本申請實施例提供一種安全容器運行、鏡像數據下載方法、設備及存儲介質。在本實施例中，安全容器所需的容器鏡像數據由安全容器所在的沙箱獨立進行管理。當存在創建容器實例的需求時，容器運行時組件可從沙箱中獲取容器鏡像數據，并基于容器鏡像數據生成容器實例的啟動數據。將該啟動數據發送至沙箱后，沙箱可基于該啟動數據進行容器的創建。在這種實施方式中，物理機上部署的沙箱一方面可為不同的容器實例創造運行所需的安全隔離環境，另一方面，創建容器實例所需的容器鏡像數據從對應的沙箱中獲取，實現了不同容器實例在數據方面相互隔離。從而，可避免物理機上的多個沙箱運行不同容器實例時，不同容器實例共享鏡像數據導致的數據安全風險。

技術領域

本申請涉及虛擬化技術領域，尤其涉及一種安全容器運行、鏡像數據下載方法、設備及存儲介質。

背景技術

現如今，容器技術作為一種輕量級的虛擬化技術已被廣泛使用。容器部署在物理機的內核上，當多個容器部署在物理機的同一個內核上時，多個容器之間存在相互影響。同時，當容器中運行不可信代碼時，物理機容易受到攻擊。為提升容器安全性，可在一個受限的安全環境中運行安全容器實例，從而保障物理機的安全性。

目前，存在一種安全容器方案，即：Kata Containers(一種將容器運行在隔離環境中從而實現安全容器的技術)。Kata Containers使用KVM(Kernel-based VirtualMachine，基于內核的虛擬機)技術，為物理機上的每個容器實例運行一個獨立的內核，以確保容器實例的安全可靠性。但是這種方案仍舊無法保證容器數據的安全性。因此，有待提出一種解決方案。

發明內容

本申請的多個方面提供一種安全容器運行、鏡像數據下載方法、設備及存儲介質，用以實現不同容器實例之間的數據隔離，進一步提升容器數據的安全性。

本申請實施例提供一種安全容器運行方法，包括：物理機上的容器運行時組件響應創建容器的請求，向所述物理機上與所述容器對應的沙箱發送鏡像數據獲取請求；接收所述沙箱根據所述鏡像數據獲取請求返回的容器鏡像數據；根據所述容器鏡像數據以及容器運行參數，生成容器實例的啟動數據；將所述啟動數據發送至所述沙箱，以使所述沙箱根據所述啟動數據運行所述容器對應的容器實例。

本申請實施例還提供一種安全容器運行方法，包括：物理機中的沙箱接收所述物理機中的容器運行時組件發送的鏡像數據獲取請求；將管理的容器鏡像數據發送至所述容器進行時組件；接收所述容器進行時組件根據所述容器鏡像數據返回的容器實例的啟動數據；根據所述啟動數據，啟動運行所述容器實例。

本申請實施例還提供一種安全容器運行方法，包括：響應創建容器的請求，通過容器運行時組件向與所述容器對應的沙箱發送鏡像數據獲取請求；通過所述沙箱將所述容器對應的容器鏡像數據返回至所述容器運行時組件；通過所述容器運行時組件，根據所述容器鏡像數據以及容器運行參數，生成容器實例的啟動數據；通過所述容器運行時組件，將所述啟動數據發送至所述沙箱；通過所述沙箱，根據所述啟動數據運行所述容器對應的容器實例。

本申請實施例還提供一種鏡像數據下載方法，其中，包括：通過容器運行時組件接收鏡像數據下載指令，所述鏡像數據下載指令攜帶沙箱標識以及鏡像標識；通過所述容器運行時組件將所述鏡像數據下載指令路由至所述沙箱標識對應的沙箱；通過所述沙箱，根據所述鏡像數據下載指令，向容器倉庫請求下載并保存所述鏡像標識對應的容器鏡像數據。

本申請實施例提供的安全容器運行方法中，安全容器所需的容器鏡像數據由安全容器所在的沙箱獨立進行管理。當存在創建容器實例的需求時，容器運行時組件可從沙箱中獲取容器鏡像數據，并基于容器鏡像數據生成容器實例的啟動數據。將該啟動數據發送至沙箱后，沙箱可基于該啟動數據進行容器的創建。在這種實施方式中，物理機上部署的沙箱一方面可為不同的容器實例創造運行所需的安全隔離環境，另一方面，創建容器實例所需的容器鏡像數據從對應的沙箱中獲取，實現了不同容器實例在數據方面相互隔離。從而，可避免物理機上的多個沙箱運行不同容器實例時，不同容器實例共享鏡像數據導致的數據安全風險。