This application discloses a network isolation method, device, and device for PaaS, including a receiving user configured isolation policy comprising: target type, target name, target port, target action, access source; and generating server support for the PaaS platform according to the isolation policy. IP packet filtering strategy; set the IP packet filtering strategy for the corresponding container on the server; network isolation of the corresponding container according to the IP packet filtering strategy. Thus, it can provide effective and fine-grained network isolation function to the service system running on PaaS, and realize the access control between different users'services on PaaS and different services of the same user.
【技术实现步骤摘要】
一种应用于PaaS的网络隔离方法、装置以及设备
本申请涉及计算机
,尤其涉及一种应用于平台即服务(PlatformasaService,PaaS)的网络隔离方法、装置以及设备。
技术介绍
自从以docker为代表的容器技术出现以后,IT基础设施在“云化”的基础上,开始向与业务系统紧密结合的新方向发展,这一新发展方向主要以PaaS平台为代表。PaaS与以基础设施即服务(IaaS)为代表的上一代“云化”技术相比,具有以下特点:不再以虚拟机的方式提供资源,以能够灵活漂移重建的容器作为资源单位;在使用上革新了传统的业务系统部署方式,以全新PaaS模式进行业务系统部署。目前,PaaS的技术方案以开源项目为主,主要有“Kubernetes”、“Swarm”、“Marathon”等。但是,在已知的系统当中,对运行在PaaS上的业务系统,尚未提供有效、细粒度的网络隔离功能。
技术实现思路
本申请的一些实施例提供一种应用于PaaS的网络隔离方法、装置以及设备,用以解决现有技术中的如下技术问题:在已知的系统当中,对运行在PaaS上的业务系统,尚未提供有效、细粒度的网络隔离功能。本申请的一些实施例采用下述技术方案:一种应用于PaaS的网络隔离方法,包括:接收用户配置的隔离策略,所述隔离策略包含:目标类型、目标名称、目标端口、目标动作、访问来源;根据所述隔离策略,生成PaaS平台的服务器支持的IP包过滤策略;针对所述服务器上对应的容器,设置所述IP包过滤策略;根据所述IP包过滤策略,对所述对应的容器进行网络隔离。可选地,所述接收用户配置的隔离策略,具体包括:通过前端接收用户配置 ...
【技术保护点】
1.一种应用于平台即服务PaaS的网络隔离方法,其特征在于,包括:接收用户配置的隔离策略,所述隔离策略包含:目标类型、目标名称、目标端口、目标动作、访问来源;根据所述隔离策略,生成PaaS平台的服务器支持的IP包过滤策略;针对所述服务器上对应的容器,设置所述IP包过滤策略;根据所述IP包过滤策略,对所述对应的容器进行网络隔离。
【技术特征摘要】
1.一种应用于平台即服务PaaS的网络隔离方法,其特征在于,包括:接收用户配置的隔离策略,所述隔离策略包含:目标类型、目标名称、目标端口、目标动作、访问来源;根据所述隔离策略,生成PaaS平台的服务器支持的IP包过滤策略;针对所述服务器上对应的容器,设置所述IP包过滤策略;根据所述IP包过滤策略,对所述对应的容器进行网络隔离。2.如权利要求1所述的方法,其特征在于,所述接收用户配置的隔离策略,具体包括:通过前端接收用户配置的隔离策略;所述根据所述隔离策略,生成PaaS平台的服务器支持的IP包过滤策略,具体包括:通过所述前端将所述隔离策略转换为JSON文本,并将所述JSON文本发送给对应的后端;通过所述后端解读所述JSON文本,生成PaaS平台的服务器支持的IP包过滤策略。3.如权利要求2所述的方法,其特征在于,所述服务器上预先设置有监听控制程序;所述通过所述后端解读所述JSON文本,生成PaaS平台的服务器支持的IP包过滤策略,具体包括:通过所述监听控制程序,监测所述服务器上运行的容器,并获取所述容器对应的JSON文本;以及,通过解读获取的所述JSON文本,生成PaaS平台的服务器支持的IP包过滤策略。4.如权利要求2或者3所述的方法,其特征在于,所述IP包过滤策略包括各种应用系统支持的防火墙规则。5.如权利要求2所述的方法,其特征在于,所述通过所述前端将所述JSON文本发送对应的后端后,所述通过所述后端解读所述JSON文本前,所述方法还包括:通过所述后端将所述JSON文本转换为PaaS平台可存储的格式并存储,以供需要时还原为JSON文本并解读。6.如权利要求1所述的方法,其特征在于,所述根据所述IP包过滤策略,对所述对应的容器进行网络隔离,具体包括:接收针对所述对应的容器的连接请求;根据所述IP包过滤策略,检查所述连接请求,以决策是允许连接还是拒绝连接,并执行决策结果。7.一种应用于平台即服务PaaS的网络隔离装置,其特征在于,包括:接收模块,接收用户配置的隔离策略,所述隔离策略包含:目标类型、目标名称、目标端口、目标动作、访问来源;生成模块,根据所述隔离策略,生成PaaS平台的服务器支持的IP包过滤策略;设置模块,针对所述服务器上对应的容器,设置所述IP包过滤策略;隔离模块,根据所述I...
【专利技术属性】
技术研发人员:李佶澳,张宏逸,陈晓宇,覃照,黄佳,
申请(专利权)人:新智数字科技有限公司,
类型:发明
国别省市:河北,13
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。