一种面向PaaS云环境的高同驻概率实例部署方法技术

本发明专利技术涉及一种面向PaaS云环境的高同驻概率实例部署方法。该方法包括：1)在PaaS云上创建或选定至少一个目标实例；2)在目标实例创建之后的一定的时间间隔(较短的时间间隔)内，快速启动和目标实例相同应用类型的实例(称作检测实例)；3)在检测实例启动之后进行同驻检测，找出和目标实例同驻的检测实例。本发明专利技术能有效提高检测实例和目标实例达到同驻的概率，缩短达到同驻的时间，节约成本。

【技术实现步骤摘要】
一种面向PaaS云环境的高同驻概率实例部署方法
本专利技术属于虚拟化及网络安全
，涉及一种提高云环境中实例同驻概率的方法，特别涉及一种面向PaaS云环境的高同驻概率实例部署方法。
技术介绍
云计算是一种按使用量付费的模式，核心计算和软件资源部署在第三方供应商的基础设施上，用户可以通过网络访问，进入可配置的计算资源共享池(资源包括网络，服务器，存储，应用软件，服务)，按需使用这些资源。用户只需投入很少的管理工作，或与服务供应商进行很少的交互。云计算可以认为包括以下几个层次的服务：基础设施即服务(IaaS)，平台即服务(PaaS)和软件即服务(SaaS)。近年来云计算发展迅猛，PaaS云服务在云计算市场中占据重要地位。PaaS所提供的服务是一个基础平台，由专门的平台服务提供商搭建和运营该基础平台。PaaS让用户更专注于他们所开发和交付的应用程序，而不是管理和维护完整的平台系统。例如，当用户需要测试或部署一个Java软件时，他首先向PaaS云供应商申请一个Java环境，然后将自己的代码部署到申请的实例中去运行就可以了，而不需要在本地进行复杂的Java运行环境的搭建。PaaS云常见的隔离机制是基于容器的隔离，例如Docker。容器技术使用了一系列的系统级别的机制诸如利用Linuxnamespaces来进行空间隔离，通过文件系统的挂载点来决定容器可以访问哪些文件，通过Cgroups来确定每个容器可以利用多少资源，而不必为每个应用提供一个完整的操作系统，从而大大提高了资源的利用率和部署效率。同驻是指在虚拟化环境中，两个或者多个实例运行在同一个物理机器上，它们共享该物理机器的资源，由虚拟化监控器对不同的实例进行调度并提供实例间的隔离性与安全性保证。云服务提供商为了有效利用物理资源，一般会把多个租户的实例部署在同一台物理机上；而有时出于某些特定的计算需求，租户也会希望实例间达到同驻。达到同驻一般分为两步：首先，租户按照一定的策略申请部署实例，例如结合实例的应用类型、申请时间、实例数量等因素来考虑实例的创建；然后，租户需要利用同驻检测方法来判断是否和目标实例达到了同驻。针对云上实例同驻检测的方法有很多。Ristenpart等人(T.Ristenpart,E.Tromer,H.Shacham,andS.Savage.Hey,you,getoffofmycloud:Exploringinformationleakageinthird-partycomputeclouds.InProceedingsofthe16thACMconferenceonComputerandcommunicationssecurity,pages199–212.ACM,2009.)在2009年首次提出虚拟机同驻问题，并给出了基于网络信息的检测：如果两个虚拟机有相同的Domain0的IP地址、相近的内部IP地址或者较小的网络包往返时间(round-triptimes，RTTs)，则它们很可能同驻。AdamBates等人(A.Bates,B.Mood,J.Pletcher,H.Pruse,M.Valafar,andK.Butler.Detectingco-residencywithactivetrafficanalysistechniques.InProceedingsofthe2012ACMWorkshoponCloudComputingSecurityWorkshop,pages1–12.ACM,2012.)基于同驻虚拟机对物理平台网卡的多路复用带来的网络包延时问题提出了同驻水印技术(Co-ResidencyWatermarking)来检测同驻。Zhang等人(Y.Zhang,A.Juels,A.Oprea,andM.K.Reiter.Homealone:Coresidencydetectioninthecloudviaside-channelanalysis.InProceedingsofthe2011IEEESymposiumonSecurityandPrivacy,pages313–328.IEEEComputerSociety,2011.)提出基于Cache的HomeAlone技术，该技术通过监控友好虚拟机们约定不使用的某一特定缓存区域的使用情况来判断是否有其他虚拟机使用这一区域缓存，进而达到检测同驻的目的。同时，还有多种基于最后一级缓存的同驻检测方法，例如Flush-reload和Prime-probe等方法均可以通过检测对最后一级共享缓存的占用来检测同驻。此外，Wu等人(Z.Wu,Z.Xu,andH.Wang.Whispersinthehyper-space:Highspeedcovertchannelattacksinthecloud.InUSENIXSecuritysymposium,pages159–173,2012.)提出的基于内存总线抢占的同驻检测方法，该方法不仅局限于含有同一CPU的物理架构，对于多CPU的物理架构同样适用。虽然针对虚拟机同驻检测的研究有很多，但是针对虚拟机部署策略的研究并不是很多，针对PaaS云实例部署策略的研究就更少了。Varadarajan等人(Varadarajan,V.,Zhang,Y.,Ristenpart,T.,andSwift,M.Aplacementvulnerabilitystudyinmulti-tenantpublicclouds.InProceedingsofUSENIXSecurity，2015.)研究了三个公有IaaS云平台EC2，GCE和MicrosoftAzure上的同驻漏洞，也有简单的提及HerokuPaaS云上实例的同驻问题，但是没有进行进一步的研究。2014年Zhang等人(Y.Zhang,A.Juels,M.K.Reiter,andT.Ristenpart.Cross-tenantside-channelattacksinPaaSclouds.InProceedingsofthe2014ACMSIGSACConferenceonComputerandCommunicationsSecurity,pages990–1003.ACM,2014.)以DotCloud和OpenShift来说明在PaaS公有云上达到同驻并不是很难，但是其主要研究点是如何利用侧信道方法来实现PaaS云租户之间的攻击，同时给出具体的攻击实例，并没有对如何在PaaS云上快速和目标达到同驻的问题进行分析。由于云服务是按需收费的，而达到同驻的过程中往往需要启动大量的实例，这将带来时间和金钱上的开销。因此，在同驻过程中如何缩短所需时间，节约成本，是需要考虑的重要因素之一。在实例部署过程中涉及的变量有云供应商、应用的类型(例如Python、Java、PHP等)、实例启动时间、实例数量、数据区域等，这些因素都有可能对同驻概率造成影响。在充分考察这些变量对同驻概率影响的前提下，可以通过设定一定的实例部署策略，提高同驻概率，节约时间和金钱的开销。
技术实现思路
本专利技术的目的在于针对基于容器的PaaS云提供一种实例的部署策略，该策略能够有效提高实例间达到同驻的概率，缩短达到同驻所需时间，减少开销。“实例本文档来自技高网...

【技术保护点】
一种面向PaaS云环境的高同驻概率实例部署方法，其特征在于，包括以下步骤：1)在PaaS云上创建或选定至少一个目标实例；2)在目标实例创建或选定之后的一定的时间间隔内，快速启动和目标实例属于相同应用类型的实例，即检测实例；3)在检测实例启动之后进行同驻检测，找出和目标实例同驻的检测实例。

【技术特征摘要】
1.一种面向PaaS云环境的高同驻概率实例部署方法，其特征在于，包括以下步骤：1)在PaaS云上创建或选定至少一个目标实例；2)在目标实例创建或选定之后的一定的时间间隔内，快速启动和目标实例属于相同应用类型的实例，即检测实例；3)在检测实例启动之后进行同驻检测，找出和目标实例同驻的检测实例。2.如权利要求1所述的方法，其特征在于，步骤1)通过增加目标实例数量来增大检测实例和目标实例达到同驻的概率。3.如权利要求2所述的方法，其特征在于，如果目标实例是用户可控的，则用户通过适当增加目标实例数量来增大检测实例和目标实例达到同驻的概率；如果目标实例是用户不可控的但对外提供服务，则利用其后台的负载均衡设置，通过增大其工作流使其自动增加实例的数量，从而促进新的目标实例的创建。4.如权利要求1所述的方法，其特征在于，步骤3)在同驻检测过程中，逐个测试检测实例和目标实例是否同驻，直到检测到同驻为止。5.如权利要求1所述的方法，其特征在于，步骤3)所述同驻检测基于共享物理资源的抢占来实现，判断两个实例A和B是否同驻的方法是：如果当实例A中运行占用内存总线的程序时，实例B中进程对内存的访问速度受到影响，则两个实例A和B同驻；如果实例A是否运行总线占用进程对于B访问内存的速度不造成影响，则两个实例A和B不...

【专利技术属性】
技术研发人员：贾晓启，张伟娟，唐静，杜海超，武希耀，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11