本發(fā)明涉及防火墻,尤其涉及一種基于容器形態(tài)的防火墻業(yè)務(wù)處理方法和系統(tǒng)及設(shè)備�。
背景技術(shù):
::1、防火墻在信息系統(tǒng)等級(jí)保護(hù)中扮演著關(guān)鍵角色�����,隨著云計(jì)算技術(shù)的發(fā)展���,防火墻技術(shù)也在不斷進(jìn)步,從傳統(tǒng)的硬件盒式防火墻向虛擬化和容器化轉(zhuǎn)變����。作為業(yè)務(wù)網(wǎng)關(guān),防火墻的可靠性至關(guān)重要����,必須確保單點(diǎn)故障不會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的中斷。2�、在傳統(tǒng)硬件防火墻中,為了實(shí)現(xiàn)高可靠性,通常采用主備方案或會(huì)話(huà)方案��,通過(guò)流量引流和會(huì)話(huà)備份來(lái)實(shí)現(xiàn)業(yè)務(wù)的互備����。流量引流通常依賴(lài)外部硬件交換機(jī),而會(huì)話(huà)備份則通過(guò)防火墻間的備份連接通道來(lái)完成�。在實(shí)際應(yīng)用中,傳統(tǒng)硬件防火墻或ecs形態(tài)防火墻的資源分配是固定的�,不適用于云上業(yè)務(wù)的復(fù)雜性和性能峰值的大幅波動(dòng),導(dǎo)致資源利用率低���。傳統(tǒng)的防火墻會(huì)話(huà)備份方案依賴(lài)網(wǎng)絡(luò)通道��,備份效率低��,存在會(huì)話(huà)丟失的風(fēng)險(xiǎn)����,在節(jié)點(diǎn)重啟或新節(jié)點(diǎn)加入時(shí)����,會(huì)引起批量備份,可能導(dǎo)致網(wǎng)絡(luò)流量振蕩和不穩(wěn)定���。3�����、虛擬化防火墻繼承了傳統(tǒng)防火墻的高可靠方案�����,但有所不同的是����,它依賴(lài)云基礎(chǔ)設(shè)施中的虛擬交換機(jī)進(jìn)行流量引流,會(huì)話(huà)備份則通過(guò)云虛擬網(wǎng)絡(luò)進(jìn)行�����,無(wú)需額外的直連通道���。在實(shí)際應(yīng)用中,隨著虛擬機(jī)數(shù)量的增長(zhǎng)���,虛擬防火墻的管理變得復(fù)雜����,性能受到虛擬化環(huán)境的限制,安全挑戰(zhàn)增加�����,且依賴(lài)于虛擬化平臺(tái)的穩(wěn)定性�����,此外�����,資源分配��、與傳統(tǒng)防火墻的集成�����、以及產(chǎn)品的安全性和可控性都需要嚴(yán)格的管理規(guī)范來(lái)保障�。4、云原生容器防火墻作為防火墻的新形態(tài)���,具有資源動(dòng)態(tài)調(diào)度��、故障自愈和靈活啟停等優(yōu)勢(shì)�����。然而�,由于防火墻是有狀態(tài)的服務(wù),而單個(gè)容器實(shí)例不穩(wěn)定���,不能滿(mǎn)足防火墻鏈路和會(huì)話(huà)業(yè)務(wù)的高可靠要求�,無(wú)法保證在單點(diǎn)故障時(shí)用戶(hù)長(zhǎng)連接業(yè)務(wù)的連續(xù)性���。5�����、因此����,如何提高防火墻部署效率���、資源利用率�����、管理便利性和可靠性��,成為亟待解決的技術(shù)問(wèn)題�。技術(shù)實(shí)現(xiàn)思路1���、有鑒于此��,為了克服現(xiàn)有技術(shù)的不足�����,本發(fā)明旨在提供一種基于容器形態(tài)的防火墻業(yè)務(wù)處理方法和系統(tǒng)及設(shè)備�����。2���、根據(jù)本發(fā)明的第一方面,提供一種基于容器形態(tài)的防火墻業(yè)務(wù)處理方法�����,該方法包括:3�、配置用于流量負(fù)載的隊(duì)列,通過(guò)負(fù)載均衡將接收的業(yè)務(wù)流量分配至配置的隊(duì)列中����;4��、創(chuàng)建與隊(duì)列對(duì)應(yīng)的業(yè)務(wù)處理容器��,將需要共享訪(fǎng)問(wèn)的臨界資源存儲(chǔ)在所有業(yè)務(wù)處理容器關(guān)聯(lián)的共享存儲(chǔ)中�����;5���、采用創(chuàng)建的業(yè)務(wù)處理容器并發(fā)處理隊(duì)列中的業(yè)務(wù)流量,通過(guò)動(dòng)態(tài)調(diào)整隊(duì)列數(shù)量和業(yè)務(wù)處理容器的數(shù)量調(diào)整防火墻業(yè)務(wù)處理能力��。6���、優(yōu)選地���,本發(fā)明基于容器形態(tài)的防火墻業(yè)務(wù)處理方法,配置用于流量負(fù)載的隊(duì)列�,通過(guò)負(fù)載均衡將接收的業(yè)務(wù)流量分配至配置的隊(duì)列中,包括:通過(guò)配置nfqueue參數(shù)設(shè)置為隊(duì)列設(shè)置隊(duì)列號(hào)���,通過(guò)配置負(fù)載均衡參數(shù)在經(jīng)過(guò)隊(duì)列號(hào)設(shè)置的隊(duì)列中指定隊(duì)列范圍����,通過(guò)iptable規(guī)則將接收的業(yè)務(wù)流量分配至指定的隊(duì)列中���。7����、優(yōu)選地�,本發(fā)明基于容器形態(tài)的防火墻業(yè)務(wù)處理方法,創(chuàng)建與隊(duì)列對(duì)應(yīng)的業(yè)務(wù)處理容器�,包括:獲取參與業(yè)務(wù)流量分配的隊(duì)列的數(shù)量,為每個(gè)參與流量分配的隊(duì)列一一對(duì)應(yīng)地創(chuàng)建業(yè)務(wù)處理容器����。8、優(yōu)選地�����,本發(fā)明基于容器形態(tài)的防火墻業(yè)務(wù)處理方法��,將需要共享訪(fǎng)問(wèn)的臨界資源存儲(chǔ)在所有業(yè)務(wù)處理容器關(guān)聯(lián)的共享存儲(chǔ)中����,包括:通過(guò)掛載虛擬內(nèi)存目錄���,將各個(gè)創(chuàng)建的業(yè)務(wù)處理容器關(guān)聯(lián)的臨界資源存儲(chǔ)在共享存儲(chǔ)中,該共享存儲(chǔ)用于被業(yè)務(wù)處理容器讀寫(xiě)關(guān)聯(lián)的臨界資源���。9�、優(yōu)選地�����,本發(fā)明基于容器形態(tài)的防火墻業(yè)務(wù)處理方法����,采用創(chuàng)建的業(yè)務(wù)處理容器并發(fā)處理隊(duì)列中的業(yè)務(wù)流量,包括:每個(gè)業(yè)務(wù)處理容器處理一個(gè)隊(duì)列中的業(yè)務(wù)流量�,各個(gè)業(yè)務(wù)處理容器并發(fā)且獨(dú)立地對(duì)隊(duì)列中的業(yè)務(wù)流量進(jìn)行處理。10���、優(yōu)選地�����,本發(fā)明基于容器形態(tài)的防火墻業(yè)務(wù)處理方法�����,通過(guò)動(dòng)態(tài)調(diào)整隊(duì)列數(shù)量和業(yè)務(wù)處理容器的數(shù)量調(diào)整防火墻業(yè)務(wù)處理能力�,包括:當(dāng)接收的業(yè)務(wù)流量增加,增加隊(duì)列數(shù)量����,更新分配業(yè)務(wù)流量的隊(duì)列���,通過(guò)負(fù)載均衡將增加的業(yè)務(wù)流量分配至增加的隊(duì)列中�,為增加的隊(duì)列創(chuàng)建增加的業(yè)務(wù)處理容器�,采用增加的業(yè)務(wù)處理容器處理增加的業(yè)務(wù)流量。11���、優(yōu)選地�����,本發(fā)明基于容器形態(tài)的防火墻業(yè)務(wù)處理方法���,通過(guò)動(dòng)態(tài)調(diào)整隊(duì)列數(shù)量和業(yè)務(wù)處理容器的數(shù)量調(diào)整防火墻業(yè)務(wù)處理能力,包括:當(dāng)接收的業(yè)務(wù)流量減少�,減少隊(duì)列數(shù)量,更新分配業(yè)務(wù)流量的隊(duì)列,通過(guò)負(fù)載均衡將減少后的業(yè)務(wù)流量分配至更新后的隊(duì)列中�����,關(guān)閉與減少的隊(duì)列關(guān)聯(lián)的業(yè)務(wù)處理容器��,采用剩余的業(yè)務(wù)處理容器處理減少后的業(yè)務(wù)流量�。12、優(yōu)選地����,本發(fā)明基于容器形態(tài)的防火墻業(yè)務(wù)處理方法,通過(guò)動(dòng)態(tài)調(diào)整隊(duì)列數(shù)量和業(yè)務(wù)處理容器的數(shù)量調(diào)整防火墻業(yè)務(wù)處理能力����,包括:當(dāng)存在發(fā)生故障的業(yè)務(wù)處理容器時(shí),更新隊(duì)列數(shù)量����,該更新后的隊(duì)列數(shù)量與正常的業(yè)務(wù)處理容器的數(shù)量相等,通過(guò)負(fù)載均衡將業(yè)務(wù)流量分配至更新的隊(duì)列中�,采用正常的業(yè)務(wù)處理容器并發(fā)處理更新后隊(duì)列中的業(yè)務(wù)流量。13�、根據(jù)本發(fā)明的第二方面,提供一種基于容器形態(tài)的防火墻業(yè)務(wù)處理系統(tǒng)����,該系統(tǒng)包括防火墻業(yè)務(wù)處理服務(wù)端����,該防火墻業(yè)務(wù)處理服務(wù)端用于:配置用于流量負(fù)載的隊(duì)列���,通過(guò)負(fù)載均衡將接收的業(yè)務(wù)流量分配至配置的隊(duì)列中��;創(chuàng)建與隊(duì)列對(duì)應(yīng)的業(yè)務(wù)處理容器���,將需要共享訪(fǎng)問(wèn)的臨界資源存儲(chǔ)在所有業(yè)務(wù)處理容器關(guān)聯(lián)的共享存儲(chǔ)中�;采用創(chuàng)建的業(yè)務(wù)處理容器并發(fā)處理隊(duì)列中的業(yè)務(wù)流量,通過(guò)動(dòng)態(tài)調(diào)整隊(duì)列數(shù)量和業(yè)務(wù)處理容器的數(shù)量調(diào)整防火墻業(yè)務(wù)處理能力�����。14����、根據(jù)本發(fā)明的第三方面,提供一種計(jì)算機(jī)設(shè)備��,包括存儲(chǔ)器�、處理器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序,所述處理器執(zhí)行所述程序時(shí)實(shí)現(xiàn)本發(fā)明第一方面所述的方法。15����、本發(fā)明基于容器形態(tài)的防火墻業(yè)務(wù)處理方法和系統(tǒng)及設(shè)備,具有以下有益技術(shù)效果:16�����、1.采用容器化多副本部署策略對(duì)業(yè)務(wù)處理容器進(jìn)行部署����,能夠根據(jù)實(shí)際業(yè)務(wù)流量動(dòng)態(tài)地調(diào)整業(yè)務(wù)處理容器的數(shù)量及其對(duì)應(yīng)的netfilter隊(duì)列數(shù)量,實(shí)現(xiàn)資源的合理分配和提高資源利用率��;17�����、2.基于容器化部署的業(yè)務(wù)處理容器�����,能夠快速響應(yīng)云上業(yè)務(wù)的需求�,具備快速部署、易于管理���、故障自愈等云原生特性��;18�����、3.將需要防火墻防護(hù)的業(yè)務(wù)流量均勻分配到對(duì)應(yīng)的netfilter隊(duì)列�,每個(gè)隊(duì)列中的業(yè)務(wù)流量由一個(gè)防火墻容器實(shí)例負(fù)責(zé)接收和處理,實(shí)現(xiàn)流量的負(fù)載分擔(dān)��,確保在單個(gè)防火墻實(shí)例發(fā)生故障時(shí)��,其他實(shí)例能夠立即接管業(yè)務(wù)需求���,保障鏈路的高可靠性;19�、4.通過(guò)linux共享內(nèi)存存儲(chǔ)公共會(huì)話(huà)表,實(shí)現(xiàn)多個(gè)容器實(shí)例共同管理會(huì)話(huà)信息��,不依賴(lài)網(wǎng)絡(luò)通道備份會(huì)話(huà)�,具有高效率,且不存在備份過(guò)程中信息丟失的風(fēng)險(xiǎn)����,從而提高性能和可靠性����;20���、5.當(dāng)單個(gè)防火墻實(shí)例出現(xiàn)故障時(shí)�,會(huì)話(huà)的后續(xù)流量由其他業(yè)務(wù)處理容器實(shí)例繼續(xù)處理����,這些實(shí)例能夠通過(guò)共享內(nèi)存訪(fǎng)問(wèn)會(huì)話(huà)表狀態(tài),確保業(yè)務(wù)處理不中斷�,用戶(hù)業(yè)務(wù)不受影響。技術(shù)特征:1.一種基于容器形態(tài)的防火墻業(yè)務(wù)處理方法���,其特征在于�����,所述方法包括:2.根據(jù)權(quán)利要求1所述的基于容器形態(tài)的防火墻業(yè)務(wù)處理方法���,其特征在于,配置用于流量負(fù)載的隊(duì)列�,通過(guò)負(fù)載均衡將接收的業(yè)務(wù)流量分配至配置的隊(duì)列中,包括:通過(guò)配置nfqueue參數(shù)設(shè)置為隊(duì)列設(shè)置隊(duì)列號(hào)�����,通過(guò)配置負(fù)載均衡參數(shù)在經(jīng)過(guò)隊(duì)列號(hào)設(shè)置的隊(duì)列中指定隊(duì)列范圍,通過(guò)iptable規(guī)則將接收的業(yè)務(wù)流量分配至指定的隊(duì)列中��。3.根據(jù)權(quán)利要求1所述的基于容器形態(tài)的防火墻業(yè)務(wù)處理方法����,其特征在于,創(chuàng)建與隊(duì)列對(duì)應(yīng)的業(yè)務(wù)處理容器���,包括:獲取參與業(yè)務(wù)流量分配的隊(duì)列的數(shù)量���,為每個(gè)參與流量分配的隊(duì)列一一對(duì)應(yīng)地創(chuàng)建業(yè)務(wù)處理容器。4.根據(jù)權(quán)利要求1所述的基于容器形態(tài)的防火墻業(yè)務(wù)處理方法��,其特征在于�����,將需要共享訪(fǎng)問(wèn)的臨界資源存儲(chǔ)在所有業(yè)務(wù)處理容器關(guān)聯(lián)的共享存儲(chǔ)中�,包括:通過(guò)掛載虛擬內(nèi)存目錄�,將各個(gè)創(chuàng)建的業(yè)務(wù)處理容器關(guān)聯(lián)的臨界資源存儲(chǔ)在共享存儲(chǔ)中,所述共享存儲(chǔ)用于被業(yè)務(wù)處理容器讀寫(xiě)關(guān)聯(lián)的臨界資源�。5.根據(jù)權(quán)利要求1所述的基于容器形態(tài)的防火墻業(yè)務(wù)處理方法����,其特征在于�,采用創(chuàng)建的業(yè)務(wù)處理容器并發(fā)處理隊(duì)列中的業(yè)務(wù)流量,包括:每個(gè)業(yè)務(wù)處理容器處理一個(gè)隊(duì)列中的業(yè)務(wù)流量�,各個(gè)業(yè)務(wù)處理容器并發(fā)且獨(dú)立地對(duì)隊(duì)列中的業(yè)務(wù)流量進(jìn)行處理。6.根據(jù)權(quán)利要求1所述的基于容器形態(tài)的防火墻業(yè)務(wù)處理方法�,其特征在于,通過(guò)動(dòng)態(tài)調(diào)整隊(duì)列數(shù)量和業(yè)務(wù)處理容器的數(shù)量調(diào)整防火墻業(yè)務(wù)處理能力�����,包括:當(dāng)接收的業(yè)務(wù)流量增加��,增加隊(duì)列數(shù)量����,更新分配業(yè)務(wù)流量的隊(duì)列,通過(guò)負(fù)載均衡將增加的業(yè)務(wù)流量分配至增加的隊(duì)列中�����,為增加的隊(duì)列創(chuàng)建增加的業(yè)務(wù)處理容器�,采用增加的業(yè)務(wù)處理容器處理增加的業(yè)務(wù)流量。7.根據(jù)權(quán)利要求1所述的基于容器形態(tài)的防火墻業(yè)務(wù)處理方法�����,其特征在于,通過(guò)動(dòng)態(tài)調(diào)整隊(duì)列數(shù)量和業(yè)務(wù)處理容器的數(shù)量調(diào)整防火墻業(yè)務(wù)處理能力���,包括:當(dāng)接收的業(yè)務(wù)流量減少��,減少隊(duì)列數(shù)量�,更新分配業(yè)務(wù)流量的隊(duì)列��,通過(guò)負(fù)載均衡將減少后的業(yè)務(wù)流量分配至更新后的隊(duì)列中����,關(guān)閉與減少的隊(duì)列關(guān)聯(lián)的業(yè)務(wù)處理容器,采用剩余的業(yè)務(wù)處理容器處理減少后的業(yè)務(wù)流量�。8.根據(jù)權(quán)利要求1所述的基于容器形態(tài)的防火墻業(yè)務(wù)處理方法,其特征在于���,通過(guò)動(dòng)態(tài)調(diào)整隊(duì)列數(shù)量和業(yè)務(wù)處理容器的數(shù)量調(diào)整防火墻業(yè)務(wù)處理能力�����,包括:當(dāng)存在發(fā)生故障的業(yè)務(wù)處理容器時(shí)����,更新隊(duì)列數(shù)量��,所述更新后的隊(duì)列數(shù)量與正常的業(yè)務(wù)處理容器的數(shù)量相等����,通過(guò)負(fù)載均衡將業(yè)務(wù)流量分配至更新的隊(duì)列中,采用正常的業(yè)務(wù)處理容器并發(fā)處理更新后隊(duì)列中的業(yè)務(wù)流量����。9.一種基于容器形態(tài)的防火墻業(yè)務(wù)處理系統(tǒng),其特征在于��,所述系統(tǒng)包括防火墻業(yè)務(wù)處理服務(wù)端�,所述防火墻業(yè)務(wù)處理服務(wù)端用于:配置用于流量負(fù)載的隊(duì)列,通過(guò)負(fù)載均衡將接收的業(yè)務(wù)流量分配至配置的隊(duì)列中��;創(chuàng)建與隊(duì)列對(duì)應(yīng)的業(yè)務(wù)處理容器��,將需要共享訪(fǎng)問(wèn)的臨界資源存儲(chǔ)在所有業(yè)務(wù)處理容器關(guān)聯(lián)的共享存儲(chǔ)中���;采用創(chuàng)建的業(yè)務(wù)處理容器并發(fā)處理隊(duì)列中的業(yè)務(wù)流量��,通過(guò)動(dòng)態(tài)調(diào)整隊(duì)列數(shù)量和業(yè)務(wù)處理容器的數(shù)量調(diào)整防火墻業(yè)務(wù)處理能力���。10.一種計(jì)算機(jī)設(shè)備����,其特征在于����,所述計(jì)算機(jī)設(shè)備包括存儲(chǔ)器、處理器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序�,所述處理器執(zhí)行所述程序時(shí)實(shí)現(xiàn)權(quán)利要求1-8中任一項(xiàng)所述方法的步驟。技術(shù)總結(jié)本發(fā)明涉及防火墻
技術(shù)領(lǐng)域:
:�����,提供一種基于容器形態(tài)的防火墻業(yè)務(wù)處理方法和系統(tǒng)及設(shè)備���,包括:配置用于流量負(fù)載的隊(duì)列����,通過(guò)負(fù)載均衡將接收的業(yè)務(wù)流量分配至配置的隊(duì)列中���;創(chuàng)建與隊(duì)列對(duì)應(yīng)的業(yè)務(wù)處理容器�����,將需要共享訪(fǎng)問(wèn)的臨界資源存儲(chǔ)在所有業(yè)務(wù)處理容器關(guān)聯(lián)的共享存儲(chǔ)中��;采用創(chuàng)建的業(yè)務(wù)處理容器并發(fā)處理隊(duì)列中的業(yè)務(wù)流量��,通過(guò)動(dòng)態(tài)調(diào)整隊(duì)列數(shù)量和業(yè)務(wù)處理容器的數(shù)量調(diào)整防火墻業(yè)務(wù)處理能力�����。根據(jù)本發(fā)明基于容器形態(tài)的防火墻業(yè)務(wù)處理方法和系統(tǒng)及設(shè)備�,可以動(dòng)態(tài)調(diào)整業(yè)務(wù)處理容器和NetFilter隊(duì)列數(shù)量以適應(yīng)業(yè)務(wù)流量�����,實(shí)現(xiàn)資源優(yōu)化和高利用率�����,具備云原生特性如快速部署����、易于管理、故障自愈特性���,實(shí)現(xiàn)負(fù)載分擔(dān)和高可靠性���。技術(shù)研發(fā)人員:鄧覃思受保護(hù)的技術(shù)使用者:中電云計(jì)算技術(shù)有限公司技術(shù)研發(fā)日:技術(shù)公布日:2024/12/30