[发明专利]一种轻量化边缘云安全组的方法及系统

说明书

本发明公开了一种轻量化边缘云安全组的方法及系统，其中，所述方法包括：云管系统调用安全组管理模块的接口，以通过所述安全组管理模块将安全组规则记录到数据库中；部署于边缘设备中的边缘客户端向所述安全组管理模块发起同步请求，以将最新的安全组规则同步至所述边缘设备中；所述边缘客户端接收所述云管系统下发的虚拟机创建指令，并在所述边缘设备中创建对应的虚拟机容器，以及注入关联安全组的注释；其中，若检测到容器事件，从所述边缘设备中获取对应的安全组规则，并将获取的所述安全组规则嵌入到所述容器事件指向的目标容器内。本申请提供的技术方案，能够在kubernetes集群中的边缘设备内配置安全组。

技术领域

本发明涉及互联网技术领域，具体涉及一种轻量化边缘云安全组的方法及系统。

背景技术

安全组是一个逻辑上的分组，可以将同一地域内具有相同网络安全隔离需求的云服务器添加到同一个安全组，用户通过配置安全组规则，实现统一的网络访问控制。在安全组内，可以放行系统相应的端口号以及IP访问权限，如设置只能某些IP才可访问此台服务器，或禁用某些指定端口或FTP与ping功能。

轻量化边缘云通过容器和虚拟机的混合部署引入了丰富的云本地技术栈，以帮助边缘应用更快地分布、部署、弹性和跨云迁移。提供容器和虚拟机混合形态的边缘云集群，通常使用裸机直接部署Kubernetes(k8s)集群，支持多个运行时，提供应用容器、安全容器(KataContainer)和虚拟机容器(Kubevirt)服务，统一云原生技术栈，进一步降低资源开销。

然而，现有的Kubernetes并不提供安全组的能力，难以让用户在k8s的虚拟机上拥有和中心云一致的安全组配置体验。

发明内容

有鉴于此，本发明实施方式提供了一种轻量化边缘云安全组的方法及系统，能够在kubernetes集群中的边缘设备内配置安全组。

本发明一方面提供了一种轻量化边缘云安全组的方法，所述方法包括：云管系统调用安全组管理模块的接口，以通过所述安全组管理模块将安全组规则记录到数据库中；部署于边缘设备中的边缘客户端向所述安全组管理模块发起同步请求，以将最新的安全组规则同步至所述边缘设备中；所述边缘客户端接收所述云管系统下发的虚拟机创建指令，并在所述边缘设备中创建对应的虚拟机容器，以及注入关联安全组的注释；其中，若检测到容器事件，从所述边缘设备中获取对应的安全组规则，并将获取的所述安全组规则嵌入到所述容器事件指向的目标容器内。

在一个实施方式中，所述边缘客户端通过websocket与所述云管系统建立连接，以从所述云管系统处接收所述虚拟机创建指令，以主动向所述云管系统发起安全组规则同步请求。

在一个实施方式中，从所述安全组管理模块中同步的最新的安全组规则，以configmap的形式存储于边缘设备中。

在一个实施方式中，从所述边缘设备中获取对应的安全组规则包括：

识别所述容器事件指向的目标容器，并根据所述目标容器的注释关联的安全组，从所述configmap中获取对应的安全组规则。

在一个实施方式中，所述方法还包括：

若检测到安全组规则事件，识别所述安全组规则事件指向的目标安全组，遍历各个关联了所述目标安全组的虚拟机容器，并对比虚拟机容器内的安全组规则与所述安全组规则事件表征的安全组规则是否一致；若不一致，刷新所述虚拟机容器内的安全组规则。