基于Kubernetes的多租户网络隔离的设计与实现
本文选题:云计算 切入点:容器 出处:《浙江大学》2017年硕士论文 论文类型:学位论文
【摘要】:多年以来企业和云提供商一直使用虚拟化的云平台运行应用程序,并且都是在虚拟机中运行。虚拟机技术提供整个硬件层的虚拟化,虽然实现了资源的隔离与控制,但使用成本较高。容器技术亦能提供资源的隔离与控制,却更节约成本,所以虚拟机技术逐渐地被容器技术取代。随着容器技术的日益普及,越来越多的应用使用容器的方式开发、部署和运维,给用户提供便捷的服务,如迅速崛起的Docker容器技术。容器集群管理系统Kubernetes是用于在多宿主机中管理容器化应用程序的开源系统,为容器化的应用提供资源调度、部署运行、服务发现、扩容缩容等一整套的功能。本文分析了 Kubernetes系统的网络模式,并对现有的容器网络解决方案进行对比,发现现有的解决方案在多租户网络隔离方面的功能还很有限,并不能满足复杂云环境下网络的安全需求。本文针对以上问题,通过研究发现Openstack项目中的Neutron网络子系统不仅提供了多租户的二层网络隔离,还提供了丰富的API接口。遵循Kubernetes插件化的网络模式,基于Neutron网络系统,本文设计了独立的网络插件系统,该插件系统包括Kubernetes端插件、独立网络管理模块、网络管理客户端三个模块。Kubenetes端插件实现了对独立网络管理模块的调用,并且在Kubelet启动时加载该插件系统;独立网络管理模块实现了对网络资源的管理以及对Pod网络的配置;网络管理客户端主要通过调用独立网络管理模块来管理用户的网络。此外,针对改造后的多租户网络模式,对集群中应用的负载均衡模式进行了改造。本文不仅提出了独立的网络插件系统解决方案,也通过实际开发实现了该解决方案,最后通过实验验证了其隔离效果与性能,可以满足Kubernetes平台对多租户网络隔离的需求。
[Abstract]:For many years, enterprises and cloud providers have been running applications on virtualized cloud platforms, all running in virtual machines. Virtual machine technology provides virtualization of the entire hardware layer, although resources are isolated and controlled. But the cost of use is high. Container technology can also provide isolation and control of resources, but more cost savings, so virtual machine technology is gradually replaced by container technology. More and more applications are developed, deployed and operated using containers to provide users with convenient services. The container cluster management system (Kubernetes) is an open source system for managing container applications in multiple hosts, providing resource scheduling, deployment and service discovery for container applications. This paper analyzes the network mode of Kubernetes system, compares the existing container network solutions, and finds that the functions of the existing solutions in multi-tenant network isolation are still very limited. In view of the above problems, this paper finds that the Neutron network subsystem in the Openstack project not only provides multi-tenant two-layer network isolation, but also can not meet the security requirements of the network in complex cloud environment. Following the network mode of Kubernetes plug-in and based on Neutron network system, this paper designs an independent network plug-in system, which includes Kubernetes terminal plug-in, independent network management module. The three modules of network management client .Kubenetes implement the call to the independent network management module, and load the plug-in system when the Kubelet starts, the independent network management module realizes the management of the network resources and the configuration of the Pod network. The network management client mainly manages the user's network by calling the independent network management module. This paper not only proposes an independent network plug-in system solution, but also realizes the solution through practical development. Finally, the isolation effect and performance are verified by experiments. It can meet the requirements of Kubernetes platform for multi-tenant network isolation.
【学位授予单位】:浙江大学
【学位级别】:硕士
【学位授予年份】:2017
【分类号】:TP393.09
【相似文献】
相关期刊论文 前10条
1 李东风;戴明;;浅析第五代网络隔离技术[J];金融电子化;2006年09期
2 何旭田;;网络隔离技术研究[J];计算机安全;2012年08期
3 张震;网络隔离的技术分析与安全模型应用[J];数据通信;2002年03期
4 张震;网络隔离的技术分析与安全模型的应用[J];微型机与应用;2002年11期
5 张凯泽;姚卫东;;网络隔离卡技术[J];军事通信技术;2002年03期
6 高伟,黄家琳;网络隔离技术及其在电子政务中的应用[J];北京工商大学学报(自然科学版);2004年05期
7 林晓霞,杨晓东;网络隔离技术原理与实现[J];网络安全技术与应用;2005年06期
8 刘朝苹;冯登国;;专用网络隔离系统的研究[J];信息安全与通信保密;2005年12期
9 张国旭,张雅静,王永强;网络隔离技术在企业中的应用[J];电脑知识与技术;2005年03期
10 邓智群,刘福,慕德俊,唐三平;网络隔离体系结构研究[J];计算机应用研究;2005年05期
相关会议论文 前9条
1 赵利军;;网络隔离与安全策略[A];第十六次全国计算机安全学术交流会论文集[C];2001年
2 许琦;;提高规划审批工作的效率为新农村建设服务——网络政务应用篇[A];2006湖南省城乡规划论文集[C];2006年
3 许琦;;浅谈信息时代的网络政务——以湖南城乡规划信息港为例[A];构建和谐社会的城乡规划——2005年全省城乡规划论文竞赛获奖论文集[C];2005年
4 莫非亚;;网络隔离系统在发电厂中的实施[A];二○○九年全国电力企业信息化大会论文集[C];2009年
5 刘道群;孙庆和;;信息敏感行业3G移动办公安全解决方案[A];中国通信学会信息通信网络技术委员会2011年年会论文集(上册)[C];2011年
6 杨剑;鲁昌华;;关于网络积极防御安全技术的研究[A];全国第20届计算机技术与应用学术会议(CACIS·2009)暨全国第1届安全关键技术与应用学术会议论文集(上册)[C];2009年
7 李旋;吴其聪;;数字签名与加密在网络隔离中的应用研究[A];第28次全国计算机安全学术交流会论文集[C];2013年
8 杨伟斌;;网络隔离的状况下实现技术网数据在OA网发布的研究[A];中国新闻技术工作者联合会2013年学术年会、五届五次理事会暨第六届“王选新闻科学技术奖”和优秀论文奖颁奖大会论文集(广电篇)[C];2013年
9 尉永清;刘文艳;张辉;杨青;刘冬梅;魏中礼;赵凌云;张璇;迟学芝;崔和宏;赵含睿;郝磊;;山东省网络犯罪防控体系研究[A];决策与管理研究(2007-2008)——山东省软科学计划优秀成果汇编(第七册·上)[C];2009年
相关重要报纸文章 前10条
1 ;什么是网络隔离技术?[N];计算机世界;2004年
2 赵贞;从电子政务看网络隔离技术的发展[N];大众科技报;2008年
3 ;如何实现网络隔离?[N];计算机世界;2004年
4 南通市农村金融学会网络安全课题组;全方位进行网络分级保护[N];金融时报;2006年
5 《Network World》;虚拟化改变网络结构[N];计算机世界;2008年
6 清风;浅析无线局域网的安全困惑[N];中国国门时报;2007年
7 ;从网络攻击看网络隔离的OSI模型[N];计算机世界;2004年
8 ;惠普网络助推安全移动[N];计算机世界;2004年
9 赫丽萍;网络建设常见问题[N];中华建筑报;2008年
10 北京市市政管理委员会 李立明 卿伟杰 胡旭焕;打造城市信息互联互通平台[N];中国信息报;2002年
相关博士学位论文 前2条
1 王健;基于软件定义网络架构的数据中心网络若干关键问题研究[D];北京邮电大学;2015年
2 马欢;云环境下基于SDN的网络服务关键技术研究[D];北京科技大学;2016年
相关硕士学位论文 前10条
1 关袁玉;SDN组策略建模与网络部署测试[D];昆明理工大学;2015年
2 李腾;《塔林手册》中网络战争的法律研究[D];辽宁大学;2015年
3 赖春彬;Warden多租户网络隔离设计与实现[D];浙江大学;2016年
4 匙姣;中小企业的网络化成长:关系嵌入与结构促变[D];天津财经大学;2014年
5 孙琳惠;论我国网络犯罪的刑事立法问题[D];中国社会科学院研究生院;2017年
6 徐飞;基于Kubernetes的多租户网络隔离的设计与实现[D];浙江大学;2017年
7 周永明;网络隔离与安全交换原型研究[D];同济大学;2006年
8 姜蕾;基于嵌入式技术的专用网络隔离设备研制[D];河北师范大学;2015年
9 张锦玉;网络隔离系统通道协议设计与实现[D];国防科学技术大学;2007年
10 李正茂;网络隔离理论与关键技术研究[D];同济大学;2006年
,本文编号:1573683
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1573683.html
