(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111598325.0 (22)申请日 2021.12.24 (71)申请人 天翼云科技有限公司 地址 100007 北京市东城区青龙胡同甲1 号、 3号2幢2层20 5-32室 (72)发明人 范日明　 (51)Int.Cl. G06F 9/455(2006.01) H04L 9/40(2022.01) H04L 67/1095(2022.01) (54)发明名称 一种轻量 化边缘云安全组的方法及系统 (57)摘要 本发明公开了一种轻量化边缘云安全组的 方法及系统， 其中， 所述方法包括： 云管系统调用 安全组管 理模块的接口， 以通过所述安全组管理 模块将安全组规则记录到数据库中； 部署于边缘 设备中的边缘客户端向所述安全组管理模块发 起同步请求， 以将最新的安全组规则同步至所述 边缘设备中； 所述边缘客户端接收所述云管系统 下发的虚拟 机创建指令， 并在所述边缘设备中创 建对应的虚拟机容器， 以及注入关联安全组的注 释； 其中， 若检测到容器事件， 从所述边缘 设备中 获取对应的安全组规则， 并将获取的所述安全组 规则嵌入到所述容器事件指向的目标容器内。 本 申请提供的技术方案， 能够在kubernetes集群中 的边缘设备内配 置安全组。 权利要求书2页 说明书5页 附图3页 CN 114510316 A 2022.05.17 CN 114510316 A 1.一种轻量 化边缘云安全组的方法， 其特 征在于， 所述方法包括： 云管系统调用安全组管理模块的接口， 以通过所述安全组管理模块将安全组规则记录 到数据库中； 部署于边缘设备中的边缘客户端向所述安全组管理模块发起同步请求， 以将最新的安 全组规则同步至所述 边缘设备中； 所述边缘客户端接收所述云管系统下发的虚拟机创建指令， 并在所述边缘设备中创建 对应的虚拟机容器， 以及注入关联安全组的注释； 其中， 若检测到容器事件， 从所述边缘设 备中获取对应的安全组规则， 并将获取的所述安全组规则嵌入到所述容器事件指向的目标 容器内。 2.根据权利要求1所述的方法， 其特征在于， 所述边缘客户端通过websocket与所述云 管系统建立连接， 以从所述云管系统处接 收所述虚拟机创建指令， 以主动向所述云管系统 发起安全组规则同步请求。 3.根据权利要求1所述的方法， 其特征在于， 从所述安全组管理模块中同步的最新的安 全组规则， 以co nfigmap的形式存 储于边缘设备中。 4.根据权利要求3所述的方法， 其特征在于， 从所述边缘设备中获取对应的安全组规则 包括： 识别所述容器事件指向的目标容器， 并根据所述目标容器的注释关联的安全组， 从所 述configmap中获取对应的安全组规则。 5.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 若检测到安全组规则事件， 识别所述安全组规则事件指向的目标安全组， 遍历各个关 联了所述目标安全组的虚拟机容器， 并对比虚拟机容器内的安全组规则与所述安全组规则 事件表征的安全组规则是否一 致； 若不一致， 刷新所述虚拟机容器内的安全组规则。 6.一种轻量化边缘云安全组的系统， 其特征在于， 所述系统包括云管系统、 安全组管理 模块以及边 缘设备， 其中： 所述云管系统， 用于调用所述安全组管理模块的接口， 以通过所述安全组管理模块将 安全组规则记录 到数据库中； 所述边缘设备中部署有边缘客户端， 所述边缘客户端用于向所述安全组管理模块发起 同步请求， 以将最 新的安全组规则同步至所述 边缘设备中； 所述边缘客户端还用于， 接收所述云管系统下发的虚拟机创建指令， 并在所述边缘设 备中创建对应的虚拟机容器， 以及注入关联安全组的注释； 其中， 若检测到容器事件， 从所 述边缘设备中获取对应的安全组规则， 并将获取的所述安全组规则嵌入到所述容器事件指 向的目标容器内。 7.根据权利要求6所述的系统， 其特征在于， 所述边缘客户端通过websocket与所述云 管系统建立连接， 以从所述云管系统处接 收所述虚拟机创建指令， 以主动向所述云管系统 发起安全组规则同步请求。 8.根据权利要求6所述的系统， 其特征在于， 从所述安全组管理模块中同步的最新的安 全组规则， 以co nfigmap的形式存 储于边缘设备中。 9.根据权利要求8所述的系统， 其特征在于， 所述边缘客户端还用于： 识别所述容器事 件指向的目标容器， 并根据所述目标容器的注释关联的安全组， 从所述configmap中获取对权　利　要　求　书 1/2 页 2 CN 114510316 A 2应的安全组规则。 10.根据权利要求6所述的系统， 其特征在于， 所述边缘客户端还用于： 若检测到安全组 规则事件， 识别所述安全组规则事件指向的目标安全组， 遍历各个关联了所述目标安全组 的虚拟机容器， 并对比虚拟机容器内的安全组规则与所述安全组规则事件表征的安全组规 则是否一 致； 若不一致， 刷新所述虚拟机容器内的安全组规则。权　利　要　求　书 2/2 页 3 CN 114510316 A 3