CN110659100B - 容器管理方法、装置和设备 - Google Patents
容器管理方法、装置和设备 Download PDFInfo
- Publication number
- CN110659100B CN110659100B CN201810713108.3A CN201810713108A CN110659100B CN 110659100 B CN110659100 B CN 110659100B CN 201810713108 A CN201810713108 A CN 201810713108A CN 110659100 B CN110659100 B CN 110659100B
- Authority
- CN
- China
- Prior art keywords
- container
- mirror image
- user
- container mirror
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/08—Logistics, e.g. warehousing, loading or distribution; Inventory or stock management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01N—INVESTIGATING OR ANALYSING MATERIALS BY DETERMINING THEIR CHEMICAL OR PHYSICAL PROPERTIES
- G01N21/00—Investigating or analysing materials by the use of optical means, i.e. using sub-millimetre waves, infrared, visible or ultraviolet light
- G01N21/84—Systems specially adapted for particular applications
- G01N21/88—Investigating the presence of flaws or contamination
- G01N21/90—Investigating the presence of flaws or contamination in a container or its contents
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/048—Interaction techniques based on graphical user interfaces [GUI]
- G06F3/0484—Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
- G06F8/63—Image based installation; Cloning; Build to order
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Economics (AREA)
- General Engineering & Computer Science (AREA)
- Operations Research (AREA)
- Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Development Economics (AREA)
- Quality & Reliability (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Chemical & Material Sciences (AREA)
- Analytical Chemistry (AREA)
- Biochemistry (AREA)
- General Health & Medical Sciences (AREA)
- Immunology (AREA)
- Pathology (AREA)
- Facsimiles In General (AREA)
- Processing Or Creating Images (AREA)
Abstract
本申请公开了一种容器管理方法、装置和设备。方法包括获取携带第一用户的标识和第一容器镜像的标识的发放请求,从第一用户的容器镜像信息库中查询得到第一容器镜像的标识,再基于该第一容器镜像的标识获得容器镜像,进而基于该容器镜像发放容器。以此保证了用户数据的安全性。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种容器管理方法、装置和设备。
背景技术
容器技术是一种轻量级的虚拟化技术,用于实现服务器资源的共享。容器可以为进程提供虚拟的执行环境,一个虚拟的执行环境就是一个容器。容器镜像提供容器运行时所需的程序、库、资源和配置,其不包含任何动态数据,是个只读的特殊文件系统。一个容器管理系统可以基于容器镜像分发并运行容器,也可以将容器转换成容器镜像并保存。
传统技术中,在一个主机上装载有容器管理系统,该容器管理系统可为用户发放容器,并在该主机上为该用户提供存储容器镜像的存储空间。用户可以自定义容器镜像,并存储该容器镜像至上述存储空间,而其他用户可以自行下载该容器镜像并启动容器。
然而,上述容器管理系统在发放容器时,用户不仅可以获得该用户存储的容器镜像,也可以获得其他用户存储的容器镜像,可能会导致用户数据的泄露,存在安全问题。
发明内容
本申请提供一种容器管理方法、装置和设备,以克服传统技术中存在的安全问题。
一方面,本申请提供一种容器管理方法,包括:获取容器发放请求,该容器发放请求是用于发放基于第一容器镜像的第一容器的请求,该容器发放请求携带第一容器镜像的标识和第一用户的标识;查询该第一用户的标识所对应的容器镜像信息库,由于该容器镜像信息库用于存储第一用户的标识与第一容器镜像的映射关系,因而当该容器镜像信息库中存在第一容器镜像的标识时,根据第一容器镜像的标识获取第一容器镜像,由此实现根据该第一容器镜像发放第一容器。通过在容器发放过程中,查询该第一用户的容器镜像信息库,而不查询其他用户的容器镜像信息库,更不会获取其他用户的容器镜像,从而实现了容器发放过程中的用户数据的用户级隔离,保证了用户数据的安全性。
在一种可能的实现方式中,注册并创建上述容器镜像信息库,在注册时,还获得了第一用户的标识,该容器镜像信息库用于存储与第一用户的标识关联的一个或者多个容器镜像的标识;若第一容器镜像是第一用户的标识关联的一个或者多个容器镜像之一,则该容器镜像信息库中包括第一容器镜像的标识。注册并创建上述容器镜像信息库,可以保证该容器镜像信息库与第一用户的标识的对应性,无法根据其他用户的标识获得第一用户的容器镜像信息库,进一步保证了第一用户的用户数据的安全性。
在另一种可能的实现方式中,根据第一容器镜像的标识获取第一容器镜像的信息,第一容器镜像的信息可以包含于上述容器镜像信息库中,也可以包含于其他信息集合中,且通过该第一容器镜像的标识能够获取到该第一容器镜像的信息,从而根据第一容器镜像的信息可以获得第一容器镜像。此外,该第一容器镜像可以存储于本地存储空间中。通过该获取方式,保证了用户数据的安全性。
在另一种可能的实现方式中,当容器发放请求所携带的第一容器镜像的标识不包含于上述容器镜像信息库中时,还可以根据第一容器镜像的属性从容器镜像仓库中获取第一容器镜像;当第一容器镜像的属性是私有时,该容器镜像仓库是第一用户的私有容器镜像仓库;当第一容器镜像的属性是公有时,该容器镜像仓库是公有容器镜像仓库。第一用户的私有容器镜像仓库和公有容器镜像仓库的存储位置可以不在本地存储空间中,例如存储在云端,有利于容器镜像的集中管理。此外,容器镜像按照其属性为公有或者私有进行分开存储,便于后续的查找和隔离,进一步保证用户数据的安全性。
在另一种可能的实现方式中,该方法还可以包括:根据第一容器生成第二容器镜像,该第二容器镜像与第一容器镜像可以相同或者不同,其中第二容器镜像包括有第一用户的信息、应用和/或驱动;还可以将第二容器镜像的标识添加到上述容器镜像信息库中,即在上述容器镜像信息库中将第二容器镜像的标识与第一用户的标识关联;还可以将第二容器镜像上传至第一用户的私有容器镜像仓库,以用于容器发放,且由此实现不同用户数据的隔离,保证用户数据的安全性。
在另一种可能的实现方式中,在查询第一用户的标识对应的容器镜像信息库之前,还可以根据第一用户的标识获得鉴权结果;当鉴权结果是通过时,进行查询上述容器镜像信息库的操作。鉴权操作可以使用严密的鉴权算法进一步提高该容器管理方法中的用户数据的安全性。
第二方面,本申请提供一种容器管理装置,所述装置包括用于执行第一方面或第一方面任一种可能实现方式中的容器管理方法的各个模块。
第三方面,提供了一种容器管理设备,所述装置包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现上面所述的任一容器管理方法。
第四方面,提供了一种计算机可读存储介质,该存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现上面所述的任一容器管理方法。
第五方面,提供了一种包含指令的计算机程序产品,当所述计算机程序产品在计算机上运行时,使得所述计算机执行上面所述的任一容器管理方法。
本申请提供的技术方案至少包括以下有益效果:
本申请查询用户的标识对应的容器镜像信息库,从该用户的容器镜像信息库中查询到容器镜像的标识后,再基于该容器镜像的标识获得容器镜像,进而基于该容器镜像发放容器。使得在容器发放的过程中,查询该用户的容器镜像信息库,而不查询其他用户的容器镜像信息库,更不会获取其他用户的容器镜像,从而实现了容器发放过程中的用户数据的用户级隔离,保证了用户数据的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
图1是传统技术中容器镜像的存储形式的示意图;
图2是本发明实施例提供的一种容器管理方法所涉及的系统架构图;
图3是本发明实施例提供的容器管理方法中的容器镜像信息库的示意图;
图4是本发明实施例提供的一种容器管理方法的流程图;
图5是本发明实施例提供的一种容器管理方法的流程图;
图6是本发明实施例提供的一种容器管理方法所涉及的系统架构图;
图7是本发明实施例提供的一种容器管理方法的流程图;
图8是本发明实施例提供的一种容器管理方法的流程图;
图9是本发明实施例提供的一种容器管理装置的结构方框图;
图10是本发明实施例提供的一种容器管理装置的结构方框图;
图11是本发明实施例提供的一种容器管理装置的结构方框图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
在对本发明实施例进行详细的解释说明之前,先对本发明实施例涉及的应用场景予以介绍。
容器技术是一种轻量级的虚拟化技术,用于实现服务器资源的共享。容器技术可以为进程提供虚拟的执行环境,一个容器提供一个虚拟的执行环境,该虚拟的执行环境可绑定特定的中央处理器(central processing unit,CPU)和内存节点,分配特定比例的CPU时间、输入输出(input output,IO)时间,限制可以使用的内存大小,提供设备访问控制等。与虚拟机相比,容器具有更轻量、更易分发、性能更高、损耗更小等特点。
容器镜像提供容器运行时所需的程序、库、资源和配置,不包含任何动态数据,是只读的特殊文件,容器镜像包括以下信息中的一个或者多个:用户的信息、应用和驱动。容器镜像是分层结构,包括多层只读数据,其中包括以下层中的一个或者多个:基础镜像层、应用程序层和用户自定义层等。通过统一文件系统(union file system,UFS)技术可以将多个只读层整合成一个容器镜像。
容器是基于容器镜像创建的实例,该实例是包括实现该容器镜像的功能所需要的用户配置和运行配置的对象。基于容器镜像发放容器可以是在容器镜像的只读层的基础上增加读写层,并可以通过联合安装(union mount,UM)技术将该多个只读层和读写层整合成一个容器。容器根据应用场景的不同分为应用容器和系统容器。应用容器主要面向无状态应用编排调度,应用容器镜像包含应用本身和运行环境配置。系统容器则是面向如CPU、内存、存储等计算资源的编排调度,系统容器拥有全量操作系统(operating system,OS)环境,支持有状态应用,能够提供动态资源分配。
传统技术中,提供计算服务的计算服务系统一般包括用于对所提供的计算服务进行管理的管理主机和提供具体的计算服务的业务主机,此外,该计算服务系统还可以包括存储主机,存储主机用于存储所提供的计算服务的相关数据。在一个业务主机上装载有容器管理系统,为用户发放在该业务主机上运行的容器,并在该业务主机上为该用户提供存储容器镜像的本地存储空间。在该业务主机的本地存储空间中,可能存储有一个或者多个用户的多个容器镜像。容器镜像的属性可以包括:公有和私有,属性为公有的容器镜像称为公有容器镜像,是指该容器镜像是面向所有用户开放的容器镜像;属性为私有的容器镜像称为私有容器镜像,是指该容器镜像是某个用户私有的容器镜像,该私有容器镜像可以由用户指定是否开放给所有用户使用。如图1所示,在业务主机上,存储有第一用户的容器镜像A和容器镜像B、第二用户的容器镜像B和容器镜像C。其中,容器镜像B是公有容器镜像,容器镜像A是第一用户的私有容器镜像,容器镜像C是第二用户的私有容器镜像。容器镜像A、容器镜像B和容器镜像C在业务主机上的存储在用户级别上不是隔离的。在第一用户通过容器管理系统发放容器时,可以在业务主机的本地存储空间中获得第一用户的容器镜像和第二用户的容器镜像,即容器镜像A、容器镜像B和容器镜像C,可以基于容器镜像A、容器镜像B或者容器镜像C发放容器。第二用户通过容器管理系统发放容器时,情况与第一用户类似,在此不再赘述。可见,该容器管理系统无法提供在业务主机上的不同用户的容器镜像的隔离,不利于保护用户数据的安全性。
为了保护用户数据的安全性,本发明提供了一种容器管理方案,以实现容器发放过程中用户数据的用户级隔离。该容器管理方案可以基于基础设施即服务(infrastructure as a service,IaaS)为用户提供容器管理方案,IaaS可以基于完善的计算机基础设施提供计算服务,例如,云计算服务。
参见图2,其示出了本发明实施例的一种云服务管理系统的系统架构。在该系统架构中,包括业务主机、管理主机和存储主机。其中,业务主机用于提供具体的云计算服务,管理主机用于对所提供的云计算服务进行管理,存储主机用于存储所提供的云计算服务的相关数据。
需要说明的是,业务主机、管理主机和存储主机可以是同一个物理主机或者虚拟主机,也可以是不同的物理主机或者虚拟主机,该物理主机或者虚拟主机可以是IaaS计算资源池中的主机。
进一步地,在该云服务管理系统中运行有容器管理系统,该容器管理系统至少包括容器引擎和容器镜像仓库。以图2所示的系统架构为例,业务主机至少部署有云服务管理系统的计算控制模块、容器管理系统的容器引擎和容器镜像仓库;管理主机至少部署有云服务管理系统的鉴权模块;存储主机至少部署有容器管理系统的容器镜像仓库,该容器镜像仓库包括公有容器镜像仓库和私有容器镜像仓库。可选地,除图2所示的系统外,本发明实施例所涉及的云服务管理系统中还可以包括部署了计算控制模块和容器引擎的其他业务主机,容器管理系统的各个模块在业务主机、管理主机和存储主机上的部署方式也不限于以上举例。
其中,计算控制模块用于部署云计算,包括运行实例、管理网络以及控制用户等。鉴权模块用于管理身份验证、服务规则和令牌功能的模块。容器引擎用于容器相关的管理、用户管理等。容器镜像仓库用于容器镜像的存储与分发,包括公有容器镜像仓库和私有容器镜像仓库。
除了部署于存储主机的容器镜像仓库用于存储容器镜像之外,业务主机的本地存储空间中还存储有用户的一个或者多个容器镜像,该用户是注册于该业务主机上的容器引擎的用户,该一个或者多个容器镜像可以从上述容器镜像仓库中的公有容器镜像仓库或者该用户的私有容器镜像仓库中下载得到,也可以是该业务主机上的容器转换得到。
容器镜像信息库包括在该业务主机的本地存储空间中与该用户的标识关联的容器镜像的标识,通过容器镜像的标识还可以获得容器镜像的信息,该容器镜像的信息包括以下信息中的一种或者多种:容器镜像的属性和容器镜像的存储位置信息,例如存储索引信息等。需要说明的是,该容器镜像的信息可以包含于用户的容器镜像信息库中,也可以存储于其他信息存储空间或者包含于其他信息集合中,但无论存储在哪里,均可以通过该容器镜像的标识与该容器镜像的信息之间的映射关系查找得到。其中,该用户的标识可以是用户的标号(identification,ID)和/或用户的令牌(token)。容器镜像的标识可以是该容器镜像的ID和/或容器镜像的名称。需要说明的是,用户具有查询该用户的容器镜像信息库的权限,但没有查询其他用户的容器镜像信息库的权限。
参见图3,其示出了用户的容器镜像信息库的一种示例。在第一用户的容器镜像信息库中,包括有容器镜像A的标识和容器镜像B的标识。在第二用户的容器镜像信息库中,包括有容器镜像B的标识和容器镜像C的标识。其中,容器镜像B是公有容器镜像,容器镜像A是第一用户的私有容器镜像,容器镜像C是第二用户的私有容器镜像。容器镜像A包括A1层、A2层和B层;容器镜像B包括B层;容器镜像C包括B层和C层。例如,A1层是第一用户的用户自定义层,A2层是第一用户的应用程序层,B层是公有的基础镜像层,C层是第二用户的用户自定义层。在容器镜像信息库中还包括容器镜像A的A1层、A2层和B层的存储索引信息,容器镜像B的B层的存储索引信息,容器镜像C的B层和C层的存储索引信息。
另外,在该业务主机中的第一用户的容器镜像信息库包括与第一用户的标识关联的容器镜像的标识,第二用户的容器镜像信息库包括与第二用户的标识关联的容器镜像的标识,用户不能查询其他用户的容器镜像信息库,也即不能获得其他用户的容器镜像信息库中的容器镜像的标识,从而可以实现用户数据的用户级隔离。
下面以图2所示的系统架构为例,对本发明的方法实施例予以介绍。参见图4,其示出了本发明实施例提供的一种容器管理方法的流程图,该方法针对容器发放的过程进行管理,包括:
步骤401、计算控制模块获取第一用户的注册请求,根据该注册请求对第一用户的信息进行注册并得到第一用户的标识。
其中,该第一用户的注册请求是通过业务主机中的计算控制模块获得的,例如,计算控制模块的用户交互界面获取第一用户的信息,基于该第一用户的信息生成第一用户的标识。
步骤402、容器引擎从计算控制模块获取第一用户的标识。
步骤403、容器引擎基于第一用户的标识注册并创建第一用户的容器镜像信息库,容器镜像信息库包括第一用户的标识关联的一个或者多个容器镜像的标识。
其中,第一用户的容器镜像信息库参见图2相关说明,在此不再赘述。
步骤404、容器引擎将第一用户的容器镜像信息库存入容器引擎所在的业务主机的本地存储空间中。
需要说明的是,上述步骤401至步骤404为创建容器镜像信息库的过程,针对容器发放,并不是每次都需要重新创建容器镜像信息库,因而上述步骤401至步骤404为容器发放过程中的可选步骤。
步骤405、容器引擎获取容器发放请求,该容器发放请求携带第一用户的标识和第一容器镜像的标识。
其中,第一容器镜像的标识用于指示该容器发放请求所请求发放的第一容器所需要的第一容器镜像,可选地,第一容器镜像的标识可以是第一容器镜像的ID和/或第一容器镜像的名称;第一用户的标识用于发放容器过程中鉴权、获取第一用户的容器镜像仓库等操作,可选地,第一用户的标识可以包括第一用户的ID和/或第一用户的令牌。
在一种可能的实现方式中,步骤405包括:
容器引擎通过用户交互界面获得用户的容器发放请求。
可选地,该用户交互界面还可以由部署于业务主机或者管理主机上的其他组件实现,通过该用户交互界面获得容器发放请求,并将其输出至容器引擎,由容器引擎获得。
步骤406、容器引擎从本地存储空间中获取第一用户的标识对应的容器镜像信息库。
可选地,第一用户的容器镜像信息库与第一用户的ID是一一对应的,第一用户的标识对应的容器镜像信息库即是第一用户的ID对应的容器镜像信息库。第一用户的ID可以是容器引擎通过部署于业务主机中的计算控制模块获得的,该第一用户的ID是在第一用户通过计算控制模块注册时产生的。
在一种可能的实现方式中,第一用户的容器镜像信息库是以数据文件的形式存储于容器引擎所在的业务主机的本地存储空间中,该容器镜像信息库包括与第一用户的ID关联的一个或者多个容器镜像的标识。
为了确认第一用户具有当前操作的权限,步骤406的一种可选实现方式包括:容器引擎基于第一用户的标识获取鉴权结果,当鉴权通过时,容器引擎查询第一用户的标识对应的容器镜像信息库。该鉴权操作可以是该容器引擎基于容器管理系统中的用户注册信息对第一用户的令牌进行鉴权,也可以是容器引擎通过接口将第一用户的令牌输出至其他鉴权模块进行鉴权。
步骤407、容器引擎在第一用户的标识对应的容器镜像信息库中查询第一容器镜像的标识。
在一种可能的实现方式中,步骤407包括:
容器引擎根据第一用户的ID在第一用户的标识对应的容器镜像信息库中查询第一容器镜像的标识。该第一容器镜像的标识可以用于获得第一容器镜像的信息。该第一容器镜像的信息可以包括:第一容器镜像所包括的一个或者多个只读层的标识,以及该一个或者多个只读层的存储索引信息,该存储索引信息用于在本地存储空间中获得只读层。该第一容器镜像的信息可以包含于第一用户的容器镜像信息库中,也可以存储于其他信息存储空间或者包含于其他信息集合中。
当容器镜像信息库中存在第一容器镜像的标识时,执行步骤408,当容器镜像信息库中不存在第一容器镜像的标识时,容器引擎还可以从容器镜像仓库中获取第一容器镜像,一种可选的实施方式为该方法还包括:
当容器镜像信息库中不存在第一容器镜像的标识,且第一容器镜像的属性是私有时,容器引擎从第一用户的私有容器镜像仓库中获取第一容器镜像;
当容器镜像信息库中不存在第一容器镜像的标识,且第一容器镜像的属性是公有时,容器引擎从公有容器镜像仓库中获取第一容器镜像。
其中,第一用户的私有容器镜像仓库和公有容器镜像仓库可以部署于业务主机或者其他主机上,容器引擎可以通过本地接口或者远程接口从第一用户的私有容器镜像仓库或者公有容器镜像仓库中获取第一容器镜像。
其中,第一容器镜像的属性参见图2相关说明,在此不再赘述。
可选地,第一容器镜像的属性是容器引擎根据第一镜像的标识从管理主机中查询得到的。
步骤408、当第一用户的容器镜像信息库中存在第一容器镜像的标识时,容器引擎基于第一容器镜像的标识从容器引擎所在主机的本地存储空间中获取第一容器镜像,并根据第一容器镜像发放第一容器。
在一种可能的实现方式中,当第一用户的容器镜像信息库中存在第一容器镜像的标识时,步骤408包括:
容器引擎根据第一容器镜像的标识获取第一容器镜像的信息;容器引擎基于第一容器镜像的信息从本地存储空间中获取第一容器镜像,容器引擎根据第一容器镜像启动第一容器。例如,容器引擎根据第一容器镜像的信息从本地存储空间中获得第一容器镜像所包括的一个或者多个只读层;容器引擎将该一个或者多个只读层与待发放的第一容器所需要的读写层通过UM技术整合成第一容器,并发放第一容器。
本发明提供的方法,查询用户的标识对应的容器镜像信息库,从该用户的容器镜像信息库中查询到容器镜像的标识后,再基于该容器镜像的标识获得容器镜像,进而基于该容器镜像发放容器。使得在容器发放的过程中,仅查询该用户的容器镜像信息库,而不查询其他用户的容器镜像信息库,更不会获取其他用户的容器镜像,从而实现了容器发放过程中的用户数据的用户级隔离,保证了用户数据的安全性。
基于上述实施例,在一种可选实现方式中,该容器管理方法还可以用于管理提交容器镜像的过程。参见图5,其示出了本发明实施例提供的一种容器管理方法的流程图,该方法针对提交容器镜像的过程进行管理,包括:
步骤501、容器引擎获取容器镜像提交请求,容器镜像提交请求用于请求将第二容器转换成第二容器镜像并提交。
其中,第二容器是第一用户在业务主机中的一个容器实例,容器镜像提交请求携带有第一用户的标识和第二容器的标识。可选地,第二容器的标识可以是第二容器的ID和/或第二容器的名称;第一用户的标识用于容器镜像提交过程中鉴权、获取第一用户的容器镜像仓库等操作,可选地,第一用户的标识可以包括第一用户的ID和/或第一用户的令牌。
该容器镜像提交请求可以是容器引擎通过用户交互界面获得用户发出的容器镜像提交请求。可选地,该用户交互界面还可以由部署于业务主机或者管理主机上的其他组件实现,该组件通过该用户交互界面获得容器镜像提交请求,并将其输出至容器引擎,由容器引擎获得。
步骤502、容器引擎获取第二容器,该第二容器存储于容器引擎所在主机的本地存储空间中。
步骤503、容器引擎根据第二容器生成第二容器镜像。
在一种可能的实现方式中,步骤503包括:
容器引擎将第二容器所包括的只读层分别读取并逐层加载得到第二容器镜像。
为了确认第一用户具有当前操作的权限,该容器镜像提交请求还包括第一用户的令牌,步骤503的一种可选实施方式包括:
容器引擎根据第一用户的令牌获取鉴权结果;
若鉴权通过,容器引擎根据第二容器生成第二容器镜像。
其中,该鉴权操作参见步骤406的相关说明,在此不再赘述。
步骤504、容器引擎将第二容器镜像的标识添加至第一用户的容器镜像信息库。
在一种可选的实现方式中,步骤504包括:
第一用户的容器镜像信息库存储于业务主机中,容器引擎根据第一用户的ID在该业务主机中获得第一用户的容器镜像信息库;容器引擎将第二容器镜像存入业务主机的本地存储空间中,并将第二容器镜像的标识添加至第一用户的容器镜像信息库,并将第二容器镜像的信息与第一用户的标识关联。
为了确认第一用户具有当前操作的权限,步骤504的一种可选的实现方式包括:
容器引擎基于第一用户的标识获取鉴权结果,该鉴权操作可以参见步骤406中的相关说明,在此不再赘述;
若鉴权通过,将第二容器镜像的标识添加至第一用户的容器镜像信息库,该添加操作可以由容器引擎实现,还可以由部署于管理主机上的其他组件实现。
其中,基于第一用户的标识进行鉴权可以是容器引擎基于第一用户的标识所包括的第一用户的令牌进行鉴权。
可选地,该方法还包括:步骤505,容器引擎将第二容器镜像上传至第一用户的私有容器镜像仓库。示例性地,容器引擎通过本地接口或者远程接口将第二容器镜像存入第一用户的私有容器镜像仓库。例如,容器引擎通过本地接口或者远程接口将第二容器镜像存入存储主机上的第一用户的私有容器镜像仓库。
本发明实施例将用户的容器转换为容器镜像,并将该容器镜像的标识加入该用户的容器镜像信息库,使得该用户的容器镜像信息库包括属于该用户的容器镜像的标识,可获得业务主机的存储空间中属于该用户的容器镜像,而不获得其他用户的容器镜像,从而实现了用户数据的用户级隔离,保证了用户数据的安全性。
在一种可能的实现方式中,云服务管理系统可以是openstack,容器管理系统可以是docker容器管理系统。参见图6,其示出了一种基于openstack的docker容器管理系统的系统架构图。如图6所示,openstack至少包括nova、keystone(鉴权)和glance(openstack镜像服务组件)。其中,nova包括nova api(接口)、nova conductor、nova scheduler(调度器)和nova compute(计算)。docker容器管理系统至少包括docker和docker registry(仓库)。在业务主机上部署nova compute和docker;在管理主机上部署nova api、nova conductor、nova scheduler、keystone和glance;在业务主机、管理主机或者存储主机上部署dockerregistry。需要说明的是,业务主机、管理主机和存储主机可以是同一个物理主机或者虚拟主机,上述各个组件在业务主机、管理主机和存储主机的部署方式不限于以上举例。
在图6所示的基于openstack的docker容器管理系统中,各个组件的功能如下:
nova用于对接docker相关接口在业务主机上实现容器的管理,功能与上述云服务管理系统类似。
keystone是鉴权模块,用于对接docker相关接口对用户的标识进行鉴权。
glance用于对接docker相关接口管理用户信息和容器镜像的信息。容器镜像的信息包括但不限于以下信息:容器镜像的标识和容器镜像的属性。
docker用于在业务主机上实现用户的管理和容器的管理,功能与上述容器引擎类似。
docker registry用于容器镜像的存储与分发,包括公有registry和私有registry,公有registry中储存有公有容器镜像,私有registry中储存有用户的私有容器镜像,功能与上述容器镜像管理仓库类似。
此外,docker还可以包括以下接口中的一个或者多个:
docker鉴权接口,用于对用户的标识进行鉴权,鉴权结果用于判断该用户是否具有当前操作的权限;若鉴权结果是通过,则该用户具有当前操作的权限;若鉴权结果是未通过,则该用户不具有当前操作的权限。可选地,该docker鉴权接口可以代理其他鉴权模块,为其他鉴权模块提供接口的方式实现鉴权操作。示例性地,该docker鉴权接口可以代理openstack的keystone,通过相关的接口将用户的标识输出至keystone,获取并输出keystone对该用户的标识的鉴权结果,以完成对该用户的标识的鉴权。可选地,该用户的标识包括用户的令牌。可选地,该docker鉴权接口可以以插件的形式加入docker中。
docker用户管理接口:用于实现用户注册、注销和查询等功能,还可以让用户通过该docker用户管理接口在docker中注册并创建该用户的容器镜像信息库,也可以注销并删除该用户的容器镜像信息库。可选地,docker用户管理接口的功能实现方式可以包括:通过docker用户管理接口将用户的注册、注销或者查询请求的相关信息输出至keystone,获取并输出keystone对该用户的注册、注销或者查询请求的结果。可选地,docker用户管理接口还可以通过用户交互界面输出该注册、注销或者查询结果。
docker pull接口:用于根据用户需求从私有registry或者公有registry下载容器镜像,其过程如下:通过docker鉴权接口对用户的标识进行鉴权;若鉴权结果是通过,且该用户的容器镜像信息库不包括该容器镜像的信息,从私有registry或者公有registry下载该容器镜像至业务主机的本地存储空间中。此外,docker pull接口还可以将该容器镜像的信息加入该用户的容器镜像信息库。
docker commit接口:用于将用户的容器转换为该用户的私有容器镜像,其过程如下:通过docker鉴权接口对用户的标识进行鉴权;若鉴权结果是通过,且该业务主机上存在用户的容器镜像信息库;将该容器转换成容器镜像并将该容器镜像的信息添加至该用户的容器镜像信息库。此外,docker commit接口还可以将该转换完成的容器镜像保存在业务主机的本地存储空间中。
docker创建容器实例接口:用于根据用户需求创建容器,其过程如下:通过docker鉴权接口基于用户的标识进行鉴权;若鉴权结果是通过,判断所在业务主机上是否存在该用户的容器镜像信息库;若存在该用户的容器镜像信息库,在该用户的容器镜像信息库中查询所需要的容器镜像的信息;若该用户的容器镜像信息库中包括该容器镜像的信息,基于该容器镜像的信息获得该容器镜像;若该用户的容器镜像信息库中不包括该容器镜像的信息,调用docker pull接口从私有registry或者公有registry下载该容器镜像到该业务主机;基于该容器镜像创建容器,或者,将该下载的容器镜像的信息添加至该用户的容器镜像信息库,通过该用户的容器镜像信息库获得该容器镜像的信息,基于该容器镜像的信息获得该容器镜像,基于该容器镜像创建容器。
docker push接口:用于将本地的容器镜像上传到私有registry或者公有registry,其过程如下:通过docker鉴权接口基于用户的标识进行鉴权;若鉴权结果是通过,在该用户的容器镜像信息库中查询该容器镜像的信息;若该用户的容器镜像信息库中包括该容器镜像的信息,将该容器镜像上传到该用户的私有registry或者公有registry。
docker容器镜像信息查询接口:用于根据用户需求查询与该用户的标识关联的容器镜像的信息。可选地,docker容器镜像信息查询接口可以查询该用户的容器镜像信息库中包括的容器镜像的信息。可选地,docker容器镜像信息查询接口调用glance查询该用户的私有registry中包括的容器镜像的信息。可选地,上述容器镜像的信息是容器镜像的标识。可选地,docker容器镜像信息查询接口还可以通过用户交互界面输出查询结果。
在基于openstack的docker容器管理系统中,可以实现以下容器相关操作中的一种或者多种:
发放或者删除容器、启动容器、容器镜像管理等。其中容器镜像管理包括提交容器镜像、下载容器镜像、查看容器镜像等。
参见图7,其示出了本发明提供的容器管理方法的流程图,以该方法在图6所示的基于openstack的docker容器管理系统中发放容器为例,该方法包括:
步骤701、nova通过nova api接收到容器发放请求。
其中,容器发放请求用于请求发放第三容器。该容器发放请求至少包括发起该容器发放请求的第一用户的标识和第三容器镜像的标识,第三容器镜像是发放第三容器所需要的容器镜像。
可选地,该第一用户的标识可以包括第一用户的ID和/或第一用户的令牌;该第三容器镜像的标识是第三容器镜像的ID和/或第三容器镜像的名称。
步骤702、nova调用keystone对第一用户的令牌进行鉴权;若鉴权结果是通过,执行步骤703。
可选地,步骤702还包括:若鉴权结果是不通过,发放容器失败。
步骤703、nova调用nova scheduler选择业务主机用以发放第三容器,并将该容器发放请求的相关信息传递给部署于该业务主机上的nova compute。
步骤704、nova compute调用glance根据第三容器镜像的标识获得第三容器镜像的属性。
其中,nova compute部署于该业务主机上,第三容器镜像的属性是公有或者私有。
可选地,在步骤704中,还可以包括:nova compute调用glance根据第三容器镜像的ID获得第三容器镜像的名称。
步骤705、nova compute调用docker,并将该容器发放请求的相关信息传递给docker。
其中,该容器发放请求的相关信息包括但不限于:该容器发放请求、第一用户的标识和第三容器镜像的标识。
步骤706、docker调用keystone对第一用户的令牌进行鉴权;若鉴权结果是通过,执行步骤707;若鉴权结果是不通过,发放容器失败。
步骤707、docker调用docker用户管理接口查询该第一用户的容器镜像信息库是否存在;若第一用户的容器镜像信息库存在,执行步骤708;若第一用户的容器镜像信息库不存在,发放容器失败。
在一种可选的实施方式中,步骤707还包括:若第一用户的容器镜像信息库不存在,发放容器失败,通过nova api将第一用户的容器镜像信息库不存在的信息反馈给第一用户,第一用户可以根据nova api的反馈结果,触发建立第一用户的容器镜像信息库,建立第一用户的容器镜像信息库的操作参见步骤501。
步骤708、docker调用docker容器镜像信息查询接口在第一用户的容器镜像信息库中查询第三容器镜像的信息是否存在;若第三容器镜像的信息存在,执行步骤709,若第三容器镜像的信息不存在,执行步骤710。
步骤709、docker获得第三容器镜像的信息,并基于第三容器镜像的信息获得第三容器镜像,执行步骤713。
步骤710、docker判断第三容器镜像的属性;若第三容器镜像的属性是公有,执行步骤711;若第三容器镜像的属性是私有,执行步骤712。
步骤711、docker调用docker pull接口从公有registry中下载第三容器镜像,执行步骤713。
步骤712、docker调用docker pull接口从第一用户的私有registry中下载第三容器镜像,执行步骤713。
步骤713、docker基于第三容器镜像创建并发放第三容器。
在一种可能的实现方式中,步骤706-713是docker调用docker创建容器实例接口实现的。
本发明查询用户的标识对应的容器镜像信息库,从该用户的容器镜像信息库中查询到容器镜像的标识后,再基于该容器镜像的标识获得容器镜像,进而基于该容器镜像发放容器。使得在容器发放的过程中,查询该用户的容器镜像信息库,而不查询其他用户的容器镜像信息库,更不会获取其他用户的容器镜像,从而实现了容器发放过程中的用户数据的用户级隔离,保证了用户数据的安全性。
此外,通过docker中的docker接口来与openstack系统中的各个模块传递指令、信息和/或数据,可以复用openstack系统中的用户注册、鉴权等功能,以保证docker容器管理系统下用户数据的安全性。
参见图8,其示出了本发明提供的容器管理方法的流程图,以该方法在图6所示的基于openstack的docker容器管理系统中对提交容器镜像的过程进行管理为例,该方法包括:
步骤801、nova通过nova api接收到容器镜像提交请求。
其中,该容器镜像提交请求用于请求将第四容器转换为第四容器镜像并提交。
其中,该发放容器的请求包括:
发起容器镜像提交请求的第一用户的标识和docker容器实例的标识;第一用户的标识包括第一用户的ID和/或第一用户的令牌;docker容器实例的标识是第四容器所在的docker容器实例的标识;
步骤802、nova调用keystone对第一用户的令牌进行鉴权;若鉴权结果是通过,执行步骤803。
若鉴权结果是未通过,提交容器镜像失败。
步骤803、nova根据docker容器实例的标识获得该docker容器实例所在的业务主机和第四容器的标识。
步骤804、nova将容器镜像提交请求的相关信息传递给nova compute。
其中,容器镜像提交请求的相关信息包括但不限于:该容器镜像提交请求、第一用户的标识和第四容器的标识。
其中,nova compute部署于该业务主机上。
步骤805、nova compute调用docker,并将该容器镜像提交请求的相关信息传递给docker。
步骤806、docker调用keystone对第一用户的令牌进行鉴权;若鉴权结果是通过,执行步骤807;若鉴权结果不通过,提交容器镜像失败。
步骤807、docker调用docker用户管理接口查询第一用户的容器镜像信息库是否存在;若第一用户的容器镜像信息库存在,执行步骤808;若第一用户的容器镜像信息库不存在,提交容器镜像失败。
步骤808、docker调用docker commit接口将第四容器转换成第四容器镜像,并将第四容器镜像的信息加入第一用户的容器镜像信息库。
步骤809、nova compute调用glance创建glance镜像。
其中,该glance镜像是第四容器镜像在glance中的镜像,使得nova能够在将该glance镜像用于其他业务主机上的容器发放。
可选地,在步骤809中还包括:建立glance镜像的标识与第四容器镜像的名称之间的映射关系。
步骤810、docker调用docker push接口将第四容器镜像上传至第一用户的私有registry。
可选地,步骤810包括:docker调用docker push接口,docker push接口调用docker用户管理接口将第一用户的令牌输出至keystone进行鉴权,若鉴权结果是通过,则将第四容器镜像上传到该用户的私有registry。
本发明实施例将用户的容器转换为容器镜像并将该容器镜像的标识加入该用户的容器镜像信息库,使得该用户的容器镜像信息库包括属于该用户的容器镜像的标识,可获得业务主机的存储空间中属于该用户的容器镜像,而不获得其他用户的容器镜像,从而实现了用户数据的用户级隔离,保证了用户数据的安全性。
此外,通过docker中的docker接口来与openstack系统中的各个模块传递指令、信息和/或数据,可以复用openstack系统中的用户注册、鉴权等功能,以保证docker容器管理系统下用户数据的安全性。
上文中结合图1至图8,详细描述了根据本发明实施例所提供的容器管理方法,下面将结合图9至图11描述根据本发明实施例所提供的容器管理的装置和设备。
参见图9,其示出了本发明提供的一种容器管理装置900的框图,包括:获取模块910、查询模块920和发放模块930。
获取模块910,用于获取容器发放请求。
其中,该容器发放请求携带第一用户的标识和第一容器镜像的标识。
查询模块920,用于查询第一用户的标识对应的容器镜像信息库,该容器镜像信息库用于存储第一用户的标识和第一容器镜像之间的映射关系。
发放模块930,用于当容器镜像信息库中存在第一容器镜像的标识时,基于第一容器镜像的标识获取第一容器镜像,并根据第一容器镜像发放第一容器。
在一种可选的实施方式中,发放模块930,用于基于第一容器镜像的标识获取第一容器镜像的信息;根据第一容器镜像的信息从本地存储空间中获取第一容器镜像,并根据第一容器镜像启动第一容器。
在一种可选的实施方式中,查询模块920,用于基于第一用户的标识获取鉴权结果;当鉴权结果为通过时,查询第一用户的标识对应的容器镜像信息库。
在一种可选的实施方式中,发放模块930,还用于当容器镜像信息库中不存在第一容器镜像的标识,且第一容器镜像的属性是私有时,从第一用户的私有容器镜像仓库中获取第一容器镜像;或者,当容器镜像信息库中不存在第一容器镜像的标识,且第一容器镜像的属性是公有时,从公有容器镜像仓库中获取第一容器镜像。
在一种可选的实施方式中,容器管理装置900还包括:
创建模块,用于基于第一用户的标识注册并创建第一用户的标识对应的容器镜像信息库,容器镜像信息库包括第一用户的标识关联的一个或者多个容器镜像的标识。
在一种可选的实施方式中,参见图10,该容器管理装置900还包括:
生成模块940,用于根据第一容器生成第二容器镜像,该第二容器镜像中包括第一用户的信息、应用和驱动中至少一种。
添加模块950,用于将第二容器镜像的标识添加至第一用户的容器镜像信息库。
上传模块960,用于将第二容器镜像上传至第一用户的私有容器镜像仓库。
应理解的是,本发明实施例的容器管理装置900可以通过专用集成电路(application-specific integrated circuit,ASIC)实现,或可编程逻辑器件(programmable logic device,PLD)实现,上述PLD可以是复杂程序逻辑器件(complexprogrammable logical device,CPLD),现场可编程门阵列(field-programmable gatearray,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。也可以通过软件实现图4或图5中所示的容器管理方法时,该装置及其各个模块也可以为软件模块。
根据本发明实施例的容器管理装置900可对应于执行本发明实施例中描述的方法,并且容器管理装置900中的各个单元的上述和其它操作和/或功能分别为了实现图4或图5中的各个方法中容器引擎所执行的相应流程,为了简洁,在此不再赘述。
本发明查询用户的标识对应的容器镜像信息库,从该用户的容器镜像信息库中查询到容器镜像的标识后,再基于该容器镜像的标识获得容器镜像,进而基于该容器镜像发放容器。使得在容器发放的过程中,查询该用户的容器镜像信息库,而不查询其他用户的容器镜像信息库,更不会获取其他用户的容器镜像,从而实现了容器发放过程中的用户数据的用户级隔离,保证了用户数据的安全性。
另外,将用户的容器转换为容器镜像,并将该容器镜像的标识加入该用户的容器镜像信息库,使得该用户的容器镜像信息库包括属于该用户的容器镜像的标识,从而实现了用户数据的用户级隔离,保证了用户数据的安全性。
参见图11,其示出了本发明实施例提供的一种容器管理设备的结构示意图。该设备可能是服务器或者终端,如图11所示,该容器管理设备1100包括处理器1101、存储器1102、通信接口1103和总线1104、图形处理器1105。其中,处理器1101、存储器1102、通信接口1103、存储设备1105通过总线1104进行通信,也可以通过无线传输等其他手段实现通信。该存储器1102用于存储指令,该处理器1101用于执行该存储器1102存储的指令。该存储器1102存储程序代码,且处理器1101可以调用存储器1102中存储的程序代码执行以下操作:
获取容器发放请求,该容器发放请求携带第一用户的标识和第一容器镜像的标识;
查询第一用户的标识对应的容器镜像信息库,该容器镜像信息库用于存储第一用户的标识和第一容器镜像之间的映射关系;
当容器镜像信息库中存在第一容器镜像的标识时,基于第一容器镜像的标识获取第一容器镜像,并根据第一容器镜像发放第一容器。
应理解的是,在本发明实施例中,该处理器1101可以是CPU,该处理器1101还可以是其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是,处理器1101可以是支持ARM架构的处理器。
该存储器1102可以包括只读存储器和随机存取存储器,并向处理器1101提供指令和数据。存储器1102还可以包括非易失性随机存取存储器。例如,存储器1102还可以存储设备类型的信息。
该存储器1102可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data date SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlinkDRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
该总线1104除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线1104。
应理解,根据本发明实施例的容器管理设备1100可对应于本发明实施例中的图9或图10所示的容器管理装置900,并可以对应于执行根据本发明实施例中图4或图5所示方法中的容器引擎为执行主体的操作步骤,并且容器引擎中的各个模块的上述和其它操作和/或功能分别为了实现图4或图5中的各个方法的相应流程,为了简洁,在此不再赘述。
本发明实施例还提供了一种非临时性计算机可读存储介质,当所述存储介质中的指令由计算系统的处理器执行时,使得计算系统能够执行图4、5、7或者8其中任一项提供的容器管理方法。
一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行进行图4、5、7或者8其中任一项提供的容器管理方法的指令。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现,当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令,在装置上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴光缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是装置能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(如软盘、硬盘和磁带等),也可以是光介质(如数字视盘(Digital Video Disk,DVD)等),或者半导体介质(如固态硬盘等)。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (14)
1.一种容器管理方法,其特征在于,所述方法包括:
获取容器发放请求,所述容器发放请求携带第一用户的标识和第一容器镜像的标识;
查询所述第一用户的标识对应的容器镜像信息库,所述容器镜像信息库用于存储所述第一用户的标识关联的容器镜像的标识与所述第一用户的标识关联的容器镜像的信息之间的映射关系,所述信息用于指示所述信息所对应的容器镜像的位置,其中,每个用户的标识对应一个容器镜像信息库,不同用户的标识对应不同的容器镜像信息库;
当所述第一用户的标识对应的容器镜像信息库中存在所述第一容器镜像的标识时,基于所述第一容器镜像的标识从所述映射关系中获取所述第一容器镜像的信息;
根据所述第一容器镜像的信息所指示的位置获取所述第一容器镜像;及
根据所述第一容器镜像发放第一容器。
2.根据权利要求1所述的方法,其特征在于,在所述获取容器发放请求之前,所述方法还包括:
基于所述第一用户的标识注册并创建所述第一用户的标识对应的容器镜像信息库。
3.根据权利要求1所述的方法,其特征在于,所述根据所述第一容器镜像的信息所指示的位置获取所述第一容器镜像;及根据所述第一容器镜像发放第一容器,包括:
根据所述第一容器镜像的信息从本地存储空间中获取所述第一容器镜像,并根据所述第一容器镜像启动第一容器。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述容器镜像信息库中不存在所述第一容器镜像的标识,且所述第一容器镜像的属性为私有时,从所述第一用户的私有容器镜像仓库中获取所述第一容器镜像;或者,
当所述容器镜像信息库中不存在所述第一容器镜像的标识,且所述第一容器镜像的属性为公有时,从公有容器镜像仓库中获取所述第一容器镜像。
5.根据权利要求1至4任一所述的方法,其特征在于,在所述根据所述第一容器镜像发放第一容器之后,所述方法还包括:
根据所述第一容器生成第二容器镜像,所述第二容器镜像中包括所述第一用户的信息、应用和驱动中至少一种;
将所述第二容器镜像的标识添加至所述第一用户的容器镜像信息库;
将所述第二容器镜像上传至所述第一用户的私有容器镜像仓库。
6.根据权利要求1至4任一所述的方法,其特征在于,所述查询所述第一用户的标识对应的容器镜像信息库,包括:
基于所述第一用户的标识获取鉴权结果,当所述鉴权结果为通过时,查询所述第一用户的标识对应的容器镜像信息库。
7.一种容器管理装置,其特征在于,所述装置包括:
获取模块,用于获取容器发放请求,所述容器发放请求携带第一用户的标识和第一容器镜像的标识;
查询模块,用于查询所述第一用户的标识对应的容器镜像信息库,所述容器镜像信息库用于存储所述第一用户的标识关联的容器镜像的标识与所述第一用户的标识关联的容器镜像的信息之间的映射关系,所述信息用于指示所述信息所对应的容器镜像的位置,其中,每个用户的标识对应一个容器镜像信息库,不同用户的标识对应不同的容器镜像信息库;
发放模块,用于当所述第一用户的标识对应的容器镜像信息库中存在所述第一容器镜像的标识时,基于所述第一容器镜像的标识从所述映射关系中获取所述第一容器镜像的信息,根据所述第一容器镜像的信息所指示的位置获取所述第一容器镜像,根据所述第一容器镜像发放第一容器。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
创建模块,用于基于所述第一用户的标识注册并创建所述第一用户的标识对应的容器镜像信息库。
9.根据权利要求7所述的装置,其特征在于,所述发放模块,用于根据所述第一容器镜像的信息从本地存储空间中获取所述第一容器镜像,并根据所述第一容器镜像启动第一容器。
10.根据权利要求7所述的装置,其特征在于,所述发放模块,还用于当所述容器镜像信息库中不存在所述第一容器镜像的标识,且所述第一容器镜像的属性为私有时,从所述第一用户的私有容器镜像仓库中获取所述第一容器镜像;或者,当所述容器镜像信息库中不存在所述第一容器镜像的标识,且所述第一容器镜像的属性为公有时,从公有容器镜像仓库中获取所述第一容器镜像。
11.根据权利要求7至10任一所述的装置,其特征在于,所述装置还包括:
生成模块,用于根据所述第一容器生成第二容器镜像,所述第二容器镜像中包括所述第一用户的信息、应用和驱动中至少一种;
添加模块,用于将所述第二容器镜像的标识添加至所述第一用户的容器镜像信息库;
上传模块,用于将所述第二容器镜像上传至所述第一用户的私有容器镜像仓库。
12.根据权利要求7至10任一所述的装置,其特征在于,所述查询模块,用于基于所述第一用户的标识获取鉴权结果,当所述鉴权结果为通过时,查询所述第一用户的标识对应的容器镜像信息库。
13.一种容器管理设备,其特征在于,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如权利要求1至6中任一所述的容器管理方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现如权利要求1-6中任一所述的容器管理方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810713108.3A CN110659100B (zh) | 2018-06-29 | 2018-06-29 | 容器管理方法、装置和设备 |
| EP19826827.8A EP3796616A4 (en) | 2018-06-29 | 2019-05-05 | CONTAINER MANAGEMENT PROCESS, APPARATUS AND DEVICE |
| PCT/CN2019/085509 WO2020001162A1 (zh) | 2018-06-29 | 2019-05-05 | 容器管理方法、装置和设备 |
| US17/117,698 US20210097476A1 (en) | 2018-06-29 | 2020-12-10 | Container Management Method, Apparatus, and Device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810713108.3A CN110659100B (zh) | 2018-06-29 | 2018-06-29 | 容器管理方法、装置和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110659100A CN110659100A (zh) | 2020-01-07 |
| CN110659100B true CN110659100B (zh) | 2022-05-24 |
Family
ID=68984888
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810713108.3A Active CN110659100B (zh) | 2018-06-29 | 2018-06-29 | 容器管理方法、装置和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20210097476A1 (zh) |
| EP (1) | EP3796616A4 (zh) |
| CN (1) | CN110659100B (zh) |
| WO (1) | WO2020001162A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11875167B2 (en) * | 2020-03-23 | 2024-01-16 | Nubix, Inc. | Method for deploying containerized protocols on very small devices |
| CN111966445B (zh) * | 2020-06-30 | 2023-07-25 | 北京百度网讯科技有限公司 | 调用应用程序接口的处理方法和装置 |
| US20220253342A1 (en) * | 2021-02-09 | 2022-08-11 | Red Hat, Inc. | Dynamic containerized content delivery |
| CN114579520B (zh) * | 2022-03-04 | 2023-05-05 | 北京百度网讯科技有限公司 | 镜像数据处理方法、镜像数据加载方法及装置 |
| CN115129429B (zh) * | 2022-09-01 | 2023-06-13 | 南京翼辉爱智物联技术有限公司 | 容器应用管理方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6954930B2 (en) * | 2002-02-19 | 2005-10-11 | International Business Machines Corporation | Remote validation of installation input data |
| CN106487850A (zh) * | 2015-08-29 | 2017-03-08 | 华为技术有限公司 | 一种云环境下获取镜像的方法、装置和系统 |
| CN107229507A (zh) * | 2017-05-31 | 2017-10-03 | 郑州云海信息技术有限公司 | 一种容器镜像构建方法及装置 |
| CN107643940A (zh) * | 2017-09-26 | 2018-01-30 | 华为技术有限公司 | 容器创建方法、相关设备及计算机存储介质 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060218164A1 (en) * | 2005-03-23 | 2006-09-28 | Fujitsu Limited | Document management device and document management program |
| US8429540B1 (en) * | 2008-10-10 | 2013-04-23 | Adobe Systems Incorporated | End user created collaborative and non-collaborative workspace application container system and method |
| US9201610B2 (en) * | 2011-10-14 | 2015-12-01 | Verizon Patent And Licensing Inc. | Cloud-based storage deprovisioning |
| US9804880B2 (en) * | 2015-06-16 | 2017-10-31 | Vmware, Inc. | Reservation for a multi-machine application |
| US10032032B2 (en) * | 2015-12-18 | 2018-07-24 | Amazon Technologies, Inc. | Software container registry inspection |
| CN107819802B (zh) * | 2016-09-13 | 2021-02-26 | 华为技术有限公司 | 一种在节点集群中的镜像获取方法、节点设备及服务器 |
| US10303657B2 (en) * | 2016-09-30 | 2019-05-28 | International Business Machines Corporation | Docker layer deduplication with layer referencing |
| US11314880B2 (en) * | 2016-10-31 | 2022-04-26 | Red Hat, Inc. | Decoupling container image layers to preserve privacy |
| CN106874357B (zh) * | 2016-12-28 | 2020-02-11 | 新华三技术有限公司 | 一种Web应用的资源定制方法和装置 |
| US11093297B2 (en) * | 2017-02-08 | 2021-08-17 | Dell Products L.P. | Workload optimization system |
| US10747568B2 (en) * | 2017-05-30 | 2020-08-18 | Magalix Corporation | Systems and methods for managing a cloud computing environment |
| US11153381B2 (en) * | 2017-08-22 | 2021-10-19 | Red Hat, Inc. | Data auditing for object storage public clouds |
| US10324708B2 (en) * | 2017-11-14 | 2019-06-18 | Red Hat, Inc. | Managing updates to container images |
| US11023529B2 (en) * | 2018-01-04 | 2021-06-01 | Red Hat, Inc. | System and method for generating container image suggestions |
| US10922118B2 (en) * | 2018-05-11 | 2021-02-16 | International Business Machines Corporation | Distributed container image repository service |
| CN109656686A (zh) * | 2018-12-17 | 2019-04-19 | 武汉烽火信息集成技术有限公司 | OpenStack上部署容器云方法、存储介质、电子设备及系统 |
-
2018
- 2018-06-29 CN CN201810713108.3A patent/CN110659100B/zh active Active
-
2019
- 2019-05-05 EP EP19826827.8A patent/EP3796616A4/en active Pending
- 2019-05-05 WO PCT/CN2019/085509 patent/WO2020001162A1/zh unknown
-
2020
- 2020-12-10 US US17/117,698 patent/US20210097476A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6954930B2 (en) * | 2002-02-19 | 2005-10-11 | International Business Machines Corporation | Remote validation of installation input data |
| CN106487850A (zh) * | 2015-08-29 | 2017-03-08 | 华为技术有限公司 | 一种云环境下获取镜像的方法、装置和系统 |
| CN107229507A (zh) * | 2017-05-31 | 2017-10-03 | 郑州云海信息技术有限公司 | 一种容器镜像构建方法及装置 |
| CN107643940A (zh) * | 2017-09-26 | 2018-01-30 | 华为技术有限公司 | 容器创建方法、相关设备及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110659100A (zh) | 2020-01-07 |
| EP3796616A4 (en) | 2021-07-21 |
| WO2020001162A1 (zh) | 2020-01-02 |
| US20210097476A1 (en) | 2021-04-01 |
| EP3796616A1 (en) | 2021-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110659100B (zh) | 容器管理方法、装置和设备 | |
| US11409719B2 (en) | Co-locating microservice persistence containers within tenant-specific database | |
| US11025623B2 (en) | Updating database drivers for client applications through a database server push | |
| US9922181B2 (en) | Security model for network information service | |
| US9189643B2 (en) | Client based resource isolation with domains | |
| US11861342B2 (en) | Enhanced cloud-computing environment deployment | |
| CN112073448B (zh) | 一种双系统终端的服务隔离方法和装置 | |
| CN111414381A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| US20240022567A1 (en) | Integration packaging for a multi-tenant computing environment | |
| US10606480B2 (en) | Scale-out container volume service for multiple frameworks | |
| US11176094B2 (en) | Dynamic file name generation for a plurality of devices | |
| CN113923023A (zh) | 权限配置和数据处理的方法、装置、电子设备及介质 | |
| CN110798504B (zh) | 跨区域共享服务的方法、装置、管理设备及存储介质 | |
| US11601342B1 (en) | Method and system to automate device management user interface hosting of devices, assets, and appliances | |
| CN114885024B (zh) | 应用实例的路由方法、装置、设备及介质 | |
| US11297065B2 (en) | Technology for computing resource liaison | |
| WO2021232860A1 (zh) | 通信方法、装置及系统 | |
| US10911371B1 (en) | Policy-based allocation of provider network resources | |
| CN115525880A (zh) | 面向多租户提供saas服务的方法、装置、设备及介质 | |
| US11943115B2 (en) | Locally debugging remote deployment of microservices | |
| KR102331899B1 (ko) | 부팅 중 통신 모듈 적용을 통한 원격 터미널 접속을 위한 방법 및 시스템 | |
| KR102086088B1 (ko) | 접속점 이름을 변경하는 단말 장치, 디바이스 매니저 어플리케이션 및 서비스 어플리케이션 | |
| JP2017004235A (ja) | 管理装置及びプログラム | |
| CN116208383A (zh) | 一种基于webhook的云原生可信度量方法、系统及存储介质 | |
| CN117632363A (zh) | 云原生超融合平台的鉴权方法、设备及计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |