一种针对容器资源逃逸缺陷的检测方法技术

本发明专利技术属于计算机资源管理相关技术领域，其公开了一种针对容器资源逃逸缺陷的检测方法，包括：利用待检测的容器创建工具创建共享命名空间的第一容器和第二容器，获取两容器的当前资源记录值之和作为参考值；在第一容器内运行测试项目；重启第一容器；查询当前命名空间内是否还存在运行当前测试项目时所创建的资源：若存在，则获取两容器的当前资源记录值之和作为目标值，再删除所创建的资源；计算目标值和参考值的差值，基于差值输出反应资源逃逸程度的检测结果；若不存在，则输出不存在资源逃逸缺陷的检测结果。通过以上方法，可以模拟真实环境下共享命名空间的容器生产环境，提前对容器工具进行检测，规避实际应用时出现资源耗尽的漏洞。

【技术实现步骤摘要】

本专利技术属于计算机资源管理相关，更具体地，涉及一种针对容器资源逃逸缺陷的检测方法。

技术介绍

1、容器技术已经广泛应用到大量领域，比如云计算，边缘计算，自动驾驶等。容器技术有的两大基石，命名空间namespace与控制组群cgroup。

2、namespace能够将一组进程隔离起来，并维护专属于这组进程的资源，将其与内核中全局的资源隔离开来。比如：进程命名空间pid namespace拥有一组独立于别的pidnamespace的链表，该链表仅仅用来维护属于该pid namespace的所有进程，当namespace中的最后一个进程退出的时候，该namespace会消亡，与此同时，内核会遍历该namespace维护的所有资源，并将其销毁。

3、cgroup能够实现一组资源(如内存，i/o速率，网络带宽等)的统计与限制，当创建一个容器时，runtime会自动为该容器创建一个cgroup，在容器中执行进程时，通过容器本身的cgroup限制该进程对资源的使用。

4、在实际使用容器技术时，偶尔会出现资源异常消耗的问题，即主机在运本文档来自技高网...

【技术保护点】

1.一种针对容器资源逃逸缺陷的检测方法，其特征在于，包括：

2.如权利要求1所述的针对容器资源逃逸缺陷的检测方法，其特征在于，在步骤S5中，所述基于所述差值输出当前测试项目的资源逃逸程度包括：

3.如权利要求1所述的针对容器资源逃逸缺陷的检测方法，其特征在于，对所述第一容器内运行的测试项目进行标记；

4.如权利要求1针对容器资源逃逸缺陷的检测方法，其特征在于，当内核划分为多个命名空间时，针对每个命名空间执行步骤S1至步骤S7以获取待检测的容器创建工具对应于每个命名空间的容器资源逃逸缺陷的检测结果。

5.如权利要求1针对容器资源逃逸缺陷的检测...

【技术特征摘要】

1.一种针对容器资源逃逸缺陷的检测方法，其特征在于，包括：

2.如权利要求1所述的针对容器资源逃逸缺陷的检测方法，其特征在于，在步骤s5中，所述基于所述差值输出当前测试项目的资源逃逸程度包括：

3.如权利要求1所述的针对容器资源逃逸缺陷的检测方法，其特征在于，对所述第一容器内运行的测试项目进行标记；

4.如权利要求1针对容器资源逃逸缺陷的检测方法，其特征在于，当内核划分为多个命名空间时，针对每个命名空间执行步骤s1至步骤s7以获取待检测的容器创建工具对应于每个命名空间的容器资源逃逸缺陷的检测结果。

5.如权利要求1针对容器资源逃逸缺陷的检测方法，其特征在于，所述容器创建工具选自docker工具和podman工具中的任一种。

6.如权利要求1针对容器资源逃...

【专利技术属性】
技术研发人员：李志，徐祯，
申请(专利权)人：华中科技大学，
类型：发明
国别省市：