本發明公開了一種為插件運行創建沙箱環境的方法和裝置以及計算設備。本發明的為插件運行創建沙箱環境的方法，包括：創建沙箱環境，將針對每個插件的本地目錄映射到所述沙箱環境中，將宿主機的設備管理目錄映射到所述沙箱環境中；對不同沙箱環境增加不同的資源限制；加載插件進程管理；接收前端傳送的消息，所述消息包含插件的ID、插件的版本，并傳遞給所述插件進程管理；通過所述插件進程管理加載對應的插件，其中在一個沙箱環境中僅加載一個主插件及所述主插件依賴的從插件。本發明的方案，實現了插件進程資源的模塊化管控，在沙箱的整個生命周期都可以實現完整的管控，且使得能夠動態訪問硬件資源，對磁盤讀寫速度和網絡上下行速率進行了限制。

技術領域

本發明涉及計算機瀏覽器插件運行技術領域，尤其是一種為插件運行創建沙箱環境的方法和裝置、計算設備和可讀存儲介質。

背景技術

在目前的實踐中，需要保證插件進程管理與插件的安全及資源的隔離。現有的技術方案是通過Docker隔離插件進程。Docker起源于Linux Container(LXC)技術，是目前主流的虛擬化容器方案。其提供了一套標準化的容器解決方案，設計圖如圖1所示。如圖1所示，宿主機可以管理插件，docker提供管理插件的接口。本地資源管理器負責管理本地資源和docker容器之間的關系。插件管理及插件服務調用部分都是運行在Docker容器中。在實際開發項目中，后端插件服務器、插件進程管理及插件在編譯打包后是直接部署在Docker容器中，暴露相關服務接口，前端通過服務接口來進行連接通信。

因為所有插件以及插件服務都是運行在Docker容器內，使插件僅能影響容器，不會對操作系統產生影響。但以上Docker方案帶來三個問題：

1，項目作為一個通用的瀏覽器插件解決方案，不同插件廠商、插件開發者需要的資源、權限、環境都不相同，但Docker創建出來的容器環境無法在容器創建后進行修改，因此，Docker方案在此背景下就顯得不靈活。

2，插件進程管理及所有加載的插件都是運行在一個容器環境中，雖然與宿主機進行了環境的隔離，但沒有實現每個插件之間完全的環境隔離。

3，無法實現硬件的熱拔插，動態讀取硬件資源（以銀行客戶為例，插件系統會對U盾熱拔插有需求）。

發明內容

為此，本發明提供了一種為插件運行創建沙箱環境的方法和裝置、計算設備和可讀存儲介質，以力圖解決或者至少緩解上面存在的至少一個問題。

根據本發明的一個方面，提供了一種為插件運行創建沙箱環境的方法，包括：創建沙箱環境，將針對每個插件的本地目錄映射到所述沙箱環境中，，將宿主機的設備管理目錄映射到所述沙箱環境中；對不同沙箱環境增加不同的資源限制；加載插件進程管理；接收前端傳送的消息，所述消息包含插件的ID、插件的版本，并傳遞給所述插件進程管理；通過所述插件進程管理加載對應的插件，其中在一個沙箱環境中僅加載一個主插件及所述主插件依賴的從插件。

根據本發明另一方面，提供一種為插件運行創建沙箱環境的裝置，包括：創建模塊，用于創建沙箱環境，將針對每個插件的本地目錄映射到所述沙箱環境中，將宿主機的設備管理目錄映射到所述沙箱環境中；資源限制模塊，用于對不同沙箱環境增加不同的資源限制；加載模塊，用于加載插件進程管理；接收模塊，用于接收前端傳送的消息，所述消息包含插件的ID、插件的版本，并傳遞給所述插件進程管理；插件加載模塊，用于通過所述插件進程管理加載對應的插件，其中在一個沙箱環境中僅加載一個主插件及所述主插件依賴的從插件。

根據本發明另一方面，提供一種計算設備，包括：至少一個處理器和存儲有程序指令的存儲器；當所述程序指令被所述處理器讀取并執行時，使得所述計算設備執行上述為插件運行創建沙箱環境的方法。

根據本發明又一方面，提供一種存儲有程序指令的可讀存儲介質，當所述程序指令被計算設備讀取并執行時，使得所述計算設備執行上述為插件運行創建沙箱環境的方法。