一种在云系统中处理云服务的方法及相关装置与流程

本技术涉及云计算，尤其涉及一种云系统中处理云服务的方法、装置、计算机集群、计算机可读存储介质以及计算机程序产品。

背景技术：

1、云计算是一种基于互联网的计算和服务的新方式，其利用互联网技术来将庞大且可伸缩的信息技术(information technology，it)能力(即：计算、存储、网络等资源)集合起来作为服务提供给用户。

2、随着云计算的发展，国内外越来越多的云服务提供商开始向用户提供云服务。这些云服务可以包括基础架构服务(infrastructure as a service，iaas)、平台服务(platform as aservice，paas)、软件服务(software as a service，saas)等不同类型。

3、在复杂多云环境下，不同的云平台即相互独立，又有互相联系。对云平台的用户而言，出于业务应用的需求使用多个云平台的资源是常态。然而，用户在访问不同的云平台所提交的服务调用请求难以在云平台间进行流程协同，影响了用户体验。

技术实现思路

1、本技术提供了一种在云系统中处理云服务的方法，该方法通过将多个云平台建立为云联邦组，并借助用户在云联邦组的联邦身份凭证将用户在一个云平台的身份凭证转换为在另一个云平台的身份凭证，进而根据在另一个云平台的身份凭证实现跨云平台调用云服务，实现了服务调用请求在云平台间进行流程协同，提升用户体验。本技术还提供了上述方法对应的装置、计算机集群、计算机可读存储介质以及计算机程序产品。

2、第一方面，本技术提供了一种在云系统中处理云服务的方法。所述云系统包括第一云平台和第二云平台，所述第一云平台和所述第二云平台互为伙伴云，所述第一云平台上部署有第一运营装置和第一伙伴管理装置，所述第二云平台上部署有第二运营装置和第二伙伴管理装置。

3、具体地，所述第二伙伴管理装置接收所述第二运营装置发送的本地身份凭证获取请求，所述本地身份凭证获取请求用于请求获取第一用户在所述第二云平台的身份凭证，所述本地身份凭证获取请求中包括所述第一用户在所述第一云平台的身份凭证。

4、其中，身份凭证可以是代表用户的身份的凭据，该凭据能够被云平台进行处理，以正确控制用户在相应的云平台上的各类权限。身份凭证可以分为本地身份凭证和联邦身份凭证，本地身份凭证可以为在特定云平台的身份凭证，联邦身份凭证为预先约定的、能够被各个云平台识别的身份凭证。身份凭证携带身份信息，该身份信息可以包括身份标识和角色类型。进一步地，身份信息还可以包括用户所在归属云的标识。例如，第一用户在第一云平台的身份凭证可以是第一用户所在归属云的标识、第一用户在归属云的帐号和第一用户的角色类型拼接的字符串。

5、所述第二伙伴管理装置可以根据所述第一用户在所述第一云平台的身份凭证从所述第一伙伴管理装置获取所述第一用户的联邦身份凭证，将所述第一用户的联邦身份凭证转换为所述第一用户在所述第二云平台的身份凭证，所述第二伙伴管理装置向所述第二运营装置返回所述第一用户在所述第二云平台的身份凭证，以使所述第一用户的客户端获得所述第二运营装置返回的所述第一用户在所述第二云平台的身份凭证，并根据所述第一用户在所述第二云平台的身份凭证生成应用程序编程接口api调用请求，所述api调用请求用于调用所述第二云平台共享的云服务。

6、在该方法中，第一云平台和第二云平台构建为云联邦组，用户在跨云平台访问云服务时，云平台上的伙伴管理装置(如第二伙伴管理装置)可以先基于用户在归属云(如第一云平台)的身份凭证确定用户的联邦身份凭证(即在云联邦组的身份凭证)，然后根据用户的联邦身份凭证确定用户在被访问的云平台(如第二云平台)的身份凭证，基于该身份凭证可以实现跨云平台访问云服务，实现了用户在访问不同的云平台所提交的服务调用请求在云平台间进行流程协同，提升了用户体验。而且，用户无需在多个云平台均拥有帐户，更不需要将一个云平台的帐号传递至另一个云平台，保障了信息安全。

7、在一些可能的实现方式中，所述第二伙伴管理装置接收所述第一伙伴管理装置发送的第一共享服务目录，所述第一共享服务目录中包括所述第一云平台共享的云服务的信息，其中，第一云平台共享的云服务的信息可以包括第一云平台共享的云服务的标识，如第一云平台共享的云服务的名称、参数(输入参数和/或输出参数)。所述第二伙伴管理装置接收所述第二运营装置发送的共享服务目录查询请求，向所述第二运营装置返回所述第一共享服务目录，以便于所述第二用户从所述第一共享服务目录中选取服务进行访问。

8、如此，云平台之间可以实现按需共享云服务。由于无需对云服务进行适配封装，云平台可以充分利用云联邦组内其他云平台的服务能力，既能扩展各个云平台的资源和服务能力，又能够达成集约化建设。

9、在一些可能的实现方式中，所述第一共享服务目录中包括所述第一云平台共享的云服务的发放范围、最大共享使用量和特性限制中的一种或多种。其中，发放范围是指在为用户分配云资源或者发放云服务实例时，允许使用的地理范围，该地理范围可以包括允许使用的地区region、可用区(available zone)和/或集群。例如，第一云平台的云主机服务允许华北、华东、华南地区使用，在将云主机服务添加到第一共享服务目录时，可以设置发放范围为华南，如此可以实现只允许华南的用户跨云平台使用第一云平台的云主机服务。最大共享使用量是指对于一个云服务，允许共享使用的配额。例如，对于云主机服务，最大共享使用量可以包括处理器的配额、内存的配额和磁盘的配额中的一种或多种。特性限制是指对云服务的特性的约束，例如特性限制可以为镜像的使用范围，图形处理器的约束参数等。

10、在该方法中，通过设置第一共享服务目录中云服务的发放范围、最大共享使用量和特性限制中的一种或多种，可以实现对第二云平台的用户使用上述云服务进行更细粒度的权限控制，满足个性化的需求。

11、在一些可能的实现方式中，第二伙伴管理装置可以接收所述第二云平台的管理员配置的第二身份映射。所述第二身份映射包括租户在所述第二云平台的身份凭证和联邦身份凭证的映射关系。其中，租户是指客户(通常可以为企业或者团体)为使用一套服务(如软件服务)的能力所开辟的一个公用的信息空间。租户下可以包括若干用户，用户可以进入该公用的信息空间使用相应的能力。基于此，租户在第二云平台的身份凭证和联邦身份凭证的映射关系可以是租户下的若干用户在第二云平台的身份凭证和联邦身份凭证的映射关系。所述第二伙伴管理装置可以根据所述第二身份映射，将所述租户下所述第一用户的联邦身份凭证转换为所述第一用户在所述第二云平台的身份凭证。

12、在该方法中，第二伙伴管理装置通过第二身份映射关系进行身份凭证转换，为云服务在云平台之间的流程协同奠定了基础。

13、在一些可能的实现方式中，所述第二伙伴管理装置可以向所述第一伙伴管理装置发送联邦身份凭证获取请求。所述联邦身份凭证获取请求中包括所述第一用户在所述第一云平台的身份凭证。然后所述第二伙伴管理装置接收所述第一伙伴管理装置根据第一身份映射转换得到的所述第一用户的联邦身份凭证。所述第一身份映射包括租户在所述第一云平台的身份凭证和所述联邦身份凭证的映射关系，所述第一用户为所述租户下的用户。

14、如此，第二伙伴管理装置通过请求第一伙伴管理装置进行身份凭证转换，获得第一用户的联邦身份凭证，进而为根据该联邦身份凭证转换获得第一用户在第二云平台的身份凭证奠定基础。

15、在一些可能的实现方式中，所述第二伙伴管理装置接收所述第二云平台的管理员配置的第二云联邦关系，所述第二云联邦关系用于指示所述第一云平台和所述第二云平台之间的云联邦关系。如此可以实现构建云联邦组，基于该云联邦组可以实现在不同云平台的身份凭证交换，进而为跨云平台访问云服务提供帮助。

16、在一些可能的实现方式中，所述第二伙伴管理装置还可以接收所述第一伙伴管理装置发送的由所述第一云平台的管理员配置的第一云联邦关系，然后所述第二伙伴管理装置校验所述第一云联邦关系和所述第二云联邦关系。

17、在一些可能的实现方式中，所述第二伙伴管理装置接收所述第二运营装置发送的协调处理请求，所述协调处理请求为所述第二运营装置根据所述api调用请求生成，所述第二伙伴管理装置向所述第一伙伴管理装置发送所述协调处理请求，接收所述第一伙伴管理装置从所述第一运营装置获得的协调处理结果，第二伙伴管理装置向所述第二运营装置发送所述协调处理结果，以使所述第二运营装置生成api调用请求处理结果，所述api调用请求处理结果根据所述协调处理结果生成。

18、其中，协调处理请求可以为前置协调处理请求和/或后置协调处理请求。前置协调处理可以是在第二运营装置处理api调用请求之前的协调处理。例如，前置协调处理可以包括对api调用请求进行审核，扣除相关的云服务的配额，对关联或依赖的云服务进行处理或者是对关联的镜像的处理(例如是加载关联的镜像)中的一种或多种。后置协调处理可以是在第二运营装置处理api调用请求之后的协调处理。例如，后置协调处理可以包括为云服务添加标签、为云服务分类、对已获得的云服务进行合规性检查、添加agent、配置注入、关联其他信息技术系统中的一种或多种。

19、由此实现了用户在访问不同云平台时所提交的api调用请求在不同云平台进进行流程协同，提升用户体验。

20、在一些可能的实现方式中，所述第一云平台和所述第二云平台分别为不同云服务提供商提供的云平台或者是同一云服务提供商提供的不同云平台。如此可以实现扩充各个云平台的服务能力，并且实现集约化建设。

21、在一些可能的实现方式中，所述第一云平台为公有云、私有云或者混合云中的一种，所述第二云平台为公有云、私有云或者混合云中的一种。如此可以实现相同类型云平台的跨平台访问，也可以实现不同类型云平台的跨平台访问，满足不同业务的需求。

22、第二方面，本技术提供了一种在云系统中处理云服务的方法。所述云系统包括第一云平台和第二云平台，所述第一云平台和所述第二云平台互为伙伴云，所述第一云平台上部署有第一运营装置和第一伙伴管理装置，所述第二云平台上部署有第二运营装置和第二伙伴管理装置。

23、具体地，所述第二伙伴管理装置接收所述第一伙伴管理装置发送的第一共享服务目录，所述第一共享服务目录中包括所述第一云平台共享的云服务的发放范围、最大共享使用量和特性限制中的一种或多种，所述第二伙伴管理装置接收所述第二运营装置发送的共享服务目录查询请求，向所述第二运营装置返回所述第一共享服务目录，以便于第二用户从所述第一共享服务目录中选取服务进行访问。

24、在该方法中，通过设置第一共享服务目录中云服务的发放范围、最大共享使用量和特性限制中的一种或多种，可以实现对第二云平台的用户使用上述云服务进行更细粒度的权限控制，满足个性化的需求。

25、在一些可能的实现方式中，所述第二伙伴管理装置提供配置接口。所述配置接口用于接收所述第二云平台的管理员配置的第二共享服务目录中所述第二云平台共享的云服务的发放范围、最大共享使用量和特性限制中的一种或多种。所述第二伙伴管理装置向所述第一伙伴管理装置发送所述第二共享服务目录。如此可以实现按需对云平台共享的云服务进行细粒度的权限控制。

26、第三方面，本技术提供一种第二伙伴管理装置。所述第二伙伴管理装置和第二运营装置部署在云系统中的第二云平台，所述云系统还包括第一云平台，所述第一云平台和所述第二云平台互为伙伴云，所述第一云平台上部署有第一运营装置和第一伙伴管理装置，所述第二伙伴管理装置包括：

27、通信模块，用于接收所述第二运营装置发送的本地身份凭证获取请求，所述本地身份凭证获取请求用于请求获取第一用户在所述第二云平台的身份凭证，所述本地身份凭证获取请求中包括所述第一用户在所述第一云平台的身份凭证，然后根据所述第一用户在所述第一云平台的身份凭证从所述第一伙伴管理装置获取所述第一用户的联邦身份凭证；

28、转换模块，用于将所述第一用户的联邦身份凭证转换为所述第一用户在所述第二云平台的身份凭证；

29、所述通信模块，还用于向所述第二运营装置返回所述第一用户在所述第二云平台的身份凭证，以使所述第一用户的客户端获得所述第二运营装置返回的所述第一用户在所述第二云平台的身份凭证，并根据所述第一用户在所述第二云平台的身份凭证生成应用程序编程接口api调用请求，所述api调用请求用于调用所述第二云平台共享的云服务。

30、在一些可能的实现方式中，所述通信模块还用于：

31、接收所述第一伙伴管理装置发送的第一共享服务目录，所述第一共享服务目录中包括所述第一云平台共享的云服务的信息；

32、接收所述第二运营装置发送的共享服务目录查询请求，向所述第二运营装置返回所述第一共享服务目录，以便于所述第二用户从所述第一共享服务目录中选取服务进行访问。

33、在一些可能的实现方式中，所述第一共享服务目录中包括所述第一云平台共享的云服务的发放范围、最大共享使用量和特性限制中的一种或多种。

34、在一些可能的实现方式中，所述通信模块还用于：

35、接收所述第二云平台的管理员配置的第二身份映射，所述第二身份映射包括租户在所述第二云平台的身份凭证和联邦身份凭证的映射关系；

36、所述转换模块具体用于：

37、所述第二伙伴管理装置根据所述第二身份映射，将所述租户下所述第一用户的联邦身份凭证转换为所述第一用户在所述第二云平台的身份凭证。

38、在一些可能的实现方式中，所述通信模块具体用于：

39、向所述第一伙伴管理装置发送联邦身份凭证获取请求，所述联邦身份凭证获取请求中包括所述第一用户在所述第一云平台的身份凭证；

40、接收所述第一伙伴管理装置根据第一身份映射转换得到的所述第一用户的联邦身份凭证，所述第一身份映射包括租户在所述第一云平台的身份凭证和所述联邦身份凭证的映射关系，所述第一用户为所述租户下的用户。

41、在一些可能的实现方式中，所述通信模块还用于：

42、接收所述第二云平台的管理员配置的第二云联邦关系，所述第二云联邦关系用于指示所述第一云平台和所述第二云平台之间的云联邦关系。

43、在一些可能的实现方式中，所述通信模块还用于：

44、接收所述第一伙伴管理装置发送的由所述第一云平台的管理员配置的第一云联邦关系；

45、所述装置还包括：

46、校验模块，具体用于校验所述第一云联邦关系和所述第二云联邦关系。

47、在一些可能的实现方式中，所述通信模块还用于：

48、接收所述第二运营装置发送的协调处理请求，所述协调处理请求为所述第二运营装置根据所述api调用请求生成；

49、向所述第一伙伴管理装置发送所述协调处理请求，接收所述第一伙伴管理装置从所述第一运营装置获得的协调处理结果；

50、向所述第二运营装置发送所述协调处理结果，以使所述第二运营装置生成api调用请求处理结果，所述api调用请求处理结果根据所述协调处理结果生成。

51、在一些可能的实现方式中，所述第一云平台和所述第二云平台分别为不同云服务提供商提供的云平台或者是同一云服务提供商提供的不同云平台。

52、在一些可能的实现方式中，所述第一云平台为公有云、私有云或者混合云，所述第二云平台为公有云、私有云或者混合云。

53、第四方面，本技术提供一种计算机集群，所述计算机集群包括至少一台计算机，所述至少一台计算机包括至少一个处理器和至少一个存储器。所述至少一个处理器、所述至少一个存储器进行相互的通信。所述至少一个处理器用于执行所述至少一个存储器中存储的指令，以使得计算机集群执行如第一方面或第二方面的任一种实现方式中的在云系统中处理云服务的方法。

54、第五方面，本技术提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，所述指令指示计算机集群执行上述第一方面或第二方面的任一种实现方式所述的在云系统中处理云服务的方法。

55、第六方面，本技术提供了一种包含指令的计算机程序产品，当其在设备上运行时，使得设备执行上述第一方面或第二方面的任一种实现方式所述的在云系统中处理云服务的方法。

56、本技术在上述各方面提供的实现方式的基础上，还可以进行进一步组合以提供更多实现方式。