一种安全服务平台的资源调度方法和装置与流程

本发明涉及互联网安全技术领域，尤其涉及一种安全服务平台的资源调度方法和装置。

背景技术：

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。传统模式下，网络安全设备的形态基本以硬件盒子为主，如防火墙、IPS(Intrusion Prevention System，入侵防护系统)、IDS(Intrusion Detection Systems，入侵检测系统)、DDoS(Distributed Denial of Service，分布式拒绝服务)、WAF(Web Application Firewall，Web应用防火墙)等，他们广泛分布在我们的机房、数据中心网络的各个层次上，来保证我们业务高质量、可靠、安全的运行。

云计算是IT产业的第三次变革，让企业及个人用户能够按需快速自助的获取的资源、同时能够根据业务使用情况对资源进行弹性并按照使用量来收取费用。在传统形态下，业务主机都是以物理形态部署，安全设备只需物理串联在业务主机的前面就可以起到防护作用。当引入云计算后，通过构建安全服务平台并将安全服务功能虚拟化，将业务流量先牵引到安全服务进行清洗，然后再送到业务进行处理，这样既解决了云上安全防护的问题又充分利用了云的弹性，实现了防护规模的无限扩展，突破传统的硬件防护设备固有的硬件规格限制。

由于安全服务平台在底层上是使用的不同厂商的云平台资源，涉及到不同厂商的计算、存储、网络资源，需要满足不同客户的防护业务诉求和一些其他要求，所以如何对安全服务平台所拥有的资源进行统一的调度管理就是一个非常关键的问题，这关系到是否能给业务提供高效、可靠的安全防护能力。

技术实现要素：

本发明的目的在于提出一种安全服务平台的资源调度方法和装置，能够对安全服务平台上的各类安全资源进行合理的分配与调度。

为达此目的，本发明采用以下技术方案：

一方面，本发明提供一种安全服务平台的资源调度方法，包括：

调度程序从主调度框架获取每个云平台上安全资源的资源类型和资源状态；

调度程序根据用户创建的安全资源请求，选择安全资源的所述资源类型和所述资源状态与所述安全资源请求匹配的云平台；

调度程序将所述安全资源请求分配给所述云平台。

进一步的，调度程序从主调度框架获取每个云平台上安全资源的资源类型和资源状态之前，还包括：

主调度框架在每个云平台部署对应的从组件；

从组件按周期获取对应的云平台上安全资源的资源类型和资源状态，上报给主调度框架。

进一步的，从组件按周期获取对应的云平台上安全资源的资源类型和资源状态，上报给主调度框架之后，还包括：

为每个云平台设置调度权重；

相应的，调度程序根据用户创建的安全资源请求，选择安全资源的所述资源类型和所述资源状态与所述安全资源请求匹配的云平台之后，还包括：

若所述云平台有两个以上，则根据所述云平台的调度权重，选择所述调度权重最高的云平台。

其中，调度程序将所述安全资源请求分配给所述云平台，包括：

调度程序通知主调度框架将所述安全资源请求分配给所述云平台；

主调度框架通知所述从组件根据所述安全资源请求在所述云平台上创建安全服务。

进一步的，主调度框架通知从组件根据所述安全资源请求在所述云平台上创建安全服务之后，还包括：

从组件根据主调度框架的通知，指示执行组件在所述云平台上创建安全服务。

其中，所述资源类型包括容器安全资源、虚拟机安全资源和物理主机安全资源；

所述资源状态包括资源总量和资源剩余量。

另一方面，本发明提供一种安全服务平台的资源调度装置，包括：主调度框架和调度模块；

所述主调度框架用于接入多个调度模块；

调度模块包括资源获取子模块，资源匹配子模块和资源分配子模块；

所述资源获取子模块用于从主调度框架获取每个云平台上安全资源的资源类型和资源状态；

所述资源匹配子模块用于根据用户创建的安全资源请求，选择安全资源的所述资源类型和所述资源状态与所述安全资源请求匹配的云平台；

所述资源分配子模块用于将所述安全资源请求分配给所述云平台。

进一步的，所述资源调度装置还包括从组件；

主调度框架还用于在每个云平台部署对应的从组件；

所述从组件用于按周期获取对应的云平台上安全资源的资源类型和资源状态，上报给主调度框架。

其中，所述资源分配子模块具体用于：

通知主调度框架将所述安全资源请求分配给所述云平台对应的从组件；

相应的，主调度框架还用于：通知所述从组件根据所述安全资源请求在所述云平台上创建安全服务。

进一步的，所述资源调度装置还包括执行组件；

所述执行组件用于根据从组件的指示在所述从组件对应的云平台上创建安全服务。

本发明的有益效果为：

在集合了多个云平台资源的安全服务平台上，调度程序为用户创建的安全资源请求选择匹配的安全资源，在具备该安全资源的云平台上根据用户的安全资源请求创建安全服务。本发明满足了不同场景下的安全资源请求，并具备良好的调度扩展性，能够兼容不同的云平台，对不同资源进行统一的编排调度。

附图说明

图1是本发明实施例一提供的安全服务平台的资源调度方法的流程图。

图2是本发明实施例二提供的安全服务平台的资源调度方法的流程图。

图3是本发明实施例三提供的安全服务平台的资源调度装置的结构示意图。

具体实施方式

为使本发明解决的技术问题、采用的技术方案和达到的技术效果更加清楚，下面将结合附图对本发明实施例的技术方案作进一步的详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

实施例一

本实施例提供一种安全服务平台的资源调度方法，用于安全服务平台上安全资源的调度，实现多个云平台上安全资源的整合和合理分配。所述资源调度方法通常由一种安全服务平台的资源调度装置来执行，该资源调度装置由软件和/或硬件实现，一般集成于安全服务平台。

图1是本发明实施例一提供的安全服务平台的资源调度方法的流程图。如图1所示，包括如下步骤：

S11，调度程序从主调度框架获取每个云平台上安全资源的资源类型和资源状态。

安全服务平台采用与各个云平台匹配的接口，针对不同的云平台加载相应的驱动，实现与不同云平台的对接。

不同的云平台提供的安全资源也存在差异，资源状态也各不相同。其中，安全资源的资源类型包括容器安全资源、虚拟机安全资源和物理主机安全资源等；所述资源状态为可以描述和标识云平台硬件设备的信息，是资源的静态信息和运行时的动态信息的集合，根据不同资源的情况和使用场景也存在差异，包括但不限于资源总量、资源剩余量、资源位置信息、资源硬件类型、厂商、资源归属信息中的至少一个；不同的资源类型，都有各自的资源状态。

安全服务平台的资源调度由四个组件组成，分别是主调度框架(Master)、从组件(Slaver)、调度程序(Scheduler)、执行组件(Worker)。主调度框架可以接入和集成各种调度程序，并记录了安全服务平台上接入的云平台的安全资源情况，调度程序能够从主调度框架获取每个云平台上安全资源的资源类型和资源状态。

S12，调度程序根据用户创建的安全资源请求，选择安全资源的所述资源类型和所述资源状态与所述安全资源请求匹配的云平台。

安全服务平台对外提供标准的接口服务，用户通过接口服务来创建和部署不同类型的安全服务。调度程序通过接口服务获得用户创建的安全资源请求，安全资源请求中包括了需要的资源类型和数量，以及用户指定的调度参数，根据用户创建的安全资源请求以及步骤S11中获取的所述资源类型和所述资源状态，选择与所述安全资源请求匹配的安全资源，进而选择具备该安全资源的云平台。

匹配以能满足所述安全资源请求为标准，首先判断资源类型是否符合所述安全资源请求的需求，其次判断各资源类型的资源状态是否足够支撑所述安全资源请求的创建。

若单个云平台的安全资源不能同时满足安全资源请求的所有要求，则在用户或者业务流允许的情况下，调度程序可对安全资源请求进行拆分，根据拆分后的子安全资源请求及所述资源状态，分别为各所述子安全资源请求选择匹配的安全资源。

S13，调度程序将所述安全资源请求分配给所述云平台。

在选择匹配的安全资源之后，将由具备该安全资源的云平台为用户提供安全服务，因此，调度程序将所述安全资源请求分配给具备所述安全资源的云平台。云平台根据用户的安全资源请求进行安全服务创建。

本实施例实现了一个通用的安全服务平台，能够兼容不同的云平台，满足不同场景下的调度需求并具有良好的调度扩展功能。调度程序属于具体调度实现部分，它可以根据不同的调度诉求进行编写并注册到主调度框架中，做到即插即用，实现了调度功能的高度扩展，用户只需要关心创建安全资源的种类和规格，而无需关心其如何被创建。

实施例二

本实施例提供一种安全服务平台的资源调度方法，在上述实施例的基础上，进行技术方案的改进，当满足安全服务请求的云平台有多个时，决定由哪个云平台为用户提供安全服务。

图2是本发明实施例二提供的安全服务平台的资源调度方法的流程图。如图2所示，所述资源调度方法包括如下步骤：

S21，主调度框架在每个云平台部署对应的从组件。

主调度框架针对每一个接入的云平台创建一个从组件，在每个云平台部署对应的从组件。

S22，从组件按周期获取对应的云平台上安全资源的资源类型和资源状态，上报给主调度框架。

从组件对应每个云平台，通过运行脚本、程序的方式收集每个云平台上各资源类型及其对应的资源状态，实现可扩展的插件机制，收集包括物理主机资源、虚拟机资源、容器资源的资源总量及资源剩余量，并上报给主调度框架，调度程序主要进行资源调度，它结合用户创建的安全资源请求和不同从组件上报的资源总量及资源剩余量来决策如何分配创建任务到不同的从组件。

S23，为每个云平台设置调度权重。

每个从组件获取对应的云平台的性能参数和安全资源情况，所述性能参数包括但不限于CPU、内存、硬盘、网络状况，性能参数主要用来衡量云平台处理用户业务流的能力。根据性能参数和/或安全资源情况对云平台设置调度权重，也可根据用户的偏好、业务流的特性设置云平台的调度权重。针对不同的业务流、用户、性能侧重点或者资源侧重点，对相同的云平台设置的调度权重有可能不同。

S24，调度程序从主调度框架获取每个云平台上安全资源的资源类型和资源状态。

主调度框架可以接入和集成各种调度程序，通过从组件获取并记录了安全服务平台上接入的云平台的安全资源情况，调度程序从主调度框架获取每个云平台上安全资源的资源类型和资源状态。

S25，调度程序根据用户创建的安全资源请求，选择安全资源的所述资源类型和所述资源状态与所述安全资源请求匹配的云平台。

调度程序通过接口服务获得用户创建的安全资源请求，根据用户创建的安全资源请求以及步骤S24中获取的所述资源类型及其资源状态，选择出与所述安全资源请求匹配的云平台。

若具备匹配的安全资源的云平台有两个以上，则执行步骤S25，选出最适合的安全资源。

S26，根据所述云平台的调度权重，选择所述调度权重最高的云平台。

根据所述云平台的调度权重，调度权重越高，说明该云平台更适合处理所述安全资源请求，选择符合要求的云平台中调度权限最高的云平台。

S27，调度程序通知主调度框架将所述安全资源请求分配给所述云平台。

选出安全资源匹配的云平台之后，调度程序通知主调度框架将所述安全资源请求分配所述云平台对应的从组件。

S28，主调度框架通知所述从组件根据所述安全资源请求在所述云平台上创建安全服务。

从组件接受并执行主调度框架下发的任务。主调度框架通过指令向所述从组件下发任务，由从组件来执行后续的安全服务创建动作，即根据所述安全资源请求在所述云平台上创建安全服务。

S29，从组件根据主调度框架的通知，指示执行组件在所述云平台上创建安全服务。

执行组件主要负责执行主调度框架下发给从组件的任务。从组件收到主调度框架下发的任务后，指示执行组件完成具体的安全服务创建操作。

另外，调度程序可以根据每个云平台的资源类型及资源状态并结合用户的安全资源请求进行全局综合决策，可以对不同平台上的不同类型的资源做筛选、过滤，拆分用户的安全资源请求，在不同云平台只创建用户期望类型的资源。

本实施例充分考虑了用户及业务流的选择倾向，可以针对不同的云平台设置不同的调度权重，以及过滤或允许指定的资源来完成业务流，在不同云平台只创建用户期望资源的安全服务，从而实现在不同云平台上的差异性需求。

实施例三

本实施例提供一种安全服务平台的资源调度装置，用于执行上述实施例所述的资源调度方法，解决同样的技术问题，达到相同的技术效果。

图3是本发明实施例三提供的安全服务平台的资源调度装置的结构示意图。如图3所示，所述资源调度装置包括：主调度框架31和调度模块32；

所述主调度框架31用于接入多个调度模块32；

调度模块32包括资源获取子模块321，资源匹配子模块322和资源分配子模块323；

所述资源获取子模块321用于从主调度框架31获取每个云平台33上安全资源的资源类型和资源状态；

所述资源匹配子模块322用于根据用户创建的安全资源请求，选择安全资源的所述资源类型和所述资源状态与所述安全资源请求匹配的云平台33；

所述资源分配子模块323用于将所述安全资源请求分配给所述云平台33。

进一步的，所述资源调度装置还包括从组件34和执行组件35；

主调度框架31还用于在每个云平台33部署对应的从组件34；

所述从组件34用于按周期获取对应的云平台33上安全资源的资源类型和资源状态，上报给主调度框架31。

其中，所述资源分配子模块323具体用于：

通知主调度框架31将所述安全资源请求分配给所述云平台33对应的从组件34；

相应的，主调度框架31还用于：通知所述从组件34根据所述安全资源请求在所述云平台33上创建安全服务。

所述执行组件35用于根据从组件34的指示在所述从组件34对应的云平台33上创建安全服务。

本实施例在集合了多个云平台资源的安全服务平台上，调度模块为用户创建的安全资源请求选择匹配的安全资源，在具备该安全资源的云平台上根据用户的安全资源请求创建安全服务。本发明满足了不同场景下的安全资源请求，并具备良好的调度扩展性，能够兼容不同的云平台，对不同资源进行统一的编排调度。

以上结合具体实施例描述了本发明的技术原理。这些描述只是为了解释本发明的原理，而不能以任何方式解释为对本发明保护范围的限制。基于此处的解释，本领域的技术人员不需要付出创造性的劳动即可联想到本发明的其它具体实施方式，这些方式都将落入本发明的保护范围之内。