网络隔离规则的设置方法、装置、设备及存储介质制造方法及图纸

本申请公开了一种网络隔离规则的设置方法、装置、设备及存储介质，属于计算机技术领域。所述方法包括：获取自定义隔离策略，自定义隔离策略设置在容器管理系统中的第一名称空间中，自定义隔离策略是针对容器管理系统中的第二名称空间设置的；根据自定义隔离策略，确定第一容器部署单元与第二容器部署单元之间的网络隔离规则，第一容器部署单元属于第一名称空间，第二容器部署单元属于第二名称空间；为目标节点设置网络隔离规则，目标节点是集群中部署第一容器部署单元的节点。在第二容器部署单元的通信地址变化的情况下，由于第二名称空间不会产生变化，从而无需重新配置自定义隔离策略，因此能够简化设置网络隔离规则的过程。程。程。

【技术实现步骤摘要】
网络隔离规则的设置方法、装置、设备及存储介质


[0001]本申请涉及计算机
，特别涉及一种网络隔离规则的设置方法、装置、设备及存储介质。

技术介绍

[0002]容器技术是云计算中应用的主要技术之一。提供服务的系统可以将用于提供服务的程序部署在容器中，再将容器部署在系统的集群的不同节点中，从而能够实现系统中服务的分布式部署。在提供服务的过程中，由于不同程序之间存在进行通信的需求或隔离的需求，所以容器之间需要通信或隔离，因此需要考虑不同容器之间的网络隔离。
[0003]库伯内茨(Kubernetes，K8s)系统能够对容器集群进行管理。K8s系统能够在容器部署单元(Pod)中部署一个或多个容器。网络策略(Network Policy)是K8s系统中的一种资源类型，基于Network Policy以及相关的插件，K8s系统能够为基于Network Policy选择的第一Pod生成网络隔离规则。其中，与选择的第一Pod进行隔离的第二Pod是根据Network Policy中设置的网段确定的，第二Pod的国际互联协议(Internet Protocol，IP)地址属于该网段。
[0004]在基于Network Policy实现Pod的网络隔离时，在第二Pod的IP地址产生变化的情况下，若需要继续为第一Pod隔离第二Pod，则需重新设置Network Policy中设置的网段，设置网络隔离规则的过程较为繁琐。

技术实现思路

[0005]本申请提供了一种网络隔离规则的设置方法、装置、设备及存储介质，可以简化设置网络隔离规则的过程。所述技术方案如下：
[0006]根据本申请的一方面，提供了一种网络隔离规则的设置方法，所述方法应用于容器管理系统，所述容器管理系统用于管理集群的节点中部署的容器部署单元，所述容器部署单元中部署有至少一个容器，所述集群中存在至少两个部署有所述容器部署单元的节点，所述容器管理系统设置有多个名称空间，所述名称空间用于定义所述容器部署单元的命名，所述方法包括：
[0007]获取自定义隔离策略，所述自定义隔离策略设置在所述容器管理系统中的第一名称空间中，所述自定义隔离策略是针对所述容器管理系统中的第二名称空间设置的；
[0008]根据所述自定义隔离策略，确定第一容器部署单元与第二容器部署单元之间的网络隔离规则，所述第一容器部署单元属于所述第一名称空间，所述第二容器部署单元属于所述第二名称空间，所述第一容器部署单元与所述第二容器部署单元部署在所述集群的不同节点中；
[0009]为目标节点设置所述网络隔离规则，所述目标节点是所述集群中部署所述第一容器部署单元的节点。
[0010]根据本申请的另一方面，提供了一种网络隔离规则的设置装置，所述装置应用于
容器管理系统，所述容器管理系统用于管理集群的节点中部署的容器部署单元，所述容器部署单元中部署有至少一个容器，所述集群中存在至少两个部署有所述容器部署单元的节点，所述容器管理系统设置有多个名称空间，所述名称空间用于定义所述容器部署单元的命名，所述装置包括：
[0011]获取模块，用于获取自定义隔离策略，所述自定义隔离策略设置在所述容器管理系统中的第一名称空间中，所述自定义隔离策略是针对所述容器管理系统中的第二名称空间设置的；
[0012]确定模块，用于根据所述自定义隔离策略，确定第一容器部署单元与第二容器部署单元之间的网络隔离规则，所述第一容器部署单元属于所述第一名称空间，所述第二容器部署单元属于所述第二名称空间，所述第一容器部署单元与所述第二容器部署单元部署在所述集群的不同节点中；
[0013]设置模块，用于为目标节点设置所述网络隔离规则，所述目标节点是所述集群中部署所述第一容器部署单元的节点。
[0014]在一个可选的设计中，所述自定义隔离策略包括允许策略，所述允许策略是允许所述第一容器部署单元接收目标容器部署单元发送的消息的策略；
[0015]其中，所述目标容器部署单元包括所述第一容器部署单元所在的集群中，除所述第二容器部署单元以外的容器部署单元。
[0016]在一个可选的设计中，所述确定模块，用于：
[0017]通过控制器根据所述自定义隔离策略，获取所述第一容器部署单元的第一通信地址以及所述第二容器部署单元的第二通信地址；
[0018]通过所述控制器存储所述第一通信地址、所述第二通信地址以及所述第一通信地址和所述第二通信地址之间的第一隔离规则；
[0019]其中，所述第一隔离规则是拒绝所述第二通信地址向所述第一通信地址发送消息，并且允许第三通信地址向所述第一通信地址发送消息的规则，所述第三通信地址包括所述目标容器部署单元的通信地址，所述第一隔离规则是根据所述自定义隔离策略确定的。
[0020]在一个可选的设计中，所述设置模块，用于：
[0021]通过所述目标节点的代理获取所述控制器存储的所述第一通信地址、所述第二通信地址以及所述第一隔离规则；
[0022]通过所述代理根据所述第一通信地址、所述第二通信地址以及所述第一隔离规则设置所述节点的网络隔离规则。
[0023]在一个可选的设计中，所述自定义隔离策略包括拒绝策略，所述拒绝策略是拒绝所述第一容器部署单元接收目标容器部署单元发送的消息的策略；
[0024]其中，所述目标容器部署单元包括所述第一容器部署单元所在的集群中，除所述第二容器部署单元以外的容器部署单元。
[0025]在一个可选的设计中，所述确定模块，用于：
[0026]通过控制器根据所述自定义隔离策略，获取所述第一容器部署单元的第一通信地址以及所述第二容器部署单元的第二通信地址；
[0027]通过所述控制器存储所述第一通信地址、所述第二通信地址以及所述第一通信地
址和所述第二通信地址之间的第二隔离规则；
[0028]其中，所述第二隔离规则是允许所述第二通信地址向所述第一通信地址发送消息，并且拒绝第三通信地址向所述第一通信地址发送消息的规则，所述第三通信地址包括所述目标容器部署单元的通信地址，所述第二隔离规则是根据所述自定义隔离策略确定的。
[0029]在一个可选的设计中，所述设置模块，用于：
[0030]通过所述目标节点的代理获取所述控制器存储的所述第一通信地址、所述第二通信地址以及所述第二隔离规则；
[0031]通过所述代理根据所述第一通信地址、所述第二通信地址以及所述第二隔离规则设置所述节点的网络隔离规则。
[0032]在一个可选的设计中，所述获取模块，用于：
[0033]获取全局白名单，所述全局白名单是白名单容器部署单元的名单，所述白名单容器部署单元是发送的消息始终允许被所述第一容器部署单元接收的容器部署单元；
[0034]所述设置模块，用于：
[0035]为所述目标节点设置所述网络隔离规则以及全局白名单规则，所述全局白名单规则是始终允许所述第一容器部署单元接收所述白名单容器部署单元发送的消息的规则本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络隔离规则的设置方法，其特征在于，所述方法应用于容器管理系统，所述容器管理系统用于管理集群的节点中部署的容器部署单元，所述容器部署单元中部署有至少一个容器，所述集群中存在至少两个部署有所述容器部署单元的节点，所述容器管理系统设置有多个名称空间，所述名称空间用于定义所述容器部署单元的命名，所述方法包括：获取自定义隔离策略，所述自定义隔离策略设置在所述容器管理系统中的第一名称空间中，所述自定义隔离策略是针对所述容器管理系统中的第二名称空间设置的；根据所述自定义隔离策略，确定第一容器部署单元与第二容器部署单元之间的网络隔离规则，所述第一容器部署单元属于所述第一名称空间，所述第二容器部署单元属于所述第二名称空间，所述第一容器部署单元与所述第二容器部署单元部署在所述集群的不同节点中；为目标节点设置所述网络隔离规则，所述目标节点是所述集群中部署所述第一容器部署单元的节点。2.根据权利要求1所述的方法，其特征在于，所述自定义隔离策略包括允许策略，所述允许策略是允许所述第一容器部署单元接收目标容器部署单元发送的消息的策略；其中，所述目标容器部署单元包括所述第一容器部署单元所在的集群中，除所述第二容器部署单元以外的容器部署单元。3.根据权利要求2所述的方法，其特征在于，所述根据所述自定义隔离策略，确定第一容器部署单元与第二容器部署单元之间的网络隔离规则，包括：通过控制器根据所述自定义隔离策略，获取所述第一容器部署单元的第一通信地址以及所述第二容器部署单元的第二通信地址；通过所述控制器存储所述第一通信地址、所述第二通信地址以及所述第一通信地址和所述第二通信地址之间的第一隔离规则；其中，所述第一隔离规则是拒绝所述第二通信地址向所述第一通信地址发送消息，并且允许第三通信地址向所述第一通信地址发送消息的规则，所述第三通信地址包括所述目标容器部署单元的通信地址，所述第一隔离规则是根据所述自定义隔离策略确定的。4.根据权利要求3所述的方法，其特征在于，所述为目标节点设置所述网络隔离规则，包括：通过所述目标节点的代理获取所述控制器存储的所述第一通信地址、所述第二通信地址以及所述第一隔离规则；通过所述代理根据所述第一通信地址、所述第二通信地址以及所述第一隔离规则设置所述节点的网络隔离规则。5.根据权利要求1所述的方法，其特征在于，所述自定义隔离策略包括拒绝策略，所述拒绝策略是拒绝所述第一容器部署单元接收目标容器部署单元发送的消息的策略；其中，所述目标容器部署单元包括所述第一容器部署单元所在的集群中，除所述第二容器部署单元以外的容器部署单元。6.根据权利要求5所述的方法，其特征在于，所述根据所述自定义隔离策略，确定第一容器部署单元与第二容器部署单元之间的网络隔离规则，包括：通过控制器根据所述自定义隔离策略，获取所述第一容器部署单元的第一通信地址以及所述第二容器部署单元的第二通信地址；
通过所述控制器存储所述第一通信地址、所述第二通信地址以及所述第一通信地址和所述第二通信地址之间的第二隔离规则；其中，所述第二隔离规则是允许所述第二通信地址向所述第一通信地址发送消息，并且拒绝第三通信地址向所述第一通信地址发送消息的规则，所...

【专利技术属性】
技术研发人员：袁聚懋，
申请(专利权)人：上海远景科创智能科技有限公司，
类型：发明
国别省市：