CN117336028A - 一种网络隔离方法和电子设备 - Google Patents

一种网络隔离方法和电子设备 Download PDF

Info

Publication number
CN117336028A
CN117336028A CN202311219621.4A CN202311219621A CN117336028A CN 117336028 A CN117336028 A CN 117336028A CN 202311219621 A CN202311219621 A CN 202311219621A CN 117336028 A CN117336028 A CN 117336028A
Authority
CN
China
Prior art keywords
server
tenant
resident
identifier
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311219621.4A
Other languages
English (en)
Inventor
郭笑言
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Our United Corp
Original Assignee
Our United Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Our United Corp filed Critical Our United Corp
Priority to CN202311219621.4A priority Critical patent/CN117336028A/zh
Publication of CN117336028A publication Critical patent/CN117336028A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供了一种网络隔离方法和电子设备,涉及医疗云平台技术领域,尤其涉及网络隔离技术领域。具体实现方案为:响应于待入驻租户的入驻请求,确定目标服务器为待入驻租户对应的服务器;在公有云服务器上为待入驻租户创建网络安全组;将目标服务器的服务器标识添加至网络安全组中。通过上述方法,可以自动实现对不同租户间的网络隔离,避免恶意租户对其他租户的网络攻击。

Description

一种网络隔离方法和电子设备
技术领域
本公开涉及医疗云平台技术领域,尤其涉及网络隔离技术领域,具体涉及一种网络隔离方法和电子设备。
背景技术
网络隔离是指两个或两个以上的网络在断开连接的基础上,实现信息交换和资源共享,也就是说,通过网络隔离既可以使两个网络实现物理上的隔离,又能在安全的网络环境下进行数据交换。网络隔离的主要目标是将有害的网络安全威胁隔离开,以保障数据信息在可信网络内在进行安全交互。
随着云计算技术的不断成熟,越来越多的企业和个人选择将系统部署到云平台上,导致入驻到一个云平台上的租户越来越多。为了保证不同租户间的网络安全,需要对不同的租户提供尽可能的安全隔离,以最大程度的避免恶意租户对其他租户的攻击。目前,在对不同租户间进行网络隔离时,需要人工手动操作实现网络隔离。
发明内容
本公开提供了一种网络隔离方法和电子设备,可以自动实现对不同租户间的网络隔离,避免恶意租户对其他租户的网络攻击。
第一方面,本公开提供一种网络隔离方法,该方法包括:响应于待入驻租户的入驻请求,确定目标服务器为待入驻租户对应的服务器;在公有云服务器上为待入驻租户创建网络安全组;将目标服务器的服务器标识添加至网络安全组中。其中,一个网络安全组对应一个租户,每两个网络安全组间网络隔离;入驻请求用于请求为所述待入驻租户分配服务器。
在一些实施例中,该方法还包括:基于待入驻租户的租户标识,对目标服务器的服务器标识进行更新,得到待入驻租户的亲和服务器。
在一些实施例中,该方法还包括:在亲和服务器上,部署待入驻租户的服务资源;服务资源用于为待入驻租户提供网络服务;服务资源包括软件资源或功能资源。
在一些实施例中,该方法还包括:基于待入驻租户的租户标识,确定租户标识对应的服务器标识;从多个服务器中,确定服务器标识对应的亲和服务器。
在一些实施例中,该方法还包括:获取待入驻租户的资源部署信息;资源部署信息包括租户标识;从资源部署信息中获取租户标识。
在一些实施例中,资源部署信息还用于部署待入驻租户的服务资源;在亲和服务器上,部署待入驻租户的服务资源,包括:基于资源部署信息,在亲和服务器上,部署待入驻租户的服务资源。
在一些实施例中,确定租户标识对应的服务器标识,包括:确定包含租户标识的服务器标识;或,确定包含租户标识中目标字段的服务器标识。
在一些实施例中,基于待入驻租户的租户标识,对目标服务器的服务器标识进行更新,包括:将租户标识添加至目标服务器的服务器标识中;或,将目标服务器的服务器标识替换为租户标识。
在一些实施例中,确定目标服务器为待入驻租户对应的服务器,包括:从多个服务器中,确定处于空闲状态的服务器;在处于空闲状态的服务器中,确定目标服务器为待入驻租户对应的服务器。
第二方面,本公开还提供一种电子设备,该电子设备包括:处理器和被配置为存储处理器可执行指令的存储器;其中,处理器被配置为执行所述指令,以实现上述第一方面中任一种可选的网络隔离方法。
本公开提供的网络隔离方法,在接收到待入驻租户的入驻请求后,不仅可以自动为待入驻租户分配目标服务器,还可以自动在公有云服务器上为待入驻租户划分安全组,并将目标服务器的服务器标识添加至在该安全组中,以将该待入驻租户与其他租户自动隔离开,即自动实现对不同租户间的网络隔离,避免恶意租户对其他租户的网络攻击。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1为相关技术中多租户管理方法的结构示意图;
图2为本公开实施例提供的一种网络隔离系统的场景示意图;
图3为本公开实施例提供的一种网络隔离方法的流程示意图;
图4为本公开实施例提供的一种网络隔离方法的交互流程示意图;
图5为本公开实施例提供的一种资源部署方法的交互流程示意图;
图6为本公开实施例提供的一种网络隔离系统的结构框图;
图7为本公开实施例提供的一种电子设备的示意性框图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
在本公开的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本公开和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本公开的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”、“第三”的特征可以明示或者隐含地包括一个或者更多个所述特征。在本公开的描述中,“多个”的含义是两个或两个以上,除非另有明确具体地限定。
在本公开的描述中,“示例性”一词用来表示“用作例子、例证或说明”。本公开中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本公开,给出了以下描述。在以下描述中,为了解释的目的而列出了细节。应当明白的是,本领域普通技术人员可以认识到,在不使用这些特定细节的情况下也可以实现本公开。在其它实例中,不会对公知的结构和过程进行详细阐述,以避免不必要的细节使本公开的描述变得晦涩。因此,本公开并非旨在限于所示的实施例,而是与符合本公开所公开的原理和特征的最广范围相一致。
需要说明的是,本公开实施例方法由于是在计算机设备中执行,各计算机设备的处理对象均以数据或信息的形式存在,例如时间,实质为时间信息,可以理解的是,后续实施例中若提及尺寸、数量、位置等,均为对应的数据存在,以便计算机设备进行处理,具体此处不作赘述。
下述将对本公开实施例中涉及的词语进行解释:
租户:租户可以包括入驻云平台的用户和多个用户组成的用户集群,还可以包括由计算、网络、存储等资源组成的工作负载集合。
安全组:安全组是指公有云服务器上对于各个云服务器的虚拟分组。
节点:节点是指已经分配或尚未进行分配的云服务器。
亲和服务器:亲和服务器又称“亲和节点”。亲和服务器是指服务器标识与租户标识具有关联关系的服务器。
亲和关系:亲和关系是指租户与该租户对应的亲和服务器之间的亲密关系。具体地,在为该租户部署服务资源时,可以优先将服务资源部署在该租户对应的亲和服务器上。
公有云服务器:公有云服务器一般为第三方提供商提供给用户能够使用的云服务器。
网络隔离是指两个或两个以上的网络在断开连接的基础上,实现信息交换和资源共享,也就是说,通过网络隔离既可以使两个网络实现物理上的隔离,又能在安全的网络环境下进行数据交换。网络隔离的主要目标是将有害的网络安全威胁隔离开,以保障数据信息在可信网络内在进行安全交互。
随着云计算技术的不断成熟,越来越多的企业和个人选择将系统部署到云平台上,导致入驻到一个云平台上的租户越来越多,形成一个多租户集群。在集群范围内,为了保证不同租户的安全性,需要对不同的租户进行管理。
在相关技术中,为了实现对不同的租户的管理,提出了一种多租户管理方法,具体地:虚拟化网络功能管理器(Virtualised Network Function manager,VNFM)在接收到虚拟网络功能(Virtualised Network Function,VNF)发送的包括VNF所调用的容器对象的租户的标识的实例化请求后,获取用于指示该VNF所调用的容器对象是否与该VNF中的其他容器对象部署在同一逻辑空间范围的指示信息。
获取到指示信息后,VNFM可以向图1所示的容器基础设施服务管理(ContainerInfrastructure Service Management,CISM)发送容器对象的创建请求,并在该创建请求中携带该容器对象的标识、该VNF所调用的容器对象的租户的标识以及该指示信息。CISM在接收到创建请求后,则根据预存的多租管理策略和该创建请求中的指示信息,创建该VNF所调用的容器对象,并向VNFM发送VNF实例化应答,完成该VNF的实例化过程。
上述指示信息还可以包括容器对象的亲和性/反亲和性规则。其中,亲和性/反亲和性规则包括容器对象所在的亲和性/反亲和性组的标识,以及亲和性/反亲和性组的作用范围,作用范围包括空间范围。
在上述技术方案中,CISM可以部署在各个容器集群下的其中一个节点上,示例性地,如图1所示,假设共包含两个容器集群,分别为容器集群1和容器集群2,容器集群1中包括如图1所示的4个节点,容器集群2包括如图1所示的5个节点,CISM可以部署在容器集群1和容器集群2中的一个节点上。
在上述多租户管理方法中,VNFM可以根据VNF的实例化请求中携带的租户的标识,请求CISM根据该指示信息在其管理的逻辑空间范围中部署容器对象,因此,可以实现对各个租户所调用的容器对象的隔离,而调用同一容器对象的租户很有可能被分配至同一空间范围(集群)内。当处于同一空间范围内的多个租户间存在恶意租户时,无法避免恶意租户对其他租户的攻击。
因此,需要对不同的租户间提供尽可能的安全隔离,以最大程度的避免恶意租户对其他租户的攻击,同时还需要保证各个租户可以公平地分配共享集群资源。
目前,在对不同租户间进行网络隔离时,通常采用软隔离(Soft Multi-tenancy)和硬隔离(Hard Multi-tenancy)两种技术方式。其中,软隔离多用于企业内部存在多个租户的情况,该情况下默认不存在恶意租户,隔离的目的主要是为了企业内部间的业务保护,并对可能存在的安全攻击进行防护。
硬隔离多用于对外提供服务的服务供应商存在多个租户的情况,该情况下无法保证不同租户间业务使用者的安全背景,因此隔离的目的主要是为了避免租户之间以及租户与容器管理平台(Kubernetes,K8S)系统之间的相互攻击。
然而,目前在对不同租户间进行网络隔离时,往往需要人工手动操作实现网络隔离。
基于上述技术问题,本公开实施例提供了一种网络隔离方法,在接收到待入驻租户的入驻请求后,不仅可以自动为待入驻租户分配目标服务器,还可以自动在公有云服务器上为待入驻租户划分安全组,并将目标服务器的服务器标识添加至在该安全组中,以将该待入驻租户与其他租户自动隔离开,即自动实现对不同租户间的网络隔离,避免恶意租户对其他租户的网络攻击。
图2为本公开实施例提供的一种网络隔离系统的场景示意图,如图2所示,该网络隔离系统中可以包括云平台服务器201和公有云服务器202。
在一些实施例中,云平台服务器201可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群,或者是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络、以及大数据或者人工智能平台等基本云计算服务的云服务器中的至少一种,本公开实施例对此不加以限定。在一种实施例中,云平台服务器201的数量能够更多或更少,本公开实施例对此不做具体限定。
公有云服务器202是指可以利用高速互联网的传输能力,将数据的处理过程从个人计算机或服务器转移到大型的云计算中心,并将计算能力、存储能力以服务的方式为用户提供,用户能够像使用电力、自来水等公用设施一样使用计算能力,并按使用量进行计费。在一些实施例中,公有云服务器202可以是一台服务器,也可以是由多台服务器组成的服务器集群,本公开实施例对此不做具体限定。
在本公开实施例中,云平台服务器201在接收到待入驻租户的入驻请求后,可以确定目标服务器作为待入驻租户对应的服务器。云平台服务器201还可以在公有云服务器202上为待入驻租户创建网络安全组,并将目标服务器的服务器标识添加至该网络安全组中,以将该待入驻租户与其他租户自动隔离开,自动实现对不同租户间的网络隔离,避免恶意租户对其他租户的网络攻击。
图3为本公开实施例提供的一种网络隔离方法的流程示意图,该方法可以应用于图2所示的网络隔离系统中,如图3所示,该方法包括:
S301,响应于待入驻租户的入驻请求,确定目标服务器为待入驻租户对应的服务器。
在本公开实施例中,目标服务器可以包括但不限于云服务器,例如,物理服务器等,本公开实施例对目标服务器的服务器类型不做具体限定,下述以目标服务器为云服务器为例进行阐述。
在本公开实施例中,待入驻租户可以为某个用户,也可以为某个场所(例如,XX医院),本公开实施例对待入驻租户不做具体限定。
具体地,待入驻租户可以通过终端设备申请入驻云平台,并申请目标数量的云服务器。例如,终端设备可以根据目标数量生成对应的入驻请求,并将该入驻请求发送至云平台服务器。云平台服务器在接收到该入驻请求后,可以确定对应数量的云服务器作为目标服务器,并将该目标服务器作为该待入驻租户对应的服务器。
在本公开实施例中,云平台可以包括但不限于医疗云平台,例如,企业云平台、游戏云平台等,本公开实施例对云平台不做具体限定。在本公开实施例中以云平台为医疗云平台为例进行说明。
在本公开实施例中,待入驻租户的终端设备,可以包括但不限于智能手机(mobilephone)、笔记本电脑和平板电脑等终端设备,本公开实施例对终端设备不做具体限定。
示例性地,在一种实施例中,假设云平台为医疗云平台,待入驻租户在通过终端设备申请入驻云平台时,申请的云服务器的数量为20台,即目标数量为20。医疗云平台服务器在接收到该入驻请求后,可以确定20台云服务器作为目标服务器,并将该20台云服务作为该待入驻租户对应的服务器。
在一种可选的实施方式中,在确定目标服务器时,可以从处于空闲状态的服务器(即未分配给其他租户的服务器)中为待入驻租户确定目标服务器。具体地,S301可以替换为:响应于待入驻租户的入驻请求,从多个服务器中,确定处于空闲状态的服务器;在处于空闲状态的服务器中,确定目标服务器为待入驻租户对应的服务器。
具体地,云平台服务器在接收到待入驻租户的入驻请求后,可以先查询各个云服务器的服务器状态,并从服务器状态为空闲状态的服务器中,确定对应数量的云服务器作为目标服务器,并将该目标服务器作为该待入驻租户对应的服务器。
示例性地,在一种实施例中,假设云平台为医疗云平台,待入驻租户在通过终端设备申请入驻云平台时,申请的云服务器的数量为20台,即目标数量为20。医疗云平台服务器在接收到该入驻请求后,可以先查询各个云服务器的服务器状态,并从服务器状态为空闲状态的服务器中,确定20台云服务器作为目标服务器,并将该20台云服务作为该待入驻租户对应的服务器。
S302,在公有云服务器上为待入驻租户创建网络安全组。
其中,一个网络安全组对应一个租户,每两个网络安全组间网络隔离。
S303,将目标服务器的服务器标识添加至网络安全组中。
通过S301和S302为待入驻租户分配目标服务器,并为待入驻租户创建网络安全组后,可以将目标服务器的服务器标识添加至网络安全组中,以自动实现该待入驻租户与入驻至云平台的其他租户间的网络隔离,进而有效避免其他租户对该待入驻租户的网络攻击。
通过上述方式,可以在租户申请入驻云平台时,不仅可以自动为租户分配对应的服务器,还可以自动在公有云服务器为租户划分网络安全组,并将分配的服务器的服务器标识添加至在网络安全组中,实现服务器和网络安全组的自动化绑定。相比于现有技术中需要人工手动操作实现网络隔离的方式,本公开实施例提供的网络隔离方法不仅有效节省相关人员手动操作的时间,还可以自动将该租户和其余租户之间进行网络隔离,为发该租户营造一个稳定安全的网络环境,保证该租户的信息独立和资源独立,进而有效避免其余租户对该租户的恶意攻击。
在一种可选的实施方式中,将目标服务器的服务器标识添加至网络安全组中后,还可以基于待入驻租户的租户标识,对目标服务器的服务器标识进行更新,得到待入驻租户的亲和服务器。
在基于待入驻租户的租户标识,对目标服务器的服务器标识进行更新的过程中,可以通过下述两种方式对目标服务器的服务器标识进行更新。
方式一:将租户标识添加至目标服务器的服务器标识中。
具体地,将目标服务器的服务器标识添加至网络安全组中后,可以将租户标识添加至目标服务器的服务器标识中,得到待入驻租户的亲和服务器,即服务器标识中携带租户标识的服务器是待入驻租户的亲和服务器。
示例性地,在一种实施例中,假设待入驻租户的租户标识为“s-101”,目标服务器的服务器标识为“org”,可以将租户标识“s-101”添加至服务器标识“org”中,使目标服务器的服务器标识从“org”更新为“orgs-101”,得到待入驻租户“s-101”的亲和服务器,也就是说,服务器标识为“orgs-101”的服务器即为待入驻租户“s-101”的亲和服务器。
方式二:将目标服务器的服务器标识替换为租户标识。
具体地,将目标服务器的服务器标识添加至网络安全组中后,可以将目标服务器的服务器标识替换为待入驻租户的租户标识,得到待入驻租户的亲和服务器,即服务器标识为待入驻租户的租户标识的服务器是待入驻租户的亲和服务器。
示例性地,在一种实施例中,假设待入驻租户的租户标识为“s-101”,目标服务器的服务器标识为“fw”,可以将服务器标识“fw”替换为租户标识“s-101”,使目标服务器的服务器标识从“fw”更新为“s-101”,得到待入驻租户“s-101”的亲和服务器,也就是说,服务器标识为“s-101”的服务器即为待入驻租户“s-101”的亲和服务器。
在本公开实施例中,对目标服务器的服务器标识进行更新的方式可以包括但不限上述方式一和方式二。例如,将待入驻租户的租户标识中的部分字段增加至目标服务器的服务器标识中,或,将目标服务器的服务器标识替换为与租户标识具有绑定关系的标识信息等,本公开实施例对更新目标服务器的服务器标识的方式不作具体限定。
通过上述方式,可以基于租户标识,对网络安全组中目标服务器的服务器标识进行更新,得到租户的亲和服务器,以使后续为该租户部署服务资源时,可以根据该租户的租户标识,快速找到该租户的亲和服务器,有效避免出现将该租户的服务资源部署在其他租户对应的服务器上的问题。
在一种可选的实施方式中,通过上述方式得到待入驻租户的亲和服务器后,还可以将待入驻租户的租户标识和亲和服务器的服务器标识进行对应存储。
具体地,得到待入驻租户的亲和服务器后,可以将待入驻租户的租户标识和亲和服务器的服务器标识对应存储至数据库中。
示例性地,在一种实施例中,假设待入驻租户的租户标识为“s-101”,该待入驻租户对应的亲和服务器的服务器标识为“orgs-101”,可以将租户标识“s-101”和“orgs-101”对应存储至数据库中。
通过上述方式将租户标识和亲和服务器的服务器标识对应存储后,可以在后续为租户部署服务资源时,通过预先存储的对应关系,快速找到租户对应的亲和服务器的服务器标识,进而根据该服务器标识快速找到该租户的亲和服务器,不仅可以有效提高资源部署效率,还可以进一步避免出现将该租户的服务资源部署在其他租户对应的服务器上的问题。
在一种可选的实施方式中,通过上述方式得到待入驻租户的亲和服务器后,还可以在亲和服务器上,部署待入驻租户的服务资源。
其中,服务资源用于为待入驻租户提供网络服务;服务资源包括软件资源或功能资源。
软件资源可以包括云平台为待入驻租户提供的应用软件。例如,云平台为医疗云平台,待入驻租户为医院、医生或患者时,软件资源可以是医疗云平台为医院、医生或患者提供的用于在线问诊的应用、即时通讯的应用、医学图像轮廓勾画的应用以及治疗计划制作的应用等。
功能资源可以包括云平台为待入驻租户提供的应用功能。例如,云平台为医疗云平台,待入驻租户为医院、医生或患者时,功能资源可以是医疗云平台为医院、医生或患者提供的在线问诊功能、及时通讯功能以及信息查询功能等。
具体地,通过上述方式得到待入驻租户的亲和服务器后,云平台服务器可以将资源属性为通用属性的资源确定为待入驻租户的服务资源,并将该服务资源部署在待入驻租户的亲和服务器上。
其中,通用属性的资源是指不需要租户订购,就可以直接进行部署的资源。
示例性地,在一种实施例中,假设软件A的资源属性为通用属性,得到待入驻租户的亲和服务器后,云平台服务器可以将软件A确定为待入驻租户的服务资源,并将软件A部署在待入驻租户的亲和服务器上。
通过上述方式,可以在得到待入驻租户的亲和服务器后,自动将资源属性为通用属性的资源部署在该亲和服务器上,而不需要相关人员进行手动部署,因此,可以进一步提高资源部署效率。
在一种可选的实施方式中,通过上述方式得到待入驻租户的亲和服务器后,还可以响应于租户针对目标资源的订购请求,将目标资源部署在该租户的亲和服务器上。
具体地,租户在成功入驻云平台后,可以通过终端设备订购目标资源,终端设备可以响应于该租户的订购操作,生成携带资源标识和租户标识的订购请求,并将该订购请求发送至云平台服务器,云平台服务器可以根据该订购请求中携带的目标资源的资源标识和租户标识,将目标资源部署在该租户的亲和服务器上。
示例性地,在一种实施例中,假设租户A通过终端设备订购软件B,终端设备可以响应于租户A的订购操作生成携带资源标识(软件B的标识)和租户标识(租户A的标识)的订购请求,并将该订购请求发送至云平台服务器,云平台服务器可以根据该订购请求中携带的资源标识和租户标识,将软件B部署在租户A的亲和服务器上。
在本公开实施例中,租户在成功入驻云平台后,不仅可以通过云平台服务器完成服务资源的订购操作,还可以通过云平台服务器实现对已订购资源或已部署资源的升级操作、退订操作等,具体实施方式与上述订购操作的步骤类似,在本公开实施例中不再赘述。
在一种可选的实施方式中,在待入驻租户的亲和服务器上部署服务资源时,可以参考下述步骤A-步骤E:
步骤A:获取待入驻租户的资源部署信息。
其中,资源部署信息中携带有租户标识。
步骤B:从资源部署信息中获取租户标识。
步骤C:基于待入驻租户的租户标识,确定租户标识关联的服务器标识。
在一种可选的实施方式中,在确定租户标识关联的服务器标识时,可以通过下述两种方式进行确定。
方式一:确定包含租户标识的服务器标识。
具体地,通过步骤A和步骤B获取到租户标识后,可以将包含租户标识的服务器标识确定为租户标识关联的服务器标识。
示例性地,在一种实施例中,假设获取到的租户标识为“s-101”,云平台服务器可以将包含有租户标识“s-101”的服务器标识确定为租户标识关联的服务器标识。
方式二:确定包含租户标识中目标字段的服务器标识。
具体地,通过步骤A和步骤B获取到租户标识后,可以先确定租户标识对应的目标字段,然后将包含目标字段的服务器标识确定为租户标识关联的服务器标识。
在本公开实施例中,租户标识对应的目标字段可以为租户标识中的部分字段,例如,假设租户标识为“s-101”,租户标识对应的目标字段可以为“101”。也可以为租户标识中的全部字段,例如,假设租户标识为“s-101”,租户标识对应的目标字段可以为“s-101”。还可以为除租户标识外的其余字段,例如,假设租户标识为“s-101”,租户标识对应的目标字段可以为“aaa”。
示例性地,在一种实施例中,假设获取到的租户标识为“s-101”,租户标识对应的目标字段为“101”,云平台服务器可以将包含目标字段“101”的服务器标识确定为租户标识关联的服务器标识。
在本公开实施例中,确定租户标识关联的服务器标识的方式与上述对目标服务器的服务器标识进行更新的方式相对应。具体地,若上述对目标服务器的服务器标识进行更新的方式为“将租户标识添加至目标服务器的服务器标识中”,相应地,此处确定租户标识关联的服务器标识的方式可以为“确定包含租户标识的服务器标识”。若上述对目标服务器的服务器标识进行更新的方式为“将待入驻租户的租户标识中的部分字段增加至目标服务器的服务器标识中”,相应地,此处确定租户标识关联的服务器标识的方式可以为“确定包含租户标识中目标字段的服务器标识”。
步骤D:从多个服务器中,确定服务器标识对应的亲和服务器。
步骤E:在亲和服务器上,部署待入驻租户的服务资源。
具体地,通过步骤C确定出租户标识关联的服务器标识后,可以根据该租户标识从多个服务器中,确定该服务器标识对应的服务器(即亲和服务器),并在该服务器上,部署待入驻租户的服务资源。
在一种可选的实施方式中,资源部署信息还可以用于部署待入驻租户的服务资源。相应地,在部署待入驻租户的服务资源时,可以基于资源部署信息,在亲和服务器上,部署待入驻租户的服务资源。
具体地,资源部署信息除携带有租户标识外,还可以携带有待部署的服务资源的资源信息,例如,待部署的服务资源为软件资源时,资源部署信息还可以携带有待部署的软件资源的软件数量、软件依赖的资源以及针对待入驻租户购买的软件规格生成的特定配置等信息。因此,在部署待入驻租户的服务资源时,可以根据资源部署信息中包含的待部署的服务资源的资源信息,在亲和服务器上,部署对应的服务资源。
通过上述方式,在为待入驻租户部署服务资源时,不仅可以基于资源部署信息中携带的租户标识,快速找到租户的亲和服务器的服务器标识,进而根据该服务器标识快速找到该租户的亲和服务器,还可以基于资源部署信息中包含的待部署的服务资源的资源信息,在亲和服务器快速部署对应的服务资源,而不需要在资源池中查找对应的资源信息,因此可以进一步提高资源部署效率。
在一种可选的实施方式中,待入驻租户的服务资源的部署可以由集成部署在云平台服务器中的K8S实现,具体地:服务器在获取到待入驻租户的资源部署信息后,可以基于资源部署信息中携带的租户标识,生成携带租户标识的yaml文件和包含待部署的服务资源的资源信息的资源包。
生成携带租户标识的yaml文件和包含待部署的服务资源的资源信息的资源包后,云平台服务器可以将该yaml文件和资源包发送至K8S,K8S在接收到yaml文件和资源包后,可以根据yaml文件中携带的租户标识,确定租户标识关联的服务器标识,并确定该服务器标识对应的亲和服务器,然后根据资源包中包含的待部署的服务资源的资源信息,在亲和服务器上部署对应的服务资源。
通过上述方式,通过K8S为待入驻租户部署服务资源时,K8S可以根据yaml文件快速找到亲和服务器,并根据资源包中包含的资源信息,将服务资源优先部署在该亲和服务器中,提高资源部署效率。
在本公开实施例中,云平台服务器中可以集成有多个服务模块,例如,业务开通服务、运营管理服务、公有云服务器管理服务和K8S。其中,业务开通服务可以负责各个租户的入驻、订购、退订、升级等场景的业务开通和资源部署。运营管理服务可以在获取处于空闲状态的云服务器的服务器标识。公有云服务器管理服务可以在公有云服务器中为待入驻租户划分安全组。K8S可以在待入驻租户的亲和服务器上部署对应的服务资源。
下述将以业务开通服务、运营管理服务、公有云服务器管理服务和K8S为例,对本公开实施例提供的网络隔离方法进行进一步的阐述。
图4为本公开实施例提供的一种网络隔离方法的交互流程示意图,如图4所示,该方法包括:
S401,客户端向业务开通服务发送租户入驻请求。
其中,客户端即为待入驻租户的终端设备。
S402,业务开通服务响应于租户入驻请求,向运营管理服务发送空闲服务器获取请求。
具体地,业务开通服务在接收到租户入驻请求后,可以响应于该租户入驻请求,向运营管理服务发送空闲服务器获取请求,该空闲服务器获取请求用于获取当前时刻处于空闲状态的服务器的服务器标识。
在一些实施例中,业务开通服务在接收到租户入驻请求后,还可以向客户端发送确认收到的回复消息。
S403,运营管理服务响应于空闲服务器获取请求,向业务开通服务发送空闲服务器列表。
其中,空闲服务器列表是根据处于空闲状态的服务器的服务器标识生成的。
具体地,运营管理服务在接收到空闲服务器获取请求后,可以响应于该空闲服务器获取请求,根据当前处于空闲状态的服务器的服务器标识生成空闲服务器列表,并返回至业务开通服务。
S404,业务开通服务从空闲服务器列表中确定目标服务器作为待入驻租户对应的服务器。
具体地,业务开通服务在接收到空闲服务器列表后,可以从空闲服务器列表中,确定对应数量的云服务器作为目标服务器,并将该目标服务器作为该待入驻租户对应的服务器。
S405,业务开通服务通过公有云服务器管理服务为待入驻租户创建网络安全组,并将目标服务器的服务器标识添加至该网络安全组中。
具体地,业务开通服务通过公有云服务器管理服务在公有云服务器中为待入驻租户划分一个网络安全组,并将目标服务器的服务器标识添加至该网络安全组中,即将目标服务器的服务器标识与网络安全组建立绑定关系。
S406,业务开通服务基于待入驻租户的租户标识,在K8S中对目标服务器的服务器标识进行更新。
业务开通服务基于待入驻租户的租户标识,在K8S中对目标服务器的服务器标识进行更新后,与目标服务器的服务器标识具有绑定关系的网络安全组中的服务器标识也会同步实现更新。
图5为本公开实施例提供的一种资源部署方法的交互流程示意图,如图5所示,该方法包括:
S501,客户端向业务开通服务发送针对目标资源的资源订购请求。
在一些实施例中,业务开通服务在接收到资源订购请求后,还可以向客户端发送确认收到的回复消息。
S502,业务开通服务响应于资源订购请求,向运营管理服务发送目标资源的交付清单获取请求。
S503,运营管理服务响应于交付清单获取请求,向业务开通服务发送目标资源的交付清单。
交付清单描述了:当一个服务资源被租户购买后需要交付的内容,包括需要部署的服务资源的数量、该服务资源依赖的资源以及针对租户购买的服务资源的规格生成的特定配置等。具体地,交付清单中可以包括:交付方式、交付地址、系统信息(系统名称、系统级资源依赖等)、应用信息(应用名称等)、产品信息(产品名称、产品自检地址、功能模块)。
S504,业务开通服务在交付清单中添加租户标识,得到资源部署信息。
S505,业务开通服务根据资源部署信息进行解析,生成携带租户标识的yaml文件和携带目标资源的资源信息的资源包。
具体地,业务开通服务可以将资源部署信息添加至预先训练的资源部署模型中,得到携带租户标识的yaml文件和携带目标资源的资源信息的资源包。
S506,业务开通服务向K8S发送yaml文件和资源包。
S507,K8S基于yaml文件中携带的租户标识,确定该租户标识对应的亲和服务器。
S508,K8S基于资源包,在该亲和服务器上部署目标资源。
具体地,K8S中的helm chart(面向K8S开源的部署工具)可以根据资源包中包含的服务资源的资源信息,在该亲和服务器上部署目标资源。
图6为本公开实施例提供的一种网络隔离系统的结构框图,如图6所示,该网络隔离系统中可以包括:部署有业务开通服务的云平台服务器、公有云服务器和K8S。
公有云服务器中可以划分有多个安全组(sg),例如,sg-101、sg-102、……和sg-N等。每个安全组中可以包含有多个服务器(ECS)的服务器标识。
K8S中可以包含有多个服务器集群(org),例如,org-101、org-102、……和org-N等。服务器集群和租户一一对应,且每个服务器集群中可以包含多个服务器(node)。
其中,101、102……N为租户标识,N为正整数。K8S中的服务器(node)与公有云服务器中的服务器(ECS)具有对应关系。
在本公开实施例中,待入驻租户发起租户入驻请求后,业务开通服务可以在K8S的节点池中确定处于空闲状态的服务器中,并在处于空闲状态的服务器中为待入驻租户分配对应数量的服务器作为目标服务器(即一个服务器集群)。业务开通服务还可以在公有云服务器中为待入驻租户创建网络安全组,并将目标服务器的服务器标识添加至该网络安全组。
业务开通服务还可以基于待入驻租户的租户标识,在K8S中对目标服务器的服务器标识进行更新,得到待入驻租户的亲和服务器,并通过K8S在目标服务器中为待入驻租户部署对应的服务资源。
图7示出了可以用来实施本公开实施例的示例电子设备700的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图7所示,电子设备700包括计算单元701,其可以根据存储在只读存储器702中的计算机程序或者从存储单元708加载到随机访问存储器703中的计算机程序,来执行各种适当的动作和处理。在随机存取存储器(Random Access Memory,RAM)703中,还可存储电子设备700操作所需的各种程序和数据。计算单元701、只读存储器(Read-Only Memory,ROM)702以及RAM703通过总线704彼此相连。输入/输出接口705也连接至总线704。
电子设备700中的多个部件连接至输入/输出(Input/Output,I/O)接口705,包括:输入单元706,例如键盘、鼠标等;输出单元707,例如各种类型的显示器、扬声器等;存储单元708,例如磁盘、光盘等;以及通信单元709,例如网卡、调制解调器、无线通信收发机等。通信单元709允许电子设备700通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元701可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元701的一些示例包括但不限于中央处理单元、图形处理单元(Graphics ProcessingUnit,GPU)、各种专用的人工智能(Artificial Intelligence,AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器、以及任何适当的处理器、控制器、微控制器等。计算单元701执行上文所描述的各个方法和处理,例如数据匹配方法。例如,在一种实施例中,数据匹配方法可被实现为计算机软件程序,其被有形地包括于机器可读介质,例如存储单元708。在一种实施例中,计算机程序的部分或者全部可以经由ROM702和/或通信单元709而被载入和/或安装到电子设备700上。当计算机程序加载到RAM703并由计算单元701执行时,可以执行上文描述的数据匹配方法的一个或多个步骤。备选地,在其他实施例中,计算单元701可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行数据匹配方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列、专用集成电路、专用标准产品(Application Specific StandardParts,ASSP)、芯片上系统的系统(System On Chip,SOC)、复杂可编程逻辑设备(ComplexProgrammable Logic Device,CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器、只读存储器、可擦除可编程只读存储器、光纤、便捷式紧凑盘只读存储器、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置,例如,阴极射线管(Cathode Ray Tube,CRT)或者液晶显示器(Liquid Crystal Display,LCD)监视器;以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(Local Area Network,LAN)、广域网(Wide Area Network,WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。

Claims (10)

1.一种网络隔离方法,其特征在于,所述方法包括:
响应于待入驻租户的入驻请求,确定目标服务器为所述待入驻租户对应的服务器;所述入驻请求用于请求为所述待入驻租户分配服务器;
在公有云服务器上为所述待入驻租户创建网络安全组;其中,一个网络安全组对应一个租户,每两个网络安全组间网络隔离;
将所述目标服务器的服务器标识添加至所述网络安全组中。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述待入驻租户的租户标识,对所述目标服务器的服务器标识进行更新,得到所述待入驻租户的亲和服务器。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在所述亲和服务器上,部署所述待入驻租户的服务资源;所述服务资源用于为所述待入驻租户提供网络服务;所述服务资源包括软件资源或功能资源。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
基于所述待入驻租户的租户标识,确定所述租户标识关联的服务器标识;
从多个服务器中,确定所述服务器标识对应的所述亲和服务器。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
获取所述待入驻租户的资源部署信息;所述资源部署信息包括租户标识;
从所述资源部署信息中获取所述租户标识。
6.根据权利要求5所述的方法,其特征在于,所述资源部署信息还用于部署所述待入驻租户的服务资源;
所述在所述亲和服务器上,部署所述待入驻租户的服务资源,包括:
基于所述资源部署信息,在所述亲和服务器上,部署所述待入驻租户的服务资源。
7.根据权利要求4所述的方法,其特征在于,所述确定所述租户标识关联的服务器标识,包括:
确定包含所述租户标识的服务器标识;或,
确定包含所述租户标识中目标字段的服务器标识。
8.根据权利要求2所述的方法,其特征在于,所述基于所述待入驻租户的租户标识,对所述目标服务器的服务器标识进行更新,包括:
将所述租户标识添加至所述目标服务器的服务器标识中;或,
将所述目标服务器的服务器标识替换为所述租户标识。
9.根据权利要求1所述的方法,其特征在于,所述确定目标服务器为所述待入驻租户对应的服务器,包括:
从多个服务器中,确定处于空闲状态的服务器;
在所述处于空闲状态的服务器中,确定所述目标服务器为所述待入驻租户对应的服务器。
10.一种电子设备,其特征在于,所述电子设备包括:
处理器;
被配置为存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如权利要求1-9中任一项所述的网络隔离方法。
CN202311219621.4A 2023-09-20 2023-09-20 一种网络隔离方法和电子设备 Pending CN117336028A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311219621.4A CN117336028A (zh) 2023-09-20 2023-09-20 一种网络隔离方法和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311219621.4A CN117336028A (zh) 2023-09-20 2023-09-20 一种网络隔离方法和电子设备

Publications (1)

Publication Number Publication Date
CN117336028A true CN117336028A (zh) 2024-01-02

Family

ID=89282166

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311219621.4A Pending CN117336028A (zh) 2023-09-20 2023-09-20 一种网络隔离方法和电子设备

Country Status (1)

Country Link
CN (1) CN117336028A (zh)

Similar Documents

Publication Publication Date Title
CN111741026B (zh) 一种跨链事务请求处理方法、装置、设备以及存储介质
US9967136B2 (en) System and method for policy-based smart placement for network function virtualization
CN111385114B (zh) Vnf服务实例化方法及装置
US11646939B2 (en) Network function NF management method and NF management device
CN112437006B (zh) 基于api网关的请求控制方法、装置、电子设备和存储介质
CN109964507A (zh) 网络功能的管理方法、管理单元及系统
CN109155939A (zh) 一种负载迁移方法、装置及系统
CN111770176A (zh) 流量调度方法及装置
CN113986478A (zh) 资源迁移策略确定方法以及装置
CN114301914B (zh) 一种云边协同方法、装置及存储介质
CN113238756B (zh) 直播业务处理方法、装置、电子设备及存储介质
CN108540408B (zh) 一种基于Openstack的分布式虚拟交换机的管理方法及系统
CN109213565B (zh) 异构虚拟计算资源的管理方法、相关设备及存储介质
CN114172753B (zh) 地址预留的方法、网络设备和系统
CN114051029B (zh) 授权方法、授权装置、电子设备和存储介质
CN117336028A (zh) 一种网络隔离方法和电子设备
CN113904871B (zh) 网络切片的接入方法、pcf实体、终端和通信系统
CN114070889B (zh) 配置方法、流量转发方法、设备、存储介质及程序产品
CN115442129A (zh) 一种管理集群访问权限的方法、装置和系统
CN114661465A (zh) 资源管理的方法、装置、存储介质及电子设备
US10637924B2 (en) Cloud metadata discovery API
CN112889247B (zh) Vnf服务实例化方法及装置
CN112910796A (zh) 流量管理方法、装置、设备、存储介质以及程序产品
CN111045778B (zh) 一种虚拟机的创建方法、装置、服务器及存储介质
WO2020078424A1 (zh) 网络访问控制方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination