CN115994036A - 云平台租户隔离方法、装置、设备及存储介质 - Google Patents
云平台租户隔离方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115994036A CN115994036A CN202310281667.2A CN202310281667A CN115994036A CN 115994036 A CN115994036 A CN 115994036A CN 202310281667 A CN202310281667 A CN 202310281667A CN 115994036 A CN115994036 A CN 115994036A
- Authority
- CN
- China
- Prior art keywords
- tenant
- cloud platform
- platform
- database
- resources
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明属于云服务技术领域,公开了一种云平台租户隔离方法、装置、设备及存储介质。本申请通过在云平台租户签约时,获取云平台租户对应的平台租约;根据平台租约为云平台租户分配对应的租户标识;根据平台租约及租户标识为云平台租户分配对应的云平台资源;基于云平台资源及租户标识对云平台租户进行数据隔离管理。由于是根据租户标识直接为云平台租户在云平台中分配对应的云平台资源,并根据租户标识及云平台资源对云平台租户进行数据隔离管理,不必在云平台中创建虚拟机,无须消耗额外资源维护虚拟机,且进行消息转发时也无须进行虚拟机内外转发,在提高了设备利用率的同时,也提高了消息转发效率。
Description
技术领域
本发明涉及云服务技术领域,尤其涉及一种云平台租户隔离方法、装置、设备及存储介质。
背景技术
现如今,云平台已经广泛投入使用,但是目前的云平台一般是采用虚拟机方式实现租户隔离,令不同的租户应用在不同的虚拟机中运行,但是此种方式需要额外消耗资源维护虚拟机,导致设备利用率较低,且数据出入需要进行虚拟机内外转发,也不够高效。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种云平台租户隔离方法、装置、设备及存储介质,旨在解决现有技术云平台租户隔离资源消耗大,效率低的技术问题。
为实现上述目的,本发明提供了一种云平台租户隔离方法,所述方法包括以下步骤:
在云平台租户签约时,获取所述云平台租户对应的平台租约;
根据所述平台租约为所述云平台租户分配对应的租户标识;
根据所述平台租约及所述租户标识为所述云平台租户分配对应的云平台资源;
基于所述云平台资源及所述租户标识对所述云平台租户进行数据隔离管理。
可选的,所述云平台资源包括物理存储空间;
所述根据所述平台租约及所述租户标识为所述云平台租户分配对应的云平台资源的步骤,包括:
从所述平台租约中提取租户地址信息及存储空间阈值;
根据所述租户地址信息确定租户归属区域;
在所述租户归属区域对应的存储目录下根据所述租户标识创建租户存储目录;
根据所述存储空间阈值为所述租户存储目录设置存储空间上限;
在数据库中为所述云平台租户创建对应的数据子库,并根据所述租户标识为所述数据子库设置对应的子库归属标签。
可选的,所述云平台资源包括计算资源;
所述根据所述平台租约及所述租户标识为所述云平台租户分配对应的云平台资源的步骤,包括:
从所述平台租约中提取线程租赁总数;
查询云平台中各物理CPU的未分配线程数;
根据所述未分配线程数及所述线程租赁总数选取目标CPU;
基于所述目标CPU为所述云平台租户分配对应的CPU线程。
可选的,所述云平台资源包括内存空间;
所述根据所述平台租约及所述租户标识为所述云平台租户分配对应的云平台资源的步骤,包括:
从所述平台租约中提取租赁内存大小;
根据所述租赁内存大小及预设分配比例计算待分配内存大小;
根据所述待分配内存大小在所述云平台的连续内存区域中为所述云平台租户分配对应的内存空间。
可选的,所述基于所述云平台资源及所述租户标识对所述云平台租户进行数据隔离管理的步骤,包括:
在检测到应用程序启动时,获取所述应用程序对应的应用文件;
获取所述应用文件对应的文件存储目录;
查找所述文件存储目录对应的租户标识;
基于所述租户标识对应的内存空间及CPU线程加载所述应用程序,生成对应的应用进程;
根据所述租户标识为所述应用进程设置对应的进程标签。
可选的,所述根据所述租户标识为所述应用进程设置对应的进程标签的步骤之后,还包括:
在检测到数据库访问请求时,获取所述数据库访问请求对应的被访问子库;
获取所述数据库访问请求对应的请求发起进程;
若所述请求发起进程对应的进程标签与所述被访问子库对应的子库归属标签相匹配,则将所述数据库访问请求转发至数据库。
可选的,所述根据所述租户标识为所述应用进程设置对应的进程标签的步骤之后,包括:
在检测到对外访问请求时,获取所述对外访问请求对应的请求发起进程;
根据所述请求发起进程对应的进程标签为所述对外访问请求设置会话标签;
若获取到所述对外访问请求对应的访问响应信息,则基于所述对外访问请求对应的会话标签对所述访问响应信息进行消息转发。
此外,为实现上述目的,本发明还提出一种云平台租户隔离装置,所述云平台租户隔离装置包括以下模块:
签约监测模块,用于在云平台租户签约时,获取所述云平台租户对应的平台租约;
标识分配模块,用于根据所述平台租约为所述云平台租户分配对应的租户标识;
资源分配模块,用于根据所述平台租约及所述租户标识为所述云平台租户分配对应的云平台资源;
数据管理模块,用于基于所述云平台资源及所述租户标识对所述云平台租户进行数据隔离管理。
此外,为实现上述目的,本发明还提出一种云平台租户隔离设备,所述云平台租户隔离设备包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的云平台租户隔离程序,所述云平台租户隔离程序被处理器执行时实现如上所述的云平台租户隔离方法的步骤。
此外,为实现上述目的,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有云平台租户隔离程序,所述云平台租户隔离程序执行时实现如上所述的云平台租户隔离方法的步骤。
本发明通过在云平台租户签约时,获取云平台租户对应的平台租约;根据平台租约为云平台租户分配对应的租户标识;根据平台租约及租户标识为云平台租户分配对应的云平台资源;基于云平台资源及租户标识对云平台租户进行数据隔离管理。由于是根据租户标识直接为云平台租户在云平台中分配对应的云平台资源,并根据租户标识及云平台资源对云平台租户进行数据隔离管理,不必在云平台中创建虚拟机,无须消耗额外资源维护虚拟机,且进行消息转发时也无须进行虚拟机内外转发,在提高了设备利用率的同时,也提高了消息转发效率。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的电子设备的结构示意图;
图2为本发明云平台租户隔离方法第一实施例的流程示意图;
图3为本发明云平台租户隔离方法第二实施例的流程示意图;
图4为本发明云平台租户隔离装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的云平台租户隔离设备结构示意图。
如图1所示,该电子设备可以包括:处理器1001,例如中央处理器(CentralProcessing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM),也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及云平台租户隔离程序。
在图1所示的电子设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明电子设备中的处理器1001、存储器1005可以设置在云平台租户隔离设备中,所述电子设备通过处理器1001调用存储器1005中存储的云平台租户隔离程序,并执行本发明实施例提供的云平台租户隔离方法。
本发明实施例提供了一种云平台租户隔离方法,参照图2,图2为本发明一种云平台租户隔离方法第一实施例的流程示意图。
本实施例中,所述云平台租户隔离方法包括以下步骤:
步骤S10:在云平台租户签约时,获取所述云平台租户对应的平台租约。
需要说明的是,本实施例的执行主体可以是云平台租户隔离设备,简称隔离设备,所述隔离设备可以是可对云平台进行监测,并对云平台中的资源进行分配管理的设备,如个人电脑、服务器等电子设备,当然,也可以是其他可实现相同或相似功能的其他设备,本实施例对此不加以限制,在本实施例及下述各实施例中,以隔离设备为例对本发明云平台租户隔离方法进行说明。
需要说明的是,在云平台租户选择在云平台中购买对应的云平台资源(如云服务器)的使用权时,会与云平台进行签约,该签约可以是网上签约,则此时获取云平台租户对应的平台租约可以是读取云平台租户在云平台中的电子租约。
当然,也可以采用线下签约的方式,则此时云平台的管理人员可以将平台租约上传或手动录入云平台中。平台租约可以包括签约时间、用户信息、以及用户购买的虚拟设备的设备资源,其中,用户信息可以包括用户名称、用户证件号等信息,设备资源可以包括:存储空间、计算资源、内存空间、数据库资源等。
步骤S20:根据所述平台租约为所述云平台租户分配对应的租户标识。
需要说明的是,为了确保租户标识的唯一性,根据平台租约为云平台租户分配对应的租户标识可以是从平台租约中提取用户名称、用户证件号、签约时间等信息,将用户名称、用户证件号及签约时间进行混合拼接,并对混合拼接之后的数据进行哈希运算,从而获得租户标识。
在具体实现中,可以先将用户名称、用户证件号、签约时间拆为字符集合,将各字符集合中的数据以预设顺序进行拼接,再将拼接的数据进行哈希运算。其中,预设顺序可以由隔离设备的管理人员预先进行设置,如将顺序设置为“签约时间-用户名称-用户证件号”。
步骤S30:根据所述平台租约及所述租户标识为所述云平台租户分配对应的云平台资源。
需要说明的是,根据平台租约及租户标识为云平台租户分配对应的云平台资源资源可以是根据平台租约在云平台中选取合适的云平台资源,并根据租户标识为该云平台资源设置对应的标签,标识该云平台资源的所有者。
在具体实现中,云平台资源包括:物理存储空间、计算资源、内存空间、数据库资源等,若当前待分配的云平台资源为物理存储空间,则此时本实施例所述步骤S30,可以包括:
从所述平台租约中提取租户地址信息及存储空间阈值;
根据所述租户地址信息确定租户归属区域;
在所述租户归属区域对应的存储目录下根据所述租户标识创建租户存储目录;
根据所述存储空间阈值为所述租户存储目录设置存储空间上限;
在数据库中为所述云平台租户创建对应的数据子库,并根据所述租户标识为所述数据子库设置对应的子库归属标签。
需要说明的是,租户地址信息可以是租户在平台租约中标明的使用云平台资源时的地址,存储空间阈值可以是用户购买的物理存储空间的空间大小上限。
在具体实现中,根据租户地址信息确定租户归属区域可以是将租户地址信息与各预设区域的区域范围进行匹配,并将租户地址信息归属的区域范围对应的预设区域作为租户归属区域。例如:云平台的管理人员将各省、市区域划分为多个预设区域,令一个预设区域对应一个或多个省、市区域。
需要说明的是,云平台中在划分存储目录时,会根据预先划分的预设区域设置多个不同的存储目录,在租户归属区域对应的存储目录下根据租户标识创建租户存储目录可以是以租户标识为目录名称,在租户归属区域对应的存储目录下创建子目录作为租户存储目录。
可以理解的是,为了保证云平台资源的划分合理,此时可以根据存储空间阈值为创建的租户存储目录设置存储空间上限,以限定在该租户存储目录下可存储的数据的最大上限。
同时,在分配物理存储空间时,还需要为该云平台租户创建对应的数据库子库,以便于用户存储对应的数据,而为了与其他云平台租户的数据库子库进行区分,可以租户标识为数据子库设置对应的子库归属标签,以子库归属标签结合数据子库的名称区分不同的数据子库,以保证在可区分数据子库的同时,云平台租户也可以根据实际需要随时更改数据子库的名称。
当然,若不需要令云平台租户可修改数据子库的名称,还可以将租户标识直接作为数据子库的名称,本实施例对此不加以限制。
在具体实现中,若待分配的云平台资源为计算资源,则此时本实施例所述步骤S30,可以包括:
从所述平台租约中提取线程租赁总数;
查询云平台中各物理CPU的未分配线程数;
根据所述未分配线程数及所述线程租赁总数选取目标CPU;
基于所述目标CPU为所述云平台租户分配对应的CPU线程。
需要说明的是,由于云平台中的计算资源,其实是由多个不同规格的CPU提供,为了能合理的分配计算资源,可以将各CPU的计算资源以相同计算力的计算线程进行划分,用户在购买时,可以选择需要购买的CPU线程的数量,则此时在需要分配计算资源时,可以从平台租约中提取云平台租户购买的CPU线程的数量,即线程租赁总数。物理CPU的未分配线程数可以是该物理CPU可提供的计算线程中,并未被分配给云平台租户的线程数量。
在实际使用中,根据未分配线程数及线程租赁总数选取目标CPU可以是检测各物理CPU的未分配线程数是否存在大于或等于线程租赁总数的物理CPU,若存在,则选取未分配线程数大于或等于线程租赁总数的物理CPU作为目标CPU;若不存在,则将各物理CPU中未分配线程数最大的物理CPU作为第一目标CPU,然后计算第一目标CPU的未分配线程与线程租赁总数之间的差值,确定缺少的线程数量,然后根据缺少的线程数量从剩余的各物理CPU中选取未分配线程数中选取第二目标CPU,以此类推,从而保证为用户分配的CPU线程所归属的物理CPU尽可能少。
在具体实现中,若待分配的云平台资源为内存空间,则此时本实施例所述步骤S30,可以包括:
从所述平台租约中提取租赁内存大小;
根据所述租赁内存大小及预设分配比例计算待分配内存大小;
根据所述待分配内存大小在所述云平台的连续内存区域中为所述云平台租户分配对应的内存空间。
需要说明的是,租赁内存大小可以是云平台租户购买的内存空间的大小。
在具体实现中,一般云平台租户在对内存空间进行使用时,其实并不会直接占满所有的内存空间,而是会仅使用一定的比例,因此,在为云平台租户分配对应的内存空间时,可以不用一次分配满所有的内存空间,而是分配一定的比例,以节省云平台资源,则此时可以将租赁内存大小与预设分配比例相乘,从而计算得到待分配内存大小。其中,预设比例可以由云平台的管理人员预先进行设置,例如:将预设比例设置为80%。
可以理解的是,为了保证用户使用内存空间的体验,可以在云平台的连续内存区域中选取大小与待分配内存大小一致的内存空间作为云平台租户对应的内存空间。
在实际使用中,还可以监测云平台租户的内存空间的使用情况,若为云平台租户的内存空间的利用率达到一定比例(例如:利用率达到90%),则此时还可以根据租赁内存大小与云平台租户对应的内存空间的差值为云平台租户对应的内存空间进行动态扩容。
步骤S40:基于所述云平台资源及所述租户标识对所述云平台租户进行数据隔离管理。
需要说明的是,在分配好合适的云平台资源之后,还需要保证多个云平台租户之间的资源不会产生混淆,此时可以依据租户标识对分配的云平台资源之间的交互进行管理,从而实现数据隔离。
本实施例通过在云平台租户签约时,获取云平台租户对应的平台租约;根据平台租约为云平台租户分配对应的租户标识;根据平台租约及租户标识为云平台租户分配对应的云平台资源;基于云平台资源及租户标识对云平台租户进行数据隔离管理。由于是根据租户标识直接为云平台租户在云平台中分配对应的云平台资源,并根据租户标识及云平台资源对云平台租户进行数据隔离管理,不必在云平台中创建虚拟机,无须消耗额外资源维护虚拟机,且进行消息转发时也无须进行虚拟机内外转发,在提高了设备利用率的同时,也提高了消息转发效率。
参考图3,图3为本发明一种云平台租户隔离方法第二实施例的流程示意图。
基于上述第一实施例,本实施例云平台租户隔离方法的所述步骤S40,包括:
步骤S401:在检测到应用程序启动时,获取所述应用程序对应的应用文件。
需要说明的是,若检测到应用程序启动,则表示云平台租户在运行其对应的应用文件,以尝试创建应用程序的进程,则而不同云平台租户有可能会使用相同的应用程序,而传统的系统同一应用程序可能被禁止创建多个不同的进程,此时为了保证进程可正常进行创建,需要对即将创建的应用程序进程与其他云平台租户的应用程序进程进行区分,则此时可以先获取应用程序对应的应用文件。
步骤S402:获取所述应用文件对应的文件存储目录。
需要说明的是,获取应用文件对应的文件存储目录可以是获取应用文件的存放地址,从该存放地址中读取文件存储目录。例如:假设应用文件的存储地址为“A/B/C/D.exe”,则此时读取到的文件存储目录为“A/B/C/”。
步骤S403:查找所述文件存储目录对应的租户标识。
需要说明的是,查找文件存储目录对应的租户标识可以是获取文件存储目录所归属的租户存储目录,根据租户存储目录确定租户标识。
例如:假设文件存储目录为“A/B/C/”,其中,A为租户归属区域对应的存储目录,则此时B为租户存储目录,C为云平台租户在租户存储目录下创建的子目录,则此时B的名称即为租户标识。
步骤S404:基于所述租户标识对应的内存空间及CPU线程加载所述应用程序,生成对应的应用进程。
需要说明的是,基于租户标识对应的内存空间及CPU线程加载应用程序,生成对应的应用进程可以是查找租户标识对应的内存空间及CPU线程,通过该CPU线程运行应用文件,并在租户标识对应的内存空间中为其分配对应的内存空间,从而生成对应的应用进程。
步骤S405:根据所述租户标识为所述应用进程设置对应的进程标签。
可以理解的是,在创建应用进程之后,为了与其他云平台租户的应用进程进行区分,避免为操作系统认定为同一应用程序的应用进程,可以根据租户标识为应用进程设置对应的进程标签。
在具体实现中,根据租户标识为应用进程设置对应的进程标签可以是直接将租户标识作为应用进程的进程标签。
当然,也可以是将租户标识与进程标签标识符拼接,并将拼接后得到的数据作为应用进程的进程标签,例如:假设租户表示为“XXX”,进程标签标识符为“process_tag_”,则此时进程标签为“process_tag_XXX”。
进一步的,在对云平台资源进行管理时,还需要避免应用进程访问到其他云平台租户的数据库,则此时本实施例所述步骤S405之后,还包括:
在检测到数据库访问请求时,获取所述数据库访问请求对应的被访问子库;
获取所述数据库访问请求对应的请求发起进程;
若所述请求发起进程对应的进程标签与所述被访问子库对应的子库归属标签相匹配,则将所述数据库访问请求转发至数据库。
需要说明的是,数据库访问请求可以是由应用进程发起,从数据库中读取数据或修改数据时生成的请求,被访问子库可以是存储数据库访问请求将要读取或修改数据的数据子库,请求发起进程可以是发起数据库访问请求的应用进程。为了避免云平台租户的应用进程可访问其他云平台租户的数据子库,可以检测请求发起进程及被访问子库是否归属于同一云平台租户,在归属于同一云平台租户时,才允许该数据库访问请求访问数据库。
在具体实现中,可以从请求发起进程对应的进程标签中提取租户标识,然后从被访问子库对应的子库归属标签中提取租户标识,若从进程标签中提取到的租户标识与从子库归属标签中提取到的租户标识一致,则表示请求发起进程与被访问子库归属于同一云平台租户,此时可以判定请求发起进程对应的进程标签与被访问子库对应的子库归属标签相匹配,允许该数据库访问请求访问数据库,此时可以将数据库访问请求转发至数据库;
而若是从进程标签中提取到的租户标识与从子库归属标签中提取到的租户标识不一致,则表示请求发起进程与被访问子库归属于不同的云平台租户,此时可以禁止该数据库访问请求访问数据库。
进一步的,在对云平台资源进行管理时,还需要保证应用进程可与外部的正常进行通信,则此时本实施例所述步骤S405之后,还可以包括:
在检测到对外访问请求时,获取所述对外访问请求对应的请求发起进程;
根据所述请求发起进程对应的进程标签为所述对外访问请求设置会话标签;
若获取到所述对外访问请求对应的访问响应信息,则基于所述对外访问请求对应的会话标签对所述访问响应信息进行消息转发。
需要说明的是,为了保证可正常转发请求对应的响应消息,可以实时监测云平台中应用程序的对外访问请求,若检测到对外访问请求,则可以获取发起外访问请求的应用进程,即请求发起进程。
在具体实现中,根据请求发起进程对应的进程标签为对外访问请求设置会话标签可以是从请求发起进程对应的进程标签中提取租户标识,将租户标识作为对外访问请求归属的会话的会话标签。
当然,同一云平台租户可能会有多个应用进程,为了保证可对应用进程进行进一步区分,在根据请求发起进程对应的进程标签为对外访问请求设置会话标签还可以是从请求发起进程对应的进程标签中提取租户标识,并获取请求发起进程的进程名称,然后将租户标识与进程名称拼接,作为对外访问请求归属的会话的会话标签。
应当理解的是,请求与响应是相对应的,会归属于同一次会话,则在获取到外访问请求对应的访问响应信息时,可以获取访问响应信息归属的会话,然后读取会话标签,之后即可根据会话标签中包含的租户标识和/或进程名称,将访问响应信息转发给请求发起进程,从而保证会话的正常完成。
本实施例通过在检测到应用程序启动时,获取所述应用程序对应的应用文件;获取所述应用文件对应的文件存储目录;查找所述文件存储目录对应的租户标识;基于所述租户标识对应的内存空间及CPU线程加载所述应用程序,生成对应的应用进程;根据所述租户标识为所述应用进程设置对应的进程标签。由于会在应用程序启动时,根据应用程序对应的应用文件查找对应的租户标识,并根据租户标识为生成的应用进程设置对应的进程标签,保证可对不同云平台租户的应用进程进行区分,避免了进程混淆。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有云平台租户隔离程序,所述云平台租户隔离程序被处理器执行时实现如上文所述的云平台租户隔离方法的步骤。
参照图4,图4为本发明云平台租户隔离装置第一实施例的结构框图。
如图4所示,本发明实施例提出的云平台租户隔离装置包括:
签约监测模块10,用于在云平台租户签约时,获取所述云平台租户对应的平台租约;
标识分配模块20,用于根据所述平台租约为所述云平台租户分配对应的租户标识;
资源分配模块30,用于根据所述平台租约及所述租户标识为所述云平台租户分配对应的云平台资源;
数据管理模块40,用于基于所述云平台资源及所述租户标识对所述云平台租户进行数据隔离管理。
本实施例通过在云平台租户签约时,获取云平台租户对应的平台租约;根据平台租约为云平台租户分配对应的租户标识;根据平台租约及租户标识为云平台租户分配对应的云平台资源;基于云平台资源及租户标识对云平台租户进行数据隔离管理。由于是根据租户标识直接为云平台租户在云平台中分配对应的云平台资源,并根据租户标识及云平台资源对云平台租户进行数据隔离管理,不必在云平台中创建虚拟机,无须消耗额外资源维护虚拟机,且进行消息转发时也无须进行虚拟机内外转发,在提高了设备利用率的同时,也提高了消息转发效率。
进一步的,所述云平台资源包括物理存储空间;
所述资源分配模块30,还用于从所述平台租约中提取租户地址信息及存储空间阈值;根据所述租户地址信息确定租户归属区域;在所述租户归属区域对应的存储目录下根据所述租户标识创建租户存储目录;根据所述存储空间阈值为所述租户存储目录设置存储空间上限;在数据库中为所述云平台租户创建对应的数据子库,并根据所述租户标识为所述数据子库设置对应的子库归属标签。
进一步的,所述云平台资源包括计算资源;
所述资源分配模块30,还用于从所述平台租约中提取线程租赁总数;查询云平台中各物理CPU的未分配线程数;根据所述未分配线程数及所述线程租赁总数选取目标CPU;基于所述目标CPU为所述云平台租户分配对应的CPU线程。
进一步的,所述云平台资源包括内存空间;
所述资源分配模块30,还用于从所述平台租约中提取租赁内存大小;根据所述租赁内存大小及预设分配比例计算待分配内存大小;根据所述待分配内存大小在所述云平台的连续内存区域中为所述云平台租户分配对应的内存空间。
进一步的,所述数据管理模块40,还用于在检测到应用程序启动时,获取所述应用程序对应的应用文件;获取所述应用文件对应的文件存储目录;查找所述文件存储目录对应的租户标识;基于所述租户标识对应的内存空间及CPU线程加载所述应用程序,生成对应的应用进程;根据所述租户标识为所述应用进程设置对应的进程标签。
进一步的,所述数据管理模块40,还用于在检测到数据库访问请求时,获取所述数据库访问请求对应的被访问子库;获取所述数据库访问请求对应的请求发起进程;若所述请求发起进程对应的进程标签与所述被访问子库对应的子库归属标签相匹配,则将所述数据库访问请求转发至数据库。
进一步的,所述数据管理模块40,还用于在检测到对外访问请求时,获取所述对外访问请求对应的请求发起进程;根据所述请求发起进程对应的进程标签为所述对外访问请求设置会话标签;若获取到所述对外访问请求对应的访问响应信息,则基于所述对外访问请求对应的会话标签对所述访问响应信息进行消息转发。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的云平台租户隔离方法,此处不再赘述。
此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述 实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通 过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的 技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体 现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory,ROM)/RAM、磁碟、光 盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种云平台租户隔离方法,其特征在于,所述云平台租户隔离方法包括以下步骤:
在云平台租户签约时,获取所述云平台租户对应的平台租约;
根据所述平台租约为所述云平台租户分配对应的租户标识;
根据所述平台租约及所述租户标识为所述云平台租户分配对应的云平台资源;
基于所述云平台资源及所述租户标识对所述云平台租户进行数据隔离管理。
2.如权利要求1所述的云平台租户隔离方法,其特征在于,所述云平台资源包括物理存储空间;
所述根据所述平台租约及所述租户标识为所述云平台租户分配对应的云平台资源的步骤,包括:
从所述平台租约中提取租户地址信息及存储空间阈值;
根据所述租户地址信息确定租户归属区域;
在所述租户归属区域对应的存储目录下根据所述租户标识创建租户存储目录;
根据所述存储空间阈值为所述租户存储目录设置存储空间上限;
在数据库中为所述云平台租户创建对应的数据子库,并根据所述租户标识为所述数据子库设置对应的子库归属标签。
3.如权利要求1所述的云平台租户隔离方法,其特征在于,所述云平台资源包括计算资源;
所述根据所述平台租约及所述租户标识为所述云平台租户分配对应的云平台资源的步骤,包括:
从所述平台租约中提取线程租赁总数;
查询云平台中各物理CPU的未分配线程数;
根据所述未分配线程数及所述线程租赁总数选取目标CPU;
基于所述目标CPU为所述云平台租户分配对应的CPU线程。
4.如权利要求1所述的云平台租户隔离方法,其特征在于,所述云平台资源包括内存空间;
所述根据所述平台租约及所述租户标识为所述云平台租户分配对应的云平台资源的步骤,包括:
从所述平台租约中提取租赁内存大小;
根据所述租赁内存大小及预设分配比例计算待分配内存大小;
根据所述待分配内存大小在所述云平台的连续内存区域中为所述云平台租户分配对应的内存空间。
5.如权利要求1-4任一项所述的云平台租户隔离方法,其特征在于,所述基于所述云平台资源及所述租户标识对所述云平台租户进行数据隔离管理的步骤,包括:
在检测到应用程序启动时,获取所述应用程序对应的应用文件;
获取所述应用文件对应的文件存储目录;
查找所述文件存储目录对应的租户标识;
基于所述租户标识对应的内存空间及CPU线程加载所述应用程序,生成对应的应用进程;
根据所述租户标识为所述应用进程设置对应的进程标签。
6.如权利要求5所述的云平台租户隔离方法,其特征在于,所述根据所述租户标识为所述应用进程设置对应的进程标签的步骤之后,还包括:
在检测到数据库访问请求时,获取所述数据库访问请求对应的被访问子库;
获取所述数据库访问请求对应的请求发起进程;
若所述请求发起进程对应的进程标签与所述被访问子库对应的子库归属标签相匹配,则将所述数据库访问请求转发至数据库。
7.如权利要求5所述的云平台租户隔离方法,其特征在于,所述根据所述租户标识为所述应用进程设置对应的进程标签的步骤之后,包括:
在检测到对外访问请求时,获取所述对外访问请求对应的请求发起进程;
根据所述请求发起进程对应的进程标签为所述对外访问请求设置会话标签;
若获取到所述对外访问请求对应的访问响应信息,则基于所述对外访问请求对应的会话标签对所述访问响应信息进行消息转发。
8.一种云平台租户隔离装置,其特征在于,所述云平台租户隔离装置包括以下模块:
签约监测模块,用于在云平台租户签约时,获取所述云平台租户对应的平台租约;
标识分配模块,用于根据所述平台租约为所述云平台租户分配对应的租户标识;
资源分配模块,用于根据所述平台租约及所述租户标识为所述云平台租户分配对应的云平台资源;
数据管理模块,用于基于所述云平台资源及所述租户标识对所述云平台租户进行数据隔离管理。
9.一种云平台租户隔离设备,其特征在于,所述云平台租户隔离设备包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的云平台租户隔离程序,所述云平台租户隔离程序被处理器执行时实现如权利要求1-7中任一项所述的云平台租户隔离方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有云平台租户隔离程序,所述云平台租户隔离程序执行时实现如权利要求1-7中任一项所述的云平台租户隔离方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310281667.2A CN115994036B (zh) | 2023-03-22 | 2023-03-22 | 云平台租户隔离方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310281667.2A CN115994036B (zh) | 2023-03-22 | 2023-03-22 | 云平台租户隔离方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115994036A true CN115994036A (zh) | 2023-04-21 |
CN115994036B CN115994036B (zh) | 2023-06-02 |
Family
ID=85992338
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310281667.2A Active CN115994036B (zh) | 2023-03-22 | 2023-03-22 | 云平台租户隔离方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115994036B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116389172A (zh) * | 2023-06-05 | 2023-07-04 | 国网四川省电力公司信息通信公司 | 基于多租户的容器云平台资源安全管理方法 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103810444A (zh) * | 2012-11-15 | 2014-05-21 | 中兴通讯股份有限公司 | 一种云计算平台中多租户应用隔离的方法和系统 |
CN105099953A (zh) * | 2014-04-28 | 2015-11-25 | 华为技术有限公司 | 云数据中心虚拟网络的隔离方法与装置 |
CN107104931A (zh) * | 2016-02-23 | 2017-08-29 | 中兴通讯股份有限公司 | 一种访问控制方法及平台 |
CN108139944A (zh) * | 2015-10-19 | 2018-06-08 | 思杰系统有限公司 | 具有机器级隔离的多租户多会话目录 |
CN108924249A (zh) * | 2018-07-26 | 2018-11-30 | 浪潮电子信息产业股份有限公司 | 一种部署OpenStack平台的方法及装置 |
CN110661903A (zh) * | 2019-10-12 | 2020-01-07 | 苏州浪潮智能科技有限公司 | 一种云平台路由管理的方法及装置 |
US20200092271A1 (en) * | 2018-09-18 | 2020-03-19 | Microsoft Technology Licensing, Llc | Securing an injection of a workload into a virtual network hosted by a cloud-based platform |
CN112527310A (zh) * | 2020-12-15 | 2021-03-19 | 平安国际智慧城市科技股份有限公司 | 多租户数据隔离方法、装置、计算机设备及存储介质 |
CN113051038A (zh) * | 2021-04-20 | 2021-06-29 | 中国建设银行股份有限公司 | 云服务多租户环境下的数据访问方法及装置 |
US20230034197A1 (en) * | 2021-08-02 | 2023-02-02 | Capital One Services, Llc | Forensic isolation of a production cloud computing and storage environment |
-
2023
- 2023-03-22 CN CN202310281667.2A patent/CN115994036B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103810444A (zh) * | 2012-11-15 | 2014-05-21 | 中兴通讯股份有限公司 | 一种云计算平台中多租户应用隔离的方法和系统 |
CN105099953A (zh) * | 2014-04-28 | 2015-11-25 | 华为技术有限公司 | 云数据中心虚拟网络的隔离方法与装置 |
CN108139944A (zh) * | 2015-10-19 | 2018-06-08 | 思杰系统有限公司 | 具有机器级隔离的多租户多会话目录 |
CN107104931A (zh) * | 2016-02-23 | 2017-08-29 | 中兴通讯股份有限公司 | 一种访问控制方法及平台 |
CN108924249A (zh) * | 2018-07-26 | 2018-11-30 | 浪潮电子信息产业股份有限公司 | 一种部署OpenStack平台的方法及装置 |
US20200092271A1 (en) * | 2018-09-18 | 2020-03-19 | Microsoft Technology Licensing, Llc | Securing an injection of a workload into a virtual network hosted by a cloud-based platform |
CN110661903A (zh) * | 2019-10-12 | 2020-01-07 | 苏州浪潮智能科技有限公司 | 一种云平台路由管理的方法及装置 |
CN112527310A (zh) * | 2020-12-15 | 2021-03-19 | 平安国际智慧城市科技股份有限公司 | 多租户数据隔离方法、装置、计算机设备及存储介质 |
CN113051038A (zh) * | 2021-04-20 | 2021-06-29 | 中国建设银行股份有限公司 | 云服务多租户环境下的数据访问方法及装置 |
US20230034197A1 (en) * | 2021-08-02 | 2023-02-02 | Capital One Services, Llc | Forensic isolation of a production cloud computing and storage environment |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116389172A (zh) * | 2023-06-05 | 2023-07-04 | 国网四川省电力公司信息通信公司 | 基于多租户的容器云平台资源安全管理方法 |
CN116389172B (zh) * | 2023-06-05 | 2023-09-19 | 国网四川省电力公司信息通信公司 | 基于多租户的容器云平台资源安全管理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115994036B (zh) | 2023-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107015985B (zh) | 一种数据存储与获取方法及装置 | |
CN107679718B (zh) | 名单分配方法、设备以及计算机可读存储介质 | |
CN109684092B (zh) | 资源分配方法及装置 | |
CN108399101B (zh) | 资源调度的方法、装置和系统 | |
CN115994036B (zh) | 云平台租户隔离方法、装置、设备及存储介质 | |
CN106453681B (zh) | 一种ip地址的分配方法和装置 | |
CN110427386B (zh) | 数据处理方法、装置及计算机存储介质 | |
CN110677492B (zh) | 一种访问请求处理方法、装置、电子设备及存储介质 | |
CN109118291B (zh) | 广告任务推广中用户认证方法、装置和计算机设备 | |
CN110019980B (zh) | 索引处理方法、装置、存储介质和计算机设备 | |
CN108154024B (zh) | 一种数据检索方法、装置及电子设备 | |
CN112615945A (zh) | 域名解析记录管理方法、装置、计算机设备及存储介质 | |
CN111385294B (zh) | 数据处理方法、系统、计算机设备和存储介质 | |
CN110266598B (zh) | 一种路由信息处理方法、装置、设备及可读存储介质 | |
CN111026331A (zh) | 请求响应方法、装置、设备及计算机可读存储介质 | |
CN114328632A (zh) | 基于位图的用户数据分析方法、装置及计算机设备 | |
CN114070847B (zh) | 服务器的限流方法、装置、设备及存储介质 | |
CN111343240B (zh) | 一种服务请求的处理方法、装置、电子设备及存储介质 | |
CN112395220A (zh) | 共享存储控制器的处理方法、装置、系统及存储控制器 | |
CN109711193B (zh) | 一种存储空间的共享方法和装置 | |
CN114553717B (zh) | 一种网络节点划分方法、装置、设备及存储介质 | |
CN113905252B (zh) | 直播间的数据存储方法、装置、电子设备及存储介质 | |
CN115686746A (zh) | 访问方法、任务处理方法、计算设备及计算机存储介质 | |
CN115065664A (zh) | 一种互联网协议地址的回收方法、电子设备及存储介质 | |
CN112148925B (zh) | 用户标识关联查询方法、装置、设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |