[发明专利]一种基于mesos容器云平台的多租户构建方法及系统

说明书

技术领域

本发明涉及云平台构建领域，具体涉及一种基于mesos容器云平台的多租户构建系统。

背景技术

多租户是云平台的基础功能，有了多租户功能后，在云平台上不同用户管理的资源就相互之间不可见，这样就避免了用户操作的相互干扰；而在租户内部的多个用户之间，彼此资源可见，便于工作协调。对于大型企业构建私有云或者公有云服务提供商来说，云平台的多租户支持是一项重要的功能。

在传统的基于虚拟机的云平台中，多租户支持一直是一个必备功能，例如openstack、cloudstack等开源IaaS平台以及亚马逊公有云等，均支持多租户功能。但是在基于容器的云平台方面，多租户支持一直比较迟后。目前除了基于kubernetes的容器云平台有比较完善的多租户支持外，基于mesos容器云平台和原生docker云平台的多租户框架基本没有实现。

在mesos云平台中，支持为framework、存储卷等指定role属性，role就是用户组，不同的role的用户之间，不同用户管理的framework，彼此之间是相互隔离的。基于role的概念可以部分实现mesos资源的多租户支持。

mesos云平台对于多租户的支持非常有限，具体问题如下：

在用户授权方面，支持ACL的授权模式，这与传统的RBAC授权模式有所不同。SSO系统的实现绝大多数都基于RBAC，这样若要求mesos云平台支持SSO，就需要对SSO或者mesos进行改造。而作为企业统一使用的认证系统，涉及多个企业应用系统，改造可能性不大，因此只能改造mesos的授权机制。

mesos的授权机制仅支持Local Authorizer。mesos的默认授权实现将授权信息存储在内存中，而且不提供动态修改ACL的接口，这就使得用户必须在mesos启动前，就确定好访问控制权限，包括用户列表、role列表和ACL信息。若授权信息发生改变，则必须重启mesos所有节点，包括mesos master节点和mesos slave节点。这在企业级情景下，显然不可能。mesos云平台作为一个平台级系统，支撑了企业环境下几乎所有的应用，常常会运行很长时间，一般不容许随意重启。而且在这种环境下，用户、角色、权限等信息都是动态修改，并持久化保存在数据库中，这就需要mesos从外部系统动态读取用户权限数据。

因此，有必要构建一种基于mesos容器云平台的多租户系统，以解决现有技术中的以上问题。

发明内容

本发明实施例提供了一种基于mesos容器云平台的多租户构建系统，构建支持动态授权的mesos授权机制，并在此基础之上，实现mesos的多租户功能。

本发明实施例提供的一种基于mesos容器云平台的多租户构建系统，包括：

mesos容器云平台模块，用于在用户注册架构、运行任务、读取mesos系统信息操作时，验证用户授权；

统一认证与授权模块，用于动态的认证用户的身份信息；所述统一认证与授权模块包括API接口模块和ChangeHook逻辑处理模块；

mesos授权插件模块，在使用新的授权插件后，新授权插件从所述统一认证与授权模块读取用户信息、角色信息以及授权信息，该读取过程在每次验证用户授权时均会动态从所述统一认证与授权模块中读取；

进一步的，所述系统还包括：

系统管理员模块，系统管理员在mesos运行期间，可以随时通过所述统一认证与授权模块的API接口进行用户、角色和授权信息的修改，修改结果会立即同步到所述mesos授权插件模块。

进一步的，所述mesos容器云平台模块包括授权模块，所述授权模块包括缓存模块和缓存控制模块。

进一步的，所述系统还包括：Zookeeper模块，统管理员在通过所述统一认证与授权模块的所述API接口模块对用户信息、授权信息、租户信息进行修改后，触发所述ChangeHook逻辑处理模块，所述ChangeHook逻辑处理模块会将更新的数据ID写入Zookeeper模块相应的目录中，最后由Zookeeper模块通知缓存控制器模块对于所述授权模块中的所述本地缓存模块进行修改。

本发明实施例提供一种基于mesos容器云平台的多租户构建方法，包括：

mesos容器云平台在接收用户注册架构、运行任务、读取mesos系统信息等时，验证用户授权；

通过API接口动态连接mesos容器云平台，动态的认证用户的身份信息；所述统一认证与授权模块包括API接口模块和ChangeHook逻辑处理模块；