(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210746639.9 (22)申请日 2022.06.28 (71)申请人 绿盟科技 集团股份有限公司 地址 100089 北京市海淀区北洼路4 号益泰 大厦5层 申请人 北京神州绿盟科技有限公司 (72)发明人 张万兴　杜霖　宋建霖　凌杰　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 专利代理师 卢亚培 (51)Int.Cl. G06F 9/455(2006.01) G06F 9/50(2006.01) (54)发明名称 容器的网络隔离控制系统、 方法、 电子设备 及存储介质 (57)摘要 本申请公开了容器的网络隔离控制系统、 方 法、 电子设备及存储介质， 容器的网络隔离控制 系统包括中央控制节点和边缘节 点， 各个边缘节 点上设置有边缘节点控制容器， 每一边缘节点上 设置有至少两个Pod， 其中一个Pod上运行边缘节 点控制容器， 其他各Pod上运行有至少一个业务 容器， 其中： 中央控制节点， 用于获取网络配置策 略， 针对每一条网络配置策略， 将网络配置策略 下发至其对应的第一目标业务所属的边缘节点 上的边缘节点控制容器； 边缘节点， 用于通过其 上运行的边缘节点控制容器解析接收的网络配 置策略对应的第一目标业务， 并将网络配置策略 下发至第一目标业务对应的Pod网络命名空间， 以在该Pod网络命名空间执 行网络配置策略。 权利要求书2页 说明书15页 附图3页 CN 115048188 A 2022.09.13 CN 115048188 A 1.一种容器的网络隔离控制系统， 其特征在于， 包括中央控制节点和边缘节点， 各个边 缘节点上设置有边缘节点控制容器， 每一边缘节点上设置有至少两个Pod， 其中一个Pod上 运行边缘节点控制容器， 其 他各Pod上运行有至少一个业 务容器， 其中： 所述中央控制节点， 用于获取网络配置策略， 针对每一条网络配置策略， 将所述网络配 置策略下发至其对应的第一目标业 务所属的边 缘节点上的边 缘节点控制容器； 所述边缘节点， 用于通过其上运行的边缘节点控制容器解析接收的所述网络配置策略 对应的所述第一目标业务， 并将所述网络配置策略下发至所述第一目标业务对应的Pod网 络命名空间， 以在所述第一目标业 务对应的Pod网络命名空间执 行所述网络配置策略。 2.如权利要求1所述的系统， 其特 征在于， 所述边缘节点， 具体用于通过其上运行的边缘节点控制容器根据存储的业务标识与 Pod网络命名空间标识的对应关系确定所述第一目标业务对应的第一Pod网络命名空间标 识， 并将所述网络配置策略下发至所述第一Pod网络命名空间标识对应的Pod网络命名空 间， 以在所述第一Pod网络命名空间标识对应的Pod网络命名空间执 行所述网络配置策略。 3.如权利要求1或2所述的系统， 其特 征在于， 所述中央控制节点， 还用于若确定任一网络配置策略更新时， 则向更新的网络配置策 略对应的第二目标业务所属的边缘节点上的边缘节点控制容器发送策略更新指示消息， 所 述策略更新指示消息中携带有所述更新的网络配置策略； 所述边缘节点， 还用于通过其上运行的边缘节点控制容器解析接收的所述更新的网络 配置策略对应的第二 目标业务， 根据所述业务标识与Pod网络命名空间标识的对应关系确 定所述第二 目标业务标识对应的第二Pod网络命名空间标识， 并将所述更新的网络配置策 略下发至所述第二Pod网络命名空间标识对应的Pod网络命名空间进行 策略更新。 4.如权利要求3所述的系统， 其特 征在于， 所述中央控制节点， 还用于若确定所述任一网络配置策略更新时， 则将所述更新的网 络配置策略替换 更新前的网络配置策略。 5.如权利要求 4所述的系统， 其特 征在于， 所述中央控制节点， 还用于若确定监测到任意边缘节点的Pod中的业务容器资源属性 更新时， 则将所述任意边缘节点的Pod中的业务容器对应的业务相应的当前网络配置策略 下发至所述任意 边缘节点上的边 缘节点控制容器； 所述任意边缘节点， 用于通过其上运行的边缘节点控制容器将接收的所述当前网络配 置策略下发至资源属性发生更新的业务容器所属的Pod网络命名空间， 按照所述当前网络 配置策略对所述资源属性发生更新的业 务容器执行相应的处 理。 6.如权利要求 4所述的系统， 其特 征在于， 所述边缘节点， 还用于通过其上运行的边缘节点控制容器按照预设时间周期检测所述 边缘节点上的各个Pod网络命名空间的当前执行策略是否与所述中央控制节 点当前存储的 网络配置策略相符， 若确定不相符， 则根据所述中央控制节点当前存储的网络配置策略修 改相应Pod网络命名空间的执 行策略。 7.一种容器的网络隔离控制方法， 其特征在于， 应用于如权利要求1～6任一项所述的 容器的网络隔离控制系统， 所述容器的网络隔离控制系统包括中央控制节点和边缘节点， 各个边缘节 点上设置有边缘节点控制容器， 每一边缘节 点上设置有至少两个Pod， 其中一个权　利　要　求　书 1/2 页 2 CN 115048188 A 2Pod上运行边 缘节点控制容器， 其 他各Pod上运行有至少一个业 务容器， 所述方法， 包括： 所述中央控制节点获取网络配置策略； 针对每一条网络配置策略， 将所述网络配置策略下发至其对应的第 一目标业务所属的 边缘节点上的边缘节 点控制容器， 以由所述边缘节点控制容器解析接收的所述网络配置策 略对应的所述第一目标业务， 并将所述网络配置策略下发至所述第一目标业务对应的Pod 网络命名空间， 以在所述第一目标业 务对应的Pod网络命名空间执 行所述网络配置策略。 8.如权利要求7 所述的方法， 其特 征在于， 还 包括： 若确定任一网络配置策略更新 时， 则向更新的网络配置策略对应的第 二目标业务所属 的边缘节点上的边缘节点控制容器发送策略更新指示消息， 所述策略更新指示消息中携带 有所述更新的网络配置策略， 以使所述边缘节点控制容器解析接收的所述更新的网络配置 策略对应的第二目标业务， 并将所述更新的网络配置策略下发至所述第二目标业务对应的 Pod网络命名空间进行 策略更新。 9.一种容器的网络隔离控制方法， 其特征在于， 应用于如权利要求1～6任一项所述的 容器的网络隔离控制系统， 所述容器的网络隔离控制系统包括中央控制节点和边缘节点， 各个边缘节 点上设置有边缘节点控制容器， 每一边缘节 点上设置有至少两个Pod， 其中一个 Pod上运行边 缘节点控制容器， 其 他各Pod上运行有至少一个业 务容器， 所述方法， 包括： 边缘节点上运行的边缘节点控制容器接收所述中央控制节点下发的网络配置策略， 所 述边缘节点为所述网络配置策略对应的第一目标业 务所属的边 缘节点； 解析所述网络配置策略对应的所述第一目标业 务； 将所述网络配置策略下发至所述第一目标业务对应的Pod网络命名空间， 以在所述第 一目标业 务对应的Pod网络命名空间执 行所述网络配置策略。 10.如权利要求9所述的方法， 其特 征在于， 还 包括： 接收所述中央控制节点发送的策略更新指示消息， 所述策略更新指示消息是所述中央 控制节点确定所述边缘节点上的第二目标业务对应的网络配置策略更新时向所述边缘节 点上运行的所述边缘节点控制容器下发的， 所述策略更新指示消息中携带有 更新的网络配 置策略； 解析所述更新的网络配置策略对应的所述第二目标业 务； 将所述更新的网络配置策略下发至所述第二目标业务对应的Pod网络命名空间进行策 略更新。 11.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求7～10任一项 所 述的容器的网络隔离控制方法。 12.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被处理器 执行时实现如权利要求7～10任一项所述的容器的网络隔离控制方法中的步骤。权　利　要　求　书 2/2 页 3 CN 115048188 A 3