基于云平台的分权分域系统分析与设计

基于云平台的分权分域系统分析与设计 Analysis and Design of Authority —Decentralized ＆ Domain —Decentralized System Based on Cloud Plat方正宁1，杜晓峰2，张笑燕1／Fang Zhengnin91 ， Du Xiaofen92 ， Zhang Xiaoyanl(1．北京邮电大学软件学院北京 100876； 2．北京邮电大学计算机学院北京 100876)(1．School of Software Engineering， Beijing University of Posts and Telecommunications， Beijing 100876 ， China ；2． School of Computer,Beijing University of Posts and Telecommunications， Beijing 100876 ， China)摘要基于 CloudStaek 云计算管理平台，对分权分域权限管理系统进行了模型的分析与设计。首先 分析了分权分域权限管理的意义，并阐释了 CloudStack 中涉及的相关概念，然后从分域和分权 2方面 对模型进行了详细的分析与设计。关键词云计算； CloudStack；分权分域；权限管理Abstract Based on tIIe CloudStack cloud plat ． a model of the authority-decentralized and domain —decentralized authority management system were analyzed and designed ． Firstly ， the importance of me system is deseribed,and the concepts involved in CloudStaek were explained ． Then the detailed designfrom two aspects of authority decentralization and domain decentralization were analyzed and designed．Key words cloud compute，CloudStack，authority decentralization and domain decentralization， authoritymanagement用户授予对资源的有限操作权限，就显得格外重要。1 引言 因此，需要在云管理平台上设计一个分权分域的随着互联网行业的飞速发展以及市场竞争的日趋 权限管理模块，这里的分权是指针对操作权限的控 激烈。云计算技术的应用也愈来愈广泛。中国某电信运 制，即指用户可以具体执行哪些操作；分域则是指针 营商确立了云计算为新的发展战略，并以此为契机，发 对访问权限的控制，主要包括：一个域可以管理和使 挥其在网络和存储方面的资源优势，实现资源消耗向 用多个资源：能够通过域，限定域管理和使用的资源 增值服务转型，扩展市场。 范围。如今，基于 CloudStack 的云计算管理平台已经广 2相关工作泛应用到该电信运营商的公有云和私有云中。在公有云方面。已纳管华东、华南和西南3大区域的数据中心， 2． 1 CloudStack 相关概念 管理近 1万 CPU核数，为客户提供近 3 000台虚拟机； 2． 1． 1 资源范畴 在私有云方面，已纳管集团、省级等lO个资源池fl】。 图 1显示了 CloudStack 中基础架构之间的相互关基于此．云管理平台必须考虑把公有云和私有云 系。从包含关系来说，一个 Zone包含多个 Pod。一个 的资源有效、安全地集中起来，公有资源和私有资源在 Pod包含多个 Cluster ，一个 Cluster 包含多个 Host 。 云管理平台上实现统一视图、统一调度以及统一管理， (1)Region( 区域 ) 这就决定了云管理平台用户类型的复杂多样。那么。如 区域是 CloudStack 云中最大的组织单元．一个区 何确定不同用户管理和使用资源的范围，如何给不同 域由多个 Zone 组成。16万方数据方正宁等：基于云平台的分权分域系统分析与设计 No． 12， Dec ． 2014 China Internet 互联网天地2． 2国内外关于 RBAC 的研究 互联网技术的飞速发展使安全问题显得越来越重要。随着信息管理系统逐渐面向多用户、多资源，且 人员具有较高的流动性．因此， Ferraiolo 和 Kuhn 于1992 年提出了一种基于角色的访问控制 (role ． based access control，RBAC)模型【2J。与传统访问控制方法的 由主体和权限直接绑定的思想相比， RBAC 引入了角 色的概念，把对资源的操作权限赋给角色，又绑定用 户属于某一角色，这样．用户就具有了该角色被赋予 的权限。图I CloudStack 的基础架构 RBAC 模型的提出实现了用户与操作权限逻辑上(2)Zone 的分离，简化了权限管理，使其更容易维护，被广泛应Zone 是 CloudStack 云中第二大组织单元．一个 用于各种计算机系统中。 Zone 一般和现实中的一个数据中心对应。本文把 Zone 奠定了 RBAC 发展基础的是 Ravi Sandhu 教授于 称为数据中心，它由一个或多个 Pod组成。 1996年发表的 “Role ． Based Access Control Models”．提(3)Pod(提供点) 出了著名的 RBAC96 模型 [3I。 Sandhu 于 1997年提出了通常表示一个机柜．同一个机柜中的主机在相同 RBAC9T4l 模型 (RBAC 管理模型 )，对 RBAC96 模型的 的子网中。每个提供点包含一个或多个 Cluster。 各元素实施了管理策略。 2000 年， Ravi Sandhu 、 David (4)Cluster( 集群 ) Ferraiolo 和 Richard Kuhn 提出了 NIST RBACta 模型。该 多个主机组成．同一个 Cluster 中的主机有相同的 模型被美国国家标准技术局 (national institute ofstandards硬件、相同的Hypervisor，并共用同样的存储。 and technology ， NIST) 视为 RBAC 领域的标准。 (5)Host( 主机 ) 3分域管理模型即运行虚拟机 (VM)的物理主机。(6)Primary Storage(-- 存储 ) 3． 1 分域管理与 Cluste