CN110572288A - 一种基于可信容器的数据交换方法 - Google Patents

一种基于可信容器的数据交换方法 Download PDF

Info

Publication number
CN110572288A
CN110572288A CN201910848186.9A CN201910848186A CN110572288A CN 110572288 A CN110572288 A CN 110572288A CN 201910848186 A CN201910848186 A CN 201910848186A CN 110572288 A CN110572288 A CN 110572288A
Authority
CN
China
Prior art keywords
container
network
docker
data exchange
trusted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910848186.9A
Other languages
English (en)
Inventor
王书州
章丽娟
刘旭
胡漪逸
孟凯强
王亚龙
赵治博
朱晓贝
李维超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Henan Rongpan Network Technology Co Ltd
Original Assignee
Henan Rongpan Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Henan Rongpan Network Technology Co Ltd filed Critical Henan Rongpan Network Technology Co Ltd
Priority to CN201910848186.9A priority Critical patent/CN110572288A/zh
Publication of CN110572288A publication Critical patent/CN110572288A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/542Event management; Broadcasting; Multicasting; Notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/14Routing performance; Theoretical aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于可信容器的数据交换方法,属于数据通信技术领域,该基于可信容器的数据交换方法具体包括以下步骤:删除可信容器本身路由信息以及网络信息;为Docker内不同容器搭建路由表;在Docker中对每个主机根据路由表创建网管策略;实时监测不同容器的通讯情况;建立高危信息采集。本发明采用Docker容器实现数据交换和通信的方法,通过利用Docker容器进行虚拟数据通信环境的搭建,构建虚拟通信层,在虚拟通信层中对不同类型的消息数据进行层次化管理,通过消息驱动事件的模式实现一对一、一对多、多对多的信息处理机制;采用Docker容器技术进行分层的虚拟通信环境的管理,提高信息的交换速度,极大地提高数据安全性。

Description

一种基于可信容器的数据交换方法
技术领域
本发明属于数据交换技术领域,尤其涉及一种基于可信容器的数据交换方法。
背景技术
社交平台、网络直播平台、在线支付、数字生活等新一代互联网应用已经融入到人们日常生活中,这些应用具有用户量大,业务增长迅速、数据存储量大、业务增长迅速等特点。同时,硬件的维护费用在传统企业中占有很高的比例。在这种情况下高可用性、易管理和可扩展性的云计算系统被提出,它能无缝连接的部署到大规模的服务器集群之上,需要使用可信容器的数据交换系统。
Docker是--款轻量级虚拟化容器的管理引擎,它借助操作系统层的虚拟化实现系统资源的隔离,相比于传统的虚拟化技术有很多优势;相比于Docker虚拟化方式,传统的虚拟机技术增加了虚拟机管理程序层的支持,增加了系统性能消耗。同时,虚拟机技术采用操作系统的方式对应用进行完全隔离,而Docker虚拟化的方式中容器间共享宿主机操作系统内核进行安全隔离,相对于虚拟机技术Docker虚拟化方式只提供安全隔离。
对于Docker容器间通信方面,Docker容器有四种网络模式:bridge桥接模式、host模式、other container模式和none模式,其中bridge桥接模式是最普遍采用的模式。Bridge桥接模式使得每个Docker容器独立使用网络协议栈,并实现了Docker容器与同宿主Docker容器间的通信和跨主机Docker容器的间通信,为了实现主机内部Docker容器对外提供服务需要采用网络地址转换的方式。将宿主机端口映射到内部Docker容器服务端口上。目前,对于同宿主Docker容器间的通信场景普遍采用bridge桥接的方式,数据在传输过程中需要进行多次的拷贝操作,研究和优化同宿主Docker容器间的数据交换方法,为部署在同一主机上需要通信的Docker容器提供更快速、更高效的数据交换方案。
近年来,云计算产业得到了高速发展,各大互联网公司均推出了各自的云平台,如AMAZON的AWS云服务、GOOGLE云服务和阿里云等。同时,随着云计算平台的不断发展,IaaS、PaaS和SaaS云计算平台概念被提出。可信容器技术作为虚拟化技术的重要组成部分,随着Docker技术的迅猛发展,容器技术得到了人们的注意,支持微服务的CaaS平台被提出,并且得到了广泛地关注;而Docker作为一种轻量级的虚拟化容器管理引擎还存在一些问题有待完善。
所以,发明一种基于可信容器的数据交换方法显得非常必要。
发明内容
为了解决上述技术问题,本发明提供一种基于可信容器的数据交换方法,以解决现有的数据交互存在的问题。
一种基于可信容器的数据交换方法具体包括以下步骤:
步骤一:删除可信容器本身路由信息以及网络信息;
步骤二:为Docker内不同容器搭建路由表;
步骤三:在Docker中对每个主机根据路由表创建网管策略;
步骤四:实时监测不同容器的通讯情况;
步骤五:建立高危信息采集。
优选地,在步骤一中,所述的删除可信容器本身路由信息以及网络信息,以便于通过自创建的通讯模式进行数据交换;由于使用可信容器的IP进行路由,就需要避免不同主机上的可信容器使用了相同的IP,为此我们应该为不同的主机分配不同的子网来保证;于是我们构造一下两个可信容器之间数据交换的路由方案。
优选地,在步骤二中,所述的为Docker内不同容器搭建路由表,让每一个容器在被创建之初就可以在路由表中申请自己的路由表信息。
优选地,在步骤三中,所述的在Docker中对每个主机根据路由表创建网管策略,来让不同容器之间进行网络通讯以便于数据交换;Overlay Network:覆盖网络,在基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路连接起来。
VXLAN(Virtual Extensible Local Area Network,虚拟可扩展局域网),通过将物理服务器或虚拟机发出的数据包封装到UDP中,并使用物理网络的IP/MAC作为外层报文头进行封装,然后在IP网络上传输,到达目的地后由隧道端点解封装并将数据发送给目标物理服务器或虚拟机,扩展了大规模虚拟机网络通信以便于数据交换。
优选地,在步骤四中,所述的实时监测不同容器的通讯情况,以便于让不同容器间的数据交换持续运行。
优选地,在步骤四中,所述的实时监测系统包括文件系统监控模块,进程监控模块和网络监控模块。
优选地,在步骤四中,所述的文件系统监控模块包括镜像度量和容器度量。
优选地,在步骤五中,所述的建立高危信息采集,如果不同容器之间发生高危信号采集,就在路由表中拉黑发送端容器并设置提醒打印报警日志。
与现有技术相比,本发明具有如下有益效果:由于本发明的一种基于可信容器的数据交换方法广泛应用于数据交换技术领域。本发明将采用Docker容器实现数据交换和通信的方法,所述方法通过利用Docker容器进行虚拟数据通信环境的搭建,构建虚拟通信层,在虚拟通信层中对不同类型的消息数据进行层次化管理,通过消息驱动事件的模式实现一对一、一对多、多对多的信息处理机制,对传输的进行分析、归类、存储、转发等操作;针对数据的安全通信和高效访问的实现,本发明采用Docker容器技术进行分层的虚拟通信环境的管理;通过这种方式能够提高信息的交换速度,虚拟的通信交互环境降低交换过程的成本消耗,也使得系统更加轻量化,此外,隔离的分层信息交互机制能够极大地提高数据安全性。
附图说明
图1是基于可信容器的数据交换方法流程图。
图2是物联网的信息交互与数据交换模式示意图。
图3是采用Docker容器实现数据交换和通信的示意图。
图4是直接路由的方式示意图。
图5是VXLAN工作示意图。
图6是Overlay Network工作流程图。
图7是Docker容器性能信息及容器状态采集结构图。
图8是Docker容器集群负载性能表格图。
图9时Docker容器集群预警服务监控架构图。
具体实施方式
以下结合附图对本发明做进一步描述:
如附图1至图9所示,首先,在物联网的网络层与应用层之间构建虛拟通信层,该层使用Docker容器技术进行虚拟环境的搭建,通过统一的配置文件对Docker容器中的应用进行统一的管理;然后,在虚拟通信层中建立消息接收与转发机制,将容器分为信息接收层、信息处理层、信息转发层三层结构,其中:1)、信息接收层用来介绍物联网网络层所传来的信息;2)、信息处理层对这些信息进行抽取.识别、聚类、组合等操作;信息转发层向应用层转发处理之后的数据。
在上述的基础上,本实施例在信息处理层中,数据的识别过程主要识别数据携带的数字特征,用以区分不同类型的数据信息,将相同的数据信息进行分类和组合,将同一类的信息提交到统一的信息转发接口中,一对一的信息提交到专用的转发接口中。
一种基于可信容器的数据交换系统具体包括以下步骤:
步骤一:删除可信容器本身路由信息以及网络信息:删除可信容器本身路由信息以及网络信息,以便于通过自创建的通讯模式进行数据交换;
由于使用可信容器的IP进行路由,就需要避免不同主机上的可信容器使用了相同的IP,为此我们应该为不同的主机分配不同的子网来保证;于是我们构造一下两个可信容器之间数据交换的路由方案,如下图4所示。
各项配置如下:
1)主机1的IP地址为:192.168.145.128
2)主机2的IP地址为:192.168.145.129
3)为主机1上的Docker容器分配的子网:172.17.1.0/24
4)为主机2上的Docker容器分配的子网:172.17.2.0/24
这样配置之后,两个主机上的Docker容器就肯定不会使用相同的IP地址从而避免了IP冲突。
我们接下来定义两条路由规则即可:
1)所有目的地址为172.17.1.0/24的包都被转发到主机1上;
2)所有目的地址为172.17.2.0/24的包都被转发到主机2上;
综上所述,数据包在两个可信容器间的传递过程如下:
从container1发往container2的数据包,首先发往container1的“网关”docker0,然后通过查找主机1的路由得知需要将数据包发给主机2,数据包到达主机2后再转发给主机2的docker0,最后由其将数据包转到container2中;反向原理相同。
步骤二:为Docker内不同容器搭建路由表:为Docker内不同容器搭建路由表,让每一个容器在被创建之初就可以在路由表中申请自己的路由表信息;
1)、在路由Router1上配置接口的IP地址和串口上的时钟频率。
Router1(config)#interface fastethernet0!进入接口FO的配置模式;
Router1(config-if)#ip address172.16.1.1 255.255.255.0!配置路由器接口F0的IP地址;
Router1(config-if)#no shutdown!开启路由器fastethernet0接口;
Router1(config)#interface serial 0!进入接口S0配置模式;
Router1(config-if)#ip address 172.16.2.1 255.255.255.0!配置路由器接口S0的IP地址;
Router1(config-if)#clock rate 64000!配置Routerl的时钟频率(DCE);
Router1(config-if)#no shutdown!开启路由器serial 0接口;
2)、在路由器Router1上配置路由;
Router1(config)#ip route 172.16.3.0 255.255.255.0172.16.2.2或:
Router1(config)#ip route 172.16.3.0 255.255.255.0serial 0;
3)、在路由器Router2上配置接口的IP地址和串口上的时钟频率
Router2(config)#interface fastethernet 0!进入接口F0的配置模式;
Router2(config-if)#ip address 172.16.3.2 255.255.255.0!配置路由器接口F0的IP地址;
Router2(config)#no shutdown!开启路由器fastethernet0接口;
Router2(config)#interface serial 0!进入接口S0配置模式;
Router2(config-if)#ip address 172.16.2.2 255.255.255.0!配置路由器接口S0的IP地址;
Router2(config)#no shutdown!开启路由器fastethernet0接口;
4)、在路由器Router上配置静态路由
Router2(config)#ip route 172.16.1.0255.255.255.0172.16.2.1或:
Router2(config)#ip route l72.16.1.0255.255.255.0serial 0;
然后测试网络的互连互通性。如果两台路由通过串口直接互接,必须在其中一端设置时钟频率(DCE)。
步骤三:在Docker中对每个主机根据路由表创建网管策略:在Docker中对每个主机根据路由表创建网管策略,来让不同容器之间进行网络通讯以便于数据交换;OverlayNetwork:覆盖网络,在基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路连接起来。
VXLAN(Virtual Extensible Local Area Network,虚拟可扩展局域网),通过将物理服务器或虚拟机发出的数据包封装到UDP中,并使用物理网络的IP/MAC作为外层报文头进行封装,然后在IP网络上传输,到达目的地后由隧道端点解封装并将数据发送给目标物理服务器或虚拟机,扩展了大规模虚拟机网络通信以便于数据交换。
由于VLAN Header头部限制长度是12bit,导致只能分配4095个VLAN,也就是4095个网段,在大规模虚拟网络。VXLAN标准定义Header限制长度24bit,可以支持1600万个VLAN,满足大规模虚拟机网络需求。
Docker主机之间可信容器的交换数据解决方法,桥接宿主机网络、端口映射、Docker网络驱动Overlay:基于VXLAN封装实现Docker原生Overlay网络。Macvlan:Docker主机网卡接口逻辑上分为多个子接口,每个子接口标识一个VLAN。容器接口直接连接Docker主机网卡接口,通过路由策略转发到另一台Docker主机。
步骤四:实时监测不同容器的通讯情况:实时监测不同容器的通讯情况,以便于让不同容器间的数据交换持续运行;所述的实时监测系统包括文件系统监控模块,进程监控模块和网络监控模块。
本实施例中,具体的,所述的文件系统监控模块包括镜像度量和容器度量两个部分。
1)镜像度量:当Docker执行pull.commit.load以及import操作中的任意一个,将触发文件度量模块对生成的新镜像进行度量,并将度量结果作为基准值。
2)容器度量:在容器被创建时,首先对容器依赖的镜像文件系统(rootfs)进行度量,判断可信后允许容器创建并运行,在容器被创建后,对容器的文件系统进行监控,循环度量,确保容器运行过程中可信。
用TPM进行解密得到基准值,然后再重计算镜像的哈希值,作为度量值,将度量值与基准值进行对比,若比对成功则启动容器,否则将弹框警告提示管理员,提示镜像已被损坏,并且不启动容器。当镜像被刪除时,同时也会删除数据库中对应的基准值。通过以上操作就可以确保容器是从一个安全的可信的没有被篡改的镜像中启动的,可以便于让不同容器间的数据交换持续运行。
本实施例中,具体的,所述的进程监控模块在容器被创建后,系统根据用户设置的白名单对容器内部进程实施监控,一旦出现非法进程立即拦截并通知管理员。
本实施例中,具体的,所述的网络监控模块根据用户设置的白名单对IP及端口做出限制,只允许容器与指定IP的主机通信,并只开放指定的容器端口。
步骤五:建立高危信息采集:所述的建立高危信息采集,如果不同容器之间发生高危信号采集,就在路由表中拉黑发送端容器并设置提醒打印报警日志。
本实施例中,具体的,所述的建立高危信息采集包括高危信息采集和设置提醒打印报警日志。
高危信息采集:Docker可信容器通过性能监控指标的设计和监控数据的采集和负载预测,确定了容器的当前和未来负载状态,还实现了基于Docker性能监控状态的故障告警机制。
性能数据的采集是Docker容器集群提供性能监控服务的前提,在性能指标设定的基础上,需要确定性能采集的方式,实现对Docker容器集群中每一个容器的性能数据采集,然后通过编写python脚本自动发现集群中所有agent的性能状态。
对Docker容器的性能监控数据采集中,主要有两种方式,
1)在每-台Docker容器中部署Agent,但这种方式的Agent部署使得性能监控数据的采集过程复杂,并且通过top、sysstat指令获取到的数据为宿主机上的监控数据,不能准确获取到Docker容器的性能数据。
2)利用管理Docker的Python库docker-py编写脚本信息来获取Docker容器的状态和应用信息,Docker容器集群可以通过docker-py进行管理和维护,docker-py可以通过调用Docker官方API的方式来进行性能数据的获取,这种方式获取到的Docker容器数据更加精确,而且这种方式减少了监控过程中性能数据采集对Docker容器运行过程的影响。如图7所示的是为Docker容器性能信息及容器状态采集结构图。
Docker的API可以用来获取Docker容器集群中容器的负载信息数据,利用docker-py开源的工具库编写Docker容器集群监控脚本监控容器的负载信息数据,能够对容器、容器镜像以及容器的停止和启动进行管理和维护,原理是通过Docker的API来管理操作Docker容器,实现对Docker容器性能的监控,在本节的Docker容器性能数据的采集是通过编写Python脚本来获取集群中各个容器的负载状态信息。
通过调用docker-py来实现对Docker容器集群的负载性能数据采集。首先,需要与DockerDaemon(后台守护进程)成功建立连接,然后获取Docker Client对象,调用负载计算函数来计算出使用率等性能参考数据,最后要把获取到的数据写入数据库。Docker容器集群中的性能指标获取在于调用不同的API编写不用的计算函数,获取不同的信息,实现对Docker容器性能指标的数据采集,提高了容器性能监控数据采集的效率。
设置提醒打印报警日志:将Docker容器集群部署在物理机上,所以针对Docker容器集群层面的性能监控还需要对物理机信息进行监控数据采集,然后对采集到的信息进行统计汇总分析存储到信息收集器中,将图标通过Zabbix Web端可视化展示给用户,为下一步的负载状态预测和检查点恢复提供保障。
另外,对Docker容器性能监控还增加了负载故障告警机制,提高Docker容器集群的稳定性。在出现故障之前提前以邮件的方式发送给用户,面向Docker容器的Zabix的故障告警机制设计中,将告警分为不同的等级,详细等级分类列表如下,Docker容器集群负载性能如图8和预警服务监控架构如图9所示。
本发明的一种基于可信容器的数据交换方法广泛应用于数据交换技术领域。本发明将采用Docker容器实现数据交换和通信的方法,所述方法通过利用Docker容器进行虚拟数据通信环境的搭建,构建虚拟通信层,在虚拟通信层中对不同类型的消息数据进行层次化管理,通过消息驱动事件的模式实现一对一、一对多、多对多的信息处理机制,对传输的进行分析、归类、存储、转发等操作;针对数据的安全通信和高效访问的实现,本发明采用Docker容器技术进行分层的虚拟通信环境的管理;通过这种方式能够提高信息的交换速度,虚拟的通信交互环境降低交换过程的成本消耗,也使得系统更加轻量化,此外,隔离的分层信息交互机制能够极大地提高数据安全性。
利用本发明所述的技术方案,或本领域的技术人员在本发明技术方案的启发下,设计出类似的技术方案,而达到上述技术效果的,均是落入本发明的保护范围。

Claims (8)

1.一种基于可信容器的数据交换方法,其特征在于,该基于可信容器的数据交换方法具体包括以下步骤:
步骤一:删除可信容器本身路由信息以及网络信息;
步骤二:为Docker内不同容器搭建路由表;
步骤三:在Docker中对每个主机根据路由表创建网管策略;
步骤四:实时监测不同容器的通讯情况;
步骤五:建立高危信息采集。
2.如权利要求1所述的基于可信容器的数据交换方法,其特征在于,在步骤一中,所述的删除可信容器本身路由信息以及网络信息,以便于通过自创建的通讯模式进行数据交换;由于使用可信容器的IP进行路由,就需要避免不同主机上的可信容器使用了相同的IP,为此我们应该为不同的主机分配不同的子网来保证;于是我们构造一下两个可信容器之间数据交换的路由方案。
3.如权利要求1所述的基于可信容器的数据交换方法,其特征在于,在步骤二中,所述的为Docker内不同容器搭建路由表,让每一个容器在被创建之初就可以在路由表中申请自己的路由表信息。
4.如权利要求1所述的基于可信容器的数据交换方法,其特征在于,在步骤三中,所述的在Docker中对每个主机根据路由表创建网管策略,来让不同容器之间进行网络通讯以便于数据交换;Overlay Network:覆盖网络,在基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路连接起来。
VXLAN(Virtual Extensible Local Area Network,虚拟可扩展局域网),通过将物理服务器或虚拟机发出的数据包封装到UDP中,并使用物理网络的IP/MAC作为外层报文头进行封装,然后在IP网络上传输,到达目的地后由隧道端点解封装并将数据发送给目标物理服务器或虚拟机,扩展了大规模虚拟机网络通信以便于数据交换。
5.如权利要求1所述的基于可信容器的数据交换方法,其特征在于,在步骤四中,所述的实时监测不同容器的通讯情况,以便于让不同容器间的数据交换持续运行。
6.如权利要求5所述的基于可信容器的数据交换方法,其特征在于,在步骤四中,所述的实时监测系统包括文件系统监控模块,进程监控模块和网络监控模块。
7.如权利要求6所述的基于可信容器的数据交换方法,其特征在于,在步骤四中,所述的文件系统监控模块包括镜像度量和容器度量。
8.如权利要求1所述的基于可信容器的数据交换方法,其特征在于,在步骤五中,所述的建立高危信息采集,如果不同容器之间发生高危信号采集,就在路由表中拉黑发送端容器并设置提醒打印报警日志。
CN201910848186.9A 2019-11-04 2019-11-04 一种基于可信容器的数据交换方法 Pending CN110572288A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910848186.9A CN110572288A (zh) 2019-11-04 2019-11-04 一种基于可信容器的数据交换方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910848186.9A CN110572288A (zh) 2019-11-04 2019-11-04 一种基于可信容器的数据交换方法

Publications (1)

Publication Number Publication Date
CN110572288A true CN110572288A (zh) 2019-12-13

Family

ID=68778527

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910848186.9A Pending CN110572288A (zh) 2019-11-04 2019-11-04 一种基于可信容器的数据交换方法

Country Status (1)

Country Link
CN (1) CN110572288A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111447146A (zh) * 2020-03-20 2020-07-24 上海中通吉网络技术有限公司 物理路由信息的动态更新方法、装置、设备和存储介质
CN111934903A (zh) * 2020-06-28 2020-11-13 上海伽易信息技术有限公司 一种基于时序演化基因的Docker容器故障智能预测方法
CN112714182A (zh) * 2020-12-28 2021-04-27 广州金越软件技术有限公司 一种基于分布式消息架构的跨网数据交换技术及方法
WO2022160714A1 (zh) * 2021-01-28 2022-08-04 华为技术有限公司 一种通信方法、装置以及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105069353A (zh) * 2015-08-11 2015-11-18 武汉大学 一种基于Docker的可信容器安全加固方法
CN105550576A (zh) * 2015-12-11 2016-05-04 华为技术服务有限公司 容器间通信的方法与装置
CN106612335A (zh) * 2017-02-07 2017-05-03 济南浪潮高新科技投资发展有限公司 采用Docker容器实现IoT的信息交换和通信的方法
CN106921576A (zh) * 2017-02-28 2017-07-04 郑州云海信息技术有限公司 基于虚拟化系统的数据网与管理网的流量分离方法及装置
CN107070717A (zh) * 2017-04-17 2017-08-18 成都精灵云科技有限公司 一种跨主机的Docker容器通讯的方法
CN107276826A (zh) * 2017-07-24 2017-10-20 郑州云海信息技术有限公司 一种容器网络配置方法和装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105069353A (zh) * 2015-08-11 2015-11-18 武汉大学 一种基于Docker的可信容器安全加固方法
CN105550576A (zh) * 2015-12-11 2016-05-04 华为技术服务有限公司 容器间通信的方法与装置
CN106612335A (zh) * 2017-02-07 2017-05-03 济南浪潮高新科技投资发展有限公司 采用Docker容器实现IoT的信息交换和通信的方法
CN106921576A (zh) * 2017-02-28 2017-07-04 郑州云海信息技术有限公司 基于虚拟化系统的数据网与管理网的流量分离方法及装置
CN107070717A (zh) * 2017-04-17 2017-08-18 成都精灵云科技有限公司 一种跨主机的Docker容器通讯的方法
CN107276826A (zh) * 2017-07-24 2017-10-20 郑州云海信息技术有限公司 一种容器网络配置方法和装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
张硕: "面向Docker容错的性能监控和自适应预复制检查点技术研究", 《中国优秀硕士学位论文全文数据库 (信息科技辑)》 *
王鹃等: "基于Docker的可信容器", 《武汉大学学报(理学版)》 *
肖小芳等: "Docker网络通信研究与实现", 《通讯世界》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111447146A (zh) * 2020-03-20 2020-07-24 上海中通吉网络技术有限公司 物理路由信息的动态更新方法、装置、设备和存储介质
CN111447146B (zh) * 2020-03-20 2022-04-29 上海中通吉网络技术有限公司 物理路由信息的动态更新方法、装置、设备和存储介质
CN111934903A (zh) * 2020-06-28 2020-11-13 上海伽易信息技术有限公司 一种基于时序演化基因的Docker容器故障智能预测方法
CN111934903B (zh) * 2020-06-28 2023-12-12 上海伽易信息技术有限公司 一种基于时序演化基因的Docker容器故障智能预测方法
CN112714182A (zh) * 2020-12-28 2021-04-27 广州金越软件技术有限公司 一种基于分布式消息架构的跨网数据交换技术及方法
CN112714182B (zh) * 2020-12-28 2024-02-23 广州金越软件技术有限公司 一种基于分布式消息架构的跨网数据交换技术及方法
WO2022160714A1 (zh) * 2021-01-28 2022-08-04 华为技术有限公司 一种通信方法、装置以及系统

Similar Documents

Publication Publication Date Title
US11477097B2 (en) Hierarchichal sharding of flows from sensors to collectors
US12047283B2 (en) Flow tracing operation in container cluster
US11750653B2 (en) Network intrusion counter-intelligence
US20240113998A1 (en) Domain name system operations implemented using scalable virtual traffic hub
US11558426B2 (en) Connection tracking for container cluster
US11438255B2 (en) Automated route propagation among networks attached to scalable virtual traffic hubs
US10742446B2 (en) Interconnecting isolated networks with overlapping address ranges via scalable virtual traffic hubs
CN110572288A (zh) 一种基于可信容器的数据交换方法
US11196628B1 (en) Monitoring container clusters
US20200278892A1 (en) Remote smart nic-based service acceleration
EP3780504A1 (en) System and method for determining a data flow path in an overlay network
CN111543038B (zh) 使用中间设备流拼接的网络流拼接
JP2022521058A (ja) ゲストvmモビリティを使用したサービスの提供
US11005721B1 (en) Scalable control plane for telemetry data collection within a distributed computing system
US10536362B2 (en) Configuring traffic flow monitoring in virtualized computing environments
CN108234223B (zh) 一种数据中心综合管理系统的安全服务设计方法
CA2958359A1 (en) Supplementing network flow analysis with endpoint information
US10931559B2 (en) Distribution of network-policy configuration, management, and control using model-driven and information-centric networking
WO2017114363A1 (zh) 报文处理方法、bng及bng集群系统
CN113867884B (zh) 用于计算机网络的方法和系统及存储介质
Chaudhary et al. A comprehensive survey on software‐defined networking for smart communities
Zhou Virtual networking
Yu Design of Cross-border Network Crime Detection System Based on PSE and Big Data Analysis

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20191213

RJ01 Rejection of invention patent application after publication