背景技術

Serverless Kubernetes，是一種將無服務器計算模型與 Kubernetes 相結合的架構理念。它旨在提供一種基于事件驅動的自動擴展和管理容器化應用程序的方式，使開發者能夠專注于應用程序邏輯而不必關心底層的基礎設施管理。不同于傳統的 Kubernetes，在 Serverless Kubernetes 中，用戶無需關注集群和底層服務器管理和運維，只需動態申請應用需要的資源，一站式部署和運維容器應用，真正實現開箱即用，提升開發效率、降低整體資源成本。由于 Serverless Kubernetes 提供了一種簡單易用、極致彈性、最優成本和按需付費的 Kubernetes 容器服務，越來越多的企業和開發者將應用程序容器化并部署在 Serverless Kubernetes 平臺上。Serverless Kubernetes 一般通過“共享集群+邊緣集群”的模式實現架構的免運維及應用的多集群部署，共享集群接入不同地區不同類型的邊緣集群，通過多集群管理模式部署應用到不同的邊緣集群。雖然共享集群機制可以簡化集群的管理及降低成本，但是多個租戶共享同一個集群也帶來了諸如安全、性能、穩定性、管理和維護等挑戰。對于擁有多個租戶多種應用程序的集群環境來說，實現有效的多租戶隔離變得至關重要。

多租戶隔離是指在 Kubernetes 集群中實現多租戶的隔離和管理，使得不同租戶的應用程序和資源被隔離開來，每個租戶擁有獨立的控制面和運行環境，彼此之間相互隔離，確保安全性和性能。由于 Kubernetes 設計的復雜性，實現 Kubernetes 集群的多租戶隔離具有一定的挑戰性。首先，Kubernetes 集群由控制面和數據面構成，在設計時需同時考慮控制面隔離和數據面隔離。控制面是集群的管理平面，負責集群的控制、調度和管理，控制面隔離要確保不同租戶無法訪問或影響彼此的 Kubernetes API 資源。數據面是集群中負責實際運行應用程序的組件，負責接收和處理來自用戶或外部請求的流量，并將其路由到適當的Pod和容器中，數據面隔離要確保不同租戶的 Pod 和工作負載之間被充分隔離，包括容器運行時、網絡、存儲等。其次，不同于傳統 Kubernetes 的單一集群模式，Serverless Kubernetes 的“共享集群+邊緣集群”多集群模式，架構復雜性使得實現多租戶隔離更為困難。基于以上挑戰，本文采用云原生理念，提出了一種面向 Serverless Kubernetes 的多租戶隔離方法，實現從共享集群到邊緣集群、從控制面到數據面的多租戶隔離。

技術方案

本文提出了一種面向 Serverless Kubernetes 的多租戶硬隔離方法，實現了從共享集群到邊緣集群、從控制面到數據面的多租戶硬隔離。具體而言，首先在共享集群基于 Virtual Cluster 技術實現多租戶控制面隔離，一個租戶專享一個虛擬集群，虛擬集群的控制面該租戶獨享。虛擬集群內的節點，是由 Virtual Kubelet 實現的虛擬節點，虛擬節點租戶專享。租戶部署到虛擬集群中的工作負載通過 syncer 組件同步到集群外，調度到租戶專享的虛擬節點上，接著通過 Virtual Kubelet 調用 Provider（容器服務）部署 Pod 等資源到邊緣集群。部署到邊緣集群的容器通過 Kata Containers 技術將容器運行在專屬的輕量級虛擬機中，實現數據面的運行時隔離。并且，通過 Kube-OVN 組件將容器加入到 VPC 網絡實現數據面的網絡隔離。該方案的整體架構如下：