CN110532101B - 微服务集群的部署系统及方法 - Google Patents
微服务集群的部署系统及方法 Download PDFInfo
- Publication number
- CN110532101B CN110532101B CN201910827310.3A CN201910827310A CN110532101B CN 110532101 B CN110532101 B CN 110532101B CN 201910827310 A CN201910827310 A CN 201910827310A CN 110532101 B CN110532101 B CN 110532101B
- Authority
- CN
- China
- Prior art keywords
- access
- container
- micro
- control unit
- load balancer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000002955 isolation Methods 0.000 claims abstract description 27
- 230000003068 static effect Effects 0.000 claims description 11
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 description 5
- 230000001133 acceleration Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5083—Techniques for rebalancing the load in a distributed system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种微服务集群的部署系统及方法,所述系统包括:至少一个微服务容器、多个访问控制单元和多个网络接口;每个访问控制单元对应一个网络接口,访问控制单元设置在对应的网络接口与至少一个微服务容器之间的访问路径上;各网络接口之间网络隔离,每个网络接口对应一种访问类型,终端设备通过接入终端设备的访问类型对应的网络接口,访问至少一个微服务容器;访问控制单元,用于对至少一个微服务容器和网络接口进行逻辑隔离。通过上述微服务集群的部署系统,可以对不同的访问类型进行网络隔离,同时在系统内部进行逻辑隔离,从而提高了信息安全性。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种微服务集群的部署系统及方法。
背景技术
微服务可以实现特定的业务范围内的一个完全独立、细粒度、自包含的服务,微服务需要运行在一套独立的环境下,该环境不能对外部有依赖性。微服务的目的是有效拆分应用,从而实现敏捷开发和部署。
目前,传统信息系统的微服务集群均采用独立物理机集群网络,在物理机上部署多个微服务应用,对外提供统一的网络接口,不同网络类型的终端设备的访问渠道相同。
然而现有的微服务集群的部署系统,由于采用统一的网络接口,对于不同网络类型的终端设备的隔离程度低,造成了微服务集群的部署系统的数据安全性较低。
发明内容
本发明提供一种微服务集群的部署系统及方法,以解决现有技术中微服务集群的部署系统的数据安全性较低的问题。
本发明第一个方面提供一种微服务集群的部署系统,包括:
至少一个微服务容器、多个访问控制单元和多个网络接口;每个所述访问控制单元对应一个网络接口,所述访问控制单元设置在对应的网络接口与所述至少一个微服务容器之间的访问路径上;
各所述网络接口之间网络隔离,每个所述网络接口对应一种访问类型,终端设备通过接入所述终端设备的访问类型对应的网络接口,访问所述至少一个微服务容器;
所述访问控制单元,用于对所述至少一个微服务容器和所述网络接口进行逻辑隔离。
一种可选的实施方式中,所述访问类型包括:外部网络访问、内部网络访问和核心网络访问。
一种可选的实施方式中,所述微服务集群的部署系统还包括:至少一个容器控制单元;
每个所述容器控制单元连接一个微服务容器,所述容器控制单元用于发现所述微服务容器并在所述微服务容器上注册微服务。
一种可选的实施方式中,所述访问控制单元,包括:应用程序编程接口API网关;
所述API网关与多个所述容器控制单元连接,所述API网关用于对接入所述网络接口的终端设备进行认证并对所述终端设备进行流量控制。
一种可选的实施方式中,所述访问控制单元,还包括:多个第一负载均衡器;
所述多个第一负载均衡器均与所述API网关连接,所述多个第一负载均衡器用于均衡所述API网关接收的所述终端设备的访问请求并缓存所述API网关的静态资源。
一种可选的实施方式中,所述访问控制单元,还包括:第二负载均衡器;
所述第二负载均衡器的一端与所述访问控制单元对应的网络接口连接,所述第二负载均衡器的另一端与所述多个第一负载均衡器连接;
所述第二负载均衡器用于均衡所述多个第一负载均衡器接收的所述终端设备的访问请求。
一种可选的实施方式中,所述第一负载均衡器为Nginx负载均衡器。
一种可选的实施方式中,所述第二负载均衡器为F5硬负载。
一种可选的实施方式中,所述API网关为Kong网关。
一种可选的实施方式中,各所述访问路径之间设置有网络隔离。
本发明第二个方面提供一种微服务集群的部署方法,应用于微服务集群的部署系统,所述微服务集群的部署系统包括至少一个微服务容器、多个容器控制单元、多个访问控制单元和多个网络接口,所述方法包括:
将所述至少一个微服务容器部署到所述微服务集群的部署系统的核心区,所述至少一个微服务容器由业务系统拆分生成;
在所述核心区中部署所述多个容器控制单元,以使所述容器控制单元发现所述微服务容器并在所述微服务容器上注册微服务;
在所述微服务容器的每条访问路径上部署一个所述访问控制单元,每条所述访问路径对应一个所述网络接口,所述访问控制单元对所述至少一个微服务容器和所述网络接口进行逻辑隔离;
在所述多个网络接口之间设置防火墙,所述防火墙用于隔离所述多个网络接口对应的所述访问路径。
一种可选的实施方式中,所述访问控制单元包括:应用程序编程接口API网关、第一负载均衡器和第二负载均衡器;
所述在所述微服务容器的每条访问路径上部署一个所述访问控制单元,包括:
在所述微服务容器的每条访问路径上部署所述API网关、所述第一负载均衡器和所述第二负载均衡器;
将所述容器控制单元配置到所述API网关中,所述API网关用于对发起访问请求的终端设备进行认证并对所述终端设备进行流量控制;
将所述API网关集群配置到所述第一负载均衡器中,所述第一负载均衡器用于均衡所述API网关接收的所述终端设备的访问请求并缓存所述API网关的静态资源;
将所述第二负载均衡器配置到所述第一负载均衡器中,所述第二负载均衡器用于均衡所述第一负载均衡器接收的所述终端设备的访问请求。
本发明提供的微服务集群的部署系统及方法,包括至少一个微服务容器、多个访问控制单元和多个网络接口;每个访问控制单元对应一个网络接口,访问控制单元设置在对应的网络接口与至少一个微服务容器之间的访问路径上;各网络接口之间网络隔离,每个网络接口对应一种访问类型,终端设备通过接入终端设备的访问类型对应的网络接口,访问至少一个微服务容器;访问控制单元,用于对至少一个微服务容器和网络接口进行逻辑隔离。通过上述微服务集群的部署系统,可以对不同的访问类型进行网络隔离,同时在系统内部进行逻辑隔离,从而提高了信息安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种微服务集群的部署系统的结构示意图;
图2为本申请实施例提供的另一种微服务集群的部署系统的结构示意图;
图3为本申请实施例提供的一种微服务集群的部署方法的流程的示意图。
附图标记:
100-微服务集群的部署系统;
110-微服务容器;
120-访问控制单元;
121-API网关;
122-第一负载均衡器;
123-第二负载均衡器;
131-第一网络接口;
132-第二网络接口;
133-第三网络接口;
141-第一访问路径;
142-第二访问路径;
143-第三访问路径;
150-容器控制单元。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
应当理解,在本发明中,“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本发明中,“与A相对应的B”、“A与B相对应”或者“B与A相对应”,表示B与A相关联,根据A可以确定B。根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其他信息确定B。
现有技术中,传统信息系统的微服务集群均采用独立物理机集群网络,在物理机上部署多个微服务应用,对外提供统一的网络接口,不同网络类型的终端设备的访问渠道相同。
然而现有的微服务集群的部署系统,由于采用统一的网络接口,对于不同网络类型的终端设备的隔离程度低,造成了微服务集群的部署系统的数据安全性较低。
考虑到上述问题,本发明提供了一种微服务集群的部署系统,通过对不同的访问类型进行网络隔离,同时在系统内部进行逻辑隔离,从而提高了信息安全性。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1为本发明实施例提供的一种微服务集群的部署系统。如图1所示,微服务集群的部署系统100,包括:至少一个微服务容器110、多个访问控制单元120和多个网络接口;
微服务容器110,可以是对业务进行拆分解耦后,切割而成的多个容器化应用。本申请实施例对于微服务容器110的划分方式不做限制,可以根据实际情况具体设置。
一种可选的实施方式中,微服务容器110可以统一设置在微服务集群的部署系统100的核心区数据中心操作系统(data center operating system,DCOS)容器化集群网络中,从而与部署装置的其他单元进行隔离。
其中,数据中心操作系统(data center operating system,DCOS),为微服务集群的部署系统100提供分布式调度与资源协调功能,可以实现微服务集群的部署系统100弹性伸缩能力的软件堆栈。
访问控制单元120,可以用于对终端设备发起的访问进行静态资源加速、流量/权限控制和容器负载均衡,同时,访问控制单元120还可以在网络接口和微服务容器110之间进行逻辑隔离。
每个访问控制单元120对应一个网络接口,访问控制单元120设置在对应的网络接口与至少一个微服务容器110之间的访问路径上。
当一种终端设备通过网络接口接入微服务集群的部署系统100后,可以通过该网络接口对应的访问路径访问微服务容器110。此时,访问路径上的访问控制单元120可以对该终端的访问进行控制。访问控制单元120的具体控制方式可以根据实际情况具体设置,可以包括以下至少一项:逻辑隔离、静态资源加速、流量/权限控制、容器负载均衡等。
网络接口,可以用于接入终端设备,并使终端设备通过网络接口对应的访问路径访问微服务容器110。
下面对微服务集群的部署系统100中的网络接口进行详细说明。
上述网络接口和至少一个微服务容器110之间设置有一条访问路径,从而使接入该网络接口的终端设备可以通过该网络接口对应的访问路径访问至少一个微服务容器110。
其中,上述网络接口的数量可以为两个,可以为三个,也可以为四个,本申请实施例对于网络接口的数量不做限制。
每个网络接口均对应一种访问类型,不同网络设备对应的访问类型可以相同,也可以不同,本申请实施例对此不做限制。终端设备通过接入终端设备的访问类型对应的网络接口,访问至少一个微服务容器110。
微服务集群的部署系统100中的访问类型可以为一个,可以为两个,也可以为三个,本申请实施例对于微服务集群的部署系统100中的访问类型的数量不做限制,可以根据具体情况进行设置。每个网络接口对应的访问类型均需要预先设置。同时,在满足操作权限的情况下,网络接口对应的访问类型可以在获取用户输入的指令后进行更改。
本申请实施例对于一个访问类型对应的网络接口的数量也不做限制,一种可选的实施方式中,一种每种访问类型可以设置有一个网络接口与其对应,相应的,则有一条与访问类型多应的访问路径。另一种可选的实施方式中,每种访问类型也可以设置多个网络接口与其对应,相应的,则有多条与访问类型对应的访问路径。
在一种可选的实施方式中,网络接口还可以对接入的终端设备的访问类型进行验证,判断该终端设备的访问类型是否与该网络接口对应的访问类型相同。若相同,则成功接入该终端设备,以使终端设备通过该网络接口对应的访问路径访问微服务容器110。若不同,则拒绝接入该终端设备,并向终端设备发送错误接入提醒。
不同的访问类型可以对应不同的用户群体,从而将不同用户群里的数据进行隔离。示例性的,在一种微服务集群的部署系统100中,访问类型可以包括:外部网络访问、内部网络访问和核心网络访问。终端设备通过外部网络发起的访问可以从第一网络接口131接入,终端设备通过内部网络发起的访问可以从第二网络接口132接入,终端设备通过核心网络发起的访问可以从第三网络接口133接入。相应的,微服务集群的部署系统100设置有第一访问路径141、第二访问路径142和第三访问路径143。第一网络接口131接入的终端设备通过第一访问路径141访问目标为服务容器,第二网络接口132接入的终端设备通过第二访问路径142访问目标为服务容器,第三网络接口133接入的终端设备通过第三访问路径143访问目标为服务容器。由于第一网络接口131、第二网络接口132和第三网络接口133之间,以及第一访问路径141、第二访问路径142和第三访问路径143之间均设置有防火墙(Firewall)进行网络隔离,提高了微服务集群的部署系统100的数据安全性。
各网络接口之间均设置有网络隔离,网络隔离具体可以通过防火墙来实现,从而实现不同访问类型的数据在网络接口处的隔离,提高微服务集群的部署系统100的数据安全性。
同样的,各访问路径之间也设置有网络隔离,网络隔离同样可以通过防火墙来实现,从而实现不同访问类型的数据在访问路径处的隔离,提高微服务集群的部署系统100的数据安全性。
本申请实施例提供的微服务集群的部署系统,包括至少一个微服务容器、多个访问控制单元和多个网络接口;每个访问控制单元对应一个网络接口,访问控制单元设置在对应的网络接口与至少一个微服务容器之间的访问路径上;各网络接口之间网络隔离,每个网络接口对应一种访问类型,终端设备通过接入终端设备的访问类型对应的网络接口,访问至少一个微服务容器;访问控制单元,用于对至少一个微服务容器和网络接口进行逻辑隔离。通过上述微服务集群的部署系统,可以对不同的访问类型进行网络隔离,同时在系统内部进行逻辑隔离,从而提高了信息安全性。
图2为本申请实施例提供的另一种微服务集群的部署系统的结构示意图。如图2所示,在上述实施例的基础上,微服务集群的部署系统100,还可以包括:至少一个容器控制单元150。
每个容器控制单元150连接一个微服务容器110,容器控制单元150用于发现微服务容器110并在微服务容器110上注册微服务。
由于再将微服务容器110部署到DCOS容器化集群网络中,微服务容器110的服务地址,即,微服务容器110的互联网协议(internet protocol,IP)地址和端口,是由微服务集群的部署系统100动态分配的。因此,当终端设备访问一个微服务容器110,需要确定该微服务容器110的IP地址和端口。上述确定该微服务容器110的IP地址和端口的过程即为发现微服务容器110的过程。因此,每个容器控制单元150需要连接一个微服务容器110,从而在终端设备访问微服务容器110时确定微服务容器110的地址。
示例性的,容器控制单元150具体可以为快速的代理服务器和负载均衡器(marathon load balancer,Marathon LB)。通过使用Marathon LB,可以配置微服务容器110的固定端口,而微服务容器110的IP就是运行Marathon LB单元的节点IP。Marathon LB单元会监听Marathon的调度事件,获取微服务容器110实际运行的IP与端口,从而确定微服务容器110的地址。此外,Marathon LB还可以在微服务容器110上注册微服务。
下面对微服务集群的部署系统100的访问控制单元120进行详细描述。
如图2所示,访问控制单元120,可以包括:应用程序编程接口(applicationprogramming interface,API)网关。
API网关121与多个容器控制单元150连接,API网关121用于对接入网络接口的终端设备进行认证并对终端设备进行流量控制。
其中,API网关121是一种服务器,作为微服务容器110的唯一入口。API网关121封装了微服务集群的部署系统100的内部架构,为接入的终端设备提供一个定制的微服务容器110接口。API网关121还可以具有其它功能,可例如:身份验证、监控、负载均衡、缓存、请求分片与管理、静态响应处理等。
API网关121具体可以为Kong网关、Traefik网关等。本申请实施例对于API网关121的类型不做限制,可以根据实际情况具体设置。
如图2所示,访问控制单元120,还可以包括:多个第一负载均衡器122;
多个第一负载均衡器122均与API网关121连接,多个第一负载均衡器122用于均衡API网关121接收的终端设备的访问请求并缓存API网关121的静态资源。
示例性的,第一负载均衡器122可以为Nginx负载均衡器。Nginx负载均衡器可以将微服务集群的部署系统100接收到的访问请求按照规则分发给微服务容器110。
需要说明的是Nginx负载均衡器仅为第一负载载均衡器的一种类型,本申请实施例对于第一负载载均衡器的类型不做限制,只需均衡API网关121接收的终端设备的访问请求并缓存API网关121的静态资源即可。
如图2所示,访问控制单元120,还可以包括:多个第二负载均衡器123;
第二负载均衡器123的一端与访问控制单元120对应的网络接口连接,第二负载均衡器123的另一端与多个第一负载均衡器122连接;
第二负载均衡器123用于均衡多个第一负载均衡器122接收的终端设备的访问请求。
示例性的,第二负载均衡器123可以为F5硬负载。当一个访问控制单元120中包含有多个Nginx负载均衡器,则该访问控制单元120出现多个链路,相应的则可以配置F5硬负载,实现多链路的负载均衡。
需要说明的是F5硬负载仅为第而负载载均衡器的一种类型,本申请实施例对于第二负载载均衡器的类型不做限制,只需均衡多个第一负载均衡器122接收的终端设备的访问请求即可。
本申请实施例提供的微服务集群的部署系统,访问控制单元可以同时包含API网关、第一负载均衡器和第二负载均衡器,也可以仅包含API网关、第一负载均衡器和第二负载均衡器中的至少一个,本申请实施例对此不做限制。
图3为本申请实施例提供的一种微服务集群的部署方法的流程的示意图。微服务集群的部署方法应用于微服务集群的部署系统,微服务集群的部署系统包括至少一个微服务容器、多个容器控制单元、多个访问控制单元和多个网络接口。
可以理解,该微服务集群的部署方法可以通过微服务集群的部署装置执行,微服务集群的部署装置可以是某个设备的部分或全部,例如可以是计算机或计算机中的处理器。
请参考图3,方法包括:
S301:将至少一个微服务容器部署到微服务集群的部署系统的核心区,至少一个微服务容器由业务系统拆分生成。
在本步骤中,在上述微服务集群的部署系统部署前,可以将整个业务系统以微服务架构进行业务拆分解耦,切割为多个微服务容器,切割后的微服务容器可以部署在核心区DCOS容器化集群网络中。
S302:在核心区中部署多个容器控制单元,以使容器控制单元发现微服务容器并在微服务容器上注册微服务。
在本步骤中,在微服务集群的部署系统的核心区中,还可以部署有多个容器控制单元,从而实现对微服务容器的注册以及发现。示例性地,容器控制单元可以为MarathonLB。
S303:在微服务容器的每条访问路径上部署一个访问控制单元,每条访问路径对应一个网络接口,访问控制单元对至少一个微服务容器和网络接口进行逻辑隔离。
在一种可选的实施方式中,访问控制单元包括:应用程序编程接口API网关、第一负载均衡器和第二负载均衡器。
相应的,在微服务容器的每条访问路径上部署一个访问控制单元,具体可以包括:在微服务容器的每条访问路径上部署API网关、第一负载均衡器和第二负载均衡器;将容器控制单元配置到API网关中,API网关用于对发起访问请求的终端设备进行认证并对终端设备进行流量控制;将API网关集群配置到第一负载均衡器中,第一负载均衡器用于均衡API网关接收的终端设备的访问请求并缓存API网关的静态资源;将第二负载均衡器配置到第一负载均衡器中,第二负载均衡器用于均衡第一负载均衡器接收的终端设备的访问请求。
示例性的,API网关可以为Kong网关,第一负载均衡器可以为硬负载F5、第二负载均衡器可以为Nginx负载均衡器。
S304:在多个网络接口之间设置防火墙,防火墙用于隔离多个网络接口对应的访问路径。
在本步骤中,通过防火墙对多条访问路径进行安全隔离,针对不同访问类型的终端设备开放不同的网路接口,配置不同的访问控制单元,实现不同渠道用户的分流、安全控制。
本申请实施例提供的微服务集群的部署系统,横向上将多个网络接口隔离为接收不同访问类型的网络接口;同时纵向部署硬负载F5、Nginx负载均衡器、Kong网关、MarathonLB、微服务容器,进行“五层”逻辑隔离,分别实现用户一点接入、静态资源加速、流量、权限控制、容器负载均衡和业务逻辑实现。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (11)
1.一种微服务集群的部署系统,包括:至少一个微服务容器、多个访问控制单元和多个网络接口;每个所述访问控制单元对应一个网络接口,所述访问控制单元设置在对应的网络接口与所述至少一个微服务容器之间的访问路径上;
各所述网络接口之间网络隔离,每个所述网络接口对应一种访问类型,终端设备通过接入所述终端设备的访问类型对应的网络接口,访问所述至少一个微服务容器;
所述访问控制单元,用于对所述至少一个微服务容器和所述网络接口进行逻辑隔离;
所述微服务集群的部署系统还包括:至少一个容器控制单元;
每个所述容器控制单元连接一个微服务容器,所述容器控制单元用于发现所述微服务容器并在所述微服务容器上注册微服务;
所述微服务集群的部署系统用于,执行所述微服务集群的部署方法,其特征在于,所述部署方法包括:
将所述至少一个微服务容器部署到所述微服务集群的部署系统的核心区,所述至少一个微服务容器由业务系统拆分生成;
在所述核心区中部署多个容器控制单元,以使所述容器控制单元发现所述微服务容器并在所述微服务容器上注册微服务;
在所述微服务容器的每条访问路径上部署一个所述访问控制单元,每条所述访问路径对应一个所述网络接口,所述访问控制单元对所述至少一个微服务容器和所述网络接口进行逻辑隔离;
在所述多个网络接口之间设置防火墙,所述防火墙用于隔离所述多个网络接口对应的所述访问路径。
2.根据权利要求1所述的微服务集群的部署系统,其特征在于,所述访问类型包括:外部网络访问、内部网络访问和核心网络访问。
3.根据权利要求1所述的微服务集群的部署系统,其特征在于,所述访问控制单元,包括:应用程序编程接口API网关;
所述API网关与多个所述容器控制单元连接,所述API网关用于对接入所述网络接口的终端设备进行认证并对所述终端设备进行流量控制。
4.根据权利要求3所述的微服务集群的部署系统,其特征在于,所述访问控制单元,还包括:多个第一负载均衡器;
所述多个第一负载均衡器均与所述API网关连接,所述多个第一负载均衡器用于均衡所述API网关接收的所述终端设备的访问请求并缓存所述API网关的静态资源。
5.根据权利要求4所述的微服务集群的部署系统,其特征在于,所述访问控制单元,还包括:第二负载均衡器;
所述第二负载均衡器的一端与所述访问控制单元对应的网络接口连接,所述第二负载均衡器的另一端与所述多个第一负载均衡器连接;
所述第二负载均衡器用于均衡所述多个第一负载均衡器接收的所述终端设备的访问请求。
6.根据权利要求4或5所述的微服务集群的部署系统,其特征在于,所述第一负载均衡器为Nginx负载均衡器。
7.根据权利要求5所述的微服务集群的部署系统,其特征在于,所述第二负载均衡器为F5硬负载。
8.根据权利要求3-5任一项所述的系统,其特征在于,所述API网关为Kong网关。
9.根据权利要求1-5任一项所述的系统,其特征在于,各所述访问路径之间设置有网络隔离。
10.一种微服务集群的部署方法,应用于微服务集群的部署系统,所述微服务集群的部署系统包括至少一个微服务容器、多个容器控制单元、多个访问控制单元和多个网络接口,其特征在于,所述方法包括:
将所述至少一个微服务容器部署到所述微服务集群的部署系统的核心区,所述至少一个微服务容器由业务系统拆分生成;
在所述核心区中部署所述多个容器控制单元,以使所述容器控制单元发现所述微服务容器并在所述微服务容器上注册微服务;
在所述微服务容器的每条访问路径上部署一个所述访问控制单元,每条所述访问路径对应一个所述网络接口,所述访问控制单元对所述至少一个微服务容器和所述网络接口进行逻辑隔离;
在所述多个网络接口之间设置防火墙,所述防火墙用于隔离所述多个网络接口对应的所述访问路径。
11.根据权利要求10所述的方法,其特征在于,所述访问控制单元包括:应用程序编程接口API网关、第一负载均衡器和第二负载均衡器;
所述在所述微服务容器的每条访问路径上部署一个所述访问控制单元,包括:
在所述微服务容器的每条访问路径上部署所述API网关、所述第一负载均衡器和所述第二负载均衡器;
将所述容器控制单元配置到所述API网关中,所述API网关用于对发起访问请求的终端设备进行认证并对所述终端设备进行流量控制;
将所述API网关集群配置到所述第一负载均衡器中,所述第一负载均衡器用于均衡所述API网关接收的所述终端设备的访问请求并缓存所述API网关的静态资源;
将所述第二负载均衡器配置到所述第一负载均衡器中,所述第二负载均衡器用于均衡所述第一负载均衡器接收的所述终端设备的访问请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910827310.3A CN110532101B (zh) | 2019-09-03 | 2019-09-03 | 微服务集群的部署系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910827310.3A CN110532101B (zh) | 2019-09-03 | 2019-09-03 | 微服务集群的部署系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110532101A CN110532101A (zh) | 2019-12-03 |
| CN110532101B true CN110532101B (zh) | 2022-05-03 |
Family
ID=68666395
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910827310.3A Active CN110532101B (zh) | 2019-09-03 | 2019-09-03 | 微服务集群的部署系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110532101B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111666080B (zh) * | 2020-04-28 | 2024-05-03 | 平安科技(深圳)有限公司 | 微服务集群部署方法、装置、计算机设备及存储介质 |
| CN112367290A (zh) * | 2020-09-11 | 2021-02-12 | 浙江大学 | 一种内生安全waf构造方法 |
| CN112468476B (zh) * | 2020-11-20 | 2022-11-22 | 中国建设银行股份有限公司 | 一种不同类型终端访问应用的设备管理系统和方法 |
| CN112671706A (zh) * | 2020-11-25 | 2021-04-16 | 四川新网银行股份有限公司 | 一种基于微服务架构的网络访问控制系统 |
| CN113114482B (zh) * | 2021-03-08 | 2022-06-14 | 中国—东盟信息港股份有限公司 | 一种基于容器的混合云管理系统及方法 |
| CN113254165B (zh) * | 2021-07-09 | 2021-10-08 | 易纳购科技(北京)有限公司 | 虚拟机和容器的负载流量分配方法、装置及计算机设备 |
| CN114282949A (zh) * | 2021-12-27 | 2022-04-05 | 广州通达汽车电气股份有限公司 | 一种方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105357045A (zh) * | 2015-11-20 | 2016-02-24 | 曙光云计算技术有限公司 | 一种云平台服务创建方法及装置 |
| CN107786379A (zh) * | 2017-11-15 | 2018-03-09 | 四川省龙逸凤集网络科技有限公司 | 一种基于微服务架构的分层云管理平台 |
| CN108270818A (zh) * | 2016-12-30 | 2018-07-10 | 中国移动通信集团公司 | 一种微服务架构系统及其访问方法 |
| CN108390766A (zh) * | 2017-10-25 | 2018-08-10 | 国云科技股份有限公司 | 一种适用于微服务的服务注册与发现方法 |
| CN108667916A (zh) * | 2018-04-24 | 2018-10-16 | 百度在线网络技术(北京)有限公司 | 一种Web应用的数据访问方法及系统 |
| CN108768985A (zh) * | 2018-05-17 | 2018-11-06 | 成都致云科技有限公司 | 一种访问节点接入分配方法和装置 |
| CN109981757A (zh) * | 2019-03-13 | 2019-07-05 | 青岛特锐德电气股份有限公司 | 一种面向小规模微服务架构的api网关负载均衡算法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110134455A (zh) * | 2019-04-12 | 2019-08-16 | 平安医疗健康管理股份有限公司 | 一种应用管理系统及方法 |
-
2019
- 2019-09-03 CN CN201910827310.3A patent/CN110532101B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105357045A (zh) * | 2015-11-20 | 2016-02-24 | 曙光云计算技术有限公司 | 一种云平台服务创建方法及装置 |
| CN108270818A (zh) * | 2016-12-30 | 2018-07-10 | 中国移动通信集团公司 | 一种微服务架构系统及其访问方法 |
| CN108390766A (zh) * | 2017-10-25 | 2018-08-10 | 国云科技股份有限公司 | 一种适用于微服务的服务注册与发现方法 |
| CN107786379A (zh) * | 2017-11-15 | 2018-03-09 | 四川省龙逸凤集网络科技有限公司 | 一种基于微服务架构的分层云管理平台 |
| CN108667916A (zh) * | 2018-04-24 | 2018-10-16 | 百度在线网络技术(北京)有限公司 | 一种Web应用的数据访问方法及系统 |
| CN108768985A (zh) * | 2018-05-17 | 2018-11-06 | 成都致云科技有限公司 | 一种访问节点接入分配方法和装置 |
| CN109981757A (zh) * | 2019-03-13 | 2019-07-05 | 青岛特锐德电气股份有限公司 | 一种面向小规模微服务架构的api网关负载均衡算法 |
Non-Patent Citations (1)
| Title |
|---|
| 一种基于微服务架构的业务系统设计与实现;洪华军,等;《计算机与数字工程》;20180131;第46卷(第1期);149-154 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110532101A (zh) | 2019-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110532101B (zh) | 微服务集群的部署系统及方法 | |
| US20180367997A1 (en) | 5g dynamic slice and network identity instantiation, termination, and access management system and method | |
| EP3844938B1 (en) | Accessing resources in a remote access or cloud-based network environment | |
| CN107153565B (zh) | 配置资源的方法及其网络设备 | |
| CN107534579B (zh) | 资源管理的系统和方法 | |
| US8463885B2 (en) | Systems and methods for generating management agent installations | |
| CN109067877B (zh) | 一种云计算平台部署的控制方法、服务器及存储介质 | |
| US10855655B2 (en) | System and method for providing secure and redundant communications and processing for a collection of internet of things (IOT) devices | |
| WO2022022253A1 (zh) | 一种服务鉴权方法、装置、设备、系统及存储介质 | |
| CN111404753B (zh) | 一种扁平网络配置方法、计算机设备及存储介质 | |
| US20110055810A1 (en) | Systems and methods for registering software management component types in a managed network | |
| CN103119907A (zh) | 提供用于访问控制的智能组的系统和方法 | |
| US20210337016A1 (en) | Peripheral device enabling virtualized computing service extensions | |
| JP6888078B2 (ja) | ネットワーク機能nf管理方法及びnf管理装置 | |
| JP2020533673A (ja) | セッションディレクトリまたはブローカを伴うrdpサーバファームの存在下でのrdpプロキシサポート | |
| US20210089239A1 (en) | Peripheral device for configuring compute instances at client-selected servers | |
| CN109857464B (zh) | 用于平台部署与操作移动操作系统的系统及其方法 | |
| CN112468476B (zh) | 一种不同类型终端访问应用的设备管理系统和方法 | |
| CN112968976B (zh) | 外网访问控制系统、方法、装置、设备及存储介质 | |
| CN111600755B (zh) | 上网行为管理系统和方法 | |
| WO2021061414A1 (en) | Peripheral device for configuring compute instances at client- selected servers | |
| CN113904871B (zh) | 网络切片的接入方法、pcf实体、终端和通信系统 | |
| CN113014565B (zh) | 实现防端口扫描的零信任架构及服务端口访问方法和设备 | |
| US9240988B1 (en) | Computer system employing dual-band authentication | |
| CN109257201B (zh) | 一种License的发送方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |