CN115001780A - 访问控制方法、装置、设备及可读存储介质 - Google Patents

访问控制方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN115001780A
CN115001780A CN202210584577.6A CN202210584577A CN115001780A CN 115001780 A CN115001780 A CN 115001780A CN 202210584577 A CN202210584577 A CN 202210584577A CN 115001780 A CN115001780 A CN 115001780A
Authority
CN
China
Prior art keywords
container
domain name
access
item
target domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210584577.6A
Other languages
English (en)
Other versions
CN115001780B (zh
Inventor
陈岗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Huace Huihong Technology Co ltd
Original Assignee
Shenzhen Huace Huihong Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Huace Huihong Technology Co ltd filed Critical Shenzhen Huace Huihong Technology Co ltd
Priority to CN202210584577.6A priority Critical patent/CN115001780B/zh
Publication of CN115001780A publication Critical patent/CN115001780A/zh
Application granted granted Critical
Publication of CN115001780B publication Critical patent/CN115001780B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提出了一种访问控制方法、装置、设备及可读存储介质,该方法应用于容器管理系统中的第一代理容器,容器管理系统包括至少一个容器组,每个容器组挂载有对应的代理容器,第一代理容器为第一容器组对应的代理容器,第一容器组为至少一个容器组中的任意一个。该方法包括:获取第一容器组中任一容器的访问请求,访问请求包括目标域名;根据目标域名确定任一容器访问的项目类型,并获取第一容器组的访问权限控制数据;根据项目类型和访问权限控制数据,对访问请求进行转发控制。通过本申请实施例,可以基于域名准确地实现访问控制。

Description

访问控制方法、装置、设备及可读存储介质
技术领域
本申请涉及计算机技术领域,具体涉及访问控制方法、访问控制装置、计算机设备及计算机可读存储介质。
背景技术
容器管理系统是一种分布式的容器编排引擎,用于管理容器化的工作负载和服务,以实现容器化应用的自动化部署、扩展和管理。目前,在容器管理系统中,是通过在请求接收端检测访问请求的互联网协议(Internet Protocol,IP) 地址的方法来判断是否拦截访问请求。但是大多数的访问请求指示的访问项目所对应的IP地址通常是变化浮动的,会出现无法识别访问请求的IP地址的情况,这样就无法准确判断是否拦截访问请求,即无法准确地实现访问控制。
发明内容
本申请提供了一种访问控制方法、装置、设备及可读存储介质,可以基于域名准确地实现访问控制。
第一方面,本申请提供了一种访问控制方法,应用于容器管理系统中的第一代理容器,上述容器管理系统包括至少一个容器组,每个容器组挂载有对应的代理容器,上述第一代理容器为第一容器组对应的代理容器,上述第一容器组为上述至少一个容器组中的任意一个,该方法包括:
获取上述第一容器组中任一容器的访问请求,上述访问请求包括目标域名;
根据上述目标域名确定上述任一容器访问的项目类型,并获取上述第一容器组的访问权限控制数据;
根据上述项目类型和上述访问权限控制数据,对上述访问请求进行转发控制。
第二方面,本申请提供了一种访问控制装置,应用于容器管理系统中的第一代理容器,上述容器管理系统包括至少一个容器组,每个容器组挂载有对应的代理容器,上述第一代理容器为第一容器组对应的代理容器,上述第一容器组为上述至少一个容器组中的任意一个,该装置包括:
获取模块,用于获取上述第一容器组中任一容器的访问请求,上述访问请求包括目标域名;
处理模块,用于根据上述目标域名确定上述任一容器访问的项目类型,并获取上述第一容器组的访问权限控制数据;
控制模块,用于根据上述项目类型和上述访问权限控制数据,对上述访问请求进行转发控制。
第三方面,本申请提供了一种计算机设备,包括:处理器、存储装置和通信接口,上述处理器、上述通信接口和上述存储装置相互连接,其中,上述存储装置存储有可执行程序代码,上述处理器用于调用上述可执行程序代码,用以实现上述的访问控制方法。
第四方面,本申请提供了一种计算机可读存储介质,上述计算机可读存储介质存储有计算机程序,上述计算机程序包括程序指令,上述程序指令被处理器执行,用以实现如上述的访问控制方法。
第五方面,本申请提供了一种计算机程序产品,上述计算机程序产品包括计算机程序或计算机指令,上述计算机程序或计算机指令被处理器执行,用以实现上述的访问控制方法。
本申请首先通过第一代理容器获取访问请求所携带的目标域名,通过对目标域名进行分析,确定任一容器访问的项目类型。由于访问权限控制数据指示了第一容器组中包括的任一容器在进行访问操作时允许进行访问的对象,第一代理容器根据项目类型和访问权限控制数据,在访问发起端对任一容器的访问进行限制,从而实现了访问控制,提高了容器管理系统的安全性。并且不同项目类型所对应的访问权限控制数据不同,通过确定任一容器访问的项目类型,再进行相应的转发控制操作,由于访问对象的域名一般是较为固定的,在请求发送端检测请求发送端访问的域名来判断是否拦截访问请求的方式,能够实现对访问请求的精准拦截,从而实现准确地访问控制。另外,本申请在容器发起访问请求时基于其访问的域名对其进行访问控制,相比于在访问接收端基于访问请求的IP地址进行访问限制而言,本申请不仅可以对容器管理网络内的容器相互之间的访问权限进行限制,还可以限制容器管理网络中的容器访问外部网络环境,避免出现因容器受到安全攻击而从外部网络环境中任意拉取数据的情况,保证容器管理网络的环境安全,从而提高了容器管理系统的安全性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一个示例性实施例提供的一种访问控制系统的架构示意图;
图2是本申请一个示例性实施例提供的一种访问控制方法的流程示意图;
图3是本申请一个示例性实施例提供的另一种访问控制方法的流程示意图;
图4是本申请一个示例性实施例提供的一种访问控制装置的示意框图;
图5是本申请一个示例性实施例提供的一种计算机设备的示意框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请实施例中所涉及到的“第一”、“第二”等描述仅用于描述目的,而不能理解为指示或者暗示其相对重要性或者隐含指明所指示的技术特征的数量。因此,限定有“第一”、“第二”的技术特征可以明示或者隐含的包括至少一个该特征。
可以理解的是,在本申请的具体实施方式中,涉及到目标域名、授权项目名单等相关的数据,当本申请以上实施例运用到具体产品或技术中时,相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
为了方便理解,下面将对本申请出现的部分名词进行解释说明。
Kubernetes(k8s)是一种分布式的容器编排引擎,用于管理容器化的工作负载和服务,以实现容器化应用的自动化部署、扩展和管理是一个容器编排平台。Kubernetes基于Docker(一种轻量级的虚拟化技术)构建一个容器的调度服务。
Pod是被部署在单个节点上的,且包含一个或多个容器的容器组。同一个容器组中的所有容器共享同一个互联网协议地址(IP地址)、进程间通信 (InterProcessCommunication,IPC)、主机名称及其他资源。
边车容器是指与Pod中的主容器一起运行的容器,在不更改当前容器的情况下扩展并增强当前容器的功能。
标签是指Kubernetes对象(比如Pod)上的键值对。标签旨在用于指定对用户有意义且相关的对象的标识属性。标签可以在创建时附加到对象(Node、Pod、 Service等),一个资源对象可以添加任意数量的标签,同一个标签可以添加到任意数量的资源对象上并可以随时进行添加和修改。每个对象都可以定义一组键/ 值标签,每个键对于给定对象是唯一的。
Pod是Kubernetes应用程序的基本构建块。Kubernetes管理Pod,Pod封装容器。一个Pod可能包含一个或多个容器。通过在整个环境中部署一个特殊的 sidecar代理(边车容器,即代理容器)扩展当前容器的功能,而代理容器会拦截Pod的所有网络通信,根据一定的规则路由进行流量管理等访问控制处理。
目前,在容器管理系统中,是通过在请求接收端检测访问请求的互联网协议地址的方法来判断是否拦截访问请求。但是大多数的访问请求指示的访问项目所对应的互联网协议地址是浮动的,会出现无法确定访问请求的互联网协议地址的情况,这样就无法判断是否拦截访问请求。因此,该方法无法准确地实现访问控制。基于此,本申请提出了一种在访问请求发送端所在容器组下挂载代理容器,通过代理容器获取容器组所有的调用信息,实现在容器管理网络内部进行访问控制,以及对容器管理网络内部之外的域名进行访问控制,从而准确地实现访问控制。
在后续实施例中,将以第一代理容器指代挂载于访问发起端所属的容器组中的边车容器,用于在该容器组内的任一容器进行访问操作时对其进行访问控制。
本申请将具体通过如下实施例进行说明。
请参阅图1,图1是本申请一个示例性实施例提供的一种访问控制系统的架构示意图。该访问控制系统具体可以包括计算机设备101、服务器102和容器管理网络103。其中,计算机设备101的数量可以为多个(例如第一计算机设备、第二计算机设备、第n计算机设备等)。计算机设备101、服务器102和容器管理网络103之间通过网络连接,比如,通过局域网、广域网、移动互联网等连接。
在本申请的架构中,一个容器管理网络可以包括多个容器组(例如容器组1、容器组2、容器组n等),在容器管理网络中的任一容器组中,又可以包括多个业务容器(例如容器1、容器2、容器n等)和代理容器,代理容器可以对所在容器组中的任一容器进行访问控制,通过在访问请求发起端对任一容器进行访问控制,可以对属于内部项目(即容器管理网络中的项目)的目标域名进行控制,也可以对属于外部项目(即不在容器管理网络中的域名)的目标域名进行控制。每个容器组可以配置在一个计算机设备中(例如,容器组1配置在第一计算机设备;容器组2配置在第二计算机设备)。多个计算机设备101分别与服务器102相连以进行数据交互。需要说明的是,容器管理网络的数量也可以为多个,例如第一容器管理网络和第二容器管理网络,多个容器管理网络分别与服务器102连接,以使得第一容器管理网络中的容器能够访问第二容器管理网络中的容器。
具体的,当容器组中的任一容器(例如容器管理网络103中容器组1包括的容器1)对目标域名进行访问时,第一代理容器可以先确定任一容器进行访问的项目类型,若项目类型为在容器管理网络中的内部项目,则通过判断目标域名所属的容器组是否在第一授权项目名单中从而进行相应的转发控制处理;若项目类型为在容器管理网络之外的外部项目,则通过判断目标域名是否在第二授权项目名单中从而进行相应的转发控制处理。
具体的,假设容器管理网络中容器组1中的容器1向容器组2中的容器n 发起访问(该情况下容器1进行访问的项目类型为内部项目),那么容器组1中的代理容器可以获取容器组1中容器1的访问请求,并在判断访问请求中的目标域名为内部域名后,基于容器组1所属计算机设备对目标域名实现访问。假设容器管理网络中容器组1中的容器1向某一外部域名(例如不在外部授权项目名单中的www.baidu.com)发起访问(该情况下容器1进行访问的项目类型为外部项目),那么容器组1中的代理容器可以获取容器组1中容器1的访问请求,并判断访问请求中的目标域名为外部域名后,基于容器组1所属计算机设备向服务器102转发访问请求以实现外部域名的访问。
在上述过程中,任一容器可以直接通过所属容器组的代理容器对目标域名对应的容器进行访问;也可以通过任一容器所属计算机设备对目标域名所在计算机设备进行访问;还可以通过任一容器所属计算机设备向服务器102发送访问请求,并由服务器102向目标域名所在计算机设备转发上述访问请求以实现访问。
上述任一容器可以配置在终端设备中,通过终端设备对其他终端设备上的某一容器进行访问操作。终端设备也称为终端(Terminal)、用户设备(user equipment,UE)、接入终端、用户单元、移动设备、用户终端、无线通信设备、用户代理或用户装置。终端设备可以是智能家电、具有无线通信功能的手持设备(例如智能手机、平板电脑)、计算设备,例如个人电脑(personal computer,PC)、车载终端、智能语音交互设备、可穿戴设备或者其他智能装置等,但并不局限于此。
服务器102可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
可以理解的是,本申请实施例描述的系统的架构示意图是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定。本领域普通技术人员可知,图1中的容器管理网络和服务器的数目仅仅是示意性的。根据业务实现需要,可以配置具有任意数目的容器管理网络和服务器。并且,随着系统架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。例如,本架构中的容器1、容器2、容器n等可以配置在同一计算机设备中,该计算机设备可以是诸如个人电脑等终端设备,也可以是诸如物理服务器等单个服务器。
请参阅图2,该图是本申请一个示例性实施例提供的一种访问控制方法的流程示意图,以该方法应用于第一代理容器(如图1中的代理容器)为例进行说明,该方法可包括以下步骤:
S201、获取第一容器组中任一容器的访问请求,访问请求包括目标域名。
本申请实施例中,执行上述方法的执行对象为应用于容器管理系统中的第一代理容器,第一代理容器挂载于第一容器组中,用于在该第一容器组内的容器进行访问操作时对其进行访问控制。容器管理系统包括至少一个容器组,每个容器组都挂载有对应的代理容器,第一代理容器为第一容器组对应的代理容器,第一容器组为至少一个容器组中的任意一个。
在一实施例中,在第一容器组中任一容器进行访问时操作,第一代理容器可以获取任一容器的访问请求,访问请求中包括目标域名,也即是访问的目标对象。其中,容器管理系统可以是指Kubernetes管理系统(也称为“k8s”或“kube”);第一容器组可以是指Kubernetes中的容器组Pod;第一代理容器可以是指 Kubernetes中任一容器组Pod对应的边车容器。
在一实施例中,假设存在两个容器管理网络(分别为容器管理网络A和容器管理网络B),每个容器管理网络中均包括多个容器组(例如每个容器管理网络中包括容器组1、容器组2、容器组n等),在容器管理网络中的每个容器组中又包括多个容器(例如容器1、容器2、容器n等)。
S202、根据目标域名确定任一容器访问的项目类型,并获取第一容器组的访问权限控制数据。
本申请实施例中,第一代理容器可以通过对目标域名进行分析,确定任一容器访问的项目类型。访问权限控制数据指示了第一容器组中包括的容器在进行访问操作时允许进行访问的对象,第一代理容器通过在访问端对容器的访问进行限制,从而提高了容器管理系统的安全性。由于不同项目类型所对应的访问权限控制数据不同,通过确定容器访问的项目类型,再进行相应的转发控制操作,提高了转发控制的准确性。
其中,项目类型用于指示该第一容器组中的容器所访问的对象所属的类型。项目类型包括内部项目和外部项目。内部项目是指容器管理系统中的项目,部署在同一容器管理系统中的多个项目互为彼此的内部项目;若项目类型为内部项目,则说明该第一容器组中的容器所访问的对象在容器管理系统中。假设图1 中的容器组1和容器组2属于同一个容器管理系统,则图1中的容器组1中的容器1访问图1中的容器组2中的容器组这种情形即视为访问内部项目。外部项目是指容器管理系统之外的项目,若项目类型为外部项目,则说明该第一容器组中的容器所访问的对象不在容器管理系统中。
上述根据目标域名确定任一容器访问的项目类型,可以根据以下步骤A1-A4 实现。
A1、获取目标域名的特征信息,特征信息包括名称信息和后缀信息中的一种或多种。
A2、根据特征信息确定目标域名的域名类型。
本申请实施例中,域名类型包括短域名和非短域名,其中,短域名是指同一容器管理系统中的容器相互间通信所使用的访问域名,为了便于访问和识别,一般性地,容器管理系统中的容器相互通信所使用的访问域名的长度较短(即含有较少的字符)和/或带有一定的标识性质(用以体现属于同一容器管理系统),例如短域名中携带同一容器管理系统中能够识别的名称信息和/或后缀信息等。非短域名是指容器管理系统的容器访问容器管理系统之外的其他外部系统的资源所使用的访问域名。
第一代理容器通过对目标域名的特征信息进行分析,可以确定出目标域名对应的域名类型。
示例性的,短域名一般为内部服务(指容器管理系统中提供的服务)的名称(例如easy-mock-mongodb等),或者以<namespace>.svc.cluster.local、 svc.cluster.local、cluster.local等特定后缀结尾。如果目标域名是短域名,则说明是目标域名对应的项目为内部项目;如果目标域名不是短域名(即非短域名),则说明是目标域名对应的项目为外部项目。
在一实施例中,上述根据特征信息确定目标域名的域名类型,可以根据以下步骤A21-A23实现。
A21、判断目标域名的特征信息是否满足预设条件,预设条件包括名称信息为内部服务名称、后缀信息为预设后缀中的一种或多种。
在一实施例中,内部服务名称可以是easy-mock-mongodb等,预设后缀可以是<namespace>、svc、cluster、local svc、local cluster、local等。
A22、若目标域名的特征信息满足预设条件,则确定目标域名的域名类型为短域名。
A23、若目标域名的特征信息不满足预设条件,则确定目标域名的域名类型不为短域名。
在一实施例中,预设条件可以是目标域名满足名称信息为内部服务名称和后缀信息为预设后缀中的其中一个,也可以是目标域名需要满足名称信息为内部服务名称,以及后缀信息为预设后缀中。在实际业务中,可以基于业务情况在多种确定目标域名的域名类型的方法中进行选择,提高了确定目标域名的域名类型的灵活性和准确性。
A3、若目标域名的域名类型为短域名,则确定任一容器访问的项目类型为内部项目。
A4、若目标域名的域名类型不为所述短域名,则确定任一容器访问的项目类型为外部项目。
第一代理容器可以根据目标域名的域名类型快速确定任一容器访问的项目类型,避免了繁琐的查询步骤,从而提高了确定目标域名对应的项目类型的效率,进而提高了第一代理容器进行转发控制的效率。并且,第一代理容器简单小巧,相比于主容器来说消耗资源更少,利用第一代理容器实现访问控制,降低了容器管理系统的资源消耗。
S203、根据项目类型和访问权限控制数据,对访问请求进行转发控制。
本申请实施例中,任一容器访问的项目类型包括内部项目和外部项目,不同项目类型所对应的访问权限控制数据不同。示例性的,如果任一容器访问的项目类型为内部项目,那么第一代理容器所允许任一容器进行访问的项目基于有关于内部项目的访问权限控制数据进行限制;如果任一容器访问的项目类型为外部项目,那么第一代理容器所允许任一容器进行访问的项目基于有关于外部项目的访问权限控制数据进行限制。通过项目类型和访问权限控制数据,对访问请求进行针对性的转发控制,从而准确地实现访问控制。
其中,上述步骤S203的具体实现过程将在后续实施例中进行介绍,本实施不再赘述。
本申请首先通过第一代理容器获取访问请求所携带的目标域名,通过对目标域名进行分析,确定任一容器访问的项目类型。由于访问权限控制数据指示了第一容器组中包括的任一容器在进行访问操作时允许进行访问的对象,第一代理容器根据项目类型和访问权限控制数据,在访问发起端对任一容器的访问进行限制,从而实现了访问控制,提高了容器管理系统的安全性。并且不同项目类型所对应的访问权限控制数据不同,通过确定任一容器访问的项目类型,再进行针对性的转发控制操作,由于访问对象的域名一般是较为固定的,在请求发送端检测请求发送端访问的域名来判断是否拦截访问请求的方式,能够实现对访问请求的精准拦截,从而实现准确地访问控制。另外,本申请在容器发起访问请求时基于其访问的域名对其进行访问控制,相比于在访问接收端基于访问请求的IP地址进行访问限制而言,本申请不仅可以对容器管理网络内的容器相互之间的访问权限进行限制,还可以限制容器管理网络中的容器访问外部网络环境,避免出现因容器受到安全攻击而从外部网络环境中任意拉取数据的情况,保证容器管理网络的环境安全,从而提高了容器管理系统的安全性。
本申请还提出目标域名的项目类型可以是内部项目或外部项目,第一代理容器可以通过对目标域名的名称信息和后缀信息等特征信息进行分析,确定目标域名对应的域名类型,再根据域名类型进一步确定项目类型。通过在多种确定目标域名的域名类型的方法中进行选择,提高了确定目标域名的域名类型的灵活性和准确性。通过第一代理容器可以根据目标域名的域名类型快速确定任一容器访问的项目类型,避免了繁琐的查询步骤,从而提高了确定目标域名对应的项目类型的效率,进而提高了第一代理容器进行转发控制的效率。并且,第一代理容器简单小巧,相比于主容器来说消耗资源更少,利用第一代理容器实现访问控制,降低了容器管理系统的资源消耗。
请参阅图3,该图是本申请一个示例性实施例提供的一种访问控制方法的流程示意图,以该方法应用于第一代理容器(如图1中的代理容器)为例进行说明,该方法可包括以下步骤:
S301、获取第一容器组中任一容器的访问请求,访问请求包括目标域名。
S302、根据目标域名确定任一容器访问的项目类型,并获取第一容器组的访问权限控制数据。
其中,步骤S301~S302的具体实施方式参见前述实施例中步骤S201~S202 的相关描述,此处不再赘述。
本申请实施例中,访问权限控制数据包括第一授权项目名单和第二授权项目名单,第一授权项目名单为内部项目对应的授权项目名单,第一授权项目名单可包括该第一容器组中的每一容器可访问的内部项目的名单,根据该第一授权项目名单,可确定该第一容器组中的任一容器可访问的内部项目;第二授权项目名单为外部项目对应的授权项目名单,第二授权项目名单包括该第一容器组中的每一容器可访问的外部项目的名单,根据该第二授权项目名单,可确定该第一容器组中的任一容器可访问的外部项目。
本申请实施例中,在创建Pod项目的时候,对于需要进行安全控制的Pod,会进行容器组标签(Pod label)声明。具体的,可以将标签通过环境变量的形式注入到Pod中的每个容器中,以及Pod对应的边车容器(第一代理容器)中,给Pod打上一个标签(label)。其中,标签用于在容器管理网络中唯一标识Pod。对于未进行安全控制的Pod中的容器的访问请求,该未进行安全控制Pod对应的代理容器可以不对该访问请求进行访问限制。通过上述方法提高了第一代理容器进行访问控制的灵活性。
例如,将app=projectA用环境变量的形式注入到一个Pod的容器中和Pod 对应的边车容器中,那么这个Pod在容器管理网络中的名称即为projectA。当这个名称为projectA的容器组中的容器发出访问请求时,名称为projectA的容器组中的边车容器(即第一代理容器)可从服务端拉取标签为projectA的Pod的访问权限控制数据,这个访问权限控制数据中包含有内部项目对应的第一授权项目名单和外部项目对应的第二授权项目名单。
在一实施例中,内部项目对应的第一授权项目名单形式和内容如下:
Figure BDA0003663948200000111
其中,projectB为在容器管理网络中名称为projectB的容器组Pod;project C 为在容器管理网络中名称为projectC的容器组Pod;xxx为访问路径。上述含义为:在容器管理网络中名称为projectA的容器组Pod可以访问的内部项目包括容器管理网络中的projectB、projectC等。
在一实施例中,外部项目对应的第二授权项目名单形式和内容如下:
Figure BDA0003663948200000121
其中,www.baidu.com和www.goole.com为外部项目的域名。上述含义为:在容器管理网络中名称为projectA的容器组Pod可以访问的外部项目包括 www.baidu.com、www.goole.com等。
S303、若项目类型为内部项目,则根据第一授权项目名单确定访问权限判断结果。
在一实施例中,上述根据第一授权项目名单确定访问权限判断结果,可以根据以下步骤B1-B4实现。
B1、确定目标域名对应的查询标识信息。
B2、根据查询标识信息从容器管理系统中确定目标域名所属的第二容器组。
本申请实施例中,项目类型为内部项目时,第一代理容器可以通过目标域名对应的查询标识信息,从容器管理系统中快速查询到目标域名所属的第二容器组,提高了处理效率。由于同一个容器组中的所有容器共享同一个互联网协议地址(IP地址)、进程间通信(IPC)、主机名称及其他资源,第一代理容器通过目标域名所属的容器组直接对任一容器所访问的目标域名进行转发控制,而不需要对目标域名所对应的容器进行权限分析,提高了访问控制效率。
在一实施例中,查询标识信息可以是目标域名中携带的全部或部分内部服务名称。具体的,容器管理网络中名称为projectA的容器组中的任一容器(例如容器A)访问的是内部项目时,第一代理容器(容器管理网络中名称为projectA 的容器组对应的边车容器)根据目标域名或者目标域名中携带的内部服务名称在容器管理网络的service资源的元数据中找到存放标签的字段,以确定容器A 访问的域名所属的容器组Pod。
示例性的,第一容器组中任一容器访问的目标域名的项目类型为内部项目,该内部项目的短域名形式为easy-mock-mongodb,为一个内部服务的名称,那么第一代理容器可以根据内部服务的名称easy-mock-mongodb从容器管理网络中找到对应的元数据,元数据如下。
Figure BDA0003663948200000131
第一代理容器在元数据中查询到Selector:app=mongodb,说明任一容器访问的目标域名所属的容器组Pod的标签为mongodb。第一代理容器再通过查询标签mongodb是否在内部项目的第一授权项目名单中。
B3、若第二容器组在第一授权项目名单中,则确定访问权限判断结果为有权限。
B4、若第二容器组不在第一授权项目名单中,则确定访问权限判断结果为无权限。
本申请实施例中,通过访问权限判断结果,第一代理容器即可对访问请求进行相应的转发控制处理。
S304、若项目类型为外部项目,则根据第二授权项目名单确定访问权限判断结果。
在一实施例中,上述根据第二授权项目名单确定访问权限判断结果,可以根据以下步骤实现。
(1)、若目标域名在第二授权项目名单中,则确定访问权限判断结果为有权限。
(2)、若目标域名不在第二授权项目名单中,则确定访问权限判断结果为无权限。
本申请实施例中,第二授权项目名单中包括了允许进行访问的外部项目的域名,当第一代理容器确定出任一容器所访问的目标域名所对应的项目类型为外部项目时,可以直接在第二授权项目名单中查询是否包括目标域名,进而确定访问权限判断结果。
S305、根据访问权限判断结果,对访问请求进行转发控制。
在一实施例中,上述根据访问权限判断结果,对访问请求进行转发控制,可以根据以下步骤C1-C2实现。
C1、当访问权限判断结果为有权限时,转发访问请求。
C2、当访问权限判断结果为无权限时,向任一容器发出访问请求的提示信息,提示信息用于指示无权限访问。
本申请实施例中,当第一代理容器确定任一容器对应的访问权限判断结果为有权限时,向任一容器欲进行访问的对象转发访问请求,以实现访问操作。当第一代理容器确定任一容器对应的访问权限判断结果为无权限时,通过提示信息提示访问发起对象无权限访问,便于访问发起对象及时了解访问状态,从而提升使用体验。
在一实施例中,当该任一容器访问的是内部项目时,当第一代理容器确定任一容器对应的访问权限判断结果为有权限时,第一代理容器可以是向任一容器欲进行访问的容器转发访问请求,以使得任一容器直接对欲进行访问的容器进行访问;第一代理容器也可以是向任一容器欲进行访问的容器所在的容器组进行转发访问请求,使得访问接收端对应的代理容器接收该访问请求,并允许任一容器进行访问操作。应理解的是,该欲访问的容器为该目标域名对应的容器,也即通过上述查询元数据的方式查找出来的容器组中的容器。
在一实施例中,当该任一容器访问的是外部项目时,第一代理容器可以基于该目标域名进行域名系统(DomainNameSystem,DNS)解析,得到该任一容器访问的IP地址,向该IP地址转发该访问请求。
本申请提出访问权限控制数据包括内部项目对应的第一授权项目名单和外部项目对应的第二授权项目名单。第一代理容器基于目标域名的项目类型以及项目类型对应的授权项目名单实现访问控制,从而准确地实现访问控制。本申请还提出了第一授权项目名单和第二授权项目名单的具体形式,第一代理容器通过对目标域名的名称信息和后缀信息等具体形式进行分析,可以快速确定目标域名对应的域名类型,进而确定项目类型,提高访问控制的处理效率。
本申请还提出,对于需要进行安全控制的Pod进行容器组标签声明。当任一容器访问设置安全控制的Pod中的容器时,第一代理容器对访问请求进行访问限制;当任一容器访问未进行安全控制的Pod中的容器时,第一代理容器不对该次访问请求进行访问限制,从而提高了第一代理容器进行访问控制的灵活性。本申请还提出当第一代理容器确定任一容器有权限时,向任一容器欲进行访问的对象转发访问请求,以实现访问操作。当第一代理容器确定任一容器无权限时,通过提示信息提示访问发起对象无权限访问,便于访问发起对象及时了解访问状态,从而提升使用体验。
由于同一个容器组中的所有容器共享多种资源,本申请还提出当目标域名对应的项目类型为内部项目时,通过目标域名对应的查询标识信息从容器管理系统中确定目标域名所属的第二容器组,再通过目标域名所属的第二容器组直接对任一容器所访问的目标域名进行转发控制,而不需要对目标域名所对应的容器进行权限分析。当目标域名对应的项目类型为外部项目时,第一代理容器可以直接在第二授权项目名单中查询是否包括目标域名,进而确定访问权限判断结果。通过上述方法,提高了访问控制的准确率和效率。
请参阅图4,图4是本申请实施例提供的一种访问控制装置的示意框图。其中,访问控制装置应用于容器管理系统中的第一代理容器,容器管理系统包括至少一个容器组,每个容器组挂载有对应的代理容器,第一代理容器为第一容器组对应的代理容器,第一容器组为至少一个容器组中的任意一个;访问控制装置具体可以包括:
获取模块401,用于获取上述第一容器组中任一容器的访问请求,上述访问请求包括目标域名;
处理模块402,用于根据上述目标域名确定上述任一容器访问的项目类型,并获取上述第一容器组的访问权限控制数据;
控制模块403,用于根据上述项目类型和上述访问权限控制数据,对上述访问请求进行转发控制。
可选的,上述处理模块402在用于根据上述目标域名确定上述任一容器访问的项目类型时,具体用于:
获取上述目标域名的特征信息,上述特征信息包括名称信息和后缀信息中的一种或多种;
根据上述特征信息确定上述目标域名的域名类型;
若上述目标域名的域名类型为短域名,则确定上述任一容器访问的项目类型为内部项目;其中,上述内部项目是指上述容器管理系统中的项目;
若上述目标域名的域名类型不为上述短域名,则确定上述任一容器访问的项目类型为外部项目;其中,上述外部项目是指上述容器管理系统之外的项目。
可选的,上述处理模块402在用于根据上述特征信息确定上述目标域名的域名类型时,具体用于:
判断上述目标域名的特征信息是否满足预设条件,上述预设条件包括名称信息为内部服务名称、后缀信息为预设后缀中的一种或多种;
若上述目标域名的特征信息满足上述预设条件,则确定上述目标域名的域名类型为短域名;
若上述目标域名的特征信息不满足上述预设条件,则确定上述目标域名的域名类型不为短域名。
可选的,上述任一容器访问的项目类型为内部项目或外部项目中的一种,上述内部项目是指上述容器管理系统中的项目,上述外部项目是指上述容器管理系统之外的项目;上述访问权限控制数据包括第一授权项目名单和第二授权项目名单,上述第一授权项目名单为上述内部项目对应的授权项目名单,上述第二授权项目名单为上述外部项目对应的授权项目名单;
上述控制模块403在用于根据上述项目类型和上述访问权限控制数据,对上述访问请求进行转发控制时,具体用于:
若上述项目类型为内部项目,则根据上述第一授权项目名单确定访问权限判断结果;
若上述项目类型为外部项目,则根据上述第二授权项目名单确定访问权限判断结果;
根据上述访问权限判断结果,对上述访问请求进行转发控制。
可选的,上述控制模块403在用于根据上述第一授权项目名单确定访问权限判断结果时,具体用于:
确定上述目标域名对应的查询标识信息;
根据上述查询标识信息从上述容器管理系统中确定上述目标域名所属的第二容器组;
若上述第二容器组在上述第一授权项目名单中,则确定访问权限判断结果为有权限;
若上述第二容器组不在上述第一授权项目名单中,则确定访问权限判断结果为无权限。
可选的,上述控制模块403在用于根据上述第二授权项目名单确定访问权限判断结果时,具体用于:
若上述目标域名在上述第二授权项目名单中,则确定访问权限判断结果为有权限;
若上述目标域名不在上述第二授权项目名单中,则确定访问权限判断结果为无权限。
可选的,上述控制模块403在用于根据上述访问权限判断结果,对上述访问请求进行转发控制时,具体用于:
当上述访问权限判断结果为有权限时,转发上述访问请求;
当上述访问权限判断结果为无权限时,向上述任一容器发出上述访问请求的提示信息,上述提示信息用于指示无权限访问。
需要说明的是,本申请实施例的访问控制装置的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
请参阅图5,图5是本申请实施例提供的一种计算机设备的示意框图。如图所示的本实施例中的智能终端可以包括:处理器501、存储装置502以及通信接口503。上述处理器501、存储装置502以及通信接口503之间可以进行数据交互。
上述存储装置502可以包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储装置502也可以包括非易失性存储器(non-volatilememory),例如快闪存储器(flash memory),固态硬盘 (solid-state drive,SSD)等;上述存储装置502还可以包括上述种类的存储器的组合。
上述处理器501可以是中央处理器(central processing unit,CPU)。在一个实施例中,上述处理器501还可以是图形处理器(Graphics Processing Unit,GPU)。上述处理器501也可以是由CPU和GPU的组合。在一个实施例中,上述存储装置502用于存储程序指令,应用于容器管理系统中的第一代理容器,容器管理系统包括至少一个容器组,每个容器组挂载有对应的代理容器,第一代理容器为第一容器组对应的代理容器,第一容器组为至少一个容器组中的任意一个,上述处理器501可以调用上述程序指令,执行如下操作:
获取上述第一容器组中任一容器的访问请求,上述访问请求包括目标域名;
根据上述目标域名确定上述任一容器访问的项目类型,并获取上述第一容器组的访问权限控制数据;
根据上述项目类型和上述访问权限控制数据,对上述访问请求进行转发控制。
可选的,上述处理器501在用于根据上述目标域名确定上述任一容器访问的项目类型时,具体用于:
获取上述目标域名的特征信息,上述特征信息包括名称信息和后缀信息中的一种或多种;
根据上述特征信息确定上述目标域名的域名类型;
若上述目标域名的域名类型为短域名,则确定上述任一容器访问的项目类型为内部项目;其中,上述内部项目是指上述容器管理系统中的项目;
若上述目标域名的域名类型不为上述短域名,则确定上述任一容器访问的项目类型为外部项目;其中,上述外部项目是指上述容器管理系统之外的项目。
可选的,上述处理器501在用于根据上述特征信息确定上述目标域名的域名类型时,具体用于:
判断上述目标域名的特征信息是否满足预设条件,上述预设条件包括名称信息为内部服务名称、后缀信息为预设后缀中的一种或多种;
若上述目标域名的特征信息满足上述预设条件,则确定上述目标域名的域名类型为短域名;
若上述目标域名的特征信息不满足上述预设条件,则确定上述目标域名的域名类型不为短域名。
可选的,上述任一容器访问的项目类型为内部项目或外部项目中的一种,上述内部项目是指上述容器管理系统中的项目,上述外部项目是指上述容器管理系统之外的项目;上述访问权限控制数据包括第一授权项目名单和第二授权项目名单,上述第一授权项目名单为上述内部项目对应的授权项目名单,上述第二授权项目名单为上述外部项目对应的授权项目名单;
上述处理器501在用于根据上述项目类型和上述访问权限控制数据,对上述访问请求进行转发控制时,具体用于:
若上述项目类型为内部项目,则根据上述第一授权项目名单确定访问权限判断结果;
若上述项目类型为外部项目,则根据上述第二授权项目名单确定访问权限判断结果;
根据上述访问权限判断结果,对上述访问请求进行转发控制。
可选的,上述处理器501在用于根据上述第一授权项目名单确定访问权限判断结果时,具体用于:
确定上述目标域名对应的查询标识信息;
根据上述查询标识信息从上述容器管理系统中确定上述目标域名所属的第二容器组;
若上述第二容器组在上述第一授权项目名单中,则确定访问权限判断结果为有权限;
若上述第二容器组不在上述第一授权项目名单中,则确定访问权限判断结果为无权限。
可选的,上述处理器501在用于根据上述第二授权项目名单确定访问权限判断结果时,具体用于:
若上述目标域名在上述第二授权项目名单中,则确定访问权限判断结果为有权限;
若上述目标域名不在上述第二授权项目名单中,则确定访问权限判断结果为无权限。
可选的,上述处理器501在用于根据上述访问权限判断结果,对上述访问请求进行转发控制时,具体用于:
当上述访问权限判断结果为有权限时,转发上述访问请求;
当上述访问权限判断结果为无权限时,向上述任一容器发出上述访问请求的提示信息,上述提示信息用于指示无权限访问。
具体实现中,本申请实施例中所描述的处理器501、存储装置502以及通信接口503可执行本申请实施例图2或图3提供的访问控制方法的相关实施例中所描述的实现方式,也可执行本申请实施例图4提供的访问控制装置的相关实施例中所描述的实现方式,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的方法、装置和系统,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的;例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式;例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
此外,这里需要指出的是:本申请实施例还提供了一种计算机可读存储介质,且计算机可读存储介质中存储有前文提及的访问控制装置所执行的计算机程序,且该计算机程序包括程序指令,当处理器执行上述程序指令时,能够执行前文图2、图3所对应实施例中的方法,因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述。作为示例,程序指令可以被部署在一个计算机设备上,或者在位于一个地点的多个计算机设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算机设备上执行,分布在多个地点且通过通信网络互连的多个计算机设备可以组成区块链系统。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备可以执行前文图2、图3所对应实施例中的方法,因此,这里将不再进行赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,上述程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,上述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM) 或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本申请的部分实施例而已,当然不能以此来限定本申请之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本申请权利要求所作的等同变化,仍属于发明所涵盖的范围。

Claims (10)

1.一种访问控制方法,其特征在于,应用于容器管理系统中的第一代理容器,所述容器管理系统包括至少一个容器组,每个容器组挂载有对应的代理容器,所述第一代理容器为第一容器组对应的代理容器,所述第一容器组为所述至少一个容器组中的任意一个;所述方法包括:
获取所述第一容器组中任一容器的访问请求,所述访问请求包括目标域名;
根据所述目标域名确定所述任一容器访问的项目类型,并获取所述第一容器组的访问权限控制数据;
根据所述项目类型和所述访问权限控制数据,对所述访问请求进行转发控制。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标域名确定所述任一容器访问的项目类型,包括:
获取所述目标域名的特征信息,所述特征信息包括名称信息和后缀信息中的一种或多种;
根据所述特征信息确定所述目标域名的域名类型;
若所述目标域名的域名类型为短域名,则确定所述任一容器访问的项目类型为内部项目;其中,所述内部项目是指所述容器管理系统中的项目;
若所述目标域名的域名类型不为所述短域名,则确定所述任一容器访问的项目类型为外部项目;其中,所述外部项目是指所述容器管理系统之外的项目。
3.根据权利要求2所述的方法,其特征在于,所述根据所述特征信息确定所述目标域名的域名类型,包括:
判断所述目标域名的特征信息是否满足预设条件,所述预设条件包括名称信息为内部服务名称、后缀信息为预设后缀中的一种或多种;
若所述目标域名的特征信息满足所述预设条件,则确定所述目标域名的域名类型为短域名;
若所述目标域名的特征信息不满足所述预设条件,则确定所述目标域名的域名类型不为短域名。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述任一容器访问的项目类型为内部项目或外部项目中的一种,所述内部项目是指所述容器管理系统中的项目,所述外部项目是指所述容器管理系统之外的项目;
所述访问权限控制数据包括第一授权项目名单和第二授权项目名单,所述第一授权项目名单为所述内部项目对应的授权项目名单,所述第二授权项目名单为所述外部项目对应的授权项目名单;
所述根据所述项目类型和所述访问权限控制数据,对所述访问请求进行转发控制,包括:
若所述项目类型为内部项目,则根据所述第一授权项目名单确定访问权限判断结果;
若所述项目类型为外部项目,则根据所述第二授权项目名单确定访问权限判断结果;
根据所述访问权限判断结果,对所述访问请求进行转发控制。
5.根据权利要求4所述的方法,其特征在于,所述根据所述第一授权项目名单确定访问权限判断结果,包括:
确定所述目标域名对应的查询标识信息;
根据所述查询标识信息从所述容器管理系统中确定所述目标域名所属的第二容器组;
若所述第二容器组在所述第一授权项目名单中,则确定访问权限判断结果为有权限;
若所述第二容器组不在所述第一授权项目名单中,则确定访问权限判断结果为无权限。
6.根据权利要求4所述的方法,其特征在于,所述根据所述第二授权项目名单确定访问权限判断结果,包括:
若所述目标域名在所述第二授权项目名单中,则确定访问权限判断结果为有权限;
若所述目标域名不在所述第二授权项目名单中,则确定访问权限判断结果为无权限。
7.根据权利要求4所述的方法,其特征在于,所述根据所述访问权限判断结果,对所述访问请求进行转发控制,包括:
当所述访问权限判断结果为有权限时,转发所述访问请求;
当所述访问权限判断结果为无权限时,向所述任一容器发出所述访问请求的提示信息,所述提示信息用于指示无权限访问。
8.一种访问控制装置,其特征在于,应用于容器管理系统中的第一代理容器,所述容器管理系统包括至少一个容器组,每个容器组挂载有对应的代理容器,所述第一代理容器为第一容器组对应的代理容器,所述第一容器组为所述至少一个容器组中的任意一个;所述装置包括:
获取模块,用于获取所述第一容器组中任一容器的访问请求,所述访问请求包括目标域名;
处理模块,用于根据所述目标域名确定所述任一容器访问的项目类型,并获取所述第一容器组的访问权限控制数据;
控制模块,用于根据所述项目类型和所述访问权限控制数据,对所述访问请求进行转发控制。
9.一种计算机设备,其特征在于,包括:处理器、存储装置和通信接口,所述处理器、所述通信接口和所述存储装置相互连接,其中,所述存储装置存储有可执行程序代码,所述处理器用于调用所述可执行程序代码,用以实现如权利要求1~7中任一项所述的访问控制方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器执行,用以实现如权利要求1~7中任一项所述的访问控制方法。
CN202210584577.6A 2022-05-26 2022-05-26 访问控制方法、装置、设备及可读存储介质 Active CN115001780B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210584577.6A CN115001780B (zh) 2022-05-26 2022-05-26 访问控制方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210584577.6A CN115001780B (zh) 2022-05-26 2022-05-26 访问控制方法、装置、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN115001780A true CN115001780A (zh) 2022-09-02
CN115001780B CN115001780B (zh) 2024-09-06

Family

ID=83028558

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210584577.6A Active CN115001780B (zh) 2022-05-26 2022-05-26 访问控制方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN115001780B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103685583A (zh) * 2012-09-05 2014-03-26 阿里巴巴集团控股有限公司 一种域名解析的方法和系统
US20160063017A1 (en) * 2014-08-26 2016-03-03 International Business Machines Corporation Access control for unprotected data storage system endpoints
CN105706080A (zh) * 2013-08-07 2016-06-22 微软技术许可有限责任公司 扩增并呈现捕获的数据
CN111787126A (zh) * 2020-08-07 2020-10-16 北京凌云雀科技有限公司 容器创建方法、服务器及存储介质
CN114070883A (zh) * 2021-11-12 2022-02-18 腾讯科技(深圳)有限公司 测试资源访问方法、装置、电子设备及存储介质
CN114139124A (zh) * 2021-11-02 2022-03-04 北京银盾泰安网络科技有限公司 一种容器用户鉴权平台
CN114301872A (zh) * 2021-12-27 2022-04-08 奇安信科技集团股份有限公司 基于域名的访问方法及装置、电子设备、存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103685583A (zh) * 2012-09-05 2014-03-26 阿里巴巴集团控股有限公司 一种域名解析的方法和系统
CN105706080A (zh) * 2013-08-07 2016-06-22 微软技术许可有限责任公司 扩增并呈现捕获的数据
US20160063017A1 (en) * 2014-08-26 2016-03-03 International Business Machines Corporation Access control for unprotected data storage system endpoints
CN111787126A (zh) * 2020-08-07 2020-10-16 北京凌云雀科技有限公司 容器创建方法、服务器及存储介质
CN114139124A (zh) * 2021-11-02 2022-03-04 北京银盾泰安网络科技有限公司 一种容器用户鉴权平台
CN114070883A (zh) * 2021-11-12 2022-02-18 腾讯科技(深圳)有限公司 测试资源访问方法、装置、电子设备及存储介质
CN114301872A (zh) * 2021-12-27 2022-04-08 奇安信科技集团股份有限公司 基于域名的访问方法及装置、电子设备、存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
杨林等: "高校校园网私有DNS 服务器架设研究", 通信技术, vol. 44, no. 1, 10 January 2011 (2011-01-10), pages 118 - 120 *

Also Published As

Publication number Publication date
CN115001780B (zh) 2024-09-06

Similar Documents

Publication Publication Date Title
CN112039942B (zh) 一种订阅发布方法及服务器
KR101432128B1 (ko) M2m 네트워크상에서의 리소스를 디바이스 오브젝트로 추상화하는 m2mm 플랫폼
US20200351337A1 (en) Resource Allocation and Provisioning in a Multi-Tier Edge-Cloud Virtualization Environment
US11902279B2 (en) Method, apparatus, system and storage medium for access control policy configuration
CN111176803B (zh) 业务处理方法、装置、服务器及存储介质
US10866841B2 (en) Communication system and method for accessing and deploying temporary microservices on a heterogeneous platform
CN113259479B (zh) 一种数据处理方法以及设备
US10721260B1 (en) Distributed execution of a network vulnerability scan
RU2651159C1 (ru) Способ и устройство для пометки неизвестного номера
CN106550056A (zh) 一种域名解析方法及装置
CN111881470B (zh) 数据访问方法及其装置、计算机可读存储介质
CN107911450B (zh) 一种安全的数据流通方法及系统
CN111314379A (zh) 被攻击域名识别方法、装置、计算机设备和存储介质
CN104144170A (zh) 网页地址的过滤方法、装置和系统
WO2018068655A1 (zh) 一种许可管理方法和系统
CN117544592A (zh) 域名解析方法、装置、节点、电子设备及存储介质
CN106919550B (zh) 一种语义验证的方法和装置
CN115001780B (zh) 访问控制方法、装置、设备及可读存储介质
KR20210043654A (ko) 자원 구성을 위한 방법, 장치 및 저장 매체
CN103685318A (zh) 用于网络安全防护的数据处理方法和装置
CN113691575B (zh) 通信方法、装置及系统
CN114662102A (zh) 一种文件处理方法、装置及存储介质
CN114567678A (zh) 一种云安全服务的资源调用方法、装置及电子设备
US10958580B2 (en) System and method of performing load balancing over an overlay network
CN111565176A (zh) 智能伪装主机方法、系统、设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 2601, 2602, 2603, 2606, Zhongzhou building, No. 3088, Jintian Road, Gangxia community, Futian street, Futian District, Shenzhen, Guangdong 518000

Applicant after: Shenzhen Xiaoyudian Digital Technology Co.,Ltd.

Address before: 2601, 2602, 2603, 2606, Zhongzhou building, No. 3088, Jintian Road, Gangxia community, Futian street, Futian District, Shenzhen, Guangdong 518000

Applicant before: Shenzhen Huace Huihong Technology Co.,Ltd.

GR01 Patent grant
GR01 Patent grant