无服务器架构下的资源访问方法、设备、系统及存储介质与流程

本申请涉及互联网技术领域，尤其涉及一种无服务器架构下的资源访问方法、设备、系统及存储介质。

背景技术：

无服务器(serverless)架构是一种新型的互联网架构，其中应用开发不使用常规的服务进程，这为边缘计算场景中的应用程序提供了一种全新的体系架构。在serverless架构与边缘计算结合的模式下，serverless架构可将租户的服务器、数据库和中间件等服务端设施屏蔽，租户不再参与服务端设施的部署和维护，可大大简化租户的部署和运维难度。

但是，serverless架构在多租户场景下对共享资源访问的安全隔离是有待解决的问题，尤其是在结合海量边缘节点的多租户生产环境中，如何保证不同租户对共享资源的访问隔离性显得尤其重要。

技术实现要素：

本申请的多个方面提供一种无服务器架构下的资源访问方法、设备、系统及存储介质，用以在不同租户之间实现共享资源的安全隔离，提高共享资源的访问安全性。

本申请实施例提供一种无服务器serverless的网络系统，包括：主控节点、多个租户部署的serverless的服务集群以及可供所述多个租户共享的至少一种类型的全局共享资源；每个服务集群包括资源管控节点和服务节点；

所述主控节点，用于在目标服务集群需要访问全局共享资源的情况下，为所述目标服务集群中的资源管控节点提供所述目标服务集群对应的私有资源域标识；其中，所述目标服务集群是任一服务集群；

所述资源管控节点，用于在属于所述目标服务集群的情况下，根据所述目标服务集群对应的私有资源域标识确定所述目标服务集群具有访问权限的目标共享资源，并通知所述目标服务集群中的服务节点对所述目标共享资源进行资源访问。

本申请实施例还提供一种基于容器编排调度系统实现的边缘云网络系统，包括：部署于服务端设备中的主控节点、多个租户在边缘计算设备中部署的无服务器serverless的容器集群以及可供所述多个租户共享的至少一种类型的云资源；其中，每个容器集群包括资源管控节点和弹性容器实例eci节点；

所述主控节点，用于在目标容器集群需要访问可共享的云资源的情况下，为所述目标容器集群中的资源管控节点提供所述目标容器集群对应的命名空间标识；其中，所述目标容器集群是任一容器集群；

所述资源管控节点，用于在属于所述目标容器集群的情况下，根据所述目标容器集群对应的命名空间标识确定所述目标容器集群具有访问权限的目标共享资源，并通知所述目标容器集群中的eci节点对所述目标共享资源进行资源访问。

本申请实施例还提供一种资源访问方法，适用于主控节点，所述方法包括：

接收目标服务集群的资源访问请求，所述目标服务集群是所述主控节点所在无服务器serverless的网络系统中任一服务集群；

根据所述资源访问请求，获取所述目标服务集群对应的私有资源域标识；

在所述资源访问请求声明访问全局共享资源的情况下，将所述资源访问请求和所述私有资源域标识发送给所述目标服务集群中的资源管控节点，以指示所述资源管控节点为所述目标服务集群确定目标共享资源。

本申请实施例还提供一种资源访问方法，适用于资源管控节点，所述方法包括：

接收主控节点在确定目标服务集群需要访问全局共享资源的情况下发送的所述目标服务集群对应的私有资源域标识；

根据所述目标服务集群对应的私有资源域标识，确定所述目标服务集群具有访问权限的目标共享资源；

通知所述目标服务集群中的服务节点对所述目标共享资源进行资源访问；

其中，所述目标服务集群是所述主控节点所在无服务器serverless的网络系统中任一服务集群，所述资源管控节点属于所述目标服务集群。

本申请实施例还提供一种节点设备，包括：存储器和处理器；所述存储器，用于存储计算机程序；当所述计算机程序被所述处理器执行时，致使所述处理器实现本申请实施例提供的可由主控节点执行的资源访问方法中的步骤。

本申请实施例还提供一种节点设备，包括：存储器和处理器；所述存储器，用于存储计算机程序；当所述计算机程序被所述处理器执行时，致使所述处理器实现本申请实施例提供的可由资源管控节点执行的资源访问方法中的步骤。

本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，当所述计算机程序被所述处理器执行时，致使所述处理器实现本申请实施例提供的可由主控节点和/或资源管控节点执行的资源访问方法中的步骤。

在本申请实施例中，针对serverless架构中的多租户场景，在租户部署的服务集群中增加资源管控节点，该资源管控节点与serverless架构中的主控节点相互配合，在其所属服务集群需要访问全局共享资源的情况下，可根据主控节点提供的服务集群对应的私有资源域标识，为其所属服务集群确定具有访问权限的共享资源，进而通知服务集群中的服务节点对所确定的共享资源进行资源访问。其中，基于服务集群的私有资源域标识为服务集群确定具有访问权限的共享资源，在保证服务集群成功访问相应共享资源的基础上，可在不同租户之间实现对共享资源访问的安全隔离性；另外，租户不需要感知共享资源，有利于简化访问共享资源的过程。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1a为本申请示例性实施例提供的一种无服务器serverless的网络系统的结构示意图；

图1b为本申请示例性实施例提供的一种基于kubernetes实现的边缘云网络系统的结构示意图；

图2a为本申请示例性实施例提供的一种资源访问方法的流程示意图；

图2b为本申请示例性实施例提供的另一种资源访问方法的流程示意图；

图3为本申请示例性实施例提供的一种节点设备的结构示意图；

图4为本申请示例性实施例提供的另一种节点设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

现有serverless架构在多租户场景下对共享资源访问的安全隔离是有待解决的技术问题。针对该技术问题，在本申请一些实施例中，针对serverless架构中的多租户场景，在租户部署的服务集群中增加资源管控节点，该资源管控节点与serverless架构中的主控节点相互配合，基于服务集群的私有资源域标识为服务集群确定具有访问权限的共享资源，在保证服务集群成功访问相应共享资源的基础上，可在不同租户之间实现对共享资源访问的安全隔离性；另外，租户不需要感知共享资源，有利于简化租户访问共享资源的过程。

以下结合附图，详细说明本申请各实施例提供的技术方案。

图1a为本申请示例性实施例提供的一种serverless的网络系统10的结构示意图。如图1a所示，该网络系统10包括：主控节点11、多个租户部署的serverless的服务集群12以及可供多个租户共享的至少一种类型的全局共享资源13。其中，每个服务集群12包括资源管控节点121和服务节点122。

本实施例的网络系统10包括多种资源，例如计算资源、存储资源和网络资源等，这些资源可由网络系统中的物理设备提供。网络系统10中的物理设备包括但不限于：计算机设备、传感器设备、存储设备、常规服务器、云服务器或服务器阵列等。本实施例的网络系统10，一方面可以向租户提供所需的各种资源，另一方面还可在这些资源上为租户提供所需的服务。其中，网络系统10为租户提供服务的方式是允许租户在网络系统10中(具体是在网络系统中的物理设备上)部署自己所需的服务集群。

本实施例的网络系统10可以为多个租户提供服务，即允许多个租户分别在网络系统中部署自己所需的服务集群12。其中，每个租户可以部署一个或多个服务集群12。同一租户的不同服务集群可以为该租户提供相同的服务，也可以为该租户提供不同的服务。另外，不同租户部署的服务集群可以提供相同的服务，也可以提供不同的服务。每个服务集群12中包括可为相应租户提供所需服务的服务节点122，服务节点122的数量可以是一个或多个。可选地，在服务节点12为多个的情况下，多个服务节点122可以集中部署在同一台物理设备或虚拟机上，也可以分散部署在多台物理设备或虚拟机上。关于同一服务集群12中的多个服务节点122在多台物理设备或虚拟机上的分散部署方式，本实施例不做限定。

其中，不同租户具有不同的身份标识，每个租户的身份标识可唯一标识该租户。租户的身份标识可以任何能够唯一标识该租户的信息，例如可以是租户在网络系统10中的id，也可以是租户在网络系统10中注册的租户名称、账号、电话号码、电子邮箱和/或家庭住址等。另外，为了区分不同租户部署的服务集群以及同一租户部署的不同服务集群，每个服务集群12也有自己的标识，每个服务集群12的标识可唯一标识该服务集群。服务集群12的标识可以是任何能够唯一标识该服务集群的信息，例如可以是服务集群在网络系统10中的id、名称和/或部署时间等。在本实施例中，维护有租户的身份标识与租户部署的服务集群12的标识之间的对应关系。

其中，每个服务集群12都具有自己的私有资源域，该私有资源域中包括服务集群12独享的各种资源，例如服务集群12中部署的各种服务程序等。本申请实施例并不限定服务程序的实现形式，例如可以包括各类应用程序和/或操作系统等。为了区分不同服务集群12的私有资源域，私有资源域也具有自己的标识，该标识可唯一标识一个服务集群的私有资源域。私有资源域的标识可以是任何能够唯一标识私有资源域的信息，例如可以是私有资源域在网络系统10中的id或名称等。在本实施例中，维护有服务集群12的标识与其对应的私有资源域的标识(简称为私有资源域标识)之间的对应关系。

在网络系统10中，除了包括每个服务集群12独享的私有资源之外，还包括一些全局性资源；这些全局性资源中有一部分是可供不同租户共享的，称为全局共享资源，这些全局资源中还有一部分资源是不允许租户使用的，称为全局非共享资源。本实施例并不限定全局共享资源的类型，可以包括至少一种类型的全局共享资源，例如可以包括全局可共享的存储类资源、全局可共享的计算节点和/或全局可共享的网络资源。在图1a中，以存储类资源、计算节点以及网络资源为例对全局共享资源进行图示。可选地，全局可共享的存储类资源可以是本地存储资源，也可以是网络存储资源，例如网络附属存储(networkattachedstorage，nas)。

其中，不同租户均可以访问网络系统10中的全局共享资源，为了保证共享资源的访问安全，有必要在不同租户之间实现对共享资源访问的安全隔离。为了在不同租户之间实现对共享资源访问的安全隔离，在本实施例的服务集群12中设置资源管控节点121。资源管控节点121与网络系统10中的主控节点11相配合，可在其所属服务集群12需要访问全局共享资源的情况下，帮助租户自动完成服务集群12到共享资源的映射，保证其所属服务集群能够访问相应共享资源。可选地，资管管控节点121可以部署在网络系统10中的物理设备或虚拟机上。进一步可选地，资源管控节点121可以与其所属服务集群12中的某个或某几个服务节点122部署在同一台物理设备或同一虚拟机中。当然，服务集群12中的资源管控节点121和服务节点122也可以分别部署在不同物理设备或虚拟机中。

其中，主控节点11是网络系统10中的管控节点，主要负责网络系统10中的资源管理、服务调度、集群管控、安全控制、系统监控和纠错等中至少一种管理。可选地，主控节点11上可以运行与系统管控相关的一系列进程，这些进程可实现网络系统10中的资源管理、服务调度、集群管控、安全控制、系统监控和纠错等管理能力。主控节点11的数量可以是一个或多个。主控节点11可以部署在网络系统10中的物理设备或虚拟机上。在主控节点11为多个的情况下，多个主控节点11可以分散部署在多台物理设备或虚拟机上。进一步可选地，主控节点11可以部署在某个服务集群12中的物理设备或虚拟机上，例如主控节点11可以与该服务集群12中的某个或某几个服务节点122部署在同一台物理设备或虚拟机上，或者主控节点11也可以与该服务集群12中的资源管控节点121部署在同一台物理设备或虚拟机上。或者，主控节点11可以独立于各个服务集群12单独部署在一台或多台物理设备上，或者单独部署在一个或多个虚拟机中。

在本实施例中，主控节点11还可以与资源管控节点121配合，在服务集群12请求访问全局共享资源的情况下，基于服务集群12的私有资源域标识在服务集群12之间分配共享资源，在不同租户之间实现对网络系统10中全局共享资源的安全隔离。其中，为每个服务集群12分配共享资源的过程相同或类似，为便于描述和理解，下面将以目标服务集群为例进行说明。其中，目标服务集群是网络系统10中的任一服务集群。

其中，主控节点11可以监控目标服务集群的资源访问需求，在监控到目标服务集群需要访问全局共享资源的情况下，为目标服务集群中的资源管控节点121提供目标服务集群对应的私有资源域标识，以指示目标服务集群中的资源管控节点121为目标服务集群确定具有访问权限的共享资源。对资源管控节点121来说，若其属于目标服务集群，则可以根据目标服务集群对应的私有资源域标识确定目标服务集群具有访问权限的共享资源，并通知目标服务集群中的服务节点122对该共享资源进行资源访问。为便于区分和描述，将资源管控节点121为目标服务集群确定的具有访问权限的共享资源记为目标共享资源。目标共享资源可以是任何类型的共享资源，例如可以是计算资源或存储资源。

在本实施例中，将服务集群对共享资源的访问与服务集群对应私有资源域标识相关联，每个服务集群中的资源管控节点可根据其所属服务集群对应的私有资源域标识为其所属服务集群确定具有访问权限的共享资源，基于私有资源域标识的唯一性，在保证服务集群成功访问相应共享资源的基础上，可在不同租户之间实现对共享资源访问的安全隔离性。进一步，在本实施例的网络系统10中，不仅可以在租户之间实现对共享资源访问的安全隔离性，甚至在同一租户部署的不同服务集群之间，也可以实现对共享资源访问的安全隔离性。另外，在本实施例的网络系统10中，租户不需要感知共享资源，共享资源之间的分配由资源管控节点自动完成，有利于简化租户访问共享资源的过程。

在一可选实施例中，目标服务集群有资源访问需求时，部署目标服务集群的租户可以根据目标服务集群的资源访问需求生成资源访问请求，将资源访问请求提交给主控节点11。可选地，网络系统10(具体可以是主控节点11)可向租户提供交互界面，租户通过该交互界面可向主控节点11提交资源访问请求，进一步还可以通过该交互界面与主控节点11进行其它交互。该交互界面可以是web界面，命令窗口或者应用界面，具体可视网络系统10所实现的产品形态而定。接口该资源访问请求中携带有目标服务集群对应的租户的身份标识、目标服务集群的标识以及待访问资源类型等信息。其中，待访问资源类型表示目标服务集群需要访问的资源类型，例如可能是私有资源，也可能是全局共享资源，也可能是全局非共享资源。根据待访问资源类型的不同，资源访问请求会声明访问不同类型的资源。

在该可选实施例中，主控节点11可以通过判断是否接收到目标服务集群的资源访问请求，来监控目标服务集群的资源访问需求。若接收到目标服务集群的资源访问请求，主控节点11一方面可根据该资源访问请求获取目标服务集群对应的私有资源域标识，另一方面可识别该资源访问请求是否声明访问全局共享资源。值得说明的是，并不限定获取目标服务集群对应的私有资源域标识的操作与识别该资源访问请求是否声明访问全局共享资源的操作之间的执行顺序，两个操作可并行执行，也可以顺序执行。

可选地，主控节点11可以预先存储服务集群标识与私有资源域标识的对应关系。基于此，主控节点11可以根据资源访问请求中携带的目标服务集群的标识，在预先存储的服务集群标识与私有资源域标识的对应关系中进行匹配，以得到目标服务集群对应的私有资源域标识。

可选地，可以预先设定全局共享资源类型，例如存储资源类型、计算资源类型等。基于此，主控节点11可以判断资源访问请求中携带的待访问资源类型是否属于预设的全局共享资源类型；若待访问资源类型属于全局共享资源类型，确定资源访问请求声明访问全局共享资源。

进一步，还可以预先设定全局非共享资源类型，全局非共享资源类型是指不允许租户访问的全局资源。基于此，主控节点11还可以判断待访问资源类型是否属于预设的全局非共享资源类型；若待访问资源类型属于全局非共享资源类型，屏蔽该资源访问请求；进一步可选地，可以向租户返回禁止资源访问的提示信息。对于待访问资源类型不属于全局共享资源类型且不属于全局非共享资源类型的情况，主控节点11可以确定资源访问请求声明访问私有资源。关于资源访问请求声明访问私有资源在后面实施例中描述，在此不做详述。

值得说明的是，本实施例并不限定上述判断资源访问请求中携带的待访问资源类型是否属于预设的全局共享资源类型的操作，与上述判断待访问资源类型是否属于预设的全局非共享资源类型的操作之间的执行顺序，两个操作可以并行执行，也可以顺序执行。在顺序执行的时候，可以先判断资源访问请求中携带的待访问资源类型是否属于预设的全局共享资源类型的操作，并在判断结果为否的情况下，进一步判断待访问资源类型是否属于预设的全局非共享资源类型。或者，在顺序执行的时候，可以先判断待访问资源类型是否属于预设的全局非共享资源类型的操作，并在判断结果为否的情况下，进一步判断资源访问请求中携带的待访问资源类型是否属于预设的全局共享资源类型。

进一步，在该资源访问请求声明访问全局共享资源的情况下，主控节点11可以将该资源访问请求和所获取的目标服务集群对应的私有资源域标识发送给目标服务集群中的资源管控节点121，以指示资源管控节点121为目标服务集群确定具有权限访问的目标共享资源。

可选地，主控节点11可以在同一通信过程中，将资源访问请求和目标服务集群对应的私有资源域标识一并发送给目标服务集群中的资源管控节点121。进一步，主控节点11可以将目标服务集群对应的私有资源域标识添加到资源访问请求中，将资源访问请求发送给目标服务集群中的资源管控节点121。或者，主控节点11也可以在不同通信过程中，将资源访问请求和目标服务集群对应的私有资源域标识分别发送给目标服务集群中的资源管控节点121。

在一可选实施例中，目标服务集群中的资源管控节点121，可以维护目标服务集群对应的私有资源域标识与至少一种候选全局共享资源类型下的共享资源标签的对应关系。其中，候选全局共享资源类型就是全局共享资源类型，只是为了区分和描述，在全局共享资源类型前面冠以“候选”二字。其中，至少一种候选全局共享资源类型可以是网络系统10中允许的全局共享资源类型中的一部分或全部。其中，某全局共享资源类型下的共享资源标签，表示该全局共享资源类型下可被目标服务集群访问的共享资源；若该全局共享资源类型下有多个可被目标服务集群访问的共享资源，每个共享资源都会被分配共享资源标签，且不同共享资源对应的共享资源标签不同。值得说明的是，根据资源切分粒度的不同，本申请实施例中某全局共享资源类型下的共享资源的大小也会有所不同。例如，对于存储类资源，以存储盘为例粒度，可以包括多块存储盘，每块存储盘可作为本申请实施例所述的共享资源；进一步，如果某块存储盘可被目标服务集群访问，则该块存储盘会被打上共享资源标签。又例如，对于存储类资源，以扇区为例粒度，可以包括多个扇区，则每个扇区可作为本申请实施例所述的共享资源；进一步，如果某个扇区可被目标服务集群访问，则该扇区会被打上共享资源标签。

可选地，若某种候选全局共享资源类型指示的共享资源是部署eci节点的物理设备，则在该候选全局共享资源类型下目标服务集群具有访问权限的共享资源是指对目标服务集群来说可见的物理设备。

可选地，若某种候选全局共享资源类型指示的共享资源是存储资源，则在该候选全局共享资源类型下目标服务集群具有访问权限的共享资源是指对目标服务集群来说空闲的存储资源和该目标服务集群已经使用的。

基于上述，目标服务集群中的资源管控节点121，可以接收主控节点11发送的资源访问请求和目标服务集群对应的私有资源域标识；根据目标服务集群对应的私有资源域标识和资源访问请求中携带的待访问资源类型，在所维护的目标服务集群对应的私有资源域标识与至少一种候选全局共享资源类型下的共享资源标签的对应关系中进行匹配，以得到目标共享资源标签；将资源访问请求和目标共享资源标签发送给目标服务集群中的服务节点122，以供服务节点122对目标共享资源进行资源访问。其中，目标共享资源标签标识目标服务集群具有访问权限的目标共享资源。

可选地，目标服务集群中的资源管控节点121，可以在同一通信过程中，将资源访问请求和目标共享资源标签一并发送给目标服务集群中的服务节点122。进一步，目标服务集群中的资源管控节点121，可以将目标共享资源标签添加至资源访问请求中，将资源访问请求发送给目标服务集群中的服务节点122。或者，目标服务集群中的资源管控节点121，也可以在不同通信过程中，将资源访问请求和目标共享资源标签分别发送给目标服务集群中的服务节点122。

其中，目标服务集群中的资源管控节点121，维护目标服务集群对应的私有资源域标识与所述至少一种候选全局共享资源类型下的共享资源标签的对应关系的方式包括但不限于：

获取目标服务集群的租户有权限访问的至少一种候选全局共享资源类型，并获取至少一种候选全局共享资源类型下的共享资源信息；根据至少一种候选全局共享资源类型下的共享资源信息，分别选定目标服务集群在至少一种候选全局共享资源类型下具有访问权限的共享资源；为目标服务集群在至少一种候选全局共享资源类型下具有访问权限的共享资源分配共享资源标签，建立目标服务集群对应的私有资源域标识与至少一种候选全局共享资源类型下的共享资源标签的对应关系。

进一步可选地，租户管理员可以将目标服务集群的租户对应的授权配置信息提供给资源管控节点121。其中，该授权配置信息中包括租户的身份标识以及租户具有权限访问的全局共享资源类型。或者，该授权配置信息中包括租户的身份标识以及租户的权限，租户的权限决定了租户具有权限访问的全局共享资源类型。在本实施例中，候选全局共享资源类型是指租户具有权限访问的全局共享资源类型，其数量可以是一个或多个。基于此，资源管控节点121可以根据授权配置信息获取目标服务集群的租户有权限访问的至少一种候选全局共享资源类型。

进一步可选地，资源管控节点121可以定时对全局共享资源进行轮询，获取至少一种候选全局共享资源类型下的共享资源信息。或者，资源管控节点121可以向目标服务集群中的服务节点122发送轮询请求，以供服务节点122轮询至少一种候选全局共享资源类型下的共享资源信息并上报；接收服务节点122上报的至少一种候选全局共享资源类型下的共享资源信息。每一种候选全局共享资源类型下的共享资源信息包括但不限于：共享资源的元数据和访问控制信息等。其中，考虑到共享资源的访问状态是动态变化的，基于定时轮询方式，可以实时更新所维护的目标服务集群对应的私有资源域标识与至少一种候选全局共享资源类型下的共享资源标签的对应关系，保证该对应关系可跟随共享资源的访问状态的变化而变化，提高该对应关系的准确性。

进一步，为了便于目标服务集群中的服务节点122能够根据目标共享资源标签成功地对目标共享资源进行资源访问，资源管控节点121可以在为目标服务集群在至少一种候选全局共享资源类型下具有访问权限的共享资源分配共享资源标签之后，可将至少一种候选全局共享资源类型下的共享资源标签发送给目标服务集群中的服务节点122，以供服务节点122在本地维护至少一种候选全局共享资源类型下的共享资源标签与相应共享资源的对应关系。进而，服务节点122在接收到资源管控节点121发送的目标共享资源标签时，可以查询本地所维护的对应关系，确定目标共享资源标签对应的目标共享资源，进而对该目标共享资源进行资源访问。

值得说明的是，根据资源访问请求的不同，服务节点122对目标共享资源进行资源访问的方式也会有所不同。例如，资源访问请求是资源查询请求，则服务节点122可以向租户返回目标共享资源的元数据等信息。又例如，资源访问请求是资源使用请求，则服务节点122可以在目标共享资源上进行相应操作，例如执行磁盘挂载类的资源操作等。

在本申请实施例中，资源访问请求可以声明访问全局共享资源，有可能声明访问私有资源，甚至可以声明访问全局非共享资源。对于资源访问请求声明访问全局非共享资源的情况，主控节点11会将该资源访问请求屏蔽掉，确保全局非共享资源的安全性。对于资源访问请求声明访问私有资源的情况，主控节点11还可以将资源访问请求和目标服务集群对应的私有资源域标识发送给目标服务集群中的资源管控节点121，以指示资源管控节点121转发给目标服务集群中的服务节点122。对服务节点122来说，可直接根据资源访问请求和目标服务集群对应的私有资源域标识，对目标服务集群的私有资源进行资源访问。

值得说明的是，在资源访问请求声明访问全局共享资源和声明访问私有资源的情况下，主控节点11都会将资源访问请求和目标服务集群对应的私有资源域标识发送给目标服务集群中的资源管控节点121，但是指示资源管控节点121执行的动作不同。为了进行区分，在一可选实施例中，资源管控节点121设置不同的资源访问接口，分别是共享资源访问接口和私有资源访问接口。基于此，在资源访问请求声明访问全局共享资源的情况下，主控节点11将资源访问请求和目标服务集群对应的私有资源域标识发送至目标服务集群中的资源管控节点121上的共享资源访问接口，以指示资源管控节点121为目标服务集群确定目标共享资源。在资源访问请求声明访问私有资源的情况下，主控节点11将资源访问请求和目标服务集群对应的私有资源域标识发送至目标服务集群中的资源管控节点121上的私有资源访问接口，以指示资源管控节点121转发给目标服务集群中的服务节点122。

对资源管控节点121来说，若在共享资源访问接口上接收到资源访问请求和目标服务集群对应的私有资源域标识，可以获知资源访问请求声明访问全局共享资源，则会执行共享资源对应的访问处理流程；若在私有资源访问接口上接收到资源访问请求和目标服务集群对应的私有资源域标识，可以获知资源访问请求声明访问私有资源，则会执行私有资源对应访问处理流程。

值得说明的是，本实施例提供的serverless的网络系统，可以应用到各种应用场景中，并且根据应用场景的不同，租户部署的服务集群、服务集群中的服务节点以及资源管控节点的实现形式都会有所不同。

例如，本实施例的serverless的网络系统可应用到边缘计算等边缘云网络场景中。在serverless的边缘云网络系统中，租户可以在边缘计算设备中部署容器集群，容器集群中包括弹性容器实例(elasticcontainerinstance，eci)节点，由eci节点为租户提供相应云计算服务。其中，eci节点是部署在边缘计算设备上的容器化的应用，是服务节点的一种具体实现形式，但并不限于此。

进一步可选地，在serverless的边缘云网络系统中，可以采用容器编排调度系统对边缘云网络系统中eci节点进行创建、管理、发现、访问和配置等操作，从而将系统的运维人员解放出来。容器编排调度系统是指可自动部署、扩展和管理容器化应用程序的系统，例如可以采用kubernetes(简称为k8s)，但不限于此。

基于上述，本申请实施例还提供一种基于容器编排调度系统实现的边缘云网络系统，如图1b所示。该边缘云网络系统20包括：部署在服务端设备中的主控节点21、多个租户在边缘计算设备中部署的serverless的容器集群22以及可供多个租户共享的至少一种类型的云资源23。其中，每个容器集群22包括资源管控节点221和eci节点222。

在本实施例中，边缘云网络系统20包括服务端设备和边缘计算设备。其中，服务端设备可部署在云端或客户机房中，可以是一台或多台，例如可以是常规服务器、云服务器或服务器阵列等。边缘计算设备是指位于网络边缘，相对靠近终端侧，具有一定计算和处理能力，并可与网络中的其它设备(如服务端设备)进行网络通信的设备，可以是个人计算机、智能手机等终端类设备，也可以是部署于网络边缘的大型计算机或服务器等，当然也可以是部署于网络边缘的虚拟机。

在本实施例中，采用容器编排调度系统，例如kubernetes，可从逻辑上将边缘云网络系统20中的物理设备划分为主控(master)节点21和eci节点222。为便于图示，在图1b中以基于kubernetes实现的边缘云网络系统为例进行图示。其中，主控节点21部署在边缘云网络系统20中的服务端设备上，在主控节点21上运行着集群管理相关的一组进程，以kubernetes为例，这些进程包括但不限于：kube-apiserver、kube-controller-manager和kube-scheduler等，这些进程实现了整个集群的资源管理、容器组(例如kubernetes中的pod)调度、弹性伸缩、安全控制、系统监控和纠错等管理能力，并且都是全自动完成的。eci节点作为边缘云网络系统20中的工作节点，运行容器化的应用程序，这些eci节点222分布在不同租户部署的容器集群22中；不同租户的容器集群22被部署在边缘云网络系统20中的边缘计算设备中。在eci节点222上，容器组是容器编排调度系统管理的最小运行单元，该容器组包含至少一个容器。以kubernetes为例，kubernetes管理的最小运行单元是pod。pod直译为豆荚，在本实施例中，是指一组容器的集合，即前面所述的容器组。eci节点222上运行着容器编排调度系统中与容器组相关的进程，以kubernetes为例，与容器组相关的进程包括但不限于：kubernetes的kubelet和kube-proxy服务进程，这些服务进程负责容器组(例如pod)的创建、启动、监控、重启、销毁以及实现软件模式的负载均衡器。

其中，每个容器集群22中包含的eci节点222的数量可以是一个或多个。在容器集群22中包含多个eci节点222的情况下，多个eci节点222可以集中部署在同一台边缘计算设备上，也可以分散部署在多台边缘计算设备上。

其中，不同租户具有不同的身份标识，每个租户的身份标识可唯一标识该租户。租户的身份标识可以任何能够唯一标识该租户的信息，例如可以是租户在边缘云网络系统20中的id，也可以是租户在边缘云网络系统20中注册的租户名称、账号、电话号码、电子邮箱和/或家庭住址等。另外，为了区分不同租户在边缘计算设备中部署的容器集群22以及同一租户在边缘计算设备中部署的不同容器集群22，每个容器集群22也有自己的标识，每个容器集群22的标识可唯一标识该服务集群。容器集群22的标识可以是任何能够唯一标识该服务集群的信息，例如可以是容器集群22在边缘云网络系统20中的id或名称等。在本实施例中，维护有租户的身份标识与租户部署的容器集群22的标识之间的对应关系。

其中，每个容器集群22都具有自己的命名空间(namespace)。命名空间是容器编排调度系统，如kubernetes中一个重要的概念，通过将边缘云网络系统20内部的对象“分配”到不同的namespace中，形成逻辑上分组的不同项目、小组或用户组，便于不同的分组在共享使用整个系统的资源的同时还能被分别管理。例如，租户在某个容器集群22中创建的容器组(如pod)、rc、服务(service)都被会创建到容器集群22的namespace中。每个命名空间都有自己的标识，例如id或名称。在本实施例中，维护有容器集群22的标识与其对应的命名空间的标识之间的对应关系。

在边缘云网络系统20中，除了包括每个容器集群22独享的私有资源之外，还包括一些全局性资源；这些全局性资源中有一部分是可供不同租户共享的，称为全局共享资源，这些全局资源中还有一部分资源是不允许租户使用的，称为全局非共享资源。本实施例并不限定全局共享资源的类型，可以包括至少一种类型的全局共享资源，例如可以包括全局可共享的存储类资源、全局可共享的计算节点和/或全局可共享的网络资源。在图1b中，以nas为例对全局共享资源进行图示。

其中，不同租户均可以访问边缘云网络系统20中的全局共享资源，为了保证共享资源的访问安全，有必要在不同租户之间实现对共享资源访问的安全隔离。为了在不同租户之间实现对共享资源访问的安全隔离，在本实施例中，借助容器编排调度系统的可扩展性，例如以kubernetes为例，可基于virtualkubelet的可扩展性，在每个容器集群22中扩展出资源管控节点221。其中，virtualkubelet是kuberneteskubelet的一个实现，它允许不同厂商基于它扩展相应kubernetes节点的api实现与系统之间的通讯，实现kubernetes的serverless能力。资源管控节点221可在其所属容器集群22需要访问全局共享资源的情况下，帮助租户自动完成容器集群22到共享资源的映射，保证其所属容器集群22能够访问相应共享资源。可选地，资管管控节点221部署在边缘云网络系统20中的边缘计算设备上。进一步可选地，资源管控节点221可以与其所属容器集群22中的某个或某几个eci节点222部署在同一台边缘计算设备中。当然，容器集群22中的资源管控节点221和eci节点222也可以分别部署在不同边缘计算设备中。

在本实施例中，除了扩展出资源管控节点221之外，还在服务端设备中部署了主控节点21。可选地，可对容器编排调度系统的原生主节点(master)进行功能扩展，以得到本申请实施例中的主控节点21。可选地，对容器编排调度系统的原生主节点进行功能扩展的方式可以是为该原生主节点扩展一个api代理组件，可记为api-proxy，该api代理组件与原生主节点相结合，实现本实施例中主控节点21的功能；或者，是直接对容器编排调度系统的原生主节点进行功能修，以改实现本实施例中的主控节点21的功能。以kubernetes为例，kubernetes原生主节点是指其原生apiserver组件。在图1b中，以扩展api代理组件api-proxy为例进行图示。另外，如图1b所示，主控节点21与资源管控节点221相结合可实现容器编排调度系统，如kubernetes的管控系统，这是从逻辑上划分的，并不意味着主控节点21与资源管控节点221实际部署在同一物理设备中。资源管控节点221隶属于容器集群22，部署在边缘计算设备中。在本实施例中，主控节点21可对租户发起的共享资源访问进行控制，与容器集群22中的资源管控节点221相配合，可基于容器集群22的命名空间标识在容器集群22之间分配共享资源，在不同租户之间实现对边缘云网络系统20中全局共享资源的安全隔离。其中，为每个容器集群22分配共享资源的过程相同或类似，为便于描述和理解，下面将以目标容器集群为例进行说明。其中，目标容器集群是边缘云网络系统20中的任一容器集群。

其中，主控节点21(以kubernetes为例，具体是主控节点21中新增的api-proxy组件或修改后的apiserver组件)可以监控目标容器集群的资源访问需求，在监控到目标容器集群需要访问全局共享资源的情况下，为目标容器集群中的资源管控节点221提供目标容器集群对应的命名空间标识，以指示目标容器集群中的资源管控节点221为目标容器集群确定具有访问权限的共享资源。对资源管控节点221来说，若其属于目标容器集群，则可以根据目标容器集群对应的命名空间标识确定目标容器集群具有访问权限的共享资源，并通知目标容器集群中的eci节点222对该共享资源进行资源访问。为便于区分和描述，将资源管控节点221为目标容器集群确定的具有访问权限的共享资源记为目标共享资源。目标共享资源可以是任何类型的共享资源，例如可以是计算资源或存储资源。

在本实施例中，将容器集群对共享资源的访问与容器集群对应的命名空间相关联，每个容器集群中的资源管控节点可根据其所属容器集群对应的命名空间为其所属容器集群确定具有访问权限的共享资源，基于命名空间的唯一性，在保证容器集群成功访问相应共享资源的基础上，可在不同租户之间实现对共享资源访问的安全隔离性。进一步，在本实施例的边缘云网络系统20中，不仅可以在租户之间实现对共享资源访问的安全隔离性，甚至在同一租户部署的不同容器集群之间，也可以实现对共享资源访问的安全隔离性。另外，在本实施例的边缘云网络系统20中，租户不需要感知共享资源，共享资源之间的分配由资源管控节点自动完成，有利于简化租户访问共享资源的过程。

在一可选实施例中，目标容器集群有资源访问需求时，可以根据资源访问需求生成资源访问请求，将资源访问请求发送给主控节点21。该资源访问请求中携带有目标容器集群对应的租户的身份标识、目标容器集群的标识以及待访问资源类型等信息。其中，待访问资源类型表示目标容器集群需要访问的资源类型，例如可能是私有资源，也可能是全局共享资源，也可能是全局非共享资源。根据待访问资源类型的不同，资源访问请求会声明访问不同类型的资源。

在该可选实施例中，主控节点21可接收目标容器集群的资源访问请求；若接收到目标容器集群的资源访问请求，一方面可根据该资源访问请求获取目标容器集群对应的私有资源域标识，可识别该资源访问请求是否声明访问全局共享资源。可选地，可以根据资源访问请求中携带的目标容器集群的标识，在预先存储的容器集群标识与命名空间的标识的对应关系中进行匹配，以得到目标容器集群对应的命名空间的标识。

进一步，可以预先设定全局非共享资源类型，全局非共享资源类型是指不允许租户访问的全局资源。例如，全局非共享资源包括但不限于：全局命名空间列表，系统组件状态，全局网络策略配置等资源信息。基于此，还可以判断待访问资源类型是否属于预设的全局非共享资源类型；若待访问资源类型属于全局非共享资源类型，屏蔽该资源访问请求，以保证全局非共享资源的安全性。

进一步，在该资源访问请求声明访问全局共享资源的情况下，主控节点21可以将该资源访问请求和目标容器集群对应的命名空间标识发送给目标容器集群中的资源管控节点221，以指示资源管控节点221为目标容器集群确定具有权限访问的目标共享资源。

在一可选实施例中，目标容器集群中的资源管控节点221，可以维护目标容器集群对应的命名空间标识与至少一种候选全局共享资源类型下的共享资源标签的对应关系。其中，至少一种候选全局共享资源类型是指目标容器集群的租户有权限访问的全局共享资源类型。基于此，目标容器集群中的资源管控节点221，可以接收主控节点21发送的资源访问请求和目标容器集群对应的命名空间标识；根据目标容器集群对应的命名空间标识和资源访问请求中携带的待访问资源类型，在所维护的目标容器集群对应的命名空间标识与至少一种候选全局共享资源类型下的共享资源标签的对应关系中进行匹配，以得到目标共享资源标签；将资源访问请求和目标共享资源标签发送给目标容器集群中的eci节点222，以供eci节点222对目标共享资源进行资源访问。其中，目标共享资源标签标识目标容器集群具有访问权限的目标共享资源。

可选地，目标容器集群中的资源管控节点221，获取目标容器集群的租户有权限访问的至少一种候选全局共享资源类型，并获取至少一种候选全局共享资源类型下的共享资源信息；根据至少一种候选全局共享资源类型下的共享资源信息，分别选定目标容器集群在至少一种候选全局共享资源类型下具有访问权限的共享资源；为目标容器集群在至少一种候选全局共享资源类型下具有访问权限的共享资源分配共享资源标签，建立目标容器集群对应的命名空间标识与至少一种候选全局共享资源类型下的共享资源标签的对应关系。

可选地，资源管控节点221可以定时对全局共享资源进行轮询，获取至少一种候选全局共享资源类型下的共享资源信息。或者，资源管控节点221可以向目标容器集群中的eci节点222发送轮询请求，以供eci节点222轮询至少一种候选全局共享资源类型下的共享资源信息并上报；接收eci节点222上报的至少一种候选全局共享资源类型下的共享资源信息。每一种候选全局共享资源类型下的共享资源信息包括但不限于：共享资源的元数据和访问控制信息等。其中，考虑到共享资源的访问状态是动态变化的，基于定时轮询方式，可以实时更新所维护的目标容器集群对应的命名空间标识与至少一种候选全局共享资源类型下的共享资源标签的对应关系，保证该对应关系可跟随共享资源的访问状态的变化而变化，提高该对应关系的准确性。

进一步，为了便于目标容器集群中的eci节点222能够根据目标共享资源标签成功地对目标共享资源进行资源访问，资源管控节点221可以在为目标容器集群在至少一种候选全局共享资源类型下具有访问权限的共享资源分配共享资源标签之后，可将至少一种候选全局共享资源类型下的共享资源标签发送给目标容器集群中的eci节点222，以供eci节点222在本地维护至少一种候选全局共享资源类型下的共享资源标签与相应共享资源的对应关系。进而，eci节点222在接收到资源管控节点221发送的目标共享资源标签时，可以查询本地所维护的对应关系，确定目标共享资源标签对应的目标共享资源，进而对该目标共享资源进行资源访问。

图1b所示边缘云网络系统20可以作为图1a所示网络系统10的一种具体实现，一些内容与图1a所示网络系统10相同或相似，本实施例中未涉及的内容，可参见前述实施例的描述，在此不再赘述。

图2a为本申请示例性实施例提供的一种资源访问方法的流程示意图。该实施例是从主控节点的角度进行的描述，如图2a所示，该方法包括：

201a、接收目标服务集群的资源访问请求，目标服务集群是主控节点所在无服务器(serverless)的网络系统中任一服务集群。

202a、根据资源访问请求，获取目标服务集群对应的私有资源域标识。

203a、在资源访问请求声明访问全局共享资源的情况下，将资源访问请求和私有资源域标识发送给目标服务集群中的资源管控节点，以指示资源管控节点为目标服务集群确定目标共享资源。

可选地，步骤202a的一种实施方式包括：根据资源访问请求中携带的目标服务集群的标识，在预先存储的服务集群标识与私有资源域标识的对应关系中进行匹配，以得到目标服务集群对应的私有资源域标识。

在一可选实施例中，该方法还包括：判断资源访问请求中携带的待访问资源类型是否属于预设的全局共享资源类型；若待访问资源类型属于全局共享资源类型，确定资源访问请求声明访问全局共享资源。

进一步，该方法还包括：判断待访问资源类型是否属于预设的全局非共享资源类型；若待访问资源类型属于全局非共享资源类型，屏蔽资源访问请求；若待访问资源类型不属于全局共享资源类型且不属于全局非共享资源类型，确定资源访问请求声明访问私有资源。

进一步，该方法还包括：在资源访问请求声明访问私有资源的情况下，将资源访问请求和私有资源域标识发送给目标服务集群中的资源管控节点，以指示资源管控节点转发给目标服务集群中的服务节点。

可选地，将资源访问请求和私有资源域标识发送给目标服务集群中的资源管控节点，包括：将资源访问请求和私有资源域标识发送至目标服务集群中的资源管控节点上的共享资源访问接口。相应地，将资源访问请求和私有资源域标识发送给目标服务集群中的资源管控节点，包括：将资源访问请求和私有资源域标识发送至目标服务集群中的资源管控节点上的私有资源访问接口。

图2b为本申请示例性实施例提供的另一种资源访问方法的流程示意图。该实施例是从资源管控节点的角度进行的描述，该资源管控节点属于目标服务集群。如图2b所示，该方法包括：

201b、接收主控节点在确定目标服务集群需要访问全局共享资源的情况下发送的目标服务集群对应的私有资源域标识。

202b、根据目标服务集群对应的私有资源域标识，确定目标服务集群具有访问权限的目标共享资源。

203b、通知目标服务集群中的服务节点对目标共享资源进行资源访问；其中，目标服务集群是主控节点所在无服务器(serverless)的网络系统中任一服务集群。

在一可选实施例中，该方法还包括：接收主控节点发送的来自目标服务集群的资源访问请求，资源访问请求中携带有待访问资源类型。基于此，步骤202b的一种实施方式包括：根据目标服务集群对应的私有资源域标识和待访问资源类型，在所维护的目标服务集群对应的私有资源域标识与至少一种候选全局共享资源类型下的共享资源标签的对应关系中进行匹配，以得到目标共享资源标签；其中，目标共享资源标识目标共享资源。

在一可选实施例中，步骤203b中，通知目标服务集群中的服务节点对目标共享资源进行资源访问的一种实施方式包括：将资源访问请求和目标共享资源标签发送给目标服务集群中的服务节点，以供服务节点对目标共享资源进行资源访问。

在一可选实施例中，该方法还包括：获取目标服务集群的租户有权限访问的至少一种候选全局共享资源类型，并获取至少一种候选全局共享资源类型下的共享资源信息；根据至少一种候选全局共享资源类型下的共享资源信息，分别选定目标服务集群在至少一种候选全局共享资源类型下具有访问权限的共享资源；为目标服务集群在至少一种候选全局共享资源类型下具有访问权限的共享资源分配共享资源标签，建立目标服务集群对应的私有资源域标识与至少一种候选全局共享资源类型下的共享资源标签的对应关系。

进一步，该方法还包括：将至少一种候选全局共享资源类型下的共享资源标签发送给目标服务集群中的服务节点，以供服务节点在本地维护至少一种候选全局共享资源类型下的共享资源标签与相应共享资源的对应关系。

关于本申请上述方法实施例中的步骤以及其它一些内容，可参见前述系统实施例中的描述，在此不再赘述。

在本申请上述方法实施例中，每个服务集群中的资源管控节点与serverless架构中的主控节点相互配合，可基于服务集群的私有资源域标识为服务集群确定具有访问权限的共享资源，在保证服务集群成功访问相应共享资源的基础上，可在不同服务集群以及不同租户之间实现对共享资源访问的安全隔离性；另外，租户不需要感知共享资源，有利于简化访问共享资源的过程，提高共享资源的安全性。

需要说明的是，在上述实施例及附图中的描述的一些流程中，包含了按照特定顺序出现的多个操作，但是应该清楚了解，这些操作可以不按照其在本文中出现的顺序来执行或并行执行，操作的序号如201a、202a等，仅仅是用于区分开各个不同的操作，序号本身不代表任何的执行顺序。另外，这些流程可以包括更多或更少的操作，并且这些操作可以按顺序执行或并行执行。需要说明的是，本文中的“第一”、“第二”等描述，是用于区分不同的消息、设备、模块等，不代表先后顺序，也不限定“第一”和“第二”是不同的类型。

图3为本申请示例性实施例提供的一种节点设备的结构示意图。该节点设备可作为前述实施例中的主控节点实现，如图3所示，该节点设备包括：存储器31、处理器32以及通信组件33。

存储器31，用于存储计算机程序，并可被配置为存储其它各种数据以支持在节点设备上的操作。这些数据的示例包括用于在节点设备上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。

处理器32，与存储器31耦合，用于执行存储器31中的计算机程序，以用于：

通过通信组件33接收目标服务集群的资源访问请求，目标服务集群是节点设备所在serverless的网络系统中任一服务集群；

根据资源访问请求，获取目标服务集群对应的私有资源域标识；

在资源访问请求声明访问全局共享资源的情况下，通过通信组件33将资源访问请求和私有资源域标识发送给目标服务集群中的资源管控节点，以指示资源管控节点为目标服务集群确定目标共享资源。

可选地，处理器32在获取目标服务集群对应的私有资源域标识时，具体用于：根据资源访问请求中携带的目标服务集群的标识，在预先存储的服务集群标识与私有资源域标识的对应关系中进行匹配，以得到目标服务集群对应的私有资源域标识。

在一可选实施例中，处理器32还用于：判断资源访问请求中携带的待访问资源类型是否属于预设的全局共享资源类型；若待访问资源类型属于全局共享资源类型，确定资源访问请求声明访问全局共享资源。

进一步，处理器32还用于：判断待访问资源类型是否属于预设的全局非共享资源类型；若待访问资源类型属于全局非共享资源类型，屏蔽资源访问请求；若待访问资源类型不属于全局共享资源类型且不属于全局非共享资源类型，确定资源访问请求声明访问私有资源。

进一步，处理器32还用于：在资源访问请求声明访问私有资源的情况下，将资源访问请求和私有资源域标识发送给目标服务集群中的资源管控节点，以指示资源管控节点转发给目标服务集群中的服务节点。

可选地，处理器32在通过通信组件33将资源访问请求和私有资源域标识发送给目标服务集群中的资源管控节点时，具体用于：通过通信组件33将资源访问请求和私有资源域标识发送至目标服务集群中的资源管控节点上的共享资源访问接口。相应地，处理器32在通过通信组件33将资源访问请求和私有资源域标识发送给目标服务集群中的资源管控节点时，具体用于：通过通信组件33将资源访问请求和私有资源域标识发送至目标服务集群中的资源管控节点上的私有资源访问接口。

进一步，如图3所示，该节点设备还包括：显示器34、电源组件35、音频组件36等其它组件。图3中仅示意性给出部分组件，并不意味着节点设备只包括图3所示组件。另外，根据节点设备实现形态的不同，图3中带虚线框的组件为可选组件，而非必选组件。

相应地，本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，计算机程序被执行时能够实现上述方法实施例中可由主控节点执行的各步骤。

图4为本申请示例性实施例提供的另一种节点设备的结构示意图。该节点设备可作为前述实施例中的资源管控节点实现，如图4所示，该节点设备包括：存储器41、处理器42以及通信组件43。

存储器41，用于存储计算机程序，并可被配置为存储其它各种数据以支持在节点设备上的操作。这些数据的示例包括用于在节点设备上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。

处理器42，与存储器41耦合，用于执行存储器41中的计算机程序，以用于：

通过通信组件44接收主控节点在确定目标服务集群需要访问全局共享资源的情况下发送的目标服务集群对应的私有资源域标识；

根据目标服务集群对应的私有资源域标识，确定目标服务集群具有访问权限的目标共享资源；

通知目标服务集群中的服务节点对目标共享资源进行资源访问；

其中，目标服务集群是主控节点所在无服务器serverless的网络系统中任一服务集群，资源管控节点属于目标服务集群。

在一可选实施例中，处理器42还用于：通过通信组件44接收主控节点发送的来自目标服务集群的资源访问请求，资源访问请求中携带有待访问资源类型。基于此，处理器42在确定目标服务集群具有访问权限的目标共享资源时，具体用于：根据目标服务集群对应的私有资源域标识和待访问资源类型，在所维护的目标服务集群对应的私有资源域标识与至少一种候选全局共享资源类型下的共享资源标签的对应关系中进行匹配，以得到目标共享资源标签；其中，目标共享资源标识目标共享资源。

在一可选实施例中，处理器42在通知目标服务集群中的服务节点对目标共享资源进行资源访问时，具体用于：通过通信组件44将资源访问请求和目标共享资源标签发送给目标服务集群中的服务节点，以供服务节点对目标共享资源进行资源访问。

在一可选实施例中，处理器42还用于：获取目标服务集群的租户有权限访问的至少一种候选全局共享资源类型，并获取至少一种候选全局共享资源类型下的共享资源；从至少一种候选全局共享资源类型下的共享资源中，分别选定目标服务集群在至少一种候选全局共享资源类型下具有访问权限的共享资源；为目标服务集群在至少一种候选全局共享资源类型下具有访问权限的共享资源分配共享资源标签，建立目标服务集群对应的私有资源域标识与至少一种候选全局共享资源类型下的共享资源标签的对应关系。

在一可选实施例中，处理器42还用于：通过通信组件44将至少一种候选全局共享资源类型下的共享资源标签发送给目标服务集群中的服务节点，以供服务节点在本地维护至少一种候选全局共享资源类型下的共享资源标签与相应共享资源的对应关系。

进一步，如图4所示，该节点设备还包括：显示器44、电源组件45、音频组件46等其它组件。图4中仅示意性给出部分组件，并不意味着节点设备只包括图4所示组件。另外，根据节点设备实现形态的不同，图4中带虚线框的组件为可选组件，而非必选组件。

相应地，本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，计算机程序被执行时能够实现上述方法实施例中可由主控节点执行的各步骤。

上述图3和图4中的存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。

上述图3和图4中的通信组件被配置为便于通信组件所在设备和其他设备之间有线或无线方式的通信。通信组件所在设备可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件还可以包括近场通信(nfc)模块，射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术等。

上述图3和图4中的显示器包括屏幕，其屏幕可以包括液晶显示器(lcd)和触摸面板(tp)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。

上述图3和图4中的电源组件，为电源组件所在设备的各种组件提供电力。电源组件可以包括电源管理系统，一个或多个电源，及其他与为电源组件所在设备生成、管理和分配电力相关联的组件。

上述图3和图4中的音频组件，可被配置为输出和/或输入音频信号。例如，音频组件包括一个麦克风(mic)，当音频组件所在设备处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器或经由通信组件发送。在一些实施例中，音频组件还包括一个扬声器，用于输出音频信号。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。