(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111671189.3 (22)申请日 2021.12.31 (71)申请人 中电福富信息科技有限公司 地址 350000 福建省福州市 鼓楼区五凤街 道软件大道89号12号楼 (72)发明人 胡海碧　黄雷　卓佐铃　 (74)专利代理 机构 福州君诚知识产权代理有限 公司 35211 代理人 卢晓莉 (51)Int.Cl. H04L 41/0894(2022.01) H04L 41/22(2022.01) H04L 9/40(2022.01) H04L 67/1097(2022.01) H04L 67/60(2022.01) (54)发明名称 一种基于Kubernetes实现云平台租户级网 络策略配 置的方法及其系统 (57)摘要 本发明涉及一种基于Kubernetes实现云平 台租户级网络策略配置的方法， 其包括以下步 骤： S1、 设置租户网络规则， 所述网络规则包括所 有人不可访问、 同项目可访问、 所有人可访问， 并 默认同租户的应用可访问的NetworkPolicy， Node节点修改网络规则； S2、 Node节点内创建租 户并配置该租户下应用允许使用网络规则的 NetworkPolicy； S3、 租户下创 建应用， 获取允许 使用网络规则的NetworkPolicy， 选择其中一种 NetworkPolicy， 创建Namespace并在对应的 Namespace下创建允许访问应用端口的 NetworkPolicy， 创 建Pod， 采用以上技术方案提 高租户网络策略配置的自由度， 根据用户业务需 求对租户下应用网络策略进行个性 化配置。 权利要求书1页 说明书3页 附图1页 CN 114338405 A 2022.04.12 CN 114338405 A 1.一种基于Kubernetes实现云平台租户级网络策略配置的方法， 其特征在于： 其包括 以下步骤： S1、 设置租户网络规则， 所述网络规则包括所有人不可访问、 同项目可访问、 所有人可 访问， 并默认同租户的应用可访问的Netw orkPolicy， Node节点修改网络规则； S2、 Node节点内创建租户并配置该租户下应用允许使用网络规则的Netw orkPolicy； S3、 租户下创建应用， 获取允许使用网络规则的NetworkPolicy， 选择其中一种 NetworkPolicy， 创建  Namespace并在对应的Namespace下创建允许访问应用端口的 NetworkPolicy， 创建Pod。 2.根据权利要求1所述的一种实现云平台租户级 网络策略配置的方法， 其特征在于： 步 骤S1中包括： S1‑1、 通过Kubect发起创建NetworkPolicy的请求至Kubernetes  Master， Kubernetes   Master接收到请求后将NetworkPolicy的信息写入到Kubernetes的etcd中， 创建 NetworkPolicy资源； S1‑2、 Calico的Policy ‑Controller监听NetworkPolicy资源， 将监听到的 NetworkPolicy资源写入Cal ico的etcd中； S1‑3、 分布在Node节点上的Calico ‑felix则监听Calico的etcd中NetworkP olicy资源， 根据Netw orkPolicy资源调用iptables修改Netw orkPolicy。 3.一种基于Kubernetes实现云平台租户级网络策略配置的系统， 应用权利要求1或2所 述的一种实现云平台租户级网络策略配置的方法， 其特 征在于： 其包括： 前台界面模块， 用于提供创建租户和应用接口， 用户选择网络规则的NetworkPolicy并 通知租户管理模块创建租户， 用户选择租户允许使用网络规则的NetworkPolicy中一种 NetworkPolicy通知项目管理创建应用； 租户管理模块， 根据前台界面模块选择的网络规则的NetworkPolicy创建租户， 创建成 功后返回租户创建成功消息 至前台界面； 项目管理模块， 根据前台界面模块选择的租户允许使用网络规则的NetworkPolicy中 的一种NetworkPolicy创建Namespace和NetworkPolicy， 通知应用管理模块创建pod； 接收 应用管理模块返回应用创建成功消息， 并将应用创建成功消息返回给 前台界面； 应用管理模块， 创建Pod， 创建成功后返回应用创建成功消息 至项目管理模块。权　利　要　求　书 1/1 页 2 CN 114338405 A 2一种基于Kuber netes实现云 平台租户级网 络策略配置的方 法 及其系统 技术领域 [0001]本发明涉及云计算领域， 具体涉及 了一种基于Kubernet es实现云平台租户级网络 策略配置的方法及其系统。 背景技术 [0002]Namespace是对一组资源和对象的抽象集合， 比如可以用来将系统内部的对象划 分为不同的项目组或用户组。 常见的pods,  services,  replication  controllers和 deployments等都是属于某一个namespace的。 （引自官方Kubernetes中文文档） Namespace 常用实现多租户资源隔离， 但无法实现网络隔离。 目前相关技术通过Net workPolicy实现基 于策略的网络控制， 在多租户的生产环境下， 可以控制Namespace间的网络隔离， 可以管理 多租户下Kubernetes集群网络。 基于安全性考虑， 云平台提供基于NetworkPolicy的网络隔 离策略， 支持按租户级网络隔离， 即不同租户的应用不相通， 租户内的应用网络互通。 无手 段或方法根据业务需要自定义租户内应用的网络规则， 如所有人可访问应用或所有人都不 可访问应用。 发明内容 [0003]针对现有技术的不足， 本发明提供一种提高租户网络策略配置 的自由度， 根据用 户业务需求对租户下应用网络策略进行个性化配置的基于Kub ernetes实现云平台租户级 网络策略配置的方法。 [0004]本发明的一种基于Kubernet es实现云平台租户级网络策略配置的方法， 采用以下 技术方案： 其包括以下步骤： S1、 设置租户网络规则， 所述网络规则包括所有人不可访问、 同项目可访问、 所有 人可访问， 并默认同租户的应用可访问的Netw orkPolicy， Node节点修改网络规则； S2、 Node节点内创建租 户并配置该租 户下应用允许使用网络规则的 NetworkPolicy； S3、 租户下创建应用， 获取允许使用网络规则的NetworkPolicy， 选择其中一种 NetworkPolicy， 创建  Namespace并在对应的Namespace下创建允许访问应用端口的 NetworkPolicy， 创建Pod。 [0005]进一步， 步骤S1中包括： S1‑1、 通过Kubect发起创建NetworkPolicy的请求至Kubernetes  Master， Kubernetes  Master接收到请求后将NetworkPolicy的信息写入到 Kubernetes的et cd中， 创 建NetworkPolicy资源； S1‑2、 Calico的Policy ‑Controller监听NetworkPolicy资源， 将监听到的 NetworkPolicy资源写入Cal ico的etcd中； S1‑3、 分布在Node节点上的Calico ‑felix则监听Calico的etcd中NetworkPolicy说　明　书 1/3 页 3 CN 114338405 A 3