【技术实现步骤摘要】
一种集群服务代理方法和系统
[0001]本专利技术涉及集群服务管理
,尤其涉及一种集群服务代理方法和系统。
技术介绍
[0002]在集群服务管理的场景下,集群服务以接口的形式将自身的各项能力向外暴露。如果没有对接口进行安全防护的话,可能会导致如下后果:调用方直接部署带有恶意软件的集群资源;调用方通过命令注入的方式,将恶意代码发送到集群资源内部并且执行;调用方将恶意软件拷贝到集群资源当中,修改集群资源的配置从而影响其他资源或者使自身不可用;调用方违规删除集群内部的资源和主机等。
[0003]但是对于业务场景来说,因为业务需求将主机从集群中删除,在集群资源中执行命令以及向集群资源中拷贝文件都是非常常见且必须的业务。虽然基于容器技术的隔离以及多种的安全策略可以确保恶意攻击很难从集群资源中逃逸出来,但是对于具体资源权限的管理仍然无法满足日益增长的业务需求,而且对于需要具体被执行的命令和拷贝的文件无法进行高效的安全校验。对于主机的删除,当前的技术仅仅是在删除节点时将全部数据进行保留,而无法对主机数据以及业务数据进行区分和...
【技术保护点】
【技术特征摘要】
1.一种集群服务代理方法,其特征在于,所述方法包括:通过代理服务层中的主机管控中心根据执行方删除主机的请求,备份对应主机的数据,将所述主机从集群中删除;通过应用层中的命令执行模块在集群资源内部执行通过应用层和代理服务层验证的执行命令;通过应用层中的文件拷贝模块向集群资源内部拷贝通过应用层和代理服务层验证的待拷贝文件。2.根据权利要求1所述的集群服务代理方法,其特征在于,通过代理服务层中的主机管控中心根据执行方删除主机的请求,备份对应主机的数据,将所述主机从集群中删除,包括:主机在加入集群时,通过运行在主机上的主机服务代理模块将主机信息注册到主机管控中心,主机管控中心将注册的主机信息持久化存储至mysql;执行方通过主机管理模块根据mysql中的主机信息向主机管控中心发送删除主机的请求;主机管控中心根据删除主机的请求,调用主机服务代理模块根据集群存储插件配置将运行在所述主机上的全部集群资源对应的存储文件打包,将打包的存储文件上传至对象存储模块,在上传成功后通知主机管控中心;主机管控中心接收上传成功通知后,将所述主机上运行的集群服务全部驱逐,并将所述主机从集群中删除,将所述主机在mysql中对应的主机信息中的运行状态更新为已删除。3.根据权利要求1所述的集群服务代理方法,其特征在于,通过应用层中的命令执行模块在集群资源内部执行通过应用层和代理服务层验证的执行命令,包括:通过集群资源查询模块查询需要批量执行命令的集群资源;根据需要批量执行命令的集群资源、执行方权限密钥以及执行命令向命令执行模块发送命令执行请求;通过命令执行模块根据命令执行请求验证对应的执行命令是否可执行;通过命令执行模块在需要批量执行命令的集群资源内部执行通过验证的执行命令。4.根据权利要求3所述的集群服务代理方法,其特征在于,通过集群资源查询模块查询需要批量执行命令的集群资源,包括:通过集群资源查询模块将集群内被孵化的集群资源的元数据持久化存储至mysql中;根据查询条件与mysql中的元数据进行匹配,获取对应的集群资源,从获取的集群资源中筛选正常运行的资源。5.根据权利要求3所述的集群服务代理方法,其特征在于,通过命令执行模块根据命令执行请求验证对应的执行命令是否可执行,包括:通过命令执行模块根据执行方权限密钥从集群权限中心获取执行方权限级别,根据执行方权限级别验证执行方是否具备在对应集群资源内执行命令的权限;当执行方不具备在对应集群资源内执行命令的权限,判定所述命令不可执行,向执行方返回执行失败;当执行方具备在对应集群资源内执行命令的权限,通过安全校验中心验证执行命令是否安全,当执行命令不安全,向执行方返回执行失败;当执行命令安全,判定所述执行命令
通过验证。6.根据权利要求3所述的集群服务代理方法,其特征在于,通过命令执行模块在需要批量执行命令的集群资源内部执行通过验证的执行命令,包括:通过命令执行模块并行地与对应集群资源建立连接,在集群资源内部执行通过验证的执行命令;通过安全校验中心校验执行结果,当执行结果未通过校验,向执行方返回执行失败,当执行结果通过校验,将所述执行结果缓存至redis,通过命令执行模块将redis中的执行结果返回至执行方;当执行过程由于异常原因中断,重新发起在集群资源内部执行通过验证的执行命令,当3次发起后执行过程仍然中断,向执行...
【专利技术属性】
技术研发人员:姚远鸣,逯本帅,焦文辉,李学峰,
申请(专利权)人:中电云数智科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。