CN110990150A - 容器云平台的租户管理方法、系统、电子设备及存储介质 - Google Patents
容器云平台的租户管理方法、系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110990150A CN110990150A CN201911121524.5A CN201911121524A CN110990150A CN 110990150 A CN110990150 A CN 110990150A CN 201911121524 A CN201911121524 A CN 201911121524A CN 110990150 A CN110990150 A CN 110990150A
- Authority
- CN
- China
- Prior art keywords
- tenant
- cluster
- platform
- cloud platform
- container cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5077—Logical partitioning of resources; Management or configuration of virtualized resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
- G06Q30/0645—Rental transactions; Leasing transactions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Finance (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种容器云平台的租户管理方法,所述租户管理方法包括获取容器云平台的平台租户信息;获取Kubernetes集群的RBAC授权模式信息;根据所述平台租户信息和所述RBAC授权模式信息建立所述容器云平台和所述Kubernetes集群的映射;根据所述容器云平台与所述Kubernetes集群的映射信息,在所述Kubernetes集群中为每一平台租户类型的租户分配对应的资源操作权限。本申请能够在保证容器资源安全性的前提下实现对于云平台多租户场景租户的统一管理。本申请还公开了一种容器云平台的租户管理系统、一种电子设备及一种存储介质,具有以上有益效果。
Description
技术领域
本申请涉及云计算技术领域,特别涉及一种容器云平台的租户管理方法、系统、一种电子设备及一种存储介质。
背景技术
云计算是分布式计算的一种,通过网络异构、自治服务为个人和企业用户提供按需即取的计算,云计算可以快速地提供资源和释放,大大地减少了资源管理,运维等工作开销,降低了成本。云计算在发展壮大的同时,以docker为代表的容器技术受到关注并逐渐被使用,容器技术也形成了包括镜像存储、容器引擎、监控、日志、网络、存储、编排调度等的容器生态。
容器生态的形成,也推动了容器云的成型,容器云以容器为资源分割和调度的单位,封装整个软件运行时环境,为开发者和系统管理员提供用于构建,发布和运行分布式应用的平台,容器云专注于资源共享与隔离、容器编排与部署等。容器云采用最多的便是kubernetes开源技术,kubernetes简称K8s,是一个管理跨主机容器应用的系统,实现了包括应用部署、高可用管理、弹性伸缩等一些列功能。
租户是云平台一个非常重要的概念,云平台将资源同时提供给多个个人或企业使用,使个人或企业共享同一套服务运行时,这样可以降低个人或企业的运维成本,节约资源,云平台将这样的个人或企业统称为租户,因此多租户的场景是容器云平台的重要构成部分。目前容器云平台多租户的设计在软件逻辑层实现,而未在kubernetes容器编排层实现,而这种实现方式并不能完全控制租户的权利。
因此,如何在保证容器资源安全性的前提下实现对于云平台多租户场景租户的统一管理是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种容器云平台的租户管理方法、系统、一种电子设备及一种存储介质,能够在保证容器资源安全性的前提下实现对于云平台多租户场景租户的统一管理。
为解决上述技术问题,本申请提供一种容器云平台的租户管理方法,该容器云平台的租户管理方法包括:
获取容器云平台的平台租户信息;其中,所述平台租户信息包括平台租户类型和每一所述平台租户类型对应的资源操作权限;
获取Kubernetes集群的RBAC授权模式信息;其中,所述RBAC授权模式信息包括租户主体与集群租户角色的绑定关系,和每一集群租户角色对应的资源映射规则;
根据所述平台租户信息和所述RBAC授权模式信息建立所述容器云平台和所述Kubernetes集群的映射,以便将所述平台租户类型、所述资源操作权限、所述绑定关系和所述资源映射规则进行绑定得到所述容器云平台与所述Kubernetes集群的映射信息;
根据所述容器云平台与所述Kubernetes集群的映射信息,在所述Kubernetes集群中为每一平台租户类型的租户分配对应的资源操作权限。
可选的,所述平台租户类型包括超级管理员、域管理员、虚拟数据中心管理员和虚拟数据中心租户;
相应的,所述超级管理员对应的资源操作权限包括,对所有所述Kubernetes集群中所有资源的所有操作权限;
所述域管理员对应的资源操作权限包括,对所述域管理员所在Kubernetes集群中所有资源的所有操作权限;
所述虚拟数据中心管理员对应的资源操作权限包括,所述虚拟数据中心管理员所在的Kubernetes集群的命名空间中所有资源的所有操作权限;
所述虚拟数据中心租户对应的资源操作权限包括,所述虚拟数据中心租户所在的Kubernetes集群的命名空间中所有资源的所有操作权限的申请权限。
可选的,所述操作权限包括列表操作的权限、创建操作的权限、更新操作的权限、删除操作的权限和查询操作的权限。
可选的,所述集群租户角色包括命名空间角色和集群角色、租户主体包括用户、用户组和服务账号,所述资源映射规则为所述集群租户角色与集群资源的映射规则,所述集群资源包括命名空间内资源和/或集群资源。
可选的,还包括:
当接收到租户发送的操作指令时,判断所述操作指令对应的操作权限与所述租户的权限是否符合根据所述容器云平台与所述Kubernetes集群的映射信息;
若是,则对所述Kubernetes集群的资源执行所述操作指令对应的操作;
若否,则判定所述操作指令为异常指令。
可选的,在判定所述操作指令为异常指令之后,还包括:
将发送所述操作指令的租户标记为异常用户。
可选的,还包括:
当接收到角色创建指令后,在所述容器云平台中创建所述角色创建指令对应的平台租户角色,并更新所述容器云平台与所述Kubernetes集群的映射信息。
本申请还提供了一种容器云平台的租户管理系统,该容器云平台的租户管理系统包括:
平台信息获取模块,用于获取容器云平台的平台租户信息;其中,所述平台租户信息包括平台租户类型和每一所述平台租户类型对应的资源操作权限;
集群信息获取模块,用于获取Kubernetes集群的RBAC授权模式信息;其中,所述RBAC授权模式信息包括租户主体与集群租户角色的绑定关系,和每一集群租户角色对应的资源映射规则;
映射模块,用于根据所述平台租户信息和所述RBAC授权模式信息建立所述容器云平台和所述Kubernetes集群的映射,以便将所述平台租户类型、所述资源操作权限、所述绑定关系和所述资源映射规则进行绑定得到所述容器云平台与所述Kubernetes集群的映射信息;
租户权限管理模块,用于根据所述容器云平台与所述Kubernetes集群的映射信息,在所述Kubernetes集群中为每一平台租户类型的租户分配对应的资源操作权限。
本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述容器云平台的租户管理方法执行的步骤。
本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述容器云平台的租户管理方法执行的步骤。
本申请提供了一种容器云平台的租户管理方法,包括获取容器云平台的平台租户信息;其中,所述平台租户信息包括平台租户类型和每一所述平台租户类型对应的资源操作权限;获取Kubernetes集群的RBAC授权模式信息;其中,所述RBAC授权模式信息包括租户主体与集群租户角色的绑定关系,和每一集群租户角色对应的资源映射规则;根据所述平台租户信息和所述RBAC授权模式信息建立所述容器云平台和所述Kubernetes集群的映射,以便将所述平台租户类型、所述资源操作权限、所述绑定关系和所述资源映射规则进行绑定得到所述容器云平台与所述Kubernetes集群的映射信息;根据所述容器云平台与所述Kubernetes集群的映射信息,在所述Kubernetes集群中为每一平台租户类型的租户分配对应的资源操作权限。
本申请首先获取容器云平台的平台租户信息和Kubernetes集群的RBAC授权模式信息,并根据所述平台租户信息和所述RBAC授权模式信息建立所述容器云平台和所述Kubernetes集群的映射,使得容器云平台中各个租户的权限与Kubernetes集群中各个租户的权限相互绑定,可以避免黑客绕开直接使用Kubernetes集群中资源的情况。本申请的租户管理方案以容器编排kubernetes底层RBAC授权为基础,既满足了云平台多租户的场景需求,又加强了容器资源安全,使容器云平台多租户管理机制更严谨。因此本申请能够在保证容器资源安全性的前提下实现对于云平台多租户场景租户的统一管理。本申请同时还提供了一种容器云平台的租户管理系统、一种电子设备和一种存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种容器云平台的租户管理方法的流程图;
图2为本申请实施例所提供的一种容器云平台的租户权限示意图;
图3为Kubernetes RBAC授权模式分析示意图;
图4为本申请实施例所提供的一种容器云平台与Kubernetes集群的映射示意图;
图5为本申请实施例所提供的一种容器云平台的租户管理系统的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种容器云平台的租户管理方法的流程图。
具体步骤可以包括:
S101:获取容器云平台的平台租户信息;
其中,本步骤的目的在于确定云平台多租户场景需求,即确定平台租户信息。平台租户信息可以包括平台租户类型和每一所述平台租户类型对应的资源操作权限。容器云平台中的平台租户类型可以包括超级管理员、域管理员、虚拟数据中心(Virtual DataCenter,vdc)管理员和虚拟数据中心用户,当然还可以添加自定义的新角色。
请参见图2,图2为本申请实施例所提供的一种容器云平台的租户权限示意图。每一所述平台租户类型对应的资源操作权限如下:超级管理员拥有所有Kubernetes集群的所有资源所有操作权限,域管理员拥有相对应的Kubernetes集群的所有资源所有操作权限,虚拟数据中心管理员拥有所在Kubernetes集群所在命名空间的所有资源所有操作权限,虚拟数据中心用户拥有所在Kubernetes集群所在命名空间申请的资源和相应的操作权限。容器云平台中虚拟数据中心用户隶属于部门,一个虚拟数据中心用户只能属于一个部门,1个虚拟数据中心用户可以属于多个虚拟数据中心,在1个虚拟数据中心中只能拥有一个角色。
S102:获取Kubernetes集群的RBAC授权模式信息;
其中,本步骤中获取RBAC(Role-Based Access Control,基于角色的权限访问控制)授权模式信息的目的在于对Kubernetes集群RBAC授权模式分析,RBAC授权模式信息可以包括租户主体与集群租户角色的绑定关系,和每一集群租户角色对应的资源映射规则。请参见图3,图3为Kubernetes RBAC授权模式分析示意图。Kubernetes集群的RBAC可以包括两种集群租户角色:命名空间角色和集群角色。在定义集群租户角色的同时可以定义此角色对于Kubernetes集群资源的访问控制权限。Kubernetes集群资源分为命名空间资源以及集群资源,可执行的操作包括列表、创建、更新、删除、查询等。Kubernetes集群资源绑定的租户主体可以包括:服务账号、用户和用户组,通过将租户主体与集群租户角色进行绑定,对用户进行访问授权。
S103:根据所述平台租户信息和所述RBAC授权模式信息建立所述容器云平台和所述Kubernetes集群的映射,以便将所述平台租户类型、所述资源操作权限、所述绑定关系和所述资源映射规则进行绑定得到所述容器云平台与所述Kubernetes集群的映射信息;
其中,本步骤的目的在于实现容器云平台多租户到Kubernetes RBAC的角色映射及权限映射,通过对容器云平台租户管理的分析找到租户在Kubernetes RBAC中的映射,包括角色,主体以及绑定方式,能够使上层(容器云平台)与底层(Kubernetes集群)进行联动。请参见图4,图4为本申请实施例所提供的一种容器云平台与Kubernetes集群的映射示意图。
S104:根据所述容器云平台与所述Kubernetes集群的映射信息,在所述Kubernetes集群中为每一平台租户类型的租户分配对应的资源操作权限。
其中,本步骤建立在已经完成容器云平台与所述Kubernetes集群的映射的基础上,根据映射信息为租户分配资源操作权限。
具体的,建立基于Kubernetes RBAC多租户授权机制可以根据上文中RBAC授权模式分析,为容器云平台部署时已创建好相对应的K8s角色授权。超级管理员可以对每个云平台纳管的Kubernetes集群创建ClusterRole,并定义拥有所有资源的所有操作权限,当系统赋予某个用户超级管理员角色时,通过创建ClusterRoleBinding将主体用户(user)与角色进行绑定进行操作授权。域管理员可以对此管理员对应的Kubernetes集群创建ClusterRole,并定义拥有所有资源的所有操作权限,当系统赋予某个用户域管理员角色时,通过创建ClusterRoleBinding将主体用户(user)与角色进行绑定进行操作授权。容器云平台的虚拟数据中心与K8s中的命名空间namespace相对应,虚拟数据中心管理员可以通过创建角色Role对应虚拟数据中心管理员,并定义申请vdc时所要求的资源(Kubernetes集群,存储等)及对这些资源的全部操作,当系统赋予某个用户为虚拟数据中心管理员时,创建可以ServiceAccount,ServiceAccount需定义namespace且虚拟数据中心所对应的namespace相同,通过创建RoleBinding给该用户附权。虚拟数据中心用户可以根据用户需求创建多种role并定义资源操作权限,如:roleA只可读取虚拟数据中心所对应namespace下的资源,roleB可创建,读取所属虚拟数据中心下的资源,RoleC可删除所属虚拟数据中心下的资源,当创建虚拟数据中心用户时,根据用户所申请的权限创建rolebindind给用户附权,当用户权限改变,可通过修改role实现。
本实施例基于K8s RBAC授权的容器云平台租户管理机制,使平台软件逻辑层与底层Kubernetes集群有机结合,提高了云平台安全性;本实施例通过创建K8s RBAC资源与容器的云平台多租户系统中的角色相关联,从底层保证了资源的安全性,实现有权限的用户才能够对K8s虚拟资源进行操作。本实施例首先获取容器云平台的平台租户信息和Kubernetes集群的RBAC授权模式信息,并根据所述平台租户信息和所述RBAC授权模式信息建立所述容器云平台和所述Kubernetes集群的映射,使得容器云平台中各个租户的权限与Kubernetes集群中各个租户的权限相互绑定,可以避免黑客绕开直接使用Kubernetes集群中资源的情况。本实施例的租户管理方案以容器编排kubernetes底层RBAC授权为基础,既满足了云平台多租户的场景需求,又加强了容器资源安全,使容器云平台多租户管理机制更严谨。因此本实施例能够在保证容器资源安全性的前提下实现对于云平台多租户场景租户的统一管理。
作为对于图1对应实施例的进一步说明,所述平台租户类型可以包括超级管理员、域管理员、虚拟数据中心管理员和虚拟数据中心租户;
相应的,所述超级管理员对应的资源操作权限包括对所有所述Kubernetes集群中所有资源的所有操作权限;所述域管理员对应的资源操作权限包括对所述域管理员所在Kubernetes集群中所有资源的所有操作权限;所述虚拟数据中心管理员对应的资源操作权限包括所述虚拟数据中心管理员所在的Kubernetes集群的命名空间中所有资源的所有操作权限;所述虚拟数据中心租户对应的资源操作权限包括所述虚拟数据中心租户所在的Kubernetes集群的命名空间中所有资源的所有操作权限的申请权限。上述操作权限可以包括列表操作的权限、创建操作的权限、更新操作的权限、删除操作的权限和查询操作的权限。
作为对于图1对应实施例的进一步说明,上述集群租户角色包括命名空间角色和集群角色、租户主体包括用户、用户组和服务账号,所述资源映射规则为所述集群租户角色与集群资源的映射规则,所述集群资源包括命名空间内资源和/或集群资源。
作为对于图1对应实施例的进一步说明,当接收到租户发送的操作指令时,判断所述操作指令对应的操作权限与所述租户的权限是否符合根据所述容器云平台与所述Kubernetes集群的映射信息;若是,则对所述Kubernetes集群的资源执行所述操作指令对应的操作;若否,则判定所述操作指令为异常指令。在判定所述操作指令为异常指令之后,还可以将发送所述操作指令的租户标记为异常用户。当接收到角色创建指令后,在所述容器云平台中创建所述角色创建指令对应的平台租户角色,并更新所述容器云平台与所述Kubernetes集群的映射信息。
请参见图5,图5为本申请实施例所提供的一种容器云平台的租户管理系统的结构示意图;
该系统可以包括:
平台信息获取模块100,用于获取容器云平台的平台租户信息;其中,所述平台租户信息包括平台租户类型和每一所述平台租户类型对应的资源操作权限;
集群信息获取模块200,用于获取Kubernetes集群的RBAC授权模式信息;其中,所述RBAC授权模式信息包括租户主体与集群租户角色的绑定关系,和每一集群租户角色对应的资源映射规则;
映射模块300,用于根据所述平台租户信息和所述RBAC授权模式信息建立所述容器云平台和所述Kubernetes集群的映射,以便将所述平台租户类型、所述资源操作权限、所述绑定关系和所述资源映射规则进行绑定得到所述容器云平台与所述Kubernetes集群的映射信息;
租户权限管理模块400,用于根据所述容器云平台与所述Kubernetes集群的映射信息,在所述Kubernetes集群中为每一平台租户类型的租户分配对应的资源操作权限。
本实施例首先获取容器云平台的平台租户信息和Kubernetes集群的RBAC授权模式信息,并根据所述平台租户信息和所述RBAC授权模式信息建立所述容器云平台和所述Kubernetes集群的映射,使得容器云平台中各个租户的权限与Kubernetes集群中各个租户的权限相互绑定,可以避免黑客绕开直接使用Kubernetes集群中资源的情况。本实施例的租户管理方案以容器编排kubernetes底层RBAC授权为基础,既满足了云平台多租户的场景需求,又加强了容器资源安全,使容器云平台多租户管理机制更严谨。因此本实施例能够在保证容器资源安全性的前提下实现对于云平台多租户场景租户的统一管理。
进一步的,所述平台租户类型包括超级管理员、域管理员、虚拟数据中心管理员和虚拟数据中心租户;
相应的,所述超级管理员对应的资源操作权限包括,对所有所述Kubernetes集群中所有资源的所有操作权限;
所述域管理员对应的资源操作权限包括,对所述域管理员所在Kubernetes集群中所有资源的所有操作权限;
所述虚拟数据中心管理员对应的资源操作权限包括,所述虚拟数据中心管理员所在的Kubernetes集群的命名空间中所有资源的所有操作权限;
所述虚拟数据中心租户对应的资源操作权限包括,所述虚拟数据中心租户所在的Kubernetes集群的命名空间中所有资源的所有操作权限的申请权限。
进一步的,所述操作权限包括列表操作的权限、创建操作的权限、更新操作的权限、删除操作的权限和查询操作的权限。
进一步的,所述集群租户角色包括命名空间角色和集群角色、租户主体包括用户、用户组和服务账号,所述资源映射规则为所述集群租户角色与集群资源的映射规则,所述集群资源包括命名空间内资源和/或集群资源。
进一步的,还包括:
异常检测模块,用于当接收到租户发送的操作指令时,判断所述操作指令对应的操作权限与所述租户的权限是否符合根据所述容器云平台与所述Kubernetes集群的映射信息;若是,则对所述Kubernetes集群的资源执行所述操作指令对应的操作;若否,则判定所述操作指令为异常指令。
进一步的,还包括:
异常标记模块,用于在判定所述操作指令为异常指令之后,将发送所述操作指令的租户标记为异常用户。
进一步的,还包括:
角色创建模块,用于当接收到角色创建指令后,在所述容器云平台中创建所述角色创建指令对应的平台租户角色,并更新所述容器云平台与所述Kubernetes集群的映射信息。
由于系统部分的实施例与方法部分的实施例相互对应,因此系统部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种容器云平台的租户管理方法,其特征在于,包括:
获取容器云平台的平台租户信息;其中,所述平台租户信息包括平台租户类型和每一所述平台租户类型对应的资源操作权限;
获取Kubernetes集群的RBAC授权模式信息;其中,所述RBAC授权模式信息包括租户主体与集群租户角色的绑定关系,和每一集群租户角色对应的资源映射规则;
根据所述平台租户信息和所述RBAC授权模式信息建立所述容器云平台和所述Kubernetes集群的映射,以便将所述平台租户类型、所述资源操作权限、所述绑定关系和所述资源映射规则进行绑定得到所述容器云平台与所述Kubernetes集群的映射信息;
根据所述容器云平台与所述Kubernetes集群的映射信息,在所述Kubernetes集群中为每一平台租户类型的租户分配对应的资源操作权限。
2.根据权利要求1所述租户管理方法,其特征在于,所述平台租户类型包括超级管理员、域管理员、虚拟数据中心管理员和虚拟数据中心租户;
相应的,所述超级管理员对应的资源操作权限包括,对所有所述Kubernetes集群中所有资源的所有操作权限;
所述域管理员对应的资源操作权限包括,对所述域管理员所在Kubernetes集群中所有资源的所有操作权限;
所述虚拟数据中心管理员对应的资源操作权限包括,所述虚拟数据中心管理员所在的Kubernetes集群的命名空间中所有资源的所有操作权限;
所述虚拟数据中心租户对应的资源操作权限包括,所述虚拟数据中心租户所在的Kubernetes集群的命名空间中所有资源的所有操作权限的申请权限。
3.根据权利要求2所述租户管理方法,其特征在于,所述操作权限包括列表操作的权限、创建操作的权限、更新操作的权限、删除操作的权限和查询操作的权限。
4.根据权利要求1所述租户管理方法,其特征在于,所述集群租户角色包括命名空间角色和集群角色、租户主体包括用户、用户组和服务账号,所述资源映射规则为所述集群租户角色与集群资源的映射规则,所述集群资源包括命名空间内资源和/或集群资源。
5.根据权利要求1所述租户管理方法,其特征在于,还包括:
当接收到租户发送的操作指令时,判断所述操作指令对应的操作权限与所述租户的权限是否符合根据所述容器云平台与所述Kubernetes集群的映射信息;
若是,则对所述Kubernetes集群的资源执行所述操作指令对应的操作;
若否,则判定所述操作指令为异常指令。
6.根据权利要求5所述租户管理方法,其特征在于,在判定所述操作指令为异常指令之后,还包括:
将发送所述操作指令的租户标记为异常用户。
7.根据权利要求1至6任一项所述租户管理方法,其特征在于,还包括:
当接收到角色创建指令后,在所述容器云平台中创建所述角色创建指令对应的平台租户角色,并更新所述容器云平台与所述Kubernetes集群的映射信息。
8.一种容器云平台的租户管理系统,其特征在于,包括:
平台信息获取模块,用于获取容器云平台的平台租户信息;其中,所述平台租户信息包括平台租户类型和每一所述平台租户类型对应的资源操作权限;
集群信息获取模块,用于获取Kubernetes集群的RBAC授权模式信息;其中,所述RBAC授权模式信息包括租户主体与集群租户角色的绑定关系,和每一集群租户角色对应的资源映射规则;
映射模块,用于根据所述平台租户信息和所述RBAC授权模式信息建立所述容器云平台和所述Kubernetes集群的映射,以便将所述平台租户类型、所述资源操作权限、所述绑定关系和所述资源映射规则进行绑定得到所述容器云平台与所述Kubernetes集群的映射信息;
租户权限管理模块,用于根据所述容器云平台与所述Kubernetes集群的映射信息,在所述Kubernetes集群中为每一平台租户类型的租户分配对应的资源操作权限。
9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至7任一项所述容器云平台的租户管理方法的步骤。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上权利要求1至7任一项所述容器云平台的租户管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911121524.5A CN110990150A (zh) | 2019-11-15 | 2019-11-15 | 容器云平台的租户管理方法、系统、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911121524.5A CN110990150A (zh) | 2019-11-15 | 2019-11-15 | 容器云平台的租户管理方法、系统、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110990150A true CN110990150A (zh) | 2020-04-10 |
Family
ID=70084452
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911121524.5A Withdrawn CN110990150A (zh) | 2019-11-15 | 2019-11-15 | 容器云平台的租户管理方法、系统、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110990150A (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111813564A (zh) * | 2020-09-11 | 2020-10-23 | 北京达佳互联信息技术有限公司 | 集群资源管理方法、装置及容器集群管理系统 |
| CN112003931A (zh) * | 2020-08-21 | 2020-11-27 | 济南浪潮数据技术有限公司 | 一种编排控制器部署方法、系统及相关组件 |
| CN112637328A (zh) * | 2020-12-21 | 2021-04-09 | 上海商汤智能科技有限公司 | 云服务方法、装置、设备及存储介质 |
| CN112667639A (zh) * | 2020-12-31 | 2021-04-16 | 恩亿科(北京)数据科技有限公司 | 基于SaaS多租户的权限设计方法、系统、设备及存储介质 |
| CN113297589A (zh) * | 2021-03-31 | 2021-08-24 | 阿里巴巴新加坡控股有限公司 | 设置集群权限的方法、装置及系统 |
| CN113965383A (zh) * | 2021-10-21 | 2022-01-21 | 平安国际智慧城市科技股份有限公司 | 租户数据访问管理方法、装置、设备及存储介质 |
| CN114051029A (zh) * | 2021-11-10 | 2022-02-15 | 北京百度网讯科技有限公司 | 授权方法、授权装置、电子设备和存储介质 |
| CN114285850A (zh) * | 2021-12-27 | 2022-04-05 | 北银金融科技有限责任公司 | 一种基于容器平台的跨集群多租户资源管理系统 |
| CN114666333A (zh) * | 2022-04-02 | 2022-06-24 | 国网江苏省电力有限公司信息通信分公司 | 一种基于多租户理论面向云计算资源调度问题的控制方法 |
| CN114707179A (zh) * | 2022-03-31 | 2022-07-05 | 明阳产业技术研究院(沈阳)有限公司 | 集群系统的资源授权方法、装置、介质及电子设备 |
| CN114726629A (zh) * | 2022-04-12 | 2022-07-08 | 树根互联股份有限公司 | 权限配置方法、系统、装置、电子设备及可读存储介质 |
| CN114978998A (zh) * | 2021-02-26 | 2022-08-30 | 中移(苏州)软件技术有限公司 | 一种流量控制方法、装置、终端及存储介质 |
| CN115600185A (zh) * | 2022-11-03 | 2023-01-13 | 成都道客数字科技有限公司(Cn) | 一种云原生平台的资源操作方法和系统 |
| CN115865502A (zh) * | 2022-12-07 | 2023-03-28 | 中国联合网络通信集团有限公司 | 权限管控方法、装置、设备及存储介质 |
| CN115878374A (zh) * | 2021-09-27 | 2023-03-31 | 慧与发展有限责任合伙企业 | 针对指派给租户的命名空间备份数据 |
| WO2023059339A1 (en) * | 2021-10-08 | 2023-04-13 | Kasten, Inc. | Role-based access control using cloud-native objects in multi-tenant environments |
| US20230110527A1 (en) * | 2021-10-08 | 2023-04-13 | Kasten, Inc. | Role-based access control using cloud-native objects in multi-tenant environments |
| US12026066B2 (en) | 2023-06-02 | 2024-07-02 | Hewlett Packard Enterprise Development Lp | Backing up data for a namespace assigned to a tenant |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108769049A (zh) * | 2018-06-08 | 2018-11-06 | 郑州云海信息技术有限公司 | 一种向openstack同步用户权限的方法和服务器 |
| CN109067827A (zh) * | 2018-06-22 | 2018-12-21 | 杭州才云科技有限公司 | 基于Kubernetes和OpenStack容器云平台多租户构建方法、介质、设备 |
| CN109413065A (zh) * | 2018-10-25 | 2019-03-01 | 山东浪潮云信息技术有限公司 | 一种基于容器的集群安全管理方法 |
| CN109962940A (zh) * | 2017-12-14 | 2019-07-02 | 北京云基数技术有限公司 | 一种基于云平台的虚拟化实例调度系统及调度方法 |
| US10382278B1 (en) * | 2018-01-31 | 2019-08-13 | EMC IP Holding Company LLC | Processing platform with independent definition and mutual enforcement of operational and application policies |
-
2019
- 2019-11-15 CN CN201911121524.5A patent/CN110990150A/zh not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109962940A (zh) * | 2017-12-14 | 2019-07-02 | 北京云基数技术有限公司 | 一种基于云平台的虚拟化实例调度系统及调度方法 |
| US10382278B1 (en) * | 2018-01-31 | 2019-08-13 | EMC IP Holding Company LLC | Processing platform with independent definition and mutual enforcement of operational and application policies |
| CN108769049A (zh) * | 2018-06-08 | 2018-11-06 | 郑州云海信息技术有限公司 | 一种向openstack同步用户权限的方法和服务器 |
| CN109067827A (zh) * | 2018-06-22 | 2018-12-21 | 杭州才云科技有限公司 | 基于Kubernetes和OpenStack容器云平台多租户构建方法、介质、设备 |
| CN109413065A (zh) * | 2018-10-25 | 2019-03-01 | 山东浪潮云信息技术有限公司 | 一种基于容器的集群安全管理方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张勋等: "一种基于容器编排技术的资源运维系统的设计与实现", 《电信科学》 * |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112003931A (zh) * | 2020-08-21 | 2020-11-27 | 济南浪潮数据技术有限公司 | 一种编排控制器部署方法、系统及相关组件 |
| CN112003931B (zh) * | 2020-08-21 | 2023-04-18 | 济南浪潮数据技术有限公司 | 一种编排控制器部署方法、系统及相关组件 |
| CN111813564A (zh) * | 2020-09-11 | 2020-10-23 | 北京达佳互联信息技术有限公司 | 集群资源管理方法、装置及容器集群管理系统 |
| CN112637328A (zh) * | 2020-12-21 | 2021-04-09 | 上海商汤智能科技有限公司 | 云服务方法、装置、设备及存储介质 |
| CN112667639A (zh) * | 2020-12-31 | 2021-04-16 | 恩亿科(北京)数据科技有限公司 | 基于SaaS多租户的权限设计方法、系统、设备及存储介质 |
| CN114978998A (zh) * | 2021-02-26 | 2022-08-30 | 中移(苏州)软件技术有限公司 | 一种流量控制方法、装置、终端及存储介质 |
| CN114978998B (zh) * | 2021-02-26 | 2023-12-12 | 中移(苏州)软件技术有限公司 | 一种流量控制方法、装置、终端及存储介质 |
| CN113297589A (zh) * | 2021-03-31 | 2021-08-24 | 阿里巴巴新加坡控股有限公司 | 设置集群权限的方法、装置及系统 |
| CN113297589B (zh) * | 2021-03-31 | 2024-04-16 | 阿里巴巴创新公司 | 设置集群权限的方法、装置及系统 |
| CN115878374A (zh) * | 2021-09-27 | 2023-03-31 | 慧与发展有限责任合伙企业 | 针对指派给租户的命名空间备份数据 |
| CN115878374B (zh) * | 2021-09-27 | 2024-03-05 | 慧与发展有限责任合伙企业 | 针对指派给租户的命名空间备份数据 |
| WO2023059339A1 (en) * | 2021-10-08 | 2023-04-13 | Kasten, Inc. | Role-based access control using cloud-native objects in multi-tenant environments |
| US20230110527A1 (en) * | 2021-10-08 | 2023-04-13 | Kasten, Inc. | Role-based access control using cloud-native objects in multi-tenant environments |
| CN113965383A (zh) * | 2021-10-21 | 2022-01-21 | 平安国际智慧城市科技股份有限公司 | 租户数据访问管理方法、装置、设备及存储介质 |
| CN113965383B (zh) * | 2021-10-21 | 2024-03-15 | 平安国际智慧城市科技股份有限公司 | 租户数据访问管理方法、装置、设备及存储介质 |
| CN114051029A (zh) * | 2021-11-10 | 2022-02-15 | 北京百度网讯科技有限公司 | 授权方法、授权装置、电子设备和存储介质 |
| CN114285850A (zh) * | 2021-12-27 | 2022-04-05 | 北银金融科技有限责任公司 | 一种基于容器平台的跨集群多租户资源管理系统 |
| CN114707179B (zh) * | 2022-03-31 | 2023-11-17 | 明阳产业技术研究院(沈阳)有限公司 | 集群系统的资源授权方法、装置、介质及电子设备 |
| CN114707179A (zh) * | 2022-03-31 | 2022-07-05 | 明阳产业技术研究院(沈阳)有限公司 | 集群系统的资源授权方法、装置、介质及电子设备 |
| CN114666333A (zh) * | 2022-04-02 | 2022-06-24 | 国网江苏省电力有限公司信息通信分公司 | 一种基于多租户理论面向云计算资源调度问题的控制方法 |
| CN114666333B (zh) * | 2022-04-02 | 2023-09-22 | 国网江苏省电力有限公司信息通信分公司 | 一种基于多租户理论面向云计算资源调度问题的控制方法 |
| CN114726629A (zh) * | 2022-04-12 | 2022-07-08 | 树根互联股份有限公司 | 权限配置方法、系统、装置、电子设备及可读存储介质 |
| CN114726629B (zh) * | 2022-04-12 | 2024-03-12 | 树根互联股份有限公司 | 权限配置方法、系统、装置、电子设备及可读存储介质 |
| CN115600185B (zh) * | 2022-11-03 | 2023-08-18 | 成都道客数字科技有限公司 | 一种云原生平台的资源操作方法和系统 |
| CN115600185A (zh) * | 2022-11-03 | 2023-01-13 | 成都道客数字科技有限公司(Cn) | 一种云原生平台的资源操作方法和系统 |
| CN115865502A (zh) * | 2022-12-07 | 2023-03-28 | 中国联合网络通信集团有限公司 | 权限管控方法、装置、设备及存储介质 |
| CN115865502B (zh) * | 2022-12-07 | 2024-04-30 | 中国联合网络通信集团有限公司 | 权限管控方法、装置、设备及存储介质 |
| US12026066B2 (en) | 2023-06-02 | 2024-07-02 | Hewlett Packard Enterprise Development Lp | Backing up data for a namespace assigned to a tenant |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110990150A (zh) | 容器云平台的租户管理方法、系统、电子设备及存储介质 | |
| US10749873B2 (en) | User abstracted RBAC in a multi tenant environment | |
| CN112118224B (zh) | 一种大数据区块链的可信机制权限管理方法和系统 | |
| US8307404B2 (en) | Policy-management infrastructure | |
| US9639338B2 (en) | Computer-implemented method, system and computer program product for deploying an application on a computing resource | |
| US9432350B2 (en) | System and method for intelligent workload management | |
| US8850041B2 (en) | Role based delegated administration model | |
| CN108259422B (zh) | 一种多租户访问控制方法和装置 | |
| US8843648B2 (en) | External access and partner delegation | |
| US20070250833A1 (en) | Managing virtual machines with system-wide policies | |
| CN111159134A (zh) | 面向多租户的分布式文件系统安全访问控制方法及系统 | |
| EP2711860B1 (en) | System and method for managing role based access control of users | |
| WO2020135492A1 (zh) | 软件分层管理系统 | |
| CN111191279A (zh) | 面向数据共享服务的大数据安全运行空间实现方法及系统 | |
| WO2015167541A2 (en) | Service onboarding | |
| CN113986528A (zh) | 一种多租户空间资源管理的方法、系统、设备和存储介质 | |
| WO2016026320A1 (zh) | 访问控制方法及装置 | |
| Zuo et al. | Tenant-based access control model for multi-tenancy and sub-tenancy architecture in Software-as-a-Service | |
| CN114450685A (zh) | 云基础设施环境中基于标签的资源限制或配额的系统和方法 | |
| Shen et al. | SAPSC: Security architecture of private storage cloud based on HDFS | |
| Anupa et al. | Cloud workflow and security: A survey | |
| US11695777B2 (en) | Hybrid access control model in computer systems | |
| Zuo et al. | Autonomous decentralized tenant access control model for sub-tenancy architecture in software-as-a-service (SaaS) | |
| US20200151346A1 (en) | Method and system for implementing a cloud machine learning environment | |
| Manikandasaran et al. | Secure architecture for virtual machine to container migration in cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200410 |
|
| WW01 | Invention patent application withdrawn after publication |