CN113906714A - 云网络中基于云的控制台服务的方法及装置 - Google Patents
云网络中基于云的控制台服务的方法及装置 Download PDFInfo
- Publication number
- CN113906714A CN113906714A CN201980096997.6A CN201980096997A CN113906714A CN 113906714 A CN113906714 A CN 113906714A CN 201980096997 A CN201980096997 A CN 201980096997A CN 113906714 A CN113906714 A CN 113906714A
- Authority
- CN
- China
- Prior art keywords
- endpoint
- target resource
- protocol
- console
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 55
- 238000004891 communication Methods 0.000 claims abstract description 46
- 238000013475 authorization Methods 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 23
- 239000002184 metal Substances 0.000 claims description 9
- 229910052751 metal Inorganic materials 0.000 claims description 9
- 230000004044 response Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 37
- 238000006243 chemical reaction Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 11
- 230000008901 benefit Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 150000001875 compounds Chemical class 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000013519 translation Methods 0.000 description 3
- 239000004615 ingredient Substances 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000003339 best practice Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/567—Integrating service provisioning from a plurality of service providers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
- H04L67/145—Termination or inactivation of sessions, e.g. event-controlled end of session avoiding end of session, e.g. keep-alive, heartbeats, resumption message or wake-up for inactive or interrupted session
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/148—Migration or transfer of sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
一种用于在云网络中提供基于云的控制台服务的装置,包括处理器电路。所述装置从所述云网络的端点接收访问目标资源的请求。响应于所述请求,在所述端点和所述目标资源之间建立会话。在所述会话期间,所述装置在所述端点和所述目标资源之间根据它们各自的协议传输通信。
Description
本发明的一些实施例涉及远程访问资源,更具体地(但不仅限于)涉及远程访问基于云的资源。
背景技术
云计算是指使用可通过网络(如互联网)访问的动态可扩展计算资源。这些计算资源(通常被称为“云”)为用户提供一种或多种服务。在当今的云计算环境中,每种类型的服务都由云运营商进行不同程度的管理。
对于基于云的计算资源(如虚拟机、服务器和容器),用户需要具备访问、管理、监控和操作资源的能力。当前的方案依赖于访客端认证和配置。目前,访问基于云的计算资源有两种常见的方法:
A)使用用户安装在资源上的软件进行访问。例如,安全外壳(secure shell,简称SSH)是一种加密网络协议,用于在不安全的网络上安全地运行网络服务。典型的应用程序包括远程命令行登录和远程命令执行。使用用户安装的软件有几个缺点。作为在资源上运行的应用程序,它必须在资源上进行配置,包括认证和授权。作为常见的远程访问软件,它容易受到持续的攻击。用户必须设置并不断更新防火墙和其它网络规则,以实现对网络的安全访问。
B)使用云运营商提供的访问(特别是对于虚拟机)。大多数云运营商提供服务器的图形控制台(即视频输出),例如远程桌面协议(remote desktop protocol,简称RDP)和虚拟网络计算(virtual network computing,简称VNC)。虽然云运营商提供的访问减轻了用户正确配置网络和公开给外部网络的负担,但是仍然存在明显的缺点。由于输出只是显示状态,因此给定资源只能有一个会话。另外,尽管访问资源的认证由云运营执行,但用户仍必须设置必须通过会话完成的任何认证和授权(例如登录、虚拟机的锁定屏幕等)。
这两种方法都不能为用户提供对网络资源的安全访问,并给访问网络资源的用户带来不必要的负担。
发明内容
本发明的目的在于提供一种用于提供基于云的控制台服务以访问云网络上的资源的装置、系统、计算机程序产品、非瞬时性计算机可读记录介质和方法,其中所述非瞬时性计算机可读记录介质可在其中存储计算机程序产品。
此处描述的远程控制台的各实施例使用户客户端(例如应用程序)能够访问云网络上的资源,而不需要用户配置或管理所述资源。所述用户客户端通过云网络端点连接到控制台提供者。所述端点在将所述请求转发到所述控制台提供者之前执行用户认证和授权。所述控制台提供者在所述资源和所述端点之间建立会话,创建能够为所述用户客户端提供远程控制台以访问基于云的资源的计算环境。所述用户客户端和所述资源之间的消息传递通过所述端点和所述控制台提供者传输,可能需要执行协议转换。此类计算环境的示例包括但不限于:虚拟机、容器和硬件服务器。
此处描述的控制台服务(也称为“远程控制台”,对应于提供到远程主机上的虚拟机的控制台访问和客户端设备连接)对用户来说具有许多优点,同时易于集成到云网络中。这些优点包括但不限于:
a)云网络已负责对连接到云(通过Web接口和API)的用户进行认证和授权。此认证和授权过程仅扩展为使用控制台服务远程访问云资源。因此,用户不需要管理两组认证和授权域就可以访问单个资源。
b)云运营商负责更新和根据当前最佳实践配置特定于协议的网关。
c)用户不需要在资源上安装特殊软件并将其公开给外部网络。事实上,资源没有必要直接连接到外部网络。与外部网络的连接由云基础设施处理。
d)连接状态保持在资源之外,因此用户可以用一个协议(例如SSH)连接,然后用另一个协议(例如Web)重新连接。
e)当用户断开连接或资源不可用时(例如,在虚拟机重新启动期间),会话不必终止。
f)会话可以由不同的用户共享以进行协作。
上述及其它目的通过独立权利要求的特征来实现。进一步的实施形式在从属权利要求、具体说明和附图中显而易见。
根据本发明一些实施例的第一方面,提供了一种用于在云网络中提供基于云的控制台服务的装置。所述装置包括处理器电路,所述处理器电路用于:
从所述云网络的端点接收访问目标资源的请求;
响应于所述请求,在所述端点和所述目标资源之间建立会话;以及
在所述会话期间,在所述端点和所述目标资源之间根据它们各自的协议传输通信。
根据本发明一些实施例的第二方面,提供了一种用于在云网络中提供基于云的控制台服务的方法。所述方法包括:
从所述云网络的第一端点接收访问目标资源的请求;
在所述第一端点和所述目标资源之间建立会话;以及
在所述会话期间,根据所述云网络的相应协议和所述目标资源的相应协议,在所述第一端点和所述目标资源之间传输通信。
根据本发明一些实施例的第三方面,提供了一种计算机程序产品,包括计算机程序代码,其中当所述计算机程序代码由处理器执行时使得根据本发明一些实施例的第二方面所述的方法被执行。
根据本发明一些实施例的第四方面,提供了一种非瞬时性计算机可读记录介质,所述非瞬时性计算机可读记录介质可在其中存储计算机程序产品,其中当所述计算机程序产品由处理器执行时使得根据本发明一些实施例的第二方面所述的方法被执行。
根据本发明一些实施例的第五方面,提供了一种用于在云网络中提供基于云的控制台服务的装置,所述装置包括处理器和存储器。所述存储器存储使所述处理器执行根据第二方面所述的方法的指令。
第一方面、第二方面、第三方面、第四方面和第五方面的优点在于用户不需要在资源上安装和维护软件。此外,用户也不需要直接连接到资源。用户只需连接到云上的端点,所有进一步通信都在云上管理。
结合第一方面、第二方面、第三方面、第四方面或第五方面中的任一方面,在一种可能的实现方式中,将所述云网络的所述协议转换为所述目标资源的所述协议以进行从所述端点到所述目标资源的通信,将所述目标资源的所述协议转换为所述云网络的所述协议以进行从所述目标资源到所述第一端点的通信。这种实现方式的优点在于所述用户客户端、端点、控制台服务和目标资源不需要使用相同的协议。通过适当的协议转换处理任何差异,所述协议转换可能发生在所述用户客户端、端点、控制台服务和目标资源之间消息传递的各个阶段。
结合第一方面、第二方面、第三方面、第四方面或第五方面中的任一方面,所述请求包括对所述目标资源的所述访问的授权。这种实现方式的优点在于所述控制台服务无需执行任何操作来确定用户授权,使得提供所述控制台服务的效率更高。
结合第一方面、第二方面、第三方面、第四方面或第五方面中的任一方面,在一种可能的实现方式中,所述云网络的第二端点连接到所述会话。在一种可能的实现方式中,所述第一端点和所述第二端点使用不同的协议。这些实现方式的优点在于所述控制台服务能够在单个会话中提供到所述目标资源的广泛连接,例如使多个用户能够参与同一个会话。
结合第一方面、第二方面、第三方面、第四方面或第五方面中的任一方面,在一种可能的实现方式中,所述控制台服务提供对多种目标资源的访问。这种实现方式的优点在于不需要为每个资源提供单独的控制台服务,从而更有效地分配资源。
结合第一方面、第二方面、第三方面、第四方面或第五方面中的任一方面,在一种可能的实现方式中,所述目标资源包括以下一种或多种:
容器;
虚拟机;
裸机;
在容器上运行的应用程序;
在虚拟机上运行的应用程序;以及
在裸机上运行的应用程序。
因此,所述控制台服务适合云环境中可访问的多种资源使用。
根据本发明一些实施例的第六方面,提供了一种使用基于云的控制台服务访问资源的装置,所述控制台服务通过云网络访问并且可将会话连接到至少一个资源。所述装置包括处理器电路,所述处理器电路用于:
根据端点协议在用户客户端和所述云的端点之间建立连接;
在所述端点接收所述用户客户端发送的访问目标资源的请求,所述请求包括用户凭据;
使用所述用户凭据确定所述用户访问所述目标资源的授权;
当所述访问获授权时,从所述控制台服务请求与所述目标资源建立会话;以及
在所述会话期间,根据所述端点的相应协议和所述云网络的相应协议,通过所述端点在所述用户客户端和所述控制台服务之间传输通信。
根据本发明一些实施例的第七方面,提供了一种使用基于云的控制台服务访问资源的方法。所述控制台服务通过云网络访问并且可将会话连接到至少一个资源。所述方法包括:
在所述云网络的硬件基础设施中:
根据端点协议在用户客户端和所述云的端点之间建立连接;
在所述端点接收所述用户客户端发送的访问目标资源的请求,所述请求包括用户凭据;
使用所述凭据确定所述用户访问所述目标资源的授权;
当所述访问获授权时,从所述控制台服务请求与所述目标资源建立会话;以及
在所述会话期间,根据所述端点的相应协议和所述云网络的相应协议,通过所述端点在所述用户客户端和所述控制台服务之间传输通信。
根据本发明一些实施例的第八方面,提供了一种计算机程序产品,包括计算机程序代码,其中当所述计算机程序代码由处理器执行时使得根据本发明一些实施例的第七方面所述的方法被执行。
根据本发明一些实施例的第九方面,提供了一种非瞬时性计算机可读记录介质,所述非瞬时性计算机可读记录介质可在其中存储计算机程序产品,其中当所述计算机程序产品由处理器执行时使得根据本发明一些实施例的第七方面所述的方法被执行。
根据本发明一些实施例的第十方面,提供了一种使用基于云的控制台服务访问资源的装置,所述装置包括处理器和存储器。所述存储器存储使所述处理器执行根据本发明一些实施例的第七方面所述的方法的指令。
结合第六方面、第七方面、第八方面、第九方面或第十方面中的任一方面,在一种可能的实现方式中,将所述端点的所述协议转换为所述云网络的所述协议以进行从所述用户客户端到所述控制台服务的通信,将所述云网络的所述协议转换为所述端点的所述协议以进行从所述控制台服务到所述用户客户端的通信。这种实现方式的优点在于所述用户客户端、端点、控制台服务和目标资源不需要使用相同的协议。通过适当的协议转换处理任何差异,所述协议转换可能发生在所述用户客户端、端点、控制台服务和目标资源之间消息传递的各个阶段。
结合第六方面、第七方面、第八方面、第九方面或第十方面中的任一方面,在一种可能的实现方式中,为所述目标资源识别所述控制台服务的提供者,以及使用所述控制台服务的所述提供者建立所述端点和所述控制台服务之间的通信。
除非另有定义,否则本文所用的所有技术和科学术语都具有与本发明普通技术人员公知的含义相同的含义。尽管与本文所描述的方法和材料类似或者相同的方法和材料可以用于本发明实施例的实践或测试,但下文只描述示例性的方法和/或材料。若存在冲突,则以包括定义在内的专利说明书为准。另外,材料、方法以及示例都只是用于说明,并非必要限定。
在研究下文附图和详细描述之后,本发明的其它系统、方法、特征和优点对于本领域技术人员来说是或变得显而易见的。希望所有这些其它系统、方法、特征和优点包含在本说明书中,在本发明的范围内,并且受所附权利要求的保护。
附图说明
此处仅作为示例,结合附图描述了本发明的一些实施例。现在具体结合附图,需要强调的是所示的项目作为示例,为了说明性地讨论本发明的实施例。这样,根据附图说明,如何实践本发明实施例对本领域技术人员而言是显而易见的。
在附图中:
图1是根据本发明各实施例的用于在云网络中提供基于云的控制台服务的装置的简化框图;
图2是示例性网络架构的简化网络图,所述网络架构包括控制台提供者;
图3和图4是根据本发明各个实施例的提供基于云的控制台服务的控制台提供者的简化消息传递图;
图5是根据本发明一示例性实施例的在虚拟机管理程序中运行的控制台提供者的简化框图;
图6是根据本发明各实施例的用于在云网络中提供基于云的控制台服务的方法的简化流程图;
图7是根据本发明各实施例的使用基于云的控制台服务访问资源的方法的简化流程图;
图8是根据本发明一示例性实施例的访问远程控制台的用户客户端的简化消息传递图;
图9A是根据本发明一示例性实施例的连接到控制台提供者的用户客户端的简化消息传递图;
图9B是根据本发明一示例性实施例的使用远程控制台访问目标资源的用户客户端的简化消息传递图;以及
图10至图13是本发明各个示例性实施例的简化消息传递图。
具体实施方式
本发明的一些实施例涉及远程访问资源,更具体地(但不仅限于)涉及远程访问基于云的资源。
根据本发明的实施例,用户客户端具有到云网络的一种或多种类型的连接(例如SSH、Web接口)。云网络具有为每种类型的连接提供服务的面向用户的端点。当用户客户端通过端点发送访问云上资源的请求时,使用用户的云凭据来对用户进行认证并确定访问所请求资源的授权。如果用户获得授权访问该资源,则控制台提供者在端点和资源之间建立会话。通过控制台提供者和端点在用户客户端和资源之间传输通信。虽然实际上会话是在云网络中进行的,但从用户的角度来看,已经建立了到所请求资源的连接,并且用户可以访问该资源。
此处使用的术语“云网络”是指提供对一组共享计算机系统资源的访问的网络。术语“云网络”和“云”意在包括所有云部署模型,包括但不限于单个组织的私有云、可供公众使用(例如通过互联网)的公共云、混合云等。
此处使用的术语“端点”是指通信进出云网络所通过的接口(例如网络网关设备或网络节点)。可选地,除了充当通信接口之外,端点还执行其它功能(例如,如下所述的认证和/或授权)。
此处使用的术语“控制台服务”和“远程控制台”是指呈现用户界面的服务,所述用户界面使得云网络外部的实体能够访问、控制和接收来自目标资源的信息,所述目标资源在通过云网络访问的计算资源上运行。
此处使用的术语“控制台提供者”是指运行控制台服务的硬件。“控制台提供者”可以是单个硬件设备、多个硬件设备或者可以分布在云网络基础设施上。
此处使用的术语“会话”是指在有界时间段内至少两个计算实体之间的交互(例如通信序列或通信流)。通常,会话是为了响应于一个或多个计算实体的请求而建立的,并在交互终止时结束。
此处使用的术语“协议”是指允许网络实体通过网络交换信息的一组规则(例如消息格式、调制、编码等)。
此处使用的术语“用户客户端”是指在云网络外部的计算机上运行的请求访问目标资源的应用。可选地,用户客户端包括使人类用户能够发起请求和/或提供凭据和/或与目标资源进行交互的用户界面。
此处使用的术语“云凭据”是指用于对尝试访问云网络的外部设备或应用进行认证的凭据。
此处使用的术语“目标资源”是指可通过云网络访问的计算资源。资源的类型可以包括硬件和/或软件和/或固件。
在详细解释本发明的至少一个实施例之前,应当理解,本发明不必将其应用限于下面描述中阐述的和/或在附图和/或实施例中说明的部件和/或方法的结构和布置的细节。本发明可以有其它实施例或可以采用各种方式实践或执行。
本发明可以为系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质(或多个介质),计算机可读存储介质具有用于使处理器执行本发明的各方面的指令。
计算机可读存储介质可以为可保留和存储供指令执行设备使用的指令的有形设备。计算机可读存储介质可以为,例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或前述的任何适当组合。计算机可读存储介质的更具体示例的非详尽列表包括:便携式计算机磁盘、硬盘、随机存取存储器(random access memory,简称RAM)、只读存储器(read-only memory,简称ROM)、可擦除可编程只读存储器(erasableprogrammable read-only memory,简称EPROM,或闪存)、静态随机存取存储器(staticrandom access memory,简称SRAM)、便携式只读光盘(compact disc read-only memory,简称CD-ROM)、数字多功能光盘(digital versatile disk,简称DVD)、记忆棒、软盘、机械编码设备(例如打孔卡或凹槽中其上记录有指令的凸起结构)以及前述的任何适当组合。此处使用的计算机可读存储介质不应理解为本身瞬时的信号,例如,无线电波或其它自由传播的电磁波、通过波导或其它传输介质(例如,通过光缆的光脉冲)传播的电磁波,或通过电线传输的电信号。
可以从计算机可读存储介质中将此处描述的计算机可读程序指令下载到各个计算/处理设备上,或通过网络下载到外部计算机或外部存储设备上。所述网络为因特网、局域网、广域网和/或无线网等。网络可以包括铜传输电缆、光学传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网卡或网络接口从网络接收计算机可读程序指令,并转发所述计算机程序可读程序指令,以存储在各自计算/处理设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(instruction-set-architecture,简称ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据或者以一种或多种程序设计语言的任意组合撰写的源代码或目标代码,所述程序设计语言包括面向对象的程序设计语言(例如,Smalltalk、C++等)和常规程序化程序设计语言(例如,“C”程序设计语言或类似程序设计语言)。计算机可读程序指令可以完全在用户的计算机上执行,部分在用户的计算机上执行,或者作为独立的软件包,部分在用户的计算机上执行,部分在远程计算机上执行,或者完全在远程计算机或服务器上执行。在后一种场景中,远程计算机可以通过任何类型的网络连接到用户的计算机,包括局域网(local area network,简称LAN)或广域网(wide area network,简称WAN),或者可以(例如,使用互联网服务提供商通过互联网)连接到外部计算机。在一些实施例中,包括可编程逻辑电路、现场可编程门阵列(field-programmable gate array,简称FPGA)或可编程逻辑阵列(programmable logic array,简称PLA)等的电子电路可以利用计算机可读程序指令的状态信息执行所述计算机可读程序指令以个性化所述电子电路,以便执行本发明的各方面。
此处,结合本发明实施例的方法、装置(系统)以及计算机程序产品的流程图和/或框图描述本发明的各方面。应当理解,流程图和/或框图的每个框以及流程图和/或框图中的框的组合可以由计算机可读程序指令来实现。
可以将这些计算机程序指令提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,以生成机制,使得这些通过计算机或其它可编程数据处理装置的处理器所执行的指令创建实现流程图和/或方框图中的一个或多个方框所指定的功能/动作的机制。这些计算机可读程序指令还可以存储在计算机可读存储介质中,所述计算机可读存储介质可以指示计算机、可编程数据处理装置和/或其它设备以特定方式工作,使得存储有指令的所述计算机可读存储介质包括含有指令的制品,这些指令用于实现流程图和/或方框图的一个或多个方框所指定的功能/动作的各个方面。
还可以将计算机可读程序指令加载到计算机、其它可编程数据处理装置或其它设备上,使得在所述计算机、其它可编程装置或其它设备上执行一系列操作步骤,从而生成计算机实现过程,使得在所述计算机、其它可编程装置或其它设备上执行的指令实现流程图和/或方框图的一个或多个方框所指定的功能/动作。
图中的流程图和框图阐述了根据本发明各个实施例的系统、方法以及计算机程序产品的可能实现方式的结构、功能以及操作。就此而言,流程图或框图中的每个块可以表示模块、区段或指令的部分,其包括用于实施指定逻辑功能的一个或多个可执行指令。在一些可选的实现方式中,框中指出的功能可以不按照图中的顺序实现。例如,事实上,连续示出的两个方块可以几乎同时执行,或者有时候,方块可以按照相反的顺序执行,这取决于所涉及的功能。也应注意的是,框图和/或流程图中的每个框以及框图和/或流程图中的框组合可以由基于专用硬件的系统执行,该系统执行特定的功能或动作,或者执行专用硬件和计算机指令的组合。
控制台提供者
现参考图1,图1是根据本发明各实施例的用于在云网络中提供基于云的控制台服务的装置的简化框图。所述装置(此处表示为控制台提供者)包括处理器电路110,处理器电路110执行提供基于云的控制台服务的处理操作。所述处理器电路可以包括一个或多个处理器和携带程序代码的非瞬时性存储介质。
控制台提供者100从所述云网络的端点接收访问目标资源的请求,并在所述端点和所述目标资源之间建立会话。可选地,来自所述端点的所述请求基于在所述端点处从所述云网络外部的用户客户端接收的初始请求。
在所述会话期间,控制台提供者100在所述端点和所述目标资源之间来回传输通信。控制台提供者100和所述目标资源之间的通信依照所述目标资源使用的协议(此处表示为目标资源协议)。控制台提供者100和所述端点之间的通信依照通过所述云网络与所述端点通信使用的协议(此处表示为云网络协议)。
可选地,控制台提供者100提供对多种目标资源的访问。
目标资源的类型包括但不限于:
a)容器;
b)虚拟机(virtual machine,简称VM);
c)裸机;
d)在容器上运行的应用程序;
e)在虚拟机上运行的应用程序;以及
f)在裸机上运行的应用程序。
可选地,在目标资源协议和云网络协议不同的情况下,控制台提供者100根据需要将数据流从一种协议转换为另一种协议,以维持所述端点和所述目标资源之间的通信。控制台提供者100将云网络协议转换为目标资源协议,以进行从所述端点到所述目标资源的通信。控制台提供者100将目标资源协议转换为云网络协议,以进行所述目标资源到所述第一端点的通信。
所述云网络可以包括多个可供所述用户客户端使用的端点。
可选地,所有这些端点都使用单个云网络协议与所述控制台提供者通信。这使得添加新协议端点变得简单,因为不需要更改所述控制台提供者的操作,只需确保新端点使用支持的云网络协议与所述控制台提供者通信。
或者,这些端点使用各自的云网络协议与所述控制台提供者通信,这些云网络协议可能因端点而异。
不同的目标资源可能需要不同级别的授权。开放资源可能不需要任何授权,在这种情况下,即使请求中不包括对访问开放资源的授权,控制台提供者100也可以建立会话。
可选地,控制台提供者100还包括以下一项或多项:
a)通信接口120,用于通过所述云网络与所述端点和/或所述目标资源进行通信;
b)内部存储器130,用于存储控制台提供者操作所需的信息(例如,使用中的协议、目标资源的相应授权级别等);以及
c)流中继140,位于通信接口120和所述目标资源之间,并为协议端点提供已知的连接点。所述中继使用一种或多种云网络协议(例如,传输控制协议和用户数据报协议)连接到所述云网络,确定为与请求目标资源通信是否需要执行协议转换(例如,转换为VSOCK或UART),并确保(例如,在内部或使用专用协议转换器)执行适当的协议转换。
可选地,控制台提供者100运行多个控制台服务,其中,每个控制台服务为相应目标资源和/或相应目标资源类型呈现用户界面。
例如,指令可以由一个或多个处理器执行,如一个或多个数字信号处理器(digital signal processor,简称DSP)、通用微处理器、专用集成电路(applicationspecific integrated circuit,简称ASIC)、现场可编程逻辑阵列(field programmablelogic array,简称FPLA)或其它等效的集成或离散逻辑电路。相应地,此处使用的术语“处理器”可以指前述结构中的任一个或适合于实现此处描述的技术的任何其它结构。此外,在一些方面,此处描述的功能可以在专用硬件和/或软件模块中提供,所述专用硬件和/或软件模块用于执行为提供基于云的控制台服务所需的处理操作。另外,这些技术可以在一个或多个电路或逻辑元件中完全实现。
现参考图2,图2是示例性云网络架构的简化网络图,所述云网络架构包括控制台提供者;控制台提供者210提供控制台服务,使得用户客户端250能够通过云网络230访问目标资源220。用户客户端250通过一个或多个端点240连接到云网络230。端点240依照云网络协议与控制台提供者210进行通信。控制台提供者210使用相应的目标资源协议与一个或多个目标资源220进行通信。用户客户端250使用由控制台提供者210在端点240和目标资源之间建立的会话访问目标资源。
可选地,云网络230包括云资产270,云资产270包括有关访问网络上资源的信息。例如,端点可以查询云资产270,来确定如何将通信路由到为特定目标资源提供控制台服务的控制台提供者。
现参考图3,图3是根据本发明第一实施例的提供基于云的控制台服务的控制台提供者的简化消息传递图。在图3所示的示例性实施例中,控制台提供者不执行协议转换。当端点和目标资源使用相同的通信协议时,可以不执行协议转换而建立会话。
在310中,端点向控制台提供者发送访问目标资源的请求。端点的请求基于端点从用户客户端接收的访问指定目标资源的请求。
在320中,控制台提供者在端点和目标资源之间建立会话。
在330至360中,控制台提供者在会话期间在端点和目标资源之间传输数据流。
现参考图4,图4是根据本发明第二实施例的提供基于云的控制台服务的控制台提供者的简化消息传递图。图4基本上对应于图3,但是增加了控制台提供者在会话期间执行协议转换。在440中,来自端点的数据流在转发到目标资源之前被转换为目标资源协议。在470中,来自目标资源的数据流在转发到端点之前被转换为云网络协议。因此,可以在使用不同通信协议的端点和目标资源之间建立会话。
现参考图5,图5是根据本发明一示例性实施例的在虚拟机管理程序中运行的控制台提供者的简化框图。云网络具有面向用户的SSH端点540和RDP端点550。控制台提供者500在虚拟机管理程序510中运行,并提供允许用户客户端访问容器终端520和VM串行控制台530资源的控制台服务。协议转换器580和协议转换器590充当与虚拟机管理程序510的连接的传输协议(即云网络协议)和资源的控制台访问协议(即目标资源协议)之间的适配器。
出于解释的目的,下面描述的是用户客户端尝试通过RDP端点550访问容器终端520的情况。在其它情况下,用户客户端可以通过不同的端点和/或连接到不同的云上资源。
用户客户端向RDP端点550发送访问容器终端520的请求。该请求包括用户的云凭据。RDP端点550向云的凭据管理器(在本例中是LDAP服务器560)提供云凭据,并请求用户客户端访问容器终端520的授权。如果LDAP服务器560回复用户客户端获授权访问容器终端520,则RDP端点550从云资产570中检索目标资源的位置,并开始为容器终端520中继到控制台提供者的连接。当控制台提供者500从RDP端点550接收到连接时,它会检查该连接来确定该连接的目标资源,并在RDP端点550与容器终端520之间建立会话。在会话期间,控制台提供者500通过协议转换器单元580代理RDP端点550与容器终端520之间的通信。多个端点和/或到多个目标资源和/或自多个用户客户端之间的通信可以由流中继595中继到适当的端点和/或目标资源和/或用户客户端,同时确保执行适当的协议转换。
多端点会话
可选地,控制台提供者能够将多个端点连接到通过给定目标资源建立的同一个会话。
进一步可选地,多个端点使用跟踪会话状态的会话主机连接到单个会话。当控制台提供者在第一端点和目标资源之间发起会话时创建会话主机。会话主机负责维护控制台的当前状态(即当前应该在屏幕上显示什么)。当第二端点连接到会话时,它从会话主机接收控制台的当前状态,使得第二端点可以显示它连接到会话之前发生的信息。可以对所有未来连接执行相同的过程,因为状态及其变化会从会话主机广播到参与会话的端点。
当端点向目标资源发送信息时,所述信息被传递到会话主机,会话主机会将所述信息转发到目标资源,就好像有单个端点参与会话一样。
即使没有连接,会话主机也会继续处理来自控制台流的传入数据并更新内部状态。
如果多个端点使用各自不同的通信协议,如上所述,控制台提供者会根据相应的云网络协议执行协议转换,使得参与会话的所有端点可以与目标资源进行通信。
提供基于云的控制台服务的方法
现参考图6,图6是根据本发明各实施例的用于在云网络中提供基于云的控制台服务的方法的简化流程图。
在610中,从云网络端点接收访问目标资源的请求。在620中,在端点和目标资源之间建立会话。在会话期间,在630中,在端点和目标资源之间根据云网络协议和目标资源协议传输通信。在640中,会话终止。
可选地,所述方法还包括:将云网络协议转换为目标资源协议以进行从端点到目标资源的通信;将目标资源协议转换为云网络协议以进行从目标资源到端点的通信。
可选地,基于从端点接收的请求中包含的授权建立会话。需要说明的是,云网络中可用的所有资源并非都需要授权。
可选地,多个端点连接到会话。因此,多个用户客户端可以参与会话和/或用户客户端可以与同一个目标资源建立多种连接类型。端点可以使用相同或不同的通信协议。
可选地,控制台服务提供对多种目标资源的访问。
访问控制台服务
在本发明一些实施例中,云硬件基础设施中(例如,端点处)的处理器电路有助于用户客户端访问基于云的控制台服务。可选地,有助于以下至少一项:
a)建立端点与用户客户端的连接;
b)使用用户客户端的云凭据获取用户客户端访问目标资源的授权。获取授权可选地包括使用云凭据对用户客户端进行认证;
c)识别控制台服务的控制台提供者;
d)在用户客户端和控制台提供者之间传输通信;以及
e)云网络协议与用户客户端和端点之间的通信所使用的协议(表示为端点协议)之间的协议转换。
现参考图7,图7是根据本发明各实施例的使用基于云的控制台服务访问资源的方法的简化流程图。所述控制台服务将会话连接到至少一个资源。所述方法在云网络的硬件基础设施中执行。
在710中,根据相应的端点协议在用户客户端和端点之间建立连接。
在720中,在端点处从用户客户端接收访问目标资源的请求。该请求包括云凭据。
在730中,云凭据用于确定用户是否有权访问所请求的目标资源(例如,通过查询凭据管理器)。如果访问未获授权,则停止处理请求。
如果访问获授权,在750中,向控制台服务发送建立与目标资源的会话的请求。可选地,在745中,(例如,使用云资产数据库)识别控制台服务的提供者,使得建立会话的请求可以发送到正确的控制台服务。
在760中,在建立的会话期间,响应于请求,根据端点协议和云网络协议通过端点在用户客户端和控制台服务之间传输通信。
可选地,当云网络协议和端点协议不同时,根据需要执行协议转换以建立用户客户端和控制台服务之间的通信。
在770中,会话终止。
现参考图8,图8是根据本发明一示例性实施例的访问远程控制台的用户客户端的简化消息传递图。所述远程控制台将会话连接到至少一个目标资源。
在810中,用户客户端与端点建立连接。在820中,用户客户端请求访问目标资源。所述请求包括云凭据。在830和840中,端点请求并从凭据管理器接收用户客户端访问目标资源的授权。然后,端点向控制台提供者发送请求以建立与目标资源的会话。由于端点已经获得建立会话的授权,因此远程控制台可以在不查询凭据管理器以获得授权的情况下发起会话。
会话建立后,来自用户客户端的消息流通过端点在用户客户端和远程控制台之间传输(860、870、880和890)。可选地,当云网络协议和端点协议不同时,端点执行协议转换(865和885)。
示例实施例
现参考图9A和图9B,图9A和图9B是根据本发明一示例性实施例的使用基于云的远程控制台访问目标资源的用户客户端的简化消息传递图。图9A和图9B示出了用户客户端、协议端点、AAA提供者(即凭据管理器)、云资产、控制台提供者和目标资源之间的消息传递。
图9A示出了会话初始化阶段和与控制台提供者的连接阶段。在会话初始化阶段,在900和905中,用户客户端发起与端点的会话并提供云凭据。在910和915中,端点使用凭据向AAA提供者认证用户。
在与控制台提供者的连接阶段,在920中,用户客户端从端点请求访问目标资源。在925至940中,端点从AAA提供者获得用户客户端访问资源的授权,并使用云库存定位控制台提供者。在945中,端点从控制台提供者请求访问目标资源。
图9B示出了与资源的交互阶段。在与资源的交互阶段,用户客户端使用在控制台提供者上运行的远程控制台与目标资源进行交互。在950至960中,用户流通过端点传输到控制台提供者。在970中,控制台提供者将用户流转发到目标资源。在975至995中,响应流以类似方式通过控制台提供者和端点从资源传输到用户客户端。在955、965、980和990中,由端点和控制台提供者在两个方向上执行协议转换。
现参考图10至图13,图10至图13是本发明各个示例性实施例的简化消息传递图。
图10是通过控制台服务访问虚拟机(virtual machine,简称VM)资源的消息传递图。
在1000至1015中,会话初始化。在1000中,用户客户端使用连接到SSH端点的SSH客户端发起对控制台服务的访问。常规SSH流开始。在1005中,用户客户端向SSH端点提供公钥。在1010和1015中,SSH端点将认证请求转发到LDAP服务器进行认证,并接收认证成功或失败的指示。
如果认证成功,则在1020至1045中,用户客户端与为VM提供远程控制台的控制台提供者交互。
在1020中,用户客户端请求访问特定虚拟机(此处表示为VM X)的控制台。
在1025和1030中,SSH端点执行授权,向LDAP检查是否允许用户客户端进行这种类型的访问。授权完成后,在1035和1040中,SSH端点使用云资产中可用的信息定位VM X。在1045中,SSH端点连接到为VM X服务的控制台提供者,并访问远程控制台。
图11是用户客户端使用SSH协议通过控制台服务与容器资源交互的消息传递图。
会话初始化如同图10中的1000至1015所示。当SSH端点在会话初始化期间连接到容器的控制台提供者后,在1200中,控制台提供者从容器运行时(例如,Docker的runc、systemd-nspawn)请求新的终端会话。在1105中,容器运行时创建新的终端并使其可供容器访问。在1110中,容器运行时在附加到新终端的容器内生成新进程(例如bash shell)。在1115中,容器运行时将终端的另一端返回到控制台提供者。
从这时开始,控制台提供者能够读取和写入终端,从而与终端上运行的用户客户端程序进行交互。
图12是用户客户端使用SSH协议通过控制台服务与裸机服务器资源交互的消息传递图。
在图12所示的实施例中,控制台服务器具有多个串行/USB端口,每个串行/USB端口连接到裸机服务器的相应控制台。每个控制台在网络中通过Telnet/SSH等协议公开。
终端多路复用器是一个熟悉访问特定控制台服务器的软件组件(例如,随着供应商之间的细节变化)。它还负责保持与控制台服务器的会话打开,并根据裸机控制台提供者熟悉的协议公开对它们的访问。
会话初始化如同图10中的1000至1015所示。在1200中,裸机控制台提供者访问终端多路复用器。在1205中,终端多路复用器定位相关的控制台服务器以及该服务器上的通道。在1210中,终端多路复用器确认请求成功。在1215中,控制台提供者开始向终端多路复用器发送数据。终端多路复用器负责在裸机控制台提供者协议使用的协议和控制台服务器供应商支持的协议之间进行转换。
同样,从这时开始,控制台提供者能够读取和写入终端,从而与终端上运行的用户客户端程序进行交互。
图13是用户客户端使用SSH协议通过控制台服务与VM访客资源交互的消息传递图。为了使用户客户端能够使用远程控制台访问虚拟机,虚拟机必须配合这个过程(可以选择拒绝)。
会话初始化如同图10中的1000至1015所示。在1300和1305中,控制台提供者通过附加新的虚拟“硬件”串行控制台来发起请求。在1310中,VM检测到附加了新的控制台设备,并决定是允许还是禁止会话。该决定可以由用户代码控制。
如果请求获批准,在1315至1325中,VM生成附加到控制台提供者的程序(例如shell)。控制台提供者能够通过所述远程控制台硬件与所述程序进行交互。
如果请求被拒绝,在1330至1340中,不会确认并会丢弃添加的串行通道。
上述方法用于集成电路芯片的制造。
图中的流程图和框图阐述了根据本发明各个实施例的系统、方法以及计算机程序产品的可能实现方式的结构、功能以及操作。就此而言,流程图或框图中的每个块可以表示模块、区段或代码的部分,其包括用于实施指定逻辑功能的一个或多个可执行指令。也应注意的是,在一些可替代的实施方案中,块中指出的功能可以不按照图中的顺序实现。例如,事实上,连续示出的两个方块可以几乎同时执行,或者有时候,方块可以按照相反的顺序执行,这取决于所涉及的功能。也应注意的是,框图和/或流程图中的每个框以及框图和/或流程图中的框组合可以由基于专用硬件的系统执行,该系统执行特定的功能或动作,或者执行专用硬件和计算机指令的组合。
对本发明各个实施例的描述只是为了说明的目的,而这些描述并不旨在穷举或限于所公开的实施例。在不脱离所描述的实施例的范围和精神的情况下,本领域技术人员可以清楚理解许多修改和变化。相比于市场上可找到的技术,选择此处使用的术语可最好地解释本实施例的原理、实际应用或技术进步,或使本领域其它技术人员理解此处公开的实施例。
预计在从本申请走向成熟的专利的有效期内,将开发许多相关云网络、通信协议、用户客户端、凭据管理器、端点和云网络上可用的资源,并且术语云网络、协议、用户客户端、凭据管理器、端点和资源的范围旨在先验地包括所有此类新技术。
术语“包括”、“包含”、“具有”以及其变化形式表示“包含但不限于”。这个术语包括了术语“由……组成”以及“本质上由……组成”。
短语“主要由…组成”意指组成物或方法可以包含额外成分和/或步骤,但前提是所述额外成分和/或步骤不会实质上改变所要求的组成物或方法的基本和新颖特性。
除非上下文中另有明确说明,此处使用的单数形式“一个”和“所述”包括复数含义。例如,术语“化合物”或“至少一个化合物”可以包含多个化合物,包含其混合物。
此处使用的词“示例性的”表示“作为一个例子、示例或说明”。任何“示例性的”实施例并不一定理解为优先于或优越于其它实施例,和/或并不排除其它实施例特点的结合。
此处使用的词语“可选地”表示“在一些实施例中提供且在其它实施例中没有提供”。本发明的任意特定的实施例可以包含多个“可选的”特征,除非这些特征相互矛盾。
在整个本申请案中,本发明的各种实施例可以范围格式呈现。应理解,范围格式的描述仅为了方便和简洁起见,并且不应该被解释为对本发明范围的固定限制。因此,对范围的描述应被认为是已经具体地公开所有可能的子范围以及所述范围内的个别数值。例如,对例如从1到6的范围的描述应被认为是已经具体地公开子范围,例如从1到3、从1到4、从1到5、从2到4、从2到6、从3到6等,以及所述范围内的个别数字,例如1、2、3、4、5和6。不管范围的宽度如何,这都适用。
当此处指出一个数字范围时,表示包含了在指出的这个范围内的任意所列举的数字(分数或整数)。短语“在第一个所指示的数和第二个所指示的数范围内”以及“从第一个所指示的数到第二个所指示的数范围内”和在这里互换使用,表示包括第一个和第二个所指示的数以及二者之间所有的分数和整数。
应了解,为简洁起见在单独实施例的上下文中描述的本发明的某些特征还可以组合提供于单个实施例中。相反地,本发明的各个特征在单个实施例的正文中有简短的描述,也可以分别提供这些特征或任何适合的子组合或者作为本发明所述的任何合适的其它实施例。在各个实施例的上下文中描述的某些特征未视为那些实施例的基本特征,除非没有这些元素所述实施例无效。
尽管已结合本发明的具体实施例描述了本发明,但很明显,对于本领域技术人员来说,许多替代、修改和变化是显而易见的。相应地,所有属于所附权利要求书的精神和范围的此类替代、修改和变化都包括在本发明之内。
此处,本说明书中提及的所有出版物、专利和专利说明书都通过引用本说明书结合在本说明书中,同样,每个单独的出版物、专利或专利说明书也具体且单独地结合在此。此外,对本申请的任何参考的引用或识别不可当做是允许这样的参考在现有技术中优先于本发明。就使用节标题而言,不应该将节标题理解成必要的限定。
Claims (22)
1.一种用于在云网络中提供基于云的控制台服务的装置,其特征在于,所述装置包括处理器电路,所述处理器电路用于:
从所述云网络的第一端点接收访问目标资源的请求;
在所述第一端点和所述目标资源之间建立会话;以及
在所述会话期间,根据所述云网络的相应协议和所述目标资源的相应协议,在所述第一端点和所述目标资源之间传输通信。
2.根据权利要求1所述的装置,其特征在于,所述处理器电路还用于:
将所述云网络的所述协议转换为所述目标资源的所述协议,以进行从所述端点到所述目标资源的通信;以及
将所述目标资源的所述协议转换为所述云网络的所述协议,以进行从所述目标资源到所述第一端点的通信。
3.根据权利要求1或2所述的装置,其特征在于,所述请求包括对所述目标资源的所述访问的授权。
4.根据权利要求1至3中任一项所述的装置,其特征在于,所述处理器电路还用于将所述云网络的第二端点连接到所述会话。
5.根据权利要求4所述的装置,其特征在于,所述第一端点和所述第二端点使用不同的协议。
6.根据权利要求1至5中任一项所述的装置,其特征在于,所述控制台服务提供对多种目标资源的访问。
7.根据权利要求1至6中任一项所述的装置,其特征在于,所述目标资源包括以下一种或多种:
容器;
虚拟机;
裸机;
在容器上运行的应用程序;
在虚拟机上运行的应用程序;以及
在裸机上运行的应用程序。
8.一种用于在云网络中提供基于云的控制台服务的方法,其特征在于,包括:
从所述云网络的第一端点接收访问目标资源的请求;
在所述第一端点和所述目标资源之间建立会话;以及
在所述会话期间,根据所述云网络的相应协议和所述目标资源的相应协议,在所述第一端点和所述目标资源之间传输通信。
9.根据权利要求8所述的方法,其特征在于,还包括:将所述云网络的所述协议转换为所述目标资源的所述协议,以进行从所述端点到所述目标资源的通信;以及将所述目标资源的所述协议转换为所述云网络的所述协议,以进行从所述目标资源到所述第一端点的通信。
10.根据权利要求8或9所述的方法,其特征在于,所述请求包括对所述目标资源的所述访问的授权。
11.根据权利要求8至10中任一项所述的方法,其特征在于,还包括将所述云网络的第二端点连接到所述会话。
12.根据权利要求11所述的方法,其特征在于,所述第一端点和所述第二端点使用不同的协议。
13.根据权利要求8至12中任一项所述的方法,其特征在于,所述控制台服务提供对多种目标资源的访问。
14.根据权利要求8至13中任一项所述的方法,其特征在于,所述目标资源包括以下一种或多种:
容器;
虚拟机;
裸机;
在容器上运行的应用程序;
在虚拟机上运行的应用程序;以及
在裸机上运行的应用程序。
15.一种使用基于云的控制台服务访问资源的装置,其特征在于,所述控制台服务通过云网络访问并且可将会话连接到至少一个资源,所述装置包括处理器电路,所述处理器电路用于:
根据端点协议在用户客户端和所述云的端点之间建立连接;
在所述端点接收所述用户客户端发送的访问目标资源的请求,所述请求包括用户凭据;
使用所述用户凭据确定所述用户访问所述目标资源的授权;
当所述访问获授权时,从所述控制台服务请求与所述目标资源建立会话;以及
在所述会话期间,根据所述端点的相应协议和所述云网络的相应协议,通过所述端点在所述用户客户端和所述控制台服务之间传输通信。
16.根据权利要求15所述的装置,其特征在于,所述处理器电路还用于:将所述端点的所述协议转换为所述云网络的所述协议,以进行从所述用户客户端到所述控制台服务的通信;以及将所述云网络的所述协议转换为所述端点的所述协议,以进行从所述控制台服务到所述用户客户端的通信。
17.根据权利要求15或16所述的装置,其特征在于,所述处理器电路还用于:为所述目标资源识别所述控制台服务的提供者;以及使用所述提供者建立所述端点和所述控制台服务之间的通信。
18.一种使用基于云的控制台服务访问资源的方法,其特征在于,所述控制台服务通过云网络访问并且可将会话连接到至少一个资源,包括:
在所述云网络的硬件基础设施中:
根据端点协议在用户客户端和所述云的端点之间建立连接;
在所述端点接收所述用户客户端发送的访问目标资源的请求,所述请求包括用户凭据;
使用所述凭据确定所述用户访问所述目标资源的授权;
当所述访问获授权时,从所述控制台服务请求与所述目标资源建立会话;以及
在所述会话期间,根据所述端点的相应协议和所述云网络的相应协议,通过所述端点在所述用户客户端和所述控制台服务之间传输通信。
19.根据权利要求18所述的方法,其特征在于,还包括:将所述端点的所述协议转换为所述云网络的所述协议,以进行从所述用户客户端到所述控制台服务的通信;以及将所述云网络的所述协议转换为所述端点的所述协议,以进行从所述控制台服务到所述用户客户端的通信。
20.根据权利要求18或19所述的方法,其特征在于,还包括:为所述目标资源识别所述控制台服务的提供商;以及使用所述控制台服务的所述提供商建立所述端点和所述控制台服务之间的通信。
21.一种计算机程序产品,其特征在于,包括计算机程序代码,其中当所述计算机程序代码由处理器执行时使得根据权利要求8至14中任一项或权利要求18至20中任一项所述的方法被执行。
22.一种非瞬时性计算机可读记录介质,其特征在于,可在其中存储计算机程序产品,其中当所述计算机程序产品由处理器执行时使得根据权利要求8至14中任一项或权利要求18至20中任一项所述的方法被执行。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2019/071876 WO2021028052A1 (en) | 2019-08-14 | 2019-08-14 | Method and apparatus for cloud-based console service in a cloud network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113906714A true CN113906714A (zh) | 2022-01-07 |
CN113906714B CN113906714B (zh) | 2022-12-13 |
Family
ID=67667846
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980096997.6A Active CN113906714B (zh) | 2019-08-14 | 2019-08-14 | 云网络中基于云的控制台服务的方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN113906714B (zh) |
WO (1) | WO2021028052A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10397233B2 (en) * | 2015-04-20 | 2019-08-27 | Bomgar Corporation | Method and apparatus for credential handling |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102347959A (zh) * | 2011-11-18 | 2012-02-08 | 运软网络科技(上海)有限公司 | 基于身份和会话的资源访问系统和方法 |
CN102821134A (zh) * | 2011-02-23 | 2012-12-12 | 美国博通公司 | 一种网关及对其进行操作的方法 |
CN102857815A (zh) * | 2011-02-23 | 2013-01-02 | 美国博通公司 | 一种网关、云服务器及其操作方法 |
CN103237019A (zh) * | 2013-04-03 | 2013-08-07 | 中国科学院合肥物质科学研究院 | 一种云服务访问网关系统和方法 |
CN103236969A (zh) * | 2013-04-03 | 2013-08-07 | 中国科学院合肥物质科学研究院 | 一种用于云服务计费管理的网关系统和方法 |
US20150229638A1 (en) * | 2014-02-07 | 2015-08-13 | Oracle International Corporation | Mobile cloud service architecture |
US20160226874A1 (en) * | 2015-02-04 | 2016-08-04 | Red Hat, Inc. | Secure Shell (SSH) Proxy for a Platform-as-a-Service System |
CN107204918A (zh) * | 2016-03-16 | 2017-09-26 | 无锡十月中宸科技有限公司 | 一种云安全网关及云安全系统 |
-
2019
- 2019-08-14 WO PCT/EP2019/071876 patent/WO2021028052A1/en active Application Filing
- 2019-08-14 CN CN201980096997.6A patent/CN113906714B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102821134A (zh) * | 2011-02-23 | 2012-12-12 | 美国博通公司 | 一种网关及对其进行操作的方法 |
CN102857815A (zh) * | 2011-02-23 | 2013-01-02 | 美国博通公司 | 一种网关、云服务器及其操作方法 |
CN102347959A (zh) * | 2011-11-18 | 2012-02-08 | 运软网络科技(上海)有限公司 | 基于身份和会话的资源访问系统和方法 |
CN103237019A (zh) * | 2013-04-03 | 2013-08-07 | 中国科学院合肥物质科学研究院 | 一种云服务访问网关系统和方法 |
CN103236969A (zh) * | 2013-04-03 | 2013-08-07 | 中国科学院合肥物质科学研究院 | 一种用于云服务计费管理的网关系统和方法 |
US20150229638A1 (en) * | 2014-02-07 | 2015-08-13 | Oracle International Corporation | Mobile cloud service architecture |
US20160226874A1 (en) * | 2015-02-04 | 2016-08-04 | Red Hat, Inc. | Secure Shell (SSH) Proxy for a Platform-as-a-Service System |
CN107204918A (zh) * | 2016-03-16 | 2017-09-26 | 无锡十月中宸科技有限公司 | 一种云安全网关及云安全系统 |
Also Published As
Publication number | Publication date |
---|---|
WO2021028052A1 (en) | 2021-02-18 |
CN113906714B (zh) | 2022-12-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107534672B (zh) | 一种促进网络客户端提供网络服务的方法、设备与系统 | |
CN107113319B (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
CN110944330B (zh) | Mec平台部署方法及装置 | |
US11075821B2 (en) | Method and apparatus for managing field device based on cloud server | |
US9398026B1 (en) | Method for authenticated communications incorporating intermediary appliances | |
US8650326B2 (en) | Smart client routing | |
US11425134B1 (en) | Secure access to a corporate web application with translation between an internal address and an external address | |
US20070136471A1 (en) | Systems and methods for negotiating and enforcing access to network resources | |
CN111226418B (zh) | 针对跨网络周边防火墙的设备使能零接触引导 | |
CN113518348B (zh) | 业务处理方法、装置、系统及存储介质 | |
AU2018287525A1 (en) | Systems and methods for data encryption for cloud services | |
US20190207784A1 (en) | Establishing a secure connection between separated networks | |
US11900138B2 (en) | Remote access control of VM console located in cloud from on-premises computer device | |
US20200128083A1 (en) | Method of activating processes applied to a data session | |
US20230254292A1 (en) | Private and Secure Chat Connection Mechanism for Use in a Private Communication Architecture | |
CN112437100A (zh) | 漏洞扫描方法及相关设备 | |
US20070136301A1 (en) | Systems and methods for enforcing protocol in a network using natural language messaging | |
TW201606564A (zh) | 安全的統一雲端儲存 | |
EP3454520A1 (en) | Virtual private networks without software requirements | |
CN113906714B (zh) | 云网络中基于云的控制台服务的方法及装置 | |
US8676998B2 (en) | Reverse network authentication for nonstandard threat profiles | |
US11888898B2 (en) | Network configuration security using encrypted transport | |
US20070136472A1 (en) | Systems and methods for requesting protocol in a network using natural language messaging | |
US9071596B2 (en) | Securely establishing a communication channel between a switch and a network-based application using a unique identifier for the network-based application | |
WO2014001871A1 (en) | System and method for facilitating communication between multiple networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20220223 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Applicant after: Huawei Cloud Computing Technologies Co.,Ltd. Address before: 518129 Huawei headquarters office building, Bantian, Longgang District, Shenzhen City, Guangdong Province Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |