基于Operator的云原生防火墙系统的制作方法

基于operator的云原生防火墙系统
技术领域：
：1.本发明涉及云服务
技术领域：
：，尤其涉及一种基于operator的云原生防火墙系统。
背景技术：
：：2.互联网业务上云之后，云防火墙作为云上业务对外提供服务的边界防护设备，既是安全等级保护的必备要求，也是客户网络安全的关键要素。3.当前业界云防火墙典型方案有虚拟机集群方式部署第三方防火墙实例和在服务器终端启动防火墙本地过滤(如通过iptable/ebpf进行本地过滤)两种模式。虚拟机集群模式存在资源管理困难的缺陷：资源使用率低，由于虚拟机需要提前规划cpu/内存规格，为了满足预期的防火墙性能，需要预分配大量的资源；动态调整防火墙资源极其困难，虚拟机内的资源实时监控通常依赖额外的agent代理，效率低反应慢；虚拟机资源弹性扩缩容代价高速度慢，无法满足业务流量快速变化的性能要求；无法支持多租户共享使用防火墙实例。终端防火墙模式存在功能弱且容易影响业务性能的缺陷：在业务终端执行过滤容易造成网络流量吞吐下降和延迟增加；嵌入式的iptable/ebpf难以完成复杂业务如dpi的识别和处理，若本地启用复杂业务处理，依赖高cpu/内存使用的应用，可能造成实际业务性能严重下降；无法实现弹性扩容等高可靠场景。技术实现要素：4.本发明实施例提供一种基于operator的云原生防火墙系统，用以解决现有技术中云防火墙性能不佳的问题。5.根据本发明实施例的基于operator的云原生防火墙系统，所述云原生防火墙系统以容器化方式与客户云原生业务运行在同一个kubernetes集群内；6.所述云原生防火墙系统包括：7.管理面，用于提供防火墙产品配置管理的界面；所述管理面包括配置管理页面模块、多租户业务管理模块；所述配置管理页面模块用于为用户提供防火墙的开通/关闭和自定义配置；所述多租户业务管理模块用于根据所述自定义配置中的配置信息，生成防火墙实例信息和防火墙配置信息；8.控制面，以kubernetesoperator模式运行；所述控制面包括防火墙实例管理模块和防火墙配置管理模块；所述防火墙实例管理模块用于根据所述防火墙实例信息创建防火墙实例；所述防火墙配置管理模块用于根据所述防火墙配置信息配置所述防火墙实例，并生成引流规则下发给所述客户云原生业务中的虚拟路由器，以将客户业务流量引流到所述防火墙实例；9.数据面，用于部署所述防火墙实例，所述防火墙实例以容器化方式运行。10.根据本发明的一些实施例，所述配置管理页面模块还提供处理所述防火墙实例实时上报的告警事件的功能。11.根据本发明的一些实施例，所述管理面还包括存储模块，所述存储模块用于持久化记录所述配置信息和所述告警事件。12.根据本发明的一些实施例，所述配置管理页面模块还提供查询入口，以供用户登录查询所述存储模块存储的数据。13.根据本发明的一些实施例，所述配置管理页面模块通过web方式为用户提供防火墙的开通/关闭和自定义配置。14.根据本发明的一些实施例，所述配置信息包括需要保护的ip地址、ip网段、协议端口。15.根据本发明的一些实施例，所述防火墙实例管理模块还用于监控所述防火墙实例的运行状态并动态调整所述防火墙实例的使用资源。16.根据本发明的一些实施例，所述使用资源包括cpu、内存、网络宽带。17.根据本发明的一些实施例，所述防火墙实例管理模块用于检测到所述防火墙实例的使用资源超过安全门限且所述防火墙实例无可调谐业务实例时，创建新的防火墙实例，并向所述防火墙配置管理模块发送业务迁移指令；18.所述防火墙配置管理模块还用于根据所述业务迁移指令对原防火墙实例和新的防火墙实例进行配置调谐。19.根据本发明实施例的基于operator的云上业务防护方法，包括：20.在kubernetes集群内以容器化方式部署云原生防火墙系统，所述云原生防火墙系统为如上所述的云原生防火墙系统。21.采用本发明实施例，以云原生的容器化方式部署，采用kubernetesoperator机制管理防火墙业务实例的生命周期，拥有云原生的自动部署，弹性扩容和高可靠的优点。22.上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。附图说明23.通过阅读下文实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。在附图中：24.图1是本发明实施例中基于operator的云原生防火墙系统组成示意图。具体实施方式25.下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。另外，在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。26.如图1所示，本发明实施例的基于operator的云原生防火墙系统以容器化方式与客户云原生业务(客户云业务区)运行在同一个kubernetes集群内。27.所述云原生防火墙系统包括：28.管理面(可以理解为管理子系统)，用于提供防火墙产品配置管理的界面，可供用户操作，以实现与用户的交互。29.所述管理面包括配置管理页面模块、多租户业务管理模块；所述配置管理页面模块用于为用户提供防火墙的开通/关闭和自定义配置。可以理解，用户可以通过配置管理页面模块开启或者是关闭防火墙业务，当开启防火墙业务后，可以进一步根据业务需求进行业务信息的配置，以实现防火墙的个性化配置。30.所述多租户业务管理模块用于根据所述自定义配置中的配置信息，生成防火墙实例信息和防火墙配置信息。31.控制面(可以理解为控制子系统)，以kubernetesoperator模式运行。所述控制面包括防火墙实例管理模块和防火墙配置管理模块。32.所述防火墙实例管理模块用于根据所述防火墙实例信息创建防火墙实例。所述防火墙配置管理模块用于根据所述防火墙配置信息配置所述防火墙实例，并生成引流规则下发给所述客户云原生业务中的虚拟路由器，以将客户业务流量引流到所述防火墙实例，防火墙实例为客户业务流量提供保护。防火墙业务实例处理虚拟路由器引流过来的客户业务流量，执行安全检查之后阻止恶意攻击报文或者将正常流量回流给客户业务节点。33.数据面(可以理解为数据子系统)，用于部署所述防火墙实例，所述防火墙实例以容器化方式运行。34.采用本发明实施例，以云原生的容器化方式部署，采用kubernetesoperator机制管理防火墙业务实例的生命周期，拥有云原生的自动部署，弹性扩容和高可靠的优点。35.在上述实施例的基础上，进一步提出各变型实施例，在此需要说明的是，为了使描述简要，在各变型实施例中仅描述与上述实施例的不同之处。36.根据本发明的一些实施例，所述配置管理页面模块还提供处理所述防火墙实例实时上报的告警事件的功能。防火墙业务实例记录攻击告警事件并上报给配置管理页面模块，配置管理页面模块可以对这些告警事件进行处理。例如，配置管理页面模块可以根据预设处理策略进行自动处理。37.根据本发明的一些实施例，所述管理面还包括存储模块，所述存储模块用于持久化记录所述配置信息和所述告警事件。38.根据本发明的一些实施例，所述配置管理页面模块还提供查询入口，以供用户登录查询所述存储模块存储的数据。39.根据本发明的一些实施例，所述配置管理页面模块通过web方式为用户提供防火墙的开通/关闭和自定义配置。由此，可以便于用户操作。40.根据本发明的一些实施例，所述配置信息包括需要保护的ip地址、ip网段、协议端口。41.根据本发明的一些实施例，所述防火墙实例管理模块还用于监控所述防火墙实例的运行状态并动态调整所述防火墙实例的使用资源。容器化部署的防火墙业务实例(即防火墙实例)初始启动时只需要预分配满足防火墙实例启动需求的最低限度的cpu内存资源。kubernetes会在业务运行过程中，根据实际需要的资源总量动态扩容资源分配，无需手动干涉。由此，可以实现资源完全按需使用。42.根据本发明的一些实施例，所述使用资源包括cpu、内存、网络宽带。43.根据本发明的一些实施例，所述防火墙实例管理模块用于检测到所述防火墙实例的使用资源超过安全门限且所述防火墙实例无可调谐业务实例时，创建新的防火墙实例，并向所述防火墙配置管理模块发送业务迁移指令；44.所述防火墙配置管理模块还用于根据所述业务迁移指令对原防火墙实例和新的防火墙实例进行配置调谐。45.控制面的防火墙实例管理模块可进一步监控防火墙业务实例的运行状态和资源使用量，当存在状态异常或者资源使用超过安全门限时，实例管理模块可执行业务迁移、扩充实例等动态调谐的动作。46.基于operator调度的容器形态的防火墙业务实例，可提供给多租户共享使用以优化资源使用率。比如某些租户业务以大流量为主(如视频业务或上传下载业务)，为这些用户提供防护需要高带宽资源，cpu/内存使用量不大；某些租户业务复杂多变(如web业务)，为这些用户提供防护需要使用高cpu高内存的dpi功能，带宽使用量不大。将多个租户不同资源需求的业务合理分配在特定的防火墙业务实例中，可以提高资源使用率，降低成本。47.下面参照附图以一个具体的实施例详细描述本发明实施例的基于operator的云原生防火墙系统。值得理解的是，下述描述仅是示例性描述，而不应理解为对本发明的具体限制。48.本发明实施例的基于operator的云原生防火墙系统以容器化方式与客户云原生业务运行在同一个kubernetes集群内，为客户云上业务提供防护。49.如图1所示，本发明实施例的基于operator的云原生防火墙系统分为管理面、控制面和数据面三个层次：50.管理面：提供防火墙产品配置管理的界面，包括配置管理页面模块、多租户业务管理模块和存储模块；配置管理页面模块通过web方式为用户提供防火墙的开通关闭和自定义配置，提供查看和处理告警事件的功能；多租户业务管理模块为控制面屏蔽多租户的业务差异，将多个租户的业务需求转化为对应的防火墙配置规则以达到多租户共享使用防火墙实例的目的；存储模块持久化记录配置信息和防火墙实例上报的日志告警信息。51.控制面：以kubernetesoperator模式运行，负责管理数据面的防火墙实例，包括防火墙实例管理模块和防火墙配置管理模块；防火墙实例管理模块负责创建防火墙实例，监控实例运行状态并动态调整防火墙实例的cpu内存资源；防火墙配置管理模块负责将管理面下发的防护配置下发给防火墙实例，同时根据防护配置生成对应的引流规则，并将引流规则下发给客户云业务区中的虚拟路由器，以达到将客户业务流量引流到防火墙业务实例进行防护的目的。52.数据面：数据面里部署容器化运行的防火墙实例，为客户业务执行网络流量保护53.本发明实施例的基于operator的云原生防火墙系统的使用方法如下：54.s1：根据客户操作指令，开通并配置防火墙产品；55.s2：云原生防火墙系统控制面自动监控防火墙实例运行状态并动态调谐；56.s3：防火墙实例为客户业务流量提供保护，实时上报流量日志和攻击告警。57.详细的，步骤s1包括：58.s11：客户通过web方式登录云原生防火墙配置管理页面，创建防火墙并配置需要保护的ip地址、ip网段、协议端口等业务信息。59.s12：多租户业务管理模块根据用户的输入信息，为该租户分配防火墙实例，生成租户对应的防火墙配置并分别下发给控制面的防火墙实例管理模块和防火墙配置管理模块。60.s13：防火墙实例管理模块接收多租户业务管理模块下发的实例信息，根据当前防火墙实例运行状态，调用kubernetes原生接口执行创建新的防火墙实例或者扩容原有实例的操作。61.s14：防火墙配置管理模块接收多租户业务管理模块下发的配置信息，分别下发给对应的防火墙业务实例。62.s15：配置下发完成后，多租户业务管理模块将配置信息持久化保存在存储模块中。63.步骤s2包括：64.s21：控制面的防火墙实例管理模块实时监控所有运行中的防火墙业务实例的cpu、内存、网络带宽等资源的使用状态。65.s22：防火墙实例管理模块发现业务节点上资源使用不均衡，比如cpu/内存使用量高而网络带宽使用量低时，通知防火墙配置管理模块将使用大量cpu/内存的业务如dpi业务动态调整到其他cpu/内存使用量低的业务节点。66.s23：防火墙配置管理模块接收到业务迁移指令后，重新计算防火墙配置规则和虚拟路由器引流规则并分别下发给对应的防火墙业务实例和虚拟路由器，完成配置调谐。67.s24：防火墙实例管理模块发现业务节点上资源使用超过安全门限且无可调谐业务实例时，创建新的防火墙实例，并通知防火墙配置管理模块将部分业务迁移到该实例。68.s25：防火墙配置管理模块按照s23的流程执行业务迁移。69.步骤s3包括：70.s31：防火墙业务实例处理虚拟路由器引流过来的客户业务流量，执行安全检查之后阻止恶意攻击报文或者将正常流量回流给客户业务节点。71.s32：防火墙业务实例记录流量日志并上报给管理面，持久化记录在存储模块中。72.s33：防火墙业务实例记录攻击告警事件并上报给管理面，持久化记录在存储模块中。73.s34：管理面的配置管理页面提供查询入口，用户可登录页面查看持久化记录的流量日志和告警事件。74.本发明实施例的基于operator的云原生防火墙系统具有以下有益效果：75.以云原生的容器化方式部署，采用kubernetesoperator机制管理防火墙业务实例的生命周期。拥有云原生的自动部署，弹性扩容和高可靠的优点。76.容器化部署的防火墙业务实例初始启动时只需要预分配满足实例启动需求的最低限度的cpu内存资源。kubernetes会在业务运行过程中，根据实际需要的资源总量动态扩容资源分配，无需手动干涉。实现资源完全按需使用。77.控制面的防火墙实例管理模块可进一步监控防火墙业务实例的运行状态和资源使用量，当存在状态异常或者资源使用超过安全门限时，实例管理模块可执行业务迁移、扩充实例等动态调谐的动作。78.基于operator调度的容器形态的防火墙业务实例，可提供给多租户共享使用以优化资源使用率。比如某些租户业务以大流量为主(如视频业务或上传下载业务)，为这些用户提供防护需要高带宽资源，cpu/内存使用量不大；某些租户业务复杂多变(如web业务)，为这些用户提供防护需要使用高cpu高内存的dpi功能，带宽使用量不大。将多个租户不同资源需求的业务合理分配在特定的防火墙业务实例中，可以提高资源使用率，降低成本。79.需要说明的是，以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。80.根据本发明实施例的基于operator的云上业务防护方法，包括：81.在kubernetes集群内以容器化方式部署云原生防火墙系统，所述云原生防火墙系统为如上所述的云原生防火墙系统。82.需要说明的是，本发明说明书中未作详细描述的内容属于本领域专业技术人员的公知技术。83.术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。84.不应将位于括号之内的任何参考符号构造成对权利要求的限制。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。字符“/”一般表示前后关联对象是一种“或”的关系。当前第1页12当前第1页12
技术特征：
1.一种基于operator的云原生防火墙系统，其特征在于，所述云原生防火墙系统以容器化方式与客户云原生业务运行在同一个kubernetes集群内；所述云原生防火墙系统包括：管理面，用于提供防火墙产品配置管理的界面；所述管理面包括配置管理页面模块、多租户业务管理模块；所述配置管理页面模块用于为用户提供防火墙的开通/关闭和自定义配置；所述多租户业务管理模块用于根据所述自定义配置中的配置信息，生成防火墙实例信息和防火墙配置信息；控制面，以kubernetesoperator模式运行；所述控制面包括防火墙实例管理模块和防火墙配置管理模块；所述防火墙实例管理模块用于根据所述防火墙实例信息创建防火墙实例；所述防火墙配置管理模块用于根据所述防火墙配置信息配置所述防火墙实例，并生成引流规则下发给所述客户云原生业务中的虚拟路由器，以将客户业务流量引流到所述防火墙实例；数据面，用于部署所述防火墙实例，所述防火墙实例以容器化方式运行。2.如权利要求1所述的云原生防火墙系统，其特征在于，所述配置管理页面模块还提供处理所述防火墙实例实时上报的告警事件的功能。3.如权利要求2所述的云原生防火墙系统，其特征在于，所述管理面还包括存储模块，所述存储模块用于持久化记录所述配置信息和所述告警事件。4.如权利要求3所述的云原生防火墙系统，其特征在于，所述配置管理页面模块还提供查询入口，以供用户登录查询所述存储模块存储的数据。5.如权利要求1所述的云原生防火墙系统，其特征在于，所述配置管理页面模块通过web方式为用户提供防火墙的开通/关闭和自定义配置。6.如权利要求1所述的云原生防火墙系统，其特征在于，所述配置信息包括需要保护的ip地址、ip网段、协议端口。7.如权利要求1所述的云原生防火墙系统，其特征在于，所述防火墙实例管理模块还用于监控所述防火墙实例的运行状态并动态调整所述防火墙实例的使用资源。8.如权利要求7所述的云原生防火墙系统，其特征在于，所述使用资源包括cpu、内存、网络宽带。9.如权利要求7所述的云原生防火墙系统，其特征在于，所述防火墙实例管理模块用于检测到所述防火墙实例的使用资源超过安全门限且所述防火墙实例无可调谐业务实例时，创建新的防火墙实例，并向所述防火墙配置管理模块发送业务迁移指令；所述防火墙配置管理模块还用于根据所述业务迁移指令对原防火墙实例和新的防火墙实例进行配置调谐。10.一种基于operator的云上业务防护方法，其特征在于，包括：在kubernetes集群内以容器化方式部署云原生防火墙系统，所述云原生防火墙系统为如权利要求1至9中任一项所述的云原生防火墙系统。

技术总结
本发明公开了一种基于Operator的云原生防火墙系统。云原生防火墙系统以容器化方式与客户云原生业务运行在同一个Kubernetes集群内；云原生防火墙系统包括：配置管理页面模块，用于为用户提供防火墙的开通/关闭和自定义配置；多租户业务管理模块，用于根据自定义配置中的配置信息，生成防火墙实例信息和防火墙配置信息；防火墙实例管理模块，用于根据防火墙实例信息创建防火墙实例；防火墙配置管理模块，用于根据防火墙配置信息配置防火墙实例，并生成引流规则下发给客户云原生业务中的虚拟路由器，以将客户业务流量引流到防火墙实例；数据面，用于部署防火墙实例，防火墙实例以容器化方式运行。本发明拥有云原生的自动部署、弹性扩容和高可靠的优点。弹性扩容和高可靠的优点。弹性扩容和高可靠的优点。


技术研发人员：邓覃思
受保护的技术使用者：中电云数智科技有限公司
技术研发日：2023.02.28
技术公布日：2023/7/22