CN114237924A - 容器内进程管控方法、装置、设备及可读存储介质 - Google Patents
容器内进程管控方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN114237924A CN114237924A CN202111321099.1A CN202111321099A CN114237924A CN 114237924 A CN114237924 A CN 114237924A CN 202111321099 A CN202111321099 A CN 202111321099A CN 114237924 A CN114237924 A CN 114237924A
- Authority
- CN
- China
- Prior art keywords
- container
- path information
- control process
- target
- root directory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/545—Interprogram communication where tasks reside in different layers, e.g. user- and kernel-space
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/13—File access structures, e.g. distributed indices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/144—Query formulation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
Abstract
本申请公开了容器内进程管控方法、装置、设备及可读存储介质,所述容器内进程管控方法包括:获取目标管控进程在所属容器下的第一执行文件路径信息以及所述所属容器对应的路径根目录,依据所述第一执行文件路径信息和所述路径根目录对应的根目录绝对路径信息,生成所述目标管控进程对应的真实路径信息,依据所述真实路径信息,管控所述目标管控进程。本申请解决了现有技术中容器技术下操作系统的进程管控效果差的技术问题。
Description
技术领域
本申请涉及云计算技术领域,尤其涉及一种容器内进程管控方法、装置、设备及可读存储介质。
背景技术
随着计算机资源和应用服务的不断集中,为了满足超大容量、超高并发以及超快速度的场景需求,云计算技术领域正在不断升级,其中,虚拟化技术作为云计算技术领域的基础,也得到了长足发展,尤其是以Docker为代表的容器技术,凭借着将单个操作系统的资源划分到孤立的组中所带来的超高的资源利用率和低成本,成为了被大众认可的服务器资源共享方式,与此同时,对于容器技术下操作系统的进程管控也成为了亟待解决的问题,目前,通常情况下厂商会通过修改系统调用的方式,对容器下操作系统的进程进行管控,而由于容器技术通常会在同一宿主机部署多个容器,与容器外部进程共用操作系统的内核,以实现对进程占用资源的隔离,因此宿主机与各容器间的隔离性高,进而宿主机无法准确定位容器内启动的进程所使用的可执行文件,进而导致无法对容器技术下操作系统的进程进行有效管控,容器技术下操作系统的进程管控效果较差。
发明内容
本申请的主要目的在于提供一种容器内进程管控方法、装置、设备及可读存储介质,旨在解决现有技术中容器技术下操作系统的进程管控效果差的技术问题。
为实现上述目的,本申请提供一种容器内进程管控方法,所述容器内进程管控包括:
获取目标管控进程在所属容器下的第一执行文件路径信息以及所述所属容器对应的路径根目录;
依据所述第一执行文件路径信息和所述路径根目录对应的根目录绝对路径信息,生成所述目标管控进程对应的真实路径信息;
依据所述真实路径信息,管控所述目标管控进程。
可选地,所述依据所述第一执行文件路径信息和所述路径根目录对应的根目录绝对路径信息,生成所述目标管控进程对应的真实路径信息的步骤包括:
获取所述路径根目录对应的文件索引节点,并将所述文件索引节点和所述第一执行文件路径信息由内核空间传递至用户空间;
依据预设映射表,在所述用户空间内查询所述文件索引节点对应的根目录绝对路径信息;
将所述第一执行文件路径信息和所述根目录绝对路径信息进行拼接,得到所述目标管控进程对应的真实路径信息。
可选地,在所述依据预设映射表,在所述用户空间内查询所述文件索引节点对应的根目录绝对路径信息的步骤之前,所述容器内进程管控方法还包括:
扫描各预设容器对应的路径根目录,得到各所述路径根目录对应的文件索引节点和对应的根目录绝对路径信息;
依据各所述文件索引节点以及各所述根目录绝对路径信息之间的一一对应关系,建立所述预设映射表。
可选地,所述获取目标管控进程的第一执行文件路径信息的步骤包括:
通过检测所述所属容器内检测是否存在进程创建请求,确定所述目标管控进程;
查询所述目标管控进程对应的目标执行文件的相对路径信息,得到所述第一执行文件路径信息。
可选地,所述依据所述真实路径信息,管控所述目标管控进程的步骤包括:
依据所述真实路径信息,计算所述目标执行文件的信息特征值;
通过查询预设信息特征数据库中是否存在所述信息特征值,管控所述目标管控进程。
可选地,所述通过查询预设信息特征数据库中是否存在所述信息特征值,管控所述目标管控进程的步骤包括:
判断所述预设信息特征数据库中是否存在与所述信息特征值一致的标准信息特征值;
若是,则允许所述目标管控进程执行;
若否,则阻止所述目标管控进程执行。
可选地,在所述通过查询预设信息特征数据库中是否存在所述信息特征值,管控所述目标管控进程的步骤之前,所述容器内进程管控方法还包括:
扫描宿主机中的可执行文件对应的绝对路径信息;
依据所述绝对路径信息,计算所述可执行文件的标准信息特征值;
将标准信息特征值保存至所述预设信息特征数据库。
本申请还提供一种容器内进程管控装置,所述容器内进程管控装置为虚拟装置,且所述容器内进程管控装置应用于容器内进程管控设备,所述容器内进程管控装置包括:
提取模块,用于获取目标管控进程在所属容器下的第一执行文件路径信息以及所述所属容器对应的路径根目录;
生成模块,用于依据所述第一执行文件路径信息和所述路径根目录对应的根目录绝对路径信息,生成所述目标管控进程对应的真实路径信息;
管控模块,用于依据所述真实路径信息,管控所述目标管控进程。
本申请还提供一种容器内进程管控设备,所述容器内进程管控设备为实体设备,所述容器内进程管控设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的所述容器内进程管控方法的程序,所述容器内进程管控方法的程序被处理器执行时可实现如上述的容器内进程管控方法的步骤。
本申请还提供一种可读存储介质,所述可读存储介质为计算机可读存储介质,所述计算机可读存储介质上存储有实现容器内进程管控方法的程序,所述容器内进程管控方法的程序被处理器执行时实现如上述的容器内进程管控方法的步骤。
本申请提供了一种容器内进程管控方法、装置、设备、可读存储介质及计算机程序产品,相比于现有技术中通过修改系统调用的方式对容器技术下操作系统中启动进程进行管控的技术手段,本申请首先获取目标管控进程在所属容器下的第一执行文件路径信息以及所述所属容器对应的路径根目录,进而依据所述第一执行文件路径信息和所述路径根目录对应的根目录绝对路径信息,生成所述目标管控进程对应的真实路径信息,由于根目录绝对信息表示容器在宿主机中的真实位置,第一执行文件路径信息表示目标管控进程的可执行文件在容器中的真实位置,所以真实路径信息可体现宿主机和容器间的关联关系,进而依据所述真实路径信息,管控所述目标管控进程,由于宿主机与各容器间的隔离性高,所以宿主机只能获取容器内目标管控进程的可执行文件的相对位置,而可执行文件的相对位置无法准确反映可执行文件在宿主机中的真实位置,进而导致目标管控进程难以得到管控,而由于真实路径信息可准确定位可执行文件在宿主机中的真实位置,进而可实现宿主机对容器内进程的管控,所以克服了现有技术中无法对容器技术下操作系统中进程进行有效管控的技术缺陷,提升了容器技术下操作系统的进程管控效果。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请容器内进程管控方法中第一实施例的流程示意图;
图2为本申请容器内进程管控方法中第二实施例的流程示意图;
图3为本申请容器内进程管控方法中第三实施例的流程示意图;
图4为本申请实施例方案涉及的硬件运行环境的设备结构示意图。
本申请目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
首先,应当理解的是,当感知到操作系统中的进程启动时,会对启动的进程进行管控,以保证操作系统的安全性,在对操作系统的进程进行管控时,通常需要获取进程中可执行文件的位置信息,进而通过可执行文件的位置信息进行管控,但是,由于容器技术下宿主机与各容器内进程隔离性高,所以导致宿主机只能获取容器内进程的可执行文件相对于宿主机的位置,进而宿主机无法准确定位容器内进程所使用可执行文件的真实位置,使得宿主机中的操作系统无法对容器场景下运行的进程进行管控,导致容器技术下操作系统的管控效果差。
本申请实施例提供一种容器内进程管控方法,在本申请容器内进程管控方法的第一实施例中,参照图1,所述容器内进程管控方法包括:
步骤S10,获取目标管控进程在所属容器下的第一执行文件路径信息以及所述所属容器对应的路径根目录;
在本实施例中,需要说明的是,所述容器内进程方法执行于应用管控程序,所述应用管控程序部署在容器所属宿主机,所述容器为标准化的软件单元,具体包括采用容器技术打包的应用程序以及所述应用程序所需的全部依赖、其他二进制文件和配置文件,用于实现对操作系统中进程占用资源的隔离,所述宿主机为执行应用程序的实体主机,所述目标管控进程为目标容器内创建的应用程序进程,所述目标容器部署于宿主机,具体可以为用户指定的一个或多个需要进行进程管控的容器,所述第一执行文件路径信息为所述目标管控进程的可执行文件在所属容器下的可执行文件路径,所述路径根目录为挂载于宿主机中的根目录。
在一种可实施的方式中,所述宿主机的操作系统为Linux,则容器技术为运用Namespace(名称空间)、Control groups(控制组)和chroot(change to root,切根)实现容器内进程与外界的隔离,具体为采用Namespace(名称空间)为不同容器提供相应的的pid(Process Identifier,进程名)和Control groups(控制组)对不同容器进行资源限制,使得通过chroot((change to root,切根)让不同容器在不同的虚拟根目录下运行,所述第一执行文件路径信息为所属容器Namespace(名称空间)下所对应的可执行文件路径,所述路径根目录为挂载于宿主机中的虚拟根目录,可通过docker inspect命令快速定位得到,例如,假设宿主机根目录对应的名称为:x1,创建的Docker容器的路径根目录对应的文件夹为:x2,则所述路径根目录为/x1/x2。
示例性的,步骤S10包括:获取目标管控进程的可执行文件在所属容器下的可执行文件路径,并获取所述所属容器对应的挂载于宿主机中的根目录。
进一步地,在步骤S10中,所述获取目标管控进程的第一执行文件路径信息的步骤包括:
步骤S11:通过检测所述所属容器内检测是否存在进程创建请求,确定所述目标管控进程;
步骤S12:查询所述目标管控进程对应的目标执行文件的相对路径信息,得到所述第一执行文件路径信息。
在本实施例中,需要说明的是,所述检测为在宿主机的内核中检测,所述进程创建请求为进程执行创建动作,所述目标执行文件为启动所述目标进程所需的可执行文件,所述相对路径信息为所述可执行文件在宿主机中的相对路径,在一种可实施的方式中,所述宿主机的操作系统为Linux,则进程创建请求的获取方式可以为基于Linux内核hook(截获)与进程执行相关的系统调用,以监控容器内进程是否启动。
示例性的,步骤S11包括:若在宿主机的内核中检测到所述容器内进程执行创建动作,则所述创建动作对应的进程作为目标管控进程,若在宿主机的内核中未检测到所述容器内进程执行创建动作,则不存在目标管控进程,进一步地,步骤S12包括:查询所述目标管控进程对应的目标执行文件,进而获取所述目标执行文件在宿主机中的相对路径,并将所述相对路径作为所述第一执行文件路径信息。
步骤S20,依据所述第一执行文件路径信息和所述路径根目录对应的根目录绝对路径信息,生成所述目标管控进程对应的真实路径信息;
步骤S30,依据所述真实路径信息,管控所述目标管控进程。
在本实施例中,需要说明的是,所述根目录绝对路径信息为所述路径根目录在宿主机中的绝对路径,所述真实路径信息为所述目标管控进程对应的可执行文件在宿主机中的绝对路径,在一种可实施的方式中,所述宿主机的操作系统为Linux,在创建容器时使用命令可指定容器绑定宿主机的一个目录,则该绑定目录为路径根目录,所述根目录绝对路径信息为挂载于宿主机中的虚拟根目录在宿主机中的绝对路径。
示例性的,步骤S20包括:依据所述目标管控进程的可执行文件在所属容器下的可执行文件路径和所述路径根目录在宿主机中的绝对路径,生成所述目标管控进程对应的可执行文件在宿主机中的绝对路径,进一步地,步骤S30包括:依据所述目标管控进程的可执行文件的真实路径,管控所述目标管控进程。
本申请实施例提供了一种容器内进程管控方法、装置、设备可读存储介质及计算机程序产品,相比于现有技术中通过修改系统调用的方式对容器技术下操作系统启动的进程进行管控的技术手段,本申请首先获取目标管控进程在所属容器下的第一执行文件路径信息以及所述所属容器对应的路径根目录,进而依据所述第一执行文件路径信息和所述路径根目录对应的根目录绝对路径信息,生成所述目标管控进程对应的真实路径信息,由于宿主机与各容器间的隔离性高,所以宿主机只能获取容器内进程的可执行文件的相对位置,而可执行文件的相对位置无法准确定位可执行文件在宿主机中的真实位置,进而导致容器内进程难以得到管控,而由于真实路径信息可准确反映可执行文件在宿主机中的真实位置,进而可实现对容器内进程进行管控,所以克服了现有技术中无法对容器技术下操作系统中的进程进行有效管控的技术缺陷,提高了容器技术下操作系统的管控效果。
进一步地,参照图2,基于本申请的第一实施例,在本申请的另一实施例中,所述依据所述第一执行文件路径信息和所述路径根目录对应的根目录绝对路径信息,生成所述目标管控进程对应的真实路径信息的步骤包括:
步骤A10,获取所述路径根目录对应的文件索引节点,并将所述文件索引节点和所述第一执行文件路径信息由内核空间传递至用户空间;
步骤A20,依据预设映射表,在所述用户空间内查询所述文件索引节点对应的根目录绝对路径信息;
在本实施例中,需要说明的是,所述文件索引节点为文件定位标识,所述文件定位标识用于定位宿主机中的操作系统中的每一个文件,具体包括文件类型、权限、UID(UserIdentification,用户身份证明)以及GID(User Identification,群组身份证明),所述用户空间为宿主机的操作系统中的用户程序运行的空间,用于执行简单的运算,所述内核空间为宿主机的操作系统中内核程序运行的空间,用于文件读写、进程和线程管理以及调用系统资源等,所述预设映射表用于建立文件索引节点和根目录绝对路径一一对应的映射关系,例如,假设宿主机中部署有A和B两个容器,容器A对应的文件索引节点为x,对应的根目录绝对路径为y,容器B对应的文件索引节点为z,对应的根目录绝对路径为v,则所述预设映射表中的映射关系为“x-y,z-v”。
在一种可实施方式中,所述宿主机的操作系统为Linux,所述文件索引节点为inode(index node,索引节点),所述inode(index node,索引节点)用于储存文件的元信息,所述路径根目录为挂载于宿主机中的根目录文件,所述文件索引节点为所述挂载于宿主机中的虚拟根目录文件对应的inode(index node,索引节点)。
示例性的,步骤A10包括:获取所述所属容器对应的挂载于宿主机中的根目录的文件定位标识,并将所述文件定位标识和所述目标管控进程的可执行文件在所属容器下的可执行文件路径由内核空间传递至用户空间,其中,所述传递可以为采用Netlink、系统调用以及/proc文件系统等方式中的一种进行传递,进一步地,步骤A20包括:依据预设映射表,在所述用户空间内查询所述文件定位标识对应的根目录绝对路径。
进一步地,在所述依据预设映射表,在所述用户空间内查询所述文件索引节点对应的根目录绝对路径信息的步骤之前,所述容器内进程管控方法还包括:
步骤A21,扫描各预设容器对应的路径根目录,得到各所述路径根目录对应的文件索引节点和对应的根目录绝对路径信息;
步骤A22,依据各所述文件索引节点以及各所述根目录绝对路径信息之间的一一对应关系,建立所述预设映射表。
在本实施例中,需要说明的是,所述预设容器为用户指定要建立文件索引节点和根目录绝对路径映射关系的容器。
示例性的,步骤A21包括:扫描各预设容器挂载于宿主机中的根目录,得到所述根目录在宿主机中的绝对路径,并依据所述根目录在宿主机中的绝对路径查询得到对应的文件定位标识,进一步地,步骤A22包括:依据各所述预设容器对应的文件定位标识以及对应的根目录在宿主机中的绝对路径之间的一一对应关系,建立所述预设映射表并保存至数据库,其中,所述建立可以为采用共享主键方式或为唯一外键方式建立。
步骤A30,将所述第一执行文件路径信息和所述根目录绝对路径信息进行拼接,得到所述目标管控进程对应的真实路径信息。
示例性的,步骤A30包括:将所述目标管控进程的可执行文件在所属容器下的可执行文件路径与所述路径根目录在宿主机中的绝对路径进行拼接,生成所述目标管控进程的可执行文件在宿主机中的绝对路径,其中,所述拼接为采用前后拼接的方式拼接,例如,假设所述可执行文件在所属容器下的可执行文件路径为/C/D,所述路径根目录在宿主机中的绝对路径为/A/B,则以前后拼接方式拼接生成的可执行文件在宿主机中的绝对路径为/A/B/C/D。
本申请实施例提供了一种容器内进程的真实路径生成方法,也即,首先获取所述路径根目录对应的文件索引节点,并将所述文件索引节点和所述第一执行文件路径信息由内核空间传递至用户空间,实现了在用户空间同时获取文件索引节点和第一执行文件路径信息的目的,进而依据预设映射表,在所述用户空间内查询所述文件索引节点对应的根目录绝对路径信息,进而将所述第一执行文件路径信息和所述根目录绝对路径信息进行拼接,得到所述目标管控进程对应的真实路径信息,实现了在用户空间生成容器内进程的可执行文件的真实路径的目的,由于真实路径能够准确反映目标管控进程的可执行文件的在宿主机的真实路径,所以为容器内进程的管控奠定了基础。
进一步地,参照图3,基于本申请的第一实施例,在本申请的另一实施例中,所述依据所述真实路径信息,管控所述目标管控进程的步骤包括:
步骤B10:依据所述真实路径信息,计算所述目标执行文件的信息特征值;
步骤B20:通过查询预设信息特征数据库中是否存在所述信息特征值,管控所述目标管控进程。
在本实施例中,需要说明的是,所述目标执行文件为所述目标管控进程对应的可执行文件,所述信息特征值为采用信息摘要算法计算的特征值,所述特征值为可执行文件的唯一标识,所述信息摘要算法可以为MD(Message Digest,信息摘要算法)、SHA-1(SecureHash Algorithm,安全散列算法)、MAC(Message Authentication Code,消息认证码算法)以及Whirlpool等信息摘要算法中的一种,其中,MD(Message Digest,信息摘要算法)信息摘要算法包括MD2(Message-Digest Algorithm 2,信息-摘要算法2)和MD4(Message-Digest Algorithm 4,信息-摘要算法4)和MD5(Message-Digest Algorithm 5,信息-摘要算法5),例如,假设信息特征值为采用MD5(Message-Digest Algorithm 5,信息-摘要算法5)信息摘要算法计算的MD5值,则MD5值为可执行文件的唯一标识,所述计算可以为采用Linux命令行、shell(计算机壳层)、Python以及PHP(Hypertext Preprocessor,超文本预处理器)中的至少一种计算方法进行计算。
示例性的,步骤B10包括:依据所述目标管控进程对应的可执行文件在宿主机中的绝对路径,采用信息摘要算法计算所述可执行文件的特征值,进一步地,步骤B20包括:若预设信息特征数据库中存在所述可执行文件的特征值,则内核管控所述目标管控进程,若预设信息特征数据库中不存在所述可执行文件的特征值,则内核不管控所述目标管控进程。
进一步地,在步骤B20中,所述通过查询预设信息特征数据库中是否存在所述信息特征值,管控所述目标管控进程的步骤包括:
步骤B21,判断所述预设信息特征数据库中是否存在与所述信息特征值一致的标准信息特征值;
步骤B22,若是,则允许所述目标管控进程执行;
步骤B23,若否,则阻止所述目标管控进程执行。
在本实施例中,需要说明的是,所述标准信息特征值为宿主机中可执行文件的标准特征值,所述预设信息特征数据库用于存储宿主机所有可执行文件的标准特征值,在一种可实施的方式中,若所述信息摘要算法为MD5(Message-Digest Algorithm 5,信息-摘要算法5)信息摘要算法,则可通过递归遍历宿主机根目录下的所有可执行文件,并将所有可执行文件的绝对路径存入同一列表中,进而利用hashlib.md5函数计算所有可执行文件的MD5标准特征值。
示例性的,步骤B21包括:将所述目标管控进程对应的可执行文件的特征值与所述预设信息特征数据库存储的各标准特征值一一比对,判断所述预设信息特征数据库是否存在与特征值一致的标准特征值,进一步地,步骤B22包括:若所述预设信息特征数据库中存在与所述目标管控进程对应的可执行文件的特征值比对一致的标准特征值,则内核允许所述目标管控进程执行,进一步地,步骤B23包括:若所述预设信息特征数据库中不存在与所述目标管控进程对应的可执行文件的特征值比对一致的标准特征值,则内核阻止所述目标管控进程执行,其中,所述预设信息特征数据库中不存在与所述目标管控进程对应的可执行文件的特征值一致的标准特征值为所述预设信息特征库中不存在与所述目标管控进程对应的可执行文件的特征值进行比对的标准特征值或所述预设信息特征数据库中存在的可执行文件的标准特征值与所述目标管控进程对应的特征值比对不一致。
进一步地,在所述通过查询预设信息特征数据库中是否存在所述信息特征值,管控所述目标管控进程的步骤之前,所述容器内进程管控方法还包括:
步骤Z10,扫描宿主机中的可执行文件对应的绝对路径信息;
步骤Z20,依据所述绝对路径信息,计算所述可执行文件的标准信息特征值;
步骤Z30,将标准信息特征值保存至所述预设信息特征数据库。
示例性的,步骤Z10包括:扫描宿主机中的可执行文件的绝对路径信息,其中,所述绝对路径信息为绝对路径,进一步地,步骤Z20包括:依据所述绝对路径信息,计算所述可执行文件的标准特征值,其中,所述标准信息特征信息值为标准特征值,进一步地,步骤Z30包括:将所述可执行文件的标准特征值保存至所述预设信息特征数据库,其中,所述保存可以为以字典变量的结构(“文件的绝对路径”:“文件的标准特征值”)存储。
本申请实施例提供了一种基于信息特征值的容器内进程管控方法,也即,首先依据所述真实路径信息,计算所述目标执行文件的信息特征值,确定了目标执行文件的信息特征值,进而通过查询预设信息特征数据库中是否存在所述信息特征值,管控所述目标管控进程,实现了在宿主机的可执行文件的信息特征值中查询目标执行文件的信息特征值的目的,进而基于目标执行文件的信息特征值对目标管控进程进行管控,由于信息特征值能够准确反映目标管控进程的可执行文件的文件信息,因此为确定容器内进程的可执行文件的绝对路径提供了依据,进而可实现对目标管控进程的可执行文件进行管控的目的,所以为容器内进程的管控奠定了基础。
参照图4,图4是本申请实施例方案涉及的硬件运行环境的设备结构示意图。
如图4所示,该容器内进程管控设备可以包括:处理器1001,例如CPU,存储器1005,通信总线1002。其中,通信总线1002用于实现处理器1001和存储器1005之间的连接通信。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储设备。
可选地,该容器内进程管控设备还可以包括矩形用户接口、网络接口、摄像头、RF(Radio Frequency,射频)电路,传感器、硬盘电路、WiFi模块等等。矩形用户接口可以包括显示屏(Display)、输入子模块比如键盘(Keyboard),可选矩形用户接口还可以包括标准的有线接口、无线接口。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。
本领域技术人员可以理解,图4中示出的容器内进程管控设备结构并不构成对容器内进程管控设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图4所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块以及容器内进程管控程序。操作系统是管理和控制容器内进程管控设备硬件和软件资源的程序,支持容器内进程管控程序以及其它软件和/或程序的运行。网络通信模块用于实现存储器1005内部各组件之间的通信,以及与容器内进程管控系统中其它硬件和软件之间通信。
在图4所示的容器内进程管控设备中,处理器1001用于执行存储器1005中存储的容器内进程管控程序,实现上述任一项所述的容器内进程管控方法的步骤。
本申请容器内进程管控设备具体实施方式与上述容器内进程管控方法各实施例基本相同,在此不再赘述。
本申请实施例还提供一种容器内进程管控装置,所述容器内进程管控装置应用于容器内进程管控设备,所述容器内进程管控装置包括:
提取模块,用于获取目标管控进程在所属容器下的第一执行文件路径信息以及所述所属容器对应的路径根目录;
生成模块,用于依据所述第一执行文件路径信息和所述路径根目录对应的根目录绝对路径信息,生成所述目标管控进程对应的真实路径信息;
管控模块,用于依据所述真实路径信息,管控所述目标管控进程。
可选地,所述提取模块还用于:
通过在所述所属容器内检测是否存在进程创建请求,确定所述目标管控进程;
查询所述目标管控进程对应的目标执行文件的相对路径信息,得到所述第一执行文件路径信息。
可选地,所述生成模块还用于:
获取所述路径根目录对应的文件索引节点,并将所述文件索引节点和所述第一执行文件路径信息由内核空间传递至用户空间;
依据预设映射表,在所述用户空间内查询所述文件索引节点对应的根目录绝对路径信息;
将所述第一执行文件路径信息和所述根目录绝对路径信息进行拼接,得到所述目标管控进程对应的真实路径信息。
可选地,所述生成模块还用于:
扫描各预设容器对应的路径根目录,得到各所述路径根目录对应的文件索引节点和对应的根目录绝对路径信息;
依据各所述文件索引节点以及各所述根目录绝对路径信息之间的一一对应关系,建立所述预设映射表。
可选地,所述管控模块还用于:
依据所述真实路径信息,计算所述目标执行文件的信息特征值;
通过查询预设信息特征数据库中是否存在所述信息特征值,管控所述目标管控进程。
可选地,所述管控模块还用于:
判断所述预设信息特征数据库中是否存在与所述信息特征值一致的标准信息特征值;
若是,则允许所述目标管控进程执行;
若否,则阻止所述目标管控进程执行。
可选地,所述管控模块还用于:
扫描宿主机中的可执行文件对应的绝对路径信息;
依据所述绝对路径信息,计算所述可执行文件的标准信息特征值;
将标准信息特征值保存至所述预设信息特征数据库。
本申请容器内进程管控装置的具体实施方式与上述容器内进程管控方法各实施例基本相同,在此不再赘述。
本申请实施例提供了一种可读存储介质,且所述可读存储介质存储有一个或者一个以上程序,所述一个或者一个以上程序还可被一个或者一个以上的处理器执行以用于实现上述任一项所述的容器内进程管控方法的步骤。
本申请可读存储介质具体实施方式与上述容器内进程管控方法各实施例基本相同,在此不再赘述。
本申请实施例提供了一种计算机程序产品,且所述计算机程序产品包括有一个或者一个以上计算机程序,所述一个或者一个以上计算机程序还可被一个或者一个以上的处理器执行以用于实现上述任一项所述的容器内进程管控方法的步骤。
本申请计算机程序产品具体实施方式与上述容器内进程管控方法各实施例基本相同,在此不再赘述。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利处理范围内。
Claims (10)
1.一种容器内进程管控方法,其特征在于,所述容器内进程管控方法包括:
获取目标管控进程在所属容器下的第一执行文件路径信息以及所述所属容器对应的路径根目录;
依据所述第一执行文件路径信息和所述路径根目录对应的根目录绝对路径信息,生成所述目标管控进程对应的真实路径信息;
依据所述真实路径信息,管控所述目标管控进程。
2.如权利要求1所述容器内进程管控方法,其特征在于,所述依据所述第一执行文件路径信息和所述路径根目录对应的根目录绝对路径信息,生成所述目标管控进程对应的真实路径信息的步骤包括:
获取所述路径根目录对应的文件索引节点,并将所述文件索引节点和所述第一执行文件路径信息由内核空间传递至用户空间;
依据预设映射表,在所述用户空间内查询所述文件索引节点对应的根目录绝对路径信息;
将所述第一执行文件路径信息和所述根目录绝对路径信息进行拼接,得到所述目标管控进程对应的真实路径信息。
3.如权利要求2所述容器内进程管控方法,其特征在于,在所述依据预设映射表,在所述用户空间内查询所述文件索引节点对应的根目录绝对路径信息的步骤之前,所述容器内进程管控方法还包括:
扫描各预设容器对应的路径根目录,得到各所述路径根目录对应的文件索引节点和对应的根目录绝对路径信息;
依据各所述文件索引节点以及各所述根目录绝对路径信息之间的一一对应关系,建立所述预设映射表。
4.如权利要求1所述容器内进程管控方法,其特征在于,所述获取目标管控进程的第一执行文件路径信息的步骤包括:
通过检测所述所属容器内是否存在进程创建请求,确定所述目标管控进程;
查询所述目标管控进程对应的目标执行文件的相对路径信息,得到所述第一执行文件路径信息。
5.如权利要求1所述容器内进程管控方法,其特征在于,所述依据所述真实路径信息,管控所述目标管控进程的步骤包括:
依据所述真实路径信息,计算所述目标执行文件的信息特征值;
通过查询预设信息特征数据库中是否存在所述信息特征值,管控所述目标管控进程。
6.如权利要求5所述容器内进程管控方法,其特征在于,所述通过查询预设信息特征数据库中是否存在所述信息特征值,管控所述目标管控进程的步骤包括:
判断所述预设信息特征数据库中是否存在与所述信息特征值一致的标准信息特征值;
若是,则允许所述目标管控进程执行;
若否,则阻止所述目标管控进程执行。
7.如权利要求5所述容器内进程管控方法,其特征在于,在所述通过查询预设信息特征数据库中是否存在所述信息特征值,管控所述目标管控进程的步骤之前,所述容器内进程管控方法还包括:
扫描宿主机中的可执行文件对应的绝对路径信息;
依据所述绝对路径信息,计算所述可执行文件的标准信息特征值;
将标准信息特征值保存至所述预设信息特征数据库。
8.一种容器内进程管控装置,其特征在于,所述容器内进程管控装置包括:
提取模块,用于获取目标管控进程在所属容器下的第一执行文件路径信息以及所述所属容器对应的路径根目录;
生成模块,用于依据所述第一执行文件路径信息和所述路径根目录对应的根目录绝对路径信息,生成所述目标管控进程对应的真实路径信息;
管控模块,用于依据所述真实路径信息,管控所述目标管控进程。
9.一种容器内进程管控设备,其特征在于,所述容器内进程管控设备包括:存储器、处理器以及存储在存储器上的用于实现所述容器内进程管控方法的程序,
所述存储器用于存储实现容器内进程管控方法的程序;
所述处理器用于执行实现所述容器内进程管控方法的程序,以实现如权利要求1至7中任一项所述容器内进程管控方法的步骤。
10.一种计算机可读存储介质,用于存储计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的容器内进程管控方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111321099.1A CN114237924A (zh) | 2021-11-09 | 2021-11-09 | 容器内进程管控方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111321099.1A CN114237924A (zh) | 2021-11-09 | 2021-11-09 | 容器内进程管控方法、装置、设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114237924A true CN114237924A (zh) | 2022-03-25 |
Family
ID=80748786
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111321099.1A Pending CN114237924A (zh) | 2021-11-09 | 2021-11-09 | 容器内进程管控方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114237924A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116204305A (zh) * | 2022-12-21 | 2023-06-02 | 山东未来网络研究院(紫金山实验室工业互联网创新应用基地) | 一种限制Docker容器inode数量的方法 |
-
2021
- 2021-11-09 CN CN202111321099.1A patent/CN114237924A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116204305A (zh) * | 2022-12-21 | 2023-06-02 | 山东未来网络研究院(紫金山实验室工业互联网创新应用基地) | 一种限制Docker容器inode数量的方法 |
CN116204305B (zh) * | 2022-12-21 | 2023-11-03 | 山东未来网络研究院(紫金山实验室工业互联网创新应用基地) | 一种限制Docker容器inode数量的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20130298128A1 (en) | Managed control of processes including privilege escalation | |
EP3337219A1 (en) | Carrier configuration processing method, device and system, and computer storage medium | |
US20170286644A1 (en) | Protection Method and Device for Application Data | |
CN108073423B (zh) | 一种加速器加载方法、系统和加速器加载装置 | |
CN110289965B (zh) | 一种应用程序服务的管理方法及装置 | |
CN113407383B (zh) | 主备系统切换方法、装置、服务器及主备系统 | |
CN110990335A (zh) | 日志归档方法、装置、设备及计算机可读存储介质 | |
EP3796616A1 (en) | Container management method, apparatus, and device | |
US11928449B2 (en) | Information processing method, device, apparatus and system, medium, andprogram | |
US20110264767A1 (en) | Interactive processing method and apparatus between content-id management servers | |
CN112688983A (zh) | 代理权限管理装置、终端设备及存储介质 | |
CN113360913A (zh) | 一种恶意程序检测方法、装置、电子设备及存储介质 | |
CN110765394A (zh) | so文件加载方法、装置、存储介质及终端设备 | |
CN113849199B (zh) | 跨系统安装应用的方法、装置、电子设备及存储介质 | |
CN109828830B (zh) | 用于管理容器的方法和装置 | |
CN114237924A (zh) | 容器内进程管控方法、装置、设备及可读存储介质 | |
CN108062239B (zh) | 一种加速器加载方法、系统和加速器加载装置 | |
US20210218801A1 (en) | Method, apparatus and storage medium for resource configuration | |
CN110795156A (zh) | 移动存储器加载方法、瘦客户端、存储介质及装置 | |
EP3848802A1 (en) | Data management method and apparatus, and server | |
CN115499487A (zh) | 一种服务器配置文件的更新方法、装置、存储介质及设备 | |
US20210377308A1 (en) | Reducing memory footprint after tls connection establishment | |
CN115220859A (zh) | 数据输入方式的监测方法、装置、电子设备和存储介质 | |
CN112000968A (zh) | 一种访问的控制方法及装置、存储介质、电子装置 | |
CN108459899B (zh) | 信息保护方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |