本發明公開云管理平臺中微服務應用的網絡安全策略配置方法和系統。其中，云管理平臺中微服務應用的網絡安全策略配置方法包括：實時監聽云管理平臺是否出現創建微服務應用的動作；當監聽到云管理平臺出現創建微服務應用的動作時，根據微服務應用是否存在入口組件，為微服務應用的組件創建網絡通信規則；其中，網絡通信規則僅允許通過入口組件向微服務應用的其他組件發起訪問請求；根據網絡通信規則，配置微服務應用的網絡安全策略。本發明的技術方案能解決現有技術中難以減少各個微服務應用之間的干擾，更難以避免不同微服務應用之間業務的相互攻擊的問題。

技術領域

本發明涉及云管理平臺技術領域，尤其涉及一種云管理平臺中微服務應用的網絡安全策略配置方法和系統。

背景技術

云管理平臺是一種基于容器編排引擎kubernetes服務編排技術的云計算平臺，通過云管理平臺，相關行業能夠實現云計算服務的管理。在云計算時代，云數據中心以其集中式大規模的優點成為最常見的云管理平臺實現方案。云數據中心能夠根據用戶的業務需求為用戶提供微服務應用設置服務，通常用戶為了使用方便也希望在云管理平臺中為自己設置多個微服務應用。

通常，用戶希望自己設置的所有微服務應用之間均互不干擾且能夠獨立運行，至少希望實現微服務應用之間的隔離，減少不同微服務應用之間業務的互相攻擊所帶來的安全隱患。為了實現上述目的，現有技術提供了一種微服務管理技術，通過云管理平臺中的插件管理組件監控各個微服務應用的數據，然后將相同業務的微服務應用放置在云管理平臺的同一容器資源池中，采用上述kubernetes技術負責容器的編排和管理，為容器資源池中的各個微服務應用提供統一的容器管理接口，以與外部進行業務數據的聯系。

然而，上述微服務器管理技術，僅僅能夠根據業務需要進行微服務應用的劃分和數據流的控制，很難減少各個微服務應用之間的干擾，更難以避免不同微服務應用之間業務的相互攻擊。

發明內容

本發明提供了云管理平臺中微服務應用的網絡安全策略配置方法和系統，旨在解決現有技術中難以減少各個微服務應用之間的干擾，難以避免不同微服務器應用之間業務的相互攻擊的問題。

為實現上述目的，根據本發明的第一方面，本發明提供了一種云管理平臺中微服務應用的網絡安全策略配置方法，包括：

實時監聽云管理平臺是否出現創建微服務應用的動作；

當監聽到云管理平臺出現創建微服務應用的動作時，根據微服務應用是否存在入口組件，為微服務應用的組件創建網絡通信規則；其中，網絡通信規則僅允許通過入口組件向微服務應用的其他組件發起訪問請求；

根據網絡通信規則，配置微服務應用的網絡安全策略。

優選地，上述微服務應用的網絡安全策略配置方法中，根據微服務應用是否存在入口組件，為微服務應用的組件創建網絡通信規則的步驟包括：

當微服務應用存在入口組件時，將微服務應用中除入口組件外的其他組件整合于同一網絡孤島，為入口組件開放連通網絡孤島的通信端口，其中，通信端口用于通過入口組件向網絡孤島流入數據；或者，

當微服務應用不存在入口組件時，將微服務應用中所有組件整合于同一網絡孤島，禁止其他微服務應用或組件訪問網絡孤島內的組件。

優選地，上述微服務應用的網絡安全策略配置方法中，在根據網絡通信規則，配置微服務應用的網絡安全策略的步驟之后，該方法還包括：

監聽微服務應用中各組件之間的數據流向；

根據各組件之間的數據流向，分別規劃微服務應用中每一組件的網絡通信規則，其中，網絡通信規則用于分別為每一組件劃分網絡孤島和設置通信端口。

優選地，上述微服務應用的網絡安全策略配置方法，在根據各組件之間的數據流向，分別規劃微服務應用中每一組件的網絡通信規則的步驟之后還包括：