CN117336257A - 容器间的通信方法及装置、计算机存储介质、电子设备 - Google Patents
容器间的通信方法及装置、计算机存储介质、电子设备 Download PDFInfo
- Publication number
- CN117336257A CN117336257A CN202311278010.7A CN202311278010A CN117336257A CN 117336257 A CN117336257 A CN 117336257A CN 202311278010 A CN202311278010 A CN 202311278010A CN 117336257 A CN117336257 A CN 117336257A
- Authority
- CN
- China
- Prior art keywords
- container
- data packet
- trusted access
- micro
- management platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 230000006854 communication Effects 0.000 title claims abstract description 62
- 238000004891 communication Methods 0.000 title claims abstract description 61
- 238000012544 monitoring process Methods 0.000 claims abstract description 79
- 238000002955 isolation Methods 0.000 claims abstract description 72
- 230000002159 abnormal effect Effects 0.000 claims abstract description 38
- 230000008569 process Effects 0.000 claims abstract description 31
- 230000004044 response Effects 0.000 claims description 68
- 238000012795 verification Methods 0.000 claims description 31
- 238000011217 control strategy Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 64
- 238000010586 diagram Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 9
- 230000006978 adaptation Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/76—Admission control; Resource allocation using dynamic resource allocation, e.g. in-call renegotiation requested by the user or requested by the network in response to changing network conditions
- H04L47/762—Admission control; Resource allocation using dynamic resource allocation, e.g. in-call renegotiation requested by the user or requested by the network in response to changing network conditions triggered by the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0668—Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及通信技术领域,提供了一种容器间的通信方法、容器间的通信装置、计算机存储介质、电子设备,其中,容器间的通信方法包括:通过所述微隔离客户端对所述至少一个容器进行多维度监控,以获得每个容器对应的多维度监控信息;所述多维度监控信息包括以下至少两项:所述每个容器的状态信息、所述每个容器内的进程信息和所述每个容器的资源使用情况;根据所述多维度监控信息判断所述每个容器是否为异常容器;在判断出目标容器为所述异常容器时,向云管理平台上报所述目标容器的网络标识,以使所述云管理平台从可信访问关系列表中删除与所述网络标识相关的可信访问关系。本公开能够实现容器间安全通信。
Description
技术领域
本公开涉及通信技术领域,特别涉及一种容器间的通信方法、容器间的通信装置、计算机存储介质及电子设备。
背景技术
随着云计算时代的到来,越来越多的开发者选择将应用程序转移到云平台中,他们需要在云中有一个能够高效运行程序的环境。容器就是一个能够高效运行应用程序的环境。它可以理解为一个装软件的盒子,开发者可以打包自己的程序及依赖包、配置文件等资源到这个盒子里,这个盒子可以随意移动到其他机器上用。在新机器上,开发者不用再对盒子里的程序进行安装、配置了,直接运行盒子就行。
然而,如何在消耗较少资源的前提下保障容器之间的安全通信,是相关开发人员关注的焦点问题。
鉴于此,本领域亟需开发一种新的容器间的通信方法及装置。
需要说明的是,上述背景技术部分公开的信息仅用于加强对本公开的背景的理解。
发明内容
本公开的目的在于提供一种容器间的通信方法、容器间的通信装置、计算机存储介质及电子设备,进而至少在一定程度上克服由于相关技术的限制而导致的无法在消耗较少资源的前提下实现容器之间的安全通信的技术问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的第一方面,提供一种容器间的通信方法,在云环境下的每个工作节点上部署微隔离客户端,所述每个工作节点下包含至少一个容器,所述方法包括:通过所述微隔离客户端对所述至少一个容器进行多维度监控,以获得每个容器对应的多维度监控信息;所述多维度监控信息包括以下至少两项:所述每个容器的状态信息、所述每个容器内的进程信息和所述每个容器的资源使用情况;根据所述多维度监控信息判断所述每个容器是否为异常容器;在判断出目标容器为所述异常容器时,向云管理平台上报所述目标容器的网络标识,以使所述云管理平台从可信访问关系列表中删除与所述网络标识相关的可信访问关系;其中,所述云管理平台用于对每个所述工作节点下的至少一个容器进行管理,以及,根据所述可信访问关系列表来确保任意两个容器之间的安全通信。
在本公开的示例性实施例中,在判断出目标容器为所述异常容器时,所述方法还包括:对所述目标容器进行隔离或删除处理。
在本公开的示例性实施例中,所述方法还包括:通过所述微隔离客户端向微隔离控制器发送第一容器用于请求与第二容器进行通信的会话请求;接收微隔离控制器返回的是否允许所述第一容器与所述第二容器建立会话的判断结果,所述判断结果是所述微隔离控制器根据预先配置的会话控制策略判断得到的;当所述判断结果指示允许所述第一容器与所述第二容器建立会话时,接收所述微隔离控制器返回的针对所述会话请求的应答信息;所述应答信息中包含关于所述第一容器和所述第二容器的目标可信访问关系,或者,所述应答信息中包含关于所述第一容器和所述第二容器的待验证访问关系和数据包校验规则;当所述应答信息中包含所述目标可信访问关系时,将所述目标可信访问关系下发给所述第一容器和所述第二容器,以使所述第一容器和所述第二容器基于所述目标可信访问关系建立会话;当所述应答信息中包含所述待验证访问关系时,将所述待验证访问关系和所述数据包校验规则下发给所述第一容器和所述第二容器,以使所述第一容器和所述第二容器根据所述数据包校验规则确定是否建立会话。
在本公开的示例性实施例中,所述当所述应答信息中包含所述待验证访问关系时,将所述待验证访问关系和所述数据包校验规则下发给所述第一容器和所述第二容器,以使所述第一容器和所述第二容器根据所述数据包校验规则确定是否建立会话,包括:接收所述第一容器生成的待发送数据包,对所述待发送数据包进行重新封装,获得重新封装后的数据包;将所述重新封装后的数据包发送给所述第二容器,以使所述第二容器基于所述数据包校验规则对所述封装后的数据包进行第一次安全校验;接收所述第二容器在所述第一次安全校验通过之后生成的响应数据包,对所述响应数据包进行重新封装,获得重新封装后的响应数据包;将所述重新封装后的响应数据包发送给所述第一容器,以使所述第一容器基于所述数据包校验规则对所述重新封装后的响应数据包进行第二次安全校验;在所述第二次安全校验通过之后,建立所述第一容器和所述第二容器之间的会话。
在本公开的示例性实施例中,所述对所述待发送数据包进行重新封装,获得重新封装后的数据包,包括:利用所述第二容器的网络标识和/或当前时间戳对所述待发送数据包进行重新封装,获得重新封装后的数据包。
在本公开的示例性实施例中,所述对所述响应数据包进行重新封装,获得重新封装后的响应数据包,包括:利用所述第一容器的网络标识和/或当前时间戳对所述响应数据包进行重新封装,获得重新封装后的响应数据包。
在本公开的示例性实施例中,在所述第二次安全校验通过之后,所述方法还包括:将所述第一容器和所述第二容器的待验证访问关系更新为新的可信访问关系,并将所述新的可信访问关系上报给所述云管理平台;以使所述云管理平台根据所述新的可信访问关系更新所述可信访问关系列表。
根据本公开的第二方面,提供一种容器间的通信装置,在云环境下的每个工作节点上部署微隔离客户端,所述每个工作节点下包含至少一个容器,所述装置包括:容器监控模块,用于通过所述微隔离客户端对所述至少一个容器进行多维度监控,以获得每个容器对应的多维度监控信息;所述多维度监控信息包括以下至少两项:所述每个容器的状态信息、所述每个容器内的进程信息和所述每个容器的资源使用情况;异常容器判断模块,用于根据所述多维度监控信息判断所述每个容器是否为异常容器;可信访问关系更新模块,用于在判断出目标容器为所述异常容器时,向云管理平台上报所述目标容器的网络标识,以使所述云管理平台从可信访问关系列表中删除与所述网络标识相关的可信访问关系;其中,所述云管理平台用于对每个所述工作节点下的至少一个容器进行管理,以及,根据所述可信访问关系列表来确保任意两个容器之间的安全通信。
根据本公开的第三方面,提供一种计算机存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的容器间的通信方法。
根据本公开的第四方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述第一方面所述的容器间的通信方法。
由上述技术方案可知,本公开示例性实施例中的容器间的通信方法、容器间的通信装置、计算机存储介质及电子设备至少具备以下优点和积极效果:
在本公开的一些实施例所提供的技术方案中,本公开通过微隔离客户端对至少一个容器进行多维度监控,以获得每个容器对应的多维度监控信息,根据多维度监控信息判断每个容器是否为异常容器,在判断出目标容器为异常容器时,向云管理平台上报目标容器的网络标识,以使云管理平台从可信访问关系列表中删除与网络标识相关的可信访问关系,一方面,无需像相关技术中那样重新搭建网络,仅需通过部署的微隔离客户端便可对容器进行多维度监控,以识别出容器是否异常,避免了重新搭建网络所导致的大量资源消耗和成本消耗问题;另一方面,本公开能够根据异常容器的情况实时维护更新上述可信访问关系列表,确保保存的可信访问关系均是安全的,从而,确保任意两个容器之间的安全通信。
本公开应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开实施例中容器间的通信方法的流程示意图;
图2示出本公开实施例中微隔离客户端如何对至少一个容器进行多维度监控的示意图;
图3示出本公开实施例中第一容器如何与第二容器进行通信的流程示意图;
图4示出本公开实施例中第一容器和第二容器如何根据数据包校验规则确定是否建立会话的流程示意图;
图5示出本公开实施例中重新封装后的待发送数据包的结构示意图;
图6示出本公开实施例中容器A如何与容器B进行安全通信的流程示意图;
图7示出本公开实施例中容器间通信方法的整体架构图;
图8示出本公开示例性实施例中容器间的通信装置的结构示意图;
图9示出本公开示例性实施例中电子设备的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
本说明书中使用用语“一个”、“一”、“该”和“所述”用以表示存在一个或多个要素/组成部分/等;用语“包括”和“具有”用以表示开放式的包括在内的意思并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等;用语“第一”和“第二”等仅作为标记使用,不是对其对象的数量限制。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。
相关技术中,专利文件CN110572288A公开了一种基于可信容器的数据交换方法,该专利通过删除可信容器本身路由信息以及网络信息;为Docker内不同容器搭建路由表;在Docker中对每个主机根据路由表创建网管策略;实时监测不同容器的通讯情况;建立高危信息采集。
然而,上述专利需要删除容器自身网络,重新搭建网络,需要较大的资源消耗。
在本公开的实施例中,首先提供了一种容器间的通信方法,至少在一定程度上克服相关技术中无法在消耗较少资源的前提下实现容器之间的安全通信的缺陷。
图1示出本公开实施例中容器间的通信方法的流程示意图,该容器间的通信方法的执行主体可以是微隔离客户端。
参考图1,根据本公开的一个实施例的容器间的通信方法包括以下步骤:
步骤S110,通过微隔离客户端对至少一个容器进行多维度监控,以获得每个容器对应的多维度监控信息;多维度监控信息包括以下至少两项:每个容器的状态信息、每个容器内的进程信息和每个容器的资源使用情况;
步骤S120,根据多维度监控信息判断每个容器是否为异常容器;
步骤S130,在判断出目标容器为异常容器时,向云管理平台上报目标容器的网络标识,以使云管理平台从可信访问关系列表中删除与网络标识相关的可信访问关系;其中,云管理平台用于对每个工作节点下的至少一个容器进行管理,以及,根据可信访问关系列表来确保任意两个容器之间的安全通信。
在图1所示实施例所提供的技术方案中,本公开通过微隔离客户端对至少一个容器进行多维度监控,以获得每个容器对应的多维度监控信息,根据多维度监控信息判断每个容器是否为异常容器,在判断出目标容器为异常容器时,向云管理平台上报目标容器的网络标识,以使云管理平台从可信访问关系列表中删除与网络标识相关的可信访问关系,一方面,无需像相关技术中那样重新搭建网络,仅需通过部署的微隔离客户端便可对容器进行多维度监控,以识别出容器是否异常,避免了重新搭建网络所导致的大量资源消耗和成本消耗问题;另一方面,本公开能够根据异常容器的情况实时维护更新上述可信访问关系列表,确保保存的可信访问关系均是安全的,从而,确保任意两个容器之间的安全通信。
以下对图1中的各个步骤的具体实现过程进行详细阐述:
在步骤S110之前,需要说明的是,“微隔离”指的是把一个无结构无边界的网络分为好多逻辑上的微小网段,以确保每一个网段上只有一个计算资源,而所有需要进出这个微网段的流量都需要经过访问控制设备。就是在一个没有任何访问控制能力的网络中,创造出一个全面可控的零信任网络,从而让每一个资源都可以被逻辑地与其他资源隔离开。简而言之,“微隔离”是在数据中心和云部署中创建安全区域的一种方式,目的是让网络安全更具粒度化。
示例性的,本公开可以在云环境下的每个工作节点上部署微隔离客户端,每个工作节点下可以创建至少一个容器。
微隔离客户端可以包含一容器信息采集模块,该容器信息采集模块用于采集每个容器的容器信息,构建容器信息数据库。其中,容器信息可以包含基础信息、网卡信息和容器之间的关联关系。
上述基础信息包含容器名称、容器ID(Identification)、容器pod的uid(唯一标识符,用于唯一标识一个特定的对象)、容器的创建时间/结束时间,容器pid,容器镜像和容器状态。示例性的,可以通过读取容器在宿主机上存放容器信息的配置文件来获取容器信息,以及读取虚拟文件系统来获取相关容器数据。
上述网卡信息包含ip(internet protocol,互联网协议)地址、mac(media accesscontrol,媒体存取控制)地址,ipv4子网掩码,ipv6前缀长度。示例性的,可以通过给Linux内核发送socket消息的形式获得上述网卡信息,无需依赖docker的api(applicationprogramming interface,应用程序接口)。
容器之间的关联关系是用于将同属一个pod的容器关联起来,更方便管理,显示更加直观。
在容器初始化的时候,微隔离客户端还可以获取该容器的网络标识,并将该容器的网络标识提交至云管理平台,从而,本公开中的云管理平台可以对每个工作节点下的至少一个容器的网络标识进行管理。
其中,每个容器的网络标识可以是通过以下方式生成的:
将每个容器的容器ID、容器标签(一般来说,我们会给一个Pod或其他对象定义多个Label,以便于配置、部署等管理工作,例如:部署不同版本的应用到不同的环境中,或者监控和分析应用(日志记录,监控,报警)等,通过多个Label的设置,就可以多维度的对Pod或者其他对象进行精细化管理。Label一般是自定义的一些key-value对,可以自行配置)和容器镜像路径(容器镜像是容器的基础,它一个可执行的包含所有运行所需的文件、配置和依赖项的文件系统,容器镜像存放路径指的是存储镜像的文件夹或目录路径),通过hash算法生成一个32位的标识符,该32位的标识符即该容器的网络标识。
需要说明的是,本公开中的云管理平台还可以根据预存的可信访问关系列表来确保任意两个容器之间的安全通信。其中,可信访问关系列表用于表征任意两个容器之间的访问关系是可信的。
接下来,参考图1,在步骤S110中,通过微隔离客户端对至少一个容器进行多维度监控,以获得每个容器对应的多维度监控信息。
本步骤中,示例性的,微隔离客户端还可以包含一容器监控模块和一进程监控模块,通过该容器监控模块和进程监控模块,可以对上述至少一个容器进行多维度监控,获得每个容器对应的多维度监控信息。
具体的,上述容器监控模块可以通过监听容器数据存放目录(docker或者containerd创建容器时,会在特定的目录下创建一个与新增的容器ID同名的目录,并将新增的容器的相关数据写入目录下的文件)的事件来获得容器的状态信息(例如:容器的创建、删除等状态),示例性的,监听同一级目录下的配置文件的改变可以监听容器的停止、开始等操作;在接收到IN_CREATE事件,并且该事件的对象类型是目录时,表明发生了一个容器创建事件;在接收到IN_DELETE事件,并且该事件的对象类型是目录时,表明发生了一个容器删除事件;在接收到容器ID目录下配置文件的IN_MOVE事件,表明容器的状态发生变化(容器并未退出)。
上述进程监控模块可以生成一条容器内进程的相关记录表,添加到正在运行容器数据表里面,用于实现对容器内进程的监控。具体的,进程监控模块可以通过向Linux内核发送NETLINK_CONNECTOR消息,接收Linux内核返回的数据从而实现监听进程的fork(创建)、exec(替换)、exit(退出)等操作,从而实现对进程创建、退出等相关信息的监听。在监听到进程信息之后,可以将进程信息与对应的指定容器进行关联。
需要说明的是,相关技术中一般是仅根据容器的命名空间inode号(inode指的是储存文件元信息的区域,简称“索引节点”,它包括文件的字节数、文件拥有者的UserID、文件的GroupID、文件的读、写、执行权限、文件的时间戳、链接数以及文件数据block的位置)来区分容器,而单独使用命名空间inode号来区分容器的方案,鉴于先前使用过该命名空间inode号的容器在被注销之后,该命名空间inode号可能会分配给后续新创建的容器,从而,可能会导致后续新创建容器的命名空间inode号可能会与历史容器的命名空间中所使用的inode号相同的情况,从而,可能导致进程与容器的关联关系不准确,或者,无法管理历史容器。
因此,本公开中采用命名空间+容器镜像名称的双因素来区分容器,从而,可以避免将正在运行的进程与历史容器关联在一起,也便于管理历史容器的相关记录。
示例性的,上述进程监控模块还可以在容器内有进程运行的时候,通过读取cgroup数据来监控容器的资源使用情况,其中,上述资源使用情况可以包含以下任意一种或多种:cpu(central processing unit,中央处理器)使用情况,内存使用情况,容器网络流量和磁盘占用情况。
综上,本公开中的多维度监控信息可以包含以下至少两项:每个容器的状态信息、每个容器内的进程信息和每个容器的资源使用情况。
参考图2,图2示出本公开实施例中微隔离客户端如何对至少一个容器进行多维度监控的示意图,如图2所示:
微隔离客户端可以包含容器信息采集模块、容器监控模块和进程监控模块,其中,
容器信息采集模块可以收集微隔离客户端所在工作节点下每个容器的容器信息,创建每个工作节点对应的正在运行容器监控数据表;
当容器监控模块在正在运行容器监控数据表中删除某容器的记录时,则工作节点可以删除该容器;当容器监控模块收集到新增容器的信息时,则可以在正在运行容器的监控数据表中新增记录,工作节点可以新增容器;
进程监控模块可以监控进程,并将进程与对应容器进行关联,同时,进程监控模块可以读取容器的资源使用情况,以向工作节点的正在运行容器监控的数据表中新增进程信息;
此外,微隔离客户端所在工作节点可以定期上报历史容器监控数据表,以及,实时上报正在运行容器监控数据表。
在获得每个容器的多维度监控信息之后,可以进入步骤S120中,在步骤S120中,根据多维度监控信息判断每个容器是否为异常容器。
本步骤中,可以根据上述多维度监控信息来判断上述每个容器是否为异常容器。示例性的,可以根据实际情况定义一些针对异常容器的判断条件,本公开对此不作特殊限定。示例性的,异常容器可以是状态信息不符合上述判断条件的容器,或者,资源使用情况不符合上述判断条件的容器,或者,是判断出来被仿冒或篡改的容器等,可以根据实际情况自行设定,本公开对此不作特殊限定。
在步骤S130中,在判断出目标容器为异常容器时,向云管理平台上报目标容器的网络标识,以使云管理平台从可信访问关系列表中删除与网络标识相关的可信访问关系。
本步骤中,在判断出目标容器为异常容器的时候,微隔离客户端可以对该目标容器进行隔离或删除处理,同时,可以向云管理平台上述该目标容器的网络标识,以使云管理平台删除该目标容器的网络标识,以及,从可信访问关系列表中删除与网络标识相关的可信访问关系,从而保证云管理平台中存储的访问关系均是安全可信的,以保证容器之间的安全通信。
当第一容器需要与第二容器进行通信的时候,可以参考图3,图3示出本公开实施例中第一容器如何与第二容器进行通信的流程示意图,包含步骤S301-步骤S305:
在步骤S301中,通过微隔离客户端向微隔离控制器发送第一容器用于请求与第二容器进行通信的会话请求。
本步骤中,微隔离客户端可以向微隔离控制器发送第一容器用于请求与第二容器进行通信的会话请求。在向微隔离控制器发送上述会话请求之后,微隔离控制器可以查询预先配置的会话控制策略,根据该会话控制策略判断是否允许上述第一容器和第二容器建立会话,并向微隔离客户端返回判断结果。示例性的,上述会话控制策略可以根据业务需求自行配置,本公开对此不作特殊限定。
同时,若判断出允许第一容器和第二容器建立会话,微隔离控制器可以将上述会话请求转发给云管理平台,以使云管理平台检索可信访问关系列表中是否存在关于第一容器和第二容器之间的目标可信访问关系,当可信访问关系列表中存在上述目标可信访问关系的时候,云管理平台可以将上述目标可信访问关系作为针对会话请求的应答信息,并返回给微隔离控制器,而若上述可信访问关系列表中不存在上述目标可信访问关系的时候,云管理平台可以配置第一容器与第二容器的待验证访问关系,同时,将上述关于第一容器和第二容器的待验证访问关系和数据包校验规则作为针对上述会话请求的应答信息,并返回给微隔离控制器。
在步骤S302中,接收微隔离控制器返回的是否允许第一容器与第二容器建立会话的判断结果。
本步骤中,微隔离客户端可以接收微隔离控制器返回的是否允许第一容器与第二容器建立会话的判断结果,由上述解释可知,判断结果是微隔离控制器根据预先配置的会话控制策略判断得到的。
在步骤S303中,当判断结果指示允许第一容器与第二容器建立会话时,接收微隔离控制器返回的针对会话请求的应答信息。
本步骤中,当上述判断结果指示允许第一容器与第二容器建立会话时,接收微隔离控制器返回的针对会话请求的应答信息,参照上述步骤S301的相关解释可知,上述应答信息中包含关于第一容器和第二容器的目标可信访问关系,或者,应答信息中包含关于第一容器和第二容器的待验证访问关系和数据包校验规则。
在步骤S304中,当应答信息中包含目标可信访问关系时,将目标可信访问关系下发给第一容器和第二容器,以使第一容器和第二容器基于目标可信访问关系建立会话。
本步骤中,当上述应答信息中包含上述目标可信访问关系时,微隔离客户端可以直接将上述目标可信访问关系下发给第一容器和第二容器,以使第一容器和第二容器基于目标可信访问关系建立会话。
在步骤S305中,当应答信息中包含待验证访问关系时,将待验证访问关系和数据包校验规则下发给第一容器和第二容器,以使第一容器和第二容器根据数据包校验规则确定是否建立会话。
本步骤中,当上述应答信息中包含上述待验证访问关系时,微隔离客户端可以将待验证访问关系和数据包校验规则下发给第一容器和第二容器,以使第一容器和第二容器根据数据包校验规则确定是否建立会话。
具体的,参考图4,图4示出本公开实施例中第一容器和第二容器如何根据数据包校验规则确定是否建立会话的流程示意图,具体示出当应答信息中包含待验证访问关系时,第一容器和第二容器根据数据包校验规则如何确定是否建立会话的流程示意图,包含步骤S401-步骤S405:
在步骤S401中,接收第一容器生成的待发送数据包,对待发送数据包进行重新封装,获得重新封装后的数据包。
本步骤中,微隔离客户端可以接收上述第一容器生成的待发送数据包,并利用上述第二容器的网络标识和/或当前时间戳对待发送数据包进行重新封装,获得重新封装后的数据包。
示例性的,参考图5,图5示出本公开实施例中重新封装后的待发送数据包的结构示意图,如图5所示:
该重新封装后的待发送数据包可以包含以下信息:
4位版本号、4位头部长度、8位服务类型、数据包的总长度(占16位);
用于指示是否需要分包的标识符(占16位)、用于指示分包情况的标识(占3位)、偏移量(占13位);
生存时间TTL(占8位)、协议(占8位)、校验和(占16位);
源IP地址(占32位);
目的IP地址(占32位);
可选项(预留32位);
数据(预留32位);
当前时间戳(预留32位);
网络标识(预留32位)。
接着参考图4,在步骤S402中,将重新封装后的数据包发送给第二容器,以使第二容器基于数据包校验规则对封装后的数据包进行第一次安全校验。
本步骤中,在对上述待发送数据包进行重新封装之后,微隔离控制端可以将上述重新封装之后的数据包发送给第二容器,以使第二容器基于数据包校验规则对封装后的数据包进行第一次安全校验。若第一次安全校验通过,则第二容器可以生成针对该数据包的响应数据包。
在步骤S403中,接收第二容器在第一次安全校验通过之后生成的响应数据包,对响应数据包进行重新封装,获得重新封装后的响应数据包。
本步骤中,微隔离客户端可以接收第二容器在第一次安全校验通过之后所生成的响应数据包,并利用第一容器的网络标识和/或当前时间戳对响应数据包进行重新封装,获得重新封装后的响应数据包。
在步骤S404中,将重新封装后的响应数据包发送给第一容器,以使第一容器基于数据包校验规则对重新封装后的响应数据包进行第二次安全校验。
本步骤中,微隔离客户端可以将上述重新封装后的响应数据包发送给第一容器,以使第一容器基于上述数据包校验规则对重新封装后的响应数据包进行第二次安全校验。
在步骤S405中,在第二次安全校验通过之后,建立第一容器和第二容器之间的会话。
本步骤中,在第二次安全校验通过之后,可以建立第一容器和第二容器之间的会话。同时,可以将第一容器和第二容器的待验证访问关系更新为新的可信访问关系,并将新的可信访问关系上报给云管理平台,以使云管理平台根据新的可信访问关系更新可信访问关系列表。
可选的,在后续第一容器和第二容器的通信过程中,可以直接根据云管理平台下发的可信访问关系直接建立会话,无需进行相关验证过程,从而提升第一容器和第二容器的数据交换效率。
需要说明的是,若上述第一次安全校验或上述第二次安全校验失败,则可以确定第一容器和第二容器之间的通信存在安全隐患,从而,第一容器和第二容器之间不会建立会话,同时,也无需将上述待验证的访问关系更新为可信访问关系。
参考图6,图6示出本公开实施例中容器A如何与容器B进行安全通信的流程示意图,包含步骤S601-步骤S619:
首先,容器A和容器B进行初始化;
在步骤S601中,将容器A的网络标识A至云管理平台;
在步骤S602中,将容器B的网络标识B至云管理平台;
在步骤S603中,容器A请求与容器B进行数据交换;
微隔离控制器根据预先配置的会话控制策略判断是否允许容器A与容器B之间建立会话;
若判断出禁止建立会话,则进入步骤S604中,向容器A的微隔离客户端发送“禁止建立会话”的消息;
若判断出允许建立会话,则进入步骤S605中,向容器A的微隔离客户端发送“允许建立会话”的消息;
在步骤S606中,向云管理平台请求容器A和容器B的访问关系;
云管理平台从微隔离控制器的数据库中检索是否存在容器A和容器B之间的目标可信访问关系;
若检索到存在上述目标可信访问关系,则进入步骤S607中,云管理平台向微隔离控制器下发上述目标可信访问关系;
在步骤S608中,微隔离控制器将上述目标可信访问关系下发给容器B;
在步骤S609中,微隔离控制器将上述目标可信访问关系下发给容器A,以使容器A和容器B建立会话;
若检索到不存在上述目标可信访问关系,则进入步骤S610中,向微隔离控制器返回不存在目标可信访问关系的提示;
在步骤S611中,云管理平台依据业务需求配置容器A和容器B的待验证访问关系;
在步骤S612中,云管理平台将创建好的待验证访问关系、容器A和容器B的网络标识、数据包校验规则下发给微隔离控制器;
在步骤S613中,微隔离控制器向容器B发送容器A的网络标识、待验证访问关系和数据包校验规则;
在步骤S614中,微隔离控制器向容器A发送容器B的网络标识、待验证访问关系和数据包校验规则;
在步骤S615中,容器A用容器B的网络标识对待发送的数据包进行重新封装,并将封装后的数据包发送给容器B;
在步骤S616中,容器B用容器A的网络标识对应答数据包进行重新封装,并将重新封装后的应答数据包返回给容器A;
在步骤S617中,验证通过之后,容器A和容器B建立会话;
在步骤S618中,将容器A和容器B之间新的可信访问关系提交给云管理平台;
在步骤S619中,云管理平台更新可信访问关系列表。
参考图7,图7示出本公开实施例中容器间通信方法的整体架构图,如图7所示,微隔离控制器可以作为管理节点,对各个微隔离客户端进行管理,具体的,微隔离控制器包含以下三个模块:可信访问关系/容器网络标识管理(用于存储云管理平台的可信访问关系列表/容器的网络标识);数据包校验规则生成模块(用于保存云管理平台生成的数据校验规则)、容器安全监控中心(用于根据多维度监控信息,实现对容器的监控);
首先,微隔离客户端监控每个工作节点(工作节点之间可以通过云平台网络进行业务流数据交换)的容器创建,在容器初始化时,获取该容器的网络标识,并将其提交至云管理平台,以使云管理平台将其保存至微隔离控制器的数据库中;
当容器发起数据交换请求时,微隔离控制器依据会话控制策略,禁止或允许该会话的建立;
当允许会话建立时,云管理平台首先检索数据库是否存在互访容器的目标可信访问关系;若存在目标可信访问关系,将其下发至微隔离控制器,微隔离控制器分别将其发送至工作节点的微隔离客户端,互访容器依据下发的目标可信访问关系建立会话,完成容器数据的安全交换。
当允许会话建立,但云管理平台未检索到互访容器的目标可信访问关系时,云管理平台依据业务需求,配置互访容器的待验证访问关系,并将待验证访问关系、互访容器的网络标识下发至微隔离控制器,微隔离控制器将待验证访问关系与对应的容器网络标识下发至请求互访的容器,并发送数据包校验规则至互访容器双方;
在待验证访问关系验证通过时,可以将待验证访问关系更新为新的可信访问关系,并将新的可信访问关系上报给云管理平台;以使云管理平台根据新的可信访问关系更新可信访问关系列表。
整体而言,本公开提出一种微隔离场景下云平台容器的安全通信方法,通过对容器进行监控,从而判断该容器是否被仿冒、篡改,从而实时维护更新云管理平台的可信访问关系列表,确保云管理平台保存的访问关系均是安全可信的。通过对容器的数据包重新封装、安全校验,实现容器的首次安全访问,而通过保存容器之间的可信访问关系,使得容器之间可以快速、安全的进行二次通信。
本公开还提供了一种容器间的通信装置,图8示出本公开示例性实施例中容器间的通信装置的结构示意图;如图8所示,容器间的通信装置800可以包括容器监控模块810、异常容器判断模块820和可信访问关系更新模块830。其中:
容器监控模块810,用于通过微隔离客户端对至少一个容器进行多维度监控,以获得每个容器对应的多维度监控信息;所述多维度监控信息包括以下至少两项:所述每个容器的状态信息、所述每个容器内的进程信息和所述每个容器的资源使用情况;
异常容器判断模块820,用于根据所述多维度监控信息判断所述每个容器是否为异常容器;
可信访问关系更新模块830,用于在判断出目标容器为所述异常容器时,向云管理平台上报所述目标容器的网络标识,以使所述云管理平台从可信访问关系列表中删除与所述网络标识相关的可信访问关系;其中,所述云管理平台用于对每个所述工作节点下的至少一个容器进行管理,以及,根据所述可信访问关系列表来确保任意两个容器之间的安全通信。
在本公开的示例性实施例中,在判断出目标容器为所述异常容器时,所述异常容器判断模块820,被配置为:
对所述目标容器进行隔离或删除处理。
在本公开的示例性实施例中,所述可信访问关系更新模块830,被配置为:
通过所述微隔离客户端向微隔离控制器发送第一容器用于请求与第二容器进行通信的会话请求;接收微隔离控制器返回的是否允许所述第一容器与所述第二容器建立会话的判断结果,所述判断结果是所述微隔离控制器根据预先配置的会话控制策略判断得到的;当所述判断结果指示允许所述第一容器与所述第二容器建立会话时,接收所述微隔离控制器返回的针对所述会话请求的应答信息;所述应答信息中包含关于所述第一容器和所述第二容器的目标可信访问关系,或者,所述应答信息中包含关于所述第一容器和所述第二容器的待验证访问关系和数据包校验规则;当所述应答信息中包含所述目标可信访问关系时,将所述目标可信访问关系下发给所述第一容器和所述第二容器,以使所述第一容器和所述第二容器基于所述目标可信访问关系建立会话;当所述应答信息中包含所述待验证访问关系时,将所述待验证访问关系和所述数据包校验规则下发给所述第一容器和所述第二容器,以使所述第一容器和所述第二容器根据所述数据包校验规则确定是否建立会话。
在本公开的示例性实施例中,所述可信访问关系更新模块830,被配置为:
当所述应答信息中包含所述待验证访问关系时,将所述待验证访问关系和所述数据包校验规则下发给所述第一容器和所述第二容器,接收所述第一容器生成的待发送数据包,对所述待发送数据包进行重新封装,获得重新封装后的数据包;将所述重新封装后的数据包发送给所述第二容器,以使所述第二容器基于所述数据包校验规则对所述封装后的数据包进行第一次安全校验;接收所述第二容器在所述第一次安全校验通过之后生成的响应数据包,对所述响应数据包进行重新封装,获得重新封装后的响应数据包;将所述重新封装后的响应数据包发送给所述第一容器,以使所述第一容器基于所述数据包校验规则对所述重新封装后的响应数据包进行第二次安全校验;在所述第二次安全校验通过之后,建立所述第一容器和所述第二容器之间的会话。
在本公开的示例性实施例中,所述可信访问关系更新模块830对所述待发送数据包进行重新封装,获得重新封装后的数据包,包括:利用所述第二容器的网络标识和/或当前时间戳对所述待发送数据包进行重新封装,获得重新封装后的数据包。
在本公开的示例性实施例中,所述可信访问关系更新模块830,对所述响应数据包进行重新封装,获得重新封装后的响应数据包,包括:利用所述第一容器的网络标识和/或当前时间戳对所述响应数据包进行重新封装,获得重新封装后的响应数据包。
在本公开的示例性实施例中,在所述第二次安全校验通过之后,所述可信访问关系更新模块830,被配置为:
将所述第一容器和所述第二容器的待验证访问关系更新为新的可信访问关系,并将所述新的可信访问关系上报给所述云管理平台;以使所述云管理平台根据所述新的可信访问关系更新所述可信访问关系列表。
上述容器间的通信装置中各模块的具体细节已经在对应的容器间的通信方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现如上述实施例中所述的方法。
此外,在本公开实施例中还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图9来描述根据本公开的这种实施方式的电子设备900。图9显示的电子设备900仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图9所示,电子设备900以通用计算设备的形式表现。电子设备900的组件可以包括但不限于:上述至少一个处理单元910、上述至少一个存储单元920、连接不同系统组件(包括存储单元920和处理单元910)的总线930以及显示单元940。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元910执行,使得所述处理单元910执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元910可以执行如图1中所示的:步骤S110,通过微隔离客户端对至少一个容器进行多维度监控,以获得每个容器对应的多维度监控信息;多维度监控信息包括以下至少两项:每个容器的状态信息、每个容器内的进程信息和每个容器的资源使用情况;步骤S120,根据多维度监控信息判断每个容器是否为异常容器;步骤S130,在判断出目标容器为异常容器时,向云管理平台上报目标容器的网络标识,以使云管理平台从可信访问关系列表中删除与网络标识相关的可信访问关系;其中,云管理平台用于对每个工作节点下的至少一个容器进行管理,以及,根据可信访问关系列表来确保任意两个容器之间的安全通信。
存储单元920可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)9201和/或高速缓存存储单元9202,还可以进一步包括只读存储单元(ROM)9203。
存储单元920还可以包括具有一组(至少一个)程序模块9205的程序/实用工具9204,这样的程序模块9205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线930可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备900也可以与一个或多个外部设备900(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备900交互的设备通信,和/或与使得该电子设备900能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口950进行。并且,电子设备900还可以通过网络适配器960与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器960通过总线930与电子设备900的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备900使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
Claims (10)
1.一种容器间的通信方法,其特征在于,在云环境下的每个工作节点上部署微隔离客户端,所述每个工作节点下包含至少一个容器,所述方法包括:
通过所述微隔离客户端对所述至少一个容器进行多维度监控,以获得每个容器对应的多维度监控信息;所述多维度监控信息包括以下至少两项:所述每个容器的状态信息、所述每个容器内的进程信息和所述每个容器的资源使用情况;
根据所述多维度监控信息判断所述每个容器是否为异常容器;
在判断出目标容器为所述异常容器时,向云管理平台上报所述目标容器的网络标识,以使所述云管理平台从可信访问关系列表中删除与所述网络标识相关的可信访问关系;
其中,所述云管理平台用于对每个所述工作节点下的至少一个容器进行管理,以及,根据所述可信访问关系列表来确保任意两个容器之间的安全通信。
2.根据权利要求1所述的方法,其特征在于,在判断出目标容器为所述异常容器时,所述方法还包括:
对所述目标容器进行隔离或删除处理。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
通过所述微隔离客户端向微隔离控制器发送第一容器用于请求与第二容器进行通信的会话请求;
接收微隔离控制器返回的是否允许所述第一容器与所述第二容器建立会话的判断结果,所述判断结果是所述微隔离控制器根据预先配置的会话控制策略判断得到的;
当所述判断结果指示允许所述第一容器与所述第二容器建立会话时,接收所述微隔离控制器返回的针对所述会话请求的应答信息;所述应答信息中包含关于所述第一容器和所述第二容器的目标可信访问关系,或者,所述应答信息中包含关于所述第一容器和所述第二容器的待验证访问关系和数据包校验规则;
当所述应答信息中包含所述目标可信访问关系时,将所述目标可信访问关系下发给所述第一容器和所述第二容器,以使所述第一容器和所述第二容器基于所述目标可信访问关系建立会话;
当所述应答信息中包含所述待验证访问关系时,将所述待验证访问关系和所述数据包校验规则下发给所述第一容器和所述第二容器,以使所述第一容器和所述第二容器根据所述数据包校验规则确定是否建立会话。
4.根据权利要求3所述的方法,其特征在于,所述当所述应答信息中包含所述待验证访问关系时,将所述待验证访问关系和所述数据包校验规则下发给所述第一容器和所述第二容器,以使所述第一容器和所述第二容器根据所述数据包校验规则确定是否建立会话,包括:
接收所述第一容器生成的待发送数据包,对所述待发送数据包进行重新封装,获得重新封装后的数据包;
将所述重新封装后的数据包发送给所述第二容器,以使所述第二容器基于所述数据包校验规则对所述封装后的数据包进行第一次安全校验;
接收所述第二容器在所述第一次安全校验通过之后生成的响应数据包,对所述响应数据包进行重新封装,获得重新封装后的响应数据包;
将所述重新封装后的响应数据包发送给所述第一容器,以使所述第一容器基于所述数据包校验规则对所述重新封装后的响应数据包进行第二次安全校验;
在所述第二次安全校验通过之后,建立所述第一容器和所述第二容器之间的会话。
5.根据权利要求4所述的方法,其特征在于,所述对所述待发送数据包进行重新封装,获得重新封装后的数据包,包括:
利用所述第二容器的网络标识和/或当前时间戳对所述待发送数据包进行重新封装,获得重新封装后的数据包。
6.根据权利要求4所述的方法,其特征在于,所述对所述响应数据包进行重新封装,获得重新封装后的响应数据包,包括:
利用所述第一容器的网络标识和/或当前时间戳对所述响应数据包进行重新封装,获得重新封装后的响应数据包。
7.根据权利要求4所述的方法,其特征在于,在所述第二次安全校验通过之后,所述方法还包括:
将所述第一容器和所述第二容器的待验证访问关系更新为新的可信访问关系,并将所述新的可信访问关系上报给所述云管理平台;
以使所述云管理平台根据所述新的可信访问关系更新所述可信访问关系列表。
8.一种容器间的通信装置,其特征在于,在云环境下的每个工作节点上部署微隔离客户端,所述每个工作节点下包含至少一个容器,所述装置包括:
容器监控模块,用于通过所述微隔离客户端对所述至少一个容器进行多维度监控,以获得每个容器对应的多维度监控信息;所述多维度监控信息包括以下至少两项:所述每个容器的状态信息、所述每个容器内的进程信息和所述每个容器的资源使用情况;
异常容器判断模块,用于根据所述多维度监控信息判断所述每个容器是否为异常容器;
可信访问关系更新模块,用于在判断出目标容器为所述异常容器时,向云管理平台上报所述目标容器的网络标识,以使所述云管理平台从可信访问关系列表中删除与所述网络标识相关的可信访问关系;
其中,所述云管理平台用于对每个所述工作节点下的至少一个容器进行管理,以及,根据所述可信访问关系列表来确保任意两个容器之间的安全通信。
9.一种计算机存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~7中任意一项所述的容器间的通信方法。
10.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~7中任意一项所述的容器间的通信方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311278010.7A CN117336257A (zh) | 2023-09-28 | 2023-09-28 | 容器间的通信方法及装置、计算机存储介质、电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311278010.7A CN117336257A (zh) | 2023-09-28 | 2023-09-28 | 容器间的通信方法及装置、计算机存储介质、电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117336257A true CN117336257A (zh) | 2024-01-02 |
Family
ID=89282446
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311278010.7A Pending CN117336257A (zh) | 2023-09-28 | 2023-09-28 | 容器间的通信方法及装置、计算机存储介质、电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117336257A (zh) |
-
2023
- 2023-09-28 CN CN202311278010.7A patent/CN117336257A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11677860B2 (en) | Decentralization processing method, communication proxy, host, and storage medium | |
US6766371B1 (en) | Virtual network environment | |
CN107690800B (zh) | 管理动态ip地址分配 | |
WO2019184164A1 (zh) | 自动部署Kubernetes从节点的方法、装置、终端设备及可读存储介质 | |
US8832680B2 (en) | Installation event counting apparatus and package creation method | |
US20140067914A1 (en) | Computer system and packet transfer method | |
US7937704B2 (en) | Distributed computer | |
CN107111510B (zh) | 一种针对vnf包进行操作的方法及装置 | |
CN113127199B (zh) | 负载均衡配置方法、装置、设备及存储介质 | |
CN105704042A (zh) | 报文处理方法、bng及bng集群系统 | |
CN111818081B (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
CN112698838B (zh) | 多云容器部署系统及其容器部署方法 | |
US20220141080A1 (en) | Availability-enhancing gateways for network traffic in virtualized computing environments | |
CN110990335A (zh) | 日志归档方法、装置、设备及计算机可读存储介质 | |
CN108540408B (zh) | 一种基于Openstack的分布式虚拟交换机的管理方法及系统 | |
CN114338687A (zh) | 中间件管理方法和服务器 | |
CN111935195B (zh) | 分布式系统管理方法、装置、存储介质和分布式管理系统 | |
CN113220475A (zh) | 交易数据处理方法、装置、计算机设备和存储介质 | |
CN117336257A (zh) | 容器间的通信方法及装置、计算机存储介质、电子设备 | |
US9172607B2 (en) | Transmitting of configuration items within a network | |
KR20190015817A (ko) | 미들웨어를 이용한 모니터링 방법, 장치 및 시스템 | |
CN111884837A (zh) | 虚拟加密机的迁移方法、装置及计算机存储介质 | |
WO2022063121A1 (zh) | 一种基于私有网络的网络互通方法、设备以及计算机集群 | |
CN113852479B (zh) | 一种安全网络构建方法、装置、设备和计算机存储介质 | |
CN115174232B (zh) | 客户端安装方法、主机信息处理方法和运维安全系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |