1.本发明涉及计算机
技术领域:
:,特别是一种容器场景下的多端网络管控方法方法、装置、存储介质和电子设备。
背景技术:
::2.目前容器场景下提供的网络往往采用的是内部桥接 iptables的方式实现网络通信,这种情况下容器虽然可以访问外网,但是外部应用往往无法主动访问到容器内的地址;且由于容器采用的内部子网是通过iptables转发的方式实现,而iptables转发后会修改容器数据包,外部应用收到的数据包源ip是宿主机的ip,不利于针对容器进行访问控制。3.因鉴于此,特提出本发明。技术实现要素:4.本发明的目的在于提供一种容器场景下的多端网络管控方法、装置、存储介质和电子设备,实现了容器组、宿主机、外部之间的数据转发和限制,解决了现有容器网络环境下通信不可控的安全性问题。5.为解决上述问题,第一方面,本发明实施例提供一种容器场景下的多端网络管控方法,包括:6.读取并解析宿主机上的网卡接管配置信息;7.根据解析出的网卡接管配置信息,接管目标网卡并模拟所述目标网卡提供服务;8.初始化容器网卡并提供管控策略,所述管控策略用于完成宿主机对外部以及宿主机对容器的网络访问控制。9.进一步地,所述读取并解析宿主机上的网卡接管配置信息包括:10.读取并解析指定目录下的所有配置文件,获取宿主机上需要管控的网卡信息,配置的字段包括网卡名、网卡ip和网卡掩码。11.进一步地,所述配置的字段还包括网关地址和网桥名。12.进一步地,所述接管目标网卡并模拟所述目标网卡提供服务包括:13.修改所述目标网卡的名称与mac地址,并基于目标网卡创建网桥;随后创建虚拟网卡,将虚拟网卡的一端加入网桥,另一端将网卡名称与mac地址修改为和接管的网卡信息一致,从而代替目标网卡为宿主机提供网络。14.进一步地,所述初始化容器网卡并提供管控策略包括:15.以容器名为前缀在宿主机上创建虚拟网卡对,将虚拟网卡对的一端插入步所述网桥,另一端切换至容器的网络空间,按照策略配置容器内的网卡信息,然后为容器内的网卡添加流表规则,实现容器内网络数据包的转发和过滤。16.进一步地,在所述初始化容器网卡并提供管控策略之后,所述方法还包括:17.为管控服务的配置多种限制参数,若数据报文信息不符合限制参数的要求,网络数据包将被丢弃。18.进一步地,容器在初始化过程中将自身的网络配置缓存至本地,当管控服务异常重启后,自行从本地缓存中读取配置并恢复网络。19.第二方面,本发明实施例提供一种容器场景下的多端网络管控装置,包括:20.解析模块,用于读取并解析宿主机上的网卡接管配置信息;21.接管模块,用于根据解析出的网卡接管配置信息,接管目标网卡并模拟所述目标网卡提供服务;22.管控模块,用于初始化容器网卡并提供管控策略,所述管控策略用于完成宿主机对外部以及宿主机对容器的网络访问控制。23.第三方面,本发明实施例提供一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述的方法。24.第四方面,本发明实施例提供一种电子设备,所述电子设备包括:25.一个或多个处理器;以及26.存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的方法。27.本发明实施例提供的一种容器场景下的多端网络管控方法、装置、存储介质和电子设备,通过管控服务接管目标网卡并模拟该网卡提供服务,管控服务在接管宿主机网卡后,为容器提供网络,从而支持以策略的方式完成宿主机对外部、宿主机对容器的网络访问控制。附图说明28.图1示出了根据本发明的实施例的容器场景下的多端网络管控方法的流程图;29.图2示出了根据本发明的实施例的容器场景下的多端网络管控方法所实现的宿主机内部逻辑结构图;30.图3示出了根据本发明的实施例的容器场景下的多端网络管控方法所实现的网络架构在数据传输时的流程图;31.图4示出了根据本发明的实施例的容器场景下的多端网络管控装置的框图;32.图5示出了能够实施本发明的多个实施例的计算设备的框图。具体实施方式33.下面将参考附图中示出的若干示例性实施方式来描述本发明的原理和精神。应当理解,描述这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。34.在本发明的实施例的描述中,术语“包括”及其类似用语应当理解为开放性包含,即“包括但不限于”。术语“基于”应当理解为“至少部分地基于”。术语“一个实施例”或“该实施例”应当理解为“至少一个实施例”。术语“第一”、“第二”等等可以指代不同的或相同的对象。下文还可能包括其他明确的和隐含的定义。35.请参考图1,为了解决上述问题,本发明实施例提供一种容器场景下的多端网络管控方法100,包括:36.步骤101,读取并解析宿主机上的网卡接管配置信息。37.在步骤101中,根据本发明的一个实施例,通过管控服务读取并解析指定目录下的所有配置文件,获取宿主机上需要管控的目标网卡信息;其中,每个配置文件管控一张目标网卡,目标网卡的配置字段包括:网卡名、网卡ip、网卡掩码,在一些实施例中,还可以包括网关地址、网桥名。38.步骤102,根据解析出的网卡接管配置信息,接管目标网卡并模拟所述目标网卡提供服务。39.在步骤102中,管控服务根据解析出来的配置接管对应的目标网卡后,首先修改目标网卡的名称与mac地址,其中网卡的名称添加-real后缀,mac地址前3个字段修改为80:ff:02,并基于该网卡创建网桥;随后创建虚拟网卡,将其中的一端加入网桥,另一端将网卡名称与mac地址修改为和接管的网卡信息一致,代替目标网卡为宿主机提供网络;管控服务在接管宿主机网卡后,支持以策略的方式完成宿主机对外部、宿主机对容器的网络访问控制。40.步骤103,初始化容器网卡并提供管控策略,管控策略用于完成宿主机对外部以及宿主机对容器的网络访问控制。41.容器启动时,管控服务会以容器名为前缀在宿主机上创建虚拟网卡对,将其中一端插入步骤102中创建的网桥,另一端切换至容器的网络空间,按照策略配置容器内网卡的ip、网关、路由等信息,为容器提供网络;管控服务在完成容器内网卡配置后,根据策略为容器网桥内一端的网卡添加流表规则,实现容器内网络数据包的转发和过滤。42.在步骤103之后,在一些实施例中,还可以为管控服务的配置多种限制参数,如目标网卡、目标ip、目标端口、mac地址、数据包标记、数据协议等。若数据报文信息不符合限制要求,网络包将被丢弃,提高容器通信的安全性,避免出现非法访问。43.进一步地,在一些实施例中,容器在初始化网桥过程中会将自身的网络配置缓存至本地,当管控服务异常重启后,会自行从本地缓存中读取配置并恢复网络,确保容器网络访问控制的高可用。44.图2示出了根据本发明的实施例的容器场景下的多端网络管控方法所实现的宿主机内部逻辑结构,由图2可以看出,宿主机内包括容器组、网络控制器(即网桥)、交互式规则下发模块和宿主机网卡设备(无ip)。其中,网卡对z:1和网卡对(宿主机)z:1是由步骤102创建的。容器组内包括容器1、容器2等多个容器(分别命名为app1、app2……)网卡对a:0与网卡对a:1对接,网卡对b:0与网卡对b:1对接,以此类推。宿主机网卡设备被网络控制器接管后,在交互式规则下发模块下发的配置规则(容器1-容器2,限制项包括ip、port(端口),card(网卡名),protocol(协议)、mac、tos_id)下,完成宿主机对外部、宿主机对容器的网络访问控制。45.图3示出了根据本发明的实施例的容器场景下的多端网络管控方法所实现的网络架构在数据传输时的流程,由图3可见,宿主机网卡设备(无ip)收到由外部app发送的报文后,将其发送到网络报文解析组件。报文包括报文头、mac地址(xx:xx:xx:xx:xx:xx),目的地址a.a.a.a,源地址b.b.b.b,协议(protocol)和lable标签(0x0),网络报文解析组件通过mac层报文解析、网络层报文解析和传输层报文解析,将解析后的报文数据发送给流表规则匹配组件,由于在方法100中,流表规则下发组件已经将规则下发到了网络控制器(本实施例中,下发配置包括:tablename:流表名,priority:匹配优先级,action:匹配操作,rule:匹配规则),因此流表规则匹配组件就进行规则匹配,例如,在第一组匹配规则中,流表名是table0,ip=x,x,x,x,port=0,protocol=tcp,在第二组匹配规则中,流表名是table1,ip=y,y,y,y,port=1,protocol=dump。接着,对数据包进行操作,如丢弃(drop),重新递交(resubmit)或者常规发送(normal),然后arp地址快速解析组件将数据包中的ip地址和mac地址解析后发送到网卡对x:0。数据包广播组件将数据包广播至网卡对a:0、网卡对b:0、网卡对c:0……直至网卡对x:0,从而完成对容器的访问。46.如图4所示,本发明实施例还提供一种容器场景下的多端网络管控装置200,包括:47.解析模块201,用于读取并解析宿主机上的网卡接管配置信息;48.接管模块202,用于根据解析出的网卡接管配置信息,接管目标网卡并模拟所述目标网卡提供服务;49.管控模块203,用于初始化容器网卡并提供管控策略,所述管控策略用于完成宿主机对外部以及宿主机对容器的网络访问控制。50.进一步地,解析模块201还用于:51.读取并解析指定目录下的所有配置文件,获取宿主机上需要管控的网卡信息,配置的字段包括网卡名、网卡ip和网卡掩码。52.进一步地,所述配置的字段还包括网关地址和网桥名。53.进一步地,接管模块202还用于:54.修改所述目标网卡的名称与mac地址,并基于目标网卡创建网桥;随后创建虚拟网卡,将虚拟网卡的一端加入网桥,另一端将网卡名称与mac地址修改为和接管的网卡信息一致,从而代替目标网卡为宿主机提供网络。55.进一步地,管控模块203还用于:56.以容器名为前缀在宿主机上创建虚拟网卡对,将虚拟网卡对的一端插入步所述网桥,另一端切换至容器的网络空间,按照策略配置容器内的网卡信息,然后为容器内的网卡添加流表规则,实现容器内网络数据包的转发和过滤。57.进一步地,在初始化容器网卡并提供管控策略之后,还为管控服务的配置多种限制参数,若数据报文信息不符合限制参数的要求,网络数据包将被丢弃。58.进一步地,管控模块203还用于容器在初始化过程中将自身的网络配置缓存至本地,当管控服务异常重启后,自行从本地缓存中读取配置并恢复网络。59.应当理解是,上述各个程序模块与方法实施例中所描述的各个步骤具有一一对应的关系,在方法实施例中描述的技术方案也可以应用于各个程序模块的具体配置中,为避免重复,在此不再赘述。60.根据本发明的实施例,本发明还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。61.图5示出了能够实施本发明的多个实施例的计算设备600的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。62.如图5所示,设备600包括计算单元601,其可以根据存储在只读存储器(rom)602中的计算机程序或者从存储单元608加载到随机访问存储器(ram)603中的计算机程序,来执行各种适当的动作和处理。在ram603中,还可存储设备600操作所需的各种程序和数据。计算单元601、rom602以及ram603通过总线604彼此相连。输入/输出(i/o)接口605也连接至总线604。63.设备600中的多个部件连接至i/o接口605,包括:输入单元606,例如键盘、鼠标等;输出单元607,例如各种类型的显示器、扬声器等;存储单元608,例如磁盘、光盘等;以及通信单元609,例如网卡、调制解调器、无线通信收发机等。通信单元609允许设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。64.计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元601执行上文所描述的各个方法和处理,例如方法100。例如,在一些实施例中,方法100可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元608。在一些实施例中,计算机程序的部分或者全部可以经由rom602和/或通信单元609而被载入和/或安装到设备600上。当计算机程序加载到ram603并由计算单元601执行时,可以执行上文描述的方法100的一个或多个步骤。备选地,在其他实施例中,计算单元601可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法100。65.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。66.用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。67.在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。68.为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,crt(阴极射线管)或者lcd(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。69.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(lan)、广域网(wan)和互联网。70.计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。71.应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。72.本文中应用了具体个例对发明构思进行了详细阐述,以上实施例的说明只是用于帮助理解本发明的核心思想。应当指出,对于本
技术领域:
:的普通技术人员来说,在不脱离该发明构思的前提下,所做的任何显而易见的修改、等同替换或其他改进,均应包含在本发明的保护范围之内。当前第1页12当前第1页12
技术领域:
:,特别是一种容器场景下的多端网络管控方法方法、装置、存储介质和电子设备。
背景技术:
::2.目前容器场景下提供的网络往往采用的是内部桥接 iptables的方式实现网络通信,这种情况下容器虽然可以访问外网,但是外部应用往往无法主动访问到容器内的地址;且由于容器采用的内部子网是通过iptables转发的方式实现,而iptables转发后会修改容器数据包,外部应用收到的数据包源ip是宿主机的ip,不利于针对容器进行访问控制。3.因鉴于此,特提出本发明。技术实现要素:4.本发明的目的在于提供一种容器场景下的多端网络管控方法、装置、存储介质和电子设备,实现了容器组、宿主机、外部之间的数据转发和限制,解决了现有容器网络环境下通信不可控的安全性问题。5.为解决上述问题,第一方面,本发明实施例提供一种容器场景下的多端网络管控方法,包括:6.读取并解析宿主机上的网卡接管配置信息;7.根据解析出的网卡接管配置信息,接管目标网卡并模拟所述目标网卡提供服务;8.初始化容器网卡并提供管控策略,所述管控策略用于完成宿主机对外部以及宿主机对容器的网络访问控制。9.进一步地,所述读取并解析宿主机上的网卡接管配置信息包括:10.读取并解析指定目录下的所有配置文件,获取宿主机上需要管控的网卡信息,配置的字段包括网卡名、网卡ip和网卡掩码。11.进一步地,所述配置的字段还包括网关地址和网桥名。12.进一步地,所述接管目标网卡并模拟所述目标网卡提供服务包括:13.修改所述目标网卡的名称与mac地址,并基于目标网卡创建网桥;随后创建虚拟网卡,将虚拟网卡的一端加入网桥,另一端将网卡名称与mac地址修改为和接管的网卡信息一致,从而代替目标网卡为宿主机提供网络。14.进一步地,所述初始化容器网卡并提供管控策略包括:15.以容器名为前缀在宿主机上创建虚拟网卡对,将虚拟网卡对的一端插入步所述网桥,另一端切换至容器的网络空间,按照策略配置容器内的网卡信息,然后为容器内的网卡添加流表规则,实现容器内网络数据包的转发和过滤。16.进一步地,在所述初始化容器网卡并提供管控策略之后,所述方法还包括:17.为管控服务的配置多种限制参数,若数据报文信息不符合限制参数的要求,网络数据包将被丢弃。18.进一步地,容器在初始化过程中将自身的网络配置缓存至本地,当管控服务异常重启后,自行从本地缓存中读取配置并恢复网络。19.第二方面,本发明实施例提供一种容器场景下的多端网络管控装置,包括:20.解析模块,用于读取并解析宿主机上的网卡接管配置信息;21.接管模块,用于根据解析出的网卡接管配置信息,接管目标网卡并模拟所述目标网卡提供服务;22.管控模块,用于初始化容器网卡并提供管控策略,所述管控策略用于完成宿主机对外部以及宿主机对容器的网络访问控制。23.第三方面,本发明实施例提供一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述的方法。24.第四方面,本发明实施例提供一种电子设备,所述电子设备包括:25.一个或多个处理器;以及26.存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的方法。27.本发明实施例提供的一种容器场景下的多端网络管控方法、装置、存储介质和电子设备,通过管控服务接管目标网卡并模拟该网卡提供服务,管控服务在接管宿主机网卡后,为容器提供网络,从而支持以策略的方式完成宿主机对外部、宿主机对容器的网络访问控制。附图说明28.图1示出了根据本发明的实施例的容器场景下的多端网络管控方法的流程图;29.图2示出了根据本发明的实施例的容器场景下的多端网络管控方法所实现的宿主机内部逻辑结构图;30.图3示出了根据本发明的实施例的容器场景下的多端网络管控方法所实现的网络架构在数据传输时的流程图;31.图4示出了根据本发明的实施例的容器场景下的多端网络管控装置的框图;32.图5示出了能够实施本发明的多个实施例的计算设备的框图。具体实施方式33.下面将参考附图中示出的若干示例性实施方式来描述本发明的原理和精神。应当理解,描述这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。34.在本发明的实施例的描述中,术语“包括”及其类似用语应当理解为开放性包含,即“包括但不限于”。术语“基于”应当理解为“至少部分地基于”。术语“一个实施例”或“该实施例”应当理解为“至少一个实施例”。术语“第一”、“第二”等等可以指代不同的或相同的对象。下文还可能包括其他明确的和隐含的定义。35.请参考图1,为了解决上述问题,本发明实施例提供一种容器场景下的多端网络管控方法100,包括:36.步骤101,读取并解析宿主机上的网卡接管配置信息。37.在步骤101中,根据本发明的一个实施例,通过管控服务读取并解析指定目录下的所有配置文件,获取宿主机上需要管控的目标网卡信息;其中,每个配置文件管控一张目标网卡,目标网卡的配置字段包括:网卡名、网卡ip、网卡掩码,在一些实施例中,还可以包括网关地址、网桥名。38.步骤102,根据解析出的网卡接管配置信息,接管目标网卡并模拟所述目标网卡提供服务。39.在步骤102中,管控服务根据解析出来的配置接管对应的目标网卡后,首先修改目标网卡的名称与mac地址,其中网卡的名称添加-real后缀,mac地址前3个字段修改为80:ff:02,并基于该网卡创建网桥;随后创建虚拟网卡,将其中的一端加入网桥,另一端将网卡名称与mac地址修改为和接管的网卡信息一致,代替目标网卡为宿主机提供网络;管控服务在接管宿主机网卡后,支持以策略的方式完成宿主机对外部、宿主机对容器的网络访问控制。40.步骤103,初始化容器网卡并提供管控策略,管控策略用于完成宿主机对外部以及宿主机对容器的网络访问控制。41.容器启动时,管控服务会以容器名为前缀在宿主机上创建虚拟网卡对,将其中一端插入步骤102中创建的网桥,另一端切换至容器的网络空间,按照策略配置容器内网卡的ip、网关、路由等信息,为容器提供网络;管控服务在完成容器内网卡配置后,根据策略为容器网桥内一端的网卡添加流表规则,实现容器内网络数据包的转发和过滤。42.在步骤103之后,在一些实施例中,还可以为管控服务的配置多种限制参数,如目标网卡、目标ip、目标端口、mac地址、数据包标记、数据协议等。若数据报文信息不符合限制要求,网络包将被丢弃,提高容器通信的安全性,避免出现非法访问。43.进一步地,在一些实施例中,容器在初始化网桥过程中会将自身的网络配置缓存至本地,当管控服务异常重启后,会自行从本地缓存中读取配置并恢复网络,确保容器网络访问控制的高可用。44.图2示出了根据本发明的实施例的容器场景下的多端网络管控方法所实现的宿主机内部逻辑结构,由图2可以看出,宿主机内包括容器组、网络控制器(即网桥)、交互式规则下发模块和宿主机网卡设备(无ip)。其中,网卡对z:1和网卡对(宿主机)z:1是由步骤102创建的。容器组内包括容器1、容器2等多个容器(分别命名为app1、app2……)网卡对a:0与网卡对a:1对接,网卡对b:0与网卡对b:1对接,以此类推。宿主机网卡设备被网络控制器接管后,在交互式规则下发模块下发的配置规则(容器1-容器2,限制项包括ip、port(端口),card(网卡名),protocol(协议)、mac、tos_id)下,完成宿主机对外部、宿主机对容器的网络访问控制。45.图3示出了根据本发明的实施例的容器场景下的多端网络管控方法所实现的网络架构在数据传输时的流程,由图3可见,宿主机网卡设备(无ip)收到由外部app发送的报文后,将其发送到网络报文解析组件。报文包括报文头、mac地址(xx:xx:xx:xx:xx:xx),目的地址a.a.a.a,源地址b.b.b.b,协议(protocol)和lable标签(0x0),网络报文解析组件通过mac层报文解析、网络层报文解析和传输层报文解析,将解析后的报文数据发送给流表规则匹配组件,由于在方法100中,流表规则下发组件已经将规则下发到了网络控制器(本实施例中,下发配置包括:tablename:流表名,priority:匹配优先级,action:匹配操作,rule:匹配规则),因此流表规则匹配组件就进行规则匹配,例如,在第一组匹配规则中,流表名是table0,ip=x,x,x,x,port=0,protocol=tcp,在第二组匹配规则中,流表名是table1,ip=y,y,y,y,port=1,protocol=dump。接着,对数据包进行操作,如丢弃(drop),重新递交(resubmit)或者常规发送(normal),然后arp地址快速解析组件将数据包中的ip地址和mac地址解析后发送到网卡对x:0。数据包广播组件将数据包广播至网卡对a:0、网卡对b:0、网卡对c:0……直至网卡对x:0,从而完成对容器的访问。46.如图4所示,本发明实施例还提供一种容器场景下的多端网络管控装置200,包括:47.解析模块201,用于读取并解析宿主机上的网卡接管配置信息;48.接管模块202,用于根据解析出的网卡接管配置信息,接管目标网卡并模拟所述目标网卡提供服务;49.管控模块203,用于初始化容器网卡并提供管控策略,所述管控策略用于完成宿主机对外部以及宿主机对容器的网络访问控制。50.进一步地,解析模块201还用于:51.读取并解析指定目录下的所有配置文件,获取宿主机上需要管控的网卡信息,配置的字段包括网卡名、网卡ip和网卡掩码。52.进一步地,所述配置的字段还包括网关地址和网桥名。53.进一步地,接管模块202还用于:54.修改所述目标网卡的名称与mac地址,并基于目标网卡创建网桥;随后创建虚拟网卡,将虚拟网卡的一端加入网桥,另一端将网卡名称与mac地址修改为和接管的网卡信息一致,从而代替目标网卡为宿主机提供网络。55.进一步地,管控模块203还用于:56.以容器名为前缀在宿主机上创建虚拟网卡对,将虚拟网卡对的一端插入步所述网桥,另一端切换至容器的网络空间,按照策略配置容器内的网卡信息,然后为容器内的网卡添加流表规则,实现容器内网络数据包的转发和过滤。57.进一步地,在初始化容器网卡并提供管控策略之后,还为管控服务的配置多种限制参数,若数据报文信息不符合限制参数的要求,网络数据包将被丢弃。58.进一步地,管控模块203还用于容器在初始化过程中将自身的网络配置缓存至本地,当管控服务异常重启后,自行从本地缓存中读取配置并恢复网络。59.应当理解是,上述各个程序模块与方法实施例中所描述的各个步骤具有一一对应的关系,在方法实施例中描述的技术方案也可以应用于各个程序模块的具体配置中,为避免重复,在此不再赘述。60.根据本发明的实施例,本发明还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。61.图5示出了能够实施本发明的多个实施例的计算设备600的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。62.如图5所示,设备600包括计算单元601,其可以根据存储在只读存储器(rom)602中的计算机程序或者从存储单元608加载到随机访问存储器(ram)603中的计算机程序,来执行各种适当的动作和处理。在ram603中,还可存储设备600操作所需的各种程序和数据。计算单元601、rom602以及ram603通过总线604彼此相连。输入/输出(i/o)接口605也连接至总线604。63.设备600中的多个部件连接至i/o接口605,包括:输入单元606,例如键盘、鼠标等;输出单元607,例如各种类型的显示器、扬声器等;存储单元608,例如磁盘、光盘等;以及通信单元609,例如网卡、调制解调器、无线通信收发机等。通信单元609允许设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。64.计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元601执行上文所描述的各个方法和处理,例如方法100。例如,在一些实施例中,方法100可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元608。在一些实施例中,计算机程序的部分或者全部可以经由rom602和/或通信单元609而被载入和/或安装到设备600上。当计算机程序加载到ram603并由计算单元601执行时,可以执行上文描述的方法100的一个或多个步骤。备选地,在其他实施例中,计算单元601可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法100。65.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。66.用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。67.在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。68.为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,crt(阴极射线管)或者lcd(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。69.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(lan)、广域网(wan)和互联网。70.计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。71.应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。72.本文中应用了具体个例对发明构思进行了详细阐述,以上实施例的说明只是用于帮助理解本发明的核心思想。应当指出,对于本
技术领域:
:的普通技术人员来说,在不脱离该发明构思的前提下,所做的任何显而易见的修改、等同替换或其他改进,均应包含在本发明的保护范围之内。当前第1页12当前第1页12
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
