CN111488306A - 攻防架构系统及攻防架构系统的搭建方法 - Google Patents
攻防架构系统及攻防架构系统的搭建方法 Download PDFInfo
- Publication number
- CN111488306A CN111488306A CN202010224752.1A CN202010224752A CN111488306A CN 111488306 A CN111488306 A CN 111488306A CN 202010224752 A CN202010224752 A CN 202010224752A CN 111488306 A CN111488306 A CN 111488306A
- Authority
- CN
- China
- Prior art keywords
- machine room
- cluster
- production
- room
- drilling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/161—Computing infrastructure, e.g. computer clusters, blade chassis or hardware partitioning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/26—Functional testing
- G06F11/261—Functional testing by simulating additional hardware, e.g. fault simulation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Stored Programmes (AREA)
Abstract
本发明实施例公开了一种攻防架构系统及攻防架构系统的搭建方法,系统包括至少一个生产机房和与至少一个生产机房隔离的演练机房,至少一个生产机房用于运行正常生产业务,其部署有应用集群、中间件集群、以及第一存储集群;第一存储集群为至少一个生产机房的共用存储集群;演练机房用于运行攻防演练,其部署有与至少一个生产机房相同的应用集群和中间件集群,还部署有第二存储集群;第二存储集群为演练机房使用的独立存储集群。利用与至少一个生产机房隔离的演练机房进行攻防演练,可以有效地与生产机房做到环境隔离、存储隔离,避免攻防演练产生的数据对生产机房的真实业务数据造成污染,也真实地检验系统的容错能力及技术风险防控等能力。
Description
技术领域
本发明实施例涉及攻防演练技术领域,具体涉及一种攻防架构系统及攻防架构系统的搭建方法。
背景技术
通过攻防演练,可以考验防守方的安全防护能力以及对突发事件的监测发现能力、应急处置等能力。通过对抗、复盘和研讨等方式,大大提升业务系统的正确性和健壮性。
传统的攻防演练目前都基于现有的生产环境或者灰度环境等进行,其直接使用生产环境或与生产环境共享的存储基建能力。这种直接基于现有的生产环境或者灰度环境等进行攻防演练存在巨大风险。当攻防场景、攻防手段等存在偏差时,会直接影响正常生产的业务运行、污染正常的业务数据等,甚至造成生产环境故障,造成用户在使用生产环境时的不良体验。为了最低限度的降低这种问题产生的可能性,现有在进行攻防演练时,攻防的场景和演练手段均需强依赖于业务人员的经验进行构造,再由攻防的蓝军进行故障注入演练,构造的业务人员则作为攻防的红军进行应战。一方面导致沟通成本高、效率低下,业务人员的经验也成了攻防演练环节的瓶颈;另一方面,由于攻防的场景由原始的红方提供,使得红方可以预先设置应战计划,导致攻防演练不够真实全面。现有的攻防架构图可以参照图1所示,生产环境包括如预发机房、灰度机房、生产A机房、生产B机房等,各个机房部署了相同的应用、中间件集群,各机房均共用存储集群,导致无论在哪个机房进行攻防演练,均可能存在污染正常的业务数据的风险。
发明内容
鉴于上述问题,提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的攻防架构系统及攻防架构系统的搭建方法。
根据本发明实施例的一个方面,提供了一种攻防架构系统,其包括至少一个生产机房和与至少一个生产机房隔离的演练机房,其中,
至少一个生产机房用于运行正常生产业务,其部署有应用集群、中间件集群、以及第一存储集群;第一存储集群为至少一个生产机房的共用存储集群;其中,应用集群包含至少一个应用,至少一个应用提供至少一个生产机房中至少一个生产业务的功能实现;中间件集群包含提供给应用集群实现功能流转的至少一个中间件;
演练机房用于运行攻防演练,其部署有与至少一个生产机房相同的应用集群和中间件集群,还部署有第二存储集群;第二存储集群为演练机房使用的独立存储集群。
可选地,系统还包括:
流量开关设置模块,用于控制业务流量与至少一个生产机房及演练机房的连通。
可选地,演练机房的部署过程具体包括:
由流量开关设置模块隔离业务流量进入演练机房;
将至少一个生产机房所部署的应用集群及中间件集群部署至演练机房,并根据演练机房的环境信息更新并部署配置文件中对应的环境属性信息;
根据至少一个生产机房的第一存储集群的元数据信息及数据映射关系,构建演练机房的第二存储集群中的数据结构;将至少一个生产机房的第一存储集群的元数据同步至演练机房的第二存储集群;
建立演练机房中应用集群及中间件集群与第二存储集群的数据映射关系。
可选地,演练机房进一步用于:
启动演练机房进行业务功能测试验证和/或压力测试验证,以检测演练机房是否正常运行。
可选地,演练机房进一步用于:
由流量开关设置模块开启业务流量进入演练机房,以根据实际发生业务进行攻防演练。
可选地,演练机房进一步用于:
将故障注入演练机房以进行攻防演练;其中,故障注入包括全链路业务场景的故障注入和/或运维故障注入。
可选地,系统还包括:
预发机房,用于测试验证生产业务,其部署有与至少一个生产机房相同的应用集群和中间件集群,以及与至少一个生产机房共用第一存储集群。
根据本发明实施例的另一方面,提供了一种攻防架构系统的搭建方法,其包括:
根据至少一个生产机房的部署,部署与至少一个生产机房隔离的演练机房;至少一个生产机房为运行正常生产业务的机房,演练机房部署有与至少一个生产机房相同的应用集群和中间件集群;其中,应用集群包含至少一个应用,至少一个应用提供至少一个生产机房中至少一个生产业务的功能实现;中间件集群包含提供给应用集群实现功能流转的至少一个中间件;
部署演练机房的第二存储集群,第二存储集群为演练机房使用的独立存储集群。
可选地,根据至少一个生产机房的部署,部署与至少一个生产机房隔离的演练机房进一步包括:
获取至少一个生产机房已部署的应用集群及中间件集群;
将至少一个生产机房已部署的应用集群及中间件集群部署至演练机房;
根据演练机房的环境信息更新并部署应用集群及中间件集群所需配置文件中对应的环境属性信息。
可选地,部署演练机房的第二存储集群进一步包括:
根据至少一个生产机房的第一存储集群的元数据信息及数据映射关系,构建演练机房的第二存储集群中的数据结构;第一存储集群为至少一个生产机房的共用存储集群;
将至少一个生产机房的第一存储集群的元数据同步至演练机房的第二存储集群;
建立演练机房中应用集群及中间件集群与第二存储集群的数据映射关系。
可选地,在根据至少一个生产机房的部署,部署与至少一个生产机房隔离的演练机房之前,方法还包括:
隔离业务流量进入演练机房。
可选地,方法还包括:
启动演练机房进行业务功能测试验证和/或压力测试验证,以检测演练机房是否正常运行。
可选地,方法还包括:
由流量开关设置模块开启业务流量进入演练机房,以根据实际发生业务进行攻防演练。
可选地,方法还包括:
将故障注入演练机房以进行攻防演练;其中,故障注入包括全链路业务场景的故障注入和/或运维故障注入。
根据本发明实施例的又一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,处理器、存储器和通信接口通过通信总线完成相互间的通信;
存储器用于存放至少一可执行指令,可执行指令使处理器执行上述攻防架构系统的搭建方法对应的操作。
根据本发明实施例的再一方面,提供了一种计算机存储介质,存储介质中存储有至少一可执行指令,可执行指令使处理器执行如上述攻防架构系统的搭建方法对应的操作。
根据本发明实施例提供的攻防架构系统及攻防架构系统的搭建方法,攻防架构系统包括至少一个生产机房和与至少一个生产机房隔离的演练机房,至少一个生产机房用于运行正常生产业务,其部署有应用集群、中间件集群、以及第一存储集群;第一存储集群为至少一个生产机房的共用存储集群;演练机房用于运行攻防演练,其部署有与至少一个生产机房相同的应用集群和中间件集群,还部署有第二存储集群;第二存储集群为演练机房使用的独立存储集群。利用与至少一个生产机房隔离的演练机房进行攻防演练,可以有效地与生产机房做到环境隔离、存储隔离,一方面避免攻防演练产生的数据对生产机房的真实业务数据造成污染,保障生产机房的业务数据的安全性,减少真实业务数据污染所造成的用户体验低等问题;另一方面,利用演练机房可以随时随地对其所部署的任一系统、业务场景等发起的攻防,达到全面、真实、有效地对演练机房所部署的系统的检验,从而准确真实地检验系统的容错能力及技术风险防控等能力。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明实施例的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明实施例的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据现有攻防架构系统的结构框图;
图2示出了根据本发明一个实施例的攻防架构系统的结构框图;
图3示出了根据本发明一个实施例的攻防架构系统的搭建方法的流程示意图;
图4示出了根据本发明一个实施例的一种计算设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图2示出了根据本发明一个实施例的攻防架构系统的功能框图,如图2所示,攻防架构系统包括至少一个生产机房210和与至少一个生产机房隔离的演练机房220。
至少一个生产机房210用于运行正常生产业务,其部署有应用集群、中间件集群、以及第一存储集群。应用集群中包含多个应用,搭配中间件集群,得到正常运行生产业务的系统。一个生产机房中可以部署一个或多个系统,一个机房可以支撑不同系统的正常运行。生产机房可以为一个或多个,如生产机房和备份生产机房、在不同地域设置的不同的生产机房等。如图2所示,生产A机房和生产B机房均为用于运行正常生产业务的生产机房,两者都部署有应用集群、中间件集群。若两个生产机房均部署了相同的系统,则两者部署的应用集群、中间件集群为相同的应用集群、中间件集群(保持两个生产机房运行的系统功能一致);若两个生产机房部署不同的系统,则根据不同的系统功能,部署各个系统对应的应用集群、中间件集群。
应用集群包含至少一个应用,应用集群中的应用提供生产机房中至少一个生产业务的功能实现,不同应用实现了具体的各个生产业务的不同功能。中间件集群包含至少一个中间件,中间件辅助应用集群中的应用,实现各生产业务的功能流转,连接实现生产业务的功能的各应用和底层操作系统。中间件集群中包括如配置中间件、消息中间件、调度中间件、数据库中间件等。
第一存储集群为至少一个生产机房的共用存储集群,如图2所示,生产A机房和生产B机房共用同一个第一存储集群。生产机房中应用集群中各应用执行时、中间件集群中各中间件执行时产生的数据均存储在第一存储集群中。第一存储集群可以采用主备方式,一份数据存储多处同步的存储模式。如图2所示,包括主第一存储集群和备第一存储集群,主第一存储集群和备第一存储集群之间保持数据同步。备第一存储集群可以包括一个或多个,此处不做限定。第一存储集群可以根据业务实际需求,采用如数据库DB、结构数据存储系统tair、结构化数据的分布式存储系统hbase等,此处不做限定。
对于至少一个生产机房210,用户可以通过如访问IP地址的方式来访问至少一个生产机房210,从而使业务流量进入至少一个生产机房210,使其运行正常生产业务。
演练机房220用于运行攻防演练,其部署有与至少一个生产机房相同的应用集群和中间件集群,还部署有第二存储集群。演练机房220为与至少一个生产机房210环境隔离、存储隔离的机房,优选地,可以将演练机房220设置在与生产机房210不同的环境中,如不同的地域中等。由于第二存储集群为演练机房所使用的独立存储集群,保障了演练机房在进行攻防演练的过程中所产生的数据不会污染第一存储集群中正常生产业务所产生的数据。
对于演练机房220,其基于生产机房210中已经通过测试验收的应用集群及中间件集群进行部署,保障在攻防演练时,其攻防演练的系统与正常生产业务的系统相同。通过对演练机房220运行攻防演练,达到对正常生产业务的生产机房进行攻防演练的效果。
可选地,攻防架构系统还可以包括:预发机房230。预发机房230用于测试验证生产业务,预发机房230为生产机房210正式发布前的最后一次测试所使用的机房。预发机房230部署保持与生产机房210的一致性,其部署有与至少一个生产机房210相同的应用集群和中间件集群,以及与至少一个生产机房210共用第一存储集群,以便采用正式的系统来验证实际的生产业务。但由于预防机房230与生产机房210共用第一存储集群,因此,无法直接使用预防机房230进行攻防演练,以避免对第一存储集群可能造成的数据污染。此处,演练机房220在部署时,除做到与生产机房210的环境隔离、存储隔离外,也做到与预防机房230环境隔离、存储隔离,避免了对第一存储集群造成数据污染。
演练机房220在部署过程,需要做到严禁任何业务流量进入演练机房220。在攻防架构系统还包括了流量开关设置模块(图中未示出)。流量开关设置模块用于控制业务流量与至少一个生产机房210及演练机房220的连通。在演练机房220部署过程中,流量开关设置模块控制业务流量仅与至少一个生产机房210连通,隔离业务流量进入演练机房220,即用户访问产生的真实的业务流量仅进入至少一个生产机房210中,当前演练机房220无业务流量注入。
在隔离业务流量进入演练机房220后,将至少一个生产机房210所部署的应用集群及中间件集群部署至演练机房220,并根据演练机房的环境信息更新并部署配置文件中对应的环境属性信息。配置文件中涉及的环境属性信息包括应用集群、中间件集群等所需要的相关配置,如配置中心、消息配置、调度信息、监控信息元等配置文件,这些配置文件里的环境属性信息需要根据演练机房220环境信息进行更新,如访问地址、接口信息、服务器地址等环境信息。更新配置文件中对应的环境属性信息后,使得演练机房220与生产机房210的环境彻底隔离。
根据至少一个生产机房210现有的第一存储集群导出至少一个生产机房210的第一存储集群的元数据信息及数据映射关系,根据至少一个生产机房210的第一存储集群的元数据信息及数据映射关系,构建演练机房220的第二存储集群中的数据结构,再将至少一个生产机房210的第一存储集群的元数据同步至演练机房220的第二存储集群中,保障演练机房220的第二存储集群与生产机房210的第一存储集群的数据同步。进一步,在构建第二存储集群中的数据结构前,可以根据演练机房220第二存储集群自身存储硬件的属性对其进行如分区处理等,以保障演练机房220第二存储集群的存储正常、存储安全等。
在构建演练机房220第二存储集群后,建立演练机房220中应用集群及中间件集群与第二存储集群的数据映射关系,保障演练机房220的正常运行。
以上对演练机房220的部署完成后,可以通过检测应用集群中各应用的启动正确性,对第二存储集群中数据结构、配置信息进行验证等,以保障演练机房220的部署正确。启动演练机房220对其进行业务功能测试验证、压力测试验证等,以检测演练机房220是否正常运行。业务功能测试验证包括如验证业务功能是否正确流转、数据写入第二存储集群中数据库是否正确等;还需要进一步验证是否与生产机房210完全隔离,即数据没有写入第一存储集群中等。压力测试验证包括如构造压测场景,引入业务的全链路压力测试场景,建立该演练机房220的故障发现能力、应急预案等。
在演练机房220完成以上业务功能测试验证、压力测试验证等后,可以对其进行攻防演练。攻防演练可以通过如由流量开关设置模块开启业务流量进入演练机房220,演练机房220注入实际发生业务,根据实际发生业务中的具体问题进行攻防演练。如流量开关设置模块可以将某一用户及其相关的业务流量整体注入演练机房220,根据该用户的业务流量对演练机房220进行攻防演练;或者,流量开关设置模块设置业务流量分支,将1%的业务流量注入演练机房220,根据1%的业务流量对演练机房220进行攻防演练等。这些业务流量与生产机房210环境隔离、存储隔离,不会影响生产机房210中其它业务流量的正常运行。
或者,攻防演练还可以通过将故障注入演练机房220,进行攻防演练。故障注入包括全链路业务场景的故障注入、运维故障注入等。由于演练机房220与生产机房210环境隔离、存储隔离,可以对演练机房220进行任何业务场景的故障注入、任何运维场景的故障注入,不会对生产机房210造成影响,且以上故障可以无需强依赖于业务人员的经验进行构造,可以由任一人员进行构造,构造的故障可以涵盖全链路业务场景、运维场景等,应战的业务人员不会提前获知故障,无法提前对其预设应战计划,使攻防演练更真实、有效、全面。全链路故障注入可以根据实际业务,如从页面访问开始进行点击、填写等各项操作,向后提交,直至业务链路完成等;运维故障注入包括如异常告警等。
进一步,由于演练机房220为真实搭建的机房,可以基于演练机房220进行全链路业务的故障注入、运维故障注入等,与虚拟环境下的演练相比,虚拟环境下的演练无法做到演练机房220的全链路业务的故障注入,如其无法从页面实际进行点击操作等,因此,虚拟环境下无法做到真实的全链路业务的故障注入、运维故障注入等。
根据本发明实施例提供的攻防架构系统,攻防架构系统包括至少一个生产机房和与至少一个生产机房隔离的演练机房,至少一个生产机房用于运行正常生产业务,其部署有应用集群、中间件集群、以及第一存储集群;第一存储集群为至少一个生产机房的共用存储集群;演练机房用于运行攻防演练,其部署有与至少一个生产机房相同的应用集群和中间件集群,还部署有第二存储集群;第二存储集群为演练机房使用的独立存储集群。利用与至少一个生产机房隔离的演练机房进行攻防演练,可以有效地与生产机房做到环境隔离、存储隔离,一方面避免攻防演练产生的数据对生产机房的真实业务数据造成污染,保障生产机房的业务数据的安全性,减少真实业务数据污染所造成的用户体验低等问题;另一方面,利用演练机房可以随时随地对其所部署的任一系统、业务场景等发起的攻防,达到全面、真实、有效地对演练机房所部署的系统的检验,从而准确真实地检验系统的容错能力及技术风险防控等能力。
图3示出了根据本发明一个实施例的攻防架构系统的搭建方法的流程示意图,如图3所示,该方法包括如下步骤:
步骤S301,根据至少一个生产机房的部署,部署与至少一个生产机房隔离的演练机房。
考虑到直接使用生产机房进行攻防演练,有可能造成数据污染,本实施例中搭建了攻防架构系统。攻防架构系统包括至少一个生产机房和与至少一个生产机房隔离的演练机房。至少一个生产机房为运行正常生产业务的机房,其部署有应用集群、中间件集群、以及第一存储集群。应用集群中包含多个应用,搭配对应的中间件集群,得到正常运行生产业务的系统。进一步,一个生产机房中可以部署一个或多个系统,一个机房可以支撑不同系统的正常运行。生产机房可以为一个或多个,如生产机房和备份生产机房、在不同地域设置的不同的生产机房等。
演练机房与至少一个生产机房隔离,做到环境隔离、存储隔离,优选地,可以将演练机房设置在与生产机房不同的环境中,如不同的地域中等,演练机房的第二存储集群也与生产机房的第一存储集群相互独立,存储隔离,从而保障在其进行攻防演练时,不会对生产机房中的数据造成污染。
演练机房在部署时,基于生产机房中已经通过测试验收的应用集群及中间件集群进行部署,保障在攻防演练时,其攻防演练的系统与正常生产业务的系统相同。通过对演练机房运行攻防演练,达到对正常生产业务的生产机房进行攻防演练的效果。在演练机房部署与至少一个生产机房相同的应用集群和中间件集群时,还需要做到严禁任何业务流量进入演练机房。因此,在将应用集群和中间件集群进行部署前,还需隔离业务流量进入演练机房。通过流量开关设置模块控制业务流量仅与至少一个生产机房连通,隔离业务流量进入演练机房,即用户访问产生的真实的业务流量仅进入至少一个生产机房中,当前演练机房无业务流量注入。然后,获取至少一个生产机房已部署的应用集群及中间件集群。将至少一个生产机房已部署的应用集群及中间件集群部署至演练机房,并根据演练机房的环境信息更新并部署应用集群及中间件集群所需配置文件中对应的环境属性信息。配置文件中涉及的环境属性信息包括应用集群、中间件集群等所需要的相关配置,如配置中心、消息配置、调度信息、监控信息元等配置文件,这些配置文件里的环境属性信息需要根据演练机房环境信息进行更新,如访问地址、接口信息、服务器地址等环境信息。更新配置文件中对应的环境属性信息后,使得演练机房与生产机房的环境彻底隔离。
可选地,在攻防架构系统还可以包括预发机房。预发机房用于测试验证生产业务,预发机房为生产机房正式发布前的最后一次测试所使用的机房。预发机房部署保持与生产机房的一致性,其部署有与至少一个生产机房相同的应用集群和中间件集群,以及与至少一个生产机房共用第一存储集群,以便采用正式的系统来验证实际的生产业务。但由于预防机房与生产机房共用第一存储集群,因此,无法直接使用预防机房进行攻防演练,以避免对第一存储集群可能造成的数据污染。此处,演练机房在部署时,除做到与生产机房的环境隔离、存储隔离外,也做到与预防机房环境隔离、存储隔离,避免了对第一存储集群造成数据污染。
步骤S302,部署演练机房的第二存储集群。
第二存储集群为演练机房使用的独立存储集群。由于第二存储集群与至少一个生产机房的第一存储集群存储隔离,保障了演练机房在进行攻防演练的过程中所产生的数据不会污染第一存储集群中正常生产业务所产生的数据。
第一存储集群为至少一个生产机房的共用存储集群,如图2所示,其中,生产A机房和生产B机房共用同一个第一存储集群。生产机房中应用集群中各应用执行时、中间件集群中各中间件执行时产生的数据均存储在第一存储集群中。第一存储集群可以采用主备方式,一份数据存储多处同步的存储模式。如图2所示,包括主第一存储集群和备第一存储集群,主第一存储集群和备第一存储集群之间保持数据同步。备第一存储集群可以包括一个或多个,此处不做限定。第一存储集群可以根据业务实际需求,采用如数据库DB、结构数据存储系统tair、结构化数据的分布式存储系统hbase等,此处不做限定。
在部署演练机房的第二存储集群时,根据至少一个生产机房现有的第一存储集群导出至少一个生产机房的第一存储集群的元数据信息及数据映射关系,根据至少一个生产机房的第一存储集群的元数据信息及数据映射关系,构建演练机房的第二存储集群中的数据结构,再将至少一个生产机房的第一存储集群的元数据同步至演练机房的第二存储集群中,保障演练机房的第二存储集群与生产机房的第一存储集群的数据同步。进一步,在构建第二存储集群中的数据结构前,可以根据演练机房第二存储集群自身存储硬件的属性对其进行如分区处理等,以保障演练机房第二存储集群的存储正常、存储安全等。
在构建演练机房第二存储集群后,建立演练机房中应用集群及中间件集群与第二存储集群的数据映射关系,保障演练机房的正常运行。
以上对演练机房的部署完成后,可以通过检测应用集群中各应用的启动正确性,对第二存储集群中数据结构、配置信息进行验证等,以保障演练机房的部署正确。启动演练机房对其进行业务功能测试验证、压力测试验证等,以检测演练机房是否正常运行。业务功能测试验证包括如验证业务功能是否正确流转、数据写入第二存储集群中数据库是否正确等;还需要进一步验证是否与生产机房完全隔离,即数据没有写入第一存储集群中等。压力测试验证包括如构造压测场景,引入业务的全链路压力测试场景,建立该演练机房的故障发现能力、应急预案等。
在演练机房完成以上业务功能测试验证、压力测试验证等后,可以对其进行攻防演练。攻防演练可以通过如由流量开关设置模块开启业务流量进入演练机房,演练机房注入实际发生业务,根据实际发生业务中的具体问题进行攻防演练。如流量开关设置模块可以将某一用户及其相关的业务流量整体注入演练机房,根据该用户的业务流量对演练机房进行攻防演练;或者,流量开关设置模块设置业务流量分支,将1%的业务流量注入演练机房,根据1%的业务流量对演练机房进行攻防演练等。这些业务流量与生产机房环境隔离、存储隔离,不会影响生产机房中其它业务流量的正常运行。
或者,攻防演练还可以通过将故障注入演练机房,进行攻防演练。故障注入包括全链路业务场景的故障注入、运维故障注入等。由于演练机房与生产机房环境隔离、存储隔离,可以对演练机房进行任何业务场景的故障注入、任何运维场景的故障注入,不会对生产机房造成影响,且以上故障可以无需强依赖于业务人员的经验进行构造,可以由任一人员进行构造,构造的故障可以涵盖全链路业务场景、运维场景等,应战的业务人员不会提前获知故障,无法提前对其预设应战计划,使攻防演练更真实、有效、全面。全链路故障注入可以根据实际业务,如从页面访问开始进行点击、填写等各项操作,向后提交,直至业务链路完成等;运维故障注入包括如异常告警等。
进一步,由于演练机房为真实搭建的机房,可以基于演练机房进行全链路业务的故障注入、运维故障注入等,与虚拟环境下的演练相比,虚拟环境下的演练无法做到演练机房的全链路业务的故障注入,如其无法从页面实际进行点击操作等,因此,虚拟环境下无法做到真实的全链路业务的故障注入、运维故障注入等。
根据本发明实施例提供的攻防架构系统的搭建方法,根据至少一个生产机房的部署,部署与至少一个生产机房隔离的演练机房;至少一个生产机房为运行正常生产业务的机房,演练机房部署有与至少一个生产机房相同的应用集群和中间件集群;部署演练机房的第二存储集群,第二存储集群为演练机房使用的独立存储集群。通过搭建与至少一个生产机房隔离的演练机房,利用演练机房进行攻防演练,可以有效地与生产机房做到环境隔离、存储隔离,一方面避免攻防演练产生的数据对生产机房的真实业务数据造成污染,保障生产机房的业务数据的安全性,减少真实业务数据污染所造成的用户体验低等问题;另一方面,利用演练机房可以随时随地对其所部署的任一系统、业务场景等发起的攻防,达到全面、真实、有效地对演练机房所部署的系统的检验,从而准确真实地检验系统的容错能力及技术风险防控等能力。
本发明实施例还提供了一种非易失性计算机存储介质,计算机存储介质存储有至少一可执行指令,可执行指令可执行上述任意方法实施例中的攻防架构系统的搭建方法。
图4示出了根据本发明实施例的一种计算设备的结构示意图,本发明实施例的具体实施例并不对计算设备的具体实现做限定。
如图4所示,该计算设备可以包括:处理器(processor)402、通信接口(Communications Interface)404、存储器(memory)406、以及通信总线408。
其中:
处理器402、通信接口404、以及存储器406通过通信总线408完成相互间的通信。
通信接口404,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器402,用于执行程序410,具体可以执行上述攻防架构系统的搭建方法实施例中的相关步骤。
具体地,程序410可以包括程序代码,该程序代码包括计算机操作指令。
处理器402可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例实施例的一个或多个集成电路。计算设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器406,用于存放程序410。存储器406可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序410具体可以用于使得处理器402执行上述任意方法实施例中的攻防架构系统的搭建方法。程序410中各步骤的具体实现可以参见上述攻防架构系统的搭建实施例中的相应步骤和单元中对应的描述,在此不赘述。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程描述,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明实施例的内容,并且上面对特定语言所做的描述是为了披露本发明实施例的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明实施例的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明实施例要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明实施例的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明实施例的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明实施例的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例中的一些或者全部部件的一些或者全部功能。本发明实施例还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明实施例的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明实施例进行说明而不是对本发明实施例进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明实施例可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种攻防架构系统,其包括至少一个生产机房和与所述至少一个生产机房隔离的演练机房,其中,
所述至少一个生产机房用于运行正常生产业务,其部署有应用集群、中间件集群、以及第一存储集群;所述第一存储集群为所述至少一个生产机房的共用存储集群;其中,所述应用集群包含至少一个应用,所述至少一个应用提供所述至少一个生产机房中至少一个生产业务的功能实现;所述中间件集群包含提供给所述应用集群实现功能流转的至少一个中间件;
所述演练机房用于运行攻防演练,其部署有与所述至少一个生产机房相同的应用集群和中间件集群,还部署有第二存储集群;所述第二存储集群为所述演练机房使用的独立存储集群。
2.根据权利要求1所述的系统,其中,所述系统还包括:
流量开关设置模块,用于控制业务流量与所述至少一个生产机房及所述演练机房的连通。
3.根据权利要求2所述的系统,其中,所述演练机房的部署过程具体包括:
由所述流量开关设置模块隔离业务流量进入所述演练机房;
将所述至少一个生产机房所部署的应用集群及中间件集群部署至所述演练机房,并根据所述演练机房的环境信息更新并部署配置文件中对应的环境属性信息;
根据所述至少一个生产机房的第一存储集群的元数据信息及数据映射关系,构建所述演练机房的第二存储集群中的数据结构;将所述至少一个生产机房的第一存储集群的元数据同步至所述演练机房的第二存储集群;
建立所述演练机房中应用集群及中间件集群与所述第二存储集群的数据映射关系。
4.根据权利要求3所述的系统,其中,所述演练机房进一步用于:
启动所述演练机房进行业务功能测试验证和/或压力测试验证,以检测所述演练机房是否正常运行。
5.根据权利要求3所述的系统,其中,所述演练机房进一步用于:
由所述流量开关设置模块开启业务流量进入所述演练机房,以根据实际发生业务进行攻防演练。
6.根据权利要求3所述的系统,其中,所述演练机房进一步用于:
将故障注入所述演练机房以进行攻防演练;其中,所述故障注入包括全链路业务场景的故障注入和/或运维故障注入。
7.根据权利要求1-6中任一项所述的系统,其中,所述系统还包括:
预发机房,用于测试验证生产业务,其部署有与所述至少一个生产机房相同的应用集群和中间件集群,以及与所述至少一个生产机房共用第一存储集群。
8.一种攻防架构系统的搭建方法,其包括:
根据至少一个生产机房的部署,部署与所述至少一个生产机房隔离的演练机房;所述至少一个生产机房为运行正常生产业务的机房,所述演练机房部署有与所述至少一个生产机房相同的应用集群和中间件集群;其中,所述应用集群包含至少一个应用,所述至少一个应用提供所述至少一个生产机房中至少一个生产业务的功能实现;所述中间件集群包含提供给所述应用集群实现功能流转的至少一个中间件;
部署所述演练机房的第二存储集群,所述第二存储集群为所述演练机房使用的独立存储集群。
9.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求8所述的攻防架构系统的搭建方法对应的操作。
10.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求8所述的攻防架构系统的搭建方法对应的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010224752.1A CN111488306A (zh) | 2020-03-26 | 2020-03-26 | 攻防架构系统及攻防架构系统的搭建方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010224752.1A CN111488306A (zh) | 2020-03-26 | 2020-03-26 | 攻防架构系统及攻防架构系统的搭建方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111488306A true CN111488306A (zh) | 2020-08-04 |
Family
ID=71791680
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010224752.1A Pending CN111488306A (zh) | 2020-03-26 | 2020-03-26 | 攻防架构系统及攻防架构系统的搭建方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111488306A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112231654A (zh) * | 2020-10-16 | 2021-01-15 | 北京天融信网络安全技术有限公司 | 运维数据隔离方法、装置、电子设备及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140114644A1 (en) * | 2012-10-19 | 2014-04-24 | Oracle International Corporation | Method and apparatus for simulated failover testing |
CN105024990A (zh) * | 2015-03-30 | 2015-11-04 | 清华大学 | 网络安全攻防演练环境部署方法及装置 |
CN106781792A (zh) * | 2016-11-21 | 2017-05-31 | 国网四川省电力公司技能培训中心 | 一种电力信息应急演练培训系统 |
CN108259244A (zh) * | 2018-01-15 | 2018-07-06 | 口碑(上海)信息技术有限公司 | 客户端应用故障演练方法及装置 |
CN108415792A (zh) * | 2018-01-15 | 2018-08-17 | 阿里巴巴集团控股有限公司 | 容灾系统、方法、装置及设备 |
CN109802841A (zh) * | 2017-11-16 | 2019-05-24 | 四川勇超网络科技有限公司 | 一种基于云平台的网络攻防靶场系统 |
CN110308969A (zh) * | 2019-06-26 | 2019-10-08 | 深圳前海微众银行股份有限公司 | 故障演练方法、装置、设备及计算机存储介质 |
CN110730095A (zh) * | 2019-10-09 | 2020-01-24 | 北京华电天仁电力控制技术有限公司 | 一种面向云计算平台的数据安全应急演练方法和系统 |
-
2020
- 2020-03-26 CN CN202010224752.1A patent/CN111488306A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140114644A1 (en) * | 2012-10-19 | 2014-04-24 | Oracle International Corporation | Method and apparatus for simulated failover testing |
CN105024990A (zh) * | 2015-03-30 | 2015-11-04 | 清华大学 | 网络安全攻防演练环境部署方法及装置 |
CN106781792A (zh) * | 2016-11-21 | 2017-05-31 | 国网四川省电力公司技能培训中心 | 一种电力信息应急演练培训系统 |
CN109802841A (zh) * | 2017-11-16 | 2019-05-24 | 四川勇超网络科技有限公司 | 一种基于云平台的网络攻防靶场系统 |
CN108259244A (zh) * | 2018-01-15 | 2018-07-06 | 口碑(上海)信息技术有限公司 | 客户端应用故障演练方法及装置 |
CN108415792A (zh) * | 2018-01-15 | 2018-08-17 | 阿里巴巴集团控股有限公司 | 容灾系统、方法、装置及设备 |
CN110308969A (zh) * | 2019-06-26 | 2019-10-08 | 深圳前海微众银行股份有限公司 | 故障演练方法、装置、设备及计算机存储介质 |
CN110730095A (zh) * | 2019-10-09 | 2020-01-24 | 北京华电天仁电力控制技术有限公司 | 一种面向云计算平台的数据安全应急演练方法和系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112231654A (zh) * | 2020-10-16 | 2021-01-15 | 北京天融信网络安全技术有限公司 | 运维数据隔离方法、装置、电子设备及存储介质 |
CN112231654B (zh) * | 2020-10-16 | 2024-02-06 | 北京天融信网络安全技术有限公司 | 运维数据隔离方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113206763B (zh) | 一种适应于物联管理平台的仿真测试系统及方法 | |
CN108200124B (zh) | 一种高可用应用程序架构及构建方法 | |
CN105468393B (zh) | 模块版本升级方法及终端装置 | |
CN106911648B (zh) | 一种环境隔离方法及设备 | |
CN111324412A (zh) | 服务部署方法、设备及存储介质 | |
CN111274077A (zh) | 一种磁盘阵列可靠性测试方法、系统、终端及存储介质 | |
CN110196804B (zh) | 业务的测试方法和装置、存储介质、电子装置 | |
CN112506702A (zh) | 数据中心容灾方法、装置、设备及存储介质 | |
CN107370622A (zh) | 一种虚拟机复用宿主机mac和ip的方法及系统 | |
CN106547590A (zh) | 隐私应用程序的启动方法和启动装置 | |
CN113535532B (zh) | 故障注入系统、方法和装置 | |
CN106941418B (zh) | Ssl vpn配置信息的同步方法和装置 | |
Bouchenak et al. | From autonomic to self-self behaviors: The jade experience | |
CN116743619B (zh) | 网络服务的测试方法、装置、设备及存储介质 | |
CN111488306A (zh) | 攻防架构系统及攻防架构系统的搭建方法 | |
CN113630445B (zh) | 一种基于区块链网络的数据存储方法及装置 | |
CN113268206B (zh) | 一种网络靶场资源热插拔实现方法与系统 | |
CN115134367A (zh) | 云平台和业务处理方法 | |
CN111737130B (zh) | 公有云多租户认证服务测试方法、装置、设备及储存介质 | |
CN111258718B (zh) | 一种基于虚拟化平台的高可用服务测试方法及系统 | |
CN113238950A (zh) | 一种分布式系统测试的系统及方法、存储介质、电子设备 | |
CN114679295A (zh) | 防火墙安全配置方法及装置 | |
CN114915545B (zh) | 基于dhcp网络集群的应用调度部署管理方法 | |
CN111600742B (zh) | 动态切换分布式存储系统主监视器的方法及系统 | |
CN112019527B (zh) | 一种嵌入式设备固定mac地址的设置方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |