【技術實現步驟摘要】
本說明書一個或多個實施例涉及計算機虛擬化,尤其涉及一種對于容器的監測方法和宿主機。
技術介紹
1、容器(container)技術是一種輕量級的操作系統虛擬化技術,被廣泛應用于例如云計算環境。隨著容器技術的發展,容器種類出現多樣化趨勢,應用于云計算環境的容器依照通常可以分為兩類:一類是基于宿主機操作系統內核運行的容器,另外一類是基于宿主機操作系統內核之外的獨立內核運行的容器。目前的云計算環境常常混合部署這兩類容器,以更好地平衡計算性能和安全性能。但是,目前對于容器運行的監測方案,通常只是對單一種類的容器的運行的監測方案,尚缺少對于混合部署容器的高效監測方案。因此,需要一種新的對于混合部署的容器的監測方式。
技術實現思路
1、本說明書中的實施例旨在提供一種對于容器的監測方法和宿主機,可以對混合部署的基于宿主機內核的容器和基于客戶內核的容器的全生命周期實施監測,從而可以及時發現和處理混合部署的容器全生命周期中潛在的安全問題,提高了混合部署的容器的安全性。
2、根據第一方面,提供了一種對于容器的監測方法,所述容器的宿主機上部署有基于客戶內核的第一容器、基于宿主機內核的第二容器、第一代理程序和可信模塊,所述方法包括:
3、響應于宿主機的啟動,可信模塊根據宿主機對應的多個第一啟動對象,生成對應的多個第一度量值,所述多個第一啟動對象中包括第一代理程序;所述第一度量值用于確定所述宿主機的啟動過程是否正常;
4、響應于第一容器的啟動,第一代理程序根據第一容器對應的
5、響應于第二容器的啟動,第一代理程序根據第二容器對應的多個第三啟動對象,生成對應的多個第三度量值,將所述第三度量值發送到所述可信模塊,用于確定所述第二容器的啟動過程是否正常。
6、在一種可能的實施方式中,所述方法還包括:
7、在第一容器啟動之后,第二代理程序根據所述第一容器對應的多個第一運行對象,生成對應的多個第四度量值,并通過宿主機將所述第四度量值傳送到可信模塊,用于確定所述第一運行對象的運行狀態是否正常;
8、在第二容器啟動之后,第一代理程序根據第二容器對應的多個第二運行對象,生成對應的多個第五度量值,并通過宿主機將所述第五度量值傳送到可信模塊,用于確定所述第二運行對象的運行狀態是否正常。
9、在一種可能的實施方式中,所述方法還包括:若確定所述宿主機的啟動過程為不正常,則終止所述宿主機的啟動;若確定所述第一容器或第二容器的啟動過程為不正常,則終止所述第一容器或第二容器的啟動過程。
10、在一種可能的實施方式中,所述多個第一啟動對象還包括基本輸入輸出系統、引導加載程序、宿主機內核;所述多個第三啟動對象包括所述第二容器依賴的運行時進程、所述第二容器對應的鏡像文件。
11、在一種可能的實施方式中,所述客戶內核運行于第一虛擬機中,所述多個第二啟動對象還包括所述第二容器依賴的運行時進程、所述第一虛擬機對應的鏡像文件;
12、在一種可能的實施方式中,所述可信模塊中包括與所述多個第一啟動對象分別對應的多個第一基準值、與所述多個第二啟動對象分別對應的多個第二基準值、與所述多個第三啟動對象分別對應的多個第三基準值;
13、確定所述宿主機的啟動過程是否正常,包括:根據各個第一啟動對象對應的第一度量值和第一基準值,確定各個第一啟動對象是否正常啟動;若所述多個第一啟動對象中任意一個第一啟動對象非正常啟動,則確定所述宿主機的啟動過程不正常;若所有第一啟動對象正常啟動,則確定所述宿主機的啟動過程正常;
14、確定所述第一容器的啟動過程是否正常,包括:根據各個第二啟動對象對應的第二度量值和第二基準值,確定各個第二啟動對象是否正常啟動;若所述多個第二啟動對象中任意一個第二啟動對象非正常啟動,則確定所述第一容器的啟動過程不正常;若所有第二啟動對象正常啟動,則確定所述第一容器的啟動過程正常;
15、確定所述第一容器的啟動過程是否正常,包括:根據各個第三啟動對象對應的第三度量值和第三基準值,確定各個第三啟動對象是否正常啟動;若所述多個第三啟動對象中任意一個第三啟動對象非正常啟動,則確定所述第二容器的啟動過程不正常;若所有第三啟動對象正常啟動,則確定所述第二容器的啟動過程正常。
16、在一種可能的實施方式中,所述可信模塊中包括與多個第一運行對象分別對應的多個第四基準值、與多個第二運行對象分別對應的多個第五基準值;
17、確定所述第一運行對象的運行過程是否正常,包括:根據各個第一運行對象對應的第四度量值和第四基準值,則確定各個第一運行對象的運行狀態是否正常;
18、確定所述第二運行對象的運行過程是否正常,包括:根據各個第二運行對象對應的第五度量值和第五基準值,確定各個第二運行對象的運行狀態是否正常。
19、在一種可能的實施方式中,所述方法還包括:
20、若確定任意一個第一運行對象的運行狀態為不正常,則確定所述第一容器的運行狀態為不正常,若確定任意一個第二運行對象的運行過程為不正常,則確定所述二容器的運行狀態為不正常。
21、在一種可能的實施方式中,可信模塊為配置于所述宿主機中的可信平臺控制模塊或可信平臺模塊中的一種。
22、根據第二方面,提供了一種宿主機,包括具有對應的客戶內核的第一容器、不具有對應的客戶內核的第二容器、第一代理程序和可信模塊,其中,
23、可信模塊,配置為,響應于所述宿主機的啟動,度量所述宿主機對應的多個第一啟動對象,生成對應的多個第一度量值,所述多個對象中包括所述第一代理程序;所述第一度量值用于確定所述宿主機的啟動過程是否正常;
24、所述第一代理程序,配置為,響應于第一容器的啟動,根據第一容器對應的多個第二啟動對象,生成對應的多個第二度量值,將所述第二度量值發送到所述可信模塊,用于確定第一容器的啟動過程是否正常;所述多個第二啟動對象中至少包括基于客戶內核的、用于度量在第一容器啟動后第一容器對應的運行對象的第二代理程序;
25、所述第一代理程序,還配置為,響應于第二容器的啟動,根據第二容器對應的多個第三啟動對象,生成對應的多個第三度量值,將所述第三度量值發送到所述可信模塊,用于確定所述第二容器的啟動過程是否正常。
26、根據第三方面,提供了一種計算機可讀存儲介質,其上存儲有計算機程序,當所述計算機程序在計算機中執行時,令計算機執行第一方面所述的方法。
27、根據第四方面,提供了一種計算設備,包括存儲器和處理器,所述存儲器中存儲有可執行代碼,所述處理器執行所述可執行代碼時,實現第一方面所述的方法。
28、利用以上各個方面中的方法、宿主機、計算設備本文檔來自技高網...
【技術保護點】
1.一種對于容器的監測方法,所述容器的宿主機上部署有基于客戶內核的第一容器、基于宿主機內核的第二容器、第一代理程序和可信模塊,所述方法包括:
2.根據權利要求1所述的方法,所述方法還包括:
3.根據權利要求1所述的方法,所述方法還包括:若確定所述宿主機的啟動過程為不正常,則終止所述宿主機的啟動;若確定所述第一容器或第二容器的啟動過程為不正常,則終止所述第一容器或第二容器的啟動過程。
4.根據權利要求1所述的方法,其中,所述多個第一啟動對象還包括基本輸入輸出系統、引導加載程序、宿主機內核;所述多個第三啟動對象包括所述第二容器依賴的運行時進程、所述第二容器對應的鏡像文件。
5.根據權利要求1所述的方法,其中,所述客戶內核運行于第一虛擬機中,所述多個第二啟動對象還包括所述第二容器依賴的運行時進程、所述第一虛擬機對應的鏡像文件。
6.根據權利要求1所述的方法,其中,所述可信模塊中包括與所述多個第一啟動對象分別對應的多個第一基準值、與所述多個第二啟動對象分別對應的多個第二基準值、與所述多個第三啟動對象分別對應的多個第三基準值;p>
7.根據權利要求2所述的方法,其中,所述可信模塊中包括與多個第一運行對象分別對應的多個第四基準值、與多個第二運行對象分別對應的多個第五基準值;
8.根據權利要求2所述的方法,還包括:
9.根據權利要求1所述的方法,其中,可信模塊為配置于所述宿主機中的可信平臺控制模塊或可信平臺模塊中的一種。
10.一種宿主機,所述宿主機上部署有基于客戶內核的第一容器、基于宿主機內核的第二容器、第一代理程序和可信模塊,其中,
11.一種計算機可讀存儲介質,其上存儲有計算機程序,當所述計算機程序在計算機中執行時,令計算機執行權利要求1-9中任一項的所述的方法。
12.一種計算設備,包括存儲器和處理器,所述存儲器中存儲有可執行代碼,所述處理器執行所述可執行代碼時,實現權利要求1-9中任一項所述的方法。
...【技術特征摘要】
1.一種對于容器的監測方法,所述容器的宿主機上部署有基于客戶內核的第一容器、基于宿主機內核的第二容器、第一代理程序和可信模塊,所述方法包括:
2.根據權利要求1所述的方法,所述方法還包括:
3.根據權利要求1所述的方法,所述方法還包括:若確定所述宿主機的啟動過程為不正常,則終止所述宿主機的啟動;若確定所述第一容器或第二容器的啟動過程為不正常,則終止所述第一容器或第二容器的啟動過程。
4.根據權利要求1所述的方法,其中,所述多個第一啟動對象還包括基本輸入輸出系統、引導加載程序、宿主機內核;所述多個第三啟動對象包括所述第二容器依賴的運行時進程、所述第二容器對應的鏡像文件。
5.根據權利要求1所述的方法,其中,所述客戶內核運行于第一虛擬機中,所述多個第二啟動對象還包括所述第二容器依賴的運行時進程、所述第一虛擬機對應的鏡像文件。
6.根據權利要求1所述的方法,其中,所述可信模塊中包括與所述多個第一啟動對象分別對應...
【專利技術屬性】
技術研發人員:李超,侯偉星,羅海林,張建標,韓宇飛,
申請(專利權)人:浙江螞蟻密算科技有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。