(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111404924A(43)申请公布日2020.07.10(21)申请号202010172282.9(22)申请日2020.03.12(71)申请人腾讯云计算（北京）有限责任公司地址100190北京市海淀区知春路49号3层西部309(72)发明人高永伟(74)专利代理机构北京派特恩知识产权代理有限公司11270代理人崔晓岚张颖玲(51)Int.Cl.H04L29/06(2006.01)H04L29/08(2006.01)权利要求书3页说明书18页附图8页(54)发明名称集群系统的安全管控方法、装置、设备及存储介质(57)摘要本发明提供了一种集群系统的安全管控方法、装置、电子设备及存储介质；所述集群系统包括用于支撑网络应用的至少两个子集群，方法包括：所述至少两个子集群中的每个子集群内的每个节点，获取所述节点所属的子集群的节点列表；根据所述节点的安全策略和所述节点列表生成所述子集群的防火墙规则；应用所述防火墙规则，以构建所述节点所属的子集群与外部的子集群之间的防火墙，并开放所述节点与所述节点列表中节点之间的互通权限，通过本发明，能够实现集群系统内部的子集群的细粒度隔离，以及实现安全策略的自动化管理。CN111404924ACN111404924A权利要求书1/3页1.一种集群系统的安全管控方法，其特征在于，所述集群系统包括用于支撑网络应用的至少两个子集群；所述安全管控方法包括：所述至少两个子集群中的每个子集群内的每个节点，获取所述节点所属的子集群的节点列表；根据所述节点的安全策略和所述节点列表生成所述子集群的防火墙规则；应用所述防火墙规则，以构建所述节点所属的子集群与外部的子集群之间的防火墙，并开放所述节点与所述节点列表中节点之间的互通权限。2.根据权利要求1所述的方法，其特征在于，所述至少两个子集群中的每个子集群内节点的类型包括管理节点和工作节点；所述至少两个子集群中的每个子集群内的每个节点，获取所述节点所属的子集群的节点列表，包括：所述至少两个子集群中的每个子集群内的每个工作节点向所属的子集群中的管理节点发送所述工作节点的信息，以使所述管理节点根据所辖的子集群中的每个工作节点的信息生成节点列表；所述至少两个子集群中的每个子集群内的每个的工作节点向所属的子集群中的管理节点发送节点列表请求，并接收所述管理节点返回的所述工作节点所属的子集群的节点列表。3.根据权利要求1所述的方法，其特征在于，所述根据所述节点的安全策略和所述节点列表生成所述子集群的防火墙规则，包括：所述至少两个子集群中的每个子集群内的每个工作节点从所属的子集群的节点列表中获取其他工作节点的地址和端口，以生成允许所述其他工作节点通过所述地址和端口与所述工作节点进行通信的所述子集群的防火墙规则；其中，所述其他工作节点是所述节点所属的子集群中除所述工作节点之外的任意工作节点；所述至少两个子集群中的每个子集群内的每个工作节点从所述安全策略中获取所述子集群向外部的子集群开放的协议和端口，以生成允许所述外部的子集群通过所述协议和端口与所述工作节点通信的所述子集群的防火墙规则。4.根据权利要求1所述的方法，其特征在于，在根据所述节点的安全策略和所述节点列表生成所述子集群的防火墙规则之前，所述安全管控方法还包括：所述至少两个子集群中的每个子集群内的每个工作节点确定当前防火墙规则的哈希值，并与所述工作节点最近一次预存的哈希值比对；当比对一致时确定所述工作节点的当前防火墙规则校验通过，确定将根据所述工作节点的安全策略和所述节点列表生成所述子集群的防火墙规则，以应用所生成的防火墙规则。5.根据权利要求1所述的方法，其特征在于，在所述至少两个子集群中的每个子集群内的每个节点，获取所述节点所属的子集群的节点列表之前，所述安全管控方法还包括：2CN111404924A权利要求书2/3页所述至少两个子集群中的每个子集群的每个管理节点向所辖的子集群的其他管理节点发送所辖的子集群的节点变更信息，以使所辖的子集群的其他管理节点同步所存储的节点列表，并接收所辖的子集群的其他管理节点发送的节点变更信息，以同步所存储的节点列表；其中，所述节点变更信息包括节点加入信息以及节点退出信息。6.根据权利要求1所述的方法，其特征在于，所述至少两个子集群中的每个子集群内节点的类型包括管理节点和工作节点；在所述至少两个子集群中的每个子集群内的每个节点，获取所述节点所属的子集群的节点列表之前，所述安全管控方法还包括：所述至少两个子集群中的每个子集群的每个管理节点针对请求加入的新工作节点进行以下初始化处理：对所述新工作节点进行基于账号信息与密码信息的认证；当认证通过时，将所述新工作节点加入到所述管理节点所辖的子集群中。7.根据权利要求1所述的方法，