一种应用资源网格综合管控策略服务系统的制作方法

本发明属于网格节点监控技术领域，特别是涉及一种应用资源网格综合管控策略服务系统。

背景技术

网格节点系统事件：异常事件、错误事件、安全事件、告警事件行为事件(违规和规内、常用访问事件与关键操作事件等)、审核事件(审核成功、审核失败)；对应的，网格节点系统服务包括：路由、请求聚合、服务发现、认证、鉴权、限流熔断、负载均衡；网格节点应用资源包括：协议、域名、版本、路径、访问动作范围、过滤信息、状态码、错误处理、返回结果、Hypermedia API等。

现有网格节点系统事件的监管，较为单一且监控效果不佳；为解决上述问题，本发明提供一种应用资源网格综合管控策略服务系统。

技术实现要素：

本发明的目的在于提供一种应用资源网格综合管控策略服务系统，并通过应用资源管控策略监控模块实现时间监管功能，同时，通过管控策略执行事后审计模块对不合规的应用资源操作和访问行为提出告警信息；实现了系统事件更为全面的综合监控，解决了现有的系统事件监控监管单一且监控效果不佳的问题。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明为一种应用资源网格综合管控策略服务系统，包括：管控策略元数据管理模块，支持应用资源管控策略元数据添加、删除、更新升级、导入、导出、多版本冲突处理功能；所述应用资源管控策略元数据包括应用资源管控策略的各要素、子要素、要素属性以及属性值范围信息；

应用资源元属性数据管理模块，支持应用资源属性元数据添加、删除、更新升级、导入、导出、多版本冲突处理功能；所述应用资源属性元数据包括应用资源各类属性、属性值范围、元数据版本和使用业务范围等信息；

管控策略定义和管理模块，支持应用资源管控规则管理、应用资源管控策略模板管理功能；管控策略智能转换模块，用于提供策略编辑GUI、策略选择、策略转换、策略部署库以及系统信息库、语义冲突知识库功能；

管控策略全网格分发订阅与部署模块，用于管控设备配置、管控服务注册、管控策略分发与订阅功能；应用资源管控策略监控模块，用于管控设备策略执行监控、网格节点系统事件策略执行监控、管控服务策略执行监控、管控策略执行时空变化监控、应用资源管控策略执行监控、业务/任务分类管控策略执行监控与用户应用资源管控策略执行监控功能；

管控策略执行事后审计模块，通过采集应用资源管控策略执行过程中产生的各种日志,包含账户活动、操作行为、应用资源节点执行等日志信息，对采集到的数据进行分析，确定应用资源管控策略执行是否符合相关规定，并对不合规的应用资源操作和访问行为提出告警信息。

优选的，所述管控策略定义和管理模块工作流程如下：

策略编辑者在应用资源管控规则管理界面配置定义多种路由规则、请求聚合规则、服务发现规则、认证规则、鉴权规则、限流熔断规则、负载均衡规则、访问授权规则、接口加密规则、资源数据脱敏规则、细粒度访问控制规则、访问范围管控、应用管控规则等，作为后续策略编辑的选择。

优选的，所述管控策略智能转换模块工作流程如下：

A00：高层策略编辑者利用策略编辑GUI编辑管控需求策略，同时输入信息系统中各实体对象及应用资源的相关信息；

A01：根据策略类型查询语义冲突知识库，获取与新策略可能会发生语义冲突的相关知识；

A02：利用获得的语义冲突知识从系统信息库中选择出需要与新策略进行语义冲突判断的候选策略；

A03：将新策略与A02中得到的候选策略进行一致性分析，冲突则先消解冲突；不冲突则调用两次层间转换模块，将其转换成设备层策略，然后调用策略翻译模块将DL_SP翻译成底层设备配置命令；

A04：信息系统中相应的设备执行配置命令，实现策略部署和执行。

优选的，所述管控策略全网格分发订阅与部署模块包括如下：

管控设备注册：在管理后台调用管控设备配置子模块功能，添加数据中心中的应用资源服务网关设备、安全防护设备、日志审计设备、标签服务设备和终端代理设备设备信息；

管控服务注册：调用管控服务注册模块功能，对每个设备注册配置其管控服务资源，也可以按照设备分类或分组来注册；

管控策略分发与部署：调用管控策略分发与订阅子模块功能，针对性的将应用资源管控策略内容、相关规则库等信息自动化推送到注册的各类应用资源管控设备。

优选的，所述管控策略执行事后审计模块，设备执行应用资源管控策略审计、应用资源执行管控策略审计、业务执行应用资源管控策略审计、用户执行应用资源管控策略审计与管控服务执行应用资源管控策略审计。

本发明具有以下有益效果：

本发明通过应用资源管控策略监控模块，对各种网格中多种系统事件以及执行策略的监控；并通过采集应用资源管控策略执行过程中产生的各种日志，确定应用资源管控策略执行是否符合相关规定，并对不合规的应用资源操作和访问行为提出告警信息；实现系统事件的综合监控，提高监控效率。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的一种应用资源网格综合管控策略服务系统的结构示意图；

图2为本发明中管控策略智能转换模块工作流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1所示，本发明为一种应用资源网格综合管控策略服务系统，包括：

管控策略元数据管理模块，支持应用资源管控策略元数据添加、删除、更新升级、导入、导出、多版本冲突处理等功能；应用资源管控策略元数据包括应用资源管控策略的各要素、子要素、要素属性以及属性值范围信息；具体的，应用资源管控元数据包括基本属性要素、敏感要素、安全要素、分级分类要素和管控规则要素等，重点是路由规则、请求聚合规则、服务发现规则、认证规则、鉴权规则、限流熔断规则、负载均衡规则、访问授权规则、接口加密规则、资源数据脱敏规则、细粒度访问控制规则、访问范围管控、应用管控规则等应用资源管控规则，以及配套的属性值范围信息；根据不同业务场景的需要，在控制平面服务端管理界面，对管控策略元数据内容会进行个性化的定制和版本迭代。

应用资源元属性数据管理模块，支持应用资源属性元数据添加、删除、更新升级、导入、导出、多版本冲突处理等功能；应用资源属性元数据包括应用资源各类属性、属性值范围、元数据版本和使用业务范围等信息；具体的，应用资源属性元数据内容主要包括：协议、域名、版本、路径、访问动作范围、过滤信息、状态码、错误处理、返回结果、Hypermedia API、敏感程度、业务类型、密级、及时性、角色、影响范围、机构单位、操作人员、操作时间等属性内容，以及配套的属性值范围信息；根据不同业务场景的需要，在控制平面服务端管理界面，对应用资源元数据内容会进行个性化的定制和版本迭代。

管控策略定义和管理模块，支持应用资源管控规则管理、应用资源管控策略模板管理等功能；具体的，管控策略定义和管理模块工作流程如下：

策略编辑者在应用资源管控规则管理界面配置定义多种路由规则、请求聚合规则、服务发现规则、认证规则、鉴权规则、限流熔断规则、负载均衡规则、访问授权规则、接口加密规则、资源数据脱敏规则、细粒度访问控制规则、访问范围管控、应用管控规则等，作为后续策略编辑的选择。同时，根据业务场景需要，策略编辑者分类提供针对性的在应用资源管控策略模版管理界面配置定义，在定义过程中可以选择采用哪些属性以及包括哪些规则。

管控策略智能转换模块，用于提供策略编辑GUI、策略选择、策略转换、策略部署库以及系统信息库、语义冲突知识库功能；请参阅图2所示，管控策略智能转换模块工作流程如下：

A00：高层策略编辑者利用策略编辑GUI编辑管控需求策略，同时输入信息系统中各实体对象及应用资源的相关信息；

A01：根据策略类型查询语义冲突知识库，获取与新策略可能会发生语义冲突的相关知识；

A02：利用获得的语义冲突知识从系统信息库中选择出需要与新策略进行语义冲突判断的候选策略；

A03：将新策略与A02中得到的候选策略进行一致性分析，冲突则先消解冲突；不冲突则调用两次层间转换模块，将其转换成设备层策略，然后调用策略翻译模块将DL_SP翻译成底层设备配置命令；

A04：信息系统中相应的设备执行配置命令，实现策略部署和执行。

此外，其它层策略编辑者制定策略的过程与此类似，只是服务层策略编辑者制定策略时只需调用一次层间转换模块，而设备层策略编辑者制定策略时直接调用策略翻译模块即可，无需进行策略转换。

管控策略全网格分发订阅与部署模块，用于管控设备配置、管控服务注册、管控策略分发与订阅功能；具体的，管控策略全网格分发订阅与部署模块包括如下：管控设备注册：在管理后台调用管控设备配置子模块功能，添加数据中心中的应用资源服务网关设备、安全防护设备、日志审计设备、标签服务设备和终端代理设备设备信息；

管控服务注册：调用管控服务注册模块功能，对每个设备注册配置其管控服务资源，也可以按照设备分类或分组来注册；

管控策略分发与部署：调用管控策略分发与订阅子模块功能，针对性的将应用资源管控策略内容、相关规则库等信息自动化推送到注册的各类应用资源管控设备。

应用资源管控策略监控模块，用于管控设备策略执行监控、网格节点系统事件策略执行监控、管控服务策略执行监控、管控策略执行时空变化监控、应用资源管控策略执行监控、业务/任务分类管控策略执行监控与用户应用资源管控策略执行监控功能；对应的，具体监控功能如下:

管控设备策略执行情况监控：提供应用资源服务网关设备、安全防护设备、日志审计设备、标签服务设备和终端代理设备的种类、数量、资源和策略执行情况实时统计；支持单个管控设备按照一定时间范围、任务类别、系统事件、环境风险度、事件等级、应用资源信息、数据资源信息、管控服务的各类策略执行的实时统计；支持单类管控设备按照一定时间范围、任务类别、系统事件、环境风险度、事件等级、应用资源信息、数据资源信息、管控服务的各类策略执行的实时统计；支持管控设备组按照一定时间范围、任务类别、系统事件、环境风险度、事件等级、应用资源信息、数据资源信息、管控服务的各类策略执行的实时统计。管理人员根据监控情况，可以动态调整设备分组情况，并为新投入管控资源提供依据。

网格节点系统事件策略执行监控：按照系统事件分类，实时监控全网格所有管控策略执行情况，具体包括：该类系统事件所调用的管控服务次数统计、该类系统事件的各类策略执行次数统计、该类系统事件调用的设备服务次数统计、该类系统事件的时空变化统计、该类系统事件的任务类别统计、该类系统事件的应用资源类别和规模统计、该类系统事件的数据资源类别和规模统计等；在统计基础上，同时该模块给出时空变化趋势分析。该模块提高系统风险智能分析能力，并根据风险变化趋势，实现管控预警。

管控服务策略执行监控：按照系统注册的管控服务，包括：路由服务、请求聚合服务、服务发现服务、认证服务、鉴权服务、限流熔断服务、负载均衡服务、访问授权服务、接口加密服务、资源数据脱敏服务、细粒度访问控制服务、访问范围限制服务、应用管控、数据完整性验证、数据混淆等，进行分类、分组进行策略执行情况实时统计，具体包括：各类管控服务的策略执行次数统计、各类管控服务的分类策略执行次数统计、分组管控服务的策略执行次数统计、分组管控服务的各类策略执行次数统计、管控服务的数据/应用资源类别和规模统计等；在统计基础上，同时该模块给出时空变化趋势分析。管理人员根据监控情况，找出瓶颈资源，从而动态调整管控服务资源投入。

管控策略执行时空变化监控：支持按照时间段、组织机构、设备进行管控策略执行、管控服务和系统事件统计，在统计基础上，同时该模块给出时空变化趋势分析，从而为应用资源管控策略编辑、优化和管控提供实时参考。

应用资源管控策略执行监控：支持按照应用资源分类、应用资源分组进行管控策略执行、管控服务和系统事件统计，在统计基础上，同时该模块给出时空变化趋势分析，从而为应用资源分类与分组调控应用资源管控策略提供参考信息。

业务/任务分类管控策略执行监控：支持按照业务分类、应用分类、任务分类进行管控策略执行、管控服务和系统事件统计，在统计基础上，同时该模块给出时空变化趋势分析，从而为按照业务、应用分类与分组调控管控策略提供参考信息，支持按照任务调控管控策略编辑和管理。

用户应用资源管控策略执行监控：支持按照用户分类、用户分组进行管控策略执行、管控服务和系统事件统计，在统计基础上，同时该模块给出时空变化趋势分析，从而为按照用户分类与分组调控应用资源管控策略提供参考信息。

管控策略执行事后审计模块，通过采集应用资源管控策略执行过程中产生的各种日志,包含账户活动、操作行为、应用资源节点执行等日志信息，对采集到的数据进行分析，确定应用资源管控策略执行是否符合相关规定，并对不合规的应用资源操作和访问行为提出告警信息。管控策略执行事后审计模块，设备执行应用资源管控策略审计、应用资源执行管控策略审计、业务执行应用资源管控策略审计、用户执行应用资源管控策略审计与管控服务执行应用资源管控策略审计；对应的，具体的审计功能包括如下：

设备执行应用资源管控策略审计：按照审计分析时间段与业务范围，提取资源服务网关设备、安全防护设备、日志审计设备、标签服务设备和终端代理设备的应用资源管控策略执行日志，设定策略规则，分析该设备日志中各类系统事件处理过程中是否按照管控策略进行执行，对不合规的策略执行提出告警信息；系统支持对设备中应用资源管控策略执行情况进行打分评价，从而为后续改进和自动优化策略方案提供数据支撑。

应用资源执行管控策略审计：按照审计分析时间段与业务范围，提取各类应用资源、各组应用资源的管控策略执行日志，设定策略规则，分析该应用资源涉及的所有系统事件是否按照管控策略进行执行，对不合规的策略执行提出告警信息。系统支持对应用资源管控策略执行情况进行打分评价，从而为后续改进和自动优化策略方案提供数据支撑。

业务执行应用资源管控策略审计：按照审计分析时间段与业务范围，提取各类业务、应用与任务的应用资源管控策略执行日志，设定策略规则，分析各类业务、应用与任务涉及的所有系统事件是否按照管控策略进行执行，对不合规的策略执行提出告警信息。系统支持对业务、应用与任务运行过程中管控策略执行情况进行打分评价，从而为后续改进和自动优化策略方案提供数据支撑。

用户执行应用资源管控策略审计：按照审计分析时间段与业务范围，提取各类用户、用户组的应用资源管控策略执行日志，设定策略规则，分析各类用户与用户组涉及的所有系统事件是否按照管控策略进行执行，对不合规的策略执行提出告警信息。系统支持对用户与用户组的应用资源管控策略执行情况进行打分评价，从而为后续改进和自动优化策略方案提供数据支撑。

管控服务执行应用资源管控策略审计：按照审计分析时间段与业务范围，提取路由服务、请求聚合服务、服务发现服务、认证服务、鉴权服务、限流熔断服务、负载均衡服务、访问授权服务、接口加密服务、资源数据脱敏服务、细粒度访问控制服务、访问范围限制服务、应用管控、数据完整性验证、数据混淆等各类管控服务的应用资源管控策略执行日志，设定策略规则，分析各类管控服务涉及的所有系统事件是否按照管控策略进行执行，对不合规的策略执行提出告警信息。系统支持对管控服务的应用资源管控策略执行情况进行打分评价，从而为后续改进和自动优化策略方案提供数据支撑。

本发明实际使用时，通过管控策略元数据管理模块，实现应用资源管控策略元数据添加、删除、更新升级、导入、导出、多版本冲突处理功能；通过应用资源元属性数据管理模块，实现应用资源属性元数据添加、删除、更新升级、导入、导出、多版本冲突处理功能；通过管控策略定义和管理模块，实现应用资源管控规则管理、应用资源管控策略模板管理功能；通过管控策略智能转换模块，实现提供策略编辑GUI、策略选择、策略转换、策略部署库以及系统信息库、语义冲突知识库功能；通过管控策略全网格分发订阅与部署模块，现实管控设备配置、管控服务注册、管控策略分发与订阅功能；并通过应用资源管控策略监控模块实现时间监管功能，同时，通过管控策略执行事后审计模块对不合规的应用资源操作和访问行为提出告警信息；实现了系统事件更为全面的综合监控，提高监控效果。

值得注意的是，上述系统实施例中，所包括的各个单元只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。

另外，本领域普通技术人员可以理解实现上述各实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，相应的程序可以存储于一计算机可读取存储介质中。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。