CN114448668A - 一种实现云平台对接安全服务的方法及装置 - Google Patents
一种实现云平台对接安全服务的方法及装置 Download PDFInfo
- Publication number
- CN114448668A CN114448668A CN202111605098.XA CN202111605098A CN114448668A CN 114448668 A CN114448668 A CN 114448668A CN 202111605098 A CN202111605098 A CN 202111605098A CN 114448668 A CN114448668 A CN 114448668A
- Authority
- CN
- China
- Prior art keywords
- service
- cloud platform
- setting
- security
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003032 molecular docking Methods 0.000 title claims abstract description 38
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000011161 development Methods 0.000 claims abstract description 39
- 238000012550 audit Methods 0.000 claims abstract description 30
- 210000001503 joint Anatomy 0.000 claims abstract description 6
- 238000012795 verification Methods 0.000 claims description 22
- 238000012423 maintenance Methods 0.000 claims description 16
- 238000009434 installation Methods 0.000 claims description 14
- 230000002776 aggregation Effects 0.000 claims description 6
- 238000004220 aggregation Methods 0.000 claims description 6
- 238000004806 packaging method and process Methods 0.000 claims description 6
- 230000001131 transforming effect Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 4
- 230000010354 integration Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供一种实现云平台对接安全服务的方法及装置,属于云平台安全技术领域,所述方法步骤如下:搭建云平台框架,并设置前端层基于UI微服务模型,以及设置服务层基于微服务架构;设置第三方开发商按照微服务开发规范进行安全服务开发,并将开发完成的安全服务接入云平台;设置安全服务接入云平台的IAM系统,并设置安全服务对云平台的操作日志记录进行安全审计,实现安全服务与云平台的用户对接;用户通过云平台使用安全服务,实现云平台的安全防护。本发明按照云平台的规范采用微服务形式开发安全服务,实现安全服务到云平台的接入,云平台用户可使用安全服务,且安全服务与云平台的IAM系统对接,并对用平台用户提供安全审计。
Description
技术领域
本发明属于云平台安全技术领域,具体涉及一种实现云平台对接安全服务的方法及装置。
背景技术
随着云计算的发展,虚拟化技术应用越来越广泛,围绕虚拟化的数据中心建设逐渐形成主流。在传统的数据中心建设中,客户一般是采购服务器、存储、网络设备及安全设备等物理设备进行组网,形成一个统一的数据中心,而在虚拟化中,硬件采用虚拟,用户的业务也逐步从物理机迁移到虚拟机中,并根据业务需要划分不同的租户。用户采购云平台后,借助虚拟化技术进行虚拟机的创建和业务部署,但是数据的安全和业务的防护也逐渐从物理机转移到虚拟化环境中,业界围绕云平台形成的安全厂商逐渐兴起,比如360、奇安信等。因此,如何将安全服务集成到云平台中,保护用户的数据成为迫切需求。
目前云平台厂商和安全厂商一般分工比较明确,国内的云平台厂商主要关注IAAS层的虚拟化技术,IaaS,是Infrastructure as a Service的简称,即基础设施即服务。云平台厂商主要为用户提供稳定高效的虚拟化云平台,而安全厂商一般是围绕云平台提供安全类服务,两者结合构成统一的安全云平台解决方案,但如何将两者有效的结合起来是目前业界的一个难题,常见的解决方案就是云平台厂商和安全厂商分别提供服务给客户,但是这种方式给客户的日常使用和运维带来了无限的难题,两套系统无法有效结合在一起,导致运维使用成本较高。
此为现有技术的不足,因此,针对现有技术中的上述缺陷,提供一种实现云平台对接安全服务的方法及装置,是非常有必要的。
发明内容
针对现有技术的上述云平台厂商和安全厂商分别提供服务给客户,此种方式给客户的日常使用和运维带来了无限的难题,两套系统无法有效结合在一起,导致运维使用成本较高的缺陷,本发明提供一种实现云平台对接安全服务的方法及装置,以解决上述技术问题。
第一方面,本发明提供一种实现云平台对接安全服务的方法,包括如下步骤:
S1.搭建云平台框架,并设置前端层基于UI微服务模型,以及设置服务层基于微服务架构;
S2.设置第三方开发商按照微服务开发规范进行安全服务开发,并将开发完成的安全服务接入云平台;
S3.设置安全服务接入云平台的IAM系统,并设置安全服务对云平台的操作日志记录进行安全审计,实现安全服务与云平台的用户对接;
S4.用户通过云平台使用安全服务,实现云平台的安全防护。
进一步地,步骤S1具体步骤如下:
S11.搭建云平台框架,所述云平台框架包括前端层、网关层、服务层、虚拟化层以及物理层;
S12.设置物理层基于服务器、存储及网络设备;
S13.设置虚拟化层搭建Openstack虚拟化平台,基于物理层创建计算资源池、存储资源池以及网络资源池,并基于各资源池创建虚拟机;
S14.设置服务层采用K8S+SPINGBOOT微服务架构,并在服务层基于虚拟机开发计算模块和网络模块,生成云平台后端,以及在服务层基于虚拟机设置安全服务控制节点;
S15.设置前端层采用qiankun架构的UI微服务模型,并在前端层以微服务形式开发云资源模块、运营模块以及运维模块,生成云平台前端,并通过网关层建立云平台前端与云平台后端的连接。云平台前端层的模块均开发为UI微服务模型;云平台的网关层是统一的API网关,提供接口鉴权以及路由分发功能;服务层用于实现业务处理逻辑,云平台后端除了计算模块与网络模块外,还有其他功能模块,安全服务控制节点是运行安全服务的后台服务,需要提前部署,且安全服务控制节点与云平台后端可采用不同架构模型;虚拟化层是提供虚拟机和虚拟网络,是运行终端业务系统的;而物理层则是机房的物理设备。
进一步地,步骤S2具体步骤如下:
S21.设置第三方开发商按照云平台的前端开发规范,并基于qiankun架构的UI微服务模型,在前端层以微服务形式进行安全服务开发;
S22.设置安全服务与云平台前端各模块的UI风格一致;
S23.将安全服务以微服务的形式集成到云平台前端,通过网关层建立安全服务与安全服务控制节点的连接。只需将云平台的前端开发规范提供给第三方厂商进行安全服务的开发,而无需将整个云平台的代码提供给第三方厂商,从而保证云平台的安全,且将安全服务与云平台各模块同样通过微服务形式集成到云平台前端;安全服务与云平台采用统一的UI风格,从而避免了传统的实现方式提供两套风格的系统给用户使用,或者做一个单点登录的方式,传统方式给用户最后展示的都是两套风格的前端,使用体验太差,而统一的UI风格,使得用户操作一致,用户体验感强,易用性好。
进一步地,步骤S15中以微服务形式开发云资源模块、运营模块以及运维模块,以及步骤S21中以微服务形式进行安全服务开发的过程如下:
基于qiankun架构的UI微服务模型,构建作为主应用的前端基座;
进行子应用的注册,并对注册的子应用进行初始化;
按照主应用定义的规则对子应用访问信息、子应用的顶层入口路径以及子应用在主应用UI的入口信息对子应用进行封装改造;
加载子应用并对各子应用进行请求转发;
将各子应用以微服务的形式,并通过路由器应用于作为前端的浏览器;
在浏览器进行各个子应用的前端聚合,并以组件形式对各子应用进行管理。子应用在主应用UI的入口信息包括菜单内容和显示位置。微前端是一种类似微服务的架构,它将微服务的理念应用于浏览器端,即将单页面前端应用由单一的单体应用转变为多个小型前端应用聚合为一的应用;各个前端应用还可以独立开发、独立部署;同时,各个前端应用可以进行并行开发,这些作为组件的前端应用可以通过NPM、Git或者Submodule来管理。
进一步地,步骤S3具体步骤如下:
S31.设置云平台将IAM系统接口以rest接口的形式提供给安全服务;
S32.设置安全服务允许登录云平台IAM系统成功的用户启动;
S33.设置启动的安全服务重定向到IAM系统,向IAM系统获取校验返回码;
S34.设置安全服务将校验返回码发送到IAM系统进行重新验证,获取验证通过的令牌,再对令牌进行解析,关联用户,允许用户执行操作;
S35.设置安全服务在前端层通过日志模块对用户的操作进行拦截记录,生成操作日志,并对操作日志进行安全审计。安全服务与云平台使用一套IAM系统,支持统一的用户权限认证,当用户点击安全服务时,其实访问的是第三方厂商的安全服务系统,因此第三方安全服务系统需要适配云平台的IAM系统;用户登录云平台,验证通过,从而用户登录成功,用户点击云平台上的安全服务菜单,链接访问安全服务实例;安全服务实例重定向到IAM系统,IAM系统进行校验,然后返回校验码,安全服务通过校验码重新验证,验证通过后,返回令牌;安全服务解析令牌,关联用户,用户执行操作。
进一步地,步骤S4具体步骤如下:
S41.设置安全服务在虚拟机对应的计算模块以代理程序的形式设置安装包;
S42.设置安全服务同步云平台的用户虚拟机列表;
S43.用户通过用户虚拟机列表选择虚拟机,进行安全服务的安装;
S44.安全服务使用云平台的IAM系统对用户的访问进行验证,并在验证通过后对用户的操作记录日志,进行安全审计,实现云平台的安全防护。安全服务接入云平台,并实现了与云平台用户的对接,从而用户可通过安全平台使用安全服务进行安全防护。
第二方面,本发明提供一种实现云平台对接安全服务的装置,包括:
云平台框架搭建单元,用于搭建云平台框架,并设置前端层基于UI微服务模型,以及设置服务层基于微服务架构;
安全服务开发及接入单元,用于设置第三方开发商按照微服务开发规范进行安全服务开发,并将开发完成的安全服务接入云平台;
安全服务对接单元,用于设置安全服务接入云平台的IAM系统,并设置安全服务对云平台的操作日志记录进行安全审计,实现安全服务与云平台的用户对接;
安全服务使用单元,用于用户通过云平台使用安全服务,实现云平台的安全防护。
进一步地,云平台框架搭建单元包括:
框架搭建子单元,用于搭建云平台框架,所述云平台框架包括前端层、网关层、服务层、虚拟化层以及物理层;
物理层设置子单元,用于设置物理层基于服务器、存储及网络设备;
虚拟化层设置子单元,用于设置虚拟化层搭建Openstack虚拟化平台,基于物理层创建计算资源池、存储资源池以及网络资源池,并基于各资源池创建虚拟机;
服务层设置子单元,用于设置服务层采用K8S+SPINGBOOT微服务架构,并在服务层基于虚拟机开发计算模块和网络模块,生成云平台后端,以及在服务层基于虚拟机设置安全服务控制节点;
前端层设置子单元,用于设置前端层采用qiankun架构的UI微服务模型,并在前端层以微服务形式开发云资源模块、运营模块以及运维模块,生成云平台前端,并通过网关层建立云平台前端与云平台后端的连接;
安全服务开发及接入单元包括:
安全服务开发子单元,用于设置第三方开发商按照云平台的前端开发规范,并基于qiankun架构的UI微服务模型,在前端层以微服务形式进行安全服务开发;
安全服务UI风格设置子单元,用于设置安全服务与云平台前端各模块的UI风格一致;
安全服务集成子单元,用于将安全服务以微服务的形式集成到云平台前端,通过网关层建立安全服务与安全服务控制节点的连接。
进一步地,前端层设置子单元中以微服务形式开发云资源模块、运营模块以及运维模块,以及安全服务开发子单元中以微服务形式进行安全服务开发的过程如下:
基于qiankun架构的UI微服务模型,构建作为主应用的前端基座;
进行子应用的注册,并对注册的子应用进行初始化;
按照主应用定义的规则对子应用访问信息、子应用的顶层入口路径以及子应用在主应用UI的入口信息对子应用进行封装改造;
加载子应用并对各子应用进行请求转发;
将各子应用以微服务的形式,并通过路由器应用于作为前端的浏览器;
在浏览器进行各个子应用的前端聚合,并以组件形式对各子应用进行管理。
进一步地,安全服务对接单元包括:
IAM系统接口提供子单元,用于设置云平台将IAM系统接口以rest接口的形式提供给安全服务;
安全服务启动子单元,用于设置安全服务允许登录云平台IAM系统成功的用户启动;
校验返回码获取子单元,用于设置启动的安全服务重定向到IAM系统,向IAM系统获取校验返回码;
令牌获取解析子单元,用于设置安全服务将校验返回码发送到IAM系统进行重新验证,获取验证通过的令牌,再对令牌进行解析,关联用户,允许用户执行操作;
安全审计子单元,用于设置安全服务在前端层通过日志模块对用户的操作进行拦截记录,生成操作日志,并对操作日志进行安全审计;
安全服务使用单元包括:
安装包设置子单元,用于设置安全服务在虚拟机对应的计算模块以代理程序的形式设置安装包;
安全服务列表同步子单元,用于设置安全服务同步云平台的用户虚拟机列表;
安全服务安装子单元,用于用户通过用户虚拟机列表选择虚拟机,进行安全服务的安装;
安全服务使用子单元,用于安全服务使用云平台的IAM系统对用户的访问进行验证,并在验证通过后对用户的操作记录日志,进行安全审计,实现云平台的安全防护。
本发明的有益效果在于:
本发明提供的实现云平台对接安全服务的方法及装置,按照云平台的规范采用微服务形式开发安全服务,实现安全服务到云平台的接入,从而云平台用户可使用安全服务,且安全服务与云平台的IAM系统对接,使用一套用户系统,并对用平台用户提供安全审计。
本发明前端和后端微服务的方式灵活扩展安全服务,不需要开放给第三方厂商任何业务代码,只需要第三方厂商按照开发规范进行安全服务开发即可完成安全服务的接入;本发明的安全服务可以调用云平台的接口,通过rest接口的获取租户数据和租户的虚拟资源数据,云平台将接口开放给安全服务厂商,厂商通过安全服务进行接入;本发明使用云平台的IAM系统,实现云平台和安全服务厂商共用一套用户系统,使得用户就不用维护两套用户系统了,只需在第三方厂商将安全服务接入IAM系统时,按照云平台的IAM统一标准协议进行接入和适配改造;本发明的安全审计功能实现用户对资源的所有操作的记录,并保存记录,方便后期安全审计。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的实现云平台对接安全服务的方法实施例1流程示意图。
图2是本发明的实现云平台对接安全服务的方法实施例2流程示意图。
图3是本发明的实现云平台对接安全服务的装置示意图。
图中,1-云平台框架搭建单元;1.1-框架搭建子单元;1.2-物理层设置子单元;1.3-虚拟化层设置子单元;1.4-服务层设置子单元;1.5-前端层设置子单元;2-安全服务开发及接入单元;2.1-安全服务开发子单元;2.2-安全服务UI风格设置子单元;2.3-安全服务集成子单元;3-安全服务对接单元;3.1-IAM系统接口提供子单元;3.2-安全服务启动子单元;3.3-校验返回码获取子单元;3.4-令牌获取解析子单元;3.5-安全审计子单元;4-安全服务使用单元;4.1-安装包设置子单元;4.2-安全服务列表同步子单元;4.3-安全服务安装子单元;4.4-安全服务使用子单元。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
IAM,是Identity and Access Mangement的简称,身份识别和访问管理系统。
qiankun框架,其实是基于single-spa框架搭建而成的,简单来说就是single-spa的优化版。single-spa架构,是加载微应用、维护微应用状态的架构,single-spa架构采用JS Entry的方式接入微应用。
K8S+SPINGBOOT,其中K8S为kubernetes的简称,K8S+SPINGBOOT等同于springboot+kubernetes,是用来实现微服务的架构。
实施例1:
如图1所示,本发明提供一种实现云平台对接安全服务的方法,包括如下步骤:
S1.搭建云平台框架,并设置前端层基于UI微服务模型,以及设置服务层基于微服务架构;
S2.设置第三方开发商按照微服务开发规范进行安全服务开发,并将开发完成的安全服务接入云平台;
S3.设置安全服务接入云平台的IAM系统,并设置安全服务对云平台的操作日志记录进行安全审计,实现安全服务与云平台的用户对接;
S4.用户通过云平台使用安全服务,实现云平台的安全防护。
实施例2:
如图2所示,本发明一种提供实现云平台对接安全服务的方法,包括如下步骤:
S1.搭建云平台框架,并设置前端层基于UI微服务模型,以及设置服务层基于微服务架构;具体步骤如下:
S11.搭建云平台框架,所述云平台框架包括前端层、网关层、服务层、虚拟化层以及物理层;
S12.设置物理层基于服务器、存储及网络设备;
S13.设置虚拟化层搭建Openstack虚拟化平台,基于物理层创建计算资源池、存储资源池以及网络资源池,并基于各资源池创建虚拟机;
S14.设置服务层采用K8S+SPINGBOOT微服务架构,并在服务层基于虚拟机开发计算模块和网络模块,生成云平台后端,以及在服务层基于虚拟机设置安全服务控制节点;
S15.设置前端层采用qiankun架构的UI微服务模型,并在前端层以微服务形式开发云资源模块、运营模块以及运维模块,生成云平台前端,并通过网关层建立云平台前端与云平台后端的连接;
S2.设置第三方开发商按照微服务开发规范进行安全服务开发,并将开发完成的安全服务接入云平台;具体步骤如下:
S21.设置第三方开发商按照云平台的前端开发规范,并基于qiankun架构的UI微服务模型,在前端层以微服务形式进行安全服务开发;
S22.设置安全服务与云平台前端各模块的UI风格一致;
S23.将安全服务以微服务的形式集成到云平台前端,通过网关层建立安全服务与安全服务控制节点的连接;
S3.设置安全服务接入云平台的IAM系统,并设置安全服务对云平台的操作日志记录进行安全审计,实现安全服务与云平台的用户对接;具体步骤如下:
S31.设置云平台将IAM系统接口以rest接口的形式提供给安全服务;
S32.设置安全服务允许登录云平台IAM系统成功的用户启动;
S33.设置启动的安全服务重定向到IAM系统,向IAM系统获取校验返回码;
S34.设置安全服务将校验返回码发送到IAM系统进行重新验证,获取验证通过的令牌,再对令牌进行解析,关联用户,允许用户执行操作;
S35.设置安全服务在前端层通过日志模块对用户的操作进行拦截记录,生成操作日志,并对操作日志进行安全审计;
S4.用户通过云平台使用安全服务,实现云平台的安全防护;具体步骤如下:
S41.设置安全服务在虚拟机对应的计算模块以代理程序的形式设置安装包;
S42.设置安全服务同步云平台的用户虚拟机列表;
S43.用户通过用户虚拟机列表选择虚拟机,进行安全服务的安装;
S44.安全服务使用云平台的IAM系统对用户的访问进行验证,并在验证通过后对用户的操作记录日志,进行安全审计,实现云平台的安全防护;云平台的已有资源可同步到安全服务,安全服务获取用户的资源,对用户的操作拦截记录,进行安全审计,除用户操作外,第三方厂商的操作在云平台中也可查看;安全服务在虚拟机的每个计算模块安装了代理程序;用户选择虚拟机后,在界面上点击安装,即可在虚拟机中完成安全程序的安装,用户通过前端调用安全服务控制节点上对应服务可获取安全数据曲线;安全服务会同步云平台的用户虚拟机列表,用户可以点击具体的虚拟机进行安全服务的安全部署,对虚拟机进行安全防护;
步骤S15中以微服务形式开发云资源模块、运营模块以及运维模块,以及步骤S21中以微服务形式进行安全服务开发的过程如下:
基于qiankun架构的UI微服务模型,构建作为主应用的前端基座;
进行子应用的注册,并对注册的子应用进行初始化;
按照主应用定义的规则对子应用访问信息、子应用的顶层入口路径以及子应用在主应用UI的入口信息对子应用进行封装改造;
加载子应用并对各子应用进行请求转发;
将各子应用以微服务的形式,并通过路由器应用于作为前端的浏览器;
在浏览器进行各个子应用的前端聚合,并以组件形式对各子应用进行管理。
实施例3:
如图3所示,本发明提供一种实现云平台对接安全服务的装置,包括:
云平台框架搭建单元1,用于搭建云平台框架,并设置前端层基于UI微服务模型,以及设置服务层基于微服务架构;
安全服务开发及接入单元2,用于设置第三方开发商按照微服务开发规范进行安全服务开发,并将开发完成的安全服务接入云平台;
安全服务对接单元3,用于设置安全服务接入云平台的IAM系统,并设置安全服务对云平台的操作日志记录进行安全审计,实现安全服务与云平台的用户对接;
安全服务使用单元4,用于用户通过云平台使用安全服务,实现云平台的安全防护。
实施例4:
如图3所示,本发明提供一种实现云平台对接安全服务的装置,包括:
云平台框架搭建单元1,用于搭建云平台框架,并设置前端层基于UI微服务模型,以及设置服务层基于微服务架构;云平台框架搭建单元1包括:
框架搭建子单元1.1,用于搭建云平台框架,所述云平台框架包括前端层、网关层、服务层、虚拟化层以及物理层;
物理层设置子单元1.2,用于设置物理层基于服务器、存储及网络设备;
虚拟化层设置子单元1.3,用于设置虚拟化层搭建Openstack虚拟化平台,基于物理层创建计算资源池、存储资源池以及网络资源池,并基于各资源池创建虚拟机;
服务层设置子单元1.4,用于设置服务层采用K8S+SPINGBOOT微服务架构,并在服务层基于虚拟机开发计算模块和网络模块,生成云平台后端,以及在服务层基于虚拟机设置安全服务控制节点;
前端层设置子单元1.5,用于设置前端层采用qiankun架构的UI微服务模型,并在前端层以微服务形式开发云资源模块、运营模块以及运维模块,生成云平台前端,并通过网关层建立云平台前端与云平台后端的连接;
安全服务开发及接入单元2,用于设置第三方开发商按照微服务开发规范进行安全服务开发,并将开发完成的安全服务接入云平台;安全服务开发及接入单元2包括:
安全服务开发子单元2.1,用于设置第三方开发商按照云平台的前端开发规范,并基于qiankun架构的UI微服务模型,在前端层以微服务形式进行安全服务开发;
安全服务UI风格设置子单元2.2,用于设置安全服务与云平台前端各模块的UI风格一致;
安全服务集成子单元2.3,用于将安全服务以微服务的形式集成到云平台前端,通过网关层建立安全服务与安全服务控制节点的连接;
安全服务对接单元3,用于设置安全服务接入云平台的IAM系统,并设置安全服务对云平台的操作日志记录进行安全审计,实现安全服务与云平台的用户对接;安全服务对接单元3包括:
IAM系统接口提供子单元3.1,用于设置云平台将IAM系统接口以rest接口的形式提供给安全服务;
安全服务启动子单元3.2,用于设置安全服务允许登录云平台IAM系统成功的用户启动;
校验返回码获取子单元3.3,用于设置启动的安全服务重定向到IAM系统,向IAM系统获取校验返回码;
令牌获取解析子单元3.4,用于设置安全服务将校验返回码发送到IAM系统进行重新验证,获取验证通过的令牌,再对令牌进行解析,关联用户,允许用户执行操作;
安全审计子单元3.5,用于设置安全服务在前端层通过日志模块对用户的操作进行拦截记录,生成操作日志,并对操作日志进行安全审计;
安全服务使用单元4,用于用户通过云平台使用安全服务,实现云平台的安全防护;安全服务使用单元4包括:
安装包设置子单元4.1,用于设置安全服务在虚拟机对应的计算模块以代理程序的形式设置安装包;
安全服务列表同步子单元4.2,用于设置安全服务同步云平台的用户虚拟机列表;
安全服务安装子单元4.3,用于用户通过用户虚拟机列表选择虚拟机,进行安全服务的安装;
安全服务使用子单元4.4,用于安全服务使用云平台的IAM系统对用户的访问进行验证,并在验证通过后对用户的操作记录日志,进行安全审计,实现云平台的安全防护;
前端层设置子单元1.5中以微服务形式开发云资源模块、运营模块以及运维模块,以及安全服务开发子单元2.1中以微服务形式进行安全服务开发的过程如下:
基于qiankun架构的UI微服务模型,构建作为主应用的前端基座;
进行子应用的注册,并对注册的子应用进行初始化;
按照主应用定义的规则对子应用访问信息、子应用的顶层入口路径以及子应用在主应用UI的入口信息对子应用进行封装改造;
加载子应用并对各子应用进行请求转发;
将各子应用以微服务的形式,并通过路由器应用于作为前端的浏览器;
在浏览器进行各个子应用的前端聚合,并以组件形式对各子应用进行管理。
尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述,但本发明并不限于此。在不脱离本发明的精神和实质的前提下,本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换,而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种实现云平台对接安全服务的方法,其特征在于,包括如下步骤:
S1.搭建云平台框架,并设置前端层基于UI微服务模型,以及设置服务层基于微服务架构;
S2.设置第三方开发商按照微服务开发规范进行安全服务开发,并将开发完成的安全服务接入云平台;
S3.设置安全服务接入云平台的IAM系统,并设置安全服务对云平台的操作日志记录进行安全审计,实现安全服务与云平台的用户对接;
S4.用户通过云平台使用安全服务,实现云平台的安全防护。
2.如权利要求1所述的实现云平台对接安全服务的方法,其特征在于,步骤S1具体步骤如下:
S11.搭建云平台框架,所述云平台框架包括前端层、网关层、服务层、虚拟化层以及物理层;
S12.设置物理层基于服务器、存储及网络设备;
S13.设置虚拟化层搭建Openstack虚拟化平台,基于物理层创建计算资源池、存储资源池以及网络资源池,并基于各资源池创建虚拟机;
S14.设置服务层采用K8S+SPINGBOOT微服务架构,并在服务层基于虚拟机开发计算模块和网络模块,生成云平台后端,以及在服务层基于虚拟机设置安全服务控制节点;
S15.设置前端层采用qiankun架构的UI微服务模型,并在前端层以微服务形式开发云资源模块、运营模块以及运维模块,生成云平台前端,并通过网关层建立云平台前端与云平台后端的连接。
3.如权利要求2所述的实现云平台对接安全服务的方法,其特征在于,步骤S2具体步骤如下:
S21.设置第三方开发商按照云平台的前端开发规范,并基于qiankun架构的UI微服务模型,在前端层以微服务形式进行安全服务开发;
S22.设置安全服务与云平台前端各模块的UI风格一致;
S23.将安全服务以微服务的形式集成到云平台前端,通过网关层建立安全服务与安全服务控制节点的连接。
4.如权利要求3所述的实现云平台对接安全服务的方法,其特征在于,步骤S15中以微服务形式开发云资源模块、运营模块以及运维模块,以及步骤S21中以微服务形式进行安全服务开发的过程如下:
基于qiankun架构的UI微服务模型,构建作为主应用的前端基座;
进行子应用的注册,并对注册的子应用进行初始化;
按照主应用定义的规则对子应用访问信息、子应用的顶层入口路径以及子应用在主应用UI的入口信息对子应用进行封装改造;
加载子应用并对各子应用进行请求转发;
将各子应用以微服务的形式,并通过路由器应用于作为前端的浏览器;
在浏览器进行各个子应用的前端聚合,并以组件形式对各子应用进行管理。
5.如权利要求4所述的实现云平台对接安全服务的方法,其特征在于,步骤S3具体步骤如下:
S31.设置云平台将IAM系统接口以rest接口的形式提供给安全服务;
S32.设置安全服务允许登录云平台IAM系统成功的用户启动;
S33.设置启动的安全服务重定向到IAM系统,向IAM系统获取校验返回码;
S34.设置安全服务将校验返回码发送到IAM系统进行重新验证,获取验证通过的令牌,再对令牌进行解析,关联用户,允许用户执行操作;
S35.设置安全服务在前端层通过日志模块对用户的操作进行拦截记录,生成操作日志,并对操作日志进行安全审计。
6.如权利要求2所述的实现云平台对接安全服务的方法,其特征在于,步骤S4具体步骤如下:
S41.设置安全服务在虚拟机对应的计算模块以代理程序的形式设置安装包;
S42.设置安全服务同步云平台的用户虚拟机列表;
S43.用户通过用户虚拟机列表选择虚拟机,进行安全服务的安装;
S44.安全服务使用云平台的IAM系统对用户的访问进行验证,并在验证通过后对用户的操作记录日志,进行安全审计,实现云平台的安全防护。
7.一种实现云平台对接安全服务的装置,其特征在于,包括:
云平台框架搭建单元(1),用于搭建云平台框架,并设置前端层基于UI微服务模型,以及设置服务层基于微服务架构;
安全服务开发及接入单元(2),用于设置第三方开发商按照微服务开发规范进行安全服务开发,并将开发完成的安全服务接入云平台;
安全服务对接单元(3),用于设置安全服务接入云平台的IAM系统,并设置安全服务对云平台的操作日志记录进行安全审计,实现安全服务与云平台的用户对接;
安全服务使用单元(4),用于用户通过云平台使用安全服务,实现云平台的安全防护。
8.如权利要求7所述的实现云平台对接安全服务的装置,其特征在于,云平台框架搭建单元(1)包括:
框架搭建子单元(1.1),用于搭建云平台框架,所述云平台框架包括前端层、网关层、服务层、虚拟化层以及物理层;
物理层设置子单元(1.2),用于设置物理层基于服务器、存储及网络设备;
虚拟化层设置子单元(1.3),用于设置虚拟化层搭建Openstack虚拟化平台,基于物理层创建计算资源池、存储资源池以及网络资源池,并基于各资源池创建虚拟机;
服务层设置子单元(1.4),用于设置服务层采用K8S+SPINGBOOT微服务架构,并在服务层基于虚拟机开发计算模块和网络模块,生成云平台后端,以及在服务层基于虚拟机设置安全服务控制节点;
前端层设置子单元(1.5),用于设置前端层采用qiankun架构的UI微服务模型,并在前端层以微服务形式开发云资源模块、运营模块以及运维模块,生成云平台前端,并通过网关层建立云平台前端与云平台后端的连接;
安全服务开发及接入单元(2)包括:
安全服务开发子单元(2.1),用于设置第三方开发商按照云平台的前端开发规范,并基于qiankun架构的UI微服务模型,在前端层以微服务形式进行安全服务开发;
安全服务UI风格设置子单元(2.2),用于设置安全服务与云平台前端各模块的UI风格一致;
安全服务集成子单元(2.3),用于将安全服务以微服务的形式集成到云平台前端,通过网关层建立安全服务与安全服务控制节点的连接。
9.如权利要求8所述的实现云平台对接安全服务的装置,其特征在于,前端层设置子单元(1.5)中以微服务形式开发云资源模块、运营模块以及运维模块,以及安全服务开发子单元(2.1)中以微服务形式进行安全服务开发的过程如下:
基于qiankun架构的UI微服务模型,构建作为主应用的前端基座;
进行子应用的注册,并对注册的子应用进行初始化;
按照主应用定义的规则对子应用访问信息、子应用的顶层入口路径以及子应用在主应用UI的入口信息对子应用进行封装改造;
加载子应用并对各子应用进行请求转发;
将各子应用以微服务的形式,并通过路由器应用于作为前端的浏览器;
在浏览器进行各个子应用的前端聚合,并以组件形式对各子应用进行管理。
10.如权利要求9所述的实现云平台对接安全服务的装置,其特征在于,安全服务对接单元(3)包括:
IAM系统接口提供子单元(3.1),用于设置云平台将IAM系统接口以rest接口的形式提供给安全服务;
安全服务启动子单元(3.2),用于设置安全服务允许登录云平台IAM系统成功的用户启动;
校验返回码获取子单元(3.3),用于设置启动的安全服务重定向到IAM系统,向IAM系统获取校验返回码;
令牌获取解析子单元(3.4),用于设置安全服务将校验返回码发送到IAM系统进行重新验证,获取验证通过的令牌,再对令牌进行解析,关联用户,允许用户执行操作;
安全审计子单元(3.5),用于设置安全服务在前端层通过日志模块对用户的操作进行拦截记录,生成操作日志,并对操作日志进行安全审计;
安全服务使用单元(4)包括:
安装包设置子单元(4.1),用于设置安全服务在虚拟机对应的计算模块以代理程序的形式设置安装包;
安全服务列表同步子单元(4.2),用于设置安全服务同步云平台的用户虚拟机列表;
安全服务安装子单元(4.3),用于用户通过用户虚拟机列表选择虚拟机,进行安全服务的安装;
安全服务使用子单元(4.4),用于安全服务使用云平台的IAM系统对用户的访问进行验证,并在验证通过后对用户的操作记录日志,进行安全审计,实现云平台的安全防护。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111605098.XA CN114448668B (zh) | 2021-12-24 | 2021-12-24 | 一种实现云平台对接安全服务的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111605098.XA CN114448668B (zh) | 2021-12-24 | 2021-12-24 | 一种实现云平台对接安全服务的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114448668A true CN114448668A (zh) | 2022-05-06 |
CN114448668B CN114448668B (zh) | 2023-07-14 |
Family
ID=81364128
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111605098.XA Active CN114448668B (zh) | 2021-12-24 | 2021-12-24 | 一种实现云平台对接安全服务的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114448668B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108762950A (zh) * | 2018-05-23 | 2018-11-06 | 山东浪潮商用系统有限公司 | 一种规范化RESTful微服务交互方法 |
CN109314704A (zh) * | 2016-09-14 | 2019-02-05 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的单点登录和单点注销功能 |
US20190098055A1 (en) * | 2017-09-28 | 2019-03-28 | Oracle International Corporation | Rest-based declarative policy management |
CN109565511A (zh) * | 2016-09-16 | 2019-04-02 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的租户和服务管理 |
US20190334911A1 (en) * | 2018-02-21 | 2019-10-31 | Nutanix, Inc. | Substituting callback urls when using oauth protocol exchanges |
CN112989372A (zh) * | 2021-03-03 | 2021-06-18 | 浪潮云信息技术股份公司 | 一种基于微服务应用于业务系统的管理权限分离方法 |
CN113672901A (zh) * | 2021-08-30 | 2021-11-19 | 济南浪潮数据技术有限公司 | 访问请求处理方法、容器云平台、电子设备及存储介质 |
-
2021
- 2021-12-24 CN CN202111605098.XA patent/CN114448668B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109314704A (zh) * | 2016-09-14 | 2019-02-05 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的单点登录和单点注销功能 |
CN109565511A (zh) * | 2016-09-16 | 2019-04-02 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的租户和服务管理 |
US20190098055A1 (en) * | 2017-09-28 | 2019-03-28 | Oracle International Corporation | Rest-based declarative policy management |
US20190334911A1 (en) * | 2018-02-21 | 2019-10-31 | Nutanix, Inc. | Substituting callback urls when using oauth protocol exchanges |
CN108762950A (zh) * | 2018-05-23 | 2018-11-06 | 山东浪潮商用系统有限公司 | 一种规范化RESTful微服务交互方法 |
CN112989372A (zh) * | 2021-03-03 | 2021-06-18 | 浪潮云信息技术股份公司 | 一种基于微服务应用于业务系统的管理权限分离方法 |
CN113672901A (zh) * | 2021-08-30 | 2021-11-19 | 济南浪潮数据技术有限公司 | 访问请求处理方法、容器云平台、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114448668B (zh) | 2023-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10827008B2 (en) | Integrated user interface for consuming services across different distributed networks | |
US10078511B2 (en) | Generating and managing applications using any number of different platforms | |
US9674029B2 (en) | Migrating virtual asset | |
US10574644B2 (en) | Stateful session manager | |
CN111290865A (zh) | 一种服务调用方法、装置、电子设备和存储介质 | |
CN106462467B (zh) | 在不同分布式网络上针对消费服务的集成api和ui | |
US9576125B2 (en) | Configuring identity federation configuration | |
US9720800B2 (en) | Auto-generating representational state transfer (REST) services for quality assurance | |
KR20130007373A (ko) | 가상 데스크탑 서비스를 위한 방법 및 아키텍처 | |
US10673835B2 (en) | Implementing single sign-on in a transaction processing system | |
WO2016173199A1 (zh) | 一种移动应用单点登录方法及装置 | |
JP2013522709A (ja) | クラウド・コンピューティング環境内における仮想インスタンスの起動 | |
US10547612B2 (en) | System to resolve multiple identity crisis in indentity-as-a-service application environment | |
CN110968823A (zh) | 一种应用客户端启动方法,业务服务器和客户端设备 | |
US10972455B2 (en) | Secure authentication in TLS sessions | |
CN114448668B (zh) | 一种实现云平台对接安全服务的方法及装置 | |
CN108053288B (zh) | 一种业务编排下发的方法及装置 | |
US11368459B2 (en) | Providing isolated containers for user request processing | |
KR101042110B1 (ko) | 이에스비를 이용하는 오픈 소스 중계 장치 및 이를구비하는 시스템과 방법, 상기 방법을 구현하는 프로그램이저장된 기록매체 | |
EP3972214A1 (en) | Techniques to extend public cloud computing systems to a home of a user | |
CN113852596A (zh) | 基于Kubernetes的应用认证代理方法及系统 | |
US11909720B2 (en) | Secure remote support of systems deployed in a private network | |
CN115834252B (zh) | 一种服务访问方法及系统 | |
US11824848B2 (en) | On demand operations access to cloud customer resources | |
CN117459245A (zh) | 访问身份数据的方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |