中国韩国日本在线观看免费,A级尤物一区,日韩精品一二三区无码,欧美日韩少妇色

云環(huán)境中安全容器動態(tài)遷移的研究

發(fā)布時間:2020-11-14 05:43
   近年來,基于容器的虛擬化技術(shù)在工業(yè)界日益流行。隨著容器成為新的云計算平臺,云安全成為容器部署所要面臨的重大挑戰(zhàn)。英特爾SGX(Software Guard EXtensions)為應用程序提供了強大的安全保障。在容器中應用SGX技術(shù),將提高容器云的安全性,為租戶提供強有力的隱私保護,本文稱這種容器為安全容器。但是,這項技術(shù)也帶來了新的問題。例如,SGX安全容器的性能下降,以及SGX安全容器的動態(tài)遷移問題。由于SGX不允許運行在飛地中的應用執(zhí)行系統(tǒng)調(diào)用,所以當需要請求系統(tǒng)服務時,應用必須退出飛地模式。如果應用頻繁請求系統(tǒng)服務,模式切換帶來的開銷是不可忽略的。同時,由于飛地通常和具體的硬件綁定,而且不可信的操作系統(tǒng)無法訪問SGX飛地內(nèi)的代碼和數(shù)據(jù),SGX安全容器無法正常進行容器動態(tài)遷移。動態(tài)遷移是云計算的一項基礎功能,失去動態(tài)遷移將減少云計算的優(yōu)勢。首先,本文研究了安全容器的性能優(yōu)化問題,提出了基于Intel SGX SDK(Software Development Kit)的switchless call,消除了由模式切換帶來的開銷;并針對switchless call建立性能模型,基于性能分析結(jié)果,設計和實現(xiàn)了基于效能的工作線程調(diào)度算法,優(yōu)化CPU(Central Processing Unit)的效率。其次,現(xiàn)有的容器動態(tài)遷移解決方案無法處理SGX安全容器的遷移問題。為了解決這個問題,本文設計和實現(xiàn)SGX安全容器動態(tài)遷移框架。該遷移框架結(jié)合SGX技術(shù)的特性和容器的使用場景,并且同時考慮EPC(Enclave Page Cache)內(nèi)存和持久化存儲的遷移,為開發(fā)者提供了輕量級,又易于使用的方案。本文在設計安全容器動態(tài)遷移框架時,除了考慮遷移的功能的實現(xiàn)外,還確保了遷移框架的安全性。該框架可以防止惡意操作系統(tǒng)對遷移過程的fork攻擊和rollback攻擊,并在不依賴操作系統(tǒng)的情況下,確保遷移數(shù)據(jù)的一致性。最后,安全評估證明了遷移框架的安全性。性能評估表明,安全容器優(yōu)化對于性能有著顯著提高,同時工作線程調(diào)度算法針對不同類型的負載,有效地調(diào)整了工作線程數(shù)目。此外,與正常的容器遷移相比,SGX安全容器遷移的額外時間開銷為15%,但是考慮到SGX所帶來的安全性,這個開銷是可以接受的。
【學位單位】:北京郵電大學
【學位級別】:碩士
【學位年份】:2019
【中圖分類】:TP393.08
【部分圖文】:

示意圖,容器,命名空間,鏡像


這就為應用開發(fā)、部署、分發(fā)提供了統(tǒng)一平臺。第二,容器技術(shù)為應用??程序提供了安全隔離,每個容器只能使用自己獨有的資源。第三,容器虛擬化不??需要硬件支持,沒有額外的虛擬化開銷,擁有接近裸機的性能。容器架構(gòu)如圖2-??1所示。??容器容器容器??應用?應用?應用??二進制與?二進制與?二進制與??操作系統(tǒng)?操作系統(tǒng)?操作系統(tǒng)??庫庫庫???主機操作系統(tǒng)內(nèi)核???圖2-1容器架構(gòu)示意圖??容器虛擬化的關(guān)鍵技術(shù)是命名空間#]、cgroupMk鏡像標準等。??命名空間是Linux為應用提供的用于隔離進程樹、網(wǎng)絡接口、掛載點以及進??程間通信等資源的方法。雖然多個容器運行在同一個平臺上,但是他們分別位于??自己的命名空間中,無法訪問到命名空間外部的資源,這樣即使某個容器被攻擊??或者存在某個惡意容器,入侵者也僅能訪問到當前容器的所有內(nèi)容,其他的資源??7??

鏡像,容器,組件,函數(shù)


Cgroup能夠隔離宿主機器上的物理資源,除了之前提到的CPU和內(nèi)存,各??種外設也包含其中,如磁盤I/O帶寬和網(wǎng)絡帶寬等。cgroup包含了多個子系統(tǒng),??分別控制不同的物理資源,其基本結(jié)構(gòu)和生效函數(shù)如圖2-2所示。每個cgroup包??含多個進程,這些進程都處于相同的資源限制的標準和參數(shù)之下,而不同的??cgroup之間是有層級關(guān)系的,也就是說cgroup可以從父group中繼承一些用于??限制資源使用的標準和參數(shù)。cgroup的功能主要包括:資源限制、資源統(tǒng)計、進??程控制等。容器正是借助cgroup的能力,實現(xiàn)對容器內(nèi)的所有進程的分組管理??和資源限制。??mem_cgroup_try_cha?rge?人?1〇子系統(tǒng))??I??I?jf??generic__make_request__checks??cgroup一can一fork??(cgroup?\??、core?J??sock_update_classid/??s?o?c?k_u?pda?t?e_net?prio?idx??check_enqueue_throttle??^cpuiiaA?^? ̄\??b絡子系y??圖2-2?cgroup各個功能子系統(tǒng)及生效函數(shù)??容器的鏡像包含了運行一個軟件所必備的所有組件,鏡像標準化為容器的推??廣奠定了基礎。容器鏡像采用分層存儲方式,因此多個鏡像可以從同一個base鏡??像構(gòu)建而來,而每層鏡像通常是只讀的,高層鏡像之間可以共享底層的鏡像,這??極大地節(jié)約了空間。當容器啟動以后,會在最上層加上一層可寫的容器層,容器??內(nèi)所有的修改都保存在這層鏡像中。??8??

示意圖,架構(gòu)設計,容器,架構(gòu)


?圖2-3?Docker各個組件的架構(gòu)示意圖??如圖2-3所不,Docker米用多層的架構(gòu)設計。Docker?engine包含T客戶端??和守護進程兩部分。守護進程接收從客戶端發(fā)來的命令,記錄所有的容器相關(guān)信??息,并交由containerd具體負責容器的操作。Containerd是容器的運行時,它負??責管理容器的生命周期,從拉取鏡像,到啟動容器,最后銷毀容器等,對Docker??engine使用標準的GRPC協(xié)議,提供滿足OCI?(Open?Container?Initiative)細準??的API。Container-shim是容器的運行時實體,作為容器進程的父進程,管理容??器進程的生命周期。mnC是對容器OCI標準的實現(xiàn),擁有所奮標準規(guī)定的容器??管理接門,同時runC負責所Yf內(nèi)核特件的1:1?理,如命名空間、seccomp和cgroup??等。??2.2容器遷
【相似文獻】

相關(guān)期刊論文 前10條

1 李劍芳;;“佛山傳統(tǒng)文化”如何融入“容器造型”教學[J];山海經(jīng);2018年21期

2 胡珊;;現(xiàn)代容器開啟過程的用戶體驗研究[J];工業(yè)設計研究;2016年00期

3 ;山東工藝美術(shù)學院教師彭建祥、朱小堯、王付銀包裝容器設計作品選[J];包裝世界;2011年02期

4 紀璐;韓冰;;形式美法則在包裝內(nèi)容器設計中的應用[J];大眾文藝;2011年06期

5 許秦蓉;呂劍;;基于通用設計原則的包裝與容器設計[J];包裝工程;2011年24期

6 劉來福;;GY-82型超高壓容器設計及試制[J];天然氣工業(yè);1987年03期

7 劉昌信;毛仲高;;壓力容器一百問[J];井礦鹽技術(shù);1987年05期

8 陳啟松;;計入σ_6~'時臥式容器的優(yōu)化設計[J];江蘇機械;1987年04期

9 余群躍;;對“臥式容器設計”有關(guān)問題的討論——兼談對JB1167-81《鞍式支座》的一點看法[J];石油化工設備技術(shù);1987年02期

10 裴俊厚,汪廣海;壓力式LPG船貨艙容器在試水狀態(tài)下的應力分析[J];艦船科學技術(shù);1988年05期


相關(guān)博士學位論文 前2條

1 馬歆;自保護快速啟閉式超高壓海產(chǎn)品加工容器關(guān)鍵技術(shù)研究[D];浙江大學;2006年

2 開方明;鋁內(nèi)襯輕質(zhì)高壓儲氫容器強度和可靠性研究[D];浙江大學;2007年


相關(guān)碩士學位論文 前10條

1 張瓊;云環(huán)境中安全容器動態(tài)遷移的研究[D];北京郵電大學;2019年

2 張城城;基于Docker的容器集群管理平臺的研究與實現(xiàn)[D];北京郵電大學;2019年

3 姚增增;大規(guī)模環(huán)境下容器技術(shù)的研究與優(yōu)化[D];浙江大學;2019年

4 韓寧;記憶元件的電學特性分析及應用研究[D];長安大學;2018年

5 裴夢琛;新型攪拌器結(jié)構(gòu)設計與性能研究[D];西北大學;2018年

6 崔偉;外壓薄壁容器穩(wěn)定性模擬分析與研究[D];長春理工大學;2018年

7 張浩;基于Kubernetes的數(shù)據(jù)中心異構(gòu)容器運行時設計與實現(xiàn)[D];浙江大學;2018年

8 賀斌;基于入場物流成本視角的DNZ公司汽車零部件容器運營模式對比研究[D];鄭州大學;2018年

9 田森;基于RunV容器的網(wǎng)絡存儲優(yōu)化的設計與實現(xiàn)[D];華中科技大學;2016年

10 袁昊;鉛鉍反應堆主容器疲勞、蠕變及裂紋分析[D];華北電力大學(北京);2015年



本文編號:2883150

資料下載
論文發(fā)表

本文鏈接:http://www.lk138.cn/guanlilunwen/ydhl/2883150.html


Copyright(c)文論論文網(wǎng)All Rights Reserved | 網(wǎng)站地圖 |

版權(quán)申明:資料由用戶10204***提供,本站僅收錄摘要或目錄,作者需要刪除請E-mail郵箱bigeng88@qq.com