(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111614804.7 (22)申请日 2021.12.27 (71)申请人 北银金融科技有限责任公司 地址 100080 北京市海淀区复兴 路33号中 塔9层 (72)发明人 王蕊　于振华　邢佳　赵田军　 李鹏　武东　曹文东　马康　 (74)专利代理 机构 北京世誉鑫诚专利代理有限 公司 11368 代理人 刘秀珍 (51)Int.Cl. H04L 67/10(2022.01) H04L 67/02(2022.01) H04L 9/40(2022.01) (54)发明名称 一种基于容器平台的跨集群多租户资源管 理系统 (57)摘要 本发明提供的一种基于容器平台的跨集群 多租户资源管理系统， 所述管理系统包括： Web   UI界面展示模块 ， 用于页面控制和管理 ； Kubernetes容器云集群， 用于对所有需要访问容 器云平台多租户管理系统和企业用户进行管理； 权限管控模块， 用于根据容器云集群对所有用户 与不同角色和权限之间的配置关系， 对各用户发 出的资源访问权限申请进行审计， 当审计合法 时， 开放相应的资源访问权限； 资源管理模块， 用 于为审计合法的用户提供不同的资源访问服务； 桥接模块为容器云管理平台多租户管理系统的 外部数据接口， 用于和外部企业系统进行数据访 问和交互。 能够有效的支撑不同业务单元和不同 组织的差异化需求， 从而提升跨容器平台的效 率。 权利要求书1页 说明书4页 附图3页 CN 114285850 A 2022.04.05 CN 114285850 A 1.一种基于容器平台的跨 集群多租户资源管理系统， 其特 征在于， 所述管理系统包括： Web UI界面展示模块， 用于页面控制和管理； Kubernetes容器云集群， 用于对所有需要访问容器云平台多租户管理系统和企业用户 进行管理； 权限管控模块， 用于根据容器云集群对所有用户与不同角色和权限之间的配置关系， 对各用户发出的资源访问权限申请进行审计,当审计合法时， 开 放相应的资源访问权限； 资源管理模块， 用于为审计合法的用户提供不同的资源访问服 务； 桥接模块为容器云管理平台多租户管理系统 的外部数据接口， 用于和外部企业系统进 行数据访问和交 互。 2.根据权利要求1所述的一种基于容器平台的跨集群多租户资源管理系统， 其特征在 于， 所述容器云管理平台多租户管理系统的管理业 务场景的用户画像包括： 临时终端海外处 理系统管理者： 平台化 运营， 纳管容器云集群， 容器云平台； 运维人员： 针对基于项目的业务平台， 关注更高级易用的日志， 事件， 上下文分析， 根因 分析， 无边界分析能力； 云服务提供者： 提供容器云计算， 数据库、 消息引擎、 工作流通用PaaS服务， 企业IT部 门， 通过积累沉淀企业 通用技术， 数据， 业 务模块来丰富多样化云服 务。 3.根据权利要求1所述的一种基于容器平台的跨集群多租户资源管理系统， 其特征在 于， 所述系统还包括： 项目和集群之 间的关系信息包括： 项目名称、 集群名称、 集群登录访问 秘钥信息、 服务描述信息， 用于维护项目到集群的访问权限信息 。 4.根据权利要求1所述的一种基于容器平台的跨集群多租户资源管理系统， 其特征在 于， 所述系统还包括： 项目的资源配置信息由表项目和资源配置信息来管理和维护， 包括： 项目名称、 集群信息、 命名空间信息、 部署资源信息、 部署模式和部署资源描述。 5.根据权利要求1所述的一种基于容器平台的跨集群多租户资源管理系统， 其特征在 于， 所述系统还包括： 不同项目通过集群配置信息来做鉴权和认证来登录访问相应的集群， 项目内的资源信息和隔离 机制由项目和资源配置信息来管理。权　利　要　求　书 1/1 页 2 CN 114285850 A 2一种基于容器平台的跨集群多租户资源 管理系统 技术领域 [0001]本发明涉及资源管理领域， 尤其涉及一种基于容器平台的跨集群多租户资源管理 系统。 背景技术 [0002]随着平台技术和虚拟化技术的发展， 资源共享， 按需调度的需求要求系统平台上 就能够实现多个租户共用或租户独享物理的或者软件的资源。 [0003]租户的概念不止局限于集群的用户， 它可以包含为一组计算， 网络， 存储等资源组 成的工作负载集合， 也有 可能是跨集群的。 而在多租户共享多集群的情况下， 需要在 多集群 范围内对不同的租户提供尽可能的安全隔离， 以最大程度的避免恶意租户对其他租户的攻 击， 同时需要保证租户之间公平地分配共享 集群资源。 [0004]在隔离的安全程度上， 分为软隔离和硬隔离两种。 其中软隔离更多的是面向企业 内部的多租需求， 该形态下默认不存在恶意租户， 隔离的目的是为了内部团队间的业务保 护和对可能的安全攻击进行防护； 而硬隔离面向的更多是对外提供服 务的服务供应商。 [0005]基于角色的权限控制策略， 只限于单集群。 针对同一个团队经常在不同的 Kubernetes集群和多个命名空间中托管应用程序的场景， 企业用户通常需要在各个集群做 大量的基于角色的权限控制。 这种管理机制的弊端是管理复杂， 分散， 缺 乏统一， 体系化的 用户资源管理。 [0006]模拟公有云模式的IAM管理， 主要从四个维度来做资源管理， 用户管理， 把容器云 地域， 集群， 细粒度访问控制， 为授权创建API密钥。 [0007]首先在云管平台创建相应的用户建立用户认证体系， 然后把选择某地域内所有集 群， 或者某个集群， 或者某个集群内的命名空间进行资源的只读， 可写， 管理员权限的细粒 度访问控制。 还为用户授权创建API秘钥， 方便 接口对接和调用。 [0008]现有技术中的资源管理是对集群管理提出了一个体系化的管理方法， 存在的弊端 是， 没有提供一个友好的资源聚合管理， 例如管理员想查看跨集群的工作负载， 日志等信 息， 需要以集群列表作为入口， 进入每 个集群分别进行资源管理。 跨 集群操作性差 。 发明内容 [0009]鉴于上述问题， 提出了本发明以便提供克服上述问题或者至少部分地解决上述问 题的一种基于容器平台的跨 集群多租户资源管理系统。 [0010]根据本发明的一个方面， 提供了一种基于容器平台的跨集群多租户资源管理系 统， 所述管理系统包括： [0011]Web UI界面展示模块， 用于页面控制和管理； [0012]Kubernetes容器云集群， 用于对所有需要访问容器云平台多租户管理系统和企业 用户进行 管理； [0013]权限管控模块， 用于根据容器云集群对所有用户与不同角色和权限之间的配置关说　明　书 1/4 页 3 CN 114285850 A 3