本發(fā)明實施例提供了一種用于共享目錄的方法和裝置。該方法包括：獲取共享參數(shù)信息，該共享參數(shù)信息包括共享分類category集合和共享目錄信息，該共享category集合包括至少一個category，該共享目錄信息用于指示多個容器中的每個容器掛載目標(biāo)主機中的目標(biāo)目錄；根據(jù)該共享目錄信息，將該目標(biāo)目錄的安全上下文中的category信息更新為該共享category集合；根據(jù)該共享參數(shù)信息，創(chuàng)建該多個容器中的每個容器，創(chuàng)建后的該每個容器的安全上下文中的category信息包括該共享category集合，以便于該多個容器中的每個容器掛載并訪問該目標(biāo)目錄。本發(fā)明能夠?qū)崿F(xiàn)多個容器共享訪問目標(biāo)主機中的目錄。

技術(shù)領(lǐng)域

本發(fā)明實施例涉及計算機領(lǐng)域，尤其涉及一種用于共享目錄的方法和裝置。

背景技術(shù)

容器類似于虛擬機，是一種軟件沙箱，一種安全機制，主要為運行中的程序提供的隔離環(huán)境，嚴(yán)格控制容器中的程序所能訪問的資源。

Linux命名空間(namespace)隔離機制為實現(xiàn)基于容器的虛擬化技術(shù)提供了很好的基礎(chǔ)。容器技術(shù)使用namespace隔離后，主機中除內(nèi)核外的Unix分時操作系統(tǒng)、進程間通信、文件系統(tǒng)、進程控制符等系統(tǒng)資源不再是全局性的，而是屬于特定的namespace，每個namespace里面的資源對其他namespace都是透明的，容器就是利用這一特性實現(xiàn)了資源的隔離，不同容器內(nèi)的進程屬于不同的namespace，彼此透明，互不干擾。

另外，把安全性增強Linux(Security-Enhanced Linux，SELinux)適配到Docker，即讓SELinux作用于Docker容器，能夠增強容器間namespace的隔離性。

但是，當(dāng)多個容器共享同一份內(nèi)核時，會導(dǎo)致隔離性和安全性上的不足，在這個事實之下，用戶需要面對很多安全問題，例如，運行在某一容器中的進程能夠獲得運行在其它容器中的進程的信息或用戶權(quán)限。

現(xiàn)有的Docker可以通過-v接口讓容器掛載目標(biāo)主機上的目標(biāo)目錄，即通過-v/host:/tmp將，目標(biāo)主機的/host目錄掛載在容器的/tmp目錄上，這樣以來，只有掛載了目標(biāo)主機的目標(biāo)目錄，并且安全上下文的category信息中包括目標(biāo)目錄的category的容器才能夠訪問該目標(biāo)主機。

另外，Docker可以通過在-v接口的基礎(chǔ)上加上Z參數(shù)讓容器掛載目標(biāo)主機上的目標(biāo)目錄，即通過-v/host:/tmp:c12,c13，將目標(biāo)主機的/host目錄掛載在容器的/tmp目錄上，同時將/host目錄的安全上下文的category信息更新為c12,c13。

然而，若有多個容器都掛載這個目錄，則/host目錄的安全上下文由最后一個掛載它的容器的Z參數(shù)決定，這樣以來，/host目錄只能被最后一個掛載它的容器訪問，不能實現(xiàn)多個容器共享訪問/host目錄。

發(fā)明內(nèi)容

本申請?zhí)峁┝艘环N用于共享目錄的方法和裝置，能夠?qū)崿F(xiàn)多個容器共享訪問目標(biāo)主機中的目錄。

第一方面，本申請?zhí)峁┝艘环N用于共享目錄的方法，該方法包括：

獲取共享參數(shù)信息，該共享參數(shù)信息包括共享分類category集合和共享目錄信息，該共享category集合包括至少一個category，該共享目錄信息用于指示多個容器中的每個容器掛載目標(biāo)主機中的目標(biāo)目錄；

根據(jù)該共享目錄信息，將該目標(biāo)目錄的安全上下文中的category信息更新為該共享category集合；

根據(jù)該共享參數(shù)信息，創(chuàng)建該多個容器中的每個容器，創(chuàng)建后的該每個容器的安全上下文中的category信息包括該共享category集合，以便于該多個容器中的每個容器掛載并訪問該目標(biāo)目錄。