[发明专利]网络功能虚拟化NVF系统的容器部署方法及装置

说明书

本发明提供了一种网络功能虚拟化NVF系统的容器部署方法及装置，该方法包括：获取虚拟网络功能VNF的容器部署请求；根据容器部署请求，确定满足容器的部署条件的候选节点；在候选节点的标牌为白牌的情况下，将候选节点的标牌更改为容器的厂商牌，并将容器部署在候选节点上。本发明实施例通过动态打标，实现不同厂家网元的容器不共节点部署，避免了不同厂家网元互相攻击的情况，且能够实现按网元所需标记节点进行容器部署，提升节点资源池的利用率。

技术领域

本发明涉及通信技术领域，尤其涉及一种网络功能虚拟化NVF系统的容器部署方法及装置。

背景技术

网络功能虚拟化(Network Function Virtualized，NFV)实现了网元的虚拟化和云化，随着容器(Pod)技术在互联网和云计算领域的成熟应用，以及电信网元逐步开始实现容器化，在NFV架构下引入容器成为趋势。为了向管理虚机一样管理容器，在NFV中引入容器需要对NFV架构做出一些改动，具体地，在NFV架构中引入容器，其中，容器可以是服务器或虚拟机，要求具备容器引擎等，对应虚拟机则节点管理为虚拟化基础设置管理器(Virtualized Infrastructure Manager，VIM)，对应服务器则节点管理可以为VIM(ironic)或其他方式。针对容器的管理和调度，引入容器集群管理平台。管理和编排系统(Management and Orchestration，MANO)体系支持容器化网元生命周期管理相关的功能、接口、流程等。虚拟网络功能描述(Virtualized Network Function Description，VNFD)所描述的VDU为容器而非虚拟机。

以容器化网元实例化为例，可由虚拟网络功能管理(Virtualized NetworkFunction Management，VNFM)解析VNFD到虚拟化部署单元(Virtualization DeploymentUnit，VDU)，而后通过容器集群管理平台将容器部署到节点，从而完成网元部署。容器集群管理平台可采用主流的kubernetes进行增强实现，即网元容器的调度、部署、管理等功能均由kubernetes实现。其中，Kubernetes包含控制节点(master)和普通节点(node)两类节点：其中普通节点是实际部署和运行容器的节点；控制节点用于运行api服务、容器调度、控制器等若干模块。

容器是一种轻量级隔离技术，隔离原理是通过OS内核的名称域(namespace)来隔离不同容器，不同容器共享节点OS内核，在OS内核层面可能有如下安全隐患：

通过在容器中执行攻击程序，恶意占用节点资源，导致同一节点上的其他容器或节点遭遇拒绝服务(Denial of Service，DoS)；在容器利用内核漏洞发生逃逸，进行提权后控制节点，以及对其他容器构成危险，如窃取其他容器内敏感数据，或访问属于其他容器的资源，或向其他容器注入恶意代码。

网元容器化部署时，如不进行特别干预，容器集群管理平台会根据网元VNFD中的资源描述以及节点状态进行容器部署的调度，同一节点可能存在多厂家网元的容器。基于容器共享节点OS内核的安全隐患，同一节点部署多厂家网元容器时，可能出现厂家容器之间的恶意攻击，并且由于有些厂家网元可能存在跨节点部署，因此安全隐患会扩散到其他节点，从而对整个资源池构成安全风险。