访问控制方法和电子设备技术

本申请公开一种访问控制方法和电子设备，本申请在服务平台中增设了主节点，利用主节点作为服务平台的访问入口，对平台各服务节点上的服务进行访问控制，并具体利用主节点基于维护的各服务的外网地址与内网地址的第一对应关系，对访问过程中的流量进行外/内或内/外网地址转换及此基础上的流量路由，无需借助外部云平台的负载均衡服务提供的外网IP地址及地址转换功能，避免了对外部云平台的负载均衡服务的依赖，缩短了数据通讯链路路径，从而，至少部分地解决了传统服务方案存在的技术缺陷。部分地解决了传统服务方案存在的技术缺陷。部分地解决了传统服务方案存在的技术缺陷。

【技术实现步骤摘要】
访问控制方法和电子设备


[0001]本申请属于通信
，尤其涉及一种访问控制方法和电子设备。

技术介绍

[0002]在目前的容器平台下，有四种服务资源类型，其中有两种专门提供外部访问服务的类型，分别为NodePort和LoadBalancer。
[0003]申请人发现，上述两种服务资源类型的传统服务解决方案分别存在一些缺陷。其中，NodePort类型的传统服务解决方案的缺陷主要包括：1)在多节点情况下，如果对外提供服务时采用的Host节点出现故障，会直接影响用户的服务访问；2)对于安全隧道协商、安全对等服务等业务场景支持不足。LoadBalancer类型的传统服务解决方案一定程度上克服了NodePort类型服务解决方案的缺陷，但需要借助外部云平台的负载均衡服务提供的外网IP地址信息及地址转换功能，从而，对外部云平台的负载均衡服务的依赖性太强，不够灵活。同时，数据通讯链路路径也变长，影响性能。

技术实现思路

[0004]为此，本申请公开如下技术方案：
[0005]一种访问控制方法，应用于服务平台的主节点，所述服务平台包括主节点和至少一个部署有服务的服务节点；所述方法包括：
[0006]获得服务访问请求，所述服务访问请求包括待访问服务的第一外网地址；
[0007]基于所述服务平台各服务的外网地址与内网地址的第一对应关系，将所述服务访问请求中的第一外网地址转换为对应的第一内网地址；
[0008]基于所述第一内网地址将所述服务访问请求路由至相应服务节点上的所述待访问服务；
[0009]获得所述待访问服务对所述服务访问请求的响应信息，所述响应信息中包括所述第一内网地址；
[0010]基于所述第一对应关系，将所述响应信息中的所述第一内网地址转换为所述第一外网地址，向请求端反馈地址转换后的响应信息。
[0011]可选的，所述主节点中设置有集群路由器和集群交换机，每个服务节点中设置有对应的本地交换机；
[0012]所述基于所述服务平台各服务的外网地址与内网地址的第一对应关系，将所述服务访问请求中的第一外网地址转换为对应的第一内网地址，包括：
[0013]在所述集群交换机基于所述第一对应关系，将所述服务访问请求中的第一外网地址转换为对应的第一内网地址；
[0014]所述基于所述第一内网地址将所述服务访问请求路由至相应服务节点上的所述待访问服务，包括：
[0015]在所述集群交换机发送地址转换后的服务访问请求至所述集群路由器；
[0016]在所述集群路由器基于各服务节点的本地交换机与服务的内网地址的第二对应关系，将所述服务访问请求发送至与所述第一内网地址对应的目标本地交换机，以通过所述目标本地交换机将所述服务访问请求转发至相应服务节点中的所述待访问服务。
[0017]可选的，所述获得所述待访问服务对所述服务访问请求的响应信息，包括：
[0018]在所述集群路由器获得通过所述目标本地交换机转发的所述待访问服务对所述服务访问请求的响应信息，并转发所述响应信息至所述集群交换机；
[0019]所述基于所述第一对应关系，将所述响应信息中的所述第一内网地址转换为所述第一外网地址，向请求端反馈地址转换后的响应信息，包括：
[0020]在所述集群交换机基于所述第一对应关系，将所述响应信息中的所述第一内网地址转换为所述第一外网地址，向请求端反馈地址转换后的响应信息。
[0021]可选的，所述服务平台为容器平台，服务通过多副本方式基于容器部署在所述容器平台的多个服务节点上；部署于多个服务节点上的同一服务的多个副本对应同一内网地址和同一外网地址。
[0022]所述第二对应关系中与服务的内网地址对应的本地交换机为：从承载服务的多个副本的多个服务节点对应的多个本地交换机中选取的一个本地交换机；所述第二对应关系中与服务的内网地址对应的本地交换机，将得到的服务访问请求转发至从所述内网地址所指示服务的多个副本中选取的一个副本，并获得选取的所述副本对服务访问请求的响应信息进行转发。
[0023]可选的，所述服务平台各服务的外网地址与内网地址的第一对应关系的构建过程，包括：
[0024]基于监测到向服务平台的服务节点新增服务，从预置的外网地址集中选取一可用的外网地址；新增服务部署在所述服务平台的多个服务节点；
[0025]将选取的外网地址配置为所述新增服务的外网地址；
[0026]获取所述新增服务在所述服务平台对应的内网地址，构建并记录所述新增服务的外网地址与内网地址的对应关系，以通过对所述服务平台新增服务的监测构建所述第一对应关系。
[0027]可选的，在构建并记录所述新增服务的外网地址与内网地址的对应关系后，所述方法还包括：
[0028]构建所述新增服务的外网地址与所述新增服务的服务信息的第三对应关系，并向外网发布所述第三对应关系，以由外部设备通过所述新增服务的外网地址访问所述服务平台上部署的所述新增服务。
[0029]可选的，所述获取所述新增服务在所述服务平台对应的内网地址，构建并记录所述新增服务的外网地址与内网地址的对应关系，包括：
[0030]获取所述容器平台的网络管理模块为所述新增服务分配的内网地址，构建所述新增服务的外网地址与内网地址的对应关系；
[0031]将构建的所述对应关系传输至所述主节点中的集群交换机进行记录。
[0032]可选的，所述服务平台包括多个候选主节点，所述主节点为基于预设选举策略从所述多个候选主节点中选举的节点；
[0033]其中，未被选举为主节点的各个候选主节点监测主节点的运行状态，并在监测到
主节点运行状态异常情况下，基于所述预设选举策略竞争主节点身份，以实现主节点更新。
[0034]可选的，所述方法，还包括：
[0035]基于监测到从服务平台删除服务，配置被删除服务对应的外网地址的状态为表征外网地址闲置的预设状态；
[0036]和/或，基于设定的安全规则，对所述服务平台进行流量过滤处理。
[0037]一种电子设备，用于作为服务平台的主节点，所述服务平台包括所述主节点和至少一个服务节点，所述电子设备包括：
[0038]存储器，用于至少存储一组指令集；
[0039]处理器，用于调用并执行所述存储器中的所述指令集，通过执行所述指令集实现如上文任一项所述的访问控制方法。
[0040]由以上方案可知，本申请公开的访问控制方法和电子设备，在服务平台中增设了主节点，利用主节点作为服务平台的访问入口，对平台各服务节点上的服务进行访问控制，并具体利用主节点基于维护的各服务的外网地址与内网地址的第一对应关系，对访问过程中的流量进行外/内或内/外网地址转换及此基础上的流量路由，无需借助外部云平台的负载均衡服务提供的外网IP地址及地址转换功能，避免了对外部云平台的负载均衡服务的依赖，缩短了数据通讯链路路径，从而，至少部分地解决了传统服务方案存在的技术缺陷。
附图本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制方法，应用于服务平台的主节点，所述服务平台包括主节点和至少一个部署有服务的服务节点；所述方法包括：获得服务访问请求，所述服务访问请求包括待访问服务的第一外网地址；基于所述服务平台各服务的外网地址与内网地址的第一对应关系，将所述服务访问请求中的第一外网地址转换为对应的第一内网地址；基于所述第一内网地址将所述服务访问请求路由至相应服务节点上的所述待访问服务；获得所述待访问服务对所述服务访问请求的响应信息，所述响应信息中包括所述第一内网地址；基于所述第一对应关系，将所述响应信息中的所述第一内网地址转换为所述第一外网地址，向请求端反馈地址转换后的响应信息。2.根据权利要求1所述的方法，所述主节点中设置有集群路由器和集群交换机，每个服务节点中设置有对应的本地交换机；所述基于所述服务平台各服务的外网地址与内网地址的第一对应关系，将所述服务访问请求中的第一外网地址转换为对应的第一内网地址，包括：在所述集群交换机基于所述第一对应关系，将所述服务访问请求中的第一外网地址转换为对应的第一内网地址；所述基于所述第一内网地址将所述服务访问请求路由至相应服务节点上的所述待访问服务，包括：在所述集群交换机发送地址转换后的服务访问请求至所述集群路由器；在所述集群路由器基于各服务节点的本地交换机与服务的内网地址的第二对应关系，将所述服务访问请求发送至与所述第一内网地址对应的目标本地交换机，以通过所述目标本地交换机将所述服务访问请求转发至相应服务节点中的所述待访问服务。3.根据权利要求2所述的方法，所述获得所述待访问服务对所述服务访问请求的响应信息，包括：在所述集群路由器获得通过所述目标本地交换机转发的所述待访问服务对所述服务访问请求的响应信息，并转发所述响应信息至所述集群交换机；所述基于所述第一对应关系，将所述响应信息中的所述第一内网地址转换为所述第一外网地址，向请求端反馈地址转换后的响应信息，包括：在所述集群交换机基于所述第一对应关系，将所述响应信息中的所述第一内网地址转换为所述第一外网地址，向请求端反馈地址转换后的响应信息。4.根据权利要求3所述的方法，所述服务平台为容器平台，服务通过多副本方式基于容器部署在所述容器平台的多个服务节点上；部署于多个服务节点上的同一服务的多个副本对应同一内网地址和同一外网地址。所述第二对应关系中与服务的内网地址对应的本地交换机为：从承载服务的多个副本的多个服务...

【专利技术属性】
技术研发人员：曾飞宇，余海群，黄大成，
申请(专利权)人：联想北京有限公司，
类型：发明
国别省市：