CN114615008B - 一种海量存储分布式***黑白名单控制方法及装置 - Google Patents
一种海量存储分布式***黑白名单控制方法及装置 Download PDFInfo
- Publication number
- CN114615008B CN114615008B CN202210043473.4A CN202210043473A CN114615008B CN 114615008 B CN114615008 B CN 114615008B CN 202210043473 A CN202210043473 A CN 202210043473A CN 114615008 B CN114615008 B CN 114615008B
- Authority
- CN
- China
- Prior art keywords
- cluster
- blacklist
- white list
- load balancing
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000003068 static effect Effects 0.000 claims abstract description 15
- 238000012795 verification Methods 0.000 claims description 47
- 230000002159 abnormal effect Effects 0.000 claims description 26
- 230000036541 health Effects 0.000 claims description 7
- 230000008676 import Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 241000854291 Dianthus carthusianorum Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及海量存储分布式***访问权限控制领域,具体公开一种海量存储分布式***黑白名单控制方法及装置,配置集群环境,使集群Web与SSH连接,并开启集群CTDB高可用状态和负载均衡状态;在集群创建用户和存储桶,设置存储桶的访问控制列表为公共读及以上权限;创建网页文件并上传至存储桶,对存储桶开启静态网站托管,并开放网站的所有访问权限;针对存储桶内的网页配置主机的黑名单和白名单,并将黑名单和白名单保存入数据库。本发明能够对特定来源的主机限制访问,对特定来源的主机允许访问,能够支持根据需求进行不同数量、组合策略的控制,提高***的健壮性、易用性和功能的丰富性,提高海量存储自动化平台的竞争力。
Description
技术领域
本发明涉及海量存储分布式***访问权限控制领域,具体涉及一种海量存储分布式***黑白名单控制方法及装置。
背景技术
海量存储的自动化操作在IT企业、云计算、大数据、虚拟化等领域得到了广泛应用。与此同时这些领域对客户端访问托管网站的安全要求也越来越高,仅能够支持客户端访问托管网站,无法支持访问限制与访问允许的相关访问控制,已无法满足用户的使用,还需要能够对特定来源的主机限制访问,对特定来源的主机允许访问,并且能够支持根据需求进行不同数量、组合策略的控制。由于目前海量存储分布式***的自动化平台无法支持访问限制与访问允许的相关访问控制,将影响***的健壮性、易用性和功能的丰富性,并严重影响海量存储自动化平台的竞争力。
发明内容
为解决上述问题,本发明提供一种海量存储分布式***黑白名单控制方法及装置,可实现对主机进行限制访问和允许访问,并根据需要进行不同数量、组合策略的控制,提高***健壮性、易用性和功能的丰富性。
第一方面,本发明的技术方案提供一种海量存储分布式***黑白名单控制方法,包括以下步骤:
配置集群环境,使集群Web与SSH连接,并开启集群CTDB高可用状态和负载均衡状态;
在集群创建用户和存储桶,设置存储桶的访问控制列表为公共读及以上权限;
创建网页文件并上传至存储桶,对存储桶开启静态网站托管,并开放网站的所有访问权限;
针对存储桶内的网页配置主机的黑名单和白名单,并将黑名单和白名单保存入数据库。
进一步地,该方法还包括以下步骤:
数据库获取黑名单,将黑名单加入防盗链策略中进行黑名单校验;
其中,将黑名单加入防盗链策略中进行黑名单校验,具体包括:
模拟黑名单中每一个主机与集群Web的连接,进行连接校验;
若有主机与集群Web正常连接,则黑名单异常,程序报错;否则黑名单正常,执行下一步;
检验黑名单中每一个主机是否能访问集群Web中的网页;
若均不能访问,则黑名单正常,将黑名单生效;否则黑名单异常,程序报错。
进一步地,该方法还包括以下步骤:
数据库获取白名单,将白名单加入防盗链策略中进行白名单校验;
其中,将白名单加入防盗链策略中进行白名单校验,具体包括:
模拟白名单中每一个主机与集群Web的连接,进行连接校验;
若所有主机与集群Web均正常连接,则白名单正常,执行下一步;否则白名单异常,程序报错;
检验白名单中每一个主机是否能访问集群Web中的网页;
若均能访问,则白名单正常,将白名单生效;否则白名单异常,程序报错。
进一步地,该方法还包括以下步骤:
若某个主机既在黑名单中又在白名单中,则将该主机执行黑名单校验,并在白名单中删除。
进一步地,配置集群环境,使集群Web与SSH连接,并开启集群CTDB高可用状态和负载均衡状态,具体包括:
获取海量存储管理软件信息和SSH信息,其中海量存储管理软件信息包括海量存储管理软件地址、登录名和登录密码,SSH信息包括SSH登录用户名和登录密码;
根据海量存储管理软件信息和SSH信息,登录集群Web端并进行集群Web 与SSH连接;
查询集群健康状态,若集群健康,则执行下一步,否则报错退出程序;
获取并检测集群CTDB高可用状态,若集群CTDB高可用状态为开启,则执行下一步,否则报错退出程序并提示需配置并开启集群CTDB高可用状态;
获取并检测集群负载均衡状态,若集群负载均衡状态为开启,则执行下一步,否则将集群负载均衡开启后再次获取并检测集群负载均衡状态;
获取并检测集群负载均衡自动开启状态,若集群负载均衡自动开启状态为开启,则执行下一步,否则将开启集群负载均衡自启动后再次获取并检测集群负载均衡自动开启状态;
判断当前已配置负载均衡域名数量是否超过阈值,若超过则报错退出程序,否则执行下一步进行在集群创建用户和存储桶。
第二方面,本发明的技术方案提供一种海量存储分布式***黑白名单控制装置,包括,
集群环境配置模块:配置集群环境,使集群Web与SSH连接,并开启集群C TDB高可用状态和负载均衡状态;
用户创建模块:在集群创建用户;
存储桶创建模块:在集群创建存储桶;
桶权限配置模块:设置存储桶的访问控制列表为公共读及以上权限;
静态网站配置模块:创建网页文件并上传至存储桶,对存储桶开启静态网站托管,并开放网站的所有访问权限;
黑白名单配置模块:针对存储桶内的网页配置主机的黑名单和白名单,并将黑名单和白名单保存入数据库。
进一步地,该装置还包括,
黑白名单校验模块:数据库获取黑名单,将黑名单加入防盗链策略中进行黑名单校验;
其中,将黑名单加入防盗链策略中进行黑名单校验,具体包括:
模拟黑名单中每一个主机与集群Web的连接,进行连接校验;
若有主机与集群Web正常连接,则黑名单异常,程序报错;否则黑名单正常,执行下一步;
检验黑名单中每一个主机是否能访问集群Web中的网页;
若均不能访问,则黑名单正常,将黑名单生效;否则黑名单异常,程序报错。
进一步地,黑白名单校验模块还用于数据库获取白名单,将白名单加入防盗链策略中进行白名单校验;
其中,将白名单加入防盗链策略中进行白名单校验,具体包括:
模拟白名单中每一个主机与集群Web的连接,进行连接校验;
若所有主机与集群Web均正常连接,则白名单正常,执行下一步;否则白名单异常,程序报错;
检验白名单中每一个主机是否能访问集群Web中的网页;
若均能访问,则白名单正常,将白名单生效;否则白名单异常,程序报错。
进一步地,黑白名单校验模块还用于在某个主机既在黑名单中又在白名单中时,将该主机执行黑名单校验,并在白名单中删除。
进一步地,集群环境配置模块包括,
集群站点配置导入模块:获取海量存储管理软件信息和SSH信息,其中海量存储管理软件信息包括海量存储管理软件地址、登录名和登录密码,SSH信息包括SSH登录用户名和登录密码;
集群登录模块:根据海量存储管理软件信息和SSH信息,登录集群Web端并进行集群Web与SSH连接;
CTDB准入模块:查询集群健康状态,若集群非健康,则报错退出程序,否则获取并检测集群CTDB高可用状态,若集群CTDB高可用状态为开启,则触发负载均衡校验配置模块执行,否则报错退出程序并提示需配置并开启集群CTDB高可用状态;
负载均衡校验配置模块:获取并检测集群负载均衡状态,若集群负载均衡状态为关闭,则将集群负载均衡开启后再次获取并检测集群负载均衡状态,否则获取并检测集群负载均衡自动开启状态,若集群负载均衡自动开启状态为关闭,则将开启集群负载均衡自启动后再次获取并检测集群负载均衡自动开启状态,否则判断当前已配置负载均衡域名数量是否超过阈值,若超过则报错退出程序,否则触发用户创建模块执行。
本发明提供的一种海量存储分布式***黑白名单控制方法及装置,相对于现有技术,具有以下有益效果:为主机配置黑名单和白名单,能够对特定来源的主机限制访问,对特定来源的主机允许访问,并且能够支持根据需求进行不同数量、组合策略的控制,提高***的健壮性、易用性和功能的丰富性,并提高海量存储自动化平台的竞争力。
附图说明
为了更清楚的说明本申请实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种海量存储分布式***黑白名单控制方法流程示意图。
图2为本发明实施例一中集群自检过程流程示意图。
图3为本发明实施例一中负载均衡状态检测流程示意图。
图4为本发明实施例一中防盗链策略流程示意图。
图5为本发明实施例二提供的一种海量存储分布式***黑白名单控制装置结构示意框图。
图6为本发明实施例三提供的一种终端的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例一
本实施例一提供一种海量存储分布式***黑白名单控制方法,以对特定来源的主机限制访问,对特定来源的主机允许访问,并且能够支持根据需求进行不同数量、组合策略的控制。
如图1所示,该方法包括以下步骤。
S1,配置集群环境,使集群Web与SSH(Secure Shell,一种网络协议,用于计算机之间的加密登录)连接,并开启集群CTDB(Cluster Trivial Databas e,一种轻量级的集群数据库实现)高可用状态和负载均衡状态。
S2,在集群创建用户和存储桶,设置存储桶的访问控制列表为公共读及以上权限。
S3,创建网页文件并上传至存储桶,对存储桶开启静态网站托管,并开放网站的所有访问权限。
S4,针对存储桶内的网页配置主机的黑名单和白名单,并将黑名单和白名单保存入数据库。
可以理解的是,黑名单内的主机为不可访问网页的主机,白名单内的主机为可访问网页的主机,用户可根据需要在黑白名单内添加任意数量的主机,基于黑白名单配置实现对主机访问权限的控制,且能够支持根据需求进行不同数量、组合策略的控制。
为进一步对本发明进行解释,以下提供一具体实施例,该具体实施例包括以下过程。
(一)集群环境配置
可以理解的是,在配置黑白名单前,配置集群环境,以保证后续可正常配置黑白名单。本实施例的集群环境配置包括使集群Web与SSH连接,并开启集群C TDB高可用状态和负载均衡状态,具体执行以下过程实现。
S101,获取海量存储管理软件信息和SSH信息。
其中海量存储管理软件信息包括海量存储管理软件地址、登录名和登录密码,SSH信息包括SSH登录用户名和登录密码。
具体的,通过env配置文件获取海量存储管理软件地址$CLUSTER_IP,管理软件登陆名$CLUSTER_USERNAME和管理软件密码$CLUSTER_PASSWORD,SSH登陆用户名$SSH_NAME和SSH登陆密码$SSH_PASSWORD。
S102,根据海量存储管理软件信息和SSH信息,登录集群Web端并进行集群 Web与SSH连接。
使用login_console登陆集群web端并保存$SESSION,使用ssh_connect 进行SSH连接,并保存$CLUSTER_SSH。
S103,查询集群健康状态,若集群非健康,则报错退出程序,否则进行获取并检测集群CTDB高可用状态,若集群CTDB高可用状态为开启,则执行下一步进行负载均衡状态检测,否则报错退出程序并提示需配置并开启集群CTDB高可用状态。
如图2所示,进行集群自检过程,通过icfs-s查询集群健康状态$CLUSTE R_HEALTH,如果集群状态异常,则返回1程序报错,如果集群状态正常,则返回 0,并保存入数据库进行持久化存储,然后通过verify_ctdb_start($SESSION)判断集群环境的CTDB高可用状态是否为开启,如果未开启,则报错并提示需要开启CTDB高可用后再进行下一步的负载均衡状态检测。
S104,获取并检测集群负载均衡状态,若集群负载均衡状态为开启,则执行下一步,否则将集群负载均衡开启后再次获取并检测集群负载均衡状态。
S105,获取并检测集群负载均衡自动开启状态,若集群负载均衡自动开启状态为开启,则执行下一步,否则将开启集群负载均衡自启动后再次获取并检测集群负载均衡自动开启状态。
S106,判断当前已配置负载均衡域名数量是否超过阈值,若超过则报错退出程序,否则执行下一步进行在集群创建用户和存储桶。
如图3所示,集群CTDB高可用状态正常开启后,进行负载均衡状态检测,最后进行接收端连接数配置。
使用get_loadbalance_service_status($SESSION)来获取当前负载均衡状态$LOADBALANCE_STATE,然后使用get_loadbalance_selfstart_status($SESSI ON)来获取负载均衡自启动状态$SELFSTART_STATE,如果存在关闭状态,则将其开启;使用get_ctdb_vir_ip_list()来获取CTDB虚拟IP$VIR_IP_LIST,使用config_loadbalanc_subdomain($SESSION,$VIR_IP_LIST)来进行接收端连接数配置。
其中,接收端连接数配置具体包括配置负载均衡域名$LOADBALANCE_DOMAIN, 用以生成静态网站托管域名$WEBSITE_DOMAIN,并进行入库持久化存储;然后判断当前已配置负载均衡域名数$LOADBALANCE_DOMAIN,当域名数量$LOADBALANCE_DOMAIN>20时,***报错提示大于最大值并退出。
(二)用户、存储桶和桶ACL权限
集群环境配置成功后,进行用户和存储桶的创建,并配置存储桶的ACL(访问控制列表)权限配置。
使用create_user($USER_NAME)创建用户;使用create_bucket($BUCKET_N AME)创建桶,使用set_bucket_acl($USER_NAME,$BUCKET_NAME,$ALL_READ)来为用户$USER_NAME的桶$BUCKET_NAME设置公共读$ALL_READ权限的桶ACL权限。
(三)静态网站配置
为存储桶配置ACL权限后,进行静态网站配置。
创建网页文件$WEB_FILE并上传至桶$OBJECT_BUCKET,具体地,在桶$BUCKE T_NAME内,使用echo方法,写入html网页文件$INDEX_HTML,并使用s3_put_ object($INDEX_HTML,$BUCKET_NAME)将网页文件$INDEX_HTML上传至桶。
然后对桶$OBJECT_BUCKET开启静态网站托管,开放该网站的所有访问权限。
(四)黑白名单配置及校验
进行待限制访问的黑名单$BLACK_LISTS配置,允许访问的白名单$WHITE_LI STS进行配置,并轮询获取黑白名单,从而支持多个访问来源的黑白名单,将黑白名单中的网站信息持久化保存入数据库,用$BLACK_LIST_ID标记此$BLACK_LI ST,用$WHITE_LIST_ID标记此$WHITE_LISTS。
如图4所示,使用set_bucket_anti_stealing_link($BUCKET_NAME,$BLACK _REFFER_LIST,$WHITE_REFFER_LIST)来为桶$BUCKET_NAME中的所有网页,比如 $INDEX_HTML设置白名单$WHITE_REFFER_LIST或者黑名单$BLACK_REFFER_LIST。
然后数据库中获取配置的$BLACK_LIST与$WHITE_LIST,开启对该网站$WEBS ITE_DOMAIN的防盗链设置,并将黑名单$BLACK_LIST与$白名单$WHITE_LIST同时添加入防盗链策略中;如果使用者在$BLACK_LIST中只配置了一个黑名单,未配置白名单,则只将1个黑名单添加至防盗链策略,并持久化保存为$REFER_1;若$BLACK_LIST中配置了多个黑名单,未配置白名单,则将数据库中所有属于$BLACK_LIST_ID的所有黑名单,轮询添加至防盗链策略;支持配置单个/多个黑名单,单个/多个白名单,支持仅配置黑名单,仅配置白名单,同时配置黑白名单,当黑白名单中存在相同主机信息时,黑名单中的主机名单生效;然后程序在集群首节点调用curl命令进行防盗链黑白名单生效检测自验,当所有黑名单中的来源主机都无法访问$WEBSITE_DOMAIN时,持久化保存$BLACK_VALUE为TRUE,当所有白名单来源的主机都无法访问$WEBSITE_DOMAIN时,持久化保存$WHITE_VALUE 也为TRUE时,程序自检通过返为1。
本实施例中,将黑名单加入防盗链策略中进行黑名单校验,具体包括:
步骤一,模拟黑名单中每一个主机与集群Web的连接,进行连接校验;
步骤二,若有主机与集群Web正常连接,则黑名单异常,程序报错;否则黑名单正常,执行下一步;
步骤三,检验黑名单中每一个主机是否能访问集群Web中的网页;
步骤四,若均不能访问,则黑名单正常,将黑名单生效;否则黑名单异常,程序报错。
将白名单加入防盗链策略中进行白名单校验,具体包括:
步骤一,模拟白名单中每一个主机与集群Web的连接,进行连接校验;
步骤二,若所有主机与集群Web均正常连接,则白名单正常,执行下一步;否则白名单异常,程序报错;
步骤三,检验白名单中每一个主机是否能访问集群Web中的网页;
步骤四,若均能访问,则白名单正常,将白名单生效;否则白名单异常,程序报错。
如图4所示,防盗链策略具体为:
自动调用curl_check_web_site($INDEX_HTML),通过curl的方式curl$BA LCK_REFFER_LIST[n]$INDEX_HTML来模拟每一个黑名单主机与集群web服务的连通标签$CONNECT_FLAG,如果FLAG为TRUE,则程序报错提示防盗链黑名单异常,然后再使用get_static_website_trusteeship($BLACK_REFFER_LIST[n],$INDE X_HTML)来校验每一个黑名单host主机是否能够访问集群web服务中的网页,如果可以,则$VISIT_FLAG置为FLASE,程序报错。
如果设置白名单$WHITE_REFFER_LIST,则自动调用curl_check_web_site ($INDEX_HTML),通过curl的方式curl$WHITE_REFFER_LIST[n]$INDEX_HTML 来模拟每一个白名单主机与集群web服务的连通标签$CONNECT_FLAG,如果FLAG 为FLASE,则程序报错提示防盗链白名单异常,然后再使用gret_static_websit e_trusteeship($WHITE_REFFER_LIST[n],$INDEX_HTML)来校验每一个白名单ho st主机是否能够访问集群web服务中的网页,如果不可以,则$VISIT_FLAG置为 FLASE,程序报错。
如果黑名单$BLACK_REFFER_LIST与白名单$WHITE_REFFER_LIST存在相同元素,则默认调用黑名单设置逻辑,将$WHITE_REFFER_LIST中删除与$BLACK_REFF ER_LIST相同元素,并进入黑名单校验逻辑get_static_website_trusteeship($BLACK_REFFER_LIST[n],$INDEX_HTML)。
本实施例提供的海量存储分布式***黑白名单控制方法,为主机配置黑名单和白名单,能够对特定来源的主机限制访问,对特定来源的主机允许访问,并且能够支持根据需求进行不同数量、组合策略的控制,提高***的健壮性、易用性和功能的丰富性,并提高海量存储自动化平台的竞争力。
实施例二
在实施例一基础上,本实施例二提供一种海量存储分布式***黑白名单控制装置,用于实现前述实施例一的方法。
如图5所示,本实施例二提供的一种海量存储分布式***黑白名单控制装置包括以下功能模块。
集群环境配置模块100:配置集群环境,使集群Web与SSH连接,并开启集群CTDB高可用状态和负载均衡状态。
用户创建模块105:在集群创建用户。
存储桶创建模块106:在集群创建存储桶。
桶权限配置模块107:设置存储桶的访问控制列表为公共读及以上权限。
静态网站配置模块108:创建网页文件并上传至存储桶,对存储桶开启静态网站托管,并开放网站的所有访问权限。
黑白名单配置模块109:针对存储桶内的网页配置主机的黑名单和白名单,并将黑名单和白名单保存入数据库。
本实施例中,为实现集群环境的配置,集群环境配置模块100具体包括以下功能模块。
集群站点配置导入模块101:获取海量存储管理软件信息和SSH信息,其中海量存储管理软件信息包括海量存储管理软件地址、登录名和登录密码,SSH信息包括SSH登录用户名和登录密码.
集群登录模块102:根据海量存储管理软件信息和SSH信息,登录集群Web 端并进行集群Web与SSH连接。
CTDB准入模块103:查询集群健康状态,若集群非健康,则报错退出程序,否则获取并检测集群CTDB高可用状态,若集群CTDB高可用状态为开启,则触发负载均衡校验配置模块执行,否则报错退出程序并提示需配置并开启集群CTDB 高可用状态。
负载均衡校验配置模块104:获取并检测集群负载均衡状态,若集群负载均衡状态为关闭,则将集群负载均衡开启后再次获取并检测集群负载均衡状态,否则获取并检测集群负载均衡自动开启状态,若集群负载均衡自动开启状态为关闭,则将开启集群负载均衡自启动后再次获取并检测集群负载均衡自动开启状态,否则判断当前已配置负载均衡域名数量是否超过阈值,若超过则报错退出程序,否则触发用户创建模块执行。
本实施例的海量存储分布式***黑白名单控制装置还包括黑白名单校验模块110:数据库获取黑名单,将黑名单加入防盗链策略中进行黑名单校验;数据库获取白名单,将白名单加入防盗链策略中进行白名单校验。基于黑白名单校验模块110实现黑白名单的校验和生效。
其中,将黑名单加入防盗链策略中进行黑名单校验,具体包括:
模拟黑名单中每一个主机与集群Web的连接,进行连接校验;
若有主机与集群Web正常连接,则黑名单异常,程序报错;否则黑名单正常,执行下一步;
检验黑名单中每一个主机是否能访问集群Web中的网页;
若均不能访问,则黑名单正常,将黑名单生效;否则黑名单异常,程序报错。
其中,将白名单加入防盗链策略中进行白名单校验,具体包括:
模拟白名单中每一个主机与集群Web的连接,进行连接校验;
若所有主机与集群Web均正常连接,则白名单正常,执行下一步;否则白名单异常,程序报错;
检验白名单中每一个主机是否能访问集群Web中的网页;
若均能访问,则白名单正常,将白名单生效;否则白名单异常,程序报错。
黑白名单校验模块110还用于在某个主机既在黑名单中又在白名单中时,将该主机执行黑名单校验,并在白名单中删除。
本实施例的海量存储分布式***黑白名单控制装置用于实现前述的海量存储分布式***黑白名单控制方法,因此该装置中的具体实施方式可见前文中的海量存储分布式***黑白名单控制方法的实施例部分,所以,其具体实施方式可以参照相应的各个部分实施例的描述,在此不再展开介绍。
另外,由于本实施例的海量存储分布式***黑白名单控制装置用于实现前述的海量存储分布式***黑白名单控制方法,因此其作用与上述方法的作用相对应,这里不再赘述。
实施例三
图6为本发明实施例提供的一种终端装置600的结构示意图,该终端装置6 00可以用于执行本发明实施例提供的海量存储分布式***黑白名单控制的方法。
其中,该终端装置600可以包括:处理器610、存储器620及通信单元630。这些组件通过一条或多条总线进行通信,本领域技术人员可以理解,图中示出的服务器的结构并不构成对本发明的限定,它既可以是总线形结构,也可以是星型结构,还可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
其中,该存储器620可以用于存储处理器610的执行指令,存储器620可以由任何类型的易失性或非易失性存储终端或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。当存储器620中的执行指令由处理器610执行时,使得终端600能够执行以下上述方法实施例中的部分或全部步骤。
处理器610为存储终端的控制中心,利用各种接口和线路连接整个电子终端的各个部分,通过运行或执行存储在存储器620内的软件程序和/或模块,以及调用存储在存储器内的数据,以执行电子终端的各种功能和/或处理数据。所述处理器可以由集成电路(Integrated Circuit,简称IC)组成,例如可以由单颗封装的IC所组成,也可以由连接多颗相同功能或不同功能的封装IC而组成。举例来说,处理器610可以仅包括中央处理器(Central Processing Unit,简称 CPU)。在本发明实施方式中,CPU可以是单运算核心,也可以包括多运算核心。
通信单元630,用于建立通信信道,从而使所述存储终端可以与其它终端进行通信。接收其他终端发送的用户数据或者向其他终端发送用户数据。
实施例四
本发明还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本发明提供的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM) 或随机存储记忆体(英文:random access memory,简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中如U盘、移动硬盘、只读存储器(ROM,R ead-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质,包括若干指令用以使得一台计算机终端(可以是个人计算机,服务器,或者第二终端、网络终端等)执行本发明各个实施例所述方法的全部或部分步骤。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于终端实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
在本发明所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
以上公开的仅为本发明的优选实施方式,但本发明并非局限于此,任何本领域的技术人员能思之的没有创造性的变化,以及在不脱离本发明原理前提下所作的若干改进和润饰,都应落在本发明的保护范围内。
Claims (8)
1.一种海量存储分布式***黑白名单控制方法,其特征在于,包括以下步骤:
配置集群环境,使集群Web与SSH连接,并开启集群CTDB高可用状态和负载均衡状态;
在集群创建用户和存储桶,设置存储桶的访问控制列表为公共读及以上权限;
创建网页文件并上传至存储桶,对存储桶开启静态网站托管,并开放网站的所有访问权限;
针对存储桶内的网页配置主机的黑名单和白名单,并将黑名单和白名单保存入数据库;
数据库获取黑名单,将黑名单加入防盗链策略中进行黑名单校验;
数据库获取白名单,将白名单加入防盗链策略中进行白名单校验;
若某个主机既在黑名单中又在白名单中,则将该主机执行黑名单校验,并在白名单中删除。
2.根据权利要求1所述的海量存储分布式***黑白名单控制方法,其特征在于,将黑名单加入防盗链策略中进行黑名单校验,具体包括:
模拟黑名单中每一个主机与集群Web的连接,进行连接校验;
若有主机与集群Web正常连接,则黑名单异常,程序报错;否则黑名单正常,执行下一步;
检验黑名单中每一个主机是否能访问集群Web中的网页;
若均不能访问,则黑名单正常,将黑名单生效;否则黑名单异常,程序报错。
3.根据权利要求2所述的海量存储分布式***黑白名单控制方法,其特征在于,
将白名单加入防盗链策略中进行白名单校验,具体包括:
模拟白名单中每一个主机与集群Web的连接,进行连接校验;
若所有主机与集群Web均正常连接,则白名单正常,执行下一步;否则白名单异常,程序报错;
检验白名单中每一个主机是否能访问集群Web中的网页;
若均能访问,则白名单正常,将白名单生效;否则白名单异常,程序报错。
4.根据权利要求1-3任一项所述的海量存储分布式***黑白名单控制方法,其特征在于,配置集群环境,使集群Web与SSH连接,并开启集群CTDB高可用状态和负载均衡状态,具体包括:
获取海量存储管理软件信息和SSH信息,其中海量存储管理软件信息包括海量存储管理软件地址、登录名和登录密码,SSH信息包括SSH登录用户名和登录密码;
根据海量存储管理软件信息和SSH信息,登录集群Web端并进行集群Web与SSH连接;
查询集群健康状态,若集群健康,则执行下一步,否则报错退出程序;
获取并检测集群CTDB高可用状态,若集群CTDB高可用状态为开启,则执行下一步,否则报错退出程序并提示需配置并开启集群CTDB高可用状态;
获取并检测集群负载均衡状态,若集群负载均衡状态为开启,则执行下一步,否则将集群负载均衡开启后再次获取并检测集群负载均衡状态;
获取并检测集群负载均衡自动开启状态,若集群负载均衡自动开启状态为开启,则执行下一步,否则将开启集群负载均衡自启动后再次获取并检测集群负载均衡自动开启状态;
判断当前已配置负载均衡域名数量是否超过阈值,若超过则报错退出程序,否则执行下一步进行在集群创建用户和存储桶。
5.一种海量存储分布式***黑白名单控制装置,其特征在于,包括,
集群环境配置模块:配置集群环境,使集群Web与SSH连接,并开启集群CTDB高可用状态和负载均衡状态;
用户创建模块:在集群创建用户;
存储桶创建模块:在集群创建存储桶;
桶权限配置模块:设置存储桶的访问控制列表为公共读及以上权限;
静态网站配置模块:创建网页文件并上传至存储桶,对存储桶开启静态网站托管,并开放网站的所有访问权限;
黑白名单配置模块:针对存储桶内的网页配置主机的黑名单和白名单,并将黑名单和白名单保存入数据库;
黑白名单校验模块:数据库获取黑名单,将黑名单加入防盗链策略中进行黑名单校验;数据库获取白名单,将白名单加入防盗链策略中进行白名单校验;在某个主机既在黑名单中又在白名单中时,将该主机执行黑名单校验,并在白名单中删除。
6.根据权利要求5所述的海量存储分布式***黑白名单控制装置,其特征在于,
将黑名单加入防盗链策略中进行黑名单校验,具体包括:
模拟黑名单中每一个主机与集群Web的连接,进行连接校验;
若有主机与集群Web正常连接,则黑名单异常,程序报错;否则黑名单正常,执行下一步;
检验黑名单中每一个主机是否能访问集群Web中的网页;
若均不能访问,则黑名单正常,将黑名单生效;否则黑名单异常,程序报错。
7.根据权利要求6所述的海量存储分布式***黑白名单控制装置,其特征在于,将白名单加入防盗链策略中进行白名单校验,具体包括:
模拟白名单中每一个主机与集群Web的连接,进行连接校验;
若所有主机与集群Web均正常连接,则白名单正常,执行下一步;否则白名单异常,程序报错;
检验白名单中每一个主机是否能访问集群Web中的网页;
若均能访问,则白名单正常,将白名单生效;否则白名单异常,程序报错。
8.根据权利要求5-7任一项所述的海量存储分布式***黑白名单控制装置,其特征在于,集群环境配置模块包括,
集群站点配置导入模块:获取海量存储管理软件信息和SSH信息,其中海量存储管理软件信息包括海量存储管理软件地址、登录名和登录密码,SSH信息包括SSH登录用户名和登录密码;
集群登录模块:根据海量存储管理软件信息和SSH信息,登录集群Web端并进行集群Web与SSH连接;
CTDB准入模块:查询集群健康状态,若集群非健康,则报错退出程序,否则获取并检测集群CTDB高可用状态,若集群CTDB高可用状态为开启,则触发负载均衡校验配置模块执行,否则报错退出程序并提示需配置并开启集群CTDB高可用状态;
负载均衡校验配置模块:获取并检测集群负载均衡状态,若集群负载均衡状态为关闭,则将集群负载均衡开启后再次获取并检测集群负载均衡状态,否则获取并检测集群负载均衡自动开启状态,若集群负载均衡自动开启状态为关闭,则将开启集群负载均衡自启动后再次获取并检测集群负载均衡自动开启状态,否则判断当前已配置负载均衡域名数量是否超过阈值,若超过则报错退出程序,否则触发用户创建模块执行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210043473.4A CN114615008B (zh) | 2022-01-14 | 2022-01-14 | 一种海量存储分布式***黑白名单控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210043473.4A CN114615008B (zh) | 2022-01-14 | 2022-01-14 | 一种海量存储分布式***黑白名单控制方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114615008A CN114615008A (zh) | 2022-06-10 |
CN114615008B true CN114615008B (zh) | 2023-08-08 |
Family
ID=81857322
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210043473.4A Active CN114615008B (zh) | 2022-01-14 | 2022-01-14 | 一种海量存储分布式***黑白名单控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114615008B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102752300A (zh) * | 2012-06-28 | 2012-10-24 | 用友软件股份有限公司 | 动态防盗链***和动态防盗链方法 |
CN109660579A (zh) * | 2017-10-11 | 2019-04-19 | 阿里巴巴集团控股有限公司 | 数据处理方法、***及电子设备 |
CN113810358A (zh) * | 2021-02-05 | 2021-12-17 | 京东科技控股股份有限公司 | 访问限制方法、装置、计算机设备以及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10819652B2 (en) * | 2018-07-02 | 2020-10-27 | Amazon Technologies, Inc. | Access management tags |
-
2022
- 2022-01-14 CN CN202210043473.4A patent/CN114615008B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102752300A (zh) * | 2012-06-28 | 2012-10-24 | 用友软件股份有限公司 | 动态防盗链***和动态防盗链方法 |
CN109660579A (zh) * | 2017-10-11 | 2019-04-19 | 阿里巴巴集团控股有限公司 | 数据处理方法、***及电子设备 |
CN113810358A (zh) * | 2021-02-05 | 2021-12-17 | 京东科技控股股份有限公司 | 访问限制方法、装置、计算机设备以及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114615008A (zh) | 2022-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107948167B (zh) | 一种单点登录的方法和装置 | |
JP5522307B2 (ja) | 仮想機械によるソフトウェアテストを用いた電子ネットワークにおけるクライアントシステムの遠隔保守のためのシステム及び方法 | |
CN103069771B (zh) | 用于可管理性、安全路由和端点访问的方法、装置和*** | |
US8099378B2 (en) | Secure virtual private network utilizing a diagnostics policy and diagnostics engine to establish a secure network connection | |
CN111782535B (zh) | 测试方法及装置 | |
US20020120575A1 (en) | Method of and apparatus for ascertaining the status of a data processing environment | |
CN111159713B (zh) | 基于SELinux的自学习可信策略构建方法及*** | |
CN110083338B (zh) | 基于智能网关的服务*** | |
US10320624B1 (en) | Access control policy simulation and testing | |
CN110278192B (zh) | 外网访问内网的方法、装置、计算机设备及可读存储介质 | |
CN111752770A (zh) | 服务请求的处理方法、***、计算机设备和存储介质 | |
CN111177703B (zh) | 操作***数据完整性的确定方法及装置 | |
CN114615008B (zh) | 一种海量存储分布式***黑白名单控制方法及装置 | |
CN112559352A (zh) | 接口测试的方法、装置、设备及存储介质 | |
CN112215593A (zh) | 一种支付方法、装置、服务器及存储介质 | |
CN114745185A (zh) | 集群访问方法及装置 | |
CN109582454A (zh) | 一种分布式存储集群中的权限释放控制方法、装置及设备 | |
CN109491839A (zh) | ***管理员权限复位测试方法、装置、终端及存储介质 | |
EP3151154B1 (en) | Data access control based on storage validation | |
CN113987501A (zh) | 网站的访问方法、装置、存储介质及电子装置 | |
US7797540B2 (en) | Predictive support system for software | |
CN112788017A (zh) | 一种安全校验方法、装置、设备及介质 | |
CN113111378A (zh) | 终端、存储介质、注解方法及***、前置校验方法及*** | |
CN117807568B (zh) | 基于Linux操作***的安装权限控制方法、装置、电子设备及存储介质 | |
CN115396277B (zh) | 登录态的管理方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |