CN114679428A - 在nat规则上新增eip的方法、装置、计算机设备和存储介质 - Google Patents
在nat规则上新增eip的方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN114679428A CN114679428A CN202210363287.9A CN202210363287A CN114679428A CN 114679428 A CN114679428 A CN 114679428A CN 202210363287 A CN202210363287 A CN 202210363287A CN 114679428 A CN114679428 A CN 114679428A
- Authority
- CN
- China
- Prior art keywords
- external partner
- gateway
- eip
- gray level
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000003860 storage Methods 0.000 title claims abstract description 13
- 230000004044 response Effects 0.000 claims abstract description 15
- 238000004590 computer program Methods 0.000 claims description 24
- 238000012795 verification Methods 0.000 claims description 19
- 238000009826 distribution Methods 0.000 claims description 17
- 238000010586 diagram Methods 0.000 description 6
- 238000003672 processing method Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2557—Translation policies or rules
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种在NAT规则上新增EIP的方法、装置、计算机设备和存储介质。所述方法包括:将目标EIP绑定至灰度出口网关对应的NAT规则,其中,灰度出口网关对应的NAT规则只绑定目标EIP,使得在通过灰度出口网关访问任一外部合作方时,只使用目标EIP访问上述任一外部合作方;将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,以通过灰度出口网关访问各外部合作方;根据各外部合作方对灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含目标EIP;响应于所有外部合作方均通过验证,将目标EIP绑定至目标NAT规则。本申请实施例能够平滑高效地在NAT规则上新增EIP,减少对业务产生的影响。
Description
技术领域
本申请涉及计算机领域,特别是涉及一种在NAT规则上新增EIP的方法、装置、计算机设备和存储介质。
背景技术
生产环境中为保证网络安全性,一般至少会划为内网区和外联区,内网不能直接访问互联网,外联区可以直接访问互联网。内网的服务如果访问外网一般会通过访问部署在外联区的代理网关服务来访问互联网,通常称该代理网关服务称为出口网关,一般安装了Nginx(engine x)、OpenResty等代理软件。
一个出口网关请求互联网时,经过路由表会转发到对应固定的NAT(NetworkAddress Translation,网络地址转换)规则上,进而通过NAT规则绑定的EIP访问互联网。具体地,当请求外部合作方时,外部合作方会获取到请求的EIP来进行IP白名单校验。
考虑到某个或某些EIP(Elastic IP Address,弹性公网IP)可能会被网络运营商误封堵,为了实现出口高可用,通常会在NAT规则上绑定多个EIP。为了新增的EIP能够通过各个外部合作方的白名单校验,在新增EIP时需要通知各个外部合作方将新EIP添加至自己的白名单。然而,各个外部合作方添加白名单的时效性差异很大,必须等到所有外部合作方都添加完新EIP且生效后才能将新EIP绑定到NAT规则上。
由于在NAT规则中新增EIP时,很依赖外部合作方的添加时间,这样周期长且不方便验证新EIP是否生效,因而目前新增EIP的方式对业务的影响大,风险高。
发明内容
本申请针对上述不足或缺点,提供了一种在NAT规则上新增EIP的方法、装置、计算机设备和存储介质,本申请实施例能够平滑高效地在NAT规则上新增EIP,减少对业务产生的影响。
本申请根据第一方面提供了一种在NAT规则上新增EIP的方法,在一个实施例中,该方法包括:
将目标EIP绑定至灰度出口网关对应的NAT规则,其中,灰度出口网关对应的NAT规则只绑定目标EIP,使得在通过灰度出口网关访问任一外部合作方时,只使用目标EIP访问上述任一外部合作方;目标EIP是指需要绑定至目标NAT规则的EIP;将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,以通过灰度出口网关访问各外部合作方;根据各外部合作方对灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含目标EIP;响应于所有外部合作方均通过验证,将目标EIP绑定至目标NAT规则。
在一些实施例中,上述方法还包括:为每个外部合作方配置对应的网关配置信息;网关配置信息包括出口流量比例配置。
在一些实施例中,将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,包括:
通过流量分发网关拉取各外部合作方对应的网关配置信息,并根据各外部合作方的出口流量比例配置将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关。
在一些实施例中,上述方法还包括:确定各外部合作方支持访问的EIP数量;根据各外部合作方支持访问的EIP数量调整各外部合作方的出口流量比例配置。
在一些实施例中,任一外部合作方对灰度出口网关的反馈信息包括上述任一外部合作方对每个通过灰度出口网关访问上述任一外部合作方的请求的反馈信息,反馈信息包括返回内容和/或HTTP响应码。
在一些实施例中,根据任一外部合作方对灰度出口网关的反馈信息验证上述任一外部合作方的白名单中是否包含目标EIP的操作,包括:
根据任一外部合作方对灰度出口网关的反馈信息确定通过灰度出口网关访问上述任一外部合作方的每个请求的请求结果;
当通过灰度出口网关访问上述任一外部合作方的每个请求的请求结果均为请求失败时,判定上述任一外部合作方无法通过验证;
当通过灰度出口网关访问上述任一外部合作方的任一个请求的请求结果为请求成功时,判定上述任一外部合作方通过验证。
在一些实施例中,上述方法还包括:在将目标EIP绑定至灰度出口网关对应的NAT规则之前,创建灰度出口网关以及灰度出口网关对应的NAT规则;在将目标EIP绑定至目标NAT规则之后,删除灰度出口网关。
本申请根据第二方面提供了一种在NAT规则上新增EIP的装置,在一个实施例中,该装置包括:
第一绑定模块,用于将目标EIP绑定至灰度出口网关对应的NAT规则,其中,灰度出口网关对应的NAT规则只绑定目标EIP,使得在通过灰度出口网关访问任一外部合作方时,只使用目标EIP访问上述任一外部合作方;目标EIP是指需要绑定至目标NAT规则的EIP;
分发模块,用于将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,以通过灰度出口网关访问各外部合作方;
验证模块,用于根据各外部合作方对灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含目标EIP;
第二绑定模块,用于响应于所有外部合作方均通过验证,将目标EIP绑定至目标NAT规则。
本申请根据第三方面提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述任一方法的实施例的步骤。
本申请根据第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任一方法的实施例的步骤。
在本申请实施例中,通过将目标EIP绑定至灰度出口网关对应的NAT规则,其中,灰度出口网关对应的NAT规则只绑定目标EIP,使得在通过灰度出口网关访问任一外部合作方时,只使用目标EIP访问上述任一外部合作方;将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,以通过灰度出口网关访问各外部合作方;根据各外部合作方对灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含目标EIP;响应于所有外部合作方均通过验证,将目标EIP绑定至目标NAT规则。本申请实施例能够平滑高效地在NAT规则上新增EIP,减少对业务产生的影响。
附图说明
图1为一个实施例中一种在NAT规则上新增EIP的方法的示例性流程图;
图2为一个实施例中一种在NAT规则上新增EIP的方法的示例性应用环境图;
图3为一个实施例中的网关配置信息的示例性示意图;
图4为一个实施例中一种在NAT规则上新增EIP的装置的示例性结构框图;
图5为一个实施例中计算机设备的示例性内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅用以解释本申请,并不用于限定本申请。
如前所述,内网区无法直接访问互联网,而需要通过出口网关来访问互联网,出口网关请求互联网时,经过路由表会转发到对应固定的NAT上,进而通过NAT规则绑定的EIP访问互联网。由于外部合作方会对请求的EIP进行白名单校验,因而当需要在NAT规则上新增EIP时,需要先让外部合作方将新EIP添加到白名单中,这样才能保证使用新EIP访问外部合作方时,能通过外部合作方的白名单校验。然而,不同外部合作方添加白名单的时效性的差异很大,当外部合作方的数量较多时,在NAT规则上新增EIP的操作会很依赖外部合作方的添加时间,这导致新增EIP的周期变长,并且不能方便地验证新EIP是否成功添加到外部合作方的白名单中。
为此,本申请提供了一种在NAT规则上新增EIP的方法,在一个实施例中,上述方法包括如图1所示的步骤,以下结合如图2所示的上述方法的示例性的应用环境对上述方法进行说明。
上述方法包括步骤S110-S140。
S110:将目标EIP绑定至灰度出口网关对应的NAT规则,其中,灰度出口网关对应的NAT规则只绑定目标EIP,使得在通过灰度出口网关访问任一外部合作方时,只使用目标EIP访问上述任一外部合作方。
当需要将一个新的EIP,即从未绑定过任一NAT规则的EIP(以下将这一EIP称为目标EIP)绑定至某个NAT规则(以下将这一NAT称为目标NAT规则)时,先将该新的EIP绑定至灰度出口网关。其中,灰度出口网关也是一个出口网关,其与普通出口网关的区别在于,灰度出口网关只在需要新增EIP的情况下使用,一般情况下不存在灰度出口网关,因而,可以在将目标EIP绑定至灰度出口网关对应的NAT规则之前,创建灰度出口网关以及灰度出口网关对应的NAT规则,而在将目标EIP绑定至目标NAT规则之后,删除灰度出口网关。本实施例不对NAT规则进行具体限定,比如可以是linux系统中的iptables规则。
为了避免EIP被网络运营商误封堵,NAT规则上会绑定多个EIP,当出口网关的请求被转发至该NAT规则时,会从绑定的多个EIP中选择一个EIP来访问外部合作方。本实施例为了能够更便捷地验证外部合作方是否成功将目标EIP添加到自己的白名单中,就只在灰度出口网关对应的NAT规则上绑定目标EIP,以实现在通过灰度出口网关访问任一外部合作方时,只使用目标EIP访问该任一外部合作方。
S120:将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,以通过灰度出口网关访问各外部合作方。
在灰度出口网关对应的NAT规则只绑定目标EIP的基础上,将外部合作方的部分请求分发至灰度出口网关来访问外部合作方,这样有利于更快验证外部合作方是否成功添加了目标EIP,并且,在实施时可以只分发少量请求至灰度出口网关,这样如果外部合作方没有成功添加目标EIP,也只会导致少量请求失败,尽可能降低对整体业务造成的影响。
示例性地,比如,内网区的每个设备要访问互联网时都调用SLB,具体是将访问外部合作方(应理解,不同设备所访问的外部合作方可以不同)的请求发送给SLB(ServerLoadBalance,服务器负载均衡),然后SLB将收到的请求均衡分配给各个流量分发网关(图2中仅示出一个),各个流量分发网关按照拉取到的网关配置信息将请求转发给自己控制的各组出口网关。
S130:根据各外部合作方对灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含目标EIP。
其中,任一外部合作方对灰度出口网关的反馈信息包括上述任一外部合作方对每个通过灰度出口网关访问上述任一外部合作方的请求的反馈信息,反馈信息包括返回内容和/或HTTP(Hyper Text Transfer Protocol,超文本传输协议)响应码。
S140:响应于所有外部合作方均通过验证,将目标EIP绑定至目标NAT规则。
在确定所有外部合作方均通过验证后,即可将目标EIP绑定至目标NAT规则上。
本实施例通过将目标EIP绑定至灰度出口网关对应的NAT规则,其中,灰度出口网关对应的NAT规则只绑定目标EIP,使得在通过灰度出口网关访问任一外部合作方时,只使用目标EIP访问上述任一外部合作方;将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,以通过灰度出口网关访问各外部合作方;根据各外部合作方对灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含目标EIP;响应于所有外部合作方均通过验证,将目标EIP绑定至目标NAT规则,能够实现平滑高效地在NAT规则上新增EIP,尽可能降低对业务的影响。
在一个实施例中,将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,包括:通过流量分发网关拉取各外部合作方对应的网关配置信息,并根据各外部合作方的出口流量比例配置将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关。
其中,在将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关之前,上述方法还包括:为每个外部合作方配置对应的网关配置信息;网关配置信息包括出口流量比例配置。
示例性地,为外部合作方配置的网关配置信息可以参见图3,图中示出了两个外部合作方,即“egress_httpbin”和“egress_test”的网关配置信息,网关配置信息中至少包括以下字段:
“context”,表示出口别名,是外部合作方的唯一标识;
“egressNatList”,表示出口流量比例配置,用于控制各个出口的流量,比如,外部合作方“egress_httpbin”的出口流量比例配置为“nat01:50,nat02:100”,那么内网区中要访问“egress_httpbin”的请求会将1/3分发至NAT规则nat01,2/3分发至NAT规则nat02;
“exposeProtocol”,表示出口协议;
“hosts”,表示转发的域名列表;
“eipCheck”,是一个用于表示外部合作方是否校验IP白名单的标识;
“ibType”,表示负载均衡类型。
其中,各外部合作方的网关配置信息可以由系统运维人员或网络工程师通过网关配置应用进行配置,并可以根据实际需要实时调整配置。流量分发网关和各出口网关可以随时动态地从网关配置应用拉取所有外部合作方的网关配置信息。需要说明的是,流量分发网关和出口网关是一样的应用,比如都是openresty,两者区别在于,流量分发网关的转发逻辑是按照egressNatList的nat比例进行转发,而出口网关的转发逻辑是按照hosts列表进行转发。
进一步地,流量分发网关和出口网关可以动态地拉取外部合作方的网关配置信息。具体地,以openresty为例,可以使用lua脚本的http客户端工具类,发起http请求到网关配置应用拉取。
在一个实施例中,上述方法还包括:确定各外部合作方支持访问的EIP数量;根据各外部合作方支持访问的EIP数量调整各外部合作方的出口流量比例配置。
在实际场景中,有些外部合作方只支持配置少数个(比如3个)IP白名单,但是请求方的NAT规则上已经绑定了多个(大于3个)EIP,传统的处理方式是新建出口网关及其对应的NAT规则,为该新的NAT规则绑定少数EIP,但这种处理方式需要单独搭建出口代理,不利于整改出口网关管理。
对于上述不足,本实施例可以通过调整相关外部合作方(指不支持多个EIP访问的外部合作方)的出口流量比例配置,示例性地,如图2中所示,假设有3个nat规则,nat01、nat02和nat03,如果外部合作方“egress_httpbin”只支持nat01所绑定的EIP,那么出口流量比例配置可以配置为nat01:100,nat02:0,nat03:0,从而指定出口EIP。
在一个实施例中,根据任一外部合作方对灰度出口网关的反馈信息验证上述任一外部合作方的白名单中是否包含目标EIP的操作,包括:根据任一外部合作方对灰度出口网关的反馈信息确定通过灰度出口网关访问上述任一外部合作方的每个请求的请求结果;当通过灰度出口网关访问上述任一外部合作方的每个请求的请求结果均为请求失败时,判定上述任一外部合作方无法通过验证;当通过灰度出口网关访问上述任一外部合作方的任一个请求的请求结果为请求成功时,判定上述任一外部合作方通过验证。
示例性地,请参见图2,假设当前要将EIP5绑定到NAT规则1上,由于通过NAT规则1的流量可能访问多个外部合作方,访问外部合作方使用的EIP是完全随机的,如果贸然把EIP5绑定到NAT规则1上,那么如果外部合作方没有将EIP5添加到白名单,请求就会失败,因此可以先把EIP5绑定到NAT规则3上。通过控制各外部合作方的egressNatList配置nat03比例来引导少量流量(即灰度流量)到灰度出口网关(出口3),通过观察灰度流量请求外部合作方后的http返回内容及http响应码(非200),来判断外部合作方是否真正添加了EIP。如果外部合作方没有配置EIP5白名单,则通过灰度出口网关的请求全部会失败,通过灰度出口网关的监控看板或者日志可以很容易发现,因而,通过本实施例提供的方式可以快速推进新增EIP这件事的进展,同时这种新增EIP的操作方式对业务影响较小。
需要说明的是,关于上述任何一个实施例中提供的在NAT规则上新增EIP的方法所包括的各个步骤,除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,这些步骤中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
基于相同的发明构思,本申请还提供了一种在NAT规则上新增EIP的装置。在本实施例中,如图4所示,该在NAT规则上新增EIP的装置包括以下模块:
第一绑定模块110,用于将目标EIP绑定至灰度出口网关对应的NAT规则,其中,灰度出口网关对应的NAT规则只绑定目标EIP,使得在通过灰度出口网关访问任一外部合作方时,只使用目标EIP访问上述任一外部合作方;目标EIP是指需要绑定至目标NAT规则的EIP;
分发模块120,用于将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,以通过灰度出口网关访问各外部合作方;
验证模块130,用于根据各外部合作方对灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含目标EIP;
第二绑定模块140,用于响应于所有外部合作方均通过验证,将目标EIP绑定至目标NAT规则。
在一些实施例中,上述装置还包括配置模块。
配置模块,用于为每个外部合作方配置对应的网关配置信息;网关配置信息包括出口流量比例配置。
在一些实施例中,分发模块,具体用于通过流量分发网关拉取各外部合作方对应的网关配置信息,并根据各外部合作方的出口流量比例配置将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关。
在一些实施例中,上述装置还包括:
EIP数量确定模块,用于确定各外部合作方支持访问的EIP数量;
配置调整模块,用于根据各外部合作方支持访问的EIP数量调整各外部合作方的出口流量比例配置。
在一些实施例中,任一外部合作方对灰度出口网关的反馈信息包括上述任一外部合作方对每个通过灰度出口网关访问上述任一外部合作方的请求的反馈信息,反馈信息包括返回内容和/或HTTP响应码。
在一些实施例中,验证模块在根据任一外部合作方对灰度出口网关的反馈信息验证上述任一外部合作方的白名单中是否包含目标EIP时,具体用于:
根据任一外部合作方对灰度出口网关的反馈信息确定通过灰度出口网关访问上述任一外部合作方的每个请求的请求结果;
当通过灰度出口网关访问上述任一外部合作方的每个请求的请求结果均为请求失败时,判定上述任一外部合作方无法通过验证;
当通过灰度出口网关访问上述任一外部合作方的任一个请求的请求结果为请求成功时,判定上述任一外部合作方通过验证。
在一些实施例中,上述装置还包括:
创建模块,用于在将目标EIP绑定至灰度出口网关对应的NAT规则之前,创建灰度出口网关以及灰度出口网关对应的NAT规则;
删除模块,用于在将目标EIP绑定至目标NAT规则之后,删除灰度出口网关。
关于在NAT规则上新增EIP的装置的具体限定可以参见上文中对于在NAT规则上新增EIP的方法的限定,在此不再赘述。上述在NAT规则上新增EIP的装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,其内部结构图可以如图5所示。
该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储EIP以及NAT规则的信息等数据,具体存储的数据还可以参见上述方法实施例中的限定。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种在NAT规则上新增EIP的方法。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
将目标EIP绑定至灰度出口网关对应的NAT规则,其中,灰度出口网关对应的NAT规则只绑定目标EIP,使得在通过灰度出口网关访问任一外部合作方时,只使用目标EIP访问上述任一外部合作方;目标EIP是指需要绑定至目标NAT规则的EIP;将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,以通过灰度出口网关访问各外部合作方;根据各外部合作方对灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含目标EIP;响应于所有外部合作方均通过验证,将目标EIP绑定至目标NAT规则。
在一个实施方式中,处理器执行计算机程序,还实现以下步骤:为每个外部合作方配置对应的网关配置信息;网关配置信息包括出口流量比例配置。
在一个实施方式中,处理器执行计算机程序,实现将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关时,还实现以下步骤:
通过流量分发网关拉取各外部合作方对应的网关配置信息,并根据各外部合作方的出口流量比例配置将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关。
在一个实施方式中,处理器执行计算机程序,还实现以下步骤:
确定各外部合作方支持访问的EIP数量;根据各外部合作方支持访问的EIP数量调整各外部合作方的出口流量比例配置。
在一个实施方式中,处理器执行计算机程序,实现根据任一外部合作方对灰度出口网关的反馈信息验证上述任一外部合作方的白名单中是否包含目标EIP的操作时,还实现以下步骤:
根据任一外部合作方对灰度出口网关的反馈信息确定通过灰度出口网关访问上述任一外部合作方的每个请求的请求结果;当通过灰度出口网关访问上述任一外部合作方的每个请求的请求结果均为请求失败时,判定上述任一外部合作方无法通过验证;当通过灰度出口网关访问上述任一外部合作方的任一个请求的请求结果为请求成功时,判定上述任一外部合作方通过验证。
在一个实施方式中,处理器执行计算机程序,还实现以下步骤:
在将目标EIP绑定至灰度出口网关对应的NAT规则之前,创建灰度出口网关以及灰度出口网关对应的NAT规则;在将目标EIP绑定至目标NAT规则之后,删除灰度出口网关。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
将目标EIP绑定至灰度出口网关对应的NAT规则,其中,灰度出口网关对应的NAT规则只绑定目标EIP,使得在通过灰度出口网关访问任一外部合作方时,只使用目标EIP访问上述任一外部合作方;目标EIP是指需要绑定至目标NAT规则的EIP;将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,以通过灰度出口网关访问各外部合作方;根据各外部合作方对灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含目标EIP;响应于所有外部合作方均通过验证,将目标EIP绑定至目标NAT规则。
在一个实施方式中,计算机程序被处理器执行,还实现以下步骤:为每个外部合作方配置对应的网关配置信息;网关配置信息包括出口流量比例配置。
在一个实施方式中,计算机程序被处理器执行,将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关时,还实现以下步骤:
通过流量分发网关拉取各外部合作方对应的网关配置信息,并根据各外部合作方的出口流量比例配置将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关。
在一个实施方式中,计算机程序被处理器执行,还实现以下步骤:
确定各外部合作方支持访问的EIP数量;根据各外部合作方支持访问的EIP数量调整各外部合作方的出口流量比例配置。
在一个实施方式中,计算机程序被处理器执行,根据任一外部合作方对灰度出口网关的反馈信息验证上述任一外部合作方的白名单中是否包含目标EIP的操作时,还实现以下步骤:
根据任一外部合作方对灰度出口网关的反馈信息确定通过灰度出口网关访问上述任一外部合作方的每个请求的请求结果;当通过灰度出口网关访问上述任一外部合作方的每个请求的请求结果均为请求失败时,判定上述任一外部合作方无法通过验证;当通过灰度出口网关访问上述任一外部合作方的任一个请求的请求结果为请求成功时,判定上述任一外部合作方通过验证。
在一个实施方式中,计算机程序被处理器执行,还实现以下步骤:
在将目标EIP绑定至灰度出口网关对应的NAT规则之前,创建灰度出口网关以及灰度出口网关对应的NAT规则;在将目标EIP绑定至目标NAT规则之后,删除灰度出口网关。
本领域普通技术人员可以理解实现上述方法实施例中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)、直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种在NAT规则上新增EIP的方法,其特征在于,所述方法包括:
将目标EIP绑定至灰度出口网关对应的NAT规则,其中,所述灰度出口网关对应的NAT规则只绑定所述目标EIP,使得在通过所述灰度出口网关访问任一外部合作方时,只使用所述目标EIP访问所述任一外部合作方;所述目标EIP是指需要绑定至目标NAT规则的EIP;
将各外部合作方对应的来自内网区的部分请求分发至所述灰度出口网关,以通过所述灰度出口网关访问各外部合作方;
根据各外部合作方对所述灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含所述目标EIP;
响应于所有外部合作方均通过验证,将所述目标EIP绑定至所述目标NAT规则。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
为每个外部合作方配置对应的网关配置信息;所述网关配置信息包括出口流量比例配置。
3.如权利要求2所述的方法,其特征在于,所述将各外部合作方对应的来自内网区的部分请求分发至所述灰度出口网关,包括:
通过流量分发网关拉取各外部合作方对应的网关配置信息,并根据各外部合作方的出口流量比例配置将各外部合作方对应的来自内网区的部分请求分发至所述灰度出口网关。
4.如权利要求2所述的方法,其特征在于,所述方法还包括:
确定各外部合作方支持访问的EIP数量;
根据各外部合作方支持访问的EIP数量调整各外部合作方的出口流量比例配置。
5.如权利要求1所述的方法,其特征在于,任一外部合作方对所述灰度出口网关的反馈信息包括所述任一外部合作方对每个通过所述灰度出口网关访问所述任一外部合作方的请求的反馈信息,所述反馈信息包括返回内容和/或HTTP响应码。
6.如权利要求5所述的方法,其特征在于,根据任一外部合作方对所述灰度出口网关的反馈信息验证所述任一外部合作方的白名单中是否包含所述目标EIP的操作,包括:
根据任一外部合作方对所述灰度出口网关的反馈信息确定通过所述灰度出口网关访问所述任一外部合作方的每个请求的请求结果;
当通过所述灰度出口网关访问所述任一外部合作方的每个请求的请求结果均为请求失败时,判定所述任一外部合作方无法通过验证;
当通过所述灰度出口网关访问所述任一外部合作方的任一个请求的请求结果为请求成功时,判定所述任一外部合作方通过验证。
7.如权利要求1所述的方法,其特征在于,所述方法还包括:
在将目标EIP绑定至灰度出口网关对应的NAT规则之前,创建所述灰度出口网关以及所述灰度出口网关对应的NAT规则;
在将所述目标EIP绑定至所述目标NAT规则之后,删除所述灰度出口网关。
8.一种在NAT规则上新增EIP的装置,其特征在于,所述装置包括:
第一绑定模块,用于将目标EIP绑定至灰度出口网关对应的NAT规则,其中,所述灰度出口网关对应的NAT规则只绑定所述目标EIP,使得在通过所述灰度出口网关访问任一外部合作方时,只使用所述目标EIP访问所述任一外部合作方;所述目标EIP是指需要绑定至目标NAT规则的EIP;
分发模块,用于将各外部合作方对应的来自内网区的部分请求分发至所述灰度出口网关,以通过所述灰度出口网关访问各外部合作方;
验证模块,用于根据各外部合作方对所述灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含所述目标EIP;
第二绑定模块,用于响应于所有外部合作方均通过验证,将所述目标EIP绑定至所述目标NAT规则。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210363287.9A CN114679428A (zh) | 2022-04-07 | 2022-04-07 | 在nat规则上新增eip的方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210363287.9A CN114679428A (zh) | 2022-04-07 | 2022-04-07 | 在nat规则上新增eip的方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114679428A true CN114679428A (zh) | 2022-06-28 |
Family
ID=82078097
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210363287.9A Pending CN114679428A (zh) | 2022-04-07 | 2022-04-07 | 在nat规则上新增eip的方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114679428A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115941493A (zh) * | 2022-12-23 | 2023-04-07 | 天翼云科技有限公司 | 基于组播的云场景nat网关集群的多活分配方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105872048A (zh) * | 2016-03-30 | 2016-08-17 | 联想(北京)有限公司 | 一种控制方法及电子设备 |
| CN106533890A (zh) * | 2016-12-30 | 2017-03-22 | 华为技术有限公司 | 一种报文处理方法、装置及系统 |
| CN109802985A (zh) * | 2017-11-17 | 2019-05-24 | 北京金山云网络技术有限公司 | 数据传输方法、装置、设备及可读取存储介质 |
| CN111327720A (zh) * | 2020-02-21 | 2020-06-23 | 北京百度网讯科技有限公司 | 一种网络地址转换方法、装置、网关设备及存储介质 |
| CN111770211A (zh) * | 2020-06-17 | 2020-10-13 | 北京百度网讯科技有限公司 | 一种snat方法、装置、电子设备及存储介质 |
| CN113225409A (zh) * | 2021-05-27 | 2021-08-06 | 北京天融信网络安全技术有限公司 | 一种nat负载均衡访问方法、装置及存储介质 |
-
2022
- 2022-04-07 CN CN202210363287.9A patent/CN114679428A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105872048A (zh) * | 2016-03-30 | 2016-08-17 | 联想(北京)有限公司 | 一种控制方法及电子设备 |
| CN106533890A (zh) * | 2016-12-30 | 2017-03-22 | 华为技术有限公司 | 一种报文处理方法、装置及系统 |
| CN109802985A (zh) * | 2017-11-17 | 2019-05-24 | 北京金山云网络技术有限公司 | 数据传输方法、装置、设备及可读取存储介质 |
| US20200351328A1 (en) * | 2017-11-17 | 2020-11-05 | Beijing Kingsoft Cloud Network Technology Co., Ltd. | Data transmission method, device, equipment, and readable storage medium |
| CN111327720A (zh) * | 2020-02-21 | 2020-06-23 | 北京百度网讯科技有限公司 | 一种网络地址转换方法、装置、网关设备及存储介质 |
| CN111770211A (zh) * | 2020-06-17 | 2020-10-13 | 北京百度网讯科技有限公司 | 一种snat方法、装置、电子设备及存储介质 |
| CN113225409A (zh) * | 2021-05-27 | 2021-08-06 | 北京天融信网络安全技术有限公司 | 一种nat负载均衡访问方法、装置及存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115941493A (zh) * | 2022-12-23 | 2023-04-07 | 天翼云科技有限公司 | 基于组播的云场景nat网关集群的多活分配方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109547458B (zh) | 登录验证方法、装置、计算机设备及存储介质 | |
| US9621594B2 (en) | Systems and methods for assessing the compliance of a computer across a network | |
| CN111783067B (zh) | 多网站间的自动登录方法及装置 | |
| CN111093197B (zh) | 权限认证方法、权限认证系统和计算机可读存储介质 | |
| CN110324338B (zh) | 数据交互方法、装置、堡垒机与计算机可读存储介质 | |
| CN111147453A (zh) | 系统登录方法以及集成登录系统 | |
| CN103404103A (zh) | 将访问控制系统与业务管理系统相结合的系统和方法 | |
| CN110958237A (zh) | 一种权限校验的方法和装置 | |
| CN113341798A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| CN110727935B (zh) | 单点登录方法、系统、计算机设备和存储介质 | |
| CN111641607A (zh) | 代理系统及访问请求转发方法 | |
| KR20170108029A (ko) | 검사 네트워크에서 컴퓨터 시스템의 컴퓨터를 검사하기 위한 검사 시스템 | |
| CN113949579B (zh) | 网站攻击防御方法、装置、计算机设备及存储介质 | |
| CN112560006B (zh) | 一种多应用系统下的单点登录方法和系统 | |
| CN113194099A (zh) | 一种数据代理方法及代理服务器 | |
| CN114679428A (zh) | 在nat规则上新增eip的方法、装置、计算机设备和存储介质 | |
| CN116405268A (zh) | 基于开放授权协议的登录方法、装置、设备及存储介质 | |
| CN114745185B (zh) | 集群访问方法及装置 | |
| CN113992446B (zh) | 一种跨域浏览器用户认证方法、系统及计算机储存介质 | |
| CN113206845B (zh) | 网络访问控制方法、装置、计算机设备和存储介质 | |
| CN104852997A (zh) | 对网络地址的处理方法及服务器与计算机可读储存介质 | |
| US20170017508A1 (en) | Method for forming a virtual environment in an operating system of a computer | |
| US8005924B2 (en) | Unified support for web based enterprise management (“WBEM”) solutions | |
| CN116455594A (zh) | 一种分布式智慧照明系统、访问方法及相关装置 | |
| US20180255041A1 (en) | Network hop count network location identifier |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |