【技术实现步骤摘要】
本申请涉及应用部署隔离,尤其涉及一种应用于容器云场景的应用部署隔离方法、系统及介质。
技术介绍
1、kubernetes为业界容器云编排的标准,围绕kubernetes建设私有容器云,构建企业应用并进行云化改造,可以极大地提高自动化管理和交付应用的效率。
2、现有的kubernetes容器云场景提供了基于命名空间(namespace)的隔离机制,命名空间是用来在集群中对资源进行隔离的一种抽象机制。通过将不同的资源放置在不同的命名空间中,进行有限的多租户隔离。在部署应用时,管理员需通过label标签或指定节点名,匹配合适的节点进行部署。label标签可用于标识节点特征,如资源配额、环境等,以便应用能选择符合需求的节点进行部署。
3、但是,由私有云下的不同组织租户各自管理自己名下的节点资源,在进行应用部署时,需要管理员进行手动部署应用。另外,由于是通过label标签或指定节点名进行配置,当当前组织不存在对应label标签或指定节点名时,无法限制应用部署在由不同组织下安全管控的节点上,无法做到物理上和网络上的隔离。
4、因此,亟需一种应用于容器云场景的应用部署隔离方法、系统及介质,解决现有的kubernetes容器云场景无法进行自动部署应用、无法限制应用部署在由不同组织下安全管控的节点上,进而无法做到物理上和网络上的隔离的问题。
技术实现思路
1、针对现有技术的上述不足,本申请提供一种应用于容器云场景的应用部署隔离方法、系统及介质,以解决现有的kube
2、第一方面,本申请提供了一种应用于容器云场景的应用部署隔离方法,方法包括:
3、在容器云场景下创建平台共享资源池、各个组织对应的组织共享资源池和组织内安全域专用池,将资源池作为自定义资源整合到容器云的存储系统中,向资源池添加节点资源,并为各个资源池配置安全级别和预设访问安全策略;当任意组织a需要进行应用部署时,获取应用的安全级别;确定组织a中是否存在与应用的安全级别相同的组织内安全域专用池,当存在与应用的安全级别相同的安全域专用池时,将应用部署在安全域专用池对应的节点上,当安全域专用池内不存在能够部署应用的节点时,返回应用部署失败信息;当不存在与应用的安全级别相同的组织内安全域专用池时,确定组织a是否存在与应用的安全级别相同的组织共享资源池;当存在与应用的安全级别相同的组织共享资源池时,将应用部署在安全级别相同的节点上;当不存在与应用的安全级别相同的组织共享资源池或组织共享资源池中不存在能够部署应用的节点时,确定平台共享资源池中是否存在与应用的安全级别相同的节点;当存在与应用的安全级别相同的节点且节点满足预设应用部署条件时,将应用部署在安全级别相同的节点上;否则,返回应用部署失败信息。
4、本申请实施例提供的应用部署隔离方法,通过创建不同级别的资源池(平台共享资源池、组织共享资源池和组织内安全域专用池),并配置相应的安全级别和预设访问安全策略,该方法确保了应用只能在符合其安全级别的资源池中部署,同时针对不同的资源池可以配置不同的预设访问安全策略,进而控制各个资源池内节点的访问情况。这有助于防止未经授权的应用访问或部署到敏感节点上。另外,传统的kubernetes容器云场景无法实现自动部署应用、无法限制应用部署在由不同组织下安全管控的节点上。而本申请通过自动化流程,根据应用的安全级别和资源池,实现了应用自动部署在对应安全级别的节点上,当应用安全级别较为特殊,可以部署在特定安全级别的安全域专用池内,当在特定安全级别的安全域专用池内无节点时,停止部署,避免了无法限制应用部署在由不同组织下安全管控的节点上的问题。另外,本申请涉及明确的安全级别和资源池划分,减少了因资源争夺或安全策略冲突导致的部署失败。当无法找到符合应用安全级别的节点时,系统会返回部署失败信息,避免了潜在的错误和冲突。
5、在本申请的一种实现方式中,资源池至少分为:平台未分配共享资源池、平台共享资源池、组织未分配资源池、组织共享资源池、组织内安全域专用池;向资源池添加节点资源,具体包括:
6、向平台未分配共享资源池添加新增节点资源;基于外部触发,确定新增节点资源对应的组织或平台共享资源池;其中,组织与组织未分配资源池、组织共享资源池和组织内安全域专用池存在对应关系,同一组织下的组织共享资源池和组织内安全域专用池配置的安全级别均不相同,同一安全级别仅对应一个平台共享资源池;当新增节点资源对应组织时,将新增节点资源添加至组织对应的组织未分配资源池中;基于外部触发,确定组织未分配资源池中新增节点资源对应的组织共享资源池或组织内安全域专用池;其中,组织对应组织共享资源池和组织内安全域专用池,且组织共享资源池和组织内安全域专用池的安全级别均不相同。
7、本申请实施例提供的应用部署隔离方法,通过为不同组织创建专属的资源池(组织未分配资源池、组织共享资源池和组织内安全域专用池),并配置不同的安全级别,确保了资源的安全性和隔离性。
8、在本申请的一种实现方式中,方法还包括:当组织共享资源池或组织内安全域专用池中的节点资源被释放时,能够返回当前组织对应的组织未分配资源池;当组织未分配资源池或平台共享资源池中的节点资源被释放时,能够返回平台未分配共享资源池。
9、在本申请的一种实现方式中,当存在与应用的安全级别相同的安全域专用池时,将应用部署在安全域专用池对应的节点上,具体包括:读取安全域专用池内节点的处理能力、内存大小、网络带宽,将应用部署在处理能力、内存大小、网络带宽符号预设要求的任一节点上。
10、在本申请的一种实现方式中,安全域专用池内不存在能够部署应用的节点,具体包括:
11、安全域专用池内节点的节点资源被全部释放,安全域专用池内无节点;安全域专用池内的全部节点的处理能力、内存大小、网络带宽不满足预设应用部署条件;组织共享资源池中不存在能够部署应用的节点,具体包括:组织共享资源池中节点的节点资源被全部释放,组织共享资源池中无节点;组织共享资源池中的全部节点的处理能力、内存大小、网络带宽不满足预设应用部署条件。
12、在本申请的一种实现方式中,预设访问安全策略为任意一项或多项kubernetes里的安全策略;安全等级至少包括:内部公开、若干密级等级、第二密级,且任一资源池的安全等级都不可修改。
13、第二方面,本申请提供了一种应用于容器云场景的应用部署隔离系统,系统包括:
14、资源池创建模块,用于在容器云场景下创建平台共享资源池、各个组织对应的组织共享资源池和组织内安全域专用池,将资源池作为自定义资源整合到容器云的存储系统中,向资源池添加节点资源,并为各个资源池配置安全级别和预设访问安全策略;应用部署模块,用于当任意组织a需要进行应用部署时,获取应用的安全级别;确定组织a中是否存在与应用的安全级别相本文档来自技高网...
【技术保护点】
1.一种应用于容器云场景的应用部署隔离方法,其特征在于,所述方法包括:
2.根据权利要求1所述的应用于容器云场景的应用部署隔离方法,其特征在于,资源池至少分为:平台未分配共享资源池、平台共享资源池、组织未分配资源池、组织共享资源池、组织内安全域专用池;
3.根据权利要求2所述的应用于容器云场景的应用部署隔离方法,其特征在于,所述方法还包括:
4.根据权利要求1所述的应用于容器云场景的应用部署隔离方法,其特征在于,当存在与应用的安全级别相同的安全域专用池时,将应用部署在安全域专用池对应的节点上,具体包括:
5.根据权利要求1所述的应用于容器云场景的应用部署隔离方法,其特征在于,安全域专用池内不存在能够部署应用的节点,具体包括:
6.根据权利要求1所述的应用于容器云场景的应用部署隔离方法,其特征在于,预设访问安全策略为任意一项或多项kubernetes里的安全策略;
7.一种应用于容器云场景的应用部署隔离系统,其特征在于,所述系统包括:
8.根据权利要求7所述的应用于容器云场景的应用部署隔离系统,其特
9.根据权利要求7所述的应用于容器云场景的应用部署隔离系统,其特征在于,资源池创建模块包括节点释放单元,
10.一种非易失性计算机存储介质,其特征在于,其上存储有计算机指令,所述计算机指令在被执行时实现如权利要求1-6任一项所述的一种应用于容器云场景的应用部署隔离方法。
...【技术特征摘要】
1.一种应用于容器云场景的应用部署隔离方法,其特征在于,所述方法包括:
2.根据权利要求1所述的应用于容器云场景的应用部署隔离方法,其特征在于,资源池至少分为:平台未分配共享资源池、平台共享资源池、组织未分配资源池、组织共享资源池、组织内安全域专用池;
3.根据权利要求2所述的应用于容器云场景的应用部署隔离方法,其特征在于,所述方法还包括:
4.根据权利要求1所述的应用于容器云场景的应用部署隔离方法,其特征在于,当存在与应用的安全级别相同的安全域专用池时,将应用部署在安全域专用池对应的节点上,具体包括:
5.根据权利要求1所述的应用于容器云场景的应用部署隔离方法,其特征在于,安全域专用池内不存在能够部署应用的节...
【专利技术属性】
技术研发人员:罗圣美,王照举,孙强,谢勤,陈嘉平,
申请(专利权)人:中孚信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。