用于容器的安全策略更新方法、装置、电子设备及介质与流程

本公开涉及容器安全的，更具体地，涉及一种用于容器的安全策略更新方法、装置、电子设备、存储介质和程序产品。

背景技术：

1、由于容器在隔离和安全性方面存在的天然缺陷，随着安全攻防的演练和安全意识的提升，通过安全策略保证集群容器的安全性诉求也越来越多。当集群中的节点或容器发生故障导致其不可正常运行时，控制器会自动将容器迁移至其他节点上，容器在被控制器重新拉起时，会导致容器从安全策略的控制中脱离。

2、相关技术中，安全策略的存储使用数组的方式，通过对数组进行检索，确定重新被拉起后的容器对应的安全策略，从而完成容器安全策略的更新。

3、在实现本公开构思的过程中，发明人发现相关技术中至少存在如下问题：在数组中检索安全策略的过程中，由于数据量较大，检索速度较慢，导致安全策略无法及时地进行更新。

技术实现思路

1、有鉴于此，本公开实施例提供了一种用于容器的安全策略更新方法、装置、电子设备、存储介质和程序产品。

2、本公开实施例的一个方面提供了一种用于容器的安全策略更新方法，包括：对集群中容器当前的状态进行检测，以获得上述集群中第一容器的当前状态信息；在上述当前状态信息与期望状态信息不同的情况下，获取上述第一容器所在节点对应的哈希值，上述哈希值预先存储在上述节点中，且不同的节点对应不同的哈希值；基于上述哈希值确定上述第一容器对应的目标安全策略，上述目标安全策略表征第二容器访问上述第一容器的策略；利用上述目标安全策略对上述第一容器的初始安全策略进行更新。

3、根据本公开的实施例，上述基于上述哈希值确定上述第一容器对应的目标安全策略，包括：基于上述哈希值和预设数组长度确定偏移值；基于上述偏移值和预设哈希表长度确定上述节点对应的哈希表的内存地址；基于上述内存地址，从与上述内存地址对应的存储单元中提取上述哈希表；在基于上述哈希值确定上述哈希表中存在上述目标安全策略的情况下，提取上述目标安全策略。

4、根据本公开的实施例，上述基于上述哈希值和预设数组长度确定偏移值，包括：对上述预设数组长度进行调整，得到目标数组长度；对上述目标数组长度和上述哈希值进行按位与处理，得到上述偏移值。

5、根据本公开的实施例，上述利用上述目标安全策略对上述第一容器的初始安全策略进行更新，包括：将上述目标安全策略写入上述第一容器对应的更新表中；将指向上述第一容器对应的读取表的指针指向上述更新表，确定上述更新表为新的读取表。

6、根据本公开的实施例，在上述获取上述第一容器所在节点对应的哈希值之前，上述方法还包括：确定上述第一容器的漂移容器信息；将上述漂移容器信息存储至漂移管道中；利用监听程序监听上述漂移管道，生成监听结果；在上述监听结果表明上述漂移管道中存在上述漂移容器信息的情况下，向策略更新端发送上述漂移容器信息。

7、根据本公开的实施例，上述获取上述第一容器所在节点对应的哈希值，包括：响应于上述策略更新端发送的上述漂移容器信息，获取上述第一容器所在节点对应的哈希值。

8、本公开实施例的另一个方面提供了一种用于容器的安全策略更新装置，包括：第一获取模块，用于提取第一容器的当前状态信息；第二获取模块，用于在上述当前状态信息与期望状态信息不同的情况下，获取上述第一容器所在节点对应的哈希值，上述哈希值预先存储在上述节点中，且不同的节点对应不同的哈希值；策略确定模块，用于基于上述哈希值确定上述第一容器对应的目标安全策略，上述目标安全策略表征第二容器访问上述第一容器的策略；策略更新模块，用于利用上述目标安全策略对上述第一容器的初始安全策略进行更新。

9、本公开实施例的另一个方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当上述一个或多个程序被上述一个或多个处理器执行时，使得上述一个或多个处理器实现如上上述的方法。

10、本公开实施例的另一个方面提供了一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。

11、本公开实施例的另一个方面提供了一种计算机程序产品，所述计算机程序产品包括计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。

12、根据本公开的实施例，因为采用了在当前状态信息与期望状态信息不同的情况下，获取第一容器所在节点对应的哈希值，基于哈希值确定第一容器对应的目标安全策略的技术手段，由于通过哈希值进行定位可以精准快速的查找到目标安全策略，所以至少部分地克服了对安全策略检索速度慢的技术问题，使得容器的安全策略能够及时地进行更新。

技术特征：

1.一种用于容器的安全策略更新方法，包括：

2.根据权利要求1所述的方法，其中，所述基于所述哈希值确定所述第一容器对应的目标安全策略，包括：

3.根据权利要求2所述的方法，其中，所述基于所述哈希值和预设数组长度确定偏移值，包括：

4.根据权利要求1所述的方法，其中，所述利用所述目标安全策略对所述第一容器的初始安全策略进行更新，包括：

5.根据权利要求1所述的方法，其中，在所述获取所述第一容器所在节点对应的哈希值之前，所述方法还包括：

6.根据权利要求5所述的方法，其中，所述获取所述第一容器所在节点对应的哈希值，包括：

7.一种用于容器的安全策略更新装置，包括：

8.一种电子设备，包括：

9.一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器实现权利要求1～6中任一项所述的方法。

10.一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时用于实现权利要求1～6中任一项所述的方法。

技术总结
本公开提供了一种用于容器的安全策略更新方法、装置、电子设备及介质，可以应用于容器安全技术领域。该方法包括：对集群中容器当前的状态进行检测，以获得集群中第一容器的当前状态信息；在当前状态信息与期望状态信息不同的情况下，获取第一容器所在节点对应的哈希值，哈希值预先存储在节点中，且不同的节点对应不同的哈希值；基于哈希值确定第一容器对应的目标安全策略，目标安全策略表征第二容器访问第一容器的策略；利用目标安全策略对第一容器的初始安全策略进行更新。

技术研发人员：姜袁合,李航,石山蒙,崔相辉,杨超,刘学谦,高振峰,杨泽一
受保护的技术使用者：齐鲁空天信息研究院
技术研发日：
技术公布日：2024/1/13