[发明专利]容器数据处理方法及装置

说明书

本发明公开了一种容器数据处理方法及装置。其中，该方法包括：确定采用容器进行工作的服务模块的管理规则，其中，管理规则包括服务模块，服务模块的应用，以及服务模块的访问地址之间的访问许可；获取服务模块的多个访问地址，其中，多个访问地址分别用于多个不同类型的流量访问服务模块，流量的类型与访问地址一一对应；根据流量的类型、类型对应的访问地址，以及管理规则，对流量进行处理。本发明解决了相关技术中由于容器平台的微隔离防火墙，没有从服务模块的角度进行管控，不方便管理操作的技术问题。

技术领域

本发明涉及容器平台领域，具体而言，涉及一种容器数据处理方法及装置。

背景技术

CNCF(Cloud Native Computing Foundation)致力于基于容器平台Kubernetes(简称K8S)的微服务模式应用开发的推广与普及。基于K8S平台开发的应用，被称为云原生应用。

Kubernetes的网络模型为微服务而设计，通过Service来解决微服务发布、动态扩展、负载均衡等问题。

图1是现有技术的K8S系统架构的示意图，如图1所示，K8S设计中，K8S有几个关键的概念：Pod，App和Service。Extermal IP外部IP。

Pod为一组关联容器，部署在同一个主机上，共享网络协议栈。Pod的IP动态分配，不同Node上的Pod可以互相通信。Pod可以访问外部IP，外部IP不可以直接访问Pod IP。

Service一般需要多个Pod承载，来实现负载均衡和弹性伸缩。这一组Pod一般通过一个App部署出来。

Service有多种方法被访问：

Service可以分配一个Cluster IP(群集IP)，对集群内提供服务。

Service或者分配一个Node Port(节点)，通过节点IP对外部提供服务。

通过Service发布Pods的端口后，Service提供负载均衡功能。

承载Service的一组Pod，可以弹性伸缩，动态增加，减少。

Service的所有信息，如Cluster IP，可以通过DNS发布出来。

集群内部互访，及内部与外部互访，存在四条路径，参见图1。

如下情况存在NAT(NAT Network Address Translation网络地址转换)

通过Node Port访问，即路径1，存在SNAT+DNAT。

通过Cluster IP访问，即路径2，存在DNAT。

通过Pod IP访问，即路径3，不存在NAT。

Pod访问外部资源，即路径4，存在SNAT。

近年来挖矿、勒索病毒的猖獗，及微隔离、零信任概念提出，客户逐渐意识到K8S网络内部的东西向流量的访问控制的必要性和重要性，因而很多厂家推出了微隔离防火墙来解决这个问题。

Service给容器网络微隔离防火墙设计带来挑战：

1、K8S网络中，所有POD可以直接通讯，且按照CNI(Container NetworkInterface)架构设计，Pod的IP随机分配，所有Pod之间可互通，传统网关防火墙无法切入。

2、Service引入了源、目的NAT的问题，给防火墙的策略配置与执行带来问题。

3、容器环境动态变化频繁，IP地址不固定，传统按照IP地址管理的防火墙策略也很难应用。