CN114780211A - 管理安全容器的方法及基于安全容器的系统 - Google Patents
管理安全容器的方法及基于安全容器的系统 Download PDFInfo
- Publication number
- CN114780211A CN114780211A CN202210682473.9A CN202210682473A CN114780211A CN 114780211 A CN114780211 A CN 114780211A CN 202210682473 A CN202210682473 A CN 202210682473A CN 114780211 A CN114780211 A CN 114780211A
- Authority
- CN
- China
- Prior art keywords
- container
- management
- virtual machine
- secure
- management component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45579—I/O management, e.g. providing access to device drivers or storage
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Abstract
本说明书实施例提供管理安全容器的方法及基于安全容器的系统,其中所述管理安全容器的方法应用于安全容器宿主机侧的容器第一管理组件,所述方法包括:预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,其中,所述交互接口用于与安全容器虚拟机侧交互;获取第一管理指令;根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作。
Description
技术领域
本说明书实施例涉及计算机技术领域,特别涉及管理安全容器的方法。
背景技术
随着云计算的发展,云基础设施已经成为很多企业以及用户基础设施重要的组成部分,部分企业甚至会将自己的全部项目都托管在公共云环境上。而伴随着这些基于云计算基础设施进行开发、运维项目体量的扩张,云原生的概念也开始悄然进入人们的视线,并逐步发展壮大。安全容器是面向云原生的系统底座,能够使云服务平台从上到下构建起全栈的云原生竞争力。为了支持云原生化场景,目前的安全容器采用安全沙箱架构,使用虚拟机管理基于硬件虚拟化技术的隔离沙箱、并通过虚拟机侧的容器管控组件管理安全容器运行。但是容器管理组件会占用用户的大量资源,造成了用户资源的浪费。
发明内容
有鉴于此,本说明书实施例提供了管理安全容器的方法。本说明书一个或者多个实施例同时涉及容器第一管理组件,容器第二管理组件,基于安全容器的系统,计算设备,计算机可读存储介质以及计算机程序,以解决现有技术中存在的技术缺陷。
根据本说明书实施例的第一方面,提供了一种管理安全容器的方法,应用于安全容器宿主机侧的容器第一管理组件,所述方法包括:预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,其中,所述交互接口用于与安全容器虚拟机侧交互;获取第一管理指令;根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作。
根据本说明书实施例的第二方面,提供了一种容器第一管理组件,包括:接口封装模块,预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,其中,所述交互接口用于与安全容器虚拟机侧交互。第一指令获取模块,被配置为获取第一管理指令。管理执行模块,被配置为根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作。
根据本说明书实施例的第三方面,提供了一种管理安全容器的方法,应用于安全容器虚拟机侧的容器第二管理组件,所述方法包括:通过通信管道接收安全容器宿主机侧的容器第一管理组件的管理请求,其中,所述通信通道,由所述容器第一管理组件利用安全容器宿主机侧运行的虚拟机内核线程封装的系统调用接口建立,所述管理请求由所述容器第一管理组件根据第二管理指令相应封装获得;执行所述管理请求对应的容器管理操作。
根据本说明书实施例的第四方面,提供了一种容器第二管理组件,包括:请求接收模块,可以被配置为通过通信管道接收安全容器宿主机侧的容器第一管理组件的管理请求,其中,所述通信通道,由所述容器第一管理组件利用安全容器宿主机侧运行的虚拟机内核线程封装的系统调用接口建立,所述管理请求由所述容器第一管理组件根据第二管理指令相应封装获得。请求执行模块,被配置为执行所述管理请求对应的容器管理操作。
根据本说明书实施例的第五方面,提供了一种基于安全容器的系统,包括:安全容器宿主机侧以及安全容器虚拟机侧;所述安全容器宿主机侧包括:安全容器运行时,被配置为运行安全容器,向容器第一管理组件发送第一管理指令;容器第一管理组件,被配置为预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,其中,所述交互接口用于与安全容器虚拟机侧交互,获取第一管理指令,根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作;所述安全容器虚拟机侧包括:安全容器。
根据本说明书实施例的第六方面,提供了一种计算设备,包括:存储器和处理器;所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现本说明书任意实施例所述管理安全容器的方法的步骤。
根据本说明书实施例的第七方面,提供了一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现本说明书任意实施例所述管理安全容器的方法的步骤。
本说明书一个实施例实现了管理安全容器的方法,由于在该方法中,运行于安全容器宿主机侧的容器第一管理组件预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,其中,所述交互接口用于与安全容器虚拟机侧交互,因此容器第一管理组件在获取第一管理指令后,可以根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作,可见该方法将容器管理与项目所在虚拟机剥离,改变了侵入式的管理架构,基于虚拟机内核线程封装获得的交互接口,能够由宿主机侧的第一管理组件使用宿主机侧的资源执行容器管理操作,尽可能的减少了容器管理对虚拟机侧项目资源的占用,同时因为没有了侵入式的通道,为开放安全容器权限提供特权容器成为可能。
附图说明
图1是本说明书一个实施例提供的面向云原生的系统底座的应用场景示意图;
图2是本说明书一个实施例提供的基于安全容器的系统的应用场景示意图;
图3是本说明书一个实施例提供的管理安全容器的方法的流程图;
图4是本说明书一个实施例提供的管理安全容器的方法的处理过程流程图;
图5是本说明书一个实施例提供的容器第一管理组件的结构示意图;
图6是本说明书另一个实施例提供的管理安全容器的方法的流程图;
图7是本说明书一个实施例提供的容器第二管理组件的结构示意图;
图8是本说明书一个实施例提供的基于安全容器的系统的结构示意图;
图9是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本说明书内涵的情况下做类似推广,因此本说明书不受下面公开的具体实施的限制。
在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先,对本说明书一个或多个实施例涉及的名词术语进行解释。
容器:以标准格式封装的,运行于标准操作系统环境上的应用打包技术。
安全容器:与普通容器相比,安全容器的主要区别是每个容器都运行在单独的虚拟机中,基于虚拟化层的安全隔离,虚拟机的操作系统和宿主机是相互独立的,避免应用直接访问主机资源,从而在容器主机之间和容器之间提供额外的保护。
安全容器运行时:基于在线获取的镜像来创建和运行容器的程序,负责容器从拉取镜像到启动再到终止的整个生命周期。
VMM:virtualmachinemanager,虚拟机管理器。
Guest:安全容器的虚拟机。
Host:安全容器的宿主机。
安全容器是面向云原生的系统底座,能够使云服务平台从上到下构建起全栈的云原生竞争力。安全容器实现统一的技术架构和方案,能够支持云原生产品和全面上云的云原生化场景。为了更加安全,安全容器可以采用安全沙箱架构,包括集成兼容标准的运行时、使用Hypervisor/VMM管理基于硬件虚拟化技术的隔离沙箱、沙箱中运行独立的Guest内核,将沙箱和Guest内核融合,并通过容器管理组件管理容器运行。目前,运行在Guest虚拟机中的容器管理组件,根据安全容器运行时发送的指令对安全容器的生命周期进行管理,并辅助支持其他的管理功能。但是因为容器管理组件处于Guest虚拟机中,会占用大量项目容器的资源。而且由于在目前的架构中,Guest内需要侵入式的通道,用户容器的权限是受限的。而在另一些技术方案中,需要通过拦截和处理沙箱应用中的系统调用来进行容器管理,开销较大不适合系统调用繁重的场景。
有鉴于此,本说明书实施例提供了管理安全容器的方法及系统,以达到减少对项目资源的占用,且对上层运行的应用没有限制的目的。
为了使本说明书实施例提供的方法更加易于理解,首先结合图1和图2所示的应用场景示意图,对本说明书实施例提供的方法涉及的应用场景进行示意性说明。
图1所示为本说明书一实施例提供的面向云原生的系统底座的应用场景示意图。如图1所示,本说明书实施例提供的面向云原生的系统底座的应用场景中:安全容器采用安全沙箱架构,使用Hypervisor/VMM管理基于硬件虚拟化技术的隔离沙箱、沙箱中运行独立的Guest内核,将沙箱和Guest内核融合。在该应用场景中,安全容器可以具有资源开销小,快速轻量,以及容器执行环境多租安全,系统隔离,高性能的系统优势等特点。基于这些特点的安全容器,实现了对云原生平台,云原生应用的支持,实现了面向云原生的系统底座。在面向云原生的系统底座的应用场景下,根据本说明书实施例提供的管理安全容器的方法及系统来管理安全容器,能够有效减少对项目资源的占用,进一步提高了该应用场景下云服务的能力。
具体地,如图2所示本说明书一实施例提供的基于安全容器的系统的应用场景示意图,在安全容器宿主机侧应用了容器第一管理组件,在安全容器虚拟机侧应用了容器第二管理组件,安全容器虚拟机侧包括安全容器。例如,图2所示,安全容器虚拟机侧包括“A”,“B”,“C”三个用户容器。为了减少对用户资源的开销,所述容器第一管理组件与所述容器第二管理组件实际上是将管理功能进行了划分。所述容器第一管理组件在具体实施时,可以是库形态,包含需要长期运行的线程,运行在宿主机侧,也即所述容器第一管理组件,是在所述宿主机侧主进程的长期运行的线程中运行。所述容器第二管理组件在具体实施时,可以是二进制形态的可执行程序,包含短期运行的逻辑。长期运行的接口逻辑例如可以包括容器标准输入输出的转发、监测数据的获取以及容器进程的状态监测等等。短期执行的接口逻辑例如可以包括Guest中容器生命周期的管理。需要说明的是,应用于安全容器虚拟机侧的容器第二管理组件为可选组件,可以根据实际应用场景需要设置。例如,一些实施例中,容器第一管理组件可以通过宿主机侧用户态可用的虚拟机内核服务接口直接对安全容器进行管理,无需通过容器第二管理组件。再例如,一些实施例中,容器第一管理组件的一部分管理功能通过宿主机侧用户态可用的虚拟机内核服务接口直接对安全容器进行管理,另一部分管理功能通过第二管理组件进行管理。
在实际应用中,如图2所示的应用场景,安全容器的实现,需要宿主机侧的高层级容器运行时,安全容器运行时等多方协作来实现。具体地,在高层级容器运行时,提供与共享镜像格式、镜像管理和共享镜像相关的API接口和特性。高层级容器运行时,通过容器运行时上层接口接收对镜像,容器相关的指令。高层级容器运行时通过容器运行时接口向安全容器运行时发送创建,运行安全容器的相关指令。安全容器运行时,可以利用宿主机运行虚拟机内核线程技术,基于在线获取的镜像来创建和运行安全容器,负责安全容器从拉取镜像到启动再到终止的整个生命周期。宿主机运行虚拟机内核线程技术,是让虚拟机内的内核线程和普通用户态进程一样运行在宿主机上的技术,其核心是内存的精确共享映射和跨虚拟机线程同步。用户态,是指进程运行在用户地址空间中,被执行的代码受到处理器的检查,只能访问映射其地址空间的页表项中规定的在用户态下可访问页面的虚拟地址。利用宿主机运行虚拟机内核线程技术,可以使用宿主机上的空闲计算资源,提供虚拟机内部信息和系统接口从而实现通信管道。因此,本说明书实施例中,应用于安全容器宿主机侧的容器第一管理组件可以预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,其中,所述交互接口用于与安全容器虚拟机侧交互,在获取第一管理指令后,根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作,达到对安全容器的容器管理操作在宿主机上进行的效果。可见,本说明书实施例提供的管理安全容器的方法,利用安全容器的架构和宿主机运行虚拟机内核线程技术,打破沙箱和虚拟机内核之间的壁垒,将管控和项目分离开,有效减少了容器管理对项目资源的占用,且对上层运行的应用没有限制。
下面,对本说明书中提供的管理安全容器的方法,管理安全容器的装置,管理安全容器的系统,计算设备,以及计算机可读存储介质,在下面的实施例中逐一进行详细说明。
参见图3,图3示出了根据本说明书一个实施例提供的管理安全容器的方法的流程图,该方法应用于安全容器宿主机侧的容器第一管理组件,具体包括以下步骤。
步骤302:预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,其中,所述交互接口用于与安全容器虚拟机侧交互。
其中,所述交互接口可以多种实施方式,只要通过安全容器宿主机侧运行的虚拟机内核线程封装获得,即可与虚拟机侧的安全容器直接进行交互。所述交互例如包括:转发事件,获得虚拟机中内部信息,获得安全容器进程的信息,获得安全容器进程的输入输出流等交互。
步骤304:获取第一管理指令。
其中,所述第一管理指令的获取方式不限。例如,所述第一管理指令可以是安全容器运行时从上层接收并处理上层指令时,相应向容器第一管理组件发出的管理指令。再例如,所述第一管理指令可以是所述容器第一管理组件自身的管理逻辑而相应产生的管理指令。所述第一管理指令的具体管理内容不限,例如,可以包括:容器标准输入输出的转发、监测数据的获取以及容器进程的状态监测等等。所述容器第一管理组件可以面向安全容器运行时提供管理接口,相应地,所述获取第一管理指令,可以包括:通过所述容器第一管理组件的管理接口接收第一管理指令。其中,所述容器第一管理组件的管理接口,包括:转发容器标准输入输出的管理接口、获取监测数据的管理接口、监测容器进程状态的管理接口中的一种或多种管理接口。所述第一管理指令,可以包括:转发容器标准输入输出的管理指令、获取监测数据的管理指令、监测容器进程状态的管理指令、容器生命周期管理的管理指令中的一种或多种管理指令。可以理解的是,在实际应用中,所述容器第一管理组件提供的管理接口以及可以获取的第一管理指令可以根据实际应用场景需要灵活设置,本说明书实施例对此并不进行限制。
例如,安全容器运行时从上层接收到获取安全容器状态的第一管理指令时,相应向容器第一管理组件发出对该安全容器的状态监测的第一管理指令。
步骤306:根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作。
其中,所述容器管理操作与管理指令相应,是对管理指令的执行。如图2所示,可以对安全容器进行create(创建)/delete(删除)/kill(杀死)/start(开启)/state(状态)等操作。
通过上述实施例可见,由于在该方法中,运行于安全容器宿主机侧的容器第一管理组件预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,其中,所述交互接口用于与安全容器虚拟机侧交互,因此容器第一管理组件在获取第一管理指令后,可以根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作,从而该方法将容器管理与项目所在虚拟机剥离,改变了侵入式的管理架构,尽可能的减少了容器管理对项目资源的占用,同时因为没有了侵入式的通道,为开放安全容器权限提供特权容器成为可能。例如,根据本说明书实施例提供的管理安全容器的方法,可以使安全容器拥有root(根)用户权限。
下面,以交互接口的三种可能的实施方式为例,对本说明书实施例提供的方法进行示意性说明。
例如,一种可能的实施方式中,所述预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,包括:预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得系统调用接口以及虚拟机内核服务接口。相应地,所述根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作,包括:通过所述系统调用接口以及虚拟机内核服务接口,建立通信管道;根据所述第一管理指令,通过所述通信管道对安全容器进行所述第一管理指令对应的容器管理操作。
在本说明书中,所述系统调用接口,可以理解为通过虚拟机系统调用实现通信。在该实施例中,虚拟机内核线程封装的系统调用接口可以按场景需要设置,例如,读(read)/写(write)/开启(open)/创建目录(mkdir)/关闭(close)等等系统调用接口。通过虚拟机内核线程封装的系统调用接口可以建立通信管道,利用通信管道的通信机制,将管控和项目分离开。所述虚拟机内核服务接口,可以理解为根据实际应用中管理需要定制的接口,是对虚拟机系统原有内核功能的补充,例如,可以通过定制的虚拟机内核服务接口来实现接收虚拟机里面的安全容器进程的信号或者转发一些事件的功能。
例如,在所述交互接口可以为通过安全容器宿主机侧运行的虚拟机内核线程封装的系统调用接口以及虚拟机内核服务接口的实施例中,所述通过所述通信管道对安全容器进行所述第一管理指令对应的容器管理操作,可以包括:通过所述通信管道获取所述安全容器虚拟机侧的安全容器的标准输入输出流并进行转发。
可以理解的是,对于安全容器运行期间采集的数据来说,开销主要来源于读写文件操作,因此,可以将读写最多的容器标准输入输出转发这个管理操作放到宿主机侧的容器第一管理组件进行会节省这部分开销,因此上述实施例能够尽可能的减少容器管理对项目资源的占用。
再例如,另一种可能的实施方式中,所述预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,包括:预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得系统调用接口。例如,由于容器生命周期管理的进程执行时间短且开销可控,该部分不会占用很多用户资源,因此,可以将该部分管理操作放到虚拟机侧的容器第二管理组件来执行。具体地,例如,所述交互接口为通过安全容器宿主机侧运行的虚拟机内核线程封装的系统调用接口。相应地,所述方法,还可以包括:通过所述系统调用接口,调用虚拟机系统建立通信管道;根据第二管理指令,封装管理请求;将所述管理请求通过所述通信管道发送给容器第二管理组件,使所述容器第二管理组件执行所述管理请求对应的容器管理操作,所述容器第二管理组件运行于所述安全容器虚拟机侧。
根据实际应用场景需要,通过容器第二管理组件和容器第一管理组件进行管理的管理内容可以灵活设置,本说明书对此并不进行限制。
又例如,另一种可能的实施方式中,容器第一管理组件也可以直接利用虚拟机内核服务接口进行管理。具体地,例如,所述预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,包括:预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得虚拟机内核服务接口。相应地,所述根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作,包括:根据所述第一管理指令,通过所述虚拟机内核服务接口对安全容器进行所述第一管理指令对应的容器管理操作。
通过上述实施例可见,所述交互接口可以理解为交换数据的机制,由于宿主机运行虚拟机内核线程技术,可以使虚拟机里的内核线程像普通系统用户态空间一样运行在宿主机上,因此,可以利用宿主机上的空闲计算资源,利用安全容器宿主机侧运行的虚拟机内核线程提供虚拟机内部信息和系统接口来实现与虚拟机侧安全容器的交互,进而在宿主机侧实现对虚拟机侧的安全容器的管理。
在上述实施例中,所述封装管理请求是指,按照所述通信通道的机制要求将相关管理参数封装到管理请求中。例如,管理参数可以包括容器的起始进程的参数,容器起始进程的命令,容器起始进程的环境变量,特权参数等等。再例如,当管理指令涉及容器生命周期的管理时,封装的管理请求中可以携带安全容器的生命开始时间,结束时间等参数。
为了将管理请求发送给容器第二管理组件,需要将容器第二管理组件加载并运行到安全容器虚拟机侧,容器第二管理组件加载并运行的时机不限。例如,为了减少对用户资源的占用,本说明书一个或多个实施例中,所述方法在获取第二管理指令之后,且在所述将所述管理请求通过所述通信管道发送给容器第二管理组件之前,还包括:
将容器第二管理组件加载到所述安全容器虚拟机侧;
在所述安全容器虚拟机侧运行所述容器第二管理组件。
在该实施例中,由容器第一管理组件在存在管理需要时才将第二管理组件加载到虚拟机内并运行,从而可以尽量减少第二管理组件对用户资源的占用。
为了便于高效管理以及更进一步减少管理对用户资源的占用,本说明书一个或多个实施例中,所述容器第一管理组件,在所述安全容器宿主机侧的主进程的长期运行的线程中运行;所述容器第二管理组件,在所述安全容器虚拟机侧的短期运行的线程中运行,在所述管理操作执行完毕时退出运行。可见,在本实施例中,容器第一管理组件运行于安全容器宿主机侧主进程的线程,避免了容器第一管理组件与宿主机侧主进程远程调用的通信开销,管理更加高效,而容器第二管理组件执行完毕的及时退出更进一步减少了对用户资源的占用。
另外,容器第一管理组件还可以通过所述通信管道接收所述容器第二管理组件返回的执行结果,所述执行结果为所述容器管理操作的执行结果。例如,还可以进一步根据所述执行结果处理安全容器的状态及容器信息。其中,所述处理的具体处理内容根据管理的实际需要设置,可以包括更新,保存,删除等。例如,在所述管理请求为容器进程的状态监测时,容器第二管理组件返回的执行结果为安全容器当前的状态信息,容器第一管理组件获得安全容器当前的状态信息后,相应更新显示给上层的状态信息并将该状态信息持久化保存到存储器。
下述结合附图4,以安全容器运行时调用容器第一管理组件的某个管理接口为例,对所述管理安全容器的方法进行进一步说明。可以理解的是,容器第一管理组件可以按照管理功能的不同进行划分,面向安全容器运行时提供多个管理接口。其中,一些管理接口的管理操作可以由容器第一管理组件单独完成,另一些管理接口的管理操作可以由容器第一管理组件与容器第二管理组件协作完成。在图4所示实施例中,仅以容器第一管理组件与容器第二管理组件协作为例进行示意性说明。
图4示出了本说明书一个实施例提供的一种管理安全容器的方法的处理过程流程图,具体包括以下步骤。
步骤402:容器第一管理组件从安全容器运行时接收上层指令,获得第二管理指令。
步骤404:容器第一管理组件通过虚拟机内核线程封装的系统调用接口,调用虚拟机系统建立与安全容器虚拟机侧通信的通信管道。
步骤406:容器第一管理组件根据安全容器运行时发出的第二管理指令,封装携带管理参数的管理请求。
步骤408:容器第一管理组件通过所述通信管道将容器第二管理组件加载到安全容器虚拟机侧并运行。
在容器第二管理组件运行过程中,容器第一管理组件可以通过所述通信管道与容器通信,监听容器第二管理组件的执行情况。
例如,容器第一管理组件可以通过宿主机运行虚拟机内核线程技术启动安全容器虚拟机侧的容器第二管理组件的进程。
步骤410:容器第一管理组件将所述管理请求通过所述通信管道发送给容器第二管理组件。
步骤412:容器第二管理组件解析管理请求并执行对应的容器管理操作。
步骤414:容器第二管理组件的进程将执行结果通过通信管道发送给容器第一管理组件,并在执行完容器管理操作的逻辑后即退出。
步骤416:容器第一管理组件根据执行结果处理并保存容器的状态和信息。
通过上述处理过程可见,由于利用宿主机侧运行内核线程,将虚拟机内部的接口暴露给宿主机,从而利用宿主机侧的CPU,内存等资源,将容器第一管理组件下沉到宿主机,容器第一管理组件可以选择与虚拟机侧的容器第二管理组件协作管理,或者独自进行管理,不仅减少了通信开销而且减少了对用户资源的占用,只要按照实际应用场景需要通过虚拟机内核线程封装若干个系统调用接口即可建立通信管道,对项目应用无感知,不会对应用有额外的限制。
与上述方法实施例相对应,本说明书还提供了配置于安全容器宿主机侧的容器第一管理组件的结构实施例,图5示出了本说明书一个实施例提供的容器第一管理组件的结构示意图。如图5所示,该容器第一管理组件包括:
接口确定模块502,可以被配置为预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,其中,所述交互接口用于与安全容器虚拟机侧交互。
第一指令获取模块504,可以被配置为获取第一管理指令。
管理执行模块506,可以被配置为根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作。
由于运行于安全容器宿主机侧的容器第一管理组件预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,在获取第一管理指令后,根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作,从而该组件将容器管理与项目所在虚拟机剥离,改变了侵入式的管理架构,尽可能的减少了容器管理对项目资源的占用,同时因为没有了侵入式的通道,为开放安全容器权限提供特权容器成为可能。
本说明书一个或多个实施例中,所述接口确定模块502,可以被配置为预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得系统调用接口以及虚拟机内核服务接口。所述管理执行模块506,可以被配置为通过所述系统调用接口以及虚拟机内核服务接口,建立通信管道,根据所述第一管理指令,通过所述通信管道对安全容器进行所述第一管理指令对应的容器管理操作。
例如,所述管理执行模块506,可以被配置为通过所述通信管道获取所述安全容器虚拟机侧的安全容器的标准输入输出流并进行转发。
本说明书一个或多个实施例中,所述接口确定模块502,可以被配置为预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得系统调用接口。相应地,所述管理执行模块506,可以包括:
管道建立子模块,可以被配置为通过所述系统调用接口,调用虚拟机系统建立通信管道。
请求封装子模块,可以被配置为根据第二管理指令,封装管理请求。
协作执行子模块,可以被配置为将所述管理请求通过所述通信管道发送给容器第二管理组件,使所述容器第二管理组件执行所述管理请求对应的容器管理操作,所述容器第二管理组件运行于所述安全容器虚拟机侧
本说明书一个或多个实施例中,所述接口确定模块502,可以被配置为预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得虚拟机内核服务接口。相应地,所述管理执行模块506,可以被配置为根据所述第一管理指令,通过所述虚拟机内核服务接口对安全容器进行所述第一管理指令对应的容器管理操作。
本说明书一个或多个实施例中,所述装置还可以包括:第二组件加载模块,可以被配置为将容器第二管理组件加载到所述安全容器虚拟机侧;在所述安全容器虚拟机侧运行所述容器第二管理组件。
本说明书一个或多个实施例中,所述装置还可以包括:结果接收模块,可以被配置为通过所述通信管道接收所述容器第二管理组件返回的执行结果,所述执行结果为所述容器管理操作的执行结果。
本说明书一个或多个实施例中,所述容器第一管理组件,在所述安全容器宿主机侧的主进程的长期运行的线程中运行。所述容器第二管理组件,在所述安全容器虚拟机侧的短期运行的线程中运行,在所述管理操作执行完毕时退出运行。
上述为本实施例的一种容器第一管理组件的示意性方案。需要说明的是,该容器第一管理组件的技术方案与上述的管理安全容器的方法的技术方案属于同一构思,容器第一管理组件的技术方案未详细描述的细节内容,均可以参见上述管理安全容器的方法的技术方案的描述。
参见图6,图6示出了根据本说明书另一个实施例提供的管理安全容器的方法的流程图,该方法应用于安全容器虚拟机侧的容器第二管理组件,具体包括以下步骤。
步骤602:通过通信管道接收安全容器宿主机侧的容器第一管理组件的管理请求,其中,所述通信通道,由所述容器第一管理组件利用安全容器宿主机侧运行的虚拟机内核线程封装的系统调用接口建立,所述管理请求由所述容器第一管理组件根据获取到的第二管理指令相应封装获得。
步骤604:执行所述管理请求对应的容器管理操作。
例如,所述方法,还可以包括:通过通信管道,由所述容器第二管理组件的管理接口接收安全容器宿主机侧的容器第一管理组件的管理请求;其中,所述容器第二管理组件的管理接口,包括:容器生命周期管理的管理接口。
由于在该方法中,运行于安全容器虚拟机侧的容器第二管理组件从安全容器宿主机侧的容器第一管理组件接收管理请求,且所述通信通道,由所述容器第一管理组件利用安全容器宿主机侧运行的虚拟机内核线程建立,所述管理请求由所述容器第一管理组件根据第二管理指令相应封装获得,从而容器第二管理组件可以执行所述管理请求对应的容器管理操作,因此该方法将部分容器管理与项目所在虚拟机剥离,改变了侵入式的管理架构,尽可能的减少了容器管理对项目资源的占用,同时因为没有了侵入式的通道,为开放安全容器权限提供特权容器成为可能。例如,根据本说明书实施例提供的管理安全容器的方法,可以使安全容器拥有root权限。
与上述方法实施例相对应,本说明书还提供了配置于安全容器虚拟机侧的容器第二管理组件的结构实施例,图7示出了本说明书一个实施例提供的容器第二管理组件的结构示意图。如图7所示,该容器第二管理组件包括:
请求接收模块702,可以被配置为通过通信管道接收安全容器宿主机侧的容器第一管理组件的管理请求,其中,所述通信通道,由所述容器第一管理组件利用安全容器宿主机侧运行的虚拟机内核线程封装的系统调用接口建立,所述管理请求由所述容器第一管理组件根据获取到的第二管理指令相应封装获得。
请求执行模块704,可以被配置为执行所述管理请求对应的容器管理操作。
上述为本实施例的一种容器第二管理组件的示意性方案。需要说明的是,该容器第二管理组件的技术方案与上述的管理安全容器的方法的技术方案属于同一构思,容器第二管理组件的技术方案未详细描述的细节内容,均可以参见上述管理安全容器的方法的技术方案的描述。
与上述方法实施例相对应,本说明书还提供了基于安全容器的系统实施例。图8示出了本说明书一个实施例提供的基于安全容器的系统的结构示意图。如图8所示,该基于安全容器的系统包括:安全容器宿主机侧802以及安全容器虚拟机侧804。
所述安全容器宿主机侧802可以包括:
安全容器运行时8022,被配置为运行安全容器,向容器第一管理组件8024发送第一管理指令;
容器第一管理组件8024,被配置为预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,其中,所述交互接口用于与安全容器虚拟机侧交互,获取第一管理指令,根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作。
所述安全容器虚拟机侧804包括:安全容器8042。
本说明书一个或多个实施例中,所述容器第一管理组件8024,还可以被配置为通过系统调用接口,调用虚拟机系统建立通信管道,其中,所述系统调用接口通过安全容器宿主机侧运行的虚拟机内核线程封装获得,根据第二管理指令,封装管理请求,将所述管理请求通过所述通信管道发送给容器第二管理组件8044。
所述安全容器虚拟机侧804,还可以包括:
所述容器第二管理组件8044,可以被配置为通过通信管道接收安全容器宿主机侧的容器第一管理组件8024的管理请求,执行所述管理请求对应的容器管理操作。
上述为本实施例的一种基于安全容器的系统示意性方案。需要说明的是,该基于安全容器的系统的技术方案与上述的管理安全容器的方法的技术方案属于同一构思,基于安全容器的系统的技术方案未详细描述的细节内容,均可以参见上述管理安全容器的方法的技术方案的描述。
图9示出了根据本说明书一个实施例提供的一种计算设备900的结构框图。该计算设备900的部件包括但不限于存储器910和处理器920。处理器920与存储器910通过总线930相连接,数据库950用于保存数据。
计算设备900还包括接入设备940,接入设备940使得计算设备900能够经由一个或多个网络960通信。这些网络的示例包括公用交换电话网(PSTN)、局域网(LAN)、广域网(WAN)、个域网(PAN)或诸如因特网的通信网络的组合。接入设备940可以包括有线或无线的任何类型的网络接口(例如,网络接口卡(NIC))中的一个或多个,诸如IEEE802.11无线局域网(WLAN)无线接口、全球微波互联接入(Wi-MAX)接口、以太网接口、通用串行总线(USB)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC)接口,等等。
在本说明书的一个实施例中,计算设备900的上述部件以及图9中未示出的其他部件也可以彼此相连接,例如通过总线。应当理解,图9所示的计算设备结构框图仅仅是出于示例的目的,而不是对本说明书范围的限制。本领域技术人员可以根据需要,增添或替换其他部件。
计算设备900可以是任何类型的静止或移动计算设备,包括移动计算机或移动计算设备(例如,平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如,智能手机)、可佩戴的计算设备(例如,智能手表、智能眼镜等)或其他类型的移动设备,或者诸如台式计算机或PC的静止计算设备。计算设备900还可以是移动式或静止式的服务器。
其中,处理器920用于执行如下计算机可执行指令,该计算机可执行指令被处理器执行时实现上述管理安全容器的方法的步骤。
上述为本实施例的一种计算设备的示意性方案。需要说明的是,该计算设备的技术方案与上述的管理安全容器的方法的技术方案属于同一构思,计算设备的技术方案未详细描述的细节内容,均可以参见上述管理安全容器的方法的技术方案的描述。
本说明书一实施例还提供一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现上述管理安全容器的方法的步骤。
上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是,该存储介质的技术方案与上述的管理安全容器的方法的技术方案属于同一构思,存储介质的技术方案未详细描述的细节内容,均可以参见上述管理安全容器的方法的技术方案的描述。
本说明书一实施例还提供一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述管理安全容器的方法的步骤。
上述为本实施例的一种计算机程序的示意性方案。需要说明的是,该计算机程序的技术方案与上述的管理安全容器的方法的技术方案属于同一构思,计算机程序的技术方案未详细描述的细节内容,均可以参见上述管理安全容器的方法的技术方案的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
所述计算机指令包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本说明书实施例并不受所描述的动作顺序的限制,因为依据本说明书实施例,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本说明书实施例所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书实施例的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本说明书实施例的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。
Claims (14)
1.一种管理安全容器的方法,应用于安全容器宿主机侧的容器第一管理组件,所述方法包括:
预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,其中,所述交互接口用于与安全容器虚拟机侧的安全容器直接交互;
获取第一管理指令;
根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作。
2.根据权利要求1所述的方法,所述预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,包括:
预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得系统调用接口以及虚拟机内核服务接口;
所述根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作,包括:
通过所述系统调用接口以及虚拟机内核服务接口,建立通信管道;
根据所述第一管理指令,通过所述通信管道对安全容器进行所述第一管理指令对应的容器管理操作。
3.根据权利要求2所述的方法,所述通过所述通信管道对安全容器进行所述第一管理指令对应的容器管理操作,包括:
通过所述通信管道获取所述安全容器虚拟机侧的安全容器的标准输入输出流并进行转发。
4.根据权利要求1所述的方法,所述预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,包括:
预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得系统调用接口;
所述方法,还包括:
通过所述系统调用接口,调用虚拟机系统建立通信管道;
根据第二管理指令,封装管理请求;
将所述管理请求通过所述通信管道发送给容器第二管理组件,使所述容器第二管理组件执行所述管理请求对应的容器管理操作,所述容器第二管理组件运行于所述安全容器虚拟机侧。
5.根据权利要求1所述的方法,所述预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,包括:
预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得虚拟机内核服务接口;
所述根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作,包括:
根据所述第一管理指令,通过所述虚拟机内核服务接口对安全容器进行所述第一管理指令对应的容器管理操作。
6.根据权利要求4所述的方法,在获取第二管理指令之后,且在所述将所述管理请求通过所述通信管道发送给容器第二管理组件之前,还包括:
将容器第二管理组件加载到所述安全容器虚拟机侧;
在所述安全容器虚拟机侧运行所述容器第二管理组件。
7.根据权利要求4所述的方法,还包括:
通过所述通信管道接收所述容器第二管理组件返回的执行结果,所述执行结果为所述容器管理操作的执行结果。
8.根据权利要求4所述的方法,所述容器第一管理组件,在所述安全容器宿主机侧的主进程的长期运行的线程中运行;
所述容器第二管理组件,在所述安全容器虚拟机侧的短期运行的线程中运行,在所述管理操作执行完毕时退出运行。
9.根据权利要求2所述的方法,所述第一管理指令,包括:转发容器标准输入输出的管理指令、获取监测数据的管理指令、监测容器进程状态的管理指令、容器生命周期管理的管理指令中的一种或多种管理指令。
10.一种管理安全容器的方法,应用于安全容器虚拟机侧的容器第二管理组件,所述方法包括:
通过通信管道接收安全容器宿主机侧的容器第一管理组件的管理请求,其中,所述通信通道,由所述容器第一管理组件利用安全容器宿主机侧运行的虚拟机内核线程封装的系统调用接口建立,所述管理请求由所述容器第一管理组件根据第二管理指令相应封装获得,其中,所述第一管理组件,还用于预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,其中,所述交互接口用于与安全容器虚拟机侧的安全容器直接交互,获取第一管理指令,根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作;
执行所述管理请求对应的容器管理操作。
11.一种基于安全容器的系统,包括:安全容器宿主机侧以及安全容器虚拟机侧;
所述安全容器宿主机侧包括:
安全容器运行时,被配置为运行安全容器,向容器第一管理组件发送第一管理指令;
容器第一管理组件,被配置为预先基于安全容器宿主机侧运行的虚拟机内核线程封装获得交互接口,其中,所述交互接口用于与安全容器虚拟机侧的安全容器直接交互,获取第一管理指令,根据所述第一管理指令,通过所述交互接口对安全容器进行所述第一管理指令对应的容器管理操作;
所述安全容器虚拟机侧包括:安全容器。
12.根据权利要求11所述的系统,所述容器第一管理组件,还被配置为通过系统调用接口,调用虚拟机系统建立通信管道,其中,所述系统调用接口通过安全容器宿主机侧运行的虚拟机内核线程封装获得,根据第二管理指令,封装管理请求,将所述管理请求通过所述通信管道发送给容器第二管理组件;
所述安全容器虚拟机侧,还包括:
容器第二管理组件,被配置为通过通信管道接收安全容器宿主机侧的容器第二管理组件的管理请求,执行所述管理请求对应的容器管理操作。
13.一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至10任意一项所述管理安全容器的方法的步骤。
14.一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至10任意一项所述管理安全容器的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210682473.9A CN114780211B (zh) | 2022-06-16 | 2022-06-16 | 管理安全容器的方法及基于安全容器的系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210682473.9A CN114780211B (zh) | 2022-06-16 | 2022-06-16 | 管理安全容器的方法及基于安全容器的系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114780211A true CN114780211A (zh) | 2022-07-22 |
| CN114780211B CN114780211B (zh) | 2022-11-08 |
Family
ID=82421722
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210682473.9A Active CN114780211B (zh) | 2022-06-16 | 2022-06-16 | 管理安全容器的方法及基于安全容器的系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114780211B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117472638A (zh) * | 2023-12-27 | 2024-01-30 | 南京翼辉信息技术有限公司 | 一种实时容器故障辅助定位方法 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170168715A1 (en) * | 2015-12-11 | 2017-06-15 | Vmware, Inc. | Workload aware numa scheduling |
| US20170264684A1 (en) * | 2016-03-10 | 2017-09-14 | Vmware, Inc. | Container runtime image management across the cloud |
| WO2017223226A1 (en) * | 2016-06-23 | 2017-12-28 | Vmware, Inc. | Managing containers and container hosts in a virtualized computer system |
| US20180357068A1 (en) * | 2016-06-13 | 2018-12-13 | Dynatrace Llc | Method And System For Automated Agent Injection In Container Environments |
| CN109688002A (zh) * | 2018-12-19 | 2019-04-26 | 山东超越数控电子股份有限公司 | 一种基于web可视化虚拟机及容器管理方法及系统 |
| CN111124607A (zh) * | 2019-12-16 | 2020-05-08 | 上海大学 | Fpga虚拟化部署实现高速安全的服务器集群管理方法 |
| CN111580927A (zh) * | 2020-04-02 | 2020-08-25 | 武汉旷视金智科技有限公司 | 通信的方法及容器通信系统 |
| US20200285502A1 (en) * | 2019-03-08 | 2020-09-10 | Google Llc | Cost-Efficient High-Availability Multi-Single-Tenant Services |
| CN112231045A (zh) * | 2020-09-04 | 2021-01-15 | 北京金山云网络技术有限公司 | 对安全容器的健康检测方法、电子设备及介质 |
| CN112398688A (zh) * | 2020-11-13 | 2021-02-23 | 广东省华南技术转移中心有限公司 | 容器网络配置方法、容器网络系统以及存储介质 |
| CN112817693A (zh) * | 2021-01-28 | 2021-05-18 | 浪潮云信息技术股份公司 | 一种用于函数计算服务的安全容器系统 |
| CN114035893A (zh) * | 2021-11-02 | 2022-02-11 | 阿里巴巴(中国)有限公司 | 虚拟机管理方法以及系统 |
| CN114117410A (zh) * | 2021-11-19 | 2022-03-01 | 中国电力科学研究院有限公司 | 容器安全隔离加固方法、装置、电子设备及存储介质 |
| CN114237809A (zh) * | 2020-09-08 | 2022-03-25 | 华为云计算技术有限公司 | 一种计算机系统、容器管理方法及装置 |
| CN114244891A (zh) * | 2021-12-22 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种容器间的通信方法、装置、电子设备及存储介质 |
-
2022
- 2022-06-16 CN CN202210682473.9A patent/CN114780211B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170168715A1 (en) * | 2015-12-11 | 2017-06-15 | Vmware, Inc. | Workload aware numa scheduling |
| US20170264684A1 (en) * | 2016-03-10 | 2017-09-14 | Vmware, Inc. | Container runtime image management across the cloud |
| US20180357068A1 (en) * | 2016-06-13 | 2018-12-13 | Dynatrace Llc | Method And System For Automated Agent Injection In Container Environments |
| WO2017223226A1 (en) * | 2016-06-23 | 2017-12-28 | Vmware, Inc. | Managing containers and container hosts in a virtualized computer system |
| CN109688002A (zh) * | 2018-12-19 | 2019-04-26 | 山东超越数控电子股份有限公司 | 一种基于web可视化虚拟机及容器管理方法及系统 |
| US20200285502A1 (en) * | 2019-03-08 | 2020-09-10 | Google Llc | Cost-Efficient High-Availability Multi-Single-Tenant Services |
| CN111124607A (zh) * | 2019-12-16 | 2020-05-08 | 上海大学 | Fpga虚拟化部署实现高速安全的服务器集群管理方法 |
| CN111580927A (zh) * | 2020-04-02 | 2020-08-25 | 武汉旷视金智科技有限公司 | 通信的方法及容器通信系统 |
| CN112231045A (zh) * | 2020-09-04 | 2021-01-15 | 北京金山云网络技术有限公司 | 对安全容器的健康检测方法、电子设备及介质 |
| CN114237809A (zh) * | 2020-09-08 | 2022-03-25 | 华为云计算技术有限公司 | 一种计算机系统、容器管理方法及装置 |
| CN112398688A (zh) * | 2020-11-13 | 2021-02-23 | 广东省华南技术转移中心有限公司 | 容器网络配置方法、容器网络系统以及存储介质 |
| CN112817693A (zh) * | 2021-01-28 | 2021-05-18 | 浪潮云信息技术股份公司 | 一种用于函数计算服务的安全容器系统 |
| CN114035893A (zh) * | 2021-11-02 | 2022-02-11 | 阿里巴巴(中国)有限公司 | 虚拟机管理方法以及系统 |
| CN114117410A (zh) * | 2021-11-19 | 2022-03-01 | 中国电力科学研究院有限公司 | 容器安全隔离加固方法、装置、电子设备及存储介质 |
| CN114244891A (zh) * | 2021-12-22 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种容器间的通信方法、装置、电子设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| FREDERIK HAUSER ET AL.: "《Demo: Execution and Access Control for Restricted Application Containers on Managed Hosts (xRAC)》", 《 NOMS 2020 - 2020 IEEE/IFIP NETWORK OPERATIONS AND MANAGEMENT SYMPOSIUM》 * |
| 张楠: "云计算中使用容器技术的信息安全风险与对策", 《信息网络安全》 * |
| 郑尚卓 等: "《融合区块链技术的容器云安全应用》", 《电力安全技术》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117472638A (zh) * | 2023-12-27 | 2024-01-30 | 南京翼辉信息技术有限公司 | 一种实时容器故障辅助定位方法 |
| CN117472638B (zh) * | 2023-12-27 | 2024-03-15 | 南京翼辉信息技术有限公司 | 一种实时容器故障辅助定位方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114780211B (zh) | 2022-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10637796B2 (en) | Linking instances within a cloud computing environment | |
| US11829787B2 (en) | Multi-process model for cross-platform applications | |
| US9990232B2 (en) | Quality of service tagging for computing jobs | |
| US9582319B2 (en) | Migrating virtual machines across network separated data centers | |
| KR102059219B1 (ko) | 컴퓨터 시스템과 관련된 하드웨어 자원의 가상화를 위한 방법, 시스템 및 실행가능한 코드 조각 | |
| WO2020228838A1 (zh) | 容器化vnf的部署方法和相关设备 | |
| US20160314008A1 (en) | Method for implementing gpu virtualization and related apparatus, and system | |
| EP4002121A1 (en) | Middleware interface and middleware interface generator | |
| TWI715762B (zh) | 虛擬機器創建方法和裝置 | |
| CN110134494B (zh) | 一种基于Docker容器的容器自动化管理方法 | |
| BR112021009629A2 (pt) | método de processamento do conteúdo da interface de usuário, sistema, e, mídia legível por computador não transitória | |
| CN114780211B (zh) | 管理安全容器的方法及基于安全容器的系统 | |
| CN115309511B (zh) | 基于Xen的数据交互方法、装置、存储介质以及电子设备 | |
| CN112835632B (zh) | 一种端能力的调用方法、设备和计算机存储介质 | |
| CN116820764A (zh) | 一种计算资源的提供方法、系统、电子设备及存储介质 | |
| EP4095723B1 (en) | Permission reuse method, permission reuse-based resource access method, and related device | |
| CN106844763B (zh) | 一种对互联网媒体文件进行修改式展现的方法及其装置 | |
| WO2018119616A1 (zh) | 多操作系统多媒体数据编解码方法、装置、电子设备和计算机程序产品 | |
| WO2023143545A1 (zh) | 资源处理方法、装置、电子设备及计算机可读存储介质 | |
| CN115774700A (zh) | 文件共享方法、装置、计算机设备及存储介质 | |
| CN114840310A (zh) | 容器创建方法、装置、电子设备和计算机可读存储介质 | |
| CN115268950A (zh) | 一种镜像文件导入方法及装置 | |
| CN109669793B (zh) | 中间件进程内对象调用方法 | |
| CN117170738B (zh) | Python与Fortran互调用的方法、系统、设备及存储介质 | |
| Zhang et al. | Cloud terminal for bulk power grid dispatching system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230529 Address after: Room 1-2-A06, Yungu Park, No. 1008 Dengcai Street, Sandun Town, Xihu District, Hangzhou City, Zhejiang Province, 310024 Patentee after: Aliyun Computing Co.,Ltd. Address before: Room 554, 5 / F, building 3, 969 Wenyi West Road, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province Patentee before: Alibaba (China) Co.,Ltd. |
|
| TR01 | Transfer of patent right |