CN114338405A - 一种基于Kubernetes实现云平台租户级网络策略配置的方法及其系统 - Google Patents
一种基于Kubernetes实现云平台租户级网络策略配置的方法及其系统 Download PDFInfo
- Publication number
- CN114338405A CN114338405A CN202111671189.3A CN202111671189A CN114338405A CN 114338405 A CN114338405 A CN 114338405A CN 202111671189 A CN202111671189 A CN 202111671189A CN 114338405 A CN114338405 A CN 114338405A
- Authority
- CN
- China
- Prior art keywords
- tenant
- networkpolicy
- network
- creating
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 11
- 241000322338 Loeseliastrum Species 0.000 claims description 9
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 claims description 3
- 238000002955 isolation Methods 0.000 description 7
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于Kubernetes实现云平台租户级网络策略配置的方法,其包括以下步骤:S1、设置租户网络规则,所述网络规则包括所有人不可访问、同项目可访问、所有人可访问,并默认同租户的应用可访问的NetworkPolicy,Node节点修改网络规则;S2、Node节点内创建租户并配置该租户下应用允许使用网络规则的NetworkPolicy;S3、租户下创建应用,获取允许使用网络规则的NetworkPolicy,选择其中一种NetworkPolicy,创建Namespace并在对应的Namespace下创建允许访问应用端口的NetworkPolicy,创建Pod,采用以上技术方案提高租户网络策略配置的自由度,根据用户业务需求对租户下应用网络策略进行个性化配置。
Description
技术领域
本发明涉及云计算领域,具体涉及了一种基于Kubernetes实现云平台租户级网络策略配置的方法及其系统。
背景技术
Namespace是对一组资源和对象的抽象集合,比如可以用来将系统内部的对象划分为不同的项目组或用户组。常见的pods, services, replication controllers和deployments等都是属于某一个namespace的。(引自官方Kubernetes中文文档)Namespace常用实现多租户资源隔离,但无法实现网络隔离。目前相关技术通过NetworkPolicy实现基于策略的网络控制,在多租户的生产环境下,可以控制Namespace间的网络隔离,可以管理多租户下Kubernetes集群网络。基于安全性考虑,云平台提供基于NetworkPolicy的网络隔离策略,支持按租户级网络隔离,即不同租户的应用不相通,租户内的应用网络互通。无手段或方法根据业务需要自定义租户内应用的网络规则,如所有人可访问应用或所有人都不可访问应用。
发明内容
针对现有技术的不足,本发明提供一种提高租户网络策略配置的自由度,根据用户业务需求对租户下应用网络策略进行个性化配置的基于Kubernetes实现云平台租户级网络策略配置的方法。
本发明的一种基于Kubernetes实现云平台租户级网络策略配置的方法,采用以下技术方案:其包括以下步骤:
S1、设置租户网络规则,所述网络规则包括所有人不可访问、同项目可访问、所有人可访问,并默认同租户的应用可访问的NetworkPolicy,Node节点修改网络规则;
S2、Node节点内创建租户并配置该租户下应用允许使用网络规则的NetworkPolicy;
S3、租户下创建应用,获取允许使用网络规则的NetworkPolicy,选择其中一种NetworkPolicy,创建 Namespace并在对应的Namespace下创建允许访问应用端口的NetworkPolicy,创建Pod。
进一步,步骤S1中包括:
S1-1、通过Kubect发起创建NetworkPolicy的请求至Kubernetes Master,Kubernetes Master接收到请求后将NetworkPolicy的信息写入到Kubernetes的etcd中,创建NetworkPolicy资源;
S1-2、Calico的Policy-Controller监听NetworkPolicy资源,将监听到的NetworkPolicy资源写入Calico的etcd中;
S1-3、分布在Node节点上的Calico-felix则监听Calico的etcd中NetworkPolicy资源,根据NetworkPolicy资源调用iptables修改NetworkPolicy。
一种基于Kubernetes实现云平台租户级网络策略配置的系统,其包括:
前台界面模块,用于提供创建租户和应用接口,用户选择网络规则的NetworkPolicy并通知租户管理模块创建租户,用户选择租户允许使用网络规则的NetworkPolicy中一种NetworkPolicy通知项目管理创建应用;
租户管理模块,根据前台界面模块选择的网络规则的NetworkPolicy创建租户,创建成功后返回租户创建成功消息至前台界面;
项目管理模块,根据前台界面模块选择的租户允许使用网络规则的NetworkPolicy中的一种NetworkPolicy创建Namespace和NetworkPolicy,通知应用管理模块创建pod;接收应用管理模块返回应用创建成功消息,并将应用创建成功消息返回给前台界面;
应用管理模块,创建Pod,创建成功后返回应用创建成功消息至项目管理模块。
与现有技术相比,本发明的有益效果:引入Kubernetes NetworkPolicy,目前Kubernetes的资源管控可限制不同Namespace以及Pod的CPU、内存资源;为实现不同租户间所需要的网络策略不同,对于网络的控制默认所有的pod之间都可以相互访问,通过NetworkPolicy实现同租户访问,不同租户之间隔离以及允许所有人访问和不可访问等多种网络策略;网络策略由平台统一管理下发到不同租户之间,创建应用时统一下发到Kubernetes集群中根据不同策略生成相应的NetworkPolicy资源,自动生成路由规则进行网络隔离; 不同租户之间实现网络隔离时,针对需要对外开放访问的应用,自动根据所需开放的端口生成相应的网络规则允许任何人访问对外开放的端口。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,在附图中:
图1为本发明流程图;
图2位本发明步骤S1的流程图。
具体实施方式
参见图1所示,实施例一种基于Kubernetes实现云平台租户级网络策略配置的方法,采用以下技术方案:其包括以下步骤:
S1、设置租户网络规则:所述网络规则包括所有人不可访问、同项目可访问、所有人可访问,并默认同租户的应用可访问的NetworkPolicy,Node节点修改网络规则;
S2、Node节点内创建租户并配置该租户下应用允许使用网络规则的NetworkPolicy;
S3、租户下创建应用,获取允许使用网络规则的NetworkPolicy,选择其中一种NetworkPolicy,创建 Namespace并在对应的Namespace下创建允许访问应用端口的NetworkPolicy,创建Pod。
当选择所有人不能访问,在应用对应的Namespace下创建默认拒绝所有流量的NetworkPolicy;
当选择同租户可访问,在应用对应的Namespace下创建默认拒绝所有流量以及仅允许带有相同租户标识pod的可访问的NetworkPolicy;
当选择所有人可访问,在应用对应的Namespace下创建允许任意流量的NetworkPolicy;
当选择同项目可访问,在应用对应的Namespace下创建仅允许带有相同Namespace名称的pod可访问的NetworkPolicy。
参见图2所示,进一步,步骤S1中包括:
S1-1、通过Kubect发起创建NetworkPolicy的请求至Kubernetes Master,Kubernetes Master接收到请求后将NetworkPolicy的信息写入到Kubernetes的etcd中,创建NetworkPolicy资源;
S1-2、Calico的Policy-Controller监听NetworkPolicy资源,将监听到的NetworkPolicy资源写入Calico的etcd中;
S1-3、分布在Node节点上的Calico-felix则监听Calico的etcd中NetworkPolicy资源,根据NetworkPolicy资源调用iptables修改NetworkPolicy。
一种基于Kubernetes实现云平台租户级网络策略配置的系统,其包括:
前台界面模块,用于提供创建租户和应用接口,用户选择网络规则的NetworkPolicy并通知租户管理模块创建租户,用户选择租户允许使用网络规则的NetworkPolicy中一种NetworkPolicy通知项目管理创建应用;
租户管理模块,根据前台界面模块选择的网络规则的NetworkPolicy创建租户,创建成功后返回租户创建成功消息至前台界面;
项目管理模块,根据前台界面模块选择的租户允许使用网络规则的NetworkPolicy中的一种NetworkPolicy创建Namespace和NetworkPolicy,通知应用管理模块创建pod;接收应用管理模块返回应用创建成功消息,并将应用创建成功消息返回给前台界面;
应用管理模块,创建Pod,创建成功后返回应用创建成功消息至项目管理模块。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (3)
1.一种基于Kubernetes实现云平台租户级网络策略配置的方法,其特征在于:其包括以下步骤:
S1、设置租户网络规则,所述网络规则包括所有人不可访问、同项目可访问、所有人可访问,并默认同租户的应用可访问的NetworkPolicy,Node节点修改网络规则;
S2、Node节点内创建租户并配置该租户下应用允许使用网络规则的NetworkPolicy;
S3、租户下创建应用,获取允许使用网络规则的NetworkPolicy,选择其中一种NetworkPolicy,创建 Namespace并在对应的Namespace下创建允许访问应用端口的NetworkPolicy,创建Pod。
2.根据权利要求1所述的一种实现云平台租户级网络策略配置的方法,其特征在于:步骤S1中包括:
S1-1、通过Kubect发起创建NetworkPolicy的请求至Kubernetes Master,KubernetesMaster接收到请求后将NetworkPolicy的信息写入到Kubernetes的etcd中,创建NetworkPolicy资源;
S1-2、Calico的Policy-Controller监听NetworkPolicy资源,将监听到的NetworkPolicy资源写入Calico的etcd中;
S1-3、分布在Node节点上的Calico-felix则监听Calico的etcd中NetworkPolicy资源,根据NetworkPolicy资源调用iptables修改NetworkPolicy。
3.一种基于Kubernetes实现云平台租户级网络策略配置的系统,应用权利要求1或2所述的一种实现云平台租户级网络策略配置的方法,其特征在于:其包括:
前台界面模块,用于提供创建租户和应用接口,用户选择网络规则的NetworkPolicy并通知租户管理模块创建租户,用户选择租户允许使用网络规则的NetworkPolicy中一种NetworkPolicy通知项目管理创建应用;
租户管理模块,根据前台界面模块选择的网络规则的NetworkPolicy创建租户,创建成功后返回租户创建成功消息至前台界面;
项目管理模块,根据前台界面模块选择的租户允许使用网络规则的NetworkPolicy中的一种NetworkPolicy创建Namespace和NetworkPolicy,通知应用管理模块创建pod;接收应用管理模块返回应用创建成功消息,并将应用创建成功消息返回给前台界面;
应用管理模块,创建Pod,创建成功后返回应用创建成功消息至项目管理模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111671189.3A CN114338405A (zh) | 2021-12-31 | 2021-12-31 | 一种基于Kubernetes实现云平台租户级网络策略配置的方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111671189.3A CN114338405A (zh) | 2021-12-31 | 2021-12-31 | 一种基于Kubernetes实现云平台租户级网络策略配置的方法及其系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114338405A true CN114338405A (zh) | 2022-04-12 |
Family
ID=81021038
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111671189.3A Pending CN114338405A (zh) | 2021-12-31 | 2021-12-31 | 一种基于Kubernetes实现云平台租户级网络策略配置的方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338405A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116488945A (zh) * | 2023-06-20 | 2023-07-25 | 杭州默安科技有限公司 | 一种容器网络隔离方法和系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107864131A (zh) * | 2017-11-03 | 2018-03-30 | 郑州云海信息技术有限公司 | 一种实现Kubernetes集群多租户网络隔离的方法及系统 |
| CN108989091A (zh) * | 2018-06-22 | 2018-12-11 | 杭州才云科技有限公司 | 基于Kubernetes网络的租户网络隔离方法、存储介质、电子设备 |
| CN111324456A (zh) * | 2020-02-14 | 2020-06-23 | 苏州浪潮智能科技有限公司 | 一种基于命名空间绑定的云租户间资源隔离方法与系统 |
| CN112615856A (zh) * | 2020-12-16 | 2021-04-06 | 上海道客网络科技有限公司 | 一种多集群网络安全策略管控方法和系统 |
| WO2021238256A1 (zh) * | 2020-05-27 | 2021-12-02 | 浪潮电子信息产业股份有限公司 | 一种应用隔离方法、系统、设备及计算机可读存储介质 |
-
2021
- 2021-12-31 CN CN202111671189.3A patent/CN114338405A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107864131A (zh) * | 2017-11-03 | 2018-03-30 | 郑州云海信息技术有限公司 | 一种实现Kubernetes集群多租户网络隔离的方法及系统 |
| CN108989091A (zh) * | 2018-06-22 | 2018-12-11 | 杭州才云科技有限公司 | 基于Kubernetes网络的租户网络隔离方法、存储介质、电子设备 |
| CN111324456A (zh) * | 2020-02-14 | 2020-06-23 | 苏州浪潮智能科技有限公司 | 一种基于命名空间绑定的云租户间资源隔离方法与系统 |
| WO2021238256A1 (zh) * | 2020-05-27 | 2021-12-02 | 浪潮电子信息产业股份有限公司 | 一种应用隔离方法、系统、设备及计算机可读存储介质 |
| CN112615856A (zh) * | 2020-12-16 | 2021-04-06 | 上海道客网络科技有限公司 | 一种多集群网络安全策略管控方法和系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116488945A (zh) * | 2023-06-20 | 2023-07-25 | 杭州默安科技有限公司 | 一种容器网络隔离方法和系统 |
| CN116488945B (zh) * | 2023-06-20 | 2023-09-15 | 杭州默安科技有限公司 | 一种容器网络隔离方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105354076B (zh) | 一种应用部署方法及装置 | |
| US9967852B2 (en) | CPE network configuration systems and methods | |
| CN108134764B (zh) | 一种分布式数据共享交换方法及系统 | |
| EP3644556B1 (en) | Alias management method and device | |
| US20170171144A1 (en) | Management of domain name systems in a large-scale processing environment | |
| CN107347084B (zh) | 分布式锁管理的方法、装置及系统 | |
| CN100370843C (zh) | 一种资源分配策略系统及其控制通信资源分配的方法 | |
| CN106844111B (zh) | 云存储网络文件系统的访问方法 | |
| US8521863B2 (en) | Method and device for operating resource on shared network element | |
| CN110476444B (zh) | 用于网络服务的标识符分配和/或标识符映射的网络实体和方法 | |
| US11126460B2 (en) | Limiting folder and link sharing | |
| US20080298238A1 (en) | Filtering in bandwidth sharing ad hoc networks | |
| CN109474936A (zh) | 应用于多个lora网关之间的物联网通讯方法及系统 | |
| US20160316069A1 (en) | Geo-redundant pcrf mra with mpe allocation via imsi hashing and ip indexed table | |
| CN114338405A (zh) | 一种基于Kubernetes实现云平台租户级网络策略配置的方法及其系统 | |
| CN113542033B (zh) | 联盟链基础设施与管理平台多对多映射方法与系统 | |
| CN111324456A (zh) | 一种基于命名空间绑定的云租户间资源隔离方法与系统 | |
| CN108366087B (zh) | 一种基于分布式文件系统的iscsi服务实现方法和装置 | |
| CN110008006B (zh) | 基于容器的大数据工具部署方法及系统 | |
| US10187866B2 (en) | Registering, deregistering and standby processing methods and systems for terminal peripheral | |
| US20160330079A1 (en) | Device asset tracking and service desk using an external network management system as a data source | |
| KR20100110209A (ko) | 복수 개의 dm 관리권한자를 지원하기 위한 장치 및 방법 | |
| EP4189864A1 (en) | Network functionality (nf) aware service provision based on service communication proxy (scp) | |
| EP3547653B1 (en) | Data replication | |
| CN105828273A (zh) | 组资源的管理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220412 |