CN115604103A - 云计算系统的配置方法、装置、存储介质以及电子设备 - Google Patents

云计算系统的配置方法、装置、存储介质以及电子设备 Download PDF

Info

Publication number
CN115604103A
CN115604103A CN202211228580.0A CN202211228580A CN115604103A CN 115604103 A CN115604103 A CN 115604103A CN 202211228580 A CN202211228580 A CN 202211228580A CN 115604103 A CN115604103 A CN 115604103A
Authority
CN
China
Prior art keywords
user
virtual private
computing system
cloud
resource set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211228580.0A
Other languages
English (en)
Inventor
蔡舒翔
冯湘云
刘丹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202211228580.0A priority Critical patent/CN115604103A/zh
Publication of CN115604103A publication Critical patent/CN115604103A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种云计算系统的配置方法、装置、存储介质以及电子设备,涉及云计算领域。该方法包括:在云计算系统中创建用户的用户资源集合,其中,用户资源集合中包括多个虚拟私有云;获取用户的用户信息,并根据用户信息在每个虚拟私有云中创建虚拟防火墙,得到多个目标虚拟私有云;依次将每个目标虚拟私有云与用户资源集合中的其余目标虚拟私有云进行关联,并将目标虚拟私有云与对应的网络进行连接,得到配置完成的用户资源集合。通过本申请,解决了相关技术中在云计算系统中不同的用户分别进行网络配置,导致配置过程中存在风险并且维护难度较高的问题。

Description

云计算系统的配置方法、装置、存储介质以及电子设备
技术领域
本申请涉及云计算领域,具体而言,涉及一种云计算系统的配置方法、装置、存储介质以及电子设备。
背景技术
随着越来越多的用户迁移应用至云计算系统,上线的每个用户在进行复杂的SDN(Software Defined Network软件定义网络)的网络配置时遇到的问题就日渐突出。迁移上云的每个用户都需要配置多个运维模块,涉及的操作复杂,资源域之间配置存在相似性高、部分相同的情况。上述这些问题都给相应的技术支持人员带来与日俱增的运维压力与时间成本。更进一步地说,如果配置问题没有及时发现,将会给应用投产上线埋下隐患,故障严重可能造成生产事故、损害公司利益。
当前在进行网络配置的时候,往往交由用户进行自主配置,每个配置人员使用的配置方法或配置规则可能不同,会给相应的技术支持人员带来与日俱增的运维压力与时间成本,同时还可能导致存在配置风险。
针对相关技术中在云计算系统中不同的用户分别进行网络配置,导致配置过程中存在风险并且维护难度较高的问题,目前尚未提出有效的解决方案。
发明内容
本申请提供一种云计算系统的配置方法、装置、存储介质以及电子设备,以解决相关技术中在云计算系统中不同的用户分别进行网络配置,导致配置过程中存在风险并且维护难度较高的问题。
根据本申请的一个方面,提供了一种云计算系统的配置方法。该方法包括:在云计算系统中创建用户的用户资源集合,其中,用户资源集合中包括多个虚拟私有云;获取用户的用户信息,并根据用户信息在每个虚拟私有云中创建虚拟防火墙,得到多个目标虚拟私有云;依次将每个目标虚拟私有云与用户资源集合中的其余目标虚拟私有云进行关联,并将目标虚拟私有云与对应的网络进行连接,得到配置完成的用户资源集合。
可选地,用户信息包括用户领域和用户等级,根据用户信息向每个虚拟私有云添加虚拟防火墙,得到多个目标虚拟私有云包括:在对照表中获取用户领域对应的多种虚拟防火墙,其中,对照表中包括多个预设用户领域,以及每个预设用户领域对应的多种虚拟防火墙;在用户等级为第一等级的情况下,从用户领域对应的多种虚拟防火墙中获取第一安全等级的防火墙,并将第一安全等级的防火墙分别配置在每个虚拟私有云中,得到多个目标虚拟私有云;在用户等级为第二等级的情况下,从用户领域对应的多种虚拟防火墙中获取第一安全等级的防火墙以及第二安全等级的防火墙,将第一安全等级的防火墙分别配置在具有预设标识的虚拟私有云中,并将第二安全等级的防火墙配置在不具有预设标识的虚拟私有云中,得到多个目标虚拟私有云,其中,第一等级高于第二等级,第一安全等级高于第二安全等级,预设标识表征虚拟私有云具有与互联网进行连接的权限。
可选地,将目标虚拟私有云与对应的网络进行连接包括:在云计算系统中创建多个物理接口,其中,物理接口包括互联网接口和内网接口,互联网接口关联的物理交换机网关与互联网连接,内网接口关联的物理交换机网关与局域网连接;从用户资源集合中获取具有预设标识的目标虚拟私有云,并将具有预设标识的目标虚拟私有云与互联网接口进行连接,其中,预设标识表征虚拟私有云具有与互联网进行连接的权限;从用户资源集合中获取不具有预设标识的目标虚拟私有云,并将不具有预设标识的目标虚拟私有云与内网接口进行连接。
可选地,在得到配置完成的用户资源集合之后,该方法还包括:判断用户信息中是否存在访问公有资源集合的访问需求,其中,公有资源集合存在于云计算系统中;在用户信息中存在访问需求的情况下,从配置完成的用户资源集合中获取目标虚拟私有云,并将目标虚拟私有云与公有资源集合进行连接,其中,目标虚拟私有云为需要访问公有资源集合的虚拟私有云。
可选地,在云计算系统中创建用户的用户资源集合包括:通过云计算系统中的接口创建多个虚拟私有云,并获取创建虚拟私有云产生的返回信息,其中,返回信息为虚拟私有云的识别标识;根据返回信息创建每个虚拟私有云对应的子网网段;将多个虚拟私有云以及每个虚拟私有云对应的子网网段确定为用户资源集合。
可选地,在获取用户的用户信息之前,该方法还包括:删除云计算系统中的初始安全规则,并将预设安全规则添加至云计算系统中,其中,初始安全规则表征用户资源集合中的私有虚拟云的服务器之间具有互相访问的权限,预设安全规则表征云计算系统中的服务器之间具有互相访问的权限。
可选地,在云计算系统中创建用户的用户资源集合之前,该方法还包括:获取用户的身份信息,并判断用户的身份信息中是否包括预设令牌,其中,预设令牌表征具有对云计算系统执行操作的权限;在用户的身份信息中包括预设令牌的情况下,执行在云计算系统中创建用户的用户资源集合的步骤;在用户的身份信息中不包括预设令牌的情况下,发出告警信息,其中,告警信息用于指示云计算系统受到攻击。
根据本申请的另一方面,提供了一种云计算系统的配置装置。该装置包括:创建单元,用于在云计算系统中创建用户的用户资源集合,其中,用户资源集合中包括多个虚拟私有云;添加单元,用于获取用户的用户信息,并根据用户信息在每个虚拟私有云中创建虚拟防火墙,得到多个目标虚拟私有云;关联单元,用于依次将每个目标虚拟私有云与用户资源集合中的其余目标虚拟私有云进行关联,并将目标虚拟私有云与对应的网络进行连接,得到配置完成的用户资源集合。
根据本发明实施例的另一方面,还提供了一种计算机存储介质,计算机存储介质用于存储程序,其中,程序运行时控制计算机存储介质所在的设备执行一种云计算系统的配置方法。
根据本发明实施例的另一方面,还提供了一种电子设备,包含一个或多个处理器和存储器;存储器中存储有计算机可读指令,处理器用于运行计算机可读指令,其中,计算机可读指令运行时执行一种云计算系统的配置方法。
通过本申请,采用以下步骤:在云计算系统中创建用户的用户资源集合,其中,用户资源集合中包括多个虚拟私有云;获取用户的用户信息,并根据用户信息在每个虚拟私有云中创建虚拟防火墙,得到多个目标虚拟私有云;依次将每个目标虚拟私有云与用户资源集合中的其余目标虚拟私有云进行关联,并将目标虚拟私有云与对应的网络进行连接,得到配置完成的用户资源集合。解决了相关技术中在云计算系统中不同的用户分别进行网络配置,导致配置过程中存在风险并且维护难度较高的问题。通过创建不同安全管控等级的防火墙,并将虚拟私有云与之进行关联,同时对虚拟私有云进行不同的网络连接的配置,进而达到了统一配置规范,并在配置后便于运维人员进行管理的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的云计算系统的配置方法的流程图;
图2是根据本申请实施例提供的可选的云计算系统的配置方法的流程图;
图3是根据本申请实施例提供的云计算系统的配置装置的示意图;
图4为根据本申请实施例提供的一种电子设备的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等),均为经用户授权或者经过各方充分授权的信息和数据。例如,本系统和相关用户或机构间设置有接口,在获取相关信息之前,需要通过接口向前述的用户或机构发送获取请求,并在接收到前述的用户或机构反馈的同意信息后,获取相关信息。
需要说明的是,本公开所确定的云计算系统的配置方法、装置、存储介质以及电子设备可用于云计算领域,也可用于除云计算领域之外的任意领域,本公开所确定的云计算系统的配置方法、装置、存储介质以及电子设备的应用领域不做限定。
为了便于描述,以下对本申请实施例涉及的部分名词或术语进行说明:
VPC:Virtual Private Cloud,虚拟私有云,是公共云计算资源的动态配置池,用于在企业和云服务提供方之间进行数据传输。
根据本申请的实施例,提供了一种云计算系统的配置方法。
图1是根据本申请实施例的云计算系统的配置方法的流程图。如图1所示,该方法包括以下步骤:
步骤S101,在云计算系统中创建用户的用户资源集合,其中,用户资源集合中包括多个虚拟私有云。
具体的,云计算系统的网络功能可以由多个核心组件共同实现,每个核心组件都对外提供了API接口,使用者可以通过调用API接口完成各类基本功能的配置以及二次开发。
可以通过调用API在云计算系统中的用户所处的项目下创建用户资源集,其中,用户资源集中包括多个独立相互隔离的虚拟私有云,例如,包括三个虚拟私有云,每个虚拟私有云对应一个目标网络区域,可以根据该网络区域为每个虚拟私有云配置子网网段用于通信,以及配置防火墙用于安全防护等内容。
例如,表1为一种可选的用户资源集配置数据,其中包括三个VPC。每个VPC可以对应一个网络区域以及子网网段。Intranet、DMZExtranet、DMZInternet分别为不同网络区域的名称,其中,可以根据网络区域的安全性依次将Intranet、DMZExtranet、DMZInternet确定为低风险内部网络区域、中风险隔离网络区域、高风险互联网网络区域。
表1
区域 VPC命名 子网名称 网段
Intranet XXfh_Project-Intranet-VPC Intranet-subnet A.A.A.0/24
DMZExtranet XXfh_Project-DMZExtranet-VPC DMZExtranet-subnet B.B.B.0/24
DMZInternet XXfh_Project-DMZInternet-VPC DMZInternet-subnet C.C.C.0/24
步骤S102,获取用户的用户信息,并根据用户信息在每个虚拟私有云中创建虚拟防火墙,得到多个目标虚拟私有云。
具体的,在得到该虚拟私有云信息后,可以根据虚拟私有云对应的网络区域安全需求对虚拟防火墙的配置,从而在保证每个虚拟私有云的安全的情况下,不同安全等级的虚拟私有云服务都能获得权限最小化、控制最精细的管控。
例如,用户需要高安全配置,则为用户提供安全度较高的防火墙,若用户需要广泛的访问范围,则可以提供安全度较低的防火墙,若用户具有特殊要求,则按照特殊要求进行配置。
步骤S103,依次将每个目标虚拟私有云与用户资源集合中的其余目标虚拟私有云进行关联,并将目标虚拟私有云与对应的网络进行连接,得到配置完成的用户资源集合。
具体的,在配置完虚拟防火墙后,判断用户资源集内虚拟私有云是否相互访问的需求,如有,则可以将用户资源集合中的多个虚拟私有云进行关联,也即,依次将每个目标虚拟私有云与其余虚拟私有云打通隔离限制,建立多个虚拟私有云之间的连接,使得多个虚拟私有云之间可以进行访问。
进一步的,完成虚拟私有云与外部环境互访的基础配置,使得虚拟私有云与对应的外部网络之间可以进行连接,进而在保证每个虚拟私有云可以进行网络服务的使用的同时,还可以将多个虚拟私有云进行分类,使得每个虚拟私有云的访问外部资源集的权限不同,从而保证每个虚拟私有云可以访问的资源集不同,保证了虚拟私有云的网络访问多样性,并完成对该用户在云计算系统中的用户资源集合的网络配置。
本申请实施例提供的云计算系统的配置方法,通过在云计算系统中创建用户的用户资源集合,其中,用户资源集合中包括多个虚拟私有云;获取用户的用户信息,并根据用户信息在每个虚拟私有云中创建虚拟防火墙,得到多个目标虚拟私有云;依次将每个目标虚拟私有云与用户资源集合中的其余目标虚拟私有云进行关联,并将目标虚拟私有云与对应的网络进行连接,得到配置完成的用户资源集合。解决了相关技术中在云计算系统中不同的用户分别进行网络配置,导致配置过程中存在风险并且维护难度较高的问题。通过创建不同安全管控等级的防火墙,并将虚拟私有云与之进行关联,同时对虚拟私有云进行不同的网络连接的配置,进而达到了统一配置规范,并在配置后便于运维人员进行管理的效果。
为了合理地配置虚拟防火墙,可选地,在本申请实施例提供的云计算系统的配置方法中,用户信息包括用户领域和用户等级,根据用户信息向每个虚拟私有云添加虚拟防火墙,得到多个目标虚拟私有云包括:在对照表中获取用户领域对应的多种虚拟防火墙,其中,对照表中包括多个预设用户领域,以及每个预设用户领域对应的多种虚拟防火墙;在用户等级为第一等级的情况下,从用户领域对应的多种虚拟防火墙中获取第一安全等级的防火墙,并将第一安全等级的防火墙分别配置在每个虚拟私有云中,得到多个目标虚拟私有云;在用户等级为第二等级的情况下,从用户领域对应的多种虚拟防火墙中获取第一安全等级的防火墙以及第二安全等级的防火墙,将第一安全等级的防火墙分别配置在具有预设标识的虚拟私有云中,并将第二安全等级的防火墙配置在不具有预设标识的虚拟私有云中,得到多个目标虚拟私有云,其中,第一等级高于第二等级,第一安全等级高于第二安全等级,预设标识表征虚拟私有云具有与互联网进行连接的权限。
具体的,由于防火墙的种类较为丰富,并且防火墙之间的防护类型亦有差异,因此可以先根据该用户的用户领域,从多类防火墙中挑选出与该用户最契合的防火墙类型,并将该类型的防火墙配置在该用户的虚拟私有云中。
进一步的,在通过对照表得到用户领域对应的某类虚拟防火墙后,可以在多种该类型的防火墙中选择出每个虚拟私有云对应的防火墙,其中,可以通过用户等级确定防火墙的选取类型。在用户等级为第一等级的情况下,表征该用户的防护等级较高,则该用户的多个虚拟私有云对应的防火墙需要全部配置为第一安全等级的防火墙,也即较高等级的防火墙,从而保障该用户的每个虚拟私有云均处于高防护状态。
另外的,在用户等级为第二等级的情况下,表征该用户的防护等级较低,则需要对该用户的防火墙配置进行调整。可以从该用户的多个虚拟私有云中获取带有预设标识的虚拟私有云,由于预设标识表征虚拟私有云具有与互联网进行连接的权限,因此为了保障整个虚拟私有云以及云计算系统的安全,因此需要在与互联网进行连接的虚拟私有云中配置较高等级的防火墙,也即第一安全等级的防火墙,而在其余没有预设标识的虚拟私有云中,可以配置较低等级的防火墙,也即第二安全等级的防火墙,从而完成对该用户的虚拟私有云的虚拟防火墙的配置。本实施例通过根据用户信息进行对应的防火墙配置,从而完成了防火墙配置流程的规范化,进而达到了标准化配置防火墙的效果。
为了能够使虚拟私有云可以访问其他云平台中的资源,可选地,在本申请实施例提供的云计算系统的配置方法中,将目标虚拟私有云与对应的网络进行连接包括:在云计算系统中创建多个物理接口,其中,物理接口包括互联网接口和内网接口,互联网接口关联的物理交换机网关与互联网连接,内网接口关联的物理交换机网关与局域网连接;从用户资源集合中获取具有预设标识的目标虚拟私有云,并将具有预设标识的目标虚拟私有云与互联网接口进行连接,其中,预设标识表征虚拟私有云具有与互联网进行连接的权限;从用户资源集合中获取不具有预设标识的目标虚拟私有云,并将不具有预设标识的目标虚拟私有云与内网接口进行连接。
需要说明的是,内网也即局域网,对于用户与网络进行连接的需求,需要通过云专线满足。由于多个虚拟私有云之间的功能不同,安全等级不同,因此不同的虚拟私有云需要连接不同的网络资源,从而在与网络进行连接的同时还保证了虚拟私有云的安全。
具体的,首先需要建立多个物理接口,每个物理接口对应一个物理交换机网关,可以与互联网或局域网进行连接,之后再创建每个虚拟私有云对应的虚拟网关,并通过虚拟接口将虚拟网关与物理接口进行关联,从而使得虚拟私有云可以通过虚拟网关和虚拟接口与对应的物理接口的物理交换机网关进行连接,从而通过物理交换机网关与每个虚拟私有云对应的网络进行连接,从而完成每个虚拟私有云的云专线的配置。
需要说明的是,由于不同的虚拟私有云需要访问不同的网络,因此每个物理交换机网关连接的网络也不相同,因此,需要根据虚拟私有云的安全等级确定对应的连接网络。在用户资源集合中获取具有预设标识的目标虚拟私有云,也即可以与互联网进行连接的虚拟私有云,并将该虚拟私有云与多个物理接口中的互联网接口进行连接,从而使得该虚拟私有云可以访问互联网,并将不具有预设标识的目标虚拟私有云与多个物理接口中的局域网接口进行连接,使得虚拟私有云只能访问局域网中的信息,从而保证了虚拟私有云的安全性。
表2为一种可选的虚拟私有云与物理交换机网关进行连接的关联表,如表2所示,根据VPC中的子网网段将VPC与虚拟网关进行关联,并根据虚拟接口与物理接口的关联关系将子网网段与远端地址,也即访问地址进行关联。例如,表2中将子网网段为A.A.A.0/24的VPC与局域网接口对应的虚拟接口进行连接,从而可以访问局域网中的地址X.X.X.X,将子网网段为B.B.B.0/24和C.C.C.0/24的VPC与互联网接口对应的虚拟接口进行连接,从而可以访问局域网中的地址Y.Y.Y.Y。
表2
Figure BDA0003881194290000081
可选地,在本申请实施例提供的云计算系统的配置方法中,在得到配置完成的用户资源集合之后,该方法还包括:判断用户信息中是否存在访问公有资源集合的访问需求,其中,公有资源集合存在于云计算系统中;在用户信息中存在访问需求的情况下,从配置完成的用户资源集合中获取目标虚拟私有云,并将目标虚拟私有云与公有资源集合进行连接,其中,目标虚拟私有云为需要访问公有资源集合的虚拟私有云。
具体的,公共资源集存在于云计算系统中,并由外部公共资源集专门管理员管理。在用户信息中存在访问公有资源集合的访问需求的情况下,从配置完成的目标虚拟私有云发起与公共资源集内目标虚拟私有云连接请求,并由外部公共资源集专门管理员审批同意后,打通该用户目标虚拟私有云与所述公共资源集内目标虚拟私有云的连接。从而保证该用户可以通过虚拟私有云与公有资源集合进行连接,同时还保证了连接后的安全访问。
可选地,在本申请实施例提供的云计算系统的配置方法中,在云计算系统中创建用户的用户资源集合包括:通过云计算系统中的接口创建多个虚拟私有云,并获取创建虚拟私有云产生的返回信息,其中,返回信息为虚拟私有云的识别标识;根据返回信息创建每个虚拟私有云对应的子网网段;将多个虚拟私有云以及每个虚拟私有云对应的子网网段确定为用户资源集合。
具体的,在创建用户资源集合的时候,需要先创建多个虚拟私有云接口,并为每个虚拟私有云接口创建一个子网网段,从而构成虚拟私有云,在创建每个虚拟私有云接口之后,每个虚拟私有云接口会生成一个唯一的返回值,该返回值可以用于识别虚拟私有云接口,在生成每个虚拟私有云接口对应的子网网段时,可以直接通过该返回值确定子网网段对应的虚拟私有云接口,从而完成每个虚拟私有云的创建。
例如,表3为一种可选的用户资源集合配置方法,其中包括三个(VPC)虚拟私有云。Intranet、DMZExtranet、DMZInternet分别为不同网络区域的名称,其中,可以根据网络区域的安全性依次将Intranet、DMZExtranet、DMZInternet确定为低风险网络区域、中风险网络区域、高风险网络区域。进一步为每个VPC创建对应的子网名称以及对应的子网网段,也即为每个VPC添加对应的网段信息,从而完成VPC的创建。
表3
区域 VPC命名 子网名称 网段
Intranet XXfh_Project-Intranet-VPC Intranet-subnet A.A.A.0/24
DMZExtranet XXfh_Project-DMZExtranet-VPC DMZExtranet-subnet B.B.B.0/24
DMZInternet XXfh_Project-DMZInternet-VPC DMZInternet-subnet C.C.C.0/24
为了统一云计算系统中每个虚拟私有云的安全规则,并且保证云计算系统中的虚拟私有云可以访问任意网址,可选地,在本申请实施例提供的云计算系统的配置方法中,在获取用户的用户信息之前,该方法还包括:删除云计算系统中的初始安全规则,并将预设安全规则添加至云计算系统中,其中,初始安全规则表征用户资源集合中的私有虚拟云的服务器之间具有互相访问的权限,预设安全规则表征云计算系统中的服务器之间具有互相访问的权限。
具体的,由于云计算系统在初始的时候,为每个虚拟私有云默认生成的安全组规则是嵌套规则,即默认放通每个用户之间的VPC之间相互访问,其余访问均不允许执行。为了使VPC可以对其余的网络进行访问。因此需要将初始的嵌套安全组规则进行删除,并将预设安全规则添加至云计算系统中,从而变更云计算系统中的初始安全规则,使得用户的VPC可以访问任意网络。
可选地,在本申请实施例提供的云计算系统的配置方法中,在云计算系统中创建用户的用户资源集合之前,该方法还包括:获取用户的身份信息,并判断用户的身份信息中是否包括预设令牌,其中,预设令牌表征具有对云计算系统执行操作的权限;在用户的身份信息中包括预设令牌的情况下,执行在云计算系统中创建用户的用户资源集合的步骤;在用户的身份信息中不包括预设令牌的情况下,发出告警信息,其中,告警信息用于指示云计算系统受到攻击。
具体的,在对该用户的云计算系统中的虚拟私有云进行配置之前,需要先获取API服务授权令牌,并在取得API服务授权令牌后,才可以进行虚拟私有云配置。在没有API服务授权令牌的情况下,无法在云计算系统中配置虚拟私有云,同时还会被云计算系统识别为攻击信息,从而发出告警信息进行提示。本实施例通过查验令牌的方式,提高了云计算系统的安全性。
图2是根据本申请实施例提供的可选的云计算系统的配置方法的流程图,如图2所示,首先获取用户的身份信息,并判断用户的身份信息中是否包括预设令牌,在获取到API服务授权令牌的情况下,在云计算系统中创建多个虚拟私有云以及每个虚拟私有云的子网网段,并删除云计算系统中的初始安全规则,并将预设安全规则添加至云计算系统中。
进一步,根据用户需求对虚拟私有云配置对应的防火墙,并将虚拟私有云之间进行连接,使得虚拟私有云之间可以进行通信,并在用户有需求的情况下将虚拟私有云与公有资源集合进行连接,并创建云专线,使得用户可以对互联网进行访问,从而通过上述流程对用户的虚拟私有云进行配置,从而保证用户的虚拟私有云的配置无误并且符合规范,进而提高了在对虚拟私有云进行管理和维护时的效率。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种云计算系统的配置装置,需要说明的是,本申请实施例的云计算系统的配置装置可以用于执行本申请实施例所提供的用于云计算系统的配置方法。以下对本申请实施例提供的云计算系统的配置装置进行介绍。
图3是根据本申请实施例提供的云计算系统的配置装置的示意图。如图3所示,该装置包括:创建单元31,添加单元32,关联单元33。
具体的,创建单元31,用于在云计算系统中创建用户的用户资源集合,其中,用户资源集合中包括多个虚拟私有云。
添加单元32,用于获取用户的用户信息,并根据用户信息在每个虚拟私有云中创建虚拟防火墙,得到多个目标虚拟私有云。
关联单元33,用于依次将每个目标虚拟私有云与用户资源集合中的其余目标虚拟私有云进行关联,并将目标虚拟私有云与对应的网络进行连接,得到配置完成的用户资源集合。
本申请实施例提供的云计算系统的配置装置,通过创建单元31,用于在云计算系统中创建用户的用户资源集合,其中,用户资源集合中包括多个虚拟私有云。添加单元32,用于获取用户的用户信息,并根据用户信息在每个虚拟私有云中创建虚拟防火墙,得到多个目标虚拟私有云。关联单元33,用于依次将每个目标虚拟私有云与用户资源集合中的其余目标虚拟私有云进行关联,并将目标虚拟私有云与对应的网络进行连接,得到配置完成的用户资源集合。解决了相关技术中在云计算系统中不同的用户分别进行网络配置,导致配置过程中存在风险并且维护难度较高的问题。通过对用户配置对应的防火墙,并将虚拟私有云之间进行关联,同时对虚拟私有云进行不同的网络连接的配置,进而达到了统一配置规范,并在配置后便于运维人员进行管理的效果。
可选地,在本申请实施例提供的云计算系统的配置装置中,用户信息包括用户领域和用户等级,添加单元32包括:第一获取模块,用于在对照表中获取用户领域对应的多种虚拟防火墙,其中,对照表中包括多个预设用户领域,以及每个预设用户领域对应的多种虚拟防火墙;第二获取模块,用于在用户等级为第一等级的情况下,从用户领域对应的多种虚拟防火墙中获取第一安全等级的防火墙,并将第一安全等级的防火墙分别配置在每个虚拟私有云中,得到多个目标虚拟私有云;第三获取模块,用于在用户等级为第二等级的情况下,从用户领域对应的多种虚拟防火墙中获取第一安全等级的防火墙以及第二安全等级的防火墙,将第一安全等级的防火墙分别配置在具有预设标识的虚拟私有云中,并将第二安全等级的防火墙配置在不具有预设标识的虚拟私有云中,得到多个目标虚拟私有云,其中,第一等级高于第二等级,第一安全等级高于第二安全等级,预设标识表征虚拟私有云具有与互联网进行连接的权限。
可选地,在本申请实施例提供的云计算系统的配置装置中,关联单元33包括:第一创建模块,用于在云计算系统中创建多个物理接口,其中,物理接口包括互联网接口和内网接口,互联网接口关联的物理交换机网关与互联网连接,内网接口关联的物理交换机网关与局域网连接;第一连接模块,用于从用户资源集合中获取具有预设标识的目标虚拟私有云,并将具有预设标识的目标虚拟私有云与互联网接口进行连接,其中,预设标识表征虚拟私有云具有与互联网进行连接的权限;第二连接模块,用于从用户资源集合中获取不具有预设标识的目标虚拟私有云,并将不具有预设标识的目标虚拟私有云与内网接口进行连接。
可选地,在本申请实施例提供的云计算系统的配置装置中,该装置还包括:判断用户信息中是否存在访问公有资源集合的访问需求,其中,公有资源集合存在于云计算系统中;第一获取单元,用于在用户信息中存在访问需求的情况下,从配置完成的用户资源集合中获取目标虚拟私有云,并将目标虚拟私有云与公有资源集合进行连接,其中,目标虚拟私有云为需要访问公有资源集合的虚拟私有云。
可选地,在本申请实施例提供的云计算系统的配置装置中,创建单元31包括:第二创建模块,用于通过云计算系统中的接口创建多个虚拟私有云,并获取创建虚拟私有云产生的返回信息,其中,返回信息为虚拟私有云的识别标识;第三创建模块,用于根据返回信息创建每个虚拟私有云对应的子网网段;确定模块,用于将多个虚拟私有云以及每个虚拟私有云对应的子网网段确定为用户资源集合。
可选地,在本申请实施例提供的云计算系统的配置装置中,该装置还包括:删除单元,用于删除云计算系统中的初始安全规则,并将预设安全规则添加至云计算系统中,其中,初始安全规则表征用户资源集合中的私有虚拟云的服务器之间具有互相访问的权限,预设安全规则表征云计算系统中的服务器之间具有互相访问的权限。
可选地,在本申请实施例提供的云计算系统的配置装置中,该装置还包括:第二获取单元,用于获取用户的身份信息,并判断用户的身份信息中是否包括预设令牌,其中,预设令牌表征具有对云计算系统执行操作的权限;执行单元,用于在用户的身份信息中包括预设令牌的情况下,执行在云计算系统中创建用户的用户资源集合的步骤;告警单元,用于在用户的身份信息中不包括预设令牌的情况下,发出告警信息,其中,告警信息用于指示云计算系统受到攻击。
上述云计算系统的配置装置包括处理器和存储器,上述创建单元31,添加单元32,关联单元33等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来相关技术中在云计算系统中不同的用户分别进行网络配置,导致配置过程中存在风险并且维护难度较高的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现所述云计算系统的配置方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述云计算系统的配置方法。
如图4所示,本发明实施例提供了一种电子设备,电子设备40包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:在云计算系统中创建用户的用户资源集合,其中,用户资源集合中包括多个虚拟私有云;获取用户的用户信息,并根据用户信息在每个虚拟私有云中创建虚拟防火墙,得到多个目标虚拟私有云;依次将每个目标虚拟私有云与用户资源集合中的其余目标虚拟私有云进行关联,并将目标虚拟私有云与对应的网络进行连接,得到配置完成的用户资源集合。本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:在云计算系统中创建用户的用户资源集合,其中,用户资源集合中包括多个虚拟私有云;获取用户的用户信息,并根据用户信息在每个虚拟私有云中创建虚拟防火墙,得到多个目标虚拟私有云;依次将每个目标虚拟私有云与用户资源集合中的其余目标虚拟私有云进行关联,并将目标虚拟私有云与对应的网络进行连接,得到配置完成的用户资源集合。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种云计算系统的配置方法,其特征在于,包括:
在云计算系统中创建用户的用户资源集合,其中,所述用户资源集合中包括多个虚拟私有云;
获取所述用户的用户信息,并根据所述用户信息在每个所述虚拟私有云中创建虚拟防火墙,得到多个目标虚拟私有云;
依次将每个所述目标虚拟私有云与所述用户资源集合中的其余目标虚拟私有云进行关联,并将所述目标虚拟私有云与对应的网络进行连接,得到配置完成的用户资源集合。
2.根据权利要求1所述的方法,其特征在于,所述用户信息包括用户领域和用户等级,根据所述用户信息向每个所述虚拟私有云添加虚拟防火墙,得到多个目标虚拟私有云包括:
在对照表中获取所述用户领域对应的多种虚拟防火墙,其中,所述对照表中包括多个预设用户领域,以及每个所述预设用户领域对应的多种虚拟防火墙;
在所述用户等级为第一等级的情况下,从所述用户领域对应的多种虚拟防火墙中获取第一安全等级的防火墙,并将所述第一安全等级的防火墙分别配置在每个所述虚拟私有云中,得到多个所述目标虚拟私有云;
在所述用户等级为第二等级的情况下,从所述用户领域对应的多种虚拟防火墙中获取所述第一安全等级的防火墙以及第二安全等级的防火墙,将所述第一安全等级的防火墙分别配置在具有预设标识的虚拟私有云中,并将所述第二安全等级的防火墙配置在不具有所述预设标识的虚拟私有云中,得到多个所述目标虚拟私有云,其中,所述第一等级高于所述第二等级,所述第一安全等级高于所述第二安全等级,所述预设标识表征所述虚拟私有云具有与互联网进行连接的权限。
3.根据权利要求1所述的方法,其特征在于,将所述目标虚拟私有云与对应的网络进行连接包括:
在所述云计算系统中创建多个物理接口,其中,所述物理接口包括互联网接口和内网接口,所述互联网接口关联的物理交换机网关与互联网连接,所述内网接口关联的物理交换机网关与局域网连接;
从所述用户资源集合中获取具有预设标识的目标虚拟私有云,并将所述具有预设标识的目标虚拟私有云与所述互联网接口进行连接,其中,所述预设标识表征所述虚拟私有云具有与互联网进行连接的权限;
从所述用户资源集合中获取不具有预设标识的目标虚拟私有云,并将所述不具有预设标识的目标虚拟私有云与所述内网接口进行连接。
4.根据权利要求1所述的方法,其特征在于,在得到配置完成的用户资源集合之后,所述方法还包括:
判断所述用户信息中是否存在访问公有资源集合的访问需求,其中,所述公有资源集合存在于所述云计算系统中;
在所述用户信息中存在所述访问需求的情况下,从所述配置完成的用户资源集合中获取目标虚拟私有云,并将所述目标虚拟私有云与所述公有资源集合进行连接,其中,所述目标虚拟私有云为需要访问所述公有资源集合的虚拟私有云。
5.根据权利要求1所述的方法,其特征在于,在云计算系统中创建用户的用户资源集合包括:
通过所述云计算系统中的接口创建多个虚拟私有云,并获取创建所述虚拟私有云产生的返回信息,其中,所述返回信息为所述虚拟私有云的识别标识;
根据所述返回信息创建每个虚拟私有云对应的子网网段;
将多个所述虚拟私有云以及每个所述虚拟私有云对应的子网网段确定为所述用户资源集合。
6.根据权利要求1所述的方法,其特征在于,在获取所述用户的用户信息之前,所述方法还包括:
删除所述云计算系统中的初始安全规则,并将预设安全规则添加至所述云计算系统中,其中,所述初始安全规则表征所述用户资源集合中的私有虚拟云的服务器之间具有互相访问的权限,所述预设安全规则表征所述云计算系统中的服务器之间具有互相访问的权限。
7.根据权利要求1所述的方法,其特征在于,在云计算系统中创建用户的用户资源集合之前,所述方法还包括:
获取所述用户的身份信息,并判断所述用户的身份信息中是否包括预设令牌,其中,所述预设令牌表征具有对所述云计算系统执行操作的权限;
在所述用户的身份信息中包括所述预设令牌的情况下,执行所述在云计算系统中创建用户的用户资源集合的步骤;
在所述用户的身份信息中不包括所述预设令牌的情况下,发出告警信息,其中,所述告警信息用于指示所述云计算系统受到攻击。
8.一种云计算系统的配置装置,其特征在于,包括:
创建单元,用于在云计算系统中创建用户的用户资源集合,其中,所述用户资源集合中包括多个虚拟私有云;
添加单元,用于获取所述用户的用户信息,并根据所述用户信息在每个所述虚拟私有云中创建虚拟防火墙,得到多个目标虚拟私有云;
关联单元,用于依次将每个所述目标虚拟私有云与所述用户资源集合中的其余目标虚拟私有云进行关联,并将所述目标虚拟私有云与对应的网络进行连接,得到配置完成的用户资源集合。
9.一种计算机存储介质,其特征在于,所述计算机存储介质用于存储程序,其中,所述程序运行时控制所述计算机存储介质所在的设备执行权利要求1至7中任意一项所述的云计算系统的配置方法。
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任意一项所述的云计算系统的配置方法。
CN202211228580.0A 2022-10-09 2022-10-09 云计算系统的配置方法、装置、存储介质以及电子设备 Pending CN115604103A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211228580.0A CN115604103A (zh) 2022-10-09 2022-10-09 云计算系统的配置方法、装置、存储介质以及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211228580.0A CN115604103A (zh) 2022-10-09 2022-10-09 云计算系统的配置方法、装置、存储介质以及电子设备

Publications (1)

Publication Number Publication Date
CN115604103A true CN115604103A (zh) 2023-01-13

Family

ID=84847177

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211228580.0A Pending CN115604103A (zh) 2022-10-09 2022-10-09 云计算系统的配置方法、装置、存储介质以及电子设备

Country Status (1)

Country Link
CN (1) CN115604103A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116248595A (zh) * 2023-03-15 2023-06-09 安超云软件有限公司 一种云内网与物理网通信的方法、装置、设备以及介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116248595A (zh) * 2023-03-15 2023-06-09 安超云软件有限公司 一种云内网与物理网通信的方法、装置、设备以及介质
CN116248595B (zh) * 2023-03-15 2024-02-02 安超云软件有限公司 一种云内网与物理网通信的方法、装置、设备以及介质

Similar Documents

Publication Publication Date Title
US8813225B1 (en) Provider-arbitrated mandatory access control policies in cloud computing environments
WO2021017279A1 (zh) 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质
JP6559694B2 (ja) 自動sdk受容
US8782748B2 (en) Online service access controls using scale out directory features
CN110035079B (zh) 一种蜜罐生成方法、装置及设备
EP3646549B1 (en) Firewall configuration manager
AU2015267296B2 (en) Method and apparatus for a scoring service for security threat management
EP2715971B1 (en) Automating cloud service reconnections
US10356155B2 (en) Service onboarding
CN103946834A (zh) 虚拟网络接口对象
US20170249480A1 (en) Privacy protection for third party data sharing
US11750652B2 (en) Generating false data for suspicious users
US10891357B2 (en) Managing the display of hidden proprietary software code to authorized licensed users
CN107426252A (zh) 提供web应用防火墙服务的方法和设备
US20220108031A1 (en) Cloud Core Architecture for Managing Data Privacy
US10547612B2 (en) System to resolve multiple identity crisis in indentity-as-a-service application environment
Kim et al. A secure smart-work service model based OpenStack for Cloud computing
JP2022094938A (ja) データアクセスを監視及び制御する為の方法、コンピュータ・プログラム、及びセキュリティシステムエージェント機器
CN115567398A (zh) 一种数据中心网络构建系统及其实现方法
CN115934202A (zh) 一种数据管理方法、系统、数据服务网关及存储介质
US10348765B2 (en) Policy enforcement based on dynamically attribute-based matched network objects
CN115604103A (zh) 云计算系统的配置方法、装置、存储介质以及电子设备
US10243957B1 (en) Preventing leakage of cookie data
US11736299B2 (en) Data access control for edge devices using a cryptographic hash
US11757976B2 (en) Unified application management for heterogeneous application delivery

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination