一种应用隔离方法、系统、设备及计算机可读存储介质技术方案

本申请公开了一种应用隔离方法、系统、设备及计算机可读存储介质，确定出Kubernetes中待隔离的目标应用；获取目标应用中各个组件的隔离策略；创建与目标应用对应的初始网络安全策略；基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略；将目标网络安全策略转换为与Kubernetes匹配的Iptables规则；基于Iptables规则对目标应用进行隔离。本申请中，根据组件的隔离策略修改初始网络安全策略，得到与隔离策略相符的目标网络安全策略，并且之后将目标网络安全策略转换为与Kubernetes匹配的Iptables规则，实现了对Kubernetes中应用的隔离。

【技术实现步骤摘要】
一种应用隔离方法、系统、设备及计算机可读存储介质
本申请涉及应用隔离
，更具体地说，涉及一种应用隔离方法、系统、设备及计算机可读存储介质。
技术介绍
Kubernetes，简称K8s，是用8代替8个字符“ubernete”而成的缩写，是一个开源的，用于管理云平台中多个主机上的容器化的应用，Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署，规划，更新，维护的一种机制。在Kubernetes的应用过程中，有时处于安全、限制网络流量的目的，需要控制实体之间的联连通性，比如对应用进行隔离等，而现有技术中并未有对应用进行隔离的方法。综上所述，如何实现Kubernetes内的应用隔离是目前本领域技术人员亟待解决的问题。
技术实现思路
本申请的目的是提供一种应用隔离方法，其能在一定程度上解决如何实现Kubernetes内的应用隔离的技术问题。本申请还提供了一种应用隔离系统、设备及计算机可读存储介质。为了实现上述目的，本申请提供如下技术方案：一种应用隔离方法，包括：确定出Kubernetes中待隔离的目标应用；获取所述目标应用中各个组件的隔离策略；创建与所述目标应用对应的初始网络安全策略；基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略；将所述目标网络安全策略转换为与所述Kubernetes匹配的Iptables规则；基于所述Iptables规则对所述目标应用进行隔离。优选的，所述创建与所述目标应用对应的初始网络安全策略，包括：创建所述初始网络安全策略；将所述初始网络安全策略的pod选择器字段设置为匹配表达式的形式；将所述初始网络安全策略的operator值设为条件运算符In；将所述初始网络安全策略的所述匹配标签设置为所述目标应用中所有组件的标识的集合。优选的，所述基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签，包括：基于所述隔离策略中的被访问策略修改所述入栈规则；基于所述隔离策略中的主动访问策略修改所述出栈规则；将所述匹配标签的值设置为所述隔离策略中被隔离的组件的标识；其中，所述被访问策略表征其他组件访问所述目标应用的组件的策略；所述主动访问策略表征所述目标应用的组件访问其他组件的策略。优选的，所述基于所述隔离策略中的被访问策略修改所述入栈规则，包括：确定出与所述被访问策略对应的第一组件；将所述入栈规则中所述第一组件对应的端口号修改为所述被访问策略中的对应端口号；将所述入栈规则中所述第一组件对应的网络数据交换规则修改为所述被访问策略中的对应网络数据交换规则；将所述入栈规则中所述第一组件对应的pod选择器字段修改为matchlabel，将所述matchlabel的值设置为所述被访问策略中对应的其他组件的标识。优选的，所述基于所述隔离策略中的主动访问策略修改所述出栈规则，包括：确定出与所述主动访问策略对应的第二组件；将所述出栈规则中所述第二组件对应的端口号修改为所述主动访问策略中的对应端口号；将所述出栈规则中所述第二组件对应的网络数据交换规则修改为所述主动访问策略中的对应网络数据交换规则；将所述出栈规则中所述第二组件对应的pod选择器字段修改为matchlabel，将所述matchlabel的值设置为所述主动访问策略中对应的其他组件的标识。优选的，所述确定出Kubernetes中待隔离的目标应用之前，还包括：在所述Kubernetes中部署calico网络插件；将所述calico网络插件中的caliconode设置为以demonest方式运行；将所述calico网络插件中的calicocontroller设置为以无状态负载方式运行。优选的，所述组件的标识包括所述组件的标签。一种应用隔离系统，包括：第一确定模块，用于确定出Kubernetes中待隔离的目标应用；第一获取模块，用于获取所述目标应用中各个组件的隔离策略；第一创建模块，用于创建与所述目标应用对应的初始网络安全策略；第一修改模块，用于基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略；第一转换模块，用于将所述目标网络安全策略转换为与所述Kubernetes匹配的Iptables规则；第一隔离模块，用于基于所述Iptables规则对所述目标应用进行隔离。一种应用隔离设备，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现如上任一项所述应用隔离方法的步骤。一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现如上任一所述应用隔离方法的步骤。本申请提供的一种应用隔离方法，确定出Kubernetes中待隔离的目标应用；获取目标应用中各个组件的隔离策略；创建与目标应用对应的初始网络安全策略；基于隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略；将目标网络安全策略转换为与Kubernetes匹配的Iptables规则；基于Iptables规则对目标应用进行隔离。本申请中，可以根据组件的隔离策略修改初始网络安全策略的入栈规则、出栈规则和匹配标签，得到与隔离策略相符的目标网络安全策略，并且之后将目标网络安全策略转换为与Kubernetes匹配的Iptables规则，从而可以基于Iptables规则对目标应用进行隔离，实现了对Kubernetes中应用的隔离。本申请提供的一种应用隔离系统、设备及计算机可读存储介质也解决了相应技术问题。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本申请实施例提供的一种应用隔离方法的流程图；图2为本申请实施例提供的一种应用隔离系统的结构示意图；图3为本申请实施例提供的一种应用隔离设备的结构示意图；图4为本申请实施例提供的一种应用隔离设备的另一结构示意图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。请参阅图1，图1为本申请实施例提供的一种应用隔离方法的流程图。本申请实施例提供的一种应用隔离方法，可以包本文档来自技高网...

【技术保护点】
1.一种应用隔离方法，其特征在于，包括：/n确定出Kubernetes中待隔离的目标应用；/n获取所述目标应用中各个组件的隔离策略；/n创建与所述目标应用对应的初始网络安全策略；/n基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略；/n将所述目标网络安全策略转换为与所述Kubernetes匹配的Iptables规则；/n基于所述Iptables规则对所述目标应用进行隔离。/n

【技术特征摘要】
1.一种应用隔离方法，其特征在于，包括：
确定出Kubernetes中待隔离的目标应用；
获取所述目标应用中各个组件的隔离策略；
创建与所述目标应用对应的初始网络安全策略；
基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签，得到目标网络安全策略；
将所述目标网络安全策略转换为与所述Kubernetes匹配的Iptables规则；
基于所述Iptables规则对所述目标应用进行隔离。


2.根据权利要求1所述的方法，其特征在于，所述创建与所述目标应用对应的初始网络安全策略，包括：
创建所述初始网络安全策略；
将所述初始网络安全策略的pod选择器字段设置为匹配表达式的形式；
将所述初始网络安全策略的operator值设为条件运算符In；
将所述初始网络安全策略的所述匹配标签设置为所述目标应用中所有组件的标识的集合。


3.根据权利要求2所述的方法，其特征在于，所述基于所述隔离策略修改所述初始网络安全策略的入栈规则、出栈规则和匹配标签，包括：
基于所述隔离策略中的被访问策略修改所述入栈规则；
基于所述隔离策略中的主动访问策略修改所述出栈规则；
将所述匹配标签的值设置为所述隔离策略中被隔离的组件的标识；
其中，所述被访问策略表征其他组件访问所述目标应用的组件的策略；所述主动访问策略表征所述目标应用的组件访问其他组件的策略。


4.根据权利要求3所述的方法，其特征在于，所述基于所述隔离策略中的被访问策略修改所述入栈规则，包括：
确定出与所述被访问策略对应的第一组件；
将所述入栈规则中所述第一组件对应的端口号修改为所述被访问策略中的对应端口号；
将所述入栈规则中所述第一组件对应的网络数据交换规则修改为所述被访问策略中的对应网络数据交换规则；
将所述入栈规则中所述第一组件对应的pod选择器字段修改为matchlabel，将所述matchlabel的值设置为所述被访问策略中对应的其他组件的标识。


5.根据权利要求4所述的方法，其特征在于，所述基于所述隔离策略...

【专利技术属性】
技术研发人员：张强，刘正伟，
申请(专利权)人：浪潮电子信息产业股份有限公司，
类型：发明
国别省市：山东;37