[发明专利]管控进程占用资源的方法及装置

说明书

本发明实施例提供了一种管控进程占用资源的方法，该方法包括：当接收到资源占用请求消息时，确定发送资源占用请求消息的进程所属的容器和/或当前系统的模式和/或所述资源占用请求消息的类型，然后基于确定结果，确定是否执行所述资源占用请求消息对应的操作。本发明实施例提供了一种管控进程占用资源的方法及装置适用于对容器内的进程占用资源的情况进行管控。

技术领域

本发明涉及计算机技术领域，具体而言，本发明涉及一种管控进程占用资源的方法及装置。

背景技术

随着信息技术的发展，容器技术也随之发展，容器中所承载的内容为一系列的任务或进程。内核中设置有控制族群(英文全称：Control Groups，英文缩写：CGroup)文件系统，CGroup文件系统用于管控容器内进程占用资源的情况。

一般情况下，CGroup文件系统会被挂载到/sys/fs/cgroup目录下，其中该目录下有两种文件，文件1用于描述所控制的资源，文件2的文件名为tasks，其内容包括一系列的进程ID号，或者也可能为空文件，并用于指示这些受控的资源作用的进程。如果某个进程ID在tasks文件中，则表示该进程能访问的资源被tasks文件同级目录中的资源描述文件内容所控制，即tasks文件同级目录中的资源描述文件中设置了tasks文件中的所有进程访问资源的最大权限。

现有技术中，tasks文件中存在一些能够更改权限的进程，这些进程可以通过CGroup接口更改权限，以不受tasks文件同级目录中的资源描述文件限制，由于CGroup接口不能对更改权限的进程进行识别，从而某些恶意进程更改权限，或者某些进程被恶意攻击后，更改权限，导致对资源进行恶意占用的情况，进而导致容器隔离的效果较差。

发明内容

为克服上述技术问题或者至少部分地解决上述技术问题，特提出以下技术方案：

本发明的实施例根据第一个方面，提供了一种管控进程占用资源的方法，包括：

当接收到资源占用请求消息时，确定发送资源占用请求消息的进程所属的容器和/或当前系统的模式和/或资源占用请求消息的类型；

基于确定结果，确定是否执行资源占用请求消息对应的操作。

具体地，确定发送资源占用请求消息的进程所属的容器和/或当前系统的模式和/或资源占用请求消息的类型；基于确定结果，确定是否执行资源占用请求消息对应的操作的步骤，包括：

确定发送资源占用请求消息的进程所属的容器是否为预设容器；

若发送资源占用请求消息的进程所属的容器为预设容器，则基于当前系统的模式和/或资源占用请求消息，确定是否执行资源占用请求消息对应的操作。

具体地，基于当前系统的模式和/或资源占用请求消息，确定是否执行资源占用请求消息对应的操作的步骤，包括：

确定当前系统是否被设置为严格模式，严格模式为不执行任何操作的系统模式；

若未被设置为严格模式，则确定资源占用请求消息是否为请求扩大访问资源的消息；

若不为请求扩大访问资源的消息，则执行资源占用请求消息对应的操作。

可选地，确定发送资源占用请求消息的进程所属的容器是否属于预设容器的步骤之后，还包括：

若不为预设容器，则执行资源占用请求消息对应的操作。

具体地，确定发送资源占用请求消息的进程所属的容器和/或当前系统的模式和/或资源占用请求消息的类型；基于确定结果，确定是否执行资源占用请求消息对应的操作的步骤，包括：

确定资源占用请求消息是否为请求扩大资源的消息；