[发明专利]容器创建方法、相关设备及计算机存储介质

说明书

技术领域

本发明涉及虚拟化技术领域，尤其涉及容器创建方法、相关设备及计算机存储介质。

背景技术

容器Docker是目前应用较为流行的虚拟化技术。随着Docker技术的广泛应用，其曝露的安全问题日益严重，例如隔离机制不完善。在实践中发现，Docker的安全问题主要表现在以下几个方面：

1)、Docker系统本身依赖于Linux系统内核的安全性。目前，Docker技术主要依赖于CGroups和Namspace技术来创建和管理容器，这两种技术虽然解决了内核部分资源逻辑性的隔离，但容器之间的安全隔离却并未得到有效改善，仍然面临被穿透的风险。

2)、不同容器之间共享同样的Linux系统内核。当容器中的应用程序对内核资源，如进程、内核调用等资源进行恶意使用，将会影响同一物理主机上其他容器对内核资源的公平使用。例如，频繁恶意访问Linux系统的随机生成函数，将可能造成主机的所有资源都用于处理随机random访问请求，主机资源耗尽、影响其他业务程序访问random，甚至导致其他业务无法正常运行。

3)、在容器创建后，如果容器中的应用程序恶意使用内核权限较大的应用程序编程接口(application programming interface，API)对物理主机上的资源，如存储资源、网络资源、网络配置等进行访问或修改，将会影响物理主机的安全性。

4)、不同容器之间可共享Linux系统中的系统文件。如果容器中的应用程序由于出现漏洞bug或者恶意，可利用内核的漏洞从容器中逃离出来，访问其他容器存储在主机中的系统文件，可能造成数据泄露、数据损坏等问题。

发明内容

本发明实施例公开了容器创建方法、相关设备及计算机存储介质，能够克服现有技术中隔离机制不完善等安全问题，提升容器的安全性。

第一方面，本发明实施例提供了一种容器创建方法，包括：

终端设备接收配置信息，所述配置信息用于请求创建容器；

所述终端设备根据所述配置信息确定目标容器策略组并创建容器，所述目标容器策略组包括至少一个容器策略，所述容器策略用于限制创建的所述容器的操作权限；

所述终端设备将所述目标容器策略组配置到内核中，以用于所述内核根据所述目标容器策略组限制创建的所述容器的操作权限。

通过实施本发明实施例，采用目标容器策略组来保护容器，避免现有技术中容器隔离机制不完善所带来的数据泄密等问题，提升了容器的安全性。

在一些可能的实施例中，所述配置信息包括以下中的至少一项标识信息：租户的标识、创建的所述容器的标识、应用的标识以及角色的标识，其中，所述至少一项标识信息与所述目标容器策略组存在关联关系，所述应用的镜像用于创建所述容器，所述角色为预先配置给所述容器或者所述租户的属性。具体的，所述租户的标识用于标识需创建容器的一个租户或一类租户。相应地，所述容器的标识用于标识需创建的一个容器或一类容器。所述应用的标识用于标识需创建容器的一个应用或一类应用，该应用的镜像可用于创建容器。所述角色可以是指所述租户或所述容器的角色，所述角色或所述角色的标识是用户侧或终端设备侧预先为待创建的所述容器或所述租户配置的属性信息，这里不做过多详述。

在一些可能的实施例中，所述终端设备根据所述配置信息确定目标容器策略组并创建容器之前，还包括：所述终端设备创建多种容器策略组与多种标识信息之间的关联关系，其中，所述多种容器策略组中的每种容器策略组关联一种标识信息，多种标识信息中不同的标识信息关联的容器策略组不同，所述至少一项标识信息为所述多种标识信息中的任一种，所述目标容器策略组为所述多种容器策略组中的任一种，所述容器策略组包括至少一个容器策略。

具体实现中，所述终端设备需先创建容器策略数据库CSPR。所述CSPR中存储有多种容器策略组与多种标识信息之间的关联关系。具体的，系统可提供用户交互界面，用户通过用户交互界面可设置多种容器策略组与多种标识信息之间的关联关系，并将它们保存至所述CSPR中。

在一些可能的实施例中，所述至少一个容器策略中的任意两个容器策略互不冲突。具体的，CSPR中针对同一容器策略组中的容器策略而言，任意两个互不冲突。其中，每种容器策略组可包括至少一项容器策略。在所述同一容器策略组中检测容器策略冲突的具体实施方式包括但不限于：通过容器策略的作用方向或作用域来检测，其具体实施方式这里不做详述。