[发明专利]一种基于容器的隔离处理方法及相关设备

说明书

本申请实施例公开了一种基于容器的隔离处理方法及相关设备。本申请实施例方法包括：接收用于隔离的操作指令，操作指令包含目标容器的标识，目标容器为多个容器中的至少一个；根据目标容器的标识确定目标容器的目标容器实例；获取目标容器实例的检查点文件；将用于运行目标容器实例的执行引擎由容器执行引擎切换至虚拟化容器执行引擎；根据检查点文件将目标容器实例的状态数据迁移至虚拟化容器，以得到目标虚拟化容器实例，目标虚拟化容器实例运行于虚拟化容器执行引擎。本申请实施例还提供了一种主机设备，用于在容器实例运行的过程中，动态提升容器的隔离能力。

技术领域

本申请涉及计算机领域，尤其涉及一种基于容器的隔离处理方法及相关设备。

背景技术

容器技术是将应用程序打包到单独的容器之中，进行封装的技术，容器技术将每个应用程序隔离开，打断了程序之间的依赖和连接关系，也就是说，一个庞大的服务系统在容器技术的支持下，可以由许多不同的应用程序所寄居的容器组合而成。容器技术有效地将由单个操作系统管理的资源划分到隔离的组中，以更好地在隔离的组之间平衡有冲突的资源使用需求，属于操作系统级的虚拟化技术，由于其轻量级的特性，被广泛应用。然而，由于容器技术采用操作系统隔离技术，例如Namespace，CGroup等，但是其故障隔离并不成熟。

其中，Namespace即命名空间，用于构建独立的容器运行环境，Namespace区分的是网络、挂载目录等程序运行信息，通过Namespace将运行在同一个真是系统下的程序进行隔离，是不同的Namespace中的程序是相互不可见的，从而达到隔离的效果。CGroup为控制群组(Control Groups)，CGroups的目标对对系统资源进行管理，在Namespace的支持下，可以将程序隔离成不同的容器，或者说是应用群组，而CGroups可以用于对这些容器所使用的CPU、内存、IO等资源进行控制，通过CGroup，可以准确的为每一个被Namespace隔离的容器配置物理主机中真是的计算机资源，但是，通过Namespace和CGroups实现隔离均是静态的隔离，也就是说，是在应用程序运行之前就已经将该应用程序进行隔离，如果，用户的需求发送变化，需要增强应用程序的隔离，则无法实现，例如，在同一个主机设备中容器A发生故障，在容器B运行的过程中，用户希望增强对容器中应用程序(容器实例)的隔离来增强对容器B中的应用程序的保护，在此种情况下，通过现有容器技术则无法实现，如何动态提升容器的隔离能力亟待解决。

发明内容

本申请实施例提供了一种基于容器的隔离处理方法及相关设备，用于在容器实例运行的过程中，动态提升容器的隔离能力。

第一方面，本申请实施例提供了一种基于容器的隔离处理方法，该基于容器的隔离处理方法应用于主机设备，该主机设备上运行有多个容器，该多个容器中的每个容器对应一个容器实例，具体的，该基于容器的隔离处理方法包括：主机设备接收客户端发送的用于隔离的操作指令，该操作指令包含目标容器的标识，该目标容器为该多个容器中的至少一个；根据该目标容器的标识确定目标容器实例，该目标容器实例为需要动态提升隔离性能的容器实例；获取该目标容器实例的检查点文件，检查点是用于指示该目标容器实例运行时的状态数据，而检查点文件是检查点以文件的形式进行保存的数据，因此检查点文件保存了目标容器实例运行时的状态数据，获取检查点文件的目的在于，记录了目标容器运行时的状态数据，可以根据该检查点文件再将目标实例运行时的数据进行恢复；将用于运行该目标容器实例的执行引擎由容器执行引擎切换至虚拟化容器执行引擎，然后，将该状态数据迁移至虚拟化容器，以得到目标虚拟化容器实例，从而将该目标容器实例转换成目标虚拟化容器实例，该目标虚拟化容器实例运行于虚拟化容器执行引擎。本申请实施例中，可以根据用户需求，动态增强容器故障隔离能力，同时并不会影响目标容器中的应用程序，实现了容器中的业务无感知的情况下，扩大了容器故障隔离的适用场景，以提升对目标容器实例的隔离保护。