CN116389172A - 基于多租户的容器云平台资源安全管理方法 - Google Patents
基于多租户的容器云平台资源安全管理方法 Download PDFInfo
- Publication number
- CN116389172A CN116389172A CN202310653514.6A CN202310653514A CN116389172A CN 116389172 A CN116389172 A CN 116389172A CN 202310653514 A CN202310653514 A CN 202310653514A CN 116389172 A CN116389172 A CN 116389172A
- Authority
- CN
- China
- Prior art keywords
- container
- data
- tenant
- resource
- containers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 26
- 230000006855 networking Effects 0.000 claims abstract description 72
- 238000013500 data storage Methods 0.000 claims abstract description 20
- 238000000034 method Methods 0.000 claims abstract description 16
- 238000012216 screening Methods 0.000 claims abstract description 4
- 238000012545 processing Methods 0.000 claims description 25
- 238000004891 communication Methods 0.000 claims description 8
- 238000012217 deletion Methods 0.000 claims description 6
- 230000037430 deletion Effects 0.000 claims description 6
- 238000013523 data management Methods 0.000 abstract description 2
- 230000009286 beneficial effect Effects 0.000 description 10
- 238000004364 calculation method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本发明涉及资源数据管理技术领域,公开了一种基于多租户的容器云平台资源安全管理方法,其从容器云平台筛选处于空闲状态的容器,并与网络节点匹配形成容器组网,利用容器作为租户进行资源数据操作的唯一接口,保证资源数据操作的稳定性;还对容器组网的所有容器进行隔离,避免与容器组网外部的容器发生数据外溢,实现对容器组网的封闭管理;将租户所需的资源数据加载到容器组网的容器中,为租户主动提供资源数据,而不需要租户在数据平台进行漫长繁复的数据查找,确保资源数据的操作可靠性和效率;并判断容器的资源数据是否发生数据安全事件,以此适应性变更容器的资源数据状态,在确保资源数据安全的同时及时减小容器的数据存储压力。
Description
技术领域
本发明涉及资源数据管理技术领域,尤其涉及基于多租户的容器云平台资源安全管理方法。
背景技术
大型数据平台能够提供海量数据的集成化和区分化存储,用户能够在大型数据平台中对数据进行查询和复制等操作。大型数据平台存储的数据众多,为了对存储的数据进行有效准确管理,通常会将大型数据平台设计成多层存储结构,利用不同存储区间对不同数据进行区分存储,这样用户根据相应的数据存储路径即可从大型数据平台中获取所需资源数据。但是大型数据平台的数据存储结构复杂,在海量数据中确定用户期望的资源数据在大型数据平台的数据存储路径需要耗费较长时间和较多计算量。此外,同一存储区间的不同数据之间并未进行数据屏蔽,导致用户在存储区间进行资源数据查询等操作时会对其他资源数据产生影响,降低资源数据的安全性。
发明内容
针对上述现有技术存在的缺陷,本发明提供了一种基于多租户的容器云平台资源安全管理方法,其从容器云平台筛选处于空闲状态的容器,并与网络节点匹配形成容器组网,利用容器作为租户进行资源数据操作的唯一接口,保证资源数据操作的稳定性;还对容器组网的所有容器进行隔离,避免与容器组网外部的容器发生数据外溢,实现对容器组网的封闭管理;将租户所需的资源数据加载到容器组网的容器中,为租户主动提供资源数据,而不需要租户在数据平台进行漫长繁复的数据查找,确保资源数据的操作可靠性和效率;并判断容器的资源数据是否发生数据安全事件,以此适应性变更容器的资源数据状态,在确保资源数据安全的同时及时减小容器的数据存储压力;当租户完成对资源数据的操作后,对容器进行重置处理,使容器可及时高效地用于其他租户的资源数据操作,提高容器的使用效率。
本发明提供一种基于多租户的容器云平台资源安全管理方法,包括如下步骤:
步骤S1,从容器云平台筛选处于空闲状态的所有容器,并将筛选的所有容器与网络节点一一匹配形成容器组网;根据所述容器组网的所有网络节点的外连状态,对所述容器组网的所有容器进行隔离;
步骤S2,根据不同租户各自的资源操作请求,提取匹配的资源数据,并将所述资源数据加载到所述容器组网的容器中;根据对租户的鉴权结果,确定是否允许所述租户使用相应容器;
步骤S3,根据所述租户使用相应容器的操作记录,判断相应容器内的资源数据是否发生数据安全事件;若发生,则变更所述租户对相应容器的使用权限以及转移相应容器内的资源数据;若未发生,则获取所述租户对所述资源数据的操作进度;
步骤S4,根据所述操作进度,对相应容器内的资源数据进行分块删除处理;并当所述租户完成对资源数据的操作后,对相应容器进行重置处理。
进一步,在所述步骤S1中,还包括:
根据容器云平台属下所有容器各自的地址信息,提取每个容器对应的运行日志;对所述运行日志进行分析,得到每个容器内部的数据存储实况和网络连接实况;
根据所述数据存储实况和所述网络连接实况,判断每个容器是否处于空闲状态;根据处于空闲状态的容器的地址信息,对所有处于空闲状态的容器进行标识。
进一步,在所述步骤S1中,从容器云平台筛选处于空闲状态的所有容器,并将筛选的所有容器与网络节点一一匹配形成容器组网,包括:
根据处于空闲状态的所有容器的地址信息,对处于空闲状态的所有容器进行锁定;
获取所述容器云平台所处网络的节点服务器运行记录,对所述节点服务器运行记录进行分析,得到所述网络的每个网络节点对应的服务器的任务处理实况信息;
根据所述任务处理实况信息,对满足预定任务处理工作量条件的若干节点进行标识;
根据被锁定的容器的地址信息和被标识的网络节点在所述网络的IP地址,将被锁定的容器一一对应加载在被标识的网络节点上,再解除被锁定的容器当前所处锁定状态,从而形成容器组网。
进一步,在所述步骤S1中,根据所述容器组网的所有网络节点的外连状态,对所述容器组网的所有容器进行隔离,包括:
根据所述容器组网的所有网络节点在网络的IP地址,确定所述网络节点与所述容器组网之外的其他网络节点之间的通信路径;再中断所述通信路径,从而将所述容器组网的所有容器进行隔离。
进一步,在所述步骤S2中,根据不同租户各自的资源操作请求,提取匹配的资源数据,并将所述资源数据加载到所述容器组网的容器中,包括:
对所有租户进行租户身份识别,识别其中具备资源操作权限的所有租户;
对来自具备资源操作权限的所有租户各自的资源操作请求进行解析,确定所述租户期望操作的资源数据属性信息;将所述资源数据属性信息与资源数据库的数据存储目录进行对比,提取匹配的资源数据;
根据提取的资源数据的数据结构和数据量,将所述资源数据加载到所述容器组网对应的容器中。
进一步,在所述步骤S2中,根据对租户的鉴权结果,确定是否允许所述租户使用相应容器,包括:
对具备资源操作权限的租户所持密钥进行鉴权;若对所述密钥鉴权成功,则允许所述租户使用相应容器;若对所述密钥鉴权失败,则不允许所述租户使用相应容器,并且根据所述租户的身份信息,禁止在预设时长内再次对所述租户进行鉴权。
进一步,在所述步骤S3中,根据所述租户使用相应容器的操作记录,判断相应容器内的资源数据是否发生数据安全事件,包括:
根据所述租户连接至相应容器后对相应容器的操作记录,对所述操作记录进行分析,确定所述租户对相应容器内的资源数据的操作类型和操作时间,以及相应容器内的资源数据的数据特征的变化与否;其中,所述数据特征是指所述资源数据的数据结构;
若所处操作类型不属于预设操作类型、或所述操作时间超过预设时间阈值,或所述数据特征发生变化,则表明相应容器内的资源数据发生数据安全事件;否则,表明相应容器内的资源数据未发生数据安全事件。
进一步,在所述步骤S3中,变更所述租户对相应容器的使用权限以及转移相应容器内的资源数据,包括:
终止所述租户对相应容器的使用权限,以及将相应容器内的资源数据转移存储至所述容器组网中的其他容器。
进一步,在所述步骤S4中,根据所述操作进度,对相应容器内的资源数据进行分块删除处理,包括:
根据所述操作进度,确定所述租户对相应容器的资源数据已经完成操作的数据部分;
根据所述数据部分在所述资源数据的数据位置,将所述资源数据划分为已完成操作数据块和未完成操作数据块,再删除所述已完成操作数据块。
进一步,在所述步骤S4中,当所述租户完成对资源数据的操作后,对相应容器进行重置处理,包括:
当所述租户完成对资源数据的操作后,中断所述租户与相应容器的连接,并对相应容器进行数据清空处理和将容器参数重置为默认状态。
相比于现有技术,本发明的基于多租户的容器云平台资源安全管理方法从容器云平台筛选处于空闲状态的容器,并与网络节点匹配形成容器组网,利用容器作为租户进行资源数据操作的唯一接口,保证资源数据操作的稳定性;还对容器组网的所有容器进行隔离,避免与容器组网外部的容器发生数据外溢,实现对容器组网的封闭管理;将租户所需的资源数据加载到容器组网的容器中,为租户主动提供资源数据,而不需要租户在数据平台进行漫长繁复的数据查找,确保资源数据的操作可靠性和效率;并判断容器的资源数据是否发生数据安全事件,以此适应性变更容器的资源数据状态,在确保资源数据安全的同时及时减小容器的数据存储压力;当租户完成对资源数据的操作后,对容器进行重置处理,使容器可及时高效地用于其他租户的资源数据操作,提高容器的使用效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于多租户的容器云平台资源安全管理方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,为本发明提供的基于多租户的容器云平台资源安全管理方法的流程示意图。该基于多租户的容器云平台资源安全管理方法包括如下步骤:
步骤S1,从容器云平台筛选处于空闲状态的所有容器,并将筛选的所有容器与网络节点一一匹配形成容器组网;根据容器组网的所有网络节点的外连状态,对容器组网的所有容器进行隔离;
步骤S2,根据不同租户各自的资源操作请求,提取匹配的资源数据,并将资源数据加载到容器组网的容器中;根据对租户的鉴权结果,确定是否允许租户使用相应容器;
步骤S3,根据租户使用相应容器的操作记录,判断相应容器内的资源数否发生数据安全事件;若发生,则变更租户对相应容器的使用权限以及转移相应容器内的资源数据;若未发生,则获取租户对资源数据的操作进度;
步骤S4,根据操作进度,对相应容器内的资源数据进行分块删除处理;并当租户完成对资源数据的操作后,对相应容器进行重置处理。
上述技术方案的有益效果为:该基于多租户的容器云平台资源安全管理方法从容器云平台筛选处于空闲状态的容器,并与网络节点匹配形成容器组网,利用容器作为租户进行资源数据操作的唯一接口,保证资源数据操作的稳定性;还对容器组网的所有容器进行隔离,避免与容器组网外部的容器发生数据外溢,实现对容器组网的封闭管理;将租户所需的资源数据加载到容器组网的容器中,为租户主动提供资源数据,而不需要租户在数据平台进行漫长繁复的数据查找,确保资源数据的操作可靠性和效率;并判断容器的资源数据是否发生数据安全事件,以此适应性变更容器的资源数据状态,在确保资源数据安全的同时及时减小容器的数据存储压力;当租户完成对资源数据的操作后,对容器进行重置处理,使容器可及时高效地用于其他租户的资源数据操作,提高容器的使用效率。
优选地,在步骤S1中,还包括:
根据容器云平台属下所有容器各自的地址信息,提取每个容器对应的运行日志;对运行日志进行分析,得到每个容器内部的数据存储实况和网络连接实况;
根据数据存储实况和网络连接实况,判断每个容器是否处于空闲状态;根据处于空闲状态的容器的地址信息,对所有处于空闲状态的容器进行标识。
上述技术方案的有益效果为:容器云平台作为容器的集成端,其属下包括多个相互独立的容器,每个容器能够与网络节点进行关联,便于网络节点将来自数据存储平台的资源数据加载到容器中。每个容器还能与租户进行通信交互,便于租户之间对容器内的资源数据进行操作。每个容器在同一时间内只能与一个网络节点关联,并且容器云平台还会对下属所有容器与网络的连接进行全过程记录,以每个容器的地址信息为基准。从容器云平台的运行日志中提取每个容器内部的数据存储实况和网络连接实况,若数据存储实况表明容器内存储有数据或者网络连接实况表明容器与网络节点连接,则确定容器不处于空闲状态,否则,确定容器处于空闲状态。再根据处于空闲状态的容器的地址信息,对所有处于空闲状态的容器进行标识,便于后续将处于空闲状态的所有容器进行集中管理。
优选地,在步骤S1中,从容器云平台筛选处于空闲状态的所有容器,并将筛选的所有容器与网络节点一一匹配形成容器组网,包括:
根据处于空闲状态的所有容器的地址信息,对处于空闲状态的所有容器进行锁定;
获取容器云平台所处网络的节点服务器运行记录,对节点服务器运行记录进行分析,得到网络的每个网络节点对应的服务器的任务处理实况信息;
根据任务处理实况信息,对满足预定任务处理工作量条件的若干节点进行标识;
根据被锁定的容器的地址信息和被标识的网络节点在网络的IP地址,将被锁定的容器一一对应加载在被标识的网络节点上,再解除被锁定的容器当前所处锁定状态,从而形成容器组网。
上述技术方案的有益效果为:对处于空闲状态的所有容器进行锁定,使得被锁定后的容器无法进行数据存储和与网络节点进行连接,有效确保容器的可用性。此外,获取容器云平台所处网络内部所有节点服务器的运行记录,对运行记录进行分析,得到每个网络节点对应的服务器的任务处理实况信息,该任务处理实况信息可为但不限于是每个节点服务器当前的实际任务处理工作量。若节点服务器的实际任务处理工作量小于或等于预设工作量阈值,则对相应节点服务器进行标识。再结合被锁定的容器的地址信息和被标识的网络节点在网络的IP地址,将每个被锁定的容器一一对应加载在被标识的网络节点上,使得每个网络节点均分配有合适的容器,便于将资源数据存放在容器中,实现对资源数据的独立存储。再解除被锁定的容器当前所处锁定状态,从而形成容器组网,这样容器组网内部的容器只能被其对应的节点服务器使用,实现容器的专用性。
优选地,在步骤S1中,根据容器组网的所有网络节点的外连状态,对容器组网的所有容器进行隔离,包括:
根据容器组网的所有网络节点在网络的IP地址,确定网络节点与容器组网之外的其他网络节点之间的通信路径;再中断通信路径,从而将容器组网的所有容器进行隔离。
上述技术方案的有益效果为:以容器组网的所有网络节点在网络的IP地址为基准,确定网络节点与容器组网之外的其他网络节点之间的通信路径,进而中断通信路径,避免容器组网内部的网络节点与外部网络节点发生交互而影响容器组网内部的安全。
优选地,在步骤S2中,根据不同租户各自的资源操作请求,提取匹配的资源数据,并将资源数据加载到容器组网的容器中,包括:
对所有租户进行租户身份识别,识别其中具备资源操作权限的所有租户;
对来自具备资源操作权限的所有租户各自的资源操作请求进行解析,确定租户期望操作的资源数据属性信息;将资源数据属性信息与资源数据库的数据存储目录进行对比,提取匹配的资源数据;
根据提取的资源数据的数据结构和数据量,将资源数据加载到容器组网对应的容器中。
上述技术方案的有益效果为:对所有租户进行身份识别,可保证只有特定身份的租户才能对容器的资源数据进行操作。再对来自具备资源操作权限的所有租户各自的资源操作请求进行解析,确定租户期望操作的资源数据属性信息,该资源数据属性信息可为但不限于是资源数据的数据类型和数据内容关键词等。以资源数据属性信息为基准,资源数据库中调取匹配的资源数据,确保资源数据的查找准确性。再根据提取的资源数据的数据结构和数据量,将资源数据加载到容器组网对应的容器中,保证容器可完整存储资源数据。
优选地,在步骤S2中,根据对租户的鉴权结果,确定是否允许租户使用相应容器,包括:
对具备资源操作权限的租户所持密钥进行鉴权;若对密钥鉴权成功,则允许租户使用相应容器;若对密钥鉴权失败,则不允许租户使用相应容器,并且根据租户的身份信息,禁止在预设时长内再次对租户进行鉴权。
上述技术方案的有益效果为:对具备资源操作权限的租户所处密钥进行鉴权,保证容器内部资源数据的操作安全性。当对密钥鉴权成功,允许租户使用相应容器,这样租户可直接对容器内的资源数据进行操作;当对密钥鉴权失败,不允许租户使用相应容器,并禁止租户在预设时长内再次对租户进行鉴权,这样能够避免租户在短时间内反复发起鉴权请求而增加容器的工作压力。
优选地,在步骤S3中,根据租户使用相应容器的操作记录,判断相应容器内的资源数据是否发生数据安全事件,包括:
根据租户连接至相应容器后对相应容器的操作记录,对操作记录进行分析,确定租户对相应容器内的资源数据的操作类型和操作时间,以及相应容器内的资源数据的数据特征的变化与否;其中,数据特征是指资源数据的数据结构;
若所处操作类型不属于预设操作类型、或操作时间超过预设时间阈值,或数据特征发生变化,则表明相应容器内的资源数据发生数据安全事件;否则,表明相应容器内的资源数据未发生数据安全事件。
上述技术方案的有益效果为:通过上述方式,以租户连接至相应容器后对相应容器的操作记录为基准,确定租户对相应容器内的资源数据的操作类型和操作时间,以及相应容器内的资源数据的数据特征的变化与否,从而准确判断容器内的资源数据是否存在被窃取或被篡改等安全事件。
优选地,在步骤S3中,变更租户对相应容器的使用权限以及转移相应容器内的资源数据,包括:
终止租户对相应容器的使用权限,以及将相应容器内的资源数据转移存储至容器组网中的其他容器。
上述技术方案的有益效果为:当相应容器内的资源数据发生数据安全事件,则终止租户对相应容器的使用权限,以及将相应容器内的资源数据转移存储至容器组网中的其他容器,这样可以避免租户继续对相应容器进行非法操作,以及保证原本位于相应容器的资源数据进行完整的转移。
优选地,在步骤S4中,根据操作进度,对相应容器内的资源数据进行分块删除处理,包括:
根据操作进度,确定租户对相应容器的资源数据已经完成操作的数据部分;
根据数据部分在资源数据的数据位置,将资源数据划分为已完成操作数据块和未完成操作数据块,再删除已完成操作数据块。
上述技术方案的有益效果为:通过上述方式,以租户对资源数据的操作进度为基准,确定租户对相应容器的资源数据已经完成操作的数据部分,这样将资源数据划分为已完成操作数据块和未完成操作数据块,并删除已完成操作数据块,这样可以有效降低容器的数据存储压力。
优选地,在步骤S4中,当租户完成对资源数据的操作后,对相应容器进行重置处理,包括:
当租户完成对资源数据的操作后,中断租户与相应容器的连接,并对相应容器进行数据清空处理和将容器参数重置为默认状态。
上述技术方案的有益效果为:当租户完成对资源数据的操作后,中断租户与相应容器的连接,并对相应容器进行数据清空处理和将容器参数重置为默认状态,这样容器可以被用于后续其他租户的资源数据存储与操作,提高容器的运转效率。
从上述实施例的内容可知,该基于多租户的容器云平台资源安全管理方法从容器云平台筛选处于空闲状态的容器,并与网络节点匹配形成容器组网,利用容器作为租户进行资源数据操作的唯一接口,保证资源数据操作的稳定性;还对容器组网的所有容器进行隔离,避免与容器组网外部的容器发生数据外溢,实现对容器组网的封闭管理;将租户所需的资源数据加载到容器组网的容器中,为租户主动提供资源数据,而不需要租户在数据平台进行漫长繁复的数据查找,确保资源数据的操作可靠性和效率;并判断容器的资源数据是否发生数据安全事件,以此适应性变更容器的资源数据状态,在确保资源数据安全的同时及时减小容器的数据存储压力;当租户完成对资源数据的操作后,对容器进行重置处理,使容器可及时高效地用于其他租户的资源数据操作,提高容器的使用效率。
Claims (10)
1.基于多租户的容器云平台资源安全管理方法,其特征在于,包括如下步骤:
步骤S1,从容器云平台筛选处于空闲状态的所有容器,并将筛选的所有容器与网络节点一一匹配形成容器组网;根据所述容器组网的所有网络节点的外连状态,对所述容器组网的所有容器进行隔离;
步骤S2,根据不同租户各自的资源操作请求,提取匹配的资源数据,并将所述资源数据加载到所述容器组网的容器中;根据对租户的鉴权结果,确定是否允许所述租户使用相应容器;
步骤S3,根据所述租户使用相应容器的操作记录,判断相应容器内的资源数据是否发生数据安全事件;若发生,则变更所述租户对相应容器的使用权限以及转移相应容器内的资源数据;若未发生,则获取所述租户对所述资源数据的操作进度;
步骤S4,根据所述操作进度,对相应容器内的资源数据进行分块删除处理;并当所述租户完成对资源数据的操作后,对相应容器进行重置处理。
2.根据权利要求1所述的基于多租户的容器云平台资源安全管理方法,其特征在于:
在所述步骤S1中,还包括:
根据容器云平台属下所有容器各自的地址信息,提取每个容器对应的运行日志;对所述运行日志进行分析,得到每个容器内部的数据存储实况和网络连接实况;
根据所述数据存储实况和所述网络连接实况,判断每个容器是否处于空闲状态;根据处于空闲状态的容器的地址信息,对所有处于空闲状态的容器进行标识。
3.根据权利要求1所述的基于多租户的容器云平台资源安全管理方法,其特征在于:
在所述步骤S1中,从容器云平台筛选处于空闲状态的所有容器,并将筛选的所有容器与网络节点一一匹配形成容器组网,包括:
根据处于空闲状态的所有容器的地址信息,对处于空闲状态的所有容器进行锁定;
获取所述容器云平台所处网络的节点服务器运行记录,对所述节点服务器运行记录进行分析,得到所述网络的每个网络节点对应的服务器的任务处理实况信息;
根据所述任务处理实况信息,对满足预定任务处理工作量条件的若干节点进行标识;
根据被锁定的容器的地址信息和被标识的网络节点在所述网络的IP地址,将被锁定的容器一一对应加载在被标识的网络节点上,再解除被锁定的容器当前所处锁定状态,从而形成容器组网。
4.根据权利要求1所述的基于多租户的容器云平台资源安全管理方法,其特征在于:
在所述步骤S1中,根据所述容器组网的所有网络节点的外连状态,对所述容器组网的所有容器进行隔离,包括:
根据所述容器组网的所有网络节点在网络的IP地址,确定所述网络节点与所述容器组网之外的其他网络节点之间的通信路径;再中断所述通信路径,从而将所述容器组网的所有容器进行隔离。
5.根据权利要求1所述的基于多租户的容器云平台资源安全管理方法,其特征在于:
在所述步骤S2中,根据不同租户各自的资源操作请求,提取匹配的资源数据,并将所述资源数据加载到所述容器组网的容器中,包括:
对所有租户进行租户身份识别,识别其中具备资源操作权限的所有租户;
对来自具备资源操作权限的所有租户各自的资源操作请求进行解析,确定所述租户期望操作的资源数据属性信息;将所述资源数据属性信息与资源数据库的数据存储目录进行对比,提取匹配的资源数据;
根据提取的资源数据的数据结构和数据量,将所述资源数据加载到所述容器组网对应的容器中。
6.根据权利要求1所述的基于多租户的容器云平台资源安全管理方法,其特征在于:
在所述步骤S2中,根据对租户的鉴权结果,确定是否允许所述租户使用相应容器,包括:
对具备资源操作权限的租户所持密钥进行鉴权;若对所述密钥鉴权成功,则允许所述租户使用相应容器;若对所述密钥鉴权失败,则不允许所述租户使用相应容器,并且根据所述租户的身份信息,禁止在预设时长内再次对所述租户进行鉴权。
7.根据权利要求1所述的基于多租户的容器云平台资源安全管理方法,其特征在于:
在所述步骤S3中,根据所述租户使用相应容器的操作记录,判断相应容器内的资源数据是否发生数据安全事件,包括:
根据所述租户连接至相应容器后对相应容器的操作记录,对所述操作记录进行分析,确定所述租户对相应容器内的资源数据的操作类型和操作时间,以及相应容器内的资源数据的数据特征的变化与否;其中,所述数据特征是指所述资源数据的数据结构;
若所处操作类型不属于预设操作类型、或所述操作时间超过预设时间阈值,或所述数据特征发生变化,则表明相应容器内的资源数据发生数据安全事件;否则,表明相应容器内的资源数据未发生数据安全事件。
8.根据权利要求1所述的基于多租户的容器云平台资源安全管理方法,其特征在于:
在所述步骤S3中,变更所述租户对相应容器的使用权限以及转移相应容器内的资源数据,包括:
终止所述租户对相应容器的使用权限,以及将相应容器内的资源数据转移存储至所述容器组网中的其他容器。
9.根据权利要求1所述的基于多租户的容器云平台资源安全管理方法,其特征在于:
在所述步骤S4中,根据所述操作进度,对相应容器内的资源数据进行分块删除处理,包括:
根据所述操作进度,确定所述租户对相应容器的资源数据已经完成操作的数据部分;
根据所述数据部分在所述资源数据的数据位置,将所述资源数据划分为已完成操作数据块和未完成操作数据块,再删除所述已完成操作数据块。
10.根据权利要求1所述的基于多租户的容器云平台资源安全管理方法,其特征在于:
在所述步骤S4中,当所述租户完成对资源数据的操作后,对相应容器进行重置处理,包括:
当所述租户完成对资源数据的操作后,中断所述租户与相应容器的连接,并对相应容器进行数据清空处理和将容器参数重置为默认状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310653514.6A CN116389172B (zh) | 2023-06-05 | 2023-06-05 | 基于多租户的容器云平台资源安全管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310653514.6A CN116389172B (zh) | 2023-06-05 | 2023-06-05 | 基于多租户的容器云平台资源安全管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116389172A true CN116389172A (zh) | 2023-07-04 |
| CN116389172B CN116389172B (zh) | 2023-09-19 |
Family
ID=86971633
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310653514.6A Active CN116389172B (zh) | 2023-06-05 | 2023-06-05 | 基于多租户的容器云平台资源安全管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116389172B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9397905B1 (en) * | 2014-01-24 | 2016-07-19 | Amazon Technologies, Inc. | Aggregated health check of a multi-tenant service container |
| US9703611B1 (en) * | 2014-03-21 | 2017-07-11 | Amazon Technologies, Inc. | Isolating resources for utilization by tenants executing in multi-tenant software containers |
| CN108293041A (zh) * | 2015-12-28 | 2018-07-17 | 华为技术有限公司 | 一种资源的分配方法、装置和系统 |
| CN108334396A (zh) * | 2017-01-19 | 2018-07-27 | 阿里巴巴集团控股有限公司 | 一种数据处理方法和装置、资源组的创建方法和装置 |
| CN109039954A (zh) * | 2018-07-25 | 2018-12-18 | 广东石油化工学院 | 多租户容器云平台虚拟计算资源自适应调度方法及系统 |
| US10191778B1 (en) * | 2015-11-16 | 2019-01-29 | Turbonomic, Inc. | Systems, apparatus and methods for management of software containers |
| US20190042322A1 (en) * | 2017-08-04 | 2019-02-07 | Espressive, Inc. | Elastic multi-tenant container architecture |
| CN111835679A (zh) * | 2019-04-18 | 2020-10-27 | 华为技术有限公司 | 多租户场景下的租户资源管理方法和装置 |
| CN112653571A (zh) * | 2020-08-20 | 2021-04-13 | 国家电网公司华中分部 | 一种基于虚拟机与容器的混合调度方法 |
| CN114827115A (zh) * | 2022-06-01 | 2022-07-29 | 青岛中科曙光科技服务有限公司 | 容器内Web服务的访问方法、装置、电子设备及存储介质 |
| CN115865921A (zh) * | 2022-12-30 | 2023-03-28 | 天翼云科技有限公司 | 一种构建容器网络的方法、系统、存储介质、电子设备 |
| CN115994036A (zh) * | 2023-03-22 | 2023-04-21 | 北京腾达泰源科技有限公司 | 云平台租户隔离方法、装置、设备及存储介质 |
-
2023
- 2023-06-05 CN CN202310653514.6A patent/CN116389172B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9397905B1 (en) * | 2014-01-24 | 2016-07-19 | Amazon Technologies, Inc. | Aggregated health check of a multi-tenant service container |
| US9703611B1 (en) * | 2014-03-21 | 2017-07-11 | Amazon Technologies, Inc. | Isolating resources for utilization by tenants executing in multi-tenant software containers |
| US10191778B1 (en) * | 2015-11-16 | 2019-01-29 | Turbonomic, Inc. | Systems, apparatus and methods for management of software containers |
| CN108293041A (zh) * | 2015-12-28 | 2018-07-17 | 华为技术有限公司 | 一种资源的分配方法、装置和系统 |
| CN108334396A (zh) * | 2017-01-19 | 2018-07-27 | 阿里巴巴集团控股有限公司 | 一种数据处理方法和装置、资源组的创建方法和装置 |
| US20190042322A1 (en) * | 2017-08-04 | 2019-02-07 | Espressive, Inc. | Elastic multi-tenant container architecture |
| CN109039954A (zh) * | 2018-07-25 | 2018-12-18 | 广东石油化工学院 | 多租户容器云平台虚拟计算资源自适应调度方法及系统 |
| CN111835679A (zh) * | 2019-04-18 | 2020-10-27 | 华为技术有限公司 | 多租户场景下的租户资源管理方法和装置 |
| CN112653571A (zh) * | 2020-08-20 | 2021-04-13 | 国家电网公司华中分部 | 一种基于虚拟机与容器的混合调度方法 |
| CN114827115A (zh) * | 2022-06-01 | 2022-07-29 | 青岛中科曙光科技服务有限公司 | 容器内Web服务的访问方法、装置、电子设备及存储介质 |
| CN115865921A (zh) * | 2022-12-30 | 2023-03-28 | 天翼云科技有限公司 | 一种构建容器网络的方法、系统、存储介质、电子设备 |
| CN115994036A (zh) * | 2023-03-22 | 2023-04-21 | 北京腾达泰源科技有限公司 | 云平台租户隔离方法、装置、设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| W.M.C.J.T.KITHULWATTA: "Docker Containerized Infrastructure Orchestration with Portainer Container-native Approach", 《2022 3RD INTERNATIONAL CONFERENCE FOR EMERGING TECHNOLOGY (INCET)》 * |
| 杨迪;: "基于容器云的微服务系统", 电信科学, no. 09 * |
| 程庆年;: "一种基于容器和对象存储来构建备份即服务的方案", 信息通信, no. 07 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116389172B (zh) | 2023-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2477355B1 (en) | Method and device for managing association of network resources | |
| US9003389B2 (en) | Generating an encoded package profile based on executing host processes | |
| CN109714239B (zh) | 一种管理消息的下发方法、vnfm设备和服务器 | |
| CN112527489A (zh) | 一种任务调度方法、装置、设备及计算机可读存储介质 | |
| CN114281253A (zh) | 存储卷的管理方法 | |
| CN101778131A (zh) | 数据同步系统 | |
| US6332160B1 (en) | Method for matching distributed transactions and machine-readable recording medium with method programs | |
| CN105224541B (zh) | 数据的唯一性控制方法、信息存储方法及装置 | |
| US8224933B2 (en) | Method and apparatus for case-based service composition | |
| US20170063862A1 (en) | System and method for authentication | |
| CN116389172B (zh) | 基于多租户的容器云平台资源安全管理方法 | |
| CN101789963A (zh) | 数据同步系统 | |
| CN112084021A (zh) | 教育系统的界面配置方法、装置、设备及可读存储介质 | |
| CN112328363A (zh) | 一种云硬盘挂载方法及其装置 | |
| CN108763933A (zh) | 一种基于自动程序清单的应用程序管理方法及系统 | |
| CN111324799B (zh) | 搜索请求的处理方法及装置 | |
| US11348656B2 (en) | Efficient resource sharing | |
| CN114866416A (zh) | 一种多集群统一管理系统及部署方法 | |
| CN115905206A (zh) | 多租户数据隔离方法、装置、设备及存储介质 | |
| CN112926084A (zh) | 访问权限管理方法及系统 | |
| CN111858250B (zh) | 监控问题检查方法、装置、计算机设备和存储介质 | |
| US8443104B2 (en) | Routing engine with filtering capabilitiess | |
| US7200661B2 (en) | System and method for registering a client device | |
| CN116909680A (zh) | 一种容器编排系统集群中Pod容器的进入方法 | |
| CN114500073B (zh) | 一种云存储系统中支持隐私保护的用户数据割接方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Tian Yuan Inventor after: Zhang Yang Inventor after: Song Shuying Inventor after: Feng Wenqiang Inventor after: Xiong Jun Inventor after: Zhou Yulong Inventor after: Zheng Li Inventor after: Tan Yaomu Inventor after: Chen Wenjie Inventor after: Wu Dou Inventor after: Zhang Ruijia Inventor after: Li Jing Inventor after: Huang Kun Inventor after: Mao Qijun Inventor after: Pu Fengxia Inventor before: Tian Yuan Inventor before: Song Shuying Inventor before: Feng Wenqiang Inventor before: Xiong Jun Inventor before: Zhou Yulong Inventor before: Zheng Li Inventor before: Tan Yaomu Inventor before: Chen Wenjie Inventor before: Wu Dou Inventor before: Zhang Ruijia Inventor before: Li Jing Inventor before: Huang Kun Inventor before: Mao Qijun Inventor before: Zhang Yang |
|
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Tian Yuan Inventor after: Zhang Yang Inventor after: Song Shuying Inventor after: Feng Wenqiang Inventor after: Xiong Jun Inventor after: Zhou Yulong Inventor after: Zheng Li Inventor after: Tan Yaomu Inventor after: Chen Wenjie Inventor after: Wu Dou Inventor after: Zhang Ruijia Inventor after: Li Jing Inventor after: Huang Kun Inventor after: Mao Qijun Inventor after: Pu Fengxia Inventor before: Tian Yuan Inventor before: Zhang Yang Inventor before: Song Shuying Inventor before: Feng Wenqiang Inventor before: Xiong Jun Inventor before: Zhou Yulong Inventor before: Zheng Li Inventor before: Tan Yaomu Inventor before: Chen Wenjie Inventor before: Wu Dou Inventor before: Zhang Ruijia Inventor before: Li Jing Inventor before: Huang Kun Inventor before: Mao Qijun Inventor before: Pu Fengxia |
|
| CB03 | Change of inventor or designer information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |