CN112637111B - 虚拟化云平台系统 - Google Patents

虚拟化云平台系统 Download PDF

Info

Publication number
CN112637111B
CN112637111B CN201910948591.8A CN201910948591A CN112637111B CN 112637111 B CN112637111 B CN 112637111B CN 201910948591 A CN201910948591 A CN 201910948591A CN 112637111 B CN112637111 B CN 112637111B
Authority
CN
China
Prior art keywords
cluster
container
virtualization
authentication
tenant
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910948591.8A
Other languages
English (en)
Other versions
CN112637111A (zh
Inventor
钟储建
郭岳
许乐静
吴天东
陈琪
金天骄
陈健飞
孙占峰
王淼鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Zhejiang Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Zhejiang Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Zhejiang Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201910948591.8A priority Critical patent/CN112637111B/zh
Publication of CN112637111A publication Critical patent/CN112637111A/zh
Application granted granted Critical
Publication of CN112637111B publication Critical patent/CN112637111B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明实施例涉及云计算技术领域,公开了一种虚拟化云平台系统,该虚拟化云平台系统包括:虚拟化集群、容器集群、统一认证模块、网络模块和租户集成模块;虚拟化集群用于部署租户的虚拟机资源;容器集群用于部署租户的容器资源;统一认证模块用于使虚拟化集群和容器集群共用同一认证凭证;网络模块用于对虚拟化集群和容器集群的网络进行整合,从而使虚拟化集群和容器集群进行通信;租户集成模块用于管理虚拟化集群和容器集群的使用者身份,从而实现虚拟化集群和容器集群的信息同步。通过上述方式,本发明实施例实现了虚拟化集群和容器集群的统一维护。

Description

虚拟化云平台系统
技术领域
本发明实施例涉及云计算技术领域,具体涉及一种虚拟化云平台系统。
背景技术
容器云和虚拟化平台的融合成为云平台新的部署和应用模式。云平台提供的容器云服务解决了在虚拟化平台应用安装配置部署慢、扩展难、维护复杂和升级慢的问题。目前容器技术与虚拟化技术融合的情境下,由于租户既需要容器资源也需要虚拟机资源,因此必然存在容器集群和虚拟化集群混合部署的问题。在需要支持多租户使用的情况下,容器和虚拟化结合的模式主要有两种,一种是将容器云部署在虚拟化平台上,另一种是将容器云和虚拟化平台各自独立部署。
容器云部署在虚拟化平台上的云平台架构如图1a所示,在该云平台架构下,容器部署在虚拟机(Virtual Machine,VM)上,每个租户可以自由创建并管理自己的容器集群,,例如,租户A和租户B分别创建并管理自己的集群,从而实现容器集群的快速部署。通过虚拟化集群网络模块(例如OpenStack中的Nertron)打通虚拟化集群的底层网络。在该部署模式下,用户通过虚拟化集群网络模块完成资源编排,例如,创建虚拟机、安全组等,然后通过相关脚本完成容器集群的安装配置,从而实现不同租户之间的隔离。但是容器部署在虚拟机上会对虚拟机的性能造成一定的影响。
容器云和虚拟化平台独立部署的云平台架构如图1b所示,在该云平台架构下,容器集群和虚拟化集群分开部署,例如,租户A和租户B下的容器和虚拟机分别部署在容器集群和虚拟化集群中,容器集群和虚拟化集群有各自的网络,虚拟化集群下有虚拟化集群网络及分布式存储,容器集群下有容器网络,容器集群和虚拟化集群实现了解耦,降低了部署的复杂度。由于两个集群相互独立,该部署方式的可用性和稳定性较高,但是容器集群与虚拟化集群无法统一维护。
发明内容
鉴于上述问题,本发明实施例提供了一种虚拟化云平台系统,克服了上述问题或者至少部分地解决了上述问题。
所述虚拟化云平台系统包括:虚拟化集群、容器集群、统一认证模块、网络模块和租户集成模块;
虚拟化集群用于部署租户的虚拟机资源;
容器集群用于部署租户的容器资源;
统一认证模块包括租户认证管理服务器和凭证插件;
所述租户认证管理服务器用于接收用户认证请求,并根据所述用户认证请求通过所述凭证插件向虚拟化集群申请认证凭证,所述虚拟化集群还用于生成所述认证凭证;
所述凭证插件用于将所述虚拟化集群生成的认证凭证发送至所述租户认证管理服务器,以使所述租户认证管理服务器通过所述认证凭证访问容器集群,从而使虚拟化集群和容器集群共用同一所述认证凭证;
网络模块用于对虚拟化集群和容器集群的网络进行整合,从而使虚拟化集群和容器集群进行通信;
租户集成模块用于管理虚拟化集群和容器集群的使用者身份,从而实现虚拟化集群和容器集群的信息同步。
在一种可选的方式中,所述统一认证模块还包括:凭证认证服务器;
当所述租户认证管理服务器通过所述认证凭证访问容器集群时,所述容器集群通过所述凭证认证服务器向所述虚拟化集群发送验证凭证请求,所述虚拟化集群还用于对所述验证凭证请求中包含的所述认证凭证进行验证,当验证成功时,向所述凭证认证服务器发送用户名和组;所述租户认证管理服务器还用于将所述用户名和组发送至所述容器集群,以使所述容器集群根据所述用户名和组登录所述虚拟化云平台。
在一种可选的方式中,所述虚拟化集群包括虚拟化集群认证组件,所述虚拟化集群认证组件用于生成所述认证凭证;所述虚拟化集群认证组件还用于对所述验证凭证请求中包含的所述认证凭证进行验证,当验证成功时,向所述凭证认证服务器发送用户名和组。
在一种可选的方式中,所述容器集群包括容器集群访问接口,所述容器集群访问接口通过所述凭证认证服务器向所述虚拟化集群发送验证凭证请求;所述容器集群访问接口还用于接收所述租户认证管理服务器发送的所述用户名和组,以使所述容器集群根据所述用户名和组登录所述虚拟化云平台。
在一种可选的方式中,所述虚拟化集群包括虚拟化集群的网络单元,所述网络模块包括:网络模块控制器、容器集群网络接口驱动单元和容器基础运行单元;
网络模块控制器用于对所述容器集群进行监控,并根据所述容器集群的操作指令调用所述虚拟化集群的网络单元,以使所述虚拟化集群的网络单元创建端口;
容器集群网络接口驱动单元用于创建所述容器集群的虚拟网络接口,还用于将所述虚拟化集群的网络单元创建的端口与容器集群的虚拟网络接口绑定,以使所述虚拟化集群和所述容器集群通信。
在一种可选的方式中,所述容器集群还包括容器集群管理接口和容器集群管理器;
容器集群管理接口用于接收用户的容器操作指令;
容器集群管理器用于对所述容器集群管理接口进行监控,并根据所述容器操作指令修改所述容器基础运行单元的信息;容器集群管理器还用于根据所述容器操作指令调用所述容器集群网络接口驱动单元,以使所述容器集群网络接口驱动单元创建所述容器集群的虚拟网络接口;所述容器集群管理器还用于根据所述基础运行单元的信息对所述虚拟网络接口进行配置。
在一种可选的方式中,所述虚拟化集群还包括虚拟化平台网络代理和虚拟交换机;
所述容器集群网络接口驱动单元还用于通过所述虚拟交换机调用所述虚拟化平台网络代理,以使所述虚拟化集群的网络单元创建的端口与所述虚拟网络接口绑定,从而使所述虚拟化集群和所述容器集群进行通信。
在一种可选的方式中,所述租户集成模块包括:用户管理服务单元、租户管理服务单元、角色管理服务单元和策略管理服务单元;
所述用户管理服务单元用于存储私有云中的用户信息,所述私有云是所述虚拟化云平台系统的管理员创建的私有云,所述私有云用于对所述虚拟化集群中的租户进行隔离;
所述租户管理服务单元用于存储所述私有云中的租户信息;
所述角色管理服务单元用于存储所述私有云中的角色信息;
所述策略管理服务用于存储所述私有云中的用户信息、租户信息和角色信息之间的对应关系,所述对应关系是由所述虚拟化云平台系统的管理员配置的对应关系;
所述统一认证模块进一步用于根据所述租户集成模块中存储的所述用户信息、所述租户信息、所述角色信息和所述对应关系,使虚拟化集群和容器集群共用同一认证凭据对注册用户进行统一认证。
在一种可选的方式中,所述策略管理服务还用于将所述虚拟化集群的私有云与所述容器集群的命名空间进行映射,从而实现所述虚拟化集群的租户和所述容器集群的租户同步隔离,所述命名空间用于对所述容器集群中的租户进行隔离。
在一种可选的方式中,所述虚拟化集群的私有云包括虚拟化安全组,所述虚拟化安全组携带安全组标识,虚拟化安全组标识相同的所述虚拟化安全组之间可以进行通信;与所述虚拟化集群的私有云存在映射关系的所述容器集群的命名空间包含所述虚拟化集群的私有云的虚拟化安全组。
本发明实施例通过在虚拟化云平台中部署统一认证模块实现了虚拟化集群和容器集群共用同一认证凭证进行认证;网络模块实现了虚拟化集群和容器集群之间的相互通信;租户集成模块实现了虚拟化集群和容器集群的统一管理。通过本发明实施例,解决了现有技术将容器云和虚拟化平台独立部署时,容器云与虚拟化平台之间无法统一维护的问题。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1a示出了容器云部署在虚拟化平台上的云平台架构示意图;
图1b示出了容器云和虚拟化平台独立部署的云平台架构示意图;
图2示出了本发明实施例的一种虚拟化云平台系统的结构示意图;
图3示出了本发明实施例的一种虚拟化云平台系统中统一认证模块的工作流程图;
图4示出了本发明实施例的一种虚拟化云平台系统中网络模块的工作流程图;
图5示出了本发明另一实施例提供的一种虚拟化云平台系统中网络模块的工作流程图;
图6示出了本发明实施例的一种虚拟化云平台系统中租户集成模块的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
虚拟化是通过软件对计算机硬件资源镜像整合管理和再分配的一种技术。虚拟化包括基于虚拟机的虚拟化和基于容器的虚拟化。基于虚拟机的虚拟化通过软件层封装,提供和物理机硬件相同的输入输出表现,实现操作系统和计算机硬件的解耦,通过虚拟化,操作系统和物理机之间一对一的关系变成了多对一的关系,每一个虚拟机有自己的操作系统,而该操作系统可以和物理机的操作系统相同,也可以和物理机的操作系统不同。用于封装的软件层是虚拟机管理器,它可以直接运行在物理机上,也可以运行在操作系统上。由于虚拟机管理器的存在,虚拟机之间、虚拟机和宿主机之间具有很好的隔离性。
容器是没有操作系统的轻量级“虚拟机”,一个容器包含了一个应用完整的运行环境,例如,该容器所需的类库、配置文件等。多个容器共用一个操作系统内核,容器中包含有需要部署的应用和该应用所依赖的系统环境。由于多个容器共享操作系统内核,因此,容器依赖于底层的操作系统,各个容器之间的隔离性差。
由于很好的隔离性,虚拟机在安全性上具备明显优势,而容器由于没有操作系统,在运行速度上更具优势,因此,将虚拟机和容器结合部署云平台可以解决只使用虚拟机带来的运行速度差的问题,同时,也可以解决容器之间隔离性差的问题。
本发明实施例针对容器云和虚拟化平台独立部署时,云平台的容器集群和虚拟化集群无法统一维护的问题对云平台的架构进行了部署,从而实现了容器集群和虚拟化集群的统一维护。下面通过各具体实施例对本发明的总体构思做进一步介绍。
图2示出了本发明实施例的一种虚拟化云平台系统的结构示意图,如图2所示,该虚拟化云平台系统包括:虚拟化集群、容器集群、统一认证模块、网络模块和租户集成模块。虚拟化集群中包含了多个租户,每一租户由云平台管理员分配一个或多个虚拟机,例如图2中的租户A和租户B,租户之间是相互隔离的,一个租户仅能看到其授权使用的虚拟机(Virtual Machine,VM),并且只能够使用其授权使用的虚拟机对应的资源。容器集群中包含了多个租户,每一租户由云平台管理员分配一个或多个容器,例如,图2中的租户A和租户B,租户之间相互隔离,一个租户仅能够使用其授权使用的容器对应的资源。租户可以理解为一个项目、团队或组织,只有租户才可以申请云平台服务。例如,云平台服务是一个面向所有互联网用户的平台,所有的互联网用户都可以访问该云平台提供的服务,那么一个互联网用户就是一个租户。
统一认证模块的主要功能是实现虚拟化集群和容器集群采用统一的用户认证,共用同一认证凭证。当用户注册登录云平台时,不同用户所属的租户不同,每个用户可访问的资源不同,因此需要对注册登录的用户进行验证。例如,云平台面向一个公司提供服务,该公司包含有多个部门,每一个部门相当于一个租户,仅该部门下的员工可以使用该部门对应的资源。统一认证模块包括租户认证管理服务器和凭证插件,租户认证管理服务器是负责向凭证插件申请用户登录凭证及通过用户登录凭证访问容器集群的中间件;凭证插件是在虚拟化集群和容器集群之间传递认证凭证的中间件。图3示出了本发明实施例的一种统一认证模块的工作流程图,如图3所示,统一认证模块进行工作时,包括以下步骤:
步骤310:登录模块向租户认证管理服务器发送用户认证请求。
在本步骤中,用户登录模块是云平台的登录入口,用于使用户通过该入口进行登录。在用户登录时,登录模块向租户认证管理服务器发送用户认证请求。用户认证请求用于对登录的用户进行认证,以判断该用户是否可以使用云平台。
步骤320:租户认证管理服务器根据用户认证请求向凭证插件申请认证凭证。
在本步骤中,租户认证管理服务器相当于向凭证插件申请用户登录凭证的接口,凭证插件是一个在虚拟化平台和容器平台之间负责传递认证凭证的中间件。
步骤330:凭证插件向虚拟化集群申请认证凭证。
步骤340:虚拟化集群产生认证凭证,并将认证凭证通过凭证插件返回租户认证管理服务器。
在本步骤中,虚拟化集群在接收到认证凭证后,对认证凭证进行验证,虚拟化集群中预先存储有用户信息,申请认证凭证的请求中携带用户信息,当虚拟化集群认中预先存储的用户信息包含申请认证凭证的请求中携带的用户信息时,申请认证凭证的请求验证成功。在申请认证凭证的请求验证成功后,虚拟化集群生成认证凭证,并将生成的认证凭证通过凭证插件返回租户认证管理服务器。
在本实施例中,认证凭证是由虚拟化集群生成的,因此在访问虚拟化集群时,也可以通过该认证凭证进行访问,从而实现了虚拟化集群和容器集群共用同一认证凭证。
在一些实施例中,统一认证模块还包括凭证认证服务器,在该实施方式下,统一认证模块的工作流程图与上一实施例相比,还包括以下步骤:
步骤350:容器集群通过凭证认证服务器向虚拟化集群发送验证凭证请求。
在本步骤中,租户认证管理服务器根据获取的认证凭证访问容器集群时,容器集群通过凭据认证服务器相虚拟化集群发送验证凭证请求,以验证认证凭证是否是虚拟化集群生成的认证凭证。
步骤360:虚拟化集群对验证凭证请求中包含的认证凭证进行验证,当验证成功时,向凭证认证服务器发送用户名和组。
在本步骤中,虚拟化集群中存储有事先生成的认证凭证,当验证凭证请求中的认证凭证与虚拟化集群中存储的认证凭证一致时,则认为凭证验证成功,虚拟化集群向凭证认证服务器发送用户名和组。
步骤370:凭证认证服务器将用户名和组发送至容器集群,以使用户根据该用户名和组访问云平台。
在本步骤中,用户名是指用户登录时的用户名,组决定了该用户的权限,即,可以访问云平台中的特定资源。容器集群接收到用户名和组后,将该用户名存储在容器集群中,以便用户访问容器集群中特定资源。由于该用户名和组是虚拟化集群生成的,因此持有该用户名的用户可以访问虚拟化集群中特定资源。
本发明实施例中的租户认证管理服务器在通过认证凭证访问容器集群时,容器集群通过凭证认证服务器对认证凭证进行验证,保证了认证凭证在虚拟化集群和容器集群中的统一。虚拟化集群在认证凭证验证通过时,向容器集群返回用户名和组,并与该进行认证的用户访问容器集群及虚拟化集群中的特定资源。
网络模块是虚拟化集群和容器集群的底层通信模块,用于向容器集群提供业务网络、分配IP地址以及网络负载均衡等功能,从而对虚拟化集群和容器集群的网络进行整合,实现虚拟化集群和容器集群之间的通信。网络模块包括网络模块控制器、容器集群网络接口驱动单元和容器基础运行单元,图4示出了本发明实施例的一种网络模块的工作流程图,网络模块的工作流程包括以下步骤:
步骤410:网络模块控制器通过监控容器集群的操作指令获取操作指令对应的容器基础运行单元的信息。
在本步骤中,容器基础运行单元是一个容器或者多个容器共享的资源。容器集群的操作指令包括容器的增加、容器的查询、容器的更新和容器的删除。当对容器集群进行操作时,容器基础运行单元的内容会相应改变,例如,对容器集群进行容器的增加操作,相应的容器基础运行单元增加该容器对应的资源。
步骤420:网络模块控制器对容器基础运行单元的信息解析后调用虚拟化集群的网络单元,以使虚拟化集群的网络单元创建端口。
在本步骤中,网络模块控制器将容器基础运行单元中的信息解析为容器调度的最小单元,并根据最小单元调用虚拟化集群的网络单元,以使虚拟化集群的网络单元创建端口,该端口是虚拟化集群用于通信的虚拟端口。其中,虚拟化集群的网络单元属于虚拟化集群的底层网络,例如,OpenStack中的Neutron。
步骤430:容器集群网络接口驱动单元根据容器集群的操作指令创建容器集群的虚拟网络接口,并将虚拟化集群的网络单元创建的端口与容器集群的虚拟网络接口绑定,以使虚拟化集群和容器集群进行通信。
在本步骤中,容器集群网络接口驱动单元根据容器基础运行单元中的信息创建虚拟网络接口,该虚拟网络接口配置为容器基础运行单元中的网络,包括容器基础运行单元的IP地址等网络信息。由于虚拟化集群的网络单元创建的端口是根据容器基础运行单元中的信息创建的,因此,虚拟化集群的网络单元创建的端口与容器集群的虚拟网络接口绑定,虚拟化集群和容器集群之间可以通过虚拟化集群的网络单元创建的端口及容器集群的虚拟网络接口进行通信。
本发明实施例的容器集群和虚拟化集群可以进行网络通信,从而使容器集群和虚拟化集群可以运行在同一个子网上,打通了虚拟化集群和容器集群之间的网络。
在一种实施方式中,容器集群还包括容器集群管理接口、容器集群管理器和容器基础运行单元,虚拟化集群还包括虚拟化平台网络代理和虚拟机,在这种实施方式下,网络模块的工作流程包括如图5所示的如下步骤:
步骤510:容器集群管理接口接收用户的容器操作指令。
步骤520:容器集群管理器根据容器操作指令修改容器基础运行单元的信息。
步骤530:网络模块控制器通过监控容器集群管理接口的操作指令获取修改后的容器基础运行单元的信息。
步骤540:网络模块控制器对容器基础运行单元的信息解析后调用虚拟化集群的网络单元,以使虚拟化集群的网络单元创建端口。
步骤550:容器集群管理器调用容器集群网络接口驱动单元创建容器集群的虚拟网络接口,并对虚拟网络接口进行配置。
步骤510至步骤550的具体说明请参阅步骤410至步骤430,在此不再赘述。
步骤560:容器集群网络接口驱动单元通过虚拟交换机调用虚拟化平台网络代理,以使虚拟化集群的网络单元创建的端口与虚拟网络接口绑定,从而使虚拟化集群和所述容器集群进行通信。
在本步骤中,虚拟化平台网络代理可以对虚拟交换机进行管理,并可以与虚拟化集群的网络单元进行通信,根据虚拟化集群的网络单元创建的端口增加虚拟交换机的端口,实现通信数据的交换。由于容器集群网络接口驱动单元可以通过虚拟交换机调用虚拟化平台网络代理,实现与虚拟化集群的网络单元创建的端口进行通信,从而实现了容器集群的虚拟网络接口与虚拟化集群的网络单元之间进行通信,打通了虚拟化集群和容器集群之间的网络。
图6示出了本发明实施例的一种租户集成模块的结构示意图,如图6所示,租户集成模块包括用户管理服务单元610、租户管理服务单元620、角色管理服务单元630和策略管理服务单元640。用户管理服务单元610用于存储私有云中的用户信息,一个用户是一个有身份的API消费实体,云平台的管理员在用户管理服务单元中创建用户,创建的用户包括用户名、用户ID等信息,管理员创建的信息存储在用户管理服务单元中,容器集群和虚拟化集群可以通过底层网络同步该用户信息。当用户申请注册时,租户集成模块将管理员创建在用户管理服务器中创建的用户返回给注册用户。
租户管理服务单元620用于存储私有云中的租户信息,该租户信息是云平台的管理员创建的租户信息,包括租户名、租户ID等。多个用户分配在一个租户内,因此,当用户申请注册时,租户集成模块将该用户所属的租户作为组返回给用户。
角色管理服务单元630定义了租户允许用户执行的操作,以及特定租户下用户的权限,角色管理服务上所创建的角色是由云平台的管理员进行创建的,创建的角色包括角色名、角色身份等信息。
策略管理服务单元640用于存储私有云中的用户信息、租户信息和角色信息之间的对应关系,该对应关系是由云平台的管理员根据用户所属的租户及租户规定其下的租户对应的角色进行配置的,在进行配置时,根据用户身份、租户身份及角色身份之间的对应关系进行配置。
统一认证模块根据租户集成模块中的信息为注册用户分配用户名,使虚拟化集群和容器集群共用同一认证凭据对注册用户进行统一认证。
在一些实施例中,策略管理服务还用于将虚拟机集群的私有云与容器集群的命名空间进行映射,从而实现虚拟化集群的租户和容器集群的租户同步隔离,命名空间用于对容器集群中的租户进行隔离。虚拟化集群的私有云包括虚拟化安全组,虚拟化安全组携带安全组标识,虚拟化安全组标识相同的虚拟化安全组之间可以进行通信;与虚拟化集群的私有云存在映射关系的容器集群的命名空间包含虚拟化集群的私有云的虚拟化安全组。
其中,私有云(Virtual Private Cloud,VPC)用于虚拟化集群中租户之间的隔离,虚拟化安全组是VPC内的虚拟化安全组,虚拟化安全组携带的安全标识为虚拟化安全组名称。VPC包括VPC名称、VPC网段、VPC内安全组名称,VPC名称用于唯一标识特定的VPC,VPC下可以创建虚拟化集群安全组,用于实现相互信任的虚拟机之间的通信。命名空间(NameSpace)用于唯一标识容器集群中不同租户下的容器,策略管理服务单元640通过将VPC与NameSpace进行映射,实现容器集群和虚拟化集群对应的租户之间的隔离。在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。

Claims (9)

1.一种虚拟化云平台系统,其特征在于,所述虚拟化云平台系统包括:
虚拟化集群、容器集群、统一认证模块、网络模块和租户集成模块;
虚拟化集群用于部署租户的虚拟机资源;
容器集群用于部署租户的容器资源;
统一认证模块包括租户认证管理服务器和凭证插件;
所述租户认证管理服务器用于接收用户认证请求,并根据所述用户认证请求通过所述凭证插件向虚拟化集群申请认证凭证,所述虚拟化集群还用于生成所述认证凭证;
所述凭证插件用于将所述虚拟化集群生成的认证凭证发送至所述租户认证管理服务器,以使所述租户认证管理服务器通过所述认证凭证访问容器集群,从而使虚拟化集群和容器集群共用同一所述认证凭证;
所述统一认证模块还包括:凭证认证服务器;
当所述租户认证管理服务器通过所述认证凭证访问容器集群时,所述容器集群通过所述凭证认证服务器向所述虚拟化集群发送验证凭证请求,所述虚拟化集群还用于对所述验证凭证请求中包含的所述认证凭证进行验证,当验证成功时,向所述凭证认证服务器发送用户名和组;所述租户认证管理服务器还用于将所述用户名和组发送至所述容器集群,以使所述容器集群根据所述用户名和组登录所述虚拟化云平台;
网络模块用于对虚拟化集群和容器集群的网络进行整合,从而使虚拟化集群和容器集群进行通信;
租户集成模块用于管理虚拟化集群和容器集群的使用者身份,从而实现虚拟化集群和容器集群的信息同步。
2.根据权利要求1所述的虚拟化云平台系统,其特征在于,所述虚拟化集群包括虚拟化集群认证组件,所述虚拟化集群认证组件用于生成所述认证凭证;所述虚拟化集群认证组件还用于对所述验证凭证请求中包含的所述认证凭证进行验证,当验证成功时,向所述凭证认证服务器发送用户名和组。
3.根据权利要求1所述的虚拟化云平台系统,其特征在于,所述容器集群包括容器集群访问接口,所述容器集群访问接口通过所述凭证认证服务器向所述虚拟化集群发送验证凭证请求;所述容器集群访问接口还用于接收所述租户认证管理服务器发送的所述用户名和组,以使所述容器集群根据所述用户名和组登录所述虚拟化云平台。
4.根据权利要求1所述的虚拟化云平台系统,其特征在于,所述虚拟化集群包括虚拟化集群的网络单元,所述网络模块包括:网络模块控制器、容器集群网络接口驱动单元和容器基础运行单元;
网络模块控制器用于对所述容器集群进行监控,并根据所述容器集群的操作指令调用所述虚拟化集群的网络单元,以使所述虚拟化集群的网络单元创建端口;
容器集群网络接口驱动单元用于创建所述容器集群的虚拟网络接口,还用于将所述虚拟化集群的网络单元创建的端口与容器集群的虚拟网络接口绑定,以使所述虚拟化集群和所述容器集群通信。
5.根据权利要求4所述的虚拟化云平台系统,其特征在于,所述容器集群还包括容器集群管理接口和容器集群管理器;
容器集群管理接口用于接收用户的容器操作指令;
容器集群管理器用于对所述容器集群管理接口进行监控,并根据所述容器操作指令修改所述容器基础运行单元的信息;容器集群管理器还用于根据所述容器操作指令调用所述容器集群网络接口驱动单元,以使所述容器集群网络接口驱动单元创建所述容器集群的虚拟网络接口;所述容器集群管理器还用于根据所述基础运行单元的信息对所述虚拟网络接口进行配置。
6.根据权利要求5所述的虚拟化云平台系统,其特征在于,所述虚拟化集群还包括虚拟化平台网络代理和虚拟交换机;
所述容器集群网络接口驱动单元还用于通过所述虚拟交换机调用所述虚拟化平台网络代理,以使所述虚拟化集群的网络单元创建的端口与所述虚拟网络接口绑定,从而使所述虚拟化集群和所述容器集群进行通信。
7.根据权利要求1所述的虚拟化云平台系统,其特征在于,所述租户集成模块包括:用户管理服务单元、租户管理服务单元、角色管理服务单元和策略管理服务单元;
所述用户管理服务单元用于存储私有云中的用户信息,所述私有云是所述虚拟化云平台系统的管理员创建的私有云,所述私有云用于对所述虚拟化集群中的租户进行隔离;
所述租户管理服务单元用于存储所述私有云中的租户信息;
所述角色管理服务单元用于存储所述私有云中的角色信息;
所述策略管理服务用于存储所述私有云中的用户信息、租户信息和角色信息之间的对应关系,所述对应关系是由所述虚拟化云平台系统的管理员配置的对应关系;
所述统一认证模块进一步用于根据所述租户集成模块中存储的所述用户信息、所述租户信息、所述角色信息和所述对应关系,使虚拟化集群和容器集群共用同一认证凭据对注册用户进行统一认证。
8.根据权利要求7所述的虚拟化云平台系统,其特征在于,所述策略管理服务还用于将所述虚拟化集群的私有云与所述容器集群的命名空间进行映射,从而实现所述虚拟化集群的租户和所述容器集群的租户同步隔离,所述命名空间用于对所述容器集群中的租户进行隔离。
9.根据权利要求8所述的虚拟化云平台系统,其特征在于,所述虚拟化集群的私有云包括虚拟化安全组,所述虚拟化安全组携带安全组标识,虚拟化安全组标识相同的所述虚拟化安全组之间可以进行通信;与所述虚拟化集群的私有云存在映射关系的所述容器集群的命名空间包含所述虚拟化集群的私有云的虚拟化安全组。
CN201910948591.8A 2019-10-08 2019-10-08 虚拟化云平台系统 Active CN112637111B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910948591.8A CN112637111B (zh) 2019-10-08 2019-10-08 虚拟化云平台系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910948591.8A CN112637111B (zh) 2019-10-08 2019-10-08 虚拟化云平台系统

Publications (2)

Publication Number Publication Date
CN112637111A CN112637111A (zh) 2021-04-09
CN112637111B true CN112637111B (zh) 2022-09-13

Family

ID=75283017

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910948591.8A Active CN112637111B (zh) 2019-10-08 2019-10-08 虚拟化云平台系统

Country Status (1)

Country Link
CN (1) CN112637111B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114448978B (zh) * 2021-12-20 2024-05-24 深信服科技股份有限公司 一种网络接入方法、装置、电子设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107733704A (zh) * 2017-09-29 2018-02-23 中国石油化工股份有限公司 一种基于虚拟化和容器技术的勘探开发云的系统和方法
CN108089912A (zh) * 2017-12-19 2018-05-29 深信服科技股份有限公司 一种虚拟机与容器超融合系统构建方法及装置
CN109889480A (zh) * 2018-12-25 2019-06-14 武汉烽火信息集成技术有限公司 基于容器和云平台的全国产化融合云平台管理方法及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170052807A1 (en) * 2014-02-20 2017-02-23 Telefonaktiebolaget Lm Ericsson (Publ) Methods, apparatuses, and computer program products for deploying and managing software containers
US9462427B2 (en) * 2015-01-14 2016-10-04 Kodiak Networks, Inc. System and method for elastic scaling using a container-based platform

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107733704A (zh) * 2017-09-29 2018-02-23 中国石油化工股份有限公司 一种基于虚拟化和容器技术的勘探开发云的系统和方法
CN108089912A (zh) * 2017-12-19 2018-05-29 深信服科技股份有限公司 一种虚拟机与容器超融合系统构建方法及装置
CN109889480A (zh) * 2018-12-25 2019-06-14 武汉烽火信息集成技术有限公司 基于容器和云平台的全国产化融合云平台管理方法及系统

Also Published As

Publication number Publication date
CN112637111A (zh) 2021-04-09

Similar Documents

Publication Publication Date Title
US10833949B2 (en) Extension resource groups of provider network services
JP6771650B2 (ja) クラウドコンピューティングシステムにおいて仮想マシンが物理サーバにアクセスするための方法、装置、およびシステム
AU2019277011B2 (en) Domain pass-through authentication in a hybrid cloud environment
CN109040276B (zh) 一种构建云平台的方法、装置、计算机存储介质及终端
CN102571698B (zh) 一种虚拟机访问权限的控制方法、系统及装置
US8930949B2 (en) Apparatus, method, and computer program product for solution provisioning
JP2021513164A (ja) 高速スマートカードログオン
US9075664B2 (en) Application dependent data center integration
US12106132B2 (en) Provider network service extensions
KR20170062529A (ko) 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온
CN110855488B (zh) 一种虚拟机接入方法及装置
CN112099913A (zh) 一种基于OpenStack实现虚拟机安全隔离的方法
CN103997502A (zh) 一种基于云计算数据中心安全增强模型的设计方法
CN113923023A (zh) 权限配置和数据处理的方法、装置、电子设备及介质
CN112637111B (zh) 虚拟化云平台系统
US20200134219A1 (en) Securely Sharing Files with User Devices Based on Location
US20230138867A1 (en) Methods for application deployment across multiple computing domains and devices thereof
US20220021532A1 (en) Tracking Tainted Connection Agents
Wei et al. A VDI system based on cloud stack and active directory
US20190332798A1 (en) Concealment of Customer Sensitive Data In Virtual Computing Arrangements
US11385946B2 (en) Real-time file system event mapping to cloud events
KR102441860B1 (ko) 공급자 네트워크 서비스 확장
US20240080306A1 (en) Automated sharing of remote devices by multiple users using a file system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant