一種資源配置方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本申請(qǐng)?jiān)O(shè)及云計(jì)算技術(shù)領(lǐng)域�,尤其設(shè)及一種資源配置方法及裝置。
【背景技術(shù)】
[0002] Docker是一個(gè)開源的應(yīng)用容器引擎��,允許開發(fā)者打包應(yīng)用到容器中,適合大規(guī)模 分布式應(yīng)用和大數(shù)據(jù)處理應(yīng)用場(chǎng)景���。
[0003] 圖1示出了現(xiàn)有技術(shù)中Docker管理環(huán)境的架構(gòu)示意圖���,如圖所示,包括:控制節(jié) 點(diǎn)�、容器庫(kù)、配置/服務(wù)發(fā)現(xiàn)存儲(chǔ)系統(tǒng)W及多臺(tái)容器節(jié)點(diǎn)�。其中,
[0004] (1)控制節(jié)點(diǎn)實(shí)現(xiàn)了對(duì)外的調(diào)用接口和集群內(nèi)資源調(diào)度功能���; 陽(yáng)0化](2)容器庫(kù)實(shí)現(xiàn)了容器的注冊(cè)和發(fā)布功能�����,在部署容器時(shí)可直接從容器庫(kù)中將相 關(guān)的容器移動(dòng)待部署的機(jī)器上����;
[0006] (3)配置/服務(wù)發(fā)現(xiàn)存儲(chǔ)系統(tǒng)用于共享配置并實(shí)現(xiàn)服務(wù)發(fā)現(xiàn)功能�����;
[0007] (4)容器節(jié)點(diǎn)用于實(shí)際運(yùn)行Docker容器�����。
[0008] 具體的�,在每臺(tái)容器節(jié)點(diǎn)上運(yùn)行了本地容器管理模塊、代理模塊���,其中��,
[0009] (1)本地容器管理模塊用于與控制節(jié)點(diǎn)通信�����,并根據(jù)控制節(jié)點(diǎn)的指令在本地創(chuàng)建 容器組��,容器組可W包含一個(gè)或多個(gè)容器���;
[0010] (2)代理模塊用于解決同一宿主機(jī)相同服務(wù)端口沖突的問(wèn)題���,還具備service轉(zhuǎn) 發(fā)服務(wù)端口來(lái)對(duì)外提供服務(wù)的能力。
[0011] 目前��,Docker管理環(huán)境中的運(yùn)些組件通常部署在一個(gè)數(shù)據(jù)中屯�����、內(nèi)部的多臺(tái)物理網(wǎng) 絡(luò)互通的物理服務(wù)器或多臺(tái)虛擬機(jī)上����。由于管理環(huán)境部署于同一個(gè)局域網(wǎng)內(nèi),各物理服務(wù) 器或虛擬機(jī)之間沒(méi)有安全隔離機(jī)制�����,不同用戶的應(yīng)用通過(guò)容器進(jìn)行隔離����。當(dāng)系統(tǒng)進(jìn)行組件、 資源等的配置管理時(shí)���,控制節(jié)點(diǎn)可W通過(guò)交換機(jī)或虛擬交換機(jī)可W向某個(gè)物理機(jī)或虛擬機(jī) 發(fā)送增加����、刪除組件消息,其他用戶也可W向該物理機(jī)或虛擬機(jī)發(fā)送攻擊性的消息����,例如修 改�、刪除應(yīng)用等。
[0012] 現(xiàn)有技術(shù)不足在于:
[0013] Docker管理環(huán)境中系統(tǒng)的配置管理過(guò)程中���,用戶的應(yīng)用存在一定的安全風(fēng)險(xiǎn)�����。
【發(fā)明內(nèi)容】
[0014] 本申請(qǐng)實(shí)施例提出了一種資源配置方法及裝置�����,W解決現(xiàn)有技術(shù)中系統(tǒng)的配置管 理過(guò)程中���,用戶的應(yīng)用存在一定安全風(fēng)險(xiǎn)的技術(shù)問(wèn)題。
[0015] 本申請(qǐng)實(shí)施例提供了一種資源配置方法�����,包括如下步驟:
[0016] 管理虛擬私有云VPC上的控制節(jié)點(diǎn)獲取用戶VPC中所部署的應(yīng)用的副本數(shù);所述 用戶VPC用于存放所述用戶的應(yīng)用�����;
[0017] 所述控制節(jié)點(diǎn)判斷所述用戶VPC中所部署的應(yīng)用的副本數(shù)是否與配置要求的數(shù) 量相同�����;
[0018] 所述控制節(jié)點(diǎn)根據(jù)判斷結(jié)果通過(guò)所述管理VPC與所述用戶VPC之間的安全隧道配 置所述用戶VPC上的容器���。
[0019] 本申請(qǐng)實(shí)施例提供了一種資源配置裝置�,包括:
[0020] 第一獲取模塊���,用于管理虛擬私有云VPC上的控制節(jié)點(diǎn)獲取用戶VPC中所部署的 應(yīng)用的副本數(shù)����;所述用戶VPC用于存放所述用戶的應(yīng)用�����;
[0021] 第一判斷模塊�����,用于所述控制節(jié)點(diǎn)判斷所述用戶VPC中所部署的應(yīng)用的副本數(shù)是 否與配置要求的數(shù)量相同;
[0022] 第一配置模塊�,用于所述控制節(jié)點(diǎn)根據(jù)判斷結(jié)果通過(guò)所述管理VPC與所述用戶 VPC之間的安全隧道配置所述用戶VPC上的容器。
[0023] 有益效果如下:
[0024] 本申請(qǐng)實(shí)施例所提供的資源配置方法及裝置��,在進(jìn)行資源配置時(shí)���,由管理VPC上 的控制節(jié)點(diǎn)獲取用戶VPC中所部署的應(yīng)用的副本數(shù)�,并判斷所述用戶VPC中所部署的應(yīng)用 的副本數(shù)是否低于預(yù)先配置數(shù)量�����,所述管理VPC上的控制節(jié)點(diǎn)根據(jù)判斷結(jié)果通過(guò)所述管理 VPC與所述用戶VPC之間的安全隧道配置所述用戶VPC上的容器�����,W滿足配置要求���。本申請(qǐng) 實(shí)施例中,由于用戶的應(yīng)用部署于用戶VPC中����,由管理VPC分別通過(guò)與各個(gè)用戶VPC之間的 安全隧道來(lái)管理、配置相應(yīng)的用戶VPC����,用戶之間通過(guò)VPC隔離��,從而確保在資源配置時(shí)只 有管理VPC可W與所述用戶VPC通信����,其他用戶無(wú)法訪問(wèn)或攻擊所述用戶VPC�����,提高了用戶 應(yīng)用的安全性��。
【附圖說(shuō)明】
[0025] 下面將參照附圖描述本申請(qǐng)的具體實(shí)施例�����,其中: 陽(yáng)0%] 圖1示出了現(xiàn)有技術(shù)中Docker管理環(huán)境部署的架構(gòu)示意圖�;
[0027] 圖2示出了現(xiàn)有技術(shù)中WKubernetes為例的Docker管理環(huán)境示意圖;
[002引圖3示出了本申請(qǐng)實(shí)施例中資源配置方法實(shí)施的流程示意圖���; 陽(yáng)029] 圖4示出了本申請(qǐng)實(shí)施例中Docker實(shí)現(xiàn)系統(tǒng)的結(jié)構(gòu)示意圖一�;
[0030] 圖5示出了本申請(qǐng)實(shí)施例中Docker實(shí)現(xiàn)系統(tǒng)的結(jié)構(gòu)示意圖二��;
[0031] 圖6示出了本申請(qǐng)實(shí)施例中系統(tǒng)的故障處理過(guò)程示意圖�;
[0032] 圖7示出了本申請(qǐng)實(shí)施例中用戶發(fā)起應(yīng)用擴(kuò)容的過(guò)程示意圖�����;
[0033] 圖8示出了本申請(qǐng)實(shí)施例中系統(tǒng)自動(dòng)擴(kuò)容的過(guò)程示意圖���;
[0034] 圖9示出了本申請(qǐng)實(shí)施例中資源配置裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0035] 為了使本申請(qǐng)的技術(shù)方案及優(yōu)點(diǎn)更加清楚明白��,W下結(jié)合附圖對(duì)本申請(qǐng)的示例性 實(shí)施例進(jìn)行進(jìn)一步詳細(xì)的說(shuō)明��,顯然���,所描述的實(shí)施例僅是本申請(qǐng)的一部分實(shí)施例�,而不是 所有實(shí)施例的窮舉��。并且在不沖突的情況下�,本說(shuō)明中的實(shí)施例及實(shí)施例中的特征可W互 相結(jié)合���。
[0036] 發(fā)明人在發(fā)明過(guò)程中注意到:
[0037] 目前kubernetes為常用的Docker容器集群管理系統(tǒng)�,它為容器化的應(yīng)用提供了 資源調(diào)度��、部署運(yùn)行��、服務(wù)發(fā)現(xiàn)、擴(kuò)容縮容等功能��。
[0038] 圖2示出了現(xiàn)有技術(shù)中Wkubernetes為例的Docker管理環(huán)境示意圖����,如圖所 不,Docker管理環(huán)境可W包括控制節(jié)點(diǎn)kubernetesmaster��、容器庫(kù)Dockerregistry�����、 高可用的鍵值存儲(chǔ)系統(tǒng)ETCD(-個(gè)分布式強(qiáng)一致性的key/value存儲(chǔ))和多臺(tái)容器節(jié)點(diǎn) kubernetesnode�����。
[0039] 在kubernetes中�,kubernetesmaster實(shí)現(xiàn)了API(應(yīng)用編程接口,Application ProgrammingInte;rface)服務(wù)器server�、副本控制器replicationcontrollers、調(diào)度器 sche化Ier等功能模塊���,其中:
[0040] APIserver作為kubernetes系統(tǒng)的入口���,封裝了核屯�、對(duì)象的增加��、刪除��、修改����、查 詢操作,WRESTF^iI(表述性狀態(tài)轉(zhuǎn)移���,RepresentationalStateTransfer)接口方式提供 給外部客戶和內(nèi)部組件調(diào)用�。它維護(hù)的REST對(duì)象將持久化到ETCD�。
[0041 ]ReplicationController實(shí)現(xiàn)復(fù)制多個(gè)化d副本,往往一個(gè)應(yīng)用需要多個(gè)化d來(lái)支撐����,并且可W保證其復(fù)制的副本數(shù),即使副本所調(diào)度分配的主宿機(jī)出現(xiàn)異常�,通過(guò) ReplicationController可W保證在其它主宿機(jī)啟用同等數(shù)量的化d���。
[0042] SChe化Ier負(fù)責(zé)集群的資源調(diào)度�����,為新建的pod分配機(jī)器����。
[0043] 在容器節(jié)點(diǎn)上運(yùn)行了本地容器管理模塊kubelet、代理模塊proxy,其中:
[0044] 本地容器管理模塊用于與控制節(jié)點(diǎn)(Master)通信�,并根據(jù)控制節(jié)點(diǎn)的指令在 本地創(chuàng)建容器組可W包含一個(gè)容器或多個(gè)相關(guān)的容器;在kubernetes中����,通常W容器組 (POD)為單位來(lái)進(jìn)行調(diào)度;
[0045] 代理模塊(Proxy)用于解決同一主宿機(jī)的相同服務(wù)端口沖突的問(wèn)題�,還提供了 Service轉(zhuǎn)發(fā)服務(wù)端口對(duì)外提供服務(wù)的能力。
[0046] 運(yùn)些組件可W部署在一個(gè)數(shù)據(jù)中屯�、內(nèi)部的多臺(tái)物理網(wǎng)絡(luò)互通的物理服務(wù)區(qū)或虛 擬機(jī)上。具體的����,可W將其中某些組件部署在相同的物理機(jī)或虛擬機(jī)上,例如�,將控制節(jié)點(diǎn) 和容器庫(kù)放在相同的物理機(jī)或虛擬機(jī)上,配置/服務(wù)發(fā)現(xiàn)存儲(chǔ)系統(tǒng)在3個(gè)或3個(gè)W上的物 理機(jī)或虛擬機(jī)上獨(dú)立集群部署��。
[0047] 綜上可W看出�����,現(xiàn)有Docker運(yùn)行環(huán)境大多是部署在同一局域網(wǎng)內(nèi)的物理機(jī)或虛 擬機(jī)上,彼此之間可W直接通信�,不同的用戶的應(yīng)用可W通過(guò)容器container隔離。
[0048] 但運(yùn)種方式����,當(dāng)系統(tǒng)進(jìn)行資源配置管理時(shí),控制節(jié)點(diǎn)可W通過(guò)交換機(jī)或虛擬交換 機(jī)可W向某個(gè)物理機(jī)或虛擬機(jī)發(fā)送增加��、刪除資源的消息�,其他用戶也可W向該物理機(jī)或 虛擬機(jī)發(fā)送攻擊性的消息,例如修改��、刪除應(yīng)用等��。
[0049] 因此�,現(xiàn)有技術(shù)可能存在用戶的應(yīng)用被其他用戶攻擊的風(fēng)險(xiǎn),不能防止來(lái)自容器 的入侵�����,安全性較低��,對(duì)于資源隔離要求高���、安全性要求高的多租戶場(chǎng)景并不適用����。
[0050] 為了解決上述問(wèn)題���,本申請(qǐng)實(shí)施例提出將容器container與虛擬私有云(VPC��, VirtualPrivateCloud)結(jié)合起來(lái)����,通過(guò)VPC的機(jī)制彌補(bǔ)容器所固有的安全缺陷��,也即�����,將 不同用戶的應(yīng)用放在不同VPC的虛擬機(jī)上����,同一用戶的不同應(yīng)用使用container隔離,W提 高安全性���。
[0051] 基于此����,本申請(qǐng)實(shí)施例提出了一種資源配置方法及裝置,下面進(jìn)行說(shuō)明����。
[0052] 圖3示出了本申請(qǐng)實(shí)施例中資源配置方法實(shí)施的流程示意圖,如圖所示��,所述資 源配置方法可W包括如下步驟:
[0053] 步驟301�、管理VPC上的控制節(jié)點(diǎn)獲取用戶VPC中所部署的應(yīng)用的副本數(shù);所述用 戶VPC用于存放所述用戶的應(yīng)用�;
[0054] 步驟302、所述控制節(jié)點(diǎn)判斷所述用戶VPC中所部署的應(yīng)用的副本數(shù)是否與配置 要求的數(shù)量相同�����;
[0055] 步驟303��、所述控制節(jié)點(diǎn)根據(jù)判斷結(jié)果通過(guò)所述管理VPC與所述用戶VPC之間的安 全隧道配置所述用戶VPC上的容器�����。
[0056] 具體實(shí)施中�����,管理VPC上