[发明专利]基于macvlan的主机网络隔离的方法、装置及系统

说明书

本申请公开了一种基于macvlan的主机网络隔离的方法、装置及系统，本申请中macvlan网络插件接收控制服务器发送的控制指令；基于所述控制指令中主机与vlan标签之间的映射关系为主机产生的数据流添加vlan标签；主机将添加上所述vlan标签的数据流通过trunk通道上传给数据中心的交换机，以供数据中心的防火墙对从所述交换机接收的数据流进行访问控制。本申请是为了提供一种能同时实现容器、虚拟机、物理机等数据中心的所有主机之间的互相隔离，同时还保障基础网络的性能损耗较小的隔离方案。

技术领域

本申请涉及网络安全领域，具体而言，涉及一种基于macvlan的主机网络隔离的方法、装置及系统。

背景技术

数据中心是全球协作的特定设备网络，用来在因特网络基础设施上传递、加速、展示、计算、存储数据信息。数据中心大部分电子元件都是由低直流电源驱动运行的。

一个数据中心内通常存在着容器、虚拟机、物理机等多种形态的主机。然而网络安全在当今这个信息时代显得尤为重要，数据中心各种形态的主机之间的网络隔离就是其中之一。目前较常用的几种主机隔离的方式如下：

一种是基于Open vSwitch实现Overlay多租户CNI容器网络的方法：提供了一种解决基于Kubernetes的容器PaaS平台的多租户二层网络隔离问题的新方法，可在不同租户之间的进行网络隔离，使每个租户只能访问自己的网络资源，不可访问其他租户的网络资源，从而解决了租户与其他租户服务间的网络隔离问题，保障了租户对自身服务访问的合法权益，禁止其他租户的恶意访问。

一种是对Docker容器平台上多租户网络进行隔离的方法：对Docker容器平台上多租户网络进行隔离的方法中，Docker容器网络采用虚拟交换机Open vSwitch实现，利用Open vSwitch虚拟交换机可以配置VLAN的特性，为每一个租户分配一个VLAN ID，将同一个租户容器划分到同一个VLAN中，不同租户网络通过VLAN进行隔离。这种方法可以实现容器与容器、容器与物理机之间的隔离。

一种是kubernetes的多层网络平面构建方法：部署Multus CNI插件，集成Macvlan插件，以使Pod支持多网卡启动。这个方案是用来构建多平面的网络，从而有效加深了Kubernetes平台与CT领域的融合。

可以看到，上述相关技术中要么是基于kubernetes自身的networkpolicy实现容器网络的隔离，要么是基于Open vSwitch实现容器网络的隔离，两者都有其不足的地方。基于kubernetes自身的networkpolicy实现容器网络的隔离：只能实现数据中心kubernetes集群内部的容器之间的相互隔离，无法实现容器与容器、容器与虚拟机、容器与物理机、虚拟机与虚拟机、虚拟机与物理机、物理机与物理机等数据中心的这些所有主机之间的互相隔离。基于Open vSwitch实现容器网络的隔离：虽然能实现容器与容器、容器与物理机之间的隔离，但是其依赖的组件太多、数据转发路径冗长，网络性能损耗非常之大。

因此，如何采用一种方案就能同时实现容器与容器、容器与虚拟机、容器与物理机、虚拟机与虚拟机、虚拟机与物理机、物理机与物理机等数据中心的这些所有主机之间的互相隔离，同时还要保障基础网络的性能损耗较小，是目前亟需解决的技术问题。

发明内容

本申请的主要目的在于提供一种基于macvlan的主机网络隔离的方法、装置及系统，以提供一种能同时实现容器与容器、容器与虚拟机、容器与物理机、虚拟机与虚拟机、虚拟机与物理机、物理机与物理机等数据中心的这些所有主机之间的互相隔离，同时还要保障基础网络的性能损耗较小的隔离方案。

为了实现上述目的，根据本申请的第一方面，提供了一种基于macvlan的主机网络隔离的方法。

根据本申请的基于macvlan的主机网络隔离的方法包括：