用于在群聚基础设施中强制实施功能过滤规则的方法和计算设备技术

本方法和计算机设备将多个功能过滤规则存储在存储器中，每个功能过滤规则基于命名空间和群聚类型中的至少一个。提供群聚和互联网协议(IP)地址之间的映射的数据结构被存储在存储器中。当接收或传输IP数据包时，从该IP数据包中提取源IP地址和目的地IP地址。使用数据结构确定与源IP地址对应的源群聚和与目的地IP地址对应的目的地群聚。每个群聚属于多个命名空间之一和多个群聚类型之一。该方法和计算机还识别并应用多个功能过滤规则当中与源群聚和目的地群聚各自的命名空间和群聚类型匹配的功能过滤规则。配的功能过滤规则。配的功能过滤规则。

【技术实现步骤摘要】
【国外来华专利技术】用于在群聚基础设施中强制实施功能过滤规则的方法和计算设备


[0001]本公开涉及大规模多设备应用部署中的数据包过滤策略。更具体而言，本公开涉及用于在群聚(pod)基础设施中实施功能过滤规则的方法和计算设备。

技术介绍

[0002]Kubernetes是大规模多设备应用部署框架的示例。在Kubernetes中，应用部署包括部署群聚。Kubernetes中的计算设备被称为节点。群聚由一个或多个容器组成，这些容器共置于同一节点上并共享资源。每个容器执行软件，并且群聚的(一个或多个)容器执行的(一个或多个)软件的组合实现应用。一个或多个相同类型的群聚可以在同一节点上并发执行，也可以在不同节点上执行。
[0003]在Kubernetes中，节点上的每个群聚都分配有至少一个互联网协议(IP)地址，用于与节点外部的其它实体(包括在其它节点上执行的群聚)通信。为了强制实施安全性，实现数据包过滤规则来控制进出节点的流量。数据包过滤规则确定节点接收到的数据包是被允许还是被阻止。数据包过滤规则还确定节点生成的数据包是否被传输到另一个实体或被阻止。传统的数据包本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于在群聚基础设施中强制实施功能过滤规则的方法，所述方法包括：在计算设备的存储器中存储多个功能过滤规则，每个功能过滤规则基于命名空间和群聚类型中的至少一个，所述命名空间是多个命名空间之一，并且所述群聚类型是多个群聚类型之一；在所述计算设备的存储器中存储提供群聚和互联网协议(IP)地址之间的映射的数据结构；确定IP数据包已经经由所述计算设备的通信接口接收或者将经由所述计算设备的通信接口传输；由所述计算设备的处理单元提取所述IP数据包的源IP地址和目的地IP地址；由所述计算设备的处理单元使用映射数据结构确定与所述源IP地址对应的源群聚，所述源群聚属于所述多个命名空间当中的源命名空间以及所述多个群聚类型当中的源群聚类型；由所述计算设备的处理单元使用所述映射数据结构确定与所述目的地IP地址对应的目的地群聚，所述目的地群聚属于所述多个命名空间当中的目的地命名空间以及所述多个群聚类型当中的目的地群聚类型；由所述计算设备的处理单元在所述多个功能过滤规则当中识别与所述源命名空间、所述源群聚类型、所述目的地命名空间和所述目的地群聚类型匹配的功能过滤规则；以及由所述计算设备的处理单元将匹配的功能过滤规则应用于所述IP数据包。2.如权利要求1所述的方法，其中经由所述计算设备的通信接口接收所述IP数据包，所述匹配的功能过滤规则执行入口过滤，并且基于所述匹配的功能过滤规则允许或阻止所述IP数据包。3.如权利要求2所述的方法，其中所述IP数据包是IP流的第一IP数据包，并且确定适用于所述IP流的动作并将其存储在所述计算设备的存储器中，所述动作包括：如果第一IP数据包被允许，那么允许所述IP流的后续IP数据包，或者如果第一IP数据包被阻止，那么阻止所述IP流的后续IP数据包。4.如权利要求1所述的方法，其中所述IP数据包将经由所述计算设备的通信接口传输，所述匹配的功能过滤规则执行出口过滤，并且基于所述匹配的功能过滤规则传输或阻止所述IP数据包。5.如权利要求4所述的方法，其中所述IP数据包是IP流的第一IP数据包，并且确定适用于所述IP流的动作并将其存储在所述计算设备的存储器中，所述动作包括：如果第一IP数据包被传输，那么传输所述IP流的后续IP数据包，或者如果第一IP数据包被阻止，那么阻止所述IP流的后续IP数据包。6.如权利要求1所述的方法，其中所述匹配的功能过滤规则匹配所述IP数据包的一个或多个附加特性，所述IP数据包的所述一个或多个附加特性包括目的地端口和传输协议中的至少一个。7.如权利要求1所述的方法，其中所述IP数据包是IPv4或IPv6数据包。8.如权利要求1所述的方法，其中所述源群聚和目的地群聚是Kubernetes群聚。9.如权利要求1所述的方法，其中所述IP数据包经由所述计算设备的通信接口接收，并且所述目的地群聚由所述计算设备的处理单元执行，所述目的地群聚的执行包括执行容器
化软件应用。10.如权利要求1所述的方法，其中所述IP数据包将经由所述计算设备的通信接口传输，并且所述源群聚由所述计算设备的处理单元执行，所述源群聚的执行包括执行容器化软件应用。11.一种计算设备，包括：存储器，用于：存储多个功能过滤规则，每个功能过滤规则基于命名空间和群聚类型中的至少一个，所述命名空间是多个命名空间之一，并且所述群聚类型是多个群聚类型之一；以及存储提供群聚和互联网协议(IP)地址之间的映射的数据结构；通信接口；以及处理单元，包括至少一个处理器，用于：确定IP数据包已经经由所述通信接口接收或者将经由所述通信接口传输；提取所述IP数据包的源IP地址和目的地IP地址；使用映射数据结构确定与所述源IP地址对应的源群聚，所述源群聚属于所述多个命名空间当中的源命名空间以及所述多个群聚类型当中的源群聚类型；使用所述映射数据结构确定与所述目的地IP地址对应的目的地群聚，所述目的地群聚属于所述多个命名空间中的目的地命名空间以及所述多个群聚类型中的目的地群聚类型；识别所述多个功能过滤规则当中与所述源命名空间、所述源群聚类型、所述目的地命名空间和所述目的地群聚类型匹配的功能过滤规则；以及将匹配的功能过滤规则应用于所述IP数据包。12.一种用于在支持互联网协议(IP)地址域的群聚基础设施中强制实施功能过滤规则的方法，所述方法包括：在计算设备的存储器中存储多个功能过滤规则，每个功能过滤规则基于命名空间和群聚类型中的至少一个，所述命名空间是多个命名空间之一，并且所述群聚类型是多个群聚类型之一；在所述计算设备的存储器中存储数据结构，所述数据结构提供群聚与互联网协议(IP)地址和IP地址域的组合之间的映射，所述IP地址域是多个IP地址域之一；确定IP数据包已经经由所述计算设备的通信接口接收或者将经由所述计算设备的通信接口传输；由所述计算设备的处理单元确定所述多个IP地址域当中与所述通信接口相关联的IP地址域；由所述计算设备的处理单元提取所述IP数据包的源IP地址和目的地IP地址；由所述计算设备的处理单元使用映射数据结构确定与所述源IP地址和所确定的IP地址域的组合对应的源...

【专利技术属性】
技术研发人员：P，
申请(专利权)人：克洛姆公司，
类型：发明
国别省市：