CN113067803B - 一种资源隔离系统、请求处理方法及请求处理装置 - Google Patents
一种资源隔离系统、请求处理方法及请求处理装置 Download PDFInfo
- Publication number
- CN113067803B CN113067803B CN202110271611.XA CN202110271611A CN113067803B CN 113067803 B CN113067803 B CN 113067803B CN 202110271611 A CN202110271611 A CN 202110271611A CN 113067803 B CN113067803 B CN 113067803B
- Authority
- CN
- China
- Prior art keywords
- virtual container
- user
- access request
- user access
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种资源隔离系统、请求处理方法及请求处理装置,所述资源隔离系统包括:网关、数据库和域名服务器;网关,用于接收用户访问请求,基于用户访问请求,查询数据库以获取用户访问请求对应的虚拟容器信息,并基于虚拟容器信息,查询域名服务器以获取用户访问请求对应的虚拟容器网际协议IP地址信息,将用户访问请求发送给IP地址信息对应的虚拟容器;数据库,用于对所创建的虚拟容器的容器信息进行存储;域名服务器,用于对所创建的虚拟容器的容器信息和IP地址信息进行存储。本发明实施例,能够提高资源隔离的性能。
Description
技术领域
本发明涉及虚拟网络资源隔离技术领域,特别是涉及一种资源隔离系统、请求处理方法及请求处理装置。
背景技术
多租户是云所使用的一种基础性技术,它通过共享硬件或软件实现云的规模性成本和安全性。云使用多租户技术在多个租户和应用之间安全地共享信息资源。多租户隔离实现的主要是性能隔离,性能隔离的目标是阻止一个租户使用应用影响到别的租户使用应用的性能,以及确保每个租户可能不同的服务等级。
以现有公有云上独有的VPC(Virtual Private Cloud,虚拟私有云)网络资源隔离为例,在对资源隔离时,将网络资源划分为多个网段,设置中心交换机,进而针对用户(或租户)请求,使用不同的路由策略,将用户请求转发至不同的网段。
现有对网络资源划分网段,使用不同的路由策略实现资源的软隔离,需要预先设置不同的路由策略,然而用户需求或类别是动态变化的,使得预先设置的路由策略可能无法适应用户的资源需求,且网段划分受VPC的限制,网段内无法再划分,进而导致资源隔离粒度过粗,使得资源隔离的性能较差。
发明内容
本发明实施例的目的在于提供一种资源隔离系统、请求处理方法及请求处理装置,用以提高资源隔离的性能。具体技术方案如下:
第一方面,本发明实施例提供了一种资源隔离系统,所述资源隔离系统包括:网关、数据库和域名服务器;
所述网关,用于接收用户访问请求,基于所述用户访问请求,查询所述数据库以获取所述用户访问请求对应的虚拟容器信息,并基于所述虚拟容器信息,查询所述域名服务器以获取所述用户访问请求对应的虚拟容器网际协议IP地址信息,将所述用户访问请求发送给所述IP地址信息对应的虚拟容器;
所述数据库,用于对所创建的虚拟容器的容器信息进行存储;
所述域名服务器,用于对所创建的虚拟容器的容器信息和IP地址信息进行存储。
可选地,所述系统还包括:资源管理服务器;
所述资源管理服务器,用于接收用户创建请求,基于所述用户创建请求在预设云主机上创建虚拟容器,并将所创建的虚拟容器的容器信息存储于数据库中。
可选地,所述用户创建请求包括服务标识,所述用户访问请求包括目标服务标识;所述资源管理服务器还用于:将所述服务标识与所述虚拟容器的容器信息之间的对应关系存储于所述数据库中;
所述网关,具体用于:根据所述目标服务标识,查询所述数据库中存储的所述服务标识与所述虚拟容器的容器信息之间的对应关系,获取所述用户访问请求对应的虚拟容器信息。
可选地,所述用户创建请求包括服务标识以及用户标识,所述用户访问请求包括目标服务标识以及目标用户标识,所述资源管理服务器还用于:将所述服务标识以及所述用户标识与所述虚拟容器的容器信息之间的对应关系存储于所述数据库中;
所述网关,具体用于:根据所述目标服务标识以及所述目标用户标识,查询所述数据库中存储的所述服务标识以及所述用户标识与所述虚拟容器的容器信息之间的对应关系,获取所述用户访问请求对应的虚拟容器信息。
可选地,所述网关还用于向所述域名服务器发送地址获取请求,所述地址获取请求中包括所述虚拟容器信息;
所述域名服务器,具体用于:接收所述地址获取请求,根据所述虚拟容器信息,查询与所述虚拟容器信息对应的IP地址信息,并将所述IP地址信息发送给所述网关。
第二方面,本发明实施例提供了一种请求处理方法,应用于上述任一所述的资源隔离系统中的网关,所述方法包括:
接收用户访问请求;
基于所述用户访问请求,查询数据库以获取所述用户访问请求对应的虚拟容器信息,所述数据库中存储有所创建的虚拟容器的容器信息;
基于所述虚拟容器信息,查询域名服务器以获取所述用户访问请求对应的虚拟容器网际协议IP地址信息;
将所述用户访问请求发送给所述IP地址信息对应的虚拟容器。
可选地,在所述接收用户访问请求之前包括:
资源管理服务器接收所述用户创建请求;
基于所述用户创建请求在预设云主机上创建虚拟容器,并将所创建的虚拟容器的容器信息存储于所述数据库中。
可选地,所述数据库中存储有服务标识与虚拟容器的容器信息之间的对应关系;所述用户访问请求包括目标服务标识;所述基于所述用户访问请求,查询数据库以获取所述用户访问请求对应的虚拟容器信息的步骤,包括:
根据所述目标服务标识,查询所述数据库中存储的所述服务标识与虚拟容器的容器信息之间的对应关系,获取所述用户访问请求对应的虚拟容器信息。
可选地,所述数据库中存储有服务标识以及用户标识与虚拟容器的容器信息之间的对应关系;所述用户访问请求包括目标服务标识以及目标用户标识;所述基于所述用户访问请求,查询数据库以获取所述用户访问请求对应的虚拟容器信息的步骤,包括:
根据所述目标服务标识以及所述目标用户标识,查询所述数据库中存储的所述服务标识以及用户标识与虚拟容器的容器信息之间的对应关系,获取所述用户访问请求对应的虚拟容器信息。
可选地,所述域名服务器中存储有虚拟容器的容器信息和IP地址信息,所述基于所述虚拟容器信息,查询域名服务器以获取所述用户访问请求对应的虚拟容器网际协议IP地址信息的步骤,包括:
向所述域名服务器发送地址获取请求,所述地址获取请求中包括所述虚拟容器信息,以使得所述域名服务器根据所述虚拟容器信息,查询与所述虚拟容器信息对应的IP地址信息,并返回IP地址信息。
第三方面,本发明实施例提供了一种请求处理装置,应用于上述任一所述的资源隔离系统中的网关,所述装置包括:
第一接收模块,用于接收用户访问请求;
第一查询模块,用于基于所述用户访问请求,查询数据库以获取所述用户访问请求对应的虚拟容器信息,所述数据库中存储有所创建的虚拟容器的容器信息;
第二查询模块,用于基于所述虚拟容器信息,查询域名服务器以获取所述用户访问请求对应的虚拟容器网际协议IP地址信息;
发送模块,用于将所述用户访问请求发送给所述IP地址信息对应的虚拟容器。
可选地,所述装置还包括:
第二接收模块,用于资源管理服务器接收所述用户创建请求;
创建模块,用于基于所述用户创建请求在预设云主机上创建虚拟容器,并将所创建的虚拟容器的容器信息存储于所述数据库中。
可选地,所述数据库中存储有服务标识与虚拟容器的容器信息之间的对应关系;所述用户访问请求包括目标服务标识;
所述第一查询模块,具体用于:根据所述目标服务标识,查询所述数据库中存储的所述服务标识与虚拟容器的容器信息之间的对应关系,获取所述用户访问请求对应的虚拟容器信息。
可选地,所述数据库中存储有服务标识以及用户标识与虚拟容器的容器信息之间的对应关系;所述用户访问请求包括目标服务标识以及目标用户标识;
所述第一查询模块,具体用于:根据所述目标服务标识以及所述目标用户标识,查询所述数据库中存储的所述服务标识以及用户标识与虚拟容器的容器信息之间的对应关系,获取所述用户访问请求对应的虚拟容器信息。
可选地,所述域名服务器中存储有虚拟容器的容器信息和IP地址信息,所述第二查询模块,具体用于:
向所述域名服务器发送地址获取请求,所述地址获取请求中包括所述虚拟容器信息,以使得所述域名服务器根据所述虚拟容器信息,查询与所述虚拟容器信息对应的IP地址信息,并返回IP地址信息。
第四方面,本发明实施例提供了一种网关设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第二方面所述的方法步骤。
第五方面,本发明实施例提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现实现上述第二方面所述的方法步骤。
本发明实施例有益效果:
本发明实施例提供的一种资源隔离系统、请求处理方法及请求处理装置,网关可以在接收用户访问请求后,基于用户访问请求,查询数据库以获取用户访问请求对应的虚拟容器信息,并基于虚拟容器信息,查询域名服务器以获取用户访问请求对应的虚拟容器IP地址信息,将用户访问请求发送给IP地址信息对应的虚拟容器,其中,数据库中存储有所创建的虚拟容器的容器信息。本发明实施例中,可以创建虚拟容器,进而在访问资源时直接使用所创建的虚拟容器资源,以适应用户需求或类别的动态变化特性,以及实行用户先创建再使用虚拟容器的方法,能够细化资源隔离粒度至虚拟容器,而不是网段,进而能够提高资源隔离的性能,进一步提高用户的安全性。
当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明实施例提供的一种资源隔离系统的结构示意图;
图2为本发明实施例提供的一种请求处理方法的流程示意图;
图3为本发明实施例提供的一种请求处理装置的结构示意图;
图4为本发明实施例提供的一种网关设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有对网络资源划分网段,使用不同的路由策略实现资源的软隔离,需要预先设置不同的路由策略,然而用户需求或类别是动态变化的,使得预先设置的路由策略可能无法适应用户的资源需求,且网段划分受VPC的限制,网段内无法再划分,进而导致资源隔离粒度过粗,使得资源隔离的性能较差的问题,本发明实施例提供了一种资源隔离系统、请求处理方法及请求处理装置。
本发明实施例提供的一种资源隔离系统,可以包括:网关、数据库和域名服务器;
所述网关,用于接收用户访问请求,基于所述用户访问请求,查询所述数据库以获取所述用户访问请求对应的虚拟容器信息,并基于所述虚拟容器信息,查询所述域名服务器以获取所述用户访问请求对应的虚拟容器网际协议IP地址信息,将所述用户访问请求发送给所述IP地址信息对应的虚拟容器;
所述数据库,用于对所创建的虚拟容器的容器信息进行存储;
所述域名服务器,用于对所创建的虚拟容器的容器信息和IP地址信息进行存储。
本发明实施例提供的一种资源隔离系统,网关可以在接收用户访问请求后,基于用户访问请求,查询数据库以获取用户访问请求对应的虚拟容器信息,并基于虚拟容器信息,查询域名服务器以获取用户访问请求对应的虚拟容器IP地址信息,将用户访问请求发送给IP地址信息对应的虚拟容器,其中,数据库中存储有所创建的虚拟容器的容器信息。本发明实施例中,可以创建虚拟容器,进而在访问资源时直接使用所创建的虚拟容器资源,以适应用户需求或类别的动态变化特性,以及实行用户先创建再使用虚拟容器的方法,能够细化资源隔离粒度至虚拟容器,而不是网段,进而能够提高资源隔离的性能,进一步提高用户的安全性。
下面对本发明实施例提供的一种资源隔离系统进行详细介绍:
本发明实施例中,实现资源的隔离,可以先构建应用于大数据平台的资源隔离系统,参见图1所示,该资源隔离系统100可以包括:网关110,数据库120和DNS(Domain NameSystem,域名系统)服务器130,资源管理服务器140。
其中,资源管理服务器140,可以用于接收用户创建请求,基于用户创建请求在预设云主机上创建虚拟容器,并将所创建的虚拟容器的容器信息存储于数据库120中。
数据库120,可以用于对资源管理服务器140所创建的虚拟容器的容器信息进行存储。
域名服务器130,可以用于对资源管理服务器140所创建的虚拟容器的容器信息和IP(Internet Protocol,网际协议)地址信息进行存储。
网关110,可以用于接收用户访问请求,基于用户访问请求,查询数据库120以获取用户访问请求对应的虚拟容器信息,并基于虚拟容器信息,查询DNS服务器130以获取用户访问请求对应的虚拟容器网际协议IP地址信息,将用户访问请求发送给IP地址信息对应的虚拟容器。
本发明实施例中,用户侧与网关110进行交互,网关110与资源管理服务器140进行交互,资源管理服务器140可以在用户需要使用大数据平台上的资源时,基于用户的需求在预设云主机上创建虚拟容器。具体的,用户可以通过网关110向资源管理服务器140发送用户创建请求,该用户创建请求可以表示用户所需的资源服务请求,资源管理服务器140接收到用户创建请求后,在预设云主机上创建虚拟容器,该预设云主机可以是资源管理服务器140预先指定的,也可以是用户指定的,并进一步将所创建的虚拟容器的容器信息存储于数据库120中,该容器信息可以包括所创建的虚拟容器的域名信息、用户标识等。
示例性的,用户需要访问某一网站或某一购物商城时,可以通过网关110向资源管理服务器140发送用户创建请求,该用户创建请求中可以包含需要网站或购物商城服务的标识,进而资源管理服务器140在预先指定的云主机上创建虚拟容器,并将所创建的虚拟容器的域名信息、以及用户标识等信息存储于数据库120中,完成创建虚拟容器的信息注册。虚拟容器的域名信息可以表示为xxx.svc.com等等。
本发明实施例中,在资源管理服务器140完成虚拟容器的创建后,还可以将资源管理服务器140所创建的虚拟容器的容器信息和IP地址信息在DNS服务器130中进行存储。
示例性的,在资源管理服务器140完成虚拟容器pod的创建后,可以将虚拟容器pod的域名信息、用户标识以及IP地址信息存储于DNS服务器130中,本发明实施例中,虚拟容器网际协议IP地址信息,即IP地址信息。
本发明实施例中,用户请求资源管理服务器140创建虚拟容器可以是自费的,也可以是免费的,用户也可以是租户。资源管理服务器140完成虚拟容器的创建后,用户可以通过所创建的虚拟容器使用大数据平台上的资源。
具体的,用户可以向网关110发送用户访问请求,用户访问请求中可以包括URL(Uniform Resource Locator,统一资源定位符),进而可以根据URL得到用户访问请求中包括的用户所需访问的目标服务标识以及目标用户标识等信息。网关110在接收到用户访问请求后,可以直接基于该用户访问请求,查询数据库120以获取用户访问请求对应的虚拟容器信息,该虚拟容器信息可以是能够为用户提供服务的虚拟容器的域名信息等。网关110进一步基于查询到的虚拟容器信息,查询DNS服务器130以获取用户访问请求对应的虚拟容器网际协议IP地址信息,也就是获取能够为用户提供服务的虚拟容器的IP地址信息,进而将用户访问请求发送给IP地址信息对应的虚拟容器,以通过该虚拟容器为用户提供相应的服务,实现不同用户之间的资源隔离。
示例性的,本发明实施例中,用户创建请求以及用户访问请求可以是HTTP(HyperText Transfer Protocol,超文本传输协议)等形式的请求。
本发明实施例中,资源隔离系统100还可以包括:代理服务器(图1中未示出),该代理服务器可以对资源管理服务器140所创建的虚拟容器进行管理。
本发明实施例中,可以针对用户请求创建虚拟容器,进而在访问资源时直接使用所创建的虚拟容器资源,以适应用户需求或类别的动态变化特性,以及实行用户先创建再使用虚拟容器的方法,能够细化资源隔离粒度至虚拟容器,而不是网段,进而能够提高资源隔离的性能,进一步提高用户的安全性。
作为本发明实施例一种可选的实施方式,资源管理服务器140所接收的用户创建请求可以包括服务标识,相应的,资源管理服务器140还可以用于:将服务标识与虚拟容器的容器信息之间的对应关系存储于数据库120中。
具体的,本发明实施例中,资源管理服务器140还可以将用户创建请求中的服务标识,与资源管理服务器140所创建的虚拟容器的容器信息之间的对应关系存储于数据库120中,容器信息例如可以是域名信息。
可选的,网关110所接收的用户访问请求可以包括目标服务标识,进而网关110基于用户访问请求,查询数据库120以获取用户访问请求对应的虚拟容器信息,具体可以为:根据目标服务标识,查询数据库120中存储的服务标识与虚拟容器的容器信息之间的对应关系,获取用户访问请求对应的虚拟容器信息。
实际应用中,网关110可以与用户侧进行交互,网关110还可以与资源管理服务器140进行交互,网关110接收用户的请求,进而对所接收到的请求进行响应,在所接收的请求为用户创建请求时,可以将该用户创建请求转发至资源管理服务器140,以使资源管理服务器140对用户所需的虚拟容器进行创建;网关110在接收的请求为用户访问请求时,对用户的访问请求进行响应。资源管理服务器140在对用户所需的虚拟容器创建后,可以将服务与虚拟容器的容器信息进行关联,容器信息例如可以是域名信息,建立服务标识与虚拟容器的容器信息之间的对应关系,并将服务标识与虚拟容器的容器信息之间的对应关系存储于数据库120中,以便于用户通过该创建的虚拟容器使用资源时,能够基于服务标识,查询到提供该服务的虚拟容器的容器信息(即虚拟容器的域名信息)。
作为本发明实施例一种可选的实施方式,资源管理服务器140所接收的用户创建请求可以包括服务标识以及用户标识,资源管理服务器140还可以用于:将服务标识以及用户标识与虚拟容器的容器信息之间的对应关系存储于数据库120中。
具体的,本发明实施例中,资源管理服务器140还可以将用户创建请求中的服务标识以及用户标识,与资源管理服务器140所创建的虚拟容器的容器信息之间的对应关系存储于数据库120中,容器信息例如可以是域名信息。
可选的,网关110所接收的用户访问请求可以包括目标服务标识以及目标用户标识,进而网关110基于用户访问请求,查询数据库120以获取用户访问请求对应的虚拟容器信息,具体可以为:根据目标服务标识以及目标用户标识,查询数据库120中存储的服务标识以及用户标识与虚拟容器的容器信息之间的对应关系,获取用户访问请求对应的虚拟容器信息。
实际应用中,网关110可以与用户侧进行交互,网关110还可以与资源管理服务器140进行交互,网关110接收用户的请求,进而对所接收到的请求进行响应,在所接收的请求为用户创建请求时,可以将该用户创建请求转发至资源管理服务器140,以使资源管理服务器140对用户所需的虚拟容器进行创建;网关110在接收的请求为用户访问请求时,对用户的访问请求进行响应。资源管理服务器140在对用户所需的虚拟容器创建后,可以将服务、用户标识与虚拟容器的容器信息进行关联,容器信息例如可以是域名信息,建立服务标识以及用户标识与虚拟容器的容器信息之间的对应关系,并将服务标识以及用户标识与虚拟容器的容器信息之间的对应关系存储于数据库120中,以便于用户通过该创建的虚拟容器使用资源时,能够基于服务标识以及用户标识,查询到提供该服务的虚拟容器的容器信息(即虚拟容器的域名信息)。
本发明实施例中,虚拟容器创建之后,将服务标识以及用户标识与虚拟容器的容器信息之间的对应关系存储于数据库120中,在用户需要使用资源时,基于服务标识以及用户标识,查询提供该用户服务的虚拟容器的容器信息,使得基于用户A的创建请求所创建的虚拟容器,用户B不能使用,进而提高资源隔离的性能。
作为本发明实施例一种可选的实施方式,网关110还可以用于向DNS服务器130发送地址获取请求,该地址获取请求中可以包括虚拟容器信息,进而DNS服务器130可以用于:接收地址获取请求,根据虚拟容器信息,查询与虚拟容器信息对应的IP地址信息,并将IP地址信息发送给网关110。
本发明实施例中,网关110接收用户访问请求,并基于用户访问请求,查询数据库120获取用户访问请求对应的虚拟容器信息之后,可以向DNS服务器130发送包括虚拟容器信息的地址获取请求,进而DNS服务器130在接收地址获取请求后,根据虚拟容器信息,查询创建虚拟容器后在DNS服务器130中存储的虚拟容器的容器信息和IP地址信息,得到虚拟容器信息对应的IP地址信息,并将IP地址信息发送给网关110,以使网关110能够将用户访问请求发送至IP地址信息对应的虚拟容器。
本发明实施例中,可以根据用户请求创建虚拟容器,进而在访问资源时直接使用所创建的虚拟容器资源,以适应用户需求或类别的动态变化特性,以及实行用户先创建再使用虚拟容器的方法,能够细化资源隔离粒度至虚拟容器,而不是网段,进而能够提高资源隔离的性能,进一步提高用户的安全性。
相应于上述系统实施例,本发明实施例还提供了一种请求处理方法,应用于如图1所示资源隔离系统中的网关,如图2所示,本发明实施例提供的请求处理方法,可以包括以下步骤:
S201,接收用户访问请求。
S202,基于用户访问请求,查询数据库以获取用户访问请求对应的虚拟容器信息,其中,数据库中存储有所创建的虚拟容器的容器信息。
S203,基于虚拟容器信息,查询DNS服务器以获取用户访问请求对应的虚拟容器网际协议IP地址信息。
S204,将用户访问请求发送给IP地址信息对应的虚拟容器。
对于请求处理方法相关实施例的具体实现过程,可参见上述系统实施例的详细介绍,本发明实施例在此不再赘述。
本发明实施例中,可以创建虚拟容器,进而在访问资源时直接使用所创建的虚拟容器资源,以适应用户需求或类别的动态变化特性,以及实行用户先创建再使用虚拟容器的方法,能够细化资源隔离粒度至虚拟容器,而不是网段,进而能够提高资源隔离的性能,进一步提高用户的安全性。
作为本发明实施例一种可选的实施方式,在接收用户访问请求之前还可以包括:
资源管理服务器接收用户创建请求。
资源管理服务器基于用户创建请求在预设云主机上创建虚拟容器,并将所创建的虚拟容器的容器信息存储于数据库中。
作为本发明实施例一种可选的实施方式,数据库中可以存储有服务标识与虚拟容器的容器信息之间的对应关系,用户访问请求可以包括目标服务标识,相应的,上述步骤S204基于用户访问请求,查询数据库以获取用户访问请求对应的虚拟容器信息的实施方式,可以包括:
根据用户访问请求中的目标服务标识,查询数据库中存储的服务标识与虚拟容器的容器信息之间的对应关系,获取用户访问请求对应的虚拟容器信息。
作为本发明实施例一种可选的实施方式,数据库中可以存储有服务标识以及用户标识与虚拟容器的容器信息之间的对应关系,用户访问请求可以包括目标服务标识以及目标用户标识,相应的,上述步骤S204基于用户访问请求,查询数据库以获取用户访问请求对应的虚拟容器信息的实施方式,可以包括:
根据用户访问请求中的目标服务标识以及目标用户标识,查询数据库中存储的服务标识以及用户标识与虚拟容器的容器信息之间的对应关系,获取用户访问请求对应的虚拟容器信息。
作为本发明实施例一种可选的实施方式,域名服务器中可以存储有虚拟容器的容器信息和IP地址信息,相应的,上述步骤S205基于虚拟容器信息,查询域名服务器以获取用户访问请求对应的虚拟容器网际协议IP地址信息的实施方式,可以包括:
向域名服务器发送地址获取请求,地址获取请求中包括虚拟容器信息,以使得域名服务器根据虚拟容器信息,查询与虚拟容器信息对应的IP地址信息,并返回IP地址信息。
相应于上述方法实施例,本发明实施例还提供了一种请求处理装置,应用于如图1所示资源隔离系统中的网关,如图3所示,本发明实施例提供的请求处理装置,可以包括:
第一接收模块301,用于接收用户访问请求。
第一查询模块302,用于基于用户访问请求,查询数据库以获取用户访问请求对应的虚拟容器信息,数据库中存储有所创建的虚拟容器的容器信息。
第二查询模块303,用于基于虚拟容器信息,查询域名服务器以获取用户访问请求对应的虚拟容器网际协议IP地址信息。
发送模块304,用于将用户访问请求发送给IP地址信息对应的虚拟容器。
本发明实施例中,可以创建虚拟容器,进而在访问资源时直接使用所创建的虚拟容器资源,以适应用户需求或类别的动态变化特性,以及实行用户先创建再使用虚拟容器的方法,能够细化资源隔离粒度至虚拟容器,而不是网段,进而能够提高资源隔离的性能,进一步提高用户的安全性。
可选地,上述装置还可以包括:
第二接收模块,用于资源管理服务器接收用户创建请求;
创建模块,用于资源管理服务器基于用户创建请求在预设云主机上创建虚拟容器,并将所创建的虚拟容器的容器信息存储于数据库中。
可选地,数据库中存储有服务标识与虚拟容器的容器信息之间的对应关系;上述用户访问请求可以包括目标服务标识;
上述第一查询模块304,具体用于:根据目标服务标识,查询数据库中存储的服务标识与虚拟容器的容器信息之间的对应关系,获取用户访问请求对应的虚拟容器信息。
可选地,数据库中存储有服务标识以及用户标识与虚拟容器的容器信息之间的对应关系;上述用户访问请求可以包括目标服务标识以及目标用户标识;
上述第一查询模块304,具体用于:根据目标服务标识以及目标用户标识,查询数据库中存储的服务标识以及用户标识与虚拟容器的容器信息之间的对应关系,获取用户访问请求对应的虚拟容器信息。
可选地,域名服务器中存储有虚拟容器的容器信息和IP地址信息,上述第二查询模块305,具体用于:
向域名服务器发送地址获取请求,地址获取请求中包括虚拟容器信息,以使得域名服务器根据虚拟容器信息,查询与虚拟容器信息对应的IP地址信息,并返回IP地址信息。
本发明实施例还提供了一种网关设备,如图4所示,包括处理器401、通信接口402、存储器403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信,
存储器403,用于存放计算机程序;
处理器401,用于执行存储器403上所存放的程序时,实现上述请求处理方法的步骤,以达到相同的技术效果。
上述网关设备提到的通信总线可以是PCI(Peripheral ComponentInterconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述网关设备与其他设备之间的通信。
存储器可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述请求处理方法的步骤,以达到相同的技术效果。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中请求处理方法的步骤,以达到相同的技术效果。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、DSL(Digital Subscriber Line,数字用户线))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD(Digital Versatile Disc,数字多功能光盘))、或者半导体介质(例如SSD(Solid StateDisk,固态硬盘))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于方法、装置、服务器设备实施例而言,由于其基本相似于系统实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (9)
1.一种资源隔离系统,其特征在于,所述资源隔离系统包括:网关、数据库和域名服务器;
所述网关,用于接收用户访问请求,基于所述用户访问请求,查询所述数据库以获取所述用户访问请求对应的虚拟容器信息,并基于所述虚拟容器信息,查询所述域名服务器以获取所述用户访问请求对应的虚拟容器网际协议IP地址信息,将所述用户访问请求发送给所述IP地址信息对应的虚拟容器;所述虚拟容器信息包括:能够为用户提供服务的虚拟容器的域名信息;
所述数据库,用于对所创建的虚拟容器的容器信息进行存储;
所述域名服务器,用于对所创建的虚拟容器的容器信息和IP地址信息进行存储;
所述系统还包括:资源管理服务器;
所述资源管理服务器,用于接收用户创建请求,基于所述用户创建请求在预设云主机上创建虚拟容器,并将所创建的虚拟容器的容器信息存储于数据库中;所述用户创建请求包括服务标识以及用户标识,所述用户访问请求包括目标服务标识以及目标用户标识,
所述资源管理服务器还用于:将所述服务标识以及所述用户标识与所述虚拟容器的容器信息之间的对应关系存储于所述数据库中;
所述网关,具体用于:根据所述目标服务标识以及所述目标用户标识,查询所述数据库中存储的所述服务标识以及所述用户标识与所述虚拟容器的容器信息之间的对应关系,获取所述用户访问请求对应的虚拟容器信息。
2.根据权利要求1所述的系统,其特征在于,所述用户创建请求包括服务标识,所述用户访问请求包括目标服务标识;所述资源管理服务器还用于:将所述服务标识与所述虚拟容器的容器信息之间的对应关系存储于所述数据库中;
所述网关,具体用于:根据所述目标服务标识,查询所述数据库中存储的所述服务标识与所述虚拟容器的容器信息之间的对应关系,获取所述用户访问请求对应的虚拟容器信息。
3.根据权利要求1-2任一所述的系统,其特征在于,所述网关还用于向所述域名服务器发送地址获取请求,所述地址获取请求中包括所述虚拟容器信息;
所述域名服务器,具体用于:接收所述地址获取请求,根据所述虚拟容器信息,查询与所述虚拟容器信息对应的IP地址信息,并将所述IP地址信息发送给所述网关。
4.一种请求处理方法,其特征在于,应用于如权利要求1-3任一所述的资源隔离系统中的网关,所述方法包括:
接收用户访问请求;
基于所述用户访问请求,查询数据库以获取所述用户访问请求对应的虚拟容器信息,所述数据库中存储有所创建的虚拟容器的容器信息;所述虚拟容器信息包括:能够为用户提供服务的虚拟容器的域名信息;
基于所述虚拟容器信息,查询域名服务器以获取所述用户访问请求对应的虚拟容器网际协议IP地址信息;
将所述用户访问请求发送给所述IP地址信息对应的虚拟容器;
在所述接收用户访问请求之前包括:
资源管理服务器接收所述用户创建请求;
基于所述用户创建请求在预设云主机上创建虚拟容器,并将所创建的虚拟容器的容器信息存储于所述数据库中;所述数据库中存储有服务标识以及用户标识与虚拟容器的容器信息之间的对应关系;所述用户访问请求包括目标服务标识以及目标用户标识;
所述基于所述用户访问请求,查询数据库以获取所述用户访问请求对应的虚拟容器信息的步骤,包括:
根据所述目标服务标识以及所述目标用户标识,查询所述数据库中存储的所述服务标识以及用户标识与虚拟容器的容器信息之间的对应关系,获取所述用户访问请求对应的虚拟容器信息。
5.根据权利要求4所述的方法,其特征在于,所述数据库中存储有服务标识与虚拟容器的容器信息之间的对应关系;所述用户访问请求包括目标服务标识;所述基于所述用户访问请求,查询数据库以获取所述用户访问请求对应的虚拟容器信息的步骤,包括:
根据所述目标服务标识,查询所述数据库中存储的所述服务标识与虚拟容器的容器信息之间的对应关系,获取所述用户访问请求对应的虚拟容器信息。
6.根据权利要求4-5任一所述的方法,其特征在于,所述域名服务器中存储有虚拟容器的容器信息和IP地址信息,所述基于所述虚拟容器信息,查询域名服务器以获取所述用户访问请求对应的虚拟容器网际协议IP地址信息的步骤,包括:
向所述域名服务器发送地址获取请求,所述地址获取请求中包括所述虚拟容器信息,以使得所述域名服务器根据所述虚拟容器信息,查询与所述虚拟容器信息对应的IP地址信息,并返回IP地址信息。
7.一种请求处理装置,其特征在于,应用于如权利要求1-3任一所述的资源隔离系统中的网关,所述装置包括:
第一接收模块,用于接收用户访问请求;
第一查询模块,用于基于所述用户访问请求,查询数据库以获取所述用户访问请求对应的虚拟容器信息,所述数据库中存储有所创建的虚拟容器的容器信息;所述虚拟容器信息包括:能够为用户提供服务的虚拟容器的域名信息;
第二查询模块,用于基于所述虚拟容器信息,查询域名服务器以获取所述用户访问请求对应的虚拟容器网际协议IP地址信息;
发送模块,用于将所述用户访问请求发送给所述IP地址信息对应的虚拟容器;
所述装置还包括:
第二接收模块,用于资源管理服务器接收所述用户创建请求;
创建模块,用于基于所述用户创建请求在预设云主机上创建虚拟容器,并将所创建的虚拟容器的容器信息存储于所述数据库中;所述数据库中存储有服务标识以及用户标识与虚拟容器的容器信息之间的对应关系;所述用户访问请求包括目标服务标识以及目标用户标识;
所述第一查询模块,具体用于:根据所述目标服务标识以及所述目标用户标识,查询所述数据库中存储的所述服务标识以及用户标识与虚拟容器的容器信息之间的对应关系,获取所述用户访问请求对应的虚拟容器信息。
8.一种网关设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求4-6任一所述的方法步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求4-6任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110271611.XA CN113067803B (zh) | 2021-03-12 | 2021-03-12 | 一种资源隔离系统、请求处理方法及请求处理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110271611.XA CN113067803B (zh) | 2021-03-12 | 2021-03-12 | 一种资源隔离系统、请求处理方法及请求处理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113067803A CN113067803A (zh) | 2021-07-02 |
| CN113067803B true CN113067803B (zh) | 2023-05-05 |
Family
ID=76560227
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110271611.XA Active CN113067803B (zh) | 2021-03-12 | 2021-03-12 | 一种资源隔离系统、请求处理方法及请求处理装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113067803B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113312612A (zh) * | 2021-07-29 | 2021-08-27 | 支付宝(杭州)信息技术有限公司 | 多方安全计算中的应用访问方法和装置 |
| CN115987798A (zh) * | 2022-12-29 | 2023-04-18 | 成都新希望金融信息有限公司 | 一种资源管理方法及资源管理系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9686158B1 (en) * | 2013-03-13 | 2017-06-20 | United Services Automobile Association (Usaa) | Point to node in a multi-tiered middleware environment |
| CN108353087A (zh) * | 2015-10-06 | 2018-07-31 | 赛门铁克公司 | 用于生成虚拟专用容器的技术 |
| CN109032755A (zh) * | 2018-06-29 | 2018-12-18 | 优刻得科技股份有限公司 | 一种容器服务托管系统及提供容器服务的方法 |
| WO2019071464A1 (zh) * | 2017-10-11 | 2019-04-18 | 华为技术有限公司 | 数据中心系统中域名解析的方法、装置和系统 |
| CN111274002A (zh) * | 2020-02-28 | 2020-06-12 | 深圳市赛为智能股份有限公司 | 支撑paas平台构建方法、装置、计算机设备及存储介质 |
| CN111327647A (zh) * | 2018-12-13 | 2020-06-23 | 北京金山云网络技术有限公司 | 一种容器对外提供服务的方法、装置及电子设备 |
-
2021
- 2021-03-12 CN CN202110271611.XA patent/CN113067803B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9686158B1 (en) * | 2013-03-13 | 2017-06-20 | United Services Automobile Association (Usaa) | Point to node in a multi-tiered middleware environment |
| CN108353087A (zh) * | 2015-10-06 | 2018-07-31 | 赛门铁克公司 | 用于生成虚拟专用容器的技术 |
| WO2019071464A1 (zh) * | 2017-10-11 | 2019-04-18 | 华为技术有限公司 | 数据中心系统中域名解析的方法、装置和系统 |
| CN109032755A (zh) * | 2018-06-29 | 2018-12-18 | 优刻得科技股份有限公司 | 一种容器服务托管系统及提供容器服务的方法 |
| CN111327647A (zh) * | 2018-12-13 | 2020-06-23 | 北京金山云网络技术有限公司 | 一种容器对外提供服务的方法、装置及电子设备 |
| CN111274002A (zh) * | 2020-02-28 | 2020-06-12 | 深圳市赛为智能股份有限公司 | 支撑paas平台构建方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113067803A (zh) | 2021-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110677405B (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
| US20180205697A1 (en) | Managing content delivery network service providers by a content broker | |
| CN109561226B (zh) | 一种api混合多租户路由方法、系统和api网关 | |
| CN111460460B (zh) | 任务访问方法、装置、代理服务器及机器可读存储介质 | |
| US20170295133A1 (en) | Establishing unique sessions for dns subscribers | |
| US8886750B1 (en) | Alias resource record sets | |
| EP3170091B1 (en) | Method and server of remote information query | |
| US11681757B2 (en) | Similar email spam detection | |
| CN113067803B (zh) | 一种资源隔离系统、请求处理方法及请求处理装置 | |
| CN113037855B (zh) | 一种多媒体访问系统、方法、装置、终端及介质 | |
| US10341288B2 (en) | Methods circuits devices systems and associated computer executable code for providing conditional domain name resolution | |
| CN111917900B (zh) | 一种域名代理的请求处理方法及装置 | |
| CN109873855B (zh) | 一种基于区块链网络的资源获取方法和系统 | |
| US20190306110A1 (en) | Experience differentiation | |
| CN113094334A (zh) | 基于分布式存储的数字服务方法、装置、设备及储存介质 | |
| CN107786594B (zh) | 业务请求处理方法及装置 | |
| CN111405079A (zh) | 一种域名解析方法、装置、存储介质及电子设备 | |
| CN103973638A (zh) | 访问控制方法、电子设备和服务器 | |
| CN111131333B (zh) | 业务数据推送方法和服务器集群 | |
| CN104092751A (zh) | 一种业务访问方法和设备 | |
| CN111262779A (zh) | 即时通讯中数据的获取方法、装置、服务器及系统 | |
| CN108737493B (zh) | 一种地址分配方法、装置及电子设备 | |
| CN111953931A (zh) | 一种数据的共享方法、装置和存储介质 | |
| CN114679370B (zh) | 一种服务器托管方法、装置、系统及存储介质 | |
| CN111988298B (zh) | 数据处理方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |