本申請公開了一種Kubernetes集群的運維處理方法、裝置及電子設備,以解決通過現有的依靠外部代理工具對Kubernetes集群進行監控方法存在的可靠性低、開發難度、升級難度高以及高度耦合等問題。所述方法包括:通過部署于所述Kubernetes集群的節點的Pod中的安全監控應用,獲取所述節點中指定組件的運行相關參數;基于設定的異常分析策略對所述節點中指定組件的運行相關參數進行分析,以得到所述節點的異常分析結果;以與所述Kubernetes集群中節點的異常分析結果匹配的運維策略對所述Kubernetes集群進行運維處理。Kubernetes集群進行運維處理。Kubernetes集群進行運維處理。
【技術實現步驟摘要】
Kubernetes集群的運維處理方法、裝置及電子設備
[0001]本申請涉及通信
,尤其涉及一種Kubernetes集群的運維處理方法、裝置及電子設備。
技術介紹
[0002]Kubernetes集群是一種常用的管理跨宿主機容器集群的容器編排工具,其構建在Docker容器之上,租戶可以在Kubernetes集群上創建和管理Docker容器,并為容器化的應用集群提供了大規模運行容器的編排系統和管理平臺。由于Kubernetes集群容易遭受來自黑客和內部人員安全管控疏漏導致的惡意攻擊、數據竊取、服務中斷等諸多問題。因此,對Kubernetes集群進行監控極為重要。
[0003]目前對于Kubernetes集群的監控,主要借助外部Agent技術實現。然而,由于Kubernetes集群的安全保障機制限制,如果要在Kubernetes集群外部通過Agent代理工具對Kubernetes集群進行監控,就需要提前加載kubeconfig等認證文件,之后才能完成對Kubernetes集群中的API(Application Programming Interface,應用程序接口)服務器的訪問,這樣,就使得黑客很容易通過攻擊代理工具來獲取到kubeconfig認證文件,從而進行更具破壞性的行為;如果將代理工具集成在Kubernetes集群的原生代碼中以避免加載認證文件,又會造成Kubernetes集群的開發難度大、升級難度高以及高度耦合等問題。
技術實現思路
[0004]本申請實施例的目的是提供一種Kubernetes集群的運維處理方法、裝置及電子設備,以解決通過現有的依靠外部代理工具對Kubernetes集群進行監控方法存在的可靠性低、開發難度、升級難度高以及高度耦合等問題。
[0005]為了解決上述技術問題,本申請實施例采用下述技術方案:
[0006]第一方面,本申請實施例提供了一種Kubernetes集群的運維處理方法,所述Kubernetes集群包括多個節點,所述方法包括:
[0007]通過部署于所述節點的Pod中的安全監控應用,獲取所述節點中指定組件的運行相關參數;
[0008]基于設定的異常分析策略對所述節點中指定組件的運行相關參數進行分析,以得到所述節點的異常分析結果;
[0009]以與所述Kubernetes集群中節點的異常分析結果匹配的運維策略對所述Kubernetes集群進行運維處理。
[0010]可選地,所述異常分析策略包括互聯網安全中心CIS安全基準和評分基準,所述評分基準包括所述CIS安全基準中不同安全指標的檢測結果與安全分值之間的對應關系;
[0011]基于設定的異常分析策略對所述節點中指定組件的運行相關參數進行分析,以得到所述節點的異常分析結果,包括:
[0012]基于所述CIS安全基準和所述節點中指定組件的運行相關參數,確定所述指定組
件的各項安全指標對應的檢測結果;
[0013]基于所述指定組件的各項安全指標對應的檢測結果和所述評分基準,確定所述指定組件的安全分值;
[0014]基于所述指定組件的安全分值確定所述節點的安全分值。
[0015]可選地,以與所述Kubernetes集群中節點的異常分析結果匹配的運維策略對所述Kubernetes集群進行運維處理,包括:
[0016]在所述節點的安全分值小于第一設定分值的情況下,獲取所述節點中安全分值小于第二設定分值的指定組件,作為待優化的目標組件;
[0017]基于所述目標組件的各項安全指標的檢測結果,確定與所述Kubernetes集群匹配的運維策略;
[0018]基于所述匹配的運維策略對所述Kubernetes集群進行運維處理。
[0019]可選地,在通過部署于所述節點的Pod中的安全監控應用,獲取所述節點中指定組件的運行相關參數之前,所述方法還包括:
[0020]接收來自監控方的監控任務部署請求,所述監控任務部署請求中攜帶有待部署的安全監控應用的配置信息;
[0021]查詢任務調配庫中是否存在所述待部署的安全監控應用,所述任務調配庫中記錄有已部署的安全監控應用;
[0022]若所述任務調配庫中不存在所述待部署的安全監控應用,則基于所述待部署的安全監控應用的配置信息在所述節點的Pod中創建所述待部署的安全監控應用。
[0023]可選地,所述監控任務部署請求中還攜帶允許訪問所述Kubernetes集群的用戶的身份信息及對應的訪問權限信息;
[0024]在基于所述待部署的安全監控應用的配置信息在所述節點的Pod中創建所述待部署的安全監控應用之后,所述方法還包括:
[0025]基于所述用戶的身份信息及對應的訪問權限信息,在所述Kubernetes集群的應用程序接口API服務器中配置針對所述Kubernetes集群的授權策略,所述授權策略用于對訪問所述Kubernetes集群的用戶進行鑒權。
[0026]可選地,在通過部署于所述節點的Pod中的安全監控應用,獲取所述節點中指定組件的運行相關參數之后,所述方法還包括:
[0027]基于Blowfish算法對所述節點中指定組件的運行相關參數進行加密。
[0028]第二方面,本申請實施例還提供了一種Kubernetes集群的運維處理裝置,所述Kubernetes集群包括多個節點,所述裝置包括所述裝置包括組件安全評估層和自愈方案實施層;
[0029]所述組件安全評估層,用于通過部署于所述節點的Pod中的安全監控應用,獲取所述節點中指定組件的運行相關參數,基于設定的異常分析策略對所述節點中指定組件的運行相關參數進行分析,以得到所述節點的異常分析結果;
[0030]所述自愈方案實施層,用于以與所述Kubernetes集群中節點的異常分析結果匹配的運維策略對所述Kubernetes集群進行運維處理。
[0031]可選地,所述裝置還包括任務調配層,所述任務調配層用于:
[0032]接收來自監控方的監控任務部署請求,所述監控任務部署請求中攜帶有待部署的
安全監控應用的配置信息;
[0033]查詢任務調配庫中是否存在所述待部署的安全監控應用,所述任務調配庫中記錄有已部署的安全監控應用;
[0034]若所述任務調配庫中不存在所述待部署的安全監控應用,則基于所述待部署的安全監控應用的配置信息在所述節點的Pod中創建所述待部署的安全監控應用。
[0035]第三方面,本申請實施例還提供了一種電子設備,包括:
[0036]處理器;
[0037]用于存儲所述處理器可執行指令的存儲器;
[0038]其中,所述處理器被配置為執行所述指令,以實現第一方面所述的方法。
[0039]第四方面本申請實施例還提供了一種計算機可讀存儲介質,當所述存儲介質中的指令由電子設備的處理器執行時,使得電子設備夠執行第一方面所述的方法。
[0040]本申請實施例采用的上述至本文檔來自技高網...
【技術保護點】
【技術特征摘要】
1.一種Kubernetes集群的運維處理方法,其特征在于,所述Kubernetes集群包括多個節點,所述方法包括:通過部署于所述節點的Pod中的安全監控應用,獲取所述節點中指定組件的運行相關參數;基于設定的異常分析策略對所述節點中指定組件的運行相關參數進行分析,以得到所述節點的異常分析結果;以與所述Kubernetes集群中節點的異常分析結果匹配的運維策略對所述Kubernetes集群進行運維處理。2.根據權利要求1所述的方法,其特征在于,所述異常分析策略包括互聯網安全中心CIS安全基準和評分基準,所述評分基準包括所述CIS安全基準中不同安全指標的檢測結果與安全分值之間的對應關系;基于設定的異常分析策略對所述節點中指定組件的運行相關參數進行分析,以得到所述節點的異常分析結果,包括:基于所述CIS安全基準和所述節點中指定組件的運行相關參數,確定所述指定組件的各項安全指標對應的檢測結果;基于所述指定組件的各項安全指標對應的檢測結果和所述評分基準,確定所述指定組件的安全分值;基于所述指定組件的安全分值確定所述節點的安全分值。3.根據權利要求2所述的方法,其特征在于,以與所述Kubernetes集群中節點的異常分析結果匹配的運維策略對所述Kubernetes集群進行運維處理,包括:在所述節點的安全分值小于第一設定分值的情況下,獲取所述節點中安全分值小于第二設定分值的指定組件,作為待優化的目標組件;基于所述目標組件的各項安全指標的檢測結果,確定與所述Kubernetes集群匹配的運維策略;基于所述匹配的運維策略對所述Kubernetes集群進行運維處理。4.根據權利要求3所述的方法,其特征在于,在通過部署于所述節點的Pod中的安全監控應用,獲取所述節點中指定組件的運行相關參數之前,所述方法還包括:接收來自監控方的監控任務部署請求,所述監控任務部署請求中攜帶有待部署的安全監控應用的配置信息;查詢任務調配庫中是否存在所述待部署的安全監控應用,所述任務調配庫中記錄有已部署的安全監控應用;若所述任務調配庫中不存在所述待部署的安全監控應用,則基于所述待部署的安全監控應用的配置信息在所述節點的Pod中創建所述待部署的安全監控應用。5.根據權利要求4所述的方法,其特...
【專利技術屬性】
技術研發人員:郭遠勝,
申請(專利權)人:中國移動通信集團有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。