CN116846667A - 网络系统、网络工作节点、网络管控和网络隔离方法 - Google Patents
网络系统、网络工作节点、网络管控和网络隔离方法 Download PDFInfo
- Publication number
- CN116846667A CN116846667A CN202310937348.2A CN202310937348A CN116846667A CN 116846667 A CN116846667 A CN 116846667A CN 202310937348 A CN202310937348 A CN 202310937348A CN 116846667 A CN116846667 A CN 116846667A
- Authority
- CN
- China
- Prior art keywords
- network
- virtual
- container
- network card
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 21
- 238000004891 communication Methods 0.000 claims abstract description 31
- 238000000034 method Methods 0.000 claims abstract description 30
- 238000012545 processing Methods 0.000 claims abstract description 8
- 238000013507 mapping Methods 0.000 claims description 5
- 238000004806 packaging method and process Methods 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 57
- 230000000875 corresponding effect Effects 0.000 description 38
- 206010047289 Ventricular extrasystoles Diseases 0.000 description 27
- 238000005129 volume perturbation calorimetry Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 10
- 101100438971 Caenorhabditis elegans mat-1 gene Proteins 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 101100029259 Zinnia violacea POD4 gene Proteins 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
Abstract
本发明提供一种网络系统、网络工作节点、网络管控和网络隔离方法。网络系统包括:容器网络服务器接口部署于网络工作节点内,容器网络服务器接口用于:在网络工作节点内创建容器时,为容器创建对应的标识,请求网络管控创建容器对应的虚拟网卡,并将根据虚拟网卡和标识生成虚拟端口创建请求发送至网络管控,虚拟网卡的第一通信端口与网络系统的操作系统主命名空间关联,虚拟网卡的第二通信端口与容器的命名空间关联;网络管控,用于根据虚拟端口创建请求创建虚拟端口,对虚拟端口分配IP地址;并将IP地址反馈至容器网络服务器接口;虚拟基础网络,用于根据虚拟网卡的标识信息和IP地址进行网络数据的处理。本发明实施例可以实现网络安全隔离。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种网络系统、网络工作节点、网络管控和网络隔离方法。
背景技术
云计算(Cloud Computing),是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需求提供给计算机和其他设备。K8S(Kubernetes)是一个开源的,用于管理云平台中多个主机上的容器化的应用,大规模用于云计算环境,是云原生领域的重要技术之一。
目前,多租户共享时,K8S集群无法实现网络的安全隔离。
发明内容
本发明实施例提供一种网络系统、网络工作节点、网络管控和网络隔离方法,以解决K8S集群无法实现网络的安全隔的问题。
为解决上述问题,本发明是这样实现的:
第一方面,本发明实施例提供了一种网络系统,所述网络系统包括:容器网络服务器接口、网络管控和虚拟基础网络;
所述容器网络服务器接口部署于网络工作节点内,所述容器网络服务器接口用于:在所述网络工作节点内创建容器时,为所述容器创建对应的标识,请求所述网络管控创建所述容器对应的虚拟网卡,并将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控,所述虚拟网卡和所述标识一一对应,所述虚拟网卡的第一通信端口与所述网络系统的操作系统主命名空间关联,所述虚拟网卡的第二通信端口与容器的命名空间关联;
所述网络管控,用于根据所述虚拟端口创建请求创建虚拟端口,对所述虚拟端口分配IP地址;并将所述IP地址反馈至所述容器网络服务器接口;
所述虚拟基础网络,用于根据所述虚拟网卡的标识信息和IP地址进行网络数据的处理。
第二方面,本发明实施例提供了一种网络工作节点,包括:
所述网络工作节点内设置有容器网络服务器接口和至少一个容器,所述容器网络服务器接口用于在所述网络工作节点内创建所述容器时,为所述容器创建对应的标识,请求网络管控创建对应的虚拟网卡,并将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控,所述虚拟网卡和所述标识一一对应,所述虚拟网卡的第一通信端口与所述网络系统的操作系统主命名空间关联,所述虚拟网卡的第二通信端口与容器的命名空间关联。
第三方面,本发明实施例提供了一种网络管控,所述网络管控,用于:在接收到容器网络服务器接口发送的创建虚拟网卡的指令后创建所述容器对应的虚拟网卡,所述创建虚拟网卡的指令由所述容器网络服务器接口在创建所述容器时生成,并向所述容器网络服务器接口反馈所述虚拟网卡的信息;
接收所述容器网络服务器接口发送的虚拟端口创建请求,根据所述虚拟端口创建请求创建虚拟端口,对所述虚拟端口分配IP地址;并将所述IP地址反馈至所述容器网络服务器接口,所述虚拟端口创建请求由所述容器网络服务器接口根据所述容器的虚拟网卡和标识生成。
第四方面,本发明实施例提供了一种网络隔离方法,所述网络隔离方法包括:
在所述网络工作节点内创建容器时,容器网络服务器接口为所述容器创建对应的标识,并请求网络系统中网络管控创建对应的虚拟网卡;
所述容器网络服务器接口将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控,所述虚拟网卡和所述标识一一对应,所述虚拟网卡的一端位于所述网络系统的操作系统主命名空间,另一端位于对应容器的命名空间;
所述网络管控根据所述虚拟端口创建请求创建虚拟端口,对所述虚拟端口分配IP地址;并将所述IP地址反馈至所述容器网络服务器接口;
虚拟基础网络根据所述虚拟网卡的标识信息和IP地址进行网络数据的处理。
第五方面,本发明实施例还提供一种可读存储介质,用于存储程序,所述程序被处理器执行时实现如前述第四方面所述方法中的步骤。
本发明实施例通过将容器网络服务器接口部署于网络工作节点内,该容器网络服务器接口在所述网络工作节点内创建容器时,为所述容器创建对应的标识,请求所述网络管控创建所述容器对应的虚拟网卡,如此给容器生成了一个专属通信通道,容器网络服务器接口将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控,所述虚拟网卡和所述标识一一对应,所述虚拟网卡的第一通信端口与所述网络系统的操作系统主命名空间关联,所述虚拟网卡的第二通信端口与容器的命名空间关联;然后网络管控根据所述虚拟端口创建请求创建虚拟端口,对所述虚拟端口分配IP地址;并将所述IP地址反馈至所述容器网络服务器接口;如此虚拟基础网络根据所述虚拟网卡的标识信息和IP地址进行网络数据的处理。由于容器都具有对应的标识和虚拟网卡,在网络数据的处理过程中即可对网络数据进行区分,从而确定对应的容器,实现每个容器网络的安全隔离。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例可应用的通信系统的结构示意图;
图2是本发明实施例提供的网络系统的架构示意图之一;
图3是本发明实施例提供的网络系统的架构示意图之一;
图4是本发明实施例提供的虚拟网卡创建过程流转示意图;
图5是本发明实施例提供的多租户共享数据的流转示意图之一;
图6是本发明实施例提供的多租户共享数据的流转示意图之一;
图7是本发明实施例提供的网络工作节点的架构示意图之一;
图8是本发明实施提供的网络安全隔离方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。此外,本发明中使用“和/或”表示所连接对象的至少其中之一,例如A和/或B和/或C,表示包含单独A,单独B,单独C,以及A和B都存在,B和C都存在,A和C都存在,以及A、B和C都存在的7种情况。
请参见图1,图1是本发明实施例可应用的通信系统的结构图,如图1所示,包括网络系统100以及多个智能设备200,网络系统100包括多个网络工作节点10构成的k8s集群。
其中,多个网络工作节点10属于的k8s集群,每个网络工作节点10内包括至少一个容器POD,每个智能设备200作为租户可以与任一网络工作节点10中一个或者多个容器进行数据通信,即多个智能设备200作为租户可以共享k8s集群中的多个网络工作节点10。
网络工作节点10和智能设备200均可以是手机、平板电脑(Tablet PersonalComputer)、膝上型电脑(Laptop Computer)、个人数字助理(Personal DigitalAssistant,PDA)、移动上网装置(Mobile Internet Device,MID)或可穿戴式设备(Wearable Device)等可以访问互联网和存储数据的设备。以下对本发明实施例提供的网络系统进行说明。
参见图2,图2是本发明实施例提供的网络系统的架构示意图之一。
如图2所示,网络系统100可以包括:容器网络服务器接口11、网络管控20和虚拟基础网络30;
所述容器网络服务器接口11部署于网络工作节点10内,所述容器网络服务器接口11用于:在所述网络工作节点10内创建容器12时,为所述容器12创建对应的标识VID,请求所述网络管控20创建所述容器12对应的虚拟网卡,并将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控20,所述虚拟网卡和所述标识一一对应,所述虚拟网卡的第一通信端口与所述网络系统的操作系统主命名空间关联,所述虚拟网卡的第二通信端口与容器的命名空间关联。
具体的,用户可以通过K8S平台在网络工作节点10(K8S node)中创建容器POD,从而使得每个网络工作节点10具有至少一个容器POD,在创建容器的过程中,容器网络服务器接口11为所述容器创建对应的标识(VID),并请求网络管控20创建所述容器对应的虚拟网卡,网络管控20创建所述容器对应的虚拟网卡后将虚拟网卡的信息反馈给容器网络服务器接口11,从而完成虚拟网卡的创建。需要说明的是,虚拟网卡和标识一一对应的,一个容器或者多个容器拥有一套虚拟网卡和标识。虚拟网卡的第一通信端口与所述网络系统的操作系统主命名空间关联,所述虚拟网卡的第二通信端口与容器的命名空间关联,即将虚拟网卡的一端放置在网络系统的操作系统主命名空间,一端放置在容器的命名空间,这样该网络工作节点主控机与网络工作节点中的容器能够进行通信的通道。
在虚拟网卡创建完成后,容器网络服务器接口11将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控20。
网络管控20,用于根据所述虚拟端口创建请求创建虚拟端口,对所述虚拟端口分配IP地址;并将所述IP地址反馈至所述容器网络服务器接口11。
具体的,网络管控20接收到创建请求创建虚拟端口后给,根据虚拟端口创建请求创建虚拟端口,对所述虚拟端口分配IP地址,并将所述IP地址反馈至所述容器网络服务器接口11。
虚拟基础网络30,用于根据所述虚拟网卡的标识信息和IP地址进行网络数据的处理。
在创建虚拟网卡和给该虚拟网卡分配好IP地址后,即可利用虚拟网卡的标识信息和IP地址进行网络数据的处理,网络数据的处理可以包括将容器内的数据发送给外界终端,或者外界终端将其数据发送至容器。
本发明实施例通过将容器网络服务器接口部署于网络工作节点内,该容器网络服务器接口在所述网络工作节点内创建容器时,为所述容器创建对应的标识,请求所述网络管控创建所述容器对应的虚拟网卡,如此给容器生成了一个专属通信通道,容器网络服务器接口将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控,所述虚拟网卡和所述标识一一对应,所述虚拟网卡的第一通信端口与所述网络系统的操作系统主命名空间关联,所述虚拟网卡的第二通信端口与容器的命名空间关联;然后网络管控根据所述虚拟端口创建请求创建虚拟端口,对所述虚拟端口分配IP地址;并将所述IP地址反馈至所述容器网络服务器接口;如此虚拟基础网络根据所述虚拟网卡的标识信息和IP地址进行网络数据的处理。由于容器都具有对应的标识和虚拟网卡,在网络数据的处理过程中即可对网络数据进行区分,从而确定对应的容器,实现每个容器网络的安全隔离。
可选地,在一些实施例中,所述容器网络服务器接口,用于:在创建所述容器时,所述容器网络服务器接口通过所述网络系统的数据服务器向所述网络管控发送虚拟网卡的创建请求;
所述网络管控,用于根据所述虚拟网卡的创建请求创建对应的虚拟网卡,并将所述虚拟网卡的信息反馈至所述容器网络服务器接口;
所述容器网络服务器接口,用于:将所述虚拟网卡的网络IP地址和标识写入所述容器的虚拟网卡,以完成所述虚拟网卡的创建。
具体的,如图3所示,该网络系统包括:网络工作节点10、网络管控20和虚拟基础网络30,还包括K8S平台管理器(K8S master),
容器网络服务器接口11为天池容器网络服务接口TCNI(Tianchi ContainerNetwork Interface,即天池CNI插件),部署于K8S node节点,其可以请求天池网络管控创建虚拟网卡(veth-pair),虚拟网卡veth一端放置操作系统主命名空间(物理网卡同命名空间),另一端放置容器POD命名空间;创建虚拟网卡时,TCNI为网卡分配VID(Vlan ID,node上不同的虚拟网卡VID不同,不同node上的虚拟网卡VID可以相同),TCNI本地维护虚拟网卡与VID的对应关系。TCNI根据指定的网络、子网及VID,向天池网络管控服务发起请求,申请创建VPC内的port(虚拟端口,VPC内的虚拟网卡),天池网络为port分配IP地址,并将IP返回给TCNI。
对应的,网络管控20,用于:根据所述虚拟网卡的创建请求分配所述虚拟网卡的物理网络地址和所述虚拟网卡的网络IP地址。
天池网络管控(以下称之为VPC control,简称VPC-C,Tianchi API server为VPC-C能力开放服务,Tianchi Cache提供数据缓存服务,Tianchi API server和Tianchi Cache共同组成VPC-C)是SDN网络的管理和调度系统,负责分配port(包括VPC内IP),为port绑定TCNI传递过来的VID,将包含VID的port信息下发给虚拟基础网络。
虚拟基础网络30(Virtual Net,简称vNET)负责VPC内云主机IP地址的转换、流量控制及流表生成和下发,具体包括:
1、接收从VPC-C下发的port信息,构建流表,并将VID信息填充到流表中;
2、数据从云主机发出时携带VID,从vNET发到物理网卡时,去除VID;
3、数据从物理网卡接收时不含VID,从vNET发到云主机时携带VID。
可选地,在一些实施例中,如图4所示,所述网络管控20,用于:
将所述虚拟网卡的信息写入高速缓存存储器,以对所述容器生成默认路由表。
所述容器网络服务器接口,还用于:在将所述虚拟网卡的信息写入高速缓存存储器后,向所述虚拟基础网络发送对应的事件信息;
所述虚拟基础网络根据所述事件信息从所述高速缓存存储器中读取所述虚拟网卡的信息,并将读取的所述虚拟网卡的信息与所述网络工作节点的虚拟网卡建立映射关系。
具体的,K8S创建容器POD时,TCNI通过K8S metadata server代理向VPC-C的能力开放服务Tianchi API server发起创建虚拟网卡请求(create_fix_ip),并将K8S node的虚拟网卡信息传递给VPC-C,同时TCNI为容器POD的虚拟网卡生成VID;Tianchi API server(Vnet的管理器)收到请求后,完成控制虚拟网卡的创建(包括分配虚拟网卡VPC IP地址,如图中的192.168.100.4和虚拟网卡物理网络地址,如图中的172.10.111.23,物理网络地址只能在数据中内部路由)。
Tianchi API server将虚拟网卡信息返回给TCNI,同时将虚拟网卡信息写入Tianchi Cache;TCNI将ip地址等信息写入容器POD虚拟网卡,为容器POD生成默认路由表,在创建首个容器POD时将k8s node的网卡(图中的eth0)属性修改为trunk(即允许多vlan数据报文进入网卡),容器POD网卡为k8snode网卡的子网卡;Tianchi Cache写入缓存数据后,向Tianchi vNET发送事件,Tianchi Agent(vNET中专门处理Cache层事件和数据交互的组建)从Tianchi Cache中将容器POD虚拟网卡信息读出并写入vNET中。(容器POD虚拟网卡下发事件接收的Tianchi Agent与K8S node所在的vNET Agent相同,此信息通过a流程中的K8S node虚拟网卡信息获得),并且将容器POD的虚拟网卡信息(vport)与K8S node虚拟网卡信息(vport)做关联映射,即vNET层K8S node与容器POD的虚拟网卡使用同一个虚拟化通道实现vNET与K8S node网卡的通信。
Tianchi Agent将Tianchi Cache中的虚拟网卡信息经过数据加工处理,vNET为虚拟网卡创建vport(虚拟端口,用于挂载虚拟交换机上,完成数据在虚拟交换机和k8s node网卡之间的数据传输),将vport与k8s node网卡的vport做关联,并下发指导数据出入容器POD的流表转发规则。
可选地,在一些实施例中,所述虚拟基础网络30,还用于:在接收到所述容器发送的第一数据时,基于预设的流表转发规则将所述第一数据中所述容器的标识去除,并按照接收所述数据的设备的路由和网络隧道进行封装。
所述虚拟基础网络30,还用于:在接收到外界发送的第二数据时,基于预设的流表转发规则去除所述第二数据中的隧道信息,并将目标容器的标识加入所述第二数据,将加入目标容器的标识的第二数据通过所述虚拟网卡发送至对应的目标容器。
具体的,如图5所示,VPC-C为容器虚拟网卡分配租户VPC内固定IP地址(以下称为Fix-IP),TCNI为容器虚拟网卡分配VID,即K8S node节点上不同租户VPC的容器POD地址可能出现重叠(如图5中的POD4和POD5),但容器POD的虚拟网卡VID在同一个K8S node上不会重复(TCNI维护K8Snode上的所有VID,确保不冲突,所以同一个Node上最多创建4095个容器POD,因为本实施例中VID为12bit整型数字,表示范围0~4095,0预留给K8S node虚拟网卡使用,具体实施中采用不同的类型VID的数量可以不同)。
容器POD虚拟网卡创建过程中,Tianchi vNET为虚拟网卡下发基础流表转发规则。容器POD内数据发出时,容器POD虚拟网卡会在报文中加入VID信息(图中以POD5为例,报文中增加VID=5),报文经过虚拟网卡和虚拟交换机vport(两者之间存在直接联系)到达vNET,vNET的流表转发规则匹配报文中的VID(5)、源IP(192.168.100.4),命中后,将报文中的VID信息去除,并按照虚拟交换机逻辑进行基于目的IP的路由和Vxlan隧道封装工作。
数据流入容器POD时,报文首先到达vNET,并进行流表转发规则的匹配,匹配条件为VNI(Virtual network Identify,唯一标识一个VPC网络,图中示例100005)、隧道内层报文目的IP(inner-dip=192.168.100.4),命中后,去除报文隧道信息(unwrap vxlan),报文中加入VID信息(vlan tag vid=5)后,将报文通过vport和虚拟网卡发送至POD5。
如此,数据在容器POD和vNET之间通过VID实现数据的安全隔离,实现多租户网络隔离。
可选地,在一些实施例中,所述容器网络服务器接口11,还用于:在所述容器被销毁时,调用所述网络管控删除所述虚拟基础网络中所述容器的虚拟网卡信息。
具体的,容器POD销毁时,容器网络服务器接口11调用网络管控20中的TianchiAPI server删除虚拟接口完成vNET侧资源的清理。
可选地,在一些实施例中,如图6所示,地址生命周期管理中,VPC-C为容器虚拟网卡分配数据中心内网固定IP地址(以下称为dummyIP),TCNI不会将dummyIP写入容器POD虚拟网卡(对租户不可见),仅将dummyIP在VPC-C中做处理,并写入容器POD的基础属性中(K8Smaster服务查询使用,在K8S master角度仅能看到容器POD的dummyIP)。
K8S master可部署于数据中心物理网络中,也可作为独立服务部署于VPC中。部署于VPC中时(与租户VPC区分,即K8S master服务与容器POD属于不同的VPC)master与POD互通,采用传统云计算技术无法解决POD地址冲突问题。在本案中,master与POD互通使用dummyIP(master服务部署在VPC时,所在云主机的虚拟网卡具有dummyIP属性值,需要将此属性暴露给master,与普通租户VPC的区别是,普通租户无法获知自己的dummyIP属性,因为POD主动发起master服务请求时,例如dns等,需要获取到对应的dummyIP);当K8S master服务部署在数据中心物理网络时,业务模型本质上为VPC内服务与物理网络服务互通。本案将两种形态合并,提供灵活的互通能力。
容器POD虚拟网卡创建过程中,Tianchi vNET为虚拟网卡下发基础流表转发规则。容器POD内数据发出时,容器POD虚拟网卡会在报文中加入VID信息(图中以POD5为例,报文中增加VID=5),报文经过虚拟网卡和虚拟交换机vport(两者之间存在直接联系,不在本方案范围内)到达vNET,vNET的流表转发规则匹配报文中的VID(5)、源IP(192.168.100.4)、目的IP(172.10.0.0/16),命中后,将报文中的VID信息去除(untag),将报文源IP地址转换成dummyIP(172.10.111.30),并按照虚拟交换机逻辑进行基于目的IP的路由和Vxlan隧道封装工作。
数据流入容器POD时,报文首先到达vNET,并进行流表转发规则的匹配,匹配条件为VNI(Virtual network Identify,唯一标识一个VPC网络,图中示例100005)、隧道内层报文目的IP(inner-dip=172.10.111.30),命中后,去除报文隧道信息(unwrap vxlan)、修改报文目的IP(192.168.100.4)、报文中加入VID信息(vlan tag vid=5)后,将报文通过vport和虚拟网卡发送至POD5。
c和d过程中,报文会通过vNET经过Tianchi网络的一种网关服务(该网关提供云上VPC网络与数据中心物理网络互通能力,不在本案中)完成dummyIP之间的物理网络路由互通。
需要说明的是,本发明实施例中介绍的多种可选的实施方式,在彼此不冲突的情况下可以相互结合实现,也可以单独实现,对此本发明实施例不作限定。
参见图7,图7是本发明实施例提供的网络工作节点的结构图之一。如图7所示,本实施例提供一种网络工作节点(K8S node),所述网络工作节点内设置有容器网络服务器接口11和至少一个容器12,所述容器网络服务器接口用于在所述网络工作节点内创建所述容器时,为所述容器创建对应的标识,请求网络管控创建对应的虚拟网卡,并将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控,所述虚拟网卡和所述标识一一对应,所述虚拟网卡的第一通信端口与所述网络系统的操作系统主命名空间关联,所述虚拟网卡的第二通信端口与容器的命名空间关联。
在一些实施例中,所述网络工作节点,还用于:在创建所述容器时,所述容器网络服务器接口通过网络系统的数据服务器向所述网络系统的网络管控发送虚拟网卡的创建请求,所述虚拟网卡的创建请求用于请求所述网络管控创建对应的虚拟网卡,并将所述虚拟网卡的信息反馈至所述容器网络服务器接口;
将所述虚拟网卡的网络IP地址和标识写入所述容器的虚拟网卡,以完成所述虚拟网卡的创建。
在一些实施例中,所述容器网络服务器接口11,还用于:在将所述虚拟网卡的信息写入高速缓存存储器后,向所述虚拟基础网络发送对应的事件信息;所述事件信息用于请求所述虚拟基础网络根据所述事件信息从所述高速缓存存储器中读取所述虚拟网卡的信息,并将读取的所述虚拟网卡的信息与所述网络工作节点的虚拟网卡建立映射关系。
网络工作节点能够实现本发明实施例上述实施例的各个过程,以及达到相同的有益效果,为避免重复,这里不再赘述。
本发明实施例还提供一种网络管控,所述网络管控,用于:在接收到容器网络服务器接口发送的创建虚拟网卡的指令后创建所述容器对应的虚拟网卡,所述创建虚拟网卡的指令由所述容器网络服务器接口在创建所述容器时生成,并向所述容器网络服务器接口反馈所述虚拟网卡的信息;
接收所述容器网络服务器接口发送的虚拟端口创建请求,根据所述虚拟端口创建请求创建虚拟端口,对所述虚拟端口分配IP地址;并将所述IP地址反馈至所述容器网络服务器接口,所述虚拟端口创建请求由所述容器网络服务器接口根据所述容器的虚拟网卡和标识生成。
在一些实施例中,所述网络管控,用于根据所述虚拟网卡的创建请求创建对应的虚拟网卡,并将所述虚拟网卡的信息反馈至所述容器网络服务器接口,以请求所述容器网络服务器接口将所述虚拟网卡的网络IP地址和标识写入所述容器的虚拟网卡,以完成所述虚拟网卡的创建。
在一些实施例中,所述网络管控,用于:根据所述虚拟网卡的创建请求分配所述虚拟网卡的物理网络地址和所述虚拟网卡的网络IP地址。
在一些实施例中,所述网络管控,用于:
将所述虚拟网卡的信息写入高速缓存存储器,以对所述容器生成默认路由表。
网络管控能够实现本发明实施例上述实施例的各个过程,以及达到相同的有益效果,为避免重复,这里不再赘述。
参见图8,本发明实施例还提供一种网络隔离方法,所述网络隔离方法包括:
步骤810,在所述网络工作节点内创建容器时,容器网络服务器接口为所述容器创建对应的标识,并请求网络系统中网络管控创建对应的虚拟网卡;
步骤820,所述容器网络服务器接口将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控,所述虚拟网卡和所述标识一一对应,所述虚拟网卡的第一通信端口与所述网络系统的操作系统主命名空间关联,所述虚拟网卡的第二通信端口与容器的命名空间关联;
步骤830,所述网络管控根据所述虚拟端口创建请求创建虚拟端口,对所述虚拟端口分配IP地址;并将所述IP地址反馈至所述容器网络服务器接口;
步骤840,虚拟基础网络根据所述虚拟网卡的标识信息和IP地址进行网络数据的处理。
在一些实施例中,步骤810具体包括:在创建所述容器时,所述容器网络服务器接口通过所述网络系统的数据服务器向所述网络管控发送虚拟网卡的创建请求;
所述网络管控,用于根据所述虚拟网卡的创建请求创建对应的虚拟网卡,并将所述虚拟网卡的信息反馈至所述容器网络服务器接口;
所述容器网络服务器接口,用于:将所述虚拟网卡的网络IP地址和标识写入所述容器的虚拟网卡,以完成所述虚拟网卡的创建。
在一些实施例中,步骤830具体包括:
网络管控根据所述虚拟网卡的创建请求分配所述虚拟网卡的物理网络地址和所述虚拟网卡的网络IP地址。
在一些实施例中,所述方法还包括:
所述网络管控将所述虚拟网卡的信息写入高速缓存存储器,以对所述容器生成默认路由表。
在一些实施例中,所述方法还包括:
所述容器网络服务器接口在将所述虚拟网卡的信息写入高速缓存存储器后,向所述虚拟基础网络发送对应的事件信息;
所述虚拟基础网络根据所述事件信息从所述高速缓存存储器中读取所述虚拟网卡的信息,并将读取的所述虚拟网卡的信息与所述网络工作节点的虚拟网卡建立映射关系。
在一些实施例中,步骤840还包括:
在接收到所述容器发送的第一数据时,虚拟基础网络基于预设的流表转发规则将所述第一数据中所述容器的标识去除,并按照接收所述数据的设备的路由和网络隧道进行封装。
在一些实施例中,步骤840还包括:
在接收到外界发送的第二数据时,虚拟基础网络基于预设的流表转发规则去除所述第二数据中的隧道信息,并将目标容器的标识加入所述第二数据,将加入目标容器的标识的第二数据通过所述虚拟网卡发送至对应的目标容器。
在一些实施例中,所述方法还包括:在所述容器被销毁时,容器网络服务器接口调用所述网络管控删除所述虚拟基础网络中所述容器的虚拟网卡信息。
网络隔离方法能够实现本发明实施例上述实施例的各个过程,以及达到相同的有益效果,为避免重复,这里不再赘述。
本发明实施例还提供一种可读存储介质,用于存储程序,所述程序被处理器执行时实现如上所述的网络隔离方法中的步骤。
程序4021被处理器401执行时可实现图8对应的方法实施例中的任意步骤及达到相同的有益效果,此处不再赘述。
本领域普通技术人员可以理解实现上述实施例方法的全部或者部分步骤是可以通过程序指令相关的硬件来完成,所述的程序可以存储于一可读取介质中。本发明实施例还提供一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时可实现上述图2对应的方法实施例中的任意步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。
所述的存储介质,如只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等。
以上所述是本发明实施例的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (17)
1.一种网络系统,其特征在于,所述网络系统包括:容器网络服务器接口、网络管控和虚拟基础网络;
所述容器网络服务器接口部署于网络工作节点内,所述容器网络服务器接口用于:在所述网络工作节点内创建容器时,为所述容器创建对应的标识,请求所述网络管控创建所述容器对应的虚拟网卡,并将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控,所述虚拟网卡和所述标识一一对应,所述虚拟网卡的第一通信端口与所述网络系统的操作系统主命名空间关联,所述虚拟网卡的第二通信端口与容器的命名空间关联;
所述网络管控,用于根据所述虚拟端口创建请求创建虚拟端口,对所述虚拟端口分配IP地址;并将所述IP地址反馈至所述容器网络服务器接口;
所述虚拟基础网络,用于根据所述虚拟网卡的标识信息和IP地址进行网络数据的处理。
2.根据权利要求1所述的网络系统,其特征在于,所述容器网络服务器接口,用于:在创建所述容器时,所述容器网络服务器接口通过所述网络系统的数据服务器向所述网络管控发送虚拟网卡的创建请求;
所述网络管控,用于根据所述虚拟网卡的创建请求创建对应的虚拟网卡,并将所述虚拟网卡的信息反馈至所述容器网络服务器接口;
所述容器网络服务器接口,用于:将所述虚拟网卡的网络IP地址和标识写入所述容器的虚拟网卡,以完成所述虚拟网卡的创建。
3.根据权利要求2所述的网络系统,其特征在于,所述网络管控,用于:根据所述虚拟网卡的创建请求分配所述虚拟网卡的物理网络地址和所述虚拟网卡的网络IP地址。
4.根据权利要求1所述的网络系统,其特征在于,所述网络管控,用于:
将所述虚拟网卡的信息写入高速缓存存储器,以对所述容器生成默认路由表。
5.根据权利要求4所述的网络系统,其特征在于,所述容器网络服务器接口,还用于:在将所述虚拟网卡的信息写入高速缓存存储器后,向所述虚拟基础网络发送对应的事件信息;
所述虚拟基础网络根据所述事件信息从所述高速缓存存储器中读取所述虚拟网卡的信息,并将读取的所述虚拟网卡的信息与所述网络工作节点的虚拟网卡建立映射关系。
6.根据权利要求1所述的网络系统,其特征在于,所述虚拟基础网络,还用于:在接收到所述容器发送的第一数据时,基于预设的流表转发规则将所述第一数据中所述容器的标识去除,并按照接收所述数据的设备的路由和网络隧道进行封装。
7.根据权利要求1所述的网络系统,其特征在于,所述虚拟基础网络,还用于:在接收到外界发送的第二数据时,基于预设的流表转发规则去除所述第二数据中的隧道信息,并将目标容器的标识加入所述第二数据,将加入目标容器的标识的第二数据通过所述虚拟网卡发送至对应的目标容器。
8.根据权利要求1-7中任一项所述的网络系统,其特征在于,所述容器网络服务器接口,还用于:在所述容器被销毁时,调用所述网络管控删除所述虚拟基础网络中所述容器的虚拟网卡信息。
9.一种网络工作节点,其特征在于,所述网络工作节点内设置有容器网络服务器接口和至少一个容器,所述容器网络服务器接口用于在所述网络工作节点内创建所述容器时,为所述容器创建对应的标识,请求网络管控创建对应的虚拟网卡,并将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控,所述虚拟网卡和所述标识一一对应,所述虚拟网卡的第一通信端口与网络系统的操作系统主命名空间关联,所述虚拟网卡的第二通信端口与容器的命名空间关联。
10.根据权利要求9所述的网络工作节点,其特征在于,所述网络工作节点,还用于:在创建所述容器时,所述容器网络服务器接口通过网络系统的数据服务器向所述网络系统的网络管控发送虚拟网卡的创建请求,所述虚拟网卡的创建请求用于请求所述网络管控创建对应的虚拟网卡,并将所述虚拟网卡的信息反馈至所述容器网络服务器接口;
将所述虚拟网卡的网络IP地址和标识写入所述容器的虚拟网卡,以完成所述虚拟网卡的创建。
11.根据权利要求10所述的网络工作节点,其特征在于,
所述容器网络服务器接口,还用于:在将所述虚拟网卡的信息写入高速缓存存储器后,向虚拟基础网络发送对应的事件信息;所述事件信息用于请求所述虚拟基础网络根据所述事件信息从所述高速缓存存储器中读取所述虚拟网卡的信息,并将读取的所述虚拟网卡的信息与所述网络工作节点的虚拟网卡建立映射关系。
12.一种网络管控,其特征在于,所述网络管控,用于:在接收到容器网络服务器接口发送的创建虚拟网卡的指令后创建所述容器对应的虚拟网卡,所述创建虚拟网卡的指令由所述容器网络服务器接口在创建所述容器时生成,并向所述容器网络服务器接口反馈所述虚拟网卡的信息;
接收所述容器网络服务器接口发送的虚拟端口创建请求,根据所述虚拟端口创建请求创建虚拟端口,对所述虚拟端口分配IP地址;并将所述IP地址反馈至所述容器网络服务器接口,所述虚拟端口创建请求由所述容器网络服务器接口根据所述容器的虚拟网卡和标识生成。
13.根据权利要求12所述的网络管控,其特征在于,所述网络管控,用于根据所述虚拟网卡的创建请求创建对应的虚拟网卡,并将所述虚拟网卡的信息反馈至所述容器网络服务器接口,以请求所述容器网络服务器接口将所述虚拟网卡的网络IP地址和标识写入所述容器的虚拟网卡,以完成所述虚拟网卡的创建。
14.根据权利要求13所述的网络管控,其特征在于,所述网络管控,用于:根据所述虚拟网卡的创建请求分配所述虚拟网卡的物理网络地址和所述虚拟网卡的网络IP地址。
15.根据权利要求12所述的网络管控,其特征在于,所述网络管控,用于:
将所述虚拟网卡的信息写入高速缓存存储器,以对所述容器生成默认路由表。
16.一种网络隔离方法,其特征在于,所述网络隔离方法包括:
在网络工作节点内创建容器时,容器网络服务器接口为所述容器创建对应的标识,并请求网络系统中网络管控创建对应的虚拟网卡;
所述容器网络服务器接口将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控,所述虚拟网卡和所述标识一一对应,所述虚拟网卡的第一通信端口与所述网络系统的操作系统主命名空间关联,所述虚拟网卡的第二通信端口与容器的命名空间关联;
所述网络管控根据所述虚拟端口创建请求创建虚拟端口,对所述虚拟端口分配IP地址;并将所述IP地址反馈至所述容器网络服务器接口;
虚拟基础网络根据所述虚拟网卡的标识信息和IP地址进行网络数据的处理。
17.一种可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现如权利要求16所述的网络隔离方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310937348.2A CN116846667A (zh) | 2023-07-28 | 2023-07-28 | 网络系统、网络工作节点、网络管控和网络隔离方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310937348.2A CN116846667A (zh) | 2023-07-28 | 2023-07-28 | 网络系统、网络工作节点、网络管控和网络隔离方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116846667A true CN116846667A (zh) | 2023-10-03 |
Family
ID=88161736
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310937348.2A Pending CN116846667A (zh) | 2023-07-28 | 2023-07-28 | 网络系统、网络工作节点、网络管控和网络隔离方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116846667A (zh) |
-
2023
- 2023-07-28 CN CN202310937348.2A patent/CN116846667A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111885075B (zh) | 容器通信方法、装置、网络设备及存储介质 | |
JP6903121B2 (ja) | パケット伝送 | |
US8954992B2 (en) | Distributed and scaled-out network switch and packet processing | |
WO2021135471A1 (zh) | 数据传输方法、装置、网卡及存储介质 | |
CN109302466B (zh) | 数据处理方法、相关设备及计算机存储介质 | |
US20150188802A1 (en) | System for supporting multi-tenant based on private ip address in virtual private cloud networks and operating method thereof | |
CN112398687B (zh) | 云计算网络的配置方法、云计算网络系统以及存储介质 | |
JP2015095894A (ja) | 仮想ローカルエリアネットワークのクラウドアプライアンスを管理するための管理サーバおよびその管理方法 | |
CN103095546A (zh) | 一种处理报文的方法、装置及数据中心网络 | |
CN111917649A (zh) | 虚拟私有云通信及配置方法以及相关装置 | |
CN112040030B (zh) | 报文传输方法、装置、计算机设备及存储介质 | |
CN104780088A (zh) | 一种业务报文的传输方法和设备 | |
CN112910685B (zh) | 实现对容器网络统一管理的方法及装置 | |
CN101964799A (zh) | 点到网隧道方式下地址冲突的解决方法 | |
CN111314450B (zh) | 数据的传输方法、装置、电子设备和计算机存储介质 | |
CN112583655B (zh) | 数据传输方法、装置、电子设备及可读存储介质 | |
CN108540408B (zh) | 一种基于Openstack的分布式虚拟交换机的管理方法及系统 | |
CN114050998A (zh) | 实现远程直接内存访问的方法、装置、电子设备及介质 | |
CN113676390B (zh) | 基于vxlan的触发式动态安全通道的方法、用户端及中央控制台 | |
CN103503413A (zh) | 传输网络信息的方法及装置 | |
CN116846667A (zh) | 网络系统、网络工作节点、网络管控和网络隔离方法 | |
CN114629744B (zh) | 基于macvlan主机网络的数据访问方法、系统及相关装置 | |
CN114257545B (zh) | 一种报文转发方法及装置 | |
CN108124285B (zh) | 一种报文传输方法和装置 | |
CN115499392A (zh) | 租户隔离服务方法、装置,以及,电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |