CN113765963A - 数据处理方法、装置、设备及计算机可读存储介质 - Google Patents
数据处理方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN113765963A CN113765963A CN202010725591.4A CN202010725591A CN113765963A CN 113765963 A CN113765963 A CN 113765963A CN 202010725591 A CN202010725591 A CN 202010725591A CN 113765963 A CN113765963 A CN 113765963A
- Authority
- CN
- China
- Prior art keywords
- user
- docker
- machine
- service
- application service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 23
- 238000000034 method Methods 0.000 claims abstract description 29
- 230000006870 function Effects 0.000 claims description 22
- 238000012545 processing Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 13
- 239000012634 fragment Substances 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 7
- 238000013507 mapping Methods 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 claims description 4
- 238000013468 resource allocation Methods 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 11
- 238000012795 verification Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 238000012550 audit Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000011084 recovery Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种数据处理方法、装置、设备及计算机可读存储介质,该方法包括:响应于用户的堡垒机请求,为所述用户创建跳板机Docker,所述跳板机Docker用于实现堡垒机功能;响应于所述用户对目标IP的访问请求,通过所述用户的跳板机Docker访问所述目标IP。本发明实施例的方法,通过在用户请求堡垒机时,为用户动态创建用于实现堡垒机功能的跳板机Docker,当访问目标IP时,用户可以通过其独享的跳板机Docker访问对应的目标IP,实现了堡垒机容器化,可以实现堡垒机资源的按需分配,提高堡垒机的使用率,且由于跳板机Docker是用户独享,保证了堡垒机服务的稳定性与安全性。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种数据处理方法、装置、设备及计算机可读存储介质。
背景技术
堡垒机为经过一定安全加固,可抵御一定攻击的安全审计系统。堡垒机的主要功能是对登录目标业务服务器的终端操作进行审计与权限控制并提供给终端单点登录功能。终端通过堡垒机,使用安全外壳(Secure Shell,缩写SSH)协议登录到目标业务服务器。堡垒机服务可以协助用户在满足塞班斯法案(Sarbanes-Oxley Act,简称SOX法案)审计及权限安全的情况下,按IP进入到实际的目标业务服务器上进行操作。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
传统的堡垒机服务需要预先申请一批固定的资源作为堡垒机,也即是堡垒机IP是固定的,堡垒机资源不足时需要临时扩容,无法做到按需分配,且堡垒机资源使用率低。
发明内容
本发明实施例提供一种数据处理方法、装置、设备及计算机可读存储介质,用以解决现有技术中堡垒机资源无法按需分配且使用率低的问题。
第一方面,本发明实施例提供一种数据处理方法,包括:
响应于用户的堡垒机请求,为所述用户创建跳板机应用容器引擎(英文:Docker),所述跳板机Docker用于实现堡垒机功能;
响应于所述用户对目标IP的访问请求,通过所述用户的跳板机Docker访问所述目标IP。
第二方面,本发明实施例提供一种数据处理方法,应用于基于容器编排技术的集群,所述集群上运行有业务Docker,跳板机Docker和容器编排服务,所述方法包括:
响应于用户的堡垒机请求,通过所述容器编排服务为所述用户创建跳板机Docker,所述跳板机Docker用于实现堡垒机功能;
响应于所述用户对目标IP的访问请求,通过所述用户的跳板机Docker访问所述目标IP对应的业务Docker。
第三方面,本发明实施例提供一种数据处理装置,包括:
容器管理模块,用于响应于用户的堡垒机请求,为所述用户创建跳板机Docker,所述跳板机Docker用于实现堡垒机功能;
堡垒机模块,用于响应于所述用户对目标IP的访问请求,通过所述用户的跳板机Docker访问所述目标IP。
第四方面,本发明实施例提供一种数据处理设备,包括:
处理器,存储器,以及存储在所述存储器上并可在所述处理器上运行的计算机程序;
其中,所述处理器运行所述计算机程序时实现上述第一方面所述的数据处理方法。
第五方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的数据处理方法。
本发明实施例提供的数据处理方法、装置、设备及计算机可读存储介质,通过响应于用户的堡垒机请求,为用户动态创建用于实现堡垒机功能的跳板机Docker,响应于所述用户对目标IP的访问请求,用户可以通过其独享的跳板机Docker访问对应的目标IP,实现了堡垒机容器化,可以实现堡垒机资源的按需分配,提高堡垒机的使用率,且由于跳板机Docker是用户独享,保证了堡垒机服务的稳定性与安全性。
附图说明
图1为本发明实施例提供的系统框架示意图;
图2为本发明实施例一提供的数据处理方法流程图;
图3为本发明实施例二提供的数据处理方法流程图;
图4为本发明实施例三提供的数据处理装置的结构示意图;
图5为本发明实施例四提供的数据处理装置的结构示意图;
图6为本发明实施例五提供的数据处理设备的结构示意图。
通过上述附图,已示出本发明明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本发明构思的范围,而是通过参考特定实施例为本领域技术人员说明本发明的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
首先对本发明实施例所涉及的名词进行解释:
Kubernetes:是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了应用部署,规划,更新,维护的一种机制。
塞班斯法案(Sarbanes-Oxley Act,简称SOX法案):是美国对证券交易所的上市公司要求强制实行的法案。SOX法案会对上市公司的IT系统和操作日志、堡垒机日志等进行审计。
此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。在以下各实施例的描述中,“多个”的含义是两个以上,除非另有明确具体的限定。
随着云原生(Cloud Native的持续发展,云服务在互联网市场上占据了非常重要的地位,越来越多的开发人员和公司开始往云上部署应用。以kubernetes为例,应用开发部署非常方便,因为有了Service组件,用户的更新、扩容、缩容会让用户无需在部署层面关心IP的变化是否受影响。但是因为IP的变化,导致传统的堡垒机服务无法再继续为云原生的应用提供服务。
本发明实施例具体可以应用于基于容器编排技术的集群,例如,基于Kubernetes的集群等。该集群用于部署业务系统以及堡垒机,用户需要通过堡垒机访问业务系统。如图1所示,集群上可以运行有业务Docker,跳板机Docker,堡垒机服务,容器编排服务(如图1中所示的Kubernetes),以及基础服务。
本实施例中,业务Docker用于部署应用服务,是用户实际要访问的业务应用服务,用户无法直接访问,需要通过跳板机连接和访问。
跳板机Docker用于实现堡垒机的功能,当用户选择连接某个实际业务Docker后,将用户请求同步到选择的实际业务Docker中,同时记录访问数据日志,并将访问数据日志反馈给堡垒机服务进行审计。
本实施例中以容器编排服务为Kubernetes服务为例,进行示例性地说明,Kubernetes服务用于创建和销毁跳板机Docker,容器编排服务还可以采用Mesos实现,本实施例此处不做具体限定。
基础服务用于验证用户是否具有访问应用服务IP的权限。
堡垒机服务用于提供用户申请堡垒机的用户界面UI,并与基础服务和Kubernetes服务之间进行交互,调用基础服务和Kubernetes服务实现相应的功能。
本发明实施例提供的数据处理方法,通过在用户请求堡垒机时,为用户动态创建用于实现堡垒机功能的跳板机Docker,用户可以通过其独享的跳板机Docker访问对应的目标IP,实现了堡垒机容器化,可以实现堡垒机资源的按需分配,提高堡垒机的使用率,且由于跳板机Docker是用户独享,保证了堡垒机服务的稳定性与安全性。
下面以具体地实施例对本发明的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本发明的实施例进行描述。
实施例一
图2为本发明实施例一提供的数据处理方法流程图。如图2所示,该方法具体步骤如下:
步骤S101、响应于用户的堡垒机请求,为用户创建跳板机Docker,跳板机Docker用于实现堡垒机功能。
本实施例中,基于用户的堡垒机请求,可以为用户创建用户独享的跳板机Docker,可以实现堡垒机容器化,并实现堡垒机的按需分配。
步骤S102、响应于用户对目标IP的访问请求,通过用户的跳板机Docker访问目标IP。
其中,目标IP是指用户请求访问的实际应用服务的IP,例如,可以是用户请求访问的实际应用服务所在的业务Docker的IP。
当用户请求访问目标IP时,通过用户对应的跳板机Docker访问目标IP,跳板机Docker能够实现堡垒机的功能。
本发明实施例提供的数据处理方法,通过响应于用户的堡垒机请求,为用户动态创建用于实现堡垒机功能的跳板机Docker,响应于用户对目标IP的访问请求,用户可以通过其独享的跳板机Docker访问对应的目标IP,实现了堡垒机容器化,可以实现堡垒机资源的按需分配,提高堡垒机的使用率,且由于跳板机Docker是用户独享,保证了堡垒机服务的稳定性与安全性。
实施例二
图3为本发明实施例二提供的数据处理方法流程图。在上述实施例一的基础上,本实施例中,用户的堡垒机请求包括要访问的应用服务IP,在为用户创建跳板机Docker之前,还可以根据用户的身份信息,验证用户是否具有访问应用服务IP的权限;若用户具有访问应用服务IP的权限,则为用户创建跳板机Docker。另外,在为用户创建跳板机Docker时,利用物理机的剩余碎片资源创建跳板机Docker;还可以在跳板机Docker失效后,销毁跳板机Docker,可以回收跳板机Docker资源,提高资源利用率。如图3所示,该方法具体步骤如下:
步骤S201、响应于用户的堡垒机请求,用户的堡垒机请求包括要访问的应用服务IP,根据用户的身份信息,验证用户是否具有访问应用服务IP的权限。
在实际应用中,用户可以通过堡垒机服务提供的UI界面向堡垒机服务发出堡垒机请求。
其中,用户的堡垒机请求包括要访问的应用服务IP。用户要访问的应用服务IP可以是用户要访问的应用服务所在业务Docker的IP。
示例性地,基于图1所示的架构,堡垒机服务在接收到用户的堡垒机请求之后,可以向基础服务发送第一HTTP请求,该第一HTTP请求中可以携带该用户的身份信息和所需申请的应用服务IP。基础服务根据用户的身份信息,验证用户是否具有访问应用服务IP的权限,并将验证结果反馈给堡垒机服务。
其中,基础服务可以存储有应用服务IP对应的应用服务,以及应用服务对应的各个用户的权限信息。应用服务对应的各个用户的权限信息可以包括用户是否拥有访问应用服务的权限,以及用户拥有访问应用服务的具体权限信息。
可选地,验证结果可以以json格式返回给堡垒机服务。
若验证结果为用户不具有访问应用服务IP的权限,则执行步骤S202,向用户反馈提示信息,以提示用户不具有应用服务IP的访问权限,不会为该用户分配堡垒机。
若验证结果为用户具有访问应用服务IP的权限,则执行步骤S203-S204为用户创建跳板机Docker,也即为用户分配其独享的堡垒机。
步骤S202、向用户反馈提示信息。
该步骤中,可以通过堡垒机服务向对应UI显示提示信息,该提示信息用于提示用户不具有当前申请的应用服务IP的访问权限,以使用户核实IP后重新申请。
步骤S203、查询数据库,确定是否存在用户的跳板机Docker。
其中,数据库中至少存储有以下信息:用户标识,应用服务IP信息,跳板机IP。其中,用户标识可以是用户账号等能够用于唯一标识一个用户的信息。另外,数据库还可以包括SSH连接跳板机命令,密码,创建时间,授权角色,授权时长等信息,本实施例此处不做具体限定。
若验证结果为用户具有访问应用服务IP的权限,堡垒机服务可以查询自身数据库,来确定是否已经存在用户的跳板机Docker。
示例性地,若数据库中存在包含当前用户标识的记录,若存在包含当前用户标识的记录,则说明为当前用户分配过跳板机Docker,也就是已经存在用户的跳板机Docker;若不存在包含当前用户标识的记录,则说明,没有为当前用户分配过跳板机Docker,也就是不存在用户的跳板机Docker。
该步骤中,若确定不存在用户的跳板机Docker,则执行步骤S204-S205,为用户创建一个跳板机Docker,并将用户本次申请的应用服务IP记录到数据库中。
若确定存在用户的跳板机Docker,则无需再次为用户创建跳板机Docker,直接执行步骤S205,将用户本次申请的应用服务IP记录到数据库中。
步骤S204、若不存在用户的跳板机Docker,则为用户创建跳板机Docker,并将用户与跳板机Docker的映射信息记录到数据库中。
本实施例中,若确定不存在用户的跳板机Docker,则堡垒机服务通过调用容器编排服务(例如Kubernetes服务)为用户创建跳板机Docker。
由于业务Docker通常占用的物理机资源比较大,对于物理机剩余碎片资源则无法使用,例如只剩0.5核0.4G内存资源的情况下,无法再分出多余的资源给业务Docker。
优选地,Kubernetes服务利用物理机的剩余碎片资源创建跳板机Docker,能够有效利用碎片资源,可以提高资源利用率。
例如,可以利用0.1核和0.2G内存创建一个跳板机Docker;或者,可以利用0.1核和0.3G内存创建一个跳板机Docker;或者,可以利用0.2核和0.3G内存创建一个跳板机Docker,等等。
示例性地,Kubernetes服务根据用户的身份信息,用0.1核、0.2G的内存资源,创建一个跳板机Docker。
可选地,堡垒机服务可以根据用户的身份信息,轮询Kubernetes服务的接口,来获取跳板机Docker是否创建成功的信息。
在确定跳板机Docker创建成功时,将用户与跳板机Docker的映射信息记录到数据库中。
步骤S205、将应用服务IP添加到数据库中用户对应的应用服务IP信息中。
其中,数据库中用户对应的应用服务IP信息用于存储用户申请过的应用服务IP。
在确定用户对应的跳板机Docker之后,该步骤中,通过将应用服务IP添加到数据库中用户对应的应用服务IP信息中,记录应用服务IP与用户和跳板机Docker之间的对应关系。
可选地,数据库中可以单独存储每个用户对应的应用服务IP信息,或者可以将用户对应的跳板机DockerIP以及用户对应的所有应用服务IP记录在同一个数据表中,本实施例此处不做具体限定。
可选地,还可以为用户申请的每个应用服务IP设置一个有效期,在有效期内,用户可以通过跳板机Docker访问对应的应用服务IP;在有效期失效后,用户无法通过跳板机Docker访问对应的应用服务IP。
步骤S206、向用户反馈跳板机Docker的登录信息。
在确定用户对应的跳板机Docker之后,将用户对应的跳板机Docker的登录信息反馈给用户。
其中,跳板机Docker的登录信息可以包括跳板机DockerIP,以及登录使用密码,以及其他用户登录跳板机Docker所需使用的信息,本实施例此处不做具体限定。
示例性地,可以有堡垒机服务将跳板机Docker的登录信息显示在用户界面上。
可选地,堡垒机服务还可以将包含跳板机Docker的登录信息的命令显示在用户界面上,用户通过执行该命令即可连接对应的跳板机Docker。
步骤S207、响应于用户的连接堡垒机请求,在对用户的登录信息验证通过后,根据用户的身份信息,获取用户具有访问权限的应用服务IP。
用户在需要连接堡垒机时,根据用户的登录信息,通过本地SSH工具向对应的跳板机Docker发送连接堡垒机请求,以连接跳板机Docker。跳板机Docker对用户的登录信息验证通过后,跳板机Docker可以获得用户的身份信息。
跳板机Docker向堡垒机服务发送包含用户身份信息的第二HTTP请求,堡垒机服务接收到该第二HTTP请求后,根据用户的身份信息,通过查询数据库获取用户具有访问权限的应用服务IP。
具体地,通过堡垒机服务从数据库中获取用户申请过的应用服务IP,通过基础服务验证用户当前是否具有申请过的应用服务IP的访问权限,确定用户具有访问权限的应用服务IP,可以实现对用户权限的再一次验证。
在一种可能的实施方式中,若申请过的应用服务IP具有有效期,则通过堡垒机服务从数据库中获取在有效期内的用户申请过的应用服务IP。
示例性地,跳板机Docker可以向基础服务发送包含用户身份的第三HTTP请求。基础服务接收到该第三HTTP请求后,验证用户当前是否具有申请过的各个应用服务IP的访问权限,并确定用户申请过的应用服务IP中用户当前具有访问权限的应用服务IP,然后将用户当前具有访问权限的应用服务IP返回给堡垒机服务。
可选地,基础服务可以将用户当前具有访问权限的应用服务IP以json格式返回给堡垒机服务。
进一步地,在得到用户具有访问权限的应用服务IP之后,还可以根据当前确定的用户具有访问权限的应用服务IP,更新数据库中的用户对应的应用服务IP信息,以确保数据库中的用户对应的应用服务IP信息中记录的所有应用服务IP,用户都具有访问权限。
例如,当用户申请过的应用服务IP对应的业务Docker失效之后,该业务Docker可能会被分配给另一应用服务使用,也就是应用服务IP对应的实际应用服务发生了变化,该用户可能不再拥有访问该应用服务IP的权限,因此需要更新数据库中的对应信息,以实现用户的访问权限的准确控制。
示例性地,堡垒机服务得到用户具有访问权限的应用服务IP之后,先更新数据库中的用户对应的应用服务IP信息。
步骤S208、将用户具有访问权限的应用服务IP通过前端页面进行展示,以供用户选择访问。
在确定用户具有访问权限的应用服务IP之后,将用户具有访问权限的应用服务IP通过前端页面进行展示,以供用户选择访问。
示例性地,堡垒机服务得到用户具有访问权限的应用服务IP之后,还可以将用户具有访问权限的应用服务IP以json格式返回给对应的跳板机Docker。跳板机Docker在对应的前端页面上显示用户具有访问权限的应用服务IP,用户可以浏览当前具有访问权限的应用服务IP,并从中选择一个目标IP进行访问。
步骤S209、响应于用户对目标IP的访问请求,通过用户的跳板机Docker访问目标IP。
用户选择一个目标IP后,可以通过跳板机Docker对应的前端页面发起对目标IP的访问请求,实现对目标IP对应的应用服务的各种访问操作。
用户对目标IP对应的应用服务的每一次访问操作,都会经过跳板机Docker,再透传给目标IP对应的应用服务的业务Docker进行操作。
步骤S210、记录并存储用户访问目标IP的访问数据日志。
本实施例中,用户对目标IP对应的应用服务的每一次访问操作,都会经过跳板机Docker,再透传给目标IP对应的应用服务的业务Docker进行操作。
该步骤中,可以记录并存储用户访问目标IP的访问数据日志。
具体地,跳板机Docker可以记录访问数据日志,并将访问数据日志发送给堡垒机服务,由堡垒机服务将访问数据日志进行存储,以便于进行SOX审计。
其中,访问数据日志可以包括目标IP,用户信息,访问时间,访问操作的命令等等信息,访问数据日志所记录的信息可以包括根据SOX审计要求进行配置和调整,本实施例此处不做具体限定。
示例性地,跳板机Docker可以采用基于TCP协议的socket通信方式,将访问数据日志发送给堡垒机服务。
本实施例的一种可能的实施方式中,在为用户创建跳板机Docker之后,还可以执行步骤S211和S212,设置跳板机Docker的有效期并在有效期失效后,销毁跳板机Docker,已回收跳板机Docker占用的资源。
步骤S211、设置并存储跳板机Docker的有效期。
本实施例中,该步骤在为用户创建跳板机Docker之后执行,可以在步骤S205之前之后或者并行地执行,本实施例以在步骤S206之后执行为例进行示例性地说明,此处对于步骤S206与步骤S205的先后顺序不做限定。
步骤S212、当跳板机Docker的有效期失效后,销毁跳板机Docker。
可选地,为用户创建跳板机Docker之后,还可以设置并存储跳板机Docker的有效期。该步骤中,当跳板机Docker的有效期失效后,销毁跳板机Docker,以回收跳板机Docker对应的资源。
本实施例的另一实施方式中,还可以在接收到对指定IP的堡垒机的回收指令时,将指定IP对应的跳板机Docker销毁,以回收对应的资源。
例如,当确认用户不再需要指定IP的堡垒机,或者不允许用户使用指定IP的堡垒机时,可以通过前端页面或者以命令的方式向堡垒机服务发出对指定IP的堡垒机的回收指令。
本发明实施例配合容器资源调度实现的跳板机Docker,实现用户使用的跳板机Docker是用户独享的堡垒机资源,可以利用物理机剩余的碎片资源来创建跳板机Docker,并且可以在跳板机Docker失效后回收对应资源,保证业务稳定的同时,可以实现堡垒机资源的按需分配,提高堡垒机的使用率。进一步地,本实施例中,每次在申请堡垒机服务时会校验用户是否有所申请的应用服务IP的访问权限,并且当用户连接跳板机Docker时,会再次对用户是否具有已申请过的应用服务IP的访问权限进行验证,通过强一致性校验的方式,2次对用户是否具有应用服务IP的访问权限进行验证,可以保证连接堡垒机是信任且安全的。
实施例三
图4为本发明实施例三提供的数据处理装置的结构示意图。本发明实施例提供的数据处理装置可以执行数据处理方法实施例提供的处理流程。如图4所示,该数据处理装置30包括:容器管理模块301和堡垒机模块302。
具体地,容器管理模块301用于响应于用户的堡垒机请求,为用户创建跳板机Docker,跳板机Docker用于实现堡垒机功能。
堡垒机模块302用于响应于用户对目标IP的访问请求,通过用户的跳板机Docker访问目标IP。
本发明实施例提供的装置可以具体用于执行上述实施例一所提供的方法实施例,具体功能此处不再赘述。
本发明实施例提供的数据处理方法,通过响应于用户的堡垒机请求,为用户动态创建用于实现堡垒机功能的跳板机Docker,响应于用户对目标IP的访问请求,用户可以通过其独享的跳板机Docker访问对应的目标IP,实现了堡垒机容器化,可以实现堡垒机资源的按需分配,提高堡垒机的使用率,且由于跳板机Docker是用户独享,保证了堡垒机服务的稳定性与安全性。
实施例四
图5为本发明实施例四提供的数据处理装置的结构示意图。在上述实施例三的基础上,本实施例中,如图5所示,该数据处理装置30还包括:权限验证模块303,用于:
用户的堡垒机请求包括要访问的应用服务IP,根据用户的身份信息,验证用户是否具有访问应用服务IP的权限。
容器管理模块301还用于:若用户具有访问应用服务IP的权限,则为用户创建跳板机Docker。
在一种可能的实施方式中,容器管理模块301还用于:
查询数据库,确定是否存在用户的跳板机Docker;若不存在用户的跳板机Docker,则为用户创建跳板机Docker,并将用户与跳板机Docker的映射信息记录到数据库中。
在一种可能的实施方式中,容器管理模块301还用于:
将应用服务IP添加到数据库中用户对应的应用服务IP信息中。
在一种可能的实施方式中,容器管理模块301还用于:
利用物理机的剩余碎片资源创建跳板机Docker。
在一种可能的实施方式中,容器管理模块301还用于:
设置并存储跳板机Docker的有效期。
在一种可能的实施方式中,容器管理模块301还用于:
当跳板机Docker的有效期失效后,销毁跳板机Docker。
在一种可能的实施方式中,容器管理模块301还用于:
向用户反馈跳板机Docker的登录信息。
在一种可能的实施方式中,权限验证模块303还用于:
响应于用户的连接堡垒机请求,在对用户的登录信息验证通过后,根据用户的身份信息,获取用户具有访问权限的应用服务IP;将用户具有访问权限的应用服务IP通过前端页面进行展示,以供用户选择访问。
在一种可能的实施方式中,容器管理模块301还用于:
根据用户具有访问权限的应用服务IP,更新数据库中的用户具有访问权限的应用服务IP信息。
在一种可能的实施方式中,堡垒机模块302还用于:
记录并存储用户访问目标IP的访问数据日志。
本发明实施例提供的装置可以具体用于执行上述实施例二所提供的方法实施例,具体功能此处不再赘述。
本发明实施例配合容器资源调度实现的跳板机Docker,实现用户使用的跳板机Docker是用户独享的堡垒机资源,可以利用物理机剩余的碎片资源来创建跳板机Docker,并且可以在跳板机Docker失效后回收对应资源,保证业务稳定的同时,可以实现堡垒机资源的按需分配,提高堡垒机的使用率。进一步地,本实施例中,每次在申请堡垒机服务时会校验用户是否有所申请的应用服务IP的访问权限,并且当用户连接跳板机Docker时,会再次对用户是否具有已申请过的应用服务IP的访问权限进行验证,通过强一致性校验的方式,2次对用户是否具有应用服务IP的访问权限进行验证,可以保证连接堡垒机是信任且安全的。
实施例五
图6为本发明实施例五提供的数据处理设备的结构示意图。如图6所示,该数据处理设备100包括:处理器1001,存储器1002,以及存储在存储器1002上并可在处理器1001上运行的计算机程序。
其中,处理器1001运行计算机程序时实现上述任一方法实施例提供的数据处理方法。
本发明实施例提供的数据处理方法,通过响应于用户的堡垒机请求,为用户动态创建用于实现堡垒机功能的跳板机Docker,响应于用户对目标IP的访问请求,用户可以通过其独享的跳板机Docker访问对应的目标IP,实现了堡垒机容器化,可以实现堡垒机资源的按需分配,提高堡垒机的使用率,且由于跳板机Docker是用户独享,保证了堡垒机服务的稳定性与安全性。
另外,本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现上述任一方法实施例提供的数据处理方法。
本领域技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
应该理解的是,虽然上述实施例中的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求书指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求书来限制。
Claims (15)
1.一种数据处理方法,其特征在于,包括:
响应于用户的堡垒机请求,为所述用户创建跳板机Docker,所述跳板机Docker用于实现堡垒机功能;
响应于所述用户对目标IP的访问请求,通过所述用户的跳板机Docker访问所述目标IP。
2.根据权利要求1所述的方法,其特征在于,所述响应于用户的堡垒机请求,在为所述用户创建跳板机Docker之前,还包括:
所述用户的堡垒机请求包括要访问的应用服务IP,根据所述用户的身份信息,验证所述用户是否具有访问所述应用服务IP的权限;
若所述用户具有访问所述应用服务IP的权限,则为所述用户创建跳板机Docker。
3.根据权利要求2所述的方法,其特征在于,所述响应于用户的堡垒机请求,为所述用户创建跳板机Docker,包括:
查询数据库,确定是否存在所述用户的跳板机Docker;
若不存在所述用户的跳板机Docker,则为所述用户创建跳板机Docker,并将所述用户与跳板机Docker的映射信息记录到所述数据库中。
4.根据权利要求3所述的方法,其特征在于,将所述用户与跳板机Docker的映射信息记录到所述数据库中之后,还包括:
将所述应用服务IP添加到所述数据库中所述用户对应的应用服务IP信息中。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述为所述用户创建跳板机Docker,包括:
利用物理机的剩余碎片资源创建所述跳板机Docker。
6.根据权利要求1-4中任一项所述的方法,其特征在于,为所述用户创建跳板机Docker之后,还包括:
设置并存储所述跳板机Docker的有效期。
7.根据权利要求6所述的方法,其特征在于,还包括:
当所述跳板机Docker的有效期失效后,销毁所述跳板机Docker。
8.根据权利要求1所述的方法,其特征在于,为所述用户创建跳板机Docker之后,还包括:
向所述用户反馈所述跳板机Docker的登录信息。
9.根据权利要求8所述的方法,其特征在于,还包括:
响应于所述用户的连接堡垒机请求,在对所述用户的登录信息验证通过后,根据所述用户的身份信息,获取所述用户具有访问权限的应用服务IP;
将所述用户具有访问权限的应用服务IP通过前端页面进行展示,以供所述用户选择访问。
10.根据权利要求9所述的方法,其特征在于,根据所述用户的身份信息,获取所述用户具有访问权限的应用服务IP之后,还包括:
根据所述用户具有访问权限的应用服务IP,更新所述数据库中的所述用户具有访问权限的应用服务IP信息。
11.根据权利要求1所述的方法,其特征在于,还包括:
记录并存储所述用户访问所述目标IP的访问数据日志。
12.一种数据处理方法,其特征在于,应用于基于容器编排技术的集群,所述集群上运行有业务Docker,跳板机Docker和容器编排服务,所述方法包括:
响应于用户的堡垒机请求,通过所述容器编排服务为所述用户创建跳板机Docker,所述跳板机Docker用于实现堡垒机功能;
响应于所述用户对目标IP的访问请求,通过所述用户的跳板机Docker访问所述目标IP对应的业务Docker。
13.一种数据处理装置,其特征在于,包括:
容器管理模块,用于响应于用户的堡垒机请求,为所述用户创建跳板机Docker,所述跳板机Docker用于实现堡垒机功能;
堡垒机模块,用于响应于所述用户对目标IP的访问请求,通过所述用户的跳板机Docker访问所述目标IP。
14.一种数据处理设备,其特征在于,包括:
处理器,存储器,以及存储在所述存储器上并可在所述处理器上运行的计算机程序;
其中,所述处理器运行所述计算机程序时实现如权利要求1至12中任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至12中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010725591.4A CN113765963A (zh) | 2020-07-24 | 2020-07-24 | 数据处理方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010725591.4A CN113765963A (zh) | 2020-07-24 | 2020-07-24 | 数据处理方法、装置、设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113765963A true CN113765963A (zh) | 2021-12-07 |
Family
ID=78785573
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010725591.4A Pending CN113765963A (zh) | 2020-07-24 | 2020-07-24 | 数据处理方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113765963A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114465766A (zh) * | 2021-12-27 | 2022-05-10 | 天翼云科技有限公司 | 基于ssh的远程访问方法、装置、电子设备和存储介质 |
| CN114500023A (zh) * | 2022-01-18 | 2022-05-13 | 江苏银承网络科技股份有限公司 | 多云环境下的堡垒机访问控制方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610946A (zh) * | 2015-12-30 | 2016-05-25 | 北京奇艺世纪科技有限公司 | 一种基于docker技术的云跳板机系统 |
| WO2017101252A1 (zh) * | 2015-12-17 | 2017-06-22 | 腾讯科技(深圳)有限公司 | 基于 Docker 的容器登录方法、服务器和系统 |
| CN106936817A (zh) * | 2017-02-16 | 2017-07-07 | 上海帝联信息科技股份有限公司 | 操作执行方法、跳板机、集群认证服务器和堡垒机系统 |
| CN109120620A (zh) * | 2018-08-17 | 2019-01-01 | 成都品果科技有限公司 | 一种服务器管理方法及系统 |
| CN109819053A (zh) * | 2019-03-11 | 2019-05-28 | 携程旅游信息技术(上海)有限公司 | 应用于混合云环境下的跳板机系统及其控制方法 |
| CN110324338A (zh) * | 2019-06-28 | 2019-10-11 | 深圳前海微众银行股份有限公司 | 数据交互方法、装置、堡垒机与计算机可读存储介质 |
| CN110365692A (zh) * | 2019-07-23 | 2019-10-22 | 秒针信息技术有限公司 | 一种服务器登录方法及系统 |
| US20190334913A1 (en) * | 2018-04-27 | 2019-10-31 | Nelson A. Cicchitto | Method and apparatus for native authentication to cloud services with identity management of on-premise applications from the cloud |
-
2020
- 2020-07-24 CN CN202010725591.4A patent/CN113765963A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017101252A1 (zh) * | 2015-12-17 | 2017-06-22 | 腾讯科技(深圳)有限公司 | 基于 Docker 的容器登录方法、服务器和系统 |
| CN105610946A (zh) * | 2015-12-30 | 2016-05-25 | 北京奇艺世纪科技有限公司 | 一种基于docker技术的云跳板机系统 |
| CN106936817A (zh) * | 2017-02-16 | 2017-07-07 | 上海帝联信息科技股份有限公司 | 操作执行方法、跳板机、集群认证服务器和堡垒机系统 |
| US20190334913A1 (en) * | 2018-04-27 | 2019-10-31 | Nelson A. Cicchitto | Method and apparatus for native authentication to cloud services with identity management of on-premise applications from the cloud |
| CN109120620A (zh) * | 2018-08-17 | 2019-01-01 | 成都品果科技有限公司 | 一种服务器管理方法及系统 |
| CN109819053A (zh) * | 2019-03-11 | 2019-05-28 | 携程旅游信息技术(上海)有限公司 | 应用于混合云环境下的跳板机系统及其控制方法 |
| CN110324338A (zh) * | 2019-06-28 | 2019-10-11 | 深圳前海微众银行股份有限公司 | 数据交互方法、装置、堡垒机与计算机可读存储介质 |
| CN110365692A (zh) * | 2019-07-23 | 2019-10-22 | 秒针信息技术有限公司 | 一种服务器登录方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 吴耀芳;来学嘉;: "基于应用代理的运维堡垒机研究", 微型电脑应用, no. 08, 20 August 2013 (2013-08-20) * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114465766A (zh) * | 2021-12-27 | 2022-05-10 | 天翼云科技有限公司 | 基于ssh的远程访问方法、装置、电子设备和存储介质 |
| CN114465766B (zh) * | 2021-12-27 | 2023-08-04 | 天翼云科技有限公司 | 基于ssh的远程访问方法、装置、电子设备和存储介质 |
| CN114500023A (zh) * | 2022-01-18 | 2022-05-13 | 江苏银承网络科技股份有限公司 | 多云环境下的堡垒机访问控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3843364B1 (en) | Method, device, and apparatus for processing cloud service in cloud system | |
| CN113169952B (zh) | 一种基于区块链技术的容器云管理系统 | |
| US9524382B2 (en) | System and method for centralizedly controlling server user rights | |
| CN110324338B (zh) | 数据交互方法、装置、堡垒机与计算机可读存储介质 | |
| CN103795690B (zh) | 一种云访问控制的方法、代理服务器和系统 | |
| EP3618352B1 (en) | Virtual machine management | |
| CN111934918A (zh) | 对同一容器集群内的容器实例的网络隔离方法和装置 | |
| WO2016173199A1 (zh) | 一种移动应用单点登录方法及装置 | |
| CN113079164B (zh) | 堡垒机资源的远程控制方法、装置、存储介质及终端设备 | |
| CN109033857A (zh) | 一种访问数据的方法、装置、设备及可读存储介质 | |
| CN109450976A (zh) | 一种业务系统的访问的方法及装置 | |
| CN113765963A (zh) | 数据处理方法、装置、设备及计算机可读存储介质 | |
| CN113505354A (zh) | 一种数据处理方法、装置及存储介质 | |
| CN112073413A (zh) | 在线化联盟链管理方法、装置、计算机设备及存储介质 | |
| CN111597537B (zh) | 基于区块链网络的证书签发方法、相关设备及介质 | |
| CN111241523B (zh) | 认证处理方法、装置、设备和存储介质 | |
| EP4087206A1 (en) | Internet-of-things device registration method and apparatus, device and storage medium | |
| CN114598500B (zh) | 一种安全服务提供方法、平台、电子设备、介质及程序 | |
| CN102685115B (zh) | 一种资源的访问方法、资源管理设备和系统 | |
| CN104967515B (zh) | 一种身份认证方法及服务器 | |
| EP2808820A1 (en) | Method of changing password in an industrial automation and control system | |
| CN103051607B (zh) | 访问方法、设备及系统 | |
| CN114462003A (zh) | 多类型测试环境下的服务器用户权限控制方法及装置 | |
| CN114422231A (zh) | 一种多云管理平台的资源管理方法及相关设备 | |
| CN114389868A (zh) | 一种云资源的分配方法、系统、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |