CN113992685A - 一种服务控制器确定方法、系统及装置 - Google Patents
一种服务控制器确定方法、系统及装置 Download PDFInfo
- Publication number
- CN113992685A CN113992685A CN202111245649.6A CN202111245649A CN113992685A CN 113992685 A CN113992685 A CN 113992685A CN 202111245649 A CN202111245649 A CN 202111245649A CN 113992685 A CN113992685 A CN 113992685A
- Authority
- CN
- China
- Prior art keywords
- controller
- client
- service
- current
- pressure value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种服务控制器确定方法、系统及装置。方案如下:客户端向第一控制器发送第一链接请求;第一控制器在接收到第一链接请求时,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对客户端进行安全认证的服务控制器。应用本申请实施例提供的技术方案,在保证控制器负载的前提下,保证了客户端各端口在同一时刻所分配到的服务控制器的统一性,从而保证了控制器的性能。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种服务控制器确定方法、系统及装置。
背景技术
在软件定义边界(Software Defined Perimeter,SDP)零信任组网中包括客户端、控制器集群、网关。控制器集群中的每一控制器可以作为客户端的服务控制器,对客户端进行安全认证,并在认证通过时,确定该客户端的访问权限,从而将该访问权限下发至网关,使得网关在接收到客户端的访问请求时,对客户端进行访问授权。
目前,在上述SDP零信任组网中还包括负载分担设备。该负载分担设备可以根据客户端发送的链接请求的源地址和源端口,以及控制器集群中每一控制器的负载情况,为客户端分配对应的服务控制器。但是,对于客户端而言,客户端的每一业务流是以“互联网协议(Internet Protocol,IP)地址+端口”的形式来表示的。由于SDP零信任组网中的某一客户端在某一时刻可能多条业务流,这使得客户端在某一时刻可以发送多个链接请求,并且每一链接请求所对应的端口并不相同。此时,负载分担设备在确定该客户端的服务控制器时,将针对每一链接请求分别分配对应的服务控制器,由于每一链接请求对应不同的端口,这将导致该客户端将被分配到多个服务控制器,从而影响控制器的性能。
发明内容
本申请实施例的目的在于提供一种服务控制器确定方法、系统及装置,以在保证控制器负载的前提下,保证客户端各端口在同一时刻所分配到的服务控制器的统一性,从而保证控制器的性能。具体技术方案如下:
本申请实施例提供了一种服务控制器确定方法,应用于SDP零信任组网,所述SDP零信任组网包括控制器集群和客户端,所述控制器集群包括多个控制器,所述多个控制器中的第一控制器为当前的主控制器,所述方法包括:
所述客户端向所述第一控制器发送第一链接请求;
所述第一控制器在接收到所述第一链接请求时,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对所述客户端进行安全认证的服务控制器;
其中,各控制器的第一负载压力值为:当前的主控制器按照预设时间周期,根据所述控制器集群中每一控制器在目标时刻的第一运行状态数据确定的;所述第一负载压力值与控制器当前的业务负载呈正相关,所述目标时刻为每一预设时间周期所对应的时间范围内的起始时刻。
可选的,所述多个控制器中的第二控制器为当前的从控制器;
所述客户端在与所述第一控制器间的链接异常时,向所述第二控制器发送第二链接请求;
所述第二控制器在接收到所述第二链接请求时,若确定所述第一控制器异常,则向所述客户端和第三控制器发送第一通知消息,所述第一通知消息用于指示所述第二控制器为当前的主控制器,所述第三控制器为所述多个控制器中除所述第二控制器以外的其他控制器。
可选的,所述方法还包括:
所述第二控制器在确定所述第一控制器异常时,获取所述控制器集群中当前时刻所在时间周期内各控制器的第二运行状态数据,根据每一控制器的第二运行状态数据,计算该控制器的第二负载压力值,并根据每一控制器的第二负载压力值,从所述第三控制器中确定第四控制器;向所述客户端发送第二通知消息,所述第二通知消息用于指示所述第四控制器为当前的从控制器。
可选的,所述方法还包括:
所述第二控制器在确定所述第一控制器正常时,向所述客户端发送提示消息,所述提示消息用于指示对所述客户端与第一控制器间的链路进行链路检测。
可选的,所述控制器集群还包括第五控制器;所述第五控制器为所述多个控制器中除当前的主控制器以外的任一控制器;
所述方法还包括:
所述第五控制器在接收到所述第一链接请求时,向所述客户端发送所述第一控制器的地址信息;
所述客户端根据所述第一控制器的地址信息,向所述第一控制器发送所述第三链接请求。
可选的,所述SDP零信任组网还包括所述客户端对应的目标网关;
所述方法还包括:
所述第一控制器在确定所述服务控制器后,向所述客户端发送所述服务控制器的地址信息;
所述客户端基于接收到的所述服务控制器的地址信息,向所述服务控制器发送认证请求;
所述服务控制器在接收到所述认证请求后,若所述客户端认证通过,则生成所述客户端的访问权限,并向所述目标网关和所述客户端发送所述访问权限;
所述目标网关基于接收到的访问权限,对所述客户端进行访问授权。
本申请实施例还提供了一种服务控制器确定方法,应用于SDP零信任组网中的第一控制器,所述SDP零信任组网包括控制器集群和客户端,所述控制器集群包括多个控制器,所述第一控制器为所述多个控制器中当前的主控制器,所述方法包括:
接收所述客户端发送的第一链接请求;
基于所述第一链接请求,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对所述客户端进行安全认证的服务控制器;
其中,各控制器的第一负载压力值为:当前的主控制器按照预设时间周期,根据所述控制器集群中每一控制器在目标时刻的第一运行状态数据确定的;所述第一负载压力值与控制器当前的业务负载呈正相关,所述目标时刻为每一预设时间周期所对应的时间范围内的起始时刻。
本申请实施例还提供了一种服务控制器确定系统,应用于SDP零信任组网,所述SDP零信任组网包括控制器集群和客户端,所述控制器集群包括多个控制器,所述多个控制器中的第一控制器为当前的主控制器;
所述客户端,用于向所述第一控制器发送第一链接请求;
所述第一控制器,用于在接收到所述第一链接请求时,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对所述客户端进行安全认证的服务控制器;
其中,各控制器的第一负载压力值为:当前的主控制器按照预设时间周期,根据所述控制器集群中每一控制器在目标时刻的第一运行状态数据确定的;所述第一负载压力值与控制器当前的业务负载呈正相关,所述目标时刻为每一预设时间周期所对应的时间范围内的起始时刻。
可选的,所述多个控制器中的第二控制器为当前的从控制器;
所述客户端,还用于在与所述第一控制器间的链接异常时,向所述第二控制器发送第二链接请求;
所述第二控制器,用于在接收到所述第二链接请求时,若确定所述第一控制器异常,则向所述客户端和第三控制器发送第一通知消息,所述第一通知消息用于指示所述第二控制器为当前的主控制器,所述第三控制器为所述多个控制器中除所述第二控制器以外的其他控制器。
可选的,所述第二控制器,还用于在确定所述第一控制器异常时,获取所述控制器集群中当前时刻所在时间周期内各控制器的第二运行状态数据,根据每一控制器的第二运行状态数据,计算该控制器的第二负载压力值,并根据每一控制器的第二负载压力值,从所述第三控制器中确定第四控制器;向所述客户端发送第二通知消息,所述第二通知消息用于指示所述第四控制器为当前的从控制器。
可选的,所述第二控制器,还用于在确定所述第一控制器正常时,向所述客户端发送提示消息,所述提示消息用于指示对所述客户端与第一控制器间的链路进行链路检测。
可选的,所述控制器集群还包括第五控制器;所述第五控制器为所述多个控制器中除当前的主控制器以外的任一控制器;
所述第五控制器,用于在接收到所述第一链接请求时,向所述客户端发送所述第一控制器的地址信息;
所述客户端,还用于根据所述第一控制器的地址信息,向所述第一控制器发送所述第三链接请求。
可选的,所述SDP零信任组网还包括所述客户端对应的目标网关;
所述第一控制器,还用于在确定所述服务控制器后,向所述客户端发送所述服务控制器的地址信息;
所述客户端,用于基于接收到的所述服务控制器的地址信息,向所述服务控制器发送认证请求;
所述服务控制器,用于在接收到所述认证请求后,若所述客户端认证通过,则生成所述客户端的访问权限,并向所述目标网关和所述客户端发送所述访问权限;
所述目标网关,用于基于接收到的访问权限,对所述客户端进行访问授权。
本申请实施例还提供了一种服务控制器确定装置,应用于SDP零信任组网中的第一控制器,所述SDP零信任组网包括控制器集群和客户端,所述控制器集群包括多个控制器,所述第一控制器为所述多个控制器中当前的主控制器,所述装置包括:
接收模块,用于接收所述客户端发送的第一链接请求;
确定模块,用于基于所述第一链接请求,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对所述客户端进行安全认证的服务控制器;
其中,各控制器的第一负载压力值为:当前的主控制器按照预设时间周期,根据所述控制器集群中每一控制器在目标时刻的第一运行状态数据确定的;所述第一负载压力值与控制器当前的业务负载呈正相关,所述目标时刻为每一预设时间周期所对应的时间范围内的起始时刻。
本申请实施例还提供了一种控制器,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的服务控制器确定方法步骤。
本申请实施例还提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的服务控制器确定方法步骤。
本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一所述的服务控制器确定方法。
本申请实施例提供的技术方案中,控制器集群中的主控制器在接收到客户端发送的链接请求后,将根据当前时刻所在时间周期内控制器集群中各控制器的负载压力值,确定出用于对客户端进行安全认证的服务控制器。由于控制器集群中各控制器的负载压力值是由主控制器周期性根据各控制器的负载情况确定的,因此,基于该负载压力值所确定的服务控制器可以保证每一控制器的负载情况。并且,在每一预设时间周期内,每一控制器的负载压力值为以固定值,此时,针对客户端发送的每一链接请求都将确定唯一的服务控制器,保证了确定出的服务控制器的唯一性。因此,采用本申请实施例提供的方法,在保证了控制器负载的前提下,保证了客户端各端口在同一时刻所分配到的服务控制器的统一性,从而保证控制器的性能。
另外,由于服务控制器是由控制器集群中的主控制器直接确定的,这避免了在控制器集群中部署负载分担设备,有效节约了负载分担设备部署所需的成本,降低了控制器集群的部署成本。
当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为SDP零信任组网的一种结构示意图;
图2为本申请实施例提供的服务控制器确定方法的第一种信令图;
图3为本申请实施例提供的服务控制器确定方法的第二种信令图;
图4为本申请实施例提供的服务控制器确定方法的第三种信令图;
图5为本申请实施例提供的服务控制器确定方法的第四种信令图;
图6为本申请实施例提供的服务控制器确定方法的第五种信令图;
图7为本申请实施例提供的服务控制器确定方法的第六种信令图;
图8为本申请实施例提供的服务控制器确定方法的一种流程示意图;
图9-a为本申请实施例提供的服务控制器确定系统的第一种结构示意图;
图9-b为本申请实施例提供的服务控制器确定系统的第二种结构示意图;
图9-c为本申请实施例提供的服务控制器确定系统的第三种结构示意图;
图9-d为本申请实施例提供的服务控制器确定系统的第四种结构示意图;
图10为本申请实施例提供的服务控制器确定装置的一种结构示意图;
图11为本申请实施例提供的控制器的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图1所示,图1为SDP零信任组网的一种结构示意图。在图1所示的SDP零信任组网中包括控制器集群、客户端和网关。其中,控制器集群由控制器1、控制器2和控制器3组成。为便于理解,结合图1对相关技术的服务控制器确定过程进行说明。
现假设客户端存在3个端口,即端口1、端口2和端口3。某一时刻客户端的3个端口同时向互联网发送链接请求,SDP零信任组网中的负载分担设备(图1中未示出)在接收到这3个链接请求时,为了失保证各控制器的负载均衡,分别根据这3个链接请求包括的源地址和源端口(即端口1、端口2和端口3),确定客户端所对应的服务控制器。如端口1所对应的服务控制器为控制器1,端口2所对应的服务控制器为控制器2,端口3所对应的服务控制器为控制器3。此时,客户端将分配到3个服务控制器。这3个服务控制器在为客户端提供认证服务时,可能存在服务不同步,资源浪费等问题,影响控制器的性能。
为了解决相关技术中的问题,本申请实施例提供了一种服务控制器确定方法。该方法应用于SDP零信任组网,该SDP零信任组网可以包括控制器集群和客户端,控制器集群包括多个控制器,多个控制器中的第一控制器为当前的主控制器。
如图2所示,图2为本申请实施例提供的服务控制器确定方法的第一种信令图。该方法包括以下步骤。
步骤S201,客户端向第一控制器发送第一链接请求。
步骤S202,第一控制器在接收到第一链接请求时,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对客户端进行安全认证的服务控制器。
在本申请实施例中,各控制器的第一负载压力值为:当前的主控制器按照预设时间周期,根据控制器集群中每一控制器在目标时刻的第一运行状态数据确定的;第一负载压力值与控制器当前的业务负载呈正相关,目标时刻为每一预设时间周期所对应的时间范围内的起始时刻。
在本申请实施例中,上述SDP零信任组网中还包括网关。SDP零信任组网中包括的客户端、网关的数量可以为一个或多个,控制器的数量为多个。在此,对上述SDP零信任组网中的客户端、网关和控制器的数量不作具体限定。为便于理解,下面仅以一个客户端和一个网关为例进行说明。并不起任何限定作用。
通过图2所示的方法,控制器集群中的主控制器在接收到客户端发送的链接请求后,将根据当前时刻所在时间周期内控制器集群中各控制器的负载压力值,确定出用于对客户端进行安全认证的服务控制器。由于控制器集群中各控制器的负载压力值是由主控制器周期性根据各控制器的负载情况确定的,因此,基于该负载压力值所确定的服务控制器可以保证每一控制器的负载情况。并且,在每一预设时间周期内,每一控制器的负载压力值为以固定值,此时,针对客户端发送的每一链接请求都将确定唯一的服务控制器,保证了确定出的服务控制器的唯一性。因此,采用本申请实施例提供的方法,在保证了控制器负载的前提下,保证了客户端各端口在同一时刻所分配到的服务控制器的统一性,从而保证控制器的性能。
另外,由于服务控制器是由控制器集群中的主控制器直接确定的,这避免了在控制器集群中部署负载分担设备,有效节约了负载分担设备部署所需的成本,降低了控制器集群的部署成本。
下面通过具体的实施例,对本申请实施例进行说明。
针对上述步骤S201,即客户端向第一控制器发送第一链接请求。
在本申请实施例中,由于上述第一控制器为控制器集群中当前的主控制器,因此,在客户端中存储有主控制器所对应的地址信息。
一个可选的实施例中,当第一控制器为预先指定的主控制器时,客户端所存储的主控制器的地址信息是预先存储的。
另一个可选的实施例中,当第一控制器为当前的主控制器异常后变更的主控制器时,客户端所存储的主控制器的地址信息是主控制器变更后更新的。
客户端在需要上线时,如用户触发登录操作时,可以根据其存储的主控制器的地址信息时,向主控制器发送链接请求(记为第一链接请求)。由于此时第一控制器为当前的主控制器,因此,客户端所存储的主控制器的地址信息为第一控制器的地址信息,此时,第一链接请求将被发送给第一控制器。
上述地址信息可以表示为控制器的域名信息或IP地址。在此,对上述地址信息不作具体限定。
针对上述步骤S202,即第一控制器在接收到第一链接请求时,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对客户端进行安全认证的服务控制器。
其中,各控制器的第一负载压力值为:当前的主控制器按照预设时间周期,根据控制器集群中每一控制器在目标时刻的第一运行状态数据确定的;第一负载压力值与控制器当前的业务负载呈正相关,目标时刻为每一预设时间周期所对应的时间范围内的起始时刻。
在本申请实施例中,客户端在向第一控制器发送上述第一链接请求后,第一控制器将接收到的该第一链接请求。此时,第一控制器可以根据接收到的第一链接请求,与客户端建立安全链接。
由于主控制器会周期性的获取控制器集群中每一控制器的运行状态数据(记为第一运行状态数据),并计算每一控制器的负载压力值(记为第一负载压力值),因此,第一控制器在与客户端建立安全链接后,可以获取当前时刻所在时间周期内每一控制器所对应的第一负载压力值,并根据每一控制器的第一负载压力值,从控制器集群所包括的多个控制器中,确定用于对客户端进行安全认证的服务控制器。
一个可选的实施例中,在确定上述客户端所对应的服务控制器时,第一控制器可以根据当前时刻所在时间周期内每一控制器所对应的第一负载压力值,将第一负载压力值最小的控制器确定为客户端所对应的服务控制器。
一个可选的实施例中,在确定上述客户端所对应的服务控制器时,当第一控制器确定出的第一负载压力值最小的控制器的数量为多个时,第一控制器可以根据控制器的其他参数,如控制器的编号,将编号最大/最小的控制器确定为客户端所对应的服务控制器。
在本申请实施例中,通过将最小第一负载压力值的控制器确定为客户端所对应的服务控制器,可以使得确定出的服务控制器的负载最小,服务控制器的负载能力最强,在保证负载均衡的前提下,使得控制器集群的性能最优,为SDP零信任组网的正常运行提供保障。
在本申请实施例中,第一控制器作为上述控制器集群中当前的主控制器,可以按照预设时间周期,周期性获取控制器集群中每一控制器的第一运行状态数据。例如,第一控制器可以每隔10秒,获取控制器集群中每一控制器的第一运行状态数据。此时,上述预设时间周期为10秒。
上述预设时间周期可以根据用户的具体需求进行设置。例如,上述预设时间周期还可以为1秒或5秒等。在此,对上述预设时间周期不作具体限定。
一个可选实施例中,第一控制器在获取上述第一运行状态数据时,由于在上述SDP零信任组网中,控制器集群中的每一控制器间可以通过专用通道进行通信。第一控制器可以利用该专用通道向控制器集群中的每一第五控制器发送数据获取请求。每一第五控制器在接收到该数据获取请求后,可以将当前时刻的运行状态数据通过该专用通道发送给第一控制器。
上述第五控制器为控制器集群所包括的多个控制器中除当前的主控制器以外的任一控制器。
在本申请实施例中,第一控制器除了获取每一第五控制器所对应的第一运行状态数据以外,还将获取自身的第一运行状态数据。
上述第一运行状态数据包括但不限于各控制器的CPU使用率、内存使用量、在线用户数量、周期内平均上线用户数量、周期内平均吞吐量等。在此,对上述第一运行状态数据不作具体限定。
在本申请实施例中,上述第一运行状态数据所包括的CPU使用率、内存使用量、在线用户数量等数据可以根据第一运行状态数据获取时刻各控制器的运行状态确定。上述第一运行状态数据所包括的周期内平均上线用户数量、周期内平均吞吐量等数据可以根据上一预设时间周期内各控制器的运行状态计算得到。
在本申请实施例中,针对控制器集群中的每一控制器,主控制器在周期性获取到每一控制器的第一运行状态数据后,将根据获取到的第一运行状态数据,计算每一控制器在每一预设时间周期内对应的负载压力值。例如,上述第一控制器将根据获取到的第一运行状态数据,计算每一控制器的第一负载压力值。
上述每一控制器的负载压力值可以采用多种方式计算得到。例如,主控制器可以计算每一控制器的运行状态数据的加权和/加权平均数,并将该加权和/加权平均数确定为每一控制器的负载压力值。在此,对上述负载压力值的计算方式不作具体限定。
在本申请实施例中,上述第一负载压力值与控制器当前的业务负载呈正相关。也就是针对控制器集群中的每一控制器,当该控制器的第一负载压力值越大,该控制器当前时刻的业务负载越大,可承受的业务负载越小;当该控制器的第一负载压力值越小,该控制器当前时刻的业务负载越小,可承受的负载能力越多。
在本申请实施例中,上述第一控制器可以为控制器集群中的任一控制器。在此,对上述第一控制器不作具体限定。
一个可选的实施例中,在上述控制器集群中除了预先指定了主控制器以外,还可以预先指定了从控制器。上述控制器集群所包括多个控制器中的第二控制器可以为当前的从控制器。该第二控制器可以为上述控制器集群中的任一控制器。在此,对上述第二控制器不作具体限定。
在本申请实施例中,上述第二控制器可以为预先指定的从控制器,也可以为主控制器变更后随之变更的从控制器。
一个可选的实施例中,当上述第二控制器为当前的从控制器时,根据图2所示的方法,本申请实施例还提供了一种服务控制器确定方法。如图3所示,图3为本申请实施例提供的服务控制器确定方法的第二种信令图。该方法包括以下步骤。
步骤S301,客户端向第一控制器发送第一链接请求。
步骤S302,第一控制器在接收到第一链接请求时,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对客户端进行安全认证的服务控制器。
上述步骤S301-步骤S302与上述步骤S201-步骤S202相同。
步骤S303,客户端在与第一控制器间的链接异常时,向第二控制器发送第二链接请求。
在本步骤中,当上述第二控制器为控制器集群中当前的从控制器时,客户端将存储有该从控制器的地址信息,即第二控制器的地址信息。当客户端与第一控制器间的链接异常时,客户端将根据其存储的从控制器的地址信息,向从控制器发送链接请求(记为第二链接请求)。由于此时第二控制器为当前的从控制器,因此,该第二链接请求将被发送至第二控制器。
一个可选的实施例中,客户端可以对其与第一控制器间的安全链接进行检测,得到检测结果,从而在检测结果指示客户端与第一控制器间的链接异常时,执行上述步骤S303。
在本申请实施例中,上述客户端与第一控制器间的链接异常可以表示为:客户端在发送上述第一链接请求后未与第一控制器建立安全链接。也可以表示为:客户端在与第一控制器建立安全链接后,该安全链接断开。例如,客户端与第一控制器建立安全链接后的某一时刻,第一控制器故障或者第一控制器与客户端间的链路故障,此时,客户端与第一控制器的安全链接将断开。
在本申请实施例中,在构建上述SDP零信任组网时,可以对控制器集群中的主控制器和从控制器进行设置。后期运行过程中,可以对主控制器和从控制器进行及时变更。
一个可选的实施例中,在初始设置主控制器和从控制器时,上述SDP零信任组网中可以包括一管理服务器,该管理服务器可以自动指定控制器集群中的某一控制器为主控制器,另一控制器为从控制器。
另一个可选的实施例中,在初始设置主控制器和从控制器时,用户手动将控制器集群中的两个控制器分别设置为主控制器和从控制器。
关于主控制器和从控制器变更可参见下文描述,在此不作具体说明。
步骤S304,第二控制器在接收到第二链接请求时,若确定第一控制器异常,则向客户端和第三控制器发送第一通知消息,第一通知消息用于指示第二控制器为当前的主控制器,第三控制器为多个控制器中除第二控制器以外的其他控制器。
在本申请实施例中,客户端在向第二控制器发送上述第二链接请求后,第二控制器将接收到该第二链接请求。此时,第二控制器可以基于接收到的第二链接请求,与客户端建立安全链接。
第二控制器在与客户端建立安全链接后,可以检测第一控制器是否异常,如检测第一控制器是否故障,得到检测结果。若根据该检测结果确定第一控制器异常时,第二控制器将作为主控制器向SDP零信任组网中的其他设备发送通知消息(记为第一通知消息)。也就是第二控制器将向SDP零信任组网中客群中除第二控制器以外的每一其他控制器(记为第三控制器)发送第一通知消息。
在本申请实施例中,第二控制器可以利用多种方式对第一控制器进行检测。例如,第二控制器可以对第一控制器进行Ping检测,Ping(Packet Internet Groper)是一种因特网包探索器。具体的,第二控制器可以向第一控制器发送Ping数据包,若第一控制器正常,则将返回对应的数据包,此时,第二控制器可以确定第一控制器正常;若第一控制器异常,则将无法返回对应的数据包,此时,第二控制器可以确定第一控制器异常。
上述第一通知消息用于指示第二控制器为当前的主控制器。也就是接收到的该第一通知消息的客户端、网关和控制器可以确定当前的主控制器由上述第一控制器变更为第二控制器。
一个可选的实施例中,上述第一通知消息可以包括上述第二控制器的地址信息。当上述客户端在接收到上述第一通知消息时,客户端可以确定当前的主控制器由上述第一控制器变更为第二控制器。此时,客户端可以将其存储的主控制器的地址信息由上述第一控制器的地址信息更新为第一通知消息所携带的地址信息。
在本申请实施例中,上述由于客户端与第一控制器间的链接异常可以发生在上述步骤S302之前,也可以发送在上述步骤302的执行过程中,在此,对上述步骤S303与步骤S302的执行顺序不作具体限定。
通过上述第一通知消息的发送,从控制器可以在主控制器的异常时主动切换为当前的主控制器,从而保证控制器集群中主控制器的正常运行。
一个可选的实施例中,根据图3所示的方法,本申请实施例还提供了一种服务控制器确定方法。如图4所示,图4为本申请实施例提供的服务控制器确定方法的第三种信令图。该方法包括以下步骤。
步骤S401,客户端向第一控制器发送第一链接请求。
步骤S402,第一控制器在接收到第一链接请求时,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对客户端进行安全认证的服务控制器。
步骤S403,客户端在与第一控制器间的链接异常时,向第二控制器发送第二链接请求。
步骤S404,第二控制器在接收到第二链接请求时,若确定第一控制器异常,则向客户端和第三控制器发送第一通知消息,第一通知消息用于指示第二控制器为当前的主控制器,第三控制器为多个控制器中除第二控制器以外的其他控制器。
上述步骤S401-步骤S404与上述步骤S301-步骤S304相同。
步骤S405,第二控制器在确定第一控制器异常时,获取控制器集群中当前时刻所在时间周期内各控制器的第二运行状态数据,根据每一控制器的第二运行状态数据,计算该控制器的第二负载压力值,并根据每一控制器的第二负载压力值,从第三控制器中确定第四控制器;向客户端发送第二通知消息,第二通知消息用于指示第四控制器为当前的从控制器。
在本申请实施例中,在第二控制器与客户端建立安全链接后,若确定第一控制器异常,则第二控制器将作为主控制器按照上述预设时间周期,获取控制器集群中每一控制器的运行状态数据(记为第二运行状态数据)。第二控制器可以根据获取到的每一控制器的第二运行状态数据,计算每一控制器的负载压力值(记为第二负载压力值)。第二控制器可以根据每一控制器的第二负载压力值,重新确定上述控制器集群中的从控制器。
上述第二运行状态数据的获取和第二负载压力值的计算可参照上述第一运行状态数据的获取方式和第一负载压力值的计算方式,在此不作具体说明。
由于上述第一控制器异常,使得第二控制器的角色由从控制器变更为主控制器,此时,当前的从控制器的空。为了保证从控制器可以在主控制器异常时及时变更为主控制器,第二控制设备获取到首个时间周期内各控制器的第二运行状态数据,并根据该第二运行状态数据,计算每一控制器的第二负载压力值后,可以根据每一控制器第二压力值,从第三控制器中确定出一个第四控制器。也就是从多个控制器除第二控制器以外的其他控制器中确定出一个第四控制器,作为当前的从控制器。此时,第二控制器可以向SDP零信任组网中的客户端、网关和其他控制器发送第二通知消息。
上述第二通知消息用于指示第四控制器为当前的从控制器。也就是接收到的该第二通知消息的客户端、网关和控制器可以确定当前的从控制器由上述第而控制器变更为第四控制器。
一个可选的实施例中,在确定上述第四控制器时,第二控制器可以根据控制器集群中的每一控制器的第二负载压力值,将最小第二负载压力值所对应的第三控制器确定为第四控制器。
通过将第二负载压力值最小的第三控制器确定为第四控制器,可以有保障确定出的第四控制器的负载能力最强,从而保证变更后的当前的从控制器的负载能力。
一个可选的实施例中,上述第二通知消息可以包括上述第四控制器的地址信息。当上述客户端在接收到上述第二通知消息时,客户端可以确定当前的从控制器由上述第二控制器变更为第四控制器。此时,客户端可以将其存储的从控制器的地址信息由上述第二控制器的地址信息更新为第二通知消息所携带的地址信息。
通过上述第二通知消息的发送,从控制器可以在第二控制器变更为当前的主控制器时,及时确定当前的从控制器,从而保证控制器集群中当前的主控制器异常时,可以及时将当前的从控制器变更为当前的主控制器,为主控制器的正常运行提供保障。
一个可选的实施例中,根据图3所示的方法,本申请实施例还提供了一种服务控制器确定方法。如图5所示,图5为本申请实施例提供的服务控制器确定方法的第四种信令图。该方法包括以下步骤。
步骤S501,客户端向第一控制器发送第一链接请求。
步骤S502,第一控制器在接收到第一链接请求时,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对客户端进行安全认证的服务控制器。
步骤S503,客户端在与第一控制器间的链接异常时,向第二控制器发送第二链接请求。
步骤S504,第二控制器在接收到第二链接请求时,若确定第一控制器异常,则向客户端和第三控制器发送第一通知消息,第一通知消息用于指示第二控制器为当前的主控制器,第三控制器为多个控制器中除第二控制器以外的其他控制器。
上述步骤S501-步骤S504与上述步骤S301-步骤S304相同。
步骤S505,第二控制器在确定第一控制器正常时,向客户端发送提示消息,提示消息用于指示对客户端与第一控制器间的链路进行链路检测。
在本步骤中,在第二控制器与客户端建立安全链接后,若第二控制器确定第一控制器未出现异常,也就是第一控制器正常时,第二控制器可以向客户端发送提示消息。
例如,该提示消息可以表示为:“请检查到主控制器链路”、“链路异常请检测”等。在此,对上述提示消息的表示方式不作具体限定。
上述提示消息用于指示对客户端与第一控制器间的链路进行链路检测。也就是客户端在接收到的该提示消息后,可以确定需要对其与第一控制器(即当前的主控制器)间的链路进行链路检测。
通过第二控制器向客户端发送上述提示消息,可以使得客户端确定当前的主控制器未异常,从而使得客户端对其与主控制器间的链路进行检测,避免链路异常对客户端与当前的主控制器间链接的影响,
在本申请实施例中,当第二控制器在确定第一控制器异常时,将执行步骤S504;当第二控制器在确定第一控制器正常时,将执行步骤S505。
一个可选的实施例中,根据图2所示的方法,本申请实施例还提供了一种服务控制器确定方法。如图6所示,图6为本申请实施例提供的服务控制器确定方法的第五种信令图。该方法包括以下步骤。
步骤S601,客户端向第一控制器发送第一链接请求。
步骤S602,第一控制器在接收到第一链接请求时,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对客户端进行安全认证的服务控制器。
上述步骤S601-步骤S602与上述步骤S201-步骤S202相同。
步骤S603,第五控制器在接收到第一链接请求时,向客户端发送第一控制器的地址信息。
在本步骤中,上述客户端在向第一控制器发送上述第一链接请求时,由于该第一链接请求是根据客户端所存储的主控制器的地址信息发送的,这可能导致该第一链接请求被发送到控制器集群中的第五控制器。此时,第五控制器将接收到该第一链接请求。由于该第五控制器不是当前的主控制器,因此,第五控制器可以获取当前主控制器的地址信息(即上述第一控制器的地址信息),并将该地址信息发送给客户端。
上述第五控制器可以为多个控制器中除当前的主控制器以外的任一控制器。
在本申请实施例中,由于客户端所存储的主控制器的地址信息错误,或者主控制器的地址信息更新不及时等原因,均可能导致上述第一链接请求并未发送至当前的主控制器,而是发送到控制器集群中的第五控制器处。此时,第五控制器通过向客户端发送当前的主控制器的地址信息,使得客户端可以及时对其存储的主控制器的地址信息进行更新。
一个可选的实施例中,为了便于客户端可以准确确定第五控制器发送的地址信息为当前的主控制器的地址信息,上述第五控制器在发送当前主控制的地址信息的同时,可以携带指示该地址信息为当前的主控制器的地址信息的标识。
步骤S604,客户端根据第一控制器的地址信息,向第一控制器发送第三链接请求。
在本步骤中,客户端在接收到上述第五控制器发送的第一控制器的地址信息后,可以将其存储的主控制器的地址信息更新为其所接收到的地址信息。此时,客户端可以根据该地址信息,向当前的主控制器(即上述第一控制器)发送链接请求(记为第三链接请求)。第一客户端在接收到该第三链接请求后,将执行上述步骤S602。
在本申请实施例中,在执行上述步骤S601后,若第一链接请求被发送到第一控制器,则执行步骤S602;若第一链接请求被发送到上述第五控制器,则执行上述步骤S603-步骤S604后,在执行步骤S602。
第五控制器在接收客户端发送的第一链接请求后,通过将当前的主控制器的地址发送给客户端,可以有效提高客户端的容错率。
一个可选的实施例中,在上述SDP零信任组网中可以包括一个或多个网关。每一网关分别与控制器集群中每一控制器链接。在SDP零信任组网中存在上述客户端对应的网关,记为目标网关。
一个可选的实施例中,根据图1所示的方法,本申请实施例还提供了一种服务控制器确定方法。如图7所示,图7为本申请实施例提供的服务控制器确定方法的第六种信令图。该方法包括以下步骤。
步骤S701,客户端向第一控制器发送第一链接请求。
步骤S702,第一控制器在接收到第一链接请求时,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对客户端进行安全认证的服务控制器。
上述步骤S701-步骤S702与上述步骤S201-步骤S202相同。
步骤S703,第一控制器在确定服务控制器后,向客户端发送服务控制器的地址信息。
在本步骤中,第一控制器在执行上述步骤S702确定服务控制器后,也就是确定客户端所对应的服务控制器后,可以获取该服务控制器的地址信息,并将该服务控制器的地址信息发送给客户端。
一个可选的实施例中,为了便于客户端可以准确确定第一控制器发送的地址信息为其对应的服务控制器,第一控制器在发送上述服务控制器的地址信息的同时,可以携带指示该地址信息为服务控制器的地址信息的标识。
步骤S704,客户端基于接收到的服务控制器的地址信息,向服务控制器发送认证请求。
在本步骤中,客户端将接收到上述第一控制器所发送的服务控制器的地址信息后,可以基于该地址信息,向服务控制器发送认证请求。
上述认证请求中可以包括待认证信息。该待认证信息包括但不限于客户端的设备信息、客户端对应登录用户的用户信息等。在此,对待认证信息不作具体限定。
在本申请实施例中,客户端在接收到上述服务控制器的地址信息后,先基于该地址信息与服务控制器建立安全链接,之后,再基于该地址信息,向服务控制器发送认证请求。在此,对安全链接建立的过程不作具体说明。
步骤S705,服务控制器在接收到认证请求后,若客户端认证通过,则生成客户端的访问权限,并向目标网关和客户端发送访问权限。
在本步骤中,服务控制器在接收到客户端发送的认证请求后,可以根据上述待认证信息,对客户端进行安全认证。当客户端认证通过时,服务控制器可以根据预先配置的权限生成策略,生成客户端的访问权限。服务控制器可以将其生成的访问权限发送至上述目标网关。
一个可选的实施例中,当上述客户端未认证通过时,服务控制器可以向控制器发送指示认证未通过的提示消息。
步骤S706,目标网关基于接收到的访问权限,对客户端进行访问授权。
在本步骤中,目标网关在接收到的客户端的访问权限后,可以对该访问权限进行存储。当目标网关接收到的客户端发送的业务访问请求时,将根据其存储的客户端的访问权限,对客户端进行访问授权。
本申请实施例中,通过向客户端发送确定出的服务控制器的地址信息,使得客户端可以向服务控制器发送访问请求,从而使得服务控制器对客户端进行安全认证和访问权限下发,保证客户端业务访问的正常进行。
基于同一种发明构思,根据上述本申请实施例提供的服务控制器确定方法,本申请实施例还提供了一种服务控制器确定方法。该方法应用于SDP零信任组网中的第一控制器,该SDP零信任组网包括控制器集群和客户端,控制器集群包括多个控制器,第一控制器为多个控制器中当前的主控制器。
如图8所示,图8为本申请实施例提供的服务控制器确定方法的一种流程示意图。
步骤S801,接收客户端发送的第一链接请求。
步骤S802,基于第一链接请求,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对客户端进行安全认证的服务控制器。
其中,各控制器的第一负载压力值为:当前的主控制器按照预设时间周期,根据控制器集群中每一控制器在目标时刻的第一运行状态数据确定的;第一负载压力值与控制器当前的业务负载呈正相关,目标时刻为每一预设时间周期所对应的时间范围内的起始时刻。
一个可选的实施例中,上述步骤S802中的根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对客户端进行安全认证的服务控制器,具体可以表示为:
第一控制器根据当前时刻所在时间周期内各控制器的第一负载压力值,将最小第一负载压力值所对应的控制器,确定为用于对客户端进行安全认证的服务控制器。
通过图8所示的方法,控制器集群中的主控制器在接收到客户端发送的链接请求后,将根据当前时刻所在时间周期内控制器集群中各控制器的负载压力值,确定出用于对客户端进行安全认证的服务控制器。由于控制器集群中各控制器的负载压力值是由主控制器周期性根据各控制器的负载情况确定的,因此,基于该负载压力值所确定的服务控制器可以保证每一控制器的负载情况。并且,在每一预设时间周期内,每一控制器的负载压力值为以固定值,此时,针对客户端发送的每一链接请求都将确定唯一的服务控制器,保证了确定出的服务控制器的唯一性。因此,采用本申请实施例提供的方法,在保证了控制器负载的前提下,保证了客户端各端口在同一时刻所分配到的服务控制器的统一性,从而保证控制器的性能。
另外,由于服务控制器是由控制器集群中的主控制器直接确定的,这避免了在控制器集群中部署负载分担设备,有效节约了负载分担设备部署所需的成本,降低了控制器集群的部署成本。
基于同一种发明构思,根据上述本申请实施例提供的服务控制器确定方法,本申请实施例还提供了一种服务控制器确定系统。该系统应用于SDP零信任组网,SDP零信任组网包括控制器集群和客户端,控制器集群包括多个控制器,多个控制器中的第一控制器为当前的主控制器。
如图9-a所示,图9-a为本申请实施例提供的服务控制器确定系统的第一种结构示意图。
上述客户端901,用于向第一控制器902发送第一链接请求;
上述第一控制器902,用于在接收到第一链接请求时,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对客户端901进行安全认证的服务控制器;
其中,各控制器的第一负载压力值为:当前的主控制器按照预设时间周期,根据控制器集群中每一控制器在目标时刻的第一运行状态数据确定的;第一负载压力值与控制器当前的业务负载呈正相关,目标时刻为每一预设时间周期所对应的时间范围内的起始时刻。
可选的,如图9-b所示,上述多个控制器中的第二控制器903为当前的从控制器;
上述客户端901,还可以用于在与第一控制器902间的链接异常时,向第二控制器903发送第二链接请求;
上述第二控制器903,用于在接收到第二链接请求时,若确定第一控制器902异常,则向客户端901和第三控制器发送第一通知消息,第一通知消息用于指示第二控制器903为当前的主控制器,第三控制器为多个控制器中除第二控制器903以外的其他控制器。
可选的,上述第二控制器903,还可以用于在确定第一控制器902异常时,获取控制器集群中当前时刻所在时间周期内各控制器的第二运行状态数据,根据每一控制器的第二运行状态数据,计算该控制器的第二负载压力值,并根据每一控制器的第二负载压力值,从第三控制器中确定第四控制器;向客户端901发送第二通知消息,第二通知消息用于指示第四控制器为当前的从控制器。
可选的,上述第二控制器903,还可以用于在确定第一控制器902正常时,向客户端901发送提示消息,提示消息用于指示对客户端901与第一控制器902间的链路进行链路检测。
可选的,如图9-c所示,上述控制器集群还可以包括第五控制器904;第五控制器904为多个控制器中除当前的主控制器以外的任一控制器;
上述第五控制器904,用于在接收到第一链接请求时,向客户端901发送第一控制器902的地址信息;
上述客户端901,还用于根据第一控制器902的地址信息,向第一控制器902发送第三链接请求。
可选的,如图9-d所示,上述SDP零信任组网还包括客户端901对应的目标网关906;
上述第一控制器902,还用于在确定服务控制器905后,向客户端901发送服务控制器905的地址信息;
上述客户端901,用于基于接收到的服务控制器905的地址信息,向服务控制器905发送认证请求;
上述服务控制器905,用于在接收到认证请求后,若客户端901认证通过,则生成客户端901的访问权限,并向目标网关906和客户端901发送访问权限;
上述目标网关906,用于基于接收到的访问权限,对客户端901进行访问授权。
通过图9所示的系统,控制器集群中的主控制器在接收到客户端发送的链接请求后,将根据当前时刻所在时间周期内控制器集群中各控制器的负载压力值,确定出用于对客户端进行安全认证的服务控制器。由于控制器集群中各控制器的负载压力值是由主控制器周期性根据各控制器的负载情况确定的,因此,基于该负载压力值所确定的服务控制器可以保证每一控制器的负载情况。并且,在每一预设时间周期内,每一控制器的负载压力值为以固定值,此时,针对客户端发送的每一链接请求都将确定唯一的服务控制器,保证了确定出的服务控制器的唯一性。因此,采用本申请实施例提供的方法,在保证了控制器负载的前提下,保证了客户端各端口在同一时刻所分配到的服务控制器的统一性,从而保证控制器的性能。
另外,由于服务控制器是由控制器集群中的主控制器直接确定的,这避免了在控制器集群中部署负载分担设备,有效节约了负载分担设备部署所需的成本,降低了控制器集群的部署成本。
基于同一种发明构思,根据上述本申请实施例提供的服务控制器确定方法,本申请实施例还提供了一种服务控制器确定装置。该装置应用于SDP零信任组网中的第一控制器,SDP零信任组网包括控制器集群和客户端,控制器集群包括多个控制器,第一控制器为多个控制器中当前的主控制器。
如图10所示,图10为本申请实施例提供的服务控制器确定装置的一种结构示意图。该装置包括以下模块。
接收模块1001,用于接收客户端发送的第一链接请求;
确定模块1002,用于基于第一链接请求,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对客户端进行安全认证的服务控制器;
其中,各控制器的第一负载压力值为:当前的主控制器按照预设时间周期,根据控制器集群中每一控制器在目标时刻的第一运行状态数据确定的;第一负载压力值与控制器当前的业务负载呈正相关,目标时刻为每一预设时间周期所对应的时间范围内的起始时刻。
通过图10所示的装置,控制器集群中的主控制器在接收到客户端发送的链接请求后,将根据当前时刻所在时间周期内控制器集群中各控制器的负载压力值,确定出用于对客户端进行安全认证的服务控制器。由于控制器集群中各控制器的负载压力值是由主控制器周期性根据各控制器的负载情况确定的,因此,基于该负载压力值所确定的服务控制器可以保证每一控制器的负载情况。并且,在每一预设时间周期内,每一控制器的负载压力值为以固定值,此时,针对客户端发送的每一链接请求都将确定唯一的服务控制器,保证了确定出的服务控制器的唯一性。因此,采用本申请实施例提供的方法,在保证了控制器负载的前提下,保证了客户端各端口在同一时刻所分配到的服务控制器的统一性,从而保证控制器的性能。
另外,由于服务控制器是由控制器集群中的主控制器直接确定的,这避免了在控制器集群中部署负载分担设备,有效节约了负载分担设备部署所需的成本,降低了控制器集群的部署成本。
基于同一种发明构思,根据上述本申请实施例提供的服务控制器确定方法,本申请实施例还提供了一种控制器,如图11所示,包括处理器1101和机器可读存储介质1102,机器可读存储介质1102存储有能够被处理器1101执行的机器可执行指令。处理器1101被机器可执行指令促使实现上述图2-图8所示的任一步骤。
一个可选的实施例中,如图11所示,控制器还可以包括:通信接口1103和通信总线1104;其中,处理器1101、机器可读存储介质1102、通信接口1103通过通信总线1104完成相互间的通信,通信接口1103用于上述控制器与其他设备之间的通信。
基于同一种发明构思,根据上述本申请实施例提供的服务控制器确定方法,本申请实施例还提供了一种机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令。处理器被机器可执行指令促使实现上述图2-图8所示的任一步骤。
基于同一种发明构思,根据上述本申请实施例提供的服务控制器确定方法,本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述图2-图8所示的任一步骤。
上述通信总线可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统、装置、控制器、机器可读存储介质及计算机程序产品实施例等而言,由于其基本相似于服务控制器确定方法实施例,所以描述的比较简单,相关之处参见服务控制器确定方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (14)
1.一种服务控制器确定方法,其特征在于,应用于软件定义边界SDP零信任组网,所述SDP零信任组网包括控制器集群和客户端,所述控制器集群包括多个控制器,所述多个控制器中的第一控制器为当前的主控制器,所述方法包括:
所述客户端向所述第一控制器发送第一链接请求;
所述第一控制器在接收到所述第一链接请求时,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对所述客户端进行安全认证的服务控制器;
其中,各控制器的第一负载压力值为:当前的主控制器按照预设时间周期,根据所述控制器集群中每一控制器在目标时刻的第一运行状态数据确定的;所述第一负载压力值与控制器当前的业务负载呈正相关,所述目标时刻为每一预设时间周期所对应的时间范围内的起始时刻。
2.根据权利要求1所述的方法,其特征在于,所述多个控制器中的第二控制器为当前的从控制器;
所述客户端在与所述第一控制器间的链接异常时,向所述第二控制器发送第二链接请求;
所述第二控制器在接收到所述第二链接请求时,若确定所述第一控制器异常,则向所述客户端和第三控制器发送第一通知消息,所述第一通知消息用于指示所述第二控制器为当前的主控制器,所述第三控制器为所述多个控制器中除所述第二控制器以外的其他控制器。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述第二控制器在确定所述第一控制器异常时,获取所述控制器集群中当前时刻所在时间周期内各控制器的第二运行状态数据,根据每一控制器的第二运行状态数据,计算该控制器的第二负载压力值,并根据每一控制器的第二负载压力值,从所述第三控制器中确定第四控制器;向所述客户端发送第二通知消息,所述第二通知消息用于指示所述第四控制器为当前的从控制器。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述第二控制器在确定所述第一控制器正常时,向所述客户端发送提示消息,所述提示消息用于指示对所述客户端与第一控制器间的链路进行链路检测。
5.根据权利要求1所述的方法,其特征在于,所述控制器集群还包括第五控制器;所述第五控制器为所述多个控制器中除当前的主控制器以外的任一控制器;
所述方法还包括:
所述第五控制器在接收到所述第一链接请求时,向所述客户端发送所述第一控制器的地址信息;
所述客户端根据所述第一控制器的地址信息,向所述第一控制器发送所述第三链接请求。
6.根据权利要求1所述的方法,其特征在于,所述SDP零信任组网还包括所述客户端对应的目标网关;
所述方法还包括:
所述第一控制器在确定所述服务控制器后,向所述客户端发送所述服务控制器的地址信息;
所述客户端基于接收到的所述服务控制器的地址信息,向所述服务控制器发送认证请求;
所述服务控制器在接收到所述认证请求后,若所述客户端认证通过,则生成所述客户端的访问权限,并向所述目标网关和所述客户端发送所述访问权限;
所述目标网关基于接收到的访问权限,对所述客户端进行访问授权。
7.一种服务控制器确定方法,其特征在于,应用于软件定义边界SDP零信任组网中的第一控制器,所述SDP零信任组网包括控制器集群和客户端,所述控制器集群包括多个控制器,所述第一控制器为所述多个控制器中当前的主控制器,所述方法包括:
接收所述客户端发送的第一链接请求;
基于所述第一链接请求,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对所述客户端进行安全认证的服务控制器;
其中,各控制器的第一负载压力值为:当前的主控制器按照预设时间周期,根据所述控制器集群中每一控制器在目标时刻的第一运行状态数据确定的;所述第一负载压力值与控制器当前的业务负载呈正相关,所述目标时刻为每一预设时间周期所对应的时间范围内的起始时刻。
8.一种服务控制器确定系统,其特征在于,应用于软件定义边界SDP零信任组网,所述SDP零信任组网包括控制器集群和客户端,所述控制器集群包括多个控制器,所述多个控制器中的第一控制器为当前的主控制器;
所述客户端,用于向所述第一控制器发送第一链接请求;
所述第一控制器,用于在接收到所述第一链接请求时,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对所述客户端进行安全认证的服务控制器;
其中,各控制器的第一负载压力值为:当前的主控制器按照预设时间周期,根据所述控制器集群中每一控制器在目标时刻的第一运行状态数据确定的;所述第一负载压力值与控制器当前的业务负载呈正相关,所述目标时刻为每一预设时间周期所对应的时间范围内的起始时刻。
9.根据权利要求8所述的系统,其特征在于,所述多个控制器中的第二控制器为当前的从控制器;
所述客户端,还用于在与所述第一控制器间的链接异常时,向所述第二控制器发送第二链接请求;
所述第二控制器,用于在接收到所述第二链接请求时,若确定所述第一控制器异常,则向所述客户端和第三控制器发送第一通知消息,所述第一通知消息用于指示所述第二控制器为当前的主控制器,所述第三控制器为所述多个控制器中除所述第二控制器以外的其他控制器。
10.根据权利要求9所述的系统,其特征在于,所述第二控制器,还用于在确定所述第一控制器异常时,获取所述控制器集群中当前时刻所在时间周期内各控制器的第二运行状态数据,根据每一控制器的第二运行状态数据,计算该控制器的第二负载压力值,并根据每一控制器的第二负载压力值,从所述第三控制器中确定第四控制器;向所述客户端发送第二通知消息,所述第二通知消息用于指示所述第四控制器为当前的从控制器。
11.根据权利要求9所述的系统,其特征在于,所述第二控制器,还用于在确定所述第一控制器正常时,向所述客户端发送提示消息,所述提示消息用于指示对所述客户端与第一控制器间的链路进行链路检测。
12.根据权利要求8所述的系统,其特征在于,所述控制器集群还包括第五控制器;所述第五控制器为所述多个控制器中除当前的主控制器以外的任一控制器;
所述第五控制器,用于在接收到所述第一链接请求时,向所述客户端发送所述第一控制器的地址信息;
所述客户端,还用于根据所述第一控制器的地址信息,向所述第一控制器发送所述第三链接请求。
13.根据权利要求8所述的系统,其特征在于,所述SDP零信任组网还包括所述客户端对应的目标网关;
所述第一控制器,还用于在确定所述服务控制器后,向所述客户端发送所述服务控制器的地址信息;
所述客户端,用于基于接收到的所述服务控制器的地址信息,向所述服务控制器发送认证请求;
所述服务控制器,用于在接收到所述认证请求后,若所述客户端认证通过,则生成所述客户端的访问权限,并向所述目标网关和所述客户端发送所述访问权限;
所述目标网关,用于基于接收到的访问权限,对所述客户端进行访问授权。
14.一种服务控制器确定装置,其特征在于,应用于软件定义边界SDP零信任组网中的第一控制器,所述SDP零信任组网包括控制器集群和客户端,所述控制器集群包括多个控制器,所述第一控制器为所述多个控制器中当前的主控制器,所述装置包括:
接收模块,用于接收所述客户端发送的第一链接请求;
确定模块,用于基于所述第一链接请求,根据当前时刻所在时间周期内各控制器的第一负载压力值,从各控制器中确定用于对所述客户端进行安全认证的服务控制器;
其中,各控制器的第一负载压力值为:当前的主控制器按照预设时间周期,根据所述控制器集群中每一控制器在目标时刻的第一运行状态数据确定的;所述第一负载压力值与控制器当前的业务负载呈正相关,所述目标时刻为每一预设时间周期所对应的时间范围内的起始时刻。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111245649.6A CN113992685B (zh) | 2021-10-26 | 2021-10-26 | 一种服务控制器确定方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111245649.6A CN113992685B (zh) | 2021-10-26 | 2021-10-26 | 一种服务控制器确定方法、系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113992685A true CN113992685A (zh) | 2022-01-28 |
| CN113992685B CN113992685B (zh) | 2023-09-22 |
Family
ID=79741349
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111245649.6A Active CN113992685B (zh) | 2021-10-26 | 2021-10-26 | 一种服务控制器确定方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992685B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117614752A (zh) * | 2024-01-24 | 2024-02-27 | 明阳点时科技(沈阳)有限公司 | 一种双层零信任企业生产网安全自组网方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741907A (zh) * | 2009-12-23 | 2010-06-16 | 金蝶软件(中国)有限公司 | 一种均衡服务器负载的方法、系统和主服务器 |
| CN105812488A (zh) * | 2016-05-06 | 2016-07-27 | 深圳前海大数点科技有限公司 | 云计算分布式服务集群系统及其方法 |
| WO2017140216A1 (zh) * | 2016-02-16 | 2017-08-24 | 阿里巴巴集团控股有限公司 | 一种网络的负载均衡、控制及网络交互方法和装置 |
| CN108881368A (zh) * | 2018-04-22 | 2018-11-23 | 平安科技(深圳)有限公司 | 高并发业务请求处理方法、装置、计算机设备和存储介质 |
| CN113055479A (zh) * | 2021-03-17 | 2021-06-29 | 中国工商银行股份有限公司 | 分布式服务集群负载自适应处理方法、装置及系统 |
-
2021
- 2021-10-26 CN CN202111245649.6A patent/CN113992685B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741907A (zh) * | 2009-12-23 | 2010-06-16 | 金蝶软件(中国)有限公司 | 一种均衡服务器负载的方法、系统和主服务器 |
| WO2017140216A1 (zh) * | 2016-02-16 | 2017-08-24 | 阿里巴巴集团控股有限公司 | 一种网络的负载均衡、控制及网络交互方法和装置 |
| CN105812488A (zh) * | 2016-05-06 | 2016-07-27 | 深圳前海大数点科技有限公司 | 云计算分布式服务集群系统及其方法 |
| CN108881368A (zh) * | 2018-04-22 | 2018-11-23 | 平安科技(深圳)有限公司 | 高并发业务请求处理方法、装置、计算机设备和存储介质 |
| CN113055479A (zh) * | 2021-03-17 | 2021-06-29 | 中国工商银行股份有限公司 | 分布式服务集群负载自适应处理方法、装置及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117614752A (zh) * | 2024-01-24 | 2024-02-27 | 明阳点时科技(沈阳)有限公司 | 一种双层零信任企业生产网安全自组网方法及系统 |
| CN117614752B (zh) * | 2024-01-24 | 2024-03-22 | 明阳点时科技(沈阳)有限公司 | 一种双层零信任企业生产网安全自组网方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113992685B (zh) | 2023-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3291499B1 (en) | Method and apparatus for network service capacity expansion | |
| CN105610632B (zh) | 一种虚拟网络设备及相关方法 | |
| CN109344014B (zh) | 一种主备切换方法、装置及通信设备 | |
| EP3123667B1 (en) | Method for monitoring a status in form of presence and/or absence of a network entity | |
| US8260930B2 (en) | Systems, methods and computer readable media for reporting availability status of resources associated with a network | |
| US10764939B2 (en) | Network function processing method and related device | |
| CN114070723B (zh) | 裸金属服务器的虚拟网络配置方法、系统及智能网卡 | |
| EP3319270B1 (en) | Service registration method, usage method and relevant apparatus | |
| CN109660624B (zh) | 内容分发网络资源的规划方法、服务器及存储介质 | |
| US20180242177A1 (en) | Monitoring management method and apparatus | |
| WO2023280118A1 (zh) | 一种实例化边缘应用服务器的方法和装置 | |
| CN105450540A (zh) | 一种负载均衡方法、装置及dhcp服务器 | |
| CN113783741B (zh) | 用于配置网关设备的方法、装置、服务器、网关设备及系统 | |
| CN113992685B (zh) | 一种服务控制器确定方法、系统及装置 | |
| CN106817267B (zh) | 一种故障检测方法和设备 | |
| CN110635968A (zh) | 堆叠双活检测通道的监控方法、装置、设备及存储介质 | |
| CN104935614B (zh) | 一种数据传输方法及装置 | |
| CN108235800B (zh) | 一种网络故障探测方法、控制中心设备及计算机存储介质 | |
| US7948983B2 (en) | Method, computer program product, and apparatus for providing passive automated provisioning | |
| JP2017038218A (ja) | 通信システムおよび設定方法 | |
| CN106921553B (zh) | 在虚拟网络中实现高可用的方法及系统 | |
| EP3197106B1 (en) | Switch processing method, controller, switch, and switch processing system | |
| CN112860427A (zh) | 容器集群的负载均衡方法、装置与容器集群 | |
| US20200287784A1 (en) | Priority based selection of time services | |
| CN107995125B (zh) | 一种流量调度方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |