CN108521403A - 一种对Docker容器平台上多租户网络进行隔离的方法 - Google Patents

一种对Docker容器平台上多租户网络进行隔离的方法 Download PDF

Info

Publication number
CN108521403A
CN108521403A CN201810195455.1A CN201810195455A CN108521403A CN 108521403 A CN108521403 A CN 108521403A CN 201810195455 A CN201810195455 A CN 201810195455A CN 108521403 A CN108521403 A CN 108521403A
Authority
CN
China
Prior art keywords
tenant
docker
network
open vswitch
isolated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810195455.1A
Other languages
English (en)
Inventor
李若寒
元河清
陈小龙
孟宪鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Chaoyue CNC Electronics Co Ltd
Original Assignee
Shandong Chaoyue CNC Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Chaoyue CNC Electronics Co Ltd filed Critical Shandong Chaoyue CNC Electronics Co Ltd
Priority to CN201810195455.1A priority Critical patent/CN108521403A/zh
Publication of CN108521403A publication Critical patent/CN108521403A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Abstract

本发明涉及一种对Docker容器平台上多租户网络进行隔离的方法。本发明所述对Docker容器平台上多租户网络进行隔离的方法中,Docker容器网络采用虚拟交换机Open Vswitch实现,利用Open Vswitch虚拟交换机可以配置VLAN的特性,为每一个租户分配一个VLAN ID,将同一个租户容器划分到同一个VLAN中,不同租户网络通过VLAN进行隔离。

Description

一种对Docker容器平台上多租户网络进行隔离的方法
技术领域
本发明涉及一种对Docker容器平台上多租户网络进行隔离的方法,属于云计算安全的技术领域。
背景技术
Docker是PaaS提供商dotCloud开源的一个基于LXC的高级容器引擎,源代码托管在Github上,基于go语言并遵从Apache2.0协议开源。
Docker设想是交付运行环境如同海运,OS如同一个货轮,每一个在OS基础上的软件都如同一个集装箱,用户可以通过标准化手段自由组装运行环境,同时集装箱的内容可以由用户自定义,也可以由专业人员制造。这样,交付一个软件,就是一系列标准化组件的集合的交付,这也就是基于docker的PaaS平台产品的原型。
在Docker容器平台实际部署环境中,有大量的服务器节点,每台服务器上都运行了数百个甚至上千个Docker容器,这对实现容器网络隔离,保护容器安全带来了挑战。在Docker默认配置下,同一个服务器上,所有容器连接在一个网桥上,共享同样的网络资源,多租户容器网络没有隔离,存在一定的安全隐患。
随着互联网技术的飞速发展,基于网络的应用已经广泛出现企业内部和外部的业务系统中,网络应用发挥着越来越重要的作用。与此同时,越来越多的网络应用也因为存在安全隐患而频繁遭受到各种攻击,导致敏感数据、页面被篡改、数据非法访问、甚至成为传播木马的傀儡,最终会给更多访问者造成伤害,带来严重损失。
针对越来越多的网络层攻击,防火墙、入侵防御等网络安全设备已被广泛部署在网络边界,网络访问控制策略设置也颇为严格,一般只开放HTTP等必要的服务端口,因此黑客已很难通过传统网络层攻击方式进行攻击。
但是在云计算环境下,特别是在Docker虚拟化环境下,多租户容器共享网络资源,让网络边界变得越来越模糊,如果黑客利用平台中的容器为跳板,通过网络攻击其他租户的容器,就会让部署在网络边界的防护设备失去作用。
现有技术中,Docker提供三种种网络驱动,它们各有千秋,也各自存在着一定的局限性。使用host驱动可以让Docker容器与宿主服务器共用同一个网络栈,能使网络模型最简单,但是无法实现网络隔离,缺乏安全性;网桥是Docker默认使用的网络驱动,容器没有对外IP,只能通过NAT实现对外通信,无法实现跨服务器容器间直接通信;overlay驱动支持跨主机容器间直接通信,它采用VxLAN的方式,让容器在集群上共用一个大二层网络,可实现跨主机的通信,但多个租户共享一个二层网络,无法满足隔离需求。
发明内容
针对现有技术的不足,本发明提供一种对Docker容器平台上多租户网络进行隔离的方法。本发明的技术方案为:
一种对Docker容器平台上多租户网络进行隔离的方法,基于虚拟交换机实现;包括步骤如下:
1)将Docker容器平台中每个服务器节点配成属于一个IP地址空间的子网;
2)在每个服务器节点上,将Docker容器默认使用的docker0网桥用Open Vswitch网桥替换,并使每个docker容器都连到Open Vswitch普通网桥上,获得同一个网段的IP地址;
3)在Open Vswitch网桥将不同的租户划分为不同的VLAN,实现租户隔离;
4)在每个服务器节点上建立一个Open Vswitch隧道网桥,并建立一个端口,以连接Open Vswitch网桥;通过在Open Vswitch隧道网桥上建立GRE或VxLAN隧道,实现同一租户容器之间跨主机的二层通信。
在Docker容器平台实际部署环境中,有大量的服务器节点,每台服务器上都运行了数百个甚至上千个Docker容器,这些容器属于不同的租户,在设计多租户网络隔离时,首先保证同一个服务器上,多个租户之间的网络是隔离的,其次,保证同一个租户跨服务器分布的多个容器间网络是联通的。
本发明的有益效果为:
1.本发明所述对Docker容器平台上多租户网络进行隔离的方法中,Docker容器网络采用虚拟交换机Open Vswitch实现,利用Open Vswitch虚拟交换机可以配置VLAN的特性,为每一个租户分配一个VLAN ID,将同一个租户容器划分到同一个VLAN中,不同租户网络通过VLAN进行隔离;
2.本发明所述对Docker容器平台上多租户网络进行隔离的方法,将分布在不同服务器上的虚拟交换机通过VxLAN或GRE隧道协议进行连接,形成一个二层网络,保证同一个租户多个容器可以跨服务器互相访问。
附图说明
图1为本发明所述对Docker容器平台上多租户网络进行隔离的方法实现机制图。
具体实施方式
下面结合实施例和说明书附图对本发明做进一步说明,但不限于此。
实施例1
如图1所示。
一种对Docker容器平台上多租户网络进行隔离的方法,基于虚拟交换机实现;包括步骤如下:
1)将Docker容器平台中每个服务器节点配成属于一个IP地址空间的子网;所述子网为10.0.X.X/16;
2)在每个服务器节点上,将Docker容器默认使用的docker0网桥用Open Vswitch网桥替换,并使每个docker容器都连到Open Vswitch普通网桥上,获得同一个网段的IP地址192.168.X.X/16网段;
3)在Open Vswitch网桥将不同的租户划分为不同的VLAN,实现租户隔离;
4)在每个服务器节点上建立一个Open Vswitch隧道网桥,并建立一个端口,以连接Open Vswitch网桥;通过在Open Vswitch隧道网桥上建立VxLAN隧道,实现同一租户容器之间跨主机的二层通信。

Claims (1)

1.一种对Docker容器平台上多租户网络进行隔离的方法,基于虚拟交换机实现;其特征在于,包括步骤如下:
1)将Docker容器平台中每个服务器节点配成属于一个IP地址空间的子网;
2)在每个服务器节点上,将Docker容器默认使用的docker0网桥用Open Vswitch网桥替换,并使每个docker容器都连到Open Vswitch普通网桥上,获得同一个网段的IP地址;
3)在Open Vswitch网桥将不同的租户划分为不同的VLAN,实现租户隔离;
4)在每个服务器节点上建立一个Open Vswitch隧道网桥,并建立一个端口,以连接Open Vswitch网桥;通过在Open Vswitch隧道网桥上建立GRE或VxLAN隧道,实现同一租户容器之间跨主机的二层通信。
CN201810195455.1A 2018-03-09 2018-03-09 一种对Docker容器平台上多租户网络进行隔离的方法 Pending CN108521403A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810195455.1A CN108521403A (zh) 2018-03-09 2018-03-09 一种对Docker容器平台上多租户网络进行隔离的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810195455.1A CN108521403A (zh) 2018-03-09 2018-03-09 一种对Docker容器平台上多租户网络进行隔离的方法

Publications (1)

Publication Number Publication Date
CN108521403A true CN108521403A (zh) 2018-09-11

Family

ID=63433070

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810195455.1A Pending CN108521403A (zh) 2018-03-09 2018-03-09 一种对Docker容器平台上多租户网络进行隔离的方法

Country Status (1)

Country Link
CN (1) CN108521403A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109561108A (zh) * 2019-01-07 2019-04-02 中国人民解放军国防科技大学 一种基于策略的容器网络资源隔离控制方法
CN110120919A (zh) * 2019-04-04 2019-08-13 华中科技大学 一种用于容器网络的网络资源隔离方法和系统
CN110635987A (zh) * 2019-09-09 2019-12-31 新华三信息安全技术有限公司 一种报文传输方法、装置、设备及机器可读存储介质
CN110830574A (zh) * 2019-11-05 2020-02-21 浪潮云信息技术有限公司 一种基于docker容器实现内网负载均衡的方法
CN110932907A (zh) * 2019-12-03 2020-03-27 北京大学 一种Linux容器网络配置方法及网络系统
CN114944952A (zh) * 2022-05-20 2022-08-26 深信服科技股份有限公司 一种数据处理方法、装置、系统、设备及可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140201733A1 (en) * 2013-01-15 2014-07-17 International Business Machines Corporation Scalable network overlay virtualization using conventional virtual switches
CN106803796A (zh) * 2017-03-05 2017-06-06 北京工业大学 基于云平台的多租户网络拓扑重构方法
CN107222342A (zh) * 2017-05-27 2017-09-29 郑州云海信息技术有限公司 一种集群管理网络配置方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140201733A1 (en) * 2013-01-15 2014-07-17 International Business Machines Corporation Scalable network overlay virtualization using conventional virtual switches
CN106803796A (zh) * 2017-03-05 2017-06-06 北京工业大学 基于云平台的多租户网络拓扑重构方法
CN107222342A (zh) * 2017-05-27 2017-09-29 郑州云海信息技术有限公司 一种集群管理网络配置方法

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109561108A (zh) * 2019-01-07 2019-04-02 中国人民解放军国防科技大学 一种基于策略的容器网络资源隔离控制方法
CN109561108B (zh) * 2019-01-07 2020-09-01 中国人民解放军国防科技大学 一种基于策略的容器网络资源隔离控制方法
CN110120919A (zh) * 2019-04-04 2019-08-13 华中科技大学 一种用于容器网络的网络资源隔离方法和系统
CN110635987A (zh) * 2019-09-09 2019-12-31 新华三信息安全技术有限公司 一种报文传输方法、装置、设备及机器可读存储介质
CN110635987B (zh) * 2019-09-09 2021-11-02 新华三信息安全技术有限公司 一种报文传输方法、装置、设备及机器可读存储介质
CN110830574A (zh) * 2019-11-05 2020-02-21 浪潮云信息技术有限公司 一种基于docker容器实现内网负载均衡的方法
CN110932907A (zh) * 2019-12-03 2020-03-27 北京大学 一种Linux容器网络配置方法及网络系统
CN114944952A (zh) * 2022-05-20 2022-08-26 深信服科技股份有限公司 一种数据处理方法、装置、系统、设备及可读存储介质
CN114944952B (zh) * 2022-05-20 2023-11-07 深信服科技股份有限公司 一种数据处理方法、装置、系统、设备及可读存储介质

Similar Documents

Publication Publication Date Title
CN108521403A (zh) 一种对Docker容器平台上多租户网络进行隔离的方法
CN110035079B (zh) 一种蜜罐生成方法、装置及设备
US10129125B2 (en) Identifying a source device in a software-defined network
US9762599B2 (en) Multi-node affinity-based examination for computer network security remediation
US9680852B1 (en) Recursive multi-layer examination for computer network security remediation
US11122129B2 (en) Virtual network function migration
US20170012940A1 (en) Zone-Based Firewall Policy Model for a Virtualized Data Center
CN105991595A (zh) 网络安全防护方法及装置
US20140207930A1 (en) Independent network interfaces for virtual network environments
US8528092B2 (en) System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking
DE112013004828T5 (de) Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr
Le et al. Anatomy of drive-by download attack
TW201642617A (zh) 用於威脅驅動安全性政策控制之系統及方法
US10048975B2 (en) Scalable policy management in an edge virtual bridging (EVB) environment
AU2008256210A1 (en) Network and computer firewall protection with dynamic address isolation to a device
CN107426152B (zh) 云平台虚实互联环境下多任务安全隔离系统及方法
US20200366650A1 (en) Method and system for creating a secure public cloud-based cyber range
US11799899B2 (en) Context-aware domain name system (DNS) query handling
US10673878B2 (en) Computer security apparatus
CN112019545B (zh) 一种蜜罐网络部署方法、装置、设备及介质
US11539722B2 (en) Security threat detection based on process information
WO2014114127A1 (en) Method, apparatus and system for webpage access control
Surantha et al. Secure kubernetes networking design based on zero trust model: A case study of financial service enterprise in indonesia
Fernandez et al. A pattern for network functions virtualization
John et al. Major vulnerabilities and their prevention methods in cloud computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20180911