CN113766023A - 基于应用的集中管理方法、系统、计算机及存储介质 - Google Patents
基于应用的集中管理方法、系统、计算机及存储介质 Download PDFInfo
- Publication number
- CN113766023A CN113766023A CN202111031260.1A CN202111031260A CN113766023A CN 113766023 A CN113766023 A CN 113766023A CN 202111031260 A CN202111031260 A CN 202111031260A CN 113766023 A CN113766023 A CN 113766023A
- Authority
- CN
- China
- Prior art keywords
- proxy
- address
- client
- forwarding
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/562—Brokering proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5061—Pools of addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于应用的集中管理方法、系统、计算机及存储介质,该方法包括:将每个代理设备作为节点机加入到中心机中,以生成集群,并通过中心机对节点机进行管理与配置的下发;在节点机中配置ip地址,并将ip地址作为代理地址以供客户端访问;创建代理地址组,代理地址组用于将转发和防护在同一服务器或者服务器组的代理服务器加入到同一组中;创建转发策略配置并引用所述代理地址组,以接收客户端的请求流量,并解析流量中客户端请求的代理ip地址以及域名,且进行匹配并通过代理服务器进行转发。通过上述方式能够使应用业务与代理设备进行分离,从而使两者之间互不影响,使应用业务能够安全可靠的运行,保障了企业的利益。
Description
技术领域
本申请涉及数据处理技术领域,特别是涉及一种基于应用的集中管理方法、系统、计算机及存储介质。
背景技术
现如今,随着时代的发展以及科技的进步,互联网已经在人们的生活中得到普及,使得用户可以在互联网上进行学习、工作以及娱乐等,极大的方便了人们的生活。
现有的互联网企业由于业务的种类和数量繁琐,因此需要大量的互联网设备,并需要通过集中管理平台来对上述互联网设备进行集中管理,以保证上述互联网设备能够正常有效的运行。
然而,现有的集中管理平台无法做到在一台设备上进行配置或者操作就可以自动的将配置或者命令下发到指定或者全部的设备上,并且现有的集中管理平台中的应用业务与该平台下的设备是一一对应的绑定关系,当其中一台设备发生异常状况时,使得其对应的应用业务也会随之瘫痪,导致应用业务无法正常运行,给企业造成损失。
发明内容
基于此,本申请实施例提供了一种基于应用的集中管理方法、系统、计算机及存储介质,以至少解决相关技术中的集中管理平台中的应用业务与该平台下的设备是一一对应的绑定关系,当其中一台设备发生异常状况时,使得其对应的应用业务也会随之瘫痪,导致应用业务无法正常运行的问题。
第一方面,本申请实施例提供了一种基于应用的集中管理方法,所述方法包括:
将每个代理设备作为节点机加入到中心机中,以生成集群,并通过所述中心机对所述节点机进行管理与配置的下发,所述中心机与所述节点机之间通过接入点进行信息的交换和获取;
在所述节点机中配置ip地址,并将所述ip地址作为代理地址以供客户端访问;
创建代理地址组,所述代理地址组用于将转发和防护在同一服务器或者服务器组的代理服务器加入到同一组中;
创建转发策略配置并引用所述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。
在其中一些实施例中,所述将每个代理设备作为节点机加入到中心机中,以生成集群,并通过所述中心机对所述节点机进行管理与配置的下发的步骤包括:
在所述中心机内部署预设的通信密钥,并在所述节点机内添加所述通信密钥,以使所述节点机通过所述通信密钥加入到所述集群内;
通过所述中心机对所述节点机进行管理与配置的下发。
在其中一些实施例中,所述创建代理地址组,所述代理地址组用于将转发和防护在同一服务器或者服务器组的代理服务器加入到同一组中的步骤包括:
将不同所述节点机对应的所述代理服务器ip纳入同一分组中,以生成ip地址池并作为所述代理地址组。
在其中一些实施例中,所述创建转发策略配置并引用所述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发的步骤包括:
创建转发策略对象,并通过所述转发策略对象引用所述代理地址或者所述代理地址组,以添加对应的域名以及协议;
通过所述转发策略配置接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。
在其中一些实施例中,所述通过所述转发策略配置接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发的步骤包括:
在所述转发策略配置中配置需要防护的目标服务器ip、域名以及协议;
创建策略路由,并通过所述策略路由将所述代理服务器或者所述代理服务器组的流量转发至所述目标服务器。
在其中一些实施例中,所述创建转发策略配置并引用所述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发的步骤之后,所述方法还包括:
通过所述代理服务器将所述客户端请求流量发送至防护应用模板进行检测分析,并根据预设匹配条件判断是否需要拦截;
若否,则将所述客户端请求流量转发至后端服务器。
第二方面,本申请实施例提供了一种基于应用的集中管理系统,该基于应用的集中管理系统包括:
构建模块,用于将每个代理设备作为节点机加入到中心机中,以生成集群,并通过所述中心机对所述节点机进行管理与配置的下发,所述中心机与所述节点机之间通过接入点进行信息的交换和获取;
配置模块,用于在所述节点机中配置ip地址,并将所述ip地址作为代理地址以供客户端访问;
第一创建模块,用于创建代理地址组,所述代理地址组用于将转发和防护在同一服务器或者服务器组的代理服务器加入到同一组中;
第二创建模块,用于创建转发策略配置并引用所述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。
在其中一些实施例中,上述基于应用的集中管理系统中的所述构建模块具体用于:
在所述中心机内部署预设的通信密钥,并在所述节点机内添加所述通信密钥,以使所述节点机通过所述通信密钥加入到所述集群内;
通过所述中心机对所述节点机进行管理与配置的下发。
在其中一些实施例中,上述基于应用的集中管理系统中的所述第一创建模块具体用于:
将不同所述节点机对应的所述代理服务器ip纳入同一分组中,以生成ip地址池并作为所述代理地址组。
在其中一些实施例中,上述基于应用的集中管理系统中的所述第二创建模块具体用于:
创建转发策略对象,并通过所述转发策略对象引用所述代理地址或者所述代理地址组,以添加对应的域名以及协议;
通过所述转发策略配置接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。
在其中一些实施例中,上述基于应用的集中管理系统中的所述第二创建模块还具体用于:
在所述转发策略配置中配置需要防护的目标服务器ip、域名以及协议;
创建策略路由,并通过所述策略路由将所述代理服务器或者所述代理服务器组的流量转发至所述目标服务器。
在其中一些实施例中,上述基于应用的集中管理系统中的所述系统还包括判断模块,所述判断模块具体用于:
通过所述代理服务器将所述客户端请求流量发送至防护应用模板进行检测分析,并根据预设匹配条件判断是否需要拦截;
执行单元,所述执行单元用于若根据预设匹配条件判断出不需要拦截时,则将所述客户端请求流量转发至后端服务器。
第三方面,本申请实施例提供了一种计算机,该计算机包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上面所述的基于应用的集中管理方法。
第四方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上面所述的基于应用的集中管理方法。
相比于相关技术,本申请实施例提供的基于应用的集中管理方法、系统、计算机及存储介质首先将每个代理设备作为节点机加入到中心机中,以生成集群,并通过所述中心机对所述节点机进行管理与配置的下发,其中,所述中心机与所述节点机之间通过接入点进行信息的交换和获取,进一步的,在所述节点机中配置ip地址,并将所述ip地址作为代理地址以供客户端访问,最后创建代理地址组和转发策略配置,并使上述转发策略配置引用上述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。通过上述方式能够在多台代理设备中配置相同的动作,并且只需在中心机上配置一次,便可以下发到该中心机下面的所有设备中,并且支持指定某个或某些代理设备进行有选择性的配置下发,另外,还可以做到应用业务与代理设备的分离,使两者之间互不影响,从而当其中一台设备发生异常状况时,其他对应的应用业务并不会随之瘫痪,使得应用业务能够持续正常运行,保障了企业的利益。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明第一实施例提供的基于应用的集中管理方法的流程图;
图2为本发明第二实施例提供的基于应用的集中管理方法的流程图;
图3为本发明第三实施例提供的基于应用的集中管理系统的结构框图;
图4为本发明第四实施例提供的计算机的结构示意图。
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
现有的集中管理平台无法做到在一台设备上进行配置或者操作就可以自动的将配置或者命令下发到指定或者全部的设备上,并且现有的集中管理平台中的应用业务与该平台下的设备是一一对应的绑定关系,当其中一台设备发生异常状况时,使得其对应的应用业务也会随之瘫痪,导致应用业务无法正常运行,给企业造成损失。
请参阅图1,所示为本发明第一实施例提供的基于应用的集中管理方法,该基于应用的集中管理方法主要应用在网络设备配置的生效以及流量的转发,旨在提供一种在集群环境中,让用户设置配置更加方便可靠,代理设备运行更加高效安全的集中管理方法,用于用户在现有网络环境中能够轻松地将配置下发到对应业务的设备中,同时保证服务的持续有效运行。
其中:该基于应用的集中管理方法具体包括以下步骤:
步骤S10,将每个代理设备作为节点机加入到中心机中,以生成集群,并通过所述中心机对所述节点机进行管理与配置的下发,所述中心机与所述节点机之间通过接入点进行信息的交换和获取;
具体的,在本实施例中,集群环境是指有多个代理设备的环境,因此,为了能够集中管理上述多个代理设备,本实施例将每个代理设备均作为一个节点机并加入到创建的中心机内,其中,相同属性的节点机会自动生成一个集群。
使用时,用户可以通过上述中心机对多个节点机进行管理与配置的下发,并且所述中心机与所述节点机之间通过接入点进行信息的交换和获取。
步骤S20,在所述节点机中配置ip地址,并将所述ip地址作为代理地址以供客户端访问;
进一步的,在本实施例中,为了便于实施,在所述节点机中配置ip地址,并将所述ip地址作为代理地址以供客户端访问,以执行步骤S30。
步骤S30,创建代理地址组,所述代理地址组用于将转发和防护在同一服务器或者服务器组的代理服务器加入到同一组中;
在本实施例中,通过将不同节点机的代理服务器ip纳入同一个组中,以构建一个ip地址池,并作为代理服务器组,提供给客户端访问以及转发到后端服务器,以便保证当其中一台或几台节点机设备异常,无法工作时,其余节点机依然可以工作,转发到后端,并且无需更改任何配置。
进一步的,可以随时进行节点机的替换,只需要将异常的节点机退出集群,中心机从新将步骤S20中的ip地址重新下发到更改的节点机内即可,其它配置无需进行任何更改,从而不仅可以保证服务的长期运行不断开,也做到了设备的替换过程中无缝对接与网络不断,进而做到了高效安全的保障服务器的安全运行。
步骤S40,创建转发策略配置并引用所述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。
最后,在本实施例中,通过创建转发策略配置并引用所述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。
通过上述方式能够在多台代理设备中配置相同的动作,并且只需在中心机上配置一次,便可以下发到该中心机下面的所有设备中,并且支持指定某个或某些代理设备进行有选择性的配置下发,另外,还可以做到应用业务与代理设备的分离,使两者之间互不影响,从而当其中一台设备发生异常状况时,其他对应的应用业务并不会随之瘫痪,使得应用业务能够持续正常运行,保障了企业的利益。
需要说明的是,上述的实施过程只是为了说明本申请的可实施性,但这并不代表本申请的基于应用的集中管理方法只有上述唯一一种实施流程,相反的,只要能够将本申请的基于应用的集中管理方法实施起来,都可以被纳入本申请的可行实施方案。
综上,本发明上述实施例当中的基于应用的集中管理方法首先将每个代理设备作为节点机加入到中心机中,以生成集群,并通过所述中心机对所述节点机进行管理与配置的下发,其中,所述中心机与所述节点机之间通过接入点进行信息的交换和获取,进一步的,在所述节点机中配置ip地址,并将所述ip地址作为代理地址以供客户端访问,最后创建代理地址组和转发策略配置,并使上述转发策略配置引用上述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。通过上述方式能够在多台代理设备中配置相同的动作,并且只需在中心机上配置一次,便可以下发到该中心机下面的所有设备中,并且支持指定某个或某些代理设备进行有选择性的配置下发,另外,还可以做到应用业务与代理设备的分离,使两者之间互不影响,从而当其中一台设备发生异常状况时,其他对应的应用业务并不会随之瘫痪,使得应用业务能够持续正常运行,保障了企业的利益。
请参阅图2,所示为本发明第二实施例提供的基于应用的集中管理方法,具体包括以下步骤:
步骤S11,在所述中心机内部署预设的通信密钥,并在所述节点机内添加所述通信密钥,以使所述节点机通过所述通信密钥加入到所述集群内;通过所述中心机对所述节点机进行管理与配置的下发。
在本实施例中,用户可以预先在上述中心机内设定好通信密钥,然后用户可以在节点机中添加上述中心机已经设定好的所述通信密钥,从而能够使节点机通过所述通信密钥加入到所述集群内。
进一步的,再通过所述中心机对所述节点机进行管理与配置的下发。
步骤S21,在所述节点机中配置ip地址,并将所述ip地址作为代理地址以供客户端访问。
具体的,当节点机加入到集群过后,用户可以在中心机内选定节点机,并在代理设备的物理接口中配置ip地址,以将该ip地址由中心机下发到节点机内,并将节点机作为代理服务器。
步骤S31,将不同所述节点机对应的所述代理服务器ip纳入同一分组中,以生成ip地址池并作为所述代理地址组。
在本实施例中,通过将不同节点机的代理服务器ip纳入同一个组中,以构建一个ip地址池,并作为代理服务器组,提供给客户端访问以及转发到后端服务器,以便保证当其中一台或几台节点机设备异常,无法工作时,其余节点机依然可以工作,转发到后端,并且无需更改任何配置。
进一步的,可以随时进行节点机的替换,只需要将异常的节点机退出集群,中心机从新将步骤S20中的ip地址重新下发到更改的节点机内即可,其它配置无需进行任何更改,从而不仅可以保证服务的长期运行不断开,也做到了设备的替换过程中无缝对接与网络不断,进而做到了高效安全的保障服务器的安全运行。
步骤S41,创建转发策略对象,并通过所述转发策略对象引用所述代理地址或者所述代理地址组,以添加对应的域名以及协议;通过所述转发策略配置接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。
具体的,在本实施例中,首先创建转发策略对象,该转发策略对象能够引用上述代理地址或者代理地址组,并且可以添加对应的端口、域名、协议、以此来接收客户端发送过来的请求,并进行解析。
所述通过所述转发策略配置接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发的步骤包括:
步骤S51,在所述转发策略配置中配置需要防护的目标服务器ip、域名以及协议;创建策略路由,并通过所述策略路由将所述代理服务器或者所述代理服务器组的流量转发至所述目标服务器。
进一步的,在本实施例中,用户可以在转发策略装置中配置要防护的目标服务器ip、端口、域名及协议,更进一步的,该转发策略配置将会把解析的流量输入安全引擎内,并检测出合格的流量,最后通过策略路由转发到上述目标服务器或服务器组中。
所述创建转发策略配置并引用所述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发的步骤之后,所述方法还包括:
步骤S61,通过所述代理服务器将所述客户端请求流量发送至防护应用模板进行检测分析,并根据预设匹配条件判断是否需要拦截;
步骤S71,若否,则将所述客户端请求流量转发至后端服务器。
具体的,利用配置防护策略模板能够在上述防护应用模板中添加各类防护规则,并引用上述转发策略配置,以便做到对该转发策略配置中的服务器进行防护。
当客户端流量到达代理服务器后,代理服务器会将流量发送给防护应用模板,防护应用模板通过其安全引擎进行解析,并与其内部的各个规则进行匹配,符合条件的流量放行,不符合防护条件的流量进行阻断,从而确保了后端服务器的安全可靠运行。
需要指出的是,本发明第二实施例所提供的方法,其实现原理及产生的一些技术效果和第一实施例相同,为简要描述,本实施例未提及之处,可参考第一实施例中相应内容。
需要说明的是,上述的实施过程只是为了说明本申请的可实施性,但这并不代表本申请的基于应用的集中管理方法只有上述唯一一种实施流程,相反的,只要能够将本申请的基于应用的集中管理方法实施起来,都可以被纳入本申请的可行实施方案。
综上,本发明上述实施例当中的基于应用的集中管理方法首先将每个代理设备作为节点机加入到中心机中,以生成集群,并通过所述中心机对所述节点机进行管理与配置的下发,其中,所述中心机与所述节点机之间通过接入点进行信息的交换和获取,进一步的,在所述节点机中配置ip地址,并将所述ip地址作为代理地址以供客户端访问,最后创建代理地址组和转发策略配置,并使上述转发策略配置引用上述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。通过上述方式能够在多台代理设备中配置相同的动作,并且只需在中心机上配置一次,便可以下发到该中心机下面的所有设备中,并且支持指定某个或某些代理设备进行有选择性的配置下发,另外,还可以做到应用业务与代理设备的分离,使两者之间互不影响,从而当其中一台设备发生异常状况时,其他对应的应用业务并不会随之瘫痪,使得应用业务能够持续正常运行,保障了企业的利益。
请参阅图3,所示为本发明第三实施例提供的基于应用的集中管理系统,该基于应用的集中管理系统具体包括:
构建模块12,用于将每个代理设备作为节点机加入到中心机中,以生成集群,并通过所述中心机对所述节点机进行管理与配置的下发,所述中心机与所述节点机之间通过接入点进行信息的交换和获取;
配置模块22,用于在所述节点机中配置ip地址,并将所述ip地址作为代理地址以供客户端访问;
第一创建模块32,用于创建代理地址组,所述代理地址组用于将转发和防护在同一服务器或者服务器组的代理服务器加入到同一组中;
第二创建模块42,用于创建转发策略配置并引用所述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。
在其中一些实施例中,上述基于应用的集中管理系统中的所述构建模块12具体用于:
在所述中心机内部署预设的通信密钥,并在所述节点机内添加所述通信密钥,以使所述节点机通过所述通信密钥加入到所述集群内;
通过所述中心机对所述节点机进行管理与配置的下发。
在其中一些实施例中,上述基于应用的集中管理系统中的所述第一创建模块32具体用于:
将不同所述节点机对应的所述代理服务器ip纳入同一分组中,以生成ip地址池并作为所述代理地址组。
在其中一些实施例中,上述基于应用的集中管理系统中的所述第二创建模块42具体用于:
创建转发策略对象,并通过所述转发策略对象引用所述代理地址或者所述代理地址组,以添加对应的域名以及协议;
通过所述转发策略配置接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。
在其中一些实施例中,上述基于应用的集中管理系统中的所述第二创建模块42还具体用于:
在所述转发策略配置中配置需要防护的目标服务器ip、域名以及协议;
创建策略路由,并通过所述策略路由将所述代理服务器或者所述代理服务器组的流量转发至所述目标服务器。
在其中一些实施例中,上述基于应用的集中管理系统还包括判断模块,所述判断模块具体用于:
通过所述代理服务器将所述客户端请求流量发送至防护应用模板进行检测分析,并根据预设匹配条件判断是否需要拦截;
执行单元,所述执行单元用于若根据预设匹配条件判断出不需要拦截时,则将所述客户端请求流量转发至后端服务器。
本发明第四实施例提供了一种计算机,该计算机包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一实施例或者第二实施例提供的基于应用的集中管理方法。
本发明第五实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一实施例或者第二实施例提供的基于应用的集中管理方法。
综上所述,本发明上述实施例当中的基于应用的集中管理方法、系统、计算机及存储介质首先将每个代理设备作为节点机加入到中心机中,以生成集群,并通过所述中心机对所述节点机进行管理与配置的下发,其中,所述中心机与所述节点机之间通过接入点进行信息的交换和获取,进一步的,在所述节点机中配置ip地址,并将所述ip地址作为代理地址以供客户端访问,最后创建代理地址组和转发策略配置,并使上述转发策略配置引用上述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。通过上述方式能够在多台代理设备中配置相同的动作,并且只需在中心机上配置一次,便可以下发到该中心机下面的所有设备中,并且支持指定某个或某些代理设备进行有选择性的配置下发,另外,还可以做到应用业务与代理设备的分离,使两者之间互不影响,从而当其中一台设备发生异常状况时,其他对应的应用业务并不会随之瘫痪,使得应用业务能够持续正常运行,保障了企业的利益。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例提供基于应用的集中管理方法可以由上述基于应用的集中管理系统来实现。图3为根据本申请实施例提供的基于应用的集中管理系统的硬件结构示意图。
该基于应用的集中管理系统可以基于获取到的程序来执行本申请第一实施例或者第二实施例提供的基于应用的集中管理方法,从而实现结合图1描述基于应用的集中管理方法。
另外,结合上述实施例中的基于应用的集中管理方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种基于应用的集中管理方法。
具体的,上述第四实施例提供的计算机可以包括处理器81以及存储有计算机程序指令的存储器82。
具体地,上述处理器81可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器85可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器85可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器85可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器85可在数据处理装置的内部或外部。在特定实施例中,存储器85是非易失性(Non-Volatile)存储器。在特定实施例中,存储器85包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器85可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器82所执行的可能的计算机程序指令。
处理器81通过读取并执行存储器82中存储的计算机程序指令,以实现上述实施例中的任意一种基于应用的集中管理方法。
在其中一些实施例中,上述计算机还可以包括通信接口83和总线80。其中,如图4所示,处理器81、存储器82、通信接口83通过总线80连接并完成相互间的通信。
通信接口83用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口83还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线80包括硬件、软件或两者,将计算机的部件彼此耦接在一起。总线80包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(ControlBus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线80可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(FrontSide Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线80可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于应用的集中管理方法,其特征在于,所述方法包括:
将每个代理设备作为节点机加入到中心机中,以生成集群,并通过所述中心机对所述节点机进行管理与配置的下发,所述中心机与所述节点机之间通过接入点进行信息的交换和获取;
在所述节点机中配置ip地址,并将所述ip地址作为代理地址以供客户端访问;
创建代理地址组,所述代理地址组用于将转发和防护在同一服务器或者服务器组的代理服务器加入到同一组中;
创建转发策略配置并引用所述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。
2.根据权利要求1所述的基于应用的集中管理方法,其特征在于:所述将每个代理设备作为节点机加入到中心机中,以生成集群,并通过所述中心机对所述节点机进行管理与配置的下发的步骤包括:
在所述中心机内部署预设的通信密钥,并在所述节点机内添加所述通信密钥,以使所述节点机通过所述通信密钥加入到所述集群内;
通过所述中心机对所述节点机进行管理与配置的下发。
3.根据权利要求1所述的基于应用的集中管理方法,其特征在于:所述创建代理地址组,所述代理地址组用于将转发和防护在同一服务器或者服务器组的代理服务器加入到同一组中的步骤包括:
将不同所述节点机对应的所述代理服务器ip纳入同一分组中,以生成ip地址池并作为所述代理地址组。
4.根据权利要求1所述的基于应用的集中管理方法,其特征在于:所述创建转发策略配置并引用所述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发的步骤包括:
创建转发策略对象,并通过所述转发策略对象引用所述代理地址或者所述代理地址组,以添加对应的域名以及协议;
通过所述转发策略配置接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。
5.根据权利要求4所述的基于应用的集中管理方法,其特征在于:所述通过所述转发策略配置接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发的步骤包括:
在所述转发策略配置中配置需要防护的目标服务器ip、域名以及协议;
创建策略路由,并通过所述策略路由将所述代理服务器或者所述代理服务器组的流量转发至所述目标服务器。
6.根据权利要求1所述的基于应用的集中管理方法,其特征在于:所述创建转发策略配置并引用所述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发的步骤之后,所述方法还包括:
通过所述代理服务器将所述客户端请求流量发送至防护应用模板进行检测分析,并根据预设匹配条件判断是否需要拦截;
若否,则将所述客户端请求流量转发至后端服务器。
7.一种基于应用的集中管理系统,其特征在于,所述系统包括:
构建模块,用于将每个代理设备作为节点机加入到中心机中,以生成集群,并通过所述中心机对所述节点机进行管理与配置的下发,所述中心机与所述节点机之间通过接入点进行信息的交换和获取;
配置模块,用于在所述节点机中配置ip地址,并将所述ip地址作为代理地址以供客户端访问;
第一创建模块,用于创建代理地址组,所述代理地址组用于将转发和防护在同一服务器或者服务器组的代理服务器加入到同一组中;
第二创建模块,用于创建转发策略配置并引用所述代理地址组,以接收所述客户端的请求流量,并解析流量中所述客户端请求的代理ip地址以及域名,且进行匹配并通过所述代理服务器进行转发。
8.根据权利要求7所述的基于应用的集中管理系统,其特征在于:所述构建模块具体用于:
在所述中心机内部署预设的通信密钥,并在所述节点机内添加所述通信密钥,以使所述节点机通过所述通信密钥加入到所述集群内;
通过所述中心机对所述节点机进行管理与配置的下发。
9.一种计算机,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的基于应用的集中管理方法。
10.一种存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6中任一项所述的基于应用的集中管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111031260.1A CN113766023A (zh) | 2021-09-03 | 2021-09-03 | 基于应用的集中管理方法、系统、计算机及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111031260.1A CN113766023A (zh) | 2021-09-03 | 2021-09-03 | 基于应用的集中管理方法、系统、计算机及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113766023A true CN113766023A (zh) | 2021-12-07 |
Family
ID=78792901
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111031260.1A Withdrawn CN113766023A (zh) | 2021-09-03 | 2021-09-03 | 基于应用的集中管理方法、系统、计算机及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113766023A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110716787A (zh) * | 2018-07-13 | 2020-01-21 | 中兴通讯股份有限公司 | 容器地址设置方法、设备和计算机可读存储介质 |
CN112015544A (zh) * | 2020-06-30 | 2020-12-01 | 苏州浪潮智能科技有限公司 | 一种k8s集群的负载均衡方法、装置、设备及存储介质 |
CN112130965A (zh) * | 2020-10-26 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 部署分布式容器编排管理集群的方法、设备及存储介质 |
US20210160220A1 (en) * | 2019-11-25 | 2021-05-27 | Microsoft Technology Licensing, Llc | Security service |
-
2021
- 2021-09-03 CN CN202111031260.1A patent/CN113766023A/zh not_active Withdrawn
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110716787A (zh) * | 2018-07-13 | 2020-01-21 | 中兴通讯股份有限公司 | 容器地址设置方法、设备和计算机可读存储介质 |
US20210160220A1 (en) * | 2019-11-25 | 2021-05-27 | Microsoft Technology Licensing, Llc | Security service |
CN112015544A (zh) * | 2020-06-30 | 2020-12-01 | 苏州浪潮智能科技有限公司 | 一种k8s集群的负载均衡方法、装置、设备及存储介质 |
CN112130965A (zh) * | 2020-10-26 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 部署分布式容器编排管理集群的方法、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108549580B (zh) | 自动部署Kubernetes从节点的方法及终端设备 | |
US9251040B2 (en) | Remote debugging in a cloud computing environment | |
US9501345B1 (en) | Method and system for creating enriched log data | |
WO2017097123A1 (zh) | 访问请求转换的方法和装置 | |
CN109510846A (zh) | Api调用系统、方法、装置、电子设备及存储介质 | |
WO2016029821A1 (zh) | 一种虚拟网络实例的创建方法以及设备 | |
US10129152B2 (en) | Setting method, server device and service chain system | |
JP2017538179A5 (zh) | ||
CN114025021B (zh) | 一种跨Kubernetes集群的通信方法、系统、介质和电子设备 | |
CN104426740A (zh) | 用于管理隧道化端点的系统和方法 | |
CN112165455A (zh) | 数据访问控制方法、装置、计算机设备和存储介质 | |
CN111258627A (zh) | 一种接口文档生成方法和装置 | |
US20190319923A1 (en) | Network data control method, system and security protection device | |
CN113037761B (zh) | 登录请求的验证方法及装置、存储介质、电子设备 | |
CN111953770B (zh) | 一种路由转发方法、装置、路由设备及可读存储介质 | |
CN104811922A (zh) | 一种相邻节点注册方法和装置、跨节点注册方法和系统 | |
CN111901317A (zh) | 一种访问控制策略处理方法、装置和设备 | |
US8468238B2 (en) | Computer product, apparatus and method for generating configuration-information for use in monitoring information technology services | |
US20220012110A1 (en) | Networking-related system call interception and modification | |
CN111600755B (zh) | 上网行为管理系统和方法 | |
CN111447273A (zh) | 云处理系统及基于云处理系统的数据处理方法 | |
CN111416851A (zh) | 在多个负载均衡器之间进行会话同步的方法和负载均衡器 | |
CN113766023A (zh) | 基于应用的集中管理方法、系统、计算机及存储介质 | |
US10594657B1 (en) | Methods for parameterized sub-policy evaluation for fine grain access control during a session and devices thereof | |
CN113596105B (zh) | 内容的获取方法、边缘节点及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20211207 |