本申请实施例涉及计算节点处理领域,具体而言,涉及一种计算节点分配方法、装置、存储介质和电子设备。
背景技术:
1、容器技术凭借其轻量化、标准化封装等显著优势,被广泛应用于现代云原生环境中,极大地提高了容器应用的部署效率和可移植性。然而,kubernetes等容器集群管理应用虽然通过基于角色的访问控制(role based access control,rbac)机制实现了逻辑上的隔离,但在操作系统层面容器本身仅提供了进程级别的隔离,这在多租户环境中存在安全风险。例如,资源竞争或越权攻击等。目前,存在两种方案规避多租户环境中存在的安全风险。一是将每个租户的容器应用配备专属主机和独立网络资源,但会增加控制面资源的消耗和租户运维的复杂度。二是在计算节点上设置污点(taint)和容忍度标签,但增加了管理和运维的复杂度且存在安全隐患。
2、针对相关技术中,多租户环境下容器应用隔离性差、安全性低以及管理复杂度高等问题,尚未提出有效的解决方案。
技术实现思路
1、本申请实施例提供了一种计算节点分配方法、装置、存储介质和电子设备,以至少解决相关技术中多租户环境下容器应用隔离性差、安全性低以及管理复杂度高的问题。
2、根据本申请的一个实施例,提供了一种计算节点分配方法,包括:确定目标租户内容器应用归属的项目,其中,所述目标租户下设置有多个项目,所述多个项目分别设置有对应的优先级;获取所述项目的优先级对应的资源隔离等级,其中,所述资源隔离等级用于将容器集群内部署的多个计算节点划分为不同隔离等级;将所述资源隔离等级对应的计算节点分配至所述目标租户。
3、在一个示例性实施例中,所述资源隔离等级,包括:租户内专享隔离等级,用于确定所述目标租户下单个项目独有的计算节点;租户内共享隔离等级,用于确定所述目标租户下不同项目共享的计算节点;全局共享隔离等级,用于确定不同租户共享的计算节点。
4、在一个示例性实施例中,所述方法还包括:将所述容器集群内的多个计算节点默认初始化为所述全局共享隔离等级的计算节点。
5、在一个示例性实施例中,所述方法还包括:依据实际项目需求,设置不同资源隔离等级的计算节点在所述容器集群内部署的多个计算节点中的节点数量占比,得到设定比例;基于所述设定比例对所述容器集群内的多个计算节点进行分类,得到不同资源隔离等级的计算节点分组;按照不同资源隔离等级的计算节点分组,将所述容器集群内的多个计算节点的属性信息存储至目标数据库表,其中,所述目标数据库表包括:多个数据库表项,所述多个数据库表项均包括:多个数据库表字段,所述多个数据库表字段包括:计算节点名称、计算节点网络地址、计算节点隔离等级和计算节点对应的租户标识。
6、在一个示例性实施例中,所述方法还包括:按照哈希表形式,将所述目标数据库表的内容缓存至内存,其中,所述哈希表形式包括:多个键值对,所述多个键值对均包括:键字段与值字段,所述键字段用于记录不同资源隔离等级的等级标识,所述值字段用于记录所述等级标识对应的计算节点名称。
7、在一个示例性实施例中,所述方法还包括:按照预设周期检测不同资源隔离等级的计算节点分组是否处于资源均衡状态;响应于不同资源隔离等级的计算节点分组未处于所述资源均衡状态,获取待迁移计算节点的隔离等级、所述待迁移计算节点的资源剩余量、所述待迁移计算节点的容器应用运行数量、所述待迁移计算节点的容器镜像缓存数量以及所述待迁移计算节点的容器镜像最后更新时间,其中,所述待迁移计算节点优先在同一租户内专享隔离等级的计算节点分组与共享隔离等级的计算节点分组之间进行迁移,其次从全局共享隔离等级的计算节点分组迁移至专享隔离等级的计算节点分组或共享隔离等级的计算节点分组,最后从其他租户内的计算节点分组迁移至当前租户内的计算节点分组,所述资源剩余量包括:处理器剩余量和存储器剩余量;对所述待迁移计算节点的隔离等级、所述待迁移计算节点的资源剩余量、所述待迁移计算节点的容器应用运行数量、所述待迁移计算节点的容器镜像缓存数量以及所述待迁移计算节点的容器镜像最后更新时间进行加权计算,得到待迁移计算节点得分;响应于所述待迁移计算节点得分满足预设得分条件,将所述待迁移计算节点从当前所处计算节点分组迁移至目标计算节点分组,其中,所述目标计算节点分组中的剩余计算节点数量未满足当前项目需求。
8、在一个示例性实施例中,所述方法还包括:在所述目标租户下设置的不同优先级的项目与不同资源隔离等级的计算节点之间建立关联关系。
9、在一个示例性实施例中,所述方法还包括:为所述项目设置降级标识,其中,所述降级标识用于确定在所述项目待使用的第一隔离等级对应的计算节点未满足所述项目的实际需求时,是否允许为所述项目分配第二隔离等级对应的计算节点,所述第一隔离等级高于所述第二隔离等级。
10、在一个示例性实施例中,在将所述资源隔离等级对应的计算节点分配至所述目标租户之前,还包括:基于所述容器集群内的多个计算节点的节点可用状态与资源利用率,对所述容器集群内的多个计算节点进行过滤,得到过滤结果;将所述资源隔离等级对应的计算节点分配至所述目标租户,包括:依据所述过滤结果,将所述资源隔离等级对应的计算节点分配至所述目标租户。
11、根据本申请的另一个实施例,提供了一种计算节点分配装置,包括:确定模块,用于确定目标租户内容器应用归属的项目,其中,所述目标租户下设置有多个项目,所述多个项目分别设置有对应的优先级;获取模块,用于获取所述项目的优先级对应的资源隔离等级,其中,所述资源隔离等级用于将容器集群内部署的多个计算节点划分为不同隔离等级;分配模块,用于将所述资源隔离等级对应的计算节点分配至所述目标租户。
12、根据本申请的又一个实施例,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
13、根据本申请的又一个实施例,还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
14、通过本申请,首先确定目标租户内容器应用归属的项目,然后获取项目的优先级对应的资源隔离等级,最后将资源隔离等级对应的计算节点分配至目标租户,为目标租户下的项目设置优先级,并且将计算节点划分为不同隔离等级,根据项目的优先级与资源隔离等级之间的对应关系分配计算节点,在容器应用没有任何改造的情况下,能够自动感知调度到对应的计算节点,解决了多租户环境下容器应用隔离性差、安全性低以及管理复杂度高的问题,实现了面向多租户场景下容器应用不同等级的安全隔离,提高了计算节点的利用率以及容器应用的安全性,降低了运营计算节点的复杂度。
1.一种计算节点分配方法,其特征在于,
2.根据权利要求1所述的方法,其特征在于,
3.根据权利要求2所述的方法,其特征在于,
4.根据权利要求2所述的方法,其特征在于,
5.根据权利要求4所述的方法,其特征在于,
6.根据权利要求4所述的方法,其特征在于,
7.根据权利要求4所述的方法,其特征在于,
8.根据权利要求1所述的方法,其特征在于,
9.根据权利要求4所述的方法,其特征在于,
10.一种计算节点分配装置,其特征在于,
11.一种计算机可读存储介质,其特征在于,
12.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,
