CN117519901A - 一种数据访问处理方法、装置、设备及介质 - Google Patents

Abstract

本发明公开了一种数据访问处理方法、装置、设备及介质，适用于计算机网络信息技术领域。获取当前的数据访问请求对应的访问目标主机的访问控制规则，虚拟化管理系统具有访问控制功能，根据策略流量控制规则对源和目的无类型域间选路以及流量数据进行精准控制允许或者拒绝访问的处理；根据策略控制规则对源和目的无类型域间选路进行精准控制，允许或者拒绝访问的处理。根据访问控制规则对流量数据和/或源和目的无类型域间选路进行精准控制，无需购买具有访问控制功能的硬件设备进行参数的修改来实现，通过虚拟化管理系统的软件形式实现了数据访问控制的随时更改参数，降低修改参数和硬件设备的成本，简化整个数据访问控制的参数修改过程。

Description

一种数据访问处理方法、装置、设备及介质

技术领域

本发明涉及计算机网络信息技术领域，特别是涉及一种数据访问处理方法、装置、设备及介质。

背景技术

随着虚拟化管理系统的应用和客户对应的应用场景逐渐增多，客户对于数据处理要求逐渐多样化。

当前的数据访问控制技术基于硬件设备的设置，如防火墙等，在需要参数修改时，可能需要拆除防火墙等硬件设备进行参数的修改后，再重新安装至服务器中，或者直接更换其他硬件设备，导致整个数据访问控制的参数修改过程较为复杂繁琐，且硬件设备以及修改参数的成本较高，无法实现随时更改参数。

因此，如何提高数据访问控制的过程简单且降低修改参数和硬件设备的成本是本领域技术人员亟需要解决的问题。

发明内容

本发明的目的是提供一种数据访问处理方法、装置、设备及介质，以解决当前数据访问控制技术基于硬件设备的参数修改，导致修改过程复杂繁琐且成本较高，无法实现随时更改参数的问题。

为解决上述技术问题，本发明提供一种数据访问处理方法，应用于虚拟化管理系统，包括：

获取当前的数据访问请求对应的源无类型域间选路和目的无类型域间选路；

获取所述当前的数据访问请求的访问目标主机的访问控制规则，其中，所述访问控制规则至少包括策略流量控制规则和策略控制规则的一种或多种规则，所述目标主机由所述目的无类型域间选路确定；

在所述访问控制规则为所述策略流量控制规则时，根据所述策略流量控制规则对所述源无类型域间选路、所述目的无类型域间选路和所述目标主机的流量数据进行处理以确定所述当前的数据访问请求的访问控制；

在所述访问控制规则为所述策略控制规则时，根据所述策略控制规则对所述源无类型域间选路和所述目的无类型域间选路进行处理以确定所述当前的数据访问请求的访问控制。

一方面，所述策略流量控制规则的确定过程，包括：

获取访问控制列表，其中，所述访问控制列表记录有数据访问请求允许访问和拒绝访问的源无类型域间选路和目的无类型域间选路；

获取目标数据访问请求对应的目标源无类型域间选路和目标目的无类型域间选路；

在确定所述目标源无类型域间选路和所述目标目的无类型域间选路在所述访问控制列表的情况下，则确定所述目标数据访问请求为允许状态；

获取所述目标数据访问请求对应的第一目标主机下的流量数据，其中，所述第一目标主机由所述目标数据访问请求对应的所述目标目的无类型域间选路确定；

判断所述第一目标主机下的流量数据是否达到预设流量数据；

若达到，则允许所述目标数据访问请求对应的数据通过，其余数据访问请求对应的数据不通过；

若未达到，则允许所述目标数据访问请求和所述其余数据访问请求均通过；

在确定所述目标源无类型域间选路和/或所述目标目的无类型域间选路不在所述访问控制列表的情况下，则确定所述目标数据访问请求为拒绝状态；

判断所述第一目标主机下的流量数据是否达到所述预设流量数据；

若未达到，则允许所述目标数据访问请求和所述其余数据访问请求均通过；

若达到，则拒绝所述目标数据访问请求通过，所述其余数据访问请求允许通过。

另一方面，所述策略控制规则的确定过程，包括：

获取访问控制列表，其中，所述访问控制列表记录有数据访问请求允许访问和拒绝访问的源无类型域间选路和目的无类型域间选路；

获取目标数据访问请求对应的目标源无类型域间选路和目标目的无类型域间选路，其中，所述第一目标主机由所述目标数据访问请求对应的所述目标目的无类型域间选路确定；

在确定所述目标源无类型域间选路和所述目标目的无类型域间选路在所述访问控制列表的情况下，则确定所述目标数据访问请求为允许状态，允许所述目标数据访问请求通过，其余数据访问请求不通过；

在确定所述目标源无类型域间选路和/或所述目标目的无类型域间选路不在所述访问控制列表的情况下，则确定所述目标数据访问请求为拒绝状态，拒绝所述目标数据访问请求不通过，所述其余数据访问请求通过。

另一方面，所述当前的数据访问请求的获取过程，包括：

根据预设间隔获取各数据访问请求所属的用户业务数据；

根据各用户业务数据确定优先级等级；

将所述优先级等级由高到低的顺序排序；

将排序后的所述优先级等级为首位的业务数据对应的数据访问请求数据作为所述当前的数据访问请求。

另一方面，在获取到所述访问控制规则之后，在根据所述访问控制规则确定所述当前的数据访问请求的访问控制之前，还包括：

预先将所述访问控制规则添加至分布式路由器处；

通过指令形式将所述访问控制规则下发至所述虚拟化管理系统内的各节点主机内以便于根据所述访问控制规则确定所述当前的数据访问请求的访问控制。

另一方面，在根据所述访问控制规则确定所述当前的数据访问请求的访问控制之后，还包括：

在所述目标主机存在多个相同的访问任务时，根据所述当前的数据访问请求对应的所述源无类型域间选路所述目的无类型域间选路分别确定对应的源端口和目的端口；

在多个所述相同的访问任务中根据所述源端口和所述目的端口确定所述当前的数据访问请求对应的目标访问任务进行访问。

另一方面，在根据所述访问控制规则确定所述当前的数据访问请求的访问控制之后，还包括：

在所述当前的数据访问请求访问到所述目标主机后，在所述目标主机内的目标虚拟机内执行所述当前的数据访问请求对应的访问任务；

调用在所述目标主机内除所述目标虚拟机之外同一子网下的其余虚拟机内的所述访问任务对应的数据以完成所述访问任务，其中，所述访问任务对应的数据预先通过数据库形式建立在所述其余虚拟机内。

为解决上述技术问题，本发明还提供一种数据访问处理装置，应用于虚拟化管理系统，包括：

第一获取模块，用于获取当前的数据访问请求对应的源无类型域间选路和目的无类型域间选路；

第二获取模块，用于获取所述当前的数据访问请求的访问目标主机的访问控制规则，其中，所述访问控制规则至少包括策略流量控制规则和策略控制规则的一种或多种规则，所述目标主机由所述目的无类型域间选路确定；

第一处理模块，用于在所述访问控制规则为所述策略流量控制规则时，根据所述策略流量控制规则对所述源无类型域间选路、所述目的无类型域间选路和所述目标主机的流量数据进行处理以确定所述当前的数据访问请求的访问控制；

第二处理模块，用于在所述访问控制规则为所述策略控制规则时，根据所述策略控制规则对所述源无类型域间选路和所述目的无类型域间选路进行处理以确定所述当前的数据访问请求的访问控制。

为解决上述技术问题，本发明还提供一种数据访问处理设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上述所述的数据访问处理方法的步骤。

为解决上述技术问题，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述所述的数据访问处理方法的步骤。

本发明提供的一种数据访问处理方法，应用于虚拟化管理系统，获取当前的数据访问请求对应的访问目标主机的访问控制规则，访问控制规则至少包括策略流量控制规则和策略控制规则的一种或者多种，虚拟化管理系统具有访问控制功能，进而根据获取的访问控制规则对源无类型域间选路、目的无类型域间选路和/或目标主机的流量数据进行处理，即根据策略流量控制规则对源和目的无类型域间选路以及流量数据进行精准控制允许或者拒绝访问的处理；根据策略控制规则对源和目的无类型域间选路进行精准控制，允许或者拒绝访问的处理。本发明的有益效果在于根据访问控制规则对流量数据和/或源和目的无类型域间选路进行精准控制，无需购买具有访问控制功能的硬件设备进行参数的修改来实现，通过虚拟化管理系统的软件形式实现了数据访问控制的随时更改参数，降低修改参数和硬件设备的成本，简化整个数据访问控制的参数修改过程。

其次，本发明提供的策略流量控制规则的确定过程，通过该策略流量控制规则对源无类型域间选路、目的无类型域间选路和目标主机的流量数据进行处理以确定当前的数据访问请求的访问控制，在对应源无类型域间选路和目的无类型域间选路进行策略判断之后，再通过访问数据流量达到预设流量数据之后再对客户的访问请求对应的数据进行控制，在带宽比较紧张的情况下确定允许还是拒绝访问，以实现精准化控制。策略控制规则的确定过程，通过该策略控制规则对源无类型域间选路和目的无类型域间选路进行处理以确定当前的数据访问请求的访问控制，在对应源无类型域间选路和目的无类型域间选路进行策略判断，以实现精准化控制。基于优先级等级最高的数据访问请求进行处理，以提高用户的体验感，避免访问主机拥堵以及提高访问进度。通过源端口和目的端口进一步筛选进入目标访问任务，使得数据访问控制较为精细化，保证访问有序。同子网内的虚拟机之间通信，不经过路由器，不受访问控制的影响，为具体访问数据提供了便利和效率。

另外，本发明还提供了一种数据访问处理装置、设备及介质，具有如上述数据访问处理方法相同的有益效果。

附图说明

为了更清楚地说明本发明实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种数据访问处理方法的流程图；

图2为本发明实施例提供的一种增加访问控制的UI界面示意图；

图3为本发明实施例提供的一种基于策略流量控制规则的数据访问处理方法的流程图；

图4为本发明实施例提供的一种数据访问控制的示意图；

图5为本发明实施例提供的一种数据访问处理装置的结构图；

图6为本发明实施例提供的一种数据访问处理设备的结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本发明保护范围。

本发明的核心是提供一种数据访问处理方法、装置、设备及介质，以解决当前数据访问控制技术基于硬件设备的参数修改，导致修改过程复杂繁琐且成本较高，无法实现随时更改参数的问题。

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。

需要说明的是，虚拟化管理系统下对数据的操作要求逐渐增多，例如，对数据的流向进行控制等，如何精准对具体一些数据进行控制且简单操纵方便成为客户所要追寻的需求方式。当前的数据访问控制技术基于硬件设备实现，随之带来的修改参数、更换硬件设备的成本较高的问题，无法实现随时更改参数等问题，本发明提供的数据访问处理方法，可以解决上述问题。

本发明应用于虚拟机管理系统，需要虚拟化管理系统通过部署软件定义网络(Software Defined Network，SDN)，可以实现快速灵活的网络分布式部署，提供SDN交换机(包括SDN网络和子网等)、安全组、分布式路由器、分布式网络地址转换(Network AddressTranslation，NAT)网关、SDN配置管理等功能。通过SDN网络实现网络虚拟化需要完成物理网络管理，网络资源虚拟化和网络隔离三部分工作。而这三部分内容往往通过专门的中间层软件完成，我们称之为网络虚拟化平台。虚拟化平台需要完成物理网络的管理和抽象虚拟化，并分别提供给不同的租户。

虚拟化平台是介于数据网络拓扑和租户控制器之间的中间层。面向数据平面，虚拟化平面就是控制器，而面向租户控制器，虚拟化平台就是数据平面。所以虚拟化平台本质上具有数据平面和控制层面两种属性。在虚拟化的核心层，虚拟化平台需要完成物理网络资源到虚拟资源的虚拟化映射过程。面向租户控制器，虚拟化平台充当数据平面角色，将模拟出来的虚拟网络呈现给租户控制器。从租户控制器上往下看，只能看到属于自己的虚拟网络，而并不了解真实的物理网络。而在数据层面的角度看，虚拟化平台就是控制器，而交换机并不知道虚拟平面的存在。所以虚拟化平台的存在实现了面向租户和面向底层网络的透明虚拟化，其管理全部的物理网络拓扑，并向租户提供隔离的虚拟网络。

虚拟化管理系统创建分布式路由器，分布式路由器关联多个子网，在分布式路由器上可以配置数据访问控制技术以便于进行精细化控制，在分布式路由器上可以添加多个访问控制策略进行数据访问的允许和拒绝策略。

图1为本发明实施例提供的一种数据访问处理方法的流程图，如图1所示，该方法应用于虚拟化管理系统，包括：

S11：获取当前的数据访问请求对应的源无类型域间选路和目的无类型域间选路；

S12：获取当前的数据访问请求的访问目标主机的访问控制规则；

其中，访问控制规则至少包括策略流量控制规则和策略控制规则的一种或多种规则，目标主机由目的无类型域间选路确定；

S13：在访问控制规则为策略流量控制规则时，根据策略流量控制规则对源无类型域间选路、目的无类型域间选路和目标主机的流量数据进行处理以确定当前的数据访问请求的访问控制；

S14：在访问控制规则为策略控制规则时，根据策略控制规则对源无类型域间选路和目的无类型域间选路进行处理以确定当前的数据访问请求的访问控制。

具体地，对于当前的数据访问请求对应的源无类型域间选路(Classless Inter-Domain Routing，CIDR)和目的无类型域间选路(CIDR)的获取方式不做限定，可以是基于用户界面(User Interface，UI)获取，也可以是通过具体参数的输入形式进行获取。在一些实施例中，通过UI界面获取的各个参数的设置，图2为本发明实施例提供的一种增加访问控制的UI界面示意图，如图2所示，实施例中的源CIDR与目的CIDR互相独立，在UI界面输入的过程中，可以为空，但是格式正确即可。另外，除了源CIDR与目的CIDR的输入，还可以加入具体的协议，以及对应的符合访问控制规则，优先级以及具体流量数据等。对于具体的协议，可以是传输控制协议(Transmission Control Protocol，TCP)、用户数据报协议(User DataProtocol，UDP)、控制报文协议(Internet Control Message Protocol，ICMP)等协议，在此不做限定，可以根据实际情况设定即可。值得注意的是，关于TCP或者UDP协议，才能配置源端口和目的端口。对于其他协议无法配置具体的访问业务的端口号。在虚拟化管理系统中，网络池界面，需要设置初始SDN，创建分布式路由器、SDN网络和子网，同时，创建可以提供服务的虚拟机。虚拟机位于各个节点主机内，对于各个节点主机内的虚拟机个数不做限定，但是至少存在一个，可以有多个的情况。

另外，对于当前的数据访问请求的数量不做限定，可以是一个，也可以是多个，可以根据实际情况设定，如考虑到具体的目标主机的流量数据承担能力以及数据拥堵情况，或者考虑到用户对于数据访问请求对应的重要业务等设置。

对于CIDR来说，可以将多个网际协议(Internet Protocol Address，IP)网络结合在一起，使用一种无类别的域际路由选择算法，合并成一条理由从而较少路由表中的路由条目减轻路由器的负担，且融合了子网地址和子网掩码，方便子网划分。

步骤S12中的获取当前的数据访问请求的访问目标主机的访问控制规则，本实施例中的目标主机是基于当前的数据访问请求对应的目的CIDR可以知道具体的主机，也就是说，在步骤S11中获取到当前的数据访问请求之后，即可以确定目标主机。

这里的访问控制规则是基于分布式路由器下发至目标主机内，且预先设置的规则。访问控制规则是基于访问控制技术下对于数据流向的控制、或者根据数据流量进行访问控制设置的规则。在本实施例中，访问控制规则至少包括策略流量控制规则和策略控制规则的一种或多种规则，需要说明的是，本实施例中的访问控制规则并不仅仅局限于本发明中的两个规则，还可以包括其他的访问控制规则，在此基础上，可以包括上述提到的两个规则的任意一种，或者在两个访问控制规则的一种规则基础上还包括其他的访问控制规则。在此不做限定，可以根据实际情况设定即可。

策略流量控制规则，是基于源和目的CIDR确定的允许和拒绝策略之外，还要考虑目标主机的数据流量以决定当前的数据访问请求是否通过的规则。策略控制规则仅是考虑源和目的CIDR确定的允许和拒绝策略决定当前的数据访问请求是否通过的规则。

对于策略流量控制规则，在实际执行过程中，通过流量是否生效的形式标记策略流量控制规则内的流量规则，例如，在策略流量控制规则内需要流量生效，则会设置流量具体的阈值。若在策略控制规则内，无需流量规则，需要设置流量为0，标记为流量不生效。

如果采用策略流量控制规则，则需要对源CIDR、目的CIDR和目标主机的流量数据进行处理以完成当前的数据访问请求的访问控制；如果采用策略控制规则，则需要对源CIDR和目的CIDR进行处理以完成当前的数据访问请求的访问控制。

策略流量控制规则的建立过程考虑流量规则，目标主机内承载的不同服务访问计算得到的具体流量值。当前的数据访问请求访问目标主机的某个服务，前提是在于允许策略的情况下，考虑目标主机的流量值，以便于后续在访问过程中不会造成该服务的访问拥堵集中。例如，当前的数据访问请求在访问过程中，如果超出具体的流量阈值，会导致被访问的服务承受量较大，速度会较慢，因此，会在超出流量阈值的基础上，限定当前的数据访问请求是否允许通过。

本发明实施例提供的一种数据访问处理方法，应用于虚拟化管理系统，获取当前的数据访问请求对应的访问目标主机的访问控制规则，访问控制规则至少包括策略流量控制规则和策略控制规则的一种或者多种，虚拟化管理系统具有访问控制功能，进而根据获取的访问控制规则对源无类型域间选路、目的无类型域间选路和/或目标主机的流量数据进行处理，即根据策略流量控制规则对源和目的无类型域间选路以及流量数据进行精准控制允许或者拒绝访问的处理；根据策略控制规则对源和目的无类型域间选路进行精准控制，允许或者拒绝访问的处理。本发明的有益效果在于根据访问控制规则对流量数据和/或源和目的无类型域间选路进行精准控制，无需购买具有访问控制功能的硬件设备进行参数的修改来实现，通过虚拟化管理系统的软件形式实现了数据访问控制的随时更改参数，降低修改参数和硬件设备的成本，简化整个数据访问控制的参数修改过程。

在一些实施例中，对于策略流量控制规则的确定过程，包括：

获取访问控制列表，其中，访问控制列表记录有数据访问请求允许访问和拒绝访问的源无类型域间选路和目的无类型域间选路；

获取目标数据访问请求对应的目标源无类型域间选路和目标目的无类型域间选路；

在确定目标源无类型域间选路和目标目的无类型域间选路在访问控制列表的情况下，则确定目标数据访问请求为允许状态；

获取目标数据访问请求对应的第一目标主机下的流量数据，其中，第一目标主机由目标数据访问请求对应的目标目的无类型域间选路确定；

判断第一目标主机下的流量数据是否达到预设流量数据；

若达到，则允许目标数据访问请求对应的数据通过，其余数据访问请求对应的数据不通过；

若未达到，则允许目标数据访问请求和其余数据访问请求均通过；

在确定目标源无类型域间选路和/或目标目的无类型域间选路不在访问控制列表的情况下，则确定目标数据访问请求为拒绝状态；

判断第一目标主机下的流量数据是否达到预设流量数据；

若未达到，则允许目标数据访问请求和其余数据访问请求均通过；

若达到，则拒绝目标数据访问请求通过，其余数据访问请求允许通过。

具体地，访问控制列表是预先记录数据访问请求允许访问和拒绝访问的源无类型域间选路和目的无类型域间选路，还可以记录其他参数，在此不做限定。对于访问控制列表，可以是本实施例中基于源和目的CIDR汇总的列表，也可以是采用现有的访问控制列表(Access Control Lists，ACL)。对应ACL列表是应用在路由器接口的指令列表，该指令列表用来告诉路由器，哪些数据包(如请求)可以接收或者拒绝。主要使用包过滤技术，在路由器上读取开放式系统互联(Open System Interconnection，OSI)七层模型的第3层和第4层包头中的信息。如源地址，目标地址，源端口，目标端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。

关于本实施例中的访问控制列表具体是哪种列表，不做限定，只要能包括数据访问请求允许访问和拒绝访问的源无类型域间选路和目的无类型域间选路即可。本实施例中对于策略流量控制规则的确定过程中，需要获取目标数据访问请求，这里的目标数据访问请求在实际处理过程中，即为当前的数据访问请求，进而获取目标数据访问请求对应的目标源无类型域间选路和目标目的无类型域间选路。

判断目标源无类型域间选路和目标目的无类型域间选路是否存在于访问控制列表内，若存在，则允许目标数据访问请求访问目标主机的业务。需要说明的是，本实施例中的存在访问控制列表，是两种参数均存在。若两种参数只要有其中一种参数不存在时，则拒绝目标数据访问请求访问目标主机的业务。

可以理解的是，在不同的状态下(允许或者拒绝)，还需要根据流量数据确定最终的策略。在允许状态下，获取目标数据访问请求对应的第一目标主机计算的流量数据，判断计算的流量数据是否达到预设流量数据，如果达到，说明当前的第一目标主机内的业务承载压力较大，则仅允许目标数据访问请求对应的数据通过，其余数据访问请求对应的数据不通过。如果未达到预设流量数据，说明当前的第一目标主机内的业务承载压力较小，则对应目标数据访问请求和其余数据访问请求都通过。

在拒绝状态下，判断计算的流量数据是否达到预设流量数据，如果达到，则说明目标数据访问请求需要较多的流量，需要拒绝目标数据访问请求通过，其余数据访问请求允许通过。如果未达到，说明当前的第一目标主机内的业务承载压力较小，允许所有的数据访问请求通过。

图3为本发明实施例提供的一种基于策略流量控制规则的数据访问处理方法的流程图，如图3所示：

S21：获取访问控制列表；

S22：获取目标数据访问请求对应的目标源无类型域间选路和目标目的无类型域间选路；

S23：判断目标源无类型域间选路和目标目的无类型域间选路是否存在于访问控制列表内，若是，则进入步骤S24，若否，则进入步骤S25；

S24：确定目标数据访问请求为允许状态；

S26：获取目标数据访问请求对应的第一目标主机下的流量数据；

S27：判断第一目标主机下的流量数据是否达到预设流量数据；若达到，则进入步骤S28，若未达到，则进入步骤S29；

S28：允许目标数据访问请求对应的数据通过，其余数据访问请求对应的数据不通过；

S29：允许目标数据访问请求和其余数据访问请求均通过；

S25：确定目标数据访问请求为拒绝状态；

S30：判断第一目标主机下的流量数据是否达到预设流量数据；若达到，则进入步骤S31，若未达到，则进入步骤S32；

S31：拒绝目标数据访问请求通过，其余数据访问请求允许通过；

S32：允许目标数据访问请求和其余数据访问请求均通过。本实施例提供的策略流量控制规则的确定过程，通过该策略流量控制规则对源无类型域间选路、目的无类型域间选路和目标主机的流量数据进行处理以确定当前的数据访问请求的访问控制，在对应源无类型域间选路和目的无类型域间选路进行策略判断之后，再通过访问数据流量达到预设流量数据之后再对客户的访问请求对应的数据进行控制，在带宽比较紧张的情况下确定允许还是拒绝访问，以实现精准化控制。

在一些实施例中，策略控制规则的确定过程，包括：

获取访问控制列表，其中，访问控制列表记录有数据访问请求允许访问和拒绝访问的源无类型域间选路和目的无类型域间选路；

获取目标数据访问请求对应的目标源无类型域间选路和目标目的无类型域间选路，其中，第一目标主机由目标数据访问请求对应的目标目的无类型域间选路确定；

在确定目标源无类型域间选路和目标目的无类型域间选路在访问控制列表的情况下，则确定目标数据访问请求为允许状态，允许目标数据访问请求通过，其余数据访问请求不通过；

在确定目标源无类型域间选路和/或目标目的无类型域间选路不在访问控制列表的情况下，则确定目标数据访问请求为拒绝状态，拒绝目标数据访问请求不通过，其余数据访问请求通过。

具体地，对于访问控制列表和上述实施例中的访问控制列表相同，也可以不同，在此不做限定，如果相同，则参考上述实施例中的建立过程。

本实施例中对于策略控制规则的确定过程中，需要获取目标数据访问请求，这里的目标数据访问请求在实际处理过程中，即为当前的数据访问请求，进而获取目标数据访问请求对应的目标源无类型域间选路和目标目的无类型域间选路。

判断目标源无类型域间选路和目标目的无类型域间选路是否存在于访问控制列表内，若存在，则允许目标数据访问请求访问目标主机的业务。需要说明的是，本实施例中的存在访问控制列表，是两种参数均存在。若两种参数只要有其中一种参数不存在时，则拒绝目标数据访问请求访问目标主机的业务。

在允许状态下，允许目标数据访问请求通过，其余数据访问请求不通过。在拒绝状态下，拒绝目标数据访问请求不通过，其余数据访问请求通过。

本实施例提供的策略控制规则的确定过程，通过该策略控制规则对源无类型域间选路和目的无类型域间选路进行处理以确定当前的数据访问请求的访问控制，在对应源无类型域间选路和目的无类型域间选路进行策略判断，以实现精准化控制。

在一些实施例中，步骤S11中的当前的数据访问请求的获取过程，包括：

根据预设间隔获取各数据访问请求所属的用户业务数据；

根据各用户业务数据确定优先级等级；

将优先级等级由高到低的顺序排序；

将排序后的优先级等级为首位的业务数据对应的数据访问请求数据作为当前的数据访问请求。

具体地，当存在多个数据访问请求时，为了避免访问主机存在拥堵，或者考虑到用户对于较为重要的数据访问请求无法优先访问，导致整个访问进度变慢，因此，可以设置优先级，针对于优先级较高的优先访问。根据预设间隔获取各数据访问请求所属的用户业务数据，本实施例中的用户业务数据是基于用户设置的业务重要程度，若用户业务数据设置为100，则确定该用户业务数据对应的数据访问请求的优先级等级最高，若用户业务数据设置为10，则说明该用户业务数据对应的数据访问请求的优先级等级较低，只有在处理完比当前优先级等级高的数据访问请求之后再处理该数据访问请求。

每次处理均是处理排序后的首位(最高级)的业务数据对应的数据访问请求数据作为当前的数据访问请求。可以理解的是，对于优先级等级的排序可以基于预设间隔进行滚动更新，例如，存在A、B、C数据访问请求，当前的优先级等级由高到低排序，在将A数据访问请求进行处理时，当前对应的优先级等级较高的是B数据访问请求，若赶上预设间隔后出现新的数据访问请求D，此时，D数据访问请求的优先级等级高于B数据访问请求，则重新排序，D数据访问请求优先访问。

本实施例提供的基于优先级等级最高的数据访问请求进行处理，以提高用户的体验感，避免访问主机拥堵以及提高访问进度。

在一些实施例中，在获取到访问控制规则之后，在根据访问控制规则确定当前的数据访问请求的访问控制之前，还包括：

预先将访问控制规则添加至分布式路由器处；

通过指令形式将访问控制规则下发至虚拟化管理系统内的各节点主机内以便于根据访问控制规则确定当前的数据访问请求的访问控制。

可以理解的是，在进行访问控制之前，需要将访问控制规则预先添加至分布式路由器上，以通过指令形式，将访问控制规则下发至虚拟化管理系统内的各节点主机内，以便于当前的数据访问请求的访问控制。具体的代码为：

ovn-nbctl lr-policy-add<router_uuid>400‘ip4.dst＝＝8.8.8.1/24’‘priority:100’‘bandwidth:1000’‘route_policy:allow’；

ovn-nbctl lr-policy-add<router_uuid>400‘ip4.dst＝＝9.9.9.1/24’‘priority:100’‘bandwidth:1000’‘route_policy:allow’。

另外，在访问控制规则下发至各主机后，可以对该访问控制规则进行验证以便于保证该访问控制规则能够正常实施。

例如，用户要访问VM3的虚拟机，发出请求且流量达到访问控制生效的值：

Request src_mac:00:10:2e:2f:4g:01dst_mac:00:10:2e:2f:4c:03。

因为该访问控制规则是拒绝策略，所以收不到Replay。

用户要访问VM1的虚拟机，发出请求：

Request src_mac:00:10:2e:2f:4g:01dst_mac:00:10:2e:2f:4e:01；

reply src_mac:00:10:2e:2f:4e:01dst_mac:00:10:2e:2f:4g:01。

在一些实施例中，在根据访问控制规则确定当前的数据访问请求的访问控制之后，还包括：

在目标主机存在多个相同的访问任务时，根据当前的数据访问请求对应的源无类型域间选路目的无类型域间选路分别确定对应的源端口和目的端口；

在多个相同的访问任务中根据源端口和目的端口确定当前的数据访问请求对应的目标访问任务进行访问。

具体地，在目标主机存在多个相同的访问任务的情况下，在当前的数据访问请求允许访问控制时，需要在多个相同的访问任务中明确访问哪个任务，因此，需要进一步限定区分具体的任务。

通过当前的数据访问请求携带的源无类型域间选路目的无类型域间选路分别确定对应的源端口和目的端口，例如源CIDR地址内的IP地址为8.8.8.1/24，其中，源端口为24。

根据源端口和目的端口在多个相同的访问任务中确定目标访问任务，这里如何进行筛选，可以通过在多个相同的访问任务中预先设置对应的标记，若源端口和目的端口与对应的标记的端口信息相同，则确定为目标访问任务。

本实施例提供的通过源端口和目的端口进一步筛选进入目标访问任务，使得数据访问控制较为精细化，保证访问有序。

在一些实施例中，在根据访问控制规则确定当前的数据访问请求的访问控制之后，还包括：

在当前的数据访问请求访问到目标主机后，在目标主机内的目标虚拟机内执行当前的数据访问请求对应的访问任务；

调用在目标主机内除目标虚拟机之外同一子网下的其余虚拟机内的访问任务对应的数据以完成访问任务，其中，访问任务对应的数据预先通过数据库形式建立在其余虚拟机内。

图4为本发明实施例提供的一种数据访问控制的示意图，如图4所示，在确定目标主机后，执行具体的访问任务过程中，由于一个主机内设置多个虚拟机，实际访问任务需要在当前的数据访问请求访问到目标主机(主机节点1)内的虚拟机完成，故确定访问的虚拟机后，如虚拟机2(VM2)。需要说明的是，访问任务对应的VM2虚拟机可以只保存运行的程序，若调用访问任务的相关参数数据，则需要调用保存在虚拟机1(VM1)内的数据库，也就是调用在目标主机内除目标虚拟机之外同一子网下的其余虚拟机内的访问任务对应的数据以完成访问任务，以此实现同子网内的虚拟机之间的通信，无需在调用数据库的过程中经过路由器，不受访问控制的影响。

对应地，数据库存储的数据包括当前的数据访问请求身份信息(IndustrialDesign，ID)、分布式路由器身份信息(router_id)、当前的数据访问请求归属于具体的项目身份信息(project_id)、具体的访问控制规则(route_policy)、源CIDR(cidr_src)、目的CIDR(cidr_dst)、具体的协议(protocol)、源端口(port_src)、目的端口(port_dst)、当前主机计算的流量数据(priority)、带宽(bandwidth)等。

本实施例提供的同子网内的虚拟机之间通信，不经过路由器，不受访问控制的影响，为具体访问数据提供了便利和效率。

需要说明的是，对于本发明中数据访问过程的API接口设计，可以根据访问控制规则、具体协议以及流量数据等进行设置，如下所示：

其中，route_policy，当为allow，drop时，为路由访问控制规则的最终状态。

另外，对于访问控制规则并不是一成不变的，可以根据周期进行删除更新，也可以根据具体的用户要求进行删除更新，具体地删除方式，可以通过以下代码实现：

http://<ip_addr>:9696/v2.0/inspur-policy-route/<inspur_policy_route_id>

DELETE

BODY：

无。

其中，<inspur_polidy_route_id>为待删除的访问控制策略的id。

上述详细描述了数据访问处理方法对应的各个实施例，在此基础上，本发明还公开与上述方法对应的数据访问处理装置，应用于虚拟化管理系统。图5为本发明实施例提供的一种数据访问处理装置的结构图。如图5所示，数据访问处理装置包括：

第一获取模块11，用于获取当前的数据访问请求对应的源无类型域间选路和目的无类型域间选路；

第二获取模块12，用于获取当前的数据访问请求的访问目标主机的访问控制规则，其中，访问控制规则至少包括策略流量控制规则和策略控制规则的一种或多种规则，目标主机由目的无类型域间选路确定；

第一处理模块13，用于在访问控制规则为策略流量控制规则时，根据策略流量控制规则对源无类型域间选路、目的无类型域间选路和目标主机的流量数据进行处理以确定当前的数据访问请求的访问控制；

第二处理模块14，用于在访问控制规则为策略控制规则时，根据策略控制规则对源无类型域间选路和目的无类型域间选路进行处理以确定当前的数据访问请求的访问控制。

一方面，第二获取模块12的策略流量控制规则的确定过程，包括：

第一获取子模块，用于获取访问控制列表，其中，访问控制列表记录有数据访问请求允许访问和拒绝访问的源无类型域间选路和目的无类型域间选路；

第二获取子模块，用于获取目标数据访问请求对应的目标源无类型域间选路和目标目的无类型域间选路；

第一确定子模块，用于在确定目标源无类型域间选路和目标目的无类型域间选路在访问控制列表的情况下，则确定目标数据访问请求为允许状态；

第三获取子模块，用于获取目标数据访问请求对应的第一目标主机下的流量数据，其中，第一目标主机由目标数据访问请求对应的目标目的无类型域间选路确定；

第一判断子模块，用于判断第一目标主机下的流量数据是否达到预设流量数据；若达到，则触发第一允许子模块，若未达到，则触发第二允许子模块；

第一允许子模块，用于允许目标数据访问请求对应的数据通过，其余数据访问请求对应的数据不通过；

第二允许子模块，用于允许目标数据访问请求和其余数据访问请求均通过；

第二确定子模块，用于在确定目标源无类型域间选路和/或目标目的无类型域间选路不在访问控制列表的情况下，则确定目标数据访问请求为拒绝状态；

第二判断子模块，用于判断第一目标主机下的流量数据是否达到预设流量数据；若未达到，则触发第三允许子模块，若达到，则触发第四允许子模块；

第三允许子模块，用于允许目标数据访问请求和其余数据访问请求均通过；

第四允许子模块，用于拒绝目标数据访问请求通过，其余数据访问请求允许通过。

另一方面，第二获取模块12的策略控制规则的确定过程，包括：

第四获取子模块，用于获取访问控制列表，其中，访问控制列表记录有数据访问请求允许访问和拒绝访问的源无类型域间选路和目的无类型域间选路；

第五获取子模块，用于获取目标数据访问请求对应的目标源无类型域间选路和目标目的无类型域间选路，其中，第一目标主机由目标数据访问请求对应的目标目的无类型域间选路确定；

第三确定子模块，用于在确定目标源无类型域间选路和目标目的无类型域间选路在访问控制列表的情况下，则确定目标数据访问请求为允许状态，允许目标数据访问请求通过，其余数据访问请求不通过；

第四确定子模块，用于在确定目标源无类型域间选路和/或目标目的无类型域间选路不在访问控制列表的情况下，则确定目标数据访问请求为拒绝状态，拒绝目标数据访问请求不通过，其余数据访问请求通过。

另一方面，第一获取模块11的当前的数据访问请求的获取过程，包括：

第六获取子模块，用于根据预设间隔获取各数据访问请求所属的用户业务数据；

第五确定子模块，用于根据各用户业务数据确定优先级等级；

排序子模块，用于将优先级等级由高到低的顺序排序；

第一作为子模块，用于将排序后的优先级等级为首位的业务数据对应的数据访问请求数据作为当前的数据访问请求。

另一方面，在获取到访问控制规则之后，在根据访问控制规则确定当前的数据访问请求的访问控制之前，还包括：

添加子模块，用于预先将访问控制规则添加至分布式路由器处；

下发子模块，用于通过指令形式将访问控制规则下发至虚拟化管理系统内的各节点主机内以便于根据访问控制规则确定当前的数据访问请求的访问处理控制。

另一方面，在根据访问控制规则确定当前的数据访问请求的访问控制之后，还包括：

第六确定子模块，用于在目标主机存在多个相同的访问任务时，根据当前的数据访问请求对应的源无类型域间选路目的无类型域间选路分别确定对应的源端口和目的端口；

第七确定子模块，用于在多个相同的访问任务中根据源端口和目的端口确定当前的数据访问请求对应的目标访问任务进行访问。

另一方面，在根据访问控制规则确定当前的数据访问请求的访问控制之后，还包括：

执行子模块，用于在当前的数据访问请求访问到目标主机后，在目标主机内的目标虚拟机内执行当前的数据访问请求对应的访问任务；

调用子模块，用于调用在目标主机内除目标虚拟机之外同一子网下的其余虚拟机内的访问任务对应的数据以完成访问任务，其中，访问任务对应的数据预先通过数据库形式建立在其余虚拟机内。

由于装置部分的实施例与上述的实施例相互对应，因此装置部分的实施例请参照上述方法部分的实施例描述，在此不再赘述。

对于本发明提供的一种数据访问处理装置的介绍请参照上述方法实施例，本发明在此不再赘述，其具有上述数据访问处理方法相同的有益效果。

图6为本发明实施例提供的一种数据访问处理设备的结构图，如图6所示，该设备包括：

存储器21，用于存储计算机程序；

处理器22，用于执行计算机程序时实现数据访问处理方法的步骤。

本实施例提供的数据访问处理设备可以包括但不限于平板电脑、笔记本电脑或者台式电脑等。

其中，处理器22可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器22可以采用数字信号处理器(Digital Signal Processor，DSP)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)、可编程逻辑阵列(Programmable LogicArray，PLA)中的至少一种硬件形式来实现。处理器22也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称中央处理器(CentralProcessing Unit，CPU)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器22可以集成有图像处理器(Graphics Processing Unit，GPU)，GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器22还可以包括人工智能(Artificial Intelligence，AI)处理器，该AI处理器用于处理有关机器学习的计算操作。

存储器21可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器21还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器21至少用于存储以下计算机程序211，其中，该计算机程序被处理器22加载并执行之后，能够实现前述任一实施例公开的数据访问处理方法的相关步骤。另外，存储器21所存储的资源还可以包括操作系统212和数据213等，存储方式可以是短暂存储或者永久存储。其中，操作系统212可以包括Windows、Unix、Linux等。数据213可以包括但不限于数据访问处理方法所涉及到的数据等等。

在一些实施例中，数据访问处理设备还可包括有显示屏23、输入输出接口24、通信接口25、电源26以及通信总线27。

领域技术人员可以理解，图6中示出的结构并不构成对数据访问处理设备的限定，可以包括比图示更多或更少的组件。

处理器22通过调用存储于存储器21中的指令以实现上述任一实施例所提供的数据访问处理方法。

对于本发明提供的一种数据访问处理设备的介绍请参照上述方法实施例，本发明在此不再赘述，其具有上述数据访问处理方法相同的有益效果。

进一步的，本发明还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器22执行时实现如上述数据访问处理方法的步骤。

可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

对于本发明提供的一种计算机可读存储介质的介绍请参照上述方法实施例，本发明在此不再赘述，其具有上述数据访问处理方法相同的有益效果。

以上对本发明所提供的一种数据访问处理方法、装置、设备及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种数据访问处理方法，其特征在于，应用于虚拟化管理系统，包括：

获取当前的数据访问请求对应的源无类型域间选路和目的无类型域间选路；

获取所述当前的数据访问请求的访问目标主机的访问控制规则，其中，所述访问控制规则至少包括策略流量控制规则和策略控制规则的一种或多种规则，所述目标主机由所述目的无类型域间选路确定；

在所述访问控制规则为所述策略流量控制规则时，根据所述策略流量控制规则对所述源无类型域间选路、所述目的无类型域间选路和所述目标主机的流量数据进行处理以确定所述当前的数据访问请求的访问控制；

在所述访问控制规则为所述策略控制规则时，根据所述策略控制规则对所述源无类型域间选路和所述目的无类型域间选路进行处理以确定所述当前的数据访问请求的访问控制。

2.根据权利要求1所述的数据访问处理方法，其特征在于，所述策略流量控制规则的确定过程，包括：

获取访问控制列表，其中，所述访问控制列表记录有数据访问请求允许访问和拒绝访问的源无类型域间选路和目的无类型域间选路；

获取目标数据访问请求对应的目标源无类型域间选路和目标目的无类型域间选路；

在确定所述目标源无类型域间选路和所述目标目的无类型域间选路在所述访问控制列表的情况下，则确定所述目标数据访问请求为允许状态；

获取所述目标数据访问请求对应的第一目标主机下的流量数据，其中，所述第一目标主机由所述目标数据访问请求对应的所述目标目的无类型域间选路确定；

判断所述第一目标主机下的流量数据是否达到预设流量数据；

若达到，则允许所述目标数据访问请求对应的数据通过，其余数据访问请求对应的数据不通过；

若未达到，则允许所述目标数据访问请求和所述其余数据访问请求均通过；

在确定所述目标源无类型域间选路和/或所述目标目的无类型域间选路不在所述访问控制列表的情况下，则确定所述目标数据访问请求为拒绝状态；

判断所述第一目标主机下的流量数据是否达到所述预设流量数据；

若未达到，则允许所述目标数据访问请求和所述其余数据访问请求均通过；

若达到，则拒绝所述目标数据访问请求通过，所述其余数据访问请求允许通过。

3.根据权利要求1所述的数据访问处理方法，其特征在于，所述策略控制规则的确定过程，包括：

获取访问控制列表，其中，所述访问控制列表记录有数据访问请求允许访问和拒绝访问的源无类型域间选路和目的无类型域间选路；

获取目标数据访问请求对应的目标源无类型域间选路和目标目的无类型域间选路，其中，所述第一目标主机由所述目标数据访问请求对应的所述目标目的无类型域间选路确定；

在确定所述目标源无类型域间选路和所述目标目的无类型域间选路在所述访问控制列表的情况下，则确定所述目标数据访问请求为允许状态，允许所述目标数据访问请求通过，其余数据访问请求不通过；

在确定所述目标源无类型域间选路和/或所述目标目的无类型域间选路不在所述访问控制列表的情况下，则确定所述目标数据访问请求为拒绝状态，拒绝所述目标数据访问请求不通过，所述其余数据访问请求通过。

4.根据权利要求1所述的数据访问处理方法，其特征在于，所述当前的数据访问请求的获取过程，包括：

根据预设间隔获取各数据访问请求所属的用户业务数据；

根据各用户业务数据确定优先级等级；

将所述优先级等级由高到低的顺序排序；

将排序后的所述优先级等级为首位的业务数据对应的数据访问请求数据作为所述当前的数据访问请求。

5.根据权利要求1至4任意一项所述的数据访问处理方法，其特征在于，在获取到所述访问控制规则之后，在根据所述访问控制规则确定所述当前的数据访问请求的访问控制之前，还包括：

预先将所述访问控制规则添加至分布式路由器处；

通过指令形式将所述访问控制规则下发至所述虚拟化管理系统内的各节点主机内以便于根据所述访问控制规则确定所述当前的数据访问请求的访问控制。

6.根据权利要求5所述的数据访问处理方法，其特征在于，在根据所述访问控制规则确定所述当前的数据访问请求的访问控制之后，还包括：

在所述目标主机存在多个相同的访问任务时，根据所述当前的数据访问请求对应的所述源无类型域间选路所述目的无类型域间选路分别确定对应的源端口和目的端口；

在多个所述相同的访问任务中根据所述源端口和所述目的端口确定所述当前的数据访问请求对应的目标访问任务进行访问。

7.根据权利要求5所述的数据访问处理方法，其特征在于，在根据所述访问控制规则确定所述当前的数据访问请求的访问控制之后，还包括：

在所述当前的数据访问请求访问到所述目标主机后，在所述目标主机内的目标虚拟机内执行所述当前的数据访问请求对应的访问任务；

调用在所述目标主机内除所述目标虚拟机之外同一子网下的其余虚拟机内的所述访问任务对应的数据以完成所述访问任务，其中，所述访问任务对应的数据预先通过数据库形式建立在所述其余虚拟机内。

8.一种数据访问处理装置，其特征在于，应用于虚拟化管理系统，包括：

第一获取模块，用于获取当前的数据访问请求对应的源无类型域间选路和目的无类型域间选路；

第二获取模块，用于获取所述当前的数据访问请求的访问目标主机的访问控制规则，其中，所述访问控制规则至少包括策略流量控制规则和策略控制规则的一种或多种规则，所述目标主机由所述目的无类型域间选路确定；

第一处理模块，用于在所述访问控制规则为所述策略流量控制规则时，根据所述策略流量控制规则对所述源无类型域间选路、所述目的无类型域间选路和所述目标主机的流量数据进行处理以确定所述当前的数据访问请求的访问控制；

第二处理模块，用于在所述访问控制规则为所述策略控制规则时，根据所述策略控制规则对所述源无类型域间选路和所述目的无类型域间选路进行处理以确定所述当前的数据访问请求的访问控制。

9.一种数据访问处理设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述的数据访问处理方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的数据访问处理方法的步骤。