基于Kubrnetes的容器云平台强多租户模型关键技术研究

发布时间：2020-06-04 14:59

【摘要】：随着近年来云计算虚拟化技术的进一步发展,以Docker为代表的容器技术以其轻量级的特性正替代着传统Hypervisor技术在其云计算中的位置,构筑于容器技术之上的容器集群编排技术Kubernetes已然成为容器集群编排领域的事实标准。集群安全及多租能力一直以来都是云计算领域的研究重点,虽然目前Kubernetes在安全及隔离能力的支持上实现了一系列的功能特性,但是相对于构筑于Hypervisor技术之上的OpenStack项目,在多租隔离能力的支持上还是略显不足,不能提供像OpenStack在虚拟化,网络,用户管理,访问控制等多维度真正意义上的强多租户解决方案。本文重点分析了基于Kubernetes的容器云平台对隔离能力的多维度需求,在对比研究了目前Kubernetes与OpenStack在多租户隔离能力上的实现差异后,提出了一套融合部分OpenStack技术以实现Kubernetes强多租户模型的解决方案,该解决方案的主要创新点可以概括为:1.在Kubernetes中原生引入租户API和网络API,从源头上解决Kubernetes强多租户能力支持不足的问题。同时,容器运行时采用混合异构容器运行时Frakti以提供传统虚拟机级别的隔离性能。2.设计了访问控制多租户解决方案,该方案不仅实现了系统管理员、租户管理员和普通用户的层次化管理,而且实现了多租户的认证及授权。3.设计了基于Neutron技术的网络多租户解决方案,借助于Neutron的网络隔离能力实现了Kubernetes租户网络资源全方位的隔离。本文不仅提出了解决问题的思路和方法论,还通过实际软件开发实现了该解决方案。最后实验表明本文设计实现的Kubernetes强多租户模型解决方案Stackube不仅提供了Kubernetes真正意义上的强多租户能力,同时还满足大多数生产环境的性能要求。
【图文】：

２．邋３．邋２邋Ｋｕｂｅｒｎｅｔｅｓ邋架构逡逑Ｋｕｂｅｒｎｅｔｅｓ同许多其他分布式平台一样，从架构上来说，Ｋｕｂｅｒｎｅｔｅｓ的节点逡逑类型可以分为Ｍａｓｔｅｒ和Ｎｏｄｅ两类，，如图２．１所示，其中Ｍａｓｔｅｒ节点是整个集逡逑群的大脑，所有的编排、调度、ＡＰＩ访问等都由Ｍａｓｔｅｒ来负责。Ｎｏｄｅ节点则主逡逑要负责容器生命周期的管理工作，并为容器提供存储、网络、负载均衡等必要功逡逑能。逡逑１６逡逑

图２．３邋Ｋｕｂｅｍｅｔｅｓ控制器架构图逡逑２．邋３．邋４邋Ｋｕｂｅｒｎｅｔｅｓ邋访问控制逡逑如图２．３所示，所有的ＡＰＩ访问请求需要依次通过ｋｕｂｅ－ａｐｉｓｅｒｖｅｒ提供的三逡逑种安全访问控制措施：认证、授权和准入控制。逡逑外部用户＼逦｜逦｜邋丨逦丨丨逦｜逡逑—＾邋１．认证；逦２．鉴权；逦？：邋３．准入控制５逦？邋ｅｔｃｄ逡逑ｒＶ邋ｉ—？＾邋丨＾邋丨逦丨邋ｕ逡逑Ｉ邋Ｐｏｄ邋ｒ逦ｋｕｂｅ－ａｐｉｓｅｒｖｅｒ逡逑Ｓｅｒｖｉｃｅ邋Ａｃｃｏｕｎｔ逡逑图２．４邋Ｋｕｂｅｍｅｔｅｓ访问控制流程图逡逑当Ｋｕｂｅｒｎｅｔｅｓ集群开启ＴＬＳ时，所有的请求都需要首先进行认证。Ｋｕｂｅｍｅｔｅｓ逡逑支持多种认证机制，比如客户端证书、静态ｔｏｋｅｎ文件、引导ｔｏｋｅｎ、静态密码文逡逑件、ＳｅｒｖｉｃｅＡｃｃｏｕｎｔ、ＯｐｅｎＩＤ、Ｗｅｂｈｏｏｋ等几种认证方式。如果认证成功，则用户逡逑２０逡逑
【学位授予单位】：浙江大学
【学位级别】：硕士
【学位授予年份】：2019
【分类号】：TP393.09

【相似文献】

相关硕士学位论文 前1条

1 李伟东;基于Kubrnetes的容器云平台强多租户模型关键技术研究[D];浙江大学;2019年

本文编号：2696554