[发明专利]一种容器访问的控制方法、系统、电子设备及存储介质

说明书

本申请公开了一种容器访问的控制方法，应用于Kubernetes集群，所述控制方法包括：在所述Kubernetes集群中部署用户态程序，并利用所述用户态程序维护访问权限表；利用所述用户态程序创建eBPF程序，并将所述eBPF程序注入至所述Linux系统内核；判断是否存在外部流量访问所述Kubernetes集群的pod；若是，则利用所述eBPF程序从所述访问权限表中查询并执行所述外部流量对应的控制动作；其中，所述控制动作包括允许访问或拒绝访问。本申请能够提高容器访问控制的效率。本申请还公开了一种容器访问的控制系统、一种电子设备及一种存储介质，具有以上有益效果。

技术领域

本申请涉及云计算技术领域，特别涉及一种容器访问的控制方法、系统、电子设备及存储介质。

背景技术

在云计算时代，大量的微服务应用被部署到云平台上，如何对其进行网络管理就变得非常重要。相关技术中通常为集群内每一个pod增加sidecar代理容器实现对于外部流量访问pod的控制。上述pod内封装有集群内的多个容器。在上述方式中，每个通过pod的流量都要先经过sidecar容器，这大大的增加了资源消耗和响应时长，存在较大的性能问题。

因此，如何提高容器访问控制的效率是本领域技术人员目前需要解决的技术问题。

发明内容

本申请的目的是提供一种容器访问的控制方法、系统、一种电子设备及一种存储介质，能够提高容器访问控制的效率。

为解决上述技术问题，本申请提供一种容器访问的控制方法，应用于Kubernetes集群，该容器访问的控制方法包括：

在所述Kubernetes集群中部署用户态程序，并利用所述用户态程序维护访问权限表；其中，所述访问权限表由所述用户态程序和Linux系统内核共享；

利用所述用户态程序创建eBPF程序，并将所述eBPF程序注入至所述Linux系统内核；

判断是否存在外部流量访问所述Kubernetes集群的pod；其中，所述pod用于封装所述Kubernetes集群中的容器；

若是，则利用所述eBPF程序从所述访问权限表中查询并执行所述外部流量对应的控制动作；其中，所述控制动作包括允许访问或拒绝访问。

可选的，利用所述用户态程序维护访问权限表，包括：

利用所述用户态程序维护哈希表形式的访问权限表；其中，所述访问权限表的键key包括源地址、源端口、目标地址和目标端口，所述访问权限表的值value包括所述控制动作。

可选的，在所述Kubernetes集群中部署用户态程序，包括：

通过daemonset的方式在所述Kubernetes集群中部署所述用户态程序。

可选的，还包括：

控制所述用户态程序利用list-watch机制监控所述pod的IP变化信息；

根据所述IP变化信息更新所述访问权限表。

可选的，所述判断是否存在外部流量访问所述Kubernetes集群的pod，包括：

判断所述pod的套接字socket的接收消息事件是否被触发；

若是，则判定存在所述外部流量访问所述Kubernetes集群的pod；

若否，则判定不存在所述外部流量访问所述Kubernetes集群的pod。

可选的，在将所述eBPF程序注入至所述Linux系统内核之后，还包括：

判断是否存在访问外部IP地址的内部流量；