一种多区域用户信息管理方法技术

本发明专利技术特别涉及一种多区域用户信息管理方法。该多区域用户信息管理方法，多个RADOSGateway区域通过同一个IAM控制台管理用户信息，每个RADOSGateway实例通过订阅所在区域的NATS集群的主题来消费IAM控制台的用户信息的变更消息；同时在每天的闲时时段启动用户信息修改补偿线程，增量修改本地用户信息，使其与IAM控制台中用户信息一致；RADOSGateway接收到来自用户的请求时，利用用户信息作为签名做对比完成认证，从而实现了RADOSGateway的认证与IAM解耦。该多区域用户信息管理方法，解决了多区域RADOSGateway中只有一个统一的IAM场景下的用户信息同步问题，实现了IAM和RADOSGateway的充分解耦合，降低了RADOSGateway和NATS的耦合，使得RADOSGateway能够更好的融入云原生体系，提升了用户的使用体验。体验。体验。

【技术实现步骤摘要】
一种多区域用户信息管理方法


[0001]本专利技术涉及云计算
，特别涉及一种多区域用户信息管理方法。

技术介绍

[0002]IAM(IdentityandAccessManagement)，即身份识别与访问管理，是一种对用户信息进行统一身份认证、授权，以及对相关资产进行集中管理与审计的Web服务。RADOS Gateway(Ceph之对象存储网关，简称RGW)将用户信息交由IAM统一管理的同时，不能采用IAM本身的认证功能，因为RADOSGateway对时延敏感，将访问IAM加入到用户请求的IO路径上影响RADOSGateway的性能，并且IAM不能承受RADOSGateway高并发场景下对其产生的压力。
[0003]RADOSGateway将用户信息交由IAM统一管理后，直接使用IAM的认证功能并不能满足RADOSGateway的实时性要求，同时多区域使用同一个IAM也会造成RADOS Gateway对IAM产生极大访问压力的问题。
[0004]基于上述问题，本专利技术提出了一种多区域用户信息管理方法。
专利技术本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种多区域用户信息管理方法，其特征在于：多个RADOS Gateway区域通过同一个IAM控制台管理用户信息，每个RADOS Gateway实例通过订阅所在区域的NATS集群的主题来消费IAM控制台的用户信息的变更消息；同时在每天的闲时时段启动用户信息修改补偿线程，直接向IAM控制台请求全量用户信息，经过与所在区域的本地用户信息做对比，增量修改本地用户信息，使其与IAM控制台中用户信息一致；RADOS Gateway接收到来自用户的请求时，从当前区域读取本地用户信息制作签名，与请求中携带的数字签名做对比完成认证，从而实现了RADOS Gateway的认证与IAM解耦。2.根据权利要求1所述的多区域用户信息管理方法，其特征在于：多区域间的NATS以超级集群的方式进行部署，使用户信息的变更消息在不同区域之间同步；每个区域的RADOS Gateway订阅所在区域的NATS集群的主题来消费IAM控制台的用户信息的变更消息时，指定消息传递模式为PUSH，NATS中间件接收到IAM控制台生产的消息后，主动将该消息推动给RADOS Gateway消费者。3.根据权利要求2所述的多区域用户信息管理方法，其特征在于：通过设置Durable name参数和Deliver Queue Group参数，使同一个区域内的多个RADOS Gateway持久化地竞争消费IAM控制台生产的消息。4.根据权利要求2所述的多区域用户信息管理方法，其特征在于：通过设置Manual Acks参数和Replay Policy参数以及Maximum Deliveries参数，使RADOS Gateway根据用户信息的同步结果确认返回NATS的ACK类型；当用户信息同步失败时，NATS中间件立刻重新推送该消息到RADOS Gateway消费者，最多重试次数为5次。5.根据权利要求2所述的多区域用户信息管理方法，其特征在于：所述用户信息修改补偿线程获取到用户的全部信息后，与本地的用户信息做对比，添加本地存储系统中缺少的秘钥信息，并删减本地存储系统中多余的秘钥信息，同时添加本地存储系统中缺少的子用户信息，并删减本地存储系统中多余的子用户信息，使本地存储系统与IAM控制台中用户信息一致。6.根据权利要求5所述的多区域用户信息管理方法，其特征在于：所述用户信息修改补偿线程向IAM控制台请求用户信息的同时，将该用户上锁，防止本区域内的其他RADOS Gateway实例并发同步同一个用户。7.根据权利要求1～6任意一项所述的多区域用户信息管理方法，其特征在于：具体步骤如下：步骤S1、在各个RADOS Gateway区域都部署NATS集群，然后将所有的NATS集群通过配置网关gateway的方式拓扑为一整个超级集群，每个区域中起若干个RADOS Gateway实例，每个实例都向本区域的NATS集群订阅指定的主题：RADOS Gateway实例向NATS发起订阅请求时，对以下参数进行设置：将Durable name参数设置为RADOS Gateway
‑
sync
‑
userinfo
‑
from
‑
iam
‑
{region}，用于指定后消费者具有持久化属性；当RADOS Gateway实例发生重启或升级后，从上一次消费消息的断点继续消费消息，而不是从起始位置重新消费；将Push Consumers参数设置为True，用于指定NATS消息的投递模型为Push；NATS中间件收到IAM控制台生产的消息后，主动将消息推送到RADOS Gateway实例消费者，以保证了
消息传递的实时性；将Deliver Queue Gro...

【专利技术属性】
技术研发人员：曹磊，王腾飞，李超，
申请(专利权)人：浪潮云信息技术股份公司，
类型：发明
国别省市：