CN112162823B - 一种容器部署方法、装置及相关设备 - Google Patents

一种容器部署方法、装置及相关设备 Download PDF

Info

Publication number
CN112162823B
CN112162823B CN202011041768.5A CN202011041768A CN112162823B CN 112162823 B CN112162823 B CN 112162823B CN 202011041768 A CN202011041768 A CN 202011041768A CN 112162823 B CN112162823 B CN 112162823B
Authority
CN
China
Prior art keywords
container
virtual data
data center
application
deployment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011041768.5A
Other languages
English (en)
Other versions
CN112162823A (zh
Inventor
王成龙
刘正伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Inspur Data Technology Co Ltd
Original Assignee
Beijing Inspur Data Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Inspur Data Technology Co Ltd filed Critical Beijing Inspur Data Technology Co Ltd
Priority to CN202011041768.5A priority Critical patent/CN112162823B/zh
Publication of CN112162823A publication Critical patent/CN112162823A/zh
Application granted granted Critical
Publication of CN112162823B publication Critical patent/CN112162823B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/4557Distribution of virtual machine instances; Migration and load balancing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种容器部署方法,包括根据接收到的创建指令创建虚拟数据中心;获取外部配置信息,根据所述外部配置信息确定容器安全策略;将所述容器安全策略关联至所述虚拟数据中心;在所述虚拟数据中心创建并部署各应用容器;该容器部署方法可以更为有效的提高容器部署效率,进一步减少了人力成本和时间成本的浪费。本申请还公开了一种容器部署装置、系统以及计算机可读存储介质,均具有上述有益效果。

Description

一种容器部署方法、装置及相关设备
技术领域
本申请涉及计算机技术领域,特别涉及一种容器部署方法,还涉及一种容器部署装置、系统以及计算机可读存储介质。
背景技术
容器技术是一种比虚拟机技术更加节省计算资源也更加灵活的虚拟化技术。随着容器技术的发展,出现了很多容器编排引擎,用于对容器进行管理,其中,Kubernetes技术脱颖而出成为了容器编排领域的事实标准。在将容器技术应用到实际生产环境中时,由于每个应用都会由一个容器或多个容器提供服务支持,因此,对于一个大型应用而言,其中包含有大量的Kubernetes容器资源,而且每个容器对宿主节点都具有访问权限。在此情况下,则需要依次对每个容器单独配置相应的安全策略,使得操作变得重复和异常的复杂,造成很大的人力以及时间成本的浪费。
因此,如何更为有效的提高容器部署效率,减少人力成本和时间成本的浪费是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种容器部署方法,该容器部署方法可以更为有效的提高容器部署效率,进一步减少了人力成本和时间成本的浪费;本申请的另一目的是提供一种容器部署装置、系统以及计算机可读存储介质,也具有上述有益效果。
第一方面,本申请提供了一种容器部署方法,包括:
根据接收到的创建指令创建虚拟数据中心;
获取外部配置信息,根据所述外部配置信息确定容器安全策略;
将所述容器安全策略关联至所述虚拟数据中心;
在所述虚拟数据中心创建并部署各应用容器。
优选的,所述根据接收到的创建指令创建虚拟数据中心之后,还包括:
将所述虚拟数据中心与对应的平台资源进行绑定。
优选的,所述根据所述外部配置信息确定容器安全策略,包括:
根据所述外部配置信息确定特权模式权限、SELinux权限、允许扩大特权权限、超级管理员用户运行权限、文件系统超级管理员只读权限以及其它权限。
优选的,所述在所述虚拟数据中心创建并部署各应用容器,包括:
获取外部用户信息,并将所述外部用户信息对应的用户成员添加至所述虚拟数据中心;
当接收到所述用户成员发起的部署指令时,根据所述部署指令在所述虚拟数据中心创建并部署各所述应用容器。
优选的,所述根据所述部署指令在所述虚拟数据中心创建并部署各所述应用容器,包括:
根据所述部署指令创建各所述应用容器;
结合所述容器安全策略,通过容器引擎部署各所述应用容器。
第二方面,本申请还公开了一种容器部署装置,包括:
中心创建模块,用于根据接收到的创建指令创建虚拟数据中心;
策略确定模块,用于获取外部配置信息,根据所述外部配置信息确定容器安全策略;
策略关联模块,用于将所述容器安全策略关联至所述虚拟数据中心;
容器部署模块,用于在所述虚拟数据中心创建并部署各应用容器。
优选的,所述容器部署装置还包括:
资源绑定模块,用于在所述根据接收到的创建指令创建虚拟数据中心之后,将所述虚拟数据中心与对应的平台资源进行绑定。
优选的,所述策略确定模块具体用于获取外部配置信息,根据所述外部配置信息确定特权模式权限、SELinux权限、允许扩大特权权限、超级管理员用户运行权限、文件系统超级管理员只读权限以及其它权限。
第三方面,本申请还公开了一种容器部署系统,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如上所述的任一种容器部署方法的步骤。
第四方面,本申请还公开了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用以实现如上所述的任一种容器部署方法的步骤。
本申请所提供的一种容器部署方法,包括根据接收到的创建指令创建虚拟数据中心;获取外部配置信息,根据所述外部配置信息确定容器安全策略;将所述容器安全策略关联至所述虚拟数据中心;在所述虚拟数据中心创建并部署各应用容器。
可见,本申请所提供的容器部署方法,通过预先配置容器安全策略,并使容器安全策略方面的权限设置和虚拟数据中心关联,使得不同的虚拟数据中心下的租户对部署的应用容器具有不同的容器安全配置,同一虚拟数据中心下的租户对部署的应用容器具有相同的容器安全配置,有效地简化了容器安全权限管理配置,进一步节省了人力成本和时间成本,提高了容器部署效率;此外,也更加方便实现应用容器级别的权限管理控制来限制容器对宿主节点的可访问范围,以有效避免由于容器非法操作宿主节点的系统级别的内容,而导致节点的系统或者节点上其他容器组受到影响,进一步实现了将应用安全级别最高化,具有较高的应用价值。
本申请所提供的一种容器部署装置、系统以及计算机可读存储介质,均具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明现有技术和本申请实施例中的技术方案,下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然,下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,所获得的其他附图也属于本申请的保护范围。
图1为本申请所提供的一种容器部署方法的流程示意图;
图2为本申请所提供的一种容器部署架构图;
图3为本申请所提供的一种容器部署装置的结构示意图;
图4为本申请所提供的一种容器部署系统的结构示意图。
具体实施方式
本申请的核心是提供一种容器部署方法,该容器部署方法可以更为有效的提高容器部署效率,进一步减少了人力成本和时间成本的浪费;本申请的另一核心是提供一种容器部署装置、系统以及计算机可读存储介质,也具有上述有益效果。
为了对本申请实施例中的技术方案进行更加清楚、完整地描述,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行介绍。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
容器技术是一种比虚拟机技术更加节省计算资源也更加灵活的虚拟化技术。随着容器技术的发展,出现了很多容器编排引擎,用于对容器进行管理,其中,Kubernetes技术脱颖而出成为了容器编排领域的事实标准。在将容器技术应用到实际生产环境中时,由于每个应用都会由一个容器或多个容器提供服务支持,因此,对于一个大型应用而言,其中包含有大量的Kubernetes容器资源,而且每个容器对宿主节点都具有访问权限。在此情况下,则需要依次对每个容器单独配置相应的安全策略,使得操作变得重复和异常的复杂,造成很大的人力以及时间成本的浪费。
因此,为解决上述技术问题,本申请提供了一种容器部署方法,该容器部署方法通过预先配置容器安全策略,并使容器安全策略方面的权限设置和虚拟数据中心关联,使得不同的虚拟数据中心下的租户对部署的应用容器具有不同的容器安全配置,同一虚拟数据中心下的租户对部署的应用容器具有相同的容器安全配置,有效地简化了容器安全权限管理配置,进一步节省了人力成本和时间成本,提高了容器部署效率;此外,也更加方便实现应用容器级别的权限管理控制来限制容器对宿主节点的可访问范围,以有效避免由于容器非法操作宿主节点的系统级别的内容,而导致节点的系统或者节点上其他容器组受到影响,进一步实现了将应用安全级别最高化,具有较高的应用价值。
请参考图1,图1为本申请所提供的一种容器部署方法的流程示意图,该容器部署方法可包括:
S101:根据接收到的创建指令创建虚拟数据中心;
本步骤旨在实现虚拟数据中心的创建,基于接收到的创建指令实现。具体而言,系统管理员可以在后台创建虚拟数据中心,通过向后台发送创建指令完成虚拟数据中心的创建,以便将应用容器部署在该虚拟数据中心。可以理解的是,该虚拟数据中心的数量并不唯一,一般为多个,以便实现不同的虚拟数据中心下租户对部署的应用容器具有不同的容器安全配置,同一虚拟数据中心下的租户对部署的应用容器具有相同的容器安全配置,进而达到简化容器安全权限管理配置的目的。
作为一种优选实施例,上述根据接收到的创建指令创建虚拟数据中心之后,还可以包括:将虚拟数据中心与对应的平台资源进行绑定。
具体而言,在完成虚拟数据中心创建后,即可进行平台资源绑定,根据实际需求将虚拟数据中心与对应的平台资源进行绑定,不同的虚拟数据中心对应于不同的平台资源,以便实现后续正常的业务处理。
S102:获取外部配置信息,根据外部配置信息确定容器安全策略;
本步骤旨在实现容器安全策略的确定,通过获取到的外部配置信息实现,其中,该外部配置信息由系统管理员根据实际情况或实际需求在前端可视化界面配置,在完成信息配置后生成外部配置信息发送至后台,由此,后台即可通过对该外部配置信息进行解析获得上述容器安全策略,该容器安全策略用于实现对应虚拟数据中心中的应用容器部署。需要说明的是,不同的虚拟数据中心对应于不同的容器安全策略,以有效满足不同的用户需求。此外,上述容器安全策略的具体内容并不唯一,均是由系统管理员根据实际情况设置获得,可实现应用容器部署即可,本申请对此不做限定。
作为一种优选实施例,上述根据外部配置信息确定容器安全策略,可以包括:根据外部配置信息确定特权模式权限、SELinux权限、允许扩大特权权限、超级管理员用户运行权限、文件系统超级管理员只读权限以及其它权限。
本优选实施例提供了较为具体的容器安全策略,该容器安全策略中包括有关于应用容器的多种权限设置项,如上述特权模式权限、SELinux权限、允许扩大特权权限、超级管理员用户运行权限、文件系统超级管理员只读权限以及其它权限等,这些权限设置项均可由系统管理员通过前端可视化界面进行设置。其中,特权模式是指以特权模式运行,此时应用容器中的进程绕过所有内核权限检查,本质上等价于宿主节点上的超级管理员用户;SELinux用于为对象分配权限标签;允许扩大特权,该字段控制了进程是否可以获取比父进程更多的特权,直接作用是为应用容器进程设置no_new_privs标记;禁止超级管理员用户运行,当开启时,Kubernetes在应用运行容器之前会执行检查操作,以确保应用容器进程不是以超级管理员用户运行,否则将不能启动应用容器;文件系统超级管理员只读用于设定该应用容器的文件系统根路径是否为只读;权限(Capabilities)是指为应用容器开启和禁用一部分特权,而不是超级管理员的所有特权。
S103:将容器安全策略关联至虚拟数据中心;
本步骤旨在实现容器安全策略与虚拟数据中心的关联,也就是将容器安全策略与虚拟数据中心绑定,以便实现后续的应用容器部署。当然,由于虚拟数据中心与容器安全策略一一对应,将容器安全策略关联至对应的虚拟数据中心即可。
S104:在虚拟数据中心创建并部署各应用容器。
本步骤旨在实现应用容器的创建和部署,对于用户创建的各个应用容器,直接根据容器安全策略部署至当前虚拟数据中心即可。
作为一种优选实施例,上述在虚拟数据中心创建并部署各应用容器,可以包括:获取外部用户信息,并将外部用户信息对应的用户成员添加至虚拟数据中心;当接收到用户成员发起的部署指令时,根据部署指令在虚拟数据中心创建并部署各应用容器。
本优选实施例提供了一种较为具体的应用容器部署方法。首先,获取外部用户信息,以实现用户绑定,该外部用户信息由系统管理员在前端可视化界面输入,一个外部用户信息对应于一个用户成员,由此,将该外部用户信息对应的用户成员添加至虚拟数据中心,实现对当前虚拟数据中心的用户成员维护;进一步,用户成员即可根据实际需求发起关于应用容器的部署指令,从而实现各个应用容器的创建和部署。由此,实现了同一虚拟数据中心内的所有用户成员创建的应用容器均拥有相同的容器安全策略。
作为一种优选实施例,上述根据部署指令在虚拟数据中心创建并部署各应用容器,可以包括:根据部署指令创建各应用容器;结合容器安全策略,通过容器引擎部署各应用容器。
本优选实施例提供了更为具体的应用容器部署的实现方式,即基于容器引擎实现,如Docker,容器引擎可以根据容器安全策略中的各个配置项进行容器安全上下文设置,由此,完成应用容器部署。
可见,本申请所提供的容器部署方法,通过预先配置容器安全策略,并使容器安全策略方面的权限设置和虚拟数据中心关联,使得不同的虚拟数据中心下的租户对部署的应用容器具有不同的容器安全配置,同一虚拟数据中心下的租户对部署的应用容器具有相同的容器安全配置,有效地简化了容器安全权限管理配置,进一步节省了人力成本和时间成本,提高了容器部署效率;此外,也更加方便实现应用容器级别的权限管理控制来限制容器对宿主节点的可访问范围,以有效避免由于容器非法操作宿主节点的系统级别的内容,而导致节点的系统或者节点上其他容器组受到影响,进一步实现了将应用安全级别最高化,具有较高的应用价值。
在上述各实施例的基础上,本优选实施例提供了一种更为具体的容器部署方法,请参考图2,图2为本申请所提供的一种容器部署架构图,其具体实现流程如下:
1、系统管理员在后台界面创建虚拟数据中心,并绑定平台资源;
2、在UI页面配置容器安全策略,具体可配置内容如下:
(1)配置特权模式:true或false,当为true时,该应用容器具有访问宿主机的所有权限,默认为false;
(2)SELinuxOptions:为对象分配Security标签,前提必须是宿主机开启了SELinux;
(3)允许扩大特权:true或false,当为true时,该应用容器具有比父进程更多的特权;其中,当如下情况发生时,该字段始终为true:a、以超级特权模式运行,b、进程拥有CAP_SYS_ADMIN的权限;
(4)禁止超级管理员用户运行:true或false,当为true时,运行应用容器之前将执行检查操作,以确保应用容器进程不是以超级管理员用户运行,否则将不能启动应用容器,默认为false;
(5)文件系统超级管理员只读:true或false,当为true时,该应用容器的文件系统根路径为只读,默认为false;
(6)权限(Capabilities):为列表形式,共计38个权限,常量格式为CAP_XXX;然而,当在应用容器定义中添加或删除Linux Capabilities时,必须去除常量的前缀CAP_,例如:向容器中添加CAP_SYS_TIME时,只需要填写SYS_TIME,默认14种权限;
3、将虚拟数据中心与容器安全策略关联,并在成员维护界面向该虚拟数据中心添加租户成员(用户成员);
4、对应用容器进行部署,选择对应虚拟数据中心,结合容器安全策略,容器引擎会根据设定的各配置项进行应用容器的安全上下文设置,此时,所有的应用容器都应用当前虚拟数据中心关联的容器安全策略。
可见,本申请实施例所提供的容器部署方法,通过预先配置容器安全策略,并使容器安全策略方面的权限设置和虚拟数据中心关联,使得不同的虚拟数据中心下的租户对部署的应用容器具有不同的容器安全配置,同一虚拟数据中心下的租户对部署的应用容器具有相同的容器安全配置,有效地简化了容器安全权限管理配置,进一步节省了人力成本和时间成本,提高了容器部署效率;此外,也更加方便实现应用容器级别的权限管理控制来限制容器对宿主节点的可访问范围,以有效避免由于容器非法操作宿主节点的系统级别的内容,而导致节点的系统或者节点上其他容器组受到影响,进一步实现了将应用安全级别最高化,具有较高的应用价值。
为解决上述技术问题,本申请还提供了一种容器部署装置,请参考图3,图3为本申请所提供的一种容器部署装置的结构示意图,该容器部署装置可包括:
中心创建模块1,用于根据接收到的创建指令创建虚拟数据中心;
策略确定模块2,用于获取外部配置信息,根据外部配置信息确定容器安全策略;
策略关联模块3,用于将容器安全策略关联至虚拟数据中心;
容器部署模块4,用于在虚拟数据中心创建并部署各应用容器。
可见,本申请实施例所提供的容器部署装置,通过预先配置容器安全策略,并使容器安全策略方面的权限设置和虚拟数据中心关联,使得不同的虚拟数据中心下的租户对部署的应用容器具有不同的容器安全配置,同一虚拟数据中心下的租户对部署的应用容器具有相同的容器安全配置,有效地简化了容器安全权限管理配置,进一步节省了人力成本和时间成本,提高了容器部署效率;此外,也更加方便实现应用容器级别的权限管理控制来限制容器对宿主节点的可访问范围,以有效避免由于容器非法操作宿主节点的系统级别的内容,而导致节点的系统或者节点上其他容器组受到影响,进一步实现了将应用安全级别最高化,具有较高的应用价值。
作为一种优选实施例,该容器部署装置还可包括资源绑定模块,用于在根据接收到的创建指令创建虚拟数据中心之后,将虚拟数据中心与对应的平台资源进行绑定。
作为一种优选实施例,上述策略确定模块2可具体用于获取外部配置信息,根据外部配置信息确定特权模式权限、SELinux权限、允许扩大特权权限、超级管理员用户运行权限、文件系统超级管理员只读权限以及其它权限。
作为一种优选实施例,上述容器部署模块4可包括:
用户添加单元,用于获取外部用户信息,并将外部用户信息对应的用户成员添加至虚拟数据中心;
容器部署单元,用于当接收到用户成员发起的部署指令时,根据部署指令在虚拟数据中心创建并部署各应用容器。
作为一种优选实施例,上述容器部署单元可具体用于当接收到用户成员发起的部署指令时,根据部署指令创建各应用容器;结合容器安全策略,通过容器引擎部署各应用容器。
对于本申请提供的装置的介绍请参照上述方法实施例,本申请在此不做赘述。
为解决上述技术问题,本申请还提供了一种容器部署系统,请参考图4,图4为本申请所提供的一种容器部署系统的结构示意图,该容器部署系统可包括:
存储器10,用于存储计算机程序;
处理器20,用于执行计算机程序时可实现如上述任意一种容器部署方法的步骤。
对于本申请提供的系统的介绍请参照上述方法实施例,本申请在此不做赘述。
为解决上述问题,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如上述任意一种容器部署方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本申请提供的计算机可读存储介质的介绍请参照上述方法实施例,本申请在此不做赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的技术方案进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请的保护范围内。

Claims (6)

1.一种容器部署方法,其特征在于,包括:
根据接收到的创建指令创建虚拟数据中心;
获取外部配置信息,根据所述外部配置信息确定容器安全策略;其中,不同的所述虚拟数据中心对应于不同的所述容器安全策略;同一所述虚拟数据中心下的租户对部署的应用容器具有相同的容器安全配置;
将所述容器安全策略关联至所述虚拟数据中心;
在所述虚拟数据中心创建并部署各应用容器;
所述根据所述外部配置信息确定容器安全策略,包括:
根据所述外部配置信息确定特权模式权限、SELinux权限、允许扩大特权权限、超级管理员用户运行权限、文件系统超级管理员只读权限以及其它权限;
所述在所述虚拟数据中心创建并部署各应用容器,包括:
获取外部用户信息,并将所述外部用户信息对应的用户成员添加至所述虚拟数据中心;
当接收到所述用户成员发起的部署指令时,根据所述部署指令在所述虚拟数据中心创建并部署各所述应用容器;
所述根据所述部署指令在所述虚拟数据中心创建并部署各所述应用容器,包括:
根据所述部署指令创建各所述应用容器;
结合所述容器安全策略,通过容器引擎部署各所述应用容器。
2.根据权利要求1所述的容器部署方法,其特征在于,所述根据接收到的创建指令创建虚拟数据中心之后,还包括:
将所述虚拟数据中心与对应的平台资源进行绑定。
3.一种容器部署装置,其特征在于,包括:
中心创建模块,用于根据接收到的创建指令创建虚拟数据中心;
策略确定模块,用于获取外部配置信息,根据所述外部配置信息确定容器安全策略;其中,不同的所述虚拟数据中心对应于不同的所述容器安全策略;同一所述虚拟数据中心下的租户对部署的应用容器具有相同的容器安全配置;
策略关联模块,用于将所述容器安全策略关联至所述虚拟数据中心;
容器部署模块,用于在所述虚拟数据中心创建并部署各应用容器;
其中,所述策略确定模块具体用于获取外部配置信息,根据所述外部配置信息确定特权模式权限、SELinux权限、允许扩大特权权限、超级管理员用户运行权限、文件系统超级管理员只读权限以及其它权限;
其中,所述在所述虚拟数据中心创建并部署各应用容器,包括:
获取外部用户信息,并将所述外部用户信息对应的用户成员添加至所述虚拟数据中心;
当接收到所述用户成员发起的部署指令时,根据所述部署指令在所述虚拟数据中心创建并部署各所述应用容器;
所述根据所述部署指令在所述虚拟数据中心创建并部署各所述应用容器,包括:
根据所述部署指令创建各所述应用容器;
结合所述容器安全策略,通过容器引擎部署各所述应用容器。
4.根据权利要求3所述的容器部署装置,其特征在于,还包括:
资源绑定模块,用于在所述根据接收到的创建指令创建虚拟数据中心之后,将所述虚拟数据中心与对应的平台资源进行绑定。
5.一种容器部署系统,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1或2所述的容器部署方法的步骤。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用以实现如权利要求1或2所述的容器部署方法的步骤。
CN202011041768.5A 2020-09-28 2020-09-28 一种容器部署方法、装置及相关设备 Active CN112162823B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011041768.5A CN112162823B (zh) 2020-09-28 2020-09-28 一种容器部署方法、装置及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011041768.5A CN112162823B (zh) 2020-09-28 2020-09-28 一种容器部署方法、装置及相关设备

Publications (2)

Publication Number Publication Date
CN112162823A CN112162823A (zh) 2021-01-01
CN112162823B true CN112162823B (zh) 2023-12-22

Family

ID=73861790

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011041768.5A Active CN112162823B (zh) 2020-09-28 2020-09-28 一种容器部署方法、装置及相关设备

Country Status (1)

Country Link
CN (1) CN112162823B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107920117A (zh) * 2017-11-20 2018-04-17 郑州云海信息技术有限公司 一种资源管理方法、控制设备和资源管理系统
CN110704541A (zh) * 2019-10-15 2020-01-17 浪潮云信息技术有限公司 一种Redis集群多数据中心高可用的分布式方法及架构

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10263847B2 (en) * 2015-07-31 2019-04-16 Vmware, Inc. Policy validation
US11017107B2 (en) * 2018-03-06 2021-05-25 Amazon Technologies, Inc. Pre-deployment security analyzer service for virtual computing resources
US11256817B2 (en) * 2019-02-11 2022-02-22 Red Hat, Inc. Tool for generating security policies for containers

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107920117A (zh) * 2017-11-20 2018-04-17 郑州云海信息技术有限公司 一种资源管理方法、控制设备和资源管理系统
CN110704541A (zh) * 2019-10-15 2020-01-17 浪潮云信息技术有限公司 一种Redis集群多数据中心高可用的分布式方法及架构

Also Published As

Publication number Publication date
CN112162823A (zh) 2021-01-01

Similar Documents

Publication Publication Date Title
CN108536519B (zh) 自动搭建Kubernetes主节点的方法及终端设备
US10534915B2 (en) System for virtual patching security vulnerabilities in software containers
EP2732397B1 (en) Computing device including a port and a guest domain
CN102314373B (zh) 一种基于虚拟化技术实现安全工作环境的方法
CN109379347B (zh) 一种安全防护方法及设备
DE112016005833T5 (de) Datenverarbeitungsgeräte
CN110188574B (zh) 一种Docker容器的网页防篡改系统及其方法
CN111143023B (zh) 一种资源变更的方法及装置、设备、存储介质
CN112099913A (zh) 一种基于OpenStack实现虚拟机安全隔离的方法
CN111857951A (zh) 容器化部署平台及部署方法
CN110086824B (zh) 一种虚拟机防火墙策略的自适应配置方法、装置及设备
CN113285843B (zh) 容器网络配置方法、装置、计算机可读介质及电子设备
CN117319212B (zh) 云环境下多租户隔离的密码资源自动化调度系统及其方法
US10075559B1 (en) Server configuration management system and methods
CN114968470A (zh) 基于k8s集群的容器检测方法、装置、电子设备及存储装置
CN112162823B (zh) 一种容器部署方法、装置及相关设备
CN106502759A (zh) 一种数据访问方法、代码调用方法及虚拟机监视器
CN116107715B (zh) 一种运行Docker容器任务的方法和任务调度器
CN109783196B (zh) 一种虚拟机的迁移方法及装置
CN112202711A (zh) 终端的网络访问控制方法、装置、电子设备及存储介质
CN116702126A (zh) 应用访问控制方法和装置、计算设备和可读存储介质
CN111181929A (zh) 基于共享虚拟机文件的异构混合云架构及管理方法
CN112559132B (zh) 面向容器化部署应用的安全静态检测方法及装置
CN115809120A (zh) Docker容器的攻击模拟检测方法、系统、介质及电子设备
CN115576626A (zh) 一种usb设备安全挂载和卸载的方法、设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant