本申请公开了一种服务器系统、容器设置方法及装置,属于云服务技术领域。该服务器系统包括:虚拟机、虚拟机管理器、以及安全容器,安全容器设置于虚拟机内,其中,虚拟机管理器,用于为虚拟机提供虚拟硬件,其中,虚拟硬件与安全容器匹配;安全容器,用于使用虚拟机内的虚拟硬件。本申请实现了该虚拟机的轻量化配置,提高了虚拟硬件的安全性。提高了虚拟硬件的安全性。提高了虚拟硬件的安全性。
【技术实现步骤摘要】
服务器系统、容器设置方法及装置
[0001]本申请涉及云服务
,特别涉及一种服务器系统、容器设置方法及装置。
技术介绍
[0002]随着云计算技术的不断发展并趋于成熟,云计算产品不断得到企业广泛的认同和使用。同时,由于基于容器的云计算产品具有轻便、灵活、高性能和快速部署等特性,该基于容器的云计算产品也得到长足发展,并被广泛应用。
[0003]目前,在虚拟机中实现容器的方案(也称虚拟机容器方案)主要包括:使用基于内核的虚拟机(kernel-based virtual machine,KVM)和虚拟操作系统模拟器(Qemu)的虚拟机容器方案。该方案为了兼容不同类型和版本的操作系统(如Linux操作系统和Windows操作系统等),均需要虚拟机管理器向虚拟机提供大量的虚拟硬件。
[0004]但是,这种方案的安全性较低。
技术实现思路
[0005]本申请提供了一种服务器系统、容器设置方法及装置,可以解决在虚拟机中实现容器的方案的安全性较低的问题。
[0006]第一方面,本申请提供了一种服务器系统,包括:虚拟机、虚拟机管理器、以及安全容器,安全容器设置于虚拟机内,其中,虚拟机管理器,用于为虚拟机提供虚拟硬件,其中,虚拟硬件与安全容器匹配;安全容器,用于使用虚拟机内的虚拟硬件。
[0007]其中,虚拟硬件与安全容器匹配是指:虚拟硬件向安全容器提供该安全容器运行所需的硬件能力,且该虚拟机内的虚拟硬件均为在该安全容器运行时,该安全容器均会使用到的虚拟硬件。也即是,该虚拟机内的虚拟硬件不包括该安全容器运行时不会使用到的虚拟硬件,即不包括为提高兼容性而设置的冗余设备。并且,该虚拟机包括安全容器运行所需的虚拟硬件,该虚拟机也称为虚拟硬件系统。
[0008]在该服务器系统中,由于虚拟机内的虚拟硬件与安全容器匹配,不包括冗余设备,因此实现了该虚拟机的轻量化配置,减小了虚拟机管理器模拟虚拟硬件的复杂度。并且,相较于相关技术中包括虚拟硬件的虚拟机,减少了虚拟机内包括的虚拟硬件的总数,减小了暴露的虚拟硬件的接口的数量,进而减少了对安全容器进行攻击的攻击面,提高了虚拟硬件的安全性,且减小了模拟虚拟硬件的资源开销。
[0009]虚拟硬件包括:一个或多个虚拟总线主桥,及设置在各个虚拟总线主桥的虚拟总线设备。
[0010]在一种可实现方式中,虚拟硬件包括:虚拟高速外围组件互联PCIe主桥和设置在虚拟PCIe主桥的虚拟PCIe设备。由于PCIe具有数据传输速率高、抗干扰能力强、传输距离远和功耗低等优点,当虚拟总线主桥为虚拟PCIe主桥,虚拟总线设备为虚拟PCIe设备时,能够进一步保证该虚拟PCIe主桥和该虚拟PCIe设备的传输速度,提高安全容器的性能。
[0011]虚拟PCIe设备可以包括用于实现网络传输、存储和计算的虚拟设备。例如,虚拟
PCIe设备可以包括:虚拟输入/输出PCIe设备。并且,虚拟PCIe设备还可以包括:服务器系统的PCIe直通设备。例如,虚拟PCIe设备还可以包括:虚拟功能输入/输出PCIe设备。当虚拟PCIe插槽插入PCIe直通设备时,由于PCIe直通设备具有低延时和高带宽的特点,能够有效保证服务器系统的性能。
[0012]并且,当虚拟硬件包括的一个虚拟总线主桥为虚拟PCIe主桥时,该虚拟硬件还可以包括使用其他总线标准的虚拟总线主桥和设置在该使用其他总线标准的虚拟总线主桥的虚拟总线设备,以便于虚拟机能够为安全容器提供不同传输速率的硬件功能。
[0013]可选地,虚拟PCIe设备还包括:虚拟工业标准结构ISA总线的接入设备,虚拟ISA总线的接入设备用于与虚拟ISA设备连接。
[0014]或者,虚拟硬件还包括:虚拟ISA主桥和设置在虚拟ISA主桥的虚拟ISA设备,虚拟ISA主桥与虚拟PCIe主桥并行。
[0015]另外,若安全容器有对虚拟硬件的增加需求时,该虚拟PCIe设备还可以包括:虚拟PCIe总线的接入设备,该虚拟PCIe总线的接入设备用于与需要增加的虚拟PCIe设备连接,以便于扩大该安全容器的应用范围。
[0016]在另一种可实现方式中,虚拟硬件包括:虚拟外围组件互联PCI主桥和设置在虚拟PCI主桥的虚拟PCI设备。由于该虚拟PCI主桥和该虚拟PCI设备均使用PCI标准传输数据,因此能够有效保证该虚拟PCI主桥和该虚拟PCI设备的传输速度。
[0017]可选地,虚拟PCI设备可以包括用于实现网络传输、存储和计算的虚拟设备。例如,虚拟PCI设备可以包括:虚拟输入/输出PCI设备。并且,虚拟PCI设备还可以包括:服务器系统的PCI直通设备。例如,虚拟PCI设备还可以包括:虚拟功能输入/输出PCI设备。当虚拟PCI插槽插入PCI直通设备时,由于PCI直通设备具有低延时和高带宽的特点,能够有效保证服务器系统的性能。
[0018]并且,当虚拟硬件包括的一个虚拟总线主桥为虚拟PCI主桥时,该虚拟硬件还可以包括使用其他总线标准的虚拟总线主桥和设置在该使用其他总线标准的虚拟总线主桥的虚拟总线设备,以便于虚拟机能够为安全容器提供不同传输速率的硬件功能。
[0019]可选地,虚拟PCI设备还包括:虚拟ISA总线的接入设备,虚拟ISA总线的接入设备用于与虚拟ISA设备连接。
[0020]或者,虚拟硬件还包括:虚拟ISA主桥和设置在虚拟ISA主桥的虚拟ISA设备,虚拟ISA主桥与虚拟PCI主桥并行。
[0021]在本申请中,该安全容器的一种应用场景为:该虚拟机的操作系统为LINUX操作系统。因此,本申请中虚拟机提供的虚拟硬件均为使用LINUX操作系统的安全容器运行所需的虚拟硬件。
[0022]第二方面,本申请提供了一种容器设置方法,包括:获取安全容器创建请求;根据安全容器创建请求创建虚拟机,并为虚拟机提供虚拟硬件,其中,虚拟硬件与安全容器匹配;在虚拟机内创建安全容器,其中,安全容器使用虚拟机内的虚拟硬件。
[0023]可选地,虚拟硬件包括:虚拟PCIe主桥和设置在虚拟PCIe主桥的虚拟PCIe设备。
[0024]可选地,虚拟PCIe设备包括:PCIe直通设备。
[0025]可选地,虚拟PCIe设备还包括:虚拟ISA总线的接入设备,虚拟ISA总线的接入设备用于与虚拟ISA设备连接。
[0026]可选地,虚拟硬件还包括:虚拟ISA主桥和设置在虚拟ISA主桥的虚拟ISA设备,虚拟ISA主桥与虚拟PCIe主桥并行。
[0027]可选地,虚拟硬件包括:虚拟PCI主桥和设置在虚拟PCI主桥的虚拟PCI设备。
[0028]可选地,虚拟PCI设备包括:PCI直通设备。
[0029]可选地,虚拟PCI设备还包括:虚拟ISA总线的接入设备,虚拟ISA总线的接入设备用于与虚拟ISA设备连接。
[0030]可选地,虚拟硬件还包括:虚拟ISA主桥和设置在虚拟ISA主桥的虚拟ISA设备,虚拟ISA主桥与虚拟PCI主桥并行。
[0031]可选地,虚拟机的操作系统为LIN本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种服务器系统,其特征在于,包括:虚拟机、虚拟机管理器、以及安全容器,所述安全容器设置于所述虚拟机内,其中,所述虚拟机管理器,用于为所述虚拟机提供虚拟硬件,其中,所述虚拟硬件与所述安全容器匹配;所述安全容器,用于使用所述虚拟机内的虚拟硬件。2.根据权利要求1所述的系统,其特征在于,所述虚拟硬件包括:虚拟高速外围组件互联PCIe主桥和设置在所述虚拟PCIe主桥的虚拟PCIe设备。3.根据权利要求2所述的系统,其特征在于,所述虚拟PCIe设备包括:所述服务器系统的PCIe直通设备。4.根据权利要求3所述的系统,其特征在于,所述虚拟PCIe设备还包括:虚拟工业标准结构ISA总线的接入设备,所述虚拟ISA总线的接入设备用于与虚拟ISA设备连接。5.根据权利要求2或3所述的系统,其特征在于,所述虚拟硬件还包括:虚拟ISA主桥和设置在所述虚拟ISA主桥的虚拟ISA设备,所述虚拟ISA主桥与所述虚拟PCIe主桥并行。6.根据权利要求1所述的系统,其特征在于,所述虚拟硬件包括:虚拟外围组件互联PCI主桥和设置在所述虚拟PCI主桥的虚拟PCI设备。7.根据权利要求6所述的系统,其特征在于,所述虚拟PCI设备包括:所述服务器系统的PCI直通设备。8.根据权利要求7所述的系统,其特征在于,所述虚拟PCI设备还包括:虚拟ISA总线的接入设备,所述虚拟ISA总线的接入设备用于与虚拟ISA设备连接。9.根据权利要求6或7所述的系统,其特征在于,所述虚拟硬件还包括:虚拟ISA主桥和设置在所述虚拟ISA主桥的虚拟ISA设备,所述虚拟ISA主桥与所述虚拟PCI主桥并行。10.根据权利要求1至9任一所述的系统,其特征在于,所述虚拟机的操作系统为LINUX操作系统。11.一种容器设置方法,其特征在于,包括:获取安全容器创建请求;根据所述安全容器创建请求创建虚拟机,并为所述虚拟机提供虚拟硬件,其中,所述虚拟硬件与所述安全容器匹配;在所述虚拟机内创建所述安全容器,其中,所述安全容器使用所述虚拟机内的虚拟硬件。...
【专利技术属性】
技术研发人员:汪晶,
申请(专利权)人:华为云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。