WO2021227954A1 - 基于容器集群的应用访问请求处理 - Google Patents

Abstract

本说明书实施例提供一种基于容器集群的应用访问请求处理方法及装置，该容器集群包括主节点和若干计算节点。部分计算节点中部署有第一应用，该第一应用对应容器运行在可信内存区域中。该方法由主节点执行，包括：接收用户的针对第一应用的访问请求。向各计算节点发送可信内存区域的使用量的获取请求。接收返回的可信内存区域的使用量。基于接收的使用量，确定各计算节点的可信内存区域的剩余量。若剩余量均小于预定阈值，则针对第一应用进行扩容，包括：在其它计算节点的可信内存区域中，启动第一应用的新建容器。将访问请求分配至其它计算节点，并由其它计算节点对访问请求进行响应。由此，可实现在可信执行环境中对私有数据的访问请求的处理。

Description

基于容器集群的应用访问请求处理 技术领域

本说明书一个或多个实施例涉及计算机技术领域，尤其涉及一种基于容器集群的应用访问请求处理方法及装置。

背景技术

传统技术中，容器集群中部署的应用，通常运行在普通内存中。这里的容器集群用于基于其中部署的应用为用户提供服务。因此，传统的容器集群的服务响应机制，也即应用访问请求的响应机制，通常只考量CPU占用率和普通内存使用量。

发明内容

本说明书一个或多个实施例描述了一种基于容器集群的应用访问请求处理方法及装置，可以有效地对应用访问请求进行处理。

第一方面，提供了一种基于容器集群的应用访问请求处理方法，包括：接收用户的针对所述第一应用的访问请求；向所述部分计算节点中的各计算节点发送可信内存区域的使用量的获取请求；接收所述各计算节点各自返回的可信内存区域的使用量；基于所述使用量，确定所述各计算节点的可信内存区域的剩余量；若所述各计算节点的可信内存区域的剩余量均小于预定阈值，则针对所述第一应用进行扩容，所述扩容包括在除所述部分计算节点外的其它计算节点的内存的可信内存区域中启动对应于所述第一应用的新建容器；将所述访问请求分配至所述其它计算节点，并由所述其它计算节点对所述访问请求进行响应。

第二方面，提供了一种基于容器集群的应用访问请求处理方法，包括：接收所述主节点发送的可信内存区域的使用量的获取请求；所述获取请求由所述主节点在接收到用户的针对第一应用的访问请求时发送；获取所述第一计算节点的可信内存区域的使用量；向所述主节点返回所述可信内存区域的使用量，以使得所述主节点在判断所述部分计算节点的可信内存区域的剩余量均小于预定阈值时，针对所述第一应用进行扩容，所述扩容包括在除所述部分计算节点外的其它计算节点的内存的可信内存区域中启动对应于所述第一应用的新建容器；并使得所述主节点将所述访问请求分配至所述其它计算节点，并由所述其它计算节点对所述访问请求进行响应。

第三方面，提供了一种基于容器集群的应用访问请求处理装置，包括：接收单元，用于接收用户的针对所述第一应用的访问请求；发送单元，用于向所述部分计算节点中的各计算节点发送可信内存区域的使用量的获取请求；所述接收单元，还用于接收所述各计算节点各自返回的可信内存区域的使用量；确定单元，用于基于所述接收单元接收的所述使用量，确定所述各计算节点的可信内存区域的剩余量；扩容单元，用于若所述确定单元确定的所述各计算节点的可信内存区域的剩余量均小于预定阈值，则针对所述第一应用进行扩容，所述扩容包括在除所述部分计算节点外的其它计算节点的内存的可信内存区域中，启动对应于所述第一应用的新建容器；分配单元，用于将所述接收单元接收的所述访问请求分配至所述其它计算节点，并由所述其它计算节点对所述访问请求进行响应。

第四方面，提供了一种基于容器集群的应用访问请求处理装置，包括：接收单元，用于接收所述主节点发送的可信内存区域的使用量的获取请求；所述获取请求由所述主节点在接收到用户的针对第一应用的访问请求时发送；获取单元，用于获取所述第一计算节点的可信内存区域的使用量；发送单元，用于向所述主节点返回所述可信内存区域的使用量，以使得所述主节点在判断所述部分计算节点的可信内存区域的剩余量均小于预定阈值时，针对所述第一应用进行扩容，所述扩容包括在除所述部分计算节点外的其它计算节点的内存的可信内存区域中，启动对应于所述第一应用的新建容器；并使得所述主节点将所述访问请求分配至所述其它计算节点，并由所述其它计算节点对所述访问请求进行响应。

第五方面，提供了一种计算机存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行第一方面或者第二方面的方法。

第六方面，提供了一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现第一方面或者第二方面的方法。

本说明书一个或多个实施例提供的基于容器集群的应用访问请求处理方法及装置，在接收到用户的针对第一应用的访问请求时，先收集部署有第一应用的各计算节点的可信内存区域的使用量，并进一步确定出各计算节点的可信内存区域的剩余量，若各计算节点的可信内存区域的剩余量均小于预定阈值，则针对第一应用进行扩容。这里的扩容包括：在除部署有第一应用的计算节点外的其它计算节点的内存的可信内存区域中，启动对应于第一应用的新建容器。之后，将访问请求分配至其它计算节点，并由其它计算节点对访问请求进行响应。由此，可以大大提升第一应用的访问请求的处理效率。

附图说明

为了更清楚地说明本说明书实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本说明书提供的容器集群示意图；

图2为本说明书提供的应用部署方法流程图；

图3为本说明书一个实施例提供的基于容器集群的应用访问请求处理方法流程图；

图4为本说明书另一个实施例提供的基于容器集群的应用访问请求处理方法流程图；

图5为本说明书一个实施例提供的基于容器集群的应用访问请求处理装置示意图；

图6为本说明书另一个实施例提供的基于容器集群的应用访问请求处理装置示意图。

具体实施方式

下面结合附图，对本说明书提供的方案进行描述。

在描述本说明书提供的方案之前，先对本方案的发明构思作以下说明。

由背景技术的内容可知，传统技术中，容器集群中的应用运行在普通内存中。然而随着SGX(英文全称：Software Guard Extensions)(Intel基于其CPU硬件提供的一套软件保护技术)技术的普遍流行，以及部分应用在安全方面要求的提高，本申请的发明人提出，将SGX技术引入容器集群中。如，针对容器集群中部署的对安全性要求比较高的应用，其可以运行在SGX的安全内存(即EPC内存)(由SGX在物理内存中提供的一块基于安全硬件保护的硬件区域)中。然而由于EPC内存有128MB的限制，因此，对运行在安全内存中的应用(以下简称第一应用)的访问请求进行有效管理就成为要解决的问题。

为实现第一应用的访问请求的有效管理，本申请的发明人提出，容器集群中的主节点接收用户的针对第一应用的访问请求。向容器集群中部署有第一应用的各计算节点发送可信内存区域的使用量的获取请求。接收各计算节点各自返回的可信内存区域的使用量。基于接收的使用量，确定各计算节点的可信内存区域的剩余量。若各计算节点的可信内存区域的剩余量均小于预定阈值，则针对第一应用进行扩容。该扩容包括：在除部 署有第一应用的计算节点外的其它计算节点的内存的可信内存区域中，启动对应于第一应用的新建容器。之后，将访问请求分配至其它计算节点，并由其它计算节点对访问请求进行响应。由此，可以大大提升第一应用的访问请求的处理效率。

以上就是本说明书提供的发明构思，基于该发明构思就可以得到本方案，以下对本方案进行详细阐述。

图1为本说明书提供的容器集群示意图。该容器集群可由k8s(英文全称：Kubernetes)(一种容器编排的工具)进行管理，从而该容器集群也可以称为k8s的容器集群。图1中，该容器集群可以包括若干主机，其中的一个主机为主节点，其它各主机均为计算节点。主节点用于管理若干计算节点。若干计算节点的内存均包括可信内存区域，这里的可信内存区域即为EPC内存，其具有128MB的大小限制。此外，若干计算节点中的部分计算节点中部署有第一应用，该第一应用为容器化应用，其对应容器运行在若干计算节点的内存的可信内存区域中。这里的容器化应用是指运行在容器中的应用。也即，容器和应用之间是一对一的关系。

需要说明的是，在k8s的容器集群中的各容器是按组管理的。具体地，同一计算节点中，多个紧密相关的容器通常会被划分到一组。该一组容器构成容器集群的基本调度单位：pod。应理解，一个计算节点中至少运行一个pod。对于上述每个计算节点，其上还运行着如下组件：Kubelet、Proxy、Docker daemon。该三个组件用于负责对本计算节点上的Pod的生命周期进行管理(如，创建pod或者销毁pod等)，以及进行应用的访问请求的处理等。

此外，上述主节点上运行着如下组件：etcd、API Server、Controller Manager、Scheduler，其中，后三个组件构成了容器集群的总控中心，其用于进行整个集群的资源管理、Pod调度、弹性伸缩、安全控制、系统监控和纠错等管理功能。

需要说明的是，上述所提及的主节点的组件以及若干计算节点的组件均为k8s的容器集群中常用组件，因此，其功能在此不再详述。

总之，基于主节点以及若干计算节点上的组件，可以在容器集群中进行应用部署，此外，还可以对已部署应用的访问请求进行处理。

应理解，图1仅仅为容器集群的一种示例，在实际应用中，对于部署有第一应用的各计算节点，其中还可以部署有普通应用，但这些普通应用在普通内存中运行。也就是说，对于图1中的各计算节点，只有所部署的第一应用会在其内存的可信内存区域中运 行，也即第一应用会独占可信内存区域。此外，对于图1中除部署有第一应用外的其它计算节点，其中可以部署有普通应用(即运行在普通内存中的应用)。

以下对上述第一应用在图1所示的容器集群中的部署过程进行说明。

图2为本说明书提供的应用部署方法流程图。如图2所示，所述方法可以包括如下步骤：

步骤202，主节点接收应用部署请求。

该应用部署请求可以包括对应于第一应用的容器镜像。这里的容器镜像可以是由开发者通过集装箱(Docker)(一个开源的应用容器引擎)将第一应用以及第一应用的依赖包进行打包得到。

此外，上述应用部署请求还可以包括容器镜像的配置文件。这里的配置文件可以用于定义容器参数，如，容器的CPU占用量以及存储资源占用量等。

步骤204，至少根据若干计算节点的资源占用情况，从若干计算节点中选取部署第一应用的部分计算节点。

这里的资源使用情况可以包括但不限于CPU占用率、内存使用量以及存储资源占用率等。

在一个示例中，可以是由主节点通过其总控中心，从若干计算节点中，选择资源使用情况满足预定条件的计算节点作为部署第一应用的部分计算节点。这里的预定条件可以包括但不限于CPU占用率小于第一阈值，内存使用量小于第二阈值以及存储资源占用率小于第三阈值等。这里的第一阈值、第二阈值以及第三阈值根据经验值设定。

在另一个示例中，可以是由主节点通过其总控中心，根据若干计算节点的资源使用情况以及上述配置文件，从若干计算节点中选取部署第一应用的部分计算节点。

如，首先可以根据若干计算节点的CPU占用率以及存储资源占用率，分别确定若干计算节点的CPU剩余量以及存储资源剩余量。之后从若干计算节点中，选取对应CPU剩余量大于配置文件中定义的CPU占用量，且对应存储资源剩余量大于配置文件中定义的存储资源占用量的计算节点作为部署第一应用的部分计算节点。

步骤206，主节点向部分计算节点中的各计算节点发送容器镜像，以使得部分计算节点中的每个计算节点，通过运行容器镜像启动第一应用的对应容器，并在启动的对应容器中运行第一应用。

上述第一应用的对应容器是指Docker容器。需要说明的是，基于对应于不同应用的镜像文件，所启动的各Docker容器之间不会有任何接口，也即Docker容器之间是相互隔离的。此外，上述第一应用在Docker容器中运行，就像在真实的物理机上运行一样。

上述部分计算节点中的每个计算节点在启动第一应用的对应容器，并在启动的对应容器中运行第一应用之后，就完成了第一应用在容器集群中的部署，由于第一应用在每个计算节点上都对应于一个容器，并在对应容器中运行，因此，该第一应用也可以称为容器化应用。

以上是对第一应用在图1示出的容器集群中的部署过程的说明，以下对用户对第一应用的访问过程进行说明。

图3为本说明书一个实施例提供的基于容器集群的应用访问请求处理方法流程图。所述方法执行主体可以为具有处理能力的设备：服务器或者系统或者主机。如，可以为图1中的主节点。如图3所示，所述方法具体可以包括：

步骤302，接收用户的针对第一应用的访问请求。

在一个例子中，该访问请求可以包括第一应用的唯一标识。从而，可以基于该唯一标识，确定用户所请求访问的第一应用。

步骤304，向部分计算节点中的各计算节点发送可信内存区域的使用量的获取请求。

应理解，由于第一应用只部署在容器集群的部分计算节点中，因此，在执行步骤304之前，可以先从容器集群的若干计算节点中，选取部署有第一应用的部分计算节点。

结合图1来说，可以从计算节点1-计算节点N的N个计算节点中，选取部署有第一应用的各计算节点。假设计算节点i和计算节点j均部署有该第一应用，那么可以计算节点i和计算节点j选取为上述部分计算节点。其中，i和j均为正整数，且1≤i≤N，1≤j≤N。

各计算节点在接收到上述获取请求之后，可以通过调用可信内存区域的硬件接口,获取各自的可信内存区域的使用量，并向主节点返回所获取的结果。这里的可信内存区域的硬件接口即为SGX接口，其通常也称为SGX驱动(driver)。

步骤306，接收各计算节点各自返回的可信内存区域的使用量。

步骤308，基于接收的各使用量，确定各计算节点的可信内存区域的剩余量。

以各计算节点中任意的第一计算节点为例来说，该第一计算节点的可信内存区域的 剩余量可以基于其可信内存区域的使用量上限(如，128MB)和对应的使用量的差值得到。

步骤310，若各计算节点的可信内存区域的剩余量均小于预定阈值，则针对第一应用进行扩容，该扩容包括：在除部分计算节点外的其它计算节点的内存的可信内存区域中，启动对应于第一应用的新建容器。

在本说明书中，可以预先为每个计算节点设定对应的预定阈值。其中，各计算节点各自对应的预定阈值可以相同，也可以不同。以各计算节点各自对应的预定阈值相同为例来说，其可以根据容器集群中所部署第一应用的类型等设定。

在一个示例中，各计算节点的可信内存区域的剩余量是否均小于预定阈值的判断步骤可以包括：从各计算节点的可信内存区域的剩余量中，确定出最大剩余量。判断最大剩余量是否小于预定阈值。若是，则确定各计算节点的可信内存区域的剩余量均小于预定阈值。

需要说明的是，步骤310中所提及的新建容器可以是通过复制第一应用的对应容器在已部署计算节点上对应的pod得到；或者说，可以通过在其它计算节点上生成包含该第一应用的对应容器的pod的副本得到。

此外，上述其它计算节点的个数可以为一个或多个，其具体个数可以由主节点的总控中心结合目标信息(如，各计算节点的可信内存的当前使用量以及预定使用量)设定。

步骤312，将访问请求分配至其它计算节点，并由其它计算节点对该访问请求进行响应。

应理解，在其它计算节点的个数为多个时，这里可以是向其中的一个其它计算节点分配访问请求。在一个示例中，这里的一个其它计算节点可以是随机选取得到。

以上是针对部署有第一应用的各计算节点的可信内存区域的剩余量均小于预定阈值的情况的说明，在各计算节点中的至少一个计算节点的可信内存区域的剩余量不小于预定阈值时，将至少一个计算节点中，对应于最大剩余量的计算节点作为响应访问请求的目标计算节点，并向目标计算节点发送访问请求。

目标计算节点在接收到该访问请求之后，可以对该访问请求进行处理，并向主节点返回该访问请求的处理结果。之后，再由主节点将该处理结果转发给用户。

如前述例子中，假设在计算节点i和计算节点j中，计算节点i对应于最大剩余量， 且该最大剩余量不小于预定阈值，则可以向计算节点i发送访问请求，并由计算节点i处理该访问请求，以及向主节点返回访问请求的处理结果。

综合以上，本说明书一个实施例提供的基于容器集群的应用访问请求处理方法，在接收到用户的针对第一应用的访问请求时，先收集部署有第一应用的各计算节点的可信内存区域的使用量，并进一步确定出各计算节点的可信内存区域的剩余量，若各计算节点的可信内存区域的剩余量均小于预定阈值，则针对第一应用进行扩容。这里的扩容包括：在除部署有第一应用的计算节点外的其它计算节点的内存的可信内存区域中，启动对应于第一应用的新建容器。之后，将访问请求分配至其它计算节点，并由其它计算节点对访问请求进行响应。由此，可以实现快速地对用户的访问请求进行响应，进而可以提升用户体验。

图4为本说明书另一个实施例提供的基于容器集群的应用访问请求处理方法流程图。所述方法执行主体可以为具有处理能力的设备：服务器或者系统或者主机。如，可以为图1中部署有第一应用的部分计算节点中任意的第一计算节点。如图4所示，所述方法具体可以包括：

步骤402，接收主节点发送的可信内存区域的使用量的获取请求。

该获取请求可以是由主节点在接收到用户的针对第一应用的访问请求时发送。

步骤404，获取第一计算节点的可信内存区域的使用量。

在一个示例中，第一计算节点可以通过调用可信内存区域的硬件接口,获取其可信内存区域的使用量。这里的可信内存区域的硬件接口即为SGX接口，其通常也称为SGX驱动(driver)。

步骤406，向主节点返回可信内存区域的使用量。

主节点在接收到各计算节点各自返回的可信内存区域的使用量之后，可以基于接收的各使用量，确定各计算节点的可信内存区域的剩余量。以各计算节点中任意的第一计算节点为例来说，该第一计算节点的可信内存区域的剩余量可以基于其可信内存区域的使用量上限(如，128MB)和对应的使用量的差值得到。

之后，主节点可以判断各计算节点的可信内存区域的剩余量是否均小于预定阈值。需要说明的是，在本说明书中，可以预先为每个计算节点设定对应的预定阈值。其中，各计算节点各自对应的预定阈值可以相同，也可以不同。以各计算节点各自对应的预定阈值相同为例来说，其可以根据容器集群中所部署第一应用的类型等设定。

在一个示例中，各计算节点的可信内存区域的剩余量是否均小于预定阈值的判断步骤可以包括：从各计算节点的可信内存区域的剩余量中，确定出最大剩余量。判断最大剩余量是否小于预定阈值。若是，则确定各计算节点的可信内存区域的剩余量均小于预定阈值。

然后，主节点在判断各计算节点的可信内存区域的剩余量均小于预定阈值时，针对第一应用进行扩容。该扩容包括：在除部分计算节点外的其它计算节点的内存的可信内存区域中，启动对应于第一应用的新建容器。

这里所提及的新建容器可以是通过复制第一应用的对应容器在已部署计算节点上对应的pod得到；或者说，可以通过在其它计算节点上生成包含该第一应用的对应容器的pod的副本得到。

需要说明的是，上述其它计算节点的个数可以为一个或多个，其具体个数可以由主节点的总控中心结合目标信息(如，各计算节点的可信内存的当前使用量以及预定使用量)设定。

最后，主节点可以将访问请求分配至其它计算节点，并由其它计算节点对访问请求进行响应。

应理解，在其它计算节点的个数为多个时，这里可以是向其中的一个其它计算节点分配访问请求。在一个示例中，这里的一个其它计算节点可以是随机选取得到。

以上是针对部署有第一应用的各计算节点的可信内存区域的剩余量均小于预定阈值的情况的说明，在各计算节点中的至少一个计算节点的可信内存区域的剩余量不小于预定阈值时，将至少一个计算节点中，对应于最大剩余量的计算节点作为响应访问请求的目标计算节点，并向目标计算节点发送访问请求。

假设上述第一计算节点为对应于最大剩余量的目标计算节点，那么第一计算节点可以接收访问请求，并且在接收到该访问请求之后，可以对该访问请求进行处理，并向主节点返回该访问请求的处理结果。之后，再由主节点将该处理结果转发给用户。

综合以上，本说明书一个实施例提供的基于容器集群的应用访问请求处理方法，在接收到用户的针对第一应用的访问请求时，先收集部署有第一应用的各计算节点的可信内存区域的使用量，并进一步确定出各计算节点的可信内存区域的剩余量，若各计算节点的可信内存区域的剩余量均小于预定阈值，则针对第一应用进行扩容。这里的扩容包括：在除部署有第一应用的计算节点外的其它计算节点的内存的可信内存区域中，启动 对应于第一应用的新建容器。之后，将访问请求分配至其它计算节点，并由其它计算节点对访问请求进行响应。由此，可以实现快速地对用户的访问请求进行响应，进而可以提升用户体验。

与上述基于容器集群的应用访问请求处理方法对应地，本说明书一个实施例还提供的一种基于容器集群的应用访问请求处理装置。该容器集群包括主节点和若干计算节点。主节点用于管理所述若干计算节点。若干计算节点中的部分计算节点中部署有第一应用，所该第一应用为容器化应用，其对应容器运行在部分计算节点的内存的可信内存区域中。该装置设置于主节点，如图5所示，该装置可以包括：

接收单元502，用于接收用户的针对第一应用的访问请求。

发送单元504，用于向部分计算节点中的各计算节点发送可信内存区域的使用量的获取请求。

接收单元502，还用于接收各计算节点各自返回的可信内存区域的使用量。其中，各计算节点的可信内存区域的使用量由各计算节点通过调用可信内存区域的硬件接口获取。

确定单元506，用于基于接收单元502接收的使用量，确定各计算节点的可信内存区域的剩余量。

扩容单元508，用于若确定单元506确定的各计算节点的可信内存区域的剩余量均小于预定阈值，则针对第一应用进行扩容。该扩容包括：在除部分计算节点外的其它计算节点的内存的可信内存区域中，启动对应于第一应用的新建容器。各计算节点的可信内存区域的剩余量均小于预定阈值包括：各计算节点的可信内存区域的剩余量中的最大剩余量小于预定阈值。

分配单元510，用于将接收单元502接收的访问请求分配至其它计算节点，并由其它计算节点对访问请求进行响应。

发送单元504，还用于若各计算节点中的至少一个计算节点的可信内存区域的剩余量不小于预定阈值，则将至少一个计算节点中，对应于最大剩余量的计算节点作为响应访问请求的目标计算节点，并向目标计算节点发送访问请求。

可选地，该装置还可以包括：选取单元(图中未示出)。接收单元502，还用于接收应用部署请求，该应用部署请求包括对应于第一应用的容器镜像。选取单元，用于至少根据若干计算节点的资源占用情况，从若干计算节点中选取部分计算节点。发送单元 504，还用于向选取单元选取的部分计算节点中的各计算节点发送容器镜像，以使得各计算节点中的每个计算节点，通过运行容器镜像启动第一应用的对应容器，并在启动的对应容器中运行第一应用。

本说明书上述实施例装置的各功能模块的功能，可以通过上述方法实施例的各步骤来实现，因此，本说明书一个实施例提供的装置的具体工作过程，在此不复赘述。

本说明书一个实施例提供的基于容器集群的应用访问请求处理装置，可以实现快速地对用户的访问请求进行响应，进而可以提升用户体验。

与上述基于容器集群的应用访问请求处理方法对应地，本说明书一个实施例还提供的一种基于容器集群的应用访问请求处理装置。该容器集群包括主节点和若干计算节点。主节点用于管理所述若干计算节点。若干计算节点中的部分计算节点中部署有第一应用，所该第一应用为容器化应用，其对应容器运行在部分计算节点的内存的可信内存区域中。该装置设置于上述部分计算节点中任意的第一计算节点，如图6所示，该装置可以包括：

接收单元602，用于接收主节点发送的可信内存区域的使用量的获取请求，该获取请求由主节点在接收到用户的针对第一应用的访问请求时发送。

获取单元604，用于获取第一计算节点的可信内存区域的使用量。

获取单元604具体用于：调用可信内存区域的硬件接口，以获取第一计算节点的可信内存区域的使用量。

发送单元606，用于向主节点返回可信内存区域的使用量，以使得主节点在判断部分计算节点的可信内存区域的剩余量均小于预定阈值时，针对第一应用进行扩容。该扩容包括：在除部分计算节点外的其它计算节点的内存的可信内存区域中，启动对应于第一应用的新建容器。并使得主节点将访问请求分配至其它计算节点，并由其它计算节点对访问请求进行响应。

可选地，第一计算节点对应于上述各剩余量中的最大剩余量，该装置还可以包括：处理单元(图中未示出)。

接收单元602，还用于接收主节点发送的针对第一应用的访问请求。

处理单元，用于处理接收单元602接收的访问请求，并向主节点返回对应的处理结果。

可选地，该装置还可以包括：运行单元(图中未示出)。接收单元602，还用于 接收主节点发送的第一应用的容器镜像。运行单元，用于在第一计算节点的可信内存区域中，运行容器镜像，以启动第一应用的对应容器。

运行单元，还用于在启动的对应容器中运行第一应用。

本说明书上述实施例装置的各功能模块的功能，可以通过上述方法实施例的各步骤来实现，因此，本说明书一个实施例提供的装置的具体工作过程，在此不复赘述。

本说明书一个实施例提供的基于容器集群的应用访问请求处理装置，可以实现快速地对用户的访问请求进行响应，进而可以提升用户体验。

另一方面，本说明书的实施例提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行图3或图4所示的方法。

另一方面，本说明书的实施例提供一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现图3或图4所示的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

结合本说明书公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于服务器中。当然，处理器和存储介质也可以作为分立组件存在于服务器中。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机 能够存取的任何可用介质。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

以上所述的具体实施方式，对本说明书的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本说明书的具体实施方式而已，并不用于限定本说明书的保护范围，凡在本说明书的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本说明书的保护范围之内。

Claims (20)

1. 一种基于容器集群的应用访问请求处理方法，所述容器集群包括主节点和若干计算节点；所述主节点用于管理所述若干计算节点；所述若干计算节点中的部分计算节点中部署有第一应用，所述第一应用为容器化应用，其对应容器运行在所述部分计算节点的内存的可信内存区域中；所述方法由所述主节点执行，包括：

   接收用户的针对所述第一应用的访问请求；

   向所述部分计算节点中的各计算节点发送可信内存区域的使用量的获取请求；

   接收所述各计算节点各自返回的可信内存区域的使用量；

   基于所述使用量，确定所述各计算节点的可信内存区域的剩余量；

   若所述各计算节点的可信内存区域的剩余量均小于预定阈值，则针对所述第一应用进行扩容，所述扩容包括在除所述部分计算节点外的其它计算节点的内存的可信内存区域中，启动对应于所述第一应用的新建容器；

   将所述访问请求分配至所述其它计算节点，并由所述其它计算节点对所述访问请求进行响应。
2. 根据权利要求1所述的方法，所述各计算节点的可信内存区域的使用量由所述各计算节点通过调用可信内存区域的硬件接口获取。
3. 根据权利要求1所述的方法，所述各计算节点的可信内存区域的剩余量均小于预定阈值包括：所述各计算节点的可信内存区域的剩余量中的最大剩余量小于预定阈值。
4. 根据权利要求1所述的方法，还包括：

   若所述各计算节点中的至少一个计算节点的可信内存区域的剩余量不小于预定阈值，则将所述至少一个计算节点中，对应于最大剩余量的计算节点作为响应所述访问请求的目标计算节点，并向所述目标计算节点发送所述访问请求。
5. 根据权利要求1所述的方法，所述第一应用通过以下步骤部署得到：

   接收应用部署请求；所述应用部署请求包括对应于所述第一应用的容器镜像；

   至少根据所述若干计算节点的资源占用情况，从所述若干计算节点中选取所述部分计算节点；

   向所述部分计算节点中的各计算节点发送所述容器镜像，以使得所述各计算节点中的每个计算节点，通过运行所述容器镜像启动所述第一应用的对应容器，并在启动的对应容器中运行所述第一应用。
6. 一种基于容器集群的应用访问请求处理方法，所述容器集群包括主节点和若干计算节点；所述主节点用于管理所述若干计算节点；所述若干计算节点中的部分计算节 点中部署有第一应用，所述第一应用为容器化应用，其对应容器运行在所述若干计算节点的内存的可信内存区域中；所述方法由所述部分计算节点中任意的第一计算节点执行，包括：

   接收所述主节点发送的可信内存区域的使用量的获取请求；所述获取请求由所述主节点在接收到用户的针对第一应用的访问请求时发送；

   获取所述第一计算节点的可信内存区域的使用量；

   向所述主节点返回所述可信内存区域的使用量，以使得所述主节点在判断所述部分计算节点的可信内存区域的剩余量均小于预定阈值时，针对所述第一应用进行扩容，所述扩容包括在除所述部分计算节点外的其它计算节点的内存的可信内存区域中，启动对应于所述第一应用的新建容器；并

   使得所述主节点将所述访问请求分配至所述其它计算节点，并由所述其它计算节点对所述访问请求进行响应。
7. 根据权利要求6所述的方法，所述获取所述第一计算节点的可信内存区域的使用量，包括：

   调用可信内存区域的硬件接口，以获取所述第一计算节点的可信内存区域的使用量。
8. 根据权利要求6所述的方法，所述第一计算节点对应于所述剩余量中的最大剩余量；所述方法还包括：

   接收所述主节点发送的针对所述第一应用的访问请求；

   处理所述访问请求，并向所述主节点返回对应的处理结果。
9. 根据权利要求6所述的方法，所述第一应用通过以下步骤在所述第一计算节点中部署：

   接收所述主节点发送的所述第一应用的容器镜像；

   在所述第一计算节点的可信内存区域中，运行所述容器镜像，以启动所述第一应用的对应容器；

   在启动的对应容器中运行所述第一应用。
10. 一种基于容器集群的应用访问请求处理装置，所述容器集群包括主节点和若干计算节点；所述主节点用于管理所述若干计算节点；所述若干计算节点中的部分计算节点中部署有第一应用，所述第一应用为容器化应用，其对应容器运行在所述部分计算节点的内存的可信内存区域中；所述装置设置于所述主节点，包括：

    接收单元，用于接收用户的针对所述第一应用的访问请求；

    发送单元，用于向所述部分计算节点中的各计算节点发送可信内存区域的使用量的获取请求；

    所述接收单元，还用于接收所述各计算节点各自返回的可信内存区域的使用量；

    确定单元，用于基于所述接收单元接收的所述使用量，确定所述各计算节点的可信内存区域的剩余量；

    扩容单元，用于若所述确定单元确定的所述各计算节点的可信内存区域的剩余量均小于预定阈值，则针对所述第一应用进行扩容，所述扩容包括在除所述部分计算节点外的其它计算节点的内存的可信内存区域中，启动对应于所述第一应用的新建容器；

    分配单元，用于将所述接收单元接收的所述访问请求分配至所述其它计算节点，并由所述其它计算节点对所述访问请求进行响应。
11. 根据权利要求10所述的装置，所述各计算节点的可信内存区域的使用量由所述各计算节点通过调用可信内存区域的硬件接口获取。
12. 根据权利要求10所述的装置，所述各计算节点的可信内存区域的剩余量均小于预定阈值包括：所述各计算节点的可信内存区域的剩余量中的最大剩余量小于预定阈值。
13. 根据权利要求10所述的装置，

    所述发送单元，还用于若所述各计算节点中的至少一个计算节点的可信内存区域的剩余量不小于预定阈值，则将所述至少一个计算节点中，对应于最大剩余量的计算节点作为响应所述访问请求的目标计算节点，并向所述目标计算节点发送所述访问请求。
14. 根据权利要求10所述的装置，还包括：选取单元；

    所述接收单元，还用于接收应用部署请求；所述应用部署请求包括对应于所述第一应用的容器镜像；

    所述选取单元，用于至少根据所述若干计算节点的资源占用情况，从所述若干计算节点中选取所述部分计算节点；

    所述发送单元，还用于向选取单元选取的所述部分计算节点中的各计算节点发送所述容器镜像，以使得所述各计算节点中的每个计算节点，通过运行所述容器镜像启动所述第一应用的对应容器，并在启动的对应容器中运行所述第一应用。
15. 一种基于容器集群的应用访问请求处理装置，所述容器集群包括主节点和若干计算节点；所述主节点用于管理所述若干计算节点；所述若干计算节点中的部分计算节点中部署有第一应用，所述第一应用为容器化应用，其对应容器运行在所述若干计算节点的内存的可信内存区域中；所述装置设置于所述部分计算节点中任意的第一计算节 点，包括：

    接收单元，用于接收所述主节点发送的可信内存区域的使用量的获取请求；所述获取请求由所述主节点在接收到用户的针对第一应用的访问请求时发送；

    获取单元，用于获取所述第一计算节点的可信内存区域的使用量；

    发送单元，用于向所述主节点返回所述可信内存区域的使用量，以使得所述主节点在判断所述部分计算节点的可信内存区域的剩余量均小于预定阈值时，针对所述第一应用进行扩容，所述扩容包括在除所述部分计算节点外的其它计算节点的内存的可信内存区域中，启动对应于所述第一应用的新建容器；并使得所述主节点将所述访问请求分配至所述其它计算节点，并由所述其它计算节点对所述访问请求进行响应。
16. 根据权利要求15所述的装置，所述获取单元具体用于：

    调用可信内存区域的硬件接口，以获取所述第一计算节点的可信内存区域的使用量。
17. 根据权利要求15所述的装置，所述第一计算节点对应于所述剩余量中的最大剩余量；所述装置还包括：处理单元；

    所述接收单元，还用于接收所述主节点发送的针对所述第一应用的访问请求；

    所述处理单元，用于处理所述接收单元接收的所述访问请求，并向所述主节点返回对应的处理结果。
18. 根据权利要求15所述的装置，所述装置还包括：运行单元；

    所述接收单元，还用于接收所述主节点发送的所述第一应用的容器镜像；

    所述运行单元，用于在所述第一计算节点的可信内存区域中，运行所述容器镜像，以启动所述第一应用的对应容器；

    所述运行单元，还用于在启动的对应容器中运行所述第一应用。
19. 一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-9中任一项所述的方法。
20. 一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现权利要求1-9中任一项所述的方法。

Images