[发明专利]基于kubernetes的网络安全访问的控制方法

说明书

本发明提供了一种基于kubernetes的网络安全访问的控制方法，其包括：在kubernetes上，以DaemonSet的形式部署WeaveNet，每个Pod中都包含weave‑kube和weave‑npc；通过cos‑access‑control创建Kubernetes自定义资源对象来管理NetworkPolicy的生命周期，而weave‑npc通过监听NetworkPolicy的变化来实现访问控制，采用本发明的技术方案，实现在跨地理位置、跨云服务厂商、场景下的连通和访问控制，最大限度的继承了用户使用kubernetes的使用习惯，具有更好的体验感。

技术领域

本发明属于云网络技术领域，尤其涉及一种基于kubernetes的网络安全访问的控制方法。

背景技术

现阶段，在企业使用kubernetes，需要对其进行访问控制，为不同的云服务、提供商的不同服务之间提供安全可靠的访问控制是一个十分基本的需求。目前的基本解决方案是依靠kubernetes原生提供一种叫NetworkPolicy的对象，专门用来解决七层网络模型中的数据链路层和网络层访问控制的问题，然而这种方案只定义了如何制定这些策略，而它们如何用来发挥作用却还要仰仗各kubernetes网络插件的支持，而且对于不同类型的网络在支持NetworkPolicy又有各自的解法。比如通过NetworkPolicy实现跨集群访问控制pod网络由各网络插件提供的网络驱动支持，NetworkPolicy几乎全部依赖这些网络驱动来实现，而不同原理的网络驱动并不一定能实现NetworkPolicy的全部功能，而且难易程度也有所不同，即便到了今天，K8S已经发布了1.19，NetworkPolicy仍然没有被所有主流网络插件完整支持；虽然Pod网络由网络驱动实现，但Service网络却是K8S管理的，而K8S应用都是通过Service向外提供服务的，这中间的转换也会对NetworkPolicy的实现有严重的影响。

可见，公有云服务必须要具备跨多个云供应商的能力来帮助用户解除对单一云依赖，并构筑成本优势。不同的云厂商，如阿里、华为、Azure、Ucloud、AWS等提供的网络架构和网络能力是差异很大的，这就决定了我们必然会面对十分复杂并且多样的网络环境，也应该选择一种与各公云的网络架构兼容最好的网络方案。

发明内容

针对以上技术问题，本发明公开了一种基于kubernetes的网络安全访问的控制方法，实现在跨地理位置、跨云服务厂商、场景下的连通和访问控制。

对此，本发明采用的技术方案为：

一种基于kubernetes的网络安全访问的控制方法，其包括：

在kubernetes上，以DaemonSet的形式部署WeaveNet，每个Pod中都包含weave-kube和weave-npc；所述weave-kube用于构建网络，所述weave-npc为NetworkPolicyController；

WeaveNet在每台主机上创建一个bridge网桥，作为主机上所有接入weave网络的Pod的网关，不同主机的bridge网桥之间的数据流通过VxLAN协议转发，除此之外的其他数据流在主机上经过SNAT进入主机网络；

所述weave-npc通过API Server监听NetworkPolicy的变化，weave-npc并随之改变配置，所述WeaveNet在得到NetworkPolicyPeer对象后，根据其中的Selector筛选出符合条件的Pod，得到Pod的IP地址，然后在符合条件的Pod所在主机iptables的Filter表中设置规则，接受来自这些IP地址的请求。

作为本发明的进一步改进，所有请求进入主机网络时经过DNAT（DestinationNetwork Address Translation，目的地址转换），DNAT将目标地址和端口转换成Service对应的Pod及其端口；