容器服务管理方法及装置与流程
本申请涉及通信技术,尤其涉及一种容器服务管理方法及装置。
背景技术:
网络功能虚拟化(networkfunctionvirtualization,nfv)是一种使用通用性硬件以及网络虚拟化构建通信网络系统的技术,能够用于承载通信网络中的软件处理功能,实现通信网络的虚拟化、灵活部署、灵活扩容,并降低通信网络系统昂贵的设备成本。nfv系统中虚拟网络功能(virtualizednetworkfunction,vnf)经过实例化后得到的vnf实例(vnfinstance,vnfi)能够部署在虚拟机上,并作为软件化后的网元执行网元相关功能。例如,vnfi可以对应于传统的非虚拟化通信网络中的具有物理网络功能的网元,用于实现例如移动管理实体(mobilemanagemententity,mme)、服务网关(servinggateway,sgw)和分组数据网关(packetdatanetworkgateway,pgw)等功能。nfv系统中的虚拟网络功能管理器(virtualizednetworkfunctionmanagement,vnfm)用于vnfi进行管理。同时,nfv系统中的容器服务(containerservice)实例能够为各vnfi提供高性能可伸缩的容器应用管理服务,该些管理服务被打包至可移植容器(docker)中,而nfv系统中的容器管理器(containermanager)用于管理nfv系统中的各容器服务实例。
现有技术中,当vnfi需要使用容器服务实例提供的服务时,vnfi需要通过vnfm向容器管理器发送token申请;当容器管理器接收到vnfi的token申请后,生成与vnfi对应的令牌(token),其中token包括vnfi的标识信息(instanceid)、vnf能够使用的容器服务实例以及vnf能够使用容器服务实例的截止时限(expirationtime);随后容器管理器将token通过vnfm发送至vnfi,使得vnfi接收到容器管理器发送的token后,能够根据该token在截止时限内请求对应的容器服务实例提供服务。
但是,现有的vnfi向容器管理器所请求的token,在被属于不同vnfm管理的vnfi盗用时依然能够使用,造成了token的安全性能较低。因此,如何提高vnfi请求容器服务实例提供的服务时使用的token的安全性能,是本领域亟待解决的技术问题。
技术实现要素:
本申请提供一种容器服务管理方法及装置,以提高vnfi请求容器服务实例提供的服务时使用的token的安全性能。
本申请第一方面提供一种容器管理方法,包括:若虚拟网络功能实例vnfi需要使用容器服务实例提供的服务,所述vnfi向用于管理所述容器服务实例的容器管理器发送token请求;其中,所述token请求中包括所述vnfi的标识信息,和用于管理所述vnfi的虚拟网络功能管理器vnfm的标识信息;
所述vnfi接收所述容器管理器发送的token;其中,所述token中包括所述vnfi的标识信息和所述vnfm的标识信息,所述vnfi的标识信息和所述vnfm的标识信息用于所述容器服务实例对使用所述token请求服务的vnfi进行验证。
综上,在本实施例中,vnfi在需要使用容器服务实例提供的服务时,向容器管理器发送token请求,而容器管理器根据token请求所生成的token中,包括了vnfi的标识信息和vnfm的标识信息。由于所生成的token中包括vnfm的标识信息,vnfi在根据token向容器服务实例请求服务时,容器服务实例除了对token中vnfi的标识信息进行验证,还会对token中vnfm的标识信息进行验证,从而保证了容器管理器针对某个vnfi生成的token被属于不同vnfm管理的vnfi盗用后却不能使用,进而提高了nfv系统中vnfi请求容器服务实例提供的服务时使用的token的安全性能。
在本申请第一方面一实施例中,所述vnfi接收所述容器管理器发送的token之后,还包括:所述vnfi向所述容器服务实例发送服务请求,所述服务请求中包括所述token,以使所述容器服务实例根据所述token中的所述vnfi的标识信息和所述vnfm的标识信息对所述vnfi进行验证;若验证成功,所述vnfi使用所述容器服务实例提供的服务。
综上,在本实施例中,vnfi在根据token向容器服务实例请求服务时,容器服务实例除了对token中vnfi的标识信息进行验证,还会对token中vnfm的标识信息进行验证,只有在vnfi的标识信息和vnfm的标识信息均通过验证后,容器服务实例才会vnfi提供服务。则对于被两个vnfm所管理的两个不同的vnfi即使拥有相同的vnfi的标识信息,由于两个vnfm的标识信息不同,并且容器服务实例在vnfi请求容器服务时还会对vnfm的标识信息进行验证,因此,当一个vnfi向容器管理器申请了token后,即使其token被另一个vnfi所盗用,盗用vnfi所发送的token中vnfm的标识信息与该vnfi实际的vnfm的标识信息不同,容器服务实例无法对token进行验证通过,容器服务实例也就不会向盗用token的vnfi提供容器服务。从而使得token即使被其他vnfi跨vnfm所盗用,盗用token的vnfi也不能根据该token使用容器服务实例提供的服务,即保证了容器管理器针对某个vnfi生成的token被属于不同vnfm管理的vnfi盗用后却不能使用,进而提高了nfv系统中vnfi请求容器服务实例提供的服务时使用的token的安全性能。
在本申请第一方面一实施例中,所述token中还包括:容器服务实例的标识信息;
所述vnfi根据所述token向所述容器服务实例发送服务请求,包括:所述vnfi根据所述token向所述容器服务实例的标识信息对应的容器服务实例发送服务请求。
综上,在本实施例中,容器管理器在生成vnfi的token时,在token中直接携带vnfi可根据该token所请求的容器服务实例的标识信息,对可向vnfi提供的容器服务实例的范围进行限定。从而使得vnfi需要向token中容器管理器所指定的容器服务实例请求服务,而一旦token被跨vnfm盗用,其他vnfi也无法向原token所在的vnf系统中的容器服务实例请求服务,进而也能够增强token的安全性能,使得token被跨vnfm盗用后无法使用。
在本申请第一方面一实施例中,所述vnfi向所述容器管理器发送token请求,包括:在所述vnfm实例化所述vnfi时,所述vnfi向所述容器管理器发送所述token请求;
或者,在所述vnfm实例化所述vnfi后,所述vnfi向所述容器管理器发送所述token请求。
本申请第二方面提供一种容器服务管理方法,包括:
容器管理器接收虚拟网络功能实例vnfi发送的令牌token请求;其中,所述vnfi需要使用所述容器管理器所管理的容器服务实例提供的服务,所述token请求中包括所述vnfi的标识信息,和用于管理所述vnfi的虚拟网络功能管理器vnfm的标识信息;
所述容器管理器根据所述token请求生成token;其中,所述token中包括所述vnfi的标识信息和所述vnfm的标识信息,所述vnfi的标识信息和所述vnfm的标识信息用于所述容器服务实例对使用所述token请求服务的vnfi进行验证;
所述容器管理器将所述token发送至所述vnfi。
在本申请第二方面一实施例中,所述token中还包括:所述容器服务实例的标识信息;其中,所述容器服务实例的标识信息用于,所述vnfi向所述容器服务实例的标识信息对应的容器服务实例请求服务。
本申请第三方面提供一种容器服务管理方法,包括:若虚拟网络功能管理器vnfm管理的虚拟网络功能实例vnfi需要使用容器服务实例提供的服务,所述vnfm向用于管理所述容器服务实例的容器管理器发送token请求;其中,所述token请求中包括所述vnfi的标识信息,和用于管理所述vnfi的虚拟网络功能管理器vnfm的标识信息;
所述vnfm接收所述容器管理器发送的token,并将所述token发送至所述vnfi;其中,所述token中包括所述vnfi的标识信息和所述vnfm的标识信息,所述vnfi的标识信息和所述vnfm的标识信息用于所述容器服务实例对使用所述token请求服务的vnfi进行验证。
在本申请第三方面一实施例中,所述token中还包括:容器服务实例的标识信息;
所述容器服务实例的标识信息用于,所述vnfi向所述容器服务实例的标识信息对应的容器服务实例请求服务。
在本申请第三方面一实施例中,所述vnfm向所述容器管理器发送token请求,包括:在所述vnfm实例化所述vnfi时,所述vnfm向所述容器管理器发送所述token请求;
或者,在所述vnfm实例化所述vnfi后,所述vnfm向所述容器管理器发送所述token请求。
本申请第四方面提供一种容器服务管理方法,包括:容器管理器接收虚拟网络功能管理器vnfm发送的令牌token请求;其中,所述vnfm管理的虚拟网络功能实例vnfi需要使用所述容器管理器所管理的容器服务实例提供的服务,所述token请求中包括所述vnfi的标识信息,和用于管理所述vnfi的虚拟网络功能管理器vnfm的标识信息;
所述容器管理器根据所述token请求生成token;其中,所述token中包括所述vnfi的标识信息和所述vnfm的标识信息,所述vnfi的标识信息和所述vnfm的标识信息用于所述容器服务实例对使用所述token请求服务的vnfi进行验证;
所述容器管理器将所述token发送至所述vnfm,以使所述vnfm将所述token发送至所述vnfi。
在本申请第四方面一实施例中,所述token中还包括:所述容器服务实例的标识信息;其中,所述容器服务实例的标识信息用于,所述vnfi向所述容器服务实例的标识信息对应的容器服务实例请求服务。
本申请第五方面提供一种容器服务管理装置,包括:
发送模块,用于若虚拟网络功能实例vnfi需要使用容器服务实例提供的服务,向用于管理所述容器服务实例的容器管理器发送token请求;其中,所述token请求中包括所述vnfi的标识信息,和用于管理所述vnfi的虚拟网络功能管理器vnfm的标识信息;
接收模块,用于接收所述容器管理器发送的token;其中,所述token中包括所述vnfi的标识信息和所述vnfm的标识信息,所述vnfi的标识信息和所述vnfm的标识信息用于所述容器服务实例对使用所述token请求服务的vnfi进行验证。
在本申请第五方面一实施例中,还包括:处理模块;
所述发送模块还用于,向所述容器服务实例发送服务请求,所述服务请求中包括所述token,以使所述容器服务实例根据所述token中的所述vnfi的标识信息和所述vnfm的标识信息对所述vnfi进行验证;
所述处理模块用于,若验证成功,使用所述容器服务实例提供的服务。
在本申请第五方面一实施例中,所述token中还包括:容器服务实例的标识信息;
所述发送模块具体用于,根据所述token向所述容器服务实例的标识信息对应的容器服务实例发送服务请求。
在本申请第五方面一实施例中,所述发送模块具体用于,在所述vnfm实例化所述vnfi时,向所述容器管理器发送所述token请求;或者,在所述vnfm实例化所述vnfi后,向所述容器管理器发送所述token请求。
本申请第六方面提供一种容器服务管理装置,包括:
接收模块,用于接收虚拟网络功能实例vnfi发送的令牌token请求;其中,所述vnfi需要使用所述容器管理器所管理的容器服务实例提供的服务,所述token请求中包括所述vnfi的标识信息,和用于管理所述vnfi的虚拟网络功能管理器vnfm的标识信息;
处理模块,用于根据所述token请求生成token;其中,所述token中包括所述vnfi的标识信息和所述vnfm的标识信息,所述vnfi的标识信息和所述vnfm的标识信息用于所述容器服务实例对使用所述token请求服务的vnfi进行验证;
发送模块,用于将所述token发送至所述vnfi。
在本申请第六方面一实施例中,所述token中还包括:所述容器服务实例的标识信息;其中,所述容器服务实例的标识信息用于,所述vnfi向所述容器服务实例的标识信息对应的容器服务实例请求服务。
本申请第七方面提供一种容器服务管理装置,包括:
发送模块,用于若虚拟网络功能管理器vnfm管理的虚拟网络功能实例vnfi需要使用容器服务实例提供的服务,向用于管理所述容器服务实例的容器管理器发送token请求;其中,所述token请求中包括所述vnfi的标识信息,和用于管理所述vnfi的虚拟网络功能管理器vnfm的标识信息;
接收模块,用于接收所述容器管理器发送的token,并通过所述发送模块将所述token发送至所述vnfi;其中,所述token中包括所述vnfi的标识信息和所述vnfm的标识信息,所述vnfi的标识信息和所述vnfm的标识信息用于所述容器服务实例对使用所述token请求服务的vnfi进行验证。
在本申请第七方面一实施例中,所述token中还包括:容器服务实例的标识信息;
所述容器服务实例的标识信息用于,所述vnfi向所述容器服务实例的标识信息对应的容器服务实例请求服务。
在本申请第七方面一实施例中,所述发送模块具体用于,在所述vnfm实例化所述vnfi时,向所述容器管理器发送所述token请求;或者,在所述vnfm实例化所述vnfi后,向所述容器管理器发送所述token请求。
本申请第八方面提供一种容器管理服务装置,包括:
接收模块,用于接收虚拟网络功能管理器vnfm发送的令牌token请求;其中,所述vnfm管理的虚拟网络功能实例vnfi需要使用所述容器管理器所管理的容器服务实例提供的服务,所述token请求中包括所述vnfi的标识信息,和用于管理所述vnfi的虚拟网络功能管理器vnfm的标识信息;
处理模块,用于根据所述token请求生成token;其中,所述token中包括所述vnfi的标识信息和所述vnfm的标识信息,所述vnfi的标识信息和所述vnfm的标识信息用于所述容器服务实例对使用所述token请求服务的vnfi进行验证;
发送模块,用于将所述token发送至所述vnfm,以使所述vnfm将所述token发送至所述vnfi。
在本申请第八方面一实施例中,所述token中还包括:所述容器服务实例的标识信息;其中,所述容器服务实例的标识信息用于,所述vnfi向所述容器服务实例的标识信息对应的容器服务实例请求服务。
本申请第九方面提供一种vnfi,包括:处理器和通信接口;
若所述vnfi需要使用容器服务实例提供的服务,所述处理器用于将token请求发送至所述通信接口;其中,所述token请求中包括所述vnfi的标识信息,和用于管理所述vnfi的虚拟网络功能管理器vnfm的标识信息;
所述通信接口用于,将所述token请求发送至用于管理所述容器服务实例的容器管理器;
所述通信接口还用于,接收所述容器管理器发送的token,并将所述token发送至所述处理器;其中,所述token中包括所述vnfi的标识信息和所述vnfm的标识信息,所述vnfi的标识信息和所述vnfm的标识信息用于所述容器服务实例对使用所述token请求服务的vnfi进行验证。
在本申请第九方面一实施例中,所述处理器还用于,服务请求发送至所述通信接口,所述服务请求中包括所述token,以使所述容器服务实例根据所述token中的所述vnfi的标识信息和所述vnfm的标识信息对所述vnfi进行验证;
所述通信接口还用于,将所述服务请求发送至所述容器服务实例;
若验证成功,所述处理器还用于,使用所述容器服务实例提供的服务。
在本申请第九方面一实施例中,所述token中还包括:容器服务实例对的标识信息;
所述通信接口具体用于,将所述服务请求发送至所述容器服务实例的标识信息对应的容器服务实例。
在本申请第九方面一实施例中,所述处理器具体用于,在所示vnfm实例化所示vnfi时,将所述token请求发送至所述通信接口;或者,所述处理器具体用于,在所示vnfm实例化所示vnfi后,将所述token请求发送至所述通信接口。
本申请第十方面提供一种容器管理器,包括:通信接口和处理器;
所述通信接口用于接收虚拟网络功能实例vnfi发送的令牌token请求,并将所述token请求发送至所述处理器;其中,所述vnfi需要使用所述容器管理器所管理的容器服务实例提供的服务,所述token请求中包括所述vnfi的标识信息,和用于管理所述vnfi的虚拟网络功能管理器vnfm的标识信息;
所述处理器用于根据所述token请求生成token,并将所述token发送至所述通信接口;其中,所述token中包括所述vnfi的标识信息和所述vnfm的标识信息,所述vnfi的标识信息和所述vnfm的标识信息用于所述容器服务实例对使用所述token请求服务的vnfi进行验证;
所述通信接口还用于,将所述token发送至所述vnfi。
在本申请第十方面一实施例中,所述token中还包括:所述容器服务实例的标识信息;其中,所述容器服务实例的标识信息用于,所述vnfi向所述容器服务实例的标识信息对应的容器服务实例请求服务。
本申请第十一方面提供一种vnfm,包括:通信接口和处理器;
若所述vnfm管理的虚拟网络功能实例vnfi需要使用容器服务实例提供的服务,所述处理器用于将token请求发送至所述通信接口;其中,所述token请求中包括所述vnfi的标识信息,和用于管理所述vnfi的虚拟网络功能管理器vnfm的标识信息;
所述通信接口用于将所述token请求发送至用于管理所述服务实例的容器管理器;
所述通信接口还用于接收所述容器管理器发送的token,并将所述token发送至所述vnfi;其中,所述token中包括所述vnfi的标识信息和所述vnfm的标识信息,所述vnfi的标识信息和所述vnfm的标识信息用于所述容器服务实例对使用所述token请求服务的vnfi进行验证。
在本申请第十一方面一实施例中,所述token中还包括:容器服务实例的标识信息;
所述容器服务实例的标识信息用于,所述vnfi向所述容器服务实例的标识信息对应的容器服务实例请求服务。
本申请第十二方面提供一种容器管理器,包括:通信接口和处理器;
所述通信接口用于接收虚拟网络功能管理器vnfm发送的令牌token请求,并将所述token请求发送至所述处理器;其中,所述vnfm管理的虚拟网络功能实例vnfi需要使用所述容器管理器所管理的容器服务实例提供的服务,所述token请求中包括所述vnfi的标识信息,和用于管理所述vnfi的虚拟网络功能管理器vnfm的标识信息;
所述处理器用于根据所述token请求生成token,并将所述token发送至所述通信接口;其中,所述token中包括所述vnfi的标识信息和所述vnfm的标识信息,所述vnfi的标识信息和所述vnfm的标识信息用于所述容器服务实例对使用所述token请求服务的vnfi进行验证;所述通信接口还用于,将所述token发送至所述vnfm,以使所述vnfm将所述token发送至所述vnfi。
在本申请第十二方面一实施例中,所述token中还包括:所述容器服务实例的标识信息;其中,所述容器服务实例的标识信息用于,所述vnfi向所述容器服务实例的标识信息对应的容器服务实例请求服务。
第十三方面,本申请实施例中还提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行本申请第一方面、第二方面、第三方面或者第四方面任一项所述的方法。
第十四方面,本申请实施例提供了一种nfv系统,所述系统包括上述第五方面所述的装置和第六方面所述的装置;或者,所述系统包括上述第七方面所述的装置和第八方面所述的通信装置;或者,所述系统包括上述第九方面所述的vnfi和上述第十方面所述的容器管理器;或者,所述系统包括上述第十一方面所述的vnfm和上述第十二方面所述的容器管理器。
附图说明
图1为nfv系统的一实施例的结构示意图;
图2为本申请提供的容器服务管理方法一实施例的流程示意图;
图3为本申请提供的容器服务管理方法一实施例的流程示意图;
图4为本申请提供的容器服务管理方法一实施例的流程示意图;
图5为本申请提供的容器服务管理方法一实施例的流程示意图;
图6为nfv系统的另一实施例的结构示意图;
图7为本申请提供的容器服务管理装置的结构示意图;
图8为本申请提供的用于执行容器管理方法的设备的结构示意图。
具体实施方式
本申请各实施例提供的容器服务管理方法及装置,可应用于网络功能虚拟化(networkfunctionvirtualization,nfv)系统中。下面在正式介绍本申请之前,先结合附图1,对本申请各实施例所应用的nfv系统以及现有技术中存在的问题进行说明。
图1为nfv系统的结构示意图。如图1所示,nfv系统是一种使用通用性硬件以及网络虚拟化构建通信网络系统的技术,其中,nfv系统包括:运营支撑系统/业务支撑系统(operationsupportsystem/businesssupportsystem,oss/bss)11、网元管理系统(elementmanagementsystem,ems)、虚拟网络功能实例(virtualizednetworkfunction,vnfi)、容器服务实例、网络功能虚拟化基础设施:虚拟机(virtualmachine,vm)、网络功能虚拟化编排器(nfvorchestrator,nfvo)16、虚拟网络功能管理器(virtualizednetworkfunctionmanagement,vnfm)17,、容器管理器18和虚拟化基础设施管理器(virtualizedinfrastructuremanager,vim)19。
vnfm17用于对vnfi进行管理,执行各种管理功能,如初始化、更新、查询、和/或终止vnfi。其中,vnfm17对虚拟网络功能(virtualizednetworkfunction)vnf进行实例化后得到所述vnfi,一个vnfm可以管理至少一个vnfi,例如图1中vnfm17能够管理vnfi131、vnfi132和vnfi133。
当vnfm17对vnf进行实例化后能够得到vnfi能够部署在虚拟机vm上,并作为软件化后的网元执行其作为网元的相关功能。例如,如图1所示的示例中,vnfi131部署在vm151上、vnfi132部署在vm152上,以及vnfi133部署在vm153上。
oss/bss11面向电信服务运营商提供综合的网络管理和业务运营功能,包括网络管理(例如故障监控、网络信息收集等)、计费管理以及客户服务管理等。
nfvo16用于根据oss/bss11的服务请求,管理vnfi的生命周期、编排管理资源以实现vnfi的服务,以及用于实时监测vnfi、网络功能虚拟化基础设施资源及运行状态信息。
每个vnfi均对应于传统非虚拟化网络中的物理网络功能(physicalnetworkfunction,简称pnf),如虚拟化的演进分组核心网(evolvedpacketcore,epc)节点。例如:虚拟化的epc节点包括:移动管理实体(mobilemanagemententity,mme)、服务网关(servinggateway,sgw)和分组数据网关(packetdatanetworkgateway,pgw)等。
ems可用于管理一个或多个vnfi,针对每个所管理的vnf13,实现vnf13的故障管理、配置管理、计费管理、性能管理、安全管理(faultmanagement,configurationmanagement,accountingmanagement,performancemanagement,securitymanagement,fcaps)功能。例如,在如图1所示的示例中,ems121用于管理vnfi131,ems122用于管理vnfi132,以及ems123用于管理vnfi133。
vim19可以用于控制和管理vnfi对应的网络功能虚拟化基础设施,网络功能虚拟化基础设施可以包括计算硬件、存储硬件、网络硬件组成的硬件资源层、虚拟化层、以及虚拟计算(例如虚拟机)、虚拟存储和虚拟网络组成的虚拟资源层。在如图1所示的系统示例中,网络功能虚拟化基础设施通过虚拟主机(virtualmachine,vm)实现。
nfv系统中主要包括以下相关接口:
ve-vnfm:vnfm与ems、vnfm与vnfi之间,用于vnf生命周期管理、交互配置信息。
or-vnfm:nfvo与vnfm之间,用于vnf生命周期管理请求资源,发送配置信息、收集状态信息。
vi-vnfm:vnfm与vim之间,用于资源分配请求,虚拟化资源配置和状态信息交互。
or-vi:nfvo与vim之间,用于资源预留、分配请求,虚拟化资源配置和状态信息交互。
nf-vi:vim与vm之间,用于资源具体分配,虚拟资源状态信息交互,硬件资源配置。
vn-nf:vm与vnf之间,用于vm向vnf提供实际执行环境。
os-ma:vnfi生存周期管理、ns生存周期管理、策略管理等。
cm-vnfm:vnfm与容器管理器之间,用于容器服务的调用、查询等管理。
nf-k8s:容器服务实例与容器管理器之间,用于容器服务的创建、删除和更新等管理。
vi-k8s:容器管理器与vim之间,用于容器资源的请求调用等。
同时,容器服务实例14能够以虚拟化容器的形式向vnfi提供例如负载均衡等服务。则当vnfi使用容器服务实例14提供的服务时,需要向用于管理容器服务实例14的容器管理器18请求容器服务实例14为vnfi提供服务。现有的nfv系统中,通常采用基于oauth2.0的机制服务授权机制。
例如,在如图1所示的nfv系统中,当vnfi131需要使用容器服务实例提供的服务时,vnfi131通过vnfm17向容器管理器18发送token申请,以从容器管理器18获得容使用容器服务时可用的token。则当容器管理器18接收到vnfi的服务申请后,授权vnfi131可使用的容器服务,生成请求服务的vnfi131对应的令牌(token)并通过vnfm17返回至发送服务申请的vnfi131;其中token包括vnfi131的标识信息(instanceid)、vnf能够使用的容器服务实例以及vnf能够使用容器服务实例的截止时限(expirationtime),token用于保证vnfi使用容器服务实例时对vnfi进行验证,保证容器服务实例只能向token对应的vnfi(即vnfi131)提供服务。随后,vnfi13根据所接收到的token,向对应的容器服务实例141发送服务请求,并在服务请求中携带token。而当容器服务实例141接收到vnfi131发送的服务请求后,对服务请求中的token进行验证,并在token验证通过后,容器服务实例141向vnfi131提供容器服务。
现有技术中,nfv系统的供应商会根据业务需求设置多个vnfm分别管理各自的vnfi;以及,不同的nfv系统的供应商所设置的vnfm必然不同,不同供应商所设置的vnfm分别管理各自的vnfi。但是,在现有技术中,即使不同的vnfm管理各自不同的vnfi,但是所有vnfm却会依据相同的规则和顺序对该vnfm自身所管理的vnfi分配instantid,从而导致了属于不同vnfm所管理的vnfi可能会出现instantid相同的情况。例如:某nfv系统中的vnfm1向其所管理的vnfi所分配的instantid为a1,b2,和c3;而另一nfv系统中的vnfm2向其所管理的vnfi所分配的instantid也为a1,b2和c3。
因此,也就导致了在上述场景中,vnfm1所管理的vnfi11向容器管理器所请求的token,在被属于不同的vnfm2管理的vnfi21盗用后,假设vnfm1向vnfi11所分配的instantid和vnfm2向vnfi21所分配的instantid相同,盗用token得vnfi21可以直接使用该容器管理器向vnfi11所分配的token向容器服务实例请求服务,容器服务实例根据对token进行验证通过后,还是会向盗用token的vnfi21提供容器服务,进而造成了token的安全性能较低。
因此,本申请基于上述技术问题,提出一种容器服务管理方法及装置,以提高nfv系统中,vnfi请求容器服务实例提供的服务时使用的token的安全性能。
下面结合附图,对本申请提供的容器服务管理方法及装置进行说明。
图2为本申请提供的容器服务管理方法一实施例的流程示意图,如图2所示的实施例可应用于如图1所示的nfv系统中,并由nfv系统中的对象执行对应的方法,本实施例提供的容器服务管理方法包括:
s101:vnfi向容器管理器发送token请求,用于请求vnfi向容器服务实例请求服务时使用的token;其中,token请求包括vnfi的标识信息,和用于管理该vnfi的vnfm的标识信息。
具体地,当vnfi确定需要使用容器服务实例提供的容器服务时,需要向用于管理该容器服务实例的容器管理器发送token请求,以使容器管理器对vnfi使用容器服务示例提供的容器服务进行授权,并生成token。其中,所述token请求用于向容器管理器请求vnfi向所述容器服务示例请求服务时所使用的token。相对应地,容器管理器在s101中接收vnfi所发送的token请求。
特别地,本实施例中所述的token请求中,包括:vnfi的标识信息,以及用于管理该vnfi的vnfm的标识信息。其中,vnfi的标识信息可以是用于管理该vnfi的vnfm,在将vnf实例化为vnfi时为vnfi分配的instantid。可选地,vnfm为vnfi分配的instantid可以是一串字符例如“vnf-amf-123”,或者可以是一串随机数,例如“0x4257369973”。本申请对vnfm向vnfi所分配的instantid的具体表示方式不作限定。vnfm的标识信息可以是nfv系统中用于标识vnfm的vnfmid。可选地,vnfmid可以是字符例如“vnfm-epc-123”,或者可以是一串随机数,例如“0x4257369973”。本申请对nfv系统中对于vnfmid的具体表示方式不作限定。
可选地,在本实施例一种具体的实现方式中,所述token请求中具体包括:“vnfi的标识信息、vnfm的标识信息、请求的服务名称(expectedservicename)和所请求的token的截止时间(expiration)”。
例如,若一个vnfi在需要使用目标容器服务实例提供的负载均衡服务时,vnfi需要从管理该目标容器服务示例的容器管理器获得使用容器服务实例的授权,则vnfi可以向该容器管理器发送token请求,以申请容器管理器授权vnfi使用目标容器服务示例所提供的负载均衡服务,并为vnfi提供token。同时,vnfi向容器管理器发送的token中还需要携带所请求的token的截止期,在截止期前,vnfi能够使用该token向目标容器服务实例发送服务请求时,目标容器服务实例能够向vnfi提供负载均衡服务;而在截止期后,vnfi若继续使用该token向目标容器服务示例发送服务请求,则目标容器服务示例不会再向vnfi提供负载均衡服务。
示例性地,本实施例vnfi向容器管理器发送的token中,可以包括:“vnfi的instantid(vnf-amf-123)、vnfm的vnfmid(vnfm-epc-123)、vnfi所请求的负载均衡的服务名称(loadbalance)和截止时间(2020-01-01)”。
可选地,vnfi具体实例化过程中,或者实例化之后,通过s101中向容器管理器发送token请求。其中,具体由vnfm对vnf进行实例化得到vnfi。vnfm实例化vnf的实现方式及原理可参照现有技术,本实施例不做限定。
s102:当容器管理器通过s101接收到vnfi所发送的token请求后,根据token请求授权所述vnfi使用容器服务实例提供的服务,并生成vnfi对应的token;其中,token中包括:vnfi的标识信息和vnfm的标识信息。
具体地,本实施例中容器管理器所生成的token中包括:vnfi的标识信息和vnfm的标识信息。其中,所述vnfi的标识信息可以是用于管理该vnfi的vnfm,在将vnf实例化为vnfi时为vnfi分配的instantid,vnfm的标识信息可以是nfv系统中用于标识vnfm的vnfmid。token中所包括的vnfi的标识信息和vnfm的标识信息用于容器服务实例对使用该token请求服务的vnfi进行验证。
可选地,容器管理器可以具体通过s101中所接收到的token请求,确定vnfi的标识信息和vnfm的标识信息。
在一种具体的实现方式中,s102中容器管理器生成的token具体包括:容器管理器根据token请求生成的claim(声明)部分后,通过容器管理器进行签名从而得到所述token。其中,容器管理器可以使用其与容器服务实例共享的对称密钥进行签名,则后续容器服务实例可以根据该对称密钥对token进行验证;或者,容器管理可以使用容器管理器的私钥进行签名,则后续容器服务实例可以根据容器管理器的公钥对token进行验证。
例如,本实施例中容器管理器所生成的token中的claim包括:
1、idofservicemanagement:容器服务实例管理者的id。即,容器管理器的标识信息,用于对生成token的容器管理器进行标识。
2、vnfinstanceidoftheserviceconsumer和vnfmidoftheserviceconsumer:请求容器服务的vnfi的标识信息和用于管理该vnfi的vnfm的标识信息。即,vnfi的instanceid,以及vnfm的vnfmid。
3、servicenameoftheproducers:可提供容器服务的容器服务实例的服务名称。其中,由于nfv系统中,vnfi所请求的容器服务实例通常为负载均衡等资源池场景,vnfi可以通过一个token向不同的多个容器服务实例请求容器服务。则容器管理器所生成的token中通常只携带容器服务实例所能够提供的服务名称,由vnfi具体确定向某一个或多个容器服务实例申请服务。
4、expirationtime:截止时间。即,在该截止时间之前,vnfi使用token向容器服务实例发送服务请求时,容器服务实例会向vnfi提供容器服务;而在该截止时间之后token失效,vnfi使用该token向向容器服务实例发送服务请求时,容器服务实例不会向vnfi提供容器服务。
s103:容器管理器将s102中生成的token发送至vnfi,以使得vnfi能够根据vnfi接收到的token向容器服务实例请求容器服务。
随后,容器管理器经过s102中根据token请求对vnfi进行授权,并生成vnfi的token之后,容器管理器将所生成的token发送至vnfi,使得vnfi在获得容器管理器的token之后,能够根据token向对应的容器服务实例请求容器服务。
进一步地,为了实现如图2所示的实施例,本申请还提供一种nfv系统,其中,图6为nfv系统的另一实施例的结构示意图。如图6所示的nfv系统在如图1所示的nfv系统的基础上,vnfi和容器管理器之间还包括ve-cm接口,用于vnfi向容器管理器请求授权容器服务实例,则vnfi可通过ve-cm接口向容器管理器发送token申请,并通过ve-cm接口接收容器管理器发送的token。
综上,本实施例提供的容器服务管理方法中,当vnfi需要使用容器服务实例提供的服务时,向容器管理器向容器管理器发送携带vnfi的标识信息和vnfm的标识信息的token请求。而当容器管理器接收到vnfi所发送的token请求后,根据token请求所生成的token中,也包括了vnfi的标识信息和vnfm的标识信息。最终,容器管理器将所生成的token发送至vnfi后,使得vnfi即可根据接收到的token向容器服务实例请求服务。
特别地,由于本实施例所生成的token中包括vnfm的标识信息,vnfi在根据token向容器服务实例请求服务时,容器服务实例除了对token中vnfi的标识信息进行验证,还会对token中vnfm的标识信息进行验证,只有在vnfi的标识信息和vnfm的标识信息均通过验证后,容器服务实例才会vnfi提供服务。则对于被两个vnfm所管理的两个不同的vnfi即使拥有相同的vnfi的标识信息,由于两个vnfm的标识信息不同,并且容器服务实例在vnfi请求容器服务时还会对vnfm的标识信息进行验证,因此,当一个vnfi向容器管理器申请了token后,即使其token被另一个vnfi所盗用,盗用vnfi所发送的token中vnfm的标识信息与该vnfi实际的vnfm的标识信息不同,容器服务实例无法对token进行验证通过,容器服务实例也就不会向盗用token的vnfi提供容器服务。
从而使得token即使被其他vnfi跨vnfm所盗用,盗用token的vnfi也不能根据该token使用容器服务实例提供的服务,即保证了容器管理器针对某个vnfi生成的token被属于不同vnfm管理的vnfi盗用后却不能使用,进而提高了nfv系统中vnfi请求容器服务实例提供的服务时使用的token的安全性能。
下面结合附图3,对本实施例中,当vnfi通过如图2所示的实施例获得token后,vnfi使用token向容器服务实例请求服务的流程进行说明。
其中,图3为本申请提供的容器服务管理方法一实施例的流程示意图,其中,该实施例可应用于如图1所示的vnf系统中,vnfi向容器服务实例请求服务。如图3所示,本实施例提供的容器服务管理方法在如图1所示的s103之后,还包括:
s104:vnfi向容器服务实例发送服务请求;所述服务请求中携带s103中所请求的token。
具体地,vnfi在s103接收到token之后,即可向token对应的容器服务实例请求服务。其中,vnfi根据token中包括的可提供容器服务的容器服务实例的服务名称,向可以提供所请求的服务的容器服务实例发送服务请求,以请求容器服务实例向vnfi提供服务。其中,vnfi向容器服务实例发送的服务请求中,携带如图2所示实施例中第一设备向容器管理器所申请的token。
s105:当容器服务实例接收到vnfi发送的服务请求后,可以根据容器管理器的公钥对token进行验证,确定token是否为容器管理器所生成。并且,本实施例中,容器服务实例还进一步根据发送服务请求的vnfi的标识信息和管理该vnfi的vnfm的标识信息,与服务请求中的token所包括的vnfi的标识信息和vnfm的标识信息是否一致。
例如,将本实施例中向容器服务实例发送服务请求的vnfi的标识信息记为a,以及用于管理该vnfi的vnfm的标识信息记为b;将token中包括的vnfi的标识信息记为c,以及将token中所记录的vnfm的标识信息记为d。随后,容器服务实例判断a与c是否一致、b与d是否一致,并且只有在a与c一致且b与d一致后,容器服务实例才会执行后续的s203,即容器服务实例向vnfi提供服务。
可以理解的是,由于在如图3所示vnfi请求容器管理器对其使用容器服务实例提供的服务进行授权,使得容器管理器针对该vnfi生成包含该vnfi的标识信息以及vnfm的标识信息的token。因此,当vnfi获得容器管理器生成并发送的token后,在向容器服务实例请求服务时即可携带该token。此时,容器服务实例对该vnfi的标识信息、vnfm的标识信息与token中的vnfi的标识信息、vnmf的标识信息能够验证成功。因此,在s106中容器服务实例向vnfi提供服务,对应地,vnfi使用容器服务实例所提供的服务。
特别地,如图3所示的实施例中,示出了向容器管理器请求token的vnfi使用所请求的token向容器服务实例请求服务。而在图4所示的实施例中,示出了盗用token的vnfi向容器服务实例请求服务的过程,其中,图4为本申请提供的容器服务管理方法一实施例的流程示意图。
若如图3所示的vnfi向容器管理器申请token之后,若被图4所示的vnfi所盗用,则盗用token的vnfi可以通过s201向容器服务实例发送服务请求,并携带其盗用的token。
此时,在s202中,容器服务实例通过s201接收到服务请求后,同样会对token进行验证,验证token中所包括的vnfi的标识信息、vnmf的标识信息,是否与发送服务请求的vnfi的标识信息、vnfm的标识信息是否相同。
明显地,若盗用token的vnfi的vnfi标识信息与原vnfi的vnfi标识信息不同,则容器服务实例对token验证失败,不会向盗用token的vnfi提供服务,即不会执行图中s203步骤。若盗用token的vnfi的vnfi标识信息与原vnfi的vnfi标识信息相同,由于两个不同的vnfm分别为两个vnfi分配的vnfi标识信息,因此盗用token的vnfi的vnfm的标识信息,与原vnfi的vnfm的标识信息不同,容器服务实例对token验证失败,容器服务实例同样不会向盗用token的vnfi提供服务。
综上,在如图3和图4所示的实施例可以看出,当vnfi获取了容器管理器提供的token后,可以根据该token向对应的容器服务实例请求服务;则对应的容器服务实例需要对token进行验证以确定是否能够向vnfi提供服务。由于token中包括vnfi的标识信息,以及vnfm的标识信息,因此,容器服务实例在对token进行验证时,既需要验证vnfi的标识信息,还需要验证vnfm的标识信息,只有二者都验证一致后,容器服务实例才确定能够向vnfi提供服务。从而通过token中携带的vnfi的标识信息和vnfm的标识信息加强了对token的验证,使得token被跨vnfm的vnfi盗用后,即使vnfi的标识信息相同,也会由于vnfm的标识信息不同而容器服务实例无法验证通过,进而提高了vnfi请求容器服务实例提供的服务时使用的token的安全性能。
进一步地,在上述各实施例基础上,本申请还提供另一种容器管理器所生成的token中的claim的具体实现方式。其中,容器管理器所生成的token中的claim包括:
1、idofservicemanagement:容器服务实例管理者的id。
2、vnfinstanceidoftheserviceconsumer和vnfmidoftheserviceconsumer:请求容器服务的vnfi的标识信息和vnfm的标识信息。
3、serviceidoftheproducers:可提供容器服务的容器服务实例的标识信息。其中,容器服务实例的标识信息由容器管理器设置,可以是容器管理器在管理容器服务实例时所分配的一串字符例如“lb-container-service”,或者,还可以是一串随机数例如“0x254830203”,本申请对容器服务实例的标识信息的具体表示方式不做限定。
4、expirationtime:截止时间。
具体地,本实施例提供的token中的claim的具体实现方式中,claim所包括的1,2和4的具体描述,以及容器管理服务器生成token的具体方法可参照前述图2所示实施例,不再赘述。
所不同在于本实施例的claim中包括可提供容器服务的容器服务实例的标识信息,即,容器管理器在对vnfi进行容器服务实例授权时,进一步地确定vnfi能够使用的具体容器服务实例的标识信息,限定vnfi只能向token中包括的标识信息,向特定的容器服务实例请求服务。
可选地,本示例提供的token可以应用在如图3所示的实施例中,vnfi需要根据token中容器服务实例的标识信息,向对应的容器服务实例请求服务。而对于容器服务实例在验证是否向vnfi提供服务,还需要对token中包括的容器服务实例的标识信息进行验证。
例如,在如图3所示的s105中,容器服务实例获取vnfi发送的服务请求中携带的token后,对token中包括的容器服务实例的标识信息进行验证,若容器服务实例判断token中包括该容器服务实例的标识信息,则确定可以向vnfi提供服务;而若容器服务实例判断token中不包括该容器服务实例的标识信息,说明vnfi未向正确的容器服务实例申请服务,则容器服务实例不向vnfi提供服务。
因此,在本实施例提供的claim的具体实现方式中,容器管理器在生成vnfi的token时,在token中直接携带vnfi可根据该token所请求的容器服务实例的标识信息,对可向vnfi提供的容器服务实例的范围进行限定。从而使得vnfi需要向token中容器管理器所指定的容器服务实例请求服务,而一旦token被跨vnfm盗用,其他vnfi也无法向原token所在的vnf系统中的容器服务实例请求服务,进而也能够增强token的安全性能,使得token被跨vnfm盗用后无法使用。
进一步地,在本申请上述如图2-4所示实施例中,提供了一种由vnfi向容器管理器发送token请求,并直接接收容器管理器所发送的token的方法。而在本申请另一种实现方式中,还可以由管理vnfi的vnfm代替vnfi向容器管理器发送token请求,并将所接收到的token转发至vnfi,以使vnfi向容器服务实例请求服务的方法。
下面结合图5进行说明,其中,图4为本申请提供的容器服务管理方法一实施例的流程示意图,该实施例提供的方法包括:
s301:若vnmf所管理的vnfi需要使用容器服务实例提供的服务,则vnfm向管理该容器服务实例的容器管理器发送token请求,所述token请求用于向容器管理器请求vnfi向所述容器服务示例请求服务时所使用的token。相对应地,容器管理器在s301中接收vnfm所发送的token请求。
特别地,本实施例中所述的token请求中,包括:vnfi的标识信息,以及用于管理该vnfi的vnfm的标识信息。
可选地,在本实施例一种具体的实现方式中,所述token请求中具体包括:“vnfi的标识信息、vnfm的标识信息、请求的服务名称(expectedservicename)和所请求的token的截止时间(expiration)”。
可选地,在vnfm实例化vnfi过程中,或者vnfm实例化vnfi之后,vnfm通过s301向容器管理器发送token请求。其中,具体由vnfm对vnf进行实例化得到vnfi。vnfm实例化vnf的实现方式及原理可参照现有技术,本实施例不做限定。
需要说明的是,本实施例中强调由vnfm代替vnfi向容器服务器发送token请求,而对于token请求中包括的vnfi的标识信息和vnfm的标识信息的具体实现方式可参照图2实施例中的描述,不再赘述。
可选地,由于vnfm在实例化vnfi时会为vnfi分配标识信息例如vnfi的instantid,则vnfm在向容器管理器发送token请求前,即可确定向vnfi所分配的标识信息,则在s301中,vnfm结合vnfm自身的标识信息,vnfm可以同时将vnfi的标识信息和vnfm的标识信息共同携带在token中发送至容器管理器。则本实施例中,vnfm起到了代替vnfi向容器管理器申请token,并转发容器管理器向vnfi生成的token的作用。
s302:当容器管理器通过s301接收到vnfm所发送的token请求后,根据token请求授权所述vnfi使用容器服务实例提供的服务,并生成vnfi对应的token;其中,token中包括:vnfi的标识信息和vnfm的标识信息。
本实施例中token中包括的vnfi的标识信息和vnfm的标识信息的具体实现方式可参照图2实施例中的描述,不再赘述。
随后,在生成token后,容器管理器通过s303将token发送至vnfm。
当vnfm接收到容器管理器发送的token后,通过s304将vnfm进一步发送至vnfi,相应地,在s305中vnfi接收到vnfm发送的token后,即可根据token向容器服务实例请求服务,vnfi向容器服务实例请求服务的具体的流程可参照图3所示的s104-s106的实施例,不在赘述。
可以理解的是,本实施例提供的容器服务管理方法可应用在如图1所示的nfv系统中,则vnfm具体通过ve-vnfm接口将vnf实例化得到vnfi后,vnfm通过cm-vnfm接口向容器管理器发送token请求;vnfm还通过cm-vnfm接口接收容器管理器发送的token,并通过过ve-vnfm接口将token发送至vnfi。
上述实本申请提供的实施例中,分别从vnfi、vnfm和容器管理器的角度对本申请提供的方法进行了介绍与说明,而为了实现上述本申请实施例提供的方法中的各功能,vnfi、vnfm和容器管理器可以包括硬件结构和/或软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行,取决于技术方案的特定应用和设计约束条件。
例如,图7为本申请提供的容器服务管理装置的结构示意图,如图7所示的装置包括:接收模块701,处理模块702和发送模块703。
当如图7所示的容器服务管理装置为如图2-3所示实施例中的vnfi时,发送模块703用于若虚拟网络功能实例vnfi需要使用容器服务实例提供的服务,向用于管理容器服务实例的容器管理器发送token请求;其中,token请求中包括vnfi的标识信息,和用于管理vnfi的虚拟网络功能管理器vnfm的标识信息;
接收模块701用于接收容器管理器发送的token;其中,token中包括vnfi的标识信息和vnfm的标识信息,vnfi的标识信息和vnfm的标识信息用于容器服务实例对使用token请求服务的vnfi进行验证。
可选地,发送模块还用于,向容器服务实例发送服务请求,服务请求中包括token,以使容器服务实例根据token中的vnfi的标识信息和vnfm的标识信息对vnfi进行验证;处理模块用于,若验证成功,使用容器服务实例提供的服务。
可选地,token中还包括:容器服务实例的标识信息;发送模块具体用于,根据token向容器服务实例的标识信息对应的容器服务实例发送服务请求。
可选地,发送模块703具体用于,在vnfm实例化vnfi时,向容器管理器发送token请求;或者,在vnfm实例化vnfi后,向容器管理器发送token请求。
本实施例提供的容器服务管理装置可具体实现如图2-3所示实施例中的容器服务管理方法,其实现方式与原理相同,不再赘述。
当如图7所示的容器服务管理装置为如图2-3所示实施例中的容器管理器时,接收模块701用于接收虚拟网络功能实例vnfi发送的令牌token请求;其中,vnfi需要使用容器管理器所管理的容器服务实例提供的服务,token请求中包括vnfi的标识信息,和用于管理vnfi的虚拟网络功能管理器vnfm的标识信息;处理模块702用于根据token请求生成token;其中,token中包括vnfi的标识信息和vnfm的标识信息,vnfi的标识信息和vnfm的标识信息用于容器服务实例对使用token请求服务的vnfi进行验证;发送模块703用于将token发送至vnfi。
可选地,token中还包括:容器服务实例的标识信息;其中,容器服务实例的标识信息用于,vnfi向容器服务实例的标识信息对应的容器服务实例请求服务。
本实施例提供的容器服务管理装置可具体实现如图2-3所示实施例中的容器服务管理方法,其实现方式与原理相同,不再赘述。
当如图7所示的容器服务管理装置为如5所示实施例中的vnfm时,发送模块703用于若虚拟网络功能管理器vnfm管理的虚拟网络功能实例vnfi需要使用容器服务实例提供的服务,向用于管理容器服务实例的容器管理器发送token请求;其中,token请求中包括vnfi的标识信息,和用于管理vnfi的虚拟网络功能管理器vnfm的标识信息;接收模块701用于接收容器管理器发送的token,并通过发送模块将token发送至vnfi;其中,token中包括vnfi的标识信息和vnfm的标识信息,vnfi的标识信息和vnfm的标识信息用于容器服务实例对使用token请求服务的vnfi进行验证。
可选地,token中还包括:容器服务实例的标识信息;容器服务实例的标识信息用于,vnfi向容器服务实例的标识信息对应的容器服务实例请求服务。
可选地,发送模块具体用于,在vnfm实例化vnfi时,向容器管理器发送token请求;或者,在vnfm实例化vnfi后,向容器管理器发送token请求。
本实施例提供的容器服务管理装置可具体实现如图5所示实施例中的容器服务管理方法,其实现方式与原理相同,不再赘述。
当如图7所示的容器服务管理装置为如5所示实施例中的容器管理器时,接收模块701用于接收虚拟网络功能管理器vnfm发送的令牌token请求;其中,vnfm管理的虚拟网络功能实例vnfi需要使用容器管理器所管理的容器服务实例提供的服务,token请求中包括vnfi的标识信息,和用于管理vnfi的虚拟网络功能管理器vnfm的标识信息;处理模块702用于根据token请求生成token;其中,token中包括vnfi的标识信息和vnfm的标识信息,vnfi的标识信息和vnfm的标识信息用于容器服务实例对使用token请求服务的vnfi进行验证;发送模块703用于将token发送至vnfm,以使vnfm将token发送至vnfi。
可选地,token中还包括:容器服务实例的标识信息;其中,容器服务实例的标识信息用于,vnfi向容器服务实例的标识信息对应的容器服务实例请求服务。
本实施例提供的容器服务管理装置可具体实现如图5所示实施例中的容器服务管理方法,其实现方式与原理相同,不再赘述。
本申请上述各实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
进一步地,图8为本申请提供的用于执行容器管理方法的设备的结构示意图。如图8所示的设备包括:通信接口1010、处理器1020和存储器1030。其中,通信接口1010可以是收发器、电路、总线或者其他形式的接口,用于通过传输介质和其他设备通信;通信接口1010、处理器1020和存储器1030之间耦合,本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接,可以是电性,机械或其它的形式,用于装置、单元或模块之间的信息交互。
本申请实施例中不限定上述通信接口1010、处理器1020以及存储器1030之间的具体连接介质。本申请实施例在图8中以通信接口1010、存储器1030以及处理器1020之间通过总线1040连接,总线在图8中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
示例性地,若如图8所示的设备是如图2-3中所示的vnfi,则存储器1030中存储有代码,当处理器1020调用并执行该指令时,若vnfi需要使用容器服务实例提供的服务,处理器1020将token请求发送至通信接口;其中,token请求中包括vnfi的标识信息,和用于管理vnfi的虚拟网络功能管理器vnfm的标识信息;通信接口1010接收处理器1020发送的token请求,并将token请求发送至用于管理容器服务实例的容器管理器;通信接口1010还用于,接收容器管理器发送的token,并将token发送至处理器1020;其中,token中包括vnfi的标识信息和vnfm的标识信息,vnfi的标识信息和vnfm的标识信息用于容器服务实例对使用token请求服务的vnfi进行验证。
可选地,当处理器1020调用并执行该指令时,处理器1020还用于,将服务请求发送至通信接口1010,服务请求中包括token,以使容器服务实例根据token中的vnfi的标识信息和vnfm的标识信息对vnfi进行验证;
通信接口1010还用于,接收处理器1020发送的服务请求将服务请求发送至容器服务实例;若验证成功,处理器1020还用于,使用容器服务实例提供的服务。
可选地,token中还包括:容器服务实例对的标识信息;通信接口1010具体用于,将服务请求发送至容器服务实例的标识信息对应的容器服务实例。
可选地,处理器1020具体用于,在所示vnfm实例化所示vnfi时,将token请求发送至通信接口;或者,处理器1020具体用于,在所示vnfm实例化所示vnfi后,将token请求发送至通信接口。
又示例性地,若如图8所示的设备是如图2-3中所示的容器管理器,通信接口1010用于接收虚拟网络功能实例vnfi发送的令牌token请求,并将token请求发送至处理器1020;其中,vnfi需要使用容器管理器所管理的容器服务实例提供的服务,token请求中包括vnfi的标识信息,和用于管理vnfi的虚拟网络功能管理器vnfm的标识信息;则存储器1030中存储有代码,当处理器1020调用并执行该指令时,处理器1020用于根据token请求生成token,并将token发送至通信接口1010;其中,token中包括vnfi的标识信息和vnfm的标识信息,vnfi的标识信息和vnfm的标识信息用于容器服务实例对使用token请求服务的vnfi进行验证;通信接口1010还用于,将token发送至vnfi。
可选地,token中还包括:容器服务实例的标识信息;其中,容器服务实例的标识信息用于,vnfi向容器服务实例的标识信息对应的容器服务实例请求服务。
示例性地,若如图8所示的设备是如图5中所示的vnfm,则存储器1030中存储有代码,当处理器1020调用并执行该指令时,若vnfm管理的虚拟网络功能实例vnfi需要使用容器服务实例提供的服务,处理器1020用于将token请求发送至通信接口1010;其中,token请求中包括vnfi的标识信息,和用于管理vnfi的虚拟网络功能管理器vnfm的标识信息;通信接口1010用于将token请求发送至用于管理服务实例的容器管理器;通信接口1010还用于接收容器管理器发送的token,并将token发送至vnfi;其中,token中包括vnfi的标识信息和vnfm的标识信息,vnfi的标识信息和vnfm的标识信息用于容器服务实例对使用token请求服务的vnfi进行验证。
可选地,token中还包括:容器服务实例的标识信息;容器服务实例的标识信息用于,vnfi向容器服务实例的标识信息对应的容器服务实例请求服务。
示例性地,若如图8所示的设备是如图5中所示的容器管理器,通信接口1010用于接收虚拟网络功能管理器vnfm发送的令牌token请求,并将token请求发送至处理器1020;其中,vnfm管理的虚拟网络功能实例vnfi需要使用容器管理器所管理的容器服务实例提供的服务,token请求中包括vnfi的标识信息,和用于管理vnfi的虚拟网络功能管理器vnfm的标识信息;则存储器1030中存储有代码,当处理器1020调用并执行该指令时,处理器1020用于根据token请求生成token,并将token发送至通信接口1010;其中,token中包括vnfi的标识信息和vnfm的标识信息,vnfi的标识信息和vnfm的标识信息用于容器服务实例对使用token请求服务的vnfi进行验证;通信接口1010还用于,将token发送至vnfm,以使vnfm将token发送至vnfi。
可选地,token中还包括:容器服务实例的标识信息;其中,容器服务实例的标识信息用于,vnfi向容器服务实例的标识信息对应的容器服务实例请求服务。
在本申请实施例中,处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
在本申请实施例中,存储器可以是非易失性存储器,比如硬盘(harddiskdrive,hdd)或固态硬盘(solid-statedrive,ssd)等,还可以是易失性存储器(volatilememory),例如随机存取存储器(random-accessmemory,ram)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
本申请各实施例提供的方法中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digitalsubscriberline,简称dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机可以存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,数字视频光盘(digitalvideodisc,简称dvd))、或者半导体介质(例如,ssd)等。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
- 还没有人留言评论。精彩留言会获得点赞!