【技术实现步骤摘要】
容器网站防护部署方法、装置、设备及存储介质
[0001]本申请属于计算机
,尤其涉及一种容器网站防护部署方法
、
装置
、
设备及存储介质
。
技术介绍
[0002]云原生环境下,网站主要运行在基于
kubernetes(
简称
K8S)
管理的集群主机上,以容器的形式存在
。
通过
K8S
统一编排,以对容器的启停进行管理
。
当容器死亡或资源不足,
K8S
还能够重新拉起一个新容器来接替原有网站容器的工作
。
由于网站的开放性与互动性,网页被篡改可能造成恶意内容发布以及病毒传播等危害,因此,需要对网站进行安全防护
。
但
K8S
对现有的
Docker
容器版网页防篡改软件不友好,若出现容器死亡后,
K8S
重新拉起新的容器,而新容器
ID
却是随机生成的,导致策略服务器无法根据容器
ID
下发策略,运维人员需要定期关注容器运行状态,以对重启容器进行策略管理,这样不仅给运维人员增加很多工作量,同时也容易出现运维人员对容器误操作,可能造成不可挽回的损失
。
技术实现思路
[0003]本申请实施例提供一种容器网站防护部署方法
、
装置
、
设备及存储介质,能够运维人员无需关注容器运行状态,也不用对重启容器进行策略...
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.
一种容器网站防护部署方法,其特征在于,应用于集群服务器,所述集群服务器与策略服务器连接,所述方法包括:所述集群服务器加载预设的目标进程镜像文件,启动所述目标进程镜像文件对应目标容器,并生成所述目标容器的目标进程对象,所述目标容器配置有目标启动配置文件,所述目标启动配置文件包括所述策略服务器的互联网协议端口和至少一个目标策略编码;所述目标进程对象根据所述互联网协议端口向所述策略服务器发送连接请求,所述连接请求包括所述至少一个目标策略编码,以使所述策略服务器响应于所述连接请求,将与所述至少一个目标策略编码对应的目标防护策略发送至所述目标进程对象,所述策略服务器包括至少一个策略编码及各所述策略编码对应的防护策略;所述目标进程对象接收所述策略服务器发送的至少一个所述目标防护策略;所述目标进程对象将至少一个所述目标防护策略部署于所述集群服务器的内核中
。2.
根据权利要求1所述的方法,其特征在于,在所述集群服务器加载预设的目标进程镜像文件,启动所述目标进程镜像文件对应目标容器,并生成所述目标容器的目标进程对象之前,还包括:所述集群服务器获取各容器的进程对象;接收策略服务器发送的各所述策略编码;根据各所述容器的进程对象,构建各所述容器的进程镜像文件;给各所述容器配置启动配置文件,所述启动配置文件包括所述策略服务器的互联网协议端口和至少一个所述策略编码
。3.
根据权利要求1所述的方法,其特征在于,所述连接请求还包括连接密钥;所述目标进程对象接收所述策略服务器发送的至少一个所述目标防护策略,包括:在所述连接密钥满足预设规则的情况下,所述目标进程对象建立与所述策略服务器的连接;所述目标进程对象接收所述策略服务器发送的至少一个所述目标防护策略
。4.
根据权利要求1所述的方法,其特征在于,所述目标进程对象包括目标进程内核模块和目标进程用户模块;所述目标进程对象将至少一个所述目标防护策略部署于所述集群服务器的内核中,包括:所述目标进程对象将所述目标进程内核模块部署于所述集群服务器的内核,并将至少一个所述目标防护策略输入所述目标进程内核模块,所述目标进程内核模块用于对第一行为进行拦截告警;所述目标进程对象将所述目标进程用户模块部署于所述目标容器中,所述目标进程用户模块用于对第二行为进行过滤
。5.
一种容器网站防护部署方法,其特征在于,应用于策略服务器,所述策略服务器与集群服务器连接,所述方法包括:接收所述集群服务器中目标容器的目标进程对象发送的连接请求,其中,所述连接请求包括至少一个目标策略编码,其中,所述连接请求为所述集群服务器加载预设的目标进程镜像文件,启动所述目标进程镜像文件对应目标容器,并生成所述目标容器的目标进程对象,所述目标容器配置有目标启动配置文件,所述目标启动配置文件包括所述策略服务
器的互联网协议端口和所述至少一个目标策略编码;所述目标进程对象根据所述互联网协议端口向所述策略服务器发送的请求;响应于所述连接请求,将与所述至少一个目标策略编码对应的目标防护策略发送至所述目标进程对象,所述策略服务器包括至少一个策略编码及各所述策略编码对应的防护策略,以使所述目标进程对象将至少一个所述目标防护策略部署于所述集群服务器的内核中
技术研发人员:焦天宇,白雪,胡建村,李文朋,冀可可,黄强青,刘意辰,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。