一种跨域通信系统、方法及存储介质与流程

电子通信装置的制造及其应用技术1.本技术涉及通信技术领域，尤其涉及一种跨域通信系统、方法及存储介质。背景技术：2.在网络通信场景中，通常会存在跨域通信。其中，基于网络内部安全程度的不同，进行通信的域可以分为可信域、半可信域以及不可信域。其中，可信域中的网络内部安全程度最高，通常不容易被恶意攻击；不可信域中的网路内部安全程度最低，例如直接与租户所使用的设备连接等，其被恶意攻击的风险较高；而半可信域的网络内部安全程度位于可信域与不可信域之间。3.在进行跨域通信时，可信域访问半可信域或者不可信域通常不容易存在安全风险，但是，当半可信域或者不可信域访问可信域时，可信域中的控制节点的网络端口会暴露给半可信域或不可信域，这会增加该可信域中控制节点的网络端口被恶意攻击的风险，降低了可信域的网络内部安全。技术实现要素：4.本技术提供了一种跨域通信系统，用于提高通信域中的不同节点进行通信时的安全性，提高可信域的网络内部安全。此外，本技术还提供了一种跨域通信方法、计算机可读存储介质以及计算机程序产品。5.第一方面，本技术提供了一种跨域通信系统，该跨域通信系统包括第一通信域以及第二通信域，其中，第一通信域中包括第一代理节点以及服务节点，并且第一通信域的内部网络安全低于预设标准(也可称之为半可信域或者不可信域)；而第二通信域中包括第二代理节点以及控制节点，并且第二通信域的内部网络安全高于该预设标准(也可称之为可信域)。在进行跨域通信时，第一代理节点用于向第二代理节点发送待传输数据，该待传输数据来源于服务节点；第二代理节点用于接收并存储该待传输数据，而控制节点可以获取该第二代理节点中存储的待传输数据，例如控制节点可以是通过主动轮询的方式从第二代理节点中获取待传输数据，或者由第二代理节点主动将待传输数据发送给控制节点等。6.由于在跨域通信过程中，第一通信域中的待传输数据并非直接被传输至第二通信域中的控制节点，而是先将待传输数据发送给第二通信域中的第二代理节点，然后控制节点从第二代理节点中获取监控数据。这样，虽然第一通信域为内部网络安全低于预设标准的不可信域或者半可信域，但是在跨域通信过程中，第二通信域向第一通信域暴露的网络端口只是第二代理节点的网络端口，而并非为控制节点的网络端口，如此，第二通信域的网络安全程度因为控制节点的网络端口没有被暴露而不被降低，从而可以提高第一通信域与第二通信域之间的跨域通信的安全性。7.在一种可能的实施方式中，第一通信域中还包括中间节点，则第一代理节点在向第二代理节点发送待传输数据时，具体可以是通过中间节点向第二代理节点发送待传输数据。示例性地，该中间节点例如可以是存储数据库，如redis等。8.在一种可能的实施方式中，待传输数据在从第一通信域传输至第二通信域的过程中，中间节点具体用于接收来自第一代理节点的数据上报指令，该数据上报指令包括待传输数据；然后，中间节点可以对该数据上报指令进行安全性认证，并且当该数据上报指令通过安全性认证后，再向第二代理节点发送该待传输数据。反之，当数据上报指令未通过安全性认证时，中间节点可以拒绝转发该待传输数据。如此，通过在中间节点转发待传输数据的过程中增加一重安全性认证，可以进一步提高跨域传输数据时的安全性。9.在一种可能的实施方式中，中间节点在对数据上报指令进行安全性认证时，具体包括认证该数据上报指令中的命令字是否匹配预设命令字，和/或，认证数据上报指令中的节点标识是否与服务节点的标识相匹配。当然，本技术实施例中对于中间节点认证数据上报指令的具体实现方式并不进行限定。10.在一种可能的实施方式中，中间节点执行指令的频率可以不超过预设频率，因此，当中间节点确定当前周期(如1秒)内所执行的指令数量达到该预设频率对应的数量后，可以暂停数据上报指令的执行，并等到下一个周期再执行该数据上报指令，而若未达到该预设频率对应的数据，中间节点可以执行该数据上报指令并转发待传输数据。11.在一种可能的实施方式中，第二代理节点中包括服务节点对应的数据缓存队列，而控制节点在从第二代理节点中获取待传输数据时，具体可以是从数据缓存队列中获取该待传输数据。在其它示例中，第二代理节点也可以是通过除缓存队列的其它方式来存储待传输数据，本技术实施例对此并不进行限定。12.在一种可能的实施方式中，第二通信域可以主动与第一通信域进行通信，具体的，第二代理节点还可以向第一代理节点发送控制指令，该控制指令用于控制服务节点执行目标业务。示例性地，第二代理节点可以通过中间节点向第一代理节点发送控制指令。13.在一种可能的实施方式中，第二代理节点包括服务节点对应的指令缓存队列，该指令缓存指令用于存储下发给相应服务节点的指令；相应的，中间节点可以接收控制节点发送的控制指令，并将该控制指令添加至指令缓存队列中进行缓存，以便第一代理节点从指令缓存队列中拉取该控制指令。14.在一种可能的实施方式中，中间节点在控制节点下发的控制指令进行安全性认证，以提高跨域通信时的安全性。15.第二方面，本技术提供一种跨域通信方法，该方法应用于跨域通信系统，该跨域通信系统包括第一通信域与第二通信域，其中，第一通信域中包括第一代理节点以及服务节点，并且第一通信域的内部网络安全低于预设标准，而第二通信域的内部网络安全高于预设标准，并且第二通信域中包括第二代理节点以及控制节点，该方法具体包括：第一代理节点向第二代理节点发送待传输数据，该待传输数据来源于服务节点；然后，第二代理节点接收并存储待传输数据，而控制节点获取第二代理节点中存储的待传输数据。16.在一种可能的实施方式中，第一通信域还包括中间节点，则第一代理节点向第二代理节点发送待传输数据时，具体可以是第一代理节点向中间节点发送待传输数据；而中间节点将待传输数据转发给第二代理节点。17.在一种可能的实施方式中，所述第一代理节点通过中间节点向第二代理节点发送待传输数据时，具体可以是第一代理节点向所述中间节点发送数据上报指令，该数据上报指令包括待传输数据；然后，中间节点对该数据上报指令进行安全性认证，并且当数据上报指令通过安全性认证后，中间节点向第二代理节点发送该待传输数据。18.在一种可能的实施方式中，对数据上报指令进行安全性认证，具体包括认证数据上报指令中的命令字是否匹配预设命令字，和/或，认证数据上报指令中的节点标识是否与服务节点的标识相匹配。19.在一种可能的实施方式中，中间节点执行来自第一代理节点的指令的频率不超过预设频率。20.在一种可能的实施方式中，第二代理节点包括服务节点对应的数据缓存队列；则控制节点在获取所述第二代理节点中存储的所述待传输数据时，具体可以是从服务节点对应的数据缓存队列中获取待传输数据。21.在一种可能的实施方式中，方法还包括：第二代理节点向第一代理节点发送控制指令，该控制指令用于控制服务节点执行目标业务。22.在一种可能的实施方式中，第二代理节点包括服务节点对应的指令缓存队列，则方法还包括：中间节点接收控制节点发送的控制指令，并将该控制指令添加至该服务节点对应的指令缓存队列。23.在一种可能的实施方式中，方法还包括：中间节点对控制指令进行安全性认证。24.第三方面，本技术提供一种跨域通信装置，所述数据提供装置应用于上述第二代理节点，所述跨域通信装置包括用于实现第二方面或第二方面任一种可能实现方式中第一代理节点执行的跨域通信方法的各个模块。25.第四方面，本技术提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在多个计算机设备上运行时，使得多个计算机设备执行上述第二方面或第二方面的任一种实现方式所述的方法。具体的，所述多个计算机设备中的第一计算机设备，运行计算机可读存储介质中的指令，可以实现上述第二方面中第二代理节点所执行的方法；其中，该第一计算机设备包括至少一个计算机设备。所述多个计算机设备中的第二计算机设备，运行计算机可读存储介质中的指令，可以实现上述第二方面中第一代理节点所执行的方法；其中，该第二计算机设备包括至少一个计算机设备。26.在一种可能的实施方式中，所述多个计算机设备中还包括第三计算机设备，运行计算机可读存储介质中的指令，可以实现上述第二方面中中间节点所执行的方法；其中，该第三计算机设备包括至少一个计算机设备。27.第五方面，本技术提供了一种包含指令的计算机程序产品，当其在多个计算机设备上运行时，使得多个计算机设备执行上述第二方面或第二方面的任一种实现方式所述的方法。具体的，所述多个计算机设备中的第一计算机设备，运行包含指令的计算机程序产品，可以实现上述第二方面中第一代理节点所执行的方法；其中，该第一计算机设备包括至少一个计算机设备。所述多个计算机设备中的第二计算机设备，运行包含指令的计算机程序产品，可以实现上述第二方面中第二代理节点所执行的方法；其中，该第二计算机设备包括至少一个计算机设备。28.在一种可能的实施方式中，所述多个计算机设备中的第三计算机设备，运行包含指令的计算机程序产品，可以实现上述第二方面中中间节点所执行的方法；其中，该第三计算机设备包括至少一个计算机设备。29.本技术在上述各方面提供的实现方式的基础上，还可以进行进一步组合以提供更多实现方式。附图说明30.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其它的附图。31.图1为一种跨域通信系统的架构示意图；32.图2为本技术实施例提供的一种跨域通信系统的架构示意图；33.图3为本技术实施例提供的又一种跨域通信系统的架构示意图；34.图4为本技术实施例提供的一种跨域通信方法的流程示意图；35.图5为本技术实施例提供的一种数据缓存队列的具体数据结构的示意图；36.图6为本技术实施例提供的再一种跨域通信系统的架构示意图；37.图7为本技术实施例提供的另一种跨域通信方法的流程示意图；38.图8为本技术实施例提供的又一种跨域通信方法的流程示意图；39.图9为本技术实施例提供的一种指令缓存队列的具体数据结构的示意图；40.图10本技术实施例提供的代理节点1023接入中间节点1025的实现过程示意图；41.图11为本技术实施例提供的一种计算机设备1100的结构示意图；42.图12为本技术实施例提供的又一种计算机设备1200的结构示意图；43.图13为本技术实施例提供的再一种计算机设备1300的结构示意图；44.图14为本技术实施例提供的再一种计算机设备1400的结构示意图。具体实施方式45.本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解，这样使用的术语在适当情况下可以互换，这仅仅是描述本技术的实施例中对相同属性的对象在描述时所采用的区分方式。46.参见图1，为一种跨域通信系统的具体架构。如图1所示，跨域通信系统100中可以包括通信域101以及通信域102，其中，通信域101中包括至少一个控制节点1011，通信域102中包括至少一个服务节点，图1中以通信域102包括服务节点1021以及服务节点1022为例进行说明。其中，控制节点1011可以跨域向服务节点1021和/或服务节点1022下发控制指令，以控制服务节点1021和/或服务节点1022提供相应的服务，如人脸识别服务、人工智能(artificial intelligence，ai)计算服务等；同时，服务节点1021和/或服务节点1022可以跨通信域向控制节点1011上报数据，如上报服务节点的监控数据等。47.在跨域通信系统100中，通信域101的内部网络安全高于预设标准，属于可信域，而通信域102的内部网络安全低于该预设标准，属于不可信域(如通信域102中的服务节点1021和/或服务节点1022与租户直连，内部网络安全较低)或半可信域。其中，评判通信域是否为可信域的预设标准，例如可以是预设网络安全等级、评判网络是否安全的条件(如其中的节点是否与租户连接)等，本实施例对此并不进行限定。若控制节点1011跨域向服务节点1021和/或服务节点1022下发控制指令，则控制节点1011的网络端口可以不用暴露给通信域102，这使得控制节点1011在跨域通信过程或者完成跨域通信后，可以不会因为网络端口的暴露而遭受恶意攻击，从而通信域101的内部网络安全可以不被降低。但是，若服务节点1021和/或服务节点1022跨域向控制节点1011上报监控数据时，如上报关于节点自身的负载、cpu利用率、温度等数据，通常情况下，控制节点1011的网络端口需要告知给服务节点1021和/或服务节点1022才能完成监控数据的上报。这样，通信域102中的部分节点被攻击后，可能会基于暴露的控制节点1011的网络端口，向该控制节点1011发送大量的错误数据或错误指令进行攻击，使得控制节点1011会接收到大量的错误数据或执行错误指令，从而影响控制节点1011的正常运行，如无法监控到服务节点1021和/或服务节点1022发生异常，降低了通信域101的网络内部安全。48.基于此，本技术实施例提供了一种跨域通信系统，以提高跨域通信时通信域内的网络安全性。具体地，如图2所示的跨域通信系统200，在图1所示的跨域通信系统100的基础上，跨域通信系统200中，在通信域101内新增代理节点1012，并且在通信域102内为服务节点1021新增代理节点1023，为服务节点1022新增代理节点1024。49.实际部署时，新增的各代理节点可以是由软件实现，例如可以是运行在设备上的计算机程序等；或者，也可以是由硬件实现，如利用专用集成电路(application-specific integrated circuit，asic)实现，或可编程逻辑器件(programmable logic device，pld)实现，上述pld可以是复杂程序逻辑器件(complex programmable logical device，cpld)，现场可编程门阵列(field-programmable gate array，fpga)，通用阵列逻辑(generic array logic，gal)或其任意组合实现上述任意代理节点的功能。50.当通信域101为可信域、通信域102为不可信域或者半可信域时，以服务节点1021向控制节点1011上报监控数据为例，服务节点1021可以将监控数据发送给代理节点1023，再由代理节点1023将监控数据跨域发送给通信域101中的代理节点1012；代理节点1012接收并存储该监控数据，而控制节点1011可以周期性的轮询该代理节点1012，以获取该代理节点1012中存储的监控数据。其中，当服务节点1022向控制节点1011上报监控数据时，也可以参照上述过程，利用代理节点1024将监控数据上报给控制节点1011，本实施例对此不再进行赘述。51.由于在跨域通信过程中，通信域102中的监控数据并非直接被传输至通信域101中的控制节点1011，而是先将监控数据发送给通信域101中的代理节点1012，然后控制节点1011从代理节点1012中获取监控数据。这样，虽然通信域102为不可信域或者半可信域，但是在跨域通信过程中，通信域101向通信域102暴露的网络端口只是代理节点1012的网络端口，而并非为控制节点1011的网络端口，如此，通信域101的网络安全程度因为控制节点1011的网络端口没有被暴露而不被降低，从而可以提高通信域101与通信域102之间的跨域通信的安全性。52.值得注意的是，上述图2所述的跨域通信系统200仅作为一种示例性说明，并不用于限定本技术实施例的技术方案局限于图2所示示例。比如，图2所示的跨域通信系统200中，新增的代理节点可以作为组件集成于服务节点，而在其它可能的跨域通信系统中，新增的代理节点也可以单独部署于通信域中；或者，多个服务节点可以共用同一代理节点；又或者，参见图3所示的包括3个通信域的跨域通信系统300，并且服务节点1021所采集的监控数据在上报给通信域101后，通信域103中的控制节点1031再通过主动轮询等方式从通信域101的代理节点1012获取监控数据，此时，通信域103可以为可信域，而通信域101与通信域102均可以为不可信域或者半可信域等。本实施例中，对于跨域通信系统的具体部署方式并不进行非必要限定。53.为便于理解，下面结合附图，对本技术的实施例进行描述。54.参见图4，图4为本技术实施例提供的一种跨域通信方法的流程示意图。其中，图4所示的跨域通信方法可以应用于图2所示的跨域通信系统中，或者应用于其它可适用的跨域通信系统中。实际应用时，可以在跨域通信系统的通信域中独立部署代理节点，或者，各代理节点也可以是与其它节点集成部署。为便于说明，本实施例中以图2所示的跨域通信系统为例进行示例性说明。55.基于图2所示的跨域通信网络200，图4所示的流量处理方法具体可以包括：56.s401：服务节点1021将待传输数据发送给该服务节点1021对应的代理节点1023。57.作为一种实现示例，待传输数据，例如可以是服务节点101的监控数据，该监控数据，例如可以是服务节点101的负载、cpu占用率、内存利用率、端口流量、运行功率、运行温度等数据。实际应用时，服务节点101可以周期性的采集监控数据，并将其作为待传输数据发送给该代理节点1023，以便由代理节点1023将待传输数据发送给通信域101。58.当然，在其它可能的实现方式中，待传输数据也可以是服务节点101上报的其它数据，如通信域101中的控制节点1011在向服务节点1021下发控制指令后，服务节点101基于该控制指令执行相应的业务处理操作，并将业务处理得到的结果作为待传输数据反馈给通信域101。59.本实施例中，代理节点1023集成于服务节点1021，因此，服务节点1021可以通过相应的总线，如快捷外围部件互连标准(peripheral component interconnect express，pcie)总线等，将待传输数据发送给代理节点1023。在其它实施例中，服务节点1021与代理节点1023相互独立部署，则服务节点1021可以通过网络协议，如传输控制协议(tcp，transmission control protocol)等，将待传输数据发送给代理节点1023。60.s402：代理节点1023向通信域101中的代理节点1012发送待传输数据。61.本实施例中，代理节点1023与代理节点1012之间分别属于不同的通信域，因此，不同节点之间进行跨域通信时，可以通过tcp协议等网络协议传输数据。62.其中，通信域101中的控制节点1011与通信域102中的服务节点1021之间在进行数据通信之前，预先通过代理节点1012与代理节点1023建立通信连接，从而代理节点1023可以通过该通信连接将待传输数据发送给代理节点1012。此时，通信域101中暴露给通信域102的网络端口，即为该代理节点1012的网络端口，而控制节点1011的网络端口并没有暴露给通信域102。63.s403：代理节点1012接收并存储待传输数据。64.作为一种示例，代理节点1012包括数据缓存队列，并且，代理节点1012在接收到待传输数据后，可以将其写入数据缓存队列中进行存储。进一步地，由于实际应用时通信域102中可能存在多个服务节点均向控制节点101上报数据，因此，代理节点1012中可以包括多个数据缓存队列，并且，不同数据缓存队列用于存储不同服务节点上报的待传输数据。其中，代理节点1012可以预先建立服务节点与数据缓存队列之间的对应关系，并且一个数据缓存队列可以用于存储来自一个服务节点的待传输数据，也可以是用于存储来自多个服务节点的待传输数据。65.作为一种示例，数据缓存队列的具体数据结构可以如图5所示。其中，每个数据缓存队列包括队列标识以及多个数据区域，每个数据区域可以用于存储来自服务节点的待传输数据、服务节点的标识以及数据类型(如字符类型、整数类型、浮点数类型等)。当然，在其它可能的实施方式中，数据缓存队列的具体数据结构也可以是采用其它结构，或者，数据缓存队列中所存储的数据也可以是适应性的增加或者减少等。66.实际应用中，代理节点1012也可以是通过其它方式存储待传输数据，本实施例对此并不进行限定。67.s404：控制节点1011获取该代理节点1012中存储的待传输数据。68.在一种可能的实施方式中，控制节点1011可以周期性的轮询该代理节点1012，确定该代理节点1012中是否存储有服务节点1021上报的待传输数据，若存在，则从该代理节点102中读取待传输数据，如从数据缓存队列中读取待传输数据等。69.在另一种可能的实施方式中，代理节点1012也可以是主动将存储的待传输数据上报给控制节点1011。例如，代理节点1012在成功存储待传输数据后，可以基于该待传输数据生成相应的通信消息，该通信消息中可以携带有待传输数据，然后，代理节点1012将该通信消息发送给控制节点1011，以使得控制节点1011从该通知消息中解析出待传输数据。或者，代理节点1012可以统计其存储的待传输数据的数据量，并且，当待传输数据的数据量达到预设数据阈值时，代理节点1012可以将待传输数据发送给控制节点1011，或者通知控制节点1011访问代理节点1012，以获取待传输数据。70.由于控制节点1011与代理节点1012均位于通信域101内，因此，代理节点1012向控制节点1011发送待传输数据的过程，属于同一通信域内的数据通信过程，控制节点1011的网络端口暴露给代理节点1012，不会降低通信域101的内部网络安全。同时，通信域101所暴露给通信域102的网络端口，为代理节点1012的网络端口，而即使通信域102为不可信域，被攻击的网络端口也仅是代理节点1012的网络端口，这并不影响控制节点1011在通信域101内的数据通信与控制过程，从而通信域101的内部网络安全也不会被降低。71.图4所示的实施例中，通信域101内的代理节点1012与通信域102内的代理节点1023之间可以直接进行通信，而在其它可能的跨域通信场景中，代理节点1012与代理节点1023之间还可以通过中间节点实现数据传输，如图6所示，中间节点1025可以被部署于通信域102中。实际应用时，中间节点1025例如可以是存储数据库，如redis等。下面，基于图6所示的跨域通信系统600，对本技术实施例提供的另一种跨域通信方法进行详细介绍。如图7所示，该跨域通信方法包括：72.s701：服务节点1021将待传输数据发送给该服务节点1021对应的代理节点1023。73.s702：代理节点1023向中间节点1025发送数据上报指令，该数据上报指令中携带有待传输数据。74.本实施例中，代理节点1023与代理节点1012之间可以通过中间节点1025传输数据，因此，代理节点1023对于服务节点1021所要上报的待传输数据，可以将其转发给中间节点1025中。75.s703：中间节点1025对数据上报指令进行安全性认证。76.本实施例中，为进一步增加跨域通信过程中通信域102向通信域101发送数据的安全性，中间节点1025可以对代理节点1023发送的数据上报指令进行安全性认证，并且，当数据上报指令未通过安全性认证时，中间节点105可以不将该数据上报指令中的待传输数据发送给通信域101。77.作为一些示例，中间节点105在对数据上报指令进行安全性认证时，具体可以是认证数据上报指令中的命令字是否匹配预设命令字。具体地，中间节点1025中可以配置有命令字白名单，实际应用时，该命令字白名单可以是由技术人员或者管理员预先配置于中间节点1025，或者代理节点1023在启动时获取该命令字白名单，并将其发送给中间节点1025等。其中，命令字白名单中记录有一个或者多个命令字，如data.report、command.report、data.pull、command.pull、command.execute等。这样，中间节点1025在接收到代理节点1023发送的数据上报指令后，可以解析出该数据上报指令中的命令字，并将该命令字与命令字白名单进行匹配，具体可以是查询数据上报指令中的命令字是否与命令字白名单中记录的任意命令字一致。当命令字不匹配时，即确定安全性认证失败，则中间节点1025可以拒绝将该待传输数据转发至通信域101中，并可以返回错误提示。而当命令字匹配时，中间节点1025可以允许该待传输数据向通信域101的传输。78.或者，中间节点105在对数据上报指令进行安全性认证时，具体可以是认证数据上报指令中的节点标识是否与服务节点的标识相匹配。具体地，代理节点1023在接收到服务节点1021发送的待传输数据后，可以基于该待传输数据以及该服务节点1021的标识(如服务节点1021的id、名称等)生成数据上报指令，并将其发送给中间节点1025。中间节点1025在为服务节点1021转发待传输数据时，可以将接收到的数据上报指令中携带的服务节点的标识与服务节点1021的标识进行比对。若两个标识一致，表明中间节点1025并没有错误的为其它服务节点转发待传输数据，此时，安全性认证通过，从而中间节点1025可以转发该待传输数据至通信域101；而若两个标识不一致，即确定安全性认证失败，则，中间节点1025可以拒绝将该待传输数据转发至通信域101中，并可以返回错误提示。79.当然，实际应用时，中间节点1025也可以是同时认证数据上报指令中的命令字是否匹配预设命令字，以及认证数据上报指令中的节点标识是否与服务节点的标识相匹配。或者，中间节点1025也可以是执行其它的安全性认证过程，本实施例对此并不进行限定。80.s704：当数据上报指令通过安全性认证后，中间节点1025向代理节点1012发送待传输数据。81.示例性地，本实施例中可以限制中间节点1025执行指令的频率不超过预设频率。例如，可以限制中间节点1025执行来自通信域102的指令的频率为100条/秒，限制中间节点1025执行来自通信域101的指令的频率为1000条/秒等。其中，预设频率的取值，可以根据实际应用的需要进行设定，本实施例对此并不进行限定。82.当检查确定中间节点1025执行数据上报指令时，满足执行指令的频率不超过预设频率，则中间节点1025可以将待传输数据发送给通信域101中的代理节点1012。83.s705：代理节点1012接收并存储待传输数据。84.s706：控制节点1011获取该代理节点1012中存储的待传输数据。85.其中，控制节点1011可以主动轮询代理节点1012，以获取该待传输数据；或者，代理节点1012可以主动将待传输数据发送给控制节点1011。86.需要说明的是，本实施例中的步骤s701、s702、s705以及s706，与图4所示实施例中的步骤s401至步骤s404的具体实现过程类似，可参照前述实施例中的相关之处描述，在此不做赘述。87.上述实施例中，是以通信域102向通信域101发送数据的角度，对跨域通信过程进行示例性说明，下面结合图6以及图8，从通信域101向通信域102下发控制指令的角度，对跨域通信过程进行详细介绍。88.参见图8，示出了另一种跨域通信方法的流程示意图，该方法具体可以包括：89.s801：控制节点1011向中间节点1025发送控制指令，该控制指令用于指示服务节点1021执行目标业务。90.示例性地，控制节点1011指示服务节点1021执行的目标业务，例如可以是ai计算任务、人脸识别任务等，本实施例对此并不进行限定。91.s802：中间节点1025对接收到的控制指令进行安全性认证。92.具体实现时，中间节点1025可以解析出控制指令中的命令字，并查询该命令字是否与预先配置的命令字白名单中记录的任意命令字相匹配，该命令字白名单中记录了一个或者多个命令字，如command.execute、data.report、command.report、data.pull、command.pull等。当命令字不匹配时，即确定安全性认证失败，则中间节点1025可以拒绝将控制指令转发至通信域102中。而当命令字匹配时，中间节点1025可以将控制指令发送至通信域102。93.或者，中间节点1025可以解析出控制指令中包括的服务节点的标识，并将该标识与服务节点1021的标识进行比对。若两个标识一致，即确定安全性认证通过，中间节点1025可以转发该控制指令至通信域101；而若两个标识不一致，即确定安全性认证失败，则，中间节点1025可以拒绝转发该控制指令。94.当然，实际应用时，中间节点1025也可以是同时认证控制指令中的命令字是否匹配预设命令字，以及认证控制指令中的节点标识是否与服务节点的标识相匹配。或者，中间节点1025也可以是执行其它的安全性认证过程，本实施例对此并不进行限定。95.s803：中间节点1025将控制指令发送给代理节点1012。96.s804：代理节点1012接收并在指令缓存队列中保存控制指令。97.作为一种示例，代理节点1012包括指令缓存队列，并且，代理节点1012在接收到中间节点1012转发的控制指令后，可以将该控制指令写入指令缓存队列中进行存储。进一步地，由于实际应用时控制节点1011可以会向通信域102中的多个服务节点下发不同的控制指令，因此，代理节点1012中可以包括多个指令缓存队列，并且，不同指令缓存队列用于存储控制节点1011向不同服务节点下发的控制指令。其中，代理节点1012可以预先建立服务节点与指令缓存队列之间的对应关系，并且一个指令缓存队列可以用于存储控制节点1011向一个服务节点下发的控制指令，也可以是存储控制节点1011向多个服务节点下发的控制指令。98.举例来说，中间节点1025可以向代理节点1012发送command.execute命令，该command.execute命令中可以携带有控制指令以及服务节点1021的标识，从而代理节点1012在接收到该command.execute命令后，可以根据该命令中携带的服务节点1021的标识，确定存储控制指令的指令缓存队列，并将该命令中携带的控制指令添加至该指令缓存队列中。99.作为一种示例，指令缓存队列的具体数据结构可以如图9所示。其中，每个指令缓存队列包括队列标识以及多个指令区域，每个指令区域可以用于控制节点1011向服务节点下发的控制指令、该服务节点的标识以及其它信息。当然，在其它可能的实施方式中，指令缓存队列的具体数据结构也可以是采用其它结构，或者，指令缓存队列中所存储的内容也可以是适应性的增加或者减少等。100.在其它可能的实施例中，代理节点1012也可以是通过其它方式存储控制指令，本实施例对此并不进行限定。101.s805：代理节点1012将当前与中间节点1025之间的连接置为锁定(blocking)状态。102.本实施例中，在锁定代理节点1012与中间节点1025之间的连接后，代理节点1023(或者服务节点1021)可以无需周期性的轮询中间节点1025是否存在控制节点1011下发的控制指令。如此，可以减少代理节点1023(或者服务节点1021)因为轮询而产生的cpu、带宽等资源消耗。103.s806：中间节点1025通知代理节点1023当前存在针对服务节点1021的控制指令。104.示例性地，代理节点1023与中间节点1025进行连接后，可以实时跟踪服务节点1021对应的指令缓存队列中是否存在值(key)的变化，也即跟踪控制节点1011是否下发有控制指令。当中间节点1025与代理节点1023之间的连接被置为锁定状态后，中间节点1025可以向代理节点1023发送通知消息，该通知消息用于通知代理节点1023(服务节点1021对应的)指令缓存队列中的值发生变化，以便服务节点1021后续主动拉取变化的值(也即新下发的控制指令)。105.s807：代理节点1023向中间节点1025发送指令拉取命令，用于获取指令缓存队列中新增的控制指令。106.示例性地，代理节点1023向中间节点1025发送的指令拉取(command.pull)命令中可以携带有服务节点1021的标识，以便于利用该标识从服务节点1021对应的指令缓存队列中查找出新增的控制指令。107.s808：中间节点1025对指令拉取命令进行安全性认证。108.本实施例中，中间指令1025对指令拉取指令进行安全性认证的具体实现方式，与前述实施例中间节点1025对控制指令、数据上报指令的安全性认证方式类似，具体可参见前述实施例的相关之处描述，在此不做赘述。109.s809：当指令拉取命令通过安全性认证后，中间节点1025将该指令拉取命令转发给代理节点1012。110.s810：代理节点1012根据接收到的指令拉取命令，将控制节点1011下发的控制指令发送给代理节点1023。111.具体实现时，代理节点1012可以从接收到的指令拉取命令中解析出服务节点1021的标识，从而根据该服务节点1021的标识，从指令缓存队列中查找出属于服务节点1021的控制指令，并将查找出的控制指令发送给代理节点1023。112.s811：代理节点1023将控制指令转发给服务节点1021，以便由服务节点1021执行该控制指令。113.s812：服务节点1021向代理节点1023返回该控制指令的执行结果。114.s813：代理节点1023将执行结果反馈给代理节点1012。115.s814：代理节点1012将与中间节点1025之间的连接解除锁定。116.s815：代理节点1012将执行结果反馈给控制节点1011。117.实际应用时，在控制节点1011与服务节点1021进行通信之前，可以预先将代理节点1023接入中间节点1025。为便于理解，下面结合具体应用场景对代理节点1023的接入过程进行详细描述，在该应用场景中，基于图6所示的跨域通信系统，通信域102中还可以包括身份识别与权限管理(identity and access management，iam)节点、虚拟专有网络(virtual private cloud，vpc)、虚拟专有网络终端节点(virtual private cloud end point，vpcep)、证书服务节点以及云服务器(elastic compute service，ecs)，并且，通信域101中的控制节点1011可以向通信域发送相应的请求或指令，以便完成代理节点1023的接入。118.如图10所示，为代理节点1023接入中间节点1025的示例性实现过程，包括：119.s1001：控制节点1011向iam节点发送租户创建请求，该租户创建请求中携带有租户标识，并用于请求iam节点创建该租户并为其分配资源，如分配计算资源、存储资源、带宽资源等。120.实际应用时，iam在基于该租户创建请求完成租户创建以及资源分配后，可以向控制节点1011反馈创建成功的通知。121.s1002：控制节点1011向发送vpcep发送授权请求，该授权请求中携带有租户标识，并用于请求vpcep为新创建的租户授予接入服务节点1021的权限。122.实际应用中，vpcep可以为服务节点1021创建包括一个或者租户的白名单，并且服务节点1021可以为记录在该白名单上的租户提供相应的服务。这样，vpcep在接收到该授权请求后，可以在白名单中添加该新创建的租户，以便该租户接入服务节点1021后，能够由服务节点1021为该租户提供相应的服务。123.进一步地，vpcep在完成授权后，可以狭隘能够控制节点1011反馈授权成功的通知。124.s1003：控制节点1011向vpc发送vpc创建请求，以请求vpc为该租户创建vpc资源。125.如此，后续租户可以通过所请求的vpc资源，请求相应的服务等。126.实际应用时，vpc在成功创建vpc资源后，可以创建结果反馈给控制节点1011。127.s1004：控制节点1011向vpcep发送创建终端节点(endpoint)的请求，以请求vpcep为该租户在中间节点1025上创建vpc终端节点。128.vpc终端节点创建成功后，vpcep可以向控制节点1011返回创建成功的通知。129.s1005：控制节点1011指示证书服务节点为创建的vpc终端节点颁发证书。130.实际应用时，证书服务节点可以在成功颁发证书后，向控制节点1011反馈证书颁发结果。131.s1006：控制节点1011向ecs发送虚拟机创建请求，该虚拟机创建请求中携带有证书、中间节点1025的ip地址、虚拟机的标识以及服务节点1021的标识，用于请求ecs为该租户创建虚拟机。132.创建成功后，ecs可以向控制节点1011反馈创建成功的结果。133.s1007：代理节点1023启动运行时，从服务节点1021中读取证书以及中间节点1025的ip地址。134.s1008：代理节点1023基于中间节点1025的ip地址接入中间节点1025，并向中间节点1025提供证书。135.如此，后续代理节点1023可以通过与中间节点1025的连接，为服务节点1021上报监控数据，或者通过中间节点1025拉取控制节点1011下发的控制指令等。136.通常情况下，中间节点1025在确定与代理节点1023连接成功后，可以向代理节点1023反馈连接成功的通知。137.上述各实施例中，跨域通信过程所涉及到的控制节点1011、代理节点1012、代理节点1023以及中间节点1025均可以以单独的硬件设备实现，而在其它可能的实现方式中，其也可以是配置于计算机设备上的软件，并且，通过在计算机设备上运行该软件，可以使得计算机设备分别实现上述控制节点1011、代理节点1012、代理节点1023以及中间节点1025所具有的功能。下面，对跨域通信过程中所涉及的控制节点1011、代理节点1012、代理节点1023以及中间节点1025分别进行详细介绍。138.图11至图14提供了一种计算机设备。图11所示的计算机设备1100具体可以用于实现上述图2至图10所示实施例中控制节点1011的功能，图12所示的计算机设备1200具体可以用于实现上述图2至图9所示实施例中代理节点1012的功能，图13所示的计算机设备1300具体可以用于实现上述图2至图10所示实施例中代理节点1023的功能，图14所示的计算机设备1400具体可以用于实现上述图6至图10所示实施例中中间节点1025的功能。139.计算机设备1100包括总线1101、处理器1102、通信接口1103和存储器1104。处理器1102、存储器1104和通信接口1103之间通过总线1101通信。总线1101可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图11中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。通信接口1103用于与外部通信，例如接收终端发送的数据获取请求等。140.其中，处理器1102可以为中央处理器(central processing unit，cpu)。存储器1104可以包括易失性存储器(volatile memory)，例如随机存取存储器(random access memory，ram)。存储器1104还可以包括非易失性存储器(non-volatile memory)，例如只读存储器(read-only memory，rom)，快闪存储器，hdd或ssd。141.存储器1104中存储有可执行代码，处理器1102执行该可执行代码以执行前述控制节点1011所执行的方法。142.具体地，在实现图2至图10所示实施例的情况下，且图2至图10所示实施例中所描述的控制节点1011为通过软件实现的情况下，执行图2至图10中的控制节点1011的功能所需的软件或程序代码存储在存储器1004中，控制节点1011与其它设备的交互通过通信接口1003实现，处理器用于执行存储器1004中的指令，实现控制节点1011所执行的方法。143.计算机设备1200包括总线1201、处理器1202、通信接口1203和存储器1204。处理器1202、存储器1204和通信接口1203之间通过总线1201通信。计算机设备1200在实现图2至图9所示实施例的情况下，且图2至图9实施例中所描述的代理节点1012为通过软件实现的情况下，实现代理节点1012功能所需的软件或程序代码存储在存储器1204中。代理节点1012与其他设备进行交互的功能通过通信接口1203实现，处理器1202用于执行存储器1204中的指令，实现代理节点1012所执行的方法。144.计算机设备1300包括总线1301、处理器1302、通信接口1303和存储器1304。处理器1302、存储器1304和通信接口1303之间通过总线1301通信。计算机设备1300在实现图2至图9所示实施例的情况下，且图2至图9实施例中所描述的代理节点1023为通过软件实现的情况下，实现代理节点1023功能所需的软件或程序代码存储在存储器1304中。代理节点1023与其他设备进行交互的功能通过通信接口1303实现，处理器1302用于执行存储器1304中的指令，实现代理节点1023所执行的方法。145.计算机设备1400包括总线1401、处理器1402、通信接口1403和存储器1404。处理器1402、存储器1404和通信接口1403之间通过总线1401通信。计算机设备1400在实现图6至图10所示实施例的情况下，且图6至图10实施例中所描述的中间节点1025为通过软件实现的情况下，执行中间节点1025功能所需的软件或程序代码存储在存储器1404中。中间节点1025与其他设备进行交互的功能通过通信接口1403实现，处理器1402用于执行存储器1404中的指令，实现中间节点1025所执行的方法。146.此外，本技术实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在多个计算机设备上运行时，使得多个计算机设备执行上述实施例所述的方法。具体的，该多个计算机设备中可以包括有第一计算机设备，该第一计算机设备运行计算机可读存储介质中的指令，可以实现上述各实施例中代理节点1012所执行的方法。其中，该第一计算机设备包括至少一个计算机设备。147.在一些实施方式中，该多个计算机设备中还可以包括有第二计算机设备，并且，该第二计算机设备运行计算机可读存储介质中的指令，可以实现上述各实施例中代理节点1023所执行的方法。其中，该第二计算机设备包括至少一个计算机设备。148.在进一步可能的实施方式中，该多个计算机设备中还可以包括有第三计算机设备，并且，该第三计算机设备运行计算机可读存储介质中的指令，可以实现上述实施例中中间节点1025所执行的方法；其中，该第三计算机设备包括至少一个计算机设备。149.本技术实施例还提供了一种计算机程序产品，所述计算机程序产品被多个计算机执行时，所述多个计算机执行前述数据提供方法的任一方法。该计算机程序产品可以为一个软件安装包，在需要使用前述数据提供方法的任一方法的情况下，可以下载该计算机程序产品并在计算机上执行该计算机程序产品。150.另外需说明的是，以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本技术提供的装置实施例附图中，模块之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。151.通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本技术可借助软件加必需的通用硬件的方式来实现，当然也可以通过专用硬件包括专用集成电路、专用cpu、专用存储器、专用元器件等来实现。一般情况下，凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现，而且，用来实现同一功能的具体硬件结构也可以是多种多样的，例如模拟电路、数字电路或专用电路等。但是，对本技术而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在可读取的存储介质中，如计算机的软盘、u盘、移动硬盘、rom、ram、磁碟或者光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，训练设备，或者网络设备等)执行本技术各个实施例所述的方法。152.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。153.所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本技术实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、训练设备或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、训练设备或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的训练设备、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solid state disk，ssd))等。









图片声明：本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!




内容声明：本文中引用的各种信息及资料（包括但不限于文字、数据、图表及超链接等）均来源于该信息及资料的相关主体（包括但不限于公司、媒体、协会等机构）的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理！本站为非盈利性质站点,发布内容不收取任何费用也不接任何广告!




免责声明：我们致力于保护作者版权，注重分享，被刊用文章因无法核实真实出处，未能及时与作者取得联系，或有版权异议的，请联系管理员，我们会立即处理，本文部分文字与图片资源来自于网络，部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!的,若有来源标注错误或侵犯了您的合法权益，请立即通知我们，情况属实，我们会第一时间予以删除，并同时向您表示歉意,谢谢!