[发明专利]用于改进软件容器性能和隔离的方法和系统

说明书

在一个实施例中，一种方法包含：实现基于内核的隔离层，在基于内核的隔离层上配置软件容器以包括作为库操作系统的专用操作系统内核，以及在软件容器中执行一个或多个用户进程。该方法由基于云的处理平台、企业处理平台或包含多个处理设备的其他类型的处理平台执行，其中每个这样的处理设备包含耦合到存储器的处理器。库操作系统例示性地以与在软件容器中执行的一个或多个用户进程的特权级别相同的特权级别在软件容器中运行。库操作系统被例示性地配置为结合将系统调用转换为相对应的函数调用来支持一个或多个用户进程的二进制的自动翻译。

优先权声明

本申请要求2018年4月11日提交的题为“用于改进软件容器性能和隔离的方法和系统(Method and System for Improving Software Container Performance andIsolation)”的序列号为62/656,051的美国临时专利申请的优先权，其全部内容通过引用并入本文。

政府支持声明

本发明是在国家科学基金会(NSF)授予的合同号：CSR-1422544、CNS-1601879、CSR-1704742、1053757和0424422；由国家标准与技术研究院(NIST)授予的合同号：60NANB15D327和70NANB17H181；以及由国防高级研究计划局(DARPA)授予的合同号：FA8750-10-2-0238、FA8750-11-2-0256和D11AP00266下在政府支持下完成的。政府在本发明中拥有某些权利。

技术领域

本领域通常涉及信息处理系统，并且更具体地，涉及在这种系统中使用的软件容器。

背景技术

容器已经成为打包应用的优选方法，并且是无服务器架构和许多其他类型的处理平台中的关键组件。同时，随着管理程序充当外内核以及许多库操作系统(OS)被提供或正在开发中，外内核架构正获得越来越多的关注。外内核由于其较小的可信计算基(TCB)和攻击面而具有优越的安全隔离特性，而库OS可以针对特定的应用进行定制。不幸的是，这两种趋势目前彼此不兼容。当前的库OS缺乏运行现代应用容器所需要的二进制兼容性以及对多个进程的支持。

发明内容

例示性实施例提供了改进的软件容器，在本文中被称为X-容器。在一个或多个实施例中的X-容器架构中，X-容器与作为库OS的专用Linux内核一起在X-内核上运行，例示性地使用虚拟机管理程序和主机操作系统中的一个来实现。X-内核是在本文中更一般地被称为“基于内核的隔离层”的示例。所得的X-容器布置例示性地支持未修改的多处理应用，并自动动态地优化应用二进制替换。在一些实施例中，与未修改的Linux相比，这种类型的X-容器有利地提供了在系统调用开销方面的大幅度减少，同时在网络基准测试上也显著优于库OS(像Unikernel和Graphene)。

在一个实施例中，一种方法包含：实现基于内核的隔离层，在基于内核的隔离层上配置软件容器以包括作为库操作系统的专用操作系统内核，以及在软件容器中执行一个或多个用户进程。该方法由基于云的处理平台、企业处理平台或包含多个处理设备的其他类型的处理平台执行，其中每个这样的处理设备包含耦合到存储器的处理器。

库操作系统例示性地以与在软件容器中执行的一个或多个用户进程的特权级别相同的特权级别在软件容器中运行。

在一些实施例中，库操作系统被例示性地配置为结合将系统调用转换为相对应的函数调用来支持一个或多个用户进程的二进制的自动翻译。

本发明的这些和其他例示性实施例包括但不限于系统、方法、装置、处理设备、集成电路以及计算机程序产品，该计算机程序产品包含其中包含软件程序代码的处理器可读存储介质。

附图说明

图1示出了例示性实施例中的包含实现X-容器的基于云的处理平台的信息处理系统。