[发明专利]在多租户框架内控制对微服务的访问

说明书

本公开的实施例涉及在多租户框架内控制对微服务的访问。在一些示例中，一种系统包括被服务供应方管理的网络，该网络被配置为向租户集提供对一个或多个对象的访问，每一个租户都具有一个或多个用户，服务供应方和租户集是形成层级结构的实体集的一部分，并且控制器具有对网络的访问权。控制器被配置为获取指示参数集的数据，其中指示参数集的数据与实体集中的所有者实体相关联，生成合并参数集的规则，该规则使控制器能够控制对一个或多个对象中的对象的访问，并且将规则添加到规则数据库，其中规则数据库可被控制器访问。

技术领域

本公开涉及计算机网络。

背景技术

计算机网络是可以交换数据和共享资源的互连计算设备的集，并且与网络相关联的安全策略可限制用户在计算机网络内执行动作的能力。在一些示例中，计算机网络可要求用户名和密码来访问网络，并且计算机网络可基于用户的用户名或其他登录证书来跟踪和限制对计算机网络的一些对象和服务的访问。

Keystone是用于云计算的OpenStackTM开源软件平台的组件。一般来说，Keystone是开源软件，其能够在计算机网络内实现认证(authN)和高级授权(authZ)。更具体地，Keystone支持基于令牌的authN和用户服务授权。Keystone可以在计算机网络内跟踪特定用户的动作，并且Keystone可附加地基于分配给用户的“角色”或一组角色来限制用户的动作。此外，计算机网络内用户的特定动作或特权可以称为“能力”。

网络服务供应方提供服务，诸如通过网络核心(VPN服务)或订阅者将客户站点链接到服务、安全、通道、虚拟专用网络、过滤、负载平衡、VoIP/多媒体处理以及针对进入数据包的各种类型的应用程序代理(HTTP、XML、WAP等)。服务供应方还提供内容特定的服务，用于提高用户体验的质量，例如视频流和高速缓存。服务供应方可管理计算机网络，并且服务供应方网络内的一个或多个应用程序可使用Keystone来控制对与计算机网络交互的多个租户的用户可用的服务。在一些情况下，多个租户中的每个租户都可以包括计算机网络的一个或多个用户。

发明内容

一般地，本公开的目的在于提供用于在多租户框架内控制访问对象(例如，微服务、服务、设备、系统、容器和应用程序)的设备、系统和技术。例如，网络可包括服务供应方和租户集，并且服务供应方和租户集包括在网络的“实体”集中。实体集可以层级结构来组织，使得实体集中的每个实体与实体集的父实体和一个或多个子实体中的至少一个相关联。控制器可基于存储在规则数据库中的一个或多个规则授予实体集对对象的访问权。例如，为了获取对对象的访问权，实体集中的实体可以向控制器发送服务请求，并且控制器可基于存储在规则数据库中的一个或多个规则授予或不授予实体对对象的访问权。在一些情况下，每个对象可与存储在规则数据库中的规则相关联，其中相应的规则包括指示被允许访问对象的实体的信息。以这种方式，控制器可基于与对象相关联的相应规则来确定实体是否被授予对对象的访问权。

在一些示例中，可以将实体集中的每个实体配置为创建对象并创建规则，该规则管理在网络内对对象的访问。创建对象的实体在本文可称为对象的“所有者”实体。所有者实体可与层级结构中的父实体和子实体集相关联。此外，所有者实体的父实体可与另一个相应的父实体和另一个相应的子实体集相关联。在一些情况下，与所有者实体相关联的子实体集中的每个子实体可与另一个相应的子实体集关联。以这种方式，层级结构可被建模为“家族树”，其中一些实体“起源于”其他实体，并且一些实体是其他实体的“祖先”。在一些示例中，该层级结构可用作所有者实体指定对由所有者实体创建的相应对象访问的工具。例如，所有者实体可以向控制器发送消息以创建对象，指定对象与实体集中的至少一个其他实体共享。在一些情况下，实体可基于其他实体在层级结构中相对于所有者实体的位置来指定该对象与其他实体共享。在一个示例中，所有者实体可指定要与所有者实体的父实体共享的对象。控制器可基于所有者实体提供的指示创建规则，并将规则保存在规则数据库中。