CN110535831A - 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质 - Google Patents

Abstract

本发明涉及云安全技术领域，提供了一种基于Kubernetes和网络域的集群安全管理方法、装置及计算机可读存储介质，该方法包括：确定Kubernetes集群所需的配置信息，根据所述配置信息开通相应的容器服务，根据所述配置信息创建与网络域相关联的业务集群，及根据所述配置信息部署相应的应用容器；其中，执行所述步骤“根据所述配置信息创建与网络域相关联的业务集群”时，包括：创建安全组和创建命名空间namespace资源对象；业务集群内的网络域之间通过安全组进行通信；所述namespace资源对象用于将部署在所述网络域内的应用程序隔离。本发明解决了不同网络域之间相互隔离、相互访问的技术问题，方便业务管理及增强了网络安全。

Description

基于Kubernetes和网络域的集群安全管理方法、装置及存储 介质

技术领域

本发明涉及云安全技术领域，尤其涉及一种基于Kubernetes和网络域的集群安全管理方法、装置及计算机可读存储介质。

背景技术

Kubernetes是一个开源的，用于管理云平台中多个主机上的容器化的应用，也是一个容器编排引擎。Kubernetes支持自动化部署、大规模可伸缩、应用容器化管理。在生产环境中部署一个应用程序时，通常要部署该应用的多个实例以便对应用请求进行负载均衡。在Kubernetes中，可以创建多个容器，每个容器里面运行一个应用实例，然后通过内置的负载均衡策略，实现对这一组应用实例的管理、发现、访问，而这些细节都不需要运维人员去进行复杂的手工配置和处理。

目前金融领域的应用平台在搭建过程中，存在着诸多网络风险、网络脆弱性和不稳定因素等问题,不可避免的产生了一些安全隐患和问题,从而导致信息泄漏、非法入侵、平台崩溃、病毒传播等网络安全问题。目前网络安全的问题依然采取人工管理的方式来进行解决，已经无法适应当前状况，对于当前的网络安全问题，很多金融公司一直使用虚拟化的云平台运行应用程序，即虚拟机，虽然实现了资源的隔离与控制，但使用成本较高。

发明内容

本发明提供一种基于Kubernetes和网络域的集群安全管理方法、装置及计算机可读存储介质，其主要目的旨在解决如何方便实现不同网络域之间相互隔离、相互访问的技术问题。

为实现上述目的，本发明提供一种基于Kubernetes和网络域的集群安全管理方法，该方法包括如下步骤：

确定Kubernetes集群所需的配置信息；

根据所述配置信息开通相应的容器服务，该步骤包括：在指定的私有云VPC中创建控制集群；

根据所述配置信息创建与网络域相关联的业务集群，该步骤包括：创建安全组，所述业务集群内的网络域之间通过所述安全组进行通信；

根据所述配置信息部署相应的应用容器；

其中，执行所述根据所述配置信息创建与网络域相关联的业务集群的步骤时，还包括：创建namespace(命名空间)资源对象，所述namespace资源对象用于将部署在所述网络域内的应用程序隔离。

可选地，所述业务集群包括SF网络域与DMZ网络域，所述SF网络域与所述DMZ网络域之间通过所述安全组进行通信。

可选地，所述SF网络域包括至少一组服务组件，每组SF网络域的服务组件包括kube-proxy、flannel、docker、及应用容器。

可选地，所述DMZ网络域包括kube-proxy、flannel、docker、及应用容器。

可选地，所述创建业务集群的步骤包括：

指定业务集群所包含的节点数、业务名称和特定VPC的网络域；

调用云主机创建接口；

创建云主机；

将云主机添加到业务集群中，作为业务容器运行的节点。

可选地，在所述将云主机添加到业务集群中作为业务容器运行的节点的步骤之后，所述创建业务集群的步骤还包括：给所有节点配置指定的业务标签、网络域标签。

可选地，所述确定Kubernetes集群所需的配置信息的步骤包括：

确定需要根据所述配置信息开通相应的容器服务的虚拟私有云VPC；

确定Kubernetes集群是否为高可用；及

确定Kubernetes版本。

可选地，所述在指定的私有云VPC中创建控制集群的步骤包括：监控步骤，创建控制集群时生成日志，以及警报步骤；所述监控步骤包括：

采集云主机性能指标；及

根据采集到的云主机性能指标做界面图形展示；所述控制集群包括至少一组Kubernetes服务组件，每组Kubernetes服务组件包括：kube-proxy、kube-dns、tiller、addons、flanne。

为实现上述目的，本发明还提供一种基于Kubernetes和网络域的集群安全管理装置，所述装置包括存储器和处理器，所述存储器存储有可在所述处理器上运行的基于Kubernetes和网络域的集群安全管理程序，所述基于Kubernetes和网络域的集群安全管理程序被所述处理器执行时实现如上所述基于Kubernetes和网络域的集群安全管理方法的步骤。

此外，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有基于Kubernetes和网络域的集群安全管理程序，所述基于Kubernetes和网络域的集群安全管理程序可被一个或者多个处理器执行，以实现如上所述基于Kubernetes和网络域的集群安全管理方法的步骤。

本发明提出的基于Kubernetes和网络域的集群安全管理方法、装置及计算机可读存储介质，通过在配置集群所需的配置信息后根据所述配置信息开通相应的容器服务，根据所述配置信息创建与网络域相关联的业务集群、创建安全组、创建namespace资源对象，并根据所述配置信息部署相应的应用容器，业务集群内的网络域之间通过安全组进行通信和访问，namespace资源对象用于将部署在所述网络域内的应用程序隔离；本发明解决了不同网络域之间相互隔离、相互访问的技术问题，方便业务管理及增强了网络安全。

附图说明

图1为本发明一实施例提供的基于Kubernetes和网络域的集群安全管理方法的流程示意图；

图2为图1中的步骤C的流程示意图；

图3为本发明一实施例提供的基于Kubernetes和网络域的集群安全管理装置的内部结构示意图；

图4为本发明一实施例提供的基于Kubernetes和网络域的集群安全管理装置中基于Kubernetes和网络域的集群安全管理程序的模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明提供一种基于Kubernetes和网络域的集群安全管理方法。本实施例中，银行系统中包括配置管理系统和银行业务子系统，银行系统中有对应每一项目的项目路径。参照图1所示，为本发明一实施例提供的基于Kubernetes和网络域的集群安全管理方法的流程示意图。该方法可以由一个装置执行，该装置可以由软件和/或硬件实现。

在本实施例中，所述基于Kubernetes和网络域的集群安全管理方法包括：

步骤A：确定Kubernetes集群所需的配置信息。其中，所述Kubernetes集群包括业务集群和控制集群。所述业务集群用于为容器应用提供运行环境，所述控制集群用于部署和管理业务集群内的每个应用程序或者业务等，所述控制集群也称为业务管理集群。

更进一步地，所述步骤A中所述“确定Kubernetes集群所需的配置信息”可以包括，但不限于包括：基础资源的配置信息、集群网络的配置信息、节点的配置项和Kubernetes应用的配置信息；

其中，所述基础资源的配置信息包括：集群是否为高可用、可用区、云主机计费方式、集群区域、云主机镜像、密钥对、节点规格、外部网络；

所述集群网络的配置信息是指Kubernetes集群规模的配置信息，其包括：业务网络类型、网段地址、子网掩码、网关、需要根据所述配置信息开通相应的容器服务的VPC(Virtual Private Cloud，虚拟私有云)、网络插件等；

所述Kubernetes应用的配置信息包括：Kubernetes版本。

进一步地，所述步骤A包括：

确定需要根据所述配置信息开通相应的容器服务的VPC；

确定Kubernetes集群是否为高可用；及

确定Kubernetes版本。

优选地，在本实施例中，默认为名为caas_vpc的VPC，由专人来管理。

步骤B：根据所述配置信息开通相应的容器服务。

进一步地，所述步骤B包括：

在指定的VPC中创建控制集群。其中，所述控制集群用于部署和管理所述业务集群内的每个应用程序。

更进一步地，所述控制集群包括至少一组Kubernetes控制面的组件，在本实施例中，以三组Kubernetes控制面的组件为例进行说明。每组Kubernetes控制面的组件可以包括，但不限于包括：kube-apiserver、kube-controller-manager、kube-scheduler、Etcd等组件。

其中，所述Kubernetes控制面的组件解释如下：

kube-apiserver：API服务器，用于暴露Kubernetes API；任何的资源请求/调用操作都是通过kube-apiserver提供的接口进行；

kube-controller-manager：控制器管理器；

kube-scheduler：容器调度器，用于监视新创建没有分配到节点的Pod，为Pod选择一个节点；

Etcd：键值数据库，用于保存集群数据。

更进一步地，所述控制集群还包括至少一组Kubernetes服务组件，在本实施例中，以二组Kubernetes服务组件为例进行说明。每组Kubernetes服务组件可以包括，但不限于包括：kube-proxy、kube-dns、tiller、addons、flannel等组件。

其中，所述Kubernetes服务组件解释如下：

kube-proxy：向前代理，通过在主机上维护网络规则并执行连接转发来实现Kubernetes服务抽象；

kube-dns：是指集群DNS(Domain Name Server)，是域名服务器，用于为Kubernetes services提供DNS记录；

tiller：是Helm的服务端组件，Helm是Kubernetes的包管理工具；

addons：是指addons插件，用于实现集群pod和Services功能；

flannel：是Kubernetes集群中的网络插件。

优选地，所述步骤“在指定的VPC中创建控制集群”包括监控步骤，其中，所述监控步骤包括：

采集云主机性能指标；及

根据采集到的云主机性能指标做界面图形展示。

其中，在一实施例中，所述云主机性能指标包括：主机的CPU使用率，MEM使用率等。

进一步地，所述监控步骤还包括：采集Kubernetes组件和容器的存在性、存活性指标。

进一步地，所述监控步骤中包括控制集群节点的监控和业务集群的监控；具体地，所述监控步骤中包括：对控制集群节点上的所有组件和容器进行存活性监控；所述监控步骤中还包括：对业务集群上的应用容器进行监控。

具体地，在本实施例中，控制集群和业务集群中包括监控agent，通过控制集群和业务集群上运行的监控agent，采集云主机性能指标，并将采集到的云主机性能指标做界面图形展示。其中，监控agent是一种监控程序。

进一步地，所述步骤“在指定的VPC中创建控制集群”还包括：日志步骤；具体地，所述日志步骤包括：当所述创建控制集群时生成日志；

其中，所述日志包括云主机的日志、管理集群组件日志和pod的日志。

优选地，为了方便用户不用登录到云主机就可以查看自己关注的日志，所述日志步骤还包括：通过监控agent将所有日志统一汇聚到日志云。

所述步骤“在指定的VPC中创建控制集群”还包括警报步骤：当控制集群的组件出现异常时，或者业务集群中的组件或者pod出现异常时，发送警报消息给相关人员。优选地，所述警报消息可以通过邮件、电话、短信等形式发送给相关人员。

进一步地，所述警报步骤包括：当控制集群节点上的所有组件和容器的存活性出现异常时，发送警报消息给相关人员。所述警报步骤还包括：当业务集群上的应用容器的警报出现异常时，发送警报消息给相关人员，例如，当pod出现异常时发送警报消息给相关人员。

步骤C：根据所述配置信息创建与网络域相关联的业务集群。

优选地，本实施例中，所述业务集群是针对租户VPC。

进一步地，请参阅图2，所述步骤C包括：

步骤C1：指定业务集群所包含的节点数、业务名称和特定VPC的网络域；

步骤C2：调用云主机创建接口；

步骤C3：创建云主机；

步骤C4：将所有云主机添加到业务集群中，作为业务容器运行的节点。

其中，在执行所述步骤C1的过程中，也可以在后续添加或者删除Kubernetes业务节点。

具体地，所述步骤C4包括：

在创建完云主机后，将云主机添加到业务集群；

给云主机安装上Kubernetes业务节点所需的组件；

将集群节点、网络等信息存储在Etcd中。

进一步地，所述业务集群包括SF网络域与DMZ网络域。所述SF网络域包括至少一组服务组件，在本实施例中，以二组服务组件为例进行说明。每组SF网络域的服务组件可以包括，但不限于包括：kube-proxy、flannel、docker、及应用容器等。所述DMZ网络域可以包括，但不限于包括：kube-proxy、flannel、docker、及应用容器等。

其中，与所述业务集群相关的重要技术概念解释如下：

VPC：Virtual Private Cloud，专有网络，VPC下划分DMZ和SF两个基本的网络域；

DMZ网络域：Demilitarized Zone，是内网与互联网之间隔离的区域，通常部署webserver或者前置、代理服务器，可通过开通防火墙向Internet提供服务；

SF网络域：部署内网应用和核心应用的区域；

kube-proxy：向前代理，通过在主机上维护网络规则并执行连接转发来实现Kubernetes服务抽象；

flannel：是Kubernetes集群中的网络插件；

docker：是一个开源的应用容器引擎，用于运行容器。

进一步地，为了使两个网络域中的节点(云主机)不能相互访问，在执行所述步骤C时，还包括：创建安全组。

在一实施例中，所述SF网络域与所述DMZ网络域之间通过所述安全组进行通信。

优选地，在本实施例中，采用Etcd存储系统存储各节点信息。通过所述Etcd能够快速有效地添加或者删除当前各个Kubernetes节点的信息。

进一步地，为了方便在创建core应用时，所述业务容器能调度到VPC中指定的节点上，所述步骤C4之后还包括：

步骤C5：给所有节点配置指定的业务标签、网络域标签。例如，app＝core，region＝sf。

进一步地，为了隔离应用程序，所述步骤C包括：创建一个namespace(命名空间)资源对象。其中，一个或者多个应用程序会部署到一个网络域中的一个或多个业务集群中。

进一步地，在本实施例中，所述控制集群与所述业务集群之间通过高速通道进行通信。

步骤D：根据所述配置信息部署相应的应用容器。

优选地，为了确保所述应用容器创建成功后，能顺利调度到指定的节点上，所述步骤D包括：给每个应用程序配置好选择节点的配置项。优选地，在本实施例中，所述配置项包括：指定deployment中的spec.nodeSelector字段。

其中，deployment是Kubernetes的一种资源对象，用来更好的解决Pod的编排问题；pod代表一个应用；deployment是用来管理Kubernetes无状态应用的；spec.nodeSelector是让pod调度到配置特定标签的主机上。

优选地，一个或者多个应用程序有自己专属的运行环境，该一个或者多个应用程序与其它应用程序隔离；应用程序的资源不会被其它应用程序抢占，两个应用程序之间的异常问题，只可能因为接口调用异常，而不会因为资源抢占导致异常；通过这种隔离方式，可以提升问题定位效率，利于团队之间的协作。

本发明提出的基于Kubernetes和网络域的集群安全管理方法，通过在配置集群所需的配置信息后根据所述配置信息开通相应的容器服务，根据所述配置信息创建与网络域相关联的业务集群、及创建安全组，并根据所述配置信息部署相应的应用容器，通过将不同类型的应用容器部署到不同的网络域，达到相互隔离的效果，又可通过在网络域间开通安全组，实现相互访问，解决了不同网络域之间相互隔离、相互访问的技术问题，从而方便业务管理，并增强了网络安全。

本发明还提供一种基于Kubernetes和网络域的集群安全管理装置。参照图3所示，为本发明一实施例提供的基于Kubernetes和网络域的集群安全管理装置的内部结构示意图。

在本实施例中，所述基于Kubernetes和网络域的集群安全管理装置可以是PC(Personal Computer，个人电脑)，也可以是智能手机、平板电脑、便携计算机等终端设备。该基于Kubernetes和网络域的集群安全管理装置至少包括存储器11、处理器12、网络接口13以及通信总线14。

其中，所述存储器11至少包括一种类型的计算机可读存储介质，所述计算机可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是基于Kubernetes和网络域的集群安全管理装置的内部存储单元，例如该基于Kubernetes和网络域的集群安全管理装置的硬盘。所述存储器11在另一些实施例中也可以是基于Kubernetes和网络域的集群安全管理装置的外部存储设备，例如基于Kubernetes和网络域的集群安全管理装置上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(FlashCard)等。进一步地，所述存储器11还可以既包括基于Kubernetes和网络域的集群安全管理装置的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于基于Kubernetes和网络域的集群安全管理装置的应用软件及各类数据，例如基于Kubernetes和网络域的集群安全管理程序的代码等，还可以用于暂时地存储已经输出或者将要输出的数据。

所述处理器12在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片，用于运行所述存储器11中存储的程序代码或处理数据，例如执行基于Kubernetes和网络域的集群安全管理程序等。

所述网络接口13可选的可以包括标准的有线接口、无线接口(如WI-FI接口)，通常用于在该基于Kubernetes和网络域的集群安全管理装置与其他电子设备之间建立通信连接。

所述通信总线14用于实现这些组件之间的连接通信。

图3仅示出了具有组件11至14以及基于Kubernetes和网络域的集群安全管理程序的基于Kubernetes和网络域的集群安全管理装置，本领域技术人员可以理解的是，图3示出的结构并不构成对基于Kubernetes和网络域的集群安全管理装置的限定，可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。

在图3所示的基于Kubernetes和网络域的集群安全管理装置实施例中，所述存储器11中存储有基于Kubernetes和网络域的集群安全管理程序；所述处理器12执行所述存储器11中存储的基于Kubernetes和网络域的集群安全管理程序时实现如下步骤：

步骤A：确定Kubernetes集群所需的配置信息。

更进一步地，所述步骤A中所述“确定Kubernetes集群所需的配置信息”可以包括，但不限于包括：基础资源的配置信息、集群网络的配置信息、节点的配置项和Kubernetes应用的配置信息；

其中，所述基础资源的配置信息包括：集群是否为高可用、可用区、云主机计费方式、集群区域、云主机镜像、密钥对、节点规格、外部网络；

所述集群网络的配置信息包括：业务网络类型、网段地址、子网掩码、网关、需要根据所述配置信息开通相应的容器服务的VPC(Virtual Private Cloud，虚拟私有云)、网络插件等；

所述Kubernetes应用的配置信息包括：Kubernetes版本。

进一步地，所述步骤A包括：

确定需要根据所述配置信息开通相应的容器服务的VPC；

确定Kubernetes集群是否为高可用；及

确定Kubernetes版本。

优选地，在本实施例中，默认为名为caas_vpc的VPC，由专人来管理。

步骤B：根据所述配置信息开通相应的容器服务。

进一步地，所述步骤B包括：

在指定的VPC中创建控制集群。其中，所述控制集群用于部署和管理所述业务集群内的每个应用程序。

更进一步地，所述控制集群包括至少一组Kubernetes控制面的组件，在本实施例中，以三组Kubernetes控制面的组件为例进行说明。每组Kubernetes控制面的组件可以包括，但不限于包括：kube-apiserver、kube-controller-manager、kube-scheduler、Etcd等组件。

其中，所述Kubernetes控制面的组件解释如下：

kube-apiserver：API服务器，用于暴露Kubernetes API；任何的资源请求/调用操作都是通过kube-apiserver提供的接口进行；

kube-controller-manager：控制器管理器；

kube-scheduler：容器调度器，用于监视新创建没有分配到节点的Pod，为Pod选择一个节点；

Etcd：键值数据库，用于保存集群数据。

更进一步地，所述控制集群还包括至少一组Kubernetes服务组件，在本实施例中，以二组Kubernetes服务组件为例进行说明。每组Kubernetes服务组件可以包括，但不限于包括：kube-proxy、kube-dns、tiller、addons、flannel等组件。

其中，所述Kubernetes服务组件解释如下：

kube-proxy：向前代理，通过在主机上维护网络规则并执行连接转发来实现Kubernetes服务抽象；

kube-dns：是指集群DNS(Domain Name Server)，是域名服务器，用于为Kubernetes services提供DNS记录；

tiller：是Helm的服务端组件，Helm是Kubernetes的包管理工具；

addons：是指addons插件，用于实现集群pod和Services功能；

flannel：是Kubernetes集群中的网络插件。

优选地，所述步骤“在指定的VPC中创建控制集群”包括监控步骤，其中，所述监控步骤包括：

采集云主机性能指标；及

根据采集到的云主机性能指标做界面图形展示。

其中，在一实施例中，所述云主机性能指标包括：主机的CPU使用率，MEM使用率等。

进一步地，所述监控步骤还包括：采集Kubernetes组件和容器的存在性、存活性指标。

进一步地，所述监控步骤中包括控制集群节点的监控和业务集群的监控；具体地，所述监控步骤中包括：对控制集群节点上的所有组件和容器进行存活性监控；所述监控步骤中还包括：对业务集群上的应用容器进行监控。

具体地，在本实施例中，控制集群和业务集群中包括监控agent，通过控制集群和业务集群上运行的监控agent，采集云主机性能指标，并将采集到的云主机性能指标做界面图形展示。其中，监控agent是一种监控程序。

进一步地，所述步骤“在指定的VPC中创建控制集群”还包括：日志步骤；具体地，所述日志步骤包括：当创建控制集群时生成日志；

其中，所述日志包括云主机的日志、管理集群组件日志和pod的日志。

优选地，为了方便用户不用登录到云主机就可以查看自己关注的日志，所述日志步骤还包括：通过监控agent将所有日志统一汇聚到日志云。

进一步地，所述步骤“在指定的VPC中创建控制集群”还包括警报步骤：当控制集群的组件出现异常时，或者业务集群中的组件或者pod出现异常时，发送警报消息给相关人员。优选地，所述警报消息可以通过邮件、电话、短信等形式发送给相关人员。

进一步地，所述警报步骤包括：控制集群节点的警报和业务集群的警报；具体地，所述警报步骤包括：当控制集群节点上的所有组件和容器的存活性出现异常时，发送警报消息给相关人员；所述警报步骤还包括：当业务集群上的应用容器出现异常时，发送警报消息给相关人员，例如，当pod出现异常时发送警报消息给相关人员。

步骤C：根据所述配置信息创建与网络域相关联的业务集群。

优选地，本实施例中，所述业务集群是针对租户VPC。

进一步地，请参阅图2，所述步骤C包括：

步骤C1：指定业务集群所包含的节点数、业务名称和特定VPC的网络域；

步骤C2：调用云主机创建接口；

步骤C3：创建云主机；

步骤C4：将所有云主机添加到业务集群中，作为业务容器运行的节点。

其中，在执行所述步骤C1的过程中，也可以在后续添加或者删除Kubernetes业务节点。

具体地，所述步骤C4包括：

在创建完云主机后，将云主机添加到业务集群；

给云主机安装上Kubernetes业务节点所需的组件；

将集群节点、网络等信息存储在Etcd中。

进一步地，所述业务集群包括SF网络域与DMZ网络域。所述SF网络域包括至少一组服务组件，在本实施例中，以二组服务组件为例进行说明。每组SF网络域的服务组件可以包括，但不限于包括：kube-proxy、flannel、docker、及应用容器等。所述DMZ网络域可以包括，但不限于包括：kube-proxy、flannel、docker、及应用容器等。

其中，与所述业务集群相关的重要技术概念解释如下：

VPC：Virtual Private Cloud，专有网络，VPC下划分DMZ和SF两个基本的网络域；

DMZ网络域：Demilitarized Zone，是内网与互联网之间隔离的区域，通常部署webserver或者前置、代理服务器，可通过开通防火墙向Internet提供服务；

SF网络域：部署内网应用和核心应用的区域；

kube-proxy：向前代理，通过在主机上维护网络规则并执行连接转发来实现Kubernetes服务抽象；

flannel：是Kubernetes集群中的网络插件；

docker：是一个开源的应用容器引擎，用于运行容器。

进一步地，为了使两个网络域中的节点(云主机)不能相互访问，在执行所述步骤C时，还包括：创建安全组。

在一实施例中，所述SF网络域与所述DMZ网络域之间通过所述安全组进行通信。

优选地，在本实施例中，采用Etcd存储系统存储各节点信息。通过所述Etcd能够快速有效地添加或者删除当前各个Kubernetes节点的信息。

进一步地，为了方便在创建core应用时，所述业务容器能调度到VPC中指定的节点上，所述步骤C4之后还包括：

步骤C5：给所有节点配置指定的业务标签、网络域标签。例如，app＝core，region＝sf。

进一步地，为了隔离应用程序，所述步骤C包括：创建一个namespace资源对象。其中，一个或者多个应用程序会部署到一个网络域中的一个或多个业务集群中。

进一步地，在本实施例中，所述控制集群与所述业务集群之间通过高速通道进行通信。

步骤D：根据所述配置信息部署相应的应用容器。

优选地，为了确保所述应用容器创建成功后，能顺利调度到指定的节点上，所述步骤D包括：给每个应用程序配置好选择节点的配置项。优选地，在本实施例中，所述配置项包括：指定deployment中的spec.nodeSelector字段。

其中，deployment是Kubernetes的一种资源对象，用来更好的解决Pod的编排问题；pod代表一个应用；deployment是用来管理Kubernetes无状态应用的；spec.nodeSelector是让pod调度到配置特定标签的主机上。

优选地，一个或者多个应用程序有自己专属的运行环境，该一个或者多个应用程序与其它应用程序隔离；应用程序的资源不会被其它应用程序抢占，两个应用程序之间的异常问题，只可能因为接口调用异常，而不会因为资源抢占导致异常；通过这种隔离方式，可以提升问题定位效率，利于团队之间的协作。

例如，参照图4所示，为本发明基于Kubernetes和网络域的集群安全管理装置一实施例中的基于Kubernetes和网络域的集群安全管理程序的程序模块示意图。在该实施例中，所述基于Kubernetes和网络域的集群安全管理程序可以被分割为配置模块10、容器服务模块20、创建模块30、部署模块40、监控模块50、警报模块60以及日志模块70，示例性地：

所述配置模块10用于确定Kubernetes集群所需的配置信息。所述配置模块10还用于确定需要根据所述配置信息开通相应的容器服务的VPC、确定Kubernetes集群是否为高可用、及确定Kubernetes版本。

所述容器服务模块20用于根据所述配置信息开通相应的容器服务。

所述创建模块30用于根据所述配置信息创建与网络域相关联的业务集群。所述创建模块30还用于创建安全组。

所述部署模块40用于根据所述配置信息部署相应的应用容器。

所述监控模块50用于采集云主机性能指标，及用于根据采集到的云主机性能指标做界面图形展示。

所述监控模块50采用cAdvisor，cAdvisor是一个用于收集、聚合处理和输出容器运行指标的守护进程，通过cAdvisor能获取Kubernetes集群中Docker各种性能数据。

所述警报模块60用于当控制集群的组件出现异常时，或者业务集群中的组件或者pod出现异常时，发送警报消息给相关人员。

所述日志模块70用于当所述容器服务模块创建控制集群时生成日志。

所述创建模块30还用于指定业务集群所包含的节点数、业务名称和特定VPC的网络域；所述创建模块30还用于在指定业务集群所包含的节点数、业务名称和特定VPC的网络域后调用云主机创建接口；所述创建模块30还用于在调用云主机创建接口后创建云主机，并用于在创建云主机后将所有云主机添加到业务集群中，作为业务容器运行的节点。

进一步地，为了方便在创建core应用时，所述业务容器能调度到VPC中指定的节点上，所述创建模块30还用于给所有节点配置指定的业务标签、网络域标签。

优选地，为了确保所述应用容器创建成功后，能顺利调度到指定的节点上，所述部署模块40还用于给每个应用程序配置好选择节点的配置项。优选地，在本实施例中，所述配置项包括：指定deployment中的spec.nodeSelector字段。

优选地，本实施例中，采用Etcd存储系统存储各节点信息。通过所述Etcd能够快速有效地添加或者删除当前各个Kubernetes节点的信息。

上述配置模块10、容器服务模块20、创建模块30、部署模块40、监控模块50、警报模块60以及日志模块70等程序模块被执行时所实现的功能或操作步骤与上述实施例大体相同，在此不再赘述。

此外，本发明实施例还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有基于Kubernetes和网络域的集群安全管理程序，所述基于Kubernetes和网络域的集群安全管理程序可被一个或多个处理器执行，以实现如下操作：

步骤A：确定Kubernetes集群所需的配置信息；

步骤B：根据所述配置信息开通相应的容器服务；

步骤C：根据所述配置信息创建与网络域相关联的业务集群；

步骤D：根据所述配置信息部署相应的应用容器。

其中，执行所述步骤“根据所述配置信息创建与网络域相关联的业务集群”时，还包括：创建安全组。

本发明计算机可读存储介质具体实施方式与上述基于Kubernetes和网络域的集群安全管理装置和方法各实施例基本相同，在此不作累述。

本发明提出的基于Kubernetes和网络域的集群安全管理方法、装置及计算机可读存储介质，通过在配置集群所需的配置信息后根据所述配置信息开通相应的容器服务，根据所述配置信息创建与网络域相关联的业务集群、及创建安全组，并根据所述配置信息部署相应的应用容器，通过将不同类型的应用容器部署到不同的网络域，达到相互隔离的效果，又可通过在网络域间开通安全组，实现相互访问，解决了不同网络域之间相互隔离、相互访问的技术问题，从而方便业务管理，并增强了网络安全。

需要说明的是，上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。并且本文中的术语“包括”、或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一……”限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种基于Kubernetes和网络域的集群安全管理方法，其特征在于，所述基于Kubernetes和网络域的集群安全管理方法包括如下步骤：

确定Kubernetes集群所需的配置信息；其中，所述Kubernetes集群包括业务集群和控制集群；

根据所述配置信息开通相应的容器服务，该步骤包括：在指定的虚拟私有云VPC中创建控制集群；其中，所述控制集群用于部署和管理所述业务集群内的每个应用程序；

根据所述配置信息创建与网络域相关联的业务集群，该步骤包括：创建安全组，所述业务集群内的网络域之间通过所述安全组进行通信；

根据所述配置信息部署相应的应用容器；

其中，执行所述根据所述配置信息创建与网络域相关联的业务集群的步骤时，还包括：创建命名空间namespace资源对象，所述命名空间namespace资源对象用于将部署在所述网络域内的应用程序隔离。

2.如权利要求1所述的基于Kubernetes和网络域的集群安全管理方法，其特征在于，所述业务集群包括SF网络域与DMZ网络域，所述SF网络域与所述DMZ网络域之间通过所述安全组进行通信。

3.如权利要求2所述的基于Kubernetes和网络域的集群安全管理方法，其特征在于，所述SF网络域包括至少一组服务组件，每组SF网络域的服务组件包括kube-proxy、flannel、docker、及应用容器。

4.如权利要求2所述的基于Kubernetes和网络域的集群安全管理方法，其特征在于，所述DMZ网络域包括kube-proxy、flannel、docker、及应用容器。

5.如权利要求1或2所述的基于Kubernetes和网络域的集群安全管理方法，其特征在于，所述创建业务集群的步骤包括：

指定业务集群所包含的节点数、业务名称和特定VPC的网络域；

调用云主机创建接口；

创建云主机；

将云主机添加到业务集群中作为业务容器运行的节点。

6.如权利要求5所述的基于Kubernetes和网络域的集群安全管理方法，其特征在于，在所述将云主机添加到业务集群中作为业务容器运行的节点的步骤之后，所述创建业务集群的步骤还包括：给所有节点配置指定的业务标签、网络域标签。

7.如权利要求1或2所述的基于Kubernetes和网络域的集群安全管理方法，其特征在于，所述确定Kubernetes集群所需的配置信息的步骤包括：

确定需要根据所述配置信息开通相应的容器服务的虚拟私有云VPC；

确定Kubernetes集群是否为高可用；及

确定Kubernetes版本。

8.如权利要求1或2所述的基于Kubernetes和网络域的集群安全管理方法，其特征在于，所述在指定的私有云VPC中创建控制集群的步骤包括：监控步骤，创建控制集群时生成日志，以及警报步骤；所述监控步骤包括：

采集云主机性能指标；及

根据采集到的云主机性能指标做界面图形展示；

所述控制集群包括至少一组Kubernetes服务组件，每组Kubernetes服务组件包括：kube-proxy、kube-dns、tiller、addons、flanne。

9.一种基于Kubernetes和网络域的集群安全管理装置，其特征在于，该装置包括存储器和处理器，所述存储器存储有可在所述处理器上运行的基于Kubernetes和网络域的集群安全管理程序，所述基于Kubernetes和网络域的集群安全管理程序被所述处理器执行时实现如权利要求1至8任一项所述的基于Kubernetes和网络域的集群安全管理方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有基于Kubernetes和网络域的集群安全管理程序，所述基于Kubernetes和网络域的集群安全管理程序可被一个或者多个处理器执行，以实现如权利要求1至8任一项所述的基于Kubernetes和网络域的集群安全管理方法的步骤。