[发明专利]一种基于CRIU的Docker容器热迁移方法及系统

说明书

本发明公开一种基于CRIU的Docker容器热迁移方法及系统。该方案基于Docker容器配置信息重构容器创建命令进而实现Docker容器配置迁移，结合共享存储和非共享存储特点，采用不同Docker镜像分发方法实现Docker容器文件系统迁移，以避免现有方案直接迁移容器磁盘文件造成的Docker daemon重启问题。通过将volume源进行归一化处理，并在此基础上提出volume热迁移算法，简化了Docker容器的volume迁移。通过引入Docker仓库安全机制以及Rsync+SSH网络通信机制，该方案能够在非共享存储环境中保证迁移过程中迁移数据的机密性和完整性。

技术领域

本发明涉及Docker容器热迁移机制，其为DDOS攻击的重要防御手段负载均衡的基础技术，属于信息安全领域。

背景技术

近年来，轻量级应用容器在云环境中得到了快速发展，以Docker为代表的CaaS(容器即服务)技术正在成为云计算的新形式。Docker容器具有轻量级、快速部署和管理简单的特点，可以使得构建和发布应用变得更加简单、高效。随着Docker容器的飞速发展，对容器的功能需求也随之不断扩展；云提供商迫切希望应用容器能够和其他虚拟化产品(如虚拟机)一样，能够具有负载均衡、容灾备份、高可用性等新的企业级特性。与此同时，为了增加容器中应用的安全性，尤其是对于DDoS攻击的容忍能力，容器需要具有一定的负载均衡能力以应对DDoS攻击带来的威胁。

以上这些企业级特性和安全特性的需求，都要求容器和在容器中的应用能够按需进行跨主机的热迁移；然而，Docker容器到目前为止并没有提供成熟的内置(原生)迁移手段。其根本原因是Docker容器和虚拟机之间有本质的不同：虚拟机是由虚拟化管理器(Hypervisor)模拟(emulate)的一台完备的机器。物理机系统的挂起和恢复操作非常成熟而稳定，可以为虚拟机的热迁移提供协助；而应用容器本质上是一组Linux进程，进程作为操作系统的基本调度单位，最初的设计原则上就是高度依赖于本地操作系统的。在存储结构方面，Docker容器也和虚拟机不同：虚拟机的所有文件系统都保存于镜像中，只要把镜像放在共享存储里，就可以避免进行耗时的存储迁移；而Docker容器的镜像分层结构和外部卷机制，导致Docker镜像无法通过直接拷贝或共享的方式进行迁移。

目前，针对虚拟机的热迁移技术已经相对成熟，而容器热迁移则是一个新兴的研究点。早先的Linux操作系统并不具备进行热迁移的架构基础，直到2011年CRIU机制的出现才使得容器的热迁移成为可能；但是仅凭借该功能无法完成Docker容器的热迁移，还需要对Docker容器的配置、Volume、网络等各方面均进行迁移，并且维持迁移前后数据和配置的一致性和较低的重新响应时间。

近年来国内外研究者在利用CRIU机制进行容器迁移方面进行了多方面的探索。但已有的基于CRIU的容器热迁移方案一旦应用于Docker，必须重启Docker守护进程才能重新载入被迁移容器的状态，这会影响其他所有正常运行的容器。毛祺等人提出通过Docker的私有仓库保存容器基础镜像并以推送和拉取(push/pull)方式同步，从而实现容器的迁移。该方案虽然避免了Docker原生迁移命令export/import和save/load对整个文件系统进行复制的问题，只对修改部分进行迁移，但是该方案不属于热迁移，无法保持迁移前后容器状态一致。

发明内容

本发明的目的是提供一种可应用于共享存储和非共享存储的基于CRIU的Docker容器热迁移方法及系统，该方案整体框架如图1所示，本发明采用C/S架构，包括：

迁移组件步骤：用于完成迁移过程中针对容器所需的所有迁移操作，供迁移模块调用以迁移容器

迁移步骤：用于在迁出端和迁入端建立网络连接，并通过调用迁移组件模块中的组件完成Docker容器的热迁移，具体流程如图3所示；

清理步骤，包括：