云平台的构建方法、电子设备和计算机可读存储介质与流程

1.本技术涉及云服务技术领域，特别是涉及一种云平台的构建方法、电子设备和计算机可读存储介质。


背景技术：

2.随着云服务的兴起，企业和个人通过基于集群的云平台进行协同工作逐渐成为主流选择，但是现有的云平台进行配置的过程繁琐且对于用户而言所需的权限较高，但是给予用户较高的权限会导致用户之间相互影响，以致管理难度较大且整个云平台的可靠性不高，因此，现有的云平台在团队协作的场景下较为局限。有鉴于此，如何提高云平台的可靠性并降低管理的难度成为亟待解决的问题。


技术实现要素：

3.本技术主要解决的技术问题是提供一种云平台的构建方法、电子设备和计算机可读存储介质，能够提高云平台的可靠性并降低管理的难度。
4.为解决上述技术问题，本技术第一方面提供一种云平台的构建方法，该方法包括：将集群内的至少部分初始命名空间分别封装为项目，在所述项目对应的所述初始命名空间中创建所述初始命名空间对应的子命名空间；为每个所述初始命名空间及其对应的所述子命名空间设置资源配额；将每个所述初始命名空间中的默认配置统一设置到所述初始命名空间对应的一个所述子命名空间中，以获得所述集群对应的云平台。
5.为解决上述技术问题，本技术第二方面提供一种电子设备，该电子设备包括：相互耦接的存储器和处理器，其中，所述存储器存储有程序数据，所述处理器调用所述程序数据以执行上述第一方面所述的方法。
6.为解决上述技术问题，本技术第三方面提供一种计算机存储介质，其上存储有程序数据，所述程序数据被处理器执行时实现上述第一方面所述的方法。
7.上述方案，将集群内的初始命名空间进行封装，以使初始命名空间封装成项目，在项目对应的初始命名空间中创建初始命名空间对应的子命名空间，从而子命名空间的层级低于初始命名空间，且在初始命名空间中创建子命名空间能够降低用户的权限等级需求，降低用户之间的影响，提高云平台的可靠性，对于初始命名空间对应的子命名空间而言，能够按照初始命名空间的资源配额为子命名空间设置资源配额，以便于对子命名空间以及子命名空间的资源配额进行统一管理，将每个初始命名空间中的默认配置统一设置到一个子命名空间中，以降低当初始命名空间包括多个子命名空间时对默认配置重复设置的概率，降低对云平台进行管理的难度。
附图说明
8.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于
本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。其中：
9.图1是本技术云平台的构建方法一实施方式的流程示意图；
10.图2是本技术云平台的构建方法另一实施方式的流程示意图；
11.图3是本技术电子设备一实施方式的结构示意图；
12.图4是本技术计算机存储介质一实施方式的结构示意图。
具体实施方式
13.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性的劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
14.本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。此外，本文中的“多”表示两个或者多于两个。
15.请参阅图1，图1是本技术云平台的构建方法一实施方式的流程示意图，该方法包括：
16.s101：将集群内的至少部分初始命名空间分别封装为项目，在项目对应的初始命名空间中创建初始命名空间对应的子命名空间。
17.具体地，从集群中提取至少部分初始命名空间，对提取出的初始命名空间进行封装得到项目，基于项目内的权限在项目对应的初始命名空间中创建初始命名空间对应的子命名空间。其中，初始命名空间的层级高于子命名空间。
18.在一应用方式中，将集群中已经创建的初始命名空间作为父级的命名空间，对初始命名空间进行封装以使层级较高的命名空间封装为项目，每个项目作为租户且租户内对应用户，以形成基于项目的租户体系，基于项目赋予用户的权限，用户可以在项目对应的初始命名空间中创建子命名空间，子命名空间为层级在初始命名空间之下的命名空间，从而用户在创建子命名空间时无需集群管理员级别的权限，降低用户的权限等级需求以及用户之间的影响，从而提高云平台的可靠性，且当作为父级的初始命名空间被删除时，整个初始命名空间内对应的子命名空间能够被一并删除，从而避免逐一删除用户创建的命名空间的麻烦。
19.在一应用场景中，集群为kubernetes集群，kubernetes集群中通过命名空间(namespace)实现资源隔离，在集群内获取集群内已有的初始命名空间或者藉由集群管理员权限在集群中创建初始命名空间，将初始命名空间封装为项目，每个项目对应有各自的用户，响应于用户基于项目内的权限创建命名空间时，在项目对应的初始命名空间内创建子命名空间，以使用户创建的子命名空间只作用在初始命名空间中，进而不同用户所创建的子命名空间在初始命名空间之间不会相互影响。
20.s102：为每个初始命名空间及其对应的子命名空间设置资源配额。
21.具体地，每个初始命名空间拥有独立的资源配额，为初始命名空间向集群管理员
申请资源配额，从而为初始命名空间设置资源配额，基于初始命名空间的资源配额为初始命名空间对应的子命名空间设置对应的资源配额，初始命名空间对应的所有子命名空间的资源配额之和不超过初始命名空间的资源配额，以便于对子命名空间以及子命名空间的资源配额进行统一管理。
22.在一应用方式中，为每个初始命名空间设置资源配额，将初始命名空间对应的所有资源配额分配给初始命名空间中当前的子命名空间，其中，子命名空间可以均分资源配额也可以按照预设规则为子命名空间设置资源配额，当初始命名空间中新创建有其他子命名空间时，则对初始命名空间中的资源配额进行重新分配。
23.在另一应用方式中，为每个初始命名空间设置资源配额，将初始命名空间对应的部分资源配额分配给初始命名空间中当前的子命名空间，当初始命名空间中新创建有其他子命名空间时，则将未分配的部分资源配额分配给新创建的其他子命名空间。
24.s103：将每个初始命名空间中的默认配置统一设置到初始命名空间对应的一个子命名空间中，以获得集群对应的云平台。
25.具体地，项目对应的初始命名空间内包括默认配置，这些默认配置在创建项目时自动生成，如果每个子命名空间都创建会出现非常多的冗余，因此将初始命名空间中的默认配置统一设置到一个子命名空间中，从而降低当初始命名空间包括多个子命名空间时对默认配置重复设置的概率。
26.进一步地，完成默认配置的设置后，生成集群对应的云平台以供用户进行使用。
27.可选地，将默认配置设置到一个默认的子命名空间后，对子命名空间中的默认配置进行保护，以赋予用户使用和查看默认配置的权限，且用户未被赋予对默认配置进行修改和删除的权限。
28.在一应用场景中，项目基于kubernetes集群中的初始命名空间封装后获得，其中，初始命名空间内role、rolebinding、serviceaccount、secret为默认配置，将第一个子命名空间作为默认子命名空间，将默认配置统一设置到初始命名空间的默认子命名空间中。
29.上述方案，将集群内的初始命名空间进行封装，以使初始命名空间封装成项目，在项目对应的初始命名空间中创建初始命名空间对应的子命名空间，从而子命名空间的层级低于初始命名空间，且在初始命名空间中创建子命名空间能够降低用户的权限等级需求，降低用户之间的影响，提高云平台的可靠性，对于初始命名空间对应的子命名空间而言，能够按照初始命名空间的资源配额为子命名空间设置资源配额，以便于对子命名空间以及子命名空间的资源配额进行统一管理，将每个初始命名空间中的默认配置统一设置到一个子命名空间中，以降低当初始命名空间包括多个子命名空间时对默认配置重复设置的概率，降低对云平台进行管理的难度。
30.请参阅图2，图2是本技术云平台的构建方法另一实施方式的流程示意图，该方法包括：
31.s201：从集群中提取至少部分初始命名空间，将提取出的初始命名空间分别封装为项目，以使每个项目对应至少部分用户。
32.具体地，从集群中提取至少部分初始命名空间，每个初始命名空间作为一个租户起到资源隔离的作用。
33.进一步地，对提取出的初始命名空间进行封装，得到初始命名空间对应的项目，其
中，每个项目对应有各自的用户，每个项目中对应至少部分用户。
34.在一应用场景中，集群为kubernetes集群，集群内的初始命名空间对应匹配的用户，将集群中提取出的初始命名空间进行封装，从而得到初始命名空间对应的项目，每个项目对应有匹配的用户。
35.s202：响应于获得用户提交的创建子命名空间的指令，确定用户对应的项目并在项目对应的初始命名空间中创建子命名空间，以使初始命名空间的层级大于对应的子命名空间的层级。
36.具体地，当获得用户提交的创建子命名空间的指令时，确定用户所匹配的项目，在确定后的项目所对应的初始命名空间中创建子命名空间，此时初始命名空间的层级大于对应的子命名空间的层级。
37.进一步地，父级的初始命名空间的权限配置可以直接作用到对应的子命名空间，从而避免了权限配置的重复，同时子命名空间的资源配额也可在初始命名空间中基于初始命名空间原生的quota进行统一管理，使得整个控制变得更加简单，当父级的初始命名空间被删除时，初始命名空间对应的子命名空间被一并删除，从而避免逐一删除子命名空间的麻烦。
38.可选地，子命名空间之间的名称可以重复，只需要保证子命名空间内部唯一即可，因此可以实现与传统的基于命名空间的租户体系同样的效果。
39.s203：利用基于角色的权限控制模型为每个项目对应的用户分配不同类型的角色，其中，不同类型的角色对应有不同的权限等级。
40.具体地，利用rbac(role-based access control)模型，也就是利用基于角色的权限控制模型对每个项目内对应的用户分配不同类型的角色，每种类型的角色对应各自的权限等级，从而为不同的用户或者用户在使用不同功能时设置对应的权限等级。
41.进一步地，项目内的用户都需要具有一个角色，每个角色对应一组相应的权限，通过为用户分配对应的角色即可构建用户的权限体系。
42.s204：基于每个项目对应的用户所匹配的角色，为每个项目对应的用户设置权限。
43.具体地，基于每个项目对应的用户所匹配的角色，确定每个项目中的用户的角色所匹配的权限等级，为每个项目对应的用户设置对应的权限，以便构建权限体系。
44.在一应用方式中，获取每个项目对应的用户所匹配的角色的类型，基于角色的类型所对应的权限等级为对应的用户设置权限；其中，角色的类型包括所有者、管理者、操作者和读取者中的一种或几种，且所有者、管理者、操作者和读取者的权限等级由高到低排序。
45.具体地，确定每个项目对应的用户所匹配的角色的类型，基于角色的类型所对应的权限等级为用户设置对应的权限。其中，角色的类型包括所有者(owner)、管理者(manager)、操作者(operator)和读取者(viewer)中的一种或几种，在整个权限体系中，所有者的权限最高而读取者的权限最低，且所有者、管理者、操作者和读取者的权限等级由高到低排序，通过不同类型的角色对应的权限等级构建出权限体系，以使用户在使用云平台时能够通过云平台对集群进行相应的操作，明确用户在使用不同功能时的权限。
46.在一应用场景中，角色的类型包括所有者(owner)、管理者(manager)、操作者(operator)和读取者(viewer)，所有者(owner)拥有项目内所有权限，包括删除项目的权
限，管理者(manager)拥有除不能删除项目外的所有权限，操作者(operator)拥有除不能处理用户和角色的权限外所有其他权限，读取者(viewer)拥有集群内所有读权限。在其他应用场景中也可以设置其他类型的角色并为不同类型的角色设置对应的权限，本技术对此不做具体限制。
47.s205：基于每个项目申请到的资源配额为项目对应的初始命名空间设置对应的资源配额。
48.具体地，响应于每个项目向集群管理员申请资源配额且集群管理员通过申请后，利用申请到的资源配额为项目对应的初始命名空间设置对应的资源配额。
49.可选地，响应于每个项目向集群管理员申请增加资源配额且集群管理员通过申请后，利用申请到的资源配额为项目对应的初始命名空间在已有的资源配额的基础上增加申请到的资源配额。
50.s206：基于每个初始命名空间的资源配额为初始命名空间对应的子命名空间设置对应的资源配额。
51.具体地，根据每个初始命名空间的资源配额为初始命名空间对应的子命名空间设置对应的资源配额，其中，每个初始命名空间对应的所有子命名空间对应的资源配额之和小于或等于初始命名空间对应的资源配额。
52.在一应用场景中，每个初始命名空间下所有子命名空间共享初始命名空间的资源配额，基于不同的子命名空间所代表的不同环境得到不同的资源配额分配，以使子命名空间的资源配额之和等于初始命名空间对应的资源配额。当初始命名空间中新创建有其他子命名空间时，初始命名空间对应的项目向集群管理员申请增加资源配额，以实时更新初始命名空间的配额。
53.在另一应用场景中，每个初始命名空间下的部分资源配额分配给子命名空间，基于不同的子命名空间所代表的不同环境得到不同的资源配额分配，以使子命名空间的资源配额之和小于初始命名空间对应的资源配额。当初始命名空间中新创建有其他子命名空间时，判断未分配的资源配额是否满足新创建的其他子命名空间的需求，若满足，则将未分配的资源配额中的至少部分资源配额分配给其他子命名空间，若不满足，则初始命名空间对应的项目向集群管理员申请增加资源配额，以减少向集群申请资源配额的频率。
54.s207：将每个初始命名空间中的默认配置统一设置到初始命名空间对应的一个子命名空间中，以获得集群对应的云平台。
55.具体地，项目对应的初始命名空间内包括默认配置，这些默认配置在创建项目时自动生成，将初始命名空间中的默认配置统一设置到一个子命名空间中，得到集群对应的云平台。
56.在一应用方式中，获取将初始命名空间封装成项目时生成的默认配置，从初始命名空间中提取一个命名空间作为默认命名空间；将默认配置同一设置到每个初始命名空间对应的默认命名空间中，并对默认配置进行保护。
57.具体地，获取将初始命名空间进行封装时生成的默认配置，当初始命名空间中包括至少一个子命名空间时，从初始命名空间的子命名空间中提取一个命名空间作为默认命名空间，如果每个子命名空间都创建会出现非常多的冗余，因此将默认配置统一设置到每个初始命名空间对应的默认命名空间中，从而降低当初始命名空间包括多个子命名空间时
对默认配置重复设置的概率，通过策略控制工具对默认配置进行保护，以限制用户对默认配置进行修改和删除的权限，提高云平台的稳定性。
58.在一应用场景中，默认配置包括应用仓库，将默认配置同一设置到每个初始命名空间对应的默认命名空间中，并对默认配置进行保护的步骤，包括：响应于获得基于默认模板部署的应用仓库或获得用户上传的应用仓库，将应用仓库以预设形式设置到默认命名空间中，并生成应用仓库对应的地址信息、用户信息和密令信息。
59.具体地，云平台中部署应用需要使用模板，可以通过默认的helm模板进行部署，通过管理oci(open container initiative)仓库来对helm模板进行管理，或者用户也可以使用自己的oci仓库来接入到云平台进行使用以使云平台能够进行识别，应用仓库以预设的secret形式设置到默认命名空间中以供部署运行时使用，并生成应用仓库对应的地址信息、用户信息和密令信息，从而确保用户对应用仓库进行使用，提高云平台的可靠性。其中，应用仓库对应的地址信息包括oci仓库地址、用户信息包括用户、密令信息包括密码、邮箱。
60.在另一应用场景中，默认配置包括镜像仓库，将默认配置同一设置到每个初始命名空间对应的默认命名空间中，并对默认配置进行保护的步骤，包括：响应于获得镜像仓库且镜像仓库中的镜像为私有镜像，获取私有镜像对应的认证信息，将认证信息以预设形式设置到默认命名空间中，并生成镜像仓库对应的地址信息、用户信息和密令信息。
61.具体地，云平台中部署容器需要拉取镜像，当镜像仓库中的镜像为私有镜像时，需要进行相关的认证信息才能够顺利拉取到镜像，将认证信息以预设的secret形式设置到默认命名空间中，并且在部署时传给集群进行使用，同时在平台中进行镜像构建时，也需要相关权限才能够将镜像应用到镜像仓库，此时也需要镜像仓库配置进行认证信息的管理，镜像仓库中需要生成镜像仓库对应的地址信息、用户信息和密令信息，从而确保用户对镜像仓库进行使用，提高云平台的可靠性。其中，镜像仓库对应的地址信息包括镜像仓库地址、用户信息包括用户、密令信息包括密码、邮箱。
62.可以理解的是，在部分应用场景中默认配置包括应用仓库和镜像仓库，本技术对此不再赘述。
63.在本实施例中，将集群内的初始命名空间进行封装，以使初始命名空间封装成项目，在项目对应的初始命名空间中创建初始命名空间对应的子命名空间，在高层级的初始命名空间中对子命名空间进行资源配额、权限设置，从而降低对创建子命名空间的权限需求，简化对子命名空间进行管理的难度，提高云平台的稳定性。
64.请参阅图3，图3是本技术电子设备一实施方式的结构示意图，该电子设备30包括相互耦接的存储器301和处理器302，其中，存储器301存储有程序数据(图未示)，处理器302调用程序数据以实现上述任一实施例中的云平台的构建方法，相关内容的说明请参见上述方法实施例的详细描述，在此不再赘叙。
65.请参阅图4，图4是本技术计算机可读存储介质一实施方式的结构示意图，该计算机可读存储介质40存储有程序数据400，该程序数据400被处理器执行时实现上述任一实施例中的云平台的构建方法，相关内容的说明请参见上述方法实施例的详细描述，在此不再赘叙。
66.需要说明的是，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以
分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施方式方案的目的。
67.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
68.集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本技术各个实施方式方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
69.以上所述仅为本技术的实施方式，并非因此限制本技术的专利范围，凡是利用本技术说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本技术的专利保护范围内。