集群系统的资源管理方法、装置、介质及电子设备与流程

1.本技术涉及计算机技术领域，具体而言，涉及一种集群系统的资源管理方法、装置、计算机可读介质及电子设备。


背景技术：

2.在集群系统的命名空间中存在各种各样的资源，在现有技术下，特定主体对各个命名空间只能建立一对一的管理关系，才可以对各个命名空间内的资源进行管理，现有技术容易增加维护集群系统的成本和提高维护的困难程度。
3.基于此，本领域技术人员急需一种集群系统的资源管理方法，以求在一定程度上简化资源管理操作，从而提高集群系统配置和维护的便利性。


技术实现要素：

4.本技术的实施例提供了一种集群系统的资源管理方法、装置、计算机程序产品或计算机程序、计算机可读介质及电子设备，进而至少在一定程度上简化资源管理操作，从而提高集群系统配置和维护的便利性。
5.本技术的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本技术的实践而习得。
6.根据本技术实施例的一个方面，提供了一种集群系统的资源管理方法，所述集群系统包括至少一个命名空间，所述命名空间中包括至少一种资源，所述方法包括：在所述集群系统中定义命名空间组，所述命名空间组包括至少一个命名空间；建立所述命名空间组与至少一个目标主体之间的绑定关系，以使得所述目标主体对所述命名空间组中的资源进行管理。
7.在本技术的一些实施例中，所述建立所述命名空间组与至少一个目标主体之间的绑定关系，包括：将所述命名空间组中各个命名空间的资源的访问权限授予至少一个目标主体，以完成建立所述命名空间组与至少一个目标主体之间的绑定关系的操作。
8.在本技术的一些实施例中，所述将所述命名空间组中各个命名空间的资源的访问权限授予至少一个目标主体，包括：定义针对所述命名空间组中资源的访问权限；创建授权配置模块，并基于所述授权配置模块，将所述命名空间组中各个命名空间的资源的访问权限同时授予至少一个目标主体。
9.在本技术的一些实施例中，所述基于所述授权配置模块，将所述命名空间组中各个命名空间的资源的访问权限同时授予至少一个目标主体，包括：创建与所述授权配置模块对应的授权控制模块；通过所述授权控制模块将所述命名空间组中各个命名空间的资源的访问权限授予至少一个目标主体。
10.在本技术的一些实施例中，所述通过所述授权控制模块将所述命名空间组中各个命名空间的资源的访问权限授予至少一个目标主体，包括：针对所述命名空间组中的每一个命名空间，通过所述授权控制模块在所述命名空间中定义所述访问权限；针对所述命名
空间组中的每一个命名空间，通过所述授权控制模块在所述命名空间中创建授权配置子模块；针对所述命名空间组中的每一个命名空间，基于所述授权配置子模块，将所述命名空间的资源的访问权限授予至少一个目标主体。
11.在本技术的一些实施例中，所述访问权限包括查看权限、创建权限、删除权限、以及更新权限中的至少一个。
12.在本技术的一些实施例中，所述目标主体对所述命名空间组中的资源进行管理，包括：获取所述目标主体针对所述命名空间组的访问权限；基于所述访问权限，所述目标主体对所述命名空间组中的各类资源进行查看、创建、删除、以及更新中的至少一个操作。
13.根据本技术的一个方面，提供了一种集群系统的资源管理装置，所述集群系统包括至少一个命名空间，所述命名空间中包括至少一种资源，所述装置包括：定义单元，被用于在所述集群系统中定义命名空间组，所述命名空间组包括至少一个命名空间；建立单元，被用于建立所述命名空间组与至少一个目标主体之间的绑定关系，以使得所述目标主体对所述命名空间组中的资源进行管理。
14.根据本技术的一个方面，提供了一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有至少一条程序代码，所述至少一条程序代码由处理器加载并执行以实现如所述的集群系统的资源管理方法所执行的操作。
15.根据本技术的一个方面，提供了一种电子设备，其特征在于，所述电子设备包括一个或多个处理器和一个或多个存储器，所述一个或多个存储器中存储有至少一条程序代码，所述至少一条程序代码由所述一个或多个处理器加载并执行以实现如所述的集群系统的资源管理方法所执行的操作。
16.基于上述方案，本技术至少具备以下优点或进步之处：
17.在本技术的一些实施例所提供的技术方案中，通过定义针对全集群系统的命名空间组，在命名空间-目标主体之间再搭建一层命名空间组，从而使得目标主体不需要再针对多个命名空间建立绑定关系，只需要对一个命名空间组进行绑定就可以管理多个命名空间中的资源。大幅度降低集群系统的维护难度，可以有效简化集群系统的资源管理操作，还能提高集群系统配置和维护的便利性。
18.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。
附图说明
19.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
20.显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
21.在附图中：
22.图1示出了可以应用本技术实施例的技术方案的示例性系统架构的示意图；
23.图2示出了根据本技术一个实施例的集群系统的资源管理方法的流程图；
24.图3示出了根据本技术一个实施例的集群系统的资源管理方法的流程图；
25.图4示出了根据本技术一个实施例的集群系统的资源管理方法的流程图；
26.图5示出了根据本技术一个实施例的集群系统的资源管理方法的流程图；
27.图6示出了根据本技术一个实施例的集群系统的资源管理方法的流程图；
28.图7示出了根据本技术的一个实施例的集群系统的资源管理装置的简图；
29.图8示出了适于用来实现本技术实施例的电子设备的计算机系统的结构示意图。
具体实施方式
30.现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本技术将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。
31.此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本技术的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本技术的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本技术的各方面。
32.附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
33.附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。
34.需要说明的是：在本文中提及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
35.请参阅图1。
36.图1示出了可以应用本技术实施例的技术方案的示例性系统架构的示意图。如图1所示，所述集群系统可以包括多个命名空间，在各个命名空间中可以包括多个资源。例如集群系统101，可以包括命名空间102、命名空间103、命名空间104、以及命名空间105。
37.在本技术的一个实施例中，所述集群系统可以是kubernetes集群系统，即k8s集群系统，其中，k8s集群系统包括至少一个命名空间。k8s集群系统可以看作一个高度可用的计算机集群，这些计算机连接起来作为一个单元工作。k8s集群系统中的抽象允许将容器化应用程序部署到集群，即为k8s集群系统中的pod，同时pod可以为本技术所述的资源，而无需将它们专门绑定到某个计算机上。
38.需要说明的是，本技术提出的实施例可以用到云场景中，例如云计算，云计算(cloud computing)是一种计算模式，它将计算任务分布在大量计算机构成的资源池上，使各种应用系统能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取，按需使用，随时扩展。通过建立云计算资源池(简称云平台，一般称为iaas(infrastructure as a service，基础设施即服务)平台，在资源池中部署多种类型的虚拟资源，供外部客户选择使用。云计算资源池中主要包括：计算设备(为虚拟化机器，包含操作系统)、存储设备、网络设
备。
39.以下对本技术实施例的技术方案的实现细节进行详细阐述：
40.请参阅图1-图2。
41.图2示出了根据本技术一个实施例的集群系统的资源管理方法的流程图，所述集群系统包括至少一个命名空间，所述命名空间中包括至少一种资源，所述方法可以包括步骤s201-s202：
42.步骤s201，在所述集群系统中定义命名空间组，所述命名空间组包括至少一个命名空间。
43.步骤s202，建立所述命名空间组与至少一个目标主体之间的绑定关系，以使得所述目标主体对所述命名空间组中的资源进行管理。
44.在本技术中，所述授权配置模块可以为k8s集群系统中的新的crd，即customresourcedefinition进行定义的自定义资源。customresourcedefinition为k8s集群系统中的自定义资源定义模块，能够用于定义新的自定义资源，从而创建一种新的资源。自定义资源是对k8s api的扩展，并且能够通过api动态注册和删除。自定义资源被注册后，用户就可以使用kubectl来访问它们。crd是一个内建的api，用来创建自定义资源。部署一个crd到集群中，kube-apiserver会帮助用户安装好路由和提供自定义资源的一般服务端实现，也就是意味着用户不再需要编写服务端代码，只需要创建一个crd，然后根据crd创建自定义资源的具体实例即可。
45.在本技术中，可以通过crd创建一个fabric，由一组命名空间所组成。它属于集群资源，作用域是整个k8s集群系统。在k8s集群系统中，不同fabric的名称不允许相同，但组成fabric的命名空间列表允许相同。例如，创建一个fabric，记为f1，组成它的命名空间列表为{ns1,ns2,ns3,...,nsm}。
46.再例如，在本技术中，如果一个目标主体需要对命名空间102、命名空间103、以及命名空间104进行管理，可以将命名空间102、命名空间103、以及命名空间104作为本技术所述的命名空间组a。还可以建立包括命名空间102和命名空间103的命名空间组b。
47.在本技术中，所述目标主体可以包括用户、用户组、以及服务账号，可以建立所述目标主体和所述命名空间组的绑定关系，从而可以有效简化集群系统的管理关系，降低维护难度。
48.在本技术的一个实施例中，所述建立所述命名空间组与至少一个目标主体之间的绑定关系的方法可以包括：将所述命名空间组中各个命名空间的资源的访问权限授予至少一个目标主体，以完成建立所述命名空间组与至少一个目标主体之间的绑定关系的操作。
49.请参阅图3。
50.图3示出了根据本技术一个实施例的集群系统的资源管理方法的流程图，所述将所述命名空间组中各个命名空间的资源的访问权限授予至少一个目标主体可以包括步骤s301-s302：
51.步骤s301，定义针对所述命名空间组中资源的访问权限。
52.步骤s302，创建授权配置模块，并基于所述授权配置模块，将所述命名空间组中各个命名空间的资源的访问权限同时授予至少一个目标主体。
53.在本技术中，为了使各个目标主体可以对各个命名空间的资源的进行管理，需要
对各个目标主体进行授权，将所述命名空间组中各个命名空间的资源的访问权限授予至少一个目标主体。
54.在本技术中，k8s集群系统可以使用rbac，即role based access control，基于角色的访问控制，实现授权。从而允许管理员通过kubernetes api动态进行授权配置。在本技术中，所述访问权限可以命名为fabricrole，fabricrole由fabric标识(即fabric名称)、资源访问权限所组成。它也属于集群资源，作用域也是整个k8s集群。它用来定义fabric中各类资源的访问权限。
55.其中，fabric标识用来关联fabric，资源访问权限的定义方式，与role中资源访问权限的定义方式相同。例如，在本技术中，在k8s集群系统中可以存在一种命名空间资源，记为nr，然后可以创建一个fabricrole，记为fr1，包含f1的标识、nr资源访问权限。
56.在本实施例中，可以创建授权配置模块fabricrolebinding，fabricrolebinding由fabricrole与服务账号所组成。它也属于集群资源，作用域也是整个k8s集群。它用来将fabricrole与服务账号进行绑定，将fabric中各类资源的访问权限，授予相应的服务账号。例如，可以创建一个fabricrolebinding，记为frb1，包含fabricrole fr1、服务账号sa1，将fabric f1中nr资源的访问权限授予服务账号sa1，即：将命名空间ns1、ns2、ns3、...、nsm中nr资源的访问权限授予服务账号sa1。以下示例描述了在k8s集群系统中的一个fabricrolebinding对象，用于将命名空间default、ns1、ns2、ns3中pod资源的读访问权限授予服务账号sa1：
57.58.请参阅图4。
59.图4示出了根据本技术一个实施例的集群系统的资源管理方法的流程图，所述基于所述授权配置模块，将所述命名空间组中各个命名空间的资源的访问权限同时授予至少一个目标主体的方法可以包括步骤s401-s402：
60.步骤s401，创建与所述授权配置模块对应的授权控制模块。
61.步骤s402，通过所述授权控制模块将所述命名空间组中各个命名空间的资源的访问权限授予至少一个目标主体。
62.在本技术中，在k8s集群系统中，可通过kubectl命令创建与删除多个授权配置模块。授权配置模块被创建以后，将会存入etcd。因此需要添加针对所述授权配置模块的授权控制模块，用于监听etcd中的授权配置模块，可以实际执行将所述命名空间组中各个命名空间的资源的操作权限同时授予给目标主体的操作。
63.在本技术中，可以通过所述授权控制模块监听etcd中fabricrolebinding对象，实际执行将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体的操作。所述授权控制模块在监听到etcd中fabricrolebinding对象发生创建动作时，通过在各个命名空间按照role授权规则分别创建role和rolebinding对象，其中各个命名空间中的rolebinding对象即本技术所述的授权配置子模块。
64.请参阅图5。
65.图5示出了根据本技术一个实施例的集群系统的资源管理方法的流程图，所述通过所述授权控制模块将所述命名空间组中各个命名空间的资源的访问权限授予至少一个目标主体的方法可以包括步骤s501-s503：
66.步骤s501，针对所述命名空间组中的每一个命名空间，通过所述授权控制模块在所述命名空间中定义所述访问权限。
67.步骤s502，针对所述命名空间组中的每一个命名空间，通过所述授权控制模块在所述命名空间中创建授权配置子模块。
68.步骤s503，针对所述命名空间组中的每一个命名空间，基于所述授权配置子模块，将所述命名空间的资源的访问权限授予至少一个目标主体。
69.以下示例描述了当通过kubectl命令行创建fabricrolebinding对象时，所述fabricrolebinding对象用于将命名空间default、ns1、ns2、ns3中pod资源的读访问权限授予服务账号sa1，所述授权控制模块的具体处理方式：
70.(1)获取命名空间列表，分别为default、ns1、ns2、ns3；
71.(2)在ns1命名空间中创建role对象r1，授予对ns1命名空间中的pod资源的读访问权限，r1对象如下所示：
[0072][0073]
(3)在ns1命名空间中创建rolebinding对象rb1，将r1角色授予服务账号sa1，这一授权将允许服务账号sa1从ns1命名空间中读取pod资源，rb1对象如下所示：
[0074][0075]
(4)分别在default、ns2、ns3命名空间中，类似执行上述操作，最终将四个命名空间内的pod的读访问权限授予服务账号sa1。
[0076]
在本技术的一个实施例中，所述访问权限包括查看权限、创建权限、删除权限、以及更新权限中的至少一个。
[0077]
请参阅图6。
[0078]
图6示出了根据本技术一个实施例的集群系统的资源管理方法的流程图，所述目标主体对所述命名空间组中的资源进行管理可以包括步骤s601-s602：
[0079]
步骤s601，获取所述目标主体针对所述命名空间组的访问权限。
[0080]
步骤s602，基于所述访问权限，所述目标主体对所述命名空间组中的各类资源进行查看、创建、删除、以及更新中的至少一个操作。
[0081]
在本技术中，可以根据不同目标主体授予不同的访问权限，从而可以构建不同权
限等级的管理层次，满足用户对于资源灵活管理的需求。例如，服务账号a为访客账号，仅具有查看权限，因此使用服务账号a的用户仅能对所述命名空间组中的资源进行查看操作；再例如，服务账号b为管理员账号，具有查看权限、创建权限、删除权限、以及更新权限，因此使用服务账号b的用户可以对所述命名空间组中的资源进行查看、创建、删除、以及更新中的任意一种操作。
[0082]
接下来将结合附图，对本技术的一个装置实施例进行说明。
[0083]
请参阅图7。
[0084]
图7示出了根据本技术的一个实施例的集群系统的资源管理装置的简图，所述集群系统包括至少一个命名空间，所述命名空间中包括至少一种资源，所述集群系统的资源管理装置700可以包括：定义单元701和建立单元702。
[0085]
其中，所述集群系统的资源管理装置700具体配置可以为：定义单元701，被用于在所述集群系统中定义命名空间组，所述命名空间组包括至少一个命名空间；建立单元702，被用于建立所述命名空间组与至少一个目标主体之间的绑定关系，以使得所述目标主体对所述命名空间组中的资源进行管理。
[0086]
接下来请参阅图8。
[0087]
图8示出了适于用来实现本技术实施例的电子设备的计算机系统的结构示意图。
[0088]
需要说明的是，图8示出的电子设备的计算机系统800仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。
[0089]
如图8所示，计算机系统800包括中央处理单元(central processing unit，cpu)801，其可以根据存储在只读存储器(read-only memory，rom)802中的程序或者从储存部分808加载到随机访问存储器(random access memory，ram)803中的程序而执行各种适当的动作和处理，例如执行上述实施例中所述的方法。在ram 803中，还存储有系统操作所需的各种程序和数据。cpu 801、rom 802以及ram 803通过总线804彼此相连。输入/输出(input/output，i/o)接口805也连接至总线804。
[0090]
以下部件连接至i/o接口805：包括键盘、鼠标等的输入部分806；包括诸如阴极射线管(cathode ray tube，crt)、液晶显示器(liquid crystal display，lcd)等以及扬声器等的输出部分807；包括硬盘等的储存部分808；以及包括诸如lan(local area network，局域网)卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至i/o接口805。可拆卸介质811，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器810上，以便于从其上读出的计算机程序根据需要被安装入储存部分808。
[0091]
特别地，根据本技术的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本技术的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分809从网络上被下载和安装，和/或从可拆卸介质811被安装。在该计算机程序被中央处理单元(cpu)801执行时，执行本技术的系统中限定的各种功能。
[0092]
需要说明的是，本技术实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以
是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(erasable programmable read only memory，eprom)、闪存、光纤、便携式紧凑磁盘只读存储器(compact disc read-only memory，cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本技术中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。
[0093]
附图中的流程图和框图，图示了按照本技术各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0094]
描述于本技术实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。
[0095]
作为另一方面，本技术还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述实施例中所述的集群系统的资源管理方法。
[0096]
作为另一方面，本技术还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现上述实施例中所述的集群系统的资源管理方法。
[0097]
应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本技术的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
[0098]
通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施
方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本技术实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本技术实施方式的方法。
[0099]
本领域技术人员在考虑说明书及实践这里公开的实施方式后，将容易想到本技术的其它实施方案。本技术旨在涵盖本技术的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本技术的一般性原理并包括本技术未公开的本技术领域中的公知常识或惯用技术手段。
[0100]
应当理解的是，本技术并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本技术的范围仅由所附的权利要求来限制。