一是租户之间的数据隔离,包括逻辑上的隔离和物理上的隔离。

再到第三层就是项目和工程的权限管理,包括各类应用负载、网络、存储、configmap、secrets 的权限等等,可以非常灵活的进行控制。

从服务使用者的角度看,你我可以作为不同的客户同时使用同一个公共服务,此时我们的业务是相互不影响的,就好像在使用独享的服务一样。

企业空间中的角色会在企业空间创建之后自动生成,暂时不支持自定义角色。

四是多租户环境中的安全问题,网络隔离已经能在一定程度上保证集群的安全了,但在容器安全和节点安全上 K8S 做的还不够。

因为存在大量封装的租户 API、第三方服务(日志、监控等),我们很多的服务并不适合直接聚合到 kube-apiserver 中。

namespace 作为权限管理的最小单位,如果我们继续沿用之前的方案,就是一个租户一个 namespace, 租户下再很难划分出组织机构、部门等权限管理层级,但在大企业多租环境下往往一个部门、一个小组会被分配到一个 namespace 中,那么一个租户则需要跨好几个 namespace 进行协同。

这是 K8S 开源的 dashboard,可以说是非常的简洁,基本上已经可以满足一个小企业的使用需求,通过这个项目可以很直观的对 K8S 集群进行可视化的操作。

这里不得不说我们青云自研的 QingCloud SDN 3.0 方案,可以完美衔接 K8S,为多租户环境提供强大的网络定义,分割能力,它实际上适用的场景非常多。

知行学院是青云QingCloud 为广大 CIO、架构师、开发者、运维工程师、技术爱好者提供的一个云计算、大数据、容器等技术的最佳分享与实践平台。其中包括线上技术公开课、云产品解析、线下实践课堂、行业沙龙等众多知识分享形式。

KubeSphere 多租户集群安全

我们重新定义了租户,还需要考虑如何对租户的权限进行控制。

但真实的客户使用场景往往是这样的:

我们可以这样理解多租户:

对于一个企业来说,多租户系统的意义在于,大家可以共用一套系统,而不是拆分成多个子系统独立管理,造成人力和计算资源的浪费。

为此我们在高级版中重新对租户进行了抽象,在 K8S 原有的 RBAC 基础之上,新增了一层企业空间(workspace)作为租户的权限边界,租户下可以有多个 namespace,namespace 下再设管理员,这就意味着每个租户都可以拥有多个层级的资源。

刚刚说到的的权限控制已经做到了第一点,K8S 中 namespace + RBAC + workspace,已经可以做到不同租户之间逻辑层面的数据隔离。

基于 Kubernetes 的多租户根据使用者的规模不同,有非常多的形态,这里列举几个典型的例子: