CN111709014A - 一种应用隔离方法、系统、设备及计算机可读存储介质 - Google Patents
一种应用隔离方法、系统、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111709014A CN111709014A CN202010461867.2A CN202010461867A CN111709014A CN 111709014 A CN111709014 A CN 111709014A CN 202010461867 A CN202010461867 A CN 202010461867A CN 111709014 A CN111709014 A CN 111709014A
- Authority
- CN
- China
- Prior art keywords
- policy
- rule
- component
- isolation
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 118
- 238000004590 computer program Methods 0.000 claims description 41
- 241000322338 Loeseliastrum Species 0.000 claims description 24
- 238000000034 method Methods 0.000 claims description 20
- 238000012986 modification Methods 0.000 claims description 15
- 230000004048 modification Effects 0.000 claims description 15
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 230000000875 corresponding effect Effects 0.000 description 86
- 238000004891 communication Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000001914 filtration Methods 0.000 description 2
- OYPRJOBELJOOCE-UHFFFAOYSA-N Calcium Chemical compound [Ca] OYPRJOBELJOOCE-UHFFFAOYSA-N 0.000 description 1
- 229910052791 calcium Inorganic materials 0.000 description 1
- 239000011575 calcium Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种应用隔离方法、系统、设备及计算机可读存储介质,确定出Kubernetes中待隔离的目标应用;获取目标应用中各个组件的隔离策略;创建与目标应用对应的初始网络安全策略;基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签,得到目标网络安全策略;将目标网络安全策略转换为与Kubernetes匹配的Iptables规则;基于Iptables规则对目标应用进行隔离。本申请中,根据组件的隔离策略修改初始网络安全策略,得到与隔离策略相符的目标网络安全策略,并且之后将目标网络安全策略转换为与Kubernetes匹配的Iptables规则,实现了对Kubernetes中应用的隔离。
Description
技术领域
本申请涉及应用隔离技术领域,更具体地说,涉及一种应用隔离方法、系统、设备及计算机可读存储介质。
背景技术
Kubernetes,简称K8s,是用8代替8个字符“ubernete”而成的缩写,是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。
在Kubernetes的应用过程中,有时处于安全、限制网络流量的目的,需要控制实体之间的联连通性,比如对应用进行隔离等,而现有技术中并未有对应用进行隔离的方法。
综上所述,如何实现Kubernetes内的应用隔离是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种应用隔离方法,其能在一定程度上解决如何实现Kubernetes内的应用隔离的技术问题。本申请还提供了一种应用隔离系统、设备及计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种应用隔离方法,包括:
确定出Kubernetes中待隔离的目标应用;
获取所述目标应用中各个组件的隔离策略;
创建与所述目标应用对应的初始网络安全策略;
基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签,得到目标网络安全策略;
将所述目标网络安全策略转换为与所述Kubernetes匹配的Iptables规则;
基于所述Iptables规则对所述目标应用进行隔离。
优选的,所述创建与所述目标应用对应的初始网络安全策略,包括:
创建所述初始网络安全策略;
将所述初始网络安全策略的pod选择器字段设置为匹配表达式的形式;
将所述初始网络安全策略的operator值设为条件运算符In;
将所述初始网络安全策略的所述匹配标签设置为所述目标应用中所有组件的标识的集合。
优选的,所述基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签,包括:
基于所述隔离策略中的被访问策略修改所述入栈规则;
基于所述隔离策略中的主动访问策略修改所述出栈规则;
将所述匹配标签的值设置为所述隔离策略中被隔离的组件的标识;
其中,所述被访问策略表征其他组件访问所述目标应用的组件的策略;所述主动访问策略表征所述目标应用的组件访问其他组件的策略。
优选的,所述基于所述隔离策略中的被访问策略修改所述入栈规则,包括:
确定出与所述被访问策略对应的第一组件;
将所述入栈规则中所述第一组件对应的端口号修改为所述被访问策略中的对应端口号;
将所述入栈规则中所述第一组件对应的网络数据交换规则修改为所述被访问策略中的对应网络数据交换规则;
将所述入栈规则中所述第一组件对应的pod选择器字段修改为matchlabel,将所述matchlabel的值设置为所述被访问策略中对应的其他组件的标识。
优选的,所述基于所述隔离策略中的主动访问策略修改所述出栈规则,包括:
确定出与所述主动访问策略对应的第二组件;
将所述出栈规则中所述第二组件对应的端口号修改为所述主动访问策略中的对应端口号;
将所述出栈规则中所述第二组件对应的网络数据交换规则修改为所述主动访问策略中的对应网络数据交换规则;
将所述出栈规则中所述第二组件对应的pod选择器字段修改为matchlabel,将所述matchlabel的值设置为所述主动访问策略中对应的其他组件的标识。
优选的,所述确定出Kubernetes中待隔离的目标应用之前,还包括:
在所述Kubernetes中部署calico网络插件;
将所述calico网络插件中的calico node设置为以demonest方式运行;
将所述calico网络插件中的calicocontroller设置为以无状态负载方式运行。
优选的,所述组件的标识包括所述组件的标签。
一种应用隔离系统,包括:
第一确定模块,用于确定出Kubernetes中待隔离的目标应用;
第一获取模块,用于获取所述目标应用中各个组件的隔离策略;
第一创建模块,用于创建与所述目标应用对应的初始网络安全策略;
第一修改模块,用于基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签,得到目标网络安全策略;
第一转换模块,用于将所述目标网络安全策略转换为与所述Kubernetes匹配的Iptables规则;
第一隔离模块,用于基于所述Iptables规则对所述目标应用进行隔离。
一种应用隔离设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一项所述应用隔离方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述应用隔离方法的步骤。
本申请提供的一种应用隔离方法,确定出Kubernetes中待隔离的目标应用;获取目标应用中各个组件的隔离策略;创建与目标应用对应的初始网络安全策略;基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签,得到目标网络安全策略;将目标网络安全策略转换为与Kubernetes匹配的Iptables规则;基于Iptables规则对目标应用进行隔离。本申请中,可以根据组件的隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签,得到与隔离策略相符的目标网络安全策略,并且之后将目标网络安全策略转换为与Kubernetes匹配的Iptables规则,从而可以基于Iptables规则对目标应用进行隔离,实现了对Kubernetes中应用的隔离。本申请提供的一种应用隔离系统、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种应用隔离方法的流程图;
图2为本申请实施例提供的一种应用隔离系统的结构示意图;
图3为本申请实施例提供的一种应用隔离设备的结构示意图;
图4为本申请实施例提供的一种应用隔离设备的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,图1为本申请实施例提供的一种应用隔离方法的流程图。
本申请实施例提供的一种应用隔离方法,可以包括以下步骤:
步骤S101:确定出Kubernetes中待隔离的目标应用。
实际应用中,可以先确定出Kubernetes中待隔离的目标应用,目标应用的类型及数量均可以根据实际需要确定,且待隔离的目标应用可以由用户等进行指定。
步骤S102:获取目标应用中各个组件的隔离策略。
实际应用中,在确定出Kubernetes中待隔离的目标应用之后,便可以获取目标应用中各个组件的隔离策略,隔离策略也可以由用户等进行指定。
步骤S103:创建与目标应用对应的初始网络安全策略。
实际应用中,在获取目标应用中各个组件的隔离策略之后,便可以创建与目标应用对应的初始网络安全策略(NetWorkPolicy),用于对目标应用的各个组件进行隔离,比如完全隔离或者完全公开等。
步骤S104:基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签,得到目标网络安全策略。
实际应用中,由于初始网络策略的入栈规则可以限制其他组件访问组件的访问信息,出栈规则可以限制组件访问其他组件的访问信息,匹配标签能够限制其他组件的身份信息,所以在创建与目标应用对应的初始网络安全策略之后,可以基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签,得到与隔离策略相符合的目标网络安全策略。
步骤S105:将目标网络安全策略转换为与Kubernetes匹配的Iptables规则。
步骤S106:基于Iptables规则对目标应用进行隔离。
实际应用中,在得到目标网络安全策略之后,便可以将目标网络安全策略转换为与Kubernetes匹配的Iptables规则,并基于Iptables规则对目标应用进行隔离,以实现对Kubernetes中目标应用的应用隔离。其中,Iptables规则是与最新的3.5版本Linux内核集成的IP信息包过滤系统,如果Linux系统连接到因特网或LAN、服务器或连接LAN(局域网)和因特网的代理服务器,则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。
本申请提供的一种应用隔离方法,确定出Kubernetes中待隔离的目标应用;获取目标应用中各个组件的隔离策略;创建与目标应用对应的初始网络安全策略;基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签,得到目标网络安全策略;将目标网络安全策略转换为与Kubernetes匹配的Iptables规则;基于Iptables规则对目标应用进行隔离。本申请中,可以根据组件的隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签,得到与隔离策略相符的目标网络安全策略,并且之后将目标网络安全策略转换为与Kubernetes匹配的Iptables规则,从而可以基于Iptables规则对目标应用进行隔离,实现了对Kubernetes中应用的隔离。
本申请实施例提供的一种应用隔离方法,创建与目标应用对应的初始网络安全策略的步骤,可以具体为:创建初始网络安全策略;将初始网络安全策略的pod选择器(podSelecttor)字段设置为匹配表达式(matchExpression)的形式;将初始网络安全策略的operator值设为条件运算符In;将初始网络安全策略的匹配标签设置为目标应用中所有组件的标识的集合。应当指出,在将初始网络安全策略的匹配标签设置为目标应用中所有组件的标识的集合的过程中,标识间可以以逗号隔开,这样可以减少NetWorkPolicy的个数,从而避免了在宿主机上创建大量Iptables规则所导致的效率问题;此外,按照上述操作对初始网络安全策略进行设置后,当前应用便处于一种完全隔离的状态,即不允许任何流量进入应用内部,也不允许任何流量流出当前应用。
本申请实施例提供的一种应用隔离方法,基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签的步骤,可以具体为:基于隔离策略中的被访问策略修改入栈规则;基于隔离策略中的主动访问策略修改出栈规则;将匹配标签的值设置为隔离策略中被隔离的组件的标识;其中,被访问策略表征其他组件访问目标应用的组件的策略;主动访问策略表征目标应用的组件访问其他组件的策略。也即可以在隔离策略中设置被访问策略、主动访问策略及被隔离的组件的标识,后续可以直接基于隔离策略中的被访问策略修改入栈规则,基于隔离策略中的主动访问策略修改出栈规则,将匹配标签的值设置为隔离策略中被隔离的组件的标识,从而快速完成对初始网络安全策略的修改。
实际应用中,基于隔离策略中的被访问策略修改入栈规则的过程,可以具体为:确定出与被访问策略对应的第一组件;将入栈规则中第一组件对应的端口号修改为被访问策略中的对应端口号;将入栈规则中第一组件对应的网络数据交换规则修改为被访问策略中的对应网络数据交换规则;将入栈规则中第一组件对应的pod选择器字段修改为matchlabel,将matchlabel的值设置为被访问策略中对应的其他组件的标识。
实际应用中,基于隔离策略中的主动访问策略修改出栈规则的步骤,可以具体为:确定出与主动访问策略对应的第二组件;将出栈规则中第二组件对应的端口号修改为主动访问策略中的对应端口号;将出栈规则中第二组件对应的网络数据交换规则修改为主动访问策略中的对应网络数据交换规则;将出栈规则中第二组件对应的pod选择器字段修改为matchlabel,将matchlabel的值设置为主动访问策略中对应的其他组件的标识。
本申请实施例提供的一种应用隔离方法,为了使得Kubernetes中的各个应用间可以通信,在确定出Kubernetes中待隔离的目标应用之前,还可以在Kubernetes中部署calico网络插件;将calico网络插件中的calico node设置为以demonest方式运行;将calico网络插件中的calicocontroller设置为以无状态负载方式运行。其中,calico是一个纯三层的协议,为Docker容器提供多主机间通信,它是一个纯三层的方法,使用虚拟路由代替虚拟交换,每一台虚拟路由通过BGP协议(边界网关协议)传播可达信息(路由)到剩余数据中心。
实际应用中,组件的标识可以包括组件的标签等。
请参阅图2,图2为本申请实施例提供的一种应用隔离系统的结构示意图。
本申请实施例提供的一种应用隔离系统,可以包括:
第一确定模块101,用于确定出Kubernetes中待隔离的目标应用;
第一获取模块102,用于获取目标应用中各个组件的隔离策略;
第一创建模块103,用于创建与目标应用对应的初始网络安全策略;
第一修改模块104,用于基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签,得到目标网络安全策略;
第一转换模块105,用于将目标网络安全策略转换为与Kubernetes匹配的Iptables规则;
第一隔离模块106,用于基于Iptables规则对目标应用进行隔离。
本申请实施例提供的一种应用隔离系统,第一创建模块可以包括:
第一创建单元,用于创建初始网络安全策略;
第一设置单元,用于将初始网络安全策略的pod选择器字段设置为匹配表达式的形式;
第二设置单元,用于将初始网络安全策略的operator值设为条件运算符In;
第三设置单元,用于将初始网络安全策略的匹配标签设置为目标应用中所有组件的标识的集合。
本申请实施例提供的一种应用隔离系统,第一修改模块可以包括:
第一修改子模块,用于基于隔离策略中的被访问策略修改入栈规则;
第二修改子模块,用于基于隔离策略中的主动访问策略修改出栈规则;
第一设置子模块,用于将匹配标签的值设置为隔离策略中被隔离的组件的标识;
其中,被访问策略表征其他组件访问目标应用的组件的策略;主动访问策略表征目标应用的组件访问其他组件的策略。
本申请实施例提供的一种应用隔离系统,第一修改子模块可以包括:
第一确定单元,用于确定出与被访问策略对应的第一组件;
第一修改单元,用于将入栈规则中第一组件对应的端口号修改为被访问策略中的对应端口号;
第二修改单元,用于将入栈规则中第一组件对应的网络数据交换规则修改为被访问策略中的对应网络数据交换规则;
第三修改单元,用于将入栈规则中第一组件对应的pod选择器字段修改为matchlabel,将matchlabel的值设置为被访问策略中对应的其他组件的标识。
本申请实施例提供的一种应用隔离系统,第二修改子模块可以包括:
第二确定单元,用于确定出与主动访问策略对应的第二组件;
第四修改单元,用于将出栈规则中第二组件对应的端口号修改为主动访问策略中的对应端口号;
第五修改单元,用于将出栈规则中第二组件对应的网络数据交换规则修改为主动访问策略中的对应网络数据交换规则;
第六修改单元,用于将出栈规则中第二组件对应的pod选择器字段修改为matchlabel,将matchlabel的值设置为主动访问策略中对应的其他组件的标识。
本申请实施例提供的一种应用隔离系统,还可以包括:
第一部署模块,用于第一确定模块确定出Kubernetes中待隔离的目标应用之前,在Kubernetes中部署calico网络插件;
第一设置模块,用于将calico网络插件中的calico node设置为以demonest方式运行;
第二设置模块,用于将calico网络插件中的calicocontroller设置为以无状态负载方式运行。
本申请实施例提供的一种应用隔离系统,组件的标识可以包括组件的标签。
本申请还提供了一种应用隔离设备及计算机可读存储介质,其均具有本申请实施例提供的一种应用隔离方法具有的对应效果。请参阅图3,图3为本申请实施例提供的一种应用隔离设备的结构示意图。
本申请实施例提供的一种应用隔离设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:
确定出Kubernetes中待隔离的目标应用;
获取目标应用中各个组件的隔离策略;
创建与目标应用对应的初始网络安全策略;
基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签,得到目标网络安全策略;
将目标网络安全策略转换为与Kubernetes匹配的Iptables规则;
基于Iptables规则对目标应用进行隔离。
本申请实施例提供的一种应用隔离设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:创建初始网络安全策略;将初始网络安全策略的pod选择器字段设置为匹配表达式的形式;将初始网络安全策略的operator值设为条件运算符In;将初始网络安全策略的匹配标签设置为目标应用中所有组件的标识的集合。
本申请实施例提供的一种应用隔离设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:基于隔离策略中的被访问策略修改入栈规则;基于隔离策略中的主动访问策略修改出栈规则;将匹配标签的值设置为隔离策略中被隔离的组件的标识;其中,被访问策略表征其他组件访问目标应用的组件的策略;主动访问策略表征目标应用的组件访问其他组件的策略。
本申请实施例提供的一种应用隔离设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:确定出与被访问策略对应的第一组件;将入栈规则中第一组件对应的端口号修改为被访问策略中的对应端口号;将入栈规则中第一组件对应的网络数据交换规则修改为被访问策略中的对应网络数据交换规则;将入栈规则中第一组件对应的pod选择器字段修改为matchlabel,将matchlabel的值设置为被访问策略中对应的其他组件的标识。
本申请实施例提供的一种应用隔离设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:确定出与主动访问策略对应的第二组件;将出栈规则中第二组件对应的端口号修改为主动访问策略中的对应端口号;将出栈规则中第二组件对应的网络数据交换规则修改为主动访问策略中的对应网络数据交换规则;将出栈规则中第二组件对应的pod选择器字段修改为matchlabel,将matchlabel的值设置为主动访问策略中对应的其他组件的标识。
本申请实施例提供的一种应用隔离设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:确定出Kubernetes中待隔离的目标应用之前,在Kubernetes中部署calico网络插件;将calico网络插件中的calico node设置为以demonest方式运行;将calico网络插件中的calicocontroller设置为以无状态负载方式运行。
本申请实施例提供的一种应用隔离设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:组件的标识包括组件的标签。
请参阅图4,本申请实施例提供的另一种应用隔离设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现应用隔离设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:
确定出Kubernetes中待隔离的目标应用;
获取目标应用中各个组件的隔离策略;
创建与目标应用对应的初始网络安全策略;
基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签,得到目标网络安全策略;
将目标网络安全策略转换为与Kubernetes匹配的Iptables规则;
基于Iptables规则对目标应用进行隔离。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:创建初始网络安全策略;将初始网络安全策略的pod选择器字段设置为匹配表达式的形式;将初始网络安全策略的operator值设为条件运算符In;将初始网络安全策略的匹配标签设置为目标应用中所有组件的标识的集合。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:基于隔离策略中的被访问策略修改入栈规则;基于隔离策略中的主动访问策略修改出栈规则;将匹配标签的值设置为隔离策略中被隔离的组件的标识;其中,被访问策略表征其他组件访问目标应用的组件的策略;主动访问策略表征目标应用的组件访问其他组件的策略。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:确定出与被访问策略对应的第一组件;将入栈规则中第一组件对应的端口号修改为被访问策略中的对应端口号;将入栈规则中第一组件对应的网络数据交换规则修改为被访问策略中的对应网络数据交换规则;将入栈规则中第一组件对应的pod选择器字段修改为matchlabel,将matchlabel的值设置为被访问策略中对应的其他组件的标识。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:确定出与主动访问策略对应的第二组件;将出栈规则中第二组件对应的端口号修改为主动访问策略中的对应端口号;将出栈规则中第二组件对应的网络数据交换规则修改为主动访问策略中的对应网络数据交换规则;将出栈规则中第二组件对应的pod选择器字段修改为matchlabel,将matchlabel的值设置为主动访问策略中对应的其他组件的标识。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:确定出Kubernetes中待隔离的目标应用之前,在Kubernetes中部署calico网络插件;将calico网络插件中的calico node设置为以demonest方式运行;将calico网络插件中的calicocontroller设置为以无状态负载方式运行。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:组件的标识包括组件的标签。
本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本申请实施例提供的应用隔离系统、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的应用隔离方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种应用隔离方法,其特征在于,包括:
确定出Kubernetes中待隔离的目标应用;
获取所述目标应用中各个组件的隔离策略;
创建与所述目标应用对应的初始网络安全策略;
基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签,得到目标网络安全策略;
将所述目标网络安全策略转换为与所述Kubernetes匹配的Iptables规则;
基于所述Iptables规则对所述目标应用进行隔离。
2.根据权利要求1所述的方法,其特征在于,所述创建与所述目标应用对应的初始网络安全策略,包括:
创建所述初始网络安全策略;
将所述初始网络安全策略的pod选择器字段设置为匹配表达式的形式;
将所述初始网络安全策略的operator值设为条件运算符In;
将所述初始网络安全策略的所述匹配标签设置为所述目标应用中所有组件的标识的集合。
3.根据权利要求2所述的方法,其特征在于,所述基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签,包括:
基于所述隔离策略中的被访问策略修改所述入栈规则;
基于所述隔离策略中的主动访问策略修改所述出栈规则;
将所述匹配标签的值设置为所述隔离策略中被隔离的组件的标识;
其中,所述被访问策略表征其他组件访问所述目标应用的组件的策略;所述主动访问策略表征所述目标应用的组件访问其他组件的策略。
4.根据权利要求3所述的方法,其特征在于,所述基于所述隔离策略中的被访问策略修改所述入栈规则,包括:
确定出与所述被访问策略对应的第一组件;
将所述入栈规则中所述第一组件对应的端口号修改为所述被访问策略中的对应端口号;
将所述入栈规则中所述第一组件对应的网络数据交换规则修改为所述被访问策略中的对应网络数据交换规则;
将所述入栈规则中所述第一组件对应的pod选择器字段修改为matchlabel,将所述matchlabel的值设置为所述被访问策略中对应的其他组件的标识。
5.根据权利要求4所述的方法,其特征在于,所述基于所述隔离策略中的主动访问策略修改所述出栈规则,包括:
确定出与所述主动访问策略对应的第二组件;
将所述出栈规则中所述第二组件对应的端口号修改为所述主动访问策略中的对应端口号;
将所述出栈规则中所述第二组件对应的网络数据交换规则修改为所述主动访问策略中的对应网络数据交换规则;
将所述出栈规则中所述第二组件对应的pod选择器字段修改为matchlabel,将所述matchlabel的值设置为所述主动访问策略中对应的其他组件的标识。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述确定出Kubernetes中待隔离的目标应用之前,还包括:
在所述Kubernetes中部署calico网络插件;
将所述calico网络插件中的calico node设置为以demonest方式运行;
将所述calico网络插件中的calicocontroller设置为以无状态负载方式运行。
7.根据权利要求6所述的方法,其特征在于,所述组件的标识包括所述组件的标签。
8.一种应用隔离系统,其特征在于,包括:
第一确定模块,用于确定出Kubernetes中待隔离的目标应用;
第一获取模块,用于获取所述目标应用中各个组件的隔离策略;
第一创建模块,用于创建与所述目标应用对应的初始网络安全策略;
第一修改模块,用于基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签,得到目标网络安全策略;
第一转换模块,用于将所述目标网络安全策略转换为与所述Kubernetes匹配的Iptables规则;
第一隔离模块,用于基于所述Iptables规则对所述目标应用进行隔离。
9.一种应用隔离设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述应用隔离方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述应用隔离方法的步骤。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010461867.2A CN111709014B (zh) | 2020-05-27 | 2020-05-27 | 一种应用隔离方法、系统、设备及计算机可读存储介质 |
| US17/928,113 US20230208881A1 (en) | 2020-05-27 | 2021-01-23 | Application isolation method, system and device, and computer-readable storage medium |
| PCT/CN2021/073438 WO2021238256A1 (zh) | 2020-05-27 | 2021-01-23 | 一种应用隔离方法、系统、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010461867.2A CN111709014B (zh) | 2020-05-27 | 2020-05-27 | 一种应用隔离方法、系统、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111709014A true CN111709014A (zh) | 2020-09-25 |
| CN111709014B CN111709014B (zh) | 2022-06-07 |
Family
ID=72538752
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010461867.2A Active CN111709014B (zh) | 2020-05-27 | 2020-05-27 | 一种应用隔离方法、系统、设备及计算机可读存储介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230208881A1 (zh) |
| CN (1) | CN111709014B (zh) |
| WO (1) | WO2021238256A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113676524A (zh) * | 2021-08-09 | 2021-11-19 | 浪潮云信息技术股份公司 | 一种实现多cpu架构容器网络代理的方法 |
| WO2021238256A1 (zh) * | 2020-05-27 | 2021-12-02 | 浪潮电子信息产业股份有限公司 | 一种应用隔离方法、系统、设备及计算机可读存储介质 |
| CN114070637A (zh) * | 2021-11-23 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 基于属性标签的访问控制方法、系统、电子设备及存储介质 |
| CN115801569A (zh) * | 2023-02-07 | 2023-03-14 | 苏州浪潮智能科技有限公司 | 一种访问规则部署方法、装置、设备、介质及云平台 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114338405A (zh) * | 2021-12-31 | 2022-04-12 | 中电福富信息科技有限公司 | 一种基于Kubernetes实现云平台租户级网络策略配置的方法及其系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160212168A1 (en) * | 2015-01-20 | 2016-07-21 | Cisco Technology, Inc. | Creation of security policy templates and security policies based on the templates |
| CN106656980A (zh) * | 2016-10-21 | 2017-05-10 | 郑州云海信息技术有限公司 | 一种自动化配置Docker容器访问控制的方法 |
| CN107864131A (zh) * | 2017-11-03 | 2018-03-30 | 郑州云海信息技术有限公司 | 一种实现Kubernetes集群多租户网络隔离的方法及系统 |
| CN108540453A (zh) * | 2018-03-15 | 2018-09-14 | 新智数字科技有限公司 | 一种应用于PaaS的网络隔离方法、装置以及设备 |
| US20190007453A1 (en) * | 2017-06-29 | 2019-01-03 | Juniper Networks, Inc. | Intent-based network security policy modification |
| CN109992956A (zh) * | 2017-12-29 | 2019-07-09 | 华为技术有限公司 | 容器的安全策略的处理方法和相关装置 |
| CN110266679A (zh) * | 2019-06-14 | 2019-09-20 | 腾讯科技(成都)有限公司 | 容器网络隔离方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8839345B2 (en) * | 2008-03-17 | 2014-09-16 | International Business Machines Corporation | Method for discovering a security policy |
| US11249781B2 (en) * | 2018-06-11 | 2022-02-15 | Vmware, Inc. | Cloud agnostic blueprint |
| CN109561108B (zh) * | 2019-01-07 | 2020-09-01 | 中国人民解放军国防科技大学 | 一种基于策略的容器网络资源隔离控制方法 |
| CN111049796B (zh) * | 2019-10-25 | 2022-01-07 | 中国通信服务股份有限公司 | 一种基于Open vSwitch实现Overlay多租户CNI容器网络的方法 |
| CN111709014B (zh) * | 2020-05-27 | 2022-06-07 | 浪潮电子信息产业股份有限公司 | 一种应用隔离方法、系统、设备及计算机可读存储介质 |
-
2020
- 2020-05-27 CN CN202010461867.2A patent/CN111709014B/zh active Active
-
2021
- 2021-01-23 US US17/928,113 patent/US20230208881A1/en active Pending
- 2021-01-23 WO PCT/CN2021/073438 patent/WO2021238256A1/zh active Application Filing
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160212168A1 (en) * | 2015-01-20 | 2016-07-21 | Cisco Technology, Inc. | Creation of security policy templates and security policies based on the templates |
| CN106656980A (zh) * | 2016-10-21 | 2017-05-10 | 郑州云海信息技术有限公司 | 一种自动化配置Docker容器访问控制的方法 |
| US20190007453A1 (en) * | 2017-06-29 | 2019-01-03 | Juniper Networks, Inc. | Intent-based network security policy modification |
| CN107864131A (zh) * | 2017-11-03 | 2018-03-30 | 郑州云海信息技术有限公司 | 一种实现Kubernetes集群多租户网络隔离的方法及系统 |
| CN109992956A (zh) * | 2017-12-29 | 2019-07-09 | 华为技术有限公司 | 容器的安全策略的处理方法和相关装置 |
| CN108540453A (zh) * | 2018-03-15 | 2018-09-14 | 新智数字科技有限公司 | 一种应用于PaaS的网络隔离方法、装置以及设备 |
| CN110266679A (zh) * | 2019-06-14 | 2019-09-20 | 腾讯科技(成都)有限公司 | 容器网络隔离方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 王伟等: "面向多租户Web应用的性能隔离方法", 《中国科学》, vol. 43, no. 1, 31 January 2013 (2013-01-31), pages 45 - 59 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021238256A1 (zh) * | 2020-05-27 | 2021-12-02 | 浪潮电子信息产业股份有限公司 | 一种应用隔离方法、系统、设备及计算机可读存储介质 |
| CN113676524A (zh) * | 2021-08-09 | 2021-11-19 | 浪潮云信息技术股份公司 | 一种实现多cpu架构容器网络代理的方法 |
| CN114070637A (zh) * | 2021-11-23 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 基于属性标签的访问控制方法、系统、电子设备及存储介质 |
| CN114070637B (zh) * | 2021-11-23 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 基于属性标签的访问控制方法、系统、电子设备及存储介质 |
| CN115801569A (zh) * | 2023-02-07 | 2023-03-14 | 苏州浪潮智能科技有限公司 | 一种访问规则部署方法、装置、设备、介质及云平台 |
| WO2024164540A1 (zh) * | 2023-02-07 | 2024-08-15 | 苏州元脑智能科技有限公司 | 一种访问规则部署方法、装置、设备、非易失性可读存储介质及云平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111709014B (zh) | 2022-06-07 |
| WO2021238256A1 (zh) | 2021-12-02 |
| US20230208881A1 (en) | 2023-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111709014B (zh) | 一种应用隔离方法、系统、设备及计算机可读存储介质 | |
| CN105323136B (zh) | 信息的处理方法及装置 | |
| CN107733670B (zh) | 一种转发策略配置方法和装置 | |
| US8554911B2 (en) | Mimic support address resolution | |
| EP2696538B1 (en) | Method, system and controlling bridge for obtaining port extension topology information | |
| CN110999265B (zh) | 管理云计算服务端点和虚拟机之间的网络连接性 | |
| EP2922246B1 (en) | Method and data center network for cross-service zone communication | |
| CN116208658A (zh) | 混合云环境中的通信方法及网关、管理方法及装置 | |
| CN111010340B (zh) | 数据报文转发控制方法、装置及计算装置 | |
| CN113472575B (zh) | 一种开放虚拟网络的部署方法及装置 | |
| CN113568711A (zh) | 一种K8S中使用的基于eBPF架构的负载均衡方法及装置 | |
| CN112822104A (zh) | 一种数据报文的处理方法、设备、存储介质及系统 | |
| CN116582287A (zh) | 一种云网络中IPv6流量的安全传输方法和装置 | |
| CN107360089A (zh) | 一种路由建立方法、业务数据转换方法及装置 | |
| CN108718276A (zh) | 一种报文转发方法和装置 | |
| CN107465770B (zh) | 一种sdn网络与非sdn网络通信的方法及装置 | |
| CN111010346B (zh) | 基于动态路由的报文处理方法、设备、存储介质及装置 | |
| CN103428106A (zh) | 虚拟机vm迁移后的报文处理的方法及其设备 | |
| CN107404546B (zh) | 一种sdn网络内的通信方法及装置 | |
| CN115987778A (zh) | 一种基于Kubernetes集群的容器通信方法 | |
| CN115514514A (zh) | 一种蜜罐流量牵引装置、方法、计算机设备及存储介质 | |
| CN112751701B (zh) | 用于管理网络装置的系统、方法及计算机可读介质 | |
| CN103067473A (zh) | 一种远程协助转发方法及系统 | |
| CN112804130A (zh) | 报文处理方法及装置、系统、存储介质以及电子设备 | |
| CN106888198B (zh) | 一种数据包过滤规则的配置方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20231121 Address after: Room 2301, No. 395 Linjiang Avenue, Tianhe District, Guangzhou City, Guangdong Province, 510655 (Location: Self made Unit 01) Patentee after: Guangdong Inspur Intelligent Computing Technology Co.,Ltd. Patentee after: INSPUR ELECTRONIC INFORMATION INDUSTRY Co.,Ltd. Address before: No. 1036, Shandong high tech Zone wave road, Ji'nan, Shandong Patentee before: INSPUR ELECTRONIC INFORMATION INDUSTRY Co.,Ltd. |