本公开的实施例公开了云原生kubernetes网络的黑名单控制方法和装置。该方法的具体实施方式包括:导入用于与API服务节点交互以获取容器资源和网络访问控制自定义资源的配置文件;接收API服务节点同步的事件,其中,事件由API服务节点根据预先配置的容器资源和网络访问控制自定义资源的变化而触发;根据容器资源和网络访问控制自定义资源获取IP列表;根据IP列表生成黑名单;响应于接收到符合黑名单的数据,丢弃数据。该实施方式实现了kubernetes云原生的黑名单管理和配置方案。云原生的黑名单管理和配置方案。云原生的黑名单管理和配置方案。
【技术实现步骤摘要】
云原生kubernetes网络的黑名单控制方法和装置
[0001]本公开的实施例涉及计算机
,具体涉及云原生kubernetes网络的黑名单控制方法和装置。
技术介绍
[0002]云原生kubernetes提供了强大的容器编排能力,开放了网络接口,支持自定义灵活的容器网络。在kubernetes网络方案中,每个pod(容器)拥有独立的IP地址,pod运行在一个扁平的网络中,容器之间是可以直连的网络。CNI(Container Network Interface)定义了容器网络的接口规范,可以通过自定义cni插件配置容器网络。
[0003]常见的网络访问控制方式有白名单、黑名单两种。白名单用于放行可以访问的IP地址+端口,黑名单用于禁止不可访问的IP地址+端口。
[0004]现有的云原生k8s借助NetworkPolicy和网络插件(calico等)可以实现白名单功能。但是,k8s中缺少了网络黑名单的定义和实现,不具备用户黑名单功能。
技术实现思路
[0005]本公开的实施例提出了云原生kubernetes网络的黑名单控制方法和装置。
[0006]第一方面,本公开的实施例提供了一种云原生kubernetes网络的黑名单控制方法,包括:导入用于与API服务节点交互以获取容器资源和网络访问控制自定义资源的配置文件;接收所述API服务节点同步的事件,其中,所述事件由所述API服务节点根据预先配置的容器资源和网络访问控制自定义资源的变化而触发;根据所述容器资源和所述网络访问控制自定义资源获取IP列表;根据所述IP列表生成黑名单;响应于接收到符合所述黑名单的数据,丢弃所述数据。
[0007]在一些实施例中,网络访问控制自定义资源包括网段类型,网段类型的网络访问控制自定义资源的匹配参数包括:网络协议、源IP网段、源端口、目的IP网段、目的端口;以及所述根据所述容器资源和所述网络访问控制自定义资源获取IP列表,包括:若所述事件为网络访问控制自定义资源事件并且网络访问控制自定义资源为网段类型,则根据网络协议、源IP网段、源端口、目的IP网段、目的端口整理出流量过滤网段和端口规则。
[0008]在一些实施例中,网络访问控制自定义资源包括容器类型,容器类型的网络访问控制自定义资源的匹配参数包括:标签选择器、入方向网段和端口、出方向网段和端口;以及所述根据所述容器资源和所述网络访问控制自定义资源获取IP列表,包括:若所述事件为网络访问控制自定义资源事件并且网络访问控制自定义资源为容器类型,则根据所述标签选择器从所述容器资源中筛选出目标容器;根据所述目标容器的入方向网段和端口、出方向网段和端口整理出流量过滤网段和端口规则。
[0009]在一些实施例中,网络访问控制自定义资源包括容器类型,容器类型的网络访问控制自定义资源的匹配参数包括:标签选择器、入方向网段和端口、出方向网段和端口;以及所述根据所述容器资源和所述网络访问控制自定义资源获取IP列表,包括:若所述事件
为容器资源事件,则反查所述网络访问控制自定义资源的匹配参数是否能匹配所述标签选择器解析到目标容器;若能匹配,则根据所述目标容器的入方向网段和端口、出方向网段和端口整理出流量过滤网段和端口规则。
[0010]在一些实施例中,所述根据所述IP列表生成黑名单,包括:根据网络访问控制列表的命名空间和命名生成自定义链;配置所述自定义链的过滤规则;根据所述IP列表生成五元组;将所述过滤规则匹配所述五元组执行丢弃操作。
[0011]在一些实施例中,所述配置所述自定义链的过滤规则,包括:配置所述自定义链从输入处和转发处进行跳转。
[0012]在一些实施例中,所述变化包括增加、修改、删除。
[0013]第二方面,本公开的实施例提供了一种云原生kubernetes网络的黑名单控制装置,包括:导入单元,被配置成导入用于与API服务节点交互以获取容器资源和网络访问控制自定义资源的配置文件;同步单元,被配置成接收所述API服务节点同步的事件,其中,所述事件由所述API服务节点根据预先配置的容器资源和网络访问控制自定义资源的变化而触发;获取单元,被配置成根据所述容器资源和所述网络访问控制自定义资源获取IP列表;生成单元,被配置成根据所述IP列表生成黑名单;过滤单元,被配置成响应于接收到符合所述黑名单的数据,丢弃所述数据。
[0014]在一些实施例中,网络访问控制自定义资源包括网段类型,网段类型的网络访问控制自定义资源的匹配参数包括:网络协议、源IP网段、源端口、目的IP网段、目的端口;以及获取单元进一步被配置成:若所述事件为网络访问控制自定义资源事件并且网络访问控制自定义资源为网段类型,则根据网络协议、源IP网段、源端口、目的IP网段、目的端口整理出流量过滤网段和端口规则。
[0015]在一些实施例中,网络访问控制自定义资源包括容器类型,容器类型的网络访问控制自定义资源的匹配参数包括:标签选择器、入方向网段和端口、出方向网段和端口;以及获取单元进一步被配置成:若所述事件为网络访问控制自定义资源事件并且网络访问控制自定义资源为容器类型,则根据所述标签选择器从所述容器资源中筛选出目标容器;根据所述目标容器的入方向网段和端口、出方向网段和端口整理出流量过滤网段和端口规则。
[0016]在一些实施例中,网络访问控制自定义资源包括容器类型,容器类型的网络访问控制自定义资源的匹配参数包括:标签选择器、入方向网段和端口、出方向网段和端口;以及获取单元进一步被配置成:若所述事件为容器资源事件,则反查所述网络访问控制自定义资源的匹配参数是否能匹配所述标签选择器解析到目标容器;若能匹配,则根据所述目标容器的入方向网段和端口、出方向网段和端口整理出流量过滤网段和端口规则。
[0017]在一些实施例中,所述生成单元进一步被配置成:根据网络访问控制列表的命名空间和命名生成自定义链;配置所述自定义链的过滤规则;根据所述IP列表生成五元组;将所述过滤规则匹配所述五元组执行丢弃操作。
[0018]在一些实施例中,所述生成单元进一步被配置成:配置所述自定义链从输入处和转发处进行跳转。
[0019]在一些实施例中,所述变化包括增加、修改、删除。
[0020]第三方面,本公开的实施例提供了一种用于云原生kubernetes网络的黑名单控制
的电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个计算机程序,当所述一个或多个计算机程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面中任一项所述的方法。
[0021]第四方面,本公开的实施例提供了一种计算机可读介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如第一方面中任一项所述的方法。
[0022]应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0023]通过阅读参照以下附本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种云原生kubernetes网络的黑名单控制方法,包括:导入用于与API服务节点交互以获取容器资源和网络访问控制自定义资源的配置文件;接收所述API服务节点同步的事件,其中,所述事件由所述API服务节点根据预先配置的容器资源和网络访问控制自定义资源的变化而触发;根据所述容器资源和所述网络访问控制自定义资源获取IP列表;根据所述IP列表生成黑名单;响应于接收到符合所述黑名单的数据,丢弃所述数据。2.根据权利要求1所述的方法,其中,网络访问控制自定义资源包括网段类型,网段类型的网络访问控制自定义资源的匹配参数包括:网络协议、源IP网段、源端口、目的IP网段、目的端口;以及所述根据所述容器资源和所述网络访问控制自定义资源获取IP列表,包括:若所述事件为网络访问控制自定义资源事件并且网络访问控制自定义资源为网段类型,则根据网络协议、源IP网段、源端口、目的IP网段、目的端口整理出流量过滤网段和端口规则。3.根据权利要求1所述的方法,其中,网络访问控制自定义资源包括容器类型,容器类型的网络访问控制自定义资源的匹配参数包括:标签选择器、入方向网段和端口、出方向网段和端口;以及所述根据所述容器资源和所述网络访问控制自定义资源获取IP列表,包括:若所述事件为网络访问控制自定义资源事件并且网络访问控制自定义资源为容器类型,则根据所述标签选择器从所述容器资源中筛选出目标容器;根据所述目标容器的入方向网段和端口、出方向网段和端口整理出流量过滤网段和端口规则。4.根据权利要求1所述的方法,其中,网络访问控制自定义资源包括容器类型,容器类型的网络访问控制自定义资源的匹配参数包括:标签选择器、入方向网段和端口、出方向网段和端口;以及所述根据所述容器资源和所述网络访问控制自定义资源获取IP列表,包括:若所述事件为容器资源事件,则反查所述网络访...
【专利技术属性】
技术研发人员:王琨,赵建星,樊建刚,
申请(专利权)人:京东科技信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。