本發(fā)明公開(kāi)了一種為插件運(yùn)行創(chuàng)建沙箱環(huán)境的方法和裝置以及計(jì)算設(shè)備。本發(fā)明的為插件運(yùn)行創(chuàng)建沙箱環(huán)境的方法，包括：創(chuàng)建沙箱環(huán)境，將針對(duì)每個(gè)插件的本地目錄映射到所述沙箱環(huán)境中，將宿主機(jī)的設(shè)備管理目錄映射到所述沙箱環(huán)境中；對(duì)不同沙箱環(huán)境增加不同的資源限制；加載插件進(jìn)程管理；接收前端傳送的消息，所述消息包含插件的ID、插件的版本，并傳遞給所述插件進(jìn)程管理；通過(guò)所述插件進(jìn)程管理加載對(duì)應(yīng)的插件，其中在一個(gè)沙箱環(huán)境中僅加載一個(gè)主插件及所述主插件依賴(lài)的從插件。本發(fā)明的方案，實(shí)現(xiàn)了插件進(jìn)程資源的模塊化管控，在沙箱的整個(gè)生命周期都可以實(shí)現(xiàn)完整的管控，且使得能夠動(dòng)態(tài)訪問(wèn)硬件資源，對(duì)磁盤(pán)讀寫(xiě)速度和網(wǎng)絡(luò)上下行速率進(jìn)行了限制。

本申請(qǐng)是2021年12月24日提交的發(fā)明專(zhuān)利申請(qǐng)2021115938518的分案申請(qǐng)。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)瀏覽器插件運(yùn)行技術(shù)領(lǐng)域，尤其是一種為插件運(yùn)行創(chuàng)建沙箱環(huán)境的方法和裝置、計(jì)算設(shè)備和可讀存儲(chǔ)介質(zhì)。

背景技術(shù)

在目前的實(shí)踐中，需要保證插件進(jìn)程管理與插件的安全及資源的隔離。現(xiàn)有的技術(shù)方案是通過(guò)Docker隔離插件進(jìn)程。Docker起源于Linux Container(LXC)技術(shù)，是目前主流的虛擬化容器方案。其提供了一套標(biāo)準(zhǔn)化的容器解決方案，設(shè)計(jì)圖如圖1所示。如圖1所示，宿主機(jī)可以管理插件，docker提供管理插件的接口。本地資源管理器負(fù)責(zé)管理本地資源和docker容器之間的關(guān)系。插件管理及插件服務(wù)調(diào)用部分都是運(yùn)行在Docker容器中。在實(shí)際開(kāi)發(fā)項(xiàng)目中，后端插件服務(wù)器、插件進(jìn)程管理及插件在編譯打包后是直接部署在Docker容器中，暴露相關(guān)服務(wù)接口，前端通過(guò)服務(wù)接口來(lái)進(jìn)行連接通信。

因?yàn)樗胁寮约安寮?wù)都是運(yùn)行在Docker容器內(nèi)，使插件僅能影響容器，不會(huì)對(duì)操作系統(tǒng)產(chǎn)生影響。但以上Docker方案帶來(lái)三個(gè)問(wèn)題：

1，項(xiàng)目作為一個(gè)通用的瀏覽器插件解決方案，不同插件廠商、插件開(kāi)發(fā)者需要的資源、權(quán)限、環(huán)境都不相同，但Docker創(chuàng)建出來(lái)的容器環(huán)境無(wú)法在容器創(chuàng)建后進(jìn)行修改，因此，Docker方案在此背景下就顯得不靈活。

2，插件進(jìn)程管理及所有加載的插件都是運(yùn)行在一個(gè)容器環(huán)境中，雖然與宿主機(jī)進(jìn)行了環(huán)境的隔離，但沒(méi)有實(shí)現(xiàn)每個(gè)插件之間完全的環(huán)境隔離。

3，無(wú)法實(shí)現(xiàn)硬件的熱拔插，動(dòng)態(tài)讀取硬件資源(以銀行客戶(hù)為例，插件系統(tǒng)會(huì)對(duì)U盾熱拔插有需求)。

發(fā)明內(nèi)容

為此，本發(fā)明提供了一種為插件運(yùn)行創(chuàng)建沙箱環(huán)境的方法和裝置、計(jì)算設(shè)備和可讀存儲(chǔ)介質(zhì)，以力圖解決或者至少緩解上面存在的至少一個(gè)問(wèn)題。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種為插件運(yùn)行創(chuàng)建沙箱環(huán)境的方法，包括：創(chuàng)建沙箱環(huán)境，將針對(duì)每個(gè)插件的本地目錄映射到所述沙箱環(huán)境中，，將宿主機(jī)的設(shè)備管理目錄映射到所述沙箱環(huán)境中；對(duì)不同沙箱環(huán)境增加不同的資源限制；加載插件進(jìn)程管理；接收前端傳送的消息，所述消息包含插件的ID、插件的版本，并傳遞給所述插件進(jìn)程管理；通過(guò)所述插件進(jìn)程管理加載對(duì)應(yīng)的插件，其中在一個(gè)沙箱環(huán)境中僅加載一個(gè)主插件及所述主插件依賴(lài)的從插件。

根據(jù)本發(fā)明另一方面，提供一種為插件運(yùn)行創(chuàng)建沙箱環(huán)境的裝置，包括：創(chuàng)建模塊，用于創(chuàng)建沙箱環(huán)境，將針對(duì)每個(gè)插件的本地目錄映射到所述沙箱環(huán)境中，將宿主機(jī)的設(shè)備管理目錄映射到所述沙箱環(huán)境中；資源限制模塊，用于對(duì)不同沙箱環(huán)境增加不同的資源限制；加載模塊，用于加載插件進(jìn)程管理；接收模塊，用于接收前端傳送的消息，所述消息包含插件的ID、插件的版本，并傳遞給所述插件進(jìn)程管理；插件加載模塊，用于通過(guò)所述插件進(jìn)程管理加載對(duì)應(yīng)的插件，其中在一個(gè)沙箱環(huán)境中僅加載一個(gè)主插件及所述主插件依賴(lài)的從插件。

根據(jù)本發(fā)明另一方面，提供一種計(jì)算設(shè)備，包括：至少一個(gè)處理器和存儲(chǔ)有程序指令的存儲(chǔ)器；當(dāng)所述程序指令被所述處理器讀取并執(zhí)行時(shí)，使得所述計(jì)算設(shè)備執(zhí)行上述為插件運(yùn)行創(chuàng)建沙箱環(huán)境的方法。