CN116260631A - 资源管理方法、装置、电子设备及存储介质 - Google Patents

资源管理方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN116260631A
CN116260631A CN202310078729.XA CN202310078729A CN116260631A CN 116260631 A CN116260631 A CN 116260631A CN 202310078729 A CN202310078729 A CN 202310078729A CN 116260631 A CN116260631 A CN 116260631A
Authority
CN
China
Prior art keywords
team
tenant
resource
candidate
resources
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202310078729.XA
Other languages
English (en)
Inventor
刘睿
张东飞
薛高飞
梅珂夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Asiainfo Technology Nanjing Co ltd
Original Assignee
Asiainfo Technology Nanjing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Asiainfo Technology Nanjing Co ltd filed Critical Asiainfo Technology Nanjing Co ltd
Priority to CN202310078729.XA priority Critical patent/CN116260631A/zh
Publication of CN116260631A publication Critical patent/CN116260631A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请实施例公开了一种资源管理方法、装置、电子设备及存储介质,可适用于大数据、云边协同、权限管控等领域。该方法包括:基于至少一个数据资源,构建至少一个候选租户,每个候选租户至少包括一个数据资源,每个候选租户用于管理包含于该候选租户的任意一个数据资源;从至少一个候选租户中,确定至少一个目标租户成为团队的租户资源,团队为预先构建好的包含至少一个团队成员的组织;对于团队中的任意一个团队成员,基于团队成员的资源需求,从团队的租户资源中为团队成员至少分配一个目标租户。采用本申请实施例,实现了数据资源权限的共享与隔离,为数据资源的管理提供了更加灵活的管控方式,提升了数据资源的管控效能。

Description

资源管理方法、装置、电子设备及存储介质
技术领域
本申请涉及大数据、云边协同、权限管控等领域,尤其涉及一种资源管理方法、装置、电子设备及存储介质。
背景技术
随着大数据技术的发展,越来越多的用户开始使用大数据资源,由于资源种类多、数据分散、用户资源需求不同,导致资源难以管理。
目前,一般采用统一认证的方式进行大数据资源的管理,统一认证旨在将分散在各个信息系统中的用户和权限资源进行统一集中管理,提升系统安全性,简化资源访问操作。传统的大数据多租户的架构技术通常都是构建一个统一的认证体系,例如,轻量目录访问协议(Lightweight Directory Access Protocolldap,简称LDAP),或者,或网络认证协议(kerberos),然后再在认证账户上去赋予数据资源、数据权限和资源权限,后续再将账号提供给开发人员或开发团队,用于应用开发。
一个完善的企业数据中心,特别是涉及到云边协同等问题,不仅需要实现对数据资源的统一管控、同时也需要实现数据资源对人员和机构组织的灵活与统一的权限管控。采用传统的资源管理方式,当存在以下几种场景时,无法实现企业内部对人和组织机构更加灵活的管控,场景如下:开发人员同时归属不同的机构组织、机构组织希望管理多个租户账户并选择性授权给不同的开发人员、多个组织机构共用一套租户计算资源,但是组织结构需要区分开来、有部分非大数据认证体系的计算组件,无法基于一套账户体系来构建租户。上述场景在传统的多租户架构下较难做到,同时开发人员在不同的机构组织下同时还承担不同的管理角色,更加容易导致管理权限和资源权限的混淆、难以维护。
因此,如何提供更加灵活的资源管理方法,成为亟需解决的问题。
发明内容
本申请实施例提供一种资源管理方法、装置、电子设备及存储介质,采用本申请实施例,实现了数据资源权限的共享与隔离,为数据资源的管理提供了更加灵活的管控方式,提升了数据资源的管控效能。
第一方面,本申请实施例提供一种资源管理方法,该方法包括:
基于至少一个数据资源,构建至少一个候选租户,其中,每个上述候选租户至少包括一个数据资源,每个上述候选租户用于管理包含于该候选租户的任意一个数据资源;
从上述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源,其中,上述团队为预先构建好的包含至少一个团队成员的组织;
对于上述团队中的任意一个团队成员,基于上述团队成员的资源需求,从上述团队的租户资源中为上述团队成员至少分配一个目标租户。
在一些可行的实施方式中,上述基于至少一个资源,构建至少一个候选租户,包括:
将至少一个数据资源与每个候选租户进行绑定,以构建上述每个候选租户;
其中,上述数据资源至少包括资源标识、资源类型、资源访问路径、资源配额、资源权限中的至少一项。
在一些可行的实施方式中,上述从上述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源,包括:
基于上述团队的资源需求,从上述至少一个候选租户中确定出符合上述团队的资源需求的至少一个目标租户;
将上述至少一个目标租户授权给上述团队,成为上述团队的租户资源。
在一些可行的实施方式中,上述从上述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源,包括:
基于上述团队对应的上级团队的资源需求,从上述至少一个候选租户中,确定出符合上述上级团队的资源需求的至少一个待分配租户;
基于上述团队的资源需求,从上述至少一个待分配租户中确定出符合上述团队的资源需求的至少一个目标租户;
将上述至少一个目标租户授权给上述团队,成为上述团队的租户资源。
在一些可行的实施方式中,上述方法还包括:
对于上述团队的任意一个团队成员,若该团队成员加入了上述团队之外的其他团队,则基于该团队成员在上述其他团队的资源需求,从上述其他团队的租户资源中为该团队成员进行租户资源的分配;
其中,上述其他团队与上述团队分别属于不同的组织。
在一些可行的实施方式中,在上述从上述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源之前,上述方法还包括:
按照树形关联关系,将上述团队、上述团队对应的至少一个上级团队、以及上述团队的至少一个团队成员构建为对应的组织。
在一些可行的实施方式中,上述数据资源至少包括计算资源和存储资源中的一项。
第二方面,本申请实施例提供了一种资源管理装置,该资源管理装置包括:
第一处理模块,用于基于至少一个数据资源,构建至少一个候选租户,其中,每个上述候选租户至少包括一个数据资源,每个上述候选租户用于管理包含于该候选租户的任意一个数据资源;
确定模块,用于从上述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源,其中,上述团队为预先构建好的包含至少一个团队成员的组织;
第二处理模块,用于对于上述团队中的任意一个团队成员,基于上述团队成员的资源需求,从上述团队的租户资源中为上述团队成员至少分配一个目标租户。
第三方面,本申请实施例提供了一种电子设备,包括处理器和存储器,该处理器和存储器相互连接;
上述存储器用于存储计算机程序;
上述处理器被配置用于在调用上述计算机程序时,执行上述第一方面所提供的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行以实现上述第一方面所提供的方法。
第五方面,本申请实施例提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述第一方面所提供的方法。
在本申请实施例中,基于至少一个数据资源,构建至少一个候选租户,采用了租户管理的方式来管理数据资源,对于每个团队,可以从这些至少一个候选租户中,选出符合需求的目标租户,成为团队的租户资源,然后将租户资源分配给团队,通过这种方式建立起了租户与团队之间的关联关系,然后通过团队管理的模式将租户资源分配给团队的团队成员。采用上述方式,通过这种多资源对多团队成员的关联映射,实现了数据资源权限的共享与隔离,为数据资源的管理提供了更加灵活的管控方式,提升了数据资源的管控效能。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种资源管理方法的流程示意图;
图2是本申请实施例提供的一种候选租户与数据资源的关系图;
图3是本申请实施例提供的一种团队与目标租户的关系图;
图4是本申请实施例提供的一种团队与用户的关系图;
图5是本申请实施例提供的一种团队的租户资源与团队成员的关系图;
图6是本申请实施例提供的一种团队关系的示意图;
图7是本申请实施例提供的一种资源管理模型的示意图;
图8是本申请实施例提供的一种资源管理装置的结构示意图;
图9是本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1,图1是本申请实施例提供的一种资源管理方法的流程示意图。本申请中的资源管理方法的执行主体可以是任一服务器,其中,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器或服务器集群。上述网络可以包括但不限于:有线网络,无线网络,其中,该有线网络包括:局域网、城域网和广域网,该无线网络包括:蓝牙、Wi-Fi及其他实现无线通信的网络。用户终端可以是智能手机(如Android手机、iOS手机等)、平板电脑、笔记本电脑、数字广播接收器、MID(Mobile Internet Devices,移动互联网设备)、PDA(个人数字助理)、台式计算机、智能音箱、智能手表等,用户终端和服务器可以通过有线或无线通信方式进行直接或间接地连接,但并不局限于此。具体也可基于实际应用场景需求确定,在此不作限定。
如图1所示,本申请实施例提供的资源管理方法可以包括如下步骤:
步骤S101,基于至少一个数据资源,构建至少一个候选租户,其中,每个上述候选租户至少包括一个数据资源,每个上述候选租户用于管理包含于该候选租户的任意一个数据资源;
步骤S102,从上述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源,其中,上述团队为预先构建好的包含至少一个团队成员的组织;
步骤S103,对于上述团队中的任意一个团队成员,基于上述团队成员的资源需求,从上述团队的租户资源中为上述团队成员至少分配一个目标租户。
可选的,上述数据资源(还可以称为计算实例)至少包括计算资源和存储资源中的一项,涵盖了资源分配、权限、路径等信息。其中,该数据资源可以是HIVE,一个基于Hadoop(Hadoop是一个分布式系统基础架构)的一个数据仓库工具,可以将结构化的数据文件映射为一张数据库表,并提供结构化查询语言(Structured Query Language,简称SQL)查询功能,其中,计算资源可以是另一种资源协调者(Yet Another Resource Negotiator,简称YARN),是一种新的Hadoop资源管理器,存储资源可以是分布式文件系统(HadoopDistributed File System,简称HDFS)。存储资源还可以是Kafka(卡夫卡),Kafka本身不提供计算能力,一般会配套YARN来提供计算资源,在大数据计算栈存储和计算是分开管理的。MySQL(一个关系型数据库管理系统)既是存储资源又是计算资源,它同时提供了计算和存储能力。
租户也可以称为逻辑计算租户,实现方式为对各种数据资源的引用并绑定分配的鉴权信息,同时将多种数据资源打包抽象为一个逻辑计算租户,方便后续团队对租户资源进行分配。通过这种租户管理方式,租户可以对数据资源进行按需归集,为数据资源的权限隔离提供中间纽带,将数据资源的分配让位于对租户的管理,能够提升数据资源分配的灵活性。并且,本申请实施例中的单个租户可以绑定多种不同账户的数据资源,有别于传统的租户体系,其中,传统的租户体系一般会构建全局统一的租户名称,这样导致所有的计算资源必须使用一样的租户名,对集成和规划要求较高,后续调整也不灵活。
可选的,本申请中的逻辑计算租户还可以与非大数据组件这种类型的数据资源进行绑定,其中,非大数据组件可以是远程字典服务(Remote Dictionary Server,简称Redis)、MySQL(一种关系型数据库管理系统)等,换言之,非大数据组件也可以作为数据资源与逻辑计算租户进行绑定,以构建非大数据组件对应的逻辑计算租户,实现了非大数据组件能基于现有账户体系来构建租户。
如图2所示,图2是本申请实施例提供的一种候选租户与数据资源的关系图,对于每个候选租户(即后续待被团队分配的租户)来说,每个候选租户对应于至少一个数据资源,并管理该至少一个数据资源,图2中所示候选租户用于管理数据资源1、数据资源2…数据资源N(N为大于2的整数)。基于至少一个数据资源,可以构建至少一个如图2所示的候选租户。可理解,本申请实施例中对于数据资源的数量、候选租户的数量、以及每个候选租户包含的数据资源的数量不作任何限定。
其中,对于任意一个数据资源,可以分配给多个独立的机构组织(即团队),举例来说,假设团队A和团队B是两个完全没有任何关系的团队,即团队A和团队B分属于不同的组织,数据资源M可以同时被分配给团队A和团队B。也就是说,本申请实施例,对于同一个数据资源能够被分配给多少个不同的团队不作任何限定。
在一种可选的实施例中,上述基于至少一个资源,构建至少一个候选租户,包括:
将至少一个数据资源与每个候选租户进行绑定,以构建上述每个候选租户;
其中,上述数据资源至少包括资源标识、资源类型、资源访问路径、资源配额、资源权限中的至少一项。
可选的,对于每个数据资源,可以将数据资源通过与物理层上授权的鉴权信息一起绑定到对应的候选租户下,即可构建好候选租户,其中,对于鉴权信息,常见的有账号、密码、keytab文件(keytab是kerboros网络认证协议的专有名词,用于做登录权限认证的)、ssl证书(一种数字证书)等。构建好的逻辑计算租户(即候选租户)与数据资源的关系为:(数据资源)-[资源绑定]-(逻辑计算租户),其中,“()”表示为实体、“[]”表示为关系、“-”表示连接。其中,每个数据资源至少包括资源标识、资源类型、资源访问路径、资源配额、资源权限中的至少一项。
通过上述方式可以构建好至少一个候选租户,然后对团队进行数据资源的赋权,可以通过团队与租户进行关联来实现,租户的灵活性,可以确保不同团队对租户资源的权限隔离,从而实现对数据资源的隔离。团队与租户关系构建,可以通过资源授权的方式将单个或多个逻辑计算租户(即候选租户)授权给单个团队后成为该团队可分配的租户资源,所有团队租户资源都来源于逻辑计算租户。其中,构建好的团队与逻辑计算租户(即目标租户)的关系为:(逻辑计算租户)-[资源授权]-(团队)-[可分配计算资源]-(团队的租户资源)-[来源]-(逻辑计算租户)。
也就是说,对于每个团队,可以基于该团队的资源需求,从上述至少一个候选租户中,确定出至少一个目标租户作为该团队的租户资源。其中,该团队的租户资源用于记录团队和逻辑计算租户(即目标租户)之间的对应关系。如图3所示,图3是本申请实施例提供的一种团队与目标租户的关系图,图3中的团队A的租户资源为目标租户1、目标租户2…目标租户N(N为大于2的整数)。可理解,本申请实施例中对于每个团队的租户资源的数量不作任何限定。
对于每个团队来说,该团队为预先构建好的包含至少一个团队成员的组织。该团队是大数据中心系统建设中按照行政部门、业务主题或其他方式划分的组织,以及云边架构中,各节点的组织,包含团队成员构成、基础描述等信息。对于每个团队的构建,可以以用户为基础,构建有组织、成体系的用户管理基础架构,形成团队—用户的映射管理,为资源隔离和灵活管理提供支撑。其中,用户为真正使用大数据中心的数据资源的自然人,例如:数据开发人员、平台管理人员等,包含了用户的一些基础信息。
可选的,用户可以作为自然人,通过加入团队后归属为团队管理下的团队成员,所有团队成员都来源于用户,同时相同的用户在不同的团队也可能被授予不同的角色(如管理员、开发人员、维护人员等)。也就是说,自然人用户基于工作范围归属到某个团队后被定义为该团队的团队成员。构建好的团队与用户的关系为:(用户)-[加入]-(团队)-[归属]-(团队成员)-[来源]-(用户)。
如图4所示,图4是本申请实施例提供的一种团队与用户的关系图,图4中的团队包含用户1、用户2…用户N(N为大于2的整数),其中,加入图4中的团队A的用户1、用户2…用户N,即成为了该团队A的团队成员1、团队成员2…团队成员N。可理解,本申请实施例中对于每个团队所包含的团队成员的数量不作任何限定。
对于每个团队中的任意一个团队成员,可以基于该团队成员的资源需求,从该团队的租户资源中为该团队成员分配一定数量的目标租户。换言之,团队下的各个团队成员可以获取团队绑定的租户资源,通过对租户资源的分配,完成团队成员对应的数据资源的授权。可选的,对于任意一个团队成员,可以将团队的租户资源下的单个逻辑计算租户(即单个目标租户)或者至少两个逻辑计算租户授权给该团队下的团队成员,实现了数据资源与用户的绑定关系。本申请实施例中对于每个团队成员分配到的租户资源的数量不作任何限定,其中,通过这种方式构建好的团队的租户资源与团队成员的关系为:(团队的租户资源)-[资源授权]-(团队成员)。如图5所示,图5是本申请实施例提供的一种团队的租户资源与团队成员的关系图,图5所示的团队A包含目标租户1(即逻辑计算租户)和目标租户2(即逻辑计算租户),团队成员1分配到的租户资源为目标租户1、团队成员2分配到的租户资源为目标租户2、团队成员N分配到的租户资源为目标租户2,以上仅为一种示例,本申请实施例在此不作任何限定。
通过本申请实施例,通过将用户加入团队的管理模式,可以对多归属、多角色的用户进行有效管理,用户的唯一性和身份多样性可以做到统一,保障多身份下用户管理不冲突,使得用户管理更加灵活;通过引入团队概念,形成交互窗口,连接数据资源与用户,团队可以对多个租户进行管理,并能对所拥有的租户资源统一分配给不同的团队成员,租户授权不再是单一、混乱的局面,使得对用户的数据资源的授权更加灵活;由于同一租户资源可以分配给多个独立的机构组织(即团队),且各机构组织的租户资源利用互相隔离、互不干扰,使得租户资源的使用更加高效。Redis、MySQL等非大数据组件能基于现有账户体系来构建租户,实现了计算组件资源统一管理与授权,减少了对非大数据组件的管理成本。
以下是本申请实施例提供的几种确定团队的租户资源的方式。
在一种可选的实施例中,上述从上述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源,包括:
基于上述团队的资源需求,从上述至少一个候选租户中确定出符合上述团队的资源需求的至少一个目标租户;
将上述至少一个目标租户授权给上述团队,成为上述团队的租户资源。
可选的,对于任意一个团队,在确定该团队的租户资源时,可以基于该团队的资源需求,从构建好的至少一个候选租户中选择出符合该团队的资源需求的至少一个目标租户,然后通过资源授权的方式,将选择出的至少一个目标租户授权给该团队,使得授权之后的至少一个目标租户作为该团队的租户资源。
以为团队A确定租户为例进行说明,假设至少一个候选租户分别为候选租户1,候选租户2,……,候选租户6,这些候选租户中符合团队A的资源需求的候选租户为候选租户1、候选租户3以及候选租户4,那么,该候选租户1、候选租户3以及候选租户4就可以分别对应于该团队A的目标租户1、目标租户2以及目标租户3,来作为该团队A的租户资源。
在一种可选的实施例中,上述从上述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源,包括:
基于上述团队对应的上级团队的资源需求,从上述至少一个候选租户中,确定出符合上述上级团队的资源需求的至少一个待分配租户;
基于上述团队的资源需求,从上述至少一个待分配租户中确定出符合上述团队的资源需求的至少一个目标租户;
将上述至少一个目标租户授权给上述团队,成为上述团队的租户资源。
可选的,对于任意一个团队,在确定该团队的租户资源时,除了可以由该团队直接基于上述至少一个候选租户确定,还可以通过该团队的上级团队间接基于上述至少一个候选租户确定,具体过程如下:
基于该团队对应的上级团队的资源需求,从构建好的至少一个候选租户中选择出符合该上级团队的资源需求的至少一个待分配租户,然后通过资源授权的方式,将选择出的至少一个上级团队租户授权给该团队对应的上级团队,使得授权之后的至少一个待分配租户作为该团队对应的上级团队的租户资源。然后,基于该团队的资源需求,从这些至少一个待分配租户中确定出符合该团队的资源需求的至少一个目标租户。
可以理解的是,该团队对应的上级团队可以是直接管理该团队的上级团队,也可以是间接管理该团队的上级团队,本申请实施例在此不作任何限定。
以为团队A确定租户为例进行说明,假设该团队A的直接上级团队为上级团队A,至少一个候选租户分别为候选租户1,候选租户2,……,候选租户6,这些候选租户中符合上级团队A的资源需求的候选租户为候选租户1、候选租户2、候选租户3以及候选租户6,那么,该候选租户1、候选租户2、候选租户3以及候选租户6就可以分别对应于该上级团队A的待分配租户1、待分配租户2、待分配租户3以及待分配租户4,来作为该上级团队A的租户资源。然后,基于团队A的资源需求,从这些待分配租户中选择出符合该团队A的资源需求的目标租户,其中,符合团队A的资源需求的待分配租户分别为待分配租户2、待分配租户3以及待分配租户4,那么,待分配租户2、待分配租户3以及待分配租户4就可以分别对应于该团队A的目标租户1、目标租户2以及目标租户3,来作为该团队A的租户资源。
通过本申请实施例,这种通过团队与租户关联来实现对团队进行数据资源的赋权,可以确保不同团队对租户资源的权限隔离,提高了逻辑租户的灵活性,进而实现了对数据资源的隔离。
以下介绍团队的构建过程。
在一种可选的实施例中,在上述从上述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源之前,上述方法还包括:
按照树形关联关系,将上述团队、上述团队对应的至少一个上级团队、以及上述团队的至少一个团队成员构建为对应的组织。
可选的,可以按照树形关联关系,将团队概念之上的至少一个上级团队,以及该团队概念之下的至少一个团队成员,按照上下级关系构建为对应的组织,其中,该上级团队即父级团队,该团队即为子团队。
其中,构建好的该树形关联关系的组织,存在上下级的管理,在应用时也可以通过该关系叠加上级的管理方法,其中,该构建好的组织,即构建好的团队与团队关系为:(团队)-[上级团队]-(团队)。
如图6所示,图6是本申请实施例提供的一种团队关系的示意图,图6中的父级团队用于管理子团队1,子团队2,……,子团队N,其中,上述父级团队即为上级团队,任意一个子团队即为上述团队,其中,子团队1用于管理团队成员11,团队成员12,……团队成员K(K为大于2的整数)。子团队2用于管理团队成员21,团队成员22,……团队成员L(L为大于2的整数)。子团队N用于管理团队成员N1,团队成员N2,……团队成员Q(Q为大于2的整数)。可理解,图6所示的团队关系图仅为一种示例性的描述,本申请实施例对于团队关系具体是什么不作任何限定。
通过本申请实施例,通过这种树形关联关系的组织的构建,可以使得复杂的用户关系能够通过这种关系清晰的体现出来,提高了人员管理的能力。
在一种可选的实施例中,上述方法还包括:对于上述团队的任意一个团队成员,若该团队成员加入了上述团队之外的其他团队,则基于该团队成员在上述其他团队的资源需求,从上述其他团队的租户资源中为该团队成员进行租户资源的分配;
其中,上述其他团队与上述团队分别属于不同的组织。
可选的,对于任意一个团队的任意一个团队成员,该团队成员可能会加入除了该团队之外的其他团队,该团队与其他团队是不同的团队,即该团队成员所加入的不同的团队是互相独立的不同组织。其中,该团队成员在该团队和其他团队的身份可以相同也可以不同,例如,该团队成员在该团队的身份为开发人员,在其他团队的身份为平台管理人员,或者,团队成员在该团队的身份为开发人员,在其他团队的身份也为开发人员,等等,可理解,本申请实施例对于团队成员在不同团队的身份不作任何限定。
对于该团队成员在其他团队的租户资源分配,可以基于该团队成员在其他团队的资源需求,从其他团队所对应的租户资源中为该团队成员进行租户资源的分配。
举例来说,假设团队成员1分别加入了团队A、团队B以及团队C,且团队A、团队B以及团队C分别为互相独立、互不相同的团队,其中,团队A对应的租户资源为目标租户1、目标租户2、目标租户3;团队B对应的租户资源为目标租户4、目标租户5、目标租户6;团队C对应的租户资源为目标租户7、目标租户8。依据该团队成员1分别在团队A、团队B以及团队C不同的资源需求,该团队成员1在团队A所分配到的租户资源为目标租户2,该团队成员1在团队B所分配到的租户资源为目标租户4和目标租户6,该团队成员1在团队C所分配到的租户资源为目标租户7。可理解,上述仅为一种示例,本申请实施例对于团队成员所加入的团队的数量不作任何限定,对于团队成员在不同的团队所分配到的租户资源的数量也不作任何限定。
通过本申请实施例,可以对多归属、多角色的用户进行有效管理,用户的唯一性和身份多样性可以做到统一,保障多身份下用户管理不冲突,提高了用户管理的灵活性。
以下结合具体示例对本申请实施例中的资源管理方法对应的资源管理模型进行详细说明。
参见图7,图7是本申请实施例提供的一种资源管理模型的示意图,如图7所示,关于本申请实施例中的资源管理模型的详细构成如下所示:
图7中的矩形表示实体,菱形表示动作,椭圆用于表示对应的实体或者动作的属性。
以下对图7中的实体和属性进行详细说明。
图7中的实体包括用户、团队、团队成员、数据资源、逻辑计算租户和团队的租户资源,其中,用户的属性包括用户姓名和用户标识,团队的属性包括团队标识和团队名称,团队成员的属性包括角色、团队标识、用户标识以及成员标识,数据资源的属性包括资源标识、资源类型、资源访问路径、资源配额以及资源权限,逻辑计算租户的属性包括租户标识以及租户名称,团队的租户资源的属性包括租户标识以及团队标识。
其中,可以通过资源授权的方式将团队的租户资源授权给团队成员,在进行资源授权这个动作时,需要同时携带团队标识、租户标识以及资源标识这些信息。
以下对图7中菱形对应的动作进行详细说明。
如图7所示,用户可以加入团队,成为团队的团队成员,此时,团队成员归属于团队,团队成员的来源为用户。数据资源通过资源绑定的方式绑定到逻辑计算租户下,逻辑计算租户通过资源授权的方式授权给团队,团队的可分配数据资源为团队的租户资源,团队的租户资源通过资源授权的方式授权给团队成员。
以下对图7中任意两个实体之间的关系进行详细说明。
图7中的任意两个实体的关系通过“1”、“n”和“m”表示,若两个实体之间连接的是“1”和“n”,表示这两个实体之间是一对多的关系,若两个实体之间连接的是“n”和“m”,表示这两个实体之间是多对多的关系,具体的关系表示如下:
上级归属和团队之间连接的是“1”和“n”,表示上级归属对应的上级团队和团队之间是一对多的关系,也就是说,上级团队可以管理至少一个团队。
用户和团队之间连接的是“1”和“n”,表示用户和团队之间是一对多的关系,也就是说,用户可以加入至少一个团队。
用户和团队成员之间连接的是“1”和“n”,表示用户和团队成员之间是一对多的关系,也就是说,用户可以成为至少一个团队的团队成员。
团队和团队成员之间连接的是“1”和“n”,表示团队和团成员之间是一对多的关系,也就是说,团队可以包含至少一个团队成员。
团队和逻辑计算租户之间连接的是“1”和“n”,表示团队和逻辑计算租户之间是一对多的关系,也就是说,团队可以拥有至少一个逻辑计算租户。
团队和团队的租户资源之间连接的是“1”和“n”,表示团队和团队的租户资源之间是一对多的关系,也就是说,团队可以拥有至少一个团队的租户资源。
团队成员和团队的租户资源之间连接的是“1”和“n”,表示团队成员和团队的租户资源之间是一对多的关系,也就是说,团队成员可以获取至少一个团队的租户资源。
逻辑计算租户和团队的租户资源之间连接的是“n”和“m”,表示逻辑计算租户和团队的租户资源之间是多对多的关系,也就是说,至少一个逻辑计算租户可以作为团队的至少一个团队的租户资源。
逻辑计算租户和数据资源之间连接的是“1”和“n”,表示逻辑计算租户和数据资源之间是一对多的关系,也就是说,逻辑计算租户可以管理至少一个数据资源。
其中,对于团队的构建、逻辑计算租户的构建等详见前文描述,本申请实施例在此不作赘述。
通过本申请实施例,通过将数据资源管控和组织结构管控进行解耦,让用户体系、组织架构体系、租户体系、数据资源之间既保证彼此一定的独立性,同时又能形成互相关联、逻辑清晰、脉络明确的管理链路,让整个资源管理链路更加高效,同时也能兼顾灵活性,从而满足大数据体系下,各类复杂资源管控需求,提升管控效能。并且,本申请中的资源管理模型突破了传统的资源管理模式,同时通过团队的定义解耦了数据资源与人员授权关系,实现了更加灵活的权限管理。
参见图8,图8是本申请实施例提供的资源管理装置的结构示意图。
本申请实施例提供的资源管理装置1包括:
第一处理模块11,用于基于至少一个数据资源,构建至少一个候选租户,其中,每个上述候选租户至少包括一个数据资源,每个上述候选租户用于管理包含于该候选租户的任意一个数据资源;
确定模块12,用于从上述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源,其中,上述团队为预先构建好的包含至少一个团队成员的组织;
第二处理模块13,用于对于上述团队中的任意一个团队成员,基于上述团队成员的资源需求,从上述团队的租户资源中为上述团队成员至少分配一个目标租户。
在一种可行的实施中,上述第一处理模块,具体用于:
将至少一个数据资源与每个候选租户进行绑定,以构建上述每个候选租户;
其中,上述数据资源至少包括资源标识、资源类型、资源访问路径、资源配额、资源权限中的至少一项。
在一种可行的实施中,上述确定模块,包括:
第一确定单元,用于基于上述团队的资源需求,从上述至少一个候选租户中确定出符合上述团队的资源需求的至少一个目标租户;
第一处理单元,用于将上述至少一个目标租户授权给上述团队,成为上述团队的租户资源。
在一种可行的实施中,上述确定模块,包括:
第二确定单元,用于基于上述团队对应的上级团队的资源需求,从上述至少一个候选租户中,确定出符合上述上级团队的资源需求的至少一个待分配租户;
第三确定单元,用于基于上述团队的资源需求,从上述至少一个待分配租户中确定出符合上述团队的资源需求的至少一个目标租户;
第二处理单元,用于将上述至少一个目标租户授权给上述团队,成为上述团队的租户资源。
在一种可行的实施中,上述装置还包括:
第三处理模块,用于对于上述团队的任意一个团队成员,若该团队成员加入了上述团队之外的其他团队,则基于该团队成员在上述其他团队的资源需求,从上述其他团队的租户资源中为该团队成员进行租户资源的分配;
其中,上述其他团队与上述团队分别属于不同的组织。
在一种可行的实施中,上述装置还包括:
第四处理模块,用于按照树形关联关系,将上述团队、上述团队对应的至少一个上级团队、以及上述团队的至少一个团队成员构建为对应的组织。
在一种可行的实施中,上述数据资源至少包括计算资源和存储资源中的一项。
在本申请实施例中,基于至少一个数据资源,构建至少一个候选租户,采用了租户管理的方式来管理数据资源,对于每个团队,可以从这些至少一个候选租户中,选出符合需求的目标租户,成为团队的租户资源,然后将租户资源分配给团队,通过这种方式建立起了租户与团队之间的关联关系,然后通过团队管理的模式将租户资源分配给团队的团队成员。采用上述方式,通过这种多资源对多团队成员的关联映射,实现了数据资源权限的共享与隔离,为数据资源的管理提供了更加灵活的管控方式,提升了数据资源的管控效能。
具体实现中,上述资源管理装置1可通过其内置的各个功能模块执行如上述图1中各个步骤所提供的实现方式,具体可参见上述各个步骤所提供的实现方式,在此不再赘述。
参见图9,图9是本申请实施例提供的电子设备的结构示意图。如图9所示,本实施例中的电子设备1000可以包括:处理器1001,网络接口1004和存储器1005,此外,上述电子设备1000还可以包括:用户接口1003,和至少一个通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。其中,用户接口1003可以包括显示屏(Display)、键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1004可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图9所示,作为一种计算机可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及设备控制应用程序。
在图9所示的电子设备1000中,网络接口1004可提供网络通讯功能;而用户接口1003主要用于为用户提供输入的接口;而处理器1001可以用于调用存储器1005中存储的设备控制应用程序。
应当理解,在一些可行的实施方式中,上述处理器1001可以是中央处理单元(central processing unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor,DSP)、专用集成电路(application specific integratedcircuit,ASIC)、现成可编程门阵列(field-programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。该存储器可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。
具体实现中,上述电子设备1000可通过其内置的各个功能模块执行如上述图1中各个步骤所提供的实现方式,具体可参见上述各个步骤所提供的实现方式,在此不再赘述。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,被处理器执行以实现图1中各个步骤所提供的方法,具体可参见上述各个步骤所提供的实现方式,在此不再赘述。
上述计算机可读存储介质可以是前述任一实施例提供的资源管理装置的内部存储单元,例如电子设备的硬盘或内存。该计算机可读存储介质也可以是该电子设备的外部存储设备,例如该电子设备上配备的插接式硬盘,智能存储卡(smart media card,SMC),安全数字(secure digital,SD)卡,闪存卡(flash card)等。上述计算机可读存储介质还可以包括磁碟、光盘、只读存储记忆体(read-only memory,ROM)或随机存储记忆体(randomaccess memory,RAM)等。进一步地,该计算机可读存储介质还可以既包括该电子设备的内部存储单元也包括外部存储设备。该计算机可读存储介质用于存储该计算机程序以及该电子设备所需的其他程序和数据。该计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本申请实施例提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行图1中各个步骤所提供的方法。
本申请的权利要求书和说明书及附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或电子设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或电子设备固有的其它步骤或单元。在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置展示该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
以上所揭露的仅为本申请较佳实施例而已,不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。

Claims (10)

1.一种资源管理方法,其特征在于,所述方法包括:
基于至少一个数据资源,构建至少一个候选租户,其中,每个所述候选租户至少包括一个数据资源,每个所述候选租户用于管理包含于该候选租户的任意一个数据资源;
从所述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源,其中,所述团队为预先构建好的包含至少一个团队成员的组织;
对于所述团队中的任意一个团队成员,基于所述团队成员的资源需求,从所述团队的租户资源中为所述团队成员至少分配一个目标租户。
2.根据权利要求1所述的方法,其特征在于,所述基于至少一个资源,构建至少一个候选租户,包括:
将至少一个数据资源与每个候选租户进行绑定,以构建所述每个候选租户;
其中,所述数据资源至少包括资源标识、资源类型、资源访问路径、资源配额、资源权限中的至少一项。
3.根据权利要求1所述的方法,其特征在于,所述从所述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源,包括:
基于所述团队的资源需求,从所述至少一个候选租户中确定出符合所述团队的资源需求的至少一个目标租户;
将所述至少一个目标租户授权给所述团队,成为所述团队的租户资源。
4.根据权利要求1所述的方法,其特征在于,所述从所述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源,包括:
基于所述团队对应的上级团队的资源需求,从所述至少一个候选租户中,确定出符合所述上级团队的资源需求的至少一个待分配租户;
基于所述团队的资源需求,从所述至少一个待分配租户中确定出符合所述团队的资源需求的至少一个目标租户;
将所述至少一个目标租户授权给所述团队,成为所述团队的租户资源。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对于所述团队的任意一个团队成员,若该团队成员加入了所述团队之外的其他团队,则基于该团队成员在所述其他团队的资源需求,从所述其他团队的租户资源中为该团队成员进行租户资源的分配;
其中,所述其他团队与所述团队分别属于不同的组织。
6.根据权利要求1所述的方法,其特征在于,在所述从所述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源之前,所述方法还包括:
按照树形关联关系,将所述团队、所述团队对应的至少一个上级团队、以及所述团队的至少一个团队成员构建为对应的组织。
7.根据权利要求1所述的方法,其特征在于,所述数据资源至少包括计算资源和存储资源中的一项。
8.一种资源管理装置,其特征在于,所述装置包括:
第一处理模块,用于基于至少一个数据资源,构建至少一个候选租户,其中,每个所述候选租户至少包括一个数据资源,每个所述候选租户用于管理包含于该候选租户的任意一个数据资源;
确定模块,用于从所述至少一个候选租户中,确定至少一个目标租户成为团队的租户资源,其中,所述团队为预先构建好的包含至少一个团队成员的组织;
第二处理模块,用于对于所述团队中的任意一个团队成员,基于所述团队成员的资源需求,从所述团队的租户资源中为所述团队成员至少分配一个目标租户。
9.一种电子设备,其特征在于,包括处理器和存储器,所述处理器和存储器相互连接;
所述存储器用于存储计算机程序;
所述处理器被配置用于在调用所述计算机程序时,执行如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行以实现权利要求1至7任一项所述的方法。
CN202310078729.XA 2023-01-12 2023-01-12 资源管理方法、装置、电子设备及存储介质 Withdrawn CN116260631A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310078729.XA CN116260631A (zh) 2023-01-12 2023-01-12 资源管理方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310078729.XA CN116260631A (zh) 2023-01-12 2023-01-12 资源管理方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN116260631A true CN116260631A (zh) 2023-06-13

Family

ID=86687348

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310078729.XA Withdrawn CN116260631A (zh) 2023-01-12 2023-01-12 资源管理方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN116260631A (zh)

Similar Documents

Publication Publication Date Title
US20220067035A1 (en) System and method for providing an interface for a blockchain cloud service
US11182379B2 (en) DAG based methods and systems of transaction processing in a distributed ledger
CN111488595B (zh) 用于实现权限控制的方法及相关设备
EP2510466B1 (en) Delegated and restricted asset-based permissions management for co-location facilities
CN105024865B (zh) 云联合即服务
US8769653B2 (en) Unified access control system and method for composed services in a distributed environment
CN109710236B (zh) 基于共享服务的业务开发和实现方法、装置、平台及介质
US9515950B2 (en) Multi-tenancy support for enterprise social business computing
CN109565511A (zh) 用于多租户身份和数据安全管理云服务的租户和服务管理
US10552796B1 (en) Approval service in a catalog service platform
US20130144945A1 (en) Establishing business networks using a shared platform
US10356155B2 (en) Service onboarding
WO2021027532A1 (zh) 一种智能合约的权限验证方法及装置
CN112232822B (zh) 区块链网络的交易处理方法、节点、设备及存储介质
US20200322324A1 (en) Authenticating API Service Invocations
Jin et al. Role and attribute based collaborative administration of intra-tenant cloud iaas
CN113542033B (zh) 联盟链基础设施与管理平台多对多映射方法与系统
TW201710944A (zh) 鑒權方法及鑒權裝置
WO2023098433A1 (en) Secure policy distribution in a cloud environment
CN116260631A (zh) 资源管理方法、装置、电子设备及存储介质
Şenel et al. Multitenant Containers as a Service (CaaS) for Clouds and Edge Clouds
Ruo-Fei et al. A united access control model for systems in collaborative commerce
CN115600185B (zh) 一种云原生平台的资源操作方法和系统
Simić et al. A Hierarchical Namespace Approach for Multi-Tenancy in Distributed Clouds
CN117911217A (zh) 一种政务一体化能力中心实现方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20230613