[发明专利]基于MIPS64指令集的安全容器隔离方法和装置

权利要求书

1.一种基于MIPS64指令集的安全容器隔离方法，其特征在于，所述方法包括以下步骤：

基于来自用户终端的工作负载部署信息和集群负载状态选择待部署服务的节点，所述工作负载部署信息包括：工作负载所使用的容器镜像的名称/或地址；

在待部署服务的节点上利用QEMU-KVM创建包含虚拟机内核的虚拟机，利用物理机内核启动所述虚拟机，其中，所述物理机内核和所述虚拟机内核均包括：基础通信组件、容器运行时相关模块组件和KVM模块；

在虚拟机内核中加载容器运行时，以利用容器运行时启动所述容器；

通过网络传输将虚拟机中的容器运行信息回传给物理机内核上的容器运行时，其中，所述物理机内核的容器运行时中集成有虚拟化工具接口和I/O组件。

2.根据权利要求1所述的方法，其特征在于，所述QEMU-KVM包括经裁剪的QEMU和KVM模块，所述经裁剪的QEMU被裁剪掉了除基础核心硬件资源模拟机制相关模块之外的部分或全部模块。

3.根据权利要求2所述的方法，其特征在于，在选择用于部署工作负载的节点之前，所述方法还包括：

针对所述容器云平台使用源码编译QEMU，对QEMU的功能模块进行裁剪并引入KVM模块。

4.根据权利要求2所述的方法，其特征在于，在加载虚拟机内核之前，所述方法还包括以下步骤：

在虚拟机内核被编译之前，对内核配置文件进行修改；

添加容器运行时相关模块；

在虚拟机内核中封装容器运行时模块。

5.根据权利要求4所述的方法，其特征在于，所述在虚拟机内核中封装容器运行时模块的步骤包括：将容器运行时组件封装进内核的第一进程中；

所述利用创建的虚拟机的内核加载容器运行时的步骤包括：在虚拟机内核初始化后，运行所述第一进程加载容器运行时；

所述方法还包括：将用户指定的容器镜像传送至虚拟机并运行容器镜像内的应用程序。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

利用所述I/O组件和网络组件从虚拟机内获取容器的运行状态和资源开销；

利用所述虚拟化工具接口基于容器的资源开销动态调节虚拟机对CPU、内存和/或网络资源的占用配置。

7.根据权利要求1或2所述的方法，其特征在于，

所述工作负载部署信息还包括工作负载的名称以及工作负载所要纳入的命名空间；

所述物理机内核和所述虚拟机内核为支持MIPS64指令集硬件虚拟化的内核。

8.根据权利要求1所述的方法，其特征在于，

所述运行时相关模块组件包括：9P文件系统模块、网络块存储设备模块、公平组调度模块、RDMA控制器，cgroup调度模块、PCI设备的高级配置与电源接口模块、紧凑型PCI总线模块、ipset框架模块、虚拟网络模块、虚拟网卡模块、基于网络流量分类的cgroup调度模块、网络分层服务调度模块、为ipset模块提供元素增加、删除功能的模块、网络过滤器追踪模块、PCI设备的通用主机控制器以及事实组策略调度器。

9.根据权利要求2所述的方法，其特征在于，所述经裁剪的QEMU被裁剪掉的模块包括以下模块中的部分或全部模块：avx2模块、bluez模块、brlapi模块、bzip2模块、cocoa模块、curses模块、dmg模块、gtk模块、libiscsi模块、libusb模块、linux-aio模块、qom-cast-debug模块、sdl模块、seccomp模块、smartcard模块、spice模块、tpm模块、usb-redir模块、vnc模块、vnc-jpeg模块、vnc-png模块、vnc-sasl模块、vte模块、whpx模块、xen模块和xen-pci-passthrough模块。