CN117081811A - 容器化场景下的网络流量编排方法、系统及相关设备 - Google Patents
容器化场景下的网络流量编排方法、系统及相关设备 Download PDFInfo
- Publication number
- CN117081811A CN117081811A CN202311062280.4A CN202311062280A CN117081811A CN 117081811 A CN117081811 A CN 117081811A CN 202311062280 A CN202311062280 A CN 202311062280A CN 117081811 A CN117081811 A CN 117081811A
- Authority
- CN
- China
- Prior art keywords
- traffic
- security
- network traffic
- transmitted
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000001514 detection method Methods 0.000 claims abstract description 17
- 238000012544 monitoring process Methods 0.000 claims description 11
- 230000002159 abnormal effect Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 6
- 230000000875 corresponding effect Effects 0.000 description 27
- 238000010586 diagram Methods 0.000 description 24
- 238000012545 processing Methods 0.000 description 14
- 230000006855 networking Effects 0.000 description 11
- 238000012550 audit Methods 0.000 description 9
- 230000004044 response Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000002265 prevention Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 239000000306 component Substances 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 101100513046 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) eth-1 gene Proteins 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种容器化场景下的网络流量编排方法、系统、装置、设备和介质,涉及网络安全技术领域。该方法包括:获取待传输网络流量的流量编排信息,其中,流量编排信息为根据待传输网络流量的安全服务需求和预先构建的安全能力容器池配置的流量转发路由信息,安全能力容器池中包含:对网络流量进行安全检测服务的多个安全能力容器,流量转发路由信息为网络流量在安全能力容器池内流经一个或多个安全能力容器的路由信息;将待传输网络流量的流量编排信息发送至安全能力容器池内相应的安全能力容器,以使接收到流量编排信息的安全能力容器转发待传输网络流量。本公开能够提高网络的安全性和可控性。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种容器化场景下的网络流量编排方法、系统、装置、设备和介质。
背景技术
安全能力云化是指通过构建安全能力容器池,将传统的硬件安全设备通过虚拟化形式部署,安全能力容器池由多台物理服务器以及业务交换机组成,部署虚拟化容器Docker云底座,将传统的安全能力设备打包成Docker镜像,然后在Docker中运行,以此来避免设备与底层系统的耦合,减少对底层系统的依赖,使设备更加独立、便于移植。此外,Docker还提供了一些安全机制,如命名空间、控制组等,可以进一步提高设备的安全性。
由于不同的源在没有流量编排的情况下,经过路由能够直接访问目的地址,在某些情况下,用户希望对访问目的地址的流量进行安全审计或者攻击检测等安全防护策略,结合上述安全能力容器池的背景下,相关技术中尚且无法实现基于容器化场景下,实现对网络流量根据用户自定义的需求,进行流量编排的方法。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开提供一种容器化场景下的网络流量编排方法、系统、装置、设备和介质,至少在一定程度上克服相关技术中在容器化场景下无法实现网络流量的定制化防护的问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供了一种容器化场景下的网络流量编排方法,包括:获取待传输网络流量的流量编排信息,其中,所述流量编排信息为根据所述待传输网络流量的安全服务需求和预先构建的安全能力容器池配置的流量转发路由信息,所述安全能力容器池中包含:对网络流量进行安全检测服务的多个安全能力容器,所述流量转发路由信息为网络流量在所述安全能力容器池内流经一个或多个安全能力容器的路由信息;将所述待传输网络流量的流量编排信息发送至所述安全能力容器池内相应的安全能力容器,以使接收到所述流量编排信息的安全能力容器转发待传输网络流量。
在一些实施例中,将所述待传输网络流量的流量编排信息发送至所述安全能力容器池内相应的安全能力容器,包括:通过网络代理客户端将所述待传输网络流量的流量编排信息发送至所述安全能力容器池内相应安全能力容器所在的宿主机,其中,所述网络代理客户端被安装在所述宿主机上。
在一些实施例中,在通过网络代理客户端将所述待传输网络流量的流量编排信息发送至所述安全能力容器池内相应安全能力容器所在的宿主机之前,所述方法还包括:将所述待传输网络流量的流量编排信息经网络流量交换机传输至所述安全能力容器池,其中,所述网络流量交换机为网络流量传入所述安全能力容器池的入口与所述安全能力容器池传出网络流量的出口。
在一些实施例中,所述待传输网络流量的流量编排信息包括流表配置信息和服务节点配置信息,其中,所述流表配置信息用于配置流表来指示待传输的网络流量流经所述待传输网络流量的安全服务需求中涉及的所述安全能力容器池中的一个或多个安全能力容器,所述服务节点配置信息用于配置服务节点来根据所述流表传输待传输的网络流量。
在一些实施例中,所述安全能力容器池内的多个安全能力容器部署在多台宿主机上;所述流量编排信息包括:主链路和备用链路的流量转发路由信息,所述主链路和所述备用链路上的安全能力容器部署在不同的宿主机上。
在一些实施例中,在将所述待传输网络流量的流量编排信息发送至所述安全能力容器池内相应的安全能力容器,以使接收到所述流量编排信息的安全能力容器转发待传输网络流量之后,所述方法还包括:监测主链路上各个安全能力容器所在的宿主机的设备状态;当所述主链路上任意一个安全能力容器所在宿主机的设备状态存在异常的情况下,控制所述安全能力容器池将待传输的网络流量切换至备用链路上相应的安全能力容器。
在一些实施例中,在将所述待传输网络流量的流量编排信息发送至所述安全能力容器池内相应的安全能力容器,以使接收到所述流量编排信息的安全能力容器转发待传输网络流量之后,所述方法还包括:监测待传输的网络流量是否流经由所述主链路和/或所述备用链路构成的一条完整链路上的任意一个安全能力容器;当所述待传输的网络流量未流经所述链路上的任意一个安全能力容器的情况下,禁止所述待传输的网络流量继续传输。
根据本公开的另一个方面,还提供了一种容器化场景下的网络流量编排系统,包括:流量编排信息下发平台、控制器、网络代理客户端;其中,所述流量编排信息下发平台用于将待传输网络流量的流量编排信息下发至所述控制器;所述控制器与所述流量编排信息下发平台和所述网络代理客户端相连,用于获取所述流量编排信息下发平台下发的待传输网络流量的流量编排信息,其中,所述流量编排信息为根据所述待传输网络流量的安全服务需求和预先构建的安全能力容器池配置的流量转发路由信息,所述安全能力容器池中包含:对网络流量进行安全检测服务的多个安全能力容器,所述流量转发路由信息为网络流量在所述安全能力容器池内流经一个或多个安全能力容器的路由信息;所述网络代理客户端用于将所述控制器获取的待传输网络流量的流量编排信息发送至所述安全能力容器池内相应的安全能力容器,以使接收到所述流量编排信息的安全能力容器转发待传输网络流量。
根据本公开的另一个方面,还提供了一种容器化场景下的网络流量编排装置,包括:流量编排信息获取模块,用于获取待传输网络流量的流量编排信息,其中,所述流量编排信息为根据所述待传输网络流量的安全服务需求和预先构建的安全能力容器池配置的流量转发路由信息,所述安全能力容器池中包含:对网络流量进行安全检测服务的多个安全能力容器,所述流量转发路由信息为网络流量在所述安全能力容器池内流经一个或多个安全能力容器的路由信息;流量编排信息发送模块,用于将所述待传输网络流量的流量编排信息发送至所述安全能力容器池内相应的安全能力容器,以使接收到所述流量编排信息的安全能力容器转发待传输网络流量。
根据本公开的另一个方面,还提供了一种电子设备,该电子设备包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的容器化场景下的网络流量编排方法。
根据本公开的另一个方面,还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的容器化场景下的网络流量编排方法。
根据本公开的另一个方面,还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现上述任意一项的容器化场景下的网络流量编排方法。
本公开的实施例中提供的容器化场景下的网络流量编排方法、系统、装置、设备和介质,将获取到的待传输网络流量的流量编排信息发送至安全能力容器池内相应的安全能力容器,使接收到流量编排信息的安全能力容器按安全服务需求转发待传输的网络流量。本公开实施例能够在容器化场景下实现网络流量的定制化审计和防护,提高容器化场景下安全能力的稳定性和可靠性,同时为用户提供更加安全、高效和可靠的安全能力服务,提高用户的使用体验。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了一种安全能力容器池的结构示意图;
图2示出了一种安全能力容器池容器化组网的结构示意图;
图3示出本公开实施例中一种容器化场景下的网络流量编排方法流程图;
图4示出本公开实施例中一种网络流量编排示意图;
图5示出了本公开实施例中另一种安全能力容器池容器化组网的结构示意图;
图6示出了本公开实施例中另一种基于实验环境下的安全能力容器池容器化组网的结构示意图;
图7示出了本公开实施例中另一种安全能力容器池容器化组网的结构示意图;
图8示出本公开实施例中一种网络代理客户端的结构示意图;
图9示出本公开实施例中一种容器化场景下的网络流量编排系统结构示意图;
图10示出本公开实施例中另一种容器化场景下的网络流量编排系统结构示意图;
图11示出本公开实施例中一种容器化场景下的网络流量编排装置示意图;
图12示出本公开实施例中一种电子设备的框图;
图13示出本公开实施例中一种计算机可读存储介质示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
为便于理解,在介绍本公开实施例之前,首先对本公开实施例中涉及到的几个名词进行解释如下:
FW:Firewall,防火墙;
IPS:Intrusion Prevention System,入侵防御系统;
WAF:Web Application Firewall,Web应用防火墙;
QoS:Quality of Service,服务质量;
Vlan:Virtual Local Area Network,虚拟局域网;
NIC:Network Interface Card,网卡;
NGFW:Next Generation Firewall,下一代防火墙;
SC:Service Classifier,业务分类节点;
DdoS:Distributed Denial of Service,分布式拒绝服务;
MPLS:Multi-Protocol Label Switching,多协议标签交换;
PBR:Policy-Based Routing,策略路由;
ACL:Access Control Lists,访问控制列表。
下面结合附图,对本公开实施例的具体实施方式进行详细说明。
图1示出了一种安全能力容器池的结构示意图。如图1所示,该安全能力容器池结构包括:业务网101、引流路由器102、业务交换机103、防火墙104、入侵防御系统105和Web应用防火墙106。
其中,待传输的网络流量和其对应的流量编排信息从业务网101处下发,将安全能力设备以Docker的方式进行部署,通过引流路由器102与业务交换机1031进行引流,网络流量进入安全能力容器池后,根据流量编排信息进行编排,网络流量根据用户定义进入不同的虚拟设备,完成流量审计、入侵检测等安全行为审计和防护,保护用户资产。
安全能力设备包括但不限于防火墙104、入侵防御系统105和Web应用防火墙106,需要说明的是,本公开实施例对安全能力设备的种类和数量不做具体限定。
图2示出了一种安全能力容器池容器化组网的结构示意图。如图2所示,该组网结构包括:业务交换机103、网卡201和控制器202。
网络流量进入安全能力容器池后,由业务交换机103将其通过网卡201转发至搭载在宿主机(即物理机/虚拟机)内相应的安全能力容器中。
安全能力容器池由多台物理设备或者虚拟设备组成,底层网络通过开源虚拟交换机OpenVSwitch实现,OpenVSwitch可以在虚拟化环境中实现高级网络功能,例如虚拟化网络、流量监控、负载均衡、QoS等。创建OpenVSwitch网桥,其中,br-ex实现Docker容器与外部网络通信;br-tun实现不同宿主机之间的Docker容器通信,例如物理机/虚拟机1与物理机/虚拟机2之间容器A与容器N的通信;br-docker是一个综合性网桥,所有容器都连接在br-docker之上,根据用户需求与组网规划,为不同业务的容器设置Vlan,创建安全能力容器,并在容器中设置Vlan的IP地址和网关等信息,实现Docker环境下的Vlan组网。网卡NIC采用捆绑模式bond进行主备,提高物理资源的可靠性。本公开实施例采用虚拟链路方式组网对于不同类型的安全能力容器,可以保证其业务流量与管理流量隔离,避免广播风暴。
容器A~N为部署在同一台服务器的不同安全原子能力,如容器A为WAF,容器B为IPS,主备链路部署在不同的物理机之间,如物理机/虚拟机1与物理机/虚拟机2同部署的WAF容器互为主备,以确保物理机挂掉后可以走备节点。
控制器202为软件程序,用于控制池内流量编排,控制器与业务交换机103采用网络配置协议NETCONF协议进行管理,可以通过程序向交换机下发配置,如PBR等,用于编排由业务网下发的网络流量的下一跳地址,对于池内,则通过表述性状态传递风格的接口RESTful API形式向池内代理下发链路配置,再由池内代理下发流表,指导池内数据走向。
由控制器202对网络流量的下一跳地址进行编排,将编排后的配置信息下发至业务交换机1031,网络流量进入安全能力容器池后,通过业务交换机1031发送至网卡201进入物理机/虚拟机中。
需要说明的是,bond1表示服务器网卡配置为mod=1,eth0与eth1分别表示第一网络接口与第二网络接口,是由两个网卡虚拟出来的网络接口,可以使用不同的网段。
图3示出本公开实施例中一种容器化场景下的网络流量编排方法流程图,如图3所示,该方法包括如下步骤:
S302,获取待传输网络流量的流量编排信息,其中,流量编排信息为根据待传输网络流量的安全服务需求和预先构建的安全能力容器池配置的流量转发路由信息,安全能力容器池中包含:对网络流量进行安全检测服务的多个安全能力容器,流量转发路由信息为网络流量在安全能力容器池内流经一个或多个安全能力容器的路由信息。
在本公开的一个实施例中,安全服务需求为用户自定义的安全服务需求,例如,用户可根据自身需求购买安全能力容器池内不同安全能力容器提供的安全检测服务,如FW、WAF等;流量编排信息为根据用户购买的安全检测服务形成的链路对应的流量转发路由信息,待传输的网络流量可根据流量编排信息流经安全能力容器池中用户购买的安全监测服务对应的一个或多个安全能力容器。
S304,将待传输网络流量的流量编排信息发送至安全能力容器池内相应的安全能力容器,以使接收到流量编排信息的安全能力容器转发待传输网络流量。
由上述可知,本公开实施例将获取到的待传输网络流量的流量编排信息发送至安全能力容器池内相应的安全能力容器,使接收到流量编排信息的安全能力容器按安全服务需求转发待传输的网络流量。本公开实施例能够在容器化场景下实现网络流量的定制化审计和防护,提高容器化场景下安全能力的稳定性和可靠性,同时为用户提供更加安全、高效和可靠的安全能力服务,提高用户的使用体验。
在本公开的一个实施例中,上述S304包括:通过网络代理客户端将待传输网络流量的流量编排信息发送至安全能力容器池内相应安全能力容器所在的宿主机,其中,网络代理客户端被安装在宿主机上。
网络代理客户端可以安装在宿主机上,可根据接收到的待传输网络流量的流量编排信息创建相应的流表,以使待传输的网络流量被发送至安全能力容器池内相应的安全容器所在的宿主机。宿主机可以为物理机或者虚拟机,需要说明的是,本公开实施例对宿主机的类型不做具体限定。
在本公开的一个实施例中,在通过网络代理客户端将待传输网络流量的流量编排信息发送至安全能力容器池内相应安全能力容器所在的宿主机之前,方法还包括:将待传输网络流量的流量编排信息经网络流量交换机传输至安全能力容器池,其中,网络流量交换机为网络流量传入安全能力容器池的入口与安全能力容器池传出网络流量的出口。
待传输的网络流量通过网络流量交换机(即业务交换机/物理交换机)从客户端(即源IP地址)传入安全能力容器池,并通过网络流量交换机从安全能力池内传出至服务端(即目的IP地址)。
在本公开的一个实施例中,待传输网络流量的流量编排信息包括流表配置信息和服务节点配置信息,其中,流表配置信息用于配置流表来指示待传输的网络流量流经待传输网络流量的安全服务需求中涉及的安全能力容器池中的一个或多个安全能力容器,服务节点配置信息用于配置服务节点来根据流表传输待传输的网络流量。
服务节点可以定位当前网络流量在安全能力容器池中的传输位置,以便于通过流表的方式将网络流量按顺序传输至链路上的下一个安全能力容器中。
在本公开的一个实施例中,安全能力容器池内的多个安全能力容器部署在多台宿主机上;流量编排信息包括:主链路和备用链路的流量转发路由信息,主链路和备用链路上的安全能力容器部署在不同的宿主机上。
在本公开的一个实施例中,在上述S304之后,方法还包括:监测主链路上各个安全能力容器所在的宿主机的设备状态;当主链路上任意一个安全能力容器所在宿主机的设备状态存在异常的情况下,控制安全能力容器池将待传输的网络流量切换至备用链路上相应的安全能力容器。
主链路和备用链路提供的安全检测服务相同,但主链路与备用链路上的安全能力容器部署在不同宿主机上,以便于当部署主链路上安全能力容器的宿主机出现异常时,对备用链路上的安全能力容器不产生影响,以保证安全能力容器正常为用户提供安全检测服务。此时还可将当前正常的链路和异常的链路,以及发生主备切换的链路、发生链路异常可能涉及到的原因上报至管理平台,供运维排查。
在本公开的一个实施例中,在上述S304之后,方法还包括:监测待传输的网络流量是否流经由主链路和/或备用链路构成的一条完整链路上的任意一个安全能力容器;当待传输的网络流量未流经链路上的任意一个安全能力容器的情况下,禁止待传输的网络流量继续传输。
当待传输的网络流量传输至某一安全能力容器时,该安全能力容器对该网络流量进行检测,判断其是否为恶意流量,当该网络流量被判断为恶意流量时,进行拦截。
由于用户的诉求不同,因此需要通过OpenVSwitch完成流量编排。OpenVSwitch的数据平面采用流表的方式进行数据包的处理和转发。流表是一种类似于路由表的数据结构,用于存储交换机的规则和策略,并对数据包进行处理和转发。本公开实施例采用Table:0、Table:5和Table:10完成网络流量的编排与转发。
在OpenVSwitch中,Table:0、Table:5和Table:10代表流表中的不同表格,这些表格是根据开放流OpenFlow协议中定义的流量型安全能力进行分类和排序的,其中,Table:0是OpenVSwitch默认的流表,用于处理网络流量的第一阶段。通常在这个表格中,会配置一些基本的流规则,如源MAC地址、目标MAC地址、源IP地址、目标IP地址等,以便对流量进行初步的分类和处理。Table:5是OpenVSwitch的第五个流表,用于处理网络流量的第二阶段,进行MPLS打标签。Table:10是OpenVSwitch的第十个流表,用于处理网络流量的第三阶段,用于将流量转发至安全能力容器内部。
在本公开的一个实施例中,Table:0用于流量分类,并转发至Group组,其目的在于进行负载均衡,在Group表中,如果当前安全能力容器需要进行负载均衡,则在Group表中根据策略将流量转发至负载均衡组,添加Group便于后续功能拓展;Table:5用于配置MPLS标签与内部Vlan标签,并转发至Table:10;Table:10用于剥离MPLS标签与内部Vlan标签,并转发至对应的安全能力容器的网卡接口。
在本公开的一个实施例中,在Table:0中配置的流规则可以设定优先级,当网络流量进入OpenVSwitch时,会按照设定的优先级进行匹配。若匹配成功,则网络流量会被相应的动作Action处理,同时流表跳转字段会指定将网络流量转发至相应表格进行进一步处理。若在Table:0中的流规则无法匹配到流量,OpenVSwitch会将流量转发至Table:5进行处理。在Table:5中配置的流规则也可以设定优先级和流表跳转字段,以实现更有效的流量控制和安全策略。
在本公开的一个实施例中,可根据用户的需求为每个链路定义一个由一系列服务组成的序列,并制定服务之间的依赖关系。例如,可以定义一个包含WAF、NGFW和IPS服务的业务链,并指定NGFW要在IPS和WAF之间运行。
在OpenVSwitch上配置流表,以实现对不同业务链上网络流量的定向引导。
配置Table:0表:根据源IP地址和目的IP地址匹配流量,并转发至Group组中。例如,根据源IP地址(10.8.4.38/32)及目的IP地址(220.181.38.15)匹配流量,并转发至Group组(Group:1/Group:2)中。
配置Group表:配置目的MAC地址为下一跳入口MAC地址。例如,对于Group1中MAC的地址配置为fa:16:3e:86:d3:45,对于Group2中MAC的地址配置为fa:16:3e:a0:7a:a6,通过“resubmit(,5)”标记转发至Table:5。
配置Table:5:配置MPLS标签和内部Vlan标签并转发至Table:10,例如,增加不同的MPLS标签(500和501)和Vlan标签(10和11)避免重复,通过“resubmit(,10)”标记转发至Table:10。
配置Table:10表:剥离MPLS标签和内部Vlan标签并转发至对应安全能力容器入口。
为每个服务节点配置必要的参数和选项,例如当安全能力容器设定为NGFW或IPS时,则需要设置服务节点的输入和输出接口,以便OpenVS witch可以将网络流量正确地定向到业务链中的各个节点。
在业务交换机上配置PBR策略,根据ACL匹配源IP地址和目的IP地址,修改下一跳至安全能力容器池内链路原子能力的入口IP地址。其中,池内链路原子能力具体指一条具备用户下单的安全原子能力的链路,如用户购买了WAF、IPS和DDoS防护,则访问用户资产(如某省公司的门户网站)的网络流量均会经过WAF、IPS和DDoS防护,WAF、IPS和DDoS防护就构成了一条安全原子能力链路。
本公开实施例在容器化环境下实现流量编排的同时,增强了容器的网络隔离能力,保护了容器内部的应用程序和数据安全。实现统一的流表访问管理和流量控制,提高了容器化网络的可控性,减少了人工手动操作的工作量,降低了维护成本。本公开实施例适用于各种容器化场景,包括但不限于云原生应用和微服务架构等,具有很高的通用性和灵活性。
图4示出本公开实施例中一种网络流量编排示意图,如图4所示,每一个源IP地址访问被防护资产的目的IP地址,则有一条流量。源1IP地址与源2IP地址分别代表用户1和用户2(即租户1和租户2)的源IP地址,租户根据需求下单,流量可根据需求在安全能力容器池内进行编排,包括但不限于各种类型的防火墙(如FW、NGFW、IPS、DDoS)和审计类安全业务(如网络安全审计)等。
租户1预先购买了NGFW和IPS业务,经过池内流量编排,网络流量从源1IP地址出发,经过业务交换机进入安全能力容器池内,通过服务节点与OpenVSwitch按顺序依次流经NGFW和IPS,最终从目的IP地址传出;租户2预先购买了NGFW、FW和其他类型的安全服务,经过池内流量编排,网络流量从源2IP地址出发,经过交换机进入安全能力容器池内,通过服务节点与开源交换机按顺序依次流经NGFW、FW和提供用户购买的其他类型的安全服务的安全能力容器,最终从目的IP地址传出。
图5示出了本公开实施例中另一种安全能力容器池容器化组网的结构示意图,如图5所示,客户端(10.8.4.38/22)将网络流量通过业务交换机的入口传输至安全能力容器池中,按预设顺序依次流经NGFW、IPS和WAF,池内OpenVSwitch配置Table:0、Table:5和Table:10,其中,五角星位置为分类器(Table:0)进行分类的位置,根据所访问的IP地址(220.181.38.150)修改下一跳的MAC地址,并通过Table:5和Table:10将网络流量转发至IPS,重复上述步骤再将网络流量从IPS转发至WAF以及从WAF转出,最后经过业务交换机将网络流量转发至服务端(220.181.38.150)。
图6示出了本公开实施例中另一种基于实验环境下的安全能力容器池容器化组网的结构示意图,如图6所示,其中客户端client(10.0.12.123)模拟用户,服务端serve(10.0.13.104)表示被防护资产,在客户端与服务端之间的设备为物理交换机(即业务交换机),业务链中IPS、WAF和DDoS表示容器化形式的安全能力。当用户下单购买了上述三个防护能力时,控制器下发配置至安全能力容器池内网络代理客户端,代理配置OpenVSwitch的Table:0、Table:5和Table:10,网络流量经过安全能力容器池,会根据被防护的IP地址(10.0.13.104)进行流量分类,图中五角星位置为分类器(Table:0)进行分类的位置,根据所访问的IP地址(10.0.13.104)修改其下一跳的MAC地址,并通过Table:5和Table:10将网络流量转发至第二个安全能力容器(Web应用防火墙)内,按上述方式经过不同的防护设备后,网络流量可转发至服务端(10.0.13.104)。若网络流量在传输的过程中,被任意一个业务链上的安全能力容器判断为恶意流量,则进行拦截。
需要说明的是,上述将安全能力容器设定为IPS、WAF和DDoS仅起到示例性作用,在实际使用中可根据用户需求进行设定,本公开实施例对业务链上安全能力容器的类型和数量不做具体限定。
图7示出了本公开实施例中另一种安全能力容器池容器化组网的结构示意图,如图7所示,宿主机(即物理机/虚拟机)上搭载两种安全能力容器,例如WAF和IPS。通过流量编排,网络流量经过安全能力容器池内的安全能力容器,完成安全行为审计,到达目的地址(220.181.38.151)。用户可以根据需求定制所经过的容器,上层平台(即流量编排信息下发平台,通常由运营商或厂家负责)下发配置至控制器,再由控制器将流量编排方案下发至池内,网络流量经过业务交换机引流至池内,根据分类器(图中标注五角星的位置)修改下一跳MAC地址,完成网络流量转发,再由业务交换机网关转出至目的IP地址(220.181.38.151),完成流量编排。
由于流量型业务需求上下行流量均通过安全能力容器,如IPS、WAF和DDoS进行流量防护,此时,分为上行流量和下行流量,例如客户端为用户,服务端为某网站,当用户访问该网站时,为上行流量,当该网站的服务器向用户反馈时,为下行流量。
图8示出本公开实施例中一种网络代理客户端的结构示意图,如图8所示,该网络代理客户端80包括:认证引擎801、代理引擎802、协议适配器803、流表管理器804、日记记录器805和状态监控器806。
认证引擎801用于验证用户身份,以保证用户的身份和数据的安全性,提高系统的性能,并为审计和安全检查提供支持。
代理引擎802用于处理网络请求和响应的核心组件,负责将请求北向接口接收并转发给流表管理器804,同时将响应从服务器接收并转发回客户端,其中,响应指代理将配置下发至OpenVSwitch后,OpenVSwitch响应(即配置成功或配置失败等)。代理引擎802通常还负责处理协议转换、数据加密和解密等任务。安全能力容器池内控制器将从北向接口处接收到的链路配置信息(即用户防护的IP地址、用户购买的安全防护业务MAC地址等配置信息)下发至安全能力容器池内网络代理客户端80,此时代理引擎802将上述配置信息写入OpenVSwitch流表内,用于池内业务引流。
协议适配器803用于将代理引擎与具体的协议进行适配。不同的协议具有不同的数据格式和通信方式,协议适配器803可以将代理引擎802的通用接口转换为特定协议的接口,使其能够处理不同类型的网络请求。
流表管理器804用于管理的流表信息,包括创建、删除、修改和查询流表等操作,可根据网络拓扑和业务需求,灵活配置流表,实现网络流量的控制和管理,从而对网络流量进行编排。
日记记录器805用于记录网络代理客户端的运行日志,包括请求和响应的详细信息、错误和警告灯。日记记录器805通常支持多种日志级别,以便管理员能够根据需要选择记录详细信息或仅记录关键信息。
状态监控器806用于监控网络代理客户端80的运行状态,包括CPU和内存使用率、网络流量、连接数等。状态监控器806通常提供一个可视化的监控界面,以便于管理员能够实时了解网络代理客户端80的运行状态。
在本公开的一个实施例中,网络代理客户端用于接收控制器或者北向平台请求,根据链路信息实施方案,安全能力容器池内多台物理设备需安装该客户端,例如池内X86服务器,并提供北向接口,完全请求接收、流表下发、状态监控等功能。需要说明的是,上述网络代理客户端的安装位置仅做示例性展示,本公开实施例对网络代理客户端的安装位置不做具体限定。
图9示出本公开实施例中一种容器化场景下的网络流量编排系统结构示意图,如图9所示,该系统包括:流量编排信息下发平台901、控制器902和网络代理客户端903。
其中,流量编排信息下发平台901用于将待传输网络流量的流量编排信息下发至控制器902;控制器902与流量编排信息下发平台901和网络代理客户端903相连,用于获取流量编排信息下发平台下发的待传输网络流量的流量编排信息,其中,流量编排信息为根据待传输网络流量的安全服务需求和预先构建的安全能力容器池配置的流量转发路由信息,安全能力容器池中包含:对网络流量进行安全检测服务的多个安全能力容器,流量转发路由信息为网络流量在安全能力容器池内流经一个或多个安全能力容器的路由信息;网络代理客户端903用于将控制器902获取的待传输网络流量的流量编排信息发送至安全能力容器池内相应的安全能力容器,以使接收到流量编排信息的安全能力容器转发待传输网络流量。
由上述可知,本公开实施例将获取到的待传输网络流量的流量编排信息发送至安全能力容器池内相应的安全能力容器,使接收到流量编排信息的安全能力容器按安全服务需求转发待传输的网络流量。本公开实施例能够在容器化场景下实现网络流量的定制化审计和防护,提高容器化场景下安全能力的稳定性和可靠性,同时为用户提供更加安全、高效和可靠的安全能力服务,提高用户的使用体验。
图10示出本公开实施例中另一种容器化场景下的网络流量编排系统结构示意图,如图10所示,该系统包括:流量编排信息下发平台901、控制器902、网络代理客户端903、开源虚拟交换机(OpenVSwitch)1004、物理机/虚拟机1005和业务交换机1006。
其中,流量编排信息下发平台901为运用商或厂家负责的信息下发平台,将用户的链路配置下发至控制器902的北向接口,控制器902调用安全能力容器池内的网络代理客户端903将链路配置信息经开源虚拟交换机1004下发至物理机/虚拟机1005。业务交换机1006将待传输的网络流量通过控制器902传输至安全能力容器池中,经过链路上的安全能力容器后到达用户配置中的目的地址。
池内网络代理客户端903中的状态监测器与开源虚拟交换机1004将链路状态、容器状态、负载等信息反馈至控制器902,其中,状态监测器只负责收集信息,并不做判断,由控制器902决策链路是否正常,根据决策进行链路切换、容器绕过以及负载均衡等措施,保证安全能力容器池的高度可用性。
例如,控制器902采集到信息后,根据流表状态、数据转发状态判断链路是否正常,即链路上的安全能力容器所在的宿主机状态是否正常,若判断不正常,则主动进行链路切换,并将链路状态上报至流量编排信息下发平台,即将发生主备切换的链路,目前正常的链路和异常的链路,已经判断链路异常的原因进行上报,供运维部门进行排查。
基于同一发明构思,本公开实施例中还提供了一种容器化场景下的网络流量编排装置,如下面的实施例所述。由于该装置实施例解决问题的原理与上述方法实施例相似,因此该装置实施例的实施可以参见上述方法实施例的实施,重复之处不再赘述。
图11示出本公开实施例中一种容器化场景下的网络流量编排装置示意图,如图11所示,该装置包括:流量编排信息获取模块1101和流量编排信息发送模块1102。
其中,流量编排信息获取模块1101用于获取待传输网络流量的流量编排信息,其中,流量编排信息为根据待传输网络流量的安全服务需求和预先构建的安全能力容器池配置的流量转发路由信息,安全能力容器池中包含:对网络流量进行安全检测服务的多个安全能力容器,流量转发路由信息为网络流量在安全能力容器池内流经一个或多个安全能力容器的路由信息;流量编排信息发送模块1102用于将待传输网络流量的流量编排信息发送至安全能力容器池内相应的安全能力容器,以使接收到流量编排信息的安全能力容器转发待传输网络流量。
由上述可知,本公开实施例将获取到的待传输网络流量的流量编排信息发送至安全能力容器池内相应的安全能力容器,使接收到流量编排信息的安全能力容器按安全服务需求转发待传输的网络流量。本公开实施例能够在容器化场景下实现网络流量的定制化审计和防护,提高容器化场景下安全能力的稳定性和可靠性,同时为用户提供更加安全、高效和可靠的安全能力服务,提高用户的使用体验。
在本公开的一个实施例中,流量编排信息发送模块1102还用于通过网络代理客户端将待传输网络流量的流量编排信息发送至安全能力容器池内相应安全能力容器所在的宿主机,其中,网络代理客户端被安装在宿主机上。
在本公开的一个实施例中,流量编排信息发送模块1102还用于将待传输网络流量的流量编排信息经网络流量交换机传输至安全能力容器池,其中,网络流量交换机为网络流量传入安全能力容器池的入口与安全能力容器池传出网络流量的出口。
在本公开的一个实施例中,待传输网络流量的流量编排信息包括流表配置信息和服务节点配置信息,其中,流表配置信息用于配置流表来指示待传输的网络流量流经待传输网络流量的安全服务需求中涉及的安全能力容器池中的一个或多个安全能力容器,服务节点配置信息用于配置服务节点来根据流表传输待传输的网络流量。
在本公开的一个实施例中,安全能力容器池内的多个安全能力容器部署在多台宿主机上;流量编排信息包括:主链路和备用链路的流量转发路由信息,主链路和备用链路上的安全能力容器部署在不同的宿主机上。
在本公开的一个实施例中,网络流量编排装置还包括:链路监控模块1103用于监测主链路上各个安全能力容器所在的宿主机的设备状态;当主链路上任意一个安全能力容器所在宿主机的设备状态存在异常的情况下,控制安全能力容器池将待传输的网络流量切换至备用链路上相应的安全能力容器。
在本公开的一个实施例中,链路监控模块1103还用于监测待传输的网络流量是否流经由主链路和/或备用链路构成的一条完整链路上的任意一个安全能力容器;当待传输的网络流量未流经链路上的任意一个安全能力容器的情况下,禁止待传输的网络流量继续传输。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图12来描述根据本公开的这种实施方式的电子设备1200。图12显示的电子设备1200仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
图12示出本公开实施例中一种电子设备的框图。下面参照图12来描述根据本公开的这种实施方式的电子设备1200。图12显示的电子设备1200仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图12所示,电子设备1200以通用计算设备的形式表现。电子设备1200的组件可以包括但不限于:上述至少一个处理单元1210、上述至少一个存储单元1220、连接不同系统组件(包括存储单元1220和处理单元1210)的总线1230。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元1210执行,使得所述处理单元1210执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元1210可以执行上述方法实施例的如下步骤:获取待传输网络流量的流量编排信息,其中,流量编排信息为根据待传输网络流量的安全服务需求和预先构建的安全能力容器池配置的流量转发路由信息,安全能力容器池中包含:对网络流量进行安全检测服务的多个安全能力容器,流量转发路由信息为网络流量在安全能力容器池内流经一个或多个安全能力容器的路由信息;将待传输网络流量的流量编排信息发送至安全能力容器池内相应的安全能力容器,以使接收到流量编排信息的安全能力容器转发待传输网络流量。
存储单元1220可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)12201和/或高速缓存存储单元12202,还可以进一步包括只读存储单元(ROM)12203。
存储单元1220还可以包括具有一组(至少一个)程序模块12205的程序/实用工具12204,这样的程序模块12205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线1230可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备1200也可以与一个或多个外部设备1240(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备1200交互的设备通信,和/或与使得该电子设备1200能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1250进行。并且,电子设备1200还可以通过网络适配器1260与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器1260通过总线1230与电子设备1200的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备1200使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机程序产品,该计算机程序产品包括:计算机程序,所述计算机程序被处理器执行时实现上述容器化场景下的网络流量编排方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质可以是可读信号介质或者可读存储介质。图13示出本公开实施例中一种计算机可读存储介质示意图,如图13所示,该计算机可读存储介质上存储有能够实现本公开上述方法的程序产品1300。在一些可能的实施方式中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。
本公开中的计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
在本公开中,计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可选地,计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
在具体实施时,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
Claims (11)
1.一种容器化场景下的网络流量编排方法,其特征在于,包括:
获取待传输网络流量的流量编排信息,其中,所述流量编排信息为根据所述待传输网络流量的安全服务需求和预先构建的安全能力容器池配置的流量转发路由信息,所述安全能力容器池中包含:对网络流量进行安全检测服务的多个安全能力容器,所述流量转发路由信息为网络流量在所述安全能力容器池内流经一个或多个安全能力容器的路由信息;
将所述待传输网络流量的流量编排信息发送至所述安全能力容器池内相应的安全能力容器,以使接收到所述流量编排信息的安全能力容器转发待传输网络流量。
2.根据权利要求1所述的容器化场景下的网络流量编排方法,其特征在于,将所述待传输网络流量的流量编排信息发送至所述安全能力容器池内相应的安全能力容器,包括:
通过网络代理客户端将所述待传输网络流量的流量编排信息发送至所述安全能力容器池内相应安全能力容器所在的宿主机,其中,所述网络代理客户端被安装在所述宿主机上。
3.根据权利要求2所述的容器化场景下的网络流量编排方法,其特征在于,在通过网络代理客户端将所述待传输网络流量的流量编排信息发送至所述安全能力容器池内相应安全能力容器所在的宿主机之前,所述方法还包括:
将所述待传输网络流量的流量编排信息经网络流量交换机传输至所述安全能力容器池,其中,所述网络流量交换机为网络流量传入所述安全能力容器池的入口与所述安全能力容器池传出网络流量的出口。
4.根据权利要求1所述的容器化场景下的网络流量编排方法,其特征在于,所述待传输网络流量的流量编排信息包括流表配置信息和服务节点配置信息,其中,所述流表配置信息用于配置流表来指示待传输的网络流量流经所述待传输网络流量的安全服务需求中涉及的所述安全能力容器池中的一个或多个安全能力容器,所述服务节点配置信息用于配置服务节点来根据所述流表传输待传输的网络流量。
5.根据权利要求1所述的容器化场景下的网络流量编排方法,其特征在于,所述安全能力容器池内的多个安全能力容器部署在多台宿主机上;所述流量编排信息包括:主链路和备用链路的流量转发路由信息,所述主链路和所述备用链路上的安全能力容器部署在不同的宿主机上。
6.根据权利要求5所述的容器化场景下的网络流量编排方法,其特征在于,在将所述待传输网络流量的流量编排信息发送至所述安全能力容器池内相应的安全能力容器,以使接收到所述流量编排信息的安全能力容器转发待传输网络流量之后,所述方法还包括:
监测主链路上各个安全能力容器所在的宿主机的设备状态;
当所述主链路上任意一个安全能力容器所在宿主机的设备状态存在异常的情况下,控制所述安全能力容器池将待传输的网络流量切换至备用链路上相应的安全能力容器。
7.根据权利要求5所述的容器化场景下的网络流量编排方法,其特征在于,在将所述待传输网络流量的流量编排信息发送至所述安全能力容器池内相应的安全能力容器,以使接收到所述流量编排信息的安全能力容器转发待传输网络流量之后,所述方法还包括:
监测待传输的网络流量是否流经由所述主链路和/或所述备用链路构成的一条完整链路上的任意一个安全能力容器;
当所述待传输的网络流量未流经所述链路上的任意一个安全能力容器的情况下,禁止所述待传输的网络流量继续传输。
8.一种容器化场景下的网络流量编排系统,其特征在于,包括:流量编排信息下发平台、控制器、网络代理客户端;
其中,所述流量编排信息下发平台用于将待传输网络流量的流量编排信息下发至所述控制器;
所述控制器与所述流量编排信息下发平台和所述网络代理客户端相连,用于获取所述流量编排信息下发平台下发的待传输网络流量的流量编排信息,其中,所述流量编排信息为根据所述待传输网络流量的安全服务需求和预先构建的安全能力容器池配置的流量转发路由信息,所述安全能力容器池中包含:对网络流量进行安全检测服务的多个安全能力容器,所述流量转发路由信息为网络流量在所述安全能力容器池内流经一个或多个安全能力容器的路由信息;
所述网络代理客户端用于将所述控制器获取的待传输网络流量的流量编排信息发送至所述安全能力容器池内相应的安全能力容器,以使接收到所述流量编排信息的安全能力容器转发待传输网络流量。
9.一种容器化场景下的网络流量编排装置,其特征在于,包括:
流量编排信息获取模块,用于获取待传输网络流量的流量编排信息,其中,所述流量编排信息为根据所述待传输网络流量的安全服务需求和预先构建的安全能力容器池配置的流量转发路由信息,所述安全能力容器池中包含:对网络流量进行安全检测服务的多个安全能力容器,所述流量转发路由信息为网络流量在所述安全能力容器池内流经一个或多个安全能力容器的路由信息;
流量编排信息发送模块,用于将所述待传输网络流量的流量编排信息发送至所述安全能力容器池内相应的安全能力容器,以使接收到所述流量编排信息的安全能力容器转发待传输网络流量。
10.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~7中任意一项所述的容器化场景下的网络流量编排方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~7中任意一项所述的容器化场景下的网络流量编排方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311062280.4A CN117081811A (zh) | 2023-08-22 | 2023-08-22 | 容器化场景下的网络流量编排方法、系统及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311062280.4A CN117081811A (zh) | 2023-08-22 | 2023-08-22 | 容器化场景下的网络流量编排方法、系统及相关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117081811A true CN117081811A (zh) | 2023-11-17 |
Family
ID=88703818
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311062280.4A Pending CN117081811A (zh) | 2023-08-22 | 2023-08-22 | 容器化场景下的网络流量编排方法、系统及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117081811A (zh) |
-
2023
- 2023-08-22 CN CN202311062280.4A patent/CN117081811A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11870753B2 (en) | System, apparatus and method for providing a unified firewall manager | |
US11558293B2 (en) | Network controller subclusters for distributed compute deployments | |
CN110830357B (zh) | 使用高级拓扑描述的多云虚拟计算环境供应 | |
CN111355604B (zh) | 在软件定义网络上的用户定制和自动化操作的系统和方法 | |
US11025647B2 (en) | Providing a virtual security appliance architecture to a virtual cloud infrastructure | |
JP5864758B2 (ja) | バーチャルスイッチを介してネットワークトラフィックをコントロールするシステム及び方法 | |
US7738457B2 (en) | Method and system for virtual routing using containers | |
US8955093B2 (en) | Cooperative network security inspection | |
US10999312B2 (en) | Systems and methods for protecting a service mesh from external attacks on exposed software vulnerabilities | |
US7733795B2 (en) | Virtual network testing and deployment using network stack instances and containers | |
US8627313B2 (en) | Virtual machine liveness determination | |
US7984123B2 (en) | Method and system for reconfiguring a virtual network path | |
US9967346B2 (en) | Passing data over virtual links | |
CN104468181A (zh) | 虚拟网络设备故障的检测和处理 | |
CN106487556B (zh) | 业务功能sf的部署方法及装置 | |
US10778465B1 (en) | Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud | |
US20040039847A1 (en) | Computer system, method and network | |
US20130014106A1 (en) | Information processing apparatus, computer-readable medium storing information processing program, and management method | |
US9967140B2 (en) | Virtual links for network appliances | |
US20090238189A1 (en) | Method and system for classifying network traffic | |
US9935834B1 (en) | Automated configuration of virtual port channels | |
CN114363242A (zh) | 基于云网融合技术的动态多路径优化方法、系统以及设备 | |
US20220263803A1 (en) | Information Reporting Method, Data Processing Method, and Apparatus | |
CN117081811A (zh) | 容器化场景下的网络流量编排方法、系统及相关设备 | |
Toy | Future Directions in Cable Networks, Services and Management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |