[发明专利]用于共享目录的方法和装置

说明书

本发明实施例提供了一种用于共享目录的方法和装置。该方法包括：获取共享参数信息，该共享参数信息包括共享分类category集合和共享目录信息，该共享category集合包括至少一个category，该共享目录信息用于指示多个容器中的每个容器挂载目标主机中的目标目录；根据该共享目录信息，将该目标目录的安全上下文中的category信息更新为该共享category集合；根据该共享参数信息，创建该多个容器中的每个容器，创建后的该每个容器的安全上下文中的category信息包括该共享category集合，以便于该多个容器中的每个容器挂载并访问该目标目录。本发明能够实现多个容器共享访问目标主机中的目录。

技术领域

本发明实施例涉及计算机领域，尤其涉及一种用于共享目录的方法和装置。

背景技术

容器类似于虚拟机，是一种软件沙箱，一种安全机制，主要为运行中的程序提供的隔离环境，严格控制容器中的程序所能访问的资源。

Linux命名空间(namespace)隔离机制为实现基于容器的虚拟化技术提供了很好的基础。容器技术使用namespace隔离后，主机中除内核外的Unix分时操作系统、进程间通信、文件系统、进程控制符等系统资源不再是全局性的，而是属于特定的namespace，每个namespace里面的资源对其他namespace都是透明的，容器就是利用这一特性实现了资源的隔离，不同容器内的进程属于不同的namespace，彼此透明，互不干扰。

另外，把安全性增强Linux(Security-Enhanced Linux，SELinux)适配到Docker，即让SELinux作用于Docker容器，能够增强容器间namespace的隔离性。

但是，当多个容器共享同一份内核时，会导致隔离性和安全性上的不足，在这个事实之下，用户需要面对很多安全问题，例如，运行在某一容器中的进程能够获得运行在其它容器中的进程的信息或用户权限。

现有的Docker可以通过-v接口让容器挂载目标主机上的目标目录，即通过-v/host:/tmp将，目标主机的/host目录挂载在容器的/tmp目录上，这样以来，只有挂载了目标主机的目标目录，并且安全上下文的category信息中包括目标目录的category的容器才能够访问该目标主机。

另外，Docker可以通过在-v接口的基础上加上Z参数让容器挂载目标主机上的目标目录，即通过-v/host:/tmp:c12,c13，将目标主机的/host目录挂载在容器的/tmp目录上，同时将/host目录的安全上下文的category信息更新为c12,c13。

然而，若有多个容器都挂载这个目录，则/host目录的安全上下文由最后一个挂载它的容器的Z参数决定，这样以来，/host目录只能被最后一个挂载它的容器访问，不能实现多个容器共享访问/host目录。

发明内容

本申请提供了一种用于共享目录的方法和装置，能够实现多个容器共享访问目标主机中的目录。

第一方面，本申请提供了一种用于共享目录的方法，该方法包括：

获取共享参数信息，该共享参数信息包括共享分类category集合和共享目录信息，该共享category集合包括至少一个category，该共享目录信息用于指示多个容器中的每个容器挂载目标主机中的目标目录；

根据该共享目录信息，将该目标目录的安全上下文中的category信息更新为该共享category集合；

根据该共享参数信息，创建该多个容器中的每个容器，创建后的该每个容器的安全上下文中的category信息包括该共享category集合，以便于该多个容器中的每个容器挂载并访问该目标目录。