CN115048188A - 容器的网络隔离控制系统、方法、电子设备及存储介质 - Google Patents

容器的网络隔离控制系统、方法、电子设备及存储介质 Download PDF

Info

Publication number
CN115048188A
CN115048188A CN202210746639.9A CN202210746639A CN115048188A CN 115048188 A CN115048188 A CN 115048188A CN 202210746639 A CN202210746639 A CN 202210746639A CN 115048188 A CN115048188 A CN 115048188A
Authority
CN
China
Prior art keywords
edge node
network
container
network configuration
pod
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210746639.9A
Other languages
English (en)
Inventor
张万兴
杜霖
宋建霖
凌杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nsfocus Technologies Inc, Nsfocus Technologies Group Co Ltd filed Critical Nsfocus Technologies Inc
Priority to CN202210746639.9A priority Critical patent/CN115048188A/zh
Publication of CN115048188A publication Critical patent/CN115048188A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5072Grid computing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/4557Distribution of virtual machine instances; Migration and load balancing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Warehouses Or Storage Devices (AREA)

Abstract

本申请公开了容器的网络隔离控制系统、方法、电子设备及存储介质,容器的网络隔离控制系统包括中央控制节点和边缘节点,各个边缘节点上设置有边缘节点控制容器,每一边缘节点上设置有至少两个Pod,其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,其中:中央控制节点,用于获取网络配置策略,针对每一条网络配置策略,将网络配置策略下发至其对应的第一目标业务所属的边缘节点上的边缘节点控制容器;边缘节点,用于通过其上运行的边缘节点控制容器解析接收的网络配置策略对应的第一目标业务,并将网络配置策略下发至第一目标业务对应的Pod网络命名空间,以在该Pod网络命名空间执行网络配置策略。

Description

容器的网络隔离控制系统、方法、电子设备及存储介质
技术领域
本申请涉及网络通信技术领域,尤其涉及容器的网络隔离控制系统、方法、电子设备及存储介质。
背景技术
随着云原生技术的发展,基于Kubernetes的容器服务应用越来越广泛,Kubernetes是一个基于容器技术的分布式架构方案,其本质是一组服务器集群,可以在集群中部署各种服务,所谓的部署服务就是在集群中运行一个个的容器,并将指定的业务应用程序运行在容器中。容器环境下的网络比普通的网络更为复杂,容器的集群中网络隔离以及网络策略配置也变得较为复杂。传统的容器网络隔离方案中,一种是通过对容器宿主机下发全局的网络配置策略控制所有的容器,一种是通过SDN(Software DefinedNetwork,软件定义网络)工具如OVS(Open vSwitch,多层虚拟交换机)等下发统一的ACL(Access Control List,访问控制列表)策略,这两种方式均需下发众多的规则,可维护性不高。一种是通过在每一Pod网络命名空间注入容器的方式进行网络隔离,然而这种方式启动额外的容器改变Pod内部的容器结构,改造成本较高,浪费计算资源。
发明内容
为了解决现有的容器网络隔离方案中策略可维护性低及注入容器而浪费计算资源的问题,本申请实施例提供了一种容器的网络隔离控制系统、方法、电子设备及存储介质。
第一方面,本申请实施例提供了一种容器的网络隔离控制系统,包括中央控制节点和边缘节点,各个边缘节点上设置有边缘节点控制容器,每一边缘节点上设置有至少两个Pod,其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,其中:
所述中央控制节点,用于获取网络配置策略,针对每一条网络配置策略,将所述网络配置策略下发至其对应的第一目标业务所属的边缘节点上的边缘节点控制容器;
所述边缘节点,用于通过其上运行的边缘节点控制容器解析接收的所述网络配置策略对应的所述第一目标业务,并将所述网络配置策略下发至所述第一目标业务对应的Pod网络命名空间,以在所述第一目标业务对应的Pod网络命名空间执行所述网络配置策略。
在一种可能的实施方式中,所述边缘节点,具体用于通过其上运行的边缘节点控制容器根据存储的业务标识与Pod网络命名空间标识的对应关系确定所述第一目标业务对应的第一Pod网络命名空间标识,并将所述网络配置策略下发至所述第一Pod网络命名空间标识对应的Pod网络命名空间,以在所述第一Pod网络命名空间标识对应的Pod网络命名空间执行所述网络配置策略。
在一种可能的实施方式中,所述中央控制节点,还用于若确定任一网络配置策略更新时,则向更新的网络配置策略对应的第二目标业务所属的边缘节点上的边缘节点控制容器发送策略更新指示消息,所述策略更新指示消息中携带有所述更新的网络配置策略;
所述边缘节点,还用于通过其上运行的边缘节点控制容器解析接收的所述更新的网络配置策略对应的第二目标业务,根据所述业务标识与Pod网络命名空间标识的对应关系确定所述第二目标业务标识对应的第二Pod网络命名空间标识,并将所述更新的网络配置策略下发至所述第二Pod网络命名空间标识对应的Pod网络命名空间进行策略更新。
在一种可能的实施方式中,所述中央控制节点,还用于若确定所述任一网络配置策略更新时,则将所述更新的网络配置策略替换更新前的网络配置策略。
在一种可能的实施方式中,所述中央控制节点,还用于若确定监测到任意边缘节点的Pod中的业务容器资源属性更新时,则将所述任意边缘节点的Pod中的业务容器对应的业务相应的当前网络配置策略下发至所述任意边缘节点上的边缘节点控制容器;
所述任意边缘节点,用于通过其上运行的边缘节点控制容器将接收的所述当前网络配置策略下发至资源属性发生更新的业务容器所属的Pod网络命名空间,按照所述当前网络配置策略对所述资源属性发生更新的业务容器执行相应的处理。
在一种可能的实施方式中,所述边缘节点,还用于通过其上运行的边缘节点控制容器按照预设时间周期检测所述边缘节点上的各个Pod网络命名空间的当前执行策略是否与所述中央控制节点当前存储的网络配置策略相符,若确定不相符,则根据所述中央控制节点当前存储的网络配置策略修改相应Pod网络命名空间的执行策略。
第二方面,本申请实施例提供了一种中央控制节点侧实施的容器的网络隔离控制方法,应用于本申请实施例所述的容器的网络隔离控制系统,所述容器的网络隔离控制系统包括中央控制节点和边缘节点,各个边缘节点上设置有边缘节点控制容器,每一边缘节点上设置有至少两个Pod,其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,所述方法,包括:
所述中央控制节点获取网络配置策略;
针对每一条网络配置策略,将所述网络配置策略下发至其对应的第一目标业务所属的边缘节点上的边缘节点控制容器,以由所述边缘节点控制容器解析接收的所述网络配置策略对应的所述第一目标业务,并将所述网络配置策略下发至所述第一目标业务对应的Pod网络命名空间,以在所述第一目标业务对应的Pod网络命名空间执行所述网络配置策略。
在一种可能的实施方式中,所述方法,还包括:
若确定任一网络配置策略更新时,则向更新的网络配置策略对应的第二目标业务所属的边缘节点上的边缘节点控制容器发送策略更新指示消息,所述策略更新指示消息中携带有所述更新的网络配置策略,以使所述边缘节点控制容器解析接收的所述更新的网络配置策略对应的第二目标业务,并将所述更新的网络配置策略下发至所述第二目标业务对应的Pod网络命名空间进行策略更新。
在一种可能的实施方式中,所述方法,还包括:
若确定所述任一网络配置策略更新时,则将所述更新的网络配置策略替换更新前的网络配置策略。
在一种可能的实施方式中,所述方法,还包括:
若确定监测到任意边缘节点的Pod中的业务容器资源属性更新时,则将所述任意边缘节点的Pod中的业务容器对应的业务相应的当前网络配置策略下发至所述任意边缘节点上的边缘节点控制容器,以使所述任意边缘节点上的边缘节点控制容器将接收的所述当前网络配置策略下发至资源属性发生更新的业务容器所属的Pod网络命名空间,按照所述当前网络配置策略对所述资源属性发生更新的业务容器执行相应的处理。
第三方面,本申请实施例提供了一种中央控制节点侧实施的容器的网络隔离控制装置,应用于本申请实施例所述的容器的网络隔离控制系统,所述容器的网络隔离控制系统包括中央控制节点和边缘节点,各个边缘节点上设置有边缘节点控制容器,每一边缘节点上设置有至少两个Pod,其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,所述装置,包括:
获取单元,用于获取网络配置策略;
发布单元,用于针对每一条网络配置策略,将所述网络配置策略下发至其对应的第一目标业务所属的边缘节点上的边缘节点控制容器,以由所述边缘节点控制容器解析接收的所述网络配置策略对应的所述第一目标业务,并将所述网络配置策略下发至所述第一目标业务对应的Pod网络命名空间,以在所述第一目标业务对应的Pod网络命名空间执行所述网络配置策略。
在一种可能的实施方式中,所述发布单元,还用于若确定任一网络配置策略更新时,则向更新的网络配置策略对应的第二目标业务所属的边缘节点上的边缘节点控制容器发送策略更新指示消息,所述策略更新指示消息中携带有所述更新的网络配置策略,以使所述边缘节点控制容器解析接收的所述更新的网络配置策略对应的第二目标业务,并将所述更新的网络配置策略下发至所述第二目标业务对应的Pod网络命名空间进行策略更新。
在一种可能的实施方式中,所述装置,还包括:
更新单元,用于若确定所述任一网络配置策略更新时,则将所述更新的网络配置策略替换更新前的网络配置策略。
在一种可能的实施方式中,所述发布单元,还用于若确定监测到任意边缘节点的Pod中的业务容器资源属性更新时,则将所述任意边缘节点的Pod中的业务容器对应的业务相应的当前网络配置策略下发至所述任意边缘节点上的边缘节点控制容器,以使所述任意边缘节点上的边缘节点控制容器将接收的所述当前网络配置策略下发至资源属性发生更新的业务容器所属的Pod网络命名空间,按照所述当前网络配置策略对所述资源属性发生更新的业务容器执行相应的处理。
第四方面,本申请实施例提供了一种边缘节点侧实施的容器的网络隔离控制方法,应用于本申请实施例所述的容器的网络隔离控制系统,所述容器的网络隔离控制系统包括中央控制节点和边缘节点,各个边缘节点上设置有边缘节点控制容器,每一边缘节点上设置有至少两个Pod,其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,所述方法,包括:
边缘节点上运行的边缘节点控制容器接收所述中央控制节点下发的网络配置策略,所述边缘节点为所述网络配置策略对应的第一目标业务所属的边缘节点;
解析所述网络配置策略对应的所述第一目标业务;
将所述网络配置策略下发至所述第一目标业务对应的Pod网络命名空间,以在所述第一目标业务对应的Pod网络命名空间执行所述网络配置策略。
在一种可能的实施方式中,将所述网络配置策略下发至所述第一目标业务对应的Pod网络命名空间,以在所述第一目标业务对应的Pod网络命名空间执行所述网络配置策略,具体包括:
根据存储的业务标识与Pod网络命名空间标识的对应关系确定所述第一目标业务对应的第一Pod网络命名空间标识;
将所述网络配置策略下发至所述第一Pod网络命名空间标识对应的Pod网络命名空间,以在所述第一Pod网络命名空间标识对应的Pod网络命名空间执行所述网络配置策略。
在一种可能的实施方式中,所述方法,还包括:
接收所述中央控制节点发送的策略更新指示消息,所述策略更新指示消息是所述中央控制节点确定所述边缘节点上的第二目标业务对应的网络配置策略更新时向所述边缘节点上运行的所述边缘节点控制容器下发的,所述策略更新指示消息中携带有更新的网络配置策略;
解析所述更新的网络配置策略对应的所述第二目标业务;
将所述更新的网络配置策略下发至所述第二目标业务对应的Pod网络命名空间进行策略更新。
在一种可能的实施方式中,将所述更新的网络配置策略下发至所述第二目标业务对应的Pod网络命名空间进行策略更新,具体包括:
根据所述业务标识与Pod网络命名空间标识的对应关系确定所述第二目标业务标识对应的第二Pod网络命名空间标识;
将所述更新的网络配置策略下发至所述第二Pod网络命名空间标识对应的Pod网络命名空间进行策略更新。
在一种可能的实施方式中,所述方法,还包括:
接收所述中央控制节点下发的当前网络配置策略,所述当前网络配置策略是所述中央控制节点确定监测到所述边缘节点的Pod中的业务容器资源属性更新时向所述边缘节点的所述边缘控制容器下发的;
将所述当前网络配置策略下发至资源属性发生更新的业务容器所属的Pod网络命名空间,按照所述当前网络配置策略对所述资源属性发生更新的业务容器执行相应的处理。
在一种可能的实施方式中,所述方法,还包括:
按照预设时间周期检测所述边缘节点上的各个Pod网络命名空间的当前执行策略是否与所述中央控制节点当前存储的网络配置策略相符;
若确定不相符,则根据所述中央控制节点当前存储的网络配置策略修改相应Pod网络命名空间的执行策略。
第五方面,本申请实施例提供了一种边缘节点侧实施的容器的网络隔离控制装置,应用于本申请实施例所述的容器的网络隔离控制系统,所述容器的网络隔离控制系统包括中央控制节点和边缘节点,各个边缘节点上设置有边缘节点控制容器,每一边缘节点上设置有至少两个Pod,其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,所述装置,包括:
接收单元,用于通过边缘节点上运行的边缘节点控制容器接收所述中央控制节点下发的网络配置策略,所述边缘节点为所述网络配置策略对应的第一目标业务所属的边缘节点;
解析单元,用于解析所述网络配置策略对应的所述第一目标业务;
下发单元,用于将所述网络配置策略下发至所述第一目标业务对应的Pod网络命名空间,以在所述第一目标业务对应的Pod网络命名空间执行所述网络配置策略。
在一种可能的实施方式中,所述下发单元,具体用于根据存储的业务标识与Pod网络命名空间标识的对应关系确定所述第一目标业务对应的第一Pod网络命名空间标识;将所述网络配置策略下发至所述第一Pod网络命名空间标识对应的Pod网络命名空间,以在所述第一Pod网络命名空间标识对应的Pod网络命名空间执行所述网络配置策略。
在一种可能的实施方式中,所述接收单元,还用于接收所述中央控制节点发送的策略更新指示消息,所述策略更新指示消息是所述中央控制节点确定所述边缘节点上的第二目标业务对应的网络配置策略更新时向所述边缘节点上运行的所述边缘节点控制容器下发的,所述策略更新指示消息中携带有更新的网络配置策略;
所述解析单元,还用于解析所述更新的网络配置策略对应的所述第二目标业务;
所述下发单元,还用于将所述更新的网络配置策略下发至所述第二目标业务对应的Pod网络命名空间进行策略更新。
在一种可能的实施方式中,所述下发单元,具体用于根据所述业务标识与Pod网络命名空间标识的对应关系确定所述第二目标业务标识对应的第二Pod网络命名空间标识;将所述更新的网络配置策略下发至所述第二Pod网络命名空间标识对应的Pod网络命名空间进行策略更新。
在一种可能的实施方式中,所述接收单元,还用于接收所述中央控制节点下发的当前网络配置策略,所述当前网络配置策略是所述中央控制节点确定监测到所述边缘节点的Pod中的业务容器资源属性更新时向所述边缘节点的所述边缘控制容器下发的;
所述下发单元,还用于将所述当前网络配置策略下发至资源属性发生更新的业务容器所属的Pod网络命名空间,按照所述当前网络配置策略对所述资源属性发生更新的业务容器执行相应的处理。
在一种可能的实施方式中,所述装置,还包括:
检测单元,用于按照预设时间周期检测所述边缘节点上的各个Pod网络命名空间的当前执行策略是否与所述中央控制节点当前存储的网络配置策略相符;
修改单元,用于若所述检测单元确定不相符,则根据所述中央控制节点当前存储的网络配置策略修改相应Pod网络命名空间的执行策略。
第六方面,本申请实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现本申请所述的容器的网络隔离控制方法。
第七方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本申请所述的容器的网络隔离控制方法中的步骤。
本申请实施例的有益效果如下:
本申请实施例提供的容器的网络隔离控制系统包括中央控制节点和边缘节点,各个边缘节点上设置有边缘节点控制容器,每一边缘节点上设置有至少两个Pod,其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,中央控制节点,用于获取网络配置策略,针对每一条网络配置策略,将所述网络配置策略下发至其对应的第一目标业务所属的边缘节点上的边缘节点控制容器,边缘节点,用于通过其上运行的边缘节点控制容器解析接收的网络配置策略对应的第一目标业务,并将网络配置策略下发至第一目标业务对应的Pod网络命名空间,以在第一目标业务对应的Pod网络命名空间执行所述网络配置策略。本申请实施例提供的容器的网络隔离控制系统中,在每一边缘节点上分别设置一个边缘节点控制容器,中央控制节点将每条网络配置策略下发至该条网络配置策略相应的第一目标业务所属的边缘节点的边缘节点控制容器中,由边缘节点控制容器解析出该条网络配置策略对应的第一目标业务,将该条网络配置策略下发至该第一目标业务所对应的Pod网络命名空间,直接在相应的Pod网络命名空间独立控制网络配置策略的执行,实现Pod中容器网络的隔离,这样,直接在Pod网络命名空间上操作网络配置策略,既无需在每个Pod网络命名空间中注入容器,避免了对Pod中业务容器结构的改造,节约了计算资源,中央控制节点也无需对所有边缘节点下发全局的网络配置策略,提升了策略的可维护性,减少了对宿主机命名空间规则的修改和依赖。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的容器的网络隔离控制系统的结构示意图;
图2为本申请实施例提供的中央控制节点侧实施的网络隔离控制方法的实施流程示意图;
图3为本申请实施例提供的中央控制节点侧实施的网络隔离控制装置的结构示意图;
图4为本申请实施例提供的边缘节点侧实施的容器的网络隔离控制方法的实施流程示意图;
图5为本申请实施例提供的边缘节点侧实施的容器的网络隔离控制装置的结构示意图;
图6为本申请实施例提供的电子设备的结构示意图。
具体实施方式
为了解决背景技术中的问题,本申请实施例提供了一种容器的网络隔离控制系统、方法、电子设备及存储介质。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本申请,并不用于限定本申请,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本文中,需要理解的是,本申请所涉及的技术术语中:
1、Pod:Kubernetes对容器技术做了更多的抽象,其中最重要的一点是提出Pod的概念,Kubernetes的最小控制单元是Pod而不是容器,需将容器放在Pod中运行,可以简单地认为Pod是容器的一种延伸扩展,从网络的角度来看,Pod满足以下条件:
(1)每一个Pod都有单独的IP地址,所有Pod都在一个可以直接连通的、扁平的网络空间中。
(2)在一个Pod内可运行至少一个容器,同一个Pod内的所有容器共享同一个网络命名空间。同一个Pod内的所有容器之间共享端口,可直接通过localhost+port来访问。
Kubernetes确定了对一个集群网络的基本要求:
任意两个Pod之间可以直接通向,无需显示地使用NAT进行地址的转换;任意集群节点与任意Pod之间可以直接通信,无需使用明细的地址转换,反之亦然;任意Pod看到自己的IP跟别人看见它所用的IP是一样的,中间不能经过地址转换。
2、Pod网络命名空间:用于隔离Pod的运行环境。
3、注入容器:在Pod网络命名空间中额外运行的隔离组件容器。
如图1所示,其为本申请实施例提供的容器的网络隔离控制系统的结构示意图,容器的网络隔离控制系统可包括中央控制节点11和边缘节点12,本申请实施例的容器的网络隔离控制系统可基于Kubernetes构建集群网络,通过API Server(应用程序接口服务)负责集群各功能模块之间的通信。中央控制节点11可以为一个服务器,也可以为多个服务器,本申请实施例的容器的网络隔离控制系统包括至少一个边缘节点12,各个边缘节点12上设置有边缘节点控制容器,每一边缘节点12上设置有至少两个Pod,可在其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,每一个运行业务容器的Pod中的一组业务容器可运行同一个业务应用,如边缘节点1(Node1)中的Pod-web1中的各业务容器运行Web应用1,Pod-web2中的各业务容器运行Web应用2,边缘节点2(Node2)中的Pod-web1中的各业务容器运行Web应用1,Pod-web3中的各业务容器运行Web应用3。中央控制节点11可包括监控模块(Watcher)、策略数据库、策略接口(Policy API)和发布模块。其中:
中央控制节点11,用于获取网络配置策略,针对每一条网络配置策略,将所述网络配置策略下发至其对应的第一目标业务所属的边缘节点上的边缘节点控制容器。
具体实施时,集群建立后,中央控制节点11创建容器信息数据库,可通过控制API(即API Server)获取各个边缘节点12中的Pod中运行的容器资源信息,其中,容器包括边缘节点控制容器和业务容器,容器资源信息可以但不限于包括以下信息:容器的ID、容器的IP、容器所属边缘节点信息,业务容器运行的业务信息,其中,业务信息可为业务标识信息,也即业务容器ID与业务标识的对应关系,容器资源信息还包括业务容器ID与其所属的Pod网络命名空间标识的对应关系,其中,对于运行有业务容器的Pod,可以将其包含的任一业务容器的ID作为该Pod网络命名空间标识。中央控制节点11将获取的容器资源信息存储与容器信息数据库中。
中央控制节点11创建监控模块,即Pod-Watcher,监控模块用于实时监测各边缘节点12的容器资源变化,如新增容器、删除容器、容器IP的修改等,若监测到容器资源发生变化,则在容器信息数据库中进行同步修改。
中央控制节点11创建策略数据库,策略数据库用于存储获取的网络配置策略,当网络配置策略更新时,在策略数据库中进行同步更新。其中,网络配置策略可以但不限于为以下策略:路由策略(iptables规则)与netfliter策略(即防火墙网络过滤策略)等,网络配置策略可以用于边缘节点12中运行的容器的网络隔离。
在实时过程中,中央控制节点11可通过设置的策略接口接收客户端发送的网络配置策略,针对每一条网络配置策略,解析该条网络配置策略对应的目标业务(可记为第一目标业务),从容器信息数据库中查找第一目标业务对应的业务容器所属的边缘节点12,将该条网络配置策略通过发布模块下发至其对应的第一目标业务所属的边缘节点12上的边缘节点控制容器。
这样,中央控制节点11仅需将与业务对应的网络配置策略下发至业务所属的边缘节点12上,无需对所有边缘节点12下发全局的网络配置策略,可有效提升策略的可维护性。
边缘节点12,用于通过其上运行的边缘节点控制容器解析接收的网络配置策略对应的第一目标业务,并将网络配置策略下发至第一目标业务对应的Pod网络命名空间,以在第一目标业务对应的Pod网络命名空间执行网络配置策略。
具体实施时,边缘节点12中的边缘节点控制容器启动后,在内存中建立与该边缘节点12中业务容器的连接,预先获取该边缘节点12中业务容器ID与业务标识的对应关系,以及业务容器ID与其所属的Pod网络命名空间标识的对应关系,这样即可得到业务标识、Pod网络命名空间标识与业务容器ID之间的对应关系,并将其存入缓存中。若边缘节点控制容器需要对Pod网络命名空间进行操作时(如下发网络配置策略),则可通过“/Proc/pid/ns/net”文件句柄直接操作相应的Pod网络命名空间,通过“netlink”配置对应的网络配置策略。
边缘节点12,具体用于通过其上运行的边缘节点控制容器根据存储的业务标识与Pod网络命名空间标识的对应关系确定第一目标业务对应的第一Pod网络命名空间标识,并将网络配置策略下发至第一Pod网络命名空间标识对应的Pod网络命名空间,以在第一Pod网络命名空间标识对应的Pod网络命名空间执行网络配置策略。
具体地,边缘节点12中的边缘节点控制容器接收中央控制节点11下发的网络策略后,从该条网络配置策略中解析出其对应的第一目标业务,进而,边缘节点控制容器从缓存的业务标识与Pod网络命名空间标识的对应关系中查找该第一目标业务对应的Pod网络命名空间标识(可记为第一Pod网络命名空间标识),边缘节点控制容器将该条网络配置策略下发至第一Pod网络命名空间标识对应的Pod网络命名空间,在第一Pod网络命名空间标识对应的Pod网络命名空间执行该条网络配置策略。
在一种可能的实施方式中,中央控制节点11,还用于若确定任一网络配置策略更新时,则向更新的网络配置策略对应的第二目标业务所属的边缘节点上的边缘节点控制容器发送策略更新指示消息,策略更新指示消息中携带有更新的网络配置策略。
具体实施时,若中央控制节点11接收到客户端针对缓存的任一条网络配置策略的更新的网络配置策略时,从更新的网络配置策略中解析出其对应的第二目标业务,进而,从容器信息数据库中查找第二目标业务对应的业务容器所属的边缘节点12,将该条网络配置策略携带在策略更新指示消息中,通过发布模块将策略更新指示消息下发至其对应的第二目标业务所属的边缘节点12上的边缘节点控制容器。
中央控制节点,还用于若确定任一网络配置策略更新时,则将更新的网络配置策略替换更新前的网络配置策略。
边缘节点12,还用于通过其上运行的边缘节点控制容器解析接收的更新的网络配置策略对应的第二目标业务,根据业务标识与Pod网络命名空间标识的对应关系确定第二目标业务标识对应的第二Pod网络命名空间标识,并将更新的网络配置策略下发至第二Pod网络命名空间标识对应的Pod网络命名空间进行策略更新。
具体实施时,边缘节点12上运行的边缘节点控制容器接收到中央控制节点11下发的策略更新指示消息后,从策略更新指示消息中提取出更新的网络配置策略,从更新的网络配置策略中解析出其对应的第二目标业务,进而,边缘节点控制容器从缓存的业务标识与Pod网络命名空间标识的对应关系中查找该第二目标业务对应的Pod网络命名空间标识(可记为第二Pod网络命名空间标识),边缘节点控制容器将该条更新的网络配置策略下发至第二Pod网络命名空间标识对应的Pod网络命名空间,在第二Pod网络命名空间标识对应的Pod网络命名空间执行该条更新的网络配置策略。
在一种可能的实施方式中,中央控制节点11,还用于若确定监测到任意边缘节点12的Pod中的业务容器资源属性更新时,则将所述任意边缘节点12的Pod中的业务容器对应的业务相应的当前网络配置策略下发至所述任意边缘节点12上的边缘节点控制容器。
具体实施时,中央控制节点11若确定监测到任意边缘节点12的Pod中的业务容器资源属性更新时,如业务容器删除、新增、IP修改等,则从策略数据库中查找与该任意边缘节点12的Pod中的业务容器对应的业务相对应的当前网络配置策略,将当前网络配置策略通过发布模块下发至该任意边缘节点12上的边缘节点控制容器。
任意边缘节点12,用于通过其上运行的边缘节点控制容器将接收的当前网络配置策略下发至资源属性发生更新的业务容器所属的Pod网络命名空间,按照当前网络配置策略对资源属性发生更新的业务容器执行相应的处理。
具体实施时,该任意边缘节点12上的边缘节点控制容器接收到中央控制节点11发送的当前网络配置策略后,边缘节点控制容器从网络配置策略中解析出其对应的业务,也就是资源属性发生更新的业务容器对应的业务,进而,边缘节点控制容器从缓存的业务标识与Pod网络命名空间标识的对应关系中查找该资源属性发生更新的业务容器对应的业务所述对应的Pod网络命名空间标识,边缘节点控制容器将该当前网络配置策略下发至该Pod网络命名空间标识对应的Pod网络命名空间,按照该当前网络配置策略对资源属性发生更新的业务容器执行相应的处理。
在一种可能的实施方式中,边缘节点12,还用于通过其上运行的边缘节点控制容器按照预设时间周期检测所述边缘节点12上的各个Pod网络命名空间的当前执行策略是否与中央控制节点11当前存储的网络配置策略相符,若确定不相符,则根据中央控制节点11当前存储的网络配置策略修改相应Pod网络命名空间的执行策略。
具体实施时,边缘节点12上运行的边缘节点控制容器还可按照预设时间周期检测该边缘节点12上包含的各个Pod网络命名空间的当前执行策略是否与中央控制节点11当前存储的各个Pod网络命名空间对应的业务相应的网络配置策略相符,如果任意Pod网络命名空间的当前执行策略与中央控制节点11当前存储的该任意Pod网络命名空间对应的业务相应的网络配置策略不相符,边缘节点控制容器则将该任意Pod网络命名空间的当前执行策略修改为中央控制节点11当前存储的该任意Pod网络命名空间对应的业务相应的网络配置策略,从而保证了Pod网络命名空间的当前执行策略与中央控制节点11中存储的该Pod网络命名空间对应的业务相应的网络配置策略的一致性,提高了容器运行网络规则的准确性。
本申请实施例提供的容器的网络隔离控制系统中,在每一边缘节点上分别设置一个边缘节点控制容器,中央控制节点将每条网络配置策略下发至该条网络配置策略相应的第一目标业务所属的边缘节点的边缘节点控制容器中,由边缘节点控制容器解析出该条网络配置策略对应的第一目标业务,将该条网络配置策略下发至该第一目标业务所对应的Pod网络命名空间,直接在相应的Pod网络命名空间独立控制网络配置策略的执行,实现Pod中容器网络的隔离,这样,直接在Pod网络命名空间上操作网络配置策略,既无需在每个Pod网络命名空间中注入容器,避免了对Pod中业务容器结构的改造,节约了计算资源,中央控制节点也无需对所有边缘节点下发全局的网络配置策略,提升了策略的可维护性,减少了对宿主机命名空间规则的修改和依赖。
基于同一发明构思,本申请实施例还提供了一种中央控制节点侧实施的容器的网络隔离控制方法,由于上述容器的网络隔离控制方法解决问题的原理与容器的网络隔离控制系统相似,因此上述方法的实施可以参见系统的实施,重复之处不再赘述。
如图2所示,为本申请实施例提供的中央控制节点侧实施的容器的网络隔离控制方法的实施流程示意图,应用于本申请实施例所述的容器的网络隔离控制系统,所述容器的网络隔离控制系统包括中央控制节点和边缘节点,各个边缘节点上设置有边缘节点控制容器,每一边缘节点上设置有至少两个Pod,其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,所述方法,包括:
S21、中央控制节点获取网络配置策略。
S22、针对每一条网络配置策略,将网络配置策略下发至其对应的第一目标业务所属的边缘节点上的边缘节点控制容器,以由边缘节点控制容器解析接收的网络配置策略对应的第一目标业务,并将网络配置策略下发至第一目标业务对应的Pod网络命名空间,以在第一目标业务对应的Pod网络命名空间执行所述网络配置策略。
在一种可能的实施方式中,所述方法,还包括:
若确定任一网络配置策略更新时,则向更新的网络配置策略对应的第二目标业务所属的边缘节点上的边缘节点控制容器发送策略更新指示消息,所述策略更新指示消息中携带有所述更新的网络配置策略,以使所述边缘节点控制容器解析接收的所述更新的网络配置策略对应的第二目标业务,并将所述更新的网络配置策略下发至所述第二目标业务对应的Pod网络命名空间进行策略更新。
在一种可能的实施方式中,所述方法,还包括:
若确定所述任一网络配置策略更新时,则将所述更新的网络配置策略替换更新前的网络配置策略。
在一种可能的实施方式中,所述方法,还包括:
若确定监测到任意边缘节点的Pod中的业务容器资源属性更新时,则将所述任意边缘节点的Pod中的业务容器对应的业务相应的当前网络配置策略下发至所述任意边缘节点上的边缘节点控制容器,以使所述任意边缘节点上的边缘节点控制容器将接收的所述当前网络配置策略下发至资源属性发生更新的业务容器所属的Pod网络命名空间,按照所述当前网络配置策略对所述资源属性发生更新的业务容器执行相应的处理。
基于同一发明构思,本申请实施例还提供了一种中央控制节点侧实施的容器的网络隔离控制装置,由于上述容器的网络隔离控制装置解决问题的原理与容器的网络隔离控制系统相似,因此上述装置的实施可以参见系统的实施,重复之处不再赘述。
如图3所示,为本申请实施例提供的中央控制节点侧实施的容器的网络隔离控制装置的结构示意图,应用于本申请实施例所述的容器的网络隔离控制系统,所述容器的网络隔离控制系统包括中央控制节点和边缘节点,各个边缘节点上设置有边缘节点控制容器,每一边缘节点上设置有至少两个Pod,其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,所述装置,包括:
获取单元31,用于获取网络配置策略;
发布单元32,用于针对每一条网络配置策略,将所述网络配置策略下发至其对应的第一目标业务所属的边缘节点上的边缘节点控制容器,以由所述边缘节点控制容器解析接收的所述网络配置策略对应的所述第一目标业务,并将所述网络配置策略下发至所述第一目标业务对应的Pod网络命名空间,以在所述第一目标业务对应的Pod网络命名空间执行所述网络配置策略。
在一种可能的实施方式中,所述发布单元32,还用于若确定任一网络配置策略更新时,则向更新的网络配置策略对应的第二目标业务所属的边缘节点上的边缘节点控制容器发送策略更新指示消息,所述策略更新指示消息中携带有所述更新的网络配置策略,以使所述边缘节点控制容器解析接收的所述更新的网络配置策略对应的第二目标业务,并将所述更新的网络配置策略下发至所述第二目标业务对应的Pod网络命名空间进行策略更新。
在一种可能的实施方式中,所述装置,还包括:
更新单元,用于若确定所述任一网络配置策略更新时,则将所述更新的网络配置策略替换更新前的网络配置策略。
在一种可能的实施方式中,所述发布单元32,还用于若确定监测到任意边缘节点的Pod中的业务容器资源属性更新时,则将所述任意边缘节点的Pod中的业务容器对应的业务相应的当前网络配置策略下发至所述任意边缘节点上的边缘节点控制容器,以使所述任意边缘节点上的边缘节点控制容器将接收的所述当前网络配置策略下发至资源属性发生更新的业务容器所属的Pod网络命名空间,按照所述当前网络配置策略对所述资源属性发生更新的业务容器执行相应的处理。
基于同一发明构思,本申请实施例还提供了一种边缘节点侧实施的容器的网络隔离控制方法,由于上述容器的网络隔离控制方法解决问题的原理与容器的网络隔离控制系统相似,因此上述方法的实施可以参见系统的实施,重复之处不再赘述。
如图4所示,为本申请实施例提供的边缘节点侧实施的容器的网络隔离控制方法的实施流程示意图,应用于本申请实施例所述的容器的网络隔离控制系统,所述容器的网络隔离控制系统包括中央控制节点和边缘节点,各个边缘节点上设置有边缘节点控制容器,每一边缘节点上设置有至少两个Pod,其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,所述方法,包括:
S41、边缘节点上运行的边缘节点控制容器接收中央控制节点下发的网络配置策略。
其中,边缘节点为网络配置策略对应的第一目标业务所属的边缘节点。
S42、解析网络配置策略对应的第一目标业务。
S43、将网络配置策略下发至第一目标业务对应的Pod网络命名空间,以在第一目标业务对应的Pod网络命名空间执行所述网络配置策略。
在一种可能的实施方式中,将网络配置策略下发至第一目标业务对应的Pod网络命名空间,以在第一目标业务对应的Pod网络命名空间执行所述网络配置策略,具体包括:
根据存储的业务标识与Pod网络命名空间标识的对应关系确定所述第一目标业务对应的第一Pod网络命名空间标识;
将所述网络配置策略下发至所述第一Pod网络命名空间标识对应的Pod网络命名空间,以在所述第一Pod网络命名空间标识对应的Pod网络命名空间执行所述网络配置策略。
在一种可能的实施方式中,所述方法,还包括:
接收所述中央控制节点发送的策略更新指示消息,所述策略更新指示消息是所述中央控制节点确定所述边缘节点上的第二目标业务对应的网络配置策略更新时向所述边缘节点上运行的所述边缘节点控制容器下发的,所述策略更新指示消息中携带有更新的网络配置策略;
解析所述更新的网络配置策略对应的所述第二目标业务;
将所述更新的网络配置策略下发至所述第二目标业务对应的Pod网络命名空间进行策略更新。
在一种可能的实施方式中,将所述更新的网络配置策略下发至所述第二目标业务对应的Pod网络命名空间进行策略更新,具体包括:
根据所述业务标识与Pod网络命名空间标识的对应关系确定所述第二目标业务标识对应的第二Pod网络命名空间标识;
将所述更新的网络配置策略下发至所述第二Pod网络命名空间标识对应的Pod网络命名空间进行策略更新。
在一种可能的实施方式中,所述方法,还包括:
接收所述中央控制节点下发的当前网络配置策略,所述当前网络配置策略是所述中央控制节点确定监测到所述边缘节点的Pod中的业务容器资源属性更新时向所述边缘节点的所述边缘控制容器下发的;
将所述当前网络配置策略下发至资源属性发生更新的业务容器所属的Pod网络命名空间,按照所述当前网络配置策略对所述资源属性发生更新的业务容器执行相应的处理。
在一种可能的实施方式中,所述方法,还包括:
按照预设时间周期检测所述边缘节点上的各个Pod网络命名空间的当前执行策略是否与所述中央控制节点当前存储的网络配置策略相符;
若确定不相符,则根据所述中央控制节点当前存储的网络配置策略修改相应Pod网络命名空间的执行策略。
基于同一发明构思,本申请实施例还提供了一种边缘节点侧实施的容器的网络隔离控制装置,由于上述容器的网络隔离控制装置解决问题的原理与容器的网络隔离控制系统相似,因此上述装置的实施可以参见系统的实施,重复之处不再赘述。
如图5所示,为本申请实施例提供的边缘节点侧实施的容器的网络隔离控制装置的结构示意图,应用于本申请实施例所述的容器的网络隔离控制系统,所述容器的网络隔离控制系统包括中央控制节点和边缘节点,各个边缘节点上设置有边缘节点控制容器,每一边缘节点上设置有至少两个Pod,其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,所述装置,包括:
接收单元51,用于通过边缘节点上运行的边缘节点控制容器接收所述中央控制节点下发的网络配置策略,所述边缘节点为所述网络配置策略对应的第一目标业务所属的边缘节点;
解析单元52,用于解析所述网络配置策略对应的所述第一目标业务;
下发单元53,用于将所述网络配置策略下发至所述第一目标业务对应的Pod网络命名空间,以在所述第一目标业务对应的Pod网络命名空间执行所述网络配置策略。
在一种可能的实施方式中,所述下发单元53,具体用于根据存储的业务标识与Pod网络命名空间标识的对应关系确定所述第一目标业务对应的第一Pod网络命名空间标识;将所述网络配置策略下发至所述第一Pod网络命名空间标识对应的Pod网络命名空间,以在所述第一Pod网络命名空间标识对应的Pod网络命名空间执行所述网络配置策略。
在一种可能的实施方式中,所述接收单元51,还用于接收所述中央控制节点发送的策略更新指示消息,所述策略更新指示消息是所述中央控制节点确定所述边缘节点上的第二目标业务对应的网络配置策略更新时向所述边缘节点上运行的所述边缘节点控制容器下发的,所述策略更新指示消息中携带有更新的网络配置策略;
所述解析单元52,还用于解析所述更新的网络配置策略对应的所述第二目标业务;
所述下发单元53,还用于将所述更新的网络配置策略下发至所述第二目标业务对应的Pod网络命名空间进行策略更新。
在一种可能的实施方式中,所述下发单元53,具体用于根据所述业务标识与Pod网络命名空间标识的对应关系确定所述第二目标业务标识对应的第二Pod网络命名空间标识;将所述更新的网络配置策略下发至所述第二Pod网络命名空间标识对应的Pod网络命名空间进行策略更新。
在一种可能的实施方式中,所述接收单元51,还用于接收所述中央控制节点下发的当前网络配置策略,所述当前网络配置策略是所述中央控制节点确定监测到所述边缘节点的Pod中的业务容器资源属性更新时向所述边缘节点的所述边缘控制容器下发的;
所述下发单元53,还用于将所述当前网络配置策略下发至资源属性发生更新的业务容器所属的Pod网络命名空间,按照所述当前网络配置策略对所述资源属性发生更新的业务容器执行相应的处理。
在一种可能的实施方式中,所述装置,还包括:
检测单元,用于按照预设时间周期检测所述边缘节点上的各个Pod网络命名空间的当前执行策略是否与所述中央控制节点当前存储的网络配置策略相符;
修改单元,用于若所述检测单元确定不相符,则根据所述中央控制节点当前存储的网络配置策略修改相应Pod网络命名空间的执行策略。
基于同一技术构思,本申请实施例还提供了一种电子设备600,参照图6所示,电子设备600用于实施上述方法实施例记载的容器的网络隔离控制方法,该实施例的电子设备600可以包括:存储器601、处理器602以及存储在所述存储器中并可在所述处理器上运行的计算机程序,例如容器的网络隔离控制方法的实现程序。所述处理器执行所述计算机程序时实现上述各个容器的网络隔离控制方法实施例中的步骤,例如图2所示的步骤S21。或者,所述处理器执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能,例如31。
本申请实施例中不限定上述存储器601、处理器602之间的具体连接介质。本申请实施例在图6中以存储器601、处理器602之间通过总线603连接,总线603在图6中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线603可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器601可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器601也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器601是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器601可以是上述存储器的组合。
处理器602,用于实现如图2所示的一种中央控制节点侧实施的容器的网络隔离控制方法或者实现如图4所示的一种边缘节点侧实施的容器的网络隔离控制方法。
本申请实施例还提供了一种计算机可读存储介质,存储为执行上述处理器所需执行的计算机可执行指令,其包含用于执行上述处理器所需执行的程序。
在一些可能的实施方式中,本申请提供的容器的网络隔离控制方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在电子设备上运行时,所述程序代码用于使所述电子设备执行本说明书上述描述的根据本申请各种示例性实施方式的容器的网络隔离控制方法中的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为系统、方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (12)

1.一种容器的网络隔离控制系统,其特征在于,包括中央控制节点和边缘节点,各个边缘节点上设置有边缘节点控制容器,每一边缘节点上设置有至少两个Pod,其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,其中:
所述中央控制节点,用于获取网络配置策略,针对每一条网络配置策略,将所述网络配置策略下发至其对应的第一目标业务所属的边缘节点上的边缘节点控制容器;
所述边缘节点,用于通过其上运行的边缘节点控制容器解析接收的所述网络配置策略对应的所述第一目标业务,并将所述网络配置策略下发至所述第一目标业务对应的Pod网络命名空间,以在所述第一目标业务对应的Pod网络命名空间执行所述网络配置策略。
2.如权利要求1所述的系统,其特征在于,
所述边缘节点,具体用于通过其上运行的边缘节点控制容器根据存储的业务标识与Pod网络命名空间标识的对应关系确定所述第一目标业务对应的第一Pod网络命名空间标识,并将所述网络配置策略下发至所述第一Pod网络命名空间标识对应的Pod网络命名空间,以在所述第一Pod网络命名空间标识对应的Pod网络命名空间执行所述网络配置策略。
3.如权利要求1或2所述的系统,其特征在于,
所述中央控制节点,还用于若确定任一网络配置策略更新时,则向更新的网络配置策略对应的第二目标业务所属的边缘节点上的边缘节点控制容器发送策略更新指示消息,所述策略更新指示消息中携带有所述更新的网络配置策略;
所述边缘节点,还用于通过其上运行的边缘节点控制容器解析接收的所述更新的网络配置策略对应的第二目标业务,根据所述业务标识与Pod网络命名空间标识的对应关系确定所述第二目标业务标识对应的第二Pod网络命名空间标识,并将所述更新的网络配置策略下发至所述第二Pod网络命名空间标识对应的Pod网络命名空间进行策略更新。
4.如权利要求3所述的系统,其特征在于,
所述中央控制节点,还用于若确定所述任一网络配置策略更新时,则将所述更新的网络配置策略替换更新前的网络配置策略。
5.如权利要求4所述的系统,其特征在于,
所述中央控制节点,还用于若确定监测到任意边缘节点的Pod中的业务容器资源属性更新时,则将所述任意边缘节点的Pod中的业务容器对应的业务相应的当前网络配置策略下发至所述任意边缘节点上的边缘节点控制容器;
所述任意边缘节点,用于通过其上运行的边缘节点控制容器将接收的所述当前网络配置策略下发至资源属性发生更新的业务容器所属的Pod网络命名空间,按照所述当前网络配置策略对所述资源属性发生更新的业务容器执行相应的处理。
6.如权利要求4所述的系统,其特征在于,
所述边缘节点,还用于通过其上运行的边缘节点控制容器按照预设时间周期检测所述边缘节点上的各个Pod网络命名空间的当前执行策略是否与所述中央控制节点当前存储的网络配置策略相符,若确定不相符,则根据所述中央控制节点当前存储的网络配置策略修改相应Pod网络命名空间的执行策略。
7.一种容器的网络隔离控制方法,其特征在于,应用于如权利要求1~6任一项所述的容器的网络隔离控制系统,所述容器的网络隔离控制系统包括中央控制节点和边缘节点,各个边缘节点上设置有边缘节点控制容器,每一边缘节点上设置有至少两个Pod,其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,所述方法,包括:
所述中央控制节点获取网络配置策略;
针对每一条网络配置策略,将所述网络配置策略下发至其对应的第一目标业务所属的边缘节点上的边缘节点控制容器,以由所述边缘节点控制容器解析接收的所述网络配置策略对应的所述第一目标业务,并将所述网络配置策略下发至所述第一目标业务对应的Pod网络命名空间,以在所述第一目标业务对应的Pod网络命名空间执行所述网络配置策略。
8.如权利要求7所述的方法,其特征在于,还包括:
若确定任一网络配置策略更新时,则向更新的网络配置策略对应的第二目标业务所属的边缘节点上的边缘节点控制容器发送策略更新指示消息,所述策略更新指示消息中携带有所述更新的网络配置策略,以使所述边缘节点控制容器解析接收的所述更新的网络配置策略对应的第二目标业务,并将所述更新的网络配置策略下发至所述第二目标业务对应的Pod网络命名空间进行策略更新。
9.一种容器的网络隔离控制方法,其特征在于,应用于如权利要求1~6任一项所述的容器的网络隔离控制系统,所述容器的网络隔离控制系统包括中央控制节点和边缘节点,各个边缘节点上设置有边缘节点控制容器,每一边缘节点上设置有至少两个Pod,其中一个Pod上运行边缘节点控制容器,其他各Pod上运行有至少一个业务容器,所述方法,包括:
边缘节点上运行的边缘节点控制容器接收所述中央控制节点下发的网络配置策略,所述边缘节点为所述网络配置策略对应的第一目标业务所属的边缘节点;
解析所述网络配置策略对应的所述第一目标业务;
将所述网络配置策略下发至所述第一目标业务对应的Pod网络命名空间,以在所述第一目标业务对应的Pod网络命名空间执行所述网络配置策略。
10.如权利要求9所述的方法,其特征在于,还包括:
接收所述中央控制节点发送的策略更新指示消息,所述策略更新指示消息是所述中央控制节点确定所述边缘节点上的第二目标业务对应的网络配置策略更新时向所述边缘节点上运行的所述边缘节点控制容器下发的,所述策略更新指示消息中携带有更新的网络配置策略;
解析所述更新的网络配置策略对应的所述第二目标业务;
将所述更新的网络配置策略下发至所述第二目标业务对应的Pod网络命名空间进行策略更新。
11.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求7~10任一项所述的容器的网络隔离控制方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求7~10任一项所述的容器的网络隔离控制方法中的步骤。
CN202210746639.9A 2022-06-28 2022-06-28 容器的网络隔离控制系统、方法、电子设备及存储介质 Pending CN115048188A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210746639.9A CN115048188A (zh) 2022-06-28 2022-06-28 容器的网络隔离控制系统、方法、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210746639.9A CN115048188A (zh) 2022-06-28 2022-06-28 容器的网络隔离控制系统、方法、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN115048188A true CN115048188A (zh) 2022-09-13

Family

ID=83163162

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210746639.9A Pending CN115048188A (zh) 2022-06-28 2022-06-28 容器的网络隔离控制系统、方法、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN115048188A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115801569A (zh) * 2023-02-07 2023-03-14 苏州浪潮智能科技有限公司 一种访问规则部署方法、装置、设备、介质及云平台
CN116389513A (zh) * 2023-05-29 2023-07-04 宜宾四川大学产业技术研究院 基于云架构的多机器人视觉协同通信控制方法及系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115801569A (zh) * 2023-02-07 2023-03-14 苏州浪潮智能科技有限公司 一种访问规则部署方法、装置、设备、介质及云平台
CN116389513A (zh) * 2023-05-29 2023-07-04 宜宾四川大学产业技术研究院 基于云架构的多机器人视觉协同通信控制方法及系统
CN116389513B (zh) * 2023-05-29 2023-08-04 宜宾四川大学产业技术研究院 基于云架构的多机器人视觉协同通信控制方法及系统

Similar Documents

Publication Publication Date Title
US20200218701A1 (en) Consistent data storage in distributed computing systems
EP3667500B1 (en) Using a container orchestration service for dynamic routing
CN115048188A (zh) 容器的网络隔离控制系统、方法、电子设备及存储介质
AU2015401229B2 (en) Website access method, apparatus, and website system
CN104486445B (zh) 一种基于云平台的分布式可扩展资源监控系统
EP3709227A1 (en) System and method for interoperable communication of an automation system component with multiple information sources
US10447553B2 (en) Systems and methods for service-aware mapping of a system infrastructure
US20150188789A1 (en) Monitoring for managed services
US20200322218A1 (en) Detect impact of network maintenance in software defined infrastructure
CN114791846B (zh) 一种针对云原生混沌工程实验实现可观测性的方法
CN105893542A (zh) 一种云存储系统中的冷数据文件重分布方法及系统
CN111966482B (zh) 边缘计算系统
CN113037891B (zh) 边缘计算系统中有状态应用的访问方法、装置及电子设备
CN108881066A (zh) 一种路由请求的方法、接入服务器以及存储设备
CN117389830A (zh) 集群日志采集方法、装置、计算机设备及存储介质
CN115883407A (zh) 一种数据采集方法、系统、设备及存储介质
CN113127526A (zh) 一种基于Kubernetes的分布式数据存储和检索系统
CN109274734B (zh) 一种基于物联网云平台的服务进程调用方法及装置
CN112181049B (zh) 集群时间同步方法、装置、系统、设备及可读存储介质
CN112069152B (zh) 一种数据库集群升级方法、装置、设备以及存储介质
CN113535262A (zh) 一种代理节点的启动控制方法、装置、设备及存储介质
CN107180034A (zh) MySQL数据库的集群系统
CN113032356A (zh) 一种客舱分布式文件存储系统及实现方法
CN104536785A (zh) 实时系统更新方法及装置
CN101207518B (zh) 一种面向分布式资源节点的异步维护系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination