Warden多租户网络隔离设计与实现

作     者：赖春彬 

作者单位：浙江大学 

学位级别：硕士

导师姓名：黄忠东

授予年度：2016年

学科分类：08[工学] 080402[工学-测试计量技术及仪器] 0804[工学-仪器科学与技术] 

主      题：容器 多租户 Warden VLAN 带宽分配 网络隔离 

摘      要：近年来云计算不断发展,生态圈趋于成熟,云计算被越来越多的企业所接受。容器技术很早就已经出现,但是未受到足够的重视,近几年随着以Docker, LXC, Warden为代表的容器技术在资源利用上优势,越来越多的企业开始在在生产环境中使用容器技术。容器技术提供资源限制以及资源隔离,但是在资源隔离方面内核仅仅提供PID, NETWORK, IPC, UTS, MOUNT, USER等六种资源隔离,要做到安全使用还是存在一定差距。本文从Warden源码开始,从Warden服务端,客户端,通信协议三方面对Warden的设计与实现进行分析。从目前Warden网络架构出发,分析目前Warden容器存在缺陷,指出Warden不支持多租户网络隔离以及容器之间通信方式局限等问题。从路由,隧道,桥接三种方式分析跨宿主机连通方案,并分析其优缺点,最终选择桥接作为跨宿主机连通方案。采用VLAN技术进行容器网络隔离,分析新版Warden引入租户网关之后存在的问题,采用Iptables实现网关隔离。为给容器提供全局IP地址,引入IP地址分配,介绍IP地址分配器实现,最后介绍带宽分配算法的设计与实现。对Warden进行功能测试以及性能测试,验证多租户隔离效果与性能。