容器操作方法及装置与流程

容器编码，确定目标容器的容器编码；
19.将目标容器的容器编码作为所述目标应用的用户身份标识。
20.可选地，所述获取具有未占用的容器编码的容器空间，包括：
21.在当前容器系统中不存在具有未占用的容器编码的容器空间的情况下，创建新的 容器空间；
22.将所述新的容器空间作为所述具有未占用的容器编码的容器空间。
23.可选地，所述获取具有未占用的容器编码的容器空间，包括：
24.在当前容器系统中存在具有剩余容纳空间的容器空间的情况下，将所述具有剩余 容纳空间的容器空间，作为所述具有未占用的容器编码的容器空间。
25.可选地，容器操作方法还包括：
26.在主系统完成启动的状态下，启动主系统的容器系统；
27.在所述容器系统中，启动已创建的容器空间；
28.在每个所述容器空间中，启动容器空间孵化器；
29.在每个所述容器空间中，基于所述容器空间孵化器，启动容器空间系统服务，所 述容器空间系统服务用于存储容器空间的容器编码的与应用的对应信息。
30.根据本发明实施例的另一方面，还提供了一种容器操作装置，包括：
31.接收模块，用于接收向目标应用发送的通信信息；
32.目标容器获取模块，用于根据所述通信信息，在与目标应用对应的容器空间中， 获取运行所述目标应用的进程的目标容器；所述目标应用对应的容器空间与设定的容 器编码取值范围具有唯一对应关系；
33.发送模块，用于将所述通信信息发送至所述目标容器，使得所述目标应用的进程 能够接收到所述通信信息。
34.可选地，容器操作装置还包括：
35.用户身份标识获取模块，用于在接收到目标应用启动指令的情况下，获取目标应 用对应的用户身份标识；
36.用户身份标识对应模块，用于根据所述目标应用的用户身份标识，确定所述目标 应用对应的容器空间；
37.目标容器启动模块，用于在所述容器空间中，根据所述用户身份标识作为容器编 码，启动所述目标容器；
38.运行模块，用于在所述目标容器中，运行所述目标应用的进程。
39.可选地，容器操作装置还包括：
40.容器空间获取模块，用于接收到所述目标应用的创建指令的情况下，获取具有未 占用的容器编码的容器空间；
41.容器空间处理模块，用于将所述具有未占用的容器编码的容器空间作为所述目标 应用的对应的容器空间；
42.容器编码确定模块，用于根据所述目标应用的对应的容器空间的设定的容器编码 取值范围内，未被占用的容器编码，确定目标容器的容器编码；
43.容器编码处理模块，用于将目标容器的容器编码作为所述目标应用的用户身份标 识。
44.可选地，所述容器空间获取模块包括：
45.创建单元，用于在当前容器系统中不存在具有未占用的容器编码的容器空间的情 况下，创建新的容器空间；
46.第一操作单元，用于将所述新的容器空间作为所述具有未占用的容器编码的容器 空间。
47.可选地，所述容器空间获取模块包括：
48.第二操作单元，用于在当前容器系统中存在具有剩余容纳空间的容器空间的情况 下，将所述具有剩余容纳空间的容器空间，作为所述具有未占用的容器编码的容器空 间。
49.可选地，容器操作装置还包括：
50.第一启动模块，用于在主系统完成启动的状态下，启动主系统的容器系统；
51.第二启动模块，用于在所述容器系统中，启动已创建的容器空间；
52.第三启动模块，用于在每个所述容器空间中，启动容器空间孵化器；
53.第四启动模块，用于在每个所述容器空间中，基于所述容器空间孵化器，启动容 器空间系统服务，所述容器空间系统服务用于存储容器空间的容器编码的与应用的对 应信息。
54.根据本发明实施例的又一方面，还提供了一种存储介质，所述存储介质包括存储 的程序，其中，在所述程序运行时控制所述存储介质所在设备执行本发明任意一项实 施例所提供的容器操作方法。
55.根据本发明实施例的又一方面，还提供了一种处理器，其特征在于，所述处理器 用于运行程序，其中，所述程序运行时执行本发明任意一项实施例所提供的容器操作 方法。
56.在本发明实施例中，采用对每个容器空间设置唯一对应的容器编码的设定范围的 方式，通过避免容器编码的重复，达到了提高容器的隔离程度的目的，从而实现了提 高系统安全性的技术效果，进而解决了由于系统内的容器可能存在隔离效果不好而产 生的技术问题。
附图说明
57.此处所说明的附图用来提供对本发明的进一步理解，构成本技术的一部分，本发 明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图 中：
58.图1是根据本发明实施例的一种容器操作方法示意图；
59.图2是根据本发明实施例的一种可选的容器操作方法的示意图；
60.图3是根据本发明实施例的一种可选的容器操作方法的示意图；
61.图4是根据本发明实施例的一种可选的容器操作方法的示意图；
62.图5是根据本发明实施例的一种可选的容器操作方法的示意图；
63.图6是根据本发明实施例的一种系统启动示意图；
64.图7是根据现有技术实施例的一种容器操作装置示意图；
65.图8是根据本发明实施例的一种可选的容器操作装置的示意图；
66.图9是根据本发明实施例的一种可选的容器操作装置的示意图；
67.图10是根据本发明实施例的一种可选的容器操作装置的示意图；
68.图11是根据本发明实施例的一种可选的容器操作装置的示意图；
69.图12是根据本发明实施例的一种可选的容器操作装置的示意图。
具体实施方式
70.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的 附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例 仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领 域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于 本发明保护的范围。
71.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第 二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这 样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在 这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的 任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方 法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚 地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
72.根据本发明实施例，提供了一种容器操作方法实施例，需要说明的是，在附图的 流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽 然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所 示出或描述的步骤。
73.本发明实施例的基于容器操作方法可以应用于具有中央处理器的装置，例如，该 装置可以部署于终端或服务器或其它处理设备执行的情况下，可以执行系统的启动、 容器的创建、容器系统的创建、容器系统的启动、应用的运行等等。其中，终端可以 为用户设备(ue，user equipment)、移动设备、蜂窝电话、无绳电话、个人数字处理 (pda，personal digital assistant)、手持设备、计算设备、车载设备、可穿戴设备等。 在一些可能的实现方式中，该方法还可以通过处理器调用存储器中存储的计算机可读 指令的方式来实现。
74.图1是根据本发明实施例的容器操作方法，如图1所示，该方法包括如下步骤：
75.步骤s11：接收向目标应用发送的通信信息；
76.步骤s12：根据通信信息，在与目标应用对应的容器空间中，获取运行目标应用 的进程的目标容器；目标应用对应的容器空间与设定的容器编码取值范围具有唯一对 应关系；
77.步骤s13：将通信信息发送至目标容器，使得目标应用的进程能够接收到通信信 息。
78.本实施例中，目标应用可以是能够安装在计算机终端的任意应用。目标应用的进 程，可以是目标应用启动后，用于处理目标应用的相关数据并在必要的时候与其它模 块或装置进行通信的进程。
79.向目标应用发送的通信信息，可以是任何可以调用目标应用或者能够与目标应用 进行通信的模块或者装置，向目标应用发送的通信信息。同时，向目标应用发送的通 信信息，可以由其它应用、模块或者装置主动向目标应用发送，也可以是其它应用、 模块或者装
置回复目标应用的信息的通信信息。
80.本实施例中，接收向目标应用发送的通信信息之前，还可以包括，向接收方发送 目标应用的进程的通信信息。接收方可以是用于与目标应用进行通信的任意一方，可 以是服务器一方，或者可以是目标应用所安装的终端中的其它模块、应用等。任何在 目标应用运行过程中，与目标应用进行信息交互的模块或装置，都可以作为本实施例 中的接收方。
81.在一种可能的实现方式中，向目标应用发送的通信信息可携带用于对目标应用进 行识别的编码或者标识，从而通过该编码或者标识，能够确定目标应用对应的容器空 间的编号或者目标应用的进程所运行的容器编码。
82.本实施例中，容器空间可以是一系列容器运行的空间，也可以是终端系统的容器 系统中所包含的用于容纳容器的空间。容器系统可以基于终端系统创建，终端系统可 以是linux、安卓等系统。
83.本实施例中的终端系统可以是指基于lxc技术，利用linux kernel(linux内核) 中的namespace(命名空间)和cgroup(control group，控制小组)特性，并基于android (安卓)系统环境来实现android多容器系统。
84.在一些可能的实现方式中，在终端安装的应用数量较多的情况下，终端可创建和 启动多个容器空间。在终端创建和启动了容器系统之后，终端可启动所有已创建的容 器空间，或者待容器空间包含的容器编码对应的应用启动时，启动容器空间。在容器 空间启动之后，可启动容器空间中已创建的容器，也可在容器编码对应的应用启动之 后，再启动对应的容器。
85.在一种可能的实现方式中，运行目标应用的进程的目标容器，可以是与用于容纳 并使得目标应用的进程在其中运行的容器。一个应用于其容器可存在一一对应关系， 目标容器可以是容器空间中运行的多个容器中的一个。
86.本实施例中，容器可以是lxc(linux container)容器。本实施例中的lxc可以是 一种内核虚拟化技术，可以提供轻量级的虚拟化，以便隔离进程和资源，而且不需要 提供指令解释机制以及全虚拟化的其他复杂操作，每个容器空间提供一个容器的编码 范围，在容器空间中创建或运行的容器的编码，可以是容器空间中的编码范围内的任 意数值。容器和容器空间技术可以有效地将由单个操作系统管理的资源划分到孤立的 组中，以更好地在孤立的组之间平衡有冲突的资源使用需求。
87.在一种可能的实现方式中，进程也可以包括线程。
88.在一种可能的实现方式中，容器空间中可存在设定数目个容器。且在容器系统中， 可存在多个容器空间，各个容器空间中能够存在的容器的数目可以相同也可以不同。 比如，可设置每个容器空间中能够存在n个容器，n可以为大于1的任意整数。每个 容器空间唯一对应一个设定的容器编码取值范围。
89.比如，针对容器系统中第x个容器空间，其唯一对应的设定的容器编码取值范围 为[y，z)，其中，y、z为大于等于1的任意整数，且z＞y，则在第x个容器空间中， 每个容器的容器编码x0需满足，y≤x0＜z。
[0090]
由于每个容器空间唯一对应一个设定的容器编码取值范围，则不同的容器空间的 容器编码取值范围各不相同，不相重叠。容器编码取值范围中的容器编码个数，可以 等于容器空间中能够存在的容器的个数。
[0091]
在另一种可能的实现方式中，容器编码也可以是小数、二进制数、八进制数等。 在容器编码也可以是小数、二进制数、八进制数的情况下，容器空间对应的容器编码 取值范围可以是小数范围、二进制数范围、八进制数范围等。
[0092]
比如，针对容器系统中第x个容器空间，容器编码取值范围为集合a；针对容器 系统中第m(m≠x)个容器空间，容器编码取值范围为集合b，则
[0093]
在与目标应用对应的容器空间中，获取运行目标应用的进程的目标容器，可以是 根据通信信息，确定运行目标应用的进程的目标容器，可以包括确定目标容器的容器 编码。
[0094]
将通信信息发送至目标容器，可以是根据目标容器的容器编码，向目标容器发送 通信信息。
[0095]
本实施例中，容器空间与设定的容器编码取值范围具有唯一对应关系，从而，不 会发生不同的容器空间中的容器的容器编码重复、相同的现象，提高了容器空间中的 各容器的可区分性，进而提高了不同容器之间的隔离程度。
[0096]
在一种实施方式中，如图2所示，容器操作方法还包括：
[0097]
步骤s21：在接收到目标应用启动指令的情况下，获取目标应用对应的用户身份 标识(uid，user id)；
[0098]
步骤s22：根据目标应用的用户身份标识，确定目标应用对应的容器空间；
[0099]
步骤s23：在容器空间中，根据基于用户身份标识确定的容器编码，启动目标容 器；
[0100]
步骤s24：在目标容器中，运行目标应用的进程。
[0101]
在一种可能的实现方式中，目标应用对应的uid，可以在目标应用在终端安装或 创建时确定。在目标应用的uid确定后，目标应用的进程所运行的目标容器的容器编 码也可以唯一确定。
[0102]
由于在本发明实施例中，容器空间与容器编码的取值范围唯一对应，则每个容器 编码与容器空间也唯一对应。通过目标应用对应的uid可确定目标容器的容器编码， 则可通过容器编码确定目标应用唯一对应的容器空间。
[0103]
本实施例中，在容器空间中，根据用户身份标识作为容器编码，启动目标容器， 可以包括：在容器空间中，根据容器编码确定目标容器，启动或创建目标容器。
[0104]
在目标容器中，运行目标应用的进程，其中，可以包括在目标容器中启动目标应 用的进程。
[0105]
本实施例中，能够根据目标应用唯一的uid确定目标容器，并在目标容器中运行 目标应用的进程，从而能够使得目标应用的进程的运行过程得到良好的隔离，保证目 标应用运行的安全性和稳定性。
[0106]
在一种实施方式中，如图3所示，容器操作方法还包括：
[0107]
步骤s31：接收到目标应用的创建指令的情况下，获取具有未占用的容器编码的 容器空间；
[0108]
步骤s32：将具有未占用的容器编码的容器空间作为目标应用的对应的容器空间；
[0109]
步骤s33：根据目标应用的对应的容器空间的设定的容器编码取值范围内，未被 占用的容器编码，确定目标容器的容器编码；
[0110]
步骤s34：将目标容器的容器编码作为目标应用的用户身份标识。
[0111]
在一种实现方式中，不同的容器空间可以具有相同或不同的容器编码规则。比如， 在创建一个新的应用对应的容器时，可根据容器空间内具体的编码规则，赋予新的应 用对应的容器编码。
[0112]
具体例如，在一个容器空间中，新的容器的容器编码逐一递增，即第一个容器的 容器编码为y，第二个容器的容器编码为y 1，第三个容器的容器编码为y 2
……
如 此类推。
[0113]
再如，在某个容器空间中，新的容器的容器编码根据应用的一些属性信息计算获 得。
[0114]
本实施例中，目标应用的创建指令，可以是目标应用的安装指令。具有未占用的 容器编码的容器空间，可以指获取具有剩余容器编码的容器空间，若某容器空间中的 容器编码全部被占用，则该容器空间不满足具有剩余容器编码的条件。
[0115]
本实施例中，根据目标应用的对应的容器空-间的容器编码的设定范围内，未被占 用的容器编码，确定目标容器的容器编码，具体比如可以是，一个容器空间对应的容 器编码的设定范围为0-99，其中0-98号编码均在其它应用创建时被占用，则可选择 99号容器编码作为目标容器的容器编码。再如，若一个容器空间对应的容器编码的设 定范围为0-999，其中0-98号编码均在其它应用创建时被占用，则可选择99-999号容 器编码中的任意一个，作为目标容器的容器编码。
[0116]
本实施例中，在目标应用创建时，确定目标容器的容器编码，从而使得目标容器 具有唯一对应的容器编码，避免不同的应用的容器编码重复。
[0117]
在一种实施方式中，如图4所示，获取具有未占用的容器编码的容器空间，包括：
[0118]
步骤s41：在当前容器系统中不存在具有未占用的容器编码的容器空间的情况下， 创建新的容器空间；
[0119]
步骤s42：将新的容器空间作为具有未占用的容器编码的容器空间。
[0120]
本实施例中，若容器系统中存在3个容器空间，且3个容器空间中所有的容器编 码均与应用建立了对应关系，则可在目标应用创建时，创建第4个容器空间，在第4 个容器空间中创建目标容器。
[0121]
作为一种具体实现方式，容器系统的容器空间可按照一定的编号顺序进行创建。
[0122]
本实施例中，能够在容器系统中创建多个容器空间，每个容器空间对应不相重叠 的容器编码的可取值范围，从而保证每个容器的容器编码的唯一性，保证不同容器之 间的隔离程度。
[0123]
在一种实施方式中，获取具有未占用的容器编码的容器空间，包括：
[0124]
在当前容器系统中存在具有剩余容纳空间的容器空间的情况下，将具有剩余容纳 空间的容器空间，作为具有未占用的容器编码的容器空间。
[0125]
本实施例中，在容器系统所具有的已创建的容器空间中，存在未被占用的容器编 码的情况下，能够将新创建的目标应用对应的容器编码设置为已创建的容器空间中的 容器编码，从而提高各容器空间的利用率。
[0126]
在一种实施方式中，如图5所示，容器操作方法还包括：
[0127]
步骤s51：在主系统完成启动的状态下，启动主系统的容器系统；
[0128]
步骤s52：在容器系统中，启动已创建的容器空间；
[0129]
步骤s53：在每个容器空间中，启动容器空间孵化器；
[0130]
步骤s54：在每个容器空间中，基于容器空间孵化器，启动容器空间系统服务， 容器空间系统服务用于存储容器空间的容器编码的与应用的对应信息。
[0131]
本实施例中，主系统可以是终端运行的计算机系统，具体可以是linux系统、安 卓系统、windows系统等。主系统除了容器系统之外，还可以包括在容器系统外部运 行的孵化器等必要的模块或系统。
[0132]
本实施例中，已创建的容器空间可以是与已创建的应用存在对应关系的容器空间。 容器系统中的容器空间可以包括一个或多个，每个容器空间中，可创建和运行多个容 器，且多个容器各自具备唯一的容器编码，容器编码与应用对应，容器用于容纳应用 运行过程中的应用进程或线程。
[0133]
容器空间孵化器可以是容器空间下的子进程或者子线程，可用于在容器空间内创 建容器或者其它进程。
[0134]
本实施例中，容器空间系统服务可以用于管理容器编码。每个容器空间内可对应 创建一个容器空间孵化器，不同的容器空间孵化器之间相互独立运行。进而各容器空 间内启动的容器空间系统服务或者其它子进程也相对其它容器空间的容器空间系统服 务和子进程独立运行。
[0135]
本实施例中，能够在容器系统中启动容器空间，并在各容器空间中启动相应的容 器空间孵化器，之后启动容器运行、管理所必须的服务和子进程，从而能够保证容器 在容器空间中正常运行。
[0136]
本发明一种具体示例中，各应用的容器可具备如表1所示的各项隔离功能，或者 通过设置，选择其中一种或多种隔离功能作为系统内所有容器具有的隔离功能。
[0137][0138][0139]
表1
[0140]
在本发明一种具体示例中，终端系统的启动如图6所示。在终端内核(kernel) 61启动之后，启动终端主系统(init_host)，即启动图6中的终端主系统62。在本示例 中，终端主系统62可以是linux系统或者安卓系统。终端主系统62完成启动后，启 动主系统孵化器(zygote host)63，主系统孵化器63中可进一步启动主系统的系统服 务(system_server host)64。另外，终端主系统62中可启动主系统的容器系统的守护 进程(celld host)65。在容器系统的守护进程65中，启动各容器空间。比如，在容器 系统中存在两个容器空间的情况下，启动第一容器空间(init cell1)66、第二容器空间 (init cell2)67，在两个容器空间中分别启动第一容器空间的孵化器(zygote cell1)68、 第二容器空间的孵化器(zygote cell2)69，通过第一容器空间的孵化器68、第二容器 空间的孵化器69分别启动第一容器空
间的系统服务(syste_server cell1)、第二容器空 间的系统服务(syste_server cell2)。
[0141]
在本实例中，uid分配规则及应用安装逻辑等可存储于容器空间的系统服务进程 中，容器空间的系统服务是android系统框架中的系统服务，器空间的系统服务进程 中也包括package manager service(包管理服务)，windowmanagerservice(窗口管理 服务)等。从图6可以看出，不同容器空间之间、以及容器系统内部与容器系统外部 之间的系统服务是相互隔离的。在图6中，上面树节点代表父进程，下面的节点代表 子进程，下面的子进程是由上面的父进程创建的。
[0142]
本发明实施例中，不同容器系统共享主系统的内核空间及资源，在主系统的内核 空间中，容器之间的隔离还可以基于namespace和cgroup特性，即基于进程和数据 结构等维度的隔离，属于软件级别的轻量级隔离。
[0143]
在本发明实施例中，考虑到终端系统中通常安装应用的个数小于500个，所以可 以对每个容器空间给予最多1000(或者500、1500、2000等其它数目)个应用的数量， 并按照起始点不同进行划分容器编码的设定范围，使得每个容器空间中的容器能够按 照容器编码的设定范围赋予容器以编码，避免不同容器空间在安装应用时创建的容器 对应的容器编码相同的情况。
[0144]
在一种实施方式中，具体的划分规则可以包括：
[0145]
在整个主系统的空间的容器编码从first_application_uid(主系统空间内 的第一个应用的uid)从10000开始，到first_application_uid 1000结束，即 主系统的空间的容器编码范围为[10000,11000)。主系统的空间中的容器编码，主要可 用于在应用创建时，为应用初始创建容器使用，在主系统的空间中创建容器之后，可 将创建完成的容器转移至应用对应的具体的容器空间。
[0146]
针对主系统中的第一个容器空间，容器编码从first_application_uid 1000 开始，到first_application_uid 2000结束，即第一个容器空间的容器编码范围 为[11000,12000)。
[0147]
针对主系统中的第二个容器空间，容器编码从first_application_uid 2000 开始，到first_application_uid 3000结束，即第一个容器空间的容器编码范围 为[12000,13000)。
[0148]
针对主系统中的第一个容器空间，容器编码从first_application_uid 3000 开始，到first_application_uid 4000结束，即第一个容器空间的容器编码范围 为[13000,14000)。
[0149]
依此类推。
[0150]
在其它示例中，每个容器空间中对应的uid或容器编码的设定范围跨度也可以为 1000以外的其它数值。即可从uid(容器编码)的原生范围9999个普通应用uid范 围中根据容器的数量和自身需求进行划分。
[0151]
一般情况下，linux系统中所有安全隔离都是基于namespace和cgroup特性实现 的。而终端系统功能复杂繁多，相关功能需要主动调用接口使能(开启)才能生效， 如内存、网络控制等功能。而基于android创建lxc容器以构建安全系统方案较多， 容器创建、运行的细节可由各个提供方根据自身技术水平实现，没有统一标准，容易 在使能安全隔离特性时有所疏忽，从而导致安全问题。
[0152]
同时，基于android创建lxc容器以构建的安全系统，在某些场景中，系统的服 务处于被各应用共享的状态，如一些强依赖硬件而且需要独占的服务(音频等)可共 享硬件资源。基于产品层面设计所需，也会出现多个容器间共享同一个服务及效果的 情况。
[0153]
一般情况下的共享服务带来的安全性问题，具体表现是不同容器空间的不同应用 存在容器编码相同的情况，相同容器编码的不同容器之间的进程可能产生相互影响， 从而带来安全问题和功能性的问题等。同时，由于多容器系统存在非完全隔离的风险， 并且存在共享服务的情况，而android系统中容器编码是基本的应用隔离单位，容器 编码的重复可能会带来非常严重的安全问题等。
[0154]
而本发明示例提供的容器操作方法，能够对各个容器空间限定唯一的容器编码的 设定范围，从而避免不同的容器出现容器编码重复或相同的情况，进而提高了容器之 间的隔离程度，提高了容器的安全性。
[0155]
本发明实施例还提供一种容器操作装置，如图7所示，包括：
[0156]
接收模块71，用于接收向目标应用发送的通信信息；
[0157]
目标容器获取模块72，用于根据通信信息，在与目标应用对应的容器空间中，获 取运行目标应用的进程的目标容器；目标应用对应的容器空间与设定的容器编码取值 范围具有唯一对应关系；
[0158]
发送模块73，用于将通信信息发送至目标容器，使得目标应用的进程能够接收到 通信信息。
[0159]
在一种实施方式中，如图8所示，容器操作装置还包括：
[0160]
用户身份标识获取模块81，用于在接收到目标应用启动指令的情况下，获取目标 应用对应的用户身份标识；
[0161]
用户身份标识对应模块82，用于根据目标应用的用户身份标识，确定目标应用对 应的容器空间；
[0162]
目标容器启动模块83，用于在容器空间中，根据基于用户身份标识确定的容器编 码，启动目标容器；
[0163]
运行模块84，用于在目标容器中，运行目标应用的进程。
[0164]
在一种实施方式中，如图9所示，容器操作装置还包括：
[0165]
容器空间获取模块91，用于接收到目标应用的创建指令的情况下，获取具有未占 用的容器编码的容器空间；
[0166]
容器空间处理模块92，用于将具有未占用的容器编码的容器空间作为目标应用的 对应的容器空间；
[0167]
容器编码确定模块93，用于根据目标应用的对应的容器空间的设定的容器编码取 值范围内，未被占用的容器编码，确定目标容器的容器编码；
[0168]
容器编码处理模块94，用于将目标容器的容器编码作为目标应用的用户身份标识。
[0169]
在一种实施方式中，如图10所示，容器空间获取模块包括：
[0170]
创建单元101，用于在当前容器系统中不存在具有未占用的容器编码的容器空间 的情况下，创建新的容器空间；
[0171]
第一操作单元102，用于将新的容器空间作为具有未占用的容器编码的容器空间。
[0172]
在一种实施方式中，如图11所示，容器空间获取模块包括：
[0173]
第二操作单元111，用于在当前容器系统中存在具有剩余容纳空间的容器空间的 情况下，将具有剩余容纳空间的容器空间，作为具有未占用的容器编码的容器空间。
[0174]
在一种实施方式中，如图12所示，容器操作装置还包括：
[0175]
第一启动模块121，用于在主系统完成启动的状态下，启动主系统的容器系统；
[0176]
第二启动模块122，用于在容器系统中，启动已创建的容器空间；
[0177]
第三启动模块123，用于在每个容器空间中，启动容器空间孵化器；
[0178]
第四启动模块124，用于在每个容器空间中，基于容器空间孵化器，启动容器空 间系统服务，容器空间系统服务用于存储容器空间的容器编码的与应用的对应信息。
[0179]
本发明实施例还提供一种存储介质，其特征在于，存储介质包括存储的程序，其 中，在程序运行时控制存储介质所在设备执行本发明任意一项实施例所提供的容器操 作方法。
[0180]
本发明实施例还提供一种处理器，其特征在于，处理器用于运行程序，其中，程 序运行时执行本发明任意一项实施例所提供的容器操作方法。
[0181]
在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有 详述的部分，可以参见其他实施例的相关描述。
[0182]
在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它 的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如单元的划分，可 以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可 以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显 示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块 的间接耦合或通信连接，可以是电性或其它的形式。
[0183]
作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的 部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个 单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目 的。
[0184]
另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以 是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成 的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0185]
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可 以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上 或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形 式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台 计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例方法 的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者 光盘等各种可以存储程序代码的介质。
[0186]
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人 员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润 饰也应视为本发明的保护范围。