业务系统中的网关控制方法、装置及电子设备转让专利
申请号 : CN202010400943.9
文献号 : CN111585880B
文献日 : 2021-09-28
发明人 : 林梅贞
申请人 : 腾讯科技(深圳)有限公司
摘要 :
权利要求 :
1.一种业务系统中的网关控制方法,其特征在于,包括:获取针对业务系统中的网关的许可信息;其中,所述许可信息用于指示向所述网关授权使用的处理器数量;
根据所述许可信息中的设备信息,从所述业务系统包括的多个网关中确定许可网关;
其中,所述设备信息包括所述许可网关所在设备的地址;
在所述许可网关部署对应所述许可信息的许可服务;
响应于对所述许可服务的调用,通过所述许可信息确定向调用所述许可服务的网关分配的处理器数量;
其中,调用所述许可服务的网关为所述业务系统中的任意一个网关;向调用所述许可服务的网关分配的处理器数量小于或等于所述授权使用的处理器数量;
根据向调用所述许可服务的网关分配的处理器数量,运行部署在调用所述许可服务的网关上的业务服务。
2.根据权利要求1所述的网关控制方法,其特征在于,所述获取针对业务系统中的网关的许可信息,包括:
将申请信息发送至签发中心;其中,所述申请信息包括为所述网关申请的处理器数量;
获取所述签发中心对所述申请信息审批通过时、发送的加密后的许可信息以及解密密钥;
其中,所述解密密钥用于在确定向所述网关分配的处理器数量时,对所述加密后的许可信息进行解密处理。
3.根据权利要求2所述的网关控制方法,其特征在于,还包括:当确定出向调用所述许可服务的网关分配的处理器数量时,将所述授权使用的处理器数量减去向调用所述许可服务的网关分配的处理器数量,得到剩余的处理器数量;
当所述剩余的处理器数量小于数量阈值时,输出告警信息;
其中,所述告警信息用于提示将新的申请信息发送至所述签发中心,所述新的申请信息用于申请新的许可信息,以使新剩余的处理器数量大于或等于所述数量阈值,所述新剩余的处理器数量为所述新的许可信息中授权使用的处理器数量减去向调用所述许可服务的网关分配的处理器数量得到。
4.根据权利要求1所述的网关控制方法,其特征在于,所述通过所述许可信息确定向调用所述许可服务的网关分配的处理器数量,包括:获取调用所述许可服务的网关生成的第一签名;其中,所述第一签名是对调用所述许可服务的网关的标识信息进行加密处理得到的;
对预先存储的、有权调用所述许可服务的网关的标识信息进行加密处理,得到第二签名;
当所述第一签名与所述第二签名匹配时,通过所述许可信息确定向调用所述许可服务的网关分配的处理器数量。
5.根据权利要求1所述的网关控制方法,其特征在于,所述在所述许可网关部署对应所述许可信息的许可服务之后,还包括:将所述许可服务的接口部署至所述业务系统中具有转发能力的网关,以使所述业务系统中的网关通过所述许可服务的接口调用所述许可服务;
所述通过所述许可信息确定向调用所述许可服务的网关分配的处理器数量之后,还包括:
将所述分配的处理器数量发送至所述具有转发能力的网关,以使所述具有转发能力的网关将所述分配的处理器数量发送至调用所述许可服务的网关。
6.根据权利要求1所述的网关控制方法,其特征在于,所述通过所述许可信息确定向调用所述许可服务的网关分配的处理器数量,包括:在调用所述许可服务的网关每次启动时或设定周期到达时,获取调用所述许可服务的网关的实际处理器数量;
当根据所述许可信息确定未向调用所述许可服务的网关分配处理器数量时,根据所述授权使用的处理器数量与所述实际处理器数量之间的比对结果,确定向调用所述许可服务的网关分配的处理器数量,并
将分配时间添加至所述许可信息中;
当根据所述许可信息确定已向调用所述许可服务的网关分配处理器数量时,保持向调用所述许可服务的网关分配的处理器数量不变,并根据实时时间更新所述许可信息中的分配时间。
7.根据权利要求6所述的网关控制方法,其特征在于,所述根据所述授权使用的处理器数量与所述实际处理器数量之间的比对结果,确定向调用所述许可服务的网关分配的处理器数量,包括:当所述授权使用的处理器数量小于所述实际处理器数量时,将所述授权使用的处理器数量确定为向调用所述许可服务的网关分配的处理器数量;
当所述授权使用的处理器数量大于或等于所述实际处理器数量时,将所述实际处理器数量确定为向调用所述许可服务的网关分配的处理器数量;
所述网关控制方法,还包括:
将实时时间减去所述许可信息中的分配时间,得到差值时长;
当所述差值时长超过时长阈值时,确定向调用所述许可服务的网关分配的处理器数量无效。
8.根据权利要求1至7任一项所述的网关控制方法,其特征在于,所述根据向调用所述许可服务的网关分配的处理器数量,运行部署在调用所述许可服务的网关上的业务服务,包括:
当向调用所述许可服务的网关分配的处理器数量为零时,运行部署在调用所述许可服务的网关上的第一业务服务,并拒绝运行部署在调用所述许可服务的网关上的第二业务服务;
当向调用所述许可服务的网关分配的处理器数量大于零时,根据向调用所述许可服务的网关分配的处理器数量,运行部署在调用所述许可服务的网关上的所述第一业务服务和所述第二业务服务;
其中,所述第一业务服务通过调用所述许可服务的网关自身的接口实现;所述第二业务服务用于与部署在其他网关的业务服务进行互相调用。
9.根据权利要求1至7任一项所述的网关控制方法,其特征在于,所述通过所述许可信息确定向调用所述许可服务的网关分配的处理器数量,包括:当实时时间超过所述许可信息中的有效期时,确定向调用所述许可服务的网关分配的处理器数量为零;
所述网关控制方法,还包括:
当所述网关第一次启动时,根据设定的处理器数量运行部署在所述网关上的业务服务;
其中,所述设定的处理器数量大于零。
10.一种业务系统中的网关控制方法,其特征在于,包括:获取针对业务系统中的网关的许可信息;其中,所述许可信息用于指示向所述网关授权使用的处理器数量;
根据所述许可信息中的设备信息,从所述业务系统包括的多个网关中确定许可网关;
其中,所述设备信息包括所述许可网关所在设备的地址;
在所述许可网关部署对应所述许可信息的许可服务;
响应于对所述许可服务的调用,通过所述许可信息确定向调用所述许可服务的网关分配的处理器数量;其中,调用所述许可服务的网关为所述业务系统中的任意一个网关;
响应于对调用所述许可服务的网关的查看操作,在显示界面中显示所述授权使用的处理器数量、以及向调用所述许可服务的网关分配的处理器数量;
其中,向调用所述许可服务的网关分配的处理器数量用于运行部署在调用所述许可服务的网关上的业务服务。
11.一种业务系统中的网关控制装置,其特征在于,包括:第一获取模块,用于获取针对业务系统中的网关的许可信息;其中,所述许可信息用于指示向所述网关授权使用的处理器数量;
分配模块,用于:
根据所述许可信息中的设备信息,从所述业务系统包括的多个网关中确定许可网关;
其中,所述设备信息包括所述许可网关所在设备的地址;
在所述许可网关部署对应所述许可信息的许可服务;
响应于对所述许可服务的调用,通过所述许可信息确定向调用所述许可服务的网关分配的处理器数量;
其中,调用所述许可服务的网关为所述业务系统中的任意一个网关;向调用所述许可服务的网关分配的处理器数量小于或等于所述授权使用的处理器数量;
运行模块,用于根据向调用所述许可服务的网关分配的处理器数量,运行部署在调用所述许可服务的网关上的业务服务。
12.一种业务系统中的网关控制装置,其特征在于,包括:第二获取模块,用于获取针对业务系统中的网关的许可信息;其中,所述许可信息用于指示向所述网关授权使用的处理器数量;
分配模块,用于:
根据所述许可信息中的设备信息,从所述业务系统包括的多个网关中确定许可网关;
其中,所述设备信息包括所述许可网关所在设备的地址;
在所述许可网关部署对应所述许可信息的许可服务;
响应于对所述许可服务的调用,通过所述许可信息确定向调用所述许可服务的网关分配的处理器数量;其中,调用所述许可服务的网关为所述业务系统中的任意一个网关;
显示模块,用于响应于对调用所述许可服务的网关的查看操作,在显示界面中显示所述授权使用的处理器数量、以及向调用所述许可服务的网关分配的处理器数量;
其中,向调用所述许可服务的网关分配的处理器数量用于运行部署在调用所述许可服务的网关上的业务服务。
13.一种电子设备,其特征在于,包括:存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现权利要求1至9任一项所述的业务系统中的网关控制方法,或者权利要求10所述的业务系统中的网关控制方法。
14.一种计算机可读存储介质,其特征在于,存储有可执行指令,用于被处理器执行时,实现权利要求1至9任一项所述的业务系统中的网关控制方法,或者权利要求10所述的业务系统中的网关控制方法。
说明书 :
业务系统中的网关控制方法、装置及电子设备
技术领域
背景技术
也是在业务系统中搭建业务中台的支撑框架。
限。但是,业务系统的实际运作情况很可能超出预估,例如使用的流量超过流量上限,导致
网关和业务系统存在崩溃或宕掉的风险,网关控制的稳定性低。
发明内容
况剥离开,就算业务系统出现访问频率高或者使用流量多的情况,也能够保证网关上的业
务服务正常运行,提升了网关控制的稳定性。
附图说明
具体实施方式
做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
的情况下相互结合。在以下的描述中,涉及到的“多个”是指至少两个。
次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
不是旨在限制本申请。
于政务办公类业务,该业务的应用程序的前台、后台以及负责前后台通信的中间模块(网
关)构成了该业务的业务系统。业务系统中可以集成多种业务,例如集成运行在移动端的业
务,运行在个人电脑(PC,Personal Computer)端的业务等。
之间转发数据。在网关上可以部署与业务系统相关的业务服务,例如身份鉴权、访问控制及
域名代理等。
超过向网关分配的处理器数量。其中,向网关分配的处理器数量小于或等于授权使用的处
理器数量。
一起、能与多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合。
侧业务的业务系统。例如,客户侧为一个政务单位,则商家侧可以部署一个私有化的、用于
实现数字化政务的业务系统,该业务系统提供有政务网站和政务小程序,政务单位的用户
可通过访问政务网站和政务小程序,来实现相应目的,例如查询某些政务文件等。
关技术提供的方案中,通常是预估私有化部署的业务系统的运作情况,例如业务服务的调
用频率、站点的访问频率、上行下行的流量等,再根据预估的情况决定如何采购对网关的许
可,例如采购网关所允许的业务服务的流量上限。相关技术提供的方案主要存在以下问题:
1)客户侧必须先部署网关,并在网关上运行业务服务后,才能具体了解采购的许可是否能
扛住业务系统的调用频率、访问频率以及下行上行的流量,若业务系统的实际运作情况与
预估的运作情况不符,例如访问频率和使用流量严重超过预期,则会导致采购的许可无法
支持业务系统运作,业务系统容易出现崩溃或者中途宕掉的情况;2)正在运行的业务系统
可能在特殊时期,如重保期间出现数量级较大的集中访问,若没有及时扩容许可,就会严重
影响业务系统的运作。
施例提供的电子设备的示例性应用,本申请实施例提供的电子设备可以实施为各种类型的
用户终端,也可以实施为服务器。
1连接服务器200,终端设备400还通过网络300‑2连接签发中心600(签发中心600可为终端
设备或服务器,图1A以服务器为例),服务器200连接数据库500,服务器200还通过网络300‑
3连接终端设备700。其中,对于网络300‑1、300‑2和300‑3来说,其可以是广域网或者局域
网,又或者是二者的组合;服务器200中部署有网关,这里,在一个服务器中,可以部署一个
网关,可以部署相同类型的多个网关,也可以部署不同类型的多个网关,另外,在终端设备
中也可部署网关,并不限于这里示出的服务器。
网关。终端设备400可将申请信息发送至商家侧的签发中心600,该申请信息包括为服务器
200中的网关申请的处理器数量。商家侧的人员对申请信息进行审批(其中可包括与客户侧
的签约流程),在审批通过后将许可信息发送至终端设备400,许可信息用于指示向网关授
权使用的处理器数量。终端设备400可将许可信息发送至服务器200,由服务器200确定向网
关分配的处理器数量,并根据向网关分配的处理器数量,运行部署在网关上的业务服务。终
端设备400可向服务器200发送对某个网关的查看请求,得到向该网关分配的处理器数量,
进而在图形界面410中显示许可信息包括向该网关授权使用的处理器数量、以及分配的处
理器数量。图1A中,以处理器数量为逻辑中央处理器(CPU,Central Processing Unit)数量
为例,示出了向xx网关授权使用的逻辑CPU数量24个、以及向xx网关分配的逻辑CPU数量8
个。
署在网关上的业务服务。
(API,Application Programming Interface)网关。基于接入网关、准入网关和API网关可
构建业务系统中的业务中台,通过协同运作,实现前台与后台的解耦。
图1A示出了通过网络300‑3连接服务器200的终端设备700,终端设备700可通过打开即时通
讯软件中的小程序、打开特定域名的网站或者运行下载的APP等方式,访问业务系统提供的
业务服务。终端设备700可在图形界面710中显示业务系统的界面,并在该界面中提供查询
数据的选项,当然,除了查询数据之外,业务系统还可提供更多的业务服务,这里仅以查询
数据进行示例说明。终端设备700响应于输入关键词的操作,将包括关键词的查询请求发送
至服务器200,服务器200中的网关根据该查询请求,从数据库500中查找与关键词对应的业
务数据,并将业务数据返回给终端设备700,以在图形界面710中显示。这里,存储数据的处
所并不限于数据库,例如还可以是分布式文件系统及区块链等。
储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台
等基础云计算服务的云服务器,云服务器可用于构建私有云,以实现私有化部署的业务系
统。终端设备400可以是平板电脑、笔记本电脑、台式计算机、机顶盒、移动设备(例如,移动
电话,个人数字助理,专用消息设备)等,但并不局限于此。终端设备以及服务器可以通过有
线或无线通信方式进行直接或间接地连接,本申请实施例中不做限制。
务包括但不限于域名代理、流量控制、负载均衡及数据加密,准入网关提供的业务服务包括
但不限于身份鉴权、会话管理及访问控制,API网关用于发布和管理API服务,具体如转发其
他网关的数据,或者调用后端服务的数据等,后端服务包括但不限于商业软件、云服务、自
建系统和数据服务。另外,还可基于网关构建身份认证模块,以实现统一的身份管理。在业
务系统中还可部署网关控制台,便于客户侧的相关人员对网关进行控制,例如进行身份认
证管理,开启或关闭网关,注册和配置应用,发布和配置API,订阅和审批API等。
小程序以及手机APP。业务系统的使用人员,如图1B示出的消费者、渠道商、供应商、开发商
和客户侧的员工,可通过前端应用来访问业务系统。业务系统中各种类型的网关通过协同
运作,从而对使用人员在前端应用发起的操作进行响应,例如响应于使用人员发起的查询
操作,将相应的业务数据显示于前端应用的界面。其中,业务系统的使用人员是指客户侧的
目标用户,与前文的商家侧不同。
一个网络接口220。服务器200中的各个组件通过总线系统230耦合在一起。可理解,总线系
统230用于实现这些组件之间的连接通信。总线系统230除包括数据总线之外,还包括电源
总线、控制总线和状态信号总线。但是为了清楚说明起见,在图2A中将各种总线都标为总线
系统230。
晶体管逻辑器件、分立硬件组件等,其中,通用处理器可以是微处理器或者任何常规的处理
器等。
个或多个存储设备。
以是随机存取存储器(RAM,Random Access Memory)。本申请实施例描述的存储器240旨在
包括任意适合类型的存储器。
Universal Serial Bus)等。
序和插件等形式的软件,包括以下软件模块:第一获取模块2431、分配模块2432及运行模块
2433,这些模块是逻辑上的,因此根据所实现的功能可以进行任意的组合或进一步拆分。将
在下文中说明各个模块的功能。
译码处理器形式的处理器,其被编程以执行本申请实施例提供的业务系统中的网关控制方
法,例如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,
Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable
Logic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场
可编程门阵列(FPGA,Field‑Programmable Gate Array)或其他电子元件。
端400中的各个组件通过总线系统440耦合在一起。可理解,总线系统440用于实现这些组件
之间的连接通信。总线系统440除包括数据总线之外,还包括电源总线、控制总线和状态信
号总线。但是为了清楚说明起见,在图2B中将各种总线都标为总线系统440。
器可以是微处理器或者任何常规的处理器等。
括有助于用户输入的用户接口部件,比如键盘、鼠标、麦克风、触屏显示屏、摄像头、其他输
入按钮和控件。
个或多个存储设备。
器450旨在包括任意适合类型的存储器。
接口);
序和插件等形式的软件,包括以下软件模块:第二获取模块4551及显示模块4552,这些模块
是逻辑上的,因此根据所实现的功能可以进行任意的组合或进一步拆分。将在下文中说明
各个模块的功能。
译码处理器形式的处理器,其被编程以执行本申请实施例提供的业务系统中的网关控制方
法,例如,硬件译码处理器形式的处理器可以采用一个或多个ASIC、DSP、PLD、CPLD、FPGA或
其他电子元件。
理器数量。在业务系统私有化部署于客户侧的情况下,许可信息可以是由与客户侧进行交
易的商家侧生成的,即授权使用的处理器数量为交易的内容,本申请实施例对交易的方式
不做限定,例如可为线上交易,也可为在线下交易完成后,商家侧在线上审批通过相应的授
权使用的处理器数量。
理器数量,将授权使用的处理器数量与实际处理器数量进行比对,根据比对结果确定向网
关分配的处理器数量,具体内容在后文进行详细阐述。
获取签发中心对申请信息审批通过时、发送的加密后的许可信息以及解密密钥;其中,解密
密钥用于在确定向网关分配的处理器数量时,对加密后的许可信息进行解密处理。
当然,申请信息中还可包括其他信息,例如联系人信息、业务系统的关联项目、部署类型及
部署环境(开发环境、测试环境、预生产环境或生产环境)等,便于签发中心进行审批。
量,授权使用的处理器数量可以更多、更少或相同,根据实际的交易及审批结果而定。签发
中心在生成许可信息之后,可对许可信息进行加密,并将加密后的许可信息和解密密钥发
送至服务器。例如,签发中心可通过非对称加密算法生成加密密钥和解密密钥,并通过加密
密钥对许可信息进行加密,其中,加密密钥可为私钥,解密密钥可为公钥,当然这并不构成
对本申请实施例的限定。服务器在满足设定的解密条件时,例如需要确定向网关分配的处
理器数量时,通过解密密钥对加密后的许可信息进行解密处理。在不满足解密条件的其他
情况下,由于许可信息处于加密状态,故能够有效地保证许可信息的安全性和保密性。
的处理器数量小于数量阈值时,输出告警信息;其中,告警信息用于提示将新的申请信息发
送至签发中心,新的申请信息用于申请新的许可信息,以使新剩余的处理器数量大于或等
于数量阈值,新剩余的处理器数量为新的许可信息中授权使用的处理器数量减去向网关分
配的处理器数量得到。
发送给客户侧的相关人员,以提示相关人员扩容许可。扩容许可的过程可以是,控制服务器
将新的申请信息发送至签发中心,得到签发中心返回的新的许可信息,以使新剩余的处理
器数量大于或等于数量阈值,新剩余的处理器数量为新的许可信息中授权使用的处理器数
量减去向网关分配的处理器数量得到。值得说明的是,在得到签发中心发送的新的许可信
息时,根据新的许可信息重新执行步骤102,即通过新的许可信息重新确定向网关分配的处
理器数量。通过上述方式,在剩余的处理器数量不足时,提醒对授权使用的处理器数量进行
扩容,进一步保证了业务系统的正常运作。
为零。
所有网关设置一个统一的有效期。服务器可获取实时时间,并将实时时间与许可信息中的
有效期进行比对,当实时时间超过有效期时,确定向网关分配的处理器数量为零。通过上述
方式,对网关的授权时限进行了有效控制,适用于实际的审批场景。
量时,运行部署在网关上的业务服务,本申请实施例对业务服务的内容不做限定,可根据网
关的类型和实际的业务系统来进行设定,例如可以是用户鉴权、访问控制或调取后台数据
等,还可以是依照业务系统的不同功能来划分的业务服务,例如在支付类的业务系统中,业
务服务可以是信用卡还款服务、账号服务或者话费充值服务等。根据分配的处理器数量运
行部署在网关上的业务服务后,就算业务系统的访问频率和使用流量较高,也只会使得业
务系统的响应速度变慢,而不会造成业务系统崩溃或者中途宕掉。
的第一业务服务,并拒绝运行部署在网关上的第二业务服务;当向网关分配的处理器数量
大于零时,根据向网关分配的处理器数量,运行部署在网关上的第一业务服务和第二业务
服务;其中,第一业务服务通过网关自身的接口实现;第二业务服务用于与部署在其他网关
的业务服务进行互相调用。
例如网关提供有OpenAPI,客户侧的相关人员可以不用访问网关的管理后台,直接调用网关
的OpenAPI去定制相应的管理界面,这里根据OpenAPI实现的服务即为第一业务服务;第二
业务服务用于与部署在其他网关的业务服务进行互相调用,例如网关A提供的信用卡还款
服务,网关B提供的是账号服务,则在调用信用卡还款服务时,需要调用账号服务,以确定对
哪个用户账号的信用卡进行还款,这里,对于网关A来说,信用卡还款服务即为第二业务服
务。
零时,运行部署在网关上的第一业务服务,并拒绝运行部署在网关上的第二业务服务;当向
网关分配的处理器数量大于零时,根据向网关分配的处理器数量,运行部署在网关上的第
一业务服务和第二业务服务。通过上述方式,在未对网关分配处理器数量或分配的处理器
数量为零时,仍能够保证第一业务服务的正常运行,提升了业务系统的健壮性。
配的处理器数量,进而根据分配的处理器数量运行部署在该网关上的业务服务。通过上述
方式,使得在根据许可信息对网关进行授权之前,业务服务能够正常运行。
运作。
合各步骤进行说明。
例如客户侧的服务器将包括设备信息的申请信息发送至签发中心,签发中心在审批得到向
网关授权使用的处理器数量后,生成包括授权使用的处理器数量和设备信息的许可信息,
并将许可信息发送至服务器。这里,许可信息可包括许可网关所在设备的地址及实际处理
器数量等,对此不做限定。
可中心专门运行许可服务,从而进一步将许可服务与许可网关运行的其他业务服务进行区
分。
处理器数量。其中,调用许可服务的网关为业务系统中的任意一个网关,许可网关也可调用
自身的许可服务,来得到向许可网关分配的处理器数量。
是相同的。例如,某个服务器上部署有网关A、网关B和网关C,则在许可信息中,向网关A、网
关B和网关C授权使用的处理器数量相同。另外,在步骤101中接收到的是加密后的许可信息
以及解密密钥的情况下,可将解密密钥存储于许可服务中,以在响应对许可服务的调用时,
根据解密密钥对加密后的许可信息进行解密处理。
名是对调用许可服务的网关的标识信息进行加密处理得到的;对预先存储的、有权调用许
可服务的网关的标识信息进行加密处理,得到第二签名;当第一签名与第二签名匹配时,通
过许可信息确定向调用许可服务的网关分配的处理器数量。
标识信息保存在许可网关本地。在接收到对许可服务的调用时,获取调用许可服务的网关
生成的第一签名,该第一签名是调用许可服务的网关对自身的标识信息进行加密处理得到
的,同时,对预先存储的、有权调用许可服务的网关的多个标识信息分别进行加密处理,得
到多个第二签名,其中,生成第一签名和生成第二签名的加密处理的方式一致,例如都是哈
希加密。
绝向调用许可服务的网关分配处理器数量。值得说明的是,可以对标识信息和动态信息共
同进行加密处理,得到签名,以防止恶意方通过窃取历史的签名来通过身份鉴权,动态信息
如实时时间。另外,上述方式并不构成对本申请实施例的限定,即在本申请实施例中还可应
用其他的身份鉴权方式。通过上述方式,提升了向网关分配处理器数量的有效性和安全性。
之后,还包括:将分配的处理器数量发送至具有转发能力的网关,以使具有转发能力的网关
将分配的处理器数量,发送至调用许可服务的网关。
此,业务系统中的其他网关可通过API网关中的许可服务的接口,调用许可服务,即API网关
用于在许可网关与调用许可服务的网关之间转发数据,以完成对调用许可服务的网关的授
权。当通过许可服务确定向调用许可服务的网关分配的处理器数量时,可将分配的处理器
数量发送至API网关,以使API网关将分配的处理器数量,发送至调用许可服务的网关。另
外,API网关也可以进行身份鉴权,当确定调用许可服务的接口的网关的第一签名与第二签
名匹配时,将调用许可服务的接口的网关发送的数据(例如该网关的实际处理器数量)转发
至许可网关,以调用许可服务;当不匹配时,拒绝转发调用许可服务的接口的网关发送的数
据。通过上述方式,通过具有转发能力的网关提升了网关授权的成功率,适用于业务系统中
不同网关之间可能无法直接通信的场景。
功率。
合各步骤进行说明。
场景进行设定,如设定为1天。步骤301相当于在网关每次启动时或设定周期到达时,检查一
次对网关的授权。
时间添加至许可信息中。
的网关中,这里以网关授权的记录包括分配时间为例。当许可信息中未包括与网关对应的
分配时间时,确定未向该网关分配处理器数量,此时,将许可信息中向该网关授权使用的处
理器数量与该网关的实际处理器数量进行比对,并根据比对结果确定向该网关分配的处理
器数量,同时将实时时间作为分配时间,添加至许可信息中。值得说明的是,在业务系统包
括多个网关的情况下,每个授权的网关对应一个分配时间。另外,在许可信息被加密密钥进
行加密的情况下,添加的网关授权的记录同样可通过加密密钥进行加密,其中,加密密钥可
由服务器自己生成,也可以从签发中心处获取。
数量小于实际处理器数量时,将授权使用的处理器数量,确定为向网关分配的处理器数量;
当授权使用的处理器数量大于或等于实际处理器数量时,将实际处理器数量确定为向网关
分配的处理器数量。
实际处理器数量为24个,则确定向该网关分配的处理器数量为8个;否则,将实际处理器数
量确定为向网关分配的处理器数量,例如授权使用的处理器数量为24个,网关所在设备的
实际处理器数量为8个,则确定向该网关分配的处理器数量为8个。通过上述方式,提升了向
网关分配处理器数量的有效性。
应的分配时间,即对分配时间进行更新。
行检查的时间之间的差值。若得到的差值时长超过时长阈值,如7天时,证明对应的网关出
现了异常,确定向网关分配的处理器数量无效。此外,若该网关所在的设备(如服务器)上部
署有其他网关,则也可确定向该网关所在设备上部署的其他网关分配的处理器数量无效。
通过上述方式,在长时间无法检查对网关的授权情况时,失效对该网关的授权,从而释放分
配给该网关的处理器数量。
务系统中与设备信息对应的网关,以将许可信息保存(安装)至该网关。
的指令发送至服务器,以使服务器关闭相应的网关。其中,可在终端设备中设定专门的显示
界面,用于接收启动网关或关闭网关的操作。通过上述方式,降低了控制网关开启和关闭的
难度。
送至签发中心,并获取签发中心对申请信息审批通过时发送的许可信息。
请信息进行审批,在审批通过时,将生成的许可信息发送至终端设备,这里,签发中心也可
以将加密后的许可信息以及解密密钥发送至终端设备。通过上述方式,能够加强与客户侧
人员的互动,提升网关控制的灵活性。
中显示向网关授权使用的处理器数量、以及向网关分配的处理器数量。除此之外,还可在该
显示界面中显示该网关授权的记录,例如网关所在设备的名称及分配时间等,以增加显示
的信息的维度。如此,便于终端设备的用户,如客户侧的相关人员实时地了解网关的授权情
况,检查网关授权是否正常,以及是否需要对授权使用的处理器数量进行扩容等。
器数量,提升了网关控制的可见性和可交互性,便于相关人员了解网关的授权情况。
关、准入网关及接入网关等多种类型的网关,网关部署在服务器上。
意一个网关上,网关控制台对应终端设备,可供客户侧的相关人员进行操作。然后,通过网
关控制台启动智能网关阵列,并向智能网关阵列发送申请授权的请求,智能网关阵列将该
请求转发至许可中心,以生成部署信息(对应上文的设备信息),部署信息包括许可中心所
在的服务器的互联网协议(IP,Internet Protocol)地址、媒体存取控制(MAC,Media
Access Control)地址及实际逻辑CPU数量(对应上文的实际处理器数量)等。本申请实施例
提供了如图5所示的网关控制台的一个界面示意图,在图5中,示出了许可中心节点的信息
即部署信息,许可中心节点是指许可中心所在的服务器,图5中的CPU核数即为逻辑CPU数
量,图5中还示出了刷新部署信息的选项,便于客户侧的相关人员(如运维人员)通过该选项
更新部署信息。
云,一般可通过互联网使用,核心属性是共享资源服务。本申请实施例提供了如图6所示的
签发中心的一个上传界面的示意图,在图6中,除了上传部署信息之外,还需要上传联系人
姓名、联系人邮箱、关联项目、部署类型、部署环境及为网关申请的逻辑CPU数量等信息,这
些信息共同构成了上传至签发中心的申请信息,便于签发中心的人员根据申请信息进行审
批,其中,部署类型包括正式部署和概念验证(POC,Proof Of Concept)部署等,部署环境包
括POC环境、开发环境、测试环境、预生产环境及生产环境等,当然,这并不构成对本申请实
施例的限定。
式的许可信息(许可证书)安装至许可中心,后文所指的许可信息和许可证书的含义相同。
本申请实施例提供了如图7所示的网关控制台的一个界面示意图,在图7中,示出了许可证
书的授权产品,这里的授权产品指的是节点(即网关所在的服务器),图示中以网关名称作
为节点的ID,具体包括边缘网关(Edge Gateway)、准入网关(Service Access Gateway)、接
入网关(Access Gateway)以及API网关,图7中还示出了许可证书的授权时间和到期时间
(授权时间与到期时间之间的时间即为许可证书的有效期)。对于每一种网关,还示出了在
许可证书中授权使用的逻辑CPU数量(即图中的CPUCount)以及网关正在使用的逻辑CPU数
量。图7还示出了网关的授权状态,包括授权节点ID、授权序列号、计算机名、授权时间、最后
获取时间(对应上文的分配时间)、状态(正常或连接失效)以及正在使用的逻辑CPU数量。
可中心中安装加密后的许可证书,并在许可中心的许可服务里存储解密密钥。当从签发中
心处获取到新的许可证书,即许可中心更换许可证书时,相应地更新许可服务中的解密密
钥。安装完成后,许可中心在网关上自动注册自身公开的许可服务,如图8所示,许可中心在
API网关上部署许可服务的接口,该接口可通过超文本传输安全协议(HTTPS,Hyper Text
Transfer Protocol over Securesocket layer)来调用,当然也可通过其他方式进行调
用,根据实际环境而定。另外,图8中的许可中心GateAgent是指许可中心所在的网关,阵列
授权Agent是指智能网关阵列中需要授权的网关,阵列GateAgent是指API网关阵列,即所有
的API网关,图8中的网关服务对应上文的业务服务。
值对应上文的剩余的处理器数量。若M为0,则返回0,即向当前节点分配的逻辑CPU数量为0。
若1
如将告警信息显示于网关控制台的界面中,以提示客户侧的相关人员扩容许可。
权的记录,包括但不限于:授权序列号、许可证书序列号、分配的逻辑CPU数量、授权时间、最
后获取时间和到期时间。其中,可对保存网关授权的记录的文件或数据库加密,以提升其安
全性和保密性。日志信息和网关授权的记录可便于客户侧的相关人员实时了解授权情况、
是否过期以及是否需要追加许可等。
权序列号、分配的逻辑CPU数量、授权时间、最后获取时间及状态。其中,状态包括:a.正常:
正常按照许可信息分配逻辑CPU数量,并且授权节点连接正常;b.连接失效:授权节点心跳
检测一段时间后无响应。
务接口,在每次启动时或设定周期(如1天)到达时,检查授权节点是否连接。对于某个授权
节点来说,若最后一次连接成功时间(即最后获取时间)距今超过时长阈值(如7天),则自动
失效对该授权节点的授权,并释放分配给该授权节点的逻辑CPU数量。
务器的实际逻辑CPU数量,并检查本地是否存在许可证书,若本地存在许可证书,则直接根
据许可证书进行授权许可。若本地不存在许可证书,则连接到许可服务。这里,阵列授权
Agent也可以定时检查许可中心返回的结果,例如返回的网关授权的记录,并连接许可服
务,实现对授权情况的定期检查。
份鉴权通过后,阵列GateAgent将包括实际逻辑CPU数量的请求,通过API网关路由过程转发
至许可中心,其中,API网关路由过程由部署有许可服务的接口的API网关实现。许可中心接
收到该请求后,根据安装的许可证书得到授权许可的结果(例如网关授权的记录),并将结
果以请求形式返回给阵列授权Agent,同时更新许可证书(例如添加网关授权的记录),其
中,许可中心GateAgent同样通过计算签名的方式进行身份鉴权,以保证在智能网关阵列中
进行数据传输的安全性。
关上的服务;2)许可证书已失效,则提示授权过期的错误信息;3)许可证书中无剩余的逻辑
CPU数量,则提示未授权许可的错误信息。
不同的网关,但在实际应用场景,不同的网关可能存在重叠,或者还可进一步拆分出更多类
型的网关,本申请实施例对此不做限定。
请信息。然后,获取签发中心对申请信息审批通过后,下发的许可证书。
发中心,签发中心也会根据需要重新生成许可证书,新的许可证书会再次同步到许可服务。
在图11中,签发中心提供的功能包括但不限于企业管理、产品管理、管理流程、证书签发、加
解密及有效性检查,其中,加解密指的是对许可证书进行加解密;许可服务提供的功能包括
但不限于证书安装、证书检查、证书更新、许可验证和防复制,其中,由于解密密钥存储在许
可服务中,即必须调用许可服务才能获知许可证书中的内容,实现了许可证书防复制的能
力;智能网关阵列和身份认证模块可调用许可服务,从而实现相应目的,其中,图11示出的
许可维度是指网关发送的实际逻辑CPU数量,身份认证模块基于智能网关阵列实现,用于提
供统一账号和认证管理、统一用户管理、统一组织结构管理和统一通讯录管理等功能。
客户侧在网关上发布的应用(如小程序)及服务站点(如网站)等会作为许可保护的对象,即
所有发布在网关的应用及服务站点等在启动时,都需要许可授权才能正常访问。
可以在规划部署方案时提前明确的,与业务系统的运作情况无关,只涉及到网关本身的并
发情况。因此,能够有效保障业务系统的正常运作。此外,在智能网关阵列第一次启动时,可
设定默认使用一个逻辑CPU,以在授权前保障业务系统的正常运作。
制装置243中的软件模块可以包括:第一获取模块2431,用于获取针对业务系统中的网关的
许可信息;其中,许可信息用于指示向网关授权使用的处理器数量;分配模块2432,用于通
过许可信息确定向网关分配的处理器数量;其中,向网关分配的处理器数量小于或等于授
权使用的处理器数量;运行模块2433,用于根据向网关分配的处理器数量,运行部署在网关
上的业务服务。
密后的许可信息以及解密密钥;其中,解密密钥用于在确定向网关分配的处理器数量时,对
加密后的许可信息进行解密处理。
器数量,得到剩余的处理器数量;告警模块,用于当剩余的处理器数量小于数量阈值时,输
出告警信息;其中,告警信息用于提示将新的申请信息发送至签发中心,新的申请信息用于
申请新的许可信息,以使新剩余的处理器数量大于或等于数量阈值,新剩余的处理器数量
为新的许可信息中授权使用的处理器数量减去向网关分配的处理器数量得到。
网关部署对应许可信息的许可服务;响应于对许可服务的调用,通过许可信息确定向调用
许可服务的网关分配的处理器数量;其中,调用许可服务的网关为业务系统中的任意一个
网关。
的、有权调用许可服务的网关的标识信息进行加密处理,得到第二签名;当第一签名与第二
签名匹配时,通过许可信息确定向调用许可服务的网关分配的处理器数量。
处理器数量发送至具有转发能力的网关,以使具有转发能力的网关将分配的处理器数量,
发送至调用许可服务的网关。
使用的处理器数量与实际处理器数量之间的比对结果,确定向网关分配的处理器数量,并
将分配时间添加至许可信息中;当根据许可信息确定已向网关分配处理器数量时,保持向
网关分配的处理器数量不变,并根据实时时间更新许可信息中的分配时间。
器数量大于或等于实际处理器数量时,将实际处理器数量确定为向网关分配的处理器数
量。
时长阈值时,确定向网关分配的处理器数量无效。
配的处理器数量大于零时,根据向网关分配的处理器数量,运行部署在网关上的第一业务
服务和第二业务服务;其中,第一业务服务通过网关自身的接口实现;第二业务服务用于与
部署在其他网关的业务服务进行互相调用。
理器数量大于零。
制装置455中的软件模块可以包括:第二获取模块4551,用于获取针对业务系统中的网关的
许可信息;其中,许可信息用于指示向网关授权使用的处理器数量,还用于确定向网关分配
的处理器数量;显示模块4552,用于响应于对网关的查看操作,在显示界面中显示授权使用
的处理器数量、以及向网关分配的处理器数量;其中,向网关分配的处理器数量用于运行部
署在网关上的业务服务。
信息。
如,如图3A、图3B、图3C和图4示出的业务系统中的网关控制方法。
各种设备。
可按任意形式部署,包括被部署为独立的程序或者被部署为模块、组件、子例程或者适合在
计算环境中使用的其它单元。
Markup Language)文档中的一个或多个脚本中,存储在专用于所讨论的程序的单个文件
中,或者,存储在多个协同文件(例如,存储一个或多个模块、子程序或代码部分的文件)中。
上执行。
够保证业务系统的正常运作,不会出现业务系统崩溃或者中途宕掉的情况。本申请实施例
能够较好地适用于私有化部署的应用场景。
够保证利用网关自身接口提供的第一业务服务的正常运行,提升了业务系统的健壮性。
可信息。
助于相关人员判断许可是否过期,是否需要追加(扩容)许可等。