CN113489770A - 容器间的通信方法、电子设备和计算机可读存储介质 - Google Patents

容器间的通信方法、电子设备和计算机可读存储介质 Download PDF

Info

Publication number
CN113489770A
CN113489770A CN202110735349.XA CN202110735349A CN113489770A CN 113489770 A CN113489770 A CN 113489770A CN 202110735349 A CN202110735349 A CN 202110735349A CN 113489770 A CN113489770 A CN 113489770A
Authority
CN
China
Prior art keywords
container
communication
identifier
intermediate container
containers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110735349.XA
Other languages
English (en)
Other versions
CN113489770B (zh
Inventor
郑如刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
OneConnect Financial Technology Co Ltd Shanghai
Original Assignee
OneConnect Financial Technology Co Ltd Shanghai
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by OneConnect Financial Technology Co Ltd Shanghai filed Critical OneConnect Financial Technology Co Ltd Shanghai
Priority to CN202110735349.XA priority Critical patent/CN113489770B/zh
Publication of CN113489770A publication Critical patent/CN113489770A/zh
Application granted granted Critical
Publication of CN113489770B publication Critical patent/CN113489770B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请适用于应用容器技术领域,提供一种容器间的通信方法、电子设备和计算机可读存储介质。方法包括:中间容器接收来自发送端容器的业务请求,业务请求包括发送端容器的第一标识以及接收端容器的第二标识;中间容器根据第一标识,接收来自发送端容器的通信数据;中间容器根据第二标识,向接收端容器发送通信数据。本申请通过创建中间容器实现发送端容器与接收端容器之间通信的中转,通信双方不直接建立连接和通信,可使各容器间的通信可控。

Description

容器间的通信方法、电子设备和计算机可读存储介质
技术领域
本申请属于应用容器技术领域,尤其涉及一种容器间的通信方法、电子设备和计算机可读存储介质。
背景技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows机器上,也可以实现虚拟化。当这些应用被包装进容器后,部署、迁移都变得更为简单,所以一些互联网企业都倾向使用docker的部署应用来代替原先的虚拟机。
传统对docker的使用都只在docker外部部署防火墙,而docker内部容器间端口开放无安全机制管控,是非常薄弱的,没有深入到内部单个容器中,做到单个容器上的安全防范;只要侵入到一个容器中就能做基本arp攻击。这使得只要有一个容器出现问题,就将面临整个系统的瘫痪。出现故障后,因为每个容器都遭到了入侵,无法定位是哪个出现问题,一般针对这种情况的解决方案是将整个docker环境重来一遍,不仅耗时而且易造成较大损失。
发明内容
本申请实施例提供了一种容器间的通信方法、电子设备和计算机可读存储介质,可以解决容器间的访问控制薄弱的问题。
第一方面,本申请实施例提供了一种容器间的通信方法,包括:
中间容器接收来自发送端容器的业务请求,所述业务请求包括所述发送端容器的第一标识以及接收端容器的第二标识;
所述中间容器根据所述第一标识,接收来自所述发送端容器的通信数据;
所述中间容器根据所述第二标识,向所述接收端容器发送所述通信数据。
其中,所述中间容器根据所述第一标识,接收来自所述发送端容器的通信数据,包括:
所述中间容器根据所述第一标识,从预先建立并保存的所述路由表中获取所述发送端容器的第一路由地址,所述路由表包括各容器的标识与路由地址的对应关系;
所述中间容器根据所述第一路由地址建立与所述发送端容器通信的路由;
所述中间容器根据所述第一标识,从预先建立并保存的端口映射关系中,获取所述中间容器与所述发送端容器通信的第一目标端口的第一端口号,所述端口映射关系为各容器的标识与所述中间容器的端口号的对应关系;
所述中间容器根据所述第一端口号,将所述第一目标端口的状态从关闭状态更改为开启状态,其中,所述中间容器的端口默认为关闭状态;
所述中间容器通过与所述发送端容器通信的路由、从所述第一目标端口接收来自所述发送端容器的通信数据。
进一步的,所述中间容器根据所述第一标识,接收来自所述发送端容器的通信数据之后,还包括:
所述中间容器验证所述通信数据是否完整;
若是,则清除与所述发送端容器通信的路由,将所述第一目标端口的状态从开启状态更改为关闭状态。
其中,所述中间容器根据所述第二标识,向所述接收端容器发送所述通信数据,包括:
所述中间容器根据所述第二标识,从所述端口映射关系中获取所述中间容器与所述接收端容器通信的第二目标端口的第二端口号;
所述中间容器根据所述第二端口号,将所述第二目标端口的状态从关闭状态更改为开启状态;
所述中间容器根据所述第二标识,从所述路由表中获取与所述接收端容器通信的第二路由地址;
所述中间容器根据所述第二路由地址建立与所述接收端容器通信的路由;
所述中间容器通过与所述接收端容器通信的路由、从所述第二目标端口向所述接收端容器发送所述通信数据。
进一步的,所述中间容器根据所述第二标识,向所述接收端容器发送所述通信数据之后,还包括:
所述中间容器清除与所述接收端容器通信的路由,将与所述第二目标端口的状态从开启状态更改为关闭状态。
作为一种可能的实现方式,所述中间容器根据所述第一标识,接收来自所述发送端容器的通信数据之后,还包括:
所述中间容器保存与所述发送端容器通信的第一通信记录,所述第一通信记录包括所述第一标识、通信时间和业务信息;
所述中间容器根据所述第二标识,向所述接收端容器发送所述通信数据之后,还包括:
所述中间容器保存与所述接收端容器通信的第二通信记录,所述第二通信记录包括所述第二标识、通信时间和业务信息。
作为一种可能的实现方式,若任一容器受到攻击发生故障,所述中间容器清除当前创建的所有路由,将所有端口的状态从开启状态更改为关闭状态。
示例性的,预先创建的所述中间容器具有一个或多个,每个所述中间容器管理部分容器或全部容器之间的通信。
第二方面,本申请实施例提供了一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法。
第三方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面任一项所述的方法。
第四方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在电子设备上运行时,使得电子设备执行上述第一方面中任一项所述的方法。
可以理解的是,上述第二方面至第四方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
本申请实施例与现有技术相比存在的有益效果是:通过预先创建的中间容器接收发送端容器的业务请求,业务请求中包含发送端容器的第一标识和接收端容器的第二标识,中间容器分别根据第一标识、第二标识与发送端容器、接收端容器建立通信,将从发送端容器接收到的通信数据发送到接收端容器。本申请通过创建中间容器实现发送端容器与接收端容器之间通信的中转,通信双方不直接建立连接和通信,可使各容器间的通信可控。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的容器间的通信方法的流程示意图;
图2是本申请另一实施例提供的容器间的通信方法的流程示意图;
图3是本申请再一实施例提供的容器间的通信方法的流程示意图;
图4是本申请实施例提供的电子设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
本申请实施例提供的容器间的通信方法可以应用于基于容器引擎部署应用的电子设备上,常用容器引擎如docker;本申请实施例对电子设备的具体类型不作任何限制。
图1是本实施例提供的容器间的通信方法的流程示意图,作为示例而非限定,该方法包括如下步骤:
S11,中间容器接收来自发送端容器的业务请求。
中间容器是预先创建的,其上运行管理程序,管理程序用于管理docker部署的应用容器之间的通信,具体用于管理各容器之间通信的端口和路由。
中间容器与每个被其管理的容器均是可通信的,中间容器对应于每个容器配置了用于通信的端口,这些端口默认为关闭状态,只有在需要与某个容器通信时,才会打开与该容器通信的端口。若容器需要一段时间来进行运维操作,中间容器可通过关闭端口和路由,暂时切断该容器与其他容器的通信,直到运维结束,该容器恢复正常工作。
基于建立中间容器与其他容器之间通信的需求,在创建中间容器后,建立并保存各容器的标识与中间容器的端口号的对应关系,作为端口映射关系;同时,根据各容器的路由地址,建立并保存各容器的标识与路由地址的对应关系,作为路由表。
在两个容器的通信过程中,发送端容器为发出通信数据的容器,接收端容器为接收通信数据的容器。业务请求包括发送端容器的第一标识以及接收端容器的第二标识,还可以包括业务类型和通信数据大小等信息。
发送端容器向中间容器发送业务请求,请求向中间容器发送通信数据,同时,也通过业务请求告知中间容器本次通信的接收端容器的标识、业务类型和通信数据大小等信息。
S12,中间容器根据第一标识,接收来自发送端容器的通信数据。
中间容器响应于发送端容器的业务请求,根据发送端容器的第一标识,创建与发送端容器的路由,打开对应于发送端容器的端口,与发送端容器建立通信连接。
具体的,中间容器根据第一标识,从路由表中获取发送端容器的第一路由地址,根据第一路由地址建立与发送端容器通信的路由;然后,中间容器根据第一标识,从端口映射关系中获取中间容器与发送端容器通信的第一目标端口的第一端口号,根据第一端口号,将第一目标端口的状态从关闭状态更改为开启状态。中间容器通过调用docker命令来实现路由创建和端口开启,命令如:route add-p第一路由地址/第一端口号。
中间容器通过建立的路由、从第一目标端口接收来自发送端容器的通信数据。
S13,中间容器根据第二标识,向接收端容器发送通信数据。
同理,中间容器根据第二标识,从路由表中获取与接收端容器通信的第二路由地址,根据第二路由地址建立与接收端容器通信的路由;中间容器根据第二标识,从端口映射关系中获取中间容器与接收端容器通信的第二目标端口的第二端口号,根据第二端口号,将第二目标端口的状态从关闭状态更改为开启状态。中间容器通过调用docker命令来来实现路由创建和端口开启,命令如:route add-p第二路由地址/第二端口号。
中间容器通过建立的路由、从第二目标端口向接收端容器发送通信数据。
本实施例通过预先创建的中间容器接收发送端容器的业务请求,业务请求中包含发送端容器的第一标识和接收端容器的第二标识,中间容器分别根据第一标识、第二标识与发送端容器、接收端容器建立通信,将从发送端容器接收到的通信数据发送到接收端容器。本申请通过创建中间容器对通信双方容器进行管理,实现发送端容器与接收端容器之间通信的中转,通信双方不直接建立连接和通信,可使各容器间的通信可控。
对上述实施例进行细化,图2是本申请另一实施例提供的容器间的通信方法的流程示意图,方法步骤如下:
S21,中间容器接收来自发送端容器的业务请求。
中间容器可以创建一个或多个,每个中间容器用于管理部分容器或全部容器之间的通信。例如,将容器按照业务类型分组,一个中间容器对应管理一个业务类型的容器;或者,每个容器均管理全部容器,其中,一部分中间容器正常处理业务,另一部分容器作为备用。
S22,中间容器建立与发送端容器通信的路由,将第一目标端口的状态从关闭状态更改为开启状态。
S23,中间容器通过建立的路由、从第一目标端口接收来自发送端容器的通信数据。
S24,中间容器验证通信数据是否完整,若是,执行步骤S25,若否,执行步骤S26。
中间容器采用数据校验方法,验证接收到的通信数据是否完整。
S25,中间容器清除与发送端容器通信的路由,将第一目标端口的状态从开启状态更改为关闭状态。
中间容器通过调用docker命令来实现路由的清除和端口的关闭,命令如:routeclean-p第一路由地址/第一端口号。
S26,中间容器向发送端容器反馈验证结果。
中间容器向发送端容器反馈通信数据不完整的验证结果,根据预先设定的策略,发送端容器可选择在本次建立通信连接的基础上重新发送通信数据,可以选择结束本次通信,重新发出业务请求。
S27,建立与接收端容器通信的路由,将第二目标端口的状态从关闭状态更改为开启状态。
S28,中间容器通过建立的路由、从第二目标端口向接收端容器发送通信数据。
S29,中间容器清除与接收端容器通信的路由,将与第二目标端口的状态从开启状态更改为关闭状态。
接收端容器验证收到的通信数据完整,向中间容器反馈验证结果。中间容器通过调用docker命令来实现路由的清除和端口的关闭,命令如:route clean-p第二路由地址/第二端口号。
本实施例中,中间容器在接收通信数据结束或发送通信数据完毕后,及时清除路由、关闭相应端口,若系统遭到入侵,对容器的攻击不会在短时间内扩散到各容器,可以使各容器之间保持相对隔离,避免整个系统瘫痪。在解决问题后,只要重新部署因被攻击出现故障的部分容器即可,有利于缩短系统恢复时间,减小损失。
在上述实施例的基础上,针对系统故障的情况,为及时发现被入侵或发生故障的容器,提供如下方法,如图3所示:
S31,中间容器接收来自发送端容器的业务请求。
S32,中间容器根据第一标识,接收来自发送端容器的通信数据。
S33,中间容器保存与发送端容器通信的第一通信记录。
第一通信记录包括第一标识、通信时间和业务信息,还可包括通信结果和通信异常,便于追溯通信过程。
S34,中间容器根据第二标识,向接收端容器发送通信数据。
S35,中间容器保存与接收端容器通信的第二通信记录。
第二通信记录包括第二标识、通信时间和业务信息,还可包括通信结果和通信异常,便于追溯通信过程。
S36,若任一容器受到攻击发生故障,中间容器清除当前创建的所有路由,将所有端口的状态从开启状态更改为关闭状态。
若任一容器受到攻击发生故障,导致大批量的内网攻击,可通过清除路由和关闭端口,有效地阻断内网攻击,减小损失和系统恢复的难度。
S37,根据第一通信记录和/或第二通信记录,查找出现故障的容器。
对于通信记录中有异常的容器,可通过分析其通信异常判断是否是容器发生故障,并根据通信时间找出最先出现故障的容器,进一步对其进行分析得到故障原因。
解决攻击威胁后,重新部署发生故障的部分容器即可。
对于某些并非来自外部的安全攻击,内部攻击在防火墙的日志上是没有记录的,这也使查找攻击根源存在很大困难。本实施例中,中间容器对通信过程的记录能够有效地帮助追溯故障源头,有利于及时解决问题,减小损失。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
图4为本申请一实施例提供的电子设备的结构示意图。如图4所示,该实施例的电子设备包括:至少一个处理器40(图4中仅示出一个)、存储器41以及存储在所述存储器41中并可在所述至少一个处理器40上运行的计算机程序42,所述处理器40执行所述计算机程序42时实现上述任意各个方法实施例中的步骤。
所称处理器40可以是中央处理单元(Central Processing Unit,CPU),该处理器40还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器41在一些实施例中可以是所述电子设备的内部存储单元,例如硬盘或内存;在另一些实施例中也可以是所述电子设备的外部存储设备,例如插接式硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器41还可以既包括内部存储单元也包括外部存储设备。所述存储器41用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如所述计算机程序的程序代码等。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在移动终端上运行时,使得移动终端执行时实现可实现上述各个方法实施例中的步骤。
实现上述方法的功能单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括:能够将计算机程序代码携带到拍照装置/电子设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。

Claims (10)

1.一种容器间的通信方法,其特征在于,包括:
中间容器接收来自发送端容器的业务请求,所述业务请求包括所述发送端容器的第一标识以及接收端容器的第二标识;
所述中间容器根据所述第一标识,接收来自所述发送端容器的通信数据;
所述中间容器根据所述第二标识,向所述接收端容器发送所述通信数据。
2.如权利要求1所述的容器间的通信方法,其特征在于,所述中间容器根据所述第一标识,接收来自所述发送端容器的通信数据,包括:
所述中间容器根据所述第一标识,从预先建立并保存的路由表中获取所述发送端容器的第一路由地址,所述路由表包括各容器的标识与路由地址的对应关系;
所述中间容器根据所述第一路由地址,建立与所述发送端容器通信的路由;
所述中间容器根据所述第一标识,从预先建立并保存的端口映射关系中,获取所述中间容器与所述发送端容器通信的第一目标端口的第一端口号,所述端口映射关系为各容器的标识与所述中间容器的端口号的对应关系;
所述中间容器根据所述第一端口号,将所述第一目标端口的状态从关闭状态更改为开启状态,其中,所述中间容器的端口默认为关闭状态;
所述中间容器通过与所述发送端容器通信的路由,从所述第一目标端口接收来自所述发送端容器的通信数据。
3.如权利要求2所述的容器间的通信方法,其特征在于,所述中间容器根据所述第一标识,接收来自所述发送端容器的通信数据之后,还包括:
所述中间容器验证所述通信数据是否完整;
若是,则清除与所述发送端容器通信的路由,将所述第一目标端口的状态从开启状态更改为关闭状态。
4.如权利要求2所述的容器间的通信方法,其特征在于,所述中间容器根据所述第二标识,向所述接收端容器发送所述通信数据,包括:
所述中间容器根据所述第二标识,从所述路由表中获取与所述接收端容器通信的第二路由地址;
所述中间容器根据所述第二路由地址,建立与所述接收端容器通信的路由;
所述中间容器根据所述第二标识,从所述端口映射关系中获取所述中间容器与所述接收端容器通信的第二目标端口的第二端口号;
所述中间容器根据所述第二端口号,将所述第二目标端口的状态从关闭状态更改为开启状态;
所述中间容器通过与所述接收端容器通信的路由,从所述第二目标端口向所述接收端容器发送所述通信数据。
5.如权利要求4所述的容器间的通信方法,其特征在于,所述中间容器根据所述第二标识,向所述接收端容器发送所述通信数据之后,还包括:
所述中间容器清除与所述接收端容器通信的路由,将与所述第二目标端口的状态从开启状态更改为关闭状态。
6.如权利要求1所述的容器间的通信方法,其特征在于,所述中间容器根据所述第一标识,接收来自所述发送端容器的通信数据之后,还包括:
所述中间容器保存与所述发送端容器通信的第一通信记录,所述第一通信记录包括所述第一标识、通信时间和业务信息;
所述中间容器根据所述第二标识,向所述接收端容器发送所述通信数据之后,还包括:
所述中间容器保存与所述接收端容器通信的第二通信记录,所述第二通信记录包括所述第二标识、通信时间和业务信息。
7.如权利要求1所述的容器间的通信方法,其特征在于,还包括:
若任一容器受到攻击发生故障,所述中间容器清除当前创建的所有路由,将所有端口的状态从开启状态更改为关闭状态。
8.如权利要求1所述的容器间的通信方法,其特征在于,还包括:
预先创建的所述中间容器具有一个或多个,每个所述中间容器管理部分容器或全部容器之间的通信。
9.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至8任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的方法。
CN202110735349.XA 2021-06-30 2021-06-30 容器间的通信方法、电子设备和计算机可读存储介质 Active CN113489770B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110735349.XA CN113489770B (zh) 2021-06-30 2021-06-30 容器间的通信方法、电子设备和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110735349.XA CN113489770B (zh) 2021-06-30 2021-06-30 容器间的通信方法、电子设备和计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN113489770A true CN113489770A (zh) 2021-10-08
CN113489770B CN113489770B (zh) 2022-08-19

Family

ID=77936995

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110735349.XA Active CN113489770B (zh) 2021-06-30 2021-06-30 容器间的通信方法、电子设备和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN113489770B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106169994A (zh) * 2016-06-29 2016-11-30 中国联合网络通信集团有限公司 容器间通信的安全控制方法及装置
US20180293394A1 (en) * 2017-04-11 2018-10-11 Nicira, Inc. Identifying container file events for providing container security
CN109600380A (zh) * 2018-12-19 2019-04-09 北京创鑫旅程网络技术有限公司 数据传输方法及装置
CN110198231A (zh) * 2018-05-08 2019-09-03 腾讯科技(深圳)有限公司 用于多租户的容器网络管理方法和系统以及中间件
CN110430276A (zh) * 2019-08-12 2019-11-08 中国南方电网有限责任公司 基于docker的通信控制方法、装置、通信控制设备和存储介质
CN111726399A (zh) * 2020-06-08 2020-09-29 中国工商银行股份有限公司 Docker容器安全访问方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106169994A (zh) * 2016-06-29 2016-11-30 中国联合网络通信集团有限公司 容器间通信的安全控制方法及装置
US20180293394A1 (en) * 2017-04-11 2018-10-11 Nicira, Inc. Identifying container file events for providing container security
CN110198231A (zh) * 2018-05-08 2019-09-03 腾讯科技(深圳)有限公司 用于多租户的容器网络管理方法和系统以及中间件
CN109600380A (zh) * 2018-12-19 2019-04-09 北京创鑫旅程网络技术有限公司 数据传输方法及装置
CN110430276A (zh) * 2019-08-12 2019-11-08 中国南方电网有限责任公司 基于docker的通信控制方法、装置、通信控制设备和存储介质
CN111726399A (zh) * 2020-06-08 2020-09-29 中国工商银行股份有限公司 Docker容器安全访问方法及装置

Also Published As

Publication number Publication date
CN113489770B (zh) 2022-08-19

Similar Documents

Publication Publication Date Title
US10360062B2 (en) System and method for providing a self-monitoring, self-reporting, and self-repairing virtual asset configured for extrusion and intrusion detection and threat scoring in a cloud computing environment
US9729655B2 (en) Managing transfer of data in a data network
US9686301B2 (en) Method and system for virtual asset assisted extrusion and intrusion detection and threat scoring in a cloud computing environment
CA2937820C (en) Efficient vulnerability management and verification service
US20130283376A1 (en) System and method for security analysis based on multiple protocols
CN104468632A (zh) 防御漏洞攻击的方法、设备及系统
CN105049412A (zh) 一种不同网络间数据安全交换方法、装置及设备
US20210357507A1 (en) Framework for automated penetration testing
CN109450766B (zh) 一种工作区级vpn的访问处理方法及装置
US20120210433A1 (en) Exfiltration testing and extrusion assessment
EP2790354A1 (en) Security management system having multiple relay servers, and security management method
CN111464513A (zh) 数据检测方法、装置、服务器及存储介质
US11750564B2 (en) Systems and methods for monitoring and securing networks using a shared buffer
CN109286688A (zh) 一种数据下载方法及装置
CN113098852B (zh) 一种日志处理方法及装置
CN113489770B (zh) 容器间的通信方法、电子设备和计算机可读存储介质
US20220311791A1 (en) Systems and methods for low latency stateful threat detection and mitigation
EP3462709B1 (en) A network interface device
CN114567678A (zh) 一种云安全服务的资源调用方法、装置及电子设备
CN114301682A (zh) 数据处理方法、装置和终端设备
CN114221808B (zh) 安全策略部署方法、装置、计算机设备及可读存储介质
US20240036992A1 (en) Providing a logical data isolation with intermittent connectivity
Foster " Why does MPTCP have to make things so complicated?": cross-path NIDS evasion and countermeasures
CN115442359A (zh) 一种数据传输方法、装置、设备及介质
Robertson Applied Resiliency for More Trustworthy Grid Operation (ARMORE)

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40053559

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant