CN112615856A - 一种多集群网络安全策略管控方法和系统 - Google Patents
一种多集群网络安全策略管控方法和系统 Download PDFInfo
- Publication number
- CN112615856A CN112615856A CN202011493314.1A CN202011493314A CN112615856A CN 112615856 A CN112615856 A CN 112615856A CN 202011493314 A CN202011493314 A CN 202011493314A CN 112615856 A CN112615856 A CN 112615856A
- Authority
- CN
- China
- Prior art keywords
- rule
- security policy
- network
- security
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种多集群网络安全策略管控方法和系统。该方法包括:根据安全请求方编写的网络策略配置文件,调用网络策略控制器对多个容器集群的安全策略配置模式进行选择,并由向规则中心发送规则注入请求;响应于规则中心接收到网络策略控制器发送的规则注入请求,对网络策略控制器发送的安全策略规则进行规则校验;响应于安全策略规则通过规则校验,规则中心将安全策略规则在规则库中进行存储固化,并向网络策略控制器发送第一信息,响应于网络策略控制器接收到第一信息,网络策略控制器基于选择的安全策略配置模式,在多个容器集群中进行安全策略规则的配置,以由多个容器集群根据安全策略规则,按照设定的工作模式进行网络访问安全保护。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种多集群网络安全策略管控方法和系统。
背景技术
容器应用在多集群里进行统一发布和编排,已经成为企业确保生产环境高可用部署的重要发展趋势。一般一个容器集群会部署在同一个机房当中,但很多可用性要求高的应用,需要跨地域多机房部署,以满足应用跨地域级别的多活和灾备需求。并且在实际生产环境中,对容器件的访问策略都是最低限度开放,减少服务暴露和限制访问权限。若果没有配置安全策略,一旦容器突破或逃逸后,即可侵入集群内其他容器,甚至修改宿主主机内核和文件数据,植入木马病毒或将计算资源用于挖矿,造成的危害极大。
为此,在单集群场景下,容器的网络安全策略依靠容器平台的容器网络接口(即CNI网络插件)实现,可以实现单一集群下,容器集群(Pod)和容器集群(Pod)之间,Pod和某些服务之间,Pod和某些地址段之间,Pod和某个命名空间(namespace)之间的访问安全策略控制。但目前已实现的集群安全策略机制存在以下问题:
(1)安全策略全部依靠安全人员实现的安全规则配置生效,由于安全人员是根据经验或现有安全规范来配置安全规则,如果有未被发现的安全漏洞被利用,集群安全策略将直接失效,恶意访问无从防范,安全保护等同为零;
(2)随着应用开始多集群部署,逐渐出现了跨集群的服务互访需求。统一集群下,可以依赖容器平台自身的CNI网络插件来实现安全策略,但在多集群场景,目前任何单一集群的CIN网络插件(比如:Calico、Weave、Flannel、MacVlan等)都没有多集群的安全策略实现机制,企业一旦在生成环境上多集群部署,不同集群的安全策略只能够单个集群独立配置,效率较低而且容易出现配置不一致导致的安全漏洞。
(3)目前开源Kubernetes社区已有联邦集群功能来实现多集群编排调度,但联动集群的社区版本之间变化差异性恒大,比如Kubefed V1和Kubefed V2之间的架构就有巨大改动,在社区版本未稳定前,指望由联邦集群来克服网络安全策略问题,不具备可行性。而且,联邦集群目前只能实现全局的DNS服务发现,在跨集群的网络安全策略分发和配置上,也是没有解决方案的,不具备全局的安全策略实现机制。
(4)有部分多集群场景,通过配置集群之间的防火墙规则来实现跨集群安全策略控制,但是只要集群数量大于等于3或者集群使用的命名空间过多或者容器集群数量超过某个规模,整体的安全策略配置就非常麻烦,全部依赖手工一条条输入防火墙安全规则,而且一旦错误配置某个规则,比如输错某个IP地址,故障排查将非常艰巨,需要花很长时间才能定位故障点。更重要的是,当业务下线后,哪些安全规则可以删除,需要逐一判断,删错一条就会引发其它业务的生产事故,如果不删除,需要确保新部署的应用不会和原先的IP地址冲突,这会导致IP地址无法回收,造成大量的IP资源浪费,且随着时间增加,积累的越来越多的安全规则会增加防火墙负担引发服务性能问题。
(5)有部分多集群场景,通过增加集群间的代理服务器或负载均衡器来进行跨集群的访问,这种方式只在代理服务器上转发允许访问的IP地址和端口作为后端负载。但是这样一来有几个问题:第一个是安全策略的控制粗粒度,只能基于IP地址来实现,如果想给某个Namespace下的Pod做安全策略,则每配置一个规则都需要把该Namespace下的所有Pod的IP全部写一遍,非常繁琐;第二个是一旦容器应用发生弹性扩缩事件,新增加的Pod或者被删除的Pod如何快速的在代理服务器或负载均衡器上做自动修改,这将会是一个难点。且不同品牌的负载均衡器都需要单独开发一套插件,厂商是否愿意开放应用程序编程接口(Application Programming Interface,简称API)配合以及释放支持插件化二次开发都是实现的难点,不具备普适通用性。
因此,需要提供一种针对上述现有技术不足的改进技术方案。
发明内容
本申请的目的在于提供一种多集群网络安全策略管控方法和系统,以解决或缓解上述现有技术中存在的问题。
为了实现上述目的,本申请提供如下技术方案:
本申请提供了一种多集群网络安全策略管控方法,用于在包含多个容器集群的联邦集群中进行安全策略规则配置,包括:根据安全请求方编写的网络策略配置文件,调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择,并由所述网络策略控制器向规则中心发送规则注入请求;响应于所述规则中心接收到网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的安全策略规则进行规则校验;其中,所述安全策略规则包含于所述网络策略配置文件中;响应于所述安全策略规则通过所述规则校验,所述规则中心将所述安全策略规则在规则库中进行存储固化,并向所述网络策略控制器发送第一信息,其中,所述第一信息为所述安全策略规则在所述规则库中存储固化成功的信息;响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。
可选地,在本申请的任一实施例中,所述根据安全请求方编写的网络策略配置文件,调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择,并由所述网络策略控制器向规则中心发送规则注入请求,包括:根据所述网络策略配置文件中指定的应用程序接口,由应用程序接口服务模块将配置请求参数和所述安全策略规则转发至所述网络策略控制器;其中,所述配置请求参数包含于由所述网络策略配置文件中;所述网络策略控制器根据所述配置请求参数,对多个所述容器集群的安全策略配置模式进行选择,并向所述规则中心发送规则注入请求。
可选地,在本申请的任一实施例中,所述响应于规则中心接收到网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的安全策略规则进行规则校验,包括:响应于所述规则中心接收到所述网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的所述安全策略规则和多个所述容器集群中目前配置的安全策略规则进行规则冲突检测;若所述安全策略规则与所述容器集群中目前配置的安全策略规则发生规则冲突,则向安全请求方发送规则冲突的错误代码,以由所述安全请求方对所述安全策略规则进行修改;若所述安全策略规则与所述容器集群中目前配置的安全策略规则未发生规则冲突,则所述安全策略规则通过所述规则校验。
可选地,在本申请的任一实施例中,所述响应于所述安全策略规则通过所述规则校验,所述规则中心将所述安全策略规则在所述规则库中进行存储固化,并向所述网络策略控制器发送第一信息之后,在响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护之前,还包括:响应于所述第一信息发送失败,所述规则中心按照预设的重试机制对所述第一信息进行重复发送,直至重复发送的次数达到所述重试机制的预设尝试阈值,所述规则中心将所述第一信息发送失败的消息代码反馈至所述安全请求方。
可选地,在本申请的任一实施例中,所述安全策略配置模式为多活镜像集群模式,对应的,所述响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护,包括:响应于所述网络策略控制器接收到所述第一信息,基于所述多活镜像集群模式,根据所述网络策略配置文件,指定多个所述容器集群中的一个所述容器集群为主集群,并在指定为主集群的所述容器集群中注入所述安全策略规则;基于指定为主集群的所述容器集群配置的所述安全策略规则,在所述联邦集群中的、所述网络策略配置文件中指定的其它所述容器集群中自动生成所述安全策略规则,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。
可选地,在本申请的任一实施例中,所述安全策略配置模式为非镜像集群手动模式,对应的,所述响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护,包括:响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,确定所述联邦集群的多个所述容器集群中,所述安全策略规则限定的资源对象;在限定的所述资源对象中,配置生效的所述安全策略规则,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。
可选地,在本申请的任一实施例中,在所述响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护之后,还包括:响应于任意两个所述容器集群的所述安全策略规则不一致,所述网络策略控制器从所述规则中心拉取最新安全策略规则,在多个所述容器集群中进行最新安全策略规则的配置,使多个所述容器集群根据最新安全策略规则、按照设定的工作模式进行网络安全保护,其中,所述最新安全策略规则为当前生效的安全策略规则。
可选地,在本申请的任一实施例中,所述工作模式为告警模式,对应的,所述响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护,具体为:响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行安全策略规则的配置,以由每个所述容器集群根据所述安全策略规则,激活网络策略探针,对流入所述容器集群的流量进行不定期嗅探;其中,所述网络策略探针包含于所述容器集群的安全策略执行器中;响应于所述网络策略探针探测到流量异常,所述容器集群根据所述安全策略规则中的告警策略,发出告警通知。
可选地,在本申请的任一实施例中,所述安全策略规则至少包括:不同所述容器集群间的访问节点规则、不同所述容器集群间的访问协议规则、不同所述容器集群间的访问的命名空间规则、不容所述容器集群间的访问的服务账号规则、不容所述容器集群间的访问的服务规则、不容所述容器集群间的访问的IP地址段、不容所述容器集群间的访问的IP地址和端口规则。
本申请实施例还提供一种多集群网络安全策略管控系统,用于在包含多个容器集群的联邦集群中进行安全策略规则配置,包括:规则准备单元,配置为根据安全请求方编写的网络策略配置文件,调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择,并由所述网络策略控制器向规则中心发送规则注入请求;规则校验单元,配置为响应于所述规则中心接收到网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的安全策略规则进行规则校验;其中,所述安全策略规则包含于所述网络策略配置文件中;规则固化单元,配置为响应于所述安全策略规则通过所述规则校验,所述规则中心将所述安全策略规则在规则库中进行存储固化,并向所述网络策略控制器发送第一信息,其中,所述第一信息为所述安全策略规则在所述规则库中存储固化成功的信息;规则配置单元,配置为响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。
与最接近的现有技术相比,本申请实施例的技术方案具有如下有益效果:
本申请实施例提供的多集群网络安全策略管控方法和系统的技术方案,用于在包含多个容器集群的联邦集群中进行安全策略规则配置,通过调用网络策略控制器对多个容器集群的安全策略配置模式进行选择,并向规则中心发送规则注入请求;规则中心接收到规则注入请求后,对网络策略控制器发送的安全请求发编写的安全策略文件中包含的安全策略规则进行规则校验,若安全策略规则通过规则校验,则规则中心将安全策略规则在规则库中进行存储固化,并向网络策略控制器发送安全策略规则在规则库中存储固化成功的第一信息;若网络策略控制器接收到第一信息,基于选择的安全策略配置模式,在多个容器集群中进行安全策略规则的配置,由多个容器集群根据安全策略规则执行安全策略,按照设定的工作模式进行网络访问安全保护。籍此,完成了在联邦集群场景下的网络安全策略实现机制,实现了多集群网络安全策略的同步、分发以及安全控制,极大的提高了在联邦集群场景下的网络安全问题。
附图说明
构成本申请的一部分的说明书附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。其中:
图1为根据本申请的一些实施例提供的一种多集群网络安全策略管控方法的场景示意图
图2为根据本申请的一些实施例提供的一种多集群网络安全策略管控方法的流程示意图;
图3为根据本申请的一些实施例提供的多集群网络安全策略管控方法中步骤S201的流程示意图;
图4为根据本申请的一些实施例提供的多集群网络安全策略管控方法中步骤S202的流程示意图;
图5为根据本申请的一些实施例提供的多活镜像集群模式下步骤S204的流程示意图;
图6为根据本申请的一些实施例提供的多活镜像集群模式下容器集群cluster2对容器集群cluster1的访问示意图;
图7为根据本申请的一些实施例提供的多活镜像集群模式下容器集群cluster1对容器集群cluster2的访问示意图;
图8为根据本申请的一些实施例提供的非镜像集群模式下步骤S204的流程示意图;
图9为根据本申请的一些实施例提供的非镜像集群模式下容器集群间的访问示意图;
图10为根据本申请的一些实施例提供的非镜像集群模式下容器集群cluster1中流出流量的访问示意图;
图11为根据本申请的一些实施例提供的告警模式下步骤S204的流程示意图;
图12为根据本申请的一些实施例提供的一种多集群网络安全策略管控系统的结构示意图;
图13为根据本申请的一些实施例提供的规则准备单元的结构示意图;
图14为根据本申请的一些实施例提供的规则校验单元的结构示意图;
图15为根据本申请的一些实施例提供的多活镜像集群模式下规则配置单元的结构示意图;
图16为根据本申请的一些实施例提供的非镜像集群手动模式下规则配置单元的结构示意图;
图17为根据本申请的一些实施例提供的告警模式下规则配置单元的结构示意图。
具体实施方式
下面将参考附图并结合实施例来详细说明本申请。各个示例通过本申请的解释的方式提供而非限制本申请。实际上,本领域的技术人员将清楚,在不脱离本申请的范围或精神的情况下,可在本申请中进行修改和变型。例如,示为或描述为一个实施例的一部分的特征可用于另一个实施例,以产生又一个实施例。因此,所期望的是,本申请包含归入所附权利要求及其等同物的范围内的此类修改和变型。
示例性场景
图1为根据本申请的一些实施例提供的一种多集群网络安全策略管控方法的场景示意图;如图1所示,该应用场景中,通过联邦集群网络策略管理器将安全策略规则的控制与执行分离开,在联邦集群网络策略管理器中包含API服务模块、网络策略控制器和规则中心;安全请求方编写网络策略配置文件,并发送至联邦集群网络策略管理器中的API服务模块中,API服务模块通过网络策略配置文件中指定的API接口,将网络策略配置文件中的配置请求参数和安全策略规则转发至网络策略控制器;网络策略控制器根据配置请求参数,选择联邦集群中多个容器集群的安全策略配置模式,并向规则中心发送规则注入请求,将安全策略规则发送至规则中心;规则中心接收到网络策略控制器的规则注入请求后,对注入的安全策略规则进行规则校验,将通过规则校验的安全策略规则在规则库中进行固化存储,并将安全策略规则固化存储成功的消息反馈给网络策略控制器;网络策略控制器接收到规则中心发送的安全策略规则固化存储成功的反馈消息后,根据选择的安全策略配置模式,在联邦集群的多个容器集群中进行安全策略配置,由多个容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在本申请实施例中,在联邦集群的多个容器集群中进行安全策略规则配置时,将安全策略规则的控制(注入规则中心、在规则中心进行规则校验、在规则库中进行存储固化等)与执行(基于选择的安全策略配置模式,在多个容器集群中进行安全策略规则的配置)分离,充分考虑了可能存在的故障隔离,联邦集群的网络策略配置统一在联邦集群网络策略管理器中实现,而具体的网络策略执行,依靠位于各个cluster自身的网络策略探针实现。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
示例性方法
图2为根据本申请的一些实施例提供的一种多集群网络安全策略管控方法的流程示意图;如图2所示,该多集群网络安全策略管控方法包括:
步骤S201、根据安全请求方编写的网络策略配置文件,调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择,并由所述网络策略控制器向规则中心发送规则注入请求;
在本申请实施例中,安全请求方可以是联邦集群的网络安全管理员,由联邦集群的网络安全管理员进行网络策略配置文件(比如,名称为kubefed-networkpolicy.yaml)的编写,在编写的网络策略配置文件中包含具体的应用程序接口(Application ProgrammingInterface,简称API)、配置请求的格式、配置请求所携带的参数等。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在本申请实施例中,安全请求方编写的网络策略配置文件的网络策略覆盖范围包括但不限于:针对联邦集群中,各个集群(cluster)级别的安全策略管控、各个工作节点的安全策略管控、各个工作节点的访问协议和访问网卡的安全策略管控、各个服务账号(service account)下所能CRUD(增加(Create)、检索(Retrieve)、更新(Update)和删除(Delete))操作范围内的各个资源的安全策略管控、各个服务(service)的安全策略管控、各个无类别域间路由(Classless Inter-Domain Routing,简称CIDR)网络地址段的安全策略管控、各个细分IP地址和端口的安全策略管控、各个自定义的IPBlock(即IP地址集合)的安全策略管控、各个容器集群的安全策略管控。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在本申请实施例中,网络策略控制器有两个安全策略配置模式,一种是多活镜像集群模式,一种是非镜像集群手动模式。针对多个容器集群的不同安全策略配置模式,采用不同的技术手段对多个容器集群进行安全策略规则的配置。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
图3为根据本申请的一些实施例提供的多集群网络安全策略管控方法中步骤S201的流程示意图;如图3所示,所述根据安全请求方编写的网络策略配置文件,调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择,并由所述网络策略控制器向规则中心发送规则注入请求,包括:
步骤S211、根据所述网络策略配置文件中指定的应用程序接口,由应用程序接口服务模块将配置请求参数和所述安全策略规则转发至所述网络策略控制器;其中,所述配置请求参数包含于所述网络策略配置文件中;
在本申请实施例中,在网络策略配置文件中包含具体的API接口、配置请求的格式、配置请求所携带的参数等;安全请求方将网络策略配置文件发送到API服务模块中,由API服务模块根据网络策略配置文件中的参数配置调用网络策略控制器,并通过具体的API接口将配置请求参数和安全策略规则转发到网络策略控制器,以便网络策略控制器进行配置识别。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
步骤S221、所述网络策略控制器根据所述配置请求参数,对多个所述容器集群的安全策略配置模式进行选择,并向所述规则中心发送规则注入请求。
在本申请实施例中,网络策略控制器根据API服务模块发送的配置请求参数,判断联邦集群中的多个容器集群是属于多活镜像集群模式,还是属于非镜像集群手动模式,以选择合适的安全策略配置模式。当网络策略控制器选取适当的安全策略配置模式后,向规则中心发送规则注入请求,将安全策略规则注入到规则中心。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
步骤S202、响应于所述规则中心接收到网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的安全策略规则进行规则校验;其中,所述安全策略规则包含于所述网络策略配置文件中;
在本申请实施例中,规则校验包括:规则检验和规则冲突检测。规则中心在接收到网络策略控制器发送的规则注入请求后,对网络策略控制器注入的安全策略规则进行规则检验,检验若注入的安全策略规则生效后,是否会导致联邦集群中的某个容器完全无法被访问。若安全策略规则的规则检验有问题,则规则中心反馈具体的冲突信息给网络策略控制器,由网络策略控制器通知API接口,安全请求方的安全策略配置请求终止。若安全策略规则的规则检验没有问题,则规则中心继续对安全策略规则进行规则冲突检测,完成安全策略规则的规则校验。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
图4为根据本申请的一些实施例提供的多集群网络安全策略管控方法中步骤S202的流程示意图;如图4所示,所述响应于所述规则中心接收到网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的安全策略规则进行校验,包括:
步骤S212、响应于所述规则中心接收到所述网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的所述安全策略规则和多个所述容器集群中目前配置的安全策略规则进行规则冲突检测;
在本申请实施例中,通过对联邦集群中多个容器集群目前配置的安全策略规则与网络策略控制器注入的安全策略规则进行规则冲突检测,判断网络策略控制器注入的安全策略规则和容器集群目前配置的安全策略规则是否会引起冲突,以便确定是否根据安全请求方的安全策略规则对联邦集群的多个容器集群进行网络安全配置。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
步骤S222、若所述安全策略规则与所述容器集群中目前配置的安全策略规则发生规则冲突,则向所述安全请求方发送规则冲突的错误代码,以由所述安全请求方对所述安全策略规则进行修改;若所述安全策略规则与所述容器集群中目前配置的安全策略规则未发生规则冲突,则所述安全策略规则通过所述规则校验。
在本申请实施例中,若安全策略控制器注入的安全策略规则与容器集群中目前配置的安全策略规则发生规则冲突,那么,规则中心将发生规则冲突的错误代码反馈给API服务模块,由API服务模块将发生规则冲突的错误代码返回给安全请求方。安全请求方在收到发生规则冲突的错误代码后,对编写的网络策略配置文件进行修改,然后将修改完的网络策略配置文件发送给API服务模块,由API服务模块将修改后的安全策略规则(即修改后的网络策略配置文件中的安全策略规则)转发至网络策略控制器,由网络策略控制器将修改后的安全策略规则再次注入规则中心尽心规则校验。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
步骤S203、响应于所述安全策略规则通过所述规则校验,所述规则中心将所述安全策略规则在所述规则库中进行存储固化,并向所述网络策略控制器发送第一信息,其中,所述第一信息为所述安全策略规则在所述规则库中存储固化成功的信息;
在本申请实施例中,若安全策略规则未发生规则冲突,那么规则中心将新生效的安全策略规则(网络策略控制器注入的安全策略规则)存储到规则库中,并返还安全策略规则存储成功的结果给网络策略控制器。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
步骤S204、响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络安全保护。
在本申请实施例中,在规则中心将安全策略规则存储成功的结果反馈给网络策略控制器,且网络策略控制器接收到安全策略规则存储成功的消息后,由网络策略控制器根据选择的安全策略配置模式,将安全策略配置规则在多个容器集群中进行配置。容器集群中安全策略配置完成后,就按照设定的工作模式(比如:学习模式、保护模式、告警模式或强化模式)进行网络安全保护,对联邦集群的网络执行安全控制。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在一些可选实施例中,所述响应于所述安全策略规则通过所述规则校验,所述规则中心将所述安全策略规则在所述规则库中进行存储固化,并向所述网络策略控制器发送第一信息之后,在响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络安全保护之前,还包括:响应于所述第一信息发送失败,所述规则中心按照预设的重试机制对所述第一信息进行重复发送,直至重复发送的次数达到所述重试机制的预设尝试阈值,所述规则中心将所述第一信息发送失败的消息代码反馈至所述安全请求方。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在本申请实施例中,在将安全策略规则存储成功的结果反馈给网络策略控制器时,若向网络策略控制器反馈信息的失败次数达到预设尝试阈值,直接将安全策略规则存储成功的结果发送网络策略控制器失败的消息代码发送给API服务模块,由API服务模块再将该消息代码反馈给安全请求方。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在本申请实施例中,将安全策略规则存储成功的结果发送网络策略控制器失败,说明安全策略控制器或规则中心出现故障,需对安全策略控制器或规则中心进行故障排查,故障排查完毕后,重新将安全策略规则存储成功的结果发送网络策略控制器。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在本申请实施例中,联邦集群中多个容器集群的安全策略配置模式包括:多活镜像集群模式和非镜像集群手动模式,在不同的安全策略配置模式下,安全策略规则的配置手段不同。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
图5为根据本申请的一些实施例提供的多活镜像集群模式下步骤S204的流程示意图;如图5所示,所述安全策略配置模式为多活镜像集群模式,对应的,所述响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护,包括:
步骤S214A、响应于所述网络策略控制器接收到所述第一信息,基于所述多活镜像集群模式,根据所述网络策略配置文件,指定多个所述容器集群中的一个所述容器集群为主集群,并在指定为主集群的所述容器集群中注入所述安全策略规则;
在本申请实施例中,在网络策略控制器接收到规则中心发送的安全策略规则存储成功的结果后,根据安全请求方提交的网络策略配置文件中的配置请求参数,在联邦集群的多个容器集群中指定一个容器集群为主容器集群,在指定的主容器集群中配置规则库中存储的安全策略规则,执行网络访问安全保护。比如,在网络安全管理员提交的名称为kubefed-networkpolicy.yaml的安全网络策略配置文件中,将有以下字段:
在本申请实施例中,在安全网络策略配置文件(kubefed-networkpolicy.yaml)中,指定集群名称(clustername)为cluster1的容器集群为主容器集群,在cluster1中配置安全策略规则(NetworkPolicy),即带有color:blue这个标签的Pod只能从自己的80端口接受带有color:red的Pod的访问。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
步骤S224A、基于指定为主集群的所述容器集群配置的所述安全策略规则,在所述联邦集群中的、所述网络策略配置文件中指定的其它所述容器集群中自动生成所述安全策略规则,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。
在本申请实施例中,联邦集群中的多个容器集群之间为多活镜像集群模式时,网络策略控制器根据网络策略配置文件中的配置请求参数,触发镜像复制机制,将主集群中配置的安全策略规则,在多活镜像集群模式下的其它容器集群中进行镜像复制,自动生成和主容器集群内一模一样的安全策略规则,执行网络访问安全保护。比如,在网络管理员提交的安全网络策略配置文件kubefed-networkpolicy.yaml中,配置文件中设置的mirrorCluster关键字,触发了联邦集群的多活镜像集群模式,网络策略控制器将会在集群名称(clustername)为cluster2的容器集群上,自动生成和cluster1的容器集群内一模一样的安全策略规则(NetworkPolicy)。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
图6为根据本申请的一些实施例提供的多活镜像集群模式下容器集群cluster2对容器集群cluster1的访问示意图;如图6所示,容器集群cluster1上带有color:blue标签的Pod能够从其80端口接收来自cluster2上带有color:red标签的Pod的访问流量,如图6中虚线所示。图7为根据本申请的一些实施例提供的多活镜像集群模式下容器集群cluster1对容器集群cluster2的访问示意图;容器集群cluster2上带有color:blue标签的Pod能够从其80端口接收来自cluster1上带有color:red标签的Pod的访问流量,如图7中虚线所示。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
图8为根据本申请的一些实施例提供的非镜像集群模式下步骤S204的流程示意图;如图8所示,所述安全策略配置模式为非镜像集群模式,对应的,所述响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护,包括:
步骤S214B、响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,确定所述联邦集群的多个所述容器集群中,所述安全策略规则限定的资源对象;
在本申请实施例中,在网络策略控制器接收到规则中心发送的安全策略规则存储成功的结果后,根据安全请求方提交的网络策略配置文件中的配置请求参数,基于选择的安全策略配置模式,确定进行安全策略规则配置的容器集群中由安全策略规则限定的资源对象,比如,集群环境中某个namespace、或者某个标签(label)下的Pod、或者某个ip地址范围Pod等。需要说明的是,在对资源对象的限定时,多个不同的限定条件可以组合搭配。比如,确定cluster1作为networkpolicy生效的集群环境,cluster1中命名空间是namespace1且带有color=red标签的Pod的6379端口。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
步骤S224B、在限定的所述资源对象中,配置生效的所述安全策略规则,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。
在本申请实施例中,在安全策略规则限定的资源对象中,需要生效的具体网络访问策略(允许访问还是拒绝访问,访问的端口是多少等)。比如:在网络安全管理员提交的名称为名称为kubefed-networkpolicy.yaml的安全网络策略配置文件中,将有以下字段:
在安全网络策略配置文件kubefed-networkpolicy.yaml中,选择集群名称为cluster1的容器集群作为安全策略规则生效的集群环境,集群名称为cluster1中命名空间为namespace1且带有color=red标签的Pod的6379端口,将智能被集群名称为cluster2中命名空间为namespace1且带有color=blue标签的Pod访问,如图9所示。
在本申请实施例中,容器集群cluster1的流出流量也将被限制,如图10所示,cluster1只能从命名空间是namespace1且带有color=red标签的Pod的80端口流出这3种流量:(1)允许流量发往集群名称为green的容器集群,并且需要发往该容器集群下:带有color=green的namespace标签下的命名空间中,名为intern的服务账号下所能crud的所有Pod;(2)允许流量发往集群名称为green的容器集群,并且需要发往该集群下:带有color=blue的namespace标签下的命名空间中,IP地址段为:172.18.0.0/24的所有IP地址;(3)允许流量从发往集群名称为green的容器集群,并且需要发往该容器集群下:带有color=red的namespace标签下的命名空间中,Pod标签为color:red的所有Pod。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在一些可选实施例中,在所述响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护之后,还包括:响应于任意两个所述容器集群的所述安全策略规则不一致,所述网络策略控制器从所述规则中心拉取最新安全策略规则,在多个所述容器集群中进行最新安全策略规则的配置,使多个所述容器集群根据最新安全策略规则,按照设定的工作模式进行网络访问安全保护,其中,所述最新安全策略规则为当前生效的安全策略规则。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在本申请实施例中,在容器集群中配置安全策略规则时,安全策略规则在各容器集群的各自的ETCD数据库中进行存档,并以此执行安全策略。当某一容器集群发现其与另一容器集群的安全策略规则不一致时,说明这两个容器集群中的某一个容器集群的安全策略规则被篡改,此时,发现安全策略规则不一致的容器集群将安全策略规则不一致的信息上报至网络策略控制器,由网络策略控制器拉取规则中心中存储的当前生效的安全策略规则作为最新安全策略规则,并注入联邦集群的多个容器集群中,对联邦集群的多个容器集群进行安全策略规则的强制更新。比如,当容器集群1的Pod1要访问容器集群2的Pod2时,那么,容器集群1会根据自身的安全策略规则配置,看是否可以通行这部分访问流量。如果容器集群1的安全策略规则允许这部分访问流量通过,但是当这部分访问流量来到容器集群2时,被容器集群2配置的安全策略规则拦下,说明容器集群1或容器集群2的安全策略规则存在被篡改,导致安全策略规则不一致的情况。此时,由容器集群2将安全策略规则不一致的信息上报给网络策略控制器,由网络策略控制器拉取规则中心中存储的当前生效的安全策略规则进行下发,对联邦集群的多个容器集群进行安全策略规则的强制更新。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在本申请实施例中,当安全策略规则不一致由被访问的容器集群发现时,检测出规则不一致的访问请求将被搁置,直到最新安全策略规则下发至个容器集群。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在本申请实施例中,当容器集群中的安全策略规则不一致时,网络策略控制器从规则中心拉取最新安全策略规则后,不需要再对最新安全策略规则进行规则校验。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
图11为根据本申请的一些实施例提供的告警模式下步骤S204的流程示意图;如图11所示,所述工作模式为告警模式,对应的,所述响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全包括,包括:
步骤S214C、响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行安全策略规则的配置,以由每个所述容器集群根据所述安全策略规则,激活网络策略探针,对流入所述容器集群的流量进行不定期嗅探;其中,所述网络策略探针包含于所述容器集群的安全策略执行器中;
在本申请实施例中,通常情况下,网络策略探针(probe)包含于所述容器集群的安全策略执行器(Cluster Policy Agent)中,具有三种状态:关闭状态、告警状态和保护状态,其中,工作模式为告警模式时,网络策略探针为告警状态,工作模式为保护模式时,网络策略探针为保护状态。网络策略探针用于嗅探满足安全策略规则流入集群的访问流量,如果安全策略规则未指定这部分访问流量的访问时间段、访问频次、总访问大小等,那么网络策略探针为关闭状态。若安全策略规则指定了这部分访问流量的访问时间段、访问频次、总访问大小等,根据安全请求方编写的网络策略配置文件中包含的关键字段,开启网络策略探针,由网络策略探针就会对这部分访问流量的访问时间段、访问频次、总访问大小等进行嗅探。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
步骤S224C、响应于所述网络策略探针探测到流量异常,所述容器集群根据所述安全策略规则中的告警策略,发出告警通知。
在本申请实施例中,当网络策略探针嗅探到流入容器集群的访问流量的访问时间段、访问频次、总访问大小等存在问题(比如,有常规以外的时间发生大流量访问时,有频繁越权的请求访问时,或者本容器集群的网络时延长时间过高,数据丢包率长时间增加等)时,即认为这部分访问流量异常。在告警模式时,网络策略探针嗅探到流量异常时,容器集群根据安全安全策略规则中的告警策略,及时发出告警通知,但超出的部分仍允许访问,即已经流入容器集群的访问流量仍允许进行访问。在保护模式时,网络策略探针嗅探到流量异常时,容器集群根据安全安全策略规则中的告警策略,及时发出告警通知,但超出的部分不允许访问,即已经流入容器集群的访问流量不允许进行访问。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在一些可选实施例中,所述安全策略规则至少包括:不同所述容器集群间的访问节点规则、不同所述容器集群间的访问协议规则、不同所述容器集群间的访问的命名空间规则、不同所述容器集群间的访问的服务账号规则、不同所述容器集群间的访问的服务规则、不同所述容器集群间的访问的IP地址段、不同所述容器集群间的访问的IP地址和端口规则。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在本申请实施例中,在针对联邦集群中,通过在各个集群(cluster)级别、各个工作节点、各个工作节点的访问协议和访问网卡、各个服务账号下所能CRUD操作范围内的各个资源、各个服务、各个CIDR网络地址段、各个细分IP地址和端口、各个自定义的IP地址集合、各个Pod进行网络访问安全策略的覆盖,使安全策略规则在联邦集群的多个容器集群中生效。籍此,在不同容器集群Pod之间,能够设置ingress和egress安全策略,能够控制不同容器集群之间namespace的互访,能够控制某个容器集群中的某个Service Account,然后控制这个SA所具有操作资源的Pod的访问策略,能够控制容器集群工作节点网络端口的进出流量规则,实现联邦集群中网络安全访问的控制。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在本申请实施例中,通过调用网络策略控制器对多个容器集群的安全策略配置模式进行选择,并向规则中心发送规则注入请求;规则中心接收到规则注入请求后,对网络策略控制器发送的安全请求发编写的安全策略文件中包含的安全策略规则进行规则校验,若安全策略规则通过规则校验,则规则中心将安全策略规则在规则库中进行存储固化,并向网络策略控制器发送安全策略规则在规则库中存储固化成功的第一信息;若网络策略控制器接收到第一信息,基于选择的安全策略配置模式,在多个容器集群中进行安全策略规则的配置,由多个容器集群根据安全策略规则执行安全策略,按照设定的工作模式进行网络访问安全保护。籍此,完成了在联邦集群场景下的网络安全策略实现机制,实现了多集群网络安全策略的同步、分发以及安全控制,极大的提高了在联邦集群场景下的网络安全问题。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在本申请实施例中,通过联邦集群的网络安全规则的自优化(规则校验等)、防规则篡改(安全策略规则不一致时,对容器集群的安全策略规则进行强制更新)以及服务质量(Quality of Service,简称QoS)告警的能力(告警模式),极大的提升了联邦集群的网络安全规则的可靠性和可用性,能够根据容器集群的实际使用场景(多活镜像集群模式或非镜像集群手动模式)对安全策略规则进行灵活调整,使联邦集群的网络安全防护具备防护未知恶意请求的能力(probe对流入集群的访问流量进行嗅探,安全策略规则不一致时,对容器集群的安全策略规则进行强制更新),能够及早发现异常或网络入侵,减少损失。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
在本申请实施例中,不再采用传统防火墙规则中的基于NAT的虚拟机管理思维来解决容器集群安全,而是通过设计面向联邦集群的多个容器集群的、符合容器集群管理的语法和思维编写网络策略配置文件,有效的避免了手工一条条输入防火墙规则,输错后故障排查困难的问题。同时,在业务下线后,可以直接从规则库中拉取生效的安全策略规则,对容器集群进行安全策略规则配置进行强制更新,有效避免了现有技术中对安全策略规则进行逐一判断、删除时可能引发的其它事故,以及,有效避免了新部署的安全策略规则和原有的IP地址冲突,及时有效的回收IP地址,避免IP资源浪费,解决了安全策略规则的积累可能引发的服务性能问题。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
示例性系统
图12为根据本申请的一些实施例提供的一种多集群网络安全策略管控系统的结构示意图;如图12所示,该多集群网络安全策略管控系统,用于在包含多个容器集群的联邦集群中进行安全策略规则配置,包括:规则准备单元1201,配置为根据安全请求方编写的网络策略配置文件,调用网络策略控制器对多个所述容器集群的网络策略配置模式进行选择,并由所述网络策略控制器向规则中心发送规则注入请求;规则校验单元1202,配置为响应于所述规则中心接收到网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的安全策略规则进行规则校验;其中,所述安全策略规则包含于所述网络策略配置文件中;规则固化单元1203,配置为响应于所述安全策略规则通过所述规则校验,所述规则中心将所述安全策略规则在规则库中进行存储固化,并向所述网络策略控制器发送第一信息,其中,所述第一信息为所述安全策略规则在所述规则库中存储固化成功的信息;规则配置单元1204,配置为响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
图13为根据本申请的一些实施例提供的规则准备单元的结构示意图;如图13所示,所述规则准备单元1201包括:接口子单元1211,配置为根据所述网络策略配置文件中指定的应用程序接口,由应用程序接口服务模块将配置请求参数和所述安全策略规则转发至所述网络策略控制器;其中,所述配置请求参数包含于所述网络策略配置文件中;注入子单元1221,配置为所述网络策略控制器根据所述配置请求参数,对多个所述容器集群的安全策略配置模式进行选择,并向所述规则中心发送规则注入请求。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
图14为根据本申请的一些实施例提供的规则校验单元的结构示意图;如图14所示,所述规则校验单元1202包括:检测子单元1212,配置为响应于所述规则中心接收到所述网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的所述安全策略规则和多个所述容器集群中目前配置的安全策略规则进行规则冲突检测;校验通过子单元1222,配置为若所述安全策略规则与所述容器集群中目前配置的安全策略规则发生规则冲突,则向所述安全请求方发送规则冲突的错误代码,以由所述安全请求方对所述安全策略规则进行修改;若所述安全策略规则与所述容器集群中目前配置的安全策略规则未发生规则冲突,则所述安全策略规则通过所述规则校验。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
图15为根据本申请的一些实施例提供的多活镜像集群模式下规则配置单元的结构示意图;如图15所示,所述规则配置单元1204包括:主集群子单元1214A,配置为响应于所述网络策略控制器接收到所述第一信息,基于所述多活镜像集群模式,根据所述网络策略配置文件,指定多个所述容器集群中的一个所述容器集群为主集群,并在指定为主集群的所述容器集群中注入所述安全策略规则;镜像子单元1224A,基于指定为主集群的所述容器集群配置的所述安全策略规则,在所述联邦集群中的、所述网络策略配置文件中指定的其它所述容器集群中自动生成所述安全策略规则,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
图16为根据本申请的一些实施例提供的非镜像集群手动模式下规则配置单元的结构示意图;如图16所示,所述规则配置单元1204包括:对象确定子单元1214B,配置为响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,确定所述联邦集群的多个所述容器集群中,所述安全策略规则限定的资源对象;配置子单元1224B,配置为在限定的所述资源对象中,配置生效的所述安全策略规则,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
图17为根据本申请的一些实施例提供的告警模式下规则配置单元的结构示意图;如图17所示,所述规则配置单元1204包括:嗅探子单元1214C,配置为响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行安全策略规则的配置,以由每个所述容器集群根据所述安全策略规则,激活网络策略探针,对流入所述容器集群的流量进行不定期嗅探;其中,所述网络策略探针包含于所述容器集群的安全策略执行器中;告警子单元1224C,配置为响应于所述网络策略探针探测到流量异常,所述容器集群根据所述安全策略规则中的告警策略,发出告警通知。可以理解的是,以上描述仅为示例性的,本申请实施例对此并不进行限定。
本申请实施例提供的多集群网络安全策略管控系统能够实现上述多集群网络安全策略管控方法实施例中的流程和效果,在此不再一一赘述。
以上所述仅为本申请的优选实施例,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种多集群网络安全策略管控方法,用于在包含多个容器集群的联邦集群中进行安全策略规则配置,其特征在于,包括:
根据安全请求方编写的网络策略配置文件,调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择,并由所述网络策略控制器向规则中心发送规则注入请求;
响应于所述规则中心接收到网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的安全策略规则进行规则校验;其中,所述安全策略规则包含于所述网络策略配置文件中;
响应于所述安全策略规则通过所述规则校验,所述规则中心将所述安全策略规则在规则库中进行存储固化,并向所述网络策略控制器发送第一信息,其中,所述第一信息为所述安全策略规则在所述规则库中存储固化成功的信息;
响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。
2.根据权利要求1所述的多集群网络安全策略管控方法,其特征在于,所述根据安全请求方编写的网络策略配置文件,调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择,并由所述网络策略控制器向规则中心发送规则注入请求,包括:
根据所述网络策略配置文件中指定的应用程序接口,由应用程序接口服务模块将配置请求参数和所述安全策略规则转发至所述网络策略控制器;其中,所述配置请求参数包含于由所述网络策略配置文件中;
所述网络策略控制器根据所述配置请求参数,对多个所述容器集群的安全策略配置模式进行选择,并向所述规则中心发送规则注入请求。
3.根据权利要求1所述的多集群网络安全策略管控方法,其特征在于,所述响应于规则中心接收到网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的安全策略规则进行规则校验,包括:
响应于所述规则中心接收到所述网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的所述安全策略规则和多个所述容器集群中目前配置的安全策略规则进行规则冲突检测;
若所述安全策略规则与所述容器集群中目前配置的安全策略规则发生规则冲突,则向安全请求方发送规则冲突的错误代码,以由所述安全请求方对所述安全策略规则进行修改;若所述安全策略规则与所述容器集群中目前配置的安全策略规则未发生规则冲突,则所述安全策略规则通过所述规则校验。
4.根据权利要求1所述的多集群网络安全策略管控方法,其特征在于,所述响应于所述安全策略规则通过所述规则校验,所述规则中心将所述安全策略规则在所述规则库中进行存储固化,并向所述网络策略控制器发送第一信息之后,在响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护之前,还包括:
响应于所述第一信息发送失败,所述规则中心按照预设的重试机制对所述第一信息进行重复发送,直至重复发送的次数达到所述重试机制的预设尝试阈值,所述规则中心将所述第一信息发送失败的消息代码反馈至所述安全请求方。
5.根据权利要求1所述的多集群网络安全策略管控方法,其特征在于,所述安全策略配置模式为多活镜像集群模式,
对应的,
所述响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护,包括:
响应于所述网络策略控制器接收到所述第一信息,基于所述多活镜像集群模式,根据所述网络策略配置文件,指定多个所述容器集群中的一个所述容器集群为主集群,并在指定为主集群的所述容器集群中注入所述安全策略规则;
基于指定为主集群的所述容器集群配置的所述安全策略规则,在所述联邦集群中的、所述网络策略配置文件中指定的其它所述容器集群中自动生成所述安全策略规则,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。
6.根据权利要求1所述的多集群网络安全策略管控方法,其特征在于,所述安全策略配置模式为非镜像集群手动模式,
对应的,
所述响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护,包括:
响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,确定所述联邦集群的多个所述容器集群中,所述安全策略规则限定的资源对象;
在限定的所述资源对象中,配置生效的所述安全策略规则,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。
7.根据权利要求1所述的多集群网络安全策略管控方法,其特征在于,在所述响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护之后,还包括:
响应于任意两个所述容器集群的所述安全策略规则不一致,所述网络策略控制器从所述规则中心拉取最新安全策略规则,在多个所述容器集群中进行最新安全策略规则的配置,使多个所述容器集群根据最新安全策略规则、按照设定的工作模式进行网络安全保护,其中,所述最新安全策略规则为当前生效的安全策略规则。
8.根据权利要求1所述的多集群网络安全策略管控方法,其特征在于,所述工作模式为告警模式,
对应的,所述响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护,具体为:
响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行安全策略规则的配置,以由每个所述容器集群根据所述安全策略规则,激活网络策略探针,对流入所述容器集群的流量进行不定期嗅探;其中,所述网络策略探针包含于所述容器集群的安全策略执行器中;
响应于所述网络策略探针探测到流量异常,所述容器集群根据所述安全策略规则中的告警策略,发出告警通知。
9.根据权利要求1-8任一所述的多集群网络安全策略管控方法,其特征在于,所述安全策略规则至少包括:不同所述容器集群间的访问节点规则、不同所述容器集群间的访问协议规则、不同所述容器集群间的访问的命名空间规则、不容所述容器集群间的访问的服务账号规则、不容所述容器集群间的访问的服务规则、不容所述容器集群间的访问的IP地址段、不容所述容器集群间的访问的IP地址和端口规则。
10.一种多集群网络安全策略管控系统,用于在包含多个容器集群的联邦集群中进行安全策略规则配置,其特征在于,包括:
规则准备单元,配置为根据安全请求方编写的网络策略配置文件,调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择,并由所述网络策略控制器向规则中心发送规则注入请求;
规则校验单元,配置为响应于所述规则中心接收到网络策略控制器发送的规则注入请求,对所述网络策略控制器发送的安全策略规则进行规则校验;其中,所述安全策略规则包含于所述网络策略配置文件中;
规则固化单元,配置为响应于所述安全策略规则通过所述规则校验,所述规则中心将所述安全策略规则在规则库中进行存储固化,并向所述网络策略控制器发送第一信息,其中,所述第一信息为所述安全策略规则在所述规则库中存储固化成功的信息;
规则配置单元,配置为响应于所述网络策略控制器接收到所述第一信息,所述网络策略控制器基于选择的安全策略配置模式,在多个所述容器集群中进行所述安全策略规则的配置,以由多个所述容器集群根据所述安全策略规则,按照设定的工作模式进行网络访问安全保护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011493314.1A CN112615856B (zh) | 2020-12-16 | 2020-12-16 | 一种多集群网络安全策略管控方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011493314.1A CN112615856B (zh) | 2020-12-16 | 2020-12-16 | 一种多集群网络安全策略管控方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112615856A true CN112615856A (zh) | 2021-04-06 |
| CN112615856B CN112615856B (zh) | 2021-09-28 |
Family
ID=75240016
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011493314.1A Active CN112615856B (zh) | 2020-12-16 | 2020-12-16 | 一种多集群网络安全策略管控方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112615856B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113452702A (zh) * | 2021-06-28 | 2021-09-28 | 中国光大银行股份有限公司 | 一种微服务流量检测系统和方法 |
| CN113949537A (zh) * | 2021-09-26 | 2022-01-18 | 杭州谐云科技有限公司 | 一种基于eBPF的防火墙管理方法和系统 |
| CN114039853A (zh) * | 2021-11-15 | 2022-02-11 | 北京天融信网络安全技术有限公司 | 一种检测安全策略的方法、装置、存储介质和电子设备 |
| CN114047967A (zh) * | 2021-10-23 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 基于策略模拟器的策略生成管理方法与系统 |
| CN114338405A (zh) * | 2021-12-31 | 2022-04-12 | 中电福富信息科技有限公司 | 一种基于Kubernetes实现云平台租户级网络策略配置的方法及其系统 |
| CN114938394A (zh) * | 2022-04-13 | 2022-08-23 | 京东科技信息技术有限公司 | 跨集群网络控制方法、装置、设备及存储介质 |
| CN115185642A (zh) * | 2022-07-21 | 2022-10-14 | 北京火山引擎科技有限公司 | 一种容器运行控制方法及装置 |
| CN115314353A (zh) * | 2022-08-10 | 2022-11-08 | 中电云数智科技有限公司 | 一种基于kubernetes实现单pod多网卡的装置和方法 |
| CN115801470A (zh) * | 2023-02-09 | 2023-03-14 | 北京升鑫网络科技有限公司 | 一种适配集群网络微隔离方法、装置、设备及可读介质 |
| CN116455616A (zh) * | 2023-03-30 | 2023-07-18 | 中国科学院空天信息创新研究院 | 网络安全控制策略同步的方法、装置、系统、设备及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170208094A1 (en) * | 2016-01-14 | 2017-07-20 | Cisco Technology, Inc. | Policy block creation with context-sensitive policy line classification |
| CN109104318A (zh) * | 2018-08-23 | 2018-12-28 | 广东轩辕网络科技股份有限公司 | 用于实现集群自适应部署的方法、基于云平台的自适应部署大数据集群的部署方法及系统 |
| CN109189575A (zh) * | 2018-08-20 | 2019-01-11 | 北京奇虎科技有限公司 | 一种多OpenStack集群的统一管理方法及装置 |
| CN111176697A (zh) * | 2020-01-02 | 2020-05-19 | 广州虎牙科技有限公司 | 服务实例部署方法、数据处理方法及集群联邦 |
| CN111193782A (zh) * | 2019-12-18 | 2020-05-22 | 北京航天智造科技发展有限公司 | Paas云集群构建方法、装置以及电子设备、存储介质 |
| CN111885005A (zh) * | 2020-06-29 | 2020-11-03 | 济南浪潮数据技术有限公司 | 一种容器云平台服务通信方法、装置、设备及介质 |
| US20200348984A1 (en) * | 2019-05-05 | 2020-11-05 | Mastercard International Incorporated | Control cluster for multi-cluster container environments |
-
2020
- 2020-12-16 CN CN202011493314.1A patent/CN112615856B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170208094A1 (en) * | 2016-01-14 | 2017-07-20 | Cisco Technology, Inc. | Policy block creation with context-sensitive policy line classification |
| CN109189575A (zh) * | 2018-08-20 | 2019-01-11 | 北京奇虎科技有限公司 | 一种多OpenStack集群的统一管理方法及装置 |
| CN109104318A (zh) * | 2018-08-23 | 2018-12-28 | 广东轩辕网络科技股份有限公司 | 用于实现集群自适应部署的方法、基于云平台的自适应部署大数据集群的部署方法及系统 |
| US20200348984A1 (en) * | 2019-05-05 | 2020-11-05 | Mastercard International Incorporated | Control cluster for multi-cluster container environments |
| CN111193782A (zh) * | 2019-12-18 | 2020-05-22 | 北京航天智造科技发展有限公司 | Paas云集群构建方法、装置以及电子设备、存储介质 |
| CN111176697A (zh) * | 2020-01-02 | 2020-05-19 | 广州虎牙科技有限公司 | 服务实例部署方法、数据处理方法及集群联邦 |
| CN111885005A (zh) * | 2020-06-29 | 2020-11-03 | 济南浪潮数据技术有限公司 | 一种容器云平台服务通信方法、装置、设备及介质 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113452702B (zh) * | 2021-06-28 | 2023-02-24 | 中国光大银行股份有限公司 | 一种微服务流量检测系统和方法 |
| CN113452702A (zh) * | 2021-06-28 | 2021-09-28 | 中国光大银行股份有限公司 | 一种微服务流量检测系统和方法 |
| CN113949537B (zh) * | 2021-09-26 | 2023-11-21 | 杭州谐云科技有限公司 | 一种基于eBPF的防火墙管理方法和系统 |
| CN113949537A (zh) * | 2021-09-26 | 2022-01-18 | 杭州谐云科技有限公司 | 一种基于eBPF的防火墙管理方法和系统 |
| CN114047967A (zh) * | 2021-10-23 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 基于策略模拟器的策略生成管理方法与系统 |
| CN114039853A (zh) * | 2021-11-15 | 2022-02-11 | 北京天融信网络安全技术有限公司 | 一种检测安全策略的方法、装置、存储介质和电子设备 |
| CN114039853B (zh) * | 2021-11-15 | 2024-02-09 | 天融信雄安网络安全技术有限公司 | 一种检测安全策略的方法、装置、存储介质和电子设备 |
| CN114338405A (zh) * | 2021-12-31 | 2022-04-12 | 中电福富信息科技有限公司 | 一种基于Kubernetes实现云平台租户级网络策略配置的方法及其系统 |
| CN114938394A (zh) * | 2022-04-13 | 2022-08-23 | 京东科技信息技术有限公司 | 跨集群网络控制方法、装置、设备及存储介质 |
| CN114938394B (zh) * | 2022-04-13 | 2024-05-17 | 京东科技信息技术有限公司 | 跨集群网络控制方法、装置、设备及存储介质 |
| CN115185642A (zh) * | 2022-07-21 | 2022-10-14 | 北京火山引擎科技有限公司 | 一种容器运行控制方法及装置 |
| WO2024016838A1 (zh) * | 2022-07-21 | 2024-01-25 | 北京火山引擎科技有限公司 | 一种容器运行控制方法及装置 |
| CN115185642B (zh) * | 2022-07-21 | 2024-07-02 | 北京火山引擎科技有限公司 | 一种容器运行控制方法及装置 |
| CN115314353B (zh) * | 2022-08-10 | 2023-09-19 | 中电云数智科技有限公司 | 一种基于kubernetes实现单pod多网卡的装置和方法 |
| CN115314353A (zh) * | 2022-08-10 | 2022-11-08 | 中电云数智科技有限公司 | 一种基于kubernetes实现单pod多网卡的装置和方法 |
| CN115801470A (zh) * | 2023-02-09 | 2023-03-14 | 北京升鑫网络科技有限公司 | 一种适配集群网络微隔离方法、装置、设备及可读介质 |
| CN116455616A (zh) * | 2023-03-30 | 2023-07-18 | 中国科学院空天信息创新研究院 | 网络安全控制策略同步的方法、装置、系统、设备及介质 |
| CN116455616B (zh) * | 2023-03-30 | 2024-03-29 | 中国科学院空天信息创新研究院 | 针对容器漂移的网络安全控制策略同步的方法、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112615856B (zh) | 2021-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112615856B (zh) | 一种多集群网络安全策略管控方法和系统 | |
| US6233576B1 (en) | Enhanced security for computer system resources with a resource access authorization control facility that creates files and provides increased granularity of resource permission | |
| CA2434674C (en) | Computer security and management system | |
| US8116737B2 (en) | Method, system and apparatus for locking information | |
| US10798218B2 (en) | Environment isolation method and device | |
| CN107005426B (zh) | 一种虚拟网络功能的生命周期管理方法及装置 | |
| EP3337097A1 (en) | Network element upgrading method and device | |
| US20130145421A1 (en) | Policy evaluation in controlled environment | |
| US20200099721A1 (en) | Translating existing security policies enforced in upper layers into new security policies enforced in lower layers | |
| CN112698992B (zh) | 一种云集群的容灾管理方法以及相关装置 | |
| CN107111510B (zh) | 一种针对vnf包进行操作的方法及装置 | |
| CN109213571B (zh) | 一种内存共享方法、容器管理平台及计算机可读存储介质 | |
| CN110245031B (zh) | 一种ai服务开放中台及方法 | |
| WO2012101893A1 (ja) | セキュリティポリシ強制システム及びセキュリティポリシ強制方法 | |
| US11240205B1 (en) | Implementing rules in firewalls | |
| WO2020063550A1 (zh) | 策略决策方法及装置、系统、存储介质、策略决策单元及集群 | |
| CN109923547B (zh) | 程序行为监控设备、分布式对象生成管理设备、存储介质、以及程序行为监视系统 | |
| Kunz et al. | Towards tracking data flows in cloud architectures | |
| CN113835836A (zh) | 动态发布容器服务的系统、方法、计算机设备及介质 | |
| CN108366087B (zh) | 一种基于分布式文件系统的iscsi服务实现方法和装置 | |
| CN115051851B (zh) | 物联网场景下的用户访问行为管控系统和方法 | |
| WO2011081358A2 (ko) | 가용성 보장을 위한 프록시 기반의 보안시스템 | |
| CN103841050A (zh) | 一种核电站模拟机的局域网准入控制方法和系统 | |
| CN111679887A (zh) | 一种代理容器的配置方法及装置 | |
| CN117806775B (zh) | Kubernetes集群的容器资源处理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20221010 Address after: No. 4, 27th Floor, Building 2, No. 258, Xiadong Street Section, East Street, Jinjiang District, Chengdu City, Sichuan Province, China 610021 Patentee after: Chengdu Daoke Digital Technology Co.,Ltd. Address before: Room 1305-12, No.6 Weide Road, Yangpu District, Shanghai 200433 Patentee before: Shanghai Daoke Network Technology Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 3001-3008, Floor 30, Building 1, No. 101, Gulou South Street, Qingyang District, Chengdu, Sichuan 610016 Patentee after: Chengdu Daoke Digital Technology Co.,Ltd. Address before: No. 4, 27th Floor, Building 2, No. 258, Xiadong Street Section, East Street, Jinjiang District, Chengdu City, Sichuan Province, China 610021 Patentee before: Chengdu Daoke Digital Technology Co.,Ltd. |