本公開涉及防火墻，具體涉及一種針對防火墻與交換機之間的信息交互方法及裝置。

背景技術(shù)：

1、在防火墻的應用組網(wǎng)中，防火墻常常會基于netconf(network?configurationprotocol，其為一種網(wǎng)絡(luò)管理協(xié)議)的方式給交換機下發(fā)引流策略的配置信息。進而當業(yè)務(wù)流量到達交換機后，交換機根據(jù)下發(fā)的引流策略將流量轉(zhuǎn)發(fā)到防火墻上，進而達到了引流的目的。

2、其中，netconf用于對網(wǎng)絡(luò)設(shè)備進行配置和管理。它的傳輸層依賴于安全的通信協(xié)議，而ssh2(secure?shell?version?2，該協(xié)議是一種安全的遠程登錄和文件傳輸協(xié)議)提供了這種安全的傳輸機制。當防火墻使用netconf通過ssh2連接到交換機時，首先要與ssh2建立連接，這就需要防護墻與交換機之間進行密鑰交換和客戶端認證過程，即防火墻側(cè)需要拿到用戶在交換機上設(shè)置的賬號和密碼。

3、但是，在一些涉及到機密性數(shù)據(jù)流量轉(zhuǎn)發(fā)的場景中，考慮到一些異常的配置會影響整個流量轉(zhuǎn)發(fā)時的網(wǎng)絡(luò)，交換機的賬號和密碼是不會提供給防火墻側(cè)的；因此，防火墻側(cè)就無法通過netconf動態(tài)的去給交換機下發(fā)引流策略的配置信息，只能采用靜態(tài)的方式在交換機上下發(fā)引流策略的配置信息。

4、目前，防火墻通常會以pod(pod是云原生集群中最小的可部署和管理的計算單元)的方式在部署在集群中，即在集群中創(chuàng)建防火墻實例，一旦防火墻實例的引流策略的配置信息發(fā)生改變，交換機上對應的引流策略的策略路由就需要及時調(diào)整；為了能夠及時動態(tài)的將防火墻實例的引流策略的配置信息發(fā)布至交換機上，同時更全面的節(jié)點保護、更好地處理本地流量、簡化網(wǎng)絡(luò)架構(gòu)，通常需要將防火墻實例的資源控制方式由集群中的deployment更換為daemonset。

5、然而，在采用daemonset的方式對防火墻實例進行資源控制時，需要在集群中的每個物理服務(wù)器上都運行一個防火墻實例pod對應的副本，因此，在防火墻實例的副本數(shù)會隨著集群中物理服務(wù)器的數(shù)量增加而增加，進而占用大量的服務(wù)器資源，降低了物理資源的利用率。

技術(shù)實現(xiàn)思路

1、有鑒于此，本技術(shù)實施例提供了一種針對防火墻與交換機之間的信息交互方法及裝置，能夠在動態(tài)的將防火墻實例的引流策略的配置信息發(fā)布至交換機時，減少對服務(wù)器資源的占用，提高物理資源的利用率。

2、第一方面，本技術(shù)實施例提供了一種針對防火墻與交換機之間的信息交互方法，應用于目標集群中的注冊服務(wù)模塊，所述方法包括：

3、接收目標防火墻實例發(fā)送的第一注冊請求；所述第一注冊請求中攜帶有所述目標防火墻實例的實例標識；

4、響應于所述第一注冊請求，創(chuàng)建目標注冊組，并將所述目標防火墻實例作為消息發(fā)布者添加至所述目標注冊組；所述目標注冊組以所述目標防火墻實例的實例標識進行命名；

5、接收交換機發(fā)送的第二注冊請求；所述第二注冊請求中攜帶有所述目標防火墻實例標識；

6、響應于所述第二注冊請求，通過所述實例標識確定所述目標注冊組；

7、在確定所述目標注冊組后，將所述交換機作為消息接收者添加至所述目標注冊組，以使所述目標防火墻實例與所述交換機通過所述注冊組進行信息交互。

8、作為本技術(shù)實施例一種可選的實施方式，所述在確定所述目標注冊組后，將所述交換機作為消息接收者添加至所述目標注冊組之后，所述方法包括：

9、在所述目標注冊組中，通過發(fā)布訂閱者模式建立所述目標防火墻實例與交換機之間的通信連接，以使所述目標防火墻實例與所述交換機進行信息交互。

10、作為本技術(shù)實施例一種可選的實施方式，所述方法還包括：

11、接收所述目標防火墻實例發(fā)送的目標策略更新消息；所述目標策略更新消息中攜帶用于指示所述交換機的下一跳的最新地址；

12、將所述目標策略更新消息推送至所述交換機，以使所述交換機將下一跳的地址更新為所述最新地址；

13、接收所述交換機發(fā)送的更新完成消息。

14、作為本技術(shù)實施例一種可選的實施方式，所述方法還包括：

15、接收所述目標防火墻實例發(fā)送的墻刪除消息；所述墻刪除消息指示所述交換機將下一跳地址進行空置處理；

16、將所述墻刪除消息推送至所述交換機；

17、接收所述交換機發(fā)送的空置處理完成消息。

18、第二方面，本技術(shù)實施例提供了一種針對防火墻與交換機之間的信息交互方法，應用于交換機，所述方法包括：

19、獲取策略配置信息；所述策略配置信息指示所述交換機進行注冊組的注冊；所述策略配置信息中包括目標防火墻實例的實例標識和注冊目的；

20、基于所述策略配置信息，生成第二注冊請求；

21、根據(jù)所述策略配置信息中的所述注冊目的，確定注冊服務(wù)模塊，并向所述注冊服務(wù)模塊發(fā)送所述第二注冊請求；以使所述注冊服務(wù)模塊基于所述第二注冊請求將所述交換機作為消息接收者添加至目標注冊組，并使得所述目標防火墻實例與所述交換機通過所述注冊組進行信息交互。

22、作為本技術(shù)實施例一種可選的實施方式，所述方法還包括：

23、接收目標策略更新消息；所述目標策略更新消息中攜帶用于指示所述交換機的下一跳的最新地址；

24、響應于所述目標策略更新消息，將下一跳的地址更新為所述最新地址，并在更新完成之后，向所述注冊服務(wù)模塊發(fā)送更新完成消息。

25、作為本技術(shù)實施例一種可選的實施方式，所述方法還包括：

26、接收目標防火墻實例發(fā)送的墻刪除消息；

27、響應于所述目標防火墻實例發(fā)送的墻刪除消息，將下一跳地址進行空置處理，并在空置處理之后，向所述注冊服務(wù)模塊發(fā)送空置處理完成消息。

28、第三方面，本技術(shù)實施例提供了一種針對防火墻與交換機之間的信息交互裝置，服務(wù)于目標集群中的注冊服務(wù)模塊，所述裝置包括：

29、接收單元，用于接收目標防火墻實例發(fā)送的第一注冊請求；所述第一注冊請求中攜帶有所述目標防火墻實例的實例標識；

30、創(chuàng)建單元，用于響應于所述第一注冊請求，創(chuàng)建目標注冊組，并將所述目標防火墻實例作為消息發(fā)布者添加至所述目標注冊組；所述目標注冊組以所述目標防火墻實例的實例標識進行命名；

31、所述接收單元，還用于接收交換機發(fā)送的第二注冊請求；所述第二注冊請求中攜帶有所述目標防火墻實例標識；

32、確定單元，用于響應于所述第二注冊請求，通過所述實例標識確定所述目標注冊組；

33、添加單元，用于在確定所述目標注冊組后，將所述交換機作為消息接收者添加至所述目標注冊組，以使所述目標防火墻實例與所述交換機通過所述注冊組進行信息交互。

34、作為本技術(shù)實施例一種可選的實施方式，所述添加單元，具體用于在所述目標注冊組中，通過發(fā)布訂閱者模式建立所述目標防火墻實例與交換機之間的通信連接，以使所述目標防火墻實例與所述交換機進行信息交互。

35、作為本技術(shù)實施例一種可選的實施方式，所述接收單元，具體用于接收所述目標防火墻實例發(fā)送的目標策略更新消息；所述目標策略更新消息中攜帶用于指示所述交換機的下一跳的最新地址；將所述目標策略更新消息推送至所述交換機，以使所述交換機將下一跳的地址更新為所述最新地址；接收所述交換機發(fā)送的更新完成消息。

36、作為本技術(shù)實施例一種可選的實施方式，所述接收單元，具體用于接收所述目標防火墻實例發(fā)送的墻刪除消息；所述墻刪除消息指示所述交換機將下一跳地址進行空置處理；將所述墻刪除消息推送至所述交換機；接收所述交換機發(fā)送的空置處理完成消息。

37、第四方面，本技術(shù)實施例提供了一種針對防火墻與交換機之間的信息交互裝置，服務(wù)于目標集群中的注冊服務(wù)模塊，所述裝置包括：

38、獲取單元，用于獲取策略配置信息；所述策略配置信息指示所述交換機進行注冊組的注冊；所述策略配置信息中包括目標防火墻實例的實例標識和注冊目的；

39、生成單元，用于基于所述策略配置信息，生成第二注冊請求；

40、確定單元，用于根據(jù)所述策略配置信息中的所述注冊目的，確定注冊服務(wù)模塊，并向所述注冊服務(wù)模塊發(fā)送所述第二注冊請求；以使所述注冊服務(wù)模塊基于所述第二注冊請求將所述交換機作為消息接收者添加至目標注冊組，并使得所述目標防火墻實例與所述交換機通過所述注冊組進行信息交互。

41、作為本技術(shù)實施例一種可選的實施方式，所述針對防火墻與交換機之間的信息交互裝置700還包括接收單元，具體用于接收目標策略更新消息；所述目標策略更新消息中攜帶用于指示所述交換機的下一跳的最新地址；響應于所述目標策略更新消息，將下一跳的地址更新為所述最新地址，并在更新完成之后，向所述注冊服務(wù)模塊發(fā)送更新完成消息。

42、作為本技術(shù)實施例一種可選的實施方式，所述接收單元，還用于接收目標防火墻實例發(fā)送的墻刪除消息；基于所述目標防火墻實例發(fā)送的墻刪除消息，將所述墻刪除消息推送至所述交換機；所述防火墻刪除指令指示所述交換機將下一跳地址進行空置處理；響應于所述目標防火墻實例發(fā)送的墻刪除消息，將下一跳地址進行空置處理，并在空置處理之后，向所述注冊服務(wù)模塊發(fā)送空置處理完成消息。

43、第五方面，本技術(shù)實施例提供了一種電子設(shè)備，包括：存儲器和處理器，所述存儲器用于存儲計算機程序；所述處理器用于在執(zhí)行計算機程序時，使得所述電子設(shè)備實現(xiàn)上述任一項實施例所述的針對防火墻與交換機之間的信息交互方法。

44、第六方面，本技術(shù)實施例提供了一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)上存儲有計算機程序，當所述計算機程序被計算設(shè)備執(zhí)行時，使得所述計算設(shè)備實現(xiàn)上述任一項實施例所述的針對防火墻與交換機之間的信息交互方法。

45、本技術(shù)實施例提供的針對防火墻與交換機之間的信息交互方法具體為：接收目標防火墻實例發(fā)送的第一注冊請求；所述第一注冊請求中攜帶有所述目標防火墻實例的實例標識；響應于所述第一注冊請求，創(chuàng)建目標注冊組，并將所述目標防火墻實例作為消息發(fā)布者添加至所述目標注冊組；所述目標注冊組以所述目標防火墻實例的實例標識進行命名；接收交換機發(fā)送的第二注冊請求；所述第二注冊請求中攜帶有所述目標防火墻實例標識；響應于所述第二注冊請求，通過所述實例標識確定所述目標注冊組；在確定所述目標注冊組后，將所述交換機作為消息接收者添加至所述目標注冊組，以使所述目標防火墻實例與所述交換機通過所述注冊組進行信息交互。本技術(shù)通過創(chuàng)建所述目標注冊組，并將該目標注冊組命名為所述目標防火墻實例的實例標識，進而通過所述目標防火墻實例的實例標識將所述目標防火墻實例，以及所述交換機添加到同一目標注冊組中，并在該目標注冊組中將目標防火墻實例作為消息的發(fā)布者，將交換機作為消息的接收者，使得通過該目標注冊組就可以建立目標防火墻實例與交換機之間的通信連接，便于將目標防火墻實例的相關(guān)策略的動態(tài)下發(fā)到交換機，因此，無需再將防火墻實例的資源調(diào)度方式修改為daemonset的方式，進而減少了防火墻實例的副本數(shù)量，減少對服務(wù)器資源的占用，提高物理資源的利用率。