【技术实现步骤摘要】
本申请涉及计算机,特别涉及一种容器集群的安全接入管理方法、相关设备及存储介质。
技术介绍
1、kubernetes(简称k8s)是一个用于大规模运行分布式应用和服务的开源容器管理平台,用于管理容器化应用程序的部署、规划、和扩展。
2、目前的kubernetes集群包括三种服务模式。一种是托管集群,即公有云厂商提供master节点、etcd(用于保存kubernetes所有集群数据的后台数据库)全部托管的kubernetes集群管理服务,在该模式下,kubernetes集群的master和etcd会由云技术团队集中管理和维护。用户只需要购置集群,运行负载所需的工作节点即可,不需要关心集群的管理和维护;一种是独立集群,即公有云厂商提供集群完全自主可控的master独立部署模式,在该模式下,kubernetes集群的master和etcd将会部署在用户购置的虚拟机上,用户拥有kubernetes集群的所有管理和操作权限;另一种是自建kubernetes集群,即用户没有用云厂商提供的托管集群或者独立集群,而是自己建立的kubernetes集群。
3、相关技术中,采用依托于公有云部署的集群安全检测系统对kubernetes集群进行安全检测,以检测出集群的风险项,如所有涉及的漏洞和漏洞相关的基本信息(如名称、描述、危险等级等)。然而,相关技术在实现对用户自建kubernetes集群的安全接入时,需要用户把集群管理员权限设置到集群安全检测系统中,如此集群安全检测系统便拥有了该集群的所有权限,除了安全检测,还有对这个集群
技术实现思路
1、为了解决现有技术的问题,本申请实施例提供了一种容器集群的安全接入管理方法、相关设备及存储介质。所述技术方案如下:
2、一方面,提供了一种容器集群的安全接入管理方法,所述方法包括:
3、获取基于授权配置信息发送的安全接入请求;所述授权配置信息由容器集群预先生成,所述授权配置信息包括预设账户对应的证书信息;
4、基于所述证书信息对所述预设账户进行有效性验证,得到验证结果;
5、在所述验证结果指示所述预设账户为有效账户的情况下,查找所述预设账户绑定的目标角色;所述目标角色对应有第一权限信息,所述第一权限信息表征对预设命名空间中资源对象的预设操作权限;
6、在查找到所述目标角色的情况下,以守护进程的方式在所述容器集群的各节点上启动安全检测容器;所述安全检测容器用于对相应节点的资源对象进行安全检测。
7、另一方面,提供了一种容器集群的安全接入管理装置,所述装置包括:
8、接入请求获取模块,用于获取基于授权配置信息发送的安全接入请求;所述授权配置信息由容器集群预先生成,所述授权配置信息包括预设账户对应的证书信息;
9、有效性验证模块,用于基于所述证书信息对所述预设账户进行有效性验证,得到验证结果;
10、角色查找模块,用于在所述验证结果指示所述预设账户为有效账户的情况下,查找所述预设账户绑定的目标角色;所述目标角色对应有第一权限信息,所述第一权限信息表征对预设命名空间中资源对象的预设操作权限;
11、安全接入模块,用于在查找到所述目标角色的情况下,以守护进程的方式在所述容器集群的各节点上启动安全检测容器;所述安全检测容器用于对相应节点的资源对象进行安全检测。
12、在一个示例性的实施方式中,所述安全接入模块,包括:
13、权限配置获取模块,用于获取所述安全检测容器对应的权限配置信息;所述权限配置信息指示所述安全检测容器所对应服务账户的第二权限信息,所述第二权限信息表征对所述容器集群中资源的读权限;
14、接入子模块,用于基于所述权限配置信息,调用守护进程创建接口创建安全检测守护进程,并在所述容器集群的各节点部署所述安全检测守护进程的副本,以在各所述节点启动安全检测容器。
15、在一个示例性的实施方式中,所述接入子模块包括:
16、节点标识获取模块,用于获取所述容器集群的节点标识列表;
17、节点遍历模块,用于基于所述节点标识列表进行节点遍历,对于遍历到的当前节点,在所述当前节点查找所述安全检测守护进程的副本;
18、进程副本部署模块,用于在未查找到所述安全检测守护进程的副本时,在所述当前节点部署所述安全检测守护进程的副本,以在所述当前节点上启动安全检测容器。
19、在一个示例性的实施方式中,所述装置还包括:
20、命名空间创建模块,用于响应于命名空间创建指令,创建所述预设命名空间;
21、角色创建模块,用于响应于账户角色创建指令,在所述预设命名空间中创建所述目标角色;
22、证书生成模块,用于响应于账户创建指令,创建所述预设账户,并生成所述预设账户对应的证书信息;
23、授权配置信息生成模块,用于基于所述预设账户和所述证书信息,生成并发送所述授权配置信息;
24、第一角色绑定模块,用于建立所述预设账户与所述目标角色之间的绑定关系。
25、在一个示例性的实施方式中,所述装置还包括:
26、服务账户创建模块,用于响应于服务账户创建指令,创建所述安全检测容器所对应的服务账户;
27、集群角色创建模块,用于响应于集群角色创建指令,创建集群角色;所述集群角色对应有所述第二权限信息;
28、第二角色绑定模块,用于建立所述集群角色与所述服务账户之间的绑定关系,以得到所述权限配置信息。
29、在一个示例性的实施方式中,所述装置还包括:
30、安全检测任务发送模块,用于响应于针对目标接口对象的更新指令,向所述安全检测容器发送安全检测任务;所述目标接口对象为所述安全检测容器对应的接口对象;
31、安全检测任务执行模块,用于通过所述安全检测容器执行所述安全检测任务得到安全检测信息,并将所述安全检测信息发送给所述预设账户对应的客户端。
32、在一个示例性的实施方式中,所述安全检测任务执行模块包括:
33、节点扫描模块,用于通过所述安全检测容器对所述安全检测容器所在节点中的资源对象进行扫描操作,得到所述节点中各资源对象的资源内容信息;
34、风险检测模块,用于基于各所述资源对象的资源内容信息进行风险检测,确定存在风险的目标资源对象;
35、风险分析模块,用于基于所述目标资源对象的资源内容信息进行风险分析,得到所述目标资源对象的风险分析结果作为所述安全检测信息;所述风险分析结果指示所述目标资源对象的风险类别和风险等级。
36、在一个示例性的实施方式中,所述装置还包括:
37、目标指令接收模块,用于接收针对所述授权配置信息的目标指令信息;所述目标指令信息指示所述授权配置信息已发本文档来自技高网...
【技术保护点】
1.一种容器集群的安全接入管理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述以守护进程的方式在所述容器集群的各节点上启动安全检测容器,包括:
3.根据权利要求2所述的方法,其特征在于,所述在所述容器集群的各节点部署所述安全检测守护进程的副本,以在各所述节点上启动安全检测容器包括:
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,在以守护进程的方式在所述容器集群的各节点上启动安全检测容器之后,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,所述通过所述安全检测容器执行所述安全检测任务得到安全检测信息,包括:
8.根据权利要求1~7中任一项所述的方法,其特征在于,所述方法还包括:
9.一种容器集群的安全接入管理装置,其特征在于,所述装置包括:
10.一种电子设备,其特征在于,包括处理器和存储器,所述存储器中存储有至少一条
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令或者至少一段程序,所述至少一条指令或者所述至少一段程序由处理器加载并执行以实现如权利要求1~8任一项所述的容器集群的安全接入管理方法。
12.一种计算机程序,其特征在于,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~8中任一项所述的容器集群的安全接入管理方法。
...【技术特征摘要】
1.一种容器集群的安全接入管理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述以守护进程的方式在所述容器集群的各节点上启动安全检测容器,包括:
3.根据权利要求2所述的方法,其特征在于,所述在所述容器集群的各节点部署所述安全检测守护进程的副本,以在各所述节点上启动安全检测容器包括:
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,在以守护进程的方式在所述容器集群的各节点上启动安全检测容器之后,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,所述通过所述安全检测容器执行所述安全检测任务得到安全检测信息,包括:
8.根据权利...
【专利技术属性】
技术研发人员:林委坤,董志强,陶芬,王传健,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。