本申请涉及一种在NAT规则上新增EIP的方法、装置、计算机设备和存储介质。所述方法包括:将目标EIP绑定至灰度出口网关对应的NAT规则,其中,灰度出口网关对应的NAT规则只绑定目标EIP,使得在通过灰度出口网关访问任一外部合作方时,只使用目标EIP访问上述任一外部合作方;将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,以通过灰度出口网关访问各外部合作方;根据各外部合作方对灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含目标EIP;响应于所有外部合作方均通过验证,将目标EIP绑定至目标NAT规则。本申请实施例能够平滑高效地在NAT规则上新增EIP,减少对业务产生的影响。减少对业务产生的影响。减少对业务产生的影响。
【技术实现步骤摘要】
在NAT规则上新增EIP的方法、装置、计算机设备和存储介质
[0001]本申请涉及计算机领域,特别是涉及一种在NAT规则上新增EIP的方法、装置、计算机设备和存储介质。
技术介绍
[0002]生产环境中为保证网络安全性,一般至少会划为内网区和外联区,内网不能直接访问互联网,外联区可以直接访问互联网。内网的服务如果访问外网一般会通过访问部署在外联区的代理网关服务来访问互联网,通常称该代理网关服务称为出口网关,一般安装了Nginx(engine x)、OpenResty等代理软件。
[0003]一个出口网关请求互联网时,经过路由表会转发到对应固定的NAT(Network Address Translation,网络地址转换)规则上,进而通过NAT规则绑定的EIP访问互联网。具体地,当请求外部合作方时,外部合作方会获取到请求的EIP来进行IP白名单校验。
[0004]考虑到某个或某些EIP(Elastic IP Address,弹性公网IP)可能会被网络运营商误封堵,为了实现出口高可用,通常会在NAT规则上绑定多个EIP。为了新增的EIP能够通过各个外部合作方的白名单校验,在新增EIP时需要通知各个外部合作方将新EIP添加至自己的白名单。然而,各个外部合作方添加白名单的时效性差异很大,必须等到所有外部合作方都添加完新EIP且生效后才能将新EIP绑定到NAT规则上。
[0005]由于在NAT规则中新增EIP时,很依赖外部合作方的添加时间,这样周期长且不方便验证新EIP是否生效,因而目前新增EIP的方式对业务的影响大,风险高。
技术实现思路
[0006]本申请针对上述不足或缺点,提供了一种在NAT规则上新增EIP的方法、装置、计算机设备和存储介质,本申请实施例能够平滑高效地在NAT规则上新增EIP,减少对业务产生的影响。
[0007]本申请根据第一方面提供了一种在NAT规则上新增EIP的方法,在一个实施例中,该方法包括:
[0008]将目标EIP绑定至灰度出口网关对应的NAT规则,其中,灰度出口网关对应的NAT规则只绑定目标EIP,使得在通过灰度出口网关访问任一外部合作方时,只使用目标EIP访问上述任一外部合作方;目标EIP是指需要绑定至目标NAT规则的EIP;将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,以通过灰度出口网关访问各外部合作方;根据各外部合作方对灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含目标EIP;响应于所有外部合作方均通过验证,将目标EIP绑定至目标NAT规则。
[0009]在一些实施例中,上述方法还包括:为每个外部合作方配置对应的网关配置信息;网关配置信息包括出口流量比例配置。
[0010]在一些实施例中,将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,包括:
[0011]通过流量分发网关拉取各外部合作方对应的网关配置信息,并根据各外部合作方的出口流量比例配置将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关。
[0012]在一些实施例中,上述方法还包括:确定各外部合作方支持访问的EIP数量;根据各外部合作方支持访问的EIP数量调整各外部合作方的出口流量比例配置。
[0013]在一些实施例中,任一外部合作方对灰度出口网关的反馈信息包括上述任一外部合作方对每个通过灰度出口网关访问上述任一外部合作方的请求的反馈信息,反馈信息包括返回内容和/或HTTP响应码。
[0014]在一些实施例中,根据任一外部合作方对灰度出口网关的反馈信息验证上述任一外部合作方的白名单中是否包含目标EIP的操作,包括:
[0015]根据任一外部合作方对灰度出口网关的反馈信息确定通过灰度出口网关访问上述任一外部合作方的每个请求的请求结果;
[0016]当通过灰度出口网关访问上述任一外部合作方的每个请求的请求结果均为请求失败时,判定上述任一外部合作方无法通过验证;
[0017]当通过灰度出口网关访问上述任一外部合作方的任一个请求的请求结果为请求成功时,判定上述任一外部合作方通过验证。
[0018]在一些实施例中,上述方法还包括:在将目标EIP绑定至灰度出口网关对应的NAT规则之前,创建灰度出口网关以及灰度出口网关对应的NAT规则;在将目标EIP绑定至目标NAT规则之后,删除灰度出口网关。
[0019]本申请根据第二方面提供了一种在NAT规则上新增EIP的装置,在一个实施例中,该装置包括:
[0020]第一绑定模块,用于将目标EIP绑定至灰度出口网关对应的NAT规则,其中,灰度出口网关对应的NAT规则只绑定目标EIP,使得在通过灰度出口网关访问任一外部合作方时,只使用目标EIP访问上述任一外部合作方;目标EIP是指需要绑定至目标NAT规则的EIP;
[0021]分发模块,用于将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,以通过灰度出口网关访问各外部合作方;
[0022]验证模块,用于根据各外部合作方对灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含目标EIP;
[0023]第二绑定模块,用于响应于所有外部合作方均通过验证,将目标EIP绑定至目标NAT规则。
[0024]本申请根据第三方面提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述任一方法的实施例的步骤。
[0025]本申请根据第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任一方法的实施例的步骤。
[0026]在本申请实施例中,通过将目标EIP绑定至灰度出口网关对应的NAT规则,其中,灰度出口网关对应的NAT规则只绑定目标EIP,使得在通过灰度出口网关访问任一外部合作方时,只使用目标EIP访问上述任一外部合作方;将各外部合作方对应的来自内网区的部分请求分发至灰度出口网关,以通过灰度出口网关访问各外部合作方;根据各外部合作方对灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含目标EIP;响应于所有外部
合作方均通过验证,将目标EIP绑定至目标NAT规则。本申请实施例能够平滑高效地在NAT规则上新增EIP,减少对业务产生的影响。
附图说明
[0027]图1为一个实施例中一种在NAT规则上新增EIP的方法的示例性流程图;
[0028]图2为一个实施例中一种在NAT规则上新增EIP的方法的示例性应用环境图;
[0029]图3为一个实施例中的网关配置信息的示例性示意图;
[0030]图4为一个实施例中一种在NAT规则上新增EIP的装置的示例性结构框图;
[0031]图5为一个实施例中计算机设备的示例性内部结构图。
具体实施方式
[0032]为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅用以解释本申本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种在NAT规则上新增EIP的方法,其特征在于,所述方法包括:将目标EIP绑定至灰度出口网关对应的NAT规则,其中,所述灰度出口网关对应的NAT规则只绑定所述目标EIP,使得在通过所述灰度出口网关访问任一外部合作方时,只使用所述目标EIP访问所述任一外部合作方;所述目标EIP是指需要绑定至目标NAT规则的EIP;将各外部合作方对应的来自内网区的部分请求分发至所述灰度出口网关,以通过所述灰度出口网关访问各外部合作方;根据各外部合作方对所述灰度出口网关的反馈信息验证各外部合作方的白名单中是否包含所述目标EIP;响应于所有外部合作方均通过验证,将所述目标EIP绑定至所述目标NAT规则。2.如权利要求1所述的方法,其特征在于,所述方法还包括:为每个外部合作方配置对应的网关配置信息;所述网关配置信息包括出口流量比例配置。3.如权利要求2所述的方法,其特征在于,所述将各外部合作方对应的来自内网区的部分请求分发至所述灰度出口网关,包括:通过流量分发网关拉取各外部合作方对应的网关配置信息,并根据各外部合作方的出口流量比例配置将各外部合作方对应的来自内网区的部分请求分发至所述灰度出口网关。4.如权利要求2所述的方法,其特征在于,所述方法还包括:确定各外部合作方支持访问的EIP数量;根据各外部合作方支持访问的EIP数量调整各外部合作方的出口流量比例配置。5.如权利要求1所述的方法,其特征在于,任一外部合作方对所述灰度出口网关的反馈信息包括所述任一外部合作方对每个通过所述灰度出口网关访问所述任一外部合作方的请求的反馈信息,所述反馈信息包括返回内容和/或HTTP响应码。6.如权利要求5所述的方法,其特征在于,根据任一外部合作方对所述灰度出口网关的反馈信息验证所述任一外部合作方的白名单中是否包含所述目标EIP的操作,包括:根据任一外部合作方对...
【专利技术属性】
技术研发人员:陈龙,毛薛强,
申请(专利权)人:上海数禾信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。