CN119603356A - 一种云平台及其配置方法和配置装置 - Google Patents
一种云平台及其配置方法和配置装置 Download PDFInfo
- Publication number
- CN119603356A CN119603356A CN202411579678.XA CN202411579678A CN119603356A CN 119603356 A CN119603356 A CN 119603356A CN 202411579678 A CN202411579678 A CN 202411579678A CN 119603356 A CN119603356 A CN 119603356A
- Authority
- CN
- China
- Prior art keywords
- module
- security service
- security
- subnet
- cloud host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/59—Network arrangements, protocols or services for addressing or naming using proxies for addressing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种云平台及其配置方法和配置装置。所述云平台新增了用于连通安全子网和第一子网的第一代理模块,以及用于连通安全子网和第二子网的第二代理模块,在第一云主机和第二云主机的IP地址相同的情况下,第一云主机能够通过第一代理模块获取安全服务模块的安全服务,第二云主机通过第二代理模块获取安全服务模块的安全服务。解决了不同VPC实例内云主机IP地址相同时,安全服务客户端与服务端之间的连通问题。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种云平台及其配置方法和配置装置。
背景技术
云是当前主流的技术,为满足云内租户云主机的安全防护需求,云产商在云上支持安全服务。安全服务分为独享型和共享型,共享型的安全服务是在云平台的安全区部署安全服务Server集群,云平台内各VPC(Virtual Private Cloud,虚拟私有云)下的云主机共同分享这一个安全服务Server集群提供的安全能力。
云中的VPC是一个隔离的网络环境,运行在公共云服务提供商的基础设施上。它允许用户在云环境中创建和管理独立的虚拟网络,类似于传统的数据中心网络,但具备云计算的灵活性和可伸缩性。VPC具有网络隔离和支持网络自定义的特点,在VPC中用户可以自由定义子网、设置IP地址范围。因此,用户可以在不同VPC中创建相同网段的子网实例。而安全区网关打通到不同的VPC路由器,对于安全区内的安全服务Server来说,意味着有相同IP地址的云主机,但不知道该寻址哪个。
如何解决不同VPC下相同地址云主机与安全区内安全服务Server集群的正常连通问题,使能安全能力,是本领域有待解决的技术问题。
发明内容
为克服相关技术中存在的问题,本申请提供了一种云平台及其配置方法和配置装置。
根据本申请实施例的第一方面,提供一种云平台,所述云平台包括:
至少一个部署于安全子网的安全服务模块;
部署于第一VPC实例的第一子网的第一云主机,以及部署于第二VPC实例的第二子网的第二云主机,其中,所述第一云主机的IP地址和所述第二云主机的IP地址相同;
用于连通所述安全子网和所述第一子网的第一代理模块,以及用于连通所述安全子网和所述第二子网的第二代理模块;
其中,所述第一云主机通过所述第一代理模块获取所述安全服务模块的安全服务,所述第二云主机通过所述第二代理模块获取所述安全服务模块的安全服务。
根据本申请实施例的第二方面,提供一种云平台配置方法,包括:
创建用于连通安全子网和第一VPC实例下第一子网的第一代理模块,以及用于连通安全子网和第二VPC实例下第二子网的第二代理模块,其中,所述安全子网部署有至少一个安全服务模块,所述第一子网部署有第一云主机,所述第二子网部署有第二云主机,所述第一云主机的IP地址和所述第二云主机的IP地址相同;
对所述安全服务模块进行配置,或者对所述第一云主机和所述第二云主机进行配置,以使所述第一云主机通过所述第一代理模块获取所述安全服务模块的安全服务,所述第二云主机通过所述第二代理模块获取所述安全服务模块的安全服务。
根据本申请实施例的第三方面,提供一种云平台配置装置,包括:
创建模块,用于创建用于连通安全子网和第一VPC实例下第一子网的第一代理模块,以及用于连通安全子网和第二VPC实例下第二子网的第二代理模块,其中,所述安全子网部署有至少一个安全服务模块,所述第一子网部署有第一云主机,所述第二子网部署有第二云主机,所述第一云主机的IP地址和所述第二云主机的IP地址相同;
配置模块,用于对所述安全服务模块进行配置,或者对所述第一云主机和所述第二云主机进行配置,以使所述第一云主机通过所述第一代理模块获取所述安全服务模块的安全服务,所述第二云主机通过所述第二代理模块获取所述安全服务模块的安全服务。
本申请的实施例提供的技术方案可以包括以下有益效果:
在本申请实施例中,在云主机中新增了用于连通安全子网和第一子网的第一代理模块,以及用于连通安全子网和第二子网的第二代理模块,在第一云主机和第二云主机的IP地址相同的情况下,第一云主机能够通过第一代理模块获取安全服务模块的安全服务,第二云主机通过第二代理模块获取安全服务模块的安全服务。解决了不同VPC实例内云主机IP地址相同时,安全服务客户端与服务端之间的连通问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本申请的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的云平台的第一示意图;
图2为本申请实施例提供的云平台的第二示意图;
图3为本申请实施例提供的云平台的主机安全示意图;
图4为本申请实施例提供的云平台的堡垒机示意图;
图5为本申请实施例提供的云平台的数据库审计示意图;
图6为本申请实施例提供的云平台配置方法的示意图;
图7为本申请实施例提供的云平台配置装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”或者“若”可以被解释成为“在……时”或“当……时”。
传统云平台通过打通安全区网关到业务区VPC路由器之间的网络,使两个区域路由可达,进而实现安全服务Server与VPC内云主机的网络互通,路由可达。然而,由于VPC的网段是由用户自定义的,所以可能出现不同VPC网段重叠的情况,进而导致不同VPC下的云主机的IP地址相同。这种情形下,上述传统云平台的安全服务Server会不知道寻址哪个云主机。
针对上述问题,本申请提供一种云平台及其配置方法和配置装置,以解决不同VPC下相同地址云主机与安全区内安全服务Server集群的正常连通问题,使能安全能力。
接下来对本申请实施例进行详细说明。
本申请实施例提供了一种云平台,如图1所示,该云平台包括:
安全区,包括至少一个部署于安全子网的安全服务模块;
业务区,包括部署于第一VPC实例的第一子网的第一云主机,以及部署于第二VPC实例的第二子网的第二云主机,其中,第一云主机的IP地址和第二云主机的IP地址相同;
连通区,包括用于连通安全子网和第一子网的第一代理模块,以及用于连通安全子网和第二子网的第二代理模块。
其中,第一云主机通过第一代理模块获取安全服务模块的安全服务,第二云主机通过第二代理模块获取安全服务模块的安全服务。
具体的,本申请在传统云平台的基础上增加安全与业务的连通区,连通区的一端连接安全区的安全子网,另外一端连接各VPC实例内的业务子网。作为一种具体的实施方式,针对每个VPC实例,本申请在连通区创建一个虚拟机,通过虚拟机实现安全服务的代理功能,该虚拟机包含两个网卡,一个网卡连接VPC实例内的业务子网,一个网卡连接安全区内的安全子网。
本申请将安全服务模块按照流量方向分为两种类型,即第一安全服务模块和第二安全服务模块,其中,第一安全服务模块的流量方向为从服务端到客户端,第二安全服务模块的流量方向为从客户端到服务端。
如果安全服务模块为流量方向从服务端到客户端的第一安全服务模块,作为一种具体的实施方式,本申请通过Gost实现第一代理模块和第二代理模块。Gost是一种网络工具,用于创建各种网络代理和转发服务。它支持多种协议,包括Socks5网络代理协议。本申请通过Gost创建Socks5代理,用于监听安全子网的端口,转发TCP流量或UDP流量,还可以进一步设置用户名、密码等身份验证信息。
因此,在图1中,如果安全服务模块为流量方向从服务端到客户端的第一安全服务模块,则第一代理模块和第二代理模块为Gost模块,在安全服务模块上部署第一代理实例和第二代理实例,并进行如下配置:安全服务模块中第一代理实例的对端端口号配置为第一代理模块连接安全子网的端口号,安全服务模块中第二代理实例的对端端口号配置为第二代理模块连接安全子网的端口号。
如果安全服务模块为流量方向从客户端到服务端的第二安全服务模块,作为一种具体的实施方式,本申请通过Nginx实现第一代理模块和第二代理模块。Nginx是一种反向代理服务,支持将客户端请求转发到后端服务器,支持4层代理,转发TCP请求或UDP请求。Nginx支持通过配置文件的形式,配置监听的端口和代理的server端地址和端口。本申请通过配置Nginx,以实现第一代理模块和第二代理模块代理安全服务模块的端口。
因此,在图1中,在安全服务模块为流量方向从客户端到服务端的第二安全服务模块时,第一代理模块和第二代理模块为Nginx模块,在第一云主机上部署第一agent模块,在第二云主机上部署第二agent模块,并进行如下配置:第一云主机中第一agent模块的对端IP地址配置为第一代理模块连接第一子网的IP地址,第二云主机中第二agent模块的对端IP地址配置为第二代理模块连接第二子网的IP地址。
如上文所述,本申请中安全子网下至少部署一个安全服务模块,当安全子网下部署多个安全服务模块时,不同安全服务模块提供不同的安全服务,比如主机安全、数据库审计、堡垒机等。在这种情况下,不同云主机根据自身的安全需求不同,只需要从相应的安全服务模块获取安全服务。
因此,作为一种具体的实施方式,若安全子网部署有多个安全服务模块,则第一云主机通过第一代理模块获取第三安全服务模块的安全服务,第二云主机通过第二代理模块获取第四安全服务模块的安全服务,其中,第三安全服务模块为根据第一云主机的业务需求确定的安全服务模块,第四安全服务模块为根据第二云主机的业务需求确定的安全服务模块。可以理解的是,第三安全服务模块和第四安全服务模块中安全服务模块的数量为大于等于1的任意整数,且第三安全服务模块和第四安全服务模块中的安全服务模块可以部分甚至全部相同,本申请对此不作限定。
如上文所述,本申请中,安全子网部署的安全服务模块包括以下任意一项或多项:主机安全模块、数据库审计模块、堡垒机模块。下面对不同安全服务进行说明:
主机安全是一款用于保护计算机系统免受恶意攻击的产品,支持防病毒和反恶意软件。工作模式为客户端-服务端模式,主机安装客户端程序,客户端程序单向链接服务端,包括将病毒查杀结果上送服务端,或从服务端查询防护策略等。服务端提供防护策略配置功能,防护结果统计展示等。
数据库审计是一款对数据库的操作和访问行为进行记录、监控和分析,以确保数据的安全性和合规性的产品。工作模式为客户端-服务端模式,数据所在主机安装客户端程序,客户端程序单项链接服务端,包括将数据库访问行为数据上送服务端等,服务端生成分析报告等。
堡垒机是一种用于管理和控制外部访问的安全设备,提供对企业内部核心资源的集中化访问控制和审计功能。它通过统一的入口来处理各种访问请求,从而提高系统安全性和合规性。用户需要访问资产时,通过堡垒机的代理,完成资产访问。
结合上述实施例,下面以具体应用为例对本申请的实施过程做进一步说明。
如图2所示,在安全与业务的连通区(以下简称安全与业务连通区)创建两个虚拟机proxy,一个虚拟机连通安全子网和第一VPC实例的第一业务子网,另一个虚拟机连通安全子网和第二VPC实例的第二业务子网。第一VPC实例的第一业务子网下的第一云主机VM1与第二VPC实例的第二业务子网下的第二云主机VM1的IP地址相同。安全子网下部署有三个安全服务模块,分别为主机安全模块、堡垒机模块和数据库审计模块。
如图2所示,两个虚机proxy中安装Gost服务和Nginx服务。安全服务server端主动访问VPC实例内云主机时,透过Gost服务代理访问。虚拟机proxy中的Nginx服务具备代理安全服务server的能力,VPC实例内云主机主动访问安全服务server时,通过访问虚拟机proxy的VPC侧地址实现对安全服务server的访问。
如图3所示,主机安全服务实现步骤如下:
(31)在安全与业务连通区创建虚拟机proxyvpc1(如VPC实例1已创建对应虚机,无需重复创建),连接VPC实例业务子网的网卡地址配置为192.168.1.6,连接安全子网的网卡配置地址为9.9.9.3。
(32)在虚拟机proxyvpc1上安装Nginx服务。
(33)在代理服务器Nginx的配置文件中增加配置,定义监听的TCP端口和UDP端口,指定转发到的目标IP和端口。具体如下:
监听TCP和UDP的7443端口,将流量转发到9.9.9.13:7443;监听TCP和UDP的80端口,将流量转发到9.9.9.13:80;其他端口(9686、9685、9683、9682)也是类似的设置,监听并转发到相应的目标。
(34)下载主机安全客户端agent程序,在VPC实例1下的云主机VM1中安装agent程序。
(35)修改agent程序的配置文件中上联server地址为192.168.1.6。
(36)以上步骤完成后,VPC实例1下的云主机VM1中安装agent程序能够完成与server的连接,进而完成对云主机VM1的防护。
如图4所示,堡垒机服务实现步骤如下:
(41)在安全与业务连通区创建虚拟机proxyvpc1,连接VPC实例业务子网的网卡地址配置为192.168.1.6,连接安全子网的网卡配置地址为9.9.9.3。
(42)在虚拟机proxyvpc1中安装Gost服务。
(43)运行Socks5代理服务,通过TCP协议在端口3389上监听。用户需要输入正确的用户名和密码进行认证后,才能通过这个代理进行网络连接。Gost服务配置如下:
指定服务的名称为service-0,设置服务监听的地址和端口,此处监听的是本地的3389端口。指定处理程序的类型为SOCKS5代理。配置身份认证信息,用户名是`root`,密码是`Aab123!@`。设置监听的协议类型为tcp。
(44)在堡垒机上配置代理实例,命名为vpc1代理,地址为9.9.9.3,端口为3389,协议类型为socks5,用户名为root,密码为Aab123!@。
(45)堡垒机上创建资产A,资产A的地址为192.168.1.2,资产A关联vpc1代理。
(46)以上步骤完成后,安全区堡垒机能正常访问到资产A。
如图5所示,数据库审计实现步骤如下:
(51)在安全与业务连通区创建虚拟机proxyvpc1(如VPC实例1已创建对应虚机,无需重复创建),连接VPC实例业务子网的网卡地址配置为192.168.1.6,连接安全区安全子网的网卡配置地址为9.9.9.3。
(52)在虚拟机proxyvpc1上安装Nginx服务。
(53)在Nginx中增加配置,定义多个服务器块,用于监听和转发流量。具体如下:
每个server块定义一个服务器配置,用于监听特定的端口和协议(TCP或UDP),并将流量转发到指定的IP地址和端口。第一和第二个server块:监听TCP和UDP的1443端口,将流量转发到9.9.9.15:1443;第三和第四个server块:监听TCP和UDP的9265端口,将流量转发到9.9.9.15:9265;第五和第六个server块:监听TCP和UDP的9266端口,将流量转发到9.9.9.15:9266。
(54)下载数据库审计客户端agent程序,在VPC实例1下的云主机VM1中安装agent程序。
(55)修改agent程序的配置文件中上联server地址为192.168.1.6。
(56)以上步骤完成后,VPC实例1下的云主机VM1中安装agent程序能够完成与server的连接,进而完成对云主机的防护。
由以上技术方案可以看出,本申请提供一种云平台,新增了连通业务区和安全区的连通区,将三层的互通转化成四层的互通,以规避三层互通的弊端,具体的,解决了不同VPC实例内云主机IP地址相同时,安全服务客户端与服务端连通问题。
基于同一发明构思,本申请还提供了一种云平台配置方法,其流程图如图6所示,具体包括以下步骤:
步骤610、创建用于连通安全子网和第一VPC实例下第一子网的第一代理模块,以及用于连通安全子网和第二VPC实例下第二子网的第二代理模块,其中,安全子网部署有至少一个安全服务模块,第一子网部署有第一云主机,第二子网部署有第二云主机,第一云主机的IP地址和第二云主机的IP地址相同;
步骤620、对安全服务模块进行配置,或者对第一云主机和第二云主机进行配置,以使第一云主机通过第一代理模块获取安全服务模块的安全服务,第二云主机通过第二代理模块获取安全服务模块的安全服务。
作为一种具体的实施方式,在所述安全服务模块为流量方向从服务端到客户端的第一安全服务模块时,所述第一代理模块和所述第二代理模块为Gost模块,所述方法具体通过以下方式对所述安全服务模块进行配置:
所述安全服务模块中第一代理实例的对端端口号配置为所述第一代理模块连接所述安全子网的端口号,所述安全服务模块中第二代理实例的对端端口号配置为所述第二代理模块连接所述安全子网的端口号。
作为一种具体的实施方式,所述安全服务模块中第一代理实例和第二代理实例的协议类型配置为socks5协议。
作为一种具体的实施方式,在所述安全服务模块为流量方向从客户端到服务端的第二安全服务模块时,所述第一代理模块和所述第二代理模块为Nginx模块,所述方法具体通过以下方式对所述第一云主机和所述第二云主机进行配置:
所述第一云主机中第一agent模块的对端IP地址配置为所述第一代理模块连接所述第一子网的IP地址,所述第二云主机中第二agent模块的对端IP地址配置为所述第二代理模块连接所述第二子网的IP地址。
作为一种具体的实施方式,若所述安全子网部署有多个安全服务模块,所述方法具体通过以下方式对所述安全服务模块进行配置,或者对所述第一云主机和所述第二云主机进行配置:
对所述安全服务模块进行配置,或者对所述第一云主机和所述第二云主机进行配置,以使所述第一云主机通过所述第一代理模块获取第三安全服务模块的安全服务,所述第二云主机通过所述第二代理模块获取第四安全服务模块的安全服务,其中,所述第三安全服务模块为根据所述第一云主机的业务需求确定的安全服务模块,所述第四安全服务模块为根据所述第二云主机的业务需求确定的安全服务模块。
作为一种具体的实施方式,所述安全子网部署的安全服务模块包括以下任意一项或多项:主机安全模块、数据库审计模块、堡垒机模块。
基于同一发明构思,本申请还提供了一种云平台配置装置,其结构图如图7所示,具体包括:
创建模块710,用于创建用于连通安全子网和第一VPC实例下第一子网的第一代理模块,以及用于连通安全子网和第二VPC实例下第二子网的第二代理模块,其中,所述安全子网部署有至少一个安全服务模块,所述第一子网部署有第一云主机,所述第二子网部署有第二云主机,所述第一云主机的IP地址和所述第二云主机的IP地址相同;
配置模块720,用于对所述安全服务模块进行配置,或者对所述第一云主机和所述第二云主机进行配置,以使所述第一云主机通过所述第一代理模块获取所述安全服务模块的安全服务,所述第二云主机通过所述第二代理模块获取所述安全服务模块的安全服务。
作为一种具体的实施方式,在所述安全服务模块为流量方向从服务端到客户端的第一安全服务模块时,所述第一代理模块和所述第二代理模块为Gost模块,配置模块720具体通过以下方式对所述安全服务模块进行配置:
所述安全服务模块中第一代理实例的对端端口号配置为所述第一代理模块连接所述安全子网的端口号,所述安全服务模块中第二代理实例的对端端口号配置为所述第二代理模块连接所述安全子网的端口号。
作为一种具体的实施方式,所述安全服务模块中第一代理实例和第二代理实例的协议类型配置为Socks5协议。
作为一种具体的实施方式,在所述安全服务模块为流量方向从客户端到服务端的第二安全服务模块时,所述第一代理模块和所述第二代理模块为Nginx模块,配置模块720具体通过以下方式对所述第一云主机和所述第二云主机进行配置:
所述第一云主机中第一agent模块的对端IP地址配置为所述第一代理模块连接所述第一子网的IP地址,所述第二云主机中第二agent模块的对端IP地址配置为所述第二代理模块连接所述第二子网的IP地址。
作为一种具体的实施方式,若所述安全子网部署有多个安全服务模块,配置模块720具体通过以下方式对所述安全服务模块进行配置,或者对所述第一云主机和所述第二云主机进行配置:
对所述安全服务模块进行配置,或者对所述第一云主机和所述第二云主机进行配置,以使所述第一云主机通过所述第一代理模块获取第三安全服务模块的安全服务,所述第二云主机通过所述第二代理模块获取第四安全服务模块的安全服务,其中,所述第三安全服务模块为根据所述第一云主机的业务需求确定的安全服务模块,所述第四安全服务模块为根据所述第二云主机的业务需求确定的安全服务模块。
作为一种具体的实施方式,所述安全子网部署的安全服务模块包括以下任意一项或多项:主机安全模块、数据库审计模块、堡垒机模块。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (11)
1.一种云平台,其特征在于,所述云平台包括:
至少一个部署于安全子网的安全服务模块;
部署于第一VPC实例的第一子网的第一云主机,以及部署于第二VPC实例的第二子网的第二云主机,其中,所述第一云主机的IP地址和所述第二云主机的IP地址相同;
用于连通所述安全子网和所述第一子网的第一代理模块,以及用于连通所述安全子网和所述第二子网的第二代理模块;
其中,所述第一云主机通过所述第一代理模块获取所述安全服务模块的安全服务,所述第二云主机通过所述第二代理模块获取所述安全服务模块的安全服务。
2.根据权利要求1所述的云平台,其特征在于,在所述安全服务模块为流量方向从服务端到客户端的第一安全服务模块时,所述第一代理模块和所述第二代理模块为Gost模块,所述安全服务模块中第一代理实例的对端端口号配置为所述第一代理模块连接所述安全子网的端口号,所述安全服务模块中第二代理实例的对端端口号配置为所述第二代理模块连接所述安全子网的端口号。
3.根据权利要求2所述的云平台,其特征在于,所述安全服务模块中第一代理实例和第二代理实例的协议类型配置为socks5协议。
4.根据权利要求1所述的云平台,其特征在于,在所述安全服务模块为流量方向从客户端到服务端的第二安全服务模块时,所述第一代理模块和所述第二代理模块为Nginx模块,所述第一云主机中第一agent模块的对端IP地址配置为所述第一代理模块连接所述第一子网的IP地址,所述第二云主机中第二agent模块的对端IP地址配置为所述第二代理模块连接所述第二子网的IP地址。
5.根据权利要求1至4任意一项所述的云平台,其特征在于,若所述安全子网部署有多个安全服务模块,则所述第一云主机通过所述第一代理模块获取第三安全服务模块的安全服务,所述第二云主机通过所述第二代理模块获取第四安全服务模块的安全服务,其中,所述第三安全服务模块为根据所述第一云主机的业务需求确定的安全服务模块,所述第四安全服务模块为根据所述第二云主机的业务需求确定的安全服务模块。
6.根据权利要求5所述的云平台,其特征在于,所述安全子网部署的安全服务模块包括以下任意一项或多项:主机安全模块、数据库审计模块、堡垒机模块。
7.一种云平台配置方法,其特征在于,包括:
创建用于连通安全子网和第一VPC实例下第一子网的第一代理模块,以及用于连通安全子网和第二VPC实例下第二子网的第二代理模块,其中,所述安全子网部署有至少一个安全服务模块,所述第一子网部署有第一云主机,所述第二子网部署有第二云主机,所述第一云主机的IP地址和所述第二云主机的IP地址相同;
对所述安全服务模块进行配置,或者对所述第一云主机和所述第二云主机进行配置,以使所述第一云主机通过所述第一代理模块获取所述安全服务模块的安全服务,所述第二云主机通过所述第二代理模块获取所述安全服务模块的安全服务。
8.根据权利要求7所述的方法,其特征在于,在所述安全服务模块为流量方向从服务端到客户端的第一安全服务模块时,所述第一代理模块和所述第二代理模块为Gost模块,所述方法具体通过以下方式对所述安全服务模块进行配置:
所述安全服务模块中第一代理实例的对端端口号配置为所述第一代理模块连接所述安全子网的端口号,所述安全服务模块中第二代理实例的对端端口号配置为所述第二代理模块连接所述安全子网的端口号。
9.根据权利要求7所述的方法,其特征在于,在所述安全服务模块为流量方向从客户端到服务端的第二安全服务模块时,所述第一代理模块和所述第二代理模块为Nginx模块,所述方法具体通过以下方式对所述第一云主机和所述第二云主机进行配置:
所述第一云主机中第一agent模块的对端IP地址配置为所述第一代理模块连接所述第一子网的IP地址,所述第二云主机中第二agent模块的对端IP地址配置为所述第二代理模块连接所述第二子网的IP地址。
10.根据权利要求7至9任意一项所述的方法,其特征在于,若所述安全子网部署有多个安全服务模块,所述方法具体通过以下方式对所述安全服务模块进行配置,或者对所述第一云主机和所述第二云主机进行配置:
对所述安全服务模块进行配置,或者对所述第一云主机和所述第二云主机进行配置,以使所述第一云主机通过所述第一代理模块获取第三安全服务模块的安全服务,所述第二云主机通过所述第二代理模块获取第四安全服务模块的安全服务,其中,所述第三安全服务模块为根据所述第一云主机的业务需求确定的安全服务模块,所述第四安全服务模块为根据所述第二云主机的业务需求确定的安全服务模块。
11.一种云平台配置装置,其特征在于,包括:
创建模块,用于创建用于连通安全子网和第一VPC实例下第一子网的第一代理模块,以及用于连通安全子网和第二VPC实例下第二子网的第二代理模块,其中,所述安全子网部署有至少一个安全服务模块,所述第一子网部署有第一云主机,所述第二子网部署有第二云主机,所述第一云主机的IP地址和所述第二云主机的IP地址相同;
配置模块,用于对所述安全服务模块进行配置,或者对所述第一云主机和所述第二云主机进行配置,以使所述第一云主机通过所述第一代理模块获取所述安全服务模块的安全服务,所述第二云主机通过所述第二代理模块获取所述安全服务模块的安全服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202411579678.XA CN119603356A (zh) | 2024-11-05 | 2024-11-05 | 一种云平台及其配置方法和配置装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202411579678.XA CN119603356A (zh) | 2024-11-05 | 2024-11-05 | 一种云平台及其配置方法和配置装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN119603356A true CN119603356A (zh) | 2025-03-11 |
Family
ID=94841596
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202411579678.XA Pending CN119603356A (zh) | 2024-11-05 | 2024-11-05 | 一种云平台及其配置方法和配置装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN119603356A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120324572A1 (en) * | 2011-06-16 | 2012-12-20 | Telefonaktiebolaget L M Ericsson (Publ) | Systems and methods that perform application request throttling in a distributed computing environment |
| CN116582587A (zh) * | 2023-03-09 | 2023-08-11 | 天翼云科技有限公司 | 一种公有云跨地域管控的方法及装置 |
| CN116800712A (zh) * | 2019-05-10 | 2023-09-22 | 华为云计算技术有限公司 | 虚拟私有云与云下数据中心通信、配置方法及相关装置 |
| WO2024049905A1 (en) * | 2022-09-04 | 2024-03-07 | Aviatrix Systems, Inc. | Controller for coordinating flow separation of intra-vpc or inter-vpc communications |
| WO2024141061A1 (zh) * | 2022-12-30 | 2024-07-04 | 华为云计算技术有限公司 | 基于云计算技术的无服务器函数配置方法、装置及系统 |
| CN118573441A (zh) * | 2024-05-30 | 2024-08-30 | 新华三网络信息安全软件有限公司 | 一种安全服务的访问方法及系统 |
-
2024
- 2024-11-05 CN CN202411579678.XA patent/CN119603356A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120324572A1 (en) * | 2011-06-16 | 2012-12-20 | Telefonaktiebolaget L M Ericsson (Publ) | Systems and methods that perform application request throttling in a distributed computing environment |
| CN116800712A (zh) * | 2019-05-10 | 2023-09-22 | 华为云计算技术有限公司 | 虚拟私有云与云下数据中心通信、配置方法及相关装置 |
| WO2024049905A1 (en) * | 2022-09-04 | 2024-03-07 | Aviatrix Systems, Inc. | Controller for coordinating flow separation of intra-vpc or inter-vpc communications |
| WO2024141061A1 (zh) * | 2022-12-30 | 2024-07-04 | 华为云计算技术有限公司 | 基于云计算技术的无服务器函数配置方法、装置及系统 |
| CN116582587A (zh) * | 2023-03-09 | 2023-08-11 | 天翼云科技有限公司 | 一种公有云跨地域管控的方法及装置 |
| CN118573441A (zh) * | 2024-05-30 | 2024-08-30 | 新华三网络信息安全软件有限公司 | 一种安全服务的访问方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11831496B2 (en) | Providing access to configurable private computer networks | |
| CN113950816B (zh) | 使用边车代理机构提供多云微服务网关的系统和方法 | |
| US9712624B2 (en) | Secure virtual network platform for enterprise hybrid cloud computing environments | |
| US10382401B1 (en) | Cloud over IP for enterprise hybrid cloud network and security | |
| CN103023898B (zh) | 一种访问vpn服务端内网资源的方法及装置 | |
| US9699034B2 (en) | Secure cloud fabric to connect subnets in different network domains | |
| TWI395435B (zh) | 開放網路連接 | |
| US20020038339A1 (en) | Systems and methods for packet distribution | |
| US20020035639A1 (en) | Systems and methods for a packet director | |
| RU2595517C2 (ru) | Объекты виртуального сетевого интерфейса | |
| US20020032798A1 (en) | Systems and methods for packet sequencing | |
| US20020032766A1 (en) | Systems and methods for a packeting engine | |
| US20020032797A1 (en) | Systems and methods for service addressing | |
| US20080123536A1 (en) | Virtual network testing and deployment using network stack instances and containers | |
| US20120084406A1 (en) | Logical Networks | |
| CN106487556B (zh) | 业务功能sf的部署方法及装置 | |
| CN115296848B (zh) | 一种基于多局域网环境的堡垒机系统及堡垒机访问方法 | |
| US20070274314A1 (en) | System and method for creating application groups | |
| EP3836487B1 (en) | Internet access behavior management system and device | |
| JP2005236394A (ja) | ネットワークシステム及びネットワーク制御方法 | |
| CN119603356A (zh) | 一种云平台及其配置方法和配置装置 | |
| EP4595406A1 (en) | System and method for creating a private service access network | |
| CN116708554A (zh) | 一种可切换出口ip的网络代理方法及系统 | |
| WO2024116119A1 (en) | System and method for building application-specific internetworking nodes with reduced security vulnerabilities | |
| WO2002021804A1 (en) | Systems and methods for packet distribution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |