本申請公開了一種基于macvlan的主機網(wǎng)絡(luò)隔離的方法、裝置及系統(tǒng)，本申請中macvlan網(wǎng)絡(luò)插件接收控制服務(wù)器發(fā)送的控制指令；基于所述控制指令中主機與vlan標(biāo)簽之間的映射關(guān)系為主機產(chǎn)生的數(shù)據(jù)流添加vlan標(biāo)簽；主機將添加上所述vlan標(biāo)簽的數(shù)據(jù)流通過trunk通道上傳給數(shù)據(jù)中心的交換機，以供數(shù)據(jù)中心的防火墻對從所述交換機接收的數(shù)據(jù)流進行訪問控制。本申請是為了提供一種能同時實現(xiàn)容器、虛擬機、物理機等數(shù)據(jù)中心的所有主機之間的互相隔離，同時還保障基礎(chǔ)網(wǎng)絡(luò)的性能損耗較小的隔離方案。

技術(shù)領(lǐng)域

本申請涉及網(wǎng)絡(luò)安全領(lǐng)域，具體而言，涉及一種基于macvlan的主機網(wǎng)絡(luò)隔離的方法、裝置及系統(tǒng)。

背景技術(shù)

數(shù)據(jù)中心是全球協(xié)作的特定設(shè)備網(wǎng)絡(luò)，用來在因特網(wǎng)絡(luò)基礎(chǔ)設(shè)施上傳遞、加速、展示、計算、存儲數(shù)據(jù)信息。數(shù)據(jù)中心大部分電子元件都是由低直流電源驅(qū)動運行的。

一個數(shù)據(jù)中心內(nèi)通常存在著容器、虛擬機、物理機等多種形態(tài)的主機。然而網(wǎng)絡(luò)安全在當(dāng)今這個信息時代顯得尤為重要，數(shù)據(jù)中心各種形態(tài)的主機之間的網(wǎng)絡(luò)隔離就是其中之一。目前較常用的幾種主機隔離的方式如下：

一種是基于Open vSwitch實現(xiàn)Overlay多租戶CNI容器網(wǎng)絡(luò)的方法：提供了一種解決基于Kubernetes的容器PaaS平臺的多租戶二層網(wǎng)絡(luò)隔離問題的新方法，可在不同租戶之間的進行網(wǎng)絡(luò)隔離，使每個租戶只能訪問自己的網(wǎng)絡(luò)資源，不可訪問其他租戶的網(wǎng)絡(luò)資源，從而解決了租戶與其他租戶服務(wù)間的網(wǎng)絡(luò)隔離問題，保障了租戶對自身服務(wù)訪問的合法權(quán)益，禁止其他租戶的惡意訪問。

一種是對Docker容器平臺上多租戶網(wǎng)絡(luò)進行隔離的方法：對Docker容器平臺上多租戶網(wǎng)絡(luò)進行隔離的方法中，Docker容器網(wǎng)絡(luò)采用虛擬交換機Open vSwitch實現(xiàn)，利用Open vSwitch虛擬交換機可以配置VLAN的特性，為每一個租戶分配一個VLAN ID，將同一個租戶容器劃分到同一個VLAN中，不同租戶網(wǎng)絡(luò)通過VLAN進行隔離。這種方法可以實現(xiàn)容器與容器、容器與物理機之間的隔離。

一種是kubernetes的多層網(wǎng)絡(luò)平面構(gòu)建方法：部署Multus CNI插件，集成Macvlan插件，以使Pod支持多網(wǎng)卡啟動。這個方案是用來構(gòu)建多平面的網(wǎng)絡(luò)，從而有效加深了Kubernetes平臺與CT領(lǐng)域的融合。

可以看到，上述相關(guān)技術(shù)中要么是基于kubernetes自身的networkpolicy實現(xiàn)容器網(wǎng)絡(luò)的隔離，要么是基于Open vSwitch實現(xiàn)容器網(wǎng)絡(luò)的隔離，兩者都有其不足的地方。基于kubernetes自身的networkpolicy實現(xiàn)容器網(wǎng)絡(luò)的隔離：只能實現(xiàn)數(shù)據(jù)中心kubernetes集群內(nèi)部的容器之間的相互隔離，無法實現(xiàn)容器與容器、容器與虛擬機、容器與物理機、虛擬機與虛擬機、虛擬機與物理機、物理機與物理機等數(shù)據(jù)中心的這些所有主機之間的互相隔離。基于Open vSwitch實現(xiàn)容器網(wǎng)絡(luò)的隔離：雖然能實現(xiàn)容器與容器、容器與物理機之間的隔離，但是其依賴的組件太多、數(shù)據(jù)轉(zhuǎn)發(fā)路徑冗長，網(wǎng)絡(luò)性能損耗非常之大。

因此，如何采用一種方案就能同時實現(xiàn)容器與容器、容器與虛擬機、容器與物理機、虛擬機與虛擬機、虛擬機與物理機、物理機與物理機等數(shù)據(jù)中心的這些所有主機之間的互相隔離，同時還要保障基礎(chǔ)網(wǎng)絡(luò)的性能損耗較小，是目前亟需解決的技術(shù)問題。

發(fā)明內(nèi)容

本申請的主要目的在于提供一種基于macvlan的主機網(wǎng)絡(luò)隔離的方法、裝置及系統(tǒng)，以提供一種能同時實現(xiàn)容器與容器、容器與虛擬機、容器與物理機、虛擬機與虛擬機、虛擬機與物理機、物理機與物理機等數(shù)據(jù)中心的這些所有主機之間的互相隔離，同時還要保障基礎(chǔ)網(wǎng)絡(luò)的性能損耗較小的隔離方案。

為了實現(xiàn)上述目的，根據(jù)本申請的第一方面，提供了一種基于macvlan的主機網(wǎng)絡(luò)隔離的方法。

根據(jù)本申請的基于macvlan的主機網(wǎng)絡(luò)隔離的方法包括：