本发明专利技术公开一种边缘场景下共享公网IP的网络隔离方法:在物理主机上创建多个隔离环境,获取主机的端口数据,对每个隔离环境分配互相不重叠的端口范围;将物理主机和创建的每个隔离环境与物理主机的每个物理网卡建立多条虚拟线路,每条虚拟线路连接一个物理网卡和物理主机/一个隔离环境;在物理主机的每个物理网卡上创建转发器及转发表,转发表记录所述端口范围与每个隔离环境的转发规则;对每个隔离环境创建一个具有其对应物理网卡的IP地址和MAC地址的虚拟网卡,在所述虚拟网卡上创建隔离转发器和隔离转发表,隔离转发表记录每条虚拟线路与所述每个物理网卡的对应关系;启动程序开始数据传输服务。实现本地计算机和隔离环境共享公网IP地址。环境共享公网IP地址。环境共享公网IP地址。
【技术实现步骤摘要】
边缘场景下共享公网IP的网络隔离方法及装置
[0001]本专利技术属于网络通讯
,尤其涉及一种边缘场景下共享公网IP的网络隔离方法、装置、设备及存储介质。
技术介绍
[0002]边缘计算(edge computing)是指一种在网络边缘进行计算的新型计算模式,其对数据的处理主要包括两部分:其一是下行的云服务,其二是上行的万物互联服务。其中,边缘计算当中的“边缘”是一个相对的概念,主要是指从数据源到云计算中心路径之间的任意计算、存储以及网络相关资源。边缘场景下,为了提高资源的利用率,一台服务器上通常会运行多个业务程序,这些业务程序共享对外通讯线路、公网IP。但是大部分的程序在设计时并没有考虑这种场景,是以占用整个服务器资源的假设来运行的。最典型情况,比如:业务程序通过采集机器的网卡流量作为自己的业务流量,但实际上采集到的是所有业务的流量。
[0003]现有技术中,使用容器和虚拟机等隔离环境的方法,每个隔离环境内都使用一个虚拟网卡,可以有效的隔离网络。但是这种方法不能为每个隔离环境配置相同的公网IP地址,因为传统的路由转发只能基于IP地址,当配置了多个相同的IP地址后,路由无法决定报文应该转发给谁,并且多个隔离环境的业务程序可能会使用相同的端口进行对外通讯,当IP和端口都一样时,就无法区分到他们的报文到底归属哪个隔离环境,只能配置私有IP。即业务服务跑在了一个内部网络环境,外部访问业务服务时,必须使用网络地址转换(Network Address Translation,NAT)的方式,导致内网和外网地址不一样,这种方式对外提供服务的方法有限,很多业务程序甚至不能在这种环境下运行。
技术实现思路
[0004]为解决上述问题,本专利技术的目的是提供一种边缘场景下共享公网IP的网络隔离方法、装置、设备及存储介质,该方法、装置、设备及存储介质能够使一台服务器主机下的每个容器、虚拟机等隔离环境都能配置到和本地计算机一样的公网IP。本地计算机和隔离环境可以共享使用公网IP地址,直接对外提供服务。
[0005]为实现上述目的,本专利技术的技术方案为:一种边缘场景下共享公网IP的网络隔离方法,包括:在物理主机上创建多个隔离环境,获取主机的端口数据,对每个隔离环境分配互相不重叠的端口范围;将物理主机和创建的所述每个隔离环境与物理主机的每个物理网卡建立多条虚拟线路,每条虚拟线路连接一个物理网卡和物理主机/一个隔离环境;在物理主机的每个物理网卡上创建转发器及转发表,所述转发表记录所述端口范围与每个隔离环境的转发规则;对每个隔离环境创建一个具有其对应物理网卡的IP地址和MAC地址的虚拟网卡,在所述虚拟网卡上创建隔离转发器和隔离转发表,所述隔离转发表记录每条虚拟线路与所述每个物理网卡的对应关系;启动程序开始数据传输服务。
[0006]在本专利技术的一个实施例中,在所述虚拟网卡上创建隔离转发器和隔离转发表之后
还包括:在收到隔离环境的端口绑定请求时,判断是否已有程序在使用此端口;在已有程序使用该端口的情况下,返回端口已被占用;在没有程序使用该端口的情况下,判断该端口是否在该隔离环境对应的端口范围内;在判断结果为是的情况下,执行端口绑定命令。
[0007]在本专利技术的一个实施例中,在所述在没有程序使用该端口的情况下,判断该端口是否在该隔离环境对应的端口范围内之后还包括:在判断结果为否的情况下,基于预设条件,判断是否允许添加新端口转发;在判断结果为是的情况下,执行端口绑定命令;在判断结果为否的情况下,返回端口已被占用。
[0008]在本专利技术的一个实施例中,所述方法还包括:获取到报文信息并对其进行解析,以获取近端端口信息、近端IP地址、远端端口信息、远端IP地址;基于所述远端端口信息、远端IP地址查询所述转发表,获取转发对象;基于所述远端端口信息、远端IP地址转发给对应的转发对象,其中所述转发对象为所述远端端口信息、远端IP地址对应的隔离环境,再发送给隔离环境中监听目标端口的程序。
[0009]在本专利技术的一个实施例中,在所述基于所述远端端口信息、远端IP地址查询所述转发表,获取转发对象之后还包括:判断所述转发对象是否为物理主机,在判断结果为是的情况下,不进行转发,由上层协议栈继续处理;在判结果为否的情况下,转发给获取的转发对象,再发送给隔离环境中监听目标端口的程序。
[0010]在本专利技术的一个实施例中,所述方法还包括:隔离环境产生报文,基于发出报文的近端端口信息、近端IP地址、远端端口信息、远端IP地址和虚拟转发表将报文数据发送至对应的虚拟线路上;所述虚拟线路对应的物理网卡获取并发出所述报文。
[0011]在本专利技术的一个实施例中,所述方法还包括:物理主机环境上的程序发出的报文,不进行转发,直接从物理网卡发送出去。
[0012]基于相同的构思,本专利技术还提供一种边缘场景下共享公网IP的网络隔离装置,包括:隔离环境创建模块,用于在物理主机上创建多个隔离环境,获取主机的端口数据,对每个隔离环境分配互相不重叠的端口范围;虚拟线路创建模块,用于将物理主机和创建的所述每个隔离环境与物理主机的每个物理网卡建立多条虚拟线路,每条虚拟线路连接一个物理网卡和物理主机/一个隔离环境;转发规则创建模块,用于在物理主机的每个物理网卡上创建转发器及转发表,所述转发表记录所述端口范围与每个隔离环境的转发规则;和用于对每个隔离环境创建一个具有其对应物理网卡的IP地址和MAC地址的虚拟网卡,在所述虚拟网卡上创建隔离转发器和隔离转发表,所述隔离转发表记录每条虚拟线路与所述每个物理网卡的对应关系;初始化模块,用于启动程序开始数据传输服务。
[0013]基于相同的构思,本专利技术还提供一种计算机设备,包括:存储器,所述存储器用于存储处理程序;处理器,所述处理器执行所述处理程序时实现任意一项所述的边缘场景下共享公网IP的网络隔离方法。
[0014]基于相同的构思,本专利技术还提供一种可读存储介质,所述可读存储介质上存储有处理程序,所述处理程序被处理器执行时实现任意一项所述的边缘场景下共享公网IP的网络隔离方法。
[0015]采用上述技术方案后,与现有技术相比,本专利技术的有益之处在于:
[0016]1、本专利技术通过针对本地主机和不同的隔离环境划分不同的端口范围,对每个隔离环境创建一个具有其对应物理网卡的IP地址和MAC地址的虚拟网卡,再在物理网卡上配置
转发器和转发表,在隔离环境配置虚拟转发器和虚拟转发表,实现共享同一个公网IP并能够有效区分不同的隔离环境的技术效果。
[0017]2、本专利技术在判断该端口不在该隔离环境对应的端口范围内得时候,进一步判断是否允许添加新端口转发,如果允许,则执行端口绑定。是为了实现在隔离环境中预先设定好特殊端口,增加白名单,检查程序是否按照预定的端口来进行报文数据传输,达到验证的目的。
附图说明
[0018]下面结合附图对本专利技术的具体实施方式作进一步详细说明,其中:
[0019]图1为本专利技术边缘场景下共享公网IP的网络隔离方法网络拓扑结构示意;
[002本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种边缘场景下共享公网IP的网络隔离方法,其特征在于,包括:在物理主机上创建多个隔离环境,获取主机的端口数据,对每个隔离环境分配互相不重叠的端口范围;将物理主机和创建的所述每个隔离环境与物理主机的每个物理网卡建立多条虚拟线路,每条虚拟线路连接一个物理网卡和物理主机/一个隔离环境;在物理主机的每个物理网卡上创建转发器及转发表,所述转发表记录所述端口范围与每个隔离环境的转发规则;对每个隔离环境创建一个具有其对应物理网卡的IP地址和MAC地址的虚拟网卡,在所述虚拟网卡上创建隔离转发器和隔离转发表,所述隔离转发表记录每条虚拟线路与所述每个物理网卡的对应关系;启动程序开始数据传输服务。2.如权利要求1所述的边缘场景下共享公网IP的网络隔离方法,其特征在于,在所述虚拟网卡上创建隔离转发器和隔离转发表之后还包括:在收到隔离环境的端口绑定请求时,判断是否已有程序在使用此端口;在已有程序使用该端口的情况下,返回端口已被占用;在没有程序使用该端口的情况下,判断该端口是否在该隔离环境对应的端口范围内;在判断结果为是的情况下,执行端口绑定命令。3.如权利要求2所述的边缘场景下共享公网IP的网络隔离方法,其特征在于,在所述在没有程序使用该端口的情况下,判断该端口是否在该隔离环境对应的端口范围内之后还包括:在判断结果为否的情况下,基于预设条件,判断是否允许添加新端口转发;在判断结果为是的情况下,执行端口绑定命令;在判断结果为否的情况下,返回端口已被占用。4.如权利要求1所述的边缘场景下共享公网IP的网络隔离方法,其特征在于,所述方法还包括:获取到报文信息并对其进行解析,以获取近端端口信息、近端IP地址、远端端口信息、远端IP地址;基于所述远端端口信息、远端IP地址查询所述转发表,获取转发对象;基于所述远端端口信息、远端IP地址转发给对应的转发对象,其中所述转发对象为所述远端端口信息、远端IP地址对应的隔离环境,再发送给隔离环境中监听目标端口的程序。5.如权利要求4所述的边缘场景下共享公网IP的网络隔离方法,其特征在于,在所述基于...
【专利技术属性】
技术研发人员:蒲威,君莫笑,童虎,
申请(专利权)人:缀初网络技术上海有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。