CN117688582A - 面向Kubernetes集群的多租户资源配置方法和多租户管理方法 - Google Patents
面向Kubernetes集群的多租户资源配置方法和多租户管理方法 Download PDFInfo
- Publication number
- CN117688582A CN117688582A CN202311629618.XA CN202311629618A CN117688582A CN 117688582 A CN117688582 A CN 117688582A CN 202311629618 A CN202311629618 A CN 202311629618A CN 117688582 A CN117688582 A CN 117688582A
- Authority
- CN
- China
- Prior art keywords
- tenant
- resource
- kubernetes cluster
- crd
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 64
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000013468 resource allocation Methods 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 6
- 238000002955 isolation Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 241000220317 Rosa Species 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本说明书实施例公开了一种面向Kubernetes集群的多租户资源配置方法和多租户管理方法。其中,所述多租户资源配置方法包括:为目标租户配置一个或多个命名空间;设置命名空间的权限Role,并通过RoleBinding将不同权限向目标租户的相应成员用户进行授权;设置命名空间的资源定义,建立目标租户的相应成员用户与命名空间的相应资源之间的对应关系。所述多租户管理方法包括:创建租户管理自定义资源文件CRD;在租户管理自定义资源文件CRD中,定义租户属性信息、工作组以及与租户对应的一个或多个命名空间;所述工作组包括租户的成员用户信息;提交租户管理自定义资源文件CRD至Kubernetes集群,进行租户注册。本发明方案将Kubernetes租户与命名空间解耦合,可实现Kubernetes资源与租户之间的灵活配置。
Description
技术领域
本说明书涉及存储服务技术领域,尤其涉及面向Kubernetes集群的多租户资源配置方法和多租户管理方法以及相应的装置、电子设备、存储介质。
背景技术
租户是指一组拥有访问特定软件资源权限的用户集合,在多租户环境中,它还包括共享的服务、数据以及配置等。Kubernetes集群本身没有租户的定义,通常企业通过使用Kubernetes原生的命名空间的各种隔离机制来实现租户的落地,这样可以以最小代价完成租户的管理。对小平台、小企业而言,应用通常比较单一,使用命名空间的这种隔离方案,将所有的服务、配置等放在单一的命名空间中,可以满足基本需求。但对于中大型企业,应用的多样性和复杂程度很高,若使用命名空间作为隔离方案,可能会面临运维瓶颈,即在单命名空间维护多个不同类型、不同功能的应用。
因此,如何在Kubernetes集群中实现租户与命名空间的解耦合,提高Kubernetes资源与租户之间的灵活配置,是亟待解决的技术问题。
发明内容
本说明书实施例的目的是针对上述问题,提供一种面向Kubernetes集群的多租户资源配置方法和多租户管理方法以及相应的装置、电子设备、存储介质。
为解决上述技术问题,本说明书实施例是这样实现的:
第一方面,提出一种面向Kubernetes集群的多租户资源配置方法,包括:
为目标租户配置一个或多个命名空间;
设置命名空间的权限Role,并通过RoleBinding将不同权限向目标租户的相应成员用户进行授权;
设置命名空间的资源定义,建立目标租户的相应成员用户与命名空间的相应资源之间的对应关系。
进一步地,还包括:
设置Kubernetes集群的特定资源定义PodSecurityPolicy,并通过RoleBinding将特定资源定义PodSecurityPolicy向目标租户的相应成员用户进行授权;
设置目标租户的网络访问策略,网络访问策略包括默认网络访问策略和租户之间网络访问策略。
进一步地,所述命名空间的资源定义包括Pod、Service、PersistentVolumeClaim中的一项或多项。
第二方面,提出一种面向Kubernetes集群的多租户管理方法,包括:
创建租户管理自定义资源文件CRD;
在租户管理自定义资源文件CRD中,定义租户属性信息、工作组以及与租户对应的一个或多个命名空间;所述工作组包括租户的成员用户信息;
提交租户管理自定义资源文件CRD至Kubernetes集群,进行租户注册。
进一步地,当租户注册成功后,还包括:
定义命名空间权限并建立权限与租户的成员用户之间的授权关系,和/或建立租户的相应成员用户与命名空间相应资源之间的对应关系,和/或设置租户的网络访问策略。
进一步地,每个租户具有至少1个租户管理员,所述租户管理员具有当前租户的全部命名空间的全部权限;和/或,设置当前租户的资源配额,以使当前租户的全部命名空间的资源配额不超过当前租户的资源配额。
第三方面,提出一种面向Kubernetes集群的多租户资源配置装置,包括:
命名空间配置模块,被配置为目标租户配置一个或多个命名空间;
权限设置模块,被配置为设置命名空间的权限Role,并通过RoleBinding将不同权限向目标租户的相应成员用户进行授权;
资源定义模块,被配置为设置命名空间的资源定义,建立目标租户的相应成员用户与命名空间的相应资源之间的对应关系。
第四方面,提出一种面向Kubernetes集群的多租户管理装置,包括:
租户管理文件创建模块,被配置为创建租户管理自定义资源文件CRD;
租户信息配置模块,被配置为在租户管理自定义资源文件CRD中,定义租户属性信息、工作组以及与租户对应的一个或多个命名空间;所述工作组包括租户的成员用户信息;
租户注册模块,被配置为提交租户管理自定义资源文件CRD至Kubernetes集群,进行租户注册。
第五方面,提出一种电子设备,包括:处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使得所述处理器执行第一方面或者第二方面所述方法的步骤。
第六方面,提出一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行第一方面或者第二方面所述方法的步骤。
本说明书可以达到至少以下技术效果:
本发明方案的多租户资源配置方法,可以为目标租户配置一个或多个命名空间;设置命名空间的权限Role,并通过RoleBinding将不同权限向目标租户的相应成员用户进行授权;设置命名空间的资源定义,建立目标租户的相应成员用户与命名空间的相应资源之间的对应关系。本发明方案的多租户管理方法,首先创建租户管理自定义资源文件CRD;在租户管理自定义资源文件CRD中,定义租户属性信息、工作组以及与租户对应的一个或多个命名空间;所述工作组包括租户的成员用户信息;提交租户管理自定义资源文件CRD至Kubernetes集群,进行租户注册。本发明方案将Kubernetes租户与命名空间解耦合,可实现Kubernetes资源与租户之间的灵活配置。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书实施例提供的面向Kubernetes集群的多租户资源配置方法流程示意图之一;
图2为本说明书实施例提供的面向Kubernetes集群的多租户资源配置方法流程示意图之二;
图3为本说明书实施例提供的面向Kubernetes集群的多租户管理方法流程示意图之一;
图4为本说明书实施例提供的面向Kubernetes集群的多租户管理方法流程示意图之二;
图5为本说明书实施例提供的面向Kubernetes集群的多租户资源配置装置示意图;
图6为本说明书实施例提供的面向Kubernetes集群的多租户管理装置示意图;
图7为本说明书的一个实施例提供的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
下面通过具体的实例对本说明书所涉及的一种面向Kubernetes集群的多租户资源配置和多租户管理方案进行详述。
如背景技术所述,租户是指一组拥有访问特定软件资源权限的用户集合,在多租户环境中,它还包括共享的服务、数据以及配置等。多租户集群必须讲租户彼此隔离,以最大限度地减少租户与租户、租户与集群之间的影响。此外,集群须在租户之间公平地分配集群资源。通过多租户共享集群资源,可以有效地降低集群管理成本,提高整体集群的资源利用率。
Kubernetes集群本身没有租户的定义,通常企业通过使用Kubernetes原生的命名空间的各种隔离机制来实现租户的落地,这样可以以最小代价完成租户的管理。对小平台、小企业而言,应用通常比较单一,使用命名空间的这种隔离方案,将所有的服务、配置等放在单一的命名空间中,可以满足基本需求。但对于中大型企业,应用的多样性和复杂程度不可同日而语,若使用命名空间作为隔离方案,讲不得不面临运维瓶颈:在单命名空间维护多个不同类型、不同目的的应用。多一个命名空间中部署了几十个不用的应用,则在应用运维时,必须谨慎检查每一个配置、每一个模型依赖关系,以确保对单个应用的运维不会影响到用一个命名空间中的其他应用。
实施例一
如图1所示,为本发明的一种面向Kubernetes集群的多租户资源配置方法流程示意图。所述面向Kubernetes集群的多租户资源配置方法包括:
S101:为目标租户配置一个或多个命名空间。
S102:设置命名空间的权限Role,并通过RoleBinding将不同权限向目标租户的相应成员用户进行授权。
S103:设置命名空间的资源定义,建立目标租户的相应成员用户与命名空间的相应资源之间的对应关系。
在一些实施例中,所述面向Kubernetes集群的多租户资源配置方法,如图2所示,还包括:
S104:设置Kubernetes集群的特定资源定义PodSecurityPolicy,并通过RoleBinding将特定资源定义PodSecurityPolicy向目标租户的相应成员用户进行授权。
S105:设置目标租户的网络访问策略,网络访问策略包括默认网络访问策略和租户之间网络访问策略。
在一些实施例中,所述命名空间的资源定义包括Pod、Service、PersistentVolumeClaim中的一项或多项。
在具体实现中,通过定义租户这个抽象的概念,落实到Kubernetes中,租户对应于一系列的资源定义包括:(1)命名空间,即一个命名空间属于且仅属于一个租户。(2)权限定义:定义内容包括命名空间的Role和RoleBinding。这些资源表示目前租户在归属与自己的命名空间中定义了什么权限,以及授权给了哪些租户的成员。(3)特殊权限授权:特殊权限指集群级的特定资源定义PodSecurityPolicy。它定义了一系列工作负载与基础设施之间的关联关系,并通过命名空间的RoleBinding完成授权。(4)网络策略:基础设施层为了保障租户网络的隔离机制提供了一系列的默认策略,以及租户自己定制的用于租户应用彼此访问的策略。(5)Pod、Service、PersistentVolumeClaim等命名空间资源:这些定义了表示租户的应用落地到k8s中的实体。
如图3所示,为本发明的一种面向Kubernetes集群的多租户管理方法流程示意图。所述面向Kubernetes集群的多租户管理方法包括:
S301:创建租户管理自定义资源文件CRD。
S302:在租户管理自定义资源文件CRD中,定义租户属性信息、工作组以及与租户对应的一个或多个命名空间;所述工作组包括租户的成员用户信息。
S303:提交租户管理自定义资源文件CRD至Kubernetes集群,进行租户注册。
在一些实施例中,当租户注册成功后,还包括:
S304:定义命名空间权限并建立权限与租户的成员用户之间的授权关系,和/或建立租户的相应成员用户与命名空间相应资源之间的对应关系,和/或设置租户的网络访问策略。
在一些实施例中,每个租户具有至少1个租户管理员,所述租户管理员具有当前租户的全部命名空间的全部权限;和/或,设置当前租户的资源配额,以使当前租户的全部命名空间的资源配额不超过当前租户的资源配额。
在具体实现方式上,可以将租户管理作为一个单独的服务,只需要在租户服务中暴露出一个符合KubernetesAPI标准的服务接口,即可通过API Service对象和Service对象将租户服务聚合到标准的Kubernetes API Server中,且可以通过命令行工具kubectl进行交互。下述伪代码描述了具体通过CRD扩展完成租户对象注册到Kubernetes对象中。其中,jack为租户,该租户下的命名空间包括:datacloud-compute和datacloud-storage。
在租户的定义中,有租户的基本信息、工作组、以及租户的命名空间,如下述伪代码描述,其中,jack为租户,管理员包括jack和rose,工作组成员包括jesse。
本发明方案的多租户资源配置方法,可以为目标租户配置一个或多个命名空间;设置命名空间的权限Role,并通过RoleBinding将不同权限向目标租户的相应成员用户进行授权;设置命名空间的资源定义,建立目标租户的相应成员用户与命名空间的相应资源之间的对应关系。本发明方案的多租户管理方法,首先创建租户管理自定义资源文件CRD;在租户管理自定义资源文件CRD中,定义租户属性信息、工作组以及与租户对应的一个或多个命名空间;所述工作组包括租户的成员用户信息;提交租户管理自定义资源文件CRD至Kubernetes集群,进行租户注册。本发明方案将Kubernetes租户与命名空间解耦合,可实现Kubernetes资源与租户之间的灵活配置。
实施例二
图5为本说明书的一个实施例提供的面向Kubernetes集群的多租户资源配置装置500的结构示意图。请参考图5,在一种实施方式中的面向Kubernetes集群的多租户资源配置装置500,所述装置包括:
命名空间配置模块501,被配置为目标租户配置一个或多个命名空间。
权限设置模块502,被配置为设置命名空间的权限Role,并通过RoleBinding将不同权限向目标租户的相应成员用户进行授权。
资源定义模块503,被配置为设置命名空间的资源定义,建立目标租户的相应成员用户与命名空间的相应资源之间的对应关系。
应理解,本说明书实施例的一种面向Kubernetes集群的多租户资源配置装置500还可执行图1至图2中面向Kubernetes集群的多租户资源配置装置(或设备)执行的方法,并实现面向Kubernetes集群的多租户资源配置装置(或设备)在图1至图2所示实例的功能。
图6为本说明书的一个实施例提供的面向Kubernetes集群的多租户管理装置600的结构示意图。请参考图6,在一种实施方式中的面向Kubernetes集群的多租户管理装置600,所述装置包括:
租户管理文件创建模块601,被配置为创建租户管理自定义资源文件CRD;
租户信息配置模块602,被配置为在租户管理自定义资源文件CRD中,定义租户属性信息、工作组以及与租户对应的一个或多个命名空间;所述工作组包括租户的成员用户信息;
租户注册模块603,被配置为提交租户管理自定义资源文件CRD至Kubernetes集群,进行租户注册。
应理解,本说明书实施例的一种面向Kubernetes集群的多租户管理装置600还可执行图3至图4中面向Kubernetes集群的多租户管理装置(或设备)执行的方法,并实现面向Kubernetes集群的多租户管理装置(或设备)在图3至图4所示实例的功能。
实施例三
图7是本说明书的一个实施例电子设备的结构示意图。请参考图7,在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成共享资源访问控制装置。处理器,执行存储器所存放的程序,并具体用于执行以下操作:
为目标租户配置一个或多个命名空间;
设置命名空间的权限Role,并通过RoleBinding将不同权限向目标租户的相应成员用户进行授权;
设置命名空间的资源定义,建立目标租户的相应成员用户与命名空间的相应资源之间的对应关系。
或者,
创建租户管理自定义资源文件CRD;
在租户管理自定义资源文件CRD中,定义租户属性信息、工作组以及与租户对应的一个或多个命名空间;所述工作组包括租户的成员用户信息;
提交租户管理自定义资源文件CRD至Kubernetes集群,进行租户注册。
上述如本说明书图1至图4所示实施例揭示方法的步骤可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本说明书实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本说明书实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
当然,除了软件实现方式之外,本说明书实施例的电子设备并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
实施例四
本说明书实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的便携式电子设备执行时,能够使该便携式电子设备执行图1至图4所示实施例的方法的步骤,并具体用于执行以下方法:
为目标租户配置一个或多个命名空间;
设置命名空间的权限Role,并通过RoleBinding将不同权限向目标租户的相应成员用户进行授权;
设置命名空间的资源定义,建立目标租户的相应成员用户与命名空间的相应资源之间的对应关系。
或者,
创建租户管理自定义资源文件CRD;
在租户管理自定义资源文件CRD中,定义租户属性信息、工作组以及与租户对应的一个或多个命名空间;所述工作组包括租户的成员用户信息;
提交租户管理自定义资源文件CRD至Kubernetes集群,进行租户注册。
总之,以上所述仅为本说明书的较佳实施例而已,并非用于限定本说明书的保护范围。凡在本说明书的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本说明书的保护范围之内。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
Claims (10)
1.一种面向Kubernetes集群的多租户资源配置方法,其特征在于,包括:
为目标租户配置一个或多个命名空间;
设置命名空间的权限Role,并通过RoleBinding将不同权限向目标租户的相应成员用户进行授权;
设置命名空间的资源定义,建立目标租户的相应成员用户与命名空间的相应资源之间的对应关系。
2.根据权利要求1所述的面向Kubernetes集群的多租户资源配置方法,其特征在于,还包括:
设置Kubernetes集群的特定资源定义PodSecurityPolicy,并通过RoleBinding将特定资源定义PodSecurityPolicy向目标租户的相应成员用户进行授权;
设置目标租户的网络访问策略,网络访问策略包括默认网络访问策略和租户之间网络访问策略。
3.根据权利要求2所述的面向Kubernetes集群的多租户资源配置方法,其特征在于,所述命名空间的资源定义包括Pod、Service、PersistentVolumeClaim中的一项或多项。
4.一种面向Kubernetes集群的多租户管理方法,其特征在于,包括:
创建租户管理自定义资源文件CRD;
在租户管理自定义资源文件CRD中,定义租户属性信息、工作组以及与租户对应的一个或多个命名空间;所述工作组包括租户的成员用户信息;
提交租户管理自定义资源文件CRD至Kubernetes集群,进行租户注册。
5.根据权利要求4所述的面向Kubernetes集群的多租户管理方法,其特征在于,当租户注册成功后,还包括:
定义命名空间权限并建立权限与租户的成员用户之间的授权关系,和/或建立租户的相应成员用户与命名空间相应资源之间的对应关系,和/或设置租户的网络访问策略。
6.根据权利要求5所述的面向Kubernetes集群的多租户管理方法,其特征在于,每个租户具有至少1个租户管理员,所述租户管理员具有当前租户的全部命名空间的全部权限;和/或,设置当前租户的资源配额,以使当前租户的全部命名空间的资源配额不超过当前租户的资源配额。
7.一种面向Kubernetes集群的多租户资源配置装置,其特征在于,包括:
命名空间配置模块,被配置为目标租户配置一个或多个命名空间;
权限设置模块,被配置为设置命名空间的权限Role,并通过RoleBinding将不同权限向目标租户的相应成员用户进行授权;
资源定义模块,被配置为设置命名空间的资源定义,建立目标租户的相应成员用户与命名空间的相应资源之间的对应关系。
8.一种面向Kubernetes集群的多租户管理装置,其特征在于,包括:
租户管理文件创建模块,被配置为创建租户管理自定义资源文件CRD;
租户信息配置模块,被配置为在租户管理自定义资源文件CRD中,定义租户属性信息、工作组以及与租户对应的一个或多个命名空间;所述工作组包括租户的成员用户信息;
租户注册模块,被配置为提交租户管理自定义资源文件CRD至Kubernetes集群,进行租户注册。
9.一种电子设备,其特征在于,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使得所述处理器执行权利要求1至6任一项所述方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行权利要求1至6任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311629618.XA CN117688582A (zh) | 2023-11-30 | 2023-11-30 | 面向Kubernetes集群的多租户资源配置方法和多租户管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311629618.XA CN117688582A (zh) | 2023-11-30 | 2023-11-30 | 面向Kubernetes集群的多租户资源配置方法和多租户管理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117688582A true CN117688582A (zh) | 2024-03-12 |
Family
ID=90127730
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311629618.XA Pending CN117688582A (zh) | 2023-11-30 | 2023-11-30 | 面向Kubernetes集群的多租户资源配置方法和多租户管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117688582A (zh) |
-
2023
- 2023-11-30 CN CN202311629618.XA patent/CN117688582A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA2825153C (en) | Strong rights management for computing application functionality | |
US8959657B2 (en) | Secure data management | |
US9813423B2 (en) | Trust-based computing resource authorization in a networked computing environment | |
US9355261B2 (en) | Secure data management | |
US10255088B2 (en) | Modification of write-protected memory using code patching | |
US9548897B2 (en) | Network entity registry for network entity handles included in network traffic policies enforced for a provider network | |
US8695079B1 (en) | Allocating shared resources | |
US10831915B2 (en) | Method and system for isolating application data access | |
US9886398B2 (en) | Implicit sharing in storage management | |
US20140258506A1 (en) | Tracking application usage in a computing environment | |
WO2018036328A1 (zh) | 面向多应用的用户数据管理方法和系统 | |
CN114154144A (zh) | 基于安全沙箱的应用安全加固系统 | |
CN111970162B (zh) | 一种超融合架构下的异构gis平台服务中控系统 | |
US20150178492A1 (en) | Secure information flow | |
EP3921732A1 (en) | Resource and operation management on a cloud platform | |
CN117688582A (zh) | 面向Kubernetes集群的多租户资源配置方法和多租户管理方法 | |
US11429412B2 (en) | Guest protection from application code execution in kernel mode | |
CN115604103A (zh) | 云计算系统的配置方法、装置、存储介质以及电子设备 | |
EP3438826B1 (en) | Virtual network functions allocation in a datacenter | |
CN115695454B (zh) | 一种mec主机的数据存储方法、装置、设备及存储介质 | |
CN111399928A (zh) | 应用程序的启动方法、装置、电子设备及可读存储介质 | |
US11748236B2 (en) | Multi-user debugging with user data isolation | |
US20240103818A1 (en) | Annotation driven just in time and state-based rbac policy control | |
CN113641966B (zh) | 一种应用集成方法、系统、设备及介质 | |
CN115988080B (zh) | 一种基于代理中间件的微服务资源调用方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |