CN115981847B - 服务网格部署方法及装置、电子设备和存储介质 - Google Patents
服务网格部署方法及装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN115981847B CN115981847B CN202211609382.9A CN202211609382A CN115981847B CN 115981847 B CN115981847 B CN 115981847B CN 202211609382 A CN202211609382 A CN 202211609382A CN 115981847 B CN115981847 B CN 115981847B
- Authority
- CN
- China
- Prior art keywords
- service
- grid
- cluster
- target
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000012545 processing Methods 0.000 claims description 42
- 238000004590 computer program Methods 0.000 claims description 17
- 238000004891 communication Methods 0.000 claims description 15
- 238000010200 validation analysis Methods 0.000 claims description 15
- 238000002347 injection Methods 0.000 claims description 3
- 239000007924 injection Substances 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 238000002955 isolation Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 4
- 239000008186 active pharmaceutical agent Substances 0.000 description 3
- 238000013459 approach Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开提供了一种服务网格部署方法及装置、电子设备和存储介质,涉及云计算、分布式计算技术领域。实现方案为:获取用户在目标集群中的目标命名空间;基于所述目标命名空间,确定服务网格所包括的所述用户的至少一个服务;以及基于所述至少一个服务,在所述目标集群中部署针对所述用户的服务网格。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及云计算、分布式计算技术领域,具体涉及一种服务网格部署方法及装置、电子设备、计算机可读存储介质和计算机程序产品。
背景技术
现代应用程序通常被构建为微服务的分布式集合,每个微服务执行一部分业务功能。服务网格是可以添加到应用程序中的专门的基础设施层。服务网格可以透明地提供应用程序的观察、流量管理和安全保护等功能,而无需修改应用程序的代码。术语“服务网格”不仅描述了用于实现上述功能的软件,而且还描述了使用该软件所创建的微服务网络。
在此部分中描述的方法不一定是之前已经设想到或采用的方法。除非另有指明,否则不应假定此部分中描述的任何方法仅因其包括在此部分中就被认为是现有技术。类似地,除非另有指明,否则此部分中提及的问题不应认为在任何现有技术中已被公认。
发明内容
本公开提供了一种服务网格部署方法及装置、电子设备、计算机可读存储介质和计算机程序产品。
根据本公开的一方面,提供了一种服务网格部署方法,包括:获取用户在目标集群中的目标命名空间;基于所述目标命名空间,确定服务网格所包括的所述用户的至少一个服务;以及基于所述至少一个服务,在所述目标集群中部署针对所述用户的服务网格。
根据本公开的一方面,提供了一种服务网格部署装置,包括:第一获取模块,被配置为获取用户在目标集群中的目标命名空间;服务发现模块,被配置为基于所述目标命名空间,确定服务网格所包括的所述用户的至少一个服务;以及网格部署模块,被配置为基于所述至少一个服务,在所述目标集群中部署针对所述用户的服务网格。
根据本公开的一方面,提供了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述方法。
根据本公开的一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使计算机执行上述方法。
根据本公开的一方面,提供了一种计算机程序产品,包括计算机程序指令,所述计算机程序指令在被处理器执行时实现上述方法。
根据本公开的一方面,提供了一种服务集群,所述服务集群中部署有至少一个服务网格,所述至少一个服务网格中的每个服务网格根据上述方法部署。
根据本公开的一个或多个实施例,能够在单个集群中针对不同的用户部署不同的服务网格,实现了对不同用户的服务的有效隔离,保证了用户数据的安全性,提高了集群资源的利用率。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图示例性地示出了实施例并且构成说明书的一部分,与说明书的文字描述一起用于讲解实施例的示例性实施方式。所示出的实施例仅出于例示的目的,并不限制权利要求的范围。在所有附图中,相同的附图标记指代类似但不一定相同的要素。
图1示出了根据本公开一些实施例的服务网格部署方法的流程图;
图2示出了根据本公开一些实施例的服务网格的示意图;
图3示出了根据本公开另一些实施例的服务网格的示意图;
图4示出了根据本公开一些实施例的服务网格部署装置的结构框图;以及
图5示出了能够用于实现本公开实施例的示例性电子设备的结构框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
在本公开中,除非另有说明,否则使用术语“第一”、“第二”等来描述各种要素不意图限定这些要素的位置关系、时序关系或重要性关系,这种术语只是用于将一个元件与另一元件区分开。在一些示例中,第一要素和第二要素可以指向该要素的同一实例,而在某些情况下,基于上下文的描述,它们也可以指代不同实例。
在本公开中对各种所述示例的描述中所使用的术语只是为了描述特定示例的目的,而并非旨在进行限制。除非上下文另外明确地表明,如果不特意限定要素的数量,则该要素可以是一个也可以是多个。此外,本公开中所使用的术语“和/或”涵盖所列出的项目中的任何一个以及全部可能的组合方式。
本公开的技术方案中,所涉及的用户个人信息的获取,存储和应用等,均符合相关法律法规的规定,且不违背公序良俗。
相关技术中,服务网格是以集群为粒度部署的,即,一个集群上只能部署一个服务网格。在多个用户共享一个集群的情况下,多个用户部署于该集群中的服务属于同一个服务网格,导致不同用户的服务之间相互可见,用户数据的隔离性、隐私性、安全性较差。在用户独占一个集群的情况下,对提供集群资源的云服务厂商来说,集群资源的利用率低、服务成本高。
为解决上述问题,本公开提供一种服务网格部署方法,能够在单个集群中针对不同的用户部署不同的服务网格,实现对不同用户的服务的有效隔离,保证用户数据的安全性,提高集群资源的利用率。
下面结合附图详细描述本公开的实施例。
图1示出了根据本公开实施例的服务网格部署方法100的流程图。方法100可以由目标集群中的任一计算设备执行。在本公开的实施例中,目标集群指的是用于部署服务网格的集群。可以理解,目标集群包括多个计算设备。如图1所示,方法100包括步骤S110-S130。
在步骤S110中,获取用户在目标集群中的目标命名空间。
在步骤S120中,基于目标命名空间,确定服务网格所包括的该用户的至少一个服务。
在步骤S130中,基于上述至少一个服务,在目标集群中部署针对该用户的服务网格。
根据本公开的实施例,能够基于用户的命名空间来部署服务网格。由于不同用户在同一集群中的命名空间不同,因此在目标集群中,可以针对不同的用户部署不同的服务网格。不同服务网格中的服务相互不可见,从而实现了对不同用户的服务的有效隔离,保证了用户数据的安全性,使得目标集群能够被不同用户复用,提高了集群资源的利用率。
以下详细描述方法100的各个步骤。
在步骤S110中,获取用户在目标集群中的目标命名空间。
根据一些实施例,步骤S110可以是响应于用户的服务网格创建请求而执行的。即,响应于用户的服务网格创建请求,执行步骤S110,获取用户在目标集群中的目标命名空间。
根据一些实施例,目标集群可以是Kubernetes集群。
命名空间(namespace)是对一组资源和对象的抽象整合。不同用户可以在同一个集群内创建不同的命名空间,同一个用户也可以在同一个集群内创建不同的命名空间。每个命名空间中可以部署有相应用户的一个或多个服务。不同命名空间中的数据彼此隔离,使得他们既可以共享同一个集群的服务,又能够互不干扰。
可以理解,用户可以在目标集群中创建一个或多个命名空间。在本公开的实施例中,目标命名空间指的是这一个或多个命名空间中的用于部署服务网格的命名空间。
根据一些实施例,目标集群可以仅包括一个集群。目标命名空间可以是用户在该集群中创建的一个或多个命名空间。
根据另一些实施例,目标集群可以包括多个(两个及以上)集群。这多个集群中的其中一个集群为主集群,其他集群为远端集群。在本公开的实施例中,将主集群记为“第一集群”,将远端集群记为“第二集群”。可以理解,第一集群与第二集群不同。
与目标集群包括第一集群和第二集群相应地,目标命名空间可以位于第一集群的第一命名空间和位于第二集群的第二命名空间。由此能够实现跨集群的服务网格部署。第一命名空间、第二命名空间分别可以有一个或多个。
在步骤S120中,基于目标命名空间,确定服务网格所包括的用户的至少一个服务。
步骤S120的用于确定服务网格所包括的至少一个服务的过程可以被称为“服务发现”。
根据一些实施例,目标集群中的服务可以配置有用户标签,相应地,可以将用户标签的值为上述目标命名空间的服务确定为服务网格所包括的至少一个服务。
根据另一些实施例,也可以响应于用户的服务网格创建请求,生成服务网格的标识,并将该服务网格的标识与用户的目标命名空间相关联。相应地,在步骤S120中,可以基于服务网格的标识和目标命名空间中的至少之一,确定服务网格所包括的至少一个服务。由此能够实现灵活的服务发现。
根据一些实施例,目标集群中的服务可以配置有用户标签和网格标签,相应地,可以将用户标签的值为上述目标命名空间或网格标签的值为上述服务网格的标识的服务确定为服务网格所包括的至少一个服务。由此能够基于用户标签和网格标签实现灵活的服务发现。
根据一些实施例,服务网格可以是Istio服务网格。相应地,可以基于目标命名空间,配置Istio服务网格的发现选择器字段(discoverySelectors),然后基于发现选择器字段,确定服务网格所包括的用户至少一个服务。
根据一些实施例,发现选择器字段进一步包括匹配标签子字段(matchLabels)和匹配表达式子字段(matchExpressions)。匹配标签子字段可以用于实现基于网格标签的服务发现,即,在服务的网格标签的值为服务网格的标识的情况下,该服务可以被服务网格发现。匹配表达式子字段可以用于实现基于用户标签的服务发现,即,在服务的用户标签的值为任一目标命名空间(目标命名空间可以有多个)的情况下,该服务可以被服务网格发现。发现选择器字段的示例性代码如下:
在上述代码中,meshConfig表示网格配置信息。matchLabels和matchExpressions均为匹配条件,二者是“或”的关系,即,只要服务满足之一,该服务即可以被发现。对应于上述代码,只要服务的mesh-instance-id标签的值为mesh-foo或者user标签的值为foo,该服务即可被发现。在matchExpressions字段中,operator是逻辑运算符,表示在values有多个值的情况下,这多个值的逻辑关系。In表示逻辑关系“或”。也就是说,如果values有多个值,那服务匹配到其中的一个值就可以被发现。
在步骤S130中,基于通过步骤S120所确定的至少一个服务,在目标集群中部署针对该用户的服务网格。
根据一些实施例,还可以获取服务网格的请求处理配置文件,其中,请求处理配置文件包括目标命名空间。相应地,在步骤S130中,可以基于请求处理配置文件和步骤S120所确定的至少一个服务,在目标集群中部署针对用户的服务网格。请求处理配置文件用于配置服务网格中的服务对于所接收到的服务请求的处理方式,例如,接受、拒绝或者改变服务请求。根据上述实施例,由于请求处理配置文件中包括目标命名空间,因此可以将请求处理配置文件所配置的请求处理方式仅对目标命名空间内的服务生效,从而实现用户服务的隔离。
根据一些实施例,请求处理配置文件包括请求处理规则和请求处理规则的生效条件。该生效条件包括目标命名空间,以使请求处理规则应用且仅应用于服务网格所包括的至少一个服务,即,使请求处理规则仅在指定的目标命名空间中生效。具体地,该生效条件可以是服务的用户标签的值为目标命名空间。
根据一些实施例,如上所述,目标集群中的服务可以配置有用户标签。相应地,可以在服务的用户标签的值为目标命名空间的情况下,认为该服务满足请求处理配置文件所定义的生效条件,从而对该服务应用请求处理配置文件中定义的请求处理规则。即,使该服务按照请求处理配置文件中定义的请求处理规则来对接收到的服务请求进行处理(例如接受、拒绝、改变等)。
根据一些实施例,服务网格可以是Istio服务网格。相应地,可以通过Istio服务网格的命名空间选择器字段(namespaceSelector)来配置上述生效条件。命名空间选择器字段可以进一步包括匹配表达式子字段(matchExpressions)。匹配表达式子字段可以用于实现基于用户标签的服务筛选,即,在服务的用户标签的值为任一目标命名空间(目标命名空间可以有多个)的情况下,认为该服务满足请求处理配置文件所定义的生效条件,从而对该服务应用请求处理配置文件中定义的请求处理规则。
命名空间选择器字段的示例性代码如下:
在该代码中,namespaceSelector为命名空间选择器字段。其他字段的含义与上文代码相同。
根据一些实施例,在目标命名空间包括位于第一集群的第一命名空间和位于第二集群的第二命名空间的情况下,服务网格中的至少一个服务包括部署于第一集群中的第一服务和部署于第二集群中的第二服务。相应地,步骤S130可以包括:生成第一网关信息和第二网关信息,其中,第一网关信息指示服务网格在第一集群中的第一网关,第二网关信息指示服务网格在第二集群中的第二网关,第一服务和第二服务通过第一网关和第二网关相互通信。
可以理解,第一网关和第二网关均为东西向网关,即,用于实现服务端与服务端(server-server)之间的通信的网关。并且,第一网关和第二网关本质上也是部署于相应集群(例如Kubernetes集群)中的服务应用(app)。
根据一些实施例,服务网格可以是Istio服务网格。相应地,可以通过网关标签来区分Istio服务网格内的不同的网关。网关标签(label)例如可以包括网关在服务网格中的第一标签(istio)和网关在集群中的第二标签(app)。网关标签的示例如下:
label:
istio:eastwestgateway-foo
app:istio-eastwestgateway-foo
topology.istio.io/network:bj
根据一些实施例,服务网格的软件实现包括部署于服务网格中的每个服务处的代理组件和与各服务的代理组件通信连接的控制组件。代理组件用于实现服务之间的通信。控制组件用于对各代理组件进行控制,从而控制服务之间的通信。各服务的代理组件的总和可以被称为服务网格的“数据面”,控制组件可以被称为服务网格的“控制面”。
与上述实施例相应地,步骤S130可以包括:为服务网格所包括的至少一个服务中的每个服务注入代理组件,代理组件被配置为进行相应服务与其他服务之间的通信;以及将服务网格的控制组件分别与至少一个服务对应的至少一个代理组件通信连接,以使控制组件对上述至少一个代理组件进行控制。
根据一些实施例,服务的代理组件部署于该服务所在的计算设备(也可以称为主机,Host)中,并且实现为不同于该服务的进程。代理组件的这种部署方式被称为边车(Sidecar)模式。控制组件可以部署于目标集群的任一计算设备中。在目标集群有多个的情况下,控制组件可以仅部署于其中的一个集群(通常为主集群)中。
图2示出了根据本公开一些实施例的服务网格的示意图。
如图2所示,网络210中部署有集群220。集群220中部署有用户1的服务221、222和用户2的服务223-225。服务221、222属于用户1的命名空间namespace1,服务223-225属于用户2的命名空间namespace2。接口服务器(API Server)230用于接收客户端发来的服务请求。
通过执行本公开实施例的服务网格部署方法100,可以在集群220中部署针对用户1的服务网格240和针对用户2的服务网格250。服务网格240包括用户1的服务221和222,服务网格250包括用户2的服务223-225。在部署服务网格240时,向服务221、222中分别注入代理组件(图2中未示出),并安装控制组件241。在部署服务网格250时,向服务223-225中分别注入代理组件(图2中未示出),并安装控制组件251。
图2示出了单集群多用户的服务网格部署。服务网格240和服务网格250中的服务相互不可见,实现了对不同用户的服务的有效隔离,保证了用户数据的安全性,使得目标集群能够被不同用户复用,提高了集群资源的利用率。
图3示出了根据本公开另一些实施例的服务网格的示意图。
如图3所示,网络310中部署有集群320。集群320中部署有用户1的服务321和用户2的服务323。服务321属于用户1的命名空间namespace1,服务323属于用户2的命名空间namespace2。接口服务器(API Server)330用于接收客户端发往集群320的服务请求。
网络340中部署有集群350。集群350中部署有用户1的服务351和用户2的服务353。服务351属于用户1的命名空间namespace3,服务353属于用户2的命名空间namespace4。接口服务器(API Server)360用于接收客户端发往集群350的服务请求。
在图3所示的实施例中,集群320为主集群,集群350为远端集群。集群320用于安装服务网格的控制组件。
通过执行本公开实施例的服务网格部署方法100,可以在集群320和350中部署针对用户1的服务网格370和针对用户2的服务网格380。
服务网格370包括用户1的服务321和351。在部署服务网格370时,向服务321、351中分别注入代理组件(图3中未示出),并在集群320中安装控制组件371。此外,在集群320中创建网关322,在集群350中创建网关352。服务321和服务351通过网关322和网关352相互通信。
服务网格380包括用户2的服务323和353。在部署服务网格380时,向服务323、353中分别注入代理组件(图3中未示出),并在集群320中安装控制组件381。此外,在集群320中创建网关324,在集群350中创建网关354。服务323和服务353通过网关324和网关354相互通信。
图3示出了跨集群多用户的服务网格部署。服务网格370和服务网格380中的服务相互不可见,实现了对不同用户的服务的有效隔离,保证了用户数据的安全性,使得目标集群能够被不同用户复用,提高了集群资源的利用率。
根据本公开的实施例,能够取得如下效果:
1、多个用户能够共享一个集群,而非单个用户独占一个集群。
2、一个服务网格实例对应于一个用户(但一个用户可以部署多个服务网格实例),并且对应于集群中的一个Istio控制面。
3、一个集群的所有服务网格实例共用一个集群粒度的根证书。
4、每个服务网格实例只管理一个用户的若干个命名空间。
5、代理组件(Sidecar)注入、自定义资源(CRD)的校验仅生效于相应用户的若干个命名空间。
6、不同用户的服务逻辑隔离,不会互相发现。
7、不同用户的端点(endpoint)资源逻辑隔离,避免流量互相影响。
8、降低了每个Istio控制面管控的资源量级,显著降低了Istio的计算量、xDS(XDiscovery Service)的数据推送量和Envoy内存占用。
根据本公开的实施例,还提供了一种服务网格部署装置。图4示出了根据本公开实施例的服务网格部署装置400的结构框图。如图4所示,装置400包括:第一获取模块410、服务发现模块420和网格部署模块430。
第一获取模块410被配置为获取用户在目标集群中的目标命名空间。
服务发现模块420被配置为基于所述目标命名空间,确定服务网格所包括的所述用户的至少一个服务。
网格部署模块430被配置为基于所述至少一个服务,在所述目标集群中部署针对所述用户的服务网格。
根据本公开的实施例,能够基于用户的命名空间来部署服务网格。由于不同用户在同一集群中的命名空间不同,因此在目标集群中,可以针对不同的用户部署不同的服务网格。不同服务网格中的服务相互不可见,从而实现了对不同用户的服务的有效隔离,保证了用户数据的安全性,使得目标集群能够被不同用户复用,提高了集群资源的利用率。
根据一些实施例,装置400还包括:生成模块,被配置为生成所述服务网格的标识,其中,所述服务网格的标识与所述目标命名空间相关联;所述服务发现模块进一步被配置为:基于所述服务网格的标识和所述目标命名空间中的至少之一,确定所述服务网格所包括的所述用户的至少一个服务。
根据一些实施例,装置400还包括:第二获取模块,被配置为获取所述服务网格的请求处理配置文件,其中,所述请求处理配置文件包括所述目标命名空间;所述网格部署模块430进一步被配置为:基于所述至少一个服务和所述请求处理配置文件,在所述目标集群中部署针对所述用户的服务网格。
根据一些实施例,所述请求处理配置文件包括请求处理规则和所述请求处理规则的生效条件,所述生效条件包括所述目标命名空间,以使所述请求处理规则应用且仅应用于所述至少一个服务。
根据一些实施例,所述目标集群包括第一集群和不同于所述第一集群的第二集群,所述目标命名空间包括位于所述第一集群的第一命名空间和位于所述第二集群的第二命名空间。
根据一些实施例,所述至少一个服务包括部署于所述第一集群中的第一服务和部署于所述第二集群中的第二服务;所述网格部署模块430进一步被配置为:生成第一网关信息和第二网关信息,其中,所述第一网关信息指示所述服务网格在所述第一集群中的第一网关,所述第二网关信息指示所述服务网格在所述第二集群中的第二网关,所述第一服务和所述第二服务通过所述第一网关和所述第二网关相互通信。
根据一些实施例,所述网格部署模块430进一步包括:代理注入单元,被配置为为所述至少一个服务中的每个服务注入代理组件,其中,所述代理组件被配置为进行相应服务与其他服务之间的通信;以及连接单元,被配置为将所述服务网格的控制组件分别与所述至少一个服务对应的至少一个代理组件通信连接,以使所述控制组件对所述至少一个代理组件进行控制。
根据一些实施例,所述服务网格为Istio服务网格,所述服务发现模块420进一步包括:配置单元,被配置为基于所述目标命名空间,配置所述Istio服务网格的发现选择器字段;以及发现单元,被配置为基于所述发现选择器字段,确定所述服务网格所包括的所述用户的至少一个服务。
根据一些实施例,所述服务网格为Istio服务网格,所述生效条件是通过所述Istio服务网格的命名空间选择器字段配置的。
应当理解,图4中所示装置400的各个模块或单元可以与参考图1描述的方法100中的各个步骤相对应。由此,上面针对方法100描述的操作、特征和优点同样适用于装置400及其包括的模块以及单元。为了简洁起见,某些操作、特征和优点在此不再赘述。
虽然上面参考特定模块讨论了特定功能,但是应当注意,本文讨论的各个模块的功能可以分为多个模块,和/或多个模块的至少一些功能可以组合成单个模块。例如,上面描述的第一获取模块410和服务发现模块420在一些实施例中可以组合成单个模块。
还应当理解,本文可以在软件硬件元件或程序模块的一般上下文中描述各种技术。上面关于图4描述的各个模块可以在硬件中或在结合软件和/或固件的硬件中实现。例如,这些模块可以被实现为计算机程序代码/指令,该计算机程序代码/指令被配置为在一个或多个处理器中执行并存储在计算机可读存储介质中。可替换地,这些模块可以被实现为硬件逻辑/电路。例如,在一些实施例中,模块410-430中的一个或多个可以一起被实现在片上***(System on Chip,SoC)中。SoC可以包括集成电路芯片(其包括处理器(例如,中央处理单元(Central Processing Unit,CPU)、微控制器、微处理器、数字信号处理器(Digital Signal Processor,DSP)等)、存储器、一个或多个通信接口、和/或其他电路中的一个或多个部件),并且可以可选地执行所接收的程序代码和/或包括嵌入式固件以执行功能。
根据本公开的实施例,还提供了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述服务网格部署方法。
根据本公开的实施例,还提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行上述服务网格部署方法。
根据本公开的实施例,还提供了一种计算机程序产品,包括计算机程序指令,所述计算机程序指令在被处理器执行时实现上述服务网格部署方法。
根据本公开的实施例,还提供了一种服务集群,所述服务集群中部署有至少一个服务网格,所述至少一个服务网格中的每个服务网格根据上述服务网格部署方法部署。
参考图5,现将描述可以作为本公开的服务器或客户端的电子设备500的结构框图,其是可以应用于本公开的各方面的硬件设备的示例。电子设备旨在表示各种形式的数字电子的计算机设备,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字助理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图5所示,电子设备500包括计算单元501,其可以根据存储在只读存储器(ROM)502中的计算机程序或者从存储单元508加载到随机访问存储器(RAM)503中的计算机程序,来执行各种适当的动作和处理。在RAM503中,还可存储电子设备500操作所需的各种程序和数据。计算单元501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
电子设备500中的多个部件连接至I/O接口505,包括:输入单元506、输出单元507、存储单元508以及通信单元509。输入单元506可以是能向电子设备500输入信息的任何类型的设备,输入单元506可以接收输入的数字或字符信息,以及产生与电子设备的用户设置和/或功能控制有关的键信号输入,并且可以包括但不限于鼠标、键盘、触摸屏、轨迹板、轨迹球、操作杆、麦克风和/或遥控器。输出单元507可以是能呈现信息的任何类型的设备,并且可以包括但不限于显示器、扬声器、视频/音频输出终端、振动器和/或打印机。存储单元508可以包括但不限于磁盘、光盘。通信单元509允许电子设备500通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据,并且可以包括但不限于调制解调器、网卡、红外通信设备、无线通信收发机和/或芯片组,例如蓝牙TM设备、802.11设备、Wi-Fi设备、WiMAX设备、蜂窝通信设备和/或类似物。
计算单元501可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元501的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元501执行上文所描述的各个方法和处理,例如方法100。例如,在一些实施例中,方法100可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元508。在一些实施例中,计算机程序的部分或者全部可以经由ROM 502和/或通信单元509而被载入和/或安装到电子设备500上。当计算机程序加载到RAM 503并由计算单元501执行时,可以执行上文描述的方法100的一个或多个步骤。备选地,在其他实施例中,计算单元501可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法100。
本文中以上描述的***和技术的各种实施方式可以在数字电子电路***、集成电路***、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上***的***(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程***上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储***、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储***、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的***和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的***和技术实施在包括后台部件的计算***(例如,作为数据服务器)、或者包括中间件部件的计算***(例如,应用服务器)、或者包括前端部件的计算***(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将***的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式***的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行、也可以顺序地或以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
虽然已经参照附图描述了本公开的实施例或示例,但应理解,上述的方法、***和设备仅仅是示例性的实施例或示例,本公开的范围并不由这些实施例或示例限制,而是仅由授权后的权利要求书及其等同范围来限定。实施例或示例中的各种要素可以被省略或者可由其等同要素替代。此外,可以通过不同于本公开中描述的次序来执行各步骤。进一步地,可以以各种方式组合实施例或示例中的各种要素。重要的是随着技术的演进,在此描述的很多要素可以由本公开之后出现的等同要素进行替换。
Claims (22)
1.一种服务网格部署方法,包括:
获取用户在目标集群中的目标命名空间,其中,所述用户为所述目标集群的多个用户中的任一用户,不同用户在所述目标集群中的命名空间不同;
基于所述目标命名空间,确定服务网格所包括的所述用户的至少一个服务;以及
基于所述至少一个服务,在所述目标集群中部署专属于所述用户的服务网格,其中,所述服务网格包括所述用户的所述至少一个服务,不同用户的服务网格不同,且不同服务网格中的服务相互不可见。
2.根据权利要求1所述的方法,还包括:生成所述服务网格的标识,其中,所述服务网格的标识与所述目标命名空间相关联;
所述基于所述目标命名空间,确定服务网格所包括的所述用户的至少一个服务包括:
基于所述服务网格的标识和所述目标命名空间中的至少之一,确定所述服务网格所包括的所述用户的至少一个服务。
3.根据权利要求1或2所述的方法,还包括:获取所述服务网格的请求处理配置文件,其中,所述请求处理配置文件包括所述目标命名空间;
所述基于所述至少一个服务,在所述目标集群中部署专属于所述用户的服务网格包括:
基于所述至少一个服务和所述请求处理配置文件,在所述目标集群中部署专属于所述用户的服务网格。
4.根据权利要求3所述的方法,其中,所述请求处理配置文件包括请求处理规则和所述请求处理规则的生效条件,所述生效条件包括所述目标命名空间,以使所述请求处理规则应用且仅应用于所述至少一个服务。
5.根据权利要求1所述的方法,其中,所述目标集群包括第一集群和不同于所述第一集群的第二集群,所述目标命名空间包括位于所述第一集群的第一命名空间和位于所述第二集群的第二命名空间。
6.根据权利要求5所述的方法,其中,所述至少一个服务包括部署于所述第一集群中的第一服务和部署于所述第二集群中的第二服务;
所述基于所述至少一个服务,在所述目标集群中部署专属于所述用户的服务网格包括:
生成第一网关信息和第二网关信息,其中,所述第一网关信息指示所述服务网格在所述第一集群中的第一网关,所述第二网关信息指示所述服务网格在所述第二集群中的第二网关,所述第一服务和所述第二服务通过所述第一网关和所述第二网关相互通信。
7.根据权利要求1所述的方法,其中,所述基于所述至少一个服务,在所述目标集群中部署专属于所述用户的服务网格包括:
为所述至少一个服务中的每个服务注入代理组件,其中,所述代理组件被配置为进行相应服务与其他服务之间的通信;以及
将所述服务网格的控制组件分别与所述至少一个服务对应的至少一个代理组件通信连接,以使所述控制组件对所述至少一个代理组件进行控制。
8.根据权利要求1所述的方法,其中,所述服务网格为Istio服务网格,所述基于所述目标命名空间,确定服务网格所包括的所述用户的至少一个服务包括:
基于所述目标命名空间,配置所述Istio服务网格的发现选择器字段;以及
基于所述发现选择器字段,确定所述服务网格所包括的所述用户的至少一个服务。
9.根据权利要求4所述的方法,其中,所述服务网格为Istio服务网格,所述生效条件是通过所述Istio服务网格的命名空间选择器字段配置的。
10.一种服务网格部署装置,包括:
第一获取模块,被配置为获取用户在目标集群中的目标命名空间,其中,所述用户为所述目标集群的多个用户中的任一用户,不同用户在所述目标集群中的命名空间不同;
服务发现模块,被配置为基于所述目标命名空间,确定服务网格所包括的所述用户的至少一个服务;以及
网格部署模块,被配置为基于所述至少一个服务,在所述目标集群中部署专属于所述用户的服务网格,其中,所述服务网格包括所述用户的所述至少一个服务,不同用户的服务网格不同,且不同服务网格中的服务相互不可见。
11.根据权利要求10所述的装置,还包括:
生成模块,被配置为生成所述服务网格的标识,其中,所述服务网格的标识与所述目标命名空间相关联;
所述服务发现模块进一步被配置为:
基于所述服务网格的标识和所述目标命名空间中的至少之一,确定所述服务网格所包括的所述用户的至少一个服务。
12.根据权利要求10或11所述的装置,还包括:
第二获取模块,被配置为获取所述服务网格的请求处理配置文件,其中,所述请求处理配置文件包括所述目标命名空间;
所述网格部署模块进一步被配置为:
基于所述至少一个服务和所述请求处理配置文件,在所述目标集群中部署专属于所述用户的服务网格。
13.根据权利要求12所述的装置,其中,所述请求处理配置文件包括请求处理规则和所述请求处理规则的生效条件,所述生效条件包括所述目标命名空间,以使所述请求处理规则应用且仅应用于所述至少一个服务。
14.根据权利要求10所述的装置,其中,所述目标集群包括第一集群和不同于所述第一集群的第二集群,所述目标命名空间包括位于所述第一集群的第一命名空间和位于所述第二集群的第二命名空间。
15.根据权利要求14所述的装置,其中,所述至少一个服务包括部署于所述第一集群中的第一服务和部署于所述第二集群中的第二服务;
所述网格部署模块进一步被配置为:
生成第一网关信息和第二网关信息,其中,所述第一网关信息指示所述服务网格在所述第一集群中的第一网关,所述第二网关信息指示所述服务网格在所述第二集群中的第二网关,所述第一服务和所述第二服务通过所述第一网关和所述第二网关相互通信。
16.根据权利要求10所述的装置,其中,所述网格部署模块进一步包括:
代理注入单元,被配置为为所述至少一个服务中的每个服务注入代理组件,其中,所述代理组件被配置为进行相应服务与其他服务之间的通信;以及
连接单元,被配置为将所述服务网格的控制组件分别与所述至少一个服务对应的至少一个代理组件通信连接,以使所述控制组件对所述至少一个代理组件进行控制。
17.根据权利要求10所述的装置,其中,所述服务网格为Istio服务网格,所述服务发现模块进一步包括:
配置单元,被配置为基于所述目标命名空间,配置所述Istio服务网格的发现选择器字段;以及
发现单元,被配置为基于所述发现选择器字段,确定所述服务网格所包括的所述用户的至少一个服务。
18.根据权利要求13所述的装置,其中,所述服务网格为Istio服务网格,所述生效条件是通过所述Istio服务网格的命名空间选择器字段配置的。
19.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-9中任一项所述的方法。
20.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使计算机执行根据权利要求1-9中任一项所述的方法。
21.一种计算机程序产品,包括计算机程序指令,其中,所述计算机程序指令在被处理器执行时实现权利要求1-9中任一项所述的方法。
22.一种服务集群,其中,所述服务集群中部署有至少一个服务网格,所述至少一个服务网格中的每个服务网格根据权利要求1-9中任一项所述的方法部署。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211609382.9A CN115981847B (zh) | 2022-12-14 | 2022-12-14 | 服务网格部署方法及装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211609382.9A CN115981847B (zh) | 2022-12-14 | 2022-12-14 | 服务网格部署方法及装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115981847A CN115981847A (zh) | 2023-04-18 |
| CN115981847B true CN115981847B (zh) | 2024-06-28 |
Family
ID=85958818
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211609382.9A Active CN115981847B (zh) | 2022-12-14 | 2022-12-14 | 服务网格部署方法及装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115981847B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112637328A (zh) * | 2020-12-21 | 2021-04-09 | 上海商汤智能科技有限公司 | 云服务方法、装置、设备及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114625535A (zh) * | 2022-03-08 | 2022-06-14 | 新浪网技术(中国)有限公司 | 多Kubernetes集群的业务部署方法及装置 |
| CN115426175A (zh) * | 2022-08-31 | 2022-12-02 | 中电云数智科技有限公司 | 一种基于用户隔离的实例孵化***和方法 |
-
2022
- 2022-12-14 CN CN202211609382.9A patent/CN115981847B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112637328A (zh) * | 2020-12-21 | 2021-04-09 | 上海商汤智能科技有限公司 | 云服务方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115981847A (zh) | 2023-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20140245394A1 (en) | Trust-based computing resource authorization in a networked computing environment | |
| US10997113B1 (en) | Method and system for a resource reallocation of computing resources in a resource pool using a ledger service | |
| CN115373861B (zh) | Gpu资源调度方法、装置、电子设备及存储介质 | |
| CN110597719A (zh) | 一种用于适配测试的图像聚类方法、装置及介质 | |
| US10977153B1 (en) | Method and system for generating digital twins of resource pools and resource pool devices | |
| CN114650223A (zh) | 一种Kubernetes集群的网络配置方法、装置及电子设备 | |
| CN114924745A (zh) | 深度学习编译器的运行方法、装置及电子设备 | |
| CN111767149B (zh) | 调度方法、装置、设备及存储设备 | |
| US11663504B2 (en) | Method and system for predicting resource reallocation in a resource pool | |
| CN115981847B (zh) | 服务网格部署方法及装置、电子设备和存储介质 | |
| CN114051029B (zh) | 授权方法、授权装置、电子设备和存储介质 | |
| CN115550413A (zh) | 一种数据调用方法、装置、服务网关及存储介质 | |
| CN114070889A (zh) | 配置方法、流量转发方法、设备、存储介质及程序产品 | |
| CN113691403A (zh) | 拓扑节点配置方法、相关装置及计算机程序产品 | |
| CN113110883A (zh) | 区块链***的启动方法、装置、设备和存储介质 | |
| US11953972B2 (en) | Selective privileged container augmentation | |
| CN113220576B (zh) | 测试环境的管理方法、装置、设备以及存储介质 | |
| CN113254168B (zh) | 区块链***的运行方法、装置、设备和存储介质 | |
| CN114281478B (zh) | 容器运行方法、装置、电子设备及计算机存储介质 | |
| CN116566737B (zh) | 基于SaaS平台的权限配置方法、装置及相关设备 | |
| US20200089595A1 (en) | Updating taint tags based on runtime behavior profiles | |
| CN117032859A (zh) | Ui界面和业务应用分层开发装置、方法、设备及介质 | |
| CN115480911A (zh) | 一种集群的资源分配方法、服务器和存储介质 | |
| CN115080111A (zh) | 目标应用的流程化管理方法、装置、设备及存储介质 | |
| CN116382852A (zh) | 微服务部署方法、装置、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |