CN114666102A - 一种资源许可方法及*** - Google Patents
一种资源许可方法及*** Download PDFInfo
- Publication number
- CN114666102A CN114666102A CN202210208092.7A CN202210208092A CN114666102A CN 114666102 A CN114666102 A CN 114666102A CN 202210208092 A CN202210208092 A CN 202210208092A CN 114666102 A CN114666102 A CN 114666102A
- Authority
- CN
- China
- Prior art keywords
- resource
- request
- deployment request
- control process
- configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 191
- 230000008569 process Effects 0.000 claims abstract description 148
- 238000012545 processing Methods 0.000 claims abstract description 37
- 238000012795 verification Methods 0.000 claims description 18
- 238000012937 correction Methods 0.000 claims description 15
- 230000006872 improvement Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012550 audit Methods 0.000 description 2
- 230000008447 perception Effects 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种资源许可方法及***,该方法包括:接口服务器接收资源部署请求,并确定当前时刻是否启动资源许可控制进程,若启动,则由接口服务器将资源部署请求发送至资源许可控制进程,资源许可控制进程解析资源部署请求,判断资源部署请求中的资源与资源许可配置是否相匹配,若匹配,根据资源许可配置的地址向资源许可服务进程发送资源处理请求,资源许可服务进程对资源部署请求中的资源执行解除资源配置冲突处理,并将解除资源配置冲突后的资源部署请求发送至接口服务器以最终发送至资源调度器,以由资源调度器执行资源调度。通过本发明,让资源调度更加动态、快速以及准确。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种资源许可方法及***。
背景技术
对云平台资源作合理调度是保证云平台高效响应用户请求并保证云平台正常运作的关键因素之一。目前通常通过虚拟机监视器(即Hypervisor)对云平台资源进行调度。对云平台资源的合理调度对云平台的用户体验、服务质量保证(QoS)具有重要意义。资源池是由若干云主机资源组成的资源集合,云主机与资源池是一一对应的,云主机在不同资源池之间具有唯一性,所有云主机资源没有做隔离措施,很多情况下云主机是可以分属不同资源池的,这样就导致同一资源池内部的云主机资源可能属于不同的用户,无法很方便的管理分属于不同用户的云主机资源,而且没有对云主机的性能参数作限制,那么针对是否所有用户都可以使用这些云主机资源就引申出复杂的操作权限问题。
通常的,云平台在为用户分配云主机或者虚拟机时配置对资源池的一种或者几种资源的访问权限,以防止其他用户对资源的无序占用,以防止对其他用户造成不利影响。对资源的访问权限控制通常基于资源动态许可控制器予以实现,然而,当用户通过授权获得访问权限后,并没有以细粒度的控制方式对资源侧进行统一的再次审核校验,从而缺乏对资源侧的资源实现统一控制某一特定标签资源的创建的有效实现手段。
有鉴于此,有必要对现有技术中的对云平台等计算机装置或者计算机***所形成的资源的动态许可技术予以改进,以解决上述问题。
发明内容
本发明的目的在于揭示一种资源许可方法及***,用以解决现有技术中对云平台中资源调度所存在的前述缺陷,尤其是为了在资源调度过程中对资源实现动态许可配置,防止资源配置操作造成冲突,以降低资源鉴权过程的繁琐程度,并实现资源配置操作的合理性及安全性。
为实现上述目的之一,本发明提供了一种资源许可方法,包括:
接口服务器接收资源部署请求,在接收到资源部署请求时确定是否启动资源许可控制进程,并在确认启动时由所述接口服务器将资源部署请求的请求路径所包含的地址修改为资源许可控制进程的地址;
资源许可控制进程解析所述资源部署请求,判断资源部署请求中的资源与资源许可配置是否相匹配,并在匹配时根据资源许可配置的地址向资源许可服务进程发送资源处理请求;
资源许可服务进程接收所述资源处理请求,对资源部署请求中的资源执行解除资源配置冲突处理,并将解除资源配置冲突后的资源部署请求发送至接口服务器;
所述接口服务器接收解除资源配置冲突后的资源部署请求并发送至资源调度器,以由所述资源调度器执行资源调度。
作为本发明的进一步改进,所述接口服务器接收资源部署请求,在接收到资源部署请求时确定是否启动资源许可控制进程,还包括:
通过网络访问协议向接口服务器发送包含身份信息的资源部署请求;
由所述接口服务器对身份信息进行校验,并在校验通过后,确定在接收到资源部署请求时是否启动资源许可控制进程。
作为本发明的进一步改进,所述启动时所述接口服务器将资源部署请求的请求路径所包含的地址修改为资源许可控制进程的地址,还包括:
所述资源许可控制进程启动时,所述接口服务器解析资源部署请求所包含的请求报文,并将请求报文中的请求路径所包含的地址修改为资源许可控制进程的地址,以将资源部署请求转发至资源许可控制进程。
作为本发明的进一步改进,所述资源部署请求所包含的请求报文包括请求行、请求头以及请求体;
所述请求行包括请求方法、请求路径以及协议版本;
所述资源许可控制进程与所述资源许可服务进程通过解耦合方式部署并运行于云计算平台的计算节点。
作为本发明的进一步改进,所述资源许可控制进程解析所述资源部署请求,判断资源部署请求中的资源与资源许可配置是否相匹配之前,还包括:
所述资源许可控制进程按照预设周期获取管理员资源许可配置;
所述资源许可配置包括资源特征以及URL地址;
其中,所述资源特征包括用户名、命名空间、处理器规格、处理器数量、内存规格、磁盘规格、UUID或者网络配置属性中的一种或者任意几种的组合。
作为本发明的进一步改进,所述对资源部署请求中的资源执行解除资源配置冲突处理,包括:
所述资源许可服务进程对资源部署请求中的资源执行校正操作,得到与资源部署请求匹配的唯一且合法的资源,以确定出解除资源配置冲突后的资源部署请求;
其中,被执行校正操作的资源为构成资源配置冲突的资源部署请求所关联的资源,所述资源配置冲突包括命名冲突、权限冲突、地址冲突或者内核冲突中的一种或者几种任意组合。
基于相同发明思想,本发明还提供了一种资源许可***,包括:
感知模块、匹配模块、冲突解除模块以及资源调度模块;
所述感知模块接收资源部署请求,并确定在接收到资源部署请求时是否启动资源许可控制进程;
所述匹配模块包括处理模块,所述处理模块在启动资源许可控制进程时,解析所述资源部署请求,并确定资源部署请求中的资源与资源许可配置是否相匹配;
所述冲突解除模块在所述资源部署请求中的资源与所述资源许可配置相匹配时,对资源部署请求中的资源执行解除资源配置冲突处理,并确定解除资源配置冲突后的资源部署请求;
所述资源调度模块将所述解除资源配置冲突后的资源部署请求发送至资源调度器,以执行资源调度。
作为本发明的进一步改进,所述感知模块包括身份校验模块;
所述身份校验模块通过接收的包含身份信息的资源部署请求,对身份信息进行校验,并在校验通过后,确定在接收到资源部署请求时是否启动资源许可控制进程。
作为本发明的进一步改进,所述感知模块还包括发送模块;
所述发送模块在所述资源许可控制进程启动时,解析资源部署请求所包含的请求报文,并将请求报文中的请求路径所包含的地址修改为资源许可控制进程的地址,以将资源部署请求转发至资源许可控制进程,其中,所述资源部署请求报文包括请求行、请求头以及请求体,所述请求行包括请求方法、请求路径以及协议版本。
作为本发明的进一步改进,所述匹配模块还包括分析模块,所述分析模块按照预设周期获取管理员资源许可配置;
所述冲突解除模块还包括:对资源部署请求中的资源执行校正操作,得到与资源部署请求匹配的唯一且合法的资源,以确定出解除资源配置冲突后的资源部署请求,其中,被执行校正操作的资源为构成资源配置冲突的资源部署请求所关联的资源,所述资源配置冲突包括命名冲突、权限冲突、地址冲突或者内核冲突中的一种或者几种任意组合。
与现有技术相比,本发明的有益效果是:
首先,通过资源许可控制进程中的资源许可配置与资源部署请求中的资源两者之间是否匹配,以判断是否需要额外校验,从而避免接口服务器在TLS认证以及身份信息认证通过后,直接在计算机***执行资源调度操作,由此避免了用户的误操作;
其次,对资源部署请求中的资源执行解除资源配置冲突处理,例如,将敏感空间的资源替换为使用非敏感空间的资源,以此提高了资源调度的安全性;
最后,将资源许可控制进程以及资源许可服务进行解耦,以优化了资源许可控制进程与资源许可服务中所包含的功能或者操作的实现,从而使得资源许可配置内容得到了精简,大大提高了资源许可控制进程的工作效率。而且,当敏感资源对应的操作需要修改的时候,只需要修改资源许可服务进程即可实现,从而在高流量业务场景中,提高了应用运行的稳定性和健壮性。
附图说明
图1为本发明基于一种资源许可方法的一种资源许可***的拓扑图;
图2为本发明一种资源许可方法的步骤示意图;
图3为基于图1所示出的一种资源许可方法的整体流程图中所包含的步骤S1的详细流程图;
图4为本发明一种资源许可方法的整体流程图;
图5为基于图2所示出的资源许可方法的资源许可***的拓扑图。
具体实施方式
下面结合附图所示的各实施方式对本发明进行详细说明,但应当说明的是,这些实施方式并非对本发明的限制,本领域普通技术人员根据这些实施方式所作的功能、方法、或者结构上的等效变换或替代,均属于本发明的保护范围之内。
资源调度是指资源调度及多各种资源进行合理有效的调节和测量以及分析和使用。
本发明的一种资源许可方法的应用场景为多节点可调度资源的云计算平台100,用以根据用户的申请需求从而执行资源调度操作。该资源许可方法可以运行在部署多节点可调度资源的计算机***中,还可以运行于部署多个计算机***的云计算平台中,该云平台可以被理解为由超融合一体机、计算机、服务器、数据中心或者便捷式终端通过虚拟化技术所形成的一种服务或者***。申请人在本实施例中主要以云计算平台100为范例予以示范性说明。
示例性地,参图1所示出的运行本发明所揭示的一种资源许可***(以下简称“***”)的拓扑图,该***部署并运行于云计算平台100的一个或者多个计算机***2中,并接收用户端1中部署客户端11所发起的到资源部署请求。云计算平台100部署至少一个计算机***2,计算机***2部署接口服务器21,资源许可控制进程22,资源许可服务进程23以及资源调度器24。用户10在客户端11向云计算平台100下发指令,以最终下发至计算机***2中的接口服务器21,资源许可控制进程22,资源许可服务进程23以及资源调度器24。需要说明的是,计算机***2可以被理解为集群,服务器,甚至还可以是一个计算节点。
参图2所示,该资源许可方法包括以下步骤S1至步骤S4。
步骤S1、接口服务器接收资源部署请求,在接收到资源部署请求时确定是否启动资源许可控制进程,并在确认启动时由接口服务器将资源部署请求的请求路径所包含的地址修改为资源许可控制进程的地址。
具体地,参图3所示,图3为基于图1所示出的一种资源许可方法的整体流程图中所包含的步骤S1的详细流程图,包括以下步骤S11至步骤S13。
步骤S11、通过网络访问协议向接口服务器发送包含身份信息的资源部署请求。
具体地,用户10使用客户端11,并携带自身的身份信息,将资源部署的请求(例如,创建/删除/更新某资源的请求)发送至云计算平台100,从而通过网络访问协议将该请求(即,前述资源部署的请求)上传至计算机***2部署的接口服务器21。
需要说明的是,网络访问协议例如可以是Hyper Text Transfer Protocal(简称HTTP,超文本传输协议),HTTP属于应用层协议,是一个基于请求/响应模式的、无状态的协议。优选地,例如还可以是Hypertext Transfer Protocol over Secure Socket Layer(简称HTTPS),是一种以安全为目标的HTTPS通道,也可以将HTTPS理解为HTTP更为安全的版本。
步骤S12、由接口服务器对用户的身份信息进行校验,并在校验通过后,确定在接收到资源部署请求时是否启动资源许可控制进程。
具体地,计算机***2部署的接口服务器21接收并响应前述用户携带自身的身份信息的资源部署请求,接口服务器21在HTTPS校验TLS证书通过后,再对资源部署请求中的用户所携带的自身的身份信息进行校验。并在身份信息校验合法之后,接口服务器21动态检测当前时刻(即,当前接口服务器21接收到资源部署请求,并对资源部署请求中的身份信息校验合法时刻)的计算机***2是否启动了资源许可控制进程22。
需要说明的是,参图4所述,如果对用户所携带的身份信息进行校验时,该用户的身份信息不合法,则报错,然后结束。TLS是一种加密套件。前述对身份信息进行校验是指通过HTTPS协议能够证明用户的身份和/或用户权限,从而防止钓鱼网站冒充合法用户所具有的身份信息访问云计算平台100并请求资源获取所导致的资源所携带的资源描述信息发生泄露。对身份信息进行校验可利用对称加密方法、非对称加密方法或者边信道加密方法予以实现,对此不作限定。前述资源描述信息包括但不限于被计算机***2纳管的资源所体现的配置信息、资源种类、资源所携带的实体数据或者元数据或者***参数或者元数据、用户自定义参数、用户设定的口令及密码等。
步骤S13、确认资源许可控制进程启动时,接口服务器解析资源部署请求所包含的请求报文,并将请求报文中的请求路径所包含的地址修改为资源许可控制进程的地址,以将资源部署请求转发至资源许可控制进程。
具体地,前述接口服务器21动态检测当前时刻的计算机***2是否启动了资源许可控制进程22。参图4所示,如果当前时刻计算机***2没有启动资源许可控制进程22,则资源调度器24直接执行资源调度,最终返回资源调度的结果,然后结束;如果当前时刻计算机***2启动了资源许可控制进程22,接口服务器21发现已启动资源许可控制进程22,接口服务器21解析前述资源部署请求所包含的请求报文,其中,资源部署请求所包含的请求报文包括请求行、请求头以及请求体,请求行包括请求方法、请求路径以及协议版本,然后,接口服务器21将请求行中所包含的请求路径修改为资源许可控制进程22的地址,从而将请求拦截至资源许可控制进程22,即,可以理解为接口服务器21将资源部署请求发送至资源许可控制进程22。例如,请求行中所包含的请求路径为127.0.0.1:8888,将请求路径中所包含的端口号8888修改为9999,即请求路径修改为127.0.0.1:9999,或者也可以对请求路径中所包含的ip地址进行修改,还可以是对请求路径中所包含的ip地址以及端口号均进行修改,以实现将请求路径就修改为资源许可控制进程22的地址,从而实现将请求拦截至资源许可控制进程22。
步骤S2、资源许可控制进程解析资源部署请求,判断资源部署请求中的资源与资源许可配置是否相匹配,并在匹配时根据资源许可配置的地址向资源许可服务进程发送资源处理请求。
示例性地,资源许可控制进程22间隔一定的随机时间间隔或者按照预设周期,获取管理员的资源许可配置,即,按照一定时间获取管理员对计算机***2中所纳管的资源池中的任意一种资源或者任意几种资源组合应响应用户所发起的资源许可配置的所执行的资源配置操作的准确性以及合法性,从而使得始终能够生效为最新的资源许可配置,并且间隔随机时间的获取管理员的资源许可配置,从而不会造成长时间频繁的性能占用,其中,资源许可配置包括资源特征以及URL地址;其中,资源特征包括用户名、命名空间、处理器规格、处理器数量、内存规格、磁盘规格、UUID或者网络配置属性中的一种或者任意几种的组合。
具体地,前述接口服务器21将资源部署请求发送至资源许可控制进程22,资源许可控制进程22接收并响应该资源部署请求,同时,解析该资源部署请求。资源许可控制进程22获取资源部署请求中所包含的资源,并根据前述预先获取的资源许可配置以判断前述资源部署请求所包含的资源是否与资源许可配置相匹配,参图4所示,如果资源部署请求所包含的资源与资源许可配置不匹配,则说明该资源不需要许可,可以直接进入资源调度过程,最终反馈资源调度结果,然后结束;如果资源部署请求所包含的资源与资源许可配置匹配,则根据资源许可配置的URL地址,以请求资源许可服务进程23对资源部署请求所包含的资源进行处理。
需要说明的是,通过资源许可控制进程22中的资源许可配置与资源部署请求所包含的资源,两者之间是否匹配,以判断是否需要额外校验,从而避免接口服务器21在前述TLS认证以及身份信息认证通过后,直接在计算机***2执行资源调度操作,由此避免了用户的误操作。
步骤S3、资源许可服务进程接收资源处理请求,对资源部署请求中的资源执行解除资源配置冲突处理,并将解除资源配置冲突后的资源部署请求发送至接口服务器。
具体地,资源许可服务进程23接收前述资源许可控制进程22对资源许可服务发送的资源处理请求,对资源部署请求中所包含的资源执行解除资源配置冲突处理,即,资源许可服务进程23对资源部署请求中的资源执行校正操作,从而得到与资源部署请求匹配的唯一且合法的资源,以确定出解除资源配置冲突后的资源部署请求,并将解除资源配置冲突后的资源部署请求发送至接口服务器21,其中,被执行校正操作的资源为构成资源配置冲突的资源部署请求所关联的资源,资源配置冲突包括命名冲突、权限冲突、地址冲突或者内核冲突中的一种或者几种任意组合。
需要说明的是,前述对资源部署请求中的资源执行校正操作,具体而言,实现对特定资源的特定操作,可以进行资源权限的校验以及定制化处理,例如,对将要使用敏感空间类型的资源进行修改,将敏感空间的资源替换为使用非敏感空间的资源,如果一个用户使用了a作为用户名,则与a相关的资源均属于敏感资源,均不可再用,以此提高了资源调度的安全性。
另外,资源许可控制进程22与资源许可服务进程23通过解耦合方式部署并运行于云计算平台的计算节点,不仅实现了计算节点的无代码入侵的动态资源许可,还实现了对资源许可配置操作所包含资源的细粒度控制,并有利于仅从资源侧所含资源的统一审核校验。具体地,资源许可控制进程22与资源许可服务进程23可以是耦合方式,以独立地响应客户端11所发起的资源部署请求,以解析资源部署请求,并判断资源部署请求中的资源与资源许可配置是否相匹配,在匹配时对资源部署请求中的资源执行解除资源配置冲突处理,并将解除资源配置冲突后的资源部署请求发送至接口服务器21。优选为,将资源许可控制进程22以及资源许可服务进程23进行解耦,资源许可控制进程22解析资源部署请求,判断资源部署请求中的资源与资源许可配置是否相匹配,并在匹配时根据资源许可配置的地址向资源许可服务进程发送资源处理请求,资源许可服务进程23接收资源处理请求,对资源部署请求中的资源执行解除资源配置冲突处理,并将解除资源配置冲突后的资源部署请求发送至接口服务器21,以优化资源许可控制进程22与资源许可服务进程23中所包含的功能或者操作的实现,从而使得资源许可配置所对应的逻辑得到了精简,大大提高了资源许可控制进程22对资源许可及配置的效率。而且,当敏感资源对应的操作需要修改的时候,只需要修改资源许可服务进程23即可实现,从而在高流量业务场景中,提高了应用运行的稳定性和健壮性,并实现了代码可重复使用。
步骤S4、接口服务器接收解除资源配置冲突后的资源部署请求并发送至资源调度器,以由资源调度器执行资源调度。
具体地,资源许可服务进程23将解除资源配置冲突后的资源部署请求发送至接口服务器21,接口服务器21接收并将该解除资源配置冲突后的资源部署请求发送至资源调度器24,从而通过资源调度器24实现资源调度流程。鉴于资源调度器24所实施的资源调度流程并非本申请的发明点,故予以省略阐述。
参图4所示,本发明所揭示的资源许可方法至少包括以下步骤:
步骤401、发起包含身份信息的资源部署请求,并将资源部署请求发生至接口服务器。具体地,资源部署请求可以是用户10直接发起的,也可以是用户10预先设定的某一程序(例如机器人程序)或者进程间接发起的。
步骤402、接口服务器对身份信息进行校验,并判断是否合法,若是,则执行步骤403,若否则执行步骤410。具体地,判断身份信息是否合法,是否具有访问权限。
步骤403、在接收到资源部署请求时判断是否启动资源许可控制进程;若是,则执行步骤404,若否,则执行步骤407。
步骤405、资源许可服务进程解析资源部署请求,并判断资源部署请求中的资源与资源许可配置是否匹配;若是,则执行步骤406,若否,则执行步骤407。
步骤406、资源许可服务进程对资源部署请求中的资源执行解除配置冲突处理。
步骤407、资源调度器执行资源调度,并向用户分配资源。
步骤410、报错。
前述图4所示出的步骤所对应的技术方案,参前述实施例所述,在此不再赘述。通过本发明所揭示的资源许可方法,首先,通过资源许可控制进程中的资源许可配置与资源部署请求中的资源,两者之间是否匹配,以判断是否需要额外校验,从而避免接口服务器在TLS认证以及身份信息认证通过后,直接在计算机***执行资源调度操作,由此避免了用户的误操作;其次,对资源部署请求中的资源执行解除资源配置冲突处理,例如,将敏感空间的资源替换为使用非敏感空间的资源,以此提高了资源调度的安全性;最后,将资源许可控制进程以及资源许可服务进行解耦,以优化了资源许可控制进程与资源许可服务中所包含的功能或者操作的实现,从而使得资源许可配置内容及其实现的代码得到了精简,大大提高了资源许可控制进程的工作效率。而且,当敏感资源对应的操作需要修改的时候,只需要修改资源许可服务进程即可实现,从而在高流量业务场景中,提高了应用运行的稳定性和健壮性。
进一步地,基于上文所述的一种资源许可方法的具体实例,本实施例还揭示了一种资源许可***。
参图5所示,该资源许可***包括:计算机***2部署感知模块31、匹配模块32、冲突解除模块33以及资源调度模块34。感知模块31部署身份校验模块311以及发送模块312,匹配模块32部署分析模块321以及处理模块322,。资源许可***所包含的各模块之间的交互逻辑所对应的技术方案,参前述资源许可方法所述,下文予以省略阐述。
具体地,用户向计算机***下发指令,以最终下发至感知模块31、匹配模块32、冲突解除模块33以及资源调度模块34。
感知模块31接收资源部署请求,并确定在接收到资源部署请求时是否启动资源许可控制进程。感知模块31包括身份校验模块311以及发送模块312。身份校验模块311通过接收的包含身份信息的资源部署请求,对身份信息进行校验,并在校验通过后,确定在接收到资源部署请求时是否启动资源许可控制进程22。发送模块312在资源许可控制进程22启动时,解析资源部署请求所包含的请求报文,并将请求报文中的请求路径所包含的地址修改为资源许可控制进程22的地址,以将资源部署请求转发至资源许可控制进程22,其中,资源部署请求报文包括请求行、请求头以及请求体,请求行包括请求方法、请求路径以及协议版本。
具体地,带有身份信息的用户10通过网络访问协议向接口服务器21发送资源部署请求,由接口服务器21对用户10的身份信息进行校验,并在校验通过后,确定在接收到资源部署请求时是否启动资源许可控制进程22。在启动资源许可控制进程22时,接口服务器21解析资源部署请求中所述包含的请求报文,并将请求报文中的请求路径所包含的地址修改为资源许可控制进程22的地址,以将资源部署请求转发至资源许可控制进程22,其中,资源部署请求报文包括请求行、请求头以及请求体,请求行包括请求方法、请求路径以及协议版本。
匹配模块32包括分析模块312以及处理模块322,处理模块322在启动资源许可控制进程22时,解析资源部署请求,并确定资源部署请求中的资源与资源许可配置是否相匹配。分析模块312按照预设周期获取管理员资源许可配置。
冲突解除模块33在资源部署请求中的资源与资源许可配置相匹配时,对资源部署请求中的资源执行解除资源配置冲突处理,并确定解除资源配置冲突后的资源部署请求。其中,解除配置冲突处理是指,对资源部署请求中的资源执行校正操作,得到与资源部署请求匹配的唯一且合法的资源,以确定出解除资源配置冲突后的资源部署请求。具体地,资源许可控制进程22解析资源部署请求,判断资源部署请求中的资源与资源许可配置是否相匹配,并在匹配时根据资源许可配置的地址向资源许可服务进程23发送资源处理请求。其中,资源许可控制进程22按照预设周期获取管理员资源许可配置。资源许可服务进程23接收资源处理请求,对资源部署请求中的资源执行解除配置冲突处理,并将解除资源配置冲突后的资源部署请求发送至接口服务器21,具体而言,资源许可服务进程23对资源部署请求中的资源执行校正操作,得到与资源部署请求匹配的唯一且合法的资源,以确定出解除资源配置冲突后的资源部署请求,其中,被执行校正操作的资源为构成资源配置冲突的资源部署请求所关联的资源,资源配置冲突包括命名冲突、权限冲突、地址冲突或者内核冲突中的一种或者几种任意组合。
资源调度模块34将解除资源配置冲突后的资源部署请求发送至资源调度器24,以执行资源调度。具体地,资源许可服务进程23将解除资源配置冲突后的资源部署请求发送至接口服务器21,接口服务器21接收并将该解除资源配置冲突后的资源部署请求发送至资源调度器24,从而通过资源调度器24实现资源调度流程。鉴于资源调度器24所实施的资源调度流程并非本申请的发明点,故予以省略阐述。
需要说明的是,对资源部署请求中的资源所包含的属于资源配置冲突的资源部署请求所包含的资源执行校正操作,可以理解为实现对特定资源的特定鉴权操作,可以进行资源权限的校验以及定制化处理,例如,对将要使用敏感空间类型的资源进行修改,将敏感空间的资源替换为使用非敏感空间的资源,如果一个用户使用了a作为用户名,则与a相关的资源(例如名称为a的虚拟机、名称为a的虚拟磁盘、名称为a的***文件、名称为a的账户注册信息等)均属于敏感资源,均不可再用,从而避免了对诸如非法用户以a的名义登录云计算平台100或者登录云计算平台100后创建相同名称的虚拟机等非法资源部署请求的予以响应,以此提高了资源调度的安全性。
此外,通过资源许可控制进程22中的资源许可配置与资源部署请求中的资源,两者之间是否匹配,以判断是否需要额外校验,从而避免接口服务器21在前述TLS认证以及身份信息认证通过后,直接在计算机***2执行资源调度操作,由此避免了用户的误操作。
另外,资源许可控制进程22与资源许可服务进程23可以是耦合方式,以独立地响应客户端11所发起的资源部署请求,以解析资源部署请求,并判断资源部署请求中的资源与资源许可配置是否相匹配,在匹配时对资源部署请求中的资源执行解除资源配置冲突处理,并将解除资源配置冲突后的资源部署请求发送至接口服务器21。优选为,将资源许可控制进程22以及资源许可服务进程23进行解耦,资源许可控制进程22解析资源部署请求,判断资源部署请求中的资源与资源许可配置是否相匹配,并在匹配时根据资源许可配置的地址向资源许可服务进程发送资源处理请求,资源许可服务进程23接收资源处理请求,对资源部署请求中的资源执行解除资源配置冲突处理,并将解除资源配置冲突后的资源部署请求发送至接口服务器21,以优化资源许可控制进程22与资源许可服务进程23中所包含的功能或者操作的实现,从而使得资源许可配置所对应的逻辑得到了精简,大大提高了资源许可控制进程22对资源许可及配置的效率。而且,当敏感资源对应的操作需要修改的时候,只需要修改资源许可服务进程23即可实现,从而在高流量业务场景中,提高了应用运行的稳定性和健壮性,并实现了代码可重复使用。
需要说明的是,前述资源许可方法中步骤S1所含逻辑由资源许可***中的感知模块31予以实现,前述资源许可方法中步骤S2所含逻辑由资源许可***中的匹配模块32予以实现,前述资源许可方法中步骤S3所含逻辑由资源许可***中的冲突解除模块33予以实现,前述资源许可方法中步骤S4所含逻辑由资源许可***中的资源调度模块34予以实现。
最后,本实施例还揭示了一种云计算平台或者云平台,其包括形成至少一种资源的资源池、纳管资源池并部署于控制节点中的资源许可***以及至少一个计算节点。计算节点部署一响应用户10在客户端11所发起的请求的服务(或者应用)。云平台类型包括IaaS、PaaS或者SaaS,并可基于容器技术予以组建。本实施例所揭示的资源许可***以及该资源许可***所运行的资源许可方法的具体方案,参前文所述,在此不再赘述。
上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用以限制本发明的保护范围,凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (10)
1.一种资源许可方法,其特征在于,包括:
接口服务器接收资源部署请求,在接收到资源部署请求时确定是否启动资源许可控制进程,并在确认启动时由所述接口服务器将资源部署请求的请求路径所包含的地址修改为资源许可控制进程的地址;
资源许可控制进程解析所述资源部署请求,判断资源部署请求中的资源与资源许可配置是否相匹配,并在匹配时根据资源许可配置的地址向资源许可服务进程发送资源处理请求;
资源许可服务进程接收所述资源处理请求,对资源部署请求中的资源执行解除资源配置冲突处理,并将解除资源配置冲突后的资源部署请求发送至接口服务器;
所述接口服务器接收解除资源配置冲突后的资源部署请求并发送至资源调度器,以由所述资源调度器执行资源调度。
2.根据权利要求1所述的资源许可方法,其特征在于,所述接口服务器接收资源部署请求,在接收到资源部署请求时确定是否启动资源许可控制进程,还包括:
通过网络访问协议向接口服务器发送包含身份信息的资源部署请求;
由所述接口服务器对身份信息进行校验,并在校验通过后,确定在接收到资源部署请求时是否启动资源许可控制进程。
3.根据权利要求1所述的资源许可方法,其特征在于,所述启动时所述接口服务器将资源部署请求的请求路径所包含的地址修改为资源许可控制进程的地址,还包括:
所述资源许可控制进程启动时,所述接口服务器解析资源部署请求所包含的请求报文,并将请求报文中的请求路径所包含的地址修改为资源许可控制进程的地址,以将资源部署请求转发至资源许可控制进程。
4.根据权利要求3所述的资源许可方法,其特征在于,所述资源部署请求所包含的请求报文包括请求行、请求头以及请求体;
所述请求行包括请求方法、请求路径以及协议版本;
所述资源许可控制进程与所述资源许可服务进程通过解耦合方式部署并运行于云计算平台的计算节点。
5.根据权利要求3所述的资源许可方法,其特征在于,所述资源许可控制进程解析所述资源部署请求,判断资源部署请求中的资源与资源许可配置是否相匹配之前,还包括:
所述资源许可控制进程按照预设周期获取管理员资源许可配置;
所述资源许可配置包括资源特征以及URL地址;
其中,所述资源特征包括用户名、命名空间、处理器规格、处理器数量、内存规格、磁盘规格、UUID或者网络配置属性中的一种或者任意几种的组合。
6.根据权利要求5所述的资源许可方法,其特征在于,所述对资源部署请求中的资源执行解除资源配置冲突处理,包括:
所述资源许可服务进程对资源部署请求中的资源执行校正操作,得到与资源部署请求匹配的唯一且合法的资源,以确定出解除资源配置冲突后的资源部署请求;
其中,被执行校正操作的资源为构成资源配置冲突的资源部署请求所关联的资源,所述资源配置冲突包括命名冲突、权限冲突、地址冲突或者内核冲突中的一种或者几种任意组合。
7.一种资源许可***,其特征在于,包括:
感知模块、匹配模块、冲突解除模块以及资源调度模块;
所述感知模块接收资源部署请求,并确定在接收到资源部署请求时是否启动资源许可控制进程;
所述匹配模块包括处理模块,所述处理模块在启动资源许可控制进程时,解析所述资源部署请求,并确定资源部署请求中的资源与资源许可配置是否相匹配;
所述冲突解除模块在所述资源部署请求中的资源与所述资源许可配置相匹配时,对资源部署请求中的资源执行解除资源配置冲突处理,并确定解除资源配置冲突后的资源部署请求;
所述资源调度模块将所述解除资源配置冲突后的资源部署请求发送至资源调度器,以执行资源调度。
8.根据权利要求7所述的一种资源许可***,其特征在于,所述感知模块包括身份校验模块;
所述身份校验模块通过接收的包含身份信息的资源部署请求,对身份信息进行校验,并在校验通过后,确定在接收到资源部署请求时是否启动资源许可控制进程。
9.根据权利要求8所述的一种资源许可***,其特征在于,所述感知模块还包括发送模块;
所述发送模块在所述资源许可控制进程启动时,解析资源部署请求所包含的请求报文,并将请求报文中的请求路径所包含的地址修改为资源许可控制进程的地址,以将资源部署请求转发至资源许可控制进程,其中,所述资源部署请求报文包括请求行、请求头以及请求体,所述请求行包括请求方法、请求路径以及协议版本。
10.根据权利要求9所述的一种资源许可***,其特征在于,所述匹配模块还包括分析模块,所述分析模块按照预设周期获取管理员资源许可配置;
所述冲突解除模块还包括:对资源部署请求中的资源执行校正操作,得到与资源部署请求匹配的唯一且合法的资源,以确定出解除资源配置冲突后的资源部署请求,其中,被执行校正操作的资源为构成资源配置冲突的资源部署请求所关联的资源,所述资源配置冲突包括命名冲突、权限冲突、地址冲突或者内核冲突中的一种或者几种任意组合。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210208092.7A CN114666102B (zh) | 2022-03-03 | 2022-03-03 | 一种资源许可方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210208092.7A CN114666102B (zh) | 2022-03-03 | 2022-03-03 | 一种资源许可方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114666102A true CN114666102A (zh) | 2022-06-24 |
CN114666102B CN114666102B (zh) | 2024-02-06 |
Family
ID=82027414
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210208092.7A Active CN114666102B (zh) | 2022-03-03 | 2022-03-03 | 一种资源许可方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114666102B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103428241A (zh) * | 2012-05-18 | 2013-12-04 | 中兴通讯股份有限公司 | 服务部署方法及*** |
CN107528718A (zh) * | 2016-08-16 | 2017-12-29 | 腾讯科技(深圳)有限公司 | 获取资源的方法、装置和*** |
CN110858846A (zh) * | 2018-08-22 | 2020-03-03 | 京东方科技集团股份有限公司 | 资源配置方法、装置和存储介质 |
CN113037794A (zh) * | 2019-12-25 | 2021-06-25 | 马上消费金融股份有限公司 | 计算资源配置调度方法、装置及*** |
CN114064467A (zh) * | 2021-11-05 | 2022-02-18 | 腾讯科技(深圳)有限公司 | 资源分析方法、装置、电子设备及存储介质 |
-
2022
- 2022-03-03 CN CN202210208092.7A patent/CN114666102B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103428241A (zh) * | 2012-05-18 | 2013-12-04 | 中兴通讯股份有限公司 | 服务部署方法及*** |
CN107528718A (zh) * | 2016-08-16 | 2017-12-29 | 腾讯科技(深圳)有限公司 | 获取资源的方法、装置和*** |
CN110858846A (zh) * | 2018-08-22 | 2020-03-03 | 京东方科技集团股份有限公司 | 资源配置方法、装置和存储介质 |
CN113037794A (zh) * | 2019-12-25 | 2021-06-25 | 马上消费金融股份有限公司 | 计算资源配置调度方法、装置及*** |
CN114064467A (zh) * | 2021-11-05 | 2022-02-18 | 腾讯科技(深圳)有限公司 | 资源分析方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114666102B (zh) | 2024-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11641361B2 (en) | Dynamic access control to network resources using federated full domain logon | |
JP7528366B2 (ja) | サービス通信方法、システム、装置及び電子機器 | |
CN108549580B (zh) | 自动部署Kubernetes从节点的方法及终端设备 | |
US20220075653A1 (en) | Scheduling method and apparatus, and related device | |
US10277632B2 (en) | Automated access, key, certificate, and credential management | |
US10749985B2 (en) | Custom communication channels for application deployment | |
US10803027B1 (en) | Method and system for managing file system access and interaction | |
JP5516821B2 (ja) | 仮想化及び認証を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法 | |
EP3871388B1 (en) | Centralized authentication and authorization with certificate management | |
US12034869B2 (en) | Identity management for software components | |
US10318747B1 (en) | Block chain based authentication | |
KR20150020221A (ko) | 보호된 데이터 세트의 네트워크 기반 관리 기법 | |
CN111414640B (zh) | 秘钥访问控制方法和装置 | |
WO2024140215A1 (zh) | 边缘计算中的tee资源编排方法、***、设备及存储介质 | |
CN114666102B (zh) | 一种资源许可方法及*** | |
AU2019370092B2 (en) | Centralized authentication and authorization | |
EP3987391B1 (en) | Method and system for service image deployment in a cloud computing system based on distributed ledger technology | |
CN113330435A (zh) | 跟踪被污染的连接代理 | |
EP2332053B1 (en) | Authentication of services on a partition | |
KR20240003570A (ko) | 클라우드 보안 진단 서비스 제공 시스템 및 방법 | |
CN115766139A (zh) | 认证鉴权方法、装置、电子设备及存储介质 | |
CN118536162A (zh) | 保护隐私的用户程序运行方法、装置及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |