CN117749892A - 一种服务调度方法及装置 - Google Patents
一种服务调度方法及装置 Download PDFInfo
- Publication number
- CN117749892A CN117749892A CN202311524571.0A CN202311524571A CN117749892A CN 117749892 A CN117749892 A CN 117749892A CN 202311524571 A CN202311524571 A CN 202311524571A CN 117749892 A CN117749892 A CN 117749892A
- Authority
- CN
- China
- Prior art keywords
- service
- scheduling request
- gateway
- center
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种服务调度方法及装置。在该方法中,服务网关部署于各个业务中台,服务网关基于预设的两级互信协议通过业务系统获取用户的服务调度请求,服务调度请求包含加密参数;服务网关通过预先设置的服务路由将服务调度请求发送到对应的业务中台,以使业务中台对服务调度请求的加密参数进行签名校验,若校验通过,则向服务网关返回对应的中台服务;服务网关通过业务系统向用户提供中台服务。由此可见,利用本申请实施例提供的方案,由服务网关对加密的服务调度请求配置校验路径,通过服务网关将加密的服务调度请求发送到业务中台进行校验,从而提高了服务调度的安全性。
Description
技术领域
本申请涉及服务调度领域,尤其涉及一种服务调度方法及装置。
背景技术
各业务中台已经发布的共享服务在技术路线、发布方式、鉴权控制、管理手段等方面存在较大差异,导致开发人员在使用各中台服务时,无法及时获取到最新的服务信息。
现有技术中通过统一服务调度组件基本满足了服务调度“服务注册、发布、路由、鉴权、评价、注销”等功能。
然而,当前的统一服务调度组件在支撑服务调度的过程中,无法根据业务系统是否已经与密码服务平台集成,以灵活配置服务调度请求校验路径,因此,对服务调度本身的安全存在不可控的风险。
发明内容
本申请实施例提供了一种服务调度方法及装置,可以提高服务调度的安全性。
本申请第一方面提供了一种服务调度方法,所述方法应用于服务网关,所述服务网关部署于各个业务中台,所述方法包括:
基于预设的两级互信协议通过业务系统获取用户的服务调度请求,所述服务调度请求包含加密参数;
通过预先设置的服务路由将所述服务调度请求发送到对应的业务中台,以使所述业务中台对所述服务调度请求的加密参数进行签名校验,若校验通过,则向所述服务网关返回对应的中台服务;
通过所述业务系统向所述用户提供所述中台服务。
可选地,所述方法,还包括:
根据所述业务中台的服务需要,对所述服务调度请求进行限流控制,当所述服务调度请求达到预设的限流条件时,通过所述业务系统向所述用户返回服务调度失败的结果。
可选地,所述方法,还包括:
当所述服务网关出现故障时,将所有服务的状态的设置为熔断状态;
对所述熔断状态进行查看,其中,所述熔断状态包括预设时间段内的服务质量信息。
可选地,所述方法,还包括:
通过预设的隔离设备服务的穿透能力,对外网的业务系统的接口进行授权;
通过信息安全网络隔离装置获取经过授权的所述外网的业务系统的服务调度请求。
可选地,所述方法,还包括:
根据所述业务系统的业务需求,根据预设的弹性伸缩策略对服务路由和鉴权资源的响应能力进行调整。
可选地,所述方法,还包括:
基于云平台提供对所述中台服务对应的服务监控能力,所述服务监控能力包括对企业服务总线关键组件的监控,对服务调用情况的监控,对服务调用日志的监控,对服务调用链路的监控。
可选地,所述方法,还包括:
将各个业务中台的业务系统进行合并,并将合并后的业务系统的应用数据进行导入,并梳理所述各个业务中台的接口信息,对所述接口信息进行注册,以使得将所述服务网关部署于所述各个业务中台。
本申请第二方面提供了一种服务调度装置,所述装置应用于服务网关,所述服务网关部署于各个业务中台,包括:
获取单元,用于基于预设的两级互信协议通过业务系统获取用户的服务调度请求,所述服务调度请求包含加密参数;
发送单元,用于通过预先设置的服务路由将所述服务调度请求发送到对应的业务中台,以使所述业务中台对所述服务调度请求的加密参数进行签名校验,若校验通过,则向所述服务网关返回对应的中台服务;
所述发送单元,还用于通过所述业务系统向所述用户提供所述中台服务。
可选地,所述装置,还包括:
限流单元,用于根据所述业务中台的服务需要,对所述服务调度请求进行限流控制,当所述服务调度请求达到预设的限流条件时,通过所述业务系统向所述用户返回服务调度失败的结果。
可选地,所述装置,还包括:
熔断单元,用于当所述服务网关出现故障时,将所有服务的状态的设置为熔断状态;对所述熔断状态进行查看,其中,所述熔断状态包括预设时间段内的服务质量信息。
本申请实施例公开了一种服务调度方法及装置。在该方法中,服务网关部署于各个业务中台,服务网关基于预设的两级互信协议通过业务系统获取用户的服务调度请求,服务调度请求包含加密参数;服务网关通过预先设置的服务路由将服务调度请求发送到对应的业务中台,以使业务中台对服务调度请求的加密参数进行签名校验,若校验通过,则向服务网关返回对应的中台服务;服务网关通过业务系统向用户提供中台服务。由此可见,利用本申请实施例提供的方案,由服务网关对加密的服务调度请求配置校验路径,通过服务网关将加密的服务调度请求发送到业务中台进行校验,从而提高了服务调度的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种示例性应用场景示意图;
图2为本申请实施例提供的一种服务调度方法的流程示意图;
图3为本申请实施例提供的一种使用业务中台的业务系统架构图;
图4为本申请实施例提供的一种服务监控的流程示意图;
图5为本申请实施例提供的一种网关组件的结构示意图;
图6为本申请实施例提供的一种服务调度装置的结构示意图。
具体实施方式
本申请实施例提供了一种服务调度方法及装置,可以提高服务调度的安全性。
为方便理解,首先对本申请实施例的应用场景进行介绍。
当前各业务中台已经发布的共享服务在技术路线、发布方式、鉴权控制、管理手段等方面存在较大差异,导致开发人员在使用各中台服务时,无法及时获取到最新的服务信息,无法通过同一个渠道获取服务信息,各自技术路线、鉴权方式、贯通方式不统一,导致前台应用在建设过程中涉及重复开发,重复去适配,增加了大量工作量,也无法发挥业务中台的全部价值,给业务中台的管理人员、运营人员、使用人员以及开发人员共同推进中台战略落地的过程中带来了相应的阻碍。
现有技术中已完成企业级统一服务调度组件上线实施,基本满足了服务调度“服务注册、发布、路由、鉴权、评价、注销”等功能,加速推进企业级组件功能研发及优化完善,全面推动中台服务及业务应用改造切换、全量纳管、实时监测。通过与数字化能力开放平台和统一权限平台集成,实现服务目录发布、授权申请和应用令牌发放、认证鉴权。
可结合图1进行理解,图1为本申请实施例提供的一种示例性应用场景示意图。
如图1所示,用户通过用户网关(例如,微服务网关)访问业务系统,业务系统多数请求通过访问数据库即可完成请求,对于少数数据来自业务中台,则通过统一服务调度网关(即服务网关)访问业务中台。而中台服务是业务服务将公共跨系统需要的能力沉淀下来,通过统一服务调度组件进行能力开放,提供给不同业务系统使用。
当前统一服务调度组件在支撑服务调度过程中,无法根据应用本身是否已经与密码服务平台集成进行灵活配置信息校验路径,对服务调度本身的安全存在不可控风险。此外,服务调度当前无法用足够的数据验证自身关键性能,存在一定的不可信;也没有直观的视图来展现服务调度的逻辑关系,对服务间的依存关系存在一定的不可知;还没有灵活的部署方案和应急保障机制,对版本升级、应急处理等问题存在一定的不可控。
参见图2,该图为本申请实施例提供的一种服务调度方法的流程示意图。本申请实施例提供的服务调度方法,该方法应用于服务网关,服务网关部署于各个业务中台,例如可以通过如下步骤S201-S203实现。
S201:基于预设的两级互信协议通过业务系统获取用户的服务调度请求。
在本申请实施例中,服务网关由统一服务调度组件构成,通过统一服务调度组件实现两级服务贯通。两级服务贯通通过总部、网省分别使用调度网关实现,各业务应用仅与本省(市)的调度网关进行通信。不直接访问对端总部(省市)的中台服务。提高两级访问的安全性以及可管理性。
具体的,统一服务调度网关通过两级互信协议,对服务进行两级贯通的代理。两级贯通应对业务应用透明,屏蔽贯通之间的差异,将差异消化在统一服务调度组件内部。在所有统一服务调度组件之间进行接口调用时需要增加互信机制。互信机制采用摘要签名算法,调用方在请求头加上加密参数,被调用方对请求来源报文头进行签名校验,验证请求端是否合法。
在本申请实施例的一种实现方式中,通过预设的隔离设备服务的穿透能力,对外网的业务系统的接口进行授权;通过信息安全网络隔离装置获取经过授权的外网的业务系统的服务调度请求。
具体的,穿透设计采用信息安全网络隔离装置逻辑型,通过隔离设备服务的穿透能力,对信息外网的业务系统进行授权访问。在业务系统维护方面支持外网应用系统,使用时对外网应用使用接口进行授权,授权审批通过后,对来自信息安全网络隔离装置的服务调度请求访问标记为外网应用,并且对外网的服务调度请求单独进行防护及请求审计记录,从而在使用方面,外网业务系统在使用方面与内网业务系统的使用上不会有区别。
如图3所示,该图为本申请实施例提供的一种使用业务中台的业务系统架构图,安全隔离装置左侧为设置于内网的统一服务调度组件,其中,虚线上方为总部侧的管理信息大区,具体包括数字化能力开放平台(包括服务目录、服务申请和服务微门户)、统一权限平台(用于令牌发放和认证鉴权)、管理后台(用于服务自动注册、服务目录管理、服务授权审批、服务日志监控、路由管理和流控策略)、用户(包括浏览器、客户端和移动应用)、用户网关(用于服务路由、会话管理、用户鉴权和日志采集等)、业务应用(PMS3.0、营销2.0和智慧共享财务平台等)、服务网关(用于服务路由、应用鉴权、服务权限控制和两级贯通等)和业务中台(包括电网资源中台、客户服务中台、财务中台和项目中台);虚线下方为省市公司侧的管理信息大区,具体包括网省频道(包括服务目录、服务申请和服务微门户)、统一权限平台(用于令牌发放和认证鉴权)、用户网关(包括服务路由、会话管理、用户鉴权和日志采集等)、业务应用(包括PMS3.0、营销2.0等)、服务网关(用于服务路由、应用鉴权、服务权限控制和两级贯通等)、业务中台(包括电网资源中台和客户服务中台)和管理后台(用于服务自动注册、服务目录管理、服务授权审批、服务日志监控、路由管理和流控策略)。安全隔离装置右侧为设置于外网的统一服务调度组件,统一服务调度组件可以部署于互联网大区中的客户服务中台,外网的应用系统包括i国网、外网应用、网上国网和95598客服等,通过安全隔离装置接收来自外网的服务调度请求。
在本申请实施例的一种实现方式中,基于就近服务注册原则进行服务注册。统一服务调度组件支持的服务类型包括REST服务、订阅服务、Webservice服务、WebSocket服务。
REST服务是目前常见的基于HTTP请求及REST风格的服务,此类服务是目前主流常见的服务,目前各业务中台基本都是按照REST风格对外提供服务接口。
订阅服务是一种基于消息的服务,通过对服务的生产者与消费者及消息主题的关系进行统一管理,实现对订阅服务的管理。订阅服务在统一服务调度组件注册时,需分配对应的消息主题、消息内容的描述、消息触发因素等信息便于订阅方了解消息的价值,当产生消息时,由统一服务调度组件发送到各消息订阅应用的消息队列或HTTP回调。
Webservice服务是在SG-ERP常见的服务,统一服务调度组件将已有的Webservice服务进行统一纳管,并提供统一的服务访问控制,同样进行Webservice类服务的注册、发布管理。此外调度组件提供接口转换服务将Webservice接口转换为REST接口同样注册到调度组件,方便业务系统选择需要的接入方式。
WebSocket服务是基于流式的服务类型,调度组件对服务建立连接进行认证及代理,从而实现对WebSocket服务的统一纳管。其中对面用户消息推送的WebSocket不在此范围内。
具体的,统一服务调度组件支持对接口数据权限的控制,在接口注册时,选择数据权限所属维度,业务系统在进行注册申请时,即可选择所使用的维度。例如,数据维度是28个(总部及27家省(市)公司),业务系统申请使用该接口时,必须选择28个维度中的一个或多个(根据实际业务进行),审批流程通过后,业务系统访问数据权限接口时,服务网关自动加上该维度参数赋予权限的值,用于中台服务的数据权限辨别。
统一服务调度组件支持对接口的访问权限控制,业务系统经过鉴权后,统一服务调度组件同时检查该业务系统是否有对应接口的访问权限,若该业务系统具备访问权限则将服务调度请求转发,否则将服务调度请求进行拦截。
在本申请实施例的另一种实现方式中,服务路由能力是统一服务调度组件的对外部支撑的核心能力,服务的路由方式是目前各业务中台主要的差异,对业务系统的使用,影响最大,是统一服务入口的关键能力,路由默认规则由统一服务调度规范进行标准化描述。服务路由分为公共路由规则及自定义路由规则。
公共路由规则是系统默认采用的规则模式,采用在路径第一段上下文采用微服务编码,后跟微服务接口路径的模式。例如http://gw.sgcc.com.cn/yx-customer-service/customer/info接口,其中yx-customer-service是微服务的编码,后续customer/info是接口的在代码中的实际路径。
自定义规则用于满足业务系统对URL个性化的需求,采用重写路径的模式满足业务系统对路径的要求。比如电网资源中台上下文都是/WMCenter,但按照微服务上下文的路径规则,不可能所有的电网资源中台服务都在同一个微服务实现,因此需要支持URL进行重写。重写规则支持URL与头信息,可以进行任意匹配,满足华云版-电网资源中台多版本需求。
需要说明的是,考虑到匹配的性能问题,每个网关租户,路由规则原则上不应超过1000条。
S202:通过预先设置的服务路由将服务调度请求发送到对应的业务中台,以使业务中台对服务调度请求的加密参数进行签名校验。
在本申请实施例中,应用鉴权是统一服务调度组件识别应用的能力,应用通过颁发的密钥获取令牌,统一服务调度组件通过令牌获取应用信息的过程称为应用鉴权。应用数据来源自统一权限,对于数字化能力开放平台存在但统一权限中没有的应用,由数字化能力开放平台同步给权限,由权限颁发密钥。应用鉴权通过应用appid及secret信息,返回令牌的能力,该功能与统一权限集成,调度组件代理该能力。其中,应用鉴权采用国网规范标准OAuth2协议,进行令牌交互及通讯。
在本申请实施例的一种实现方式中,服务权限控制是在应用通过鉴权后,对应用访问的客体对象即注册的中台服务进行访问权限控制。服务权限的授权可在统一服务调度组件进行管理,管理后台对应用申请访问的服务及接口进行流程审批及授权,审批通过后,将审批权限数据同步到调度网关,用于权限授权控制原始数据。
在本申请实施例的一种实现方式中,服务日志是统一服务调度组件后期给运营分析数据的基础,是统一服务调度组件的主要增值能力。统一服务调度网关对日志的记录应采用异步方式,不会因为日志记录影响到服务代理的性能。通过将日志写入到文件,再使用国网云华为组件与国网云阿里组件将日志文件的数据采集到对应的系统进行分析。
(1)国网云华为版
国网云华为版日志管理组件为LTS(Log Tank Service,云日志服务),通过支持配置日志采集路径,实现访问日志的采集和存储,支持通过API接口开放日志搜索。LTS通过ICAgent进行日志数据采集。
主机和云服务的日志数据上报至云日志服务后,可以支持30天存储,对于需要长期存储的日志数据,云日志服务提供转储功能,可以将日志转储至对象存储服务(OBS)或者数据接入服务(DIS)中长期保存。
使用日志检索功能可实现在海量日志中查询所需的日志,支持原始日志查询分析,也可对结构化后的日志进行SQL查询与分析。通过配置分词可将日志内容按照分词符切分为多个单词,在日志搜索时可使用切分后的单词进行搜索。
(2)国网云阿里版
通过Tlog组件进行异步日志采集,Jstorm组件对采集的日志数据进行清洗处理,将统计数据放入存储数据数据,将明细数据放入ES供构建监控链路和明细查询。
在本申请实施例的一种实现方式中,根据业务中台的服务需要,对服务调度请求进行限流控制,当服务调度请求达到预设的限流条件时,通过业务系统向用户返回服务调度失败的结果。当服务网关出现故障时,将所有服务的状态的设置为熔断状态;
对熔断状态进行查看,其中,熔断状态包括预设时间段内的服务质量信息。
具体的,根据业务中台服务需要,对业务系统进行限流控制。达到限流条件后,进行快速失败返回。限流规则需支持按照接口、微服务维度进行限流控制。
统一服务调度组件支持各类中台接入、调用,服务流量比较大,为保障统一服务调度组件的高可用性,从网省、中台、应用、服务接口等四个维度实行服务限流,同时使用服务降级、服务熔断等微服务治理手段,确保调度组件的可靠性。
统一服务调度组件管控工具实现对服务的阈值配置,支持动态启用、动态调整阈值,支持区分核心和非核心应用、服务的配置功能,按需对服务限流熔断,优先保障核心功能的高可用。
统一服务调度组件采用阿里开源的Sentinel组件作为限流熔断方案,利用Sentinel全局限流,可以实现基于优先级的限流,如:当整体访问量很大时,优先对非核心服务、非核心应用限流。
统一服务调度组件具有自愈功能,在服务网关代理的后端服务出现故障时,向调用故障服务的业务系统进行快速失败返回,从而减少资源调用,同时在一定程度上保护故障服务在重启时,不被流量击垮。
服务熔断控制台支持所有服务当前熔断状态查看,例如,最新5分钟服务质量信息如服务响应时间、服务成功率,根据这些指标可以进行手动熔断。
服务熔断规则按照微服务进行熔断,对于手动注册的服务,按照地址+端口+上下文的方式进行规则熔断,熔断组可进行配置。
在本申请实施例的一种实现方式中,基于云平台提供对中台服务对应的服务监控能力,服务监控能力包括对企业服务总线关键组件的监控,对服务调用情况的监控,对服务调用日志的监控,对服务调用链路的监控。
具体的,统一服务调度组件在专注于满足企业中台服务开放与纳管能力的前提下,还应具备基本的服务监控集成能力,对于不同云平台国网云阿里版、华为版应能满足适配技术能力。基本的服务监控能力如对企业服务总线关键组件的监控,服务调用情况的监控,服务调用日志的监控,服务调用链路的监控。云平台提供整套监控方案,对服务的健康情况进行监控,组件在网关日志方面对服务健康情况进行监控,云平台在探测方案对服务健康进行监控,提供监控结果及数据。
(1)国网云华为版监控
服务为AOM(Application Operations Management应用运维管理),支持实时监控应用及相关云资源,采集并关联资源的指标、日志及事件分析应用健康状态,支持告警和数据可视化功能。AOM的指标数据采集采用ICAgent(和LTS一致),Servicestage和CCE部署的应用会默认安装采集器。ICAgent支持自动收集应用信息,包括进程名称,应用名称,容器名称,Kubernetes pod名称等。监控服务主要包括应用监控、主机监控、指标监控,支持告警中心和仪表盘展示:
应用监控是针对应用的监控,支持监控应用的资源使用情况、趋势和告警。应用监控采用逐层下钻设计,层次关系包括:应用列表->应用详情->组件详情->实例详情->容器详情->进程详情。在各层次的详情页面中,AOM对资源相关的告警、日志及所在主机的情况进行了关联,展示了告警、主机的详细信息。
指标监控支持集群、虚机、网络、磁盘、数据库、应用、容器及业务等上百种监控指标与秒级监控,提供指标监控界面来检索指标,通过资源的层级关系在指标树上进行展示,层级关系为:集群->服务->实例->容器/进程。
支持通过曲线图、数字图、TopN图表展示资源数据,可以将重要资源的关键指标添加到仪表盘中进行实时监控。通过对重点资源指标创建阈值规则,当指标数据满足阈值条件时产生阈值告警。告警和事件通过邮件、短信等方式通知运维人员。
(2)国网云阿里版监控
提供专业的服务监控组件ARMS,可以基于应用和业务自定义等维度,迅速便捷地构建秒级响应的业务监控能力。
图4为本申请实施例提供的一种服务监控的流程示意图;具体包括如下步骤:
步骤1:数据收集,ARMS支持通过配置抓取日志。
步骤2:任务定义,通过任务配置来定义实时处理、数据存储、展示分析、数据API和报警等任务,从而定义出自己的自应用场景。通过应用监控预设场景直接进行业务监控。
步骤3:应用场景,除了自定义监控以外,ARMS还有可直接使用的预设监控场景,例如以下应用监控:业务深度定制监控,可按需深度定制具备业务属性的实时监控报警和大盘。业务场景包括电商场景、物流场景、航旅场景等;应用性能和异常监控,对分布式应用进行性能异常监控和调用链查询的应用性能管理(APM)能力;统一报警和报表平台,集自定义监控和应用监控为一体的统一报警和报表平台;应用性能和故障,含应用拓扑、异常捕获、分布式或本地调用堆栈、日志全息排查等功能;业务深度自定义监控,支持多数据源接入、实时计算和存储编排、报警和报表自定义、API数据导出等功能。
S203:通过业务系统向用户提供中台服务。
在本申请实施例中,服务网关通过业务系统向用户提供访问中台服务的权限和对应的接口权限。
在本申请实施例的一种实现方式中,统一服务调度组件承载全量的中台服务调用请求转发工作,各业务场景的流量、并发度有较大差异,如全部流量由一个网关集群承担,容易导致不同业务之间的相互干扰,不利于统一服务调度组件推广应用,需采用租户隔离技术将不同中台的服务调度进行分离。统一服务调度组件也提供应用注册、服务目录、调用日志等业务相关数据管理,需实现数据隔离。在统一服务调度组件的租户隔离是指面向不同的业务中台,部署独立资源的统一调度网关,在物理资源上实现与其他业务中台的租户资源隔离。避免不同业务中台在统一服务调度上产生的相互影响。
具体的,如图5所示,该图为本申请实施例提供的一种网关组件的结构示意图,VPC0为统一服务调度网关VPC,通过管控工具将服务网关部署到各业务域租户空间(即图5中的VPC1和VPC2),由云平台保障其隔离性,服务网关与业务域采用一对一绑定部署,对接中台、应用自身的注册中心进行服务路由,并通过二级域名方式建立独立入口,各中台、应用服务流量相互分离,流量经过不同的网关集群到达中台、应用服务。各网关的配置、监控由统一服务调度组件负责,通过消息总线、Redis打通与各网关的配置、监控采集通道。
在本申请实施例的一种实现方式中,统一服务调度组件采用云平台灰度发布功能实现调度组件的灰度升级。在运维阶段需要针对不同组件制订合理的灰度发布、流量切换策略。目前国网云华为版、阿里版都支持灰度发布能力,实现版本升级不影响业务的能力。
具体的,灰度发布,又称金丝雀发布,是将应用的旧版本与新版本同时部署在环境中,业务请求可采用流量比、请求参数等策略分别路由到旧版本、新版本的服务上。通过自定义灰度发布策略,快速调整旧版本和新版本的流量占比,直至全部流量切换到新版本。
灰度发布可以在发布新版本应用时,自定义控制新版本应用流量比重,渐进式完成新版本应用的全量上线,最大限度地控制新版本发布带来的业务中断风险,降低故障带来的影响面,同时支持快速回滚。
调度组件作为各中台服务的统一入口,在自身组件升级时也应保障中台服务的可用性,通过灰度发布技术,保障调度组件稳定可靠运行,避免因升级导致中台服务无法正常转发,防止上层应用中断。
在本申请实施例的一种实现方式中,调度组件均采用容器化方式部署,充分利用K8S的探针策略进行保活,必要时由K8S重新启动部分节点,保证组件可用性,减少人为操作。调度组件需要内置httpGet livenessProbe、readinessProbe探测接口,readinessProbe接口在组件启动成功后开放并返回200状态码,通知K8S本组件已启动就绪;livenessProbe接口通过检查内存、线程、锁等运行状态判断当前节点是否运行正常,如正常返回200状态,否则返回400。
调度组件作为中台服务的调用转发通道,保证转发的正常稳定运行是重中之重,对组件自身故障的及时处理、快速恢复是一个关键的技术点。
具体的,容器化应用可利用K8S探针技术监测组件POD运行状态,检测到故障的POD可以及时自动下线,通过自动重启POD实例使服务恢复。K8S提供两种探针(存活探针和就绪探针)监测Pod的运行状态和健康度。
存活性探针,用于判断容器是不是健康,如果不满足健康条件,那么Kubelet将根据Pod中设置的重启策略来判断,Pod是否要进行重启操作。
就绪性探针,用于判断容器内的程序是否健康,只有服务正常,容器开始对外提供网络访问。
K8S支持TCP、HTTP等多种探测协议,Web系统常用HTTP协议,通过HTTP返回的状态码判断是否正常,状态码大于等于200、小于400时认为正常,其他状态码表示不正常,K8S将按预定策略对故障节点进行关闭并重启新的实例。
在本申请实施例的一种实现方式中,根据业务系统的业务需求,根据预设的弹性伸缩策略对服务路由和鉴权资源的响应能力进行调整。
具体的,统一服务调度组件主要是调度网关充分评估中台服务接口的吞吐量,根据业务应用的业务需求,通过统一服务调度弹性伸缩策略自动调整服务路由、鉴权资源的响应能力。根据业务需求自行定义伸缩配置和伸缩策略,降低人为反复调整网关资源以应对业务变化和高峰压力的工作量,帮助企业节约资源和人力成本。调度组件可以根据CPU资源使用情况,服务流量情况对目前资源使用情况进行评估,当负荷较高时,自动对调度网关进行扩容,满足高峰期的请求。当峰值下降时,自动对调度网关进行缩容,减少对物理资源的占用,实现弹性伸缩能力。
目前国网云华为版、阿里版都支持通过CPU内存资源进行弹性伸缩能力,但都不支持通过流量的弹性伸缩的模式。而统一服务调度组件中,仅服务网关对弹性伸缩的能力需要,并且网关属于IO密集型应用,在CPU内存资源的存在的波动较低,因此通过现有的云平台提供弹性伸缩接口,由调度组件自身完成流量分析的弹性伸缩。
在本申请实施例的一种实现方式中,将各个业务中台的业务系统进行合并,并将合并后的业务系统的应用数据进行导入,并梳理各个业务中台的接口信息,对接口信息进行注册,以使得将服务网关部署于各个业务中台。
具体的,针对较难改造的老旧系统,可采用多协议适配方案开展点对点对部署于中台的服务网关进行改造,由统一服务调度组件适配并实现相关中台网关的鉴权、路由逻辑,支持业务系统无需改造即可接入统一服务调度组件,缩短并轨运行周期,实现业务系统的中台服务调用快速纳管,避免部分老旧系统改造迟缓造成的整体工作进展缓慢。相关老旧系统在后续业务中台运营工作中逐步推进改造,实现业务系统调用中台服务的企业级统一规范管理。
按照统一服务调度网关支撑各业务中台的逻辑达到统一纳管的目标,统一服务调度组件只有一套规范标准,新应用都必须按照统一的规范标准执行,但在实施路径上,采用调度组件支撑目前四大业务中台的鉴权协议,减少实施难度提高实施进度。
具体步骤如下:
(1)应用数据统一:将各业务中台的业务系统进行合并,把各自不同的业务系统导入到企业统一服务调度组件中。该过程不可避免出现脏数据,例如某个业务系统调用多个业务中台,会出现重复的情况。
(2)权限管理统一:梳理目前四大业务中台所有的接口信息,全部注册到统一服务调度组件中,并根据使用情况或从业务中台导出权限关系,导入到统一服务调度组件中。
(3)网关部署及试点阶段:将统一服务调度网关部署到业务中台,采用分步切割的方式,先切割部分应用,观察运行没有问题再进行全体切割。
需要说明的是,原先的网关的作用不单一,可能还有客户服务的功能,关于这部分功能需要切割到业务服务中,具体的,客户服务业务中台存在部分业务逻辑功能实现在网关上,该部分功能并不属于网关能力,比如协议转换等能力,这些功能需要客户服务中台拆分到业务服务实现。
本申请实施例公开了一种服务调度方法及装置。在该方法中,服务网关部署于各个业务中台,服务网关基于预设的两级互信协议通过业务系统获取用户的服务调度请求,服务调度请求包含加密参数;服务网关通过预先设置的服务路由将服务调度请求发送到对应的业务中台,以使业务中台对服务调度请求的加密参数进行签名校验,若校验通过,则向服务网关返回对应的中台服务;服务网关通过业务系统向用户提供中台服务。由此可见,利用本申请实施例提供的方案,由服务网关对加密的服务调度请求配置校验路径,通过服务网关将加密的服务调度请求发送到业务中台进行校验,从而提高了服务调度的安全性。
基于以上实施例提供的方法,本申请实施例还提供了一种服务调度装置,以下结合附图介绍该服务调度装置。
参见图6,该图为本申请实施例提供的一种服务调度装置的结构示意图。
本申请实施例提供的服务调度装置600,应用于服务网关,包括:获取单元601、发送单元602。
获取单元601,用于基于预设的两级互信协议通过业务系统获取用户的服务调度请求,服务调度请求包含加密参数;
发送单元602,用于通过预先设置的服务路由将服务调度请求发送到对应的业务中台,以使业务中台对服务调度请求的加密参数进行签名校验,若校验通过,则向服务网关返回对应的中台服务;
发送单元602,还用于通过业务系统向用户提供中台服务。
在一种可能的实现方式中,该装置,还包括:
限流单元,用于根据业务中台的服务需要,对服务调度请求进行限流控制,当服务调度请求达到预设的限流条件时,通过业务系统向用户返回服务调度失败的结果。
在一种可能的实现方式中,该装置,还包括:
熔断单元,用于当服务网关出现故障时,将所有服务的状态的设置为熔断状态;对熔断状态进行查看,其中,熔断状态包括预设时间段内的服务质量信息。
在一种可能的实现方式中,该装置,还包括:
隔离单元,用于通过预设的隔离设备服务的穿透能力,对外网的业务系统的接口进行授权;通过信息安全网络隔离装置获取经过授权的外网的业务系统的服务调度请求。
在一种可能的实现方式中,该装置,还包括:
调整单元,用于根据业务系统的业务需求,根据预设的弹性伸缩策略对服务路由和鉴权资源的响应能力进行调整。
在一种可能的实现方式中,该装置,还包括:
监控单元,用于基于云平台提供对中台服务对应的服务监控能力,服务监控能力包括对企业服务总线关键组件的监控,对服务调用情况的监控,对服务调用日志的监控,对服务调用链路的监控。
由于装置600是与以上方法实施例提供的服务调度方法对应的装置,装置600的各个单元的具体实现,均与以上方法实施例为同一构思,因此,关于装置600的各个单元的具体实现,可以参考以上方法实施例关于服务调度方法的描述部分,此处不再赘述。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑业务划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各业务单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件业务单元的形式实现。
集成的单元如果以软件业务单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的业务可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些业务存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上仅为本发明的具体实施方式而已。
以上,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种服务调度方法,其特征在于,所述方法应用于服务网关,所述服务网关部署于各个业务中台,所述方法包括:
基于预设的两级互信协议通过业务系统获取用户的服务调度请求,所述服务调度请求包含加密参数;
通过预先设置的服务路由将所述服务调度请求发送到对应的业务中台,以使所述业务中台对所述服务调度请求的加密参数进行签名校验,若校验通过,则向所述服务网关返回对应的中台服务;
通过所述业务系统向所述用户提供所述中台服务。
2.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
根据所述业务中台的服务需要,对所述服务调度请求进行限流控制,当所述服务调度请求达到预设的限流条件时,通过所述业务系统向所述用户返回服务调度失败的结果。
3.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
当所述服务网关出现故障时,将所有服务的状态的设置为熔断状态;
对所述熔断状态进行查看,其中,所述熔断状态包括预设时间段内的服务质量信息。
4.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
通过预设的隔离设备服务的穿透能力,对外网的业务系统的接口进行授权;
通过信息安全网络隔离装置获取经过授权的所述外网的业务系统的服务调度请求。
5.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
根据所述业务系统的业务需求,根据预设的弹性伸缩策略对服务路由和鉴权资源的响应能力进行调整。
6.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
基于云平台提供对所述中台服务对应的服务监控能力,所述服务监控能力包括对企业服务总线关键组件的监控,对服务调用情况的监控,对服务调用日志的监控,对服务调用链路的监控。
7.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
将各个业务中台的业务系统进行合并,并将合并后的业务系统的应用数据进行导入,并梳理所述各个业务中台的接口信息,对所述接口信息进行注册,以使得将所述服务网关部署于所述各个业务中台。
8.一种服务调度装置,其特征在于,所述装置应用于服务网关,所述装置包括:
获取单元,用于基于预设的两级互信协议通过业务系统获取用户的服务调度请求,所述服务调度请求包含加密参数;
发送单元,用于通过预先设置的服务路由将所述服务调度请求发送到对应的业务中台,以使所述业务中台对所述服务调度请求的加密参数进行签名校验,若校验通过,则向所述服务网关返回对应的中台服务;
所述发送单元,还用于通过所述业务系统向所述用户提供所述中台服务。
9.根据权利要求8所述的装置,其特征在于,所述装置,还包括:
限流单元,用于根据所述业务中台的服务需要,对所述服务调度请求进行限流控制,当所述服务调度请求达到预设的限流条件时,通过所述业务系统向所述用户返回服务调度失败的结果。
10.根据权利要求8所述的装置,其特征在于,所述装置,还包括:
熔断单元,用于当所述服务网关出现故障时,将所有服务的状态的设置为熔断状态;对所述熔断状态进行查看,其中,所述熔断状态包括预设时间段内的服务质量信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311524571.0A CN117749892A (zh) | 2023-11-15 | 2023-11-15 | 一种服务调度方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311524571.0A CN117749892A (zh) | 2023-11-15 | 2023-11-15 | 一种服务调度方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117749892A true CN117749892A (zh) | 2024-03-22 |
Family
ID=90253466
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311524571.0A Pending CN117749892A (zh) | 2023-11-15 | 2023-11-15 | 一种服务调度方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117749892A (zh) |
-
2023
- 2023-11-15 CN CN202311524571.0A patent/CN117749892A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11645309B2 (en) | Discovery of database and related services | |
| CN110543464B (zh) | 一种应用于智慧园区的大数据平台及操作方法 | |
| US11431568B2 (en) | Discovery of software bus architectures | |
| CN109559258B (zh) | 教育资源公共服务系统 | |
| US8887176B2 (en) | Network management system event notification shortcut | |
| US8782203B2 (en) | Propagating accelerated events in a network management system | |
| CN111752795A (zh) | 一种全流程监控报警平台及其方法 | |
| US12021832B1 (en) | Local controller for local API authorization method and apparatus | |
| CN113961245B (zh) | 一种基于微服务应用的安全防护系统、方法及介质 | |
| CN112925646A (zh) | 一种电力数据边缘计算系统以及计算方法 | |
| FR2914803A1 (fr) | Procede et dispositif de maintenance dans un aeronef | |
| US8244856B2 (en) | Network management system accelerated event desktop client | |
| CN108092936A (zh) | 一种基于插件架构的主机监控系统 | |
| CN110661811A (zh) | 一种防火墙策略管理方法及装置 | |
| Du | Application of information communication network security management and control based on big data technology | |
| CN116489214A (zh) | 一种基于微服务网关的统一服务调度方法、装置、介质及设备 | |
| CN113282431B (zh) | 异常数据处理方法及装置、存储介质及电子设备 | |
| CN119201196A (zh) | 一种基于中台架构实现多应用集成的系统 | |
| US8176160B2 (en) | Network management system accelerated event channel | |
| CN114338684A (zh) | 一种能源管理系统及方法 | |
| US20040122923A1 (en) | Systems and methods for improved multisite management of converged communication systems and computer systems | |
| CN113496002A (zh) | 一种基于移动中台的移动应用平台 | |
| CN117749892A (zh) | 一种服务调度方法及装置 | |
| CN113778709B (zh) | 接口调用方法、装置、服务器及存储介质 | |
| CN119248436A (zh) | 任务调度方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |