CN116455911B - 一种异构集群互通方法 - Google Patents
一种异构集群互通方法 Download PDFInfo
- Publication number
- CN116455911B CN116455911B CN202310315201.XA CN202310315201A CN116455911B CN 116455911 B CN116455911 B CN 116455911B CN 202310315201 A CN202310315201 A CN 202310315201A CN 116455911 B CN116455911 B CN 116455911B
- Authority
- CN
- China
- Prior art keywords
- cluster
- authentication
- network
- slave
- heterogeneous
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000003993 interaction Effects 0.000 claims abstract description 18
- 238000004364 calculation method Methods 0.000 claims description 41
- 230000015654 memory Effects 0.000 claims description 20
- 238000013499 data model Methods 0.000 claims description 12
- 238000007726 management method Methods 0.000 description 26
- 238000004590 computer program Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000005008 domestic process Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1044—Group management mechanisms
- H04L67/1046—Joining mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种异构集群互通方法,包括获取用户的网络认证信息,并控制该主集群的认证模块根据该网络认证信息生成网络认证token;获取该目标集群的网络操作请求,并通过该主集群的认证模块对该网络操作请求进行鉴权;在认证成功后,根据该网络操作请求进行网络配置;将网络配置结果发送至该目标集群中的转发器,以实现该异构集群的信息交互。上述方案由于只有主集群中部署SDN控制器和负责数据转发的转发器,其它从集群只需要部署转发器,所以只需要主集群与从集群中的转发器支持不同架构即可,这样在控制层面上可以形成集中管理,在数据层面上也可以实现不同架构集群的数据转发。
Description
技术领域
本申请涉及网络控制技术领域,具体涉及一种异构集群互通方法。
背景技术
Overlay是使用网络虚拟化在物理基础设施之上建立连接的逻辑网络。其实现了控制平面与转发平面的分离。在云环境中,网络通常采用Overlay的方式实现网络层面的虚拟化互通。
异构集群,指的是不同处理器架构组成的集群,随着国产化进程的推进,不同架构的集群被频繁应用与开发,如Arm架构集群及X86架构集群等。但是由于受限于虚拟化平台,相同架构通常是一个独立的集群,集群与集群间的虚机不能或不方便直接进行虚拟网络的互通。目前可以通过将流量绕行到物理路由器上的方式,实现不同架构的流量互访。
但在上述方案中,由于不同架构集群中的每个集群是独立的,虽然可以走到物理路由器上进行流量绕行,但不方便进行网络的集中管控,而且由于流量绕行到集中的转发设备上,容易导致流量发卡湾的情况。
发明内容
本申请提供了一种异构集群互通方法,可以实现不同架构集群之间的虚机流量互访,该技术方案如下。
一方面,提供了一种异构集群互通方法,所述异构集群包括主集群及从集群,所述主集群及所述从集群中均包括有各自的转发器;所述主集群中还包括有SDN控制器及认证模块;
所述方法由所述SDN控制器执行,所述方法包括:
获取用户的网络认证信息,并调用所述主集群的认证模块根据所述网络认证信息生成通用网络认证token;
当获取到目标集群的网络操作请求时,调用所述主集群的认证模块对所述通用网络认证token进行鉴权认证,所述目标集群包括所述主集群及所述从集群中的至少一者;
在鉴权认证成功后,根据所述网络操作请求进行网络配置;
将网络配置结果发送至所述目标集群中的转发器,以实现所述异构集群的信息交互。
又一方面,提供了一种异构集群互通系统,所述系统包括:主集群及从集群,所述主集群及所述从集群中均包括有各自的转发器;所述主集群中还包括有所述SDN控制器及认证模块;
所述SDN控制器,用于:
获取用户的网络认证信息,并调用所述主集群的认证模块根据所述网络认证信息生成通用网络认证token;
当获取到目标集群的网络操作请求时,调用所述主集群的认证模块对所述通用网络认证token进行鉴权认证,所述目标集群包括所述主集群及所述从集群中的至少一者;
在鉴权认证成功后,根据所述网络操作请求进行网络配置;
将网络配置结果发送至所述目标集群中的转发器,以实现所述异构集群的信息交互。
再一方面,提供了一种异构集群互通装置,所述装置应用于异构集群互通系统中的SDN控制器中,所述异构集群互通系统包括主集群及从集群,所述主集群及所述从集群中均包括有各自的转发器;所述主集群中还包括有所述SDN控制器及认证模块;
所述装置包括:
网络认证token生成模块,用于获取用户的网络认证信息,并调用所述主集群的认证模块根据所述网络认证信息生成通用网络认证token;
请求鉴权模块,用于当获取到目标集群的网络操作请求时,调用所述主集群的认证模块对所述通用网络认证token进行鉴权认证,所述目标集群包括所述主集群及所述从集群中的至少一者;
网络配置模块,用于在鉴权认证成功后,根据所述网络操作请求进行网络配置;
配置转发模块,用于将网络配置结果发送至所述目标集群中的转发器,以实现所述异构集群的信息交互。
在一种可能的实施方式中,所述异构集群中包括有一个所述主集群及至少一个所述从集群。
在一种可能的实施方式中,所述装置还用于:
将所述通用网络认证token发送至所述目标集群中,以使所述目标集群在向所述SDN控制器发送所述网络操作请求时,所述网络操作请求中携带有所述通用网络认证token。
在一种可能的实施方式中,所述网络访问认证信息包括用户名、用户密码及租户地址;所述网络配置指示网络相关资源的创建,所述网络相关资源包括网络、子网及端口。
在一种可能的实施方式中,所述配置转发模块,还用于:
将网络配置结果转化为数据面的数据模型,并将所述数据面的数据模型发送至所述目标集群中的转发器,以使所述目标集群中的转发器根据所述数据面的数据模型生成路由表及流表,实现所述异构集群的信息交互。
在一种可能的实施方式中,所述从集群中也包括有各自的认证模块;
所述从集群的认证模块,还用于根据用户的存储认证信息生成独用存储认证token,并根据所述独用存储认证token对所述从集群的存储操作请求进行鉴权;
所述从集群的认证模块,还用于根据用户的计算认证信息生成独用计算认证token,并根据所述独用计算认证token对所述从集群的计算操作请求进行鉴权。
又一方面,提供了一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行以实现上述的一种异构集群互通方法。
再一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令,所述至少一条指令由处理器加载并执行以实现上述的一种异构集群互通方法。
又一方面,提供了一种计算机程序产品或计算机程序,所述计算机程序产品或计算机程序包括计算机指令,所述计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质中读取所述计算机指令,处理器执行所述计算机指令,使得所述计算机设备执行上述一种异构集群互通方法。
本申请提供的技术方案可以包括以下有益效果:
上述方案在网络相关资源方面,通过主集群中的SDN控制器及认证模块将不同集群间的认证体系打通,在SDN控制器的API层面使用相同的认证服务,获取通用网络认证token。这样不同集群访问网络时,都会通过该通用网络认证token进行鉴权,访问主集群中的SDN控制器并进行网络配置。由于只有主集群中部署SDN控制器和负责数据转发的转发器,其它从集群只需要部署转发器,所以只需要主集群与从集群中的转发器支持不同架构即可,这样在控制层面上可以形成集中管理,在数据层面上也可以实现不同架构集群的数据转发。
附图说明
为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种异构集群互通系统的结构示意图。
图2是根据一示例性实施例示出的一种异构集群互通方法的方法流程图。
图3是根据一示例性实施例示出的一种异构集群互通装置的结构方框图。
图4示出了本申请一示例性实施例示出的计算机设备的结构框图。
具体实施方式
下面将结合附图对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应理解,在本申请的实施例中提到的“指示”可以是直接指示,也可以是间接指示,还可以是表示具有关联关系。举例说明,A指示B,可以表示A直接指示B,例如B可以通过A获取;也可以表示A间接指示B,例如A指示C,B可以通过C获取;还可以表示A和B之间具有关联关系。
在本申请实施例的描述中,术语“对应”可表示两者之间具有直接对应或间接对应的关系,也可以表示两者之间具有关联关系,也可以是指示与被指示、配置与被配置等关系。
图1是根据一示例性实施例示出的一种异构集群互通系统的结构示意图。
该异构集群互通系统中的异构集群包括一个主集群及一个或多个从集群,如图1所示,该主集群(示例性的,该主集群可以是图1中的X86架构集群)中包括有SDN控制器、对应的转发器及认证模块;该各个从集群(示例性的,该主集群可以是图1中的Arm架构集群)中也分别包括有对应的转发器及认证模块。
该SDN控制器,用于:
获取用户的网络认证信息,并调用该主集群的认证模块根据该网络认证信息生成通用网络认证token;
当获取到目标集群的网络操作请求时,调用该主集群的认证模块对该通用网络认证token进行鉴权认证,该目标集群包括该主集群及该从集群中的至少一者;
在鉴权认证成功后,根据该网络操作请求进行网络配置;
将网络配置结果发送至该目标集群中的转发器,以实现该异构集群的信息交互。
进一步的,在该异构集群互通系统中,只有该主集群中设置有SDN控制器,其他的从集群中均不设置该SDN控制器;即本申请只在该异构集群的一个集群中设置SDN控制器,并将设置有该SDN控制器定义为主集群,其他集群定义为从集群。
进一步的,该异构集群互通系统中还包括有异构集群管理平台,该异构集群管理平台又包括各个集群管理模块(每个集群对应有一个集群管理模块,如图1中的X86集群管理模块及Arm集群管理模块),用于实现该异构集群互通系统的封装管理,在进行网络相关资源的操作时,异构集群管理平台获取用户的网络认证信息,并将该网络认证信息发送至该主集群的认证模块,该SDN控制器控制该主集群中的认证模块根据该网络认证信息生成通用网络认证token,进而将不同集群间的认证体系打通,以使不同集群访问网络时,都会通过该通用网络认证token进行鉴权。在鉴权成功后,该主集群中的SDN控制器进行网络配置,并将网络配置结果发送至对应的主集群中的转发器或从集群中的转发器;从而实现不同架构集群之间的数据转发。
此外,由于只有主集群中部署SDN控制器和负责数据转发的转发器,其它从集群只需要部署转发器,只需要主集群与从集群中的转发器支持不同架构即可,这样在控制层面上可以形成集中管理,在数据层面上也可以实现不同架构集群的数据转发。
进一步的,只有在进行网络相关资源的操作时,通过主集群中的认证模块生成通用网络认证token并进行鉴权;而在进行其它资源的访问时,如存储/计算等,直接使用本集群内部的认证模块实现生成独用认证token并进行鉴权。即当从集群或从集群需要进行存储/计算操作时,直接使用从集群或该从集群自身的认证模块实现生成独用认证token并进行鉴权。
图2是根据一示例性实施例示出的一种异构集群互通方法的方法流程图。该异构集群包括主集群及从集群,该主集群及该从集群中均包括有各自的转发器;该主集群中还包括有SDN控制器及认证模块;该方法由SDN控制器执行,该主集群可以是如图1中所示的X86架构集群。如图2所示,该方法可以包括如下步骤:
S201、获取用户的网络认证信息,并调用该主集群的认证模块根据该网络认证信息生成通用网络认证token。
在一种可能的实施方式中,该异构集群中包括有一个主集群及至少一个从集群。该网络访问认证信息包括网络访问认证时的用户名、用户密码及租户地址。
在一种可能的实施方式中,该用户的网络认证信息是由异构集群管理平台获取的。
进一步的,当该主集群或该从集群需要进行网络相关资源的操作时,异构集群管理平台获取用户的网络认证信息,并将该网络认证信息发送至该主集群的认证模块,通过主集群的认证模块根据该网络认证信息生成通用网络认证token,该通用网络认证token在进行后续的网络相关资源操作时可以充当身份许可的角色,判断需要进行网络相关资源操作的目标集群是否被允许继续进行操作。
S202、当获取到目标集群的网络操作请求时,调用该主集群的认证模块对该通用网络认证token进行鉴权认证,该目标集群包括该主集群及该从集群中的至少一者。
在一种可能的实施方式中,在该调用该主集群的认证模块根据该网络认证信息生成通用网络认证token后,将该通用网络认证token发送至该目标集群中,以使该目标集群在向该SDN控制器发送该网络操作请求时,该网络操作请求中携带有该通用网络认证token。
进一步的,目标集群在发送网络操作请求时,会先通过异构集群管理平台对SDN控制器在API层面上用于传输通用网络认证token的API接口进行调用,从而该目标集群可以获取到该通用网络认证token,因此,该目标集群向该SDN控制器发送的网络操作请求中携带有该通用网络认证token,之后,通过SDN控制器对该主集群的认证模块进行调用,使该主集群的认证模块对该网络操作请求携带的通用网络认证token进行鉴权认证。
S203、在鉴权认证成功后,根据该网络操作请求进行网络配置。
在一种可能的实施方式中,该网络配置指示网络相关资源的创建,该网络相关资源包括网络、子网及端口。
进一步的,在鉴权认证成功后,该目标集群才被许可与其他架构集群进行网络相关资源访问与操作,此时该SDN控制器将会根据网络操作请求进行网络配置。
S204、将网络配置结果发送至该目标集群中的转发器,以实现该异构集群的信息交互。
在一种可能的实施方式中,将网络配置结果转化为数据面的数据模型,并将该数据面的数据模型发送至该目标集群中的转发器,以使该目标集群中的转发器根据该数据面的数据模型生成路由表及流表,实现该异构集群的信息交互。
进一步的,该SDN控制器将配置结果发送至该目标集群的转发器中,该目标集群的转发器会根据该配置结果生成路由表及流表,从而实现信息交互。
进一步的,该从集群中也包括有各自的认证模块;
该从集群的认证模块,还用于根据用户的存储认证信息生成独用存储认证token,并根据该独用存储认证token对该从集群本集群的存储操作请求进行鉴权;该存储认证信息为该从集群的集群管理模块获取的;该存储认证信息包括存储认证的用户名、用户密码及租户地址等。
该从集群的认证模块,还用于根据用户的计算认证信息生成独用计算认证token,并根据该独用计算认证token对该从集群本集群的计算操作请求进行鉴权;该计算认证信息为该从集群的集群管理模块获取的;该计算认证信息包括计算认证信息的用户名、用户密码及租户地址等。
进一步的,从集群在进行网络相关资源的操作需要应用到主集群中的认证模块,而不会涉及到从集群自身的认证模块;而在进行其它资源的访问时,如存储/计算等,需要直接使用从集群本集群内部的认证模块实现生成独用认证token并进行鉴权。同样的,若主集群也需要进行存储/计算等,也是直接使用主集群本集群内部的认证模块实现生成独用认证token并进行鉴权。
以下通过简单实例对上述实施例进行进一步的说明:
以图1中的X86架构集群及Arm架构集群为例,由于已设定该X86架构集群中包括有SDN控制器,而Arm架构集群中没有该SDN控制器,因此,该X86架构集群为主集群,而该Arm架构集群为从集群。该X86架构集群中包括有X86集群管理模块、转发器、SDN控制器及认证模块;该Arm架构集群中有Arm集群管理模块、转发器及认证模块。该X86架构集群及该Arm架构集群的网络操作请求都发送给至该X86架构集群中的认证模块进行鉴权认证。
若是该Arm架构集群需要向该X86架构集群进行网络相关资源访问或网络相关资源的操作时,首先,异构集群互通系统中的异构集群管理平台获取用户的网络认证信息,并将该网络认证信息发送至该X86架构集群的认证模块,该X86架构集群的认证模块根据该网络认证信息生成通用网络认证token;此时,Arm架构集群在向该SDN控制器发送网络操作请求时,会先通过异构集群管理平台对SDN控制器在API层面上用于传输通用网络认证token的API接口进行调用,从而该Arm架构集群获取到该通用网络认证token,因此,该Arm架构集群向该SDN控制器发送的网络操作请求中携带有该通用网络认证token;之后,通过SDN控制器对该X86架构集群的认证模块进行调用,使该X86架构集群的认证模块对该网络操作请求携带的通用网络认证token进行鉴权认证,该通用网络认证token充当身份许可的角色,在认证成功后,该Arm架构集群才被许可向该X86架构集群进行网络相关资源访问与操作,此时,该SDN控制器将会根据网络操作请求进行网络配置,并将配置结果发送至该Arm架构集群的转发器,该Arm架构集群的转发器会根据该配置结果生成路由表及流表,从而实现与该X86架构集群的信息交互。
同样的,若是该X86架构集群需要向该Arm架构集群进行网络相关资源访问或网络相关资源的操作时,首先,异构集群互通系统的异构集群管理平台获取用户的网络认证信息,并将该网络认证信息发送至该X86架构集群的认证模块,该X86架构集群的认证模块根据该网络认证信息生成通用网络认证token;此时,该X86架构集群在向SDN控制器发送网络操作请求时,会先通过异构集群管理平台对SDN控制器在API层面上用于传输通用网络认证token的API接口进行调用,从而该X86架构集群获取到该通用网络认证token,因此,该X86架构集群的操作请求中携带有该通用网络认证token;之后,通过SDN控制器对该X86架构集群的认证模块进行调用,使该X86架构集群的认证模块对该网络操作请求携带的通用网络认证token进行鉴权认证,该通用网络认证token充当身份许可的角色,在认证成功后,该X86架构集群才被许可向该Arm架构集群进行网络相关资源访问与操作,此时,该SDN控制器将会根据网络操作请求进行网络配置,并将配置结果发送至该X86架构集群的转发器,该X86架构集群的转发器会根据该配置结果生成路由表及流表,从而实现与该Arm架构集群的信息交互。
上述示例的应用场景为需要进行网络相关资源的操作,其需要应用到该X86架构集群中的认证模块,而不会涉及到Arm架构集群中的认证模块;而在进行其它资源的访问时,如存储/计算等,需要直接使用本集群内部的认证模块实现生成认证token并进行鉴权,此时沿用上例。
若是该Arm架构集群需要进行本集群内部的存储相关操作或计算相关操作时,会通过本集群内部的认证模块生成独用存储认证token及独用计算认证token(通过Arm架构集群的集群管理模块获取存储认证信息,并通过Arm架构集群的认证模块根据存储认证信息生成独用存储认证token;通过Arm架构集群的集群管理模块获取计算认证信息,并通过Arm架构集群的认证模块根据计算认证信息生成独用计算认证token),之后,依旧是通过Arm架构集群的认证模块对存储操作请求及计算操作请求进行鉴权,该存储操作请求中携带有该独用存储认证token,该计算操作请求也携带有该独用计算认证token,该Arm架构集群的认证模块就是通过该独用存储认证token对该存储操作请求进行鉴权,通过该独用计算认证token对该计算操作请求进行鉴权,在鉴权成功后,该Arm架构集群才会执行存储相关操作或计算相关操作。
同样的,该主集群,即X86架构集群的存储相关操作及计算相关操作的也是通过本集群内的认证模块实现鉴权的,其实现步骤同从集群,即与上述Arm架构集群一样,此处不再进行赘述。
综上所述,上述方案在网络相关资源方面,通过主集群中的SDN控制器及认证模块将不同集群间的认证体系打通,在SDN控制器的API层面使用相同的认证服务,获取通用网络认证token。这样不同集群访问网络时,都会通过该通用网络认证token进行鉴权,访问主集群中的SDN控制器并进行网络配置。由于只有主集群中部署SDN控制器和负责数据转发的转发器,其它从集群只需要部署转发器,所以只需要主集群与从集群中的转发器支持不同架构即可,这样在控制层面上可以形成集中管理,在数据层面上也可以实现不同架构集群的数据转发。
图3是根据一示例性实施例示出的一种异构集群互通装置的结构方框图。该装置应用于异构集群互通系统中的SDN控制器中,该异构集群互通系统包括主集群及从集群,该主集群及该从集群中均包括有各自的转发器;该主集群中还包括有该SDN控制器及认证模块,该装置包括:
网络认证token生成模块301,用于获取用户的网络认证信息,并调用该主集群的认证模块根据该网络认证信息生成通用网络认证token;
请求鉴权模块302,用于当获取到目标集群的网络操作请求时,调用该主集群的认证模块对该通用网络认证token进行鉴权认证,该目标集群包括该主集群及该从集群中的至少一者;
网络配置模块303,用于在认证成功后,根据该网络操作请求进行网络配置;
配置转发模块304,用于将网络配置结果发送至该目标集群中的转发器,以实现该异构集群的信息交互。
在一种可能的实施方式中,该异构集群中包括有一个该主集群及至少一个该从集群。
在一种可能的实施方式中,该装置还用于:
将该通用网络认证token发送至该目标集群中,以使该目标集群在向该SDN控制器发送该网络操作请求时,该网络操作请求中携带有该通用网络认证token。
在一种可能的实施方式中,该网络访问认证信息包括用户名、用户密码及租户地址;该网络配置指示网络相关资源的创建,该网络相关资源包括网络、子网及端口。
在一种可能的实施方式中,该配置转发模块304,还用于:
将网络配置结果转化为数据面的数据模型,并将该数据面的数据模型发送至该目标集群中的转发器,以使该目标集群中的转发器根据该数据面的数据模型生成路由表及流表,实现该异构集群的信息交互。
在一种可能的实施方式中,该从集群中也包括有各自的认证模块;
该从集群的认证模块,还用于根据用户的存储认证信息生成独用存储认证token,并根据该独用存储认证token对该从集群的存储操作请求进行鉴权;
该从集群的认证模块,还用于根据用户的计算认证信息生成独用计算认证token,并根据该独用计算认证token对该从集群的计算操作请求进行鉴权。
综上所述,上述方案在网络相关资源方面,通过主集群中的SDN控制器及认证模块将不同集群间的认证体系打通,在SDN控制器的API层面使用相同的认证服务,获取通用网络认证token。这样不同集群访问网络时,都会通过该通用网络认证token进行鉴权,访问主集群中的SDN控制器并进行网络配置。由于只有主集群中部署SDN控制器和负责数据转发的转发器,其它从集群只需要部署转发器,所以只需要主集群与从集群中的转发器支持不同架构即可,这样在控制层面上可以形成集中管理,在数据层面上也可以实现不同架构集群的数据转发。
图4示出了本申请一示例性实施例示出的一种计算机设备的结构框图。所述计算机设备包括存储器和处理器,所述存储器用于存储计算机程序,所述计算机程序被所述处理器执行时,实现上述的一种异构集群互通方法。
其中,处理器可以为中央处理器(Central Processing Unit,CPU)。处理器还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施方式中的方法对应的程序指令/模块。处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施方式中的方法。
存储器可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请一个实施方式还提供一种计算机存储介质,该计算机存储介质用于存储计算机程序,该计算机程序被处理器执行时,实现上述的一种异构集群互通方法。
本领域技术人员可以理解,实现上述实施方式方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施方式的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random AccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施方式,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种异构集群互通方法,其特征在于,所述方法由异构集群互通系统中的SDN控制器执行,所述异构集群互通系统包括主集群及从集群,所述主集群及所述从集群中均包括有各自的转发器;所述主集群中还包括有所述SDN控制器及认证模块;所述从集群中也包括有各自的认证模块;所述从集群的认证模块,用于根据生成所述从集群的独用认证token进行,以进行所述从集群内的存储操作或计算操作的鉴权;所述主集群的认证模块,用于生成所述主集群的独用认证token,以进行所述主集群内的存储操作或计算操作的鉴权;
所述方法包括:
获取用户的网络认证信息,并调用所述主集群的认证模块根据所述网络认证信息生成通用网络认证token;
当获取到目标集群的网络操作请求时,调用所述主集群的认证模块对所述通用网络认证token进行鉴权认证,所述目标集群包括所述主集群及所述从集群中的至少一者;
在鉴权认证成功后,根据所述网络操作请求进行网络配置;
将网络配置结果发送至所述目标集群中的转发器,以实现所述异构集群的信息交互。
2.根据权利要求1所述的方法,其特征在于,所述异构集群中包括有一个所述主集群及至少一个所述从集群。
3.根据权利要求1所述的方法,其特征在于,在所述调用所述主集群的认证模块根据所述网络认证信息生成通用网络认证token后,所述方法还包括:
将所述通用网络认证token发送至所述目标集群中,以使所述目标集群在向所述SDN控制器发送所述网络操作请求时,所述网络操作请求中携带有所述通用网络认证token。
4.根据权利要求1所述的方法,其特征在于,所述网络认证信息包括用户名、用户密码及租户地址;
所述网络配置指示网络相关资源的创建,所述网络相关资源包括网络、子网及端口。
5.根据权利要求1所述的方法,其特征在于,所述将网络配置结果发送至所述目标集群中的转发器,以实现所述异构集群的信息交互,包括:
将网络配置结果转化为数据面的数据模型,并将所述数据面的数据模型发送至所述目标集群中的转发器,以使所述目标集群中的转发器根据所述数据面的数据模型生成路由表及流表,实现所述异构集群的信息交互。
6.根据权利要求1至5任一所述的方法,其特征在于,所述从集群的认证模块,还用于根据用户的存储认证信息生成独用存储认证token,并根据所述独用存储认证token对所述从集群的存储操作请求进行鉴权;所述从集群的认证模块,还用于根据用户的计算认证信息生成独用计算认证token,并根据所述独用计算认证token对所述从集群的计算操作请求进行鉴权。
7.一种异构集群互通系统,其特征在于,所述系统包括:主集群及从集群,所述主集群及所述从集群中均包括有各自的转发器;所述主集群中还包括有SDN控制器及认证模块;所述从集群中也包括有各自的认证模块;所述从集群的认证模块,用于根据生成所述从集群的独用认证token进行,以进行所述从集群内的存储操作或计算操作的鉴权;所述主集群的认证模块,用于生成所述主集群的独用认证token,以进行所述主集群内的存储操作或计算操作的鉴权;
所述SDN控制器,用于:
获取用户的网络认证信息,并调用所述主集群的认证模块根据所述网络认证信息生成通用网络认证token;
当获取到目标集群的网络操作请求时,调用所述主集群的认证模块对所述通用网络认证token进行鉴权认证,所述目标集群包括所述主集群及所述从集群中的至少一者;
在鉴权认证成功后,根据所述网络操作请求进行网络配置;
将网络配置结果发送至所述目标集群中的转发器,以实现所述异构集群的信息交互。
8.一种异构集群互通装置,其特征在于,所述装置应用于异构集群互通系统中的SDN控制器中,所述异构集群互通系统包括主集群及从集群,所述主集群及所述从集群中均包括有各自的转发器;所述主集群中还包括有所述SDN控制器及认证模块;所述从集群中也包括有各自的认证模块;所述从集群的认证模块,用于根据生成所述从集群的独用认证token进行,以进行所述从集群内的存储操作或计算操作的鉴权;所述主集群的认证模块,用于生成所述主集群的独用认证token,以进行所述主集群内的存储操作或计算操作的鉴权;
所述装置包括:
网络认证token生成模块,用于获取用户的网络认证信息,并调用所述主集群的认证模块根据所述网络认证信息生成通用网络认证token;
请求鉴权模块,用于当获取到目标集群的网络操作请求时,调用所述主集群的认证模块对所述通用网络认证token进行鉴权认证,所述目标集群包括所述主集群及所述从集群中的至少一者;
网络配置模块,用于在鉴权认证成功后,根据所述网络操作请求进行网络配置;
配置转发模块,用于将网络配置结果发送至所述目标集群中的转发器,以实现所述异构集群的信息交互。
9.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行以实现如权利要求1至6任一所述的一种异构集群互通方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令,所述至少一条指令由处理器加载并执行以实现如权利要求1至6任一所述的一种异构集群互通方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310315201.XA CN116455911B (zh) | 2023-03-28 | 2023-03-28 | 一种异构集群互通方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310315201.XA CN116455911B (zh) | 2023-03-28 | 2023-03-28 | 一种异构集群互通方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116455911A CN116455911A (zh) | 2023-07-18 |
CN116455911B true CN116455911B (zh) | 2024-03-22 |
Family
ID=87132988
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310315201.XA Active CN116455911B (zh) | 2023-03-28 | 2023-03-28 | 一种异构集群互通方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116455911B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106533751A (zh) * | 2016-11-07 | 2017-03-22 | 杭州华三通信技术有限公司 | 一种sdn控制器集群合并方法及装置 |
WO2017102099A1 (en) * | 2015-12-19 | 2017-06-22 | Telefonaktiebolaget Lm Ericsson (Publ) | A method and apparatus for trust based authentication in sdn clustering |
CN108365979A (zh) * | 2018-01-31 | 2018-08-03 | 深信服科技股份有限公司 | 跨集群的控制器管理方法、sdn控制器及存储介质 |
CN110636103A (zh) * | 2019-07-22 | 2019-12-31 | 中山大学 | 一种多异构集群作业统一调度方法及api接口 |
CN112861188A (zh) * | 2021-02-01 | 2021-05-28 | 青岛易来智能科技股份有限公司 | 用于多集群的数据汇集系统和方法 |
CN114675938A (zh) * | 2022-04-21 | 2022-06-28 | 江苏安超云软件有限公司 | 一种异构集群虚拟机迁移方法、系统及云平台 |
CN114844902A (zh) * | 2022-06-30 | 2022-08-02 | 南京邮电大学 | 一种基于区块链技术的sdn控制器与设备交互方法 |
CN115150410A (zh) * | 2022-07-19 | 2022-10-04 | 京东科技信息技术有限公司 | 多集群访问方法和系统 |
CN115460074A (zh) * | 2018-11-16 | 2022-12-09 | 瞻博网络公司 | 用于分布式计算部署的网络控制器子集群 |
-
2023
- 2023-03-28 CN CN202310315201.XA patent/CN116455911B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017102099A1 (en) * | 2015-12-19 | 2017-06-22 | Telefonaktiebolaget Lm Ericsson (Publ) | A method and apparatus for trust based authentication in sdn clustering |
CN106533751A (zh) * | 2016-11-07 | 2017-03-22 | 杭州华三通信技术有限公司 | 一种sdn控制器集群合并方法及装置 |
CN108365979A (zh) * | 2018-01-31 | 2018-08-03 | 深信服科技股份有限公司 | 跨集群的控制器管理方法、sdn控制器及存储介质 |
CN115460074A (zh) * | 2018-11-16 | 2022-12-09 | 瞻博网络公司 | 用于分布式计算部署的网络控制器子集群 |
CN110636103A (zh) * | 2019-07-22 | 2019-12-31 | 中山大学 | 一种多异构集群作业统一调度方法及api接口 |
CN112861188A (zh) * | 2021-02-01 | 2021-05-28 | 青岛易来智能科技股份有限公司 | 用于多集群的数据汇集系统和方法 |
CN114675938A (zh) * | 2022-04-21 | 2022-06-28 | 江苏安超云软件有限公司 | 一种异构集群虚拟机迁移方法、系统及云平台 |
CN114844902A (zh) * | 2022-06-30 | 2022-08-02 | 南京邮电大学 | 一种基于区块链技术的sdn控制器与设备交互方法 |
CN115150410A (zh) * | 2022-07-19 | 2022-10-04 | 京东科技信息技术有限公司 | 多集群访问方法和系统 |
Non-Patent Citations (1)
Title |
---|
一种基于集群的SDN控制器负载均衡方案;黄小曼;沈苏彬;;计算机应用与软件(06);第137-140页 * |
Also Published As
Publication number | Publication date |
---|---|
CN116455911A (zh) | 2023-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112511611B (zh) | 节点集群的通信方法、装置、系统及电子设备 | |
EP3804282B1 (en) | Native blockchain platform for improving workload mobility in telecommunication networks | |
US10698717B2 (en) | Accelerator virtualization method and apparatus, and centralized resource manager | |
CN111934918B (zh) | 对同一容器集群内的容器实例的网络隔离方法和装置 | |
US10824454B2 (en) | 5G dynamic slice and network identity instantiation, termination, and access management system and method | |
CN108062248B (zh) | 异构虚拟化平台的资源管理方法、系统、设备及存储介质 | |
JP6190949B2 (ja) | 仮想ネットワーク機能マネージャによる仮想インフラストラクチャマネージャへのアクセスの自動化構成 | |
CN108881228B (zh) | 云端注册激活方法、装置、设备和存储介质 | |
CN114025021B (zh) | 一种跨Kubernetes集群的通信方法、系统、介质和电子设备 | |
EP3327994B1 (en) | Virtual network management | |
CN110995777B (zh) | 一种业务管理方法及装置 | |
CN108768957B (zh) | 一种应用的用户信息管理的方法、设备及系统 | |
EP3249871A1 (en) | Method and device for updating network service descriptor | |
CN108028833A (zh) | 一种nas数据访问的方法、系统及相关设备 | |
US20200159555A1 (en) | Provider network service extensions | |
CN111464609A (zh) | 数据通信方法、装置及电子设备 | |
CN108462752B (zh) | 一种访问共享网络的方法、系统及vpc管理设备以及可读存储介质 | |
US20230106581A1 (en) | Confidential computing environment including devices connected to a network interface device | |
WO2015192556A1 (zh) | 云调度管理方法、管理中心及管理系统 | |
CN116455911B (zh) | 一种异构集群互通方法 | |
KR101759429B1 (ko) | 멀티 도메인 환경에서 도메인과 대응되는 피어 및 이의 제어 방법 | |
CN112953986A (zh) | 一种边缘应用的管理方法及装置 | |
CN109933959B (zh) | 一种许可证控制方法及相关设备 | |
CN107239350B (zh) | 用于调用网关能力的方法和系统 | |
CN111800340B (zh) | 数据包转发方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |