Warden多租户网络隔离设计与实现
本文选题:容器 + 多租户 ; 参考:《浙江大学》2016年硕士论文
【摘要】:近年来云计算不断发展,生态圈趋于成熟,云计算被越来越多的企业所接受。容器技术很早就已经出现,但是未受到足够的重视,近几年随着以Docker, LXC, Warden为代表的容器技术在资源利用上优势,越来越多的企业开始在在生产环境中使用容器技术。容器技术提供资源限制以及资源隔离,但是在资源隔离方面内核仅仅提供PID, NETWORK, IPC, UTS, MOUNT, USER等六种资源隔离,要做到安全使用还是存在一定差距。本文从Warden源码开始,从Warden服务端,客户端,通信协议三方面对Warden的设计与实现进行分析。从目前Warden网络架构出发,分析目前Warden容器存在缺陷,指出Warden不支持多租户网络隔离以及容器之间通信方式局限等问题。从路由,隧道,桥接三种方式分析跨宿主机连通方案,并分析其优缺点,最终选择桥接作为跨宿主机连通方案。采用VLAN技术进行容器网络隔离,分析新版Warden引入租户网关之后存在的问题,采用Iptables实现网关隔离。为给容器提供全局IP地址,引入IP地址分配,介绍IP地址分配器实现,最后介绍带宽分配算法的设计与实现。对Warden进行功能测试以及性能测试,验证多租户隔离效果与性能。
[Abstract]:In recent years, cloud computing has been developing and the ecosystem is becoming mature. Cloud computing has been accepted by more and more enterprises. Container technology has appeared for a long time, but has not received enough attention. In recent years, with the advantage of container technology represented by Docker, LXC, Warden in resource utilization, more and more enterprises begin to use container technology in production environment. Container technology provides resource restriction and resource isolation, but in the aspect of resource isolation, the kernel only provides six kinds of resource isolation, such as PID, NETWORK, IPC, UTS, MOUNT, user, etc. This paper starts with Warden source code and analyzes the design and implementation of Warden from three aspects: Warden server, client and communication protocol. Based on the current Warden network architecture, the defects of the current Warden container are analyzed, and it is pointed out that Warden does not support multi-tenant network isolation and the limitation of communication between containers. This paper analyzes the connectivity scheme of cross-host from three ways: routing, tunneling and bridging, and analyzes its advantages and disadvantages. Finally, bridging is chosen as the connectivity scheme of cross-host. The container network isolation is carried out by using VLAN technology. The problems existing after the new Warden is introduced into the tenant gateway are analyzed. IptabLes is used to implement the gateway isolation. In order to provide the global IP address to the container, the IP address allocation is introduced, and the implementation of the IP address allocator is introduced. Finally, the design and implementation of the bandwidth allocation algorithm are introduced. The function test and performance test of Warden are carried out to verify the effectiveness and performance of multi-tenant isolation.
【学位授予单位】:浙江大学
【学位级别】:硕士
【学位授予年份】:2016
【分类号】:TP393.09
【相似文献】
相关期刊论文 前10条
1 何旭田;;网络隔离技术研究[J];计算机安全;2012年08期
2 张震;网络隔离的技术分析与安全模型应用[J];数据通信;2002年03期
3 张震;网络隔离的技术分析与安全模型的应用[J];微型机与应用;2002年11期
4 张凯泽;姚卫东;;网络隔离卡技术[J];军事通信技术;2002年03期
5 高伟,黄家琳;网络隔离技术及其在电子政务中的应用[J];北京工商大学学报(自然科学版);2004年05期
6 林晓霞,杨晓东;网络隔离技术原理与实现[J];网络安全技术与应用;2005年06期
7 刘朝苹;冯登国;;专用网络隔离系统的研究[J];信息安全与通信保密;2005年12期
8 张国旭,张雅静,王永强;网络隔离技术在企业中的应用[J];电脑知识与技术;2005年03期
9 邓智群,刘福,慕德俊,唐三平;网络隔离体系结构研究[J];计算机应用研究;2005年05期
10 司凤山;李东江;;基于隔离卡的网络隔离系统研究[J];计算机时代;2006年08期
相关会议论文 前9条
1 赵利军;;网络隔离与安全策略[A];第十六次全国计算机安全学术交流会论文集[C];2001年
2 许琦;;提高规划审批工作的效率为新农村建设服务——网络政务应用篇[A];2006湖南省城乡规划论文集[C];2006年
3 许琦;;浅谈信息时代的网络政务——以湖南城乡规划信息港为例[A];构建和谐社会的城乡规划——2005年全省城乡规划论文竞赛获奖论文集[C];2005年
4 莫非亚;;网络隔离系统在发电厂中的实施[A];二○○九年全国电力企业信息化大会论文集[C];2009年
5 刘道群;孙庆和;;信息敏感行业3G移动办公安全解决方案[A];中国通信学会信息通信网络技术委员会2011年年会论文集(上册)[C];2011年
6 杨剑;鲁昌华;;关于网络积极防御安全技术的研究[A];全国第20届计算机技术与应用学术会议(CACIS·2009)暨全国第1届安全关键技术与应用学术会议论文集(上册)[C];2009年
7 李旋;吴其聪;;数字签名与加密在网络隔离中的应用研究[A];第28次全国计算机安全学术交流会论文集[C];2013年
8 杨伟斌;;网络隔离的状况下实现技术网数据在OA网发布的研究[A];中国新闻技术工作者联合会2013年学术年会、五届五次理事会暨第六届“王选新闻科学技术奖”和优秀论文奖颁奖大会论文集(广电篇)[C];2013年
9 尉永清;刘文艳;张辉;杨青;刘冬梅;魏中礼;赵凌云;张璇;迟学芝;崔和宏;赵含睿;郝磊;;山东省网络犯罪防控体系研究[A];决策与管理研究(2007-2008)——山东省软科学计划优秀成果汇编(第七册·上)[C];2009年
相关重要报纸文章 前10条
1 ;什么是网络隔离技术?[N];计算机世界;2004年
2 赵贞;从电子政务看网络隔离技术的发展[N];大众科技报;2008年
3 ;如何实现网络隔离?[N];计算机世界;2004年
4 南通市农村金融学会网络安全课题组;全方位进行网络分级保护[N];金融时报;2006年
5 《Network World》;虚拟化改变网络结构[N];计算机世界;2008年
6 清风;浅析无线局域网的安全困惑[N];中国国门时报;2007年
7 ;从网络攻击看网络隔离的OSI模型[N];计算机世界;2004年
8 ;惠普网络助推安全移动[N];计算机世界;2004年
9 赫丽萍;网络建设常见问题[N];中华建筑报;2008年
10 北京市市政管理委员会 李立明 卿伟杰 胡旭焕;打造城市信息互联互通平台[N];中国信息报;2002年
相关博士学位论文 前1条
1 王健;基于软件定义网络架构的数据中心网络若干关键问题研究[D];北京邮电大学;2015年
相关硕士学位论文 前10条
1 关袁玉;SDN组策略建模与网络部署测试[D];昆明理工大学;2015年
2 李腾;《塔林手册》中网络战争的法律研究[D];辽宁大学;2015年
3 赖春彬;Warden多租户网络隔离设计与实现[D];浙江大学;2016年
4 周永明;网络隔离与安全交换原型研究[D];同济大学;2006年
5 姜蕾;基于嵌入式技术的专用网络隔离设备研制[D];河北师范大学;2015年
6 张锦玉;网络隔离系统通道协议设计与实现[D];国防科学技术大学;2007年
7 李正茂;网络隔离理论与关键技术研究[D];同济大学;2006年
8 叶卫;信息网络隔离在杭州供电公司的设计与实现[D];华北电力大学;2014年
9 高健;网络隔离系统研究[D];西北工业大学;2003年
10 高艳春;网络隔离设备图形化管理审计系统的研究与实现[D];国防科学技术大学;2007年
,本文编号:2072178
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2072178.html
