一種Docker容器內數(shù)據(jù)的訪問方法及裝置的制造方法
【技術領域】
[0001] 本發(fā)明涉及信息安全技術領域，特別涉及一種Docker容器內數(shù)據(jù)的訪問方法及 裝置。
【背景技術】
[0002] 隨著計算機和網(wǎng)絡技術的發(fā)展，云計算等網(wǎng)絡計算平臺的廣泛應用，越來越多的 關鍵業(yè)務系統(tǒng)運行在網(wǎng)絡計算平臺。網(wǎng)絡計算平臺的業(yè)務應用往往有大量的人員及用戶共 同維護或使用一個服務器，而一切業(yè)務應用的核心都是用戶的數(shù)據(jù)，因此用戶私有數(shù)據(jù)隔 離與共享等數(shù)據(jù)安全問題就突顯的尤為重要。
[0003] 目前，系統(tǒng)可以創(chuàng)建多個Docker容器，每一個Docker容器相當于一個虛擬機，通 過將用戶私有數(shù)據(jù)存儲在不同的Docker容器內部，通過Docker容器的隔離實現(xiàn)Docker容 器內數(shù)據(jù)的隔離，并且允許Docker容器內部的進程可以訪問Docker容器內的數(shù)據(jù)，以及允 許獲知該Decker容器的訪問路徑的進程進行訪問。
[0004] 然而，若黑客獲知到Docker容器的訪問路徑，則可以根據(jù)該訪問路徑去訪問該 Docker容器內的數(shù)據(jù)，從而給Docker容器內數(shù)據(jù)的安全帶來影響。

【發(fā)明內容】

[0005] 有鑒于此，本發(fā)明提供一種Docker容器內數(shù)據(jù)的訪問方法及裝置，以提高Docker 容器內數(shù)據(jù)的安全性。
[0006] 本發(fā)明提供料一種Docker容器內數(shù)據(jù)的訪問方法，設置位于當前Docker容器外 部的請求端具有對當前Docker容器內部數(shù)據(jù)所對應的掛載路徑和容器路徑的訪問權限， 其中，該位于當前Docker容器外部的該請求端包括文件、目錄、進程、注冊表和服務中的任 意一種，還包括：
[0007] 獲取外部的目標請求端對當前Docker容器內部的目標數(shù)據(jù)的訪問請求；
[0008] 根據(jù)預先設置的訪問權限，判斷所述目標請求端是否具有對所述目標數(shù)據(jù)所對應 的目標掛載路徑和目標容器路徑的訪問權限；
[0009] 在判斷結果為是時，允許所述目標請求端訪問所述目標掛載路徑和所述容器路徑 所對應的所述目標數(shù)據(jù)。
[0010] 優(yōu)選地，所述設置位于當前Docker容器外部的請求端具有對當前Docker容器內 部數(shù)據(jù)所對應的掛載路徑和容器路徑的訪問權限，包括：
[0011] 設置位于當前Docker容器外部的請求端具有對當前Docker容器內部數(shù)據(jù)所對應 的掛載路徑和容器路徑的讀操作權限和/或寫操作權限；
[0012] 和 / 或，
[0013] 設置位于當前Docker容器外部的任何一個請求端都不具有對當前Docker容器內 部的數(shù)據(jù)所對應的掛載路徑和容器路徑的訪問權限；
[0014] 和 / 或，
[0015] 設置位于當前Docker容器外部的請求端具有在設定時間段內，對當前Docker容 器內部數(shù)據(jù)所對應的掛載路徑和容器路徑的訪問權限。
[0016] 優(yōu)選地，在所述獲取外部的目標請求端對當前Docker容器內部的目標數(shù)據(jù)的訪 問請求之前，進一步包括：
[0017] 將相應地的掛載路徑和容器路徑發(fā)送至對當前Docker容器內部數(shù)據(jù)所對應的掛 載路徑和容器路徑具有訪問權限的位于當前Docker容器外部的請求端。
[0018] 本發(fā)明提供了一種Docker容器內數(shù)據(jù)的訪問裝置，包括：
[0019] 存儲單元，用于存儲位于當前Docker容器外部的請求端具有對當前Docker容器 內部數(shù)據(jù)所對應的掛載路徑和容器路徑的訪問權限，其中，該位于當前Docker容器外部的 該請求端包括文件、目錄、進程、注冊表和服務中的任意一種；
[0020] 獲取單元，用于獲取外部的目標請求端對當前Docker容器內部的目標數(shù)據(jù)的訪 問請求；
[0021] 判斷單元，用于根據(jù)預先設置的訪問權限，判斷所述目標請求端是否具有對所述 目標數(shù)據(jù)所對應的目標掛載路徑和目標容器路徑的訪問權限；在判斷結果為是時，允許所 述目標請求端訪問所述目標掛載路徑和所述容器路徑所對應的所述目標數(shù)據(jù)。
[0022] 優(yōu)選地，所述存儲單元，用于存儲位于當前Docker容器外部的請求端具有對當前 Docker容器內部數(shù)據(jù)所對應的掛載路徑和容器路徑的讀操作權限和/或寫操作權限；和/ 或，存儲位于當前Docker容器外部的任何一個請求端都不具有對當前Docker容器內部的 數(shù)據(jù)所對應的掛載路徑和容器路徑的訪問權限；和/或，存儲位于當前Docker容器外部的 請求端具有在設定時間段內，對當前Docker容器內部數(shù)據(jù)所對應的掛載路徑和容器路徑 的訪問權限。
[0023] 優(yōu)選地，進一步包括：
[0024] 發(fā)送單元，用于將相應地的掛載路徑和容器路徑發(fā)送至對當前Docker容器內部 數(shù)據(jù)所對應的掛載路徑和容器路徑具有訪問權限的位于當前Docker容器外部的請求端。
[0025] 本發(fā)明實施例提供了一種Docker容器內數(shù)據(jù)的訪問方法及裝置，通過設置位于 當前Docker容器外部的請求端具有對當前Docker容器內部數(shù)據(jù)所對應的掛載路徑和容器 路徑的訪問權限，即使有黑客獲知到Docker容器內數(shù)據(jù)的掛載路徑和容器路徑，也無法直 接訪問該數(shù)據(jù)，通過設置的訪問權限對訪問請求進行強制訪問控制，以使對掛載路徑和容 器路徑具有訪問權限的外部請求端才能夠對該目標數(shù)據(jù)的進行訪問，從而進一步提高了數(shù) 據(jù)的安全性。
【附圖說明】
[0026] 圖1是本發(fā)明實施例提供的方法流程圖；
[0027] 圖2是本發(fā)明另一實施例提供的方法流程圖；
[0028] 圖3是本發(fā)明實施例提供的裝置所在設備的硬件架構圖；
[0029] 圖4是本發(fā)明實施例提供的裝置結構示意圖；
[0030] 圖5是本發(fā)明另一實施例提供的裝置結構示意圖。
【具體實施方式】
[0031] 下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完 整地描述。顯然，所描述的實施例僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒?發(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實 施例，都屬于本發(fā)明保護的范圍。
[0032] 如圖1所示，本發(fā)明實施例提供了一種Docker容器內數(shù)據(jù)的訪問方法，該方法可 以包括以下步驟：
[0033] 步驟101 :設置位于當前Docker容器外部的請求端具有對當前Docker容器內部 數(shù)據(jù)所對應的掛載路徑和容器路徑的訪問權限，其中，該位于當前Docker容器外部的該請 求端包括文件、目錄、進程、注冊表和服務中的任意一種。
[0034] 步驟102 :獲取外部的目標請求端對當前Docker容器內部的目標數(shù)據(jù)的訪問請 求。
[0035] 步驟103 :根據(jù)預先設置的訪問權限，判斷目標請求端是否具有對目標數(shù)據(jù)所對 應的目標掛載路徑和目標容器路徑的訪問權限。
[0036] 步驟104 :在判斷結果為是時，允許目標請求端訪問目標掛載路徑和容器路徑所 對應的目標數(shù)據(jù)。
[0037] 根據(jù)上述方案，通過設置位于當前Docker容器外部的請求端具有對當前Docker 容器內部數(shù)據(jù)所對應的掛載路徑和容器路徑的訪問權限，即使有黑客獲知到Docker容器 內數(shù)據(jù)的掛載路徑和容器路徑，也無法直接訪問該數(shù)據(jù)，通過設置的訪問權限對訪問請求 進行強制訪問控制，以使對掛載路徑和容器路徑具有訪問權限的外部請求端才能夠對該目 標數(shù)據(jù)的進行訪問，從而進一步提高了數(shù)據(jù)的安全性。
[0038] 為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚，下面結合附圖及具體實施例對本 發(fā)明作進一步地詳細描述。
[0039] 如圖2所示，本發(fā)明實施例提供了一種Docker容器內數(shù)據(jù)的訪問方法，該方法可 以包括以下步驟：
[0040] 步驟201 :設置位于當前Docker容器外部的請求端具有對當前Docker容器內部 數(shù)據(jù)所對應的掛載路徑和容器路徑的訪問權限。
[0041] 本實施例中，Docker容器對內部私有數(shù)據(jù)安全性可以通過如下方式進行保證。
[0042] 其中，Docker容器是包括有一個虛擬操作系統(tǒng)的虛擬機，對于一個正在運行的 Docker容器，其操作系統(tǒng)都是一個從根目錄開始的虛擬文件系統(tǒng)，對于該Docker容器中所 運行的腳本文件可以包括：
[0043]
[0044]