身份生成系统、方法及相关设备与流程

1.本技术涉及到计算机技术领域，具体而言，涉及一种身份生成系统、方法及相关设备。


背景技术：

2.本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。不应以此处的描述包括在本部分中就承认是现有技术。
3.微服务架构是一项在云中部署应用和服务的新技术，它将一个复杂的大型应用程序划分成多个微服务。在微服务场景下，存在大量的管控规则需要基于微服务节点的身份属性(身份属性为标识某个微服务节点的属性)进行计算处理，通过获取请求发起方的身份属性或者目标请求方的身份属性可以进行服务管控。在需要安全认证的场景下，作为服务端的微服务节点需要感知客户端微服务节点的身份属性，选择性允许具有某个身份属性的微服务节点进行请求，防止任意客户端发起恶意请求。在需要流量调度的场景下，作为客户端的微服务节点需要感知服务端微服务节点的身份属性，对于具有某个身份属性的微服务节点选择性调整流量比例，如app a(其中，app为应用程序application的英文缩写)和app b的流量比例为1：2，这种场景通常使用在流量灰度等情况下，选择性将小部分流量打入测试集群，以此来验证问题。
4.上面两个场景中的身份属性都需要一种方式去映射获取。对于微服务节点自身而言，其仅可以从环境中获取一些通用数据类型来作为身份属性标识该微服务节点，也即是这个微服务节点的基础身份属性，典型的基础身份属性如ip地址(其中，ip为internet protocol的外语缩写，中文名为网络之间互连的协议，简称网协)、主机名等属性类型，即基础身份属性是根据微服务节点的物理配置信息决定的。但是，从环境中获取到的基础身份属性并不能满足高度定制化的场景，如某个微服务节点属于某个应用程序、某个微服务节点属于某个开发环境等逻辑层面的逻辑身份属性，逻辑身份属性不是一个“物理”属性。典型的逻辑身份属性如应用、归属人、版本等属性类型，所以逻辑身份属性相对来说变更会比较频繁。
5.在进行微服务治理(如安全管控、流量调度等给系统提供可靠运行的系统保障措施)的过程中，微服务框架定义了各种各样的调度规则，而这些规则大多都需要通过特定的标识去识别集群中的机器。为了保证规则的高灵活性，规则中不可避免的除了ip地址、主机名等这些“物理”类型的身份属性外，还要支持可以配置逻辑身份属性。
6.由于微服务节点内进程的启动参数和环境是由用户通过一系列的工具构建的，也即是进程的参数、环境变量等在部署的过程中是可以控制的。那么让部署的运维人员在启动应用之前对每个微服务节点的参数都注入身份属性，如微服务节点node 1注入app a的身份属性、微服务节点node 2注入app b的身份属性。这样在应用程序启动以后就可以获取到这些身份属性，完成后续一系列的行为。但上述方案中身份属性的映射获取方式灵活性低，通过上述方案部署的微服务节点在逻辑身份属性变更之后，需要触发整个集群全量重
新部署，对于应用负责人、应用归属团队等这些变动频繁的逻辑身份属性，如果每次变更都需要计算集群重新部署，将对集群稳定性带来极大的冲击。
7.可见，在微服务生产实践过程中，由于微服务节点身份属性的映射灵活性低，当身份属性出现变更的时候会影响微服务节点本身的部署，即需要触发整个集群重新部署微服务节点，这将对集群稳定性带来极大的冲击，难以满足身份频繁变更的场景。


技术实现要素：

8.本技术实施例提供了一种身份生成系统、方法及相关设备，以至少解决现有技术中，微服务节点身份属性的映射灵活性低，当身份出现变更的时候会影响微服务节点本身的部署的问题。
9.根据本技术的一个方面，还提供了一种身份生成系统，包括：
10.节点调度平台，所述节点调度平台用于调取微服务节点的身份属性，所述身份属性为用于标识所述微服务节点的属性；
11.身份转换平台，用于获取身份转换信息，将所述身份属性按照所述身份转换信息，转换为另一种或多种身份属性，以获得包括另一种或多种身份属性的目标身份信息，并将所述目标身份信息下发至所述微服务节点。
12.在其中的一些实施例中，所述身份转换信息具有多种，所述身份转换平台还用于：
13.将所述身份属性按照多种所述身份转换信息进行连续转换，获得所需的目标身份属性或另外多种身份属性，以获得包括所述目标身份属性或另外多种身份属性的目标身份信息，并将所述目标身份信息下发至所述微服务节点，其中，另外多种身份属性为由每次转换获得的一种身份属性组成，所述目标身份属性为最后一次转换获得的身份属性。
14.在其中的一些实施例中，所述身份属性包括：部署集属性、节点组属性、应用程序属性、应用负责人属性、归属部门属性以及企业属性；所述身份转换信息包括：部署集配置信息、节点组映射至应用程序的转换信息、应用程序归属的负责人信息、人事组织架构信息、归属部门所属企业信息；其中，所述身份转换平台用于：
15.将所述部署集属性按照所述部署集配置信息转换成所述节点组属性，将所述节点组属性按所述节点组映射至应用程序的转换信息转换成所述应用程序属性，将所述应用程序属性按所述应用程序归属的负责人信息转换成所述应用负责人属性，将所述应用负责人属性按所述人事组织架构信息转换成所述归属部门属性，将所述归属部门属性按所述归属部门所属企业信息转换为所述企业属性。
16.在其中的一些实施例中，所述微服务节点具有多种属性类型的所述身份属性，所述身份转换信息具有类型转换子信息和属性转换子信息，其中，所述身份转换平台用于：按照所述类型转换子信息，将所述身份属性所属的所述属性类型转换为另一种或多种属性类型；按照所述属性转换子信息，将所述身份属性转换为所述另一种或多种属性类型下的身份属性，以获得包括另一种或多种身份属性的目标身份信息。
17.在其中的一些实施例中，所述微服务节点具有多种属性类型的所述身份属性，所述身份转换信息包括类型转换子信息，所述系统还包括：
18.外置身份管理中心，所述外置身份管理中心存储有所述身份属性与另一种或多种属性类型下的身份属性之间映射关系的属性映射信息；
19.所述身份转换平台用于：按照所述类型转换子信息，将所述身份属性所属的所述属性类型转换为另一种或多种属性类型；将待转换的所述身份属性发送至所述外置身份管理中心；接收所述外置身份管理中心根据待转换的所述身份属性和所述属性映射信息，返回的所述另一种或多种属性类型下的身份属性，以获得包括另一种或多种身份属性的目标身份信息。
20.在其中的一些实施例中，所述身份属性包括基础身份属性和逻辑身份属性，所述身份转换平台用于：将所述基础身份属性，按照所述身份转换信息，转换为另一种或多种所述逻辑身份属性，以获得包括另一种或多种所述逻辑身份属性的目标身份信息，并将所述目标身份信息下发至所述微服务节点。
21.根据本技术的另一个方面，还提供了一种身份生成方法，所述方法应用于身份转换平台，所述方法包括：
22.获取由节点调度平台调取的微服务节点的身份属性，所述身份属性为用于标识所述微服务节点的属性；
23.获取身份转换信息，将所述身份属性按照所述身份转换信息，转换为另一种或多种身份属性，以获得包括另一种或多种身份属性的目标身份信息；
24.将所述目标身份信息下发至所述微服务节点，以使所述微服务节点获得所述目标身份信息。
25.在其中的一些实施例中，所述身份转换信息具有多种，获取由节点调度平台调取的微服务节点的身份属性之后，所述方法还包括：
26.将所述身份属性按照多种所述身份转换信息进行连续转换，获得所需的目标身份属性或另外多种身份属性，以获得包括所述目标身份属性或另外多种身份属性的目标身份信息，并将所述目标身份信息下发至所述微服务节点，其中，另外多种身份属性为由每次转换获得的一种身份属性组成，所述目标身份属性为最后一次转换获得的身份属性。
27.在其中的一些实施例中，所述身份属性包括：部署集属性、节点组属性、应用程序属性、应用负责人属性、归属部门属性以及企业属性；所述身份转换信息包括：部署集配置信息、节点组映射至应用程序的转换信息、应用程序归属的负责人信息、人事组织架构信息、归属部门所属企业信息；其中，将所述身份属性按照多种所述身份转换信息进行连续转换，获得所需的目标身份属性或另外多种身份属性的步骤包括：
28.将所述部署集属性按照所述部署集配置信息转换成所述节点组属性，将所述节点组属性按所述节点组映射至应用程序的转换信息转换成所述应用程序属性，将所述应用程序属性按所述应用程序归属的负责人信息转换成所述应用负责人属性，将所述应用负责人属性按所述人事组织架构信息转换成所述归属部门属性，将所述归属部门属性按所述归属部门所属企业信息转换为所述企业属性。
29.在其中的一些实施例中，所述微服务节点具有多种属性类型的所述身份属性，所述身份转换信息包括类型转换子信息和属性转换子信息，其中，将所述身份属性按照所述身份转换信息，转换为另一种或多种身份属性的步骤包括：
30.按照所述类型转换子信息，将所述身份属性所属的所述属性类型转换为另一种或多种属性类型；
31.按照所述属性转换子信息，将所述身份属性转换为所述另一种或多种属性类型下
的身份属性，以获得包括另一种或多种身份属性的目标身份信息。
32.在其中的一些实施例中，所述微服务节点具有多种属性类型的所述身份属性，所述身份转换信息包括类型转换子信息，将所述身份属性按照所述身份转换信息，转换为另一种或多种身份属性的步骤包括：
33.按照所述类型转换子信息，将所述身份属性所属的所述属性类型转换为另一种或多种属性类型；
34.将待转换的所述身份属性发送至外置身份管理中心，所述外置身份管理中心存储有所述身份属性与另一种或多种属性类型下的身份属性之间映射关系的属性映射信息；
35.接收所述外置身份管理中心根据待转换的所述身份属性和所述属性映射信息，返回的所述另一种或多种属性类型下的身份属性，以获得包括另一种或多种身份属性的目标身份信息。
36.在其中的一些实施例中，所述身份属性包括基础身份属性和逻辑身份属性，将所述身份属性按照所述身份转换信息，转换为另一种或多种身份属性的步骤包括：
37.将所述基础身份属性，按照所述身份转换信息，转换为另一种或多种所述逻辑身份属性，以获得包括另一种或多种所述逻辑身份属性的目标身份信息，并将所述目标身份信息下发至所述微服务节点。
38.根据本技术的另一个方面，还提供了一种身份转换平台，所述身份转换平台用于执行所述的身份生成方法。
39.根据本技术的另一个方面，还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述的方法步骤。
40.根据本技术的另一个方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述的方法步骤。
41.根据本技术的另一个方面，还提供了一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现上述的方法步骤。
42.本技术实施例通过节点调度平台调取到各微服务节点的身份属性后，将身份属性传送给身份转换平台，由身份转换平台按照身份转换信息转换为包括另一种或多种身份属性的目标身份信息后，将目标身份信息下发给相应的微服务节点。由此，在微服务节点的身份发生变更的时候，身份转换平台可以向相应微服务节点高效推送转换获得的变更后的目标身份信息，不需要触发整个集群重新部署，满足身份频繁变更的场景，实现了微服务下身份属性的高效、灵活映射。
附图说明
43.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
44.图1为本发明一实施例提供的身份生成系统的示意图；
45.图2为本发明一实施例提供的身份生成方法的流程示意图；
46.图3为本发明一实施例提供的身份转换平台将身份属性按照身份转换信息，转换为另一种或多种身份属性的流程示意图；
47.图4为本发明另一实施例提供的身份转换平台将身份属性按照身份转换信息，转换为另一种或多种身份属性的流程示意图；
48.图5为本发明一实施例提供的身份转换平台的配置示意图一；
49.图6为本发明一实施例提供的身份转换平台的配置示意图二；
50.图7为图6对接外置身份管理中心后的示意图；
51.图8为身份转换平台配置多种身份转换信息对身份属性进行转换的示意图；
52.图9为图8对接外置身份管理中心后对身份属性进行转换的示意图；
53.图10为将图8和图9的内容整合后得到的身份生成系统的数据流图；
54.图11为各微服务节点接收到目标身份信息后的示意图。
55.图中：
56.10、节点调度平台；20、身份转换平台；30、外置身份管理中心。
具体实施方式
57.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
58.需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
59.首先，针对当前微服务节点的身份属性映射灵活性低的问题，本发明第一个实施例提供了一种身份生成系统，如图1所示，该系统包括节点调度平台10和身份转换平台20，节点调度平台10用于调取微服务节点的身份属性，身份属性为用于标识微服务节点的属性，节点调度平台10在本发明实施例中泛指所有能够调度微服务节点的平台，如kubernetes，kubernetes是一个开源的，用于管理云平台中多个主机上的容器化的应用。身份转换平台20用于获取身份转换信息，将身份属性按照身份转换信息，转换为另一种或多种身份属性，以获得包括另一种或多种身份属性的目标身份信息，并将目标身份信息下发至微服务节点。其中，本发明实施例中的身份属性可以是属于“物理”意义上的基础身份的基础身份属性，如ip地址、主机名等。也可以是属于逻辑身份的逻辑身份属性，如应用名、应用归属人、版本等。对此，用户可以基于已有的身份属性为身份转换平台20配置作为身份映射规则的身份转换信息，使身份转换平台20按照身份转换信息，将一个已有的身份属性映射到另一个身份属性、或另外多个身份属性，具体可根据实际需求灵活定制，实现微服务节点的身份属性的灵活打标。
60.由上可知，本发明实施例通过节点调度平台10调取到各微服务节点的身份属性后，将身份属性传送给身份转换平台20，由身份转换平台20按照身份转换信息转换为包括另一种或多种身份属性的目标身份信息后，将目标身份信息下发给相应的微服务节点。由此，在微服务节点的身份发生变更的时候，身份转换平台20可以向相应微服务节点高效推送转换获得的变更后的目标身份信息，不需要触发整个集群重新部署，满足身份频繁变更的场景，实现了微服务下身份属性的高效、灵活映射。
61.其次，现有的在启动应用之前对每个微服务节点的参数都注入身份信息方式，需要用户把所有的身份信息都直接映射到最小的部署粒度(如服务节点)上，也即是对于一个
高层级的身份信息(如团队)都需要枚举出所有服务节点信息，然后进行打标，复杂度较高。对此，本发明实施例中的身份转换平台20配置的身份转换信息具有多种，此时，身份转换平台20还用于将身份属性按照多种身份转换信息进行连续转换，获得所需的目标身份属性或另外多种身份属性，以获得包括目标身份属性或另外多种身份属性的目标身份信息，并将目标身份信息下发至微服务节点，其中，另外多种身份属性为由每次转换获得的一种身份属性组成，目标身份属性为最后一次转换获得的身份属性。因此，本发明实施例通过身份转换平台20配置的多重身份转换信息对身份属性进行连续转换，简化了整体系统的配置成本，用户可以基于已有的任何一个身份属性进行抽象，实现身份的快速转换。
62.具体地，身份转换平台20将身份属性按照多种身份转换信息进行连续转换的过程中，将上一种身份转换信息转换获得的身份属性，按照下一种身份转换信息转换为另一种身份属性。用户仅需要基于已有的身份信息定义作为映射规则的身份转换信息，映射出来的身份属性又可以作为输入继续映射到新的身份属性，不需要考虑底层基础部署的情况就可以实现微服务节点的灵活打标。
63.在本发明实施例中，身份属性包括：部署集属性、节点组属性、应用程序属性、应用负责人属性、归属部门属性以及企业属性。身份转换信息包括：部署集配置信息、节点组映射至应用程序的转换信息、应用程序归属的负责人信息、人事组织架构信息、归属部门所属企业信息。部署集是控制云服务器实例分布的策略，能使用户在创建云服务器实例的时候就设计容灾能力和可用性。具体地，如图8所示，本发明实施例中，身份转换平台20用于：将部署集属性按照部署集配置信息转换成节点组属性，将节点组属性按节点组映射至应用程序的转换信息转换成应用程序属性，将应用程序属性按应用程序归属的负责人信息转换成应用负责人属性，将应用负责人属性按人事组织架构信息转换成归属部门属性，将归属部门属性按归属部门所属企业信息转换为企业属性。本发明实施例在身份转换平台20中存储了五类转换信息，每一类转换信息中存储了对应身份属性的匹配规则以及目标结果，通过上述一系列转换信息的映射转换，可以实现从一个基础的部署集属性deployment(dp1)映射到节点组属性node group(node group 1)、应用程序属性app(demo app)、应用负责人属性owner(alice)、归属部门属性business unit(retail)、企业属性company(force)等逻辑属性，最终形成一个输出的属性集合(即目标身份信息)，然后将该目标身份信息下发至相应的微服务节点。
64.在本发明实施例中，微服务节点具有多种属性类型的身份属性，如ip地址这一属性类型下10.0.0.1、10.0.0.2、10.0.0.3等基础身份属性，如应用名这一属性类型下的demoapp1、demoapp2等属于逻辑身份属性的应用程序属性，上述列举的身份属性仅为示例性说明，本发明实施例并不对其做唯一的限定。身份转换信息具有类型转换子信息和属性转换子信息，其中，身份转换平台20用于：按照类型转换子信息，将身份属性所属的属性类型转换为另一种或多种属性类型，如将ip地址这一属性类型转换为应用名这一属性类型，或者将ip地址这一属性类型转换成应用名、负责人等属性类型，具体可根据实际需求灵活定制，本发明实施例在此不做唯一限定。然后按照属性转换子信息，将身份属性转换为另一种或多种属性类型下的身份属性，以获得包括另一种或多种身份属性的目标身份信息。如按照属性转换子信息，将10.0.0.1这一基础身份属性转换成demoapp1这一应用程序属性，或者将10.0.0.1这一基础身份属性转换成demoapp1、负责人alice等逻辑身份属性。
65.此外，由于现有的身份信息部署方式，在微服务生产实践过程中，由于对部署环境要求高，需要特定的工具来实现相应的身份调度，导致存在通用性低下的问题。对此，身份转换信息可仅包括类型转换子信息，本发明实施例中的系统还包括外置身份管理中心30，外置身份管理中心30存储有身份属性与另一种或多种属性类型下的身份属性之间映射关系的属性映射信息，如存储有demoapp1与负责人这一属性类型下的alice之间映射关系的属性映射信息。外置身份管理中心30可以是连接的人事管理平台、devops平台、也可以是系统内部的管理平台等，如上述的负责人至归属部门属性的转换中，归属部门属性这一信息就可从人事管理平台设置的人事组织架构来获取，对于部署集(deployment)到节分组(node group)的映射就能通过请求外置的devops平台来获取具体的节点组属性，devops，字面意思是development&operations的缩写，通过自动化流程来使得软件构建、测试、发布更加快捷、频繁和可靠，devops平台维护有部署集配置信息，通过这个devops平台可知道一个微服务节点具体是那个部署集配置怎么配置出来的，相当于devops平台维护了部署集属性到节点组属性的信息。则，身份转换平台20用于：按照类型转换子信息，将身份属性所属的属性类型转换为另一种或多种属性类型后，将待转换的身份属性发送至外置身份管理中心30，然后接收外置身份管理中心30根据待转换的身份属性和属性映射信息，返回的另一种或多种属性类型下的身份属性，以获得包括另一种或多种身份属性的目标身份信息。
66.本发明实施例将原始的身份属性拿到外置身份管理中心30即可得到对应的要转换后的身份属性，相当于通过外置身份管理中心30去维护上述的属性转换子信息，在身份转换平台20预先声明其所对应的作为属性类型转换子信息的类型转换子信息后，可以由身份转换平台20在发现源类型时自动将源属性值(如转换前是应用名，应用名下的应用程序属性如demoapp1就为源属性值)发送给外置的身份管理中心请求其所对应的目标属性值(即转换后的新的身份属性)。身份转换平台20中就可以不再需要存储维护复杂的作为属性转换子信息的属性转换子信息。由此，通过外置身份管理中心30实现身份与底层部署设施的解耦，可以屏蔽底层的实现，无需特定的工具来实现相应的身份调度，提高了系统的通用性。
67.在本发明实施例中，身份属性包括基础身份属性和逻辑身份属性，由此，身份转换平台20将基础身份属性，按照身份转换信息，转换为另一种或多种逻辑身份属性，以获得包括另一种或多种逻辑身份属性的目标身份信息，并将目标身份信息下发至微服务节点。由此，微服务节点在应用负责人、应用归属部门等这些变动频繁的逻辑身份变更之后，就不再需要触发整个集群系统全量重新部署微服务节点的身份属性，确保了集群稳定性。
68.终上可知，本发明实施例提供的身份生成系统，在灵活性方面，由于目标身份信息的生成是一个运行时计算的过程，通过身份订阅/推送的机制下发，在微服务节点的身份属性发生变更的时候可以高效推送，不需要触发整个集群重新部署，满足身份频繁变更的场景。在复杂度方面，本发明实施例通过多重身份转换信息进行连续转换的方式简化了整体系统的配置成本，用户可以基于已有的任何一个身份进行抽象，实现身份的快速定义，即可以基于已有的身份高效映射出新的身份，基于新的身份还可以继续映射新的身份，同时向使用者屏蔽底层的原始身份属性，实现身份的灵活映射，极大地降低了用户的使用成本。在通用性方面，本发明实施例支持对接外置的外置身份管理中心30，通过外置身份管理中心30实现身份与底层部署设施的解耦，可以屏蔽底层的实现，也为复杂场景下的接入提供了
可能性。
69.总之，本发明实施例通过身份转换平台20配置的身份转换信息实现微服务下身份属性的高效、灵活映射。用户仅需要基于已有的身份信息定义映射规则，映射出来的身份又可以作为输入继续映射到新的身份，不需要考虑底层基础部署的情况就可以实现微服务节点的灵活打标，给系统提供可靠运行的系统保障措施带来了多样性、易用性的发展可能。
70.如图2所示，本发明第二个实施例还提供了一种身份生成方法，该方法应用于身份转换平台20，该方法包括如下步骤：
71.步骤s11：获取由节点调度平台10调取的微服务节点的身份属性，身份属性为用于标识微服务节点的属性。
72.步骤s12：将身份属性按照身份转换信息，转换为另一种或多种身份属性，以获得包括另一种或多种身份属性的目标身份信息。
73.步骤s13：获取身份转换信息，将目标身份信息下发至微服务节点，以使微服务节点获得目标身份信息。
74.其中，本发明实施例中的身份属性可以是属于“物理”意义上的基础身份的基础身份属性，如ip地址、主机名等。也可以是属于逻辑身份的逻辑身份属性，如应用名、应用归属人、版本等。对此，用户可以基于已有的身份属性为身份转换平台20配置作为身份映射规则的身份转换信息，使身份转换平台20按照身份转换信息，将一个已有的身份属性映射到另一个身份属性、或另外多个身份属性，具体可根据实际需求灵活定制，实现微服务节点的身份属性的灵活打标。
75.由上可知，本发明实施例通过节点调度平台10调取到各微服务节点的身份属性后，将身份属性传送给身份转换平台20，由身份转换平台20按照身份转换信息转换为包括另一种或多种身份属性的目标身份信息后，将目标身份信息下发给相应的微服务节点。由此，在微服务节点的身份发生变更的时候，身份转换平台20可以向相应微服务节点高效推送转换获得的变更后的目标身份信息，不需要触发整个集群重新部署，满足身份频繁变更的场景，实现了微服务下身份属性的高效、灵活映射。
76.由于现有的在启动应用之前对每个微服务节点的参数都注入身份信息方式，需要用户把所有的身份信息都直接映射到最小的部署粒度(如服务节点)上，也即是对于一个高层级的身份信息(如团队)都需要枚举出所有服务节点信息，然后进行打标，复杂度较高。本发明实施例中身份转换平台20配置的身份转换信息具有多种，步骤s11获取由节点调度平台10调取的微服务节点的身份属性之后，本发明实施例提供的方法还包括：将身份属性按照多种身份转换信息进行连续转换，获得所需的目标身份属性或另外多种身份属性，以获得包括目标身份属性或另外多种身份属性的目标身份信息，并将目标身份信息下发至微服务节点，其中，另外多种身份属性为由每次转换获得的一种身份属性组成，目标身份属性为最后一次转换获得的身份属性。由此，本发明实施例通过身份转换平台20配置的多重身份转换信息对身份属性进行连续转换，简化了整体系统的配置成本，用户可以基于已有的任何一个身份属性进行抽象，实现身份的快速转换。
77.上述将身份属性按照多种身份转换信息进行连续转换的过程中，本发明实施例提供的方法包括：将上一种身份转换信息转换获得的身份属性，按照下一种身份转换信息转换为另一种身份属性。由此，用户仅需要基于已有的身份信息定义作为映射规则的身份转
换信息，映射出来的身份属性又可以作为输入继续映射到新的身份属性，不需要考虑底层基础部署的情况就可以实现微服务节点的灵活打标。
78.在本发明实施例中，身份属性包括：部署集属性、节点组属性、应用程序属性、应用负责人属性、归属部门属性以及企业属性。身份转换信息包括：部署集配置信息、节点组映射至应用程序的转换信息、应用程序归属的负责人信息、人事组织架构信息、归属部门所属企业信息。本发明实施例提供的方法将所述身份属性按照多种所述身份转换信息进行连续转换，获得所需的目标身份属性或另外多种身份属性的步骤包括：将部署集属性按照部署集配置信息转换成节点组属性，将节点组属性按节点组映射至应用程序的转换信息转换成应用程序属性，将应用程序属性按应用程序归属的负责人信息转换成应用负责人属性，将应用负责人属性按人事组织架构信息转换成归属部门属性，将归属部门属性按归属部门所属企业信息转换为企业属性。本发明实施例可在身份转换平台20中存储五类转换信息，每一类转换信息中存储了对应身份属性的匹配规则以及目标结果，通过上述一系列转换信息的映射转换，可以实现从一个基础的部署集属性deployment(dp1)映射到节点组属性node group(node group 1)、应用程序属性app(demo app)、应用负责人属性owner(alice)、归属部门属性business unit(retail)、企业属性company(force)等逻辑属性，最终形成一个输出的属性集合(即目标身份信息)，然后将该目标身份信息下发至相应的微服务节点。
79.在本发明实施例中，微服务节点具有多种属性类型的身份属性，身份转换信息包括类型转换子信息和属性转换子信息，其中，如图3所示，步骤s12将身份属性按照身份转换信息，转换为另一种或多种身份属性的步骤包括：
80.步骤s21：按照类型转换子信息，将身份属性所属的属性类型转换为另一种或多种属性类型；
81.步骤s22：按照属性转换子信息，将身份属性转换为另一种或多种属性类型下的身份属性，以获得包括另一种或多种身份属性的目标身份信息。如按照属性转换子信息，将10.0.0.1这一基础身份属性转换成demoapp1这一应用程序属性，或者将10.0.0.1这一基础身份属性转换成demoapp1、负责人alice等逻辑身份属性。
82.此外，由于现有的身份信息部署方式，在微服务生产实践过程中，由于对部署环境要求高，需要特定的工具来实现相应的身份调度，导致存在通用性低下的问题。对此，如图4所示，本发明实施例中身份转换平台20配置的身份转换信息可仅包括类型转换子信息，将身份属性按照身份转换信息，转换为另一种或多种身份属性的步骤包括：
83.步骤s31：按照类型转换子信息，将身份属性所属的属性类型转换为另一种或多种属性类型。
84.步骤s32：将待转换的身份属性发送至外置身份管理中心30，外置身份管理中心30存储有身份属性与另一种或多种属性类型下的身份属性之间映射关系的属性映射信息。
85.步骤s33。接收外置身份管理中心30根据待转换的身份属性和属性映射信息，返回的另一种或多种属性类型下的身份属性，以获得包括另一种或多种身份属性的目标身份信息。
86.因此，本发明实施例将原始的身份属性拿到外置身份管理中心30即可得到对应的要转换后的身份属性，相当于通过外置身份管理中心30去维护上述的属性转换子信息，在身份转换平台20预先声明其所对应的作为属性类型转换子信息的类型转换子信息后，可以
由身份转换平台20在发现源类型时自动将源属性值(如转换前是应用名，应用名下的应用程序属性如demoapp1就为源属性值)发送给外置的身份管理中心请求其所对应的目标属性值(即转换后的新的身份属性)。身份转换平台20中就可以不再需要存储维护复杂的作为属性转换子信息的属性转换子信息。由此，通过外置身份管理中心30实现身份与底层部署设施的解耦，可以屏蔽底层的实现，无需特定的工具来实现相应的身份调度，提高了系统的通用性。
87.在本发明实施例中，身份属性包括基础身份属性和逻辑身份属性，步骤s12将身份属性按照身份转换信息，转换为另一种或多种身份属性的步骤包括：将基础身份属性，按照身份转换信息，转换为另一种或多种逻辑身份属性，以获得包括另一种或多种逻辑身份属性的目标身份信息，并将目标身份信息下发至微服务节点。由此，微服务节点在应用负责人、应用归属部门等这些变动频繁的逻辑身份变更之后，就不再需要触发整个集群系统全量重新部署微服务节点的身份属性，确保了集群稳定性。
88.终上可知，本发明实施例提供的身份生成方法，在灵活性方面，由于目标身份信息的生成是一个运行时计算的过程，通过身份订阅/推送的机制下发，在微服务节点的身份属性发生变更的时候可以高效推送，不需要触发整个集群重新部署，满足身份频繁变更的场景。在复杂度方面，本发明实施例通过多重身份转换信息进行连续转换的方式简化了整体系统的配置成本，用户可以基于已有的任何一个身份进行抽象，实现身份的快速定义，即可以基于已有的身份高效映射出新的身份，基于新的身份还可以继续映射新的身份，同时向使用者屏蔽底层的原始身份属性，实现身份的灵活映射，极大地降低了用户的使用成本。在通用性方面，本发明实施例支持对接外置的外置身份管理中心30，通过外置身份管理中心30实现身份与底层部署设施的解耦，可以屏蔽底层的实现，也为复杂场景下的接入提供了可能性。
89.本发明第三个实施例还提供了一种身份转换平台20，身份转换平台20用于执行身份生成方法，其中，身份生成方法具体请参见本发明第二个实施例提供的内容，本发明实施例在此不再赘述。
90.本发明第四个实施例还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述的身份生成方法，其中，身份生成方法具体请参见本发明第二个实施例提供的内容，本发明实施例在此不再赘述。
91.本发明第五个实施例还提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述的身份生成方法，其中，身份生成方法具体请参见本发明第二个实施例提供的内容，本发明实施例在此不再赘述。
92.本发明第六个实施例还提供了一种计算机程序产品，计算机程序产品包括计算机程序，计算机程序被处理器执行时实现上述的身份生成方法，其中，身份生成方法具体请参见本发明第二个实施例提供的内容，本发明实施例在此不再赘述。
93.本发明第七个实施例结合上述六个实施例和附图5至图11的内容，介绍了一种身份生成方法的具体应用实施例。
94.为实现身份属性的灵活转换，本发明实施例具有两个身份角色——节点调度平台10和身份转换平台20，其中节点调度平台10泛指所有调度微服务节点的平台(如
kubernetes)，身份转换平台20负责身份信息的集中管理与动态下发。基础设施提供了节点的调度能力，同时也向身份管理中心提供了每个节点的基础身份(如部署集信息、节点ip等)；身份管理中心负责给予特定的规则映射出多个动态身份，在节点请求身份的时候分发对应的身份信息。身份映射中心的处理细节如图5所示：
95.如图5所示，身份转换平台20配置有身份转换信息，身份转换平台20通过接收节点调度平台10输出的基础身份属性，按照身份转换信息不断扩充新的身份出来，最终给予基础身份属性生成出一个完整的身份列表——即得到目标身份信息。如图6所示，对于每一个身份转换信息，可以细分为由类型转换子信息和属性转换子信息等两个子信息组成。其中类型转换子信息标志着本条身份转换信息是某类属性到某类属性的映射，即按照该类型转换子信息，可将身份属性所属的属性类型转换为另一种或多种属性类型，如机器ip地址这一属性类型到应用名这一属性类型的转换。属性转换子信息是具体身份属性之间的匹配规则，如果ip地址属性命中属性转换子信息则将转换前的身份属性(10.0.0.1)转换为应用程序属性，如10.0.0.1这个ip地址转换为demoapp1这个应用名、10.0.0.2这个ip地址转换为demoapp2这个应用名
……
等，其中，
“……”
代表省略号，本发明实施例用来表示基于篇幅转换示例不做更多的枚举。
96.特别的，如图7所示，对于大多数生产中使用的身份性是由很多个独立平台管理的，出于通用型与可扩展性的方面考虑，属性转换子信息是支持对接外置身份管理中心30的。对于任意一个身份转换信息，在身份转换平台20中预先声明其所对应的类型转换子信息后，可以由身份转换平台20在发现源类型时自动将源属性值发送给外置身份管理中心30请求源属性值对应的目标属性值。由此，身份转换平台20中可以不再需要存储维护复杂的属性转换子信息。
97.图8为一个具体的身份属性转换示意图，身份属性包括：部署集属性、节点组属性、应用程序属性、应用负责人属性、归属部门属性以及企业属性。身份转换信息包括：部署集配置信息、节点组映射至应用程序的转换信息、应用程序归属的负责人信息、人事组织架构信息、归属部门所属企业信息。部署集是控制云服务器实例分布的策略，能使用户在创建云服务器实例的时候就设计容灾能力和可用性。本发明实施例中，身份转换平台20将身份属性按照多种身份转换信息进行连续转换的过程中，将部署集属性按照部署集配置信息转换成节点组属性，将节点组属性按节点组映射至应用程序的转换信息转换成应用程序属性，将应用程序属性按应用程序归属的负责人信息转换成应用负责人属性，将应用负责人属性按人事组织架构信息转换成归属部门属性，将归属部门属性按归属部门所属企业信息转换为企业属性。本发明实施例在身份转换平台20中存储了五类转换信息，每一类转换信息中存储了对应身份属性的匹配规则以及目标结果，通过上述一系列转换信息的映射转换，可以实现从一个基础的部署集属性deployment(dp1)映射到节点组属性node group(node group 1)、应用程序属性app(demo app)、应用负责人属性owner(alice)、归属部门属性business unit(retail)、企业属性company(force)等逻辑属性，最终形成一个输出的属性集合(即目标身份信息)，然后将该目标身份信息下发至相应的微服务节点。
98.将图8的转换例子进行改造后可以得到图9所示的数据流协作信息，身份转换平台20中存储了多种身份转换信息，但是属性转换子信息对接到了外置身份管理中心30，如devops平台、组织架构管理平台、内部其他的管理平台等，对于部署集(deployment)到节点
组(node group)的转换就是通过请求外置的devops平台获取的。将图8和图9进行整合后可以得到如图10所示的数据流图，节点调度平台10(如kubernetes)向身份转换平台20提供deployment部署集属性，身份转换平台20将deployment部署集属性提交给身份转换平台20，身份转换平台20通过对接多个管理平台以及一系列的身份转换规则计算出如appname应用名、owner所有人、bu部门等逻辑身份属性。最后身份转换平台20将最终得到的目标身份信息下发到每个微服务节点上。如图11中“应用名、所有人、部门”等身份信息都是通过身份转换平台20下发的，在rpc远程调用过程中可以根据这些身份信息进行调度。rpc(remote procedure call protocol)
‑‑
远程过程调用协议，它是一种通过网络从远程计算机程序上请求服务，而不需要了解底层网络技术的协议。
99.可见，本发明实施例提供的方法可以基于已有的身份高效转换出新的身份，基于新的身份还可以继续转换新的身份，同时向使用者屏蔽底层的原始属性，实现身份的灵活映射，极大地降低了用户的使用成本。能够将逻辑身份与基础身份解耦，在逻辑身份出现变更的时候不会影响节点本身的部署，在变动频繁的逻辑身份变更之后，就不再需要触发整个集群系统全量重新部署微服务节点的身份属性，确保了集群稳定性，通过支持对接外置身份管理中心30，支持转换的信息由三方数据源进行配置，可以实现如组织架构系统的高效接入，进一步扩充逻辑身份的完善性。
100.本发明实施例在灵活性方面，由于目标身份信息的生成是一个运行时计算的过程，通过身份订阅/推送的机制下发，在微服务节点的身份属性发生变更的时候可以高效推送，不需要触发整个集群重新部署，满足身份频繁变更的场景。在复杂度方面，本发明实施例通过多重身份转换信息进行连续转换的方式简化了整体系统的配置成本，用户可以基于已有的任何一个身份进行抽象，实现身份的快速定义，即可以基于已有的身份高效映射出新的身份，基于新的身份还可以继续映射新的身份，同时向使用者屏蔽底层的原始身份属性，实现身份的灵活映射，极大地降低了用户的使用成本。在通用性方面，本发明实施例支持对接外置的外置身份管理中心30，通过外置身份管理中心30实现身份与底层部署设施的解耦，可以屏蔽底层的实现，也为复杂场景下的接入提供了可能性。
101.总之，本发明实施例通过身份转换平台20配置的身份转换信息实现微服务下身份属性的高效、灵活映射。用户仅需要基于已有的身份信息定义映射规则，映射出来的身份又可以作为输入继续映射到新的身份，不需要考虑底层基础部署的情况就可以实现微服务节点的灵活打标，给系统提供可靠运行的系统保障措施带来了多样性、易用性的发展可能。
102.需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒绝。
103.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。

技术特征：
1.一种身份生成系统，其特征在于，包括：节点调度平台，所述节点调度平台用于调取微服务节点的身份属性，所述身份属性为用于标识所述微服务节点的属性；身份转换平台，用于获取身份转换信息，将所述身份属性按照所述身份转换信息，转换为另一种或多种身份属性，以获得包括另一种或多种身份属性的目标身份信息，并将所述目标身份信息下发至所述微服务节点。2.根据权利要求1所述的系统，其特征在于，所述身份转换信息具有多种，所述身份转换平台还用于：将所述身份属性按照多种所述身份转换信息进行连续转换，获得所需的目标身份属性或另外多种身份属性，以获得包括所述目标身份属性或另外多种身份属性的目标身份信息，并将所述目标身份信息下发至所述微服务节点，其中，另外多种身份属性为由每次转换获得的一种身份属性组成，所述目标身份属性为最后一次转换获得的身份属性。3.根据权利要求2所述的系统，其特征在于，所述身份属性包括：部署集属性、节点组属性、应用程序属性、应用负责人属性、归属部门属性以及企业属性；所述身份转换信息包括：部署集配置信息、节点组映射至应用程序的转换信息、应用程序归属的负责人信息、人事组织架构信息、归属部门所属企业信息；其中，所述身份转换平台用于：将所述部署集属性按照所述部署集配置信息转换成所述节点组属性，将所述节点组属性按所述节点组映射至应用程序的转换信息转换成所述应用程序属性，将所述应用程序属性按所述应用程序归属的负责人信息转换成所述应用负责人属性，将所述应用负责人属性按所述人事组织架构信息转换成所述归属部门属性，将所述归属部门属性按所述归属部门所属企业信息转换为所述企业属性。4.根据权利要求1至3任一所述的系统，其特征在于，所述微服务节点具有多种属性类型的所述身份属性，所述身份转换信息具有类型转换子信息和属性转换子信息，其中，所述身份转换平台用于：按照所述类型转换子信息，将所述身份属性所属的所述属性类型转换为另一种或多种属性类型；按照所述属性转换子信息，将所述身份属性转换为所述另一种或多种属性类型下的身份属性，以获得包括另一种或多种身份属性的目标身份信息。5.根据权利要求1至3任一所述的系统，其特征在于，所述微服务节点具有多种属性类型的所述身份属性，所述身份转换信息包括类型转换子信息，所述系统还包括：外置身份管理中心，所述外置身份管理中心存储有所述身份属性与另一种或多种属性类型下的身份属性之间映射关系的属性映射信息；所述身份转换平台用于：按照所述类型转换子信息，将所述身份属性所属的所述属性类型转换为另一种或多种属性类型；将待转换的所述身份属性发送至所述外置身份管理中心；接收所述外置身份管理中心根据待转换的所述身份属性和所述属性映射信息，返回的所述另一种或多种属性类型下的身份属性，以获得包括另一种或多种身份属性的目标身份信息。6.根据权利要求1所述的系统，其特征在于，所述身份属性包括基础身份属性和逻辑身份属性，所述身份转换平台用于：将所述基础身份属性，按照所述身份转换信息，转换为另一种或多种所述逻辑身份属性，以获得包括另一种或多种所述逻辑身份属性的目标身份信息，并将所述目标身份信息下发至所述微服务节点。
7.一种身份生成方法，其特征在于，所述方法应用于身份转换平台，所述方法包括：获取由节点调度平台调取的微服务节点的身份属性，所述身份属性为用于标识所述微服务节点的属性；获取身份转换信息，将所述身份属性按照所述身份转换信息，转换为另一种或多种身份属性，以获得包括另一种或多种身份属性的目标身份信息；将所述目标身份信息下发至所述微服务节点，以使所述微服务节点获得所述目标身份信息。8.根据权利要求7所述的方法，其特征在于，所述身份转换信息具有多种，获取由节点调度平台调取的微服务节点的身份属性之后，所述方法还包括：将所述身份属性按照多种所述身份转换信息进行连续转换，获得所需的目标身份属性或另外多种身份属性，以获得包括所述目标身份属性或另外多种身份属性的目标身份信息，并将所述目标身份信息下发至所述微服务节点，其中，另外多种身份属性为由每次转换获得的一种身份属性组成，所述目标身份属性为最后一次转换获得的身份属性。9.根据权利要求8所述的方法，其特征在于，所述身份属性包括：部署集属性、节点组属性、应用程序属性、应用负责人属性、归属部门属性以及企业属性；所述身份转换信息包括：部署集配置信息、节点组映射至应用程序的转换信息、应用程序归属的负责人信息、人事组织架构信息、归属部门所属企业信息；其中，将所述身份属性按照多种所述身份转换信息进行连续转换，获得所需的目标身份属性或另外多种身份属性的步骤包括：将所述部署集属性按照所述部署集配置信息转换成所述节点组属性，将所述节点组属性按所述节点组映射至应用程序的转换信息转换成所述应用程序属性，将所述应用程序属性按所述应用程序归属的负责人信息转换成所述应用负责人属性，将所述应用负责人属性按所述人事组织架构信息转换成所述归属部门属性，将所述归属部门属性按所述归属部门所属企业信息转换为所述企业属性。10.根据权利要求7至9任一所述的方法，其特征在于，所述微服务节点具有多种属性类型的所述身份属性，所述身份转换信息包括类型转换子信息和属性转换子信息，其中，将所述身份属性按照所述身份转换信息，转换为另一种或多种身份属性的步骤包括：按照所述类型转换子信息，将所述身份属性所属的所述属性类型转换为另一种或多种属性类型；按照所述属性转换子信息，将所述身份属性转换为所述另一种或多种属性类型下的身份属性，以获得包括另一种或多种身份属性的目标身份信息。11.根据权利要求7至9任一所述的方法，其特征在于，所述微服务节点具有多种属性类型的所述身份属性，所述身份转换信息包括类型转换子信息，将所述身份属性按照所述身份转换信息，转换为另一种或多种身份属性的步骤包括：按照所述类型转换子信息，将所述身份属性所属的所述属性类型转换为另一种或多种属性类型；将待转换的所述身份属性发送至外置身份管理中心，所述外置身份管理中心存储有所述身份属性与另一种或多种属性类型下的身份属性之间映射关系的属性映射信息；接收所述外置身份管理中心根据待转换的所述身份属性和所述属性映射信息，返回的所述另一种或多种属性类型下的身份属性，以获得包括另一种或多种身份属性的目标身份
信息。12.根据权利要求7所述的方法，其特征在于，所述身份属性包括基础身份属性和逻辑身份属性，将所述身份属性按照所述身份转换信息，转换为另一种或多种身份属性的步骤包括：将所述基础身份属性，按照所述身份转换信息，转换为另一种或多种所述逻辑身份属性，以获得包括另一种或多种所述逻辑身份属性的目标身份信息，并将所述目标身份信息下发至所述微服务节点。13.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求7至12任一所述的方法步骤。14.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现权利要求7至12任一所述的方法步骤。

技术总结
本申请公开了一种身份生成系统、方法及相关设备，涉及计算机技术领域，该系统包括节点调度平台和身份转换平台，节点调度平台用于调取微服务节点的身份属性，身份属性为用于标识微服务节点的属性；身份转换平台用于获取身份转换信息，将身份属性按照身份转换信息，转换为另一种或多种身份属性，以获得包括另一种或多种身份属性的目标身份信息，并将目标身份信息下发至微服务节点。本申请解决了微服务节点身份属性的映射灵活性低，当身份出现变更的时候会影响微服务节点本身的部署的问题。候会影响微服务节点本身的部署的问题。候会影响微服务节点本身的部署的问题。


技术研发人员：江河清 刘军 林佳梁
受保护的技术使用者：阿里巴巴（中国）有限公司
技术研发日：2023.03.24
技术公布日：2023/9/23