一种无主控网关式负载均衡接入方法与流程

本发明涉及互联网领域，具体涉及一种无主控网关式负载均衡接入方法。
背景技术：
：目前网关式负载均衡接入技术大多采用主控方式，以一个设备为主调度机(master或leader)负责将负载分配到其他设备中，例如nginx等，对于密码设备集群数量少、用户数相对固定或数量有限的场景，这种网关式的负载均衡方式是一种经济、方便的方案。对于密码设备数量多，用户数量较大的场景，需要考虑新的负载均衡方式。现有的负载均衡方式包括旁路式负载均衡方案，但是其实现难度较大，还包括主从负载均衡方式，但是其主要应用于f5设备。技术实现要素：本发明的目的是针对现有技术中的不足，提供一种无主控网关式负载均衡接入方法，保证系统的稳定高效运行。为实现上述目的，本发明公开了如下技术方案：一种无主控网关式负载均衡接入方法，包括如下步骤：s1建立调度机系统架构：采用并联架构建立调度机系统架构，调度机之间同步全局信息，包括密码设备能力、调度机负载、各密码设备负载、密钥空间占用信息，这些信息存储在zookeeper服务的数据结构中，并利用该服务实现调度机直接的信息同步；s2建立虚拟服务：根据接入管理服务获取的用户注册信息，启动docker服务为用户创建虚拟密码服务；s201建立虚拟服务链接：利用docker建立虚拟网络服务，产生虚拟网络地址：ip和port，用户访问控制服务将地址返给接入客户端，接入控制客户端重新为用户建立虚拟密码服务链接；s202虚拟密码服务建立：根据获取的用户注册信息中的密码服务信息，从zookeeper存储的全部密码设备信息、密钥存储信息中选取满足该用户所需的服务资源。在进一步的技术方案中，在zookeeper中保持有完整的各个密码设备密钥空间存储状态结构表，当选择好某台设备中所需的空闲密钥空间时，及时标识空间占用状态、所需虚拟机及其用户编码。在进一步的技术方案中，在进行密钥使用时，包括：导入会话秘钥并用内部私钥解密：将外置会话密钥存入密码设备中，并获知存储的单元标识，在密钥信息库和zookeeper密钥结构中将该标识与密钥空间编号进行绑定，为密钥使用提供统一的管理信息；基于非对称算法的数字信封转换：将由内部加密公钥的会话密钥转换为由外部指定的公钥加密，应用于数字信封；生成密钥协商参数并输出：使用ecc密钥协商算法，为计算会话密钥而产生协商参数，同时返回指定索引位置，为协商会话密钥，协商的发起方首先调用本函数；计算会话密钥：使用ecc密钥协商管理算法，使用自身协商句柄和响应方的协商参数计算会话密钥，同时返回会话密钥句柄，协商的发起方获得响应方的协商参数后调用本函数，计算会话密钥；所述生成密钥协商参数并输出以及计算会话密钥都将在密码设备中生成并存储会话密钥，并能够获知存储单元的表示，在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定，为密钥使用提供统一的管理信息；产生协商数据并计算会话密钥：使用ecc密钥协商算法，产生协商参数并计算会话密钥，同时返回产生的协商参数和密钥句柄；所述产生协商数据并计算会话密钥将在密码设备中生成并存储会话密钥，并能够获知存储的单元的标识，在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定，为密钥使用提供统一的管理信息；生成会话密钥并用密钥加密密钥加密输出：生成会话密钥并用密钥加密密钥输出，同时返回密钥句柄，加密模式使用ecb模式；密钥加密密钥通过密码设备管理工具生成或安装，密钥加密密钥存储在密钥信息中，需要时用密码设备公钥加密后导入密码设备中的某个密钥空间；导入会话密钥并用密钥加密密钥解密：导入会话密钥并用密钥加密密钥解密，同时返回会话密钥句柄，加密模式使用ecb模式；会话密钥解密后存储在密码设备中，并能够获知存储的单元的标识，在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定，为密钥使用提供统一的管理信息；销毁会话密钥：销毁会话密钥，并释放为密钥句柄分配的内存资源，按照会话密钥存储的单元的标识进行会话密钥销毁，在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间置位，同时，如果在数据库中存储了该密钥需要同步清除。本发明公开的一种无主控网关式负载均衡接入方法，具有以下有益效果：并联网关式调度机接入实现负载均衡方式，能够实现用户根据每个设备的负载量，自动选取最佳效率的接入设备，规避了主控网关方式单点问题和流量瓶颈问题。而且，本申请并联调度机之间能够确保相互间各种信息的及时同步，实现了系统的稳定高效运行。附图说明图1是本发明调度机系统架构图，图2是建立虚拟密码服务链接示意图。具体实施方式下面将对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。本发明的核心是提供一种无主控网关式负载均衡接入方法，保证系统的稳定高效运行。请参见图1-图2。本发明公开的一种无主控网关式负载均衡接入方法，包括如下步骤：s1建立调度机系统架构：采用并联架构建立调度机系统架构，调度机的并联调度是整个系统对外提供高速、高效服务的关键部分，其目标：支持大量用户并发访问能力，支持负载均衡原则，支持快速解析密码作业的能力，实现并联调度机之间的消息快速同步。调度机功能：分析密码设备运行状态，动态创建虚拟密码服务，密钥调度，完成密码作业解析与整合，向密码设备提交密码作业。保存来源于管理系统的用户注册的各种信息，包括用户认证信息、权限信息、密钥服务信息、密钥使用信息等，为接入认证、虚拟服务创建提供数据支持。调度机之间同步着几类全局信息，包括密码设备能力、调度机负载、各密码设备负载、密钥空间占用等信息。这些信息存储在zookeeper服务的数据结构中，并利用该服务实现调度机直接的信息同步；s2建立虚拟服务：根据接入管理服务获取的用户注册信息，启动docker服务为用户创建虚拟密码服务；s201建立虚拟服务链接：利用docker建立虚拟网络服务，产生虚拟网络地址：ip和port，用户访问控制服务将地址返给接入客户端，接入控制客户端重新为用户建立虚拟密码服务链接；s202虚拟密码服务建立：根据获取的用户注册信息中的密码服务信息，从zookeeper存储的全部密码设备信息、密钥存储信息中选取满足该用户所需的服务资源。本发明中的密码设备选取原则如下：选择顺序：功能——密钥——性能——负载；找全空闲单台完全符合要求的设备；找全空闲多台合计完全符合要求的设备；找非空闲单台完全符合要求的设备；找非空闲多台完全符合要求的设备；找非空闲多台不完全符合要求的设备；从找到的设备中挑出负载最小的设备。在进一步的技术方案中，由于每个设备可能为不同用户提供服务，密钥空间的选择是相对灵活的。在zookeeper中保持有完整的各个密码设备密钥空间存储状态结构表，当选择好某台设备中所需的空闲密钥空间时，及时标识空间占用状态、所需虚拟机及其用户编码。在进一步的技术方案中，每台密码设备内部密钥存储空间都有限，在提供密码服务时需要不断将需要用的密钥导入，不用的密钥清除，有需要则备份到密钥信息库中。在进行密钥使用时，包括：导入会话秘钥并用内部私钥解密：将外置会话密钥存入密码设备中，并获知存储的单元标识，在密钥信息库和zookeeper密钥结构中将该标识与密钥空间编号进行绑定，为密钥使用提供统一的管理信息；基于非对称算法的数字信封转换：将由内部加密公钥的会话密钥转换为由外部指定的公钥加密，应用于数字信封；该功能仅在密码设备中进行会话密钥的保护交换，无需存储。但用于解密的私钥可以事先从密钥信息库中导入。生成密钥协商参数并输出：使用ecc密钥协商算法，为计算会话密钥而产生协商参数，同时返回指定索引位置，为协商会话密钥，协商的发起方首先调用本函数；计算会话密钥：使用ecc密钥协商管理算法，使用自身协商句柄和响应方的协商参数计算会话密钥，同时返回会话密钥句柄，协商的发起方获得响应方的协商参数后调用本函数，计算会话密钥；会话密钥的计算过程遵循《sm2密码使用规范》；所述生成密钥协商参数并输出以及计算会话密钥都将在密码设备中生成并存储会话密钥，并能够获知存储单元的表示，在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定，为密钥使用提供统一的管理信息；产生协商数据并计算会话密钥：使用ecc密钥协商算法，产生协商参数并计算会话密钥，同时返回产生的协商参数和密钥句柄；所述产生协商数据并计算会话密钥将在密码设备中生成并存储会话密钥，并能够获知存储的单元的标识，在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定，为密钥使用提供统一的管理信息；生成会话密钥并用密钥加密密钥加密输出：生成会话密钥并用密钥加密密钥输出，同时返回密钥句柄，加密模式使用ecb模式；密钥加密密钥又称二级密钥(secondarykey)或密钥传送密钥(keytransportkey)，用于对密钥进行加解密。密钥加密密钥通过密码设备管理工具生成或安装，存储区可存储密钥长度为128位的密钥加密密钥，使用索引号从1开始(如表1)。密钥加密密钥存储在密钥信息中，需要时用密码设备公钥加密后导入密码设备中的某个密钥空间；表1密钥加密密钥索引图表密钥索引号密钥加密密钥0x01密钥加密密钥001…………导入会话密钥并用密钥加密密钥解密：导入会话密钥并用密钥加密密钥解密，同时返回会话密钥句柄，加密模式使用ecb模式；密钥加密密钥存储在密钥信息库中，需要时用密码设备公钥加密后导入密码设备中的某个密钥空间。会话密钥解密后存储在密码设备中，并能够获知存储的单元的标识，在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定，为密钥使用提供统一的管理信息；销毁会话密钥：销毁会话密钥，并释放为密钥句柄分配的内存资源，按照会话密钥存储的单元的标识进行会话密钥销毁，在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间置位，同时，如果在数据库中存储了该密钥需要同步清除。相比
背景技术：
中介绍的内容，本发明能够实现用户根据每个设备的负载量，自动选取最佳效率的接入设备，规避了主控网关方式单点问题和流量瓶颈问题。而且，本申请并联调度机之间能够确保相互间各种信息的及时同步，实现了系统的稳定高效运行。以上所述仅是本发明的优选实施方式，而非对其限制；应当指出，尽管参照上述各实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，其依然可以对上述各实施例所记载的技术方案进行修改，或对其中部分或者全部技术特征进行等同替换；而这些修改和替换，并不使相应的技术方案的本质脱离本发明各实施例技术方案的范围。当前第1页12