CN116915862A - 安全服务部署方法及通信设备 - Google Patents
安全服务部署方法及通信设备 Download PDFInfo
- Publication number
- CN116915862A CN116915862A CN202310313383.7A CN202310313383A CN116915862A CN 116915862 A CN116915862 A CN 116915862A CN 202310313383 A CN202310313383 A CN 202310313383A CN 116915862 A CN116915862 A CN 116915862A
- Authority
- CN
- China
- Prior art keywords
- mec
- node
- target
- cloud
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 114
- 238000000034 method Methods 0.000 title claims abstract description 92
- 238000007726 management method Methods 0.000 claims description 113
- 238000013468 resource allocation Methods 0.000 claims description 26
- 230000004044 response Effects 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 7
- 230000004913 activation Effects 0.000 claims description 2
- 230000008569 process Effects 0.000 abstract description 22
- 210000004556 brain Anatomy 0.000 description 27
- 238000001514 detection method Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 6
- 238000012550 audit Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 239000000523 sample Substances 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 1
- 230000002490 cerebral effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000000275 quality assurance Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种安全服务部署方法及通信设备,该方法包括:接收安全服务业务开通请求,安全服务业务开通请求中包括业务需求;响应于安全服务业务开通请求,获取多个MEC云节点的算力资源以及网络状态信息;基于业务需求、多个MEC云节点的算力资源以及网络状态信息,确定目标MEC云节点;向MEC管理节点发送部署请求,以使MEC管理节点向目标MEC云节点发送部署指令,指示目标MEC节点部署目标安全服务。选择目标MEC云节点过程中,不但考虑了多个MEC云节点的算力资源,还考虑了业务需求以及多个MEC云节点与目标业务系统所在云节点之间网络链路的网络状态信息,可提高目标安全服务部署于目标MEC云节点后的服务性能。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种安全服务部署方法及通信设备。
背景技术
当前信息技术不断发展,网络安全的重要性到达了前所未有的高度,网络信息安全服务(简称安全服务)能够有效对网络及业务系统实施保障。阻止攻击者非法入侵,防止敏感数据被非法窃取、篡改、删除等。相关安全服务通常通过专用安全硬件或安全软件系统,例如:硬件防火墙、侵检测系统、日志审计系统等实现。实施过程通常涉及线路改造、新系统建设等,部署周期较长。
随着虚拟化及软件定义网络(Software Defined Network,SDN)技术的发展,越来越多企业的业务系统以虚拟化的形式部署在云资源池上。安全服务产品也同样具备虚拟化部署能力,即可以在标准通用的云资源池上通过虚拟化软件拉起镜像完成安全服务产品部署。拉起安全服务产品后,开通企业用户业务系统所在云资源池与安全服务产品所在云资源池之间网络,实现企业安全服务的部署及开通配置。
然而,目前对安全服务部署过程中,一般通过算力资源选择用于部署安全服务的云节点,容易导致选择的云节点上部署安全服务后安全服务性能较差。
发明内容
本申请实施例提供一种安全服务部署方法及通信设备,以解决现有在选择的云节点上部署安全服务后安全服务性能较差的问题。
为解决上述技术问题,本申请是这样实现的:
第一方面,本申请实施例提供了一种安全服务部署方法,应用于第一通信设备,所述方法包括:
接收安全服务运营管理平台发送的安全服务业务开通请求,所述安全服务业务开通请求中包括业务需求,所述安全服务业务开通请求用于请求针对目标业务系统开通目标安全服务;
响应于所述安全服务业务开通请求,获取多个移动边缘计算MEC云节点中每个MEC云节点的算力资源以及网络状态信息,所述网络状态信息包括在云专网中所述多个MEC云节点中每个MEC云节点与所述目标业务系统所在云节点之间链路的网络状态信息,所述云专网为所述多个MEC云节点与所述目标业务系统所在云节点之间的网络;
基于所述业务需求、所述多个MEC云节点的算力资源以及所述网络状态信息,从所述多个MEC云节点中确定目标MEC云节点;
向MEC管理节点发送部署请求,以使所述MEC管理节点向所述目标MEC云节点发送部署指令,所述部署指令用于所述目标MEC节点部署所述目标安全服务。
第二方面,本申请实施例提供一种安全服务部署方法,应用于移动边缘计算MEC管理节点,所述方法包括:
接收第一通信设备发送的部署请求;
响应于所述部署请求,向目标MEC云节点发送部署指令,所述部署指令用于所述目标MEC节点部署所述目标安全服务,其中,所述目标MEC云节点为所述第一通信设备基于业务需求、多个MEC云节点的算力资源以及网络状态信息,从所述多个MEC云节点中确定的MEC云节点,所述网络状态信息包括在云专网中所述多个MEC云节点中每个MEC云节点与目标业务系统所在云节点之间链路的网络状态信息,所述云专网为所述多个MEC云节点与所述目标业务系统所在云节点之间的网络。
第三方面,本申请实施例提供一种通信设备,包括:
第一接收模块,用于接收安全服务运营管理平台发送的安全服务业务开通请求,所述安全服务业务开通请求中包括业务需求,所述安全服务业务开通请求用于请求针对目标业务系统开通目标安全服务;
第一获取模块,用于响应于所述安全服务业务开通请求,获取多个移动边缘计算MEC云节点中每个MEC云节点的算力资源以及网络状态信息,所述网络状态信息包括在云专网中所述多个MEC云节点中每个MEC云节点与所述目标业务系统所在云节点之间链路的网络状态信息,所述云专网为所述多个MEC云节点与所述目标业务系统所在云节点之间的网络;
第一确定模块,用于基于所述业务需求、所述多个MEC云节点的算力资源以及所述网络状态信息,从所述多个MEC云节点中确定目标MEC云节点;
第一发送模块,用于向MEC管理节点发送部署请求,以使所述MEC管理节点向所述目标MEC云节点发送部署指令,所述部署指令用于所述目标MEC节点部署所述目标安全服务。
第四方面,本申请实施例提供另一种通信设备,包括:
第二接收模块,用于接收第一通信设备发送的部署请求;
第二发送模块,用于响应于所述部署请求,向目标MEC云节点发送部署指令,所述部署指令用于所述目标MEC节点部署所述目标安全服务,其中,所述目标MEC云节点为所述第一通信设备基于业务需求、多个MEC云节点的算力资源以及网络状态信息,从所述多个MEC云节点中确定的MEC云节点,所述网络状态信息包括在云专网中所述多个MEC云节点中每个MEC云节点与目标业务系统所在云节点之间链路的网络状态信息,所述云专网为所述多个MEC云节点与所述目标业务系统所在云节点之间的网络。
第五方面,本申请实施例提供一种通信设备,包括收发机和处理器,
所述收发机,用于接收安全服务运营管理平台发送的安全服务业务开通请求,所述安全服务业务开通请求中包括业务需求,所述安全服务业务开通请求用于请求针对目标业务系统开通目标安全服务;
所述处理器,用于响应于所述安全服务业务开通请求,获取多个移动边缘计算MEC云节点中每个MEC云节点的算力资源以及网络状态信息,所述网络状态信息包括在云专网中所述多个MEC云节点中每个MEC云节点与所述目标业务系统所在云节点之间链路的网络状态信息,所述云专网为所述多个MEC云节点与所述目标业务系统所在云节点之间的网络;以及基于所述业务需求、所述多个MEC云节点的算力资源以及所述网络状态信息,从所述多个MEC云节点中确定目标MEC云节点;
所述收发机,还用于向MEC管理节点发送部署请求,以使所述MEC管理节点向所述目标MEC云节点发送部署指令,所述部署指令用于所述目标MEC节点部署所述目标安全服务。
第六方面,本申请实施例提供另一种通信设备,包括收发机和处理器,
所述收发机,用于接收第一通信设备发送的部署请求;
所述收发机,还用于响应于所述部署请求,向目标MEC云节点发送部署指令,所述部署指令用于所述目标MEC节点部署所述目标安全服务,其中,所述目标MEC云节点为所述第一通信设备基于业务需求、多个MEC云节点的算力资源以及网络状态信息,从所述多个MEC云节点中确定的MEC云节点,所述网络状态信息包括在云专网中所述多个MEC云节点中每个MEC云节点与目标业务系统所在云节点之间链路的网络状态信息,所述云专网为所述多个MEC云节点与所述目标业务系统所在云节点之间的网络。
第七方面,本申请实施例提供一种通信设备,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现上述第一方面所述的安全服务部署方法的步骤。
第八方面,本申请实施例提供另一种通信设备,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现上述第二方面所述的安全服务部署方法的步骤。
第九方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的安全服务部署方法的步骤;或者所述计算机程序被处理器执行时实现上述第二方面所述的安全服务部署方法的步骤。
在本实施例的安全服务部署方法中,在选择用于部署目标安全服务的目标MEC云节点的过程中,可协同安全服务业务开通请求中的业务需求、多个MEC云节点的算力资源以及网络状态信息进行MEC云节点选择,从而确定目标MEC云节点,用以部署上述目标安全服务。即选择目标MEC云节点过程中,不但考虑了多个MEC云节点的算力资源,还考虑了业务需求以及多个MEC云节点与目标业务系统所在云节点之间网络链路的网络状态信息,这样,可提高目标安全服务部署于选择的目标MEC云节点后的服务性能。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种安全服务部署方法的流程图;
图2是本申请实施例提供的另一种安全服务部署方法的流程图;
图3是本申请实施例提供的一种实现安全服务部署方案的原理图;
图4是本申请实施例提供的一种安全服务部署方法的流程图;
图5是本申请实施例提供的一种实现安全服务部署方法的应用场景图;
图6是本申请实施例提供的一种通信设备的模块示意图;
图7是本申请实施例提供的另一种通信设备的模块示意图;
图8是本申请实施例提供的一种通信设备的结构示意图;
图9是本申请实施例提供的另一种通信设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1,图1是本申请实施例提供的一种安全服务部署方法的流程图,由第一通信设备执行,其中,第一通信设备可以是算力网络设备,第一通信设备具有算力网络资源编排(部署)能力的系统,也可以称为算网大脑。如图1所示,本实施例提供的安全服务部署方法包括以下步骤:
步骤101:接收安全服务运营管理平台发送的安全服务业务开通请求,安全服务业务开通请求中包括业务需求,安全服务业务开通请求用于请求针对目标业务系统开通目标安全服务。
安全服务运营管理平台面向运营侧客户,即客户可在安全服务运营管理平台中订购安全服务业务,安全服务运营管理平台可向第一通信设备发送客户订购的目标安全服务的开通请求,用以请求针对目标业务系统开通目标安全服务,可以理解,目标安全服务是为目标业务系统提供的安全服务,为目标业务系统实施安全保障,通过安全服务业务开通请求可将目标安全服务的订购信息(可包括业务需求)发送给第一通信设备。可以理解,第一通信设备北向直接对接安全服务运营管理平台,第一通信设备的北向接口连接安全服务运营管理平台,第一通信设备可通过北向接口接收安全服务运营管理平台发送的安全服务业务开通请求。
示例性地,上述业务需求可包括但不限于目标安全服务的名称(例如,可包括终端检测及响应、病毒防护、网页防篡改、数据库审计、日志审计等)、目标安全服务的版本信息(也可以理解是服务产品规格,例如,可包括标准版、高级版、旗舰版等)、安全服务业务部署场景以及目标部署策略(也可以称目标选择策略)等。
举例说明,如表1所示,新增第一通信设备(算网大脑)北向业务开通接口(OrderCreate),即开通北向接口,通过北向接口,可接收安全服务运营管理平台发送的安全服务业务开通请求,该请求中包括的部分参数可见表1。
表1
步骤102:响应于安全服务业务开通请求,获取多个移动边缘计算MEC云节点中每个MEC云节点的算力资源以及网络状态信息;
其中,网络状态信息包括在云专网中多个MEC云节点中每个MEC云节点与目标业务系统所在云节点之间链路(也可称网络链路)的网络状态信息,云专网为多个MEC云节点与目标业务系统所在云节点之间的网络。
在接收安全服务业务开通请求后,可响应于安全服务业务开通请求,获取多个移动边缘计算(Mobile Edge Computing,MEC)云节点中每个MEC云节点的算力资源以及网络状态信息,示例性地,算力资源可以包括但不限于磁盘资源、内存资源以及CPU资源中的至少一项,磁盘资源可以采用磁盘资源利用率,内存资源可以采用内存资源利用率,CPU资源可以采用CPU资源利用率等。示例性地,网络状态信息可以包括但不限于网络带宽、网络抖动、网络丢包率以及网络延时中的至少一项等。
步骤103:基于业务需求、多个MEC云节点的算力资源以及网络状态信息,从多个MEC云节点中确定目标MEC云节点。
可结合业务需求、算力资源和网络状态信息,从多个MEC云节点中选择用以部署目标安全服务的MEC云节点,选择的目标MEC云节点为多个MEC云节点中的节点。
步骤104:向MEC管理节点发送部署请求,以使MEC管理节点向目标MEC云节点发送部署指令,部署指令用于目标MEC节点部署目标安全服务。
需要说明的是,第一通信设备南向可分别对接MEC管理节点、网际协议(InternetProtocol,IP)控制器、资源管理中心等,比如,第一通信设备的第一南向接口可连接MEC管理节点,第一通信设备的第二南向接口可连接IP控制器,第一通信设备的第三南向接口可连接IP控制器。MEC管理节点可管理上述多个MEC云节点。
可以理解,部署请求用以触发MEC管理节点向目标MEC云节点发送部署指令,即MEC管理节点响应于部署请求,向目标MEC发送部署指令,通过部署指令,指示目标MEC云节点部署目标安全服务,如此,实现目标安全服务在目标MEC云节点中的部署,即在目标MEC云节点中拉起目标安全服务。示例性地,部署指令还可指示目标MEC云节点分配用于创建虚拟机或容器的资源,需要说明的是,目标MEC云节点中具有目标安全服务的镜像包(可以理解是安装包),目标MEC云节点接收部署指令后,分配用于创建虚拟机或容器的资源,在虚拟机或容器中部署目标安全服务。
在本实施例的安全服务部署方法中,在选择用于部署目标安全服务的目标MEC云节点的过程中,可协同安全服务业务开通请求中的业务需求、多个MEC云节点的算力资源以及网络状态信息进行MEC云节点选择,从而确定目标MEC云节点,用以部署上述目标安全服务。即选择目标MEC云节点过程中,不但考虑了多个MEC云节点的算力资源,还考虑了业务需求以及多个MEC云节点与目标业务系统所在云节点之间网络链路的网络状态信息,这样,可提高目标安全服务部署于选择的目标MEC云节点后的服务性能。
在一个示例中,上述方法还可包括:向MEC管理节点发送第一查询请求,接收MEC管理节点响应于第一查询请求,发送的安全服务列表的镜像包信息,安全服务列表为MEC管理节点管理的所有安全服务,其管理的MEC云节点中的安全服务的镜像包通过MEC管理节点下发。镜像包信息可包括名称、厂商信息、版本、标识(ID)以及描述信息等。另外,还可向MEC管理节点发送第二查询请求,第二查询请求中包括指定镜像包名称,接收MEC管理节点响应于第二查询请求,发送的指定镜像包名称对应镜像包的详细信息,例如厂商信息、版本、标识以及描述信息等。示例性地,可调用镜像包查询接口,发送上述第一查询请求、第二查询请求,以查询相应信息。
在一个实施例中,上述方法还可包括:向MEC管理节点发送第三查询请求,接收MEC管理节点响应于第三查询请求,发送的MEC管理节点管理的多个MEC云节点的信息(例如,可以是标识信息、名称等),为后续选择用于部署目标安全服务的MEC云节点提供依据。示例性地,可调用MEC站点查询接口,发送上述第三查询请求,以查询相应信息。
另外,示例性地,还可包括:向MEC管理节点发送第四查询请求,接收MEC管理节点响应于第四查询请求,发送的MEC管理节点中全部客户信息以及为客户已分配的MEC云节点的算力资源上剩余的资源情况,安全服务业务开通请求中可包括客户标识,如此,后续在选择候选MEC云节点过程中,不但可依据MEC节点的算力资源,还可依据为客户标识对应客户已分配的MEC云节点的算力资源上剩余的资源情况。示例性地,可调用MEC企业用户列表接口,发送上述第四查询请求,以查询相应信息。
在一个实施例中,基于业务需求、多个MEC云节点的算力资源以及网络状态信息,从多个MEC云节点中确定目标MEC云节点之后,还包括:
向资源管理中心发送网络资源分配请求;
接收资源管理中心响应于网络资源分配请求发送的网络资源分配结果;
向网际协议IP控制器发送网络配置请求,网络配置请求中包括网络资源分配结果以及链路参数信息,网络配置请求用于IP控制器根据网络资源分配结果以及链路参数信息对云专网进行网络配置,以建立目标MEC云节点与目标业务系统所在云节点之间的通信链路,通信链路用于目标业务系统与目标安全服务之间的业务数据传输。
在目标MEC云节点部署目标安全服务之后,可在云专网中开通目标MEC云节点与目标业务系统所在云节点之间的通信链路(网路链路),如此,目标业务系统可与目标安全服务之间进行通信,目标安全服务即可为目标业务系统提供安全服务,从而完成针对目标业务系统,开通目标安全服务,即通过本申请实施例,完成在目标MEC云节点中目标安全服务的部署以及为目标业务系统开通目标安全服务。需要说明的是,云专网位于多个MEC云节点与目标业务系统所在云节点之间,云专网可以理解是专为MEC云节点与业务系统所在云节点之间通信开通的网络,也称云间网络,用于连接MEC云节点与业务系统所在云节点,以便通信。
在本实施例中,在目标MEC云节点中部署完目标安全服务之后,可开通目标MEC云节点与目标业务系统所在云节点之间的通信链路,在开通目标MEC云节点与目标业务系统所在云节点之间的通信链路过程中,先向资源管理中心发送网络资源分配请求,以请求资源管理中心为云专网分配网络资源,例如,网络资源可以包括但不限于IP地址、隧道标识(ID)、隧道名称等,资源管理中心响应于该网络资源分配请求,对用于对云专网进行网络配置的网络资源进行分配,发送分配的网络资源分配结果,接收资源管理中心发送的网络资源分配结果后,向IP控制器发送网络配置请求,如此,IP控制器可响应于网络配置请求,基于网络资源分配结果以及链路参数信息对云专网进行网络配置,以建立目标MEC云节点与目标业务系统所在云节点之间的通信链路,完成目标MEC云节点与目标业务系统所在云节点之间的通信链路的开通,这样,目标业务系统与目标安全服务之间可通过开通的通信链路通信,目标安全服务可可为目标业务系统提供安全服务,从而完成针对目标业务系统,开通目标安全服务。需要说明的是,网络配置可以包括但不限于云专网端到端的隧道创建、三层虚拟专用网络(Layer3 virtual privatenetwork,L3VPN)创建、云专网的运营商边缘设备(Provider Edge,PE)与MEC云节点网关(Gateway)对接的路由、接口IP地址配置等网络配置。
示例性地,第一通信设备通过南向接口向IP控制器发送网络配置请求,可以理解,IP控制器通过北向接口连接第一通信设备,即通过IP控制器的北向接口接收网络配置请求。举例说明,如表2所示,新增IP控制器北向接口,通过北向接口接收的第一通信设备发送的网络配置请求,该请求中包括的部分参数可见表2。
表2
在一个实施例中,链路参数信息包括选路规则、隧道颜色标识、路径参数、路由跳模式以及路由跳标签中的至少一项。
可以理解的是,目标MEC云节点与目标业务系统所在云节点之间可以选择不同的网络链路路径,需选择目标MEC云节点与目标业务系统所在云节点之间的网络链路路径,在本实施例中,而在链路路径选择过程中,可参考网络配置请求中的链路参数信息,链路参数信息可包括但不限于选路规则(例如,第六版互联网协议分段路由(Segment RoutingInternet Protocol Version,6srv6)选路规则(srv6Rule))、隧道颜色标识(ColorID)、路径参数(例如,显示路径跳(explicit-path-hop))、路由跳模式(hop-mode)以及路由跳标签(hop-sid-label)中的至少一项,上述开通的目标MEC云节点与目标业务系统所在云节点之间的通信链路可以理解为选择的网络链路路径。需要说明的是,链路参数信息还可包括网络配置参数(dataComConfig)等。
在一个实施例中,安全服务业务开通请求中还包括目标选择策略;
基于业务需求、多个MEC云节点的算力资源以及网络状态信息,从多个MEC云节点中确定目标MEC云节点,包括:
根据多个MEC云节点的算力资源,从多个MEC云节点中确定满足业务需求的至少一个候选MEC云节点;
根据至少一个候选MEC云节点的算力资源以及网络状态信息,采用目标选择策略从至少一个候选MEC云节点中确定目标MEC云节点。
在多个MEC云节点中选择目标MEC云节点过程中,可先基于多个MEC云节点的算力资源,从多个MEC云节点中选择算力资源满足业务需求的至少一个候选MEC云节点,可以理解,候选MEC云节点的算力资源满足本次安全服务业务开通请求中的业务需求,例如,安全服务业务开通请求的业务需求是要求标准版的病毒防护,则对应要求的算力资源最低为A,则确定的候选MEC云节点的算力资源是满足业务需求要求的算力资源的,例如,候选MEC云节点的剩余算力资源大于业务需求要求的算力资源。
确定满足业务需求的至少一个候选MEC云节点后,可进一步基于网络状态信息以及至少一个候选MEC云节点的算力资源,采用目标选择策略从至少一个候选MEC云节点中选择目标MEC云节点,即目标MEC云节点为至少一个候选MEC云节点中的节点。即是根据安全服务业务开通请求中包括的目标选择策略进行目标MEC云节点的选择,以满足客户对安全服务业务开通要求。
在一个实施例中,目标MEC云节点,包括以下至少一项:
根据负载均衡选择策略从至少一个候选MEC云节点中确定的第一MEC云节点,负载均衡选择策略为根据至少一个候选MEC云节点的算力资源负荷情况以及目标安全服务的业务流量情况进行节点选择的策略;
根据资源最闲选择策略从至少一个候选MEC云节点中确定的第二MEC云节点,资源最闲选择策略为根据至少一个候选MEC云节点的算力资源选择算力资源利用率最低的节点的策略;
根据距离最近选择策略从至少一个候选MEC云节点中确定的第三MEC云节点,距离最近选择策略为选择距离目标业务系统所在云节点最近的节点的策略;
根据时延最短选择策略从至少一个候选MEC云节点中确定的第四MEC云节点,时延最短选择策略为选择到目标业务系统所在云节点路径时延最短的节点的策略;
根据智能推荐选择策略从至少一个候选MEC云节点中确定的第五MEC云节点,智能推荐选择策略为选择推荐分数最高的节点的策略,MEC云节点的推荐分数根据MEC云节点的算力资源以及MEC云节点的网络状态信息计算得到。
在本实施例中,目标选择策略可包括负载均衡选择策略、资源最闲选择策略、距离最近选择策略、时延最短选择策略和智能推荐选择策略中的至少一项。也即是,可采用负载均衡选择策略从至少一个候选MEC云节点中确定的第一MEC云节点,即基于至少一个候选MEC云节点的算力资源负荷情况以及目标安全服务的业务流量情况,从至少一个候选MEC云节点中选择第一MEC云节点;也可以采用资源最闲选择策略从至少一个候选MEC云节点中确定的第二MEC云节点,即基于至少一个候选MEC云节点的算力资源从至少一个候选MEC云节点中选择算力资源利用率最低的节点;也可以采用距离最近选择策略从至少一个候选MEC云节点中选择第三MEC云节点,即从至少一个候选MEC云节点中选择距离目标业务系统所在云节点最近的节点;也可以采用时延最短选择策略从至少一个候选MEC云节点中选择第四MEC云节点,即从至少一个候选MEC云节点中选择到目标业务系统所在云节点路径时延最短的节点;也可以采用智能推荐选择策略从至少一个候选MEC云节点中选择第五MEC云节点,即从至少一个候选MEC云节点中选择推荐分数最高的节点。
即在本实施例中,可利用上述多个选择策略中的至少一个策略,从至少一个候选MEC云节点中选择节点,以提高节点选择的灵活性,另外在节点选择过程中,可结合MEC云节点的算力资源和网络状态信息,以确定目标MEC云节点,作为部署目标安全服务的节点,可提高目标安全服务部署于选择的目标MEC云节点后的服务性能。
在一个实施例中,MEC云节点的推荐分数与MEC云节点的综合参数指标呈反相关,算力资源包括磁盘利用率、内存利用率以及中央处理器CPU利用率中的至少一项,网络状态信息包括网络抖动、网络丢包率以及网络时延中的至少一项,MEC云节点的综合参数指标为MEC云节点的算力资源和MEC云节点的网络状态信息的加权求和。
即可计算至少一个候选MEC云节点中每个MEC云节点的综合参数指标,基于MEC云节点的综合参数指标确定该MEC云节点的推荐分数,一个示例中,MEC云节点的推荐分数可以是MEC云节点的综合参数指标的倒数。MEC云节点的综合参数指标为MEC云节点的算力资源和MEC云节点的网络状态信息的加权求和,例如,MEC云节点的综合参数指标是该MEC云节点的磁盘利用率、内存利用率、CPU利用率、网络抖动、网络丢包率以及网络时延的加权求和,需要说明的是,算力资源中每个资源的加权权重和网络状态信息中每个信息的加权权重,可预先设置,例如,可预先根据其重要度(可预先根据经验预先确定)确定其加权权重等,例如利用重要度乘以预设系数值作为加权权重,预设系数值可以通过多个指标(包括磁盘利用率、内存利用率以及中央处理器CPU利用率中的至少一项以及网络抖动、网络丢包率以及网络时延中的至少一项)的重要度确定。
需要说明的是,利用率是使用量与总量的比值,示例性地,算力资源是资源占比,即资源利用率,可先对每个算力资源以及对应的总量进行相乘,得到预处理后的算力资源,也即是资源使用量,对于网络状态信息,可先对其进行预处理,例如,对网络状态信息中每个信息除以其对应的预设值(不同信息对应的预设值可不同),得到预处理后的网络状态信息,后续利用预处理后的算力资源以及预处理后的网络状态信息的加权求和得到综合参数指标。
例如,如表3所示,给出了2个MEC云节点的示例,例如,示例1对应MEC云节点1,示例2对应MEC云节点2,磁盘利用率为0.1,MEC云节点1磁盘总大小为100,则磁盘使用量Y11为10,MEC云节点2的磁盘总大小为200,则磁盘使用量Y12为20,内存利用率为0.1,MEC云节点1内存总大小为300,则内存使用量Y21为30,MEC云节点2内存总大小为500,则内存使用量Y22为50,CPU利用率为0.1,MEC云节点1的PCU总大小为100,则CPU使用量Y31为10,MEC云节点2的CPU总大小为200,则CPU使用量Y32为20。对于网络抖动,其对应的预设值可以是1000,将网络抖动原始值除以1000,可得到预处理后的网络抖动,对于网络丢包率,其对应预设值可以是10,将网络丢包率除以10,可得到预处理后的网络丢包率,对于网络时延,对应的预设值可以为1000,网络时延除以1000,可得到预处理后的网络时延。例如,表3所示,磁盘利用率的重要度为1,内存利用率的重要度为1.2,网络抖动的重要度为1.4,CPU利用率的重要度为1.6,网络丢包率的重要度为1.8,网络时延的重要度为2,预设系数r的计算公式为:
r=1/(1+1*1.2+1*1.2*1.4+1*1.2*1.4*1.6+1*1.2*1.4*1.6*1.8+1*1.2*1.4*1.6*1.8*2);
计算的预设系数r的值即为0.04743。然后根据预设系数和指标的重要度进行相乘,得到该指标对应的加权权重,例如,磁盘利用率的加权权重X1为0.04743,内存利用率的加权权重X2为0.05692,网络抖动的加权权重X3为0.06640,CPU利用率的加权权重X4为0.7589,网络丢包率的加权权重X5为0.08537,网络时延的加权权重X6为0.09486。MEC云节点1的网络抖动原始值除以对应预设值,得到对应的预设处理后的网络抖动Y41为2,MEC云节点2的网络抖动原始值除以对应预设值,得到对应的预设处理后的网络抖动Y42为1.7,MEC云节点1的网络丢包率原始值除以对应预设值,得到对应的预设处理后的网络丢包率Y51为0.1,MEC云节点2的网络丢包率原始值除以对应预设值,得到对应的预设处理后的网络丢包率Y52为0.4,MEC云节点1的网络延时原始值除以对应预设值,得到对应的预设处理后的网络时延Y61为1.5,MEC云节点2的网络延时原始值除以对应预设值,得到对应的预设处理后的网络时延Y62为1.4。对预处理后的算力资源和预处理后的网络状态信息进行加权求和,对于MEC云节点1,计算得到对应的综合参数指标为Z1(为3.223627),计算公式公式如下:
Z1=X1*Y11+X2*Y21+X3*Y31+X4*Y41+X5*Y51+X6*Y61;
对于MEC云节点2,计算得到对应的综合参数指标为Z2(为5.592232),计算公式公式如下:
Z2=X1*Y21+X2*Y22+X3*Y32+X4*Y42+X5*Y52+X6*Y62;
综合参数指标的值越小,推荐分数越高,即推荐度越高。
表3
在一个实施例中,上述方法还包括:
接收网际协议IP控制器周期性采集的网络状态信息。
IP控制器可周期性采集网络状态信息,并将采集的网络状态信息发送给算网大脑,为算网大脑在业务运行态进行动态调整以及安全服务部署提供依据,算网大脑可通过周期性地获取网络状态信息,用以后续定期对业务的网络链路进行动态调整或实时调度提供依据。示例性地,IP控制器可周期性通过性能上报接口将采集的网络状态信息上报给算网大脑。
在一个实施例中,上述方法还包括:
接收MEC管理节点周期性采集的多个MEC云节点中每个MEC云节点的算力资源。
MEC管理节点可管理上述多个MEC云节点,可周期性采集其中每个MEC云节点的算力资源,并将其上报给算网大脑。算网大脑接收MEC管理节点发送的周期性采集的多个MEC云节点的算力资源,为安全服务部署提供依据。
示例性地,MEC管理及诶单周期性的通过性能上报接口向算网大脑上报多个MEC云节点的资源指标信息,资源指标信息可包括算力资源和可用性信息等,算力资源可包括当前已使用量、当前剩余量、利用率等。
另外,需要说明的是,本申请实施例提供的方案中,通过算网大脑南向对接各专业域管理系统,如IP专业网管系统、边缘云资源管理系统,实现算力专业域、CM2网络专业域运维指标周期性采集。并通过部署探针,实现故障主动感知。
如图2所示,本申请实施例还提供一种安全服务部署方法,应用于移动边缘计算MEC管理节点,方法包括:
步骤201:接收第一通信设备发送的部署请求;
步骤202:响应于部署请求,向目标MEC云节点发送部署指令,部署指令用于目标MEC节点部署目标安全服务;
其中,目标MEC云节点为第一通信设备基于业务需求、多个MEC云节点的算力资源以及网络状态信息,从多个MEC云节点中确定的MEC云节点,网络状态信息包括在云专网中多个MEC云节点中每个MEC云节点与目标业务系统所在云节点之间链路的网络状态信息,云专网为多个MEC云节点与目标业务系统所在云节点之间的网络。
在一个实施例中,方法还包括:
周期性采集多个MEC云节点中每个MEC云节点的算力资源;
向第一通信设备发送周期性采集的多个MEC云节点的算力资源。
在一个实施例中,方法还包括:接收第一通信设备发送的第一查询请求;响应于第一查询请求,向第一通信设备发送安全服务列表的镜像包信息。
在一个实施例中,方法还包括:接收第一通信设备发送的第二查询请求;响应于第二查询请求,向第一通信设备发送指定镜像包名称对应镜像包的详细信息,第二查询请求中包括指定镜像包名称。
在一个实施例中,方法还包括:接收接收第一通信设备发送的第三查询请求;响应于第三查询请求,向第一通信设备发送MEC管理节点管理的多个MEC云节点的信息。
下面以一个具体实施例对上述方法的过程加以具体说明。
针对整个安全服务场景产品部署流程场景,在目前相关技术中的资源编排架构下,网络资源和云资源分领域单独编排,各自完成网络及云资源配置及发放,各领域根据需求工单独立编排,无法做到端到端网络、云资源的最优编排及调度。本申请实施例提供了一种安全服务部署方案,如图3所示,算网大脑北向对接算网运营管理平台,当前安全服务场景直接对接安全服务运营管理平台(安全服务运营平台),安全服务运营管理平台通过接口接收算网运营侧客户的安全服务业务订购信息。
算网大脑南向分别对接安全业务场景涉及的各个专业域管理系统,包括IP专业网管系统(IP控制器/网络编排器)、边缘云资源管理系统(边缘云管理系统/MEC管理节点),图3中的客户侧云管理系统(客户云管系统)可以理解是业务系统所在云节点对应的管理系统。算网大脑通过客户云云管理系统完成客户侧网络接口部署,通过与IP专业网管系统、边缘云资源管理系统之间的资源查询接口,按需为客户完成最优站点(MEC云节点)选择及最优网络路径选择。同时通过两个专业域管理系统完成边缘云站点安全服务产品资源和服务创建以及云专网网络链路创建。如图3中,云资源池m可以理解是目标业务系统所在MEC云节点,源资源池1-n可以理解是MEC管理节点所管理的多个MEC云节点。
需要说明的是,安全服务运营管理平台:对接客户并接收客户安全服务相关需求,客户在安全服务运营管理平台自服务页面填写业务需求,安全服务运营管理平台通过工单或邮件形式发送至IP专业网管系统和边缘云资源管理系统。
IP专业网管系统(IP控制器/网络编排器):网络编排器完成客户云与边缘云云间网络资源勘察及网络配置。
边缘云资源管理系统:根据需求工单完成安全服务产品应用部署。
客户云云管理系统:完成客户侧相关安全服务业务配置及网络配置。
如图4所示,本实施例的方法流程如下:
1、安全服务运营管理平台发起安全服务业务开通请求,该请求中可包含:安全产品名称(枚举值包括终端检测及响应、病毒防护、网页防篡改、数据库审计、日志审计等)、产品规格(枚举值包括标准版、高级版、旗舰版)、业务部署场景、部署策略等信息。
2、算网大脑调用MEC管理节点北向的镜像包查询接口,查询当前MEC管理节点管理的所有镜像包信息(即安全服务的镜像包的信息)。同时通过查询镜像包详情接口,指定镜像包名称,查询该镜像包的详细信息,包括镜像包厂商、版本、id、描述信息等。
3、算网大脑根据业务需求解析生成带参数的业务需求模板,并匹配业务流程模板,执行业务流程。需要说明的是,可在后台查询到业务解析结果和当前业务流程节点信息。
4、算网大脑调用MEC管理节点北向的查询MEC站点列表接口,获取当前MEC管理节点上管理的所有站点列表信息,为后续决策选取安全服务产品部署站点提供信息。同时调用查询MEC企业用户列表接口,获取当前MEC管理节点上管理的所有企业用户信息,查看企业用户的企业资源配额情况,判断企业用户在MEC资源池上资源配置是否能够满足业务订购请求。
5、算网大脑根据业务需求结合MEC各站点的算力资源、企业资源配额情况、列出满足业务需求的候选MEC站点,并根据上述开通请求中的目标选择策略决策最优部署MEC站点。需要说明的是,可在业务实例页面展示候选MEC节点的信息、决策出的目标MEC节点的名称,以及当前业务选择的策略描述。
6、算网大脑向资源管理中心发送网络资源分配请求,资源管理中心根据算网大脑请求,对云专网网络配置的网络资源(逻辑资源)进行分配,并返回结果至算网大脑记录。
7、算网大脑向IP控制器发起网络配置请求,进行云专网的网络配置。云专网的IP控制器完成包含云专网端到端的隧道创建、L3VPN创建等网络配置,同时完成云专网PE与MEC资源池Gateway对接的路由、接口IP地址配置等内容。
8、算网大脑向MEC管理节点发起安全服务对应镜像包的资源部署配置请求,MEC管理节点进行资源创建相关操作及应用开通。
9、算网大脑通过开通回复接口,向安全服务运营管理平台返回业务开通结果。
10、IP控制器周期性的通过性能上报接口向算网大脑上报云专网网络侧的网络状态信息,包括带宽、时延、抖动等信息。需要说明的是,算网大脑通过获取实时的网络状态信息,用以后续算网大脑定期对业务的网络链路进行动态调整和实时调度等操作。
11、MEC管理节点周期性的通过性能上报接口向算网大脑上报其管理的MEC云节点的资源指标信息。
为实现端到端SLZ质量保障,可通过算网大脑南向对接各专业域管理系统,如IP专业网管系统、边缘云资源管理系统,实现算力资源、云专网的网络状态信息周期性采集。如图5所示,并通过部署探针,实现故障主动感知。
(1)被动式统计分析:通过算力网络各专业域管理系统周期性采集资源数据及性能数据,包括计算资源状态及性能信息、存储资源状态及性能信息、网络资源状态及性能信息、容器集群资源状态信息等。基于数据信息统计分析业务运行状态及趋势,为算网大脑在业务运行态进行动态调整提供依据。
(2)主动式探测:将网络(云专网)中的某些节点部署选为探测站点,并由探测站点按照制定的路径向网络中主动发送探测包,并在路径的终点处采集探测包的信息,分析探测结果,快速探测到链路故障。在边缘云部署业务质量检测探针,旁路业务流量,解析业务数据包,分析业务响应、处理时延等,实现对业务运行质量的持续监控。
如图6所示,图6是本申请实施例提供的一种通信设备的结构示意图,如图6所示,通信设备600包括:
第一接收模块601,用于接收安全服务运营管理平台发送的安全服务业务开通请求,安全服务业务开通请求中包括业务需求,安全服务业务开通请求用于请求针对目标业务系统开通目标安全服务;
第一获取模块602,用于响应于安全服务业务开通请求,获取多个移动边缘计算MEC云节点中每个MEC云节点的算力资源以及网络状态信息,网络状态信息包括在云专网中多个MEC云节点中每个MEC云节点与目标业务系统所在云节点之间链路的网络状态信息,云专网为多个MEC云节点与目标业务系统所在云节点之间的网络;
第一确定模块603,用于基于业务需求、多个MEC云节点的算力资源以及网络状态信息,从多个MEC云节点中确定目标MEC云节点;
第一发送模块604,用于向MEC管理节点发送部署请求,以使MEC管理节点向目标MEC云节点发送部署指令,部署指令用于目标MEC节点部署目标安全服务。
在一个实施例中,通信设备600还包括:
分配请求发送模块,用于向资源管理中心发送网络资源分配请求;
结果接收模块,用于接收资源管理中心响应于网络资源分配请求发送的网络资源分配结果;
配置请求发送模块,用于向网际协议IP控制器发送网络配置请求,网络配置请求中包括网络资源分配结果以及链路参数信息,网络配置请求用于IP控制器根据网络资源分配结果以及链路参数信息对云专网进行网络配置,以建立目标MEC云节点与目标业务系统所在云节点之间的通信链路,通信链路用于目标业务系统与目标安全服务之间的业务数据传输。
在一个实施例中,,链路参数信息包括选路规则、隧道颜色标识、路径参数、路由跳模式以及路由跳标签中的至少一项。
在一个实施例中,安全服务业务开通请求中还包括目标选择策略;
第一确定模块603,包括:
候选确定单元,用于根据多个MEC云节点的算力资源,从多个MEC云节点中确定满足业务需求的至少一个候选MEC云节点;
目标确定单元,用于根据至少一个候选MEC云节点的算力资源以及网络状态信息,采用目标选择策略从至少一个候选MEC云节点中确定目标MEC云节点。
在一个实施例中,目标MEC云节点,包括以下至少一项:
根据负载均衡选择策略从至少一个候选MEC云节点中确定的第一MEC云节点,负载均衡选择策略为根据至少一个候选MEC云节点的算力资源负荷情况以及目标安全服务的业务流量情况进行节点选择的策略;
根据资源最闲选择策略从至少一个候选MEC云节点中确定的第二MEC云节点,资源最闲选择策略为根据至少一个候选MEC云节点的算力资源选择算力资源利用率最低的节点的策略;
根据距离最近选择策略从至少一个候选MEC云节点中确定的第三MEC云节点,距离最近选择策略为选择距离目标业务系统所在云节点最近的节点的策略;
根据时延最短选择策略从至少一个候选MEC云节点中确定的第四MEC云节点,时延最短选择策略为选择到目标业务系统所在云节点路径时延最短的节点的策略;
根据智能推荐选择策略从至少一个候选MEC云节点中确定的第五MEC云节点,智能推荐选择策略为选择推荐分数最高的节点的策略,MEC云节点的推荐分数根据MEC云节点的算力资源以及MEC云节点的网络状态信息计算得到。
在一个实施例中,MEC云节点的推荐分数与MEC云节点的综合参数指标呈反相关,算力资源包括磁盘利用率、内存利用率以及中央处理器CPU利用率中的至少一项,网络状态信息包括网络抖动、网络丢包率以及网络时延中的至少一项,MEC云节点的综合参数指标为MEC云节点的算力资源和MEC云节点的网络状态信息的加权求和。
在一个实施例中,通信设备600还包括:
状态信息接收模块,用于接收网际协议IP控制器周期性采集的网络状态信息。
在一个实施例中,通信设备600还包括:
算力资源接收模块,用于接收MEC管理节点周期性采集的多个MEC云节点中每个MEC云节点的算力资源。
本实施例提供的通信设备能实现上述应用于第一通信设备的安全服务部署方法的各实施例的各个过程,技术特征一一对应,且能达到相同的技术效果,为避免重复,这里不再赘述。
参见图7,图7是本申请实施例提供的一种通信设备的结构示意图,如图7所示,通信设备700包括:
第二接收模块701,用于接收第一通信设备发送的部署请求;
第二发送模块702,用于响应于部署请求,向目标MEC云节点发送部署指令,部署指令用于目标MEC节点部署目标安全服务,其中,目标MEC云节点为第一通信设备基于业务需求、多个MEC云节点的算力资源以及网络状态信息,从多个MEC云节点中确定的MEC云节点,网络状态信息包括在云专网中多个MEC云节点中每个MEC云节点与目标业务系统所在云节点之间链路的网络状态信息,云专网为多个MEC云节点与目标业务系统所在云节点之间的网络。
在一个实施例中,通信设备700还包括:
采集模块,用于周期性采集多个MEC云节点中每个MEC云节点的算力资源;
资源发送模块,用于向第一通信设备发送周期性采集的多个MEC云节点的算力资源。
在一个实施例中,通信设备700还包括:
第一请求接收模块,用于接收第一通信设备发送的第一查询请求;
第一信息发送模块,用于响应于第一查询请求,向第一通信设备发送安全服务列表的镜像包信息。
在一个实施例中,通信设备700还包括:
第二请求接收模块,用于接收第一通信设备发送的第二查询请求;
第二信息发送模块,用于响应于第二查询请求,向第一通信设备发送指定镜像包名称对应镜像包的详细信息,第二查询请求中包括指定镜像包名称。
在一个实施例中,通信设备700还包括:
第三请求接收模块,用于接收接收第一通信设备发送的第三查询请求;
第三信息发送模块,用于响应于第三查询请求,向第一通信设备发送MEC管理节点管理的多个MEC云节点的信息。
本实施例提供的通信设备为能实现上述应用于MEC管理节点的安全服务部署方法的各实施例的各个过程,技术特征一一对应,且能达到相同的技术效果,为避免重复,这里不再赘述。
本申请实施例还提供了一种通信设备,包括:处理器、存储器及存储在存储器上并可在处理器上运行的程序,程序被处理器执行时实现上述应用于第一通信设备的安全服务部署方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
具体的,参见图8,本申请实施例还提供了一种通信设备(可以为第一通信设备),包括总线801、收发机802、天线803、总线接口804、处理器805和存储器806。
其中,收发机802,用于接收安全服务运营管理平台发送的安全服务业务开通请求,安全服务业务开通请求中包括业务需求,安全服务业务开通请求用于请求针对目标业务系统开通目标安全服务;
处理器805,用于响应于安全服务业务开通请求,获取多个移动边缘计算MEC云节点中每个MEC云节点的算力资源以及网络状态信息,网络状态信息包括在云专网中多个MEC云节点中每个MEC云节点与目标业务系统所在云节点之间链路的网络状态信息,云专网为多个MEC云节点与目标业务系统所在云节点之间的网络;以及基于业务需求、多个MEC云节点的算力资源以及网络状态信息,从多个MEC云节点中确定目标MEC云节点;
收发机802,还用于向MEC管理节点发送部署请求,以使MEC管理节点向目标MEC云节点发送部署指令,部署指令用于目标MEC节点部署目标安全服务。
在一个实施例中,收发机802,还用于:
向资源管理中心发送网络资源分配请求;
接收资源管理中心响应于网络资源分配请求发送的网络资源分配结果;
向网际协议IP控制器发送网络配置请求,网络配置请求中包括网络资源分配结果以及链路参数信息,网络配置请求用于IP控制器根据网络资源分配结果以及链路参数信息对云专网进行网络配置,以建立目标MEC云节点与目标业务系统所在云节点之间的通信链路,通信链路用于目标业务系统与目标安全服务之间的业务数据传输。
在一个实施例中,,链路参数信息包括选路规则、隧道颜色标识、路径参数、路由跳模式以及路由跳标签中的至少一项。
在一个实施例中,安全服务业务开通请求中还包括目标选择策略;
处理器805具体用于:
根据多个MEC云节点的算力资源,从多个MEC云节点中确定满足业务需求的至少一个候选MEC云节点;
根据至少一个候选MEC云节点的算力资源以及网络状态信息,采用目标选择策略从至少一个候选MEC云节点中确定目标MEC云节点。
在一个实施例中,目标MEC云节点,包括以下至少一项:
根据负载均衡选择策略从至少一个候选MEC云节点中确定的第一MEC云节点,负载均衡选择策略为根据至少一个候选MEC云节点的算力资源负荷情况以及目标安全服务的业务流量情况进行节点选择的策略;
根据资源最闲选择策略从至少一个候选MEC云节点中确定的第二MEC云节点,资源最闲选择策略为根据至少一个候选MEC云节点的算力资源选择算力资源利用率最低的节点的策略;
根据距离最近选择策略从至少一个候选MEC云节点中确定的第三MEC云节点,距离最近选择策略为选择距离目标业务系统所在云节点最近的节点的策略;
根据时延最短选择策略从至少一个候选MEC云节点中确定的第四MEC云节点,时延最短选择策略为选择到目标业务系统所在云节点路径时延最短的节点的策略;
根据智能推荐选择策略从至少一个候选MEC云节点中确定的第五MEC云节点,智能推荐选择策略为选择推荐分数最高的节点的策略,MEC云节点的推荐分数根据MEC云节点的算力资源以及MEC云节点的网络状态信息计算得到。
在一个实施例中,MEC云节点的推荐分数与MEC云节点的综合参数指标呈反相关,算力资源包括磁盘利用率、内存利用率以及中央处理器CPU利用率中的至少一项,网络状态信息包括网络抖动、网络丢包率以及网络时延中的至少一项,MEC云节点的综合参数指标为MEC云节点的算力资源和MEC云节点的网络状态信息的加权求和。
在一个实施例中,收发机802,还用于:
接收网际协议IP控制器周期性采集的网络状态信息。
在一个实施例中,收发机802,还用于:
接收MEC管理节点周期性采集的多个MEC云节点中每个MEC云节点的算力资源。
在图8中,总线架构(用总线801来代表),总线801可以包括任意数量的互联的总线和桥,总线801将包括由处理器805代表的一个或多个处理器和存储器806代表的存储器的各种电路链接在一起。总线801还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口804在总线801和收发机802之间提供接口。收发机802可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器805处理的数据通过天线803在无线介质上进行传输,进一步,天线803还接收数据并将数据传送给处理器805。
处理器805负责管理总线801和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器806可以被用于存储处理器805在执行操作时所使用的数据。
可选的,处理器805可以是CPU、ASIC、FPGA或CPLD。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述应用于第一通信设备的安全服务部署方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,的计算机可读存储介质,如只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等。
本申请实施例还提供了一种通信设备,包括:处理器、存储器及存储在存储器上并可在处理器上运行的程序,程序被处理器执行时实现上述应用于MEC管理及诶单的安全服务部署方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
具体的,参见图9所示,本申请实施例还提供了一种通信设备(可以为MEC管理节点),包括总线901、收发机902、天线903、总线接口904、处理器905和存储器906。
其中,收发机902,用于接收第一通信设备发送的部署请求;
收发机902,还用于响应于部署请求,向目标MEC云节点发送部署指令,部署指令用于目标MEC节点部署目标安全服务,其中,目标MEC云节点为第一通信设备基于业务需求、多个MEC云节点的算力资源以及网络状态信息,从多个MEC云节点中确定的MEC云节点,网络状态信息包括在云专网中多个MEC云节点中每个MEC云节点与目标业务系统所在云节点之间链路的网络状态信息,云专网为多个MEC云节点与目标业务系统所在云节点之间的网络。
在一个实施例中,处理器905,还用于周期性采集多个MEC云节点中每个MEC云节点的算力资源;
收发机902,还用于向第一通信设备发送周期性采集的多个MEC云节点的算力资源。
在一个实施例中,收发机902,还用于:
接收第一通信设备发送的第一查询请求;
响应于第一查询请求,向第一通信设备发送安全服务列表的镜像包信息。
在一个实施例中,收发机902,还用于:
接收第一通信设备发送的第二查询请求;
响应于第二查询请求,向第一通信设备发送指定镜像包名称对应镜像包的详细信息,第二查询请求中包括指定镜像包名称。
在一个实施例中,收发机902,还用于:
接收接收第一通信设备发送的第三查询请求;
响应于第三查询请求,向第一通信设备发送MEC管理节点管理的多个MEC云节点的信息。
在图9中,总线架构(用总线901来代表),总线901可以包括任意数量的互联的总线和桥,总线901将包括由处理器905代表的一个或多个处理器和存储器906代表的存储器的各种电路链接在一起。总线901还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口904在总线901和收发机902之间提供接口。收发机902可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器905处理的数据通过天线903在无线介质上进行传输,进一步,天线903还接收数据并将数据传送给处理器905。
处理器905负责管理总线901和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器906可以被用于存储处理器905在执行操作时所使用的数据。
可选的,处理器905可以是CPU、ASIC、FPGA或CPLD。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述应用于MEC管理节点的安全服务部署方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,的计算机可读存储介质,如ROM、RAM、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。
Claims (16)
1.一种安全服务部署方法,其特征在于,应用于第一通信设备,所述方法包括:
接收安全服务运营管理平台发送的安全服务业务开通请求,所述安全服务业务开通请求中包括业务需求,所述安全服务业务开通请求用于请求针对目标业务系统开通目标安全服务;
响应于所述安全服务业务开通请求,获取多个移动边缘计算MEC云节点中每个MEC云节点的算力资源以及网络状态信息,所述网络状态信息包括在云专网中所述多个MEC云节点中每个MEC云节点与所述目标业务系统所在云节点之间链路的网络状态信息,所述云专网为所述多个MEC云节点与所述目标业务系统所在云节点之间的网络;
基于所述业务需求、所述多个MEC云节点的算力资源以及所述网络状态信息,从所述多个MEC云节点中确定目标MEC云节点;
向MEC管理节点发送部署请求,以使所述MEC管理节点向所述目标MEC云节点发送部署指令,所述部署指令用于所述目标MEC节点部署所述目标安全服务。
2.根据权利要求1所述的安全服务部署方法,其特征在于,所述基于所述业务需求、所述多个MEC云节点的算力资源以及所述网络状态信息,从所述多个MEC云节点中确定目标MEC云节点之后,还包括:
向资源管理中心发送网络资源分配请求;
接收所述资源管理中心响应于所述网络资源分配请求发送的网络资源分配结果;
向网际协议IP控制器发送网络配置请求,所述网络配置请求中包括所述网络资源分配结果以及链路参数信息,所述网络配置请求用于所述IP控制器根据所述网络资源分配结果以及所述链路参数信息对所述云专网进行网络配置,以建立所述目标MEC云节点与所述目标业务系统所在云节点之间的通信链路,所述通信链路用于所述目标业务系统与所述目标安全服务之间的业务数据传输。
3.根据权利要求2所述的安全服务部署方法,其特征在于,所述链路参数信息包括选路规则、隧道颜色标识、路径参数、路由跳模式以及路由跳标签中的至少一项。
4.根据权利要求1所述的安全服务部署方法,其特征在于,所述安全服务业务开通请求中还包括目标选择策略;
所述基于所述业务需求、所述多个MEC云节点的算力资源以及所述网络状态信息,从所述多个MEC云节点中确定目标MEC云节点,包括:
根据所述多个MEC云节点的算力资源,从所述多个MEC云节点中确定满足所述业务需求的至少一个候选MEC云节点;
根据所述至少一个候选MEC云节点的算力资源以及所述网络状态信息,采用所述目标选择策略从所述至少一个候选MEC云节点中确定所述目标MEC云节点。
5.根据权利要求4所述的安全服务部署方法,其特征在于,所述目标MEC云节点,包括以下至少一项:
根据负载均衡选择策略从所述至少一个候选MEC云节点中确定的第一MEC云节点,所述负载均衡选择策略为根据所述至少一个候选MEC云节点的算力资源负荷情况以及所述目标安全服务的业务流量情况进行节点选择的策略;
根据资源最闲选择策略从所述至少一个候选MEC云节点中确定的第二MEC云节点,所述资源最闲选择策略为根据所述至少一个候选MEC云节点的算力资源选择算力资源利用率最低的节点的策略;
根据距离最近选择策略从所述至少一个候选MEC云节点中确定的第三MEC云节点,所述距离最近选择策略为选择距离所述目标业务系统所在云节点最近的节点的策略;
根据时延最短选择策略从所述至少一个候选MEC云节点中确定的第四MEC云节点,所述时延最短选择策略为选择到所述目标业务系统所在云节点路径时延最短的节点的策略;
根据智能推荐选择策略从所述至少一个候选MEC云节点中确定的第五MEC云节点,所述智能推荐选择策略为选择推荐分数最高的节点的策略,所述MEC云节点的推荐分数根据所述MEC云节点的算力资源以及所述MEC云节点的网络状态信息计算得到。
6.根据权利要求5所述的安全服务部署方法,其特征在于,所述MEC云节点的推荐分数与所述MEC云节点的综合参数指标呈反相关,所述算力资源包括磁盘利用率、内存利用率以及中央处理器CPU利用率中的至少一项,所述网络状态信息包括网络抖动、网络丢包率以及网络时延中的至少一项,所述MEC云节点的综合参数指标为所述MEC云节点的算力资源和所述MEC云节点的网络状态信息的加权求和。
7.根据权利要求1所述的安全服务部署方法,其特征在于,所述方法还包括:
接收网际协议IP控制器周期性采集的所述网络状态信息。
8.根据权利要求1所述的安全服务部署方法,其特征在于,所述方法还包括:
接收所述MEC管理节点周期性采集的所述多个MEC云节点中每个MEC云节点的算力资源。
9.一种安全服务部署方法,其特征在于,应用于移动边缘计算MEC管理节点,所述方法包括:
接收第一通信设备发送的部署请求;
响应于所述部署请求,向目标MEC云节点发送部署指令,所述部署指令用于所述目标MEC节点部署所述目标安全服务,其中,所述目标MEC云节点为所述第一通信设备基于业务需求、多个MEC云节点的算力资源以及网络状态信息,从所述多个MEC云节点中确定的MEC云节点,所述网络状态信息包括在云专网中所述多个MEC云节点中每个MEC云节点与目标业务系统所在云节点之间链路的网络状态信息,所述云专网为所述多个MEC云节点与所述目标业务系统所在云节点之间的网络。
10.根据权利要求9所述的安全服务部署方法,其特征在于,所述方法还包括:
周期性采集所述多个MEC云节点中每个MEC云节点的算力资源;
向所述第一通信设备发送周期性采集的所述多个MEC云节点的算力资源。
11.一种通信设备,其特征在于,包括:
第一接收模块,用于接收安全服务运营管理平台发送的安全服务业务开通请求,所述安全服务业务开通请求中包括业务需求,所述安全服务业务开通请求用于请求针对目标业务系统开通目标安全服务;
第一获取模块,用于响应于所述安全服务业务开通请求,获取多个移动边缘计算MEC云节点中每个MEC云节点的算力资源以及网络状态信息,所述网络状态信息包括在云专网中所述多个MEC云节点中每个MEC云节点与所述目标业务系统所在云节点之间链路的网络状态信息,所述云专网为所述多个MEC云节点与所述目标业务系统所在云节点之间的网络;
第一确定模块,用于基于所述业务需求、所述多个MEC云节点的算力资源以及所述网络状态信息,从所述多个MEC云节点中确定目标MEC云节点;
第一发送模块,用于向MEC管理节点发送部署请求,以使所述MEC管理节点向所述目标MEC云节点发送部署指令,所述部署指令用于所述目标MEC节点部署所述目标安全服务。
12.一种通信设备,其特征在于,包括收发机和处理器,
所述收发机,用于接收安全服务运营管理平台发送的安全服务业务开通请求,所述安全服务业务开通请求中包括业务需求,所述安全服务业务开通请求用于请求针对目标业务系统开通目标安全服务;
所述处理器,用于响应于所述安全服务业务开通请求,获取多个移动边缘计算MEC云节点中每个MEC云节点的算力资源以及网络状态信息,所述网络状态信息包括在云专网中所述多个MEC云节点中每个MEC云节点与所述目标业务系统所在云节点之间链路的网络状态信息,所述云专网为所述多个MEC云节点与所述目标业务系统所在云节点之间的网络;以及基于所述业务需求、所述多个MEC云节点的算力资源以及所述网络状态信息,从所述多个MEC云节点中确定目标MEC云节点;
所述收发机,还用于向MEC管理节点发送部署请求,以使所述MEC管理节点向所述目标MEC云节点发送部署指令,所述部署指令用于所述目标MEC节点部署所述目标安全服务。
13.一种通信设备,其特征在于,包括:
第二接收模块,用于接收第一通信设备发送的部署请求;
第二发送模块,用于响应于所述部署请求,向目标MEC云节点发送部署指令,所述部署指令用于所述目标MEC节点部署所述目标安全服务,其中,所述目标MEC云节点为所述第一通信设备基于业务需求、多个MEC云节点的算力资源以及网络状态信息,从所述多个MEC云节点中确定的MEC云节点,所述网络状态信息包括在云专网中所述多个MEC云节点中每个MEC云节点与目标业务系统所在云节点之间链路的网络状态信息,所述云专网为所述多个MEC云节点与所述目标业务系统所在云节点之间的网络。
14.一种通信设备,其特征在于,包括收发机和处理器,
所述收发机,用于接收第一通信设备发送的部署请求;
所述收发机,还用于响应于所述部署请求,向目标MEC云节点发送部署指令,所述部署指令用于所述目标MEC节点部署所述目标安全服务,其中,所述目标MEC云节点为所述第一通信设备基于业务需求、多个MEC云节点的算力资源以及网络状态信息,从所述多个MEC云节点中确定的MEC云节点,所述网络状态信息包括在云专网中所述多个MEC云节点中每个MEC云节点与目标业务系统所在云节点之间链路的网络状态信息,所述云专网为所述多个MEC云节点与所述目标业务系统所在云节点之间的网络。
15.一种通信设备,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求1至8中任一项所述的方法的步骤或者权利要求9-10中任一项所述的方法的步骤。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-8中任一所述的方法的步骤或者权利要求9-10中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310313383.7A CN116915862A (zh) | 2023-03-28 | 2023-03-28 | 安全服务部署方法及通信设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310313383.7A CN116915862A (zh) | 2023-03-28 | 2023-03-28 | 安全服务部署方法及通信设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116915862A true CN116915862A (zh) | 2023-10-20 |
Family
ID=88351735
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310313383.7A Pending CN116915862A (zh) | 2023-03-28 | 2023-03-28 | 安全服务部署方法及通信设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116915862A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117376032A (zh) * | 2023-12-06 | 2024-01-09 | 华润数字科技有限公司 | 安全服务调度方法和系统、电子设备、存储介质 |
-
2023
- 2023-03-28 CN CN202310313383.7A patent/CN116915862A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117376032A (zh) * | 2023-12-06 | 2024-01-09 | 华润数字科技有限公司 | 安全服务调度方法和系统、电子设备、存储介质 |
CN117376032B (zh) * | 2023-12-06 | 2024-04-16 | 华润数字科技有限公司 | 安全服务调度方法和系统、电子设备、存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114095579B (zh) | 算力处理的网络系统、业务处理方法及设备 | |
US11240146B2 (en) | Service request routing | |
EP3072260B1 (en) | Methods, systems, and computer readable media for a network function virtualization information concentrator | |
US7979562B2 (en) | Service level agreements and management thereof | |
US7684436B2 (en) | Gateway apparatus, and method for processing signals in the gateway apparatus | |
US9584369B2 (en) | Methods of representing software defined networking-based multiple layer network topology views | |
DE112018008119T5 (de) | Modifizieren einer Ressourcenzuweisung oder einer Strategie in Reaktion auf Steuerungsinformationen von einer virtuellen Netzwerkfunktion | |
US11706088B2 (en) | Analyzing and configuring workload distribution in slice-based networks to optimize network performance | |
KR20030043588A (ko) | 웹 서비스용 폭주 제어 장치 및 방법 | |
Addad et al. | Towards modeling cross-domain network slices for 5G | |
US20060069777A1 (en) | Request message control method for using service and service providing system | |
US11985049B2 (en) | Method and system for guaranteeing service application experience | |
CN112954069A (zh) | 移动设备接入sd-wan网络的方法、装置和系统 | |
CN113132293B (zh) | 攻击检测方法、设备及公共蜜罐系统 | |
CN115150305B (zh) | 承载网时延链路确定系统、方法、电子设备及存储介质 | |
CN113472659B (zh) | 转发路径的确定方法、装置及sdn控制器 | |
CN116915862A (zh) | 安全服务部署方法及通信设备 | |
US10791030B2 (en) | Policy transmission method and apparatus in NFV system | |
CN116633934A (zh) | 负载均衡方法、装置、节点及存储介质 | |
EP3096492B1 (en) | Page push method and system | |
CN110995829A (zh) | 实例调用方法、装置及计算机存储介质 | |
CN104363187A (zh) | 一种物联网网关资源响应方法和装置 | |
US20230209404A1 (en) | Method for accessing gateway and apparatus | |
CN113810442A (zh) | 资源预留的方法、装置、终端及节点设备 | |
CN105099936A (zh) | 一种网络资源配置方法、设备和网络系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |