本发明专利技术公开了一种云原生环境中流量处理的方法及装置,包括:获取请求服务的东西向流量请求;其中,请求服务为云原生环境中任一服务;将东西向流量请求发送至所述请求服务对应的检测池;其中,请求服务对应的检测池是根据所述请求服务的资源信息预先构建的;接收由所述检测池检测通过的东西向流量请求,将所述检测池检测通过的东西向流量请求发送至所述请求服务的计算单元。以此降低安全网关的开发难度,提升检测效率,增加流量检测的准确率。增加流量检测的准确率。增加流量检测的准确率。
【技术实现步骤摘要】
一种云原生环境中流量处理的方法及装置
[0001]本专利技术涉及网络安全
,尤其涉及一种云原生环境中流量处理的方法及装置。
技术介绍
[0002]随着网络技术的发展,容器逐渐被所熟知和使用。其中,容器用于实现可移植、可重用的方式来打包、分发和运行应用程序。因此,容器集群中东西向流量的检测显得尤为重要。其中,东西向流量指的是集群中各服务之间交互的流量,也叫横向流量。
[0003]为了保证网络的安全性,需要检测出东西向流量中存在的恶意流量、攻击流量等。目前,对于东西向流量的检测一般是改变东西流量的访问逻辑,使东西向流量进入安全网关中,由安全网关对东西向流量进行检测。
[0004]但是,安全网关是针对所有的网络流量(包括南北向流量和东西向流量,南北向流量表示集群外部用户与集群内部服务之间交互的流量)进行检测,无法对东西向流量进行针对性的检测,使得安全网关的开发难度大,东西向流量的检测准确率较低。
技术实现思路
[0005]本专利技术实施例提供一种云原生环境中流量处理的方法及装置,用于降低安全网关的开发难度,提升检测效率,增加流量检测的准确率。
[0006]第一方面,本专利技术实施例提供一种云原生环境中流量处理的方法,包括:
[0007]获取请求服务的东西向流量请求;所述请求服务为云原生环境中任一服务;
[0008]将所述东西向流量请求发送至所述请求服务对应的检测池;所述请求服务对应的检测池是根据所述请求服务的资源信息预先构建的;
[0009]接收由所述检测池检测通过的东西向流量请求,将所述检测池检测通过的东西向流量请求发送至所述请求服务的计算单元。
[0010]上述技术方案中,东西向流量不由安全网关进行检测,因此不需要对东西向流量进行访问逻辑的修改,避免了访问逻辑的修改造成的计算资源浪费。因为东西向流量不由安全网关进行检测,减少了安全网关需要检测的流量,降低了安全网关的处理量以及开发难度,提升了流量处理的效率。因为检测池是针对请求服务建立的,因此对于请求服务的东西向流量具有针对性的检测,提升了东西向流量的检测准确率。
[0011]可选的,所述检测池包括多个检测单元;针对任一检测单元,所述检测单元用于执行检测策略;
[0012]所述请求服务对应的检测池是根据所述请求服务的资源信息预先构建的,包括:
[0013]采集所述请求服务的资源信息;所述请求服务的资源信息包括所述请求服务的服务地址和待防护计算单元;所述待防护计算单元是所述请求服务对应的计算单元;
[0014]接收基于所述请求服务的服务地址和所述待防护计算单元设置的检测策略;
[0015]根据所述检测策略建立检测单元,构建所述请求服务对应的检测池。
[0016]上述技术方案中,检测池是基于请求服务的服务地址、请求服务的业务类型以及待防护计算单元的资源信息建立的,对于请求服务的东西向流量具有针对性的检测,以此提升东西向流量的检测准确率。
[0017]可选的,构建所述请求服务对应的检测池之后,还包括:
[0018]将所述请求服务对应的检测池存储至预设地址;
[0019]若检测所述请求服务的服务地址和/或所述待防护计算单元的计算地址发生变化,则根据变化后的请求服务的服务地址和/或变化后的待防护计算单元的计算地址构建所述请求服务对应的检测池。
[0020]上述技术方案中,因为k8s集群中,计算单元Pod会动态变化,因此通过实施监测请求服务的资源信息,动态部署检测池,保证对于东西向流量检测的准确率。
[0021]可选的,将所述东西向流量请求发送至所述请求服务对应的检测池之后,还包括:
[0022]判断所述检测池是否具有待防护计算单元和/或检测策略;若是,则指示所述检测池对所述请求服务进行检测;
[0023]否则将所述东西向流量请求发送至所述请求服务的计算单元。
[0024]第二方面,本专利技术实施例提供一种云原生环境中流量处理的装置,包括:
[0025]获取模块,用于请求服务的东西向流量请求;所述请求服务为云原生环境中任一服务;
[0026]处理模块,用于将所述东西向流量请求发送至所述请求服务对应的检测池;所述请求服务对应的检测池是根据所述请求服务的资源信息预先构建的;
[0027]接收由所述检测池检测通过的东西向流量请求,将所述检测池检测通过的东西向流量请求发送至所述请求服务的计算单元。
[0028]可选的,所述检测池包括多个检测单元;针对任一检测单元,所述检测单元用于执行检测策略;
[0029]所述处理模块具体用于:
[0030]采集所述请求服务的资源信息;所述请求服务的资源信息包括所述请求服务的服务地址和待防护计算单元;所述待防护计算单元是所述请求服务对应的计算单元;
[0031]接收基于所述请求服务的服务地址和所述待防护计算单元设置的检测策略;
[0032]根据所述检测策略建立检测单元,构建所述请求服务对应的检测池。
[0033]可选的,所述处理模块还用于:
[0034]构建所述请求服务对应的检测池之后,将所述请求服务对应的检测池存储至预设地址;
[0035]若检测所述请求服务的服务地址和/或所述待防护计算单元的计算地址发生变化,则根据变化后的请求服务的服务地址和/或变化后的待防护计算单元的计算地址构建所述请求服务对应的检测池。
[0036]可选的,所述处理模块还用于:
[0037]将所述东西向流量请求发送至所述请求服务对应的检测池之后,判断所述检测池是否具有待防护计算单元和/或检测策略;若是,则指示所述检测池对所述请求服务进行检测;
[0038]否则将所述东西向流量请求发送至所述请求服务的计算单元。
[0039]第三方面,本专利技术实施例还提供一种计算机设备,包括:
[0040]存储器,用于存储程序指令;
[0041]处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述云原生环境中流量处理的方法。
[0042]第四方面,本专利技术实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行上述云原生环境中流量处理的方法。
附图说明
[0043]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0044]图1为本专利技术实施例提供的一种流量处理的结构示意图;
[0045]图2为本专利技术实施例提供的一种系统架构示意图;
[0046]图3为本专利技术实施例提供的一种云原生环境中流量处理的方法的流程示意图;
[0047]图4为本专利技术实施例提供的一种部署检测池的示意图;
[0048]图5为本专利技术实施例提供的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种云原生环境中流量处理的方法,其特征在于,包括:获取请求服务的东西向流量请求;所述请求服务为云原生环境中任一服务;将所述东西向流量请求发送至所述请求服务对应的检测池;所述请求服务对应的检测池是根据所述请求服务的资源信息预先构建的;接收由所述检测池检测通过的东西向流量请求,将所述检测池检测通过的东西向流量请求发送至所述请求服务的计算单元。2.如权利要求1所述的方法,其特征在于,所述检测池包括多个检测单元;针对任一检测单元,所述检测单元用于执行检测策略;所述请求服务对应的检测池是根据所述请求服务的资源信息预先构建的,包括:采集所述请求服务的资源信息;所述请求服务的资源信息包括所述请求服务的服务地址和待防护计算单元;所述待防护计算单元是所述请求服务对应的计算单元;接收基于所述请求服务的服务地址和所述待防护计算单元设置的检测策略;根据所述检测策略建立检测单元,构建所述请求服务对应的检测池。3.如权利要求2所述的方法,其特征在于,构建所述请求服务对应的检测池之后,还包括:将所述请求服务对应的检测池存储至预设地址;若检测所述请求服务的服务地址和/或所述待防护计算单元的计算地址发生变化,则根据变化后的请求服务的服务地址和/或变化后的待防护计算单元的计算地址构建所述请求服务对应的检测池。4.如权利要求1所述的方法,其特征在于,将所述东西向流量请求发送至所述请求服务对应的检测池之后,还包括:判断所述检测池是否具有待防护计算单元和/或检测策略;若是,则指示所述检测池对所述请求服务进行检测;否则将所述东西向流量请求发送至所述请求服务的计算单元。5.一种云原生环境中流量处理的装置,其特征在于,包括:获取模块,用于请求服务的东西向流量请求;所述请求服务为云原生环境中任一服务;处理模块,用于将所述东西向流量请求发送至...
【专利技术属性】
技术研发人员:张万兴,何坤,汤旭,叶晓虎,黄俊,
申请(专利权)人:北京神州绿盟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。