[发明专利]访问控制方法和电子设备

说明书

本申请公开一种访问控制方法和电子设备，本申请预先将用于运行于虚拟机的第一容器待访问的远程存储设备的目标元数据存放于电子设备的物理机，在此基础上，响应于指示启动第一容器的启动请求，获取预先存放于电子设备物理机的目标元数据，并根据获取的目标元数据，将第一容器待访问的远程存储设备挂载至第一容器对应的虚拟机，使得在第一容器对应的虚拟机得到远程存储设备的挂载信息，借此，运行于虚拟机的第一容器中的应用可直接基于虚拟机中远程存储设备的挂载信息，以直通方式访问远程存储设备，避免了跨物理机访问。

技术领域

本申请属于存储访问技术领域，尤其涉及一种访问控制方法和电子设备。

背景技术

在当前的容器管理工具kubernetes以虚拟内核(虚拟guest kernel)作为沙盒的安全容器访问远程存储设备时，需首先通过PV(Persistent Volume，持久化存储卷)、PVC(Persistent Volume Claim，持久化存储卷声明)语义将远程存储设备挂载到kubernetes所处物理机上，由物理机上的主机内核(host kernel)设备驱动首先接管控制，再进一步通过设备模拟器将本地设备映射给虚拟内核，最终由虚拟内核内的设备驱动接管控制并提供给容器中的应用访问。

由于远程存储设备需要经过上述两层设备驱动控制并经过模拟层，从而导致安全容器中的应用需跨物理机访问远程存储设备，相应导致安全容器对远程存储设备的现有访问模式存在较高的性能损耗。

发明内容

为此，本申请公开如下技术方案：

一种访问控制方法，应用于容器管理工具，包括：

在电子设备获取用于启动第一容器的启动请求；所述第一容器为运行于虚拟机的容器；

获取预先存放于所述电子设备的物理机的目标元数据，所述目标元数据为所述第一容器待访问的远程存储设备的元数据；

根据所述目标元数据，将所述远程存储设备挂载至所述第一容器对应的虚拟机，以在所述虚拟机得到所述远程存储设备的挂载信息；所述虚拟机中的所述挂载信息能用于使所述第一容器中的应用在所述虚拟机中以直通方式访问所述远程存储设备；

启动所述第一容器，以使所述第一容器中的应用访问所述远程存储设备。

可选的，预先在所述电子设备的物理机存放所述目标元数据的过程，包括：

在所述物理机创建存储卷声明，所述存储卷声明包括所申请的存储容量；

在所述物理机通过远程存储接口，将所述存储卷声明的声明信息传输至远程存储服务端，以由所述远程存储服务端根据接收的声明信息创建相匹配的远程存储设备，并为创建的远程存储设备生成对应的元数据；

获得所述远程存储服务端反馈的所述元数据，并将所述元数据作为所述目标元数据存储于所述物理机。

可选的，所述存储卷声明为本地文件形式的声明；所述目标元数据包括所述远程存储设备的设备标识、设备地址和访问密码；所述目标元数据存储于所述物理机中所述存储卷声明的声明文件中；

其中，通过集成至所述容器管理工具的容器存储接口插件，预先在所述电子设备的物理机创建存储卷声明，并向所述存储卷声明的声明文件存放所述目标元数据。

可选的，所述第一容器中的应用以直通方式访问所述远程存储设备，包括：

所述第一容器中的应用利用所述挂载信息，通过所述访问密码以直通方式访问所述远程存储设备；

其中，在所述第一容器中的应用访问所述远程存储设备的过程中，所述远程存储设备处于锁定状态，以避免其他访问端访问所述远程存储设备。

可选的，所述获取预先存放于所述物理机的目标元数据，包括：