容灾系统的处理方法、装置和系统与流程

1.本发明涉及计算机领域，具体而言，涉及一种容灾系统的处理方法、装置和系统。


背景技术：

2.集团中心机房通常采用同城多活的容灾架构，核心业务会在同城多机房同时部署，当单个机房发生故障时，将流量切换到其他机房。但是由于集团业务众多，依赖关系复杂、变更迭代频繁，往往需要根据具体业务场景设计容灾方案，因此不具有一种通用且快速的容灾方案。
3.目前的容灾方案会将机房业务垂直划分为流量层、接入层、应用层、中间件层、数据层，然后分别对每层进行相应的容灾切换，如图1所示，常用的容灾切换包括以下几种，首先，在流量层，向移动客户端推送调度策略，引流到其他可用机房；在接入层，从dns解析ip列表中摘除故障机房的vip；在应用层，摘除vip下挂的故障机房的real server，在中间件层，从中间件缓存的候选ip列表中摘除故障机房的ip，在数据层进行数据库主备切换。通常全部执行完成需要约10分钟，效率较为低下。
4.针对技术的中心机房采用同城多活来实现集团机房的容灾架构，由于集团业务种种类繁多，因此需要根据不同的业务场景设计不同的容灾方案，导致容灾过程中容灾切换效率低的问题，目前尚未提出有效的解决方案。


技术实现要素：

5.本发明实施例提供了一种容灾系统的处理方法、装置和系统，以至少解决技术的中心机房采用同城多活来实现集团机房的容灾架构，由于集团业务种种类繁多，因此需要根据不同的业务场景设计不同的容灾方案，导致容灾过程中容灾切换效率低的技术问题。
6.根据本发明实施例的一个方面，提供了一种容灾系统的处理方法，包括：创建多个相互隔离的安全区间，其中，每个安全区间中包括多个相互信任的云服务器ecs实例；更新安全区间，其中，通过对安全区间进行添加实例和/或删除实例来完成更新；更新任意一个或多个安全区间的安全区间规则，其中，通过对安全区间规则进行添加新规则和/或删除新规则来完成更新。
7.根据本发明实施例的另一方面，还提供了一种容灾系统的处理方法，包括：容灾平台cdr通过云接口发送创建请求，其中，创建请求用于创建多个相互隔离的安全区间，每个安全区间中包括多个相互信任的云服务器ecs实例；容灾平台cdr通过云接口发送第一更新请求，其中，第一更新请求用于通过对安全区间进行添加实例和/或删除实例来完成更新安全区间；容灾平台cdr通过云接口发送第二更新请求，其中，第二更新请求用于通过对安全区间规则进行添加新规则和/或删除新规则来完成更新任意一个或多个安全区间的安全区间规则。
8.根据本发明实施例的另一方面，还提供了一种容灾系统的处理装置，包括：第一创建模块，用于创建多个相互隔离的安全区间，其中，每个安全区间中包括多个相互信任的云
服务器ecs实例；第一更新模块，用于更新安全区间，其中，通过对安全区间进行添加实例和/或删除实例来完成更新；第二更新模块，用于更新任意一个或多个安全区间的安全区间规则，其中，通过对安全区间规则进行添加新规则和/或删除新规则来完成更新。
9.根据本发明实施例的另一方面，还提供了一种容灾系统的处理装置，包括：第一发送模块，用于发送创建请求，其中，创建请求用于创建多个相互隔离的安全区间，每个安全区间中包括多个相互信任的云服务器ecs实例；第二发送模块，用于发送第一更新请求，其中，第一更新请求用于通过对安全区间进行添加实例和/或删除实例来完成更新安全区间；第三发送模块，用于发送第二更新请求，其中，第二更新请求用于通过对安全区间规则进行添加新规则和/或删除新规则来完成更新任意一个或多个安全区间的安全区间规则。
10.根据本发明实施例的另一方面，还提供了一种容灾系统的处理系统，包括：容灾设备和云服务器的管控设备；其中，容灾设备向云服务器的管控设备下发如下至少一种请求：创建请求、第一更新请求和第二更新请求；其中，创建请求用于创建多个相互隔离的安全区间，每个安全区间中包括多个相互信任的云服务器ecs实例；第一更新请求用于通过对安全区间进行添加实例和/或删除实例来完成更新安全区间；第二更新请求用于通过对安全区间规则进行添加新规则和/或删除新规则来完成更新任意一个或多个安全区间的安全区间规则。
11.根据本发明实施例的另一方面，还提供了一种存储介质，存储介质包括存储的程序，其中，在程序运行时控制存储介质所在设备执行如下步骤：创建多个相互隔离的安全区间，其中，每个安全区间中包括多个相互信任的云服务器ecs实例；更新安全区间，其中，通过对安全区间进行添加实例和/或删除实例来完成更新；更新任意一个或多个安全区间的安全区间规则，其中，通过对安全区间规则进行添加新规则和/或删除新规则来完成更新。
12.根据本发明实施例的另一方面，还提供了一种处理器，处理器用于运行程序，其中，程序运行时执行如下步骤：创建多个相互隔离的安全区间，其中，每个安全区间中包括多个相互信任的云服务器ecs实例；更新安全区间，其中，通过对安全区间进行添加实例和/或删除实例来完成更新；更新任意一个或多个安全区间的安全区间规则，其中，通过对安全区间规则进行添加新规则和/或删除新规则来完成更新。
13.在本发明实施例中，创建多个相互隔离的安全区间，其中，每个安全区间中包括多个相互信任的云服务器ecs实例；更新安全区间，其中，通过对安全区间进行添加实例和/或删除实例来完成更新；更新任意一个或多个安全区间的安全区间规则，其中，通过对安全区间规则进行添加新规则和/或删除新规则来完成更新。上述方案中，可以将实例按照其所在的机房创建安全区间，例如，对机房1中的实例创建一个安全区间，对机房2中的实例创建一个安全区间，以此类推，从而当任意一个机房发生故障时，可以通过向发生故障的机房下发安全区间规则的方式，将发生故障的机房进行快速的隔离，进而极大的提高了容灾切换的效率，解决了技术的中心机房采用同城多活来实现集团机房的容灾架构，由于集团业务种种类繁多，因此需要根据不同的业务场景设计不同的容灾方案，导致容灾过程中容灾切换效率低的技术问题。
附图说明
14.此处所说明的附图用来提供对本发明的进一步理解，构成本技术的一部分，本发
明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
15.图1是根据现有技术的一种容灾切换的示意图；
16.图2示出了一种用于实现容灾系统的处理方法的计算设备(或移动设备)的硬件结构框图；
17.图3是根据本技术实施例1的一种容灾系统的处理方法的流程图；
18.图4是根据本技术实施例的一种创建安全区间的示意图；
19.图5是根据本技术实施例的一种添加实例和/或删除实例的示意图；
20.图6是根据本技术实施例的一种添加新规则和/或删除新规则的示意图；
21.图7是根据本技术实施例的一种更新安全区间规则后机房的示意图；
22.图8是根据本技术实施例2的一种容灾系统的处理方法的流程图；
23.图9是根据本技术实施例3的一种容灾系统的处理方系统的示意图；
24.图10是根据本技术实施例4的一种容灾系统的处理装置的示意图；
25.图11是根据本技术实施例5的一种容灾系统的处理装置的示意图；以及
26.图12是根据本技术实施例6的一种计算设备的结构框图。
具体实施方式
27.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
28.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
29.首先，在对本技术实施例进行描述的过程中出现的部分名词或术语适用于如下解释：
30.同城双活：同城两个站点同时承载业务流量，可以根据用户id、地域或者其他业务属性决定怎么分担流量。当一个站点故障时，可以快速切换到另一个站点。
31.安全组：是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于在云端划分安全域。可以通过配置安全组规则，允许或禁止安全组内的ecs实例对公网或私网的访问。
32.vpc：(virtual private cloud，虚拟私有网络)是公有云上自定义的逻辑隔离网络空间,是一块可自定义的网络空间。
33.ecs：(elastic compute service)是一种简单高效、处理能力可弹性伸缩的计算服务。
34.实例：即云服务器ecs实例，等同于一台虚拟机，包含cpu、内存、操作系统、网络、磁
盘等基础的计算组件。
35.eni：(elastic network interface，弹性网卡)是一种可以附加到专有网络vpc类型ecs实例上的虚拟网卡。
36.avs：(alicloud vswitch，虚拟交换机)主要负责单nc范围的vxlan报文的封装、解封以及报文路由、限速、防火墙过滤等职责。
37.vm：(virtual machine)虚拟机。
38.nc：(node controller)即物理机，vm虚拟机的宿主机。
39.dns：(domain name system，域名系统)是互联网的一项服务，它作为将域名和ip地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。
40.vip：(virtual ip address，虚拟ip地址)，虚拟的ip地址与真实ip地址不同，是由代理服务器根据internet内部客户机的多少，给定虚拟ip地址的一个范围，并按某种规定分配给每个客户机一个虚拟ip地址，这样便可实现客户机与internet的间接相连。
41.实施例1
42.根据本发明实施例，还提供了一种容灾系统的处理方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
43.本技术实施例一所提供的方法实施例可以在移动终端、计算设备或者类似的运算装置中执行。图2示出了一种用于实现容灾系统的处理方法的计算设备(或移动设备)的硬件结构框图。如图2所示，计算设备20(或移动设备20)可以包括一个或多个(图中采用202a、202b，
……
，202n来示出)处理器202(处理器202可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器204、以及用于通信功能的传输模块206。除此以外，还可以包括：显示器、输入/输出接口(i/o接口)、通用串行总线(usb)端口(可以作为i/o接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图2所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算设备20还可包括比图2中所示更多或者更少的组件，或者具有与图2所示不同的配置。
44.应当注意到的是上述一个或多个处理器202和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到计算设备20(或移动设备)中的其他元件中的任意一个内。如本技术实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
45.存储器204可用于存储应用软件的软件程序以及模块，如本发明实施例中的()方法对应的程序指令/数据存储装置，处理器202通过运行存储在存储器204内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用程序的漏洞检测方法。存储器204可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器204可进一步包括相对于处理器202远程设置的存储器，这些远程存储器可以通过网络连接至计算设备20。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
46.传输模块206用于经由一个网络接收或者发送数据。上述的网络具体实例可包括
计算设备20的通信供应商提供的无线网络。在一个实例中，传输模块206包括一个网络适配器(network interface controller，nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输模块206可以为射频(radio frequency，rf)模块，其用于通过无线方式与互联网进行通讯。
47.显示器可以例如触摸屏式的液晶显示器(lcd)，该液晶显示器可使得用户能够与计算设备20(或移动设备)的用户界面进行交互。
48.此处需要说明的是，在一些可选实施例中，上述图2所示的计算机设备(或移动设备)可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是，图2仅为特定具体实例的一个实例，并且旨在示出可存在于上述计算机设备(或移动设备)中的部件的类型。
49.在上述运行环境下，本技术提供了如图3所示的容灾系统的处理方法。图3是根据本技术实施例1的一种容灾系统的处理方法的流程图。
50.步骤s31，创建多个相互隔离的安全区间，其中，每个安全区间中包括多个相互信任的云服务器ecs实例。
51.具体的，上述步骤可以由ecs管控平台执行。上述安全区间可以为安全组，即一种具备状态检测和数据包过滤功能的虚拟防火墙，可以在云端划分安全域，并可以通过配置安全组规则，允许或禁止安全组内的ecs实例对公网或私网的访问。
52.图4是根据本技术实施例的一种创建安全区间的示意图，在一种可选的实施例中，结合图4所示，容灾平台通过预设的open api(开放平台)向ecs管控平台发送创建安全区间的请求，ecs管控平台在接收到容灾平台发送的创建安全区间的请求后，创建多个安全区间。
53.需要说明的是，ecs管控平台所创建的多个安全区间之间相互隔离，也即多个安全区间之间不允许进行数据传输。
54.步骤s33，更新安全区间，其中，通过对安全区间进行添加实例和/或删除实例来完成更新。
55.当机房中的机器上线/下线时，需要在创建的安全区间中添加/删除机器相应的eni，以保证机房内所有实例都具有归属的安全区间，且一个安全区间中的实例必须是同一个机房的。例如，可以将同一个机房内的机器所对应的eni添加到同一个安全区间中，从而使安全区间和机房具有一一对应的关系。
56.在更新安全区间时，可以对每个安全区间都进行更新，使得每个安全区间都具有对应的实例；也可以根据实际需求对部分安全区间进行更新。例如，创建了m个安全区间，但只需要将n(n<m)个机房内的机器对应的eni添加到安全区间中，则可以仅对n个安全区间进行更新，将属于同一个机房的机器所对应的eni添加至同一个安全区间中。
57.图5是根据本技术实施例的一种添加实例和/或删除实例的示意图，在一种可选的实施例中，结合图5所示，容灾平台通过open api发送安全区间添加/删除实例的请求到ecs管控平台，请求参数会包含安全区间id和实例的eni信息，ecs管控平台在安全区间中添加/删除实例，并根据安全区间id和实例eni信息将安全区间中的规则异步下发到nc物理机的avs。
58.步骤s35，更新任意一个或多个安全区间的安全区间规则，其中，通过对安全区间
规则进行添加新规则和/或删除新规则来完成更新。
59.具体的，上述安全区间规则用于对通过安全区间的流量的进出规则进行限制。例如，接受(accept)安全区间进方向的流量，禁止(drop)安全区间出方向的流量；安全区间进出方向的流量均接受(accept)；或安全区间进出方向的流量均禁止(drop)。因此可以通过调整安全区间规则中对安全区间进出流量的限制，来确定对该安全区间对应的机房的隔离或并入。
60.图6是根据本技术实施例的一种添加新规则和/或删除新规则的示意图，在一种可选的实施例中，结合图6所示，容灾平台通过open api发送安全区间规则添加/删除的请求到ecs管控平台，请求参数至少包含安全区间id和规则信息，ecs管控平台会根据安全区间id和规则信息将安全区间中的新规则异步下发到nc物理机的avs。规则下发时间与安全区间中的实例数成正比例关系。
61.如果更新的安全区间规则是禁止安全区间的进出方向的流量，则由于机房流量隔离规则较严格，在规则生效后，机房内部除了少数端口(ssh、监控等)以外的全部网络进出流量都会阻断，效果如下图7所示，机房1中的ecs实例被添加至一个已创建的安全区间，在对机房1中的安全区间规则进行更新后，机房1中的ecs实例与其他设备之间的流量传输被切断。因此也不会产生网络进出流量。而由于未对机房2中的安全区间规则进行更新，因此机房2仍能够具有流量的进出。
62.本技术上述实施例创建多个相互隔离的安全区间，其中，每个安全区间中包括多个相互信任的云服务器ecs实例；更新安全区间，其中，通过对安全区间进行添加实例和/或删除实例来完成更新；更新任意一个或多个安全区间的安全区间规则，其中，通过对安全区间规则进行添加新规则和/或删除新规则来完成更新。上述方案中，可以将实例按照其所在的机房创建安全区间，例如，对机房1中的实例创建一个安全区间，对机房2中的实例创建一个安全区间，以此类推，从而当任意一个机房发生故障时，可以通过向发生故障的机房下发安全区间规则的方式，将发生故障的机房进行快速的隔离，进而极大的提高了容灾切换的效率，解决了技术的中心机房采用同城多活来实现集团机房的容灾架构，由于集团业务种种类繁多，因此需要根据不同的业务场景设计不同的容灾方案，导致容灾过程中容灾切换效率低的技术问题。
63.需要注意的，当发生故障的机房通过更新安全区间规则的方式被隔离后，原本访问故障机房的流量根据预设的业务规则进行引流，例如，被引流至与故障机房的物理位置最近的正常机房，或被引流至指定的正常机房，本技术对引流方式和引流的规则不作具体限定。
64.作为一种可选的实施例，创建多个相互隔离的安全区间，包括：接收用于创建安全区间的创建请求，其中，创建请求至少包括：私有网络vpc的网络信息，网络信息用于配置私有网络vpc的网络网段；根据私有网络vpc的网络信息，创建私有网络vpc的网络网段下的安全区间。
65.具体的，上述创建请求可以由用户通过容灾平台发出。例如，容灾平台的人机交互界面上为用户提供配置安全区间的控件，当用户点击配置安全区间的控件时，容灾平台即向ecs管控平台发出了创建请求。
66.上述私有网络vpc可以是已存在的vpc，也可以是新创建的vpc。如果是已存在的
vpc，则该私有网络vpc已经具有对应的预设的网络网段，如果是新建的私有网络vpc，则在新建该私有网络vpc时，为其分配对应的网络网段。
67.在接收到创建安全区间的创建请求后，ecs管控平台根据创建请求中所携带的私有网络vpc的网络网段来创建对应的安全区间。
68.作为一种可选的实施例，更个安全区间，包括：接收至少一个用于更新安全区间的第一更新请求，其中，第一更新请求至少包括：待更新的安全区间的标识信息id和待添加和/或删除的实例的虚拟网卡信息。根据第一更新请求，更新安全区间下的实例，并将更新后的安全区间中的安全区间规则异步下发到物理机的虚拟交换机avs，以在物理机上运行云服务器ecs服务。
69.具体的，上述更新安全区间的第一更新请求仍可以由用户通过容灾平台发出，也可以当机房中的机器满足预设条件时候自动发出。上述安全区间的标识信息id可以是在创建安全区间时为安全区间配置的安全区间名称，也可以是创建安全区间后自动为安全区间生成的安全区间编号，安全区间的标识信息id与安全区间具有一一对应的关系。待添加和/或删除的实例的虚拟网卡信息，用于表示待添加至当前安全区间或待从当前安全区间删除的实例的eni信息，此处的eni信息可以是预设的eni编号。通过待更新的安全区间的标识信息id和待添加和/或删除的实例的虚拟网卡信息，ecs管控平台即可确定在哪一个安全区间中添加/删除哪一个实例。
70.ecs管控平台在接收到第一更新请求后，即可确定需要被更新的安全区间，以及需要被更新的安全区间内需要被添加或删除的实例。如果该第一更新请求用于向安全区间内添加实例，则根据需要添加的实例的eni信息，将该需要添加入安全区间的实例加入安全区间的标识信息所指示的安全区间中；如果该第一更新请求用于从安全区间中删除实例，则从安全区间的标识信息所指示的安全区间中，删除eni信息所对应的实例。
71.在ecs管控平台更新了安全区间中的实例后，还需要将安全区间中的安全区间规则异步下发至物理机的虚拟交换机avs，从而使得安全区间中的每个实例都具有安全区间规则。
72.作为一种可选的实施例，当机房进行上线或下线时，启动执行第一更新请求，控制机房的实例都归属对应的安全区间。
73.当上述机房中的机器上线或下线时，发出上述第一更新请求，以使得对安全区间中的实例进行更新。
74.作为一种可选的实施例，更新任意一个或多个安全区间的安全区间规则包括：接收至少一个用于更新安全区间规则的第二更新请求，其中，第二更新请求至少包括：待更新安全区间规则的安全区间的标识信息id和规则信息；根据第二更新请求，更新待更新安全区间规则的安全区间的安全区间规则，并将更新后的安全区间规则异步下发到物理机的虚拟交换机avs，以使物理机上运行云服务器ecs服务。
75.具体的，上述第二更新请求仍可以由用户通过容灾平台发出。该第二更新请求中至少携带有需要更新安全规则的安全区间的标识信息id，以规则信息。在接收到第二更新请求后，根据第二更新请求中携带的安全区间的标识信息id，确定待更新安全区间规则的安全区间，并对这些安全区间的安全区间规则进行更新。在这些安全区间的安全区间规则更新完成后，将更新后的安全区间规则异步下发至物理机的虚拟交换机avs上。
76.需要说明的是，上述待更新安全区间规则的安全区间，可以是需要改变出方向流量或入方向流量的状态安全区间。例如，对于故障机房对应的安全区间，希望其安全区间的出方向流量和入方向流量都被禁止，以使故障机房被隔离，因此故障机房对应的安全区间时待更新安全区间规则的安全区间。
77.作为一种可选的实施例，任意一个安全区间上更新后的安全区间规则生效之后，该安全区间所在的机房中的多种网络进出流量都会阻断，其中，发生了网络进出流量阻断的机房中的安全区间为隔离安全区间。
78.在安全区间规则用于禁止安全区间的进出流量的情况下，当安全区间中的安全区间规则生效后，除了少数端口(ssh端口、监控端口等)以外的全部网络进出流量都会阻断，以使得安全区间处于隔离状态，该安全区间即为隔离安全区间。
79.作为一种可选的实施例，安全区间规则的规则信息至少包括：安全区间所属的网络网段、通信协议、授权策略和优先级。
80.下面对上述安全区间规则的规则信息分别进行说明。
81.首先，上述安全区间所属的网络网段可以为一组五元组信息，具体为:(源ip,源port,目的ip,目的port,通信协议，各部分都有缺省值来提高配置效率，其用于确定安全区间信息的作用范围。该ip既可以是单独值也可以是范围，ip范围既可以是无类ip(cidr)，也可以是安全区间id，此时ip范围等于这个安全区间内的所有ip，也即，当该安全区间规则生效时，安全区间规则中的授权策略会被应用至该五元组信息所确定的ip范围中。业务上，通过指定安全区间id来确定ip范围的acl(access control lists，访问控制列表)即为组授权acl。
82.授权策略可以包括接收(accept)和禁止(drop)，用于对上述五元组信息所确定的ip范围内的实例的出方向流量和入方向流量进行控制。例如，对于一个还在测试阶段未运行的安全区间，如果用户不对acl进行任何设置，则入方向drop所有请求，出方向accept所有请求；而对于一个正常运行的机房对应的安全区间，入方向accept所有请求，出方向drop所有请求；而对于一个故障机房对应的安全区间，入方向drop所有请求，出方向drop所有请求。
83.优先级可以通过1-100的整数的确定，数值越小优先级越高。优先级决定acl的生效顺序，安全区间acl在vport上的排序规则总结为：优先级>授权策略(drop优先)>创建时间倒序，如果网卡同时加入多个安全区间，那么把所有安全区间的规则拉在一起统一按这个规则进行排序。
84.作为一种可选的实施例，相互隔离的安全区间之间的内网通信默认处于无法通信状态，其中，全组规则中授权允许互访的任意两个或多个安全区间，被配置为允许互相访问。
85.在上述方案中，同一安全区间内的ecs实例之间默认内网网络互通，而在没有设置允许访问的安全区间规则的情况下，不同安全区间内的ecs实例默认内网不通。但对于普通安全区间，可以通过安全区间规则授权两个安全区间之间互访。
86.作为一种可选的实施例，在更新安全区间之前，方法还包括：创建云服务器ecs实例，且在创建云服务器ecs实例时，将创建的云服务器ecs实例归属于指定的安全区间，其中，每个云服务器ecs实例至少属于一个安全区间。
87.在上述方案中，在创建ecs实例时必须指定其所属的安全区间，以使每台ecs实例至少属于一个安全区间。
88.需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。
89.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
90.实施例2
91.根据本发明实施例，还提供了一种容灾系统的处理方法，图8是根据本技术实施例2的一种容灾系统的处理方法的流程图，如图8所示，该方法包括：
92.步骤s81，容灾平台cdr通过云接口发送创建请求，其中，创建请求用于创建多个相互隔离的安全区间，每个安全区间中包括多个相互信任的云服务器ecs实例。
93.具体的，上述云接口用于表示open api。上述步骤中，容灾平台向ecs管控平台发送创建请求。在一种可选的实施例中，结合图4所示，容灾平台通过预设的open api(开放平台)向ecs管控平台发送创建安全区间的请求，ecs管控平台在接收到容灾平台发送的创建安全区间的请求后，创建多个安全区间。
94.需要说明的是，ecs管控平台所创建的多个安全区间之间相互隔离，也即多个安全区间之间不允许进行数据传输。
95.步骤s83，容灾平台cdr通过云接口发送第一更新请求，其中，第一更新请求用于通过对安全区间进行添加实例和/或删除实例来完成更新安全区间。
96.具体的，上述更新安全区间的第一更新请求仍可以由用户通过容灾平台发出。当机房中的机器上线/下线时，需要在创建的安全区间中添加/删除机器相应的eni，以保证机房内所有实例都具有归属的安全区间，且一个安全区间中的实例必须是同一个机房的。例如，可以将同一个机房内的机器所对应的eni添加到同一个安全区间中，从而使安全区间和机房具有一一对应的关系。
97.在一种可选的实施例中，结合图5所示，容灾平台通过open api发送安全区间添加/删除实例的请求到ecs管控平台，请求参数会包含安全区间id和实例的eni信息，ecs管控平台在安全区间中添加/删除实例，并根据安全区间id和实例eni信息将安全区间中的规则异步下发到nc物理机的avs。
98.步骤s85，容灾平台cdr通过云接口发送第二更新请求，其中，第二更新请求用于通过对安全区间规则进行添加新规则和/或删除新规则来完成更新任意一个或多个安全区间的安全区间规则。
99.具体的，上述第二更新请求仍可以由用户通过容灾平台发出。上述安全区间规则
用于对通过安全区间的流量的进出规则进行限制。例如，接受(accept)安全区间进方向的流量，禁止(drop)安全区间出方向的流量；安全区间进出方向的流量均接受(accept)；或安全区间进出方向的流量均禁止(drop)。因此可以通过调整安全区间规则中对安全区间进出流量的限制，来确定对该安全区间对应的机房的隔离或并入。
100.在一种可选的实施例中，结合图6所示，容灾平台通过open api发送安全区间规则添加/删除的请求到ecs管控平台，请求参数至少包含安全区间id和规则信息，ecs管控平台会根据安全区间id和规则信息将安全区间中的新规则异步下发到nc物理机的avs。规则下发时间与安全区间中的实例数成正比例关系。
101.如果更新的安全区间规则是禁止安全区间的进出方向的流量，则由于机房流量隔离规则较严格，在规则生效后，机房内部除了少数端口(ssh、监控等)以外的全部网络进出流量都会阻断，效果如下图7所示，机房1中的ecs实例被添加至一个已创建的安全区间，在对机房1中的安全区间规则进行更新后，机房1中的ecs实例与其他设备之间的流量传输被切断。因此也不会产生网络进出流量。而由于未对机房2中的安全区间规则进行更新，因此机房2仍能够具有流量的进出。
102.由此可知，本技术上述方案中通过容灾平台发送请求，以使ecs管控平台将实例按照其所在的机房创建安全区间，例如，对机房1中的实例创建一个安全区间，对机房2中的实例创建一个安全区间，以此类推，从而当任意一个机房发生故障时，可以通过向发生故障的机房下发安全区间规则的方式，将发生故障的机房进行快速的隔离，进而极大的提高了容灾切换的效率，解决了技术的中心机房采用同城多活来实现集团机房的容灾架构，由于集团业务种种类繁多，因此需要根据不同的业务场景设计不同的容灾方案，导致容灾过程中容灾切换效率低的技术问题。
103.需要注意的，当发生故障的机房通过更新安全区间规则的方式被隔离后，原本访问故障机房的流量根据预设的业务规则进行引流，例如，被引流至与故障机房的物理位置最近的正常机房，或被引流至指定的正常机房，本技术对引流方式和引流的规则不作具体限定。
104.此处需要说明的是，本实施例2在不冲突的情况下还可以包括实施例1中的其他方案，此处不再赘述。
105.实施例3
106.根据本发明实施例，还提供了一种容灾系统的处理系统，图9是根据本技术实施例3的一种容灾系统的处理方系统的示意图，如图9所示，该系统包括：容灾设备90和云服务器的管控设备92；其中，
107.容灾设备90向云服务器的管控设备92下发如下至少一种请求：创建请求、第一更新请求和第二更新请求；
108.其中，创建请求用于创建多个相互隔离的安全区间，每个安全区间中包括多个相互信任的云服务器ecs实例；
109.第一更新请求用于通过对安全区间进行添加实例和/或删除实例来完成更个安全区间；
110.第二更新请求用于通过对安全区间规则进行添加新规则和/或删除新规则来完成更新任意一个或多个安全区间的安全区间规则。
111.具体的，上述方案中，容灾平台向ecs管控平台发送创建请求。在一种可选的实施例中，结合图4所示，容灾平台通过预设的open api(开放平台)向ecs管控平台发送创建安全区间的请求，ecs管控平台在接收到容灾平台发送的创建安全区间的请求后，创建多个安全区间。
112.需要说明的是，ecs管控平台所创建的多个安全区间之间相互隔离，也即多个安全区间之间不允许进行数据传输。
113.具体的，上述更新安全区间的第一更新请求仍可以由用户通过容灾平台发出。当机房中的机器上线/下线时，需要在创建的安全区间中添加/删除机器相应的eni，以保证机房内所有实例都具有归属的安全区间，且一个安全区间中的实例必须是同一个机房的。例如，可以将同一个机房内的机器所对应的eni添加到同一个安全区间中，从而使安全区间和机房具有一一对应的关系。
114.在一种可选的实施例中，结合图5所示，容灾平台通过open api发送安全区间添加/删除实例的请求到ecs管控平台，请求参数会包含安全区间id和实例的eni信息，ecs管控平台在安全区间中添加/删除实例，并根据安全区间id和实例eni信息将安全区间中的规则异步下发到nc物理机的avs。
115.具体的，上述第二更新请求仍可以由用户通过容灾平台发出。上述安全区间规则用于对通过安全区间的流量的进出规则进行限制。例如，接受(accept)安全区间进方向的流量，禁止(drop)安全区间出方向的流量；安全区间进出方向的流量均接受(accept)；或安全区间进出方向的流量均禁止(drop)。因此可以通过调整安全区间规则中对安全区间进出流量的限制，来确定对该安全区间对应的机房的隔离或并入。
116.在一种可选的实施例中，结合图6所示，容灾平台通过open api发送安全区间规则添加/删除的请求到ecs管控平台，请求参数至少包含安全区间id和规则信息，ecs管控平台会根据安全区间id和规则信息将安全区间中的新规则异步下发到nc物理机的avs。规则下发时间与安全区间中的实例数成正比例关系。
117.如果更新的安全区间规则是禁止安全区间的进出方向的流量，则由于机房流量隔离规则较严格，在规则生效后，机房内部除了少数端口(ssh、监控等)以外的全部网络进出流量都会阻断，效果如下图7所示，机房1中的ecs实例被添加至一个已创建的安全区间，在对机房1中的安全区间规则进行更新后，机房1中的ecs实例与其他设备之间的流量传输被切断。因此也不会产生网络进出流量。而由于未对机房2中的安全区间规则进行更新，因此机房2仍能够具有流量的进出。
118.由此可知，本技术上述方案中通过容灾平台发送请求，以使ecs管控平台将实例按照其所在的机房创建安全区间，例如，对机房1中的实例创建一个安全区间，对机房2中的实例创建一个安全区间，以此类推，从而当任意一个机房发生故障时，可以通过向发生故障的机房下发安全区间规则的方式，将发生故障的机房进行快速的隔离，进而极大的提高了容灾切换的效率，解决了技术的中心机房采用同城多活来实现集团机房的容灾架构，由于集团业务种种类繁多，因此需要根据不同的业务场景设计不同的容灾方案，导致容灾过程中容灾切换效率低的技术问题。
119.需要注意的，当发生故障的机房通过更新安全区间规则的方式被隔离后，原本访问故障机房的流量根据预设的业务规则进行引流，例如，被引流至与故障机房的物理位置
最近的正常机房，或被引流至指定的正常机房，本技术对引流方式和引流的规则不作具体限定。
120.此处需要说明的是，本实施例2在不冲突的情况下还可以包括实施例1中的其他方案，此处不再赘述。
121.实施例4
122.根据本发明实施例，还提供了一种用于实施上述实施例1中的容灾系统的处理方法的容灾系统的装置，图10是根据本技术实施例4的一种容灾系统的处理装置的示意图，如图10所示，该装置1000包括：
123.创建模块1002，用于创建多个相互隔离的安全区间，其中，每个安全区间中包括多个相互信任的云服务器ecs实例。
124.第一更新模块1004，用于更新安全区间，其中，通过对安全区间进行添加实例和/或删除实例来完成更新。
125.第二更新模块1006，用于更新任意一个或多个安全区间的安全区间规则，其中，通过对安全区间规则进行添加新规则和/或删除新规则来完成更新。
126.此处需要说明的是，上述创建模块1002、第一更新模块1004和第二更新模块1006对应于实施例1中的步骤s21至步骤s23，两个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例一所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例一提供的计算设备10中。
127.作为一种可选的实施例，创建模块包括：第一接收子模块，用于接收用于创建安全区间的创建请求，其中，创建请求至少包括：私有网络vpc的网络信息，网络信息用于配置私有网络vpc的网络网段；创建子模块，用于根据私有网络vpc的网络信息，创建私有网络vpc的网络网段下的安全区间。
128.作为一种可选的实施例，第一更新模块包括：第二接收子模块，用于接收至少一个用于更新安全区间的第一更新请求，其中，第一更新请求至少包括：待更新的安全区间的标识信息id和待添加和/或删除的实例的虚拟网卡信息；第一更新子模块，用于根据第一更新请求，更新安全区间下的实例，并将更新后的安全区间中的安全区间规则异步下发到物理机的虚拟交换机avs，以在物理机上运行云服务器ecs服务。
129.作为一种可选的实施例，当机房进行上线或下线时，启动执行第一更新请求，控制机房的实例都归属对应的安全区间。
130.作为一种可选的实施例，第二更新模块包括：第三接收子模块，用于接收至少一个用于更新安全区间规则的第二更新请求，其中，第二更新请求至少包括：待更新安全区间规则的安全区间的标识信息id和规则信息；第二更新子模块，用于根据第二更新请求，更新待更新安全区间规则的安全区间的安全区间规则，并将更新后的安全区间规则异步下发到物理机的虚拟交换机avs，以使物理机上运行云服务器ecs服务。
131.作为一种可选的实施例，任意一个安全区间上更新后的安全区间规则生效之后，该安全区间所在的机房中的多种网络进出流量都会阻断，其中，发生了网络进出流量阻断的机房中的安全区间为隔离安全区间。
132.作为一种可选的实施例，安全区间规则的规则信息至少包括：安全区间所属的网络网段、通信协议、授权策略和优先级。
133.作为一种可选的实施例，相互隔离的安全区间之间的内网通信默认处于无法通信状态，其中，全组规则中授权允许互访的任意两个或多个安全区间，被配置为允许互相访问。
134.作为一种可选的实施例，在更新安全区间之前，方法还包括：创建云服务器ecs实例，且在创建云服务器ecs实例时，将创建的云服务器ecs实例归属于指定的安全区间，其中，每个云服务器ecs实例至少属于一个安全区间。
135.实施例5
136.根据本发明实施例，还提供了一种用于实施上述实施例2中的容灾系统的处理方法的容灾系统的装置，图11是根据本技术实施例5的一种容灾系统的处理装置的示意图，如图11所示，该装置1100包括：
137.第一发送模块1102，用于容灾平台cdr通过云接口发送创建请求，其中，创建请求用于创建多个相互隔离的安全区间，每个安全区间中包括多个相互信任的云服务器ecs实例。
138.第二发送模块1104，用于容灾平台cdr通过云接口发送第一更新请求，其中，第一更新请求用于通过对安全区间进行添加实例和/或删除实例来完成更新安全区间。
139.第三发送模块1106，用于容灾平台cdr通过云接口发送第二更新请求，其中，第二更新请求用于通过对安全区间规则进行添加新规则和/或删除新规则来完成更新任意一个或多个安全区间的安全区间规则。
140.此处需要说明的是，上述第一发送模块1102、第二发送模块1104和第三发送模块1106对应于实施例2中的步骤s81至步骤s85，三个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例一所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例一提供的计算设备10中。
141.实施例6
142.本发明的实施例可以提供一种计算设备，该计算设备可以是计算设备群中的任意一个计算设备。可选地，在本实施例中，上述计算设备也可以替换为移动终端等终端设备。
143.可选地，在本实施例中，上述计算设备可以位于计算机网络的多个网络设备中的至少一个网络设备。
144.在本实施例中，上述计算设备可以执行应用程序的漏洞检测方法中以下步骤的程序代码：创建多个相互隔离的安全区间，其中，每个安全区间中包括多个相互信任的云服务器ecs实例；更新安全区间，其中，通过对安全区间进行添加实例和/或删除实例来完成更新；更新任意一个或多个安全区间的安全区间规则，其中，通过对安全区间规则进行添加新规则和/或删除新规则来完成更新。
145.可选地，图12是根据本技术实施例6的一种计算设备的结构框图。如图12所示，该计算设备a可以包括：一个或多个(图中仅示出一个)处理器1202、存储器120、以及外设接口1206。
146.其中，存储器可用于存储软件程序以及模块，如本发明实施例中的安全漏洞检测方法和装置对应的程序指令/模块，处理器通过运行存储在存储器内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的系统漏洞攻击的检测方法。存储器可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、
或者其他非易失性固态存储器。在一些实例中，存储器可进一步包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至终端a。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
147.处理器可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：创建多个相互隔离的安全区间，其中，每个安全区间中包括多个相互信任的云服务器ecs实例；更新安全区间，其中，通过对安全区间进行添加实例和/或删除实例来完成更新；更新任意一个或多个安全区间的安全区间规则，其中，通过对安全区间规则进行添加新规则和/或删除新规则来完成更新。
148.可选的，上述处理器还可以执行如下步骤的程序代码：接收用于创建安全区间的创建请求，其中，创建请求至少包括：私有网络vpc的网络信息，网络信息用于配置私有网络vpc的网络网段；根据私有网络vpc的网络信息，创建私有网络vpc的网络网段下的安全区间。
149.可选的，上述处理器还可以执行如下步骤的程序代码：接收至少一个用于更新安全区间的第一更新请求，其中，第一更新请求至少包括：待更新的安全区间的标识信息id和待添加和/或删除的实例的虚拟网卡信息；根据第一更新请求，更新安全区间下的实例，并将更新后的安全区间中的安全区间规则异步下发到物理机的虚拟交换机avs，以在物理机上运行云服务器ecs服务。
150.可选的，当机房进行上线或下线时，启动执行第一更新请求，控制机房的实例都归属对应的安全区间。
151.可选的，上述处理器还可以执行如下步骤的程序代码：接收至少一个用于更新安全区间规则的第二更新请求，其中，第二更新请求至少包括：待更新安全区间规则的安全区间的标识信息id和规则信息；根据第二更新请求，更新待更新安全区间规则的安全区间的安全区间规则，并将更新后的安全区间规则异步下发到物理机的虚拟交换机avs，以使物理机上运行云服务器ecs服务。
152.可选的，上述处理器还可以执行如下步骤的程序代码：任意一个安全区间上更新后的安全区间规则生效之后，该安全区间所在的机房中的多种网络进出流量都会阻断，其中，发生了网络进出流量阻断的机房中的安全区间为隔离安全区间。
153.可选的，安全区间规则的规则信息至少包括：安全区间所属的网络网段、通信协议、授权策略和优先级。
154.可选的，相互隔离的安全区间之间的内网通信默认处于无法通信状态，其中，全组规则中授权允许互访的任意两个或多个安全区间，被配置为允许互相访问。
155.可选的，在更新安全区间之前，方法还包括：创建云服务器ecs实例，且在创建云服务器ecs实例时，将创建的云服务器ecs实例归属于指定的安全区间，其中，每个云服务器ecs实例至少属于一个安全区间。
156.采用本发明实施例，提供了一种容灾系统的处理方法。通过创建多个相互隔离的安全区间，其中，每个安全区间中包括多个相互信任的云服务器ecs实例；更新安全区间，其中，通过对安全区间进行添加实例和/或删除实例来完成更新；更新任意一个或多个安全区间的安全区间规则，其中，通过对安全区间规则进行添加新规则和/或删除新规则来完成更新。上述方案中，可以将实例按照其所在的机房创建安全区间，例如，对机房1中的实例创建
一个安全区间，对机房2中的实例创建一个安全区间，以此类推，从而当任意一个机房发生故障时，可以通过向发生故障的机房下发安全区间规则的方式，将发生故障的机房进行快速的隔离，进而极大的提高了容灾切换的效率，解决了技术的中心机房采用同城多活来实现集团机房的容灾架构，由于集团业务种种类繁多，因此需要根据不同的业务场景设计不同的容灾方案，导致容灾过程中容灾切换效率低的技术问题。
157.本领域普通技术人员可以理解，图12所示的结构仅为示意，计算设备也可以是智能手机(如android手机、ios手机等)、平板电脑、掌声电脑以及移动互联网设备(mobile internet devices，mid)、pad等终端设备。图12其并不对上述电子装置的结构造成限定。例如，计算设备1200还可包括比图12中所示更多或者更少的组件(如网络接口、显示装置等)，或者具有与图12所示不同的配置。
158.本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(read-only memory，rom)、随机存取器(random access memory，ram)、磁盘或光盘等。
159.实施例7
160.本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以用于保存上述实施例一所提供的容灾系统的处理方法所执行的程序代码。
161.可选地，在本实施例中，上述存储介质可以位于计算机网络中计算设备群中的任意一个计算设备中，或者位于移动终端群中的任意一个移动终端中。
162.可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：创建多个相互隔离的安全区间，其中，每个安全区间中包括多个相互信任的云服务器ecs实例；更新安全区间，其中，通过对安全区间进行添加实例和/或删除实例来完成更新；更新任意一个或多个安全区间的安全区间规则，其中，通过对安全区间规则进行添加新规则和/或删除新规则来完成更新。
163.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
164.在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
165.在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
166.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
167.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单
元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
168.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
169.以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。