容器管理方法、裝置、設備及存儲介質與流程

本發明涉及計算機，尤其涉及一種容器管理方法、裝置、設備及存儲介質。

背景技術：

1、近年來，隨著虛擬化、容器技術的廣泛應用，容器環境中的安全隱患也逐漸暴露。由于容器技術模塊化、速度快等特點，大部分傳統的安全防護系統無法滿足容器云環境下靈活、快速的變化需求，逐漸變得經形同虛設。在容器技術被廣泛應用和傳統安全設備管理失效的雙重影響下，容器平臺引發的安全事故逐漸呈現直線上漲的趨勢，在這種背景下容器環境安全與主機安全已經到達了刻不容緩的地步，越來越多的平臺管理者開始著重考慮容器環境的安全防護問題。

2、當前容器群環境的管理、控制，多借助于定制化開發的第三方服務平臺，目前在針對容器群管理控制，多基于k8s的工具接口進行控制。在此條件下，各容器環境，必須開放網絡接口或者是安全策略給各種服務監管平臺，當此類服務控制平臺出現問題時，將能全部攻擊管理的目標容器業務。容器監管服務，在對各個容器節點進行監管時，會經過各層網絡設備，包括防火墻、交換機、路由器等。同時，如果同一業務部署在多個網絡中時，需要容器監管控制服務跨網絡進行監管，特別是在跨互聯網區域的容器統一監管時。現有的監管方式存在以下問題：1，容器監管服務節點，訪問各個容器節點時，需要開放網絡策略；若安全監管要求禁止由外往內訪問時，該技術模型無法實現，受安全策略影響，禁止開放ssh、telnet、snmp、ftp等常規采集連接手段,2，通過容器群管控工具k8s等讀取數據時，需要開發api接口，實現復雜。3，容器服務涉及到互聯網時，需要開放互聯網暴露面，會受到外往內的互聯網暴露面嗅探攻擊...因此，如何實現容器的安全以及高效管理成為了亟待解決的技術問題。

技術實現思路

1、本發明的主要目的在于提供了一種容器管理方法、裝置、設備及存儲介質，旨在解決現有技術容器管理實現復雜、安全性不高的技術問題。

2、為實現上述目的，本發明提供了一種容器管理方法，應用于容器管理服務，所述方法包括以下步驟：

3、接收至少一個容器上報的dns請求包，解析所述dns請求包，得到容器信息；

4、基于所述容器信息確定容器安全策略；

5、按照預設約束算法對所述容器安全策略進行封裝，得到響應報文；

6、將所述響應報文發送至所述容器，所述容器基于所述響應報文中的容器安全策略進行容器管理。

7、可選地，所述容器信息包括容器通信數據和容器參數信息，所述容器安全策略包括容器出方向策略和容器入方向策略中的至少一種；

8、所述基于所述容器信息確定容器安全策略的步驟，包括：

9、根據所述容器通信數據和所述容器參數信息確定容器通信關系和容器風險信息；

10、根據所述容器通信關系和所述容器風險信息生成所述容器安全策略。

11、可選地，所述容器管理服務中部署有域名解析服務；

12、所述接收至少一個容器上報的dns請求包，解析所述dns請求包，得到容器信息的步驟，包括：

13、接收至少一個容器上報的dns請求包，獲取所述dns請求包中的域名解析請求；

14、通過所述域名解析服務對所述域名解析請求進行解析，得到域名解析結果；

15、按照預設解析策略對所述dns請求包進行解析，得到請求包解析結果，所述容器信息包括域名解析結果和所述請求包解析結果。

16、可選地，所述按照預設約束算法對所述容器安全策略進行封裝的步驟，包括：

17、根據所述預設約束算法確定域名數據包格式；

18、基于所述域名數據包格式對所述容器安全策略進行封裝。

19、此外，為實現上述目的，本發明還提供一種容器管理方法，應用于容器，所述容器管理方法包括以下步驟：

20、采集容器通信數據和容器參數信息；

21、基于預設約束算法對所述容器通信數據和所述容器參數信息進行報文封裝，得到dns請求包；

22、將所述dns請求包以域名解析方式上報至容器管理服務。

23、可選地，所述將所述dns請求包以域名解析方式上報至容器管理服務的步驟之后，還包括：

24、接收容器管理服務反饋的響應報文；

25、按照預設域名數據包格式對所述響應報文進行解析，得到解析結果；

26、對所述解析結果進行語言轉換，得到可識別的容器安全策略；

27、基于所述容器安全策略進行容器管理。

28、此外，為實現上述目的，本發明還提供一種容器管理裝置，所述裝置包括：

29、接收模塊，用于接收至少一個容器上報的dns請求包，解析所述dns請求包，得到容器信息；

30、策略確定模塊，用于基于所述容器信息確定容器安全策略；

31、封裝模塊，用于按照預設約束算法對所述容器安全策略進行封裝，得到響應報文；

32、發送模塊，用于將所述響應報文發送至所述容器，所述容器基于所述響應報文中的容器安全策略進行容器管理。

33、此外，為實現上述目的，本發明還提供一種容器管理裝置，所述裝置包括：

34、采集模塊，用于采集容器通信數據和容器參數信息；

35、封裝模塊，用于基于預設約束算法對所述容器通信數據和所述容器參數信息進行報文封裝，得到dns請求包；

36、上報模塊，用于將所述dns請求包以域名解析方式上報至容器管理服務。

37、此外，為實現上述目的，本發明還提出一種容器管理設備，所述設備包括：存儲器、處理器及存儲在所述存儲器上并可在所述處理器上運行的容器管理程序，所述容器管理程序配置為實現如上文所述的容器管理方法的步驟。

38、此外，為實現上述目的，本發明還提出一種存儲介質，所述存儲介質上存儲有容器管理程序，所述容器管理程序被處理器執行時實現如上文所述的容器管理方法的步驟。

39、本發明接收至少一個容器上報的dns請求包，解析所述dns請求包，得到容器信息；基于所述容器信息確定容器安全策略；按照預設約束算法對所述容器安全策略進行封裝，得到響應報文；將所述響應報文發送至所述容器，所述容器基于所述響應報文中的容器安全策略進行容器管理。由于本發明是容器管理，相對于現有的容器通過開放網絡接口給第三方平臺進行管理的方式，本發明上述方式能夠安全的對容器進行監管。

技術特征：

1.一種容器管理方法，其特征在于，應用于容器管理服務，所述容器管理方法包括以下步驟：

2.如權利要求1所述的容器管理方法，其特征在于，所述容器信息包括容器通信數據和容器參數信息，所述容器安全策略包括容器出方向策略和容器入方向策略中的至少一種；

3.如權利要求1所述的容器管理方法，其特征在于，所述容器管理服務中部署有域名解析服務；

4.如權利要求1所述的容器管理方法，其特征在于，所述按照預設約束算法對所述容器安全策略進行封裝的步驟，包括：

5.一種容器管理方法，其特征在于，應用于容器，所述容器管理方法包括以下步驟：

6.如權利要求5所述的容器管理方法，其特征在于，所述將所述dns請求包以域名解析方式上報至容器管理服務的步驟之后，還包括：

7.一種容器管理裝置，其特征在于，所述容器管理裝置包括：

8.一種容器管理裝置，其特征在于，所述容器管理裝置包括：

9.一種容器管理設備，其特征在于，所述設備包括：存儲器、處理器及存儲在所述存儲器上并可在所述處理器上運行的容器管理程序，所述容器管理程序配置為實現如權利要求1至4或5-6中任一項所述的容器管理方法的步驟。

10.一種存儲介質，其特征在于，所述存儲介質上存儲有容器管理程序，所述容器管理程序被處理器執行時實現如權利要求1至4或5-6任一項所述的容器管理方法的步驟。

技術總結
本發明屬于計算機領域，公開了一種容器管理方法、裝置、設備及存儲介質。該方法包括：接收至少一個容器上報的DNS請求包，解析所述DNS請求包，得到容器信息；基于所述容器信息確定容器安全策略；按照預設約束算法對所述容器安全策略進行封裝，得到響應報文；將所述響應報文發送至所述容器，所述容器基于所述響應報文中的容器安全策略進行容器管理。由于本發明是容器管理，相對于現有的容器通過開放網絡接口給第三方平臺進行管理的方式，本發明上述方式能夠安全的對容器進行監管。

技術研發人員：萬靈,鄭翔
受保護的技術使用者：中國移動通信集團江西有限公司
技術研發日：
技術公布日：2024/10/21