JP7545895B2 - ソフトウェアコンテナの性能および分離を改善するための方法およびシステム - Google Patents
ソフトウェアコンテナの性能および分離を改善するための方法およびシステム Download PDFInfo
- Publication number
- JP7545895B2 JP7545895B2 JP2020555910A JP2020555910A JP7545895B2 JP 7545895 B2 JP7545895 B2 JP 7545895B2 JP 2020555910 A JP2020555910 A JP 2020555910A JP 2020555910 A JP2020555910 A JP 2020555910A JP 7545895 B2 JP7545895 B2 JP 7545895B2
- Authority
- JP
- Japan
- Prior art keywords
- kernel
- software container
- operating system
- container
- user processes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/4555—Para-virtualisation, i.e. guest operating system has to be modified
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/545—Interprogram communication where tasks reside in different layers, e.g. user- and kernel-space
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45583—Memory management, e.g. access or allocation
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
- G06F8/63—Image based installation; Cloning; Build to order
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45541—Bare-metal, i.e. hypervisor runs directly on hardware
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Stored Programmes (AREA)
- Devices For Executing Special Programs (AREA)
Description
本出願は2018年4月11日に出願の「Method and System for Improving Software Container Performance and Isolation」と題する米国仮特許出願第62/656,051号の優先権を主張し、これは参照により完全に本明細書に組み込まれる。
本発明は、米国科学財団(NSF)によって授与された契約番号CSR-1422544、CNS-1601879、CSR-1704742、1053757および0424422、米国国立標準技術研究所(NIST)によって授与された契約番号60NANB15D327および70NANB17H181、ならびに、米国国防総省高等研究計画局(DARPA)によって授与された契約番号FA8750-10-2-0238、FA8750-11-2-0256およびD11AP00266の下で政府支援を受けてなされた。米国政府は、本発明における一定の権利を有する。
したがって、「情報処理システム」という本明細書で用いられる用語は、概して、これらおよび他の配置を含むと解釈されることを意図している。
Claims (21)
- カーネルベースの分離層を実装することと、
前記カーネルベースの分離層上のソフトウェアコンテナがライブラリオペレーティングシステムとして専用のオペレーティングシステムカーネルを含むように構成することと、
前記ソフトウェアコンテナにおいて1つ以上のユーザプロセスを実行することと、を含み、
メモリに結合されたプロセッサをそれぞれ含んでいる複数の処理デバイスを含む処理プラットフォームによって実行され、
前記ライブラリオペレーティングシステムは、前記ソフトウェアコンテナにおいて実行される前記1つ以上のユーザプロセスの特権レベルと同じ特権レベルで、前記ソフトウェアコンテナにおいて実行され、および
前記ソフトウェアコンテナにおいて前記1つ以上のユーザプロセスを実行することは前記ソフトウェアコンテナにおいて複数のユーザプロセスを実行することを含み、
さらに、前記ライブラリオペレーティングシステムが、前記ソフトウェアコンテナにおいて実行している前記複数のユーザプロセスの各々の特権レベルと同じ特権レベルで前記ソフトウェアコンテナにおいて実行される、方法。 - 前記カーネルベースの分離層が、前記ソフトウェアコンテナの前記専用のオペレーティングシステムカーネルに対し、仮想マシンハイパーバイザまたはホストオペレーティングシステムの少なくとも一部を含んで実装されている、請求項1に記載の方法。
- 前記カーネルベースの分離層が、仮想マシンハイパーバイザおよびホストオペレーティングシステムのうち1つを含む、請求項1に記載の方法。
- 前記ライブラリオペレーティングシステムが、指定されたタイプのモノリシックオペレーティングシステムカーネルから変換される、請求項1に記載の方法。
- 前記ライブラリオペレーティングシステムが、システムコールを対応する関数コールに変換することと連動して前記1つ以上のユーザプロセスのバイナリの自動翻訳をサポートするように構成されている、請求項1に記載の方法。
- 前記カーネルベースの分離層上のソフトウェアコンテナがライブラリオペレーティングシステムとして専用のオペレーティングシステムカーネルを含むように構成することがさらに、
既存のソフトウェアコンテナのコンテナイメージを抽出することと、
前記カーネルベースの分離層上の前記ソフトウェアコンテナを構成する際の仮想マシンイメージとして前記抽出されたコンテナイメージを利用することと、を含み、
前記カーネルベースの分離層上の前記ソフトウェアコンテナが前記既存のソフトウェアコンテナのラッピングされたバージョンを含む、請求項1に記載の方法。 - 前記既存のソフトウェアコンテナの1つ以上のユーザプロセスが、それらの1つ以上のユーザプロセスのいかなる修正も必要とすることなく前記カーネルベースの分離層上の前記ソフトウェアコンテナの前記1つ以上のユーザプロセスとして実行するのを許可される、請求項6に記載の方法。
- 前記カーネルベースの分離層上のソフトウェアコンテナがライブラリオペレーティングシステムとして専用のオペレーティングシステムカーネルを含むように構成することは、前記カーネルベースの分離層上の複数のソフトウェアコンテナを、前記複数のソフトウェアコンテナのそれぞれがライブラリオペレーティングシステムとして別々の専用のオペレーティングシステムカーネルを含むように構成することをさらに含む、請求項1に記載の方法。
- 前記ソフトウェアコンテナにおいて1つ以上のユーザプロセスを実行することは、前記複数のソフトウェアコンテナのそれぞれのものの1つ以上のユーザプロセスの別個のセットを実行することをさらに含み、前記別個のセットのうち少なくとも1つが複数の異なるユーザプロセスを含む、請求項8に記載の方法。
- 前記複数のソフトウェアコンテナの第1のものにおいて実行している1つ以上のユーザプロセスの前記別個のセットの第1のものは、前記複数のソフトウェアコンテナの第2のものにおいて実行している1つ以上のユーザプロセスの前記別個のセットの第2のものから分離される、請求項9に記載の方法。
- 前記ソフトウェアコンテナを構成することは、前記ライブラリオペレーティングシステムおよび前記1つ以上のユーザプロセスがユーザモードで動作する準仮想化されたソフトウェアコンテナとして前記ソフトウェアコンテナを構成することを含む、請求項1に記載の方法。
- 前記準仮想化されたソフトウェアコンテナが動作する前記カーネルベースの分離層を実装することは、他の場合は標準仮想マシンハイパーバイザまたはオペレーティングシステムカーネルであるものの修正されたバージョンとして前記カーネルベースの分離層を実装することを含む、請求項11に記載の方法。
- 前記ソフトウェアコンテナを構成することは、前記ライブラリオペレーティングシステムおよび前記1つ以上のユーザプロセスがハードウェアアシスト型仮想マシンの中でカーネルモードで動作するハードウェアアシスト型の仮想化されたソフトウェアコンテナとして前記ソフトウェアコンテナを構成することを含む、請求項1に記載の方法。
- 前記ハードウェアアシスト型の仮想化されたソフトウェアコンテナが動作する前記カーネルベースの分離層を実装することは、標準仮想マシンハイパーバイザまたはオペレーティングシステムカーネルとして前記カーネルベースの分離層を実装することを含む、請求項13に記載の方法。
- 前記カーネルベースの分離層および前記ソフトウェアコンテナの前記ライブラリオペレーティングシステムが、異なるタイプのそれぞれの第1および第2のオペレーティングシステムを用いて実装されている、請求項1に記載の方法。
- メモリに結合されたプロセッサをそれぞれ含んでいる複数の処理デバイスを含む処理プラットフォームを含むシステムであって、
前記処理プラットフォームは、
カーネルベースの分離層を実装し、
前記カーネルベースの分離層上のソフトウェアコンテナがライブラリオペレーティングシステムとして専用のオペレーティングシステムカーネルを含むように構成し、
前記ソフトウェアコンテナにおいて1つ以上のユーザプロセスを実行するように構成され、
前記ライブラリオペレーティングシステムは、前記ソフトウェアコンテナにおいて実行される前記1つ以上のユーザプロセスの特権レベルと同じ特権レベルで、前記ソフトウェアコンテナにおいて実行され、および
前記ソフトウェアコンテナにおいて前記1つ以上のユーザプロセスを実行することは前記ソフトウェアコンテナにおいて複数のユーザプロセスを実行することを含み、
さらに、前記ライブラリオペレーティングシステムが、前記ソフトウェアコンテナにおいて実行している前記複数のユーザプロセスの各々の特権レベルと同じ特権レベルで前記ソフトウェアコンテナにおいて実行される、システム。 - 前記処理プラットフォームが、それぞれの異なるテナントに対して前記カーネルベースの分離層上の1つ以上のソフトウェアコンテナの異なるセットを提供するように構成されており、それぞれのこのようなソフトウェアコンテナはライブラリオペレーティングシステムとして専用のオペレーティングシステムカーネルを含む、請求項16に記載のシステム。
- 前記処理プラットフォームが、
クラウドベースの処理プラットフォーム、
エンタープライズ処理プラットフォーム、
モノのインターネット(IoT)プラットフォーム、および
ネットワーク機能仮想化(NFV)プラットフォーム、のうち少なくとも1つを含む、請求項16に記載のシステム。 - 少なくとも1つの処理デバイスによって実行されると、
カーネルベースの分離層を実装することと、
前記カーネルベースの分離層上のソフトウェアコンテナがライブラリオペレーティングシステムとして専用のオペレーティングシステムカーネルを含むように構成することと、
前記ソフトウェアコンテナにおいて1つ以上のユーザプロセスを実行することと、を少なくとも1つの処理デバイスに行わせ、
前記ライブラリオペレーティングシステムは、前記ソフトウェアコンテナにおいて実行される前記1つ以上のユーザプロセスの特権レベルと同じ特権レベルで、前記ソフトウェアコンテナにおいて実行され、および
前記ソフトウェアコンテナにおいて前記1つ以上のユーザプロセスを実行することは前記ソフトウェアコンテナにおいて複数のユーザプロセスを実行することを含み、
さらに、前記ライブラリオペレーティングシステムが、前記ソフトウェアコンテナにおいて実行している前記複数のユーザプロセスの各々の特権レベルと同じ特権レベルで前記ソフトウェアコンテナにおいて実行される、コンピュータプログラム。 - 前記ソフトウェアコンテナにおいて前記1つ以上のユーザプロセスを実行することは前記ソフトウェアコンテナにおいて複数のユーザプロセスを実行することを含み、
さらに、前記ライブラリオペレーティングシステムが、前記ソフトウェアコンテナにおいて実行している前記複数のユーザプロセスの各々の特権レベルと同じ特権レベルで前記ソフトウェアコンテナにおいて実行される、請求項19に記載のコンピュータプログラム。 - 前記ライブラリオペレーティングシステムが、システムコールを対応する関数コールに変換することと連動して前記1つ以上のユーザプロセスのバイナリの自動翻訳をサポートするように構成されている、請求項19に記載のコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2024058964A JP2024096743A (ja) | 2018-04-11 | 2024-04-01 | ソフトウェアコンテナの性能および分離を改善するための方法およびシステム |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862656051P | 2018-04-11 | 2018-04-11 | |
| US62/656,051 | 2018-04-11 | ||
| PCT/US2019/026995 WO2019200102A1 (en) | 2018-04-11 | 2019-04-11 | Method and system for improving software container performance and isolation |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2024058964A Division JP2024096743A (ja) | 2018-04-11 | 2024-04-01 | ソフトウェアコンテナの性能および分離を改善するための方法およびシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021521530A JP2021521530A (ja) | 2021-08-26 |
| JP7545895B2 true JP7545895B2 (ja) | 2024-09-05 |
Family
ID=68164528
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020555910A Active JP7545895B2 (ja) | 2018-04-11 | 2019-04-11 | ソフトウェアコンテナの性能および分離を改善するための方法およびシステム |
| JP2024058964A Withdrawn JP2024096743A (ja) | 2018-04-11 | 2024-04-01 | ソフトウェアコンテナの性能および分離を改善するための方法およびシステム |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2024058964A Withdrawn JP2024096743A (ja) | 2018-04-11 | 2024-04-01 | ソフトウェアコンテナの性能および分離を改善するための方法およびシステム |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US12001867B2 (ja) |
| EP (1) | EP3776194B1 (ja) |
| JP (2) | JP7545895B2 (ja) |
| KR (1) | KR102780199B1 (ja) |
| CN (1) | CN112236752B (ja) |
| AU (1) | AU2019252434B2 (ja) |
| CA (1) | CA3096872A1 (ja) |
| WO (1) | WO2019200102A1 (ja) |
Families Citing this family (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2019252434B2 (en) | 2018-04-11 | 2024-03-28 | Cornell University | Method and system for improving software container performance and isolation |
| US20210034546A1 (en) * | 2018-06-29 | 2021-02-04 | John Joseph Browne | Transparent encryption |
| US11385940B2 (en) | 2018-10-26 | 2022-07-12 | EMC IP Holding Company LLC | Multi-cloud framework for microservice-based applications |
| CN112035272B (zh) * | 2019-06-03 | 2024-11-29 | 华为技术有限公司 | 进程间通信的方法、装置以及计算机设备 |
| US11533317B2 (en) * | 2019-09-30 | 2022-12-20 | EMC IP Holding Company LLC | Serverless application center for multi-cloud deployment of serverless applications |
| US11240045B2 (en) | 2019-10-30 | 2022-02-01 | Red Hat, Inc. | Detection and prevention of unauthorized execution of severless functions |
| US11392422B1 (en) * | 2019-11-27 | 2022-07-19 | Amazon Technologies, Inc. | Service-managed containers for container orchestration service |
| US11422844B1 (en) | 2019-11-27 | 2022-08-23 | Amazon Technologies, Inc. | Client-specified network interface configuration for serverless container management service |
| CN111431969A (zh) * | 2020-02-28 | 2020-07-17 | 平安科技(深圳)有限公司 | 连接池的统一部署系统及方法 |
| CN113297566B (zh) * | 2020-05-15 | 2024-04-02 | 阿里巴巴集团控股有限公司 | 沙箱实现方法、装置、设备和存储介质 |
| US12190144B1 (en) | 2020-06-22 | 2025-01-07 | Amazon Technologies, Inc. | Predelivering container image layers for future execution of container images |
| US11403150B1 (en) | 2020-06-23 | 2022-08-02 | Amazon Technologies, Inc. | Replenishment-aware resource usage management |
| US11573816B1 (en) | 2020-06-26 | 2023-02-07 | Amazon Technologies, Inc. | Prefetching and managing container images using cluster manifest |
| US11487591B1 (en) | 2020-06-29 | 2022-11-01 | Amazon Technologies, Inc. | Automatically configuring execution of a containerized application |
| CA3185498A1 (en) | 2020-08-17 | 2022-02-24 | Zhiming Shen | Methods and systems for instantiating and transparently migrating executing containerized processes |
| US12517715B2 (en) | 2020-08-17 | 2026-01-06 | Exotanium, Inc. | Methods and systems for instantiating and transparently migrating executing containerized processes |
| US11853807B1 (en) | 2020-12-01 | 2023-12-26 | Amazon Technologies, Inc. | Cluster scaling based on task state information |
| US11797287B1 (en) | 2021-03-17 | 2023-10-24 | Amazon Technologies, Inc. | Automatically terminating deployment of containerized applications |
| US12443424B1 (en) | 2021-03-30 | 2025-10-14 | Amazon Technologies, Inc. | Generational management of compute resource pools |
| US11900173B2 (en) * | 2021-05-18 | 2024-02-13 | Kyndryl, Inc. | Container runtime optimization |
| US11995466B1 (en) | 2021-06-30 | 2024-05-28 | Amazon Technologies, Inc. | Scaling down computing resource allocations for execution of containerized applications |
| US11989586B1 (en) | 2021-06-30 | 2024-05-21 | Amazon Technologies, Inc. | Scaling up computing resource allocations for execution of containerized applications |
| US11892418B1 (en) | 2021-06-30 | 2024-02-06 | Amazon Technologies, Inc. | Container image inspection and optimization |
| CN113672343A (zh) * | 2021-08-04 | 2021-11-19 | 浪潮云信息技术股份公司 | 一种基于轻量安全容器的函数计算冷启动加速的方法 |
| CN113791865B (zh) * | 2021-09-08 | 2024-07-26 | 山石网科通信技术股份有限公司 | 容器安全的处理方法及装置、存储介质和处理器 |
| CN113986449B (zh) * | 2021-09-17 | 2025-04-15 | 华中科技大学 | 一种面向容器的Linux内核虚拟化系统及方法 |
| EP4155918B1 (en) * | 2021-09-23 | 2025-02-26 | Nokia Solutions and Networks Oy | A method and apparatus for isolated execution of computer code with a native code portion |
| CN114547595B (zh) * | 2022-02-18 | 2025-11-28 | 浙江大学 | 一种面向安全容器的调用路径分析方法 |
| CN114546599B (zh) * | 2022-02-25 | 2023-01-06 | 科东(广州)软件科技有限公司 | 一种容器操作系统 |
| CN115080248B (zh) * | 2022-08-19 | 2023-01-10 | 中兴通讯股份有限公司 | 调度装置的调度优化方法、调度装置和存储介质 |
| CN115987566B (zh) * | 2022-12-01 | 2024-10-08 | 贵州电网有限责任公司 | 一种基于新能源电力系统服务器隔离架构 |
| CN116112429B (zh) * | 2022-12-29 | 2024-09-06 | 国网河南省电力公司信息通信公司 | 基于标签路由策略的容器清洗方法、装置及存储介质 |
| CN116126667A (zh) * | 2022-12-30 | 2023-05-16 | 广州超云科技有限公司 | 操作系统的性能确定方法、装置、电子设备及存储介质 |
| US20240385890A1 (en) * | 2023-05-19 | 2024-11-21 | Alteryx, Inc. | Execution engine wrapper container for a data analytics system |
| CN116737445B (zh) * | 2023-08-14 | 2023-10-27 | 南京翼辉信息技术有限公司 | 一种利用伪容器实现资源隔离的控制方法 |
| US12504998B2 (en) * | 2024-02-09 | 2025-12-23 | Exostellar, Inc. | Methods and systems for dynamically optimizing and modifying allocation of virtual resources to processes |
| US12613749B2 (en) | 2024-04-01 | 2026-04-28 | Exostellar, Inc. | Methods and systems for dynamically optimizing and modifying allocation of virtual graphical processing units |
| US12333330B1 (en) * | 2024-09-19 | 2025-06-17 | Parry Labs, Llc | Apparatus and method for increasing security of a virtual machine |
| CN119396548B (zh) * | 2024-10-15 | 2025-10-24 | 上海交通大学 | 一种面向无服务器计算的多线程执行与资源安全共享的云计算系统 |
| CN119473636B (zh) * | 2025-01-15 | 2025-03-18 | 华信咨询设计研究院有限公司 | 一种容器系统进程生命周期管理的方法与系统 |
| CN120654229B (zh) * | 2025-08-13 | 2025-11-04 | 江苏君立华域信息安全技术股份有限公司 | 一种基于容器隔离的软件补丁安全执行方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006244481A (ja) | 2005-02-28 | 2006-09-14 | Hewlett-Packard Development Co Lp | クラスタシステムの仮想マシンをマイグレーションするためのシステム及び方法 |
| JP2014510343A (ja) | 2011-03-03 | 2014-04-24 | マイクロソフト コーポレーション | ライブラリーオペレーティングシステムによるアプリケーションの互換性 |
| US20150248554A1 (en) | 2014-03-03 | 2015-09-03 | Bitdefender IPR Management Ltd. | Systems And Methods For Executing Arbitrary Applications In Secure Environments |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7516453B1 (en) * | 1998-10-26 | 2009-04-07 | Vmware, Inc. | Binary translator with precise exception synchronization mechanism |
| US7519814B2 (en) | 2003-09-15 | 2009-04-14 | Trigence Corp. | System for containerization of application sets |
| EP1678617A4 (en) * | 2003-10-08 | 2008-03-26 | Unisys Corp | COMPUTER SYSTEM PARAVIRTUALIZATION BY USING A HYPERVISOR IMPLEMENTED IN A PARTITION OF THE HOST SYSTEM |
| US10628579B2 (en) * | 2009-06-26 | 2020-04-21 | International Business Machines Corporation | System and method for supporting secure objects using a memory access control monitor |
| US9552497B2 (en) | 2009-11-10 | 2017-01-24 | Mcafee, Inc. | System and method for preventing data loss using virtual machine wrapped applications |
| US9058183B2 (en) * | 2009-12-29 | 2015-06-16 | Advanced Micro Devices, Inc. | Hypervisor isolation of processor cores to enable computing accelerator cores |
| US8909761B2 (en) * | 2011-02-08 | 2014-12-09 | BlueStripe Software, Inc. | Methods and computer program products for monitoring and reporting performance of network applications executing in operating-system-level virtualization containers |
| US20130054734A1 (en) * | 2011-08-23 | 2013-02-28 | Microsoft Corporation | Migration of cloud applications between a local computing device and cloud |
| US8959484B2 (en) | 2012-06-21 | 2015-02-17 | Microsoft Corporation | System for hosted, shared, source control build |
| US9390055B2 (en) * | 2012-07-17 | 2016-07-12 | Coho Data, Inc. | Systems, methods and devices for integrating end-host and network resources in distributed memory |
| US9519795B2 (en) * | 2013-05-28 | 2016-12-13 | Unisys Corporation | Interconnect partition binding API, allocation and management of application-specific partitions |
| EA201301283A1 (ru) | 2013-11-26 | 2015-05-29 | Общество С Ограниченной Ответственностью "Параллелз" | Способ целевой виртуализации ресурсов в контейнере |
| US9274823B1 (en) | 2014-12-24 | 2016-03-01 | Parallels IP Holdings GmbH | Thin hypervisor for native execution of unsafe code |
| US20160205172A1 (en) * | 2015-01-08 | 2016-07-14 | Futurewei Technologies, Inc. | Offloading graph based computations to a backend device |
| US9652612B2 (en) * | 2015-03-25 | 2017-05-16 | International Business Machines Corporation | Security within a software-defined infrastructure |
| US10114958B2 (en) * | 2015-06-16 | 2018-10-30 | Microsoft Technology Licensing, Llc | Protected regions |
| US9921885B2 (en) * | 2015-06-19 | 2018-03-20 | Vmware, Inc. | Resource management for containers in a virtualized environment |
| US9697034B2 (en) * | 2015-08-07 | 2017-07-04 | Futurewei Technologies, Inc. | Offloading probabilistic computations in data analytics applications |
| US10586042B2 (en) | 2015-10-01 | 2020-03-10 | Twistlock, Ltd. | Profiling of container images and enforcing security policies respective thereof |
| US9990232B2 (en) * | 2015-10-06 | 2018-06-05 | Red Hat, Inc. | Quality of service tagging for computing jobs |
| CN105511943B (zh) | 2015-12-03 | 2019-04-12 | 华为技术有限公司 | 一种Docker容器运行方法和装置 |
| US9766915B1 (en) | 2016-03-23 | 2017-09-19 | Parallels IP Holdings GmbH | Method for creation of application containers inside OS containers |
| US10402187B2 (en) | 2016-08-10 | 2019-09-03 | Trilio Data Inc. | Efficient workload deployment using containers and unikernels |
| CN106776067B (zh) * | 2016-11-29 | 2020-10-23 | 北京元心科技有限公司 | 多容器系统中系统资源的管理方法及管理装置 |
| US10530747B2 (en) | 2017-01-13 | 2020-01-07 | Citrix Systems, Inc. | Systems and methods to run user space network stack inside docker container while bypassing container Linux network stack |
| US10936331B2 (en) | 2017-02-23 | 2021-03-02 | International Business Machines Corporation | Running a kernel-dependent application in a container |
| CA3117313A1 (en) * | 2017-11-08 | 2019-05-16 | Csp, Inc. | Network security enforcement device |
| AU2019252434B2 (en) | 2018-04-11 | 2024-03-28 | Cornell University | Method and system for improving software container performance and isolation |
-
2019
- 2019-04-11 AU AU2019252434A patent/AU2019252434B2/en active Active
- 2019-04-11 WO PCT/US2019/026995 patent/WO2019200102A1/en not_active Ceased
- 2019-04-11 EP EP19786127.1A patent/EP3776194B1/en active Active
- 2019-04-11 US US17/046,632 patent/US12001867B2/en active Active
- 2019-04-11 CA CA3096872A patent/CA3096872A1/en active Pending
- 2019-04-11 JP JP2020555910A patent/JP7545895B2/ja active Active
- 2019-04-11 KR KR1020207032437A patent/KR102780199B1/ko active Active
- 2019-04-11 CN CN201980038261.3A patent/CN112236752B/zh active Active
-
2024
- 2024-04-01 JP JP2024058964A patent/JP2024096743A/ja not_active Withdrawn
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006244481A (ja) | 2005-02-28 | 2006-09-14 | Hewlett-Packard Development Co Lp | クラスタシステムの仮想マシンをマイグレーションするためのシステム及び方法 |
| JP2014510343A (ja) | 2011-03-03 | 2014-04-24 | マイクロソフト コーポレーション | ライブラリーオペレーティングシステムによるアプリケーションの互換性 |
| US20150248554A1 (en) | 2014-03-03 | 2015-09-03 | Bitdefender IPR Management Ltd. | Systems And Methods For Executing Arbitrary Applications In Secure Environments |
Non-Patent Citations (1)
| Title |
|---|
| OLINSKY, Reuben et al.,Drawbridge,Internet Archive,2016年10月03日,[retrieved on 2023-04-14] Retrieved from the Internet <URL: https://web.archive.org/web/20161003125852/https://www.microsoft.com/en-us/research/project/drawbridge/> |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20200142043A (ko) | 2020-12-21 |
| EP3776194A4 (en) | 2022-06-01 |
| KR102780199B1 (ko) | 2025-03-14 |
| AU2019252434A1 (en) | 2020-11-12 |
| WO2019200102A1 (en) | 2019-10-17 |
| CA3096872A1 (en) | 2019-10-17 |
| JP2021521530A (ja) | 2021-08-26 |
| CN112236752A (zh) | 2021-01-15 |
| AU2019252434B2 (en) | 2024-03-28 |
| EP3776194B1 (en) | 2025-03-19 |
| EP3776194A1 (en) | 2021-02-17 |
| CN112236752B (zh) | 2024-09-27 |
| JP2024096743A (ja) | 2024-07-17 |
| US20210109775A1 (en) | 2021-04-15 |
| US12001867B2 (en) | 2024-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7545895B2 (ja) | ソフトウェアコンテナの性能および分離を改善するための方法およびシステム | |
| Shen et al. | X-containers: Breaking down barriers to improve performance and isolation of cloud-native containers | |
| Li et al. | Twinvisor: Hardware-isolated confidential virtual machines for arm | |
| Gu et al. | Harmonizing performance and isolation in microkernels with efficient intra-kernel isolation and communication | |
| Bugnion et al. | Bringing virtualization to the x86 architecture with the original vmware workstation | |
| Zhang et al. | {KylinX}: A dynamic library operating system for simplified and efficient cloud virtualization | |
| US11734048B2 (en) | Efficient user space driver isolation by shallow virtual machines | |
| Alzayat et al. | Groundhog: Efficient request isolation in faas | |
| US10489185B2 (en) | Hypervisor-assisted approach for locating operating system data structures based on attribute matching | |
| US20180267818A1 (en) | Hypervisor-assisted approach for locating operating system data structures based on notification data | |
| Vilanova et al. | Direct inter-process communication (dipc) repurposing the codoms architecture to accelerate ipc | |
| US10754796B2 (en) | Efficient user space driver isolation by CPU page table switching | |
| Chen et al. | Microkernel goes general: Performance and compatibility in the {HongMeng} production microkernel | |
| Zhang et al. | Kylinx: Simplified virtualization architecture for specialized virtual appliances with strong isolation | |
| Huang et al. | Pvm: Efficient shadow paging for deploying secure containers in cloud-native environment | |
| CN111737656A (zh) | 面向应用程序的特权硬件资源访问方法及电子设备 | |
| Douglas | Thin hypervisor-based security architectures for embedded platforms | |
| Saeki et al. | Bash on Ubuntu on macOS | |
| Ma | Revisiting Isolation for System Security and Efficiency in the Era of Internet of Things | |
| Tsai | A Library Operating System for Compatibility | |
| CN104794407A (zh) | 一种基于kvm的虚拟机文件强制访问控制方法及系统 | |
| Sartakov et al. | CAP-VMs: Capability-Based Isolation and Sharing for Microservices | |
| Mehrab | On Improving the Security of Virtualized Systems through Unikernelized Driver Domain and Virtual Machine Monitor Compartmentalization and Specialization | |
| Chapman | vNUMA: Virtual shared-memory multiprocessors. | |
| Moore | Capability-Aware Operating System Design and ZenOS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220406 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230420 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230419 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20230720 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231020 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20231130 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240401 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20240604 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240730 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240826 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7545895 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |