CN116405567A - 用户资源管理方法、系统、设备及存储介质 - Google Patents

Abstract

本申请实施例提供一种用户资源管理方法、系统、设备及存储介质。在本申请实施例中，堡垒机跨VPC环境管理用户资源时，可向部署于专用网络中的管控服务节点请求该堡垒机与未绑定的VPC之间的网络通道；管控服务节点可响应堡垒机的请求，利用私有网络接口技术，建立堡垒机与未绑定的VPC之间的网络通道。这样，堡垒机可基于该网络通道跨VPC环境对其它VPC下的用户资源进行管理，实现了堡垒机跨VPC环境管理用户资源。另一方面，由于堡垒机和管控服务节点都设置于专用网络中，上述堡垒机跨VPC环境管理用户资源涉及的设备无需暴露在公网中，可降低堡垒机跨VPC环境管理用户资源过程的公网暴露面，有助于提高VPC环境下用户资源的安全性。

Description

用户资源管理方法、系统、设备及存储介质

技术领域

本申请涉及云计算技术领域，尤其涉及一种用户资源管理方法、系统、设备及存储介质。

背景技术

堡垒机，可在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监测和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责等。

在云计算环境下，堡垒机管理用户资源，一般只能运维单虚拟私有云(VirtualPrivate Cloud，VPC)环境下的用户资源，一旦堡垒机绑定了某个VPC，其它VPC环境下的用户资源便无法导入堡垒机，堡垒机也就无法管理其它VPC环境下的用户资源。

发明内容

本申请的多个方面提供一种用户资源管理方法、系统、设备及存储介质，用以实现堡垒机跨VPC管理用户资源。

第一方面，本申请实施例提供一种用户资源管理方法，适用于管控服务节点；所述管控服务节点和堡垒机设置于专用网络；所述方法包括：

获取所述堡垒机发送的网络通道请求；所述堡垒机绑定有第一虚拟私有云VPC；所述网络通道请求用于请求所述堡垒机与第二VPC之间的网络通道；所述第二VPC未与所述堡垒机绑定；

响应于所述网络通道请求，利用私有网络接口技术，建立所述堡垒机与所述第二VPC之间的网络通道，以供所述堡垒机基于所述网络通道对所述第二VPC环境下的用户资源进行管理。

第二方面，本申请实施例还提供一种用户资源管理方法，适用于堡垒机，所述堡垒机设置于专用网络，且绑定有第一虚拟私有云VPC；所述方法包括：

请求设置于专用网络的管控服务节点提供所述堡垒机与第二VPC之间的网络通道，以供所述管控服务节点利用私有网络接口技术建立所述堡垒机与所述第二VPC之间的网络通道；所述第二VPC未与所述堡垒机绑定；

基于所述堡垒机与所述第二VPC之间的网络通道，对所述第二VPC环境下的用户资源进行管理。

第三方面，本申请实施例还提供一种资源管理系统，部署于专用网络的堡垒机和管控服务节点；所述系统还包括：所述堡垒机绑定的第一虚拟私有云VPC及未与所述堡垒机绑定的第二VPC；所述第一VPC和所述第二VPC环境下设置有用户资源；所述堡垒机用于管理所述第一VPC环境下的用户资源；

所述管控服务节点用于执行上述第一方面提供的用户资源管理方法中的步骤；

所述堡垒机用于执行上述第二方面提供的用户资源管理方法中的步骤。

第四方面，本申请实施例还提供一种电子设备，包括：存储器、处理器及通信组件；其中，所述存储器，用于存储计算机程序；

所述处理器耦合至所述存储器及所述通信组件，用于执行所述计算机程序以用于执行上述管控服务节点执行的方法中的步骤，和/或，上述堡垒机执行的方法中的步骤。

第五方面，本申请实施例还提供一种存储有计算机指令的计算机可读存储介质，当所述计算机指令被一个或多个处理器执行时，致使所述一个或多个处理器执行上述管控服务节点执行的方法中的步骤，和/或，上述堡垒机执行的方法中的步骤。

在本申请实施例中，堡垒机跨VPC环境管理用户资源时，可向部署于专用网络中的管控服务节点请求该堡垒机与未绑定的VPC之间的网络通道；管控服务节点可响应堡垒机的请求，利用私有网络接口技术，建立堡垒机与未绑定的VPC之间的网络通道。这样，堡垒机可基于该网络通道跨VPC环境对其它VPC下的用户资源进行管理，实现了堡垒机跨VPC环境管理用户资源。另一方面，由于堡垒机和管控服务节点都设置于专用网络中，上述堡垒机跨VPC环境管理用户资源涉及的设备均无需暴露在公网中，可降低堡垒机跨VPC环境管理用户资源过程中的暴露面，有助于提高VPC环境下用户资源的安全性。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为传统方案提供的堡垒机跨VPC环境管理用户资源的管理系统示例图；

图2为本申请实施例提供的资源管理系统的结构示意图；

图3为本申请实施例提供的堡垒机跨VPC环境管理用户资源的过程示意图；

图4为本申请实施例提供的单通道连接创建过程示意图；

图5为本申请实施例提供的任意通道连接创建过程示意图；

图6和图7为本申请实施例提供的用户资源管理方法的流程示意图；

图8为本申请实施例提供的电子设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

用户资源是指用户具有的有形或无形资产的资源形态，设置于虚拟私有云(Virtual Private Cloud，VPC)环境下。VPC环境下的用户资产包括但不局限于：用户的服务器、网络设备、安全设备、数据库及云服务实例(Elastic Compute Service，ECS)等中的一种或多种，但不限于此。多种是指2种或2种以上。其中，数据库包括但不局限于：关系型数据库(Relational Database Service，RDS)及对象存储(Object Storage Service，OSS)数据库等。

在云计算环境下，堡垒机管理用户资源，一般只能运维单虚拟私有云(VirtualPrivate Cloud，VPC)环境下的用户资源，一旦堡垒机绑定了某个VPC，其它VPC环境下的用户资源便无法导入堡垒机，堡垒机也就无法管理其它VPC环境下的用户资源。

在实际应用中，存在堡垒机跨VPC环境管理用户资源的需求。在传统方案中，堡垒机跨VPC环境管理用户资源。如图1所示，在对跨VPC的用户资源进行管理运维前，在被管理的VPC环境(如图1中VPC-A和VPC-B)中配置一台网络代理服务器，该网络代理服务器与VPC环境下的用户资源，通过VPC的内网进行互通。即如图1所示，网络代理服务器可通过VPC的私有网际协议(Internet Protocol，IP)地址访问VPC环境下的用户资源。网络代理服务器与堡垒机之间通过公网进行网络互通。一般地，网络代理服务器与堡垒机之间通过公网的服务器负载均衡(Server Load Balancing，SLB)服务实现网络互通。这样，堡垒机与多个VPC环境下的用户资源可通过网络代理服务器实现网络互通，之后，堡垒机对应的管理员可登录堡垒机，并通过堡垒机与多个VPC之间的网络链路，对多个VPC环境下的用户资源进行管理，实现堡垒机跨VPC管理用户资源。

上述方案中，堡垒机跨VPC管理用户资源过程中，需要申请公网SLB，增大了风险暴露面，存在一定的安全隐患。

针对上述技术问题，本申请一些实施例提供一种新的堡垒机跨VPC管理用户资源的方案。具体地，堡垒机跨VPC环境管理用户资源时，可向部署于专用网络中的管控服务节点请求该堡垒机与未绑定的VPC之间的网络通道；管控服务节点可响应堡垒机的请求，利用私有网络接口技术，建立堡垒机与未绑定的VPC之间的网络通道。这样，堡垒机可基于该网络通道跨VPC环境对其它VPC下的用户资源进行管理，实现了堡垒机跨VPC环境管理用户资源。

另一方面，由于堡垒机和管控服务节点都设置于专用网络中，上述堡垒机跨VPC环境管理用户资源涉及的设备均无需暴露在公网中，可降低堡垒机跨VPC环境管理用户资源过程中的暴露面，有助于提高VPC环境下用户资源的安全性。

以下结合附图，详细说明本申请各实施例提供的技术方案。

应注意到：相同的标号在下面的附图以及实施例中表示同一物体，因此，一旦某一物体在一个附图或实施例中被定义，则在随后的附图和实施例中不需要对其进行进一步讨论。

图2为本申请实施例提供的资源管理系统的结构示意图。如图2所示，该资源管理系统包括：堡垒机10及向堡垒机10提供管控服务的管控服务节点20。为了提高资源安全性，堡垒机10和管控服务节点20可部署于专用网络中。其中，专用网络可以为VPC，也可为虚拟专用网络(Virtual Private Network，VPN)等。堡垒机10和管控服务节点20可部署于同一专用网络中，也可部署于不同的专用网络中。一般地，堡垒机10和管控服务节点20部署于不同的专用网络中。

其中，堡垒机10可为1个或多个。多个是指2个或2个以上。图2中仅以堡垒机10为2个进行图示，但不构成限定。在图2中，2个堡垒机设置于不同的VPC环境中(如VPC-C和VPC-D)。堡垒机10可以为单一服务器设备，也可为云化的服务器阵列，或者为云化的服务器阵列中运行的虚拟机(Virtual Machine，VM)，或者云服务器(如ECS)等。另外，堡垒机10也可以指具备相应服务能力的其他计算设备，例如电脑等终端设备(运行服务程序)等。

管控服务节点20是指向堡垒机10提供管控服务的服务端设备，一般具备承担服务并保障服务的能力。管控服务节点20可为单一服务器设备，也可为云化的服务器阵列，或者为云化的服务器阵列中运行的虚拟机(Virtual Machine，VM)，或者云服务器(如ECS)等。另外，管控服务节点20也可以指具备相应服务能力的其他计算设备，例如电脑等终端设备(运行服务程序)等。

其中，管控服务节点20向堡垒机10提供的管控服务包括但不局限于：网络管控服务等。网络管控服务包括但不局限于：私有网络接口服务、反向访问服务及虚拟网络服务等中的一种或多种。多种是指2种或2种以上。其中，私有网络接口服务包括但不局限于：单通道连接(Single Tunnel)服务、任意通道连接(Any Tunnel)服务及弹性网卡(ElasticNetwork Interface，ENI)服务中的一种或多种。图2中仅以单通道连接服务、任意通道连接服务进行图示，但不构成限定。

其中，单通道连接(Single Tunnel)是一种应用负载均衡(Application LoadBalancer，ALB)服务，可打通VPC与VPC之间及VPC与经典网络之间的网络。其中，经典网络也可称为基础网络，是指公有云上所有用户共享公共网络资源池，用户之间未做逻辑隔离的网络。用户的内网IP地址由系统统一分配，相同的内网IP无法分配给不同用户。

Single tunnel接入云服务实例的服务对象是一个VPC，其它VPC内或者经典网络的用户是无法访问该云服务实例，单通道连接中的云服务实例通过在ALB上申请单通道连接的虚拟IP(Virtual IP，VIP)地址，并将后端服务器挂载到该VIP下，实现对VPC提供接入服务。该VIP是带用户VPC属性的，占用用户VPC的IP地址。

任意通道连接(Any Tunnel)也是一种ALB服务，可打通VPC与VPC之间及VPC与经典网络之间的网络。Any Tunnel接入ALB服务的对象可为本区域内所有VPC，该类型的云服务适用于共享性的云服务。任意通道连接中的云服务实例通过在ALB上申请任意通道连接的VIP，并将后端服务器挂载到该VIP下，对VPC提供接入服务。该VIP是不带用户VPC属性的，不占用用户VPC的IP地址。

弹性网卡(Elastic Network Interface，ENI)是一种能为弹性云主机提供弹性网络能力的虚拟网卡，是专有网络中的虚拟网络接口，用于连接云服务器与专有网络。

反向访问是相较于正向访问而言的。正向访问为用户访问VPC内的云服务器(如ECS等)，用户资源再去调用云服务。而反向访问是指云服务主动访问VPC内的云服务器(如ECS等)。具体地，可通过VPC的虚拟网关进行双向网络地址转换(Network AddressTranslation，NAT)，实现云服务主动访问VPC内的云服务器。在本实施例中，VPC内的云服务器是指堡垒机，云服务是指管控服务节点20提供的管控服务。

一般地，堡垒机10绑定有VPC，堡垒机10可对其绑定的VPC环境下的用户资源进行管理。图2中VPC-C环境下的堡垒机10绑定的VPC为第一VPC；VPC-D环境下的堡垒机10绑定的VPC为第二VPC。第二VPC未与VPC-C环境下的堡垒机10绑定。下面以VPC-C环境下的堡垒机10为例进行说明。

堡垒机10和第一VPC可通过VPC虚拟网卡进行网络通信。虚拟网卡可支持双向访问。双向访问是指堡垒机10可访问第一VPC环境下的用户资源；第一VPC环境下的用户资源也可访问堡垒机10。

用户可通过公网SLB登录堡垒机10，由堡垒机10管理与堡垒机10绑定的第一VPC环境下的用户资源。具体地，公网中的SLB节点获取登录请求，并从登录请求中获取堡垒机10的目的虚拟IP地址；进一步为该目的虚拟IP地址分配堡垒机10的物理IP地址；并将登录请求发送给物理IP地址对应的堡垒机10。堡垒机10可响应该登录请求，并对登录请求进行权限校验，校验合格后允许登录堡垒机10，实现用户通过公网SLB登录堡垒机10。

当然，在一些实施例中，不存在公网SLB。用户可通过第一VPC环境下的用户资源及上述VPC虚拟网卡，登录堡垒机10。具体地，用户可在第一VPC的用户资源上通过虚拟网卡向堡垒机10发送登录请求。堡垒机10可对登录请求进行权限校验，校验合格后允许登录堡垒机10，实现用户通过虚拟网卡登录堡垒机10。

在实际应用中，存在堡垒机跨VPC环境管理用户资源的需求。其中，堡垒机跨VPC环境管理用户资源，是指堡垒机管理未与其绑定的VPC环境下的用户资源。例如，用户登录堡垒机10之后，可向堡垒机10发起用户资源管理请求。该用户资源管理请求可包括：待管理VPC的标识。相应地，堡垒机10可获取用户资源管理请求，并在待管理VPC的标识包括未与堡垒机10绑定的VPC的标识的情况下，确定需要跨VPC环境管理用户资源。在本申请实施例中，为了便于描述和区分，将未与VPC-C环境下的堡垒机10绑定的VPC，统一定义为第二VPC。其中，第二VPC可为1个或多个，多个是指2个或2个以上。图2和图3中仅以第二VPC为1个为例进行图示，但不构成限定。下面以VPC-C环境下的的堡垒机10跨VPC管理第二VPC环境下的用户资源为例进行说明。下述系统实施例中的堡垒机10均是以图2和图3中位于VPC-C环境下的堡垒机为例进行说明的。

其中，VPC-C环境下的堡垒机10对每个第二VPC环境下的用户资源的管理方式相同，下面以任一第二VPC为例，对堡垒机10跨VPC环境管理用户资源的过程进行示例性说明。

如图2和图3所示，堡垒机10可在具有管理第二VPC环境下的用户资源的情况下，请求管控服务节点20提供堡垒机10与第二VPC之间的网络通道(对应图2和图3步骤1)。

具体地，堡垒机10可通过单通道连接或任意通道连接技术，访问管控服务节点20，以请求管控服务节点20提供堡垒机10与第二VPC之间的网络通道。一般地，由于管控服务节点20向多个堡垒机10提供管控服务，则堡垒机10与管控服务节点20之间的网络通道可为任意通道连接(Any Tunnel)。其中，堡垒机10与管控服务节点20之间的单通道连接或任意通道连接为资源管理系统部署时创建完成的。

基于堡垒机10与管控服务节点20之间的单通道连接或任意通道连接，堡垒机10可通过与管控服务节点20之间的单通道连接或任意通道连接，向管控服务节点20发送网络通道请求，该网络通道请求包含待管理的VPC的标识。在该实施例中，待管理的VPC的标识为第二VPC的标识。结合图2和图3，堡垒机10通过向管控服务节点20发送网络通道请求，来向管控服务节点20请求堡垒机10与第二VPC之间的网络通道(对应图2步骤1和图3步骤1)。

相应地，管控服务节点20可响应于堡垒机的请求，利用私有网络接口技术，建立堡垒机10与第二VPC之间的网络通道(对应图2和图3步骤2)。

在一些实施例中，私有网络接口技术为弹性网卡(ENI)技术。相应地，管控服务节点20可响应于堡垒机发送的网络通道请求，利用ENI技术，建立堡垒机10与第二VPC之间的网络通道。

具体地，管控服务节点20可在第二VPC中申请弹性网卡；并将弹性网卡挂载到堡垒机10所在专用网络(如VPC)中。之后，管控服务节点20可在堡垒机10所在的专用网络(VPC)中配置弹性网卡的路由信息，以得到堡垒机10与第二VPC之间的网络通道。这样，堡垒机10可通过弹性网卡的路由信息，访问第二VPC。

在另一些实施例中，私有网络接口技术为单通道连接技术或任意通道连接技术。相应地，管控服务节点20可响应于堡垒机的请求，利用单通道连接(Single Tunnel)技术或任意通道连接(Any Tunnel)技术，建立堡垒机10与第二VPC之间的网络通道(对应图2和图3步骤2)。

基于上述单通道连接(Single Tunnel)技术或任意通道连接(Any Tunnel)的工作原理，管控服务节点20可获取单通道连接或任意通道连接中目标ALB的目标IP地址。

具体地，对于单通道连接技术，管控服务节点20可调用VPC的应用程序编程接口(Application Programming Interface，API)获取堡垒机10所在VPC所分配到的IP地址。其中，VPC的API可为开放平台接口(Open API)，实现为云服务，如软件即服务(Software asService，SaaS)。

进一步，可从堡垒机10所在VPC所分配到的IP地址中，选择空闲的第一IP地址。之后，可基于第一IP地址在堡垒机所在VPC中创建虚拟实例。该虚拟实例的IP地址为第一IP地址。在单通道连接实施例中，可将虚拟地址的第一IP地址作为单通道连接中目标ALB的目标IP地址。在图4中，堡垒机10所在VPC的IP地址段为：x.x.x.0/24；堡垒机的IP地址为x.x.x.1；虚拟实例的IP地址为x.x.x.2。相应地，单通道连接中目标ALB的IP地址为x.x.x.2。在图4中，ALB即为目标ALB。

对于任意通道连接技术，可为任意通道连接设置固定的网段。其中，网段指一个计算机网络中使用同一物理层设备能够直接通讯的部分。网段可包括IP地址和子网掩码。相应地，管控服务节点20在获取任意通道连接中目标ALB的目标IP地址时，可从预先设置的任意通道连接分配到的网段包含的IP地址中，选择空闲的第二IP地址，作为目标IP地址。

在另一些实施例中，任意通道连接技术也可在堡垒机所在VPC中创建虚拟实例。相应地，管控服务节点20可从预先设置的任意通道连接分配到的网段包含的IP地址中，选择空闲的第二IP地址；并基于第二IP地址在堡垒机所在VPC中创建虚拟实例；该虚拟实例的IP地址为第二IP地址。进一步，可将虚拟实例的第二IP地址，作为目标ALB的目标IP地址。

在图5中，VPC-C环境下的堡垒机10所在VPC-C的IP地址段为：x.x.x.0/24；堡垒机的IP地址为x.x.x.1；网段可包括IP地址段可为z.z.z.0/24；虚拟实例的IP地址为z.z.z.1。相应地，任意通道连接中目标ALB的IP地址为z.z.z.1。在图5中，ALB即为目标ALB，且目标ALB的IP地址z.z.z.1：80中，80表示端口号。在图5中，VPC-D的IP地址段为：w.w.w.0/24；该VPC-D下堡垒机的IP地址为w.w.w.1。图5中，VPC-C和VPC-D均可接入ALB。

除了确定单通道连接或任意通道连接中目标ALB的目标IP地址，管控服务节点20还可调用VPC的API获取第二VPC的IP地址。具体地，管控服务节点20可调用VPC的API根据第二VPC的标识，获取第二VPC环境下用户资源的IP地址；从第二VPC环境下用户资源的IP地址，选择目标用户资源的IP地址，作为第二VPC的IP地址。

可选地，管控服务节点20可从第二VPC环境下用户资源中，任选一个用户资源，作为目标用户资源，并将目标用户资源的IP地址，作为第二VPC的IP地址。或者，管控服务节点20可从第二VPC环境下用户资源中，选择设定类型的用户资源，作为目标用户资源；并将目标用户资源的IP地址，作为第二VPC的IP地址等等。

进一步，管控服务节点20可调用SLB服务的API基于目标ALB的IP地址与第二VPC的IP地址，创建堡垒机10和第二VPC之间的单通道连接或任意通道连接(对应图3步骤2“调用API，创建堡垒机与第二VPC之间的单通道连接或任意通道连接”)，作为堡垒机10和第二VPC之间的网络通道，即打通了堡垒机10与第二VPC之间的网络通道。这样，堡垒机10便可基于堡垒机10和第二VPC之间的网络通道对第二VPC环境下的用户资源进行管理(对应图2步骤3和图3步骤4)。

在本实施例中，堡垒机跨VPC环境管理用户资源时，可向部署于专用网络中的管控服务节点请求该堡垒机与未绑定的VPC之间的网络通道；管控服务节点可响应堡垒机的请求，利用单通道连接技术或任意通道连接技术，建立堡垒机与未绑定的VPC之间的网络通道。这样，堡垒机可基于该网络通道跨VPC环境对其它VPC下的用户资源进行管理，实现了堡垒机跨VPC环境管理用户资源。

另一方面，由于堡垒机和管控服务节点都设置于专用网络中，上述堡垒机跨VPC环境管理用户资源涉及的设备无需暴露在公网中，可降低堡垒机跨VPC环境管理用户资源过程的公网暴露面，有助于提高VPC环境下用户资源的安全性。

另外，可使用资源管理系统中的任一堡垒机，对任意VPC环境下的用户资源进行管理，可充分利用堡垒机的运维能力，在一定程度上可节约运维资源。尤其相较于图1示出的传统方案中需要为每个VPC配置一个网络代理服务器的方案，本申请实施例无需额外配置网络代理服务器，可节约运维资源，降低运维成本。

对于堡垒机10和第二VPC之间创建单通道连接的实施例，管控服务节点20可调用单通道连接中目标ALB的目标IP地址创建目标ALB；该目标ALB的IP地址为目标IP地址；进一步，可将目标ALB支持访问的隧道标识设置为堡垒机10所在VPC的隧道标识，并将第二VPC的IP地址对应的用户资源(如ECS等)挂载至目标ALB，以及将目标ALB的隧道类型设置为单通道连接，进而实现在堡垒机10和第二VPC之间创建单通道连接，即建立堡垒机10与第二VPC之间的网络通道。

对于堡垒机10和第二VPC之间创建任意通道连接的实施例，管控服务节点20可调用任意通道连接中目标ALB的目标IP地址创建目标ALB；该目标ALB的IP地址为目标IP地址；进一步，可将第二VPC的IP地址对应的用户资源(如ECS等)挂载至目标ALB，以及将目标ALB的隧道类型设置为任意通道连接，进而实现在堡垒机10和第二VPC之间创建任意通道连接，即建立堡垒机10与第二VPC之间的网络通道。

管控服务节点20在建立堡垒机10与第二VPC之间的网络通道之后，可通过反向访问方式向堡垒机10返回通道创建成功消息(对应图3步骤3)。该通道创建成功消息用于表征堡垒机10与第二VPC之间的网络通道创建成功。

可选地，管控服务节点20可通过VPC虚拟网关，将通道创建成功消息发送至堡垒机10，实现对堡垒机10的反向访问。具体地，VPC虚拟网关存储有堡垒机10所在VPC的NAT地址映射关系；管控服务节点20可将通道创建成功消息发送至VPC虚拟网关。VPC虚拟网关可利用堡垒机10的公网IP地址，查询NAT地址映射关系，确定堡垒机的私有IP地址。进一步，VPC虚拟网关可将通道创建成功消息发送至堡垒机的私有IP地址，从而实现管控服务节点20对堡垒机10的反向访问。

相应地，堡垒机10可响应该通道创建成功消息，基于堡垒机10与第二VPC之间的网络通道对第二VPC环境下的用户资源进行管理(对应图3步骤4)。

在一些实施例中，堡垒机10还可在运维界面显示通道创建成功消息，以供堡垒机对应的管理人员查看。堡垒机对应的管理人员可通过运维界面显示的通道创建成功消息，及时获知堡垒机10与第二VPC之间的网络通道创建成功。这样，管理人员可通过堡垒机10访问第二VPC环境下的用户资源，并对第二VPC环境下的用户资源进行管理和/或运维，实现堡垒机跨VPC环境管理用户资源。

在本申请实施例中，管控服务节点20在堡垒机10与第二VPC之间的网络通道创建成功之后，还可存储第二VPC的标识与上述目标ALB的目标IP地址之间的对应关系。可选地，管控服务节点20可将第二VPC的标识与上述目标ALB的目标IP地址之间的对应关系，存储至VPC的标识与ALB的IP地址之间的对应关系中。在VPC的标识与ALB的IP地址之间的对应关系中，ALB为VPC对应的单通道连接或任意通道连接中的ALB，该ALB挂载有VPC环境下的用户资源。

基于上述VPC的标识与ALB的IP地址之间的对应关系，上述堡垒机10在请求管控服务节点20提供堡垒机10与第二VPC之间的网络通道，可实现为：堡垒机10向管控服务节点20请求第二VPC对应的单通道连接或任意通道连接中的ALB的IP地址，以请求堡垒机与第二VPC之间的网络通道。其中，第二VPC对应的单通道连接或任意通道连接中的ALB挂载有第二VPC环境下的用户资源。

具体地，堡垒机10可向管控服务节点20发送网络通道请求；该网络通道请求可包括：第二VPC的标识，以向管控服务节点20请求第二VPC对应的单通道连接或任意通道连接中的ALB的IP地址。

相应地，管控服务节点20可响应于堡垒机的请求，利用第二VPC的标识，查询维护的VPC的标识与ALB的IP地址之间的对应关系；若在VPC的标识与ALB的IP地址之间的对应关系中，查询到第二VPC的标识对应的ALB的IP地址，则说明堡垒机10与第二VPC之间的网络通道已创建完成，则管控服务节点20可通过反向访问方式，将第二VPC的标识对应的ALB的IP地址发送至堡垒机10。其中，管控服务节点20通过反向访问方式将第二VPC的标识对应的ALB的IP地址发送至堡垒机10的具体实施方式，可参见上述管控服务节点20通过反向访问方式将通道创建成功消息发送至堡垒机10的相关内容，在此不再赘述。

相应地，堡垒机10可基于第二VPC的标识对应的ALB的IP地址对第二VPC环境下的用户资源进行管理。具体地，堡垒机10可基于第二VPC的标识对应的ALB的IP地址，将对第二VPC环境下的用户资源的管理指令发送至第二VPC的标识对应的ALB；ALB可将第二VPC环境下的用户资源的管理指令，发送至第二VPC环境下的用户资源。用户资源可响应于该管理指令执行相应管理操作等，实现堡垒机跨VPC环境管理用户资源。

当然，若在VPC的标识与ALB的IP地址之间的对应关系中，未查询到第二VPC的标识对应的ALB的IP地址，则说明堡垒机10与第二VPC之间的网络通道尚未创建，则管控服务节点20可执行上述利用单通道连接技术或任意通道连接技术，建立堡垒机10与第二VPC之间的网络通道的操作。关于管控服务节点20利用单通道连接技术或任意通道连接技术，建立堡垒机10与第二VPC之间的网络通道的具体实施方式，及堡垒机10基于其余第二VPC之间的网络通道，对第二VPC环境下的用户资源进行跨VPC管理的具体实施方式，请参见上述实施例，在此不再赘述。

除了上述系统实施例之外，本申请实施例还提供用户资源管理方法，下面对本申请实施例提供的用户资源管理方法进行示例性说明。

图6为本申请实施例提供的用户资源管理方法的流程示意图。该方法适用于堡垒机。堡垒机和管控服务节点设置于专用网络中，且该堡垒机绑定有第一VPC。如图6所示，该用户资源管理方法主要包括：

601、请求管控服务节点提供堡垒机与第二VPC之间的网络通道，以供管控服务节点利用私有网络接口技术建立堡垒机与第二VPC之间的网络通道；第二VPC未与堡垒机绑定。

602、基于堡垒机与第二VPC之间的网络通道，对第二VPC环境下的用户资源进行管理。

图7为本申请实施例提供的用户资源管理方法的流程示意图。该方法适用于管控服务节点。堡垒机和管控服务节点设置于专用网络中，且该堡垒机绑定有第一VPC。如图7所示，该用户资源管理方法主要包括：

701、获取堡垒机发送的网络通道请求；该堡垒机绑定有第一VPC；网络通道请求用于请求堡垒机与第二VPC之间的网络通道；第二VPC未与该堡垒机绑定。

702、响应于网络通道请求，利用私有网络接口技术，建立堡垒机与第二VPC之间的网络通道，以供堡垒机基于网络通道对第二VPC环境下的用户资源进行管理。

在本实施例中，管控服务节点向堡垒机提供管控服务，包括但不局限于：网络管控服务等。网络管控服务包括但不局限于：弹性网卡(ENI)服务、单通道连接(Single Tunnel)服务、任意通道连接(Any Tunnel)服务、反向访问服务及虚拟网络服务等中的一种或多种。多种是指2种或2种以上。

一般地，堡垒机绑定有VPC，堡垒机可对其绑定的VPC环境下的用户资源进行管理。堡垒机和绑定的第一VPC可通过VPC虚拟网卡进行网络通信。虚拟网卡可支持双向访问。双向访问是指堡垒机可访问第一VPC环境下的用户资源；第一VPC环境下的用户资源也可访问堡垒机。

用户可通过公网SLB登录堡垒机，由堡垒机管理与堡垒机绑定的第一VPC环境下的用户资源。当然，在一些实施例中，不存在公网SLB。用户可通过第一VPC环境下的用户资源及上述VPC虚拟网卡，登录堡垒机。

在实际应用中，存在堡垒机跨VPC环境管理用户资源的需求。其中，堡垒机跨VPC环境管理用户资源，是指堡垒机管理未与其绑定的VPC环境下的用户资源。例如，用户登录堡垒机之后，可向堡垒机发起用户资源管理请求。该用户资源管理请求可包括：待管理VPC的标识。相应地，堡垒机可获取用户资源管理请求，并在待管理VPC的标识包括未与堡垒机绑定的VPC的标识的情况下，确定需要跨VPC环境管理用户资源。在本申请实施例中，第二VPC是指未与上述第一VPC绑定的堡垒机进行绑定的VPC。

堡垒机可在具有管理第二VPC环境下的用户资源的情况下，在步骤601中，请求管控服务节点提供堡垒机与第二VPC之间的网络通道。

具体地，堡垒机可通过单通道连接或任意通道连接技术，访问管控服务节点，以请求管控服务节点提供堡垒机10与第二VPC之间的网络通道。一般地，由于管控服务节点向多个堡垒机10提供管控服务，则堡垒机与管控服务节点之间的网络通道可为任意通道连接(Any Tunnel)。其中，堡垒机与管控服务节点之间的单通道连接或任意通道连接为资源管理系统部署时创建完成的。

基于堡垒机与管控服务节点之间的单通道连接或任意通道连接，堡垒机可通过与管控服务节点之间的单通道连接或任意通道连接，向管控服务节点发送网络通道请求，该网络通道请求包含待管理的VPC的标识。在该实施例中，待管理的VPC的标识为第二VPC的标识。堡垒机通过向管控服务节点发送网络通道请求，来向管控服务节点请求堡垒机与第二VPC之间的网络通道。

相应地，管控服务节点，在步骤701中，可获取网络通道请求；并在步骤702中，响应于网络通道请求，利用私有网络接口技术，建立堡垒机与第二VPC之间的网络通道。

其中，私有网络接口技术可为：弹性网卡(ENI)或单通道连接(Single Tunnel)技术或任意通道连接(Any Tunnel)技术。

在一些实施例中，私有网络接口技术实现为弹性网卡。则可响应于堡垒机发送的网络通道请求，利用ENI技术，建立堡垒机与第二VPC之间的网络通道。

具体地，可在第二VPC中申请弹性网卡；并将弹性网卡挂载到堡垒机所在专用网络(如VPC)中。之后，可在堡垒机所在的专用网络(VPC)中配置弹性网卡的路由信息，以得到堡垒机与第二VPC之间的网络通道。这样，堡垒机可通过弹性网卡的路由信息，访问第二VPC。

在另一些实施例中，私有网络接口技术实现为单通道连接(Single Tunnel)技术或任意通道连接(Any Tunnel)，则基于上述单通道连接(Single Tunnel)技术或任意通道连接(Any Tunnel)的工作原理，管控服务节点可获取单通道连接或任意通道连接中目标ALB的目标IP地址。

具体地，对于单通道连接技术，可调用VPC的应用程序编程接口(ApplicationProgramming Interface，API)获取堡垒机所在VPC所分配到的IP地址。其中，VPC的API可为开放平台接口(Open API)。

进一步，可从堡垒机所在VPC所分配到的IP地址中，选择空闲的第一IP地址。之后，可基于第一IP地址在堡垒机所在VPC中创建虚拟实例。该虚拟实例的IP地址为第一IP地址。在单通道连接实施例中，可将虚拟地址的第一IP地址作为单通道连接中目标ALB的目标IP地址。

对于任意通道连接技术，可为任意通道连接设置固定的网段。网段可包括IP地址和子网掩码。相应地，获取任意通道连接中目标ALB的目标IP地址可实现为：从预先设置的任意通道连接分配到的网段包含的IP地址中，选择空闲的第二IP地址，作为目标IP地址。

在另一些实施例中，任意通道连接技术也可在堡垒机所在VPC中创建虚拟实例。相应地，获取任意通道连接中目标ALB的目标IP地址可实现为：从预先设置的任意通道连接分配到的网段包含的IP地址中，选择空闲的第二IP地址；并基于第二IP地址在堡垒机所在VPC中创建虚拟实例；该虚拟实例的IP地址为第二IP地址。进一步，可将虚拟实例的第二IP地址，作为目标ALB的目标IP地址。

除了确定单通道连接或任意通道连接中目标ALB的目标IP地址，还可调用VPC的API获取第二VPC的IP地址。具体地，可调用VPC的API根据第二VPC的标识，获取第二VPC环境下用户资源的IP地址；从第二VPC环境下用户资源的IP地址，选择目标用户资源的IP地址，作为第二VPC的IP地址。

可选地，可从第二VPC环境下用户资源中，任选一个用户资源，作为目标用户资源，并将目标用户资源的IP地址，作为第二VPC的IP地址。或者，可从第二VPC环境下用户资源中，选择设定类型的用户资源，作为目标用户资源；并将目标用户资源的IP地址，作为第二VPC的IP地址等等。

进一步，可调用SLB服务的API基于目标ALB的IP地址与第二VPC的IP地址，创建堡垒机10和第二VPC之间的单通道连接或任意通道连接，作为堡垒机10和第二VPC之间的网络通道，即打通了堡垒机10与第二VPC之间的网络通道。这样，针对堡垒机，在步骤602中，可基于堡垒机和第二VPC之间的网络通道对第二VPC环境下的用户资源进行管理。

在本实施例中，堡垒机跨VPC环境管理用户资源时，可向部署于专用网络中的管控服务节点请求该堡垒机与未绑定的VPC之间的网络通道；管控服务节点可响应堡垒机的请求，利用私有网络接口技术，建立堡垒机与未绑定的VPC之间的网络通道。这样，堡垒机可基于该网络通道跨VPC环境对其它VPC下的用户资源进行管理，实现了堡垒机跨VPC环境管理用户资源。

另一方面，由于堡垒机和管控服务节点都设置于专用网络中，上述堡垒机跨VPC环境管理用户资源涉及的设备无需暴露在公网中，可降低堡垒机跨VPC环境管理用户资源过程的公网暴露面，有助于提高VPC环境下用户资源的安全性。

另外，可使用资源管理系统中的任一堡垒机，对任意VPC环境下的用户资源进行管理，可充分利用堡垒机的运维能力，在一定程度上可节约运维资源。尤其相较于图1示出的传统方案中需要为每个VPC配置一个网络代理服务器的方案，本申请实施例无需额外配置网络代理服务器，可节约运维资源，降低运维成本。

对于堡垒机和第二VPC之间创建单通道连接的实施例，管控服务节点可调用SLB的API基于上述单通道连接中目标ALB的目标IP地址，创建目标ALB；该目标ALB的IP地址为目标IP地址；进一步，可将目标ALB支持访问的隧道标识设置为堡垒机所在VPC的隧道标识，并将第二VPC的IP地址对应的用户资源(如ECS等)挂载至目标ALB，以及将目标ALB的隧道类型设置为单通道连接，进而实现在堡垒机和第二VPC之间创建单通道连接，即建立堡垒机与第二VPC之间的网络通道。

对于堡垒机和第二VPC之间创建任意通道连接的实施例，管控服务节点可调用SLB的API基于上述任意通道连接中目标ALB的目标IP地址，创建目标ALB；该目标ALB的IP地址为目标IP地址；进一步，可将第二VPC的IP地址对应的用户资源(如ECS等)挂载至目标ALB，以及将目标ALB的隧道类型设置为任意通道连接，进而实现在堡垒机10和第二VPC之间创建任意通道连接，即建立堡垒机10与第二VPC之间的网络通道。

管控服务节点在建立堡垒机与第二VPC之间的网络通道之后，可通过反向访问方式向堡垒机返回通道创建成功消息。该通道创建成功消息用于表征堡垒机与第二VPC之间的网络通道创建成功。

可选地，管控服务节点可通过VPC虚拟网关，将通道创建成功消息发送至堡垒机，实现对堡垒机的反向访问。具体地，VPC虚拟网关存储有堡垒机所在VPC的NAT地址映射关系；管控服务节点可将通道创建成功消息发送至VPC虚拟网关。VPC虚拟网关可利用堡垒机的公网IP地址，查询NAT地址映射关系，确定堡垒机的私有IP地址。进一步，VPC虚拟网关可将通道创建成功消息发送至堡垒机的私有IP地址，从而实现管控服务节点对堡垒机的反向访问。

相应地，堡垒机可响应该通道创建成功消息，基于堡垒机与第二VPC之间的网络通道对第二VPC环境下的用户资源进行管理。

在一些实施例中，堡垒机还可在运维界面显示通道创建成功消息，以供堡垒机对应的管理人员查看。堡垒机对应的管理人员可通过运维界面显示的通道创建成功消息，及时获知堡垒机与第二VPC之间的网络通道创建成功。这样，管理人员可通过堡垒机访问第二VPC环境下的用户资源，并对第二VPC环境下的用户资源进行管理和/或运维，实现堡垒机跨VPC环境管理用户资源。

在本申请实施例中，管控服务节点在堡垒机与第二VPC之间的网络通道创建成功之后，还可存储第二VPC的标识与上述目标ALB的目标IP地址之间的对应关系。可选地，管控服务节点可将第二VPC的标识与上述目标ALB的目标IP地址之间的对应关系，存储至VPC的标识与ALB的IP地址之间的对应关系中。在VPC的标识与ALB的IP地址之间的对应关系中，ALB为VPC对应的单通道连接或任意通道连接中的ALB，该ALB挂载有VPC环境下的用户资源。

基于上述VPC的标识与ALB的IP地址之间的对应关系，上述堡垒机在请求管控服务节点提供堡垒机与第二VPC之间的网络通道，可实现为：堡垒机10向管控服务节点20请求第二VPC对应的单通道连接或任意通道连接中的ALB的IP地址，以请求堡垒机与第二VPC之间的网络通道。其中，第二VPC对应的单通道连接或任意通道连接中的ALB挂载有第二VPC环境下的用户资源。

具体地，堡垒机可向管控服务节点发送网络通道请求；该网络通道请求可包括：第二VPC的标识，以向管控服务节点请求第二VPC对应的单通道连接或任意通道连接中的ALB的IP地址。

相应地，管控服务节点可响应于网络通道请求，利用第二VPC的标识，查询维护的VPC的标识与ALB的IP地址之间的对应关系；若在VPC的标识与ALB的IP地址之间的对应关系中，查询到第二VPC的标识对应的ALB的IP地址，则说明堡垒机与第二VPC之间的网络通道已创建完成，则管控服务节点可通过反向访问方式，将第二VPC的标识对应的ALB的IP地址发送至堡垒机。其中，管控服务节点通过反向访问方式将第二VPC的标识对应的ALB的IP地址发送至堡垒机的具体实施方式，可参见上述管控服务节点通过反向访问方式将通道创建成功消息发送至堡垒机的相关内容，在此不再赘述。

相应地，堡垒机可基于第二VPC的标识对应的ALB的IP地址对第二VPC环境下的用户资源进行管理。具体地，堡垒机可基于第二VPC的标识对应的ALB的IP地址，将对第二VPC环境下的用户资源的管理指令发送至第二VPC的标识对应的ALB；ALB可将第二VPC环境下的用户资源的管理指令，发送至第二VPC环境下的用户资源。用户资源可响应于该管理指令执行相应管理操作等，实现堡垒机跨VPC环境管理用户资源。

当然，若在VPC的标识与ALB的IP地址之间的对应关系中，未查询到第二VPC的标识对应的ALB的IP地址，则说明堡垒机与第二VPC之间的网络通道尚未创建，则管控服务节点可执行上述利用单通道连接技术或任意通道连接技术，建立堡垒机与第二VPC之间的网络通道的操作。

需要说明的是，上述实施例所提供方法的各步骤的执行主体均可以是同一设备，或者，该方法也由不同设备作为执行主体。比如，步骤601和602的执行主体可以为设备A；又比如，步骤601的执行主体可以为设备A，步骤602的执行主体可以为设备B；等等。

另外，在上述实施例及附图中的描述的一些流程中，包含了按照特定顺序出现的多个操作，但是应该清楚了解，这些操作可以不按照其在本文中出现的顺序来执行或并行执行，操作的序号如601、602等，仅仅是用于区分开各个不同的操作，序号本身不代表任何的执行顺序。另外，这些流程可以包括更多或更少的操作，并且这些操作可以按顺序执行或并行执行。

相应地，本申请实施例还提供一种存储有计算机指令的计算机可读存储介质，当计算机指令被一个或多个处理器执行时，致使一个或多个处理器执行上述各用户资源管理方法中的步骤。

图8为本申请实施例提供的电子设备的结构示意图。如图8所示，该电子设备主要包括：存储器80a、处理器80b及通信组件80c。其中，存储器80a，用于存储计算机程序。

在一些实施例中，电子设备实现为堡垒机。堡垒机设置于专用网络，且绑定有第一VPC。处理器80b耦合至存储器80a及通信组件80c，用于执行计算机程序以用于：通过通信组件80c请求设置于专用网络的管控服务节点提供堡垒机与第二VPC之间的网络通道，以供管控服务节点利用私有网络接口技术建立堡垒机与第二VPC之间的网络通道；第二VPC未与堡垒机绑定；以及，基于堡垒机与第二VPC之间的网络通道，对第二VPC环境下的用户资源进行管理。

可选地，处理器80b还用于：通过通信组件80c获取管控服务节点通过反向访问方式提供的通道创建成功消息；通道创建成功消息用于表征堡垒机与第二VPC之间的网络通道创建成功；通过显示组件80d在运维界面显示通道创建成功消息，以供堡垒机对应的管理人员查看。

可选地，处理器80b还用于：通过通信组件80c获取用户资源管理请求；在用户资源管理请求包括第二VPC的标识的情况下，执行请求管控服务节点提供堡垒机与第二VPC之间的网络通道的步骤。

在本实施例中，作为堡垒机的电子设备利用单通道连接技术或任意通道连接技术访问管控服务节点。作为堡垒机的电子设备和第一VPC环境下的用户资源通过虚拟网卡进行双向访问。

在另一些实施例中，电子设备实现为管控服务节点。管控服务节点和堡垒机设置于专用网络。相应地，处理器80b用于：通过通信组件80c获取堡垒机发送的网络通道请求；堡垒机绑定有第一VPC；网络通道请求用于请求堡垒机与第二VPC之间的网络通道；第二VPC未与堡垒机绑定；以及，响应于网络通道请求，利用私有网络接口技术，建立堡垒机与第二VPC之间的网络通道，以供堡垒机基于网络通道对第二VPC环境下的用户资源进行管理。

可选地，私有网络接口技术为弹性网卡或单通道连接技术或任意通道连接技术。相应地，处理器80b在响应于网络通道请求，利用私有网络接口技术，建立堡垒机与第二VPC之间的网络通道时，具体用于：响应于网络通道请求，利用弹性网卡技术或单通道连接技术或任意通道连接技术，建立堡垒机与第二VPC之间的网络通道。

可选地，处理器80b在响应于网络通道请求，利用单通道连接技术或任意通道连接技术，建立堡垒机与第二VPC之间的网络通道时，具体用于：从网络通道请求中，获取第二VPC的标识；利用第二VPC的标识，查询维护的VPC的标识与ALB的IP地址之间的对应关系；若未查询到第二VPC的标识对应的ALB的IP地址，则执行利用单通道连接技术或任意通道连接技术，建立堡垒机与第二VPC之间的网络通道的操作。相应地，若查询到第二VPC的标识对应的ALB的IP地址，通过反向访问方式将第二VPC的标识对应的ALB的IP地址发送至堡垒机，以供堡垒机基于第二VPC的标识对应的ALB的IP地址对第二VPC环境下的用户资源进行管理。

进一步，处理器80b在利用单通道连接或任意通道连接技术，建立堡垒机与第二VPC之间的网络通道时，具体用于：获取单通道连接或任意通道连接中目标ALB的目标IP地址；调用VPC的API获取第二VPC的IP地址；以及，调用SLB的API基于目标IP地址和第二VPC的IP地址，创建堡垒机和第二VPC之间的单通道连接或任意通道连接，作为网络通道。

进一步，处理器80b在调用SLB的API基于目标IP地址和第二VPC的IP地址，创建堡垒机和第二VPC之间的单通道连接时，具体用于：调用SLB的API基于目标IP地址创建目标ALB；目标ALB的IP地址为目标IP地址；将目标ALB支持访问的隧道标识设置为堡垒机所在VPC的隧道标识；并将第二VPC的IP地址对应的用户资源挂载至目标ALB，并将目标ALB的隧道类型设置为单通道连接，以得到堡垒机和第二VPC之间的单通道连接。

可选地，处理器80b在调用SLB的API基于目标IP地址和第二VPC的IP地址，创建堡垒机和第二VPC之间的任意通道连接时，具体用于：调用SLB的API基于目标IP地址创建目标ALB；目标ALB的IP地址为目标IP地址；将第二VPC的IP地址对应的用户资源挂载至目标ALB，并将目标ALB的隧道类型设置为任意通道连接，以得到堡垒机和第二VPC之间的任意通道连接。

可选地，处理器80b在获取单通道连接中目标ALB的目标IP地址时，具体用于：调用VPC的API获取堡垒机所在VPC所分配到的IP地址；从堡垒机所在VPC所分配到的IP地址中，选择空闲的第一IP地址；基于第一IP地址在堡垒机所在VPC中创建虚拟实例；虚拟实例的IP地址为第一IP地址；并将虚拟实例的第一IP地址作为目标ALB的目标IP地址。

可选地，处理器80b在获取任意通道连接中目标ALB的目标IP地址时，具体用于：从预先设置的任意通道连接支持的网段包含的IP地址中，选择空闲的第二IP地址，作为目标IP地址；或者，从预先设置的任意通道连接分配到的网段中，选择空闲的第二IP地址；基于第二IP地址在堡垒机所在VPC中创建虚拟实例；虚拟实例的IP地址为第二IP地址；并将虚拟实例的第二IP地址作为目标ALB的目标IP地址。

可选地，处理器80b还用于：在建立堡垒机与第二VPC之间的网络通道之后，通过反向访问方式向堡垒机返回通道创建成功消息，以供堡垒机响应通道创建成功消息执行基于网络通道对第二VPC环境下的用户资源进行管理的操作；其中，通道创建成功消息用于表征堡垒机与第二VPC之间的网络通道创建成功。

在一些可选实施方式中，如图8所示，该电子设备还可以包括：电源组件80e等组件。在一些实施例中，电子设备可实现为电脑、手机、工作站等终端设备。相应地，电子设备还可包括：音频组件80f等可选组件。图8中仅示意性给出部分组件，并不意味着电子设备必须包含图8所示全部组件，也不意味着电子设备只能包括图8所示组件。

在本实施例中，堡垒机跨VPC环境管理用户资源时，可向部署于专用网络中的管控服务节点请求该堡垒机与未绑定的VPC之间的网络通道；管控服务节点可响应堡垒机的请求，利用私有网络接口技术，建立堡垒机与未绑定的VPC之间的网络通道。这样，堡垒机可基于该网络通道跨VPC环境对其它VPC下的用户资源进行管理，实现了堡垒机跨VPC环境管理用户资源。另一方面，由于堡垒机和管控服务节点都设置于专用网络中，上述堡垒机跨VPC环境管理用户资源涉及的设备均无需暴露在公网中，可降低堡垒机跨VPC环境管理用户资源过程中的暴露面，有助于提高VPC环境下用户资源的安全性。

在本申请实施例中，存储器用于存储计算机程序，并可被配置为存储其它各种数据以支持在其所在设备上的操作。其中，处理器可执行存储器中存储的计算机程序，以实现相应控制逻辑。存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(Static Random-Access Memory，SRAM)，电可擦除可编程只读存储器(Electrically Erasable Programmable Read Only Memory，EEPROM)，可擦除可编程只读存储器(Electrical Programmable Read Only Memory，EPROM)，可编程只读存储器(Programmable Read Only Memory，PROM)，只读存储器(Read Only Memory，ROM)，磁存储器，快闪存储器，磁盘或光盘。

在本申请实施例中，处理器可以为任意可执行上述方法逻辑的硬件处理设备。可选地，处理器可以为中央处理器(Central Processing Unit，CPU)、图形处理器(GraphicsProcessing Unit，GPU)或微控制单元(Microcontroller Unit，MCU)；也可以为现场可编程门阵列(Field-Programmable Gate Array，FPGA)、可编程阵列逻辑器件(ProgrammableArray Logic，PAL)、通用阵列逻辑器件(General Array Logic，GAL)、复杂可编程逻辑器件(Complex Programmable Logic Device，CPLD)等可编程器件；或者为专用集成电路(Application Specific Integrated Circuit，ASIC)芯片；或者为先进精简指令集(Reduced Instruction Set Compute，RISC)处理器(Advanced RISC Machines，ARM)或系统芯片(System on Chip，SoC)等等，但不限于此。

在本申请实施例中，通信组件被配置为便于其所在设备和其他设备之间有线或无线方式的通信。通信组件所在设备可以接入基于通信标准的无线网络，如无线保真(Wireless Fidelity，WiFi)，2G或3G，4G，5G或它们的组合。在一个示例性实施例中，通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，通信组件还可基于近场通信(Near Field Communication，NFC)技术、射频识别(Radio Frequency Identification，RFID)技术、红外数据协会(Infrared DataAssociation，IrDA)技术、超宽带(Ultra Wide Band，UWB)技术、蓝牙(Bluetooth，BT)技术或其他技术来实现。

在本申请实施例中，显示组件可以包括液晶显示器(Liquid Crystal Display，LCD)和触摸面板(Touch Panel，TP)。如果显示组件包括触摸面板，显示组件可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与触摸或滑动操作相关的持续时间和压力。

在本申请实施例中，电源组件被配置为其所在设备的各种组件提供电力。电源组件可以包括电源管理系统，一个或多个电源，及其他与为电源组件所在设备生成、管理和分配电力相关联的组件。

在本申请实施例中，音频组件可被配置为输出和/或输入音频信号。例如，音频组件包括一个麦克风(Microphone，MIC)，当音频组件所在设备处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器或经由通信组件发送。在一些实施例中，音频组件还包括一个扬声器，用于输出音频信号。例如，对于具有语言交互功能的设备，可通过音频组件实现与用户的语音交互等。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒绝。

需要说明的是，本文中的“第一”、“第二”等描述，是用于区分不同的消息、设备、模块等，不代表先后顺序，也不限定“第一”和“第二”是不同的类型。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、只读光盘(Compact Disc Read-Only Memory，CD-ROM)、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(或系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(如CPU等)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(Random-Access Memory，RAM)和/或非易失性内存等形式，如只读存储器(Read Only Memory，ROM)或闪存(Flash RAM)。内存是计算机可读介质的示例。

计算机的存储介质为可读存储介质，也可称为可读介质。可读存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(Phase-Change Memory，PRAM)、静态随机存取存储器(Static Random-Access Memory，SRAM)、动态随机存取存储器(Dynamic Random Access Memory，DRAM))、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read Only Memory，EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(Digital Video Disc，DVD)或其他光学存储、磁盒式磁带，磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(Transitory Media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括上述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上内容仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (14)

1.一种用户资源管理方法，其特征在于，适用于管控服务节点；所述管控服务节点和堡垒机设置于专用网络；所述方法包括：

获取所述堡垒机发送的网络通道请求；所述堡垒机绑定有第一虚拟私有云VPC；所述网络通道请求用于请求所述堡垒机与第二VPC之间的网络通道；所述第二VPC未与所述堡垒机绑定；

响应于所述网络通道请求，利用私有网络接口技术，建立所述堡垒机与所述第二VPC之间的网络通道，以供所述堡垒机基于所述网络通道对所述第二VPC环境下的用户资源进行管理。

2.根据权利要求1所述的方法，其特征在于，所述私有网络接口技术为单通道连接技术或任意通道连接技术或弹性网卡技术；所述响应于所述网络通道请求，利用私有网络接口技术，建立所述堡垒机与所述第二VPC之间的网络通道，包括：

响应于所述网络通道请求，利用单通道连接技术或任意通道连接技术或弹性网卡技术，建立所述堡垒机与所述第二VPC之间的网络通道。

3.根据权利要求2所述的方法，其特征在于，响应于所述网络通道请求，利用单通道连接技术或任意通道连接技术，建立所述堡垒机与所述第二VPC之间的网络通道，包括：

从所述网络通道请求中，获取所述第二VPC的标识；

利用所述第二VPC的标识，查询维护的VPC的标识与应用负载均衡ALB的网际协议IP地址之间的对应关系；

若未查询到所述第二VPC的标识对应的ALB的IP地址，则执行所述利用单通道连接技术或任意通道连接技术，建立所述堡垒机与所述第二VPC之间的网络通道的操作。

4.根据权利要求3所述的方法，其特征在于，还包括：

若查询到所述第二VPC的标识对应的ALB的IP地址，通过反向访问方式将所述第二VPC的标识对应的ALB的IP地址发送至所述堡垒机，以供所述堡垒机基于所述第二VPC的标识对应的ALB的IP地址对所述第二VPC环境下的用户资源进行管理。

5.根据权利要求2所述的方法，其特征在于，利用单通道连接或任意通道连接技术，建立所述堡垒机与所述第二VPC之间的网络通道，包括：

获取单通道连接或任意通道连接中目标ALB的目标IP地址；

调用VPC的应用程序编程接口API获取所述第二VPC的IP地址；

调用服务器负载均衡服务SLB的API基于所述目标IP地址和所述第二VPC的IP地址，创建所述堡垒机和所述第二VPC之间的单通道连接或任意通道连接，作为所述网络通道。

6.根据权利要求5所述的方法，其特征在于，调用服务器负载均衡服务SLB的API基于所述目标IP地址和所述第二VPC的IP地址，创建所述堡垒机和所述第二VPC之间的单通道连接或任意通道连接，包括：

调用所述SLB的API基于所述目标IP地址创建所述目标ALB；所述目标ALB的IP地址为所述目标IP地址；

将所述目标ALB支持访问的隧道标识设置为所述堡垒机所在VPC的隧道标识；

将所述第二VPC的IP地址对应的用户资源挂载至所述目标ALB，并将所述目标ALB的隧道类型设置为单通道连接，以得到所述堡垒机和所述第二VPC之间的单通道连接；

或者，

任意通道连接调用所述SLB的API基于所述目标IP地址创建所述目标ALB；所述目标ALB的IP地址为所述目标IP地址；

将所述第二VPC的IP地址对应的用户资源挂载至所述目标ALB，并将所述目标ALB的隧道类型设置为任意通道连接，以得到所述堡垒机和所述第二VPC之间的任意通道连接。

7.根据权利要求5所述的方法，其特征在于，获取单通道连接中目标ALB的目标IP地址，包括：

调用VPC的API获取所述堡垒机所在VPC所分配到的IP地址；从所述堡垒机所在VPC所分配到的IP地址中，选择空闲的第一IP地址；

基于所述第一IP地址在所述堡垒机所在VPC中创建虚拟实例；所述虚拟实例的IP地址为所述第一IP地址；

将所述虚拟实例的第一IP地址作为所述目标ALB的目标IP地址。

8.根据权利要求5所述的方法，其特征在于，获取任意通道连接中目标ALB的目标IP地址，包括：

从预先设置的任意通道连接支持的网段包含的IP地址中，选择空闲的第二IP地址，作为所述目标IP地址；

或者，

从预先设置的任意通道连接分配到的网段中，选择空闲的第二IP地址；基于所述第二IP地址在所述堡垒机所在VPC中创建虚拟实例；所述虚拟实例的IP地址为所述第二IP地址；并将所述虚拟实例的第二IP地址作为所述目标ALB的目标IP地址。

9.根据权利要求1所述的方法，其特征在于，还包括：

在建立所述堡垒机与所述第二VPC之间的网络通道之后，通过反向访问方式向所述堡垒机返回通道创建成功消息，以供所述堡垒机响应所述通道创建成功消息执行基于所述网络通道对所述第二VPC环境下的用户资源进行管理的操作；

其中，所述通道创建成功消息用于表征所述堡垒机与所述第二VPC之间的网络通道创建成功。

10.一种用户资源管理方法，其特征在于，适用于堡垒机，所述堡垒机设置于专用网络，且绑定有第一虚拟私有云VPC；所述方法包括：

请求设置于专用网络的管控服务节点提供所述堡垒机与第二VPC之间的网络通道，以供所述管控服务节点利用私有网络接口技术建立所述堡垒机与所述第二VPC之间的网络通道；所述第二VPC未与所述堡垒机绑定；

基于所述堡垒机与所述第二VPC之间的网络通道，对所述第二VPC环境下的用户资源进行管理。

11.根据权利要求10所述的方法，其特征在于，还包括：

获取所述管控服务节点通过反向访问方式提供的通道创建成功消息；所述通道创建成功消息用于表征所述堡垒机与所述第二VPC之间的网络通道创建成功；

在运维界面显示所述通道创建成功消息，以供所述堡垒机对应的管理人员查看。

12.一种资源管理系统，其特征在于，部署于专用网络的堡垒机和管控服务节点；所述系统还包括：与所述堡垒机绑定的第一虚拟私有云VPC及未与所述堡垒机绑定的第二VPC；所述第一VPC和所述第二VPC环境下设置有用户资源；

所述管控服务节点用于执行权利要求1-9任一项所述方法中的步骤；

所述堡垒机用于执行权利要求10或11所述方法中的步骤。

13.一种电子设备，其特征在于，包括：存储器、处理器及通信组件；其中，所述存储器，用于存储计算机程序；

所述处理器耦合至所述存储器及所述通信组件，用于执行所述计算机程序以用于执行权利要求12中管控服务节点执行的方法中的步骤，和/或，权利要求12中堡垒机执行的方法中的步骤。

14.一种存储有计算机指令的计算机可读存储介质，其特征在于，当所述计算机指令被一个或多个处理器执行时，致使所述一个或多个处理器执行权利要求12中管控服务节点执行的方法中的步骤，和/或，权利要求12中堡垒机执行的方法中的步骤。

Images