本發明涉及通信,尤其涉及一種流量管理方法、裝置及設備。
背景技術:
1、微隔離(micro-segmentation)作為東西向流量精細化控制的典型技術,最早由gartner在其軟件定義的數據中心(sddc)的相關技術體系中提出,用于提供主機(如虛擬機、容器)間安全訪問控制(區別于過去的安全域間的安全訪問控制),并對東西向流量進行可視化管理。典型的微隔離方案是基于主機代理的方案,即在服務器或者虛擬機中安裝代理,收集流量信息,上報給微隔離管理端來進行分析,生成安全策略下發給代理,由代理根據安全策略對收到的流量進行安全控制。
2、但是,在基于第三方代理的微隔離方案中,由于網元中的微隔離插件(agent等)會過濾流量,收集流量五元組信息,周期性上報流量信息,會占用網元虛擬機的cpu、內存等相關的資源,特別地,對于大流量場景,微隔離和網元都對資源有需求。在網元cpu或內存因為業務故障或攻擊達到性能閾值,并持續一定時間時,現有機制是直接停掉微隔離插件,待業務恢復正常用再啟動,由此實現微隔離對業務的韌性(健壯性)保護。這種方式,雖然能夠給業務讓出一定的計算資源,但是卻無法檢測異常流量,如果攻擊者在微隔離插件停止工作后,發起異常流量引起的攻擊,將由于缺乏有效的異常流量監測手段,導致問題定位時間延長,從而進一步導致問題處置時間和業務恢復時間延長。
3、由上,現有技術中的流量管理方案存在安全不足等問題。
技術實現思路
1、本發明的目的在于提供一種流量管理方法、裝置及設備,以解決現有技術中的流量管理方案存在安全不足的問題。
2、為了解決上述技術問題,本發明實施例提供一種流量管理方法,應用于第一設備,包括:
3、接收第二設備發送的第一信息;所述第一信息包括:性能告警信息、性能監測信息以及降級請求信息中的至少一項;所述降級請求信息用于請求控制所述第二設備減少針對至少部分流量的上報或者監測與上報;
4、根據所述第一信息,確定管理指示;所述管理指示用于指示所述第二設備維持當前針對流量的監測與上報,或者,所述管理指示用于指示所述第二設備減少針對至少部分流量的上報或者監測與上報;
5、向所述第二設備發送所述管理指示。
6、可選的,所述根據所述第一信息,確定管理指示,包括:
7、根據所述第一信息,確定第二信息;所述第二信息包括:告警類型、告警等級以及告警事件產生時長中的至少一項;
8、根據所述第二信息,確定管理指示。
9、可選的,所述根據所述第二信息,確定管理指示,包括:
10、根據所述告警事件產生時長,確定所述告警類型對應的性能告警的第一時長;所述第一時長是指所述性能告警所達到的至少一個告警等級所對應的持續時長;
11、根據所述告警類型、告警等級以及所述第一時長,確定管理指示。
12、可選的,還包括:
13、向第三設備訂閱第二設備的性能告警信息;
14、其中,接收第二設備發送的性能告警信息,包括:
15、接收所述第二設備通過所述第三設備發送的性能告警信息。
16、可選的,所述向所述第二設備發送所述管理指示,包括:
17、直接向所述第二設備發送所述管理指示;
18、或者,通過第四設備向所述第二設備發送所述管理指示;
19、其中,所述第四設備包括:第三設備;或者,所述第四設備包括:第三設備和虛擬化網元功能vnf中的管理虛擬機,所述第二設備設于所述vnf中的業務虛擬機中。
20、本發明實施例還提供了一種流量管理方法,應用于第二設備,包括:
21、向第一設備發送第一信息;所述第一信息包括:性能告警信息、性能監測信息以及降級請求信息中的至少一項;所述降級請求信息用于請求控制所述第二設備減少針對至少部分流量的上報或者監測與上報;
22、接收所述第一設備發送的管理指示;所述管理指示用于指示所述第二設備維持當前針對流量的監測與上報,或者,所述管理指示用于指示所述第二設備減少針對至少部分流量的上報或者監測與上報;
23、根據所述管理指示進行流量管理。
24、可選的,向第一設備發送性能告警信息,包括:
25、直接向第一設備發送性能告警信息;
26、或者,通過第三設備向第一設備發送性能告警信息。
27、可選的,還包括:
28、監測流量,得到所述性能告警信息;
29、和/或,獲取性能監測數據、告警等級以及告警事件產生時長;
30、根據所述性能監測數據、告警等級以及告警事件產生時長,得到所述性能監測信息和/或降級請求信息。
31、可選的,所述接收所述第一設備發送的管理指示,包括:
32、接收所述第一設備直接發送的管理指示;
33、或者,接收所述第一設備通過第四設備發送的管理指示;
34、其中,所述第四設備包括:第三設備;或者,所述第四設備包括:第三設備和vnf中的管理虛擬機,所述第二設備設于所述vnf中的業務虛擬機中。
35、本發明實施例還提供了一種流量管理裝置,應用于第一設備,包括:
36、第一接收模塊,用于接收第二設備發送的第一信息;所述第一信息包括:性能告警信息、性能監測信息以及降級請求信息中的至少一項;所述降級請求信息用于請求控制所述第二設備減少針對至少部分流量的上報或者監測與上報;
37、第一確定模塊,用于根據所述第一信息,確定管理指示;所述管理指示用于指示所述第二設備維持當前針對流量的監測與上報,或者,所述管理指示用于指示所述第二設備減少針對至少部分流量的上報或者監測與上報;
38、第一發送模塊,用于向所述第二設備發送所述管理指示。
39、可選的,所述根據所述第一信息,確定管理指示,包括:
40、根據所述第一信息,確定第二信息;所述第二信息包括:告警類型、告警等級以及告警事件產生時長中的至少一項;
41、根據所述第二信息,確定管理指示。
42、可選的,所述根據所述第二信息,確定管理指示,包括:
43、根據所述告警事件產生時長,確定所述告警類型對應的性能告警的第一時長;所述第一時長是指所述性能告警所達到的至少一個告警等級所對應的持續時長;
44、根據所述告警類型、告警等級以及所述第一時長,確定管理指示。
45、可選的,還包括:
46、第一處理模塊,用于向第三設備訂閱第二設備的性能告警信息;
47、其中,接收第二設備發送的性能告警信息,包括:
48、接收所述第二設備通過所述第三設備發送的性能告警信息。
49、可選的,所述向所述第二設備發送所述管理指示,包括:
50、直接向所述第二設備發送所述管理指示;
51、或者,通過第四設備向所述第二設備發送所述管理指示;
52、其中,所述第四設備包括:第三設備;或者,所述第四設備包括:第三設備和虛擬化網元功能vnf中的管理虛擬機,所述第二設備設于所述vnf中的業務虛擬機中。
53、本發明實施例還提供了一種流量管理裝置,應用于第二設備,包括:
54、第二發送模塊,用于向第一設備發送第一信息;所述第一信息包括:性能告警信息、性能監測信息以及降級請求信息中的至少一項;所述降級請求信息用于請求控制所述第二設備減少針對至少部分流量的上報或者監測與上報;
55、第二接收模塊,用于接收所述第一設備發送的管理指示;所述管理指示用于指示所述第二設備維持當前針對流量的監測與上報,或者,所述管理指示用于指示所述第二設備減少針對至少部分流量的上報或者監測與上報;
56、第二處理模塊,用于根據所述管理指示進行流量管理。
57、可選的,向第一設備發送性能告警信息,包括:
58、直接向第一設備發送性能告警信息;
59、或者,通過第三設備向第一設備發送性能告警信息。
60、可選的,還包括:
61、第三處理模塊,用于監測流量,得到所述性能告警信息;
62、和/或,獲取性能監測數據、告警等級以及告警事件產生時長;
63、根據所述性能監測數據、告警等級以及告警事件產生時長,得到所述性能監測信息和/或降級請求信息。
64、可選的,所述接收所述第一設備發送的管理指示,包括:
65、接收所述第一設備直接發送的管理指示;
66、或者,接收所述第一設備通過第四設備發送的管理指示;
67、其中,所述第四設備包括:第三設備;或者,所述第四設備包括:第三設備和vnf中的管理虛擬機,所述第二設備設于所述vnf中的業務虛擬機中。
68、本發明實施例還提供了一種流量管理設備,所述流量管理設備為第一設備,包括:處理器和收發機;
69、所述處理器,用于通過所述收發機接收第二設備發送的第一信息;所述第一信息包括:性能告警信息、性能監測信息以及降級請求信息中的至少一項;所述降級請求信息用于請求控制所述第二設備減少針對至少部分流量的上報或者監測與上報;
70、根據所述第一信息,確定管理指示;所述管理指示用于指示所述第二設備維持當前針對流量的監測與上報,或者,所述管理指示用于指示所述第二設備減少針對至少部分流量的上報或者監測與上報;
71、通過所述收發機,向所述第二設備發送所述管理指示。
72、可選的,所述根據所述第一信息,確定管理指示,包括:
73、根據所述第一信息,確定第二信息;所述第二信息包括:告警類型、告警等級以及告警事件產生時長中的至少一項;
74、根據所述第二信息,確定管理指示。
75、可選的,所述根據所述第二信息,確定管理指示,包括:
76、根據所述告警事件產生時長,確定所述告警類型對應的性能告警的第一時長;所述第一時長是指所述性能告警所達到的至少一個告警等級所對應的持續時長;
77、根據所述告警類型、告警等級以及所述第一時長,確定管理指示。
78、可選的,所述處理器還用于:
79、向第三設備訂閱第二設備的性能告警信息;
80、其中,接收第二設備發送的性能告警信息,包括:
81、接收所述第二設備通過所述第三設備發送的性能告警信息。
82、可選的,所述向所述第二設備發送所述管理指示,包括:
83、直接向所述第二設備發送所述管理指示;
84、或者,通過第四設備向所述第二設備發送所述管理指示;
85、其中,所述第四設備包括:第三設備;或者,所述第四設備包括:第三設備和虛擬化網元功能vnf中的管理虛擬機,所述第二設備設于所述vnf中的業務虛擬機中。
86、本發明實施例還提供了一種流量管理設備,所述流量管理設備為第二設備,包括:處理器和收發機;
87、所述處理器,用于通過所述收發機向第一設備發送第一信息;所述第一信息包括:性能告警信息、性能監測信息以及降級請求信息中的至少一項;所述降級請求信息用于請求控制所述第二設備減少針對至少部分流量的上報或者監測與上報;
88、通過所述收發機,接收所述第一設備發送的管理指示;所述管理指示用于指示所述第二設備維持當前針對流量的監測與上報,或者,所述管理指示用于指示所述第二設備減少針對至少部分流量的上報或者監測與上報;
89、根據所述管理指示進行流量管理。
90、可選的,向第一設備發送性能告警信息,包括:
91、直接向第一設備發送性能告警信息;
92、或者,通過第三設備向第一設備發送性能告警信息。
93、可選的,所述處理器還用于:
94、監測流量,得到所述性能告警信息;
95、和/或,獲取性能監測數據、告警等級以及告警事件產生時長;
96、根據所述性能監測數據、告警等級以及告警事件產生時長,得到所述性能監測信息和/或降級請求信息。
97、可選的,所述接收所述第一設備發送的管理指示,包括:
98、接收所述第一設備直接發送的管理指示;
99、或者,接收所述第一設備通過第四設備發送的管理指示;
100、其中,所述第四設備包括:第三設備;或者,所述第四設備包括:第三設備和vnf中的管理虛擬機,所述第二設備設于所述vnf中的業務虛擬機中。
101、本發明實施例還提供了一種流量管理設備,包括存儲器、處理器及存儲在所述存儲器上并可在所述處理器上運行的程序;所述處理器執行所述程序時實現上述第一設備側或第二設備側的流量管理方法。
102、本發明實施例還提供了一種可讀存儲介質,其上存儲有程序,該程序被處理器執行時實現上述第一設備側或第二設備側的流量管理方法中的步驟。
103、本發明實施例還提供了一種計算機程序產品,包括計算機指令,該計算機指令被處理器執行時實現上述第一設備側或第二設備側的流量管理方法的步驟。
104、本發明的上述技術方案的有益效果如下:
105、上述方案中,所述流量管理方法通過接收第二設備發送的第一信息;所述第一信息包括:性能告警信息、性能監測信息以及降級請求信息中的至少一項;所述降級請求信息用于請求控制所述第二設備減少針對至少部分流量的上報或者監測與上報;根據所述第一信息,確定第二信息;所述第二信息包括:告警類型、告警等級以及告警事件產生時長中的至少一項;根據所述第二信息,確定管理指示;所述管理指示用于指示所述第二設備維持當前針對流量的監測與上報,或者,所述管理指示用于指示所述第二設備減少針對至少部分流量的上報或者監測與上報;向所述第二設備發送所述管理指示;能夠支持實現微隔離的柔性管理,避免業務性能過載場景下直接關停第二設備(可實現為微隔離插件)導致的安全性問題,可以在實現一定程度安全檢測的同時,也能為業務讓出一定的資源,達到安全和業務之間的平衡,保護業務韌性,很好的解決現有技術中的流量管理方案存在安全不足的問題。