容器间通信的安全控制方法及装置制造方法及图纸

本发明专利技术实施例提供一种容器间通信的安全控制方法及装置。该方法包括：第一虚拟容器网关接收源Docker容器发送的访问请求；第一虚拟容器网关获取与第一虚拟容器网关对应的第二虚拟容器网关的地址信息，第二虚拟容器网关与目标Docker容器对应；第一虚拟容器网关根据第二虚拟容器网关的地址信息，将访问请求发送给第二虚拟容器网关，以使第二虚拟容器网关将访问请求转发给目标Docker容器。本发明专利技术实施例通过虚拟容器网关之间的定向通信，可以实现Docker容器之间的定向通信，保证了Docker容器之间通信的可靠性。

【技术实现步骤摘要】

本专利技术实施例涉及通信
，尤其涉及一种容器间通信的安全控制方法及装置。
技术介绍
Docker是一个开源的应用容器引擎，在物理主机上安装Docker后，可在Docker的基础上承载多个容器，多个容器之间相互隔离，多个容器共享物理主机的操作系统，各容器可放置并执行不同的应用程序。将安装有Docker容器的物理主机称为Docker服务器，例如Docker容器1在Docker服务器1中，Docker容器2在Docker服务器2中，当Docker容器1作为客户端需要访问Docker容器2时，Docker容器1创建请求报文，该请求报文的源IP地址是Docker服务器1的IP地址，目的IP地址是Docker服务器2的IP地址。但是，当Docker容器2从Docker服务器2迁移到其他Docker服务器后，Docker容器1将无法与Docker容器2进行通信，降低了Docker容器之间通信的可靠性，进而无法保证Docker容器之间的定向通信。
技术实现思路
本专利技术实施例提供一种容器间通信的安全控制方法及装置，以提高Docker容器之间通信的可靠性，保证Docker容器之间的定向通信。本专利技术实施例的一个方面是提供一种容器间通信的安全控制方法，包括：第一虚拟容器网关接收源Docker容器发送的访问请求，所述访问请求包括目标Docker容器的第一子网地址；所述第一虚拟容器网关获取与所述第一虚拟容器网关对应的第二虚拟容器网关的地址信息，所述第二虚拟容器网关与所述目标Docker容器对应；所述第一虚拟容器网关根据所述第二虚拟容器网关的地址信息，将所述访问请求发送给所述第二虚拟容器网关，以使所述第二虚拟容器网关将所述访问请求转发给所述目标Docker容器。本专利技术实施例的另一个方面是提供一种容器间通信的安全控制装置，包括：接收模块，用于接收源Docker容器发送的访问请求，所述访问请求包括目标Docker容器的第一子网地址；获取模块，用于获取与所述第一虚拟容器网关对应的第二虚拟容器网关的地址信息，所述第二虚拟容器网关与所述目标Docker容器对应；发送模块，用于根据所述第二虚拟容器网关的地址信息，将所述访问请求发送给所述第二虚拟容器网关，以使所述第二虚拟容器网关将所述访问请求转发给所述目标Docker容器。本专利技术实施例提供的容器间通信的安全控制方法及装置，通过虚拟容器网关之间的定向通信，即时源Docker容器和目标Docker容器均发生了迁移，从一个Docker服务器迁移到了另一个Docker服务器，迁移之后源Docker容器和目标Docker容器分别对应的虚拟容器网关发生了变化，但是通过虚拟容器网关之间的定向通信，依然可以实现Docker容器之间的定向通信，保证了Docker容器之间通信的可靠性。附图说明图1为本专利技术实施例提供的容器间通信的安全控制方法流程图；图2为本专利技术实施例提供的容器间通信的安全控制方法适用的网络结构图；图3为本专利技术另一实施例提供的容器间通信的安全控制方法流程图；图4为本专利技术实施例提供的容器间通信的安全控制装置的结构图；图5为本专利技术另一实施例提供的容器间通信的安全控制装置的结构图。具体实施方式图1为本专利技术实施例提供的容器间通信的安全控制方法流程图；图2为本专利技术实施例提供的容器间通信的安全控制方法适用的网络结构图。本专利技术实施例针对当Docker容器2从Docker服务器2迁移到其他Docker服务器后，Docker容器1将无法与Docker容器2进行通信，降低了Docker容器之间通信的可靠性，进而无法保证Docker容器之间的定向通信，提供了容器间通信的安全控制方法，该方法步骤如下：步骤S101、第一虚拟容器网关接收源Docker容器发送的访问请求，所述访问请求包括目标Docker容器的第一子网地址；如图2所示，Docker容器21、Docker容器22和Docker引擎31位于Docker服务器11，Docker引擎32位于Docker服务器12，Docker容器22可从Docker服务器11迁移到Docker服务器12，容器网关40可分别与Docker引擎31和Docker引擎32通信，编排器30可分别与Docker服务器11和Docker服务器12通信。在本实施例中，容器网关40中可包括多个虚拟容器网关，且容器网关40中虚拟容器网关的个数根据与容器网关40连接的容器所属的子网的个数确定，例如，Docker容器21的子网地址是192.168.0.X，Docker容器22的子网地址是192.168.1.X，若192.168.0.X和192.168.1.X属于不同的子网时，容器网关40中可包括两个虚拟容器网关，两个虚拟容器网关包括第一虚拟容器网关和第二虚拟容器网关，假设第一虚拟容器网关对应Docker容器21，第二虚拟容器网关对应Docker容器22。本实施例中，Docker容器21是源Docker容器，Docker容器22是目标Docker容器，目标Docker容器的第一子网地址是Docker容器22的子网地址即192.168.1.X。Docker容器21访问Docker容器22，与Docker容器22进行通信。具体的，Docker容器21预先存储有第一虚拟容器网关的IP地址和端口号，Docker容器21向第一虚拟容器网发送访问请求，该访问请求中包括Docker容器22的子网地址即192.168.1.X。步骤S102、所述第一虚拟容器网关获取与所述第一虚拟容器网关对应的第二虚拟容器网关的地址信息，所述第二虚拟容器网关与所述目标Docker容器对应；具体地，所述第一虚拟容器网关查询ACL规则，获取与所述第一虚拟容器网关对应的第二虚拟容器网关的地址信息，所述ACL规则包括所述第一虚拟容器网关的地址信息与所述第二虚拟容器网关的地址信息的对应关系。本实施例中可预先在编排器30中设定第一虚拟容器网关和第二虚拟容器网关通信的访问控制列表(Access Control List，简称ACL)规则，例如该ACL规则允许第一虚拟容器网关和第二虚拟容器网关通信，另外，该ACL规则还可包括第一虚拟容器网关的地址信息与第二虚拟容器网关的地址信息的对应关系，表示第一虚拟容器网关的地址信息与第二虚拟容器网关的地址信息之间可进行通信。步骤S103、所述第一虚拟容器网关根据所述第二虚拟容器网关的地址信息，将所述访问请求发送给所述第二虚拟容器网关，以使所述第二虚拟容器网关将所述访问请求转发给所述目标Docker容器。第一虚拟容器网关获取到第二虚拟容器网关的地址信息后，将访问请求发送给第二虚拟容器网关，第二虚拟容器网关查看访问请求中的目标地址是Docker容器22的子网地址即192.168.1.X，则将该访问请求发送给Docker容器22。另外，本实施例中，第一虚拟容器网关和源Docker容器之间的通信方式可以是隧道方式，第二虚拟容器网关和目标Docker容器之间的通信方式也可以是隧道方式。本专利技术实施例通过虚拟容器网关之间的定向通信，即时源Docker容器和目标Docker容器均发生了迁移，从一个Docker服务器迁移到了另一个Docker服务器，迁移之后源Docker容器和目标Docker容器分别对应的虚拟容器网关发生了变本文档来自技高网...

【技术保护点】
一种容器间通信的安全控制方法，其特征在于，包括：第一虚拟容器网关接收源Docker容器发送的访问请求，所述访问请求包括目标Docker容器的第一子网地址；所述第一虚拟容器网关获取与所述第一虚拟容器网关对应的第二虚拟容器网关的地址信息，所述第二虚拟容器网关与所述目标Docker容器对应；所述第一虚拟容器网关根据所述第二虚拟容器网关的地址信息，将所述访问请求发送给所述第二虚拟容器网关，以使所述第二虚拟容器网关将所述访问请求转发给所述目标Docker容器。

【技术特征摘要】
1.一种容器间通信的安全控制方法，其特征在于，包括：第一虚拟容器网关接收源Docker容器发送的访问请求，所述访问请求包括目标Docker容器的第一子网地址；所述第一虚拟容器网关获取与所述第一虚拟容器网关对应的第二虚拟容器网关的地址信息，所述第二虚拟容器网关与所述目标Docker容器对应；所述第一虚拟容器网关根据所述第二虚拟容器网关的地址信息，将所述访问请求发送给所述第二虚拟容器网关，以使所述第二虚拟容器网关将所述访问请求转发给所述目标Docker容器。2.根据权利要求1所述的方法，其特征在于，所述第一虚拟容器网关获取与所述第一虚拟容器网关对应的第二虚拟容器网关的地址信息，包括：所述第一虚拟容器网关查询ACL规则，获取与所述第一虚拟容器网关对应的第二虚拟容器网关的地址信息，所述ACL规则包括所述第一虚拟容器网关的地址信息与所述第二虚拟容器网关的地址信息的对应关系。3.根据权利要求2所述的方法，其特征在于，所述第一虚拟容器网关接收源Docker容器发送的访问请求之前，还包括：所述第一虚拟容器网关给所述源Docker容器分配第二子网地址；所述第一虚拟容器网关存储所述源Docker容器的第二子网地址。4.根据权利要求3所述的方法，其特征在于，所述访问请求还包括所述源Docker容器的第二子网地址；所述第一虚拟容器网关接收源Docker容器发送的访问请求之后，还包括:所述第一虚拟容器网关根据所述目标Docker容器的第一子网地址，确定所述目标Docker容器和所述源Docker容器是否在同一子网内。5.根据权利要求4所述的方法，其特征在于，所述确定所述目标Docker容器和所述源Docker容器是否在同一子网内之后，包括：若所述目标Docker容器和所述源...

【专利技术属性】
技术研发人员：田新雪，马书惠，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：北京;11