1.本发明涉及计算机
技术领域:
:,特别涉及跨集群的网络管理策略部署方法、装置、设备及介质。
背景技术:
::2.当前,k8s(kubernetes)的网络能力主要表现在两个方面,一个是连通性,保证pod之间能够互通,另一个就是隔离性,考虑安全、流量限制等业务需求;而默认情况下,k8s集群的网络没任何限制,集群中的所有pod(组件)都是互通的,这对于一些业务来说是不符合安全需求的。同时如果考虑多租户的场景,这就更不能接受了,因此需要有方法能对集群网络进行限制,这就有了networkpolicy。此时的网络策略只能管理单一集群,即pod所在集群范围内的网络隔离性。3.多云,是指打通各种形态云之间的通信,实现跨云之间的互联和应用统一管理分发的能力。随着企业业务的快速发展,多云逐步成为数据中心建设的基础架构,多区域容灾与多活、大规模多集群管理、跨云弹性与迁移等场景推动云原生多云相关技术的快速发展。因此如何高效管理多云是当前面临的问题,同时也是企业发展面临的痛点。管理多云中的网络策略是本专利致力于解决的问题。4.为了实现多云下的跨集群通信,很多厂商投入了大量精力并且开发出了对应的产品。当使用跨集群进行管理的时候,可以使用submariner来实现跨集群网络通信。但是此时被export(分发)出去的service(服务)在submariner的组网架构中是fullmesh(全互联模式)的,即比如集群1中的service1可以被整个clusterset(集群集合)中的集群中的所有组件访问到。但是如果服务service1只希望能够被clusterset中的某些集群,甚至某些集群中的工作负载访问到,当前技术是不能实现的。5.综上所述,如何部署合适的跨集群的网络管理策略,以对跨集群访问进行管理是当前亟待解决的问题。技术实现要素:6.有鉴于此,本发明的目的在于提供跨集群的网络管理策略部署方法、装置、设备及介质,能够部署合适的跨集群的网络管理策略,以对跨集群访问进行管理。其具体方案如下:7.第一方面,本技术公开了一种跨集群的网络管理策略部署方法,包括:8.基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;9.通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;10.通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。11.可选的,所述基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源之前,还包括:12.分发所述集群集合的所述若干待使用集群中任一所述目标集群的所述目标组件对应的所述目标服务。13.可选的,所述基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源之前,还包括:14.基于submariner将所述若干待使用集群和所述控制集群进行组网得到所述集群集合。15.可选的,所述通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群,包括:16.通过所述目标集群将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群将所述自定义资源同步至所述其它待使用集群。17.可选的,所述通过所述目标集群将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群将所述自定义资源同步至所述其它待使用集群,包括:18.通过所述目标集群中的集群控制器的同步功能将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群中的集群控制器的同步功能将所述自定义资源同步至所述其它待使用集群。19.可选的,所述通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略,包括:20.通过所述其它待使用集群和所述目标集群中的lighthouse-agent组件的网络策略生成器识别所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。21.可选的,所述跨集群的网络管理策略部署方法,还包括:22.若所述集群集合中增加新集群,则通过所述控制集群将所述自定义资源同步至所述新集群,并通过所述新集群基于所述自定义资源,获取各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。23.第二方面,本技术公开了一种跨集群的网络管理策略部署装置,包括:24.自定义资源创建模块,用于基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;25.资源同步模块,用于通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;26.策略获取模块,用于通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。27.第三方面,本技术公开了一种电子设备,包括处理器和存储器;其中,所述处理器执行所述存储器中保存的计算机程序时实现前述公开的跨集群的网络管理策略部署方法。28.第四方面,本技术公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的跨集群的网络管理策略部署方法。29.可见,本技术基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。由此可见,本技术首先设定自定义资源,并通过所述其它待使用集群和所述目标集群基于自定义资源获取各自集群的策略,由此能够为集群集合中的每个集群部署合适的跨集群的网络管理策略,以对跨集群访问进行管理。附图说明30.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。31.图1为本技术提供的一种跨集群的网络管理策略部署方法流程图;32.图2为本技术提供的一种具体的跨集群的网络管理策略部署方法流程图;33.图3为本技术提供的一种跨集群的网络管理策略部署过程示意图;34.图4为本技术提供的一种跨集群的网络管理策略部署效果示意图;35.图5为本技术提供的一种跨集群的网络管理策略部署装置结构图;36.图6为本技术提供的一种电子设备结构示意图。具体实施方式37.下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。38.当前,为了实现多云下的跨集群通信,很多厂商投入了大量精力并且开发出了对应的产品。当使用跨集群进行管理的时候,可以使用submariner来实现跨集群网络通信。但是此时被export出去的service在submariner的组网架构中是fullmesh的,即比如集群1中的service1可以被整个clusterset中的集群中的所有组件访问到。但是如果服务service1只希望能够被clusterset中的某些集群,甚至某些集群中的工作负载访问到,当前技术是不能实现的。39.为了克服上述问题,本技术提供了一种跨集群的网络管理策略部署方案,能够部署合适的跨集群的网络管理策略,以对跨集群访问进行管理。40.参见图1所示,本技术实施例公开了一种跨集群的网络管理策略部署方法,该方法包括:41.步骤s11:基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件。42.本技术实施例中,所述基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源之前,还包括:基于submariner将所述若干待使用集群和所述控制集群进行组网得到所述集群集合。43.本技术实施例中,所述基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源之前,还包括:分发所述集群集合的所述若干待使用集群中任一所述目标集群的所述目标组件对应的所述目标服务。需要指出的是,分发过程具体是:基于submariner功能,将需要跨集群通信的pod(组件)的service(服务)export(分发)出去,当完成分发过程之后,在整个clusterset(集群集合)中,所有参与集群的工作负载都可以通过service访问到其对应的pod,但是,都可以访问的情况不满足目标场景,因此需要可以管理跨集群的网络策略,以规定哪些组件可以访问,哪些组件不能访问。在一种具体实施例中,所述目标场景为:部署在cluster1中的pod,其对应的service1在export后,希望只能被除了本集群外的cluster2集群中应用空间ns2中的pod2所访问,而在这个clusterset中的其他集群中的任何组件都不能对这个service进行访问。44.本技术实施例中,因为访问组件是通过对应的服务进行的,因此,基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件。45.需要指出的是,所述自定义资源(crd资源)称为clusternetworkpolicy,所述自定义资源是为了解决跨集群网络策略定义的,里面包含有跨集群网络的所有信息,包括作用范围(在上述具体实施例中为:cluster1集群中的ns1中的service1),也即目标服务,以及策略(在上述具体实施例中为:允许cluster1集群所有组件以及cluster2中的ns2中的pod2访问),也即规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件的所述管理策略。46.步骤s12:通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群。47.本技术实施例中,所述通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群,包括:通过所述目标集群将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群将所述自定义资源同步至所述其它待使用集群。48.本技术实施例中,所述通过所述目标集群将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群将所述自定义资源同步至所述其它待使用集群,包括:通过所述目标集群中的集群控制器的同步功能将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群中的集群控制器的同步功能将所述自定义资源同步至所述其它待使用集群。49.需要指出的是,在上述具体实施例中,cluster1的broker(集群控制器)会将所述clusternetworkpolicy,基于sync方法同步至broker集群(控制集群)中,控制集群将所述clusternetworkpolicy,基于sync方法同步至clusterset的其他集群。50.步骤s13:通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。51.本技术实施例中,通过所述其它待使用集群和所述目标集群解析所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。52.本技术实施例中,若所述集群集合中增加新集群,则通过所述控制集群将所述自定义资源同步至所述新集群,并通过所述新集群基于所述自定义资源,获取各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。需要指出的是,控制集群当检测到新集群的加入时,也会将clusternetworkpolicy的crd资源推送到新加入的集群,新加入集群的lighthouse-agent组件会根据clusternetworkpolicy携带的信息,生成其所在集群对应的networkpolicy。这样,对exported的fullmesh服务实现了集群级别的组件之间访问的限制,弥补了跨集群方案中对网络隔离的需求的缺失。53.需要指出的是,此时所述若干待使用集群都获取了各自集群针对所述目标服务的可访问的组件,由此可各自判断是否能利用自身某组件通过所述目标服务访问所述目标服务对应的目标组件。54.综上所述,本技术通过配置作用范围以及针对这个作用范围的出入规则的白名单(即规则,也即策略),来实现对资源池内的资源的访问控制。为了实现可以针对跨集群的网络管理,扩展k8snetworkpolicy的功能,针对跨集群通信的服务,即被export出去的服务对应的pod,进行在clusterset中的网络策略的配置。定义clusternetworkpolicy的k8s的crd资源,携带集群信息,使得在clusterset中用户的网络策略被识别并且被设定。55.可见,本技术基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。由此可见,本技术首先设定自定义资源,并通过所述其它待使用集群和所述目标集群基于自定义资源获取各自集群的策略,由此能够为集群集合中的每个集群部署合适的跨集群的网络管理策略,以对跨集群访问进行管理。56.参见图2所示,本技术实施例公开了一种具体的跨集群的网络管理策略部署方法,该方法包括:57.步骤s21:基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件。58.其中,关于步骤s21的更加具体的处理过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。59.步骤s22:通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群。60.其中,关于步骤s22的更加具体的处理过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。61.步骤s23:通过所述其它待使用集群和所述目标集群中的lighthouse-agent组件的网络策略生成器识别所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。62.本技术实施例中,clusternetworkpolicy资源的创建会触发所述其它待使用集群和所述目标集群各自的lighthouse-agent组件的list&&watch机制,以解析出各自集群对应的针对作用范围的网络策略(即非cluster2集群的所有组件都不可以访问pod1,cluster2中的应用空间ns2中的pod2可以访问cluster1中的pod1)。63.本技术实施例中,若所述集群集合中增加新集群,则通过所述控制集群将所述自定义资源同步至所述新集群,并通过所述新集群基于所述自定义资源,获取各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。需要指出的是,控制集群当检测到新集群的加入时,也会将clusternetworkpolicy的crd资源推送到新加入的集群,新加入集群的lighthouse-agent组件会根据clusternetworkpolicy携带的信息,生成其所在集群对应的networkpolicy。这样,对exported的fullmesh服务实现了集群级别的组件之间访问的限制,弥补了跨集群方案中对网络隔离的需求的缺失。64.综上所述,本技术为部署合适的跨集群的网络管理策略,以对跨集群访问进行管理,进行了以下操作:基于submariner的跨集群组网方式下,新建clusternetworkpolicy这个crd资源,并且扩展broker的sync功能进行集群间的同步与分发,同时扩展lighthouse-agent组件的功能,对clusternetworkpolicy的规则进行解析,生成原生k8s的networkpolcy,以实现对集群级别的组件之间访问的限制。具体的:1、解决跨集群时网络策略问题;当前k8s原生的网络策略只能针对本集群中的组件。当使用跨集群进行组网的时候,服务的访问扩展到不同集群之间,由于原生使用的组网方案为fullmesh的,为了做到集群之间的访问控制,定义clusternetworkpolicy资源。2、broker同步并推送跨集群网络策略信息;broker集群接受其他集群推送的clusternetworkpolicy信息,并且同步此资源信息到clusterset的其他集群;3、lighthouse-agent组件解析并创建原生网络策略信息;扩展lighthouse-agent组件的功能,将clusternetworkpolicy信息解析出来,并创建原生的k8snetworkpolicy。需要指出的是,本技术的主要创新点在于扩展k8s原生网络策略,实现对跨集群网络策略的支持。65.可见,本技术基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;通过所述其它待使用集群和所述目标集群中的lighthouse-agent组件的网络策略生成器识别所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。66.参见图3所示,为一种跨集群的网络管理策略部署过程示意图,具体过程为:第一步,开始准备工作,部署clusterset集群集合;使用submariner组网,将brokercluster,joincluster1,joincluster2分别加入到clusterset中。其中brokercluster必须保证为公网,以便其他集群可以访问其apiserver进行元数据交换。在joincluster1中的pod对应的service使用subctlexportservice命令分发出去。这样joincluster2也可以通过service访问到cluster1对应的pod。(由于joincluster2可以通过service访问到cluster1对应的pod的情况不满足当前要求,因此需要增加策略,以规定具体的joincluster2中的哪些pod能够通过service访问到cluster1对应的pod)。67.第二步,创建crd资源(自定义资源);在cluster1集群中创建clusternetworkpolicy资源,指定作用范围和规则;具体程序如下所示:68.[0069][0070]作用范围为目标服务,具体为joincluster1中的ns1的pod1的服务,规则为joincluster1中全部组件以及joincluster2中ns2的pod2能够通过目标服务访问pod1。[0071]第三步,在joincluster1中生成对应的networkpolicy;网络策略生成器是扩展submariner必备组件lighthouse-agent的功能,识别本集群中的clusternetworkpolicy资源,将其信息进行梳理,根据规则创建出应用于本集群的k8s原生networkpolicy资源。这样,跨集群网络策略就简化为作用于每个集群的网络策略,根据网络策略规则,进行iptables等规则的创建,以实现对网络白名单的添加。[0072]根据clusternetworkpolicy,分解出的两个网络策略为,分别为joincluster1中的策略和joincluster2中的策略;joincluster1中的策略如下所示:[0073][0074][0075]joincluster2中的策略如下所示:[0076][0077]具体的,joincluster1中的lighthouse-agent感知到clusternetworkpolicy的创建,一方面通过broker.sync方法,调用brokerapi将这个资源同步到brokercluster集群。这样brokercluster集群中就会存在与用户创建的与joincluster1相同的clusternetworkpolicy资源。感知到clusterset中还存在joincluster2集群,broker会使用broker.sync同步clusternetworkpolicy资源到joincluster2集群,joincluster2中的lighthouse-agent组件感知到clusternetworkpolicy资源的创建,解析出其集群中的生成对应的networkpolicy,进行创建,这样joincluster2对cluster1中的service的访问进行了限制,只允许其ns2的应用空间的pod2进行访问。图2展示了夸集群网络策略的最终效果,即在这个clusterset中,只允许joincluster1集群所有组件以及joincluster2中的ns2中的pod2访问。[0078]参见图4所示,为一种跨集群的网络管理策略部署效果示意图,此时集群集合中只有joincluster1中全部组件以及joincluster2中ns2的pod2能够通过目标服务访问pod1,其它pod都不能访问。[0079]参见图5所示,本技术实施例公开了一种跨集群的网络管理策略部署装置,包括:[0080]自定义资源创建模块11,用于基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;[0081]资源同步模块12,用于通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;[0082]策略获取模块13,用于通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。[0083]可见,本技术基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。由此可见,本技术首先设定自定义资源,并通过所述其它待使用集群和所述目标集群基于自定义资源获取各自集群的策略,由此能够为集群集合中的每个集群部署合适的跨集群的网络管理策略,以对跨集群访问进行管理。[0084]在一种具体实施例中,所述跨集群的网络管理策略部署装置,还包括:[0085]分发单元,用于分发所述集群集合的所述若干待使用集群中任一所述目标集群的所述目标组件对应的所述目标服务。[0086]在一种具体实施例中,所述跨集群的网络管理策略部署装置,还包括:[0087]基于submariner将所述若干待使用集群和所述控制集群进行组网得到所述集群集合。[0088]在一种具体实施例中,所述资源同步模块12,具体可以包括:[0089]资源同步子模块,用于通过所述目标集群将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群将所述自定义资源同步至所述其它待使用集群。[0090]在一种具体实施例中,所述资源同步子模块,具体可以包括:[0091]资源同步单元,用于通过所述目标集群中的集群控制器的同步功能将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群中的集群控制器的同步功能将所述自定义资源同步至所述其它待使用集群。[0092]在一种具体实施例中,所述策略获取模块13,包括:[0093]策略获取单元,用于通过所述其它待使用集群和所述目标集群中的lighthouse-agent组件的网络策略生成器识别所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。[0094]在一种具体实施例中,所述跨集群的网络管理策略部署装置,还包括:[0095]集合新增模块,用于若所述集群集合中增加新集群,则通过所述控制集群将所述自定义资源同步至所述新集群,并通过所述新集群基于所述自定义资源,获取各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。[0096]进一步的,本技术实施例还提供了一种电子设备,图6是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本技术的使用范围的任何限制。[0097]图6为本技术实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、输入输出接口24、通信接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现以下步骤:[0098]基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;[0099]通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;[0100]通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。[0101]在一些具体实施方式中,所述基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源之前,具体可以实现以下步骤:[0102]分发所述集群集合的所述若干待使用集群中任一所述目标集群的所述目标组件对应的所述目标服务。[0103]在一些具体实施方式中,所述基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源之前,具体可以实现以下步骤:[0104]基于submariner将所述若干待使用集群和所述控制集群进行组网得到所述集群集合。[0105]在一些具体实施方式中,所述通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群,具体可以实现以下步骤:[0106]通过所述目标集群将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群将所述自定义资源同步至所述其它待使用集群。[0107]在一些具体实施方式中,所述通过所述目标集群将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群将所述自定义资源同步至所述其它待使用集群,具体可以实现以下步骤:[0108]通过所述目标集群中的集群控制器的同步功能将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群中的集群控制器的同步功能将所述自定义资源同步至所述其它待使用集群。[0109]在一些具体实施方式中,所述通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略,具体可以实现以下步骤:[0110]通过所述其它待使用集群和所述目标集群中的lighthouse-agent组件的网络策略生成器识别所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。[0111]在一些具体实施方式中,,具体还可以实现以下步骤:[0112]若所述集群集合中增加新集群,则通过所述控制集群将所述自定义资源同步至所述新集群,并通过所述新集群基于所述自定义资源,获取各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。[0113]本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口25能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本技术技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口24,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。[0114]另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,存储器22作为可以包括作为运行内存的随机存取存储器和用于外部内存的存储用途的非易失性存储器,其上的存储资源包括操作系统221、计算机程序222等,存储方式可以是短暂存储或者永久存储。[0115]其中,操作系统221用于管理与控制源主机上电子设备20上的各硬件设备以及计算机程序222,操作系统221可以是windows、unix、linux等。计算机程222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的跨集群的网络管理策略部署方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。[0116]本实施例中,所述输入输出接口24具体可以包括但不限于usb接口、硬盘读取接口、串行接口、语音输入接口、指纹输入接口等。[0117]进一步的,本技术实施例还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的跨集群的网络管理策略部署方法。[0118]关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。[0119]这里所说的计算机可读存储介质包括随机存取存储器(randomaccessmemory,ram)、内存、只读存储器(read-onlymemory,rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、磁碟或者光盘或
技术领域:
:内所公知的任意其他形式的存储介质。其中,所述计算机程序被处理器执行时实现前述跨集群的网络管理策略部署方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。[0120]本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的跨集群的网络管理策略部署方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。[0121]专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本技术的范围。[0122]结合本文中所公开的实施例描述算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或
技术领域:
:内所公知的任意其它形式的存储介质中。[0123]最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。[0124]以上对本发明所提供的一种跨集群的网络管理策略部署方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。当前第1页12当前第1页12
技术领域:
:,特别涉及跨集群的网络管理策略部署方法、装置、设备及介质。
背景技术:
::2.当前,k8s(kubernetes)的网络能力主要表现在两个方面,一个是连通性,保证pod之间能够互通,另一个就是隔离性,考虑安全、流量限制等业务需求;而默认情况下,k8s集群的网络没任何限制,集群中的所有pod(组件)都是互通的,这对于一些业务来说是不符合安全需求的。同时如果考虑多租户的场景,这就更不能接受了,因此需要有方法能对集群网络进行限制,这就有了networkpolicy。此时的网络策略只能管理单一集群,即pod所在集群范围内的网络隔离性。3.多云,是指打通各种形态云之间的通信,实现跨云之间的互联和应用统一管理分发的能力。随着企业业务的快速发展,多云逐步成为数据中心建设的基础架构,多区域容灾与多活、大规模多集群管理、跨云弹性与迁移等场景推动云原生多云相关技术的快速发展。因此如何高效管理多云是当前面临的问题,同时也是企业发展面临的痛点。管理多云中的网络策略是本专利致力于解决的问题。4.为了实现多云下的跨集群通信,很多厂商投入了大量精力并且开发出了对应的产品。当使用跨集群进行管理的时候,可以使用submariner来实现跨集群网络通信。但是此时被export(分发)出去的service(服务)在submariner的组网架构中是fullmesh(全互联模式)的,即比如集群1中的service1可以被整个clusterset(集群集合)中的集群中的所有组件访问到。但是如果服务service1只希望能够被clusterset中的某些集群,甚至某些集群中的工作负载访问到,当前技术是不能实现的。5.综上所述,如何部署合适的跨集群的网络管理策略,以对跨集群访问进行管理是当前亟待解决的问题。技术实现要素:6.有鉴于此,本发明的目的在于提供跨集群的网络管理策略部署方法、装置、设备及介质,能够部署合适的跨集群的网络管理策略,以对跨集群访问进行管理。其具体方案如下:7.第一方面,本技术公开了一种跨集群的网络管理策略部署方法,包括:8.基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;9.通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;10.通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。11.可选的,所述基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源之前,还包括:12.分发所述集群集合的所述若干待使用集群中任一所述目标集群的所述目标组件对应的所述目标服务。13.可选的,所述基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源之前,还包括:14.基于submariner将所述若干待使用集群和所述控制集群进行组网得到所述集群集合。15.可选的,所述通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群,包括:16.通过所述目标集群将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群将所述自定义资源同步至所述其它待使用集群。17.可选的,所述通过所述目标集群将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群将所述自定义资源同步至所述其它待使用集群,包括:18.通过所述目标集群中的集群控制器的同步功能将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群中的集群控制器的同步功能将所述自定义资源同步至所述其它待使用集群。19.可选的,所述通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略,包括:20.通过所述其它待使用集群和所述目标集群中的lighthouse-agent组件的网络策略生成器识别所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。21.可选的,所述跨集群的网络管理策略部署方法,还包括:22.若所述集群集合中增加新集群,则通过所述控制集群将所述自定义资源同步至所述新集群,并通过所述新集群基于所述自定义资源,获取各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。23.第二方面,本技术公开了一种跨集群的网络管理策略部署装置,包括:24.自定义资源创建模块,用于基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;25.资源同步模块,用于通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;26.策略获取模块,用于通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。27.第三方面,本技术公开了一种电子设备,包括处理器和存储器;其中,所述处理器执行所述存储器中保存的计算机程序时实现前述公开的跨集群的网络管理策略部署方法。28.第四方面,本技术公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的跨集群的网络管理策略部署方法。29.可见,本技术基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。由此可见,本技术首先设定自定义资源,并通过所述其它待使用集群和所述目标集群基于自定义资源获取各自集群的策略,由此能够为集群集合中的每个集群部署合适的跨集群的网络管理策略,以对跨集群访问进行管理。附图说明30.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。31.图1为本技术提供的一种跨集群的网络管理策略部署方法流程图;32.图2为本技术提供的一种具体的跨集群的网络管理策略部署方法流程图;33.图3为本技术提供的一种跨集群的网络管理策略部署过程示意图;34.图4为本技术提供的一种跨集群的网络管理策略部署效果示意图;35.图5为本技术提供的一种跨集群的网络管理策略部署装置结构图;36.图6为本技术提供的一种电子设备结构示意图。具体实施方式37.下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。38.当前,为了实现多云下的跨集群通信,很多厂商投入了大量精力并且开发出了对应的产品。当使用跨集群进行管理的时候,可以使用submariner来实现跨集群网络通信。但是此时被export出去的service在submariner的组网架构中是fullmesh的,即比如集群1中的service1可以被整个clusterset中的集群中的所有组件访问到。但是如果服务service1只希望能够被clusterset中的某些集群,甚至某些集群中的工作负载访问到,当前技术是不能实现的。39.为了克服上述问题,本技术提供了一种跨集群的网络管理策略部署方案,能够部署合适的跨集群的网络管理策略,以对跨集群访问进行管理。40.参见图1所示,本技术实施例公开了一种跨集群的网络管理策略部署方法,该方法包括:41.步骤s11:基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件。42.本技术实施例中,所述基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源之前,还包括:基于submariner将所述若干待使用集群和所述控制集群进行组网得到所述集群集合。43.本技术实施例中,所述基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源之前,还包括:分发所述集群集合的所述若干待使用集群中任一所述目标集群的所述目标组件对应的所述目标服务。需要指出的是,分发过程具体是:基于submariner功能,将需要跨集群通信的pod(组件)的service(服务)export(分发)出去,当完成分发过程之后,在整个clusterset(集群集合)中,所有参与集群的工作负载都可以通过service访问到其对应的pod,但是,都可以访问的情况不满足目标场景,因此需要可以管理跨集群的网络策略,以规定哪些组件可以访问,哪些组件不能访问。在一种具体实施例中,所述目标场景为:部署在cluster1中的pod,其对应的service1在export后,希望只能被除了本集群外的cluster2集群中应用空间ns2中的pod2所访问,而在这个clusterset中的其他集群中的任何组件都不能对这个service进行访问。44.本技术实施例中,因为访问组件是通过对应的服务进行的,因此,基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件。45.需要指出的是,所述自定义资源(crd资源)称为clusternetworkpolicy,所述自定义资源是为了解决跨集群网络策略定义的,里面包含有跨集群网络的所有信息,包括作用范围(在上述具体实施例中为:cluster1集群中的ns1中的service1),也即目标服务,以及策略(在上述具体实施例中为:允许cluster1集群所有组件以及cluster2中的ns2中的pod2访问),也即规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件的所述管理策略。46.步骤s12:通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群。47.本技术实施例中,所述通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群,包括:通过所述目标集群将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群将所述自定义资源同步至所述其它待使用集群。48.本技术实施例中,所述通过所述目标集群将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群将所述自定义资源同步至所述其它待使用集群,包括:通过所述目标集群中的集群控制器的同步功能将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群中的集群控制器的同步功能将所述自定义资源同步至所述其它待使用集群。49.需要指出的是,在上述具体实施例中,cluster1的broker(集群控制器)会将所述clusternetworkpolicy,基于sync方法同步至broker集群(控制集群)中,控制集群将所述clusternetworkpolicy,基于sync方法同步至clusterset的其他集群。50.步骤s13:通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。51.本技术实施例中,通过所述其它待使用集群和所述目标集群解析所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。52.本技术实施例中,若所述集群集合中增加新集群,则通过所述控制集群将所述自定义资源同步至所述新集群,并通过所述新集群基于所述自定义资源,获取各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。需要指出的是,控制集群当检测到新集群的加入时,也会将clusternetworkpolicy的crd资源推送到新加入的集群,新加入集群的lighthouse-agent组件会根据clusternetworkpolicy携带的信息,生成其所在集群对应的networkpolicy。这样,对exported的fullmesh服务实现了集群级别的组件之间访问的限制,弥补了跨集群方案中对网络隔离的需求的缺失。53.需要指出的是,此时所述若干待使用集群都获取了各自集群针对所述目标服务的可访问的组件,由此可各自判断是否能利用自身某组件通过所述目标服务访问所述目标服务对应的目标组件。54.综上所述,本技术通过配置作用范围以及针对这个作用范围的出入规则的白名单(即规则,也即策略),来实现对资源池内的资源的访问控制。为了实现可以针对跨集群的网络管理,扩展k8snetworkpolicy的功能,针对跨集群通信的服务,即被export出去的服务对应的pod,进行在clusterset中的网络策略的配置。定义clusternetworkpolicy的k8s的crd资源,携带集群信息,使得在clusterset中用户的网络策略被识别并且被设定。55.可见,本技术基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。由此可见,本技术首先设定自定义资源,并通过所述其它待使用集群和所述目标集群基于自定义资源获取各自集群的策略,由此能够为集群集合中的每个集群部署合适的跨集群的网络管理策略,以对跨集群访问进行管理。56.参见图2所示,本技术实施例公开了一种具体的跨集群的网络管理策略部署方法,该方法包括:57.步骤s21:基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件。58.其中,关于步骤s21的更加具体的处理过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。59.步骤s22:通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群。60.其中,关于步骤s22的更加具体的处理过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。61.步骤s23:通过所述其它待使用集群和所述目标集群中的lighthouse-agent组件的网络策略生成器识别所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。62.本技术实施例中,clusternetworkpolicy资源的创建会触发所述其它待使用集群和所述目标集群各自的lighthouse-agent组件的list&&watch机制,以解析出各自集群对应的针对作用范围的网络策略(即非cluster2集群的所有组件都不可以访问pod1,cluster2中的应用空间ns2中的pod2可以访问cluster1中的pod1)。63.本技术实施例中,若所述集群集合中增加新集群,则通过所述控制集群将所述自定义资源同步至所述新集群,并通过所述新集群基于所述自定义资源,获取各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。需要指出的是,控制集群当检测到新集群的加入时,也会将clusternetworkpolicy的crd资源推送到新加入的集群,新加入集群的lighthouse-agent组件会根据clusternetworkpolicy携带的信息,生成其所在集群对应的networkpolicy。这样,对exported的fullmesh服务实现了集群级别的组件之间访问的限制,弥补了跨集群方案中对网络隔离的需求的缺失。64.综上所述,本技术为部署合适的跨集群的网络管理策略,以对跨集群访问进行管理,进行了以下操作:基于submariner的跨集群组网方式下,新建clusternetworkpolicy这个crd资源,并且扩展broker的sync功能进行集群间的同步与分发,同时扩展lighthouse-agent组件的功能,对clusternetworkpolicy的规则进行解析,生成原生k8s的networkpolcy,以实现对集群级别的组件之间访问的限制。具体的:1、解决跨集群时网络策略问题;当前k8s原生的网络策略只能针对本集群中的组件。当使用跨集群进行组网的时候,服务的访问扩展到不同集群之间,由于原生使用的组网方案为fullmesh的,为了做到集群之间的访问控制,定义clusternetworkpolicy资源。2、broker同步并推送跨集群网络策略信息;broker集群接受其他集群推送的clusternetworkpolicy信息,并且同步此资源信息到clusterset的其他集群;3、lighthouse-agent组件解析并创建原生网络策略信息;扩展lighthouse-agent组件的功能,将clusternetworkpolicy信息解析出来,并创建原生的k8snetworkpolicy。需要指出的是,本技术的主要创新点在于扩展k8s原生网络策略,实现对跨集群网络策略的支持。65.可见,本技术基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;通过所述其它待使用集群和所述目标集群中的lighthouse-agent组件的网络策略生成器识别所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。66.参见图3所示,为一种跨集群的网络管理策略部署过程示意图,具体过程为:第一步,开始准备工作,部署clusterset集群集合;使用submariner组网,将brokercluster,joincluster1,joincluster2分别加入到clusterset中。其中brokercluster必须保证为公网,以便其他集群可以访问其apiserver进行元数据交换。在joincluster1中的pod对应的service使用subctlexportservice命令分发出去。这样joincluster2也可以通过service访问到cluster1对应的pod。(由于joincluster2可以通过service访问到cluster1对应的pod的情况不满足当前要求,因此需要增加策略,以规定具体的joincluster2中的哪些pod能够通过service访问到cluster1对应的pod)。67.第二步,创建crd资源(自定义资源);在cluster1集群中创建clusternetworkpolicy资源,指定作用范围和规则;具体程序如下所示:68.[0069][0070]作用范围为目标服务,具体为joincluster1中的ns1的pod1的服务,规则为joincluster1中全部组件以及joincluster2中ns2的pod2能够通过目标服务访问pod1。[0071]第三步,在joincluster1中生成对应的networkpolicy;网络策略生成器是扩展submariner必备组件lighthouse-agent的功能,识别本集群中的clusternetworkpolicy资源,将其信息进行梳理,根据规则创建出应用于本集群的k8s原生networkpolicy资源。这样,跨集群网络策略就简化为作用于每个集群的网络策略,根据网络策略规则,进行iptables等规则的创建,以实现对网络白名单的添加。[0072]根据clusternetworkpolicy,分解出的两个网络策略为,分别为joincluster1中的策略和joincluster2中的策略;joincluster1中的策略如下所示:[0073][0074][0075]joincluster2中的策略如下所示:[0076][0077]具体的,joincluster1中的lighthouse-agent感知到clusternetworkpolicy的创建,一方面通过broker.sync方法,调用brokerapi将这个资源同步到brokercluster集群。这样brokercluster集群中就会存在与用户创建的与joincluster1相同的clusternetworkpolicy资源。感知到clusterset中还存在joincluster2集群,broker会使用broker.sync同步clusternetworkpolicy资源到joincluster2集群,joincluster2中的lighthouse-agent组件感知到clusternetworkpolicy资源的创建,解析出其集群中的生成对应的networkpolicy,进行创建,这样joincluster2对cluster1中的service的访问进行了限制,只允许其ns2的应用空间的pod2进行访问。图2展示了夸集群网络策略的最终效果,即在这个clusterset中,只允许joincluster1集群所有组件以及joincluster2中的ns2中的pod2访问。[0078]参见图4所示,为一种跨集群的网络管理策略部署效果示意图,此时集群集合中只有joincluster1中全部组件以及joincluster2中ns2的pod2能够通过目标服务访问pod1,其它pod都不能访问。[0079]参见图5所示,本技术实施例公开了一种跨集群的网络管理策略部署装置,包括:[0080]自定义资源创建模块11,用于基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;[0081]资源同步模块12,用于通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;[0082]策略获取模块13,用于通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。[0083]可见,本技术基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。由此可见,本技术首先设定自定义资源,并通过所述其它待使用集群和所述目标集群基于自定义资源获取各自集群的策略,由此能够为集群集合中的每个集群部署合适的跨集群的网络管理策略,以对跨集群访问进行管理。[0084]在一种具体实施例中,所述跨集群的网络管理策略部署装置,还包括:[0085]分发单元,用于分发所述集群集合的所述若干待使用集群中任一所述目标集群的所述目标组件对应的所述目标服务。[0086]在一种具体实施例中,所述跨集群的网络管理策略部署装置,还包括:[0087]基于submariner将所述若干待使用集群和所述控制集群进行组网得到所述集群集合。[0088]在一种具体实施例中,所述资源同步模块12,具体可以包括:[0089]资源同步子模块,用于通过所述目标集群将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群将所述自定义资源同步至所述其它待使用集群。[0090]在一种具体实施例中,所述资源同步子模块,具体可以包括:[0091]资源同步单元,用于通过所述目标集群中的集群控制器的同步功能将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群中的集群控制器的同步功能将所述自定义资源同步至所述其它待使用集群。[0092]在一种具体实施例中,所述策略获取模块13,包括:[0093]策略获取单元,用于通过所述其它待使用集群和所述目标集群中的lighthouse-agent组件的网络策略生成器识别所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。[0094]在一种具体实施例中,所述跨集群的网络管理策略部署装置,还包括:[0095]集合新增模块,用于若所述集群集合中增加新集群,则通过所述控制集群将所述自定义资源同步至所述新集群,并通过所述新集群基于所述自定义资源,获取各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。[0096]进一步的,本技术实施例还提供了一种电子设备,图6是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本技术的使用范围的任何限制。[0097]图6为本技术实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、输入输出接口24、通信接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现以下步骤:[0098]基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源;所述自定义资源包括所述目标服务以及针对所述目标服务的管理策略;所述管理策略规定了能够通过所述目标服务访问所述目标组件的所述目标集群和其它待使用集群中的组件;[0099]通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群;[0100]通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。[0101]在一些具体实施方式中,所述基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源之前,具体可以实现以下步骤:[0102]分发所述集群集合的所述若干待使用集群中任一所述目标集群的所述目标组件对应的所述目标服务。[0103]在一些具体实施方式中,所述基于集群集合的若干待使用集群中任一目标集群的目标组件对应的目标服务,在所述目标集群中创建自定义资源之前,具体可以实现以下步骤:[0104]基于submariner将所述若干待使用集群和所述控制集群进行组网得到所述集群集合。[0105]在一些具体实施方式中,所述通过所述目标集群,并通过所述集群集合中的控制集群将所述目标集群中的所述自定义资源同步至所述其它待使用集群,具体可以实现以下步骤:[0106]通过所述目标集群将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群将所述自定义资源同步至所述其它待使用集群。[0107]在一些具体实施方式中,所述通过所述目标集群将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群将所述自定义资源同步至所述其它待使用集群,具体可以实现以下步骤:[0108]通过所述目标集群中的集群控制器的同步功能将所述自定义资源同步至所述集群集合中的控制集群,并通过所述控制集群中的集群控制器的同步功能将所述自定义资源同步至所述其它待使用集群。[0109]在一些具体实施方式中,所述通过所述其它待使用集群和所述目标集群基于所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略,具体可以实现以下步骤:[0110]通过所述其它待使用集群和所述目标集群中的lighthouse-agent组件的网络策略生成器识别所述自定义资源,获取所述目标服务以及各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。[0111]在一些具体实施方式中,,具体还可以实现以下步骤:[0112]若所述集群集合中增加新集群,则通过所述控制集群将所述自定义资源同步至所述新集群,并通过所述新集群基于所述自定义资源,获取各自集群对应的规定了能够通过所述目标服务访问所述目标组件的各自集群中的组件的策略。[0113]本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口25能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本技术技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口24,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。[0114]另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,存储器22作为可以包括作为运行内存的随机存取存储器和用于外部内存的存储用途的非易失性存储器,其上的存储资源包括操作系统221、计算机程序222等,存储方式可以是短暂存储或者永久存储。[0115]其中,操作系统221用于管理与控制源主机上电子设备20上的各硬件设备以及计算机程序222,操作系统221可以是windows、unix、linux等。计算机程222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的跨集群的网络管理策略部署方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。[0116]本实施例中,所述输入输出接口24具体可以包括但不限于usb接口、硬盘读取接口、串行接口、语音输入接口、指纹输入接口等。[0117]进一步的,本技术实施例还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的跨集群的网络管理策略部署方法。[0118]关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。[0119]这里所说的计算机可读存储介质包括随机存取存储器(randomaccessmemory,ram)、内存、只读存储器(read-onlymemory,rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、磁碟或者光盘或
技术领域:
:内所公知的任意其他形式的存储介质。其中,所述计算机程序被处理器执行时实现前述跨集群的网络管理策略部署方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。[0120]本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的跨集群的网络管理策略部署方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。[0121]专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本技术的范围。[0122]结合本文中所公开的实施例描述算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或
技术领域:
:内所公知的任意其它形式的存储介质中。[0123]最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。[0124]以上对本发明所提供的一种跨集群的网络管理策略部署方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。当前第1页12当前第1页12
再多了解一些
本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。
