【技术实现步骤摘要】
基于共享内存的容器安全保护方法及装置
[0001]本申请涉及容器安全
,具体地涉及一种基于共享内存的容器安全保护方法、一种基于共享内存的容器安全保护装置、一种计算机可读存储介质以及一种计算机程序产品。
技术介绍
[0002]容器技术是一种轻量级虚拟化技术,可以将应用程序及其依赖项打包为可移植的镜像,实现快速、可靠、可重复的部署和管理。容器技术的核心是Linux的命名空间隔离和Cgroups机制,可以实现对应用程序的隔离、限制和监控。在容器技术中,为了保证应用程序之间的隔离性和安全性,常常采用命名空间(Namespace)隔离技术。目前已经有一些相关的安全技术存在,但是这些技术存在着一些局限性,例如性能不够优秀、资源利用不够高效等。现有技术中也存在IPC机制和Cgroups机制以保证容器技术的实施,但是这些技术缺少一些整合,无法实现容器的安全性和资源隔离性的有效保障。
技术实现思路
[0003]本申请实施方式的目的是提供一种基于共享内存的容器安全保护方法及装置,旨在利用IPC机制和Cgroups机制,以解...
【技术保护点】
【技术特征摘要】
1.一种基于共享内存的容器安全保护方法,其特征在于,该方法包括:由系统模块为容器进程创建一个进程间通信通道和一个控制组;通过所述控制组限制所述容器进程的访问资源,所述访问资源中包括所述进程间通信通道;所述进程间通信通道用于与外部交互共享内存参数,所述容器进程通过访问所述共享内存参数所对应的共享内存进行数据交互。2.根据权利要求1所述的方法,其特征在于,所述共享内存参数包括:共享内存ID和消息队列ID;所述容器进程通过访问所述共享内存参数所对应的共享内存进行数据交互,包括:将数据写入共享内存并将所述共享内存的共享内存ID发送至容器进程,所述容器进程从所述共享内存读取数据;或者所述容器进程将数据写入消息队列并将所述消息队列的消息队列ID发送至所述容器进程的外部,所述外部从所述消息队列读取数据。3.根据权利要求2所述的方法,其特征在于,所述共享内存设置于所述容器进程所在的主机中,所述外部为所述主机中的其他进程。4.根据权利要求1所述的方法,其特征在于,所述进程间通信通道由进程间通信通道模块和所述系统模块进行管理;所述控制组由控制组模块和所述系统模块进行管理。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:通过所述系统模块将所述容器进程绑定至所述控制组。6.根据权利要求1所述的方法,其特征在于,所述系统模块还被配置为:监控所述容器进程的运行状态和资源使用,以及在所述容器进程超过所配置资源限制时,对所述容器进程进行调整或关闭。7.一种基于共享内存的容器安全保护装置,其特征在于,该装置包括:资源创建模块,用于由系统模块为容器进程创建一个进程间通信通道和一个控制组;访问控制模块,用于通过所述控制组限制所述容器进程的访问资源,所述访问资源中包括所述进程间...
【专利技术属性】
技术研发人员:袁德坤,
申请(专利权)人:建信金融科技有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。