【技術實現步驟摘要】
所屬的技術人員能夠理解,本申請的各個方面可以實現為系統、方法或程序產品。因此,本申請的各個方面可以具體實現為以下形式,即:完全的硬件實施方式、完全的軟件實施方式(包括固件、微代碼等),或硬件和軟件方面結合的實施方式,這里可以統稱為“電路”、“模塊”或“系統”。與上述方法實施例基于同一專利技術構思,本申請實施例中還提供了一種計算機設備,參閱圖4所示,計算機設備400可以至少包括處理器401、以及存儲器402。其中,存儲器402存儲有程序代碼,當程序代碼被處理器401執行時,使得處理器401執行上述任意一種網絡隔離策略配置方法的步驟。在一些可能的實施方式中,根據本申請的計算裝置可以至少包括至少一個處理器、以及至少一個存儲器。其中,存儲器存儲有程序代碼,當程序代碼被處理器執行時,使得處理器執行本說明書上述描述的根據本申請各種示例性實施方式的網絡隔離策略配置方法中的步驟。例如,處理器可以執行如圖2a中所示的步驟。下面參照圖5來描述根據本申請的這種實施方式的計算裝置500。圖5的計算裝置500僅僅是一個示例,不應對本申請實施例的功能和使用范圍帶來任何限制。如圖5所示,計算裝置500以通用計算裝置的形式表現。計算裝置500的組件可以包括但不限于:上述至少一個處理單元501、上述至少一個存儲單元502、連接不同系統組件(包括存儲單元502和處理單元501)的總線503。總線503表示幾類總線結構中的一種或多種,包括存儲器總線或者存儲器控制器、外圍總線、處理器或者使用多種總線結構中的任意總線結構的局域總線。存儲單元502可以包括易失性存儲器形式的可讀介質,例如隨機存取
技術介紹
1、隨著云原生技術的發展,容器逐漸被熟知與使用,而容器的使用又進一步促進了容器安全的發展。云原生環境下的網絡復雜,且集群中的網絡會動態改變,導致容器間的網絡訪問關系梳理和網絡隔離策略配置日趨復雜。
2、傳統的云原生網絡隔離策略由安全部門負責配置,但安全部門不熟悉業務部門的業務,很難正確地梳理和配置網絡隔離策略。因此,如何對云原生環境下復雜的網絡訪問關系自適應生成網絡隔離策略,簡化配置提高安全部門的維護效率,正是本申請致力于解決的問題。
技術實現思路
1、本申請實施例提供了一種網絡隔離策略配置方法、裝置、設備及存儲介質,以解決目前難以對云原生環境下復雜的網絡訪問關系,合理配置網絡隔離策略的問題。
2、第一方面,本申請實施例提供了一種網絡隔離策略配置方法,包括:
3、基于集群內各工作節點的網絡傳輸數據與所述各工作節點上部署容器的容器基本信息,構建容器之間的粗粒度網絡訪問關系;
4、基于容器艙分類結果,將所述容器之間的粗粒度網絡訪問關系轉化為容器艙集合之間的細粒度網絡訪問關系,所述容器艙分類結果是對集群內的多個容器艙進行分類得到的,每個容器艙包含至少一個容器;
5、基于所述細粒度網絡訪問關系,配置集群內的網絡隔離策略。
6、可選的,所述基于集群內各工作節點的網絡傳輸數據與所述各工作節點上部署容器的容器基本信息,構建容器之間的粗粒度網絡訪問關系,包括:
7、基于集群內所述各工作節點的網絡流量集、進程信息集及所述各工作節點上部署容器的容器基本信息,構建所述各工作節點的網絡流量與容器之間的粗粒度網絡依賴關系;
8、基于各網絡流量的網絡五元組,將網絡流量與容器之間的粗粒度網絡依賴關系轉化為容器之間的粗粒度網絡訪問關系。
9、可選的,所述基于集群內所述各工作節點的網絡流量集、進程信息集及所述各工作節點上部署容器的容器基本信息,構建所述各工作節點的網絡流量與容器之間的粗粒度網絡依賴關系,針對所述各工作節點分別執行以下操作:
10、基于網絡五元組的端口信息,對各網絡流量與各進程信息進行關聯匹配,構建至少一條網絡流量與進程之間的第一關聯關系;
11、基于原始父進程的進程標識,對所屬工作節點的所述各進程信息與各容器基本信息進行關聯匹配,構建至少一條進程與容器之間的第二關聯關系;
12、基于至少一條第一關聯關系與至少一條第二關聯關系,構建至少一條網絡流量與容器之間的粗粒度網絡依賴關系。
13、可選的,所述基于各網絡流量的網絡五元組,將網絡流量與容器之間的粗粒度網絡依賴關系轉化為容器之間的粗粒度網絡訪問關系,包括:
14、基于所述各網絡流量的網絡五元組,對來本文檔來自技高網...
【技術保護點】
1.一種網絡隔離策略配置方法,其特征在于,包括:
2.如權利要求1所述的方法,其特征在于,所述基于集群內各工作節點的網絡傳輸數據與所述各工作節點上部署容器的容器基本信息,構建容器之間的粗粒度網絡訪問關系,包括:
3.如權利要求2所述的方法,其特征在于,所述基于集群內所述各工作節點的網絡流量集、進程信息集及所述各工作節點上部署容器的容器基本信息,構建所述各工作節點的網絡流量與容器之間的粗粒度網絡依賴關系,針對所述各工作節點分別執行以下操作:
4.如權利要求2所述的方法,其特征在于,所述基于各網絡流量的網絡五元組,將網絡流量與容器之間的粗粒度網絡依賴關系轉化為容器之間的粗粒度網絡訪問關系,包括:
5.如權利要求1所述的方法,其特征在于,通過執行以下操作,得到所述容器艙分類集合:
6.如權利要求1-5任一項所述的方法,其特征在于,所述基于所述細粒度網絡訪問關系,配置集群內的網絡隔離策略,包括:
7.如權利要求6所述的方法,其特征在于,在基于所述細粒度網絡訪問關系,配置集群內的網絡隔離策略之后,所述方法還包括:>
8.一種網絡隔離策略配置裝置,其特征在于,包括:
9.一種電子設備,其特征在于,其包括處理器和存儲器,其中,所述存儲器存儲有程序代碼,當所述程序代碼被所述處理器執行時,使得所述處理器執行權利要求1~7中任一項所述方法的步驟。
10.一種計算機可讀存儲介質,其特征在于,其包括程序代碼,當所述程序代碼在計算機設備上運行時,所述程序代碼用于使所述計算機設備執行權利要求1~7中任一項所述方法的步驟。
...【技術特征摘要】
1.一種網絡隔離策略配置方法,其特征在于,包括:
2.如權利要求1所述的方法,其特征在于,所述基于集群內各工作節點的網絡傳輸數據與所述各工作節點上部署容器的容器基本信息,構建容器之間的粗粒度網絡訪問關系,包括:
3.如權利要求2所述的方法,其特征在于,所述基于集群內所述各工作節點的網絡流量集、進程信息集及所述各工作節點上部署容器的容器基本信息,構建所述各工作節點的網絡流量與容器之間的粗粒度網絡依賴關系,針對所述各工作節點分別執行以下操作:
4.如權利要求2所述的方法,其特征在于,所述基于各網絡流量的網絡五元組,將網絡流量與容器之間的粗粒度網絡依賴關系轉化為容器之間的粗粒度網絡訪問關系,包括:
5.如權利要求1所述的方法,其特征在于,通過執行以下操作,得到...
【專利技術屬性】
技術研發人員:張萬興,杜霖,宋建霖,段譽佳,黃俊,何坤,
申請(專利權)人:綠盟科技集團股份有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。