[发明专利]一种运行Docker容器任务的方法和任务调度器

说明书

本申请公开了一种运行Docker容器任务的方法和任务调度器，该方法应用于包括管理节点和计算节点的系统，管理节点上运行有任务调度器，任务调度器的服务以root超级用户身份运行，所述方法包括以下步骤：任务调度器接收与Docker容器相关的任务递交命令；所述任务调度器对所述Docker容器内的用户进行认证；在对所述用户认证通过的情况下，所述任务调度器将所述任务递交命令对应的Docker容器任务调度到所述计算节点的任务执行管理服务中，通过所述任务执行管理服务以限权方式运行所述Docker容器任务。本申请通过任务调度器将Docker容器任务调度到计算节点的任务执行管理服务中以限权方式运行，能够在HPC环境中使用Docker容器，扩展了HPC环境的使用范围，且能够保证HPC系统的安全性。

技术领域

本申请属于分布式计算技术领域，具体涉及一种运行Docker容器任务的方法和任务调度器。

背景技术

高性能计算(High-Performance Computing，以下简称：HPC)属于分布式计算系统，用于统筹分散的硬件、软件和数据资源，通过软件实现资源共享。为了达到最高性能，HPC资源通常以裸金属的形式为应用开放，用户数据的安全依赖于文件系统中文件访问权限的设置。在HPC系统中，root为超级用户。Root用户可以访问到任何系统中的数据，所以在HPC系统中，通常任何用户都不能有root的权限，尤其在把高性能计算作为服务提供给多个用户时(如超算中心)，这个限制尤其重要。

Docker是容器技术中生态最健壮的一款开源产品，用户可以从公网上下载众多的应用容器，省去了应用部署、安装、和应用环境设置的开销。众多的人工智能框架都以Docker容器的方式封装，便于用户下载使用。出于性能考虑，Docker容器在HPC环境中一般不使用虚拟网络，而Docker容器必须以root的方式运行，即在Docker容器里的用户可以有root的权限。所以HPC环境中运行Docker容器后，容器里的用户可以以root形式挂载HPC的共享文件系统，从而就可访问HPC环境中所有用户的数据。这种安全隐患导致一般的HPC环境种禁止使用Docker容器，使得很多以Docker容器方式封装的人工智能应用无法在HPC环境种运行。

目前，市场上常用的HPC任务调度器调度Docker容器任务后，容器里的用户都可拥有root权限。同时，由于用户下载容器镜像、和把容器镜像存入本地镜像仓库等操作都需要root权限，导致在多租户的HPC环境中难以使用Docker容器。

申请内容

本申请实施例的目的是提供一种运行Docker容器任务的方法和任务调度器，以解决在多租户的HPC环境中难以使用Docker容器的缺陷。

为了解决上述技术问题，本申请是这样实现的：

第一方面，提供了一种运行Docker容器任务的方法，应用于包括管理节点和计算节点的系统，所述管理节点上运行有任务调度器，所述任务调度器的服务以root超级用户身份运行，所述方法包括以下步骤：

所述任务调度器接收与Docker容器相关的任务递交命令；

所述任务调度器对所述Docker容器内的用户进行认证；

在对所述用户认证通过的情况下，所述任务调度器将所述任务递交命令对应的Docker容器任务调度到所述计算节点的任务执行管理服务中，通过所述任务执行管理服务以限权方式运行所述Docker容器任务。

第二方面，提供了一种任务调度器，应用于包括管理节点和计算节点的系统，所述管理节点上运行有所述任务调度器，所述任务调度器的服务以root超级用户身份运行，所述任务调度器包括：

接收模块，用于接收与Docker容器相关的任务递交命令；

认证模块，用于对所述Docker容器内的用户进行认证；