CN114745185A - 集群访问方法及装置 - Google Patents
集群访问方法及装置 Download PDFInfo
- Publication number
- CN114745185A CN114745185A CN202210405572.2A CN202210405572A CN114745185A CN 114745185 A CN114745185 A CN 114745185A CN 202210405572 A CN202210405572 A CN 202210405572A CN 114745185 A CN114745185 A CN 114745185A
- Authority
- CN
- China
- Prior art keywords
- cluster
- service
- service request
- client
- user token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000012545 processing Methods 0.000 claims description 73
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000012795 verification Methods 0.000 abstract description 16
- 238000010586 diagram Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种集群访问方法及装置,应用于网关,所述方法包括:接收客户端发送的第一业务请求,其中,第一业务请求中包含用户令牌、第一目标业务的基本信息,以及第一集群标识,判断用户令牌是否有访问第一集群标识对应的第一集群的权限,若有,则将第一业务请求发送至第一集群,以使第一集群根据第一业务请求中包含的第一目标业务的基本信息实现第一目标业务。本实施例通过基于代理网关来验证客户端是否有访问集群的权限的方式,无需在集群内部部署权限验证数据,减少了对集群的侵入性,进而提高了集群内部的安全性。
Description
技术领域
本申请实施例涉及数据处理技术领域,尤其涉及一种集群访问方法及装置。
背景技术
随着网络技术的发展,集群的应用越来越广泛。
现有技术中,在通过集群实现相关业务时,经常会遇到通过客户端直接登录集群实现相关业务的情况。在通过客户端登录集群时,需要集群先对客户端进行校验,校验通过后,才会对数据进行处理来实现对应的业务
然而,通过集群对客户端进行校验时,需要将校验信息写入到集群内部,若该集群为客户集群,则对客户集群有侵入性,降低了集群内部的安全性,进而影响了用户的使用体验。
发明内容
本申请实施例提供一种集群访问方法及装置,以提高集群内部的安全性。
第一方面,本申请实施例提供一种集群访问方法,应用于网关,包括:
接收客户端发送的第一业务请求,其中,所述第一业务请求中包含用户令牌、第一目标业务的基本信息,以及第一集群标识;
判断所述用户令牌是否有访问所述第一集群标识对应的第一集群的权限;
若有,则将所述第一业务请求发送至所述第一集群,以使所述第一集群根据所述第一业务请求中包含的第一目标业务的基本信息实现所述第一目标业务。
可选的,所述判断所述用户令牌是否有访问所述第一集群标识对应的第一集群的权限,包括:
对所述第一业务请求进行解析处理,得到资源请求字段;
判断所述用户令牌是否有对所述资源请求字段对应的资源进行访问的权限;
若有,则判断所述用户令牌是否有对所述第一集群进行访问的权限。
可选的,在所述将所述第一业务请求发送至所述第一集群之前,还包括:
对所述第一集群进行限流处理,确定所述第一集群的最大负载;
对应的,所述将所述第一业务请求发送至所述第一集群,包括:
在所述第一集群的负载不高于所述最大负载时,将所述第一业务请求发送至所述第一集群。
可选的,所述判断所述用户令牌是否有访问所述第一集群的权限,包括:
确定所述用户令牌处于正常使用状态后,判断所述用户令牌是否有访问所述第一集群的权限。
可选的,还包括:
若所述用户令牌处于异常使用状态,则发送令牌过期提示至所述客户端,以使所述客户端通过第三方登录模块获取新的用户令牌,并根据所述新的用户令牌生成新的第一业务请求。
可选的,在所述以使所述第一集群根据所述业务请求实现所述目标业务之后,还包括:
接收所述第一集群发送的业务处理完成提示;
将所述业务处理完成提示转发至所述客户端,以使所述客户端根据所述业务处理完成提示生成第二业务请求,并根据所述第二业务请求中包含的网关地址将所述第二业务请求发送至所述网关,其中,所述第二业务请求中包含所述用户令牌,第二目标业务的基本信息,以及第二集群标识,所述第二目标业务为需在所述第一目标业务执行完成后执行的业务。
可选的,还包括:
若在预设时长后,未接收到所述第一集群发送的业务处理完成提示;
发送业务处理完成失败提示至所述客户端,以使所述客户端根据第一目标业务以及待执行的第三目标业务生成第三业务请求,并根据所述第三业务请求中包含的网关地址将所述第三业务请求发送至所述网关,其中,所述第一目标业务的执行优先级不高于所述第三目标业务的执行优先级。
可选的,在所述若在预设时长后,未接收到所述第一集群发送的业务处理完成提示之后,还包括:
发送业务处理完成失败提示至所述客户端,以使所述客户端根据第一目标业务生成新的第一业务请求,并根据所述新的第一业务请求中包含的网关地址将所述新的第一业务请求发送至所述网关,其中,所述第一目标业务的执行优先级高于待执行的其他业务的执行优先级。
第二方面,本申请实施例提供一种集群访问方法,应用于第一集群,包括:
接收网关发送的第一业务请求,其中,所述第一业务请求为网关根据所述第一业务请求中包含的用户令牌确定客户端有访问所述第一集群的权限后通过第一集群标识发送的;
根据第一业务请求中包含的第一目标业务的基本信息实现所述第一目标业务。
第三方面,本申请实施例提供一种集群访问装置,应用于网关,包括:
接收模块,用于接收客户端发送的第一业务请求,其中,所述第一业务请求中包含用户令牌、第一目标业务的基本信息,以及第一集群标识;
处理模块,用于判断所述用户令牌是否有访问所述第一集群标识对应的第一集群的权限;
所述处理模块,还用于若有,则将所述第一业务请求发送至所述第一集群,以使所述第一集群根据所述第一业务请求中包含的第一目标业务的基本信息实现所述第一目标业务。
本申请实施例提供了一种集群访问方法及装置,采用上述方案后,网关可以先接收客户端发送的第一业务请求,其中,第一业务请求中包含用户令牌、第一目标业务的基本信息,以及第一集群标识,然后可以判断用户令牌是否有访问第一集群标识对应的第一集群的权限,若有,则将第一业务请求发送至第一集群,以使第一集群根据第一业务请求中包含的第一目标业务的基本信息实现第一目标业务,通过基于代理网关来验证客户端是否有访问集群的权限的方式,无需在集群内部部署权限验证数据,减少了对集群的侵入性,进而提高了集群内部的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的集群访问方法的应用***的架构示意图;
图2为本申请实施例提供的集群访问方法的流程示意图;
图3为本申请实施例提供的集群访问过程的原理示意图;
图4为本申请实施例提供的集群访问装置的结构示意图;
图5为本申请实施例提供的电子设备的硬件结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例还能够包括除了图示或描述的那些实例以外的其他顺序实例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
现有技术中,由于集群的应用越来越广泛,经常涉及到需要登录到集群实现相关业务的情况,例如,可以登录到集群进行排错处理,开发应用程序等。在登录集群实现相关业务时,通常需要客户端或第三方***直接登录集群。为了保证集群的安全性,在客户端或第三方***登录集群时,需要集群先对客户端或第三方***进行校验,校验通过后,集群才会对客户端或第三方***发送的数据进行处理来实现对应的业务。然而,在通过集群对客户端或第三方***进行校验时,需要将校验信息写入到集群内部(即每创建一个用户都需要在集群中创建对应的角色),若该集群为客户集群,则表明需要在客户集群中部署不属于客户内部数据的校验信息,对客户集群有侵入性,降低了客户集群内部的安全性,也影响了用户的使用体验。此外,由于该集群属于客户内部集群,为了提高客户内部数据的安全性,大部分客户不允许在客户集群中写入外部校验数据,增加了校验数据部署的难度。另外,用户还可以将自己的权限分享给其他用户,其他用户对集群所有的操作记录会被识别为该用户的操作,进一步降低了集群的安全性。
基于上述技术问题,本申请通过基于代理网关来验证客户端是否有访问集群的权限的方式,无需在集群内部部署权限验证数据,达到了既减少了集群的侵入性,又提高了集群内部的安全性的技术效果。
图1为本申请实施例提供的集群访问方法的应用***的架构示意图,如图1所示,在该应用***中,可以包括:客户端101、网关102以及集群103,客户端101可以根据待实现的目标业务生成业务请求,然后将业务请求发送至网关102,网关102可以代替集群103对客户端101进行权限验证,并在验证通过后,将客户端101发送的业务请求转发至对应的集群103,使得集群103根据业务请求实现对应的业务。
此外,集群103再根据业务请求实现对应的业务之后,还可以通过网关102向客户端101发送业务实现提示。
另外,客户端101可以有一个或多个,在该实施例中,客户端101有一个。此外,客户端101可以为智能手机、平板、个人电脑、智能可穿戴设备等,且不同的客户端类型可以相同,也可以不同。
此外,该应用***中还可以不包括客户端101,可以直接通过第三方***自动或手动的向网关102发送业务请求。
下面以具体地实施例对本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图2为本申请实施例提供的集群访问方法的流程示意图,本实施例的方法可以由网关102执行。如图2所示,本实施例的方法,可以包括:
S201:接收客户端发送的第一业务请求,其中,第一业务请求中包含用户令牌、第一目标业务的基本信息,以及第一集群标识。
在本实施例中,客户端在需要实现相关业务时,可以通过向集群发送业务请求的方式来实现。其中,业务请求中可以包含表示用户身份的用户令牌,目标集群的集群标识,以及待实现业务的基本信息(例如,基本信息中可以包含待操作对象,操作类型以及具体数值)。示例性的,若待实现业务为新增一个展示窗口,则待实现业务的基本信息中的待操作对象为展示窗口,操作类型为新增,具体数值为一个。
另外,用户令牌以及集群标识的具体形式可以根据实际应用场景自定义进行设置,在此不再详细进行限制。此外,集群标识对应的集群可以为Kubernetes集群,该集群为一个可移植的、可扩展的开源平台,用于管理容器化的工作负载和服务,可促进声明式配置和自动化,且拥有一个庞大且快速增长的生态***,可广泛支持不同类型的业务。
可选的,在一种实现方式中,在客户端向集群发送业务请求时,可以通过用户在客户端触控(例如,单击操作、双击操作、滑动操作、重按操作等)业务控件的方式来生成业务请求,其中,在客户端的显示界面中可以有多个业务对应的业务控件,选择不同的业务控件,可以对应生成不同的业务请求。
在另一种实现方式中,客户端还可以每隔预设时长自动向集群发送业务请求。其中,该业务请求对应的待处理业务可以为需要定时执行的业务,如巡检业务等。预设时长可以根据实际应用场景自定义进行设置,示例性的,预设时长可以为1-3天中的任意值。
S202:判断用户令牌是否有访问第一集群标识对应的第一集群的权限。
在本实施例中,客户端在向集群发送业务请求时,可以先将业务请求发送至网关,然后由网关对客户端进行权限验证,验证通过后,再将业务请求转发至对应的集群。其中,网关又可以称为网间连接器或协议转换器,可以在网络层以上实现网络互连,是复杂的网络互连设备,用于两个高层协议中不同网络的互连,且网络既可以用于广域网互连,也可以用于局域网互连。网关是一种充当转换重任的计算机***或设备,可以应用在不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种***之间。网关还是一个翻译器,与只是简单传达信息的网桥不同,网关可以对收到的信息重新打包,以适应目标集群的需求。
进一步的,可以通过用户令牌来判断客户端是否有访问第一集群标识对应的第一集群的权限。对应的,可以预先确定每个客户端对应的权限信息,并存储每个客户端对应的权限信息,后续可以基于用户令牌以及存储的每个客户端对应的权限信息来确定客户端是否有访问第一集群的权限,通过在网关中设置权限信息,进而实现在网关中判断用户是否有访问集群的权限的方式,避免了将权限信息写入用户集群,对用户集群造成侵入性的情况,提高了用户集群内部环境的安全性,进而提高了用户的应用体验。
其中,每个客户端对应的用户令牌可以有多个,可以根据不同的业务生成不同的用户令牌,后续可以根据用户令牌确定客户端是否有实施对应业务的权限。
S203:若有,则将第一业务请求发送至第一集群,以使第一集群根据第一业务请求中包含的第一目标业务的基本信息实现第一目标业务。
在本实施例中,若通过网关确定用户令牌有访问第一集群的权限,则可以将业务请求转发至第一集群,使得第一集群根据业务请求中包含的第一目标业务的基本信息实现第一目标业务。示例性的,可以使得第一集群根据第一业务请求新增一展示窗口。
此外,若通过网关确定用户令牌没有访问第一集群的权限,则可以发送没有权限提示至客户端。
采用上述方案后,网关可以先接收客户端发送的第一业务请求,其中,第一业务请求中包含用户令牌、第一目标业务的基本信息,以及第一集群标识,然后可以判断用户令牌是否有访问第一集群标识对应的第一集群的权限,若有,则将第一业务请求发送至第一集群,以使第一集群根据第一业务请求中包含的第一目标业务的基本信息实现第一目标业务,通过基于代理网关来验证客户端是否有访问集群的权限的方式,无需在集群内部部署权限验证数据,若该集群为客户集群,即无需在客户集群中部署校验数据,减少了对集群的侵入性,提高了集群内部的安全性,同时也避免了客户不允许在集群中写入外部数据的情况,降低了校验数据部署的难度。
基于图2的方法,本说明书实施例还提供了该方法的一些具体实施方案,下面进行说明。
在另一实施例中,判断所述用户令牌是否有访问所述第一集群标识对应的第一集群的权限,具体可以包括:
对所述第一业务请求进行解析处理,得到资源请求字段。
判断所述用户令牌是否有对所述资源请求字段对应的资源进行访问的权限。
若有,则判断所述用户令牌是否有对所述第一集群进行访问的权限。
现有技术中,在通过集群确定客户端的访问权限时,一般应用的是集群内置的权限管理方式,例如,Kubernetes集群应用的为RBAC(Role Based Access Control,基于角色的权限访问控制)进行权限管理,使用该方式可以将权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限,然后该方式只能对固定的权限进行限制(例如,对语句进行增删改查的权限限制),且仅能对用户的权限进行粗略的限制,无法实现细粒度的用户权限的限制,例如,无法实现对用户仅拥有更改字段的权限的限制。
在本实施例中,在网关接收到客户端发送的第一业务请求之后,可以对第一业务请求中的各字段进行解析,得到资源请求字段,该资源请求字段与客户端待实现的业务相关联,表示客户端实现业务时所需要的资源数据。在得到资源请求字段之后,即可以判断用户令牌是否有对资源请求字段对应的资源进行访问的权限。在确定用户令牌有对资源请求字段对应的资源进行访问的权限之后,可以继续判断用户令牌是否有对第一集群进行访问的权限。其中,各客户端与资源的访问权限之间的对应关系可以根据实际应用场景预先进行确定,并存储各客户端与资源的访问权限之间的对应关系。示例性的,在解析第一业务请求之后,可以得到资源请求字段为端口,即可以确定资源请求字段对应的资源为端口资源,然后可以判断用户令牌是否有对端口资源进行访问的权限,若有,则继续判断用户令牌是否有对第一集群进行访问的权限。其中,当资源请求字段对应的资源为端口资源时,第一目标业务可以为将集群接入的端口数量更改为5个,则待操作对象为集群接入的端口数量,操作类型为更改类型,具体数值为5。
综上,通过在网关中部署权限信息的方式,既可以自定义设置用户的权限,还可以实现更细粒度的权限限制(如字段级别的权限限制),提高了权限设置的灵活性。
在另一实施例中,所述将所述第一业务请求发送至所述第一集群,具体可以包括:
根据所述第一集群标识确定所述第一集群的访问地址,并根据所述第一集群的访问地址生成访问路径。
根据所述访问路径将所述第一业务请求发送至所述第一集群。
在本实施例,不同的集群标识可以对应不同的集群,在得到第一集群标识之后,可以先根据该第一集群标识确定对应的第一集群,然后获取第一集群的访问地址,再根据第一集群的访问地址生成访问路径,该访问路径表示将第一业务请求从网关发送至第一集群所经历的设备。在得到访问路径之后,即可将第一业务请求发送至第一集群,并通过第一集群的访问入口实现对第一集群的访问。
示例性的,Kubernetes集群的访问入口为API Server,通过访问API Server可以实现日常排查,进集群开发等业务。
综上,通过在网关确定集群的访问地址,并根据访问地址生成访问路径的方式,使得客户端无需关注集群的访问地址,提高了集群的安全性。
在另一实施例中,在所述将所述第一业务请求发送至所述第一集群之前,所述方法还可以包括:
对所述第一集群进行限流处理,确定所述第一集群的最大负载。
对应的,所述将所述第一业务请求发送至所述第一集群,包括:
在所述第一集群的负载不高于所述最大负载时,将所述第一业务请求发送至所述第一集群。
在本实施例中,在确定客户端有访问第一集群的权限之后,可以先对第一集群进行限流处理,确定第一集群的最大负载,然后在第一集群的负载不高于最大负载时,将第一业务请求发送至第一集群进行处理。其中,最大负载可以为第一集群可以接收的最大业务请求量,通过最大负载的设置,减少了集群短时间内接收到大量请求的情况,保证了集群的正常运行。
在另一实施例中,所述判断所述用户令牌是否有访问所述第一集群的权限,具体可以包括:
确定所述用户令牌处于正常使用状态后,判断所述用户令牌是否有访问所述第一集群的权限。
在本实施例中,在判断用户令牌是否有访问第一集群的权限时,可以先判断用户令牌是否处于正常使用状态,然后在确定用户令牌处于正常使用状态后,继续判断用户令牌是否有访问第一集群的权限。
其中,用户令牌具有时限性,即用户令牌生成之后,仅在有效的时间内可用,即用户令牌仅在有效的时间内处于正常使用状态,过了可用期之后,令牌即处于异常使用状态。
此外,所述方法还可以包括:
若所述用户令牌处于异常使用状态,则发送令牌过期提示至所述客户端,以使所述客户端通过第三方登录模块获取新的用户令牌,并根据所述新的用户令牌生成新的第一业务请求。
具体的,若用户令牌的使用时间超过了可用期,则表明用户令牌处于异常使用状态,则需要重新通过第三方登录模块获取新的用户令牌,并根据新的用户令牌生成新的第一业务请求。
示例性的,第三方登录模块可以为Oauth2,可以允许第三方应用授权登录,用户令牌可以为token。
在另一实施例中,在所述以使所述第一集群根据所述业务请求实现所述目标业务之后,所述方法还可以包括:
接收所述第一集群发送的业务处理完成提示。
将所述业务处理完成提示转发至所述客户端,以使所述客户端根据所述业务处理完成提示生成第二业务请求,并根据所述第二业务请求中包含的网关地址发送将所述第二业务请求发送至所述网关,其中,所述第二业务请求中包含所述用户令牌,第二目标业务的基本信息,以及第二集群标识,所述第二目标业务为需在所述第一目标业务执行完成后执行的业务。
在本实施例中,存在有一些业务具有先后执行关系,即需要将第一目标业务处理完成之后,才可以执行第二目标业务。示例性的,第一目标业务可以为提交转账申请,第二目标业务为转账,即必须先提交转账申请,才可以进行转账。
对应的,在集群处理完成第一目标业务之后,可以向网关发送业务处理完成提示,网关可以将该业务处理完成提示转发至客户端,客户端在接收到业务处理完成提示之后,即可确定第一目标业务已经处理完成,可以执行第二目标业务,进而可以根据业务处理完成提示生成第二业务请求,并根据第二业务请求中包含的网关地址将第二业务请求发送至网关。网关可以根据第二业务请求中包含的用户令牌判断客户端是否有访问资源以及集群的权限,若有,则可以将第二业务请求转发至对应的第二集群,第二集群根据第二业务请求实现第二目标业务。
此外,所述方法还可以包括:
若在预设时长后,未接收到所述第一集群发送的业务处理完成提示。
发送业务处理完成失败提示至所述客户端,以使所述客户端根据第一目标业务以及待执行的第三目标业务生成第三业务请求,并根据所述第三业务请求中包含的网关地址将所述第三业务请求发送至所述网关,其中,所述第一目标业务的执行优先级不高于所述第三目标业务的执行优先级。
具体的,若在预设时长后仍未接收到第一集群发送的业务处理完成提示,表明第一目标业务处理失败,此时,可以根据待处理业务的优先级生成新的业务请求。
可选的,若第一目标业务的执行优先级低于第三目标业务的执行优先级,表明可以先执行第三目标业务,再执行第一目标业务,为了提高业务的处理效果,可以生成包含请求处理第三目标业务以及第一目标业务的第三业务请求,使得集群在接收到第三目标业务之后,可以对第三目标业务以及第一目标业务进行处理。进一步的,第一目标业务以及第三目标业务对应的集群可以为一个集群,也可以为不同的集群,若为不同的集群,则可以分别对第一目标业务和第三目标业务进行处理。若为相同的集群,由于第三目标业务的执行优先级高于第一目标业务的执行优先级,因此,集群可以先执行第三目标业务,再执行第一目标业务。另外,第一目标业务的执行优先级还可能等于第三目标业务的执行优先级,为了提高业务的处理效果,可以生成包含请求处理第三目标业务以及第一目标业务的第三业务请求,使得集群在接收到第三目标业务之后,可以对第三目标业务以及第一目标业务进行处理。
可选的,在所述若在预设时长后,未接收到所述第一集群发送的业务处理完成提示之后,所述方法还可以包括:
发送业务处理完成失败提示至所述客户端,以使所述客户端根据第一目标业务生成新的第一业务请求,并根据所述新的第一业务请求中包含的网关地址将所述新的第一业务请求发送至所述网关,其中,所述第一目标业务的执行优先级高于待执行的其他业务的执行优先级。
具体的,若第一目标业务的执行优先级高于待执行的其他业务的执行优先级,则表明需要第一目标业务执行成功之后才可以执行其他业务,因此客户端在接收到业务处理完成失败提示之后,可以根据第一目标业务生成新的第一业务请求,并根据新的第一业务请求中包含的网关地址将新的第一业务请求发送至网关,网关再将该新的第一业务请求转发至对应的集群,以使集群根据新的第一业务请求实现第一目标业务。
综上,通过根据目标业务的执行优先级确定不同的目标业务的执行方式,提高了目标业务处理的灵活性与准确性。
图3为本申请实施例提供的集群访问过程的原理示意图,如图3所示,在本实施例中,客户端可以向网关发送业务请求,网关接收到业务请求之后,可以基于第三方登录模块对客户端进行验证,其中,第三方登录模型可以对多种登录方式进行验证,示例性的,可以对登录方式A、登录方式B以及登录方式C进行验证。验证通过后,再基于鉴权模块对客户端的权限进行验证,验证通过后,再将业务请求转发至对应的集群。其中,鉴权模块可以基于预先存储的鉴权规则数据进行鉴权。在将业务请求转发至对应的集群时,可以基于集群凭证(如集群证书)确实是否为对应的集群,并在确定为对应的集群之后,在将业务请求转发至对应的集群。
另外,本申请还提供了一种集群访问方法,可以由第一集群执行,本实施例的方法,可以包括:
在网关根据第一业务请求中包含的用户令牌确定所述客户端有访问所述第一集群的权限后,接收网关发送的第一业务请求。
根据第一业务请求中包含的第一目标业务的基本信息实现所述第一目标业务。
在本实施例中,第一集群可以接收网关发送的第一业务请求,并根据该第一业务请求中包含的第一目标业务的基本信息直接实现第一目标业务,由于网关已经对客户端的权限信息进行校验,所以第一集群可以直接对第一目标业务进行处理,而无需再对客户端的权限信息进行校验,既提高了集群的处理效率,又避免了在客户集群中部署校验数据,减少了对客户集群的侵入,进而提高了用户的应用体验。
此外,在另一实施例中,在所述根据第一业务请求中包含的第一目标业务的基本信息实现所述第一目标业务之后,还包括:
生成业务处理完成提示;
将所述业务处理完成提示发送至网关,以使网关将所述业务处理完成提示转发至客户端,以使所述客户端根据所述业务处理完成提示生成第二业务请求,并根据所述第二业务请求中包含的网关地址将所述第二业务请求发送至所述网关,其中,所述第二业务请求中包含所述用户令牌,第二目标业务的基本信息,以及第二集群标识,所述第二目标业务为需在所述第一目标业务执行完成后执行的业务。
基于同样的思路,本说明书实施例还提供了上述方法对应的装置,图4为本申请实施例提供的集群访问装置的结构示意图,如图4所示,应用于网关,本实施例提供的装置,可以包括:
接收模块401,用于接收客户端发送的第一业务请求,其中,所述第一业务请求中包含用户令牌、第一目标业务的基本信息,以及第一集群标识。
处理模块402,用于判断所述用户令牌是否有访问所述第一集群标识对应的第一集群的权限。
所述处理模块402,还用于若有,则将所述第一业务请求发送至所述第一集群,以使所述第一集群根据所述第一业务请求中包含的第一目标业务的基本信息实现所述第一目标业务。
在另一实施例中,所述处理模块402,还用于:
对所述第一业务请求进行解析处理,得到资源请求字段。
判断所述用户令牌是否有对所述资源请求字段对应的资源进行访问的权限。
若有,则判断所述用户令牌是否有对所述第一集群进行访问的权限。
在另一实施例中,所述处理模块402,还用于:
根据所述第一集群标识确定所述第一集群的访问地址,并根据所述第一集群的访问地址生成访问路径。
根据所述访问路径将所述第一业务请求发送至所述第一集群。
在另一实施例中,所述处理模块402,还用于:
对所述第一集群进行限流处理,确定所述第一集群的最大负载。
在所述第一集群的负载不高于所述最大负载时,将所述第一业务请求发送至所述第一集群。
在另一实施例中,所述处理模块402,还用于:
确定所述用户令牌处于正常使用状态后,判断所述用户令牌是否有访问所述第一集群的权限。
此外,所述处理模块402,还用于:
若所述用户令牌处于异常使用状态,则发送令牌过期提示至所述客户端,以使所述客户端通过第三方登录模块获取新的用户令牌,并根据所述新的用户令牌生成新的第一业务请求。
在另一实施例中,所述处理模块402,还用于:
接收所述第一集群发送的业务处理完成提示。
将所述业务处理完成提示转发至所述客户端,以使所述客户端根据所述业务处理完成提示生成第二业务请求,并根据所述第二业务请求中包含的网关地址将所述第二业务请求发送至所述网关,其中,所述第二业务请求中包含所述用户令牌,第二目标业务的基本信息,以及第二集群标识,所述第二目标业务为需在所述第一目标业务执行完成后执行的业务。
此外,所述处理模块402,还用于:
若在预设时长后,未接收到所述第一集群发送的业务处理完成提示。
发送业务处理完成失败提示至所述客户端,以使所述客户端根据第一目标业务以及待执行的第三目标业务生成第三业务请求,并根据所述第三业务请求中包含的网关地址将所述第三业务请求发送至所述网关,其中,所述第一目标业务的执行优先级不高于所述第三目标业务的执行优先级。
此外,所述处理模块402,还用于:
发送业务处理完成失败提示至所述客户端,以使所述客户端根据第一目标业务生成新的第一业务请求,并根据所述新的第一业务请求中包含的网关地址将所述新的第一业务请求发送至所述网关,其中,所述第一目标业务的执行优先级高于待执行的其他业务的执行优先级。
本申请另一实施例还提供了一种集群访问装置,应用于第一集群,本实施例提供的装置,可以包括:
处理模块,用于接收网关发送的第一业务请求,其中,所述第一业务请求为网关根据所述第一业务请求中包含的用户令牌确定客户端有访问所述第一集群的权限后通过第一集群标识发送的。
所述处理模块,还用于根据第一业务请求中包含的第一目标业务的基本信息实现所述第一目标业务。
此外,在另一实施例中,所述处理模块,还用于:
生成业务处理完成提示。
将所述业务处理完成提示发送至网关,以使网关将所述业务处理完成提示转发至客户端,以使所述客户端根据所述业务处理完成提示生成第二业务请求,并根据所述第二业务请求中包含的网关地址将所述第二业务请求发送至所述网关,其中,所述第二业务请求中包含所述用户令牌,第二目标业务的基本信息,以及第二集群标识,所述第二目标业务为需在所述第一目标业务执行完成后执行的业务。
本申请实施例提供的装置,可以实现上述如图2所示的实施例的方法,其实现原理和技术效果类似,此处不再赘述。
图5为本申请实施例提供的电子设备的硬件结构示意图,如图5所示,本实施例提供的设备500包括:处理器501,以及与所述处理器通信连接的存储器。其中,处理器501、存储器502通过总线503连接。
在具体实现过程中,处理器501执行所述存储器502存储的计算机执行指令,使得处理器501执行上述方法实施例中的方法。
处理器501的具体实现过程可参见上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
在上述的图5所示的实施例中,应理解,处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application SpecificIntegrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component Interconnect,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现上述方法实施例的集群访问方法。
本申请实施例还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时,实现如上所述的集群访问方法。
上述的计算机可读存储介质,上述可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。可读存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的可读存储介质耦合至处理器,从而使处理器能够从该可读存储介质读取信息,且可向该可读存储介质写入信息。当然,可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(Application Specific IntegratedCircuits,简称:ASIC)中。当然,处理器和可读存储介质也可以作为分立组件存在于设备中。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种集群访问方法,其特征在于,应用于网关,包括:
接收客户端发送的第一业务请求,其中,所述第一业务请求中包含用户令牌、第一目标业务的基本信息,以及第一集群标识;
判断所述用户令牌是否有访问所述第一集群标识对应的第一集群的权限;
若有,则将所述第一业务请求发送至所述第一集群,以使所述第一集群根据所述第一业务请求中包含的第一目标业务的基本信息实现所述第一目标业务。
2.根据权利要求1所述的方法,其特征在于,所述判断所述用户令牌是否有访问所述第一集群标识对应的第一集群的权限,包括:
对所述第一业务请求进行解析处理,得到资源请求字段;
判断所述用户令牌是否有对所述资源请求字段对应的资源进行访问的权限;
若有,则判断所述用户令牌是否有对所述第一集群进行访问的权限。
3.根据权利要求1所述的方法,其特征在于,在所述将所述第一业务请求发送至所述第一集群之前,还包括:
对所述第一集群进行限流处理,确定所述第一集群的最大负载;
对应的,所述将所述第一业务请求发送至所述第一集群,包括:
在所述第一集群的负载不高于所述最大负载时,将所述第一业务请求发送至所述第一集群。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述判断所述用户令牌是否有访问所述第一集群的权限,包括:
确定所述用户令牌处于正常使用状态后,判断所述用户令牌是否有访问所述第一集群的权限。
5.根据权利要求4所述的方法,其特征在于,还包括:
若所述用户令牌处于异常使用状态,则发送令牌过期提示至所述客户端,以使所述客户端通过第三方登录模块获取新的用户令牌,并根据所述新的用户令牌生成新的第一业务请求。
6.根据权利要求1-3任一项所述的方法,其特征在于,在所述以使所述第一集群根据所述业务请求实现所述目标业务之后,还包括:
接收所述第一集群发送的业务处理完成提示;
将所述业务处理完成提示转发至所述客户端,以使所述客户端根据所述业务处理完成提示生成第二业务请求,并根据所述第二业务请求中包含的网关地址将所述第二业务请求发送至所述网关,其中,所述第二业务请求中包含所述用户令牌,第二目标业务的基本信息,以及第二集群标识,所述第二目标业务为需在所述第一目标业务执行完成后执行的业务。
7.根据权利要求6所述的方法,其特征在于,还包括:
若在预设时长后,未接收到所述第一集群发送的业务处理完成提示;
发送业务处理完成失败提示至所述客户端,以使所述客户端根据第一目标业务以及待执行的第三目标业务生成第三业务请求,并根据所述第三业务请求中包含的网关地址将所述第三业务请求发送至所述网关,其中,所述第一目标业务的执行优先级不高于所述第三目标业务的执行优先级。
8.根据权利要求7所述的方法,其特征在于,在所述若在预设时长后,未接收到所述第一集群发送的业务处理完成提示之后,还包括:
发送业务处理完成失败提示至所述客户端,以使所述客户端根据第一目标业务生成新的第一业务请求,并根据所述新的第一业务请求中包含的网关地址将所述新的第一业务请求发送至所述网关,其中,所述第一目标业务的执行优先级高于待执行的其他业务的执行优先级。
9.一种集群访问方法,其特征在于,应用于第一集群,包括:
接收网关发送的第一业务请求,其中,所述第一业务请求为网关根据所述第一业务请求中包含的用户令牌确定客户端有访问所述第一集群的权限后通过第一集群标识发送的;
根据第一业务请求中包含的第一目标业务的基本信息实现所述第一目标业务。
10.一种集群访问装置,其特征在于,应用于网关,包括:
接收模块,用于接收客户端发送的第一业务请求,其中,所述第一业务请求中包含用户令牌、第一目标业务的基本信息,以及第一集群标识;
处理模块,用于判断所述用户令牌是否有访问所述第一集群标识对应的第一集群的权限;
所述处理模块,还用于若有,则将所述第一业务请求发送至所述第一集群,以使所述第一集群根据所述业务请求中包含的第一目标业务的基本信息实现所述第一目标业务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210405572.2A CN114745185A (zh) | 2022-04-18 | 2022-04-18 | 集群访问方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210405572.2A CN114745185A (zh) | 2022-04-18 | 2022-04-18 | 集群访问方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114745185A true CN114745185A (zh) | 2022-07-12 |
Family
ID=82282362
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210405572.2A Pending CN114745185A (zh) | 2022-04-18 | 2022-04-18 | 集群访问方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114745185A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115827757A (zh) * | 2022-11-30 | 2023-03-21 | 西部科学城智能网联汽车创新中心(重庆)有限公司 | 一种对多HBase集群的数据操作方法及装置 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1929486A (zh) * | 2006-09-22 | 2007-03-14 | 华为技术有限公司 | 通信业务处理***及通信业务处理方法 |
US20110307947A1 (en) * | 2010-06-14 | 2011-12-15 | Microsoft Corporation | Flexible end-point compliance and strong authentication for distributed hybrid enterprises |
CN110958256A (zh) * | 2019-12-06 | 2020-04-03 | 无锡华云数据技术服务有限公司 | 一种集群管理方法及管理*** |
CN112039909A (zh) * | 2020-09-03 | 2020-12-04 | 平安科技(深圳)有限公司 | 基于统一网关的认证鉴权方法、装置、设备及存储介质 |
CN113360882A (zh) * | 2021-05-27 | 2021-09-07 | 北京百度网讯科技有限公司 | 集群访问方法、装置、电子设备和介质 |
US20210336788A1 (en) * | 2020-04-24 | 2021-10-28 | Netapp, Inc. | Management services api gateway |
CN113783774A (zh) * | 2021-08-20 | 2021-12-10 | 北京快乐茄信息技术有限公司 | 一种跨集群的网络配置方法、装置、通信设备及存储介质 |
CN113986510A (zh) * | 2021-11-02 | 2022-01-28 | 北京金山云网络技术有限公司 | 资源调度方法、装置和电子设备 |
CN114024971A (zh) * | 2021-10-21 | 2022-02-08 | 郑州云海信息技术有限公司 | 业务数据处理方法、Kubernetes集群及介质 |
-
2022
- 2022-04-18 CN CN202210405572.2A patent/CN114745185A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1929486A (zh) * | 2006-09-22 | 2007-03-14 | 华为技术有限公司 | 通信业务处理***及通信业务处理方法 |
US20110307947A1 (en) * | 2010-06-14 | 2011-12-15 | Microsoft Corporation | Flexible end-point compliance and strong authentication for distributed hybrid enterprises |
CN110958256A (zh) * | 2019-12-06 | 2020-04-03 | 无锡华云数据技术服务有限公司 | 一种集群管理方法及管理*** |
US20210336788A1 (en) * | 2020-04-24 | 2021-10-28 | Netapp, Inc. | Management services api gateway |
CN112039909A (zh) * | 2020-09-03 | 2020-12-04 | 平安科技(深圳)有限公司 | 基于统一网关的认证鉴权方法、装置、设备及存储介质 |
CN113360882A (zh) * | 2021-05-27 | 2021-09-07 | 北京百度网讯科技有限公司 | 集群访问方法、装置、电子设备和介质 |
CN113783774A (zh) * | 2021-08-20 | 2021-12-10 | 北京快乐茄信息技术有限公司 | 一种跨集群的网络配置方法、装置、通信设备及存储介质 |
CN114024971A (zh) * | 2021-10-21 | 2022-02-08 | 郑州云海信息技术有限公司 | 业务数据处理方法、Kubernetes集群及介质 |
CN113986510A (zh) * | 2021-11-02 | 2022-01-28 | 北京金山云网络技术有限公司 | 资源调度方法、装置和电子设备 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115827757A (zh) * | 2022-11-30 | 2023-03-21 | 西部科学城智能网联汽车创新中心(重庆)有限公司 | 一种对多HBase集群的数据操作方法及装置 |
CN115827757B (zh) * | 2022-11-30 | 2024-03-12 | 西部科学城智能网联汽车创新中心(重庆)有限公司 | 一种对多HBase集群的数据操作方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11012455B2 (en) | Modifying a user session lifecycle in a cloud broker environment | |
US20200304485A1 (en) | Controlling Access to Resources on a Network | |
US11916911B2 (en) | Gateway enrollment for Internet of Things device management | |
AU2021293965B2 (en) | Preventing unauthorized package deployment in clusters | |
US20140189119A1 (en) | Controlling Access to Resources on a Network | |
CN112491776B (zh) | 安全认证方法及相关设备 | |
CN110839087A (zh) | 接口调用方法及装置、电子设备和计算机可读存储介质 | |
US10798120B2 (en) | Dynamic detection of firewall misconfigurations | |
CN114745185A (zh) | 集群访问方法及装置 | |
CN112417402B (zh) | 权限控制方法、权限控制装置、权限控制设备及存储介质 | |
CN114157472A (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
CN113489726B (zh) | 流量限制方法及设备 | |
CN115906131B (zh) | 一种数据管理方法、***、设备及存储介质 | |
US20240080357A1 (en) | System and method for proactive blocking of remote display protocol connection requests from suspicious users and devices | |
CN114615008B (zh) | 一种海量存储分布式***黑白名单控制方法及装置 | |
US11909720B2 (en) | Secure remote support of systems deployed in a private network | |
US20220407692A1 (en) | Multiple device collaboration authentication | |
CN113326321B (zh) | 一种基于区块链的用户数据管理方法和装置 | |
CN111083124B (zh) | 云堡垒登录方法及设备 | |
US20230412570A1 (en) | Configurable proxying application program interface façade service | |
CN116723029A (zh) | 一种访问控制方法、装置、设备、存储介质 | |
CN116318769A (zh) | 网关拦截方法、装置、电子设备和存储介质 | |
CN118132247A (zh) | 云平台访问方法、装置、电子设备及存储介质 | |
CA3222116A1 (en) | Sftp batch processing and credentials api for offline fraud assessment | |
CN117609076A (zh) | 基于动态网关的模拟测试方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |