CN114416278B - 容器网络通讯监听方法、系统 - Google Patents
容器网络通讯监听方法、系统 Download PDFInfo
- Publication number
- CN114416278B CN114416278B CN202111524977.XA CN202111524977A CN114416278B CN 114416278 B CN114416278 B CN 114416278B CN 202111524977 A CN202111524977 A CN 202111524977A CN 114416278 B CN114416278 B CN 114416278B
- Authority
- CN
- China
- Prior art keywords
- network
- monitoring
- container
- data
- name space
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 161
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000004891 communication Methods 0.000 title claims abstract description 51
- 238000012806 monitoring device Methods 0.000 claims abstract description 9
- 238000012545 processing Methods 0.000 claims description 14
- 101100513046 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) eth-1 gene Proteins 0.000 description 20
- 238000005516 engineering process Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种容器网络通讯监听方法、系统,首先获取容器的网络命名空间,再在网络命名空间上创设新建虚拟网络设备,并将预设的监听程序运行在网络命名空间中,在网络命名空间内设置监听网卡,通过监听程序监听该监听网卡的数据报文以形成监听数据,并通过新建虚拟网络设备将监听数据发送至远端监控设备以完成容器网络通讯的监听,如此既不影响容器的正常运行,又能够实时获取容器的报文数据,而且适应性强,既适合独立的容器,又适合存储在pod中的容器,极大地提高了容器监听的适应性,并且,由于在网络命名空间上创设了新建虚拟网络设备,能够通过该新建虚拟网络设备将监听数据发送至远端监控设备,如此实现容器网络通讯的实时监听。
Description
技术领域
本发明涉及通讯技术领域,尤其涉及基于容器的网络通讯领域,更为具体地,涉及一种容器网络通讯监听方法、系统。
背景技术
容器技术是一种隔离并对隔离的资源进行管理控制的虚拟化技术,基于软件实现,起到隔离管理的作用,即通过容器技术可以把应用进程和其依赖关系打包在一起,运行在一个个相互隔离的容器中,将应用进程与系统其他部分隔离开。相对于传统的虚拟化(虚拟机)技术容器占用的系统资源更少,运行更快。
经过多年的发展容器技术已经形成了较成熟的技术,特别Docker、Kubernetes这些项目的出现让容器技术成为最受欢迎的技术之一,从云计算、互联网等企业逐步延伸金融、电信、安全等更多的企业中。
容器网络通讯不同于传统的程序网络通讯,每个容器都已自己独立的网络空间,容器的网络空间和宿主机的网络空间是隔离的,传统的程序网络监听无法在宿主机上监听到容器内部网络通讯,现有的监听技术要么指定一个监听容器,使该监听容器与其他需要被监听的容器放置在一个pod中,要么将有监听功能的程序放置在容器中运行;第一种方式仅适用于在pod中存储的容器,并且pod中存储的各个容器的数据是相互贯通的,因此该种方式适应性较差;第二种方式需要将具有监听功能的程序置于容器内,该种方式不仅会影响容器的运行,且监听数据仅能够存储,不便于监听数据的导出。
因此,亟需一种适应性广泛,能够适合多种模式的容器,且能够便于监听数据导出,能够实现实时数据监听的容器网络通讯监听方法、系统。
发明内容
鉴于上述问题,本发明的目的是提供一种容器网络通讯监听方法,以解决现有容器监听方式适应性较差,影响容器的运行,且监听数据仅能够存储,不便于监听数据的导出的问题。
本发明提供的一种容器网络通讯监听方法,其中,包括:
在宿主机上获取容器的网络命名空间;
在所述网络命名空间运行预设的监听程序,以监听预设在所述网络命名空间内的监听网卡的数据报文;
对所述数据报文进行标准处理以形成监听数据;
通过预先创设在所述网络命名空间上的新建虚拟网络设备将所述监听数据发送至远端监控设备,以完成容器网络通讯的监听。
优选地,所述容器为独立容器或存储在kubernetes的最小调度单元中的容器。
优选地,若所述独立容器为Docker容器,则所述在宿主机上获取容器的网络命名空间,包括:
获取所述Docker容器的进程ID;
基于所述进程ID建立所述Docker容器的网络命名空间的软连接;
通过预设的网络查询列表与所述软连接获取所述网络命名空间。
优选地,若所述容器为存储在kubernetes的最小调度单元中的容器,则所述在宿主机上获取容器的网络命名空间,包括:
获取所述最小调度单元的网络命名空间;
将所述最小调度单元的网络命名空间作为所述最小调度单元中各个容器的网络命名空间。
优选地,在所述网络命名空间上创设新建虚拟网络设备的过程,包括:
在宿主机上创设网络设备;
将所创设的网络设备桥接在所述宿主机的宿主机网络上以形成新建网络设备;
将所述新建网络设备从所述宿主机移至所述网络命名空间中以形成新建虚拟网络设备。
优选地,所述宿主机网络至少包括所述宿主机的网桥、虚拟交换、物理网卡。
优选地,所述监听网卡为所述网络命名空间自身的默认网卡。
优选的,对所述数据报文进行标准处理以形成监听数据的过程,包括:
按照收、发方向对所述数据报文进行统计以形成统计信息以作为信息监听数据;对所述数据报文进行截短处理,并为所述数据报文增加报头以形成报文监听数据;其中,
所述信息监听数据通过所述新建虚拟网络设备定时发送至所述远端监控设备,所述报文监听数据通过所述新建虚拟网络设备实时发送至所述远端监控设备。
优选地,还包括同时对与同一个预设的容器网络相连接的容器进行监听的过程,其中,包括:
将所述监听程序运行在与所述容器网络相连接的容器所在的宿主机上;
通过所述监听程序获取所述容器网络的数据报文以获取与所述容器网络相连接的容器的监听数据;
通过在所述宿主机上预设置的转发网卡将所述监听数据转发至远端监控设备。
本发明还提供一种容器网络通讯监听系统,实现如上所述的容器网络通讯监听方法,包括宿主机和集成在所述宿主机上的网络命名空间;其中,
所述网络命名空间包括运行的监听程序、预设置的监听网卡和预创设的新建虚拟网络设备;
所述监听程序用于监听所述监听网卡的数据报文;
所述新建虚拟网络设备用于将监听数据发送至远端监控设备以完成容器网络通讯的监听;所述监听数据为对所述数据报文进行标准处理形成。
从上面的技术方案可知,本发明提供的容器网络通讯监听方法、系统,首先在宿主机上获取容器的网络命名空间,再在网络命名空间上创设新建虚拟网络设备,并将预设的监听程序运行在网络命名空间中,在网络命名空间内设置监听网卡,通过监听程序监听该监听网卡的数据报文,再对数据报文进行标准处理以形成监听数据,并通过新建虚拟网络设备将所述监听数据发送至远端监控设备以完成容器网络通讯的监听,即将监听程序运行在容器的网络命名空间内,如此既不影响容器的正常运行,又能够实时获取容器的报文数据,而且适应性强,既适合独立的容器,又适合存储在pod中的容器,极大地提高了容器监听的适应性,并且,由于在网络命名空间上创设了新建虚拟网络设备,能够通过该新建虚拟网络设备将监听数据发送至远端监控设备,如此实现容器网络通讯的实时监听。
附图说明
通过参考以下结合附图的说明书内容,并且随着对本发明的更全面理解,本发明的其它目的及结果将更加明白及易于理解。在附图中:
图1为根据本发明实施例的容器网络通讯监听方法的流程图;
图2为根据本发明实施例的容器网络通讯监听方法所涉及的软、硬件的流程逻辑示意图;
图3为根据本发明实施例的容器网络通讯监听系统的示意图。
具体实施方式
现有的监听技术要么指定一个监听容器,使该监听容器与其他需要被监听的容器放置在一个pod中,要么将有监听功能的程序放置在容器中运行;第一种方式仅适用于在pod中存储的容器,并且pod中存储的各个容器的数据是相互贯通的,因此该种方式适应性较差;第二种方式需要将具有监听功能的程序置于容器内,该种方式不仅会影响容器的运行,且监听数据仅能够存储,不便于监听数据的导出。
针对上述问题,本发明提供一种容器网络通讯监听方法,以下将结合附图对本发明的具体实施例进行详细描述。
为了说明本发明提供的容器网络通讯监听方法、系统,图1对本发明实施例的容器网络通讯监听方法进行了示例性标示;图2对本发明实施例的容器网络通讯监听方法所涉及的软、硬件的流程逻辑进行了示例性标示;图3对本发明实施例的容器网络通讯监听系统进行了示例性标示。
以下示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。对于相关领域普通技术人员已知的技术和设备可能不作详细讨论,但在适当情况下,所述技术和设备应当被视为说明书的一部分。
如图1所示,本发明提供一个容器网络通讯监听方法,适应性广泛,能够适合多种模式的容器,且能够便于监听数据导出,能够实现实时数据监听,包括:
S1:在宿主机上获取容器的网络命名空间;
S2:在网络命名空间运行预设的监听程序,以监听预设在网络命名空间内的监听网卡的数据报文;
S3:对数据报文进行标准处理以形成监听数据;
S4:通过预先创设在网络命名空间上的新建虚拟网络设备将监听数据发送至远端监控设备,以完成容器网络通讯的监听。
在图1所示的实施例中,步骤S1为在宿主机上获取容器的网络命名空间的过程。
如图2所示,该容器可以为独立容器或者为存储在kubernetes的最小调度单元中的容器,在本实施例中,独立容器可以为任何单独隔离开来的容器,比如Docker容器;或者为存储在kubernetes的最小调度单元中的容器,比如,该最小单元为kubernetes的pod,即存储在pod中的容器;需要说明的是独立容器之间是相互隔离的,即每个独立容器都拥有属于自身的网络命名空间,而存储在pod中的容器与pod本身公用一个网络命名空间,也就是说pod的网络命名空间与其中所存储的各个容器的网络命名空间是相同的。
具体的,如图1、图2共同所示,在一个具体实施例中,该容器为独立容器,即每个容器与容器之间相互隔离,且每个容器具有仅属于自身的网络命名空间,因此,在本具体实施例中该容器网络通讯监听方法分别单独监听一个独立容器,在本具体实施例中以Docker容器为例,但不限于Docker容器,若该独立容器为Docker容器,则在宿主机上获取容器的网络命名空间,包括:
S111:获取Docker容器的进程ID;
S112:基于所述进程ID建立所述Docker容器的网络命名空间的软连接;
S113:通过网络查询列表与所述软连接获取所述网络命名空间;
具体的,在本具体实施例中,由于Docker容器的网络命名空间无法直接通过linux的ip netns list获取,所以首先获取Docker容器的进程ID,即获取该Docker容器的容器名,而后建立Docker容器网络与命名空间软连接,“ln-s/proc/容器进程号/ns/net/var/run/netns/ns1(自定义名称)”从而再通过网络查询列表(ip netns list)与该软连接获取网络命名空间。
在另一个具体实施例中,该容器为存储在kubernetes的最小调度单元中的容器,该最小调度单元即为pod,也就是说,在本具体实施例中,该容器为存储在kubernetes的pod中的容器,如此,则在宿主机上获取容器的网络命名空间,包括:
S121:获取所述最小调度单元的网络命名空间;
S122:将所述最小调度单元的网络命名空间作为所述最小调度单元中各个容器的网络命名空间。
具体的,在第二个具体实施例中,容器为存储在kubernetes的pod中的容器,此时该pod与该pod中存储的各个容器为同一个网络命名空间,故欲获得存储在该pod中的容器的网络命名空间,只需获得pod的网络命名空间即可。
在图1、图2共同所示的实施例中,步骤S2为在网络命名空间运行预设的监听程序,以监听预设在网络命名空间内的监听网卡的数据报文的过程,首先将预设的监听程序运行在步骤S1所获取的网络命名空间中;如何通过该监听程序获取网络命名空间中的数据变动为第一个需要的解决问题,故步骤S2需要首先在网络命名空间内设置监听网卡,而后通过所运行的监听程序监听该监听网卡的数据报文,也就是说步骤S2在网络命名空间内设置监听网卡,该监听网卡可以为任意设置在网络命名空间内具有数据报文流通的网卡,在本实施例中,该监听网卡为该网络命名空间自身的默认网卡eth0,因此,通过监听程序监听该默认网卡eth0即可获得该网络命名空间的数据变动(数据报文)。
具体的,在本实施例中,该监听程序可以为任何能够运行在网络命名空间内,且具备监听功能的程序,在此不做限制,在本实施例中,该监听程序为我司自主研发的pktStraw监听程序,该pktStraw监听程序为基于libpcap(Packet Capture Library)的网络监控软件,如此更好的实现监听功能,且能够适应网络命名空间,并且能够监听该监听网卡的MAC层数据报文。
在图1、图2共同所示的实施例中,步骤S3、S4为对数据报文进行标准处理以形成监听数据,并通过预先创设在所述网络命名空间上的新建虚拟网络设备将监听数据发送至远端监控设备以完成容器网络通讯的监听的过程。
对数据报文进行标准处理以形成监听数据的过程,包括:
按照收、发方向对数据报文进行统计以形成统计信息以作为信息监听数据;对数据报文进行截短处理,并为数据报文增加报头以形成报文监听数据;其中,
信息监听数据通过预先创设的新建虚拟网络设备定时发送至远端监控设备,报文监听数据通过预先创设的新建虚拟网络设备实时发送至远端监控设备。
具体的,该统计信息可以包括按收、发方向进行数据报文的总字节、总包数、速率等,然后将统计信息作为信息监听数据,同时对数据报文进行截短处理,并为数据报文增加报头以形成报文监听数据;而后通过预创建的新建虚拟网络设备eth1将实时变动的报文监听数据实时转发至远端监控设备,将信息监听数据定时转发至远端监控设备以完成容器的监听。由此可见,步骤S4基于预创建的一个能够用于向外转发监听数据的新建虚拟网络设备,其中,在网络命名空间上预创设新建虚拟网络设备的过程,包括:
S401:在宿主机上创设网络设备;
S402:将所创设的网络设备桥接在宿主机的宿主机网络上以形成新建网络设备;
S403:将新建网络设备从所述宿主机移至网络命名空间中以形成新建虚拟网络设备。
具体的,步骤S401中的网络设备为虚拟网络设备,可以为虚拟网卡,也可以为其他任何具有传输数据功能的虚拟网络设备;在本实施例中,以虚拟网卡作为该虚拟网络设备,首先由步骤S401在宿主机上创设一个新的虚拟网卡eth1,即通过linux命令ip link add在宿主机上建立新的虚拟网卡eth1,然后通过步骤S402将所创设新的虚拟网卡eth1桥接在宿主机的宿主机网络上以形成新建网络设备,即将该虚拟网卡eth1连接到宿主机上的具有外发功能的宿主机网络上,该宿主机网络可以为宿主机的网桥、虚拟交换、物理网卡、虚拟网卡等,更为具体的,例如:通过“ip link add link ens10 name eth1 type macvtap modebridge”语句,即建立了一个桥接在ens10网络设备上的虚拟网卡eth1,该ens10网络设备即为前述的宿主机网络,从而虚拟网卡eth1能通过ens10和宿主机外界进行通讯,进而将该虚拟网卡eth1作为能够向外界转发数据的新建网络设备eth1;而后通过步骤S403将该新建网络设备eth1从宿主机移至网络命名空间中以形成新建虚拟网络设备eth1,如此,该新建虚拟网络设备eth1能够将网络命名空间中的数据转发出去,那么如何获取该网络命名空间中的数据变动使新建虚拟网络设备eth1得以转发该变动由步骤S2完成,即将预设的监听程序运行在网络命名空间中,以使后续通过该监听程序获取网络命名空间中的数据变动,从而由新建虚拟网络设备eth1将数据变动的情况转发出去以实现监听。
由此,对诸如Docker容器的独立容器来说,首先获取独立容器的网络命名空间,并且诸如Docker容器的独立容器具有与自身相配合的唯一网络命名空间,而后将在宿主机创设的新建虚拟网络设备eth1移至网络命名空间中,从而使预设的监听程序监听网络命名空间自身的默认网卡eth0以获取关于该独立容器的往来数据报文,并通过该新建虚拟网络设备eth1将标准化处理后的数据报文转发至远端监控设备,以完成对该独立容器的单独监听。
对存储在kubernetes的pod中的容器来说,此时该pod与该pod中存储的各个容器为同一个网络命名空间,故首先获得pod的网络命名空间(即pod中存储的容器的网络命名空间),然后将在宿主机创设的新建虚拟网络设备eth1移至网络命名空间中,从而使预设的监听程序监听pod(容器)的网络命名空间自身的默认网卡eth0以获取关于该独立容器的往来数据报文,并通过该新建虚拟网络设备eth1将标准化处理后的数据报文转发至远端监控设备,由于pod中往往存储有多个容器,且pod中所存储的容器的网络空间是相同的,故对于存储在kubernetes的pod中的容器来说可以实现对pod中存储的所有的容器的同时监听。
此外,由于有的容器与容器网络直接相连,所以在另一个实施例中,还可以包括同时对与同一个预设的容器网络相连接的容器进行监听的过程,其中,包括:
SA1:将监听程序运行在与容器网络相连接的容器所在的宿主机上;
SA2:通过监听程序获取容器网络的数据报文以获取与容器网络相连接的容器的监听数据;
SA3:通过在宿主机上预设置的转发网卡将监听数据转发至远端监控设备;
需要说明的是在该实施例中的本过程中无需网络命名空间,只需通过监听程序获取容器网络的数据报文以获取与容器网络相连接的容器的监听数据即可,监听数据的形式也可以包括如上所述的信息监听数据和报文监听数据,在此不做赘述;该转发网卡于上述的新建虚拟网络设备eth1的原理相一致,只不过由原来的设置在网络命名空间内更改为放置在宿主机上,在此也不做赘述。
综上所述,本发明提供的容器网络通讯监听方法不仅可以适应于诸如Docker容器的相互隔离独立的容器,还适应于存储在pod中的容器,也适应于不借助网络命名空间,与容器网络相连接的容器,并且无论哪种容器,均无需容器内部有任何改动,因此丝毫不会影响容器的正常运行,相比现有技术取得质变的进步。
如上所述,本发明提供的容器网络通讯监听方法,首先在宿主机上获取容器的网络命名空间,再在网络命名空间上创设新建虚拟网络设备,并将预设的监听程序运行在网络命名空间中,在网络命名空间内设置监听网卡,通过监听程序监听该监听网卡的数据报文,再对数据报文进行标准处理以形成监听数据,并通过新建虚拟网络设备将所述监听数据发送至远端监控设备以完成容器网络通讯的监听,即将监听程序运行在容器的网络命名空间内,如此既不影响容器的正常运行,又能够实时获取容器的报文数据,而且适应性强,既适合独立的容器,又适合存储在pod中的容器,极大地提高了容器监听的适应性,并且,由于在网络命名空间上创设了新建虚拟网络设备,能够通过该新建虚拟网络设备将监听数据发送至远端监控设备,如此实现容器网络通讯的实时监听。
如图3所示,本发明还提供一种容器网络通讯监听系统100,实现如前所述的容器网络通讯监听方法,包括宿主机A和集成在所述宿主机上的网络命名空间110;其中,
所述网络命名空间110包括运行的监听程序111、预设置的监听网卡112和预创设的新建虚拟网络设备113;
所述监听程序111用于监听所述监听网卡112的数据报文;
所述新建虚拟网络设备113用于将监听数据发送至远端监控设备以完成容器网络通讯的监听;所述监听数据为对所述数据报文进行标准处理形成。
具体的实施方式参照上述容器网络通讯监听方法的具体步骤,在此不做赘述。
通过上述实施方式可以看出,本发明提供的容器网络通讯监听系统,包括宿主机A和集成在宿主机上的网络命名空间110;其中,网络命名空间110包括运行的监听程序111、预设置的监听网卡112和预创设的新建虚拟网络设备113,首先通过监听程序监听该监听网卡的数据报文,再对数据报文进行标准处理以形成监听数据,并通过新建虚拟网络设备将监听数据发送至远端监控设备以完成容器网络通讯的监听,即将监听程序运行在容器的网络命名空间内,如此既不影响容器的正常运行,又能够实时获取容器的报文数据,而且适应性强,既适合独立的容器,又适合存储在pod中的容器,极大地提高了容器监听的适应性,并且,由于在网络命名空间上创设了新建虚拟网络设备,能够通过该新建虚拟网络设备将监听数据发送至远端监控设备,如此实现容器网络通讯的实时监听。
如上参照附图以示例的方式描述了根据本发明提出的容器网络通讯监听方法、系统。但是,本领域技术人员应当理解,对于上述本发明所提出的容器网络通讯监听方法、系统,还可以在不脱离本发明内容的基础上做出各种改进。因此,本发明的保护范围应当由所附的权利要求书的内容确定。
Claims (5)
1.一种容器网络通讯监听方法,其特征在于,包括:
在宿主机上获取容器的网络命名空间;所述容器为独立容器或存储在kubernetes的最小调度单元中的容器;若所述独立容器为Docker容器,则所述在宿主机上获取容器的网络命名空间,包括:获取所述Docker容器的进程ID;基于所述进程ID建立所述Docker容器的网络命名空间的软连接;通过预设的网络查询列表与所述软连接获取所述网络命名空间;若所述容器为存储在kubernetes的最小调度单元中的容器,则所述在宿主机上获取容器的网络命名空间,包括:获取所述最小调度单元的网络命名空间;将所述最小调度单元的网络命名空间作为所述最小调度单元中各个容器的网络命名空间;
在所述网络命名空间运行预设的监听程序,在网络命名空间内设置监听网卡,以通过所述监听程序监听所述监听网卡的数据报文;所述数据报文为所述监听网卡的MAC层数据报文;其中,所述监听程序为pktStraw监听程序,所述pktStraw监听程序为基于libpcap的网络监控软件;
对所述数据报文进行标准处理以形成监听数据;所述监听数据包括信息监听数据和报文监听数据;
通过预先创设在所述网络命名空间上的新建虚拟网络设备将所述监听数据定时/实时发送至远端监控设备,以完成容器网络通讯的监听;其中,所述信息监听数据通过所述新建虚拟网络设备定时发送至远端监控设备,所述报文监听数据通过所述新建虚拟网络设备实时发送至远端监控设备;其中,
在所述网络命名空间上创设新建虚拟网络设备的过程,包括:
在宿主机上创设网络设备;
将所创设的网络设备桥接在所述宿主机的宿主机网络上以形成新建网络设备;
将所述新建网络设备从所述宿主机移至所述网络命名空间中以形成新建虚拟网络设备;
还包括同时对与同一个预设的容器网络相连接的容器进行监听的过程,其中,包括:
将所述监听程序运行在与所述容器网络相连接的容器所在的宿主机上;
通过所述监听程序获取所述容器网络的数据报文以获取与所述容器网络相连接的容器的监听数据;
通过在所述宿主机上预设置的转发网卡将所述监听数据转发至远端监控设备。
2.如权利要求1所述的容器网络通讯监听方法,其特征在于,
所述宿主机网络至少包括所述宿主机的网桥、虚拟交换、物理网卡。
3.如权利要求1所述的容器网络通讯监听方法,其特征在于,
所述监听网卡为所述网络命名空间自身的默认网卡。
4.如权利要求1所述的容器网络通讯监听方法,其特征在于,对所述数据报文进行标准处理以形成监听数据的过程,包括:
按照收、发方向对所述数据报文进行统计以形成统计信息以作为信息监听数据;对所述数据报文进行截短处理,并为所述数据报文增加报头以形成报文监听数据。
5.一种容器网络通讯监听系统,实现如权利要求1-4任一所述的方法,包括宿主机和集成在所述宿主机上的网络命名空间;其中,
所述网络命名空间包括运行的监听程序、预设置的监听网卡和预创设的新建虚拟网络设备;
所述监听程序用于监听所述监听网卡的数据报文;所述数据报文为所述监听网卡的MAC层数据报文;
所述新建虚拟网络设备用于将监听数据定时/实时发送至远端监控设备以完成容器网络通讯的监听;所述监听数据为对所述数据报文进行标准处理形成;所述监听数据包括信息监听数据和报文监听数据;其中,所述信息监听数据通过所述新建虚拟网络设备定时发送至远端监控设备,所述报文监听数据通过所述新建虚拟网络设备实时发送至远端监控设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111524977.XA CN114416278B (zh) | 2021-12-14 | 2021-12-14 | 容器网络通讯监听方法、系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111524977.XA CN114416278B (zh) | 2021-12-14 | 2021-12-14 | 容器网络通讯监听方法、系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114416278A CN114416278A (zh) | 2022-04-29 |
| CN114416278B true CN114416278B (zh) | 2023-01-17 |
Family
ID=81267986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111524977.XA Active CN114416278B (zh) | 2021-12-14 | 2021-12-14 | 容器网络通讯监听方法、系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114416278B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632378A (zh) * | 2018-05-11 | 2018-10-09 | 国云科技股份有限公司 | 一种面向云平台业务的监控方法 |
| CN109981403A (zh) * | 2019-03-05 | 2019-07-05 | 北京勤慕数据科技有限公司 | 虚拟机网络数据流量监控方法及装置 |
| CN110572439A (zh) * | 2019-08-14 | 2019-12-13 | 中国电子科技集团公司第二十八研究所 | 一种基于元数据服务和虚拟转发网桥的云监控方法 |
| CN110673963A (zh) * | 2019-08-31 | 2020-01-10 | 苏州浪潮智能科技有限公司 | 面向docker容器调用宿主机命令的通讯方法及系统 |
| CN110704155A (zh) * | 2018-07-09 | 2020-01-17 | 阿里巴巴集团控股有限公司 | 容器网络构建方法及装置、物理主机、数据传输方法 |
| CN110995561A (zh) * | 2019-12-06 | 2020-04-10 | 中国科学院信息工程研究所 | 基于容器技术的虚拟网络数据通信交互方法与系统 |
| CN113542074A (zh) * | 2021-08-04 | 2021-10-22 | 成都安恒信息技术有限公司 | 一种可视化管理kubernetes集群的东西向网络流量的方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11743161B2 (en) * | 2020-01-27 | 2023-08-29 | Netscout Systems, Inc. | Container network interface monitoring |
| CN113220422B (zh) * | 2021-06-03 | 2022-09-30 | 上海天旦网络科技发展有限公司 | 基于K8s中CNI插件的运行时修改Pod网络接口的方法及系统 |
-
2021
- 2021-12-14 CN CN202111524977.XA patent/CN114416278B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632378A (zh) * | 2018-05-11 | 2018-10-09 | 国云科技股份有限公司 | 一种面向云平台业务的监控方法 |
| CN110704155A (zh) * | 2018-07-09 | 2020-01-17 | 阿里巴巴集团控股有限公司 | 容器网络构建方法及装置、物理主机、数据传输方法 |
| CN109981403A (zh) * | 2019-03-05 | 2019-07-05 | 北京勤慕数据科技有限公司 | 虚拟机网络数据流量监控方法及装置 |
| CN110572439A (zh) * | 2019-08-14 | 2019-12-13 | 中国电子科技集团公司第二十八研究所 | 一种基于元数据服务和虚拟转发网桥的云监控方法 |
| CN110673963A (zh) * | 2019-08-31 | 2020-01-10 | 苏州浪潮智能科技有限公司 | 面向docker容器调用宿主机命令的通讯方法及系统 |
| CN110995561A (zh) * | 2019-12-06 | 2020-04-10 | 中国科学院信息工程研究所 | 基于容器技术的虚拟网络数据通信交互方法与系统 |
| CN113542074A (zh) * | 2021-08-04 | 2021-10-22 | 成都安恒信息技术有限公司 | 一种可视化管理kubernetes集群的东西向网络流量的方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| Docker网络命名空间;凤舞飘伶;《https://blog.csdn.net/woshaguayi/article/details/115005637》;20210319;第1-4页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114416278A (zh) | 2022-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7440415B2 (en) | Virtual network addresses | |
| US20190342117A1 (en) | Method for controlling a remote service access path and relevant device | |
| CN102055667B (zh) | 用于实现网络规则的方法和设备 | |
| CN100550763C (zh) | 网络设备的管理方法及网络管理系统 | |
| EP1892929B1 (en) | A method, an apparatus and a system for message transmission | |
| EP2356775B1 (en) | Central controller for coordinating multicast message transmissions in distributed virtual network switch environment | |
| US6131117A (en) | Technique for correlating logical names with IP addresses on internetworking platforms | |
| CN103404084B (zh) | Mac地址强制转发装置及方法 | |
| CN107070691A (zh) | Docker容器的跨主机通信方法和系统 | |
| CA2254045A1 (en) | Integrated information communication system | |
| EP2458782A1 (en) | Method for multiplexing hot backup ports and network system thereof | |
| CN111294291B (zh) | 一种协议报文的处理方法和装置 | |
| CN104852840A (zh) | 一种控制虚拟机之间互访的方法及装置 | |
| CN105743687B (zh) | 节点故障的判断方法及装置 | |
| EP3313031A1 (en) | Sdn-based arp realization method and apparatus | |
| JP2010531602A5 (zh) | ||
| CN109862127A (zh) | 一种报文传输的方法及相关装置 | |
| CN106550058A (zh) | 网络地址转换穿透方法以及使用该方法的系统 | |
| CN108093041A (zh) | 单通道vdi代理服务系统及实现方法 | |
| CN110417687A (zh) | 一种报文发送与接收方法及装置 | |
| CN114598413A (zh) | 一种支持时间敏感网络功能的安全分布式控制系统 | |
| CN110417573A (zh) | 一种数据传送的方法及系统 | |
| CN114416278B (zh) | 容器网络通讯监听方法、系统 | |
| CN101355585A (zh) | 一种分布式架构数据通信设备的消息保护系统及方法 | |
| KR100889753B1 (ko) | 링크 애그리게이션 그룹에서의 보호 절체 방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100080 All 8th Floor, No.1 Haidian Street, Haidian District, Beijing Applicant after: Beijing Qinmu Data Technology Co.,Ltd. Address before: Room 101, office 701, floor 7, building 4, courtyard 1, Nongda South Road, Haidian District, Beijing 100084 Applicant before: Beijing Qinmu Data Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |