容器云多租戶及權(quán)限中心設(shè)計(jì)

　　不同組織架構(gòu)支持。租戶可能是一個(gè)公司、一個(gè)部門、一個(gè)團(tuán)隊(duì)、一個(gè)項(xiàng)目組或者簡(jiǎn)單一個(gè)人等。一個(gè)公司可能有不同的部門，一個(gè)部門有子部門，一個(gè)團(tuán)隊(duì)可能有多個(gè)項(xiàng)目組，一個(gè)人可能屬于不同的團(tuán)隊(duì)不同的項(xiàng)目組……有點(diǎn)頭大，是不是？多租戶中需要支持不同的組織架構(gòu)形式，并且這個(gè)組織架構(gòu)是租戶自己定義管理的。

　　權(quán)限定義。容器云為租戶提供不同的功能，不同功能組件可能面臨著不同權(quán)限定義的問題。對(duì)于租戶來說，可以完全控制其下的賬戶管理，賬戶管理可能有增刪改查等權(quán)限；但對(duì)資源，只能申請(qǐng)、使用分配到的資源，或者再分配資源給其他用戶或角色。而對(duì)租戶自己的應(yīng)用可能有查詢、部署、運(yùn)維（配置更新停止啟動(dòng)等）、刪除等權(quán)限。

　　角色定義、授權(quán)。對(duì)于部署的應(yīng)用A， 可能的需求是分配一個(gè)用戶UserA僅 有應(yīng)用A運(yùn)維的角色，用戶UserA只有運(yùn)維應(yīng)用A的權(quán)限。當(dāng)然用戶UserA需要有從鏡像倉(cāng)庫(kù)更新對(duì)應(yīng)的應(yīng)用鏡像的權(quán)限，需要有在日志中心查詢應(yīng)用A的日志的權(quán)限，在監(jiān)控告警中心配置應(yīng)用A監(jiān)控告警規(guī)則的權(quán)限等。當(dāng)然也可以不賦予用戶A此權(quán)限。

　　多租戶用戶登錄。前面提到不同租戶下可能有同名用戶或同賬號(hào)用戶。同一用戶/同一賬號(hào)也可能屬于不同的租戶，那么登錄的時(shí)候如何通過租戶賬號(hào)來區(qū)分？

　　對(duì)應(yīng)用不同資源需求的支持。租戶開發(fā)的應(yīng)用可能需要不同的資源類型來支撐，比如某應(yīng)用B需要內(nèi)存優(yōu)化的資源，某應(yīng)用C需要IO優(yōu)化和高CPU計(jì)算的資源，應(yīng)用D可能只通用資源就可以，應(yīng)用E需要GPU資源，等等。這就需要根據(jù)不同的應(yīng)用需求，提供不同的資源支撐。

　　充分利用現(xiàn)有資源。我們知道容器不占用很多資源，那么為充分有效利用可用的資源，公司內(nèi)可能有虛擬化資源，也可能有一些淘汰的物理機(jī)。是不是可以利用起來部署容器？這些設(shè)備配置各異，即便是新購(gòu)買主機(jī)，不同批次配置也可能不一樣，這些資源如何能更好的管理和使用？

　　都把容器列到菜單最顯著位置，生怕沒人知道他們采用了容器技術(shù)。但對(duì)于租戶來說關(guān)心的重點(diǎn)應(yīng)該是應(yīng)用，用不用容器，用什么容器，應(yīng)用部署在哪臺(tái)主機(jī)哪個(gè)集群都應(yīng)該是透明的，都不重要。只要保證資源有效可用，在資源異常情況下能順利實(shí)現(xiàn)應(yīng)用遷移即可。

　　回到應(yīng)用。這里的應(yīng)用我們指業(yè)務(wù)應(yīng)用。一個(gè)業(yè)務(wù)應(yīng)用可以看作是一個(gè)系統(tǒng)，也可以是系統(tǒng)的一個(gè)模塊，或者組件。一個(gè)業(yè)務(wù)應(yīng)用可能由多個(gè)服務(wù)組成，這里就涉及到了服務(wù)的編排。每個(gè)服務(wù)可能需要部署一到多個(gè)服務(wù)實(shí)例，每個(gè)服務(wù)實(shí)例運(yùn)行在Pods或容器中。Pods或容器和主機(jī)、存儲(chǔ)、網(wǎng)絡(luò)等資源相關(guān)，主機(jī)上有CPU、Memory等資源。我們希望我們運(yùn)維一個(gè)應(yīng)用時(shí)，不同層次的對(duì)象可以有效平滑的關(guān)聯(lián)起來，就像一個(gè)人，有骨架，有血肉，是一個(gè)整體。而不是點(diǎn)這里一下，再點(diǎn)那里一下，跳來跳去。

　　同時(shí)業(yè)務(wù)服務(wù)涉及到鏡像倉(cāng)庫(kù)、服務(wù)的注冊(cè)發(fā)現(xiàn)、服務(wù)配置、服務(wù)部署策略、服務(wù)運(yùn)行監(jiān)控、服務(wù)彈性伸縮、服務(wù)負(fù)載均衡、異常遷移、自動(dòng)恢復(fù)等。每個(gè)租戶登錄時(shí)可能只希望看到鏡像倉(cāng)庫(kù)、日志、監(jiān)控告警、配置等中自己相關(guān)的信息，不希望其他租戶看到自己的信息。

　　多租戶還有重要的一點(diǎn)就是安全和資源隔離。租戶用戶不需要連接登錄遠(yuǎn)程容器云資源主機(jī)或容器引擎。我們說了，容器資源由容器平臺(tái)來運(yùn)維，租戶只是使用資源。不管私有云或公有云，理念要一致，不能隨意而為。否則安全就無法保證。

　　基于上面提到的需求，我們看下怎么實(shí)現(xiàn)�？雌饋硗�復(fù)雜，其實(shí)也很簡(jiǎn)單。只有想不到，沒有做不到。

　　從目前國(guó)內(nèi)各廠商的實(shí)現(xiàn)來看，沒有能滿足以上需求的， 也沒有廠商認(rèn)真考慮上面的問題。

　　多租戶設(shè)計(jì)，需要考慮到租戶的權(quán)限訪問控制，這涉及到容器云平臺(tái)整體的權(quán)限控制架構(gòu)，所以這里我們提出了一個(gè)權(quán)限中心的概念，實(shí)現(xiàn)一個(gè)權(quán)限中心，由權(quán)限中心來實(shí)現(xiàn)對(duì)容器云各組件及各功能的動(dòng)態(tài)控制，以適應(yīng)靈活的不同的場(chǎng)景需求？

　　一、 組織結(jié)構(gòu)的實(shí)現(xiàn)可采用類似論壇的層次結(jié)構(gòu)方法，無論多少層多少級(jí)，只標(biāo)注其父結(jié)點(diǎn)ID，樹型結(jié)構(gòu)遍歷可以獲得所有的結(jié)點(diǎn)。這也是我們下面權(quán)限訪問控制實(shí)現(xiàn)的基礎(chǔ)。

　　二、由于每項(xiàng)功能可以提供不同的操作，所以定義權(quán)限時(shí)很難用統(tǒng)一的權(quán)限名稱來定義，這里可以借助Oracle數(shù)據(jù)庫(kù)的權(quán)限定義，比如應(yīng)用管理，有部署、查看、運(yùn)維、刪除等權(quán)限；租戶資源管理，有申請(qǐng)、使用、再分配等權(quán)限。

　　三、角色定義，就需要基于用戶及用戶組織結(jié)構(gòu)，權(quán)限和容器云提供給租戶的功能列表來實(shí)現(xiàn)�？梢圆捎肙racle 數(shù)據(jù)庫(kù)的用戶角色權(quán)限定義方式來定義。容器云平臺(tái)初始化時(shí)可以預(yù)定義角色，比如租戶管理員角色、應(yīng)用管理員角色等。

　　四、用戶登錄我們借用Windows domain的概念，一個(gè)租戶就是一個(gè)domain。租戶賬號(hào)就是domain name。 登錄時(shí)指定domainName\useraccount的方式登錄。根據(jù)定義的角色權(quán)限展示不同用戶視圖。以租戶賬號(hào)登錄時(shí)，可以不用指定domain登錄。 租戶/用戶賬號(hào)是有效的Email Address。租戶賬號(hào)是超級(jí)用戶賬號(hào)。

　　五、資源管理需要容器云平臺(tái)來支撐，簡(jiǎn)單的方式是通過標(biāo)簽來進(jìn)行資源分類。 一方面可以方便的充分有效的利用公司內(nèi)資源，另一方面也有針對(duì)性的對(duì)應(yīng)用不同資源需求提供支持。再者也可以簡(jiǎn)單實(shí)現(xiàn)資源隔離。

　　這樣組織結(jié)構(gòu)可支持不同的需求變化，每用戶（人員）有從屬于租戶（domain）下的自己的賬號(hào)。租戶可定義不同的角色，角色賦予用戶，用戶可有多種角色、角色權(quán)限可繼承。用戶使用資源重點(diǎn)關(guān)注應(yīng)用的運(yùn)維。

　　之所以把權(quán)限訪問控制提取出來實(shí)現(xiàn)一個(gè)統(tǒng)一的權(quán)限中心組件，是因?yàn)檎麄�(gè)容器云平臺(tái)，各個(gè)組件都面臨著權(quán)限訪問控制需求。從云計(jì)算的理念來說，松耦合，插件式的組件或模塊設(shè)計(jì)更靈活和適用快速變化的需求。對(duì)一個(gè)客戶來說，一個(gè)組件可能需要也可能不需要，每個(gè)組件都可以以插拔的方式來控制，根據(jù)客戶需求來部署相應(yīng)的組件，實(shí)現(xiàn)相應(yīng)的權(quán)限訪問控制，將會(huì)更靈活和便利。