容器创建方法、相关设备及计算机存储介质技术

本发明专利技术实施例公开了容器创建方法、相关设备以及计算机存储介质，所述方法包括：终端设备接收配置信息，所述配置信息用于请求创建容器；根据所述配置信息确定目标容器策略组并创建容器，所述目标容器策略组包括至少一个容器策略，所述容器策略用于限制创建的所述容器的操作权限；将所述目标容器策略组配置到内核中，以用于所述内核根据所述目标容器策略组限制创建的所述容器的操作权限。采用本发明专利技术实施例，能够克服现有技术中隔离机制不完善等安全问题，提升容器的安全性。

Container creation method, related equipment and computer storage medium

The embodiment of the invention discloses a container creating method, related equipment and computer storage medium, wherein the method comprises: receiving terminal equipment configuration information, the configuration information for the request to create the container; according to the configuration information to determine the target container policy group and create a container, the container object strategy group comprises at least one container strategy. The strategy for the container container restrictions created by the operation authority; the target vessel strategy group configuration to the kernel, the kernel for the container according to the target container strategy group created by the operation authority limit. By adopting the embodiment of the invention, it can overcome the safety problems of the imperfect isolation mechanism in the existing technology and improve the safety of the container.

【技术实现步骤摘要】
容器创建方法、相关设备及计算机存储介质
本专利技术涉及虚拟化
，尤其涉及容器创建方法、相关设备及计算机存储介质。
技术介绍
容器Docker是目前应用较为流行的虚拟化技术。随着Docker技术的广泛应用，其曝露的安全问题日益严重，例如隔离机制不完善。在实践中发现，Docker的安全问题主要表现在以下几个方面：1)、Docker系统本身依赖于Linux系统内核的安全性。目前，Docker技术主要依赖于CGroups和Namspace技术来创建和管理容器，这两种技术虽然解决了内核部分资源逻辑性的隔离，但容器之间的安全隔离却并未得到有效改善，仍然面临被穿透的风险。2)、不同容器之间共享同样的Linux系统内核。当容器中的应用程序对内核资源，如进程、内核调用等资源进行恶意使用，将会影响同一物理主机上其他容器对内核资源的公平使用。例如，频繁恶意访问Linux系统的随机生成函数，将可能造成主机的所有资源都用于处理随机random访问请求，主机资源耗尽、影响其他业务程序访问random，甚至导致其他业务无法正常运行。3)、在容器创建后，如果容器中的应用程序恶意使用内核权限较大的应用程序编程接口(applicationprogramminginterface，API)对物理主机上的资源，如存储资源、网络资源、网络配置等进行访问或修改，将会影响物理主机的安全性。4)、不同容器之间可共享Linux系统中的系统文件。如果容器中的应用程序由于出现漏洞bug或者恶意，可利用内核的漏洞从容器中逃离出来，访问其他容器存储在主机中的系统文件，可能造成数据泄露、数据损坏等问题。专利技术内容本专利技术实施例公开了容器创建方法、相关设备及计算机存储介质，能够克服现有技术中隔离机制不完善等安全问题，提升容器的安全性。第一方面，本专利技术实施例提供了一种容器创建方法，包括：终端设备接收配置信息，所述配置信息用于请求创建容器；所述终端设备根据所述配置信息确定目标容器策略组并创建容器，所述目标容器策略组包括至少一个容器策略，所述容器策略用于限制创建的所述容器的操作权限；所述终端设备将所述目标容器策略组配置到内核中，以用于所述内核根据所述目标容器策略组限制创建的所述容器的操作权限。通过实施本专利技术实施例，采用目标容器策略组来保护容器，避免现有技术中容器隔离机制不完善所带来的数据泄密等问题，提升了容器的安全性。在一些可能的实施例中，所述配置信息包括以下中的至少一项标识信息：租户的标识、创建的所述容器的标识、应用的标识以及角色的标识，其中，所述至少一项标识信息与所述目标容器策略组存在关联关系，所述应用的镜像用于创建所述容器，所述角色为预先配置给所述容器或者所述租户的属性。具体的，所述租户的标识用于标识需创建容器的一个租户或一类租户。相应地，所述容器的标识用于标识需创建的一个容器或一类容器。所述应用的标识用于标识需创建容器的一个应用或一类应用，该应用的镜像可用于创建容器。所述角色可以是指所述租户或所述容器的角色，所述角色或所述角色的标识是用户侧或终端设备侧预先为待创建的所述容器或所述租户配置的属性信息，这里不做过多详述。在一些可能的实施例中，所述终端设备根据所述配置信息确定目标容器策略组并创建容器之前，还包括：所述终端设备创建多种容器策略组与多种标识信息之间的关联关系，其中，所述多种容器策略组中的每种容器策略组关联一种标识信息，多种标识信息中不同的标识信息关联的容器策略组不同，所述至少一项标识信息为所述多种标识信息中的任一种，所述目标容器策略组为所述多种容器策略组中的任一种，所述容器策略组包括至少一个容器策略。具体实现中，所述终端设备需先创建容器策略数据库CSPR。所述CSPR中存储有多种容器策略组与多种标识信息之间的关联关系。具体的，系统可提供用户交互界面，用户通过用户交互界面可设置多种容器策略组与多种标识信息之间的关联关系，并将它们保存至所述CSPR中。在一些可能的实施例中，所述至少一个容器策略中的任意两个容器策略互不冲突。具体的，CSPR中针对同一容器策略组中的容器策略而言，任意两个互不冲突。其中，每种容器策略组可包括至少一项容器策略。在所述同一容器策略组中检测容器策略冲突的具体实施方式包括但不限于：通过容器策略的作用方向或作用域来检测，其具体实施方式这里不做详述。在一些可能的实施例中，所述多种标识信息包括第一标识信息和第二标识信息，所述第一标识信息关联的容器策略组的安全等级为第一安全等级，所述第二标识信息关联的容器策略组的安全等级为第二安全等级；所述多种标识信息中的每种标识信息都预先配置了权限，若所述第一标识信息的权限大于所述第二标识信息的权限，则所述第一安全等级高于第二安全等级。具体的，在CSPR中用户可为具备不同的操作权限的标识信息配置不同安全等级的容器策略组。例如，以所述标识信息为租户的标识为例，可为具备操作权限较大的租户(如超级管理员或管理员)配置具备高安全等级的容器策略；相应地，具备操作权限较小的租户配置具备低安全等级的容器策略，本专利技术不做限定。在一些可能的实施例中，所述容器策略包括以下中的任一项：系统安全增强SELinux策略、系统能力capability策略以及系统安全计算seccomp策略；其中，所述SELinux策略用于限制所述容器对系统文件的访问权限，所述capability策略用于限制所述容器对内核资源的检查以及授权权限，所述seccomp策略用于限制所述容器对内核应用编程接口API的调用权限。可选地，所述容器策略还可包括用于增强容器安全性的其他容器策略，例如内核安全增强GRSecurity策略、镜像安全策略、容器网络安全策略、磁盘资源策略、容器流量策略等等，本专利技术不做限定。关于所述容器策略这里不做详述。第二方面，本专利技术实施例提供了一种容器创建系统，包括容器核心引擎、容器执行引擎以及内核；所述容器核心引擎用于接收配置信息，所述配置信息用于请求创建容器；所述容器核心引擎还用于根据所述配置信息确定目标容器策略组并创建容器，所述目标容器策略组包括至少一个容器策略，所述容器策略用于限制创建的所述容器的操作权限；所述容器执行引擎用于将所述目标容器策略组配置到所述内核中，以用于所述内核根据所述目标容器策略组限制创建的所述容器的操作权限。关于本专利技术未示出或未描述的部分可具体参见上述第一方面描述的方法的介绍，这里不再赘述。第三方面，本专利技术实施例提供了一种终端设备，包括用于执行上述第一方面的方法的功能单元。第四方面，本专利技术实施例提供了一种终端设备，包括存储器、通信接口及与所述存储单元和通信接口耦合的处理器；所述存储器用于存储指令，所述处理器用于执行所述指令，所述通信接口用于在所述处理器的控制下与其他设备(如用户客户端)进行通信；其中，所述处理器执行所述指令时执行上述第一方面描述的方法。第五专利技术，提供了一种计算机可读存储介质，所述计算机可读存储介质存储了用于创建容器的程序代码。所述程序代码包括用于执行上述第一方面描述的方法的指令。通过实施本专利技术实施例，能够克服现有技术中容器出现的隔离机制不完善等安全问题，提升了容器的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介本文档来自技高网...

【技术保护点】
一种容器创建系统，其特征在于，包括容器核心引擎、容器执行引擎以及内核；所述容器核心引擎用于接收配置信息，所述配置信息用于请求创建容器；所述容器核心引擎还用于根据所述配置信息确定目标容器策略组并创建容器，所述目标容器策略组包括至少一个容器策略，所述容器策略用于限制创建的所述容器的操作权限；所述容器执行引擎用于将所述目标容器策略组配置到所述内核中，以用于所述内核根据所述目标容器策略组限制创建的所述容器的操作权限。

【技术特征摘要】
1.一种容器创建系统，其特征在于，包括容器核心引擎、容器执行引擎以及内核；所述容器核心引擎用于接收配置信息，所述配置信息用于请求创建容器；所述容器核心引擎还用于根据所述配置信息确定目标容器策略组并创建容器，所述目标容器策略组包括至少一个容器策略，所述容器策略用于限制创建的所述容器的操作权限；所述容器执行引擎用于将所述目标容器策略组配置到所述内核中，以用于所述内核根据所述目标容器策略组限制创建的所述容器的操作权限。2.根据权利要求1所述的容器创建系统，其特征在于，所述配置信息包括以下中的至少一项标识信息：租户的标识、创建的所述容器的标识、应用的标识以及角色的标识，其中，所述至少一项标识信息与所述目标容器策略组存在关联关系，所述应用的镜像用于创建所述容器，所述角色为预先配置给所述容器或者所述租户的属性。3.根据权利要求2所述的容器创建系统，其特征在于，所述容器创建系统还包括容器策略数据库；所述容器策略数据库用于存储多种容器策略组与多种标识信息之间的关联关系，其中，所述多种容器策略组中的每种容器策略组关联一种标识信息，多种标识信息中不同的标识信息关联的容器策略组不同，所述至少一项标识信息为所述多种标识信息中的任一种，所述目标容器策略组为所述多种容器策略组中的任一种，所述容器策略组包括至少一个容器策略。4.根据权利要求3所述的容器创建系统，其特征在于，所述多种标识信息包括第一标识信息和第二标识信息，所述第一标识信息关联的容器策略组的安全等级为第一安全等级，所述第二标识信息关联的容器策略组的安全等级为第二安全等级；所述多种标识信息中的每种标识信息都预先配置了权限，若所述第一标识信息的权限大于所述第二标识信息的权限，则所述第一安全等级高于第二安全等级。5.根据权利要求1-4中任一项权利要求所述的容器创建系统，其特征在于，所述至少一个容器策略中的任意两个容器策略互不冲突。6.根据权利要求1-5中任一项权利要求所述的容器创建系统，其特征在于，所述容器策略包括以下中的任一项：系统安全增强SELinux策略、系统能力capability策略以及系统安全计算seccomp策略；其中，所述SELinux策略用于限制所述容器对系统文件的访问权限，所述capability策略用于限制所述容器对内核资源的检查以及授权权限，所述seccomp策略用于限制所述容器对内核应用编程接口API的调用权限。7.一种终端设备，其特征在于，包括通信单元和处理单元；所述通信单元用于接收配置信息，所述配置信息用于请求创建容器；所述处理单元用于根据所述配置信息确定目标容器策略组并创建容器，所述目标容器策略组包括至少一个容器策略，所述容器策略用于限制创建的所述容器的操作权限；所...

【专利技术属性】
技术研发人员：刘春阳，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44