[发明专利]用于热升级安全容器的虚拟机监控程序的方法及装置

说明书

本说明书的实施例提供用于热升级安全容器的虚拟机监控程序的方法及装置。虚拟机监控程序用于运行用户态内核。在该方法中，响应于获取到虚拟机监控程序升级请求，挂起容器实例中的用户态线程在系统线程上的运行操作；解耦各个系统线程与容器实例当前使用的第一虚拟处理器集之间的绑定关系，第一虚拟处理器集根据第一虚拟机监控程序的虚拟机设备文件创建；删除第一虚拟处理器集并且根据第二虚拟机监控程序的虚拟机设备文件创建第二虚拟处理器集；以及使用第二虚拟处理器集来在各个系统线程上继续运行各个用户态线程。

技术领域

本说明书实施例通常涉及计算机领域，尤其涉及用于热升级安全容器的虚拟机监控程序的方法及装置。

背景技术

安全容器是一种运行时技术，为容器应用提供操作系统执行环境，但将应用的执行与主机操作系统隔离开，避免应用直接访问主机资源，从而可以在容器与主机之间或容器之间提供额外的保护。

在安全容器中，使用虚拟机(Virtual Machine)作为隔离层。虚拟机具有用户态内核(Guest Kernel)。Guest Kernel可以运行容器应用，但是并不包含完整的操作系统。对于容器来说，Guest Kernel只有容器引擎，并且通过少用不必要的内存、共享能共享的内存来进一步地降低内存开销。

在安全容器中，还需要使用虚拟机监控程序(Virtual Machine Manager)。虚拟机监控程序提供虚拟处理器(vCPU)、内存以及一系列硬件虚拟来运行Guest Kernel。在安全容器的应用中，需要对虚拟机监控程序进行升级。然而，在对虚拟机监控程序进行升级时，不希望容器应用和安全容器停止工作。如何在容器应用和安全容器保持工作的情况下对虚拟机监控程序进行升级。

发明内容

鉴于上述，本说明书实施例提供用于热升级安全容器的虚拟机监控程序的方法和装置统。利用该方法和装置，在容器应用和安全容器保持工作的情况下对虚拟机监控程序进行升级。

根据本说明书实施例的一个方面，提供一种用于热升级安全容器的虚拟机监控程序的方法，所述虚拟机监控程序用于运行用户态内核，所述方法包括：响应于获取到虚拟机监控程序升级请求，挂起容器实例中的用户态线程在系统线程上的运行操作；解耦各个系统线程与所述容器实例当前使用的第一虚拟处理器集之间的绑定关系，所述第一虚拟处理器集根据第一虚拟机监控程序的虚拟机设备文件创建；删除所述第一虚拟处理器集；根据第二虚拟机监控程序的虚拟机设备文件创建第二虚拟处理器集；以及使用所述第二虚拟处理器集来在各个系统线程上继续运行各个用户态线程。

可选地，在上述方面的一个示例中，所述容器实例构建有多版本虚拟机监控程序的虚拟机设备文件。

可选地，在上述方面的一个示例中，所述方法在Go语言编程环境中实现。

可选地，在上述方面的一个示例中，解耦各个系统线程与所述容器实例当前使用的第一虚拟处理器集之间的绑定关系包括：将运行在guest ring3 模式的系统线程弹回到guest ring0模式；以及将运行在host ring0模式的第一虚拟处理器弹回到guest ring0模式。

可选地，在上述方面的一个示例中，解耦各个系统线程与所述容器实例当前使用的第一虚拟处理器集之间的绑定关系还包括：将系统调用从 guest ring0模式返回到hostring3模式。

可选地，在上述方面的一个示例中，删除所述第一虚拟处理器集包括：删除所述第一虚拟处理器集中的各个第一虚拟处理器的虚拟处理器位图与各个系统线程的线程标识之间的映射关系，并且拆卸各个第一虚拟处理器的虚拟机状态。

可选地，在上述方面的一个示例中，所述虚拟机监控程序支持进程级虚拟化。