集群系统的安全管控方法、装置、设备及存储介质制造方法及图纸

本发明专利技术提供了一种集群系统的安全管控方法、装置、电子设备及存储介质；所述集群系统包括用于支撑网络应用的至少两个子集群，方法包括：所述至少两个子集群中的每个子集群内的每个节点，获取所述节点所属的子集群的节点列表；根据所述节点的安全策略和所述节点列表生成所述子集群的防火墙规则；应用所述防火墙规则，以构建所述节点所属的子集群与外部的子集群之间的防火墙，并开放所述节点与所述节点列表中节点之间的互通权限，通过本发明专利技术，能够实现集群系统内部的子集群的细粒度隔离，以及实现安全策略的自动化管理。

【技术实现步骤摘要】
集群系统的安全管控方法、装置、设备及存储介质
本专利技术涉及网络安全技术，尤其涉及一种集群系统的安全管控方法、装置、电子设备及存储介质。
技术介绍
随着现代信息技术的不断发展，数据计算加工和存储的规模也越来越大，对于网络安全管理能力的要求也越来越高，传统的单体型应用部署模式在满足生产需求时已经越来越显得捉襟见肘，并逐步涌现出各式新兴技术所构建的分布式集群架构，一套完整的服务往往由不同功能的服务端应用组成不同的集群，集群与集群之间通过网络进行数据交互，同时需要通过精心设计的防火墙规则加上硬件来解决集群网络安全问题，而在实际生产活动中，随着集群类型的不断增多，规模的不断扩大，网络安全管理变得越来越复杂和困难。相关技术中对于防火墙的解决方案主要致力于解决如何构建防火墙规则集，以及通过引入外部网络管理设备、增加网关层等控制设备的方式解决防火墙规则集统一存储和下发等问题，通常要求使用者具备较丰富的防火墙专业知识以及特定网络硬件产品的使用技能，才能在业务集群之外部署统一的管控设备或增加其他硬件设备，通过精心设计的防火墙规则加上硬件来解决集群网络安全问题。<本文档来自技高网...

【技术保护点】
1.一种集群系统的安全管控方法，其特征在于，/n所述集群系统包括用于支撑网络应用的至少两个子集群；/n所述安全管控方法包括：/n所述至少两个子集群中的每个子集群内的每个节点，获取所述节点所属的子集群的节点列表；/n根据所述节点的安全策略和所述节点列表生成所述子集群的防火墙规则；/n应用所述防火墙规则，以构建所述节点所属的子集群与外部的子集群之间的防火墙，并/n开放所述节点与所述节点列表中节点之间的互通权限。/n

【技术特征摘要】
1.一种集群系统的安全管控方法，其特征在于，
所述集群系统包括用于支撑网络应用的至少两个子集群；
所述安全管控方法包括：
所述至少两个子集群中的每个子集群内的每个节点，获取所述节点所属的子集群的节点列表；
根据所述节点的安全策略和所述节点列表生成所述子集群的防火墙规则；
应用所述防火墙规则，以构建所述节点所属的子集群与外部的子集群之间的防火墙，并
开放所述节点与所述节点列表中节点之间的互通权限。


2.根据权利要求1所述的方法，其特征在于，
所述至少两个子集群中的每个子集群内节点的类型包括管理节点和工作节点；
所述至少两个子集群中的每个子集群内的每个节点，获取所述节点所属的子集群的节点列表，包括：
所述至少两个子集群中的每个子集群内的每个工作节点向所属的子集群中的管理节点发送所述工作节点的信息，以使所述管理节点根据所辖的子集群中的每个工作节点的信息生成节点列表；
所述至少两个子集群中的每个子集群内的每个的工作节点向所属的子集群中的管理节点发送节点列表请求，并接收所述管理节点返回的所述工作节点所属的子集群的节点列表。


3.根据权利要求1所述的方法，其特征在于，
所述根据所述节点的安全策略和所述节点列表生成所述子集群的防火墙规则，包括：
所述至少两个子集群中的每个子集群内的每个工作节点从所属的子集群的节点列表中获取其他工作节点的地址和端口，以生成允许所述其他工作节点通过所述地址和端口与所述工作节点进行通信的所述子集群的防火墙规则；
其中，所述其他工作节点是所述节点所属的子集群中除所述工作节点之外的任意工作节点；
所述至少两个子集群中的每个子集群内的每个工作节点从所述安全策略中获取所述子集群向外部的子集群开放的协议和端口，以生成允许所述外部的子集群通过所述协议和端口与所述工作节点通信的所述子集群的防火墙规则。


4.根据权利要求1所述的方法，其特征在于，在根据所述节点的安全策略和所述节点列表生成所述子集群的防火墙规则之前，所述安全管控方法还包括：
所述至少两个子集群中的每个子集群内的每个工作节点确定当前防火墙规则的哈希值，并与所述工作节点最近一次预存的哈希值比对；
当比对一致时确定所述工作节点的当前防火墙规则校验通过，确定将根据所述工作节点的安全策略和所述节点列表生成所述子集群的防火墙规则，以应用所生成的防火墙规则。


5.根据权利要求1所述的方法，其特征在于，
在所述至少两个子集群中的每个子集群内的每个节点，获取所述节点所属的子集群的节点列表之前，所述安全管控方法还包括：
所述至少两个子集群中的每个子集群的每个管理节点向所辖的子集群的其他管理节点发送所辖的子集群的节点变更信息，以使所辖的子集群的其他管理节点同步所存储的节点列表，并
接收所辖的子集群的其他管理节点发送的节点变更信息，以同步所存储的节点列表；
其中，所述节点变更信息包括节点加入信息以及节点退出信息。


6.根据权利要求1所述的方法，其特征在于，
所述至少两个子集群中的每个子集群内节点的类型包括管理节点和工作节点；
在所述至少两个子集群中的每个子集群内的每个节点，获取所述节点所属的子集群的节点列表之前，所述安全管控方法还包括：
所述至少两个子集群中的每个子集群的每个管理节点针对请求加入的新工作节点进行以下初始化处理：
对所述新工作节点进行基于账号信息与密码信息的认证；
当认证通过时，将所述新工作节点加入到所述管理节点所辖的子集群中。


7.根据权利要求1所述的方法，其特征在于，
所述至少两个子集群中的每个子集群内的节点的类型包括管理节点和工作节点；
所述安全管控方法还包括：
所述至少两个子集群中的每个子集群内的每个工作节点发送节点循环检测请求至所属的子集群的管理节点，以获取所述工作节点所属的子集群的节点变更信息；
其中，所述节点变更信息包括以下至少之一：加入所述子集群的新工作节点的信息；退出所述子集群的工作节点的信息；
基于所述节点变更信息更新...

【专利技术属性】
技术研发人员：高永伟，
申请(专利权)人：腾讯云计算北京有限责任公司，
类型：发明
国别省市：北京;11