CN115801470A - 一种适配集群网络微隔离方法、装置、设备及可读介质 - Google Patents
一种适配集群网络微隔离方法、装置、设备及可读介质 Download PDFInfo
- Publication number
- CN115801470A CN115801470A CN202310090355.3A CN202310090355A CN115801470A CN 115801470 A CN115801470 A CN 115801470A CN 202310090355 A CN202310090355 A CN 202310090355A CN 115801470 A CN115801470 A CN 115801470A
- Authority
- CN
- China
- Prior art keywords
- pod
- network policy
- cluster
- target
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种适配集群网络微隔离方法,包括以下步骤:监听集群中的网络策略和/或Pod是否发生变更;响应于集群中的网络策略和/或Pod发生变更,则对目标Pod重新设置新的网络策略,并将新的网络策略下发到所述目标Pod对应的节点管理器;通过所述节点管理器依次选择并进入所述目标Pod的网络命名空间,并基于所述新的网络策略设置防火墙;以及继续监听集群中网络策略和/或Pod是否发生变更并重复上述步骤。本发明还公开了一种适配集群网络微隔离装置、计算机设备和可读存储介质。本发明利用防火墙技术实现了集群的网络策略网络隔离规范,且可以适配所有的网络插件,所有的底层网络环境,从而实现集群的微隔离访问控制。
Description
技术领域
本发明涉及微隔离技术领域,尤其涉及一种适配集群网络微隔离方法、装置、设备及可读介质。
背景技术
云环境中南北向的数据通过防火墙的策略规则可以做到网络隔离,而东西向的数据就会绕开防火墙。在过去,主要通过防火墙、虚拟本地网和访问控制列表做网络隔离。传统防火墙,一般是再防火墙上线部署的时候配置上相应的策略、防火墙隔离、策略的管理和隔离的动作都是发生在防火墙设备上的,且在整个防火墙生命周期内基本不做调整。这就导致传统防火墙隔离有以下几个缺点:
基于防火墙配置:策略的管理和隔离的动作都是发生在防火墙上,需要单独配置。
极难维护:防火墙策略配置后,在整个防火墙生命周内基本不做调整。
无法自适应防护:无法根据变化的网络环境,实时更新策略。
业务和安全不可兼得:要安全,业务就无法快速交付;要业务就无法进行有效的安全管理。
成本高昂:在每个交错的节点都搭建防火墙,增加成本,降低敏捷性。
另外,目前大部分的集群网络插件,例如Flannel,Open vSwitch,还有一些底层网络例如Macvlan,SR-IOV都无法支持NetworkPolicy(网络策略),导致使用NetworkPolicy来实现微隔离的功能无法实现,而本发明就是解决这个问题,使得所有的集群网络插件和所有的底层网络环境都能支持NetworkPolicy。
发明内容
有鉴于此,本发明实施例的目的在于提出一种适配集群网络微隔离方法、装置、设备及可读介质,利用防火墙技术实现了集群的网络策略网络隔离规范,且可以适配所有的网络插件,所有的底层网络环境,从而实现集群的微隔离访问控制。
基于上述目的,本发明实施例的一方面提供了一种适配集群网络微隔离方法,包括以下步骤:监听集群中的网络策略和/或Pod是否发生变更;响应于集群中的网络策略和/或Pod发生变更,则对目标Pod重新设置新的网络策略,并将新的网络策略下发到所述目标Pod对应的节点管理器;通过所述节点管理器依次选择并进入所述目标Pod的网络命名空间,并基于所述新的网络策略设置防火墙;以及继续监听集群中网络策略和/或Pod是否发生变更并重复上述步骤。
在一些实施方式中,响应于集群中的网络策略和/或Pod发生变更,则对目标Pod重新设置新的网络策略包括:响应于集群中的网络策略发生变更,则将所述网络策略和新的网络策略中对应的Pod设置为目标Pod,并对所述目标Pod重新设置新的网络策略。
在一些实施方式中,响应于集群中的网络策略和/或Pod发生变更,则对目标Pod重新设置新的网络策略包括:响应于集群中的Pod发生变更,则基于变更的Pod对应的网络策略查找关联Pod,将所述变更的Pod和查找到的所述关联Pod设置为目标Pod,并对所述目标Pod重新设置新的网络策略。
在一些实施方式中,基于变更的Pod对应的网络策略查找关联Pod,将所述变更的Pod和查找到的所述关联Pod设置为目标Pod,并对所述目标Pod重新设置新的网络策略包括:响应于变更的Pod为新增Pod,则基于所述新增Pod对应的新增网络策略查找关联Pod,并对所述关联Pod增加关于所述新增Pod的网络策略。
在一些实施方式中,基于变更的Pod对应的网络策略查找关联Pod,将所述变更的Pod和查找到的所述关联Pod设置为目标Pod,并对所述目标Pod重新设置新的网络策略包括:响应于变更的Pod为删除Pod,则基于所述删除Pod对应的网络策略查找关联Pod,并对所述关联Pod删除关于所述删除Pod的网络策略。
在一些实施方式中,基于所述新的网络策略设置防火墙包括:基于所述新的网络策略对防火墙进行写入和/或删除和/或更改。
在一些实施方式中,所述防火墙为Iptables。
本发明实施例的另一方面,还提供了一种适配集群网络微隔离装置,包括:第一模块,配置用于监听集群中的网络策略和/或Pod是否发生变更;第二模块,配置用于响应于集群中的网络策略和/或Pod发生变更,则对目标Pod重新设置新的网络策略,并将新的网络策略下发到所述目标Pod对应的节点管理器;第三模块,配置用于通过所述节点管理器依次选择并进入所述目标Pod的网络命名空间,并基于所述新的网络策略设置防火墙;以及第四模块,配置用于执行完所述第三模块后返回所述第一模块。
本发明实施例的再一方面,还提供了一种计算机设备,包括:至少一个处理器;以及存储器,存储器存储有可在处理器上运行的计算机指令,指令由处理器执行时实现上述方法的步骤。
本发明实施例的再一方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有被处理器执行时实现如上方法步骤的计算机程序。
本发明至少具有以下有益技术效果:低入侵性,只在Pod的Iptables防火墙中写入规则,不做其他的修改,没有额外的进程进行处理,入侵性很小;性能高,通过Iptables防火墙进行访问控制,Pod中的规则数量会比较少,不会有性能的问题;通用性,对比在主机中写入Iptables,目前在Pod中写入Iptables可以达到支持像Macvlan,SR-IOV的底层网络,其他目前已知的所有网络也都支持,对linux内核版本也没有要求。
综上,利用Iptables防火墙技术,实现了集群的NetworkPolicy网络隔离规范,实现可以适配所有的网络插件,所有的底层网络环境,从而实现集群的微隔离访问控制,覆盖所有的网络插件和底层网络模型,达到都可以使用NetworkPolicy,而且性能优秀。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明提供的适配集群网络微隔离方法的实施例的示意图;图2为本发明提供的适配集群网络微隔离装置的实施例的示意图;图3为本发明提供的计算机设备的实施例的示意图;图4为本发明提供的计算机可读存储介质的实施例的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
基于上述目的,本发明实施例的第一个方面,提出了适配集群网络微隔离方法的实施例。图1示出的是本发明提供的适配集群网络微隔离方法的实施例的示意图。如图1所示,本发明实施例的适配集群网络微隔离方法包括如下步骤:
001、监听集群中的网络策略和/或Pod是否发生变更;002、响应于集群中的网络策略和/或Pod发生变更,则对目标Pod重新设置新的网络策略,并将新的网络策略下发到目标Pod对应的节点管理器;003、通过节点管理器依次选择并进入目标Pod的网络命名空间,并基于新的网络策略设置防火墙;以及004、继续监听集群中网络策略和/或Pod是否发生变更并重复上述步骤。
在本实施例中,微隔离技术实现最细粒度的访问控制,面向业务应用,而非单一的IP地址的方式实现数据中心资产东西向之间的身份验证和授权访问,是零信任在数据中心的最佳实践。容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向平移,或者叫东西向移动。通过设置集群网络策略(NetworkPolicy)进行Pod的入站出站进行控制,以此达到Pod之间的隔离,或者Pod和外部的隔离,从而实现阻断攻击者的横向平移。
在本发明的一些实施例中,响应于集群中的网络策略和/或Pod发生变更,则对目标Pod重新设置新的网络策略包括:响应于集群中的网络策略发生变更,则将网络策略和新的网络策略中对应的Pod设置为目标Pod,并对目标Pod重新设置新的网络策略。
在本实施例中,响应于集群中的网络策略A(包括Pod1和Pod2)变更为网络策略B(包括Pod1和Pod3),则将网络策略A中对应的Pod1和Pod2和网络策略B对应的Pod1和Pod3设置为目标Pod,即目标Pod包括Pod1、Pod2和Pod3,并对Pod1、Pod2和Pod3重新设置新的网络策略,即将Pod1中的网络策略A变更为网络策略B、将Pod2中的网络策略A删除、在Pod3中新增网络策略A。
在本发明的一些实施例中,响应于集群中的网络策略和/或Pod发生变更,则对目标Pod重新设置新的网络策略包括:响应于集群中的Pod发生变更,则基于变更的Pod对应的网络策略查找关联Pod,将变更的Pod和查找到的关联Pod设置为目标Pod,并对目标Pod重新设置新的网络策略。
在本实施例中,响应于集群中的Pod1发生变更,则基于Pod1对应的网络策略A(包括Pod1和Pod2)和网络策略B(包括Pod1和Pod3)查找关联Pod,即Pod2和Pod3,并对Pod2和Pod3重新设置新的网络策略。
在本发明的一些实施例中,基于变更的Pod对应的网络策略查找关联Pod,将变更的Pod和查找到的关联Pod设置为目标Pod,并对目标Pod重新设置新的网络策略包括:响应于变更的Pod为新增Pod,则基于新增Pod对应的新增网络策略查找关联Pod,并对关联Pod增加关于新增Pod的网络策略。
在本实施例中,响应于集群中新增Pod1,则基于新增的网络策略A(包括Pod1和Pod2)和网络策略B(包括Pod1和Pod3)查找关联Pod,即Pod2和Pod3,并对Pod2和Pod3新增网络策略A和网络策略B。
在本发明的一些实施例中,基于变更的Pod对应的网络策略查找关联Pod,将变更的Pod和查找到的关联Pod设置为目标Pod,并对目标Pod重新设置新的网络策略包括:响应于变更的Pod为删除Pod,则基于删除Pod对应的网络策略查找关联Pod,并对关联Pod删除关于删除Pod的网络策略。
在本实施例中,响应于集群中删除Pod1,则基于删除的网络策略A(包括Pod1和Pod2)和网络策略B(包括Pod1和Pod3)查找关联Pod,即Pod2和Pod3,并对Pod2和Pod3删除网络策略A和网络策略B。
在本发明的一些实施例中,基于新的网络策略设置防火墙包括:基于新的网络策略对防火墙进行写入和/或删除和/或更改。
在本实施例中,对比新的网络策略与原网络策略并判断是新增、减少或是更改,如果是新增,则对防火墙进行新增部分的写入;如果是减少,则对防火墙进行减少部分的删除;如果是更改,则对防火墙进行更改部分的更改。
在本发明的一些实施例中,防火墙为Iptables。
在本实施例中,Iptables是基于命令行的防火墙策略管理工具,通过这个工具可以实现网络隔离。防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据包过滤***是一款功能强大的工具,可用于添加、编辑和移除规则。
下面根据具体实施例进一步阐述本发明的具体实施方式。具体包括以下步骤:集群中的微隔离控制器实时的监控NetworkPolicy和Pod的变更,如果有变更,就需要对变更的Pod重新设置Iptables防火墙策略。当微隔离控制器检查到变更后,下发到对应节点的微隔离管理器,节点管理器再根据策略中选择的Pod进行策略的设置。微隔离控制器会进入到Pod的网络命名空间,然后设置Iptables防火墙,设置完成后,退出网络命名空间,再设置其他的Pod的策略。当所有的策略设置完成,整个流程就完成了,如果有新的NetworkPolicy和Pod的变更,则重复这个流程进行设置。
需要特别指出的是,上述适配集群网络微隔离方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于适配集群网络微隔离方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在实施例之上。
基于上述目的,本发明实施例的第二个方面,提出了一种适配集群网络微隔离装置。图2示出的是本发明提供的适配集群网络微隔离装置的实施例的示意图。如图2所示,本发明实施例的适配集群网络微隔离装置包括如下模块:第一模块011,配置用于监听集群中的网络策略和/或Pod是否发生变更;第二模块012,配置用于响应于集群中的网络策略和/或Pod发生变更,则对目标Pod重新设置新的网络策略,并将新的网络策略下发到目标Pod对应的节点管理器;第三模块013,配置用于通过节点管理器依次选择并进入目标Pod的网络命名空间,并基于新的网络策略设置防火墙;以及第四模块014,配置用于执行完第三模块后返回第一模块。
基于上述目的,本发明实施例的第三个方面,提出了一种计算机设备。图3示出的是本发明提供的计算机设备的实施例的示意图。如图3所示,本发明实施例的计算机设备包括如下装置:至少一个处理器021;以及存储器022,存储器022存储有可在处理器上运行的计算机指令023,指令由处理器执行时实现以上方法的步骤。
本发明还提供了一种计算机可读存储介质。图4示出的是本发明提供的计算机可读存储介质的实施例的示意图。如图4所示,计算机可读存储介质031存储有被处理器执行时执行如上方法的计算机程序032。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,适配集群网络微隔离方法的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,程序的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及***单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个***的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
在一个或多个示例性设计中,功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种适配集群网络微隔离方法,其特征在于,包括以下步骤:
监听集群中的网络策略和/或Pod是否发生变更;
响应于集群中的网络策略和/或Pod发生变更,则对目标Pod重新设置新的网络策略,并将新的网络策略下发到所述目标Pod对应的节点管理器;
通过所述节点管理器依次选择并进入所述目标Pod的网络命名空间,并基于所述新的网络策略设置防火墙;以及
继续监听集群中网络策略和/或Pod是否发生变更并重复上述步骤。
2.根据权利要求1所述的适配集群网络微隔离方法,其特征在于,响应于集群中的网络策略和/或Pod发生变更,则对目标Pod重新设置新的网络策略包括:
响应于集群中的网络策略发生变更,则将所述网络策略和新的网络策略中对应的Pod设置为目标Pod,并对所述目标Pod重新设置新的网络策略。
3.根据权利要求1所述的适配集群网络微隔离方法,其特征在于,响应于集群中的网络策略和/或Pod发生变更,则对目标Pod重新设置新的网络策略包括:
响应于集群中的Pod发生变更,则基于变更的Pod对应的网络策略查找关联Pod,将所述变更的Pod和查找到的所述关联Pod设置为目标Pod,并对所述目标Pod重新设置新的网络策略。
4.根据权利要求3所述的适配集群网络微隔离方法,其特征在于,基于变更的Pod对应的网络策略查找关联Pod,将所述变更的Pod和查找到的所述关联Pod设置为目标Pod,并对所述目标Pod重新设置新的网络策略包括:
响应于变更的Pod为新增Pod,则基于所述新增Pod对应的新增网络策略查找关联Pod,并对所述关联Pod增加关于所述新增Pod的网络策略。
5.根据权利要求3所述的适配集群网络微隔离方法,其特征在于,基于变更的Pod对应的网络策略查找关联Pod,将所述变更的Pod和查找到的所述关联Pod设置为目标Pod,并对所述目标Pod重新设置新的网络策略包括:
响应于变更的Pod为删除Pod,则基于所述删除Pod对应的网络策略查找关联Pod,并对所述关联Pod删除关于所述删除Pod的网络策略。
6.根据权利要求1所述的适配集群网络微隔离方法,其特征在于,基于所述新的网络策略设置防火墙包括:
基于所述新的网络策略对防火墙进行写入和/或删除和/或更改。
7.根据权利要求1所述的适配集群网络微隔离方法,其特征在于,所述防火墙为Iptables。
8.一种适配集群网络微隔离装置,其特征在于,包括:
第一模块,配置用于监听集群中的网络策略和/或Pod是否发生变更;
第二模块,配置用于响应于集群中的网络策略和/或Pod发生变更,则对目标Pod重新设置新的网络策略,并将新的网络策略下发到所述目标Pod对应的节点管理器;
第三模块,配置用于通过所述节点管理器依次选择并进入所述目标Pod的网络命名空间,并基于所述新的网络策略设置防火墙;以及
第四模块,配置用于执行完所述第三模块后返回所述第一模块。
9. 一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现权利要求1-7任意一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任意一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310090355.3A CN115801470B (zh) | 2023-02-09 | 2023-02-09 | 一种适配集群网络微隔离方法、装置、设备及可读介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310090355.3A CN115801470B (zh) | 2023-02-09 | 2023-02-09 | 一种适配集群网络微隔离方法、装置、设备及可读介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115801470A true CN115801470A (zh) | 2023-03-14 |
CN115801470B CN115801470B (zh) | 2023-05-12 |
Family
ID=85430721
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310090355.3A Active CN115801470B (zh) | 2023-02-09 | 2023-02-09 | 一种适配集群网络微隔离方法、装置、设备及可读介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115801470B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10944691B1 (en) * | 2020-01-15 | 2021-03-09 | Vmware, Inc. | Container-based network policy configuration in software-defined networking (SDN) environments |
CN112615856A (zh) * | 2020-12-16 | 2021-04-06 | 上海道客网络科技有限公司 | 一种多集群网络安全策略管控方法和*** |
CN114064206A (zh) * | 2021-11-05 | 2022-02-18 | 郑州云海信息技术有限公司 | 一种访问边缘节点的pod方法、***、设备及存储介质 |
CN115484232A (zh) * | 2022-07-29 | 2022-12-16 | 天翼云科技有限公司 | Dhcp服务器的部署方法、装置、设备及存储介质 |
-
2023
- 2023-02-09 CN CN202310090355.3A patent/CN115801470B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10944691B1 (en) * | 2020-01-15 | 2021-03-09 | Vmware, Inc. | Container-based network policy configuration in software-defined networking (SDN) environments |
CN112615856A (zh) * | 2020-12-16 | 2021-04-06 | 上海道客网络科技有限公司 | 一种多集群网络安全策略管控方法和*** |
CN114064206A (zh) * | 2021-11-05 | 2022-02-18 | 郑州云海信息技术有限公司 | 一种访问边缘节点的pod方法、***、设备及存储介质 |
CN115484232A (zh) * | 2022-07-29 | 2022-12-16 | 天翼云科技有限公司 | Dhcp服务器的部署方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115801470B (zh) | 2023-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8301882B2 (en) | Method and apparatus for ingress filtering using security group information | |
US8302157B2 (en) | Method and system for generating user group identifiers | |
US11658977B2 (en) | Internet of Things security system | |
EP3821580B1 (en) | Methods and systems for efficient network protection | |
US20070118893A1 (en) | Computerized system and method for policy-based content filtering | |
US20070101422A1 (en) | Automated network blocking method and system | |
JP2005318584A (ja) | デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置 | |
US9369492B1 (en) | Out-of band network security management | |
US20070189273A1 (en) | Bi-planar network architecture | |
CN113596033B (zh) | 访问控制方法及装置、设备、存储介质 | |
CN109542590B (zh) | Docker集群多租户下虚拟Socket通信的方法 | |
CN114041276A (zh) | 屏蔽外部源地址的网络架构的安全策略实施和可见性 | |
CN109756520B (zh) | 动态访问控制方法、设备及计算机可读存储介质 | |
CN115801470A (zh) | 一种适配集群网络微隔离方法、装置、设备及可读介质 | |
KR101703491B1 (ko) | 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 | |
CN113691650B (zh) | IPv4/IPv6无状态分段安全映射方法及控制*** | |
Bolodurina et al. | Development and Investigation of Multi-Cloud Platform Network Security Algorithms Based on the Technology of Virtualization Network Functions 1 The research work was funded by RFBR, according to the research projects No. 16-37-60086 mol_a_dk, 16-07-01004, 18-07-01446, 18-47-560016 and the President of the Russian Federation within the grant for state support of young Russian scientists (MK-1624.2017. 9) | |
CN113992412B (zh) | 一种云原生防火墙的实现方法及相关设备 | |
CN115174219B (zh) | 一种可适配多种工业防火墙的管理*** | |
CN113420084B (zh) | 区块链*** | |
US20230179623A1 (en) | Breach path prediction and remediation | |
CN116489024A (zh) | 一种k8s集群容器应用性能提升的方法、装置、设备及介质 | |
CN117792716A (zh) | 一种跨域访问网络资源的方法、装置、设备及介质 | |
CN114301686A (zh) | 一种安全策略的匹配方法及装置、存储介质 | |
CN113326510A (zh) | 一种文件上传杀毒的方法、装置、设备及可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |