[发明专利]云环境中租户数据隔离方法及装置

说明书

本发明提供了云环境中租户数据隔离方法及装置，方法包括：创建宿主机的宿主机资源虚拟私有云及与云环境中各应用一一对应的虚拟私有云；对下发到宿主机资源虚拟私有云的物理机的网卡进行虚拟化生成虚拟网卡，以使物理机中生成的容器与生成的虚拟网卡一一对应；将与虚拟网卡一一对应的容器归属至应用的虚拟私有云。本发明通过对各应用划分单独的私有云和资源租户的私有云的划分，实现了各应用容器之间的数据隔离，解决现有技术中公有云环境容器数据没有强隔离的问题，各应用属于各自的虚拟私有云，最终使得各应用之间的数据隔离通过虚拟私有云隔离进行实现，达到了数据隔离、安全保障的目的，对于公有云环境安全性能提升有了进一步的改进。

技术领域

本发明涉及云计算技术，特别是云计算的数据安全领域，具体的讲是一种云环境中租户数据隔离方法及装置。

背景技术

随着近几年来云原生生态的不断壮大，原先非云原生应用的部分都逐渐在向云原生应用迁移。云原生应用技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。

传统环境下的应用，数据库多部署在企业内部网络环境，通过物理隔离实现数据的完全私有。对于企业来说，数据得到了很好的私密性和安全性。但同时也造成了很多计算、网络、存储资源的浪费。在云计算时代，特别是在公有云环境下，多租户的软件架构应运而生，它的定义是在一台服务器上运行单个应用实例，它为多个租户提供服务，在数据共享、安全隔离、卓越性能方面都有这很好的表现。私有云环境下应用的MySQL容器隔离依赖于Linux命名空间级别的隔离，虽然能够实现一定的访问限制，但仍然有数据泄露的风险。同时，多租户应用在租户数量增多的情况下，会比单租户应用面对更多的性能压力。多租户在数据层的框架如何在共享、安全与性能间进行取舍。

发明内容

为解决现有技术中云环境容器数据没有强隔离的问题，本发明提供一种云环境中租户数据隔离方法，包括：

创建宿主机资源的虚拟私有云及与云环境中各应用一一对应的各应用的虚拟私有云；

对下发到宿主机资源虚拟私有云的物理机的网卡进行虚拟化生成虚拟网卡，以使所述物理机中生成的容器与生成的虚拟网卡一一对应；

将与所述虚拟网卡一一对应的容器归属至应用的虚拟私有云。

本发明实施例中，所述的创建宿主机资源的虚拟私有云及与云环境中各应用一一对应的各应用的虚拟私有云包括：

分别确定云环境中的业务租户的网段和资源租户的网段；

在所述业务租户的网段创建业务虚拟私有云，在所述资源租户的网段创建资源虚拟私有云。

本发明实施例中，创建宿主机的宿主机资源虚拟私有云及与云环境中各应用一一对应的虚拟私有云包括：

划分云环境中的各应用的网段和宿主机资源的网段；

在划分的各应用的网段创建业务虚拟私有云，在宿主机资源的网段创建宿主机资源虚拟私有云。

本发明实施例中，所述的对下发到宿主机资源虚拟私有云的物理机的网卡进行虚拟化生成虚拟网卡，以使所述物理机中生成的容器与生成的虚拟网卡一一对应包括：

向所述宿主机资源虚拟私有云下发物理机作为容器的宿主机；

对所述物理机的网卡进行虚拟化处理生成虚拟网卡；

在所述物理机中创建容器；

将在所述物理机中创建的容器并与所述虚拟网卡一一对应。

本发明实施例中，所述的对下发到宿主机资源虚拟私有云的物理机的网卡进行虚拟化生成虚拟网卡，以使所述物理机中生成的容器与生成的虚拟网卡一一对应包括：

向所述宿主机资源虚拟私有云下发物理机作为容器的宿主机；