CN111147509A - 网络隔离方法、装置、服务器及存储介质 - Google Patents
网络隔离方法、装置、服务器及存储介质 Download PDFInfo
- Publication number
- CN111147509A CN111147509A CN201911404085.9A CN201911404085A CN111147509A CN 111147509 A CN111147509 A CN 111147509A CN 201911404085 A CN201911404085 A CN 201911404085A CN 111147509 A CN111147509 A CN 111147509A
- Authority
- CN
- China
- Prior art keywords
- information
- isolation
- target
- network
- instance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种网络隔离方法、装置、服务器及存储介质,属于云服务技术领域。该方法包括:获取待处理的服务请求的网络信息;根据服务请求的类别信息,从多个执行节点包括的多个服务实例中选择用于处理服务请求的目标服务实例;获取目标服务实例的隔离配置信息,隔离配置信息用于表示被隔离处理的服务请求的网络信息;根据网络信息和隔离配置信息,确定服务请求的处理方式;响应于处理方式为隔离方式,终止服务请求。对于每个服务请求,当服务请求的网络信息响应于处理方式为隔离方式时,终止该服务请求,提高了安全性和高效性;而且用于隔离处理的服务请求的网络信息为目标服务实例的隔离配置信息,实现了以服务实例为粒度对服务请求进行处理。
Description
技术领域
本申请涉及云服务技术领域,特别涉及一种网络隔离方法、装置、服务器及存储介质。
背景技术
随着云服务技术的发展,越来越多的网络服务都可以通过Node serverless(节点云服务)进行处理。Node serverless包括多个执行节点,每个执行节点内包括多种类型的服务实例。其中,每个类型的服务实例可以处理对应类型的网络服务请求。在Nodeserverless处理网络服务时,为了确保Node serverless的安全性和高效性,需要对无效的网络服务或恶意的网络服务进行网络隔离。
发明内容
本申请实施例提供了一种网络隔离方法、装置、服务器及存储介质,能够解决云服务架构的安全性和高效性的问题。所述技术方案如下:
根据本申请实施例的一方面,提供了一种网络隔离方法,所述方法包括:
获取待处理的服务请求的网络信息;
根据所述服务请求的类别信息,从多个执行节点包括的多个服务实例中选择用于处理所述服务请求的目标服务实例;
获取所述目标服务实例的隔离配置信息,所述隔离配置信息用于表示被隔离处理的服务请求的网络信息;
根据所述网络信息和所述隔离配置信息,确定所述服务请求的处理方式;
响应于所述处理方式为隔离方式,终止所述服务请求。
在一种可能的实现方式中,所述隔离配置信息包括第一网络信息集合,所述第一网络信息集合中包括至少一个待隔离的服务请求的网络信息;所述根据所述网络信息和所述隔离配置信息,确定所述服务请求的处理方式,包括:
如果所述网络信息在所述第一网络信息集合内,确定所述服务请求的处理方式是隔离方式。
在另一种可能的实现方式中,所述网络隔离信息包括第二网络信息集合,所述第二网络信息集合中包括至少一个允许处理的服务请求的网络信息;所述根据所述网络信息和所述隔离配置信息,确定所述服务请求的处理方式,包括:
如果所述网络信息不在所述第二网络信息集合内,确定所述服务请求的处理方式是隔离方式。
在另一种可能的实现方式中,所述获取所述目标服务实例的隔离配置信息,包括:
根据所述目标服务实例的实例标识,向所述目标服务实例发送第一获取请求;
接收所述目标服务实例基于所述第一获取请求返回的所述网络隔离信息。
在另一种可能的实现方式中,所述获取所述目标服务实例的隔离配置信息,包括:
向目标执行节点发送第二获取请求,所述目标执行节点为所述目标服务实例所在的执行节点,所述第二获取请求携带所述目标服务实例的实例标识;
接收所述目标执行节点基于所述第二获取请求返回的所述目标服务实例的网络隔离信息。
在另一种可能的实现方式中,所述获取所述目标服务实例的隔离配置信息,包括:
根据目标执行节点的节点标识和目标服务实例的实例标识,从本地已存储的节点标识、实例标识和网络隔离信息的对应关系中获取所述目标服务实例的网络隔离信息,所述目标执行节点为所述目标服务实例所在的执行节点。
在另一种可能的实现方式中,所述方法还包括:
接收目标业务方发送的隔离配置信息,所述目标业务方为所述目标服务实例对应的业务方;
关联所述目标执行节点的节点标识、所述目标服务实例的实例标识和所述隔离配置信息。
在另一种可能的实现方式中,所述获取待处理的服务请求的网络信息,包括:获取待处理的服务请求的域名信息,将所述域名信息作为所述网络信息。
在另一种可能的实现方式中,所述方法还包括:
响应于所述处理方式为非隔离方式,与目标终端建立传输控制协议TCP连接,所述目标终端为发送所述服务请求的终端;
通过所述TCP连接处理所述服务请求。
根据本申请实施例的另一方面,提供了一种网络隔离装置,所述装置包括:
第一获取模块,用于获取待处理的服务请求的网络信息;
选择模块,用于根据所述服务请求的类别信息,从多个执行节点包括的多个服务实例中选择用于处理所述服务请求的目标服务实例;
第二获取模块,用于获取所述目标服务实例的隔离配置信息,所述隔离配置信息用于表示被隔离处理的服务请求的网络信息;
确定模块,用于根据所述网络信息和所述隔离配置信息,确定所述服务请求的处理方式;
终止模块,用于响应于所述处理方式为隔离方式,终止所述服务请求。
在一种可能的实现方式中,所述隔离配置信息包括第一网络信息集合,所述第一网络信息集合中包括至少一个待隔离的服务请求的网络信息;所述确定模块,还用于如果所述网络信息在所述第一网络信息集合内,确定所述服务请求的处理方式是隔离方式。
在另一种可能的实现方式中,所述网络隔离信息包括第二网络信息集合,所述第二网络信息集合中包括至少一个允许处理的服务请求的网络信息;所述确定模块,还用于如果所述网络信息不在所述第二网络信息集合内,确定所述服务请求的处理方式是隔离方式。
在另一种可能的实现方式中,所述第二获取模块,还用于根据所述目标服务实例的实例标识,向所述目标服务实例发送第一获取请求;接收所述目标服务实例基于所述第一获取请求返回的所述网络隔离信息。
在另一种可能的实现方式中,所述第二获取模块,还用于向目标执行节点发送第二获取请求,所述目标执行节点为所述目标服务实例所在的执行节点,所述第二获取请求携带所述目标服务实例的实例标识;接收所述目标执行节点基于所述第二获取请求返回的所述目标服务实例的网络隔离信息。
在另一种可能的实现方式中,所述第二获取模块,还用于根据目标执行节点的节点标识和目标服务实例的实例标识,从本地已存储的节点标识、实例标识和网络隔离信息的对应关系中获取所述目标服务实例的网络隔离信息,所述目标执行节点为所述目标服务实例所在的执行节点。
在另一种可能的实现方式中,所述装置还包括:
接收模块,用于接收目标业务方发送的隔离配置信息,所述目标业务方为所述目标服务实例对应的业务方;
关联模块,用于关联所述目标执行节点的节点标识、所述目标服务实例的实例标识和所述隔离配置信息。
在另一种可能的实现方式中,所述第一获取模块,还用于获取待处理的服务请求的域名信息,将所述域名信息作为所述网络信息。
在另一种可能的实现方式中,所述装置还包括:
建立模块,用于响应于所述处理方式为非隔离方式,与目标终端建立传输控制协议TCP连接,所述目标终端为发送所述服务请求的终端;
处理模块,用于通过所述TCP连接处理所述服务请求。
根据本申请实施例的另一方面,提供了一种服务器,所述服务器包括:处理器和存储器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行以实现上述任一可能实现方式所述的网络隔离方法中的操作。
根据本申请实施例的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条指令,所述至少一条指令由处理器加载并具有以实现如所述网络隔离方法中所执行的操作。
在本申请实施例中,获取待处理的服务请求的网络信息;根据服务请求的类别信息,从多个执行节点包括的多个服务实例中选择用于处理服务请求的目标服务实例;获取目标服务实例的隔离配置信息,隔离配置信息用于表示被隔离处理的服务请求的网络信息;根据网络信息和隔离配置信息,确定服务请求的处理方式;响应于处理方式为隔离方式,终止服务请求。在本申请实施例中,对于每个服务请求,当服务请求的网络信息响应于处理方式为隔离方式时,终止该服务请求,提高了云服务架构的安全性和高效性;而且用于隔离处理的服务请求的网络信息为目标服务实例的隔离配置信息,所以实现了以服务实例为粒度对服务请求进行处理。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种实施环境的示意图;
图2是本申请实施例提供的一种网络隔离方法的结构示意图;
图3是本申请实施例提供的一种网络隔离方法的流程图;
图4是本申请实施例提供的一种网络隔离装置的结构示意图;
图5是本申请实施例提供的一种服务器的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
图1是本申请实施例提供的一种实施环境的示意图。参见图1,该实施环境中包括终端101和云服务架构102。其中,云服务架构102可以是Node serverless(Nodeserverless,节点云服务)。
终端101和云服务架构102之间通过无线或者有线网络连接。并且,终端101上可以安装有云服务架构102提供服务的客户端,终端101对应的用户可以通过该客户端与云服务架构102之间实现例如数据传输、消息交互等功能。客户端可以为终端101上安装的包括上网功能的客户端。例如,该客户端可以为浏览器、社交应用、游戏应用或者外卖应用等。
终端101可以为电脑、手机、平板电脑或者其他电子设备。云服务架构102可以是一台服务器,或者由若干台服务器组成的服务器集群,或者是一个云计算服务中心。
在本申请实施例中,云服务架构102是Node serverless。终端101向Nodeserverless发送服务请求,Node serverless接收服务请求,对服务请求进行处理,将处理结果返回终端101。参见图2,Node serverless包括多个服务器,每个服务器内包含多个执行节点。每个执行节点内包括多种类型的服务实例,每个类型的服务实例处理与该类型的服务实例对应的服务请求。其中,每个服务器在执行节点内创建服务实例;并且,为该服务实例设置该服务实例对应的隔离配置信息。
当接收到终端发送的服务请求时,服务器获取该服务请求的网络信息;根据该服务请求的类别信息,从多个执行节点包括的多个服务实例中选择用于处理服务请求的目标服务实例;服务器获取目标服务实例的隔离配置信息,根据网络信息和隔离配置信息,确定服务请求的处理方式;响应于处理方式为隔离方式,终止服务请求。
继续参见图2,服务器接收到终端发送的服务请求A,根据服务请求A的类型信息,从多个服务实例中确定目标服务实例A;服务器获取目标服务实例A的隔离配置信息;根据服务请求A的网络信息和目标服务实例A的隔离配置信息,确定服务请求A的处理方式。当服务请求A的网络信息在服务实例A对应的网络隔离配置内时,服务器允许服务请求建立TCP(Transmission Control Protocol,传输控制协议)连接,正常处理该服务请求,向终端返回处理结果,继续处理其他服务请求;当服务请求A的网络信息不在服务实例A对应的网络隔离配置内时,则服务器不允许服务请求建立TCP连接,终止该服务请求,向终端返回请求无效的结果。服务器接收到终端发送的服务请求B,根据服务请求B的类型信息,从多个服务实例中确定目标服务实例B;服务器获取目标服务实例B的隔离配置信息;根据服务请求B的网络信息和目标服务实例B的隔离配置信息,确定服务请求B的处理方式。当服务请求B的网络信息在服务实例B对应的网络隔离配置内时,服务器允许服务请求建立TCP连接,正常处理该服务请求,向终端返回处理结果,继续处理其他服务请求;当服务请求B的网络信息不在服务实例B对应的网络隔离配置内时,则服务器不允许服务请求建立TCP连接,终止该服务请求,向终端返回请求无效的结果。
对于每个类型的服务请求,服务器通过该类型的目标服务实例的隔离配置对服务请求中的恶意请求或无效请求进行网络隔离。
图3是本申请实施例提供的一种网络隔离方法的流程图。参见图3,该网络隔离方法包括以下步骤:
301、服务器获取待处理的服务请求的网络信息。
在一种可能的实现方式中,当接收到服务请求时,服务器获取待处理的服务请求的网络信息。
其中,服务请求的网络信息可以包括网络请求次数。相应的,服务器获取待处理的服务请求的网络信息,包括:服务器获取待处理的服务请求的网络请求次数,将网络请求次数作为网络信息。例如,服务器处理服务请求时可以不需要连接网络,则该服务请求的网络信息为网络请求0次。服务器处理服务请求时需要连接网络1次,则该服务请求的网络信息为网络请求1次。服务器处理服务请求需要连接网络2次,则该服务请求的网络信息为网络请求2次。
在另一种可能的实现方式中,网络信息可以包括域名信息。相应的,服务器获取待处理的服务请求的网络信息,包括:服务器获取待处理的服务请求的域名信息,将域名信息作为网络信息。其中,域名信息可以是一级域名,例如,“.com”、“.net”、“.edu”等。域名信息也可以是二级域名,例如,“A.com”、“B.com”、“C.com”等。域名信息还可以是三级域名、四级域名、五级域名等。
在另一种可能的实现方式中,网络信息可以包括网络链接。相应的,服务器获取待处理的服务请求的网络信息,包括:服务器获取待处理的服务请求的网络链接,将网络链接作为网络信息。
302、服务器根据服务请求的类别信息,从多个执行节点包括的多个服务实例中选择用于处理服务请求的目标服务实例。
其中,类别信息可以是外卖、出行、语音、视频、上网搜索等。在本申请实施例中,每个类型的服务实例处理对应类型的服务请求。例如,外卖类型的服务实例处理外卖请求。
在一种可能的实现方式中,服务器根据服务请求的类别信息,确定目标服务实例的类型。相应的,服务器根据服务请求的类别信息,从多个执行节点包括的多个服务实例中选择用于处理服务请求的目标服务实例的步骤可以为:
(1)服务器获取待处理的服务请求的类别信息。
在一种可能的实现方式中,服务请求中携带服务请求的类别信息。当服务器接收服务请求时,获取该待处理的服务请求的类别信息。
(2)服务器根据服务请求的类别信息,确定目标服务实例的类型。
在一种可能的实现方式中,服务请求的类别和目标服务实例的类别相同。相应的,服务器根据服务请求的类别信息,将服务请求的类别信息确定为目标服务实例的类别信息。
(3)服务器根据目标服务实例的类型,从多个执行节点包括的多个服务实例中选择用于处理服务请求的目标服务实例。
在一种可能的实现方式中,服务器根据目标服务实例的类型,从多个执行节点包括的多个服务实例中随机选择用于处理服务请求的目标服务实例。相应的,服务器根据目标服务实例的类型,从多个执行节点包括的多个服务实例中选择用于处理服务请求的目标服务实例,包括:
服务器根据目标服务实例的类型,从多个执行节点包括的多个服务实例中确定目标类型的多个服务实例。服务器从多个服务实例中随机选择用于处理服务请求的目标服务实例。
在另一种可能的实现方式中,服务器可以从多个执行节点中确定目标执行节点,从目标执行节点中选择用于处理服务请求的目标服务实例。当执行节点中目标类型的服务实例的数量越多,处理该服务请求的效率越高。相应的,服务器根据目标服务实例的类型,从多个执行节点包括的多个服务实例中选择用于处理服务请求的目标服务实例,包括:
服务器根据目标服务实例的类型,确定每个执行节点中目标服务实例的数量。服务器根据每个执行节点中目标服务实例的数量,从多个执行节点中确定目标服务实例的数量最大的执行节点为目标执行节点。服务器从目标执行节点中选取用于处理服务请求的目标服务实例。
在另一种可能的实现方式中,每个执行节点内的目标服务实例处理服务请求的时间不同。相应的,服务器根据目标服务实例的类型,从多个执行节点包括的多个服务实例中选择用于处理服务请求的目标服务实例,包括:
服务器根据目标服务实例的类型,确定每个执行节点中目标服务实例处理服务请求的时间。服务器根据每个执行节点中目标服务实例处理服务请求的时间,从多个执行节点中确定目标服务实例处理服务请求的时间最少的执行节点为目标执行节点。服务器从目标执行节点中选取用于处理服务请求的目标服务实例。
303、服务器获取目标服务实例的隔离配置信息。
其中,隔离配置信息用于表示被隔离处理的服务请求的网络信息。在一种可能的实现方式中,服务器本地存储有每个类型服务实例的配置文本。在服务器在执行节点内创建服务实例时,服务器从本地存储的配置文本中获取该服务实例的配置文本,根据该服务实例的配置文本创建服务实例。其中,每个类型的服务实例的配置文本中包含该类型服务实例对应的隔离配置信息。
在一种可能的实现方式中,服务器根据该服务实例的配置文本创建服务实例时,隔离配置信息存储在该服务实例内。服务器可以根据目标服务实例的实例标识,直接从目标服务实例中获取网络隔离信息。相应的,服务器获取目标服务实例的隔离配置信息,包括:
服务器根据目标服务实例的实例标识,向目标服务实例发送第一获取请求;服务器接收目标服务实例基于第一获取请求返回的网络隔离信息。
其中,实例标识用于区分每个服务实例。服务器可以根据实例标识确定该实例标识对应的服务实例。相应的,服务器根据目标服务实例的实例标识,向目标服务实例发送第一获取请求,包括:服务器根据目标服务实例的实例标识,确定该实例标识对应的目标服务实例。服务器向目标服务实例发送第一获取请求。
在另一种可能的实现方式中,第一获取请求中可以携带网络隔离信息的读取指令。相应的,服务器接收目标服务实例基于第一获取请求返回的网络隔离信息,包括:
目标服务实例接收服务器发送的第一获取请求;根据第一获取请求中携带的网络隔离信息的读取指令,读取目标服务实例的网络隔离信息;将读取的网络隔离信息返回服务器。服务器接收目标服务实例返回的网络隔离信息。
在本申请实施例中,每个服务实例内包含该服务实例的网络隔离信息。服务器向目标服务实例发送第一获取请求;服务器接收目标服务实例基于第一获取请求返回的网络隔离信息。服务器直接从目标服务实例中获取网络隔离信息,确保了网络隔离信息的准确性。
在另一种可能的实现方式中,服务器根据该服务实例的配置文本在执行节点内创建服务实例时,隔离配置信息存储在执行节点内。服务器可以通过目标服务实例所在的执行节点,获取目标服务实例对应的网络隔离信息。相应的,服务器获取目标服务实例的隔离配置信息,包括:
服务器向目标执行节点发送第二获取请求;服务器接收目标执行节点基于第二获取请求返回的目标服务实例的网络隔离信息。在一种可能的实现方式中,每个执行节点中携带该执行节点的节点标识。节点标识用于区分每个执行节点。服务器可以根据节点标识确定该节点标识对应的执行节点。相应的,服务器向目标执行节点发送第二获取请求,包括:
服务器根据目标执行节点的节点标识,确定该节点标识对应的目标执行节点。服务器向目标执行节点发送第二获取请求。
其中,目标执行节点为目标服务实例所在的执行节点,第二获取请求携带目标服务实例的实例标识。服务器可以通过实例标识确定目标服务实例以及目标服务实例的类型。在一种可能的实现方式中,每个类型的服务实例对应的网络隔离信息相同,执行节点内存储有每个类型服务实例和该类型服务实例对应的网络隔离信息的对应关系。相应的,服务器接收目标执行节点基于第二获取请求返回的目标服务实例的网络隔离信息,包括:
目标执行节点接收第二获取请求。目标执行节点根据第二获取请求携带的目标服务实例的实例标识,确定目标服务实例的类型。目标执行节点根据目标服务实例的类型,从每个类型服务实例和该类型服务实例对应的网络隔离信息的对应关系中,获取目标服务实例的网络隔离信息。目标执行节点将获取的目标服务实例的网络隔离信息返回服务器。服务器接收目标执行节点返回的目标服务实例的网络隔离信息。
在本申请实施例中,服务器通过目标服务实例所在的执行节点,通过执行节点直接获取目标服务实例对应的网络隔离信息,提高了获取目标服务实例对应的网络隔离信息的效率。
在另一种可能的实现方式中,每个执行节点中每个类型的服务实例对应的配置文本相同,每个执行节点中每个类型的服务实例对应的隔离配置信息也相同。服务器根据该服务实例的配置文本在执行节点内创建服务实例时,隔离配置信息存储在服务器本地。在服务器内可以存储节点标识、实例标识和网络隔离信息的对应关系。相应的,服务器获取目标服务实例的隔离配置信息,包括:
服务器根据目标执行节点的节点标识和目标服务实例的实例标识,从本地已存储的节点标识、实例标识和网络隔离信息的对应关系中获取目标服务实例的网络隔离信息。
其中,目标执行节点为目标服务实例所在的执行节点。在一种可能的实现方式中,本地已存储的节点标识、实例标识和网络隔离信息的对应关系为每个执行节点中每个类型服务实例和该类型服务实例对应的网络隔离信息之间的对应关系。相应的,服务器根据目标执行节点的节点标识和目标服务实例的实例标识,从本地已存储的节点标识、实例标识和网络隔离信息的对应关系中获取目标服务实例的网络隔离信息,包括:
服务器根据目标执行节点的节点标识确定目标执行节点;服务器根据目标服务实例的实例标识确定目标服务实例。服务器根据目标执行节点和目标服务实例,从每个执行节点中每个类型服务实例和该类型服务实例对应的网络隔离信息之间的对应关系中获取目标服务实例的网络隔离信息。
在另一种可能的实现方式中,服务器接收目标业务方发送的隔离配置信息,将目标业务方发送的隔离配置信息存储在本地。其中,目标业务方为目标服务实例对应的业务方。相应的,获取目标服务实例的隔离配置信息,包括:
服务器接收目标业务方发送的隔离配置信息;服务器关联目标执行节点的节点标识、目标服务实例的实例标识和隔离配置信息。服务器根据目标执行节点的节点标识和目标服务实例的实例标识,从本地已存储的节点标识、实例标识和网络隔离信息的关联关系中获取目标服务实例的网络隔离信息。
304、服务器根据网络信息和隔离配置信息,确定服务请求的处理方式。
在一种可能的实现方式中,隔离配置信息包括第一网络信息集合,第一网络信息集合中包括至少一个待隔离的服务请求的网络信息。相应的,根据网络信息和隔离配置信息,确定服务请求的处理方式,包括:如果网络信息在第一网络信息集合内,服务器确定服务请求的处理方式是隔离方式。如果网络信息不在第一网络信息集合内,确定服务请求的处理方式是非隔离方式。
例如,服务请求的网络信息包括网络请求次数,第一网络信息集合可以是网络请求次数大于第一阈值的网络信息。其中,第一阈值可以是5、8或10等,在本申请实施例中,对第一阈值不作具体限定,可以根据需要进行设置并更改。比如,设置第一阈值为5,则第一网络信息集合为网络请求次数大于5次的网络信息。相应的,如果服务请求的网络请求次数大于5,服务器确定该服务请求的处理方式是隔离方式;如果服务请求的网络请求次数小于5,服务器确定该服务请求的处理方式是非隔离方式。
在另一种可能的实现方式中,网络隔离信息包括第二网络信息集合,第二网络信息集合中包括至少一个允许处理的服务请求的网络信息。相应的,根据网络信息和隔离配置信息,确定服务请求的处理方式,包括:如果网络信息不在第二网络信息集合内,确定服务请求的处理方式是隔离方式。如果网络信息在第一网络信息集合内,确定服务请求的处理方式是非隔离方式。
例如,服务请求的网络信息包括域名信息,第二网络信息集合可以是“A.com”、“B.com”、“C.com”。如果服务请求的域名信息不在A.com”、“B.com”、“C.com内时,服务器确定该服务请求的处理方式是隔离方式;如果服务请求的域名信息是“A.com”、“B.com”等,在第二网络信息集合内时,服务器确定该服务请求的处理方式是非隔离方式。
305、服务器响应于处理方式为隔离方式,终止服务请求。
服务器响应于处理方式为隔离方式,则服务器禁止该服务请求与目标终端建立TCP连接;服务器终止该服务请求,向终端返回请求无效的结果。
需要说明的一点是,服务器响应于处理方式为非隔离方式,服务器允许该服务请求与目标终端建立TCP连接。其中,目标终端为发送服务请求的终端。服务器通过TCP连接处理该服务请求,将该服务请求的处理结果返回终端。
在本申请实施例中,服务器获取待处理的服务请求的网络信息;服务器根据服务请求的类别信息,从多个执行节点包括的多个服务实例中选择用于处理服务请求的目标服务实例;服务器获取目标服务实例的隔离配置信息,隔离配置信息用于表示被隔离处理的服务请求的网络信息;服务器根据网络信息和隔离配置信息,确定服务请求的处理方式;服务器响应于处理方式为隔离方式,终止服务请求。在本申请实施例中,对于每个服务请求,当服务请求的网络信息响应于处理方式为隔离方式时,终止该服务请求,提高了云服务架构的安全性和高效性;而且用于隔离处理的服务请求的网络信息为目标服务实例的隔离配置信息,所以实现了以服务实例为粒度对服务请求进行处理。
图4是本申请实施例提供的一种网络隔离装置的结构示意图。参见图4,该装置包括:
第一获取模块401,用于获取待处理的服务请求的网络信息;
选择模块402,用于根据服务请求的类别信息,从多个执行节点包括的多个服务实例中选择用于处理服务请求的目标服务实例;
第二获取模块403,用于获取目标服务实例的隔离配置信息,隔离配置信息用于表示被隔离处理的服务请求的网络信息;
确定模块404,用于根据网络信息和隔离配置信息,确定服务请求的处理方式;
终止模块405,用于响应于处理方式为隔离方式,终止服务请求。
在一种可能的实现方式中,隔离配置信息包括第一网络信息集合,第一网络信息集合中包括至少一个待隔离的服务请求的网络信息;确定模块404,还用于如果网络信息在第一网络信息集合内,确定服务请求的处理方式是隔离方式。
在另一种可能的实现方式中,网络隔离信息包括第二网络信息集合,第二网络信息集合中包括至少一个允许处理的服务请求的网络信息;确定模块404,还用于如果网络信息不在第二网络信息集合内,确定服务请求的处理方式是隔离方式。
在另一种可能的实现方式中,第二获取模块403,还用于根据目标服务实例的实例标识,向目标服务实例发送第一获取请求;接收目标服务实例基于第一获取请求返回的网络隔离信息。
在另一种可能的实现方式中,第二获取模块403,还用于向目标执行节点发送第二获取请求,目标执行节点为目标服务实例所在的执行节点,第二获取请求携带目标服务实例的实例标识;接收目标执行节点基于第二获取请求返回的目标服务实例的网络隔离信息。
在另一种可能的实现方式中,第二获取模块403,还用于根据目标执行节点的节点标识和目标服务实例的实例标识,从本地已存储的节点标识、实例标识和网络隔离信息的对应关系中获取目标服务实例的网络隔离信息,目标执行节点为目标服务实例所在的执行节点。
在另一种可能的实现方式中,该装置还包括:
接收模块,用于接收目标业务方发送的隔离配置信息,目标业务方为目标服务实例对应的业务方;
关联模块,用于关联目标执行节点的节点标识、目标服务实例的实例标识和隔离配置信息。
在另一种可能的实现方式中,第一获取模块401,还用于获取待处理的服务请求的域名信息,将域名信息作为网络信息。
在另一种可能的实现方式中,该装置还包括:
建立模块,用于响应于处理方式为非隔离方式,与目标终端建立传输控制协议TCP连接,目标终端为发送服务请求的终端;
处理模块,用于通过TCP连接处理服务请求。
在本申请实施例中,服务器获取待处理的服务请求的网络信息;服务器根据服务请求的类别信息,从多个执行节点包括的多个服务实例中选择用于处理服务请求的目标服务实例;服务器获取目标服务实例的隔离配置信息,隔离配置信息用于表示被隔离处理的服务请求的网络信息;服务器根据网络信息和隔离配置信息,确定服务请求的处理方式;服务器响应于处理方式为隔离方式,终止服务请求。在本申请实施例中,对于每个服务请求,当服务请求的网络信息响应于处理方式为隔离方式时,终止该服务请求,提高了云服务架构的安全性和高效性;而且用于隔离处理的服务请求的网络信息为目标服务实例的隔离配置信息,所以实现了以服务实例为粒度对服务请求进行处理。
需要说明的是:上述实施例提供的网络隔离装置在对服务请求进行网络隔离时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将服务器的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的网络隔离装置与网络隔离方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图5是本申请实施例提供的一种服务器的结构示意图,该服务器500可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processingunits,CPU)501和一个或一个以上的存储器502,其中,存储器502中存储有至少一条指令,至少一条指令由处理器501加载并执行以实现上述各个方法实施例提供的网络隔离方法。当然,该服务器还可以具有有线或无线网络接口、键盘以及输入输出接口等部件,以便进行输入输出,该服务器还可以包括其他用于实现设备功能的部件,在此不做赘述。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有至少一条指令,该至少一条指令由处理器加载并具有以实现上述实施例的网络隔离方法中所具有的操作。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请实施例的可选实施例,并不用以限制本申请实施例,凡在本申请实施例的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (20)
1.一种网络隔离方法,其特征在于,所述方法包括:
获取待处理的服务请求的网络信息;
根据所述服务请求的类别信息,从多个执行节点包括的多个服务实例中选择用于处理所述服务请求的目标服务实例;
获取所述目标服务实例的隔离配置信息,所述隔离配置信息用于表示被隔离处理的服务请求的网络信息;
根据所述网络信息和所述隔离配置信息,确定所述服务请求的处理方式;
响应于所述处理方式为隔离方式,终止所述服务请求。
2.根据权利要求1所述的方法,其特征在于,所述隔离配置信息包括第一网络信息集合,所述第一网络信息集合中包括至少一个待隔离的服务请求的网络信息;所述根据所述网络信息和所述隔离配置信息,确定所述服务请求的处理方式,包括:
如果所述网络信息在所述第一网络信息集合内,确定所述服务请求的处理方式是隔离方式。
3.根据权利要求1所述的方法,其特征在于,所述网络隔离信息包括第二网络信息集合,所述第二网络信息集合中包括至少一个允许处理的服务请求的网络信息;所述根据所述网络信息和所述隔离配置信息,确定所述服务请求的处理方式,包括:
如果所述网络信息不在所述第二网络信息集合内,确定所述服务请求的处理方式是隔离方式。
4.根据权利要求1所述的方法,其特征在于,所述获取所述目标服务实例的隔离配置信息,包括:
根据所述目标服务实例的实例标识,向所述目标服务实例发送第一获取请求;
接收所述目标服务实例基于所述第一获取请求返回的所述网络隔离信息。
5.根据权利要求1所述的方法,其特征在于,所述获取所述目标服务实例的隔离配置信息,包括:
向目标执行节点发送第二获取请求,所述目标执行节点为所述目标服务实例所在的执行节点,所述第二获取请求携带所述目标服务实例的实例标识;
接收所述目标执行节点基于所述第二获取请求返回的所述目标服务实例的网络隔离信息。
6.根据权利要求1所述的方法,其特征在于,所述获取所述目标服务实例的隔离配置信息,包括:
根据目标执行节点的节点标识和目标服务实例的实例标识,从本地已存储的节点标识、实例标识和网络隔离信息的对应关系中获取所述目标服务实例的网络隔离信息,所述目标执行节点为所述目标服务实例所在的执行节点。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收目标业务方发送的隔离配置信息,所述目标业务方为所述目标服务实例对应的业务方;
关联所述目标执行节点的节点标识、所述目标服务实例的实例标识和所述隔离配置信息。
8.根据权利要求1所述的方法,其特征在于,所述获取待处理的服务请求的网络信息,包括:
获取待处理的服务请求的域名信息,将所述域名信息作为所述网络信息。
9.根据权利要求1-7任一项所述的方法,其特征在于,所述方法还包括:
响应于所述处理方式为非隔离方式,与目标终端建立传输控制协议TCP连接,所述目标终端为发送所述服务请求的终端;
通过所述TCP连接处理所述服务请求。
10.一种网络隔离装置,其特征在于,所述装置包括:
第一获取模块,用于获取待处理的服务请求的网络信息;
选择模块,用于根据所述服务请求的类别信息,从多个执行节点包括的多个服务实例中选择用于处理所述服务请求的目标服务实例;
第二获取模块,用于获取所述目标服务实例的隔离配置信息,所述隔离配置信息用于表示被隔离处理的服务请求的网络信息;
确定模块,用于根据所述网络信息和所述隔离配置信息,确定所述服务请求的处理方式;
终止模块,用于响应于所述处理方式为隔离方式,终止所述服务请求。
11.根据权利要求10所述的装置,其特征在于,所述隔离配置信息包括第一网络信息集合,所述第一网络信息集合中包括至少一个待隔离的服务请求的网络信息;所述确定模块,还用于如果所述网络信息在所述第一网络信息集合内,确定所述服务请求的处理方式是隔离方式。
12.根据权利要求10所述的装置,其特征在于,所述网络隔离信息包括第二网络信息集合,所述第二网络信息集合中包括至少一个允许处理的服务请求的网络信息;所述确定模块,还用于如果所述网络信息不在所述第二网络信息集合内,确定所述服务请求的处理方式是隔离方式。
13.根据权利要求10所述的装置,其特征在于,所述第二获取模块,还用于根据所述目标服务实例的实例标识,向所述目标服务实例发送第一获取请求;接收所述目标服务实例基于所述第一获取请求返回的所述网络隔离信息。
14.根据权利要求10所述的装置,其特征在于,所述第二获取模块,还用于向目标执行节点发送第二获取请求,所述目标执行节点为所述目标服务实例所在的执行节点,所述第二获取请求携带所述目标服务实例的实例标识;接收所述目标执行节点基于所述第二获取请求返回的所述目标服务实例的网络隔离信息。
15.根据权利要求10所述的装置,其特征在于,所述第二获取模块,还用于根据目标执行节点的节点标识和目标服务实例的实例标识,从本地已存储的节点标识、实例标识和网络隔离信息的对应关系中获取所述目标服务实例的网络隔离信息,所述目标执行节点为所述目标服务实例所在的执行节点。
16.根据权利要求15所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收目标业务方发送的隔离配置信息,所述目标业务方为所述目标服务实例对应的业务方;
关联模块,用于关联所述目标执行节点的节点标识、所述目标服务实例的实例标识和所述隔离配置信息。
17.根据权利要求10所述的装置,其特征在于,所述第一获取模块,还用于获取待处理的服务请求的域名信息,将所述域名信息作为所述网络信息。
18.根据权利要求10-16任一项所述的装置,其特征在于,所述装置还包括:
建立模块,用于响应于所述处理方式为非隔离方式,与目标终端建立传输控制协议TCP连接,所述目标终端为发送所述服务请求的终端;
处理模块,用于通过所述TCP连接处理所述服务请求。
19.一种服务器,其特征在于,所述服务器包括:
处理器和存储器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行以实现权利要求1至9任一项所述的网络隔离方法中的操作。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令,所述至少一条指令由处理器加载并执行以实现如权利要求1至9任一权利要求所述的网络隔离方法中所执行的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911404085.9A CN111147509A (zh) | 2019-12-30 | 2019-12-30 | 网络隔离方法、装置、服务器及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911404085.9A CN111147509A (zh) | 2019-12-30 | 2019-12-30 | 网络隔离方法、装置、服务器及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111147509A true CN111147509A (zh) | 2020-05-12 |
Family
ID=70522296
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911404085.9A Pending CN111147509A (zh) | 2019-12-30 | 2019-12-30 | 网络隔离方法、装置、服务器及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111147509A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110126168A1 (en) * | 2009-11-25 | 2011-05-26 | Crowdsource Technologies Ltd. | Cloud plarform for managing software as a service (saas) resources |
CN105051715A (zh) * | 2013-03-15 | 2015-11-11 | 光明测量公司 | 用于建立具备独立权限的基于云的实例的系统和方法 |
CN105100059A (zh) * | 2015-06-10 | 2015-11-25 | 努比亚技术有限公司 | 一种大并发量请求处理方法、装置及系统 |
CN105100051A (zh) * | 2015-05-29 | 2015-11-25 | 北京京东尚科信息技术有限公司 | 实现数据资源访问权限控制的方法及系统 |
CN107835195A (zh) * | 2017-12-04 | 2018-03-23 | 灵动元点信息技术(北京)有限公司 | 一种分布式网络应用节点集成管理方法 |
CN108702367A (zh) * | 2016-02-26 | 2018-10-23 | 甲骨文国际公司 | 用于发现和管理应用的安全性的技术 |
CN110287384A (zh) * | 2019-06-10 | 2019-09-27 | 北京百度网讯科技有限公司 | 智能服务方法、装置及设备 |
-
2019
- 2019-12-30 CN CN201911404085.9A patent/CN111147509A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110126168A1 (en) * | 2009-11-25 | 2011-05-26 | Crowdsource Technologies Ltd. | Cloud plarform for managing software as a service (saas) resources |
CN105051715A (zh) * | 2013-03-15 | 2015-11-11 | 光明测量公司 | 用于建立具备独立权限的基于云的实例的系统和方法 |
CN105100051A (zh) * | 2015-05-29 | 2015-11-25 | 北京京东尚科信息技术有限公司 | 实现数据资源访问权限控制的方法及系统 |
CN105100059A (zh) * | 2015-06-10 | 2015-11-25 | 努比亚技术有限公司 | 一种大并发量请求处理方法、装置及系统 |
CN108702367A (zh) * | 2016-02-26 | 2018-10-23 | 甲骨文国际公司 | 用于发现和管理应用的安全性的技术 |
CN107835195A (zh) * | 2017-12-04 | 2018-03-23 | 灵动元点信息技术(北京)有限公司 | 一种分布式网络应用节点集成管理方法 |
CN110287384A (zh) * | 2019-06-10 | 2019-09-27 | 北京百度网讯科技有限公司 | 智能服务方法、装置及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107102941B (zh) | 一种测试用例的生成方法及装置 | |
US10547618B2 (en) | Method and apparatus for setting access privilege, server and storage medium | |
EP3396905B1 (en) | Method and device for securely sending a message | |
CN111163130B (zh) | 一种网络服务系统及其数据传输方法 | |
CN113259479B (zh) | 一种数据处理方法以及设备 | |
WO2019199769A1 (en) | Cyber chaff using spatial voting | |
US7818752B2 (en) | Interface for application components | |
CN114095567B (zh) | 数据访问请求的处理方法、装置、计算机设备及介质 | |
CN106034138A (zh) | 一种远程服务调用方法及装置 | |
CN112346751B (zh) | 应用程序的安装方法、装置、电子设备和存储介质 | |
CN114328132A (zh) | 外部数据源的状态监控方法、装置、设备和介质 | |
CN114697391B (zh) | 数据处理方法、装置、设备以及存储介质 | |
CN114338051B (zh) | 区块链获取随机数的方法、装置、设备和介质 | |
CN111147509A (zh) | 网络隔离方法、装置、服务器及存储介质 | |
CN112765022B (zh) | 一种基于数据流的Webshell静态检测方法及电子设备 | |
CN109450885B (zh) | 网络数据拦截方法、装置、电子设备及存储介质 | |
CN113986995A (zh) | 请求分发方法、装置、存储介质及电子设备 | |
US9479579B2 (en) | Grouping processing method and system | |
CN113590352A (zh) | 一种数据调用方法、装置、设备及可读存储介质 | |
US11604877B1 (en) | Nested courses of action to support incident response in an information technology environment | |
CN107707383B (zh) | 放通处理方法、装置、第一网元及第二网元 | |
CN114979128A (zh) | 跨区域通信方法、装置及电子设备 | |
CN107704557B (zh) | 操作互斥数据的处理方法、装置、计算机设备和存储介质 | |
CN112261051B (zh) | 一种用户注册方法、装置及系统 | |
JP7305898B2 (ja) | 操作応答方法、操作応答装置、電子機器及び記憶媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200512 |
|
RJ01 | Rejection of invention patent application after publication |