[发明专利]集群系统的安全管控方法、装置、设备及存储介质

权利要求书

1.一种集群系统的安全管控方法，其特征在于，

所述集群系统包括用于支撑网络应用的至少两个子集群；

所述安全管控方法包括：

所述至少两个子集群中的每个子集群内的每个工作节点，获取所述工作节点所属的子集群的节点列表，以及

确定当前防火墙规则的哈希值，并与所述工作节点最近一次预存的哈希值比对；

当比对一致时，确定所述工作节点的当前防火墙规则校验通过，并根据所述工作节点的安全策略和所述节点列表生成所述子集群的防火墙规则，其中，所述防火墙规则包括允许其他节点与所述工作节点进行通信的防火墙规则，以及允许外部子集群与所述工作节点进行通信的防火墙规则；

应用所述防火墙规则，以构建所述工作节点所属的子集群与外部的子集群之间的防火墙，所述防火墙基于白名单模式开放所述工作节点所属的子集群与外部的子集群之间的互相通信，并

开放所述工作节点与所述节点列表中节点之间的互通权限，其中，所述互通权限基于所述允许其他节点与所述工作节点进行通信的防火墙规则实现；

所述工作节点发送节点循环检测请求至所属的子集群的管理节点，以获取所述工作节点所属的子集群的节点变更信息；

基于所述节点变更信息更新所述防火墙规则，其中，所述节点变更信息包括以下至少之一：加入所述子集群的新工作节点的信息；退出所述子集群的工作节点的信息。

2.根据权利要求1所述的方法，其特征在于，

所述至少两个子集群中的每个子集群内的每个工作节点，获取所述工作节点所属的子集群的节点列表，包括：

所述至少两个子集群中的每个子集群内的每个工作节点向所属的子集群中的管理节点发送所述工作节点的信息，以使所述管理节点根据所辖的子集群中的每个工作节点的信息生成节点列表；

所述至少两个子集群中的每个子集群内的每个的工作节点向所属的子集群中的管理节点发送节点列表请求，并接收所述管理节点返回的所述工作节点所属的子集群的节点列表。

3.根据权利要求1所述的方法，其特征在于，

所述根据所述工作节点的安全策略和所述节点列表生成所述子集群的防火墙规则，包括：

所述至少两个子集群中的每个子集群内的每个工作节点从所属的子集群的节点列表中获取其他工作节点的地址和端口，以生成允许所述其他工作节点通过所述地址和端口与所述工作节点进行通信的所述子集群的防火墙规则；

其中，所述其他工作节点是所述节点所属的子集群中除所述工作节点之外的任意工作节点；

所述至少两个子集群中的每个子集群内的每个工作节点从所述安全策略中获取所述子集群向外部的子集群开放的协议和端口，以生成允许所述外部的子集群通过所述协议和端口与所述工作节点通信的所述子集群的防火墙规则。

4.根据权利要求1所述的方法，其特征在于，

在所述至少两个子集群中的每个子集群内的每个工作节点，获取所述工作节点所属的子集群的节点列表之前，所述安全管控方法还包括：

所述至少两个子集群中的每个子集群的每个管理节点向所辖的子集群的其他管理节点发送所辖的子集群的节点变更信息，以使所辖的子集群的其他管理节点同步所存储的节点列表，并

接收所辖的子集群的其他管理节点发送的节点变更信息，以同步所存储的节点列表。

5.根据权利要求1所述的方法，其特征在于，

在所述至少两个子集群中的每个子集群内的每个工作节点，获取所述工作节点所属的子集群的节点列表之前，所述安全管控方法还包括：

所述至少两个子集群中的每个子集群的每个管理节点针对请求加入的新工作节点进行以下初始化处理：

对所述新工作节点进行基于账号信息与密码信息的认证；

当认证通过时，将所述新工作节点加入到所述管理节点所辖的子集群中。

6.根据权利要求1所述的方法，其特征在于，所述基于所述节点变更信息更新所述防火墙规则，包括：

当所述节点变更信息表征存在加入的新工作节点时，将所述新工作节点的信息更新至所述防火墙规则中；

当所述节点变更信息表征存在退出的工作节点时，将所述退出的工作节点的信息从所述防火墙规则中移除。