导航：首页> 测量；测试>网络隔离配置方法、装置及系统

网络隔离配置方法、装置及系统

文献发布时间：2023-06-19 11:21:00

技术领域

本申请涉及云计算领域，具体涉及一种网络隔离配置方法、装置及系统。

背景技术

随着Dokcer容器技术的迅猛发展，Kubernetes(容器编排引擎)已经成为容器编排管理事实标准，越来越多的公司使用Kubernetes来进行应用发布与部署，公司内部不同业务应用之间通常有多租户隔离部署的需求，Kubernetes也提供了namespace命名空间、节点、network policy等层面的隔离功能。

发明人发现，Kubernetes原生提供的隔离能力有限，集群内多个应用节点之间还是存在共享IP段、网关等情况，因此存在信息安全风险。

发明内容

针对现有技术中的问题，本申请提供一种网络隔离配置方法、装置及系统，能够有效实现应用在网络层面的隔离，提高信息的安全性。

为了解决上述问题中的至少一个，本申请提供以下技术方案：

第一方面，本申请提供一种网络隔离配置方法，包括：

接收管理员用户发送的租户创建指令，并向容器编排引擎发送所述租户创建指令，以使所述容器编排引擎根据所述租户创建指令创建租户空间，并向虚拟私有云管理平台发送租户私有云创建指令，以使所述虚拟私有云管理平台根据所述租户私有云创建指令创建对应的租户私有云；

接收租户发送的容器部署指令，并向所述容器编排引擎发送所述容器部署指令，以使所述容器编排引擎根据所述容器部署指令创建租户容器，并在将所述租户容器调度至集群节点后，根据所述租户私有云中的网络配置信息对所述租户容器的虚拟网卡进行网络配置。

进一步地，还包括：

接收所述管理员用户发送的租户销毁指令，并向所述容器编排引擎发送所述租户销毁指令，以使所述容器编排引擎根据所述租户销毁指令销毁所述租户空间，并向所述虚拟私有云管理平台发送租户私有云销毁指令，以使所述虚拟私有云管理平台根据所述租户私有云销毁指令销毁对应的租户私有云并删除所述租户私有云的网络配置。

第二方面，本申请提供一种网络隔离配置方法，包括：

接收容器云平台发送的租户创建指令，根据所述租户创建指令创建租户空间，并向虚拟私有云管理平台发送租户私有云创建指令，以使所述虚拟私有云管理平台根据所述租户私有云创建指令创建对应的租户私有云，其中，所述租户创建指令是管理员用户发送至所述容器云平台的；

接收所述容器云平台发送的容器部署指令，根据所述容器部署指令创建租户容器，并在将所述租户容器调度至集群节点后，根据所述租户私有云中的网络配置信息对所述租户容器的虚拟网卡进行网络配置。

进一步地，还包括：

通过管理控制器组件监测所述租户空间是否被创建或被销毁，若是，则向虚拟私有云管理平台发送对应的租户私有云创建指令或租户私有云销毁指令。

进一步地，所述根据所述租户私有云中的网络配置信息对所述租户容器的虚拟网卡进行网络配置，包括：

通过所述集群节点的容器网络接口组件为所述租户容器绑定虚拟网卡；

获取所述租户私有云中的网络配置信息，并将所述网络配置信息中的可分配IP地址与所述租户容器的虚拟网卡建立绑定关系。

第三方面，本申请提供一种网络隔离配置装置，包括：

租户创建指令接收模块，用于接收管理员用户发送的租户创建指令，并向容器编排引擎发送所述租户创建指令，以使所述容器编排引擎根据所述租户创建指令创建租户空间，并向虚拟私有云管理平台发送租户私有云创建指令，以使所述虚拟私有云管理平台根据所述租户私有云创建指令创建对应的租户私有云；

容器部署指令接收模块，用于接收租户发送的容器部署指令，并向所述容器编排引擎发送所述容器部署指令，以使所述容器编排引擎根据所述容器部署指令创建租户容器，并在将所述租户容器调度至集群节点后，根据所述租户私有云中的网络配置信息对所述租户容器的虚拟网卡进行网络配置。

第四方面，本申请提供一种网络隔离配置装置，包括：

租户创建模块，用于接收容器云平台发送的租户创建指令，根据所述租户创建指令创建租户空间，并向虚拟私有云管理平台发送租户私有云创建指令，以使所述虚拟私有云管理平台根据所述租户私有云创建指令创建对应的租户私有云，其中，所述租户创建指令是管理员用户发送至所述容器云平台的；

容器部署模块，用于接收所述容器云平台发送的容器部署指令，根据所述容器部署指令创建租户容器，并在将所述租户容器调度至集群节点后，根据所述租户私有云中的网络配置信息对所述租户容器的虚拟网卡进行网络配置。

第五方面，本申请提供一种网络隔离配置系统，包括：容器云平台、容器编排引擎以及虚拟私有云管理平台；

所述容器云平台包括：

租户创建指令接收模块，用于接收管理员用户发送的租户创建指令，并向容器编排引擎发送所述租户创建指令；

容器部署指令接收模块，用于接收租户发送的容器部署指令，并向所述容器编排引擎发送所述容器部署指令；

所述容器编排引擎包括：

租户创建模块，用于接收所述容器云平台发送的租户创建指令，根据所述租户创建指令创建租户空间，并向所述虚拟私有云管理平台发送租户私有云创建指令，以使所述虚拟私有云管理平台根据所述租户私有云创建指令创建对应的租户私有云；

第六方面，本申请提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述的网络隔离配置方法的步骤。

第七方面，本申请提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现所述的网络隔离配置方法的步骤。

由上述技术方案可知，本申请提供一种网络隔离配置方法、装置及系统，通过容器编排引擎根据容器云平台发送的租户创建指令创建租户空间后，根据虚拟私有云管理平台对应创建的租户私有云确定一单独设置的网络配置信息，并在容器编排引擎根据容器云平台发送的容器部署指令创建租户容器后，根据租户私有云中的网络配置信息对该租户容器进行网络配置，由此实现应用在网络层面的隔离，提高了信息的安全性。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例中的网络隔离配置方法的流程示意图之一；

图2为本申请实施例中的网络隔离配置方法的流程示意图之二；

图3为本申请实施例中的网络隔离配置方法的流程示意图之三；

图4为本申请实施例中的网络隔离配置装置的结构图之一；

图5为本申请实施例中的网络隔离配置装置的结构图之二；

图6为本申请实施例中的网络隔离配置系统的结构图；

图7为本申请实施例中的电子设备的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

考虑到现有技术中的Kubernetes原生提供的隔离能力有限，集群内多个应用节点之间还是存在共享IP段、网关等情况，因此存在信息安全风险的问题，本申请提供一种网络隔离配置方法、装置及系统，通过容器编排引擎根据容器云平台发送的租户创建指令创建租户空间后，根据虚拟私有云管理平台对应创建的租户私有云确定一单独设置的网络配置信息，并在容器编排引擎根据容器云平台发送的容器部署指令创建租户容器后，根据租户私有云中的网络配置信息对该租户容器进行网络配置，由此实现应用在网络层面的隔离，提高了信息的安全性。

为了能够有效实现应用在网络层面的隔离，提高信息的安全性，本申请提供一种网络隔离配置方法的实施例，执行主体为容器云平台，参见图1，所述网络隔离配置方法具体包含有如下内容：

步骤S101：接收管理员用户发送的租户创建指令，并向容器编排引擎发送所述租户创建指令，以使所述容器编排引擎根据所述租户创建指令创建租户空间，并向虚拟私有云管理平台发送租户私有云创建指令，以使所述虚拟私有云管理平台根据所述租户私有云创建指令创建对应的租户私有云。

步骤S102：接收租户发送的容器部署指令，并向所述容器编排引擎发送所述容器部署指令，以使所述容器编排引擎根据所述容器部署指令创建租户容器，并在将所述租户容器调度至集群节点后，根据所述租户私有云中的网络配置信息对所述租户容器的虚拟网卡进行网络配置。

可选的，上述步骤的执行主体可以为一种容器云平台，当管理员用户向容器云平台发送租户创建指令时可以触发一关联动作的发生，具体可以为：容器云平台调用一容器编排引擎(例如Kubernetes)接口创建租户空间，即Kubernetes的命名空间(namespace)。

可选的，容器编排引擎中预先定义有租户自定义资源对象(tenantCRD)与管理控制器组件(tenantController)的对应关系，由此所述容器编排引擎在通过所述管理控制器组件(tenantController)监控到命名空间(namespace)的创建后，通过调用一虚拟私有云管理平台(即VPC管理平台)接口为该租户创建专用VPC(即租户私有云)。

可选的，所述租户自定义资源对象(tenantCRD)中可以保存当前租户的命名空间(namespace)、VPC信息以及用户信息。

可选的，所述租户私有云(即VPC)中可以为租户分配独立的网段、网关等网络配置信息。

在本申请的另一实施例中，管理员用户还可以在容器云平台触发租户销毁指令，容器云平台调用Kubernetes接口删除命名空间(namespace)，管理控制器组件(tenantController)监控到命名空间(namespace)的删除动作后，调用VPC管理平台接口销毁为该租户创建的专用VPC，解除kubernetes命名空间(namespace)与vpc的关联关系。

在本申请的另一实施例中，为了增强租户内的隔离性，本申请还可以在管理员用户在容器云平台下发创建子租户命令时，通过容器云平台调用Kubernetes接口创建子命名空间(subnamespace)，并在容器编排引擎的管理控制器组件(tenantController)监控到子命名空间(subnamespace)创建后，调用VPC管理平台接口为VPC新增子网。

可以理解的是，本实施例中在租户自定义资源对象信息(tenantCRD)中可以保存当前子命名空间(namespace)与新增子网的对应关系。

同理，当管理员用户在容器云平台触发子租户销毁指令后，容器云平台调用Kubernetes接口删除子命名空间(subnamespace)，管理控制器组件(tenantController)监控到子命名空间(subnamespace)的删除动作后，调用VPC管理平台接口销毁VPC中为该子租户创建的网段。

可选的，若租户下存在子租户，管理员用户在容器云平台触发租户销毁指令时可以同步销毁所有子租户及对应的网段。

可选的，容器编排引擎根据容器部署指令创建的租户容器的IP地址与上述租户私有云内的IP地址具有对应关系。

举例来说，租户用户通过容器云管理平台触发部署容器命令后，容器云平台调用kubernetes接口创建租户容器，该租户容器被调度至集群节点后，集群节点上的容器网络接口(CNI)插件为该租户容器绑定虚拟网卡，容器网络接口(CNI)插件还将调用VPC网络接口获取VPC内可分配IP地址信息，并将该IP地址与虚拟网卡绑定，从而完成对租户容器的网络配置。

可选的，若租户容器归属某子命名空间(subnamespace)，则容器网络接口(CNI)插件调用VPC网络接口时获取VPC内与该子命名空间(subnamespace)对应的网段的地址。该步骤的实施需优先在kuberntes集群每个节点上部署启用容器网络接口(CNI)插件。

在本申请的另一实施例中，kubernetes可以实时监控集群中租户容器的动态变化，监控租户容器正常退出或异常退出后，容器网络接口(CNI)插件将租户容器与虚拟网卡解绑，并将IP与虚拟网卡解除绑定，并调用VPC管理平台接口释放申请的IP。

从上述描述可知，本申请实施例提供的网络隔离配置方法，能够通过容器编排引擎根据容器云平台发送的租户创建指令创建租户空间后，根据虚拟私有云管理平台对应创建的租户私有云确定一单独设置的网络配置信息，并在容器编排引擎根据容器云平台发送的容器部署指令创建租户容器后，根据租户私有云中的网络配置信息对该租户容器进行网络配置，由此实现应用在网络层面的隔离，提高了信息的安全性。

为了能够在租户销毁后保障信息安全，在本申请的网络隔离配置方法的一实施例中，还可以具体包含如下内容：

为了能够有效实现应用在网络层面的隔离，提高信息的安全性，本申请提供一种网络隔离配置方法的实施例，执行主体为容器编排引擎，参见图2，所述网络隔离配置方法具体包含有如下内容：

步骤S201：接收容器云平台发送的租户创建指令，根据所述租户创建指令创建租户空间，并向虚拟私有云管理平台发送租户私有云创建指令，以使所述虚拟私有云管理平台根据所述租户私有云创建指令创建对应的租户私有云，其中，所述租户创建指令是管理员用户发送至所述容器云平台的。

步骤S202：接收所述容器云平台发送的容器部署指令，根据所述容器部署指令创建租户容器，并在将所述租户容器调度至集群节点后，根据所述租户私有云中的网络配置信息对所述租户容器的虚拟网卡进行网络配置，其中，所述容器部署指令是租户发送至所述容器云平台的。

为了能够准确创建或销毁租户私有云，在本申请的网络隔离配置方法的一实施例中，还可以具体包含如下内容：

通过管理控制器组件监测所述租户空间是否被创建或被销毁，若是，则向虚拟私有云管理平台发送对应的租户私有云创建指令或租户私有云销毁指令。

可选的，容器编排引擎中预先定义有租户自定义资源对象(tenantCRD)与管理控制器组件(tenantController)的对应关系，由此所述容器编排引擎在通过所述管理控制器组件(tenantController)监控到命名空间(namespace)的创建或销毁指令后，通过调用一虚拟私有云管理平台(即VPC管理平台)接口为该租户创建或销毁专用VPC(即租户私有云)。

为了能够准确为租户容器进行独立的网络配置，在本申请的网络隔离配置方法的一实施例中，参见图3，上述步骤S202还可以具体包含如下内容：

步骤S301：通过所述集群节点的容器网络接口组件为所述租户容器绑定虚拟网卡。

步骤S302：获取所述租户私有云中的网络配置信息，并将所述网络配置信息中的可分配IP地址与所述租户容器的虚拟网卡建立绑定关系。

可选的，租户用户通过容器云管理平台触发部署容器命令后，容器云平台调用kubernetes接口创建租户容器，该租户容器被调度至集群节点后，集群节点上的容器网络接口(CNI)插件为该租户容器绑定虚拟网卡，容器网络接口(CNI)插件还将调用VPC网络接口获取VPC内可分配IP地址信息，并将该IP地址与虚拟网卡绑定，从而完成对租户容器的网络配置。

为了能够有效实现应用在网络层面的隔离，提高信息的安全性，本申请提供一种用于实现所述网络隔离配置方法的全部或部分内容的网络隔离配置装置的实施例，例如一种容器云平台，参见图4，所述网络隔离配置装置具体包含有如下内容：

租户创建指令接收模块10，用于接收管理员用户发送的租户创建指令，并向容器编排引擎发送所述租户创建指令，以使所述容器编排引擎根据所述租户创建指令创建租户空间，并向虚拟私有云管理平台发送租户私有云创建指令，以使所述虚拟私有云管理平台根据所述租户私有云创建指令创建对应的租户私有云。

容器部署指令接收模块20，用于接收租户发送的容器部署指令，并向所述容器编排引擎发送所述容器部署指令，以使所述容器编排引擎根据所述容器部署指令创建租户容器，并在将所述租户容器调度至集群节点后，根据所述租户私有云中的网络配置信息对所述租户容器的虚拟网卡进行网络配置。

从上述描述可知，本申请实施例提供的网络隔离配置装置，能够通过容器编排引擎根据容器云平台发送的租户创建指令创建租户空间后，根据虚拟私有云管理平台对应创建的租户私有云确定一单独设置的网络配置信息，并在容器编排引擎根据容器云平台发送的容器部署指令创建租户容器后，根据租户私有云中的网络配置信息对该租户容器进行网络配置，由此实现应用在网络层面的隔离，提高了信息的安全性。

为了能够有效实现应用在网络层面的隔离，提高信息的安全性，本申请提供一种用于实现所述网络隔离配置方法的全部或部分内容的网络隔离配置装置的实施例，例如一种容器编排引擎，参见图5，所述网络隔离配置装置具体包含有如下内容：

租户创建模块30，用于接收容器云平台发送的租户创建指令，根据所述租户创建指令创建租户空间，并向虚拟私有云管理平台发送租户私有云创建指令，以使所述虚拟私有云管理平台根据所述租户私有云创建指令创建对应的租户私有云，其中，所述租户创建指令是管理员用户发送至所述容器云平台的。

容器部署模块40，用于接收所述容器云平台发送的容器部署指令，根据所述容器部署指令创建租户容器，并在将所述租户容器调度至集群节点后，根据所述租户私有云中的网络配置信息对所述租户容器的虚拟网卡进行网络配置。

为了更进一步说明本方案，本申请还提供一种应用上述网络隔离配置装置实现网络隔离配置方法的网络隔离配置系统的实例，参见图6，具体包含有如下内容：

容器云平台、容器编排引擎以及虚拟私有云管理平台。

所述容器云平台包括：

租户创建指令接收模块10，用于接收管理员用户发送的租户创建指令，并向容器编排引擎发送所述租户创建指令。

容器部署指令接收模块20，用于接收租户发送的容器部署指令，并向所述容器编排引擎发送所述容器部署指令。

所述容器编排引擎包括：

租户创建模块30，用于接收所述容器云平台发送的租户创建指令，根据所述租户创建指令创建租户空间，并向所述虚拟私有云管理平台发送租户私有云创建指令，以使所述虚拟私有云管理平台根据所述租户私有云创建指令创建对应的租户私有云。

可选的，所述容器云管理平台用于接收租户创建/销毁指令后，调用kubernetes接口创建或删除命名空间(namespace)，或接收容器部署指令后，调用kubernetes接口创建或删除容器pod。

可选的，所述容器编排引擎用于在kubernetes原生组件的基础上增加部署租户自定义资源对象(tenantCRD)及对应的管理控制器组件tenantController，该租户自定义资源对象(tenantCRD)管理租户信息及对应的VPC信息。在kubernetes原生组件的基础上为每个节点增加部署容器网络接口(CNI)插件，该插件为容器pod分配虚拟网卡，并调用VPC管理模块获取IP地址，并将ip与虚拟网卡绑定。

可选的，所述虚拟私有云管理平台用于提供接口供调用创建及删除VPC信息，管理VPC中网段信息，VPC中包含分配的网段及网段等信息。

从硬件层面来说，为了能够有效实现应用在网络层面的隔离，提高信息的安全性，本申请提供一种用于实现所述网络隔离配置方法中的全部或部分内容的电子设备的实施例，所述电子设备具体包含有如下内容：

处理器(processor)、存储器(memory)、通信接口(Communications Interface)和总线；其中，所述处理器、存储器、通信接口通过所述总线完成相互间的通信；所述通信接口用于实现网络隔离配置装置与核心业务系统、用户终端以及相关数据库等相关设备之间的信息传输；该逻辑控制器可以是台式计算机、平板电脑及移动终端等，本实施例不限于此。在本实施例中，该逻辑控制器可以参照实施例中的网络隔离配置方法的实施例，以及网络隔离配置装置的实施例进行实施，其内容被合并于此，重复之处不再赘述。

可以理解的是，所述用户终端可以包括智能手机、平板电子设备、网络机顶盒、便携式计算机、台式电脑、个人数字助理(PDA)、车载设备、智能穿戴设备等。其中，所述智能穿戴设备可以包括智能眼镜、智能手表、智能手环等。

在实际应用中，网络隔离配置方法的部分可以在如上述内容所述的电子设备侧执行，也可以所有的操作都在所述客户端设备中完成。具体可以根据所述客户端设备的处理能力，以及用户使用场景的限制等进行选择。本申请对此不作限定。若所有的操作都在所述客户端设备中完成，所述客户端设备还可以包括处理器。

上述的客户端设备可以具有通信模块(即通信单元)，可以与远程的服务器进行通信连接，实现与所述服务器的数据传输。所述服务器可以包括任务调度中心一侧的服务器，其他的实施场景中也可以包括中间平台的服务器，例如与任务调度中心服务器有通信链接的第三方服务器平台的服务器。所述的服务器可以包括单台计算机设备，也可以包括多个服务器组成的服务器集群，或者分布式装置的服务器结构。

图7为本申请实施例的电子设备9600的系统构成的示意框图。如图7所示，该电子设备9600可以包括中央处理器9100和存储器9140；存储器9140耦合到中央处理器9100。值得注意的是，该图7是示例性的；还可以使用其他类型的结构，来补充或代替该结构，以实现电信功能或其他功能。

一实施例中，网络隔离配置方法功能可以被集成到中央处理器9100中。其中，中央处理器9100可以被配置为进行如下控制：

从上述描述可知，本申请实施例提供的电子设备，通过容器编排引擎根据容器云平台发送的租户创建指令创建租户空间后，根据虚拟私有云管理平台对应创建的租户私有云确定一单独设置的网络配置信息，并在容器编排引擎根据容器云平台发送的容器部署指令创建租户容器后，根据租户私有云中的网络配置信息对该租户容器进行网络配置，由此实现应用在网络层面的隔离，提高了信息的安全性。

在另一个实施方式中，网络隔离配置装置可以与中央处理器9100分开配置，例如可以将网络隔离配置装置配置为与中央处理器9100连接的芯片，通过中央处理器的控制来实现网络隔离配置方法功能。

如图7所示，该电子设备9600还可以包括：通信模块9110、输入单元9120、音频处理器9130、显示器9160、电源9170。值得注意的是，电子设备9600也并不是必须要包括图7中所示的所有部件；此外，电子设备9600还可以包括图7中没有示出的部件，可以参考现有技术。

如图7所示，中央处理器9100有时也称为控制器或操作控件，可以包括微处理器或其他处理器装置和/或逻辑装置，该中央处理器9100接收输入并控制电子设备9600的各个部件的操作。

其中，存储器9140，例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息，此外还可存储执行有关信息的程序。并且中央处理器9100可执行该存储器9140存储的该程序，以实现信息存储或处理等。

输入单元9120向中央处理器9100提供输入。该输入单元9120例如为按键或触摸输入装置。电源9170用于向电子设备9600提供电力。显示器9160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器，但并不限于此。

该存储器9140可以是固态存储器，例如，只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器，其即使在断电时也保存信息，可被选择性地擦除且设有更多数据，该存储器的示例有时被称为EPROM等。存储器9140还可以是某种其它类型的装置。存储器9140包括缓冲存储器9141(有时被称为缓冲器)。存储器9140可以包括应用/功能存储部9142，该应用/功能存储部9142用于存储应用程序和功能程序或用于通过中央处理器9100执行电子设备9600的操作的流程。

存储器9140还可以包括数据存储部9143，该数据存储部9143用于存储数据，例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器9140的驱动程序存储部9144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。

通信模块9110即为经由天线9111发送和接收信号的发送机/接收机9110。通信模块(发送机/接收机)9110耦合到中央处理器9100，以提供输入信号和接收输出信号，这可以和常规移动通信终端的情况相同。

基于不同的通信技术，在同一电子设备中，可以设置有多个通信模块9110，如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)9110还经由音频处理器9130耦合到扬声器9131和麦克风9132，以经由扬声器9131提供音频输出，并接收来自麦克风9132的音频输入，从而实现通常的电信功能。音频处理器9130可以包括任何合适的缓冲器、解码器、放大器等。另外，音频处理器9130还耦合到中央处理器9100，从而使得可以通过麦克风9132能够在本机上录音，且使得可以通过扬声器9131来播放本机上存储的声音。

本申请的实施例还提供能够实现上述实施例中的执行主体为服务器或客户端的网络隔离配置方法中全部步骤的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中的执行主体为服务器或客户端的网络隔离配置方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述步骤：

从上述描述可知，本申请实施例提供的计算机可读存储介质，通过容器编排引擎根据容器云平台发送的租户创建指令创建租户空间后，根据虚拟私有云管理平台对应创建的租户私有云确定一单独设置的网络配置信息，并在容器编排引擎根据容器云平台发送的容器部署指令创建租户容器后，根据租户私有云中的网络配置信息对该租户容器进行网络配置，由此实现应用在网络层面的隔离，提高了信息的安全性。

本领域内的技术人员应明白，本发明的实施例可提供为方法、装置、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
专利发明人：袁晓阳;孙政清;蔡中原;白佳乐;
专利申请人：中国工商银行股份有限公司;

上一篇：一种攻击行为的识别方法及装置
下一篇：一种阿加曲班原料药或制剂中N-亚硝基二甲胺、N-亚硝基二乙胺的分析方法