[发明专利]一种Docker实现系统及其通信方法

说明书

本申请提供了一种Docker实现系统及其通信方法，系统包括管理VPC和用户VPC，每个VPC中包括虚拟路由装置和虚拟机，所述管理VPC包括用户VPC管理模块、控制节点、容器库和配置服务发现存储系统；所述用户VPC的虚拟机上部署有本地容器管理模块、代理模块和容器，所述容器用于存放所述用户的应用；所述管理VPC的虚拟路由装置与所述用户VPC的虚拟路由装置存在安全隧道。所述控制节点通过所述管理VPC的虚拟路由装置与所述用户VPC的虚拟路由装置之间的安全隧道向所述用户VPC的虚拟机发送消息，所述用户VPC的虚拟机将所述消息传递至所述虚拟机的本地容器管理模块。采用本申请所提供的方案，可以降低用户的应用被其他用户攻击的风险，提高系统安全性。

技术领域

本申请涉及云计算技术领域，尤其涉及一种Docker实现系统及其通信方法。

背景技术

Docker是一个开源的应用容器引擎，允许开发者打包应用到容器中，适合大规模分布式应用和大数据处理应用场景。

图1示出了现有技术中Docker管理环境的架构示意图，如图所示，包括：控制节点、容器库、配置/服务发现存储系统以及多台容器节点。其中，

(1)控制节点实现了对外的调用接口和集群内资源调度功能；

(2)容器库实现了容器的注册和发布功能，在部署容器时可直接从容器库中将相关的容器移动待部署的机器上；

(3)配置/服务发现存储系统用于共享配置并实现服务发现功能；

(4)容器节点用于实际运行Docker容器。

具体的，在每台容器节点上运行了本地容器管理模块、代理模块，其中，

(1)本地容器管理模块用于与控制节点通信，并根据控制节点的指令在本地创建容器组，容器组可以包含一个或多个容器；

(2)代理模块用于解决同一宿主机相同服务端口冲突的问题，还具备service转发服务端口来对外提供服务的能力。

目前，Docker管理环境中的这些组件通常部署在一个数据中心内部的多台物理网络互通的物理服务器或多台虚拟机上。由于管理环境部署于同一个局域网内，各物理服务器或虚拟机之间没有安全隔离机制，不同用户的应用通过容器进行隔离，因此，用户的应用存在被其他用户攻击的风险。

现有技术不足在于：

Docker管理环境中用户的应用通过容器隔离，存在一定安全风险。

发明内容

本申请实施例提出了一种Docker实现系统及其通信方法，以解决现有技术中用户的应用通过容器隔离，存在一定安全风险的技术问题。

本申请实施例提供了一种Docker实现系统，包括管理虚拟私有云VPC和用户VPC，每个VPC中包含虚拟路由装置和虚拟机，其中，

所述管理VPC包括用户VPC管理模块、控制节点、容器库和配置服务发现存储系统，所述用户VPC管理模块、控制节点、容器库和配置服务发现存储系统与所述管理VPC的虚拟路由装置连接；

所述用户VPC的虚拟机上部署有本地容器管理模块、代理模块和容器container，所述虚拟机与所述用户VPC的虚拟路由装置连接，所述容器用于存放所述用户的应用；

所述管理VPC的虚拟路由装置与所述用户VPC的虚拟路由装置存在安全隧道。

本申请实施例提供了上述系统的通信方法，包括如下步骤：

所述控制节点发送消息至所述管理VPC的虚拟路由装置，所述消息中包括用户VPC信息及其虚拟机信息；