[发明专利]容器服务的安全防护方法、数据处理方法、装置及设备

说明书

一种容器服务的安全防护方法、数据处理方法、装置及设备，安全防护方法包括：管控中心通过多个访问入口接收处于外部网络的集群的流量，不同的访问入口用于接收来自不同集群或集群组的流量；管控中心对多个访问入口接收的流量分别进行监控，如果确定其中部分访问入口的流量异常，则将部分访问入口关闭。数据处理方法包括通过多个访问入口接收访问流量，确定多个访问入口中的至少一个访问入口的访问流量异常时，关闭所述至少一个访问入口的访问流量。本申请可以避免来自单个集群的攻击波及整个管控中心管控的所有集群。

技术领域

本发明涉及计算机技术，更具体地，涉及一种容器服务的安全防护方法、数据处理方法、装置及设备。

背景技术

容器(Container)可以容纳应用(Application，App)，提供基础环境和服务设施。当应用的访问量比较大时，只用单个容器很可能超过预设负载，导致应用异常或者崩溃，不能正常提供服务；或者应用比较重要，不能中断服务时，只用单个容器不能满足服务可靠性的要求，此时就要考虑使用多个容器来部署应用以达到提高并发访问能力和避免单点故障的目的。该多个容器对外是作为一个整体为用户提供服务，文中称为集群(Cluster)，也可称为用户集群，一个集群包括一个或多个服务器节点。

容器服务(Container Service)提供了高性能可伸缩的容器应用管理服务，支持在一组云服务器上通过容器来进行应用生命周期管理。容器服务极大简化了用户对容器管理集群的搭建工作，无缝整合了虚拟化、存储、网络和安全能力，构造了云端优化的运行环境。

相关技术中，提供的容器服务的场景有很多，以混合云场景为例，混合云包括公有云和私有云，公有云是云服务提供商提供的云服务环境，可在公网中提供服务。私有云是为特定用户单独使用而构建的云服务环境，如企业自身构建的云服务环境。私有云通过管控中心完成注册后，即可和公有云的集群共同组成一个混合云的环境。如图1所示，管控中心101部署在公有云100内，负责对公有云100以及在本管控中心注册过的私有云200内的集群的生命周期进行管理和控制，如创建集群、变更集群和删除集群等，还负责对来自公有云100外部的访问进行管理和控制，如访问入口配置、负载均衡、安全防护等。第一集群103和第二集群105也部署在公有云内，即第一集群103和第二集群105内的服务器节点是该公有云的节点。而第三集群201和第四集群203位于私有云200内，且该私有云200需要通过公网访问管控中心101，如进行注册或通过管控中心101与公有云内的集群交互，该私有云以图中的用户自建机房内为例。自建机房内的第三集群201、第四集群203要和管控中心101进行通信时，需要通过公网去访问管控中心101。由于管控中心101提供了公网访问能力，也就意味着任何人都可以去访问，因此存在被分布式拒绝服务(DDoS:Distributed Denial ofService)攻击的隐患，需要采用防护措施。

相关技术中，比较常用的方案是管控中心101通过IP白名单限制来阻止外部攻击者进行攻击。自建机房中的第三集群201和第四集群203通过管控中心101的统一访问入口访问管控中心101，通过IP地址白名单授权后即可访问。但是这并不能从根本上去遏制攻击的发生，一些高级的攻击者可以通过伪造可信的IP地址等方式，可以继续发起DDOS或者其他类的攻击。而管控中心一旦遭受大规模的攻击，造成整个管控中心的不可用，会使所有集群都不能提供服务，这样带来的损失是无法估量的，需要加强安全防护。

发明内容

有鉴于此，本发明实施例提供了一种容器服务的安全防护方法，包括：

管控中心通过多个访问入口接收处于外部网络的集群的流量，不同的访问入口用于接收来自不同集群或集群组的流量；

所述管控中心对所述多个访问入口接收的流量分别进行监控，如果确定其中部分访问入口的流量异常，则将所述部分访问入口关闭。

有鉴于此，本发明实施例还提供了一种容器服务的管控中心，包括：