[發(fā)明專利]一種基于命名空間綁定的云租戶間資源隔離方法與系統(tǒng)在審
| 申請?zhí)枺?/td> | 202010093625.2 | 申請日: | 2020-02-14 |
| 公開(公告)號: | CN111324456A | 公開(公告)日: | 2020-06-23 |
| 發(fā)明(設(shè)計)人: | 尹欣薇;吳棟 | 申請(專利權(quán))人: | 蘇州浪潮智能科技有限公司 |
| 主分類號: | G06F9/50 | 分類號: | G06F9/50 |
| 代理公司: | 濟南誠智商標專利事務(wù)所有限公司 37105 | 代理人: | 李修杰 |
| 地址: | 215100 江蘇省蘇州市吳*** | 國省代碼: | 江蘇;32 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 基于 命名 空間 綁定 租戶 資源 隔離 方法 系統(tǒng) | ||
本發(fā)明提供了一種基于命名空間綁定的云租戶間資源隔離方法與系統(tǒng),本發(fā)明基于Kubernetes RBAC及命名空間綁定,基于Kubernetes RBAC機制,通過創(chuàng)建租戶、租戶與命名空間綁定、創(chuàng)建角色,并設(shè)定角色的權(quán)限與租戶對應(yīng)命名空間列表權(quán)限綁定方案,進行租戶間資源可見性、互訪性硬隔離,并為不同的命名空間設(shè)定不同的網(wǎng)絡(luò)策略,進行租戶間應(yīng)用互訪性軟打通,滿足了容器云平臺租戶隔離需求,從而實現(xiàn)租戶間資源隔離,實現(xiàn)租戶間資源可見性隔離和網(wǎng)絡(luò)隔離,提高云平臺特性完整度和用戶使用安全性。
技術(shù)領(lǐng)域
本發(fā)明涉及云計算平臺技術(shù)領(lǐng)域,特別是一種基于命名空間綁定的云租戶間資源隔離方法與系統(tǒng)。
背景技術(shù)
隨著信息技術(shù)和社會經(jīng)濟的發(fā)展,當前信息化建設(shè)已經(jīng)全面進入云計算時代,規(guī)模化、集中化的云數(shù)據(jù)中心成為國家基礎(chǔ)設(shè)施的重要組成部分,國家亦在積極推動政務(wù)、企業(yè)、金融等關(guān)鍵行業(yè)的上云工程。
在云計算建設(shè)過程中,通過多方面的探索和研究,采用集中式大規(guī)模集團化建設(shè)統(tǒng)一云數(shù)據(jù)中心是一種更加高效能的實現(xiàn)方案。在建設(shè)大規(guī)模云計算平臺的同時,帶來了租戶間資源隔離的需求,接入云的用戶都希望自己的業(yè)務(wù)不受別人的影響,至少在網(wǎng)絡(luò)上能夠隔離,他人不能隨意訪問自己的云資源。針對要求越來越高的云計算平臺租戶隔離需求,采用平鋪式管理會為用戶造成巨大的不便,同時會無法避免用戶間業(yè)務(wù)系統(tǒng)進行相互攻擊,帶來巨大的安全隱患。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于命名空間綁定的云租戶間資源隔離方法與系統(tǒng),旨在解決現(xiàn)有技術(shù)中無法滿足越來越高的云計算平臺租戶隔離需求的問題,實現(xiàn)租戶間資源隔離,提高云平臺特性完整度和用戶使用安全性。
為達到上述技術(shù)目的,本發(fā)明提供了一種基于命名空間綁定的云租戶間資源隔離方法,所述方法包括以下步驟:
S1、在云平臺中創(chuàng)建租戶,并在租戶內(nèi)創(chuàng)建多個用戶,建立租戶與用戶的關(guān)聯(lián)關(guān)系;
S2、在租戶內(nèi)每個用戶創(chuàng)建多個命名空間,建立租戶、用戶以及命名空間的關(guān)聯(lián)關(guān)系,進行租戶與命名空間的綁定;
S3、利用Kubernetes RBAC在云平臺創(chuàng)建角色,設(shè)定角色與租戶對應(yīng)命名空間列表權(quán)限綁定方案;
S4、為不同的命名空間設(shè)定不同的網(wǎng)絡(luò)策略,通過網(wǎng)絡(luò)策略設(shè)定其之間是否可進行通訊。
優(yōu)選地,所述網(wǎng)絡(luò)策略的設(shè)定方式包括以下幾種:
同命名空間的pod,入站規(guī)則為全部禁止;
同命名空間的pod,入站規(guī)則為全部開放;
同命名空間的pod,出站規(guī)則為全部禁止;
同命名空間的pod,出站規(guī)則為全部開放。
優(yōu)選地,所述網(wǎng)絡(luò)策略的設(shè)定通過兩個參數(shù)進行設(shè)定,包括pod選擇器PodSelector以及網(wǎng)絡(luò)策略PolicyTypes;所述pod選擇器基于標簽選擇與網(wǎng)絡(luò)策略處于同一命名空間的pod;所述網(wǎng)絡(luò)策略定義的規(guī)則分為兩種,一種是入pod的Ingress規(guī)則,另一種是出pod的Egress規(guī)則。
本發(fā)明還提供了一種基于命名空間綁定的云租戶間資源隔離系統(tǒng),所述系統(tǒng)包括:
租戶創(chuàng)建模塊,用于在云平臺中創(chuàng)建租戶,并在租戶內(nèi)創(chuàng)建多個用戶,建立租戶與用戶的關(guān)聯(lián)關(guān)系;
命名空間綁定模塊,用于在租戶內(nèi)每個用戶創(chuàng)建多個命名空間,建立租戶、用戶以及命名空間的關(guān)聯(lián)關(guān)系,進行租戶與命名空間的綁定;
角色創(chuàng)建綁定模塊,用于利用Kubernetes RBAC在云平臺創(chuàng)建角色,設(shè)定角色與租戶對應(yīng)命名空間列表權(quán)限綁定方案;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于蘇州浪潮智能科技有限公司,未經(jīng)蘇州浪潮智能科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010093625.2/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
