云管理平台中微服务应用的网络安全策略配置方法和系统技术方案

本发明专利技术公开云管理平台中微服务应用的网络安全策略配置方法和系统。其中，云管理平台中微服务应用的网络安全策略配置方法包括：实时监听云管理平台是否出现创建微服务应用的动作；当监听到云管理平台出现创建微服务应用的动作时，根据微服务应用是否存在入口组件，为微服务应用的组件创建网络通信规则；其中，网络通信规则仅允许通过入口组件向微服务应用的其他组件发起访问请求；根据网络通信规则，配置微服务应用的网络安全策略。本发明专利技术的技术方案能解决现有技术中难以减少各个微服务应用之间的干扰，更难以避免不同微服务应用之间业务的相互攻击的问题。

【技术实现步骤摘要】
云管理平台中微服务应用的网络安全策略配置方法和系统
本专利技术涉及云管理平台
，尤其涉及一种云管理平台中微服务应用的网络安全策略配置方法和系统。
技术介绍
云管理平台是一种基于容器编排引擎kubernetes服务编排技术的云计算平台，通过云管理平台，相关行业能够实现云计算服务的管理。在云计算时代，云数据中心以其集中式大规模的优点成为最常见的云管理平台实现方案。云数据中心能够根据用户的业务需求为用户提供微服务应用设置服务，通常用户为了使用方便也希望在云管理平台中为自己设置多个微服务应用。通常，用户希望自己设置的所有微服务应用之间均互不干扰且能够独立运行，至少希望实现微服务应用之间的隔离，减少不同微服务应用之间业务的互相攻击所带来的安全隐患。为了实现上述目的，现有技术提供了一种微服务管理技术，通过云管理平台中的插件管理组件监控各个微服务应用的数据，然后将相同业务的微服务应用放置在云管理平台的同一容器资源池中，采用上述kubernetes技术负责容器的编排和管理，为容器资源池中的各个微服务应用提供统一的容器管理接口，以与外部进行业务数据的联系。然而，上述微服务器管理技术，仅仅能够能够根据业务需要进行微服务应用的划分和数据流的控制，很难减少各个微服务应用之间的干扰，更难以避免不同微服务应用之间业务的相互攻击。
技术实现思路
本专利技术提供了云管理平台中微服务应用的网络安全策略配置方法和系统，旨在解决现有技术中难以减少各个微服务应用之间的干扰，难以避免不同微服务器应用之间业务的相互攻击的问题。为实现上述目的，根据本专利技术的第一方面，本专利技术提供了一种云管理平台中微服务应用的网络安全策略配置方法，包括：实时监听云管理平台是否出现创建微服务应用的动作；当监听到云管理平台出现创建微服务应用的动作时，根据微服务应用是否存在入口组件，为微服务应用的组件创建网络通信规则；其中，网络通信规则仅允许通过入口组件向微服务应用的其他组件发起访问请求；根据网络通信规则，配置微服务应用的网络安全策略。优选地，上述微服务应用的网络安全策略配置方法中，根据微服务应用是否存在入口组件，为微服务应用的组件创建网络通信规则的步骤包括：当微服务应用存在入口组件时，将微服务应用中除入口组件外的其他组件整合于同一网络孤岛，为入口组件开放连通网络孤岛的通信端口，其中，通信端口用于通过入口组件向网络孤岛流入数据；或者，当微服务应用不存在入口组件时，将微服务应用中所有组件整合于同一网络孤岛，禁止其他微服务应用或组件访问网络孤岛内的组件。优选地，上述微服务应用的网络安全策略配置方法中，在根据网络通信规则，配置微服务应用的网络安全策略的步骤之后，该方法还包括：监听微服务应用中各组件之间的数据流向；根据各组件之间的数据流向，分别规划微服务应用中每一组件的网络通信规则，其中，网络通信规则用于分别为每一组件划分网络孤岛和设置通信端口。优选地，上述微服务应用的网络安全策略配置方法，在根据各组件之间的数据流向，分别规划微服务应用中每一组件的网络通信规则的步骤之后还包括：判断规划的网络通信规则是否与当前网络通信规则相同；若判定规划的网络通信规则与当前网络通信规则不同，则推送策略修改请求，其中，策略修改请求用于请求策略修改指令；当接收到策略修改指令时，根据规划的网络通信规则修改微服务应用的网络安全策略。优选地，上述微服务应用的网络安全策略配置方法中，配置微服务应用的网络安全策略的步骤，包括：配置微服务应用中各组件所在的网络孤岛；以及，配置微服务应用中各组件启用或禁用的通信端口。根据本专利技术的第二方面，本专利技术还提供了一种微服务应用的网络安全策略配置系统，包括：监听模块，用于实时监听云管理平台是否出现创建微服务应用的动作；规则创建模块，用于当监听模块监听到云管理平台出现创建微服务应用的动作时，根据微服务应用是否存在入口组件，为微服务应用的组件创建网络通信规则；其中，网络通信规则仅允许通过入口组件向微服务应用的其他组件发起访问请求；安全策略配置模块，用于根据网络通信规则，配置微服务应用的网络安全策略。优选地，在上述微服务应用的网络安全策略配置系统中，规则创建模块包括：组件整合子模块，用于当微服务应用存在入口组件时，将微服务应用中除入口组件外的其他组件整合于同一网络孤岛；端口开放子模块，用于为入口组件开放连通网络孤岛的通信端口，其中，通信端口用于通过入口组件向网络孤岛流入数据；组件整合子模块，还用于当微服务应用不存在入口组件时，将微服务应用中所有组件整合于同一网络孤岛，禁止其他微服务应用或组件访问网络孤岛内的组件。优选地，上述微服务应用的网络安全策略配置系统中，监听模块，还用于监听微服务应用中各组件之间的数据流向；规则创建模块，还用于根据各组件之间的数据流向，分别规划微服务应用中每一组件的网络通信规则，其中，网络通信规则用于分别为每一组件划分网络孤岛和设置通信端口。优选地，上述微服务应用的网络安全策略配置系统，还包括：规则判断模块，用于判断规划的网络通信规则是否与当前网络通信规则相同；信息收发模块，用于当规则判断模块判定规划的网络通信规则与当前网络通信规则不同时，推送策略修改请求；安全策略配置模块，还用于当信息收发模块接收到策略修改指令时，根据规划的网络通信规则修改微服务应用的网络安全策略。优选地，上述微服务应用的网络安全策略配置系统中，安全策略配置模块包括：孤岛配置子模块，用于配置微服务应用中各组件所在的网络孤岛；以及，端口配置子模块，用于配置微服务应用中各组件启用或禁用的通信端口。本申请提供的云管理平台中微服务应用的网络安全策略配置方案，通过实时监听云管理平台算法出现创建微服务应用的动作，然后在监听到该动作时，根据微服务应用是否存在入口组件为微服务应用的组件创建网络通信规则，该网络通信规则仅允许通过入口组件向微服务应用的其他组件发起访问请求，这样通过该网络通信规则配置微服务应用的网络安全策略，能够使得微服务应用仅通过入口组件对外部开放，而微服务应用内部的组件与其它微服务应用相互隔离，这样就能够减少不同微服务应用之间的干扰，避免不同微服务应用之间业务的相互影响。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图示出的结构获得其他的附图。图1是本专利技术实施例提供的第一种云管理平台中微服务应用的网络安全策略配置方法的流程示意图；图2是图1所示实施例提供的一种网络通信规则创建方法的流程示意图；图3是图1所示实施例提供的一种网络安全策略配置方法的流程示意图；图4是本专利技术实施例提供的第二种云管理平台中微服务应用的网络安全策略配本文档来自技高网...

【技术保护点】
1.一种云管理平台中微服务应用的网络安全策略配置方法，其特征在于，包括：/n实时监听云管理平台是否出现创建微服务应用的动作；/n当监听到所述云管理平台出现创建微服务应用的动作时，根据所述微服务应用是否存在入口组件，为所述微服务应用的组件创建网络通信规则；其中，所述网络通信规则仅允许通过所述入口组件向微服务应用的其他组件发起访问请求；/n根据所述网络通信规则，配置所述微服务应用的网络安全策略。/n

【技术特征摘要】
1.一种云管理平台中微服务应用的网络安全策略配置方法，其特征在于，包括：
实时监听云管理平台是否出现创建微服务应用的动作；
当监听到所述云管理平台出现创建微服务应用的动作时，根据所述微服务应用是否存在入口组件，为所述微服务应用的组件创建网络通信规则；其中，所述网络通信规则仅允许通过所述入口组件向微服务应用的其他组件发起访问请求；
根据所述网络通信规则，配置所述微服务应用的网络安全策略。


2.根据权利要求1所述的微服务应用的网络安全策略配置方法，其特征在于，所述根据微服务应用是否存在入口组件，为微服务应用的组件创建网络通信规则的步骤，包括：
当所述微服务应用存在入口组件时，将所述微服务应用中除所述入口组件外的其他组件整合于同一网络孤岛，为所述入口组件开放连通所述网络孤岛的通信端口，其中，所述通信端口用于通过所述入口组件向所述网络孤岛流入数据；或者，
当所述微服务应用不存在入口组件时，将所述微服务应用中所有组件整合于同一网络孤岛，禁止其他微服务应用或组件访问所述网络孤岛内的组件。


3.根据权利要求1或2所述的微服务应用的网络安全策略配置方法，其特征在于，在所述根据网络通信规则，配置微服务应用的网络安全策略的步骤之后，所述方法还包括：
监听所述微服务应用中各组件之间的数据流向；
根据所述各组件之间的数据流向，分别规划所述微服务应用中每一组件的网络通信规则，其中，所述网络通信规则用于分别为每一组件划分网络孤岛和设置通信端口。


4.根据权利要求3所述的微服务应用的网络安全策略配置方法，其特征在于，在所述根据各组件之间的数据流向，分别规划所述微服务应用中每一组件的网络通信规则的步骤之后，所述方法还包括：
判断规划的网络通信规则是否与当前网络通信规则相同；
若判定所述规划的网络通信规则与当前网络通信规则不同，则推送策略修改请求，其中，所述策略修改请求用于请求策略修改指令；
当接收到所述策略修改指令时，根据所述规划的网络通信规则修改所述微服务应用的网络安全策略。


5.根据权利要求1所述的微服务应用的网络安全策略配置方法，其特征在于，配置微服务应用的网络安全策略的步骤，包括：
配置所述微服务应用中各组件所在的网络孤岛；以及，
配置所述微服务应用中各组件需要启用或禁用的通信端口。

【专利技术属性】
技术研发人员：蓝玉杰，刘正伟，
申请(专利权)人：苏州浪潮智能科技有限公司，
类型：发明
国别省市：江苏;32