2. 专利查询
  3. 容器编排调度方法、流控处理方法与流程

容器编排调度方法、流控处理方法与流程

专利查询1月前  22

本公开涉及云平台,具体涉及到一种容器编排调度方法、流控处理方法。


背景技术:

1、容器编排是指对多个服务容器的部署,管理。之所以有容器编排技术,主要与业务量与系统复杂度与日俱增,进而推动服务部署的演进方式息息相关的。在实际生产环境中,在多台物理主机中协调容器资源成为首要解决的问题,这一问题被统称为容器编排。

2、现阶段的云基本都是统一资源池,即将所有的上报的服务器资源当作统一的可调度池,即使进行了类似于命名空间的隔离,也都是用户感知层的隔离,实际的物理服务器并未进行隔离,还是在使用统一的资源池。这样无疑扩大了服务容器的攻击面,尤其对于不同密级服务,仅感知层的隔离是远远不足的,不同密级的服务物理实体在一起,不仅增大了容器被攻陷的概率,同时也使攻陷的后果也更加严重。


技术实现思路

1、本公开的主要目的在于提供一种容器编排调度方法,包括:对服务器资源池中的服务器利用预设的策略进行安全等级划分,并将不同安全等级的服务器归为不同的资源子池中,其中,高安全等级的服务器对应的资源子池等级为高、中安全等级的服务器对应的资源子池等级为中、低安全等级的服务器对应的资源子池的等级为低;基于预设的划分规则对不同业务服务的密级进行划分、以及对业务服务的核心度进行划分;基于不同业务服务的密级、以及不同业务的核心度,将不同业务服务匹配至不同的资源子池。

2、可选地,在将不同安全等级的服务器归为不同的资源子池中后,方法还对资源子池进行流量控制,包括:使相同资源子池内的服务器可互相访问;不同等级的资源子池间,使高安全等级资源子池的服务器可访问低安全等级资源子池的服务器;使低安全等级资源子池的服务器不可访问高安全等级的资源子池的服务器。

3、可选地,基于不同业务服务的密级、以及不同业务的核心度,将不同业务服务匹配至不同的资源子池包括:密级高的业务服务被优先部署至安全等级高的资源子池;密级低的业务服务被优先部署至安全等级低的资源子池;其中,当安全等级高的资源子池资源不足时,将密级高的业务服务跨级部署至安全等级低的资源子池中。

4、可选地,基于不同业务服务的密级、以及不同业务的核心度,将不同业务服务匹配至不同的资源子池包括:核心度高的核心业务服务被优先部署至安全等级高的资源子池;核心度不高的边缘业务服务被优先部署至安全等级低的资源子池;其中,当安全等级高的资源子池资源不足时,将核心服务跨级部署至安全等级低的资源子池。

5、可选地,基于预设的划分规则对不同业务服务的密级进行划分包括:基于数据的敏感性、业务的重要性以及潜在的安全风险划分密级。

6、可选地,对业务服务的核心度进行划分包括:根据业务重要性、对系统功能的依赖程度、以及服务之间的关联关系对业务服务的核心度进行划分。

7、可选地,包括:获取容器安全监测结果,其中,所述安全监测结果包括存在或者不存在漏洞风险,当存在漏洞风险时,所述漏洞风险包括高风险等级、中风险等级和低风险等级;基于不同的漏洞风险等级、以及服务器的不同安全等级执行不同的流控处理。

8、可选地,基于不同的漏洞风险等级、以及服务器的不同安全等级执行不同的流控处理包括:如果服务器的安全等级为高安全等级,则进行告警以及对服务器隔离;如果服务器的安全等级为中安全等级、漏洞风险等级为中风险等级或者高风险等级,则进行告警以及对服务器进行隔离;如果服务器的安全等级为中安全等级、漏洞风险等级为低风险等级,则进行告警提醒以及进行容器隔离;如果服务器的安全等级为低安全等级、漏洞风险等级为中风险等级或者高风险等级,则进行告警提醒以及容器隔离;如果服务器的安全等级为低安全等级、漏洞风险等级为低风险等级,则进行告警提醒。

9、可选地,获取容器安全监测结果,其中,所述安全监测结果包括存在或者不存在漏洞风险,当存在漏洞风险时,所述漏洞风险包括高风险等级、中风险等级和低风险等级;基于不同的漏洞风险等级、以及服务器的不同安全等级执行不同的流控处理,其中,对服务器资源池中的服务器利用预设的策略进行安全等级划分,高安全等级的服务器对应的资源子池等级为高、中安全等级的服务器对应的资源子池等级为中、低安全等级的服务器对应的资源子池的等级为低;基于不同的漏洞风险等级、以及服务器的不同安全等级执行不同的流控处理。

10、可选地,基于不同的漏洞风险等级、以及服务器的不同安全等级执行不同的流控处理包括:如果服务器的安全等级为高安全等级,则进行告警以及对服务器隔离;如果服务器的安全等级为中安全等级、漏洞风险等级为中风险等级或者高风险等级,则进行告警以及对服务器进行隔离;如果服务器的安全等级为中安全等级、漏洞风险等级为低风险等级,则进行告警提醒以及进行容器隔离;如果服务器的安全等级为低安全等级、漏洞风险等级为中风险等级或者高风险等级,则进行告警提醒以及容器隔离;如果服务器的安全等级为低安全等级、漏洞风险等级为低风险等级,则进行告警提醒。

11、为了实现上述目的,根据本公开的第一方面,提供了一种容器编排调度方法,包括:对服务器资源池中的服务器利用预设的策略进行安全等级划分,并将不同安全等级的服务器归为不同的资源子池中,其中,高安全等级的服务器对应的资源子池等级为高、中安全等级的服务器对应的资源子池等级为中、低安全等级的服务器对应的资源子池的等级为低;基于预设的划分规则对不同业务服务的密级进行划分、以及对业务服务的核心度进行划分;基于不同业务服务的密级、以及不同业务的核心度,将不同业务服务匹配至不同的资源子池。

12、可选地,在将不同安全等级的服务器归为不同的资源子池中后,方法还对资源子池进行流量控制,包括:使相同资源子池内的服务器可互相访问;不同等级的资源子池间,使高安全等级资源子池的服务器可访问低安全等级资源子池的服务器;使低安全等级资源子池的服务器不可访问高安全等级的资源子池的服务器。

13、可选地,基于不同业务服务的密级、以及不同业务的核心度,将不同业务服务匹配至不同的资源子池包括:密级高的业务服务被优先部署至安全等级高的资源子池;密级低的业务服务被优先部署至安全等级低的资源子池;其中,当安全等级高的资源子池资源不足时,将密级高的业务服务跨级部署至安全等级低的资源子池中。

14、可选地,基于不同业务服务的密级、以及不同业务的核心度,将不同业务服务匹配至不同的资源子池包括:核心度高的核心业务服务被优先部署至安全等级高的资源子池;核心度不高的边缘业务服务被优先部署至安全等级低的资源子池;其中,当安全等级高的资源子池资源不足时,将核心服务跨级部署至安全等级低的资源子池。

15、可选地,基于预设的划分规则对不同业务服务的密级进行划分包括:基于数据的敏感性、业务的重要性以及潜在的安全风险划分密级。

16、可选地,对业务服务的核心度进行划分包括:根据业务重要性、对系统功能的依赖程度、以及服务之间的关联关系对业务服务的核心度进行划分。

17、根据本公开的第二方面,提供了一种实现流控处理的方法,包括获取容器安全监测结果,其中,所述安全监测结果包括存在或者不存在漏洞风险,当存在漏洞风险时,所述漏洞风险包括高风险等级、中风险等级和低风险等级;基于不同的漏洞风险等级、以及服务器的不同安全等级执行不同的流控处理。

18、可选地,基于不同的漏洞风险等级、以及服务器的不同安全等级执行不同的流控处理包括:如果服务器的安全等级为高安全等级,则进行告警以及对服务器隔离;如果服务器的安全等级为中安全等级、漏洞风险等级为中风险等级或者高风险等级,则进行告警以及对服务器进行隔离;如果服务器的安全等级为中安全等级、漏洞风险等级为低风险等级,则进行告警提醒以及进行容器隔离;如果服务器的安全等级为低安全等级、漏洞风险等级为中风险等级或者高风险等级,则进行告警提醒以及容器隔离;如果服务器的安全等级为低安全等级、漏洞风险等级为低风险等级,则进行告警提醒。

19、根据本公开的第三方面,提供了另一种实现流控处理的方法,包括获取容器安全监测结果,其中,所述安全监测结果包括存在或者不存在漏洞风险,当存在漏洞风险时,所述漏洞风险包括高风险等级、中风险等级和低风险等级;基于不同的漏洞风险等级、以及服务器的不同安全等级执行不同的流控处理,其中,对服务器资源池中的服务器利用预设的策略进行安全等级划分,高安全等级的服务器对应的资源子池等级为高、中安全等级的服务器对应的资源子池等级为中、低安全等级的服务器对应的资源子池的等级为低;基于不同的漏洞风险等级、以及服务器的不同安全等级执行不同的流控处理。

20、可选地,基于不同的漏洞风险等级、以及服务器的不同安全等级执行不同的流控处理包括:如果服务器的安全等级为高安全等级,则进行告警以及对服务器隔离;如果服务器的安全等级为中安全等级、漏洞风险等级为中风险等级或者高风险等级,则进行告警以及对服务器进行隔离;如果服务器的安全等级为中安全等级、漏洞风险等级为低风险等级,则进行告警提醒以及进行容器隔离;如果服务器的安全等级为低安全等级、漏洞风险等级为中风险等级或者高风险等级,则进行告警提醒以及容器隔离;如果服务器的安全等级为低安全等级、漏洞风险等级为低风险等级,则进行告警提醒。

21、本实施例容器编排调度方法,包括对服务器资源池中的服务器利用预设的策略进行安全等级划分,并将不同安全等级的服务器归为不同的资源子池中,其中,高安全等级的服务器对应的资源子池等级为高、中安全等级的服务器对应的资源子池等级为中、低安全等级的服务器对应的资源子池的等级为低;基于预设的划分规则对不同业务服务的密级进行划分、以及对业务服务的核心度进行划分;基于不同业务服务的密级、以及不同业务的核心度,将不同业务服务匹配至不同的资源子池。本实施例可以将容器的用户感知层隔离深化到物理层面的隔离,结合业务服务的密级配置,通过借助不同资源子池承载不同的业务服务,配置相应的流控策略,进一步提升了容器的隔离水平,增加了容器攻陷的难度,降低了容器被攻陷的概率以及攻陷后的严重程度。

22、本实施例实现流控处理的方法,对平台的容器进行实时监测,对于存在安全风险的的情况,进行风险告警通知干系人快速响应处理,并针对不同等级的风险采取不同的处理措施,对于中高等级风险,进行自动化的流量双向封锁,可防止风险进一步扩大。

23、为了更清楚地说明本公开具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本公开的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。

24、图1是根据本公开实施例容器编排调度方法的流程图;

25、图2是本公开实施例容器编排调度方法的一种应用场景示意图;

26、图3是根据本公开实施例的实现流控处理的方法流程图;

27、图4是本公开实施例实现流控处理的方法的一种应用场景示意图。


技术特征:

1.一种容器编排调度方法,其特征在于,包括:

2.根据权利要求1所述的容器编排调度方法,其特征在于,在将不同安全等级的服务器归为不同的资源子池中后,方法还对资源子池进行流量控制,包括:

3.根据权利要求1所述的容器编排调度方法,其特征在于,基于不同业务服务的密级、以及不同业务的核心度,将不同业务服务匹配至不同的资源子池包括:

4.根据权利要求3所述的容器编排调度方法,其特征在于,基于不同业务服务的密级、以及不同业务的核心度,将不同业务服务匹配至不同的资源子池包括:

5.根据权利要求1所述的容器编排调度方法,其特征在于,基于预设的划分规则对不同业务服务的密级进行划分包括:基于数据的敏感性、业务的重要性以及潜在的安全风险划分密级。

6.根据权利要求5所述的容器编排调度方法,其特征在于,对业务服务的核心度进行划分包括:根据业务重要性、对系统功能的依赖程度、以及服务之间的关联关系对业务服务的核心度进行划分。

7.一种基于权利要求1-6任一项方法编排调度得到的资源池实现流控处理的方法,其特征在于,包括:

8.根据权利要求7所述的流控处理的方法,其特征在于,基于不同的漏洞风险等级、以及服务器的不同安全等级执行不同的流控处理包括:

9.一种实现流控处理的方法,其特征在于,获取容器安全监测结果,其中,所述安全监测结果包括存在或者不存在漏洞风险,当存在漏洞风险时,所述漏洞风险包括高风险等级、中风险等级和低风险等级;

10.根据权利要求9所述的流控处理方法,其特征在于,基于不同的漏洞风险等级、以及服务器的不同安全等级执行不同的流控处理包括:


技术总结
本公开实施例公开了一种容器编排调度方法、实现流控处理的方法,容器编排调度方法包括对服务器资源池中的服务器利用预设的策略进行安全等级划分,并将不同安全等级的服务器归为不同的资源子池中,基于预设的划分规则对不同业务服务的密级进行划分、以及对业务服务的核心度进行划分;基于不同业务服务的密级、以及不同业务的核心度,将不同业务服务匹配至不同的资源子池。本实施例可以将容器的用户感知层隔离深化到物理层面的隔离,结合业务服务的密级配置,通过借助不同资源子池承载不同的业务服务,配置相应的流控策略,进一步提升了容器的隔离水平,增加了容器攻陷的难度,降低了容器被攻陷的概率以及攻陷后的严重程度。

技术研发人员:石雪娜,乔彩丽,王智超,刘若斌,韩宗训,赵丽星
受保护的技术使用者:中国电子科技集团公司第十五研究所
技术研发日:
技术公布日:2024/12/5

专利

最新回复(0)