网络系统、网络工作节点、网络管控和网络隔离方法技术方案

本发明专利技术提供一种网络系统、网络工作节点、网络管控和网络隔离方法。网络系统包括：容器网络服务器接口部署于网络工作节点内，容器网络服务器接口用于：在网络工作节点内创建容器时，为容器创建对应的标识，请求网络管控创建容器对应的虚拟网卡，并将根据虚拟网卡和标识生成虚拟端口创建请求发送至网络管控，虚拟网卡的第一通信端口与网络系统的操作系统主命名空间关联，虚拟网卡的第二通信端口与容器的命名空间关联；网络管控，用于根据虚拟端口创建请求创建虚拟端口，对虚拟端口分配IP地址；并将IP地址反馈至容器网络服务器接口；虚拟基础网络，用于根据虚拟网卡的标识信息和IP地址进行网络数据的处理。本发明专利技术实施例可以实现网络安全隔离。络安全隔离。络安全隔离。

【技术实现步骤摘要】
网络系统、网络工作节点、网络管控和网络隔离方法


[0001]本专利技术实施例涉及网络安全
，尤其涉及一种网络系统、网络工作节点、网络管控和网络隔离方法。

技术介绍

[0002]云计算(Cloud Computing)，是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需求提供给计算机和其他设备。K8S(Kubernetes)是一个开源的，用于管理云平台中多个主机上的容器化的应用，大规模用于云计算环境，是云原生领域的重要技术之一。
[0003]目前，多租户共享时，K8S集群无法实现网络的安全隔离。

技术实现思路

[0004]本专利技术实施例提供一种网络系统、网络工作节点、网络管控和网络隔离方法，以解决K8S集群无法实现网络的安全隔的问题。
[0005]为解决上述问题，本专利技术是这样实现的：
[0006]第一方面，本专利技术实施例提供了一种网络系统，所述网络系统包括：容器网络服务器接口、网络管控和虚拟基础网络；
[0007]所述容器网络服务器接口部署于网络工作节点内，所述容器网络服务器接口用于：在所述网络工作节点内创建容器时，为所述容器创建对应的标识，请求所述网络管控创建所述容器对应的虚拟网卡，并将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控，所述虚拟网卡和所述标识一一对应，所述虚拟网卡的第一通信端口与所述网络系统的操作系统主命名空间关联，所述虚拟网卡的第二通信端口与容器的命名空间关联；
[0008]所述网络管控，用于根据所述虚拟端口创建请求创建虚拟端口，对所述虚拟端口分配IP地址；并将所述IP地址反馈至所述容器网络服务器接口；
[0009]所述虚拟基础网络，用于根据所述虚拟网卡的标识信息和IP地址进行网络数据的处理。
[0010]第二方面，本专利技术实施例提供了一种网络工作节点，包括：
[0011]所述网络工作节点内设置有容器网络服务器接口和至少一个容器，所述容器网络服务器接口用于在所述网络工作节点内创建所述容器时，为所述容器创建对应的标识，请求网络管控创建对应的虚拟网卡，并将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控，所述虚拟网卡和所述标识一一对应，所述虚拟网卡的第一通信端口与所述网络系统的操作系统主命名空间关联，所述虚拟网卡的第二通信端口与容器的命名空间关联。
[0012]第三方面，本专利技术实施例提供了一种网络管控，所述网络管控，用于：在接收到容器网络服务器接口发送的创建虚拟网卡的指令后创建所述容器对应的虚拟网卡，所述创建虚拟网卡的指令由所述容器网络服务器接口在创建所述容器时生成，并向所述容器网络服
务器接口反馈所述虚拟网卡的信息；
[0013]接收所述容器网络服务器接口发送的虚拟端口创建请求，根据所述虚拟端口创建请求创建虚拟端口，对所述虚拟端口分配IP地址；并将所述IP地址反馈至所述容器网络服务器接口，所述虚拟端口创建请求由所述容器网络服务器接口根据所述容器的虚拟网卡和标识生成。
[0014]第四方面，本专利技术实施例提供了一种网络隔离方法，所述网络隔离方法包括：
[0015]在所述网络工作节点内创建容器时，容器网络服务器接口为所述容器创建对应的标识，并请求网络系统中网络管控创建对应的虚拟网卡；
[0016]所述容器网络服务器接口将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控，所述虚拟网卡和所述标识一一对应，所述虚拟网卡的一端位于所述网络系统的操作系统主命名空间，另一端位于对应容器的命名空间；
[0017]所述网络管控根据所述虚拟端口创建请求创建虚拟端口，对所述虚拟端口分配IP地址；并将所述IP地址反馈至所述容器网络服务器接口；
[0018]虚拟基础网络根据所述虚拟网卡的标识信息和IP地址进行网络数据的处理。
[0019]第五方面，本专利技术实施例还提供一种可读存储介质，用于存储程序，所述程序被处理器执行时实现如前述第四方面所述方法中的步骤。
[0020]本专利技术实施例通过将容器网络服务器接口部署于网络工作节点内，该容器网络服务器接口在所述网络工作节点内创建容器时，为所述容器创建对应的标识，请求所述网络管控创建所述容器对应的虚拟网卡，如此给容器生成了一个专属通信通道，容器网络服务器接口将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控，所述虚拟网卡和所述标识一一对应，所述虚拟网卡的第一通信端口与所述网络系统的操作系统主命名空间关联，所述虚拟网卡的第二通信端口与容器的命名空间关联；然后网络管控根据所述虚拟端口创建请求创建虚拟端口，对所述虚拟端口分配IP地址；并将所述IP地址反馈至所述容器网络服务器接口；如此虚拟基础网络根据所述虚拟网卡的标识信息和IP地址进行网络数据的处理。由于容器都具有对应的标识和虚拟网卡，在网络数据的处理过程中即可对网络数据进行区分，从而确定对应的容器，实现每个容器网络的安全隔离。
附图说明
[0021]为了更清楚地说明本专利技术实施例的技术方案，下面将对本专利技术实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0022]图1是本专利技术实施例可应用的通信系统的结构示意图；
[0023]图2是本专利技术实施例提供的网络系统的架构示意图之一；
[0024]图3是本专利技术实施例提供的网络系统的架构示意图之一；
[0025]图4是本专利技术实施例提供的虚拟网卡创建过程流转示意图；
[0026]图5是本专利技术实施例提供的多租户共享数据的流转示意图之一；
[0027]图6是本专利技术实施例提供的多租户共享数据的流转示意图之一；
[0028]图7是本专利技术实施例提供的网络工作节点的架构示意图之一；
[0029]图8是本专利技术实施提供的网络安全隔离方法的流程示意图。
具体实施方式
[0030]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0031]本专利技术实施例中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。此外，本专利技术中使用“和/或”表示所连接对象的至少其中之一，例如A和/或B和/或C，表示包含单独A，单独B，单独C，以及A和B都存在，B和C都存在，A和C都存在，以及A、B和C都存在的7种情况。
[0032]请参见图1，图1是本专利技术本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络系统，其特征在于，所述网络系统包括：容器网络服务器接口、网络管控和虚拟基础网络；所述容器网络服务器接口部署于网络工作节点内，所述容器网络服务器接口用于：在所述网络工作节点内创建容器时，为所述容器创建对应的标识，请求所述网络管控创建所述容器对应的虚拟网卡，并将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控，所述虚拟网卡和所述标识一一对应，所述虚拟网卡的第一通信端口与所述网络系统的操作系统主命名空间关联，所述虚拟网卡的第二通信端口与容器的命名空间关联；所述网络管控，用于根据所述虚拟端口创建请求创建虚拟端口，对所述虚拟端口分配IP地址；并将所述IP地址反馈至所述容器网络服务器接口；所述虚拟基础网络，用于根据所述虚拟网卡的标识信息和IP地址进行网络数据的处理。2.根据权利要求1所述的网络系统，其特征在于，所述容器网络服务器接口，用于：在创建所述容器时，所述容器网络服务器接口通过所述网络系统的数据服务器向所述网络管控发送虚拟网卡的创建请求；所述网络管控，用于根据所述虚拟网卡的创建请求创建对应的虚拟网卡，并将所述虚拟网卡的信息反馈至所述容器网络服务器接口；所述容器网络服务器接口，用于：将所述虚拟网卡的网络IP地址和标识写入所述容器的虚拟网卡，以完成所述虚拟网卡的创建。3.根据权利要求2所述的网络系统，其特征在于，所述网络管控，用于：根据所述虚拟网卡的创建请求分配所述虚拟网卡的物理网络地址和所述虚拟网卡的网络IP地址。4.根据权利要求1所述的网络系统，其特征在于，所述网络管控，用于：将所述虚拟网卡的信息写入高速缓存存储器，以对所述容器生成默认路由表。5.根据权利要求4所述的网络系统，其特征在于，所述容器网络服务器接口，还用于：在将所述虚拟网卡的信息写入高速缓存存储器后，向所述虚拟基础网络发送对应的事件信息；所述虚拟基础网络根据所述事件信息从所述高速缓存存储器中读取所述虚拟网卡的信息，并将读取的所述虚拟网卡的信息与所述网络工作节点的虚拟网卡建立映射关系。6.根据权利要求1所述的网络系统，其特征在于，所述虚拟基础网络，还用于：在接收到所述容器发送的第一数据时，基于预设的流表转发规则将所述第一数据中所述容器的标识去除，并按照接收所述数据的设备的路由和网络隧道进行封装。7.根据权利要求1所述的网络系统，其特征在于，所述虚拟基础网络，还用于：在接收到外界发送的第二数据时，基于预设的流表转发规则去除所述第二数据中的隧道信息，并将目标容器的标识加入所述第二数据，将加入目标容器的标识的第二数据通过所述虚拟网卡发送至对应的目标容器。8.根据权利要求1
‑
7中任一项所述的网络系统，其特征在于，所述容器网络服务器接口，还用于：在所述容器被销毁时，调用所述网络管控删除所述虚拟基础网络中所述容器的虚拟网卡信息。9.一种网络工作节点，其特征在于，所述网络工作节点内设置有容器网络服务器接口和至少一个容器，所述容器网络服务器接口用于在所述网络工作节点内创建所述容器时，
为所述容器创建对应的标识，请求网络管控创建对应的虚拟网卡，并将根据虚拟网卡和标识生成虚拟端口创建请求发送至所述网络管控，所述虚拟...

【专利技术属性】
技术研发人员：贾玉，钱岭，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：