[发明专利]镜像分发方法、装置及存储介质

说明书

本发明实施例提出一种镜像分发方法、装置及计算机可读存储介质。其中镜像分发方法包括：如果外层镜像仓库接收到用户设备上传的基础镜像，则将所述基础镜像保存到所述外层镜像仓库；从所述外层镜像仓库向所述内层镜像仓库同步所述基础镜像，所述内层镜像仓库包括需要保密的数据；从所述内层镜像仓库向计算集群内的各计算节点分发基础镜像和需要保密的数据，其中，各计算节点被禁止访问所述外层镜像仓库。本发明实施例通过多层镜像仓库的架构设计即保证了外层镜像数据即时单向同步至内部内层镜像仓库，同时内外层镜像隔离性避免了内部敏感数据借由镜像仓库透传外部的问题。

技术领域

本发明涉及信息技术领域，尤其涉及一种镜像分发方法、装置及计算机可读存储介质。

背景技术

随着云计算时代的到来，公有云提供的基础服务已成为广大互联网及传统企业进行IT(Information Technology，信息技术)系统建设的基石。随着Kubernates及Docker(应用容器引擎)相关容器生态的发展与成熟，通过符合业内镜像标准规范格式的镜像交付，例如Docker镜像格式，部署于容器服务管理平台已成为趋势及行业规范。在现实生产环境中，镜像是用户开发的终点，同时也是服务部署、托管的起点。由于各个业务场景不同，镜像的大小差别也随之不同，较小的单一功能镜像大小可以仅为几百KB，而类似自动驾驶仿真任务训练镜像大小可以达到数十GB的大小。对于深度学习、仿真系统这类离线训练场景下，由于镜像数据敏感且大小较大，同时并行训练场景下可达到数千服务器并发获取训练镜像的规模，因此如何实现安全、高效的镜像分发是一个亟待解决的问题。

目前镜像分发系统中，实现镜像隔离及安全性保证主要基于JWT(JSON WebTokens，JSON网络令牌)认证。现有基于JWT方式的鉴权流程，可以实现镜像服务的多用户隔离及镜像操作鉴权逻辑。但是在公有云生产环境具有敏感数据的场景下，这种实现方式允许用户登录自己的生产节点。由于生产环境需要部署用户镜像，因此传统单层镜像在面向用户端及生产环境部署端对应了相同的后端服务。这种情况下恶意用户可以将生产环境敏感数据制作为镜像通过单层镜像仓库透传到外网，导致敏感数据外泄。

另外，目前镜像分发系统中，实现镜像分发主要有以下方法：

(1)集中式镜像仓库对接分布式存储后端的分发系统。这种镜像分发方法依赖分布式存储系统作为镜像实体数据的存储端，多个同构镜像仓库实例作为服务前端承载流量，镜像仓库实例可实现水平扩容，系统总容量取决于后端分布式存储系统的总容量。系统的峰值分发能力取决于同一镜像数据文件位于的后端存储系统的多个副本所处节点的带宽总和。

上述方案存在的主要问题是，集中式镜像仓库对接分布式存储后端的分发系统的存储瓶颈完全由同一镜像数据文件位于的后端存储系统的多个副本所处节点的带宽总和决定，虽然服务前端的镜像仓库实例可以通过水平扩容的形式承载更多的流量，但是无法改变后端实体数据传输受分布式存储系统节点的带宽限制。

(2)侵入式修改容器管理客户端，使用P2P(Peer-to-Peer，对等网络)分发方式。P2P分发系统是大规模数据分发场景下的一个成熟的技术方案。现有将P2P分发机制引入离线镜像分发系统的方案，主要立足于修改原有系统的客户端，使之使用P2P方式完成相关数据的传输和做种。

在上述方案中，侵入式修改容器管理客户端，由于具有实现的侵入性，无法与现有生产环境兼容，同时这种实现方式是一种非彼即此的选择，选择了P2P分发方式便无法使用原有分发模式，相对缺少灵活性。

发明内容

本发明实施例提供一种镜像分发方法、装置及计算机可读存储介质，以至少解决现有技术中的一个或多个技术问题。