CN109428863B - 容器服务的安全防护方法、数据处理方法、装置及设备 - Google Patents
容器服务的安全防护方法、数据处理方法、装置及设备 Download PDFInfo
- Publication number
- CN109428863B CN109428863B CN201710760799.8A CN201710760799A CN109428863B CN 109428863 B CN109428863 B CN 109428863B CN 201710760799 A CN201710760799 A CN 201710760799A CN 109428863 B CN109428863 B CN 109428863B
- Authority
- CN
- China
- Prior art keywords
- access
- cluster
- control center
- management
- inlets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种容器服务的安全防护方法、数据处理方法、装置及设备,安全防护方法包括:管控中心通过多个访问入口接收处于外部网络的集群的流量,不同的访问入口用于接收来自不同集群或集群组的流量;管控中心对多个访问入口接收的流量分别进行监控,如果确定其中部分访问入口的流量异常,则将部分访问入口关闭。数据处理方法包括通过多个访问入口接收访问流量,确定多个访问入口中的至少一个访问入口的访问流量异常时,关闭所述至少一个访问入口的访问流量。本申请可以避免来自单个集群的攻击波及整个管控中心管控的所有集群。
Description
技术领域
本发明涉及计算机技术,更具体地,涉及一种容器服务的安全防护方法、数据处理方法、装置及设备。
背景技术
容器(Container)可以容纳应用(Application,App),提供基础环境和服务设施。当应用的访问量比较大时,只用单个容器很可能超过预设负载,导致应用异常或者崩溃,不能正常提供服务;或者应用比较重要,不能中断服务时,只用单个容器不能满足服务可靠性的要求,此时就要考虑使用多个容器来部署应用以达到提高并发访问能力和避免单点故障的目的。该多个容器对外是作为一个整体为用户提供服务,文中称为集群(Cluster),也可称为用户集群,一个集群包括一个或多个服务器节点。
容器服务(Container Service)提供了高性能可伸缩的容器应用管理服务,支持在一组云服务器上通过容器来进行应用生命周期管理。容器服务极大简化了用户对容器管理集群的搭建工作,无缝整合了虚拟化、存储、网络和安全能力,构造了云端优化的运行环境。
相关技术中,提供的容器服务的场景有很多,以混合云场景为例,混合云包括公有云和私有云,公有云是云服务提供商提供的云服务环境,可在公网中提供服务。私有云是为特定用户单独使用而构建的云服务环境,如企业自身构建的云服务环境。私有云通过管控中心完成注册后,即可和公有云的集群共同组成一个混合云的环境。如图1所示,管控中心101部署在公有云100内,负责对公有云100以及在本管控中心注册过的私有云200内的集群的生命周期进行管理和控制,如创建集群、变更集群和删除集群等,还负责对来自公有云100外部的访问进行管理和控制,如访问入口配置、负载均衡、安全防护等。第一集群103和第二集群105也部署在公有云内,即第一集群103和第二集群105内的服务器节点是该公有云的节点。而第三集群201和第四集群203位于私有云200内,且该私有云200需要通过公网访问管控中心101,如进行注册或通过管控中心101与公有云内的集群交互,该私有云以图中的用户自建机房内为例。自建机房内的第三集群201、第四集群203要和管控中心101进行通信时,需要通过公网去访问管控中心101。由于管控中心101提供了公网访问能力,也就意味着任何人都可以去访问,因此存在被分布式拒绝服务(DDoS:Distributed Denial ofService)攻击的隐患,需要采用防护措施。
相关技术中,比较常用的方案是管控中心101通过IP白名单限制来阻止外部攻击者进行攻击。自建机房中的第三集群201和第四集群203通过管控中心101的统一访问入口访问管控中心101,通过IP地址白名单授权后即可访问。但是这并不能从根本上去遏制攻击的发生,一些高级的攻击者可以通过伪造可信的IP地址等方式,可以继续发起DDOS或者其他类的攻击。而管控中心一旦遭受大规模的攻击,造成整个管控中心的不可用,会使所有集群都不能提供服务,这样带来的损失是无法估量的,需要加强安全防护。
发明内容
有鉴于此,本发明实施例提供了一种容器服务的安全防护方法,包括:
管控中心通过多个访问入口接收处于外部网络的集群的流量,不同的访问入口用于接收来自不同集群或集群组的流量;
所述管控中心对所述多个访问入口接收的流量分别进行监控,如果确定其中部分访问入口的流量异常,则将所述部分访问入口关闭。
有鉴于此,本发明实施例还提供了一种容器服务的管控中心,包括:
多个访问入口,用于接收处于外部网络的集群的流量,不同的访问入口用于接收来自不同集群或集群组的流量;
安全防护模块,用于对所述多个访问入口接收的流量分别进行监控,如果确定其中部分访问入口的流量异常,则将所述部分访问入口关闭。
有鉴于此,本发明实施例还提供了一种容器服务的安全防护装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如下处理:
通过多个访问入口接收处于外部网络的集群的流量,不同的访问入口用于接收来自不同集群或集群组的流量;
对所述多个访问入口接收的流量分别进行监控,如果确定其中部分访问入口的流量异常,则将所述部分访问入口关闭。
上述方案中,管控中心通过不同的访问入接收不同集群或集群组并对不同访问入口的流量分别监视,可以避免来自单个集群的攻击波及整个管控中心管控的所有集群。
有鉴于此,本发明实施例还提供了一种容器服务的集群配置方法,包括:
具有多个访问入口的管控中心对处于外部网络的集群或集群组进行配置时,为不同集群或集群组分配不同的访问入口;
所述管控中心将分配的所述访问入口的地址信息下发给相应的集群或集群组。
有鉴于此,本发明实施例还提供了一种容器服务的管控中心,包括:
多个访问入口;
集群配置模块,用于对处于外部网络的集群或集群组进行配置时,为不同集群或集群组分配不同的访问入口,并将分配的所述访问入口的地址信息下发给相应的集群或集群组。
有鉴于此,本发明实施例还提供了一种容器服务的集群配置装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下处理:
对处于外部网络的集群或集群组进行配置时,为不同集群或集群组分配不同的访问入口;
将分配的所述访问入口的地址信息下发给相应的集群或集群组。
上述方案中,管控中心为外部网络的不同集群或集群组分配不同访问入口的地址,使得管控中心可以对来自不同集群的攻击分别监控和处理。
有鉴于此,本发明实施例还提供了一种数据处理方法,包括:
公有云的第一计算设备通过多个访问入口接收访问流量,其中,不同的访问入口用于接收来自所述公有云外部不同计算设备的访问流量;
确定所述多个访问入口中的至少一个访问入口的访问流量异常;
降低或者关闭所述至少一个访问入口的访问流量。
上述数据处理方法对来自外部的不同计算设备的攻击分别监控和处理,避免了一个计算设备异常对其他计算设备的影响。
有鉴于此,本发明实施例还提供了一种数据处理方法,包括:
通过多个访问入口,接收访问流量;
确定所述多个访问入口中的至少一个访问入口的访问流量异常;
降低或者关闭所述至少一个访问入口的访问流量。
上述数据处理方法可以避免异常流量对接收访问流量的设备的影响。
附图说明
图1是混合云场景下集群访问管控中心的示意图;
图2是本发明实施例一容器服务的安全防护方法的流程图;
图3是本发明实施例一集群通过公网访问管控中心的一个示例的示意图;
图4是在图3的场景下某一访问入口流量异常时将其流量切走的示意图;
图5是本发明实施例一容器服务的管控中心的模块图;
图6是本发明实施例二集群配置方法的流程图;
图7是本发明实施例三数据处理方法的流程图;
图8是本发明实施例四数据处理方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
实施例一
本实施例提供一种容器服务的安全防护方法,如图2所示,包括:
步骤110,管控中心通过多个访问入口接收处于外部网络的集群的流量,不同的访问入口用于接收来自不同集群或集群组的流量;
本申请中,访问入口具有公网的IP地址,是管控中心提供的用于接受公网访问的接口,一个访问入口通常用该访问入口的IP地址或IP地址对应的域名来表示。
本实施例中,所述多个访问入口中,不同的访问入口具有不同的IP地址和域名;域名系统中配置有所述多个访问入口的IP地址和域名的映射关系,可以为处于外部网络的集群提供访问入口相关的域名解析服务。
如图3所示,右侧私有云200中的第三集群201和第四集群203部署在自建机房中。但这仅仅是一个示例,对于管控中心来说,可以接收已注册的处于外部网络的任何集群通过公网的访问,并不局限于某些特定的场景。
管控中心101可以在创建处于外部网络的集群时(例如,为在本管控中心注册过的私有云200创建第三集群201和第四集群203时),为不同的集群或集群组分配用于访问该管控中心的不同的访问入口,将访问入口的地址信息如域名下发给相应的集群或集群组。图中的示例是为第三集群201分配第一访问入口1011,为第四集群203分配第二访问入口1012,管控中心会将第一访问入口1011的域名下发给第三集群,将第二访问入口1012的域名下发给第四集群。这些域名在域名系统注册后,域名系统300中配置有这些访问入口的域名和IP地址的映射关系。如图3所示,外部网络的第三集群201和第四集群203可以使用管控中心101下发的访问入口的域名到域名系统300做DNS解析得到相应的IP地址,即可访问管控中心分配给自己的访问入口,也即第三集群201可以通过第一访问入口1011访问管控中心101,第四集群203通过第二访问1012入口访问管控中心101。
管控中心接收到处于外部网络的集群的流量(即访问流量)后,可以分发给公有云中相关集群的服务器节点。在一个示例中,管控中心部署有多个负载均衡模块,管控中心的多个访问入口分别设置在相应的负载均衡模块内,负载均衡模块通过访问入口接收到处于外部网络的集群的流量后,会根据负载均衡策略将流量分发给公有云相关集群中的服务器节点。但这只是示例性的,负载均衡模块是可选的,而访问入口也可以独立设置。
步骤120,所述管控中心对所述多个访问入口接收的流量分别进行监控,如果确定其中部分访问入口的流量异常,则将所述部分访问入口关闭。
本实施例中,访问入口的流量异常可能是黑客成功伪装成合法的集群而发起的攻击,如伪装管控中心授信的IP地址等方式的攻击造成的。对于该类攻击可以通过监控管控中心的负载、网络流量等手段发现。可以采用的流量异常检测的方法有很多,较常用的有基于域值的检测方法,基于统计的检测方法,基于小波的检测方法,基于马尔可夫等随机过程模型的检测方法和一些基于机器学习、数据挖掘和神经网络的检测方法,等等。
本实施例中,所述管控中心采用以下方式中的一种或多种将所述部分访问入口关闭:
方式一,对所述部分访问入口接收的流量进行限流处理;
方式二,通知所述域名系统停止对所述部分访问入口的域名进行解析,或者通知所述域名系统将所述部分访问入口的域名解析为专用于异常流量处理的IP地址。
请参见图4,管控中心101监控到第一访问入口1011接收的流量异常后,判定有黑客伪装成第三集群201发起攻击,将第一访问入口1011关闭。例如,可以对第一访问入口1011进行限流,将其流量限制为0或某一个允许的值,本申请中,关闭访问入口包括了限制的流量不为0的情况,即只将流量部分关闭的情况。同时还可以通知域名系统不再对第一访问入口1011的域名进行解析,或者将第一访问入口1011的域名解析到专用于异常流量处理的IP地址,如某个网络黑洞的IP地址。此时,第四集群203仍然可以通过第二访问入口1012访问管控中心,并没有受到影响。
本实施例还提供了一种容器服务的管控中心,包括多个访问入口10和安全防护模块20,如图5所示,其中:
多个访问入口10,用于接收处于外部网络的集群的流量,不同的访问入口用于接收来自不同集群或集群组的流量;
安全防护模块20,用于对所述多个访问入口接收的流量分别进行监控,如果确定其中部分访问入口的流量异常,则将所述部分访问入口关闭。
本实施例中,
所述多个访问入口中,不同的访问入口具有不同的IP地址和域名。
本实施例中,
所述安全防护模块采用以下方式中的一种或多种将所述部分访问入口关闭:
方式一,对所述部分访问入口接收的流量进行限流处理;
方式二,通知所述域名系统停止对所述部分访问入口的域名进行解析,或者通知所述域名系统将所述部分访问入口的域名解析为专用于异常流量处理的IP地址。
上述管控中心可以由单台或多台计算设备组成。
本实施例还提供了一种容器服务的安全防护装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如下处理:
通过多个访问入口接收处于外部网络的集群的流量,不同的访问入口用于接收来自不同集群或集群组的流量;
对所述多个访问入口接收的流量分别进行监控,如果确定其中部分访问入口的流量异常,则将所述部分访问入口关闭。
本实施例中,所述多个访问入口中,不同的访问入口具有不同的IP地址和域名;将所述部分访问入口关闭,包括:采用以下方式中的一种或多种将所述部分访问入口关闭:
方式一,对所述部分访问入口接收的流量进行限流处理;
方式二,通知所述域名系统停止对所述部分访问入口的域名进行解析,或者通知所述域名系统将所述部分访问入口的域名解析为专用于异常流量处理的IP地址。
上述处理器可以执行本实施例方法中的任何处理,这里不再赘述。
本实施例方案中,管控中心针对不同集群或集群组提供独立的访问入口,通过不同的访问入口接收来自不同集群或集群组的流量并对不同访问入口的流量分别监视,即在某一集群遭受攻击的时候,可以迅速将其流量切走,不影响其他集群的正常使用,从而提高了整个系统的安全性。
实施例二
本实施例提供一种容器服务的集群配置方法,如图6所示,包括:
步骤210,具有多个访问入口的管控中心对处于外部网络的集群或集群组进行配置时,为不同集群或集群组分配不同的访问入口;
步骤220,所述管控中心将分配的所述访问入口的地址信息下发给相应的集群或集群组。
本实施例中,所述地址信息为所述管控中心的域名;管控中心可以在创建新的处于外部网络的集群或集群组时进行上述配置。
本实施例还提供了一种容器服务的管控中心,包括:
多个访问入口,用于接收来自集群的流量;
集群配置模块,用于对处于外部网络的集群或集群组进行配置时,为不同集群或集群组分配不同访问入口,并将分配的所述访问入口的地址信息下发给相应的集群或集群组。
本实施例中,所述集群配置模块分配的地址信息为所述管控中心的域名。
本实施例还提供了一种容器服务的集群配置装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下处理:
对处于外部网络的集群或集群组进行配置时,为不同集群或集群组分配不同的访问入口;
将分配的所述访问入口的地址信息下发给相应的集群或集群组。
上述方案中,管控中心为外部网络的不同集群或集群组分配不同访问入口的地址,使得管控中心可以对来自不同集群的攻击分别监控和处理。
实施例三
本实施例提供一种数据处理方法,如图7所示,包括:
步骤310,公有云的第一计算设备通过多个访问入口接收访问流量,其中,不同的访问入口用于接收来自所述公有云外部不同计算设备的流量;
步骤320,确定所述多个访问入口中的至少一个访问入口的访问流量异常;
步骤330,关闭所述至少一个访问入口的访问流量。
本实施例中,所述第一计算设备可以是公有云中可以通过多个访问入口接收访问流量的任何设备,包括并不限于公有云的管控中心。本实施例中,第一计算设备还用于进行流量监控,并在流量异常时将相应的访问入口关闭,关闭的方式如前述实施例述,可以是对所述部分访问入口接收的流量进行限流处理;也可以是通知所述域名系统停止对所述部分访问入口的域名进行解析,或者通知所述域名系统将所述部分访问入口的域名解析为专用于异常流量处理的IP地址。
本实施例中,来自所述公有云外部不同计算设备的访问流量包括来自私有云不同计算设备的流量。但本申请不局限于此,所述公有云外部的计算设备也可以是其他的计算设备如终端设备、另一公有云中的计算设备、其他网络中的计算设备等等。
本实施例为外部网络的不同计算设备分配不同访问入口的地址,使得第一计算设备可以对来自外部的不同计算设备的攻击分别监控和处理,避免了一个计算设备异常对其他计算设备的影响。
实施例四
本实施例提供一种数据处理方法,如图8所示,包括:
步骤410,通过多个访问入口接收访问流量;
步骤420,确定所述多个访问入口中的至少一个访问入口的访问流量异常;
步骤430,关闭所述至少一个访问入口的访问流量。
本实施例在多个访问入口中至少一个访问入口的访问流量异常时,将异常的访问入口关闭,以避免异常流量对接收访问流量的设备的影响。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由一个或多个物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
Claims (11)
1.一种容器服务的安全防护方法,包括:
管控中心通过多个访问入口接收处于外部网络的集群的流量,不同的访问入口用于接收来自不同集群或集群组通过公网访问的流量;所述访问入口是所述管控中心提供的用于接受公网访问的接口;
所述管控中心对所述多个访问入口接收的流量分别进行监控,如果确定其中部分访问入口的流量异常,则将所述部分访问入口关闭。
2.如权利要求1所述的方法,其特征在于:
所述多个访问入口中,不同的访问入口具有不同的IP地址和域名;
所述方法还包括:在域名系统中配置所述多个访问入口的IP地址和域名的映射关系,为所述处于外部网络的集群提供域名解析服务。
3.如权利要求2所述的方法,其特征在于:
所述管控中心采用以下方式中的一种或多种将所述部分访问入口关闭:
方式一,对所述部分访问入口接收的流量进行限流处理;
方式二,通知所述域名系统停止对所述部分访问入口的域名进行解析,或者通知所述域名系统将所述部分访问入口的域名解析为专用于异常流量处理的IP地址。
4.一种容器服务的管控中心,其特征在于,包括:
多个访问入口,用于接收处于外部网络的集群的流量,不同的访问入口用于接收来自不同集群或集群组通过公网访问的流量;
安全防护模块,用于对所述多个访问入口接收的流量分别进行监控,如果确定其中部分访问入口的流量异常,则将所述部分访问入口关闭。
5.如权利要求4所述的管控中心,其特征在于:
所述多个访问入口中,不同的访问入口具有不同的IP地址和域名;在域名系统中配置所述多个访问入口的IP地址和域名的映射关系,为所述处于外部网络的集群提供域名解析服务;
所述安全防护模块采用以下方式中的一种或多种将所述部分访问入口关闭:
方式一,对所述部分访问入口接收的流量进行限流处理;
方式二,通知所述域名系统停止对所述部分访问入口的域名进行解析,或者通知所述域名系统将所述部分访问入口的域名解析为专用于异常流量处理的IP地址。
6.一种容器服务的安全防护装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如下处理:
通过多个访问入口接收处于外部网络的集群的流量,不同的访问入口用于接收来自不同集群或集群组通过公网访问的流量;所述访问入口是管控中心提供的用于接受公网访问的接口;对所述多个访问入口接收的流量分别进行监控,如果确定其中部分访问入口的流量异常,则将所述部分访问入口关闭。
7.如权利要求6所述的安全防护装置,其特征在于:
所述多个访问入口中,不同的访问入口具有不同的IP地址和域名;
在域名系统中配置所述多个访问入口的IP地址和域名的映射关系,为所述处于外部网络的集群提供域名解析服务;
将所述部分访问入口关闭,包括:采用以下方式中的一种或多种将所述部分访问入口关闭:
方式一,对所述部分访问入口接收的流量进行限流处理;
方式二,通知所述域名系统停止对所述部分访问入口的域名进行解析,或者通知所述域名系统将所述部分访问入口的域名解析为专用于异常流量处理的IP地址。
8.一种容器服务的集群配置方法,包括:
具有多个访问入口的管控中心对处于外部网络的集群或集群组进行配置时,为不同集群或集群组分配不同的通过公网访问的访问入口;
所述管控中心将分配的所述访问入口的地址信息下发给相应的集群或集群组;
所述管控中心通过多个访问入口接收处于外部网络的集群的流量;
所述管控中心对所述多个访问入口接收的流量分别进行监控,如果确定其中部分访问入口的流量异常,则将所述部分访问入口关闭。
9.一种容器服务的管控中心,其特征在于,包括:
多个访问入口;
集群配置模块,用于对处于外部网络的集群或集群组进行配置时,为不同集群或集群组分配不同的通过公网访问的访问入口,并将分配的所述访问入口的地址信息下发给相应的集群或集群组;
所述管控中心通过多个访问入口接收处于外部网络的集群的流量;
所述管控中心对所述多个访问入口接收的流量分别进行监控,如果确定其中部分访问入口的流量异常,则将所述部分访问入口关闭。
10.如权利要求9所述的管控中心,其特征在于:
所述集群配置模块分配的地址信息为所述管控中心的域名;
所述管控中心还包括:域名配置模块,用于在域名系统中创建所述多个访问入口的域名和IP地址的映射关系。
11.一种容器服务的集群配置装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现以下处理:
具有多个访问入口的管控中心对处于外部网络的集群或集群组进行配置时,为不同集群或集群组分配不同的通过公网访问的访问入口;
将分配的所述访问入口的地址信息下发给相应的集群或集群组;
所述管控中心通过多个访问入口接收处于外部网络的集群的流量;
所述管控中心对所述多个访问入口接收的流量分别进行监控,如果确定其中部分访问入口的流量异常,则将所述部分访问入口关闭。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710760799.8A CN109428863B (zh) | 2017-08-30 | 2017-08-30 | 容器服务的安全防护方法、数据处理方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710760799.8A CN109428863B (zh) | 2017-08-30 | 2017-08-30 | 容器服务的安全防护方法、数据处理方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109428863A CN109428863A (zh) | 2019-03-05 |
| CN109428863B true CN109428863B (zh) | 2022-08-02 |
Family
ID=65503835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710760799.8A Active CN109428863B (zh) | 2017-08-30 | 2017-08-30 | 容器服务的安全防护方法、数据处理方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109428863B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124459B (zh) * | 2021-10-25 | 2024-04-09 | 杭州安恒信息技术股份有限公司 | 一种集群服务器安全防护方法、装置、设备及存储介质 |
| CN114884959A (zh) * | 2022-03-23 | 2022-08-09 | 中国人寿保险股份有限公司 | 多云多活架构的部署方法及相关设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746997A (zh) * | 2014-01-10 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种云计算中心网络安全解决方案 |
| CN104010008A (zh) * | 2013-02-21 | 2014-08-27 | 成都勤智数码科技股份有限公司 | 服务器海量无效访问的管控方法 |
| CN104506531A (zh) * | 2014-12-19 | 2015-04-08 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
| CN106878075A (zh) * | 2017-02-17 | 2017-06-20 | 新华三技术有限公司 | 一种报文处理方法和装置 |
| CN107046546A (zh) * | 2017-05-18 | 2017-08-15 | 郑州云海信息技术有限公司 | 一种网络安全控制方法及装置 |
| CA2958359A1 (en) * | 2016-02-17 | 2017-08-17 | Ziften Technologies, Inc. | Supplementing network flow analysis with endpoint information |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080137542A1 (en) * | 2006-12-11 | 2008-06-12 | Inventec Corporation | Method for detecting abnormal network packets |
| US9380025B2 (en) * | 2013-07-03 | 2016-06-28 | Cisco Technology, Inc. | Method and apparatus for ingress filtering |
-
2017
- 2017-08-30 CN CN201710760799.8A patent/CN109428863B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104010008A (zh) * | 2013-02-21 | 2014-08-27 | 成都勤智数码科技股份有限公司 | 服务器海量无效访问的管控方法 |
| CN103746997A (zh) * | 2014-01-10 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种云计算中心网络安全解决方案 |
| CN104506531A (zh) * | 2014-12-19 | 2015-04-08 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
| CA2958359A1 (en) * | 2016-02-17 | 2017-08-17 | Ziften Technologies, Inc. | Supplementing network flow analysis with endpoint information |
| CN106878075A (zh) * | 2017-02-17 | 2017-06-20 | 新华三技术有限公司 | 一种报文处理方法和装置 |
| CN107046546A (zh) * | 2017-05-18 | 2017-08-15 | 郑州云海信息技术有限公司 | 一种网络安全控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109428863A (zh) | 2019-03-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11575712B2 (en) | Automated enforcement of security policies in cloud and hybrid infrastructure environments | |
| US11275824B2 (en) | Detecting credential compromise in a cloud resource | |
| US10397352B2 (en) | Network infrastructure management | |
| CN108353079B (zh) | 对针对基于云的应用的网络威胁的检测 | |
| US8499348B1 (en) | Detection of and responses to network attacks | |
| US9332005B2 (en) | System and method for providing switch based subnet management packet (SMP) traffic protection in a middleware machine environment | |
| US10320833B2 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
| US20090217346A1 (en) | Dhcp centric network access management through network device access control lists | |
| US11606372B2 (en) | Mitigating against malicious login attempts | |
| US20120005724A1 (en) | Method and system for protecting private enterprise resources in a cloud computing environment | |
| US11924643B2 (en) | Point-controlled rogue AP avoidance + rogue AP detection using synchronized security | |
| US9473481B2 (en) | Method and system for providing a virtual asset perimeter | |
| US10164982B1 (en) | Actively identifying and neutralizing network hot spots | |
| CN113614718A (zh) | 异常用户会话检测器 | |
| WO2008155428A1 (en) | Firewall control system | |
| CN109428863B (zh) | 容器服务的安全防护方法、数据处理方法、装置及设备 | |
| KR102611045B1 (ko) | 다중 신뢰도 기반 접근통제 시스템 | |
| US20210014233A1 (en) | Dynamically enforcing context sensitive network access control policies | |
| Toosarvandani et al. | The risk assessment and treatment approach in order to provide LAN security based on ISMS standard | |
| US11805418B2 (en) | System and method for location-based endpoint security | |
| CN111212077A (zh) | 主机访问系统及方法 | |
| US11870815B2 (en) | Security of network traffic in a containerized computing environment | |
| US20240007440A1 (en) | Persistent IP address allocation for virtual private network (VPN) clients | |
| US11916957B1 (en) | System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network | |
| AU2018304187B2 (en) | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230524 Address after: Room 1-2-A06, Yungu Park, No. 1008 Dengcai Street, Sandun Town, Xihu District, Hangzhou City, Zhejiang Province Patentee after: Aliyun Computing Co.,Ltd. Address before: Box 847, four, Grand Cayman capital, Cayman Islands, UK Patentee before: ALIBABA GROUP HOLDING Ltd. |
|
| TR01 | Transfer of patent right |