一种基于Ceph的安全容器Rootfs构建和限额方法与流程

本发明涉及属于it与软件开发领域，特别涉及一种基于ceph的安全容器rootfs构建和限额方法。

背景技术：

1、不同于传统容器，安全容器在创建之前需要创建一台虚拟机，然后在虚拟机内部创建容器。通过这种增加虚拟化层的方式来达成内核级别的隔离，防止利用内核漏洞进行容器逃逸攻击，从而具有更好的隔离性、安全性。

2、从安全性的角度出发，对安全容器rootfs限额是十分有必要的，能够避免单个容器大量消耗物理机本地存储资源，从而影响物理机上的其它容器以及服务的可用性。传统容器的限额手段有prjquota和devicemapper两种方式，然而这两种限额方式，容器rootfs仍然使用物理机的本地存储，单台物理机上的安全容器部署密度不可避免地受限于本地存储空间大小，因此，需要一种基于ceph的安全容器rootfs构建和限额方法，来解决这一问题。

技术实现思路

1、本发明的目的在于提供一种基于ceph的安全容器rootfs构建和限额方法，以解决上述背景技术中提出的问题。

2、为实现上述目的，本发明提供如下技术方案：一种基于ceph的安全容器rootfs构建和限额方法，所述构建和限额方法包括以下几个步骤；

3、第一步，准备只读层，将容器镜像分为多层layer，将所有的目录先进行一次overlayfs联合挂载，得到的目录作为只读层；

4、第二步，准备可写层，创建rbdimage、映射rbd块设备和格式化创建文件系统，并在文件系统下创建空目录，整个rbd块设备视为可写层；

5、第三步，共享只读层，通过virtiof-fs，将由所有镜像layer目录联合挂载得到的只读层目录，通过virtio-fs从物理机共享到虚拟机内部；

6、第四步，添加可写层设备，将rbd块设备作为virtio-blk后端设备，向虚拟机添加虚拟块设备，接着在虚拟机内部挂载设备，得到可写层的空目录；

7、第五步，在虚拟机内部联合挂载，此时虚拟机已经拥有只读层目录和可写层目录，将两者进行最后的overlayfs联合挂载，形成容器rootfs。

8、优选的，所述rootfs分为只读层和可写层，所述只读层存储在物理机本地，所述可写层存储在指定大小的rbdimage中。

9、优选的，所述第一步中的overlayfs联合挂载包括准备文件系统层、创建临时目录、执行联合挂载和访问联合文件系统；

10、所述准备文件系统层包括底层文件系统和顶层文件系统；

11、所述创建临时目录挂载联合文件系统。

12、优选的，所述第二步中的创建rbdimage包括创建rbd镜像、映射rbd镜像到主机、格式化和挂载rbd镜像和使用rbd镜像；

13、所述创建rbd镜像包括指定要创建的镜像的名称、大小以和所属的池；

14、所述映射rbd镜像到主机能够访问镜像的数据。

15、优选的，所述第三步中的virtio-fs从物理机共享到虚拟机内部。

16、优选的，所述第四步中的virtio-blk向虚拟机添加虚拟块设备提供块设备访问，且改善虚拟机中的存储性能。

17、优选的，所述物理机本地包括物理服务器、操作系统、应用程序、物理硬件资源、硬件驱动程序、管理和维护、备份和灾难恢复；

18、所述物理服务器包括处理器、内存、存储设备和网络接口；

19、所述操作系统安装在物理服务器上；

20、所述应用程序安装在物理服务器上，与操作系统一起运行；

21、所述物理机本地通过应用程序直接访问这些硬件资源，以实现最佳性能。

22、优选的，所述物理硬件资源包括如处理器核心、内存容量、存储设备容量、网络带宽。

23、优选的，所述物理机本地通过硬件驱动程序，使操作系统与物理硬件之间进行兼容，所述备份和灾难恢复策略通过在物理机本地部署中进行规划和实施。

24、优选的，所述容器rootfs包括基本操作系统文件、应用程序文件、库文件、配置文件、用户和权限设置、可定制性、容器镜像元数据、层叠文件系统；

25、所述基本操作系统文件包括操作系统内核、系统库、系统工具、基本的系统文件；

26、所述配置文件用于设置容器运行时环境和应用程序。

27、本发明的技术效果和优点：

28、本发明利用安全容器在运行过程中对容器rootfs的数据修改会存储到指定大小的rbdimage中，不再占用本地的存储空间，这样一来在实现安全容器rootfs限额的同时，使得安全容器的部署密度不再受限于本地存储空间的大小，同时考虑到virtio-fs共享目录的性能不足的问题，对可写层的性能进行了优化：通过读写性能更优的virtio-blk技术，将可写层块设备作为virtio-blk后端设备，向虚拟机添加虚拟块设备，以此提升可写层的性能。这样一来需要在虚拟机内部进行一次联合挂载，完成容器rootfs的构建。

技术特征：

1.一种基于ceph的安全容器rootfs构建和限额方法，其特征在于，所述构建和限额方法包括以下几个步骤；

2.根据权利要求1所述的一种基于ceph的安全容器rootfs构建和限额方法，其特征在于，所述rootfs分为只读层和可写层，所述只读层存储在物理机本地，所述可写层存储在指定大小的rbdimage中。

3.根据权利要求1所述的一种基于ceph的安全容器rootfs构建和限额方法，其特征在于，所述第一步中的overlayfs联合挂载包括准备文件系统层、创建临时目录、执行联合挂载和访问联合文件系统；

4.根据权利要求1所述的一种基于ceph的安全容器rootfs构建和限额方法，其特征在于，所述第二步中的创建rbdimage包括创建rbd镜像、映射rbd镜像到主机、格式化和挂载rbd镜像和使用rbd镜像；

5.根据权利要求1所述的一种基于ceph的安全容器rootfs构建和限额方法，其特征在于，所述第三步中的virtio-fs从物理机共享到虚拟机内部。

6.根据权利要求1所述的一种基于ceph的安全容器rootfs构建和限额方法，其特征在于，所述第四步中的virtio-blk向虚拟机添加虚拟块设备提供块设备访问，且改善虚拟机中的存储性能。

7.根据权利要求2所述的一种基于ceph的安全容器rootfs构建和限额方法，其特征在于，所述物理机本地包括物理服务器、操作系统、应用程序、物理硬件资源、硬件驱动程序、管理和维护、备份和灾难恢复；

8.根据权利要求7所述的一种基于ceph的安全容器rootfs构建和限额方法，其特征在于，所述物理硬件资源包括处理器核心、内存容量、存储设备容量和网络带宽。

9.根据权利要求7所述的一种基于ceph的安全容器rootfs构建和限额方法，其特征在于，所述物理机本地通过硬件驱动程序，使操作系统与物理硬件之间进行兼容，所述备份和灾难恢复策略通过在物理机本地部署中进行规划和实施。

10.根据权利要求1所述的一种基于ceph的安全容器rootfs构建和限额方法，其特征在于，所述容器rootfs包括基本操作系统文件、应用程序文件、库文件、配置文件、用户和权限设置、可定制性、容器镜像元数据和层叠文件系统；

技术总结
本发明公开了一种基于Ceph的安全容器Rootfs构建和限额方法，包括以下几个步骤；第一步，准备只读层，容器镜像分为多层layer，将所有的目录先进行一次overlayfs联合挂载，得到的目录作为只读层；第二步，准备可写层，创建rbdimage、映射rbd块设备、格式化创建文件系统，并在文件系统下创建空目录，整个rbd块设备视为可写层；第三步，共享只读层，通过virtiof‑fs，将由所有镜像layer目录联合挂载得到的只读层目录，通过virtio‑fs从物理机共享到虚拟机内部；本发明利用安全容器在运行过程中对容器rootfs的数据修改会存储到指定大小的rbdimage中，不再占用本地的存储空间，这样一来在实现安全容器rootfs限额的同时，使得安全容器的部署密度不再受限于本地存储空间的大小。

技术研发人员：铁卓昱,刘宽,夏勇,段江南,黄景平
受保护的技术使用者：天翼云科技有限公司
技术研发日：
技术公布日：2024/3/24