装置包括：接收器、处理器、与处 理器耦联的存储器；
所述接收器用于接收来自所述公共虚拟机的数据访问请求，以请求 访问所述存储系统上的原始数据，所述数据访问请求包括用户相关的信 息和与所述用户对应的操作类型；
所述存储器用于存储所述接收器接收的数据访问请求，用于存储从 所述存储系统中加载而来的元数据；
所述处理器用于调取所述存储器存储的数据访问请求，根据所述数 据访问请求中包括的所述操作类型，判断所述数据访问请求所请求访问 的数据是否是具有访问权限属性的数据；在判断结果为是具有访问权限 属性的数据时，根据本地内存中存储的与所述请求访问的数据对应的元 数据，确定所述数据访问请求是否有访问的权限，其中，所述元数据包 括用户相关的信息和与所述用户对应的操作类型；在所述数据访问请求 有访问的权限时，允许所述公共虚拟机通过所述装置访问所述存储系统 中存储的所述原始数据。

12.  一种访问数据的系统，其特征在于，所述系统包括至少一个服务 器、至少一个存储系统，所述服务器安装有至少一个公共虚拟机、至少 一个私有虚拟机；所述公共虚拟机的虚拟硬盘映射在所述存储系统中， 所述私有虚拟机部署在所述公共虚拟机和所述存储系统之间，所述公共 虚拟机通过所述私有虚拟机访问所述存储系统，且所述私有虚拟机与所 述存储系统之间可以互相传输信息；
其中，所述私有虚拟机接收来自所述公共虚拟机的数据访问请求， 以请求访问所述存储系统上的原始数据，所述数据访问请求包括用户相 关的信息和与所述用户对应的操作类型；根据所述数据访问请求中包括 的所述操作类型，判断所述数据访问请求所请求访问的数据是否是具有 访问权限属性的数据；在判断结果为是具有访问权限属性的数据时，根 据本地内存中存储的与所述请求访问的数据对应的元数据，确定所述数 据访问请求是否有访问的权限，其中，所述元数据包括用户相关的信息 和与所述用户对应的操作类型；在所述数据访问请求有访问的权限时， 允许所述公共虚拟机通过私有虚拟机本身访问所述存储系统中存储的 原始数据。

13.  一种访问数据的方法，其特征在于，公共虚拟机的虚拟硬盘映射 在存储系统中，私有虚拟机部署在所述公共虚拟机和所述存储系统之 间，所述公共虚拟机通过所述私有虚拟机访问所述存储系统，且所述私 有虚拟机与所述存储系统之间可以互相传输信息，所述方法包括：
存储系统接收公共虚拟机通过私有虚拟机访问所述存储系统中存 储的有访问权限的原始数据的请求，其中，所述访问存储系统中存储的 有访问权限的原始数据的请求是在所述私有虚拟机判断出所述公有虚 拟机的数据访问请求有访问的权限时，所述私有虚拟机向所述存储系统 发出的；
所述存储系统从映射在本地的所述公共虚拟机的虚拟硬盘中获取 所述原始数据；
所述存储系统将所述原始数据通过所述私有虚拟机发送给所述公 共虚拟机。

14.  根据权利要求13所述的方法，其特征在于，所述存储系统接收 公共虚拟机通过私有虚拟机访问所述存储系统中存储的原始数据的请 求的步骤之前，包括：
所述存储系统接收所述私有虚拟机加载与所述有访问权限的原始 数据对应的元数据的请求；
所述存储系统获取保存在本地的、与所述有访问权限的原始数据对 应的元数据，并将所述元数据发送给所述私有虚拟机；
所述存储系统接收所述私有虚拟机的IP地址变更通知，将自身IP 地址更换为非第一IP地址，其中，所述第一IP地址为所述存储系统在 更换前的IP地址。

15.  根据权利要求13所述的方法，其特征在于，所述方法还包括：
当所述有访问权限的原始数据对应的元数据发生改变时，所述存储 系统向所述私有虚拟机发送召回信息，所述召回信息通知所述私有虚拟 机发生改变的元数据，以便于所述私有虚拟机对所述发生改变的元数据 进行失效处理。

16.  根据权利要求14所述的方法，其特征在于，所述方法还包括：
若所述存储系统在与所述私有虚拟机传输信息的过程中，检测到所 述私有虚拟机在预定时间内没有响应，则所述存储系统将自身的IP地址 自动变回所述第一IP地址，以使得所述公共虚拟机的数据访问直接转移 到所述存储系统上。

17.  一种存储系统，其特征在于，公共虚拟机的虚拟硬盘映射在所述 存储系统中，私有虚拟机部署在所述公共虚拟机和所述存储系统之间， 所述公共虚拟机通过所述私有虚拟机访问所述存储系统，且所述私有虚 拟机与所述存储系统之间可以互相传输信息，所述存储系统包括：第一 接收模块、第一获取模块以及第一发送模块；
所述第一接收模块用于公共虚拟机通过私有虚拟机访问所述存储 系统中存储的有访问权限的原始数据的请求，其中，所述访问存储系统 中存储的有访问权限的原始数据的请求是在所述私有虚拟机判断出所 述公有虚拟机的数据访问请求有访问的权限时，所述私有虚拟机向所述 存储系统发出的；
所述第一获取模块用于从映射在本地的所述公共虚拟机的虚拟硬 盘中获取所述原始数据；
所述第一发送模块用于将所述原始数据通过所述私有虚拟机发送 给所述公共虚拟机。

18.  根据权利要求17所述的存储系统，其特征在于，所述存储系统 还包括：第二接收模块、第二获取模块、第二发送模块以及第一地址切 换模块；
所述第二接收模块用于接收所述私有虚拟机加载与所述有访问权 限的原始数据对应的元数据的请求；
所述第二获取模块用于获取保存在本地的、与所述有访问权限的原 始数据对应的元数据；
所述第二发送模块用于将所述元数据发送给所述私有虚拟机；
所述第一地址切换模块用于接收所述私有虚拟机的IP地址变更通 知，将自身IP地址更换为非第一IP地址，其中，所述第一IP地址为所 述存储系统在更换前的IP地址。

19.  根据权利要求17所述的存储系统，其特征在于，所述存储系统 还包括第三发送模块，
所述第三发送模块用于当所述有访问权限的原始数据对应的元数 据发生改变时，向所述私有虚拟机发送召回信息，所述召回信息通知所 述私有虚拟机发生改变的元数据，以便于所述私有虚拟机对所述发生改 变的元数据进行失效处理。

20.  根据权利要求18所述的存储系统，其特征在于，所述存储系统 还包括第二地址切换模块，
所述第二地址切换模块用于在所述存储系统在与所述私有虚拟机 传输信息的过程中，检测到所述私有虚拟机在预定时间内没有响应时， 将自身的IP地址自动变回所述第一IP地址，以使得所述公共虚拟机的 数据访问直接转移到所述存储系统上。

说明书访问数据的方法、装置及系统
技术领域
本发明涉及虚拟机存储技术领域，特别是涉及一种访问数据的方 法、装置及系统。
背景技术
当前存储在虚拟机领域的应用，有三种形态：第一种是传统的方式， 即虚拟机系统(如vmware)通过传统的网络小型计算机系统接口(Internet  Small Computer System Interface，简写为iSCSI)或者网络文件系统 (Network File System，简写为NFS)链接到远端的存储系统上；第二 种是ServerSAN，即存储与虚拟机合一的形态；第三种是在虚拟机系统 (如vmware)和远端存储系统之间，添加一个虚拟机优化系统用于虚 拟机系统访问的加速。
常用的是第三种，具体部署形态是：在虚拟机系统(vmware)以及 存储系统(Storage)之间，部署一个虚拟机优化系统(如Atlantis ILIO， ILIO也是一个虚拟机，ILIO做一些加速处理，例如数据缓存等)，用于 虚拟机系统访问的加速。进一步细化，虚拟机具体的访问请求(IO)的 流向是：从虚拟机系统的虚拟机(VM)发出的IO请求，先到虚拟机管 理器(Hypervisor)，然后Hypervisor将这些IO发往Atlantis ILIO，然后 由Atlantis ILIO通过标准的协议iSCSI或者NFS发送到存储系统(如： 异构阵列)。
但是，本发明的发明人在长期的研发中发现，上述技术方案只能提 供诸如虚拟机镜像加速的功能，无法支持鉴权访问的加速。
发明内容
本发明主要解决的技术问题是提供一种访问数据的方法、装置及系 统，能够为鉴权的访问请求提供加速。
第一方面，本发明提供一种访问数据的方法，其中，公共虚拟机的 虚拟硬盘映射在存储系统中，私有虚拟机部署在所述公共虚拟机和所述 存储系统之间，所述公共虚拟机通过所述私有虚拟机访问所述存储系 统，且所述私有虚拟机与所述存储系统之间可以互相传输信息，所述方 法包括：私有虚拟机接收来自公共虚拟机的数据访问请求，以请求访问 存储系统上的原始数据，所述数据访问请求包括用户相关的信息和与所 述用户对应的操作类型；所述私有虚拟机根据所述操作类型，判断所述 数据访问请求所请求访问的数据是否是具有访问权限属性的数据；如果 是，则所述私有虚拟机根据本地内存中存储的与所述请求访问的数据对 应的元数据，确定所述数据访问请求是否有访问的权限，其中，所述元 数据包括用户相关的信息和与所述用户对应的操作类型，所述本地内存 中存储的元数据是所述私有虚拟机从所述存储系统中加载而来的；如果 所述数据访问请求有访问的权限，则所述私有虚拟机允许所述公共虚拟 机通过所述私有虚拟机本身访问所述存储系统中存储的所述原始数据。
在第一方面的第一种可能的实现方式中，所述私有虚拟机接收来自 公共虚拟机的数据访问请求，以请求访问存储系统上的原始数据的步骤 之前，包括：所述私有虚拟机加载所述存储系统上的与有访问权限的原 始数据对应的元数据；所述与有访问权限的原始数据对应的元数据加载 完毕后，所述私有虚拟机将本地的IP地址更换为第一IP地址，并通知 所述存储系统将其IP地址更换为非第一IP地址，其中，所述第一IP地 址为所述存储系统在更换前的IP地址。
结合第一方面或第一方面的第一种可能的实现方式，在第一方面的 第二种可能的实现方式中，所述私有虚拟机根据所述操作类型，判断所 述请求访问的数据是否是具有访问权限属性的数据的步骤之后，包括： 如果是具有访问权限属性的数据，且所述私有虚拟机的本地内存中没有 存储与所述请求访问的数据对应的元数据，则所述私有虚拟机通过 FileRPC协议从所述存储系统获取与所述请求访问的数据对应的元数 据，并根据获取的与所述请求访问的数据对应的元数据，确定所述数据 访问请求是否有访问的权限。
在第一方面的第三种可能的实现方式中，所述方法还包括：所述私 有虚拟机接收来自所述存储系统的召回信息，所述召回信息通知所述私 有虚拟机发生改变的元数据，以便于所述私有虚拟机对所述发生改变的 元数据进行失效处理。
结合第一方面、第一方面的第一种至第三种中任一种可能的实现方 式中，在第一方面的第四种可能的实现方式中，所述方法还包括：所述 私有虚拟机根据所述公共虚拟机的操作习惯，预先通过FileRPC协议从 所述存储系统获取所述公共虚拟机将要访问的数据所对应的元数据。
第二方面，本发明提供一种访问数据的装置，其中，公共虚拟机的 虚拟硬盘映射在存储系统中，所述装置部署在所述公共虚拟机和所述存 储系统之间，所述公共虚拟机通过所述装置访问所述存储系统，且所述 装置与所述存储系统之间可以互相传输信息，所述装置包括：第一接收 模块、判断模块、权限确定模块以及允许访问模块；所述第一接收模块 用于接收来自公共虚拟机的数据访问请求，以请求访问存储系统上的原 始数据，所述数据访问请求包括用户相关的信息和与所述用户对应的操 作类型；所述判断模块用于根据所述第一接收模块接收的数据访问请求 中包括的所述操作类型，判断所述数据访问请求所请求访问的数据是否 是具有访问权限属性的数据；所述权限确定模块用于在所述判断模块的 判断结果为是具有访问权限属性的数据时，根据本地内存中存储的与所 述请求访问的数据对应的元数据，确定所述数据访问请求是否有访问的 权限，其中，所述元数据包括用户相关的信息和与所述用户对应的操作 类型，所述本地内存中存储的元数据是从所述存储系统中加载而来的； 所述允许访问模块用于在所述权限确定模块确定所述数据访问请求有 访问的权限时，允许所述公共虚拟机访问所述存储系统中存储的所述原 始数据。
在第二方面的第一种可能的实现方式中，所述装置还包括：加载模 块、地址切换模块；所述加载模块用于加载所述存储系统上的与有访问 权限的原始数据对应的元数据；所述地址切换模块用于在所述加载模块 加载所述与有访问权限的原始数据对应的元数据完毕后，将本地的IP 地址更换为第一IP地址，并通知所述存储系统将其IP地址更换为非第 一IP地址，其中，所述第一IP地址为所述存储系统在更换前的IP地址。
结合第二方面或第二方面的第一种可能的实现方式，在第二方面的 第二种可能的实现方式中，所述装置还包括：第一获取模块，所述第一 获取模块用于在所述请求访问的数据是具有访问权限属性的数据时，且 本地内存中没有存储与所述请求访问的数据对应的元数据时，通过 FileRPC协议从所述存储系统获取与所述请求访问的数据对应的元数 据；所述权限确定模块还用于根据所述第一获取模块获取的与所述请求 访问的数据对应的元数据，确定所述数据访问请求是否有访问的权限。
在第二方面的第三种可能的实现方式中，所述装置还包括：第二接 收模块，所述第二接收模块用于接收来自所述存储系统的召回信息，所 述召回信息通知所述装置发生改变的元数据，以便于所述装置对所述发 生改变的元数据进行失效处理。
结合第二方面、第二方面的第一种至第三种中任一种可能的实现方 式，在第二方面的第四种可能的实现方式中，所述装置还包括：第二获 取模块，所述第二获取模块用于根据所述公共虚拟机的操作习惯，预先 通过FileRPC协议从所述存储系统获取所述公共虚拟机将要访问的数据 所对应的元数据。
第三方面，本发明提供一种访问数据的装置，其中，公共虚拟机的 虚拟硬盘映射在存储系统中，所述装置部署在所述公共虚拟机和所述存 储系统之间，所述公共虚拟机通过所述装置访问所述存储系统，且所述 装置与所述存储系统之间可以互相传输信息，所述装置包括：接收器、 处理器、与处理器耦联的存储器；所述接收器用于接收来自所述公共虚 拟机的数据访问请求，以请求访问所述存储系统上的原始数据，所述数 据访问请求包括用户相关的信息和与所述用户对应的操作类型；所述存 储器用于存储所述接收器接收的数据访问请求，用于存储从所述存储系 统中加载而来的元数据；所述处理器用于调取所述存储器存储的数据访 问请求，根据所述数据访问请求中包括的所述操作类型，判断所述数据 访问请求所请求访问的数据是否是具有访问权限属性的数据；在判断结 果为是具有访问权限属性的数据时，根据本地内存中存储的与所述请求 访问的数据对应的元数据，确定所述数据访问请求是否有访问的权限， 其中，所述元数据包括用户相关的信息和与所述用户对应的操作类型； 在所述数据访问请求有访问的权限时，允许所述公共虚拟机通过所述装 置访问所述存储系统中存储的所述原始数据。
第四方面，本发明提供一种访问数据的系统，所述系统包括至少一 个服务器、至少一个存储系统，所述服务器安装有至少一个公共虚拟机、 至少一个私有虚拟机；所述公共虚拟机的虚拟硬盘映射在所述存储系统 中，所述私有虚拟机部署在所述公共虚拟机和所述存储系统之间，所述 公共虚拟机通过所述私有虚拟机访问所述存储系统，且所述私有虚拟机 与所述存储系统之间可以互相传输信息；其中，所述私有虚拟机接收来 自所述公共虚拟机的数据访问请求，以请求访问所述存储系统上的原始 数据，所述数据访问请求包括用户相关的信息和与所述用户对应的操作 类型；根据所述数据访问请求中包括的所述操作类型，判断所述数据访 问请求所请求访问的数据是否是具有访问权限属性的数据；在判断结果 为是具有访问权限属性的数据时，根据本地内存中存储的与所述请求访 问的数据对应的元数据，确定所述数据访问请求是否有访问的权限，其 中，所述元数据包括用户相关的信息和与所述用户对应的操作类型；在 所述数据访问请求有访问的权限时，允许所述公共虚拟机通过私有虚拟 机本身访问所述存储系统中存储的原始数据。
第五方面，本发明提供一种访问数据的方法，其中，公共虚拟机的 虚拟硬盘映射在存储系统中，私有虚拟机部署在所述公共虚拟机和所述 存储系统之间，所述公共虚拟机通过所述私有虚拟机访问所述存储系 统，且所述私有虚拟机与所述存储系统之间可以互相传输信息，所述方 法包括：存储系统接收公共虚拟机通过私有虚拟机访问所述存储系统中 存储的有访问权限的原始数据的请求，其中，所述访问存储系统中存储 的有访问权限的原始数据的请求是在所述私有虚拟机判断出所述公有 虚拟机的数据访问请求有访问的权限时，所述私有虚拟机向所述存储系 统发出的；所述存储系统从映射在本地的所述公共虚拟机的虚拟硬盘中 获取所述原始数据；所述存储系统将所述原始数据通过所述私有虚拟机 发送给所述公共虚拟机。
在第五方面的第一种可能的实现方式中，所述存储系统接收公共虚 拟机通过私有虚拟机访问所述存储系统中存储的原始数据的请求的步 骤之前，包括：所述存储系统接收所述私有虚拟机加载与所述有访问权 限的原始数据对应的元数据的请求；所述存储系统获取保存在本地的、 与所述有访问权限的原始数据对应的元数据，并将所述元数据发送给所 述私有虚拟机；所述存储系统接收所述私有虚拟机的IP地址变更通知， 将自身IP地址更换为非第一IP地址，其中，所述第一IP地址为所述存 储系统在更换前的IP地址。
在第五方面的第二种可能的实现方式中，所述方法还包括：当所述 有访问权限的原始数据对应的元数据发生改变时，所述存储系统向所述 私有虚拟机发送召回信息，所述召回信息通知所述私有虚拟机发生改变 的元数据，以便于所述私有虚拟机对所述发生改变的元数据进行失效处 理。
结合第五方面的第一种可能的实现方式，在第五方面的第三种可能 的实现方式中，所述方法还包括：若所述存储系统在与所述私有虚拟机 传输信息的过程中，检测到所述私有虚拟机在预定时间内没有响应，则 所述存储系统将自身的IP地址自动变回所述第一IP地址，以使得所述 公共虚拟机的数据访问直接转移到所述存储系统上。
第六方面，本发明提供一种存储系统，其中，公共虚拟机的虚拟硬 盘映射在所述存储系统中，私有虚拟机部署在所述公共虚拟机和所述存 储系统之间，所述公共虚拟机通过所述私有虚拟机访问所述存储系统， 且所述私有虚拟机与所述存储系统之间可以互相传输信息，所述存储系 统包括：第一接收模块、第一获取模块以及第一发送模块；所述第一接 收模块用于公共虚拟机通过私有虚拟机访问所述存储系统中存储的有 访问权限的原始数据的请求，其中，所述访问存储系统中存储的有访问 权限的原始数据的请求是在所述私有虚拟机判断出所述公有虚拟机的 数据访问请求有访问的权限时，所述私有虚拟机向所述存储系统发出 的；所述第一获取模块用于从映射在本地的所述公共虚拟机的虚拟硬盘 中获取所述原始数据；所述第一发送模块用于将所述原始数据通过所述 私有虚拟机发送给所述公共虚拟机。
在第六方面的第一种可能的实现方式中，所述存储系统还包括：第 二接收模块、第二获取模块、第二发送模块以及第一地址切换模块；所 述第二接收模块用于接收所述私有虚拟机加载与所述有访问权限的原 始数据对应的元数据的请求；所述第二获取模块用于获取保存在本地 的、与所述有访问权限的原始数据对应的元数据；所述第二发送模块用 于将所述元数据发送给所述私有虚拟机；所述第一地址切换模块用于接 收所述私有虚拟机的IP地址变更通知，将自身IP地址更换为非第一IP 地址，其中，所述第一IP地址为所述存储系统在更换前的IP地址。
在第六方面的第二种可能的实现方式中，所述存储系统还包括第三 发送模块，所述第三发送模块用于当所述有访问权限的原始数据对应的 元数据发生改变时，向所述私有虚拟机发送召回信息，所述召回信息通 知所述私有虚拟机发生改变的元数据，以便于所述私有虚拟机对所述发 生改变的元数据进行失效处理。
结合第六方面的第一种可能的实现方式，在第六方面的第三种可能 的实现方式中，所述存储系统还包括第二地址切换模块，所述第二地址 切换模块用于在所述存储系统在与所述私有虚拟机传输信息的过程中， 检测到所述私有虚拟机在预定时间内没有响应时，将自身的IP地址自动 变回所述第一IP地址，以使得所述公共虚拟机的数据访问直接转移到所 述存储系统上。
本发明的有益效果是：区别于现有技术的情况，本发明私有虚拟机 接收来自公共虚拟机的数据访问请求，以请求访问存储系统上的原始数 据，数据访问请求包括用户相关的信息和与用户对应的操作类型；私有 虚拟机根据操作类型，判断数据访问请求所请求访问的数据是否是具有 访问权限属性的数据；如果是，则私有虚拟机根据本地内存中存储的与 请求访问的数据对应的元数据，确定数据访问请求是否有访问的权限， 其中，元数据包括用户相关的信息和与用户对应的操作类型，本地内存 中存储的元数据是私有虚拟机从存储系统中加载而来的；如果数据访问 请求有访问的权限，则私有虚拟机允许公共虚拟机通过私有虚拟机本身 访问存储系统中存储的原始数据。由于私有虚拟机内存中存储有从存储 系统中加载而来的元数据，访问存储系统中存储的有访问权限的原始数 据的请求是在私有虚拟机判断出公有虚拟机的数据访问请求有访问的 权限时，私有虚拟机向存储系统发出的，从而将大量的元数据操作集中 在本地进行，减少对存储系统的压力，且加速鉴权用户访问，减少与网 络的反复交互，降低整体的访问时延。
附图说明
图1是本发明访问数据的方法一实施方式的架构示意图；
图2是本发明访问数据的方法一实施方式的流程图；
图3是本发明访问数据的方法另一实施方式的流程图；
图4是本发明访问数据的方法又一实施方式的流程图；
图5是本发明访问数据的装置一实施方式的结构示意图；
图6是本发明访问数据的装置另一实施方式的结构示意图；
图7是本发明访问数据的装置一实施方式的实体结构示意图；
图8是本发明访问数据的系统一实施方式的结构示意图；
图9是本发明访问数据的方法又一实施方式的流程图；
图10是本发明访问数据的方法又一实施方式的流程图；
图11是本发明存储系统一实施方式的结构示意图；
图12是本发明存储系统另一实施方式的结构示意图。
具体实施方式
下面介绍一下与本发明相关的一些背景知识。
本发明的访问数据方法、装置及系统与软件定义存储技术相关。软 件定义存储(Software-defined storage，SDS)是一种数据存储方式，它 将所有与存储相关的控制工作放置在相对于物理存储硬件的外部软件 中，这个软件不是作为存储设备中的固件，而是在一个服务器上或者作 为操作系统(OS)或Hypervisor的一部分。
软件定义存储可以保证系统的存储访问能在一个精准的水平上更 灵活地管理。软件定义存储是将软件从硬件存储中抽象出来的，这也意 味着它可以变成一个不受物理系统限制的共享池，以便更有效地利用资 源。存储也可以通过软件和管理进行部署和供应，其管理程序可以通过 基于策略的自动化管理来进一步简化。软件定义存储允许用户不必从特 定厂商采购存储控制器硬件，如硬盘、闪存等存储介质。并且，如果存 储控制器功能被抽离出来，该功能可以放在基础架构的任何一部分，它 可以运行在特定的硬件上，在Hypervisor内部，或者与虚拟机并行，形 成真正的融合架构。
下面结合附图和实施方式对本发明进行详细说明。
参阅图1，图1是本发明访问数据的方法一实施方式的架构示意图， 如图所示，该架构包括服务器1、服务器2以及存储系统3，其中，服 务器1中安装有两个公共虚拟机11、一个私有虚拟机12以及虚拟机管 理器Hypervisor13，服务器2中安装有两个公共虚拟机21、一个私有虚 拟机22以及虚拟机管理器Hypervisor23，即每一个服务器上部署一个私 有虚拟机。公共虚拟机11、21也可以称为用户虚拟机，私有虚拟机12、 22也可以称为存储系统接管虚拟机，公共虚拟机11、21的虚拟硬盘映 射在存储系统3中。其中，服务器1、服务器2中的私有虚拟机12、22 与存储系统3构成一个集群，它们之间可以相互之间传输信息。
一般情况下，公共虚拟机11、21访问数据的原始路径是：从公共 虚拟机11、21发出的IO请求，先到虚拟机管理器Hypervisor13、23， 然后Hypervisor13、23将这些IO请求发送到存储系统3。
当服务器1、2中部署有私有虚拟机12、22时，存储系统3上待访 问数据所在的IP地址自动切换到私有虚拟机12、22上(见图中虚线所 示)，此时公共虚拟机11、21访问数据的新路径是：从公共虚拟机11、 21发出的IO请求，先到虚拟机管理器Hypervisor13、23，然后 Hypervisor13、23将IO请求发送到私有虚拟机12、22上，私有虚拟机 12、22判断IO请求的权限，在判断结果通过时，通过私有虚拟机12、 22将这些IO请求发送到存储系统3。也就是说，私有虚拟机12、22接 管以前属于存储系统3的元数据操作，通过这种方式，能够减少存储系 统的压力，避免反复的网络交互，同时降低整体的时延，提升存储系统 的整体处理能力。
同时，在服务器1、服务器2中的私有虚拟机12、22与存储系统3 构成的集群中，存储系统3是集群主，当存储系统3中有元数据发生改 变时，存储系统3通知私有虚拟机12、22，将原来的元数据进行失效处 理，私有虚拟机12、22从存储系统3获取新的元数据，通过这种方式， 能够使公用虚拟机11、21访问数据时的IO请求、客户个人计算机访问 数据时的IO请求、服务器访问数据时的IO请求或者其他办公系统访问 数据时的IO请求等不同场景下，保持读写数据的一致性。
在本发明的架构中，由于在服务器1、服务器2中的私有虚拟机12、 22与存储系统3构成的集群中，存储系统3是集群主，存储系统3与私 有虚拟机12、22之间可以互相传输信息，当存储系统3检测到私有虚 拟机12在很长时间内没有响应时(即死掉或繁忙时)，存储系统3可以 将发给私有虚拟机12的IO请求对应数据所在的IP地址自动转到存储系 统3上，通过这种方式，能够在存储系统接管虚拟机死掉或繁忙时，IO 请求自动转到存储系统上，从而避免影响公共虚拟机的数据访问。需要 说明的是，上述架构中，服务器可以是一个或者三个以上，服务器中安 装的公共虚拟机可以是一个或者三个以上，根据需要，服务器中安装的 私有虚拟机也可以是两个以上，当服务器中安装的私有虚拟机是两个 时，服务器中一部分公共虚拟机通过其中一个私有虚拟机访问存储系 统，另一部分公共虚拟机通过其中另外一个私有虚拟机访问存储系统。 其中，私有虚拟机和存储系统可以是同一厂家提供的，这样私有虚拟机 和存储系统相互之间传输信息很容易实现；或者由不同的厂家提供时， 制定私有虚拟机和存储系统相互之间传输信息的协议也是可以的。
参阅图2，图2是本发明访问数据的方法一实施方式的流程图，本 实施方式是私有虚拟机侧的方法流程图。本实施方式中，公共虚拟机的 虚拟硬盘映射在存储系统中，私有虚拟机部署在公共虚拟机和存储系统 之间，公共虚拟机通过私有虚拟机访问存储系统，且私有虚拟机与存储 系统之间可以互相传输信息。该方法包括：
步骤S101：私有虚拟机接收来自公共虚拟机的数据访问请求，以请 求访问存储系统上的原始数据，数据访问请求包括用户相关的信息和与 用户对应的操作类型。
公共虚拟机是指虚拟机系统中用户的虚拟机；私有虚拟机部署在公 共虚拟机和存储系统之间，为公共虚拟机访问存储系统的原始数据提供 优化，公共虚拟机通过私有虚拟机访问存储系统；公共虚拟机的操作系 统镜像存放在存储系统的操作系统镜像空间，每个公共虚拟机的工作盘 通过网络接入服务器(Network Access Server，简写为NAS)映射到存 储系统上的数据空间。
操作类型是指能够对原始数据进行的操作类型，例如：读、写等。 用户相关的信息可以是用户名、注册名等等。用户相关的信息和与该用 户对应的操作类型可以用来判断该用户是否具备该操作类型的权限。
步骤S102：私有虚拟机根据操作类型，判断数据访问请求所请求访 问的数据是否是具有访问权限属性的数据。
不同的操作类型具有不同的访问权限。有些数据对于一些用户来说 只能进行读的操作，对于另外的用户来说可以进行读与写的操作，还有 的客户还可以具备修改或删除等操作，这些数据属于具有访问权限属性 的数据；还有些数据对用户是没有任何限制的，也就是说任何用户都可 以访问，这些数据属于不具有访问权限属性的数据。
步骤S103：如果是，则私有虚拟机根据本地内存中存储的与请求访 问的数据对应的元数据，确定数据访问请求是否有访问的权限，其中， 元数据包括用户相关的信息和与用户对应的操作类型，本地内存中存储 的元数据是私有虚拟机从存储系统中加载而来的。
私有虚拟机与存储系统之间可以互相传输信息，因此，私有虚拟机 可以加载存储系统中的元数据，并保存在本地内存中。一个具体的实施 方式中，该加载的具体过程可以为：当私有虚拟机启动后，发布广播 信息，存储系统接收到广播信息后，与该私有虚拟机建立联系，将存储 系统中元数据所在的IP地址发送给私有虚拟机，私有虚拟机通过该IP 地址从存储系统中加载元数据，加载完成后，进行IP地址切换，私有虚 拟机将该IP地址作为自己的IP地址。因此，目的为该IP地址的数据访 问请求从存储系统转移到该私有虚拟机上。
当数据访问请求所请求访问的数据是具有访问权限属性的数据时， 且如果本地内存中存储有与请求访问的数据对应的元数据，则根据该元 数据的用户相关的信息和与用户对应的操作类型、数据访问请求中的用 户相关的信息和与用户对应的操作类型即可确定数据访问请求是否有 访问的权限。例如：数据访问请求中用户名为lm，操作类型是写；与请 求访问的数据对应的元数据中，如果用户名为lm的操作类型是读，那 么该数据访问请求是没有访问权限的，如果用户名为lm的操作类型也 是写，那么该数据访问请求是有访问权限的。
步骤S104：如果数据访问请求有访问的权限，则私有虚拟机允许公 共虚拟机通过私有虚拟机本身访问存储系统中存储的原始数据。
如果数据访问请求有访问的权限，那么私有虚拟机即可允许公共虚 拟机通过私有虚拟机本身访问存储系统中存储的原始数据。也就是说， 如果数据访问请求有访问的权限，那么私有虚拟机从存储系统中获取原 始数据，并发送给公共虚拟机。
本发明实施方式私有虚拟机接收来自公共虚拟机的数据访问请求， 以请求访问存储系统上的原始数据，数据访问请求包括用户相关的信息 和与用户对应的操作类型；私有虚拟机根据操作类型，判断数据访问请 求所请求访问的数据是否是具有访问权限属性的数据；如果是，则私有 虚拟机根据本地内存中存储的与请求访问的数据对应的元数据，确定数 据访问请求是否有访问的权限，其中，元数据包括用户相关的信息和与 用户对应的操作类型，本地内存中存储的元数据是私有虚拟机从存储系 统中加载而来的；如果数据访问请求有访问的权限，则私有虚拟机允许 公共虚拟机通过私有虚拟机本身访问存储系统中存储的原始数据。由于 本地内存中存储有从存储系统中加载而来的元数据，从而将大量的元数 据操作集中在本地进行，减少对存储系统的压力，且加速鉴权用户访问， 减少与网络的反复交互，降低整体的访问时延。
参阅图3至图4，图3至图4是本发明访问数据的方法另外三个实 施方式的流程图，本三个实施方式和图1的实施方式基本相同，相同之 处请参见图1和相应的文字说明，该方法包括：
步骤S201：私有虚拟机加载存储系统上的与有访问权限的原始数据 对应的元数据。
步骤S202：与有访问权限的原始数据对应的元数据加载完毕后，私 有虚拟机将本地的IP地址更换为第一IP地址，并通知存储系统将其IP 地址更换为非第一IP地址，其中，第一IP地址为存储系统在更换前的 IP地址。
私有虚拟机加载存储系统上的与有访问权限的原始数据对应的元 数据后，将本来是存储系统的第一IP地址占用，即将本地的IP地址更 换为第一IP地址，同时通知存储系统更换IP地址为其它的非第一IP地 址。存储系统的第一IP地址被占用后，相关的访问存储系统的访问请求 被自动切换到私有虚拟机上，从而分担存储系统的压力。
步骤S203：私有虚拟机接收来自公共虚拟机的数据访问请求，以请 求访问存储系统上的原始数据，数据访问请求包括用户相关的信息和与 用户对应的操作类型.
步骤S204：私有虚拟机根据操作类型，判断数据访问请求所请求访 问的数据是否是具有访问权限属性的数据。
步骤S205：如果是，则私有虚拟机判断本地内存中是否存储有与请 求访问的数据对应的元数据。如果有，进入步骤S206，如果没有，进入 步骤S207。
步骤S206：根据本地内存中存储的与请求访问的数据对应的元数 据，确定数据访问请求是否有访问的权限，其中，元数据包括用户相关 的信息和与用户对应的操作类型。
步骤S207：私有虚拟机通过文件远程过程调用(File Ramote  Procedure Call，简写为FileRPC)协议从存储系统获取与请求访问的数 据对应的元数据，根据获取的与请求访问的数据对应的元数据，确定数 据访问请求是否有访问的权限。
FileRPC协议是私有虚拟机与存储系统互相传输信息的通信协议， 也是访问文件的私有协议，该协议的规则是可以自定义的；当私有虚拟 机和存储系统是同一厂家时，该协议的规则自定义比较灵活多变。如果 私有虚拟机判断本地内存中没有存储与请求访问的数据对应的元数据， 则可以直接通过FileRPC协议从存储系统获取与请求访问的数据对应的 元数据，然后根据获取的与请求访问的数据对应的元数据，确定数据访 问请求是否有访问的权限。
步骤S208：如果数据访问请求有访问的权限，则私有虚拟机允许公 共虚拟机通过私有虚拟机本身访问存储系统中存储的原始数据。
步骤S209：私有虚拟机接收来自存储系统的召回信息，召回信息通 知私有虚拟机发生改变的元数据，以便于私有虚拟机对发生改变的元数 据进行失效处理。
当存储系统中的元数据发生变化时，存储系统向私有虚拟机发送召 回信息，以通知哪些元数据发生变化，便于私有虚拟机对发生改变的元 数据进行失效处理，例如：将发生改变的元数据删除，或者用从存储系 统中获取的新的元数据替换以前的元数据。通过这种方式，能够实现元 数据的及时更新，让私有虚拟机本地存储的元数据和存储系统中的元数 据保持一致；能够使公用虚拟机访问数据时的IO请求、客户个人计算 机访问数据时的IO请求、服务器访问数据时的IO请求或者其他办公系 统访问数据时的IO请求等不同场景下，保持读写数据的一致性。
需要说明的是，步骤S209可以在步骤S208之前执行或者之后执行； 如果在步骤S208之前，存储系统中的元数据发生变化，存储系统向私 有虚拟机发送召回信息，则步骤S209在步骤S208之前执行，以便于更 新元数据，使得在执行S206的时候，私有虚拟机中的元数据是最新的； 如果在步骤S208之后，存储系统中的元数据发生变化，存储系统向私 有虚拟机发送召回信息，则步骤S209在步骤S208之后执行，以便于更 新元数据，使得在下次执行S206的时候，私有虚拟机中的元数据是最 新的。
步骤S210：私有虚拟机根据公共虚拟机的操作习惯，预先通过 FileRPC协议从存储系统获取公共虚拟机将要访问的数据所对应的元数 据。
如果私有虚拟机对公共虚拟机的操作习惯已经知晓，那么私有虚拟 机可以预先通过FileRPC协议从存储系统获取公共虚拟机将要访问的数 据所对应的元数据。例如：私有虚拟机可以统计公共虚拟机访问的数据， 从而获得公共虚拟机的某些操作习惯；假如公共虚拟机A在访问数据1 后，必然访问数据2，那么在公共虚拟机A访问数据1，且私有虚拟机 本地没有数据2对应的元数据时，私有虚拟机即可预先从存储系统获取 数据2所对应的元数据，以便于私有虚拟机为公共虚拟机A即将访问数 据2对应的元数据做好准备。
通过这种方式，能够进一步加速访问，降低时延。
需要说明的是，步骤S210可以在步骤S208之前执行或者之后执行； 例如，还是以上述的例子为例，如果此时公共虚拟机A在进行访问数据 1的操作，且私有虚拟机本地没有数据1对应的元数据，需要执行步骤 S207时，可以顺带将步骤S210一起执行，也就是说步骤S207和步骤 S210一起执行；如果公共虚拟机A在进行访问数据1的操作，且私有 虚拟机本地存储有数据1对应的元数据，则步骤S210可以在步骤S208 之后的空闲时间再执行，以免影响公共虚拟机访问数据1的操作。
总之，步骤S209和步骤S210的执行顺序不限于图3和图4中所示 的顺序，可以根据实际应用情况灵活确定。
本发明的方法还包括：如果存储系统在与私有虚拟机传输信息的过 程中，检测到私有虚拟机在预定时间内没有响应，则存储系统将自身的 IP地址自动变回为第一IP地址，以使得公共虚拟机的数据访问直接转 移到存储系统上。
由于存储系统和私有虚拟机之间是可以通过传输信息保持联系的， 当存储系统发现私有虚拟机在预定时间内没有响应时，有可能私有虚拟 机已经死掉，或者私有虚拟机负荷重过于繁忙，无法响应时，为了不影 响公共虚拟机的数据访问，存储系统可以自动进行IP地址切换，即将存 储系统自身的IP地址自动转为第一IP地址，从而使得公共虚拟机的数 据访问直接转移到存储系统上。该步骤是一种应急步骤，当私有虚拟机 在预定时间内没有响应时，通过上述方式，能够不影响公共虚拟机的数 据访问。
本发明实施方式私有虚拟机接收来自公共虚拟机的数据访问请求， 以请求访问存储系统上的原始数据，数据访问请求包括用户相关的信息 和与用户对应的操作类型；私有虚拟机根据操作类型，判断数据访问请 求所请求访问的数据是否是具有访问权限属性的数据；如果是，则私有 虚拟机根据本地内存中存储的与请求访问的数据对应的元数据，确定数 据访问请求是否有访问的权限，其中，元数据包括用户相关的信息和与 用户对应的操作类型，本地内存中存储的元数据是私有虚拟机从存储系 统中加载而来的；如果数据访问请求有访问的权限，则私有虚拟机允许 公共虚拟机通过私有虚拟机本身访问存储系统中存储的原始数据。由于 本地内存中存储有从存储系统中加载而来的元数据，从而将大量的元数 据操作集中在本地进行，减少对存储系统的压力，且加速鉴权用户访问， 减少与网络的反复交互，降低整体的访问时延。
参阅图5，图5是本发明访问数据的装置一实施方式的结构示意图， 该装置具体用于实施上述实施例中提及的私有虚拟机的功能与任务，本 实施方式中，公共虚拟机的虚拟硬盘映射在存储系统中，该装置部署在 公共虚拟机和存储系统之间，公共虚拟机通过该装置问存储系统，且该 装置与存储系统之间可以互相传输信息。本实施方式的装置可以执行上 述图1至图4的步骤。该装置包括：第一接收模块101、判断模块102、 权限确定模块103以及允许访问模块104。
第一接收模块101用于接收来自公共虚拟机的数据访问请求，以请 求访问存储系统上的原始数据，数据访问请求包括用户相关的信息和与 用户对应的操作类型。
公共虚拟机是指虚拟机系统中用户的虚拟机；该装置部署在公共虚 拟机和存储系统之间，为公共虚拟机访问存储系统的原始数据提供优 化，公共虚拟机通过该装置访问存储系统；公共虚拟机的操作系统镜像 存放在存储系统的操作系统镜像空间，每个公共虚拟机的工作盘通过 NAS映射到存储系统上的数据空间。
操作类型是指能够对原始数据进行的操作类型，例如：读、写等。 用户相关的信息可以是用户名、注册名等等。用户相关的信息和与该用 户对应的操作类型可以用来判断该用户是否具备该操作类型的权限。
判断模块102用于根据第一接收模块101接收的数据访问请求中包 括的操作类型，判断数据访问请求所请求访问的数据是否是具有访问权 限属性的数据。
不同的操作类型具有不同的访问权限。有些数据对于一些用户来说 只能进行读的操作，对于另外的用户来说可以进行读与写的操作，还有 的客户还可以具备修改或删除等操作，这些数据属于具有访问权限属性 的数据；还有些数据对用户是没有任何限制的，也就是说任何用户都可 以访问，这些数据属于不具有访问权限属性的数据。
权限确定模块103用于在判断模块102的判断结果为是具有访问权 限属性的数据时，根据本地内存中存储的与请求访问的数据对应的元数 据，确定数据访问请求是否有访问的权限，其中，元数据包括用户相关 的信息和与用户对应的操作类型，本地内存中存储的元数据是从存储系 统中加载而来的。
该装置与存储系统之间可以互相传输信息，因此，该装置可以加载 存储系统中的元数据，并保存在本地内存中。加载的具体过程可以是： 当私有虚拟机启动后，发布广播信息，存储系统接收到广播信息后，与 该私有虚拟机建立联系，将存储系统中元数据所在的IP地址发送给私有 虚拟机，私有虚拟机通过该IP地址从存储系统中加载元数据，加载完成 后，进行IP地址切换，私有虚拟机将该IP地址作为自己的IP地址。因 此，目的为该IP地址的数据访问请求从存储系统转移到该私有虚拟机 上。
当数据访问请求所请求访问的数据是具有访问权限属性的数据时， 且如果本地内存中存储有与请求访问的数据对应的元数据，则根据该元 数据的用户相关的信息和与用户对应的操作类型、数据访问请求中的用 户相关的信息和与用户对应的操作类型即可确定数据访问请求是否有 访问的权限。
允许访问模块104用于在权限确定模块103确定数据访问请求有访 问的权限时，允许公共虚拟机通过该装置本身访问存储系统中存储的原 始数据。
如果数据访问请求有访问的权限，那么该装置即可允许公共虚拟机 通过该装置本身访问存储系统中存储的原始数据。也就是说，如果数据 访问请求有访问的权限，那么私有虚拟机从存储系统中获取原始数据， 并发送给公共虚拟机。
本发明实施方式接收来自公共虚拟机的数据访问请求，以请求访问 存储系统上的原始数据，数据访问请求包括用户相关的信息和与用户对 应的操作类型；根据操作类型，判断数据访问请求所请求访问的数据是 否是具有访问权限属性的数据；如果是，则根据本地内存中存储的与请 求访问的数据对应的元数据，确定数据访问请求是否有访问的权限，其 中，元数据包括用户相关的信息和与用户对应的操作类型，本地内存中 存储的元数据是装置从存储系统中加载而来的；如果数据访问请求有访 问的权限，则允许公共虚拟机通过该装置访问存储系统中存储的原始数 据。由于本地内存中存储有从存储系统中加载而来的元数据，从而将大 量的元数据操作集中在本地进行，减少对存储系统的压力，且加速鉴权 用户访问，减少与网络的反复交互，降低整体的访问时延。
在一实施方式中，装置还包括：加载模块105、地址切换模块106。
加载模块105用于加载存储系统上的与有访问权限的原始数据对应 的元数据。
地址切换模块106用于在加载模块加载与有访问权限的原始数据对 应的元数据完毕后，将本地的IP地址更换为第一IP地址，并通知存储 系统将其IP地址更换为非第一IP地址，其中，第一IP地址为存储系统 在更换前的IP地址。
该装置加载存储系统上的与有访问权限的原始数据对应的元数据 后，将本来是存储系统的第一IP地址占用，即将本地的IP地址更换为 第一IP地址，同时通知存储系统更换IP地址为其它的非第一IP地址。 存储系统的第一IP地址被占用后，相关的访问存储系统的访问请求被自 动切换到私有虚拟机上，从而分担存储系统的压力。
参见图6，在一实施方式中，装置还包括：第一获取模块107。
第一获取模块107用于在请求访问的数据是具有访问权限属性的数 据时，且本地内存中没有存储与请求访问的数据对应的元数据时，通过 FileRPC协议从存储系统获取与请求访问的数据对应的元数据。
权限确定模块103还用于根据第一获取模块107获取的与请求访问 的数据对应的元数据，确定数据访问请求是否有访问的权限。
FileRPC协议是私有虚拟机与存储系统互相传输信息的通信协议， 也是访问文件的私有协议，该协议的规则是可以自定义的；当私有虚拟 机和存储系统是同一厂家时，该协议的规则自定义比较灵活多变。如果 私有虚拟机判断本地内存中没有存储与请求访问的数据对应的元数据， 则可以直接通过FileRPC协议从存储系统获取与请求访问的数据对应的 元数据，然后根据获取的与请求访问的数据对应的元数据，确定数据访 问请求是否有访问的权限。
在另一实施方式中，装置还包括：第二接收模块108。
第二接收模块108用于接收来自存储系统的召回信息，召回信息通 知装置发生改变的元数据，以便于装置对发生改变的元数据进行失效处 理。
当存储系统中的元数据发生变化时，存储系统向私有虚拟机发送召 回信息，以通知哪些元数据发生变化，便于私有虚拟机对发生改变的元 数据进行失效处理，例如：将发生改变的元数据删除，或者用从存储系 统中获取的新的元数据替换以前的元数据。通过这种方式，能够实现元 数据的及时更新，让私有虚拟机本地存储的元数据和存储系统中的元数 据保持一致；能够使公用虚拟机访问数据时的IO请求、客户个人计算 机访问数据时的IO请求、服务器访问数据时的IO请求或者其他办公系 统访问数据时的IO请求等不同场景下，保持读写数据的一致性。
在又一实施方式中，装置还包括：第二获取模块109。
第二获取模块109用于根据公共虚拟机的操作习惯，预先通过 FileRPC协议从存储系统获取公共虚拟机将要访问的数据所对应的元数 据。
如果该装置对公共虚拟机的操作习惯已经知晓，那么私有虚拟机可 以预先通过FileRPC协议从存储系统获取公共虚拟机将要访问的数据所 对应的元数据。例如：私有虚拟机可以统计公共虚拟机访问的数据，从 而获得公共虚拟机的某些操作习惯；假如公共虚拟机A在访问数据1后， 必然访问数据2，那么在公共虚拟机A访问数据1，且私有虚拟机本地 没有数据2对应的元数据时，私有虚拟机即可预先从存储系统获取数据 2所对应的元数据，以便于私有虚拟机为公共虚拟机A即将访问数据2 对应的元数据做好准备。通过这种方式，能够进一步加速访问，降低时 延。
本发明实施方式接收来自公共虚拟机的数据访问请求，以请求访问 存储系统上的原始数据，数据访问请求包括用户相关的信息和与用户对 应的操作类型；根据操作类型，判断数据访问请求所请求访问的数据是 否是具有访问权限的数据；如果是，则根据本地内存中存储的与请求访 问的数据对应的元数据，确定数据访问请求是否有访问的权限，其中， 元数据包括用户相关的信息和与用户对应的操作类型，本地内存中存储 的元数据是装置从存储系统中加载而来的；如果数据访问请求有访问的 权限，则允许公共虚拟机通过该装置访问存储系统中存储的原始数据。 由于本地内存中存储有从存储系统中加载而来的元数据，从而将大量的 元数据操作集中在本地进行，减少对存储系统的压力，且加速鉴权用户 访问，减少与网络的反复交互，降低整体的访问时延。
参阅图7，图7是本发明访问数据的装置一实施方式的实体装置结 构示意图，公共虚拟机的虚拟硬盘映射在存储系统中，所述装置部署在 公共虚拟机和存储系统之间，公共虚拟机通过该装置问存储系统，且所 述装置与所述存储系统之间可以互相传输信息，所述装置是上述图5至 图8的装置的实体装置。所述装置包括：接收器11、处理器12、与处 理器12耦联的存储器13、以及连接接收器11、存储器13、处理器12 的连接线14。
接收器11用于接收来自公共虚拟机的数据访问请求，以请求访问 存储系统上的原始数据，所述数据访问请求包括用户相关的信息和与所 述用户对应的操作类型。
存储器13用于存储接收器11接收的数据访问请求，用于存储从所 述存储系统中加载而来的元数据。
处理器12用于调取所述存储器13存储的数据访问请求，根据所述 数据访问请求中包括的所述操作类型，判断所述数据访问请求所请求访 问的数据是否是具有访问权限属性的数据；在判断结果为是具有访问权 限属性的数据时，根据本地内存中存储的与所述请求访问的数据对应的 元数据，确定所述数据访问请求是否有访问的权限，其中，所述元数据 包括用户相关的信息和与所述用户对应的操作类型；在所述数据访问请 求有访问的权限时，允许所述公共虚拟机通过该装置访问所述存储系统 中存储的所述原始数据。
处理器12还用于加载所述存储系统上的与有访问权限的原始数据 对应的元数据；在所述与有访问权限的原始数据对应的元数据加载完毕 后，将本地的IP地址更换为第一IP地址，并通知所述存储系统将其IP 地址更换为非第一IP地址，其中，所述第一IP地址为所述存储系统在 更换前的IP地址。
处理器12还用于在判断结果为是具有访问权限属性的数据时，且 本地内存中没有存储与所述请求访问的数据对应的元数据，则通过 FileRPC协议从所述存储系统获取与所述请求访问的数据对应的元数 据，并根据获取的与所述请求访问的数据对应的元数据，确定所述数据 访问请求是否有访问的权限。
接收器11还用于接收来自所述存储系统的召回信息，所述召回信 息通知所述私有虚拟机发生改变的元数据，以便于所述私有虚拟机对所 述发生改变的元数据进行失效处理。
处理器12还用于根据所述公共虚拟机的操作习惯，预先通过 FileRPC协议从所述存储系统获取所述公共虚拟机将要访问的数据所对 应的元数据。
本发明实施方式接收来自公共虚拟机的数据访问请求，以请求访问 存储系统上的原始数据，数据访问请求包括用户相关的信息和与用户对 应的操作类型；根据操作类型，判断数据访问请求所请求访问的数据是 否是具有访问权限属性的数据；如果是，则根据本地内存中存储的与请 求访问的数据对应的元数据，确定数据访问请求是否有访问的权限，其 中，元数据包括用户相关的信息和与用户对应的操作类型，本地内存中 存储的元数据是装置从存储系统中加载而来的；如果数据访问请求有访 问的权限，则允许公共虚拟机通过该装置访问存储系统中存储的原始数 据。由于本地内存中存储有从存储系统中加载而来的元数据，从而将大 量的元数据操作集中在本地进行，减少对存储系统的压力，且加速鉴权 用户访问，减少与网络的反复交互，降低整体的访问时延。
参见图8，图8是本发明访问数据的系统一实施方式的结构示意图， 包括至少一个服务器100、至少一个存储系统200，其中，所述服务器 100安装有至少一个公共虚拟机1001，至少一个私有虚拟机1002以及 虚拟机管理器Hypervisor1003。
其中，公共虚拟机1001的虚拟硬盘映射在存储系统200中，私有 虚拟机1002部署在公共虚拟机1001和存储系统200之间，公共虚拟机 1001通过私有虚拟机1002访问存储系统200，且私有虚拟机1002与存 储系统200之间可以互相传输信息。
其中，私有虚拟机1002接收来自公共虚拟机1001的数据访问请求， 以请求访问存储系统200上的原始数据，所述数据访问请求包括用户相 关的信息和与所述用户对应的操作类型；根据所述数据访问请求中包括 的所述操作类型，判断所述数据访问请求所请求访问的数据是否是具有 访问权限属性的数据；在判断结果为是具有访问权限属性的数据时，根 据本地内存中存储的与所述请求访问的数据对应的元数据，确定所述数 据访问请求是否有访问的权限，其中，所述元数据包括用户相关的信息 和与所述用户对应的操作类型；在所述数据访问请求有访问的权限时， 允许所述公共虚拟机1001通过私有虚拟机1002本身访问所述存储系统 200中存储的所述原始数据。
其中，私有虚拟机1002加载所述存储系统200上的与有访问权限 的原始数据对应的元数据；在所述与有访问权限的原始数据对应的元数 据加载完毕后，将本地的IP地址更换为第一IP地址，并通知所述存储 系统200将其IP地址更换为非第一IP地址，其中，所述第一IP地址为 所述存储系统200在更换前的IP地址。
其中，私有虚拟机1002在判断结果为是具有访问权限属性的数据 时，且本地内存中没有存储与所述请求访问的数据对应的元数据，则通 过FileRPC协议从所述存储系统200获取与所述请求访问的数据对应的 元数据，并根据获取的与所述请求访问的数据对应的元数据，确定所述 数据访问请求是否有访问的权限。
其中，私有虚拟机1002接收来自所述存储系统200的召回信息， 所述召回信息通知所述私有虚拟机1002发生改变的元数据，以便于所 述私有虚拟机1002对所述发生改变的元数据进行失效处理。
其中，私有虚拟机1002根据所述公共虚拟机1001的操作习惯，预 先通过FileRPC协议从所述存储系统200获取所述公共虚拟机1001将要 访问的数据所对应的元数据。
其中，存储系统200在与私有虚拟机1002传输信息的过程中，检 测到私有虚拟机1002在预定时间内没有响应，则存储系统200将发给 私有虚拟机1002的IO请求对应数据所在的IP地址自动变化为存储系统 200的IP地址，以使得公共虚拟机1001的数据访问直接转移到存储系 统200上。
本发明实施方式私有虚拟机接收来自公共虚拟机的数据访问请求， 以请求访问存储系统上的原始数据，数据访问请求包括用户相关的信息 和与用户对应的操作类型；私有虚拟机根据操作类型，判断数据访问请 求所请求访问的数据是否是具有访问权限属性的数据；如果是，则私有 虚拟机根据本地内存中存储的与请求访问的数据对应的元数据，确定数 据访问请求是否有访问的权限，其中，元数据包括用户相关的信息和与 用户对应的操作类型，本地内存中存储的元数据是私有虚拟机从存储系 统中加载而来的；如果数据访问请求有访问的权限，则私有虚拟机允许 公共虚拟机通过私有虚拟机本身访问存储系统中存储的原始数据。由于 本地内存中存储有从存储系统中加载而来的元数据，从而将大量的元数 据操作集中在本地进行，减少对存储系统的压力，且加速鉴权用户访问， 减少与网络的反复交互，降低整体的访问时延。
参见图9，图9是本发明访问数据的方法又一实施方式的流程图， 本实施方式是存储系统侧的方法流程图。其中，公共虚拟机的虚拟硬盘 映射在存储系统中，私有虚拟机部署在公共虚拟机和存储系统之间，公 共虚拟机通过私有虚拟机访问存储系统，且私有虚拟机与存储系统之间 可以互相传输信息，该方法包括：
步骤S301：存储系统接收公共虚拟机通过私有虚拟机访问存储系统 中存储的有访问权限的原始数据的请求，其中，访问存储系统中存储的 有访问权限的原始数据的请求是在私有虚拟机判断出公有虚拟机的数 据访问请求有访问的权限时，私有虚拟机向存储系统发出的。
步骤S302：存储系统从映射在本地的公共虚拟机的虚拟硬盘中获取 原始数据。
步骤S303：存储系统将原始数据通过私有虚拟机发送给公共虚拟 机。
本发明实施方式存储系统接收公共虚拟机通过私有虚拟机访问存 储系统中存储的有访问权限的原始数据的请求，其中，访问存储系统中 存储的有访问权限的原始数据的请求是在私有虚拟机判断出公有虚拟 机的数据访问请求有访问的权限时，私有虚拟机向存储系统发出的；存 储系统从映射在本地的公共虚拟机的虚拟硬盘中获取原始数据；存储系 统将原始数据通过私有虚拟机发送给公共虚拟机。由于访问存储系统中 存储的有访问权限的原始数据的请求是在私有虚拟机判断出公有虚拟 机的数据访问请求有访问的权限时，私有虚拟机向存储系统发出的，从 而将大量的元数据操作集中在私有虚拟机进行，减少对存储系统的压 力，且加速鉴权用户访问，减少与网络的反复交互，降低整体的访问时 延。
参见图10，图10是本发明访问数据的方法又一实施方式的流程图， 本实施方式是存储系统侧的方法流程图。
具体地，在步骤S301之前，还包括：
步骤S304：存储系统接收私有虚拟机加载与有访问权限的原始数据 对应的元数据的请求。
步骤S305：存储系统获取保存在本地的、与有访问权限的原始数据 对应的元数据，并将元数据发送给私有虚拟机。
步骤S306：存储系统接收私有虚拟机的IP地址变更通知，将自身 IP地址更换为非第一IP地址，其中，第一IP地址为存储系统在更换前 的IP地址。
私有虚拟机加载存储系统上的与有访问权限的原始数据对应的元 数据后，将本来是存储系统的第一IP地址占用，同时通知存储系统更换 IP地址为其它的非第一IP地址。存储系统的第一IP地址被占用后，相 关的访问存储系统的访问请求被自动切换到私有虚拟机上，有关元数据 操作集中在私有虚拟机进行，从而分担存储系统的压力。
其中，该方法还包括：当有访问权限的原始数据对应的元数据发生 改变时，存储系统向私有虚拟机发送召回信息，召回信息通知私有虚拟 机发生改变的元数据，以便于私有虚拟机对发生改变的元数据进行失效 处理。
当存储系统中的元数据发生变化时，存储系统向私有虚拟机发送召 回信息，以通知哪些元数据发生变化，便于私有虚拟机对发生改变的元 数据进行失效处理，例如：将发生改变的元数据删除，或者用从存储系 统中获取的新的元数据替换以前的元数据。通过这种方式，能够实现元 数据的及时更新，让私有虚拟机本地存储的元数据和存储系统中的元数 据保持一致；能够使公用虚拟机访问数据时的IO请求、客户个人计算 机访问数据时的IO请求、服务器访问数据时的IO请求或者其他办公系 统访问数据时的IO请求等不同场景下，保持读写数据的一致性。
其中，该方法还包括：若存储系统在与私有虚拟机传输信息的过程 中，检测到私有虚拟机在预定时间内没有响应，则存储系统将自身的IP 地址自动变回第一IP地址，以使得公共虚拟机的数据访问直接转移到存 储系统上。
由于存储系统和私有虚拟机之间是可以通过传输信息保持联系的， 当存储系统发现私有虚拟机在预定时间内没有响应时，有可能私有虚拟 机已经死掉，或者私有虚拟机负荷重过于繁忙，无法响应时，为了不影 响公共虚拟机的数据访问，存储系统可以自动进行IP地址切换，即将存 储系统自身的IP地址自动转为第一IP地址，从而使得公共虚拟机的数 据访问直接转移到存储系统上。该步骤是一种应急步骤，当私有虚拟机 在预定时间内没有响应时，通过上述方式，能够不影响公共虚拟机的数 据访问。
参见图11，图11是本发明存储系统一实施方式的结构示意图，本 实施方式的存储系统可以执行上述存储系统侧方法中相应的步骤。在本 实施方式中，公共虚拟机的虚拟硬盘映射在存储系统中，私有虚拟机部 署在公共虚拟机和存储系统之间，公共虚拟机通过私有虚拟机访问存储 系统，且私有虚拟机与存储系统之间可以互相传输信息。存储系统包括： 第一接收模块201、第一获取模块202以及第一发送模块203。
第一接收模块201用于公共虚拟机通过私有虚拟机访问存储系统中 存储的有访问权限的原始数据的请求，其中，访问存储系统中存储的有 访问权限的原始数据的请求是在私有虚拟机判断出公有虚拟机的数据 访问请求有访问的权限时，私有虚拟机向存储系统发出的。
第一获取模块202用于从映射在本地的公共虚拟机的虚拟硬盘中获 取原始数据。
第一发送模块203用于将原始数据通过私有虚拟机发送给公共虚拟 机。
本发明实施方式存储系统接收公共虚拟机通过私有虚拟机访问存 储系统中存储的有访问权限的原始数据的请求，其中，访问存储系统中 存储的有访问权限的原始数据的请求是在私有虚拟机判断出公有虚拟 机的数据访问请求有访问的权限时，私有虚拟机向存储系统发出的；存 储系统从映射在本地的公共虚拟机的虚拟硬盘中获取原始数据；存储系 统将原始数据通过私有虚拟机发送给公共虚拟机。由于访问存储系统中 存储的有访问权限的原始数据的请求是在私有虚拟机判断出公有虚拟 机的数据访问请求有访问的权限时，私有虚拟机向存储系统发出的，从 而将大量的元数据操作集中在私有虚拟机进行，减少对存储系统的压 力，且加速鉴权用户访问，减少与网络的反复交互，降低整体的访问时 延。
参见图12，存储系统还包括：第二接收模块204、第二获取模块205、 第二发送模块206以及第一地址切换模块207。
第二接收模块204用于接收私有虚拟机加载与有访问权限的原始数 据对应的元数据的请求。
第二获取模块205用于获取保存在本地的、与有访问权限的原始数 据对应的元数据。
第二发送模块206用于将元数据发送给私有虚拟机。
第一地址切换模块207用于接收私有虚拟机的IP地址变更通知，将 自身IP地址更换为非第一IP地址，其中，第一IP地址为存储系统在更 换前的IP地址。
私有虚拟机加载存储系统上的与有访问权限的原始数据对应的元 数据后，将本来是存储系统的第一IP地址占用，同时通知存储系统更换 IP地址为其它的非第一IP地址。存储系统的第一IP地址被占用后，相 关的访问存储系统的访问请求被自动切换到私有虚拟机上，有关元数据 操作集中在私有虚拟机进行，从而分担存储系统的压力。
其中，存储系统还包括第三发送模块。
第三发送模块用于当有访问权限的原始数据对应的元数据发生改 变时，向私有虚拟机发送召回信息，召回信息通知私有虚拟机发生改变 的元数据，以便于私有虚拟机对发生改变的元数据进行失效处理。
当存储系统中的元数据发生变化时，存储系统向私有虚拟机发送召 回信息，以通知哪些元数据发生变化，便于私有虚拟机对发生改变的元 数据进行失效处理，例如：将发生改变的元数据删除，或者用从存储系 统中获取的新的元数据替换以前的元数据。通过这种方式，能够实现元 数据的及时更新，让私有虚拟机本地存储的元数据和存储系统中的元数 据保持一致；能够使公用虚拟机访问数据时的IO请求、客户个人计算 机访问数据时的IO请求、服务器访问数据时的IO请求或者其他办公系 统访问数据时的IO请求等不同场景下，保持读写数据的一致性。
其中，存储系统还包括第二地址切换模块。
第二地址切换模块用于在存储系统在与私有虚拟机传输信息的过 程中，检测到私有虚拟机在预定时间内没有响应时，将自身的IP地址自 动变回第一IP地址，以使得公共虚拟机的数据访问直接转移到存储系统 上。
由于存储系统和私有虚拟机之间是可以通过传输信息保持联系的， 当存储系统发现私有虚拟机在预定时间内没有响应时，有可能私有虚拟 机已经死掉，或者私有虚拟机负荷重过于繁忙，无法响应时，为了不影 响公共虚拟机的数据访问，存储系统可以自动进行IP地址切换，即将存 储系统自身的IP地址自动转为第一IP地址，从而使得公共虚拟机的数 据访问直接转移到存储系统上。该步骤是一种应急步骤，当私有虚拟机 在预定时间内没有响应时，通过上述方式，能够不影响公共虚拟机的数 据访问。
在本发明所提供的几个实施方式中，应该理解到，所揭露的系统， 装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施 方式仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑 功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可 以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。 另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是 通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械 或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开 的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于 一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选 择其中的部分或者全部单元来实现本实施方式方案的目的。
另外，在本发明各个实施方式中的各功能单元可以集成在一个处理 单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元 集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可 以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产 品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样 的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或 者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机 软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设 备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor) 执行本发明各个实施方式所述方法的全部或部分步骤。而前述的存储介 质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、 随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各 种可以存储程序代码的介质。
以上所述仅为本发明的实施方式，并非因此限制本发明的专利范 围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变 换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的 专利保护范围内。