2. 专利
  3. 容器迁移方法和装置与流程

容器迁移方法和装置与流程

专利2022-05-10  27


1.本技术涉及容器技术领域,具体涉及一种容器迁移方法和装置。


背景技术:

2.对容器进行攻击的主要攻击方式包括:基于承载容器的服务器的操作系统的各类漏洞,对容器进行攻击,由于不同的操作系统的漏洞各不相同,对应的容器安全防护的方式也各不相同。目前的容器安全防护主要包括:当安全检测系统检测到恶意行为时,需要通过改变容器的网络配置的方式来阻止攻击;或,通过手动删除该容器,并在同一个阶段内重新创建一台新的容器的方式来阻止攻击。
3.但是,改变容器的网络配置,需要对该容器相关的负载均衡配置信息进行调整,影响范围较大,且调整后仍然使用同样的操作环境,攻击者仍然可以利用原操作系统的漏洞对该容器进行攻击,无法实现对容器攻击的防护。而手动删除受到攻击的容器,易导致可使用的容器的数量减少,降低数据的处理效率。


技术实现要素:

4.为此,本技术提供一种容器迁移方法和装置,以解决对容器进行安全防护,并提升数据的处理效率的问题。
5.为了实现上述目的,本技术第一方面提供一种容器迁移方法,方法包括:
6.获取预设容器的属性信息、待迁移容器的数量和待迁移容器的属性信息;
7.依据预设容器的属性信息和待迁移容器的数量,预测待迁移容器的存活时间阈值;
8.依据待迁移容器的属性信息对预设物理主机集合中的主机进行筛选,获得目标物理主机,目标物理主机对应的操作系统与待迁移容器对应的操作系统不同;
9.依据待迁移容器的存活时间阈值和获取到的待迁移容器的实际存活时间,将待迁移容器中的数据迁移至目标物理主机。
10.在一些具体实现中依据待迁移容器的存活时间阈值和获取到的待迁移容器的实际存活时间,将待迁移容器中的数据迁移至目标物理主机,包括:
11.在确定待迁移容器的实际存活时间大于存活时间阈值的情况下,获取镜像容器,镜像容器是预先配置的、具有目标物理主机对应的操作系统的容器;
12.将待迁移容器中的数据迁移至目标物理主机的镜像容器中。
13.在一些具体实现中,预设容器的属性信息,包括:平均攻击时长和第一迁移时长;
14.平均攻击时长是对预设容器集群中的各个预设容器进行统计,获得预设容器受到网络攻击的平均时长,
15.第一迁移时长是依据预设处理能力对预设容器中的数据进行迁移所获得的时长。
16.在一些具体实现中,依据预设容器的属性信息和待迁移容器的数量,预测待迁移容器的存活时间,包括:
17.依据待迁移容器的数量对多个待迁移容器进行排序,获得每个待迁移容器对应的编号;
18.依据第一迁移时长和每个待迁移容器对应的编号,预测每个待迁移容器对应的第二迁移时长;
19.依据平均攻击时长和每个第二迁移时长,确定每个待迁移容器的存活时间阈值。
20.在一些具体实现中,待迁移容器的属性信息,包括:待查找操作系统标识和待匹配资源数量,待查找操作系统标识是待迁移容器所属物理主机对应的操作系统的标识;待匹配资源数量是待迁移容器在运行时所需的资源数量;
21.依据待迁移容器的属性信息对预设物理主机集合中的主机进行筛选,获得目标物理主机,包括:
22.依据待查找操作系统标识查找预设物理主机集合,获得初步筛选主机集合;
23.实时对初步筛选主机集合中的各个物理主机的剩余资源进行统计,获得资源统计结果;
24.依据资源统计结果和待匹配资源数量,确定目标物理主机。
25.在一些具体实现中,资源统计结果,包括:初步筛选主机集合中的各个物理主机对应的剩余资源数量;
26.依据资源统计结果和待匹配资源数量,确定目标物理主机,包括:
27.将待匹配资源数量分别与初步筛选主机集合中的各个物理主机对应的剩余资源数量进行对比,获得对比结果;
28.在确定对比结果为目标物理主机的剩余资源数量满足待匹配资源数量的情况下,获得目标物理主机。
29.在一些具体实现中,将待匹配资源数量分别与初步筛选主机集合中的各个物理主机对应的剩余资源数量进行对比,获得对比结果之后,还包括:
30.在确定对比结果为初步筛选主机集合中的各个物理主机对应的剩余资源数量均不能满足待匹配资源数量的情况下,生成告警信息;
31.发送告警消息至管理设备。
32.在一些具体实现中,将待匹配资源数量分别与初步筛选主机集合中的各个物理主机对应的剩余资源数量进行对比,获得对比结果之后,还包括:
33.获取待迁移容器受到的网络攻击的严重程度;
34.依据待迁移容器受到的网络攻击的严重程度和预设程度阈值,判断是否需要进行容器重建;
35.在确定需要进行容器重建的情况下,发送容器重建消息至管理设备,以使管理设备依据待查找操作系统标识和待匹配资源数量,创建新容器,新容器用于承载待迁移容器中的数据。
36.在一些具体实现中,依据待迁移容器的属性信息对预设物理主机集合中的主机进行筛选,获得目标物理主机之后,还包括:
37.在确定待迁移容器处于被攻击状态的情况下,将待迁移容器中的数据迁移至目标物理主机。
38.在一些具体实现中,待迁移容器的属性信息,还包括:待迁移容器的标识和/或待
迁移容器的网络地址。
39.为了实现上述目的,本技术第二方面提供一种容器迁移装置,其包括:
40.获取模块,被配置为获取预设容器的属性信息、待迁移容器的数量和待迁移容器的属性信息;
41.预测模块,被配置为依据预设容器的属性信息和待迁移容器的数量,预测待迁移容器的存活时间阈值;
42.确定模块,被配置为依据待迁移容器的属性信息对预设物理主机集合中的主机进行筛选,获得目标物理主机,目标物理主机对应的操作系统与待迁移容器对应的操作系统不同;
43.迁移模块,被配置为依据待迁移容器的存活时间阈值和获取到的待迁移容器的实际存活时间,将待迁移容器中的数据迁移至目标物理主机。
44.本技术中的容器迁移方法和装置,通过依据预设容器的属性信息和待迁移容器的数量,预测待迁移容器的存活时间阈值,可提前为待迁移容器准备数据迁移所需的资源,无需立即删除受到攻击的容器,保证可用容器的数量在预设范围内,提升数据的处理效率;依据待迁移容器的属性信息对预设物理主机集合中的主机进行筛选,获得目标物理主机,该目标物理主机对应的操作系统与待迁移容器对应的操作系统不同,能够避免攻击者利用原操作系统的漏洞对待迁移容器进行攻击,提升待迁移容器的安全性;依据待迁移容器的存活时间阈值和获取到的待迁移容器的实际存活时间,将待迁移容器中的数据迁移至目标物理主机,提高待迁移容器的安全防护水平,防止关键信息的泄露。
附图说明
45.附图用来提供对本公开实施例的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开,并不构成对本公开的限制。通过参考附图对详细示例实施例进行描述,以上和其它特征和优点对本领域技术人员将变得更加显而易见,在附图中:
46.图1示出本技术一实施例提供的容器迁移方法的流程示意图。
47.图2示出本技术又一实施例提供的容器迁移方法的流程示意图。
48.图3示出本技术实施例提供的容器迁移装置的组成方框图。
49.图4示出本技术实施例提供的容器迁移系统的组成方框图。
50.图5示出本技术实施例提供的容器迁移系统的工作方法流程图。
51.在附图中:
52.301:获取模块
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
302:预测模块
53.303:确定模块
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
304:迁移模块
54.410:容器迁移装置
ꢀꢀꢀꢀꢀꢀꢀꢀ
420:管理设备
55.430:待迁移容器
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
440:目标物理主机
56.441:镜像容器
具体实施方式
57.以下结合附图对本技术的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本技术,并不用于限制本技术。对于本领域技术人员
来说,本技术可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本技术的示例来提供对本技术更好的理解。
58.需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括
……”
限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
59.为使本技术的目的、技术方案和优点更加清楚,下面将结合附图对本技术实施方式作进一步地详细描述。
60.图1示出本技术一实施例提供的容器迁移方法的流程示意图。该方法可应用于容器迁移装置。如图1所示,该容器迁移方法包括如下步骤:
61.步骤s101,获取预设容器的属性信息、待迁移容器的数量和待迁移容器的属性信息。
62.其中,待迁移容器的属性信息用于表征待迁移容器在运行时的相关参数,以及待迁移容器对应的相关配置信息。预设容器的属性信息用于表征容器迁移装置对容器进行预处理所获得的相关参数信息,例如,预设容器受到网络攻击的平均时长等。
63.步骤s102,依据预设容器的属性信息和待迁移容器的数量,预测待迁移容器的存活时间阈值。
64.其中,待迁移容器的存活时间阈值可以是预测的待迁移容器能够存活的最大存活时间长度。通过该存活时间阈值能够预估待迁移容器可能受到网络估计的时间,以提前为待迁移容器准备数据迁移所需的资源,保证待迁移容器中的数据的安全性。
65.步骤s103,依据待迁移容器的属性信息对预设物理主机集合中的主机进行筛选,获得目标物理主机。
66.其中,目标物理主机对应的操作系统与待迁移容器对应的操作系统不同。
67.例如,待迁移容器对应的操作系统为第一操作系统,而目标物理主机对应的操作系统为第二操作系统,两个操作系统不同,能够避免攻击者利用原操作系统(即第一操作系统)的漏洞对待迁移容器进行攻击,提升待迁移容器的安全性。
68.步骤s104,依据待迁移容器的存活时间阈值和获取到的待迁移容器的实际存活时间,将待迁移容器中的数据迁移至目标物理主机。
69.其中,存活时间阈值可以是预设的时间长度,该存活时间阈值能够保证数据迁移的完整性,提前对可能存在安全隐患的待迁移容器进行数据迁移。
70.例如,在确定待迁移容器的实际存活时间大于其存活时间阈值的情况下,将待迁移容器中的数据迁移至目标物理主机,可避免待迁移容器中的数据的丢失,保证待迁移容器中的数据的安全性。
71.在本实施例中,通过依据预设容器的属性信息和待迁移容器的数量,预测待迁移容器的存活时间阈值,可提前为待迁移容器准备数据迁移所需的资源,无需立即删除受到攻击的容器,保证可用容器的数量在预设范围内,提升数据的处理效率;依据待迁移容器的属性信息对预设物理主机集合中的主机进行筛选,获得目标物理主机,该目标物理主机对应的操作系统与待迁移容器对应的操作系统不同,能够避免攻击者利用原操作系统的漏洞
对待迁移容器进行攻击,提升待迁移容器的安全性;依据待迁移容器的存活时间阈值和获取到的待迁移容器的实际存活时间,将待迁移容器中的数据迁移至目标物理主机,提高待迁移容器的安全防护水平,防止关键信息的泄露。
72.图2示出本技术一实施例提供的容器迁移方法的流程示意图。该方法可应用于容器迁移装置。如图2所示,该容器迁移方法包括如下步骤:
73.步骤s201,获取预设容器的属性信息、待迁移容器的数量和待迁移容器的属性信息。
74.其中,预设容器的属性信息,包括:平均攻击时长和第一迁移时长;平均攻击时长是对预设容器集群中的各个预设容器进行统计,获得预设容器受到网络攻击的平均时长,第一迁移时长是依据预设处理能力对预设容器中的数据进行迁移所获得的时长。
75.例如,对预设容器集群中的m个预设容器进行统计,获得m个预设容器从其被创建到预设容器首次受到网络攻击的时长,则将m个时长相加所获得的和值与m相除,可获得预设容器受到网络攻击的平均时长。
76.其中,m为大于或等于1的整数。预设处理能力是容器迁移装置对数据的处理能力,能够表征容器迁移装置的性能情况,按照预设处理能力对预设容器中的数据进行迁移,并从数据开始迁移进行计时,在确定预设容器中的数据全部迁移完成的情况下,停止计时,可获得第一迁移时长。
77.通过平均攻击时长和第一迁移时长能够表征容器迁移装置对预设容器的处理情况,获取参考信息,以方便后续对待迁移容器进行处理。
78.在一些具体实现中,待迁移容器的属性信息,还包括:待迁移容器的标识和/或待迁移容器的网络地址。
79.例如,待迁移容器的网络地址可以是互联网协议地址(internet protocol address,ip地址),也可以是在某个局域网中,为待迁移容器分配的私有地址,或私有编号等地址信息。以上对于待迁移容器的网络地址仅是举例说明,可根据实际情况进行具体设定,其他未说明的待迁移容器的网络地址也在本技术的保护范围之内,在此不再赘述。
80.在一些具体实现中,待迁移容器的属性信息,包括:待查找操作系统标识、待匹配资源数量,待迁移容器的标识和待迁移容器的网络地址中的任意一种或多种。
81.通过多维度的信息,表征待迁移容器的属性信息,能够全面衡量待迁移容器的性能,为该待迁移容器中的数据的迁移做好准备,保证待迁移容器中的数据的安全性。
82.步骤s202,依据预设容器的属性信息和待迁移容器的数量,预测待迁移容器的存活时间阈值。
83.其中,待迁移容器的属性信息,包括:待查找操作系统标识和待匹配资源数量,待查找操作系统标识是待迁移容器所属物理主机对应的操作系统的标识;待匹配资源数量是待迁移容器在运行时所需的资源数量。
84.在一些具体实现中,依据预设容器的属性信息和待迁移容器的数量,预测待迁移容器的存活时间阈值,包括:依据待迁移容器的数量对多个待迁移容器进行排序,获得每个待迁移容器对应的编号;依据第一迁移时长和每个待迁移容器对应的编号,预测每个待迁移容器对应的第二迁移时长;依据平均攻击时长和每个第二迁移时长,确定每个待迁移容器的存活时间阈值。
85.例如,可对多个待迁移容器进行升序或降序排列,获得每个待迁移容器对应的编号,该编号用于表征当前待迁移容器在多个待迁移容器中的位置信息。
86.例如,可设定容器编号与第二迁移时长成正比,容器编号每递增一,则第二迁移时长增加一个第一迁移时长,以使各个待迁移容器的存活时间阈值不同,避免同一业务系统中的多个待迁移容器同时进行数据迁移,保证容器迁移装置能够处理。
87.步骤s203,依据待迁移容器的属性信息对预设物理主机集合中的主机进行筛选,获得目标物理主机。
88.需要说明的是,本实施例中的步骤s203与上一实施例中的步骤s103相同,在此不再赘述。
89.步骤s204,在确定待迁移容器的实际存活时间大于存活时间阈值的情况下,获取镜像容器。
90.其中,镜像容器是预先配置的、具有目标物理主机对应的操作系统的容器。
91.例如,目标物理主机可以包括镜像容器,或,该镜像容器也可以是镜像仓库中的某个容器。
92.其中,镜像仓库包括多个不同操作系统下的镜像容器,该镜像仓库是预先设定的、为待迁移容器做的备份容器,以保证待迁移容器在完成数据迁移后,可持续工作,保证待迁移容器中的数据的安全性。
93.步骤s205,将待迁移容器中的数据迁移至目标物理主机的镜像容器中。
94.其中,镜像容器有对应的自己的ip地址,通过目标物理主机与容器迁移装置之间的信息交互,可使容器迁移装置同时获知镜像容器的ip地址,以及待迁移容器的ip地址;然后,容器迁移装置以待迁移容器的ip地址为源地址,以镜像容器的ip地址为目标地址,将待迁移容器中的数据迁移至镜像容器中,避免待迁移容器中的数据不被破坏或丢弃,提升数据安全性。
95.本技术实施例提供了另一种可能的实现方式,步骤s203中的依据待迁移容器的属性信息对预设物理主机集合中的主机进行筛选,获得目标物理主机,包括:依据待查找操作系统标识查找预设物理主机集合,获得初步筛选主机集合;实时对初步筛选主机集合中的各个物理主机的剩余资源进行统计,获得资源统计结果;依据资源统计结果和待匹配资源数量,确定目标物理主机。
96.其中,预设物理主机集合包括多个预设物理主机,每个预设物理主机对应的操作系统都不同。可将待查找操作系统标识作为查找标识,获得预设物理主机集合中与该待查找操作系统标识不同的预设物理主机,并将这些与该待查找操作系统标识不同的预设物理主机作为初步筛选主机集合中的初步筛选主机。
97.能够删除与待查找操作系统标识相同的预设物理主机,避免攻击者利用原操作系统(即,待迁移容器对应的待查找操作系统)的漏洞对待迁移容器进行攻击,提升待迁移容器的安全性。
98.在一些具体实现中,资源统计结果,包括:初步筛选主机集合中的各个物理主机对应的剩余资源数量;依据资源统计结果和待匹配资源数量,确定目标物理主机,包括:将待匹配资源数量分别与初步筛选主机集合中的各个物理主机对应的剩余资源数量进行对比,获得对比结果;在确定对比结果为目标物理主机的剩余资源数量满足待匹配资源数量的情
况下,获得目标物理主机。
99.例如,待匹配资源数量为5,若确定目标物理主机的剩余资源数量大于或等于5,则表征目标物理主机的剩余资源数量能够满足待迁移容器在进行数据迁移时的待匹配资源数量,从而获得目标物理主机,保证数据迁移能够安全准确的进行。
100.本技术实施例提供了另一种可能的实现方式,其中,在将待匹配资源数量分别与初步筛选主机集合中的各个物理主机对应的剩余资源数量进行对比,获得对比结果之后,还包括:
101.在确定对比结果为初步筛选主机集合中的各个物理主机对应的剩余资源数量均不能满足待匹配资源数量的情况下,生成告警信息;发送告警消息至管理设备。
102.其中,告警信息可以包括待迁移容器遭受到网络攻击的标识、待迁移容器的标识、待迁移容器的ip地址和待迁移容器受到的网络攻击的严重程度中的任意一种或多种。
103.通过将包括多维度信息的告警消息发送至管理设备,以使管理设备能够对待迁移容器的当前状态进行全面衡量,并根据告警信息对待迁移容器中的数据进行及时处理,以确保待迁移容器中的数据的安全性。
104.本技术实施例提供了另一种可能的实现方式,其中,在将待匹配资源数量分别与初步筛选主机集合中的各个物理主机对应的剩余资源数量进行对比,获得对比结果之后,还包括:
105.获取待迁移容器受到的网络攻击的严重程度;依据待迁移容器受到的网络攻击的严重程度和预设程度阈值,判断是否需要进行容器重建;在确定需要进行容器重建的情况下,发送容器重建消息至管理设备,以使管理设备依据待查找操作系统标识和待匹配资源数量,创建新容器。
106.其中,新容器用于承载待迁移容器中的数据。待迁移容器受到的网络攻击的严重程度可以划分为多个等级,例如,严重程度可以包括初级攻击、中级攻击和高级攻击中的任意一种或多种。
107.初级攻击表征待迁移容器受到的网络攻击较轻微,不会对迁移容器中的数据造成伤害,无需进行数据迁移,但需要加强待迁移容器的防护,可配置相关的防护方式,以进行数据防守。
108.中级攻击表征待迁移容器受到的网络攻击会造成部分数据的丢失或破坏部分数据;而高级攻击表征待迁移容器受到的网络攻击会造成全部数据的丢失或破坏全部数据。
109.可设定预设程度阈值为5,而初级攻击对应的攻击值为3,中级攻击对应的攻击值为6,高级攻击对应的攻击值为9。在确定待迁移容器受到的网络攻击的严重程度为中级攻击或高级攻击的情况下,即攻击值大于5的情况下,需要进行容器重建的情况下,发送容器重建消息至管理设备,以使管理设备依据待查找操作系统标识和待匹配资源数量,创建新容器。
110.通过预设程度阈值来对待迁移容器受到的网络攻击的严重程度进行判断,对依据判断结果对待迁移容器进行不同等级的防护,并在确定待迁移容器受到的网络攻击的严重程度为中级攻击或高级攻击的情况下,使用管理设备依据待查找操作系统标识和待匹配资源数量,创建新容器,使该新容器能够承载待迁移容器中的数据,避免数据被攻击者破坏,保证数据的安全性。
111.在一些具体实现中,在执行完步骤s203中的依据待迁移容器的属性信息对预设物理主机集合中的主机进行筛选,获得目标物理主机之后,还包括:
112.在确定待迁移容器处于被攻击状态的情况下,将待迁移容器中的数据迁移至目标物理主机。
113.需要说明的是,如果待迁移容器已经处于被攻击状态,则需要立即将待迁移容器中的数据迁移至目标物理主机,该目标物理主机可以事先选取好的,用作待迁移容器的备份容器所在的物理主机。实时保证待迁移容器中的数据的安全性。
114.图3示出本技术实施例提供的容器迁移装置的组成方框图。如图3所示,该容器迁移装置具体包括如下模块:
115.获取模块301,被配置为获取预设容器的属性信息、待迁移容器的数量和待迁移容器的属性信息。
116.预测模块302,被配置为依据预设容器的属性信息和待迁移容器的数量,预测待迁移容器的存活时间阈值。
117.确定模块303,被配置为依据待迁移容器的属性信息对预设物理主机集合中的主机进行筛选,获得目标物理主机,目标物理主机对应的操作系统与待迁移容器对应的操作系统不同。
118.迁移模块304,被配置为依据待迁移容器的存活时间阈值和获取到的待迁移容器的实际存活时间,将待迁移容器中的数据迁移至目标物理主机。
119.在本实施方式中,通过预测模块依据预设容器的属性信息和待迁移容器的数量,预测待迁移容器的存活时间阈值,可提前为待迁移容器准备数据迁移所需的资源,无需立即删除受到攻击的容器,保证可用容器的数量在预设范围内,提升数据的处理效率;使用确定模块依据待迁移容器的属性信息对预设物理主机集合中的主机进行筛选,获得目标物理主机,该目标物理主机对应的操作系统与待迁移容器对应的操作系统不同,能够避免攻击者利用原操作系统的漏洞对待迁移容器进行攻击,提升待迁移容器的安全性;使用迁移模块依据待迁移容器的存活时间阈值和获取到的待迁移容器的实际存活时间,将待迁移容器中的数据迁移至目标物理主机,提高待迁移容器的安全防护水平,防止关键信息的泄露。
120.值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本技术的创新部分,本实施方式中并没有将与解决本技术所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
121.图4示出本技术实施例提供的容器迁移系统的组成方框图。如图4所示,该容器迁移系统包括如下设备:
122.容器迁移装置410、管理设备420、待迁移容器430和目标物理主机440;其中,目标物理主机440包括:镜像容器441。
123.其中,容器迁移装置410用于在确定待迁移容器430受到网络攻击的情况下,依据存活时间阈值和获取到的待迁移容器430的实际存活时间,将待迁移容器430中的数据迁移至目标物理主机440中的镜像容器441。
124.其中,管理设备420用于对容器迁移装置410发送的告警消息和/或容器重建消息
进行响应,以确定是否需要将收到网络攻击的待迁移容器430进行删除,或,是否需要依据待迁移容器的属性信息(例如,待查找操作系统标识和待匹配资源数量)创建新容器,以使该新容器可以承载待迁移容器430中的数据。
125.待迁移容器430是可能或正在受到网络攻击的容器,为了避免待迁移容器430中的数据被破坏,需要将待迁移容器430中的数据进行迁移。具体实现时,待迁移容器430可以是一个容器,也可以包括多个容器。
126.目标物理主机440中的镜像容器441对应的操作系统与待迁移容器430对应的操作系统不同。
127.需要说明的是,对于安全要求级别较高的业务系统在创建容器集群时,不仅需要创建与待迁移容器430对应的操作系统相同的镜像容器,还需要创建多个不同操作系统下的镜像容器,由各个不同操作系统下镜像容器组成镜像仓库。以使待迁移容器430可以有多个备份容器,保证待迁移容器430中的数据的安全性。
128.图5示出本技术实施例提供的容器迁移系统的工作方法流程图。如图5所示,容器迁移系统的工作方法包括如下步骤:
129.步骤s501,目标物理主机440将镜像容器441的属性信息以及目标物理主机440的属性信息发送至容器迁移装置410。
130.例如,镜像容器441的属性信息可以包括:镜像容器441的容器编号、镜像容器441的所在物理主机的操作系统的编号,镜像容器441的最大存活时间,镜像容器441在运行时所需的资源数量,镜像容器441的ip地址中的任意一种或多种。
131.需要说明的是,在确定容器集群被创建成功的情况下,容器迁移装置410可获知该容器集群中的各台容器的属性信息。例如,第i台容器的属性信息可表示为:(n
i
,o
i
,t
i
,,r
i
,ip
i
),其中,n
i
表示第i台容器编号,o
i
表示第i台容器所在物理主机的操作系统的编号,t
i
表示第i台容器的最大存活时间,r
i
表示第i台容器在运行时所需的资源数量,ip
i
表示第i台容器的ip地址。
132.容器迁移装置410还可以获得镜像仓库中各个物理主机的属性信息。例如,各个物理主机的属性信息可表示为:(n
i
,o
i
),其中,n
i
表示第i台物理主机的编号,o
i
表示第i台物理主机对应的操作系统的编号。
133.步骤s502,为避免同一业务系统中的多台容器同时进行数据迁移,需要确定不同的容器对应不同的初始时长。
134.例如,对预设容器集群中的m个预设容器进行统计,获得第j个预设容器从其被创建到预设容器首次受到网络攻击的时长为a
j
,则预设容器集群中的预设容器受到网络攻击的平均时长采用公式(1)所示:
[0135][0136]
其中,j为大于或等于1,且小于或等于m的整数,m为大于或等于1的整数。
[0137]
可将该平均时长t1作为预设容器的初始时长,然后,按照预设处理能力对预设容器中的数据进行迁移,获得第一迁移时长δt。
[0138]
依据待迁移容器的数量n对多个待迁移容器进行排序,获得每个待迁移容器对应的编号i,则预计预设处理能力,可预测获得第i台待迁移容器对应的第二迁移时长为(i

1)
δt;第i台待迁移容器的最大存活时间t
i
采用公式(2)表示:
[0139]
t
i
=t1 (i

1)δt
ꢀꢀꢀ
(2)
[0140]
需要说明的是,针对不同的待迁移容器430,会配置对应的安全检测方式,例如,在入侵检测系统(intrusion detection systems,ids)中,会针对每个待迁移容器430配置告警策略,在确定待迁移容器430受到恶意攻击或不正常的消息交互的情况下,待迁移容器430会反馈告警消息至容器迁移装置410,以使容器迁移装置410能够及时对待迁移容器430进行处理(例如,将待迁移容器430中的数据迁移至目标物理主机440。
[0141]
在一些具体实现中,还可以根据待迁移容器的最大存活时间(例如,存活时间阈值)和该待迁移容器已经存活的时间,确定是否对待迁移容器430中的数据进行迁移,例如,在确定待迁移容器430已经存活的时间大于其最大存活时间的情况下,执行步骤s503。
[0142]
步骤s503,发送数据迁移请求至容器迁移装置410。
[0143]
步骤s504,容器迁移装置410接收到数据迁移请求后,通过对数据迁移请求进行消息解析,获得待迁移容器430的容器编号n
i
、待迁移容器430所在物理主机的操作系统的编号o
i
(即待查找操作系统标识)和待迁移容器430在运行时所需的资源数量r
i
。然后,依据待查找操作系统标识查找预设物理主机集合,获得初步筛选主机集合;并实时述初步筛选主机集合中的各个物理主机的剩余资源进行统计,选择剩余资源最大的物理主机作为备选物理主机,再将备选物理主机的剩余资源数量和待迁移容器430在运行时所需的资源数量r
i
进行对比,依据该对比结果,获得目标物理主机。
[0144]
例如,在确定备选物理主机的剩余资源数量能够满足待迁移容器430在运行时所需的资源数量r
i
的情况下,确定该备选物理主机为目标物理主机(例如,目标物理主机430),并执行步骤s505~步骤s506;否则,执行步骤s507。
[0145]
步骤s505,容器迁移装置410与目标物理主机440进行交互,获取目标物理主机440中的镜像容器441。
[0146]
例如,容器迁移装置410发送获取请求至目标物理主机440,以获取目标物理主机440反馈的镜像容器441的ip地址。
[0147]
在一些具体实现中,镜像容器441也可以是镜像仓库中的一个镜像容器,容器迁移装置410可以通过从镜像仓库中拉取镜像容器441的方式,获得所需的镜像容器441的ip地址。
[0148]
步骤s506,在获得镜像容器441的ip地址之后,容器迁移装置410将待迁移容器430中的数据迁移至镜像容器441中。
[0149]
步骤s507,在确定备选物理主机的剩余资源数量不能满足待迁移容器430在运行时所需的资源数量r
i
的情况下,容器迁移装置410需要依据获取到的待迁移容器430受到的网络攻击的严重程度和预设程度阈值,判断是否需要进行容器重建;并在确定需要进行容器重建的情况下,发送容器重建消息至管理设备420。
[0150]
步骤s508,管理设备420响应于容器迁移装置410发送的容器重建消息,依据待查找操作系统标识(例如,待迁移容器430所在物理主机的操作系统的编号o
i
)和待匹配资源数量(例如,待迁移容器430在运行时所需的资源数量r
i
),创建新容器(图中未示出),并将新容器的ip地址反馈给容器迁移装置410,以使容器迁移装置410能够将待迁移容器430中的数据迁移至新容器中。
[0151]
需要说明的是,新容器的相关参考可采用如下方式进行设置:使用新的编号更新新容器的容器编号n
i
和该新容器所在物理主机的操作系统的编号o
i
;同时,设置该新容器的最大存活时间与待迁移容器430的最大存活时间t
i
相同;设置新容器在运行时所需的资源数量与待迁移容器430的在运行时所需的资源数量r
i
相同;设置新容器的ip地址与待迁移容器430的ip地址ip
i
相同。
[0152]
在本实施例中,通过依据预设容器的属性信息和待迁移容器的数量,预测待迁移容器的最大存活时间,可提前为待迁移容器准备数据迁移所需的资源,无需立即删除受到攻击的容器,保证可用容器的数量在预设范围内,提升数据的处理效率;依据待迁移容器的属性信息对预设物理主机集合中的主机进行筛选,获得目标物理主机,该目标物理主机对应的操作系统与待迁移容器对应的操作系统不同,能够避免攻击者利用原操作系统的漏洞对待迁移容器进行攻击,提升待迁移容器的安全性;依据待迁移容器的存活时间阈值和获取到的待迁移容器的实际存活时间,将待迁移容器中的数据迁移至目标物理主机,提高待迁移容器的安全防护水平,防止关键信息的泄露。
[0153]
可以理解的是,以上实施方式仅仅是为了说明本技术的原理而采用的示例性实施方式,然而本技术并不局限于此。对于本领域内的普通技术人员而言,在不脱离本技术的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本技术的保护范围。
转载请注明原文地址:https://doc.8miu.com/read-1719114.html

专利

最新回复(0)