The invention relates to a method for isolating a multi tenant network on a Docker container platform. In the method of isolating the multi-tenant network on the Docker container platform, the Docker container network is implemented by the virtual switch Open Vswitch, and the characteristics of the VLAN can be configured by using the Open Vswitch virtual switch to assign a VLAN ID to each tenant and divide the same tenant container into the same VLAN. Different tenant networks are isolated through VLAN.
【技术实现步骤摘要】
一种对Docker容器平台上多租户网络进行隔离的方法
本专利技术涉及一种对Docker容器平台上多租户网络进行隔离的方法,属于云计算安全的
技术介绍
Docker是PaaS提供商dotCloud开源的一个基于LXC的高级容器引擎,源代码托管在Github上,基于go语言并遵从Apache2.0协议开源。Docker设想是交付运行环境如同海运,OS如同一个货轮,每一个在OS基础上的软件都如同一个集装箱,用户可以通过标准化手段自由组装运行环境,同时集装箱的内容可以由用户自定义,也可以由专业人员制造。这样,交付一个软件,就是一系列标准化组件的集合的交付,这也就是基于docker的PaaS平台产品的原型。在Docker容器平台实际部署环境中,有大量的服务器节点,每台服务器上都运行了数百个甚至上千个Docker容器,这对实现容器网络隔离,保护容器安全带来了挑战。在Docker默认配置下,同一个服务器上,所有容器连接在一个网桥上,共享同样的网络资源,多租户容器网络没有隔离,存在一定的安全隐患。随着互联网技术的飞速发展,基于网络的应用已经广泛出现企业内部和外部的业务系统中,网络应用发挥着越来越重要的作用。与此同时,越来越多的网络应用也因为存在安全隐患而频繁遭受到各种攻击,导致敏感数据、页面被篡改、数据非法访问、甚至成为传播木马的傀儡,最终会给更多访问者造成伤害,带来严重损失。针对越来越多的网络层攻击,防火墙、入侵防御等网络安全设备已被广泛部署在网络边界,网络访问控制策略设置也颇为严格,一般只开放HTTP等必要的服务端口,因此黑客已很难通过传统网络层攻击方式进行 ...
【技术保护点】
1.一种对Docker容器平台上多租户网络进行隔离的方法,基于虚拟交换机实现;其特征在于,包括步骤如下:1)将Docker容器平台中每个服务器节点配成属于一个IP地址空间的子网;2)在每个服务器节点上,将Docker容器默认使用的docker0网桥用Open Vswitch网桥替换,并使每个docker容器都连到Open Vswitch普通网桥上,获得同一个网段的IP地址;3)在Open Vswitch网桥将不同的租户划分为不同的VLAN,实现租户隔离;4)在每个服务器节点上建立一个Open Vswitch隧道网桥,并建立一个端口,以连接Open Vswitch网桥;通过在Open Vswitch隧道网桥上建立GRE或VxLAN隧道,实现同一租户容器之间跨主机的二层通信。
【技术特征摘要】
1.一种对Docker容器平台上多租户网络进行隔离的方法,基于虚拟交换机实现;其特征在于,包括步骤如下:1)将Docker容器平台中每个服务器节点配成属于一个IP地址空间的子网;2)在每个服务器节点上,将Docker容器默认使用的docker0网桥用OpenVswitch网桥替换,并使每个docker容器都连到OpenVswitch...
【专利技术属性】
技术研发人员:李若寒,元河清,陈小龙,孟宪鑫,
申请(专利权)人:山东超越数控电子股份有限公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。