2同行回答
个人经验:
1.租户的问题
容器云大部分底层核心技术,包括网络,控制节点等等,应该是由运维部门负责。和应用发布有关的内容,比如编排模板、镜像、应用发布更新等操作由开发人员负责。云管平台首先要将这两部分功能分开。
针对应用组成员,云管还需要在应用层面进行隔离,比如个人发布的应用只允许原作者或者同组人修改,这个要根据实际行内应用的组织架构来安排。同理,针对应用镜像、编排文件等等也要进行隔离。
另外还有什么审计呀,权限呀,都可以在云管平台上配置。看实际各行的内部要求而定。
2.资源分配
这部分功能,我建议统一由运维团队或者系统团队负责,应用系统上云前一般会进行压测,有个容量估算的过程。通过容量估算和趋势分析,系统人员可以规划大致的资源池给相关应用。
具体的话,一般可以通过划分底层资源池实现。如果用K8S,可以在计算节点上通过lables进行规划,另外还需要在编排文件上设置好最小资源和最大资源,让应用可以弹性扩容。云管平台需要将上述相关功能集成进来并做好权限管理。
首先多租户之间的资源、应用、服务实例等需要隔离,不同的租户在登进门户后,只能看到所属租户内的对象,不同租户间的对象在一般情况下隔离、不可见、不可访问;其次,平台服务商(Service Provider)本质上也是一个特殊的租户,它也有自己用于平台运维管理所需的资源、服务等,我们也需要把平台服务商这个租户和用户租户进行隔离,至少在没有用户租户授权的情况下,也不应该看到和访问用户租户内的对象。在同一租户内,根据业务的需要,可以进一步设计分级的权限、角色等,一个租户内拥有不同角色的用户,对资源可以有不同的操作权限,例如高级用户可以对资源、应用等有创建/删除/修改/读取权限,一般用户只可以修改/读取权限,用于审计的用户账户只有读取权限,租户管理员做为一个租户下的最高权限,还可以对其它用户的权限进行修改等。
收起