网关配置方法及系统

技术领域

本说明书一个或多个实施例涉及网关配置技术领域，尤其涉及一种网关配置方法及系统。

背景技术

出于安全策略和网络要求，应用部署在客户的机器上时，大多采用图1示出的网路拓扑架构。其中的Nginx服务器负责外网到内网服务的请求转发，同时也负责请求的负载均衡。现在这个Nginx服务器的配置是由实施人员参考Nginx的官方文档完成的，他们不仅要求请求转发和负载均衡等方面的配置，有时还需要配置Https证书、ws协议等特性，这对实施人员有一定的专业要求，同时实施人员还要规划Nginx所在机器的端口和外网地址信息等。目前这种方式，实施人员需要关心技术问题和操作过程中的权限问题，他们承担了过多的职责，不利于快速实施和交付任务。

发明内容

本说明书一个或多个实施例描述了一种网关配置方法及系统。

根据第一方面，提供了一种网关配置方法，包括：

预先为网关配置模型设置多个网关配置层，所述多个网关配置层为根据网关配置流程所划分，不同网关配置层针对不同角色的网关配置人员而设置，不同网关配置层所需要输入的配置信息不同；

所述网关配置模型响应于不同角色的网关配置人员的登录请求，展示对应的网关配置层的配置界面，以使对应角色的网关配置人员在所述配置界面上输入对应的网关配置信息；

所述网关配置模型根据各个角色的网关配置人员在对应的网关配置层上输入的配置信息，对环境网关进行配置。

根据第二方面，提供了一种网关配置系统，包括：

第一配置模块，用于预先为网关配置模型设置多个网关配置层，所述多个网关配置层为根据网关配置流程所划分，不同网关配置层针对不同角色的网关配置人员而设置，不同网关配置层所需要输入的配置信息不同；

第二配置模块，用于响应于不同角色的网关配置人员的登录请求，展示对应的网关配置层的配置界面，以使对应角色的网关配置人员在所述配置界面上输入对应的网关配置信息；

第三配置模块，用于根据各个角色的网关配置人员在对应的网关配置层上输入的配置信息，对环境网关进行配置。

本说明书实施例提供的网关配置方法及系统，预先将网关配置模型根据网关配置流程拆分为多个网关配置层，不同网关配置层针对不同角色的网关配置人员而设置，不同网关配置层所需要输入的配置信息不同。当不同角色的人员登录进入网关配置模型后，所述网关配置模型会展示对应的配置界面，这样不同角色的人员只需要输入配置界面上所需的信息即可。当所有角色的人员在提交其输入的信息后，所述网关配置模型对所有的信息进行整合，对环境网关进行配置。这样可以实现不同业务资料的隔离以及专人专项负责，而且网关配置不用专业实施人员向各方申请全部资料然后入场配置，而是各方负责人进入网关管理系统，上传各自需要提供的资料，由系统代为完成环境网关配置，保证部署工作的准确性并提高了工作效率。可见人员参与的过程是将自己的那部分信息资料上传即可，实现高效的进行网关配置，提高交付配置项目的效率。每一个网关配置人员所承担的责任大大减少，可以大大降低人员的专业要求，有利于快速实施和交付任务。

附图说明

为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本说明书的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本说明书一个实施例中网关配置方法的流程示意图；

图2是本说明书一个实施例中网关管理系统的软件结构图；

图3是本说明书一个实施例中网关接入点和负载的示意图。

具体实施方式

下面结合附图，对本说明书提供的方案进行描述。

第一方面，本发明提供一种网关配置方法，如图1所示，该方法包括：

S110、预先为网关配置模型设置多个网关配置层，所述多个网关配置层为根据网关配置流程所划分，不同网关配置层针对不同角色的网关配置人员而设置，不同网关配置层所需要输入的配置信息不同；

可以理解的是，这一步是预先设置的，在真正应用网关配置模型进行网关配置时是从S120步骤开始执行的。各个网关配置层是依据网关配置流程而拆分得到的，不同的网关配置层需要不同角色的网关配置人员操作。也就是说，这样通过对网关配置模型的多个配置层的拆分，对网关配置人员的职责进行了分割，可以方便不同角色的人员进行操作，从而可以高效的交付网关配置项目。

在具体实施时，所述多个网关配置层可以包括：开放地址层，所述开放地址层对应的网关配置人员为网络管理员，所述开放地址层对应的配置界面上所需输入的网关配置信息用于规划网关接入点，该网关配置信息包括外网地址和开放端口号中的至少一项。

也就是说，网络管理员可以在开放地址层的配置界面上输入的网关配置信息包括规划的外网地址、开放端口号，甚至是业务上申请的域名，从而实现对网关接入点的规划。在信息填写并提交后，开放地址层实现对所填写的网关配置信息的登记。在信息提交后，进入下一个网关配置层，进而由相应角色的网关配置人员进行信息输入。

在具体实施时，所述多个网关配置层可以包括：证书管理层，所述证书管理层对应的网关配置人员为证书管理员，所述证书管理层对应的配置界面上所需输入的网关配置信息用于对网关配置所需要的证书进行管理或更新，该网关配置信息包括：网关配置所需要或更新的证书附件或者认证码。

也就是说，证书管理员可以在证书管理层的配置界面上输入的网关配置信息包括网关配置所需要或更新的证书附件或者认证码，从而实现对证书的更新或管理。同样，在信息提交后，进入下一个网关配置层，进而由相应角色的网关配置人员进行信息输入。

在具体实施时，所述多个网关配置层可以包括：业务对接层，所述业务对接层对应的网关配置人员为业务接口员，所述业务对接层对应的配置界面上所需输入的网关配置信息用于对对接的业务应用进行网关配置，该网关配置信息包括：外网开放地址与内部应用地址之间的映射关系。

也就是说，业务接口员可以在业务对接层的配置界面上输入的网关配置信息包括外网开放地址和内部应用地址之间的应用关系，这样实现对业务应用的网关配置，对接应用。同样，在信息提交后，进入下一个网关配置层，进而由相应角色的网关配置人员进行信息输入。

在具体实施时，所述多个网关管理层可以包括：业务部署层，所述业务部署层对应的网关配置人员为应用部署员，所述业务部署层对应的配置界面上所需输入的网关配置信息用于对对接的业务应用进行部署，该网关配置信息包括：业务应用的服务协议、开放IP地址和端口号中的至少一项。

举例来说，根据目前国际网络通信规范要求，将网关配置模型分为(包括但不限于，网关配置模型允许根据实际情况划分)：

(1)开放地址层：负责维护网关的对外开放域名以及相应端口，可以接收外网请求识别；(2)证书管理层：负责管理网关需要维护的证书文件等信息，保证外网安全访问；(3)业务对接层(核心)：负责管理网关需要跳转的内网业务地址。

举例来说。网络管理员规划网关接入点的外网地址和开放端口号，网关接入点：负责承接用户请求，根据业务网关配置规则处理请求的工作负载。网络管理员具有该功能的权限。证书管理员申请证书，并添加域名解析服务，域名解析到外网地址(IP)，证书管理即负责管理HTTPs数字证书，证书管理员具有该功能的权限。应用部署员在内网部署应用服务。业务接口员通过管理业务网关配置，对外提供内网部署的应用服务，配置内容包含配置证书、设置路由规则、设置上游服务等，涉及一个业务应用的网关定义，包含证书、端口、转发规则等，业务接口员具有该功能的权限。业务网关配置成功后，需要业务接口人申请、业务管理员审批一项业务网关配置上线。业务接口人和业务管理员具有该功能的权限。

在实际中，可以针对选择使用的网关代理产品，构建相应的网关配置模型以及模型映射关系，完成网关管理系统的部署准备。网关配置模型是基于上述各个网关配置层以及代理产品的使用方式和产品原理，对部署方式进行分层拆分；模型映射关系是指将各层需要的信息数据与系统内部数据进行映射管理。

也就是说，应用部署员可以在业务部署层的配置界面上输入的网关配置信息包括：业务应用的服务协议、开放IP地址、端口号等，从而实现获取业务应用的基本信息和对业务应用的部署。

当然，除了上述各个角色的网关配置人员外，保证网关配置模型的正常工作，还需要业务管理员，业务管理员的职责是对网关配置模型内部信息进行维护、对网关配置模型本身的部署等。还可以负责审批业务应用的网关下线、上线等操作。

针对上述各个网关配置层的功能和对应的人员角色可以参见下表1：

表1

在具体实施时，还可以根据不同的网关代理产品对网关配置模型进行调整，例如，针对nginx网关代理产品，所述多个网关管理层还可以包括：数据压缩层，所述数据压缩层对应的网关配置人员为数据处理员，所述数据压缩层对应的配置界面上所需输入的网关配置信息包括待优化的网关性能指标。

也就是说，数据处理员可以在数据压缩层的配置界面上输入的网关配置信息可以包括待优化的网关性能指标，从而实现支持nginx网关代理产品的网络压缩功能。

在具体实施时，针对nginx网关代理产品的网关配置模型中的证书管理层对应的配置界面上，所需输入的网关配置信息可以包括安全套接字协议(即ssl)证书的附件，从而实现对ssl证书的配置文件的管理。此时，开放地址层和业务对接层还可以负责站点端口配置文件的生成，业务管理员还可以负责上传nginx网关代理产品的安装包、主配置文件与站点端口文件的文件模板等。对各层进行调整的原因是：nginx网关代理产品的部署需要安装nginx功能包、配置主配置文件、站点端口配置文件以及ssl证书。

S120、所述网关配置模型响应于不同角色的网关配置人员的登录请求，展示对应的网关配置层的配置界面，以使对应角色的网关配置人员在所述配置界面上输入对应的网关配置信息；

在应用时，不同角色的网关配置人员在登录进入网关配置模型之后，网关配置模型会展示出不同网关配置层的配置界面，例如，网络管理员在进入网关配置模型之后，网关配置模型会展示开放地址层对应的配置界面，进而网络管理员可以在该配置界面上填写有关信息，在填写完成之后进行提交即可。

S130、所述网关配置模型根据各个角色的网关配置人员在对应的网关配置层上输入的配置信息，对环境网关进行配置。

可理解的是，不同的网关配置层相当于不同的子模型，是网关配置模型的一部分。当在设备上安装网关配置模型对应的app(即网关管理系统)后，不同角色的人员登录系统后，系统展示出来的界面是不同的，例如，以业务接口员的角色登录系统后，系统上会显示有关业务对接层的配置界面，这样业务接口员可以在该配置界面上输入相关的信息，输入完成后提交。当所有角色的网关配置人员都进入系统并输入各自对应的信息之后，系统便可以整合所有信息，进而进行环境网关的配置。

在各个角色的网关配置人员在对应的配置界面上均提交相关信息之后，网关配置模型会根据这些信息进行网关配置，这一过程不需要人员参与，可见人员参与的过程是将自己的那部分信息资料上传即可，实现高效的进行网关配置，提高交付配置项目的效率。

可理解的是，可以将每一个网关配置层理解为一个模型，各个网关配置层对应的模型构成整个网关配置模型(即网关管理系统)。本发明是先对网关配置模型进行拆分，拆分为多个网关配置层，在网络底层维度对各阶段的网络配置进行分层处理，针对不同阶段创建不同的领域模型，并由不同的角色人员负责各阶段的配置。该方法主要优势在于：将网关配置流程根据业务场景进行解耦拆分，实现业务资料的隔离以及专人专项负责；而且，网关配置不用专业实施人员向各方申请全部资料然后入场配置，而是各方负责人进入网关管理系统，上传各自需要提供的资料，由系统代为完成环境网关配置，保证部署工作的准确性并提高了工作效率。

进一步的，网关管理系统通过对主流网关代理产品与网络模型进行抽象建模，可以从网络架构层面上实现网关领域建模，最终实现对所有网关代理产品的无缝接入，目前已经实现对nginx、k8s-ingress等主流产品支持。

在具体实施时，参见图2，网关管理系统的架构中可以包括流量节点和配置节点，配置节点负责配置管理(例如，新建、修改功能、审批流程等),也可同时作为流量节点使用。流量节点负责流量转发，它不提供任何管理能力，它可以是内置Nginx的网关应用，也可以是一个已存在的k8s集群。

举例来说，通过本发明提供的网关配置模型的配置，一个网关接入点能够配置多个网关，每一个网关下能够配置多个虚拟服务，每一条虚拟服务包含多条匹配规则和对应的一条代理服务；一个网关接入点能够映射一台内置或外接Nginx系统的服务器或者一个kubenetes集群。

API网关可以通过web服务提供一组功能菜单，供不同角色。包括网关接入点、网关、虚拟服务、匹配规则、代理服务等。参见图3，一个网关接入点包含多个网关，一个网关下定义多个虚拟服务，每一个虚拟服务包含若干条(也可以是0条)匹配规则和一条代理服务。一个网关接入点映射一台Nginx服务器或者一个kubenetes集群，它包含的所有网关配置数据在运行时都将经过转换后同步到实际网络负载中(例如，Nginx服务器或kubenetes集群)。

基于上述架构，通过本发明进行网关配置后，可以实现如下功能：

1、实现网关接入点功能，功能描述为：

Api网关支持内置Nginx、k8s集群两种类型的网关接入点。它是Api网关承接用户请求，根据配置规则处理请求的工作负载。网关接入点功能提供定义配置节点连接网关接入点的能力。

2、实现(业务)网关管理功能，功能描述为：

它是外部访问内网服务的入口的配置。它定义一个网关的名称、类型、监听域名、及域名证书等信息。一个域名通常代表一种服务，例如open.inspuronline.com是浪潮云ERP开放平台服务域名，在浏览器中输入open.inspuronline.com就可以访问浪潮云ERP开放平台的网站。

可理解的是，一个网关从属于一个网关接入点，一个网关可以监听一个域名，可以给域名配置一个数字证书。一个网关接入点可以包含多个网关。

3、实现虚拟服务功能，功能描述为：

虚拟服务领域模型定义一种服务(域名)的服务路由规则。虚拟服务从属于一个网关，它监听它上级网关中配置监听的域名。通过配置匹配规则和代理服务将用户请求转发到实际的工作负载中。匹配规则：一条匹配规则包含匹配键、匹配值、匹配方式、代理类型、代理目标；代理服务：真实的工作负载，可以是一个IP，也可以是一个服务名。

4、实现数字证书管理功能，管理X509证书。

本发明提供的网关配置方法，预先将网关配置模型根据网关配置流程拆分为多个网关配置层，不同网关配置层针对不同角色的网关配置人员而设置，不同网关配置层所需要输入的配置信息不同。当不同角色的人员登录进入网关配置模型后，所述网关配置模型会展示对应的配置界面，这样不同角色的人员只需要输入配置界面上所需的信息即可。当所有角色的人员在提交其输入的信息后，所述网关配置模型对所有的信息进行整合，对环境网关进行配置。这样可以实现不同业务资料的隔离以及专人专项负责，而且网关配置不用专业实施人员向各方申请全部资料然后入场配置，而是各方负责人进入网关管理系统，上传各自需要提供的资料，由系统代为完成环境网关配置，保证部署工作的准确性并提高了工作效率。可见人员参与的过程是将自己的那部分信息资料上传即可，实现高效的进行网关配置，提高交付配置项目的效率。每一个网关配置人员所承担的责任大大减少，可以大大降低人员的专业要求，有利于快速实施和交付任务。

第二方面，本发明提供一种网关配置系统，包括：

第一配置模块，用于预先为网关配置模型设置多个网关配置层，所述多个网关配置层为根据网关配置流程所划分，不同网关配置层针对不同角色的网关配置人员而设置，不同网关配置层所需要输入的配置信息不同；

第二配置模块，用于响应于不同角色的网关配置人员的登录请求，展示对应的网关配置层的配置界面，以使对应角色的网关配置人员在所述配置界面上输入对应的网关配置信息；

第三配置模块，用于根据各个角色的网关配置人员在对应的网关配置层上输入的配置信息，对环境网关进行配置。

在具体实施时，所述多个网关配置层可以包括：开放地址层，所述开放地址层对应的网关配置人员为网络管理员，所述开放地址层对应的配置界面上所需输入的网关配置信息用于规划网关接入点，该网关配置信息包括外网地址和开放端口号中的至少一项。

在具体实施时，所述多个网关配置层可以包括：证书管理层，所述证书管理层对应的网关配置人员为证书管理员，所述证书管理层对应的配置界面上所需输入的网关配置信息用于对网关配置所需要的证书进行管理或更新，该网关配置信息包括：网关配置所需要或更新的证书附件或者认证码。

可理解的是，本发明实施例提供的系统，有关内容的解释、举例、有益效果等部分可以参考上述方法中的相应部分，此处不再赘述。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件、软件、挂件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。