一种对于Docker容器创建和销毁的管控方法技术

本发明专利技术提供一种对于Docker容器创建和销毁的管控方法，包括：由管理端向终端发起获取docker容器状态的策略请求，终端接收到策略请求，且在终端处理策略请求后，将解析策略请求的信息解析发送至管理端；当管理端配置docker容器是否可以启动时，由管理端设置并向终端下发启动管控策略，终端接收到启动管控策略后，根据docker容器的主体信息查找出对应的客体信息，并对客体配置相应的访问控制权限策略；当管理端关闭对docker容器的管控时，由管理端触发并向终端发送关闭docker容器的关闭管控策略，终端接收到关闭管控策略后，清除包括启动管控策略在内的所有docker策略，并通知安全机制更新策略。本发明专利技术可有效避免造成业务服务被干扰和破坏，并解决Docker容器创建和回收的安全管控。安全管控。安全管控。

【技术实现步骤摘要】
一种对于Docker容器创建和销毁的管控方法


[0001]本专利技术涉及到信息
，尤其涉及到一种对于Docker容器创建和销毁的管控方法。

技术介绍

[0002]随着云计算技术的广泛应用，各种虚拟化技术也层出不穷。其中Docker容器技术由于基于LXC的轻量级虚拟化的特点，相比KVM之类最明显的特点就是启动快，资源占用小，因此有利于构建隔离的标准化的运行环境，轻量级的PaaS(如dokku)，构建自动化测试和持续集成环境，以及一切可以横向扩展的应用。
[0003]现有Docker容器的创建和回收过程由容器管理器来进行操作，这个过程只有应用自身来进行资源申请和回收，没有安全机制在此过程中进行监控。因此，目前对于Docker容器在创建和回收过程中，由于没有进行基于系统级的安全管控方式，导致攻击者可以违规创建容器资源，并使用容器资源进行恶意操作；同时攻击者也可以利用操作系统的管理员权限，修改或破坏已创建的容器资源，造成业务服务被干扰和破坏。

技术实现思路

[0004]本专利技术的目的是为了克服现有技术的不足，提供了一种对于Docker容器创建和销毁的管控方法。
[0005]本专利技术是通过以下技术方案实现：
[0006]本专利技术提供了一种对于Docker容器创建和销毁的管控方法，该对于Docker容器创建和销毁的管控方法包括以下步骤：
[0007]S1：由管理端向终端发起获取docker容器状态的策略请求，终端接收到该策略请求，且在终端处理该策略请求后，将解析该策略请求的信息解析发送至管理端；
[0008]S2：当管理端配置docker容器是否可以启动时，由管理端设置并向终端下发启动管控策略，终端接收到该启动管控策略后，根据docker容器的主体信息查找出对应的客体信息，并对客体配置相应的访问控制权限策略；
[0009]S3：当管理端关闭对docker容器的管控时，由管理端触发并向终端发送关闭docker容器的关闭管控策略，终端接收到该关闭管控策略后，清除包括启动管控策略在内的所有docker策略，并通知安全机制更新策略。
[0010]优选的，在步骤S1中，由管理端向终端发起获取docker容器状态的策略请求是指向终端获取docker容器进程的主体信息；docker容器进程的主体信息是指启动该docker容器进程的文件所在的路径信息，包括docker容器的id及name。
[0011]优选的，在步骤S2中，当管理端配置docker容器是否可以启动时，由管理端设置并向终端下发启动管控策略，终端接收到该启动管控策略后，根据docker容器的主体信息查找出对应的客体信息时，与docker容器的主体信息对应的客体信息是指docker容器的存储目录。
[0012]优选的，在步骤S2中，当管理端配置docker容器是否可以启动时，由管理端设置并向终端下发启动管控策略，终端接收到该启动管控策略后，根据docker容器的主体信息查找出对应的客体信息，并对客体配置相应的访问控制权限策略时，由终端判断管理端是否要强制发起管控；
[0013]如果不强制发起管控，则清空安全控制器中的安全策略，并通知管控机制更新策略并结束管控服务；如果强制发起管控，则判断是否有上一次管理端下发的安全策略；如没有上一次的安全策略，则获取docker容器的客体信息，即docker容器的存储目录，并对docker容器的客体添加docker容器主体的访问控制权限策略；如有上一次的安全策略，则判断当前是获取还是设置策略；如果是获取策略，则获取终端所有的docker容器的主体信息，包括id、name以及状态，并将主体信息发送至管理端；如果是设置策略，则解析出需要配置的容器主体，并将之前的容器主体对应的所有安全策略删除，并通知管控机制更新策略，然后获取需要配置的容器主体对应的客体的信息，即docker容器的目录，并配置对客体的访问控制权限策略，并再次通知管控机制更新策略。
[0014]本专利技术的有益效果是：本专利技术对于Docker容器在创建和回收过程中，采用管理端策略管控，终端执行策略的管理模式，对于Docker容器创建和销毁具有集中管理和强制控制的作用，采用基于系统级的安全管控方式，避免攻击者违规创建容器资源并使用容器资源进行恶意操作；同时避免攻击者利用操作系统的管理员权限修改或破坏已创建的容器资源，有效避免造成业务服务被干扰和破坏，同时解决对于所有Docker容器创建和回收的统一安全管理和监控。
附图说明
[0015]图1是本专利技术实施例提供的对于Docker容器创建和销毁的管控方法的第一流程图；
[0016]图2是本专利技术实施例提供的对于Docker容器创建和销毁的管控方法的第二流程图。
具体实施方式
[0017]为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。
[0018]本专利技术实施例提供了一种对于Docker容器创建和销毁的管控方法，参考图1、图2，该对于Docker容器创建和销毁的管控方法包括以下步骤：
[0019]S1：由管理端向终端发起获取docker容器状态的策略请求，终端接收到该策略请求，且在终端处理该策略请求后，将解析该策略请求的信息解析发送至管理端；
[0020]S2：当管理端配置docker容器是否可以启动时，由管理端设置并向终端下发启动管控策略，终端接收到该启动管控策略后，根据docker容器的主体信息查找出对应的客体信息，并对客体配置相应的访问控制权限策略；
[0021]S3：当管理端关闭对docker容器的管控时，由管理端触发并向终端发送关闭docker容器的关闭管控策略，终端接收到该关闭管控策略后，清除包括启动管控策略在内
的所有docker策略，并通知安全机制更新策略。
[0022]本专利技术实施方案中，在步骤S1中，由管理端向终端发起获取docker容器状态的策略请求是指向终端获取docker容器进程的主体信息；docker容器进程的主体信息是指启动该docker容器进程的文件所在的路径信息，包括docker容器的id及name。
[0023]本专利技术实施方案中，在步骤S2中，当管理端配置docker容器是否可以启动时，由管理端设置并向终端下发启动管控策略，终端接收到该启动管控策略后，根据docker容器的主体信息查找出对应的客体信息时，与docker容器的主体信息对应的客体信息是指docker容器的存储目录。
[0024]本专利技术实施方案中，在步骤S2中，当管理端配置docker容器是否可以启动时，由管理端设置并向终端下发启动管控策略，终端接收到该启动管控策略后，根据docker容器的主体信息查找出对应的客体信息，并对客体配置相应的访问控制权限策略时，由终端判断管理端是否要强制发起管控，具体判断逻辑如下。
[0025]由终端判断管理端是否要强制发起管控时，如果判本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种对于Docker容器创建和销毁的管控方法，其特征在于，包括以下步骤：S1：由管理端向终端发起获取docker容器状态的策略请求，终端接收到该策略请求，且在终端处理该策略请求后，将解析该策略请求的信息解析发送至管理端；S2：当管理端配置docker容器是否可以启动时，由管理端设置并向终端下发启动管控策略，终端接收到该启动管控策略后，根据docker容器的主体信息查找出对应的客体信息，并对客体配置相应的访问控制权限策略；S3：当管理端关闭对docker容器的管控时，由管理端触发并向终端发送关闭docker容器的关闭管控策略，终端接收到该关闭管控策略后，清除包括启动管控策略在内的所有docker策略，并通知安全机制更新策略。2.根据权利要求1所述的对于Docker容器创建和销毁的管控方法，其特征在于，在步骤S1中，由管理端向终端发起获取docker容器状态的策略请求是指向终端获取docker容器进程的主体信息；docker容器进程的主体信息是指启动该docker容器进程的文件所在的路径信息，包括docker容器的id及name。3.根据权利要求2所述的对于Docker容器创建和销毁的管控方法，其特征在于，在步骤S2中，当管理端配置docker容器是否可以启动时，由管理端设置并向终端下发启动管控策略，终端接收到该启动管控策略后，根据docker...

【专利技术属性】
技术研发人员：李文华，姚尧，马帅，
申请(专利权)人：北京旋极安辰计算科技有限公司，
类型：发明
国别省市：