CN112422539A - 基于消息队列的策略同步下发方法 - Google Patents

基于消息队列的策略同步下发方法 Download PDF

Info

Publication number
CN112422539A
CN112422539A CN202011235237.XA CN202011235237A CN112422539A CN 112422539 A CN112422539 A CN 112422539A CN 202011235237 A CN202011235237 A CN 202011235237A CN 112422539 A CN112422539 A CN 112422539A
Authority
CN
China
Prior art keywords
message
strategy
consumer
target
message queue
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011235237.XA
Other languages
English (en)
Other versions
CN112422539B (zh
Inventor
胡新
郑元兵
王健
王吉哲
谢应昭
龚黎慧倩
钟淘淘
霍晓波
石琳姗
陈柯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Chongqing Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Chongqing Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Chongqing Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202011235237.XA priority Critical patent/CN112422539B/zh
Publication of CN112422539A publication Critical patent/CN112422539A/zh
Application granted granted Critical
Publication of CN112422539B publication Critical patent/CN112422539B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于消息队列的策略同步下发方法,包括如下步骤:S1.构建消费者集合;S2.消费者从消息队列中开始消费策略消息;S3.判断与消费者一一对应的目标接收者是否在线,若是,则消费者向目标接收者发送策略消息;若否,则消费者不发送策略消息,并在延迟时间t1后,重新执行步骤S3;S4.目标接收者对策略消息进行下发处理;S5.判断目标接收者对策略消息进行下发处理是否成功,若是,则返回下发已完成的确认消息;若否,则在延迟时间t2后,重新执行步骤S3。本发明能够有效地实现策略的同步下发,降低了交互系统的耦合度,减少了对消息队列的性能消耗,节省了系统资源。

Description

基于消息队列的策略同步下发方法
技术领域
本发明涉及互联网领域,具体涉及一种基于消息队列的策略同步下发方法。
背景技术
随着云计算技术的迅速崛起以及在各行各业逐步落地,云内虚机安全问题也成为了时下企业最为关注的话题。要实现云内对虚拟机的网络层安全防护,就必须要在每台主机下部署虚拟化的防火墙安全组件,从而整体构成分布式的防火墙安全组件,并通过控制器对所有分布式防火墙进行统一管理。
由于虚拟化的防火墙系统集成了DDOS、访问控制、入侵防御、防病毒以及应用识别等数十种安全功能,使得系统的架构设计极为复杂,那么对CPU、内存的占用也就比较苛刻;在对云环境中的虚机进行东西向以及南北向流量的清洗等操作时,需要对分布式防火墙系统进行策略的同步下发,通常情况下,是在虚拟化的防火墙系统中进行处理,但是这样一来就加重了虚拟化的防火墙系统的处理压力,也可能会带来云内虚机安全隐患,而等同类型的分布式NFV产品的策略同步解决方案也面临同样的挑战。
发明内容
有鉴于此,本发明的目的是克服现有技术中的缺陷,提供基于消息队列的策略同步下发方法,能够有效地实现策略的同步下发,降低了交互系统的耦合度,减少了对消息队列的性能消耗,节省了系统资源。
本发明的基于消息队列的策略同步下发方法,包括如下步骤:
S1.构建消费者集合{A1,A2,…,Ai,…,Ak};其中,所述Ai为第i个消费者,i为消费者编号,k为消费者总个数;
S2.生产者发送策略消息到消息队列中,所述消费者集合中的各个消费者从所述消息队列中开始消费所述策略消息;
S3.判断与消费者一一对应的目标接收者是否在线,若是,则所述消费者向所述目标接收者发送所述策略消息;若否,则所述消费者不发送所述策略消息,并在延迟时间t1后,重新执行步骤S3;
S4.所述目标接收者对所述策略消息进行下发处理;
S5.判断所述目标接收者对所述策略消息进行下发处理是否成功,若是,则返回下发已完成的确认消息;若否,则在延迟时间t2后,重新执行步骤S3。
进一步,所述生产者与所述消费者设置于同一服务器。
进一步,步骤S3中,所述消费者通过配置目标接收者的地址,使得所述消费者与所述目标接收者一一对应。
进一步,步骤S3中,根据如下步骤,判断与消费者一一对应的目标接收者是否在线:
S31.向所述目标接收者发送能反馈在线状态的HTTPS请求;
S32.若所述HTTPS请求返回连通状态,则所述目标接收者在线;若所述HTTPS请求返回非连通状态,则所述目标接收者不在线。
进一步,步骤S3中,还可以根据如下步骤,判断与消费者一一对应的目标接收者是否在线:
S301.向所述目标接收者发送Ping命令;
S302.若所述Ping命令返回连通数据包,则所述目标接收者在线;若所述Ping命令返回非连通数据包,则所述目标接收者不在线。
进一步,步骤S5中,判断所述目标接收者对所述策略消息进行下发处理是否成功,具体包括:
获取所述目标接收者返回的下发处理结果;
解析所述下发处理结果得到结果状态码;
比对结果状态码,确定所述下发处理的成功状态。
进一步,所述消息队列采用Topic模型。
本发明的有益效果是:本发明公开的一种基于消息队列的策略同步下发方法,通过将生产者、消费者的工作完全由统一的控制器进行处理,从而降低了目标接收者与控制器的耦合度;考虑到目标接收者可能有不在线的情况,加入了延时重发,确保了所有策略下发的一致性,降低了对消息队列的性能消耗。通过心跳监测,在发现某些目标接收者存在无法连通的情况后,延时重发,节省了系统资源。
附图说明
下面结合附图和实施例对本发明作进一步描述:
图1为本发明的方法流程示意图。
具体实施方式
以下结合说明书附图对本发明做出进一步的说明,如图1所示:
本发明的基于消息队列的策略同步下发方法,以策略需要同步下发到所有的虚拟防火墙为例,其中,所述虚拟防火墙呈分布式部署,所述策略可为DDOS配置、ACL策略以及入侵防御策略等,包括如下步骤:
S1.构建消费者集合{A1,A2,…,Ai,…,Ak};其中,所述Ai为第i个消费者,i为消费者编号,k为消费者总个数;所述消费者总个数k为虚拟防火墙的总个数,可根据实际的应用场景进行确定;
S2.生产者构造策略消息,并就所述策略消息保存到策略原始数据库进行备份,同时将所述策略消息下发至消息队列,所述消费者集合中的各个消费者从所述消息队列中阅读并开始消费所述策略消息;
S3.判断与消费者一一对应的目标接收者是否在线,若是,则所述消费者将所述策略消息构建为HTTPS的形式,通过调用预先设定好的RestFul API接口,向所述目标接收者发送含有策略消息的HTTPS请求;若否,则所述消费者不发送所述策略消息,而将所述策略消息退回至所述消息队列,并在延迟时间t1后,重新执行步骤S3;本实施例中,所述目标接收者为虚拟防火墙;所述时间t1为1分钟,当然,根据实际的应用场景,所述时间t1也可以以1分钟为参照,设定为其他值;为了能够追踪所述消费者不发送所述策略消息的记录,将所述消费者不发送所述策略消息作为一种出错记录,并将该出错记录保存到日志数据中。
S4.所述目标接收者接收所述消费者发送的所述HTTPS请求,并对所述策略消息进行下发处理;
S5.判断所述目标接收者对所述策略消息进行下发处理是否成功,若是,则返回下发已完成的确认消息;若否,则所述下发处理失败,在延迟时间t2后,重新执行步骤S3。本实施例中,所述时间t2为1分钟,当然,根据实际的应用场景,所述时间t2也可以以1分钟为参照,设定为其他值;同样地,为了能够追踪下发处理失败的记录,将所述下发处理失败的记录作为一种出错记录,同时为该出错记录增加出错原因,最后将该出错记录保存到日志数据中。
需要说明的是,所述消息队列以及与所述消息队列相联系的所述生产者、所述消费者均为现有概念,在此不再赘述。
本实施例中,所述生产者与所述消费者设置于同一服务器;所述服务器也可称为控制器,所述控制器是一台基于Linux操作系统的服务器,其中所述操作系统也可以是Centos系统、Debian、ununtu等的任意一种;通过在所述服务器上部署一些必要的组件,所述组件为JDK、Mysql、Nginx、Redis以及Nodejs等,实现了在所述服务器上部署一套基于RestFul API标准接口的HTTPS服务,进而实现对所有分布式虚拟防火墙的策略同步下发,同时也可以对分布式虚拟防火墙的生命周期进行维护。通过将所述生产者与所述消费者设置于同一服务器,实现了所述服务器与所述目标接收者的解耦。
本实施例中,步骤S3中,所述消费者通过配置目标接收者的地址,使得所述消费者与所述目标接收者一一对应。所述地址为ip地址。
本实施例中,步骤S3中,根据如下步骤,判断与消费者一一对应的目标接收者是否在线:
S31.所述消费者以心跳的形式向所述目标接收者发送能反馈在线状态的HTTPS请求;
S32.若所述HTTPS请求返回连通状态,则所述目标接收者在线;若所述HTTPS请求返回非连通状态,则所述目标接收者不在线。本实施例中,所示连通状态为含有状态码的数据包,通过解析所述数据包,得到所述状态码,若状态码为200,则表示连通,若状态码不为200,则表示非连通。
本实施例中,步骤S3中,还可以根据如下步骤,判断与消费者一一对应的目标接收者是否在线:
S301.所述消费者以心跳的形式向所述目标接收者发送Ping命令;
S302.若所述Ping命令返回连通数据包,则所述目标接收者在线;若所述Ping命令返回非连通数据包,则所述目标接收者不在线。本实施例中,通过查看数据包中明显表明连通状态的关键字来判断是否连通。
本实施例中,步骤S5中,判断所述目标接收者对所述策略消息进行下发处理是否成功,具体包括:
所述消费者获取所述目标接收者返回的下发处理结果;
通过解析所述下发处理结果得到结果状态码;
若所述结果状态码为200,则下发处理成功,否则,下发处理失败。
本实施例中,所述消息队列采用Topic模型,从而保证了所有的策略消息都能被各个消费者接收到。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (7)

1.一种基于消息队列的策略同步下发方法,其特征在于:包括如下步骤:
S1.构建消费者集合{A1,A2,…,Ai,…,Ak};其中,所述Ai为第i个消费者,i为消费者编号,k为消费者总个数;
S2.生产者发送策略消息到消息队列中,所述消费者集合中的各个消费者从所述消息队列中开始消费所述策略消息;
S3.判断与消费者一一对应的目标接收者是否在线,若是,则所述消费者向所述目标接收者发送所述策略消息;若否,则所述消费者不发送所述策略消息,并在延迟时间t1后,重新执行步骤S3;
S4.所述目标接收者对所述策略消息进行下发处理;
S5.判断所述目标接收者对所述策略消息进行下发处理是否成功,若是,则返回下发已完成的确认消息;若否,则在延迟时间t2后,重新执行步骤S3。
2.根据权利要求1所述的基于消息队列的策略同步下发方法,其特征在于:所述生产者与所述消费者设置于同一服务器。
3.根据权利要求1所述的基于消息队列的策略同步下发方法,其特征在于:步骤S3中,所述消费者通过配置目标接收者的地址,使得所述消费者与所述目标接收者一一对应。
4.根据权利要求1所述的基于消息队列的策略同步下发方法,其特征在于:步骤S3中,根据如下步骤,判断与消费者一一对应的目标接收者是否在线:
S31.向所述目标接收者发送能反馈在线状态的HTTPS请求;
S32.若所述HTTPS请求返回连通状态,则所述目标接收者在线;若所述HTTPS请求返回非连通状态,则所述目标接收者不在线。
5.根据权利要求1所述的基于消息队列的策略同步下发方法,其特征在于:步骤S3中,还可以根据如下步骤,判断与消费者一一对应的目标接收者是否在线:
S301.向所述目标接收者发送Ping命令;
S302.若所述Ping命令返回连通数据包,则所述目标接收者在线;若所述Ping命令返回非连通数据包,则所述目标接收者不在线。
6.根据权利要求1所述的基于消息队列的策略同步下发方法,其特征在于:步骤S5中,判断所述目标接收者对所述策略消息进行下发处理是否成功,具体包括:
获取所述目标接收者返回的下发处理结果;
解析所述下发处理结果得到结果状态码;
比对结果状态码,确定所述下发处理的成功状态。
7.根据权利要求1所述的基于消息队列的策略同步下发方法,其特征在于:所述消息队列采用Topic模型。
CN202011235237.XA 2020-11-08 2020-11-08 基于消息队列的策略同步下发方法 Active CN112422539B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011235237.XA CN112422539B (zh) 2020-11-08 2020-11-08 基于消息队列的策略同步下发方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011235237.XA CN112422539B (zh) 2020-11-08 2020-11-08 基于消息队列的策略同步下发方法

Publications (2)

Publication Number Publication Date
CN112422539A true CN112422539A (zh) 2021-02-26
CN112422539B CN112422539B (zh) 2023-01-24

Family

ID=74782254

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011235237.XA Active CN112422539B (zh) 2020-11-08 2020-11-08 基于消息队列的策略同步下发方法

Country Status (1)

Country Link
CN (1) CN112422539B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114221808A (zh) * 2021-12-14 2022-03-22 平安壹钱包电子商务有限公司 安全策略部署方法、装置、计算机设备及可读存储介质
CN114697072A (zh) * 2022-02-18 2022-07-01 广州理工学院 一种云桌面统一运维控制系统及控制方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105516081A (zh) * 2015-11-25 2016-04-20 浪潮电子信息产业股份有限公司 一种服务器下发安全策略的方法、系统及消息队列中间件
US20170134330A1 (en) * 2015-11-11 2017-05-11 International Business Machines Corporation Intelligent message queue management
CN107911462A (zh) * 2017-11-27 2018-04-13 南京信通科技有限责任公司 基于ActiveMQ的大批量数据同步方法
CN109104374A (zh) * 2018-07-24 2018-12-28 郑州云海信息技术有限公司 一种实现同步下发策略的方法及装置
CN111431964A (zh) * 2020-02-20 2020-07-17 视联动力信息技术股份有限公司 一种消息同步处理方法、装置及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170134330A1 (en) * 2015-11-11 2017-05-11 International Business Machines Corporation Intelligent message queue management
CN105516081A (zh) * 2015-11-25 2016-04-20 浪潮电子信息产业股份有限公司 一种服务器下发安全策略的方法、系统及消息队列中间件
CN107911462A (zh) * 2017-11-27 2018-04-13 南京信通科技有限责任公司 基于ActiveMQ的大批量数据同步方法
CN109104374A (zh) * 2018-07-24 2018-12-28 郑州云海信息技术有限公司 一种实现同步下发策略的方法及装置
CN111431964A (zh) * 2020-02-20 2020-07-17 视联动力信息技术股份有限公司 一种消息同步处理方法、装置及存储介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114221808A (zh) * 2021-12-14 2022-03-22 平安壹钱包电子商务有限公司 安全策略部署方法、装置、计算机设备及可读存储介质
CN114221808B (zh) * 2021-12-14 2024-02-06 平安壹钱包电子商务有限公司 安全策略部署方法、装置、计算机设备及可读存储介质
CN114697072A (zh) * 2022-02-18 2022-07-01 广州理工学院 一种云桌面统一运维控制系统及控制方法
CN114697072B (zh) * 2022-02-18 2023-10-31 广州理工学院 一种云桌面统一运维控制系统及控制方法

Also Published As

Publication number Publication date
CN112422539B (zh) 2023-01-24

Similar Documents

Publication Publication Date Title
CN110647580B (zh) 分布式容器集群镜像管理主节点、从节点、系统及方法
CN102171995B (zh) 服务器故障时的报文处理方法及路由器
WO2021121370A1 (zh) 用于消息队列的消息丢失检测方法和装置
US10895996B2 (en) Data synchronization method, system, and apparatus using a work log for synchronizing data greater than a threshold value
CN112422539B (zh) 基于消息队列的策略同步下发方法
EP2119184B1 (en) Virtualization and high availability of network connections
US9170630B2 (en) Server executing instances of client applications in order to allow power saving by the client device
CN109361525B (zh) 重启分布式部署多服务的方法、装置、控制终端及介质
CN103514173A (zh) 数据处理的方法和节点设备
CN110855488B (zh) 一种虚拟机接入方法及装置
KR20140132063A (ko) 캔 통신 장치 및 방법
CN107357800A (zh) 一种数据库高可用零丢失解决方法
CN107948063B (zh) 一种建立聚合链路的方法和接入设备
CN111526046A (zh) 一种bmc时间的设置方法、装置、设备和存储介质
CN109688011B (zh) 一种基于OpenStack的agent选择方法及装置
US11431782B2 (en) Method, apparatus, and device for transmitting file based on BMC, and medium
CN111756826A (zh) 一种dlm的锁信息传输方法以及相关装置
CN114584575B (zh) 船舶管理体系中的船岸通信方法及系统
CN111934909B (zh) 主备机ip资源切换方法、装置、计算机设备和存储介质
JP2015114952A (ja) ネットワークシステム、監視制御装置およびソフトウェア検証方法
CN112217718A (zh) 一种业务处理方法、装置、设备及存储介质
CN115086219B (zh) 一种虚拟路由器确定方法、设备及计算机可读存储介质
CN114051047B (zh) 一种会话消息的备份方法、装置、网络设备和存储介质
WO2016188499A1 (zh) 网络管理方法、装置、网络设备及数据同步系统
CN117176412A (zh) 一种基于网络设备的数据反抓取构建方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant