WO2021238256A1

WO2021238256A1 - 一种应用隔离方法、系统、设备及计算机可读存储介质

Info

Publication number: WO2021238256A1
Application number: PCT/CN2021/073438
Authority: WO
Inventors: 张强; 刘正伟
Original assignee: 浪潮电子信息产业股份有限公司
Priority date: 2020-05-27
Filing date: 2021-01-23
Publication date: 2021-12-02
Also published as: CN111709014A; US20230208881A1; CN111709014B

Abstract

一种应用隔离方法、系统、设备及计算机可读存储介质，确定出Kubernetes中待隔离的目标应用; 获取目标应用中各个组件的隔离策略; 创建与目标应用对应的初始网络安全策略; 基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略; 将目标网络安全策略转换为与Kubernetes匹配的Iptables规则; 基于Iptables规则对目标应用进行隔离。本申请中，根据组件的隔离策略修改初始网络安全策略，得到与隔离策略相符的目标网络安全策略，并且之后将目标网络安全策略转换为与Kubernetes匹配的Iptables规则，实现了对Kubernetes中应用的隔离。

Description

一种应用隔离方法、系统、设备及计算机可读存储介质

本申请要求于2020年5月27日提交中国专利局、申请号为202010461867.2、发明名称为“一种应用隔离方法、系统、设备及计算机可读存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及应用隔离技术领域，更具体地说，涉及一种应用隔离方法、系统、设备及计算机可读存储介质。

背景技术

Kubernetes，简称K8s，是用8代替8个字符“ubernete”而成的缩写，是一个开源的，用于管理云平台中多个主机上的容器化的应用，Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署，规划，更新，维护的一种机制。

在Kubernetes的应用过程中，有时处于安全、限制网络流量的目的，需要控制实体之间的联连通性，比如对应用进行隔离等，而现有技术中并未有对应用进行隔离的方法。

综上所述，如何实现Kubernetes内的应用隔离是目前本领域技术人员亟待解决的问题。

发明内容

本申请的目的是提供一种应用隔离方法，其能在一定程度上解决如何实现Kubernetes内的应用隔离的技术问题。本申请还提供了一种应用隔离系统、设备及计算机可读存储介质。

为了实现上述目的，本申请提供如下技术方案：

一种应用隔离方法，包括：

确定出Kubernetes中待隔离的目标应用；

获取所述目标应用中各个组件的隔离策略；

创建与所述目标应用对应的初始网络安全策略；

基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略；

将所述目标网络安全策略转换为与所述Kubernetes匹配的Iptables规则；

基于所述Iptables规则对所述目标应用进行隔离。

优选的，所述创建与所述目标应用对应的初始网络安全策略，包括：

创建所述初始网络安全策略；

将所述初始网络安全策略的pod选择器字段设置为匹配表达式的形式；

将所述初始网络安全策略的operator值设为条件运算符In；

将所述初始网络安全策略的所述匹配标签设置为所述目标应用中所有组件的标识的集合。

优选的，所述基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签，包括：

基于所述隔离策略中的被访问策略修改所述入栈规则；

基于所述隔离策略中的主动访问策略修改所述出栈规则；

将所述匹配标签的值设置为所述隔离策略中被隔离的组件的标识；

其中，所述被访问策略表征其他组件访问所述目标应用的组件的策略；所述主动访问策略表征所述目标应用的组件访问其他组件的策略。

优选的，所述基于所述隔离策略中的被访问策略修改所述入栈规则，包括：

确定出与所述被访问策略对应的第一组件；

将所述入栈规则中所述第一组件对应的端口号修改为所述被访问策略中的对应端口号；

将所述入栈规则中所述第一组件对应的网络数据交换规则修改为所述被访问策略中的对应网络数据交换规则；

将所述入栈规则中所述第一组件对应的pod选择器字段修改为matchlabel，将所述matchlabel的值设置为所述被访问策略中对应的其他组件的标识。

优选的，所述基于所述隔离策略中的主动访问策略修改所述出栈规则，包括：

确定出与所述主动访问策略对应的第二组件；

将所述出栈规则中所述第二组件对应的端口号修改为所述主动访问策略中的对应端口号；

将所述出栈规则中所述第二组件对应的网络数据交换规则修改为所述主动访问策略中的对应网络数据交换规则；

将所述出栈规则中所述第二组件对应的pod选择器字段修改为matchlabel，将所述matchlabel的值设置为所述主动访问策略中对应的其他组件的标识。

优选的，所述确定出Kubernetes中待隔离的目标应用之前，还包括：

在所述Kubernetes中部署calico网络插件；

将所述calico网络插件中的calico node设置为以demonest方式运行；

将所述calico网络插件中的calicocontroller设置为以无状态负载方式运行。

优选的，所述组件的标识包括所述组件的标签。

一种应用隔离系统，包括：

第一确定模块，用于确定出Kubernetes中待隔离的目标应用；

第一获取模块，用于获取所述目标应用中各个组件的隔离策略；

第一创建模块，用于创建与所述目标应用对应的初始网络安全策略；

第一修改模块，用于基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略；

第一转换模块，用于将所述目标网络安全策略转换为与所述Kubernetes匹配的Iptables规则；

第一隔离模块，用于基于所述Iptables规则对所述目标应用进行隔离。

一种应用隔离设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上任一项所述应用隔离方法的步骤。

一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现如上任一所述应用隔离方法的步骤。

本申请提供的一种应用隔离方法，确定出Kubernetes中待隔离的目标应用；获取目标应用中各个组件的隔离策略；创建与目标应用对应的初始网络安全策略；基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略；将目标网络安全策略转换为与Kubernetes匹配的Iptables规则；基于Iptables规则对目标应用进行隔离。本申请中，可以根据组件的隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签，得到与隔离策略相符的目标网络安全策略，并且之后将目标网络安全策略转换为与Kubernetes匹配的Iptables规则，从而可以基于Iptables规则对目标应用进行隔离，实现了对Kubernetes中应用的隔离。本申请提供的一种应用隔离系统、设备及计算机可读存储介质也解决了相应技术问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的一种应用隔离方法的流程图；

图2为本申请实施例提供的一种应用隔离系统的结构示意图；

图3为本申请实施例提供的一种应用隔离设备的结构示意图；

图4为本申请实施例提供的一种应用隔离设备的另一结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，图1为本申请实施例提供的一种应用隔离方法的流程图。

本申请实施例提供的一种应用隔离方法，可以包括以下步骤：

步骤S101：确定出Kubernetes中待隔离的目标应用。

实际应用中，可以先确定出Kubernetes中待隔离的目标应用，目标应用的类型及数量均可以根据实际需要确定，且待隔离的目标应用可以由用户等进行指定。

步骤S102：获取目标应用中各个组件的隔离策略。

实际应用中，在确定出Kubernetes中待隔离的目标应用之后，便可以获取目标应用中各个组件的隔离策略，隔离策略也可以由用户等进行指定。

步骤S103：创建与目标应用对应的初始网络安全策略。

实际应用中，在获取目标应用中各个组件的隔离策略之后，便可以创建与目标应用对应的初始网络安全策略(NetWorkPolicy)，用于对目标应用的各个组件进行隔离，比如完全隔离或者完全公开等。

步骤S104：基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略。

实际应用中，由于初始网络策略的入栈规则可以限制其他组件访问组件的访问信息，出栈规则可以限制组件访问其他组件的访问信息，匹配标签能够限制其他组件的身份信息，所以在创建与目标应用对应的初始网络安全策略之后，可以基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签，得到与隔离策略相符合的目标网络安全策略。

步骤S105：将目标网络安全策略转换为与Kubernetes匹配的Iptables规则。

步骤S106：基于Iptables规则对目标应用进行隔离。

实际应用中，在得到目标网络安全策略之后，便可以将目标网络安全策略转换为与Kubernetes匹配的Iptables规则，并基于Iptables规则对目标应用进行隔离，以实现对Kubernetes中目标应用的应用隔离。其中，Iptables 规则是与最新的3.5版本Linux内核集成的IP信息包过滤系统，如果Linux系统连接到因特网或LAN、服务器或连接LAN(局域网)和因特网的代理服务器，则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。

本申请提供的一种应用隔离方法，确定出Kubernetes中待隔离的目标应用；获取目标应用中各个组件的隔离策略；创建与目标应用对应的初始网络安全策略；基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略；将目标网络安全策略转换为与Kubernetes匹配的Iptables规则；基于Iptables规则对目标应用进行隔离。本申请中，可以根据组件的隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签，得到与隔离策略相符的目标网络安全策略，并且之后将目标网络安全策略转换为与Kubernetes匹配的Iptables规则，从而可以基于Iptables规则对目标应用进行隔离，实现了对Kubernetes中应用的隔离。

本申请实施例提供的一种应用隔离方法，创建与目标应用对应的初始网络安全策略的步骤，可以具体为：创建初始网络安全策略；将初始网络安全策略的pod选择器(podSelecttor)字段设置为匹配表达式(matchExpression)的形式；将初始网络安全策略的operator值设为条件运算符In；将初始网络安全策略的匹配标签设置为目标应用中所有组件的标识的集合。应当指出，在将初始网络安全策略的匹配标签设置为目标应用中所有组件的标识的集合的过程中，标识间可以以逗号隔开，这样可以减少NetWorkPolicy的个数，从而避免了在宿主机上创建大量Iptables规则所导致的效率问题；此外，按照上述操作对初始网络安全策略进行设置后，当前应用便处于一种完全隔离的状态，即不允许任何流量进入应用内部，也不允许任何流量流出当前应用。

本申请实施例提供的一种应用隔离方法，基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签的步骤，可以具体为：基于隔离策略中的被访问策略修改入栈规则；基于隔离策略中的主动访问策略修改出栈规则；将匹配标签的值设置为隔离策略中被隔离的组件的标识；其中，被访问策略表征其他组件访问目标应用的组件的策略；主动访问策略表征目标应用的组件访问其他组件的策略。也即可以在隔离策略中设置被访问策略、主动访问策略及被隔离的组件的标识，后续可以直接基于隔离策略中的被访问策略修改入栈规则，基于隔离策略中的主动访问策略修改出栈规则，将匹配标签的值设置为隔离策略中被隔离的组件的标识，从而快速完成对初始网络安全策略的修改。

实际应用中，基于隔离策略中的被访问策略修改入栈规则的过程，可以具体为：确定出与被访问策略对应的第一组件；将入栈规则中第一组件对应的端口号修改为被访问策略中的对应端口号；将入栈规则中第一组件对应的网络数据交换规则修改为被访问策略中的对应网络数据交换规则；将入栈规则中第一组件对应的pod选择器字段修改为matchlabel，将matchlabel的值设置为被访问策略中对应的其他组件的标识。

实际应用中，基于隔离策略中的主动访问策略修改出栈规则的步骤，可以具体为：确定出与主动访问策略对应的第二组件；将出栈规则中第二组件对应的端口号修改为主动访问策略中的对应端口号；将出栈规则中第二组件对应的网络数据交换规则修改为主动访问策略中的对应网络数据交换规则；将出栈规则中第二组件对应的pod选择器字段修改为matchlabel，将matchlabel的值设置为主动访问策略中对应的其他组件的标识。

本申请实施例提供的一种应用隔离方法，为了使得Kubernetes中的各个应用间可以通信，在确定出Kubernetes中待隔离的目标应用之前，还可以在Kubernetes中部署calico网络插件；将calico网络插件中的calico node设置为以demonest方式运行；将calico网络插件中的calicocontroller设置为以无状态负载方式运行。其中，calico是一个纯三层的协议，为Docker容器提供多主机间通信，它是一个纯三层的方法，使用虚拟路由代替虚拟交换，每一台虚拟路由通过BGP协议(边界网关协议)传播可达信息(路由)到剩余数据中心。

实际应用中，组件的标识可以包括组件的标签等。

请参阅图2，图2为本申请实施例提供的一种应用隔离系统的结构示意图。

本申请实施例提供的一种应用隔离系统，可以包括：

第一确定模块101，用于确定出Kubernetes中待隔离的目标应用；

第一获取模块102，用于获取目标应用中各个组件的隔离策略；

第一创建模块103，用于创建与目标应用对应的初始网络安全策略；

第一修改模块104，用于基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略；

第一转换模块105，用于将目标网络安全策略转换为与Kubernetes匹配的Iptables规则；

第一隔离模块106，用于基于Iptables规则对目标应用进行隔离。

本申请实施例提供的一种应用隔离系统，第一创建模块可以包括：

第一创建单元，用于创建初始网络安全策略；

第一设置单元，用于将初始网络安全策略的pod选择器字段设置为匹配表达式的形式；

第二设置单元，用于将初始网络安全策略的operator值设为条件运算符In；

第三设置单元，用于将初始网络安全策略的匹配标签设置为目标应用中所有组件的标识的集合。

本申请实施例提供的一种应用隔离系统，第一修改模块可以包括：

第一修改子模块，用于基于隔离策略中的被访问策略修改入栈规则；

第二修改子模块，用于基于隔离策略中的主动访问策略修改出栈规则；

第一设置子模块，用于将匹配标签的值设置为隔离策略中被隔离的组件的标识；

其中，被访问策略表征其他组件访问目标应用的组件的策略；主动访问策略表征目标应用的组件访问其他组件的策略。

本申请实施例提供的一种应用隔离系统，第一修改子模块可以包括：

第一确定单元，用于确定出与被访问策略对应的第一组件；

第一修改单元，用于将入栈规则中第一组件对应的端口号修改为被访问策略中的对应端口号；

第二修改单元，用于将入栈规则中第一组件对应的网络数据交换规则修改为被访问策略中的对应网络数据交换规则；

第三修改单元，用于将入栈规则中第一组件对应的pod选择器字段修改为matchlabel，将matchlabel的值设置为被访问策略中对应的其他组件的标识。

本申请实施例提供的一种应用隔离系统，第二修改子模块可以包括：

第二确定单元，用于确定出与主动访问策略对应的第二组件；

第四修改单元，用于将出栈规则中第二组件对应的端口号修改为主动访问策略中的对应端口号；

第五修改单元，用于将出栈规则中第二组件对应的网络数据交换规则修改为主动访问策略中的对应网络数据交换规则；

第六修改单元，用于将出栈规则中第二组件对应的pod选择器字段修改为matchlabel，将matchlabel的值设置为主动访问策略中对应的其他组件的标识。

本申请实施例提供的一种应用隔离系统，还可以包括：

第一部署模块，用于第一确定模块确定出Kubernetes中待隔离的目标应用之前，在Kubernetes中部署calico网络插件；

第一设置模块，用于将calico网络插件中的calico node设置为以demonest方式运行；

第二设置模块，用于将calico网络插件中的calicocontroller设置为以无状态负载方式运行。

本申请实施例提供的一种应用隔离系统，组件的标识可以包括组件的标签。

本申请还提供了一种应用隔离设备及计算机可读存储介质，其均具有本申请实施例提供的一种应用隔离方法具有的对应效果。请参阅图3，图3为本申请实施例提供的一种应用隔离设备的结构示意图。

本申请实施例提供的一种应用隔离设备，包括存储器201和处理器202，存储器201中存储有计算机程序，处理器202执行计算机程序时实现如下步骤：

确定出Kubernetes中待隔离的目标应用；

获取目标应用中各个组件的隔离策略；

创建与目标应用对应的初始网络安全策略；

基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略；

将目标网络安全策略转换为与Kubernetes匹配的Iptables规则；

基于Iptables规则对目标应用进行隔离。

本申请实施例提供的一种应用隔离设备，包括存储器201和处理器202，存储器201中存储有计算机程序，处理器202执行计算机程序时实现如下步骤：创建初始网络安全策略；将初始网络安全策略的pod选择器字段设置为匹配表达式的形式；将初始网络安全策略的operator值设为条件运算符In；将初始网络安全策略的匹配标签设置为目标应用中所有组件的标识的集合。

本申请实施例提供的一种应用隔离设备，包括存储器201和处理器202，存储器201中存储有计算机程序，处理器202执行计算机程序时实现如下步骤：基于隔离策略中的被访问策略修改入栈规则；基于隔离策略中的主动访问策略修改出栈规则；将匹配标签的值设置为隔离策略中被隔离的组件的标识；其中，被访问策略表征其他组件访问目标应用的组件的策略；主动访问策略表征目标应用的组件访问其他组件的策略。

本申请实施例提供的一种应用隔离设备，包括存储器201和处理器202，存储器201中存储有计算机程序，处理器202执行计算机程序时实现如下步骤：确定出与被访问策略对应的第一组件；将入栈规则中第一组件对应的端口号修改为被访问策略中的对应端口号；将入栈规则中第一组件对应的网络数据交换规则修改为被访问策略中的对应网络数据交换规则；将入栈规则中第一组件对应的pod选择器字段修改为matchlabel，将matchlabel的值设置为被访问策略中对应的其他组件的标识。

本申请实施例提供的一种应用隔离设备，包括存储器201和处理器202，存储器201中存储有计算机程序，处理器202执行计算机程序时实现如下步骤：确定出与主动访问策略对应的第二组件；将出栈规则中第二组件对应的端口号修改为主动访问策略中的对应端口号；将出栈规则中第二组件对应的网络数据交换规则修改为主动访问策略中的对应网络数据交换规则；将出栈规则中第二组件对应的pod选择器字段修改为matchlabel，将matchlabel的值设置为主动访问策略中对应的其他组件的标识。

本申请实施例提供的一种应用隔离设备，包括存储器201和处理器202，存储器201中存储有计算机程序，处理器202执行计算机程序时实现如下步骤：确定出Kubernetes中待隔离的目标应用之前，在Kubernetes中部署calico网络插件；将calico网络插件中的calico node设置为以demonest方式运行；将calico网络插件中的calicocontroller设置为以无状态负载方式运行。

本申请实施例提供的一种应用隔离设备，包括存储器201和处理器202，存储器201中存储有计算机程序，处理器202执行计算机程序时实现如下步骤：组件的标识包括组件的标签。

请参阅图4，本申请实施例提供的另一种应用隔离设备中还可以包括：与处理器202连接的输入端口203，用于传输外界输入的命令至处理器202；与处理器202连接的显示单元204，用于显示处理器202的处理结果至外界；与处理器202连接的通信模块205，用于实现应用隔离设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等；通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接：无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。

本申请实施例提供的一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，计算机程序被处理器执行时实现如下步骤：

确定出Kubernetes中待隔离的目标应用；

获取目标应用中各个组件的隔离策略；

创建与目标应用对应的初始网络安全策略；

将目标网络安全策略转换为与Kubernetes匹配的Iptables规则；

基于Iptables规则对目标应用进行隔离。

本申请实施例提供的一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，计算机程序被处理器执行时实现如下步骤：创建初始网络安全策略；将初始网络安全策略的pod选择器字段设置为匹配表达式的形式；将初始网络安全策略的operator值设为条件运算符In；将初始网络安全策略的匹配标签设置为目标应用中所有组件的标识的集合。

本申请实施例提供的一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，计算机程序被处理器执行时实现如下步骤：基于隔离策略中的被访问策略修改入栈规则；基于隔离策略中的主动访问策略修改出栈规则；将匹配标签的值设置为隔离策略中被隔离的组件的标识；其中，被访问策略表征其他组件访问目标应用的组件的策略；主动访问策略表征目标应用的组件访问其他组件的策略。

本申请实施例提供的一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，计算机程序被处理器执行时实现如下步骤：确定出与被访问策略对应的第一组件；将入栈规则中第一组件对应的端口号修改为被访问策略中的对应端口号；将入栈规则中第一组件对应的网络数据交换规则修改为被访问策略中的对应网络数据交换规则；将入栈规则中第一组件对应的pod选择器字段修改为matchlabel，将matchlabel的值设置为被访问策略中对应的其他组件的标识。

本申请实施例提供的一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，计算机程序被处理器执行时实现如下步骤：确定出与主动访问策略对应的第二组件；将出栈规则中第二组件对应的端口号修改为主动访问策略中的对应端口号；将出栈规则中第二组件对应的网络数据交换规则修改为主动访问策略中的对应网络数据交换规则；将出栈规则中第二组件对应的pod选择器字段修改为matchlabel，将matchlabel的值设置为主动访问策略中对应的其他组件的标识。

本申请实施例提供的一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，计算机程序被处理器执行时实现如下步骤：确定出Kubernetes中待隔离的目标应用之前，在Kubernetes中部署calico网络插件；将calico网络插件中的calico node设置为以demonest方式运行；将calico网络插件中的calicocontroller设置为以无状态负载方式运行。

本申请实施例提供的一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，计算机程序被处理器执行时实现如下步骤：组件的标识包括组件的标签。

本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。

本申请实施例提供的应用隔离系统、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的应用隔离方法中对应部分的详细说明，在此不再赘述。另外，本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明，以免过多赘述。

还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

一种应用隔离方法，其特征在于，包括：

确定出Kubernetes中待隔离的目标应用；

获取所述目标应用中各个组件的隔离策略；

创建与所述目标应用对应的初始网络安全策略；

基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略；

将所述目标网络安全策略转换为与所述Kubernetes匹配的Iptables规则；

基于所述Iptables规则对所述目标应用进行隔离。
根据权利要求1所述的方法，其特征在于，所述创建与所述目标应用对应的初始网络安全策略，包括：

创建所述初始网络安全策略；

将所述初始网络安全策略的pod选择器字段设置为匹配表达式的形式；

将所述初始网络安全策略的operator值设为条件运算符In；

将所述初始网络安全策略的所述匹配标签设置为所述目标应用中所有组件的标识的集合。
根据权利要求2所述的方法，其特征在于，所述基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签，包括：

基于所述隔离策略中的被访问策略修改所述入栈规则；

基于所述隔离策略中的主动访问策略修改所述出栈规则；

将所述匹配标签的值设置为所述隔离策略中被隔离的组件的标识；

其中，所述被访问策略表征其他组件访问所述目标应用的组件的策略；所述主动访问策略表征所述目标应用的组件访问其他组件的策略。
根据权利要求3所述的方法，其特征在于，所述基于所述隔离策略中的被访问策略修改所述入栈规则，包括：

确定出与所述被访问策略对应的第一组件；

将所述入栈规则中所述第一组件对应的端口号修改为所述被访问策略中的对应端口号；

将所述入栈规则中所述第一组件对应的网络数据交换规则修改为所述被访问策略中的对应网络数据交换规则；

将所述入栈规则中所述第一组件对应的pod选择器字段修改为matchlabel，将所述matchlabel的值设置为所述被访问策略中对应的其他组件的标识。
根据权利要求4所述的方法，其特征在于，所述基于所述隔离策略中的主动访问策略修改所述出栈规则，包括：

确定出与所述主动访问策略对应的第二组件；

将所述出栈规则中所述第二组件对应的端口号修改为所述主动访问策略中的对应端口号；

将所述出栈规则中所述第二组件对应的网络数据交换规则修改为所述主动访问策略中的对应网络数据交换规则；

将所述出栈规则中所述第二组件对应的pod选择器字段修改为matchlabel，将所述matchlabel的值设置为所述主动访问策略中对应的其他组件的标识。
根据权利要求1至5任一项所述的方法，其特征在于，所述确定出Kubernetes中待隔离的目标应用之前，还包括：

在所述Kubernetes中部署calico网络插件；

将所述calico网络插件中的calico node设置为以demonest方式运行；

将所述calico网络插件中的calicocontroller设置为以无状态负载方式运行。
根据权利要求6所述的方法，其特征在于，所述组件的标识包括所述组件的标签。
一种应用隔离系统，其特征在于，包括：

第一确定模块，用于确定出Kubernetes中待隔离的目标应用；

第一获取模块，用于获取所述目标应用中各个组件的隔离策略；

第一创建模块，用于创建与所述目标应用对应的初始网络安全策略；

第一修改模块，用于基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略；

第一转换模块，用于将所述目标网络安全策略转换为与所述Kubernetes匹配的Iptables规则；

第一隔离模块，用于基于所述Iptables规则对所述目标应用进行隔离。
一种应用隔离设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述应用隔离方法的步骤。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述应用隔离方法的步骤。