CN106165367B - 一种存储装置的访问控制方法、存储装置以及控制系统 - Google Patents
一种存储装置的访问控制方法、存储装置以及控制系统 Download PDFInfo
- Publication number
- CN106165367B CN106165367B CN201480013589.7A CN201480013589A CN106165367B CN 106165367 B CN106165367 B CN 106165367B CN 201480013589 A CN201480013589 A CN 201480013589A CN 106165367 B CN106165367 B CN 106165367B
- Authority
- CN
- China
- Prior art keywords
- node
- access
- storage device
- firewall
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 99
- 238000012986 modification Methods 0.000 claims abstract description 38
- 230000004048 modification Effects 0.000 claims abstract description 38
- 230000008569 process Effects 0.000 claims description 42
- 230000002159 abnormal effect Effects 0.000 claims description 16
- 238000004891 communication Methods 0.000 claims description 12
- 238000011084 recovery Methods 0.000 claims description 12
- 230000006870 function Effects 0.000 claims description 7
- 238000012216 screening Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 9
- 230000000903 blocking effect Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 5
- 239000000835 fiber Substances 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种对存储装置访问的控制方法以及系统,其中,该方法包括:所述存储装置接收针对所述节点的访问屏蔽消息,所述访问屏蔽消息包括所述节点的标识,以及与所述标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置无访问权限;所述存储装置根据所述访问屏蔽消息,将所述节点标识对应的访问权限设置为:无访问权限;所述存储装置向所述节点发送修改防火墙策略的通知,所述修改防火墙策略的通知用于指示所述节点修改所述节点对应防火墙的防火墙策略,屏蔽所述节点向所述存储装置发送的IO访问请求。采用本发明实施例,能够有效地实现对存储装置的访问进行控制。
Description
技术领域
本发明涉及存储技术领域,更具体地,涉及一种存储装置的访问控制方法、存储装置以及控制系统。
背景技术
集群(Cluster)是一组相互独立的、通过高速网络互连的计算机。集群中的每一个计算机被称为一个节点(Node)。在集群中会存在一个管理节点,它是通过管理员指定或者系统配置设定,该管理节点的一项重要功能是检测集群中节点是否发生故障,并通知发生故障的节点从集群中退出。
在集群中的节点对存储装置进行访问的应用场景下,一旦某一节点发生故障,就需要通知该故障节点从集群中退出,以避免故障节点和其他无故障节点同时对存储资源进行读写访问时,所可能出现的数据不一致的问题。
在解决故障节点对存储装置的访问控制问题时,现有技术采用的是Fencing(隔离)技术,其中,包括三类解决方式:Persistent Reservation Fencing(持久保留隔离,以下简称PRF)技术,Fiber Channel Fencing(光纤信道隔离,以下简称FCF)技术,以及PowerFencing(电源隔离,以下简称PF)技术。其中,采用PRF技术,需要存储设备支持SCSI-3Persistent Reservation(持久保留)功能,其中SCSI指的是小型计算机系统接口,其全称是Small Computer System Interface。采用FCF技术,通过控制光纤交换机,禁用故障节点所连接的光纤通道端口,切断存储资源到故障节点的光纤链路,从而达到禁止故障节点访问存储装置的目的。采用PF技术,通过控制故障节点的供电模块,直接切断故障节点的电源,从而就避免故障节点对存储装置的访问。
上述现有技术中,并非所有的存储设备都支持SCSI-3 Persistent Reservation功能,故采用PRF技术,就具有一定的局限性;而采用FCF技术或者PF技术,则可能存在安全性问题。
发明内容
鉴于此,本发明实施例提供了一种存储装置的访问控制方法、存储装置以及控制系统,能够有效地实现对故障节点访问存储装置进行控制。
第一方面,提供了一种存储装置的访问控制方法,应用于集群中节点对存储装置的访问过程,该方法包括:所述存储装置接收针对所述节点的访问屏蔽消息,所述访问屏蔽消息包括所述节点的标识,以及与所述标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置无访问权限;所述存储装置根据所述访问屏蔽消息,将所述节点标识对应的访问权限设置为:无访问权限;所述存储装置向所述节点发送修改防火墙策略的通知,所述修改防火墙策略的通知用于指示所述节点修改所述节点对应防火墙的防火墙策略,屏蔽所述节点向所述存储装置发送的IO访问请求。
结合第一方面,在第一种可能的实现方式中,在所述存储装置根据所述访问屏蔽消息,将所述节点标识对应的访问权限设置为无访问权限之后,该方法包括:所述存储装置接收所述节点发送的IO访问请求,所述IO访问请求包括所述节点的标识;所述存储装置根据所述访问控制列表以及所述IO访问请求,确定所述节点的标识对应的访问权限为无访问权限时,向所述节点发送异常指示消息,所述异常指示消息用于指示所述节点执行重启操作。
结合第一方面的第一种可能的实现方式,在第二种可能的实现方式中,在所述存储装置向所述节点发送异常指示消息之后,该方法还包括:所述存储装置接收管理节点发送的访问屏蔽解除消息,所述访问屏蔽解除消息包括:所述节点标识,以及与所述节点标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置具有访问权限,所述访问屏蔽消息是在所述节点向所述管理节点发送加入集群的请求,确定所述节点为恢复节点之后,由所述管理节点向所述存储装置发送的;所述存储装置根据所述访问屏蔽解除消息,在所述访问控制列表中,将所述节点标识对应的访问权限设置为:有访问权限。
结合第一方面的第二种可能的实现方式,在第三种可能的实现方式中,在所述根据所述访问屏蔽解除消息,在所述访问控制列表中,对所述节点标识对应的访问权限设置为有访问权限之后,所述方法还包括:所述存储装置向所述节点发送修改防火墙策略的通知,所述修改防火墙策略的通知用于指示所述节点修改所述节点对应防火墙的防火墙策略,允许所述节点向所述存储装置发送的IO访问请求。
结合第一方面或者第一方面的第一至第三种可能的实现方式,在第四种可能的实现方式中,在所述接收针对所述节点的访问屏蔽消息之前,所述方法还包括:预先设置所述存储装置的访问控制列表,所述访问控制列表包括:所述节点标识,以及与所述节点标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置具有访问权限;以及预先设置所述节点对应防火墙的防火墙策略,所述防火墙策略用于指示所述节点对应的防火墙,允许所述节点向所述存储装置发送的IO访问请求。
第二方面,提供了一种存储装置,该存储装置包括:
处理器,存储器,通信接口和总线,其中,所述处理器、所述存储器和所述通信接口通过所述总线通信;
所述通信接口用于与集群中的管理节点以及节点通信;
所述存储器用于存放程序;
当所述存储装置运行时,所述处理器用于执行所述存储器存储的所述程序,以执行上述第一方面的各种实现方式之一所述的方法。
第三方面,提供了一种具有访问控制功能的存储装置,该存储装置应用于集群中节点对所述存储装置的访问过程中,该存储装置包括:接收单元,用于接收针对所述节点的访问屏蔽消息,所述访问屏蔽消息包括所述节点的标识,以及与所述标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置无访问权限;设置单元,用于根据所述访问屏蔽消息,将所述节点标识对应的访问权限设置为:无访问权限;发送单元,用于向所述节点发送修改防火墙策略的通知,所述修改防火墙策略的通知用于指示所述节点修改所述节点对应防火墙的防火墙策略,屏蔽所述节点向所述存储装置发送的IO访问请求。
结合第三方面,在第一种可能的实现方式中,所述接收单元,还用于接收所述节点发送的IO访问请求,所述IO访问请求包括所述节点的标识;所述发送单元,还用于根据所述访问控制列表以及所述IO访问请求,确定所述节点的标识对应的访问权限为无访问权限时,向所述节点发送异常指示消息,所述异常指示消息用于指示所述节点执行重启操作。
结合第三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述接收单元,还用于接收管理节点发送的访问屏蔽解除消息,所述访问屏蔽解除消息包括:所述节点标识,以及与所述节点标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置具有访问权限,所述访问屏蔽消息是在所述节点向所述管理节点发送加入集群的请求,确定所述节点为恢复节点之后,由所述管理节点向所述存储装置发送的;所述设置单元,还用于根据所述访问屏蔽解除消息,在所述访问控制列表中,将所述节点标识对应的访问权限设置为:有访问权限。
结合第三方面的第二种可能的实现方式,在第三种可能的实现方式中,所述发送单元,还用于向所述节点的防火墙发送修改防火墙策略的通知,所述修改防火墙策略的通知用于指示所述节点的防火墙,允许所述节点向所述存储装置发送的IO访问请求。
结合第三方面或者第三方面的第一至第三种可能的实现方式,在第四种可能的实现方式中,所述设置单元,还用于预先设置所述存储装置的访问控制列表,所述访问控制列表包括:所述节点标识,以及与所述节点标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置具有访问权限;以及预先设置所述节点防火墙的防火墙策略,所述防火墙策略用于指示所述节点的防火墙,允许所述节点向所述存储装置发送的IO访问请求。
第四方面,提供了一种实现存储装置访问的控制系统,该系统包括:集群以及存储装置,所述集群包括至少一个节点,所述至少一个节点中的某一个节点能够对所述存储装置进行访问,所述存储装置,用于接收针对所述节点的访问屏蔽消息,所述访问屏蔽消息包括所述节点的标识,以及与所述标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置无访问权限;用于根据所述访问屏蔽消息,将所述节点标识对应的访问权限设置为无访问权限;以及用于向所述节点发送修改防火墙策略的通知,所述修改防火墙策略的通知用于指示所述节点修改所述节点对应防火墙的防火墙策略,屏蔽所述节点向所述存储装置发送的IO访问请求;所述节点,用于根据所述修改防火墙策略的通知,修改对应防火墙的防火墙策略。
结合第四方面,在第一种可能的实现方式中,所述存储装置,还用于接收所述节点发送的IO访问请求,所述IO访问请求包括所述节点的标识,根据所述访问控制列表以及所述IO访问请求,确定所述节点的标识对应的访问权限为无访问权限时,向所述节点发送异常指示消息,所述异常指示消息用于指示所述节点执行重启操作;所述节点,还用于根据所述异常指示消息,执行所述节点重启操作。
结合第四方面的第一种可能的实现方式,在第二种可能的实现方式中,所述集群中还包含管理节点,所述管理节点,用于接收所述节点发送的加入集群的请求,确定所述节点为恢复节点之后,向所述存储盘发送访问屏蔽解除消息,所述访问屏蔽解除消息包括:所述节点标识,以及与所述节点标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置具有访问权限;所述存储装置,还用于接收管理节点发送的访问屏蔽解除消息,并根据所述访问屏蔽解除消息,在所述访问控制列表中,将所述节点标识对应的访问权限设置为有访问权限。
结合第四方面的第二种可能的实现方式,在第三种可能的实现方式中,所述存储装置,还用于向所述节点发送修改防火墙策略的通知,所述修改防火墙策略的通知用于指示所述节点修改所述节点对应防火墙的防火墙策略,允许所述节点向所述存储装置发送的IO访问请求;所述节点,还用于根据所述修改防火墙策略的通知,修改对应防火墙的防火墙策略。
结合第四方面或者第四方面的第一至第三种可能的实现方式,在第四种可能的实现方式中,所述存储装置,还用于预先设置所述访问控制列表,所述访问控制列表包括:所述节点标识,以及与所述节点标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置具有访问权限;以及所述节点,还用于预先设置所述节点对应防火墙的防火墙策略,所述防火墙策略用于指示所述节点对应的防火墙,允许所述节点向所述存储装置发送的IO访问请求。
基于上述实现方案,本发明实施例通过存储装置接收针对某一节点的访问屏蔽消息,从而改变该节点访问存储装置的访问权限,并通过发送修改防火墙策略的通知给该节点,促使该节点修改对应防火墙的防火墙策略,从而有效地屏蔽了该节点对存储装置的IO访问请求。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的集群和存储装置所构成的访问系统架构示意图。
图2是本发明的对存储装置的访问进行控制的方法实施例一的示意图。
图3是本发明的对存储装置的访问进行控制的方法实施例二的示意图。
图4是本发明的对存储装置的访问进行控制的方法实施例三的示意图。
图5是本发明的对存储装置的访问进行控制的方法实施例四的示意图。
图6是本发明实现的存储装置实施例一的示意性框图。
图7是本发明实现的存储装置实施例二的示意性框图。
图8是本发明实现存储装置访问的控制系统实施例的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
一般的,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、组件、数据结构、以及其他类型的结构。此外,本领域的技术人员可以明白,各实施例可以用其他计算机系统配置来实施,包括手持式设备、多处理器系统、基于微处理器或可编程消费电子产品、小型计算机、大型计算机以及类似计算设备。各实施例还能在任务由通过通信网络连接的远程处理设备来执行的分布式计算环境中实现。在分布式计算环境中,程序模块可位于本地和远程存储器存储设备中。
各实施例可被实现为计算机实现的过程、计算系统、或者诸如计算机程序产品或计算机系统执行示例过程的指令的计算机程序的计算机存储介质。例如:计算机可读存储介质可经由易失性计算机存储器、非易失性存储器、硬盘驱动器、闪存驱动器、软盘或紧致盘和类似介质中的一个或多个来实现。
贯穿本说明书,术语“集群(Cluster)”是一组相互独立的、通过高速网络互联的计算机,它们构成了一个组,并以单一系统的模式加以管理。集群中的每台计算机被称为一个“节点”。
贯穿本说明书,术语“节点(Node)”一般指在联网环境中执行一个或多个软件程序的计算设备,然而,在具体应用中,“节点”还可以被实现为被视作网络中的服务器的一个或多个计算设备上执行的虚拟节点(软件程序)。节点指的是物理机或者安装在物理机上的虚拟机。
贯穿本说明书,术语“存储装置(Storage Device)”一般指用于储存信息的设备,通常是采用将信息数字化后再以利用电、磁或光学等方式存储在存储介质中。
贯穿本说明书,术语“防火墙(Firewall)”一般指的是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。在具体实现中,防火墙可能是一台专属的硬件或是架设在一般硬件上的一套软件。
贯穿本说明书,术语“IO访问请求”一般指的是存储设备所接收到的对该存储设备上所存储的数据进行读、或者写的请求。其中,对于IO读请求,一般包含需要读取的存储设备的地址信息;对于IO写请求,除包含需要写入的存储设备的地址信息,还包含需要写入的数据。
本发明实施例的系统架构
在介绍本发明的实施例之前,先整体介绍一下由集群和存储装置所构成的访问系统架构示意图,如图1所示。该系统包括:
集群100,由N个节点组成(N≥1,且N为整数),每一个节点可以部署在物理节点(如:服务器)上,也可以部署在虚拟节点(如:虚拟机)上,负责接收应用或者客户端发送的数据访问请求,并将该数据访问请求转换成对存储装置的IO访问请求。在集群100中所包含的N个节点中,会存在一个管理节点(以节点2作为管理节点为例),该管理节点通过管理员或者其他系统从节点中选择并加以配置。该管理节点负责检测出集群中其他节点的故障,并通知发生故障的节点从集群中退出。
存储装置资源池200,有M(M≥1,且M为整数)个存储装置构成,每个存储装置可以理解为包含了存储管理软件和存储介质的存储设备。存储装置资源池200中的M个存储装置的连接方式是多种多样的,图1所示的M个存储装置是环型结构的连接方式(这里仅作为示意),实际应用中,还可以有星型结构、总线结构、分布式结构、树型结构、网状结构、蜂窝状结构等,对此,本发明的实施例不加以赘述。
集群100中的节点和存储装置资源池200中的存储装置,可直接相连或者通过网络方式(图1未示)相连。由于上述这些连接方式属于本领域的公知常识,对此,本发明的实施例不加以赘述。
本发明的实施例
图2示出了对存储装置的访问进行控制的方法实施例一,该方法实施例包括:
201、接收针对某一节点的访问屏蔽消息,该访问屏蔽消息包括该节点的标识,以及与该标识对应的访问权限信息,上述访问权限信息用于指示上述某一节点对所述存储装置无访问权限。
其中,该方法流程可由存储装置来执行。当某一节点存在故障时,或者管理员打算对某一节点进行控制时,会由集群中的管理节点或者管理节点指定的某一节点向存储装置发送访问屏蔽消息。在具体实现中,节点的标识可以为节点的IP地址,或者节点在集群中的编号,对此,本发明的实施例不加以限制。
202、根据上述访问屏蔽消息,将该节点标识对应的访问权限设置为:无访问权限。
在具体实现过程中,通过访问屏蔽消息中的节点的标识,可以在预设的访问控制列表(ACL,Access Control List)中查找该节点的标识对应的访问权限,将该访问权限修改为“拒绝访问”;也可以在存储盘上单独记录该节点标识对应的访问权限为:无访问权限。可以理解,上述预设的访问控制列表可以存储在存储装置上,也可以存储在其他的设备中,对此,本发明的所有实施例均不加以限定。对于本领域技术人员可以理解,访问控制列表ACL仅是一种实现方式,在实际应用中,还可以包含其他的实现方式,对此,本发明的实施例均不加以限制。
本实施例中,通过存储装置接收针对某一节点访问屏蔽消息,能够使得存储装置根据该屏蔽消息,对该节点访问权限进行控制,这样就屏蔽了该节点存在故障时,对该存储装置的发出的IO访问请求。
可以理解,上述的实施例是以集群中的某一节点存在故障时,对存储装置的访问进行控制,本实施例也可以应用在其他的应用场景,譬如:根据其他业务需求,欲设置某一节点对该存储装置的访问权限。
图3示出了对存储装置的访问进行控制的方法实施例二,应用于集群的节点对存储装置的访问过程中,参看图3,该方法实施例包括:
301、存储装置接收针对某一节点的访问屏蔽消息,该访问屏蔽消息包括该节点的标识,以及与该节点标识对应的访问权限信息,上述访问权限信息用于指示该节点对存储装置无访问权限。
在具体实现中,该节点的标识可以为节点的IP地址,或者节点在集群中的编号。
302、存储装置根据上述访问屏蔽消息,将上述节点标识对应的访问权限设置为:无访问权限。
在具体的实现中,可以预先设置访问控制列表,该访问控制列表可以预先存储在存储装置或者其他的网络设备中。当访问控制列表存储在存储装置上时,存储装置接收到上述访问屏蔽消息之后,直接在自身存储的访问控制列表中,对该节点标识对应的访问权限进行设置;当访问控制列表预先存储在其他的网络设备中,当存储装置接收到上述访问屏蔽消息之后,向存储该访问控制列表的其他网络设备发送修改该节点标识对应的访问权限的请求,由该网络设备进行访问权限的修改。另外一种实现方式是,并不预先设置访问控制列表,当存储装置接收到上述访问屏蔽消息后,将该节点标识对应的访问权限设置为:无访问权限。对此,实现过程中采用什么方式,本发明的所有实施例均不加以限制。
对该节点标识对应的访问权限进行设置,具体包括:将该节点标识对应的访问权限设置为“该节点对存储装置设置为无访问权限”。
303、存储装置向该节点发送修改防火墙策略的通知,上述修改防火墙策略的通知用于指示该节点修改该节点对应防火墙的防火墙策略,屏蔽该节点向存储装置发送的IO访问请求。
具体实现过程中,防火墙的实现方式是多种多样的,可以是网络层防火墙、或者应用层防火墙,以及其他类型的防火墙。在具体实现过程中,节点对应的防火墙可以是安装在节点上的防火墙软件,或者单独设置一个服务器,用来安装防火墙。修改防火墙策略的通知,用于指示该节点修改该节点对应防火墙的防火墙策略,修改防火墙策略的通知通过存储装置和节点之间的可靠信道进行传输。上述可靠信道的建立,可采用SSH(Secure SHell,安全外壳)协议来实现,利用SSH协议实现可靠信道属于现有技术,对此,不再进行赘述。
上述实施例中,通过存储装置接收针对某一节点访问屏蔽消息,能够使得存储装置根据该屏蔽消息,对该节点访问权限进行控制,在设置访问权限的同时,通过修改防火墙策略的通知,更新了该节点对应防火墙的防火墙策略,这样当该节点存在故障时,就有效地屏蔽了该节点向该存储装置的发出的IO访问请求。
进一步的,在上述实施例二的基础上,还可包含如下的实现步骤:
在所述存储装置根据上述访问屏蔽消息,将所述节点标识对应的访问权限设置为无访问权限之后,所述方法还包括:
302’、存储装置接收上述节点发送的IO访问请求,上述IO访问请求包括上述节点的标识,上述存储装置根据所述节点标识对应的访问权限,确定发送所述IO访问请求的所述节点无访问权限时,向所述节点发送异常指示消息,所述异常指示消息用于指示所述节点执行重启操作。
在具体实现的过程中,上述的步骤302’在步骤302之后执行,可以和步骤303并行执行,或者在步骤303之后且在节点根据上述修改防火墙策略的通知,完成对节点对应防火墙的防火墙策略的修改之前执行。对此,本发明的实施例并不限定上述步骤的执行顺序。
进一步的,在步骤302’之后,该实施例还包含如下步骤:
302”、该节点接收到上述异常指示消息之后,执行重启操作。
其中,具体的,该节点执行操作,具体可通过如下两个步骤实现:
(1)存储装置向该节点发送异常指示消息,该异常指示消息用于指示该节点执行重启操作;
(2)该节点根据上述异常指示消息执行节点重启操作。
需要说明的是,节点的重启分为不同的模式:节点的整个系统的重启,主要针对该节点存在硬件或者操作系统的故障;节点的某一应用软件的重启,针对该节点的该应用软件存在故障。在具体实现过程中,可以根据实际场景,选择对应的重启模式。
进一步的,在步骤303之后,该实施例还包含如下的实现步骤:
304、该节点根据上述修改防火墙策略的通知,修改该节点对应防火墙的防火墙策略。
在具体实现中,该节点根据上述修改防火墙策略的通知,修改对应防火墙的防火墙策略。修改防火墙策略的方式和过程为本领域的公知常识,在此,不再赘述。
进一步,可选的,在步骤302”该节点执行重启过程之后,该方法实施例还包括:
305、该节点向管理节点发送重新加入集群的请求,当管理节点确定该节点为重启节点之后,由管理节点向存储装置发送访问屏蔽解除消息。
在具体实现中,由于管理节点预先存有集群中的所有节点的信息(包含节点的标识),当该节点向管理节点发送重新加入集群的请求时,根据该节点的标识就确定该节点之前已经加入集群,现在重新发送加入集群的请求,则确定该节点为恢复节点,则由该管理节点向存储装置发送访问屏蔽解除消息。
节点加入集群的处理过程,属于本领域的现有技术,对此,本发明的所有实施例均不加以限定。
306、上述存储装置接收上述管理节点发送的访问屏蔽解除消息,该访问屏蔽解除消息包括:该节点标识,以及与该节点标识对应的访问权限信息,上述访问权限信息用于指示该节点对存储装置有访问权限。
需要说明的是,上述访问屏蔽消息是由管理节点在接收到该节点的加入集群的请求,并确定该节点为恢复节点之后,由上述管理节点向该存储装置发送的。
307、存储装置根据上述访问屏蔽解除消息,将该节点标识对应的访问权限设置为:有访问权限。
进一步,可选的,在根据访问屏蔽解除消息,存储装置将该节点标识对应的访问权限设置为有访问权限之后,上述方法实施例还包括:
308、存储装置向该节点发送修改防火墙策略的通知,上述修改防火墙策略的通知用于指示该节点修改该节点对应防火墙的防火墙策略,允许该节点向存储装置发送的IO访问请求。
309、该节点根据上述修改防火墙策略的通知,修改该节点对应防火墙的防火墙策略。
进一步的,在步骤301中接收针对该节点的访问屏蔽消息之前,该方法还包括如下的步骤:
300、预先设置该节点对应防火墙的防火墙策略,上述防火墙策略用于允许该节点向存储装置发送的IO访问请求通过该防火墙。
进一步的,当采用访问控制列表ACL实现节点对存储盘的访问权限进行控制时,该方法实施例还包括如下的步骤:
300’、预先设置存储装置的访问控制列表,该访问控制列表包括:该节点的标识,以及与该节点标识对应的访问权限信息,上述访问权限信息用于指示该节点对存储装置具有访问权限。
通过上述的实现方式,使得存储装置能够根据访问控制列表实现对节点访问权限的记录,并根据访问权限向节点对应防火墙发送访问屏蔽/访问屏蔽解除消息,能够有效地实现对节点的IO访问请求进行控制的目的。
针对上述的实施例,本发明实施例还提供了两种具体的实现方式,分别介绍如下:
图4示出了对故障节点进行访问控制的方法实施例三,参看图4,在图4中,包含三个实体,分别是:管理节点、普通节点A以及存储装置A。其中,
管理节点:即对应本发明实施例的系统架构中所提及的集群中的管理节点。
普通节点A:即集群中除管理节点之外的任意一个节点,该普通节点A能够访问存储装置A。
存储装置A:即普通节点A所能够访问的一个存储装置或者所能够访问的众多存储装置中的任意一个。
需要说明的是,对于基于存储装置的节点访问系统,存在两种应用模式,即:ShareEverything(共享所有)以及Share Nothing(无共享)。在Share Everything应用模式下,集群中的每一个节点都能够访问存储装置资源池中的任意一个存储装置;在Share Nothing应用模式下,集群中的每一个节点能够访问存储装置资源池中的部分存储装置。
该方法实施例包含如下过程:
步骤0、系统初始化配置。
具体包含两类配置,其一,是对集群中各个节点的配置;其二,是对存储资源池中各个存储装置的配置。
针对集群中各个节点的配置有两种配置方式:
(1)将集群中的管理节点以及普通节点采用统一的配置方式:即对于集群中的每个节点,其上面均保存有针对集群中的各个节点所能够访问的存储装置的描述信息。
(2)对集群中的管理节点和普通节点采用不同的配置方式:即对于管理节点,其内部存储有针对每个节点能够访问的存储装置的描述信息;对于普通节点,其内部仅存储有针对本节点能够访问的存储装置的描述信息。
具体实现中,该描述信息包括:节点标识以及该节点所能够访问的存储装置标识的对应关系。如下作为举例,该集群包含五个节点,分别为:管理节点以及四个普通节点。针对该集群中的五个节点的配置信息如表一所示:
表一
针对各个存储装置的配置,具体包括:生成该存储装置的访问控制列表ACL(Access Control List),该ACL包括:(1)能够访问该存储装置的节点的标识(具体实现中,节点的标识可以为该节点的IP地址,或者该节点在集群中的编号等);(2)能够访问该存储装置的节点的访问权限(初始化配置该访问权限为:允许访问)。具体实现中,根据表一,以存储装置A为例,该存储装置的初始配置信息可通过表二所示:
| 节点标识 | 访问权限 |
| 管理节点标识 | 允许访问 |
| 普通节点A标识 | 允许访问 |
| 普通节点C标识 | 允许访问 |
表二
步骤1、管理节点根据心跳或租约信息,检测出普通节点A为故障节点,记录该节点的标识。
具体实现中,由于种种原因,会导致普通节点A发生故障,节点的故障包含如下几种类型:物理节点的故障,节点的网络故障(如,网卡发生故障),或者节点的某一应用或者某一进程存在故障。管理节点在检测节点故障时包括两种方式:
(1)基于租约(Lease)的节点故障检测方法
在该方法中,集群中的每一个节点会定期向租约管理器(Lease Manager)申请租约;租约管理器为每个节点都维护一个有关该节点所持有租约的记录,其中记录该节点何时获取了该租约。每当租约管理器接收到来自各节点的租约请求时,就更新该记录,以反映该节点获取租约的最新信息。如果租约管理器在指定的周期(租约期,Lease Duration)内都没有收到某个节点的续租请求,则会主动探测该节点的状态(例如:通过Ping方式来检测该节点是否发生故障或者该节点的网络连接状态是否发生故障),如果连续数次都探测不到该节点的状态(比如:对于Ping数据包,无响应),则认为该节点已经出现故障,并将该节点发生故障的通知发送给管理节点。
(2)基于心跳(Heartbeat)的节点故障检测方法
在该方法中,系统会按照某种拓扑结构在各个节点中构成一个心跳环(HeartbeatRing),通过这个心跳环,会在各个节点之间发送心跳信息(发送心跳信息的周期通常都比租约期要短很多),当这些节点的心跳信息汇集到一起时,通常会在集群的管理节点上进行汇总,识别出是否丢失了来自某个节点的心跳信息。为了避免误判,通常会重复几次检测,如果有连续数次都没有收到来自某个节点的心跳信息,则判定该节点可能故障(此时也可以主动进行探测,进一步确认该节点是否故障)。
通过上述的节点故障检测方法,集群中的管理节点检测出普通节点A故障节点,则会记录该节点的标识。
这里,节点的标识可以有多种实现方式,如:该节点的IP地址(如:10.11.201.12),或该节点在集群中的唯一标识(如:编号0010)或其他的实现方式,对此,本发明的实施例不加以赘述。
本步骤中,是针对发生故障的节点,记录该节点的标识,这是存在故障节点情况下的,对存储装置的访问控制的过程;对于本领域技术人员,可以理解,还可以有其他的应用场景,譬如:访问安全应用场景下,管理员控制部分节点对存储装置的访问,也可以采用本实施例的实现过程。对此,本实施例不加以限定。
步骤2、管理节点向普通节点A能够访问的存储装置A下发访问控制消息,该消息中携带普通节点A的标识,以及对其访问权限的修改信息。
具体的,基于系统的初始化配置信息,管理节点上存储有集群中的每个节点所能够访问的存储装置的描述信息,管理节点可以根据该描述信息向发生故障的普通节点A能够访问的存储装置A下发访问控制消息,该消息携带有普通节点A的标识。作为举例,访问控制消息的格式可以表示如表三所示:
| 节点标识 | 访问权限修改信息 |
| 普通节点A的标识 | 允许访问->拒绝访问 |
表三
步骤3、存储装置A接收访问控制消息,并根据该访问控制消息更新自身的ACL,将消息中携带的普通节点A的标识对应的访问权限设置为拒绝访问。
具体的,根据步骤0中的系统配置过程,存储装置A的配置信息参看表二,在接收到上述访问控制消息之后,将普通节点A标识对应的访问权限设置为拒绝访问,设置后的存储装置A的访问控制列表为:
| 节点标识 | 访问权限 |
| 管理节点标识 | 允许访问 |
| 普通节点A标识 | 拒绝访问 |
| 普通节点C标识 | 允许访问 |
表四
步骤4、普通节点A产生针对存储装置A的IO请求,并将该IO请求下发给存储装置A。
具体实现过程中,虽然普通节点A发生了故障,但是可能该节点并未识别自身出现发生故障(如该节点和管理节点的网络存在故障),该节点的应用或者某一进程还会向它能够访问的存储装置A发送IO请求。上述的IO请求,包括对存储装置A中所存储的数据进行读或者写的请求。
步骤5、存储装置A根据访问控制列表,判断普通节点A对应的访问权限是拒绝访问时,丢弃普通节点A所发送的IO请求。
具体的,参看表四的访问控制列表,存储装置A从中确定针对普通节点A对应的IO请求拒绝访问时,丢弃普通节点A的某一应用或者某一进程发送的IO请求。
需要说明的是,在具体实现过程中,访问控制列表可以存储在该存储装置A中,也可以存储在第三方设备中,对此,本发明的所有实施例均不加以限制。
步骤6、存储装置A向普通节点A返回异常响应E_OVERDUE。
具体的,存储装置A在丢弃普通节点A发送的IO请求之后,向普通节点A中发出该IO请求的某一应用或者某一进程返回异常响应代码E_OVERDUE(错误码)。可以理解,E_OVERDUE用于表示一种错误识别码,在具体实现中,还可能采用其他的错误码形式,对此,本实施例不加以限定。
步骤7、普通节点A接收到存储装置A返回的异常响应E_OVERDUE后,则重新启动本节点。
具体的,普通节点A接收到异常响应E_OVERDUE后,就确定自身存在故障,则会重启本节点。对于节点的重启,包括两种实现方式:当普通节点A的硬件或者操作系统发生故障时,普通节点A会重启该节点的操作系统,即整个节点均会发生重启;当普通节点A的某一应用程序或者进程发生故障时,普通节点A会重启该节点的相应的应用程序或者相应的进程。
步骤8、普通节点A向管理节点发送集群加入请求。
具体的,在节点发生重启之后,普通节点A向管理节点发送集群加入请求,该集群加入请求属于本领域的公知常识,对此,本实施例不再赘述。
步骤9、管理节点接收到该集群加入请求后,确定普通节点A为故障恢复节点。
具体的,管理节点接收到普通节点A的集群加入请求之后,从中提取出普通节点A的标识,将该标识和步骤1记录的发生故障的节点标识对比,发现普通节点A的标识之前记录为发生故障,现在该节点发出集群加入请求,确定普通节点A为故障恢复节点。
步骤10、管理节点向存储装置A下发访问屏蔽解除消息,该消息中携带普通节点A的标识,以及对其访问权限的修改信息。
具体的,相对应与表三中的访问控制消息,上述的访问解除消息可以采用如下的格式:
| 节点标识 | 访问权限修改信息 |
| 10.11.201.12 | 拒绝访问->允许访问 |
步骤11、存储装置A根据访问屏蔽解除消息,更新自身存储的访问控制列表ACL,将消息中携带的普通节点A的标识所对应的访问权限设置为允许访问。
具体的,相对应于步骤3中的存储装置A配置信息,通过访问屏蔽解除消息,更新后的访问控制列表如表五所示:
| 节点标识 | 访问权限 |
| 管理节点标识 | 允许访问 |
| 普通节点A标识 | 允许访问 |
| 普通节点C标识 | 允许访问 |
表五
步骤12、在完成对普通节点A的访问权限的设置之后,存储装置A向管理节点发送访问控制解除完成消息。
步骤13、管理节点接收到存储装置A发送的访问控制解除完成消息之后,向普通节点A返回加入集群成功响应信息。
通过上述的实现过程,存储装置通过维护能够访问该存储装置的节点的访问控制列表,能够实现对存储装置访问的控制,整个控制过程简单易行,效率较高。
上述步骤1-2、8-10以及12-13均为管理节点执行,可以理解,在具体实现的过程中,还可以由管理节点指定其他具备控制权限的节点来实现,对此,本发明的实施例不加以限定。
图5示出了对故障节点进行访问控制的方法实施例四,参看图5,图5和图4所包含的实体相同,在此,不再赘述。
该方法实施例包含如下的过程:
步骤0、系统初始化配置。
在具体实现的过程中,该实施例中除包含方法实施例三中的步骤0对集群中各个节点的配置以及对存储装置的配置之外,还需要对管理节点以及普通节点A对应防火墙的防火墙策略进行配置,即将防火墙策略预先设置为允许对所有的存储装置发送请求。此外,预先建立起普通节点A和存储装置A的可靠信道,用来传送防火墙策略的修改的通知。上述可靠信道可以有两种实现方式:
(1)采用通用的,经过加密且通过密钥进行认证的信道,如:SSH(Secure Shell,安全外壳协议)。
(2)采用专用的端口来建立专用信道,如:VPN(Virtual Private Network,虚拟专用网络)。
步骤1-3、和方法实施例三中步骤1-3的实现方式类似,对此,本实施例不再赘述。
步骤4、存储装置A通知普通节点A修改对应防火墙的防火墙策略,该防火墙策略为拒绝普通节点A再将IO请求发送给存储装置A。
具体实现中,存储装置A通过系统初始化配置过程中建立的可靠信道,将修改防火墙策略的通知发送给普通节点A。
步骤5、普通节点A接收到存储装置A发送的修改防火墙策略的通知后,根据该通知修改对应防火墙的防火墙策略,并重新启动本节点。
具体的,普通节点A重新启动本节点的过程包括(图未示):在普通节点A接收到存储装置A发送的修改防火墙策略的通知之后,存储装置A向普通节点A发送异常指示消息,该异常指示消息用于指示该节点执行重启过程;该节点根据所述异常指示消息执行节点重启过程。
步骤6-9、和方法实施例三中步骤8-11的实现方式类似,对此,本实施例不再赘述。
步骤10、存储装置A向普通节点A发送修改防火墙策略的通知,该通知用于指示普通节点A修改自身对应防火墙的防火墙策略,允许普通节点A向存储装置A发送IO请求。
步骤11、普通节点A修改对应防火墙的防火墙策略,即允许该节点向存储装置A发送IO访问请求。
对于本领域技术人员来说,修改本地的防火墙策略的过程是本领域的公知常识,在此,本发明的实施例不再赘述。
步骤12、普通节点A向存储装置A发送防火墙策略修改完成通知消息,该通知消息用于通知存储装置A该节点对应的防火墙策略修改完成。
步骤13、存储装置A向管理节点发送访问控制解除完成消息,用来通知管理节点针对普通节点A的访问控制已经解除。
步骤14、管理节点向普通节点A发送加入集群成功的响应。
可以理解,在具体实现过程中,本实施例中的步骤11可以放在步骤14之后执行。
通过上述的实现方式,使得存储装置能够根据访问控制列表实现对节点访问权限的记录,并根据访问权限向节点对应的防火墙发送访问屏蔽/访问屏蔽解除消息,能够有效地实现对节点的IO访问请求进行控制的目的。
图6为本发明实施例的存储装置的结构示意图。如图6所示,该控制器至少包括:处理器610、存储器620、通信接口630和总线640。其中,所述处理器610、所述存储器620和所述通信接口630通过所述总线640通信。
所述存储器620用于存放程序。具体的,程序中可以包括程序代码,所述程序代码包括计算机执行指令。所述存储器620可以为高速RAM存储器,也可以为非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
所述处理器610用于执行所述存储器620存储的执行指令,可能为单核或多核中央处理单元(Central Processing Unit,CPU),或者为特定集成电路(Application SpecificIntegrated Circuit,ASIC),或者为被配置成实施本发明实施例的一个或多个集成电路。
所述通信接口630用于与控制点交换机通信。
当控制器运行时,处理器610运行程序,以执行上述四个方法实施例中任一方法实施例的方法。
参看图7,本发明实施例还提供一种具有访问控制功能的存储装置700,该存储装置700应用于集群中节点对所述存储装置的访问过程中,该存储装置700包括:
接收单元710,用于接收针对节点的访问屏蔽消息,该访问屏蔽消息包括节点的标识,以及与节点的标识对应的访问权限信息,访问权限信息用于指示节点对存储装置无访问权限;
设置单元720,用于根据访问屏蔽消息,将节点的标识对应的访问权限设置为:无访问权限;
发送单元730,用于向节点发送修改防火墙策略的通知,该修改防火墙策略的通知用于指示节点修改该节点对应防火墙的防火墙策略,屏蔽该节点向存储装置发送的IO访问请求。
进一步的,在该存储装置700中:
接收单元710,还用于接收节点发送的IO访问请求,上述IO访问请求包括节点的标识;
发送单元730,还用于根据节点的标识对应的访问权限,确定发送IO访问请求的节点为无访问权限时,向节点发送异常指示消息,异常指示消息用于指示节点执行重启操作。
进一步的,在该存储装置700中:
接收单元710,还用于接收管理节点发送的访问屏蔽解除消息,访问屏蔽解除消息包括:节点的标识,以及与节点标识对应的访问权限信息,访问权限信息用于指示节点对存储装置具有访问权限,访问屏蔽消息是在节点向管理节点发送加入集群的请求,确定节点为恢复节点之后,由管理节点发送的;
设置单元720,还用于根据访问屏蔽解除消息,将节点标识对应的访问权限设置为:有访问权限。
进一步的,在该存储装置700中:
发送单元730,还用于向节点发送修改防火墙策略的通知,该修改防火墙策略的通知用于指示节点修改对应防火墙的防火墙策略,允许节点向存储装置发送的IO访问请求。
进一步的,在该存储装置700中包括:
设置单元720,还用于预先设置节点对应防火墙的防火墙策略,该防火墙策略用于指示节点对应防火墙,允许节点向存储装置发送的IO访问请求。
参看图8,本发明实施例还提供一种实现存储装置访问的控制系统800,该系统实施例包括:
集群810以及存储装置820,所述集群810包括至少一个节点,其中,该至少一个节点包含节点811,上述节点811能够实现对上述存储装置820进行访问,其中:
上述存储装置820,用于接收针对该节点811的访问屏蔽消息,上述屏蔽消息包括该节点811的标识,以及与该节点标识对应的访问权限信息,上述访问权限信息用于指示该节点811对上述存储装置820无访问权限;用于根据上述访问屏蔽消息,将该节点标识对应的访问权限设置为无访问权限;以及用于向该节点811发送修改防火墙策略的通知,上述修改防火墙策略的通知用于指示上述节点811修改该节点811对应防火墙813的防火墙策略,屏蔽该节点811向上述存储装置820发送的IO访问请求。
上述节点的防火墙813,用于根据修改防火墙策略的通知,修改自身的防火墙策略。
进一步的,对于上述控制系统800,所述存储装置820,还用于接收所述节点811发送的IO访问请求,所述IO访问请求包括节点的标识,根据节点的标识对应的访问权限,确定发送IO访问请求的节点811无访问权限时,向节点811发送异常指示消息,异常指示消息用于指示节点811执行重启操作;
节点811,还用于根据异常指示消息,执行重启操作。
进一步的,对于上述控制系统800,集群中还包含管理节点812,
管理节点812,用于接收节点811发送的加入集群的请求,确定节点811为恢复节点之后,向存储装置820发送访问屏蔽解除消息,上述访问屏蔽解除消息包括:节点的标识,以及与节点的标识对应的访问权限信息,上述访问权限信息用于指示节点811对存储装置820具有访问权限;
存储装置820,还用于接收管理节点812发送的访问屏蔽解除消息,并根据访问屏蔽解除消息,将上述节点的标识对应的访问权限设置为有访问权限。
进一步的,对于上述控制系统800,
存储装置820,还用于向节点811发送修改防火墙策略的通知,该修改防火墙策略的通知用于指示节点811对应防火墙813修改防火墙策略,允许节点811向存储装置820发送的IO访问请求;
节点811,还用于根据上述修改防火墙策略的通知,修改对应防火墙813的防火墙策略。
进一步的,对于上述控制系统800,
存储装置820,还用于预先设置节点811对应防火墙813的防火墙策略,上述防火墙策略用于指示节点811对应的防火墙813,允许节点811向存储装置820发送的IO访问请求。
应理解,本发明中的具体的例子只是为了帮助本领域技术人员更好地理解本发明实施例,而非限制本发明实施例的范围。
还应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
还应理解,在本发明实施例中,术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系。例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的装置和单元的具体工作过程,以及方法的具体流程,可以参考前述系统实施例中的相应描述,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (17)
1.一种存储装置的访问控制方法,其特征在于,应用于集群中节点对所述存储装置的访问过程中,所述方法包括:
所述存储装置接收针对所述节点的访问屏蔽消息,所述访问屏蔽消息包括所述节点的标识,以及与所述标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置无访问权限;
所述存储装置根据所述访问屏蔽消息,将所述节点标识对应的访问权限设置为:无访问权限;
所述存储装置向所述节点发送修改防火墙策略的通知,所述修改防火墙策略的通知用于指示所述节点修改所述节点对应防火墙的防火墙策略,屏蔽所述节点向所述存储装置发送的IO访问请求。
2.根据权利要求1所述的方法,其特征在于,在所述存储装置根据所述访问屏蔽消息,将所述节点标识对应的访问权限设置为无访问权限之后,所述方法还包括:
所述存储装置接收所述节点发送的IO访问请求,所述IO访问请求包括所述节点的标识;
所述存储装置根据所述节点标识对应的访问权限,确定发送所述IO访问请求的所述节点无访问权限时,向所述节点发送异常指示消息,所述异常指示消息用于指示所述节点执行重启操作。
3.根据权利要求2所述的方法,其特征在于,在所述存储装置向所述节点发送异常指示消息之后,所述方法还包括:
所述存储装置接收管理节点发送的访问屏蔽解除消息,所述访问屏蔽解除消息包括:所述节点标识,以及与所述节点标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置具有访问权限,所述访问屏蔽解除消息是在所述节点向所述管理节点发送加入集群的请求,所述管理节点确定所述节点为恢复节点后,由所述管理节点向所述存储装置发送的;
所述存储装置根据所述访问屏蔽解除消息,将所述节点标识对应的访问权限设置为:有访问权限。
4.根据权利要求3所述的方法,其特征在于,在所述存储装置根据所述访问屏蔽解除消息,将所述节点标识对应的访问权限设置为有访问权限之后,所述方法还包括:
所述存储装置向所述节点发送修改防火墙策略的通知,所述修改防火墙策略的通知用于指示所述节点修改所述节点对应防火墙的防火墙策略,允许所述节点向所述存储装置发送的IO访问请求。
5.根据权利要求1-4任一所述的方法,其特征在于,在所述存储装置接收针对所述节点的访问屏蔽消息之前,所述方法还包括:
预先设置所述节点对应防火墙的防火墙策略,所述防火墙策略用于指示所述节点对应的防火墙,允许所述节点向所述存储装置发送的IO访问请求。
6.一种存储装置,其特征在于,所述存储装置包括:
处理器,存储器,通信接口和总线,其中,所述处理器、所述存储器和所述通信接口通过所述总线通信;
所述通信接口用于与集群中管理节点以及节点通信;
所述存储器用于存放程序;
当所述存储装置运行时,所述处理器用于执行所述存储器存储的所述程序,以执行所述权利要求1-5任一所述的方法。
7.一种具有访问控制功能的存储装置,其特征在于,该存储装置应用于集群中节点对所述存储装置的访问过程中,所述存储装置包括:
接收单元,用于接收针对所述节点的访问屏蔽消息,所述访问屏蔽消息包括所述节点的标识,以及与所述标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置无访问权限;
设置单元,用于根据所述访问屏蔽消息,将所述节点标识对应的访问权限设置为:无访问权限;
发送单元,用于向所述节点发送修改防火墙策略的通知,所述修改防火墙策略的通知用于指示所述节点修改所述节点对应防火墙的防火墙策略,屏蔽所述节点向所述存储装置发送的IO访问请求。
8.根据权利要求7所述的存储装置,其特征在于,
所述接收单元,还用于接收所述节点发送的IO访问请求,所述IO访问请求包括所述节点的标识;
所述发送单元,还用于根据所述节点标识对应的访问权限,确定发送所述IO访问请求的所述节点为无访问权限时,向所述节点发送异常指示消息,所述异常指示消息用于指示所述节点执行重启操作。
9.根据权利要求8所述的存储装置,其特征在于,
所述接收单元,还用于接收管理节点发送的访问屏蔽解除消息,所述访问屏蔽解除消息包括:所述节点标识,以及与所述节点标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置具有访问权限,所述访问屏蔽解除消息是在所述节点向所述管理节点发送加入集群的请求,确定所述节点为恢复节点之后,由所述管理节点向所述存储装置发送的;
所述设置单元,还用于根据所述访问屏蔽解除消息,将所述节点标识对应的访问权限设置为:有访问权限。
10.根据权利要求9所述的存储装置,其特征在于,
所述发送单元,还用于向所述节点发送修改防火墙策略的通知,所述修改防火墙策略的通知用于指示所述节点修改所述节点对应防火墙的防火墙策略,允许所述节点向所述存储装置发送的IO访问请求。
11.根据权利要求7-10任一所述的存储装置,其特征在于,
所述设置单元,还用于预先设置所述节点对应防火墙的防火墙策略,所述防火墙策略用于指示所述节点对应的防火墙,允许所述节点向所述存储装置发送的IO访问请求。
12.一种实现存储装置访问的控制系统,其特征在于,所述系统包括:集群以及存储装置,所述集群包括至少一个节点,所述至少一个节点中的某一个节点能够对所述存储装置进行访问,
所述存储装置,用于接收针对所述节点的访问屏蔽消息,所述访问屏蔽消息包括所述节点的标识,以及与所述标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置无访问权限;用于根据所述访问屏蔽消息,将所述节点标识对应的访问权限设置为无访问权限;以及用于向所述节点发送修改防火墙策略的通知,所述修改防火墙策略的通知用于指示所述节点修改所述节点对应防火墙的防火墙策略,屏蔽所述节点向所述存储装置发送的IO访问请求;
所述节点,用于根据所述修改防火墙策略的通知,修改对应防火墙的防火墙策略。
13.根据权利要求12所述的控制系统,其特征在于,
所述存储装置,还用于接收所述节点发送的IO访问请求,所述IO访问请求包括所述节点的标识,根据所述节点标识对应的访问权限,确定发送所述IO访问请求的所述节点无访问权限时,向所述节点发送异常指示消息,所述异常指示消息用于指示所述节点执行重启操作;
所述节点,还用于根据所述异常指示消息,执行所述节点重启操作。
14.根据权利要求13所述的控制系统,其特征在于,所述集群中还包含管理节点,
所述管理节点,用于接收所述节点发送的加入集群的请求,确定所述节点为恢复节点之后,向所述存储盘发送访问屏蔽解除消息,所述访问屏蔽解除消息包括:所述节点标识,以及与所述节点标识对应的访问权限信息,所述访问权限信息用于指示所述节点对所述存储装置具有访问权限;
所述存储装置,还用于接收所述管理节点发送的访问屏蔽解除消息,并根据所述访问屏蔽解除消息,将所述节点标识对应的访问权限设置为有访问权限。
15.根据权利要求14所述的控制系统,其特征在于,
所述存储装置,还用于向所述节点发送修改防火墙策略的通知,所述修改防火墙策略的通知用于指示所述节点修改所述节点对应防火墙的防火墙策略,允许所述节点向所述存储装置发送的IO访问请求;
所述节点,还用于根据所述修改防火墙策略的通知,修改对应防火墙的防火墙策略。
16.根据权利要求12-15任一所述的控制系统,其特征在于,
所述存储装置,还用于预先设置所述节点对应防火墙的防火墙策略,所述防火墙策略用于指示所述节点对应的防火墙,允许所述节点向所述存储装置发送的IO访问请求。
17.一种计算机可读取存储介质,其特征在于,所述计算机可读取存储介质存储有计算机软件产品,所述计算机软件产品包括的若干指令,用以使得一台计算机设备执行权利要求书1至5任意一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2014/095847 WO2016106661A1 (zh) | 2014-12-31 | 2014-12-31 | 一种存储装置的访问控制方法、存储装置以及控制系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106165367A CN106165367A (zh) | 2016-11-23 |
| CN106165367B true CN106165367B (zh) | 2019-06-21 |
Family
ID=56283935
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480013589.7A Active CN106165367B (zh) | 2014-12-31 | 2014-12-31 | 一种存储装置的访问控制方法、存储装置以及控制系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106165367B (zh) |
| WO (1) | WO2016106661A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109218415B (zh) * | 2018-08-28 | 2021-06-29 | 浪潮电子信息产业股份有限公司 | 一种分布式节点管理的方法、节点及存储介质 |
| CN109995792B (zh) * | 2019-04-11 | 2021-08-31 | 苏州浪潮智能科技有限公司 | 一种存储设备的安全管理系统 |
| CN111209107A (zh) * | 2019-12-26 | 2020-05-29 | 中科曙光国际信息产业有限公司 | 多集群操作方法 |
| CN112104668B (zh) * | 2020-11-10 | 2021-02-05 | 成都掌控者网络科技有限公司 | 一种分布式权限流程分离控制方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101146061A (zh) * | 2006-09-12 | 2008-03-19 | 黄小菲 | 一种用于城市应急指挥数据联网的多种协议转换系统 |
| CN101154237A (zh) * | 2006-09-28 | 2008-04-02 | 国际商业机器公司 | 限制故障节点的访问的方法和系统 |
| CN101174224A (zh) * | 2007-11-28 | 2008-05-07 | 中兴通讯股份有限公司 | 一种基于VxWorks操作系统的内存管理方法 |
| CN101541005A (zh) * | 2009-04-17 | 2009-09-23 | 东南大学 | 一种无线自组织网络环境下面向服务的访问控制方法 |
| US7778157B1 (en) * | 2007-03-30 | 2010-08-17 | Symantec Operating Corporation | Port identifier management for path failover in cluster environments |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7631066B1 (en) * | 2002-03-25 | 2009-12-08 | Symantec Operating Corporation | System and method for preventing data corruption in computer system clusters |
| US7590737B1 (en) * | 2004-07-16 | 2009-09-15 | Symantec Operating Corporation | System and method for customized I/O fencing for preventing data corruption in computer system clusters |
| CN100563255C (zh) * | 2006-06-14 | 2009-11-25 | 杭州华三通信技术有限公司 | 网际协议存储区域网络的隔离方法及隔离装置 |
| US20080209136A1 (en) * | 2007-02-28 | 2008-08-28 | Yanling Qi | System and method of storage system assisted i/o fencing for shared storage configuration |
| US7966660B2 (en) * | 2007-05-23 | 2011-06-21 | Honeywell International Inc. | Apparatus and method for deploying a wireless network intrusion detection system to resource-constrained devices |
| CN103458036B (zh) * | 2013-09-03 | 2017-02-15 | 杭州华三通信技术有限公司 | 一种集群文件系统的访问装置和方法 |
-
2014
- 2014-12-31 CN CN201480013589.7A patent/CN106165367B/zh active Active
- 2014-12-31 WO PCT/CN2014/095847 patent/WO2016106661A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101146061A (zh) * | 2006-09-12 | 2008-03-19 | 黄小菲 | 一种用于城市应急指挥数据联网的多种协议转换系统 |
| CN101154237A (zh) * | 2006-09-28 | 2008-04-02 | 国际商业机器公司 | 限制故障节点的访问的方法和系统 |
| US7778157B1 (en) * | 2007-03-30 | 2010-08-17 | Symantec Operating Corporation | Port identifier management for path failover in cluster environments |
| CN101174224A (zh) * | 2007-11-28 | 2008-05-07 | 中兴通讯股份有限公司 | 一种基于VxWorks操作系统的内存管理方法 |
| CN101541005A (zh) * | 2009-04-17 | 2009-09-23 | 东南大学 | 一种无线自组织网络环境下面向服务的访问控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106165367A (zh) | 2016-11-23 |
| WO2016106661A1 (zh) | 2016-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106170971B (zh) | 一种集群脑裂后仲裁处理方法、仲裁存储装置以及系统 | |
| US10848563B2 (en) | On-device, application-specific compliance enforcement | |
| JP7185077B2 (ja) | rootレベルアクセス攻撃を防止する方法および測定可能なSLAセキュリティおよびコンプライアンスプラットフォーム | |
| US9332005B2 (en) | System and method for providing switch based subnet management packet (SMP) traffic protection in a middleware machine environment | |
| US10033745B2 (en) | Method and system for virtual security isolation | |
| US20170317999A1 (en) | Security credential protection with cloud services | |
| US20120311332A1 (en) | System and method for providing secure subnet management agent (sma) in an infiniband (ib) network | |
| KR102117724B1 (ko) | 분산형 운영체제 물리적 자원을 관리하는 기법 | |
| US9245147B1 (en) | State machine reference monitor for information system security | |
| CN106165367B (zh) | 一种存储装置的访问控制方法、存储装置以及控制系统 | |
| WO2013093209A1 (en) | Automated access, key, certificate, and credential management | |
| CN104981784A (zh) | 经由网络监视和控制计算机装置和虚拟机 | |
| US11509694B1 (en) | Methods and systems for network device reconfigurations | |
| US20170374028A1 (en) | Software-defined networking controller | |
| US11108781B2 (en) | Systems and methods for managing device privileges | |
| Varadharajan et al. | Techniques for Enhancing Security in Industrial Control Systems | |
| KR101592323B1 (ko) | 서버 장애 시 원격 서버 복구 시스템 및 방법 | |
| CN109428863B (zh) | 容器服务的安全防护方法、数据处理方法、装置及设备 | |
| Kim et al. | A study on authentication mechanism in SEaaS for SDN | |
| US10785242B1 (en) | Intrusion detection in airborne platform | |
| KR20150114921A (ko) | 기업내 보안망 제공시스템 및 그 방법 | |
| KR101818508B1 (ko) | 기업내 보안망 제공시스템, 그 방법 및 컴퓨터 판독가능한 기록 매체 | |
| CN111163084B (zh) | 一种基于动态选举和共识机制的安全存储方法 | |
| US10904279B1 (en) | Policy generation in airborne systems | |
| KR101070522B1 (ko) | 스푸핑 공격 탐지 및 차단 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |