本技术涉及网络安全,特别涉及一种安全服务调度方法和系统、电子设备和计算机可读存储介质。
背景技术:
1、服务器在接收用户端发送的业务流量前,往往需要使业务流量经过安全组件的处理,传统的安全架构往往以网络为中心,通过手动配置多种安全策略,将诸如防火墙、waf、堡垒机等专用硬件进行串接,对接收的流量进行一系列的安全检测,而随着数字化时代的到来,云计算技术也不断突破,安全服务上云成为确定性的发展趋势。
2、为了分担云计算中心的任务,现有技术中往往还会将安全服务部署在多个边缘计算节点,这种将安全服务虚拟化部署在边缘计算节点的安全架构,需要先将客户端发送的业务流量转发到边缘计算节点再调用安全组件进行安全检测,最后将通过安全检测的业务流量转发到服务器端,在现有技术中,往往仅根据边缘计算节点的地理位置,将业务流量转发到与客户端较近的边缘计算节点,在这种调度策略下,如果将安全组件部署到算力超负荷的边缘计算节点,就容易出现安全组件无法及时响应的情况,这会使得业务流量经过安全组件时产生较高时延,使得虚拟化后的安全组件无法满足实际需求。
技术实现思路
1、为解决上述问题,本技术实施例提出一种安全服务调度方法和系统、电子设备和存储介质,可以将安全组件部署到最优的边缘计算节点,降低用户节点所发送的业务流量经过安全组件时的整体时延,从而使虚拟化的安全组件满足实际需求。
2、本技术实施例的第一方面提出一种安全服务调度方法,应用于云计算中心,所述云计算中心和dns服务器通信连接,所述dns服务器和用户节点通信连接,所述方法包括:
3、从所述dns服务器接收来自所述用户节点的安全业务请求;
4、根据所述安全业务请求确定需要部署的目标安全组件;
5、确定所述目标安全组件所请求的计算资源和网络带宽;
6、计算每个边缘计算节点与所述用户节点之间的数据传输速率;
7、根据所述计算资源、所述网络带宽和所述数据传输速率从所有所述边缘计算节点中确定部署所述目标安全组件的可用节点;
8、确定每个所述可用节点与所述用户节点之间的网络时延;
9、计算所述目标安全组件在每个所述可用节点的处理时间和负载均衡系数;
10、根据所述网络时延、所述处理时间和所述负载均衡系数确定最优的所述可用节点作为部署所述目标安全组件的目标节点;
11、将所述目标节点的地址下发至所述dns服务器,以使所述dns服务器将来自所述用户节点的业务流量重定向至所述目标节点。
12、在一些实施例中,在将来自所述用户节点的业务流量重定向至所述目标节点之前,包括:
13、获取每种所述目标安全组件的预设优先级;
14、根据所述预设优先级确定每种所述目标安全组件的部署顺序;
15、根据所述部署顺序将所述目标安全组件部署到对应的所述目标节点。
16、在一些实施例中,所述根据所述网络时延、所述处理时间和所述负载均衡系数从所述可用节点中确定部署所述目标安全组件的目标节点,包括:
17、根据所述网络时延、所述处理时间和所述负载均衡确定由所述可用节点构成的多条安全服务链的整体时延;
18、通过线性规划算法确定所述整体时延最小的所述安全服务链,以确定每种所述目标安全组件的目标节点。
19、在一些实施例中,所述计算每个边缘计算节点与所述用户节点之间的数据传输速率,包括:
20、通过如下公式计算每个所述边缘计算节点与所述用户节点之间的数据传输速率:
21、;
22、其中,是第k个所述边缘计算节点与所述用户节点之间的传输速率,是第k个所述边缘计算节点的传输功率,表示第k条信道的信道增益,所述第k条信道是第k个所述边缘计算节点与所述用户节点之间通信的信道,表示第k条信道的带宽,表示第i个所述边缘计算节点的传输功率,表示第i条信道的信道增益,所述第i条信道是第i个所述边缘计算节点与所述用户节点之间通信的信道,表示除第k条信道外的所有信道对第k条信道的干扰总和。
23、在一些实施例中,所述根据所述计算资源、所述网络带宽和所述数据传输速率从所有所述边缘计算节点中确定部署所述目标安全组件的可用节点,包括:
24、获取所有所述边缘计算节点的算力负载和带宽负载;
25、在确定第一边缘计算节点的所述数据传输速率大于第一速率阈值、所述算力负载和所述计算资源的总和小于所述第一边缘计算节点的预设计算资源总量且所述带宽负载和所述网络带宽的总和小于所述第一边缘计算节点的预设带宽总量的情况下,确定所述第一边缘计算节点是所述目标安全组件的可用节点,其中,所述第一边缘计算节点是所述边缘计算节点中的一个。
26、在一些实施例中,在所述将所述目标节点的地址下发至所述dns服务器,以使所述dns服务器将来自所述用户节点的业务流量重定向至所述目标节点之前,还包括:
27、根据所述目标安全组件确定第一容器,其中,所述第一容器配置有运行所述目标安全组件所需的虚拟机环境,所述目标安全组件运行于所述虚拟机环境;
28、将所述第一容器的镜像文件下发至所述目标节点以在所述目标节点部署所述目标安全组件。
29、在一些实施例中,所述根据所述安全业务请求确定需要部署的目标安全组件,包括:
30、根据所述安全业务请求匹配目标安全策略;
31、根据所述目标安全策略确定需要部署的所述目标安全组件。
32、本技术实施例的第二方面提出一种安全服务调度系统,所述系统包括:
33、多个边缘计算节点,所述边缘计算节点用于部署至少一类目标安全组件;
34、dns服务器,用于接收用户节点发送的安全业务请求并将所述安全业务请求转发至云计算中心,所述dns服务器还用于接收云计算中心反馈的目标节点,并将来自所述用户节点的业务流量重定向至所述目标节点;
35、云计算中心,用于执行如第一方面实施例所述的安全服务调度方法。
36、本技术实施例的第三方面提出一种电子设备,所述电子设备包括存储器、处理器、存储在所述存储器上并可在所述处理器上运行的程序以及用于实现所述处理器和所述存储器之间的连接通信的数据总线,所述程序被所述处理器运行时实现如第一方面实施例中任一项所述的安全服务调度方法。
37、本技术实施例的第四方面提出一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器运行,以实现如第一方面实施例中任一项所述的安全服务调度方法。
38、本技术实施例提出一种安全服务调度方法和系统、电子设备和存储介质,安全服务调度方法包括:从所述dns服务器接收来自所述用户节点的安全业务请求;根据所述安全业务请求确定需要部署的目标安全组件;确定所述目标安全组件所请求的计算资源和网络带宽;计算每个所述边缘计算节点与所述用户节点之间的数据传输速率;根据所述计算资源、所述网络带宽和所述数据传输速率从所有所述边缘计算节点中确定部署所述目标安全组件的可用节点;确定每个所述可用节点与所述用户节点之间的网络时延;计算所述目标安全组件在每个所述可用节点的处理时间和负载均衡系数;根据所述网络时延、所述处理时间和所述负载均衡系数确定最优的所述可用节点作为部署所述目标安全组件的目标节点;将所述目标节点的地址下发至所述dns服务器,以使所述dns服务器将来自所述用户节点的业务流量重定向至所述目标节点。本技术所提出的安全服务调度方法通过部署多个边缘计算节点,在接收到安全业务请求时,基于安全业务请求确定需要部署的目标安全组件,在调度边缘计算节点的过程中,基于目标安全组件所请求的计算资源、网络带宽,每个边缘计算节点和用户节点之间的数据传输速率从所有边缘计算节点中筛选出部署目标安全组件的可用节点,最后基于每个可用节点与用户节点之间的网络时延、每个可用节点处理对应安全任务所需的处理时间以及所有可用节点之间的负载均衡系数确定最优的可用节点作为部署目标安全组件的目标节点,将目标安全组件部署在该目标节点,从而降低业务流量经过目标安全组件时的整体时延,使得虚拟化后的目标安全组件可以满足实际业务需求。
39、本技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本技术而了解。本技术的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。