[发明专利]一种流量传输控制方法、装置、设备及存储介质

说明书

本公开提供了一种流量传输控制方法、装置、设备及存储介质，通过在目标容器和主机之间配置网络桥接器，通过网络桥接器将流量数据转发到应用层检测器进行应用层流量过滤处理，可以兼容各种不同业务特性的目标容器，提升流量传输的稳定性；并且将传输层流量过滤策略直接作用于容器内部，在容器内部进行传输层流量过滤处理，防止由于网络防护策略的失误或异常导致容器集群出现故障问题，实现对容器环境下流量数据的安全检测和正常传输。

技术领域

本公开涉及互联网技术领域，具体而言，涉及一种流量传输控制方法、装置、设备及存储介质。

背景技术

容器网络是一个开放的网络架构，一般的网络导流与阻断方案是使用容器网络接口(Container Network Interface，CNI)插件，CNI插件需要与容器网络匹配，才能获取流量数据并进行相应的安全扫描和网络策略阻断。这种控制方式主要是基于宿主机的网络的协议栈进行流量数据的过滤，达到网络隔离的目的，这种技术方案可以满足单一的容器网络环境的业务需求。

但是，随着容器技术的发展，出现了混合网络模式，很多容器的流量数据不再进入主机的协议栈，而是通过宿主机的物理网卡直接流向外部的虚拟交换机，如果仍然采用CNI插件，会由于无法获取到相关的流量数据而导致无效的安全扫描和网络策略阻断，进而可能出现无法对流量数据进行导流和传输的情况，影响流量数据传输的完整性，并且影响后续对流量数据进行流量检测的结果，降低容器环境的安全性和稳定性。

发明内容

本公开实施例至少提供一种流量传输控制方法、装置、设备及存储介质。

第一方面，本公开实施例提供了一种流量传输控制方法，所述方法包括：

响应于目标容器产生的流量数据，基于在所述目标容器内部设置的传输层流量过滤策略，对所述流量数据进行传输层流量过滤处理，将通过所述传输层流量过滤处理的流量数据作为第一数据；

通过与所述目标容器相连接的网络桥接器向应用层检测器转发所述第一数据，通过所述应用层检测器对所述第一数据进行应用层流量过滤处理，将通过所述应用层流量过滤处理的流量数据作为第二数据；

通过所述网络桥接器将所述第二数据发送到与所述网络桥接器连接的主机，并通过主机发送至所述第二数据对应的目的端。

一种可选的实施方式中，在基于在所述目标容器内部设置的传输层流量过滤策略，对所述流量数据进行传输层流量过滤处理之前，还包括：

获取网络策略器生成的与所述目标容器对应的传输层流量过滤策略，并将所述传输层流量过滤策略发送至所述网络桥接器；所述传输层流量过滤策略指示有符合传输要求的五元组信息和不符合传输要求的五元组信息；

通过所述网络桥接器将所述传输层流量过滤策略设置在所述目标容器的独立网络命名空间中；

所述基于在所述目标容器内部设置的传输层流量过滤策略，对所述流量数据进行传输层流量过滤处理，包括：

从所述独立网络命名空间中读取所述传输层流量过滤策略，基于所述流量数据携带的五元组信息，以及所述传输层流量过滤策略指示的符合传输要求的五元组信息和不符合传输要求的五元组信息，对所述流量数据进行传输层流量过滤处理。

一种可选的实施方式中，所述目标容器上设置有第一网络接口，所述主机上设置有第二网络接口；所述网络桥接器上设置有第三网络接口和第四网络接口；其中，所述第一网络接口和所述第三网络接口通信连接，所述第二网络接口和所述第四网络接口通信连接；

所述通过与所述目标容器相连接的网络桥接器向应用层检测器转发所述第一数据，包括：

通过与所述目标容器相连接的网络桥接器的第三网络接口接收所述目标容器的所述第一网络接口传输的所述第一数据，并调用所述网络桥接器的包转发功能将所述第一数据转发到应用层检测器；