本發(fā)明涉及一種對(duì)Docker容器平臺(tái)上多租戶網(wǎng)絡(luò)進(jìn)行隔離的方法。本發(fā)明所述對(duì)Docker容器平臺(tái)上多租戶網(wǎng)絡(luò)進(jìn)行隔離的方法中，Docker容器網(wǎng)絡(luò)采用虛擬交換機(jī)Open Vswitch實(shí)現(xiàn)，利用Open Vswitch虛擬交換機(jī)可以配置VLAN的特性，為每一個(gè)租戶分配一個(gè)VLAN ID，將同一個(gè)租戶容器劃分到同一個(gè)VLAN中，不同租戶網(wǎng)絡(luò)通過VLAN進(jìn)行隔離。

技術(shù)領(lǐng)域

本發(fā)明涉及一種對(duì)Docker容器平臺(tái)上多租戶網(wǎng)絡(luò)進(jìn)行隔離的方法，屬于云計(jì)算安全的技術(shù)領(lǐng)域。

背景技術(shù)

Docker是PaaS提供商dotCloud開源的一個(gè)基于LXC的高級(jí)容器引擎，源代碼托管在Github上，基于go語言并遵從Apache2.0協(xié)議開源。

Docker設(shè)想是交付運(yùn)行環(huán)境如同海運(yùn)，OS如同一個(gè)貨輪，每一個(gè)在OS基礎(chǔ)上的軟件都如同一個(gè)集裝箱，用戶可以通過標(biāo)準(zhǔn)化手段自由組裝運(yùn)行環(huán)境，同時(shí)集裝箱的內(nèi)容可以由用戶自定義，也可以由專業(yè)人員制造。這樣，交付一個(gè)軟件，就是一系列標(biāo)準(zhǔn)化組件的集合的交付，這也就是基于docker的PaaS平臺(tái)產(chǎn)品的原型。

在Docker容器平臺(tái)實(shí)際部署環(huán)境中，有大量的服務(wù)器節(jié)點(diǎn)，每臺(tái)服務(wù)器上都運(yùn)行了數(shù)百個(gè)甚至上千個(gè)Docker容器，這對(duì)實(shí)現(xiàn)容器網(wǎng)絡(luò)隔離，保護(hù)容器安全帶來了挑戰(zhàn)。在Docker默認(rèn)配置下，同一個(gè)服務(wù)器上，所有容器連接在一個(gè)網(wǎng)橋上，共享同樣的網(wǎng)絡(luò)資源，多租戶容器網(wǎng)絡(luò)沒有隔離，存在一定的安全隱患。

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，基于網(wǎng)絡(luò)的應(yīng)用已經(jīng)廣泛出現(xiàn)企業(yè)內(nèi)部和外部的業(yè)務(wù)系統(tǒng)中，網(wǎng)絡(luò)應(yīng)用發(fā)揮著越來越重要的作用。與此同時(shí)，越來越多的網(wǎng)絡(luò)應(yīng)用也因?yàn)榇嬖诎踩[患而頻繁遭受到各種攻擊，導(dǎo)致敏感數(shù)據(jù)、頁面被篡改、數(shù)據(jù)非法訪問、甚至成為傳播木馬的傀儡，最終會(huì)給更多訪問者造成傷害，帶來嚴(yán)重?fù)p失。

針對(duì)越來越多的網(wǎng)絡(luò)層攻擊，防火墻、入侵防御等網(wǎng)絡(luò)安全設(shè)備已被廣泛部署在網(wǎng)絡(luò)邊界，網(wǎng)絡(luò)訪問控制策略設(shè)置也頗為嚴(yán)格，一般只開放HTTP等必要的服務(wù)端口，因此黑客已很難通過傳統(tǒng)網(wǎng)絡(luò)層攻擊方式進(jìn)行攻擊。

但是在云計(jì)算環(huán)境下，特別是在Docker虛擬化環(huán)境下，多租戶容器共享網(wǎng)絡(luò)資源，讓網(wǎng)絡(luò)邊界變得越來越模糊，如果黑客利用平臺(tái)中的容器為跳板，通過網(wǎng)絡(luò)攻擊其他租戶的容器，就會(huì)讓部署在網(wǎng)絡(luò)邊界的防護(hù)設(shè)備失去作用。

現(xiàn)有技術(shù)中，Docker提供三種種網(wǎng)絡(luò)驅(qū)動(dòng)，它們各有千秋，也各自存在著一定的局限性。使用host驅(qū)動(dòng)可以讓Docker容器與宿主服務(wù)器共用同一個(gè)網(wǎng)絡(luò)棧，能使網(wǎng)絡(luò)模型最簡單，但是無法實(shí)現(xiàn)網(wǎng)絡(luò)隔離，缺乏安全性；網(wǎng)橋是Docker默認(rèn)使用的網(wǎng)絡(luò)驅(qū)動(dòng)，容器沒有對(duì)外IP，只能通過NAT實(shí)現(xiàn)對(duì)外通信，無法實(shí)現(xiàn)跨服務(wù)器容器間直接通信；overlay驅(qū)動(dòng)支持跨主機(jī)容器間直接通信，它采用VxLAN的方式，讓容器在集群上共用一個(gè)大二層網(wǎng)絡(luò)，可實(shí)現(xiàn)跨主機(jī)的通信，但多個(gè)租戶共享一個(gè)二層網(wǎng)絡(luò)，無法滿足隔離需求。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)的不足，本發(fā)明提供一種對(duì)Docker容器平臺(tái)上多租戶網(wǎng)絡(luò)進(jìn)行隔離的方法。本發(fā)明的技術(shù)方案為：

一種對(duì)Docker容器平臺(tái)上多租戶網(wǎng)絡(luò)進(jìn)行隔離的方法，基于虛擬交換機(jī)實(shí)現(xiàn)；包括步驟如下：

1)將Docker容器平臺(tái)中每個(gè)服務(wù)器節(jié)點(diǎn)配成屬于一個(gè)IP地址空間的子網(wǎng)；

2)在每個(gè)服務(wù)器節(jié)點(diǎn)上，將Docker容器默認(rèn)使用的docker0網(wǎng)橋用Open Vswitch網(wǎng)橋替換，并使每個(gè)docker容器都連到Open Vswitch普通網(wǎng)橋上，獲得同一個(gè)網(wǎng)段的IP地址；

3)在Open Vswitch網(wǎng)橋?qū)⒉煌淖鈶魟澐譃椴煌腣LAN，實(shí)現(xiàn)租戶隔離；