基于容器的安全接入虚拟化

计算机与现代化 ›› 2022, Vol. 0 ›› Issue (09): 106-110.

基于容器的安全接入虚拟化

（1.南瑞集团有限公司（国网电力科学研究院有限公司）,江苏南京210003;
2.南京南瑞信息通信科技有限公司,江苏南京210003）

出版日期:2022-09-22 发布日期:2022-09-22
作者简介:通信作者：纪元（1986—）,男,陕西富平人,高级工程师,硕士,研究方向:网络与信息安全,信息处理，E-mail: jiyuan@sgepri.sgcc.com.cn; 郑卫波（1984—）,男,河南夏邑人,高级工程师,硕士,研究方向:网络与信息安全,密码学,E-mail: zhengweibo@sgepri.sgcc.com.cn; 王梓（1988—）,男,江苏南京人,高级工程师,硕士,研究方向:网络与信息安全,E-mail: wangzi@sgepri.sgcc.com.cn。
基金资助:
南瑞集团有限公司科技项目资助（5246DR200052）

Virtualization of Secure Access Device Based on Container

（1. NARI Group Corporation（State Grid Electric Power Research Institute Co., Ltd.）, Nanjing 210003, China;
2. Nanjing NARI Information & Communication Technology Co., Ltd., Nanjing 210003, China）

Online:2022-09-22 Published:2022-09-22

摘要/Abstract

摘要： 面对电力系统中信息网络、互联网边界海量电力物联网终端的访问需求，针对传统安全接入边界各类装置实现方法资源分配不均、兼容性差、扩展性差以及性能瓶颈等问题，提出一种基于容器的安全接入虚拟化模型。该模型采用DPDK高性能数据包处理框架、成熟容器集群管理框架、服务计算节点编排等关键技术，将数据平面与控制平面完全分离，构建独立的数据虚拟化转发平面，并采用SR-IOV技术实现硬件资源的虚拟化和统一调度管理，将安全接入能力服务化。基于该模型的安全接入装置集群具有高性能、高可用、灵活编排、可扩展性强等优势。实验结果表明，该模型方法能够高效合理利用硬件资源，大幅提升电力系统边界安全接入的效率。

关键词: 虚拟化, 容器, 计算节点, 转发平面, 安全接入

Abstract: Facing the access requirements of massive power Internet of Things terminals at the information network and Internet boundary in power system, aiming at the problems of uneven resource allocation, poor compatibility, poor scalability and performance bottleneck of various devices at the traditional secure access boundary, a secure access virtualization model based on container is proposed, which adopts DPDK high-performance packet processing framework, mature container cluster management framework, service computing node arrangement and other key technologies completely separate the data plane from the control plane, build an independent data virtualization forwarding plane, and use SR-IOV technology to realize the virtualization of hardware resources and unified scheduling management, and service the security access capability. The security access device cluster based on this model has high performance, high availability, flexible arrangement and strong scalability. The experimental results show that the model can make efficient and rational use of hardware resources and greatly improve the efficiency of power system boundary security access.

Key words: virtualization, container, compute node, forwarding plane, secure access

纪元, 郑卫波, 王梓, . 基于容器的安全接入虚拟化[J]. 计算机与现代化, 2022, 0(09): 106-110.

JI Yuan, ZHENG Wei-bo, WANG Zi, . Virtualization of Secure Access Device Based on Container[J]. Computer and Modernization, 2022, 0(09): 106-110.

参考文献

［1］林春. 基于KVM设备虚拟化技术的研究［D］.西安：西安电子科技大学, 2014.
［2］车翔. QEMU-KVM设备虚拟化研究与改进［D］. 成都：成都理工大学, 2012.
［3］ ANDERSON C. Docker［J］. IEEE Software, 2015,32（3）:102-103.
［4］ LI Z, KIHL M, LU Q H, et al. Performance overhead comparison between hypervisor and container based virtualization［C］// 2017 IEEE 31st International Conference on Advanced Information Networking and Applications （AINA）. 2017:955-962.
［5］宋卫平,沈磊,佘文魁. 基于DPDK的虚拟化系统高性能网络模块的研究与实现［J］. 科技创新导报, 2020（20）:125-133.
［6］ SEZER S, SCOTT-HAYWARD S, CHOUHAN P, et al. Are we ready for SDN? Implementation challenges for software-defined networks［J］. IEEE Communications Magazine, 2013,51（7）:36-43.
［7］ KUMAR R, TRIVEDI M C. Networking analysis and performance comparison of kubernetes CNI plugins［M］// Advances in Computer, Communication and Computational Sciences. 2019:99-109.
［8］ HAO Z, WANG B S, DENG W P, et al. Measurement and evaluation for docker container networking［C］// 2017 International Conference on Cyber-Enabled Distributed Computing and Knowledge Discovery （CyberC）. 2017:105.
［9］ BARACH D, LINGUAGLOSSA L, MARION D, et al. High-speed software data plane via vectorized packet processing［J］. IEEE Communications Magazine, 2018,56（12）:97-103.
［10］王煜炜,刘敏,马诚,等. 面向网络功能虚拟化的高性能负载均衡机制［J］. 计算机研究与发展, 2018,55（4）:689-703.
［11］黄云霞,董哲一,孟凡欣. 物联网发展中的安全风险及对策研究［J］. 信息安全与通信保密, 2020（5）:78-84.
［12］KAPOCIUS N. Performance studies of kubernetes networksolutions［C］// 2020 IEEE Open Conference of Electrical, Electronic and Information Sciences （eStream）. 2020:1-6.
［13］张朝昆,崔勇,唐翯翯,等. 软件定义网络（SDN）研究进展［J］. 软件学报, 2015,26（1）:62-81.
［14］高先明,张晓哲,卢泽新,等. 面向虚拟路由器转发平面的改进机制［C］// 第32届中国控制会议. 2013.

［15］NIKOLOUDAKIS Y, MARKAKIS E, MASTORAKIS G, et al. ［IEEE 2017 IEEE conference on network function virtualization and software defined networks （NFV-SDN） - Berlin, Germany（2017.11.6-2017.11.8）］［C］// 2017 IEEE Conference on Network Function Virtualization and Software Defined Networks （NFV-SDN） - An NFV-Powered. 2017:258-263.

［16］QI S, KULKARNI S G, RAMAKRISHNAN K K. Understanding container network interface plugins: Design considerations and performance［C］// 2020 IEEE International Symposium on Local and Metropolitan Area Networks （LANMAN）. 2020. DOI:10.1109/LANMAN49260.2020.9153266.
［17］SUO K, YONG Z, WEI C, et al. An analysis and empirical study of container networks［C］// IEEE INFOCOM 2018-IEEE Conference on Computer Communications. 2018:189-197.
［18］DAVID B. Containers and cloud: From LXC to Docker to Kubernetes［J］. IEEE Cloud Computing, 2014,1（3）.81-84.
［19］EDDINE K D, ABDELMADJID B, HICHAM L. Internet of things security: A top-down survey［J］. Computer Networks, 2018,141:199-221.
［20］VICTOR M, RAFAEL T C, JOSE A B, et al. Characterising resource management performance in kubernetes［J］. Computers and Electrical Engineering, 2018,68:286-297.
［21］GUAN H B, DONG Y Z, MA R H, et al. Performance enhancement for network I/O virtualization with efficient interrupt coalescing and virtual receive side scaling［J］. IEEE Transactions on Parallel and Distributed Systems, 2013,24（6）:1118-1128.
［22］〖JP+1〗HWANG J, RAMAKRISHNAN K, WOOD T. NetVM:High performance and flexible networking using virtualization on commodity platforms［J］. IEEE Transactions on Network and Service Management, 2015,12（1）:34-47.
［23］赵宁,谢淑翠. 基于DPDK的高效数据包捕获技术分析与应用［J］. 计算机工程与科学, 2016,38（11）:2209-2215.
［24］YOUNGKI P, HYUNSIK Y, YOUNGHAN K. Performance analysis of CNI（container networking interface） based container network［C］// 2018 International Conference on Information and Communication Technology Convergence （ICTC）. 2018:248-250.
［25］LI Z, KIHL M, LU Q H, et al. Performance overhead comparison between hypervisor and container based virtualization［C］// 2017 IEEE 31st International Conference on Advanced Information Networking and Applications （AINA）. 2017:955-962.

[1]	周永福, 徐胜超. 基于双层规划的容器云资源动态配置算法[J]. 计算机与现代化, 2022, 0(12): 1-5.
[2]	徐胜超, 叶力洪. 基于长短期记忆神经网络的容器云队列在线任务动态分配[J]. 计算机与现代化, 2022, 0(07): 79-84.
[3]	游强志, 胡怀湘, 陈相宇. 容器热迁移的快速内存同步技术[J]. 计算机与现代化, 2022, 0(01): 17-22.
[4]	徐胜超, 熊茂华. 基于遗传算法的容器云资源配置优化[J]. 计算机与现代化, 2022, 0(01): 108-112.
[5]	吴金宇1,张丽娟2,孙宏棣2,赖宇阳2. 泛在电力物联网可信安全接入方案[J]. 计算机与现代化, 2020, 0(04): 52-.
[6]	唐子焯1，吴克河1，李为1，张宪康2，崔阿军2 . 基于商密算法的视频终端安全接入系统的研究与实现[J]. 计算机与现代化, 2020, 0(02): 46-.
[7]	张子晔1,刘玉龙1,呼北2. 基于数据虚拟化技术的多来源数据集成方法[J]. 计算机与现代化, 2019, 0(11): 18-.
[8]	屠雪真1，杨海潮2. 基于Kubernetes的水平弹性扩缩容系统[J]. 计算机与现代化, 2019, 0(07): 25-.
[9]	曹宇，杨军. 一种基于深度学习的云平台弹性伸缩算法[J]. 计算机与现代化, 2019, 0(04): 17-.
[10]	吴鑫泉，杨军. 基于自主容器云平台的大数据日志采集系统[J]. 计算机与现代化, 2019, 0(02): 102-.
[11]	王一超1，王玉玫2. 基于微服务架构的智能化装备维护与管理平台[J]. 计算机与现代化, 2018, 0(10): 79-.
[12]	郭龙华1，夏正敏1，郑生军2，王红凯3，马志程4. 基于角色驱动的需求响应安全接入机制[J]. 计算机与现代化, 2016, 0(3): 100-104+110.
[13]	蔡东蛟. 虚拟化技术在实验教学中的应用[J]. 计算机与现代化, 2015, 0(11): 109-112.
[14]	沈庆国，黄寥若，骆坚. 软件定义网络及其应用分析[J]. 计算机与现代化, 2014, 0(4): 133-137.
[15]	张寓琛，张小芳. x86服务器虚拟化平台性能测试[J]. 计算机与现代化, 2014, 0(2): 32-35+40.