一种在docker swarm群集下隔离网络的方法转让专利
申请号 : CN201911401080.0
文献号 : CN111190698B
文献日 : 2022-07-08
发明人 : 陈旋 , 王冲 , 朱凯
申请人 : 江苏艾佳家居用品有限公司
摘要 :
本发明公开了一种在docker swarm群集下隔离网络的方法,涉及容器技术、网络技术及代理原理技术领域。通过给每个需要监控的应用容器绑定代理,强制将容器的网络请求经过代理转发,通过给应用建立专属网络已经绑定代理程序,可以将应用所有的请求经过代理路由转发,这样代理就可以记录下应用所有的动作;而且我们可以控制代理程序控制访问权限,通过设置应用的专属网络,保证了该应用的所有活动只限制在专属网络中,所有对公有网络的操作都是通过代理程序转发,有效的控制了应用的安全性,避免产生一些不可控的现象。记录每个应用对公有网络所有操作,后期可以通过大数据分析每个应用对于公有网络的依赖以及对于公有网络产生的影响。
权利要求 :
1.一种在docker swarm群集下隔离网络的方法,其特征在于,具体包括如下步骤:步骤1,基于与docker守护进程交互,调用守护进程提供的相关服务docker swarm api构建应用发布系统;
步骤2,将待发布的应用容器镜像、容器环境变量、资源限定、服务名称的相关信息通过消息队列客户端程序推送至kafka消息队列;
步骤3,发布系统拉取kafka消息,准备发布,确定待发布应用的关联关系,确定安装的先后顺序;
步骤4,通过docker api创建应用的专属网络启动链接docker守护进程程序,调用docker底层的createservice方法,将应用的镜像,环境变量,参数信息传递给守护进程,docker守护进程创建对应应用;
步骤5,通过docker api创建具体应用以及对应的代理程序和网络,应用置于步骤5的专属网络中,代理程序置于步骤5的专属网络和公用网络中;
步骤6,在专属网络和公用网络中,分别对应用和代理程序设置网络下别名。
2.根据权利要求1所述的一种在docker swarm群集下隔离网络的方法,其特征在于,在步骤1中,在安装docker swarm的机器上,生成docker.sockUnix域套接字,通过该套接字,可与docker守护进程通信,调用docker底层的各种服务;基于docker创建容器服务构建发布应用系统,进而通过调用docker底层功能创建相应的应用。
3.根据权利要求1所述的一种在docker swarm群集下隔离网络的方法,其特征在于,所述步骤5具体包括:步骤5.1,通过docker守护进程提供的发布服务的功能创建代理程序;
步骤5.2,通过docker守护进程提供的创建网络功能创建应用的私有网络。
4.根据权利要求1所述的一种在docker swarm群集下隔离网络的方法,其特征在于,所述步骤6具体包括:步骤6.1,设置代理程序在应用私有网络下的别名为固定名称;
步骤6.2,设置代理程序在公有网络下的别名为应用自身的名称。
5.根据权利要求1所述的一种在docker swarm群集下隔离网络的方法,其特征在于,调用docker api的方式采用绑定Unix域套接字docker.sock来实现。
6.根据权利要求1所述的一种在docker swarm群集下隔离网络的方法,其特征在于,采用消息队列来现实交互,保证了交互的时序性以及稳定性。
7.根据权利要求1所述的一种在docker swarm群集下隔离网络的方法,其特征在于,创建私有网络,创建应用,以及设置网络下别名的都是通过调用dockerr底层服务来api实现。
说明书 :
一种在docker swarm群集下隔离网络的方法
技术领域
[0001] 本发明涉及容器、算法及网络代理领域,尤其涉及一种在docker swarm群集下隔离网络的方法。
背景技术
[0002] 目前swarm群集中,一般情况下,所有的应用都在一个网络中,对于有些我们需要做特殊控制(如网络调用,权限控制,智能路由)的应用就不能做有效的把控。在依赖很多额外组件的情况下,可以实现上述所说的部分功能,但是对于应用的自身的应用来说,依赖组件过多会增加自身的负担,且很多组件会侵入代码,及其不友好。本发明通过在安装应用的过程中,绑定对应的代理与其一起运行在专属网络中,由代理对应用进行控制,以达到监控的效果。
发明内容
[0003] 本发明的目的是针对现有技术的不足提供了一种在docker swarm群集下隔离网络的方法,通过给应用建立专属网络已经绑定代理程序,可以将应用所有的请求经过代理路由转发,这样代理就可以记录下应用所有的动作。而且我们可以控制代理程序控制访问权限,来达到给应用进行隔离的目的。
[0004] 一种在docker swarm群集下隔离网络的方法,具体包括如下步骤:
[0005] 步骤1,基于与docker守护进程交互,调用守护进程提供的相关服务docker swarm api构建应用发布系统;
[0006] 步骤2,将待发布的应用容器镜像、容器环境变量、资源限定、服务名称的相关信息通过消息队列客户端程序推送至kafka消息队列;
[0007] 步骤3,发布系统拉取kafka消息,准备发布,通过类似拓扑排序算法确定待发布应用的关联关系,确定安装的先后顺序;
[0008] 步骤4,通过docker api创建应用的专属网络启动链接docker守护进程程序,调用docker底层的createservice方法,将应用的镜像,环境变量,参数信息传递给守护进程,docker守护进程创建对应应用;
[0009] 步骤5,通过docker api创建具体应用以及对应的代理程序和网络,应用置于步骤5的专属网络中,代理程序置于步骤5的专属网络和公用网络中;
[0010] 步骤6,在专属网络和公用网络中,分别对应用和代理程序设置网络下别名。
[0011] 作为本发明一种在docker swarm群集下隔离网络的方法的进一步优选方案,在步骤1中,在安装docker swarm的机器上,生成docker.sock Unix域套接字,通过该套接字,可与docker守护进程通信,调用docker底层的各种服务;基于docker创建容器服务构建发布应用系统,进而通过调用docker底层功能创建相应的应用。
[0012] 作为本发明一种在docker swarm群集下隔离网络的方法的进一步优选方案,所述步骤5具体包括:
[0013] 步骤5.1,通过docker守护进程提供的发布服务的功能创建代理程序;
[0014] 步骤5.2,通过docker守护进程提供的创建网络功能创建应用的私有网络。
[0015] 作为本发明一种在docker swarm群集下隔离网络的方法的进一步优选方案,所述步骤6具体包括:
[0016] 步骤6.1,设置代理程序在应用私有网络下的别名为固定名称;
[0017] 步骤6.2,设置代理程序在公有网络下的别名为应用自身的名称。
[0018] 作为本发明一种在docker swarm群集下隔离网络的方法的进一步优选方案,调用docker api的方式采用绑定Unix域套接字docker.sock来实现。
[0019] 作为本发明一种在docker swarm群集下隔离网络的方法的进一步优选方案,采用消息队列来现实交互,保证了交互的时序性以及稳定性。
[0020] 作为本发明一种在docker swarm群集下隔离网络的方法的进一步优选方案,创建私有网络,创建应用,以及设置网络下别名的都是通过调用dockerr底层服务来api实现。
[0021] 作为本发明一种在docker swarm群集下隔离网络的方法的进一步优选方案,通过图类似拓扑排序算法来确定应用安装的依赖性。
[0022] 本发明采用以上技术方案与现有技术相比,具有以下技术效果:
[0023] 1、本发明通过给应用建立专属网络已经绑定代理程序,可以将应用所有的请求经过代理路由转发,这样代理就可以记录下应用所有的动作;而且我们可以控制代理程序控制访问权限,来达到给应用进行隔离的目的。
[0024] 2、本发明通过设置应用的专属网络,保证了该应用的所有活动只限制在专属网络中,所有对公有网络的操作都是通过代理程序转发,有效的控制了应用的安全性,避免产生一些不可控的现象。
[0025] 3、通过记录每个应用对公有网络所有操作,后期可以通过大数据分析每个应用对于公有网络的依赖以及对于公有网络产生的影响。
附图说明
[0026] 图1本发明应用关系图;
[0027] 图2本发明spring cloud zuul架构图;
[0028] 图3本发明应用间调用效果图;
[0029] 图4本发明整个方法流程图。
具体实施方式
[0030] 本发明的方法的几个主要解决步骤如下:
[0031] 一种在docker swarm群集下隔离网络的方法,如图4所示,具体包括如下步骤:
[0032] 步骤1,基于与docker守护进程交互,调用守护进程提供的相关服务docker swarm api构建应用发布系统;
[0033] 步骤2,将待发布的应用容器镜像、容器环境变量、资源限定、服务名称的相关信息通过消息队列客户端程序推送至kafka消息队列;
[0034] 步骤3,发布系统拉取kafka消息,准备发布,通过类似拓扑排序算法确定待发布应用的关联关系,确定安装的先后顺序;
[0035] 步骤4,通过docker api创建应用的专属网络启动链接docker守护进程程序,调用docker底层的createservice方法,将应用的镜像,环境变量,参数信息传递给守护进程,docker守护进程创建对应应用;
[0036] 步骤5,通过docker api创建具体应用以及对应的代理程序和网络,应用置于步骤5的专属网络中,代理程序置于步骤5的专属网络和公用网络中;
[0037] 步骤6,在专属网络和公用网络中,分别对应用和代理程序设置网络下别名[0038] 基于以上的步骤,采用的具体实施过程如下:
[0039] 第1步,在安装docker的机器上,找到docker运行产生的docker.sock文件,创建dockerClient客户端,用来发布应用,创建专属网络,创建代理程序。如果需要docker镜像仓库用户名密码健全,则设定鉴权参数。
[0040] 第2步,通过kafka consumer不断拉取消息队列中的消息,来不断获取用户需要隔离的应用信息。
[0041] 第3步,将拉取到的各个应用信息通过如下算法进行排序
[0042] 算法描述:
[0043] A.有ABCDEFG这7个应用,假设C必须在A完成之后做,我们把这种关系定义为"依赖",用符号"A‑‑>C"标识,这7个应用如图1所示
[0044] B.列出所有的关联关系,生成依赖关系清单R,左右两边分别标记为RL关系清单和RR关系清单,如下:
[0045] A‑‑>C
[0046] A‑‑>D
[0047] A‑‑>G
[0048] B‑‑>C
[0049] D‑‑>B
[0050] D‑‑>E
[0051] F‑‑>E
[0052] G‑‑>F
[0053] B‑‑>G
[0054] C.约定左边为依赖关系清单R,右边为事情清单,分隔符号“|”前边的事情表示已经排好,后边是等待排的事情
[0055] 第一步:开始时,分隔符号在事情清单开始,表示所有事情均等待排序。将等待排序的清单中划掉RR关系清单中出现过的事情,将未划掉的放到分隔符前边,然后从依赖关系清单中同时划掉分隔符前边出现过的关系对,得到第二步图,此时事情A已经排好[0056] 第一步图:
[0057] 第二步:重复第一步,得到第三步图,此时AD已经排序好。
[0058] 第二步图:
[0059] 第三步:重复第一步,得到第四步图,此时事情ADB已经排好。
[0060] 第三步图:
[0061] 第四步:重复第一步,得到第五步图,此时事情ADBCG已经排好。
[0062] 第四步图:
[0063] 第五步:重复第一步,得到第六步图,此时事情ADBCGF已经排好。
[0064] 第五步图:
[0065] 第六步:重复第一步,得到第七步图,此时事情ADBCGFE已经排好。
[0066] 第六步图:‑‑A D B C G F|E
[0067] 第七步图:‑‑A D B C G F E|
[0068] 第4步,通过dockerClient提供的方法创建应用以及创建网络,具体实现步骤如下:
[0069] 通过createservice方法创建应用:
[0070] 根据应用的相关信息,组装成dockerClient需要的参数,调用创建应用方法创建应用,设置应用的相关属性。
[0071] 通过createnetwork方法创建网络:创建过程中,会判断可用网段,以及之前创建过的记录,防止冲突。
[0072] 第5步,创建代理程序,代理程序使用spring cloud zuul来实现,zuul的架构图如下图2所示。FilterFileManager管理目录和轮询修改和新的Groovy过滤器,其中的startPoller方法负责轮询。
[0073] ZuulRunner会初始化一个RequestContext对象,该对象持有整个请求过程中的上下文数据,被所有过滤器锁共享。ZuulRunner会执行具体的pre、routing、post以及error类型的过滤器,执行完成之后,返回返回具体的HttpResponse对象。
[0074] 代理程序通过设置自定义routing,日志记录过滤器,来实现将应用的请求智能转发,将请求进行记录,转发的示意图如图3所示,后期还可以设置其他过滤器来实现其他定制功能。主要实现逻辑如下:当应用访问公共网络中的其他服务的时候,修改专属网络内应用访问的url,使之强制转换为对应其他应用在公共网络中代理的地址,再通过代理的转发,真正访问到具体的服务。且记录每次请求的信息输入到日志文件,以供filebeat采集。
[0075] 第6步,设置网络下别名;
[0076] 在第4,5步下,已经实现了应用,代理,网络的安装,这一步中,通过设置应用,代理在不同网络下的endpoint。
[0077] 有应用serviceA serviceB;
[0078] eg:调用过程serviceA‑>serviceB,通过代理后,调用过程为serviceA‑>proxyA‑>proxyB‑>serviceB,如下图3所示。
[0079] 设置过程:通过设置service和proxy在每个网络下的别名aliases,这样,在对应的网络中,就可以通过aliases来访问应用。
[0080] proxyA在公用网络和专属网络A中,serviceA只在专属网络A中,proxyB在公用网络和专属网络B中,serviceB只在专属网络B中
[0081] 设置proxyA在专属网络A中的别名为proxyA,在公用网络中别名为serviceA,proxyB在专属网络B中的别名为proxyB,在公用网络中的别名为serviceB。
[0082] 调用过程经过spring cloud zuul的自定义路由,路由过程如上面所描述,来完成serviceA到serviceB的调用。