访问控制方法及装置的制造方法
【专利摘要】本发明实施例提供一种访问控制方法及装置。该方法包括:接收源Docker容器发送的访问请求;建立中继模块与所述目标Docker容器的关联关系;将所述中继模块的公网地址发送给所述源Docker容器,以使所述源Docker容器通过所述中继模块与所述标Docker容器进行通信。本发明实施例即使目标Docker容器发生了迁移,从一个Docker服务器迁移到了另一个Docker服务器,源Docker容器均可通过中继模块转发发送给目标Docker容器的报文,保证了Docker容器之间通信的可靠性。
【专利说明】
访问控制方法及装置
技术领域
[0001]本发明实施例涉及通信技术领域,尤其涉及一种访问控制方法及装置。
【背景技术】
[0002]Docker是一个开源的应用容器引擎,在物理主机上安装Docker后,可在Docker的基础上承载多个容器,多个容器之间相互隔离,多个容器共享物理主机的操作系统,各容器可放置并执行不同的应用程序。
[0003]将安装有Docker容器的物理主机称为Docker服务器,例如Docker容器I在Docker服务器I中,Docker容器2在Docker服务器2中,当Docker容器I作为客户端需要访问Docker容器2时,Docker容器I创建请求报文,该请求报文的源IP地址是Docker服务器I的IP地址,目的IP地址是Docker服务器2的IP地址。
[0004]但是,当Docker容器2从Docker服务器2迀移到其他Docker服务器后,Docker容器I将无法与Docker容器2进行通信,降低了 Docker容器之间通信的可靠性。
【发明内容】
[0005]本发明实施例提供一种访问控制方法及装置,以保证Docker容器之间通信的可靠性。
[0006]本发明实施例的一个方面是提供一种访问控制方法,包括:
[0007]接收源Docker容器发送的访问请求,所述访问请求包括目标Docker容器的私网地址;
[0008]建立中继模块与所述目标Docker容器的关联关系,所述关联关系包括所述中继模块的公网地址和所述目标Docker容器的私网地址;
[0009]将所述中继模块的公网地址发送给所述源Docker容器,以使所述源Docker容器通过所述中继模块与所述标Docker容器进行通信。
[0010]本发明实施例的另一个方面是提供一种访问控制装置,包括:
[0011]接收模块,用于接收源Docker容器发送的访问请求,所述访问请求包括目标Docker容器的私网地址;
[0012]关联关系建立模块,用于建立中继模块与所述目标Docker容器的关联关系,所述关联关系包括所述中继模块的公网地址和所述目标Docker容器的私网地址;
[0013]发送模块,用于将所述中继模块的公网地址发送给所述源Docker容器,以使所述源Docker容器通过所述中继模块与所述标Docker容器进行通信。
[0014]本发明实施例提供的访问控制方法及装置,中继模块建立其与目标Docker容器的关联关系,关联关系包括中继模块的公网地址和目标Docker容器的私网地址,中继模块将中继模块的公网地址发送给源Docker容器,以便源Docker容器需要和目标Docker容器通信时,将报文发送给中继模块,由中继模块将该报文转发给目标Docker容器,实现了源Docker容器和目标Docker容器之间的通信,即使目标Docker容器发生了迀移,从一个Docker服务器迀移到了另一个Docker服务器,源Docker容器均可通过中继模块转发发送给目标Docker容器的报文,保证了 Docker容器之间通信的可靠性。
【附图说明】
[0015]图1为本发明实施例提供的访问控制方法流程图;
[0016]图2为本发明实施例提供的访问控制方法适用的网络结构图;
[0017]图3为本发明另一实施例提供的访问控制方法流程图;
[0018]图4为本发明另一实施例提供的访问控制方法流程图;
[0019]图5为本发明实施例提供的访问控制装置的结构图;
[0020]图6为本发明另一实施例提供的访问控制装置的结构图。
【具体实施方式】
[0021]图1为本发明实施例提供的访问控制方法流程图;图2为本发明实施例提供的访问控制方法适用的网络结构图。本发明实施例针对Docker容器2从Docker服务器2迀移到其他Docker服务器后,Docker容器I将无法与Docker容器2进行通信,降低了Docker容器之间通信的可靠性,提供了访问控制方法,该方法具体步骤如下:
[0022]步骤SlOl、接收源Docker容器发送的访问请求,所述访问请求包括目标Docker容器的私网地址;
[0023]如图2所不,Docker容器20位于Docker服务器10 ,Docker容器21位于Docker服务器
Ilo
[0024]本发明实施例中,Docker容器20与Docker容器21进行通信,例如Docker容器20是源Docker容器,Docker容器21是目标Docker容器,Docker容器20的私网IP地址是
172.0.0.1 ,Docker容器20的公网IP地址是202.0.0.1 ,Docker容器20的公网端口号是1234,Docker容器21的私网IP地址是172.0.0.2, Docker容器21的私网端口号是80,Docker容器21的公网IP地址是202.0.0.2 ,Docker容器21的公网端口号是5678。
[0025]编排器40接收用户的设置信息,该设置信息用于Docker容器20与Docker容器21进行通信,该设置信息包括Docker容器20的私网地址、Docker容器21的私网地址、以及Docker容器21的私网端口号是80,表示Docker容器20通过Docker容器21的私网端口号80与Docker容器21进行通信。
[0026]中继模块30用于根据用户在编排器40上配置的设置信息,建立Docker容器20与Docker容器21之间的通信。中继模块30Docker容器20发送的访问请求,所述访问请求包括Docker容器21的私网地址。
[0027]步骤S102、建立中继模块与所述目标Docker容器的关联关系,所述关联关系包括所述中继模块的公网地址和所述目标Docker容器的私网地址;
[0028]中继模块30的IP地址是202.1.1.1,中继模块30检测并选定内部的空闲端口,例如5555,在本实施例中,中继模块的公网地址包括公网IP地址202.1.1.1和公网端口号5555,目标Docker容器的私网地址包括目标Docker容器的私网IP地址如172.0.0.1和私网端口号如80,中继模块30建立中继模块和目标Docker容器即Docker容器21的关联关系,该关联关系包括202.1.1.1: 5555172.0.0.1: 80 的映射关系。
[0029]步骤S103、将所述中继模块的公网地址发送给所述源Docker容器,以使所述源Docker容器通过所述中继模块与所述标Docker容器进行通信。
[0030]中继模块30将中继模块的公网地址即202.1.1.1: 5555发送给源Docker容器即Docker容器20,当Docker容器20需要和Docker容器2 I通信时,Docker容器20根据202.1.1.1:5555,向中继模块30发送报文,中继模块30将该报文转发给Docker容器21,以实现Docker容器20和Docker容器21的通信。
[0031]本实施例中,中继模块建立其与目标Docker容器的关联关系,关联关系包括中继模块的公网地址和目标Docker容器的私网地址,中继模块将中继模块的公网地址发送给源Docker容器,以便源Docker容器需要和目标Docker容器通信时,将报文发送给中继模块,由中继模块将该报文转发给目标Docker容器,实现了源Docker容器和目标Docker容器之间的通信,即使目标Docker容器发生了迀移,从一个Docker服务器迀移到了另一个Docker服务器,源Docker容器均可通过中继模块转发发送给目标Docker容器的报文,保证了Docker容器之间通信的可靠性。
[0032]图3为本发明另一实施例提供的访问控制方法流程图。如图3所示,本发明实施例提供的访问控制方法的具体步骤如下:
[0033]步骤S301、接收源Docker容器发送的访问请求,所述访问请求包括目标Docker容器的私网地址;
[0034]步骤S302、建立中继模块与所述目标Docker容器的关联关系,所述关联关系包括所述中继模块的公网地址和所述目标Docker容器的私网地址;
[0035]步骤S301与步骤S302分别与步骤SlOl和步骤S102—致,具体方法此处不再赘述。
[0036]步骤S303、根据所述目标Docker容器的私网地址,获取所述目标Docker容器的公网地址;
[0037]具体的,根据所述目标Docker容器的私网地址查询列表,所述列表包括Docker容器的私网地址与所述Docker容器的公网地址的对应关系;从所述列表中获取与所述目标Docker容器的私网地址对应的所述目标Docker容器的公网地址。
[0038]本实施例中,目标Docker容器是Docker容器21;中继模块30中预先存储有列表,该列表中包括Docker容器的私网地址与该Docker容器的公网地址的对应关系,中继模块30根据Docker容器21的私网地址172.0.0.1: 80查询该列表得到Docker容器21的公网地址
202.0.0.2:5678ο
[0039]步骤S304、根据所述目标Docker容器的公网地址与所述目标Docker容器进行通?目;
[0040]中继模块30根据Docker容器21的公网地址202.0.0.2: 5678与Docker容器21进行通信。
[0041]步骤S305、将所述中继模块的公网地址发送给所述源Docker容器,以使所述源Docker容器通过所述中继模块与所述标Docker容器进行通信。
[0042]步骤S305与步骤S103—致,具体方法此处不再赘述。
[0043]本实施例,中继模块根据目标Docker容器的私网地址可获取到目标Docker容器的公网地址,根据目标Docker容器的公网地址可与目标Docker容器进行通信,当目标Docker容器从一个Docker服务器迀移到另一个Docker服务器后,另一个Docker服务器主动向中继模块上报目标Docker容器的公网地址,保证中继模块可获取到目标Docker容器的公网地址,提高了中继模块和目标Docker容器之间通信的可靠性。
[0044]图4为本发明另一实施例提供的访问控制方法流程图。如图4所示,本发明实施例提供的访问控制方法的具体步骤如下:
[0045]步骤S401、接收源Docker容器发送的访问请求,所述访问请求包括目标Docker容器的私网地址;
[0046]步骤S402、建立中继模块与所述目标Docker容器的关联关系,所述关联关系包括所述中继模块的公网地址和所述目标Docker容器的私网地址;
[0047]步骤S403、根据所述目标Docker容器的私网地址,获取所述目标Docker容器的公网地址;
[0048]步骤S401-步骤S403分别与步骤S301-步骤S303—致,具体方法此处不再追溯。
[0049]步骤S404、根据所述目标Docker容器的公网地址向所述目标Docker容器发送第一报文,所述第一报文包括所述目标Docker容器的私网地址;
[0050]中继模块30向Docker容器2I发送第一报文,该第一报文的目的IP地址是
202.0.0.2,g的端P号是5678,源IP地址是202.1.1.1,源端P号是5555,该第一报文的内容包括Docker容器21的私网地址172.0.0.1: 80 ,Docker服务器11的公网端口 5678接收到该第一报文后,将该第一报文转发到私网端口80,以便Docker容器21接收到该第一报文。
[0051]步骤S405、接收所述目标Docker容器回复的第二报文,所述第二报文包括所述目标Docker容器的标识信息;
[0052]Docker容器21接收到该报文后,根据202.1.1.1: 5555向中继模块30发送第二报文,该第二报文的目的IP地址是202.1.1.1,目的端口号是5555,源IP地址是202.0.0.2,源端口号是5678,第二报文的内容包括Docker容器21的私网地址172.0.0.1:80,以及Docker容器21的标识信息DB。
[0053]步骤S406、建立所述目标Docker容器的标识信息与所述目标Docker容器的公网地址的关联关系。
[0054]中继模块30建立Docker容器21的标识信息DB与Docker容器2 I的公网地址
202.0.0.2:5678的关联关系,当中继模块30接收到Docker容器20发送的访问请求,且访问请求包括Docker容器21的标识信息DB时,中继模块30将Docker容器21的公网地址
202.0.0.2:5678发送给 Docker 容器 20 ,Docker 容器 20 根据 202.0.0.2: 5678 即可与 Docker 容器21进行通信。
[0055]本实施例,通过中继模块与目标Docker容器进行通信获取目标Docker容器的标识信息,并建立目标Docker容器的标识信息与目标Docker容器的公网地址之间的关联关系,若源Docker容器获知目标Docker容器的标识信息,则可获取到目标Docker容器的公网地址,根据目标Docker容器的公网地址即可实现与目标Docker容器的通信,进一步提高了Docker容器之间通信的可靠性。
[0056]图5为本发明实施例提供的访问控制装置的结构图。本发明实施例提供的访问控制装置可以执行访问控制方法实施例提供的处理流程,如图5所示,访问控制装置50包括接收模块51、关联关系建立模块52和发送模块53,接收模块51用于接收源Docker容器发送的访问请求,所述访问请求包括目标Docker容器的私网地址;关联关系建立模块52用于建立中继模块与所述目标Docker容器的关联关系,所述关联关系包括所述中继模块的公网地址和所述目标Docker容器的私网地址;发送模块53用于将所述中继模块的公网地址发送给所述源Docker容器,以使所述源Docker容器通过所述中继模块与所述标Docker容器进行通
?目O
[0057]本发明实施例提供的访问控制装置可以具体用于执行上述图1所提供的方法实施例,具体功能此处不再赘述。
[0058]本实施例中,中继模块建立其与目标Docker容器的关联关系,关联关系包括中继模块的公网地址和目标Docker容器的私网地址,中继模块将中继模块的公网地址发送给源Docker容器,以便源Docker容器需要和目标Docker容器通信时,将报文发送给中继模块,由中继模块将该报文转发给目标Docker容器,实现了源Docker容器和目标Docker容器之间的通信,即使目标Docker容器发生了迀移,从一个Docker服务器迀移到了另一个Docker服务器,源Docker容器均可通过中继模块转发发送给目标Docker容器的报文,保证了Docker容器之间通信的可靠性。
[0059]图6为本发明另一实施例提供的访问控制装置的结构图。在图5所示实施例的基础上,访问控制装置50还包括获取模块54,获取模块54用于根据所述目标Docker容器的私网地址,获取所述目标Docker容器的公网地址;发送模块53还用于根据所述目标Docker容器的公网地址与所述目标Docker容器进行通信。
[0060]获取模块54包括查询单元541、获取单元542,查询单元541用于根据所述目标Docker容器的私网地址查询列表,所述列表包括Docker容器的私网地址与所述Docker容器的公网地址的对应关系;获取单元542用于从所述列表中获取与所述目标Docker容器的私网地址对应的所述目标Docker容器的公网地址。
[0061 ]发送模块53具体用于根据所述目标Docker容器的公网地址向所述目标Docker容器发送第一报文,所述第一报文包括所述目标Docker容器的私网地址;接收模块51具体用于接收所述目标Docker容器回复的第二报文,所述第二报文包括所述目标Docker容器的标识信息。
[0062]关联关系建立模块52还用于建立所述目标Docker容器的标识信息与所述目标Docker容器的公网地址的关联关系。
[0063]本发明实施例提供的访问控制装置可以具体用于执行上述图3、4所提供的方法实施例,具体功能此处不再赘述。
[0064]本实施例,中继模块根据目标Docker容器的私网地址可获取到目标Docker容器的公网地址,根据目标Docker容器的公网地址可与目标Docker容器进行通信,当目标Docker容器从一个Docker服务器迀移到另一个Docker服务器后,另一个Docker服务器主动向中继模块上报目标Docker容器的公网地址,保证中继模块可获取到目标Docker容器的公网地址,提高了中继模块和目标Docker容器之间通信的可靠性;通过中继模块与目标Docker容器进行通信获取目标Docker容器的标识信息,并建立目标Docker容器的标识信息与目标Docker容器的公网地址之间的关联关系,若源Docker容器获知目标Docker容器的标识信息,则可获取到目标Docker容器的公网地址,根据目标Docker容器的公网地址即可实现与目标Docker容器的通信,进一步提高了Docker容器之间通信的可靠性。
[0065]综上所述,本实施例中,中继模块建立其与目标Docker容器的关联关系,关联关系包括中继模块的公网地址和目标Docker容器的私网地址,中继模块将中继模块的公网地址发送给源Docker容器,以便源Docker容器需要和目标Docker容器通信时,将报文发送给中继模块,由中继模块将该报文转发给目标Docker容器,实现了源Docker容器和目标Docker容器之间的通信,即使目标Docker容器发生了迀移,从一个Docker服务器迀移到了另一个Docker服务器,源Docker容器均可通过中继模块转发发送给目标Docker容器的报文,保证了Docker容器之间通信的可靠性;中继模块根据目标Docker容器的私网地址可获取到目标Docker容器的公网地址,根据目标Docker容器的公网地址可与目标Docker容器进行通信,当目标Docker容器从一个Docker服务器迀移到另一个Docker服务器后,另一个Docker服务器主动向中继模块上报目标Docker容器的公网地址,保证中继模块可获取到目标Docker容器的公网地址,提高了中继模块和目标Docker容器之间通信的可靠性;通过中继模块与目标Docker容器进行通信获取目标Docker容器的标识信息,并建立目标Docker容器的标识信息与目标Docker容器的公网地址之间的关联关系,若源Docker容器获知目标Docker容器的标识信息,则可获取到目标Docker容器的公网地址,根据目标Docker容器的公网地址即可实现与目标Docker容器的通信,进一步提高了Docker容器之间通信的可靠性。
[0066]在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0067]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0068]另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
[0069]上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,R0M)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0070]本领域技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0071]最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
【主权项】
1.一种访问控制方法,其特征在于,包括: 接收源Docker容器发送的访问请求,所述访问请求包括目标Docker容器的私网地址; 建立中继模块与所述目标Docker容器的关联关系,所述关联关系包括所述中继模块的公网地址和所述目标Docker容器的私网地址; 将所述中继模块的公网地址发送给所述源Docker容器,以使所述源Docker容器通过所述中继模块与所述标Docker容器进行通信。2.根据权利要求1所述的方法,其特征在于,所述建立中继模块与所述目标Docker容器的私网地址的关联关系之后,还包括: 根据所述目标Docker容器的私网地址,获取所述目标Docker容器的公网地址; 根据所述目标Docker容器的公网地址与所述目标Docker容器进行通信。3.根据权利要求2所述的方法,其特征在于,所述根据所述目标Docker容器的私网地址,获取所述目标Docker容器的公网地址,包括: 根据所述目标Docker容器的私网地址查询列表,所述列表包括Docker容器的私网地址与所述Docker容器的公网地址的对应关系; 从所述列表中获取与所述目标Docker容器的私网地址对应的所述目标Docker容器的公网地址。4.根据权利要求3所述的方法,其特征在于,所述根据所述目标Docker容器的公网地址与所述目标Docker容器进行通信,包括: 根据所述目标Docker容器的公网地址向所述目标Docker容器发送第一报文,所述第一报文包括所述目标Docker容器的私网地址; 接收所述目标Docker容器回复的第二报文,所述第二报文包括所述目标Docker容器的标识信息。5.根据权利要求4所述的方法,其特征在于,所述接收所述目标Docker容器回复的第二报文之后,还包括: 建立所述目标Docker容器的标识信息与所述目标Docker容器的公网地址的关联关系。6.一种访问控制装置,其特征在于,包括: 接收模块,用于接收源Docker容器发送的访问请求,所述访问请求包括目标Docker容器的私网地址; 关联关系建立模块,用于建立中继模块与所述目标Docker容器的关联关系,所述关联关系包括所述中继模块的公网地址和所述目标Docker容器的私网地址; 发送模块,用于将所述中继模块的公网地址发送给所述源Docker容器,以使所述源Docker容器通过所述中继模块与所述标Docker容器进行通信。7.根据权利要求6所述的访问控制装置,其特征在于,还包括: 获取模块,用于根据所述目标Docker容器的私网地址,获取所述目标Docker容器的公网地址; 所述发送模块还用于根据所述目标Docker容器的公网地址与所述目标Docker容器进行通信。8.根据权利要求7所述的访问控制装置,其特征在于,所述获取模块包括: 查询单元,用于根据所述目标Docker容器的私网地址查询列表,所述列表包括Docker容器的私网地址与所述Docker容器的公网地址的对应关系; 获取单元,用于从所述列表中获取与所述目标Docker容器的私网地址对应的所述目标Docker容器的公网地址。9.根据权利要求8所述的访问控制装置,其特征在于,所述发送模块具体用于根据所述目标Docker容器的公网地址向所述目标Docker容器发送第一报文,所述第一报文包括所述目标Docker容器的私网地址; 所述接收模块具体用于接收所述目标Docker容器回复的第二报文,所述第二报文包括所述目标Docker容器的标识信息。10.根据权利要求9所述的访问控制装置,其特征在于,所述关联关系建立模块还用于建立所述目标Docker容器的标识信息与所述目标Docker容器的公网地址的关联关系。
【文档编号】H04L29/12GK105978902SQ201610500459
【公开日】2016年9月28日
【申请日】2016年6月29日
【发明人】田新雪, 马书惠
【申请人】中国联合网络通信集团有限公司