CN116661811B - 一种闭环式容器化可控服务集群搭建方法及服务集群装置 - Google Patents
一种闭环式容器化可控服务集群搭建方法及服务集群装置 Download PDFInfo
- Publication number
- CN116661811B CN116661811B CN202310949336.1A CN202310949336A CN116661811B CN 116661811 B CN116661811 B CN 116661811B CN 202310949336 A CN202310949336 A CN 202310949336A CN 116661811 B CN116661811 B CN 116661811B
- Authority
- CN
- China
- Prior art keywords
- service cluster
- containerized
- loop
- closed
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000010276 construction Methods 0.000 title description 5
- 238000000034 method Methods 0.000 claims abstract description 11
- 230000003068 static effect Effects 0.000 claims description 7
- 230000007246 mechanism Effects 0.000 claims description 6
- 238000013475 authorization Methods 0.000 claims description 4
- 238000009434 installation Methods 0.000 claims description 3
- 238000004806 packaging method and process Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims 1
- 238000012423 maintenance Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003339 best practice Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种闭环式容器化可控服务集群搭建方法及服务集群装置,其中,所述闭环式容器化可控服务集群装置的服务器所使用的系统内核文件中预置有地址空间随机布局模块。本发明可以使物理接口高度统一化,更有效的安全防护服务器设备,还可以提高系统的可靠性、可重复性和可维护性。
Description
技术领域
本发明涉及服务集群技术领域,具体地说是一种闭环式容器化可控服务集群搭建方法及服务集群装置。
背景技术
现有的系统基于Linux服务的集群平台过于冗余,架构过于复杂,且存在可变的风险,其操作是可中断,存在丢失可能,并存在较长的时间进行内存维护,暂用资源,容易引起木马攻击等,存在相应的风险。
发明内容
为此,本发明所要解决的技术问题在于提供一种闭环式容器化可控服务集群搭建方法及服务集群装置,可以使物理接口高度统一化,更有效的安全防护服务器设备,还可以提高系统的可靠性、可重复性和可维护性。
为解决上述技术问题,本发明提供如下技术方案:
一种闭环式容器化可控服务集群搭建方法,包括如下步骤:
S1)对用于搭建服务集群的服务器的硬件服务类型进行定义,剔除服务器上非安全性接口;
S2)对服务集群的系统服务架构进行定义并利用步骤S1)处理后的服务器根据定义好的系统服务架构搭建服务集群;
S3)通过静态编译将Linux二进制源代码HataOS编译成机器码并将该机器码存储在可执行文件中;
S4)将容器加载时所需的文件以底层镜像文件的形式打包并存储在存储设备上;容器加载时所需的文件包括步骤S3)中的可执行文件;
S5)构建启动服务加载程序;
S6)在位于步骤S2)系统服务架构中的服务器上运行步骤S5)中构建的启动服务加载程序,启动服务加载程序从存储设备上拉取以底层镜像文件的形式存储的容器加载时所需的文件进行安装和运行,启动系统服务,加载Kubernetes容器服务。
上述方法,在步骤S6)中,在容器加载时所需的文件安装完成后,采用安全机制来限制Linux内核发行版的访问权限。
上述方法,安全机制包括身份验证和授权。
上述方法,存储设备为远程服务器;在步骤S6)中,通过自动引导的方式从远程服务器上下载容器加载时所需的文件。
上述方法,在步骤S3)中,将地址空间随机布局模块预置于Linux系统的系统内核文件中;当系统程序加载到内存时,调用地址空间随机布局模块对代码和数据的地址进行随机化处理。
一种闭环式容器化可控服务集群装置,所述闭环式容器化可控服务集群装置为通过上述闭环式容器化可控服务集群搭建方法搭建的服务集群装置。
上述闭环式容器化可控服务集群装置,所述闭环式容器化可控服务集群装置的服务器所使用的Linux系统的系统内核文件中预置有地址空间随机布局模块;当系统程序加载到内存时,调用地址空间随机布局模块对代码和数据的地址进行随机化处理。
上述闭环式容器化可控服务集群装置,所述闭环式容器化可控服务集群装置的服务器内置有用于对服务器系统数据进行备份的备份模块。
上述闭环式容器化可控服务集群装置,所述闭环式容器化可控服务集群装置的服务器内置有用于对服务器系统进行扫描与修复的防护模块。
上述闭环式容器化可控服务集群装置,所述闭环式容器化可控服务集群装置的服务器内置有用于限制Linux内核发行版的访问权限的安全控制模块。
本发明的技术方案取得了如下有益的技术效果:
1.通过定义设备出厂类型,剔除以往的非安全性接口设置,只保留网口设置,使其物理接口高度统一化,更有效的安全防护服务器设备;
2.采用了不可变动的基础设施架构,基于自动化和标准化原则建立的一套服务器系统架构。其目的可以提高系统的可靠性、可重复性和可维护性,提高系统环境的稳定性和安全性,降低维护成本和风险;
3.利用静态编译和地址空间随机化布局来减少潜在的媒介攻击。
4.通过将所有的状态信息保存在底层存储中,只读根文件系统的模式,与容器实例完全分离。这样一来,实例很容易启动、停止和扩展,从而提供更高的可伸缩性。
5.此装置通过自动化构建系统内核,并提供了安全的Kubernetes,对集群的所有访问均由API完成,使其操作自动化、扩展简单。
6.稳定性高,可用性高,速度更快,采用不可变动的基础设施架构提高了性能的稳定性,剔除非必要的组件,更快捷的进行系统安装,多通道的API防护措施,有效的防止篡改。
7.自动化引导安装,更加简洁高效的进行系统的引导,配置,构建,安装,剔除繁琐的步骤。
8.通过容器化平台和容器化装置的相互匹配使用,能更好的操控多裸机进行集群配置,灵活高效的下发服务,从而实现了一整套的闭环容器集群服务。
附图说明
图1为本发明中闭环式容器化可控服务集群装置的工作原理图;
图2为本发明中闭环式容器化可控服务集群装置搭建流程图。
具体实施方式
下面结合示例,针对本发明进行进一步说明。
如图1所示,在本发明中的闭环式容器化可控服务集群装置中,所述闭环式容器化可控服务集群装置的服务器所使用的Linux系统的系统内核文件中预置有地址空间随机布局模块;当系统程序加载到内存时,调用地址空间随机化布局模块对代码和数据的地址进行随机化处理;所述闭环式容器化可控服务集群装置的服务器内置有用于对服务器系统数据进行备份的备份模块、用于对服务器系统进行扫描与修复的防护模块和用于限制Linux内核发行版的访问权限的安全控制模块。
如图2所示,所述闭环式容器化可控服务集群装置通过如下步骤搭建:
S1)对用于搭建服务集群的服务器的硬件服务类型进行定义,剔除服务器上非安全性接口;
S2)对服务集群的系统服务架构进行定义并利用步骤S1)处理后的服务器根据定义好的系统服务架构搭建服务集群;
S3)通过静态编译将Linux二进制源代码HataOS编译成机器码并将该机器码存储在可执行文件中;
S4)将容器加载时所需的文件以底层镜像文件的形式打包并存储在存储设备上;容器加载时所需的文件包括步骤S3)中的可执行文件;
S5)构建启动服务加载程序;
S6)在位于步骤S2)系统服务架构中的服务器上运行步骤S5)中构建的启动服务加载程序,启动服务加载程序从存储设备上拉取以底层镜像文件的形式存储的容器加载时所需的文件进行安装和运行,启动系统服务,加载Kubernetes容器服务。
其中,在剔除服务器上非安全性接口时,用户可以根据需要对硬件服务类型进行定义,制定并执行非安全性接口剔除策略,但在定义硬件服务类型和执行非安全性接口剔除策略上,需要考虑不同硬件装置的特性,以及面对不同攻击和威胁的应对措施。针对不必要的接口可以进行禁用,并采取加密、认证和授权等措施来保护系统,防止未经授权的访问和攻击。此外,在解决数据安全问题时,也需要考虑数据的备份和恢复策略,以确保数据完整性。
而在定义服务集群的系统架构时,需要考虑到不同服务器之间的关系和依赖,以确保系统能够正常运行。同时,为了实现服务自动化部署和运维,可以将所有事务及更改通过自动化工具进行,并且还可以增加监控和告警机制以及故障排查和处理策略,以保证系统的可靠性和可维护性。
在步骤S3)中,通过静态编译得到的机器码存放在隐藏文件夹./hata的文件目录下。其中,实现静态编译的原理是将所有的函数和变量的地址在编译时就确定下来,并直接写入可执行文件中。这样在程序运行时,代码和数据的地址在内存中是固定不变的。这种方式的安全风险在于,攻击者可以通过查看程序的可执行文件来获取关键信息,比如变量的地址、函数的入口地址等,从而有可能进行恶意攻击。
为了解决静态编译带来的安全风险,引入了地址空间随机化布局(ASLR)技术。ASLR已预置在系统内核文件中,通过在系统程序加载到内存时调用,随机化代码和数据的地址,使得每次运行时它们所处的内存位置都不同。这样即使攻击者能够获取到程序的可执行文件,也无法事先确定代码和数据的实际内存位置。实现ASLR的原理是通过在加载程序时,对代码段、数据段、堆、栈等不同区域的地址进行随机偏移。这个偏移量是在每次运行时随机生成的,并应用于程序的内存地址,从而实现随机化布局。
在使用所述闭环式容器化可控服务集群装置时,需要对所使用的Linux内核发行版进行特定的配置与维护,这有利于提高闭环式容器化可控服务集群装置的稳定性。而在针对Linux内核发行版进行特定配置和维护时,需要考虑到系统的可靠性和安全性,通过安全控制模块来限制访问权限,而安全控制模块可以采用RBAC和标签等基于身份验证和授权的机制。同时,还可以采用一些最佳实践,如加密通信、安全连接和安全文件传输等,来保证数据和安全性的保护。此外,还可以通过防护模块定期对系统进行漏洞扫描和修复,并利用备份模块对系统关键数据进行备份,以确保系统的可靠性和安全性。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。
Claims (5)
1.一种闭环式容器化可控服务集群搭建方法,其特征在于,包括如下步骤:
S1)对用于搭建服务集群的服务器的硬件服务类型进行定义,剔除服务器上非安全性接口;
S2)对服务集群的系统服务架构进行定义并利用步骤S1)处理后的服务器根据定义好的系统服务架构搭建服务集群;
S3)通过静态编译将Linux二进制源代码HataOS编译成机器码并将该机器码存储在可执行文件中;将地址空间随机化布局模块预置于Linux系统的系统内核文件中;当系统程序加载到内存时,调用地址空间随机化布局模块对代码和数据的地址进行随机化处理;
S4)将容器加载时所需的文件以底层镜像文件的形式打包并存储在存储设备上;容器加载时所需的文件包括步骤S3)中的可执行文件;
S5)构建启动服务加载程序;
S6)在位于步骤S2)系统服务架构中的服务器上运行步骤S5)中构建的启动服务加载程序,启动服务加载程序从存储设备上拉取以底层镜像文件的形式存储的容器加载时所需的文件进行安装和运行,启动系统服务,加载Kubernetes容器服务;在容器加载时所需的文件安装完成后,采用安全机制来限制Linux内核发行版的访问权限,安全机制包括身份验证和授权。
2.根据权利要求1所述的方法,其特征在于,存储设备为远程服务器;在步骤S6)中,通过自动引导的方式从远程服务器上下载容器加载时所需的文件。
3.一种闭环式容器化可控服务集群装置,其特征在于,所述闭环式容器化可控服务集群装置为通过权利要求1所述的闭环式容器化可控服务集群搭建方法搭建的服务集群装置;所述闭环式容器化可控服务集群装置的服务器所使用的Linux系统的系统内核文件中预置有地址空间随机化布局模块;当系统程序加载到内存时,调用地址空间随机化布局模块对代码和数据的地址进行随机化处理;所述闭环式容器化可控服务集群装置的服务器内置有用于限制Linux内核发行版的访问权限的安全控制模块。
4.根据权利要求3所述的闭环式容器化可控服务集群装置,其特征在于,所述闭环式容器化可控服务集群装置的服务器内置有用于对服务器系统数据进行备份的备份模块。
5.根据权利要求3所述的闭环式容器化可控服务集群装置,其特征在于,所述闭环式容器化可控服务集群装置的服务器内置有用于对服务器系统进行扫描与修复的防护模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310949336.1A CN116661811B (zh) | 2023-07-31 | 2023-07-31 | 一种闭环式容器化可控服务集群搭建方法及服务集群装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310949336.1A CN116661811B (zh) | 2023-07-31 | 2023-07-31 | 一种闭环式容器化可控服务集群搭建方法及服务集群装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116661811A CN116661811A (zh) | 2023-08-29 |
CN116661811B true CN116661811B (zh) | 2023-10-20 |
Family
ID=87722823
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310949336.1A Active CN116661811B (zh) | 2023-07-31 | 2023-07-31 | 一种闭环式容器化可控服务集群搭建方法及服务集群装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116661811B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103716188A (zh) * | 2013-12-20 | 2014-04-09 | 上海网达软件股份有限公司 | Linux服务器集群管理的管理和维护方法 |
CN108052333A (zh) * | 2017-12-11 | 2018-05-18 | 北京紫优能源科技有限公司 | 一种电力调度集控系统标准化自动化部署方法及架构 |
WO2021217871A1 (zh) * | 2020-04-28 | 2021-11-04 | 平安科技(深圳)有限公司 | 微服务集群部署方法、装置、计算机设备及存储介质 |
CN114489761A (zh) * | 2022-04-01 | 2022-05-13 | 中国人民解放军96901部队 | 一种基于容器集群的服务集成和应用集成方法 |
CN116382694A (zh) * | 2023-03-12 | 2023-07-04 | 天翼云科技有限公司 | 一种提升容器环境下Maven工程编译速度的方法 |
-
2023
- 2023-07-31 CN CN202310949336.1A patent/CN116661811B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103716188A (zh) * | 2013-12-20 | 2014-04-09 | 上海网达软件股份有限公司 | Linux服务器集群管理的管理和维护方法 |
CN108052333A (zh) * | 2017-12-11 | 2018-05-18 | 北京紫优能源科技有限公司 | 一种电力调度集控系统标准化自动化部署方法及架构 |
WO2021217871A1 (zh) * | 2020-04-28 | 2021-11-04 | 平安科技(深圳)有限公司 | 微服务集群部署方法、装置、计算机设备及存储介质 |
CN114489761A (zh) * | 2022-04-01 | 2022-05-13 | 中国人民解放军96901部队 | 一种基于容器集群的服务集成和应用集成方法 |
CN116382694A (zh) * | 2023-03-12 | 2023-07-04 | 天翼云科技有限公司 | 一种提升容器环境下Maven工程编译速度的方法 |
Non-Patent Citations (1)
Title |
---|
一种良构可扩展的构件运行平台容器系统;范刚;曹东刚;周明辉;肖赞;梅宏;;中国科技论文在线(第10期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116661811A (zh) | 2023-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8881137B2 (en) | Creating a relatively unique environment for computing platforms | |
US8474032B2 (en) | Firewall+ storage apparatus, method and system | |
CN103827881B (zh) | 用于设备操作系统中的动态平台安全的方法和系统 | |
CN109840430B (zh) | Plc的安全处理单元及其总线仲裁方法 | |
EP2302549B1 (en) | Platform security apparatus and method thereof | |
US20090193211A1 (en) | Software authentication for computer systems | |
CN105022954A (zh) | 飞腾cpu上三态操作系统安全内核服务动态运行方法 | |
CN103988206A (zh) | 用于动态创建应用程序执行环境以保护所述应用程序的方法以及相关的计算机程序产品和计算装置 | |
CN105122260A (zh) | 到安全操作系统环境的基于上下文的切换 | |
US9262631B2 (en) | Embedded device and control method thereof | |
CN112783537A (zh) | 基于MTD存储设备的嵌入式linux操作系统升级方法及系统 | |
CN104572093A (zh) | 使用usb控制器实现终端设备双操作系统启动的方法 | |
CN105308610A (zh) | 用于设备上的平台和用户应用安全性的方法和系统 | |
CN103970540A (zh) | 关键函数安全调用方法及装置 | |
CN114692134A (zh) | 一种基于linux内核进程监控来保护代码及数据的系统和方法 | |
CN109190335B (zh) | 一种软件版权保护方法和系统 | |
CN101464934B (zh) | 一种计算机平台与存储设备相互绑定、认证方法及计算机 | |
CN112613011B (zh) | U盘系统认证方法、装置、电子设备及存储介质 | |
CN114095228A (zh) | 基于区块链和边缘计算的物联网数据安全存取方法、系统、装置及存储介质 | |
CN1743992A (zh) | 计算机操作系统安全防护方法 | |
US20110145596A1 (en) | Secure Data Handling In A Computer System | |
CN116661811B (zh) | 一种闭环式容器化可控服务集群搭建方法及服务集群装置 | |
CN109583206B (zh) | 监控应用程序的访问进程的方法、装置、设备及存储介质 | |
WO2015116204A1 (en) | Encrypted in-place operating system migration | |
CN106919439A (zh) | 基于磁盘虚拟化和镜像智能管理的虚拟机存储隔离技术 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |