本發明實施例提供了一種管控進程占用資源的方法，該方法包括：當接收到資源占用請求消息時，確定發送資源占用請求消息的進程所屬的容器和/或當前系統的模式和/或所述資源占用請求消息的類型，然后基于確定結果，確定是否執行所述資源占用請求消息對應的操作。本發明實施例提供了一種管控進程占用資源的方法及裝置適用于對容器內的進程占用資源的情況進行管控。

技術領域

本發明涉及計算機技術領域，具體而言，本發明涉及一種管控進程占用資源的方法及裝置。

背景技術

隨著信息技術的發展，容器技術也隨之發展，容器中所承載的內容為一系列的任務或進程。內核中設置有控制族群(英文全稱：Control Groups，英文縮寫：CGroup)文件系統，CGroup文件系統用于管控容器內進程占用資源的情況。

一般情況下，CGroup文件系統會被掛載到/sys/fs/cgroup目錄下，其中該目錄下有兩種文件，文件1用于描述所控制的資源，文件2的文件名為tasks，其內容包括一系列的進程ID號，或者也可能為空文件，并用于指示這些受控的資源作用的進程。如果某個進程ID在tasks文件中，則表示該進程能訪問的資源被tasks文件同級目錄中的資源描述文件內容所控制，即tasks文件同級目錄中的資源描述文件中設置了tasks文件中的所有進程訪問資源的最大權限。

現有技術中，tasks文件中存在一些能夠更改權限的進程，這些進程可以通過CGroup接口更改權限，以不受tasks文件同級目錄中的資源描述文件限制，由于CGroup接口不能對更改權限的進程進行識別，從而某些惡意進程更改權限，或者某些進程被惡意攻擊后，更改權限，導致對資源進行惡意占用的情況，進而導致容器隔離的效果較差。

發明內容

為克服上述技術問題或者至少部分地解決上述技術問題，特提出以下技術方案：

本發明的實施例根據第一個方面，提供了一種管控進程占用資源的方法，包括：

當接收到資源占用請求消息時，確定發送資源占用請求消息的進程所屬的容器和/或當前系統的模式和/或資源占用請求消息的類型；

基于確定結果，確定是否執行資源占用請求消息對應的操作。

具體地，確定發送資源占用請求消息的進程所屬的容器和/或當前系統的模式和/或資源占用請求消息的類型；基于確定結果，確定是否執行資源占用請求消息對應的操作的步驟，包括：

確定發送資源占用請求消息的進程所屬的容器是否為預設容器；

若發送資源占用請求消息的進程所屬的容器為預設容器，則基于當前系統的模式和/或資源占用請求消息，確定是否執行資源占用請求消息對應的操作。

具體地，基于當前系統的模式和/或資源占用請求消息，確定是否執行資源占用請求消息對應的操作的步驟，包括：

確定當前系統是否被設置為嚴格模式，嚴格模式為不執行任何操作的系統模式；

若未被設置為嚴格模式，則確定資源占用請求消息是否為請求擴大訪問資源的消息；

若不為請求擴大訪問資源的消息，則執行資源占用請求消息對應的操作。

可選地，確定發送資源占用請求消息的進程所屬的容器是否屬于預設容器的步驟之后，還包括：

若不為預設容器，則執行資源占用請求消息對應的操作。

具體地，確定發送資源占用請求消息的進程所屬的容器和/或當前系統的模式和/或資源占用請求消息的類型；基于確定結果，確定是否執行資源占用請求消息對應的操作的步驟，包括：

確定資源占用請求消息是否為請求擴大資源的消息；