公开(公告)号：CN115885261A

公开(公告)日：2023-03-31

申请号：CN202180040280.7

申请日：2021-04-06

Applicant: 微软技术许可有限责任公司

Inventor： A·T·郭 ,  F·J·史密斯四世 ,  J·斯塔克斯 ,  L·罗伊特 ,  D·托马斯 ,  H·R·普拉帕卡 ,  B·M·舒尔茨 ,  J·J·刘

IPC: G06F9/455 ,  G06F21/53

Abstract: 细粒度可选择的部分特权容器虚拟计算环境提供了载体，通过该载体可以将涉及修改主机计算环境的特定方面的进程传递给主机计算环境并在其上执行，同时维持在主机计算环境的其余方面和部分特权的容器计算环境之间有利的和期望的保护和隔离。这样的部分特权是基于直接或间接描述的如下动作来提供的：允许由在部分特权容器虚拟计算环境中执行的进程在主机计算环境上进行的动作和不允许的动作。主机计算环境操作系统的各方面(诸如，内核)被扩展为对接到以容器为中心的机制以接收如下的信息，该信息关于内核可以允许或拒绝哪些动作，即使尝试这样的动作的进程本来具有足够的特权。