CN116910746A - 租户隔离与租户配额管理的方法、系统、设备和存储介质 - Google Patents
租户隔离与租户配额管理的方法、系统、设备和存储介质 Download PDFInfo
- Publication number
- CN116910746A CN116910746A CN202310900716.6A CN202310900716A CN116910746A CN 116910746 A CN116910746 A CN 116910746A CN 202310900716 A CN202310900716 A CN 202310900716A CN 116910746 A CN116910746 A CN 116910746A
- Authority
- CN
- China
- Prior art keywords
- tenant
- user
- object user
- data
- isolation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 40
- 238000007726 management method Methods 0.000 title description 47
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000013507 mapping Methods 0.000 claims abstract description 31
- 230000004044 response Effects 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 11
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 241001362551 Samba Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Human Computer Interaction (AREA)
- Data Mining & Analysis (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种租户隔离与租户配额管理的方法、系统、设备和存储介质,方法包括:响应于接收到对象用户访问资源的请求,从存储池中获取所述对象用户关联的Linux本地用户以及所述对象用户所属的租户;通过所述关联的Linux本地用户确定所述对象用户是否有访问对应资源的权限;响应于所述对象用户有访问对应资源的权限,在权限范围内对所述对应资源进行访问,否则拒绝所述对象用户的所述请求;以及将所述租户映射为底层文件系统根目录的下一级子目录以通过系统命令获取租户的使用容量信息。本发明实现多协议互通场景下租户层级的数据隔离,通过目录配额的方式管理租户配额和使用容量统计。
Description
技术领域
本发明涉及分布式存储领域,更具体地,特别是指一种租户隔离与租户配额管理的方法、系统、设备和存储介质。
背景技术
一份数据在一个业务场景下被多次利用,如果协议不能互通,就需要多次复制数据来兼容不同协议。多协议互通指不需要进行格式转化,就能让通过对象方式存储到服务器中的数据,通过文件方式来访问;或者通过文件方式存储到服务器中的数据,通过对象方式来访问。存取数据之间不需要经过格式转化,能够有效避免语义的缺失和性能的损失。多协议互通,属于分布式存储的一种,以文件系统为底座,上层支持单独的文件协议,同时支持S3/Swift协议到NAS协议的转换。现有技术中还未有多协议互通场景下租户隔离与租户配额管理方法。
发明内容
有鉴于此,本发明实施例的目的在于提出一种租户隔离与租户配额管理的方法、系统、电子设备及计算机可读存储介质,本发明实现多协议互通场景下租户层级的数据隔离,同时将租户映射为根目录下的一级子目录,可以通过目录配额的方式管理租户配额和使用容量统计,通过在多个租户之间的资源复用,运营管理维护资源,有效节省开发应用的成本。
基于上述目的,本发明实施例的一方面提供了一种租户隔离与租户配额管理的方法,包括如下步骤:响应于接收到对象用户访问资源的请求,从存储池中获取所述对象用户关联的Linux本地用户以及所述对象用户所属的租户;通过所述关联的Linux本地用户确定所述对象用户是否有访问对应资源的权限;响应于所述对象用户有访问对应资源的权限,在权限范围内对所述对应资源进行访问,否则拒绝所述对象用户的所述请求;以及将所述租户映射为底层文件系统根目录的下一级子目录以通过系统命令获取租户的使用容量信息。
在一些实施方式中,所述方法还包括:响应于对象用户创建,建立对象用户和Linux本地用户的映射关系。
在一些实施方式中,所述建立对象用户和Linux本地用户的映射关系的步骤包括:在对象用户信息中记录一条Linux本地用户的用户标识符,并将所述用户标识符指向Linux本地用户。
在一些实施方式中,所述方法还包括:响应于对象用户创建,将所述对象用户归属的租户保存为对象用户信息中的一条属性信息。
在一些实施方式中,所述将所述租户映射为底层文件系统根目录的下一级子目录以通过系统命令获取租户的使用容量信息的步骤包括:将租户配额保存为租户文件夹的元数据信息,响应于租户文件夹中的文件数量超过配额,禁止访问所述租户文件夹。
在一些实施方式中,所述方法还包括:对象协议上传的数据通过业务网关调用文件接口存储数据和元数据,在文件协议进行数据的读取时调用文件接口获取。
在一些实施方式中,所述方法还包括:文件协议写入的数据使用对象协议下载时,通过业务网关调用文件接口获取数据和元数据,并按照对象协议格式返回给客户端。
本发明实施例的另一方面,提供了一种租户隔离与租户配额管理的系统,包括:请求模块,用于响应于接收到对象用户访问资源的请求,从存储池中获取所述对象用户关联的Linux本地用户以及所述对象用户所属的租户;权限模块,用于通过所述关联的Linux本地用户确定所述对象用户是否有访问对应资源的权限;访问模块,用于响应于所述对象用户有访问对应资源的权限,在权限范围内对所述对应资源进行访问,否则拒绝所述对象用户的所述请求;以及管理模块,用于将所述租户映射为底层文件系统根目录的下一级子目录以通过系统命令获取租户的使用容量信息。
本发明实施例的又一方面,还提供了一种电子设备,包括:至少一个处理器;以及存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现如上方法的步骤。
本发明实施例的再一方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有被处理器执行时实现如上方法步骤的计算机程序。
本发明具有以下有益技术效果:实现多协议互通场景下租户层级的数据隔离,同时将租户映射为根目录下的一级子目录,可以通过目录配额的方式管理租户配额和使用容量统计,通过在多个租户之间的资源复用,运营管理维护资源,有效节省开发应用的成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明提供的租户隔离与租户配额管理的方法的实施例的示意图;
图2为本发明提供的对象用户信息示意图;
图3为本发明提供的租户、Linux本地用户关系图;
图4为本发明提供的租户、桶、文件在整个存储系统的层次结构示意图;
图5为本发明提供的租户隔离与租户配额管理的系统的实施例的示意图;
图6为本发明提供的租户隔离与租户配额管理的电子设备的实施例的硬件结构示意图;
图7为本发明提供的租户隔离与租户配额管理的计算机存储介质的实施例的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
本发明实施例的第一个方面,提出了一种租户隔离与租户配额管理的方法的实施例。图1示出的是本发明提供的租户隔离与租户配额管理的方法的实施例的示意图。如图1所示,本发明实施例包括如下步骤:
S1、响应于接收到对象用户访问资源的请求,从存储池中获取所述对象用户关联的Linux本地用户以及所述对象用户所属的租户;
S2、通过所述关联的Linux本地用户确定所述对象用户是否有访问对应资源的权限;
S3、响应于所述对象用户有访问对应资源的权限,在权限范围内对所述对应资源进行访问,否则拒绝所述对象用户的所述请求;以及
S4、将所述租户映射为底层文件系统根目录的下一级子目录以通过系统命令获取租户的使用容量信息。
分布式存储系统,是将数据分散存储在多台独立的设备上。传统的网络存储系统采用集中的存储服务器存放所有数据,存储服务器成为系统性能的瓶颈,也是可靠性和安全性的焦点,不能满足大规模存储应用的需要。分布式网络存储系统采用可扩展的系统结构,利用多台存储服务器分担存储负荷,利用位置服务器定位存储信息,它不但提高了系统的可靠性、可用性和存取效率,还易于扩展。一般采用NFS或CIFS命令集访问数据,以NAS为传输协议,通过TCP/IP实现网络化存储,可扩展性好、价格便宜、用户易管理,兼容传统数据库。NAS协议,指代以文件为单位的通信协议。NAS上文件共享的协议通常有Samba、nfs、ftp协议。这些文件管理协议,都包含了文件的列表、添加、删除、属性获取(文件大小、创建时间、修改时间等)等管理操作。
对象存储是最简单的分布式存储系统,主要由数据节点集群、元数据集群和网关集群(或者客户端)三部分构成。数据节点集群负责保存对象数据,元数据集群负责保存集群的元数据,网关集群和客户端对外提供简单的访问API,对内访问元数据和数据节点读写数据。一般采用S3协议访问数据,底层数据扁平化管理。面向存储海量非结构化数据,如图片、视频等非结构化数据的存储。S3协议是公认的对象存储行业标准协议,S3提供了指定存储段和对象的所有者和权限的能力,就像对待硬件的文件和文件夹一样。在S3中定义对象或存储段时,可以指定一个访问控制策略,注明可以访问S3资产以及如何访问(例如,读和写权限)。相应地,可以通过许多方式提供对对象的访问,如RESTful API。
多租户技术可以实现多个租户之间共享系统实例,同时又可以实现租户的系统实例的个性化定制。通过使用多租户技术可以保证系统共性的部分被共享,个性的部分被单独隔离。通过在多个租户之间的资源复用,运营管理维护资源,有效节省开发应用的成本。
响应于接收到对象用户访问资源的请求,从存储池中获取所述对象用户关联的Linux本地用户以及所述对象用户所属的租户。
在一些实施方式中,所述方法还包括:响应于对象用户创建,建立对象用户和Linux本地用户的映射关系。对象用户创建时,以rados对象的形式将用户信息保存到元数据池中,记录了包含用户名、用户id、公钥、私钥、邮箱、租户等在内的用户信息。通过映射实现对象用户和Linux本地用户的统一管理。
在一些实施方式中,所述建立对象用户和Linux本地用户的映射关系的步骤包括:在对象用户信息中记录一条Linux本地用户的用户标识符,并将所述用户标识符指向Linux本地用户。
对象用户和Linux本地用户的映射规则与保存方式如下:多个对象用户可以对应一个Linux本地用户,多对一的关系;映射关系保存在对象用户中,即在对象用户信息中额外记录一条Linux本地用户的uid,指向一个Linux本地用户,图2为本发明提供的对象用户信息示意图;映射关系可以改变,不可删除。
在一些实施方式中,所述方法还包括:响应于对象用户创建,将所述对象用户归属的租户保存为对象用户信息中的一条属性信息。多协议互通场景下,对象用户归属于租户,若创建用户时不指定租户,则自动为用户指定一个默认租户。租户保存为对象用户上的一条属性信息,参考图2。租户与用户、Linux本地用户关系参考图3。
通过所述关联的Linux本地用户确定所述对象用户是否有访问对应资源的权限。响应于所述对象用户有访问对应资源的权限,在权限范围内对所述对应资源进行访问,否则拒绝所述对象用户的所述请求。
通过对象用户访问资源时,首先从存储池中取出用户信息,拿到用户所属租户以及关联的Linux本地用户。租户与请求中携带的桶名、文件名拼接,组成资源的绝对路径;关联的Linux本地用户信息用于鉴权,判断该S3用户是否有权限访问该资源。通过以上设计,可以实现融合场景下租户级别的资源隔离。不同租户下可以创建用户id相同的用户,不同租户下可以创建桶名相同的桶。
按照以上设计,租户实体化为根目录下一级子目录,因此可以通过系统命令获取租户下使用容量信息。1.目录下文件数量:find./log-maxdepth 20-type f|wc-l;2.目录空间占用:du-ch./log|tail-n 1。租户配额保存为租户文件夹的元数据信息,当上传文件导致租户下文件数量超过配额时,禁止访问。
将所述租户映射为底层文件系统根目录的下一级子目录以通过系统命令获取租户的使用容量信息。
在一些实施方式中,所述将所述租户映射为底层文件系统根目录的下一级子目录以通过系统命令获取租户的使用容量信息的步骤包括:将租户配额保存为租户文件夹的元数据信息,响应于租户文件夹中的文件数量超过配额,禁止访问所述租户文件夹。多协议互通场景下,将租户实例化为底层文件系统中根目录下一级子目录。默认租户不支持手动创建和删除,会在系统初始化时创建默认租户这一层级目录。
桶是归属于租户的,不同的租户可以创建同名的桶,同一租户下的桶名不能相同。租户、桶、文件在整个存储系统的层次结构参考图4。
多协议互通场景下,对象协议和文件协议,同一个文件的数据和元数据在服务器上保存为同一份。
在一些实施方式中,所述方法还包括:对象协议上传的数据通过业务网关调用文件接口存储数据和元数据,在文件协议进行数据的读取时调用文件接口获取。多协议互通场景下,通过对象协议上传的数据,通过业务网关调用文件接口按照文件系统的方式存储数据和元数据,在文件协议进行数据的读取时直接调用文件接口获取。
在一些实施方式中,所述方法还包括:文件协议写入的数据使用对象协议下载时,通过业务网关调用文件接口获取数据和元数据,并按照对象协议格式返回给客户端。多协议互通场景下,通过文件协议写入的数据,使用对象协议下载时,通过业务网关调用文件接口获取数据和元数据,然后按照对象协议格式返回给客户端。
本发明实施例通过对象用户访问资源时,首先从存储池中取出用户信息,拿到用户所属租户以及关联的Linux本地用户。租户与请求中携带的桶名、文件名拼接,组成资源的绝对路径;关联的Linux本地用户信息用于鉴权,判断该S3用户是否有权限访问该资源。通过以上设计,可以实现融合场景下租户级别的资源隔离。
本发明实施例的目的是在多协议互通场景下,提供基于租户粒度的统一资源管理,以租户为单位分配和管理资源。同时支持租户配额管理,包括租户配额设置、告警以及显示租户下使用容量与对象个数。本发明实施例实现多协议互通场景下租户层级的数据隔离。同时将租户映射为根目录下的一级子目录,可以通过目录配额的方式管理租户配额和使用容量统计。通过在多个租户之间的资源复用,运营管理维护资源,有效节省开发应用的成本。
需要特别指出的是,上述租户隔离与租户配额管理的方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于租户隔离与租户配额管理的方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在实施例之上。
基于上述目的,本发明实施例的第二个方面,提出了一种租户隔离与租户配额管理的系统。如图5所示,系统200包括如下模块:请求模块,用于响应于接收到对象用户访问资源的请求,从存储池中获取所述对象用户关联的Linux本地用户以及所述对象用户所属的租户;权限模块,用于通过所述关联的Linux本地用户确定所述对象用户是否有访问对应资源的权限;访问模块,用于响应于所述对象用户有访问对应资源的权限,在权限范围内对所述对应资源进行访问,否则拒绝所述对象用户的所述请求;以及管理模块,用于将所述租户映射为底层文件系统根目录的下一级子目录以通过系统命令获取租户的使用容量信息。
在一些实施方式中,所述系统还包括映射模块,所述映射模块用于:响应于对象用户创建,建立对象用户和Linux本地用户的映射关系。
在一些实施方式中,所述映射模块还用于:在对象用户信息中记录一条Linux本地用户的用户标识符,并将所述用户标识符指向Linux本地用户。
在一些实施方式中,所述系统还包括属性模块,所述属性模块用于:响应于对象用户创建,将所述对象用户归属的租户保存为对象用户信息中的一条属性信息。
在一些实施方式中,所述管理模块还用于:将租户配额保存为租户文件夹的元数据信息,响应于租户文件夹中的文件数量超过配额,禁止访问所述租户文件夹。
在一些实施方式中,所述系统还包括对象模块,所述对象模块用于:对象协议上传的数据通过业务网关调用文件接口存储数据和元数据,在文件协议进行数据的读取时调用文件接口获取。
在一些实施方式中,所述系统还包括文件模块,所述文件模块用于:文件协议写入的数据使用对象协议下载时,通过业务网关调用文件接口获取数据和元数据,并按照对象协议格式返回给客户端。
本发明实施例的目的是在多协议互通场景下,提供基于租户粒度的统一资源管理,以租户为单位分配和管理资源。同时支持租户配额管理,包括租户配额设置、告警以及显示租户下使用容量与对象个数。本发明实施例实现多协议互通场景下租户层级的数据隔离。同时将租户映射为根目录下的一级子目录,可以通过目录配额的方式管理租户配额和使用容量统计。通过在多个租户之间的资源复用,运营管理维护资源,有效节省开发应用的成本。
基于上述目的,本发明实施例的第三个方面,提出了一种电子设备,包括:至少一个处理器;以及存储器,存储器存储有可在处理器上运行的计算机指令,指令由处理器执行以实现如下步骤:S1、响应于接收到对象用户访问资源的请求,从存储池中获取所述对象用户关联的Linux本地用户以及所述对象用户所属的租户;S2、通过所述关联的Linux本地用户确定所述对象用户是否有访问对应资源的权限;S3、响应于所述对象用户有访问对应资源的权限,在权限范围内对所述对应资源进行访问,否则拒绝所述对象用户的所述请求;以及S4、将所述租户映射为底层文件系统根目录的下一级子目录以通过系统命令获取租户的使用容量信息。
在一些实施方式中,所述步骤还包括:响应于对象用户创建,建立对象用户和Linux本地用户的映射关系。
在一些实施方式中,所述建立对象用户和Linux本地用户的映射关系的步骤包括:在对象用户信息中记录一条Linux本地用户的用户标识符,并将所述用户标识符指向Linux本地用户。
在一些实施方式中,所述步骤还包括:响应于对象用户创建,将所述对象用户归属的租户保存为对象用户信息中的一条属性信息。
在一些实施方式中,所述将所述租户映射为底层文件系统根目录的下一级子目录以通过系统命令获取租户的使用容量信息的步骤包括:将租户配额保存为租户文件夹的元数据信息,响应于租户文件夹中的文件数量超过配额,禁止访问所述租户文件夹。
在一些实施方式中,所述步骤还包括:对象协议上传的数据通过业务网关调用文件接口存储数据和元数据,在文件协议进行数据的读取时调用文件接口获取。
在一些实施方式中,所述步骤还包括:文件协议写入的数据使用对象协议下载时,通过业务网关调用文件接口获取数据和元数据,并按照对象协议格式返回给客户端。
本发明实施例的目的是在多协议互通场景下,提供基于租户粒度的统一资源管理,以租户为单位分配和管理资源。同时支持租户配额管理,包括租户配额设置、告警以及显示租户下使用容量与对象个数。本发明实施例实现多协议互通场景下租户层级的数据隔离。同时将租户映射为根目录下的一级子目录,可以通过目录配额的方式管理租户配额和使用容量统计。通过在多个租户之间的资源复用,运营管理维护资源,有效节省开发应用的成本。
如图6所示,为本发明提供的上述租户隔离与租户配额管理的电子设备的一个实施例的硬件结构示意图。
以如图6所示的装置为例,在该装置中包括一个处理器301以及一个存储器302。
处理器301和存储器302可以通过总线或者其他方式连接,图6中以通过总线连接为例。
存储器302作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的租户隔离与租户配额管理的方法对应的程序指令/模块。处理器301通过运行存储在存储器302中的非易失性软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现租户隔离与租户配额管理的方法。
存储器302可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据租户隔离与租户配额管理的方法的使用所创建的数据等。此外,存储器302可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器302可选包括相对于处理器301远程设置的存储器,这些远程存储器可以通过网络连接至本地模块。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个租户隔离与租户配额管理的方法对应的计算机指令303存储在存储器302中,当被处理器301执行时,执行上述任意方法实施例中的租户隔离与租户配额管理的方法。
执行上述租户隔离与租户配额管理的方法的电子设备的任何一个实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
本发明还提供了一种计算机可读存储介质,计算机可读存储介质存储有被处理器执行时执行租户隔离与租户配额管理的方法的计算机程序。
如图7所示,为本发明提供的上述租户隔离与租户配额管理的计算机存储介质的一个实施例的示意图。以如图7所示的计算机存储介质为例,计算机可读存储介质401存储有被处理器执行时执行如上方法的计算机程序402。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,租户隔离与租户配额管理的方法的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,程序的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种租户隔离与租户配额管理的方法,其特征在于,包括如下步骤:
响应于对象用户创建,建立对象用户和Linux本地用户的映射关系;
响应于接收到对象用户访问资源的请求,从存储池中获取所述对象用户关联的Linux本地用户以及所述对象用户所属的租户;
通过所述关联的Linux本地用户确定所述对象用户是否有访问对应资源的权限;
响应于所述对象用户有访问对应资源的权限,在权限范围内对所述对应资源进行访问,否则拒绝所述对象用户的所述请求;以及
将所述租户映射为底层文件系统根目录的下一级子目录以通过系统命令获取租户的使用容量信息。
2.根据权利要求1所述的租户隔离与租户配额管理的方法,其特征在于,所述响应于对象用户创建,建立对象用户和Linux本地用户的映射关系的步骤包括:
响应于对象用户创建,以rados对象的形式将用户信息保存到元数据池中,记录了包含用户名、用户id、公钥、私钥、邮箱、租户在内的用户信息。
3.根据权利要求1所述的租户隔离与租户配额管理的方法,其特征在于,所述方法还包括:
响应于对象用户创建,将所述对象用户归属的租户保存为对象用户信息中的一条属性信息。
4.根据权利要求1所述的租户隔离与租户配额管理的方法,其特征在于,所述将所述租户映射为底层文件系统根目录的下一级子目录以通过系统命令获取租户的使用容量信息的步骤包括:
将租户配额保存为租户文件夹的元数据信息,响应于租户文件夹中的文件数量超过配额,禁止访问所述租户文件夹。
5.根据权利要求1所述的租户隔离与租户配额管理的方法,其特征在于,所述将所述租户映射为底层文件系统根目录的下一级子目录以通过系统命令获取租户的使用容量信息的步骤包括:
通过系统命令获取租户对应目录下文件数量和目录空间占用。
6.根据权利要求1所述的租户隔离与租户配额管理的方法,其特征在于,所述方法还包括:
对象协议上传的数据通过业务网关调用文件接口存储数据和元数据,在文件协议进行数据的读取时调用文件接口获取。
7.根据权利要求1所述的租户隔离与租户配额管理的方法,其特征在于,所述方法还包括:
文件协议写入的数据使用对象协议下载时,通过业务网关调用文件接口获取数据和元数据,并按照对象协议格式返回给客户端。
8.一种租户隔离与租户配额管理的系统,其特征在于,包括:
映射模块,用于响应于对象用户创建,建立对象用户和Linux本地用户的映射关系;
请求模块,用于响应于接收到对象用户访问资源的请求,从存储池中获取所述对象用户关联的Linux本地用户以及所述对象用户所属的租户;
权限模块,用于通过所述关联的Linux本地用户确定所述对象用户是否有访问对应资源的权限;
访问模块,用于响应于所述对象用户有访问对应资源的权限,在权限范围内对所述对应资源进行访问,否则拒绝所述对象用户的所述请求;以及
管理模块,用于将所述租户映射为底层文件系统根目录的下一级子目录以通过系统命令获取租户的使用容量信息。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现权利要求1-7任意一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任意一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310900716.6A CN116910746A (zh) | 2023-07-21 | 2023-07-21 | 租户隔离与租户配额管理的方法、系统、设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310900716.6A CN116910746A (zh) | 2023-07-21 | 2023-07-21 | 租户隔离与租户配额管理的方法、系统、设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116910746A true CN116910746A (zh) | 2023-10-20 |
Family
ID=88350748
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310900716.6A Pending CN116910746A (zh) | 2023-07-21 | 2023-07-21 | 租户隔离与租户配额管理的方法、系统、设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116910746A (zh) |
-
2023
- 2023-07-21 CN CN202310900716.6A patent/CN116910746A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11768810B2 (en) | Flexible permission management framework for cloud attached file systems | |
US11216418B2 (en) | Method for seamless access to a cloud storage system by an endpoint device using metadata | |
CN103116618B (zh) | 基于客户端持久缓存的远程文件系统镜像方法及系统 | |
CN103237046B (zh) | 支持混合云存储应用的分布式文件系统及实现方法 | |
CN109936571A (zh) | 一种海量数据共享方法、开放共享平台及电子设备 | |
CN103037008B (zh) | 一种同步网盘的权限管理方法及系统 | |
WO2017174013A1 (zh) | 数据存储管理方法、装置及数据存储系统 | |
CN113923213B (zh) | 目录级服务质量控制方法、系统及接入节点 | |
JP7355964B2 (ja) | 外部ロケーションの同期 | |
CN114466083B (zh) | 支持协议互通的数据存储系统 | |
US20180203636A1 (en) | Likelihood of access based object storage in a cloud environment | |
CN107566405B (zh) | 一种快速访问和拷贝的存储资源池化方法 | |
CN106790027B (zh) | Hdfs文件系统的多租户网盘权限管理方法及系统 | |
CN111552671B (zh) | 文件目录的权限设置方法、装置、设备及存储介质 | |
CN116644453A (zh) | 一种文档系统的权限管理方法、装置及设备 | |
WO2023040504A1 (zh) | 数据处理系统、数据处理方法及相关装置 | |
US11809381B2 (en) | Accessing network based content items by a mobile device while offline | |
CN116910746A (zh) | 租户隔离与租户配额管理的方法、系统、设备和存储介质 | |
CN110825838A (zh) | 一种对象存储聚合系统及其聚合方法 | |
US9122688B1 (en) | Naming scheme for different computer systems | |
US11907558B2 (en) | Policy based stub file and cloud object retention | |
CN116909992B (zh) | 一种通过ntfs符号链接实现系统与对象存储通信的方法 | |
JP7355959B2 (ja) | 外部ロケーションの同期 | |
US11860855B1 (en) | Storage service supporting data transformations | |
CN116541365B (zh) | 文件存储方法、装置、存储介质及客户端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |