[发明专利]一种基于Sidecar模式的容器安全方法及系统

说明书

本发明公开了一种基于Sidecar模式的容器安全方法及系统，所述方法包括如下过程：当容器应用container要对宿主机kernel做涉及内核的核心操作时，通过和容器应用container位于同一POD内的Sidecar模式下的容器鉴权执行代理container实现容器应用container与宿主机kernel交互；容器鉴权执行代理container在实现容器应用container与宿主机kernel交互操作前，先对宿主机kernel进行鉴权，对于鉴权通过的执行操作，调用执行工具进行宿主机操作系统内核命令的执行；对于鉴权不通过的指令进行拦截返回。解决了当前在物理机上进行容器创建面对的权限管理繁琐和系统安全性差的问题。

技术领域

本发明涉及云计算技术领域，具体涉及一种基于Sidecar模式的容器安全方法及系统。

背景技术

当前容器的安全技术一是通过在物理机的基础上创建虚拟机，虚拟机内部进行容器的创建；二是直接在物理机上进行容器的创建。

在虚拟机内部进行容器创建的方式达到通过赋予不同租户虚拟机权限来实现了租户的隔离，但是浪费了计算和存储等资源。

在物理机上进行容器的创建，缺少对于不同租户容器的隔离技术，无法实现租户的隔离，面对系统安全不足和权限管理繁琐等问题。

考虑到K8S已经成为事实上容器编排技术的解决方案，以及SrviceMesh技术的生产可用。本发明旨在通过在容器运行的POD内增加容器安全权限认证的容器，对于租户的权限使用ServiceMesh技术进行集中的权限认证，实现容器对于操作系统内核的操作进行限制，来保证在物理机上使用不同容器的租户权限管理，以及对于操作系统内核操作安全的保障。

发明内容

针对当前在物理机上进行容器创建面对的权限管理繁琐和系统安全性差的问题，本发明提供一种基于Sidecar模式的容器安全方法及系统。

本发明公开了一种基于Sidecar模式的容器安全方法，所述方法包括如下过程：

当容器应用container要对宿主机kernel做涉及内核的核心操作时，通过和容器应用container位于同一POD内的Sidecar模式下的容器鉴权执行代理container实现容器应用container与宿主机kernel交互；

容器鉴权执行代理container在实现容器应用container与宿主机kernel交互操作前，先对宿主机kernel进行鉴权，对于鉴权通过的执行操作，调用执行工具进行宿主机操作系统内核命令的执行；对于鉴权不通过的指令进行拦截返回。

优选地，上述核心操作为涉及操作系统内核级别的操作内容，具体包括如下内容：

第一种：操作系统内核的编译升级；

第二种：驱动模块的操作，硬件驱动重新编译加载到内核；

第三种：根据不同业务场景，对内核参数进行调优。

优选地，上述Sidecar模式指只有通过在宿主机kernel上安全认证通过的容器应用container获得进行内核级操作权限的安全模式。

优选地，上述对于鉴权通过的执行操作指容器应用container在宿主机kernel上直接和宿主机kernel进行交互。

优选地，上述鉴权的过程指容器应用container通过容器的SSL证书，使用HTTPS协议，和ServiceMesh控制平面安全认证组件进行远程交互，进行权限认证，所述ServiceMesh控制平面安全认证组件可对多个POD内的鉴权执行代理container权限进行集中认证。

优选地，上述方法的工作流程为：