[发明专利]保护Kubernetes中的工作负载

说明书

本发明的各方面包括经由处理器从客户获得原始docker映像，使用来自原始docker映像的内容对盘映像进行加密，以及对引导加载器进行加密。使用加密的盘映像和安全的加密的引导加载器来创建重新打包的映像。通过将重新打包的映像插入到pod容器中并且通过使用变换webhook、向所述容器授予提升的特权以及创建用于保护工作负载的受保护Kubernetes pod来部署重新打包的映像，其中受保护Kubernetes pod具有包含所述pod容器的至少一个虚拟机。

背景技术

本发明一般涉及Kubernetes安全，更具体地，涉及保护Kubernetes中的工作负载。

Kubernetes是用于自动化应用部署、缩放和管理的开源容器协调系统。Kubernetes定义了一组被称为原语的构件块(building block)，这些原语共同提供了基于处理器、存储器或定制度量来部署、维护和缩放应用的机制。Pod是Kubernetes构件块，其包括共同位于主机上并且可以共享资源的一个或多个容器。可以是虚拟机(VM)或物理机器的节点是Kubernetes中的包括一个或多个pod的工作者机器。每个节点包含运行pod所需的服务。到目前为止，Kubernetes不支持将pod中的工作项目与Kubernetes管理员的控制分开的任何安全模型。此外，pod中的Kubernetes工作负载没有以任何方式被保护、锁定或加密，以保护工作负载的数据(由此客户)不被Kubernetes管理员访问。

Kubernetes(Kubernetes是谷歌公司的商标)在其固有形式中不支持任何虚拟化技术，或者不支持由于经由Linux控制组来完成主机和容器工作负载之间的分离而提高pod的工作负载的能力以实现这样的特征。

发明内容

本发明的实施例旨在保护Kubernetes中的工作负载。一种非限制性示例计算机实现的方法包括经由处理器从客户获得原始docker映像，使用来自原始docker映像的内容对盘映像进行加密并且安全地对引导加载器(bootloader)进行加密。使用加密的盘映像和安全加密的引导加载器创建重新打包的映像。通过将重新打包的映像插入到pod容器中并创建用于保护工作负载的受保护Kubernetes pod来部署所述重新打包的映像，其中受保护Kubernetes pod具有包含pod容器的至少一个虚拟机。

本发明的其它实施例在计算机系统和计算机程序产品中实现上述方法的特征。

通过本发明的技术实现了额外的技术特征和益处。本发明的实施例和各方面在本文中详细描述，并且被认为是要求保护的主题的一部分。为了更好地理解，参考详细的描述和附图。

附图说明

在说明书的结尾处的权利要求中特别指出并清楚地要求了本文描述的专有权的细节。从下面结合附图的详细描述中，本发明的实施例的前述和其它特征和优点将变得显而易见，在附图中：

图1示出了根据本发明的一个或多个实施例的用于保护Kubernetes中的工作负载的过程的流程图；

图2示出了根据本发明的一个或多个实施例的用于保护Kubernetes中的工作负载的组件的图；

图3示出了根据本发明的一个或多个实施例的用于保护Kubernetes中的工作负载的实现；

图4示出了根据本发明的一个或多个实施例的云计算环境；以及

图5示出了根据本发明的一个或多个实施例的抽象模型层。

这里描述的图是说明性的。在不脱离本发明的精神的情况下，可以对图或其中描述的操作进行许多变化。例如，可以以不同的顺序执行动作，或者可以添加、删除或修改动作。此外，术语“耦合”及其变型描述了在两个元件之间具有通信路径，并且不暗示元件之间的直接连接，而在它们之间没有中间元件/连接。所有这些变化都被认为是本说明书的一部分。

具体实施方式