[發明專利]一種基于命名空間綁定的云租戶間資源隔離方法與系統在審
| 申請號: | 202010093625.2 | 申請日: | 2020-02-14 |
| 公開(公告)號: | CN111324456A | 公開(公告)日: | 2020-06-23 |
| 發明(設計)人: | 尹欣薇;吳棟 | 申請(專利權)人: | 蘇州浪潮智能科技有限公司 |
| 主分類號: | G06F9/50 | 分類號: | G06F9/50 |
| 代理公司: | 濟南誠智商標專利事務所有限公司 37105 | 代理人: | 李修杰 |
| 地址: | 215100 江蘇省蘇州市吳*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 命名 空間 綁定 租戶 資源 隔離 方法 系統 | ||
1.一種基于命名空間綁定的云租戶間資源隔離方法,其特征在于,所述方法包括以下步驟:
S1、在云平臺中創建租戶,并在租戶內創建多個用戶,建立租戶與用戶的關聯關系;
S2、在租戶內每個用戶創建多個命名空間,建立租戶、用戶以及命名空間的關聯關系,進行租戶與命名空間的綁定;
S3、利用Kubernetes RBAC在云平臺創建角色,設定角色與租戶對應命名空間列表權限綁定方案;
S4、為不同的命名空間設定不同的網絡策略,通過網絡策略設定其之間是否可進行通訊。
2.根據權利要求1所述的一種基于命名空間綁定的云租戶間資源隔離方法,其特征在于,所述網絡策略的設定方式包括以下幾種:
同命名空間的pod,入站規則為全部禁止;
同命名空間的pod,入站規則為全部開放;
同命名空間的pod,出站規則為全部禁止;
同命名空間的pod,出站規則為全部開放。
3.根據權利要求1所述的一種基于命名空間綁定的云租戶間資源隔離方法,其特征在于,所述網絡策略的設定通過兩個參數進行設定,包括pod選擇器PodSelector以及網絡策略PolicyTypes;所述pod選擇器基于標簽選擇與網絡策略處于同一命名空間的pod;所述網絡策略定義的規則分為兩種,一種是入pod的Ingress規則,另一種是出pod的Egress規則。
4.一種基于命名空間綁定的云租戶間資源隔離系統,其特征在于,所述系統包括:
租戶創建模塊,用于在云平臺中創建租戶,并在租戶內創建多個用戶,建立租戶與用戶的關聯關系;
命名空間綁定模塊,用于在租戶內每個用戶創建多個命名空間,建立租戶、用戶以及命名空間的關聯關系,進行租戶與命名空間的綁定;
角色創建綁定模塊,用于利用Kubernetes RBAC在云平臺創建角色,設定角色與租戶對應命名空間列表權限綁定方案;
命名空間通信模塊,用于為不同的命名空間設定不同的網絡策略,通過網絡策略設定其之間是否可進行通訊。
5.根據權利要求4所述的一種基于命名空間綁定的云租戶間資源隔離系統,其特征在于,所述網絡策略的設定方式包括以下幾種:
同命名空間的pod,入站規則為全部禁止;
同命名空間的pod,入站規則為全部開放;
同命名空間的pod,出站規則為全部禁止;
同命名空間的pod,出站規則為全部開放。
6.根據權利要求4所述的一種基于命名空間綁定的云租戶間資源隔離系統,其特征在于,所述網絡策略的設定通過兩個參數進行設定,包括pod選擇器PodSelector以及網絡策略PolicyTypes;所述pod選擇器基于標簽選擇與網絡策略處于同一命名空間的pod;所述網絡策略定義的規則分為兩種,一種是入pod的Ingress規則,另一種是出pod的Egress規則。
7.一種基于命名空間綁定的云租戶間資源隔離設備,其特征在于,包括:
存儲器,用于存儲計算機程序;
處理器,用于執行所述計算機程序,以實現根據權利要求1至3任一項所述的基于命名空間綁定的云租戶間資源隔離方法。
8.一種可讀存儲介質,其特征在于,用于保存計算機程序,其中,所述計算機程序被處理器執行時實現根據權利要求1至3任一項所述的基于命名空間綁定的云租戶間資源隔離方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于蘇州浪潮智能科技有限公司,未經蘇州浪潮智能科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010093625.2/1.html,轉載請聲明來源鉆瓜專利網。
