CN115499442B - 一种基于容器编排的快速部署型云计算架构 - Google Patents
一种基于容器编排的快速部署型云计算架构 Download PDFInfo
- Publication number
- CN115499442B CN115499442B CN202211421044.2A CN202211421044A CN115499442B CN 115499442 B CN115499442 B CN 115499442B CN 202211421044 A CN202211421044 A CN 202211421044A CN 115499442 B CN115499442 B CN 115499442B
- Authority
- CN
- China
- Prior art keywords
- container
- data
- layer
- cloud
- chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开一种基于容器编排的快速部署型云计算架构,包括:容器云平台系统以及虚拟化区块链系统,虚拟化区块链系统是以容器云平台系统为底层搭建的虚拟链;容器云平台系统根据承载的资源配置对应数量的容器,生成的容器根据配置的容器性能及参数进行设定,基于云端的容器生成存在数量设定的上限值;首先将云端资源进行划分,产生标准化的容器类别,以容器为节点依托共识机制组网生成运行在云端平台的区块链系统;然后基于云端资源搭建的虚拟化区块链系统面向云端的容器应用进行监控和数据分析,辅助容器云安全管理;虚拟化区块链系统的网络架构包括网络层、共识层、数据层、智能合约层和应用层五个层次。
Description
技术领域
本发明涉及区块链以及云计算技术领域,尤其涉及一种基于容器编排的快速部署型云计算架构。
背景技术
目前的建筑供应链平台主要采用容器云平台系统,然而容器云平台系统发生内外部网络故障的情况下,会导致容器云数据明文展示、恶意软件植入、容器编排故障、攻击容器宿主机的问题,因此无法利用常规的云计算机构实施快速部署。
发明内容
为了解决现有技术中存在的问题,本发明提供了如下技术方案,一种基于容器编排的快速部署型云计算架构,应用区块链技术的存证、溯源、智能合约、非对称加密的技术特征,通过在云端平台构建虚拟链的形式,将容器云运行过程中发生的网络安全事件上链,基于区块链技术配置容器的分发功能,管理容器的生命周期数据,从而实现分布式技术在云计算平台的应用,优化现有的容器云的安全管理框架,提升云平台安全防护的健壮性。
容器技术是将系统具备的资源划分至独立的组内,使其称为存在边界、运行资源可配置,具备独立文件系统的进程集合,并以容器为单位运行。容器可有效整合系统资源,使划分的资源得到最优配置,达到不同程序并行运行的效果。容器云依托云计算资源,将容器部署在云端,以容器的逻辑划分云计算资源。随着容器技术的普及,越来越多的企业开始使用容器云平台系统,特别是建筑供应链平台的建设等。容器云平台系统将容器和容器配置功能部署云端,以云端资源部署对应的容器,以云计算管理后台实现对容器的控制、维护和操作。容器云技术为各行各业带来极大便利的同时,也产生了较多的容器云安全问题,如:容器云存在安全漏洞,云端容器无法被监控,容器与容器之间缺乏结构化数据管理模式,云端容器的使用生命周期无法被永久记录等。容器技术发展历史长达20年,经历了从Unix chroot, FreeBSD Jails, Linux VServer, Solaris Containers, Open VZ,Process Containers, LXC, Warden, LMCTFY, Doncker, Rocket到Winsows Containers的发展过程,技术发展日益成熟。Windows Containers是一种部署在云端的可在Windows和Linux环境下运行的容器技术,Containers提供了轻量级且独立的环境,可以方便地部署、取消和管理应用,且Containers地运行速度较快。2013年Docker容器引擎以及2015年Kubernetes容器编排技术的开源,推动容器技术在全球范围内受到广泛关注。在容器云市场保持高速增长的同时,也会注意到容器云安全问题日益凸显,建设配套的容器云安全防护应用势在必行,应用区块链技术以云端资源构建区块链平台,通过建设虚拟化云端区块链应用实现对容器的监控和容器生命周期管理,对于助力实现容器云平台系统的安全效率提升有促进作用。
本发明一方面提供了一种基于容器编排的快速部署型云计算架构,包括:
容器云平台系统以及虚拟化区块链系统,所述虚拟化区块链系统是以所述容器云平台系统为底层搭建的虚拟链;
所述容器云平台系统根据承载的资源配置对应数量的容器,生成的容器根据配置的容器性能及参数进行设定,基于云端的容器生成存在数量设定的上限值;首先将云端资源进行划分,产生标准化的容器类别,以容器为节点依托共识机制组网生成运行在云端平台的区块链系统;然后基于云端资源搭建的虚拟化区块链系统面向云端的容器应用进行监控和数据分析,辅助容器云安全管理;所述虚拟化区块链系统的网络架构包括网络层、共识层、数据层、智能合约层和应用层五个层次。
优选的,所述网络层是实现节点之间数据有效交互的基础,共识层的功能是整合区块链系统计算资源促进节点之间的协同计算,数据层以实现链上数据传输、构建链上“交易”数据为主要功能,智能合约层是部署链上代码的实现层,应用层是执行具体区块链业务的功能层;以容器为节点构成的区块链应用满足以上五个功能层的条件;节点分为物理节点和虚拟节点,其中以容器为节点属于虚拟节点的范畴。
优选的,网络层为基于P2P协议用于节点之间传输交易数据和区块数据,区块链底层平台的P2P传输协议基于TCP协议实现,区块链网络中的节点可同步整条区块链上的所有区块数据,当区块链产生新的交易或打包新区块时,区块链网络通过验证签名的形式对新生数据进行验证,验证通过区块链网络将会处理这批新生成的数据。
优选的,共识层为通过特定的区块链算法整合全网节点同步计算,保证节点之间的数据同步,共同计算以验证目标结果;在区块链网络对节点数量的允许范围内,网络中的节点可实时断开网络或重新加入网络,而不会影响区块链系统的整体运行效率。
优选的,数据层为区块链系统处理链上数据的计算层,区块链上进行的数据交互的形式以交易的形式完成,区块链上将完成交易后可将交易打包为区块,区块之间以梅克尔树的形式实现连接。链上发生的每笔交易均记录在区块内,每两个哈希会折算为一个总哈希,每两个总哈希再次折算为上一层的汇总哈希码,最终单一区块内的所有哈希值以结构化的形式汇总为梅克尔根;单一区块分为区块头和区块体,区块体以梅克尔树的形式存放哈希数据,区块头包含的数据为梅克尔根、上一个区块头哈希、版本号、时间戳、随机数,上一个区块头哈希是连接当前区块之前的文件索引,版本号为当前区块链系统的版本号,时间戳为区块生成的具体时间标识,随机数是节点之间进行算力竞争的过程中需要求解的数学结果。
优选的,所述智能合约层是在区块链系统上部署的智能合约执行合约逻辑的区块链运行层。
优选的,应用层是以区块链底层平台为支撑,基于区块链系统搭建的实现具体业务目标的区块链应用;包括存证、溯源、智能合约三个领域,区块链存证应用借助上链数据不可篡改的特性,实现电子证据在链上的固化存储,为用户业务提供可信认证;溯源为依托区块链系统的链式数据结构,对上链数据进行追溯,实现产品的流转过程追溯;智能合约服务于合同签订和履约环节。
优选的,所述虚拟化区块链系统与所述容器云平台系统包括如下交互,其中所述交互包括在区块链的五个网络架构层级的应用,包括:
(1)网络层分为两个结构层级,即同一宿主机内部署的容器之间的通信及承载容器的不同宿主机之间的通信;同一宿主机内部的容器通过bridge的形式实现数据交互,docker为容器创建独立的网络栈,保证容器内的进程使用独立的网络环境,实现容器之间的网络栈隔离,容器与容器之间通过bridge实现通信,承载容器的不同宿主机以host的形式实现通信,容器首先通过bridge实现容器之间的通信气候通过host的形式实现跨主机数据交互;
(2)共识层为虚拟链通过特定的共识算法,关联全网各容器节点,实现虚拟化区块链系统的节点的有效组网;虚拟节点和物理节点均可通过合理的共识机制实现节点组网,鉴于搭建的虚拟化区块链主要服务于容器云的安全领域,且虚拟链运行在云计算平台内,虚拟化区块链系统采用联盟链的网络架构,采用DPOS和PBFT两种共识机制作为共识算法,虚拟链搭建过程中匹配经典区块链共识算法;
(3)数据层为虚拟链执行交易和存储数据的交互层,虚拟链产生的交易在链上执行,并写入区块内,数据存储于链式数据库内,容器的存储功能依赖宿主机的存储装置,容器节点会锚定宿主机的存储装备,节点同步链上数据后,将节点数据存储于宿主机内;区块内存储的数据为哈希码,以字节数据为存储对象;
(4)智能合约层是固化在区块链网上的代码程序,虚拟化区块链环境下,以容器为节点组成的区块链应用平台可支持使用智能合约应用,通过智能合约实现链上代码逻辑;开发人员首先使用容器专用的代码编辑器对容器智能合约进行编辑,然后以交易的形式向容器虚拟化区块链系统发送合约的部署指令,合约在单一节点部署成功后,合约数据在虚拟化区块链的全网各节点同步,最终智能合约被成功部署在区块链上;
(5)应用层是虚拟链实现应用功能的实现层,容器虚拟链的应用功能延续传统区块链底层平台的经典应用功能,即存证和溯源,通过将容器运行过程中的关键数据上链,有效记录容器信息,实现容器数据结合区块链应用的有效管理;应用层由数据上链模块、数据查验模块、数据回传模块构成;上链是实现容器数据交互的基础功能,容器运行的㡳数据通过上链模块,实现数据上链;数据查验是对上链数据进行校验,识别上链存储数据的有效性;数据回传模块是将上链数据返回至数据分析系统,进行链上数据分析。
优选的,所述容器云平台系统面临的风险包括:
(1)容器云数据明文展示;
(2)恶意软件植入;
(3)容器编排故障;
(4)攻击容器宿主机。
优选的,虚拟化区块链系统的应用总体架构分为资源层、平台层、服务层和应用层的四层架构,所述四层架构的总体应用功能包括:
(1)资源层:建设虚拟化区块链的底层计算资源为云化网络计算层以及物理支撑层,物理硬件设备是组成云计算资源的物理支撑层,物理机经过云化后产生的云计算资源为云化网络计算层,最终产生的云端资源是虚拟化区块链搭建的底层资源;
(2)平台层:容器生成后经容器编排工具实现协同计算,以容器为节点构建的虚拟化区块链系统可发挥监控容器安全状态、分发容器的作用;
(3)服务层:虚拟化区块链系统的服务功能应用方向包括两项,一是对云端部署的容器进行监控,对危险容器进行上链存证,记录危险容器的运行日志;二是对虚拟链进行管理和监控的管理后台;
(4)应用层:为虚拟化区块链的容器云平台系统的安全防护系列功能,功能包括:容器数据加密、容器分发、日志监控和生成容器授权令牌。
本发明的有益效果包括:
采用云技术、虚拟化服务器、SLB负载均衡等架构技术,实现基础设施的高可用性、横向扩展及容灾备份能力。采用Docker技术及容器编排服务,解决新系统部署慢的问题,实现快速部署和迁移,可在1个小时内完成新租户上线;采用微服务架构,解决系统性能瓶颈和需求差异化难题,可快速满足不同企业供应链差异化的强适应需求,实现业务集群和服务的弹性缩放,可承载高并发业务;采用分布式的架构,解决单点故障,确保系统高容错性和高可靠性。
附图说明
图1为本发明所述的虚拟化区块链系统的应用总体架构示意图。
具体实施方式
为了更好的理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案做详细的说明。
本发明提供的方法可以在如下的终端环境中实施,该终端可以包括一个或多个如下部件:处理器、存储器和显示屏。其中,存储器中存储有至少一条指令,所述指令由处理器加载并执行以实现下述实施例所述的方法。
处理器可以包括一个或者多个处理核心。处理器利用各种接口和线路连接整个终端内的各个部分,通过运行或执行存储在存储器内的指令、程序、代码集或指令集,以及调用存储在存储器内的数据,执行终端的各种功能和处理数据。
存储器可以包括随机存储器(Random Access Memory,RAM),也可以包括只读存储器(Read-Only Memory,ROM)。存储器可用于存储指令、程序、代码、代码集或指令。
显示屏用于显示各个应用程序的用户界面。
除此之外,本领域技术人员可以理解,上述终端的结构并不构成对终端的限定,终端可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。比如,终端中还包括射频电路、输入单元、传感器、音频电路、电源等部件,在此不再赘述。
容器技术是将系统具备的资源划分至独立的组内,使其称为存在边界、运行资源可配置,具备独立文件系统的进程集合,并以容器为单位运行。容器可有效整合系统资源,使划分的资源得到最优配置,达到不同程序并行运行的效果。容器云依托云计算资源,将容器部署在云端,以容器的逻辑划分云计算资源。随着容器技术的普及,越来越多的企业开始使用容器云平台,特别是建筑供应链平台的建设等。容器云平台将容器和容器配置功能部署云端,以云端资源部署对应的容器,以云计算管理后台实现对容器的控制、维护和操作。容器云技术为各行各业带来极大便利的同时,也产生了较多的容器云安全问题,如:容器云存在安全漏洞,云端容器无法被监控,容器与容器之间缺乏结构化数据管理模式,云端容器的使用生命周期无法被永久记录等。容器技术发展历史长达20年,经历了从Unix chroot,FreeBSD Jails, Linux VServer, Solaris Containers, Open VZ, ProcessContainers, LXC, Warden, LMCTFY, Doncker, Rocket到Winsows Containers的发展过程,技术发展日益成熟。Windows Containers是一种部署在云端的可在Windows和Linux环境下运行的容器技术,Containers提供了轻量级且独立的环境,可以方便地部署、取消和管理应用,且Containers地运行速度较快。2013年Docker容器引擎以及2015年Kubernetes容器编排技术的开源,推动容器技术在全球范围内受到广泛关注。在容器云市场保持高速增长的同时,也会注意到容器云安全问题日益凸显,建设配套的容器云安全防护应用势在必行,应用区块链技术以云端资源构建区块链平台,通过建设虚拟化云端区块链应用实现对容器的监控和容器生命周期管理,对于助力实现容器云平台系统的安全效率提升有促进作用。
本发明一方面提供了一种基于容器编排的快速部署型云计算架构,包括:
容器云平台系统以及虚拟化区块链系统,所述虚拟化区块链系统是以所述容器云平台系统为底层搭建的虚拟链。
区块链是以节点为基本组成单位,通过共识机制组网的分布式网络,数据以区块的形式存储,区块与区块首尾相连,呈链式数据结构。现阶段,区块链技术的核心应用功能为存证和溯源,区块链技术具有上链数据不可篡改的特性,数据上链后可永久在链上保存,数据在不同节点之间同步。组成区块链系统的节点形式应具备数据处理、存储的基本功能,同时支持匹配共识算法、可进行多节点组网。节点的形式为实体化物理节点,也可依托云端资源生成虚拟化节点。实体的物理PC机或服务器,虚拟化的云服务器、容器均可作为区块链系统的节点。
容器云平台系统可根据承载的资源配置对应数量的容器,生成的容器可根据配置的容器性能及参数进行设定,云计算平台因存在资源设定的上限,因此基于云端的容器生成也存在数量设定的上限值。首先将云端资源进行划分,产生标准化的容器类别,以容器为节点依托共识机制组网生成运行在云端平台的区块链系统。基于云端资源搭建的虚拟化区块链系统可面向云端的容器应用进行监控和数据分析,辅助容器云安全管理。
优选的,所述虚拟化区块链系统的网络架构包括网络层、共识层、数据层、智能合约层和应用层五个层次。网络层是实现节点之间数据有效交互的基础,共识层的功能是整合区块链系统计算资源促进节点之间的协同计算,数据层以实现链上数据传输、构建链上“交易”数据为主要功能,智能合约层是部署链上代码的实现层,应用层是执行具体区块链业务的功能层。五个功能层相互协同,实现区块链系统从底层平台到具体业务应用落地的全流程。以容器为节点构成的区块链应用满足以上五个功能层的条件,即具备区块链的基本功能。节点分为物理节点和虚拟节点,其中以容器为节点属于虚拟节点的范畴。
优选的,网络层为基于P2P协议用于节点之间传输交易数据和区块数据。本实施例的租赁区块链底层平台的P2P传输协议基于TCP协议实现,区块链网络中的节点可同步整条区块链上的所有区块数据,当区块链产生新的交易或打包新区块时,区块链网络通过验证签名的形式对新生数据进行验证,验证通过区块链网络将会处理这批新生成的数据。
优选的,共识层为通过特定的区块链算法整合全网节点同步计算,保证节点之间的数据同步,共同计算以验证目标结果。在区块链网络对节点数量的允许范围内,网络中的节点可实时断开网络或重新加入网络,而不会影响区块链系统的整体运行效率。本实施例中,租赁平台的联盟链架构网络平台以拜占庭容错作为共识算法,该算法要求全网数量三分之一以下的节点发生错误或断开区块链网络,不会对网络的整体稳定性构成威胁。
优选的,数据层为区块链系统处理链上数据的计算层,区块链上进行的数据交互的形式一般以交易的形式完成,区块链上将完成交易后可将交易打包为区块,区块之间以梅克尔树的形式实现连接。链上发生的每笔交易均记录在区块内,每两个哈希会折算为一个总哈希,每两个总哈希再次折算为上一层的汇总哈希码,最终单一区块内的所有哈希值以结构化的形式汇总为梅克尔根。单一区块分为区块头和区块体,区块体以梅克尔树的形式存放哈希数据,区块头包含的数据为梅克尔根、上一个区块头哈希、版本号、时间戳、随机数,上一个区块头哈希是连接当前区块之前的文件索引,版本号为当前区块链系统的版本号(区块链系统存在因升级迭代而导致版本号不同的现象),时间戳为区块生成的具体时间标识,随机数是节点之间进行算力竞争的过程中需要求解的数学结果。
优选的,所述智能合约层是在区块链系统上部署的智能合约执行合约逻辑的区块链运行层。智能合约是一种将算法和程序代码与区块链相结合,实现代码程序上链。智能合约编写的程序具备自动执行、不可篡改的特性,智能合约在不同用户之间进行合同约定,在数据分发方面具有自动化执行的优势。区块链技术实现了数据的多节点备份、去中心化存储,智能合约实现了区块链技术的去中心化计算。
优选的,应用层是以区块链底层平台为支撑,基于区块链系统搭建的实现具体业务目标的区块链应用。本实施例的区块链应用集中在存证、溯源、智能合约三个领域,区块链存证应用借助上链数据不可篡改的特性,实现电子证据在链上的固化存储,为用户业务提供可信认证;溯源为依托区块链系统的链式数据结构,对上链数据进行追溯,实现产品的流转过程追溯;智能合约主要服务于合同签订和履约环节,未来,智能合约的应用逻辑也在向执行业务功能多元化的方向发展。
优选的,所述虚拟化区块链系统与所述容器云平台系统包括如下交互,其中所述交互包括在区块链的五个网络架构层级的应用,包括:
(1)网络层分为两个结构层级,即同一宿主机内部署的容器之间的通信及承载容器的不同宿主机之间的通信。同一宿主机内部的容器通过bridge的形式实现数据交互,docker为容器创建独立的网络栈,保证容器内的进程使用独立的网络环境,实现容器之间的网络栈隔离,容器与容器之间通过bridge实现通信,承载容器的不同宿主机以host的形式实现通信,容器首先通过bridge实现容器之间的通信气候通过host的形式实现跨主机数据交互;
(2)共识层为虚拟链通过特定的共识算法,关联全网各容器节点,实现虚拟化区块链系统的节点的有效组网。虚拟节点和物理节点均可通过合理的共识机制实现节点组网,鉴于搭建的虚拟化区块链主要服务于容器云的安全领域,且虚拟链运行在云计算平台内(云计算平台自带网络安全防护功能,相对于公网环境较为安全),虚拟化区块链系统采用联盟链的网络架构,本实施例中,采用DPOS和PBFT两种共识机制作为共识算法,虚拟链搭建过程中可匹配经典区块链共识算法;
(3)数据层为虚拟链执行交易和存储数据的交互层,虚拟链产生的交易在链上执行,并写入区块内,数据存储于链式数据库内,容器的存储功能依赖宿主机的存储装置,容器节点会锚定宿主机的存储装备,节点同步链上数据后,将节点数据存储于宿主机内。区块内存储的数据为哈希码,以字节数据为存储对象,因此占用的内存空间较小,宿主机提供一定的磁盘空间,即满足虚拟化区块链上的容器数据存储需求;
(4)智能合约层是固化在区块链网上的代码程序,虚拟化区块链环境下,以容器为节点组成的区块链应用平台可支持使用智能合约应用,通过智能合约实现链上代码逻辑。开发人员首先使用容器专用的代码编辑器对容器智能合约进行编辑,然后以交易的形式向容器虚拟化区块链系统发送合约的部署指令,合约在单一节点部署成功后,合约数据在虚拟化区块链的全网各节点同步,最终智能合约被成功部署在区块链上;
(5)应用层是虚拟链实现应用功能的实现层,容器虚拟链的应用功能延续传统区块链底层平台的经典应用功能,即存证和溯源,通过将容器运行过程中的关键数据上链,有效记录容器信息,实现容器数据结合区块链应用的有效管理。应用层由数据上链模块、数据查验模块、数据回传模块构成。上链是实现容器数据交互的基础功能,容器运行的㡳数据通过上链模块,实现数据上链。数据查验是对上链数据进行校验,识别上链存储数据的有效性。数据回传模块是将上链数据返回至数据分析系统,进行链上数据分析。
优选的,所述容器云平台系统面临的风险包括:
容器云的网络攻击总体上分为两个维度:外部网络攻击和内部恶意调用服务。外部网络攻击,网络攻击者突破容器云防火墙,窃取容器云产生的数据或将病毒程序植入到容器云平台系统,造成容器云发生运行故障。攻击者对容器所在的物理宿主机进行攻击,导致宿主机的操作系统出现故障,容器编排程序错乱,容器镜像仓库被劫持。内部网络攻击,恶意管理员发出错误指令导致容器云运行不稳定,或出现容器运行故障;管理员身份信息被冒用,缺乏有效的身份认证机制,导致假冒管理员执行错误指令,具体的安全风险隐含包括:
(1)容器云数据明文展示,容器云数据缺乏加密存储机制,以明文的形式存储,当网络攻击成功后,攻击者可直接获取容器云中存储的数据;
(2)恶意软件植入,容器云为多个容器以并行或串行的方式执行计算任务,当运行的容器被植入恶意代码,会导致容器运行故障,危险容器的病毒极有可能感染其他容器,造成容器云平台系统整体出现错误;
(3)容器编排故障,容器的生成、使用和消亡全过程由容器编排工具执行对应指令,当容器编排工具遭受网络攻击后,容器的生成和管理顺序出现程序错误,导致容器与容器之间无法协同运作;
(4)攻击容器宿主机,容器云基于云端计算资源生成,IAAS层是容器云的基础层,由大量的实体物理机组成,当物理机损坏或攻击者从外部网络成功破坏宿主机后,IAAS层的故障将会传导至PAAS层,导致容器云发生运行故障。
优选的,以云计算为底层资源构建的虚拟链主要功能为:面向容器云的安全风险问题提供区块链底层支撑服务。虚拟链的应用总体架构分为资源层、平台层、服务层和应用层的四层架构,如图1所示,所述四层架构的总体应用功能包括:
(1)资源层。建设虚拟化区块链的底层计算资源为云化网络计算层以及物理支撑层,物理硬件设备是组成云计算资源的物理支撑层,物理机经过云化后产生的云计算资源为云化网络计算层,最终产生的云端资源是虚拟化区块链搭建的底层资源。
(2)平台层。云端资源组成的宿主机是容器生成的基础,容器生成后经容器编排工具实现协同计算,以容器为节点构建的虚拟化区块链系统可发挥监控容器安全状态、分发容器的作用,优化现有的容器防护体系。
(3)服务层。虚拟化区块链的服务功能应用方向为两项,一是对云端部署的容器进行监控,对危险容器进行上链存证,记录危险容器的运行日志;二是对虚拟链进行管理和监控的管理后台。
(4)应用层。为虚拟化区块链的容器云平台系统的安全防护系列功能,功能包括:容器数据加密、容器分发、日志监控、生成容器授权令牌。
本实施例采用云技术、虚拟化服务器、SLB负载均衡等架构技术,实现基础设施的高可用性、横向扩展及容灾备份能力。采用Docker技术及容器编排服务,解决新系统部署慢的问题,实现快速部署和迁移,可在1个小时内完成新租户上线;采用微服务架构,解决系统性能瓶颈和需求差异化难题,可快速满足不同企业供应链差异化的强适应需求,实现业务集群和服务的弹性缩放,可承载高并发业务;采用分布式的架构,解决单点故障,确保系统高容错性和高可靠性。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种基于容器编排的快速部署型云计算架构,其特征在于,包括:
容器云平台系统以及虚拟化区块链系统,所述虚拟化区块链系统是以所述容器云平台系统为底层搭建的虚拟链;
所述容器云平台系统根据承载的资源配置对应数量的容器,生成的容器根据配置的容器性能及参数进行设定,基于云端的容器生成存在数量设定的上限值;首先将云端资源进行划分,产生标准化的容器类别,以容器为节点依托共识机制组网生成运行在云端平台的区块链系统;然后基于云端资源搭建的虚拟化区块链系统面向云端的容器应用进行监控和数据分析,辅助容器云安全管理;所述虚拟化区块链系统的网络架构包括网络层、共识层、数据层、智能合约层和应用层五个层次。
2.根据权利要求1所述的一种基于容器编排的快速部署型云计算架构,其特征在于,所述网络层是实现节点之间数据有效交互的基础,共识层的功能是整合区块链系统计算资源促进节点之间的协同计算,数据层以实现链上数据传输、构建链上“交易”数据为主要功能,智能合约层是部署链上代码的实现层,应用层是执行具体区块链业务的功能层;以容器为节点构成的区块链应用满足以上五个功能层的条件;节点分为物理节点和虚拟节点,其中以容器为节点属于虚拟节点的范畴。
3.根据权利要求2所述的一种基于容器编排的快速部署型云计算架构,其特征在于,网络层为基于P2P协议用于节点之间传输交易数据和区块数据,区块链底层平台的P2P传输协议基于TCP协议实现,区块链网络中的节点可同步整条区块链上的所有区块数据,当区块链产生新的交易或打包新区块时,区块链网络通过验证签名的形式对新生数据进行验证,验证通过区块链网络将会处理这批新生成的数据。
4.根据权利要求2所述的一种基于容器编排的快速部署型云计算架构,其特征在于,共识层为通过特定的区块链算法整合全网节点同步计算,保证节点之间的数据同步,共同计算以验证目标结果;在区块链网络对节点数量的允许范围内,网络中的节点可实时断开网络或重新加入网络,而不会影响区块链系统的整体运行效率。
5.根据权利要求2所述的一种基于容器编排的快速部署型云计算架构,其特征在于,数据层为区块链系统处理链上数据的计算层,区块链上进行的数据交互的形式以交易的形式完成,区块链上将完成交易后可将交易打包为区块,区块之间以梅克尔树的形式实现连接;链上发生的每笔交易均记录在区块内,每两个哈希会折算为一个总哈希,每两个总哈希再次折算为上一层的汇总哈希码,最终单一区块内的所有哈希值以结构化的形式汇总为梅克尔根;单一区块分为区块头和区块体,区块体以梅克尔树的形式存放哈希数据,区块头包含的数据为梅克尔根、上一个区块头哈希、版本号、时间戳、随机数,上一个区块头哈希是连接当前区块之前的文件索引,版本号为当前区块链系统的版本号,时间戳为区块生成的具体时间标识,随机数是节点之间进行算力竞争的过程中需要求解的数学结果。
6.根据权利要求2所述的一种基于容器编排的快速部署型云计算架构,其特征在于,所述智能合约层是在区块链系统上部署的智能合约执行合约逻辑的区块链运行层。
7.根据权利要求2所述的一种基于容器编排的快速部署型云计算架构,其特征在于,应用层是以区块链底层平台为支撑,基于区块链系统搭建的实现具体业务目标的区块链应用;包括存证、溯源、智能合约三个领域,区块链存证应用借助上链数据不可篡改的特性,实现电子证据在链上的固化存储,为用户业务提供可信认证;溯源为依托区块链系统的链式数据结构,对上链数据进行追溯,实现产品的流转过程追溯;智能合约服务于合同签订和履约环节。
8.根据权利要求1所述的一种基于容器编排的快速部署型云计算架构,其特征在于,所述虚拟化区块链系统与所述容器云平台系统包括如下交互,其中所述交互包括在区块链的五个网络架构层级的应用,包括:
(1)网络层分为两个结构层级,即同一宿主机内部署的容器之间的通信及承载容器的不同宿主机之间的通信;同一宿主机内部的容器通过bridge的形式实现数据交互,docker为容器创建独立的网络栈,保证容器内的进程使用独立的网络环境,实现容器之间的网络栈隔离,容器与容器之间通过bridge实现通信,承载容器的不同宿主机以host的形式实现通信,容器首先通过bridge实现容器之间的通信气候通过host的形式实现跨主机数据交互;
(2)共识层为虚拟链通过特定的共识算法,关联全网各容器节点,实现虚拟化区块链系统的节点的有效组网;虚拟节点和物理节点均可通过合理的共识机制实现节点组网,鉴于搭建的虚拟化区块链主要服务于容器云的安全领域,且虚拟链运行在云计算平台内,虚拟化区块链系统采用联盟链的网络架构,采用DPOS和PBFT两种共识机制作为共识算法,虚拟链搭建过程中匹配经典区块链共识算法;
(3)数据层为虚拟链执行交易和存储数据的交互层,虚拟链产生的交易在链上执行,并写入区块内,数据存储于链式数据库内,容器的存储功能依赖宿主机的存储装置,容器节点会锚定宿主机的存储装备,节点同步链上数据后,将节点数据存储于宿主机内;区块内存储的数据为哈希码,以字节数据为存储对象;
(4)智能合约层是固化在区块链网上的代码程序,虚拟化区块链环境下,以容器为节点组成的区块链应用平台可支持使用智能合约应用,通过智能合约实现链上代码逻辑;开发人员首先使用容器专用的代码编辑器对容器智能合约进行编辑,然后以交易的形式向容器虚拟化区块链系统发送合约的部署指令,合约在单一节点部署成功后,合约数据在虚拟化区块链的全网各节点同步,最终智能合约被成功部署在区块链上;
(5)应用层是虚拟链实现应用功能的实现层,容器虚拟链的应用功能包括存证和溯源,通过将容器运行过程中的关键数据上链,有效记录容器信息,实现容器数据结合区块链应用的有效管理;应用层由数据上链模块、数据查验模块、数据回传模块构成;上链是实现容器数据交互的基础功能,容器运行的㡳数据通过上链模块,实现数据上链;数据查验是对上链数据进行校验,识别上链存储数据的有效性;数据回传模块是将上链数据返回至数据分析系统,进行链上数据分析。
9.根据权利要求1所述的一种基于容器编排的快速部署型云计算架构,其特征在于,所述容器云平台系统面临的风险包括:
(1)容器云数据明文展示;
(2)恶意软件植入;
(3)容器编排故障;
(4)攻击容器宿主机。
10.根据权利要求1所述的一种基于容器编排的快速部署型云计算架构,其特征在于,虚拟化区块链系统的应用总体架构分为资源层、平台层、服务层和应用层的四层架构,所述四层架构的总体应用功能包括:
(1)资源层:建设虚拟化区块链的底层计算资源为云化网络计算层以及物理支撑层,物理硬件设备是组成云计算资源的物理支撑层,物理机经过云化后产生的云计算资源为云化网络计算层,最终产生的云端资源是虚拟化区块链搭建的底层资源;
(2)平台层:容器生成后经容器编排工具实现协同计算,以容器为节点构建的虚拟化区块链系统可发挥监控容器安全状态、分发容器的作用;
(3)服务层:虚拟化区块链系统的服务功能应用方向包括两项,一是对云端部署的容器进行监控,对危险容器进行上链存证,记录危险容器的运行日志;二是对虚拟链进行管理和监控的管理后台;
(4)应用层:为虚拟化区块链的容器云平台系统的安全防护系列功能,功能包括:容器数据加密、容器分发、日志监控和生成容器授权令牌。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211421044.2A CN115499442B (zh) | 2022-11-15 | 2022-11-15 | 一种基于容器编排的快速部署型云计算架构 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211421044.2A CN115499442B (zh) | 2022-11-15 | 2022-11-15 | 一种基于容器编排的快速部署型云计算架构 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115499442A CN115499442A (zh) | 2022-12-20 |
CN115499442B true CN115499442B (zh) | 2023-01-31 |
Family
ID=85035300
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211421044.2A Active CN115499442B (zh) | 2022-11-15 | 2022-11-15 | 一种基于容器编排的快速部署型云计算架构 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115499442B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116489224B (zh) * | 2023-06-19 | 2023-08-22 | 中国联合网络通信集团有限公司 | 多云容器调度方法、装置、设备及存储介质 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109743328A (zh) * | 2019-01-17 | 2019-05-10 | 杭州趣链科技有限公司 | 一种区块链开放云服务平台 |
CN110716980A (zh) * | 2018-06-27 | 2020-01-21 | 上海掌颐网络科技有限公司 | 一种基于嵌套式容器的虚拟覆盖管理共识区块链操作系统 |
CN110851167A (zh) * | 2019-11-15 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 容器环境更新方法、装置、设备及存储介质 |
CN111125249A (zh) * | 2019-12-18 | 2020-05-08 | 江苏荣泽信息科技股份有限公司 | 一种基于区块链的云服务平台 |
CN111190714A (zh) * | 2019-12-27 | 2020-05-22 | 西安交通大学 | 一种基于区块链的云计算任务调度系统及方法 |
CN111355718A (zh) * | 2020-02-25 | 2020-06-30 | 中国工商银行股份有限公司 | 区块链智能合约云化部署系统及方法 |
KR20200082390A (ko) * | 2018-12-28 | 2020-07-08 | 마린웍스 주식회사 | 블록체인 기반 선박 사고 데이터 임의 수정을 방지하기 위한 방법 |
CN112256388A (zh) * | 2020-10-15 | 2021-01-22 | 深圳壹账通智能科技有限公司 | 基于容器的区块链网络部署方法、装置、设备及存储介质 |
CN112564917A (zh) * | 2020-12-01 | 2021-03-26 | 浙商银行股份有限公司 | 一种基于区块链的云服务平台及其部署方法 |
CN112906057A (zh) * | 2021-03-18 | 2021-06-04 | 上海能链众合科技有限公司 | 一种可信构建链上隐私链上交易的计算方法 |
CN113169952A (zh) * | 2018-09-29 | 2021-07-23 | 北京连云决科技有限公司 | 一种基于区块链技术的容器云管理系统 |
CN114301972A (zh) * | 2021-12-17 | 2022-04-08 | 杭州谐云科技有限公司 | 一种基于云边协同的区块链节点分级部署方法和系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11316690B2 (en) * | 2017-09-13 | 2022-04-26 | Vijay Madisetti | Blockchain token-based cloud orchestration architecture for discrete virtual network instances |
-
2022
- 2022-11-15 CN CN202211421044.2A patent/CN115499442B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110716980A (zh) * | 2018-06-27 | 2020-01-21 | 上海掌颐网络科技有限公司 | 一种基于嵌套式容器的虚拟覆盖管理共识区块链操作系统 |
CN113169952A (zh) * | 2018-09-29 | 2021-07-23 | 北京连云决科技有限公司 | 一种基于区块链技术的容器云管理系统 |
KR20200082390A (ko) * | 2018-12-28 | 2020-07-08 | 마린웍스 주식회사 | 블록체인 기반 선박 사고 데이터 임의 수정을 방지하기 위한 방법 |
CN109743328A (zh) * | 2019-01-17 | 2019-05-10 | 杭州趣链科技有限公司 | 一种区块链开放云服务平台 |
CN110851167A (zh) * | 2019-11-15 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 容器环境更新方法、装置、设备及存储介质 |
CN111125249A (zh) * | 2019-12-18 | 2020-05-08 | 江苏荣泽信息科技股份有限公司 | 一种基于区块链的云服务平台 |
CN111190714A (zh) * | 2019-12-27 | 2020-05-22 | 西安交通大学 | 一种基于区块链的云计算任务调度系统及方法 |
CN111355718A (zh) * | 2020-02-25 | 2020-06-30 | 中国工商银行股份有限公司 | 区块链智能合约云化部署系统及方法 |
CN112256388A (zh) * | 2020-10-15 | 2021-01-22 | 深圳壹账通智能科技有限公司 | 基于容器的区块链网络部署方法、装置、设备及存储介质 |
CN112564917A (zh) * | 2020-12-01 | 2021-03-26 | 浙商银行股份有限公司 | 一种基于区块链的云服务平台及其部署方法 |
CN112906057A (zh) * | 2021-03-18 | 2021-06-04 | 上海能链众合科技有限公司 | 一种可信构建链上隐私链上交易的计算方法 |
CN114301972A (zh) * | 2021-12-17 | 2022-04-08 | 杭州谐云科技有限公司 | 一种基于云边协同的区块链节点分级部署方法和系统 |
Non-Patent Citations (2)
Title |
---|
"CloudPoS: A Proof-of-Stake Consensus Design for Blockchain Integrated Cloud";D. Tosh等;《2018 IEEE 11th International Conference on Cloud Computing (CLOUD)》;20180911;全文 * |
"融合区块链技术的容器云安全应用";郑尚卓等;《电力安全技术》;20220220;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115499442A (zh) | 2022-12-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Gueta et al. | SBFT: A scalable and decentralized trust infrastructure | |
CN110915166B (zh) | 区块链 | |
EP3520368B1 (en) | Device-driven auto-recovery using multiple recovery sources | |
KR102050188B1 (ko) | 마이크로서비스 시스템 및 방법 | |
CN109472572B (zh) | 基于区块链主链加并行多子链的合约系统 | |
Yang et al. | Blockchain-based secure distributed control for software defined optical networking | |
CN106911648B (zh) | 一种环境隔离方法及设备 | |
Stathakopoulou et al. | Mir-bft: High-throughput robust bft for decentralized networks | |
Correia et al. | Bft-to: Intrusion tolerance with less replicas | |
Jia et al. | Reliability-aware dynamic service chain scheduling in 5G networks based on reinforcement learning | |
Garcia et al. | Lazarus: Automatic management of diversity in bft systems | |
CN111949531B (zh) | 区块链网络的测试方法、装置、介质及电子设备 | |
CN115499442B (zh) | 一种基于容器编排的快速部署型云计算架构 | |
US11057209B2 (en) | Methods and systems that efficiently and securely store data | |
CN112925529B (zh) | 基于分布式云平台的应用安全分发方法、系统、装置及介质 | |
CN116155771A (zh) | 网络异常测试方法、装置、设备、存储介质和程序 | |
Stathakopoulou et al. | [Solution] Mir-BFT: scalable and robust BFT for decentralized networks | |
Sousa et al. | State machine replication for the masses with bft-smart | |
Nawab | Wedgechain: A trusted edge-cloud store with asynchronous (lazy) trust | |
Binun et al. | Self-stabilizing Byzantine-tolerant distributed replicated state machine | |
Fang et al. | Pelopartition: Improving blockchain resilience to network partitioning | |
CN112685136B (zh) | 一种智能合约运行方法、装置、设备及存储介质 | |
CN113129002A (zh) | 一种数据处理方法以及设备 | |
CN115202955A (zh) | 集群管理方法、装置、计算机设备和存储介质 | |
CN108600156A (zh) | 一种服务器及安全认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |