CN110932907B - 一种Linux容器网络配置方法及网络系统 - Google Patents

一种Linux容器网络配置方法及网络系统 Download PDF

Info

Publication number
CN110932907B
CN110932907B CN201911219103.6A CN201911219103A CN110932907B CN 110932907 B CN110932907 B CN 110932907B CN 201911219103 A CN201911219103 A CN 201911219103A CN 110932907 B CN110932907 B CN 110932907B
Authority
CN
China
Prior art keywords
bridge
central
network
linux
virtual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911219103.6A
Other languages
English (en)
Other versions
CN110932907A (zh
Inventor
曹东刚
朱瑜坚
安博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Peking University
Original Assignee
Peking University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peking University filed Critical Peking University
Priority to CN201911219103.6A priority Critical patent/CN110932907B/zh
Publication of CN110932907A publication Critical patent/CN110932907A/zh
Application granted granted Critical
Publication of CN110932907B publication Critical patent/CN110932907B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种Linux容器网络配置方法及网络系统。该配置方法包括:获取待配置用户的容器以及各容器的宿主主机;对待配置用户分配子网网段,对各容器分配属于子网网段的IP地址;将各容器的网络类型配置成veth;将veth pair的IP地址配置成所属容器的IP地址;在每个宿主主机上均创建一个待配置用户对应的虚拟网桥;将vethpair的其中一个端口连接到同一个宿主主机内的虚拟网桥上;随机选定一个虚拟网桥作为中心网桥;在中心网桥所在宿主主机上创建虚拟网关;通过通用路由封装隧道将中心网桥连接到待配置用户对应的所有虚拟网桥。本发明能够突破使用容器集群的用户规模的限制。

Description

一种Linux容器网络配置方法及网络系统
技术领域
本发明涉及软件技术领域,特别是涉及一种Linux容器网络配置方法及网络系统。
背景技术
Linux容器(Linux Container,简称LXC)是一种操作系统层虚拟化技术,它基于Linux内核特性控制组(cgroup)和命名空间(namespace)等技术来进行进程资源的隔离和虚拟化。
LXC同时也是一个开源的软件项目,其大部分代码遵从GNU LGPLv2.1+协议开源。
相比虚拟机,LXC更加轻量,且具有更好的性能,因此得到了越来越多的应用。
在通常的云计算应用场景中,LXC集群是由多个用户共享或是由多个用户LXC集群所构成的。这时,不同用户的容器集群网络如果不进行隔离,也即不同用户的容器集群是在同一二层网络内,那么是存在安全性问题的。因为传统的攻击防御设备和策略(如防火墙)都是部署在二层网络的边界,并在三层网络(也即网络层)进行防御。二层数据链路层,也即局域网内的网络攻击是较难防御的。
因此,在这一场景中,一般会对用户容器集群的网络在二层进行隔离。从而使得不同的用户容器集群属于不同的局域网。
现有技术中,租户网络隔离的方法常用的是VLAN(Virtual LocalArea Network,虚拟局域网)技术,即为每一个用户或租户分配一个VLAN ID,并利用这个ID和OpenvSwitch(简称OVS)等软件实现不同的租户容器集群属于不同的VLAN,从而实现租户网络的隔离。
但是,由于VLAN相关的网络协议中规定了VLAN ID至多只能有4096个。因此,以上方法至多只能支持4096个用户,无法支持更多更大规模的用户同时使用容器集群。
发明内容
本发明的目的是提供一种Linux容器网络配置方法及网络系统,突破使用容器集群的用户规模的限制。
为实现上述目的,本发明提供了如下方案:
一种Linux容器网络配置方法,包括:
获取待配置用户的Linux容器以及各所述Linux容器的宿主主机;
对所述待配置用户分配子网网段,对各所述Linux容器分配属于所述子网网段的IP地址;
将各所述Linux容器的网络类型配置成veth;
将vethpair的容器端IP地址配置成所属Linux容器的IP地址;
在每个所述宿主主机上均创建一个所述待配置用户对应的虚拟网桥;
将所述vethpair的其中一个端口连接到同一个所述宿主主机内的所述虚拟网桥上;
随机选定一个所述虚拟网桥作为中心网桥;
在所述中心网桥所在宿主主机上创建虚拟网关;
通过通用路由封装隧道将所述中心网桥连接到所述待配置用户对应的所有虚拟网桥。
可选的,所述在每个所述宿主主机上均创建一个所述待配置用户对应的虚拟网桥,具体包括:
利用开放虚拟交换标准在每个所述宿主主机上均创建一个所述待配置用户对应的虚拟网桥。
可选的,所述在所述中心网桥所在宿主主机上创建虚拟网关,具体包括:
利用开放虚拟交换标准的指令在所述中心网桥所在宿主主机上创建内核级端口,并在所述内核级端口上创建相应的Linux网络接口;
将所述子网网段中的第一个可用IP地址分配给所述Linux网络接口;
通过Linux的IP命令启动分配IP后的所述Linux网络接口。
可选的,所述通过通用路由封装隧道将所述中心网桥连接到所述待配置用户对应的所有虚拟网桥,具体包括:
在所述中心网桥上建立多个中心通用路由封装隧道端口;所述中心通用路由封装隧道端口的数量与远端网桥的数量相同;所述远端网桥为所述待配置用户所对应的虚拟网桥中除所述中心网桥之外的虚拟网桥;
在每个所述远端网桥上均建立一个远端通用路由封装隧道端口;每个所述远端通用路由封装隧道端口均对应连接一个所述中心通用路由封装隧道端口;
将各所述远端通用路由封装隧道端口的远端IP地址配置成中心网桥所在宿主主机的IP地址;
将各所述中心通用路由封装隧道端口的远端IP地址配置成对应连接的远端网桥所在宿主主机的IP地址;
将各所述中心通用路由封装隧道端口和各所述远端通用路由封装隧道端口的key配置为所述待配置用户的ID。
可选的,在所述获取待配置用户的Linux容器以及各所述Linux容器的宿主主机之后,在所述对所述待配置用户分配子网网段,对各所述Linux容器分配属于所述子网网段的IP地址之前,还包括:
对所述待配置用户分配唯一的ID,对各所述Linux容器分配唯一的ID。
可选的,在所述将各所述Linux容器的网络类型配置成veth之后,在所述将所述vethpair的其中一个端口连接到同一个所述宿主主机内的所述虚拟网桥上之前,还包括:
将vethpair的名称配置成所属Linux容器的ID。
一种Linux容器网络系统,包括:配置于中心宿主主机上的中心网桥、配置于中心宿主主机上的网关以及配置于远端宿主主机上的远端网桥;所述中心网桥和所述远端网桥为属于同一个用户的虚拟网桥;每个所述宿主主机上只配置一个所述虚拟网桥;
所述中心网桥通过通用路由封装隧道与各个所述远端网桥连接;所述中心网桥与所述网关连接;所述中心网桥和所述远端网桥均通过vethpair端口连接到所在宿主主机内属于所述用户的Linux容器;
属于所述用户的各所述Linux容器的IP地址属于同一个子网网段;所述vethpair的容器端IP地址与所连接的Linux容器的IP地址相同。
可选的,各所述远端网桥上的通用路由封装隧道端口的远端IP地址为中心网桥所在宿主主机的IP地址;各所述中心通用路由封装隧道端口的远端IP地址为对应连接的远端网桥所在宿主主机的IP地址;所述中心网桥与各所述远端网桥上的通用路由封装隧道端口的key均为所属用户的ID。
可选的,所述用户拥有唯一的ID,各所述Linux容器拥有唯一的ID。
可选的,所述网关的IP地址为所述子网网段的第一个可用IP地址。
根据本发明提供的具体实施例,本发明公开了以下技术效果:本发明的Linux容器网络配置方法及网络系统,在各宿主主机上创建虚拟网桥,并选定一个为中心网桥,在中心网桥所在宿主主机上创建网关,并将中心网桥通过通用路由封装隧道连接到其他虚拟网桥,实现了Linux容器网络连接。本发明在摆脱对VLAN的依赖的情况下实现了Linux容器网络的连接,能够避免使用容器集群的用户规模受到VLAN ID数量的限制,突破使用容器集群的用户规模的限制。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1的Linux容器网络配置方法的方法流程图;
图2为本发明实施例2所建立的LXC网络结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例1:
该实施例1提供一种Linux容器网络配置方法。
图1为本发明实施例1的Linux容器网络配置方法的方法流程图。
参见图1,该Linux容器网络配置方法,包括:
步骤101:获取待配置用户的Linux容器以及各所述Linux容器的宿主主机。
步骤102:对所述待配置用户分配唯一的ID,对各所述Linux容器分配唯一的ID。
步骤103:对所述待配置用户分配子网网段,对各所述Linux容器分配属于所述子网网段的IP地址。
步骤104:将各所述Linux容器的网络类型配置成veth。
步骤105:将vethpair的名称配置成所属Linux容器的ID。
步骤106:将vethpair的容器端IP地址配置成所属Linux容器的IP地址。
Linux容器配置完成后启动Linux容器,则Linux容器的veth pair端口作为网络接口(interface)自动在宿主主机的默认网络名称空间(namespace)中生成。
步骤107:在每个所述宿主主机上均创建一个所述待配置用户对应的虚拟网桥。
步骤107具体为:
利用开放虚拟交换标准(OpenvSwitch,OVS)在每个所述宿主主机上均创建一个所述待配置用户对应的虚拟网桥。为防止虚拟网桥名称冲突,以所属用户ID作为虚拟网桥的名称。这些虚拟网桥可认为是用户的专用虚拟网桥。如同一个用户有多个容器在同一个宿主机上,也只创建一个虚拟网桥,即对于每个用户而言,每个宿主主机上至多只有一个该用户的专用虚拟网桥。
步骤108:将所述vethpair的其中一个端口连接到同一个所述宿主主机内的所述虚拟网桥上。具体方式为采用开放虚拟交换标准将vethpair的其中一个端口加入到同一个所述宿主主机内的所述虚拟网桥上。vethpair端口为成对端口,另一个端口连接到Linux容器。
步骤109:随机选定一个所述虚拟网桥作为中心网桥。
步骤110:在所述中心网桥所在宿主主机上创建虚拟网关。该虚拟网关可认为是该待配置用户的专用网关。创建虚拟网关的过程为:
利用开放虚拟交换标准的指令(OVS指令)在所述中心网桥所在宿主主机上创建内核级端口,并在所述内核级端口上创建相应的Linux网络接口;
将所述子网网段中的第一个可用IP地址分配给所述Linux网络接口;
通过Linux的IP命令启动分配IP后的所述Linux网络接口。
步骤111:通过通用路由封装隧道将所述中心网桥连接到所述待配置用户对应的所有虚拟网桥。
首先建立通用路由封装(GRE,Generic Routing Encapsulation)隧道,然后建立连接。
建立通用路由封装隧道的过程为:
利用OVS在所述中心网桥上建立多个中心通用路由封装隧道端口;所述中心通用路由封装隧道端口的数量与远端网桥的数量相同;所述远端网桥为所述待配置用户所对应的虚拟网桥中除所述中心网桥之外的虚拟网桥;
利用OVS在每个所述远端网桥上均建立一个远端通用路由封装隧道端口;每个所述远端通用路由封装隧道端口均对应连接一个所述中心通用路由封装隧道端口;
将各所述远端通用路由封装隧道端口的远端IP地址配置成中心网桥所在宿主主机的IP地址;
将各所述中心通用路由封装隧道端口的远端IP地址配置成对应连接的远端网桥所在宿主主机的IP地址;
将各所述中心通用路由封装隧道端口和各所述远端通用路由封装隧道端口的key配置为所述待配置用户的ID。将key配置为所述待配置用户的ID,能够保证每个GRE隧道的用户唯一性和专用性,防止连接同一主机的多个GRE隧道冲突。GRE隧道可实现同一个用户下的Linux容器的跨主机二层通信。
通过上述步骤,本发明能够搭建一个支持多用户的LXC网络,该网络连接结构为:每个宿主主机上存在着若干用户专用虚拟网桥,每个用户的Linux容器都连接到该用户的专用网桥上;对于每个用户,存在一个用户虚拟网关,该虚拟网关连接到该用户的其中一个专用网桥上;而GRE隧道的连接对于每个用户而言是星型结构,虚拟网关所在的专用网桥为中心节点,该用户的其他所有虚拟网桥都通过GRE隧道连接到该中心节点上。
实施例2:
该实施例2给出一种具体实施例来对本发明的方案进行详细说明。
图2为本发明实施例2所建立的LXC网络结构图。
参见图2,该实施例2以三个主机,6个LXC,2个用户为例进行说明。
本发明的Linux容器网络配置方法的流程如下:
1.预先分配好集群内各用户ID,分别为1和2。6个容器依次分配ID为LXC1、LXC2、LXC3、LXC4、LXC5和LXC6。分配好用户1的子网网段为172.16.1.0/24,用户2的子网网段为172.16.2.0/24。根据网段地址分配每个用户下的容器IP和网关IP。
2.将所有LXC的网络类型配置成veth,vethpair的端口名称配置为容器ID,即分别为LXC1、LXC2、LXC3、LXC4、LXC5和LXC6。容器端IP地址配置成预先分配好的地址,网关地址配置成容器用户网段的第一个可用地址,即172.16.1.1和172.16.2.1。
3.利用OpenvSwitch在LXC所在的宿主机上创建容器对应用户的虚拟网桥,用户1和用户2的网桥名分别为BR-1和BR-2。
4.利用OVS操作,将配置好的vethpair的一个端口加入到所属用户的专用虚拟网桥BR-1和BR-2上,作为虚拟网桥的一个端口。
5.分别在主机1和主机2上,创建用户1和用户2的虚拟网关。创建过程如下:1)利用OVS指令在该虚拟网关上创建内核级端口,并创建与内核级端口直连的Linux网络接口。2)配置分配好的网关地址为该网络接口的IP地址,该地址为子网网段的第一个可用地址,即用户1为172.16.1.1,用户2为172.16.2.1。3)通过Linux的IP命令启用创建好的网络接口,这个网络接口即是用户专用虚拟网关。
6.对于每个用户,在每一个虚拟网桥与网关所在虚拟网桥间建立GRE隧道。即主机1和主机3的BR-1间建立用户1的GRE隧道,主机1和主机2、主机2和主机3的BR-2间建立用户2的GRE隧道。GRE隧道通过在两个虚拟网桥上分别建立GRE类型的端口创建,端口的远端IP配置为对方的主机IP地址。为防止冲突,还需配置端口的key为用户ID。GRE隧道可实现同一个用户下的容器的跨主机二层通信。
实施例3:
该实施例3提供一种Linux容器网络系统,包括:配置于中心宿主主机上的中心网桥、配置于中心宿主主机上的网关以及配置于远端宿主主机上的远端网桥;所述中心网桥和所述远端网桥为属于同一个用户的虚拟网桥;每个所述宿主主机上只配置一个所述虚拟网桥;
所述中心网桥通过通用路由封装隧道与各个所述远端网桥连接;所述中心网桥与所述网关连接;所述中心网桥和所述远端网桥均通过vethpair端口连接到所在宿主主机内属于所述用户的Linux容器;
属于所述用户的各所述Linux容器的IP地址属于同一个子网网段;所述vethpair的容器端IP地址与所连接的Linux容器的IP地址相同。
可选的,各所述远端网桥上的通用路由封装隧道端口的远端IP地址为中心网桥所在宿主主机的IP地址;各所述中心通用路由封装隧道端口的远端IP地址为对应连接的远端网桥所在宿主主机的IP地址;所述中心网桥与各所述远端网桥上的通用路由封装隧道端口的key均为所属用户的ID。
可选的,所述用户拥有唯一的ID,各所述Linux容器拥有唯一的ID。
可选的,所述网关的IP地址为所述子网网段的第一个可用IP地址。
根据本发明提供的具体实施例,本发明公开了以下技术效果:本发明能够支持同一个用户内容器互相通信,不同用户的容器在二层网络不可通信。同时若网关所在主机可访问互联网等其他网络,通过iptables实现NAT(NetworkAddress Translation,网络地址转换)技术后,也可支持容器访问相应网络。除此之外,相比现有技术,本发明的优势为:
1.用户子网内有中央式网关,可控制管理用户网络包的流通,如可对每个用户做不同的网络限速。并可针对每个用户定制个性化的防火墙、网络策略等。从而可以提高服务质量,增强网络安全性。
2.用户网关可分布式部署在不同主机上,从而分摊用户网络流量,减少网络堵塞,提高整体网络性能。
3.整个网络方案中没有使用到VLAN,因此不存在VLAN ID耗尽的问题,整个服务器集群可支持大规模用户(大于4096个)。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (8)

1.一种Linux容器网络配置方法,其特征在于,包括:
获取待配置用户的Linux容器以及各所述Linux容器的宿主主机;
对所述待配置用户分配子网网段,对各所述Linux容器分配属于所述子网网段的IP地址;
将各所述Linux容器的网络类型配置成veth;
将vethpair的容器端IP地址配置成所属Linux容器的IP地址;
在每个所述宿主主机上均创建一个所述待配置用户对应的虚拟网桥;
将所述vethpair的宿主端口连接到同一个所述宿主主机内的所述虚拟网桥上;
随机选定一个所述虚拟网桥作为中心网桥;
在所述中心网桥所在宿主主机上创建虚拟网关;
通过通用路由封装隧道将所述中心网桥连接到所述待配置用户对应的所有虚拟网桥;
所述通过通用路由封装隧道将所述中心网桥连接到所述待配置用户对应的所有虚拟网桥,具体包括:
在所述中心网桥上建立多个中心通用路由封装隧道端口;所述中心通用路由封装隧道端口的数量与远端网桥的数量相同;所述远端网桥为所述待配置用户所对应的虚拟网桥中除所述中心网桥之外的虚拟网桥;
在每个所述远端网桥上均建立一个远端通用路由封装隧道端口;每个所述远端通用路由封装隧道端口均对应连接一个所述中心通用路由封装隧道端口;
将各所述远端通用路由封装隧道端口的远端IP地址配置成中心网桥所在宿主主机的IP地址;
将各所述中心通用路由封装隧道端口的远端IP地址配置成对应连接的远端网桥所在宿主主机的IP地址;
将各所述中心通用路由封装隧道端口和各所述远端通用路由封装隧道端口的key配置为所述待配置用户的ID。
2.根据权利要求1所述的Linux容器网络配置方法,其特征在于,所述在每个所述宿主主机上均创建一个所述待配置用户对应的虚拟网桥,具体包括:
利用开放虚拟交换标准在每个所述宿主主机上均创建一个所述待配置用户对应的虚拟网桥。
3.根据权利要求1所述的Linux容器网络配置方法,其特征在于,所述在所述中心网桥所在宿主主机上创建虚拟网关,具体包括:
利用开放虚拟交换标准的指令在所述中心网桥所在宿主主机上创建内核级端口,并在所述内核级端口上创建相应的Linux网络接口;
将所述子网网段中的第一个可用IP地址分配给所述Linux网络接口;
通过Linux的IP命令启动分配IP后的所述Linux网络接口。
4.根据权利要求1所述的Linux容器网络配置方法,其特征在于,在所述获取待配置用户的Linux容器以及各所述Linux容器的宿主主机之后,在所述对所述待配置用户分配子网网段,对各所述Linux容器分配属于所述子网网段的IP地址之前,还包括:
对所述待配置用户分配唯一的ID,对各所述Linux容器分配唯一的ID。
5.根据权利要求4所述的Linux容器网络配置方法,其特征在于,在所述将各所述Linux容器的网络类型配置成veth之后,在所述将所述veth pair的其中一个端口连接到同一个所述宿主主机内的所述虚拟网桥上之前,还包括:
将vethpair的名称配置成所属Linux容器的ID。
6.一种Linux容器网络系统,其特征在于,包括:配置于中心宿主主机上的中心网桥、配置于中心宿主主机上的网关以及配置于远端宿主主机上的远端网桥;所述中心网桥和所述远端网桥为属于同一个用户的虚拟网桥;每个所述宿主主机上只配置一个所述虚拟网桥;
所述中心网桥通过通用路由封装隧道与各个所述远端网桥连接;所述中心网桥与所述网关连接;所述中心网桥和所述远端网桥均通过veth pair端口连接到所在宿主主机内属于所述用户的Linux容器;
属于所述用户的各所述Linux容器的IP地址属于同一个子网网段;所述veth pair的IP地址与所连接的Linux容器的IP地址相同;所述中心网桥通过通用路由封装隧道与各个所述远端网桥连接具体包括:
在所述中心网桥上建立多个中心通用路由封装隧道端口;所述中心通用路由封装隧道端口的数量与所述远端网桥的数量相同;所述远端网桥为待配置用户所对应的虚拟网桥中除所述中心网桥之外的虚拟网桥;
在每个所述远端网桥上均建立一个远端通用路由封装隧道端口;每个所述远端通用路由封装隧道端口均对应连接一个所述中心通用路由封装隧道端口;
将各所述远端通用路由封装隧道端口的远端IP地址配置成中心网桥所在宿主主机的IP地址;
将各所述中心通用路由封装隧道端口的远端IP地址配置成对应连接的远端网桥所在宿主主机的IP地址;
将各所述中心通用路由封装隧道端口和各所述远端通用路由封装隧道端口的key配置为待配置用户的ID。
7.根据权利要求6所述的Linux容器网络系统,其特征在于,所述用户拥有唯一的ID,各所述Linux容器拥有唯一的ID。
8.根据权利要求6所述的Linux容器网络系统,其特征在于,所述网关的IP地址为所述子网网段的第一个可用IP地址。
CN201911219103.6A 2019-12-03 2019-12-03 一种Linux容器网络配置方法及网络系统 Active CN110932907B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911219103.6A CN110932907B (zh) 2019-12-03 2019-12-03 一种Linux容器网络配置方法及网络系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911219103.6A CN110932907B (zh) 2019-12-03 2019-12-03 一种Linux容器网络配置方法及网络系统

Publications (2)

Publication Number Publication Date
CN110932907A CN110932907A (zh) 2020-03-27
CN110932907B true CN110932907B (zh) 2020-10-16

Family

ID=69847341

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911219103.6A Active CN110932907B (zh) 2019-12-03 2019-12-03 一种Linux容器网络配置方法及网络系统

Country Status (1)

Country Link
CN (1) CN110932907B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111490986B (zh) * 2020-04-05 2022-05-27 杭州迪普科技股份有限公司 用于入侵防御设备的测试系统及方法
CN111585979B (zh) * 2020-04-22 2020-12-18 广州锦行网络科技有限公司 一种基于网络映射的复杂多构网络隔离技术实现方法
CN112491984B (zh) * 2020-11-13 2022-08-12 上海连尚网络科技有限公司 基于虚拟网桥的容器编排引擎集群管理系统
CN113285843B (zh) * 2021-07-23 2021-10-22 中航金网(北京)电子商务有限公司 容器网络配置方法、装置、计算机可读介质及电子设备
CN114024772B (zh) * 2022-01-05 2022-04-26 北京赛宁网安科技有限公司 一种网络攻防平台端口映射方法与系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106844000A (zh) * 2016-12-21 2017-06-13 北京大学 一种多用户环境下利用浏览器访问Linux容器集群的方法和装置
CN109561108A (zh) * 2019-01-07 2019-04-02 中国人民解放军国防科技大学 一种基于策略的容器网络资源隔离控制方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9843533B2 (en) * 2014-03-06 2017-12-12 Trilio Data Inc. Elastic compute cloud based on underutilized server resources using a distributed container system
CN105591820B (zh) * 2015-12-31 2020-05-08 北京轻元科技有限公司 一种高可扩展的容器网络管理系统和方法
CN107070691B (zh) * 2017-01-12 2020-01-21 阿里巴巴集团控股有限公司 Docker容器的跨主机通信方法和系统
CN108521403A (zh) * 2018-03-09 2018-09-11 山东超越数控电子股份有限公司 一种对Docker容器平台上多租户网络进行隔离的方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106844000A (zh) * 2016-12-21 2017-06-13 北京大学 一种多用户环境下利用浏览器访问Linux容器集群的方法和装置
CN109561108A (zh) * 2019-01-07 2019-04-02 中国人民解放军国防科技大学 一种基于策略的容器网络资源隔离控制方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种面向多租户的Linux容器集群组网方法;朱瑜坚 等;《计算机科学》;20180930;第45卷(第9期);46-49 *

Also Published As

Publication number Publication date
CN110932907A (zh) 2020-03-27

Similar Documents

Publication Publication Date Title
CN110932907B (zh) 一种Linux容器网络配置方法及网络系统
US12010097B2 (en) Network architecture for cloud computing environments
US11063819B2 (en) Managing use of alternative intermediate destination computing nodes for provided computer networks
US11563681B2 (en) Managing communications using alternative packet addressing
US11509577B2 (en) Linking resource instances to virtual network in provider network environments
US11108732B2 (en) Resizing virtual private networks in provider network environments
US9794116B2 (en) Managing use of intermediate destination computing nodes for provided computer networks
US9491002B1 (en) Managing communications involving external nodes of provided computer networks
JP5763081B2 (ja) 仮想化ネットワークインフラストラクチャを用いたトランスペアレントなクラウドコンピューティングのための方法および装置
US9973379B1 (en) Managing integration of external nodes into provided computer networks
US8988983B1 (en) Managing failure behavior for computing nodes of provided computer networks
US10084851B1 (en) Managing use of intermediate destination hardware devices for provided computer networks
US9356860B1 (en) Managing external communications for provided computer networks
US20150124823A1 (en) Tenant dhcp in an overlay network
CN111698338B (zh) 一种数据传输的方法和计算机系统
US20140280810A1 (en) Providing private access to network-accessible services
CN112368979B (zh) 通信装置、方法和系统
CN114338606B (zh) 一种公有云的网络配置方法及相关设备
CN107809386B (zh) Ip地址转换方法、路由设备和通信系统
JP2019041371A (ja) ネットワークリソースを共有するための方法およびシステム
CN111083148A (zh) 一种基于云计算领域实现vpn网关的方法
CN105847257A (zh) 一种用于资源分配和配置群集的计算机网络系统和方法
CN107508845B (zh) 一种组网系统、网络共享方法和系统
CN118160278A (zh) 私有网络之间外部端点的透明安装
Samovskiy Building a multisourced infrastructure using OpenVPN

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant