一种面向容器云的异构动态扩缩容装置及方法制造方法及图纸

本发明专利技术公开一种面向容器云的异构动态扩缩容装置及方法，该装置包括：控制单元，包括异构评估模块和决策模块；异构评估模块用于在扩容时评估异构资源池与业务负载集合的异构度，在缩容时评估业务负载集合的异构度；决策模块用于判断是否需要对业务负载集合执行扩容或缩容操作；资源监控器用于实时监控业务负载集合的资源利用情况，并上报控制单元；资源调度器用于在异构资源池和业务负载集合之间进行资源调度，以实现动态扩缩容；异构资源池用于管理异构计算资源与异构容器镜像，以供执行扩容操作时进行调度；业务负载集合用于为用户提供所需服务。本发明专利技术使用动态、异构的思想可以有效抵御网络攻击，增强整体的安全性并提高整体的资源利用率。体的资源利用率。体的资源利用率。

【技术实现步骤摘要】
一种面向容器云的异构动态扩缩容装置及方法


[0001]本专利技术涉及网络安全
，尤其涉及一种面向容器云的异构动态扩缩容装置及方法。

技术介绍

[0002]云计算利用虚拟化技术提供了以互联网为基础的下一代高扩展性分布式计算系统。近年来，随着虚拟化、云计算及以Docker为代表的容器技术的快速发展，越来越多的业务服务交付到云中执行，这也使得容器云逐渐被广大开发者所熟知。为了提高资源利用率，容器云环境下的业务负载充分利用容器云高弹性、敏捷的特性，根据业务处理的强度实时调整自身副本数量，即进行动态扩缩容。
[0003]然而，容器云技术在带来便利的同时，也引入了极大的安全隐患。比如，容器云平台聚集了大量用户和数据资源，更容易吸引黑客攻击，而故障一旦发生，其影响范围大，后果更加严重。传统的云平台通常使用同构的业务负载为用户提供服务，由于业务负载的同构性导致其具有相同的安全漏洞，攻击者只要探测到任意一个漏洞，那么整个平台的安全将会遭到威胁。作为网络空间主动防御技术的核心思想，异构为容器云的安全防护提供了新的思路。
[0004]中兴通讯股份有限公司在其申请的专利文献“一种安全防护方法及装置”(专利申请号CN201810135941.4，公开号CN110134428A)中公开了一种虚拟云服务系统中异构功能等价体的弹性伸缩调度装置，其以虚拟化业务网元为粒度进行弹性伸缩，并基于拟态安全防御架构的内生安全技术，提出基于多样性编译生成异构功能等价体，在此基础上建立软件版本池，从所述软件版本池中随机挑选或基于安全策略挑选一个软件版本部署到网元扩容后的物理资源上，或从业务处理单元中随机挑选或基于安全策略挑选一个网元进行删除，并在软件版本管理器中注销其相应的软件版本号。但是该方案的不足之处是：只针对软件多样化编译方法对虚拟化业务网元进行异构化处理，异构层次较为单一。

技术实现思路

[0005]本专利技术针对容器云技术存在安全隐患的问题，提出一种面向容器云的异构动态扩缩容装置及方法，通过多个异构的业务负载副本同时提供服务，在不影响业务正常功能的前提下，起到迷惑攻击者，提高安全性的目的。
[0006]为了实现上述目的，本专利技术采用以下技术方案：
[0007]本专利技术一方面提出一种面向容器云的异构动态扩缩容装置，包括：控制单元、资源监控器、资源调度器、业务负载集合以及异构资源池；
[0008]所述控制单元包括异构评估模块和决策模块；所述异构评估模块用于在扩容时评估异构资源池与业务负载集合的异构度，还用于在缩容时评估业务负载集合的异构度；所述决策模块用于判断是否需要对业务负载集合执行扩容或缩容操作；
[0009]所述资源监控器用于实时监控业务负载集合的资源利用情况，并上报给控制单
元，以供决策模块进行决策时使用；
[0010]所述资源调度器用于在异构资源池和业务负载集合之间进行资源调度，以达到动态扩缩容的目的；
[0011]所述异构资源池用于管理异构计算资源与异构容器镜像，以供执行扩容操作时进行调度；
[0012]所述业务负载集合用于为用户提供所需服务。
[0013]进一步地，所述异构度的计算方法包括：
[0014]基于异构资源池和业务负载集合的共同漏洞数量来量化共同攻击面的大小，并根据共同漏洞数与异构度之间的函数关系计算异构度：
[0015][0016]其中，H(R,W)表示异构度，V
R
和V
W
分别表示异构资源池与业务负载集合的漏洞集合。
[0017]进一步地，所述决策模块的决策方法包括：
[0018]基于业务负载集合的CPU或内存利用率，若两者中任意一个值高于预先设定的阈值，则对业务负载集合执行扩容操作；
[0019]基于业务负载集合的CPU或内存利用率，若两者的值均低于预先设定的阈值，则对业务负载集合执行缩容操作。
[0020]进一步地，所述资源调度器具体用于：
[0021]当接收到扩容指令时，根据异构评估模块的输出结果，将异构资源池中异构度最大的资源调度到业务负载集合中；
[0022]当接收到缩容指令时，根据异构评估模块的输出结果，将业务负载集合中异构度最小的资源调度到异构资源池中。
[0023]进一步地，所述异构计算资源包括：
[0024]异构的CPU架构、异构的操作系统、异构的应用程序、异构的应用程序编写语言。
[0025]本专利技术另一方面提出一种面向容器云的异构动态扩缩容方法，应用于上述任一所述的一种面向容器云的异构动态扩缩容装置，包括：
[0026]步骤A：创建一个异构资源池，其由异构计算资源和异构容器镜像排列组合而成；
[0027]步骤B：资源监控器周期性地监控业务负载集合中的各项资源指标，然后发送给控制单元；
[0028]步骤C：控制单元接收资源监控器发送的数据，并由决策模块判断当前状态是否需要对业务负载集合执行相应的操作；
[0029]步骤D：资源调度器接收来自控制单元的指令，并实施具体操作，可执行的操作包括：扩容操作、缩容操作；
[0030]步骤E：若决策模块判断业务负载集合中的CPU或内存利用率任一项高于预先设定的阈值、即不足以支持当前服务，则对业务负载集合执行扩容操作：首先由控制单元中的异构评估模块进行异构度计算，在异构资源池中选择与当前业务负载集合异构度最大的服务实例，然后调度到业务负载集合中提供服务；
[0031]步骤F：若决策模块判断业务负载集合中的CPU和内存利用率均低于预先设定的阈
值，则对业务负载集合执行缩容操作：首先由控制模块中的异构评估模块进行异构度计算，在业务负载集合中选择异构度最低的业务负载实例，然后释放回异构资源池中；
[0032]步骤G：资源调度器将调度情况反馈给控制单元，为决策模块与异构评估模块提供参考。
[0033]与现有技术相比，本专利技术具有的有益效果：
[0034]针对云计算中传统的扩缩容方法没有考虑安全性这一问题，本专利技术提供了一种面向容器云的异构动态扩缩容装置及方法，其中的异构度体现在利用异构计算资源和异构容器镜像的排列组合构建异构资源池，控制单元通过资源监控器对整体资源的监控数据判断是否需要对业务负载进行扩缩容操作，资源调度器进一步对业务负载与异构资源池进行调度。本专利技术使用动态、异构的思想可以有效抵御网络攻击，增强整体的安全性并提高整体的资源利用率。
附图说明
[0035]图1为本专利技术实施例一种面向容器云的异构动态扩缩容装置的结构示意图之一；
[0036]图2为本专利技术实施例一种面向容器云的异构动态扩缩容装置的结构示意图之二；
[0037]图3为本专利技术实施例一种面向容器云的异构动态扩缩容方法的基本流程图。
具体实施方式
[0038]下面结合附图和具体的实施例对本专利技术做进一步的解释说明：
[0039]如图1所示，一种面向容器云的异构动态扩缩容装置，包括：控制单元、资源监控器、资源本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向容器云的异构动态扩缩容装置，其特征在于，包括：控制单元、资源监控器、资源调度器、业务负载集合以及异构资源池；所述控制单元包括异构评估模块和决策模块；所述异构评估模块用于在扩容时评估异构资源池与业务负载集合的异构度，还用于在缩容时评估业务负载集合的异构度；所述决策模块用于判断是否需要对业务负载集合执行扩容或缩容操作；所述资源监控器用于实时监控业务负载集合的资源利用情况，并上报给控制单元，以供决策模块进行决策时使用；所述资源调度器用于在异构资源池和业务负载集合之间进行资源调度，以达到动态扩缩容的目的；所述异构资源池用于管理异构计算资源与异构容器镜像，以供执行扩容操作时进行调度；所述业务负载集合用于为用户提供所需服务。2.根据权利要求1所述的一种面向容器云的异构动态扩缩容装置，其特征在于，所述异构度的计算方法包括：基于异构资源池和业务负载集合的共同漏洞数量来量化共同攻击面的大小，并根据共同漏洞数与异构度之间的函数关系计算异构度：其中，H(R,W)表示异构度，V
R
和V
W
分别表示异构资源池与业务负载集合的漏洞集合。3.根据权利要求1所述的一种面向容器云的异构动态扩缩容装置，其特征在于，所述决策模块的决策方法包括：基于业务负载集合的CPU或内存利用率，若两者中任意一个值高于预先设定的阈值，则对业务负载集合执行扩容操作；基于业务负载集合的CPU或内存利用率，若两者的值均低于预先设定的阈值，则对业务负载集合执行缩容操作。4.根据权利要求3所述的一种面向容器云的异构动态扩缩容装置，其特征在于，所述资源调度器具体用于：当接收到扩容指令时，根据异构评估模块的输出...

【专利技术属性】
技术研发人员：程国振，张帅，刘轩宇，彭建华，商珂，王亚文，杨晓晗，霍树民，张帅普，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：