[发明专利]基于安全的容器调度

说明书

本发明涉及基于安全的容器调度。本文公开的实施例涉及基于安全的容器调度系统，用于将容器分配给节点。发现引擎发现节点簇中的节点并且发现与该节点相关联的节点安全属性。转换引擎由与该容器相关联的元数据中指定的容器安全属性生成节点选择器。

背景技术

为了解决日益增加的对软件应用程序的可移植性需求，软件容器应运而生。容器将应用程序及其所有相关性和函数库捆绑成隔离的、资源受控并且易于部署(deploy)的构造块(building block)，构造块可在任意计算环境中运行于任意操作系统上。容器可在物理机或虚拟机上以私有云、公共云或混合云的形式部署，从而利于大型应用程序的工作负载管理。多个容器可在单机上运行并且共享操作系统内核，同时保持诸如存储器、CPU和硬盘的处理器和资源彼此隔离。这使得容器的部署变得有效、快捷和轻量。

存在若干可用的普及化容器开发和管理系统，诸如Docker、Rocket和Kubernetes。这些系统包括用于创建并且运行容器映像的工具，容器映像是构成容器内运行的应用程序的文件。图像文件包含运行单个容器的所有需求以及描绘与该容器相关联的信息和属性的元数据。

系统管理员可以利用容器协调引擎来管理并部署针对服务器或服务器簇的容器分配和部署。诸如Kubernetes和Docker Swarm的容器协调引擎提供了基本调度功能，主要集中于CPU、内存和存储需求。容器的管理和调度不佳可能会导致无法充分利用潜在资源，并且导致工作负载与资源之间的比例失当。

附图说明

通过结合以下连同附图的详细说明，将更充分地理解本申请。贯穿全文，附图中相同的附图标记指代相同部件，并且其中：

图1图示根据各种示例的使用基于安全的容器调度系统的环境的示意图；

图2是可包含在图1的环境中的一种示例性的基于安全的容器调度系统的框图；

图3是可包含在图1的环境中的另一种示例性的基于安全的容器调度系统的框图；

图4是图3的基于安全的容器调度系统的示例性操作的流程图；

图5是可在图3的基于安全的容器调度系统中实现的一种发现引擎的示例操作的流程图；

图6是可在图3的基于安全的容器调度系统中实现的转换引擎、容器调度器以及资源跟踪器的示例操作的流程图；以及

图7是可包含在图1的环境中的一种示例性的基于安全的容器调度系统的另一框图。

具体实施方式

公开了一种用于将软件容器调度给节点的基于安全的容器调度系统。基于安全的容器调度系统使容器调度自动化，同时还将容器的工作负载的安全需求考虑在内。每个容器被分配给一节点，该节点具有与该容器的工作负载的安全需求相匹配的安全属性，从而确保了自动预先集成安全性并且在整个容器开发与部署过程中维持该安全性。维持安全性对于许多容器工作负载是至关重要的，比如处理敏感数据的那些工作负载或者在多用户云环境中部署的那些工作负载。

如本文大体描述的，节点指的是网络上的计算装置，要么是虚拟机，要么是物理机，诸如个人电脑、手机、打印机或服务器等。与节点相关联的安全属性可包括，例如，是否激活了安全启动或者联邦信息处理标准(FIPS)模式、该节点是否具有可信平台模块(TPM)硬件、该节点是否具有包含热安全修复(hot security fixes)的特定固件版本或者可能与节点相关联的任意其他安全属性。每个节点可具有与其相关联的元数据，元数据可采用指定与该节点有关的不同属性(例如，安全属性)的标签或注释的形式。同样，容器映像可具有指定与该容器映像相关联的不同需求和属性的元数据。一种与容器映像相关联的示例安全属性可以是：要求该容器映像在具有安全套接层(SSL)的特定版本x的节点上运行。