[发明专利]Web服务器及其系统资源访问控制方法

说明书

技术领域

本发明涉及网络技术，尤其涉及Web服务器及其系统资源访问控制方法。

背景技术

Web服务器的主要功能是提供网上信息浏览服务。目前，网站服务提供商广泛采用LAMP（Linux、Apache、MySQL、PHP，即Linux操作系统、阿帕奇服务器软件、数据库软件、PHP脚本）架构为公司很多网站站点（即多个网站站点用户）开发网页提供平台化的支持：Web服务器上的Apache软件接收到发送给网站的请求信息后，进行资源访问、处理后将生成的网页数据返回给客户端的浏览器呈现。在本文中，将网站站点用户简称为用户。

具体地，Web服务器上的Apache软件的主进程接收到客户端发送给网站的Web请求后，将接收的Web请求分配给一个工作进程；该工作进程根据该Web请求，访问服务器的资源，并生成网页数据向客户端返回。

在公有云平台中，通常多个用户共用同一台Web服务器。为保证各用户之间的独立性而不互相干扰，需实现各用户的用户资源的隔离。现有的一种实现用户资源隔离的方法是：在同一台物理机（即Web服务器物理机）上创建多台虚拟机，一台虚拟机专用于处理一个用户的Web请求，而不处理其它用户的Web请求；由于各虚拟机之间互相独立，因此各用户的用户资源也是相互独立的，实现了用户资源的隔离。例如，对于用户user1和user2，可以是虚拟机1处理user1的Web请求，虚拟机2处理user2的Web请求。

然而，同一台物理机可以创建的虚拟机的数量有限，无法根据用户的访问规模进行扩展，使得Web服务器能够服务的用户数量较少，造成了服务器资源的浪费；比如，对于一台物理机，通过该方法可能仅能服务十几个用户。

现有的另一种实现用户资源隔离的方法是：在同一台物理机上创建多台虚拟机，并在同一台虚拟机上启动多个工作进程，一个工作进程专属于一个用户，专用于处理该用户的Web请求，而不能处理其他用户的Web请求；由于各工作进程之间互相独立，从而各用户的用户资源也是相互独立的，由此实现了用户资源的隔离。例如，对于用户user1和user2，可以是虚拟机1上的工作进程process1处理user1的Web请求，虚拟机1上的工作进程process2处理user2的Web请求。

然而，同一台虚拟机能够启动的工作进程的数量也有限，使得Web服务器能够服务的用户数量较少，也造成了服务器资源的浪费；比如，对于一台物理机，通过该方法可能仅能服务几千个用户。

综上所述，现有的实现用户资源隔离的方法均易造成Web服务器资源的浪费，且在用户的访问规模较大时，服务器资源浪费尤其明显。

发明内容

本发明的实施例提供了一种Web服务器及其系统资源访问控制方法，用以实现用户资源隔离的前提下，节约服务器资源。

根据本发明的一个方面，提供了一种Web服务器的系统资源访问控制方法，包括：

主进程接收到Web请求后，将该Web请求分配给一个工作进程，该工作进程调用标记模块，并将分配的Web请求传送给所述标记模块；所述标记模块从接收的Web请求中解析出用户标识，并将解析出的用户标识传送给为该工作进程配置的沙箱系统模块；

之后，在该工作进程调用该沙箱系统模块的资源访问API时，所述资源访问API根据对应所述用户标识的资源限制设置项对资源访问操作进行限制。

较佳地，所述资源访问API具体包括文件访问API，以及

所述对应所述用户标识的资源限制设置项具体包括由所述用户标识标示出的存储空间；以及

所述资源访问API根据对应所述用户标识的资源限制设置项对资源访问操作进行限制，具体为：

所述文件访问API将资源访问操作限制于由所述用户标识标示出的存储空间中。

其中，所述由所述用户标识标示出的存储空间具体为：目录名为所述用户标识的目录下的存储空间。

或者，所述资源访问API具体包括网络资源访问API；以及

所述对应所述用户标识的资源限制设置项具体包括：对应所述用户标识设置的网络端口数上限；以及

所述资源访问API根据对应所述用户标识的资源限制设置项对资源访问操作进行限制，具体包括：

所述网络资源访问API在确定出所述用户标识所对应的用户占用的网络连接端口数达到对应所述用户标识设置的网络端口数上限时，向该工作进程返回拒绝网络资源访问的信息。