政务云多区域的纳管方法和设备与流程

1.本发明涉及计算机领域，尤其涉及一种政务云多区域的纳管方法和设备。


背景技术：

2.政务云底层一般由政务外网区和互联网区组成，两个区域各自独立部署一套云平台并且两个区域之间物理隔离，如果需要通讯只能通过网闸打通，为了统一管理两个区域的云平台会引入多云管理平台云主机(cmp)。
3.由于政务云在建设的时候出去合规性和安全性考虑会建设政务外网区和互联网区，两个区域物理隔离如果需要访问通过网闸等安全设备打通保障了政务云的安全性。并且网闸只是数据面打通，比如，两个vpc(专有网络，virtual private cloud)网络下云主机之间互通，但是无法实现跨区域的数据面和控制面打通，比如，政务外网区的多云管理平台云主机(cmp)不能访问互联网区管理网络(api网关属于管理网络)。
4.多云管理平台云主机(cmp)一般以虚拟机的方式部署在政务外网区或者互联网区来同时访问两个区域的api网关实现对两个云平台的纳管，但是一般云平台在设计的时候，api网关只能被本区域的云主机访问，跨区域无法直接访问。比如，多云管理平台云主机(cmp)部署在政务外网区，它只能访问政务外网区的api网关并纳管政务外网区的云平台，无法直接访问互联网区的api网关实现纳管互联网区的云平台。也就是说，如果多多云管理平台云主机(cmp)以虚拟机的方式部署在政务外网区或者互联网区的任意一个区域就只能访问本区域的api网关，只能纳管本区域的云平台，无法实现对另外一个区域云平台的纳管。


技术实现要素：

5.本发明的一个目的是提供一种政务云多区域的纳管方法和设备。
6.根据本发明的一个方面，提供了一种政务云多区域的纳管方法，该方法包括：
7.在第一政务云的互连网区和政务外网区中，选择其中一区作为第一区，在所述第一区部署多云管理平台云主机；
8.在同一第一政务云的互连网区和政务外网区中，选择除所述第一区之外的一区作为第二区，在所述第二区部署代理软件云主机；
9.所述第一区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一区的核心交换机、网闸、第二区的核心交换机、代理软件云主机和第二区的api网关，发送至所述第二区的api网关。
10.进一步的，上述方法中，在第一政务云的互连网区和政务外网区中，选择其中一区作为第一区，在所述第一区部署多云管理平台云主机cmp，包括：
11.在第一政务云的互连网区和政务外网区中，选择在第一政务云的政务外网区部署多云管理平台云主机cmp；
12.在同一第一政务云的互连网区和政务外网区中，选择除所述第一区之外的一区作
为第二区，在所述第二区部署代理软件云主机，包括：
13.在同一第一政务云的互连网区和政务外网区中，选择在第一政务云的互连网区部署代理软件云主机。
14.进一步的，上述方法中，所述第一区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一区的核心交换机、网闸、第二区的核心交换机、代理软件云主机和第二区的api网关，发送至所述第二区的api网关，包括：
15.第一政务云的政务外网区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一政务云的政务外网区的核心交换机、网闸、第一政务云的互连网区的核心交换机、代理软件云主机和第一政务云的互连网区的api网关，发送至所述第一政务云的互连网区的api网关。
16.进一步的，上述方法中，在第一政务云的互连网区和政务外网区中，选择第一政务云的政务外网区作为第一区，在所述第一区部署多云管理平台云主机cmp之后，还包括：
17.第一政务云的政务外网区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一政务云的政务外网区的api网关，发送至所述第一政务云的政务外网区的api网关。
18.进一步的，上述方法中，在同一第一政务云的互连网区和政务外网区中，选择在第一政务云的互连网区部署代理软件云主机之后，还包括：
19.在第二政务云的互连网区，部署代理软件云主机，建立第二政务云的互连网区与第一政务云的政务外网区之间的第一专线；
20.第一政务云的政务外网区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一政务云的政务外网区的核心交换机、第一专线、第二政务云的互连网区的核心交换机、第二政务云的互连网区的代理软件云主机和第二政务云的互连网区的api网关，发送至所述第二政务云的互连网区的api网关。
21.进一步的，上述方法中，在同一第一政务云的互连网区和政务外网区中，选择在第一政务云的互连网区部署代理软件云主机之后，还包括：
22.在第二政务云的政务外网区，部署代理软件云主机，建立第二政务云的政务外网区与第一政务云的政务外网区之间的第二专线；
23.第一政务云的政务外网区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一政务云的政务外网区的核心交换机、第二专线、第二政务云的政务外网区的核心交换机、第二政务云的政务外网区的代理软件云主机和第二政务云的政务外网区的api网关，发送至所述第二政务云的政务外网区的api网关。
24.进一步的，上述方法中，在第一政务云的互连网区和政务外网区中，选择其中一区作为第一区，在所述第一区部署多云管理平台云主机cmp，包括：
25.在第一政务云的互连网区和政务外网区中，选择在第一政务云的互连网区部署多云管理平台云主机；
26.在同一第一政务云的互连网区和政务外网区中，选择除所述第一区之外的一区作为第二区，在所述第二区部署代理软件云主机，包括：
27.在同一第一政务云的互连网区和政务外网区中，选择在第一政务云的政务外网区部署代理软件云主机。
28.根据本发明的另一面，还提供一种政务云多区域的纳管设备，其中，该设备包括：
29.第一装置，用于在第一政务云的互连网区和政务外网区中，选择其中一区作为第一区，在所述第一区部署多云管理平台云主机；
30.第二装置，用于在同一第一政务云的互连网区和政务外网区中，选择除所述第一区之外的一区作为第二区，在所述第二区部署代理软件云主机；
31.第三装置，用于供所述第一区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一区的核心交换机、网闸、第二区的核心交换机、代理软件云主机和第二区的api网关，发送至所述第二区的api网关。
32.根据本发明的另一面，还提供一种基于计算的设备，其中，包括：
33.处理器；以及
34.被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：
35.在第一政务云的互连网区和政务外网区中，选择其中一区作为第一区，在所述第一区部署多云管理平台云主机；
36.在同一第一政务云的互连网区和政务外网区中，选择除所述第一区之外的一区作为第二区，在所述第二区部署代理软件云主机；
37.所述第一区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一区的核心交换机、网闸、第二区的核心交换机、代理软件云主机和第二区的api网关，发送至所述第二区的api网关。
38.根据本发明的另一面，还提供一种计算机可读存储介质，其上存储有计算机可执行指令，其中，该计算机可执行指令被处理器执行时使得该处理器：
39.在第一政务云的互连网区和政务外网区中，选择其中一区作为第一区，在所述第一区部署多云管理平台云主机；
40.在同一第一政务云的互连网区和政务外网区中，选择除所述第一区之外的一区作为第二区，在所述第二区部署代理软件云主机；
41.所述第一区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一区的核心交换机、网闸、第二区的核心交换机、代理软件云主机和第二区的api网关，发送至所述第二区的api网关。
42.与现有技术相比，本发明通过在互联网区部署本方案的代理软件，来实现政务外网区的多云管理平台对互联网区api网关的访问，并成功纳管互联网区的云平台。这样多云管理平台不管是部署在政务外网区还是互联网的都可以实现对访问两个区的api网关的访问，并且成功纳管两个区域的云平台。本发明从技术的角度解决了多云平台在跨区域调用api网关时候的限制，实现了多云管理平台部署在任意一个互连网区和政务外网区中，都能访问政务外网区和互联网区的api网关，进而纳管两个区域的云平台并调用相关的云服务的api接口。
附图说明
43.通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：
44.图1示出本发明一实施例的多云管理平台通过代理软件实现纳管政务云的示意图；
45.图2示出本发明一实施例的多云管理平台通过代理软件实现纳管多个政务云的示意图。
46.附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
47.下面结合附图对本发明作进一步详细描述。
48.在本技术一个典型的配置中，终端、服务网络的设备和可信方均包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
49.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
50.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd
‑
rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
51.本发明提供政务云多区域的纳管方法，所述方法包括：
52.步骤s1，在第一政务云的互连网区和政务外网区中，选择其中一区作为第一区，在所述第一区部署多云管理平台云主机cmp；
53.在此，例如，可以选择第一政务云的互连网区作为第一区，或者，可以选择第一政务云的政务外网区作为第一区；
54.步骤s2，在同一第一政务云的互连网区和政务外网区中，选择除所述第一区之外的一区作为第二区，在所述第二区部署代理软件云主机；
55.具体的，例如，上一步骤中，若选择第一政务云的互连网区作为第一区，则第二区为第一政务云的政务外网区；相反的，上一步骤中，若选择第一政务云的政务外网区作为第一区，则第二区为第一政务云的互连网区；
56.步骤s3，所述第一区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一区的核心交换机、网闸、第二区的核心交换机、代理软件云主机和第二区的api网关，发送至所述第二区的api网关。
57.具体的，标准的政务云规划由政务外网区和互联网区组成，两个区是相互独立、物理隔离的两套云平台环境，为了方便运维一般会部署多云管理平台。多云管理平台以虚拟机的方式部署在其中一个区域(为了安全起见一般部署在政务外网区)，多云管理平台云主机cmp默认使用vpc网络(专有网络，virtual private cloud)。多云管理平台云主机cmp通过政务外网区的vpc网络可以直接访问政务外网区的api网关，但是无法直接访问互联网区
的api(application programming interface，应用程序接口)网关，可以在互联网区部署代理软件云主机，通过代理软件将政务外网区的多云管理平台云主机cmp的访问请求转发到互联网区的api网关来实现纳管互联网区的云平台。
58.代理软件云主机也是以虚拟机的方式部署，使用标准的centos系统安装，计算规格推荐8c16g；多云管理平台云主机cmp在政务外网区，代理软件云主机是互联网区，两个云主机之间通过网闸打通并开发相关端口(80、443端口)，多云管理平台云主机cmp访问互联网区的api网关变成了访问代理软件云主机，通过代理软件主机自动化纳管互联网区云平台，简化了访问流程和提升纳管效率。
59.本发明通过在互联网区部署本方案的代理软件，来实现政务外网区的多云管理平台对互联网区api网关的访问，并成功纳管互联网区的云平台。这样多云管理平台不管是部署在政务外网区还是互联网的都可以实现对访问两个区的api网关的访问，并且成功纳管两个区域的云平台。
60.本发明从技术的角度解决了多云平台在跨区域调用api网关时候的限制，实现了多云管理平台部署在任意一个互连网区和政务外网区中，都能访问政务外网区和互联网区的api网关，进而纳管两个区域的云平台并调用相关的云服务的api接口。
61.本发明的政务云多区域的纳管方法一实施例中，步骤s1，在第一政务云的互连网区和政务外网区中，选择其中一区作为第一区，在所述第一区部署多云管理平台云主机cmp，包括：
62.在第一政务云的互连网区和政务外网区中，选择第一政务云的政务外网区部署多云管理平台云主机cmp；
63.步骤s2，在同一第一政务云的互连网区和政务外网区中，选择除所述第一区之外的一区作为第二区，在所述第二区部署代理软件云主机，包括：
64.在同一第一政务云的互连网区和政务外网区中，选择在第一政务云的互连网区部署代理软件云主机。
65.在此，本发明可以实现多云管理平台对两个区域的同时纳管，当多云管理平台部署在政务外网区可以直接访问政务外网区的api网关实现对政务外网区的纳管；通过在互联网区部署本发明的代理软件实现访问互联网区的api网关进而纳管互联网区的云平台。
66.如图1所示，本发明的政务云多区域的纳管方法一实施例中，步骤s3，所述第一区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一区的核心交换机、网闸、第二区的核心交换机、代理软件云主机和第二区的api网关，发送至所述第二区的api网关，包括：
67.第一政务云的政务外网区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一政务云的政务外网区的核心交换机、网闸、第一政务云的互连网区的核心交换机、代理软件云主机和第一政务云的互连网区的api网关，发送至所述第一政务云的互连网区的api网关。
68.在此，在同一政务云下的多云管理平台纳管互联网区流量走向如下：
69.cmp主机
‑
>vpc路由器
‑
>核心交换机(政务外网区)
‑
>网闸
‑
>核心交换机(互联网区)
‑
>软件
‑
>api网关(互联网区)。
70.如图1所示，本发明的政务云多区域的纳管方法一实施例中，在第一政务云的互连
网区和政务外网区中，选择第一政务云的政务外网区作为第一区，在所述第一区部署多云管理平台云主机cmp之后，还包括：
71.第一政务云的政务外网区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一政务云的政务外网区的api网关，发送至所述第一政务云的政务外网区的api网关。
72.在此，在同一政务云下的多云管理平台纳管政务外网区流量走向如下：
73.cmp主机
‑
>vpc路由器
‑
>api网关(政务外网区)。
74.如图2所示，本发明的政务云多区域的纳管方法一实施例中，在同一第一政务云的互连网区和政务外网区中，选择在第一政务云的互连网区部署代理软件云主机之后，还包括：
75.步骤s4，在第二政务云的互连网区，部署代理软件云主机，建立第二政务云的互连网区与第一政务云的政务外网区之间的第一专线；
76.步骤s5，第一政务云的政务外网区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一政务云的政务外网区的核心交换机、第一专线、第二政务云的互连网区的核心交换机、第二政务云的互连网区的代理软件云主机和第二政务云的互连网区的api网关，发送至所述第二政务云的互连网区的api网关。
77.在此，如图2所示，多政务云的纳管政务云2互联网区流量走向：
78.cmp主机
‑
>vpc路由器
‑
>核心交换机(政务云1政务外网区)
‑
>专线
‑
>核心交换机(政务云2互联网区)
‑
>软件>api网关(政务云2互联网区)。
79.本发明的政务云多区域的纳管方法一实施例中，在同一第一政务云的互连网区和政务外网区中，选择在第一政务云的互连网区部署代理软件云主机之后，还包括：
80.步骤s4，在第二政务云的政务外网区，部署代理软件云主机，建立第二政务云的政务外网区与第一政务云的政务外网区之间的第二专线；
81.步骤s5，第一政务云的政务外网区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一政务云的政务外网区的核心交换机、第二专线、第二政务云的政务外网区的核心交换机、第二政务云的政务外网区的代理软件云主机和第二政务云的政务外网区的api网关，发送至所述第二政务云的政务外网区的api网关。
82.在此，多云管理平台纳管多个政务云的场景中，本同样适用。具体实现方式如下：
83.多云管理平台纳管多个政务云的场景中，可以通过代理软件实现自动化纳管多个政务云中多个区域的云平台。可以把多云管理平台部署到其中一个区域的政务外网区，在其他的区域中都部署一套代理软件，cmp访问相同政务云的互联网区的软件可以通过网闸打通，访问不同政务云的互联网区和政务外网区的软件可以通过专线链路走路由打通，网络打通后cmp访问对应区域的代理软件来实现访问对应区域的api网关，最终实现cmp纳管多个政务云环境。
84.如图2所示，多政务云的纳管政务网2政务外网区流量走向：
85.cmp主机
‑
>vpc路由器
‑
>核心交换机(政务云1政务外网区)
‑
>专线
‑
>核心交换机(政务云2政务外网区)
‑
>第二政务云的政务外网区的代理软件>api网关(政务云2政务外网区)。
86.另外，如图2所示，多政务云的纳管政务网1政务外网区流量走向，如下：
87.cmp主机
‑
>vpc路由器
‑
>api网关(政务云1政务外网区)。
88.如图2所示，多政务云的纳管政务云1互联网区流量走向，如下：
89.cmp主机
‑
>vpc路由器
‑
>核心交换机(政务云1政务外网区)
‑
>网闸
‑
>核心交换机(政务云1互联网区)
‑
>软件
‑
>api网关(政务云1互联网区)。
90.本发明的政务云多区域的纳管方法一实施例中，步骤s1，在第一政务云的互连网区和政务外网区中，选择其中一区作为第一区，在所述第一区部署多云管理平台云主机cmp，包括：
91.在第一政务云的互连网区和政务外网区中，选择在第一政务云的互连网区部署多云管理平台云主机cmp；
92.步骤s2，在同一第一政务云的互连网区和政务外网区中，选择除所述第一区之外的一区作为第二区，在所述第二区部署代理软件云主机，包括：
93.在同一第一政务云的互连网区和政务外网区中，选择在第一政务云的政务外网区部署代理软件云主机。
94.在此，本发明可以实现多云管理平台对两个区域的同时纳管，当多云管理平台部署在互联网区可以直接访问互联网区的api网关实现对互联网区的纳管；另外，互联网区通过在政务外网区部署本发明的代理软件实现访问政务外网区的api网关进而纳管政务外网区的云平台。
95.根据本发明的另一面，还提供一种政务云多区域的纳管设备，其中，该设备包括：
96.第一装置，用于在第一政务云的互连网区和政务外网区中，选择其中一区作为第一区，在所述第一区部署多云管理平台云主机；
97.第二装置，用于在同一第一政务云的互连网区和政务外网区中，选择除所述第一区之外的一区作为第二区，在所述第二区部署代理软件云主机；
98.第三装置，用于供所述第一区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一区的核心交换机、网闸、第二区的核心交换机、代理软件云主机和第二区的api网关，发送至所述第二区的api网关。
99.根据本发明的另一面，还提供一种基于计算的设备，其中，包括：
100.处理器；以及
101.被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：
102.在第一政务云的互连网区和政务外网区中，选择其中一区作为第一区，在所述第一区部署多云管理平台云主机；
103.在同一第一政务云的互连网区和政务外网区中，选择除所述第一区之外的一区作为第二区，在所述第二区部署代理软件云主机；
104.所述第一区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一区的核心交换机、网闸、第二区的核心交换机、代理软件云主机和第二区的api网关，发送至所述第二区的api网关。
105.根据本发明的另一面，还提供一种计算机可读存储介质，其上存储有计算机可执行指令，其中，该计算机可执行指令被处理器执行时使得该处理器：
106.在第一政务云的互连网区和政务外网区中，选择其中一区作为第一区，在所述第
一区部署多云管理平台云主机；
107.在同一第一政务云的互连网区和政务外网区中，选择除所述第一区之外的一区作为第二区，在所述第二区部署代理软件云主机；
108.所述第一区的多云管理平台云主机cmp将访问请求，依次通过vpc路由器、第一区的核心交换机、网闸、第二区的核心交换机、代理软件云主机和第二区的api网关，发送至所述第二区的api网关。
109.本发明的各设备和存储介质实施例的详细内容，具体可参见各方法实施例的对应部分，在此，不再赘述。
110.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。
111.需要注意的是，本发明可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用集成电路(asic)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中，本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地，本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，ram存储器，磁或光驱动器或软磁盘及类似设备。另外，本发明的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。
112.另外，本发明的一部分可被应用为计算机程序产品，例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令，可能被存储在固定的或可移动的记录介质中，和/或通过广播或其他信号承载媒体中的数据流而被传输，和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此，根据本发明的一个实施例包括一个装置，该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。
113.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。