CN114296881A - 基于中间件部署的容器防护连接方法、装置、设备及介质 - Google Patents
基于中间件部署的容器防护连接方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114296881A CN114296881A CN202111654192.4A CN202111654192A CN114296881A CN 114296881 A CN114296881 A CN 114296881A CN 202111654192 A CN202111654192 A CN 202111654192A CN 114296881 A CN114296881 A CN 114296881A
- Authority
- CN
- China
- Prior art keywords
- container
- address
- protection
- service
- monitoring information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于中间件部署的容器防护连接方法、装置、设备及介质,方法包括:根据集群服务器的服务地址生成服务对象并创建端点对象,根据端点对象对容器进行监控以获取容器监控信息并存储,根据服务对象的访问信息及容器监控信息判断容器是否出现地址漂移,若出现地址漂移则基于镜像容器的容器监控地址进行防护插件的重连配置。本发明属于网络安全技术领域,可生成服务对象并创建端点对象等中间件,通过所部署的中间件监控容易以判断是否出现地址漂移,若出现地址漂移则基于镜像容器的容器监控地址进行防护插件的重连配置,从而避免因发送容器漂移导致防护插件无法发挥防篡改监控的功能,大幅提高了通过防护插件对容器进行防护的稳定性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于中间件部署的容器防护连接方法、装置、设备及介质。
背景技术
随着Web应用及相关技术的不断发展,域名的数量也逐年增加,与Web相关的信息安全漏洞数量也相应攀升,不论是企业商用网站还是政府、高校等网站均存在高危漏洞。大量的Web漏洞都具有相应的攻击工具但是并没有较好的解决方案,此外勒索、挖矿等各种恶意软件的相关变种数量也十分巨大。常见的应用页面篡改手段包括漏洞利用、SQL注入、XSS注入等,Docker是一个开源的应用容器引擎,使用容器承载应用程序可以大大减少开销并提高性能,因此得到了越来越多的应用,通过为容器配置防护插件即可对容器内的数据信息进行防篡改监控,通过防护插件即可避免被恶意软件攻击,以确保数据信息的安全。然而在实际应用过程中,所配置的容器易从集群服务器中的一个节点迁移到其它节点上去,即发生容器漂移,这直接导致对容器进行防篡改监控的功能无法正常使用。因此,现有技术方法中通过防护插件对容器进行监控时存在防护功能不稳定的问题。
发明内容
本发明实施例提供了一种基于中间件部署的容器防护连接方法、装置、设备及介质,旨在解决现有技术中通过防护插件对容器进行监控时所存在的防护功能不稳定的问题。
第一方面,本发明实施例提供了一种基于中间件部署的容器防护连接方法,该方法应用于集群服务器中,所述方法包括:
根据所述集群服务器的服务地址生成对应的服务对象;
根据所述服务对象创建得到与每一所述服务对象对应的端点对象;
根据所述端点对象对所述集群服务器中配置的容器进行监控以获取对应的容器监控信息并存储;
根据所述服务对象的访问信息及所述容器监控信息判断所述容器是否出现地址漂移;
若任一所述容器出现地址漂移,获取与地址漂移的镜像容器对应的容器监控信息并进行防护插件的重连配置。
第二方面,本发明实施例提供了一种基于中间件部署的容器防护连接装置,该装置配置于集群服务器中,所述装置包括:
服务对象生成单元,用于根据所述集群服务器的服务地址生成对应的服务对象;
端点对象创建单元,用于根据所述服务对象创建得到与每一所述服务对象对应的端点对象;
容器监控信息存储单元,用于根据所述端点对象对所述集群服务器中配置的容器进行监控以获取对应的容器监控信息并存储;
地址漂移判定单元,用于根据所述服务对象的访问信息及所述容器监控信息判断所述容器是否出现地址漂移;
重连配置单元,用于若任一所述容器出现地址漂移,获取与地址漂移的镜像容器对应的容器监控信息并进行防护插件的重连配置。
第三方面,本发明实施例又提供了一种计算机设备,其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的基于中间件部署的容器防护连接方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其中计算机可读存储介质存储有计算机程序,当所述计算机程序被处理器执行时实现如上述第一方面所述的基于中间件部署的容器防护连接方法。
本发明实施例提供了一种基于中间件部署的容器防护连接方法、装置、设备及介质。根据集群服务器的服务地址生成服务对象并创建端点对象,根据端点对象对溶解进行监控以获取容器监控信息并存储,根据服务对象的访问信息及容器监控信息判断容器是否出现地址漂移,若出现地址漂移则基于镜像容器的容器监控地址进行防护插件的重连配置。通过上述方法,可生成服务对象并创建端点对象等中间件,通过所部署的中间件监控容易以判断是否出现地址漂移,若出现地址漂移则基于镜像容器的容器监控地址进行防护插件的重连配置,从而避免因发送容器漂移导致防护插件无法发挥防篡改监控的功能,大幅提高了通过防护插件对容器进行防护的稳定性。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于中间件部署的容器防护连接方法的流程示意图;
图2为本发明实施例提供的基于中间件部署的容器防护连接方法的另一子流程示意图;
图3为本发明实施例提供的基于中间件部署的容器防护连接方法的又一子流程示意图;
图4为本发明实施例提供的基于中间件部署的容器防护连接方法的再一子流程示意图;
图5为本发明实施例提供的基于中间件部署的容器防护连接方法的另一流程示意图;
图6为本发明实施例提供的基于中间件部署的容器防护连接方法的又一流程示意图;
图7为本发明实施例提供的基于中间件部署的容器防护连接方法的后一子流程示意图;
图8为本发明实施例提供的基于中间件部署的容器防护连接装置的示意性框图;
图9为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1,图1为本发明实施例提供的基于中间件部署的容器防护连接方法的流程示意图;该基于中间件部署的容器防护连接方法应用于集群服务器中,该基于中间件部署的容器防护连接方法通过安装于集群服务器中的应用软件进行执行,集群服务器可与其它终端设备建立网络连接以为其它终端设备提供服务,集群服务器即是用于执行所述基于中间件部署的容器防护连接方法以通过部署的中间件将内部配置的容器与防护插件进行连接的集群处理服务器。如图1所示,该方法包括步骤S110~S150。
S110、根据所述集群服务器的服务地址生成对应的服务对象。
根据所述集群服务器的服务地址生成对应的服务对象。集群服务器中配置有多个容器,可通过防护插件对容器进行防护,以保障容器内存储的数据信息不被篡改,也即可防止网站网络数据被篡改,从而维护数据的完整性。本方案中的集群服务器中的容器可对静态页面、各类格式的动态网页文件、图片、音频、视频、文件名(含后缀)、文件属性等数据信息进行防护,可基于整个目录或单个文件进行防护,也可排除其中个别目录或文件进行防护。
具体的,集群服务器内可部署kubernetes服务,kubernetes服务可用于对新增容器进行获取,kubernetes服务是一组具有相同label容器集合的抽象,集群内外的其它服务可以通过kubernetes服务进行互相通信。可通过部署在集群服务器内的CroeDNS来获取kubernetes服务,集群服务器内部的容器(pod)则通过DNS的方式在集群内各服务之间进行通信,从而得到kubernetes服务在集群服务器中对应配置的集群地址(集群IP),也即获取到服务地址。本实施例中的服务以一种VIP(Cluster IP)的形式存在,集群IP类型的服务是kubernetes集群默认的服务暴露方式,kubernetes服务仅能用于集群内部进行通信,且可被各个容器进行访问。获取到服务地址后,即可根据服务地址对应生成服务对象,也即每一服务地址可对应生成一个服务对象,一个服务可与多个容器相对应,也即服务对象可对应接收一个或多个容器的访问。
S120、根据所述服务对象创建得到与每一所述服务对象对应的端点对象。
根据所述服务对象创建得到与每一所述服务对象对应的端点对象。生成服务对象的同时也会对应创建一个端点对象(endpoint对象),endpoint是用来做容器发现的,服务只是将多个容器进行关键,实际的路由转发都是由kubernetes集群中的kube-proxy组件来实现。因此,服务必须结合kube-proxy使用,kubernetes集群中配置有多个节点,每一节点可对应配置一个容器或不配置容器,kube-proxy组件可以运行在kubernetes集群中的每一个节点上,也可以只运行在单独的几个节点上,kube-proxy组件可根据服务和端点对象的变动来对应调整节点上iptables或者ipvs中保存的路由规则。
S130、根据所述端点对象对所述集群服务器中配置的容器进行监控以获取对应的容器监控信息并存储。
根据所述端点对象对所述集群服务器中配置的容器进行监控以获取对应的容器监控信息并存储。所创建的端点对象即可被管理服务器中配置的端点控制器(endpointscontroller)控制,端点控制器即是可用于生成和维护所有endpoints对象的控制器,通过维护节点对象从而监听服务及对应容器的变化,并根据变化情况更新服务对应的端点对象的配置。
在一实施例中,如图2所示,步骤S130包括子步骤S131和S132。
S131、根据所述端点对象的控制器对所述集群服务器中配置的与每一所述端点对象对应的容器进行监控以得到容器监控信息。
具体的,当生成服务对象并创建端点对象后,可通过与端点对象对应的控制器对集群服务器中配置的容器进行监控,一个或多个容器可访问对应的服务对象,每一服务对象对应一个端点对象,则一个端点对象也对应一个或多个容器,则可对应监控得到每一端点对象对应容器的容器监控信息。
S132,判断每一所述容器的容器监控信息中的状态信息是否为运行。
容器监控信息中包括容器的状态信息,可判断容器监控信息中的状态信息是否为运行,当容器的状态处于运行时即表示容器准备就绪。
S133、获取状态信息为运行的容器监控信息存储至对应的所述端点对象中。
可容器监控信息中还包含对应的容器地址,可获取状态信息为运行的容器对应容器监控信息,并根据容器与端点对象的对应关系,将状态信息为运行的容器的容器地址等相关信息存储至与该容器对应的端点对象中,每一端点对象中还存储有与端点对象对应服务对象的所提供的连接端口,也即服务对象对应容器的发现是通过端点对象(endpoints)来实现的。
S140、根据所述服务对象的访问信息及所述容器监控信息判断所述容器是否出现地址漂移。
根据所述服务对象的访问信息及所述容器监控信息判断所述容器是否出现地址漂移。可根据服务对象的访问信息及容器监控信息判断容器是否出现地址漂移,具体的,这一过程可通过集群服务器内配置的kube-proxy组件实现,kube-proxy组件可监听服务对象和端点对象中更新的信息并调用其代理模块在集群服务器的节点上刷新路由转发规则。
在一实施例中,如图3所示,步骤S140包括子步骤S141、S142和S143。
S141、获取所述访问信息中连接端口对应的访问地址。
容器可对服务对象进行访问,则服务对象可对访问过程进行记录形成访问信息,容器对服务对象进行访问的方式为:容器--->服务的集群IP:服务端口-->(iptables)DNAT(目的地址转换,Destination Network Address Translation)-->容器IP:容器端口。服务的集群IP:服务端口也即是容器可用于与服务对象进行连接的连接端口,容器IP:容器端口即为对当前服务对象进行访问的容器地址,也即是访问地址,则访问信息中包括连接端口与访问地址的对应关系,可从访问信息中获取与当前服务对象的连接端口所对应的访问地址。
S142、获取所述容器监控信息中与所述连接端口对应的目标容器地址。
容器监控信息中包含相应容器与服务对象之间的对应关系,容器与服务对象之间的对应关系可通过端点对象所存储的容器监控信息中连接端口与容器地址的对应关系来体现,服务对象所提供的一个连接端口即与一个容器地址相对应,则可从所存储的容器监控信息中获取与访问信息中连接端口对应的一个容器地址作为目标容器地址。
S143、判断所述访问地址与所述目标容器地址是否不一致,以判定与所述目标容器地址对应的容器是否出现地址漂移。
容器从一个节点迁移至另一个节点,则其对服务对象进行访问的访问地址也会对应发生变更,可判断访问地址与目标容器地址是否不一致,若不一致则表明容器地址发生变更,也即容器出现地址漂移,若访问地址与目标容器地址相一致,则表明容器地址并未发生变更,也即容器未出现地址漂移。
S150、若任一所述容器出现地址漂移,获取与地址漂移的镜像容器对应的容器监控信息并进行防护插件的重连配置。
若任一所述容器出现地址漂移,获取与地址漂移的镜像容器对应的容器监控信息并进行防护插件的重连配置。若判断得到任意一个容器出现地址漂移,则可将漂移后的容器确定为镜像容器,防护插件配置与镜像容器对应的初始容器进行连接,当初始容器发生漂移而迁移至另一节点时,防护插件与初始容器之间所建立的连接无法对容器内存储的数据信息进行防护,可基于与镜像容器对应的容器监控信息对防护插件进行重连配置,则防护插件与镜像容器之间重新建立连接,防护插件可对镜像容器内所存储的数据信息进行防护及监控。
在一实施例中,如图4所示,步骤S150包括子步骤S151和S152。
S151、获取所述容器监控信息中的容器地址及与所述镜像容器对应的镜像地址进行关联得到关联地址对;S152、根据所述关联地址对将所述防护插件与所述镜像容器进行重连配置。
可获取容器监控信息中与所述镜像容器对应的初始容器的容器地址,将容器地址与镜像容器的镜像地址进行关联得到关联地址对,具体的,可通过docker run-it-d--link容器id镜像id的方式将两个地址进行关联形成关联地址对。可根据关联地址对对防护插件与镜像容器之间进行重连配置,也即是使防护插件与镜像容器之间重新建立连接,从而使宿主机中的防护插件和对应容器进行重连,其中防护插件即为放篡改插件。
在一实施例中,如图5所示,步骤S150之后还包括步骤S160。
S160、启动所述防护插件以对与所述防护插件相连接的容器中的数据信息进行监控保护。
配置防护插件与镜像容器重连后,即可启动防护插件以对与该防护插件相连的容器中保存的数据信息进行防护监控,防护监控也即是对其中保存的数据信息进行防篡改保护,以避免数据信息被非法篡改。
在一实施例中,如图6所示,步骤S160之前还包括步骤S161和S162。
S161、根据预存的容器配置表判断所述镜像容器是否为新增容器。
具体的,管理服务器中还存储有容器配置表,可根据容器配置表判断镜像容器是否为新增容器,如仅仅是由一个节点配置的容器迁移至另一节点中已配置的容器而产生的容器地址漂移,则迁移后的容器为已存在的容器,而并不是新增容器;如一个节点配置的容器迁移至另一节点并新生成容器而产生容器的地址漂移,则迁移后的容器为新生成的容器,也即为新增容器。管理服务器的容器配置表中包含与每一已配置容器对应的配置信息,则可获取与镜像容器对应的容器特征信息,并根据容器配置表判断镜像容器的容器特征信息是否已存在于容器配置表中,从而判定镜像容器是否为新增容器。其中,容器特征信息包括容器名称、容器编码、容器生成时间等特征信息。
S162、若所述镜像容器为新增容器,判断所述新增容器是否满足预置的防护规则;若所述新增容器满足所述防护规则,执行所述启动所述防护插件以对与所述防护插件相连接的容器中的数据信息进行监控保护。
集群服务器内还配置有防护规则,可判断新增容器是否满足防护规则,若新增容器满足防护规则,则表明该新增容器需要进行监控保护;若新增容器不满足防护规则,则表明该新增容器无需进行监控保护。若新增容器满足防护规则,则执行后续步骤S160。若新增容器不满足防护规则,则无需执行后续步骤,不启动防护插件对该新增容器进行监控防护可节省集群服务器的系统资源。
在一实施例中,如图7所示,步骤S162包括子步骤S1621和S1622。
S1621、获取与所述新增容器对应连接端口的服务类型。
新增容器已对相应服务对象进行访问形成了访问信息,则可根据新增容器对应访问信息中的连接端口,确定与该连接端口相匹配的服务类型,服务类型也即是服务对象进行相应数据处理所对应提供的服务类型,服务类型可以是个人信息服务、文件信息服务等。
S1622、判断所述服务类型是包含于所述防护规则中配置的目标服务类型,以判定所述新增容器是否满足所述防护规则。
防护规则中配置有多个目标服务类型,可判断与连接端口对应的服务类型是否包含于目标服务类型中,从而判定新增容器是否满足该防护规则,若服务类型包含于目标服务类型中,则表明该服务类型对应的新增容器中存储的数据信息十分重要,需要进行相应的监控防护,则判定新增容器满足防护规则,否则判定新增容器不满足防护规则,也即表明该服务类型对应的新增容器中存储的数据信息并不重要,无需进行相应的监控防护。
在本发明实施例所提供的基于中间件部署的容器防护连接方法中,根据集群服务器的服务地址生成服务对象并创建端点对象,根据端点对象对溶解进行监控以获取容器监控信息并存储,根据服务对象的访问信息及容器监控信息判断容器是否出现地址漂移,若出现地址漂移则基于镜像容器的容器监控地址进行防护插件的重连配置。通过上述方法,可生成服务对象并创建端点对象等中间件,通过所部署的中间件监控容易以判断是否出现地址漂移,若出现地址漂移则基于镜像容器的容器监控地址进行防护插件的重连配置,从而避免因发送容器漂移导致防护插件无法发挥防篡改监控的功能,大幅提高了通过防护插件对容器进行防护的稳定性。
本发明实施例还提供一种基于中间件部署的容器防护连接装置,该基于中间件部署的容器防护连接装置可配置于集群服务器中,该基于中间件部署的容器防护连接装置用于执行前述的基于中间件部署的容器防护连接方法的任一实施例。具体地,请参阅图8,图8为本发明实施例提供的基于中间件部署的容器防护连接装置的示意性框图。
如图8所示,基于中间件部署的容器防护连接装置100包括服务对象生成单元110、端点对象创建单元120、容器监控信息存储单元130、地址漂移判定单元140和重连配置单元150。
服务对象生成单元110,用于根据所述集群服务器的服务地址生成对应的服务对象。
端点对象创建单元120,用于根据所述服务对象创建得到与每一所述服务对象对应的端点对象。
容器监控信息存储单元130,用于根据所述端点对象对所述集群服务器中配置的容器进行监控以获取对应的容器监控信息并存储。
在一具体实施例中,所述容器监控信息存储单元130包括子单元:容器监控信息获取单元,用于根据所述端点对象的控制器对所述集群服务器中配置的与每一所述端点对象对应的容器进行监控以得到容器监控信息;状态信息判断单元,用于判断每一所述容器的容器监控信息中的状态信息是否为运行;信息存储单元,用于获取状态信息为运行的容器监控信息存储至对应的所述端点对象中。
地址漂移判定单元140,用于根据所述服务对象的访问信息及所述容器监控信息判断所述容器是否出现地址漂移。
在一具体实施例中,所述地址漂移判定单元140包括子单元:访问地址获取单元,用于获取所述访问信息中连接端口对应的访问地址;目标容器地址获取单元,用于获取所述容器监控信息中与所述连接端口对应的目标容器地址;地址判断单元,用于判断所述访问地址与所述目标容器地址是否不一致,以判定与所述目标容器地址对应的容器是否出现地址漂移。
重连配置单元150,用于若任一所述容器出现地址漂移,获取与地址漂移的镜像容器对应的容器监控信息并进行防护插件的重连配置。
在一具体实施例中,所述重连配置单元150包括子单元:地址关联单元,用于获取所述容器监控信息中的容器地址及与所述镜像容器对应的镜像地址进行关联得到关联地址对;配置单元,用于根据所述关联地址对将所述防护插件与所述镜像容器进行重连配置。
在一具体实施例中,所述基于中间件部署的容器防护连接装置100还包括子单元:监控保护单元,用于启动所述防护插件以对与所述防护插件相连接的容器中的数据信息进行监控保护。
在一具体实施例中,所述基于中间件部署的容器防护连接装置100还包括子单元:镜像容器判断单元,用于根据预存的容器配置表判断所述镜像容器是否为新增容器;新增容器判断单元,用于若所述镜像容器为新增容器,判断所述新增容器是否满足预置的防护规则;若所述新增容器满足所述防护规则,执行所述监控保护单元对应的步骤。
在一具体实施例中,所述新增容器判断单元包括子单元:服务类型获取单元,用于获取与所述新增容器对应连接端口的服务类型;服务类型判断单元,用于判断所述服务类型是包含于所述防护规则中配置的目标服务类型,以判定所述新增容器是否满足所述防护规则。
在本发明实施例所提供的基于中间件部署的容器防护连接装置应用上述基于中间件部署的容器防护连接方法,根据集群服务器的服务地址生成服务对象并创建端点对象,根据端点对象对溶解进行监控以获取容器监控信息并存储,根据服务对象的访问信息及容器监控信息判断容器是否出现地址漂移,若出现地址漂移则基于镜像容器的容器监控地址进行防护插件的重连配置。通过上述方法,可生成服务对象并创建端点对象等中间件,通过所部署的中间件监控容易以判断是否出现地址漂移,若出现地址漂移则基于镜像容器的容器监控地址进行防护插件的重连配置,从而避免因发送容器漂移导致防护插件无法发挥防篡改监控的功能,大幅提高了通过防护插件对容器进行防护的稳定性。
上述基于中间件部署的容器防护连接装置可以实现为计算机程序的形式,该计算机程序可以在如图9所示的计算机设备上运行。
请参阅图9,图9是本发明实施例提供的计算机设备的示意性框图。该计算机设备可以是用于执行基于中间件部署的容器防护连接方法以通过部署的中间件将内部配置的容器与防护插件进行连接的集群服务器。
参阅图9,该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括存储介质503和内存储器504。
该存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032被执行时,可使得处理器502执行基于中间件部署的容器防护连接方法,其中,存储介质503可以为易失性的存储介质或非易失性的存储介质。
该处理器502用于提供计算和控制能力,支撑整个计算机设备500的运行。
该内存储器504为存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行基于中间件部署的容器防护连接方法。
该网络接口505用于进行网络通信以提供数据信息的传输,网络通信为有线网络通信和/或无线网络通信。本领域技术人员可以理解,图9中示出的结构,仅仅是与本发明方案相关的部分结构的框图,并不构成对本发明方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现上述的基于中间件部署的容器防护连接方法中对应的功能。
本领域技术人员可以理解,图9中示出的计算机设备的实施例并不构成对计算机设备具体构成的限定,在其他实施例中,计算机设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。例如,在一些实施例中,计算机设备可以仅包括存储器及处理器,在这样的实施例中,存储器及处理器的结构及功能与图9所示实施例一致,在此不再赘述。
应当理解,在本发明实施例中,处理器502可以是中央处理单元(CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
在本发明的另一实施例中提供计算机可读存储介质。该计算机可读存储介质可以为易失性或非易失性的计算机可读存储介质。该计算机可读存储介质存储有第一计算机程序、第二计算机程序或第三计算机程序,当所述第一计算机程序被第一处理器执行、所述第二计算机程序被第二处理器执行且所述第三计算机程序被第三处理器执行时共同实现上述的基于中间件部署的容器防护连接方法中所包含的步骤。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的设备、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为逻辑功能划分,实际实现时可以有另外的划分方式,也可以将具有相同功能的单元集合成一个单元,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个计算机可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的计算机可读存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种基于中间件部署的容器防护连接方法,其特征在于,所述方法应用于集群服务器中,所述方法包括:
根据所述集群服务器的服务地址生成对应的服务对象;
根据所述服务对象创建得到与每一所述服务对象对应的端点对象;
根据所述端点对象对所述集群服务器中配置的容器进行监控以获取对应的容器监控信息并存储;
根据所述服务对象的访问信息及所述容器监控信息判断所述容器是否出现地址漂移;
若任一所述容器出现地址漂移,获取与地址漂移的镜像容器对应的容器监控信息并进行防护插件的重连配置。
2.根据权利要求1所述的基于中间件部署的容器防护连接方法,其特征在于,所述根据所述端点对象对所述集群服务器中配置的容器进行监控以获取对应的容器监控信息并存储,包括:
根据所述端点对象的控制器对所述集群服务器中配置的与每一所述端点对象对应的容器进行监控以得到容器监控信息;
判断每一所述容器的容器监控信息中的状态信息是否为运行;
获取状态信息为运行的容器监控信息存储至对应的所述端点对象中。
3.根据权利要求1所述的基于中间件部署的容器防护连接方法,其特征在于,根据所述服务对象的访问信息及所述容器监控信息判断所述容器是否出现地址漂移,包括:
获取所述访问信息中连接端口对应的访问地址;
获取所述容器监控信息中与所述连接端口对应的目标容器地址;
判断所述访问地址与所述目标容器地址是否不一致,以判定与所述目标容器地址对应的容器是否出现地址漂移。
4.根据权利要求1所述的基于中间件部署的容器防护连接方法,其特征在于,所述获取与地址漂移的镜像容器对应的容器监控信息并进行防护插件的重连配置,包括:
获取所述容器监控信息中的容器地址及与所述镜像容器对应的镜像地址进行关联得到关联地址对;
根据所述关联地址对将所述防护插件与所述镜像容器进行重连配置。
5.根据权利要求1或4所述的基于中间件部署的容器防护连接方法,其特征在于,所述获取与地址漂移的镜像容器对应的容器监控信息并进行防护插件的重连配置之后,还包括:
启动所述防护插件以对与所述防护插件相连接的容器中的数据信息进行监控保护。
6.根据权利要求5所述的基于中间件部署的容器防护连接方法,其特征在于,还包括:
根据预存的容器配置表判断所述镜像容器是否为新增容器;
若所述镜像容器为新增容器,判断所述新增容器是否满足预置的防护规则;
若所述新增容器满足所述防护规则,执行所述启动所述防护插件以对与所述防护插件相连接的容器中的数据信息进行监控保护。
7.根据权利要求6所述的基于中间件部署的容器防护连接方法,其特征在于,所述判断所述新增容器是否满足预置的防护规则,包括:
获取与所述新增容器对应连接端口的服务类型;
判断所述服务类型是包含于所述防护规则中配置的目标服务类型,以判定所述新增容器是否满足所述防护规则。
8.一种基于中间件部署的容器防护连接装置,其特征在于,所述装置配置于集群服务器中,所述装置包括:
服务对象生成单元,用于根据所述集群服务器的服务地址生成对应的服务对象;
端点对象创建单元,用于根据所述服务对象创建得到与每一所述服务对象对应的端点对象;
容器监控信息存储单元,用于根据所述端点对象对所述集群服务器中配置的容器进行监控以获取对应的容器监控信息并存储;
地址漂移判定单元,用于根据所述服务对象的访问信息及所述容器监控信息判断所述容器是否出现地址漂移;
重连配置单元,用于若任一所述容器出现地址漂移,获取与地址漂移的镜像容器对应的容器监控信息并进行防护插件的重连配置。
9.一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的基于中间件部署的容器防护连接方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,当所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的基于中间件部署的容器防护连接方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111654192.4A CN114296881A (zh) | 2021-12-30 | 2021-12-30 | 基于中间件部署的容器防护连接方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111654192.4A CN114296881A (zh) | 2021-12-30 | 2021-12-30 | 基于中间件部署的容器防护连接方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114296881A true CN114296881A (zh) | 2022-04-08 |
Family
ID=80973861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111654192.4A Pending CN114296881A (zh) | 2021-12-30 | 2021-12-30 | 基于中间件部署的容器防护连接方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114296881A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116033010A (zh) * | 2023-02-16 | 2023-04-28 | 北京有竹居网络技术有限公司 | 远程访问方法、装置、电子设备及存储介质 |
| CN116455616A (zh) * | 2023-03-30 | 2023-07-18 | 中国科学院空天信息创新研究院 | 网络安全控制策略同步的方法、装置、系统、设备及介质 |
-
2021
- 2021-12-30 CN CN202111654192.4A patent/CN114296881A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116033010A (zh) * | 2023-02-16 | 2023-04-28 | 北京有竹居网络技术有限公司 | 远程访问方法、装置、电子设备及存储介质 |
| CN116455616A (zh) * | 2023-03-30 | 2023-07-18 | 中国科学院空天信息创新研究院 | 网络安全控制策略同步的方法、装置、系统、设备及介质 |
| CN116455616B (zh) * | 2023-03-30 | 2024-03-29 | 中国科学院空天信息创新研究院 | 针对容器漂移的网络安全控制策略同步的方法、系统、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9294505B2 (en) | System, method, and computer program product for preventing a modification to a domain name system setting | |
| US11374964B1 (en) | Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints | |
| US20080301766A1 (en) | Content processing system, method and program | |
| US8078909B1 (en) | Detecting file system layout discrepancies | |
| US20060101517A1 (en) | Inventory management-based computer vulnerability resolution system | |
| WO2013155239A1 (en) | System and method for determining and using local reputations of users and hosts to protect information in a network environment | |
| JP2012074053A (ja) | 永続性サービス提供エージェント | |
| JP2010026662A (ja) | 情報漏洩防止システム | |
| US7624440B2 (en) | Systems and methods for securely providing and/or accessing information | |
| CN109361574B (zh) | 基于JavaScript脚本的NAT检测方法、系统、介质和设备 | |
| CN107733853B (zh) | 页面访问方法、装置、计算机和介质 | |
| CN105678193A (zh) | 一种防篡改的处理方法和装置 | |
| US8862730B1 (en) | Enabling NAC reassessment based on fingerprint change | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| US20240256668A1 (en) | Detecting and Preventing Installation and Execution of Malicious Browser Extensions | |
| CN114296881A (zh) | 基于中间件部署的容器防护连接方法、装置、设备及介质 | |
| US10320829B1 (en) | Comprehensive modeling and mitigation of security risk vulnerabilities in an enterprise network | |
| US10606813B2 (en) | Systems and methods for securely managing program execution | |
| US10313384B1 (en) | Mitigation of security risk vulnerabilities in an enterprise network | |
| US11729176B2 (en) | Monitoring and preventing outbound network connections in runtime applications | |
| CN112187699B (zh) | 一种文件失窃的感知方法及系统 | |
| US8433798B2 (en) | Altering software behavior based on internet connectivity | |
| CN112291204A (zh) | 访问请求的处理方法、装置及可读存储介质 | |
| US7290130B2 (en) | Information distributing system and method thereof | |
| JP7357825B2 (ja) | セキュリティ監視装置、セキュリティ監視方法、及び、セキュリティ監視プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |