CN116170274A - 一种Web应用接入方法、装置、系统及计算设备 - Google Patents
一种Web应用接入方法、装置、系统及计算设备 Download PDFInfo
- Publication number
- CN116170274A CN116170274A CN202310147155.7A CN202310147155A CN116170274A CN 116170274 A CN116170274 A CN 116170274A CN 202310147155 A CN202310147155 A CN 202310147155A CN 116170274 A CN116170274 A CN 116170274A
- Authority
- CN
- China
- Prior art keywords
- target
- message
- access
- container
- web application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0246—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
- H04L41/0253—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols using browsers or web-pages for accessing management information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
一种Web应用接入方法,应用于服务器集群,服务器集群中包括至少一个服务器,该方法包括:获取堡垒机发送的第一消息,第一消息中包括目标用户的标识,目标用户为登录到堡垒机且选择接入目标Web应用的用户;响应于第一消息,基于目标用户的标识,创建与目标用户相关的目标容器;向堡垒机发送第二消息,第二消息中包括目标容器的访问地址,第二消息用于指示堡垒机通过目标容器接入目标Web应用。这样,通过以容器的形式提供跳板机,实现了对Web应用的高并发访问、跳板机的快速扩容,且维护成本低,安全性高。
Description
技术领域
本申请涉及信息技术(information technology,IT)技术领域,尤其涉及一种Web应用接入方法、装置、系统及计算设备。
背景技术
目前,为了加强对运维人员的操作监管、操作审计等,业界一般使用堡垒机来提供对内部IT资源的统一运维接入和操作审计等。对于内部Web应用程序(也称之为“Web应用”)的访问,需要在借助一个跳板机,即用户通过堡垒机接入跳板机,再在跳板机上去访问目标Web应用。但目前的跳板机常难以高并发访问、以及难以快速扩容,且维护成本较高,安全风险也较高。
发明内容
本申请提供了一种Web应用接入方法、装置、系统、计算设备、计算设备集群、计算机存储介质及计算机产品,能够实现对Web应用高并发访问、跳板机的快速扩容,且维护成本低,安全性高。
第一方面,本申请提供一种Web应用接入方法,应用于服务器集群,服务器集群中包括至少一个服务器,该方法包括:获取堡垒机发送的第一消息,第一消息中包括目标用户的标识,目标用户为登录到堡垒机且选择接入目标Web应用的用户;响应于第一消息,基于目标用户的标识,创建与目标用户相关的目标容器;向堡垒机发送第二消息,第二消息中包括目标容器的访问地址,第二消息用于指示堡垒机通过目标容器接入目标Web应用。
这样,通过以容器的形式提供跳板机,且可以为不同的用户配置不同的容器,使得多个用户可以同时进行访问Web应用,实现了高并发访问。而在扩容时由于是以容器的形式提供跳板机,因此,并不需要中断服务,提升了用户体验,且可以实现快速扩容。另外,由于是以容器的形式提供跳板机,因此,在进行升级时,只需对容器镜像进行升级即可,维护简单,且对用户无感。此外,每个用户所使用的容器均不同,由此实现了数据隔离和会话隔离,提升了安全性。示例性的,当另一个用户通过堡垒机选择某个Web应用时,服务器集群可以为该用户配置一个其专属的容器,之后,堡垒机可以通过该容器接入到该用户所需访问的Web应用。
在一种可能的实现方式中,第一消息中还包括目标Web应用的标识,目标容器的网络访问策略为仅能访问目标Web应用。由此以使得目标用户利用目标容器仅能访问目标Web应用,从而利用网络隔离的方式减少了目标用户的非法操作带来的风险。
在一种可能的实现方式中,基于目标用户的标识,创建与目标用户相关的目标容器,具体包括:基于目标用户的标识,从预先配置的容器镜像中筛选出与目标用户的标识相匹配的目标容器镜像;基于目标容器镜像,创建目标容器。由此以创建出目标用户专属的容器。
在一种可能的实现方式中,目标容器中安装有图形用户界面界面和浏览器。
在一种可能的实现方式中,堡垒机和目标容器间通过远程桌面协议通信。
在一种可能的实现方式中,该方法还包括:获取堡垒机发送的第三消息,第三消息用于指示目标用户结束访问目标Web应用;响应于第三消息,释放目标容器。由此以实现资源回收,提升资源利用率。
第二方面,本申请提供一种Web应用接入装置,部署于服务器集群,服务器集群中包括至少一个服务器,该装置包括:通信模块和处理模块。其中,通信模块,用于获取堡垒机发送的第一消息,第一消息中包括目标用户的标识,目标用户为登录到堡垒机且选择接入目标Web应用的用户。处理模块,用于响应于第一消息,基于目标用户的标识,创建与目标用户相关的目标容器。通信模块,还用于向堡垒机发送第二消息,第二消息中包括目标容器的访问地址,第二消息用于指示堡垒机通过目标容器接入目标Web应用。
在一种可能的实现方式中,第一消息中还包括目标Web应用的标识,目标容器的网络访问策略为仅能访问目标Web应用。
在一种可能的实现方式中,处理模块在基于目标用户的标识,创建与目标用户相关的目标容器时,具体用于:基于目标用户的标识,从预先配置的容器镜像中筛选出与目标用户的标识相匹配的目标容器镜像;基于目标容器镜像,创建目标容器。
在一种可能的实现方式中,目标容器中安装有图形用户界面界面和浏览器。
在一种可能的实现方式中,堡垒机和目标容器间通过远程桌面协议通信。
在一种可能的实现方式中,通信模块,还用于获取堡垒机发送的第三消息,第三消息用于指示目标用户结束访问目标Web应用;处理模块,还用于响应于第三消息,释放目标容器。
第三方面,本申请提供一种Web应用接入系统,其特征在于,包括堡垒机和服务器集群,服务器集群中包括至少一个服务器。其中,堡垒机,用于在获取到登录到其上的目标用户选择接入目标Web应用后,向服务器集群发送第一消息,第一消息中包括目标用户的标识。服务器集群,用于响应于第一消息,基于目标用户的标识,创建与目标用户相关的目标容器,以及,向堡垒机发送第二消息,第二消息中包括目标容器的访问地址,第二消息用于指示堡垒机通过目标容器接入目标Web应用。堡垒机,还用于响应于第二消息,基于目标容器的访问地址接入目标容器建立连接,以及,通过目标容器接入目标Web应用。
在一种可能的实现方式中,第一消息中还包括目标Web应用的标识,目标容器的网络访问策略为仅能访问目标Web应用。
在一种可能的实现方式中,服务器集群在基于目标用户的标识,创建与目标用户相关的目标容器时,具体用于:基于目标用户的标识,从预先配置的容器镜像中筛选出与目标用户的标识相匹配的目标容器镜像;基于目标容器镜像,创建目标容器。
在一种可能的实现方式中,目标容器中安装有图形用户界面界面和浏览器。
在一种可能的实现方式中,堡垒机和目标容器间通过远程桌面协议通信。
在一种可能的实现方式中,堡垒机,还用于在目标用户结束访问目标Web应用时,向服务器集群发送第三消息,第三消息用于指示目标用户结束访问目标Web应用;服务器集群,还用于响应于第三消息,释放目标容器。
第四方面,本申请提供一种计算设备,包括:至少一个存储器,用于存储程序;至少一个处理器,用于执行存储器存储的程序;其中,当存储器存储的程序被执行时,处理器用于执行第一方面或第一方面的任一种可能的实现方式所描述的方法。
第五方面,本申请提供一种计算设备集群,包括至少一个计算设备,每个计算设备均包括处理器和存储器;至少一个计算设备的处理器用于执行至少一个计算设备的存储器中存储的指令,以使得计算设备集群执行第一方面或第一方面的任一种可能的实现方式所描述的方法。
第六方面,本申请提供一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,当计算机程序在处理器上运行时,使得处理器执行第一方面或第一方面的任一种可能的实现方式所描述的方法。
第七方面,本申请提供一种计算机程序产品,当计算机程序产品在处理器上运行时,使得处理器执行第一方面或第一方面的任一种可能的实现方式所描述的方法。
可以理解的是,上述第二方面至第七方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
附图说明
图1是本申请实施例提供的一种Web应用接入过程的示意图;
图2是本申请实施例提供的一种堡垒机上的显示界面示意图;
图3是本申请实施例提供的一种Web应用接入系统的架构示意图;
图4是本申请实施例提供的一种Web应用接入过程的示意图;
图5是本申请实施例提供的一种堡垒机上的显示界面示意图;
图6是本申请实施例提供的一种Web应用接入方法的流程示意图;
图7是本申请实施例提供的一种Web应用接入装置的结构示意图;
图8是本申请实施例提供的一种计算设备的结构示意图;
图9是本申请实施例提供的一种计算设备集群的结构示意图。
具体实施方式
本文中术语“和/或”,是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本文中符号“/”表示关联对象是或者的关系,例如A/B表示A或者B。
本文中的说明书和权利要求书中的术语“第一”和“第二”等是用于区别不同的对象,而不是用于描述对象的特定顺序。例如,第一响应消息和第二响应消息等是用于区别不同的响应消息,而不是用于描述响应消息的特定顺序。
在本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
在本申请实施例的描述中,除非另有说明,“多个”的含义是指两个或者两个以上,例如,多个处理单元是指两个或者两个以上的处理单元等;多个元件是指两个或者两个以上的元件等。
首先,对本申请涉及的一部分技术术语进行介绍。
(1)Web应用
Web应用是指可以通过浏览器以超文本传输协议(hyper text transferprotocol,HTTP)协议访问的应用,如各种网站、内部IT系统等。
(2)堡垒机
堡垒机也称之为做运维安全审计系统,其可以提供各类设备的运维接入和安全审计能力。
(3)跳板机
跳板机一般是指具有图形用户界面(graphics user interface,GUI)的Windows或Linux机器。用户可以通过堡垒机接入到跳板机上,然后在跳板机上进行访问Web应用。其中,堡垒机和跳板机之间可以通过远程桌面(remote desktop protocol,RDP)协议进行通信。示例性的,可以使用Windows Server作为跳板机。
示例性的,图1示出了本申请实施例提供的一种接入Web应用的过程示意图。如图1所示,用户可以先登录到堡垒机。接着,如图2所示,在堡垒机的用户界面上可以显示出各个Web应用和相应的跳板机之间的关联关系,即图2中区域21所显示的内容。接着,用户可以选择某个Web应用并选择连接,例如,继续参阅图2,当用户选择访问Web应用1时,其可以点击“选择”按键22。之后,堡垒机可以通过其在跳板机上为该用户创建的账户和密码等,以及RDP协议,自动接入到跳板机。最后,用户在堡垒机上可以通过远程控制的方式在跳板机上的浏览器上访问其所需访问的Web应用。
在图1中,由于跳板机存在性能瓶颈,因此常需要对跳板机进行扩容。一般地,可以通过增加跳板机的数量或者对跳板机的硬件进行升级的方式进行扩容。当通过增加跳板机的数量进行扩容时,常需要在每个跳板机上均为各个用户创建账户和密码等,且常需要先中断服务;当通过升级跳板机的硬件时,也常需要先中断服务。因此,不管是通过增加跳板机的数量进行扩容,还是通过升级跳板机的硬件进行扩容,均难以快速实现对跳板机的扩容,且需要中段服务才能扩容,严重影响用户体验。另外,跳板机上的用户管理、数据清理、跳板机的系统升级、跳板机的系统漏洞修复等均需人工处理,且系统升级需要中断服务,致使跳板机的维护成本较高。此外,由于跳板机是被多人共享,且需要提前打通跳板机与各个Web应用间的网络链路,因此,登录到跳板机上的所有用户均可以访问到跳板机所能访问的Web应用,这使得一些权限较高的Web应用容易被一些权限较低的用户访问,致使出现安全隐患。同时,多个用户也不能同时登录一个跳板机,即多个用户无法无法通过一个跳板机实现高并发访问。
有鉴于此,本申请实施例提供了一种Web应用接入方法,其可以以容器的形式提供跳板机,且可以为不同的用户分配不同的容器,使得多个用户可以同时进行访问Web应用,实现了高并发访问。而在扩容时由于是以容器的形式提供跳板机,因此,并不需要中断服务,提升了用户体验,且可以实现快速扩容。另外,由于是以容器的形式提供跳板机,因此,在进行升级时,只需对容器镜像进行升级即可,维护简单,且对用户无感。此外,每个用户所使用的容器均不同,由此实现了数据隔离和会话隔离,提升了安全性。
示例性的,图3示出了本申请实施例提供的一种Web应用接入系统的架构示意图。如图3所示,该系统中包括:堡垒机310和服务器集群320。
对于堡垒机310,详见上文描述,此处不再赘述。在一些实施例中,堡垒机310可以为云管理平台。其中,云管理平台可提供与公有云服务相关的页面以供租户远程访问公有云服务,租户可通过预先注册的账号密码在公有云访问页面登录云管理平台,并在登录成功之后,在公有云访问页面选择并购买对应的公有云服务,例如对象存储服务、虚拟机服务、容器服务等。
服务器集群320主要是用于提供容器服务,其可以包括至少一个服务器。在服务器集群320中可以配置有用于管理容器的容器引擎(比如Dcoker、Kubernetes等)。该容器引擎可以是统一的容器资源管理平台,其可以提供容器下发、网络配置、状态监控、资源回收等能力。堡垒机310和服务器集群320之间可以通过有线网络或无线网络进行通信。当用户在堡垒机310上选择访问某个Web应用后,堡垒机310可以向服务器集群320请求一个与该用户相关的容器。服务器320在获取到堡垒机310的请求后,可以利用容器引擎创建出与该用户相关的容器,并将该容器的访问地址等发送至堡垒机310。最后,堡垒机310可以通过RDP协议与服务器集群320创建出的容器进行通信,并通过该容器接入到相应的Web应用。
为便于理解,下面基于图3所示的接入Web应用的系统描述接入Web应用的过程。
示例性的,图4示出了本申请实施例提供的一种接入Web应用的过程示意图。如图4所示,在S401,用户A可以先登录到堡垒机310,并在堡垒机310上选择访问某个Web应用(以下称之为“Web应用B”)。示例性的,用户A可以利用为其分配的用户名等登录到堡垒机310,以使得堡垒机310获知到此时登录到其上的用户的信息。在用户A登录到堡垒机310后,堡垒机310可以显示出预先设定的各个Web应用,以及相应的“连接”按键,例如,堡垒机310可以显示如图5所示的界面。在图5中,当用户A点击“连接”按键51后,堡垒机310则获知到用户A需要访问Web应用B。
在S402,当用户A在堡垒机310上选择访问Web应用B后,堡垒机310可以向服务器集群320发送用于创建与用户A相关的容器的请求,该请求中可以但不限于包含用户A的标识。示例性的,堡垒机310可以通过HTTP协议等调用用于服务器集群320上容器引擎的接口,以下发用于创建与用户A相关的容器的请求。
在S403,服务器集群320在获取到堡垒机310发送的请求后,可以通过其上的容器引擎,并由预先设定的与该用户A相关的容器镜像等创建出专属于用户A的容器(以下称之为“容器C”),以及将容器C的访问地址发送至堡垒机310。其中,创建容器所需的容器镜像可灵活选用,安装有图形用户界面并预置浏览器、支持远程桌面协议接入即可。示例性的,容器引擎在创建容器C时,可以在容器C中设置专门供用户A访问的用户名和密码,由此以避免其他的用户接入到容器C,提升安全保证。
在S404,堡垒机310基于容器C的访问地址等,并通过RDP协议连接到容器C。
在S405,堡垒机310在接入到容器C中后,用户A可以在容器C中打开浏览器,并访问Web应用B进行运维操作。
这样,由于在访问Web应用时是以容器的形式提供跳板机,因此,多个用户可以同时进行访问,实现了高并发访问。对于服务器集群320则可以根据实际情况进行扩容,且在扩容时由于是以容器的形式提供跳板机,因此,并不需要中断服务,提升了用户体验,且可以实现快速扩容,例如,可以快速增加服务器集群320中服务器的数量,或者,升级某个服务器的硬件等。另外,由于是以容器的形式提供跳板机,因此,在进行升级时,只需对容器镜像进行升级即可,维护简单,且对用户无感。此外,每个用户所使用的容器均不同,由此实现了数据隔离和会话隔离,提升了安全性。
在一些实施例中,在S405之后,当用户A完成对Web应用B的操作,且退出容器C时,堡垒机310可以通知服务器集群320,以使得服务器集群320通过其上的容器引擎释放容器C,完成资源回收,降低资源占用率。示例性的,堡垒机310可以调用服务器集群320上的容器引擎的接口,以使得服务器集群320释放容器C。
在一些实施例中,在S402中,堡垒机310下发的请求中还可以包括Web应用B的标识(比如Web应用B的访问地址等)。此时,在S403中,服务器集群320在创建容器C时,还可以设定用户A的访问权限仅为Web应用B,由此以使得用户A利用容器C仅能访问Web应用B,从而利用网络隔离的方式减少了用户A的非法操作带来的风险。也即是说,可以在用户访问Web应用时,为跳板机动态、精确生成最小化的网络控制策略。
以上即是对本申请实施例提供的Web应用接入系统和过程的介绍。接下来,基于上述内容对本申请实施例提供的Web接入方法进行介绍。
示例性的,图6示出了本申请实施例提供的一种Web接入方法的流程示意图。图6所示的Web接入方法主要涉及前述图3或4中描述的堡垒机310和服务器集群320。如图6所示,该Web接入方法可以包括以下步骤:
S601、堡垒机310在获取到登录到其上的目标用户选择接入目标Web应用后,向服务器集群320发送第一消息,第一消息中包括目标用户的标识。
本实施例中,目标用户在登录到堡垒机310后,可以选择接入目标Web应用。在目标用户完成选择后,堡垒机310即获取到登录到其上的目标用户选择接入目标Web应用。之后,堡垒机310可以向服务器集群320发送包括目标用户的标识的第一消息。在一些实施例中,第一消息中还包括目标Web应用的标识。
S602、响应于第一消息,服务器集群320基于目标用户的标识,创建与目标用户相关的目标容器。
本实施例中,服务器集群320获取到第一消息后,可以响应于该消息,并基于该消息中携带的目标用户的标识,并利用其上的容器引擎等,创建与目标用户相关的目标容器。示例性的,服务器集群320可以基于目标用户的标识,从预先配置的容器镜像中筛选出与目标用户的标识相匹配的目标容器镜像;然后,在利用容器引擎并基于目标容器镜像,创建出目标容器。详见前述图4中的描述,此处不再赘述。示例性的,目标容器中安装有图形用户界面界面和浏览器。其中,目标容器为目标用户专属的容器。
在一些实施例中,当第一消息中还包括目标Web应用的标识时,在创建目标容器时,还可以将目标容器的网络访问策略设定为仅能访问目标Web应用,由此以使得目标用户利用目标容器仅能访问目标Web应用,从而利用网络隔离的方式减少了目标用户的非法操作带来的风险。
S603、服务器集群320向堡垒机310发送第二消息,第二消息中包括目标容器的访问地址,第二消息用于指示堡垒机310通过目标容器接入目标Web应用。
本实施例中,服务器集群320在创建出目标容器后,可以向堡垒机310发送第二消息,第二消息中包括目标容器的访问地址,第二消息用于指示堡垒机310通过目标容器接入目标Web应用。
S604、响应于第二消息,堡垒机310基于目标容器的访问地址接入目标容器建立连接,以及,通过目标容器接入目标Web应用。
本实施例中,堡垒机310在获取到第二消息后,可以先基于该消息中携带的目标容器的访问地址接入到目标容器,以建立起两者间的通信链路。之后,堡垒机310可以通过目标容器接入目标Web应用。例如,目标用户可以在堡垒机310上对目标容器进行操控,当用户通过堡垒机310打开目标容器中的浏览器,并输入目标Web应用的访问地址后,堡垒机310即可以目标容器接入目标Web应用。示例性的,堡垒机310和目标容器间可以通过远程桌面协议进行通信。
由此,通过以容器的形式提供跳板机,且可以为不同的用户配置不同的容器,使得多个用户可以同时进行访问Web应用,实现了高并发访问。而在扩容时由于是以容器的形式提供跳板机,因此,并不需要中断服务,提升了用户体验,且可以实现快速扩容。另外,由于是以容器的形式提供跳板机,因此,在进行升级时,只需对容器镜像进行升级即可,维护简单,且对用户无感。此外,每个用户所使用的容器均不同,由此实现了数据隔离和会话隔离,提升了安全性。
在一些实施例中,在S604之后,当目标用户结束访问目标Web应用时,堡垒机310还可以向服务器集群320发送第三消息,该第三消息用于指示目标用户结束访问目标Web应用。之后,服务器集群320可以响应于第三消息,释放目标容器,由此以实现资源回收,提升资源利用率。
可以理解的是,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。此外,在一些可能的实现方式中,上述实施例中的各步骤可以根据实际情况选择性执行,可以部分执行,也可以全部执行,此处不做限定。
基于上述实施例中的方法,本申请实施例还提供了一种Web应用接入装置。
示例性的,图7示出了一种Web应用接入装置的结构示意图。图7中所示的Web应用接入装置可以部署于前述图3中所描述的服务器集群320。如图7所示,Web应用接入装置700可以包括:通信模块701和处理模块702。其中,通信模块701,用于获取堡垒机发送的第一消息,第一消息中包括目标用户的标识,目标用户为登录到堡垒机且选择接入目标Web应用的用户。处理模块702,用于响应于第一消息,基于目标用户的标识,创建与目标用户相关的目标容器。通信模块701,还用于向堡垒机发送第二消息,第二消息中包括目标容器的访问地址,第二消息用于指示堡垒机通过目标容器接入目标Web应用。
在一些实施例中,第一消息中还包括目标Web应用的标识,目标容器的网络访问策略为仅能访问目标Web应用。
在一些实施例中,处理模块702在基于目标用户的标识,创建与目标用户相关的目标容器时,具体用于:基于目标用户的标识,从预先配置的容器镜像中筛选出与目标用户的标识相匹配的目标容器镜像;基于目标容器镜像,创建目标容器。
在一些实施例中,目标容器中安装有图形用户界面界面和浏览器。
在一些实施例中,堡垒机和目标容器间通过远程桌面协议通信。
在一些实施例中,通信模块701,还用于获取堡垒机发送的第三消息,第三消息用于指示目标用户结束访问目标Web应用;处理模块702,还用于响应于第三消息,释放目标容器。
在一些实施例中,通信模块701和处理模块702均可以通过软件实现,或者可以通过硬件实现。示例性的,接下来以通信模块701为例,介绍通信模块701的实现方式。类似的,处理模块702的实现方式可以参考通信模块701的实现方式。
模块作为软件功能单元的一种举例,通信模块701可以包括运行在计算实例上的代码。其中,计算实例可以包括物理主机(计算设备)、虚拟机、容器中的至少一种。进一步地,上述计算实例可以是一台或者多台。例如,通信模块701可以包括运行在多个主机/虚拟机/容器上的代码。需要说明的是,用于运行该代码的多个主机/虚拟机/容器可以分布在相同的区域(region)中,也可以分布在不同的region中。进一步地,用于运行该代码的多个主机/虚拟机/容器可以分布在相同的可用区(availability zone,AZ)中,也可以分布在不同的AZ中,每个AZ包括一个数据中心或多个地理位置相近的数据中心。其中,通常一个region可以包括多个AZ。
同样,用于运行该代码的多个主机/虚拟机/容器可以分布在同一个虚拟私有云(virtual private cloud,VPC)中,也可以分布在多个VPC中。其中,通常一个VPC设置在一个region内,同一region内两个VPC之间,以及不同region的VPC之间跨区通信需在每个VPC内设置通信网关,经通信网关实现VPC之间的互连。
模块作为硬件功能单元的一种举例,通信模块701可以包括至少一个计算设备,如服务器等。或者,通信模块701也可以是利用专用集成电路(application-specificintegrated circuit,ASIC)实现、或可编程逻辑器件(programmable logic device,PLD)实现的设备等。其中,上述PLD可以是复杂程序逻辑器件(complex programmable logicaldevice,CPLD)、现场可编程门阵列(field-programmable gate array,FPGA)、通用阵列逻辑(generic array logic,GAL)或其任意组合实现。
通信模块701包括的多个计算设备可以分布在相同的region中,也可以分布在不同的region中。通信模块701包括的多个计算设备可以分布在相同的AZ中,也可以分布在不同的AZ中。同样,通信模块701包括的多个计算设备可以分布在同一个VPC中,也可以分布在多个VPC中。其中,所述多个计算设备可以是服务器、ASIC、PLD、CPLD、FPGA和GAL等计算设备的任意组合。
需要说明的是,在其他实施例中,通信模块701可以用于执行前述所描述的方法中的任意步骤,通信模块701可以用于执行上述实施例提供的方法中的任意步骤,处理模块402可以用于执行上述实施例提供的方法中的任意步骤,或者,通信模块701和处理模块702负责实现的步骤可根据需要指定,通过通信模块701和处理模块702分别实现上述实施例提供的方法中不同的步骤来实现Web应用接入装置700的全部功能。
本申请还提供一种计算设备800。如图8所示,计算设备800包括:总线802、处理器804、存储器806和通信接口808。处理器804、存储器806和通信接口808之间通过总线802通信。计算设备800可以是服务器或终端设备。应理解,本申请不限定计算设备800中的处理器、存储器的个数。
总线802可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条线表示,但并不表示仅有一根总线或一种类型的总线。总线804可包括在计算设备800各个部件(例如,存储器806、处理器804、通信接口808)之间传送信息的通路。
处理器804可以包括中央处理器(central processing unit,CPU)、图形处理器(graphics processing unit,GPU)、微处理器(micro processor,MP)或者数字信号处理器(digital signal processor,DSP)等处理器中的任意一种或多种。
存储器806可以包括易失性存储器(volatile memory),例如随机存取存储器(random access memory,RAM)。处理器804还可以包括非易失性存储器(non-volatilememory),例如只读存储器(read-only memory,ROM),快闪存储器,机械硬盘(hard diskdrive,HDD)或固态硬盘(solid state drive,SSD)。
存储器806中存储有可执行的程序代码,处理器804执行该可执行的程序代码以分别实现前述通信模块701和处理模块702的功能,从而实现上述实施例中方法的全部或部分步骤。也即,存储器806上存有用于执行上述实施例方法中全部或部分步骤的指令。
或者,存储器806中存储有可执行的代码,处理器804执行该可执行的代码以分别实现前述Web应用接入装置700的功能,从而实现上述实施例方法中全部或部分步骤。也即,存储器806上存有用于执行上述实施例方法中全部或部分步骤的指令。
通信接口803使用例如但不限于网络接口卡、收发器一类的收发模块,来实现计算设备800与其他设备或通信网络之间的通信。
本申请实施例还提供了一种计算设备集群。该计算设备集群包括至少一台计算设备。该计算设备可以是服务器,例如是中心服务器、边缘服务器,或者是本地数据中心中的本地服务器。在一些实施例中,计算设备也可以是台式机、笔记本电脑或者智能手机等终端设备。
如图9所示,所述计算设备集群包括至少一个计算设备800。计算设备集群中的一个或多个计算设备800中的存储器806中可以存有相同的用于执行上述实施例方法中全部或部分步骤的指令。
在一些可能的实现方式中,该计算设备集群中的一个或多个计算设备800的存储器806中也可以分别存有用于执行上述实施例方法中全部或部分步骤的部分指令。换言之,一个或多个计算设备800的组合可以共同执行用于执行上述实施例方法中全部或部分步骤的指令。
需要说明的是,计算设备集群中的不同的计算设备800中的存储器806可以存储不同的指令,分别用于执行Web应用接入装置700的部分功能。也即,不同的计算设备800中的存储器806存储的指令可以实现前述通信模块701和处理模块702中的一个或多个模块的功能。
在一些可能的实现方式中,计算设备集群中的一个或多个计算设备可以通过网络连接。其中,所述网络可以是广域网或局域网等等。
基于上述实施例中的方法,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,当计算机程序在处理器上运行时,使得处理器执行上述实施例中的方法。
基于上述实施例中的方法,本申请实施例提供了一种计算机程序产品,当计算机程序产品在处理器上运行时,使得处理器执行上述实施例中的方法。
可以理解的是,本申请的实施例中的处理器可以是中央处理单元(centralprocessing unit,CPU),还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
本申请的实施例中的方法步骤可以通过硬件的方式来实现,也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(random access memory,RAM)、闪存、只读存储器(read-only memory,ROM)、可编程只读存储器(programmable rom,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
可以理解的是,在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的实施例的范围。
Claims (12)
1.一种Web应用接入方法,其特征在于,应用于服务器集群,所述服务器集群中包括至少一个服务器,所述方法包括:
获取堡垒机发送的第一消息,所述第一消息中包括目标用户的标识,所述目标用户为登录到所述堡垒机且选择接入目标Web应用的用户;
响应于所述第一消息,基于所述目标用户的标识,创建与所述目标用户相关的目标容器;
向所述堡垒机发送第二消息,所述第二消息中包括所述目标容器的访问地址,所述第二消息用于指示所述堡垒机通过所述目标容器接入所述目标Web应用。
2.根据权利要求1所述的方法,其特征在于,所述第一消息中还包括所述目标Web应用的标识,所述目标容器的网络访问策略为仅能访问所述目标Web应用。
3.根据权利要求1或2所述的方法,其特征在于,所述基于所述目标用户的标识,创建与所述目标用户相关的目标容器,具体包括:
基于所述目标用户的标识,从预先配置的容器镜像中筛选出与所述目标用户的标识相匹配的目标容器镜像;
基于所述目标容器镜像,创建所述目标容器。
4.根据权利要求1-3任一所述的方法,其特征在于,所述目标容器中安装有图形用户界面界面和浏览器。
5.根据权利要求1-4任一所述的方法,其特征在于,所述堡垒机和所述目标容器间通过远程桌面协议通信。
6.根据权利要求1-5任一所述的方法,其特征在于,所述方法还包括:
获取所述堡垒机发送的第三消息,所述第三消息用于指示所述目标用户结束访问所述目标Web应用;
响应于所述第三消息,释放所述目标容器。
7.一种Web应用接入装置,其特征在于,部署于服务器集群,所述服务器集群中包括至少一个服务器,所述装置包括:
通信模块,用于获取堡垒机发送的第一消息,所述第一消息中包括目标用户的标识,所述目标用户为登录到所述堡垒机且选择接入目标Web应用的用户;
处理模块,用于响应于所述第一消息,基于所述目标用户的标识,创建与所述目标用户相关的目标容器;
所述通信模块,还用于向所述堡垒机发送第二消息,所述第二消息中包括所述目标容器的访问地址,所述第二消息用于指示所述堡垒机通过所述目标容器接入所述目标Web应用。
8.一种Web应用接入系统,其特征在于,包括堡垒机和服务器集群,所述服务器集群中包括至少一个服务器;
所述堡垒机,用于在获取到登录到其上的目标用户选择接入目标Web应用后,向所述服务器集群发送第一消息,所述第一消息中包括目标用户的标识;
所述服务器集群,用于响应于所述第一消息,基于所述目标用户的标识,创建与所述目标用户相关的目标容器,以及,向所述堡垒机发送第二消息,所述第二消息中包括所述目标容器的访问地址;
所述堡垒机,还用于响应于所述第二消息,基于所述目标容器的访问地址接入所述目标容器建立连接,以及,通过所述目标容器接入所述目标Web应用。
9.一种计算设备,其特征在于,包括:
至少一个存储器,用于存储程序;
至少一个处理器,用于执行所述存储器存储的程序;
其中,当所述存储器存储的程序被执行时,所述处理器用于执行如权利要求1-6任一所述的方法。
10.一种计算设备集群,其特征在于,包括至少一个计算设备,每个计算设备均包括处理器和存储器;
所述至少一个计算设备的处理器用于执行所述至少一个计算设备的存储器中存储的指令,以使得所述计算设备集群执行如权利要求1-6任一所述的方法。
11.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,当所述计算机程序在处理器上运行时,使得所述处理器执行如权利要求1-6任一所述的方法。
12.一种计算机程序产品,其特征在于,当所述计算机程序产品在处理器上运行时,使得所述处理器执行如权利要求1-6任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310147155.7A CN116170274A (zh) | 2023-02-02 | 2023-02-02 | 一种Web应用接入方法、装置、系统及计算设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310147155.7A CN116170274A (zh) | 2023-02-02 | 2023-02-02 | 一种Web应用接入方法、装置、系统及计算设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116170274A true CN116170274A (zh) | 2023-05-26 |
Family
ID=86417934
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310147155.7A Pending CN116170274A (zh) | 2023-02-02 | 2023-02-02 | 一种Web应用接入方法、装置、系统及计算设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116170274A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117118799A (zh) * | 2023-10-20 | 2023-11-24 | 杭州优云科技有限公司 | 一种服务器集群的带外管理方法、装置及电子设备 |
-
2023
- 2023-02-02 CN CN202310147155.7A patent/CN116170274A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117118799A (zh) * | 2023-10-20 | 2023-11-24 | 杭州优云科技有限公司 | 一种服务器集群的带外管理方法、装置及电子设备 |
| CN117118799B (zh) * | 2023-10-20 | 2024-02-27 | 杭州优云科技有限公司 | 一种服务器集群的带外管理方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9614737B1 (en) | Appliance backnets in dedicated resource environment | |
| CN106462467B (zh) | 在不同分布式网络上针对消费服务的集成api和ui | |
| US9753758B1 (en) | Building of virtual servers in a cloud via non-structured strings | |
| US11190407B2 (en) | Internet of things device discovery and configuration | |
| US8341705B2 (en) | Method, apparatus, and computer product for managing operation | |
| CN112653618B (zh) | 微服务应用api端点的网关注册方法及装置 | |
| US8224941B2 (en) | Method, apparatus, and computer product for managing operation | |
| CN106506503B (zh) | 一种用于促使b/s和c/s混合架构的用户终端行为统一的系统和方法 | |
| CN113495921A (zh) | 一种数据库集群的路由方法和装置 | |
| CN111885080B (zh) | 一种登录服务架构、服务器及客户端 | |
| CN111985906A (zh) | 一种远程办公系统、方法、装置及存储介质 | |
| CN116170274A (zh) | 一种Web应用接入方法、装置、系统及计算设备 | |
| CN111726328B (zh) | 用于对第一设备进行远程访问的方法、系统以及相关设备 | |
| US10447818B2 (en) | Methods, remote access systems, client computing devices, and server devices for use in remote access systems | |
| CN113032805B (zh) | 一种数据访问方法、装置、电子设备及存储介质 | |
| US9577967B2 (en) | Method and system for managing an informational site using a social networking application | |
| CN115665265B (zh) | 请求处理方法、装置、设备、存储介质及系统 | |
| CN110351130B (zh) | 一种设备信息的管理方法、装置及系统 | |
| US20150304237A1 (en) | Methods and systems for managing access to a location indicated by a link in a remote access system | |
| US11757976B2 (en) | Unified application management for heterogeneous application delivery | |
| JP7445017B2 (ja) | ユーザ識別子および署名収集を利用したモバイルアプリケーション偽造・変造探知方法、コンピュータプログラム、コンピュータ読み取り可能な記録媒体およびコンピュータ装置 | |
| US20140201839A1 (en) | Identification and alerting of network devices requiring special handling maintenance procedures | |
| WO2024055669A1 (zh) | 针对边缘站点的云数据中心接入方法及云管理平台 | |
| US20230419067A1 (en) | ENHANCED QUICK RESPONSE (qr) CODE SCAN SECURITY | |
| US11671495B2 (en) | Information processing system, information processing method and recording medium recording information processing program for presenting specific information to a user terminal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |