(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211028287.X (22)申请日 2022.08.25 (71)申请人 北京金山云网络技 术有限公司 地址 100085 北京市海淀区西二 旗中路33 号院4号楼6层0 06号 (72)发明人 洪志国　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 张文娥 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 报文数据的处 理方法、 装置和电子设备 (57)摘要 本发明提供了一种报文 数据的处理方法、 装 置和电子设备， 涉及数据处理的技术领域， 该方 法包括： 在发送方容器的网络出口为待发送报文 注入业务标签； 将携带有业务标签的待发送报文 发送至接收方容器， 以使接收方容器根据业务标 签对待报文进行放通处理。 本发 明提供的报文数 据的处理方法、 装置和电子设备， 通过在网络出 口为待发送报文注入业务标签的方式， 可以实现 不同业务之间的业务隔离， 有效避免安全漏洞的 产生， 并且， 与以往使用IP地址列表进行隔离的 方式相比， 业务标签一般不会随容器的动态变化 而频繁更新， 从而可 以降低维护的成本， 同时保 证容器的安全、 稳定运行。 权利要求书2页 说明书11页 附图2页 CN 115412333 A 2022.11.29 CN 115412333 A 1.一种报文数据的处 理方法， 其特 征在于， 所述方法包括： 响应针对于发送方容器的报文发送操作， 在所述发送方容器的网络出口为待发送报文 注入业务标签； 将携带有所述业务标签的待发送报文发送至接收方容器， 以使所述接收方容器根据 所 述业务标签对所述待发送报文 进行放通处理。 2.根据权利要求1所述的方法， 其特征在于， 所述发送方容器的虚拟网卡的出口预先保 存有第一eBPF程序； 在所述发送方容器的网络出口为待发送报文注入业 务标签的步骤， 包括： 通过所述第一eBPF程序在所述发送方容器的网络出口为待发送报文注入业 务标签。 3.根据权利要求2所述的方法， 其特征在于， 通过所述第 一eBPF程序在所述发送方容器 的网络出口为待发送报文注入业 务标签的步骤， 包括： 在所述发送方容器的网络出口处， 通过所述第一eBPF程序在所述待发送报文 的ToS字 段中注入所述业务标签， 或者， 在所述待发送报文的IP  option字段中注入所述业务标签， 或者， 在所述待发送报文的TCP  option字段中注入所述 业务标签。 4.根据权利要求2所述的方法， 其特征在于， 所述发送方容器为容器集群中的任一容 器； 所述方法还 包括： 响应针对于所述 容器的创建操作， 创建所述 容器； 在所述容器的虚拟网卡插入所述第一eBPF程序， 以及所述第一eBPF程序的配置数据； 所述第一eBPF程序的配置数据记录有从所述 容器发出的待发送报文的业 务标签。 5.一种报文数据的处 理方法， 其特 征在于， 所述方法包括： 响应针对于接收方容器的报文接收操作， 提取待接收报文所携带的业务标签； 其中， 所 述业务标签为第一eBPF程序在发送方容器的网络出口处注入的； 在预先存储的业务标签列表中查找是否有与所述 业务标签一 致的目标业 务标签； 如果是， 则放 通所述待接收报文。 6.根据权利要求5所述的方法， 其特征在于， 所述接收方容器的网络入口预先保存有第 二eBPF程序； 提取待接收报文所携带的业 务标签的步骤， 包括： 通过所述第二eBPF程序提取 所述待接收报文所携带的业 务标签。 7.根据权利要求6所述的方法， 其特征在于， 在预先存储的业务标签列表中查找是否有 与所述业务标签一 致的目标业 务标签的步骤， 包括： 在所述接收方容器的网络入口处， 获取 预先存储的业务标签列表； 在所述预先存储的业务标签列表中查找是否有与所述待接收报文所携带的业务标签 一致的目标业 务标签。 8.根据权利要求6所述的方法， 其特征在于， 所述接收方容器为容器集群中的任一容 器； 每个所述容器部署有至少一个业 务， 每个所述业务均配置有一个或多个业 务标签； 所述方法还 包括： 响应针对于所述 容器的创建操作， 创建所述 容器； 在所述容器的虚拟网卡插入所述第二eBPF程序， 以及所述第二eBPF程序的配置文件；权　利　要　求　书 1/2 页 2 CN 115412333 A 2所述第二eBPF程序的配置文件记录有 所述业务标签列表， 所述业务标签用于记载有 所述容 器需要放 通的所述 业务的业务标签。 9.根据权利要求5所述的方法， 其特 征在于， 所述方法还 包括： 如果在预 先存储的业务标签列表中未查找到与所述 业务标签一 致的目标业 务标签； 则丢弃所述待接收报文。 10.一种报文数据的处 理装置， 其特 征在于， 所述装置包括： 注入模块， 用于响应针对于发送方容器的报文发送操作， 在所述发送方容器的网络出 口为待发送报文注入业 务标签； 发送模块， 用于将携带有所述业务标签的待发送报文发送至接收方容器， 以使所述接 收方容器根据所述 业务标签对所述待发送报文 进行放通处理。 11.一种报文数据的处 理装置， 其特 征在于， 所述装置包括： 提取模块， 用于响应针对于接收方容器的报文接收操作， 提取待接收报文所携带的业 务标签； 其中， 所述 业务标签为第一eBPF程序在发送方容器的网络出口处注入的； 查找模块， 用于在预先存储的业务标签列表中查找是否有与 所述业务标签一致的目标 业务标签； 放通模块， 用于所述 查找模块的查找结果 为是时， 放 通所述待接收报文。 12.一种电子设备， 其特征在于， 包括处理器和存储器， 所述存储器存储有能够被所述 处理器执行的机器可执行指令， 所述处理器执行所述机器可执行指令以实现权利要求1 ‑9 任一项所述的报文数据的处 理方法。 13.一种机器可读存储介质， 其特征在于， 所述机器可读存储介质存储有机器可执行指 令， 所述机器可执行指令在被处理器调用和执行时， 所述机器可执行指令促使所述处理器 实现权利要求1 ‑9任一项所述的报文数据的处 理方法。权　利　要　求　书 2/2 页 3 CN 115412333 A 3