一种跨区域网络远程主机访问方法及系统与流程

1.本发明涉及互联网技术领域，特别是涉及一种跨区域网络远程主机访问方法及系统。


背景技术：

2.目前，很多公司都因业务需要，在多地建设区域网络，各种业务系统的服务，分散在各个区域的私有网络中。而多区域网络的存在，带来了跨区域服务的可达性问题。在跨公网环境的区域网络远程服务访问的可达性问题上，通常采用的方法包括以下三种情况：1、服务直接部署在公网环境；2、机房之间建设运营商专线来物理打通服务通道；3、采用虚拟专用网络技术将多个区域的机房虚拟化为一个大的内网。
3.上述三种采用的方法具有以下问题：1、服务直接部署在公网环境下，需要由专业的安全团队负责服务的运维安全；2、采用专线打通或者虚拟专用网络的方式，除了前期建设的成本较大之外，后期的维护成本也不容忽视；3、在大网络互通的环境下，给安全管理也带来了更大的压力和管理成本。
4.因此，有必要提供一种跨区域网络远程主机访问方法及系统，能够解决上述问题。


技术实现要素：

5.本发明针对现有技术存在的问题和不足，提供一种跨区域网络远程主机访问系统及方法，按需创建远程服务通道，在不需要访问远程服务时，及时关闭远程服务通道，保障远程主机的安全访问。
6.本发明是通过下述技术方案来解决上述技术问题的：
7.本发明提供一种跨区域网络远程主机访问系统，所述系统包括：
8.远程服务可达性管理模块，其用于维护用户列表、用户权限信息、远程服务注册、远程服务验证信息，所述远程服务可达性管理模块还用于创建远程服务通道的请求指令、连接远程服务资源；
9.远程服务代理控制模块，其用于监听远程服务通道管理模块的连接请求，接收所述远程服务可达性管理模块下达的所述创建远程服务通道的请求指令，并将所述创建远程服务通道的请求指令下达给所述远程服务通道管理模块；
10.所述远程服务通道管理模块用于通知远程服务通道连接模块建立远程服务通道受理模块和远程服务资源的所述远程服务通道，所述远程服务通道管理模块还用于监视所述远程服务通道的状态；
11.远程服务通道受理模块，其用于接收远程服务通道连接模块的服务通道建立请求，将建立的所述远程服务通道提供给所述远程服务可达性管理模块访问；
12.其中，所述远程服务代理控制模块、所述远程服务通道受理模块位于公有网络中，所述远程服务可达性管理模块、所述远程服务通道管理模块和所述远程服务通道连接模块位于私有网络中。
13.优选地，所述远程服务通道管理模块与所述远程服务代理控制模块之间的连接、所述远程服务通道连接模块与所述远程服务通道受理模块之间的所述远程服务通道，采用传输层安全协议进行加密，以加强所述远程服务通道在公共网络上的通信安全。
14.优选地，所述系统包括第一远程服务区域，所述第一远程服务区域包括第一远程服务通道管理模块和第一远程服务通道连接模块，以及第一远程服务资源群组；
15.所述系统包括第二远程服务区域，所述第二远程服务区域包括第二、第三远程服务通道管理模块和第二、第三远程服务通道连接模块，以及第二远程服务资源群组；
16.所述第一远程服务代理控制模块和所述第一远程服务通道管理模块进行一对一部署；
17.所述第二、第三远程服务代理控制模块和所述第二、第三远程服务通道管理模块分别进行一对一部署。
18.优选地，所述监视所述远程服务通道的状态包括：当所述远程服务通道存在时间超过第一预设时间时，销毁所述远程服务通道。
19.优选地，所述监视所述远程服务通道的状态包括：当所述远程服务通道闲置时间超过第二预设时间时，且当所述远程服务通道接收最后一条入指令或出流量超过第三预设时间时，销毁所述远程服务通道。
20.优选地，所述监视所述远程服务通道的状态包括：在第一次建立所述远程服务通道后，每隔预设时间监视所述远程服务通道的存活情况，当发现所述远程服务通道无法正常访问后，则重建所述远程服务通道。
21.优选地，所述监视所述远程服务通道的状态包括：监视所述远程服务通道的监控指标，当所述监控指标超过第一阈值时触发第一警告，当所述监控指标超过第二阈值时触发第二警告，所述监控指标包括带宽使用率、内存使用率以及中央处理器平均使用率。
22.优选地，当所述远程服务通道关联的其中一个远程服务资源触发第一警告时，将无法对该远程服务资源分配新的远程服务通道；
23.优选地，当所述远程服务通道关联的所有远程服务资源都已触发第一警告时，或所述远程服务通道关联的其中一个远程服务资源触发第二警告时，则对所述远程服务可达性管理系统发送提醒以进行扩展资源配置。
24.本发明还提供一种适用于上述系统的跨区域网络远程主机访问方法，所述方法包括：
25.当所述远程服务通道存在时间超过第一预设时间时，销毁所述远程服务通道；
26.当所述远程服务通道闲置时间超过第二预设时间时，且当所述远程服务通道接收最后一条入指令或出流量超过第三预设时间时，销毁所述远程服务通道；
27.在第一次建立所述远程服务通道后，每隔预设时间监视所述远程服务通道的存活情况，当发现所述远程服务通道无法正常访问后，则重建所述远程服务通道；
28.监视所述远程服务通道的监控指标，当所述监控指标超过第一阈值时触发第一警告，当所述监控指标超过第二阈值时触发第二警告，所述监控指标包括带宽使用率、内存使用率以及中央处理器平均使用率。
29.与现有技术相比，本发明实施例的技术方案具有以下有益效果：
30.本发明实施例提供的跨区域网络远程主机访问系统及方法，由于将远程服务代理
控制模块、远程服务通道受理模块设置于公有网络中，将远程服务可达性管理模块、远程服务通道管理模块和所述远程服务通道连接模块设置于私有网络中，从而实现远程主机的安全访问；
31.进一步地，所述远程服务通道管理模块与所述远程服务代理控制模块之间的连接、所述远程服务通道连接模块与所述远程服务通道受理模块之间的所述远程服务通道，采用传输层安全协议进行加密，从而更进一步加强所述远程服务通道在公共网络上的通信安全；
32.进一步地，当所述远程服务通道存在时间超过第一预设时间时，销毁所述远程服务通道，当所述远程服务通道闲置时间超过第二预设时间时，且当所述远程服务通道接收最后一条入指令或出流量超过第三预设时间时，销毁所述远程服务通道；在第一次建立所述远程服务通道后，每隔预设时间监视所述远程服务通道的存活情况，当发现所述远程服务通道无法正常访问后，则重建所述远程服务通道，从而实现按需创建远程服务通道，在不需要访问远程服务时，及时关闭远程服务通道，保障远程主机的安全访问；
33.进一步地，监视所述远程服务通道的监控指标，当所述监控指标超过第一阈值时触发第一警告，当所述监控指标超过第二阈值时触发第二警告，所述远程服务通道关联的其中一个远程服务资源触发第一警告时，将无法对该远程服务资源分配新的远程服务通道；当所述远程服务通道关联的所有远程服务资源都已触发第一警告时，或所述远程服务通道关联的其中一个远程服务资源触发第二警告时，则对所述远程服务可达性管理系统发送提醒以进行扩展资源配置，从而保障远程主机有效访问远程服务资源，提高访问效率。
附图说明
34.图1为本发明一个实施例提供的一种跨区域网络远程主机访问系统的模块示意图；
35.图2为本发明另一个实施例提供的一种跨区域网络远程主机访问系统的模块示意图；
36.图3为本发明的一个实施例提供的一种跨区域网络远程主机访问方法的流程示意图。
具体实施方式
37.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
38.下面以具体的实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。
39.基于现有技术存在的问题，如图1所示，本发明提供一种跨区域网络远程主机访问系统，所述系统包括：
40.远程服务可达性管理模块11，其用于维护用户列表、用户权限信息、远程服务注册、远程服务验证信息，所述远程服务可达性管理模块还用于创建远程服务通道的请求指
令、连接远程服务资源；
41.远程服务代理控制模块12，其用于监听远程服务通道管理模块14的连接请求，接收所述远程服务可达性管理模块11下达的所述创建远程服务通道的请求指令，并将所述创建远程服务通道的请求指令下达给所述远程服务通道管理模块14；
42.所述远程服务通道管理模块14用于通知远程服务通道连接模块15建立远程服务通道受理模块13和远程服务资源的所述远程服务通道，所述远程服务通道管理模块14还用于监视所述远程服务通道的状态；
43.远程服务通道受理模块13，其用于接收远程服务通道连接模块15的服务通道建立请求，将建立的所述远程服务通道提供给所述远程服务可达性管理模块11访问；
44.其中，所述远程服务代理控制模块12、所述远程服务通道受理模块13位于公有网络中，所述远程服务可达性管理模块11、所述远程服务通道管理模块14和所述远程服务通道连接模块15位于私有网络中。
45.在具体实施中，远程服务代理控制模块12、远程服务通道受理模块13处于公共接口人的地位，远程服务代理控制模块12受理远程服务可达性管理模块11、远程服务通道管理模块14的连接；远程服务通道受理模块13受理远程服务可达性管理模块11以及远程服务通道连接模块15的连接。远程服务可达性管理模块11可以位于服务使用方网络，供用户访问使用。远程服务通道管理模块14和远程服务通道连接模块15则因采用主动式访问方法，不需要对外开放访问权限，仅需要自身对外访问的权限。因此，远程服务可达性管理模块11、远程服务通道管理模块14和远程服务通道连接模块15均可以私有部署，远程服务代理控制模块12、远程服务通道受理模块13位于公有网络中仅针对有限且明确的访问对象，整体环境安全可控。
46.在具体实施中，所述远程服务通道管理模块14与所述远程服务代理控制模块12之间的连接、所述远程服务通道连接模块15与所述远程服务通道受理模块13之间的所述远程服务通道，采用传输层安全协议进行加密，以加强所述远程服务通道在公共网络上的通信安全。具体地，传输层安全协议可以是tls v1.3，但不限于该安全协议，本领域技术人员可以根据需要采用其它传输层安全协议进行加密。
47.远程服务通道为按运维管理需要维持通道的存活，可以选择按超时时间、或者按通道无指令闲置时间撤销通道等方式，建立临时性的远程服务访问通道，避免需要长时间维护不必要的远程服务通道造成对远程服务资源的浪费，也能减少因大量远程服务通道存在而衍生的安全风险；或者针对访问频率较高的远程服务，创建需长期存在、由系统进行通道保活的持续性远程服务通道。
48.在具体实施中，所述监视所述远程服务通道的状态包括：当所述远程服务通道存在时间超过第一预设时间时，销毁所述远程服务通道。
49.具体地，第一预设时间可以由本领域技术人员根据需求进行设置，例如设置第一预设时间为3600秒，以远程服务通道建立时间为开始，当远程服务通道存在时间超过3600秒后，不论当前远程服务通道是否存在入指令及出流量，则将该远程服务通道销毁。
50.在具体实施中，所述监视所述远程服务通道的状态包括：当所述远程服务通道闲置时间超过第二预设时间时，且当所述远程服务通道接收最后一条入指令或出流量超过第三预设时间时，销毁所述远程服务通道。
51.具体地，第二预设时间和第三预设时间可以由本领域技术人员根据需求进行设置，例如当所述远程服务通道闲置时间超过第二预设时间300秒时，且当所述远程服务通道接收最后一条入指令或出流量超过第三预设时间300秒时，销毁所述远程服务通道。
52.在具体实施中，所述监视所述远程服务通道的状态包括：在第一次建立所述远程服务通道后，每隔预设时间监视所述远程服务通道的存活情况，当发现所述远程服务通道无法正常访问后，则重建所述远程服务通道。
53.具体地，预设时间可以由本领域技术人员根据需求进行设置，例如在第一次建立所述远程服务通道后，每隔60秒监视所述远程服务通道的存活情况，当发现所述远程服务通道无法正常访问后，则重建所述远程服务通道。
54.一个远程服务，对于按超时时间、按通道无指令闲置时间保活的通道，通道数量按服务访问和远程服务资源情况而定，在服务访问时，远程服务通道数量最少为一个，最多为与远程服务配置绑定的远程服务代理控制模块12的数量相同；对于需要长期保活的远程服务通道，按系统配置的数量来管理，最多不能超过与远程服务相关联的远程服务代理控制模块12的数量。
55.在具体实施中，所述监视所述远程服务通道的状态包括：监视所述远程服务通道的监控指标，当所述监控指标超过第一阈值时触发第一警告，当所述监控指标超过第二阈值时触发第二警告，所述监控指标包括带宽使用率、内存使用率以及中央处理器平均使用率。
56.具体地，第一阈值、第二阈值可以由本领域技术人员根据需求进行设置，例如带宽使用率、内存使用率以及中央处理器平均使用率这三个监控指标中任何一条到达百分之八十，则触发第一警告黄色告警；任一指标到达百分之九十，则触发第二警告红色告警。
57.远程服务通道与通道之间不进行物理隔离，共同使用相同载体的远程服务资源。对远程服务资源使用情况进行监控，并根据配置情况进行告警，告警分为第一警告黄色警告和第二警告红色警告。
58.在具体实施中，当所述远程服务通道关联的其中一个远程服务资源触发第一警告时，将无法对该远程服务资源分配新的远程服务通道。
59.在具体实施中，当所述远程服务通道关联的所有远程服务资源都已触发第一警告时，或所述远程服务通道关联的其中一个远程服务资源触发第二警告时，则对所述远程服务可达性管理系统发送提醒以进行扩展资源配置。
60.基于现有技术存在的问题，如图2所示，本发明还提供一种跨区域网络远程主机访问系统，所述系统包括：
61.远程服务可达性管理模块21，其用于维护用户列表、用户权限信息、远程服务注册、远程服务验证信息，所述远程服务可达性管理模块还用于创建远程服务通道的请求指令、连接远程服务资源；
62.远程服务代理控制模块221、241、261，其分别用于监听远程服务通道管理模块222、242、262的连接请求，接收所述远程服务可达性管理模块21下达的所述创建远程服务通道的请求指令，并将所述创建远程服务通道的请求指令分别下达给所述远程服务通道管理模块222、242、262；
63.所述远程服务通道管理模块222、242、262分别用于通知远程服务通道连接模块
232、252、272建立远程服务通道受理模块231、251、271和远程服务资源的所述远程服务通道，所述远程服务通道管理模块222、242、262还用于监视所述远程服务通道的状态；
64.远程服务通道受理模块231、251、271，其分别用于接收远程服务通道连接模块232、252、272的服务通道建立请求，将建立的所述远程服务通道提供给所述远程服务可达性管理模块21访问；
65.其中，所述远程服务代理控制模块221、241、261、所述远程服务通道受理模块231、251、271位于公有网络中，所述远程服务可达性管理模块21、所述远程服务通道管理模块222、242、262和所述远程服务通道连接模块232、252、272位于私有网络中。
66.在具体实施中，所述系统包括第一远程服务区域，所述第一远程服务区域包括第一远程服务通道管理模块222和第一远程服务通道连接模块232，以及第一远程服务资源群组2321、2322、2323；所述系统包括第二远程服务区域，所述第二远程服务区域包括第二远程服务通道管理模块242、第三远程服务通道管理模块262和第二远程服务通道连接模块252、第三远程服务通道连接模块272，以及第二远程服务资源群组2521、2522、2523；所述第一远程服务代理控制模块221和所述第一远程服务通道管理模块222进行一对一部署；所述第二远程服务代理控制模块241、第三远程服务代理控制模块261和所述第二远程服务通道管理模块242、第三远程服务通道管理模块262分别进行一对一部署。
67.在具体实施中，系统包括了第一远程服务区域、第二远程服务区域，但并不局限为两个远程服务区域，本领域技术人员可以根据需要，系统还可以包括第三远程服务区域，第四远程服务区域，以及更多个远程服务区域。远程服务代理控制模块和远程服务通道管理模块也可以根据需要进行更多个一对一部署，第一远程服务资源群组2321、2322、2323以及第二远程服务资源群组2521、2522、2523也可以根据需要设置更多个，在此不再赘述。
68.基于现有技术存在的问题，如图3所示，本发明还提供一种适用于上述系统的跨区域网络远程主机访问方法，所述方法包括：
69.步骤s101：当所述远程服务通道存在时间超过第一预设时间时，销毁所述远程服务通道；
70.步骤s102：当所述远程服务通道存在时间超过第二预设时间时，且当所述远程服务通道接收最后一条入指令或出流量超过第三预设时间时，销毁所述远程服务通道；
71.步骤s103：在第一次建立所述远程服务通道后，每隔预设时间监视所述远程服务通道的存活情况，当发现所述远程服务通道无法正常访问后，则重建所述远程服务通道；
72.步骤s104：监视所述远程服务通道的监控指标，当所述监控指标超过第一阈值时触发第一警告，当所述监控指标超过第二阈值时触发第二警告，所述监控指标包括带宽使用率、内存使用率以及中央处理器平均使用率。
73.综上所述，本发明实施例提供的跨区域网络远程主机访问系统及方法，由于将远程服务代理控制模块、远程服务通道受理模块设置于公有网络中，将远程服务可达性管理模块、远程服务通道管理模块和所述远程服务通道连接模块设置于私有网络中，从而实现远程主机的安全访问；
74.进一步地，所述远程服务通道管理模块与所述远程服务代理控制模块之间的连接、所述远程服务通道连接模块与所述远程服务通道受理模块之间的所述远程服务通道，采用传输层安全协议进行加密，从而更进一步加强所述远程服务通道在公共网络上的通信
安全；
75.进一步地，当所述远程服务通道存在时间超过第一预设时间时，销毁所述远程服务通道，当所述远程服务通道存在时间超过第二预设时间时，且当所述远程服务通道接收最后一条入指令或出流量超过第三预设时间时，销毁所述远程服务通道；在第一次建立所述远程服务通道后，每隔预设时间监视所述远程服务通道的存活情况，当发现所述远程服务通道无法正常访问后，则重建所述远程服务通道，从而实现按需创建远程服务通道，在不需要访问远程服务时，及时关闭远程服务通道，保障远程主机的安全访问；
76.进一步地，监视所述远程服务通道的监控指标，当所述监控指标超过第一阈值时触发第一警告，当所述监控指标超过第二阈值时触发第二警告，所述远程服务通道关联的其中一个远程服务资源触发第一警告时，将无法对该远程服务资源分配新的远程服务通道；当所述远程服务通道关联的所有远程服务资源都已触发第一警告时，或所述远程服务通道关联的其中一个远程服务资源触发第二警告时，则对所述远程服务可达性管理系统发送提醒以进行扩展资源配置，从而保障远程主机有效访问远程服务资源，提高访问效率。
77.最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。