[发明专利]一种面向Docker容器的文件系统资源隔离方法

说明书

本发明涉及一种面向Docker容器的文件系统资源隔离方法，根据容器的访问请求对主机文件系统资源进行分配并确定与访问请求对应的锁资源，文件系统资源隔离方法至少包括如下步骤：基于锁资源的粒度将锁资源划分为能够细化的第一锁和不能够细化的第二锁，并按照配置第一锁的细化副本以构成单独的锁的方式创建若干个新容器；根据新容器所需的文件资源请求参数对主机文件系统资源进行分配并基于分配结果将若干个新容器划分为第一标记容器和第二标记容器；在第一标记容器或第二标记容器执行文件系统操作时存在锁竞争或需要使用文件系统资源的情况下，根据已分配给第一标记容器或第二标记容器的文件系统资源用量对文件系统操作的执行进行控制。

技术领域

本发明属于虚拟化系统技术领域，尤其涉及一种面向Docker容器的文件系统资源隔离方法。

背景技术

当前，虚拟化是云计算环境中提升设备利用率的一种关键技术手段。Docker的出现推动了操作系统级虚拟化技术的发展，容器凭借其性能高，启动快，开销小，隔离性等特点，开始取代虚拟机在云计算环境中占据越来越重要的地位。然而，虽然容器在性能上比起虚拟机有一定优势，但是隔离性方面却比虚拟机差。本质原因是容器共享相同的操作系统内核。同时，由于容器比虚拟机更轻，相同配置的服务器上可以部署更多的容器，因此容器间的资源竞争会比虚拟机间的资源竞争更激烈。

容器间性能隔离的手段主要借助于内核cgroups系统。它可以为进程提供CPU，Memory和I/O隔离。比如，blkio子系统可以为每个进程指定一个权重，当使用cfq调度器进行I/O调度时，每个进程可以获得相应权重的调度时间片，从而可以实现容器间的I/O隔离。但是这些隔离手段都没有办法解决因为共享内核所引起的竞争。比如，当多个容器同时创建文件时，都需要向主机文件系统申请inode，所有文件的inode组织成一个全局的链表并由锁保护，因此当多个容器同时创建文件时，就会因为竞争这个锁相互影响。同时，由于容器共享主机文件系统的资源，当出现一个恶意容器大量创建文件时，会耗尽主机文件系统中所有的inode，导致其它容器无法创建文件。

为了减轻由于共享内核出现的隔离性问题，主要的技术手段是将主机文件系统资源进行划分，抽象成多个互相独立的实体，然后将多个进程I/O栈的共享部分进行分离，使得每个进程具有独立的I/O栈。但是这种方法需要对主机文件系统进行修改，而Docker容器使用存储驱动来管理镜像和容器，不同存储驱动对主机文件系统有不同要求。所以这种方法不适用于Docker容器。同时，Docker的镜像和容器分层的存储特性使得Docker容器具有更深更复杂的I/O栈，会引入新的隔离性问题。例如，公开号为CN106874125A的专利文献公开了一种多容器系统间共享系统资源的方法及装置，该方法包括：当内核监测到来自任一容器系统的针对设备的访问请求时，确定访问请求中与设备对应的系统资源相匹配的资源锁；基于系统资源相匹配的资源锁，确定系统资源的状态信息；根据系统资源的状态信息，对系统资源进行加锁，并将加锁后的系统资源分配至容器系统，以用于容器系统对系统资源进行独占访问。

由上可以看到，Docker容器已有的性能隔离手段是直接和硬件相关的性能隔离，无法解决由于共享内核带来的隔离性问题。而解决共享内核带来的隔离性问题的技术手段并不适用于Docker容器。因此，本发明试图探寻一种容器文件系统资源的隔离方法，针对容器共享内核中的锁竞争和文件系统资源的竞争，提供一种技术手段，将文件系统资源分配到每个容器文件系统示例中，避开共享，从而防止竞争带来的性能干扰，提升隔离性。

此外，一方面由于申请人所理解的本领域技术人员与审查部门必然有所差异；另一方面由于发明人做出本发明时研究了大量文献和专利，但篇幅所限并未详细罗列所有的细节与内容，然而这绝非本发明不具备这些现有技术的特征，相反本发明已经具备现有技术的所有特征，而且申请人保留依据审查指南相关规定随时在背景技术中增加相关现有技术之权利。

发明内容

如本文所用的词语“模块”描述任一种硬件、软件或软硬件组合，其能够执行与“模块”相关联的功能。