CN115941766A - 一种运维数据的处理方法和装置 - Google Patents
一种运维数据的处理方法和装置 Download PDFInfo
- Publication number
- CN115941766A CN115941766A CN202211465655.7A CN202211465655A CN115941766A CN 115941766 A CN115941766 A CN 115941766A CN 202211465655 A CN202211465655 A CN 202211465655A CN 115941766 A CN115941766 A CN 115941766A
- Authority
- CN
- China
- Prior art keywords
- reverse proxy
- proxy component
- tcp
- tcp session
- bastion machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012423 maintenance Methods 0.000 title claims abstract description 116
- 238000003672 processing method Methods 0.000 title description 15
- 238000000034 method Methods 0.000 claims abstract description 40
- 238000012545 processing Methods 0.000 claims abstract description 16
- 238000012544 monitoring process Methods 0.000 claims abstract description 14
- 230000000977 initiatory effect Effects 0.000 claims abstract description 10
- 238000012795 verification Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 16
- 238000007726 management method Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 6
- 238000013507 mapping Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种运维数据的处理方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括通过反向代理组件向堡垒机发起TCP连接请求;监听到反向代理组件与堡垒机的TCP连接建立,获取反向代理组件与堡垒机的第一TCP会话;建立与反向代理组件的TCP连接,获取与反向代理组件的第二TCP会话;将第一TCP会话和第二TCP会话建立桥接关系,获取堡垒机发送的运维数据。从而,本发明的实施方式能够解决现有运维管理时暴露云服务器端口的技术问题。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种运维数据的处理方法和装置。
背景技术
目前,云服务器的应用十分普遍,为用户提供了高效、稳定、高性价比的计算存储服务,因此被广泛应用于存储业务数据,可以极大地降低存储数据所需硬件配置成本。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
用户在对云服务器运维管理时,每个云服务器或每个云平台跳板机均需公网IP地址,并对公网开放运维端口,在提高云主机成本的同时还增加了暴露运维端口的风险,扩大了云服务器的被攻击暴露面,尤其在发生网络嗅探、网络定向威胁攻击的时候,如果无法及时处理,会对云平台所承载的业务造成严重损失。另外,跳板机作为云平台上的关键运维节点,一旦发生被黑客攻击或种木马等事件,对云平台所承载业务同样会造成巨大的影响。
发明内容
有鉴于此,本发明实施例提供一种运维数据的处理方法和装置,能够解决现有运维管理时暴露云服务器端口的技术问题。
为实现上述目的,根据本发明实施例的一个方面,提供了一种运维数据的处理方法,包括通过反向代理组件向堡垒机发起TCP连接请求;监听到反向代理组件与堡垒机的TCP连接建立,获取反向代理组件与堡垒机的第一TCP会话;建立与反向代理组件的TCP连接,获取与反向代理组件的第二TCP会话;将第一TCP会话和第二TCP会话建立桥接关系,获取堡垒机发送的运维数据。
可选地,通过反向代理组件向堡垒机发起TCP连接请求之前,包括:在运维对象或者与运维对象处在同一云平台的跳板机上部署反向代理组件。
可选地,监听到反向代理组件与堡垒机的TCP连接建立之后,包括:通过反向代理组件向堡垒机发送鉴权信息,监听到堡垒机对所述鉴权信息验证通过,建立反向代理组件与堡垒机的TCP会话。
可选地,获取反向代理组件与堡垒机的第一TCP会话,包括:从堡垒机的连接池中获取反向代理组件与堡垒机的第一TCP会话。
可选地,从堡垒机的连接池中获取反向代理组件与堡垒机的第一TCP会话之后,包括:获取第一TCP会话中的地址信息,建立所述地址信息对应的端口与反向代理组件的TCP连接。
可选地,建立与反向代理组件的TCP连接,包括:通过云平台内网建立与反向代理组件的TCP连接。
可选地,获取堡垒机发送的运维数据之后,还包括:接收到堡垒机发起的第一TCP连接关闭请求,或接收到运维对象发起的第二TCP连接关闭请求,关闭第一TCP连接或第二TCP连接,并中断第一TCP会话与第二TCP会话的桥接关系。。
另外,本发明还提供了一种运维数据的处理装置,包括获取模块,用于通过反向代理组件向堡垒机发起TCP连接请求,用于监听到反向代理组件与堡垒机的TCP连接建立,获取反向代理组件与堡垒机的第一TCP会话,用于建立与反向代理组件的TCP连接,获取与反向代理组件的第二TCP会话;接收模块,用于将第一TCP会话和第二TCP会话建立桥接关系,以获取堡垒机发送的运维数据。
上述发明中的一个实施例具有如下优点或有益效果:本发明通过在运维对象或与运维对象处于同一云平台的跳板机上部署反向代理组件,并通过反向代理组件向堡垒机发起TCP连接请求,实现了云平台与堡垒机连接的过程,规避了跳板机或云服务器对公网暴露端口的风险;并且,通过反向代理组件向堡垒机发送鉴权信息,并在堡垒机验证通过后,建立反向代理组件与堡垒机TCP会话,建立了云平台和堡垒机安全可靠的常驻会话,确认了堡垒机所连接的跳板机设备信息准确无误,提高了对云服务器运维管理服务过程的可靠性与稳定性;同时,将建立完成的反向代理组件与堡垒机TCP会话,即第一TCP会话存储至堡垒机的连接池,待发起运维时再从连接池中获取第一TCP会话,并通过所述第一TCP会话发送运维对象地址信息至反向代理组件,通过对于第一TCP会话的存储管理,从而做到对于第一TCP会话的即取即用,压缩了发起运维前的等待TCP连接的时间,因此提高了对云服务器运维管理的服务效率;另外,通过建立第一TCP会话和第二TCP会话的桥接关系,获取堡垒机发送的运维数据,建立了堡垒机会话(即第一TCP会话)与运维对象会话(即第二TCP会话)的一一对应关系,以在云平台中运维对象端接收到堡垒机端发送的运维数据,完成了堡垒机与云服务器逻辑连接的搭建,达到对云服务器进行可靠、精准的运维管理的效果。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明第一实施例的运维数据的处理方法的主要流程的示意图;
图2是根据本发明实施例的适用场景示意图;
图3是根据本发明实施例的连接池存储结构示意图;
图4是根据本发明第二实施例的运维数据的处理方法的主要流程的示意图;
图5是根据本发明第三实施例的运维数据的处理方法的主要流程的示意图;
图6是根据本发明实施例的运维数据的处理装置的主要模块的示意图;
图7是本发明实施例可以应用于其中的示例性系统架构图;
图8是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1是根据本发明第一实施例的运维数据的处理方法的主要流程的示意图,如图1所示,所述运维数据的处理方法包括:
步骤S101,通过反向代理组件向堡垒机发起TCP连接请求。
在实施例中,反向代理组件也称agent,在通过反向代理组件向堡垒机发起TCP连接请求之前,在运维对象或者与运维对象处在同一云平台的跳板机上部署反向代理组件,使用反向代理组件,将云服务器或云平台跳板机与堡垒机通过TCP连接的方式取得连接,规避了云服务器或跳板机需对公网开放运维端口的风险,有效减少了云服务器或跳板机的攻击暴露面,提高了云网络所承载业务的安全保障。
示例的,在进行反向代理组件的部署时,如图2所示,可以部署在云主机的服务器或云平台的跳板机上。若将反向代理组件部署在云主机的服务器上,则所述反向代理组件代理建立用户A、堡垒机1与一个云服务器所包括的端口之间的连接关系;若将反向代理组件部署在云平台的跳板机上,则需在跳板机上为其所连的多个云服务器分配账号,所述反向代理组件代理建立用户B、堡垒机2与多个云服务器,即云平台服务器1和云平台服务器2和云平台服务器3所包括的端口之间的连接关系。
步骤S102,监听到反向代理组件与堡垒机的TCP连接建立,获取反向代理组件与堡垒机的第一TCP会话。
在实施例中,为了确保反向代理组件与堡垒机之间的TCP连接准确无误,避免堡垒机连接错误的运维对象导致运维数据泄露的情况的的发生,在监听到反向代理组件与堡垒机的TCP连接建立之后,通过反向代理组件向堡垒机发送鉴权信息,监听到堡垒机对所述鉴权信息验证通过,建立反向代理组件与堡垒机的第一TCP会话。
示例的,通过反向代理组件向堡垒机发送的鉴权信息为基于gRPC协议的Token机制的一种安全认证形式。gRPC全称为Google Remote Procedure Call,即Google远程过程调用协议,为管理和配置网络设备提供了一种涉及应用程序接口的方法,基于gRPC协议可以使通信双方只需聚焦于业务,而无需关注由gRPC协议框架封装的底层通信。Token是一种可用于TCP连接的鉴权方法,Token中文释义即令牌,令牌的生成规则由用户端自定义,其具体鉴权流程为:用户端第一次登录后服务端生成令牌发送给服务端,此后用户端在令牌过期后,只需要向服务端发送所述令牌以及生成所述令牌必需的参数,服务端根据所述令牌的生成规则和所述生成令牌必须的参数,生成所述令牌,则表明本次鉴权过程经服务端验证通过。进一步的示例,完成第一TCP连接后,反向代理组件使用基于gRPC协议的Token鉴权方法,自定义令牌。反向代理组件发送设备指纹sha256(CPUID+磁盘ID+网卡MAC),即经安全散列算法2加密过后的CPU识别码+磁盘识别码+网卡物理地址,和当前时间戳和令牌校验信息至堡垒机的Cmgr模块,所述Cmgr模块即为连接管理模块,负责对反向代理组件发起的TCP连接进行生命周期的管理,所述Cmgr模块基于Token鉴权规则对接收到的鉴权信息进行验证,如果不通过则关机连接,如果通过则保持此连接为长期连接,即所述的第一TCP会话。在TCP连接的基础上加入Token鉴权方法,不仅省去了反向代理组件所在主机分配公网IP,公开运维端口的高风险行为,还建立了堡垒机与反向代理组件可靠、稳定、保密度高的连接,有效提高了对云服务器运维管理过程的安全性能。
在另一些实施例中,建立反向代理组件与堡垒机的第一TCP会话后,保持所述会话并加入连接池,以待用户通过堡垒机发起运维时,再从堡垒机的连接池中获取反向代理组件与堡垒机的第一TCP会话。
示例的,堡垒机将与反向代理组件的第一TCP会话,存储至堡垒机中负责堡垒机与跳板机间连接管理的Cmgr模块的连接池中,连接池使用的是Go语言自研的经哈希算法封装的链表结构HashMap,如图3所示,其存储内容为键值对映射关系,对于存入连接池的所述第一TCP会话,键为跳板机ID,值为所述第一TCP会话的描述符,涉及的程序语言包括:SessionPool.Set(jumperId,session))。连接池存储机制的设立,节省了用户发起运维前TCP连接建立的等待时间,因而避免了TCP连接机制等待时间较长的缺点,并且,获取已有的TCP连接所采用的HashMap结构,其优点就在于具有很快的访问速度,能够进一步压缩对云服务器进行运维管理前等待的时间。
在另一些实施例中,从堡垒机的连接池中获取反向代理组件与堡垒机的第一TCP会话之后,堡垒机将运维对象的地址信息通过第一TCP会话发送至反向代理组件,反向代理组件接收到第一TCP会话信息后,获取第一TCP会话中的地址信息,解析所述地址信息中运维对象端口信息,建立所述地址信息对应的端口与反向代理组件的TCP连接。示例的,从堡垒机的连接池中获取反向代理组件与堡垒机的第一TCP会话,具体操作为根据运维对象所在云平台中跳板机ID,从HashMap结构中访问得到跳板机ID具有映射关系的第一TCP会话描述符,操作所需的程序语言包括:Session:=SessionPool.Get(jumperId)。进一步地示例,当云平台跳板机的反向代理组件接收到第一TCP会话信息,信息中标识此会话代理的地址为5号数据库的3306端口,即为地址信息对应的端口信息。运维端口仅通过完成鉴权的TCP会话传输,而不会面对公网开放,也不需要分配公网IP地址,有效维护了云服务器运维对象的隐私性能。
步骤S103,建立与反向代理组件的TCP连接,获取与反向代理组件的第二TCP会话。
在实施例中,通过第一TCP会话信息获取运维对象地址的端口信息后,通过云平台内网建立所述运维端口和反向代理组件的TCP连接。示例的,跳板机通过反向代理组件的第一TCP会话获取运维端口为云平台5号数据库的3306端口,通过云平台内网,跳板机通过反向代理组件发起TCP连接至5号数据库的3306端口。因为跳板机与运维对象处于同一云平台,跳板机使用云平台内网时已核验其设备信息,因此在跳板机通过反向代理组件向运维端口发起第二TCP连接的过程中,未设置鉴权流程,省去重复的步骤以进一步提高对云服务器进行运维管理的效率。
步骤S104,将第一TCP会话和第二TCP会话建立桥接关系,获取堡垒机发送的运维数据。
在实施例中,反向代理组件与运维对象之间的第二TCP会话建立后,根据反向代理组件与堡垒机的第一TCP会话信息中运维对象的地址信息,绑定第一TCP会话和与所述运维对象地址信息对应的第二TCP会话,建立已绑定的两个TCP会话之间的一一对应关系,进而将从第一TCP会话读取的数据转发至第二TCP会话,或者将从第二TCP会话读取的数据转发至第一TCP会话,完成了所述第一TCP会话和第二TCP会话的桥接关系的建立,确保了堡垒机端与运维对象端均能接收到对方端发送的运维数据信息,为堡垒机与运维对象提供了准确、可行、可靠、稳定的逻辑连接。示例的,堡垒机通过第一TCP会话发送的运维数据为安全外壳协议、远程桌面协议、数据库协议,通过第一TCP会话与第二TCP会话之间的绑定关系,转发第一TCP会话数据信息至第二TCP会话,运维对象通过第二TCP会话获取得到运维信息为安全外壳协议、远程桌面协议、数据库协议。
在一些实施例中,执行完步骤S104,且确认完成对所述运维对象的运维管理之后,可以关闭并释放堡垒机与运维对象之间的逻辑连接,具体步骤包括:接收到堡垒机发起的第一TCP连接关闭请求,或接收到运维对象发起的第二TCP连接关闭请求,关闭第一TCP连接或第二TCP连接,并中断第一TCP会话与第二TCP会话的桥接关系。示例的,若接收到第一TCP连接关闭请求,则关闭第一TCP连接和第二TCP连接,并中断对应的桥接关系;若接收到第二TCP连接关闭请求,则关闭第二TCP连接,并所述第二TCP连接对应的桥接关系。在完成运维管理后关闭相应的TCP连接与其对应的桥接关系,不仅释放了其占用的运行内存,而且恢复了运维对象和堡垒机的隔离状态,保障了云平台内网的稳定性,进一步降低了云平台中的运维对象被网络攻击的风险。
图4是根据本发明第二实施例的运维数据的处理方法的主要流程的示意图,所述运维数据的处理方法包括:
步骤S401,在运维对象所在云平台服务器上部署反向代理组件。
步骤S402,通过反向代理组件向堡垒机发起TCP连接请求。
步骤S403,通过反向代理组件向堡垒机发送鉴权信息,监听到堡垒机对所述鉴权信息验证通过,建立反向代理组件与堡垒机的第一TCP会话。
步骤S404,将所述第一TCP会话存入堡垒机的连接池中。
步骤S405,接收到用户发起运维请求,从堡垒机的连接池中获取所述第一TCP会话。
步骤S406,获取第一TCP会话中的地址信息,通过云平台内网建立所述地址信息对应的端口与反向代理组件的TCP连接。
步骤S407,获取与反向代理组件的第二TCP会话。
步骤S408,将第一TCP会话和第二TCP会话建立桥接关系,获取堡垒机发送的运维数据。
较佳地,根据反向代理组件与堡垒机的第一TCP会话信息中运维对象的地址信息,绑定第一TCP会话和与所述运维对象地址信息对应的第二TCP会话,建立已绑定的两个TCP会话之间的一一对应关系,进而将从第一TCP会话读取的数据转发至第二TCP会话,或者将从第二TCP会话读取的数据转发至第一TCP会话,以完成所述第一TCP会话和第二TCP会话的桥接关系的建立。
步骤S409,接收到堡垒机发起的第一TCP连接关闭请求,或接收到运维对象发起的第二TCP连接关闭请求,关闭第一TCP连接或第二TCP连接,并中断第一TCP会话与第二TCP会话的桥接关系。
图5是根据本发明第三实施例的运维数据的处理方法的主要流程的示意图,所述运维数据的处理方法包括:
步骤S501,在与运维对象处在同一云平台的跳板机上部署反向代理组件。
步骤S502,通过反向代理组件向堡垒机发起TCP连接请求。
步骤S503,通过反向代理组件向堡垒机发送鉴权信息,监听到堡垒机对所述鉴权信息验证通过,建立反向代理组件与堡垒机的第一TCP会话。
较佳地,堡垒机中负责堡垒机与跳板机会话管理的Cmgr模块对收从第一TCP连接收到的鉴权信息进行验证,如果验证通过则保持所述连接为长期连接,如果验证未通过则关闭所述连接。
步骤S504,将所述第一TCP会话存入堡垒机Cmgr模块的连接池中。
较佳地,将所述第一TCP会话存储入堡垒机中负责堡垒机与反向代理组件会话管理的Cmgr模块的连接池中,存储结构为键值对映射表,即根据跳板机ID映射第一TCP会话描述符。
较佳地,涉及程序语言为SessionPool.Set(jumperId,session))。
步骤S505,接收到用户发起运维请求,从堡垒机Cmgr模块的连接池中获取所述第一TCP会话。
较佳地,根据运维对象所在云平台中跳板机ID,从HashMap结构中访问得到跳板机ID具有映射关系的第一TCP会话描述符。
较佳地,涉及程序语言为Session:=SessionPool.Get(jumperId)。
步骤S506,获取第一TCP会话中的地址信息,通过云平台内网建立所述地址信息对应的端口与反向代理组件的TCP连接。
步骤S507,获取与反向代理组件的第二TCP会话。
步骤S508,将第一TCP会话和第二TCP会话建立桥接关系,获取堡垒机发送的运维数据。
较佳地,根据反向代理组件与堡垒机的第一TCP会话信息中运维对象的地址信息,绑定第一TCP会话和与所述运维对象地址信息对应的第二TCP会话,建立已绑定的两个TCP会话之间的一一对应关系,进而将从第一TCP会话读取的数据转发至第二TCP会话,或者将从第二TCP会话读取的数据转发至第一TCP会话,以完成所述第一TCP会话和第二TCP会话的桥接关系的建立。
步骤S509,接收到堡垒机发起的第一TCP连接关闭请求,或接收到运维对象发起的第二TCP连接关闭请求,关闭第一TCP连接或第二TCP连接,并中断第一TCP会话与第二TCP会话的桥接关系。
图6是根据本发明实施例的运维数据的处理装置的主要模块的示意图,如图6所示,所述运维数据的处理装置600包括获取模块601、接收模块602。其中,获取模块601用于通过反向代理组件向堡垒机发起TCP连接请求,用于监听到反向代理组件与堡垒机的TCP连接建立,获取反向代理组件与堡垒机的第一TCP会话,用于建立与反向代理组件的TCP连接,获取与反向代理组件的第二TCP会话;接收模块602用于将第一TCP会话和第二TCP会话建立桥接关系,以获取堡垒机发送的运维数据。
在一些实施例中,获取模块601通过反向代理组件向堡垒机发起TCP连接请求之前,还用于:在运维对象或者与运维对象处在同一云平台的跳板机上部署反向代理组件。
在一些实施例中,获取模块601将监听到反向代理组件与堡垒机的TCP连接建立之后,包括:通过反向代理组件向堡垒机发送鉴权信息,监听到堡垒机对所述鉴权信息验证通过,建立反向代理组件与堡垒机的TCP会话。
在一些实施例中,获取模块601获取反向代理组件与堡垒机的第一TCP会话,包括:从堡垒机的连接池中获取反向代理组件与堡垒机的第一TCP会话。
在一些实施例中,获取模块601从堡垒机的连接池中获取反向代理组件与堡垒机的第一TCP会话之后,包括:获取第一TCP会话中的地址信息,建立所述地址信息对应的端口与反向代理组件的TCP连接。
在一些实施例中,获取模块601建立与反向代理组件的TCP连接,包括:通过云平台内网建立与反向代理组件的TCP连接。
在一些实施例中,获取模块601获取堡垒机发送的运维数据之后,包括:接收到堡垒机发起的第一TCP连接关闭请求,或接收到运维对象发起的第二TCP连接关闭请求,关闭第一TCP连接或第二TCP连接,并中断第一TCP会话与第二TCP会话的桥接关系。需要说明的是,在本发明所述运维数据的处理方法和所述运维数据的处理装置在具体实施内容上具有相应关系,故重复内容不再说明。
图7示出了可以应用本发明实施例的运维数据的处理方法或运维数据的处理装置的示例性系统架构700。
如图7所示,系统架构700可以包括终端设备701、702、703,网络704和服务器705。网络704用以在终端设备701、702、703和服务器705之间提供通信链路的介质。网络704可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备701、702、703通过网络704与服务器705交互,以接收或发送消息等。终端设备701、702、703上可以安装有各种通讯客户端应用。
终端设备701、702、703可以是具有页面显示处理屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器705可以是提供各种服务的服务器,例如对用户利用终端设备701、702、703提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果(例如目标推送信息、产品信息--仅为示例)反馈给终端设备。
需要说明的是,本发明实施例所提供的运维数据的处理方法一般由服务器705执行,相应地,计算装置一般设置于服务器705中。
应该理解,图7中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图8,其示出了适于用来实现本发明实施例的终端设备的计算机系统800的结构示意图。图8示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图8所示,计算机系统800包括中央处理单元(CPU)801,其可以根据存储在只读存储器(ROM)802中的程序或者从存储部分808加载到随机访问存储器(RAM)803中的程序而执行各种适当的动作和处理。在RAM803中,还存储有计算机系统800操作所需的各种程序和数据。CPU801、ROM802以及RAM803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。
以下部件连接至I/O接口805:包括键盘、鼠标等的输入部分805;包括诸如阴极射线管(CRT)、液晶运维数据的处理器(LCD)等以及扬声器等的输出部分806;包括硬盘等的存储部分808;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器810上,以便于从其上读出的计算机程序根据需要被安装入存储部分808。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分809从网络上被下载和安装,和/或从可拆卸介质811被安装。在该计算机程序被中央处理单元(CPU)801执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括获取模块、接收模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括通过反向代理组件向堡垒机发起TCP连接请求;监听到反向代理组件与堡垒机的TCP连接建立,获取反向代理组件与堡垒机的第一TCP会话;建立与反向代理组件的TCP连接,获取与反向代理组件的第二TCP会话;将第一TCP会话和第二TCP会话建立桥接关系,获取堡垒机发送的运维数据。
根据本发明实施例的技术方案,能够解决现有运维管理时暴露云服务器端口的技术问题。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种运维数据的处理方法,其特征在于,包括:
通过反向代理组件向堡垒机发起TCP连接请求;
监听到反向代理组件与堡垒机的TCP连接建立,获取反向代理组件与堡垒机的第一TCP会话;
建立与反向代理组件的TCP连接,获取与反向代理组件的第二TCP会话;
将第一TCP会话和第二TCP会话建立桥接关系,获取堡垒机发送的运维数据。
2.根据权利要求1所述的方法,其特征在于,通过反向代理组件向堡垒机发起TCP连接请求之前,包括:
在运维对象或者与运维对象处在同一云平台的跳板机上部署反向代理组件。
3.根据权利要求1所述的方法,其特征在于,监听到反向代理组件与堡垒机的TCP连接建立之后,包括:
通过反向代理组件向堡垒机发送鉴权信息,监听到堡垒机对所述鉴权信息验证通过,建立反向代理组件与堡垒机的TCP会话。
4.根据权利要求1所述的方法,其特征在于,获取反向代理组件与堡垒机的第一TCP会话,包括:
从堡垒机的连接池中获取反向代理组件与堡垒机的第一TCP会话。
5.根据权利要求4所述的方法,其特征在于,从堡垒机的连接池中获取反向代理组件与堡垒机的第一TCP会话之后,包括:
获取第一TCP会话中的地址信息,建立所述地址信息对应的端口与反向代理组件的TCP连接。
6.根据权利要求1所述的方法,其特征在于,建立与反向代理组件的TCP连接,包括:
通过云平台内网建立与反向代理组件的TCP连接。
7.根据权利要求1所述的方法,其特征在于,获取堡垒机发送的运维数据之后,包括:
接收到堡垒机发起的第一TCP连接关闭请求,或接收到运维对象发起的第二TCP连接关闭请求,关闭第一TCP连接或第二TCP连接,并中断第一TCP会话与第二TCP会话的桥接关系。
8.一种运维数据的处理装置,其特征在于,包括:
获取模块,用于通过反向代理组件向堡垒机发起TCP连接请求;用于监听到反向代理组件与堡垒机的TCP连接建立,获取反向代理组件与堡垒机的第一TCP会话;用于建立与反向代理组件的TCP连接,获取与反向代理组件的第二TCP会话;
接收模块,用于将第一TCP会话和第二TCP会话建立桥接关系,以获取堡垒机发送的运维数据。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211465655.7A CN115941766A (zh) | 2022-11-22 | 2022-11-22 | 一种运维数据的处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211465655.7A CN115941766A (zh) | 2022-11-22 | 2022-11-22 | 一种运维数据的处理方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115941766A true CN115941766A (zh) | 2023-04-07 |
Family
ID=86655001
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211465655.7A Pending CN115941766A (zh) | 2022-11-22 | 2022-11-22 | 一种运维数据的处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115941766A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116319794A (zh) * | 2023-04-18 | 2023-06-23 | 安元科技股份有限公司 | 一种云端系统与复杂网络下项目通信的解决方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7171681B1 (en) * | 2001-01-31 | 2007-01-30 | Secure Computing Corporation | System and method for providing expandable proxy firewall services |
CN106332142A (zh) * | 2016-09-14 | 2017-01-11 | 深圳市信锐网科技术有限公司 | 一种网络访问的配置方法及控制端 |
CN111818100A (zh) * | 2020-09-04 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 一种跨网配置通道的方法、相关设备及存储介质 |
CN113301106A (zh) * | 2021-03-23 | 2021-08-24 | 阿里巴巴新加坡控股有限公司 | 运维处理系统、方法以及装置 |
CN115296848A (zh) * | 2022-07-05 | 2022-11-04 | 北京瑞和云图科技有限公司 | 一种基于多局域网环境的堡垒机系统及堡垒机访问方法 |
-
2022
- 2022-11-22 CN CN202211465655.7A patent/CN115941766A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7171681B1 (en) * | 2001-01-31 | 2007-01-30 | Secure Computing Corporation | System and method for providing expandable proxy firewall services |
CN106332142A (zh) * | 2016-09-14 | 2017-01-11 | 深圳市信锐网科技术有限公司 | 一种网络访问的配置方法及控制端 |
CN111818100A (zh) * | 2020-09-04 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 一种跨网配置通道的方法、相关设备及存储介质 |
CN113301106A (zh) * | 2021-03-23 | 2021-08-24 | 阿里巴巴新加坡控股有限公司 | 运维处理系统、方法以及装置 |
CN115296848A (zh) * | 2022-07-05 | 2022-11-04 | 北京瑞和云图科技有限公司 | 一种基于多局域网环境的堡垒机系统及堡垒机访问方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116319794A (zh) * | 2023-04-18 | 2023-06-23 | 安元科技股份有限公司 | 一种云端系统与复杂网络下项目通信的解决方法及系统 |
CN116319794B (zh) * | 2023-04-18 | 2023-10-24 | 安元科技股份有限公司 | 一种云端系统与复杂网络下项目通信的解决方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210297410A1 (en) | Mec platform deployment method and apparatus | |
CN113630377B (zh) | 托管移动设备的单点登录 | |
US11632247B2 (en) | User security token invalidation | |
US10135763B2 (en) | System and method for secure and efficient communication within an organization | |
US11914986B2 (en) | API gateway self paced migration | |
CN109450766B (zh) | 一种工作区级vpn的访问处理方法及装置 | |
CN113595927A (zh) | 一种旁路模式下镜像流量的处理方法和装置 | |
CN112187491A (zh) | 服务器的管理方法、装置和设备 | |
CN114124929A (zh) | 跨网络的数据处理方法和装置 | |
CN111464528A (zh) | 网络安全防护方法、系统、计算设备和存储介质 | |
CN115941766A (zh) | 一种运维数据的处理方法和装置 | |
CN113691602B (zh) | 基于云手机的业务处理方法、系统、装置、设备及介质 | |
CN109936618B (zh) | 用于集群应用负载均衡的长轮询方法和系统 | |
CN112953719A (zh) | 一种令牌认证方法和装置 | |
US9450906B2 (en) | Managing a messaging queue in an asynchronous messaging system | |
CN114238928A (zh) | 一种远程服务器管理的方法和装置 | |
CN114518909A (zh) | 基于api网关的授权信息配置方法、装置、设备和存储介质 | |
CN108833418B (zh) | 用于防御攻击的方法、装置和系统 | |
US9270621B1 (en) | Securely providing messages from the cloud | |
CN112929453A (zh) | 一种共享session数据的方法和装置 | |
CN113703880B (zh) | 应用程序的启动方法、装置、电子设备及可读存储介质 | |
CN115037572B (zh) | 一种应用请求的识别方法和装置 | |
US20240134723A1 (en) | Technology and protocol agnostic key-value pair based user interface and data rendering to support a transaction | |
CN114422808B (zh) | 云手机交互方法、装置、电子设备和存储介质 | |
WO2023103890A1 (zh) | 扩容方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |