CN114025004A - 一种在云系统中处理云服务的方法、装置和设备 - Google Patents

一种在云系统中处理云服务的方法、装置和设备 Download PDF

Info

Publication number
CN114025004A
CN114025004A CN202111111728.8A CN202111111728A CN114025004A CN 114025004 A CN114025004 A CN 114025004A CN 202111111728 A CN202111111728 A CN 202111111728A CN 114025004 A CN114025004 A CN 114025004A
Authority
CN
China
Prior art keywords
cloud
partner
api
domain name
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111111728.8A
Other languages
English (en)
Inventor
顾炯炯
闵小勇
王楠楠
黄国强
罗锐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Cloud Computing Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN114025004A publication Critical patent/CN114025004A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/301Name conversion
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/188Virtual file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/958Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5011Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals
    • G06F9/5016Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals the resource being the memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5072Grid computing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5077Logical partitioning of resources; Management or configuration of virtualized resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/541Interprogram communication via adapters, e.g. between incompatible applications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/547Remote procedure calls [RPC]; Web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/53Network services using third party service providers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/35Types of network names containing special prefixes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开了一种在云系统中处理云服务的方法,所述云系统包括归属云、伙伴云和伙伴管理装置,伙伴云中的区域在所述归属云映射成所述归属云中的虚拟区域;该方法包括:伙伴管理装置接收用户对归属云中的虚拟区域进行访问的访问请求;该伙伴管理装置对该访问请求进行处理,并将处理后的访问请求转发至所述伙伴云中对应的区域,以获得伙伴云中对应的区域对所述访问请求的处理响应。

Description

一种在云系统中处理云服务的方法、装置和设备
技术领域
本申请涉及计算机技术领域,尤其涉及一种在云系统中处理云服务的方法、装置和设备。
背景技术
云计算是一种基于互联网的计算和服务的新方式,其利用互联网技术来将庞大且可伸缩的IT能力(即:计算、存储、网络等资源)集合起来作为服务提供给用户。现如今,随着云计算的发展,国内外越来越多的云服务提供商开始向用户提供云服务,这些云服务包括基础架构服务、平台服务、软件服务等。由于各个云服务提供商有自己的服务覆盖地域和业务特点,用户在需要跨国家/地区使用云服务的时候,可能要跨云使用不同云的服务,需处理多个不同的账号、账单和不同的应用程序编程接口 (application programminginterface,API),这既给用户使用云服务带来不便,也给云服务提供商提供全球服务带来了困难。如何统一管理多个云平台的资源,解决统一运营和运维问题,使用户无感知地跨云使用云服务成为目前云服务提供商推广云服务需解决的重要问题。
发明内容
本申请提供了一种在云系统中处理云服务的方法,该方法使得用户可以通过归属云访问云系统内(也可以称为云联邦)各个伙伴云的区域,提升了云联邦的使用效率和用户使用云联邦的体验。
第一方面,本申请提供一种在云系统中处理云服务的方法,云系统包括归属云、伙伴云和伙伴管理装置,其中,伙伴云中的区域在所述归属云映射成所述归属云中的虚拟区域;伙伴管理装置接收用户对归属云中的虚拟区域进行访问的访问请求;进一步地,伙伴管理装置对所述访问请求进行处理,并将处理后的访问请求转发至所述伙伴云中对应的区域,以获得所述伙伴云中对应的区域对所述访问请求的处理响应。
可选的,用户对归属云中的虚拟区域进行访问的访问请求为用户的客户端发送的应用程序编程接口API请求,所述API请求用于请求所述虚拟区域处理云服务。
可选的,伙伴管理装置对所述访问请求进行处理,并将处理后的访问请求转发至所述伙伴云中对应的区域,以获得所述伙伴云中对应的区域对所述访问请求的处理响应,具体包括:所述伙伴管理装置将所述API请求携带的所述虚拟区域的API端点域名替换为所述第二区域的API端点域名,获得替换后的API请求;所述伙伴管理装置将所述替换后的API请求转发至所述第二区域的API端点,其中,所述替换后的API 请求用于请求所述第二区域处理所述云服务。
可选的,所述归属云和所述伙伴云由不同的云服务提供商提供。
可选的,所述虚拟区域不占用归属云的硬件资源和软件资源。
可选的,第一方面还提供一种处理访问云联邦的请求的方法,所述云联邦包括归属云、伙伴云和伙伴管理模块,所述归属云基于所述归属云的区域的硬件资源和软件资源向用户提供第一云服务,所述伙伴云基于所述伙伴云的区域的硬件资源和软件资源向所述用户提供第二云服务;所述方法包括:
伙伴管理模块接收所述用户的客户端发送的API请求,所述API请求用于请求所述归属云的虚拟区域处理所述第二云服务,其中,所述归属云的虚拟区域是所述伙伴云的区域在所述归属云上的映射;
所述伙伴管理模块将所述API请求携带的第一API端点域名替换为第二API端点域名,其中,所述第一API端点对应于所述归属云的虚拟区域,所述第二API端点对应于所述伙伴云的区域;
所述API代理将所述替换后的API请求转发至所述伙伴云的所述第一API端点。
可选的,第一方面还提供一种处理访问云联邦的请求的方法,所述云联邦包括归属云和伙伴云,所述归属云和所述伙伴云分别向在所述归属云上注册账号的第一用户提供第一云服务和在所述伙伴云上注册账号的第二用户提供第二云服务,其中,所述归属云基于所述归属云的区域的硬件资源和软件资源提供所述第一云服务,所述伙伴云基于所述伙伴云的区域的硬件资源和软件资源提供所述第二云服务;所述方法包括:
接收所述第一用户的客户端发送的API请求,所述API请求用于向所述伙伴云的区域请求处理所述第二云服务;
将所述API请求的目的API端点域名替换为所述伙伴云的区域的API端点域名;
根据所述伙伴云的区域的API端点域名,将所述替换后的API请求转发至所述伙伴云为所述第二用户提供的API端点。
在第一方面的一种可能实现中,所述虚拟区域的API端点域名在域名服务系统DNS中与所述伙伴管理装置的互联网协议IP地址对应。
可选的,所述伙伴管理装置的互联网协议IP地址指示所述伙伴管理装置包括的模块的IP地址,例如,所述伙伴管理装置包括API代理,所述虚拟区域的API端点域名在域名服务系统DNS中实际是与所述API代理的互联网协议IP地址对应。
第一方面的一种可能实现中,所述伙伴管理装置将所述API请求携带的所述虚拟区域的API端点域名替换为所述第二区域的API端点域名包括:所述伙伴管理装置根据所述虚拟区域的API端点域名查询配置信息获取所述第二区域的API端点域名,其中,所述配置信息记录所述虚拟区域的API端点域名与所述第二区域的API端点域名的对应关系;所述伙伴管理装置根据获取的所述第二区域的API端点域名替换所述API 请求携带的所述虚拟区域的API端点域名。所述配置信息可以是一张关系表。
在第一方面的一种可能实现中,所述伙伴管理装置将所述API请求携带的所述虚拟区域的API端点域名替换为所述第二区域的API端点域名包括:所述伙伴管理装置根据预先配置的域名规则,将所述虚拟区域的API端点域名转换为所述第二区域的API 端点域名。
第一方面的一种可能实现中,所述域名规则包括所述虚拟区域的API端点域名包括的区域标识和所述第二区域的API端点域名包括的区域标识的对应关系。
第一方面的一种可能实现中,所述域名规则包括所述虚拟区域的API端点域名包括的云标识和所述第二区域的API端点域名包括的云标识的对应关系。
第一方面的一种可能实现中,所述伙伴管理装置接收所述第二区域的API端点根据所述API请求发送的API响应,所述API响应包括处理完成的所述云服务的信息;将所述API响应中所述第二区域的API端点域名替换为所述虚拟区域的API端点域名,获得替换后的API响应;将所述替换后的API响应返回至所述客户端。
所述伙伴管理装置执行所述API响应中所述第二区域的API端点域名替换为所述虚拟区域的API端点域名之前,可以通过查询配置信息获取所述虚拟区域的API端点域名;也可以根据预配置的域名规则执行替换。通过替换所述API响应中的第二区域的API端点域名为所述虚拟区域的API端点域名,可以使用户在客户端接收到的API 响应与归属云的API端点根据所述API请求发出的API响应风格相同,使用户通过API 请求在归属云的虚拟区域处理云服务和在归属云的第一区域处理云服务有一样的感受。
第一方面的一种可能实现中,在所述伙伴管理装置接收所述客户端发送的所述API 请求前,所述方法还包括:所述伙伴管理装置接收所述客户端发送的用户的账号名和密码;所述伙伴管理装置根据所述用户的账号名和密码,从所述归属云获取所述用户的第一鉴权令牌;所述伙伴管理装置根据所述用户的第一鉴权令牌,确定所述用户有权限处理所述第二区域的云服务;所述伙伴管理装置从所述伙伴云获取所述用户的第二鉴权令牌;所述伙伴管理装置将所述第二鉴权令牌发送至所述客户端,所述API请求携带所述第二鉴权令牌。
第一方面的一种可能实现中,所述API请求还携带所述用户的密钥信息,所述方法还包括:所述伙伴管理装置根据所述用户的密钥信息,从所述归属云获取所述用户的第一鉴权令牌;所述伙伴管理装置根据所述用户的第一鉴权令牌,确定所述用户有权限处理所述第二区域的云服务;所述伙伴管理装置从所述伙伴云获取所述用户的第二鉴权令牌;所述伙伴管理装置将所述用户的第二鉴权令牌添加至所述替换后的API 请求中。
第一方面的一种可能实现中,所述用户的密钥信息是AK/SK经过签名算法签名后的签名和AK,获得所述用户的第二鉴权令牌包括:将所述签名通过签名算法解签名,根据所述解签名后的密钥信息获得所述第一用户的第二鉴权令牌。通过对密钥信息进行签名和解签名,提高了云系统的安全性。
第一方面的一种可能实现中,所述API请求包括请求统一资源定位符URL和请求参数,所述请求URL中包含目的API端点域名;所述请求响应中包含请求源地址、响应参数和响应资源链接,所述请求源地址指示所述API响应要返回的地址,所述响应参数指示所述API请求的结果或提示,所述响应资源链接指示响应资源的地址。
第二方面,本申请提供一种在云系统中处理云服务的方法,该方法由计算设备系统执行,在该方法中,所述云系统包括归属云、伙伴云和伙伴管理装置,所述归属云包括第一区域,所述伙伴云包括第二区域,所述第一区域包括所述归属云的部分硬件资源和部分软件资源,所述第二区域包括所述伙伴云的部分硬件资源和部分软件资源,所述归属云还向用户提供虚拟区域,所述虚拟区域是所述第二区域在所述归属云上的映射;所述方法包括:所述伙伴管理装置接收所述用户的客户端发送的控制界面请求,所述控制界面请求用于请求所述虚拟区域的控制界面;根据所述控制界面请求生成页面静态文件请求和云服务信息请求;根据所述页面静态文件请求,获取所述归属云提供的页面静态文件响应;根据所述云服务信息请求,获取所述伙伴云提供的云服务信息响应;根据所述页面静态文件响应和所述云服务信息响应生成控制界面响应;将所述控制界面响应发送至所述客户端。
可选的,所述归属云和所述伙伴云由不同的云服务提供商提供。
可选的,所述虚拟区域不占用归属云的硬件资源和软件资源。
第二方面的一种可能实现中,所述控制界面请求包括所述虚拟区域的控制界面域名;所述伙伴管理装置根据所述控制界面请求生成所述云服务信息请求包括:所述伙伴管理装置根据所述虚拟区域的控制界面域名获取所述第二区域的控制界面域名;所述伙伴管理装置根据所述第二区域的控制界面域名生成所述云服务信息请求。
第二方面的一种可能实现中,所述虚拟区域的控制界面域名在域名服务系统DNS中与所述伙伴管理装置的互联网协议IP地址对应。
可选的,所述伙伴管理装置的互联网协议IP地址指示所述伙伴管理装置包括的模块的IP地址,例如,所述伙伴管理装置包括控制界面代理,所述虚拟区域的控制界面域名在域名服务系统DNS中实际是与所述控制界面代理的互联网协议IP地址对应。
第二方面的一种可能实现中,所述伙伴管理装置根据所述虚拟区域的控制界面域名获取所述第二区域的控制界面域名包括:所述伙伴管理装置根据所述虚拟区域的控制界面域名查询配置信息获取所述第二区域的控制界面域名,其中,所述配置信息记录所述虚拟区域的控制界面域名与所述第二区域的控制界面域名的对应关系。所述配置信息可以是一张关系表。
第二方面的一种可能实现中,所述伙伴管理装置根据所述虚拟区域的控制界面域名获取所述第二区域的控制界面域名包括:所述伙伴管理装置根据预先配置的域名规则,将所述虚拟区域的控制界面域名转换为所述第二区域的控制界面域名。
第二方面的一种可能实现中,所述域名规则包括所述虚拟区域的控制界面域名包括的区域标识和所述第二区域的控制界面域名包括的区域标识的对应关系。
第二方面的一种可能实现中,所述域名规则包括所述虚拟区域的控制界面域名包括的云标识和所述第二区域的控制界面域名包括的云标识的对应关系。
第二方面的一种可能实现中,所述伙伴管理装置根据所述页面静态文件响应和所述云服务信息响应生成控制界面响应包括:所述伙伴管理装置接收所述云服务信息响应,所述云服务信息响应包括所述第二区域控制界面域名和所述云服务信息;所述伙伴管理装置将所述云服务信息响应中包括的所述第二区域的控制界面域名替换为所述虚拟区域的控制界面域名;所述伙伴管理装置根据所述页面静态文件响应和所述替换后的云服务信息响应生成所述控制界面响应。
第二方面的一种可能实现中,所述归属云提供的页面静态文件可以由所述伙伴管理装置预先获取并缓存。通过预先获取所述归属云提供的页面静态文件,可以提高处理云服务的效率,减少用户获得控制界面响应的等待时间。
第二方面的一种可能实现中,所述归属云的虚拟区域的控制界面域名由归属云在预配置阶段根据伙伴云的第二区域的域名生成,所述归属云的虚拟区域的控制界面域名和伙伴云的第二区域的域名一一对应。
根据第二方面提供的方法,用户在访问虚拟区域时获得了与访问归属云的第一区域风格相同的控制界面响应。
第三方面,本申请提供一种提供云系统的控制界面的方法,该方法由计算设备系统执行,在该方法中,所述云系统包括归属云、伙伴云和伙伴管理装置,所述归属云包括第一区域,所述伙伴云包括第二区域,所述第一区域包括所述归属云的部分硬件资源和部分软件资源,所述第二区域包括所述伙伴云的部分硬件资源和部分软件资源,所述归属云还向用户提供虚拟区域,所述虚拟区域是所述第二区域在所述归属云的映射;所述方法包括:所述归属云向所述用户的客户端提供所述归属云的管理界面,所述归属云的管理界面包括区域选择子界面,所述区域选择子界面包括所述第一区域的元素和所述虚拟区域的元素;所述归属云接收所述客户端发送的第一控制界面请求,所述第一控制界面请求由所述用户选择所述第一区域的元素生成;所述归属云根据所述第一控制界面请求,向所述客户端提供所述第一区域的控制界面,所述第一区域的控制界面内呈现所述第一区域的云服务的信息;所述伙伴管理装置接收所述客户端发送的第二控制界面请求,所述控制界面请求由所述用户选择所述虚拟区域的元素生成;所述伙伴管理装置根据所述第二控制界面请求,向所述客户端提供所述虚拟区域的控制界面,所述虚拟区域的控制界面内呈现所述第二区域的云服务的信息。
可选的,所述虚拟区域不占用归属云的硬件资源和软件资源。
第三方面的一种可能实现中,所述第一区域的控制界面和所述虚拟区域的控制界面包括相同的页面静态文件。
第四方面,本申请提供一种云系统的计费方法,该方法由计算设备系统执行,在该方法中,所述云系统包括归属云、伙伴云和伙伴管理装置,所述归属云包括第一区域,所述伙伴云包括第二区域,所述第一区域包括所述归属云的部分硬件资源和部分软件资源,所述第二区域包括所述伙伴云的部分硬件资源和部分软件资源,所述归属云还向用户提供虚拟区域,所述虚拟区域是所述第二区域在所述归属云的映射;所述方法包括;所述伙伴管理装置获取所述伙伴云为所述用户使用所述第二区域的云服务生成的话单,所述话单包括所述用户使用所述第二区域的云服务的使用参数,所述使用参数可以是用户使用云服务的时长、流量、容量等;所述伙伴管理装置向所述归属云提供所述话单。该方法使所述用户在伙伴云的第二区域使用云服务产生的费用由归属云统计,归属云与所述用户统一结算所述用户在归属云使用的云服务账单和在伙伴云使用的云服务账单,提高了用户进行云系统中云服务账单结算的效率。
可选的,所述虚拟区域不占用归属云的硬件资源和软件资源。
第四方面的一种可能的实现中,所述用户在所述伙伴云上注册有影子账号;所述获取所述伙伴云为所述用户使用所述伙伴云的第二区域的云服务生成的话单包括:根据所述归属云的标识,从所述伙伴云中确定所述影子账号;获取所述确定的影子账号对应的所述话单。
第四方面的一种可能的实现中,所述方法还包括:所述伙伴管理装置接收所述归属云发送的服务停止请求,所述服务停止请求用于冻结欠费的用户对所述第二区域的云服务的使用,所述服务停止请求包括所述欠费的用户的标识和所述归属云的标识;将所述服务停止请求发送至所述伙伴云。
第五方面,本申请提供一种伙伴管理装置,所述伙伴管理装置所在的云系统还包括归属云和伙伴云,所述归属云包括第一区域,所述伙伴云包括第二区域,所述第一区域包括所述归属云的部分硬件资源和部分软件资源,所述第二区域包括所述伙伴云的部分硬件资源和部分软件资源,所述归属云还向用户提供虚拟区域,所述虚拟区域是所述第二区域在所述归属云上的映射;所述伙伴管理装置包括API代理通信单元和API代理处理单元;所述API代理通信单元,用于接收所述用户的客户端发送的应用程序编程接口API请求,所述API请求用于请求所述归属云的虚拟区域处理云服务;所述API代理处理单元,用于将所述API请求携带的所述虚拟区域的API端点域名替换为所述第二区域的API端点域名;所述API代理通信单元还用于将所述替换后的API 请求转发至所述第二区域的API端点,其中,所述替换后的API请求用于请求所述第二区域处理所述云服务。
可选的,所述虚拟区域不占用归属云的硬件资源和软件资源。
第五方面的一种可能实现中,所述虚拟区域的API端点域名在域名服务系统DNS中与所述伙伴管理装置的互联网协议IP地址对应。
第五方面的一种可能实现中,所述API代理处理单元用于根据所述虚拟区域的API端点域名查询配置信息获取所述第二区域的API端点域名,其中,所述配置信息记录所述虚拟区域的API端点域名与所述第二区域的API端点域名的对应关系;根据获取的所述第二区域的API端点域名替换所述API请求携带的所述虚拟区域的API端点域名。
第五方面的一种可能实现中,所述API代理处理单元用于根据预先配置的域名规则,将所述虚拟区域的API端点域名转换为所述第二区域的API端点域名。
第五方面的一种可能实现中,所述域名规则包括所述虚拟区域的API端点域名包括的区域标识和所述第二区域的API端点域名包括的区域标识的对应关系。
第五方面的一种可能实现中,所述域名规则包括所述虚拟区域的API端点域名所包括的云标识和所述第二区域的API端点域名所包括的云标识的对应关系。
第五方面的一种可能实现中,所述API代理通信单元还用于接收所述第二区域的API端点根据所述API请求发送的API响应,所述API响应包括处理完成的所述云服务的信息;所述API代理处理单元还用于将所述API响应中所述第二区域的API端点域名替换为所述虚拟区域的API端点域名,获得替换后的API响应;所述API代理通信单元还用于将所述替换后的API响应返回至所述客户端。
第五方面的一种可能实现中,所述伙伴管理装置还包括联邦代理通信单元和联邦代理处理单元;所述联邦代理通信单元用于接收所述客户端发送的用户的账号名和密码;所述联邦代理处理单元用于根据所述用户的账号名和密码,从所述归属云获取所述用户的第一鉴权令牌;根据所述用户的第一鉴权令牌,确定所述用户有权限处理所述第二区域的云服务;从所述伙伴云获取所述用户的第二鉴权令牌;所述联邦代理通信单元还用于将所述用户的第二鉴权令牌发送至所述API代理通信单元;所述API通信单元还用于将所述第二鉴权令牌发送至所述客户端,所述API请求携带所述第二鉴权令牌。
第五方面的一种可能实现中,所述API请求还携带所述用户的密钥信息;所述伙伴管理装置还包括联邦代理处理单元;所述联邦代理处理单元用于根据所述用户的密钥信息,从所述归属云获取所述用户的第一鉴权令牌;根据所述用户的第一鉴权令牌,确定所述用户有权限处理所述第二区域的云服务;从所述伙伴云获取所述用户的第二鉴权令牌;将所述用户的第二鉴权令牌添加至所述替换后的API请求中。
第六方面,本申请提供一种伙伴管理装置,其特征在于,所述伙伴管理装置所在的云系统还包括归属云和伙伴云,所述归属云包括第一区域,所述伙伴云包括第二区域,所述第一区域包括所述归属云的部分硬件资源和部分软件资源,所述第二区域包括所述伙伴云的部分硬件资源和部分软件资源,所述归属云还向用户提供虚拟区域,所述虚拟区域是所述第二区域在所述归属云上的映射;所述伙伴管理装置包括控制界面代理通信单元和控制界面代理处理单元;所述控制界面代理通信单元,用于接收所述用户的客户端发送的控制界面请求,所述控制界面请求用于请求所述虚拟区域的控制界面;所述控制界面代理处理单元,用于根据所述控制界面请求生成页面静态文件请求和云服务信息请求;根据所述页面静态文件请求,获取所述归属云提供的页面静态文件响应;根据所述云服务信息请求,获取所述伙伴云提供的云服务信息响应;根据所述页面静态文件响应和所述云服务信息响应生成控制界面响应;所述控制界面代理通信单元还用于将所述控制界面响应发送至所述客户端。
可选的,所述虚拟区域不占用归属云的硬件资源和软件资源。
第六方面的一种可能实现中,所述客户端发送的控制界面请求包括所述虚拟区域的控制界面域名;所述控制界面代理处理单元还用于根据所述虚拟区域的控制界面域名获取所述第二区域的控制界面域名;根据所述第二区域的控制界面域名生成所述云服务信息请求。
第六方面的一种可能实现中,所述虚拟区域的控制界面域名在域名服务系统DNS中与所述伙伴管理装置的互联网协议IP地址对应。
第六方面的一种可能实现中,所述控制界面代理处理单元还用于根据所述虚拟区域的控制界面域名查询配置信息获取所述第二区域的控制界面域名,其中,所述配置信息记录所述虚拟区域的控制界面域名与所述第二区域的控制界面域名的对应关系。
第六方面的一种可能实现中,所述控制界面代理处理单元还用于根据预先配置的域名规则,将所述虚拟区域的控制界面域名转换为所述第二区域的控制界面域名。
第六方面的一种可能实现中,所述域名规则包括所述虚拟区域的控制界面域名所包括的区域标识和所述第二区域的控制界面域名所包括的区域标识的对应关系。
第六方面的一种可能实现中,所述域名规则包括所述虚拟区域的控制界面域名所包括的云标识和所述第二区域的控制界面域名所包括的云标识的对应关系。
第六方面的一种可能实现中,所述控制界面代理通信单元还用于接收所述伙伴云发送的云服务信息响应,所述云服务信息响应包括所述第二区域控制界面域名和所述云服务信息;所述控制界面代理处理单元还用于将所述云服务信息响应中包括的所述第二区域的控制界面域名替换为所述虚拟区域的控制界面域名;根据所述页面静态文件响应和所述替换后的云服务信息响应生成为所述控制界面响应。
第七方面,本申请提供一种云管理装置,所述云管理装置包括归属云控制界面处理单元、归属云控制界面通信单元、控制界面代理通信单元和控制界面代理处理单元,所述归属云控制界面处理单元和归属云控制界面通信单元位于云系统的归属云,所述控制界面代理通信单元和所述控制界面代理处理单元位于所述云系统的伙伴管理装置,所述云系统还包括伙伴云,所述归属云包括第一区域,所述伙伴云包括第二区域,所述第一区域包括所述归属云的部分硬件资源和部分软件资源,所述第二区域包括所述伙伴云的部分硬件资源和部分软件资源,所述归属云还向用户提供虚拟区域,所述虚拟区域是所述第二区域在所述归属云的映射;所述归属云控制界面处理单元,用于提供所述归属云的管理界面,所述归属云的管理界面包括区域选择子界面,所述区域选择子界面包括所述第一区域的元素和所述虚拟区域的元素;所述归属云控制界面通信单元,用于接收所述用户的客户端发送的第一控制界面请求,所述第一控制界面请求由用户选择所述第一区域的元素生成;所述归属云控制界面处理单元,还用于根据所述第一控制界面请求,向所述客户端提供所述第一区域的控制界面,所述第一区域的控制界面内呈现所述第一区域的云服务的信息;所述控制界面代理通信单元,用于接收所述客户端发送的第二控制界面请求,所述控制界面请求由所述用户选择所述虚拟区域的元素生成;所述控制界面代理处理单元,用于根据所述第二控制界面请求,向所述客户端提供所述虚拟区域的控制界面,所述虚拟区域的控制界面内呈现所述第二区域的云服务的信息。
可选的,所述虚拟区域不占用归属云的硬件资源和软件资源。
第七方面的一种可能实现中,所述第一区域的控制界面和所述虚拟区域的控制界面包括相同的页面静态文件。
第八方面,本申请提供一种伙伴管理装置,所述伙伴管理装置所在的云系统还包括归属云和伙伴云,所述归属云包括第一区域,所述伙伴云包括第二区域,所述第一区域包括所述归属云的部分硬件资源和部分软件资源,所述第二区域包括所述伙伴云的部分硬件资源和部分软件资源,所述归属云还向用户提供虚拟区域,所述虚拟区域是所述第二区域在所述归属云上的映射;所述伙伴管理装置包括:SDR代理处理单元,用于获取所述伙伴云为所述用户使用所述第二区域的云服务生成的话单,所述话单包括所述用户使用所述第二区域的云服务的使用参数;SDR代理通信单元,用于向所述归属云提供所述话单。
可选的,所述虚拟区域不占用归属云的硬件资源和软件资源。
第八方面的一种可能实现中,所述用户在所述伙伴云上注册有影子账号;所述获取所述伙伴云为所述用户使用所述第二区域的云服务生成的话单包括:根据所述归属云的标识,从所述伙伴云中确定所述影子账号;获取所述确定的影子账号对应的所述话单。
第八方面的一种可能实现中,所述SDR代理通信单元,还用于接收所述归属云发送的服务停止请求,所述服务停止请求用于冻结欠费的用户对所述第二区域的云服务的使用;将所述服务停止请求发送至所述伙伴云。
第九方面,本申请提供一种计算设备系统,该计算设备系统包括至少一个计算设备,每个计算设备包括存储器和处理器。至少一个计算设备的处理器用于访问所述存储器中的代码以执行第一方面或第一方面的任意一种可能的实现提供的方法。
第十方面,本申请提供一种计算设备系统。该计算设备系统包括至少一个计算设备,每个计算设备包括存储器和处理器。至少一个计算设备的处理器用于访问所述存储器中的代码以执行第二方面或第二方面的任意一种可能的实现提供的方法。
第十一方面,本申请提供一种计算设备系统。该计算设备系统包括至少一个计算设备,每个计算设备包括存储器和处理器。至少一个计算设备的处理器用于访问所述存储器中的代码以执行第三方面或第三方面的任意一种可能的实现提供的方法。
第十二方面,本申请提供一种计算设备系统。该计算设备系统包括至少一个计算设备,每个计算设备包括存储器和处理器。至少一个计算设备的处理器用于访问所述存储器中的代码以执行第四方面或第四方面的任意一种可能的实现提供的方法。
第十三方面,本申请提供一种非瞬态的可读存储介质,所述非瞬态的可读存储介质被计算设备执行时,所述计算设备执行前述第一方面或第一方面的任意可能的实现中提供的方法。该存储介质中存储了程序,该存储介质包括但不限于易失性存储器,例如随机访问存储器,非易失性存储器,例如快闪存储器、硬盘(英文:hard disk drive,缩写:HDD)、固态硬盘(英文:solid state drive,缩写:SSD)。
第十四方面,本申请提供一种非瞬态的可读存储介质,所述非瞬态的可读存储介质被计算设备执行时,所述计算设备执行前述第二方面或第二方面的任意可能的实现中提供的方法。该存储介质中存储了程序,该存储介质包括但不限于易失性存储器,例如随机访问存储器,非易失性存储器,例如快闪存储器、硬盘、固态硬盘。
第十五方面,本申请提供一种非瞬态的可读存储介质,所述非瞬态的可读存储介质被计算设备执行时,所述计算设备执行前述第三方面或第三方面的任意可能的实现中提供的方法。该存储介质中存储了程序,该存储介质包括但不限于易失性存储器,例如随机访问存储器,非易失性存储器,例如快闪存储器、硬盘、固态硬盘。
第十六方面,本申请提供一种非瞬态的可读存储介质,所述非瞬态的可读存储介质被计算设备执行时,所述计算设备执行前述第四方面或第四方面的任意可能的实现中提供的方法。该存储介质中存储了程序,该存储介质包括但不限于易失性存储器,例如随机访问存储器,非易失性存储器,例如快闪存储器、硬盘、固态硬盘。
第十七方面,本申请提供一种计算设备程序产品,所述计算设备程序产品包括计算机指令,在被计算设备执行时,所述计算设备执行前述第一方面或第一方面的任意可能的实现方式中提供的方法。该计算机程序产品可以为一个由归属云的云服务提供商提供的或由伙伴云的云服务提供商提供的软件安装包,在需要使用前述第一方面或第一方面的任意可能的实现中提供的方法的情况下,可以下载该计算机程序产品并在计算设备上执行该计算机程序产品。
第十八方面,本申请提供一种计算设备程序产品,所述计算设备程序产品包括计算机指令,在被计算设备执行时,所述计算设备执行前述第二方面或第二方面的任意可能的实现方式中提供的方法。该计算机程序产品可以为一个由归属云的云服务提供商提供的或由伙伴云的云服务提供商提供的软件安装包,在需要使用前述第二方面或第二方面的任意可能的实现中提供的方法的情况下,可以下载该计算机程序产品并在计算设备上执行该计算机程序产品。
第十九方面,本申请提供一种计算设备程序产品,所述计算设备程序产品包括计算机指令,在被计算设备执行时,所述计算设备执行前述第三方面或第三方面的任意可能的实现方式中提供的方法。该计算机程序产品可以为一个由归属云的云服务提供商提供的或由伙伴云的云服务提供商提供的软件安装包,在需要使用前述第三方面或第三方面的任意可能的实现中提供的方法的情况下,可以下载该计算机程序产品并在计算设备上执行该计算机程序产品。
第二十方面,本申请提供一种计算设备程序产品,所述计算设备程序产品包括计算机指令,在被计算设备执行时,所述计算设备执行前述第四方面或第四方面的任意可能的实现方式中提供的方法。该计算机程序产品可以为一个由归属云的云服务提供商提供的或由伙伴云的云服务提供商提供的软件安装包,在需要使用前述第四方面或第四方面的任意可能的实现中提供的方法的情况下,可以下载该计算机程序产品并在计算设备上执行该计算机程序产品。
第二十一方面,本申请提供一种云联邦的伙伴管理方法,所述云联邦包括归属云和伙伴云,所述归属云和所述伙伴云分别向在所述归属云上注册账号的第一用户提供第一云服务和在所述伙伴云上注册账号的第二用户提供第二云服务,其中,所述归属云基于所述归属云的硬件资源和软件资源提供所述第一云服务,所述伙伴云基于所述伙伴云的硬件资源和软件资源提供所述第二云服务;所述方法包括:
接收所述第一用户的客户端或所述归属云发送的请求,所述请求用于为所述第一用户请求处理所述第二云服务;将所述请求发送至所述伙伴云;接收所述伙伴云的响应;将所述伙伴云的响应发送至所述归属云或所述第一用户的客户端。
在第二十一方面的一种可能实现中,所述第一用户对所述第二云服务的处理包括以下之任一:创建、删除、修改配置、查询、扩容、认证鉴权、冻结使用。其中,用于冻结使用的请求可以由所述归属云发送,用于对所述第二云服务的处理的请求可以由所述第一用户的客户端发送。
在第二十一方面的一种可能实现中,所述请求为API请求,所述伙伴云的响应为API响应。
在第二十一方面的一种可能实现中,所述请求为控制界面请求,所述伙伴云的响应为云服务信息响应。
第二十二方面,本申请提供一种计算设备系统。该计算设备系统包括至少一个计算设备,每个计算设备包括存储器和处理器。至少一个计算设备的处理器用于访问所述存储器中的代码以执行第二十一方面或第二十一方面的任意一种可能的实现提供的方法。
第二十三方面,本申请提供一种非瞬态的可读存储介质,所述非瞬态的可读存储介质被计算设备执行时,所述计算设备执行前述第二十六方面或第二十六方面的任意可能的实现中提供的方法。该存储介质中存储了程序,该存储介质包括但不限于易失性存储器,例如随机访问存储器,非易失性存储器,例如快闪存储器、硬盘、固态硬盘。
第二十四方面,本申请提供一种计算设备程序产品,所述计算设备程序产品包括计算机指令,在被计算设备执行时,所述计算设备执行前述第二十一方面或第二十六方面的任意可能的实现方式中提供的方法。该计算机程序产品可以为一个由归属云的云服务提供商提供的或由伙伴云的云服务提供商提供的软件安装包,在需要使用前述第二十一方面或第二十一方面的任意可能的实现中提供的方法的情况下,可以下载该计算机程序产品并在计算设备上执行该计算机程序产品。
附图说明
为了更清楚地说明本申请实施例的技术方法,下面将对实施例中所需要使用的附图作以简单地介绍。
图1为本申请实施例提供的伙伴云的区域映射为归属云的虚拟区域的示意图;
图2为本申请实施例提供的母账号、账号、影子账号和代理账号之间的关系示意图;
图3为本申请实施例提供的一种云联邦的结构示意图;
图4为本申请实施例提供的一种归属云在伙伴云注册影子账号的流程示意图;
图5为本申请实施例提供的一种控制界面的示意图;
图6为本申请实施例提供的一种控制界面代理在云联邦的应用的示意图;
图7为本申请实施例提供的一种用户通过控制界面访问伙伴云的流程示意图;
图8为本申请实施例提供的一组API请求和响应的示意图;
图9为本申请实施例提供的一种API代理在云联邦的应用的示意图;
图10为本申请实施例提供的一种用户通过账号和密码访问伙伴云API的流程示意图;
图11为本申请实施例提供的一种用户通过AK/SK访问伙伴云API的流程示意图;
图12为本申请实施例提供的一种归属云对用户在伙伴云的云服务话单进行统一计费的流程示意图;
图13为本申请实施例提供的一种统一停止提供服务的流程示意图。
图14为本申请实施例提供的一种伙伴管理装置700的结构示意图;
图15为本申请实施例提供的一种伙伴管理装置800的结构示意图;
图16为本申请实施例提供的一种云管理装置900的结构示意图;
图17为本申请实施例提供的一种伙伴管理装置1000的结构示意图;
图18为本申请实施例提供的一种伙伴管理装置1100的结构示意图;
图19为本申请实施例提供的一种计算设备系统1200的结构示意图。
具体实施方式
下面结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
术语简介
云计算:是一种利用互联网技术将庞大且可伸缩的IT能力(即:计算、存储、网络等资源)集合起来作为云服务提供给用户的模式。
云:一系列硬件资源和软件资源的集合。一般一个云在各国家/地区设置有多个区域,每个区域内包括至少一个数据中心,每个数据中心内设置有硬件资源和软件资源。不同云服务提供商建立有不同的云,例如华为公司的华为云,微软公司的Azure 云等。不同的云以云服务的形式向用户提供资源(包括计算、存储、网络、应用等) 租用。云的规模是可动态伸缩的,可通过集结更多资源以满足应用和用户规模增长的需要。云计算支持用户在多种位置、使用多种终端获取云服务,支持云服务的硬件资源和软件资源来自云。常见的云服务包括三种类型:基础架构服务(infrastructure as a service,IaaS)、平台服务(platformas a service,PaaS)、软件服务(software as a service,SaaS)。其中,基础架构服务,包括虚拟机计算服务、数据存储服务等,主要将硬件设备等资源以虚拟机/容器的形式作为服务提供给用户,用户可通过在云服务提供的虚拟机或者存储资源来装载并运行自己的应用。平台服务主要是使开发人员在云提供的基础架构和运行环境上构建和部署自己的应用程序,并允许这些应用程序利用云基础架构中的资源。软件服务是一些运行在云中的应用程序按需求作为服务提供给用户,例如:云上语音转写服务、云上人脸识别服务等。
云联邦:包括归属云、至少一个伙伴云和至少一个伙伴管理装置的云系统。云联邦中的归属云和伙伴云之间签订伙伴协议,由归属云与用户交互,向用户提供统一的云服务、账单支付和控制界面等,其中,归属云向用户提供的云服务来自于归属云或伙伴云的一到多个区域。
归属云(hosted cloud):云联邦中与用户交互,向用户直接提供一到多个区域的云服务、账单支付和控制界面的云,归属云可以是公有云、私有云、混合云等。
伙伴云(allied cloud):云联邦中不直接与用户交互,间接地通过归属云向用户提供一到多个区域的云服务的云。用户在伙伴云的云服务消费的费用由归属云与用户按照交易价格统一结算,归属云再与伙伴云按照伙伴价格结算伙伴云提供的云服务应收取的费用。伙伴云可以是公有云、私有云、混合云等。
云计算模式的兴起和发展,使越来越多的企业、组织或个人使用云服务进行各项工作和娱乐,云服务提供商在计划扩大自己服务的国家和地区时,常受到需要投入巨额资金成本(例如:建设、维护基础硬件设施的成本等)的经济制约和国家法律法规和政策的制约(例如:数据安全、数据出口管制等)。这些制约不仅给云服务提供商的业务扩展带来了巨大影响,也使用户在需要访问多个云的云服务时造成了麻烦(例如:一个用户需要在多个云注册账号,与多个云进行账单结算等)。
为此本发明提供了一种云联邦向用户提供云服务的方法以解决上述问题。多个云通过签订伙伴协议,构建云联邦,所述云联邦中的各朵云可以属于不同云服务提供商也可以属于同一个云服务提供商的不同国家的区域(例如中国区域和海外区域)。在云联邦中,由归属云与用户交互,向用户提供来自云联邦中归属云的或伙伴云的一到多个区域的云服务。
几朵云在进行伙伴协议签订时,可根据不同的签订内容构成不同的伙伴关系。当伙伴协议签订的内容为互相伙伴关系时,在该云联邦中,归属云与伙伴云的身份根据不同的用户可以互相变化。例如:有A云和B云两朵云,A云和B云签订伙伴协议构成云联邦,所述伙伴协议规定A云和B云互为伙伴关系。在云联邦中,对于在A云注册账号的用户(即直接与A云交互,获取整个云联邦的云服务的用户),A云是归属云,B云是伙伴云;对于在B云注册的账号的用户(即直接与B云交互,获取整个云联邦的云服务的用户),B云是归属云,A云是伙伴云。
当伙伴协议签订的内容为单向伙伴关系时,在该云联邦中,归属云和伙伴云的概念只对于一朵云的用户有效,归属云与伙伴云的身份是固定的。例如:有A云和B云两朵云,A云和B云签订伙伴协议构成云联邦,在伙伴协议中,A云的用户不仅可使用自身的云服务也可使用B云中的云服务,但B云的用户没有使用A云中的云服务的权限。对于这种云联邦,对于A云的用户而言,A云为归属云,B云为伙伴云;而对于B云的用户而言,没有归属云和伙伴云的概念,B云的用户只能使用B云中的云服务。
本申请实施例中,如无特殊说明。“用户”均指云联邦中归属云的用户,也即在归属云上完成注册的用户,该用户在归属云上拥有账号。
交易价格:云联邦中归属云与用户进行云服务交易时,所交易的云服务的实际销售价格。
伙伴价格:云联邦中归属云对伙伴云间接向用户提供的云服务向伙伴云支付的价格。
区域(region)、可用区(available zone,AZ)和数据中心(data center, DC):不同区域之间地理位置一般相隔较远(例如:某云服务提供商的中国北方区域,中国南方区域、美国西部区域等)。每个区域中都有多个相互隔离的区域称为可用区。同一区域中的可用区之间一般电力供应和网络均互相独立以提升区域的可靠性,同一区域的可用区之间通过低延迟网络相连。一个区域内的每个可用区包括至少一个数据中心,每个数据中心包含一定量的硬件资源和软件资源。
云服务供应商拥有大量的资源(包括计算资源、存储资源和网络资源等),所述资源分布在至少一个区域中的多个可用区中的多个数据中心。云服务供应商基于这些资源建立云服务平台,由所述云服务平台向用户提供服务。云服务平台上提供各类云服务,例如基于计算资源(例如服务器)建立的计算服务,如虚拟机、容器,例如基于存储资源(例如服务器中的硬盘或固态硬盘或存储阵列)建立的存储服务,如块存储、对象存储,再例如基于网络资源(例如各种网关设备、交换设备)建立的网络服务,如内容分发网络、网络带宽。在云联邦中,用户在归属云请求的云服务所基于的资源可以来自归属云的某一区域中一个或多个可用区的数据中心,也可以来自于伙伴云的某一区域中一个或多个可用区的数据中心。
虚拟区域:虚拟区域是云联邦中伙伴云的区域在归属云上的映射,虚拟区域与伙伴云的区域的个数相等且一一对应,用户在归属云中访问某一虚拟区域实际是在访问这一虚拟区域对应的伙伴云的区域。
可选的,所述虚拟区域不占用归属云的硬件资源和软件资源。
图1为伙伴云的区域映射为归属云的虚拟区域的示意图,至少一个伙伴云与归属云共同构成云联邦,每个伙伴云中的至少一个区域映射到归属云,形成归属云的虚拟区域。通过伙伴管理装置,用户可通过访问归属云的虚拟区域间接地访问伙伴云的区域,且感受不到访问归属云的虚拟区域的云服务和访问归属云的区域的云服务在风格和访问方式上的差异。所述伙伴管理装置可以有一个或多个,每个伙伴管理装置可以部分或全部部署在归属云、伙伴云、第三方数据中心的任意一个或多个。归属云的虚拟区域与归属云的区域都有独立的域名,且具有相同的域名风格,伙伴云的区域在映射成为归属云的虚拟区域后,虚拟区域的域名风格为归属云的区域域名的风格。归属云区域和虚拟区域的域名有多个,包括但不限于归属云区域和虚拟区域的控制界面域名、归属云区域和虚拟区域的API端点域名等。
在云联邦中,每个归属云的区域和虚拟区域的域名包括第一部分和第二部分,所述第一部分包括所述每个域名指示的区域所在的云的标识,所述第二部分包括所述每个域名指示的区域的标识。所述归属云的虚拟区域的域名是所述伙伴云的区域的域名在归属云的映射,每个归属云的虚拟区域的域名与每个伙伴云区域的域名一一对应,且每个归属云的虚拟区域的域名与其对应的伙伴云区域的域名的第一部分不相同,所述归属云的虚拟区域的域名的第一部分包括所述归属云的标识,所述伙伴云的区域的域名的第一部分包括伙伴云的标识。每个归属云的虚拟区域的域名与其对应的伙伴云区域的域名的第二部分相同或相应,均用以指示所述域名指示的区域的信息。
母账号和账号:母账号是用户在归属云创建的总账号,用户登录该母账号可在归属云上进行认证、鉴权和云服务消费等。母账号一般由用户所在的企业或机构的管理人员建立和维护,该管理人员可在母账号下创建多个账号提供给该企业或机构的其他用户使用,不同用户登录母账号下的账号也可在归属云上进行认证、鉴权和云服务消费等,所述账号的云服务消费记录由母账号统一管理。
影子账号:归属云为用户在伙伴云注册的账号,与用户在归属云的母账号一一对应。归属云的用户可以通过在归属云的母账号或账号在归属云消费云服务,归属云利用用户的母账号在伙伴云上对应的影子账号使用户消费伙伴云的云服务。
代理账号:在构建云联邦时归属云在伙伴云注册的账号,代理账号中包含伙伴云与归属云签订的代理合同标识,所述代理合同标识指示归属云在伙伴云上进行影子账号注册和云服务处理所需的权限标识,代理账号具有管理伙伴云上的所有影子账号的功能。
其中,用户在归属云注册的母账号、用户在母账号下注册的账号、归属云为用户在伙伴云注册的影子账号和归属云在伙伴云注册的代理账号之间的关系如图2所示。在一个归属云与一个伙伴云之间母账号与影子账号一一对应,即有多少用户在归属云注册母账号,归属云就为用户在伙伴云创建多少个对应的影子账号,且每个影子账号包含归属云标识和母账号ID用于表示影子账号的属性。以图2为例,归属云在伙伴云1和伙伴云X分别注册了1个代理账号,N个用户在归属云上注册了N个母账号,归属云为每个用户在伙伴云1和伙伴云X上注册1个影子账号,因此归属云在伙伴云 1和伙伴云X上分别注册了N个影子账号,每个用户在其母账号下注册了M个账号,同属于一个母账号下的M个账号在伙伴云上对应一个影子账号。
值得注意的是,一个归属云可以与多个伙伴云签署代理合同,因此一个归属云母账号可对应多个不同伙伴云的影子账号。
每个用户在归属云的母账号对应的在伙伴云的影子账号都关联到归属云在该伙伴云创建的代理账号中,代理账号对所有影子账号具有管理权限。因此代理账号与影子账号数量关系为1:N,即在每个伙伴云上只有一个代理账号,代理账号可负责管理该伙伴云上的N个影子账号,归属云上每个用户使用伙伴云的云服务时以该用户的母账号在伙伴云上对应的影子账号的身份进行处理伙伴云的云服务。
图3为本申请实施例提供的云联邦的结构示意图。
如图3所示,云联邦包括归属云和伙伴云,其中伙伴云可以有多个。在使用云联邦提供云服务时,归属云和伙伴云通过伙伴管理装置互相联系。云联邦中,通过归属云与用户交互,向用户提供统一的云服务,所述统一的云服务包括归属云中一到多个区域的云服务和伙伴云中一到多个区域的云服务。用户无差别地使用来自归属云的云服务和来自伙伴云的云服务。
云联邦中的归属云和伙伴云可能是不同云服务提供商建立的云也可能是同一云服务提供商在不同国家建立的区域。归属云和伙伴云中都包括控制界面管理系统、认证系统、API端点、业务支撑系统(business support system,BSS)、运营支撑系统(operationsupport system,OSS)等。下面具体描述所述模块:
控制界面管理系统:为用户提供与用户交互的控制界面的系统,用户通过在控制界面选择想要请求的云服务处理方法,创建控制界面请求,控制界面管理系统接收所述控制界面请求进而访问对应的云服务控制界面响应,控制界面管理系统还负责将所述控制界面响应通过控制界面呈现给用户。
认证系统:用于统一用户管理和身份认证的系统,认证系统为用户进行账号认证和鉴权,给用户提供鉴权令牌,所述鉴权令牌是用户使用云服务的权限标识。
API端点:表示执行API请求中的功能所需的资源的位置,每朵云的每个区域拥有至少一个API端点。
业务支撑系统BSS:包括话单采集系统、计费和结算系统、账务系统。其中,BSS 中的计费和结算系统用于将采集的话单按照计费模型进行计费和结算等。
运营支撑系统OSS:综合的业务运营和管理平台,给用户提供提交故障的多种渠道,例如工单、电话、邮箱、专属服务经理等。
云联邦向用户提供统一的云服务,使用户对在云联邦中获得的云服务虽然可能来自于不同的云服务提供商或可能来自于同一云服务提供商的不同国家的区域(即来源于归属云或任意一个或多个伙伴云),但用户在使用这些云服务的过程中的体验类似于这些云服务是由同一个云服务提供商提供的。为了使用户在使用云联邦中不同的云服务时达到上述统一的体验,需要统一的方面如下:
统一账号:在云联邦中,对用户而言,只需要在归属云上注册的一个母账号即可利用该母账号或该母账号下的账号使用云联邦中的云服务(包括归属云提供的云服务和伙伴云提供的云服务)。要达到前述功能需要:由归属云的认证系统(例如:身份和访问管理(identity and access management,IAM)模块)负责用户在归属云账号的创建和认证,归属云为用户在伙伴云创建与归属云的母账号对应的影子账号,在伙伴云中用影子账号获取伙伴云的云服务,用户对影子账号是不可感知的,因此,实现使用户仅用一个账号使用多朵云的云服务。
统一控制界面体验:云联邦向用户提供的云服务的控制界面统一显示为归属云的页面静态风格,使用户对跨云使用云服务在视觉上无感知。
统一应用程序接口(application program interface,API)的服务能力:保证云联邦中所有的云服务都能够被用户使用,即保证在云联邦的各区域(包括归属云的区域和伙伴云的区域)的云服务的API端点都能够被访问。
统一计量与计费:用户在归属云及伙伴云各区域的云服务话单由归属云统一计费,用户与归属云统一结算。
统一运维能力:各伙伴云的运维信息由归属云统一处理(例如:用户在伙伴云的工单、邮件由归属云统一处理)。
在云联邦中,上述多个方面的统一,由伙伴管理装置实现。伙伴管理装置包括以下模块中的至少一个:控制界面代理、联邦代理、API代理、服务计量(service detailrecord,SDR)代理和运营支撑系统(operation support system,OSS)代理。云联邦中可以设置一个或多个伙伴管理装置,当存在多个伙伴管理装置的情况下,每个伙伴管理装置用于维持归属云和部分伙伴云的伙伴关系,每个伙伴管理装置可以部分或全部部署在归属云、伙伴云、第三方数据中心的任意一个或多个,例如:伙伴管理装置中的控制界面代理、API代理和联邦代理部署在归属云,SDR代理和OSS代理部署在伙伴云。
上述伙伴管理装置用于接收在归属云注册了账号的用户的客户端或归属云发送的请求,所述请求用于为所述用户请求处理伙伴云提供的云服务;上述伙伴管理装置还用于将所述请求发送至所述伙伴云,接收所述伙伴云的响应,将所述伙伴云的响应发送至所述归属云或所述用户的客户端。
上述伙伴管理装置可以用于用户通过调用伙伴云的API处理所述伙伴云提供的云服务。当用户通过调用伙伴云的API处理所述伙伴云提供的云服务时,所述请求为API 请求,所述API请求可以用于请求在伙伴云创建、删除、修改配置、查询、扩容、认证鉴权、冻结使用云服务,其中用于冻结使用云服务的API请求可以由所述归属云发送。所述伙伴云的响应为API响应。
上述伙伴管理装置可以用于用户通过控制界面处理所述伙伴云提供的云服务。当用户通过控制界面处理所述伙伴云提供的云服务时,所述请求为控制界面请求,所述控制界面请求可以用于请求在伙伴云创建、删除、修改配置、查询、扩容、认证鉴权、冻结使用云服务,其中用于冻结使用云服务的控制界面请求可以由所述归属云发送。所述伙伴云的响应为云服务信息响应。
当上述伙伴管理装置用于为在归属云注册账号的用户进行在伙伴云的认证和鉴权时,所述请求也叫鉴权请求,所述鉴权请求可以是API请求也可以是控制界面请求,所述伙伴云的响应也叫鉴权响应。
当上述伙伴管理装置用于为在归属云上欠费的用户冻结在伙伴云上的云服务使用时,所述请求也叫服务停止请求,所述服务停止请求可以是API请求也可以是控制界面请求,所述伙伴云的响应也叫服务停止响应。
伙伴管理装置中的各个模块具有不同的功能,所述伙伴管理装置中的模块既可以独立地在云联邦为用户提供统一的云服务和运维的场景中执行操作,也可以多个模块互相协同地在云联邦为用户提供统一的云服务和运维的场景中执行操作。
伙伴管理装置中各个模块的具体功能如下:
控制界面代理:
1、接收用户的客户端发送的归属云的虚拟区域的控制界面请求,将用户的客户端发送的归属云的虚拟区域的控制界面请求中的云服务信息请求转发给伙伴云控制界面管理系统,将用户的客户端发送的归属云的虚拟区域的控制界面请求中的页面静态文件请求转发给归属云控制界面管理系统;2、获取伙伴云提供的云服务信息响应,获取归属云提供的页面静态文件响应;3、控制界面代理与伙伴云认证系统和联邦代理交互,使归属云的母账号在伙伴云上对应的影子账号获取伙伴云的认证和鉴权;4、将云服务信息响应中的伙伴云区域的控制界面域名替换为对应归属云的虚拟区域的控制界面域名,将替换后的伙伴云提供的云服务信息响应和归属云控制界面的页面静态文件响应结合为控制界面响应返回给用户的客户端。
云联邦通过设置控制界面代理使用户可通过控制界面使用伙伴云区域的云服务,用户对使用伙伴云区域的云服务在视觉上和处理方式上与使用归属云区域的云服务相同。云联邦通过在归属云或伙伴云或第三方数据中心的不同位置设置控制界面代理使控制界面代理的位置适应不同用户的位置,使用户和控制界面代理之间的通信更快,提高了云联邦提供控制界面响应的效率。
联邦代理:
1、根据代理账号的账号名和密码在伙伴云登录代理账号获取代理合同标识;2、与控制界面代理、API代理、SDR代理和伙伴云认证系统交互,将代理合同标识写入发送至伙伴云的请求中,向伙伴云发送具有代理合同标识的请求以获取相应响应。
云联邦通过设置联邦代理解决了用户在伙伴云认证和鉴权的问题,使用户对于在伙伴云的认证和鉴权不感知,通过联邦代理进一步保证了用户认证的安全性。
API代理:
1、接收用户的客户端发送的归属云的虚拟区域的API请求,将用户的客户端发送的归属云的虚拟区域的API请求转发到伙伴云区域的API端点;2、API代理与联邦代理交互,使归属云的账号在伙伴云对应的影子账号获取伙伴云的认证和鉴权;3、将伙伴云API响应中伙伴云区域的API端点域名替换为对应归属云的虚拟区域的API 端点域名;4、将替换后的API响应返回给用户的客户端。
云联邦通过设置API代理使用户可通过调用API的方式使用伙伴云区域的云服务。用户对使用伙伴云区域的云服务在视觉上和处理方式上与使用归属云区域的云服务相同。
SDR代理:
1、与归属云和伙伴云的业务支撑系统(business support system,BSS)交互,同步影子账号的云服务话单到话单存储单元上;2、将归属云BSS发出的服务停止请求转发给伙伴云BSS;3、SDR代理与归属云和联邦代理交互,使归属云的账号在伙伴云对应的影子账号获取伙伴云的认证和鉴权。
云联邦通过设置SDR代理使用户可以仅与归属云进行统一结算对于在云联邦中使用的云服务(包括归属云的云服务和伙伴云的云服务)所产生的费用。SDR代理还保证了归属云与伙伴云对于同一欠费的用户保持相同的服务停止状态,保证了云联邦的稳定性。
OSS代理:
转发影子账号在伙伴云的工单、邮件等到归属云OSS。
云联邦通过设置OSS代理使云联邦的运维能力得到统一,保证了云联邦的稳定性,也给用户提供了统一的运维体验。
通过上述伙伴管理装置,归属云的用户可通过在归属云注册的母账号或账号获取伙伴云区域的云服务响应,并与归属云统一结算所获得的云服务的账单。用户在云联邦中实现无感知地访问伙伴云区域的云服务的具体流程包括用户在归属云进行账号注册、通过不同方式(通过控制界面或通过API)使用伙伴云区域的云服务、对获得的云服务响应的费用结算。在所述流程中,伙伴管理装置中的各模块执行不同操作实现不同功能。
用户在归属云注册母账号,归属云为用户在伙伴云注册影子账号
在构建云联邦时,归属云与伙伴云需预配置联邦互信。具体地,归属云在伙伴云上注册一个代理账号,所述代理账号中包含代理合同标识,所述代理合同标识是归属云的用户处理伙伴云的云服务的权限标识。所述代理账号的账号名和密码由联邦代理存储,所述联邦代理用于为归属云的用户在伙伴云进行开户、认证和鉴权。
下面结合图4描述本申请的一个实施例中归属云为用户在伙伴云注册影子账号的流程。
S101,用户通过客户端向归属云发送母账号注册请求,所述请求中包括注册参数,注册参数包括以下任意一个或多个:账号名,身份信息、验证码、密码、邮箱等。
S102,归属云认证系统接收所述母账号注册请求,根据所述请求中携带的注册参数为用户在归属云注册母账号,所述母账号包括母账号ID,每个母账号拥有不同的母账号ID,所述母账号ID可用于唯一地表示与其对应的母账号。归属云认证系统向用户的客户端返回母账号注册响应。至此,用户在归属云上注册母账号成功。
S103,归属云认证系统向联邦代理发送为所述母账号在伙伴云注册影子账号的请求,所述请求中携带母账号ID和归属云标识。
S104,联邦代理接收所述影子账号注册请求,向伙伴云认证系统发送鉴权请求,所述请求中包括代理账号的账号名和密码,所述代理账号的账号名和密码在构建云联邦时已预存储在联邦代理中。伙伴云认证系统根据所述代理账号的账号名和密码向联邦代理返回代理合同标识。
S105,联邦代理将所述代理合同标识写入所述影子账号注册请求中。
S106,联邦代理向伙伴云认证系统发送带有代理合同标识、母账号ID和归属云标识的影子账号注册请求。
S107,伙伴云认证系统根据接收到的影子账号注册请求中的代合同标识对所述归属云的母账号进行鉴权,并为所述母账号在伙伴云注册影子账号,所述影子账号中包含母账号ID和归属云标识。伙伴云认证系统向联邦代理返回影子账号注册响应。
S108,所述联邦代理进一步地向归属云返回所述影子账号注册响应。
可选的,还包括S109-S111:
S109,归属云认证系统对在归属云上注册母账号时未实名认证的用户设置权限受限标签,所述权限受限标签用于限制所述母账号在归属云使用某些云服务的权限,进一步地归属云认证系统向联邦代理发送对未实名用户在伙伴云的影子账号进行权限限制的请求。
S110,联邦代理将所述请求转发给伙伴云认证系统。
S111,伙伴云认证系统对所述未实名用户在伙伴云的影子账号设置权限受限标签,使伙伴云上的影子账号与归属云上对应的母账号分别在归属云和伙伴云具有相同云服务使用权限。
可选的,用户在归属云上成功注册母账号后,可在归属云上登录所述母账号,在归属云认证系统上为所述用户包括的其他用户在所述母账号下创建至少一个账号,所述母账号对所述母账号下的账号具有管理权限。
用户通过控制界面处理伙伴云区域的云服务
在云联邦中,用户可通过控制界面域名进入归属云的区域的控制界面或归属云的虚拟区域的控制界面,所述控制界面是用户可以发送控制界面请求和接收控制界面响应的UI界面。所述归属云的区域的控制界面和归属云的虚拟区域的控制界面具有相同的风格(均为归属云的风格),例如:归属云的区域的控制界面和归属云的虚拟区域的控制界面都显示归属云的标识、框架、颜色等。所述归属云的区域的控制界面和归属云的虚拟区域的控制界面均提供区域选择子界面,所述区域选择子界面包括所述归属云的区域的元素和虚拟区域的元素,例如:所述元素为归属云的区域的名称和虚拟区域的名称。图5为归属云的虚拟区域的控制界面示意图,如图5所示,在控制界面的区域选择子界面中有归属云的区域的元素(中国-华北、中国-广州)和归属云的虚拟区域的元素(亚太-新加坡、欧洲-巴黎),当前显示的是归属云的虚拟区域亚太新加坡的控制界面,所述控制界面的页面静态文件为归属云提供的页面静态文件,所述控制界面的请求统一资源定位符(unified resourcelocator,URL)中有所述归属云的虚拟区域的控制界面域名eu-west-0-console.hosted-cloud.com,在所述控制界面中显示有该区域的云服务信息(已有资源与服务和可选资源与服务下的内容),所述云服务信息是伙伴云提供的动态的云服务信息。
所述虚拟区域为所述伙伴云的区域在所述归属云上的映射,在构建云联邦时,归属云预先获取伙伴云的区域的控制界面域名,根据所述伙伴云的区域的控制界面域名生成归属云的虚拟区域的控制界面域名,并在互联网域名服务器(domain name server,DNS)中注册归属云的虚拟区域的控制界面域名在DNS中对应为控制界面代理的IP地址。
可选的,所述控制界面代理可部署多个,归属云可在DNS中注册一个归属云的虚拟区域的控制界面域名对应为多个控制界面代理的IP地址。上述方法在一方面可以保证用户访问量大时,多个控制界面代理分担用户访问量,起到加速用户访问的目的。另一方面,当用户访问某一虚拟区域的控制界面域名时,DNS可以智能化地选择距离用户的IP地址较近的控制界面代理的IP地址,也加速用户的访问。
前述归属云根据伙伴云的区域的控制界面域名生成归属云的虚拟区域的控制界面域名的方法可以是归属云根据一个域名规则将伙伴云区域的控制界面域名转换为归属云的虚拟区域的控制界面域名。
在一种优选实施例中,根据域名规则,每个控制界面域名包括第一部分和第二部分,所述第一部分包括控制界面域名指示的区域所在的云的标识,所述第二部分包括控制界面域名指示的区域的标识。所述归属云的虚拟区域的控制界面域名是所述伙伴云的区域的控制界面域名的映射,每个归属云的虚拟区域的控制界面域名与每个伙伴云区域的控制界面域名一一对应,且每个归属云的虚拟区域的控制界面域名与其对应的伙伴云区域的控制界面域名的第一部分不相同,所述归属云的虚拟区域的控制界面域名的第一部分包括所述归属云的标识,所述伙伴云的区域的控制界面域名的第一部分包括伙伴云的标识。每个归属云的虚拟区域的控制界面域名与其对应的伙伴云区域的控制界面域名的第二部分相同或相应,均用以指示所述控制界面域名指示的区域的信息。例如:云联邦中有云服务提供商A建立的A云和云服务提供商B建立的B云, A云和B云互为伙伴关系,对于在A云注册母账号的用户,A云为归属云,B云为伙伴云。伙伴云B云的区域的控制界面域名为eu-west-0-console.B-cloud.com,则归属云A云根据所述伙伴云B云的区域的控制界面域名在DNS注册的归属云A云的虚拟区域的控制界面域名为eu-west-0-console.A-cloud.com。所述归属云A云的虚拟区域的控制界面域名的第一部分(即:A-cloud)与其相对应的伙伴云B云的区域的控制界面域名的第一部分(即:B-cloud)不相同,分别指示归属云A云的标识和伙伴云B云的标识,但两个域名的第二部分,即指示的区域的标识相同或相应;所述归属云A 云的虚拟区域的控制界面域名的第一部分(即:A-cloud)与归属云A云自身原本的区域的控制界面域名相同或相应,均指示所述归属云A云的标识。
用户访问归属云的区域或虚拟区域时,归属云向用户的客户端提供管理界面,该管理界面可以是归属云的一个默认的区域的控制界面,也可以是归属云专门为用户选择区域设计的一个区域管理界面,在所述管理界面中包括区域选择子界面,该区域选择子界面可以以悬浮框或者弹窗的形式在管理界面中展示。每个区域选择子界面均包括所述归属云的区域的元素和虚拟区域的元素。其中,所述归属云的区域的元素被归属云控制界面管理系统配置为与所述归属云的区域的控制界面域名相对应,如图5所示,用户在区域选择子界面中点击所述归属云的区域的元素,所述用户的客户端将生成一个归属云的区域的控制界面请求,所述控制界面请求根据归属云的区域的控制界面域名被发送至归属云的控制界面管理系统,所述归属云的控制界面管理系统接收所述控制界面请求并返回控制界面响应。所述归属云的虚拟区域的元素被控制界面代理配置为与所述归属云的虚拟区域的控制界面域名相对应。如图5所示,用户在区域选择子界面中点击所述归属云的虚拟区域的元素,所述用户的客户端将生成一个归属云的虚拟区域的控制界面请求,所述控制界面请求根据归属云的虚拟区域的控制界面域名被发送至控制界面代理,所述控制界面代理进一步地根据所述控制界面请求中的页面静态文件请求从归属云获取所述归属云提供的页面静态文件,根据所述控制界面请求中的云服务信息请求从伙伴云获取所述伙伴云提供的云服务信息,控制界面代理对所述页面静态文件和云服务信息进行结合形成控制界面响应返回至所述用户的客户端。
图6为控制界面代理在云联邦中的应用场景示意图,所述控制界面代理通过与客户端、联邦代理、伙伴云的控制界面管理系统交互为用户实现处理伙伴云区域的云服务的目的。所述对伙伴云区域的云服务的处理包括在伙伴云的区域内创建、修改、删除、增加、重启、停止、查询、管理云服务。控制界面代理预先获取归属云的虚拟区域的控制界面域名和伙伴云的区域的控制界面域名的对应关系等信息,控制界面代理根据所述控制界面代理接收到用户的客户端发送的控制界面请求,与联邦代理和伙伴云认证系统交互,使用户获得伙伴云的认证和鉴权,进一步地,根据所述归属云的静态文件服务器域名将所述控制界面请求中的页面静态文件请求转发给归属云;根据伙伴云的区域的控制界面域名将所述控制界面请求中的云服务信息请求转发给伙伴云。
在本申请中,归属云和伙伴云在构建云联邦时预配置了联邦互信,具体地,归属云和伙伴云通过联邦代理交换元数据,即在归属云的认证系统中存储伙伴云的元数据,在伙伴云的认证系统中存储归属云的元数据,所述元数据包括各自云的标识、安全证书、公钥,协议,各自认证系统的名称和地址等。归属云和伙伴云通过统一认证机制向用户提供单点登录的功能,即用户通过在归属云的统一身份认证平台登录归属云的账号名和密码即可处理归属云的区域的云服务和伙伴云的区域的云服务。所述统一认证机制不限制,例如:归属云和伙伴云通过基于安全断言标记语言(security asserion markup languange,SAML)2.0的单点登录(single sign on,SSO)统一认证机制为用户提供统一的认证服务。用户通过客户端访问虚拟区域的控制界面域名以获得伙伴云云服务信息的流程如图7所示,具体如下:
S201,用户通过客户端访问归属云的虚拟区域的控制界面域名。
由于归属云的每个区域和虚拟区域都有一个独立的控制界面域名,用户可以通过直接访问归属云的虚拟区域的控制界面域名来访问归属云的该区域(例如直接访问Https://eu-west-console.hosted-cloud.com)。
可选的,S201中用户也可以通过访问归属云的公共网址,例如归属云的主页网址,在归属云提供的统一认证平台利用在归属云的账号名和密码进行登录,首先访问归属云的管理界面(例如:归属云默认的一个区域的控制界面),再在所述管理界面的区域选择子界面上选择想要访问的区域的控制界面,例如:用户通过客户端的浏览器访问云服务提供商的域名Https://www.hosted-cloud.com,利用在归属云的账号名和密码登录,进入该域名对应的管理界面,在该页面上用户可以自行地在区域选择子界面上选择想要访问的区域,这样用户访问的控制界面域名就切换成了真正要访问的区域的控制界面域名。
S202,控制界面代理接收所述控制界面请求,向客户端返回归属云的认证系统的URL,该控制界面请求用于访问虚拟区域,也即用于访问伙伴云的区域;
具体地,控制界面代理根据所述虚拟区域的控制界面请求通过联邦代理向伙伴云认证系统发送认证请求,伙伴云认证系统接收所述认证请求返回归属云的认证系统的URL。由于归属云与伙伴云预配置了联邦互信,伙伴云将对用户的认证操作委托给归属云认证系统。控制界面代理进一步地向浏览器返回归属云的认证系统的URL。
S203,客户端根据所述归属云的认证系统URL访问归属云认证系统,归属云认证系统通过客户端向用户呈现统一登录平台界面。
S204,用户登录归属云的账号名和密码。
S205,归属云认证系统通过用户提交的账号名和密码对用户进行认证,向客户端提供认证凭证,并向客户端发送虚拟区域的认证系统的URL。所述认证凭证是归属云认证系统对用户进行认证通过后提供的允许用户处理归属云的云服务的标识,由于归属云和伙伴云预配置了联邦互信,所述伙伴云信任所述归属云向用户的客户端提供的认证凭证,伙伴云只需校验归属云为用户提供的认证凭证真实有效则也允许用户处理伙伴云的云服务。
S206,认证通过后,客户端根据虚拟区域的认证系统的URL,将该用户的认证凭证发送至控制界面代理。
可选的,若S203之前用户已经进行了归属云账号名和密码的登录且在归属云上认证通过,则客户端已经存储了用户的认证凭证,则无需执行S203-S205,由S202直接执行S206,通过客户端将存储的该用户的认证凭证发送至控制界面代理。
S207,控制界面代理将该用户的认证凭证发送至伙伴云认证系统。
S208,伙伴云认证系统根据在预配置联邦互信时存储的归属云的元数据,校验接收到的认证凭证的真实性,确认所述认证凭证为真实,向控制界面代理返回伙伴云区域的控制界面URL。
S209,控制界面代理将接收到的所述伙伴云的区域的控制界面URL中的伙伴云的区域的控制界面域名替换成归属云的虚拟区域的控制界面域名,控制界面代理将所述替换后的控制界面URL返回至客户端。
S210,客户端通过所述替换后的控制界面URL发出虚拟区域的控制界面请求。
S211,控制界面代理接收所述虚拟区域的控制界面请求,根据所述控制界面请求生成页面静态文件请求和云服务信息请求。控制界面代理根据所述控制界面请求生成页面静态文件请求的方法是控制界面代理根据虚拟区域预先配置的归属云页面静态文件服务器的地址生成页面请求文件请求中的请求URL,提取控制界面请求中的公共请求参数和页面静态文件请求参数生成页面静态文件请求中的请求参数,将所述请求 URL和请求参数结合则生成了页面静态文件请求。控制界面代理将所述页面静态文件请求发送给归属云,所述控制界面代理从所述归属云获取并存储归属云的控制界面的页面静态文件响应,所述控制界面的页面静态文件响应包括在客户端上构建控制界面所需的各类页面静态文件,包括控制界面框架文件、CCS、JS及图片文件等。
可选的,由于归属云的页面静态文件一般不会频繁变化,如果S211之前控制界面代理已经获取了归属云的页面静态文件,S211中控制界面代理可以从本地获取预先存储的归属云的页面静态文件,无须将页面静态文件请求转发给归属云。
控制界面代理根据所述控制界面请求生成云服务信息请求的方法是控制界面代理根据预配置的域名规则将控制界面请求的请求URL中的虚拟区域的控制界面域名转换成伙伴云的区域的控制界面域名,或控制界面代理查询配置信息表,获取控制界面请求的请求URL中的虚拟区域的控制界面域名对应的伙伴云的区域的控制界面域名,将控制界面请求的请求URL中的虚拟区域的控制界面域名替换为获取的伙伴云区域的控制界面域名生成云服务信息请求中的请求URL,提取控制界面请求中的公共请求参数和云服务信息请求参数生成云服务信息请求中的请求参数,将所述请求URL和请求参数结合则生成了云服务信息请求。
S212,控制界面代理将所述云服务信息请求转发给伙伴云控制界面管理系统,伙伴云的控制界面管理系统接收所述云服务信息请求,获取对应的云服务信息响应,所述云服务信息响应中包括了云服务信息(例如该用户在伙伴云的该区域内已经申请了的云服务的类型,每种云服务的个数,运行时间等信息)和伙伴云区域的控制界面域名。所述伙伴云的控制界面管理系统向控制界面代理返回所述云服务信息响应。
可选的,S211和S212中控制界面代理执行的操作不限制时间的先后顺序关系,也可以同时执行。
S213,控制界面代理将伙伴云返回的云服务信息和归属云提供的控制界面的静态文件响应进行响应替换和加载,并返回给用户的客户端。所述响应替换包括将伙伴云云服务信息响应中包括的伙伴云区域的控制界面域名替换为所对应的归属云的虚拟区域的控制界面域名获得替换后的伙伴云云服务响应,所述响应加载包括:将所述归属云控制界面的页面静态文件和替换后的伙伴云云服务响应结合,并加载为控制界面响应。
S214,将所述控制界面响应返回给用户。
执行上述步骤S201-S214,用户通过访问虚拟区域的控制界面域名访问伙伴云区域的云服务,与通过访问归属云区域的控制界面域名访问归属云区域的云服务有着相同的体验感受,即用户在使用云服务时对为其提供服务的区域是来自归属云还是伙伴云并不知情,用户可无感知地跨云使用云服务。
执行完上述步骤S201-S209,即完成了用户在归属云和伙伴云的认证,在固定时效内,客户端会存储所述认证凭证,用户可直接执行步骤S210-S214,且可在所述控制界面上选择使用各种云服务。
用户通过API请求处理伙伴云区域的云服务
在本申请中,用户还可通过云服务API请求以处理归属云区域或伙伴云区域的云服务。
本申请中,当用户的客户端向虚拟区域的云服务API端点域名发送云服务API请求时,所述云服务API请求将由伙伴管理装置中的API代理接收,所述API代理将所述云服务API请求中的虚拟区域的云服务API端点域名替换为伙伴云区域的云服务 API端点域名,将替换后的云服务API请求转发给伙伴云区域的云服务API端点域名,最终使用户获得伙伴云区域的云服务API响应。
所述API请求包括请求统一资源定位符(uniform resource locator,URL)和请求参数,所述请求URL也称为网页地址,所述请求URL中包含请求传输的协议、目的API端点域名、资源路径等,所述目的API端点域名用于指示所述API请求要到达的API端点所在的服务器的域名或地址。所述请求参数包括特定处理的请求参数和公共请求参数,用于指示要处理的云服务名称、规格和格式等。API响应是所述API请求的结果或提示,每个API响应与每个API请求一一对应,所述API响应包括响应参数、请求源地址、响应资源链接等内容中的一个或任意多个。所述响应参数指示所述 API请求所请求的信息或提示,所述请求源地址用于提供API响应返回至API请求发送位置的路径信息,所述响应资源链接用于指示所述响应资源所在的位置,所述响应资源链接中包含API端点域名。
图8为一组向虚拟区域的API端点域名发送的API请求和伙伴云区域的API端点域名返回的API响应的示意图。所述虚拟区域云服务的API请求的内容为在归属云的虚拟区域运行弹性云服务器ecs(虚拟机服务),所述API请求的请求URL中包括的目的API端点域名为归属云的虚拟区域的云服务API端点域名 ecs.eu-west-0.hosted-cloud.com,所述API请求的请求参数具体指明了要运行的虚拟机的数量、类型等信息。API代理接收所述API请求,将所述请求URL中的目的API 端点域名由归属云的虚拟区域的云服务API域名替换为伙伴云区域的云服务API端点域名ecs.eu-west-0.allied-cloud.com,得到替换后的API请求。API代理根据所述替换后的API请求中的请求URL,将替换后的API请求转发到伙伴云区域的云服务API 端点。所述伙伴云区域的云服务API端点将API响应返回到所述API代理,API代理查询所述API响应是否包含响应资源链接,若包含响应资源链接,则将所述响应资源链接中的伙伴云区域的API端点域名替换为虚拟区域的API端点域名,将所述替换后的API响应转发给用户。由此,用户在创建虚拟区域的API请求和接收API响应时,所使用和所感受的API端点域名都是虚拟区域的API端点域名,即所述虚拟区域的API 端点域名和归属云的API端点域名风格相同,用户对于归属云虚拟区域的API访问和归属云区域的API访问拥有同样的感受。
在云联邦中,每个API端点域名包括第一部分和第二部分,所述第一部分包括所述每个API端点域名指示的区域所在的云的标识,所述第二部分包括所述每个API端点域名指示的区域的标识。不同云服务的API端点域名一般不同,每个API端点域名还可以包括第三部分,所述第三部分包括该API端点域名对应的云服务的标识,例如上例中的“ecs”指代弹性计算服务。
在构建云联邦时,归属云预先获取伙伴云的区域的API端点域名,根据所述伙伴云的区域的API端点域名生成归属云的虚拟区域的API端点域名,在DNS中注册归属云的虚拟区域的API端点域名对应为API代理的IP地址。所述归属云的虚拟区域的 API端点域名是所述伙伴云的区域的API端点域名在归属云的映射,每个归属云的虚拟区域的API端点域名与每个伙伴云区域的API端点域名一一对应。
前述归属云根据伙伴云的区域的API端点域名生成归属云的虚拟区域的API端点域名的方法可以是归属云根据一个域名规则将伙伴云区域的API端点域名转换为归属云的虚拟区域的API端点域名。
每个归属云的虚拟区域的API端点域名与其对应的伙伴云区域的API端点域名的第一部分不相同,所述归属云的虚拟区域的API端点域名的第一部分包括所述归属云的标识,所述伙伴云的区域的API端点域名的第一部分包括伙伴云的标识。每个归属云的虚拟区域的API端点域名与其对应的伙伴云区域的API端点域名的第二部分相同或相应,均用以指示所述API端点域名指示的区域的信息。例如:云联邦中有云服务提供商A建立的A云和云服务提供商B建立的B云,A云和B云互为伙伴关系,对于在A云注册母账号的用户,A云为归属云,B云为伙伴云。伙伴云B云的某区域的API 端点域名为service.regionN.B-cloud.com,则归属云A云根据所述伙伴云B云的区域N的云服务API端点域名在DNS注册的归属云A云的虚拟区域N的云服务API端点域名为service.regionN.A-cloud.com。所述归属云A云的虚拟区域N的云服务API 端点域名的第一部分(即:A-cloud)与其相对应的伙伴云B云的区域N的云服务API 端点域名的第一部分(即:B-cloud)不相同,分别指示归属云A云的标识和伙伴云B 云的标识,但两个域名的第二部分,即指示的区域的标识相同或相应;所述归属云A 云的虚拟区域N的云服务API端点域名的第一部分(即:A-cloud)与归属云A云自身原本的区域的云服务API端点域名相同或相应,均包含所述归属云A云的标识。
图9为API代理在云联邦中的应用的示意图,所述API代理通过与客户端、联邦代理、伙伴云区域的云服务API端点交互为用户实现处理伙伴云区域的云服务的目的。 API代理预先获取伙伴云区域的API端点域名,用户向所述归属云的虚拟区域的API 端点域名发送云服务API请求时,API代理接收所述云服务API请求,进一步地API 代理对所述云服务API进行域名替换后,将替换后的云服务API请求转发至伙伴云区域的API端点域名以获得伙伴云区域的云服务API响应。根据携带的鉴权信息的不同,用户通过API请求处理伙伴云区域的云服务的方式可分为多种,包括:
1、通过归属云的账号名和密码访问伙伴云API。即:用户输入账号名和密码通过客户端向虚拟区域的鉴权API端点域名发送鉴权请求a以获得伙伴云提供的第二鉴权令牌,进一步地用户创建携带所述第二鉴权令牌的云服务API请求a,通过客户端将所述携带所述第二鉴权令牌的云服务API请求a发送给虚拟区域的云服务API端点域名以获得伙伴云区域的云服务API响应a。
2、通过AK/SK访问伙伴云API。即:用户在客户端输入AK/SK和请求参数创建云服务API请求,客户端利用签名算法对所述云服务API请求进行签名,所述签名算法用于对请求参数和SK进行加密产生签名,将所述签名和AK作为参数添加至云服务API 请求获得云服务API请求a,客户端将所述云服务API请求a发送至虚拟区域的云服务API端点域名以获得伙伴云区域的云服务API响应a。
具体地:
1、通过归属云的账号名和密码访问伙伴云API。结合图10具体描述如下:
S301,用户创建鉴权请求a,客户端将所述鉴权请求a发送至归属云的虚拟区域的鉴权API端点域名。所述鉴权请求a中包括所述用户的鉴权信息,所述鉴权信息包括所述用户的账号和密码,所述鉴权请求a用于请求伙伴云提供的第二鉴权令牌。所述第二鉴权令牌是处理伙伴云区域的云服务的权限凭证。
S302,API代理接收所述鉴权请求a,将所述鉴权请求a中的鉴权信息(包括账号和密码)发送给联邦代理。
S303,联邦代理接收所述鉴权信息,根据所述鉴权信息向归属云认证系统发送鉴权请求b,所述鉴权请求b中包括所述用户的鉴权信息,所述鉴权信息包括所述用户的账号和密码,所述鉴权请求b用于请求归属云提供的第一鉴权令牌。归属云认证系统根据所述鉴权请求b中包含的鉴权信息对用户进行认证和鉴权,向所述联邦代理发送第一鉴权令牌,所述第一鉴权令牌是处理归属云区域的云服务的权限凭证,所述第一鉴权标识中包括所述用户的账号对应的母账号ID。
S304,联邦代理根据所述归属云认证系统提供的第一鉴权令牌解析所述用户的账号对应的母账号ID,联邦代理进一步地根据所述母账号ID判断用户是否为云联邦用户,若用户为非云联邦用户则执行步骤S305;若用户为云联邦用户则执行步骤S306。
S305,联邦代理向API代理返回受限标识,所述受限标识表示用户没有获取伙伴云提供的第二鉴权令牌的权限,API代理根据所述受限标识,向用户的客户端返回受限响应。用户请求第二鉴权令牌失败,不再执行余下步骤。
S306,联邦代理向伙伴云认证系统的API端点发送鉴权请求c,所述鉴权请求c 中包括代理账号的账号和密码。所述代理账号的账号和密码由联邦代理在云联邦构建时预先存储。联邦代理根据所述代理账号的账户和密码在伙伴云登录代理账号,从伙伴云认证系统的API端点获取代理合同标识,所述代理合同标识用以指示归属云与伙伴云的联邦关系。
S307,联邦代理根据S304中从第一鉴权令牌中解析的所述母账号ID和所述代理合同标识创建鉴权请求d,将所述鉴权请求d发送至伙伴云认证系统的API端点,所述鉴权请求d中包括代理合同标识和母账号ID,伙伴云认证系统对所述账号对应的影子账号进行认证和鉴权,提供第二鉴权令牌。
S308,联邦代理将所述伙伴云提供的第二鉴权令牌返回至API代理,API代理进一步地将所述第二鉴权令牌返回至用户的客户端作为所述鉴权请求a的响应。
S309,用户创建云服务API请求a,所述云服务API请求a包括所述第二鉴权令牌,所述云服务API请求a用于向伙伴云请求处理云服务,所述云服务API请求中包括目的API端点域名,所述目的API端点域名为归属云的虚拟区域的云服务API端点域名。用户的客户端根据所述目的API端点域名将所述云服务API请求a发送至API 代理。
S310,API代理接收所述云服务API请求a,将所述云服务API请求a中的目的 API端点域名由虚拟区域的云服务API端点域名替换为伙伴云区域的云服务API端点域名形成替换后的云服务API请求b,所述云服务API请求b与所述云服务API请求 a包括相同的请求参数,均用于向伙伴云请求处理云服务。
S311,API代理根据所述目的API端点域名将所述云服务API请求b发送至伙伴云区域的云服务API端点域名,伙伴云区域的云服务API端点返回云服务API响应b 至API代理。
S312,API代理接收伙伴云返回的云服务API响应b,检测所述云服务API响应b 中存在包含伙伴云区域的API端点域名的链接,API代理将所述云服务API响应b中伙伴云区域的API端点域名替换为归属云的虚拟区域的API端点域名。
S313,API代理将所述替换后的云服务API响应a返回给用户所在的客户端作为与云服务API请求a对应的响应。
可选的,S312,API代理接收伙伴云返回的云服务API响应b,检测所述云服务 API响应b中不存在包含伙伴云区域的API端点域名的链接,则S312不执行域名替换的操作,直接执行S313,API代理将所述的云服务API响应b返回给用户所在的客户端作为云服务API请求a对应的响应。
2、通过AK/SK访问伙伴云API。结合图11具体描述如下:
归属云提供的访问公钥(access key,AK)/私有访问秘钥(secret access key,SK)是一组由归属云根据用户的账号和密码生成的用于用户访问归属云服务的秘钥信息。
S401,用户在客户端创建云服务API请求,所述请求中包括AK/SK,客户端利用签名加密算法对所述云服务API请求进行签名加密。具体地,客户端的签名模块提取云服务API请求中的请求参数和SK形成字符串,利用签名加密算法对所述字符串进行加密获得签名,将所述签名和AK作为鉴权信息添加至云服务API请求获得云服务 API请求a。所述云服务API请求a用于向伙伴云请求处理云服务,所述云服务API 请求中包括目的API端点域名,所述目的API端点域名为归属云的虚拟区域的云服务API端点域名。用户的客户端根据所述目的API端点域名将所述云服务API请求a发送至API代理。
S402,API代理接收所述云服务API请求a,将所述云服务API请求a中的鉴权信息(签名和AK)发送至联邦代理。
S403,联邦代理接收所述鉴权信息,根据所述鉴权信息向归属云认证系统发送鉴权请求b,所述鉴权请求b中包括所述用户的鉴权信息,所述鉴权信息包括所述签名和AK,所述鉴权请求b用于请求归属云提供的第一鉴权令牌。归属云认证系统根据所述鉴权请求b中包含的鉴权信息对用户进行认证和鉴权,向所述联邦代理发送第一鉴权令牌,所述第一鉴权令牌是处理归属云区域的云服务的权限凭证,所述第一鉴权标识中包括所述用户的账号对应的母账号ID。
具体地,归属云认证系统根据所述鉴权请求b中包含的鉴权信息对用户进行认证和鉴权包括:归属云认证系统利用与客户端签名解密算法相同或相应的签名算法对所述鉴权信息进行解密,归属云认证系统根据所述鉴权信息中的AK可识别访问者的身份,根据解密后的SK可判断所述鉴权请求b的合法性。鉴权完成后,归属云认证系统向联邦代理返回第一鉴权标识。
S404,联邦代理根据所述归属云认证系统提供的第一鉴权令牌解析所述用户的账号对应的母账号ID,联邦代理进一步地根据所述母账号ID判断用户是否为云联邦用户,若确定用户为非云联邦用户则执行步骤S405;若确定用户为云联邦用户则执行步骤S406。
S405,联邦代理向API代理返回受限标识,所述受限标识表示用户没有获取伙伴云提供的第二鉴权令牌的权限,API代理根据所述受限标识,向用户的客户端返回受限响应。用户请求第二鉴权令牌失败,不再执行余下步骤。
S406,联邦代理向伙伴云认证系统的API端点发送鉴权请求c,所述鉴权请求c 中包括代理账号的账号和密码。所述代理账号的账号和密码由联邦代理在云联邦构建时预先存储。联邦代理根据所述代理账号的账户和密码在伙伴云登录代理账号,从伙伴云认证系统的API端点获取代理合同标识,所述代理合同标识用以指示归属云与伙伴云的联邦关系。
S407,联邦代理根据S404中从第一鉴权令牌中解析的所述母账号ID和所述代理合同标识创建鉴权请求d,将所述鉴权请求d发送至伙伴云认证系统的API端点,所述鉴权请求d中包括代理合同标识和母账号ID,伙伴云认证系统对所述账号对应的影子账号进行认证和鉴权,提供第二鉴权令牌。
S408,联邦代理将所述伙伴云提供的第二鉴权令牌返回至API代理。
S409,API代理接收所述联邦代理发送的第二鉴权令牌,将所述第二鉴权令牌作为一个参数写入所述云服务API请求a中,API代理进一步地将所述包括第二鉴权令牌的云服务API请求a的目的API端点域名从由虚拟区域的云服务API端点域名替换为伙伴云区域的云服务API端点域名形成替换后的云服务API请求b,所述云服务API 请求b与所述包括第二鉴权令牌的云服务API请求a包括相同的请求参数,均用于向伙伴云请求处理云服务。
S410,API代理根据所述目的API端点域名将所述云服务API请求b发送至伙伴云区域的云服务API端点域名,伙伴云区域的云服务API端点返回云服务API响应b 至API代理。
S411,API代理接收伙伴云返回的云服务API响应b,检测所述云服务API响应b 中存在包含伙伴云区域的API端点域名的链接,API代理将所述云服务API响应b中伙伴云区域的API端点域名替换为归属云的虚拟区域的API端点域名。
S412,将所述替换后的云服务API响应a返回给用户所在的客户端作为云服务API请求a对应的响应。
可选的,S411,API代理接收伙伴云返回的云服务API响应b,检测所述云服务 API响应b中不存在包含伙伴云区域的API端点域名的链接,则S411不执行域名替换的操作,直接执行S412,API代理将所述的云服务API响应b返回给用户所在的客户端作为云服务API请求a对应的响应。
归属云对用户在伙伴云的云服务话单进行统一计费
在云联邦中,用户及其名下的用户仅通过归属云的账号就可处理归属云区域的云服务和至少一个伙伴云区域的云服务。对于用户的母账号和母账号包括的账号在云联邦中的不同云的不同区域的云服务话单,SDR代理将转发至归属云,由归属云统一与用户结算。每个用户在伙伴云的区域的云服务话单包括该用户使用该伙伴云的区域的云服务的使用参数,所述使用参数可以是使用的时长、容量、流量等。
下面结合图12描述归属云对用户在伙伴云的云服务话单进行统一计费的流程。
S501,伙伴云业务支撑系统BSS采集伙伴云上的云服务话单,将所述云服务话单保存在伙伴云的BSS中的话单服务器中,所述云服务话单包括归属云在伙伴云上注册的影子账号的云服务话单和伙伴云的用户在伙伴云上注册的账号的云服务话单。
S502,SDR代理在伙伴云认证系统中查询影子账号对应的归属云标识,并将所述归属云标识写入相应的影子账号的云服务话单中。
S503,SDR代理将伙伴云BSS中的影子账号话单同步到SDR代理的话单存储单元。
S504,SDR代理将所述影子账号话单转发至归属云BBS,所述归属云BSS根据所述影子账号携带的的母账号ID,对影子账号话单及其对应的母账号在归属云的云服务话单进行统一管理。
S505,归属云按照归属云的话单模型和计费模型对用户的母账号和对应的影子账号的话单进行统一计费,生成母账号的账单。
S506,用户登录母账号名和密码访问归属云BBS,查询母账号在归属云区域和虚拟区域的话单和费用信息,用户与归属云进行母账号费用的结算。
前述步骤S501-S505定期执行,用户可随时执行S506,用户在归属云所查询的话单及账单为用户查询前的某一个固定时间经S501-S505产生的信息。
可选的,用户登录账号名和密码也可执行前述S506,与归属云对所述用户的账号所属的母账号进行账单结算。
当用户在归属云注册的母账号出现余额不足或恶性欠费时,归属云BSS将停止向所述母账号及其名下的账号提供在归属云区域的云服务(包括停止提供所述母账号及其名下的账号正在使用的云服务和不再接受所述母账号及其名下的账号继续请求在归属云区域的云服务),归属云BSS还向SDR代理发送服务停止请求,所述服务停止请求用于冻结所述归属云上的母账号在伙伴云对应的影子账号对伙伴云服务的使用, SDR代理将所述服务停止请求转发到伙伴云BSS,伙伴云也将停止向所述影子账号提供在伙伴云区域的云服务(包括停止提供所述影子账号正在使用的云服务和不再接受所述影子账号继续请求在伙伴云区域的云服务)。
下面结合图13描述归属云对欠费用户进行统一停止提供服务的流程。
S601,归属云BSS确认用户的母账号余额不足(或已欠费),归属云BSS限制所述母账号及其名下的账号在归属云区域的云服务使用且拒绝所述母账号及其名下的账号对归属云区域的云服务请求。
S602,归属云BSS发送服务停止请求给SDR代理,所述服务停止请求用于冻结所述归属云上的母账号在伙伴云对应的影子账号对伙伴云服务的使用,所述服务停止请求包含母账号ID。
S603,SDR代理接收归属云BSS发送的所述服务停止请求,SDR代理向联邦代理发送所述服务停止请求。
S604,联邦代理利用代理账号的账号名和密码向伙伴云认证系统发送鉴权请求,所述鉴权请求中包括代理账号的账号名和密码。伙伴云认证系统向联邦代理返回伙伴云中代理账号的代理合同标识。
S605,联邦代理将所述代理合同标识作为一个参数写入服务停止请求。
S606,联邦代理将包括代理合同标识和母账号ID的服务停止请求发送至伙伴云。
S607,伙伴云根据所述服务停止请求中的代理合同标识和母账号ID查找所述母账号对应的影子账号,伙伴云BSS限制所述影子账号在伙伴云区域的云服务使用且拒绝所述影子账号继续对伙伴云区域的云服务请求。
S608,伙伴云向联邦代理返回服务停止响应,联邦代理进一步地返回所述响应至SDR代理,SDR代理将所述响应返回给归属云。
通过上述步骤S601-S608,归属云上欠费或余额不足的母账号及其在伙伴云上对应的影子账号分别在归属云和伙伴云上的云服务使用均被冻结。
归属云OSS统一处理伙伴云上的影子账号的运维信息
OSS代理与伙伴云OSS交互,获取影子账号对应的运维信息(例如:伙伴云对影子账号发送的邮件和用户对于虚拟区域云服务创建的运维工单等),OSS代理将所述运维信息转发到归属云OSS,归属云OSS统一处理所述运维信息。
装置
本申请提供了一种伙伴管理装置700,该装置包括API代理,所述API代理用于执行前述步骤S301-S312和步骤S401-S411中API代理执行的操作。该装置可以部署在归属云、伙伴云或第三方数据中心,该装置的各部分可以分别部署在归属云、伙伴云或第三方数据中心这三个环境中,也可以部署在这三个环境中的任意两个。本申请对在该装置中如何划分功能单元不做限定,下面实例性地提供一种功能单元的划分,如图14所示,伙伴管理装置700包括的API代理中包括:
API代理通信单元701,用于执行前述步骤S309、S311中API代理执行的操作;或用于执行前述步骤S401、S410中API代理执行的操作。
API代理处理单元702,用于执行前述步骤S310的操作,或用于执行前述步骤S409的操作。
可选的,所述API代理通信单元701还用于执行前述步骤S301、S302、S305、S308 和S313中API代理执行的操作。
可选的,所述API代理通信单元701还用于执行前述步骤S402、S405、S408和 S412中API代理执行的操作。
可选的,所述API代理处理单元702还用于执行前述步骤S312的操作;
可选的,所述API代理处理单元702还用于执行前述步骤S411的操作。
其中,伙伴管理装置700所在的云系统还包括归属云和伙伴云,所述归属云包括第一区域,所述伙伴云包括第二区域,所述第一区域包括所述归属云的部分硬件资源和部分软件资源,所述第二区域包括所述伙伴云的部分硬件资源和部分软件资源,所述归属云还向用户提供虚拟区域,所述虚拟区域是所述第二区域在所述归属云上的映射。
前述单元可以为软件单元或硬件单元或一部分为软件单元一部分为硬件单元。前述各单元之间通过通信通路建立了连接。
本申请提供了一种伙伴管理装置800,该装置包括控制界面代理,所述控制界面代理用于执行前述步骤S201-S214中控制界面代理执行的操作。该装置可以部署在归属云、伙伴云或第三方数据中心,该装置的各部分可以分别部署在归属云、伙伴云或第三方数据中心这三个环境中,也可以部署在这三个环境中的任意两个。本申请对在该装置中如何划分功能单元不做限定,下面实例性地提供一种功能单元的划分,如图15所示,伙伴管理装置800包括的控制界面代理包括:
控制界面代理通信单元801,用于执行前述步骤S210和S214中控制界面代理执行的操作;
控制界面代理处理单元802,用于执行前述步骤S211-S213中控制界面代理执行的操作。
可选的,所述控制界面代理通信单元801还用于执行前述步骤S201、S202、S207 中控制界面代理执行的操作。
可选的,所述控制界面代理处理单元802还用于执行前述步骤S209的操作。
其中,伙伴管理装置800所在的云系统还包括归属云和伙伴云,所述归属云包括第一区域,所述伙伴云包括第二区域,所述第一区域包括所述归属云的部分硬件资源和部分软件资源,所述第二区域包括所述伙伴云的部分硬件资源和部分软件资源,所述归属云还向用户提供虚拟区域,所述虚拟区域是所述第二区域在所述归属云上的映射。前述单元可以为软件单元或硬件单元或一部分为软件单元一部分为硬件单元。前述各单元之间通过通信通路建立了连接。
本申请提供了一种云管理装置900,该装置可以包括本申请所述的云联邦中归属云控制界面管理系统和控制界面代理。本申请对在该装置中如何划分功能单元不做限定,下面实例性地提供一种功能单元的划分,如图16所示,云管理装置900包括的归属云控制界面管理系统还包括归属云控制界面处理单元901和归属云控制界面通信单元902,云管理装置900包括的控制界面代理还包括控制界面代理通信单元903和控制界面代理处理单元904。
归属云控制界面处理单元901,用于提供所述归属云的管理界面,所述归属云的管理界面包括区域选择子界面,所述区域选择子界面包括所述第一区域的元素和所述虚拟区域的元素;
归属云控制界面通信单元902,用于接收用户的客户端发送的第一控制界面请求,所述第一控制界面请求由用户选择所述第一区域的元素生成;
所述归属云控制界面处理单元901还用于根据所述第一控制界面请求,向所述客户端提供所述第一区域的控制界面,所述第一区域的控制界面内呈现所述第一区域的云服务的信息;
控制界面代理通信单元903,用于接收所述客户端发送的第二控制界面请求,所述控制界面请求由所述用户选择所述虚拟区域的元素生成;
控制界面代理处理单元904,用于根据所述第二控制界面请求,向所述客户端提供所述虚拟区域的控制界面,所述虚拟区域的控制界面内呈现所述第二区域的云服务的信息。
其中,前述归属云包括第一区域,前述伙伴云包括第二区域,所述第一区域包括所述归属云的部分硬件资源和部分软件资源,所述第二区域包括所述伙伴云的部分硬件资源和部分软件资源,所述归属云还向用户提供虚拟区域,所述虚拟区域是所述第二区域在所述归属云的映射。
前述单元可以为软件单元或硬件单元或一部分为软件单元一部分为硬件单元。前述各单元之间通过通信通路建立了连接。
本申请提供了一种伙伴管理装置1000,该装置可以包括本申请所述的API代理和联邦代理,该装置可以部署在归属云、伙伴云或第三方数据中心,该装置的各部分可以分别部署在归属云、伙伴云或第三方数据中心这三个环境中,也可以部署在这三个环境中的任意两个。本申请对在该装置中如何划分功能单元不做限定,下面实例性地提供一种功能单元的划分,如图17所示,伙伴管理装置1000包括的API代理还包括 API代理通信单元1001和API代理处理单元1002;伙伴管理装置1000包括的联邦代理还包括联邦代理通信单元1003和联邦代理处理单元1004;
API代理通信单元1001,用于执行前述步骤S301-S302、S305和S308的操作;或用于执行前述步骤S401-S402、S405和S408的操作;
API代理处理单元1002,用于执行前述步骤S310和S312的操作,或用于执行前述步骤S409、S411的操作;
联邦代理通信单元1003,用于执行前述步骤S304、S306-S307的操作;还用于执行前述步骤S403、S406-S407的操作;
联邦代理处理单元1004,用于执行前述步骤S303的操作,或用于执行前述步骤S404的操作。
其中,伙伴管理装置1000所在的云系统还包括归属云和伙伴云,所述归属云包括第一区域,所述伙伴云包括第二区域,所述第一区域包括所述归属云的部分硬件资源和部分软件资源,所述第二区域包括所述伙伴云的部分硬件资源和部分软件资源,所述归属云还向用户提供虚拟区域,所述虚拟区域是所述第二区域在所述归属云上的映射。前述单元可以为软件单元或硬件单元或一部分为软件单元一部分为硬件单元。前述各单元之间通过通信通路建立了连接。
本申请还提供了一种伙伴管理装置1100,该装置包括SDR代理模块,该装置可以部署在归属云、伙伴云或第三方数据中心,该装置的各部分可以分别部署在归属云、伙伴云或第三方数据中心这三个环境中,也可以部署在这三个环境中的任意两个。本申请对在该装置中如何划分功能单元不做限定,下面实例性地提供一种功能单元的划分,如图18所示,伙伴管理装置1100包括的SDR代理模块包括:
SDR代理处理单元1101,用于执行前述步骤S502、S503的操作;
SDR代理通信单元1102,用于执行前述步骤S504的操作。
可选的,所述SDR代理通信单元还用于执行前述步骤S602、S603和S608中SDR 代理执行的操作。
其中,伙伴管理装置1100所在的云系统还包括归属云和伙伴云,所述归属云包括第一区域,所述伙伴云包括第二区域,所述第一区域包括所述归属云的部分硬件资源和部分软件资源,所述第二区域包括所述伙伴云的部分硬件资源和部分软件资源,所述归属云还向用户提供虚拟区域,所述虚拟区域是所述第二区域在所述归属云上的映射。前述单元可以为软件单元或硬件单元或一部分为软件单元一部分为硬件单元。前述各单元之间通过通信通路建立了连接。
计算设备系统
本申请所述的云联邦包括归属云、至少一个伙伴云和至少一个伙伴管理装置。其中伙伴管理装置可以部署在归属云或伙伴云或第三方数据中心,所述伙伴管理装置也可以部分地分别部署在归属云、伙伴云和第三方数据中心这三个环境中,或部署在这三个环境的任意两个环境中。
因此,如图19所示,本申请提供了一种计算设备系统1200,所述计算设备系统包括归属云集群、伙伴云集群和伙伴管理装置集群,所述归属云集群用于执行前述归属云控制界面管理系统、归属云认证系统、归属云BSS、归属云OSS和归属云API端点执行的操作,所述伙伴云集群用于执行前述伙伴云控制界面管理系统、伙伴云认证系统、伙伴云BSS、伙伴云OSS和伙伴云API端点执行的操作,所述伙伴管理装置集群用于执行前述控制界面代理、API代理、联邦代理、SDR代理和OSS代理等模块执行的操作,所述计算设备系统1200中每个集群至少包括一台计算设备,所述计算设备包括总线1201、处理器1202、通信接口1203和存储器1204。处理器1202、存储器1204和通信接口1203之间通过总线1201通信。
其中,处理器1202可以为中央处理器(英文:central processing unit,缩写:CPU)。存储器可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random access memory,缩写:RAM)。存储器1204还可以包括非易失性存储器(英文:non-volatile memory),例如只读存储器(英文:read-only memory,缩写:ROM),快闪存储器,HDD或SSD。存储器1204中存储有可执行的程序代码。存储器1204中还可以包括操作系统等其他运行进程所需的软件模块。操作系统可以为 LINUXTM,UNIXTM,WINDOWSTM等。
所述归属云集群中的计算设备的处理器1201执行可执行代码以执行前述实施例中归属云控制界面管理系统、归属云认证系统、归属云BSS、归属云OSS和归属云API 端点执行的任意部分方法或全部方法。所述归属云集群中的计算设备的存储器1204 中存储了执行前述实施例中归属云控制界面管理系统、归属云认证系统、归属云BSS、归属云OSS和归属云API端点执行的任意部分方法或全部方法所需的代码。
所述伙伴云集群中的计算设备的处理器1201执行可执行代码以执行前述实施例中伙伴云控制界面管理系统、伙伴云认证系统、伙伴云BSS、伙伴云OSS和伙伴云API 端点执行的任意部分方法或全部方法。所述伙伴云集群中的计算设备的存储器1204 中存储了执行前述实施例中伙伴云控制界面管理系统、伙伴云认证系统、伙伴云BSS、伙伴云OSS和伙伴云API端点执行的任意部分方法或全部方法所需的代码。
所述伙伴管理装置集群中的计算设备的处理器1201执行可执行代码以执行前述实施例中控制界面代理、API代理、联邦代理、SDR代理、OSS代理执行的任意部分方法或全部方法。所述伙伴云集群中的计算设备的存储器1204中存储了运行前述装置 700、装置800、装置900、装置1000和装置1100的任意部分或全部装置以执行前述实施例中控制界面代理、API代理、联邦代理、SDR代理、OSS代理执行的任意部分方法或全部方法所需的代码。
所述伙伴管理装置集群可以有多个,所述多个伙伴管理装置集群可以全部或部分是归属云集群中的一个子集群,也可以全部或部分是伙伴云集群中的一个子集群,也可以全部或部分是一个单独的计算设备集群。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如SSD)等。
上述各个附图对应的流程的描述各有侧重,某个流程中没有详述的部分,可以参见其他流程的相关描述。

Claims (14)

1.一种在云系统处理云服务的方法,其特征在于,所述云系统包括归属云、伙伴云和伙伴管理装置,所述伙伴云中的区域在所述归属云映射成所述归属云中的虚拟区域;所述方法包括:
所述伙伴管理装置接收用户对归属云中的虚拟区域进行访问的访问请求;
所述伙伴管理装置对所述访问请求进行处理,并将处理后的访问请求转发至所述伙伴云中对应的区域,以获得所述伙伴云中对应的区域对所述访问请求的处理响应。
2.根据权利要求1所述的方法,其特征在于,所述用户对归属云中的虚拟区域进行访问的访问请求为所述用户的客户端发送的应用程序编程接口API请求,所述API请求用于请求所述虚拟区域处理云服务。
3.根据权利要求2所述的方法,其特征在于,所述伙伴管理装置对所述访问请求进行处理,并将处理后的访问请求转发至所述伙伴云中对应的区域,以获得所述伙伴云中对应的区域对所述访问请求的处理响应,具体包括:
所述伙伴管理装置将所述API请求携带的所述虚拟区域的API端点域名替换为所述伙伴云中对应的区域的API端点域名,获得替换后的API请求,其中,所述虚拟区域的API端点域名与所述区域的API端点域名存在对应关系;
所述伙伴管理装置将所述替换后的API请求转发至所述伙伴云中对应的区域的API端点,其中,所述替换后的API请求用于请求所述伙伴云中对应的区域处理所述云服务,以获得处理响应。
4.根据权利要求3所述的方法,其特征在于,所述虚拟区域的API端点域名在域名服务系统DNS中与所述伙伴管理装置的互联网协议IP地址对应。
5.根据权利要求3或4所述的方法,其特征在于,所述伙伴管理装置将所述API请求携带的所述虚拟区域的API端点域名替换为所述伙伴云中对应的区域的API端点域名包括:
所述伙伴管理装置根据所述虚拟区域的API端点域名查询配置信息获取所述伙伴云中对应的区域的API端点域名,其中,所述配置信息记录所述虚拟区域的API端点域名与所述伙伴云中对应的区域的API端点域名的对应关系;
所述伙伴管理装置根据获取的所述伙伴云中对应的区域的API端点域名替换所述API请求携带的所述虚拟区域的API端点域名。
6.根据权利要求3或4所述的方法,其特征在于,所述伙伴管理装置将所述API请求携带的所述虚拟区域的API端点域名替换为所述伙伴云中对应的区域的API端点域名包括:
所述伙伴管理装置根据预先配置的域名规则,将所述虚拟区域的API端点域名转换为所述伙伴云中对应的区域的API端点域名。
7.根据权利要求6所述的方法,其特征在于,所述域名规则包括所述虚拟区域的API端点域名包括的区域标识和所述伙伴云中对应的区域的API端点域名包括的区域标识的对应关系。
8.根据权利要求7所述的方法,其特征在于,所述域名规则包括所述虚拟区域的API端点域名包括的云标识和所述伙伴云中对应的区域的API端点域名包括的云标识的对应关系。
9.根据权利要求3所述的方法,其特征在于,还包括:
所述伙伴管理装置接收所述伙伴云中对应的区域的API端点根据所述API请求发送的API响应,所述API响应包括处理完成的所述云服务的信息;
所述伙伴管理装置将所述API响应中所述伙伴云中对应的区域的API端点域名替换为所述虚拟区域的API端点域名,获得替换后的API响应;
所述伙伴管理装置将所述替换后的API响应返回至所述客户端。
10.根据权利要求3所述的方法,其特征在于,
在所述伙伴管理装置接收所述客户端发送的所述API请求前,所述方法还包括:
所述伙伴管理装置接收所述客户端发送的用户的账号名和密码;
所述伙伴管理装置根据所述用户的账号名和密码,从所述归属云获取所述用户的第一鉴权令牌;
所述伙伴管理装置根据所述用户的第一鉴权令牌,确定所述用户有权限处理所述伙伴云中对应的区域的云服务;
所述伙伴管理装置从所述伙伴云获取所述用户的第二鉴权令牌;
所述伙伴管理装置将所述第二鉴权令牌发送至所述客户端,所述API请求携带所述第二鉴权令牌。
11.根据权利要求3所述的方法,其特征在于,所述API请求还携带所述用户的密钥信息,所述方法还包括:
所述伙伴管理装置根据所述用户的密钥信息,从所述归属云获取所述用户的第一鉴权令牌;
所述伙伴管理装置根据所述用户的第一鉴权令牌,确定所述用户有权限处理所述伙伴云中对应的区域的云服务;
所述伙伴管理装置从所述伙伴云获取所述用户的第二鉴权令牌;
所述伙伴管理装置将所述用户的第二鉴权令牌添加至所述替换后的API请求中。
12.一种计算设备系统,包括至少一台计算设备,其特征在于,每台计算设备包括存储器和处理器,所述至少一台计算设备的存储器,用于存储计算机指令;
所述至少一台计算设备的处理器执行所述存储器存储的计算机指令,以执行上述权利要求1至11中任一所述的方法。
13.一种计算机可读存储介质,其特征在于,包括计算机可读指令,当所述计算机可读指令在计算设备或计算设备集群上运行时,使得所述计算设备或计算设备集群执行上述权利要求1至11任一项所述的方法。
14.一种计算机程序产品,其特征在于,包括计算机可读指令,当所述计算机可读指令在计算设备或计算设备集群上运行时,使得所述计算设备或计算设备集群执行上述权利要求1至11任一项所述的方法。
CN202111111728.8A 2018-09-11 2018-12-29 一种在云系统中处理云服务的方法、装置和设备 Pending CN114025004A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN2018110588164 2018-09-11
CN201811058816 2018-09-11
CN201811644830.2A CN109819061B (zh) 2018-09-11 2018-12-29 一种在云系统中处理云服务的方法、装置和设备

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201811644830.2A Division CN109819061B (zh) 2018-09-11 2018-12-29 一种在云系统中处理云服务的方法、装置和设备

Publications (1)

Publication Number Publication Date
CN114025004A true CN114025004A (zh) 2022-02-08

Family

ID=66603788

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201811644830.2A Active CN109819061B (zh) 2018-09-11 2018-12-29 一种在云系统中处理云服务的方法、装置和设备
CN202111111728.8A Pending CN114025004A (zh) 2018-09-11 2018-12-29 一种在云系统中处理云服务的方法、装置和设备

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201811644830.2A Active CN109819061B (zh) 2018-09-11 2018-12-29 一种在云系统中处理云服务的方法、装置和设备

Country Status (4)

Country Link
US (2) US11431670B2 (zh)
EP (1) EP3843364B1 (zh)
CN (2) CN109819061B (zh)
WO (1) WO2020052271A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115396500A (zh) * 2022-08-26 2022-11-25 中国电信股份有限公司 基于专网的服务平台切换方法、系统及电子设备
CN116055147A (zh) * 2022-12-30 2023-05-02 中国电子科技集团公司第三十研究所 一种基于标识的云服务轻量型身份认证方法

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113454966B (zh) * 2019-07-24 2023-02-17 Oppo广东移动通信有限公司 一种影子设备的生成方法、设备及存储介质
CN110944035A (zh) * 2019-10-22 2020-03-31 珠海格力电器股份有限公司 一种物联网设备控制方法、系统以及可读介质
CN111782930B (zh) * 2019-11-08 2024-10-18 北京京东尚科信息技术有限公司 多云管理方法及装置、计算机可存储介质
CN113055410B (zh) * 2019-12-26 2024-07-23 阿里巴巴集团控股有限公司 云资源管理方法、装置、设备、系统及可读存储介质
US11520615B1 (en) * 2020-03-31 2022-12-06 Equinix, Inc. Virtual network function virtual domain isolation
CN111698326B (zh) * 2020-06-12 2023-01-31 北京百度网讯科技有限公司 用于确定云服务资源的成本归属的方法和装置
CN111953681B (zh) * 2020-08-11 2022-06-07 福州职业技术学院 一种dns身份认证方法及终端
CN112235400B (zh) * 2020-10-14 2024-02-02 腾讯科技(深圳)有限公司 通信方法、通信系统、装置、服务器及存储介质
CN112416616B (zh) * 2020-11-12 2023-12-12 北京字跳网络技术有限公司 一种微服务调用方法、装置、电子设备及存储介质
CN114640671B (zh) * 2020-12-01 2024-08-16 马上消费金融股份有限公司 一种服务组件的管理方法、服务器和电子设备
WO2022125456A1 (en) * 2020-12-07 2022-06-16 Intel Corporation Mec federation broker and manager enabling secure cross-platform communication
CN114765610A (zh) * 2021-01-15 2022-07-19 北京小米移动软件有限公司 云平台、基于云的资源管理系统及基于云的交互方法
US20220229685A1 (en) * 2021-01-21 2022-07-21 Capital One Services, Llc Application execution on a virtual server based on a key assigned to a virtual network interface
US11973824B2 (en) * 2021-09-23 2024-04-30 Shanghai Anviz Technology Co., Ltd. Method for data transmission of audio and video in end-to-end system
CN114172700A (zh) * 2021-11-24 2022-03-11 中国人寿保险股份有限公司上海数据中心 基于云平台结合域控服务器的统一认证系统及方法
TWI825525B (zh) * 2021-12-14 2023-12-11 中華電信股份有限公司 多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介
CN116471029A (zh) * 2022-01-11 2023-07-21 华为云计算技术有限公司 一种在云系统中处理云服务的方法及相关装置
CN114745711B (zh) * 2022-03-28 2024-09-20 闻泰通讯股份有限公司 云名片的发送方法、装置、计算机设备和存储介质
JP2024043815A (ja) * 2022-09-20 2024-04-02 京セラドキュメントソリューションズ株式会社 デバイス管理システム
CN116260594B (zh) * 2023-05-09 2023-07-18 北京天辰信科技有限公司 一种电子签名文件的签署方法及系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9734321B2 (en) * 2011-12-12 2017-08-15 Nokia Technologies Oy Method and apparatus for providing federated service accounts
US9740759B1 (en) * 2014-01-24 2017-08-22 EMC IP Holding Company LLC Cloud migrator
CN106559453A (zh) * 2015-09-29 2017-04-05 中兴通讯股份有限公司 云互通的外部资源管理方法、装置及系统
US10594684B2 (en) * 2016-09-14 2020-03-17 Oracle International Corporation Generating derived credentials for a multi-tenant identity cloud service
CN108259432A (zh) * 2016-12-29 2018-07-06 亿阳安全技术有限公司 一种api调用的管理方法、设备及系统
US20180219949A1 (en) * 2017-01-27 2018-08-02 Obigo Inc. Method for automatically controlling network access using api map in cloud-based vehicle environment and device using the same
CN107357660A (zh) * 2017-07-06 2017-11-17 华为技术有限公司 一种虚拟资源的分配方法及装置
US10372371B2 (en) * 2017-09-14 2019-08-06 International Business Machines Corporation Dynamic data relocation using cloud based ranks
US10904068B2 (en) * 2018-01-12 2021-01-26 Datera, Inc. System and method to provide seamless data placement, data movement, and data management into cloud

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115396500A (zh) * 2022-08-26 2022-11-25 中国电信股份有限公司 基于专网的服务平台切换方法、系统及电子设备
CN115396500B (zh) * 2022-08-26 2024-09-13 中国电信股份有限公司 基于专网的服务平台切换方法、系统及电子设备
CN116055147A (zh) * 2022-12-30 2023-05-02 中国电子科技集团公司第三十研究所 一种基于标识的云服务轻量型身份认证方法

Also Published As

Publication number Publication date
CN109819061A (zh) 2019-05-28
CN109819061B (zh) 2021-09-21
US11431670B2 (en) 2022-08-30
US20220382600A1 (en) 2022-12-01
EP3843364A4 (en) 2021-10-27
EP3843364B1 (en) 2024-07-10
US11811722B2 (en) 2023-11-07
US20210194847A1 (en) 2021-06-24
WO2020052271A1 (zh) 2020-03-19
EP3843364A1 (en) 2021-06-30

Similar Documents

Publication Publication Date Title
CN109819061B (zh) 一种在云系统中处理云服务的方法、装置和设备
JP6754809B2 (ja) 共通エンドポイントにアクセスするために異なるディレクトリに記憶される認証情報を使用すること
EP2702744B1 (en) Method for securely creating a new user identity within an existing cloud account in a cloud system
AU2014235505A1 (en) Systems and methods for establishing cloud-based instances with independent permissions
CN102171984A (zh) 服务提供者访问
WO2011068796A2 (en) Policy directed security-centric model driven architecture to secure client and cloud hosted web service enabled processes
KR102299865B1 (ko) 데이터 네트워크에 접근하기 위한 사용자의 인증에 관한 방법 및 시스템
CN106911627B (zh) 一种基于eID的真实身份安全控制方法及其系统
CN107135085B (zh) 定向流量的统计控制方法、系统
KR20090068183A (ko) 자기통제 강화형 디지털 아이덴터티 공유 장치 및 그 방법
US10686792B1 (en) Apparatus and method for administering user identities across on premise and third-party computation resources
US9894057B2 (en) Method and system for managing secure custom domains
CN101064611B (zh) 基于注册和呼叫控制的应用整合方法
JP2012181662A (ja) アカウント情報連携システム
CN114785612B (zh) 一种云平台管理方法、装置、设备及介质
JP6319006B2 (ja) 認証サービス方法、認証サービスサーバ、及び認証サービスシステム
Kuntze et al. On the automatic establishment of security relations for devices
CN107172172B (zh) 一种IaaS系统中的通信方法及其系统
CN110602074B (zh) 一种基于主从关联的业务身份使用方法、装置及系统
CN109905365A (zh) 一种可分布式部署的单点登录及服务授权系统和方法
CN110611656B (zh) 一种基于主身份多重映射的身份管理方法、装置及系统
KR20190019317A (ko) 사용자 수요 기반의 SaaS 결합 서비스 플랫폼에서의 인증 서버 및 인증 방법
Passi Intercloud Trust Model: An Architecture for secure Federated Inter-Cloud identity management.
CN116894236A (zh) 权限的分配方法、装置、处理器及电子设备
Tanmoy Single Sign-On Feature for Customer Life-Cycle Management Application

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20220222

Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province

Applicant after: Huawei Cloud Computing Technologies Co.,Ltd.

Address before: 518129 Huawei headquarters office building, Bantian, Longgang District, Shenzhen City, Guangdong Province

Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd.