安全的工作负载配置制造技术

描述了用于安全的工作负载配置的技术，包括一种方法，该方法包括在工作节点处和从主节点接收工作负载定义文件，其中工作负载定义文件包括加密的不可变定义、具有预定义值范围和由主节点修改的第一值的部分不可变定义和具有由主节点修改的第二值的可变定义。该方法进一步包括由工作节点对加密的不可变定义解密，以生成解密的不可变定义。该方法进一步包括由工作节点验证第一值满足预定义的值范围。该方法进一步包括，响应于解密加密的不可变定义并验证第一值满足预定义值范围，基于工作负载定义文件在虚拟计算环境中执行工作负载。义文件在虚拟计算环境中执行工作负载。义文件在虚拟计算环境中执行工作负载。

【技术实现步骤摘要】
【国外来华专利技术】安全的工作负载配置

技术介绍

[0001]本公开涉及工作负载配置，并且更具体地涉及提高工作负载配置的安全性。
[0002]可以在虚拟计算环境中部署计算工作负载。虚拟计算环境可以指计算机功能的仿真和供应。计算机功能可以通过从单个硬件集合或从许多不同的硬件集合生成一个或多个虚拟机(VM)或容器来仿真。进一步，可以在需要的基础上将所仿真的计算机功能提供给在地理上远离用于生成所仿真的计算机功能的硬件的(或多个)位置的实体。

技术实现思路

[0003]本公开的方面涉及一种方法，包括在工作节点处和从主节点接收工作负载定义文件，其中工作负载定义文件包括加密的不可变定义、具有预定义值范围和由主节点修改的第一值的部分不可变定义和具有由主节点修改的第二值的可变定义。该方法进一步包括由工作节点对加密的不可变定义解密，以生成解密的不可变定义。该方法进一步包括由工作节点验证第一值满足预定义的值范围。该方法进一步包括，响应于解密加密的不可变定义并验证第一值满足预定义值范围，基于工作负载定义文件在虚拟计算环境中执行工作负载。
[0004]本公开的另外方面涉及被配置成用于执行上述方法的系统和计算机程序产品。本
技术实现思路
并不旨在示出本公开的每个方面、每个实现方式和/或每个实施例。
附图说明
[0005]本申请包括的附图被结合到说明书中并且形成说明书的一部分。本公开的实施例，与具体实施方式一起用于解释本公开的原理。附图仅说明某些实施例，而并不限制本公开。
[0006]图1示出根据本公开的一些实施例的示例计算环境的框图。<br/>[0007]图2示出了根据本公开的一些实施例的示例工作负载定义(WD)文件。
[0008]图3示出了根据本公开的一些实施例的用于生成WD文件的示例方法的流程图。
[0009]图4示出根据本公开的一些实施例的用于在主节点处修改WD文件的示例方法的流程图。
[0010]图5示出了根据本公开的一些实施例的用于在工作节点处根据修改的WD文件部署工作负载的示例方法的流程图；
[0011]图6示出了根据本公开的一些实施例的示例性计算机的框图。
[0012]图7描绘了根据本公开的一些实施例的云计算环境。
[0013]图8描绘了根据本公开的一些实施例的抽象模型层。
[0014]虽然本公开服从不同修改和替代形式，但是其细节已经通过举例在附图中示出并且将被详细描述。然而，应当理解，本专利技术并不局限于所描述的具体实施例。相反，本专利技术旨在覆盖落入本公开的精神和范围内的所有修改、等同物和替代物。
具体实施方式
[0015]本公开的多个方面针对工作负载配置，并且更具体地涉及提高工作负载配置的安全性。虽然不限于这样的应用，但根据上述背景，可更好地理解本公开的实施例。
[0016]可以在虚拟计算环境中部署定制的应用和/或工作负载。这样的工作负载可包括例如无状态应用、有状态应用、批作业、守护进程和/或其他工作负载。客户可以使用编程语言在工作负载定义(WD)文件中定义工作负载，该编程语言诸如但不限于对象表示法(JSON)或YAML(“YAML Ain
’
t Markup Language”的递归首字母缩写)。WD文件可在由客户拥有的虚拟私有云(VPC)中的工作节点上实现。然而，托管VPC的控制平面(例如，云提供者)可以修改WD文件，以便调度部署、提高部署效率和/或提高部署可靠性。(k8s)是在云供应商的虚拟资源和客户的工作负载的接口处起作用的容器编排系统的一个示例。是用于使工作负载部署、缩放和管理自动化的开源容器编排系统。可以与容器工具例如像结合使用。
[0017]不利地，控制平面修改WD文件的能力向客户引入安全风险，只要恶意行为者可经由控制平面渗透、破坏、窃取、危害、更改或以其他方式负面影响工作节点(例如，如果恶意行为者危害云提供者的安全基础设施并且获得控制平面中的访问和/或特权)。作为一个实例，考虑假设情况，其中客户请求部署容器镜像A，但是在控制平面的主节点(例如，编排者节点)中具有管理员特权的恶意行为者修改工作负载配置，使得工作节点部署损坏的容器镜像B。
[0018]用于防止控制平面对WD文件的恶意访问的一个可能的解决方案是对整个WD文件进行加密，使得其在控制平面处不能被危害。然而，在控制平面利用WD文件中的数据点中的一些数据点(甚至修改WD文件中的数据点中的一些数据点)以便高效地和有效地调度工作负载的情况下，这是有问题的。由此，对WD文件的整体进行加密可导致性能降级。
[0019]鉴于上述挑战，本公开的方面涉及选择性加密的WD文件，其中选择性加密的WD文件包括不可变、部分不可变和可变定义。不可变定义被加密并且在工作负载的调度期间由主节点不可修改。部分不可变定义与预定义范围相关联，因此允许主节点对部分不可变定义作出适当和合理的调整，以便有效和高效地调度工作负载。最后，可变的定义可由主节点完全配置，因为它们可对客户具有相对较小的安全风险，并且当需要时可由主节点调整时可实现改善的工作负载处理。
[0020]因此，本公开的各方面有利地提高了在VPC环境中执行的工作负载的安全性，同时保留了适当量的灵活性用于维持足够的调度效率和/或部署性能。通过WD文件的不可由主节点改变的不可变部分和/或WD文件的可由主节点在预定义范围内改变的部分不可变部分来实现改进的安全性。通过使主节点能够在预定义范围内修改WD文件的可变部分和WD文件的部分不可变部分来保持改进的性能。
[0021]现在参照图1，示出了根据本公开的一些实施例的示例计算环境100。计算环境100包括彼此通信耦接的客户102、云托管的主节点104和客户托管的工作节点106。云托管的主节点104可以与虚拟计算提供者114相关联。虚拟计算提供者114可以是虚拟计算的供应商(例如，公共、私有和/或混合云提供者)。云托管的主节点104可被配置来监控、管理和/或调度由客户(例如，客户102)在与虚拟计算提供者114(例如，客户托管的工作节点106)相关联的计算资源上提供的工作负载。云托管的主节点104可表示虚拟计算提供者114的控制平
面、管理节点或编排者节点。
[0022]客户托管的工作节点106可驻留在虚拟私有云(VPC)112内。VPC 112可以指针对相应客户102保留并且与关联于虚拟计算提供者114的其他共享资源隔离的共享计算资源的按需池。VPC 112因此能够使得客户102能够利用具有相对较高安全级别的供应的计算资源。客户托管的工作节点106(也称为工作者或迷你公司)可以是用于部署工作负载(例如，容器)的物理或虚拟机。虽然在VPC 112中示出了单个客户托管的工作节点106，但是这仅用于说明的目的，并且VPC 112内可存在许多客户托管的工作节点106。同样地，尽管示出了单个VPC 112，但是这也仅用于说明性目的，并且每个与相应客户102相关联的许多VPC 112可以由虚拟计算提供者114托管。
[0023]客户102可以指可以使用安全连接(例如，虚拟专用网络(本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：在工作节点处并且从主节点接收工作负载定义文件，其中，所述工作负载定义文件包括：加密的不可变定义；具有预定义值范围和由所述主节点修改的第一值的部分不可变定义；以及具有由所述主节点修改的第二值的可变定义；由所述工作节点解密所述加密的不可变定义以生成解密的不可变定义；由所述工作节点验证所述第一值满足所述预定义值范围；以及响应于解密所述加密的不可变定义并验证所述第一值满足所述预定义值范围，在虚拟计算环境中基于所述工作负载定义文件执行工作负载。2.根据权利要求1所述的方法，其中，所述工作节点驻留在虚拟私有云(VPC)中，并且其中，所述主节点驻留在管理多个虚拟私有云的控制平面中。3.根据权利要求1所述的方法，其中，所述加密的不可变定义不能被所述主节点修改。4.根据权利要求1所述的方法，其中，所述加密的不可变定义包含容器镜像名称。5.根据权利要求1所述的方法，其中，使用租赁所述工作节点的客户的公钥加密所述加密的不可变定义。6.根据权利要求1所述的方法，其中，所述部分不可变定义包含内存分配。7.根据权利要求1所述的方法，其中，所述可变定义包括容器实例标识符。8.一种系统，包括：处理器；以及计算机可读存储介质，所述计算机可读存储介质存储程序指令，所述程序指令在由所述处理器执行时被配置为使所述处理器执行一种方法，所述方法包括：在工作节点处并且从主节点接收工作负载定义文件，其中，所述工作负载定义文件包括：加密的不可变定义；具有预定义值范围和由所述主节点修改的第一值的部分不可变定义；以及具有由所述主节点修改的第二值的可变定义；由所述工作节点解密所述加密的不可变定义以生成解密的不可变定义；由所述工作节点验证所述第一值满足所述预定义值范围；以及响应于解密所述加密的不可变定义并验证所述第一值满足所述预定义值范围，在虚拟计算环境中基于所述工作负载定义文件执行工作负载。9.根据权利要求8所述的系统，其中，所述工作节点驻留在虚拟私有云(VP...

【专利技术属性】
技术研发人员：P巴纳吉，H帕蒂尔，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：