本公开提供了一种用于容器的安全策略更新方法、装置、电子设备及介质,可以应用于容器安全技术领域。该方法包括:对集群中容器当前的状态进行检测,以获得集群中第一容器的当前状态信息;在当前状态信息与期望状态信息不同的情况下,获取第一容器所在节点对应的哈希值,哈希值预先存储在节点中,且不同的节点对应不同的哈希值;基于哈希值确定第一容器对应的目标安全策略,目标安全策略表征第二容器访问第一容器的策略;利用目标安全策略对第一容器的初始安全策略进行更新。器的初始安全策略进行更新。器的初始安全策略进行更新。
【技术实现步骤摘要】
用于容器的安全策略更新方法、装置、电子设备及介质
[0001]本公开涉及容器安全的
,更具体地,涉及一种用于容器的安全策略更新方法、装置、电子设备、存储介质和程序产品。
技术介绍
[0002]由于容器在隔离和安全性方面存在的天然缺陷,随着安全攻防的演练和安全意识的提升,通过安全策略保证集群容器的安全性诉求也越来越多。当集群中的节点或容器发生故障导致其不可正常运行时,控制器会自动将容器迁移至其他节点上,容器在被控制器重新拉起时,会导致容器从安全策略的控制中脱离。
[0003]相关技术中,安全策略的存储使用数组的方式,通过对数组进行检索,确定重新被拉起后的容器对应的安全策略,从而完成容器安全策略的更新。
[0004]在实现本公开构思的过程中,专利技术人发现相关技术中至少存在如下问题:在数组中检索安全策略的过程中,由于数据量较大,检索速度较慢,导致安全策略无法及时地进行更新。
技术实现思路
[0005]有鉴于此,本公开实施例提供了一种用于容器的安全策略更新方法、装置、电子设备、存储介质和程序产品。
[0006]本公开实施例的一个方面提供了一种用于容器的安全策略更新方法,包括:对集群中容器当前的状态进行检测,以获得上述集群中第一容器的当前状态信息;在上述当前状态信息与期望状态信息不同的情况下,获取上述第一容器所在节点对应的哈希值,上述哈希值预先存储在上述节点中,且不同的节点对应不同的哈希值;基于上述哈希值确定上述第一容器对应的目标安全策略,上述目标安全策略表征第二容器访问上述第一容器的策略;利用上述目标安全策略对上述第一容器的初始安全策略进行更新。
[0007]根据本公开的实施例,上述基于上述哈希值确定上述第一容器对应的目标安全策略,包括:基于上述哈希值和预设数组长度确定偏移值;基于上述偏移值和预设哈希表长度确定上述节点对应的哈希表的内存地址;基于上述内存地址,从与上述内存地址对应的存储单元中提取上述哈希表;在基于上述哈希值确定上述哈希表中存在上述目标安全策略的情况下,提取上述目标安全策略。
[0008]根据本公开的实施例,上述基于上述哈希值和预设数组长度确定偏移值,包括:对上述预设数组长度进行调整,得到目标数组长度;对上述目标数组长度和上述哈希值进行按位与处理,得到上述偏移值。
[0009]根据本公开的实施例,上述利用上述目标安全策略对上述第一容器的初始安全策略进行更新,包括:将上述目标安全策略写入上述第一容器对应的更新表中;将指向上述第一容器对应的读取表的指针指向上述更新表,确定上述更新表为新的读取表。
[0010]根据本公开的实施例,在上述获取上述第一容器所在节点对应的哈希值之前,上
述方法还包括:确定上述第一容器的漂移容器信息;将上述漂移容器信息存储至漂移管道中;利用监听程序监听上述漂移管道,生成监听结果;在上述监听结果表明上述漂移管道中存在上述漂移容器信息的情况下,向策略更新端发送上述漂移容器信息。
[0011]根据本公开的实施例,上述获取上述第一容器所在节点对应的哈希值,包括:响应于上述策略更新端发送的上述漂移容器信息,获取上述第一容器所在节点对应的哈希值。
[0012]本公开实施例的另一个方面提供了一种用于容器的安全策略更新装置,包括:第一获取模块,用于提取第一容器的当前状态信息;第二获取模块,用于在上述当前状态信息与期望状态信息不同的情况下,获取上述第一容器所在节点对应的哈希值,上述哈希值预先存储在上述节点中,且不同的节点对应不同的哈希值;策略确定模块,用于基于上述哈希值确定上述第一容器对应的目标安全策略,上述目标安全策略表征第二容器访问上述第一容器的策略;策略更新模块,用于利用上述目标安全策略对上述第一容器的初始安全策略进行更新。
[0013]本公开实施例的另一个方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当上述一个或多个程序被上述一个或多个处理器执行时,使得上述一个或多个处理器实现如上上述的方法。
[0014]本公开实施例的另一个方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
[0015]本公开实施例的另一个方面提供了一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
[0016]根据本公开的实施例,因为采用了在当前状态信息与期望状态信息不同的情况下,获取第一容器所在节点对应的哈希值,基于哈希值确定第一容器对应的目标安全策略的技术手段,由于通过哈希值进行定位可以精准快速的查找到目标安全策略,所以至少部分地克服了对安全策略检索速度慢的技术问题,使得容器的安全策略能够及时地进行更新。
附图说明
[0017]通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
[0018]图1示意性示出了根据本公开实施例的用于容器的安全策略更新方法的示例性系统架构;
[0019]图2示意性示出了根据本公开实施例的用于容器的安全策略更新方法的流程图;
[0020]图3示意性示出了根据本公开另一实施例的用于容器的安全策略更新方法的流程图;
[0021]图4示意性示出了根据本公开实施例的用于容器的安全策略更新装置的框图;
[0022]图5示意性示出了根据本公开实施例的适于实现用于容器的安全策略更新方法的电子设备的方框图。
具体实施方式
[0023]以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性
的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
[0024]在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
[0025]在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
[0026]在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于容器的安全策略更新方法,包括:对集群中容器当前的状态进行检测,以获得所述集群中第一容器的当前状态信息;在所述当前状态信息与期望状态信息不同的情况下,获取所述第一容器所在节点对应的哈希值,所述哈希值预先存储在所述节点中,且不同的节点对应不同的哈希值;基于所述哈希值确定所述第一容器对应的目标安全策略,所述目标安全策略表征第二容器访问所述第一容器的策略;利用所述目标安全策略对所述第一容器的初始安全策略进行更新。2.根据权利要求1所述的方法,其中,所述基于所述哈希值确定所述第一容器对应的目标安全策略,包括:基于所述哈希值和预设数组长度确定偏移值;基于所述偏移值和预设哈希表长度确定所述节点对应的哈希表的内存地址;基于所述内存地址,从与所述内存地址对应的存储单元中提取所述哈希表;在基于所述哈希值确定所述哈希表中存在所述目标安全策略的情况下,提取所述目标安全策略。3.根据权利要求2所述的方法,其中,所述基于所述哈希值和预设数组长度确定偏移值,包括:对所述预设数组长度进行调整,得到目标数组长度;对所述目标数组长度和所述哈希值进行按位与处理,得到所述偏移值。4.根据权利要求1所述的方法,其中,所述利用所述目标安全策略对所述第一容器的初始安全策略进行更新,包括:将所述目标安全策略写入所述第一容器对应的更新表中;将指向所述第一容器对应的读取表的指针指向所述更新表,确定所述更新表为新的读取表。5.根据权利要求1所述的方法,其中,在所述获取所述第一容器所在节点对应的哈希值之前,所述方法还...
【专利技术属性】
技术研发人员:姜袁合,李航,石山蒙,崔相辉,杨超,刘学谦,高振峰,杨泽一,
申请(专利权)人:齐鲁空天信息研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。