CN117093987A - 涉密集群系统及基于涉密应用保密等级的容器技术利用方法 - Google Patents
涉密集群系统及基于涉密应用保密等级的容器技术利用方法 Download PDFInfo
- Publication number
- CN117093987A CN117093987A CN202310716110.7A CN202310716110A CN117093987A CN 117093987 A CN117093987 A CN 117093987A CN 202310716110 A CN202310716110 A CN 202310716110A CN 117093987 A CN117093987 A CN 117093987A
- Authority
- CN
- China
- Prior art keywords
- security
- container
- application
- mirror image
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005516 engineering process Methods 0.000 title claims abstract description 33
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000002955 isolation Methods 0.000 claims abstract description 17
- 238000000926 separation method Methods 0.000 claims abstract description 6
- 238000009434 installation Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 71
- 238000010586 diagram Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种涉密集群系统,适用于Kubernetes集群系统,以及所述的涉密集群系统的基于涉密应用保密等级的容器技术利用方法。该系统包括管理集群、业务集群、镜像仓库和集群网络四部分内容。该方法适配了将容器技术和Kubernetes技术应用到涉密领域的安全性要求,提出基于密级的集群网络分离、基于密级匹配镜像调度、容器镜像隔离、安全容器应用部署的方法,能消除存在的安全隐患,提升涉密应用容器运行的稳定性和运行环境的安全性。本发明通过安全容器,承载应用容器的内核、计算资源、存储和网络都是隔离的,避免应用直接访问主机操作系统。
Description
技术领域
本发明涉及云计算容器技术领域,具体涉及一种涉密集群系统,适用于Kubernetes集群系统,以及所述的涉密集群系统的基于涉密应用保密等级的容器技术利用方法。
背景技术
容器技术属于轻量级的虚拟化技术,通过共享主机操作系统内核,虚拟出的类似沙箱的小规模运行环境,每个容器都具有自己的文件系统、CPU、内存和进程控件等。虚拟机实现了操作系统级别的隔离,而容器技术实现了操作系统下进程级别的隔离。容器非常轻巧且启动迅速,能实现秒级启动,而虚拟机体积更大且启动时间更长。
镜像是容器技术的核心概念之一,是一个轻量级、可执行的独立软件包,封装了应用程序及其所有软件依赖的二进制数据。镜像实际上是由一层一层的只读文件系统组合而成,每层文件系统具有独特的hash值,通过联合文件系统(UnionFS)将各层只读文件系统叠加起来,挂载到同一个包含所有底层文件和目录的虚拟文件系统下。多个镜像可复用具备相同hash值的文件系统层。执行和存储容器的写操作时,会把镜像文件层复制到容器层修改,保证镜像层不变。
Kubernetes是一个开源的容器编排调度框架,用于调度管理容器化的工作负载和服务,已成为云原生领域的容器编排调度事实标准,被业界广泛应用。
然而,容器技术和Kubernetes技术在运用到涉密应用领域时存在安全隐患。现有主流的容器共享操作系统内核,已知的漏洞允许恶意用户逃逸容器并访问内核和共享的容器。原生Docker技术在运行容器时,利用镜像层hash值实现基础镜像的复用。但多个容器应用共享基础镜像也带来了安全隐患,基础镜像的损坏或被攻击可能会导致大面积应用无法使用。
Kubernetes是面向通用场景来管理容器工作负载和服务,无法实现不同密级应用之间的隔离,在应用到涉密领域时,需进行针对性地对Kubernetes集群部署方式和应用调度方式改造,以匹配涉密领域要求。
发明内容
针对现有容器技术在运用到涉密领域时存在的不足和安全隐患,本发明提出一种涉密集群系统,适用于Kubernetes集群系统,以及所述的涉密集群系统的基于涉密应用保密等级的容器技术利用方法,实现基于集群网络分离、密级匹配镜像调度、容器镜像隔离和安全容器应用部署。
一方面,本发明提出一种涉密集群系统,所述涉密集群系统适用于Kubernetes集群系统,该系统包括管理集群、业务集群、镜像仓库和集群网络四部分内容;
管理集群,部署Kubernetes集群的管理组件,管理节点通过高可用的方式部署,通过集群管理网络管理业务集群和镜像仓库;
业务集群部署业务应用,业务应用部署在匹配应用密级的业务集群中,不同密级的业务集群之间彼此物理隔离;业务集群的每个节点具备管理网卡和业务网卡两个网络出口,管理网卡接入统一的管理网络中,业务网卡接入匹配密级的业务网络中。
镜像仓库,统一管理所有的保密等级的镜像,通过管理网络接受管理集群对镜像的统一调度;
集群网络,分为管理网络和业务网络两部分;管理网络是管理集群、业务集群和镜像仓库通信的专用网络,主要传输管理控制数据和镜像数据;业务网络按照保密等级分为非密网络、机密网络和秘密网络,不同等级的网络之间相互隔离。
进一步地,所述集群网络将Kubernetes集群网络分为管控网络和数据网络;管理集群通过加密认证的管控网络实现对所有业务应用集群和镜像仓库的管理,业务应用集群和镜像仓库只能和管理集群进行一对一通信,相互之间无法通过管理网络进行访问;不同密级业务应用集群之间实现物理隔离,并接入隔离且独立的对应密级数据网络。
进一步地,所述管理集群包括主管理节点和若干个备用管理节点。
进一步地,所述镜像仓库包括非密应用镜像,机密应用镜像和秘密应用镜像。
另一方面,本发明提出一种利用上述系统的基于涉密应用保密等级的容器技术利用方法,所述方法具体包括:
步骤101:上传镜像到镜像仓库,在上传镜像时为镜像打上保密等级标签,标定镜像保密等级;
步骤102:创建应用时,从镜像仓库中选择应用对应的密级镜像;
步骤103:根据应用密级,管理节点的调度器基于密级的编排调度算法计算出应用部署的业务集群和工作节点,并通知对应的业务集群和工作节点;
步骤104:若为第一次安装,步骤103中计算得出的业务集群和工作节点通过管理网络从镜像仓库中拉取镜像;否则使用节点本地已经拉取过的镜像;
步骤105:在非密应用集群中,采用普通容器运行镜像创建应用,在机密、秘密应用集群中,采用安全容器运行镜像创建应用。
进一步地,将容器技术和Kubernetes技术应用到涉密领域的安全性要求,提出集群网络分离、基于密级匹配镜像调度、容器镜像隔离、安全容器应用部署的方法,提升了涉密应用容器运行的稳定性和运行环境的安全性。
进一步地,所述步骤S103中的基于密级匹配的镜像调度方法为保障业务应用运行在符合其密级的集群和节点上,通过改造Kubernetes容器调度算法实现密级匹配调度,根据创建应用的密级情况从镜像仓库中调度镜像到对应密级的集群和节点,密级不匹配的应用镜像无法拉取和启动,实现基于密级匹配的镜像调度。
进一步地,普通容器复用底层基础镜像,安全容器使用独立的基础镜像。
进一步地,所述容器镜像隔离方法,针对复用基础镜像可能带来的风险,基于容器ID对镜像存储逻辑进行改进,保密应用的容器不再复用基础镜像,而是在创建容器时将所需的基础镜像复制到保密容器应用中,保证每个应用容器的基础镜像是独立使用的。
在创建安全容器时,先根据安全容器ID创建文件夹,将所需的基础镜像复制到此文件夹中,然后安全容器根据容器ID挂载对应的容器ID文件夹中的镜像文件。
所述步骤S105的采用安全容器部署运行机密和秘密应用;安全容器本质上是微型虚拟机,拥有独立的内核,能为容器应用提供完整的操作系统执行环境,将应用的执行与宿主机操作系统分离;安全容器拥有虚拟机级的安全性能,容器级的运行速度;通过安全容器,承载应用容器的内核、计算资源、存储和网络都是隔离的,避免应用直接访问主机操作系统。
本发明相对于现有技术的优点是:
本发明提出一种涉密领域适用的Kubernetes集群系统,以及基于涉密应用保密等级的容器技术利用方法,实现基于集群网络分离、密级匹配镜像调度、容器镜像隔离和安全容器应用部署。通过安全容器,承载应用容器的内核、计算资源、存储和网络都是隔离的,避免应用直接访问主机操作系统。
附图说明
图1是本发明的涉密领域的Kubernetes集群部署示意图;
图2是基于应用保密等级的镜像管理、匹配调度和应用创建过程示意图;
图3是不同密级应用容器镜像挂载示意图。
具体实施方式
如图1所示,本发明提供了一种涉密集群系统,适用于Kubernetes集群系统,该系统包括管理集群、业务集群、镜像仓库和集群网络四部分内容。
管理集群部署Kubernetes集群的管理组件,管理节点通过高可用的方式部署,通过集群管理网络管理业务集群和镜像仓库。
业务集群部署业务应用。业务应用部署在匹配应用密级的业务集群中,不同密级的业务集群之间彼此物理隔离。业务集群的每个节点具备管理网卡和业务网卡两个网络出口,管理网卡接入统一的管理网络中,业务网卡接入匹配密级的业务网络中。
镜像仓库统一管理所有的保密等级的镜像,通过管理网络接受管理集群对镜像的统一调度。
集群网络分为管理网络和业务网络两部分。管理网络是管理集群、业务集群和镜像仓库通信的专用网络,主要传输管理控制数据和镜像数据。业务网络按照保密等级分为非密网络、机密网络和秘密网络,不同等级的网络之间相互隔离。
所述集群网络将Kubernetes集群网络分为管控网络和数据网络;管理集群通过加密认证的管控网络实现对所有业务应用集群和镜像仓库的管理,业务应用集群和镜像仓库只能和管理集群进行一对一通信,相互之间无法通过管理网络进行访问;不同密级业务应用集群之间实现物理隔离,并接入隔离且独立的对应密级数据网络。
所述管理集群包括主管理节点和若干个备用管理节点。
所述镜像仓库包括非密应用镜像,机密应用镜像和秘密应用镜像。
所述集群网络将Kubernetes集群网络分为管理网络和业务网络。管理集群节点、镜像仓库和各密级应用集群节点通过管理网卡连接到管理网络中,加入管理网络中的节点必须要在管理集群中注册,并通过加密认证后才能接受来自管理网络中其他节点的通信消息。管理网络内,应用集群只能与集群密级匹配的镜像仓库、管理集群进行通信,相互之间无法通过管理网络相互访问。业务网络分为非密网络业务网络、机密网络业务网络和秘密网络业务网络,应用集群通过业务网卡接入与自身密级匹配的业务网络。不同密级的应用集群之间实现物理隔离,只有接入相同密级网络的集群才能相互访问,不同密级的业务网络之间无法相互访问。
所述管理集群多个管理节点,包括主管理节点和若干个备用管理节点。管理集群节点数最低为3个,可根据接入管理网络的集群节点数量扩容,数量为奇数个。每个管理节点中运行着多个管理组件,包括ETCD组件、Scheduler组件、API-Server组件和Controller组件。ETCD组件负责整个Kubernetes集群的数据存储,存储了所有集群状态信息和配置信息。Scheduler组件负责根据各种约束条件,如密级规则、硬件资源等,调度新创建的工作负载到合适的集群和节点上。API-Server组件负责提供Kubernetes集群的API服务,接收和处理来自各种客户端的请求。Controller组件负责监控和调节集群状态。
所述镜像仓库包括非密应用镜像仓库、机密应用镜像仓库、秘密应用镜像仓库,存储与镜像仓库密级匹配的应用镜像,接收来自管理集群的管理信息,以及密级匹配的应用集群的镜像拉取访问请求。
在上述涉密领域适用的Kubernetes集群结构下,通过如图2所示方法消除容器技术运用到涉密领域时存在的安全隐患。基于涉密应用保密等级的容器技术利用方法,具体包括:
步骤101:上传镜像到镜像仓库,在上传镜像时为镜像打上保密等级标签,标定镜像保密等级。
步骤102:创建应用时,从镜像仓库中选择应用对应的密级镜像。
步骤103:根据应用密级,管理节点的调度器基于密级的编排调度算法计算出应用部署的业务集群和工作节点,并通知对应的业务集群和工作节点。
步骤104:若为第一次安装,步骤103中计算得出的业务集群和工作节点通过管理网络从镜像仓库中拉取镜像;否则使用节点本地已经拉取过的镜像。
步骤105:在非密应用集群中,采用普通容器运行镜像创建应用。在机密、秘密应用集群中,采用安全容器运行镜像创建应用。
进一步地,将容器技术和Kubernetes技术应用到涉密领域的安全性要求,提出集群网络分离、基于密级匹配镜像调度、容器镜像隔离、安全容器应用部署的方法,提升了涉密应用容器运行的稳定性和运行环境的安全性。
进一步地,所述步骤S103中的基于密级匹配的镜像调度方法为保障业务应用运行在符合其密级的集群和节点上,通过改造Kubernetes容器调度算法实现密级匹配调度,根据创建应用的密级情况从镜像仓库中调度镜像到对应密级的集群和节点,密级不匹配的应用镜像无法拉取和启动,实现基于密级匹配的镜像调度。
进一步地,使用普通容器创建非密应用,使用安全容器创建机密与秘密应用。
进一步地,普通容器复用底层基础镜像,安全容器使用独立的基础镜像。
进一步地,所述的容器镜像隔离方法,针对复用基础镜像可能带来的风险,基于容器ID对镜像存储逻辑进行改进,保密应用的容器不再复用基础镜像,而是在创建容器时将所需的基础镜像复制到保密容器应用中,保证每个应用容器的基础镜像是独立使用的。在创建安全容器时,先根据安全容器ID创建文件夹,将所需的基础镜像复制到此文件夹中,然后安全容器根据容器ID挂载对应的容器ID文件夹中的镜像文件。
所述步骤S105的采用安全容器部署运行机密和秘密应用;安全容器本质上是微型虚拟机,拥有独立的内核,能为容器应用提供完整的操作系统执行环境,将应用的执行与宿主机操作系统分离;安全容器拥有虚拟机级的安全性能,容器级的运行速度;通过安全容器,承载应用容器的内核、计算资源、存储和网络都是隔离的,避免应用直接访问主机操作系统。
在上述涉密领域适用的Kubernetes集群结构下,针对机密与秘密应用采用容器隔离的方法消除镜像复用带来的风险,如图3所示。
如图3所示,非密应用使用普通容器创建和运行,复用底层镜像。非密应用的容器1和容器2复用了CentOS、Apt-getDependencies、Application Binary的底层镜像。由于底层镜像在应用创建和运行过程中广泛使用,底层镜像的复用能够节省大量的镜像存储空间。但是,这种方法也存在一定风险,一旦某个底层镜像损坏或不可用,将使得大面积的应用无法正常运行。
针对复用底层镜像带来的风险,对于更高密级的机密与秘密应用,使用安全容器创建和运行,并采用底层镜像隔离的方法。在创建安全容器时,先根据安全容器ID创建文件夹,将所需的底层镜像复制到此文件夹中,然后安全容器根据容器ID挂载对应的容器ID文件夹中的镜像文件。如此一来,机密和秘密应用使用了独立的底层镜像,单个容器的底层镜像的损坏或不可用,不会影响其他应用容器的正常运行。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种涉密集群系统,其特征在于,所述涉密集群系统适用于Kubernetes集群系统,该系统包括管理集群、业务集群、镜像仓库和集群网络四部分内容;
管理集群,部署Kubernetes集群的管理组件,管理节点通过高可用的方式部署,通过集群管理网络管理业务集群和镜像仓库;
业务集群,部署业务应用,业务应用部署在匹配应用密级的业务集群中,不同密级的业务集群之间彼此物理隔离;
镜像仓库,统一管理所有的保密等级的镜像,通过管理网络接受管理集群对镜像的统一调度;
集群网络,分为管理网络和业务网络两部分;管理网络是管理集群、业务集群和镜像仓库通信的专用网络,主要传输管理控制数据和镜像数据;业务网络按照保密等级分为非密网络、机密网络和秘密网络,不同等级的网络之间相互隔离。
2.如权利要求1所述的涉密集群系统,其特征在于,
业务集群的每个节点具备管理网卡和业务网卡两个网络出口,管理网卡接入统一的管理网络中,业务网卡接入匹配密级的业务网络中。
3.如权利要求1所述的涉密集群系统,其特征在于,
所述的集群网络将Kubernetes集群网络分为管控网络和数据网络;管理集群通过加密认证的管控网络实现对所有业务应用集群和镜像仓库的管理,业务应用集群和镜像仓库只能和管理集群进行一对一通信,相互之间无法通过管理网络进行访问;不同密级业务应用集群之间实现物理隔离,并接入隔离且独立的对应密级数据网络。
4.如权利要求1所述的涉密集群系统,其特征在于,
所述的管理集群包括主管理节点和若干个备用管理节点。
5.如权利要求1所述的涉密集群系统,其特征在于,
所述镜像仓库包括非密应用镜像,机密应用镜像和秘密应用镜像。
6.一种基于涉密应用保密等级的容器技术利用方法,其特征在于,利用如权利要求1-5所述的涉密集群系统,所述方法具体包括:
步骤101:上传镜像到镜像仓库,在上传镜像时为镜像打上保密等级标签,标定镜像保密等级;
步骤102:创建应用时,从镜像仓库中选择应用对应的密级镜像;
步骤103:根据应用密级,管理节点的调度器基于密级的编排调度算法计算出应用部署的业务集群和工作节点,并通知对应的业务集群和工作节点;
步骤104:若为第一次安装,步骤103中计算得出的业务集群和工作节点通过管理网络从镜像仓库中拉取镜像;否则使用节点本地已经拉取过的镜像;
步骤105:在非密应用集群中,采用普通容器运行镜像创建应用,在机密、秘密应用集群中,采用安全容器运行镜像创建应用。
7.如权利要求6所述的基于涉密应用保密等级的容器技术利用方法,其特征在于,
将容器技术和Kubernetes技术应用到涉密领域的安全性要求,提出集群网络分离、基于密级匹配镜像调度、容器镜像隔离、安全容器应用部署的方式。
8.如权利要求6所述的基于涉密应用保密等级的容器技术利用方法,其特征在于,
所述步骤S103中,基于密级匹配的镜像调度方法为保障业务应用运行在符合其密级的集群和节点上,通过改造Kubernetes容器调度算法实现密级匹配调度,根据创建应用的密级情况从镜像仓库中调度镜像到对应密级的集群和节点,密级不匹配的应用镜像无法拉取和启动,实现基于密级匹配的镜像调度。
9.如权利要求6所述的基于涉密应用保密等级的容器技术利用方法,其特征在于,普通容器复用底层基础镜像,安全容器使用独立的基础镜像。
10.如权利要求9所述的基于涉密应用保密等级的容器技术利用方法,其特征在于,
所述的容器镜像隔离方法,基于容器ID对镜像存储逻辑进行改进,保密应用的容器不再复用基础镜像,而是在创建容器时将所需的基础镜像复制到保密容器应用中,保证每个应用容器的基础镜像是独立使用的。
11.如权利要求6所述的基于涉密应用保密等级的容器技术利用方法,其特征在于,
在创建安全容器时,先根据安全容器ID创建文件夹,将所需的基础镜像复制到所述文件夹中,然后安全容器根据容器ID挂载对应的容器ID文件夹中的镜像文件。
12.如权利要求6所述的基于涉密应用保密等级的容器技术利用方法,其特征在于,
所述步骤S105,采用安全容器部署运行机密和秘密应用;安全容器本质上是微型虚拟机,拥有独立的内核,能为容器应用提供完整的操作系统执行环境,将应用的执行与宿主机操作系统分离;安全容器拥有虚拟机级的安全性能,容器级的运行速度;通过安全容器,承载应用容器的内核、计算资源、存储和网络都是隔离的,避免应用直接访问主机操作系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310716110.7A CN117093987A (zh) | 2023-06-16 | 2023-06-16 | 涉密集群系统及基于涉密应用保密等级的容器技术利用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310716110.7A CN117093987A (zh) | 2023-06-16 | 2023-06-16 | 涉密集群系统及基于涉密应用保密等级的容器技术利用方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117093987A true CN117093987A (zh) | 2023-11-21 |
Family
ID=88768681
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310716110.7A Pending CN117093987A (zh) | 2023-06-16 | 2023-06-16 | 涉密集群系统及基于涉密应用保密等级的容器技术利用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117093987A (zh) |
-
2023
- 2023-06-16 CN CN202310716110.7A patent/CN117093987A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10050850B2 (en) | Rack awareness data storage in a cluster of host computing devices | |
| CN113296792B (zh) | 存储方法、装置、设备、存储介质和系统 | |
| US10154065B1 (en) | Policy management in software container computing environments | |
| CN108255497B (zh) | 一种应用的部署方法及装置 | |
| JP4964220B2 (ja) | バーチャルマシーンフェイルオーバにおけるセキュリティレベルの実現 | |
| Ageyev et al. | Classification of existing virtualization methods used in telecommunication networks | |
| US9882775B1 (en) | Dependent network resources | |
| WO2011143068A2 (en) | Systems and methods for creation and delivery of encrypted virtual disks | |
| CN109479059B (zh) | 用于容器流量的传输层等级标识和隔离的系统和方法 | |
| US9678984B2 (en) | File access for applications deployed in a cloud environment | |
| US20200364063A1 (en) | Distributed job manager for stateful microservices | |
| US12021898B2 (en) | Processes and systems that translate policies in a distributed computing system using a distributed indexing engine | |
| US9781163B2 (en) | Trust overlays for disaggregated infrastructures | |
| CN102833310A (zh) | 一种基于虚拟化技术的工作流引擎集群系统 | |
| US10466991B1 (en) | Computing instance software package installation | |
| CN113127150A (zh) | 云原生系统的快速部署方法、装置、电子设备和存储介质 | |
| US20210344719A1 (en) | Secure invocation of network security entities | |
| US20220070225A1 (en) | Method for deploying workloads according to a declarative policy to maintain a secure computing infrastructure | |
| CN111045802B (zh) | Redis集群组件调度系统及方法、平台设备 | |
| Shen et al. | SAPSC: Security architecture of private storage cloud based on HDFS | |
| US11507408B1 (en) | Locked virtual machines for high availability workloads | |
| US20200272708A1 (en) | Computer system, computer apparatus, and license management method | |
| CN117614825A (zh) | 智能化选煤厂的云原生平台 | |
| CN117093987A (zh) | 涉密集群系统及基于涉密应用保密等级的容器技术利用方法 | |
| Sivaraj et al. | Enhancing fault tolerance using load allocation technique during virtualization in cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |