[发明专利]一种容器镜像层下载拦截方法和装置

说明书

本公开涉及一种容器镜像层下载拦截方法，包含步骤：编排管理系统启用容器且需要从公网下载容器镜像时，主机级拦截器拦截容器镜像层下载请求，通过主机级拦截器上的缓存表判断镜像层的chainID是否存在；如果判断主机级拦截器上的缓存表中存在镜像层的chainID，则不需要下载，重用镜像层；如果判断主机级拦截器上的缓存表中不存在镜像层的chainID，则：通过集群级拦截器上的缓存表判断镜像层的chainID是否存在；如果判断集群级拦截器上的缓存表中存在镜像层的chainID，则将镜像层的下载请求导向存储镜像层的集群内主机；否则从公网下载镜像层，避免了现有容器镜像下载机制中存在的多次重复下载已有镜像层的问题，节约了不必要的主机和集群资源消耗。

技术领域

本公开涉及安全领域，特别涉及容器技术。

背景技术

容器技术为应用程序提供了资源隔离的运行环境，具备轻量、跨平台、启动迅速等特点，是云原生技术体系中重要的一部分。编排管理系统能对主机集群内的容器进行统一编排管理，能自动选择宿主机、下载容器镜像、启动容器实例、销毁容器实例，是目前管理主机集群内容器的主要工具。

编排管理系统启动容器时，仅以容器镜像为粒度检索、重用镜像层，而不考虑直接以镜像层为粒度进行检索；仅考虑主机上是否存在对应容器镜像，而不考虑集群内其他主机的镜像资源。而编排管理系统存在restartpolicy，这将导致启用大镜像的容器时，同一宿主机无法重用多次尝试下载时已下载的镜像层；不同宿主机重复下载同一镜像的问题，会造成主机和集群资源的浪费，影响其他集群服务可用性。

发明内容

在下文中给出了关于本公开的简要概述，以便提供关于本公开的一些方面的基本理解。但是，应当理解，这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分，也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念，以此作为稍后给出的更详细描述的前序。

根据本公开的一个方面，提出了一种容器镜像层下载拦截方法，包含步骤：

当编排管理系统启用容器且需要从公网下载容器镜像时，

主机级拦截器拦截容器镜像层下载请求；

通过主机级拦截器上的缓存表判断镜像层的chainID是否存在；

如果判断主机级拦截器上的缓存表中存在镜像层chainID，则不需要下载，重用镜像层；

如果判断主机级拦截器上的缓存表中不存在镜像层chainID，则：

通过集群级拦截器上的缓存表判断镜像层chainID是否存在；

如果判断集群级拦截器上的缓存表中存在镜像层chainID，则不从公网下载镜像层，而是将镜像层的下载请求导向存储镜像层的集群内主机地址；

如果判断集群级拦截器上的缓存表中也不存在镜像层chainID，则从公网下载镜像层。

根据本公开的另一个方面，提出了一种容器镜像层下载拦截装置，包括：

存储器，其上存储有指令；以及

处理器，被配置为执行存储在所述存储器上的指令，以执行上述方法。

根据本公开的再一个方面，提出了一种计算机可读存储介质，包括计算机可执行指令，所述计算机可执行指令在由一个或多个处理器执行时，使得所述一个或多个处理器执行上述方法。

以下通过本公开的优选的实施方式的详细描述，本公开的其它特征及其优点将会变得清楚。

附图说明

构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。