[发明专利]一种高安全docker容器批量部署方法及装置

说明书

本发明提出一种高安全docker容器批量部署方法及装置，涉及docker容器的自动部署技术领域，该方法包括步骤1，获取集群中每台物理机的CPU核数、CPU的利用率、内存使用率、带宽的使用率；步骤2，根据所述CPU的利用率、所述内存使用率、所述带宽的使用率，为每台物理机计算权值，根据所述所述权值，计算需部署docker容器的个数；步骤3，根据需部署docker容器的个数，并行创建docker容器。

技术领域

本发明涉及docker容器的自动部署技术领域，特别涉及一种高安全docker容器批量部署方法及装置。

背景技术

Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的Linux机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口。

Docker核心解决的问题是利用LXC来实现类似VM的功能，从而利用更加节省的硬件资源提供给用户更多的计算资源。同VM的方式不同,LXC其并不是一套硬件虚拟化方法-无法归属到全虚拟化、部分虚拟化和半虚拟化中的任意一个，而是一个操作系统级虚拟化方法,理解起来可能并不像VM那样直观。

用户需要考虑虚拟化方法，尤其是硬件虚拟化方法，需要借助其解决的主要是以下4个问题:

隔离性：每个用户实例之间相互隔离,互不影响。硬件虚拟化方法给出的方法是VM,LXC给出的方法是container，更细一点是kernel namespace。

可配额/可度量：每个用户实例可以按需提供其计算资源，所使用的资源可以被计量。硬件虚拟化方法因为虚拟了CPU,memory可以方便实现,LXC则主要是利用cgroups来控制资源。

移动性：用户的实例可以很方便地复制、移动和重建。硬件虚拟化方法提供snapshot和image来实现，docker(主要)利用AUFS实现。

安全性：这里强调是host主机的角度尽量保护container。硬件虚拟化的方法因为虚拟化的水平比较高，用户进程都是在KVM等虚拟机容器中翻译运行的,然而对于LXC,用户的进程是lxc-start进程的子进程,只是在Kernel的namespace中隔离的,因此需要一些kernel的patch来保证用户的运行环境不会受到来自host主机的恶意入侵,dotcloud是利用kernel grsec patch解决的。

目前，Linux操作系统中，所有容器运行的是相同的强制访问控制类型(即SELinux类型，如svirt_lxc_net_t)，该类别允许所有网络端口都能处于监听状态，也允许所有网络端口都能对外发起连接。对于容器而言，例如，在一个容器中运行某个服务程序，一旦该服务程序被成功入侵，该服务程序进程将会连接任何网络端口并成为制造垃圾信息的机器人，也可能会通过网络攻击其他宿主机和容器，这便为容器留下了不可否认的安全问题。

Docker容器的安全问题本质上就是容器技术的安全性问题，安全性问题90％以上可以归结为隔离性问题，Docker容器的隔离性主要运用Namespace技术。Namespace技术是Linux操作系统提供的一种内核级别环境隔离的方法，但是，虽然Docker容器可通过Namespace的方式分隔出看似是独立的空间，然而Linux操作系统内核却不能通过Namespace的方式分隔，所以即使Docker容器具有多个独立的空间(Container)，但由于所有的Linux操作系统调用其实都是通过主机的内核处理，所以最终还是会为Docker容器留下安全隐患。

发明内容

本发明针对docker容器部署过程中存在的安全隐患，以及在批量docker容器部署的效率低下的问题上，提出一种高安全docker容器批量部署方法及装置。

本发明提出一种高安全docker容器批量部署方法，包括：