【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
1、本公开总体上涉及容器编排环境,并且更具体地涉及为容器编排环境中的合规性增加网荚隔离和安全性,同时仅准许网荚部署描述中指定并对照包含在可信执行环境合同中的用以在容器编排环境的可信执行环境中运行的规则验证的容器来保持用户体验。
2、容器编排环境(例如,(加利福尼亚州旧金山的linux基金会的注册商标))提供了用于使应用容器跨主机节点集群的自动部署、缩放和操作自动化的平台。许多云服务提供容器编排环境作为服务(例如,平台即服务、基础设施即服务等)。
3、容器编排环境包括控制器节点,控制器节点是主机节点集群(也称为计算节点)的主控制单元,管理集群的工作负荷并且引导跨集群的通信。控制节点形成的群集的控制平面由各种组件组成,诸如数据存储、应用编程接口(api)服务器、调度器和控制器。数据存储器包含集群的配置数据,表示在任何给定时间集群的总体和期望的状态。api服务器为控制器节点提供内部和外部接口。api服务器处理和验证资源可用性请求并更新数据存储中的api对象的状态,从而允许用户(例如,租户、客户端、客户等)跨集群中的主机节点配置工作负荷和容器。调度器基于相应主机节点的资源可用性选择未调度的网荚运行在哪个主节点上。网荚是调度器管理的基本单元。调度器跟踪每个主机节点上的资源利用率,以确保工作量没有被调度超过可用资源。控制器具有协调循环,可将实际集群状态驱动到所需的集群状态,与api服务器通信以创建、更新和删除控制器管理的资源(例如,网荚、服务端点等)。
4、主机节点是部署容器(即,应用工作负荷
5、在容器编排环境(如kubernetes)中,主机节点包括kubelet、kube代理和容器运行时。kubelet是在每个主机节点上运行的代理,负责每个主机节点的运行状态,保证主机节点上的所有容器运行健康。kubelet按照控制平面的指示启动、停止和维护组织成网荚的容器。kube代理负责基于包括在请求中的给定容器的互联网协议地址来将网络流量路由到适当的容器。容器运行时保存由容器编排环境托管的服务的运行应用、库及其依赖性。
6、目前,存在旨在提高容器编排环境中容器的隔离和安全性的解决方案。当前的一种解决方案(加利福尼亚mountainview的google,llc的注册商标)试图通过使用用户空间内核来提高网荚隔离和安全性。该解决方案试图将威胁面从试图攻击主机节点的容器转移到在能够到达主机节点内核之前攻击用户空间内核。
7、另一当前解决方案,kata(德克萨斯州奥斯汀的openstack基金会的注册商标),试图在容器试图攻击主机节点时使用基于内核的虚拟机隔离来改变威胁面。基于内核的虚拟机边界在硬件虚拟化之上引入完整的操作系统,这需要在能够攻击主机节点内核之前进行攻击。基于内核的虚拟机表示容器在虚拟机内部开始的网荚,从而使得容器更难攻击主机节点。
8、以上这两种现有方案均涉及容器编排环境的网荚内的容器试图攻击主机节点的风险,但不涉及容器编排环境管理员从主机节点向网荚的容器发起的攻击。此外,这些当前解决方案不保护存储器免受容器编排环境管理员的影响,它们也不防止一旦运行容器编排环境管理员在网荚内就访问或操纵容器内的容器。
9、又一当前解决方案,云数据屏蔽,要求容器被转换成可在软件保护扩展环境中使用的形式。该解决方案试图对使用通用编程语言(诸如,例如,c++等)编写的应用自动转换容器。由此,该当前解决方案的容器应该专门针对软件保护扩展环境来构建。该当前解决方案可以保护容器/应用免受容器编排环境管理员的影响,但是通过强制改变正在运行的容器来这样做,会改变或更改容器编排环境中的用户体验。
技术实现思路
1、根据本专利技术的一方面,提供了一种用于保护容器编排环境中的网荚的计算机实现的方法。计算机,基于所述容器运行时接口命令与包含在所述可信执行环境的网荚沙箱虚拟机中所包含的可信执行环境合同中的规则相匹配,使用嵌入在所述计算机的可信执行环境中的代理来验证容器运行时接口命令以对包括对应于由所述容器编排环境托管的服务的应用工作负荷的容器集合执行编排动作沙箱。计算机使用代理基于找到可信执行环境合同中的匹配规则来确定对容器集合执行编排动作的容器运行时接口命令是否有效。响应于所述计算机使用所述代理基于在所述可信执行环境合同中找到所述匹配规则来确定对所述容器集合执行所述编排动作的所述容器运行时接口命令是有效的,所述计算机使用所述代理来执行所述容器运行时接口命令以对包括对应于所述可信执行环境的所述网荚沙箱虚拟机中的所述服务的所述应用工作负荷的所述容器集合执行所述编排动作。
2、根据本专利技术的另一方面,提供了一种用于保护容器编排环境中的网荚的计算机系统,所述计算机系统包括:总线系统;存储装置,连接到所述总线系统,其中,所述存储装置存储程序指令;以及处理器,其连接到所述总线系统,其中所述处理器执行所述程序指令以:使用嵌入在所述计算机系统的可信执行环境中的代理来验证容器运行时接口命令以对包括应用工作负荷的容器集合执行编排动作,所述应用工作负荷对应于由所述容器编排环境托管的服务;使用所述代理基于找到所述可信执行环境合同中的匹配规则来确定对所述容器集合执行所述编排动作的所述容器运行时接口命令是否有效;以及响应于使用所述代理基于在所述可信执行环境合同中找到所述匹配规则而确定对所述容器集合执行所述编排动作的所述容器运行时接口命令是有效的,使用所述代理来执行所述容器运行时接口命令以对包括对应于所述可信执行环境的所述网荚沙箱虚拟机中的所述服务的所述应用工作负荷的所述容器集合执行所述编排动作。
3、根据本专利技术的另一方面,提供了一种用于保护容器编排环境中的网荚的计算机程序产品,所述计算机程序产品包括具有程序指令的计算机可读储存介质,所述程序指令可由计算机执行以使所述计算机执行以下方法:由所述计算机使用嵌入在所述计算机的可信执行环境中的代理来验证,容器运行时接口命令,所述容器运行时接口命令用于基于将容器运行时接口命令与包含在可信执行环境合同中的规则进行匹配而对包括对应于由所述容器编排环境托管的服务的应用工作负荷的容器集合执行编排动作,所述可信执行环境合同包含在所述可信执行环境的网荚沙箱虚拟机中;所述计算机使用所述代理基于找到所述可信执行环境合同中的匹配规则来确定对所述容器集合执行所述编排动作的所述容器运行时接口命令是否有效;以及响应于所述计算机基于在所述可信执行环境合同中找到所述匹配规则而使用所述代理确定用于对所述容器集合执行所述编排动作的所述容器运行时接口命令是有效的,由所述计算机使用所述代理来执行所述容器运行时接口命令以对包括对应于所述可信执行环境的所述网荚沙箱虚拟机中的所述服务的所述应用工作负荷的所述容器集合执行所述编排动作。
4、根据本专利技术的另一方面,本文档来自技高网...
【技术保护点】
1.一种用于保护容器编排环境中的网荚的计算机实现的方法,所述计算机实现的方法包括:
2.根据权利要求1所述的计算机实现的方法,进一步包括:
3.根据权利要求1所述的计算机实现的方法,进一步包括:
4.根据权利要求3所述的计算机实现的方法,进一步包括:
5.根据权利要求1所述的计算机实现的方法,进一步包括:
6.根据权利要求5所述的计算机实现的方法,进一步包括:
7.根据权利要求1所述的计算机实现的方法,进一步包括:
8.根据权利要求7所述的计算机实现的方法,其中,所述代理验证所述容器集合中的每个相应容器的对应容器图像的真实性,以防止在运行时使用包含在所述可信执行环境合同中的对应公钥来拉取不同容器图像的尝试,以验证与从所述图像存储库拉取的图像相关联的签名,并且其中,所述代理验证可使用来自所述可信执行环境合同或另一源之一的解密密钥来正确解密的加密图像。
9.根据权利要求1所述的计算机实现的方法,进一步包括:
10.根据权利要求1所述的计算机实现的方法,其中,所述可信执行环境提供
11.根据权利要求1所述的计算机实现的方法,其中,所述可信执行环境合同包括容器的签名、对所述容器的限制、秘密或密码密钥中的至少一个,其中,所述签名对应于被允许在所述可信执行环境中运行的所述容器集合,并且其中,对所述容器的限制限定所述容器集合中的哪些容器可获得对配置映射,秘密,或描述容器如何消耗持久卷的持久卷声明中的至少一个的访问,并且其中在所述可信执行环境内部使用所述秘密或密码密钥来解密提供给所述可信执行环境的秘密,配置映射,或持久卷中的至少一个。
12.一种用于保护容器编排环境中网荚的计算机系统,所述计算机系统包括:
13.根据权利要求12所述的计算机系统,其中,所述处理器进一步执行所述程序指令以:
14.根据权利要求12所述的计算机系统,其中,所述处理器进一步执行所述程序指令以:
15.根据权利要求14所述的计算机系统,其中,所述处理器进一步执行所述程序指令以:
16.根据权利要求12所述的计算机系统,其中,所述处理器进一步执行所述程序指令以:
17.根据权利要求16所述的计算机系统,其中,所述处理器进一步执行所述程序指令以:
18.一种用于保护容器编排环境中网荚的计算机程序产品,所述计算机程序产品包括具有随其包含的程序指令的计算机可读存储介质,所述程序指令可由计算机执行以促使所述计算机执行以下方法:
19.根据权利要求18所述的计算机程序产品,进一步包括:
20.根据权利要求18所述的计算机程序产品,进一步包括:
21.根据权利要求20所述的计算机程序产品,进一步包括:
22.根据权利要求18所述的计算机程序产品,进一步包括:
23.根据权利要求22所述的计算机程序产品,进一步包括:
24.一种用于保护网荚的方法,所述方法包括:
25.根据权利要求24所述的方法,进一步包括:
...【技术特征摘要】
【国外来华专利技术】
1.一种用于保护容器编排环境中的网荚的计算机实现的方法,所述计算机实现的方法包括:
2.根据权利要求1所述的计算机实现的方法,进一步包括:
3.根据权利要求1所述的计算机实现的方法,进一步包括:
4.根据权利要求3所述的计算机实现的方法,进一步包括:
5.根据权利要求1所述的计算机实现的方法,进一步包括:
6.根据权利要求5所述的计算机实现的方法,进一步包括:
7.根据权利要求1所述的计算机实现的方法,进一步包括:
8.根据权利要求7所述的计算机实现的方法,其中,所述代理验证所述容器集合中的每个相应容器的对应容器图像的真实性,以防止在运行时使用包含在所述可信执行环境合同中的对应公钥来拉取不同容器图像的尝试,以验证与从所述图像存储库拉取的图像相关联的签名,并且其中,所述代理验证可使用来自所述可信执行环境合同或另一源之一的解密密钥来正确解密的加密图像。
9.根据权利要求1所述的计算机实现的方法,进一步包括:
10.根据权利要求1所述的计算机实现的方法,其中,所述可信执行环境提供对应于所述服务的所述网荚沙箱虚拟机中的所述容器集合的隔离和安全执行,并且其中,所述可信执行环境包括耦接至所述计算机的存储器的安全部分和处理器的安全部分。
11.根据权利要求1所述的计算机实现的方法,其中,所述可信执行环境合同包括容器的签名、对所述容器的限制、秘密或密码密钥中的至少一个,其中,所述签名对应于被允许在所述可信执行环境中运行的所述容器集合,并且其中,对所述容器的限制限定所述容器集合中的哪些容器可获得...
【专利技术属性】
技术研发人员:J·R·马高恩,A·努涅斯门西亚斯,S·利舍,小原盛干,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。