CN116980229A - 网络策略配置方法、装置、电子设备及存储介质 - Google Patents
网络策略配置方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116980229A CN116980229A CN202311173204.0A CN202311173204A CN116980229A CN 116980229 A CN116980229 A CN 116980229A CN 202311173204 A CN202311173204 A CN 202311173204A CN 116980229 A CN116980229 A CN 116980229A
- Authority
- CN
- China
- Prior art keywords
- network
- network policy
- layer
- policy template
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000002955 isolation Methods 0.000 claims abstract description 24
- 238000004891 communication Methods 0.000 claims description 164
- 230000006870 function Effects 0.000 claims description 62
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 claims description 31
- 238000004590 computer program Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 4
- 210000004081 cilia Anatomy 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- RZVAJINKPMORJF-UHFFFAOYSA-N Acetaminophen Chemical compound CC(=O)NC1=CC=C(O)C=C1 RZVAJINKPMORJF-UHFFFAOYSA-N 0.000 description 1
- 241000322338 Loeseliastrum Species 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种网络策略配置方法、装置、电子设备及存储介质,涉及云平台技术领域;包括:获取多种网络层次的预设网络策略,分别创建网络层次对应的网络策略模板,其中,网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略,获取功能配置项,基于功能配置项对网络策略模板进行调整,当网络策略模板调整至匹配目标作用域时,将网络策略模板在目标作用域应用。本发明创建多种网络层次的网络策略模板,实现第三层、第四层、第七层或组合网络层次的网络策略,且对网络策略模板进行调整,满足精准细粒度控制,实现云原生应用网络隔离策略,保证了容器集群中高度动态化的微服务应用之间的安全隔离和高可达。
Description
技术领域
本发明涉及云平台技术领域,特别是涉及一种网络策略配置方法、装置、电子设备及存储介质。
背景技术
容器应用在多集群里进行统一发布和编排,已经成为越来越多的企业确保生产环境高可用部署的重要发展趋势,Kubernetes作为解决企业业务上云场景的首选容器编排工具,其常见的能力基本已经成熟稳定。
用户对于容器的网络隔离、网络资源控制等方面有不同的要求,因此,使用网络策略来满足这些期望以实现容器集群内的网络安全,目前,Kubernetes提供了一种网络策略的机制,即在k8s环境中,网络策略可以通过支持Network Policy的网络插件来实现,可用于对部署在平台上的应用程序实施3层或4层的分隔,以在3层或4层做相应的网络安全限制。
然而,一般的网络插件无法满足7层的分隔,且大多容器云平台目前不具备基于网络策略模板的精准细粒度控制应用网络隔离策略的功能,时常会引起大规模的容器实例启动或重启,影响微服务应用之间的安全隔离和可达。
发明内容
鉴于上述问题,提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种网络策略配置方法、一种网络策略配置装置、一种电子设备和一种存储介质。
为了解决上述问题,在本发明的第一方面,本发明实施例公开了一种网络策略配置方法,包括:
获取多种网络层次的预设网络策略,分别创建所述网络层次对应的网络策略模板;其中,所述网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略;
获取功能配置项,基于所述功能配置项对所述网络策略模板进行调整;
当所述网络策略模板调整至匹配目标作用域时,将所述网络策略模板在所述目标作用域应用。
可选地,所述获取多种网络层次的预设网络策略,分别创建所述网络层次对应的网络策略模板,包括:
获取多种网络层次的预设网络策略的待配置的参数项,其中,所述参数项包括基础规则类型、出入口类型及网络层次;
根据配置的所述基础规则类型和所述出入口类型,创建多种所述网络层次对应的网络策略模板。
可选地,所述根据配置的所述基础规则类型和所述出入口类型,创建多种所述网络层次对应的网络策略模板,包括:
对所述基础规则类型和出入口类型进行配置,确定所述网络层次中流量通过的通信规则;
根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括。
可选地,所述对所述基础规则类型和出入口类型进行配置,确定所述网络层次中流量通过的通信规则,包括:
对所述基础规则类型的第一配置项进行配置,其中,所述第一配置项包括匹配标签、服务、主机、IP/CIDR以及域名解析系统;
根据所述网络层次的流量通过方向,对所述出入口类型进行配置;
响应于配置的第一配置项和出入口类型,确定所述网络层次中流量通过的通信规则。
可选地,所述根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括:
采用配置的匹配标签和出入口类型,确定流量通过的目标端点及方向;
基于所述目标端点及方向,确定第三层网络层次对应的第一通信规则,其中,所述第一通信规则用于允许标签匹配的端点与所述目标端点通信;
根据所述第一通信规则,创建第三层网络策略模板。
可选地,所述根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括:
采用配置的匹配标签、服务及出入口类型,确定流量通过的目标服务及方向;
基于所述目标服务及方向,确定第三层网络层次对应的第二通信规则,其中,所述第二通信规则用于允许标签匹配的端点与所述目标服务对应端点通信;
根据所述第二通信规则,创建第三层网络策略模板。
可选地,所述根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括:
采用配置的匹配标签、主机及出入口类型,确定流量通过的目标主机及方向;
基于所述目标主机及方向,确定第三层网络层次对应的第三通信规则,其中,所述第三通信规则用于允许标签匹配的端点访问所述目标主机对应端点,以及接收所述目标主机对应端点流量;
根据所述第三通信规则,创建第三层网络策略模板。
可选地,所述根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括:
采用配置的匹配标签、IP/CIDR及出入口类型,确定流量通过的外部IP/CIDR及方向;
基于所述外部IP/CIDR及方向,确定第三层网络层次对应的第四通信规则,其中,所述第四通信规则用于允许标签匹配端点与所述外部IP/CIDR通信;
根据所述第四通信规则,创建第三层网络策略模板。
可选地,所述根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括:
采用配置的匹配标签、域名解析系统及出入口类型,确定流量通过的目标域名解析系统及方向;
基于所述目标域名解析系统及方向,确定第三层网络层次对应的第五通信规则,其中,所述第五通信规则用于允许标签匹配的端点与所述目标解析系统对应端点通信;
根据所述第五通信规则,创建第三层网络策略模板。
可选地,所述基于所述目标域名解析系统及方向,确定第三层网络层次对应的第五通信规则,包括:
响应于远程服务请求,通过预设网络组件获取所述远程服务请求的网络地址;
基于所述目标域名解析系统及方向查询预设规则表,匹配所述远程服务请求的网络地址;
若匹配成功,则允许标签匹配的端点与所述目标解析系统对应端点通信,确定第三层网络层次对应的第五通信规则。
可选地,所述根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括:
采用配置的匹配标签及出入口类型,确定流量通过的目标端点及出口;
基于所述目标端点及出口,确定第四层网络层次对应的第六通信规则,其中,所述第六通信规则用于允许标签匹配的端点通过目标协议和目标端点向外发送数据;
根据所述第六通信规则,创建第四层网络策略模板。
可选地,所述根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括:
采用配置的匹配标签及出入口类型,确定流量通过的目标请求和目标端点;
基于所述目标请求和目标端点,确定第七层或组合网络层次对应的第七通信规则,其中,所述第七通信规则用于允许标签匹配的端点响应于所述目标请求与所述目标端点通信;
根据所述第七通信规则,创建第七层或组合网络层次的网络策略模板。
可选地,所述获取功能配置项,基于所述功能配置项调整所述网络策略模板,包括:
获取已配置的功能配置项,其中,所述功能配置项包括资源域、应用空间、匹配标签和网络策略模板配置项;
基于所述网络策略模板配置项,获取所述网络策略模板配置项对应的所述网络策略模板;
按照已配置的所述应用空间和所述匹配标签,对所述网络策略模板的参数进行调整。
可选地,所述功能配置项还包括编辑配置项,所述编辑配置项用于修改和删除所述网络策略模板。
可选地,所述按照已配置的所述应用空间和所述匹配标签,对所述网络策略模板的参数进行调整之前,还包括:
若所述应用空间和所述匹配标签未配置,则获取的所述网络策略模板配置项对应的所述网络策略模板无效;
对所述应用空间和所述匹配标签配置项进行修改,以使所述网络策略模板有效。
可选地,所述当所述网络策略模板调整至匹配目标作用域时,将所述网络策略模板在所述目标作用域应用,包括:
当所述网络策略模板动态调整至匹配目标作用域时,确定所述网络策略模板配置完成;其中,目标作用域是策略匹配的租户资源域;
控制所述网络策略模板在所述目标作用域应用。
可选地,所述当所述网络策略模板调整至匹配目标作用域时,将所述网络策略模板在所述目标作用域应用之后,还包括:
监测所述网络层次对应的网络策略模板;
若预设周期内所述网络策略模板不满足目标作用域的网络隔离需求,则对所述网络策略模板进行修改或删除。
在本发明的第二方面,本发明实施例还公开了一种网络策略配置装置,包括:
创建网络策略模板模块,用于获取多种网络层次的预设网络策略,分别创建所述网络层次对应的网络策略模板;其中,所述网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略;
调整网络策略模版模块,用于获取功能配置项,基于所述功能配置项对所述网络策略模板进行调整;
应用网络策略模板模块,用于当所述网络策略模板调整至匹配目标作用域时,将所述网络策略模板在所述目标作用域应用。
在本发明的第三方面,本发明实施例公开了一种电子设备,包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的网络策略配置方法的步骤。
在本发明的第四方面,本发明实施例公开了一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如上所述的网络策略配置方法的步骤。
本发明实施例包括以下优点:
本发明实施例提供的网络策略配置方法,通过获取多种网络层次的预设网络策略,分别创建网络层次对应的网络策略模板,网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略;获取功能配置项,基于功能配置项对网络策略模板进行调整,当网络策略模板调整至匹配目标作用域时,将网络策略模板在目标作用域应用。本发明利用创建多种网络层次的网络策略模板,实现第三层、第四层、第七层或组合网络层次的网络策略,并且基于功能配置项对网络策略模板进行详细调整,以使配置后的网络策略模板满足精准细粒度控制云原生应用网络隔离策略,将匹配目标作用域的网络策略模板在目标作用域应用,实现了为同一个资源域或者指定租户应用空间内具有相同安全保护需求并相互信任的应用服务提供安全访问策略的目标,保证了容器集群中高度动态化的微服务应用之间的安全隔离和高可达。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1是本发明的一种网络策略配置方法实施例的步骤流程图之一;
图2是图1提供的本发明实施例的一种网络策略配置方法的步骤101的流程图;
图3是图1提供的本发明实施例的一种网络策略配置方法的步骤102的流程图;
图4是图1提供的本发明实施例的一种网络策略配置方法的步骤103的流程图;
图5是本发明的一种网络策略配置方法实施例的步骤流程图之二;
图6是本发明的一种网络策略配置方法实施例的示意图;
图7是本发明的一种网络策略配置装置实施例的结构框图;
图8是本发明实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行描述。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本发明而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本发明所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本发明的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
参照图1,示出了本发明的一种网络策略配置方法实施例的步骤流程图之一,所述网络策略配置方法具体可以包括如下步骤:
步骤101,获取多种网络层次的预设网络策略,分别创建网络层次对应的网络策略模板;其中,网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略。
本发明实施例中,容器集群是指容器运行所需云资源的集合,包含若干台云服务器、负载均衡器等云资源,容器集群依赖的Kubernetes(k8s)是开源的容器集群管理系统,为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能。Pod是所有业务类型的基础,也是k8s管理的最小单位级,它是一个或多个容器的组合。这些容器共享存储、网络和命名空间,以及如何运行的规范,在Pod中的所有容器都被统一安排和调度,容器网络负责在不同容器之间提供通信和连接性,而网络策略则允许管理员定义和控制容器之间的通信规则。
需要说明的是,容器的网络策略NetworkPolicy是Kubernetes容器集群管理系统用来限制Pod访问的对象,相当于从应用层面构建了一道防火墙,允许定义至少一组规则,以便在集群中选择哪些容器可以相互通信,以及如何进行通信,控制容器之间的流量路线,包括允许或拒绝进出容器、使用哪些端口等。
本发明实施例中,为解决当前Kubernetes的开源CNI(calico、kube-ovn、Antrea等)支持的网络策略,仅能在3层或4层做相应的网络安全限制,本实施例中网络策略配置控制器采用cilium网络组件,在7层实现基于NodeSelector等类型的策略指定等高级能力,其中,集群中的每个节点上运行一个ciliumPod,通过使用 Linux BPF 针对该节点上的 Pod的入口、出口流量实施网络策略控制。
具体的,网络策略配置控制器获取多种网络层次的预设网络策略,分别创建网络层次对应的网络策略模板。由于创建的模板存在多种分类规则,按照获取多种网络层次的预设网络策略的待配置的参数项,能够创建多种网络层次对应的网络策略模板。其中,其中,参数项包括基础规则类型、出入口类型及网络层次。
示例的,按照基础规则类型创建的网络策略模板可以分为端点选择器和节点选择器,其中,端点选择器适用于与端点关联的标签,节点选择器应用于与群集中的节点关联的标签。按照出入口类型创建的网络策略模板可以分为入口策略和出口策略,其中,入口策略,定义应用于进入端点的流量的规则,出口策略,定义应用于来自与端点选择器匹配的端点的流量。需要说明的是,策略选择提供入口、出口或两者,若不选择入口或出口策略则该规则无效。按照策略应用的网络层次可以划分为L3、L4和L7,其中,L3策略可以分别基于匹配标签、服务、主机、IP/CIDR、域名解析系统的配置方法实现,L4的策略可以在L3策略之外指定或者独立指定,用以限制端点使用特定协议在特定端口上发射和/或接收数据包的能力;L7策略规则嵌入到L4规则中,基于以上策略模板的功能,预先创建一批网络策略模板供后续根据实际的功能配置需求使用。
步骤102,获取功能配置项,基于功能配置项对网络策略模板进行调整。
本发明实施例中,功能配置项为网络策略模板上的可选配置,以使对多种网络层次对应的网络策略模板进行详细配置,满足精准细粒度控制云原生应用网络隔离策略,具体的,功能配置项可以包括租户资源域选择、租户应用空间选择、匹配标签、网络策略模板选择、编辑等配置项。
需要说明的是,应用空间和匹配标签功能配置项均为可选配置,在确定网络策略模板并进行调整前,需要对功能配置项进行验证,以避免策略无效。
示例的,当未配置租户应用空间时,则配置的策略默认为跨租户空间策略,即目标作用域为整个租户资源域;当未配置匹配标签时,则配置的策略为所选租户应用空间级别;若租户空间和匹配标签都未配置,则创建的策略为一个无效策略,通过编辑功能配置项中的修改功能,配置其租户应用空间、匹配标签、策略模板及自定义编辑使其生效。
步骤103,当网络策略模板调整至匹配目标作用域时,将网络策略模板在目标作用域应用。
具体的,租户应用空间和匹配标签配置完成后,选择网络策略模板,并依据所选应用空间和匹配标签动态调整模板内容使其匹配策略的作用域,当网络策略模板调整至匹配目标作用域时,将网络策略模板在目标作用域应用,其中,可根据展示出的动态调整后的网络策略模板内容选择直接应用或者自定义编辑后再应用。
本发明实施例提供的网络策略配置方法,通过获取多种网络层次的预设网络策略,分别创建网络层次对应的网络策略模板,网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略;获取功能配置项,基于功能配置项对网络策略模板进行调整,当网络策略模板调整至匹配目标作用域时,将网络策略模板在目标作用域应用。本发明利用创建多种网络层次的网络策略模板,实现第三层、第四层、第七层或组合网络层次的网络策略,并且基于功能配置项对网络策略模板进行详细调整,以使配置后的网络策略模板满足精准细粒度控制云原生应用网络隔离策略,将匹配目标作用域的网络策略模板在目标作用域应用,实现了为同一个资源域或者指定租户应用空间内具有相同安全保护需求并相互信任的应用服务提供安全访问策略的目标,保证了容器集群中高度动态化的微服务应用之间的安全隔离和高可达。
进一步的,参照图2,示出了图1提供的网络策略配置方法的步骤101的流程图,该方法与本发明的第一实施例提供的网络策略配置方法基本相同,步骤101获取多种网络层次的预设网络策略,分别创建网络层次对应的网络策略模板,可以包括:
步骤201,获取多种网络层次的预设网络策略的待配置的参数项,其中,参数项包括基础规则类型、出入口类型及网络层次;
步骤202,根据配置的基础规则类型和出入口类型,创建多种网络层次对应的网络策略模板。
需要说明的是,上述步骤201至步骤202,本实施例为了使网络策略模板满足各网络层次的网络隔离需求,通过对预设网络策略的待配置的参数项进行配置,从而生成多种网络层次对应的网络策略模板。本发明实施例实现了基于不同的基础规则类型并按照不同的应用网络层次分别创建第三层、第四层、第七层网络或者组合策略模板。
具体的,步骤202根据配置的基础规则类型和出入口类型,创建多种网络层次对应的网络策略模板,包括:
步骤2021,对基础规则类型和出入口类型进行配置,确定网络层次中流量通过的通信规则;
步骤2022,根据确定的通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板。
本发明实施例中,网络策略配置控制器可以使用标签选择 Pod,并定义选定 Pod所允许的通信规则,通信规则可以使用Iptables记录,默认情况下,所有Pod之间是全通的,每个命名空间可以配置独立的网络策略,来隔离Pod之间的流量,比如隔离命名空间的所有Pod之间的流量,包括从外部到该命名空间中所有Pod的流量以及命名空间内部Pod相互之间的流量。具体的,通过对基础规则类型和出入口类型进行配置,确定网络层次中流量通过的通信规则,再依据通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板。
具体的,在本发明的一可选实施例中,所述步骤2021对基础规则类型和出入口类型进行配置,确定网络层次中流量通过的通信规则的步骤包括:
首先,对基础规则类型的第一配置项进行配置,其中,第一配置项包括匹配标签、服务、主机、IP/CIDR以及域名解析系统;
其次,根据网络层次的流量通过方向,对出入口类型进行配置;
其次,响应于配置的第一配置项和出入口类型,确定网络层次中流量通过的通信规则。
本发明实施例中,基础规则类型的第一配置项以及出入口类型是创建网络策略模板的必选配置项,控制器响应于基础规则类型的第一配置项和出入口类型的配置,确定各个网络层次中流量通过的通信规则,以便生成的网络策略模板满足各层次的网络隔离需求。此外,本实施对网络层次的流量通过方向及路线进行限定,实现从应用组件、网络协议、网络端口、应用协议规则多个层面限定应用的入口方向和出口方向流量,精准细粒度控制云原生应用网络隔离策略。
需要说明的是,L3策略可以分别基于匹配标签Labels、服务Services、主机Entities、IP/CIDR、域名解析系统DNS的配置方法实现,L4的策略可以在L3策略之外指定或者独立指定,用以限制端点使用特定协议在特定端口上发射和/或接收数据包的能力;L7策略规则嵌入到L4规则中,包含协议(Http、Kafka等)特定字段枚举的基本类型,比如Http协议的Method、Path、Headers、Host或者Kafa协议的Role、Topic、APIKey、ClientID等,在此不再具体赘述。
进一步的,在本发明的一可选实施例中,步骤2022根据确定的通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板可以包括:
采用配置的匹配标签和出入口类型,确定流量通过的目标端点及方向;
基于目标端点及方向,确定第三层网络层次对应的第一通信规则,其中,所述第一通信规则用于允许标签匹配的端点与所述目标端点通信;
根据第一通信规则,创建第三层网络策略模板。
本实施例上述步骤中,基于端点选择器、出入口类型、匹配标签等,制定允许从指定标签匹配的端点到特定端点的入口的L3通信规则,示例的,根据以下命令,定义允许ns1命名空间内的通信规则:
apiVersion: "cilium.io/v2"
kind: CiliumNetworkPolicy
metadata:
name: "l3-Labels-rule"
namespace: ns1
示例的,从标签为role=frontend前端的端点到标签为role=backend后端的端点进行通信的规则:
spec:
endpointSelector:
matchLabels:
role: backend
ingress:- fromEndpoints;
- matchLabels:
role: frontend
需要说明的是,本发明实施例中第三层网络层次根据流量通信需求能够创建多种通信规则,进而根据通信规则创建第三层网络策略模板。本发明实施例以第一通信规则用于允许标签匹配的端点与所述目标端点通信为例进行说明。
进一步的,在本发明的一可选实施例中,步骤2022根据确定的通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板可以包括:
采用配置的匹配标签、服务及出入口类型,确定流量通过的目标服务及方向;
基于所述目标服务及方向,确定第三层网络层次对应的第二通信规则,其中,所述第二通信规则用于允许标签匹配的端点与所述目标服务对应端点通信;
根据所述第二通信规则,创建第三层网络策略模板。
本实施例上述步骤中以第二通信规则用于允许标签匹配的端点与所述目标服务对应端点通信为例进行说明,基于端点选择器、入口、服务等基础规则匹配类型可以制定允许从指定标签的所有端点与指定服务的所有端点进行通信的L3通信规则,示例的,定义允许ns1命名空间内标签为id=app2的所有端点与ns2命名空间中服务名为myservice的所有端点进行通信的规则。
进一步的,在本发明的一可选实施例中,步骤2022根据确定的通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板可以包括:
采用配置的匹配标签、主机及出入口类型,确定流量通过的目标主机及方向;
基于所述目标主机及方向,确定第三层网络层次对应的第三通信规则,其中,所述第三通信规则用于允许标签匹配的端点访问所述目标主机对应端点,以及接收所述目标主机对应端点流量;
根据所述第三通信规则,创建第三层网络策略模板。
本实施例上述步骤中以第三通信规则用于允许标签匹配的端点访问所述目标主机对应端点,以及接收所述目标主机对应端点流量为例进行说明,基于端点选择器、入口、主机等基础规则匹配类型可以制定允许指定标签的所有端点访问为特定端点提供服务的主机或者接收来自集群中运行Cilium的任何主机的流量的L3通信规则,示例的,ns1命名空间内标签为env=dev的所有端点接收来自当前用户资源域中运行cilium的任何主机的流量的规则。
进一步的,在本发明的一可选实施例中,步骤2022根据确定的通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板可以包括:
采用配置的匹配标签、IP/CIDR及出入口类型,确定流量通过的外部IP/CIDR及方向;
基于所述外部IP/CIDR及方向,确定第三层网络层次对应的第四通信规则,其中,所述第四通信规则用于允许标签匹配端点与所述外部IP/CIDR通信;
根据所述第四通信规则,创建第三层网络策略模板。
上述步骤中以第四通信规则用于允许标签匹配端点与所述外部IP/CIDR通信为例进行说明,基于EndpointSelector端点选择器、Ingress入口、IP/CIDR基础规则匹配类型可以制定允许指定标签的所有端点与外部IP/CIDR进行通信的L3通信规则,例如以下示例定义了允许ns1命名空间内标签为app=myService的所有端点与外部IP(20.1.1.1)以及CIDR前缀10.0.0.0/8并排除CIDR前缀10.96.00/12进行通信的规则:
spec:
endpointSelector:
matchLabels:
app: myService
egress:- toCIDR:- 20.1.1.1/32- toCIDRSet:- cidr: 10.0.0.0/8 except: -10.96.0.0/12
当然,以上仅为具体的IP/CIDR通信规则的举例,本实施例对通信的IP地址、CIDR地址不作具体限定。本实施例中,根据第四通信规则,创建允许标签匹配端点与外部IP/CIDR通信的第三层网络策略模板。
进一步的,在本发明的一可选实施例中,步骤2022根据确定的通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板可以包括:
采用配置的匹配标签、域名解析系统及出入口类型,确定流量通过的目标域名解析系统及方向;
基于所述目标域名解析系统及方向,确定第三层网络层次对应的第五通信规则,其中,所述第五通信规则用于允许标签匹配的端点与所述目标解析系统对应端点通信;
根据所述第五通信规则,创建第三层网络策略模板。
具体的,基于目标域名解析系统及方向,确定第三层网络层次对应的第五通信规则,包括:
响应于远程服务请求,通过预设网络组件获取所述远程服务请求的网络地址;
基于所述目标域名解析系统及方向查询预设规则表,匹配所述远程服务请求的网络地址;
若匹配成功,则允许标签匹配的端点与所述目标解析系统对应端点通信,确定第三层网络层次对应的第五通信规则。
上述步骤中,基于端点选择器、入口、域名系统基础规则匹配类型可以制定具有DNS可查询域名的端点定义的L3通信规则,例如,定义允许ns1命名空间内端口53上的所有DNS流量到DNS服务并通过DNS代理拦截,当应用程序发出my-remote-service.com的请求时,Cilium网络组件获取ip地址,并且通过toFQDNs.matchName的预设规则下的名称匹配,匹配成功则允许流量通过。
需要说明的是,Cilium以与基于CIDR的策略中的IP类似的方式允许DNS响应中提供的IP地址,当远程IP可能发生变化或事先不知道,或者DNS更方便时,它们是一种替代方案。
进一步的,在本发明的一可选实施例中,步骤2022根据确定的通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板可以包括:
采用配置的匹配标签及出入口类型,确定流量通过的目标端点及出口;
基于所述目标端点及出口,确定第四层网络层次对应的第六通信规则,其中,所述第六通信规则用于允许标签匹配的端点通过目标协议和目标端点向外发送数据;
根据所述第六通信规则,创建第四层网络策略模板。
本实施例上述步骤中,基于端点选择器、出口、匹配标签等基础规则匹配类型可以制定允许指定标签匹配的端点只能使用指定协议和端口向外发送数据包的L4通信规则,例如,允许集群内标签为role=frontend的所有端点与标签为role=backend的所有终结点进行通信,但它们必须使用端口a上的TCP进行通信,具有其他标签的端点将无法与具有标签role=backend的端点通信,并且具有标签role=frontend的端点将不能在端口a以外的端口上与role=backland进行通信的规则。
进一步的,在本发明的一可选实施例中,步骤2022根据确定的通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板可以包括:
采用配置的匹配标签及出入口类型,确定流量通过的目标请求和目标端点;
基于所述目标请求和目标端点,确定第七层或组合网络层次对应的第七通信规则,其中,所述第七通信规则用于允许标签匹配的端点响应于所述目标请求与所述目标端点通信;
根据所述第七通信规则,创建第七层或组合网络层次的网络策略模板。
本实施例上述步骤中,基于端点选择器、入口、L7Rules(toPorts、rules、http)可以制定允许对指定统一资源定位器URL的指定请求被允许到带有指定标签的端点,而拒绝其他任何URL或使用其他方法的请求的L7或者混合通信规则,例如,定义集群内对URL/public的GET请求被允许到带有标签env:prod的端点,但是对任何其他URL或使用其他方法的请求将被拒绝,端口a以外的端口上的请求将被丢弃的通信规则。
进一步的,参照图3,示出了图1提供的网络策略配置方法的步骤102的流程图,该方法与本发明的第一实施例提供的网络策略配置方法基本相同,步骤102获取功能配置项,基于功能配置项对网络策略模板进行调整可以包括:
步骤301,获取已配置的功能配置项,其中,所述功能配置项包括资源域、应用空间、匹配标签和网络策略模板配置项。
需要说明的是,为了对网络策略模板进一步配置管理,通过获取已配置的功能配置项,以便对网络策略模板中的参数项和内容进一步调整,以满足作用域需求。
其中,功能配置项包括资源域、应用空间、匹配标签和网络策略模板配置项,策略的创建主要包含租户资源域选择、租户应用空间选择、匹配标签配置、网络策略模板选择、策略自定义编辑等功能,租户应用空间选择和匹配标签配置都为可选配置,当未配置租户应用空间时,则配置的策略默认为跨租户空间策略,即作用域为整个租户资源域;当未配置匹配标签时,则配置的策略为所选租户应用空间级别,在此不再具体赘述。
步骤302,基于网络策略模板配置项,获取网络策略模板配置项对应的网络策略模板。
步骤303,按照已配置的应用空间和匹配标签,对网络策略模板的参数进行调整。
具体的,当租户应用空间和匹配标签配置完成后,可以选择网络策略模板,依据已完成的网络策略模板配置项即应用空间和匹配标签,动态调整模板内容,以使其匹配策略的作用域。
本发明实施例中,通过基于网络策略模板配置项,获取网络策略模板配置项对应的网络策略模板,实现了为同一个资源域(集群)或者指定租户应用空间内具有相同安全保护需求并相互信任的应用服务提供安全访问策略的目标,保证了高度动态化的微服务应用之间的安全隔离和可达。
具体的,所述功能配置项还包括编辑配置项,编辑配置项用于修改和删除网络策略模板。
具体的,步骤102获取功能配置项,基于功能配置项对网络策略模板进行调整还可以包括:
首先,若应用空间和匹配标签未配置,则获取的网络策略模板配置项对应的网络策略模板无效;
其次,对应用空间和匹配标签配置项进行修改,以使网络策略模板有效。
需要说明的是,若网络策略模板配置项中的租户空间和匹配标签都未配置,则创建的策略为一个无效策略,需要对网络策略模板进行修改或删除。本实施例中采用的功能配置项还包括编辑配置项,编辑配置项用于修改和删除网络策略模板,通过修改功能配置其租户应用空间、匹配标签、策略模板及自定义编辑使其生效。
进一步的,参照图4,示出了图1提供的网络策略配置方法的步骤103的流程图,该方法与本发明的第一实施例提供的网络策略配置方法基本相同,步骤103当网络策略模板调整至匹配目标作用域时,将网络策略模板在目标作用域应用,可以包括:
步骤401,当网络策略模板动态调整至匹配目标作用域时,确定网络策略模板配置完成;其中,目标作用域是策略匹配的租户资源域;
步骤402,控制网络策略模板在目标作用域应用。
需要说明的是,步骤401至步骤402中,对网络策略模板进一步配置,以使网络策略模板匹配目标作用域,才能在目标作用域应用,具体的,可根据展示出的动态调整后的网络策略模板内容选择直接应用或者自定义编辑后再应用。
本发明的第二实施方式涉及一种网络策略配置方法,该方法与本发明的第一实施例提供的网络策略配置方法基本相同,其区别在于,参照图5,示出了本发明实施例提供的网络策略配置方法的步骤流程图之二,所述方法包括:
步骤101,获取多种网络层次的预设网络策略,分别创建网络层次对应的网络策略模板;其中,网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略。
步骤102,获取功能配置项,基于功能配置项对网络策略模板进行调整。
步骤103,当网络策略模板调整至匹配目标作用域时,将网络策略模板在目标作用域应用。
需要说明的是,上述步骤101-103参照前序论述,在此不再赘述。
步骤104,监测网络层次对应的网络策略模板。
本发明实施例中,为进一步提高精准细粒度控制云原生应用网络隔离策略,可以采用策略触发器对目标作用域中应用的网络策略模板进行监测。
需要说明的是,策略触发器是网络策略执行的具体组件,接收来自网络策略控制器的链条命令,并主动发送心跳信息至网络策略控制器。
步骤105,若预设周期内网络策略模板不满足目标作用域的网络隔离需求,则对网络策略模板进行修改或删除。
具体的,网络策略控制器若预设周期内接收到的心跳信息指示网络策略模板不满足流量通过的通信需求,或者网络策略模板无效,则表明预设周期内网络策略模板不满足目标作用域的网络隔离需求,对网络策略模板进行修改或删除。
本发明实施例中,对配置应用的网络策略模板进行实时监测,及时将不满足目标作用域的网络隔离需求的网络策略模板进行修改和删除,保证了高度动态化的微服务应用之间的安全隔离和可达。
参照图7,示出了本发明的一种网络策略配置装置实施例的结构框图,所述网络策略配置装置具体可以包括如下模块:
创建网络策略模板模块501,用于获取多种网络层次的预设网络策略,分别创建所述网络层次对应的网络策略模板;其中,所述网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略;
调整网络策略模版模块502,用于获取功能配置项,基于所述功能配置项对所述网络策略模板进行调整;
应用网络策略模板模块503,用于当所述网络策略模板调整至匹配目标作用域时,将所述网络策略模板在所述目标作用域应用。
进一步的,所述创建网络策略模板模块501,包括:
获取参数子模块,用于获取多种网络层次的预设网络策略的待配置的参数项,其中,所述参数项包括基础规则类型、出入口类型及网络层次;
创建模板子模块,用于根据配置的所述基础规则类型和所述出入口类型,创建多种所述网络层次对应的网络策略模板。
进一步的,所述创建模板子模块,包括:
确定规则单元,用于对所述基础规则类型和出入口类型进行配置,确定所述网络层次中流量通过的通信规则;
创建模板单元,用于根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括。
进一步的,所述确定规则单元,包括:
第一配置子单元,用于对所述基础规则类型的第一配置项进行配置,其中,所述第一配置项包括匹配标签、服务、主机、IP/CIDR以及域名解析系统;
第二配置子单元,用于根据所述网络层次的流量通过方向,对所述出入口类型进行配置;
确定规则子单元,用于响应于配置的第一配置项和出入口类型,确定所述网络层次中流量通过的通信规则。
进一步的,所述创建模板单元,包括:
第一确定子单元,用于采用配置的匹配标签和出入口类型,确定流量通过的目标端点及方向;
第一确定规则子单元,用于基于所述目标端点及方向,确定第三层网络层次对应的第一通信规则,其中,所述第一通信规则用于允许标签匹配的端点与所述目标端点通信;
第一创建子单元,用于根据所述第一通信规则,创建第三层网络策略模板。
进一步的,所述创建模板单元,包括:
第二确定子单元,用于采用配置的匹配标签、服务及出入口类型,确定流量通过的目标服务及方向;
第二确定规则子单元,用于基于所述目标服务及方向,确定第三层网络层次对应的第二通信规则,其中,所述第二通信规则用于允许标签匹配的端点与所述目标服务对应端点通信;
第二创建子单元,用于根据所述第二通信规则,创建第三层网络策略模板。
进一步的,所述创建模板单元,包括:
第三确定子单元,用于采用配置的匹配标签、主机及出入口类型,确定流量通过的目标主机及方向;
第三确定规则子单元,用于基于所述目标主机及方向,确定第三层网络层次对应的第三通信规则,其中,所述第三通信规则用于允许标签匹配的端点访问所述目标主机对应端点,以及接收所述目标主机对应端点流量;
第三创建子单元,用于根据所述第三通信规则,创建第三层网络策略模板。
进一步的,所述创建模板单元,包括:
第四确定子单元,用于采用配置的匹配标签、IP/CIDR及出入口类型,确定流量通过的外部IP/CIDR及方向;
第四确定规则子单元,用于基于所述外部IP/CIDR及方向,确定第三层网络层次对应的第四通信规则,其中,所述第四通信规则用于允许标签匹配端点与所述外部IP/CIDR通信;
第四创建子单元,用于根据所述第四通信规则,创建第三层网络策略模板。
进一步的,所述创建模板单元,包括:
第五确定子单元,用于采用配置的匹配标签、域名解析系统及出入口类型,确定流量通过的目标域名解析系统及方向;
第五确定规则子单元,用于基于所述目标域名解析系统及方向,确定第三层网络层次对应的第五通信规则,其中,所述第五通信规则用于允许标签匹配的端点与所述目标解析系统对应端点通信;
第五创建子单元,用于根据所述第五通信规则,创建第三层网络策略模板。
进一步的,所述第五确定规则子单元,包括:
请求子单元,用于响应于远程服务请求,通过预设网络组件获取所述远程服务请求的网络地址;
匹配子单元,用于基于所述目标域名解析系统及方向查询预设规则表,匹配所述远程服务请求的网络地址;
确定规则子单元,用于若匹配成功,则允许标签匹配的端点与所述目标解析系统对应端点通信,确定第三层网络层次对应的第五通信规则。
进一步的,所述创建模板单元,包括:
第六确定子单元,用于采用配置的匹配标签及出入口类型,确定流量通过的目标端点及出口;
第六确定规则子单元,用于基于所述目标端点及出口,确定第四层网络层次对应的第六通信规则,其中,所述第六通信规则用于允许标签匹配的端点通过目标协议和目标端点向外发送数据;
第六创建子单元,用于根据所述第六通信规则,创建第四层网络策略模板。
进一步的,所述创建模板单元,包括:
第七确定子单元,用于采用配置的匹配标签及出入口类型,确定流量通过的目标请求和目标端点;
第七确定规则子单元,用于基于所述目标请求和目标端点,确定第七层或组合网络层次对应的第七通信规则,其中,所述第七通信规则用于允许标签匹配的端点响应于所述目标请求与所述目标端点通信;
第七创建子单元,用于根据所述第七通信规则,创建第七层或组合网络层次的网络策略模板。
进一步的,所述调整网络策略模版模块502,包括:
获取配置项子模块,用于获取已配置的功能配置项,其中,所述功能配置项包括资源域、应用空间、匹配标签和网络策略模板配置项;
获取模板子模块,用于基于所述网络策略模板配置项,获取所述网络策略模板配置项对应的所述网络策略模板;
调整模版子模块,用于按照已配置的所述应用空间和所述匹配标签,对所述网络策略模板的参数进行调整。
进一步的,所述功能配置项还包括编辑配置项,所述编辑配置项用于修改和删除所述网络策略模板。
进一步的,所述装置,还包括:
模板无效模块,用于若所述应用空间和所述匹配标签未配置,则获取的所述网络策略模板配置项对应的所述网络策略模板无效;
模板修改模块,用于对所述应用空间和所述匹配标签配置项进行修改,以使所述网络策略模板有效。
进一步的,所述应用网络策略模板模块503,包括:
确定配置子模块,用于当所述网络策略模板动态调整至匹配目标作用域时,确定所述网络策略模板配置完成;其中,目标作用域是策略匹配的租户资源域;
应用子模块,用于控制所述网络策略模板在所述目标作用域应用。
可选地,所述装置,还包括:
监测模板模块,用于监测所述网络层次对应的网络策略模板;
处理模板模块,用于若预设周期内所述网络策略模板不满足目标作用域的网络隔离需求,则对所述网络策略模板进行修改或删除。
需要说明的是,对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明实施例提供的网络策略配置装置,通过获取多种网络层次的预设网络策略,分别创建网络层次对应的网络策略模板,网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略;获取功能配置项,基于功能配置项对网络策略模板进行调整,当网络策略模板调整至匹配目标作用域时,将网络策略模板在目标作用域应用。本发明利用创建多种网络层次的网络策略模板,实现第三层、第四层、第七层或组合网络层次的网络策略,并且基于功能配置项对网络策略模板进行详细调整,以使配置后的网络策略模板满足精准细粒度控制云原生应用网络隔离策略,将匹配目标作用域的网络策略模板在目标作用域应用,实现了为同一个资源域或者指定租户应用空间内具有相同安全保护需求并相互信任的应用服务提供安全访问策略的目标,保证了容器集群中高度动态化的微服务应用之间的安全隔离和高可达。
本发明实施例还提供了一种电子设备,如图8所示,包括处理器601、通信接口602、存储器603和通信总线604,其中,处理器601,通信接口602,存储器603通过通信总线604完成相互间的通信,
存储器603,用于存放计算机程序;
处理器601,用于执行存储器603上所存放的程序时,可以实现如下步骤:
获取多种网络层次的预设网络策略,分别创建所述网络层次对应的网络策略模板;其中,所述网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略;
获取功能配置项,基于所述功能配置项对所述网络策略模板进行调整;
当所述网络策略模板调整至匹配目标作用域时,将所述网络策略模板在所述目标作用域应用。
上述终端提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的内存状态检测。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的内存状态检测。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或第三数据库通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或第三数据库进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、第三数据库等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk (SSD))等。
需要说明的是,在本文中,诸如第一和第一等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (20)
1.一种网络策略配置方法,其特征在于,所述方法包括:
获取多种网络层次的预设网络策略,分别创建所述网络层次对应的网络策略模板;其中,所述网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略;
获取功能配置项,基于所述功能配置项对所述网络策略模板进行调整;
当所述网络策略模板调整至匹配目标作用域时,将所述网络策略模板在所述目标作用域应用。
2.根据权利要求1所述的方法,其特征在于,所述获取多种网络层次的预设网络策略,分别创建所述网络层次对应的网络策略模板,包括:
获取多种网络层次的预设网络策略的待配置的参数项,其中,所述参数项包括基础规则类型、出入口类型及网络层次;
根据配置的所述基础规则类型和所述出入口类型,创建多种所述网络层次对应的网络策略模板。
3.根据权利要求2所述的方法,其特征在于,所述根据配置的所述基础规则类型和所述出入口类型,创建多种所述网络层次对应的网络策略模板,包括:
对所述基础规则类型和出入口类型进行配置,确定所述网络层次中流量通过的通信规则;
根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板。
4.根据权利要求3所述的方法,其特征在于,所述对所述基础规则类型和出入口类型进行配置,确定所述网络层次中流量通过的通信规则,包括:
对所述基础规则类型的第一配置项进行配置,其中,所述第一配置项包括匹配标签、服务、主机、IP/CIDR以及域名解析系统;
根据所述网络层次的流量通过方向,对所述出入口类型进行配置;
响应于配置的第一配置项和出入口类型,确定所述网络层次中流量通过的通信规则。
5.根据权利要求3所述的方法,其特征在于,所述根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括:
采用配置的匹配标签和出入口类型,确定流量通过的目标端点及方向;
基于所述目标端点及方向,确定第三层网络层次对应的第一通信规则,其中,所述第一通信规则用于允许标签匹配的端点与所述目标端点通信;
根据所述第一通信规则,创建第三层网络策略模板。
6.根据权利要求3所述的方法,其特征在于,所述根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括:
采用配置的匹配标签、服务及出入口类型,确定流量通过的目标服务及方向;
基于所述目标服务及方向,确定第三层网络层次对应的第二通信规则,其中,所述第二通信规则用于允许标签匹配的端点与所述目标服务对应端点通信;
根据所述第二通信规则,创建第三层网络策略模板。
7.根据权利要求3所述的方法,其特征在于,所述根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括:
采用配置的匹配标签、主机及出入口类型,确定流量通过的目标主机及方向;
基于所述目标主机及方向,确定第三层网络层次对应的第三通信规则,其中,所述第三通信规则用于允许标签匹配的端点访问所述目标主机对应端点,以及接收所述目标主机对应端点流量;
根据所述第三通信规则,创建第三层网络策略模板。
8.根据权利要求3所述的方法,其特征在于,所述根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括:
采用配置的匹配标签、IP/CIDR及出入口类型,确定流量通过的外部IP/CIDR及方向;
基于所述外部IP/CIDR及方向,确定第三层网络层次对应的第四通信规则,其中,所述第四通信规则用于允许标签匹配端点与所述外部IP/CIDR通信;
根据所述第四通信规则,创建第三层网络策略模板。
9.根据权利要求3所述的方法,其特征在于,所述根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括:
采用配置的匹配标签、域名解析系统及出入口类型,确定流量通过的目标域名解析系统及方向;
基于所述目标域名解析系统及方向,确定第三层网络层次对应的第五通信规则,其中,所述第五通信规则用于允许标签匹配的端点与所述目标解析系统对应端点通信;
根据所述第五通信规则,创建第三层网络策略模板。
10.根据权利要求9所述的方法,其特征在于,所述基于所述目标域名解析系统及方向,确定第三层网络层次对应的第五通信规则,包括:
响应于远程服务请求,通过预设网络组件获取所述远程服务请求的网络地址;
基于所述目标域名解析系统及方向查询预设规则表,匹配所述远程服务请求的网络地址;
若匹配成功,则允许标签匹配的端点与所述目标解析系统对应端点通信,确定第三层网络层次对应的第五通信规则。
11.根据权利要求3所述的方法,其特征在于,所述根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括:
采用配置的匹配标签及出入口类型,确定流量通过的目标端点及出口;
基于所述目标端点及出口,确定第四层网络层次对应的第六通信规则,其中,所述第六通信规则用于允许标签匹配的端点通过目标协议和目标端点向外发送数据;
根据所述第六通信规则,创建第四层网络策略模板。
12.根据权利要求3所述的方法,其特征在于,所述根据确定的所述通信规则,分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板,包括:
采用配置的匹配标签及出入口类型,确定流量通过的目标请求和目标端点;
基于所述目标请求和目标端点,确定第七层或组合网络层次对应的第七通信规则,其中,所述第七通信规则用于允许标签匹配的端点响应于所述目标请求与所述目标端点通信;
根据所述第七通信规则,创建第七层或组合网络层次的网络策略模板。
13.根据权利要求1所述的方法,其特征在于,所述获取功能配置项,基于所述功能配置项调整所述网络策略模板,包括:
获取已配置的功能配置项,其中,所述功能配置项包括资源域、应用空间、匹配标签和网络策略模板配置项;
基于所述网络策略模板配置项,获取所述网络策略模板配置项对应的所述网络策略模板;
按照已配置的所述应用空间和所述匹配标签,对所述网络策略模板的参数进行调整。
14.根据权利要求13所述的方法,其特征在于,所述功能配置项还包括编辑配置项,所述编辑配置项用于修改和删除所述网络策略模板。
15.根据权利要求13所述的方法,其特征在于,所述按照已配置的所述应用空间和所述匹配标签,对所述网络策略模板的参数进行调整之前,还包括:
若所述应用空间和所述匹配标签未配置,则获取的所述网络策略模板配置项对应的所述网络策略模板无效;
对所述应用空间和所述匹配标签配置项进行修改,以使所述网络策略模板有效。
16.根据权利要求1所述的方法,其特征在于,所述当所述网络策略模板调整至匹配目标作用域时,将所述网络策略模板在所述目标作用域应用,包括:
当所述网络策略模板动态调整至匹配目标作用域时,确定所述网络策略模板配置完成;其中,目标作用域是策略匹配的租户资源域;
控制所述网络策略模板在所述目标作用域应用。
17.根据权利要求16所述的方法,其特征在于,所述当所述网络策略模板调整至匹配目标作用域时,将所述网络策略模板在所述目标作用域应用之后,还包括:
监测所述网络层次对应的网络策略模板;
若预设周期内所述网络策略模板不满足目标作用域的网络隔离需求,则对所述网络策略模板进行修改或删除。
18.一种网络策略配置装置,其特征在于,所述装置包括:
创建网络策略模板模块,用于获取多种网络层次的预设网络策略,分别创建所述网络层次对应的网络策略模板;其中,所述网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略;
调整网络策略模版模块,用于获取功能配置项,基于所述功能配置项对所述网络策略模板进行调整;
应用网络策略模板模块,用于当所述网络策略模板调整至匹配目标作用域时,将所述网络策略模板在所述目标作用域应用。
19.一种电子设备,其特征在于,包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至17中任一项所述的网络策略配置方法的步骤。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至17中任一项所述的网络策略配置方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311173204.0A CN116980229B (zh) | 2023-09-12 | 2023-09-12 | 网络策略配置方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311173204.0A CN116980229B (zh) | 2023-09-12 | 2023-09-12 | 网络策略配置方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116980229A true CN116980229A (zh) | 2023-10-31 |
| CN116980229B CN116980229B (zh) | 2024-02-02 |
Family
ID=88478180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311173204.0A Active CN116980229B (zh) | 2023-09-12 | 2023-09-12 | 网络策略配置方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116980229B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117978554A (zh) * | 2024-04-01 | 2024-05-03 | 浪潮通用软件有限公司 | 一种基于配置的微服务隔离运行方法、设备及介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607305A (zh) * | 2013-11-26 | 2014-02-26 | 北京华胜天成科技股份有限公司 | 一种分布式网络策略实现方法和装置 |
-
2023
- 2023-09-12 CN CN202311173204.0A patent/CN116980229B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607305A (zh) * | 2013-11-26 | 2014-02-26 | 北京华胜天成科技股份有限公司 | 一种分布式网络策略实现方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 小虎牙: "从cilium角度理解L3、L4、L7层网络策略的区别", Retrieved from the Internet <URL:https://www.cnblogs.com/janeysj/p/14548015.html> * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117978554A (zh) * | 2024-04-01 | 2024-05-03 | 浪潮通用软件有限公司 | 一种基于配置的微服务隔离运行方法、设备及介质 |
| CN117978554B (zh) * | 2024-04-01 | 2024-06-18 | 浪潮通用软件有限公司 | 一种基于配置的微服务隔离运行方法、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116980229B (zh) | 2024-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10469314B2 (en) | API gateway for network policy and configuration management with public cloud | |
| US20210273853A1 (en) | System, apparatus and method for dynamically updating the configuration of a network device | |
| US9531664B2 (en) | Selecting between domain name system servers of a plurality of networks | |
| US10547503B2 (en) | Network connected device usage profile management | |
| US10868833B2 (en) | DNS or network metadata policy for network control | |
| CN107733670B (zh) | 一种转发策略配置方法和装置 | |
| US10225172B2 (en) | Tap technology selection | |
| CN110247784B (zh) | 确定网络拓扑结构的方法和装置 | |
| RU2595517C2 (ru) | Объекты виртуального сетевого интерфейса | |
| CN103403707B (zh) | 用于数据库代理请求交换的系统和方法 | |
| WO2016029821A1 (zh) | 一种虚拟网络实例的创建方法以及设备 | |
| US10616179B1 (en) | Selective routing of domain name system (DNS) requests | |
| US11985127B2 (en) | Systems and methods for automated network-based rule generation and configuration of different network devices | |
| US20130111024A1 (en) | Dynamic Walled Garden | |
| CN116980229B (zh) | 网络策略配置方法、装置、电子设备及存储介质 | |
| US9065832B2 (en) | Method and apparatus for automated network connectivity for managed application components within a cloud | |
| US9571352B2 (en) | Real-time automated virtual private network (VPN) access management | |
| CN109617753B (zh) | 一种网络平台管理方法、系统及电子设备和存储介质 | |
| CN106487870B (zh) | 针对虚拟化技术部件的动作执行架构 | |
| US9847927B2 (en) | Information processing device, method, and medium | |
| US10931630B2 (en) | System and method for connecting using aliases | |
| US11818101B2 (en) | Context-based path selection for VPN clients to facilitate remote access to network-based applications | |
| CN112787947A (zh) | 网络业务的处理方法、系统和网关设备 | |
| KR102385707B1 (ko) | 호스트 추상화를 이용한 sdn 네트워크 시스템 및 그 구현방법 | |
| US11528206B2 (en) | Identifying and mapping applications to devices in a network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |