一种用于k8s环境的docker白名单执行控制方法技术

本发明专利技术公开了一种用于k8s环境的docker白名单执行控制方法，包括以下步骤：监控k8s系统上docker容器在集群之间的迁移事件，确定迁移前后的主机ID，获取白名单策略，并将白名单策略上传至管理中心；通过k8s系统将迁移前主机ID对应的docker容器进行转移，并将白名单策略发送至迁移后的主机；判断目标docker容器执行程序是否在白名单中，若是，则允许其运行，否则对其进行拦截，生成审计并上传至管理中心。本发明专利技术使docker内部程序执行控制策略可以随着docker容器在K8S服务器集群内部迁移而生效，无需用户再次部署相同的安全策略，提高了用户工作效率，减少策略配置时间。

【技术实现步骤摘要】
一种用于k8s环境的docker白名单执行控制方法
本专利技术属于docker
，具体涉及一种用于k8s环境的docker白名单执行控制方法。
技术介绍
在当前云平台技术迅速发展的环境下,服务器的负载、维护、能耗等问题严重影响了云平台资源的管理效率。Docker的出现提高云平台资源的管理效率，加快了应用的开发、部署和维护。而K8S集成加速了docker的部署；但是，现有的docker安全策略，如白名单防护策略是针对docker的，是静态策略，只能应用于具体客户端的docker不能够迁移；而当用户们部署了K8S之后，K8S会根据负载、容错等机制对docker进行迁移；docker变成了可迁移的之后，对应于这个docker的安全策略还留在原来的计算机终端上，无法进行有效迁移。从而迁移之后的docker失去了白名单防护等安全策略的保护。
技术实现思路
针对现有技术中的上述不足，本专利技术提供的一种用于k8s环境的docker白名单执行控制方法解决了现有技术中docker容器迁移时无法对白名单进行转移的问题。为了达到上述专利技术目的，本专利技术采用的技术方案为：一种用于k8s环境的docker白名单执行控制方法，包括以下步骤：S1、监控k8s系统上docker容器在集群之间的迁移事件，确定迁移前后的主机ID和docker容器ID；S2、根据迁移前的主机ID和docker容器ID，获取白名单策略和docker容器列表，并将白名单策略和docker容器列表上传至管理中心；S3、根据迁移后的主机ID和docker容器列表，通过k8s系统将迁移前主机ID对应的docker容器进行转移，并通过管理中心将迁移docker容器对应的白名单策略发送至迁移后的主机；S4、通过迁移后主机的控制引擎执行白名单策略，并判断目标docker容器中执行的程序是否在白名单策略中，若是，则允许程序运行，否则对其进行拦截，生成审计信息，并将审计信息上传至管理中心。进一步地，所述步骤S2包括以下分步骤：S2.1、根据迁移前的主机ID，通过迁移前主机ID对应的服务器的客户端扫描其已有的docker镜像，得到docker镜像ID；S2.2、扫描docker镜像中可执行文件，生成包括docker镜像ID的白名单策略；S2.3、根据docker容器ID，获取docker容器列表，并将白名单策略和docker容器列表上传至管理中心进一步地，所述步骤S3包括以下分步骤：S3.1、根据docker容器列表，通过k8s系统将迁移前主机ID对应的docker容器转移至迁移后主机ID对应的主机；S3.2、通过管理中心将迁移docker容器对应的白名单策略发送至迁移后主机中客户端的docker安全策略数据库中，并通过客户端将白名单策略发送至迁移后主机的内核层。进一步地，所述步骤S4包括以下分步骤：S4.1、通过迁移后主机内核层的控制引擎接收白名单策略，并通过控制引擎监控目标docker容器中的程序运行；S4.2、判断目标docker容器中是否存在程序运行，若是，则进入步骤S4.3，否则继续执行步骤S4.2；S4.3、通过控制引擎获取目标docker容器的ID及其对应的镜像ID，根据目标docker容器的ID和镜像ID判断其执行程序是否在白名单策略中，若是，则允许目标docker容器中程序运行，并返回步骤S4.2，否则将其拦截，并进入步骤S4.4；S4.4、将拦截结果生成审计信息，并将审计信息上传至管理中心。本专利技术的有益效果为：(1)本专利技术使用内核级执行程序控制，安全可靠，策略执行效率高，生效时间短。(2)本专利技术支持多种服务器程序和docker内部程序，docker内部程序安全策略可以随着docker容器在K8S服务器集群内部迁移而生效，无需用户再次部署相同的安全策略，极大地提高了用户工作效率，减少策略配置时间。附图说明图1为本专利技术提出的一种用于k8s环境的docker白名单执行控制方法流程图。图2为本专利技术中步骤S4的分步骤流程图。图3为本专利技术使用的系统框架图。具体实施方式下面对本专利技术的具体实施方式进行描述，以便于本
的技术人员理解本专利技术，但应该清楚，本专利技术不限于具体实施方式的范围，对本
的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本专利技术的精神和范围内，这些变化是显而易见的，一切利用本专利技术构思的专利技术创造均在保护之列。下面结合附图详细说明本专利技术的实施例。如图1所示，一种用于k8s环境的docker白名单执行控制方法，包括以下步骤：S1、监控k8s系统上docker容器在集群之间的迁移事件，确定迁移前后的主机ID和docker容器ID；S2、根据迁移前的主机ID和docker容器ID，获取白名单策略和docker容器列表，并将白名单策略和docker容器列表上传至管理中心；S3、根据迁移后的主机ID和docker容器列表，通过k8s系统将迁移前主机ID对应的docker容器进行转移，并通过管理中心将迁移docker容器对应的白名单策略发送至迁移后的主机；S4、通过迁移后主机的控制引擎执行白名单策略，并判断目标docker容器中执行的程序是否在白名单策略中，若是，则允许程序运行，否则对其进行拦截，生成审计信息，并将审计信息上传至管理中心。所述步骤S2包括以下分步骤：S2.1、根据迁移前的主机ID，通过迁移前主机ID对应的服务器的客户端扫描其已有的docker镜像，得到docker镜像ID；S2.2、扫描docker镜像中可执行文件，生成包括docker镜像ID的白名单策略；S2.3、根据docker容器ID，获取docker容器列表，并将白名单策略和docker容器列表上传至管理中心所述步骤S3包括以下分步骤：S3.1、根据docker容器列表，通过k8s系统将迁移前主机ID对应的docker容器转移至迁移后主机ID对应的主机；S3.2、通过管理中心将迁移docker容器对应的白名单策略发送至迁移后主机中客户端的docker安全策略数据库中，并通过客户端将白名单策略发送至迁移后主机的内核层。如图2所示，所述步骤S4包括以下分步骤：S4.1、通过迁移后主机内核层的控制引擎接收白名单策略，并通过控制引擎监控目标docker容器中的程序运行；S4.2、判断目标docker容器中是否存在程序运行，若是，则进入步骤S4.3，否则继续执行步骤S4.2；S4.3、通过控制引擎获取目标docker容器的ID及其对应的镜像ID，根据目标docker容器的ID和镜像ID判断其执行程序是否在白名单策略中，若是，则允许目标docker容器中程序运行，并返回步骤S4.2，否则将其拦截，并进入步骤S4.4；S4.4、将拦截结果生成审计信息，并将审计信本文档来自技高网...

【技术保护点】
1.一种用于k8s环境的docker白名单执行控制方法，其特征在于，包括以下步骤：/nS1、监控k8s系统上docker容器在集群之间的迁移事件，确定迁移前后的主机ID和docker容器ID；/nS2、根据迁移前的主机ID和docker容器ID，获取白名单策略和docker容器列表，并将白名单策略和docker容器列表上传至管理中心；/nS3、根据迁移后的主机ID和docker容器列表，通过k8s系统将迁移前主机ID对应的docker容器进行转移，并通过管理中心将迁移docker容器对应的白名单策略发送至迁移后的主机；/nS4、通过迁移后主机的控制引擎执行白名单策略，并判断目标docker容器中执行的程序是否在白名单策略中，若是，则允许程序运行，否则对其进行拦截，生成审计信息，并将审计信息上传至管理中心。/n

【技术特征摘要】
1.一种用于k8s环境的docker白名单执行控制方法，其特征在于，包括以下步骤：
S1、监控k8s系统上docker容器在集群之间的迁移事件，确定迁移前后的主机ID和docker容器ID；
S2、根据迁移前的主机ID和docker容器ID，获取白名单策略和docker容器列表，并将白名单策略和docker容器列表上传至管理中心；
S3、根据迁移后的主机ID和docker容器列表，通过k8s系统将迁移前主机ID对应的docker容器进行转移，并通过管理中心将迁移docker容器对应的白名单策略发送至迁移后的主机；
S4、通过迁移后主机的控制引擎执行白名单策略，并判断目标docker容器中执行的程序是否在白名单策略中，若是，则允许程序运行，否则对其进行拦截，生成审计信息，并将审计信息上传至管理中心。


2.根据权利要求1所述的用于k8s环境的docker白名单执行控制方法，其特征在于，所述步骤S2包括以下分步骤：
S2.1、根据迁移前的主机ID，通过迁移前主机ID对应的服务器的客户端扫描其已有的docker镜像，得到docker镜像ID；
S2.2、扫描docker镜像中可执行文件，生成包括docker镜像ID的白名单策略；
S2.3、根据docker容器ID，获取docker容器列表，并将白...

【专利技术属性】
技术研发人员：王晓娜，刘凯，刘秀玲，
申请(专利权)人：北京中软华泰信息技术有限责任公司，
类型：发明
国别省市：北京;11