CN112631601B - 一种容器编排引擎的应用防火墙部署方法、装置及设备 - Google Patents
一种容器编排引擎的应用防火墙部署方法、装置及设备 Download PDFInfo
- Publication number
- CN112631601B CN112631601B CN202011572976.8A CN202011572976A CN112631601B CN 112631601 B CN112631601 B CN 112631601B CN 202011572976 A CN202011572976 A CN 202011572976A CN 112631601 B CN112631601 B CN 112631601B
- Authority
- CN
- China
- Prior art keywords
- firewall
- application
- container
- plug
- orchestration engine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000005540 biological transmission Effects 0.000 claims abstract description 19
- 238000004590 computer program Methods 0.000 claims description 13
- 238000004891 communication Methods 0.000 claims description 9
- 241000380131 Ammophila arenaria Species 0.000 claims description 6
- 230000006870 function Effects 0.000 claims description 4
- 230000001360 synchronised effect Effects 0.000 description 9
- 230000005291 magnetic effect Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
- G06F8/63—Image based installation; Cloning; Build to order
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Stored Programmes (AREA)
Abstract
本申请公开了一种容器编排引擎的应用防火墙部署方法、装置、设备及存储介质。该方法的步骤包括:获取应用防火墙的应用代码;将应用代码编译为防火墙插件;其中,防火墙插件满足容器编排引擎的应用插件格式;将防火墙插件加载至容器编排引擎,并在容器编排引擎中创建业务容器;建立业务容器向防火墙插件传输流量数据的传输关系。本方法能够确保防火墙插件对业务容器的流量数据进行安全防护。此外,本申请还提供一种容器编排引擎的应用防火墙部署装置、设备及存储介质,有益效果同上所述。
Description
技术领域
本申请涉及计算机领域,特别是涉及一种容器编排引擎的应用防火墙部署方法、装置、设备及存储介质。
背景技术
容器编排引擎用于管理云平台中多个主机上容器化的应用,容器编排引擎的目标是让部署容器化的应用简单并且高效,容器编排引擎提供了容器的部署,规划,更新,维护的一种机制。
容器是基于操作系统的资源划分而成且相互孤立的资源组,容器之间能够平衡有冲突的资源使用需求。
应用防火墙(waf,Web Application Firewall)是通过一系列针对http或https协议的安全策略,对web应用程序提供保护的web应用防护系统,目前业界的应用防火墙往往只能部署在虚拟机中,因而仅能防护虚拟机中的业务系统,应用防火墙无法部署于容器编排引擎中的容器,以对容器业务进行防护。
由此可见,提供一种容器编排引擎的应用防火墙部署方法,以实现将应用防火墙部署于容器编排引擎中的容器,进而实现利用应用防火墙对容器业务的防护,是本领域技术人员需要解决的问题。
发明内容
本申请的目的是提供一种容器编排引擎的应用防火墙部署方法、装置、设备及存储介质,以实现将应用防火墙部署于容器编排引擎中的容器,进而实现利用应用防火墙对容器业务的防护。
为解决上述技术问题,本申请提供一种容器编排引擎的应用防火墙部署方法,包括:
获取应用防火墙的应用代码;
将应用代码编译为防火墙插件;其中,防火墙插件满足容器编排引擎的应用插件格式;
将防火墙插件加载至容器编排引擎,并在容器编排引擎中创建业务容器;
建立业务容器向防火墙插件传输流量数据的传输关系。
优选地,获取应用防火墙的应用代码,包括:
在GitLab中拉取应用防火墙的应用代码。
优选地,将防火墙插件加载至容器编排引擎,包括:
将防火墙插件上传至容器编排引擎对应的应用商店;
基于应用商店将防火墙插件安装至容器编排引擎。
优选地,将防火墙插件上传至容器编排引擎对应的应用商店,包括:
将防火墙插件的插件镜像上传至应用商店的镜像仓库;
相应的,基于应用商店将防火墙插件安装至容器编排引擎,包括:
基于应用商店在镜像仓库中拉取防火墙插件的插件镜像;
将防火墙插件的插件镜像部署至容器编排引擎。
优选地,在容器编排引擎中创建业务容器,包括:
通过镜像仓库中的容器镜像在容器编排引擎中创建业务容器。
优选地,容器编排引擎包括Kubernetes引擎,防火墙插件的应用插件格式包括Helm应用格式。
此外,本申请还提供一种容器编排引擎的应用防火墙部署装置,包括:
代码获取模块,用于获取应用防火墙的应用代码;
插件编译模块,用于将应用代码编译为防火墙插件;其中,防火墙插件满足容器编排引擎的应用插件格式;
插件加载模块,用于将防火墙插件加载至容器编排引擎,并在容器编排引擎中创建业务容器;
容器配置模块,用于建立业务容器向防火墙插件传输流量数据的传输关系。
优选地,代码获取模块,包括:
代码获取子模块,用于在GitLab中拉取应用防火墙的应用代码。
此外,本申请还提供一种容器编排引擎的应用防火墙部署设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的容器编排引擎的应用防火墙部署方法的步骤。
此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的容器编排引擎的应用防火墙部署方法的步骤。
本申请所提供的容器编排引擎的应用防火墙部署方法,首先获取应用防火墙的应用代码,进而将应用代码编译为满足容器编排引擎的应用插件格式的防火墙插件,并将防火墙插件加载至容器编排引擎,进而在容器编排引擎中创建业务容器,并建立业务容器向防火墙插件传输流量数据的传输关系。由于本方法是将应用防火墙的应用代码编译为满足容器编排引擎的应用插件格式的防火墙插件,进行将防火墙插件加载至容器编排引擎,因此防火墙插件能够正常运行于容器编排引擎,在此基础上,进一步建立容器编排引擎中的业务容器向防火墙插件传输流量数据的传输关系,以此能够确保防火墙插件对业务容器的流量数据进行安全防护。此外,本申请还提供一种容器编排引擎的应用防火墙部署装置、设备及存储介质,有益效果同上所述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种容器编排引擎的应用防火墙部署方法的流程图;
图2为本申请实施例公开的一种具体的容器编排引擎的应用防火墙部署方法的流程图;
图3为本申请实施例公开的一种容器编排引擎的应用防火墙部署装置的结构示意图;
图4为本申请实施例公开的一种容器编排引擎的应用防火墙部署设备的硬件组成结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
应用防火墙(waf,Web Application Firewall)是通过一系列针对http或https协议的安全策略,对web应用程序提供保护的web应用防护系统,目前业界的应用防火墙往往只能部署在虚拟机中,因而仅能防护虚拟机中的业务系统,应用防火墙无法部署于容器编排引擎中的容器,以对容器业务进行防护。
为此,本申请的核心是提供一种容器编排引擎的应用防火墙部署方法,以实现将应用防火墙部署于容器编排引擎中的容器,进而实现利用应用防火墙对容器业务的防护。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
如图1所示的,本申请实施例公开了一种容器编排引擎的应用防火墙部署方法,包括:
步骤S10:获取应用防火墙的应用代码。
需要说明的是,本实施例的执行主体可以为对物理服务器存在通信控制关系的配置设备,配置设备通过对物理服务器进行通信的方式,在物理服务器中部署容器编排引擎以及运行于容器编排引擎的应用防火墙。
需要说明的是,本步骤中的应用防火墙是通过一系列针对http或https协议的安全策略,对web应用程序提供保护的web应用防护系统,应用防火墙的作用在于拦截基于http或https协议产生的流量数据,并对流量数据进行分析,进而筛选并报告流量数据中存在网络安全风险的数据。
本步骤中所获取的应用防火墙的应用代码,指的是支持应用防火墙运行的源代码,本步骤获取应用代码的目的是在后续步骤中通过对源代码进行与容器编排引擎相适配的编译,以使应用防火墙运行于容器编排引擎。
步骤S11:将应用代码编译为防火墙插件。
其中,防火墙插件满足容器编排引擎的应用插件格式。
在获取到应用防火墙的应用代码之后,本步骤进一步将应用代码编译为防火墙插件,防火墙插件满足容器编排引擎的应用插件格式,进而确保防火墙插件能够运行于容器编排引擎。
步骤S12:将防火墙插件加载至容器编排引擎,并在容器编排引擎中创建业务容器。
在将应用代码编译为防火墙插件之后,本步骤进一步将防火墙插件加载至容器编排引擎中,并且在容器编排引擎中创建业务容器,目的是在后续步骤中进一步建立容器编排引擎与业务容器之间的流量传输关系。此处所指的业务容器,指的是具有特定业务功能的容器。
另外,需要说明的是,将防火墙插件加载至容器编排引擎的操作与在容器编排引擎中创建业务容器的操作之间无固定的执行顺序,也可同时执行,应根据实际需求而定。
步骤S13:建立业务容器向防火墙插件传输流量数据的传输关系。
在将防火墙插件加载至容器编排引擎,并在容器编排引擎中创建业务容器之后,本步骤进一步建立业务容器向防火墙插件传输流量数据的传输关系,以此确保业务容器能够将流量数据传输至防火墙插件,进而防火墙插件能够对业务容器中的业务进行网络安全防护。
本申请所提供的容器编排引擎的应用防火墙部署方法,首先获取应用防火墙的应用代码,进而将应用代码编译为满足容器编排引擎的应用插件格式的防火墙插件,并将防火墙插件加载至容器编排引擎,进而在容器编排引擎中创建业务容器,并建立业务容器向防火墙插件传输流量数据的传输关系。由于本方法是将应用防火墙的应用代码编译为满足容器编排引擎的应用插件格式的防火墙插件,进行将防火墙插件加载至容器编排引擎,因此防火墙插件能够正常运行于容器编排引擎,在此基础上,进一步建立容器编排引擎中的业务容器向防火墙插件传输流量数据的传输关系,以此能够确保防火墙插件对业务容器的流量数据进行安全防护。
在上述实施例的基础上,作为一种优选的实施方式,获取应用防火墙的应用代码,包括:
在GitLab中拉取应用防火墙的应用代码。
需要说明的是,GitLab是一个用于仓库管理系统的开源项目,能够相对可靠的实现代码的开发以及管理,因此本实施方式基于GitLab开发应用防火墙,进而在对应用防火墙进行部署时,在GitLab中拉取应用防火墙的应用代码,能够相对确保进一步基于应用代码在容器编排引擎中部署应用防火墙的可靠性。
如图2所示的,本申请实施例公开了一种容器编排引擎的应用防火墙部署方法,包括:
步骤S20:获取应用防火墙的应用代码。
步骤S21:将应用代码编译为防火墙插件。
其中,防火墙插件满足容器编排引擎的应用插件格式。
步骤S22:将防火墙插件上传至容器编排引擎对应的应用商店。
需要说明的是,本步骤中的应用商店指的是用于向容器编排引擎提供应用容器和应用插件的平台,应用商店能够与容器编排引擎进行通信,并将应用容器或应用插件下载并安装至容器编排引擎。本步骤将防火墙插件上传至容器编排引擎对应的应用商店,目的是在后续步骤中,进一步基于应用商店将防火墙插件安装至容器编排引擎。
步骤S23:基于应用商店将防火墙插件安装至容器编排引擎。
在将防火墙插件上传至容器编排引擎对应的应用商店之后,本步骤进一步基于应用商店将防火墙插件安装至容器编排引擎。
步骤S24:在容器编排引擎中创建业务容器。
步骤S25:建立业务容器向防火墙插件传输流量数据的传输关系。
本实施例将应用商店作为将防火墙插件加载至容器编排引擎过程中使用的中间工具,以此确保将防火墙插件加载至容器编排引擎的过程具有较高的可靠性。
在上述实施例的基础上,作为一种优选的实施方式,将防火墙插件上传至容器编排引擎对应的应用商店,包括:
将防火墙插件的插件镜像上传至应用商店的镜像仓库;
相应的,基于应用商店将防火墙插件安装至容器编排引擎,包括:
基于应用商店在镜像仓库中拉取防火墙插件的插件镜像;
将防火墙插件的插件镜像部署至容器编排引擎。
需要说明的是,在本实施方式中,在将防火墙插件上传至容器编排引擎对应的应用商店时,是将防火墙插件的插件镜像上传至应用商店的镜像仓库,进而应用商店能够通过调用镜像仓库的方式获取到防火墙插件。其中,镜像仓库的功能是实现对镜像内容的存储和分发,能够确保对镜像的可靠存储。在将防火墙插件的插件镜像上传至应用商店的镜像仓库的基础上,本实施方式在基于应用商店将防火墙插件安装至容器编排引擎时,首先基于应用商店在镜像仓库中拉取防火墙插件的插件镜像,进而再将防火墙插件的插件镜像部署至容器编排引擎。由于防火墙插件以插件镜像的方式预先上传至应用商店的镜像仓库,进而应用商店能够通过镜像仓库获取防火墙插件的插件镜像并安装至容器编排引擎,因此本实施方式进一步确保了基于应用商店将防火墙插件安装至容器编排引擎的可靠性。
更进一步的,作为一种优选的实施方式,在容器编排引擎中创建业务容器,包括:
通过镜像仓库中的容器镜像在容器编排引擎中创建业务容器。
本实施方式通过镜像仓库中的容器镜像在容器编排引擎中创建业务容器,由于镜像仓库能够相对可靠的对容器镜像进行存储,因此本实施方式能够相对确保在容器编排引擎中创建业务容器的可靠性。
在上述一系列实施例的基础上,作为一种优选的实施方式,容器编排引擎包括Kubernetes引擎,防火墙插件的应用插件格式包括Helm应用格式。
需要说明的是,Kubernetes简称K8s,是一个开源的容器编排引擎。用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes引擎提供了应用部署,规划,更新,维护的一种机制。Helm是一个命令行下客户端工具,主要用于Kubernetes应用的创建、打包、发布以及创建和管理和远程镜像仓库。
本实施方式中的容器编排引擎为Kubernetes引擎,并且防火墙插件的应用插件格式为Helm应用格式,能够相对确保在Kubernetes引擎中部署应用防火墙的可靠性。另外,本实施方式中的镜像仓库可以具体为HARBOR仓库,具有更高的镜像存储可靠性。
请参见图3所示,本申请实施例公开了一种容器编排引擎的应用防火墙部署装置,包括:
代码获取模块10,用于获取应用防火墙的应用代码;
插件编译模块11,用于将应用代码编译为防火墙插件;其中,防火墙插件满足容器编排引擎的应用插件格式;
插件加载模块12,用于将防火墙插件加载至容器编排引擎,并在容器编排引擎中创建业务容器;
容器配置模块13,用于建立业务容器向防火墙插件传输流量数据的传输关系。
在一种具体实施方式中,代码获取模块10,包括:
代码获取子模块,用于在GitLab中拉取应用防火墙的应用代码。
在一种具体实施方式中,插件加载模块12,包括:
应用商店上传模块,用于将防火墙插件上传至容器编排引擎对应的应用商店;
商店安装模块,用于基于应用商店将防火墙插件安装至容器编排引擎。
在一种具体实施方式中,应用商店上传模块,包括:
镜像上传模块,用于将防火墙插件的插件镜像上传至应用商店的镜像仓库;
相应的,商店安装模块,包括:
插件镜像拉取模块,用于基于应用商店在镜像仓库中拉取防火墙插件的插件镜像;
插件镜像部署模块,用于将防火墙插件的插件镜像部署至容器编排引擎。
在一种具体实施方式中,插件加载模块12,包括:
容器镜像创建模块,用于通过镜像仓库中的容器镜像在容器编排引擎中创建业务容器。
在一种具体实施方式中,容器编排引擎包括Kubernetes引擎,防火墙插件的应用插件格式包括Helm应用格式。
本申请所提供的容器编排引擎的应用防火墙部署装置,首先获取应用防火墙的应用代码,进而将应用代码编译为满足容器编排引擎的应用插件格式的防火墙插件,并将防火墙插件加载至容器编排引擎,进而在容器编排引擎中创建业务容器,并建立业务容器向防火墙插件传输流量数据的传输关系。由于本装置是将应用防火墙的应用代码编译为满足容器编排引擎的应用插件格式的防火墙插件,进行将防火墙插件加载至容器编排引擎,因此防火墙插件能够正常运行于容器编排引擎,在此基础上,进一步建立容器编排引擎中的业务容器向防火墙插件传输流量数据的传输关系,以此能够确保防火墙插件对业务容器的流量数据进行安全防护。
基于上述程序模块的硬件实现,且为了实现本申请实施例的容器编排引擎的应用防火墙部署方法,本申请实施例还提供了一种容器编排引擎的应用防火墙部署设备,运行有虚拟机且与虚拟机对应的虚拟机磁盘建立有通信连接,图4为本申请实施例容器编排引擎的应用防火墙部署设备的硬件组成结构示意图,如图4所示,容器编排引擎的应用防火墙部署设备包括:
通信接口1,能够与其它设备比如网络设备等进行信息交互;
处理器2,与通信接口1连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的容器编排引擎的应用防火墙部署方法。而所述计算机程序存储在存储器3上。
当然,实际应用时,容器编排引擎的应用防火墙部署设备中的各个组件通过总线系统4耦合在一起。可理解,总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图4中将各种总线都标为总线系统4。
本申请实施例中的存储器3用于存储各种类型的数据以支持容器编排引擎的应用防火墙部署设备的操作。这些数据的示例包括:用于在容器编排引擎的应用防火墙部署设备上操作的任何计算机程序。
可以理解,存储器3可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的容器编排引擎的应用防火墙部署方法可以应用于处理器2中,或者由处理器2实现。处理器2可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述容器编排引擎的应用防火墙部署方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本申请实施例中的公开的各容器编排引擎的应用防火墙部署方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的容器编排引擎的应用防火墙部署方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器3,处理器2读取存储器3中的程序,结合其硬件完成前述容器编排引擎的应用防火墙部署方法的步骤。
处理器2执行所述程序时实现本申请实施例的各个容器编排引擎的应用防火墙部署方法中的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器3,上述计算机程序可由处理器2执行,以完成前述容器编排引擎的应用防火墙部署方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、终端和容器编排引擎的应用防火墙部署方法,可以通过其它的方式实现。以上所描述的设备实施例仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述容器编排引擎的应用防火墙部署方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述容器编排引擎的应用防火墙部署方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台容器编排引擎的应用防火墙部署设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例的容器编排引擎的应用防火墙部署方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的容器编排引擎的应用防火墙部署设备,首先获取应用防火墙的应用代码,进而将应用代码编译为满足容器编排引擎的应用插件格式的防火墙插件,并将防火墙插件加载至容器编排引擎,进而在容器编排引擎中创建业务容器,并建立业务容器向防火墙插件传输流量数据的传输关系。由于本设备是将应用防火墙的应用代码编译为满足容器编排引擎的应用插件格式的防火墙插件,进行将防火墙插件加载至容器编排引擎,因此防火墙插件能够正常运行于容器编排引擎,在此基础上,进一步建立容器编排引擎中的业务容器向防火墙插件传输流量数据的传输关系,以此能够确保防火墙插件对业务容器的流量数据进行安全防护。
此外,本申请实施例还公开了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的容器编排引擎的应用防火墙部署方法的步骤。
本申请所提供的计算机可读存储介质,首先获取应用防火墙的应用代码,进而将应用代码编译为满足容器编排引擎的应用插件格式的防火墙插件,并将防火墙插件加载至容器编排引擎,进而在容器编排引擎中创建业务容器,并建立业务容器向防火墙插件传输流量数据的传输关系。由于本计算机可读存储介质是将应用防火墙的应用代码编译为满足容器编排引擎的应用插件格式的防火墙插件,进行将防火墙插件加载至容器编排引擎,因此防火墙插件能够正常运行于容器编排引擎,在此基础上,进一步建立容器编排引擎中的业务容器向防火墙插件传输流量数据的传输关系,以此能够确保防火墙插件对业务容器的流量数据进行安全防护。
以上对本申请所提供的一种容器编排引擎的应用防火墙部署方法、装置、设备及存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种容器编排引擎的应用防火墙部署方法,其特征在于,包括:
获取应用防火墙的应用代码;
将所述应用代码编译为防火墙插件;其中,所述防火墙插件满足容器编排引擎的应用插件格式;
将所述防火墙插件加载至所述容器编排引擎,并在所述容器编排引擎中创建业务容器;
建立所述业务容器向所述防火墙插件传输流量数据的传输关系;
其中,所述业务容器为具有特定业务功能的容器,所述将所述防火墙插件加载至所述容器编排引擎的操作与所述在所述容器编排引擎中创建业务容器的操作之间无固定的执行顺序,并且可同时执行;
其中,所述容器编排引擎的应用防火墙部署方法的执行主体包括对物理服务器存在通信控制关系的配置设备,所述配置设备通过对所述物理服务器进行通信的方式,在所述物理服务器中部署所述容器编排引擎以及运行于所述容器编排引擎的应用防火墙。
2.根据权利要求1所述的容器编排引擎的应用防火墙部署方法,其特征在于,所述获取应用防火墙的应用代码,包括:
在GitLab中拉取所述应用防火墙的所述应用代码。
3.根据权利要求1所述的容器编排引擎的应用防火墙部署方法,其特征在于,所述将所述防火墙插件加载至所述容器编排引擎,包括:
将所述防火墙插件上传至所述容器编排引擎对应的应用商店;
基于所述应用商店将所述防火墙插件安装至所述容器编排引擎。
4.根据权利要求3所述的容器编排引擎的应用防火墙部署方法,其特征在于,所述将所述防火墙插件上传至所述容器编排引擎对应的应用商店,包括:
将所述防火墙插件的插件镜像上传至所述应用商店的镜像仓库;
相应的,所述基于所述应用商店将所述防火墙插件安装至所述容器编排引擎,包括:
基于所述应用商店在所述镜像仓库中拉取所述防火墙插件的插件镜像;
将所述防火墙插件的插件镜像部署至所述容器编排引擎。
5.根据权利要求4所述的容器编排引擎的应用防火墙部署方法,其特征在于,所述在所述容器编排引擎中创建业务容器,包括:
通过所述镜像仓库中的容器镜像在所述容器编排引擎中创建所述业务容器。
6.根据权利要求1至5任意一项所述的容器编排引擎的应用防火墙部署方法,其特征在于,所述容器编排引擎包括Kubernetes引擎,所述防火墙插件的所述应用插件格式包括Helm应用格式。
7.一种容器编排引擎的应用防火墙部署装置,其特征在于,包括:
代码获取模块,用于获取应用防火墙的应用代码;
插件编译模块,用于将所述应用代码编译为防火墙插件;其中,所述防火墙插件满足容器编排引擎的应用插件格式;
插件加载模块,用于将所述防火墙插件加载至所述容器编排引擎,并在所述容器编排引擎中创建业务容器;
容器配置模块,用于建立所述业务容器向所述防火墙插件传输流量数据的传输关系;
其中,所述业务容器为具有特定业务功能的容器,所述将所述防火墙插件加载至所述容器编排引擎的操作与所述在所述容器编排引擎中创建业务容器的操作之间无固定的执行顺序,并且可同时执行;
其中,所述容器编排引擎的应用防火墙部署装置包括对物理服务器存在通信控制关系的配置设备,所述配置设备通过对所述物理服务器进行通信的方式,在所述物理服务器中部署所述容器编排引擎以及运行于所述容器编排引擎的应用防火墙。
8.根据权利要求7所述的容器编排引擎的应用防火墙部署装置,其特征在于,所述代码获取模块,包括:
代码获取子模块,用于在GitLab中拉取所述应用防火墙的所述应用代码。
9.一种容器编排引擎的应用防火墙部署设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述的容器编排引擎的应用防火墙部署方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的容器编排引擎的应用防火墙部署方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011572976.8A CN112631601B (zh) | 2020-12-24 | 2020-12-24 | 一种容器编排引擎的应用防火墙部署方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011572976.8A CN112631601B (zh) | 2020-12-24 | 2020-12-24 | 一种容器编排引擎的应用防火墙部署方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112631601A CN112631601A (zh) | 2021-04-09 |
| CN112631601B true CN112631601B (zh) | 2024-04-12 |
Family
ID=75325587
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011572976.8A Active CN112631601B (zh) | 2020-12-24 | 2020-12-24 | 一种容器编排引擎的应用防火墙部署方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112631601B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114995897A (zh) * | 2022-05-07 | 2022-09-02 | 远光软件股份有限公司 | 获取持续集成工具运行结果的方法、装置、存储介质及计算机设备 |
| CN114968406B (zh) * | 2022-05-27 | 2023-10-13 | 北京青云科技股份有限公司 | 一种插件管理方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107426206A (zh) * | 2017-07-17 | 2017-12-01 | 北京上元信安技术有限公司 | 一种对web服务器的防护装置和方法 |
| CN107426034A (zh) * | 2017-08-18 | 2017-12-01 | 国网山东省电力公司信息通信公司 | 一种基于云平台的大规模容器调度系统及方法 |
| CN107864062A (zh) * | 2016-12-14 | 2018-03-30 | 中国电子科技网络信息安全有限公司 | 一种容器防火墙系统部署方法 |
| CN109413069A (zh) * | 2018-10-29 | 2019-03-01 | 北京百悟科技有限公司 | 基于区块链的虚拟网站防火墙的应用方法及装置 |
| CN109814879A (zh) * | 2019-01-16 | 2019-05-28 | 福建省天奕网络科技有限公司 | 自动化ci/cd项目部署方法、存储介质 |
| CN110502244A (zh) * | 2019-07-11 | 2019-11-26 | 新华三大数据技术有限公司 | 部署Kubernetes集群的方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11212366B2 (en) * | 2018-12-11 | 2021-12-28 | Sap Se | Kubernetes as a distributed operating system for multitenancy/multiuser |
-
2020
- 2020-12-24 CN CN202011572976.8A patent/CN112631601B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107864062A (zh) * | 2016-12-14 | 2018-03-30 | 中国电子科技网络信息安全有限公司 | 一种容器防火墙系统部署方法 |
| CN107426206A (zh) * | 2017-07-17 | 2017-12-01 | 北京上元信安技术有限公司 | 一种对web服务器的防护装置和方法 |
| CN107426034A (zh) * | 2017-08-18 | 2017-12-01 | 国网山东省电力公司信息通信公司 | 一种基于云平台的大规模容器调度系统及方法 |
| CN109413069A (zh) * | 2018-10-29 | 2019-03-01 | 北京百悟科技有限公司 | 基于区块链的虚拟网站防火墙的应用方法及装置 |
| CN109814879A (zh) * | 2019-01-16 | 2019-05-28 | 福建省天奕网络科技有限公司 | 自动化ci/cd项目部署方法、存储介质 |
| CN110502244A (zh) * | 2019-07-11 | 2019-11-26 | 新华三大数据技术有限公司 | 部署Kubernetes集群的方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 云环境下基于Kubernetes集群系统的容器网络研究与优化;刘渊;《信息网络安全》;20200331;第20卷(第3期);36-44 * |
| 陈显鹭.《云原生应用管理:原理与实践》.机械工业出版社,2020,第4-6页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112631601A (zh) | 2021-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106844137B (zh) | 服务器的监控方法和装置 | |
| JP6130460B2 (ja) | ソフトウェア更新システム及び方法、自動デプロイメントする方法、及び自動デプロイメントする方法 | |
| CA2870359C (en) | Configuration of third party applications in a sandboxed environment | |
| US20160119285A1 (en) | System and method for compliance based automation | |
| CN112631601B (zh) | 一种容器编排引擎的应用防火墙部署方法、装置及设备 | |
| JP4286798B2 (ja) | ハードドライブにドライバファイルをインストールする方法、コンピュータ及びコンピュータ読取可能な記憶媒体 | |
| US20070250595A1 (en) | System and method for protecting a computer network | |
| US20130104126A1 (en) | System and method for dynamically creating machine images for instantiating virtual machines | |
| CN109151031B (zh) | 基于区块链的合约处理方法及装置 | |
| US8615737B2 (en) | Systems and methods for building software packages in secure development environments | |
| US11822947B2 (en) | Automated management of machine images | |
| US8250185B2 (en) | Semantic matching of federation intents and services capabilities in a planning system for automatic service federation | |
| CN106843976B (zh) | 用于生成镜像文件的方法和装置 | |
| CN105302563A (zh) | 移动应用服务的插件化方法及系统 | |
| CN113938321B (zh) | 可扩展的运维管理系统、方法、电子设备和可读存储介质 | |
| CN112148306B (zh) | 微服务运维管理系统和方法 | |
| CN113687858B (zh) | 配置文件的检查方法、装置、电子设备及存储介质 | |
| KR101074886B1 (ko) | 소프트웨어 컴포넌트를 설치하기 위한 방법, 시스템, dm 클라이언트 및 dm 서버 | |
| CN116028163A (zh) | 一种容器组的动态链接库调度方法、装置及存储介质 | |
| US20090150882A1 (en) | System and method for software application installation | |
| CN111367811B (zh) | 一种提高bmc的管理网页调试效率的方法及系统 | |
| KR101943936B1 (ko) | 웹 표준 애플리케이션 개발을 위한 통합 외부 연동 시스템 및 방법 | |
| US10129213B2 (en) | System and method for compliance based automation | |
| US20140173634A1 (en) | Method and integration component for integrating osgi environments into a service-oriented architecture | |
| CN107493288A (zh) | 基于Android版POS的应用网络安全控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |