【技术实现步骤摘要】
【国外来华专利技术】用于在容器框架中核实网络策略的技术
[0001]相关申请的交叉引用
[0002]本PCT申请要求2021年2月26日提交的标题为“TECHNIQUES FOR VERIFYING NETWORK POLICIES IN CONTAINER FRAMEWORKS”的编号为17/187,631的美国专利申请的优先权,该专利申请的公开内容出于所有目的通过引用全文并入本文。
技术介绍
[0003]容器编排工具提供用于跨计算环境中的计算节点的集群管理和部署容器化应用的稳健框架。这些工具的示例包括例如Kubernetes、Open Shift、Docker Swarm等。近年来,随着从大型单体系统到高度分布式和基于微服务的系统的服务/应用设计的改变以及基于云的服务的日益普及,这些工具的使用量急剧增加。在基于微服务的模型中,应用是使用大量通过网络通信的小组件构建的。每个组件都可以独立部署、升级和扩展到生产环境。软件定义网络是基于微服务的模型不可或缺的一部分,从而允许在不中断的情况下对各个组件进行无缝更改。每次系统内组件的布置发生改变时,底层网络都会自动重新配置。此类网络中的组件通常具有动态指派的互联网协议(IP)地址,这些IP地址对于特定组件类型而言并不稳定。
[0004]管理用于这些系统的网络策略(例如,网络安全性策略)是困难的,因为它们常常使用网络策略的许多声明性配置,这些网络策略定义组件之间允许的流量流。这些策略可以由许多不同的实体以各种方式定义,这使得用户很容易无意中指定彼此冲突或相互遮盖的策略。这在具有多个组负责部分工作负 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种计算机实现的方法,包括:由计算设备获得容器化环境的连接性路径的集合,该连接性路径的集合分别指示容器化环境中的容器对之间的连接;由计算设备至少部分地基于连接性路径的集合中的连接性路径来识别一对容器中的第一容器和第二容器;由计算设备确定与连接性路径对应的网络策略,该网络策略指示第一容器和第二容器之间的特定连接的预期结果;由计算设备初始化从第一容器到第二容器的连接;由计算设备识别连接的结果;以及至少部分地基于识别出所述结果与由与连接性路径对应的网络策略指示的预期结果不同而使得所述结果呈现在用户设备处。2.如权利要求1所述的计算机实现的方法,其中所述结果指示连接已建立或建立连接失败。3.如权利要求1所述的计算机实现的方法,还包括:至少部分地基于一个或多个网络策略将连接性路径的集合中的连接性路径的第一子集识别为肯定路径,所述一个或多个网络策略分别与连接性路径的第一子集中的相应连接性路径对应,其中将特定连接性路径识别为肯定路径包括至少部分地基于对应的网络策略确定该连接性路径的两个容器之间的连接被允许;以及生成连接性路径的集合中的连接性路径的第二子集,该连接性路径的第二子集与否定路径对应,该连接性路径的第二子集是至少部分地基于识别连接性路径的第一子集来生成的。4.如权利要求1所述的计算机实现的方法,其中获得连接性路径的集合还包括,对于连接性路径的集合中的至少一条连接性路径:在运行时监视容器化环境的两个容器之间的网络流量;以及至少部分地基于监视来生成对应的连接性路径。5.如权利要求1所述的计算机实现的方法,其中获得连接性路径的集合还包括,对于连接性路径的集合中的至少一条连接性路径,获得预定义的连接性路径,该预定义的连接性路径指示允许或者不允许特定容器对之间的特定连接。6.如权利要求1所述的计算机实现的方法,还包括至少部分地基于识别出第一容器与第一标签相关联以及第二容器与第二标签相关联来识别第一容器和第二容器。7.如权利要求6所述的计算机实现的方法,其中第一容器是多个容器中的与第一标签相关联的一个容器,并且所述方法还包括:发起所述多个容器中的至少一个其它容器与第二容器之间的附加连接;由计算设备识别附加连接的附加结果;以及至少部分地基于识别出附加结果与由与连接性路径对应的网络策略指示的预期结果不同而使得该附加结果被呈现。8.一种计算设备,包括:处理器;以及存储指令的存储器,该指令在由处理器执行时使得计算设备:
获得容器化环境的连接性路径的集合,该连接性路径的集合分别指示容器化环境中的容器对之间的连接;至少部分地基于连接性路径的集合中的连接性路径来识别一对容器中的第一容器和第二容器;确定与连接性路径对应的网络策略,该网络策略指示第一容器和第二容器之间的特定连接的预期结果;初始化从第一容器到第二容器的连接;识别连接的结果;以及至少部分地基于识别出所述结果与由与连接性路径对应的网络策略指示的预期结果不同而使得所述结果呈现在用户设备处。9.如权利要求8所述的计算装置,其中所述结果指示连接已建立或建立连接失败。10.如权利要求8所述的计算设备,其中执行指令还使得计算设备:至少部分地基于一个或多个网络策略将连接性路径的集合中的连接性路径的第一子集识别为肯定路径,所述一个或多个网络策略分别与连接性路径的第一子集中的相应连接性路径对应,其中将特定连接性路径识别为肯定路径包括至少部分地基于对应的网络策略确定该连接性路径的两个容器之间的连接被允许;以及生成连接性路径的集合中的连接性路径的第二子集,该连接性路径的第二子集与否定路径对应,该连接性路径的第二子集是至少部分地基于识别连...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。