多租户隔离级别

云计算中的租户概念是底层基础架构资源共享与隔离之间的一种权衡技术实现,对于云计算尤其是公有云而言,底层资源共享程度越高,资源利用率就越高,因此也就更能显现公有云的规模效益。

多租户技术出现可以认为是公有云中用以解决资源共享与隔离这对矛盾的有效方案。

在这里插入图片描述

OpenStack在计算、网络、存储方面的多租户隔离实现

计算资源多租户隔离

在某些情况下,用户对性能和安全性要求较高,因此可能希望将自己的虚拟机创建在专属的物理宿主机上,从而与其他用户的虚拟机从物理机上隔离,此时就需要实现SharedNothing级别的隔离。
在OpenStack中,实现此类多租户隔离的技术是主机集(HostAggregate),即云管理员事先创建一个主机集,之后将特定的计算节点主机加入这个主机集,再为主机集设置元数据值(filter_tenant_id),这样当该租户创建虚拟机时,Nova的scheduler会将请求调度到与该租户关联的主机集中,主机集以外的计算节点不会被该租户使用。

存储资源多组合隔离

存储资源的隔离在cinder和ceph 中都可以实现。由于cinder支持多后端存储机制,因此云管理员可以为每个后端创建一个队员的volume type,并通过设置volume type的quotas形式将租户的ID与Type关联,这样租户在创建volume时只需指定volume type,则租户的volume就会自动创建在与租户关联的存储后端上。
如果在OpenStack 中使用的是Ceph分布式式存储集群,则通过定制ceph中不同的Crush Rule也可以实现Ceph数据存储的物理隔离。例如将性能要求极高的租户数据存储在SSD组成的池中,将仅对容量有要求的租户数据存储在SATA盘组成的池中。

网络资源多组合隔离

OpenStack中的网络隔离主要采取逻辑隔离的方式,类似于AWS或阿里云的VPC(virtual Private cloud)多租户隔离机制,每个租户可以自己创建自己的虚拟网络,不同租户之间的网络通过软件技术实现逻辑隔离。例如VLAN、VXLAN和GRE都是Openstack中最常见的网络隔离模式。

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐