用于在容器框架中核实网络策略的技术制造技术

公开了用于网络策略核实系统的技术，该系统能够获得容器化环境的连接性路径的集合，这些连接性路径分别指示容器对之间的连接。至少部分地基于连接性路径来识别一对中的第一容器和第二容器。确定与连接性路径对应的网络策略，该网络策略指示该特定连接的预期结果。可以在两个容器之间发起连接。结果可以至少部分地基于识别出该结果与由与该连接性路径对应的网络策略所指示的预期结果不同而被呈现在用户设备处。用户设备处。用户设备处。

【技术实现步骤摘要】
【国外来华专利技术】用于在容器框架中核实网络策略的技术
[0001]相关申请的交叉引用
[0002]本PCT申请要求2021年2月26日提交的标题为“TECHNIQUES FOR VERIFYING NETWORK POLICIES IN CONTAINER FRAMEWORKS”的编号为17/187,631的美国专利申请的优先权，该专利申请的公开内容出于所有目的通过引用全文并入本文。

技术介绍

[0003]容器编排工具提供用于跨计算环境中的计算节点的集群管理和部署容器化应用的稳健框架。这些工具的示例包括例如Kubernetes、Open Shift、Docker Swarm等。近年来，随着从大型单体系统到高度分布式和基于微服务的系统的服务/应用设计的改变以及基于云的服务的日益普及，这些工具的使用量急剧增加。在基于微服务的模型中，应用是使用大量通过网络通信的小组件构建的。每个组件都可以独立部署、升级和扩展到生产环境。软件定义网络是基于微服务的模型不可或缺的一部分，从而允许在不中断的情况下对各个组件进行无缝更改。每次系统内组件的布置发生改变时，底层网络都会自动重新配置。此类网络中的组件通常具有动态指派的互联网协议(IP)地址，这些IP地址对于特定组件类型而言并不稳定。
[0004]管理用于这些系统的网络策略(例如，网络安全性策略)是困难的，因为它们常常使用网络策略的许多声明性配置，这些网络策略定义组件之间允许的流量流。这些策略可以由许多不同的实体以各种方式定义，这使得用户很容易无意中指定彼此冲突或相互遮盖的策略。这在具有多个组负责部分工作负载的大型系统中尤其成问题。此外，组件的标签指派可能会独立于网络策略而发生改变，进一步使分析更加复杂。考虑到此类系统配置的复杂性，单个实体不太可能管理这些策略。现有的手动核实和/或分析此类策略的技术是乏味的，需要专业人员，并且无法缩放到这些系统的规模和复杂性。因此，手动处理这些网络策略几乎是不可行的。

技术实现思路

[0005]提供了用于核实容器框架的网络安全性规则/策略的技术(例如，方法、系统、存储可由一个或多个处理器执行的代码或指令的非暂态计算机可读介质)。本文描述了各种实施例，包括方法、系统、存储可由一个或多个处理器执行的程序、代码或指令的非暂态计算机可读存储介质等。
[0006]根据至少一个实施例，一个实施例针对一种用于核实一个或多个网络安全性规则的方法。该方法可以包括由计算设备获得容器化环境的连接性路径的集合。在一些实施例中，连接性路径的集合分别指示容器化环境中的容器对之间的连接。该方法还可以包括由计算设备至少部分地基于连接性路径的集合中的连接性路径来识别一对容器中的第一容器和第二容器。该方法还可以包括由计算设备确定与连接性路径对应的网络安全性策略。在一些实施例中，网络安全性策略指示第一容器和第二容器之间的特定连接的预期结果。该方法还可以包括由计算设备初始化从第一容器到第二容器的连接。该方法还可以包括由
计算设备识别连接的结果。该方法还可以包括至少部分地基于识别出该结果与由与连接性路径对应的网络安全性策略指示的预期结果不同而使得该结果呈现在用户设备处。
[0007]在一些实施例中，该结果指示连接已建立或建立连接失败。该方法还可以包括至少部分地基于一个或多个网络策略将连接性路径的集合中的连接性路径的第一子集识别为肯定路径，该一个或多个网络策略分别与连接性路径的第一子集中的相应连接性路径对应。在一些实施例中，将特定连接性路径识别为肯定路径包括至少部分地基于对应的网络安全性策略来确定允许连接性路径的两个容器之间的连接。该方法还可以包括生成连接性路径的集合中的连接性路径的第二子集，该连接性路径的第二子集与否定路径对应。可以至少部分地基于识别连接性路径的第一子集来生成连接性路径的第二子集。
[0008]在一些实施例中，获得连接性路径的集合还包括，对于连接性路径的集合中的至少一条连接性路径，在运行时监视容器化环境的两个容器之间的网络流量并至少部分地基于监视来生成对应的连接性路径。
[0009]在一些实施例中，获得连接性路径的集合还包括，对于连接性路径的集合中的至少一条连接性路径，获得预定义的连接性路径，该预定义的连接性路径指示允许或者不允许特定容器对之间的特定连接。
[0010]该方法还可以包括至少部分地基于识别出第一容器与第一标签相关联以及第二容器与第二标签相关联来识别第一容器和第二容器。
[0011]在一些实施例中，第一容器是多个容器中的与第一标签相关联的一个容器，并且该方法还包括i)发起多个容器中的至少一个其它容器与第二容器之间的附加连接，ii)由计算设备识别附加连接的附加结果；以及iii)至少部分地基于识别出附加结果与由与连接性路径对应的网络安全性策略指示的预期结果不同而使得该附加结果被呈现。
[0012]另一个实施例针对一种计算设备，该计算设备包括一个或多个处理器和存储计算机可执行指令的一个或多个存储器，该计算机可执行指令在由一个或多个处理器执行时，使得和/或配置计算设备执行上述方法。
[0013]另一个实施例针对一种存储计算机可执行指令的非暂态计算机可读介质，该计算机可执行指令在由计算设备的一个或多个处理器执行时，使得计算设备执行上述方法。
[0014]本文描述了各种实施例，包括方法、系统、存储可由一个或多个处理器执行的程序、代码或指令的非暂态计算机可读存储介质等。提及这些说明性实施例不是为了限制或定义公开内容，而是提供示例以帮助理解。在具体实施方式中讨论了附加实施例，并且在那里提供了进一步的描述。
附图说明
[0015]将参考附图描述根据本公开的各种实施例，其中：
[0016]图1描绘了根据至少一个实施例的计算环境100的示例，该计算环境100用于针对部署在计算环境中的应用的组件使用网络安全性策略。
[0017]图2描绘了根据至少一个实施例的部署在图1中所示的计算环境的容器化环境中的应用的示例。
[0018]图3描绘了根据至少一个实施例的图2中所示的应用的组件在基于容器的框架中的节点集群上的示例布置。
[0019]图4描绘了根据至少一个实施例的由基于容器的框架为部署在基于容器的框架中的节点集群上的容器化应用定义的网络策略的各种示例。
[0020]图5描绘了根据至少一个实施例的图示网络流量策略的示例生命周期的框图。
[0021]图6描绘了图示根据至少一个实施例的由核实系统执行以静态地核实一个或多个网络安全性规则的操作的示例的框图。
[0022]图7描绘了图示根据至少一个实施例的由核实系统执行以动态地核实一个或多个网络安全性规则的操作的示例的框图。
[0023]图8是根据至少一个实施例的用于核实一个或多个网络安全性规则的方法的示例。
[0024]图9是图示根据至少一个实施例的用于将云基础设施实现为服务系统的一种模式的框图。
[0025]图10是图示根据至少一个实施例的用于将云基础设施实现为服务系统的另一种模式的框图。
[0026]图1本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算机实现的方法，包括：由计算设备获得容器化环境的连接性路径的集合，该连接性路径的集合分别指示容器化环境中的容器对之间的连接；由计算设备至少部分地基于连接性路径的集合中的连接性路径来识别一对容器中的第一容器和第二容器；由计算设备确定与连接性路径对应的网络策略，该网络策略指示第一容器和第二容器之间的特定连接的预期结果；由计算设备初始化从第一容器到第二容器的连接；由计算设备识别连接的结果；以及至少部分地基于识别出所述结果与由与连接性路径对应的网络策略指示的预期结果不同而使得所述结果呈现在用户设备处。2.如权利要求1所述的计算机实现的方法，其中所述结果指示连接已建立或建立连接失败。3.如权利要求1所述的计算机实现的方法，还包括：至少部分地基于一个或多个网络策略将连接性路径的集合中的连接性路径的第一子集识别为肯定路径，所述一个或多个网络策略分别与连接性路径的第一子集中的相应连接性路径对应，其中将特定连接性路径识别为肯定路径包括至少部分地基于对应的网络策略确定该连接性路径的两个容器之间的连接被允许；以及生成连接性路径的集合中的连接性路径的第二子集，该连接性路径的第二子集与否定路径对应，该连接性路径的第二子集是至少部分地基于识别连接性路径的第一子集来生成的。4.如权利要求1所述的计算机实现的方法，其中获得连接性路径的集合还包括，对于连接性路径的集合中的至少一条连接性路径：在运行时监视容器化环境的两个容器之间的网络流量；以及至少部分地基于监视来生成对应的连接性路径。5.如权利要求1所述的计算机实现的方法，其中获得连接性路径的集合还包括，对于连接性路径的集合中的至少一条连接性路径，获得预定义的连接性路径，该预定义的连接性路径指示允许或者不允许特定容器对之间的特定连接。6.如权利要求1所述的计算机实现的方法，还包括至少部分地基于识别出第一容器与第一标签相关联以及第二容器与第二标签相关联来识别第一容器和第二容器。7.如权利要求6所述的计算机实现的方法，其中第一容器是多个容器中的与第一标签相关联的一个容器，并且所述方法还包括：发起所述多个容器中的至少一个其它容器与第二容器之间的附加连接；由计算设备识别附加连接的附加结果；以及至少部分地基于识别出附加结果与由与连接性路径对应的网络策略指示的预期结果不同而使得该附加结果被呈现。8.一种计算设备，包括：处理器；以及存储指令的存储器，该指令在由处理器执行时使得计算设备：
获得容器化环境的连接性路径的集合，该连接性路径的集合分别指示容器化环境中的容器对之间的连接；至少部分地基于连接性路径的集合中的连接性路径来识别一对容器中的第一容器和第二容器；确定与连接性路径对应的网络策略，该网络策略指示第一容器和第二容器之间的特定连接的预期结果；初始化从第一容器到第二容器的连接；识别连接的结果；以及至少部分地基于识别出所述结果与由与连接性路径对应的网络策略指示的预期结果不同而使得所述结果呈现在用户设备处。9.如权利要求8所述的计算装置，其中所述结果指示连接已建立或建立连接失败。10.如权利要求8所述的计算设备，其中执行指令还使得计算设备：至少部分地基于一个或多个网络策略将连接性路径的集合中的连接性路径的第一子集识别为肯定路径，所述一个或多个网络策略分别与连接性路径的第一子集中的相应连接性路径对应，其中将特定连接性路径识别为肯定路径包括至少部分地基于对应的网络策略确定该连接性路径的两个容器之间的连接被允许；以及生成连接性路径的集合中的连接性路径的第二子集，该连接性路径的第二子集与否定路径对应，该连接性路径的第二子集是至少部分地基于识别连...

【专利技术属性】
技术研发人员：O，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：