[发明专利]保护Kubernetes中的工作负载

权利要求书

1.一种用于保护Kubernetes中的工作负载的方法，包括：

经由处理器从客户获得原始docker映像；

经由所述处理器使用来自所述原始docker映像的内容来加密盘映像；

经由所述处理器加密引导加载器；

经由所述处理器使用加密的盘映像和加密的引导加载器来创建重新打包的映像；

经由所述处理器通过将所述重新打包的映像插入到pod容器中来部署所述重新打包的映像；以及

创建用于保护工作负载的受保护Kubernetes pod，其中所述受保护Kubernetes pod具有包括所述pod容器的至少一个虚拟机。

2.根据权利要求1所述的方法，其中所述重新打包的映像的部署使用Kubernetes变换准入控制器来完成到所述pod容器的所述插入。

3.根据权利要求2所述的方法，其中所述Kubernetes变换准入控制器使用webhook在部署时修改pod容器定义。

4.根据权利要求1所述的方法，其中所述受保护Kubernetes pod还包括runq边车容器。

5.根据权利要求4所述的方法，其中所述runq边车容器包括共享卷。

6.根据权利要求5所述的方法，其中所述共享卷包括runq。

7.根据权利要求5所述的方法，其中所述共享卷包括qemu。

8.一种用于保护Kubernetes中的工作负载的系统，包括：

具有计算机可读指令的存储器；以及

用于执行所述计算机可读指令的一个或多个处理器，所述计算机可读指令控制所述一个或多个处理器以执行操作，所述操作包括：

从客户获得原始docker映像；

使用来自所述原始docker映像的内容加密盘映像；

对引导加载器进行加密；

使用加密的盘映像和加密的引导加载器来创建重新打包的映像；

通过将所述重新打包的映像插入到pod容器中来部署所述重新打包的映像；以及

创建用于保护工作负载的受保护Kubernetes pod，其中所述受保护Kubernetes pod具有包含所述pod容器的至少一个虚拟机。

9.根据权利要求8所述的系统，其中所述重新打包的映像的部署使用Kubernetes变换准入控制器来完成到所述pod容器的所述插入。

10.根据权利要求9所述的系统，其中所述Kubernetes变换准入控制器使用webhook在部署时修改pod容器定义。

11.根据权利要求8所述的系统，其中所述受保护Kubernetes pod还包括runq边车容器。

12.如权利要求11所述的系统，其中所述runq边车容器包括共享卷。

13.根据权利要求12所述的系统，其中所述共享卷包括runq。

14.根据权利要求13所述的系统，其中所述共享卷包括qemu。