本公开提供了一种基于多租户的kubernetes集群资源管理方法,涉及云计算技术领域,可以应用于金融科技领域。该方法应用于多租户平台,包括:响应于租户的接入请求,获取租户所属用户的ID信息和资源配额信息;根据所述ID信息和所述资源配额信息对所述接入请求进行验证;在所述接入请求验证通过后,根据所述资源配额信息和预先配置的配额策略创建所述租户的ID和命名空间;向所述租户下发专属证书;以及为所述租户创建专属私有网络资源,其中,所述专属私有网络资源作为所述租户容器的唯一入口接收外部请求流量。本公开还提供了一种基于多租户的kubernetes集群资源管理系统、设备、存储介质和程序产品。存储介质和程序产品。存储介质和程序产品。
【技术实现步骤摘要】
基于多租户的kubernetes集群资源管理方法及系统
[0001]本公开涉及云计算
,具体涉及kubernetes集群资源管理
,更具体地涉及一种基于多租户的kubernetes集群资源管理方法、系统、设备、存储介质和程序产品。
技术介绍
[0002]随着kubernetes和docker等容器引擎、容器编排调度平台的技术的发展和推广,它们已经慢慢成为了云计算时代的OS(操作系统)。在传统的主机时代,就有多个用户(租户)共享一台物理机资源的需求。而在公有云的背景下,为了充分节约集群资源,海量租户来共享一个大规模集群也成为了强烈的需求。
[0003]相关技术中,有两类主流的解决方案:Namespaces as a Service和Cluster as service。即在单集群内使用K8S的namespace进行隔离、将不同的租户隔离在不同的集群内。这两种解决方案都有各自的优缺点,Namespaces as a Service方案优点是资源都集中在单集群里,缺点是对于集群级别资源不能做到充分隔离,例如CustomResourceDefinitions。并且集群网络之间的隔离不充分,应用相互之间可以相互访问。Cluster as service方案虽然隔离充分,但对资源消耗大,对集群的运维难度大。对于不同租户的请求,需要下发到不同的集群中,对于不同租户的大量请求消耗资源多。因此如何对多租户集群资源进行隔离是亟需解决的技术问题。
[0004]需要说明的是,在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0005]鉴于上述问题,本公开提供了实现多租户网络隔离和权限管理的基于多租户的kubernetes集群资源管理方法、系统、设备、介质和程序产品。
[0006]根据本公开的第一个方面,提供了一种基于多租户的kubernetes集群资源管理方法,应用于多租户平台,所述kubernetes集群包括所述多租户平台和业务集群,所述方法包括:
[0007]响应于租户的接入请求,获取租户所属用户的ID信息和资源配额信息;
[0008]根据所述ID信息和所述资源配额信息对所述接入请求进行验证;
[0009]在所述接入请求验证通过后,根据所述资源配额信息和预先配置的配额策略创建所述租户的ID和命名空间;
[0010]向所述租户下发专属证书,所述证书用于对所述租户资源请求进行权限管理;以及
[0011]为所述租户创建专属私有网络资源,其中,所述专属私有网络资源作为所述租户容器的唯一入口接收外部请求流量。
[0012]根据本公开的实施例,还包括:
[0013]响应于租户的资源请求,解析所述资源请求中的证书信息,以验证所述租户的权限;
[0014]在验证所述租户的权限后,对资源请求中的资源信息进行校验;以及
[0015]若校验通过,将所述资源请求转发至业务集群,以实现对租户资源的增删改查。
[0016]根据本公开的实施例,所述对资源请求中的资源信息进行校验包括:
[0017]查询所述租户的剩余资源配额;
[0018]解析所述资源请求中的资源信息;
[0019]根据所述剩余资源配额和所述资源请求中的资源信息对所述资源请求进行校验。
[0020]根据本公开的实施例,所述根据所述ID信息和所述资源配额信息对所述接入请求进行验证包括:
[0021]根据所述ID信息确定所述用户在所述多租户平台的剩余资源量;
[0022]若确定所述资源配额信息小于所述剩余资源量,则确定所述接入请求验证通过。
[0023]本公开的第二方面提供了一种基于多租户的kubernetes集群资源管理方法,应用于业务集群,所述kubernetes集群包括多租户平台和业务集群,所述方法包括:
[0024]响应于多租户平台转发的租户资源请求,根据所述租户资源请求创建容器实例;以及
[0025]将所述容器的服务端口映射到所述租户的专属私有网络资源上。
[0026]根据本公开的实施例,所述将所述容器的服务端口映射到所述租户的专属私有网络资源上包括:
[0027]将容器的服务端口转发映射到宿主机的随机端口,并将端口映射信息存储至数据库中;
[0028]监听所述数据库中的端口映射信息;
[0029]当确定存在新的端口映射信息后,将所述随机端口映射到所述租户的专属私用网络资源的端口上。
[0030]本公开的第三方面提供了一种基于多租户的kubernetes集群资源管理系统,设置于多租户平台,所述kubernetes集群包括所述多租户平台和业务集群,所述系统包括:
[0031]获取模块,用于响应于租户的接入请求,获取租户所属用户的ID信息和资源配额信息;
[0032]验证模块,用于根据所述ID信息和所述资源配额信息对所述接入请求进行验证;
[0033]租户创建模块,用于在验证模块对所述接入请求验证通过后,根据所述资源配额信息和预先配置的配额策略创建所述租户的ID和命名空间;
[0034]证书管理模块,用于向所述租户下发专属证书,所述证书用于对所述租户资源请求进行权限管理;
[0035]私有网络资源创建模块,用于为所述租户创建专属私有网络资源,其中,所述专属私有网络资源作为所述租户容器的唯一入口接收外部请求流量。
[0036]根据本公开的实施例,所述系统还包括:
[0037]权限管理模块,用于响应于租户的资源请求,解析所述资源请求中的证书信息,以验证所述租户的权限;
[0038]资源请求校验模块,用于在验证所述租户的权限后,对资源请求中的资源信息进
行校验;
[0039]资源请求转发模块,用于在资源校验完成后,将所述资源请求转发至业务集群,以实现对租户资源的增删改查。
[0040]根据本公开的实施例,资源请求校验模块包括:查询子模块、解析子模块和校验子模块。
[0041]查询子模块,用于查询所述租户的剩余资源配额;
[0042]解析子模块,用于解析所述资源请求中的资源信息;
[0043]校验子模块,用于根据所述剩余资源配额和所述资源请求中的资源信息对所述资源请求进行校验。
[0044]根据本公开的实施例,验证模块包括:第一确定子模块和第二确定子模块。
[0045]第一确定子模块,用于根据所述ID信息确定所述用户在所述多租户平台的剩余资源量;
[0046]第二确定子模块,用于若确定所述资源配额信息小于所述剩余资源量,则确定所述接入请求验证通过。
[0047]本公开的第四方面提供了一种基于多租户的kubernetes集群资源管理装置,设置于业务集群,所述kubernetes集群包括多租户平台和业务集群,所述装置包括:
[0048]容器创建模块,用于响应于多租户平本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于多租户的kubernetes集群资源管理方法,应用于多租户平台,所述kubernetes集群包括所述多租户平台和业务集群,其特征在于,所述方法包括:响应于租户的接入请求,获取租户所属用户的ID信息和资源配额信息;根据所述ID信息和所述资源配额信息对所述接入请求进行验证;在所述接入请求验证通过后,根据所述资源配额信息和预先配置的配额策略创建所述租户的ID和命名空间;向所述租户下发专属证书,所述证书用于对所述租户资源请求进行权限管理;以及为所述租户创建专属私有网络资源,其中,所述专属私有网络资源作为所述租户容器的唯一入口接收外部请求流量。2.根据权利要求1所述的方法,其特征在于,还包括:响应于租户的资源请求,解析所述资源请求中的证书信息,以验证所述租户的权限;在验证所述租户的权限后,对资源请求中的资源信息进行校验;以及若校验通过,将所述资源请求转发至业务集群,以实现对租户资源的增删改查。3.根据权利要求2所述的方法,其特征在于,所述对资源请求中的资源信息进行校验包括:查询所述租户的剩余资源配额;解析所述资源请求中的资源信息;根据所述剩余资源配额和所述资源请求中的资源信息对所述资源请求进行校验。4.根据权利要求1所述的方法,其特征在于,所述根据所述ID信息和所述资源配额信息对所述接入请求进行验证包括:根据所述ID信息确定所述用户在所述多租户平台的剩余资源量;若确定所述资源配额信息小于所述剩余资源量,则确定所述接入请求验证通过。5.一种基于多租户的kubernetes集群资源管理方法,应用于业务集群,所述kubernetes集群包括多租户平台和业务集群,其特征在于,所述方法包括:响应于多租户平台转发的租户资源请求,根据所述租户资源请求创建容器实例;以及将所述容器的服务端口映射到所述租户的专属私有网络资源上。6.根据权利要求5所述的方法,其特征在于,所述将所述容器的服务端口映射到所述租户的专属私有网络资源上包括:将容器的服务端口转发映射到宿主机的随机端口,并将端口映射信息存储至数据库中;监听所述数据库中的端口映射信息;当确定存在新的端口映射信息后,将所述随机端口映射到所述租户的专属私用网络资源的端口上。7.一种基于多租户的kub...
【专利技术属性】
技术研发人员:杨诚,沈一帆,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。