【摘要】：隨著近年來云計(jì)算虛擬化技術(shù)的進(jìn)一步發(fā)展,以Docker為代表的容器技術(shù)以其輕量級(jí)的特性正替代著傳統(tǒng)Hypervisor技術(shù)在其云計(jì)算中的位置,構(gòu)筑于容器技術(shù)之上的容器集群編排技術(shù)Kubernetes已然成為容器集群編排領(lǐng)域的事實(shí)標(biāo)準(zhǔn)。集群安全及多租能力一直以來都是云計(jì)算領(lǐng)域的研究重點(diǎn),雖然目前Kubernetes在安全及隔離能力的支持上實(shí)現(xiàn)了一系列的功能特性,但是相對(duì)于構(gòu)筑于Hypervisor技術(shù)之上的OpenStack項(xiàng)目,在多租隔離能力的支持上還是略顯不足,不能提供像OpenStack在虛擬化,網(wǎng)絡(luò),用戶管理,訪問控制等多維度真正意義上的強(qiáng)多租戶解決方案。本文重點(diǎn)分析了基于Kubernetes的容器云平臺(tái)對(duì)隔離能力的多維度需求,在對(duì)比研究了目前Kubernetes與OpenStack在多租戶隔離能力上的實(shí)現(xiàn)差異后,提出了一套融合部分OpenStack技術(shù)以實(shí)現(xiàn)Kubernetes強(qiáng)多租戶模型的解決方案,該解決方案的主要?jiǎng)?chuàng)新點(diǎn)可以概括為:1.在Kubernetes中原生引入租戶API和網(wǎng)絡(luò)API,從源頭上解決Kubernetes強(qiáng)多租戶能力支持不足的問題。同時(shí),容器運(yùn)行時(shí)采用混合異構(gòu)容器運(yùn)行時(shí)Frakti以提供傳統(tǒng)虛擬機(jī)級(jí)別的隔離性能。2.設(shè)計(jì)了訪問控制多租戶解決方案,該方案不僅實(shí)現(xiàn)了系統(tǒng)管理員、租戶管理員和普通用戶的層次化管理,而且實(shí)現(xiàn)了多租戶的認(rèn)證及授權(quán)。3.設(shè)計(jì)了基于Neutron技術(shù)的網(wǎng)絡(luò)多租戶解決方案,借助于Neutron的網(wǎng)絡(luò)隔離能力實(shí)現(xiàn)了Kubernetes租戶網(wǎng)絡(luò)資源全方位的隔離。本文不僅提出了解決問題的思路和方法論,還通過實(shí)際軟件開發(fā)實(shí)現(xiàn)了該解決方案。最后實(shí)驗(yàn)表明本文設(shè)計(jì)實(shí)現(xiàn)的Kubernetes強(qiáng)多租戶模型解決方案Stackube不僅提供了Kubernetes真正意義上的強(qiáng)多租戶能力,同時(shí)還滿足大多數(shù)生產(chǎn)環(huán)境的性能要求。
【圖文】：

２．邋３．邋２邋Ｋｕｂｅｒｎｅｔｅｓ邋架構(gòu)逡逑Ｋｕｂｅｒｎｅｔｅｓ同許多其他分布式平臺(tái)一樣，從架構(gòu)上來說，Ｋｕｂｅｒｎｅｔｅｓ的節(jié)點(diǎn)逡逑類型可以分為Ｍａｓｔｅｒ和Ｎｏｄｅ兩類，，如圖２．１所示，其中Ｍａｓｔｅｒ節(jié)點(diǎn)是整個(gè)集逡逑群的大腦，所有的編排、調(diào)度、ＡＰＩ訪問等都由Ｍａｓｔｅｒ來負(fù)責(zé)。Ｎｏｄｅ節(jié)點(diǎn)則主逡逑要負(fù)責(zé)容器生命周期的管理工作，并為容器提供存儲(chǔ)、網(wǎng)絡(luò)、負(fù)載均衡等必要功逡逑能。逡逑１６逡逑

圖２．３邋Ｋｕｂｅｍｅｔｅｓ控制器架構(gòu)圖逡逑２．邋３．邋４邋Ｋｕｂｅｒｎｅｔｅｓ邋訪問控制逡逑如圖２．３所示，所有的ＡＰＩ訪問請(qǐng)求需要依次通過ｋｕｂｅ－ａｐｉｓｅｒｖｅｒ提供的三逡逑種安全訪問控制措施：認(rèn)證、授權(quán)和準(zhǔn)入控制。逡逑外部用戶＼邐｜邐｜邋丨邐丨丨邐｜逡逑—＾邋１．認(rèn)證；邐２．鑒權(quán)；邐？：邋３．準(zhǔn)入控制５邐？邋ｅｔｃｄ逡逑ｒＶ邋ｉ—？＾邋丨＾邋丨邐丨邋ｕ逡逑Ｉ邋Ｐｏｄ邋ｒ邐ｋｕｂｅ－ａｐｉｓｅｒｖｅｒ逡逑Ｓｅｒｖｉｃｅ邋Ａｃｃｏｕｎｔ逡逑圖２．４邋Ｋｕｂｅｍｅｔｅｓ訪問控制流程圖逡逑當(dāng)Ｋｕｂｅｒｎｅｔｅｓ集群開啟ＴＬＳ時(shí)，所有的請(qǐng)求都需要首先進(jìn)行認(rèn)證。Ｋｕｂｅｍｅｔｅｓ逡逑支持多種認(rèn)證機(jī)制，比如客戶端證書、靜態(tài)ｔｏｋｅｎ文件、引導(dǎo)ｔｏｋｅｎ、靜態(tài)密碼文逡逑件、ＳｅｒｖｉｃｅＡｃｃｏｕｎｔ、ＯｐｅｎＩＤ、Ｗｅｂｈｏｏｋ等幾種認(rèn)證方式。如果認(rèn)證成功，則用戶逡逑２０逡逑
【學(xué)位授予單位】：浙江大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2019
【分類號(hào)】：TP393.09

【相似文獻(xiàn)】

相關(guān)碩士學(xué)位論文 前1條

1 李偉東;基于Kubrnetes的容器云平臺(tái)強(qiáng)多租戶模型關(guān)鍵技術(shù)研究[D];浙江大學(xué);2019年

本文編號(hào)：2696554