CN110825499B - 基于统一容器云平台的安全隔离的实现方法及装置 - Google Patents
基于统一容器云平台的安全隔离的实现方法及装置 Download PDFInfo
- Publication number
- CN110825499B CN110825499B CN202010029921.6A CN202010029921A CN110825499B CN 110825499 B CN110825499 B CN 110825499B CN 202010029921 A CN202010029921 A CN 202010029921A CN 110825499 B CN110825499 B CN 110825499B
- Authority
- CN
- China
- Prior art keywords
- instance
- cloud platform
- container
- container cloud
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Stored Programmes (AREA)
Abstract
本申请提供一种基于统一容器云平台的安全隔离的实现方法及装置,其中国,方法包括:基于容器云平台获取用户创建实例的请求信息;根据请求信息判断创建的实例类型;其中,实例类型包括容器以及虚拟机;根据实例类型调用对应的引擎在容器云平台中创建对应的实例,以使多个实例在容器云平台中实现安全隔离。因此,在一套统一的容器云平台的基础上,可以根据用户的请求建立不同类型的实例,包括容器或者虚拟机。同时,可以提供对不同类型的实例进行统一的管理,并且实现不同实例之间的安全隔离,从而在部署一套平台的基础上可以同时满足用户的安全和效率需求,解决了部署两套平台软硬件成本及运维成本较高的问题。
Description
技术领域
本申请涉及云计算领域,具体而言,涉及一种基于统一容器云平台的安全隔离的实现方法及装置。
背景技术
目前,大多数容器云平台提供商解决同时满足用户上云后对效率和安全需求的方法,基本为提供两套平台,即运行虚拟机的IaaS平台以及运行容器的PaaS平台,并实现两套平台的互通。但是,部署两套平台增加了额外的软硬件成本,同时,部署两套平台还增加了运维的复杂度,因为两套平台的技术体系不同,需要运维人员同时掌握两套平台的相关技术,间接增加了平台的运维成本。
发明内容
本申请实施例的目的在于提供一种基于统一容器云平台的安全隔离的实现方法及装置,用以解决部署两套平台软硬件成本及运维成本较高的技术问题。
为了实现上述目的,本申请实施例所提供的技术方案如下所示:
第一方面,本申请实施例提供一种基于统一容器云平台的安全隔离的实现方法,包括:基于容器云平台获取用户创建实例的请求信息;所述请求信息至少包括用于表征实例类型的标识信息;根据所述请求信息判断创建的所述实例类型;其中,所述实例类型包括容器以及虚拟机;根据所述实例类型调用对应的引擎在所述容器云平台中创建对应的实例,以使多个实例在所述容器云平台中实现安全隔离。因此,在一套统一的容器云平台的基础上,可以根据用户的请求建立不同类型的实例,包括容器或者虚拟机。同时,可以提供对不同类型的实例进行统一的管理,并且实现不同实例之间的安全隔离,从而在部署一套平台的基础上可以同时满足用户的安全和效率需求,解决了部署两套平台软硬件成本及运维成本较高的问题。
在本申请的可选实施例中,所述根据所述请求信息判断创建的所述实例的类型,包括:根据所述请求信息判断创建的所述实例的类型为所述容器;所述根据所述类型调用对应的引擎在所述容器云平台中创建对应的实例,包括:调用容器引擎创建对应的容器实例。因此,在一套统一的容器云平台的基础上,若用户想要部署效率更高的容器实例,则容器云平台可以直接请求由原容器平台的容器引擎进行处理,创建对应的容器实例。
在本申请的可选实施例中,所述根据所述请求信息判断创建的所述实例的类型,包括:根据所述请求信息判断创建的所述实例的类型为所述虚拟机;所述根据所述类型调用对应的引擎在所述容器云平台中创建对应的实例,包括:调用虚拟机引擎创建对应的虚拟机实例。因此,在一套统一的容器云平台的基础上,若用户想要部署安全性更高的虚拟机实例,则容器云平台可以请求由虚拟机引擎处理,创建对应的虚拟机实例。
在本申请的可选实施例中,所述类型还包括:安全沙箱;其中,所述安全沙箱为所述容器增加一个独立的内核;所述根据所述请求信息判断创建的所述实例的类型,包括:根据所述请求信息判断创建的所述实例的类型为所述安全沙箱;所述根据所述类型调用对应的引擎在所述容器云平台中创建对应的实例,包括:调用安全沙箱引擎创建对应的安全沙箱实例。因此,在一套统一的容器云平台的基础上,除了可以创建容器以及虚拟机实例,还可以创建效率及安全性都较高的安全沙箱实例。若用户想要部署效率及安全性都较高的安全沙箱实例,则容器云平台可以请求由安全沙县引擎处理,为容器增加一个独立的内核,从而创建对应的安全沙箱实例。
在本申请的可选实施例中,所述根据所述请求信息判断创建的所述实例的类型,包括:通过容器运行时接口代理根据所述请求信息判断创建的所述实例的类型。因此,可以通过实现一层标准的容器运行时接口代理,区分用户创建实例的请求信息,并根据请求信息调用对应的引擎创建对应的实例。同时,通过容器运行时接口代理创建实例时,可以保证创建的所有实例之间可以实现网络互通。
在本申请的可选实施例中,在所述根据所述类型调用对应的引擎在所述容器云平台中创建对应的实例之后,所述基于统一容器云平台的安全隔离的实现方法还包括:在物理网络上构造虚拟网路,并对多个实例与多个实例之间进行网络安全隔离。因此,可以通过在物理网络上构造虚拟网络,使多个实例与多个实例之间,根据用户的需求实现二层网络安全隔离。
第二方面,本申请实施例提供一种基于统一容器云平台的安全隔离的实现装置,包括:获取模块,用于基于容器云平台获取用户创建实例的请求信息;所述请求信息至少包括用于表征实例类型的标识信息;判断模块,用于根据所述请求信息判断创建的所述实例类型;其中,所述实例类型包括容器以及虚拟机;创建模块,用于根据所述实例类型调用对应的引擎在所述容器云平台中创建对应的实例,以使多个实例在所述容器云平台中实现安全隔离。因此,在一套统一的容器云平台的基础上,可以根据用户的请求建立不同类型的实例,包括容器或者虚拟机。同时,可以提供对不同类型的实例进行统一的管理,并且实现不同实例之间的安全隔离,从而在部署一套平台的基础上可以同时满足用户的安全和效率需求,解决了部署两套平台软硬件成本及运维成本较高的问题。
在本申请的可选实施例中,所述判断模块还用于:根据所述请求信息判断创建的所述实例的类型为所述容器;所述创建模块还用于:调用容器引擎创建对应的容器实例。因此,在一套统一的容器云平台的基础上,若用户想要部署效率更高的容器实例,则容器云平台可以直接请求由原容器平台的容器引擎进行处理,创建对应的容器实例。
在本申请的可选实施例中,所述判断模块还用于:根据所述请求信息判断创建的所述实例的类型为所述虚拟机;所述创建模块还用于:调用虚拟机引擎创建对应的虚拟机实例。因此,在一套统一的容器云平台的基础上,若用户想要部署安全性更高的虚拟机实例,则容器云平台可以请求由虚拟机引擎处理,创建对应的虚拟机实例。
在本申请的可选实施例中,所述类型还包括:安全沙箱;其中,所述安全沙箱为所述容器增加一个独立的内核;所述判断模块还用于:根据所述请求信息判断创建的所述实例的类型为所述安全沙箱;所述创建模块还用于:调用安全沙箱引擎创建对应的安全沙箱实例。因此,在一套统一的容器云平台的基础上,除了可以创建容器以及虚拟机实例,还可以创建效率及安全性都较高的安全沙箱实例。若用户想要部署效率及安全性都较高的安全沙箱实例,则容器云平台可以请求由安全沙县引擎处理,为容器增加一个独立的内核,从而创建对应的安全沙箱实例。
在本申请的可选实施例中,所述判断模块还用于:通过容器运行时接口代理根据所述请求信息判断创建的所述实例的类型。因此,可以通过实现一层标准的容器运行时接口代理,区分用户创建实例的请求信息,并根据请求信息调用对应的引擎创建对应的实例。同时,通过容器运行时接口代理创建实例时,可以保证创建的所有实例之间可以实现网络互通。
在本申请的可选实施例中,所述基于统一容器云平台的安全隔离的实现装置还包括:构造模块,用于在物理网络上构造虚拟网路,并对多个实例与多个实例之间进行网络安全隔离。因此,可以通过在物理网络上构造虚拟网络,使多个实例与多个实例之间,根据用户的需求实现二层网络安全隔离。
第三方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线;所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如第一方面中的基于统一容器云平台的安全隔离的实现方法。
第四方面,本申请实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面中的基于统一容器云平台的安全隔离的实现方法。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举本申请实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种基于统一容器云平台的安全隔离的实现方法的流程图;
图2为本申请实施例提供的一种基于统一容器云平台的安全隔离的实现装置的结构框图;
图3为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
随着容器云技术的不断发展和成熟,现在已经有越来越多的项目和应用迁移上云,在此过程中,云平台自身的强安全性显的越来越重要。一般的,虚拟机的隔离性比容器的隔离性强,能够更好的保证应用安全,所以,目前大多数云提供商都会提供两套平台,即运行虚拟机的IaaS平台和运行容器的PaaS平台,来满足用户的安全和效率需求。但是,部署两套平台增加了额外的软硬件成本;同时也增加了运维的复杂度,因为两套平台的技术体系不同,需要运维人员同时掌握两套平台的相关技术,间接增加了平台的运维成本平台的成本;此外,在一些特定的领域,这样的模式并不合适。
基于上述分析,申请人提供了一种基于统一容器云平台的安全隔离的实现方法,该方法在一套统一的容器云平台的基础上,提供对容器、安全沙箱、虚拟机等的统一管理,并提供容器、安全沙箱、虚拟机等的网络互通和网络安全隔离,从而在统一容器云平台的基础上实现多级别的强安全隔离,解决为满足用户的安全和效率需求部署两套或多套平台带来的复杂度提升和成本提高的问题。
下面对本申请实施例提供的基于统一容器云平台的安全隔离的实现方法进行详细的介绍。
请参照图1,图1为本申请实施例提供的一种基于统一容器云平台的安全隔离的实现方法的流程图,该基于统一容器云平台的安全隔离的实现方法可以包括如下步骤:
步骤S101:基于容器云平台获取用户创建实例的请求信息。
步骤S102:根据请求信息判断创建的实例类型。
步骤S103:根据实例类型调用对应的引擎在容器云平台中创建对应的实例,以使多个实例在容器云平台中实现安全隔离。
具体的,可以在一套统一的容器云平台的基础上,获取用户创建实例的请求信息,其中,容器云平台获取到的请求信息可以至少包括用于表征实例类型的标识信息,从而使得容器云平台可以根据上述表征实例类型的标识信息执行创建对应的实例的后续步骤。
作为一种实施方式,容器云平台获取的请求信息可以是用户通过终端设备发送的用于创建对应实例的请求指令,例如:用户通过电脑发送创建容器实例的请求指令。
作为另一种实施方式,容器云平台获取的请求信息中,除了包括用于表征实例类型的标识信息,还可以包括其他信息,例如:创建实例的基本信息、创建实例的需求信息等,本申请实施例对此不作具体的限定,本领域技术人员可以根据实际情况进行合适的调整。
容器云平台在获取到请求信息后,可以根据请求信息中的标识信息判断用户想要创建的实例类型,例如:容器或者虚拟机。
其中,容器是应用服务器中位于组件和平台之间的接口集合,一般位于应用服务器之内,由应用服务器负责加载和维护。容器是伴随着瘦客户端系统的发展而诞生的,在开发瘦客户端系统的过程中,为了减少开发人员花费大量的精力去关注线程安全、事务、网络、资源等等细节,所以从代码重用和设计模式的角度出发(由于这些对这些细节的解决方法一般是固定不变,或者只有参数改变的),可以将底层细节提取出来,做成平台,并提供一定的接口,从而可以仅仅专注于业务逻辑的实现,提高工作的效率。
因此,容器在使用的过程中可以近几年通过对容器参数的配置,而不需要修改容器的代码,便能够达到使用的需求,也因此,部署容器时具有较高的效率。但是,由于一个容器只能存在于一个应用服务器之内,一个应用服务器可以建立和维护多个容器,且多个容器之间共用一个内核,因此,容器之间的安全隔离性较差。
而虚拟机(Virtual Machine),是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在计算机中创建虚拟机时,需要将实体机的部分硬盘和内存容量作为虚拟机的硬盘和内存容量,且每个虚拟机都有独立的硬盘、操作系统等,因此,在实体计算机中能够完成的工作在虚拟机中都能够实现。也因此,部署虚拟机时的效率较低,但是,虚拟机巨头较强的安全隔离性。
因此,用户在由不同的需求时,可以根据需求向容器云平台发送请求信息,并在请求信息中标记自己想要创建的实例类型。当用户对效率要求较高而对安全隔离性要求较低时,可以请求创建容器实例;反之,当用户对效率要求较低而对安全隔离性要求较高时,可以请求创建虚拟机实例。从而用户可以基于一套容器云平台,便可以实现多种类型的实例的创建。
容器云平台在判断出用户想要创建的实例类型之后,则可以根据上述判断的实例类型,调用对应的引擎在容器云平台中创建对应的实例。其中,当容器云平台判断出不同的实例类型时,创建某种实力类型的过程将在后续实施例中进行详细的介绍,此处不再赘述。
由于创建得到的容器实例或者虚拟机实例在底层具有一定的安全隔离性,因此,基于一套容器云平台创建的容器实例或者虚拟机实例具备一定的安全隔离性,从而使得多个实例在容器云平台中实现了安全隔离。
在本申请实施例中,在一套统一的容器云平台的基础上,可以根据用户的请求建立不同类型的实例,包括容器或者虚拟机。同时,可以提供对不同类型的实例进行统一的管理,并且实现不同实例之间的安全隔离,从而在部署一套平台的基础上可以同时满足用户的安全和效率需求,解决了部署两套平台软硬件成本及运维成本较高的问题。
进一步的,在请求信息表征用户需要创建不同的实例时,步骤S103执行时的步骤略有不同,下面以容器、虚拟机进行举例说明。
在步骤S102包括如下步骤时:
根据请求信息判断创建的实例的类型为容器。
步骤S103可以包括如下步骤:
调用容器引擎创建对应的容器实例。
具体的,当容器云平台判断用户发送的请求信息表征其想要创建容器实例时,容器云平台可以直接请求原容器云平台中的容器引擎进行处理,由容器引擎完成对容器实例的创建。
在本申请实施例中,在一套统一的容器云平台的基础上,若用户想要部署效率更高的容器实例,则容器云平台可以直接请求由原容器平台的容器引擎进行处理,创建对应的容器实例。
在步骤S102包括如下步骤时:
根据请求信息判断创建的实例的类型为所述虚拟机。
步骤S103可以包括如下步骤:
调用虚拟机引擎创建对应的虚拟机实例。
具体的,当容器云平台判断用户发送的请求信息表征其想要创建虚拟机实例时,容器云平台可以请求虚拟机引擎进行处理,由虚拟机引擎完成对虚拟机实例的创建。作为一种实施方式,虚拟机引擎可以是一个对Libvirtd(一种用于管理虚拟化平台的开源的应用程序接口(Application Programming Interface,API))的封装实现,它通过调用Libvirtd实现对虚拟机的管理,以完成对虚拟机的创建。
在本申请实施例中,在一套统一的容器云平台的基础上,若用户想要部署安全性更高的虚拟机实例,则容器云平台可以请求由虚拟机引擎处理,创建对应的虚拟机实例。
进一步的,用户请求创建的实例除了容器以及虚拟机,还可以是安全沙箱,此时,在步骤S102包括如下步骤时:
根据请求信息判断创建的实例的类型为安全沙箱。
步骤S103可以包括如下步骤:
调用安全沙箱引擎创建对应的安全沙箱实例。
具体的,安全沙箱是一种按照安全策略限制程序行为的执行环境。安全沙箱是一个虚拟系统程序,允许在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。因此,其为一个独立的虚拟环境,可以用来测试不受信任的应用程序或上网行为。
与容器相比,安全沙箱可以理解为给容器增加了一个独立的内核(例如:Linux内核),因此,其安全隔离性比容器要高;而与虚拟机相比,安全沙箱中增加内核的原理是基于虚拟机的沙箱技术,并且通过使用NEMU(一个轻量级的QEMU实现),显著降低了其启动时间和内存消耗,因此,其部署的效率比虚拟机更高。因此,当用户即要求效率也要求安全隔离性时,可以选择创建安全沙箱实例。但是,安全沙箱无法支持图形化、音视频等能力。
当容器云平台判断用户发送的请求信息表征其想要创建安全沙箱实例时,容器云平台可以直接请求安全沙箱引擎进行处理,由安全沙箱引擎完成对安全沙箱实例的创建。作为一种实施方式,安全沙箱引擎是一个符合ORACLE调用接口(Oracle Call Interface,OCI)运行时规范的实现,它为每个容器增加一个独立的Linux内核,从而实现对安全沙箱实例的创建。
在本申请实施例中,在一套统一的容器云平台的基础上,除了可以创建容器以及虚拟机实例,还可以创建效率及安全性都较高的安全沙箱实例。若用户想要部署效率及安全性都较高的安全沙箱实例,则容器云平台可以请求由安全沙县引擎处理,为容器增加一个独立的内核,从而创建对应的安全沙箱实例。
进一步的,步骤S102还可以包括如下步骤:
通过容器运行时接口代理根据请求信息判断创建的实例的类型。
具体的,在基于一套统一的容器云平台实现多种类型的实例创建时,可以引入一层标准的容器运行时接口(Container Runtime Interface,CRI)代理。其中,CRI是一个负责比如启停容器这样的事情的底层软件,在本申请实施例中,CRI可以实现对用户发送的请求信息表征的实例类型进行判断,并根据判断结果调用对应的引擎创建对应的实例。例如:CRI接收到用户的请求信息,判断该请求信息表征该用户想要创建一个虚拟机实例,那么CRI可以调用虚拟机引擎完成对虚拟机实例的创建;用户想要创建容器或者安全沙箱时的过程与上述创建虚拟机的过程类似,此处不再赘述。
除此之外,使用CRI调用引擎创建实例,还可以保证创建的不同类型的实例之间可以在底层实现网络互通,从而为用户即提供容器、安全沙箱和虚拟机的网络互通,也提供容器、安全沙箱和虚拟机的网络安全隔离。
在本申请实施例中,可以通过实现一层标准的容器运行时接口代理,区分用户创建实例的请求信息,并根据请求信息调用对应的引擎创建对应的实例。同时,通过容器运行时接口代理创建实例时,可以保证创建的所有实例之间可以实现网络互通。
进一步的,在步骤S103之后,本申请实施例提供的基于统一容器云平台的安全隔离的实现方法还可以包括如下步骤:
在物理网络上构造虚拟网路,并对多个实例与多个实例之间进行网络安全隔离。
具体的,在实际使用的过程中,用户可能会对不同的实例之间由特殊的安全隔离要求,例如:在一个公司的生产系统中,包括财务部系统以及市场部系统,现在用户想要隔离这两个部门的系统,则可以通过在物理网络上构造虚拟网路,实现对多个实例与多个实例之间进行网络安全隔离。
作为一种实施方式,可以基于Overlay技术在物理网络上构造虚拟网络,然后使用VXLAN协议(一种网络虚似化技术)对每个虚拟私有云(Virtual Private Cloud,VPC)网络进行隔离,保证二层逻辑隔离,无法进行通信。同时,还可以将网络中的实例划分成不同的安全域,并为每个安全域定义不同的访问控制规则。因此,通过上述方式,可以实现多个实例与多个实例之间进行网络安全隔离。
基于上述多个实例与多个实例之间进行网络安全隔离,以及前面实施例中多个实例在容器云平台中实现安全隔离,该基于一套统一的容器云平台进行创建不同类型的实例的过程,实现了容器、安全沙箱和虚拟机的网络互通以及多级网络安全隔离(底层网络及二层网络)。
在本申请实施例中,可以通过在物理网络上构造虚拟网络,使多个实例与多个实例之间,根据用户的需求实现二层网络安全隔离。
请参照图2,图2为本申请实施例提供的一种基于统一容器云平台的安全隔离的实现装置的结构框图,该基于统一容器云平台的安全隔离的实现装置的结构框图200包括:获取模块201,用于基于容器云平台获取用户创建实例的请求信息;所述请求信息至少包括用于表征实例类型的标识信息;判断模块202,用于根据所述请求信息判断创建的所述实例类型;其中,所述实例类型包括容器以及虚拟机;创建模块203,用于根据所述实例类型调用对应的引擎在所述容器云平台中创建对应的实例,以使多个实例在所述容器云平台中实现安全隔离。
在本申请实施例中,在一套统一的容器云平台的基础上,可以根据用户的请求建立不同类型的实例,包括容器或者虚拟机。同时,可以提供对不同类型的实例进行统一的管理,并且实现不同实例之间的安全隔离,从而在部署一套平台的基础上可以同时满足用户的安全和效率需求,解决了部署两套平台软硬件成本及运维成本较高的问题。
进一步的,所述判断模块202还用于:根据所述请求信息判断创建的所述实例的类型为所述容器;所述创建模块203还用于:调用容器引擎创建对应的容器实例。
在本申请实施例中,在一套统一的容器云平台的基础上,若用户想要部署效率更高的容器实例,则容器云平台可以直接请求由原容器平台的容器引擎进行处理,创建对应的容器实例。
进一步的,所述判断模块202还用于:根据所述请求信息判断创建的所述实例的类型为所述虚拟机;所述创建模块203还用于:调用虚拟机引擎创建对应的虚拟机实例。
在本申请实施例中,在一套统一的容器云平台的基础上,若用户想要部署安全性更高的虚拟机实例,则容器云平台可以请求由虚拟机引擎处理,创建对应的虚拟机实例。
进一步的,所述类型还包括:安全沙箱;其中,所述安全沙箱为所述容器增加一个独立的内核;所述判断模块202还用于:根据所述请求信息判断创建的所述实例的类型为所述安全沙箱;所述创建模块203还用于:调用安全沙箱引擎创建对应的安全沙箱实例。
在本申请实施例中,在一套统一的容器云平台的基础上,除了可以创建容器以及虚拟机实例,还可以创建效率及安全性都较高的安全沙箱实例。若用户想要部署效率及安全性都较高的安全沙箱实例,则容器云平台可以请求由安全沙县引擎处理,为容器增加一个独立的内核,从而创建对应的安全沙箱实例。
进一步的,所述判断模块202还用于:通过容器运行时接口代理根据所述请求信息判断创建的所述实例的类型。
在本申请实施例中,可以通过实现一层标准的容器运行时接口代理,区分用户创建实例的请求信息,并根据请求信息调用对应的引擎创建对应的实例。同时,通过容器运行时接口代理创建实例时,可以保证创建的所有实例之间可以实现网络互通。
进一步的,所述基于统一容器云平台的安全隔离的实现装置200还包括:构造模块,用于在物理网络上构造虚拟网路,并对多个实例与多个实例之间进行网络安全隔离。
在本申请实施例中,可以通过在物理网络上构造虚拟网络,使多个实例与多个实例之间,根据用户的需求实现二层网络安全隔离。
请参照图3,图3为本申请实施例提供的一种电子设备的结构框图,该电子设备包括:至少一个处理器301,至少一个通信接口302,至少一个存储器303和至少一个通信总线304。其中,通信总线304用于实现这些组件直接的连接通信,通信接口302用于与其他节点设备进行信令或数据的通信,存储器303存储有处理器301可执行的机器可读指令。当电子设备运行时,处理器301与存储器303之间通过通信总线304通信,机器可读指令被处理器301调用时执行上述基于统一容器云平台的安全隔离的实现方法。
例如,本申请实施例的处理器301通过通信总线303从存储器303读取计算机程序并执行该计算机程序可以实现如下方法:步骤S101:基于容器云平台获取用户创建实例的请求信息。步骤S102:根据请求信息判断创建的实例类型。步骤S103:根据实例类型调用对应的引擎在容器云平台中创建对应的实例,以使多个实例在容器云平台中实现安全隔离。在一些示例中,处理器301还可以实现对多个实例与多个实例之间进行网络安全隔离,也就是说,可以执行如下步骤:在物理网络上构造虚拟网路,并对多个实例与多个实例之间进行网络安全隔离。
处理器301可以是一种集成电路芯片,具有信号处理能力。上述处理器301可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器303可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
可以理解,图3所示的结构仅为示意,电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。于本申请实施例中,电子设备可以是,但不限于台式机、笔记本电脑、智能手机、智能穿戴设备、车载设备等实体设备,还可以是虚拟机等虚拟设备。另外,电子设备也不一定是单台设备,还可以是多台设备的组合,例如服务器集群,等等。于本申请实施例中,基于统一容器云平台的安全隔离的实现方法中的容器云平台可以采用图3示出的电子设备实现。
本申请实施例还提供一种计算机程序产品,包括存储在非暂态计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令被计算机执行时,计算机能够执行上述实施例中基于统一容器云平台的安全隔离的实现方法的步骤,例如包括:基于容器云平台获取用户创建实例的请求信息;所述请求信息至少包括用于表征实例类型的标识信息;根据所述请求信息判断创建的所述实例类型;其中,所述实例类型包括容器以及虚拟机;根据所述实例类型调用对应的引擎在所述容器云平台中创建对应的实例,以使多个实例在所述容器云平台中实现安全隔离。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (8)
1.一种基于统一容器云平台的安全隔离的实现方法,其特征在于,包括:
基于容器云平台获取用户创建实例的请求信息;所述请求信息至少包括用于表征实例类型的标识信息;
根据所述请求信息判断创建的所述实例类型;其中,所述实例类型包括容器以及虚拟机;
根据所述实例类型调用对应的引擎在所述容器云平台中创建对应的实例,以使多个实例在所述容器云平台中实现安全隔离;
在所述根据所述类型调用对应的引擎在所述容器云平台中创建对应的实例之后,所述基于统一容器云平台的安全隔离的实现方法还包括:
在物理网络上构造虚拟网路,并对多个实例与多个实例之间进行网络安全隔离;和/或,
将网络中的实例划分成不同的安全域,并为每个安全域定义不同的访问控制规则。
2.根据权利要求1所述的基于统一容器云平台的安全隔离的实现方法,其特征在于,所述根据所述请求信息判断创建的所述实例的类型,包括:
根据所述请求信息判断创建的所述实例的类型为所述容器;
所述根据所述类型调用对应的引擎在所述容器云平台中创建对应的实例,包括:
调用容器引擎创建对应的容器实例。
3.根据权利要求1所述的基于统一容器云平台的安全隔离的实现方法,其特征在于,所述根据所述请求信息判断创建的所述实例的类型,包括:
根据所述请求信息判断创建的所述实例的类型为所述虚拟机;
所述根据所述类型调用对应的引擎在所述容器云平台中创建对应的实例,包括:
调用虚拟机引擎创建对应的虚拟机实例。
4.根据权利要求1所述的基于统一容器云平台的安全隔离的实现方法,其特征在于,所述类型还包括:安全沙箱;其中,所述安全沙箱为所述容器增加一个独立的内核;
所述根据所述请求信息判断创建的所述实例的类型,包括:
根据所述请求信息判断创建的所述实例的类型为所述安全沙箱;
所述根据所述类型调用对应的引擎在所述容器云平台中创建对应的实例,包括:
调用安全沙箱引擎创建对应的安全沙箱实例。
5.根据权利要求1-4任一项所述的基于统一容器云平台的安全隔离的实现方法,其特征在于,所述根据所述请求信息判断创建的所述实例的类型,包括:
通过容器运行时接口代理根据所述请求信息判断创建的所述实例的类型。
6.一种基于统一容器云平台的安全隔离的实现装置,其特征在于,包括:
获取模块,用于基于容器云平台获取用户创建实例的请求信息;所述请求信息至少包括用于表征实例类型的标识信息;
判断模块,用于根据所述请求信息判断创建的所述实例类型;其中,所述实例类型包括容器以及虚拟机;
创建模块,用于根据所述实例类型调用对应的引擎在所述容器云平台中创建对应的实例,以使多个实例在所述容器云平台中实现安全隔离;
所述基于统一容器云平台的安全隔离的实现装置还包括:
构造模块,用于在物理网络上构造虚拟网路,并对多个实例与多个实例之间进行网络安全隔离;和/或,
将网络中的实例划分成不同的安全域,并为每个安全域定义不同的访问控制规则。
7.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-5任一项所述的基于统一容器云平台的安全隔离的实现方法。
8.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令被计算机运行时,使所述计算机执行如权利要求1-5任一项所述的基于统一容器云平台的安全隔离的实现方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010029921.6A CN110825499B (zh) | 2020-01-13 | 2020-01-13 | 基于统一容器云平台的安全隔离的实现方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010029921.6A CN110825499B (zh) | 2020-01-13 | 2020-01-13 | 基于统一容器云平台的安全隔离的实现方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110825499A CN110825499A (zh) | 2020-02-21 |
| CN110825499B true CN110825499B (zh) | 2020-06-19 |
Family
ID=69546604
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010029921.6A Active CN110825499B (zh) | 2020-01-13 | 2020-01-13 | 基于统一容器云平台的安全隔离的实现方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110825499B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113467988A (zh) * | 2020-03-30 | 2021-10-01 | 阿里巴巴集团控股有限公司 | 容灾系统的处理方法、装置和系统 |
| CN112148489B (zh) * | 2020-09-22 | 2024-07-23 | 网易(杭州)网络有限公司 | 游戏资源调度方法、装置、设备及存储介质 |
| CN112130960A (zh) * | 2020-09-29 | 2020-12-25 | 联想(北京)有限公司 | 一种轻量化移动边缘计算节点及构建方法 |
| CN115033302A (zh) * | 2022-05-27 | 2022-09-09 | 天翼云科技有限公司 | 一种安全加固方法、装置、设备及介质 |
| CN115225635A (zh) * | 2022-06-30 | 2022-10-21 | 浪潮云信息技术股份公司 | 一种多云纳管方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105245373A (zh) * | 2015-10-12 | 2016-01-13 | 天津市普迅电力信息技术有限公司 | 一种容器云平台系统的搭建及运行方法 |
| CN109815034A (zh) * | 2019-01-25 | 2019-05-28 | 北京仿真中心 | 一种工程软件资源云服务方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9811668B2 (en) * | 2015-04-21 | 2017-11-07 | Sap Se | Multi-context exploit test management |
-
2020
- 2020-01-13 CN CN202010029921.6A patent/CN110825499B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105245373A (zh) * | 2015-10-12 | 2016-01-13 | 天津市普迅电力信息技术有限公司 | 一种容器云平台系统的搭建及运行方法 |
| CN109815034A (zh) * | 2019-01-25 | 2019-05-28 | 北京仿真中心 | 一种工程软件资源云服务方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110825499A (zh) | 2020-02-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110825499B (zh) | 基于统一容器云平台的安全隔离的实现方法及装置 | |
| WO2019090993A1 (zh) | 监控系统的部署方法、装置、计算机设备及存储介质 | |
| CN108287708B (zh) | 一种数据处理方法、装置、服务器及计算机可读存储介质 | |
| US10594800B2 (en) | Platform runtime abstraction | |
| JP2014521184A (ja) | 信頼レベルのアクティブ化 | |
| CN108021400B (zh) | 数据处理方法及装置、计算机存储介质及设备 | |
| CN108376066B (zh) | 代码处理装置及代码处理方法 | |
| US7591021B2 (en) | Object model document for obfuscating object model therein | |
| CN117573338A (zh) | 一种资源分配方法、装置及电子设备 | |
| CN106775608B (zh) | 独立系统进程的实现方法和装置 | |
| CN110599112B (zh) | 一种网络页面开发、维护方法和装置 | |
| CN115599268A (zh) | 一种屏幕截图方法、计算设备和存储介质 | |
| CN112764729B (zh) | 应用软件开发方法、装置、计算机设备及可读存储介质 | |
| CN114780361A (zh) | 日志生成方法、装置、计算机系统及可读存储介质 | |
| CN114003603A (zh) | 基于大数据平台的数据导出方法、系统及存储介质 | |
| CN105701400A (zh) | 一种虚拟机平台的安全控制方法及装置 | |
| CN113515326B (zh) | 数据转换方法、装置、电子设备以及存储介质 | |
| US12124561B2 (en) | Embedding security requirements in container images | |
| US20240103818A1 (en) | Annotation driven just in time and state-based rbac policy control | |
| CN117909035A (zh) | 一种对象能力调整方法、装置、电子设备及存储介质 | |
| CN113626005B (zh) | 一种区块链基础合约开发部署方法、设备及储存介质 | |
| CN116700842B (zh) | 数据对象的读写方法、装置、计算设备及存储介质 | |
| US20220129539A1 (en) | Embedding security requirements in container images | |
| US20240265084A1 (en) | Selectively validating and enabling resource enablers of a secure workspace | |
| CN112817573B (zh) | 用于构建流式计算应用的方法、装置、计算机系统和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |