CN115426175A - 一种基于用户隔离的实例孵化系统和方法 - Google Patents
一种基于用户隔离的实例孵化系统和方法 Download PDFInfo
- Publication number
- CN115426175A CN115426175A CN202211062136.6A CN202211062136A CN115426175A CN 115426175 A CN115426175 A CN 115426175A CN 202211062136 A CN202211062136 A CN 202211062136A CN 115426175 A CN115426175 A CN 115426175A
- Authority
- CN
- China
- Prior art keywords
- tenant
- product
- cluster
- center
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及云服务资源管理技术领域,提供一种基于用户隔离的实例孵化系统和方法,本发明的系统包括:云管平台、产品中心、租户中心、集群服务代理以及云集群。本发明的方法包括:产品中心调用租户中心创建产品租户,在云集群中产品租户的命名空间安装云服务产品;云管平台调用租户中心创建普通租户;云管平台调用产品中心在云集群中对应租户的命名空间孵化实例。根据本发明示例性实施例的基于用户隔离的实例孵化系统和方法,可以通过为租户配置命名空间、安全资源,以及通过产品中心进行实例孵化,实现了通过中心化服务孵化实例以及租户和管控组件之间的资源隔离和权限隔离,提升集群整体安全性。
Description
技术领域
本发明涉及云服务资源管理技术领域,尤其涉及一种基于用户隔离的实例孵化系统和方法。
背景技术
在云服务场景下,云服务集群内的资源分为两种。一种是维持集群和服务运行的资源,这种资源包含基本的系统组件和服务组件,这些组件需要互相通信,针对故障进行检查和修复,或者孵化新的实例供其他组件或者租户使用;另一种是属于租户的资源,租户通过购买或者其他方式获得云服务资源的所有权和使用权。
在对集群资源的实际管理应用中,由于属于租户的资源和集群内部的资源是运行在同一个集群内部的,如果不对租户的权限进行控制,会导致不可预知的风险,例如:用户违规提升自己的权限,修改或删除集群配置,获取系统组件或者其他租户的资料,破坏服务,恶意利用系统组件产品依赖存在漏洞,读取其他组件或者租户的信息等。
因此,如何区分普通租户和云服务产品组件的权限,使云服务产品组件可以查看和访问其他命名空间下的资以及修改本命名空间下的资源,使普通租户只允许查看和访问但不允许修改本命名空间下的资源,成为亟需解决的技术问题。
发明内容
有鉴于此,本发明为了克服现有云服务资源管理技术中集群角色权限管理的不足,通过为租户配置命名空间、安全资源,以及通过产品中心进行实例孵化,实现了通过中心化服务孵化实例以及租户和管控组件之间的资源隔离和权限隔离。
一方面,本发明提供一种基于用户隔离的实例孵化系统,包括:
云管平台,用于调用租户中心创建普通租户以及调用产品中心在云集群中租户的命名空间孵化实例,还用于展示产品中心的产品,为普通租户提供注册、登录以及购买实例服务;
产品中心,用于通过产品中心上线云服务产品,向租户中心发送创建产品租户的请求,在云集群中产品租户的命名空间安装云服务产品,根据接收的购买实例的请求向集群服务代理发送孵化实例的请求,对实例状态进行持久化存储,将实例信息返回至云管平台供普通租户调用;
租户中心,用于收到创建产品租户的请求后,通过判断对已经创建的产品租户和未创建的产品租户进行区分,为未创建的产品租户生成对应的产品租户信息、证书文件以及权限文件,并携带所述产品租户信息、证书文件以及权限文件调用集群服务代理;用于收到创建普通租户的请求后,通过判断对已经创建的普通租户和未创建的普通租户进行区分,为未创建的普通租户生成对应的普通租户信息、证书文件以及权限文件,并携带所述普通租户信息、证书文件以及权限文件调用集群服务代理;
集群服务代理,用于根据租户中心的产品租户信息、证书文件以及权限文件在云集群中创建产品租户对应的集群资源,根据租户中心的普通租户信息、证书文件以及权限文件在云集群中创建产品租户对应的集群资源,根据接收的孵化实例的请求将实例孵化至云集群中,用于检查云集群中实例的孵化状态,将孵化成功的实例的实例状态及实例信息回调至产品中心;
云集群,用于运行承载云管平台、产品中心、租户中心和集群服务代理的服务,用于安装云产品对外提供服务。
另一方面,本发明提供一种基于用户隔离的实例孵化方法,包括:
步骤S1:产品中心调用租户中心创建产品租户,在云集群中产品租户的命名空间安装云服务产品;
步骤S2:云管平台调用租户中心创建普通租户;
步骤S3:云管平台调用产品中心在云集群中对应租户的命名空间孵化实例。
进一步地,本发明基于用户隔离的实例孵化方法的步骤S1,包括:
步骤S11:通过产品中心上线云服务产品,向租户中心发送创建产品租户的请求;
步骤S12:租户中心收到创建产品租户的请求后,通过判断对已经创建的产品租户和未创建的产品租户进行区分;
步骤S13:采用租户中心为未创建的产品租户生成对应的产品租户信息、证书文件以及权限文件,并携带所述产品租户信息、证书文件以及权限文件调用集群服务代理;
步骤S14:集群服务代理根据租户中心的产品租户信息、证书文件以及权限文件在云集群中创建产品租户对应的集群资源;
步骤S15:通过产品中心在云集群中产品租户的命名空间安装云服务产品。
进一步地,本发明基于用户隔离的实例孵化方法的步骤S12,包括:租户中心检查是否存在接收到的请求的记录,当存在所述请求的记录时,检查所述请求的产品租户对应的集群资源是否已经生成且是否状态正常,当所述请求的产品租户对应的集群资源已经已经生成且状态正常,判定所述请求对应的产品租户已经创建,并向产品中心返回产品租户创建成功的信息。
进一步地,本发明基于用户隔离的实例孵化方法的步骤S13中,采用租户中心为未创建的产品租户生成对应的产品租户信息、证书文件以及权限文件,包括:
步骤S131:租户中心根据创建产品租户的请求为未创建的产品租户生成产品租户信息,所述产品租户信息包括产品租户基本信息、产品信息以及产品规格;
步骤S132:租户中心根据根证书签发产品租户证书文件,所述证书文件拥有管理员用户属性,具有跨命名空间访问其他命名空间下的资源,查看以及修改本命名空间下的资源的级别;
步骤S133:租户中心根据产品租户证书文件生成权限文件;
步骤S134:租户中心对产品租户信息、证书文件以及权限文件进行持久化存储。
进一步地,本发明基于用户隔离的实例孵化方法的步骤S14,包括:
步骤S141:集群代理服务根据产品租户的权限文件创建命名空间;
步骤S142:集群代理服务根据创建的命名空间创建拥有管理员用户属性的角色权限;
步骤S143:集群代理服务根据创建的角色权限创建拥有管理员用户属性的集群角色权限;
步骤S144:集群代理服务根据创建的集群角色权限创建对应的集群角色绑定属性;
步骤S145:集群代理服务向产品中心返回产品租户创建成功的信息。
进一步地,本发明基于用户隔离的实例孵化方法的步骤S15,包括:
步骤S151:产品中心根据产品租户信息获取对应的安装文件、管理组件信息以及管理组件安装包;
步骤S152:产品中心调用集群服务代理将管理组件安装包安装至云集群中;
步骤S153:集群服务代理检查云集群中管理组件安装包的安装状态,将安装成功的产品信息回调至产品中心;
步骤S154:产品中心对接收的产品信息进行持久化存储,并将产品信息返回至云管平台展示。
进一步地,本发明基于用户隔离的实例孵化方法的步骤S2,包括:
步骤S21:通过云管平台向租户中心发送创建普通租户的请求;
步骤S22:租户中心收到创建普通租户的请求后,通过判断对已经创建的普通租户和未创建的普通租户进行区分;
步骤S23:采用租户中心为未创建的普通租户生成对应的普通租户信息、证书文件以及权限文件,并携带所述普通租户信息、证书文件以及权限文件调用集群服务代理;
步骤S24:集群服务代理根据租户中心的普通租户信息、证书文件以及权限文件在云集群中创建普通租户对应的集群资源。
进一步地,本发明基于用户隔离的实例孵化方法的骤S22,包括:租户中心检查是否存在接收到的请求的记录,当存在所述请求的记录时,检查所述请求的普通租户对应的集群资源是否已经生成且是否状态正常,当所述请求的普通租户对应的集群资源已经已经生成且状态正常,判定所述请求对应的普通租户已经创建,并向产品中心返回普通租户创建成功的信息。
进一步地,本发明基于用户隔离的实例孵化方法的步骤S23中,采用租户中心为未创建的普通租户生成对应的普通租户信息、证书文件以及权限文件,包括:
步骤S231:租户中心根据创建产品租户的请求为未创建的普通租户生成产品租户信息,所述产品租户信息包括普通租户基本信息、产品信息以及安全限制信息;
步骤S232:租户中心根据根证书签发普通租户证书文件,所述证书文件拥有访问用户属性,具有读写访问本命名空间内对象的级别;
步骤S233:租户中心根据普通租户证书文件生成权限文件;
步骤S234:租户中心对普通租户信息、证书文件以及权限文件进行持久化存储。
进一步地,本发明基于用户隔离的实例孵化方法的步骤S24,包括:
步骤S241:集群代理服务根据普通租户的权限文件创建命名空间;
步骤S242:集群代理服务根据创建的命名空间创建拥有访问用户属性的角色权限;
步骤S243:集群代理服务根据创建的角色权限创建拥有访问用户属性的集群角色权限;
步骤S244:集群代理服务根据创建的集群角色权限创建对应的集群角色绑定属性;
步骤S245:集群代理服务向云管平台返回普通租户创建成功的信息。
进一步地,本发明基于用户隔离的实例孵化方法的步骤S3,包括:
步骤S31:云管平台将普通租户购买实例的请求转发至产品中心,所述购买实例的请求包括普通租户信息、产品信息以及产品规格;
步骤S32:产品中心根据接收的购买实例的请求向集群服务代理发送孵化实例的请求;
步骤S33:集群服务代理根据接收的孵化实例的请求将实例孵化至云集群中;
步骤S34:集群服务代理检查云集群中实例的孵化状态,将孵化成功的实例的实例状态及实例信息回调至产品中心;
步骤S35:产品中心对实例状态进行持久化存储,将实例信息返回至云管平台供普通租户调用。
本发明基于用户隔离的实例孵化系统和方法,具有以下有益效果:
1.最高级别的证书文件(根证书)仅保存于租户中心,所有服务的证书由根证书签发而来,没有服务可以获取根用户权限;
2.产品和普通租户与命名空间一一对应,起到了良好的服务之间隔离的效果;
3.云服务产品不直接孵化实例,通过产品中心直接调用集群服务代理孵化,避免因为引入云服务产品而引入安全风险;
4.云服务产品只能查看和访问其他命名空间的权限,无法对其他命名空间进行修改或者删除;
5.普通租户的权限等级非常低,只有本命名空间的查看和访问权限,避免了用户进行权限提升或者其他风险操作。
综上所述,本发明基于用户隔离的实例孵化系统和方法可以提升整个集群的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明示例性第一实施例的一种基于用户隔离的实例孵化系统的架构图。
图2为本发明示例性第二实施例的一种基于用户隔离的实例孵化方法的流程图。
图3为本发明示例性第三实施例的一种基于用户隔离的实例孵化方法的流程图。
图4为本发明示例性第三实施例的一种基于用户隔离的实例孵化方法的时序图。
图5为本发明示例性第四实施例的一种基于用户隔离的实例孵化方法的流程图。
图6为本发明示例性第四实施例的一种基于用户隔离的实例孵化方法的时序图。
图7为本发明示例性第五实施例的一种基于用户隔离的实例孵化方法的流程图。
图8为本发明示例性第五实施例的一种基于用户隔离的实例孵化方法的时序图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
本发明的理论技术简述如下:
本发明通过给不同类型的租户签发不同级别的证书,使普通租户只能访问本命名空间下资源,从而达到租户之间以及租户和系统组件之间隔离的目的。
对于产品中心而言,所管理的各个云服务产品属于业务组件,需要去跨命名空间访问其他资源,调用各种服务,因此,需要给各个云服务产品创建拥有集群级别权限的租户(产品租户),使得云服务产品可以正常的提供服务。对于云管平台而言,依托于租户中心所管理的用户(普通租户),出于集群安全层面的考虑,只需要赋予命名空间级别的权限,并且将租户所有的资源(实例)孵化于租户的命名空间下,使租户只能操作本命名空间下的资源。租户的基本信息以及集群资源创建成功后,便会向云管平台返回租户创建成功的信息。租户在页面选择购买后,云管平台会将请求孵化的实例通过集群服务代理孵化到集群中租户的命名空间下,并进行检查,成功后记录状态,提供给租户使用。
本发明方案中的权限分为3级,租户中心持有根证书,权限最高,拥有集群全部权限;产品租户拥有管理员用户的角色属性,拥有集群级别的访问权限,具有跨命名空间访问其他命名空间下的资源,查看以及修改本命名空间下的资源的级别,但不具有修改其他命名空间下的资源的权限和级别。普通租户拥有访问用户的角色属性,拥有本命名空间级别的访问权限,不可访问除了本命名空间以外的任何资源。也不具有修改本命名空间内对象的权限和级别。
图1为根据本发明示例性第一实施例的一种基于用户隔离的实例孵化系统的架构图,如图1所示,本实施例的系统,包括:
云管平台,用于调用租户中心创建普通租户以及调用产品中心在云集群中租户的命名空间孵化实例,还用于展示产品中心的产品,为普通租户提供注册、登录以及购买实例服务;
产品中心,用于通过产品中心上线云服务产品,向租户中心发送创建产品租户的请求,在云集群中产品租户的命名空间安装云服务产品,根据接收的购买实例的请求向集群服务代理发送孵化实例的请求,对实例状态进行持久化存储,将实例信息返回至云管平台供普通租户调用;
租户中心,用于收到创建产品租户的请求后,通过判断对已经创建的产品租户和未创建的产品租户进行区分,为未创建的产品租户生成对应的产品租户信息、证书文件以及权限文件,并携带所述产品租户信息、证书文件以及权限文件调用集群服务代理;用于收到创建普通租户的请求后,通过判断对已经创建的普通租户和未创建的普通租户进行区分,为未创建的普通租户生成对应的普通租户信息、证书文件以及权限文件,并携带所述普通租户信息、证书文件以及权限文件调用集群服务代理;
集群服务代理,用于根据租户中心的产品租户信息、证书文件以及权限文件在云集群中创建产品租户对应的集群资源,根据租户中心的普通租户信息、证书文件以及权限文件在云集群中创建产品租户对应的集群资源,根据接收的孵化实例的请求将实例孵化至云集群中,用于检查云集群中实例的孵化状态,将孵化成功的实例的实例状态及实例信息回调至产品中心;
云集群,用于运行承载云管平台、产品中心、租户中心和集群服务代理的服务,用于安装云产品对外提供服务。
图2为根据本发明示例性第二实施例的一种基于用户隔离的实例孵化方法的流程图,本实施例的方法,包括:
步骤S1:产品中心调用租户中心创建产品租户,在云集群中产品租户的命名空间安装云服务产品;
步骤S2:云管平台调用租户中心创建普通租户;
步骤S3:云管平台调用产品中心在云集群中对应租户的命名空间孵化实例。
图3为根据本发明示例性示例性第三实施例的一种基于用户隔离的实例孵化方法的流程图,本实施例是图2所示方法的优选实施例,图4为本实施例方法的步骤S1的时序图,如图3和图4所示,本实施例方法的步骤S1,包括:
步骤S11:通过产品中心上线云服务产品,向租户中心发送创建产品租户的请求;
步骤S12:租户中心收到创建产品租户的请求后,通过判断对已经创建的产品租户和未创建的产品租户进行区分;
步骤S13:采用租户中心为未创建的产品租户生成对应的产品租户信息、证书文件以及权限文件,并携带所述产品租户信息、证书文件以及权限文件调用集群服务代理;
步骤S14:集群服务代理根据租户中心的产品租户信息、证书文件以及权限文件在云集群中创建产品租户对应的集群资源;
步骤S15:通过产品中心在云集群中产品租户的命名空间安装云服务产品。
具体的,在实际应用中,如图3和图4所示,本实施例方法的步骤S1按以下方式实施。
本实施例方法的步骤S12,包括:租户中心检查是否存在接收到的请求的记录,当存在所述请求的记录时,检查所述请求的产品租户对应的集群资源是否已经生成且是否状态正常,当所述请求的产品租户对应的集群资源已经已经生成且状态正常,判定所述请求对应的产品租户已经创建,并向产品中心返回产品租户创建成功的信息。
本实施例方法的步骤S13中,采用租户中心为未创建的产品租户生成对应的产品租户信息、证书文件以及权限文件,包括:
步骤S131:租户中心根据创建产品租户的请求为未创建的产品租户生成产品租户信息,所述产品租户信息包括产品租户基本信息、产品信息以及产品规格;
步骤S132:租户中心根据根证书签发产品租户证书文件,所述证书文件拥有管理员用户属性,具有跨命名空间访问其他命名空间下的资源,查看以及修改本命名空间下的资源的级别;
步骤S133:租户中心根据产品租户证书文件生成权限文件;
步骤S134:租户中心对产品租户信息、证书文件以及权限文件进行持久化存储。
本实施例方法的步骤S132中,租户证书文件不具有修改其他命名空间下的资源的权限和级别。
本实施例方法的步骤S14,包括:
步骤S141:集群代理服务根据产品租户的权限文件创建命名空间;
步骤S142:集群代理服务根据创建的命名空间创建拥有管理员用户属性的角色权限;
步骤S143:集群代理服务根据创建的角色权限创建拥有管理员用户属性的集群角色权限;
步骤S144:集群代理服务根据创建的集群角色权限创建对应的集群角色绑定属性;
步骤S145:集群代理服务向产品中心返回产品租户创建成功的信息。
本实施例方法的步骤S15,包括:
步骤S151:产品中心根据产品租户信息获取对应的安装文件、管理组件信息以及管理组件安装包;
步骤S152:产品中心调用集群服务代理将管理组件安装包安装至云集群中;
步骤S153:集群服务代理检查云集群中管理组件安装包的安装状态,将安装成功的产品信息回调至产品中心;
步骤S154:产品中心对接收的产品信息进行持久化存储,并将产品信息返回至云管平台展示。
图5为根据本发明示例性第四实施例的一种基于用户隔离的实例孵化方法的流程图,本实施例是图2所示方法的优选实施例,图6为本实施例方法的步骤S2的时序图,如图5和图6所示,本实施例方法的步骤S2,包括:
步骤S21:通过云管平台向租户中心发送创建普通租户的请求;
步骤S22:租户中心收到创建普通租户的请求后,通过判断对已经创建的普通租户和未创建的普通租户进行区分;
步骤S23:采用租户中心为未创建的普通租户生成对应的普通租户信息、证书文件以及权限文件,并携带所述普通租户信息、证书文件以及权限文件调用集群服务代理;
步骤S24:集群服务代理根据租户中心的普通租户信息、证书文件以及权限文件在云集群中创建普通租户对应的集群资源。
具体的,在实际应用中,如图5和图6所示,本实施例方法的步骤S2按以下方式实施。
本实施例方法的骤S22,包括:租户中心检查是否存在接收到的请求的记录,当存在所述请求的记录时,检查所述请求的普通租户对应的集群资源是否已经生成且是否状态正常,当所述请求的普通租户对应的集群资源已经已经生成且状态正常,判定所述请求对应的普通租户已经创建,并向产品中心返回普通租户创建成功的信息。
本实施例方法的步骤S23中,采用租户中心为未创建的普通租户生成对应的普通租户信息、证书文件以及权限文件,包括:
步骤S231:租户中心根据创建产品租户的请求为未创建的普通租户生成产品租户信息,所述产品租户信息包括普通租户基本信息、产品信息以及安全限制信息;
步骤S232:租户中心根据根证书签发普通租户证书文件,所述证书文件拥有访问用户属性,具有读写访问本命名空间内对象的级别;
步骤S233:租户中心根据普通租户证书文件生成权限文件;
步骤S234:租户中心对普通租户信息、证书文件以及权限文件进行持久化存储。
本实施例方法的步骤S232中,普通租户证书文件不具有修改本命名空间内对象的权限和级别。
本实施例方法的步骤S24,包括:
步骤S241:集群代理服务根据普通租户的权限文件创建命名空间;
步骤S242:集群代理服务根据创建的命名空间创建拥有访问用户属性的角色权限;
步骤S243:集群代理服务根据创建的角色权限创建拥有访问用户属性的集群角色权限;
步骤S244:集群代理服务根据创建的集群角色权限创建对应的集群角色绑定属性;
步骤S245:集群代理服务向云管平台返回普通租户创建成功的信息。
图7为根据本发明示例性第五实施例的一种基于用户隔离的实例孵化方法的流程图,本实施例是图2所示方法的优选实施例,图8为本实施例方法的步骤S3的时序图,如图7和图8所示,本实施例方法的步骤S3,包括:
步骤S31:云管平台将普通租户购买实例的请求转发至产品中心,所述购买实例的请求包括普通租户信息、产品信息以及产品规格;
步骤S32:产品中心根据接收的购买实例的请求向集群服务代理发送孵化实例的请求;
步骤S33:集群服务代理根据接收的孵化实例的请求将实例孵化至云集群中;
步骤S34:集群服务代理检查云集群中实例的孵化状态,将孵化成功的实例的实例状态及实例信息回调至产品中心;
步骤S35:产品中心对实例状态进行持久化存储,将实例信息返回至云管平台供普通租户调用。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (12)
1.一种基于用户隔离的实例孵化系统,其特征在于,所述系统,包括:
云管平台,用于调用租户中心创建普通租户以及调用产品中心在云集群中租户的命名空间孵化实例,还用于展示产品中心的产品,为普通租户提供注册、登录以及购买实例服务;
产品中心,用于通过产品中心上线云服务产品,向租户中心发送创建产品租户的请求,在云集群中产品租户的命名空间安装云服务产品,根据接收的购买实例的请求向集群服务代理发送孵化实例的请求,对实例状态进行持久化存储,将实例信息返回至云管平台供普通租户调用;
租户中心,用于收到创建产品租户的请求后,通过判断对已经创建的产品租户和未创建的产品租户进行区分,为未创建的产品租户生成对应的产品租户信息、证书文件以及权限文件,并携带所述产品租户信息、证书文件以及权限文件调用集群服务代理;用于收到创建普通租户的请求后,通过判断对已经创建的普通租户和未创建的普通租户进行区分,为未创建的普通租户生成对应的普通租户信息、证书文件以及权限文件,并携带所述普通租户信息、证书文件以及权限文件调用集群服务代理;
集群服务代理,用于根据租户中心的产品租户信息、证书文件以及权限文件在云集群中创建产品租户对应的集群资源,根据租户中心的普通租户信息、证书文件以及权限文件在云集群中创建产品租户对应的集群资源,根据接收的孵化实例的请求将实例孵化至云集群中,用于检查云集群中实例的孵化状态,将孵化成功的实例的实例状态及实例信息回调至产品中心;
云集群,用于运行承载云管平台、产品中心、租户中心和集群服务代理的服务,用于安装云产品对外提供服务。
2.一种基于用户隔离的实例孵化方法,其特征在于,所述方法,包括:
步骤S1:产品中心调用租户中心创建产品租户,在云集群中产品租户的命名空间安装云服务产品;
步骤S2:云管平台调用租户中心创建普通租户;
步骤S3:云管平台调用产品中心在云集群中对应租户的命名空间孵化实例。
3.根据权利要求2所述的基于用户隔离的实例孵化方法,其特征在于,步骤S1,包括:
步骤S11:通过产品中心上线云服务产品,向租户中心发送创建产品租户的请求;
步骤S12:租户中心收到创建产品租户的请求后,通过判断对已经创建的产品租户和未创建的产品租户进行区分;
步骤S13:采用租户中心为未创建的产品租户生成对应的产品租户信息、证书文件以及权限文件,并携带所述产品租户信息、证书文件以及权限文件调用集群服务代理;
步骤S14:集群服务代理根据租户中心的产品租户信息、证书文件以及权限文件在云集群中创建产品租户对应的集群资源;
步骤S15:通过产品中心在云集群中产品租户的命名空间安装云服务产品。
4.根据权利要求3所述的基于用户隔离的实例孵化方法,其特征在于,步骤S12,包括:租户中心检查是否存在接收到的请求的记录,当存在所述请求的记录时,检查所述请求的产品租户对应的集群资源是否已经生成且是否状态正常,当所述请求的产品租户对应的集群资源已经已经生成且状态正常,判定所述请求对应的产品租户已经创建,并向产品中心返回产品租户创建成功的信息。
5.根据权利要求3所述的基于用户隔离的实例孵化方法,其特征在于,步骤S13中,采用租户中心为未创建的产品租户生成对应的产品租户信息、证书文件以及权限文件,包括:
步骤S131:租户中心根据创建产品租户的请求为未创建的产品租户生成产品租户信息,所述产品租户信息包括产品租户基本信息、产品信息以及产品规格;
步骤S132:租户中心根据根证书签发产品租户证书文件,所述证书文件拥有管理员用户属性,具有跨命名空间访问其他命名空间下的资源,查看以及修改本命名空间下的资源的级别;
步骤S133:租户中心根据产品租户证书文件生成权限文件;
步骤S134:租户中心对产品租户信息、证书文件以及权限文件进行持久化存储。
6.根据权利要求3所述的基于用户隔离的实例孵化方法,其特征在于,步骤S14,包括:
步骤S141:集群代理服务根据产品租户的权限文件创建命名空间;
步骤S142:集群代理服务根据创建的命名空间创建拥有管理员用户属性的角色权限;
步骤S143:集群代理服务根据创建的角色权限创建拥有管理员用户属性的集群角色权限;
步骤S144:集群代理服务根据创建的集群角色权限创建对应的集群角色绑定属性;
步骤S145:集群代理服务向产品中心返回产品租户创建成功的信息。
7.根据权利要求3所述的基于用户隔离的实例孵化方法,其特征在于,步骤S15,包括:
步骤S151:产品中心根据产品租户信息获取对应的安装文件、管理组件信息以及管理组件安装包;
步骤S152:产品中心调用集群服务代理将管理组件安装包安装至云集群中;
步骤S153:集群服务代理检查云集群中管理组件安装包的安装状态,将安装成功的产品信息回调至产品中心;
步骤S154:产品中心对接收的产品信息进行持久化存储,并将产品信息返回至云管平台展示。
8.根据权利要求2所述的基于用户隔离的实例孵化方法,其特征在于,步骤S2,包括:
步骤S21:通过云管平台向租户中心发送创建普通租户的请求;
步骤S22:租户中心收到创建普通租户的请求后,通过判断对已经创建的普通租户和未创建的普通租户进行区分;
步骤S23:采用租户中心为未创建的普通租户生成对应的普通租户信息、证书文件以及权限文件,并携带所述普通租户信息、证书文件以及权限文件调用集群服务代理;
步骤S24:集群服务代理根据租户中心的普通租户信息、证书文件以及权限文件在云集群中创建普通租户对应的集群资源。
9.根据权利要求8所述的基于用户隔离的实例孵化方法,其特征在于,骤S22,包括:租户中心检查是否存在接收到的请求的记录,当存在所述请求的记录时,检查所述请求的普通租户对应的集群资源是否已经生成且是否状态正常,当所述请求的普通租户对应的集群资源已经已经生成且状态正常,判定所述请求对应的普通租户已经创建,并向产品中心返回普通租户创建成功的信息。
10.根据权利要求8所述的基于用户隔离的实例孵化方法,其特征在于,步骤S23中,采用租户中心为未创建的普通租户生成对应的普通租户信息、证书文件以及权限文件,包括:
步骤S231:租户中心根据创建产品租户的请求为未创建的普通租户生成产品租户信息,所述产品租户信息包括普通租户基本信息、产品信息以及安全限制信息;
步骤S232:租户中心根据根证书签发普通租户证书文件,所述证书文件拥有访问用户属性,具有读写访问本命名空间内对象的级别;
步骤S233:租户中心根据普通租户证书文件生成权限文件;
步骤S234:租户中心对普通租户信息、证书文件以及权限文件进行持久化存储。
11.根据权利要求8所述的基于用户隔离的实例孵化方法,其特征在于,步骤S24,包括:
步骤S241:集群代理服务根据普通租户的权限文件创建命名空间;
步骤S242:集群代理服务根据创建的命名空间创建拥有访问用户属性的角色权限;
步骤S243:集群代理服务根据创建的角色权限创建拥有访问用户属性的集群角色权限;
步骤S244:集群代理服务根据创建的集群角色权限创建对应的集群角色绑定属性;
步骤S245:集群代理服务向云管平台返回普通租户创建成功的信息。
12.根据权利要求2所述的基于用户隔离的实例孵化方法,其特征在于,步骤S3,包括:
步骤S31:云管平台将普通租户购买实例的请求转发至产品中心,所述购买实例的请求包括普通租户信息、产品信息以及产品规格;
步骤S32:产品中心根据接收的购买实例的请求向集群服务代理发送孵化实例的请求;
步骤S33:集群服务代理根据接收的孵化实例的请求将实例孵化至云集群中;
步骤S34:集群服务代理检查云集群中实例的孵化状态,将孵化成功的实例的实例状态及实例信息回调至产品中心;
步骤S35:产品中心对实例状态进行持久化存储,将实例信息返回至云管平台供普通租户调用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211062136.6A CN115426175A (zh) | 2022-08-31 | 2022-08-31 | 一种基于用户隔离的实例孵化系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211062136.6A CN115426175A (zh) | 2022-08-31 | 2022-08-31 | 一种基于用户隔离的实例孵化系统和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115426175A true CN115426175A (zh) | 2022-12-02 |
Family
ID=84200627
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211062136.6A Pending CN115426175A (zh) | 2022-08-31 | 2022-08-31 | 一种基于用户隔离的实例孵化系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115426175A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115981847A (zh) * | 2022-12-14 | 2023-04-18 | 北京百度网讯科技有限公司 | 服务网格部署方法及装置、电子设备和存储介质 |
-
2022
- 2022-08-31 CN CN202211062136.6A patent/CN115426175A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115981847A (zh) * | 2022-12-14 | 2023-04-18 | 北京百度网讯科技有限公司 | 服务网格部署方法及装置、电子设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102947797B (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
US8706692B1 (en) | Corporate infrastructure management system | |
CN108665372B (zh) | 基于区块链的信息处理、查询、储存方法和装置 | |
JP5346010B2 (ja) | ポリシー管理基盤 | |
RU2586866C2 (ru) | Дифференцирование набора признаков участником арендуемой среды и пользователем | |
US7689676B2 (en) | Model-based policy application | |
US8843648B2 (en) | External access and partner delegation | |
CN108289098B (zh) | 分布式文件系统的权限管理方法和装置、服务器、介质 | |
US20070005320A1 (en) | Model-based configuration management | |
US20030014386A1 (en) | Account management module database interface | |
CN111368330B (zh) | 一种基于区块链的以太坊智能合约审计系统及方法 | |
KR20220160021A (ko) | 낮은 신뢰 권한 액세스 관리 | |
CN111950019A (zh) | 一种基于区块链的物联网访问控制系统及方法 | |
CN111327613A (zh) | 分布式服务的权限控制方法、装置及计算机可读存储介质 | |
US20210150477A1 (en) | Automated conflict resolution | |
CN115426175A (zh) | 一种基于用户隔离的实例孵化系统和方法 | |
CN109344653A (zh) | 一种连接数据库的方法、装置、系统、设备和存储介质 | |
JP5090809B2 (ja) | 管理サーバおよび管理方法およびプログラムおよび記録媒体 | |
CN105844171B (zh) | 用来进行档案同步控制的方法与装置 | |
US20210117919A1 (en) | Last-mile deliver coordination | |
US20230224304A1 (en) | Resource access control in cloud environments | |
CN116804949B (zh) | 基于区块链的数据处理方法、装置、设备及可读存储介质 | |
CN116975158B (zh) | 请求处理方法、装置、计算机设备和存储介质 | |
CN116455891B (zh) | 数据网间安全交换系统 | |
CN115484221B (zh) | 中台评论系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |