[发明专利]一种业务处理方法及装置

说明书

本申请提供一种业务处理方法及装置，涉及计算机技术领域，用于至少提供一种提升业务处理过程的安全的方法。该方法包括：接收业务程序发送的业务处理指令，业务处理指令指示待调用的镜像；确定待调用的镜像对应的容器组pod的service，根据service提供的网络地址和端口访问pod，通过pod提供的容器调用待调用的镜像，其中，pod和service是按照如下方式预先创建的:响应容器创建指令创建pod，pod包括至少一个容器，每个容器对应一个镜像，创建用于访问pod的service。该方法限制业务处理过程使用的镜像不能读取且不能篡改其他文件的信息，提升了业务处理过程的安全。

技术领域

本申请涉及计算机技术领域，尤其涉及一种业务处理方法及装置。

背景技术

相关技术中，常采用沙箱环境保证业务处理过程中的文件安全，沙箱是一种通过安全策略限制程序行为的执行环境，为一些来源不可信、具有破坏力或无法判定程序意图的程序提供隔离环境。

一般沙箱包括基于虚拟化的沙箱和基于规则的沙箱，但这两类沙箱在使用过程中，都不能支持被隔离的文件自动进入沙箱，且其安全性有待提高。

发明内容

本申请实施例提供一种业务处理方法及装置，用于至少提供一种提升业务处理过程的安全的方法。

本申请第一方面，提供一种业务处理方法，包括：

接收业务程序发送的业务处理指令，所述业务处理指令指示待调用的镜像，所述镜像包括对所述业务处理指令对应的业务请求进行处理的程序；

确定所述待调用的镜像对应的容器组pod的容器组访问微服务service，根据所述service提供的网络地址和端口访问所述pod，通过所述pod提供的容器调用所述待调用的镜像，其中，所述pod和service是按照如下方式预先创建的：

响应容器创建指令创建容器组pod，所述pod包括至少一个容器，每个容器对应一个镜像；

创建用于访问所述pod的service，所述service包括访问所述pod的网络地址和端口。

上述方法中，将业务处理过程中需要使用的程序(即镜像)放入容器组pod中，即在进行业务处理的过程中，限制业务处理过程使用的程序不能从本地计算机的其他文件中读取任何信息，也不能往本地计算机的其他文件中写入任何信息，避免了业务处理过程中使用的程序修改计算机中其他文件信息的情况，明显地提升了业务处理的安全。

在一种可能的实现方式中，所述通过所述pod提供的容器调用所述待调用的镜像之后，还包括：

响应容器删除指令，删除所述pod和所述service，所述容器删除指令是所述业务程序确定结束处理所述业务请求后发送的。

上述方法中，在结束处理业务请求后，可以删除该业务请求对应的pod和service，对pod的生命周期进行控制，进一步避免了处理完业务请求的pod中的镜像对计算机中其他文件篡改的情况，提升了隔离环境的安全。

在一种可能的实现方式中，所述响应容器创建指令创建容器组pod，包括：

从容器引擎中获取与所述容器创建指令对应的至少一个镜像；

将获取的各镜像放入对应的容器获得所述pod，其中，一个容器对应一个镜像。

上述方法中，在创建pod时即拉取镜像，支持将文件自动拉入隔离环境pod中，且在一个容器中放入一个镜像，支持用不同的容器隔离不同的镜像，避免了不同的镜像的相互影响以及可能发生相互篡改的情况的出现。

在一种可能的实现方式中，所述service提供的网络地址和端口用于访问至少两个功能相同的pod；