本申请提供一种应用于多虚拟机的容器封装方法及装置,在该方法中,在将虚拟机集群封装为容器之前,应用实体可以触发应用实体所在网络内的验证实体发起对虚拟机集群的可信度量,如通过虚拟机集群所在网络内的度量实体对虚拟机集群的可信度量,以验证虚拟机集群是否可信,以实现在虚拟机集群可信的情况下,才将虚拟机集群封装为容器,以保证容器的封装安全。全。全。
【技术实现步骤摘要】
一种应用于多虚拟机的容器封装方法及装置
[0001]本申请涉及虚拟化
,尤其涉及一种应用于多虚拟机的容器封装方法及装置。
技术介绍
[0002]虚拟机(virtual machine,VM)是虚拟化技术的重要组成部分,通过在实体的设备上虚拟化出一个或多个VM,可实现服务的解耦,在保证数据安全的情况下,能够更灵活地为用户提供服务。随着技术的演进,VM可以以集群的方式进行部署,并将这些VM封装为容器,用以统一提供大规模服务。
[0003]然而,随着VM部署规模的扩大,安全风险也更大,这种情况下,如何保证容器的封装安全是目前研究的热点问题。
技术实现思路
[0004]本申请实施例提供一种应用于多虚拟机的容器封装方法及装置,以保证容器的封装安全。
[0005]为达到上述目的,本申请采用如下技术方案:第一方面,提供一种应用于多虚拟机的容器封装方法,应用于应用实体,该方法包括:在应用实体需要将虚拟机集群封装为容器的情况下,应用实体向验证实体发送的度量请求消息,其中,度量请求消息用于请求对虚拟机集群进行可信度量;应用实体接收验证实体针对度量请求消息返回的度量响应消息,其中,度量响应消息携带度量结果;在度量结果表征虚拟机集群可信的情况下,应用实体将虚拟机集群封装为容器。
[0006]基于第一方面所述的方法可知,在将虚拟机集群封装为容器之前,应用实体可以触发应用实体所在网络内的验证实体发起对虚拟机集群的可信度量,如通过虚拟机集群所在网络内的度量实体对虚拟机集群的可信度量,以验证虚拟机集群是否可信,以实现在虚拟机集群可信的情况下,才将虚拟机集群封装为容器,以保证容器的封装安全。
[0007]可以理解,容器可以理解为是杯子,虚拟机可以理解为杯子里面的东西,虚拟机集群被封装为容器之后,从外部就看不到(或者说感知不到)虚拟机集群了,只能看到容器提供的端口。如此,可以方便对虚拟机集群进行调度,同时也可以保证虚拟机集群的安全。
[0008]一种可能的设计方案中,应用实体将虚拟机集群封装为容器,包括:应用实体根据虚拟机集群中各虚拟机的功能,将虚拟机集群中功能匹配的虚拟机封装到同一容器,并将虚拟机集群中功能不匹配的虚拟机分别封装到不同的容器。例如,功能匹配的虚拟机可以理解为功能相同的虚拟机。或者,功能匹配的虚拟机也可以理解为功能之间具有先后执行的逻辑顺序的虚拟机,如调度端口A后,虚拟机1先执行步骤1,得到中间结果,将中间结果给到虚拟机2,用以执行步骤2,得到最终结果,如此虚拟机1与虚拟机2就是功能匹配的虚拟机。
[0009]一种可能的设计方案中,应用实体将虚拟机集群封装为容器,包括:应用实体根据
虚拟机集群中各虚拟机的位置,将虚拟机集群中位于同一软件层的虚拟机封装到同一容器,并将虚拟机集群中位于不同软件层的虚拟机分别封装到不同的容器。虚拟机的位置可以是逻辑位置,如部署在同一网络内,或者也可以是物理位置,如部署在同一机房的设备上,对此不做具体限制。
[0010]第二方面,提供一种应用于多虚拟机的容器封装方法,应用于验证实体,该方法包括:在应用实体需要将虚拟机集群封装为容器的情况下,验证实体接收来自应用实体的度量请求消息,其中,度量请求消息用于请求对虚拟机集群进行可信度量;验证实体根据度量请求消息,向度量实体发送度量消息,其中,度量实体与虚拟机集群位于同一网络内,度量消息用于指示度量实体发起对虚拟机集群的可信度量;验证实体接收度量实体根据度量消息返回的度量接收消息,其中,度量接收消息携带度量结果,度量结果用于表征虚拟机集群是否可信;验证实体向验证实体发送用于响应度量请求消息的度量响应消息,其中,度量响应消息携带度量结果,且在度量结果表征虚拟机集群可信的情况下,应用实体能将虚拟机集群封装为容器。
[0011]一种可能的设计方案中,度量请求消息还用于指示虚拟机集群分别位于M个网络,M为大于1的整数;验证实体根据度量请求消息,向度量实体发送度量消息,包括:验证实体根据M个网络之间的关系,确定虚拟机集群中需要被度量的N个虚拟机,N为大于或等于1的整数;验证实体针对N个虚拟机,向度量实体发送度量消息,其中,度量消息用于指示度量实体发起对N个虚拟机的可信度量。也就是说,对于N个虚拟机,度量实体也可以是多个,分别位于N个虚拟机所在的网络。
[0012]可选地,M个网络之间的关系具体为M个网络之间的签约关系。对于M个网络中相互之间签约的网络,N个虚拟机包括部署在签约的网络中的一个网络中的虚拟机,且N个虚拟机不包括部署在签约的网络中除该网络以外的其他网络中的虚拟机。也就是说,对于相互之间有签约的网络而言,这些网络是相互关联的,只要其中一个网络中的虚拟机可信,可以认为其他网络中的虚拟机也可信,如此可以降低度量开销,提高度量效率。和/或;对于M个网络中没有与M个网络中的其他网络签约的孤岛网络,N个虚拟机包括部署该孤岛网络中的虚拟机。例如,对于网络1、网络2、网络3、网络4和网络5,网络1、网络2和网络3互相签约,可以只对部署在网络1中的虚拟机进行度量,部署在网络2和网络3中的虚拟机可以不度量。网络4和网络5是孤岛网络,因此部署在网络4和网络5中的虚拟机都需要被度量。
[0013]可选地,M个网络之间的关系具体为M个网络之间的层级关系;M个网络之间具有m层的层级关系,m大于1的整数。对于M个网络中第i层级的网络和第i+1层级的网络,i为取1至m
‑
1的任意整数,第i层级的网络的网络层级高于第i+1层级的网络的网络层级,N个虚拟机包括部署在第i+1层级的网络中的虚拟机,且N个虚拟机不包括部署在第i层级的网络中的虚拟机。可以理解,通常情况下,层级越低的网络,其安全风险越高,反之亦然,基于这种特性,可以只对层级低网络中的虚拟机进行度量,如果层级低网络中的虚拟机可信,则层级高网络中的虚拟机也可信。此外,网络之间的层级关系可以理解为包含关系,层级高的网络可以包含至少一个层级低的网络。例如,一个公网内可以包含至少一个私网,此时,包含关系可以指私网是附着在公网的硬件上建立,且私网的服务区域在公网的服务区域以内。例如,网络1和网络2是公网,网络1内包含的网络3和网络4是私网,网络2内包含的网络5是是私网,则可以只对部署在网络3、网络4和网络5中的虚拟机进行度量,而不对部署在网络1和
网络2中的虚拟机进行度量。通过度量,只要部署在网络3、网络4和网络5中的虚拟机可信,那么部署在网络1和网络2中的虚拟机也可信,否则,不可信。
[0014]一种可能的设计方案中,度量请求消息还用于指示虚拟机集群中虚拟机之间的关系。验证实体根据度量请求消息,向度量实体发送度量消息,包括:验证实体根据虚拟机之间的关系,确定虚拟机集群中需要被度量的N个虚拟机,N为大于或等于1的整数;验证实体针对N个虚拟机,向度量实体发送度量消息,其中,度量消息用于指示度量实体发起对N个虚拟机的可信度量。
[0015]可选地,虚拟机之间的关系为中心节点与转发节点关系,N个虚拟机包括虚拟机集群中为转发节点的虚拟机,且N个虚拟本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种应用于多虚拟机的容器封装方法,其特征在于,应用于应用实体,所述方法包括:在所述应用实体需要将虚拟机集群封装为容器的情况下,所述应用实体向验证实体发送的度量请求消息,其中,所述度量请求消息用于请求对所述虚拟机集群进行可信度量;所述应用实体接收所述验证实体针对所述度量请求消息返回的度量响应消息,其中,所述度量响应消息携带度量结果;在所述度量结果表征所述虚拟机集群可信的情况下,所述应用实体将所述虚拟机集群封装为容器。2.根据权利要求1所述的方法,其特征在于,所述应用实体将所述虚拟机集群封装为容器,包括:所述应用实体根据所述虚拟机集群中各虚拟机的功能,将所述虚拟机集群中功能匹配的虚拟机封装到同一容器,并将所述虚拟机集群中功能不匹配的虚拟机分别封装到不同的容器。3.根据权利要求1所述的方法,其特征在于,所述应用实体将所述虚拟机集群封装为容器,包括:所述应用实体根据所述虚拟机集群中各虚拟机的位置,将所述虚拟机集群中位于同一软件层的虚拟机封装到同一容器,并将所述虚拟机集群中位于不同软件层的虚拟机分别封装到不同的容器。4.一种应用于多虚拟机的容器封装方法,其特征在于,应用于验证实体,所述方法包括:在应用实体需要将虚拟机集群封装为容器的情况下,所述验证实体接收来自所述应用实体的度量请求消息,其中,所述度量请求消息用于请求对所述虚拟机集群进行可信度量;所述验证实体根据所述度量请求消息,向度量实体发送度量消息,其中,所述度量实体与所述虚拟机集群位于同一网络内,所述度量消息用于指示所述度量实体发起对所述虚拟机集群的可信度量;所述验证实体接收所述度量实体根据所述度量消息返回的度量接收消息,其中,所述度量接收消息携带度量结果,所述度量结果用于表征所述虚拟机集群是否可信;所述验证实体向所述验证实体发送用于响应所述度量请求消息的度量响应消息,其中,所述度量响应消息携带所述度量结果,且在所述度量结果表征所述虚拟机集群可信的情况下,所述应用实体能将所述虚拟机集群封装为容器。5.根据权利要求4所述的方法,其特征在于,所述度量请求消息还用于指示所述虚拟机集群分别位于M个网络,M为大于1的整数;所述验证实体根据所述度量请求消息,向度量实体发送度量消息,包括:所述验证实体根据所述M个网络之间的关系,确定所述虚拟机集群中需要被度量的N个虚拟机,N为大于或等于1的整数;所述验证实体针对所述N个虚拟机,向所述度量实体发送所述度量消息,其中,所述度量消息用于指示所述度量实体发起对所述N个虚拟机的可信度量。6.根据权利要求4所述的方法,其特征在于,所述度量请求消息还用于指示所述虚拟机集...
【专利技术属性】
技术研发人员:傅荣会,余永武,文琴,代伟,侯红英,王丹,周维斌,文丽,
申请(专利权)人:内江师范学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。