容器网络访问控制方法、装置、介质、设备及程序产品与流程

本公开涉及计算机，具体地，涉及一种容器网络访问控制方法、装置、介质、设备及程序产品。

背景技术：

1、在云网络场景下，通常依赖于vpc（virtual private cloud，虚拟私有云）安全组实现容器网络的安全隔离，在容器的创建删除频繁时，就需要频繁对安全组规则操作，这就导致隔离生效时延比较大，并且由于vpc安全组有配额限制，导致无法适配大规模部署环境。因此，需要研究一种新的方法实现容器网络安全隔离。

技术实现思路

1、提供该
技术实现要素：
部分以便以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。该发明内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。

2、第一方面，本公开提供一种容器网络访问控制方法，包括：

3、通过过滤器确定跨容器组pod的容器网络通信链路相关的第一网络端点和第二网络端点的身份信息，所述pod配置有多个网络端点支持跨pod的容器通信；

4、基于针对pod预配置的网络端点级访问控制表，查找与所述身份信息对应的目标访问动作，所述网络端点级访问控制表用于维护跨pod网络端点之间网络出入的访问动作，所述访问动作包括允许访问或拒绝访问；

5、执行所述目标访问动作。

6、第二方面，本公开提供一种容器网络访问控制装置，包括：

7、获取模块，被配置为通过过滤器确定跨容器组pod的容器网络通信链路相关的第一网络端点和第二网络端点的身份信息，所述pod配置有多个网络端点支持跨pod的容器通信；

8、查找模块，被配置为基于针对pod预配置的网络端点级访问控制表，查找与所述身份信息对应的目标访问动作，所述网络端点级访问控制表用于维护跨pod网络端点之间网络出入的访问动作，所述访问动作包括允许访问或拒绝访问；

9、执行模块，被配置为执行所述目标访问动作。

10、第三方面，本公开提供一种计算机可读介质，其上存储有计算机程序，该计算机程序被处理装置执行时实现第一方面所述的方法的步骤。

11、第四方面，本公开提供一种电子设备，包括：

12、存储装置，其上存储有计算机程序；

13、处理装置，用于执行所述存储装置中的所述计算机程序，以实现第一方面所述的方法的步骤。

14、第五方面，本公开提供一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现第一方面所述的方法的步骤。

15、基于上述技术方案，通过过滤器确定pod的容器网络通信链路相关的第一网络端点和第二网络端点的身份信息，基于针对pod预配置的网络端点级访问控制表，查找与身份信息对应的目标访问动作，并执行目标访问动作，可以在不依赖底层基础设施提供的网络访问控制能力下，实现对容器的网络访问控制，适配性更强。并且，能够在容器的网络端点的维度上进行网络访问控制，在pod具有多个网络端点的场景中，实现根据需求灵活地对不同的网络端点进行网络访问控制。

16、本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。

技术特征：

1.一种容器网络访问控制方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述pod配置的多个网络端点支持多种网络协议，所述多种网络协议至少包括tcp/ip协议和远程直接内存访问rdma协议。

3.根据权利要求2所述的方法，其特征在于，所述通过过滤器确定跨容器组pod的容器网络通信链路相关的第一网络端点和第二网络端点的身份信息，包括：

4.根据权利要求2所述的方法，其特征在于，所述通过过滤器确定跨容器组pod的容器网络通信链路相关的第一网络端点和第二网络端点的身份信息，包括：

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

7.根据权利要求1所述的方法，其特征在于，所述执行所述目标访问动作，包括：

8.根据权利要求7所述的方法，其特征在于，所述基于所述第一网络端点和第二网络端点的通信协议，执行所述目标访问动作，包括：

9.根据权利要求1所述的方法，其特征在于，所述基于针对pod预配置的网络端点级访问控制表，查找与所述身份信息对应的目标访问动作，包括：

10.一种容器网络访问控制装置，其特征在于，包括：

11.一种计算机可读介质，其上存储有计算机程序，其特征在于，该计算机程序被处理装置执行时实现权利要求1-9中任一项所述的方法的步骤。

12.一种电子设备，其特征在于，包括：

13.一种计算机程序产品，包括计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1-9中任一项所述的方法的步骤。

技术总结
本公开涉及一种容器网络访问控制方法、装置、介质、设备及程序产品，涉及计算机技术领域，该方法通过过滤器确定Pod的容器网络通信链路相关的第一网络端点和第二网络端点的身份信息，基于针对Pod预配置的网络端点级访问控制表，查找与身份信息对应的访问动作，并执行目访问动作，可以在不依赖底层基础设施提供的网络访问控制能力下，实现对容器的网络访问控制，适配性更强。并且，能够在容器的网络端点的维度上进行网络访问控制，在Pod具有多个网络端点的场景中，实现根据需求灵活地对不同的网络端点进行网络访问控制。

技术研发人员：辛文强,安朗,董君,岳泽龙,杨健
受保护的技术使用者：北京火山引擎科技有限公司
技术研发日：
技术公布日：2024/9/29