CN116527490A - 一种任务处理的方法、装置、存储介质及电子设备 - Google Patents

一种任务处理的方法、装置、存储介质及电子设备 Download PDF

Info

Publication number
CN116527490A
CN116527490A CN202310452335.6A CN202310452335A CN116527490A CN 116527490 A CN116527490 A CN 116527490A CN 202310452335 A CN202310452335 A CN 202310452335A CN 116527490 A CN116527490 A CN 116527490A
Authority
CN
China
Prior art keywords
target application
configuration
access configuration
configuration information
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310452335.6A
Other languages
English (en)
Inventor
崔星
王新宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN202310452335.6A priority Critical patent/CN116527490A/zh
Publication of CN116527490A publication Critical patent/CN116527490A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/084Configuration by using pre-existing information, e.g. using templates or copying from other elements
    • H04L41/0843Configuration by using pre-existing information, e.g. using templates or copying from other elements based on generic templates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本说明书公开了一种任务处理的方法、装置、存储介质及电子设备。首先,获取目标应用对应的期望配置,期望配置用于表示目标应用对各服务器的访问权限,目标应用包括:线上业务实际使用的应用程序以及仿真环境中部署的应用程序。其次,根据期望配置以及确定出的目标应用对应的配置模板,生成目标应用对应的访问配置信息。而后,根据访问配置信息,对目标应用进行访问配置,得到配置后的目标应用。最后,根据配置后的目标应用,进行任务处理。本方法可以避免业务数据的污染。

Description

一种任务处理的方法、装置、存储介质及电子设备
技术领域
本说明书涉及计算机技术领域,尤其涉及一种任务处理的方法、装置、存储介质及电子设备。
背景技术
为了保证业务应用程序能够正常运行,通常会对业务应用程序进行仿真测试。现有的仿真测试的方法是对业务应用程序中的业务数据进行复制,得到仿真数据,再将仿真数据放入到仿真环境,通过仿真应用程序进行仿真测试,以帮助用户提前发现业务风险。
但是,由于仿真环境中的仿真数据与业务数据完全相同,如果在进行仿真测试的过程中,仿真服务器(即仿真应用程序所使用的服务器)访问了业务应用程序对应的服务器,会造成业务数据的污染,影响业务处理。
为克服上述问题,目前,常见的方法为设置各安全组,安全组是一种虚拟防火墙,通过安全组中的安全组规则,确定各服务器所能访问的服务器以及不能访问的服务器,以此对仿真服务器进行限制,避免仿真服务器访问业务应用程序对应的服务器。
在实际仿真测试过程中,随着仿真测试的需求变更,需要对安全组中的安全组规则。在修改安全组规则时,而由于一个仿真应用程序可能会对应多个安全组,这就导致将一个安全组的安全组规则进行修改后,可能会与另一个安全组的安全组规则产生冲突。
例如,假设在安全组1中规定仿真服务器a能够访问A服务器,但是不能访问B服务器,在安全组2中规定仿真服务器a能够访问C服务器,但是不能访问D服务器。现在根据实际需求,安全组1的安全组规则进行修改,使之安全组1中涉及的服务器均能访问D服务器,但是不能访问F服务器,可是这样一来,仿真服务器a在安全组1中规定可以访问D服务器,但是在安全组2中又规定不能访问D服务器,导致出现冲突,进而可能会出现数据污染的情况。
因此,如何能够避免业务数据的污染,则是一个亟待解决的问题。
发明内容
本说明书提供一种任务处理的方法、装置、存储介质及电子设备,以避免业务数据的污染。
本说明书采用下述技术方案:
本说明书提供了一种任务处理的方法,包括:
获取目标应用对应的期望配置,所述期望配置用于表示所述目标应用对各服务器的访问权限,所述目标应用包括:线上业务实际使用的应用程序以及仿真环境中部署的应用程序;
根据所述期望配置以及确定出的所述目标应用对应的配置模板,生成所述目标应用对应的访问配置信息;
根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用;
根据所述配置后的目标应用,进行任务处理。
可选地,获取目标应用对应的期望配置,具体包括:
确定所述目标应用当前所能访问的IP地址的地址列表,作为当前地址列表;
根据所述当前地址列表中的IP地址,确定所述目标应用所属的数据平台,作为目标数据平台;
从所述目标数据平台中查询所述目标应用未来所能访问的IP地址的地址列表,作为未来地址列表;
根据所述未来地址列表,确定目标应用对应的期望配置。
可选地,根据所述期望配置以及确定出的所述目标应用对应的配置模板,生成所述目标应用对应的访问配置信息,具体包括:
获取目标应用对应的当前配置,所述当前配置用于表示所述目标应用当前能够访问的服务器以及当前不能访问的服务器;
将所述当前配置与所述期望配置进行比对,得到比对结果;
根据所述比对结果对所述当前配置进行调整,得到调整后配置;
根据所述调整后配置以及确定出的所述目标应用对应的配置模板,生成所述目标应用对应的访问配置信息。
可选地,根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用,具体包括:
若确定所述访问配置信息与所述目标应用的历史访问配置信息之间存在配置差异,则根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用;
若确定所述访问配置信息与所述目标应用历史访问配置信息之间不存在配置差异,则保留所述目标应用对应的服务器的历史访问配置信息,不对所述目标应用进行访问配置。
可选地,若确定所述访问配置信息与所述目标应用的历史访问配置信息之间存在配置差异,则根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用,具体包括:
若确定所述目标应用对应的当前配置模板与所述目标应用对应的历史配置模板之间不存在模板差异,且确定所述访问配置信息与所述目标应用的历史访问配置信息之间存在配置差异,则根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用;
若确定所述访问配置信息与所述目标应用历史访问配置信息之间不存在配置差异,则保留所述目标应用对应的服务器的历史访问配置信息,不对所述目标应用进行访问配置,具体包括:
若确定所述目标应用对应的当前配置模板与所述目标应用对应的历史配置模板之间不存在模板差异,且确定所述访问配置信息与所述目标应用的历史访问配置信息之间不存在配置差异,则保留所述目标应用对应的服务器的历史访问配置信息,不对所述目标应用进行访问配置。
可选地,所述方法还包括:
若确定所述目标应用对应的当前配置模板与所述目标应用对应的历史配置模板之间存在模板差异,则判断所述目标应用对应的当前配置模板是否满足设定条件;
若确定所述目标应用对应的当前配置模板满足设定条件,且确定所述访问配置信息与所述目标应用的历史访问配置信息之间存在配置差异,则根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用;
若确定所述目标应用对应的当前配置模板满足设定条件,且确定所述访问配置信息与所述目标应用的历史访问配置信息之间不存在配置差异,则保留所述目标应用对应的服务器的历史访问配置信息,不对所述目标应用进行访问配置。
可选地,所述方法还包括:
若确定所述目标应用对应的当前配置模板不满足设定条件,则保留所述目标应用对应的服务器的历史访问配置信息,不对所述目标应用进行访问配置。
本说明书提供了一种任务处理的装置,包括:
获取模块,用于获取目标应用对应的期望配置,所述期望配置用于表示所述目标应用对各服务器的访问权限,所述目标应用包括:线上业务实际使用的应用程序以及仿真环境中部署的应用程序;
生成模块,用于根据所述期望配置以及确定出的所述目标应用对应的配置模板,生成所述目标应用对应的访问配置信息;
配置模块,用于根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用;
处理模块,用于根据所述配置后的目标应用,进行任务处理。
本说明书提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述任务处理的方法。
本说明书提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任务处理的方法。
本说明书采用的上述至少一个技术方案能够达到以下有益效果:
在本说明书提供的任务处理的方法中,首先,获取目标应用对应的期望配置,期望配置用于表示目标应用对各服务器的访问权限,目标应用包括:线上业务实际使用的应用程序以及仿真环境中部署的应用程序。其次,根据期望配置以及确定出的目标应用对应的配置模板,生成目标应用对应的访问配置信息。而后,根据访问配置信息,对目标应用进行访问配置,得到配置后的目标应用。最后,根据配置后的目标应用,进行任务处理。
从上述方法中可以看出,本方法可以根据目标应用对应的期望配置以及确定出的目标应用对应的配置模板,生成目标应用对应的访问配置信息。而后,根据访问配置信息,对目标应用进行访问配置,得到配置后的目标应用。最后,根据配置后的目标应用,进行任务处理。从而,避免业务数据的污染。
附图说明
此处所说明的附图用来提供对本说明书的进一步理解,构成本说明书的一部分,本说明书的示意性实施例及其说明用于解释本说明书,并不构成对本说明书的不当限定。在附图中:
图1为本说明书实施例提供的一种任务处理的方法的流程示意图;
图2为本说明书实施例提供的一种对目标应用进行访问配置的流程示意图;
图3为本说明书实施例提供的一种任务处理的装置的结构示意图;
图4为本说明书实施例提供的电子设备的结构示意图。
具体实施方式
为使本说明书的目的、技术方案和优点更加清楚,下面将结合本说明书具体实施例及相应的附图对本说明书技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本说明书保护的范围。
以下结合附图,详细说明本说明书各实施例提供的技术方案。
图1为本说明书中一种任务处理的方法的流程示意图,具体包括以下步骤:
S100:获取目标应用对应的期望配置,所述期望配置用于表示所述目标应用对各服务器的访问权限,所述目标应用包括:线上业务实际使用的应用程序以及仿真环境中部署的应用程序。
在本说明书实施例中,任务处理的方法的执行主体可以是指服务器、台式电脑等电子设备。为了便于描述,下面仅以服务器为执行主体,对本说明书提供的任务处理的方法进行说明。其中,本方法中的执行主体可以是指用于对目标应用对应的服务器进行访问配置的服务器。
在实际应用中,为了避免在进行仿真测试的过程中,仿真服务器访问了业务应用程序对应的服务器,会造成业务数据的污染,影响业务处理。通常通过安全组中的安全组规则,确定各服务器所能访问的服务器以及不能访问的服务器,以此对仿真服务器进行限制,避免仿真服务器访问业务应用程序对应的服务器。
但是,在实际仿真测试过程中,随着仿真测试的需求变更,需要对安全组中的安全组规则进行修改。由于,安全组中还包含有其他仿真服务器,对安全组规则的修改,会对安全组中的其他仿真服务器产生影响,可能出现其他仿真服务器访问了业务应用程序对应的服务器的情况。
例如,假设在安全组1中规定仿真服务器a能够访问A服务器,但是不能访问B服务器,在安全组2中规定仿真服务器a能够访问C服务器,但是不能访问D服务器。现在根据实际需求,安全组1的安全组规则进行修改,使之安全组1中涉及的服务器均能访问D服务器,但是不能访问F服务器,可是这样一来,仿真服务器a在安全组1中规定可以访问D服务器,但是在安全组2中又规定不能访问D服务器,导致出现冲突,进而可能会出现数据污染的情况。
因此,服务器可以确定仿真应用程序对应的期望配置,通过期望配置对仿真服务器进行访问配置,以此对仿真服务器进行限制,避免仿真服务器访问业务应用程序对应的服务器。
并且,在业务应用程序的应用过程中,由于,不同时间段的用户访问量的变化,通常需要根据用户访问量,对业务应用程序对应的服务器进行扩缩容。也就是对调整运行业务应用程序的服务器数量。例如,在业务应用程序的用户访问量多的时间段,给业务应用程序分配较多的服务器,在业务应用程序的用户访问量少的时间段,给业务应用程序分配较少的服务器。
这就需要技术人员对新分配的服务器的访问配置信息进行更改,但是,由于业务应用程序较多,且对业务应用程序对应的服务器进行扩缩容的操作较为频繁,会给技术人员带来大量的运维工作,导致运维成本较高,运维效率较低。
因此,服务器可以确定业务应用程序对应的期望配置,通过期望配置对业务应用程序对应的服务器进行访问配置,从而,降低了运维成本,并提高了运维效率。
在本说明书实施例中,服务器可以获取目标应用对应的期望配置。这里提到的期望配置用于表示目标应用对各服务器的访问权限,也就是目标应用能够访问的服务器以及不能访问的服务器。这里提到的目标应用包括:线上业务实际使用的应用程序以及仿真环境中部署的应用程序。
进一步的,期望配置还用于表示能够访问目标应用的服务器以及不能访问目标应用的服务器。
在实际应用中,不同的目标应用所属的数据平台不同,服务器无法直接通过目标应用当前所能访问的IP地址,确定目标应用所属的数据平台。因此,服务器需要根据服务器中的当前所能访问的IP地址,从各数据平台中确定出该IP地址对应的目标应用,以确定出目标应用所属的数据平台,再从目标应用所属的数据平台中查询出目标应用未来所能访问的IP地址的地址列表,根据未来地址列表,确定目标应用对应的期望配置。
在本说明书实施例中,服务器可以确定目标应用当前所能访问的IP地址的地址列表,作为当前地址列表。
例如,服务器可以获取目标应用对应的当前的访问配置信息。再根据当前的访问配置信息中的域名,对域名进行域名解析,确定目标应用当前所能访问的IP地址的地址列表。
其次,服务器可以根据当前地址列表中的IP地址,确定目标应用所属的数据平台,作为目标数据平台。这里提到的数据平台可以是指按照业务的不同需求进行划分的数据平台。
而后,服务器可以从目标数据平台中查询目标应用未来所能访问的IP地址的地址列表,作为未来地址列表。
最后,服务器可以根据未来地址列表,确定目标应用对应的期望配置。
S102:根据所述期望配置以及确定出的所述目标应用对应的配置模板,生成所述目标应用对应的访问配置信息。
在本说明书实施例中,服务器可以根据期望配置以及确定出的目标应用对应的配置模板,生成目标应用对应的访问配置信息。这里提到的配置模板中的内容包括:目标应用对各服务器的访问权限、目标应用对应的端口范围、传输层协议的类型以及访问方向。这里提到的访问方向包括其他服务器访问目标应用对应的服务器,以及目标应用对应的服务器访问其他服务器。配置模板的示例如下:
在上述示例中,namespaces用于表示命名空间,命名空间是许多编程语言使用的一种代码组织的形式,通过命名空间来分类,区别不同的代码功能,避免不同的代码片段(通常由不同的人协同工作或调用已有的代码片段)同时使用时由于不同代码间变量名相同而造成冲突。ruletype用于表示配置类型,配置类型包括:目标应用对应的访问配置信息以及所有应用对应的基础配置。这里提到的目标应用对应的访问配置信息是根据目标应用的业务需求确定出的。这里提到的所有应用对应的基础配置是预先确定出的所有应用的访问配置信息,只允许默认端口(ssh,startagent等基础服务端口)可以进行访问,其他端口访问默认拦截。ingress用于表示其他服务器访问目标应用对应的服务器所需要的满足的条件。egress用于表示目标应用对应的服务器访问其他服务器所需要的满足的条件。iplists用于表示IP地址的地址列表。protocol用于表示传输层协议的类型。ports用于表示端口范围。policy用于表示访问设置,也就是是否允许访问。
可以看出,其他服务器访问目标应用对应的服务器所需要满足的条件为其他服务器对应的IP地址在目标应用对应的IP地址的地址列表内,且其他服务器对应的端口在端口范围内,且访问设置为允许访问。同样的,目标应用对应的服务器访问其他服务器所需要满足的条件为目标应用对应的服务器的IP地址在其他服务器对应的IP地址的地址列表内,且目标应用对应的服务器的端口在端口范围内,且访问设置为允许访问。
在本说明书实施例中,服务器可以获取目标应用对应的当前配置,当前配置用于表示目标应用当前能够访问的服务器以及当前不能访问的服务器。
其次,服务器可以将当前配置与期望配置进行比对,得到比对结果。
而后,服务器可以根据比对结果对当前配置进行调整,得到调整后配置。
最后,服务器可以根据调整后配置以及确定出的目标应用对应的配置模板,生成目标应用对应的访问配置信息。
S104:根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用。
在本说明书实施例中,服务器可以根据访问配置信息,对目标应用进行访问配置,得到配置后的目标应用。
具体的,若确定访问配置信息与目标应用的历史访问配置信息之间存在配置差异,则服务器可以根据访问配置信息,对目标应用进行访问配置,得到配置后的目标应用。
若确定访问配置信息与目标应用历史访问配置信息之间不存在配置差异,则服务器可以保留目标应用对应的服务器的历史访问配置信息,不对目标应用进行访问配置。
在实际应用中,目标应用对应的配置模板可能会发生变化。例如,对配置模板中的传输层协议的类型、端口范围等进行修改。再例如,在配置模板中增加新的参数内容。但是,目标应用对应的配置模板的变化也可能是因为配置模板在传输过程中出现传输错误或在生成配置模板的过程中出现生成错误。因此,目标应用还需要将当前配置模板与历史配置模板进行对比,若当前配置模板与历史配置模板存在模板差异,需要判断当前配置模板是否出错。
在本说明书实施例中,若确定目标应用对应的当前配置模板与目标应用对应的历史配置模板之间不存在模板差异,且确定访问配置信息与所述目标应用的历史访问配置信息之间存在配置差异,则服务器可以根据访问配置信息,对目标应用进行访问配置,得到配置后的目标应用。
若确定目标应用对应的当前配置模板与目标应用对应的历史配置模板之间不存在模板差异,且确定访问配置信息与目标应用的历史访问配置信息之间不存在配置差异,则服务器可以保留目标应用对应的服务器的历史访问配置信息,不对目标应用进行访问配置。
进一步的,若确定目标应用对应的当前配置模板与目标应用对应的历史配置模板之间存在模板差异,则判断目标应用对应的当前配置模板是否满足设定条件。这里提到的设定条件可以是指当前配置模板的模板内容未出现传输错误或生成错误。当然,服务器也可以将目标应用对应的当前配置模板展示给技术人员,由技术人员判断目标应用对应的当前配置模板是否满足设定条件。
若确定目标应用对应的当前配置模板满足设定条件,且确定访问配置信息与目标应用的历史访问配置信息之间存在配置差异,则服务器可以根据访问配置信息,对目标应用进行访问配置,得到配置后的目标应用。
若确定目标应用对应的当前配置模板满足设定条件,且确定访问配置信息与目标应用的历史访问配置信息之间不存在配置差异,则服务器可以保留目标应用对应的服务器的历史访问配置信息,不对目标应用进行访问配置。
当然,若确定目标应用对应的当前配置模板不满足设定条件,则服务器可以保留目标应用对应的服务器的历史访问配置信息,不对目标应用进行访问配置。
需要说明的是,在实际应用中,安全组中的安全组规则仅能设置200条,在目标应用较多的情况下,安全组规则并不能对各服务器所能访问的服务器以及不能访问的服务器进行完全限制,可能会导致仿真服务器访问业务应用程序对应的服务器,造成业务数据的污染,影响业务处理。
因此,本方法中的对目标应用进行访问配置的服务器可以是云原生网络安全切面(ANTSDN)对应的服务器,云原生网络安全切面用于构建逻辑隔离区域。安全切面是指通过采用面向切面编程(Aspect-oriented Programming,AOP)的方式,在不修改业务应用程序的情况下,在业务应用程序的运行逻辑中动态的添加或修改用于实现安全切面业务的切面程序的方法。使得在实现安全切面业务的同时,使实现安全切面业务的程序与业务应用程序解耦,从而避免高耦合导致的开发迭代问题。
云原生网络安全切面可以是基于Linux的IPTABLES模块运行的,理论上可以配置超过10W+的访问配置信息,远超过安全组的200条安全组规则。IPTABLES可以是指运行在用户空间的应用软件,用于管理网络数据包的处理和转发。
S106:根据所述配置后的目标应用,进行任务处理。
在本说明书实施例中,服务器可以根据配置后的目标应用,进行任务处理。具体如图2所示。
图2为本说明书实施例提供的一种对目标应用进行访问配置的流程示意图。
在图2中,服务器可以获取目标应用对应的当前配置,并根据当前配置,确定目标应用当前所能访问的IP地址的地址列表,作为当前地址列表。
其次,服务器可以根据当前地址列表中的IP地址,确定目标应用所属的数据平台,作为目标数据平台,从目标数据平台中查询目标应用未来所能访问的IP地址的地址列表,作为未来地址列表,并根据未来地址列表,确定目标应用对应的期望配置。
而后,服务器可以根据期望配置以及确定出的目标应用对应的配置模板,生成目标应用对应的访问配置信息。
然后,服务器可以确定当前配置模板与历史配置模板之间是否存在模板差异,若不存在模板差异,则确定访问配置信息与目标应用的历史访问配置信息之间是否存在配置差异。进一步的,若存在配置差异,根据访问配置信息,对目标应用进行访问配置,得到配置后的目标应用。若不存在配置差异,保留目标应用对应的服务器的历史访问配置信息,不对目标应用进行访问配置。
若存在模板差异,则判断目标应用对应的当前配置模板是否满足设定条件。若不满足设定条件,则保留目标应用对应的服务器的历史访问配置信息,不对目标应用进行访问配置。
若满足设定条件,则确定访问配置信息与目标应用的历史访问配置信息之间是否存在配置差异。若存在配置差异,根据访问配置信息,对目标应用进行访问配置,得到配置后的目标应用。若不存在配置差异,保留目标应用对应的服务器的历史访问配置信息,不对目标应用进行访问配置。
最后,根据配置后的目标应用,进行任务处理。
需要说明的是,服务器可以存储不同时刻的目标应用对应的访问配置信息以及配置模板,以用于判断后续获取到的访问配置信息以及配置模板是否有差异。
从上述方法中可以看出,本方法可以根据目标应用对应的期望配置以及确定出的目标应用对应的配置模板,生成目标应用对应的访问配置信息。而后,根据访问配置信息,对目标应用进行访问配置,得到配置后的目标应用。最后,根据配置后的目标应用,进行任务处理。从而,避免业务数据的污染。
也就是说,常用的安全组的方法需要技术人员频繁的对安全组规则进行调整,而本方法会判断目标应用对应的期望配置是否发生变化,若期望配置发生变化,则会自动生成目标应用对应的访问配置信息,对目标应用进行访问配置,得到配置后的目标应用,用户只需配置一次目标应用对应的配置模板,降低了运维成本。
并且,常用的安全组的方法的粒度为安全组(若干个服务器的集合),而本方法通过目标应用对应的访问配置信息,对目标应用对应的服务器进行访问配置,粒度为服务器,进一步降低了业务数据被污染的风险。
以上为本说明书实施例提供的一种任务处理的方法,基于同样的思路,本说明书还提供了相应的装置、存储介质和电子设备。
图3为本说明书实施例提供的一种任务处理的装置的结构示意图,所述装置包括:
获取模块300,用于获取目标应用对应的期望配置,所述期望配置用于表示所述目标应用对各服务器的访问权限,所述目标应用包括:线上业务实际使用的应用程序以及仿真环境中部署的应用程序;
生成模块302,用于根据所述期望配置以及确定出的所述目标应用对应的配置模板,生成所述目标应用对应的访问配置信息;
配置模块304,用于根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用;
处理模块306,用于根据所述配置后的目标应用,进行任务处理。
可选地,所述获取模块300具体用于,确定所述目标应用当前所能访问的IP地址的地址列表,作为当前地址列表,根据所述当前地址列表中的IP地址,确定所述目标应用所属的数据平台,作为目标数据平台,从所述目标数据平台中查询所述目标应用未来所能访问的IP地址的地址列表,作为未来地址列表,根据所述未来地址列表,确定目标应用对应的期望配置。
可选地,所述生成模块302具体用于,获取目标应用对应的当前配置,所述当前配置用于表示所述目标应用当前能够访问的服务器以及当前不能访问的服务器,将所述当前配置与所述期望配置进行比对,得到比对结果,根据所述比对结果对所述当前配置进行调整,得到调整后配置,根据所述调整后配置以及确定出的所述目标应用对应的配置模板,生成所述目标应用对应的访问配置信息。
可选地,所述配置模块304具体用于,若确定所述访问配置信息与所述目标应用的历史访问配置信息之间存在配置差异,则根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用,若确定所述访问配置信息与所述目标应用历史访问配置信息之间不存在配置差异,则保留所述目标应用对应的服务器的历史访问配置信息,不对所述目标应用进行访问配置。
可选地,所述配置模块304具体用于,若确定所述目标应用对应的当前配置模板与所述目标应用对应的历史配置模板之间不存在模板差异,且确定所述访问配置信息与所述目标应用的历史访问配置信息之间存在配置差异,则根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应,若确定所述目标应用对应的当前配置模板与所述目标应用对应的历史配置模板之间不存在模板差异,且确定所述访问配置信息与所述目标应用的历史访问配置信息之间不存在配置差异,则保留所述目标应用对应的服务器的历史访问配置信息,不对所述目标应用进行访问配置。
可选地,所述配置模块304具体还用于,若确定所述目标应用对应的当前配置模板与所述目标应用对应的历史配置模板之间存在模板差异,则判断所述目标应用对应的当前配置模板是否满足设定条件,若确定所述目标应用对应的当前配置模板满足设定条件,且确定所述访问配置信息与所述目标应用的历史访问配置信息之间存在配置差异,则根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用,若确定所述目标应用对应的当前配置模板满足设定条件,且确定所述访问配置信息与所述目标应用的历史访问配置信息之间不存在配置差异,则保留所述目标应用对应的服务器的历史访问配置信息,不对所述目标应用进行访问配置。
可选地,所述配置模块304具体还用于,若确定所述目标应用对应的当前配置模板不满足设定条件,则保留所述目标应用对应的服务器的历史访问配置信息,不对所述目标应用进行访问配置。
本说明书还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时可用于执行上述图1提供的任务处理的方法。
本说明书实施例还提供了图4所示的电子设备的结构示意图。如图4,在硬件层面,该电子设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,以实现上述图1提供的任务处理的方法。
当然,除了软件实现方式之外,本说明书并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
需要说明的是,本申请中所有获取信号、信息或数据的动作都是在遵照所在地国家相应的数据保护法规政策的前提下,并获得由相应装置所有者给予授权的情况下进行的。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本说明书的实施例可提供为方法、系统、或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本说明书的实施例可提供为方法、系统或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本说明书的实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。

Claims (10)

1.一种任务处理的方法,包括:
获取目标应用对应的期望配置,所述期望配置用于表示所述目标应用对各服务器的访问权限,所述目标应用包括:线上业务实际使用的应用程序以及仿真环境中部署的应用程序;
根据所述期望配置以及确定出的所述目标应用对应的配置模板,生成所述目标应用对应的访问配置信息;
根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用;
根据所述配置后的目标应用,进行任务处理。
2.如权利要求1所述的方法,获取目标应用对应的期望配置,具体包括:
确定所述目标应用当前所能访问的IP地址的地址列表,作为当前地址列表;
根据所述当前地址列表中的IP地址,确定所述目标应用所属的数据平台,作为目标数据平台;
从所述目标数据平台中查询所述目标应用未来所能访问的IP地址的地址列表,作为未来地址列表;
根据所述未来地址列表,确定目标应用对应的期望配置。
3.如权利要求2所述的方法,根据所述期望配置以及确定出的所述目标应用对应的配置模板,生成所述目标应用对应的访问配置信息,具体包括:
获取目标应用对应的当前配置,所述当前配置用于表示所述目标应用当前能够访问的服务器以及当前不能访问的服务器;
将所述当前配置与所述期望配置进行比对,得到比对结果;
根据所述比对结果对所述当前配置进行调整,得到调整后配置;
根据所述调整后配置以及确定出的所述目标应用对应的配置模板,生成所述目标应用对应的访问配置信息。
4.如权利要求1所述的方法,根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用,具体包括:
若确定所述访问配置信息与所述目标应用的历史访问配置信息之间存在配置差异,则根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用;
若确定所述访问配置信息与所述目标应用历史访问配置信息之间不存在配置差异,则保留所述目标应用对应的服务器的历史访问配置信息,不对所述目标应用进行访问配置。
5.如权利要求4所述的方法,若确定所述访问配置信息与所述目标应用的历史访问配置信息之间存在配置差异,则根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用,具体包括:
若确定所述目标应用对应的当前配置模板与所述目标应用对应的历史配置模板之间不存在模板差异,且确定所述访问配置信息与所述目标应用的历史访问配置信息之间存在配置差异,则根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用;
若确定所述访问配置信息与所述目标应用历史访问配置信息之间不存在配置差异,则保留所述目标应用对应的服务器的历史访问配置信息,不对所述目标应用进行访问配置,具体包括:
若确定所述目标应用对应的当前配置模板与所述目标应用对应的历史配置模板之间不存在模板差异,且确定所述访问配置信息与所述目标应用的历史访问配置信息之间不存在配置差异,则保留所述目标应用对应的服务器的历史访问配置信息,不对所述目标应用进行访问配置。
6.如权利要求5所述的方法,所述方法还包括:
若确定所述目标应用对应的当前配置模板与所述目标应用对应的历史配置模板之间存在模板差异,则判断所述目标应用对应的当前配置模板是否满足设定条件;
若确定所述目标应用对应的当前配置模板满足设定条件,且确定所述访问配置信息与所述目标应用的历史访问配置信息之间存在配置差异,则根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用;
若确定所述目标应用对应的当前配置模板满足设定条件,且确定所述访问配置信息与所述目标应用的历史访问配置信息之间不存在配置差异,则保留所述目标应用对应的服务器的历史访问配置信息,不对所述目标应用进行访问配置。
7.如权利要求6所述的方法,所述方法还包括:
若确定所述目标应用对应的当前配置模板不满足设定条件,则保留所述目标应用对应的服务器的历史访问配置信息,不对所述目标应用进行访问配置。
8.一种任务处理的装置,包括:
获取模块,用于获取目标应用对应的期望配置,所述期望配置用于表示所述目标应用对各服务器的访问权限,所述目标应用包括:线上业务实际使用的应用程序以及仿真环境中部署的应用程序;
生成模块,用于根据所述期望配置以及确定出的所述目标应用对应的配置模板,生成所述目标应用对应的访问配置信息;
配置模块,用于根据所述访问配置信息,对所述目标应用进行访问配置,得到配置后的目标应用;
处理模块,用于根据所述配置后的目标应用,进行任务处理。
9.一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述权利要求1-7任一项所述的方法。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述权利要求1-7任一项所述的方法。
CN202310452335.6A 2023-04-21 2023-04-21 一种任务处理的方法、装置、存储介质及电子设备 Pending CN116527490A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310452335.6A CN116527490A (zh) 2023-04-21 2023-04-21 一种任务处理的方法、装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310452335.6A CN116527490A (zh) 2023-04-21 2023-04-21 一种任务处理的方法、装置、存储介质及电子设备

Publications (1)

Publication Number Publication Date
CN116527490A true CN116527490A (zh) 2023-08-01

Family

ID=87400510

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310452335.6A Pending CN116527490A (zh) 2023-04-21 2023-04-21 一种任务处理的方法、装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN116527490A (zh)

Similar Documents

Publication Publication Date Title
CN110704155B (zh) 容器网络构建方法及装置、物理主机、数据传输方法
CN107018174B (zh) 一种单元化系统服务处理的方法、装置及业务处理系统
CN111767143A (zh) 交易数据处理方法、装置、设备及系统
WO2006015921A1 (en) Key-controlled object-based memory protection
CN110971646A (zh) 一种集群控制装置、系统及方法
CN111698344A (zh) 一种网络地址转换方法、设备及介质
CN116305298A (zh) 一种算力资源管理方法、装置、存储介质及电子设备
CN114371914A (zh) 容器ip地址配置方法、装置、存储介质及电子设备
KR101535792B1 (ko) 운영체제 구성 장치 및 방법
CN111459573B (zh) 一种智能合约执行环境的启动方法以及装置
CN116527490A (zh) 一种任务处理的方法、装置、存储介质及电子设备
CN116304212A (zh) 一种数据处理系统、方法、设备及存储介质
US20230267005A1 (en) Thread management
CN115617648A (zh) 一种寻址测试的方法、装置、存储介质及电子设备
US11429412B2 (en) Guest protection from application code execution in kernel mode
CN117041980B (zh) 一种网元管理方法、装置、存储介质及电子设备
CN115269562B (zh) 一种数据库管理方法、装置、存储介质及电子设备
CN110869915B (zh) 存储器地址转换
CN117081931B (zh) 一种异构分布式存储系统在线扩容方法及装置
CN110009237B (zh) 一种资源分配方法、装置、设备及介质
CN116185576A (zh) 一种应用迁移的方法、装置、电子设备及存储介质
CN117407124B (zh) 一种基于构建出的数据编排策略生成模型的业务执行方法
CN116095083B (zh) 一种计算方法、系统、装置、存储介质及电子设备
US11768704B2 (en) Increase assignment effectiveness of kubernetes pods by reducing repetitive pod mis-scheduling
US20230418964A1 (en) Generating customized policy decision point services for controlling access to computing resources

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination