一种残膜回收机防缠绕挑膜装置的制 一种秧草收获机用电力驱动行走机构

云平台的网络通信管理方法、装置、设备及存储介质与流程

2023-02-02 00:41:19 来源:中国专利 TAG:
1.本发明涉及计算机
技术领域
:,尤其涉及一种云平台的网络通信管理方法、系统、电子设备及存储介质。
背景技术
::2.云平台基于硬件资源和软件资源的服务,可以提供计算、网络和存储能力。针对云平台上的云主机,当用户需要使用安全产品时,可以将安全实例加入到用户自己的vpc网络中。一个安全实例可以在运行期间加入到多个网络中,因此安全实例里面就会动态地存在多张网卡,此时需要对这些网卡进行网络管理。3.目前,操作系统默认的网络管理软件能做到dhcp自动分配,但是各网卡对应的高级网络配置依赖定制化去实现,多网卡的情况下去单纯地使用默认的基于dhcp网络管理软件为网卡分配ip地址很容易导致路由冲突,从而引起网络问题。技术实现要素:4.本发明提供了一种云平台的网络通信管理方法、系统、电子设备及存储介质。可以对不同云主机的不同通信场景信息产生的需求,提供精准有效的网络服务。5.第一方面,本公开实施例提供了一种云平台的网络通信管理方法,应用于云平台上网络管理设备,该方法包括:6.针对云平台上任一云主机,将云主机作为待管理主机,确定待管理主机当前具备的目标通信场景信息;7.根据预先配置的通信管理配置文件,确定目标通信场景信息匹配的当前管理配置信息;8.根据当前管理配置信息,结合待管理主机的通信属性信息,对待管理主机的通信网络进行路由配置,获得路由配置信息,以使待管理主机在目标通信场景下基于路由配置信息进行网络通信。9.第二方面,本公开实施例提供了一种云平台的网络通信管理装置,包括:10.第一确定模块,用于针对云平台上任一云主机,将云主机作为待管理主机,确定待管理主机当前具备的目标通信场景信息;11.第二确定模块,用于根据预先配置的通信管理配置文件,确定目标通信场景信息匹配的当前管理配置信息;12.第一获取模块,用于根据当前管理配置信息,结合待管理主机的通信属性信息,对待管理主机的通信网络进行路由配置,获得路由配置信息,以使待管理主机在目标通信场景下基于路由配置信息进行网络通信。13.第三方面,本公开实施例提供了一种电子设备,包括:14.至少一个处理器;以及15.与至少一个处理器通信连接的存储器;其中,16.存储器存储有可被至少一个处理器执行的计算机程序,计算机程序被至少一个处理器执行,以使至少一个处理器能够执行任意实施例提供的云平台的网络通信管理方法。17.第四方面,本公开实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,计算机指令用于使处理器执行时实现任意实施例提供的云平台的网络通信管理方法。18.本发明实施例提供的一种云平台的网络通信管理方法、装置、设备及存储介质,通过针对云平台上任一云主机,将云主机作为待管理主机,确定待管理主机当前具备的目标通信场景信息;根据预先配置的通信管理配置文件,确定目标通信场景信息匹配的当前管理配置信息;根据当前管理配置信息,结合待管理主机的通信属性信息,对待管理主机的通信网络进行路由配置,获得路由配置信息,以使待管理主机在目标通信场景下基于路由配置信息进行网络通信。通过采用上述技术方案,预先配置通信管理配置文件,提高了网络通信服务的效率。根据各通信场景信息对应的管理配置信息,结合主机属性配置路由,可以针对不同云主机的不同目标通信场景信息,提供精准有效的网络服务。上述技术方案,提高了通信通道确定的有效性,实现网络通信的精准管理。19.应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。附图说明20.为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。21.图1是本发明实施例一提供的一种云平台的网络通信管理方法的流程图;22.图2是本发明实施例二提供的一种云平台的网络通信管理方法的流程图;23.图3是本发明实施例二所提供云平台的网络通信管理方法中云主机与业务虚拟主机之间的拓扑通信示例图;24.图4是本发明实施例三提供的一种云平台的网络通信管理装置的结构示意图;25.图5是本发明实施例四提供的一种电子设备的结构示意图。具体实施方式26.为了使本
技术领域
:的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。27.需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”和“目标”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。28.实施例一29.图1是本发明实施例一提供的一种云平台的网络通信管理方法的流程图,本实施例可适用于对云平台不同主机的网络通信服务进行配置管理的情形,该方法可以由云平台的网络通信管理装置来执行,该装置可以采用硬件和/或软件的形式实现。30.如图1所示,该方法包括:31.s101、针对云平台上任一云主机,将云主机作为待管理主机,确定待管理主机当前具备的目标通信场景信息。32.在本实施例中,云平台可以是一种云计算平台,具体可以理解为基于硬件资源和软件资源的服务,提供计算、网络和存储能力的虚拟平台。可以面向用户提供公用化的互联网基础设施服务。云平台可以包括:以数据存储为主的存储型云平台,以数据处理为主的计算型云平台以及计算和数据存储处理兼顾的综合云计算平台。33.云主机(cloudhost)可以理解为一种利用虚拟化技术构建的服务器,是云计算在基础设施应用上的重要组成部分,整合了计算、存储与网络资源的it(internettechnology,互联网技术)基础设施能力租用服务,能提供基于云计算模式的按需使用和按需付费能力的服务器租用服务,可以自由定制资源利用。34.待管理主机可以理解为云平台上的未进行网络管理的云主机。35.目标通信场景信息可以理解为待管理主机针对目标通信设备进行通信的场景信息。36.具体的,针对云平台上安全资源池中任一云主机,将该云主机确定为待管理主机,并确定待管理主机当前具备的与目标通信设备之间的目标通信场景信息。37.示例性的,目标通信场景信息可以包括安全产品等的通信场景信息,安全产品例如可以至少包括waf(webapplicationfirewall,网络应用防火墙)或安全日志服务等。38.s102、根据预先配置的通信管理配置文件,确定目标通信场景信息匹配的当前管理配置信息。39.在本实施例中,通信管理配置文件可以理解为存储通信所需的管理配置信息的文件。当前管理配置信息可以理解为当前待管理主机在确定目标通信场景后输入并存储的指令信息。40.具体的,在待管理主机内预先配置通信管理配置文件,该管理配置文件可以满足多种通信场景,在确定待管理设备的目标通信场景后,直接查找预先配置的通信管理配置文件,基于目标通信场景信息确定与该场景信息所对应的当前管理配置信息。41.s103、根据当前管理配置信息,结合待管理主机的通信属性信息,对待管理主机的通信网络进行路由配置,获得路由配置信息,以使待管理主机在目标通信场景下基于路由配置信息进行网络通信。42.在本实施例中,通信属性信息可以理解为用于实现设备间互联通信的硬件的属性信息。通信网络可以是将各个孤立的终端进行物理连接,实现终端之间信息交换,达到资源共享和通信的目的的数据链路。路由配置可以理解为对网络路由进行配置,可以包括数据包流向的地址等配置。路由配置信息可以理解为对待管理主机通信网络路由配置的内容信息。具体路由配置信息可以根据不同的通信场景进行不同的配置,用户可以通过查询待管理主机通信网络的路由表显示路由配置信息。43.具体的,基于预先配置的通信管理配置文件,根据待管理主机的目标通信场景信息确定对应的管理配置信息,结合待管理主机的通信属性信息,对待管理主机的各个通信网络进行路由配置,并确定各路由配置信息。基于通信网络的路由配置信息,待管理主机可以在目标通信场景下基于该路由配置信息实现网络通信。44.在本实施例中,通过针对云平台上任一云主机,将云主机作为待管理主机,确定待管理主机当前具备的目标通信场景信息;根据预先配置的通信管理配置文件,确定目标通信场景信息匹配的当前管理配置信息;根据当前管理配置信息,结合待管理主机的通信属性信息,对待管理主机的通信网络进行路由配置,获得路由配置信息,以使待管理主机在目标通信场景下基于路由配置信息进行网络通信。通过采用上述技术方案,预先配置通信管理配置文件,提高了网络通信管理的效率。根据各通信场景信息对应的管理配置信息,结合主机属性配置路由,可以针对不同云主机的不同通信场景信息,提供精准有效的网络服务。上述技术方案,提高了通信通道确定的有效性,实现网络通信的精准管理。45.作为实施例的第一可选实施例,在上述实施例基础上,本第一可选实施例还优化增加了:对待管理主机进行所配备网卡的探测,将获得的网卡信息作为通信属性信息。46.在本实施例中,网卡可以是一块被设计用来允许云主机在云计算网络上进行通信的计算机硬件,可以通过电缆或无线相互连接。每一个网卡都有一个被称为mac(mediaaccesscontroladdress,媒体存取控制位址)地址的独一无二的48位串行号,它被写在网卡上的一块rom(read-onlymemory,只读存储器)中。在通信网络上的每一个网卡都拥有一个独一无二的mac地址。网卡信息可以理解为网卡的配置信息,可以包括网卡型号等硬件信息以及网络配置信息。47.具体的,云主机的网卡可以是热插拨性质的,能够随时加入或离开私有网络。基于云平台上的待管理主机,可以根据网卡自动发现的方法实现对待管理主机配备网卡的探测。例如可以根据定期检查逻辑探测网卡信息,或基于操作系统自带的硬件设备发现机制探测网卡并获得网卡信息。将获得的网卡信息作为通信属性信息。48.示例性的,定期检查逻辑,可以基于固定期限的时间间隔去探测网卡的新增或移除情况,在linux下可以通过查询内核态的存储文件夹“/sys/class/net/”确定网卡的增减情况;操作系统自带的硬件设备发现机制,可以是在linux下基于udev规则来触发网卡管理脚本,基于udev规则的配置中add或remove确定网卡的新增或移除事件,若事件为新增,可以对网卡采用run =赋值,将特定脚本赋值给新增的网卡,并对新增的网卡执行对应的脚本来使用这张网卡。49.在本可选实施例中,通过对待管理主机进行所配备网卡的探测,将获得的网卡信息作为通信属性信息。采用上述技术方案,可以有效监控网卡的增减情况等变化信息,并将变化网卡的网卡信息确定为待管理主机的通信属性信息,为进行网络通信奠定良好的信息基础。上述技术方案,有效减少了网络通信中通信属性信息的变化出现时滞性问题,保证了网络通信连接的正确性。50.作为实施例的第二可选实施例,在上述实施例基础上,本第二可选实施例还优化增加了:根据安全资源池中包括的各安全实例,确定包含至少一个二元关系组的通信管理配置文件,二元关系组中为通信场景信息与管理配置信息的配对。51.在本实施例中,云平台上的安全资源池有许多安全实例。安全资源池可以理解为一种安全实例集合的管理方法,可以管理存在各种安全引擎的安全实例。安全实例可以理解为是一台安装了安全软件引擎的虚拟机(vm,virtualmachine)或云主机,安全软件引擎例如可以是waf,ngfw(nextgenerationfirewall,下一代防火墙)等。二元关系组可以理解为存在配对关系的两组数据信息所组成的配对关系组。可以基于已知信息,在二元关系组中通过查表查找该信息的配对信息。52.具体的,通信管理配置文件中包含至少一个二元关系组,二元关系组可以是通信场景信息与管理配置信息的配对关系组。在网络通信中,可以基于通信管理配置文件中每一个二元关系组中的通信场景信息,确定与之相对应的管理配置信息。53.进一步的,根据安全资源池中包括的各安全实例,确定包含至少一个二元关系组的通信管理配置文件,可以包括:54.a1)获取存储于安全资源池中的各安全实例。55.在本实施例中,安全池中存储有很多安全实例,首先获取各安全实例,并确定获取到的各安全实例的种类。56.b1)通过对各所述安全实例的分析,确定相关联的通信场景信息。57.在本实施例中,根据安全实例的种类,确定安全实例内安装的安全软件引擎,并确定安全实例运行中所涉及的通信场景信息类型。58.c1)接收相对各所述通信场景信息配置的管理配置信息。59.在本实施例中,每个通信场景信息都存在该通信场景信息所对应配置的管理配置信息,基于各通信场景信息,接收该通信场景信息配置的管理配置信息。60.d1)以通信场景信息及对应的管理配置信息构成二元关系组,形成包含各所述二元关系组的通信管理配置文件。61.在本实施例中,基于上述接收到的相对于各通信场景信息配置的管理配置信息,以及各通信场景信息,将每一对存在对应配置关系的通信场景信息和管理配置信息构建二元关系组,并基于各个存在对应配置关系的二元关系组,形成通信管理配置文件。62.在本可选实施例中,获取存储于安全资源池中的各安全实例,通过对各安全实例的分析,确定相关联的通信场景信息,接收相对各通信场景信息配置的管理配置信息,以通信场景信息及对应的管理配置信息构成二元关系组,形成包含各二元关系组的通信管理配置文件。上述技术方案中,确定了预先配置的通信管理配置文件内容,在通信管理配置文件中存在目标通信场景与管理配置信息的二元关系组,可以直接基于各二元关系组中的对应关系,确定待管理主机的目标通信场景所对应的管理配置信息,无需通过复杂的步骤去确定待管理主机对应的当前管理配置信息。有效提高了云计算网络通信的管理效率。63.实施例二64.图2是本发明实施例一提供的一种云平台的网络通信管理方法的流程图,本实施例对上述任一实施例产生进一步优化。本实施例可适用于对云平台不同主机的网络通信服务进行配置管理的情形,该方法可以由云平台的网络通信管理装置来执行,该装置可以采用硬件和/或软件的形式实现。65.如图2所示,该方法包括:66.s201、针对云平台上任一云主机,将云主机作为待管理主机。67.s202、确定待管理主机当前运行的目标安全实例,确定目标安全实例运行中所涉及各通信网络类型下通信网络对应的通信需求。68.目标安全实例可以理解为当前作为待管理主机的云主机内运行的安全实例。通信网络类型可以理解为通信网络的类型。通信需求可以理解为目标安全实例中通信网络进行通信所需的要求。69.示例性的,通信网络可以包括管理通信网络与业务通信网络等网络类型。基于通信网络类型为管理通信网络的通信网络,对应的通信需求可以至少包括单点登录、ssh(secureshell,安全外壳协议)访问、激活和下发证书给安全引擎等。基于通信网络类型为业务通信网络的通信网络,对应的通信需求可以至少包括接收外部推送的数据信息的。70.具体的,将待管理主机当前运行的安全实例确定为目标安全实例,基于目标安全实例运行中所涉及到的通信网络类型,确定该类型的通信网络对应的通信需求。例如可以基于目标安全实例运行的管理通信网络确定管理通信网络的通信需求为单点登录,以及基于目标安全实例运行的业务通信网络确定业务通信网络的通信需求为接收外部推送的日志数据等,本实施例对此不进行限制。71.s203、基于各通信需求,确定待管理主机当前具备的目标通信场景信息。72.在本实施例中,待管理主机内的各通信需求相结合,确定目标通信场景信息。待管理主机内存在的不同类型的通信网络,例如可以包括管理通信网络与业务通信网络,基于管理通信网络对应的通信需求以及业务通信网络对应的通信需求结合,可以确定待管理主机当前具备的目标通信场景信息。73.示例性的,对于管理通信网络,存在单点登录和激活、下发证书等云管需要,只接收外部请求,本身不会主动向外发起连接。对于业务通信网络,可以存在只接收外部业务数据,以网络代理的模式转发业务数据等需求,本身不会主动向外发起连接,采用udp协议的情况下,甚至无需做任何答复。可以根据管理通信网络与业务通信网络的需求结合确定该通信场景信息内容,例如可以是waf防火墙或安全日志服务等。74.s204、根据预先配置的通信管理配置文件,确定目标通信场景信息匹配的当前管理配置信息。75.s205、解析当前管理配置信息,确定当前管理配置信息中包含的网络通信管理规则。76.在本实施例中,网络通信管理规则可以理解为对云平台下网络通信进行管理的规则信息。例如可以包括配置默认路由规则和/或配置路由策略等。77.具体的,配置默认路由可以基于网卡自动发现与dhcp获得网络配置,结合设定路由优先级,可以决定默认路由的出网卡。其中,网卡自动发现可以基于上述实施例中探测网卡实现,dhcp获得网络配置,可以理解为待管理主机通过dhcp(dynamichostconfigurationprotocol,动态主机配置协议)获取ip地址、掩码、网关以及域名服务地址等信息。设定路由优先级,可以通过仅设置一个默认的路由来确定路由优先级,也可以通过设置路由管理距离(metric)来确定路由优先级。78.示例性的,仅设置一个默认的路由来确定路由优先级,例如可以设置通信网络的路由优先级,第一张网卡eth0是该通信网络的网卡,仅设置默认路由走第一张网卡的网络网关,其它网卡不会设置默认路由。可以有效避免了多网卡多条默认路由导致路由冲突的问题。79.示例性的,通过设置路由管理距离来确定路由优先级,路由管理距离metric策略中,距离越小,优先级越高。例如设置通信网络的路由优先级,可以设置第一张网卡eth0为该通信网络的网卡,将第一张网卡eth0的默认路由设置metric为1或不设置路由管理距离,其它网卡的默认路由设置metric大于1,此时该通信网络的网卡eth0优先级最高,发往外部的流量只走第一张网卡的网络网关。可以有效避免路由冲突的问题。80.通过设定路由优先级,可以正确配置通信网络的默认路由,不会出现当前类型通信网络的流量走到另一通信网络中的情况,有效避免多网卡都有默认路由,无法确定发往外部的流量走的网卡网关,导致网络冲突发生的情况。81.具体的,配置路由策略可以理解为改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。例如可以使用iptables路由策略,使流量的进网卡与出网卡保持一致,实现流量精准的收发。82.通过配置路由策略,可以使当前通信网络流量进出网口一致,网络地址段可以出现地址一致情况,解决网络冲突导致无法通信的问题。83.s206、根据通信属性信息中包括的网卡信息,确定待管理主机当前具备的通信网卡。84.在本实施例中,通信属性中包括的网卡信息,可以直接确定当前具备的通信网卡类型与数量等。在待管理主机的特定通信场景下,确定当前网卡是否为第一张网卡,若为第一张网卡可以按照网络通信管理规则配置默认路由。85.s207、根据网络通信管理规则,结合各通信网卡进行路由配置,获得待管理主机当前的路由配置信息,以使待管理主机上在目标通信场景下基于路由配置信息进行网络通信。86.在本实施例中,基于不同的网络通信管理规则,以及各通信网卡配置网络路由,获得待管理主机当前的路由配置信息,可以通过路由表查询该路由配置信息,实现待管理主机在目标通信场景下的网络通信。87.在本实施例中,通过针对云平台上任一云主机,将云主机作为待管理主机;确定待管理主机当前运行的目标安全实例,确定目标安全实例运行中所涉及各通信网络类型下通信网络对应的通信需求;基于各通信需求,确定待管理主机当前具备的目标通信场景信息;根据预先配置的通信管理配置文件,确定目标通信场景信息匹配的当前管理配置信息;解析当前管理配置信息,确定当前管理配置信息中包含的网络通信管理规则;根据通信属性信息中包括的网卡信息,确定待管理主机当前具备的通信网卡;根据网络通信管理规则,结合各通信网卡进行路由配置,获得待管理主机当前的路由配置信息,以使待管理主机上在目标通信场景下基于路由配置信息进行网络通信。采用上述技术方案,根据网络通信管理规则结合通信网卡进行网络路由配置,有效地避免了网卡间路由冲突以及各网络冲突的情形。上述技术方案解决了通信网络冲突导致的无法进行网络通信问题,可以对不同云平台的各种网络需求,实现基本网络服务。88.作为实施例的第一可选实施例,在上述实施例基础上,本第一可选实施例还优化增加了获取待管理主机上的管理通信网络路由配置信息的步骤,具体可以包括:89.a2)从各所述通信网卡中确定所述待管理主机上管理通信网络对应的目标管理网卡。90.在本实施例中,目标管理网卡具体理解为云主机上可以使管理通信网络进行通信的网卡,待管理主机可以存在多个网卡,基于目标通信场景信息以及网卡信息,在各网卡中确定与管理通信网络相对应的网卡,作为目标管理网卡。91.b2)将所述目标管理网卡的网络网关配置为所述待管理主机上的默认路由信息,并记为所述待管理主机当前的路由配置信息。92.在本实施例中,网络网关(gateway)可以理解为一个网络连接到另一个网络的ip地址。网关可以按照不同的分类标准存在多种网关,在本实施例中,可以包括tcp/ip(transmissioncontrolprotocol/internetprotocol,传输控制协议/网际协议)协议下的网关,以及udp(userdatagramprotocol,用户数据报协议)协议下的网关等,本实施例对此不进行限制。93.具体的,将管理通信网络的目标管理网卡的网关配置为待管理主机的默认路由,其他网卡都不设置默认路由,此时待管理主机仅存在一个管理通信网络的默认路由,记录存储该路由配置信息,可以通过查询路由表发现路由配置信息具体内容。94.示例性的,eth0作为管理通信网络的目标管理网卡,配置默认路由走eth0网卡,例如该网卡的网关是10.73.14.1,则10.73.14.1可以配置为默认路由。95.c2)按照设定的距离确定规则,确定所述目标管理网卡及其余通信网卡的路由管理距离,并基于设定的各路由管理距离构成所述待管理主机当前的路由配置信息。96.在本实施例中,基于网络通信管理规则中,设定的距离确定规则可以理解为在路由管理距离metric策略中,metric距离越小,优先级越高。97.示例性的,eth0作为管理通信网络的目标管理网卡,将第一张网卡eth0的默认路由设置metric为1,其它通信网卡的默认路由设置metric大于1,例如eth1的metric设置为2,eth2的metric设置为3,此时可以确定管理通信网络的目标管理网卡eth0优先级最高,发往外部的流量只走目标管理网卡eth0的网络网关。可以有效避免路由冲突的问题。98.在本实施例中,通过设定路由优先级,可以正确配置通信网络的默认路由,确定发往外部的流量流出的唯一网卡,解决了当前类型通信网络的流量走到另一通信网络中的问题,有效避免多网卡都有默认路由,无法确定发往外部的流量走的网卡网关,导致网络冲突发生的情况。99.作为实施例的第二可选实施例,在上述实施例基础上,本第二可选实施例还优化增加了获取待管理主机上的业务通信网络路由配置信息的步骤,具体可以包括:100.a3)从各所述通信网卡中确定所述待管理主机上业务通信网络对应的各目标业务网卡。101.在本实施例中,目标业务网卡具体理解为云主机上可以使业务通信网络进行通信的网卡,待管理主机中可以存在多个业务网卡。基于目标通信场景信息以及网卡信息,在各网卡中确定与业务通信网络相对应的网卡,作为目标业务网卡。102.b3)根据所述待管理主机所接收数据包的接收路径,确定各所述目标业务网卡对应的业务虚拟主机。103.在本实施例中,数据包可以理解为交换网络中,单个消息被划分为的多个数据块,这些数据块称为包,包含发送者和接收者的地址信息。数据包沿不同的路径在一个或多个网络中传输,并且在目的地重新组合。接受路径可以理解为待管理主机接受从业务虚拟主机发送的数据包传输的路径。业务虚拟主机可以理解为云平台上与待管理主机进行业务通信的对应虚拟主机。104.在云平台上,安全资源池有许多安全实例,当用户需要使用安全产品时,可以将安全实例加入到用户自己的vpc(virtualprivatecloud,虚拟私有云)网络中。一个安全实例可以在运行期间加入到多个业务通信网络中,因此待管理主机中动态地存在多张网卡,即要和云安全管理控制平台通讯(管理通信网络),又要和用户的vpc网络通讯(业务通信网络)。105.具体的,根据待管理主机所接收数据包的接收路径,确定路径另一端的数据包发送端,将数据包发送端确定为目标业务网卡所对应的业务虚拟主机。106.c3)基于各所述业务虚拟主机的主机标识,确定各所述目标业务网卡的数据包标记。107.主机标识可以理解为业务虚拟主机的唯一标识号,可以根据唯一的主机标识确定业务虚拟主机。数据包标记可以理解为对待管理主机与业务虚拟主机之间传输的数据包进行标记。108.示例性的,数据包标记可以采用mark标记,mark标记是打在内核数据包上的数字标记,例如,可能是一个16bit或32bit整数表示。109.在iptables路由配置下,将eth1进入的数据包打上标记0x1,将eth2进入的数据包打上标记0x2,并保存这些数据包的标记到连接记录,当安全引擎处理了数据后需要进行答复时,从连接记录中恢复该数据包的标记,使数据包得以正确路由。110.图3是本发明实施例二所提供云平台的网络通信管理方法中云主机与业务虚拟主机之间的拓扑通信示例图。示例性的,如图3所示,在tcp连接中,当前作为待管理主机的云主机存在四个网卡,其中eth0为管理通信网络的网卡,eth1、eth2和eth3都为业务通信网络的网卡。eth1与业务虚拟主机1产生业务通信,eth2与业务虚拟主机2产生业务通信,eth3与业务虚拟主机3产生业务通信。其中eth1与eth3为vpc1的网卡,eth2为vpc2的网卡,eth1与eth2网卡上的ip地址为相同的network1,例如可以是172.17.0.5,eth3网卡ip地址为另一地址network2,安全实例监听tcp端口5。111.具体的,vpc1的业务网络172.17.0.0/24,存在一台业务虚拟主机1,该业务虚拟主机1的ip例如可以是172.17.0.2,访问同网络的172.17.0.5,将走eth1网卡的流量,对数据包标记mark=1,即上述实施例中0x1(16进制)。此时由业务虚拟主机1发出的数据包通过tcp端口5访问eth1后,将数据包基于iptables路由策略标记为1,此时数据包返回业务虚拟主机可按原路径返回,并非按默认路由从其他网卡发出。112.vpc2的业务网络172.17.0.0/24,存在一台业务虚拟主机2,该业务虚拟主机2的ip为172.17.0.2,访问同网络的172.17.0.5,将走eth2网卡的流量,对数据包标记mark=2,即上述实施例中0x2。此时由业务虚拟主机2发出的数据包通过tcp端口5访问eth2后,将数据包基于iptables路由策略标记为2,此时数据包返回业务虚拟主机可按原路径返回,并非按默认路由从其他网卡发出。113.在本实施例中,eth1与eth2的网络地址段、ip完全相同,但是发起端和目标端不同,发起端为不同vpc网络里的两台业务虚拟主机,目标端为加入了不同vpc网络的一台云主机中的两张不同业务通信网络网卡。仍可以通过路由策略的控制,为数据包进行标记,实现数据包往返路径相同,明确目标网卡网关地址,避免进入与发出的网卡并非同一个网卡导致的网络冲突问题,可以使数据包正常地、正确地收发。114.d3)基于各所述数据包标记确定各所述目标业务网卡的路由信息表。115.在本实施例中,路由信息表(routingtable)可以理解为一个存储在路由器或云主机中的电子表格(文件)或类数据库。路由信息表存储着指向特定网络地址的路径。路由配置规则中配置特定的数据包标记对应特定路由表。116.示例性的,在路由规则的配置中,配置了数据包标记0x1走路由表1,数据包标记0x2走路由表2,其它数据包按系统默认路由规则配置。117.e3)将各所述路由信息表作为所述待管理主机当前的路由配置信息。118.在本实施例中,上述基于数据包标记确定的各路由信息表,可以确定为待管理主机当前的路由配置信息。119.在本实施例中,对业务通信网络基于iptables路由策略进行路由配置,使各业务虚拟主机在网络地址段、ip完全相同的情况下,仍可以使数据包正常地、正确地收发。通过采用本实施例的技术方案,可以使当前通信网络流量进出网口一致,网络地址段可以出现地址一致情况,解决网络冲突导致无法通信的问题。120.实施例三121.图4是本发明实施例三提供的一种云平台的网络通信管理装置的结构示意图。如图4所示,该装置包括第一确定模块31、第二确定模块32和第一获取模块33。122.其中,第一确定模块31,用于针对云平台上任一云主机,将所述云主机作为待管理主机,确定所述待管理主机当前具备的目标通信场景信息;123.第二确定模块32,用于根据预先配置的通信管理配置文件,确定所述目标通信场景信息匹配的当前管理配置信息;124.第一获取模块33,用于根据所述当前管理配置信息,结合所述待管理主机的通信属性信息,对所述待管理主机的通信网络进行路由配置,获得路由配置信息,以使所述待管理主机上在通信场景下基于所述路由配置信息进行网络通信。125.通过采用本实施例的技术方案,预先配置通信管理配置文件,提高了网络通信管理的效率。根据各通信场景信息对应的管理配置信息,结合主机属性配置路由,可以针对不同云主机的不同通信场景信息,提供精准有效的网络服务。提高了通信通道确定的有效性,实现网络通信的精准管理。126.该装置还包括第三确定模块,用于根据安全资源池中包括的各安全实例,确定包含至少一个二元关系组的通信管理配置文件,所述二元关系组中为通信场景信息与管理配置信息的配对。127.可选的,第三确定模块具体用于:128.获取存储于安全资源池中的各安全实例;129.通过对各所述安全实例的分析,确定相关联的通信场景信息;130.接收相对各所述通信场景信息配置的管理配置信息;131.以通信场景信息及对应的管理配置信息构成二元关系组,形成包含各所述二元关系组的通信管理配置文件。132.可选的,第一确定模块31具体用于:133.确定所述待管理主机当前运行的目标安全实例,确定所述目标安全实例运行中所涉及各通信网络类型下通信网络对应的通信需求;134.基于各所述通信需求,确定所述待管理主机当前具备的目标通信场景信息。135.可选的,第一获取模块33包括:136.第一确定单元,用于解析所述当前管理配置信息,确定所述当前管理配置信息中包含的网络通信管理规则;137.第二确定单元,用于根据所述通信属性信息中包括的网卡信息,确定所述待管理主机当前具备的通信网卡;138.第一获取单元,用于根据所述网络通信管理规则,结合各所述通信网卡进行路由配置,获得所述待管理主机当前的路由配置信息。139.可选的,第一获取单元具体用于:140.从各所述通信网卡中确定所述待管理主机上管理通信网络对应的目标管理网卡;141.将所述目标管理网卡的网络网关配置为所述待管理主机上的默认路由信息,并记为所述待管理主机当前的路由配置信息;或者,142.按照设定的距离确定规则,确定所述目标管理网卡及其余通信网卡的路由管理距离,并基于设定的各路由管理距离构成所述待管理主机当前的路由配置信息。143.可选的,第一获取单元具体还用于:144.从各所述通信网卡中确定所述待管理主机上业务通信网络对应的各目标业务网卡;145.根据所述待管理主机所接收数据包的接收路径,确定各所述目标业务网卡对应的业务虚拟主机;146.基于各所述业务虚拟主机的主机标识,确定各所述目标业务网卡的数据包标记;147.基于各所述数据包标记确定各所述目标业务网卡的路由信息表;148.将各所述路由信息表作为所述待管理主机当前的路由配置信息。149.本发明实施例所提供的云平台的网络通信管理装置可执行本发明任意实施例所提供的云平台的网络通信管理方法,具备执行方法相应的功能模块和有益效果。150.实施例四151.图5为本发明实施例四提供的一种电子设备的结构示意图。电子设备40可以理解为应用于云平台上网络管理设备,旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。152.如图5所示,电子设备40包括至少一个处理器41,以及与至少一个处理器41通信连接的存储器,如只读存储器(rom)42、随机访问存储器(ram)43等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器41可以根据存储在只读存储器(rom)42中的计算机程序或者从存储单元48加载到随机访问存储器(ram)43中的计算机程序,来执行各种适当的动作和处理。在ram43中,还可存储云平台的网络通信管理设备40操作所需的各种程序和数据。处理器41、rom42以及ram43通过总线44彼此相连。输入/输出(i/o)接口45也连接至总线44。153.电子设备40中的多个部件连接至i/o接口45,包括:输入单元46,例如键盘、鼠标等;输出单元47,例如各种类型的显示器、扬声器等;存储单元48,例如磁盘、光盘等;以及通信单元49,例如网卡、调制解调器、无线通信收发机等。通信单元49允许电子设备40通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。154.处理器41可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器41的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。处理器41执行上文所描述的各个方法和处理,例如云平台的网络通信管理方法。155.在一些实施例中,云平台的网络通信管理方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元48。在一些实施例中,计算机程序的部分或者全部可以经由rom42和/或通信单元49而被载入和/或安装到电子设备40上。当计算机程序加载到ram43并由处理器41执行时,可以执行上文描述的云平台的网络通信管理方法的一个或多个步骤。备选地,在其他实施例中,处理器41可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行云平台的网络通信管理方法。156.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。157.用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。158.在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。159.为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,crt(阴极射线管)或者lcd(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。160.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(lan)、广域网(wan)、区块链网络和互联网。161.计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与vps服务中,存在的管理难度大,业务扩展性弱的缺陷。162.应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。163.上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。当前第1页12当前第1页12
再多了解一些

本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。

发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表

相关文献