CN111404951B - 一种云网络的租户创建方法、计算机设备及存储介质 - Google Patents
一种云网络的租户创建方法、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN111404951B CN111404951B CN202010208121.0A CN202010208121A CN111404951B CN 111404951 B CN111404951 B CN 111404951B CN 202010208121 A CN202010208121 A CN 202010208121A CN 111404951 B CN111404951 B CN 111404951B
- Authority
- CN
- China
- Prior art keywords
- tenant
- network
- target network
- information
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种云网络的租户创建方法、计算机设备及存储介质,该方法包括:根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息;根据目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置;根据目标网络租户的租户信息,在分布式管理系统中创建并保存所述目标网络租户的网络配置信息。本发明实施例的技术方案实现了在网络租户创建后的任何时刻各个网络租户之间处于隔离状态,保证了网络租户之间的安全,并且不需要频繁更新防火墙规则,减小了集群规模对网络租户隔离的影响。
Description
技术领域
本发明实施例涉及云计算技术,尤其涉及一种云网络的租户创建方法、计算机设备及存储介质。
背景技术
Kubernetes是一套全新的基于容器技术的分布式管理系统。在Kubernetes中,可以创建多个容器,每个容器里面运行一个应用实例,然后通过内置的负载均衡策略,实现对这一组应用实例的管理、发现与访问。
Kubernetes的容器网络方案有多种,如Flannel,Calico,Weave等,但这些网络方案均没有实现容器网络多租户。Kubernetes仅提供了Network Policy规则来创建网络租户,同时,Network Policy的实现需要有第三方外接网络插件的支持,例如Kube-Router。
由于第三方外接网络插件支持Network Policy的过程中需要对Network Policy和容器集群资源进行监控,获取Network Policy和容器集群更新事件容易延迟,从而引起多租户间潜在的安全问题;其次,Kube-Router利用防火墙规则实现Network Policy,当集群规模较大时,Kube-Router需要频繁更新防火墙规则,当规则数目较多时会影响到防火墙规则的下发速度,从而影响租户间的隔离。
发明内容
本发明实施例提供一种云网络的租户创建方法、计算机设备及存储介质,实现了在网络租户创建后的任何时刻各个网络租户之间处于隔离状态,保证了网络租户之间的安全。
第一方面,本发明实施例提供了一种云网络的租户创建方法,包括:
根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息;
根据所述目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置;
根据所述目标网络租户的租户信息,在所述分布式管理系统中创建并保存所述目标网络租户的网络配置信息。
第二方面,本发明实施例还提供了一种计算机设备,包括处理器和存储器,存储器用于存储指令,当指令执行时使得处理器执行以下操作:
根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息;
根据所述目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置;
根据所述目标网络租户的租户信息,在所述分布式管理系统中创建并保存所述目标网络租户的网络配置信息。
第三方面,本发明实施例还提供了一种存储介质,存储介质用于存储指令,指令用于执行:
根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息;
根据所述目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置;
根据所述目标网络租户的租户信息,在所述分布式管理系统中创建并保存所述目标网络租户的网络配置信息。
本发明实施例的技术方案,根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息,根据目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置,根据目标网络租户的租户信息,创建并保存目标网络租户的网络配置信息,本发明实施例的技术方案实现了在网络租户创建后的任何时刻各个网络租户之间处于隔离状态,保证了网络租户之间的安全,并且不需要频繁更新防火墙规则,减小了集群规模对网络租户隔离的影响。
附图说明
图1为本发明实施例一提供的一种云网络的租户创建方法的流程图;
图2为本发明实施例二提供的一种云网络的租户创建方法的流程图;
图3为本发明实施例三提供的一种云网络的租户创建装置的结构示意图;
图4为本发明实施例四提供的一种计算机设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
本文使用的术语“目标网络租户”是指使用系统或计算资源的网络用户,比如在系统中创建的账户与统计信息,以及在系统中设置的各式数据和用户所设置的客户化应用程序环境等,都属于租户的范围。
本文使用的术语“数据过滤表”是用于完成防火墙规则的过滤与管理的数据表。
本文使用的术语“隔离链”用于隔离不同网络租户之间的通信。
本文使用的术语“容器集群”用于目标网络租户访问分布式管理系统中的信息。
本文使用的术语“访问控制列表ACL”用于目标网络租户配置指定的网络租户的网络信息。
本文使用的术语“ACL链”用于根据目标网络租户使用的网段和ACL中配置的网段,使目标网络租户与ACL中指定的网络租户进行通信。
为了便于理解,将本发明实施例的主要发明构思进行简述。
现有技术的分布式管理系统通过配置Network Policy规则来创建网络租户,Network Policy创建网络租户需要有第三方外接网络插件的支持,例如Kube-Router。
现有技术在创建网络租户的过程中需要对Network Policy和分布式管理系统中的容器集群资源进行监控,获取Network Policy和容器集群更新事件容易延迟,从而引起网络租户间潜在的安全问题;其次,Kube-Router利用防火墙规则实现Network Policy,当集群规模较大时,Kube-Router需要频繁更新防火墙规则,当规则数目较多时会影响到防火墙规则的下发速度,从而影响网络租户间的隔离。
发明人针对现有技术中创建网络租户存在的安全隐患和集群规模对网络租户的影响,考虑是否可以通过一种方法在网络租户创建时保证各个网络租户之间处于隔离状态,并且不需要频繁更新防火墙规则。
基于上述思考,发明人创造性的提出,根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息,根据目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置,根据目标网络租户的租户信息,在分布式管理系统中创建并保存目标网络租户的网络配置信息,从而保证在网络租户创建后的任何时刻各个网络租户之间都处于隔离状态,并且不受集群规模的影响。
实施例一
图1为本发明实施例一提供的一种云网络的租户创建方法的流程图。本发明实施例可适用于基于Kubernetes软件框架的分布式管理系统创建网络租户中的情况,该方法可以由本发明实施例提供的云网络的租户创建装置来执行,该装置可采用软件和/或硬件的方式实现,并一般可集成在计算机设备中。如图1所示,本发明实施例的方法具体包括:
步骤101、根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息。
在本实施例中,网络租户是指使用系统或计算资源的用户,使用的计算资源是按照用户实际的服务请求动态创建的。在Kubernetes分布式管理系统中,当有新的网络租户开始创建时,将此网络租户作为目标网络租户,并可以监听到所述目标网络租户的网络信息和租户信息。
具体的,网络信息可以为所述目标网络租户使用的网段、目标网络租户的后端类型,比如VXLAN(Virtual Extensible Local Area Network,虚拟扩展局域网)、UDP(UserDatagram Protocol,用户数据报协议)或TCP(Transmission Control Protocol,传输控制协议)等,以及目标网络租户的后端配置信息,比如目标网络租户的IP(InternetProtocol,网际互连协议)地址、子网掩码以及DNS(Domain Name System,域名系统协议)等。租户信息可以为租户的名字以及租户类型等信息。
在此步骤中,获取到目标网络租户的网络信息和租户信息后,根据网络信息和租户信息,还需要确认所述目标网络租户属于合法网络租户。在实际的Kubernetes分布式管理系统中,每个网络租户的名字应该都是唯一的,并且所有网络租户使用的网段都不应该存在重叠部分,本实施例提出了根据目标网络租户的名字、使用的网段以及后端配置信息来判断目标网络租户是否属于合法租户的方法,包括:检查目标网络租户使用的网段和名字是否与已有网络租户使用的网段和名字冲突,并且判断目标网络租户的后端配置信息是否合法;如果所述目标网络租户使用的网段和名字与已有网络租户使用的网段和名字冲突,或所述目标网络租户的后端配置信息不合法,则判断所述目标网络租户不是合法租户;如果所述目标网络租户使用的网段和名字与已有网络租户使用的网段和名字不冲突,并且所述目标网络租户的后端配置信息合法,则判断所述目标网络租户是合法租户。
步骤102、根据所述目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置。
在上述步骤中,根据目标网络租户的网络信息和租户信息确认所述目标网络租户属于合法网络租户后,在分布式管理系统中对预先设置的数据过滤表中的隔离链进行配置,以使目标网络租户与已有的网络租户进行隔离。配置隔离链的方法包括:
步骤1、检查所述数据过滤表中是否存在用于隔离不同网络租户的隔离链,如果是,执行步骤2,如果否,执行步骤3;
在此步骤中,将预设的用于表示隔离链的链名与所述数据过滤表中所有规则链的链名进行对比;如果所述数据过滤表中存在链名与预设的用于表示隔离链的链名一致的规则链,则确定所述数据过滤表中存在用于网络租户隔离的隔离链,并将此规则链确定为隔离链;如果所述数据过滤表中不存在链名与预设的用于表示隔离链的链名一致的规则链,则确定所述数据过滤表中不存在用于网络租户隔离的隔离链。
步骤2、根据所述目标网络租户使用的网段配置所述隔离链;
在此步骤中,根据所述目标网络租户使用的网段,对数据过滤表中的隔离链添加与所述目标网络租户对应的防火墙规则,以完成对所述隔离链的配置。具体的,假设目标网络租户使用的网段为10.16.0.0/12,则在数据过滤表中添加与该目标网络租户对应的防火墙规则“iptables-t filter-A ISOLATION!-s 10.16.0.0/12-d 10.16.0.0/12-j DROP”。
步骤3、在所述数据过滤表中创建隔离链,并根据所述目标网络租户使用的网段配置所述隔离链。
在此步骤中,根据预设的用于表示隔离链的链名,对数据过滤表中添加与该链名对应的防火墙规则“iptables-t filter-A FORWARD-j ISOLATION”和“iptables-tfilter-I ISOLATION-m conntrack–ctstate ESTABLISHED,RELATED-j ACCEPT”,以完成隔离链的创建。在完成对隔离链的创建之后,依据步骤2的方式对该隔离链进行配置,以使所述目标网络租户与已有的网络租户进行隔离。
步骤103、根据所述目标网络租户的租户信息,在所述分布式管理系统中创建并保存所述目标网络租户的网络配置信息。
在此步骤中,根据目标网络租户的租户信息,创建与该目标网络租户对应的网络配置信息,例如路由信息、VXLAN设备以及UDP设备等信息,并保存该目标网络租户当前节点配置的网络信息,例如目标网络租户在当前节点所使用的子网段以及后端配置信息等。
保存所述目标网络租户的网络配置信息之后,在所述分布式管理系统创建新的容器集群,并将所述目标网络租户指定给创建的所述容器集群;使用所述目标网络租户的网络配置信息,为所述容器集群创建网络接口,以使所述目标网络租户通过所述网络接口访问所述分布式管理系统中的信息。
在分布式管理系统中,每个容器集群都拥有一个独立的IP地址,并且每个容器集群都明确对应一个网络租户,以使对应的网络租户通过所述容器集群获取分布式管理系统中的资源信息。在创建与目标网络租户对应的新的容器集群之后,根据目标网络租户的网络配置信息,比如目标网络租户使用的网段和后端配置信息,为新的容器集群创建与目标网络租户对应的网络接口,以使目标网络租户通过所述网络接口获取分布式管理系统中的资源信息。
本发明实施例提供了一种云网络的租户创建方法,根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息,根据目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置,根据目标网络租户的租户信息,创建并保存目标网络租户的网络配置信息,本发明实施例的技术方案实现了在网络租户创建后的任何时刻各个网络租户之间处于隔离状态,保证了网络租户之间的安全,并且不需要频繁更新防火墙规则,减小了集群规模对网络租户隔离的影响。
实施例二
图2为本发明实施例二提供的一种云网络的租户创建方法的流程图。本实施例是对上述实施例的进一步细化,与上述实施例相同或相应的术语解释,本实施例不再赘述。该方法包括如下步骤:
步骤201、根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息。
步骤202、根据所述网络信息和所述租户信息,确认所述目标网络租户属于合法网络租户。
步骤203、获取所述目标网络租户创建的访问控制列表ACL的配置信息。
在分布式管理系统中,网络租户可以在访问控制列表ACL中配置指定的网络租户的网络信息,使得ACL列表中指定的网络租户可以访问本租户。当目标网络租户开始创建访问控制列表ACL时,可以监听到所述ACL的配置信息,比如目标网络租户信任的网段信息、对应的协议(TCP或UDP等)以及开放的端口等。
步骤204、根据所述目标网络租户的网络信息和所述ACL的配置信息,对防火墙iptables中与所述目标网络租户对应的ACL链进行配置,以使所述目标网络租户与所述ACL中指定的网络租户进行通信。
在上述步骤中,获取到目标网络租户创建的访问控制列表ACL的配置信息后,对防火墙iptables中与所述目标网络租户对应的ACL链进行配置,配置ACL链的方法包括:
步骤1、检查所述iptables中是否存在与所述目标网络租户对应的ACL链,如果是,执行步骤2,如果否,执行步骤3;
在此步骤中,将预设的用于表示目标网络租户对应的ACL链的链名与iptables中所有规则链的链名进行对比,具体的,假设目标网络租户的名字为A,预设的用于表示所述目标网络租户对应的ACL链的链名为USER-A-ACL,将此链名与iptables中所有规则链的链名进行对比;如果所述iptables中存在链名与USER-A-ACL一致的规则链,则将此规则链确定为所述目标网络租户对应的ACL链;如果所述iptables中不存在链名与USER-A-ACL一致的规则链,则确定所述iptables中不存在所述目标网络租户对应的ACL链。
步骤2、根据所述目标网络租户使用的网段和所述ACL中配置的网段配置所述ACL链;
在此步骤中,根据所述目标网络租户使用的网段和所述ACL中配置的网段,对iptables中目标网络租户对应的ACL链添加对应的防火墙规则,以完成对所述ACL链的配置。具体的,假设目标网络租户使用的网段为10.16.0.0/12,目标网络租户创建的ACL中配置的网段为11.16.0.0/12,协议为TCP,开放端口为22,则在iptables中添加与该目标网络租户对应的防火墙规则“iptables-t filter-A USER-A-ACL-s 11.16.0.0/12-d10.16.0.0/12-p tcp-m–dport 22-j ACCEPT”。
步骤3、在所述iptables中创建与所述目标网络租户对应的ACL链,并根据所述目标网络租户使用的网段和所述ACL中配置的网段配置所述ACL链。
在此步骤中,根据预设的用于表示目标网络租户对应的ACL链的链名,比如USER-A-ACL,对iptables中添加与该链名对应的防火墙规则“iptables-t filter-I ISOLATION-j USER-A-ACL”,以完成ACL链的创建。在完成对目标网络租户对应的ACL链的创建之后,依据步骤2的方式对该ACL链进行配置,以使所述目标网络租户与所述ACL中指定的网络租户进行通信。
步骤205、根据所述目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置。
步骤206、根据所述目标网络租户的租户信息,在所述分布式管理系统中创建并保存所述目标网络租户的网络配置信息。
本发明实施例提供了一种云网络的租户创建方法,根据目标网络租户的创建请求,获取目标网络租户的网络信息、租户信息和访问控制列表的配置信息,根据目标网络租户的网络信息和访问控制列表的配置信息,对防火墙中与目标网络租户对应的ACL链进行配置,根据目标网络租户的网络信息,对数据过滤表中的隔离链进行配置,根据目标网络租户的租户信息创建并保存目标网络租户的网络配置信息,本发明实施例的技术方案实现了在目标网络租户创建后,目标网络租户与指定的网络租户之间进行通信,并与除指定的网络租户外的其他网络租户进行隔离,保证了网络租户之间的安全,无需频繁更新防火墙规则,减小了集群规模对网络租户隔离的影响。
实施例三
图3为本发明实施例三提供的一种云网络的租户创建装置的结构示意图。该装置可采用软件和/或硬件的方式实现,并一般可集成在计算机设备中。如图3所示,所述装置包括:信息获取模块301、隔离链配置模块302、网络配置信息创建模块303。
其中,信息获取模块301,用于根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息;隔离链配置模块302,用于根据所述目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置;网络配置信息创建模块303,用于根据所述目标网络租户的租户信息,在所述分布式管理系统中创建并保存所述目标网络租户的网络配置信息。
本发明实施例提供了一种云网络的租户创建装置,根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息,根据目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置,根据目标网络租户的租户信息,创建并保存目标网络租户的网络配置信息,本发明实施例的技术方案实现了在网络租户创建后的任何时刻各个网络租户之间处于隔离状态,保证了网络租户之间的安全,并且不需要频繁更新防火墙规则,减小了集群规模对网络租户隔离的影响。
在上述各实施例的基础上,信息获取模块301可以包括:
合法网络租户确认单元,用于根据所述网络信息和所述租户信息,确认所述目标网络租户属于合法网络租户;
目标网络租户检查单元,用于检查所述目标网络租户使用的网段和名字是否与已有网络租户使用的网段和名字冲突,并且判断所述目标网络租户的后端配置信息是否合法;
目标网络租户合法确认单元,用于所述目标网络租户使用的网段和名字与已有网络租户使用的网段和名字不冲突,并且所述目标网络租户的后端配置信息合法时,判断所述目标网络租户是合法租户;
目标网络租户非法确认单元,用于所述目标网络租户使用的网段和名字与已有网络租户使用的网段和名字冲突,或所述目标网络租户的后端配置信息不合法时,判断所述目标网络租户不是合法租户。
在上述各实施例的基础上,隔离链配置模块302可以包括:
隔离链检查单元,用于检查所述数据过滤表中是否存在用于隔离不同网络租户的隔离链;
隔离链配置单元,用于数据过滤表中存在用于隔离不同网络租户的隔离链时,根据所述目标网络租户使用的网段配置所述隔离链;
隔离链创建单元,用于数据过滤表中不存在用于隔离不同网络租户的隔离链时,在所述数据过滤表中创建隔离链,并根据所述目标网络租户使用的网段配置所述隔离链。
在上述各实施例的基础上,网络配置信息创建模块303可以包括:
容器集群创建单元,用于在所述分布式管理系统创建新的容器集群,并将所述目标网络租户指定给创建的所述容器集群;
网络接口创建单元,用于使用所述目标网络租户的网络配置信息,为所述容器集群创建网络接口,以使所述目标网络租户通过所述网络接口访问所述分布式管理系统中的信息。
在上述各实施例的基础上,云网络的租户创建装置还包括:
ACL配置信息获取模块,用于获取所述目标网络租户创建的访问控制列表ACL的配置信息;
ACL链配置模块,用于根据所述目标网络租户的网络信息和所述ACL的配置信息,对防火墙iptables中与所述目标网络租户对应的ACL链进行配置,以使所述目标网络租户与所述ACL中指定的网络租户进行通信。
在上述各实施例的基础上,ACL链配置模块可以包括:
ACL链检查单元,用于检查所述iptables中是否存在与所述目标网络租户对应的ACL链;
ACL链配置单元,用于所述iptables中存在与所述目标网络租户对应的ACL链时,根据所述目标网络租户使用的网段和所述ACL中配置的网段配置所述ACL链;
ACL链创建单元,用于所述iptables中不存在与所述目标网络租户对应的ACL链时,在所述iptables中创建与所述目标网络租户对应的ACL链,并根据所述目标网络租户使用的网段和所述ACL中配置的网段配置所述ACL链。
上述云网络的租户创建装置可执行本发明任意实施例所提供的云网络的租户创建方法,具备执行云网络的租户创建方法相应的功能模块和有益效果。
实施例四
图4为本发明实施例四提供的一种计算机设备的结构示意图,如图4所示,该计算机设备包括处理器410、存储器420、输入装置430和输出装置440;计算机设备中处理器410的数量可以是一个或多个,图4中以一个处理器410为例;计算机设备中的处理器410、存储器420、输入装置430和输出装置440可以通过总线或其他方式连接,图4中以通过总线连接为例。
存储器420作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的一种云网络的租户创建方法对应的程序指令/模块(例如,一种云网络的租户创建装置中的信息获取模块301、隔离链配置模块302和网络配置信息创建模块303)。处理器410通过运行存储在存储器420中的软件程序、指令以及模块,从而执行计算机设备的各种功能应用以及数据处理,即实现上述的一种云网络的租户创建方法。也即,该程序被处理器执行时实现:
根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息;
根据所述目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置;
根据所述目标网络租户的租户信息,在所述分布式管理系统中创建并保存所述目标网络租户的网络配置信息。
存储器420可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器420可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器420可进一步包括相对于处理器410远程设置的存储器,这些远程存储器可以通过网络连接至计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置430可用于接收输入的数字或字符信息,以及产生与计算机设备的用户设置以及功能控制有关的键信号输入,可以包括键盘和鼠标等。输出装置440可包括显示屏等显示设备。
在上述各实施例的基础上,所述处理器410根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息之后,还执行以下操作:
根据所述网络信息和所述租户信息,确认所述目标网络租户属于合法网络租户。
在上述各实施例的基础上,所述处理器410是设置为通过以下方式确认所述目标网络租户属于合法网络租户:
检查所述目标网络租户使用的网段和名字是否与已有网络租户使用的网段和名字冲突,并且判断所述目标网络租户的后端配置信息是否合法;
如果所述目标网络租户使用的网段和名字与已有网络租户使用的网段和名字冲突,或所述目标网络租户的后端配置信息不合法,则判断所述目标网络租户不是合法租户;
如果所述目标网络租户使用的网段和名字与已有网络租户使用的网段和名字不冲突,并且所述目标网络租户的后端配置信息合法,则判断所述目标网络租户是合法租户。
在上述各实施例的基础上,所述处理器410是设置为通过以下方式对数据过滤表中用于隔离不同网络租户的隔离链进行配置:
检查所述数据过滤表中是否存在用于隔离不同网络租户的隔离链;
如果是,则根据所述目标网络租户使用的网段配置所述隔离链;
如果否,则在所述数据过滤表中创建隔离链,并根据所述目标网络租户使用的网段配置所述隔离链。
在上述各实施例的基础上,所述处理器410在根据所述目标网络租户的租户信息,在所述分布式管理系统中创建并保存所述目标网络租户的网络配置信息之后,还执行以下操作:
在所述分布式管理系统创建新的容器集群,并将所述目标网络租户指定给创建的所述容器集群;
使用所述目标网络租户的网络配置信息,为所述容器集群创建网络接口,以使所述目标网络租户通过所述网络接口访问所述分布式管理系统中的信息。
在上述各实施例的基础上,所述处理器410在根据所述网络信息和所述租户信息,确认所述目标网络租户属于合法网络租户之后,还执行以下操作:
获取所述目标网络租户创建的访问控制列表ACL的配置信息;
根据所述目标网络租户的网络信息和所述ACL的配置信息,对防火墙iptables中与所述目标网络租户对应的ACL链进行配置,以使所述目标网络租户与所述ACL中指定的网络租户进行通信。
在上述各实施例的基础上,所述处理器410是设置为通过以下方式对防火墙iptables中与所述目标网络租户对应的ACL链进行配置:
检查所述iptables中是否存在与所述目标网络租户对应的ACL链;
如果是,则根据所述目标网络租户使用的网段和所述ACL中配置的网段配置所述ACL链;
如果否,则在所述iptables中创建与所述目标网络租户对应的ACL链,并根据所述目标网络租户使用的网段和所述ACL中配置的网段配置所述ACL链。
实施例五
本发明实施例五还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例所述方法。当然,本发明实施例所提供的一种计算机可读存储介质,其可以执行本发明任意实施例提供的一种云网络的租户创建方法中的相关操作。也即,该程序被处理器执行时实现:
根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息;
根据所述目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置;
根据所述目标网络租户的租户信息,在所述分布式管理系统中创建并保存所述目标网络租户的网络配置信息。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述一种云网络的租户创建装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (13)
1.一种云网络的租户创建方法,应用于基于Kubernetes软件框架的分布式管理系统中,其特征在于,包括:
根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息;
根据所述目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置;
根据所述目标网络租户的租户信息,在所述分布式管理系统中创建并保存所述目标网络租户的网络配置信息;
其中,根据所述目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置,包括:
检查所述数据过滤表中是否存在用于隔离不同网络租户的隔离链;
如果是,则根据所述目标网络租户使用的网段配置所述隔离链;
如果否,则在所述数据过滤表中创建隔离链,并根据所述目标网络租户使用的网段配置所述隔离链。
2.根据权利要求1所述的方法,其特征在于,在根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息之后,还包括:
根据所述网络信息和所述租户信息,确认所述目标网络租户属于合法网络租户。
3.根据权利要求2所述的方法,其特征在于,根据所述网络信息和所述租户信息,确认所述目标网络租户属于合法网络租户,具体包括:
检查所述目标网络租户使用的网段和名字是否与已有网络租户使用的网段和名字冲突,并且判断所述目标网络租户的后端配置信息是否合法;
如果所述目标网络租户使用的网段和名字与已有网络租户使用的网段和名字冲突,或所述目标网络租户的后端配置信息不合法,则判断所述目标网络租户不是合法租户;
如果所述目标网络租户使用的网段和名字与已有网络租户使用的网段和名字不冲突,并且所述目标网络租户的后端配置信息合法,则判断所述目标网络租户是合法租户。
4.根据权利要求1所述的方法,其特征在于,在根据所述目标网络租户的租户信息,在所述分布式管理系统中创建并保存所述目标网络租户的网络配置信息之后,包括:
在所述分布式管理系统创建新的容器集群,并将所述目标网络租户指定给创建的所述容器集群;
使用所述目标网络租户的网络配置信息,为所述容器集群创建网络接口,以使所述目标网络租户通过所述网络接口访问所述分布式管理系统中的信息。
5.根据权利要求2所述的方法,其特征在于,在根据所述网络信息和所述租户信息,确认所述目标网络租户属于合法网络租户之后,还包括:
获取所述目标网络租户创建的访问控制列表ACL的配置信息;
根据所述目标网络租户的网络信息和所述ACL的配置信息,对防火墙iptables中与所述目标网络租户对应的ACL链进行配置,以使所述目标网络租户与所述ACL中指定的网络租户进行通信。
6.根据权利要求5所述的方法,其特征在于,根据所述目标网络租户的网络信息和所述ACL的配置信息,对防火墙iptables中与所述目标网络租户对应的ACL链进行配置,包括:
检查所述iptables中是否存在与所述目标网络租户对应的ACL链;
如果是,则根据所述目标网络租户使用的网段和所述ACL中配置的网段配置所述ACL链;
如果否,则在所述iptables中创建与所述目标网络租户对应的ACL链,并根据所述目标网络租户使用的网段和所述ACL中配置的网段配置所述ACL链。
7.一种计算机设备,包括处理器和存储器,所述存储器用于存储指令,当所述指令执行时使得所述处理器执行以下操作:
根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息;
根据所述目标网络租户的网络信息,对数据过滤表中用于隔离不同网络租户的隔离链进行配置;
根据所述目标网络租户的租户信息,在Kubernetes 软件框架的分布式管理系统 中创建并保存所述目标网络租户的网络配置信息;
其中,所述处理器是设置为通过以下方式对数据过滤表中用于隔离不同网络租户的隔离链进行配置:
检查所述数据过滤表中是否存在用于隔离不同网络租户的隔离链;
如果是,则根据所述目标网络租户使用的网段配置所述隔离链;
如果否,则在所述数据过滤表中创建隔离链,并根据所述目标网络租户使用的网段配置所述隔离链。
8.根据权利要求7所述的计算机设备,其特征在于,所述处理器根据目标网络租户的创建请求,获取目标网络租户的网络信息和租户信息之后,还执行以下操作:
根据所述网络信息和所述租户信息,确认所述目标网络租户属于合法网络租户。
9.根据权利要求8所述的计算机设备,其特征在于,所述处理器是设置为通过以下方式确认所述目标网络租户属于合法网络租户:
检查所述目标网络租户使用的网段和名字是否与已有网络租户使用的网段和名字冲突,并且判断所述目标网络租户的后端配置信息是否合法;
如果所述目标网络租户使用的网段和名字与已有网络租户使用的网段和名字冲突,或所述目标网络租户的后端配置信息不合法,则判断所述目标网络租户不是合法租户;
如果所述目标网络租户使用的网段和名字与已有网络租户使用的网段和名字不冲突,并且所述目标网络租户的后端配置信息合法,则判断所述目标网络租户是合法租户。
10.根据权利要求7所述的计算机设备,其特征在于,所述处理器在根据所述目标网络租户的租户信息,在所述分布式管理系统中创建并保存所述目标网络租户的网络配置信息之后,还执行以下操作:
在所述分布式管理系统创建新的容器集群,并将所述目标网络租户指定给创建的所述容器集群;
使用所述目标网络租户的网络配置信息,为所述容器集群创建网络接口,以使所述目标网络租户通过所述网络接口访问所述分布式管理系统中的信息。
11.根据权利要求8所述的计算机设备,其特征在于,所述处理器在根据所述网络信息和所述租户信息,确认所述目标网络租户属于合法网络租户之后,还执行以下操作:
获取所述目标网络租户创建的访问控制列表ACL的配置信息;
根据所述目标网络租户的网络信息和所述ACL的配置信息,对防火墙iptables中与所述目标网络租户对应的ACL链进行配置,以使所述目标网络租户与所述ACL中指定的网络租户进行通信。
12.根据权利要求11所述的计算机设备,其特征在于,所述处理器是设置为通过以下方式对防火墙iptables中与所述目标网络租户对应的ACL链进行配置:
检查所述iptables中是否存在与所述目标网络租户对应的ACL链;
如果是,则根据所述目标网络租户使用的网段和所述ACL中配置的网段配置所述ACL链;
如果否,则在所述iptables中创建与所述目标网络租户对应的ACL链,并根据所述目标网络租户使用的网段和所述ACL中配置的网段配置所述ACL链。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-6中任一所述的一种云网络的租户创建方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010208121.0A CN111404951B (zh) | 2020-03-23 | 2020-03-23 | 一种云网络的租户创建方法、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010208121.0A CN111404951B (zh) | 2020-03-23 | 2020-03-23 | 一种云网络的租户创建方法、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111404951A CN111404951A (zh) | 2020-07-10 |
| CN111404951B true CN111404951B (zh) | 2021-06-29 |
Family
ID=71413521
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010208121.0A Active CN111404951B (zh) | 2020-03-23 | 2020-03-23 | 一种云网络的租户创建方法、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111404951B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112073239B (zh) * | 2020-09-04 | 2022-04-22 | 天津大学 | 一种云计算环境分布式应用性能预测方法 |
| CN114598698B (zh) * | 2020-12-04 | 2023-03-14 | 腾讯科技(深圳)有限公司 | 一种数据传输方法、装置、电子设备及计算机存储介质 |
| CN117857062A (zh) * | 2022-09-29 | 2024-04-09 | 中兴通讯股份有限公司 | 租户管理方法、设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607430A (zh) * | 2013-10-30 | 2014-02-26 | 中兴通讯股份有限公司 | 一种网络处理的方法和系统及网络控制中心 |
| CN105577675A (zh) * | 2015-12-31 | 2016-05-11 | 深圳前海微众银行股份有限公司 | 多租户资源管理的方法及装置 |
| CN108989091A (zh) * | 2018-06-22 | 2018-12-11 | 杭州才云科技有限公司 | 基于Kubernetes网络的租户网络隔离方法、存储介质、电子设备 |
| CN109067827A (zh) * | 2018-06-22 | 2018-12-21 | 杭州才云科技有限公司 | 基于Kubernetes和OpenStack容器云平台多租户构建方法、介质、设备 |
| CN110198231A (zh) * | 2018-05-08 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 用于多租户的容器网络管理方法和系统以及中间件 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9405568B2 (en) * | 2013-09-13 | 2016-08-02 | Microsoft Technology Licensing, Llc | Multi-tenant network stack |
| CN110519361B (zh) * | 2019-08-22 | 2022-07-29 | 北京宝兰德软件股份有限公司 | 基于kubernetes的容器云平台多租户构建方法及装置 |
| CN110635987B (zh) * | 2019-09-09 | 2021-11-02 | 新华三信息安全技术有限公司 | 一种报文传输方法、装置、设备及机器可读存储介质 |
-
2020
- 2020-03-23 CN CN202010208121.0A patent/CN111404951B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607430A (zh) * | 2013-10-30 | 2014-02-26 | 中兴通讯股份有限公司 | 一种网络处理的方法和系统及网络控制中心 |
| CN105577675A (zh) * | 2015-12-31 | 2016-05-11 | 深圳前海微众银行股份有限公司 | 多租户资源管理的方法及装置 |
| CN110198231A (zh) * | 2018-05-08 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 用于多租户的容器网络管理方法和系统以及中间件 |
| CN108989091A (zh) * | 2018-06-22 | 2018-12-11 | 杭州才云科技有限公司 | 基于Kubernetes网络的租户网络隔离方法、存储介质、电子设备 |
| CN109067827A (zh) * | 2018-06-22 | 2018-12-21 | 杭州才云科技有限公司 | 基于Kubernetes和OpenStack容器云平台多租户构建方法、介质、设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111404951A (zh) | 2020-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111404951B (zh) | 一种云网络的租户创建方法、计算机设备及存储介质 | |
| CN109889621B (zh) | 虚拟私有云服务的配置方法和装置 | |
| US10868833B2 (en) | DNS or network metadata policy for network control | |
| EP3557822B1 (en) | Fully qualified domain name-based traffic control for virtual private network access control | |
| RU2646343C1 (ru) | Объекты виртуального сетевого интерфейса | |
| CN103384255B (zh) | 虚拟机集群的负载均衡方法、服务器及系统 | |
| US20180375762A1 (en) | System and method for limiting access to cloud-based resources including transmission between l3 and l7 layers using ipv6 packet with embedded ipv4 addresses and metadata | |
| US20200366648A1 (en) | Configuring hostname based firewall policies | |
| US20130142079A1 (en) | Distributed Dynamic Virtual Machine Configuration Service | |
| JP6888078B2 (ja) | ネットワーク機能nf管理方法及びnf管理装置 | |
| US9009782B2 (en) | Steering traffic among multiple network services using a centralized dispatcher | |
| CN110474960B (zh) | 一种虚拟化网络中业务部署的方法和装置 | |
| CN111385180A (zh) | 通信隧道构建方法、装置、设备及介质 | |
| CN105939267A (zh) | 带外管理方法及装置 | |
| EP3454520A1 (en) | Virtual private networks without software requirements | |
| CN113489689A (zh) | 访问请求的鉴权方法及装置、存储介质、电子设备 | |
| US11108742B2 (en) | Method of securing connected devices on a network | |
| CN109889421B (zh) | 路由器的管理方法、装置、终端、系统及存储介质 | |
| CN105763663A (zh) | 一种私网地址管理方法、控制装置和网络设备 | |
| CN113852697B (zh) | 一种sdp终端流量代理方法、装置、设备及存储介质 | |
| CN115174603B (zh) | Nas服务系统、实现方法、电子设备及存储介质 | |
| CN115767786A (zh) | 多集群通信方法、装置、电子设备及存储介质 | |
| CN114244555B (zh) | 一种安全策略的调整方法 | |
| CN111988446B (zh) | 一种报文处理方法、装置、电子设备及存储介质 | |
| EP4199475A1 (en) | Data offloading method and device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 200233 11-12 / F, building B, 88 Hongcao Road, Xuhui District, Shanghai Applicant after: Star link information technology (Shanghai) Co.,Ltd. Address before: 200233 11-12 / F, building B, 88 Hongcao Road, Xuhui District, Shanghai Applicant before: TRANSWARP TECHNOLOGY (SHANGHAI) Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |