一种基于多租户的资源调度系统的制作方法

本发明涉及云计算技术领域，特别是涉及一种基于多租户的资源调度系统。

背景技术：

随着云计算技术的快速发展，数据中心网络安全防护需求不断加强。

目前常用的网络安全防护方法是采用硬件一虚多防火墙方式，即将一台高性能硬件防火墙虚拟出多台逻辑防火墙，以进行网络安全防护。

这种方法存在一定的缺点，首先需要选择专用硬件，无法对硬件进行自主选择，一般高性能硬件防火墙价格较高，硬件成本较高；其次，硬件一虚多防火墙是专用硬件，当租户数较少时，其空闲资源也不能留作他用，资源浪费严重，而且也不方便水平扩展。

技术实现要素：

本发明的目的是提供一种基于多租户的资源调度系统，以降低硬件成本，节约资源，实现资源的按需分配，自适应调度。

为解决上述技术问题，本发明提供如下技术方案：

一种基于多租户的资源调度系统，包括资源调度装置、超融合虚拟化集群和多个虚拟防火墙容器，所述超融合虚拟化集群包含多个主机，每个主机上运行一个或多个虚拟防火墙容器，虚拟防火墙容器与租户一一对应，所述资源调度装置分别与每个虚拟防火墙容器和每个主机连接，所述资源调度装置用于根据监控得到的每个虚拟防火墙容器和每个主机的资源信息，进行资源调度。

在本发明的一种具体实施方式中，所述资源调度装置具体用于：

如果确定第一虚拟防火墙容器的剩余资源小于预设第一阈值，则按照设定第一要求增加所述第一虚拟防火墙容器的资源占用。

在本发明的一种具体实施方式中，所述资源调度装置具体用于：

如果确定第二虚拟防火墙容器的空闲资源大于预设第二阈值，则按照设定第二要求减少所述第二虚拟防火墙容器的资源占用。

在本发明的一种具体实施方式中，所述资源调度装置具体用于：

根据预设的负载不均衡判断条件，确定所述超融合虚拟化集群中存在负载不均衡的第一主机和第二主机，所述第一主机的负载大于所述第二主机的负载；

根据设定第三要求，将运行在所述第一主机上的一个或多个虚拟防火墙容器调整到所述第二主机上。

在本发明的一种具体实施方式中，所述资源调度装置具体用于：

将运行在所述第一主机上的一个或多个虚拟防火墙容器热迁移至所述第二主机上。

在本发明的一种具体实施方式中，所述负载不均衡判断条件为：第一主机的负载占比超过预设第三阈值，第二主机的负载占比低于预设第四阈值。

在本发明的一种具体实施方式中，所述资源调度装置具体用于：

在监控到所述超融合虚拟化集群中每个主机的可用资源均低于预设第五阈值时，输出告警信息。

在本发明的一种具体实施方式中，所述资源调度装置具体用于：

在监测到所述超融合虚拟化集群中有新主机加入时，确定所述超融合虚拟化集群中待进行资源调整的目标主机；

将运行在所述目标主机上的一个或多个虚拟防火墙容器调整到所述新主机上。

在本发明的一种具体实施方式中，所述资源调度装置包括资源调度器和资源监控器，所述资源监控器用于监控每个虚拟防火墙容器和每个主机的资源信息，所述资源调度器用于进行资源调度。

应用本发明实施例所提供的技术方案，超融合虚拟化集群包含多个主机，每个主机上运行一个或多个虚拟防火墙容器，虚拟防火墙容器与租户一一对应，资源调度装置分别与每个虚拟防火墙容器和超融合虚拟化集群中的每个主机连接，可以根据监控得到的每个虚拟防火墙容器和每个主机的资源信息，自适应地进行资源调度。相对于硬件一虚多防火墙方式而言，这样可以降低硬件成本，节约资源，可以实现资源的按需分配，自适应调度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中一种基于多租户的资源调度系统的结构示意图；

图2为本发明实施例中超融合虚拟化集群主机负载不均衡示意图；

图3为本发明实施例中调整虚拟防火墙容器的运行位置后的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1所示，为本发明实施例所提供的一种基于多租户的资源调度系统的结构示意图，该系统包括资源调度装置110、超融合虚拟化集群120和多个虚拟防火墙容器，超融合虚拟化集群120包含多个主机，每个主机上运行一个或多个虚拟防火墙容器，虚拟防火墙容器与租户一一对应，资源调度装置110分别与每个虚拟防火墙容器和每个主机连接，资源调度装置110用于根据监控得到的每个虚拟防火墙容器和每个主机的资源信息，进行资源调度。

在本发明实施例中，基于多租户的资源调度系统包括资源调度装置110、超融合虚拟化集群120和多个虚拟防火墙容器，虚拟防火墙容器也可称为vaf容器。

超融合虚拟化集群120是基于超融合基础架构(hyper-convergedinfrastructure，hci)构建的。超融合基础架构也可称为超融合架构，是指同一套单元设备(如x86服务器)中不仅仅具备计算、网络、存储和服务器虚拟化等资源和技术，而且还包括缓存加速、重复数据删除、在线数据压缩、备份软件、快照技术等元素，而多节点可以通过网络聚合起来，实现模块化的无缝横向扩展(scale-out)，形成统一的资源池。

超融合虚拟化集群120中包含多个主机，每个主机上运行一个或多个虚拟防火墙容器，虚拟防火墙容器与租户一一对应，不同的虚拟防火墙容器对应于不同租户。

虚拟防火墙基于一虚多防火墙技术实现，即通过虚拟化技术将一台物理防火墙划分成多台逻辑防火墙，每台逻辑防火墙拥有自己专属的软硬件资源，独立运行，独立转发。对于租户来说，可以独立配置自己的防火墙而互不影响，方便管理和维护；对于管理者来说，可以将一台物理设备虚拟成多台逻辑设备供不同的分支机构使用，可以保护现有投资，提高组网灵活性。

虚拟防火墙容器同时利用了容器技术，容器是一种基于namespace隔离的虚拟化技术，docker是其中的一个开源容器引擎，容器虚拟化的好处在于性能优异，可以避免虚拟机形式的虚拟化资源的浪费。

资源调度装置110分别与每个虚拟防火墙容器和超融合虚拟化集群120中的每个主机连接，可以对每个虚拟防火墙容器和每个主机的资源进行监控，根据监控得到的资源信息进行资源调度。资源可以包括cpu资源、内存资源、带宽资源等。资源调度装置110对监控得到的这些资源信息进行综合分析，可以确定进行怎样的资源调度。

如图1所示，资源调度装置110可以包括资源调度器和资源监控器，资源监控器用于监控每个虚拟防火墙容器和每个主机的资源信息，资源调度器用于进行资源调度。

在本发明的一种具体实施方式中，资源调度装置110可以具体用于：如果确定第一虚拟防火墙容器的剩余资源小于预设第一阈值，则按照设定第一要求增加第一虚拟防火墙容器的资源占用。

第一虚拟防火墙容器为与资源调度装置110连接的虚拟防火墙容器中的任意一个。在linux平台，可以通过cgroup实现资源隔离功能。资源调度装置110在对虚拟防火墙容器进行监控的过程中，如果确定第一虚拟防火墙容器的剩余资源小于预设第一阈值，则说明该第一虚拟防火墙容器出现了资源不足的情况，在这种情况下，资源调度装置110可以按照设定第一要求增加第一虚拟防火墙容器的资源占用。具体的，资源调度装置110可以通过cgroup动态增加第一虚拟防火墙容器的资源占用，整个过程可以在不停止虚拟防火墙容器的情况下进行，实现资源自适应调整。

在实际应用中，可以根据实际情况设定第一阈值，本发明实施例对此不做限制。另外，第一要求可以是根据实际情况设定的增加量。

在本发明的另一种具体实施方式中，资源调度装置110可以具体用于：如果确定第二虚拟防火墙容器的空闲资源大于预设第二阈值，则按照设定第二要求减少第二虚拟防火墙容器的资源占用。

第二虚拟防火墙容器为与资源调度装置110连接的虚拟防火墙容器中的任意一个。在linux平台，可以通过cgroup实现资源隔离功能。资源调度装置110在对虚拟防火墙容器进行监控的过程中，如果确定第二虚拟防火墙容器的空闲资源大于预设第二阈值，则说明此时该第二虚拟防火墙容器资源空闲较多，在这种情况下，资源调度装置110可以按照设定第二要求减少第二虚拟防火墙容器的资源占用。具体的，资源调度装置110可以通过cgroup动态减少第二虚拟防火墙容器的资源占用，整个过程可以在不停止虚拟防火墙容器的情况下进行，实现资源自适应调整。

在实际应用中，可以根据实际情况设定第二阈值，本发明实施例对此不做限制。另外，第二要求可以是根据实际情况设定的减少量。

在本发明的一种具体实施方式中，资源调度装置110可以具体用于：根据预设的负载不均衡判断条件，确定超融合虚拟化集群120中存在负载不均衡的第一主机和第二主机，第一主机的负载大于第二主机的负载；根据设定第三要求，将运行在第一主机上的一个或多个虚拟防火墙容器调整到第二主机上。

在本发明实施例中，可以预先设定负载不均衡判断条件，依据该负载不均衡判断条件，可以确定超融合虚拟化集群120中各主机间是否存在负载不均衡现象。具体的，负载不均衡判断条件可以为：第一主机的负载占比超过预设第三阈值，第二主机的负载占比低于预设第四阈值。第一主机和第二主机为超融合虚拟化集群120中的任意两个主机。在超融合虚拟化集群120中，任意两个主机满足上述条件，可以确定该两个主机间负载不均衡。负载占比具体可以为当前负载量与总的可提供负载量的比值。

第三阈值和第四阈值可以根据实际情况进行设定和调整，本发明实施例对此不做限制。

根据负载不均衡判断条件，可以确定超融合虚拟化集群120中是否存在负载不均衡的主机，如果第一主机和第二主机存在负载不均衡现象，且第一主机的负载大于第二主机的负载，则可以根据设定第三要求，将运行在第一主机上的一个或多个虚拟防火墙容器调整到第二主机上。具体的，可以基于超融合的热迁移和分布式交换机、路由器的配合，将运行在第一主机上的一个或多个虚拟防火墙容器热迁移至第二主机上。

第三要求可以根据实际情况进行设定，以消除第一主机和第二主机的负载不均衡现象为目标。

如图2所示，vaf容器1、vaf容器2、vaf容器3的运行位置均为超融合虚拟化集群120中的主机a，vaf容器4的运行位置为超融合虚拟化集群120中的主机b。资源调度装置110监控到主机a负载占比较高，主机b负载占比较低，主机a和主机出现了负载不均衡现象，并且主机b剩余资源较多。在这种情况下，资源调度装置110可以对主机a上的vaf容器的运行位置进行调整。调整后各vaf容器的运行位置如图3所示，vaf容器1、vaf容器2的运行位置均为超融合虚拟化集群120中的主机a，vaf容器3、vaf容器4的运行位置为超融合虚拟化集群120中的主机b。vaf容器即为虚拟防火墙容器。

在本发明的一种具体实施方式中，资源调度装置110可以具体用于：在监控到超融合虚拟化集群120中每个主机的可用资源均低于预设第五阈值时，输出告警信息。

运行在主机上的虚拟防火墙容器占用主机资源，如果超融合虚拟化集群120中每个主机的可用资源均低于预设第五阈值，则表明超融合虚拟化集群120中所有主机均出现了资源不足现象。在这种情况下，资源调度装置110可以输出告警信息，以提醒管理员增加主机。

第五阈值可以根据实际情况进行设定和调整，本发明实施例对此不做限制。

在本发明的一种具体实施方式中，资源调度装置110可以具体用于：在监测到超融合虚拟化集群120中有新主机加入时，确定超融合虚拟化集群120中待进行资源调整的目标主机；将运行在目标主机上的一个或多个虚拟防火墙容器调整到新主机上。

超融合虚拟化集群120中主机资源不足，管理员可以根据实际情况在超融合虚拟化集群120中增加主机。资源调度装置110在监测到超融合虚拟化集群120中有新主机加入时，可以对超融合虚拟化集群120中原有主机的资源被占用情况进行分析，确定待进行资源调整的目标主机。确定出的目标主机可以是一个或多个主机。将运行在目标主机上的一个或多个虚拟防火墙容器调整到新主机上。

本发明实施例中应用的网络安全防护方法也即软件定义安全sds，sds是从软件定义网络sdn引申而来，其核心思想是将虚拟的和物理的网络安全设备与相应的接入模式、部署位置解耦，抽象为安全资源池里的资源，统一通过软件编程的方式进行智能化、自动化的管理和使用，安全资源、网络流量、安全模型间通过开放的接口定义，灵活地实现了安全功能部署和安全能力的提供，从而完成虚拟和物理网络的整体安全防护。

在本发明实施例中，结合超融合技术和容器技术，进行资源自适应调度，实现安全资源管理，可以降低复杂环境带来的管理难度，可以使计算资源进行灵活的弹性组合。不仅可以解决计算资源的“按需提供”，以“服务交付”的方式为应用提供计算资源，而且可以提高资源的利用率，降低能源消耗，提高整个系统的安全性和高可用能力。

应用本发明实施例所提供的技术方案，超融合虚拟化集群包含多个主机，每个主机上运行一个或多个虚拟防火墙容器，虚拟防火墙容器与租户一一对应，资源调度装置分别与每个虚拟防火墙容器和超融合虚拟化集群中的每个主机连接，可以根据监控得到的每个虚拟防火墙容器和每个主机的资源信息，自适应地进行资源调度。相对于硬件一虚多防火墙方式而言，这样可以降低硬件成本，节约资源，可以实现资源的按需分配，自适应调度。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。