CN108521403A - 一种对Docker容器平台上多租户网络进行隔离的方法 - Google Patents
一种对Docker容器平台上多租户网络进行隔离的方法 Download PDFInfo
- Publication number
- CN108521403A CN108521403A CN201810195455.1A CN201810195455A CN108521403A CN 108521403 A CN108521403 A CN 108521403A CN 201810195455 A CN201810195455 A CN 201810195455A CN 108521403 A CN108521403 A CN 108521403A
- Authority
- CN
- China
- Prior art keywords
- tenant
- docker
- network
- open vswitch
- isolated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Abstract
本发明涉及一种对Docker容器平台上多租户网络进行隔离的方法。本发明所述对Docker容器平台上多租户网络进行隔离的方法中,Docker容器网络采用虚拟交换机Open Vswitch实现,利用Open Vswitch虚拟交换机可以配置VLAN的特性,为每一个租户分配一个VLAN ID,将同一个租户容器划分到同一个VLAN中,不同租户网络通过VLAN进行隔离。
Description
技术领域
本发明涉及一种对Docker容器平台上多租户网络进行隔离的方法,属于云计算安全的技术领域。
背景技术
Docker是PaaS提供商dotCloud开源的一个基于LXC的高级容器引擎,源代码托管在Github上,基于go语言并遵从Apache2.0协议开源。
Docker设想是交付运行环境如同海运,OS如同一个货轮,每一个在OS基础上的软件都如同一个集装箱,用户可以通过标准化手段自由组装运行环境,同时集装箱的内容可以由用户自定义,也可以由专业人员制造。这样,交付一个软件,就是一系列标准化组件的集合的交付,这也就是基于docker的PaaS平台产品的原型。
在Docker容器平台实际部署环境中,有大量的服务器节点,每台服务器上都运行了数百个甚至上千个Docker容器,这对实现容器网络隔离,保护容器安全带来了挑战。在Docker默认配置下,同一个服务器上,所有容器连接在一个网桥上,共享同样的网络资源,多租户容器网络没有隔离,存在一定的安全隐患。
随着互联网技术的飞速发展,基于网络的应用已经广泛出现企业内部和外部的业务系统中,网络应用发挥着越来越重要的作用。与此同时,越来越多的网络应用也因为存在安全隐患而频繁遭受到各种攻击,导致敏感数据、页面被篡改、数据非法访问、甚至成为传播木马的傀儡,最终会给更多访问者造成伤害,带来严重损失。
针对越来越多的网络层攻击,防火墙、入侵防御等网络安全设备已被广泛部署在网络边界,网络访问控制策略设置也颇为严格,一般只开放HTTP等必要的服务端口,因此黑客已很难通过传统网络层攻击方式进行攻击。
但是在云计算环境下,特别是在Docker虚拟化环境下,多租户容器共享网络资源,让网络边界变得越来越模糊,如果黑客利用平台中的容器为跳板,通过网络攻击其他租户的容器,就会让部署在网络边界的防护设备失去作用。
现有技术中,Docker提供三种种网络驱动,它们各有千秋,也各自存在着一定的局限性。使用host驱动可以让Docker容器与宿主服务器共用同一个网络栈,能使网络模型最简单,但是无法实现网络隔离,缺乏安全性;网桥是Docker默认使用的网络驱动,容器没有对外IP,只能通过NAT实现对外通信,无法实现跨服务器容器间直接通信;overlay驱动支持跨主机容器间直接通信,它采用VxLAN的方式,让容器在集群上共用一个大二层网络,可实现跨主机的通信,但多个租户共享一个二层网络,无法满足隔离需求。
发明内容
针对现有技术的不足,本发明提供一种对Docker容器平台上多租户网络进行隔离的方法。本发明的技术方案为:
一种对Docker容器平台上多租户网络进行隔离的方法,基于虚拟交换机实现;包括步骤如下:
1)将Docker容器平台中每个服务器节点配成属于一个IP地址空间的子网;
2)在每个服务器节点上,将Docker容器默认使用的docker0网桥用Open Vswitch网桥替换,并使每个docker容器都连到Open Vswitch普通网桥上,获得同一个网段的IP地址;
3)在Open Vswitch网桥将不同的租户划分为不同的VLAN,实现租户隔离;
4)在每个服务器节点上建立一个Open Vswitch隧道网桥,并建立一个端口,以连接Open Vswitch网桥;通过在Open Vswitch隧道网桥上建立GRE或VxLAN隧道,实现同一租户容器之间跨主机的二层通信。
在Docker容器平台实际部署环境中,有大量的服务器节点,每台服务器上都运行了数百个甚至上千个Docker容器,这些容器属于不同的租户,在设计多租户网络隔离时,首先保证同一个服务器上,多个租户之间的网络是隔离的,其次,保证同一个租户跨服务器分布的多个容器间网络是联通的。
本发明的有益效果为:
1.本发明所述对Docker容器平台上多租户网络进行隔离的方法中,Docker容器网络采用虚拟交换机Open Vswitch实现,利用Open Vswitch虚拟交换机可以配置VLAN的特性,为每一个租户分配一个VLAN ID,将同一个租户容器划分到同一个VLAN中,不同租户网络通过VLAN进行隔离;
2.本发明所述对Docker容器平台上多租户网络进行隔离的方法,将分布在不同服务器上的虚拟交换机通过VxLAN或GRE隧道协议进行连接,形成一个二层网络,保证同一个租户多个容器可以跨服务器互相访问。
附图说明
图1为本发明所述对Docker容器平台上多租户网络进行隔离的方法实现机制图。
具体实施方式
下面结合实施例和说明书附图对本发明做进一步说明,但不限于此。
实施例1
如图1所示。
一种对Docker容器平台上多租户网络进行隔离的方法,基于虚拟交换机实现;包括步骤如下:
1)将Docker容器平台中每个服务器节点配成属于一个IP地址空间的子网;所述子网为10.0.X.X/16;
2)在每个服务器节点上,将Docker容器默认使用的docker0网桥用Open Vswitch网桥替换,并使每个docker容器都连到Open Vswitch普通网桥上,获得同一个网段的IP地址192.168.X.X/16网段;
3)在Open Vswitch网桥将不同的租户划分为不同的VLAN,实现租户隔离;
4)在每个服务器节点上建立一个Open Vswitch隧道网桥,并建立一个端口,以连接Open Vswitch网桥;通过在Open Vswitch隧道网桥上建立VxLAN隧道,实现同一租户容器之间跨主机的二层通信。
Claims (1)
1.一种对Docker容器平台上多租户网络进行隔离的方法,基于虚拟交换机实现;其特征在于,包括步骤如下:
1)将Docker容器平台中每个服务器节点配成属于一个IP地址空间的子网;
2)在每个服务器节点上,将Docker容器默认使用的docker0网桥用Open Vswitch网桥替换,并使每个docker容器都连到Open Vswitch普通网桥上,获得同一个网段的IP地址;
3)在Open Vswitch网桥将不同的租户划分为不同的VLAN,实现租户隔离;
4)在每个服务器节点上建立一个Open Vswitch隧道网桥,并建立一个端口,以连接Open Vswitch网桥;通过在Open Vswitch隧道网桥上建立GRE或VxLAN隧道,实现同一租户容器之间跨主机的二层通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810195455.1A CN108521403A (zh) | 2018-03-09 | 2018-03-09 | 一种对Docker容器平台上多租户网络进行隔离的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810195455.1A CN108521403A (zh) | 2018-03-09 | 2018-03-09 | 一种对Docker容器平台上多租户网络进行隔离的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108521403A true CN108521403A (zh) | 2018-09-11 |
Family
ID=63433070
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810195455.1A Pending CN108521403A (zh) | 2018-03-09 | 2018-03-09 | 一种对Docker容器平台上多租户网络进行隔离的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108521403A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109561108A (zh) * | 2019-01-07 | 2019-04-02 | 中国人民解放军国防科技大学 | 一种基于策略的容器网络资源隔离控制方法 |
CN110120919A (zh) * | 2019-04-04 | 2019-08-13 | 华中科技大学 | 一种用于容器网络的网络资源隔离方法和系统 |
CN110635987A (zh) * | 2019-09-09 | 2019-12-31 | 新华三信息安全技术有限公司 | 一种报文传输方法、装置、设备及机器可读存储介质 |
CN110830574A (zh) * | 2019-11-05 | 2020-02-21 | 浪潮云信息技术有限公司 | 一种基于docker容器实现内网负载均衡的方法 |
CN110932907A (zh) * | 2019-12-03 | 2020-03-27 | 北京大学 | 一种Linux容器网络配置方法及网络系统 |
CN114944952A (zh) * | 2022-05-20 | 2022-08-26 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140201733A1 (en) * | 2013-01-15 | 2014-07-17 | International Business Machines Corporation | Scalable network overlay virtualization using conventional virtual switches |
CN106803796A (zh) * | 2017-03-05 | 2017-06-06 | 北京工业大学 | 基于云平台的多租户网络拓扑重构方法 |
CN107222342A (zh) * | 2017-05-27 | 2017-09-29 | 郑州云海信息技术有限公司 | 一种集群管理网络配置方法 |
-
2018
- 2018-03-09 CN CN201810195455.1A patent/CN108521403A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140201733A1 (en) * | 2013-01-15 | 2014-07-17 | International Business Machines Corporation | Scalable network overlay virtualization using conventional virtual switches |
CN106803796A (zh) * | 2017-03-05 | 2017-06-06 | 北京工业大学 | 基于云平台的多租户网络拓扑重构方法 |
CN107222342A (zh) * | 2017-05-27 | 2017-09-29 | 郑州云海信息技术有限公司 | 一种集群管理网络配置方法 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109561108A (zh) * | 2019-01-07 | 2019-04-02 | 中国人民解放军国防科技大学 | 一种基于策略的容器网络资源隔离控制方法 |
CN109561108B (zh) * | 2019-01-07 | 2020-09-01 | 中国人民解放军国防科技大学 | 一种基于策略的容器网络资源隔离控制方法 |
CN110120919A (zh) * | 2019-04-04 | 2019-08-13 | 华中科技大学 | 一种用于容器网络的网络资源隔离方法和系统 |
CN110635987A (zh) * | 2019-09-09 | 2019-12-31 | 新华三信息安全技术有限公司 | 一种报文传输方法、装置、设备及机器可读存储介质 |
CN110635987B (zh) * | 2019-09-09 | 2021-11-02 | 新华三信息安全技术有限公司 | 一种报文传输方法、装置、设备及机器可读存储介质 |
CN110830574A (zh) * | 2019-11-05 | 2020-02-21 | 浪潮云信息技术有限公司 | 一种基于docker容器实现内网负载均衡的方法 |
CN110932907A (zh) * | 2019-12-03 | 2020-03-27 | 北京大学 | 一种Linux容器网络配置方法及网络系统 |
CN114944952A (zh) * | 2022-05-20 | 2022-08-26 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
CN114944952B (zh) * | 2022-05-20 | 2023-11-07 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108521403A (zh) | 一种对Docker容器平台上多租户网络进行隔离的方法 | |
CN110035079B (zh) | 一种蜜罐生成方法、装置及设备 | |
US10129125B2 (en) | Identifying a source device in a software-defined network | |
US9762599B2 (en) | Multi-node affinity-based examination for computer network security remediation | |
US9680852B1 (en) | Recursive multi-layer examination for computer network security remediation | |
US11122129B2 (en) | Virtual network function migration | |
US20170012940A1 (en) | Zone-Based Firewall Policy Model for a Virtualized Data Center | |
CN105991595A (zh) | 网络安全防护方法及装置 | |
US20140207930A1 (en) | Independent network interfaces for virtual network environments | |
US8528092B2 (en) | System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking | |
DE112013004828T5 (de) | Bereitstellen von Diensten für virtuellen Overlay-Netzwerkverkehr | |
Le et al. | Anatomy of drive-by download attack | |
TW201642617A (zh) | 用於威脅驅動安全性政策控制之系統及方法 | |
US10048975B2 (en) | Scalable policy management in an edge virtual bridging (EVB) environment | |
AU2008256210A1 (en) | Network and computer firewall protection with dynamic address isolation to a device | |
CN107426152B (zh) | 云平台虚实互联环境下多任务安全隔离系统及方法 | |
US20200366650A1 (en) | Method and system for creating a secure public cloud-based cyber range | |
US11799899B2 (en) | Context-aware domain name system (DNS) query handling | |
US10673878B2 (en) | Computer security apparatus | |
CN112019545B (zh) | 一种蜜罐网络部署方法、装置、设备及介质 | |
US11539722B2 (en) | Security threat detection based on process information | |
WO2014114127A1 (en) | Method, apparatus and system for webpage access control | |
Surantha et al. | Secure kubernetes networking design based on zero trust model: A case study of financial service enterprise in indonesia | |
Fernandez et al. | A pattern for network functions virtualization | |
John et al. | Major vulnerabilities and their prevention methods in cloud computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180911 |