一种应用于PaaS的网络隔离方法、装置以及设备制造方法及图纸

本申请公开了一种应用于PaaS的网络隔离方法、装置以及设备，方案包括：接收用户配置的隔离策略，所述隔离策略包含：目标类型、目标名称、目标端口、目标动作、访问来源；根据所述隔离策略，生成PaaS平台的服务器支持的IP包过滤策略；针对所述服务器上对应的容器，设置所述IP包过滤策略；根据所述IP包过滤策略，对所述对应的容器进行网络隔离。从而能够对运行在PaaS上的业务系统，提供有效、细粒度的网络隔离功能，实现PaaS上不同用户的业务之间、同一用户的不同业务之间的访问控制。

A network isolation method, device and device applied to PaaS

This application discloses a network isolation method, device, and device for PaaS, including a receiving user configured isolation policy comprising: target type, target name, target port, target action, access source; and generating server support for the PaaS platform according to the isolation policy. IP packet filtering strategy; set the IP packet filtering strategy for the corresponding container on the server; network isolation of the corresponding container according to the IP packet filtering strategy. Thus, it can provide effective and fine-grained network isolation function to the service system running on PaaS, and realize the access control between different users'services on PaaS and different services of the same user.

【技术实现步骤摘要】
一种应用于PaaS的网络隔离方法、装置以及设备
本申请涉及计算机
，尤其涉及一种应用于平台即服务(PlatformasaService，PaaS)的网络隔离方法、装置以及设备。
技术介绍
自从以docker为代表的容器技术出现以后，IT基础设施在“云化”的基础上，开始向与业务系统紧密结合的新方向发展，这一新发展方向主要以PaaS平台为代表。PaaS与以基础设施即服务(IaaS)为代表的上一代“云化”技术相比，具有以下特点：不再以虚拟机的方式提供资源，以能够灵活漂移重建的容器作为资源单位；在使用上革新了传统的业务系统部署方式，以全新PaaS模式进行业务系统部署。目前，PaaS的技术方案以开源项目为主，主要有“Kubernetes”、“Swarm”、“Marathon”等。但是，在已知的系统当中，对运行在PaaS上的业务系统，尚未提供有效、细粒度的网络隔离功能。
技术实现思路
本申请的一些实施例提供一种应用于PaaS的网络隔离方法、装置以及设备，用以解决现有技术中的如下技术问题：在已知的系统当中，对运行在PaaS上的业务系统，尚未提供有效、细粒度的网络隔离功能。本申请的一些实施例采用下述技术方案：一种应用于PaaS的网络隔离方法，包括：接收用户配置的隔离策略，所述隔离策略包含：目标类型、目标名称、目标端口、目标动作、访问来源；根据所述隔离策略，生成PaaS平台的服务器支持的IP包过滤策略；针对所述服务器上对应的容器，设置所述IP包过滤策略；根据所述IP包过滤策略，对所述对应的容器进行网络隔离。可选地，所述接收用户配置的隔离策略，具体包括：通过前端接收用户配置的隔离策略；所述根据所述隔离策略，生成PaaS平台的服务器支持的IP包过滤策略，具体包括：通过所述前端将所述隔离策略转换为JSON文本，并将所述JSON文本发送给对应的后端；通过所述后端解读所述JSON文本，生成PaaS平台的服务器支持的IP包过滤策略。可选地，所述服务器上预先设置有监听控制程序；所述通过所述后端解读所述JSON文本，生成PaaS平台的服务器支持的IP包过滤策略，具体包括：通过所述监听控制程序，监测所述服务器上运行的容器，并获取所述容器对应的JSON文本；以及，通过解读获取的所述JSON文本，生成PaaS平台的服务器支持的IP包过滤策略。可选地，所述IP包过滤策略包括各种应用系统支持的防火墙规则。可选地，所述通过所述前端将所述JSON文本发送对应的后端后，所述通过所述后端解读所述JSON文本前，所述方法还包括：通过所述后端将所述JSON文本转换为PaaS平台可存储的格式并存储，以供需要时还原为JSON文本并解读。可选地，所述根据所述IP包过滤策略，对所述对应的容器进行网络隔离，具体包括：接收针对所述对应的容器的连接请求；根据所述IP包过滤策略，检查所述连接请求，以决策是允许连接还是拒绝连接，并执行决策结果。一种应用于PaaS的网络隔离装置，包括：接收模块，接收用户配置的隔离策略，所述隔离策略包含：目标类型、目标名称、目标端口、目标动作、访问来源；生成模块，根据所述隔离策略，生成PaaS平台的服务器支持的IP包过滤策略；设置模块，针对所述服务器上对应的容器，设置所述IP包过滤策略；隔离模块，根据所述IP包过滤策略，对所述对应的容器进行网络隔离。可选地，所述接收模块接收用户配置的隔离策略，具体包括：所述接收模块通过前端接收用户配置的隔离策略；所述生成模块根据所述隔离策略，生成PaaS平台的服务器支持的IP包过滤策略，具体包括：所述生成模块通过所述前端将所述隔离策略转换为JSON文本，并将所述JSON文本发送给对应的后端；通过所述后端解读所述JSON文本，生成PaaS平台的服务器支持的IP包过滤策略。可选地，所述服务器上预先设置有监听控制程序；所述生成模块通过所述后端解读所述JSON文本，生成PaaS平台的服务器支持的IP包过滤策略，具体包括：所述生成模块通过所述监听控制程序，监测所述服务器上运行的容器，并获取所述容器对应的JSON文本；以及，通过解读获取的所述JSON文本，生成PaaS平台的服务器支持的IP包过滤策略。可选地，所述IP包过滤策略包括系统支持的防火墙规则。可选地，所述装置还包括：存储模块，在所述生成模块通过所述前端将所述JSON文本发送对应的后端后，通过所述后端解读所述JSON文本前，通过所述后端将所述JSON文本转换为PaaS平台可存储的格式并存储，以供需要时还原为JSON文本并解读。可选地，所述隔离模块根据所述IP包过滤策略，对所述对应的容器进行网络隔离，具体包括：所述隔离模块接收针对所述对应的容器的连接请求；根据所述IP包过滤策略，检查所述连接请求，以决策是允许连接还是拒绝连接，并执行决策结果。一种应用于PaaS的网络隔离设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：接收用户配置的隔离策略，所述隔离策略包含：目标类型、目标名称、目标端口、目标动作、访问来源；根据所述隔离策略，生成PaaS平台的服务器支持的IP包过滤策略；针对所述服务器上对应的容器，设置所述IP包过滤策略；根据所述IP包过滤策略，对所述对应的容器进行网络隔离。本申请的一些实施例采用的上述至少一个技术方案能够达到以下有益效果：能够对运行在PaaS上的业务系统，提供有效、细粒度的网络隔离功能，实现PaaS上不同用户的业务之间、同一用户的不同业务之间的访问控制。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1为本申请的一些实施例提供的一种应用于PaaS的网络隔离方法的流程示意图；图2为本申请的一些实施例提供的一种实际应用场景下，可供用户配置隔离策略的示例性前端页面示意图；图3为本申请的一些实施例提供的一种实际应用场景下，上述应用于PaaS的网络隔离方法的实施架构示意图；图4为本申请的一些实施例提供的一种应用于PaaS的网络隔离装置的结构示意图；图5为本申请的一些实施例提供的一种应用于PaaS的网络隔离设备的结构示意图。具体实施方式为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。图1为本申请的一些实施例提供的一种应用于PaaS的网络隔离方法的流程示意图。在该流程中，从设备角度而言，本申请实施例中的一些步骤的执行主体可以为PaaS相关设备，如PaaS平台的服务器、对应的用户终端等，本申请对此不做具体限定。另外，从程序角度而言，本申请实施例中的一些步骤的执行主体可以为上述设备中安装的程序。该程序的形式可以是客户端、浏览器、服务端等，本申请对此不作具体限定。图1中的流程可以包括以下步骤：S102：接收用户配置的隔离策略，所述隔离策略包含：目标类型、目标名称、目本文档来自技高网...

【技术保护点】
1.一种应用于平台即服务PaaS的网络隔离方法，其特征在于，包括：接收用户配置的隔离策略，所述隔离策略包含：目标类型、目标名称、目标端口、目标动作、访问来源；根据所述隔离策略，生成PaaS平台的服务器支持的IP包过滤策略；针对所述服务器上对应的容器，设置所述IP包过滤策略；根据所述IP包过滤策略，对所述对应的容器进行网络隔离。

【技术特征摘要】
1.一种应用于平台即服务PaaS的网络隔离方法，其特征在于，包括：接收用户配置的隔离策略，所述隔离策略包含：目标类型、目标名称、目标端口、目标动作、访问来源；根据所述隔离策略，生成PaaS平台的服务器支持的IP包过滤策略；针对所述服务器上对应的容器，设置所述IP包过滤策略；根据所述IP包过滤策略，对所述对应的容器进行网络隔离。2.如权利要求1所述的方法，其特征在于，所述接收用户配置的隔离策略，具体包括：通过前端接收用户配置的隔离策略；所述根据所述隔离策略，生成PaaS平台的服务器支持的IP包过滤策略，具体包括：通过所述前端将所述隔离策略转换为JSON文本，并将所述JSON文本发送给对应的后端；通过所述后端解读所述JSON文本，生成PaaS平台的服务器支持的IP包过滤策略。3.如权利要求2所述的方法，其特征在于，所述服务器上预先设置有监听控制程序；所述通过所述后端解读所述JSON文本，生成PaaS平台的服务器支持的IP包过滤策略，具体包括：通过所述监听控制程序，监测所述服务器上运行的容器，并获取所述容器对应的JSON文本；以及，通过解读获取的所述JSON文本，生成PaaS平台的服务器支持的IP包过滤策略。4.如权利要求2或者3所述的方法，其特征在于，所述IP包过滤策略包括各种应用系统支持的防火墙规则。5.如权利要求2所述的方法，其特征在于，所述通过所述前端将所述JSON文本发送对应的后端后，所述通过所述后端解读所述JSON文本前，所述方法还包括：通过所述后端将所述JSON文本转换为PaaS平台可存储的格式并存储，以供需要时还原为JSON文本并解读。6.如权利要求1所述的方法，其特征在于，所述根据所述IP包过滤策略，对所述对应的容器进行网络隔离，具体包括：接收针对所述对应的容器的连接请求；根据所述IP包过滤策略，检查所述连接请求，以决策是允许连接还是拒绝连接，并执行决策结果。7.一种应用于平台即服务PaaS的网络隔离装置，其特征在于，包括：接收模块，接收用户配置的隔离策略，所述隔离策略包含：目标类型、目标名称、目标端口、目标动作、访问来源；生成模块，根据所述隔离策略，生成PaaS平台的服务器支持的IP包过滤策略；设置模块，针对所述服务器上对应的容器，设置所述IP包过滤策略；隔离模块，根据所述I...

【专利技术属性】
技术研发人员：李佶澳，张宏逸，陈晓宇，覃照，黄佳，
申请(专利权)人：新智数字科技有限公司，
类型：发明
国别省市：河北,13