【摘要】：隨著近年來云計算虛擬化技術(shù)的進一步發(fā)展,以Docker為代表的容器技術(shù)以其輕量級的特性正替代著傳統(tǒng)Hypervisor技術(shù)在其云計算中的位置,構(gòu)筑于容器技術(shù)之上的容器集群編排技術(shù)Kubernetes已然成為容器集群編排領域的事實標準。集群安全及多租能力一直以來都是云計算領域的研究重點,雖然目前Kubernetes在安全及隔離能力的支持上實現(xiàn)了一系列的功能特性,但是相對于構(gòu)筑于Hypervisor技術(shù)之上的OpenStack項目,在多租隔離能力的支持上還是略顯不足,不能提供像OpenStack在虛擬化,網(wǎng)絡,用戶管理,訪問控制等多維度真正意義上的強多租戶解決方案。本文重點分析了基于Kubernetes的容器云平臺對隔離能力的多維度需求,在對比研究了目前Kubernetes與OpenStack在多租戶隔離能力上的實現(xiàn)差異后,提出了一套融合部分OpenStack技術(shù)以實現(xiàn)Kubernetes強多租戶模型的解決方案,該解決方案的主要創(chuàng)新點可以概括為:1.在Kubernetes中原生引入租戶API和網(wǎng)絡API,從源頭上解決Kubernetes強多租戶能力支持不足的問題。同時,容器運行時采用混合異構(gòu)容器運行時Frakti以提供傳統(tǒng)虛擬機級別的隔離性能。2.設計了訪問控制多租戶解決方案,該方案不僅實現(xiàn)了系統(tǒng)管理員、租戶管理員和普通用戶的層次化管理,而且實現(xiàn)了多租戶的認證及授權(quán)。3.設計了基于Neutron技術(shù)的網(wǎng)絡多租戶解決方案,借助于Neutron的網(wǎng)絡隔離能力實現(xiàn)了Kubernetes租戶網(wǎng)絡資源全方位的隔離。本文不僅提出了解決問題的思路和方法論,還通過實際軟件開發(fā)實現(xiàn)了該解決方案。最后實驗表明本文設計實現(xiàn)的Kubernetes強多租戶模型解決方案Stackube不僅提供了Kubernetes真正意義上的強多租戶能力,同時還滿足大多數(shù)生產(chǎn)環(huán)境的性能要求。
【圖文】：

２．邋３．邋２邋Ｋｕｂｅｒｎｅｔｅｓ邋架構(gòu)逡逑Ｋｕｂｅｒｎｅｔｅｓ同許多其他分布式平臺一樣，從架構(gòu)上來說，Ｋｕｂｅｒｎｅｔｅｓ的節(jié)點逡逑類型可以分為Ｍａｓｔｅｒ和Ｎｏｄｅ兩類，，如圖２．１所示，其中Ｍａｓｔｅｒ節(jié)點是整個集逡逑群的大腦，所有的編排、調(diào)度、ＡＰＩ訪問等都由Ｍａｓｔｅｒ來負責。Ｎｏｄｅ節(jié)點則主逡逑要負責容器生命周期的管理工作，并為容器提供存儲、網(wǎng)絡、負載均衡等必要功逡逑能。逡逑１６逡逑

圖２．３邋Ｋｕｂｅｍｅｔｅｓ控制器架構(gòu)圖逡逑２．邋３．邋４邋Ｋｕｂｅｒｎｅｔｅｓ邋訪問控制逡逑如圖２．３所示，所有的ＡＰＩ訪問請求需要依次通過ｋｕｂｅ－ａｐｉｓｅｒｖｅｒ提供的三逡逑種安全訪問控制措施：認證、授權(quán)和準入控制。逡逑外部用戶＼邐｜邐｜邋丨邐丨丨邐｜逡逑—＾邋１．認證；邐２．鑒權(quán)；邐？：邋３．準入控制５邐？邋ｅｔｃｄ逡逑ｒＶ邋ｉ—？＾邋丨＾邋丨邐丨邋ｕ逡逑Ｉ邋Ｐｏｄ邋ｒ邐ｋｕｂｅ－ａｐｉｓｅｒｖｅｒ逡逑Ｓｅｒｖｉｃｅ邋Ａｃｃｏｕｎｔ逡逑圖２．４邋Ｋｕｂｅｍｅｔｅｓ訪問控制流程圖逡逑當Ｋｕｂｅｒｎｅｔｅｓ集群開啟ＴＬＳ時，所有的請求都需要首先進行認證。Ｋｕｂｅｍｅｔｅｓ逡逑支持多種認證機制，比如客戶端證書、靜態(tài)ｔｏｋｅｎ文件、引導ｔｏｋｅｎ、靜態(tài)密碼文逡逑件、ＳｅｒｖｉｃｅＡｃｃｏｕｎｔ、ＯｐｅｎＩＤ、Ｗｅｂｈｏｏｋ等幾種認證方式。如果認證成功，則用戶逡逑２０逡逑
【學位授予單位】：浙江大學
【學位級別】：碩士
【學位授予年份】：2019
【分類號】：TP393.09

【相似文獻】

相關碩士學位論文 前1條

1 李偉東;基于Kubrnetes的容器云平臺強多租戶模型關鍵技術(shù)研究[D];浙江大學;2019年

本文編號：2696554