CN116488836A - 基于多租户的kubernetes集群资源管理方法及系统 - Google Patents

基于多租户的kubernetes集群资源管理方法及系统 Download PDF

Info

Publication number
CN116488836A
CN116488836A CN202211462603.4A CN202211462603A CN116488836A CN 116488836 A CN116488836 A CN 116488836A CN 202211462603 A CN202211462603 A CN 202211462603A CN 116488836 A CN116488836 A CN 116488836A
Authority
CN
China
Prior art keywords
tenant
resource
information
request
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211462603.4A
Other languages
English (en)
Inventor
杨诚
沈一帆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202211462603.4A priority Critical patent/CN116488836A/zh
Publication of CN116488836A publication Critical patent/CN116488836A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1074Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供了一种基于多租户的kubernetes集群资源管理方法,涉及云计算技术领域,可以应用于金融科技领域。该方法应用于多租户平台,包括:响应于租户的接入请求,获取租户所属用户的ID信息和资源配额信息;根据所述ID信息和所述资源配额信息对所述接入请求进行验证;在所述接入请求验证通过后,根据所述资源配额信息和预先配置的配额策略创建所述租户的ID和命名空间;向所述租户下发专属证书;以及为所述租户创建专属私有网络资源,其中,所述专属私有网络资源作为所述租户容器的唯一入口接收外部请求流量。本公开还提供了一种基于多租户的kubernetes集群资源管理系统、设备、存储介质和程序产品。

Description

基于多租户的kubernetes集群资源管理方法及系统
技术领域
本公开涉及云计算技术领域,具体涉及kubernetes集群资源管理技术领域,更具体地涉及一种基于多租户的kubernetes集群资源管理方法、系统、设备、存储介质和程序产品。
背景技术
随着kubernetes和docker等容器引擎、容器编排调度平台的技术的发展和推广,它们已经慢慢成为了云计算时代的OS(操作系统)。在传统的主机时代,就有多个用户(租户)共享一台物理机资源的需求。而在公有云的背景下,为了充分节约集群资源,海量租户来共享一个大规模集群也成为了强烈的需求。
相关技术中,有两类主流的解决方案:Namespaces as a Service和Cluster asservice。即在单集群内使用K8S的namespace进行隔离、将不同的租户隔离在不同的集群内。这两种解决方案都有各自的优缺点,Namespaces as a Service方案优点是资源都集中在单集群里,缺点是对于集群级别资源不能做到充分隔离,例如CustomResourceDefinitions。并且集群网络之间的隔离不充分,应用相互之间可以相互访问。Cluster as service方案虽然隔离充分,但对资源消耗大,对集群的运维难度大。对于不同租户的请求,需要下发到不同的集群中,对于不同租户的大量请求消耗资源多。因此如何对多租户集群资源进行隔离是亟需解决的技术问题。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
鉴于上述问题,本公开提供了实现多租户网络隔离和权限管理的基于多租户的kubernetes集群资源管理方法、系统、设备、介质和程序产品。
根据本公开的第一个方面,提供了一种基于多租户的kubernetes集群资源管理方法,应用于多租户平台,所述kubernetes集群包括所述多租户平台和业务集群,所述方法包括:
响应于租户的接入请求,获取租户所属用户的ID信息和资源配额信息;
根据所述ID信息和所述资源配额信息对所述接入请求进行验证;
在所述接入请求验证通过后,根据所述资源配额信息和预先配置的配额策略创建所述租户的ID和命名空间;
向所述租户下发专属证书,所述证书用于对所述租户资源请求进行权限管理;以及
为所述租户创建专属私有网络资源,其中,所述专属私有网络资源作为所述租户容器的唯一入口接收外部请求流量。
根据本公开的实施例,还包括:
响应于租户的资源请求,解析所述资源请求中的证书信息,以验证所述租户的权限;
在验证所述租户的权限后,对资源请求中的资源信息进行校验;以及
若校验通过,将所述资源请求转发至业务集群,以实现对租户资源的增删改查。
根据本公开的实施例,所述对资源请求中的资源信息进行校验包括:
查询所述租户的剩余资源配额;
解析所述资源请求中的资源信息;
根据所述剩余资源配额和所述资源请求中的资源信息对所述资源请求进行校验。
根据本公开的实施例,所述根据所述ID信息和所述资源配额信息对所述接入请求进行验证包括:
根据所述ID信息确定所述用户在所述多租户平台的剩余资源量;
若确定所述资源配额信息小于所述剩余资源量,则确定所述接入请求验证通过。
本公开的第二方面提供了一种基于多租户的kubernetes集群资源管理方法,应用于业务集群,所述kubernetes集群包括多租户平台和业务集群,所述方法包括:
响应于多租户平台转发的租户资源请求,根据所述租户资源请求创建容器实例;以及
将所述容器的服务端口映射到所述租户的专属私有网络资源上。
根据本公开的实施例,所述将所述容器的服务端口映射到所述租户的专属私有网络资源上包括:
将容器的服务端口转发映射到宿主机的随机端口,并将端口映射信息存储至数据库中;
监听所述数据库中的端口映射信息;
当确定存在新的端口映射信息后,将所述随机端口映射到所述租户的专属私用网络资源的端口上。
本公开的第三方面提供了一种基于多租户的kubernetes集群资源管理系统,设置于多租户平台,所述kubernetes集群包括所述多租户平台和业务集群,所述系统包括:
获取模块,用于响应于租户的接入请求,获取租户所属用户的ID信息和资源配额信息;
验证模块,用于根据所述ID信息和所述资源配额信息对所述接入请求进行验证;
租户创建模块,用于在验证模块对所述接入请求验证通过后,根据所述资源配额信息和预先配置的配额策略创建所述租户的ID和命名空间;
证书管理模块,用于向所述租户下发专属证书,所述证书用于对所述租户资源请求进行权限管理;
私有网络资源创建模块,用于为所述租户创建专属私有网络资源,其中,所述专属私有网络资源作为所述租户容器的唯一入口接收外部请求流量。
根据本公开的实施例,所述系统还包括:
权限管理模块,用于响应于租户的资源请求,解析所述资源请求中的证书信息,以验证所述租户的权限;
资源请求校验模块,用于在验证所述租户的权限后,对资源请求中的资源信息进行校验;
资源请求转发模块,用于在资源校验完成后,将所述资源请求转发至业务集群,以实现对租户资源的增删改查。
根据本公开的实施例,资源请求校验模块包括:查询子模块、解析子模块和校验子模块。
查询子模块,用于查询所述租户的剩余资源配额;
解析子模块,用于解析所述资源请求中的资源信息;
校验子模块,用于根据所述剩余资源配额和所述资源请求中的资源信息对所述资源请求进行校验。
根据本公开的实施例,验证模块包括:第一确定子模块和第二确定子模块。
第一确定子模块,用于根据所述ID信息确定所述用户在所述多租户平台的剩余资源量;
第二确定子模块,用于若确定所述资源配额信息小于所述剩余资源量,则确定所述接入请求验证通过。
本公开的第四方面提供了一种基于多租户的kubernetes集群资源管理装置,设置于业务集群,所述kubernetes集群包括多租户平台和业务集群,所述装置包括:
容器创建模块,用于响应于多租户平台转发的租户资源请求,根据所述租户资源请求创建容器实例;以及
端口映射模块,用于将所述容器的服务端口映射到所述租户的专属私有网络资源上。
根据本公开的实施例,端口映射模块包括:随机映射子模块、监听模块和关联子模块。
随机映射子模块,用于将容器的服务端口转发映射到宿主机的随机端口,并将端口映射信息存储至数据库中;
监听子模块,用于监听所述数据库中的端口映射信息;
关联子模块,用于当确定存在新的端口映射信息后,将所述随机端口映射到所述租户的专属私用网络资源的端口上。
本公开的第五方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述基于多租户的kubernetes集群资源管理方法。
本公开的第六方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述基于多租户的kubernetes集群资源管理方法。
本公开的第七方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述基于多租户的kubernetes集群资源管理方法。
通过本公开的实施例提供的一种基于多租户的kubernetes集群资源管理方法,通过一个独立的管理面k8s小集群,将业务流量和管理流量隔离开来,在新租户接入多租户平台时,为每一租户创建专属私有网络资源,通过各命名空间独立的VPN网络,将容器的流量完全隔离开来,实现集群各租户的命名空间间的网络隔离。相较于现有技术,本方法使用较低的成本实现了多租户间集群级维度的资源的隔离。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的基于多租户的kubernetes集群资源管理方法、系统、设备、介质和程序产品的应用场景图;
图2示意性示出了根据本公开实施例的kubernetes集群架构图;
图3示意性示出了根据本公开实施例提供的一种基于多租户的kubernetes集群资源管理方法的流程图;
图4示意性示出了根据本公开实施例提供的对租户资源请求的权限管理方法的流程图;
图5示意性示出了根据本公开实施例提供的另一种基于多租户的kubernetes集群资源管理方法;
图6示意性示出了根据本公开实施例提供的容器vpc的示意图;
图7a示意性示出了根据本公开实施例提供的将所述容器的服务端口映射到所述租户的专属私有网络资源的流程图;
图7b示意性示出了根据本公开实施例提供的将所述容器的服务端口映射过程的示意图;
图8a示意性示出了根据本公开实施例的一种基于多租户的kubernetes集群资源管理系统的结构框图;
图8b示意性示出了根据本公开实施例的一种基于多租户的kubernetes集群资源管理装置的结构框图;
图9示意性示出了根据本公开实施例的适于实现基于多租户的kubernetes集群资源管理方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
首先对本公开实施例中出现的术语进行解释:
租户:一般概念为集群的用户下的一个子用户,比如在X公司(用户)开发部门的A,他就是一个租户,也可以抽象的理解成包含为一组独立的计算,网络,存储等资源组成的工作负载集合。
多租户集群:须要在集群(或者多集群)范围内对不一样的租户提供尽量的安全隔离,以最大程度的避免恶意租户对其余租户的入侵,同时须要保证租户之间公平地分配共享集群资源
软隔离:更多的是面向企业内部的多租需求,该形态下默认不存在恶意租户,隔离的目的是为了内部团队间的业务保护和对可能的安全入侵进行防御
硬隔离:硬隔离面向的更可能是对外提供云服务的服务供应商,因为该业务形态下没法保证不一样租户中业务使用者的安全背景,默认认为租户之间以及租户与K8s系统之间是存在互相入侵的可能,所以这里也须要更严格的隔离做为安全保障。
K8S集群:Kubernetes(通常称为K8s)是来自Google云平台的开源容器集群管理系统,用于自动部署、扩展和管理容器化(containerized)应用程序。该系统基于Docker构建一个容器的调度服务。
Master节点:k8s的管理节点,实现管理流量接收、资源管理、容器调度。该节点通常由系统管理员使用。
Node节点:用户业务运行的节点,应用容器都在Node上进行部署,对外提供服务。
Kube-apiserver:k8s本身集群的网关,对外流量入口,部署在master节点上。
Etcd:分布式key-value存储系统,可以简单理解为一个高可用非关系型的数据库。
CustomResourceDefinitions:一种集群级别的资源定义,他定义的就是一种新的资源类型。定义后,整个集群就新增了一种资源类型,全集群可用。在Kubernetes中一切都可视为资源,Kubernetes 1.7之后增加了对CRD自定义资源二次开发能力来扩展Kubernetes。
相关技术中,对多租户资源隔离有两类主流的解决方案:
(1)Namespaces as a Service,即使用namespaces作为服务。K8s本身就是将绝大部分应用的资源使用namespace进行隔离,单个租户只能使用namespace级别的资源。对于类似crd这种集群级别的资源,Namespaces as a Service这种方案无法进行隔离,使用场景受限制。
(2)Cluster as service。即是单独给不同的租户划分各自隔离的Master节点和控制面。虽然隔离很彻底但是资源消耗较大,在海量租户的情况下,每次有新的租户进来都要单独划拨资源,也增大了运维的成本。
基于上述技术问题,本公开的实施例提供了基于多租户的kubernetes集群资源管理方法,应用于多租户平台,所述kubernetes集群包括所述多租户平台和业务集群,所述方法包括:响应于租户的接入请求,获取租户所属用户的ID信息和资源配额信息;根据所述ID信息和所述资源配额信息对所述接入请求进行验证;在所述接入请求验证通过后,根据所述资源配额信息和预先配置的配额策略创建所述租户的ID和命名空间;向所述租户下发专属证书,所述证书用于对所述租户资源请求进行权限管理;为所述租户创建专属私有网络资源,其中,所述专属私有网络资源作为所述租户容器的唯一入口接收外部请求流量。
图1示意性示出了根据本公开实施例的基于多租户的kubernetes集群资源管理方法、系统、设备、介质和程序产品的应用场景图。
如图1所示,根据该实施例的应用场景100可以包括租户接入云平台场景。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是为k8s集群服务器,针对用户通过应用服务器发起的租户接入请求进行分拣处理,该k8s集群服务器对发起的用户身份进行验证,为租户分配命名空间,同时为租户创建专属的私有网络资源,作为容器的唯一入口接收外部请求流量,以实现租户间的网络隔离。
需要说明的是,本公开实施例所提供的基于多租户的kubernetes集群资源管理方法一般可以由服务器105执行。相应地,本公开实施例所提供的基于多租户的kubernetes集群资源管理系统一般可以设置于服务器105中。本公开实施例所提供的基于多租户的kubernetes集群资源管理方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的基于多租户的kubernetes集群资源管理系统也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
需要说明的是,本公开实施例确定的基于多租户的kubernetes集群资源管理方法和系统可用于云计算技术领域,也可用于金融技术领域,还可用于除金融领域之外的任意领域,本公开实施例确定的基于多租户的kubernetes集群资源管理方法和系统的应用领域不做限定。
图2示意性示出了根据本公开实施例的kubernetes集群架构图。结合图2对本公开实施例的租户与平台交互流程进行说明,如图2所示,本公开实施例的多租户平台包括三个模块,ManagerConsole、RoleService和ManagerApiService。其中,ManagerConsole作为本平台的前端,用于用户、租户的创建和销户。它本身也可以接收租户的资源请求,让租户可以对自己资源进行增删改除操作。RoleService实现对用户权限数据的管理、证书、资源使用量控制功能。它是平台的主入口,可以接收包括ManagerConsole或者租户客户端的请求。ManagerApiService是对于外流量的主入口。主要实现用户接入、用户请求权限校验、转发功能。对多租户平台本身来说,它实际上也是一个独立的K8S小规模集群,上面装有ManagerApiService和RoleService和一个单独的etcd。这个集群对上由managerapiserver接收来自租户的请求(可以是前台、也可以是租户自己的client),对下将请求解析处理后转发到业务集群。业务集群为一个类似namespace as service的大集群,所有的业务请求和资源都会创建在此集群中。当有新租户接入时,由ManagerConsole对租户所在用户的ID信息进行验证,由用户管理员对新租户所需资源配额进行审批,审批通过后,由Managerapiserver创建必须的集群资源,例如租户专属的命名空间,Roleservice向租户下发专属kubeconfig证书,Managerapiserver给该租户在外部创建专属的VPC(VirtualPrivate Cloud,VPC)虚拟私有云网络资源。来自租户的外部请求,即业务流量通过vpn进行接入,修改K8S、docker的源码将容器暴露的服务端口,映射到租户的vpc上,使得租户容器不对外暴露服务端口。集群内部任何节点都无法访问到其他namespace的容器服务。
以下将基于图1描述的场景和图2的系统架构,通过图3~图7b本公开实施例的基于多租户的kubernetes集群资源管理方法进行详细描述。
图3示意性示出了根据本公开实施例提供的一种基于多租户的kubernetes集群资源管理方法的流程图。如图3所示,该实施例的基于多租户的kubernetes集群资源管理方法包括操作S210~操作S250,该方法可以由服务器或其他计算设备执行。
在操作S210,响应于租户的接入请求,获取租户所属用户的ID信息和资源配额信息。
在操作S220,根据所述ID信息和所述资源配额信息对所述接入请求进行验证。
根据本公开的实施例,根据所述ID信息确定所述用户在所述多租户平台的剩余资源量;若确定所述资源配额信息小于所述剩余资源量,则确定所述接入请求验证通过。
一个示例中,新租户的接入与销户只能通过多租户平台的前台(ManagerConsole)进行。用户的管理员在发起接入请求时,需要在前台提交用户的身份信息、用户在平台需求的资源配额信息,资源配额信息例如可以是cpu总核数目,例如可以是内存总大小,例如可以是本地存储使用总量等等。在销户时,ManagerApiService将调用业务集群kube-apiserver将用户下租户所属的所有资源删除进行资源回收。租户在接入时需要给出前台给出公司的用户ID信息和该租户所需的资源配额,这个资源量不能够超过他所属用户的剩余资源量,因此需要根据ID信息和资源配额信息对本次接入请求进行验证,具体的,根据所述ID信息确定所述用户在所述多租户平台的剩余资源量;若确定所述资源配额信息小于所述剩余资源量,则确定所述接入请求验证通过,若确定所述资源配额信息大于所述剩余资源量,则验证不通过,拒绝本次接入请求。销户时,ManagerApiService将调用业务集群kube-apiserver将该租户所属的所有资源删除。
在操作S230,在所述接入请求验证通过后,根据所述资源配额信息和预先配置的配额策略创建所述租户的ID和命名空间。
在操作S240,向所述租户下发专属证书。
在操作S250,为所述租户创建专属私有网络资源。
根据本公开的实施例,所述证书用于对所述租户资源请求进行权限管理。
根据本公开的实施例,所述专属私有网络资源作为所述租户容器的唯一入口接收外部请求流量。
一个示例中,在验证审批通过后,根据所述资源配额信息和预先配置的配额策略创建所述租户的ID和命名空间。审批可以是由用户的管理员操作,也可以是由自动化程序执行。由Manager api server根据预先配置的配额策略创建必须的集群资源:租户专属的namespace命名空间,该命名空间由该租户所属用户的ID和租户ID组成。Role service给租户下发专属kubeconfig,租户可以使用这个kubeconfig证书在client中对manager apiserve进行访问。Manager api server给每一新接入的租户在外部创建专属的VPC网络资源,即专属私有网络,使得租户的用户(应用的用户)可以通过vpn访问到该租户下部署容器的服务,即专属私有网络资源作为所述租户容器的唯一入口接收外部请求流量,实现将业务流量和管理流量隔离的同时,对租户间进行网络隔离,为达到这一技术效果,还需对租户下容器的服务端口进行映射,具体过程可参见图5~图7b所示的操作。
通过本公开的实施例提供的一种基于多租户的kubernetes集群资源管理方法,通过一个独立的管理面k8s小集群,将业务流量和管理流量隔离开来,在新租户接入多租户平台时,为每一租户创建专属VPC私有网络资源,通过各命名空间独立的VPN网络,将容器的流量完全隔离开来,实现集群各租户的命名空间之间的网络隔离。
图4示意性示出了根据本公开实施例提供的对租户资源请求的权限管理方法的流程图。如图4所示,包括操作S310~操作S330。
在操作S310,响应于租户的资源请求,解析所述资源请求中的证书信息,以验证所述租户的权限。
在操作S320,在验证所述租户的权限后,对资源请求中的资源信息进行校验。
根据本公开的实施例,查询所述租户的剩余资源配额;解析所述资源请求中的资源信息;根据所述剩余资源配额和所述资源请求中的资源信息对所述资源请求进行校验。
在操作S330,若校验通过,将所述资源请求转发至业务集群,以实现对租户资源的增删改查。
一个示例中,为了保证集群的安全运行,在收到租户的资源请求后,需要验证该租户的权限,具体的,解析请求中请求头带的证书内容,调用roleservice,获取到真实的租户ID,匹配请求头中的租户ID和获取到的真实ID匹配,如果不是,取消本次请求。调用roleservice查询该租户的剩余配额。解析请求体中的资源。在本公开实施例中,主要包括两类资源(deployment、crd)
对于deployment:
1)校验资源定义中的配额部分,与roleservice的结果比较,如果资源不足,则拒绝请求。
2)资源充足时,校验资源定义中的namespace字段,是否和集群中所定义的该用户所属namespace一致。
3)不一致则拒绝请求,一致则将请求转发到业务集群,实现对租户资源的增删改查。
对于crd:这里给的定义是,crd的名字必须是用户id+租户id+自定义的CRDid。
4)校验该CRD中的用户id和租户id是否为本租户所属。
5)如果不是,拒绝请求。
6)如果是,允许。如果不是,拒绝请求。
7)校验资源是否充足,流程如2~3。
下面将结合图5~图6介绍业务集群处理租户资源请求以及vpc对接到K8S内部网络的具体过程。
图5示意性示出了根据本公开实施例提供的另一种基于多租户的kubernetes集群资源管理方法,应用于业务集群。图6示意性示出了根据本公开实施例提供的容器vpc的示意图。
如图5所示,包括操作S410和操作S420。
在操作S410,响应于多租户平台转发的租户资源请求,根据所述租户资源请求创建容器实例。
在操作S420,将所述容器的服务端口映射到所述租户的专属私有网络资源上。
一个示例中,当多租户平台对租户发起的资源请求进行校验通过后,将该流量转发至业务集群进行处理,在业务集群接收到多租户平台转发的租户资源请求,根据租户资源请求实现对租户资源的增删改查,例如创建或删除容器实例。为了实现多租户间的隔离,防止集群内部任何其他节点访问到其他命名空间的容器服务,如图6所示,管理面创建租户后,会给租户的专属namespace创建一个独立的vpc资源,该资源可以视为一个网络管理平面,所有走向容器的请求流量都通过vpn进行接入,修改K8S、docker的源码将容器暴露的服务端口,映射到该vpc上。让集群内部任何节点都无法访问到其他namespace的容器服务。当外部请求访问VPC时,会找对应请求路由的映射关系,将流量转发到对应的容器上。也就是说VPC变成了容器的唯一入口。
端口映射的过程可参见图7a的操作S421~操作S423。
图7a示意性示出了根据本公开实施例提供的将所述容器的服务端口映射到所述租户的专属私有网络资源的流程图,图7b示意性示出了根据本公开实施例提供的将所述容器的服务端口映射过程的示意图。
如图7a所示,操作S420包括操作S421~操作S423。
在操作S421,将容器的服务端口转发映射到宿主机的随机端口,并将端口映射信息存储至数据库中。
在操作S422,监听所述数据库中的端口映射信息。
在操作S423,当确定存在新的端口映射信息后,将所述随机端口映射到所述租户的专属私用网络资源的端口上。
一个示例中,如图7b所示,以容器启动后,在容器内部暴露出两个端口8080和9999为例:
在步骤1、2、3:容器启动后的两个端口,由docker调用系统的iptables,在宿主机上通过iptables nat进行转发到宿主机的两个随机端口AAAA和BBBB,其中AAAA和BBBB是完全随机的,端口从30000-56666随机。避免与宿主机本身常用端口冲突。
在步骤4:NodeName【8080:AAAA,9999:BBBB】这一关系上报到kubelet中的容器信息。
在步骤5、6:Kubelet将容器信息发送到master节点的kube-apiserver,透传到etcd中进行存储。
在步骤7、8:RoleService通过集群的watch机制不断的listwatch etcd中的信息。当它发现某台宿主机上的容器实现了一次新的端口映射后,即监听到数据库中的端口映射信息更新后,调用vpc自有的接口。将随机端口重新映射到专属VPC的实际端口上。通过步骤1到8即可实现将容器内部端口映射到应用的专属vpc上。而对于一个应用下多个容器副本(相同的实例)来说,也实现了vpc端口到各个容器端口的负载均衡。因为各个容器副本的内部端口一样,但是在宿主机上的映射是完全随机的。而vpc又能正确的将对外的8080/9999转发到不同容器的内部端口上去。
基于上述基于多租户的kubernetes集群资源管理方法,本公开还提供了一种基于多租户的kubernetes集群资源管理系统。以下将结合图8a对该系统进行详细描述。
图8a示意性示出了根据本公开实施例的一种基于多租户的kubernetes集群资源管理系统的结构框图。
如图8a所示,该实施例的基于多租户的kubernetes集群资源管理系统700包括获取模块710、验证模块720、租户创建模块730、证书管理模块740和私用网络资源创建模块750。
获取模块710用于响应于租户的接入请求,获取租户所属用户的ID信息和资源配额信息。在一实施例中,获取模块710可以用于执行前文描述的操作S210,在此不再赘述。
验证模块720用于根据所述ID信息和所述资源配额信息对所述接入请求进行验证。在一实施例中,验证模块720可以用于执行前文描述的操作S220,在此不再赘述。
租户创建模块730用于在验证模块对所述接入请求验证通过后,根据所述资源配额信息和预先配置的配额策略创建所述租户的ID和命名空间。在一实施例中,租户创建模块730可以用于执行前文描述的操作S230,在此不再赘述。
证书管理模块740用于向所述租户下发专属证书,所述证书用于对所述租户资源请求进行权限管理。在一实施例中,证书管理模块740可以用于执行前文描述的操作S240,在此不再赘述。
私有网络资源创建模块750用于为所述租户创建专属私有网络资源,其中,所述专属私有网络资源作为所述租户容器的唯一入口接收外部请求流量。在一实施例中,私有网络资源创建模块750可以用于执行前文描述的操作S250,在此不再赘述。
根据本公开的实施例,还包括权限管理模块、资源请求校验模块和资源请求转发模块。
权限管理模块,用于响应于租户的资源请求,解析所述资源请求中的证书信息,以验证所述租户的权限。在一实施例中,权限管理模块可以用于执行前文描述的操作S310,在此不再赘述。
资源请求校验模块用于在验证所述租户的权限后,对资源请求中的资源信息进行校验;在一实施例中,资源请求校验模块可以用于执行前文描述的操作S320,在此不再赘述。
资源请求转发模块用于在资源校验完成后,将所述资源请求转发至业务集群,以实现对租户资源的增删改查。在一实施例中,资源请求转发模块可以用于执行前文描述的操作S330,在此不再赘述。
根据本公开的实施例,资源请求校验模块包括:查询子模块、解析子模块和校验子模块。
查询子模块,用于查询所述租户的剩余资源配额。在一实施例中,查询子模块模块可以用于执行前文描述的操作S320,在此不再赘述。
解析子模块,用于解析所述资源请求中的资源信息。在一实施例中,解析子模块可以用于执行前文描述的操作S320,在此不再赘述。
校验子模块,用于根据所述剩余资源配额和所述资源请求中的资源信息对所述资源请求进行校验。在一实施例中,校验子模块可以用于执行前文描述的操作S320,在此不再赘述。
根据本公开的实施例,验证模块包括:第一确定子模块和第二确定子模块。
第一确定子模块,用于根据所述ID信息确定所述用户在所述多租户平台的剩余资源量。在一实施例中,第一确定子模块可以用于执行前文描述的操作S220,在此不再赘述。
第二确定子模块,用于若确定所述资源配额信息小于所述剩余资源量,则确定所述接入请求验证通过。在一实施例中,第二确定子模块可以用于执行前文描述的操作S220,在此不再赘述。
根据本公开的实施例,获取模块710、验证模块720、租户创建模块730、证书管理模块740和私用网络资源创建模块750中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,获取模块710、验证模块720、租户创建模块730、证书管理模块740和私用网络资源创建模块750中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,获取模块710、验证模块720、租户创建模块730、证书管理模块740和私用网络资源创建模块750中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图8b示意性示出了根据本公开实施例的一种基于多租户的kubernetes集群资源管理装置的结构框图。
如图8b所示,该实施例的基于多租户的kubernetes集群资源管理装置800包括容器创建模块810和端口映射模块820。
容器创建模块810用于响应于多租户平台转发的租户资源请求,根据所述租户资源请求创建容器实例。在一实施例中,容器创建模块810可以用于执行前文描述的操作S410,在此不再赘述。
端口映射模块820用于将所述容器的服务端口映射到所述租户的专属私有网络资源上。在一实施例中,端口映射模块820可以用于执行前文描述的操作S420,在此不再赘述。
根据本公开的实施例,端口映射模块包括:随机映射子模块、监听子模块和关联子模块。
随机映射子模块,用于将容器的服务端口转发映射到宿主机的随机端口,并将端口映射信息存储至数据库中。在一实施例中,随机映射子模块可以用于执行前文描述的操作S421,在此不再赘述。
监听子模块用于监听所述数据库中的端口映射信息。在一实施例中,监听子模块可以用于执行前文描述的操作S422,在此不再赘述。
关联子模块用于当确定存在新的端口映射信息后,将所述随机端口映射到所述租户的专属私用网络资源的端口上。在一实施例中,关联子模块可以用于执行前文描述的操作S423,在此不再赘述。
根据本公开的实施例,容器创建模块810和端口映射模块820中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,容器创建模块810和端口映射模块820中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,容器创建模块810和端口映射模块820中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图9示意性示出了根据本公开实施例的适于实现基于多租户的kubernetes集群资源管理方法的电子设备的方框图。
如图9所示,根据本公开实施例的电子设备900包括处理器901,其可以根据存储在只读存储器(ROM)902中的程序或者从存储部分908加载到随机访问存储器(RAM)903中的程序而执行各种适当的动作和处理。处理器901例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器901还可以包括用于缓存用途的板载存储器。处理器901可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 903中,存储有电子设备900操作所需的各种程序和数据。处理器901、ROM902以及RAM 903通过总线904彼此相连。处理器901通过执行ROM 902和/或RAM 903中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 902和RAM 903以外的一个或多个存储器中。处理器901也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备900还可以包括输入/输出(I/O)接口905,输入/输出(I/O)接口905也连接至总线904。电子设备900还可以包括连接至I/O接口905的以下部件中的一项或多项:包括键盘、鼠标等的输入部分906;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分907;包括硬盘等的存储部分908;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至I/O接口905。可拆卸介质911,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器910上,以便于从其上读出的计算机程序根据需要被安装入存储部分908。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的基于多租户的kubernetes集群资源管理方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 902和/或RAM 903和/或ROM 902和RAM 903以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本公开实施例所提供的基于多租户的kubernetes集群资源管理方法。
在该计算机程序被处理器901执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分909被下载和安装,和/或从可拆卸介质911被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分909从网络上被下载和安装,和/或从可拆卸介质911被安装。在该计算机程序被处理器901执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。

Claims (12)

1.一种基于多租户的kubernetes集群资源管理方法,应用于多租户平台,所述kubernetes集群包括所述多租户平台和业务集群,其特征在于,所述方法包括:
响应于租户的接入请求,获取租户所属用户的ID信息和资源配额信息;
根据所述ID信息和所述资源配额信息对所述接入请求进行验证;
在所述接入请求验证通过后,根据所述资源配额信息和预先配置的配额策略创建所述租户的ID和命名空间;
向所述租户下发专属证书,所述证书用于对所述租户资源请求进行权限管理;以及
为所述租户创建专属私有网络资源,其中,所述专属私有网络资源作为所述租户容器的唯一入口接收外部请求流量。
2.根据权利要求1所述的方法,其特征在于,还包括:
响应于租户的资源请求,解析所述资源请求中的证书信息,以验证所述租户的权限;
在验证所述租户的权限后,对资源请求中的资源信息进行校验;以及
若校验通过,将所述资源请求转发至业务集群,以实现对租户资源的增删改查。
3.根据权利要求2所述的方法,其特征在于,所述对资源请求中的资源信息进行校验包括:
查询所述租户的剩余资源配额;
解析所述资源请求中的资源信息;
根据所述剩余资源配额和所述资源请求中的资源信息对所述资源请求进行校验。
4.根据权利要求1所述的方法,其特征在于,所述根据所述ID信息和所述资源配额信息对所述接入请求进行验证包括:
根据所述ID信息确定所述用户在所述多租户平台的剩余资源量;
若确定所述资源配额信息小于所述剩余资源量,则确定所述接入请求验证通过。
5.一种基于多租户的kubernetes集群资源管理方法,应用于业务集群,所述kubernetes集群包括多租户平台和业务集群,其特征在于,所述方法包括:
响应于多租户平台转发的租户资源请求,根据所述租户资源请求创建容器实例;以及
将所述容器的服务端口映射到所述租户的专属私有网络资源上。
6.根据权利要求5所述的方法,其特征在于,所述将所述容器的服务端口映射到所述租户的专属私有网络资源上包括:
将容器的服务端口转发映射到宿主机的随机端口,并将端口映射信息存储至数据库中;
监听所述数据库中的端口映射信息;
当确定存在新的端口映射信息后,将所述随机端口映射到所述租户的专属私用网络资源的端口上。
7.一种基于多租户的kubernetes集群资源管理系统,设置于多租户平台,所述kubernetes集群包括所述多租户平台和业务集群,其特征在于,所述系统包括:
获取模块,用于响应于租户的接入请求,获取租户所属用户的ID信息和资源配额信息;
验证模块,用于根据所述ID信息和所述资源配额信息对所述接入请求进行验证;
租户创建模块,用于在验证模块对所述接入请求验证通过后,根据所述资源配额信息和预先配置的配额策略创建所述租户的ID和命名空间;
证书管理模块,用于向所述租户下发专属证书,所述证书用于对所述租户资源请求进行权限管理;
私有网络资源创建模块,用于为所述租户创建专属私有网络资源,其中,所述专属私有网络资源作为所述租户容器的唯一入口接收外部请求流量。
8.根据权利要求7所述的系统,其特征在于,所述系统还包括:
权限管理模块,用于响应于租户的资源请求,解析所述资源请求中的证书信息,以验证所述租户的权限;
资源请求校验模块,用于在验证所述租户的权限后,对资源请求中的资源信息进行校验;
资源请求转发模块,用于在资源校验完成后,将所述资源请求转发至业务集群,以实现对租户资源的增删改查。
9.一种基于多租户的kubernetes集群资源管理装置,设置于业务集群,所述kubernetes集群包括多租户平台和业务集群,其特征在于,所述装置包括:
容器创建模块,用于响应于多租户平台转发的租户资源请求,根据所述租户资源请求创建容器实例;以及
端口映射模块,用于将所述容器的服务端口映射到所述租户的专属私有网络资源上。
10.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~6中任一项所述的基于多租户的kubernetes集群资源管理方法。
11.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~6中任一项所述的基于多租户的kubernetes集群资源管理方法。
12.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~6中任一项所述的基于多租户的kubernetes集群资源管理方法。
CN202211462603.4A 2022-11-21 2022-11-21 基于多租户的kubernetes集群资源管理方法及系统 Pending CN116488836A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211462603.4A CN116488836A (zh) 2022-11-21 2022-11-21 基于多租户的kubernetes集群资源管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211462603.4A CN116488836A (zh) 2022-11-21 2022-11-21 基于多租户的kubernetes集群资源管理方法及系统

Publications (1)

Publication Number Publication Date
CN116488836A true CN116488836A (zh) 2023-07-25

Family

ID=87221996

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211462603.4A Pending CN116488836A (zh) 2022-11-21 2022-11-21 基于多租户的kubernetes集群资源管理方法及系统

Country Status (1)

Country Link
CN (1) CN116488836A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116755842A (zh) * 2023-08-15 2023-09-15 中移(苏州)软件技术有限公司 身份验证系统部署方法、装置、设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116755842A (zh) * 2023-08-15 2023-09-15 中移(苏州)软件技术有限公司 身份验证系统部署方法、装置、设备及存储介质
CN116755842B (zh) * 2023-08-15 2023-10-31 中移(苏州)软件技术有限公司 身份验证系统部署方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN111488595B (zh) 用于实现权限控制的方法及相关设备
US20140157363A1 (en) Methods and systems for secure storage segmentation based on security context in a virtual environment
US10762193B2 (en) Dynamically generating and injecting trusted root certificates
US20210185093A1 (en) Fine grained network security
US10356155B2 (en) Service onboarding
US11546271B2 (en) System and method for tag based request context in a cloud infrastructure environment
US11470068B2 (en) System and methods for securely storing data for efficient access by cloud-based computing instances
US11341192B2 (en) Cross platform collaborative document management system
US9513943B2 (en) Scalable policy assignment in an edge virtual bridging (EVB) environment
US20230396590A1 (en) Techniques for bootstrapping across secure air gaps with proxying sidecar
CN113392415A (zh) 数据仓库的访问控制方法、系统和电子设备
US20190073455A1 (en) Managing the display of hidden proprietary software code to authorized licensed users
US10104163B1 (en) Secure transfer of virtualized resources between entities
TW202301118A (zh) 動態微服務分配機制
US20230393858A1 (en) Techniques for bootstrapping across secure air gaps with static sidecar
US10594703B2 (en) Taint mechanism for messaging system
CN114942826A (zh) 跨网络多集群系统及其访问方法及云计算设备
US12032662B2 (en) Programmable model-driven license management and enforcement in a multi-tenant system
CN116488836A (zh) 基于多租户的kubernetes集群资源管理方法及系统
US20210051154A1 (en) Enforcing label-based rules on a per-user basis in a distributed network management system
US11870791B2 (en) Policy-controlled token authorization
US20230393859A1 (en) Techniques for bootstrapping across secure air gaps with edge device cluster
US20220114023A1 (en) Infrastructure as code deployment mechanism
US20230224304A1 (en) Resource access control in cloud environments
US20230101973A1 (en) Protecting instances of resources of a container orchestration platform from unintentional deletion

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination