【技术实现步骤摘要】
一种Linux容器网络配置方法及网络系统
本专利技术涉及软件
,特别是涉及一种Linux容器网络配置方法及网络系统。
技术介绍
Linux容器(LinuxContainer,简称LXC)是一种操作系统层虚拟化技术,它基于Linux内核特性控制组(cgroup)和命名空间(namespace)等技术来进行进程资源的隔离和虚拟化。LXC同时也是一个开源的软件项目,其大部分代码遵从GNULGPLv2.1+协议开源。相比虚拟机,LXC更加轻量,且具有更好的性能,因此得到了越来越多的应用。在通常的云计算应用场景中,LXC集群是由多个用户共享或是由多个用户LXC集群所构成的。这时,不同用户的容器集群网络如果不进行隔离,也即不同用户的容器集群是在同一二层网络内,那么是存在安全性问题的。因为传统的攻击防御设备和策略(如防火墙)都是部署在二层网络的边界,并在三层网络(也即网络层)进行防御。二层数据链路层,也即局域网内的网络攻击是较难防御的。因此,在这一场景中,一般会对用户容器集群的网络在二层进行隔离。从而...
【技术保护点】
1.一种Linux容器网络配置方法,其特征在于,包括:/n获取待配置用户的Linux容器以及各所述Linux容器的宿主主机;/n对所述待配置用户分配子网网段,对各所述Linux容器分配属于所述子网网段的IP地址;/n将各所述Linux容器的网络类型配置成veth;/n将vethpair的容器端IP地址配置成所属Linux容器的IP地址;/n在每个所述宿主主机上均创建一个所述待配置用户对应的虚拟网桥;/n将所述vethpair的其中一个端口连接到同一个所述宿主主机内的所述虚拟网桥上;/n随机选定一个所述虚拟网桥作为中心网桥;/n在所述中心网桥所在宿主主机上创建虚拟网关;/n通...
【技术特征摘要】
1.一种Linux容器网络配置方法,其特征在于,包括:
获取待配置用户的Linux容器以及各所述Linux容器的宿主主机;
对所述待配置用户分配子网网段,对各所述Linux容器分配属于所述子网网段的IP地址;
将各所述Linux容器的网络类型配置成veth;
将vethpair的容器端IP地址配置成所属Linux容器的IP地址;
在每个所述宿主主机上均创建一个所述待配置用户对应的虚拟网桥;
将所述vethpair的其中一个端口连接到同一个所述宿主主机内的所述虚拟网桥上;
随机选定一个所述虚拟网桥作为中心网桥;
在所述中心网桥所在宿主主机上创建虚拟网关;
通过通用路由封装隧道将所述中心网桥连接到所述待配置用户对应的所有虚拟网桥。
2.根据权利要求1所述的Linux容器网络配置方法,其特征在于,所述在每个所述宿主主机上均创建一个所述待配置用户对应的虚拟网桥,具体包括:
利用开放虚拟交换标准在每个所述宿主主机上均创建一个所述待配置用户对应的虚拟网桥。
3.根据权利要求1所述的Linux容器网络配置方法,其特征在于,所述在所述中心网桥所在宿主主机上创建虚拟网关,具体包括:
利用开放虚拟交换标准的指令在所述中心网桥所在宿主主机上创建内核级端口,并在所述内核级端口上创建相应的Linux网络接口;
将所述子网网段中的第一个可用IP地址分配给所述Linux网络接口;
通过Linux的IP命令启动分配IP后的所述Linux网络接口。
4.根据权利要求1所述的Linux容器网络配置方法,其特征在于,所述通过通用路由封装隧道将所述中心网桥连接到所述待配置用户对应的所有虚拟网桥,具体包括:
在所述中心网桥上建立多个中心通用路由封装隧道端口;所述中心通用路由封装隧道端口的数量与远端网桥的数量相同;所述远端网桥为所述待配置用户所对应的虚拟网桥中除所述中心网桥之外的虚拟网桥;
在每个所述远端网桥上均建立一个远端通用路由封装隧道端口;每个所述远端通用路由封装隧道端口均对应连接一个所述中心通用路由封装隧道端口;
将各所述远端通用路由封装隧道端口的远端IP地址配置成中心网桥所在宿主主机的IP地址;
将各所述中心通用路由封装隧道端口的远端IP地址配置成对应...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。