基于Kubernetes和网络域的集群安全管理方法、装置及存储介质制造方法及图纸

本发明专利技术涉及云安全技术领域，提供了一种基于Kubernetes和网络域的集群安全管理方法、装置及计算机可读存储介质，该方法包括：确定Kubernetes集群所需的配置信息，根据所述配置信息开通相应的容器服务，根据所述配置信息创建与网络域相关联的业务集群，及根据所述配置信息部署相应的应用容器；其中，执行所述步骤“根据所述配置信息创建与网络域相关联的业务集群”时，包括：创建安全组和创建命名空间namespace资源对象；业务集群内的网络域之间通过安全组进行通信；所述namespace资源对象用于将部署在所述网络域内的应用程序隔离。本发明专利技术解决了不同网络域之间相互隔离、相互访问的技术问题，方便业务管理及增强了网络安全。

Cluster security management method, device and storage medium based on kubernetes and network domain

The invention relates to the field of cloud security technology, and provides a cluster security management method, device and computer-readable storage medium based on kubernetes and network domain. The method includes: determining the configuration information required by kubernetes cluster, opening corresponding container services according to the configuration information, creating a service cluster associated with the network domain according to the configuration information, and The configuration information deploys the corresponding application container, wherein, when executing the step \creating the business cluster associated with the network domain according to the configuration information\, the steps include: creating a security group and creating a namespace namespace resource object; communicating between the network domains within the business cluster through the security group; and the namespace resource object is used to deploy in the network domain Application isolation for. The invention solves the technical problems of mutual isolation and mutual access between different network domains, facilitates service management and enhances network security.

【技术实现步骤摘要】
基于Kubernetes和网络域的集群安全管理方法、装置及存储介质
本专利技术涉及云安全
，尤其涉及一种基于Kubernetes和网络域的集群安全管理方法、装置及计算机可读存储介质。
技术介绍
Kubernetes是一个开源的，用于管理云平台中多个主机上的容器化的应用，也是一个容器编排引擎。Kubernetes支持自动化部署、大规模可伸缩、应用容器化管理。在生产环境中部署一个应用程序时，通常要部署该应用的多个实例以便对应用请求进行负载均衡。在Kubernetes中，可以创建多个容器，每个容器里面运行一个应用实例，然后通过内置的负载均衡策略，实现对这一组应用实例的管理、发现、访问，而这些细节都不需要运维人员去进行复杂的手工配置和处理。目前金融领域的应用平台在搭建过程中，存在着诸多网络风险、网络脆弱性和不稳定因素等问题,不可避免的产生了一些安全隐患和问题,从而导致信息泄漏、非法入侵、平台崩溃、病毒传播等网络安全问题。目前网络安全的问题依然采取人工管理的方式来进行解决，已经无法适应当前状况，对于当前的网络安全问题，很多金融公司一直使用虚拟化的云平台运行应用程序，即虚拟机，虽然实现了资源的隔离与控制，但使用成本较高。
技术实现思路
本专利技术提供一种基于Kubernetes和网络域的集群安全管理方法、装置及计算机可读存储介质，其主要目的旨在解决如何方便实现不同网络域之间相互隔离、相互访问的技术问题。为实现上述目的，本专利技术提供一种基于Kubernetes和网络域的集群安全管理方法，该方法包括如下步骤：确定Kubernetes集群所需的配置信息；根据所述配置信息开通相应的容器服务，该步骤包括：在指定的私有云VPC中创建控制集群；根据所述配置信息创建与网络域相关联的业务集群，该步骤包括：创建安全组，所述业务集群内的网络域之间通过所述安全组进行通信；根据所述配置信息部署相应的应用容器；其中，执行所述根据所述配置信息创建与网络域相关联的业务集群的步骤时，还包括：创建namespace(命名空间)资源对象，所述namespace资源对象用于将部署在所述网络域内的应用程序隔离。可选地，所述业务集群包括SF网络域与DMZ网络域，所述SF网络域与所述DMZ网络域之间通过所述安全组进行通信。可选地，所述SF网络域包括至少一组服务组件，每组SF网络域的服务组件包括kube-proxy、flannel、docker、及应用容器。可选地，所述DMZ网络域包括kube-proxy、flannel、docker、及应用容器。可选地，所述创建业务集群的步骤包括：指定业务集群所包含的节点数、业务名称和特定VPC的网络域；调用云主机创建接口；创建云主机；将云主机添加到业务集群中，作为业务容器运行的节点。可选地，在所述将云主机添加到业务集群中作为业务容器运行的节点的步骤之后，所述创建业务集群的步骤还包括：给所有节点配置指定的业务标签、网络域标签。可选地，所述确定Kubernetes集群所需的配置信息的步骤包括：确定需要根据所述配置信息开通相应的容器服务的虚拟私有云VPC；确定Kubernetes集群是否为高可用；及确定Kubernetes版本。可选地，所述在指定的私有云VPC中创建控制集群的步骤包括：监控步骤，创建控制集群时生成日志，以及警报步骤；所述监控步骤包括：采集云主机性能指标；及根据采集到的云主机性能指标做界面图形展示；所述控制集群包括至少一组Kubernetes服务组件，每组Kubernetes服务组件包括：kube-proxy、kube-dns、tiller、addons、flanne。为实现上述目的，本专利技术还提供一种基于Kubernetes和网络域的集群安全管理装置，所述装置包括存储器和处理器，所述存储器存储有可在所述处理器上运行的基于Kubernetes和网络域的集群安全管理程序，所述基于Kubernetes和网络域的集群安全管理程序被所述处理器执行时实现如上所述基于Kubernetes和网络域的集群安全管理方法的步骤。此外，为实现上述目的，本专利技术还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有基于Kubernetes和网络域的集群安全管理程序，所述基于Kubernetes和网络域的集群安全管理程序可被一个或者多个处理器执行，以实现如上所述基于Kubernetes和网络域的集群安全管理方法的步骤。本专利技术提出的基于Kubernetes和网络域的集群安全管理方法、装置及计算机可读存储介质，通过在配置集群所需的配置信息后根据所述配置信息开通相应的容器服务，根据所述配置信息创建与网络域相关联的业务集群、创建安全组、创建namespace资源对象，并根据所述配置信息部署相应的应用容器，业务集群内的网络域之间通过安全组进行通信和访问，namespace资源对象用于将部署在所述网络域内的应用程序隔离；本专利技术解决了不同网络域之间相互隔离、相互访问的技术问题，方便业务管理及增强了网络安全。附图说明图1为本专利技术一实施例提供的基于Kubernetes和网络域的集群安全管理方法的流程示意图；图2为图1中的步骤C的流程示意图；图3为本专利技术一实施例提供的基于Kubernetes和网络域的集群安全管理装置的内部结构示意图；图4为本专利技术一实施例提供的基于Kubernetes和网络域的集群安全管理装置中基于Kubernetes和网络域的集群安全管理程序的模块示意图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。本专利技术提供一种基于Kubernetes和网络域的集群安全管理方法。本实施例中，银行系统中包括配置管理系统和银行业务子系统，银行系统中有对应每一项目的项目路径。参照图1所示，为本专利技术一实施例提供的基于Kubernetes和网络域的集群安全管理方法的流程示意图。该方法可以由一个装置执行，该装置可以由软件和/或硬件实现。在本实施例中，所述基于Kubernetes和网络域的集群安全管理方法包括：步骤A：确定Kubernetes集群所需的配置信息。其中，所述Kubernetes集群包括业务集群和控制集群。所述业务集群用于为容器应用提供运行环境，所述控制集群用于部署和管理业务集群内的每个应用程序或者业务等，所述控制集群也称为业务管理集群。更进一步地，所述步骤A中所述“确定Kubernetes集群所需的配置信息”可以包括，但不限于包括：基础资源的配置信息、集群网络的配置信息、节点的配置项和Kubernetes应用的配置信息；其中，所述基础资源的配置信息包括：集群是否为高可用、可用区、云主机计费方式、集群区域、云主机镜像、密钥对、节点规格、外部网络；本文档来自技高网...

【技术保护点】
1.一种基于Kubernetes和网络域的集群安全管理方法，其特征在于，所述基于Kubernetes和网络域的集群安全管理方法包括如下步骤：/n确定Kubernetes集群所需的配置信息；其中，所述Kubernetes集群包括业务集群和控制集群；/n根据所述配置信息开通相应的容器服务，该步骤包括：在指定的虚拟私有云VPC中创建控制集群；其中，所述控制集群用于部署和管理所述业务集群内的每个应用程序；/n根据所述配置信息创建与网络域相关联的业务集群，该步骤包括：创建安全组，所述业务集群内的网络域之间通过所述安全组进行通信；/n根据所述配置信息部署相应的应用容器；/n其中，执行所述根据所述配置信息创建与网络域相关联的业务集群的步骤时，还包括：创建命名空间namespace资源对象，所述命名空间namespace资源对象用于将部署在所述网络域内的应用程序隔离。/n

【技术特征摘要】
1.一种基于Kubernetes和网络域的集群安全管理方法，其特征在于，所述基于Kubernetes和网络域的集群安全管理方法包括如下步骤：
确定Kubernetes集群所需的配置信息；其中，所述Kubernetes集群包括业务集群和控制集群；
根据所述配置信息开通相应的容器服务，该步骤包括：在指定的虚拟私有云VPC中创建控制集群；其中，所述控制集群用于部署和管理所述业务集群内的每个应用程序；
根据所述配置信息创建与网络域相关联的业务集群，该步骤包括：创建安全组，所述业务集群内的网络域之间通过所述安全组进行通信；
根据所述配置信息部署相应的应用容器；
其中，执行所述根据所述配置信息创建与网络域相关联的业务集群的步骤时，还包括：创建命名空间namespace资源对象，所述命名空间namespace资源对象用于将部署在所述网络域内的应用程序隔离。


2.如权利要求1所述的基于Kubernetes和网络域的集群安全管理方法，其特征在于，所述业务集群包括SF网络域与DMZ网络域，所述SF网络域与所述DMZ网络域之间通过所述安全组进行通信。


3.如权利要求2所述的基于Kubernetes和网络域的集群安全管理方法，其特征在于，所述SF网络域包括至少一组服务组件，每组SF网络域的服务组件包括kube-proxy、flannel、docker、及应用容器。


4.如权利要求2所述的基于Kubernetes和网络域的集群安全管理方法，其特征在于，所述DMZ网络域包括kube-proxy、flannel、docker、及应用容器。


5.如权利要求1或2所述的基于Kubernetes和网络域的集群安全管理方法，其特征在于，所述创建业务集群的步骤包括：
指定业务集群所包含的节点数、业务名称和特定VPC的网络域；
调用云主机创建接口；
创建云主机；
将云主机添加到业务集群中作为业务容器运行的节点。

【专利技术属性】
技术研发人员：琚汝强，
申请(专利权)人：平安科技深圳有限公司，
类型：发明
国别省市：广东;44