涉密集群系统及基于涉密应用保密等级的容器技术利用方法技术方案

本发明专利技术提供了一种涉密集群系统，适用于

【技术实现步骤摘要】
涉密集群系统及基于涉密应用保密等级的容器技术利用方法


[0001]本专利技术涉及云计算容器
，具体涉及一种涉密集群系统，适用于
Kubernetes
集群系统，以及所述的涉密集群系统的基于涉密应用保密等级的容器技术利用方法
。

技术介绍

[0002]容器技术属于轻量级的虚拟化技术，通过共享主机操作系统内核，虚拟出的类似沙箱的小规模运行环境，每个容器都具有自己的文件系统
、CPU、
内存和进程控件等
。
虚拟机实现了操作系统级别的隔离，而容器技术实现了操作系统下进程级别的隔离
。
容器非常轻巧且启动迅速，能实现秒级启动，而虚拟机体积更大且启动时间更长
。
[0003]镜像是容器技术的核心概念之一，是一个轻量级
、
可执行的独立软件包，封装了应用程序及其所有软件依赖的二进制数据
。
镜像实际上是由一层一层的只读文件系统组合而成，每层文件系统具有独特的
hash
值，通过联合文件系统
(UnionFS)
将各层只读文件系统叠加起来，挂载到同一个包含所有底层文件和目录的虚拟文件系统下
。
多个镜像可复用具备相同
hash
值的文件系统层
。
执行和存储容器的写操作时，会把镜像文件层复制到容器层修改，保证镜像层不变
。
[0004]Kubernetes
是一个开源的容器编排调度框架，用于调度管理容器化的工作负载和服务，已成为云原生领域的容器编排调度事实标准，被业界广泛应用
。
[0005]然而，容器技术和
Kubernetes
技术在运用到涉密应用领域时存在安全隐患
。
现有主流的容器共享操作系统内核，已知的漏洞允许恶意用户逃逸容器并访问内核和共享的容器
。
原生
Docker
技术在运行容器时，利用镜像层
hash
值实现基础镜像的复用
。
但多个容器应用共享基础镜像也带来了安全隐患，基础镜像的损坏或被攻击可能会导致大面积应用无法使用
。
[0006]Kubernetes
是面向通用场景来管理容器工作负载和服务，无法实现不同密级应用之间的隔离，在应用到涉密领域时，需进行针对性地对
Kubernetes
集群部署方式和应用调度方式改造，以匹配涉密领域要求
。

技术实现思路

[0007]针对现有容器技术在运用到涉密领域时存在的不足和安全隐患，本专利技术提出一种涉密集群系统，适用于
Kubernetes
集群系统，以及所述的涉密集群系统的基于涉密应用保密等级的容器技术利用方法，实现基于集群网络分离
、
密级匹配镜像调度
、
容器镜像隔离和安全容器应用部署
。
[0008]一方面，本专利技术提出一种涉密集群系统，所述涉密集群系统适用于
Kubernetes
集群系统，该系统包括管理集群
、
业务集群
、
镜像仓库和集群网络四部分内容；
[0009]管理集群，部署
Kubernetes
集群的管理组件，管理节点通过高可用的方式部署，通过集群管理网络管理业务集群和镜像仓库；
[0010]业务集群部署业务应用，业务应用部署在匹配应用密级的业务集群中，不同密级的业务集群之间彼此物理隔离；业务集群的每个节点具备管理网卡和业务网卡两个网络出口，管理网卡接入统一的管理网络中，业务网卡接入匹配密级的业务网络中
。
[0011]镜像仓库，统一管理所有的保密等级的镜像，通过管理网络接受管理集群对镜像的统一调度；
[0012]集群网络，分为管理网络和业务网络两部分；管理网络是管理集群
、
业务集群和镜像仓库通信的专用网络，主要传输管理控制数据和镜像数据；业务网络按照保密等级分为非密网络
、
机密网络和秘密网络，不同等级的网络之间相互隔离
。
[0013]进一步地，所述集群网络将
Kubernetes
集群网络分为管控网络和数据网络；管理集群通过加密认证的管控网络实现对所有业务应用集群和镜像仓库的管理，业务应用集群和镜像仓库只能和管理集群进行一对一通信，相互之间无法通过管理网络进行访问；不同密级业务应用集群之间实现物理隔离，并接入隔离且独立的对应密级数据网络
。
[0014]进一步地，所述管理集群包括主管理节点和若干个备用管理节点
。
[0015]进一步地，所述镜像仓库包括非密应用镜像，机密应用镜像和秘密应用镜像
。
[0016]另一方面，本专利技术提出一种利用上述系统的基于涉密应用保密等级的容器技术利用方法，所述方法具体包括：
[0017]步骤
101
：上传镜像到镜像仓库，在上传镜像时为镜像打上保密等级标签，标定镜像保密等级；
[0018]步骤
102
：创建应用时，从镜像仓库中选择应用对应的密级镜像；
[0019]步骤
103
：根据应用密级，管理节点的调度器基于密级的编排调度算法计算出应用部署的业务集群和工作节点，并通知对应的业务集群和工作节点；
[0020]步骤
104
：若为第一次安装，步骤
103
中计算得出的业务集群和工作节点通过管理网络从镜像仓库中拉取镜像；否则使用节点本地已经拉取过的镜像；
[0021]步骤
105
：在非密应用集群中，采用普通容器运行镜像创建应用，在机密
、
秘密应用集群中，采用安全容器运行镜像创建应用
。
[0022]进一步地，将容器技术和
Kubernetes
技术应用到涉密领域的安全性要求，提出集群网络分离
、
基于密级匹配镜像调度
、
容器镜像隔离
、
安全容器应用部署的方法，提升了涉密应用容器运行的稳定性和运行环境的安全性
。
[0023]进一步地，所述步骤
S103
中的基于密级匹配的镜像调度方法为保障业务应用运行在符合其密级的集群和节点上，通过改造
Kubernetes
容器调度算法实现密级匹配调度，根据创建应用的密级情况从镜像仓库中调度镜像到对应密级的集群和节点，密级不匹配的应用镜像无法拉取和启动，实现基于密级匹配的镜像调度
。
[0024]进一步地，普通容器复用底层基础镜像，安全容器使用独立的基础镜像
。
[0025]进一步地，所述容器镜像隔离方法，针对复用基础镜像可能带来的风险，基于容器
ID
对镜像存储逻辑进行改进，保密应用的容器不再复用基础镜像，而本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种涉密集群系统，其特征在于，所述涉密集群系统适用于
Kubernetes
集群系统，该系统包括管理集群
、
业务集群
、
镜像仓库和集群网络四部分内容；管理集群，部署
Kubernetes
集群的管理组件，管理节点通过高可用的方式部署，通过集群管理网络管理业务集群和镜像仓库；业务集群，部署业务应用，业务应用部署在匹配应用密级的业务集群中，不同密级的业务集群之间彼此物理隔离；镜像仓库，统一管理所有的保密等级的镜像，通过管理网络接受管理集群对镜像的统一调度；集群网络，分为管理网络和业务网络两部分；管理网络是管理集群
、
业务集群和镜像仓库通信的专用网络，主要传输管理控制数据和镜像数据；业务网络按照保密等级分为非密网络
、
机密网络和秘密网络，不同等级的网络之间相互隔离
。2.
如权利要求1所述的涉密集群系统，其特征在于，业务集群的每个节点具备管理网卡和业务网卡两个网络出口，管理网卡接入统一的管理网络中，业务网卡接入匹配密级的业务网络中
。3.
如权利要求1所述的涉密集群系统，其特征在于，所述的集群网络将
Kubernetes
集群网络分为管控网络和数据网络；管理集群通过加密认证的管控网络实现对所有业务应用集群和镜像仓库的管理，业务应用集群和镜像仓库只能和管理集群进行一对一通信，相互之间无法通过管理网络进行访问；不同密级业务应用集群之间实现物理隔离，并接入隔离且独立的对应密级数据网络
。4.
如权利要求1所述的涉密集群系统，其特征在于，所述的管理集群包括主管理节点和若干个备用管理节点
。5.
如权利要求1所述的涉密集群系统，其特征在于，所述镜像仓库包括非密应用镜像，机密应用镜像和秘密应用镜像
。6.
一种基于涉密应用保密等级的容器技术利用方法，其特征在于，利用如权利要求1‑5所述的涉密集群系统，所述方法具体包括：步骤
101
：上传镜像到镜像仓库，在上传镜像时为镜像打上保密等级标签，标定镜像保密等级；步骤
102
：创建应用时，从镜像仓库中选择应用对应的密级镜像；步骤
103
：根据应用密级，管理节点的调度器基于密级的编排调度算法计算出应用部署的业务集群和工作节点，并通知对应的业务集群和工作节点；步骤
104
：若为第一次安装，步骤
103
中计算得出的业务集群和工作节点通过管理网络从镜像仓库中拉取镜...

【专利技术属性】
技术研发人员：熊明俊，王哲敏，王梓葳，
申请(专利权)人：金航数码科技有限责任公司，
类型：发明
国别省市：