The invention relates to the field of cloud security technology, and provides a cluster security management method, device and computer-readable storage medium based on kubernetes and network domain. The method includes: determining the configuration information required by kubernetes cluster, opening corresponding container services according to the configuration information, creating a service cluster associated with the network domain according to the configuration information, and The configuration information deploys the corresponding application container, wherein, when executing the step \creating the business cluster associated with the network domain according to the configuration information\, the steps include: creating a security group and creating a namespace namespace resource object; communicating between the network domains within the business cluster through the security group; and the namespace resource object is used to deploy in the network domain Application isolation for. The invention solves the technical problems of mutual isolation and mutual access between different network domains, facilitates service management and enhances network security.
【技术实现步骤摘要】
基于Kubernetes和网络域的集群安全管理方法、装置及存储介质
本专利技术涉及云安全
,尤其涉及一种基于Kubernetes和网络域的集群安全管理方法、装置及计算机可读存储介质。
技术介绍
Kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用,也是一个容器编排引擎。Kubernetes支持自动化部署、大规模可伸缩、应用容器化管理。在生产环境中部署一个应用程序时,通常要部署该应用的多个实例以便对应用请求进行负载均衡。在Kubernetes中,可以创建多个容器,每个容器里面运行一个应用实例,然后通过内置的负载均衡策略,实现对这一组应用实例的管理、发现、访问,而这些细节都不需要运维人员去进行复杂的手工配置和处理。目前金融领域的应用平台在搭建过程中,存在着诸多网络风险、网络脆弱性和不稳定因素等问题,不可避免的产生了一些安全隐患和问题,从而导致信息泄漏、非法入侵、平台崩溃、病毒传播等网络安全问题。目前网络安全的问题依然采取人工管理的方式来进行解决,已经无法适应当前状况,对于当前的网络安全问题,很多金融公司一直使用虚拟化的云平台运行应用程序,即虚拟机,虽然实现了资源的隔离与控制,但使用成本较高。
技术实现思路
本专利技术提供一种基于Kubernetes和网络域的集群安全管理方法、装置及计算机可读存储介质,其主要目的旨在解决如何方便实现不同网络域之间相互隔离、相互访问的技术问题。为实现上述目的,本专利技术提供一种基于Kubernetes和网络域的集群安全管 ...
【技术保护点】
1.一种基于Kubernetes和网络域的集群安全管理方法,其特征在于,所述基于Kubernetes和网络域的集群安全管理方法包括如下步骤:/n确定Kubernetes集群所需的配置信息;其中,所述Kubernetes集群包括业务集群和控制集群;/n根据所述配置信息开通相应的容器服务,该步骤包括:在指定的虚拟私有云VPC中创建控制集群;其中,所述控制集群用于部署和管理所述业务集群内的每个应用程序;/n根据所述配置信息创建与网络域相关联的业务集群,该步骤包括:创建安全组,所述业务集群内的网络域之间通过所述安全组进行通信;/n根据所述配置信息部署相应的应用容器;/n其中,执行所述根据所述配置信息创建与网络域相关联的业务集群的步骤时,还包括:创建命名空间namespace资源对象,所述命名空间namespace资源对象用于将部署在所述网络域内的应用程序隔离。/n
【技术特征摘要】 【专利技术属性】
1.一种基于Kubernetes和网络域的集群安全管理方法,其特征在于,所述基于Kubernetes和网络域的集群安全管理方法包括如下步骤:
确定Kubernetes集群所需的配置信息;其中,所述Kubernetes集群包括业务集群和控制集群;
根据所述配置信息开通相应的容器服务,该步骤包括:在指定的虚拟私有云VPC中创建控制集群;其中,所述控制集群用于部署和管理所述业务集群内的每个应用程序;
根据所述配置信息创建与网络域相关联的业务集群,该步骤包括:创建安全组,所述业务集群内的网络域之间通过所述安全组进行通信;
根据所述配置信息部署相应的应用容器;
其中,执行所述根据所述配置信息创建与网络域相关联的业务集群的步骤时,还包括:创建命名空间namespace资源对象,所述命名空间namespace资源对象用于将部署在所述网络域内的应用程序隔离。
2.如权利要求1所述的基于Kubernetes和网络域的集群安全管理方法,其特征在于,所述业务集群包括SF网络域与DMZ网络域,所述SF网络域与所述DMZ网络域之间通过所述安全组进行通信。
3.如权利要求2所述的基于Kubernetes和网络域的集群安全管理方法,其特征在于,所述SF网络域包括至少一组服务组件,每组SF网络域的服务组件包括kube-proxy、flannel、docker、及应用容器。
4.如权利要求2所述的基于Kubernetes和网络域的集群安全管理方法,其特征在于,所述DMZ网络域包括kube-proxy、flannel、docker、及应用容器。
5.如权利要求1或2所述的基于Kubernetes和网络域的集群安全管理方法,其特征在于,所述创建业务集群的步骤包括:
指定业务集群所包含的节点数、业务名称和特定VPC的网络域;
调用云主机创建接口;
创建云主机;
将云主机添加到业务集群中作为业务容器运行的节点。
技术研发人员:琚汝强,
申请(专利权)人:平安科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。