[发明专利]容器网络隔离方法及装置

说明书

本发明实施例公开了一种容器网络隔离方法及装置。其中，所述方法应用于服务器中，所述服务器包括至少一个可部署单元，每个可部署单元中设有至少一个容器；所述方法包括：获取所述至少一个可部署单元的网络策略；确定所述至少一个可部署单元中正在运行的目标可部署单元；根据所述网络策略，设置所述目标可部署单元的网络隔离策略；利用所述目标可部署单元将所述网络隔离策略设置为多个策略集合，以根据所述多个策略集合对所述目标可部署单元中的容器进行网络隔离。本发明实施例能够提高网络隔离的限制能力和响应能力，同时提高容器网络隔离的安全性。

技术领域

本发明涉及通信技术领域，具体涉及一种容器网络隔离方法及装置。

背景技术

现有技术中，一般采用calico或istio实现容器的网络隔离。其中，calico是针对容器开发的跨机网络互联方案，采用BGP(Border Gateway Protocol，边界网关协议)或者IPIP路由的方式将部署在多台主机上的容器实现互联，同时结合容器命名空间(namespace)的概念，对不同namespace的容器进行网络隔离。但是，calico方案将所在容器主机作为路由节点，通过Iptables的规则进行策略限制，需要在容器主机节点进行大量的Iptables规则设置，当容器数量递增时，会导致Iptables过滤性能下降。

Istio是用于连接、保护、控制和观测容器的ServiceMesh(服务网格)框架，框架本身并不解决容器网络互连问题，其通过sidecar的方式内置应用层代理，通过网络策略限制仅有代理才能实现对外访问，使用策略限制代理以实现网络控制。但是，Istio方案主要设计目标是为业务提供4、7层流量负载均衡，在sidecar中，网络隔离只是一个可选项。由于sidecar中是采用代理程序进行流量代理，程序运行在用户态，存在较大的性能损失。

发明内容

本发明实施例提供一种容器网络隔离方法及装置，能够提高网络隔离的限制能力和响应能力，同时提高容器网络隔离的安全性。

一方面，本发明实施例提供一种容器网络隔离方法，所述方法应用于服务器中，所述服务器包括至少一个可部署单元，每个可部署单元中设有至少一个容器；所述方法包括：

获取所述至少一个可部署单元的网络策略；

确定所述至少一个可部署单元中正在运行的目标可部署单元；

根据所述网络策略，设置所述目标可部署单元的网络隔离策略；

利用所述目标可部署单元将所述网络隔离策略设置为多个策略集合，以根据所述多个策略集合对所述目标可部署单元中的容器进行网络隔离。

在本发明一些实施例中，所述网络策略包括每个可部署单元的通讯策略；

所述根据所述网络策略，设置所述目标可部署单元的网络隔离策略，具体包括：

从所述网络策略中获取所述目标可部署单元的通讯策略；

从正在运行的可部署单元中确定满足所述目标可部署单元的通讯策略的可部署单元，并根据确定的可部署单元设置所述目标可部署单元的网络隔离策略。

在本发明一些实施例中，每个可部署单元具有唯一的IP地址，所述通讯策略包括入站策略和出站策略，所述网络隔离策略包括入站列表和出站列表；

所述从正在运行的可部署单元中确定满足所述目标可部署单元的通讯策略的可部署单元，并根据确定的可部署单元设置所述目标可部署单元的网络隔离策略，具体包括：

从正在运行的可部署单元中确定满足所述目标可部署单元的入站策略的第一可部署单元，并将所述第一可部署单元的IP地址和对应的端口组成所述目标可部署单元的入站列表；