本技術(shù)實(shí)施例涉及云計(jì)算領(lǐng)域，并且更為具體地，涉及一種訪問(wèn)管理的方法和系統(tǒng)。

背景技術(shù)：

1、在云計(jì)算領(lǐng)域，云服務(wù)提供廠商需要管理的云服務(wù)資源越來(lái)越多，且云服務(wù)資源的訪問(wèn)安全也越來(lái)越重要。因此，很多云服務(wù)提供廠商選擇部署堡壘機(jī)作為運(yùn)維安全接入審計(jì)的系統(tǒng)，集中管理用戶對(duì)服務(wù)器的訪問(wèn)請(qǐng)求。

2、但是，現(xiàn)有的堡壘機(jī)系統(tǒng)由于需要記錄用戶的登錄狀態(tài)以及用戶與服務(wù)器建立的會(huì)話控制等狀態(tài)信息，稱之為有狀態(tài)的服務(wù)。由于堡壘機(jī)節(jié)點(diǎn)都是有狀態(tài)的，如果需要更換節(jié)點(diǎn)或增加新的節(jié)點(diǎn)，就需要重新配置堡壘機(jī)節(jié)點(diǎn)的狀態(tài)，該過(guò)程需要一定時(shí)間，導(dǎo)致堡壘機(jī)系統(tǒng)無(wú)法快速容災(zāi)或擴(kuò)容。因此，如何使運(yùn)維通道管理集群能夠不斷開連接地快速更換節(jié)點(diǎn)成為亟需解決的技術(shù)問(wèn)題。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)實(shí)施例提供一種訪問(wèn)管理的方法和系統(tǒng)，可以將狀態(tài)信息記錄在位于服務(wù)器的客戶端上，運(yùn)維通道實(shí)例將訪問(wèn)命令分發(fā)至客戶端，使得運(yùn)維通道實(shí)例是無(wú)狀態(tài)的，從而能夠在不中斷服務(wù)的情況下切換運(yùn)維通道實(shí)例。

2、第一方面，提供一種訪問(wèn)管理的方法，該方法應(yīng)用于訪問(wèn)管理的系統(tǒng)，該系統(tǒng)包括運(yùn)維通道管理集群和客戶端，客戶端運(yùn)行在目標(biāo)服務(wù)器上，運(yùn)維通道管理集群包括多個(gè)運(yùn)維通道實(shí)例，每個(gè)運(yùn)維通道實(shí)例用于與客戶端進(jìn)行信息交互，每個(gè)運(yùn)維通道實(shí)例由至少一臺(tái)計(jì)算實(shí)例組成，至少一臺(tái)計(jì)算實(shí)例包括物理主機(jī)、虛擬機(jī)、容器中的至少一種，該方法包括：運(yùn)維通道管理集群獲取用戶對(duì)目標(biāo)服務(wù)器的訪問(wèn)命令；運(yùn)維通道管理集群將訪問(wèn)命令發(fā)送至客戶端；客戶端根據(jù)會(huì)話狀態(tài)信息，執(zhí)行訪問(wèn)命令，會(huì)話狀態(tài)信息是客戶端記錄的用戶對(duì)目標(biāo)服務(wù)器的訪問(wèn)信息。

3、根據(jù)本技術(shù)提供的技術(shù)方案，通過(guò)在服務(wù)器上設(shè)置客戶端作為接入服務(wù)器的入口，運(yùn)維通道管理集群直接與客戶端通信，將訪問(wèn)命令分發(fā)至客戶端，使得記錄狀態(tài)信息以及管理會(huì)話的任務(wù)由客戶端完成，運(yùn)維通道實(shí)例是無(wú)狀態(tài)的，從而在通過(guò)運(yùn)維通道管理集群隔離用戶與服務(wù)器間直接交互，保證服務(wù)器訪問(wèn)安全性的前提下，能夠在不中斷服務(wù)的情況下切換運(yùn)維通道實(shí)例，解決運(yùn)維通道管理集群的快速擴(kuò)縮容問(wèn)題。

4、結(jié)合第一方面，在第一方面的某些實(shí)現(xiàn)方式中，運(yùn)維通道管理集群還包括負(fù)載均衡組件，多個(gè)運(yùn)維通道實(shí)例中包括第一運(yùn)維通道實(shí)例和第二運(yùn)維通道實(shí)例，將訪問(wèn)命令發(fā)送至客戶端，包括：負(fù)載均衡組件將訪問(wèn)命令發(fā)送至第一運(yùn)維通道實(shí)例；第一運(yùn)維通道實(shí)例向客戶端發(fā)送訪問(wèn)命令。

5、根據(jù)上述技術(shù)方案，通過(guò)在運(yùn)維通道管理集群中設(shè)置多個(gè)節(jié)點(diǎn)，使得運(yùn)維通道管理集群能夠管理負(fù)責(zé)分發(fā)訪問(wèn)命令的節(jié)點(diǎn)，從而運(yùn)維通道管理集群在需要時(shí)能夠自主調(diào)控節(jié)點(diǎn)的工作情況。

6、結(jié)合第一方面，在第一方面的某些實(shí)現(xiàn)方式中，將訪問(wèn)命令發(fā)送至客戶端，還包括：第一運(yùn)維通道實(shí)例向負(fù)載均衡組件上報(bào)異常信息，異常信息用于指示第一運(yùn)維通道實(shí)例向客戶端發(fā)送訪問(wèn)命令失??；負(fù)載均衡組件將訪問(wèn)命令發(fā)送至第二運(yùn)維通道實(shí)例；第二運(yùn)維通道實(shí)例向客戶端發(fā)送訪問(wèn)命令。

7、根據(jù)上述技術(shù)方案，通過(guò)在當(dāng)前負(fù)責(zé)轉(zhuǎn)發(fā)訪問(wèn)命令的運(yùn)維通道實(shí)例異常時(shí)，將轉(zhuǎn)發(fā)任務(wù)重新分配給運(yùn)維通道管理集群內(nèi)的其他節(jié)點(diǎn)，實(shí)現(xiàn)不中斷訪問(wèn)情況下的切換節(jié)點(diǎn)，從而提高運(yùn)維通道管理集群的快速容災(zāi)或負(fù)載均衡的能力，提高運(yùn)維通道管理集群服務(wù)的可用性。

8、結(jié)合第一方面，在第一方面的某些實(shí)現(xiàn)方式中，第一運(yùn)維通道實(shí)例和第二運(yùn)維通道實(shí)例部署在不同的區(qū)域。

9、根據(jù)上述技術(shù)方案，運(yùn)維通道管理集群的節(jié)點(diǎn)能夠跨區(qū)域(region)部署，使得切換前后負(fù)責(zé)轉(zhuǎn)發(fā)的節(jié)點(diǎn)位于不同的物理地區(qū)，降低同時(shí)發(fā)生異常的可能性，從而實(shí)現(xiàn)異地容災(zāi)，進(jìn)一步提高運(yùn)維通道管理集群服務(wù)的可用性。

10、結(jié)合第一方面，在第一方面的某些實(shí)現(xiàn)方式中，將訪問(wèn)命令發(fā)送至客戶端，還包括：第一運(yùn)維通道實(shí)例向負(fù)載均衡組件上報(bào)異常信息，異常信息用于指示第一運(yùn)維通道實(shí)例向客戶端發(fā)送訪問(wèn)命令失??；負(fù)載均衡組件建立第三運(yùn)維通道實(shí)例；負(fù)載均衡組件將訪問(wèn)命令發(fā)送至第三運(yùn)維通道實(shí)例；第三運(yùn)維通道實(shí)例向客戶端發(fā)送訪問(wèn)命令。

11、根據(jù)上述技術(shù)方案，通過(guò)在當(dāng)前負(fù)責(zé)轉(zhuǎn)發(fā)訪問(wèn)命令的運(yùn)維通道實(shí)例異常時(shí)，部署新的運(yùn)維通道實(shí)例，并將轉(zhuǎn)發(fā)任務(wù)重新分配給該新的運(yùn)維通道實(shí)例，實(shí)現(xiàn)不中斷訪問(wèn)情況下的運(yùn)維通道管理集群擴(kuò)容，從而提高運(yùn)維通道管理集群的快速擴(kuò)容能力，提高運(yùn)維通道管理集群服務(wù)的可用性。

12、結(jié)合第一方面，在第一方面的某些實(shí)現(xiàn)方式中，將訪問(wèn)命令發(fā)送至客戶端，包括：運(yùn)維通道管理集群根據(jù)傳輸控制協(xié)議向客戶端發(fā)送訪問(wèn)命令。

13、根據(jù)上述技術(shù)方案，運(yùn)維通道實(shí)例與客戶端之間通過(guò)傳輸層的傳輸控制協(xié)議(transmission?control?protocol，tcp)直接通信，從而能夠避免使用安全外殼協(xié)議(secure?shell，ssh)作為遠(yuǎn)程連接工具，不需要服務(wù)器為ssh服務(wù)開啟高風(fēng)險(xiǎn)的22端口，從而提高服務(wù)器的安全性。

14、結(jié)合第一方面，在第一方面的某些實(shí)現(xiàn)方式中，訪問(wèn)命令中包括會(huì)話標(biāo)識(shí)，會(huì)話狀態(tài)信息中包括會(huì)話標(biāo)識(shí)與目標(biāo)服務(wù)器的操作系統(tǒng)中的子進(jìn)程的對(duì)應(yīng)關(guān)系，根據(jù)會(huì)話狀態(tài)信息，執(zhí)行訪問(wèn)命令，包括：根據(jù)訪問(wèn)命令的會(huì)話標(biāo)識(shí)和會(huì)話狀態(tài)信息，確定與會(huì)話標(biāo)識(shí)對(duì)應(yīng)的子進(jìn)程；調(diào)用子進(jìn)程執(zhí)行訪問(wèn)命令。

15、根據(jù)上述技術(shù)方案，通過(guò)客戶端為每個(gè)用戶的會(huì)話分配標(biāo)識(shí)值，并基于用戶指令中攜帶的標(biāo)識(shí)值管理會(huì)話，調(diào)用服務(wù)器操作系統(tǒng)中相應(yīng)的子進(jìn)程執(zhí)行命令，使得客戶端能夠?qū)⒉煌脩舻臅?huì)話分開管理，從而提高訪問(wèn)管理的效率。

16、結(jié)合第一方面，在第一方面的某些實(shí)現(xiàn)方式中，在獲取用戶對(duì)目標(biāo)服務(wù)器的訪問(wèn)命令前，該方法還包括：運(yùn)維通道管理集群獲取用戶的登錄命令；運(yùn)維通道管理集群向認(rèn)證鑒權(quán)服務(wù)發(fā)送登錄命令，認(rèn)證鑒權(quán)服務(wù)用于認(rèn)證用戶的身份；運(yùn)維通道管理集群接收來(lái)自認(rèn)證鑒權(quán)服務(wù)的認(rèn)證信息；運(yùn)維通道管理集群根據(jù)認(rèn)證信息，確定用戶的登錄狀態(tài)。

17、根據(jù)本技術(shù)提供的技術(shù)方案，運(yùn)維通道管理集群通過(guò)與外部服務(wù)交互為用戶提供身份認(rèn)證，使得用戶的登錄狀態(tài)無(wú)需記錄在運(yùn)維通道管理集群的節(jié)點(diǎn)中，從而使用戶登錄后，提供服務(wù)的節(jié)點(diǎn)更換也無(wú)需用戶重新登錄，在保證用戶訪問(wèn)安全性的基礎(chǔ)上，提高用戶的使用體驗(yàn)。

18、結(jié)合第一方面，在第一方面的某些實(shí)現(xiàn)方式中，在將訪問(wèn)命令發(fā)送至客戶端前，該方法還包括：運(yùn)維通道管理集群從外部存儲(chǔ)服務(wù)獲取訪問(wèn)權(quán)限；運(yùn)維通道管理集群確定訪問(wèn)命令滿足訪問(wèn)權(quán)限。

19、根據(jù)上述技術(shù)方案，運(yùn)維通道管理集群通過(guò)從外部存儲(chǔ)服務(wù)獲取用戶對(duì)服務(wù)器的訪問(wèn)權(quán)限，使得運(yùn)維通道管理集群中的任意節(jié)點(diǎn)都能夠在不預(yù)先配置的情況下對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行管理，從而提高訪問(wèn)管理的安全性。

20、結(jié)合第一方面，在第一方面的某些實(shí)現(xiàn)方式中，該方法還包括：客戶端將訪問(wèn)命令的執(zhí)行結(jié)果發(fā)送至運(yùn)維通道管理集群；運(yùn)維通道管理集群向用戶發(fā)送執(zhí)行結(jié)果。

21、根據(jù)上述技術(shù)方案，通過(guò)運(yùn)維通道管理集群將訪問(wèn)結(jié)果展示給用戶，從而使得運(yùn)維通道管理集群能夠監(jiān)控用戶訪問(wèn)服務(wù)器的全過(guò)程，便于對(duì)用戶行為的監(jiān)控和審計(jì)，提高訪問(wèn)管理的安全性。

22、第二方面，提供一種訪問(wèn)管理的系統(tǒng)，該系統(tǒng)包括運(yùn)維通道管理集群和客戶端，客戶端運(yùn)行在目標(biāo)服務(wù)器上，運(yùn)維通道管理集群包括多個(gè)運(yùn)維通道實(shí)例，每個(gè)運(yùn)維通道實(shí)例用于與客戶端進(jìn)行信息交互，每個(gè)運(yùn)維通道實(shí)例由至少一臺(tái)計(jì)算實(shí)例組成，至少一臺(tái)計(jì)算實(shí)例包括物理主機(jī)、虛擬機(jī)、容器中的至少一種，運(yùn)維通道管理集群包括：命令獲取模塊，用于獲取用戶對(duì)目標(biāo)服務(wù)器的訪問(wèn)命令；命令分發(fā)模塊，用于將訪問(wèn)命令發(fā)送至客戶端；客戶端用于：根據(jù)會(huì)話狀態(tài)信息，執(zhí)行訪問(wèn)命令，會(huì)話狀態(tài)信息是客戶端記錄的用戶對(duì)目標(biāo)服務(wù)器的訪問(wèn)信息。

23、結(jié)合第二方面，在第二方面的某些實(shí)現(xiàn)方式中，運(yùn)維通道管理集群還包括負(fù)載均衡組件，多個(gè)運(yùn)維通道實(shí)例中包括第一運(yùn)維通道實(shí)例和第二運(yùn)維通道實(shí)例，命令分發(fā)模塊，用于：負(fù)載均衡組件將訪問(wèn)命令發(fā)送至第一運(yùn)維通道實(shí)例；第一運(yùn)維通道實(shí)例向客戶端發(fā)送訪問(wèn)命令。

24、結(jié)合第二方面，在第二方面的某些實(shí)現(xiàn)方式中，命令分發(fā)模塊，還用于：第一運(yùn)維通道實(shí)例向負(fù)載均衡組件上報(bào)異常信息，異常信息用于指示第一運(yùn)維通道實(shí)例向客戶端發(fā)送訪問(wèn)命令失?。回?fù)載均衡組件將訪問(wèn)命令發(fā)送至第二運(yùn)維通道實(shí)例；第二運(yùn)維通道實(shí)例向客戶端發(fā)送訪問(wèn)命令。

25、結(jié)合第二方面，在第二方面的某些實(shí)現(xiàn)方式中，第一運(yùn)維通道實(shí)例和第二運(yùn)維通道實(shí)例部署在不同的區(qū)域。

26、結(jié)合第二方面，在第二方面的某些實(shí)現(xiàn)方式中，命令分發(fā)模塊，還用于：第一運(yùn)維通道實(shí)例向負(fù)載均衡組件上報(bào)異常信息，異常信息用于指示第一運(yùn)維通道實(shí)例向客戶端發(fā)送訪問(wèn)命令失??；負(fù)載均衡組件建立第三運(yùn)維通道實(shí)例；負(fù)載均衡組件將訪問(wèn)命令發(fā)送至第三運(yùn)維通道實(shí)例；第三運(yùn)維通道實(shí)例向客戶端發(fā)送訪問(wèn)命令。

27、結(jié)合第二方面，在第二方面的某些實(shí)現(xiàn)方式中，命令分發(fā)模塊，用于：根據(jù)傳輸控制協(xié)議向客戶端發(fā)送訪問(wèn)命令。

28、結(jié)合第二方面，在第二方面的某些實(shí)現(xiàn)方式中，訪問(wèn)命令中包括會(huì)話標(biāo)識(shí)，會(huì)話狀態(tài)信息中包括會(huì)話標(biāo)識(shí)與目標(biāo)服務(wù)器的操作系統(tǒng)中的子進(jìn)程的對(duì)應(yīng)關(guān)系，客戶端，用于：根據(jù)訪問(wèn)命令的會(huì)話標(biāo)識(shí)和會(huì)話狀態(tài)信息，確定與會(huì)話標(biāo)識(shí)對(duì)應(yīng)的子進(jìn)程；調(diào)用子進(jìn)程執(zhí)行訪問(wèn)命令。

29、結(jié)合第二方面，在第二方面的某些實(shí)現(xiàn)方式中，運(yùn)維通道管理集群還包括登錄認(rèn)證模塊，在獲取用戶對(duì)目標(biāo)服務(wù)器的訪問(wèn)命令前，用于：獲取用戶的登錄命令；向認(rèn)證鑒權(quán)服務(wù)發(fā)送登錄命令，認(rèn)證鑒權(quán)服務(wù)用于認(rèn)證用戶的身份；接收來(lái)自認(rèn)證鑒權(quán)服務(wù)的認(rèn)證信息；根據(jù)認(rèn)證信息，確定用戶的登錄狀態(tài)。

30、結(jié)合第二方面，在第二方面的某些實(shí)現(xiàn)方式中，運(yùn)維通道管理集群還包括權(quán)限管理模塊，在將訪問(wèn)命令發(fā)送至客戶端前，用于：從外部存儲(chǔ)服務(wù)獲取訪問(wèn)權(quán)限；確定訪問(wèn)命令滿足訪問(wèn)權(quán)限。

31、結(jié)合第二方面，在第二方面的某些實(shí)現(xiàn)方式中，客戶端還用于：將訪問(wèn)命令的執(zhí)行結(jié)果發(fā)送至運(yùn)維通道管理集群；運(yùn)維通道管理集群還包括結(jié)果展示模塊，用于向用戶發(fā)送執(zhí)行結(jié)果。

32、第三方面，提供一種計(jì)算設(shè)備，包括處理器和存儲(chǔ)器，其中，存儲(chǔ)器用于存儲(chǔ)指令，處理器用于從存儲(chǔ)器中調(diào)用并運(yùn)行該指令，使得該計(jì)算設(shè)備執(zhí)行第一方面或第一方面任意一種可能的實(shí)現(xiàn)方式中的方法。

33、第四方面，提供一種計(jì)算設(shè)備集群，包括至少一個(gè)計(jì)算設(shè)備，每個(gè)計(jì)算設(shè)備包括處理器和存儲(chǔ)器，其中，存儲(chǔ)器用于存儲(chǔ)指令，處理器用于從存儲(chǔ)器中調(diào)用并運(yùn)行該指令，使得該計(jì)算設(shè)備集群執(zhí)行第一方面或第一方面任意一種可能的實(shí)現(xiàn)方式中的方法。

34、可選地，該處理器可以是通用處理器，可以通過(guò)硬件來(lái)實(shí)現(xiàn)也可以通過(guò)軟件來(lái)實(shí)現(xiàn)。當(dāng)通過(guò)硬件來(lái)實(shí)現(xiàn)時(shí)，該處理器可以是邏輯電路、集成電路等；當(dāng)通過(guò)軟件來(lái)實(shí)現(xiàn)時(shí)，該處理器可以是一個(gè)通用處理器，通過(guò)讀取存儲(chǔ)器中存儲(chǔ)的軟件代碼來(lái)實(shí)現(xiàn)，該存儲(chǔ)器可以集成在處理器中，可以位于該處理器之外獨(dú)立存在。

35、第五方面，提供了一種芯片，該芯片獲取指令并執(zhí)行該指令來(lái)實(shí)現(xiàn)上述第一方面或第一方面任意一種可能的實(shí)現(xiàn)方式中的方法。

36、可選地，作為一種實(shí)現(xiàn)方式，該芯片包括處理器與數(shù)據(jù)接口，該處理器通過(guò)該數(shù)據(jù)接口讀取存儲(chǔ)器上存儲(chǔ)的指令，執(zhí)行上述第一方面或第一方面任意一種可能的實(shí)現(xiàn)方式中的方法。

37、可選地，作為一種實(shí)現(xiàn)方式，該芯片還可以包括存儲(chǔ)器，該存儲(chǔ)器中存儲(chǔ)有指令，該處理器用于執(zhí)行該存儲(chǔ)器上存儲(chǔ)的指令，當(dāng)該指令被執(zhí)行時(shí)，該處理器用于執(zhí)行上述第一方面或第一方面任意一種可能的實(shí)現(xiàn)方式中的方法。

38、第六方面，提供了一種包含指令的計(jì)算機(jī)程序產(chǎn)品，當(dāng)該指令被計(jì)算設(shè)備集群運(yùn)行時(shí)，使得計(jì)算設(shè)備集群執(zhí)行上述第一方面或第一方面任意一種可能的實(shí)現(xiàn)方式中的方法。

39、第七方面，提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，包括計(jì)算機(jī)程序指令，當(dāng)該計(jì)算機(jī)指令由計(jì)算設(shè)備集群執(zhí)行時(shí)，使得計(jì)算設(shè)備集群執(zhí)行上述第一方面或第一方面任意一種可能的實(shí)現(xiàn)方式中的方法。

40、作為示例，這些計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)包括但不限于如下的一個(gè)或者多個(gè)：只讀存儲(chǔ)器(read-only?memory，rom)、可編程rom(programmable?rom，prom)、可擦除的prom(erasable?prom，eprom)、flash存儲(chǔ)器、電eprom(electricallyeprom，eeprom)以及硬盤驅(qū)動(dòng)器(hard?drive)。

41、可選地，作為一種實(shí)現(xiàn)方式，上述存儲(chǔ)介質(zhì)具體可以是非易失性存儲(chǔ)介質(zhì)。