[发明专利]一种对Docker容器平台上多租户网络进行隔离的方法

说明书

本发明涉及一种对Docker容器平台上多租户网络进行隔离的方法。本发明所述对Docker容器平台上多租户网络进行隔离的方法中，Docker容器网络采用虚拟交换机Open Vswitch实现，利用Open Vswitch虚拟交换机可以配置VLAN的特性，为每一个租户分配一个VLAN ID，将同一个租户容器划分到同一个VLAN中，不同租户网络通过VLAN进行隔离。

技术领域

本发明涉及一种对Docker容器平台上多租户网络进行隔离的方法，属于云计算安全的技术领域。

背景技术

Docker是PaaS提供商dotCloud开源的一个基于LXC的高级容器引擎，源代码托管在Github上，基于go语言并遵从Apache2.0协议开源。

Docker设想是交付运行环境如同海运，OS如同一个货轮，每一个在OS基础上的软件都如同一个集装箱，用户可以通过标准化手段自由组装运行环境，同时集装箱的内容可以由用户自定义，也可以由专业人员制造。这样，交付一个软件，就是一系列标准化组件的集合的交付，这也就是基于docker的PaaS平台产品的原型。

在Docker容器平台实际部署环境中，有大量的服务器节点，每台服务器上都运行了数百个甚至上千个Docker容器，这对实现容器网络隔离，保护容器安全带来了挑战。在Docker默认配置下，同一个服务器上，所有容器连接在一个网桥上，共享同样的网络资源，多租户容器网络没有隔离，存在一定的安全隐患。

随着互联网技术的飞速发展，基于网络的应用已经广泛出现企业内部和外部的业务系统中，网络应用发挥着越来越重要的作用。与此同时，越来越多的网络应用也因为存在安全隐患而频繁遭受到各种攻击，导致敏感数据、页面被篡改、数据非法访问、甚至成为传播木马的傀儡，最终会给更多访问者造成伤害，带来严重损失。

针对越来越多的网络层攻击，防火墙、入侵防御等网络安全设备已被广泛部署在网络边界，网络访问控制策略设置也颇为严格，一般只开放HTTP等必要的服务端口，因此黑客已很难通过传统网络层攻击方式进行攻击。

但是在云计算环境下，特别是在Docker虚拟化环境下，多租户容器共享网络资源，让网络边界变得越来越模糊，如果黑客利用平台中的容器为跳板，通过网络攻击其他租户的容器，就会让部署在网络边界的防护设备失去作用。

现有技术中，Docker提供三种种网络驱动，它们各有千秋，也各自存在着一定的局限性。使用host驱动可以让Docker容器与宿主服务器共用同一个网络栈，能使网络模型最简单，但是无法实现网络隔离，缺乏安全性；网桥是Docker默认使用的网络驱动，容器没有对外IP，只能通过NAT实现对外通信，无法实现跨服务器容器间直接通信；overlay驱动支持跨主机容器间直接通信，它采用VxLAN的方式，让容器在集群上共用一个大二层网络，可实现跨主机的通信，但多个租户共享一个二层网络，无法满足隔离需求。

发明内容

针对现有技术的不足，本发明提供一种对Docker容器平台上多租户网络进行隔离的方法。本发明的技术方案为：

一种对Docker容器平台上多租户网络进行隔离的方法，基于虚拟交换机实现；包括步骤如下：

1)将Docker容器平台中每个服务器节点配成属于一个IP地址空间的子网；

2)在每个服务器节点上，将Docker容器默认使用的docker0网桥用Open Vswitch网桥替换，并使每个docker容器都连到Open Vswitch普通网桥上，获得同一个网段的IP地址；

3)在Open Vswitch网桥将不同的租户划分为不同的VLAN，实现租户隔离；