一种分布式系统中数据节点的安全管理方法

一种分布式系统中数据节点的安全管理方法
【专利摘要】本发明提供一种分布式系统中数据节点的安全管理方法，包括以下步骤：确定数据节点的物理状态和物理状态的转移路径；管理系统对数据节点的物理状态进行管理；不同物理状态下的数据节点对数据操作进行管理。本发明为所有的数据节点定义6个物理状态，保证了数据健康程度监控的及时性，以使用户得以及时得知整个分布式系统上每个节点上的数据健康状况；且数据节点的删除操作仅允许针对僵尸状态的数据节点进行，如果用户想要删除健康的数据节点，必须手动对其进行手动重建的操作，待其重建完成后方可删除，这样从根本上保证了分布式系统的数据安全性。
【专利说明】一种分布式系统中数据节点的安全管理方法

【技术领域】
[0001]本发明涉及一种管理方法，具体涉及一种分布式系统中数据节点的安全管理方法。

【背景技术】
[0002]分布式系统中管理系统作为管理整个机群文件系统的一部分，具有非常重要的作用。在整个分布式系统中大致可以分为三类节点:管理节点、数据节点、元数据节点。其中数据节点负责数据的读写与存储，元数据负责数据的名字空间，管理节点则对整个机群的所有节点进行管理。管理系统可以控制整个系统的安装与部署，启动与停止；管理系统可以监控整个机群中所有节点的各种状态信息:包括服务状态，网络状态，数据读写速率等等，对于异常情况能给出实时告警信息，以方便用户进行下一步的操作；管理系统可以管理整个机群的拓扑:比如为整个机群添加或者删除一个节点，添加或者删除一个磁盘等等操作；管理系统可以控制整个机群的用户与用户组的访问权限和配额等信息。总之，管理系统是分布式系统与用户交互的唯一窗口，它有着不可或缺的作用。
[0003]分布式系统中的各个节点都是相对比较独立的，同时每个节点均有可能发生故障，比如网络异常，磁盘坏掉甚至整个操作系统损坏等情况，因此管理系统需要支持对整个机群的相应节点的操作。比如替换节点，删除磁盘等操作。但是提供这种操作也会带来相应的风险，比如删除磁盘操作，在一个以双副本作为可靠性机制的存储机群中，如果不加限制而允许用户调用命令随意删除节点的磁盘，如果同时删除了某个文件的两个副本所在的磁盘，将会导致该文件的数据不可用，并且无法修复，这将造成严重的后果。同理，对于删除节点的操作，如果不加限制，也会造成不可逆转的严重后果。
[0004]与此同时，当数据节点上的硬件发现异常，该节点上的数据便会出现异常，这时候如果不将它与健康的节点区分开来，继续在该节点上进行读写操作，而该节点的对外服务此时必然不正常，这时整个系统的性能将会受到影响。
[0005]由上所述，需要对删除节点和删除磁盘这类操作加以限制从而避免上述情况的发生。同时对所有数据节点上的数据健康状态作出一定的健康，甚至主动控制该节点对外的服务的状态，避免系统的不稳定因素。


【发明内容】

[0006]为了克服上述现有技术的不足，本发明提供一种分布式系统中数据节点的安全管理方法，确保用户上述操作的安全性和数据健康程度的监控的及时性。
[0007]为了实现上述发明目的，本发明采取如下技术方案:
[0008]本发明提供一种分布式系统中数据节点的安全管理方法，所述方法包括以下步骤:
[0009]步骤1:确定数据节点的物理状态和物理状态的转移路径；
[0010]步骤2:管理系统对数据节点的物理状态进行管理；
[0011]步骤3:不同物理状态下的数据节点对数据操作进行管理。
[0012]所述步骤I中，数据节点的物理状态包括健康状态、孤立状态、修复状态、被动重建状态、手动重建状态和僵尸状态。
[0013]物理状态的转移路径包括以下步骤:
[0014](I)元数据节点上报数据节点上存在坏数据，管理系统将该数据节点的物理状态由健康状态置为修复状态；
[0015](2)元数据节点上报数据节点上不存在坏数据，管理系统将该数据节点的物理状态由修复状态置为健康状态；
[0016](3)所有的数据节点均汇报与某个数据节点的网络不通，管理系统将该数据节点的物理状态置为孤立状态；
[0017](4)任一数据节点汇报与处于孤立状态的数据节点的网络重新连接成功，管理系统将该处于孤立状态的数据节点的物理状态置为健康状态；
[0018](5)处于孤立状态的数据节点与机群网络一直处于隔离状态，并且超过设定时间，管理系统将该处于孤立状态的数据节点的物理状态置为被动重建状态；
[0019](6)用户想要删除某个数据节点，删除之前执行重建操作，管理系统将该数据节点的物理状态置为手动重建状态，以通知其他数据节点将该数据节点上的数据转移；
[0020](7)用户取消处于手动重建状态的数据节点的重建，管理系统将该处于手动重建状态的数据节点的物理状态重新置为健康状态；
[0021](8)元数据节点汇报处于孤立状态的数据节点或处于手动重建状态的数据节点上的对象数为0，代表重建已经完成，将处于孤立状态的数据节点或处于手动重建状态的数据节点的物理状态置为僵尸状态，此状态下的处于孤立状态的数据节点或处于手动重建状态的数据节点允许删除。
[0022]所述步骤2包括以下步骤:
[0023]步骤2-1:每个数据节点定时向管理系统汇报与其它数据节点的网络连接状态，管理系统对接收的网络连接状态进行汇总，并检查判断每个数据节点是否与整个机群断开连接；
[0024]步骤2-2:每个元数据节点定时向管理系统汇报每个数据节点上的对象信息，对象信息包括该数据节点的坏数据数目和总对象数目，管理系统接收后并将对象信息存储到监控矩阵中；
[0025]步骤2-3:管理系统定时检查所有数据节点的网络状态，如果处于孤立状态的数据节点孤立于整个机群超过用户设定的时间阈值，管理系统将设置该数据节点的物理状态为被动重建状态，在该状态下，所有的数据节点协商将存储于该数据节点的数据转移出去，以保障数据的安全性；
[0026]步骤2-4:管理系统定时检查所有数据节点的物理状态，如果某个数据节点上的坏数据数目不为0，则将该数据节点的物理状态设为修复状态；与此同时，如果管理系统发现该数据节点原来的物理状态是修复状态，但是现在坏数据数目已经为0，则将该数据节点的物理状态重新置为健康状态；
[0027]步骤2-5:管理系统向用户提供重建数据节点的功能，用户执行数据节点重建操作后，管理系统将该数据节点的物理状态置为手动重建状态，在该状态下，所有的数据节点协商将存储于该数据节点的数据转移出去，以保障数据的安全性；同时用户随时对处于重建状态的数据节点取消重建操作，取消之后，管理系统将其数据节点的物理状态置为健康状态；
[0028]步骤2-6:管理系统定时检查所有数据节点的物理状态，如果某个数据节点上的总对象数目为0，同时它又处于被动重建状态或手动重建状态下，则管理系统认为该数据节点重建已经完成，该数据节点上没有任何数据，将其物理状态置为僵尸状态；
[0029]步骤2-7:删除数据节点的操作只能针对物理状态为僵尸状态的数据节点进行，其它物理状态下的数据节点一律禁止删除。
[0030]所述步骤2-1中，若所有的数据节点都汇报与某个数据节点无法连接，则管理系统认为该数据节点为孤立状态，将该数据节点的物理状态置为孤立状态，并保存在配置文件中；同时如果某个数据节点原来的物理状态为孤立状态，经过检查发现其网络已正常，管理系统将重置该数据节点的物理状态为健康状态。
[0031]所述步骤3包括以下步骤:
[0032]步骤3-1:数据节点定时向管理系统获得自身最新的物理状态，在读写操作命令到来时，首先检查自身的物理状态，如果是写操作，则物理状态为健康状态或修复状态下才允许进行；如果是读操作，则物理状态为健康状态、修复状态、手动重建状态或被动重建状态下才允许进行；
[0033]步骤3-2:元数据节点定时向管理系统获得所有数据节点最新的物理状态，当发现某个数据节点的物理状态为手动重建状态或者被动重建状态时，则触发该数据节点上数据的转移操作，分批次将该数据节点的数据全部转移出去。
[0034]与现有技术相比，本发明的有益效果在于:
[0035]1、本发明为所有的数据节点定义6个物理状态，保证了数据健康程度监控的及时性，以使用户得以及时得知整个分布式系统上每个节点上的数据健康状况；
[0036]2、管理系统通过定时监控所有数据节点上的数据状态，如果网络异常，则将其置为孤立状态，超过一定时间则对其进行重建，重建完成为进入僵尸状态；
[0037]3、数据节点的删除操作仅允许针对僵尸状态的数据节点进行，如果用户想要删除健康的数据节点，必须手动对其进行手动重建的操作，待其重建完成后方可删除，这样从根本上保证了分布式系统的数据安全性。

【专利附图】

【附图说明】
[0038]图1是本发明实施例中物理状态的转移路径示意图。

【具体实施方式】
[0039]下面结合附图对本发明作进一步详细说明。
[0040]如图1，本发明提供一种分布式系统中数据节点的安全管理方法，所述方法包括以下步骤:
[0041]步骤1:确定数据节点的物理状态和物理状态的转移路径；
[0042]步骤2:管理系统对数据节点的物理状态进行管理；
[0043]步骤3:不同物理状态下的数据节点对数据操作进行管理。
[0044]所述步骤I中，数据节点的物理状态包括健康状态、孤立状态、修复状态、被动重建状态、手动重建状态和僵尸状态，如表1:
[0045]表1
[0046]

【权利要求】
1.一种分布式系统中数据节点的安全管理方法，其特征在于:所述方法包括以下步骤: 步骤1:确定数据节点的物理状态和物理状态的转移路径； 步骤2:管理系统对数据节点的物理状态进行管理； 步骤3:不同物理状态下的数据节点对数据操作进行管理。
2.根据权利要求1所述的分布式系统中数据节点的安全管理方法，其特征在于:所述步骤I中，数据节点的物理状态包括健康状态、孤立状态、修复状态、被动重建状态、手动重建状态和僵尸状态。
3.根据权利要求2所述的分布式系统中数据节点的安全管理方法，其特征在于:物理状态的转移路径包括以下步骤: (1)元数据节点上报数据节点上存在坏数据，管理系统将该数据节点的物理状态由健康状态置为修复状态； (2)元数据节点上报数据节点上不存在坏数据，管理系统将该数据节点的物理状态由修复状态置为健康状态； (3)所有的数据节点均汇报与某个数据节点的网络不通，管理系统将该数据节点的物理状态置为孤立状态； (4)任一数据节点汇报与处于孤立状态的数据节点的网络重新连接成功，管理系统将该处于孤立状态的数据节点的物理状态置为健康状态； (5)处于孤立状态的数据节点与机群网络一直处于隔离状态，并且超过设定时间，管理系统将该处于孤立状态的数据节点的物理状态置为被动重建状态； (6)用户想要删除某个数据节点，删除之前执行重建操作，管理系统将该数据节点的物理状态置为手动重建状态，以通知其他数据节点将该数据节点上的数据转移； (7)用户取消处于手动重建状态的数据节点的重建，管理系统将该处于手动重建状态的数据节点的物理状态重新置为健康状态； (8)元数据节点汇报处于孤立状态的数据节点或处于手动重建状态的数据节点上的对象数为O，代表重建已经完成，将处于孤立状态的数据节点或处于手动重建状态的数据节点的物理状态置为僵尸状态，此状态下的处于孤立状态的数据节点或处于手动重建状态的数据节点允许删除。
4.根据权利要求1所述的分布式系统中数据节点的安全管理方法，其特征在于:所述步骤2包括以下步骤: 步骤2-1:每个数据节点定时向管理系统汇报与其它数据节点的网络连接状态，管理系统对接收的网络连接状态进行汇总，并检查判断每个数据节点是否与整个机群断开连接; 步骤2-2:每个元数据节点定时向管理系统汇报每个数据节点上的对象信息，对象信息包括该数据节点的坏数据数目和总对象数目，管理系统接收后并将对象信息存储到监控矩阵中； 步骤2-3:管理系统定时检查所有数据节点的网络状态，如果处于孤立状态的数据节点孤立于整个机群超过用户设定的时间阈值，管理系统将设置该数据节点的物理状态为被动重建状态，在该状态下，所有的数据节点协商将存储于该数据节点的数据转移出去，以保障数据的安全性； 步骤2-4:管理系统定时检查所有数据节点的物理状态，如果某个数据节点上的坏数据数目不为O，则将该数据节点的物理状态设为修复状态；与此同时，如果管理系统发现该数据节点原来的物理状态是修复状态，但是现在坏数据数目已经为O，则将该数据节点的物理状态重新置为健康状态； 步骤2-5:管理系统向用户提供重建数据节点的功能，用户执行数据节点重建操作后，管理系统将该数据节点的物理状态置为手动重建状态，在该状态下，所有的数据节点协商将存储于该数据节点的数据转移出去，以保障数据的安全性；同时用户随时对处于重建状态的数据节点取消重建操作，取消之后，管理系统将其数据节点的物理状态置为健康状态； 步骤2-6:管理系统定时检查所有数据节点的物理状态，如果某个数据节点上的总对象数目为O,同时它又处于被动重建状态或手动重建状态下,则管理系统认为该数据节点重建已经完成，该数据节点上没有任何数据，将其物理状态置为僵尸状态； 步骤2-7:删除数据节点的操作只能针对物理状态为僵尸状态的数据节点进行，其它物理状态下的数据节点一律禁止删除。
5.根据权利要求4所述的分布式系统中数据节点的安全管理方法，其特征在于:所述步骤2-1中，若所有的数据节点都汇报与某个数据节点无法连接，则管理系统认为该数据节点为孤立状态，将该数据节点的物理状态置为孤立状态，并保存在配置文件中；同时如果某个数据节点原来的物理状态为孤立状态，经过检查发现其网络已正常，管理系统将重置该数据节点的物理状态为健康状态。
6.根据权利要求1所述的分布式系统中数据节点的安全管理方法，其特征在于:所述步骤3包括以下步骤: 步骤3-1:数据节点定时向管理系统获得自身最新的物理状态，在读写操作命令到来时，首先检查自身的物理状态，如果是写操作，则物理状态为健康状态或修复状态下才允许进行；如果是读操作，则物理状态为健康状态、修复状态、手动重建状态或被动重建状态下才允许进行； 步骤3-2:元数据节点定时向管理系统获得所有数据节点最新的物理状态，当发现某个数据节点的物理状态为手动重建状态或者被动重建状态时，则触发该数据节点上数据的转移操作，分批次将该数据节点的数据全部转移出去。
【文档编号】H04L29/08GK104135388SQ201410401812
【公开日】2014年11月5日 申请日期:2014年8月15日 优先权日:2014年8月15日
【发明者】车玉坤, 杨浩 申请人:曙光信息产业(北京)有限公司