[发明专利]一种多集群网络安全策略管控方法和系统

权利要求书

1.一种多集群网络安全策略管控方法，用于在包含多个容器集群的联邦集群中进行安全策略规则配置，其特征在于，包括：

根据安全请求方编写的网络策略配置文件，调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择，并由所述网络策略控制器向规则中心发送规则注入请求；

响应于所述规则中心接收到网络策略控制器发送的规则注入请求，对所述网络策略控制器发送的安全策略规则进行规则校验；其中，所述安全策略规则包含于所述网络策略配置文件中；

响应于所述安全策略规则通过所述规则校验，所述规则中心将所述安全策略规则在规则库中进行存储固化，并向所述网络策略控制器发送第一信息，其中，所述第一信息为所述安全策略规则在所述规则库中存储固化成功的信息；

响应于所述网络策略控制器接收到所述第一信息，所述网络策略控制器基于选择的安全策略配置模式，在多个所述容器集群中进行所述安全策略规则的配置，以由多个所述容器集群根据所述安全策略规则，按照设定的工作模式进行网络访问安全保护。

2.根据权利要求1所述的多集群网络安全策略管控方法，其特征在于，所述根据安全请求方编写的网络策略配置文件，调用网络策略控制器对多个所述容器集群的安全策略配置模式进行选择，并由所述网络策略控制器向规则中心发送规则注入请求，包括：

根据所述网络策略配置文件中指定的应用程序接口，由应用程序接口服务模块将配置请求参数和所述安全策略规则转发至所述网络策略控制器；其中，所述配置请求参数包含于所述网络策略配置文件中；

所述网络策略控制器根据所述配置请求参数，对多个所述容器集群的安全策略配置模式进行选择，并向所述规则中心发送规则注入请求。

3.根据权利要求1所述的多集群网络安全策略管控方法，其特征在于，所述响应于规则中心接收到网络策略控制器发送的规则注入请求，对所述网络策略控制器发送的安全策略规则进行规则校验，包括：

响应于所述规则中心接收到所述网络策略控制器发送的规则注入请求，对所述网络策略控制器发送的所述安全策略规则和多个所述容器集群中目前配置的安全策略规则进行规则冲突检测；

若所述安全策略规则与所述容器集群中目前配置的安全策略规则发生规则冲突，则向安全请求方发送规则冲突的错误代码，以由所述安全请求方对所述安全策略规则进行修改；若所述安全策略规则与所述容器集群中目前配置的安全策略规则未发生规则冲突，则所述安全策略规则通过所述规则校验。

4.根据权利要求1所述的多集群网络安全策略管控方法，其特征在于，所述响应于所述安全策略规则通过所述规则校验，所述规则中心将所述安全策略规则在所述规则库中进行存储固化，并向所述网络策略控制器发送第一信息之后，在响应于所述网络策略控制器接收到所述第一信息，所述网络策略控制器基于选择的安全策略配置模式，在多个所述容器集群中进行所述安全策略规则的配置，以由多个所述容器集群根据所述安全策略规则，按照设定的工作模式进行网络访问安全保护之前，还包括：

响应于所述第一信息发送失败，所述规则中心按照预设的重试机制对所述第一信息进行重复发送，直至重复发送的次数达到所述重试机制的预设尝试阈值，所述规则中心将所述第一信息发送失败的消息代码反馈至所述安全请求方。

5.根据权利要求1所述的多集群网络安全策略管控方法，其特征在于，所述安全策略配置模式为多活镜像集群模式，

对应的，

所述响应于所述网络策略控制器接收到所述第一信息，所述网络策略控制器基于选择的安全策略配置模式，在多个所述容器集群中进行所述安全策略规则的配置，以由多个所述容器集群根据所述安全策略规则，按照设定的工作模式进行网络访问安全保护，包括：

响应于所述网络策略控制器接收到所述第一信息，基于所述多活镜像集群模式，根据所述网络策略配置文件，指定多个所述容器集群中的一个所述容器集群为主集群，并在指定为主集群的所述容器集群中注入所述安全策略规则；

基于指定为主集群的所述容器集群配置的所述安全策略规则，在所述联邦集群中的、所述网络策略配置文件中指定的其它所述容器集群中镜像复制主集群的所述安全策略规则，以由多个所述容器集群根据所述安全策略规则，按照设定的工作模式进行网络访问安全保护。