Kubernetes集群的运维处理方法、装置及电子设备制造方法及图纸

本申请公开了一种Kubernetes集群的运维处理方法、装置及电子设备，以解决通过现有的依靠外部代理工具对Kubernetes集群进行监控方法存在的可靠性低、开发难度、升级难度高以及高度耦合等问题。所述方法包括：通过部署于所述Kubernetes集群的节点的Pod中的安全监控应用，获取所述节点中指定组件的运行相关参数；基于设定的异常分析策略对所述节点中指定组件的运行相关参数进行分析，以得到所述节点的异常分析结果；以与所述Kubernetes集群中节点的异常分析结果匹配的运维策略对所述Kubernetes集群进行运维处理。Kubernetes集群进行运维处理。Kubernetes集群进行运维处理。

【技术实现步骤摘要】
Kubernetes集群的运维处理方法、装置及电子设备


[0001]本申请涉及通信
，尤其涉及一种Kubernetes集群的运维处理方法、装置及电子设备。

技术介绍

[0002]Kubernetes集群是一种常用的管理跨宿主机容器集群的容器编排工具，其构建在Docker容器之上，租户可以在Kubernetes集群上创建和管理Docker容器，并为容器化的应用集群提供了大规模运行容器的编排系统和管理平台。由于Kubernetes集群容易遭受来自黑客和内部人员安全管控疏漏导致的恶意攻击、数据窃取、服务中断等诸多问题。因此，对Kubernetes集群进行监控极为重要。
[0003]目前对于Kubernetes集群的监控，主要借助外部Agent技术实现。然而，由于Kubernetes集群的安全保障机制限制，如果要在Kubernetes集群外部通过Agent代理工具对Kubernetes集群进行监控，就需要提前加载kubeconfig等认证文件，之后才能完成对Kubernetes集群中的API(Application Programming Interface，应用程序接口)服务器的访问，这样，就使得黑客很容易通过攻击代理工具来获取到kubeconfig认证文件，从而进行更具破坏性的行为；如果将代理工具集成在Kubernetes集群的原生代码中以避免加载认证文件，又会造成Kubernetes集群的开发难度大、升级难度高以及高度耦合等问题。

技术实现思路

[0004]本申请实施例的目的是提供一种Kubernetes集群的运维处理方法、装置及电子设备，以解决通过现有的依靠外部代理工具对Kubernetes集群进行监控方法存在的可靠性低、开发难度、升级难度高以及高度耦合等问题。
[0005]为了解决上述技术问题，本申请实施例采用下述技术方案：
[0006]第一方面，本申请实施例提供了一种Kubernetes集群的运维处理方法，所述Kubernetes集群包括多个节点，所述方法包括：
[0007]通过部署于所述节点的Pod中的安全监控应用，获取所述节点中指定组件的运行相关参数；
[0008]基于设定的异常分析策略对所述节点中指定组件的运行相关参数进行分析，以得到所述节点的异常分析结果；
[0009]以与所述Kubernetes集群中节点的异常分析结果匹配的运维策略对所述Kubernetes集群进行运维处理。
[0010]可选地，所述异常分析策略包括互联网安全中心CIS安全基准和评分基准，所述评分基准包括所述CIS安全基准中不同安全指标的检测结果与安全分值之间的对应关系；
[0011]基于设定的异常分析策略对所述节点中指定组件的运行相关参数进行分析，以得到所述节点的异常分析结果，包括：
[0012]基于所述CIS安全基准和所述节点中指定组件的运行相关参数，确定所述指定组
件的各项安全指标对应的检测结果；
[0013]基于所述指定组件的各项安全指标对应的检测结果和所述评分基准，确定所述指定组件的安全分值；
[0014]基于所述指定组件的安全分值确定所述节点的安全分值。
[0015]可选地，以与所述Kubernetes集群中节点的异常分析结果匹配的运维策略对所述Kubernetes集群进行运维处理，包括：
[0016]在所述节点的安全分值小于第一设定分值的情况下，获取所述节点中安全分值小于第二设定分值的指定组件，作为待优化的目标组件；
[0017]基于所述目标组件的各项安全指标的检测结果，确定与所述Kubernetes集群匹配的运维策略；
[0018]基于所述匹配的运维策略对所述Kubernetes集群进行运维处理。
[0019]可选地，在通过部署于所述节点的Pod中的安全监控应用，获取所述节点中指定组件的运行相关参数之前，所述方法还包括：
[0020]接收来自监控方的监控任务部署请求，所述监控任务部署请求中携带有待部署的安全监控应用的配置信息；
[0021]查询任务调配库中是否存在所述待部署的安全监控应用，所述任务调配库中记录有已部署的安全监控应用；
[0022]若所述任务调配库中不存在所述待部署的安全监控应用，则基于所述待部署的安全监控应用的配置信息在所述节点的Pod中创建所述待部署的安全监控应用。
[0023]可选地，所述监控任务部署请求中还携带允许访问所述Kubernetes集群的用户的身份信息及对应的访问权限信息；
[0024]在基于所述待部署的安全监控应用的配置信息在所述节点的Pod中创建所述待部署的安全监控应用之后，所述方法还包括：
[0025]基于所述用户的身份信息及对应的访问权限信息，在所述Kubernetes集群的应用程序接口API服务器中配置针对所述Kubernetes集群的授权策略，所述授权策略用于对访问所述Kubernetes集群的用户进行鉴权。
[0026]可选地，在通过部署于所述节点的Pod中的安全监控应用，获取所述节点中指定组件的运行相关参数之后，所述方法还包括：
[0027]基于Blowfish算法对所述节点中指定组件的运行相关参数进行加密。
[0028]第二方面，本申请实施例还提供了一种Kubernetes集群的运维处理装置，所述Kubernetes集群包括多个节点，所述装置包括所述装置包括组件安全评估层和自愈方案实施层；
[0029]所述组件安全评估层，用于通过部署于所述节点的Pod中的安全监控应用，获取所述节点中指定组件的运行相关参数，基于设定的异常分析策略对所述节点中指定组件的运行相关参数进行分析，以得到所述节点的异常分析结果；
[0030]所述自愈方案实施层，用于以与所述Kubernetes集群中节点的异常分析结果匹配的运维策略对所述Kubernetes集群进行运维处理。
[0031]可选地，所述装置还包括任务调配层，所述任务调配层用于：
[0032]接收来自监控方的监控任务部署请求，所述监控任务部署请求中携带有待部署的
安全监控应用的配置信息；
[0033]查询任务调配库中是否存在所述待部署的安全监控应用，所述任务调配库中记录有已部署的安全监控应用；
[0034]若所述任务调配库中不存在所述待部署的安全监控应用，则基于所述待部署的安全监控应用的配置信息在所述节点的Pod中创建所述待部署的安全监控应用。
[0035]第三方面，本申请实施例还提供了一种电子设备，包括：
[0036]处理器；
[0037]用于存储所述处理器可执行指令的存储器；
[0038]其中，所述处理器被配置为执行所述指令，以实现第一方面所述的方法。
[0039]第四方面本申请实施例还提供了一种计算机可读存储介质，当所述存储介质中的指令由电子设备的处理器执行时，使得电子设备够执行第一方面所述的方法。
[0040]本申请实施例采用的上述至本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种Kubernetes集群的运维处理方法，其特征在于，所述Kubernetes集群包括多个节点，所述方法包括：通过部署于所述节点的Pod中的安全监控应用，获取所述节点中指定组件的运行相关参数；基于设定的异常分析策略对所述节点中指定组件的运行相关参数进行分析，以得到所述节点的异常分析结果；以与所述Kubernetes集群中节点的异常分析结果匹配的运维策略对所述Kubernetes集群进行运维处理。2.根据权利要求1所述的方法，其特征在于，所述异常分析策略包括互联网安全中心CIS安全基准和评分基准，所述评分基准包括所述CIS安全基准中不同安全指标的检测结果与安全分值之间的对应关系；基于设定的异常分析策略对所述节点中指定组件的运行相关参数进行分析，以得到所述节点的异常分析结果，包括：基于所述CIS安全基准和所述节点中指定组件的运行相关参数，确定所述指定组件的各项安全指标对应的检测结果；基于所述指定组件的各项安全指标对应的检测结果和所述评分基准，确定所述指定组件的安全分值；基于所述指定组件的安全分值确定所述节点的安全分值。3.根据权利要求2所述的方法，其特征在于，以与所述Kubernetes集群中节点的异常分析结果匹配的运维策略对所述Kubernetes集群进行运维处理，包括：在所述节点的安全分值小于第一设定分值的情况下，获取所述节点中安全分值小于第二设定分值的指定组件，作为待优化的目标组件；基于所述目标组件的各项安全指标的检测结果，确定与所述Kubernetes集群匹配的运维策略；基于所述匹配的运维策略对所述Kubernetes集群进行运维处理。4.根据权利要求3所述的方法，其特征在于，在通过部署于所述节点的Pod中的安全监控应用，获取所述节点中指定组件的运行相关参数之前，所述方法还包括：接收来自监控方的监控任务部署请求，所述监控任务部署请求中携带有待部署的安全监控应用的配置信息；查询任务调配库中是否存在所述待部署的安全监控应用，所述任务调配库中记录有已部署的安全监控应用；若所述任务调配库中不存在所述待部署的安全监控应用，则基于所述待部署的安全监控应用的配置信息在所述节点的Pod中创建所述待部署的安全监控应用。5.根据权利要求4所述的方法，其特...

【专利技术属性】
技术研发人员：郭远胜，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：