本發(fā)明涉及混合云協(xié)同的端口代理技術(shù)和云計(jì)算技術(shù)，具體涉及一種面向混合云計(jì)算平臺的協(xié)同服務(wù)方法，用于滿足多個(gè)私有云間的協(xié)同，即通過互聯(lián)網(wǎng)將私有服務(wù)引入封閉計(jì)算環(huán)境的情景。

背景技術(shù)：

隨著“大物移云”（大數(shù)據(jù)，物聯(lián)網(wǎng)，移動通訊，云技術(shù)）的時(shí)代到來，可編程按需定制、集中式統(tǒng)一管理、動態(tài)流量監(jiān)管、自動化部署的新一代云計(jì)算環(huán)境帶來了生產(chǎn)生活和商業(yè)模式的根本性改變。越來越多的企業(yè)構(gòu)建了自己的私有云或者采用了第三方提供商的云服務(wù)，并取得了較好的應(yīng)用效果。但是另一方面，為了保留對自己數(shù)據(jù)和業(yè)務(wù)的掌控，有效降低風(fēng)險(xiǎn)，企業(yè)往往保留了部分業(yè)務(wù)系統(tǒng)運(yùn)行在企業(yè)內(nèi)部；同時(shí)又需要充分利用公有云的靈活、安全、全面的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和成本優(yōu)勢。這就產(chǎn)生了混合云的概念?；旌显萍軜?gòu)的需求普遍存在，也是大勢所趨。為了滿足這種需求，有云服務(wù)廠商提出了基于vpn（virtualprivatenetwork，虛擬專用網(wǎng)絡(luò)）的混合云架構(gòu)。但是如果有企業(yè)需要將私有云內(nèi)部的私有服務(wù)暴露給另一個(gè)封閉私有云，例如某企業(yè)需要保護(hù)數(shù)據(jù)的同時(shí)又要使用第三方云計(jì)算資源，則將企業(yè)內(nèi)部私有云中的數(shù)據(jù)庫服務(wù)暴露給云平臺中的虛擬私有云，以便其內(nèi)部隔離的計(jì)算環(huán)境能夠獲取相應(yīng)數(shù)據(jù)。這種基于vpn的架構(gòu)雖然能夠?qū)崿F(xiàn)將數(shù)據(jù)服務(wù)暴露給第三方計(jì)算資源，但是并不能很好地進(jìn)行這類服務(wù)的支持。因?yàn)関pn本身是全局代理的，這時(shí)vpn在暴露一個(gè)服務(wù)的同時(shí)還會將其他不應(yīng)暴露的服務(wù)或終端暴露出來，而且在計(jì)算結(jié)束后不能停止服務(wù)暴露，除非斷開vpn。這種vpn架構(gòu)不能提供服務(wù)的精確訂制、取消及審計(jì)，增加了整個(gè)系統(tǒng)的安全風(fēng)險(xiǎn)。一般代理技術(shù)，比如應(yīng)用層代理、http層代理和socks代理等都是一層轉(zhuǎn)發(fā)，無法穿過兩個(gè)私有云，不能直接應(yīng)用到這種混合云架構(gòu)中。另外，無論正向或反向代理，都是為了打通內(nèi)網(wǎng)和外網(wǎng)，為內(nèi)外網(wǎng)提供一條通路，但是這條通路并不是點(diǎn)對點(diǎn)的，有可能被外部網(wǎng)絡(luò)利用，具有一定安全隱患。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明要解決的技術(shù)問題：針對現(xiàn)有技術(shù)中存在的上述問題，提供了一種面向混合云計(jì)算平臺的協(xié)同服務(wù)方法，該方法能夠突破不同vpc中的訪問限制，按需進(jìn)行最小程度的服務(wù)暴露，同時(shí)對訪問進(jìn)行嚴(yán)密監(jiān)控和審計(jì)，實(shí)現(xiàn)了混合云協(xié)同，保證了私有云安全性。

為了解決上述技術(shù)問題，本發(fā)明采用的技術(shù)方案為：

一方面，本發(fā)明提供一種面向混合云計(jì)算平臺的協(xié)同服務(wù)方法，實(shí)施步驟包括：

1）用戶通過客戶端向帶有服務(wù)程序的第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程發(fā)送推端口請求，所述推端口請求包括服務(wù)程序的服務(wù)地址、端口以及用戶的身份認(rèn)證信息；

2）客戶端守護(hù)進(jìn)程將推端口請求通過互聯(lián)網(wǎng)發(fā)給待提供服務(wù)程序協(xié)同服務(wù)的第二節(jié)點(diǎn)；

3）第二節(jié)點(diǎn)在針對推端口請求驗(yàn)證用戶通過后在本地建立云端服務(wù)代理；

4）第一節(jié)點(diǎn)中的服務(wù)程序通過云端服務(wù)代理為第二節(jié)點(diǎn)中的客戶應(yīng)用程序提供協(xié)同服務(wù)。

優(yōu)選地，步驟2）的詳細(xì)步驟包括：客戶端守護(hù)進(jìn)程將推端口請求通過互聯(lián)網(wǎng)發(fā)給待提供服務(wù)程序協(xié)同服務(wù)的第二節(jié)點(diǎn)前端的負(fù)載均衡器，所述負(fù)載均衡器的后端連接有至少一個(gè)第二節(jié)點(diǎn)，所述第二節(jié)點(diǎn)包括至少一個(gè)用于接收推端口請求的云端連接管理器，所述負(fù)載均衡器收到推端口請求后將推端口請求發(fā)送給負(fù)載較小的第二節(jié)點(diǎn)、或者指定第二節(jié)點(diǎn)中負(fù)載較小的云端連接管理器、或者負(fù)載較小的第二節(jié)點(diǎn)中負(fù)載較小的云端連接管理器。

優(yōu)選地，所述客戶端守護(hù)進(jìn)程將推端口請求通過互聯(lián)網(wǎng)發(fā)給待提供服務(wù)程序協(xié)同服務(wù)的第二節(jié)點(diǎn)前端的負(fù)載均衡器時(shí)，發(fā)送的推端口請求為基于隧道協(xié)議傳輸且采用ssl協(xié)議進(jìn)行通信數(shù)據(jù)加密。

優(yōu)選地，步驟3）的詳細(xì)步驟包括：

3.1）第二節(jié)點(diǎn)的云端連接管理器采用ssl協(xié)議進(jìn)行通信數(shù)據(jù)解密；

3.2）針對解密后的身份認(rèn)證信息進(jìn)行驗(yàn)證，如果驗(yàn)證通過則跳轉(zhuǎn)執(zhí)行步驟3.3），否則判定用戶無權(quán)限并退出；

3.3）第二節(jié)點(diǎn)的云端連接管理器發(fā)送代理創(chuàng)建請求給本地的代理管理器，代理管理器在本地創(chuàng)建并啟動云端服務(wù)代理，云端服務(wù)代理開始監(jiān)聽連接請求。

優(yōu)選地，步驟4）的詳細(xì)步驟包括：

4.1）第二節(jié)點(diǎn)中的客戶應(yīng)用程序連接第二節(jié)點(diǎn)中的云端服務(wù)代理并請求服務(wù)，云端服務(wù)代理打包原始請求、云端服務(wù)代理的代理id、客戶應(yīng)用程序的socketid和連接id并轉(zhuǎn)發(fā)到第二節(jié)點(diǎn)中的連接管理器，所述連接id包含第二節(jié)點(diǎn)中的客戶應(yīng)用程序請求服務(wù)和所請求服務(wù)的真實(shí)服務(wù)程序所在的第一節(jié)點(diǎn)之間的連接信息；

4.2）第二節(jié)點(diǎn)中的連接管理器針對云端服務(wù)代理的請求解析出連接id，將原始請求的請求信息進(jìn)行加密后按連接id通過互聯(lián)網(wǎng)發(fā)給對應(yīng)的第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程，第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程將原始請求的請求信息進(jìn)行解密后發(fā)送給第一節(jié)點(diǎn)中的服務(wù)程序，并將服務(wù)程序的詳情結(jié)果加密后通過互聯(lián)網(wǎng)發(fā)給第二節(jié)點(diǎn)中的云端服務(wù)代理，再通過云端服務(wù)代理返回給第二節(jié)點(diǎn)中的客戶應(yīng)用程序。

另一方面，本發(fā)明還提供一種面向混合云計(jì)算平臺的協(xié)同服務(wù)方法，實(shí)施步驟包括：

s1）用戶通過客戶端向待提供服務(wù)程序協(xié)同服務(wù)的第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程發(fā)送拉端口請求，所述拉端口請求包括服務(wù)程序的服務(wù)地址、端口以及用戶的身份認(rèn)證信息；

s2）客戶端守護(hù)進(jìn)程將拉端口請求發(fā)給帶有服務(wù)程序的第二節(jié)點(diǎn)；

s3）第二節(jié)點(diǎn)在驗(yàn)證用戶通過后，跳轉(zhuǎn)執(zhí)行步驟s4）；

s4）第二節(jié)點(diǎn)中的服務(wù)程序通過第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程為第一節(jié)點(diǎn)中的客戶應(yīng)用程序提供協(xié)同服務(wù)。

優(yōu)選地，步驟s2）的詳細(xì)步驟包括：客戶端守護(hù)進(jìn)程將拉端口請求通過互聯(lián)網(wǎng)發(fā)給帶有服務(wù)程序的第二節(jié)點(diǎn)前端的負(fù)載均衡器，所述負(fù)載均衡器的后端連接有至少一個(gè)第二節(jié)點(diǎn)，所述第二節(jié)點(diǎn)包括至少一個(gè)用于接收拉端口請求的云端連接管理器，所述負(fù)載均衡器收到拉端口請求后將拉端口請求發(fā)送給負(fù)載較小的第二節(jié)點(diǎn)、或者指定第二節(jié)點(diǎn)中負(fù)載較小的云端連接管理器、或者負(fù)載較小的第二節(jié)點(diǎn)中負(fù)載較小的云端連接管理器。

優(yōu)選地，所述客戶端守護(hù)進(jìn)程將拉端口請求通過互聯(lián)網(wǎng)發(fā)給帶有服務(wù)程序的第二節(jié)點(diǎn)前端的負(fù)載均衡器時(shí)，發(fā)送的拉端口請求為基于隧道協(xié)議傳輸且采用ssl協(xié)議進(jìn)行通信數(shù)據(jù)加密。

優(yōu)選地，步驟s4）的詳細(xì)步驟包括：

s4.1）第一節(jié)點(diǎn)中的客戶應(yīng)用程序連接第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程并請求服務(wù)，第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程打包原始請求、客戶應(yīng)用程序的socketid和連接id并轉(zhuǎn)發(fā)到所請求服務(wù)的真實(shí)服務(wù)程序?qū)?yīng)的第二節(jié)點(diǎn)中的連接管理器，所述連接id包含第一節(jié)點(diǎn)中的客戶應(yīng)用程序請求服務(wù)和所請求服務(wù)的真實(shí)服務(wù)程序所在的第二節(jié)點(diǎn)之間的連接信息；

s4.2）第二節(jié)點(diǎn)中的連接管理器針對云端服務(wù)代理的請求解析出原始請求，將原始請求的請求信息發(fā)送給第二節(jié)點(diǎn)中的服務(wù)程序，并將服務(wù)程序的詳情結(jié)果加密后通過互聯(lián)網(wǎng)發(fā)給第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程，再通過客戶端守護(hù)進(jìn)程返回給第一節(jié)點(diǎn)中的客戶應(yīng)用程序。

本發(fā)明面向混合云計(jì)算平臺的協(xié)同服務(wù)方法具有下述優(yōu)點(diǎn)：

1、本發(fā)明方法中用戶向第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程發(fā)送推/拉端口請求，客戶端守護(hù)進(jìn)程將推/拉端口請求通過互聯(lián)網(wǎng)發(fā)給待提供服務(wù)程序協(xié)同服務(wù)的第二節(jié)點(diǎn)；針對推端口請求，第二節(jié)點(diǎn)在針對推端口請求驗(yàn)證用戶通過后在本地建立云端服務(wù)代理，第一節(jié)點(diǎn)中的服務(wù)程序通過云端服務(wù)代理為第二節(jié)點(diǎn)中的客戶應(yīng)用程序提供協(xié)同服務(wù)；針對拉端口請求，第二節(jié)點(diǎn)在驗(yàn)證用戶通過后，第二節(jié)點(diǎn)中的服務(wù)程序通過第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程為第一節(jié)點(diǎn)中的客戶應(yīng)用程序提供協(xié)同服務(wù)，從而能夠根據(jù)用戶的請求將vpc中的服務(wù)程序口推進(jìn)另一vpc環(huán)境中，或者將另一vpc中服務(wù)程序口拉進(jìn)本vpc環(huán)境中，以使處于不同vpc中的客戶應(yīng)用與服務(wù)進(jìn)行便利的協(xié)作，能夠突破不同vpc中的訪問限制，最小程度的暴露同時(shí)對訪問進(jìn)行嚴(yán)密監(jiān)控和審計(jì)，實(shí)現(xiàn)了混合云協(xié)同，同時(shí)保證了私有云的安全性。

2、本發(fā)明方法中用戶通過客戶端向帶有服務(wù)程序的第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程將推/拉端口請求通過互聯(lián)網(wǎng)發(fā)給待提供服務(wù)程序協(xié)同服務(wù)的第二節(jié)點(diǎn)，第二節(jié)點(diǎn)在驗(yàn)證用戶通過即可使得第一節(jié)點(diǎn)和第二節(jié)點(diǎn)建立連接，客戶應(yīng)用程序和服務(wù)程序的連接就如同在同一網(wǎng)絡(luò)中的直連，用戶程序和服務(wù)程序不需要進(jìn)行額外修改，兼容性好。

附圖說明

圖1為本發(fā)明實(shí)施例一的基本流程示意圖。

圖2為本發(fā)明實(shí)施例一的基本拓?fù)浣Y(jié)構(gòu)示意圖。

圖3為本發(fā)明實(shí)施例一在亞馬遜aws云上的具體實(shí)現(xiàn)原理示意圖。

圖4為本發(fā)明實(shí)施例二的基本流程示意圖。

圖5為本發(fā)明實(shí)施例二在亞馬遜aws云上的具體實(shí)現(xiàn)原理示意圖。

具體實(shí)施方式

實(shí)施例一：

本實(shí)施例中，第一節(jié)點(diǎn)帶有服務(wù)程序，第二節(jié)點(diǎn)不包含服務(wù)程序，用戶通過客戶端向第一節(jié)點(diǎn)發(fā)送推端口請求來使得第一節(jié)點(diǎn)、第二節(jié)點(diǎn)建立鏈接。在此基礎(chǔ)上，第二節(jié)點(diǎn)中的服務(wù)程序通過第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程為第一節(jié)點(diǎn)中的客戶應(yīng)用程序提供協(xié)同服務(wù)。

如圖1所示，本實(shí)施例面向混合云計(jì)算平臺的協(xié)同服務(wù)方法的實(shí)施步驟包括：

1）用戶通過客戶端向帶有服務(wù)程序的第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程發(fā)送推端口請求，所述推端口請求包括服務(wù)程序的服務(wù)地址、端口以及用戶的身份認(rèn)證信息；

2）客戶端守護(hù)進(jìn)程將推端口請求通過互聯(lián)網(wǎng)發(fā)給待提供服務(wù)程序協(xié)同服務(wù)的第二節(jié)點(diǎn)；

3）第二節(jié)點(diǎn)在針對推端口請求驗(yàn)證用戶通過后在本地建立云端服務(wù)代理；

4）第一節(jié)點(diǎn)中的服務(wù)程序通過云端服務(wù)代理為第二節(jié)點(diǎn)中的客戶應(yīng)用程序提供協(xié)同服務(wù)。

本實(shí)施例中，步驟2）的詳細(xì)步驟包括：客戶端守護(hù)進(jìn)程將推端口請求通過互聯(lián)網(wǎng)發(fā)給待提供服務(wù)程序協(xié)同服務(wù)的第二節(jié)點(diǎn)前端的負(fù)載均衡器，所述負(fù)載均衡器的后端連接有至少一個(gè)第二節(jié)點(diǎn)，所述第二節(jié)點(diǎn)包括至少一個(gè)用于接收推端口請求的云端連接管理器，所述負(fù)載均衡器收到推端口請求后將推端口請求發(fā)送給負(fù)載較小的第二節(jié)點(diǎn)、或者指定第二節(jié)點(diǎn)中負(fù)載較小的云端連接管理器、或者負(fù)載較小的第二節(jié)點(diǎn)中負(fù)載較小的云端連接管理器。

本實(shí)施例中，所述客戶端守護(hù)進(jìn)程將推端口請求通過互聯(lián)網(wǎng)發(fā)給待提供服務(wù)程序協(xié)同服務(wù)的第二節(jié)點(diǎn)前端的負(fù)載均衡器時(shí)，發(fā)送的推端口請求為基于隧道協(xié)議傳輸且采用ssl協(xié)議進(jìn)行通信數(shù)據(jù)加密。

本實(shí)施例中，步驟3）的詳細(xì)步驟包括：

3.1）第二節(jié)點(diǎn)的云端連接管理器采用ssl協(xié)議進(jìn)行通信數(shù)據(jù)解密；

3.2）針對解密后的身份認(rèn)證信息進(jìn)行驗(yàn)證，如果驗(yàn)證通過則跳轉(zhuǎn)執(zhí)行步驟3.3），否則判定用戶無權(quán)限并退出；

3.3）第二節(jié)點(diǎn)的云端連接管理器發(fā)送代理創(chuàng)建請求給本地的代理管理器，代理管理器在本地創(chuàng)建并啟動云端服務(wù)代理，云端服務(wù)代理開始監(jiān)聽連接請求。

本實(shí)施例中，步驟4）的詳細(xì)步驟包括：

4.1）第二節(jié)點(diǎn)中的客戶應(yīng)用程序連接第二節(jié)點(diǎn)中的云端服務(wù)代理并請求服務(wù)，云端服務(wù)代理打包原始請求、云端服務(wù)代理的代理id、客戶應(yīng)用程序的socketid和連接id并轉(zhuǎn)發(fā)到第二節(jié)點(diǎn)中的連接管理器，所述連接id包含第二節(jié)點(diǎn)中的客戶應(yīng)用程序請求服務(wù)和所請求服務(wù)的真實(shí)服務(wù)程序所在的第一節(jié)點(diǎn)之間的連接信息；

4.2）第二節(jié)點(diǎn)中的連接管理器針對云端服務(wù)代理的請求解析出連接id，將原始請求的請求信息進(jìn)行加密后按連接id通過互聯(lián)網(wǎng)發(fā)給對應(yīng)的第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程，第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程將原始請求的請求信息進(jìn)行解密后發(fā)送給第一節(jié)點(diǎn)中的服務(wù)程序，并將服務(wù)程序的詳情結(jié)果加密后通過互聯(lián)網(wǎng)發(fā)給第二節(jié)點(diǎn)中的云端服務(wù)代理，再通過云端服務(wù)代理返回給第二節(jié)點(diǎn)中的客戶應(yīng)用程序。

本實(shí)施例中，第一節(jié)點(diǎn)和第二節(jié)點(diǎn)均為vpc（virtualprivatecluster，虛擬私有集群，一臺或多臺物理或虛擬主機(jī)或容器組成的計(jì)算環(huán)境，具有封閉、獨(dú)立的網(wǎng)絡(luò)連接），第一節(jié)點(diǎn)為企業(yè)內(nèi)部私有云的vpc，第二節(jié)點(diǎn)為基于亞馬遜aws云上的vpc，。參見圖2，本實(shí)施例面向混合云計(jì)算平臺的協(xié)同服務(wù)方法可用于將企業(yè)內(nèi)部私有云的vpc中的服務(wù)端口推進(jìn)亞馬遜aws云上的vpc環(huán)境中，或者將亞馬遜aws云上的vpc中服務(wù)端口拉進(jìn)企業(yè)內(nèi)部私有云的vpc環(huán)境中，對用戶進(jìn)行身份審核，對端口訪問進(jìn)行審計(jì)，以及對信道進(jìn)行加密。

如圖3所示，本實(shí)施例面向混合云計(jì)算平臺的協(xié)同服務(wù)系統(tǒng)包括客戶端守護(hù)進(jìn)程、負(fù)載均衡器、云端連接管理器、云端代理管理器和云端服務(wù)代理五個(gè)部分。用戶向客戶端守護(hù)進(jìn)程發(fā)送推端口的指令，指令包括要推的本地服務(wù)地址和端口或遠(yuǎn)端要拉的服務(wù)地址和端口，以及用戶的身份認(rèn)證信息。客戶端守護(hù)進(jìn)程接到指令后連接負(fù)載均衡器并發(fā)送推拉端口請求，由負(fù)載均衡器轉(zhuǎn)發(fā)該請求到負(fù)載較小的云端連接管理器。如果總訪問量比較小，可以省略掉負(fù)載均衡器，由客戶端守護(hù)進(jìn)程直連云端連接管理器?？蛻舳耸刈o(hù)進(jìn)程到負(fù)載均衡器間的鏈路在互聯(lián)網(wǎng)上，采用ssl進(jìn)行通信數(shù)據(jù)加密。客戶端守護(hù)進(jìn)程發(fā)送的加密請求信息到達(dá)連接管理器后，連接管理器后根據(jù)用戶數(shù)據(jù)庫檢查該請求，如果賬戶有效，再檢查該用戶是否具有遠(yuǎn)程訪問權(quán)限，如果該用戶擁有遠(yuǎn)程訪問的權(quán)限，則接受此連接。在身份驗(yàn)證過程中產(chǎn)生的公有密鑰將用來對數(shù)據(jù)進(jìn)行加密。云端連接管理器接受連接后，判斷請求類型，如果是推端口請求，則通知云端代理管理器創(chuàng)建云端代理服務(wù)以供vpc內(nèi)應(yīng)用程序訪問；如果是拉端口請求，則直連被請求端口。云端連接管理器負(fù)責(zé)對所有連接進(jìn)行用戶身份審核和端口訪問審計(jì)。通過推拉端口建立連接后，客戶應(yīng)用程序和服務(wù)程序的連接就如同在同一網(wǎng)絡(luò)中的直連，用戶程序和服務(wù)程序不需要進(jìn)行額外修改。

通過上述技術(shù)方案可以看出，本實(shí)施例面向混合云計(jì)算平臺的協(xié)同服務(wù)方法不同于普通代理或反向代理，采用了兩層端口轉(zhuǎn)發(fā)，即vpc到internet一層和internet到vpc一層，實(shí)現(xiàn)了不同vpc環(huán)境中服務(wù)器端和客戶端的互聯(lián)互通。同時(shí)，本實(shí)施例面向混合云計(jì)算平臺的協(xié)同服務(wù)方法提供的是端到端的連接，不同于vpn的全流量通過，vpc內(nèi)其他資源不會被暴露。本實(shí)施例面向混合云計(jì)算平臺的協(xié)同服務(wù)方法使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。本實(shí)施例面向混合云計(jì)算平臺的協(xié)同服務(wù)方法能夠根據(jù)用戶請求將vpc中的服務(wù)程序口推進(jìn)另一vpc環(huán)境中，或者將另一vpc中服務(wù)程序口拉進(jìn)本vpc環(huán)境中，以使處于不同vpc中的客戶應(yīng)用與服務(wù)進(jìn)行便利的協(xié)作；對用戶進(jìn)行身份審核；對端口訪問進(jìn)行審計(jì)；以及對信道進(jìn)行加密。本發(fā)明技術(shù)方案能夠突破不同vpc中的訪問限制，最小程度的暴露同時(shí)對訪問進(jìn)行嚴(yán)密監(jiān)控和審計(jì)，實(shí)現(xiàn)了混合云協(xié)同，同時(shí)保證了私有云的安全性。

實(shí)施例二：

本實(shí)施例思路與實(shí)施例一基本相同，其主要不同點(diǎn)為：本實(shí)施例中第一節(jié)點(diǎn)不包含服務(wù)程序，而由第二節(jié)點(diǎn)帶有服務(wù)程序，用戶通過客戶端向第一節(jié)點(diǎn)發(fā)送拉端口請求來使得第一節(jié)點(diǎn)、第二節(jié)點(diǎn)建立鏈接，在此基礎(chǔ)上，第二節(jié)點(diǎn)中的服務(wù)程序通過第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程為第一節(jié)點(diǎn)中的客戶應(yīng)用程序提供協(xié)同服務(wù)。

如圖4所示，本實(shí)施例面向混合云計(jì)算平臺的協(xié)同服務(wù)方法的實(shí)施步驟包括：

s1）用戶通過客戶端向待提供服務(wù)程序協(xié)同服務(wù)的第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程發(fā)送拉端口請求，所述拉端口請求包括服務(wù)程序的服務(wù)地址、端口以及用戶的身份認(rèn)證信息；

s2）客戶端守護(hù)進(jìn)程將拉端口請求發(fā)給帶有服務(wù)程序的第二節(jié)點(diǎn)；

s3）第二節(jié)點(diǎn)在驗(yàn)證用戶通過后，跳轉(zhuǎn)執(zhí)行步驟s4）；

s4）第二節(jié)點(diǎn)中的服務(wù)程序通過第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程為第一節(jié)點(diǎn)中的客戶應(yīng)用程序提供協(xié)同服務(wù)。

本實(shí)施例中，步驟s2）的詳細(xì)步驟包括：客戶端守護(hù)進(jìn)程將拉端口請求通過互聯(lián)網(wǎng)發(fā)給帶有服務(wù)程序的第二節(jié)點(diǎn)前端的負(fù)載均衡器，所述負(fù)載均衡器的后端連接有至少一個(gè)第二節(jié)點(diǎn)，所述第二節(jié)點(diǎn)包括至少一個(gè)用于接收拉端口請求的云端連接管理器，所述負(fù)載均衡器收到拉端口請求后將拉端口請求發(fā)送給負(fù)載較小的第二節(jié)點(diǎn)、或者指定第二節(jié)點(diǎn)中負(fù)載較小的云端連接管理器、或者負(fù)載較小的第二節(jié)點(diǎn)中負(fù)載較小的云端連接管理器。

本實(shí)施例中，客戶端守護(hù)進(jìn)程將拉端口請求通過互聯(lián)網(wǎng)發(fā)給帶有服務(wù)程序的第二節(jié)點(diǎn)前端的負(fù)載均衡器時(shí)，發(fā)送的拉端口請求為基于隧道協(xié)議傳輸且采用ssl協(xié)議進(jìn)行通信數(shù)據(jù)加密。

本實(shí)施例中，步驟s4）的詳細(xì)步驟包括：

s4.1）第一節(jié)點(diǎn)中的客戶應(yīng)用程序連接第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程并請求服務(wù)，第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程打包原始請求、客戶應(yīng)用程序的socketid和連接id并轉(zhuǎn)發(fā)到所請求服務(wù)的真實(shí)服務(wù)程序?qū)?yīng)的第二節(jié)點(diǎn)中的連接管理器，所述連接id包含第一節(jié)點(diǎn)中的客戶應(yīng)用程序請求服務(wù)和所請求服務(wù)的真實(shí)服務(wù)程序所在的第二節(jié)點(diǎn)之間的連接信息；

s4.2）第二節(jié)點(diǎn)中的連接管理器針對云端服務(wù)代理的請求解析出原始請求，將原始請求的請求信息發(fā)送給第二節(jié)點(diǎn)中的服務(wù)程序，并將服務(wù)程序的詳情結(jié)果加密后通過互聯(lián)網(wǎng)發(fā)給第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程，再通過客戶端守護(hù)進(jìn)程返回給第一節(jié)點(diǎn)中的客戶應(yīng)用程序。

如圖5所示，本實(shí)施例面向混合云計(jì)算平臺的協(xié)同服務(wù)系統(tǒng)包括客戶端守護(hù)進(jìn)程、負(fù)載均衡器、云端連接管理器三個(gè)部分。用戶向客戶端守護(hù)進(jìn)程發(fā)送拉端口的指令，指令包括要推的本地服務(wù)地址和端口或遠(yuǎn)端要拉的服務(wù)地址和端口，以及用戶的身份認(rèn)證信息?？蛻舳耸刈o(hù)進(jìn)程接到指令后連接負(fù)載均衡器并發(fā)送推拉端口請求，由負(fù)載均衡器轉(zhuǎn)發(fā)該請求到負(fù)載較小的云端連接管理器。如果總訪問量比較小，可以省略掉負(fù)載均衡器，由客戶端守護(hù)進(jìn)程直連云端連接管理器。客戶端守護(hù)進(jìn)程到負(fù)載均衡器間的鏈路在互聯(lián)網(wǎng)上，采用ssl進(jìn)行通信數(shù)據(jù)加密?？蛻舳耸刈o(hù)進(jìn)程發(fā)送的加密請求信息到達(dá)連接管理器后，連接管理器后根據(jù)用戶數(shù)據(jù)庫檢查該請求，如果賬戶有效，再檢查該用戶是否具有遠(yuǎn)程訪問權(quán)限，如果該用戶擁有遠(yuǎn)程訪問的權(quán)限，則接受此連接。在身份驗(yàn)證過程中產(chǎn)生的公有密鑰將用來對數(shù)據(jù)進(jìn)行加密。云端連接管理器接受連接后，第二節(jié)點(diǎn)中的服務(wù)程序通過第一節(jié)點(diǎn)中的客戶端守護(hù)進(jìn)程為第一節(jié)點(diǎn)中的客戶應(yīng)用程序提供協(xié)同服務(wù)。

綜上所示，本實(shí)施例根據(jù)用戶請求將vpc中的服務(wù)程序口推進(jìn)另一vpc環(huán)境中，或者將另一vpc中服務(wù)程序口拉進(jìn)本vpc環(huán)境中，以使處于不同vpc中的客戶應(yīng)用與服務(wù)進(jìn)行便利的協(xié)作；對用戶進(jìn)行身份審核；對端口訪問進(jìn)行審計(jì)；以及對信道進(jìn)行加密。本發(fā)明技術(shù)方案能夠突破不同vpc中的訪問限制，最小程度的服務(wù)暴露，同時(shí)對訪問進(jìn)行嚴(yán)密監(jiān)控和審計(jì)，實(shí)現(xiàn)了混合云協(xié)同，保證了私有云的安全性。

以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式，本發(fā)明的保護(hù)范圍并不僅局限于上述實(shí)施例，凡屬于本發(fā)明思路下的技術(shù)方案均屬于本發(fā)明的保護(hù)范圍。應(yīng)當(dāng)指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理前提下的若干改進(jìn)和潤飾，這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍。