用于微服务体系结构的来源审核跟踪制造技术

本文描述了用于微服务体系结构的来源审核跟踪。公开了用于促进用于微服务体系结构的来源审核跟踪的装置。装置包括一个或多个处理器，该一个或多个处理器用于：由在数据中心中主控的服务的微服务，基于证实协议获得用于该微服务的供应凭证；针对由该微服务执行的任务，生成用于该任务的来源元数据，该来源元数据包括该微服务的标识、用于执行该微服务和该任务的硬件资源或软件资源中的至少一者的操作状态、以及该微服务的边车在该任务期间的操作状态；利用用于该微服务的供应凭证来加密该来源元数据；以及将经加密的来源元数据记录在为执行该任务和该微服务的硬件资源维护的来源元数据的本地区块链中。源元数据的本地区块链中。源元数据的本地区块链中。

【技术实现步骤摘要】
用于微服务体系结构的来源审核跟踪


[0001]实施例总体上涉及数据处理，并且更具体地，涉及用于微服务体系结构的来源审核跟踪。

技术介绍

[0002]数据中心通常利用微服务体系结构来提供网络基础设施服务。微服务体系结构可将应用布置为松散耦合的微服务的集合。微服务可以指通过网络进行通信以使用技术不可知协议实现目标的过程。在一些情况下，可使用提供容器化工作负荷和/或服务的容器编排平台来部署微服务。容器编排平台可利用服务网格来管理微服务之间的大量基于网络的进程间通信。服务网格是用于微服务的专用软件基础设施层，包括用于使微服务之间的通信快速、可靠和安全的要素。服务网格提供包括服务发现、负载平衡、加密、可观测性、可追溯性以及认证和授权的能力。由服务网格提供的微服务部署模型变得越来越有弹性，为扩展和缩小微服务提供了灵活性。
[0003]在服务网格环境中，计算集群中的典型工作者节点可以同时处理数百个容器工作负荷。这些工作者节点还可以具有针对计算密集型任务而优化的静态附接的专用硬件加速器。例如，硬件加速器类别可以被优化以高效地运行密码和压缩算法，或者运行机器学习加速算法。此类硬件加速器可以作为分解计算的形式提供，其中工作负荷分布在分离式计算资源(诸如CPU、GPU和硬件加速器(包括现场可编程门阵列(field programmablegate arrays，FPGA)))上，分离式计算资源经由网络而不是在同一平台上连接，并且经由诸如外围组件互连快速(peripheral componentinterconnect express，PCIe)之类的物理链路连接。分离式计算通过实现更高效地利用可用资源来实现提高的资源利用率并降低拥有成本。分离式计算还可以为大型计算汇集大量硬件加速器，使计算更高效且性能更好。
[0004]由服务网格提供的微服务部署模型变得越来越有弹性，为扩展和缩小微服务提供了灵活性。随着微服务的部署的弹性的增加以及微服务体系结构向利用分离式计算资源的转变，可以跨许多异构硬件设备为服务部署微服务。因此，越来越难以提供安全的审核跟踪来确认来源并维护服务网格中的安全性和机密性。
附图说明
[0005]为了能够详细理解本实施例的上述特征的方式，可以通过参考实施例对以上简要概括的本实施例进行更具体的描述，其中一些实施例在附图中示出。然而，应当注意，所附附图示出了典型的实施例，并且因此不应被视为对范围的限制。附图并未按比例绘制。一般来说，贯穿(一个或多个)附图和所附书面说明书，相同的附图标记用于指代相同或相似的部分。
[0006]图1示出了根据本文的实现方式的提供用于微服务体系结构的来源审核跟踪的数据中心系统。
[0007]图2示出了根据本文的实现方式的数据中心系统中的计算平台的组件的框图。
[0008]图3A是根据本文的实现方式的实现用于微服务体系结构的来源审核跟踪的服务平台的框图。
[0009]图3B示出了根据本文的实现方式的主控经由网络连接的多个服务器机架的示例数据中心。
[0010]图4A是描绘了根据本文的实现方式的用于经由区块链进行安全来源元数据加标签和追踪的区块链系统的框图。
[0011]图4B是示出了根据本文的实现方式的用于微服务体系结构的来源审核跟踪的操作示意图的图示。
[0012]图5A是示出了用于促进用于微服务体系结构的来源审核跟踪的方法的实施例的流程图。
[0013]图5B是示出了用于使用用于微服务体系结构的来源审核跟踪来实现对服务策略的评估的方法的实施例的流程图。
[0014]图6是根据一些实施例的启用用于微服务体系结构的来源审核跟踪的说明性电子计算设备的示意图。
具体实施方式
[0015]本公开的实现方式描述了用于微服务体系结构的来源审核跟踪。
[0016]云服务提供商(cloud service provider，CSP)正在数据中心部署解决方案，其中对工作负荷的处理分布在各种计算资源上，这些计算资源诸如中央处理单元(central processing unit，CPU)、图形处理单元(graphics processing unit，GPU)和/或硬件加速器(包括但不限于GPU、现场可编程门阵列(FPGA)、专用集成电路(application
‑
specific integrated circuits，ASIC)、密码加速器、压缩加速器等)。传统上，这些计算资源在同一平台上运行，并经由物理通信链路(诸如外围组件互连快速(PCIe))连接。
[0017]然而，数据中心中的分离式计算正在增加。通过分离式计算，CSP正在部署解决方案，其中对工作负荷的处理分布在分离式计算资源(诸如CPU、GPU和硬件加速器(包括FPGA、ASIC等))上，这些分离式计算资源经由网络而不是在同一平台上连接，并且经由诸如PCIe之类的物理链路连接。分离式计算通过更高效地利用可用资源来实现提高的资源利用率并降低了拥有成本。分离式计算还可以为大型计算汇集大量硬件加速器，使计算更高效且性能更好。
[0018]如本文所讨论的硬件加速器(本文也称为硬件加速器资源、硬件加速器设备、加速器资源、加速器设备和/或扩展资源)可以是指专用中央处理单元(CPU)、图形处理单元(GPU)、通用GPU(general purpose GPU，GPGPU)和现场可编程门阵列(FPGA)、专用集成电路(ASIC)、推断加速器、密码加速器、压缩加速器、其他专用硬件加速器等中的任何一者。
[0019]此外，由CSP使用来部署服务网格的数据中心通常利用微服务体系结构来提供服务网格的网络基础设施服务。微服务体系结构可将应用布置为松散耦合的微服务的集合。微服务可以是通过网络进行通信以使用技术不可知协议实现目标的过程。在一些情况下，可使用提供容器化工作负荷和/或服务的容器编排平台来部署微服务。在一些示例中，服务可以是包括彼此结合工作的数百个微服务的大型服务，或者可以是适度的单个服务。工作负荷可以是指在云上运行的消耗资源(诸如计算能力)的资源。在一些实施例中，应用、服务
或微服务可以被称为工作负荷，这表示工作负荷可以在不同的云平台之间来回移动，或者从本地移动到云，或者从云移动到本地，而没有任何依赖项或麻烦。
[0020]容器编排平台可利用服务网格来管理微服务之间的大量基于网络的进程间通信。服务网格是用于微服务的专用软件基础设施层，包括用于使微服务之间的通信快速、可靠和安全的要素。服务网格提供了包括服务发现、负载平衡、加密、可观测性、可追溯性以及认证和授权的能力。
[0021]如前所述，由服务网格提供的微服务部署模型变得越来越有弹性，为扩展和缩小微服务提供了灵活性。随着微服务的部署的弹性的增加以及微服务体系结构向利用分离式计算资源的转变，可以跨许多异构硬件设备(例如，知识产权核心或区块(intellectual property，IP)、异构处理单元(heterogeneous processing unit，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种装置，装置包括：一个或多个处理器，用于：由在数据中心中主控的服务的微服务，基于证实协议获得用于所述微服务的供应凭证；针对由所述微服务执行的任务，生成用于所述任务的来源元数据，所述来源元数据包括所述微服务的标识、用于执行所述微服务和所述任务的硬件资源或软件资源中的至少一者的操作状态、以及所述微服务的边车在所述任务期间的操作状态；利用用于所述微服务的所述供应凭证来加密所述来源元数据；以及将经加密的来源元数据记录在为执行所述任务和所述微服务的硬件资源维护的来源元数据的本地区块链中。2.如权利要求1所述的装置，其特征在于，所述一个或多个处理器进一步使得来源元数据的所述本地区块链与用于所述服务的来源元数据的其他区块链一起在信任代理中可用。3.如权利要求1
‑
2中任一项所述的装置，其特征在于，所述来源元数据包括数据结构，所述数据结构包括所述微服务的所述标识、用于执行所述微服务和所述任务的所述硬件资源或所述软件资源中的至少一者的操作状态、以及所述微服务的所述边车关于用于所述微服务的所述供应凭证在所述任务期间的操作状态。4.如权利要求1
‑
3中任一项所述的装置，其特征在于，所述供应凭证包括用于硬件设备的平台凭证，所述硬件设备用于执行由所述微服务执行的所述任务。5.如权利要求1
‑
4中任一项所述的装置，其特征在于，所述平台凭证包括所述硬件设备的物理不可克隆函数。6.如权利要求1
‑
5中任一项所述的装置，其特征在于，所述一个或多个处理器为所述设备的控制器提供受信任执行环境TEE以生成所述来源元数据以及对所述来源元数据加密。7.如权利要求1
‑
6中任一项所述的装置，其特征在于，所述一个或多个处理器进一步用于：从所述本地区块链获得用于所述微服务的所述来源元数据；访问为所述微服务建立的一个或多个策略；关于所述一个或多个策略分析所述来源元数据以标识是否存在对所述一个或多个策略的违反；以及基于对所述一个或多个策略的违反是否被标识来生成一个或多个评估度量。8.如权利要求1
‑
7中任一项所述的装置，其特征在于，所述一个或多个策略包括用于所述微服务的服务水平协议SLA，所述服务水平协议SLA包括用于所述微服务的服务质量QoS度量和服务水平目标SLO中的一者或多者。9.如权利要求1
‑
8中任一项所述的装置，其特征在于，所述一个或多个处理器进一步用于解密从所述本地区块链获得的所述来源元数据。10.如权利要求1
‑
9中任一项所述的装置，其特征在于，用于加密所述来源元数据的所述一个或多个处理器包括用于应用加性同态加密以对所述来源元数据加密的所述一个或多个处理器。11.一种方法，所述方法包括：由主控服务的微服务的一个或多个处理器，基于证实协议获得用于所述微服务的供应
凭证；针对由所述微服务执行的任务，生成用于所述任务的来源元数据，所述来源元数据包括所述微服务的标识、用于执行所述微服务和所述任务的硬件资源或软件资源中的至少一者的操作状态、以及所述微服务的边车在所述任务期间的操作状态；利用用于所述微服务的所述供应凭证来加密所述来源元数据；以及将经加密的来源元数据记录在为执行所述任务和所述微服务的硬件资源维护的来源元数据的本地区块链中。12.如权利要求11所述的方法，进一步包括使得来源元数据的所述本地区块链与用于服务的来源元数据的其他区块链一起在信任代理中可用。13.如权利要求11
‑
12中任一项所述的方法，其特征在于，所述来源元数据包括数据结构，所述数据结构包括所述微服务的所述标识、用于执行所述微服务...

【专利技术属性】
技术研发人员：R，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：