CN113765871A - 堡垒机管理的方法和装置 - Google Patents
堡垒机管理的方法和装置 Download PDFInfo
- Publication number
- CN113765871A CN113765871A CN202010943407.3A CN202010943407A CN113765871A CN 113765871 A CN113765871 A CN 113765871A CN 202010943407 A CN202010943407 A CN 202010943407A CN 113765871 A CN113765871 A CN 113765871A
- Authority
- CN
- China
- Prior art keywords
- user
- target
- container
- machine container
- bastion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/546—Message passing systems or structures, e.g. queues
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2209/00—Indexing scheme relating to G06F9/00
- G06F2209/54—Indexing scheme relating to G06F9/54
- G06F2209/548—Queue
Abstract
本发明公开了堡垒机管理的方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:根据用户的操作请求,确定与所述用户对应的目标服务端的服务端标识;确定与所述用户对应的目标堡垒机容器;将所述目标堡垒机容器的容器标识发送至所述用户,以使所述用户通过所述目标堡垒机容器与所述目标服务端交互。该实施方式能够解决在高并发情况下服务卡顿甚至不可用、用户服务之间的耦合性高的问题,提高堡垒机系统的服务质量。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种堡垒机管理的方法和装置。
背景技术
在已经部署服务的生产环境,用户一般通过堡垒机连接到服务所在机器,然后通过执行一些shell命令或其它操作来进行安全止损、服务运行状态查看、服务器健康状态查看的等功能。在这个过程中,堡垒机提供了一个指令中转的功能,将用户输入的指令命令转发到服务端,将服务端返回的执行结果返回给用户。堡垒机对用户的指令命令进行审计和一些非法操作的过滤等。
一般情况下,堡垒机系统搭建一个高可用的堡垒机服务器,一个服务器服务很多用户。堡垒机系统对于用户而言,相当于一个虚拟终端,对实时性要求严格。在高并发情况下,存在如下问题:
延迟明显,甚至卡顿,无法正常提供服务;用户服务间耦合性大,在服务临界点时候,新用户登录后的服务崩溃会导致其它用户正常使用的服务也发生崩溃。
发明内容
有鉴于此,本发明实施例提供一种堡垒机管理的方法和装置,能够解决在高并发情况下服务卡顿甚至不可用、用户服务之间的耦合性高的问题,提高堡垒机系统的服务质量。
为实现上述目的,根据本发明实施例的一个方面,提供了一种堡垒机管理的方法,包括:
根据用户的操作请求,确定与所述用户对应的目标服务端的服务端标识;
确定与所述用户对应的目标堡垒机容器;
将所述目标堡垒机容器的容器标识发送至所述用户,以使所述用户通过所述目标堡垒机容器与所述目标服务端交互。
可选地,确定与所述用户对应的目标堡垒机容器,包括:
查询是否存在与所述用户关联的第一堡垒机容器;
若是,则以第一堡垒机容器作为所述目标堡垒机容器;
否则,判断是否存在可共享的第二堡垒机容器;若是,则以所述可共享的第二堡垒机容器作为所述目标堡垒机容器;否则,创建所述目标堡垒机容器,将所述目标堡垒机容器与所述用户的用户标识关联;
第二堡垒机容器是指未与所述用户关联的堡垒机容器。
可选地,每个堡垒机容器对应一个共享记录,所述共享记录包括:堡垒机容器的已共享用户数和共享用户数上限;已共享用户数小于共享用户数上限的堡垒机容器为可共享的堡垒机容器;或者,
所述共享记录包括:堡垒机容器的已共享权重数和共享权重数上限;已共享权重数小于共享权重数上限的堡垒机容器为可共享的堡垒机容器;
确定与所述用户对应的目标堡垒机容器之后,还包括:更新所述目标堡垒机容器的已共享用户数或已共享权重数。
可选地,每个堡垒机容器对应一个共享记录,所述共享记录包括:销毁时间戳;确定与所述用户对应的目标堡垒机容器之后,还包括:更新所述目标堡垒机容器的销毁时间戳。
可选地,更新所述目标堡垒机容器的销毁时间戳,包括:
根据所述用户的操作请求,确定所述用户的申请有效时长;
根据所述申请有效时长和所述用户的授权时间确定更新后所述目标堡垒机容器的销毁时间戳;或者,根据所述申请有效时长和所述用户的授权时间确定初始销毁时间戳,以所述初始销毁时间戳和更新前所述目标堡垒机容器的销毁时间戳中的较晚者作为更新后所述目标堡垒机容器的销毁时间戳。
可选地,本发明实施例的方法还包括:根据每个堡垒机容器的销毁时间戳确定失效的堡垒机容器并销毁。
可选地,采用Redis消息队列接收所述用户的操作请求。
根据本发明实施例的第二方面,提供一种堡垒机管理的装置,包括:
授权模块,根据用户的操作请求,确定与所述用户对应的目标服务端的服务端标识;
确定模块,确定与所述用户对应的目标堡垒机容器;
发送模块,将所述目标堡垒机容器的容器标识发送至所述用户,以使所述用户通过所述目标堡垒机容器与所述目标服务端交互。
可选地,所述确定模块确定与所述用户对应的目标堡垒机容器,包括:
查询是否存在与所述用户关联的第一堡垒机容器;
若是,则以第一堡垒机容器作为所述目标堡垒机容器;
否则,判断是否存在可共享的第二堡垒机容器;若是,则以所述可共享的第二堡垒机容器作为所述目标堡垒机容器;否则,创建所述目标堡垒机容器,将所述目标堡垒机容器与所述用户的用户标识关联;
第二堡垒机容器是指未与所述用户关联的堡垒机容器。
可选地,每个堡垒机容器对应一个共享记录,所述共享记录包括:堡垒机容器的已共享用户数和共享用户数上限;已共享用户数小于共享用户数上限的堡垒机容器为可共享的堡垒机容器;或者,
所述共享记录包括:堡垒机容器的已共享权重数和共享权重数上限;已共享权重数小于共享权重数上限的堡垒机容器为可共享的堡垒机容器;
所述确定模块还用于:确定与所述用户对应的目标堡垒机容器之后,更新所述目标堡垒机容器的已共享用户数或已共享权重数。
可选地,每个堡垒机容器对应一个共享记录,所述共享记录包括:销毁时间戳;所述确定模块还用于:确定与所述用户对应的目标堡垒机容器之后,更新所述目标堡垒机容器的销毁时间戳。
可选地,所述确定模块更新所述目标堡垒机容器的销毁时间戳,包括:
根据所述用户的操作请求,确定所述用户的申请有效时长;
根据所述申请有效时长和所述用户的授权时间确定更新后所述目标堡垒机容器的销毁时间戳;或者,根据所述申请有效时长和所述用户的授权时间确定初始销毁时间戳,以所述初始销毁时间戳和更新前所述目标堡垒机容器的销毁时间戳中的较晚者作为更新后所述目标堡垒机容器的销毁时间戳。
可选地,所述确定模块还用于:根据每个堡垒机容器的销毁时间戳确定失效的堡垒机容器并销毁。
可选地,所述授权模块采用Redis消息队列接收所述用户的操作请求。
根据本发明实施例的第三方面,提供一种堡垒机管理的电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例第一方面提供的方法。
根据本发明实施例的第四方面,提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现本发明实施例第一方面提供的方法。
上述发明中的一个实施例具有如下优点或有益效果:在接收到用户的操作请求时采用与用户对应的目标堡垒机容器为用户提供服务,通过单用户、单容器、单服务的方式,能够解决在高并发情况下服务卡顿甚至不可用、用户服务之间的耦合性高的问题,提高堡垒机系统的服务质量。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是本发明实施例的堡垒机管理的方法的主要流程的示意图;
图2是本发明可选实施例中确定目标堡垒机容器的流程示意图;
图3是本发明可选实施例中堡垒机管理的流程示意图;
图4是本发明实施例的堡垒机管理的装置的主要模块的示意图;
图5是本发明实施例可以应用于其中的示例性系统架构图;
图6是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
根据本发明实施例的一个方面,提供了一种堡垒机管理的方法。
图1是本发明实施例的堡垒机管理的方法的主要流程的示意图,如图1所示,堡垒机管理的方法,包括:步骤S101、步骤S102和步骤S103。
在步骤S101中,根据用户的操作请求,确定与所述用户对应的目标服务端的服务端标识。
用户通过堡垒机连接到服务所在目标服务端之后,通过执行一些输入执行的指令命令来与目标服务端进行交互,例如进行安全止损(当出现安全问题的时候,到指定服务端上执行一些命令对该安全问题进行处理)、服务运行状态查看、服务器健康状态查看等。目标服务端是指用于上述各种交互服务的机器。服务端标识的具体内容可以根据实际情况进行选择性设定,例如目标服务端的IP(Internet Protocol,网络之间互连的协议)、名称等。
实际应用过程中,可以在每次接收到用户的操作请求之后立即处理该请求,也可以采用Redis(一个key-value数据库)消息队列接收所述用户的操作请求,即用户的操作请求首先放入消息队列,通过依次串行消费消息队列中的信息来处理每个操作请求。采用消息队列接收用户的操作请求,可以实现操作请求的接收和处理之间的异步执行,降低目标服务端的负荷,避免由于目标服务端达到服务临界点之后继续处理操作请求而导致的服务卡顿或崩溃,提高堡垒机服务质量。
在步骤S102中,确定与所述用户对应的目标堡垒机容器。在步骤S103中,将所述目标堡垒机容器的容器标识发送至所述用户,以使所述用户通过所述目标堡垒机容器与所述目标服务端交互。
在接收到用户的操作请求时采用与用户对应的目标堡垒机容器为用户提供服务,一方面能够保证有足够的用于处理用户的操纵请求的堡垒机系统资源,解决在高并发情况下服务卡顿甚至不可用的问题,另一方面即使堡垒机系统达到服务临界点之后又接收到用户的操作请求,也不会对其他用户正在使用的服务产生影响,降低用户服务间的耦合性,提高堡垒机系统的服务质量。
目标堡垒机容器可以是从预先创建的堡垒机容器中筛选得到的,也可以是实时创建的。图2是本发明可选实施例中确定目标堡垒机容器的流程示意图,如图2所示,确定与用户对应的目标堡垒机容器,包括:
步骤S201、查询是否存在与用户关联的第一堡垒机容器;若是,则跳转至步骤S202;否则跳转至步骤S203;
步骤S202、以第一堡垒机容器作为目标堡垒机容器;
步骤S203、判断是否存在可共享的第二堡垒机容器;若是,则跳转至步骤S204;否则跳转至步骤S205;
步骤S204、以可共享的第二堡垒机容器作为目标堡垒机容器;
步骤S205、创建目标堡垒机容器,将目标堡垒机容器与用户的用户标识关联。
本例中,第二堡垒机容器是指未与用户关联的堡垒机容器。若一个堡垒机容器可以共享给其他用户使用,则该堡垒机容器为可共享的堡垒机容器。
实际应用过程中,为了便于快速确定堡垒机容器是否可共享,可以为某个堡垒机容器设置一个表明其是否可以共享的属性标签并实时更新。
在一些可选的实施例中,每个堡垒机容器对应一个共享记录,共享记录包括:堡垒机容器的已共享用户数和共享用户数上限。已共享用户数小于共享用户数上限的堡垒机容器为可共享的堡垒机容器。确定与用户对应的目标堡垒机容器之后,还包括:更新目标堡垒机容器的已共享用户数。各个堡垒机容器的共享用户数上限可以相同或不同,本发明对此不作具体限定。
示例性地,假设在执行步骤S102之前,堡垒机容器A的已共享用户数为3、共享用户数上限为10,则将堡垒机容器A作为目标堡垒机容器之后,堡垒机容器A的已共享用户数为4。当然,当共享堡垒机容器A的某个用户失效之后,对应地将堡垒机容器A的已共享用户数减1。用户失效的规则可以根据实际情况进行选择性设定,例如用户的操作请求已处理完毕时该用户失效,或者由于业务或相同异常导致用户不可登录堡垒机容器时该用户失效,再例如某个时刻与步骤S101中确定与所述用户对应的目标服务端的服务端标识的时刻之间的时间差大于等于用户的申请有效时长(该申请有效时长可以是预先设定的,或者用户的操作请求中携带的)时该用户失效。
用户的权重数可以反映堡垒机系统为该用户提供服务的服务质量,权重数越大,对应的服务质量越高。实际应用过程中,可以为用户设置一个反映服务质量的权重数,然后根据权重数来对应设置堡垒机容器的共享用户数上限。比如对服务质量要求100%的用户,其权重数为100%,对应就是一对一服务,即一个用户唯一对应一个堡垒机容器;而一些对延迟性要求不高的用户,可以对应将反映服务质量的权重数设置小一点,比如是10%,这样,对应的堡垒机服务中就是10个用户共享一个堡垒机容器,可以实现节约型堡垒机系统,使资源更有效,执行更有效率。
在再一些可选的实施例中,每个堡垒机容器对应一个共享记录,共享记录包括:堡垒机容器的已共享权重数和共享权重数上限。已共享权重数小于共享权重数上限的堡垒机容器为可共享的堡垒机容器。确定与用户对应的目标堡垒机容器之后,还包括:更新目标堡垒机容器的已共享权重数。
示例性地,假设在执行步骤S102之前,堡垒机容器A的已共享权重数为40%、共享权重数上限为100%,当前用户a的权重数为30%,则将堡垒机容器A作为用户a的目标堡垒机容器之后,堡垒机容器A的已共享权重数为70%。当然,当共享堡垒机容器A的某个用户失效之后,从堡垒机容器A的已共享权重数中减取该失效用户的权重数。用户失效的规则可以根据实际情况进行选择性设定,例如用户的操作请求已处理完毕时该用户失效,或者由于业务或相同异常导致用户不可登录堡垒机容器时该用户失效,再例如某个时刻与步骤S101中确定与所述用户对应的目标服务端的服务端标识的时刻之间的时间差大于等于用户的申请有效时长(该申请有效时长可以是预先设定的,或者用户的操作请求中携带的)时该用户失效。
用户的权重数可以是预先确定的,例如默认为50%;也可以是根据用户的操作请求的类型确定的。各个用户的权重数以及各个堡垒机容器的共享权重数上限可以相同或不同,本发明对此不作具体限定。
在还一些可选的实施例中,每个堡垒机容器对应一个共享记录,共享记录包括:销毁时间戳。确定与用户对应的目标堡垒机容器之后,还包括:更新目标堡垒机容器的销毁时间戳。销毁时间戳用于表示堡垒机容器的时效时间。通过为堡垒机容器设置销毁时间戳属性,便于及时清理失效的堡垒机容器、回收堡垒机系统资源,提高堡垒机系统服务质量。
更新目标堡垒机容器的销毁时间戳的方式可以根据实际情况进行选择性设定,例如产检目标堡垒机容器之后,为该目标堡垒机容器设置距离创建时刻预设时长的时间戳作为该目标堡垒机容器的销毁时间戳;再例如,某个堡垒机容器被作为目标堡垒机容器之后,将该堡垒机容器的销毁时间戳延长预设时长。
在一些可选的实施例中,更新目标堡垒机容器的销毁时间戳包括:根据用户的操作请求,确定用户的申请有效时长(该申请有效时长可以是预先设定的,或者用户的操作请求中携带的);根据所述申请有效时长和所述用户的授权时间(即步骤S101中确定与所述用户对应的目标服务端的服务端标识的时刻)确定更新后所述目标堡垒机容器的销毁时间戳。本实施例尤其适用于为用户创建目标堡垒机容器的场景。示例性地,用户的申请有效时长为1分钟,用户的授权时间为2020年7月15日10:00,则为该用户创建目标堡垒机容器之后,该目标堡垒机容器的销毁时间戳为2020年7月15日10:01。
在另一些可选的实施例中,更新目标堡垒机容器的销毁时间戳包括:根据用户的操作请求,确定用户的申请有效时长;根据所述申请有效时长和所述用户的授权时间确定初始销毁时间戳,以所述初始销毁时间戳和更新前所述目标堡垒机容器的销毁时间戳中的较晚者作为更新后所述目标堡垒机容器的销毁时间戳。此处的较晚者是指时间戳对应的时刻较晚的销毁时间戳。本实施例尤其适用于从已创建的堡垒机容器中选择目标堡垒机容器的场景。示例性地,用户的申请有效时长为1分钟,用户的授权时间为2020年7月15日10:00,已创建的堡垒机容器B的销毁时间戳为2020年7月15日10:05,则将堡垒机容器B作为该用户的目标堡垒机容器之后,堡垒机容器B的初始销毁时间戳为2020年7月15日10:01,由于堡垒机容器B本身的销毁时间戳(2020年7月15日10:05)晚于初始销毁时间戳(2020年7月15日10:01),因此,将堡垒机容器B作为该用户的目标堡垒机容器之后,堡垒机容器B的销毁时间戳为2020年7月15日10:05。
可选地,本发明实施例的方法还包括:根据每个堡垒机容器的销毁时间戳确定失效的堡垒机容器并销毁。通过销毁失效的堡垒机容器,便于及时回收堡垒机系统资源,提高堡垒机系统服务质量。
实际应用过程中,在步骤S101之后,也可以不创建目标堡垒机容器,而是创建负载均衡机器。负载均衡机器是指用于均衡堡垒机系统的负载的机器。创建负载均衡机器,是指为用户关联一个负载均衡机器。创建负载均衡机器之后,可以将该负载均衡机器的IP或DNS(domain name system,域名系统)返回给用户,以便用户通过登录该负载均衡机器与目标服务端交互。采用负载均衡机器中转用户的操作请求的方法流程与采用堡垒机容器中转用户的操作请求的方法流程类似,具体细节请参见前文步骤S101至步骤S103中的相关介绍,此处不再赘述。
图3是本发明可选实施例中堡垒机管理的流程示意图。如图3所示,堡垒机管理的流程包括如下步骤:
步骤S301、用户授权。本步骤中接收用户的携带申请有效时长的操作请求,对用户进行授权。授权的过程即确定与用户对应的目标服务端的服务端标识的过程。
步骤S302、根据用户的申请有效时长确定根据用户的申请有效时长确定目标堡垒机容器或负载均衡机器。
步骤S303、用户登录目标堡垒机容器或负载均衡机器。
步骤S304、用户与目标服务端进行交互式操作。
步骤S305、判断目标堡垒机容器或负载均衡机器是否有效。若是,则结束流程;否则,跳转至步骤S306。
步骤S306、销毁目标堡垒机容器或者删除否则均衡机器,然后结束流程。
本发明实施例在接收到用户的操作请求时采用与用户对应的目标堡垒机容器为用户提供服务,通过单用户、单容器、单服务的方式,能够解决在高并发情况下服务卡顿甚至不可用、用户服务之间的耦合性高的问题,提高堡垒机系统的服务质量。在目标堡垒机容器失效时销毁目标堡垒机容器,或负载均衡机器失效时删除否则均衡机器,便于及时回收堡垒机系统资源,提高堡垒机系统服务质量。
根据本发明实施例的第二方面,提供一种实现上述方法的装置。
图4是本发明实施例的堡垒机管理的装置的主要模块的示意图,如图4所示,堡垒机管理的装置400包括:
授权模块401,根据用户的操作请求,确定与所述用户对应的目标服务端的服务端标识;
确定模块402,确定与所述用户对应的目标堡垒机容器;
发送模块403,将所述目标堡垒机容器的容器标识发送至所述用户,以使所述用户通过所述目标堡垒机容器与所述目标服务端交互。
可选地,所述确定模块确定与所述用户对应的目标堡垒机容器,包括:
查询是否存在与所述用户关联的第一堡垒机容器;
若是,则以第一堡垒机容器作为所述目标堡垒机容器;
否则,判断是否存在可共享的第二堡垒机容器;若是,则以所述可共享的第二堡垒机容器作为所述目标堡垒机容器;否则,创建所述目标堡垒机容器,将所述目标堡垒机容器与所述用户的用户标识关联;
第二堡垒机容器是指未与所述用户关联的堡垒机容器。
可选地,所述共享记录包括:堡垒机容器的已共享用户数和共享用户数上限;已共享用户数小于共享用户数上限的堡垒机容器为可共享的堡垒机容器;或者,
所述共享记录包括:堡垒机容器的已共享权重数和共享权重数上限;已共享权重数小于共享权重数上限的堡垒机容器为可共享的堡垒机容器;
所述确定模块还用于:确定与所述用户对应的目标堡垒机容器之后,更新所述目标堡垒机容器的已共享用户数或已共享权重数。
可选地,所述共享记录还包括:销毁时间戳;所述确定模块还用于:确定与所述用户对应的目标堡垒机容器之后,更新所述目标堡垒机容器的销毁时间戳。
可选地,所述确定模块更新所述目标堡垒机容器的销毁时间戳,包括:
根据所述用户的操作请求,确定所述用户的申请有效时长;
根据所述申请有效时长和所述用户的授权时间确定更新后所述目标堡垒机容器的销毁时间戳;或者,根据所述申请有效时长和所述用户的授权时间确定初始销毁时间戳,以所述初始销毁时间戳和更新前所述目标堡垒机容器的销毁时间戳中的较晚者作为更新后所述目标堡垒机容器的销毁时间戳。
可选地,所述确定模块还用于:根据每个堡垒机容器的销毁时间戳确定失效的堡垒机容器并销毁。
可选地,所述授权模块采用Redis消息队列接收所述用户的操作请求。
根据本发明实施例的第三方面,提供一种堡垒机管理的电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例第一方面提供的方法。
根据本发明实施例的第四方面,提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现本发明实施例第一方面提供的方法。
图5示出了可以应用本发明实施例的堡垒机管理的方法或堡垒机管理的装置的示例性系统架构500。
如图5所示,系统架构500可以包括终端设备501、502、503,网络504,服务器505和目标服务端506。网络504用以在终端设备501、502、503和服务器505之间以及服务器505和目标服务端506之间提供通信链路的介质。网络504可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备501、502、503通过网络504与服务器505交互,以接收或发送消息等。终端设备501、502、503上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备501、502、503可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器505可以是提供各种服务的服务器,例如对用户利用终端设备501、502、503所浏览的购物类网站提供中转支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的产品信息查询请求等数据进行审计和过滤等处理,并将审计和过滤后的产品信息查询请求等转发至目标服务端,接收目标服务端返回的处理结果并将该处理结果(例如目标推送信息、产品信息--仅为示例)反馈给终端设备。
需要说明的是,本发明实施例所提供的堡垒机管理的方法一般由服务器505执行,相应地,堡垒机管理的装置一般设置于服务器505中。
应该理解,图5中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络、服务器和目标服务端。
下面参考图6,其示出了适于用来实现本发明实施例的终端设备的计算机系统600的结构示意图。图6示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,计算机系统600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有系统600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)501执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括:授权模块,根据用户的操作请求,确定与所述用户对应的目标服务端的服务端标识;确定模块,确定与所述用户对应的目标堡垒机容器;发送模块,将所述目标堡垒机容器的容器标识发送至所述用户,以使所述用户通过所述目标堡垒机容器与所述目标服务端交互。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,授权模块还可以被描述为“将所述目标堡垒机容器的容器标识发送至所述用户的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:根据用户的操作请求,确定与所述用户对应的目标服务端的服务端标识;确定与所述用户对应的目标堡垒机容器;将所述目标堡垒机容器的容器标识发送至所述用户,以使所述用户通过所述目标堡垒机容器与所述目标服务端交互。
根据本发明实施例的技术方案,在接收到用户的操作请求时采用与用户对应的目标堡垒机容器为用户提供服务,通过单用户、单容器、单服务的方式,能够解决在高并发情况下服务卡顿甚至不可用、用户服务之间的耦合性高的问题,提高堡垒机系统的服务质量。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种堡垒机管理的方法,其特征在于,包括:
根据用户的操作请求,确定与所述用户对应的目标服务端的服务端标识;
确定与所述用户对应的目标堡垒机容器;
将所述目标堡垒机容器的容器标识发送至所述用户,以使所述用户通过所述目标堡垒机容器与所述目标服务端交互。
2.如权利要求1所述的方法,其特征在于,确定与所述用户对应的目标堡垒机容器,包括:
查询是否存在与所述用户关联的第一堡垒机容器;
若是,则以第一堡垒机容器作为所述目标堡垒机容器;
否则,判断是否存在可共享的第二堡垒机容器;若是,则以所述可共享的第二堡垒机容器作为所述目标堡垒机容器;否则,创建所述目标堡垒机容器,将所述目标堡垒机容器与所述用户的用户标识关联;
第二堡垒机容器是指未与所述用户关联的堡垒机容器。
3.如权利要求2所述的方法,其特征在于,每个堡垒机容器对应一个共享记录,所述共享记录包括:堡垒机容器的已共享用户数和共享用户数上限;已共享用户数小于共享用户数上限的堡垒机容器为可共享的堡垒机容器;或者,
所述共享记录包括:堡垒机容器的已共享权重数和共享权重数上限;已共享权重数小于共享权重数上限的堡垒机容器为可共享的堡垒机容器;
确定与所述用户对应的目标堡垒机容器之后,还包括:更新所述目标堡垒机容器的已共享用户数或已共享权重数。
4.如权利要求2所述的方法,其特征在于,每个堡垒机容器对应一个共享记录,所述共享记录包括:销毁时间戳;确定与所述用户对应的目标堡垒机容器之后,还包括:更新所述目标堡垒机容器的销毁时间戳。
5.如权利要求4所述的方法,其特征在于,更新所述目标堡垒机容器的销毁时间戳,包括:
根据所述用户的操作请求,确定所述用户的申请有效时长;
根据所述申请有效时长和所述用户的授权时间确定更新后所述目标堡垒机容器的销毁时间戳;或者,根据所述申请有效时长和所述用户的授权时间确定初始销毁时间戳,以所述初始销毁时间戳和更新前所述目标堡垒机容器的销毁时间戳中的较晚者作为更新后所述目标堡垒机容器的销毁时间戳。
6.如权利要求4所述的方法,其特征在于,还包括:根据每个堡垒机容器的销毁时间戳确定失效的堡垒机容器并销毁。
7.如权利要求1-6任一所述的方法,其特征在于,采用Redis消息队列接收所述用户的操作请求。
8.一种堡垒机管理的装置,其特征在于,包括:
授权模块,根据用户的操作请求,确定与所述用户对应的目标服务端的服务端标识;
确定模块,确定与所述用户对应的目标堡垒机容器;
发送模块,将所述目标堡垒机容器的容器标识发送至所述用户,以使所述用户通过所述目标堡垒机容器与所述目标服务端交互。
9.一种堡垒机管理的电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010943407.3A CN113765871B (zh) | 2020-09-09 | 2020-09-09 | 堡垒机管理的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010943407.3A CN113765871B (zh) | 2020-09-09 | 2020-09-09 | 堡垒机管理的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113765871A true CN113765871A (zh) | 2021-12-07 |
| CN113765871B CN113765871B (zh) | 2023-08-04 |
Family
ID=78785723
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010943407.3A Active CN113765871B (zh) | 2020-09-09 | 2020-09-09 | 堡垒机管理的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113765871B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114615254A (zh) * | 2022-03-25 | 2022-06-10 | 医渡云(北京)技术有限公司 | 远程连接方法、装置及系统、存储介质、电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610946A (zh) * | 2015-12-30 | 2016-05-25 | 北京奇艺世纪科技有限公司 | 一种基于docker技术的云跳板机系统 |
| CN108965388A (zh) * | 2018-06-13 | 2018-12-07 | 新华三信息安全技术有限公司 | 一种运维审计方法及装置 |
| US20190273744A1 (en) * | 2018-03-01 | 2019-09-05 | Veritas Technologies Llc | Systems and methods for running applications on a multi-tenant container platform |
| CN110324338A (zh) * | 2019-06-28 | 2019-10-11 | 深圳前海微众银行股份有限公司 | 数据交互方法、装置、堡垒机与计算机可读存储介质 |
| CN110365663A (zh) * | 2019-06-28 | 2019-10-22 | 北京淇瑀信息科技有限公司 | 一种隔离集群之间的访问方法、装置及电子设备 |
| CN111490981A (zh) * | 2020-04-01 | 2020-08-04 | 广州虎牙科技有限公司 | 访问管理方法、装置、堡垒机及可读存储介质 |
| CN111639314A (zh) * | 2020-05-15 | 2020-09-08 | 京东数字科技控股有限公司 | 容器登录系统、方法、服务器及存储介质 |
-
2020
- 2020-09-09 CN CN202010943407.3A patent/CN113765871B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610946A (zh) * | 2015-12-30 | 2016-05-25 | 北京奇艺世纪科技有限公司 | 一种基于docker技术的云跳板机系统 |
| US20190273744A1 (en) * | 2018-03-01 | 2019-09-05 | Veritas Technologies Llc | Systems and methods for running applications on a multi-tenant container platform |
| CN108965388A (zh) * | 2018-06-13 | 2018-12-07 | 新华三信息安全技术有限公司 | 一种运维审计方法及装置 |
| CN110324338A (zh) * | 2019-06-28 | 2019-10-11 | 深圳前海微众银行股份有限公司 | 数据交互方法、装置、堡垒机与计算机可读存储介质 |
| CN110365663A (zh) * | 2019-06-28 | 2019-10-22 | 北京淇瑀信息科技有限公司 | 一种隔离集群之间的访问方法、装置及电子设备 |
| CN111490981A (zh) * | 2020-04-01 | 2020-08-04 | 广州虎牙科技有限公司 | 访问管理方法、装置、堡垒机及可读存储介质 |
| CN111639314A (zh) * | 2020-05-15 | 2020-09-08 | 京东数字科技控股有限公司 | 容器登录系统、方法、服务器及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 陈霄等: "基于Web浏览器的远程容器登录系统设计", 《网络新媒体技术》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114615254A (zh) * | 2022-03-25 | 2022-06-10 | 医渡云(北京)技术有限公司 | 远程连接方法、装置及系统、存储介质、电子设备 |
| CN114615254B (zh) * | 2022-03-25 | 2023-09-29 | 医渡云(北京)技术有限公司 | 远程连接方法、装置及系统、存储介质、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113765871B (zh) | 2023-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10659410B2 (en) | Smart message delivery based on transaction processing status | |
| US9753786B2 (en) | Client server communication system | |
| CN113517985B (zh) | 文件数据处理方法、装置、电子设备及计算机可读介质 | |
| CN111427701A (zh) | 一种工作流引擎系统和业务处理方法 | |
| CN109240837B (zh) | 一种通用云存储服务api的构建方法 | |
| US10425475B2 (en) | Distributed data management | |
| US9760412B2 (en) | Client server communication system | |
| CN113794650A (zh) | 并发请求的处理方法、计算机设备和计算机可读存储介质 | |
| CN113765871B (zh) | 堡垒机管理的方法和装置 | |
| US11381665B2 (en) | Tracking client sessions in publish and subscribe systems using a shared repository | |
| CN116961918A (zh) | 令牌获取方法和装置 | |
| US11811894B2 (en) | Reduction of data transmissions based on end-user context | |
| US9450906B2 (en) | Managing a messaging queue in an asynchronous messaging system | |
| CN107483637B (zh) | 一种基于nfs的客户端链接管理方法及装置 | |
| CN109284177B (zh) | 一种数据更新方法和装置 | |
| CN114528140A (zh) | 一种业务降级的方法和装置 | |
| CN114374657A (zh) | 一种数据处理方法和装置 | |
| KR20190015817A (ko) | 미들웨어를 이용한 모니터링 방법, 장치 및 시스템 | |
| CN113419878B (zh) | 一种数据操作方法和装置 | |
| CN110933122A (zh) | 管理服务器的方法、设备和计算机存储介质 | |
| CN111179097B (zh) | 保单批改的方法、装置、电子设备和存储介质 | |
| CN113766437B (zh) | 一种短信发送方法和装置 | |
| US11526499B2 (en) | Adaptively updating databases of publish and subscribe systems using optimistic updates | |
| US10819777B1 (en) | Failure isolation in a distributed system | |
| CN113778660A (zh) | 一种管理热点数据的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |