网络策略配置方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术实施例提供了一种网络策略配置方法、装置、电子设备及存储介质，涉及云平台技术领域；包括：获取多种网络层次的预设网络策略，分别创建网络层次对应的网络策略模板，其中，网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略，获取功能配置项，基于功能配置项对网络策略模板进行调整，当网络策略模板调整至匹配目标作用域时，将网络策略模板在目标作用域应用。本发明专利技术创建多种网络层次的网络策略模板，实现第三层、第四层、第七层或组合网络层次的网络策略，且对网络策略模板进行调整，满足精准细粒度控制，实现云原生应用网络隔离策略，保证了容器集群中高度动态化的微服务应用之间的安全隔离和高可达。微服务应用之间的安全隔离和高可达。微服务应用之间的安全隔离和高可达。

【技术实现步骤摘要】
网络策略配置方法、装置、电子设备及存储介质


[0001]本专利技术涉及云平台
，特别是涉及一种网络策略配置方法、装置、电子设备及存储介质。

技术介绍

[0002]容器应用在多集群里进行统一发布和编排，已经成为越来越多的企业确保生产环境高可用部署的重要发展趋势，Kubernetes作为解决企业业务上云场景的首选容器编排工具，其常见的能力基本已经成熟稳定。
[0003]用户对于容器的网络隔离、网络资源控制等方面有不同的要求，因此，使用网络策略来满足这些期望以实现容器集群内的网络安全，目前，Kubernetes提供了一种网络策略的机制，即在k8s环境中，网络策略可以通过支持Network Policy的网络插件来实现，可用于对部署在平台上的应用程序实施3层或4层的分隔，以在3层或4层做相应的网络安全限制。
[0004]然而，一般的网络插件无法满足7层的分隔，且大多容器云平台目前不具备基于网络策略模板的精准细粒度控制应用网络隔离策略的功能，时常会引起大规模的容器实例启动或重启，影响微服务应用之间的安全隔离和可达。

技术实现思路

[0005]鉴于上述问题，提出了本专利技术实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种网络策略配置方法、一种网络策略配置装置、一种电子设备和一种存储介质。
[0006]为了解决上述问题，在本专利技术的第一方面，本专利技术实施例公开了一种网络策略配置方法，包括：获取多种网络层次的预设网络策略，分别创建所述网络层次对应的网络策略模板；其中，所述网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略；获取功能配置项，基于所述功能配置项对所述网络策略模板进行调整；当所述网络策略模板调整至匹配目标作用域时，将所述网络策略模板在所述目标作用域应用。
[0007]可选地，所述获取多种网络层次的预设网络策略，分别创建所述网络层次对应的网络策略模板，包括：获取多种网络层次的预设网络策略的待配置的参数项，其中，所述参数项包括基础规则类型、出入口类型及网络层次；根据配置的所述基础规则类型和所述出入口类型，创建多种所述网络层次对应的网络策略模板。
[0008]可选地，所述根据配置的所述基础规则类型和所述出入口类型，创建多种所述网络层次对应的网络策略模板，包括：
对所述基础规则类型和出入口类型进行配置，确定所述网络层次中流量通过的通信规则；根据确定的所述通信规则，分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板，包括。
[0009]可选地，所述对所述基础规则类型和出入口类型进行配置，确定所述网络层次中流量通过的通信规则，包括：对所述基础规则类型的第一配置项进行配置，其中，所述第一配置项包括匹配标签、服务、主机、IP/CIDR以及域名解析系统；根据所述网络层次的流量通过方向，对所述出入口类型进行配置；响应于配置的第一配置项和出入口类型，确定所述网络层次中流量通过的通信规则。
[0010]可选地，所述根据确定的所述通信规则，分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板，包括：采用配置的匹配标签和出入口类型，确定流量通过的目标端点及方向；基于所述目标端点及方向，确定第三层网络层次对应的第一通信规则，其中，所述第一通信规则用于允许标签匹配的端点与所述目标端点通信；根据所述第一通信规则，创建第三层网络策略模板。
[0011]可选地，所述根据确定的所述通信规则，分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板，包括：采用配置的匹配标签、服务及出入口类型，确定流量通过的目标服务及方向；基于所述目标服务及方向，确定第三层网络层次对应的第二通信规则，其中，所述第二通信规则用于允许标签匹配的端点与所述目标服务对应端点通信；根据所述第二通信规则，创建第三层网络策略模板。
[0012]可选地，所述根据确定的所述通信规则，分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板，包括：采用配置的匹配标签、主机及出入口类型，确定流量通过的目标主机及方向；基于所述目标主机及方向，确定第三层网络层次对应的第三通信规则，其中，所述第三通信规则用于允许标签匹配的端点访问所述目标主机对应端点，以及接收所述目标主机对应端点流量；根据所述第三通信规则，创建第三层网络策略模板。
[0013]可选地，所述根据确定的所述通信规则，分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板，包括：采用配置的匹配标签、IP/CIDR及出入口类型，确定流量通过的外部IP/CIDR及方向；基于所述外部IP/CIDR及方向，确定第三层网络层次对应的第四通信规则，其中，所述第四通信规则用于允许标签匹配端点与所述外部IP/CIDR通信；根据所述第四通信规则，创建第三层网络策略模板。
[0014]可选地，所述根据确定的所述通信规则，分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板，包括：
采用配置的匹配标签、域名解析系统及出入口类型，确定流量通过的目标域名解析系统及方向；基于所述目标域名解析系统及方向，确定第三层网络层次对应的第五通信规则，其中，所述第五通信规则用于允许标签匹配的端点与所述目标解析系统对应端点通信；根据所述第五通信规则，创建第三层网络策略模板。
[0015]可选地，所述基于所述目标域名解析系统及方向，确定第三层网络层次对应的第五通信规则，包括：响应于远程服务请求，通过预设网络组件获取所述远程服务请求的网络地址；基于所述目标域名解析系统及方向查询预设规则表，匹配所述远程服务请求的网络地址；若匹配成功，则允许标签匹配的端点与所述目标解析系统对应端点通信，确定第三层网络层次对应的第五通信规则。
[0016]可选地，所述根据确定的所述通信规则，分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板，包括：采用配置的匹配标签及出入口类型，确定流量通过的目标端点及出口；基于所述目标端点及出口，确定第四层网络层次对应的第六通信规则，其中，所述第六通信规则用于允许标签匹配的端点通过目标协议和目标端点向外发送数据；根据所述第六通信规则，创建第四层网络策略模板。
[0017]可选地，所述根据确定的所述通信规则，分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板，包括：采用配置的匹配标签及出入口类型，确定流量通过的目标请求和目标端点；基于所述目标请求和目标端点，确定第七层或组合网络层次对应的第七通信规则，其中，所述第七通信规则用于允许标签匹配的端点响应于所述目标请求与所述目标端点通信；根据所述第七通信规则，创建第七层或组合网络层次的网络策略模板。
[0018]可选地，所述获取功能配置项，基于所述功能配置项调整所述网络策略模板，包括：获取已配置的功能配置项，其中，所述功能配置项包括资源域、应用空间、匹配标签和网络策略模本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络策略配置方法，其特征在于，所述方法包括：获取多种网络层次的预设网络策略，分别创建所述网络层次对应的网络策略模板；其中，所述网络策略模板包括第三层、第四层、第七层或组合网络层次的网络策略；获取功能配置项，基于所述功能配置项对所述网络策略模板进行调整；当所述网络策略模板调整至匹配目标作用域时，将所述网络策略模板在所述目标作用域应用。2.根据权利要求1所述的方法，其特征在于，所述获取多种网络层次的预设网络策略，分别创建所述网络层次对应的网络策略模板，包括：获取多种网络层次的预设网络策略的待配置的参数项，其中，所述参数项包括基础规则类型、出入口类型及网络层次；根据配置的所述基础规则类型和所述出入口类型，创建多种所述网络层次对应的网络策略模板。3.根据权利要求2所述的方法，其特征在于，所述根据配置的所述基础规则类型和所述出入口类型，创建多种所述网络层次对应的网络策略模板，包括：对所述基础规则类型和出入口类型进行配置，确定所述网络层次中流量通过的通信规则；根据确定的所述通信规则，分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板。4.根据权利要求3所述的方法，其特征在于，所述对所述基础规则类型和出入口类型进行配置，确定所述网络层次中流量通过的通信规则，包括：对所述基础规则类型的第一配置项进行配置，其中，所述第一配置项包括匹配标签、服务、主机、IP/CIDR以及域名解析系统；根据所述网络层次的流量通过方向，对所述出入口类型进行配置；响应于配置的第一配置项和出入口类型，确定所述网络层次中流量通过的通信规则。5.根据权利要求3所述的方法，其特征在于，所述根据确定的所述通信规则，分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板，包括：采用配置的匹配标签和出入口类型，确定流量通过的目标端点及方向；基于所述目标端点及方向，确定第三层网络层次对应的第一通信规则，其中，所述第一通信规则用于允许标签匹配的端点与所述目标端点通信；根据所述第一通信规则，创建第三层网络策略模板。6.根据权利要求3所述的方法，其特征在于，所述根据确定的所述通信规则，分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板，包括：采用配置的匹配标签、服务及出入口类型，确定流量通过的目标服务及方向；基于所述目标服务及方向，确定第三层网络层次对应的第二通信规则，其中，所述第二通信规则用于允许标签匹配的端点与所述目标服务对应端点通信；根据所述第二通信规则，创建第三层网络策略模板。7.根据权利要求3所述的方法，其特征在于，所述根据确定的所述通信规则，分别创建
第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板，包括：采用配置的匹配标签、主机及出入口类型，确定流量通过的目标主机及方向；基于所述目标主机及方向，确定第三层网络层次对应的第三通信规则，其中，所述第三通信规则用于允许标签匹配的端点访问所述目标主机对应端点，以及接收所述目标主机对应端点流量；根据所述第三通信规则，创建第三层网络策略模板。8.根据权利要求3所述的方法，其特征在于，所述根据确定的所述通信规则，分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板，包括：采用配置的匹配标签、IP/CIDR及出入口类型，确定流量通过的外部IP/CIDR及方向；基于所述外部IP/CIDR及方向，确定第三层网络层次对应的第四通信规则，其中，所述第四通信规则用于允许标签匹配端点与所述外部IP/CIDR通信；根据所述第四通信规则，创建第三层网络策略模板。9.根据权利要求3所述的方法，其特征在于，所述根据确定的所述通信规则，分别创建第三层网络策略模板、第四层网络策略模板、第七层或组合网络层次的网络策略模板，包括：采用配置的匹配标签、域名解析系统及出入口类型，确定流量通过的目标域名解析系统及方向；基于所述目标域名解析系统及方向，确定第三层网络层次对应的第五通信规则，其中，所述第五通信规则用于允许标签匹配的端点与所述目标解析系统对应端点通信；根据所述第...

【专利技术属性】
技术研发人员：刘岩岩，
申请(专利权)人：苏州浪潮智能科技有限公司，
类型：发明
国别省市：