一种私有云多租户共用应用系统改造方法

摘要

本发明公开了一种私有云多租户共用应用系统改造方法，将应用系统的架构改造为共用应用服务、独立数据库服务的架构，包括以下步骤：1)功能模块支持多租户；2)用户管理；3)权限管理；4)基础数据配置；5)资源分配；6)实现多租户数据库实例对接；7)外部系统对接满足多租户；8)共用数据库系统。本发明属于云计算的应用架构技术领域，具体是提供了一种实现应用系统多租户接入，针对现有应用系统分为上层应用服务和下层数据库服务的常规架构进行设计，在原有应用系统架构不变的情况下，提出安全改造方法，满足租户自服务需求，实现共用应用服务、独立数据库服务，实现核心数据的安全隔离的私有云多租户共用应用系统改造方法。

说明书

技术领域

本发明属于大数据的云存储技术领域，具体是指一种私有云多租户共用应用系统改造方法。

背景技术

在公有云中，云平台需要满足大量单位的业务接入，各接入单位的业务系统从上层应用系统前端服务、中间层中间件服务、下层数据库服务独立部署，实现从计算、内存、存储到网络的安全隔离，这本身也是云原生场景的天然特性，称该种架构为独立应用与数据库模型；在企业内部，为了降低成本投入，各业务部门(即各租户)共用应用服务和数据库服务，通过系统本身账号权限管控实现不同租户之间的数据隔离，能够提升系统整体利用率，降低建设、维护成本，称该种架构为共用应用服务与数据库服务模型，但是对于私有云场景应用系统，尤其是大型集团建立的以满足内部各独立单位协同使用的私有云应用，既要支撑各单位业务开展以高效资源利用，又需实现各单位业务数据的安全隔离；公有云的多租户架构将面临各单位独立建设成本及维护成本问题、各单位数据独立难以统一管控与分析等问题，难以满足该私有云场景的实际需求；各租户共用应用服务和数据库服务模型，将带来数据安全隔离差，无租户独立管理权限，难以满足该私有云场景租户管理需求。

针对公有云中多租户独立部署应用系统模式，在集团型私有云应用场景下将存在如下问题：各单位数据完全独立，无法实现集团性的统一管理，如应用系统主管部门需要针对全部集团用户进行统一管理，独立部署的方式则无法满足该需求；各应用系统独立，将导致资源的浪费，多单位使用的应用系统，存在资源使用不平衡、使用率高低不均衡、相关应用与服务无法复用；各应用系统独立，导致整体运行维护压力大增，应用系统维护部门将面临原有一个系统至多个单位多个系统的现状，运维成本成倍增长；各应用系统独立，导致建设成本大增，对于大型应用，不仅仅按照用户数授权，应用节点数也是重要的成本，因此采购成本增加，同时部署应用成本增加。

针对各租户共用应用服务和数据库服务模式，在集团型私有云应用场景下将存在如下问题：各租户共用一套应用服务与数据库服务模式，数据主要通过权限隔离方式实现，导致安全隔离性差，跨租户数据窃取难度低；各租户无独立管理空间或租户管理空间较小，无法满足各租户独立维护应用服务、数据库服务的需求。

发明内容

为解决上述现有难题，本发明提供了一种实现应用系统多租户接入，针对现有应用系统分为上层应用服务和下层数据库服务的常规架构进行设计，在原有应用系统架构不变的情况下，提出安全改造方法，满足租户自服务需求，实现共用应用服务、独立数据库服务，实现核心数据的安全隔离的私有云多租户共用应用系统改造方法。

本发明采用的技术方案如下：一种私有云多租户共用应用系统改造方法，具体为将应用系统的架构改造为共用应用服务、独立数据库服务的架构，包括以下步骤：

1)功能模块支持多租户：应用系统的各模块支持多租户的使用和维护，满足多租户对于功能模块的要求；

2)用户管理：用户归属于某一租户，应用系统存在超级管理员，每一租户都存在独立用户管理员，由租户管理员针对租户内各用户进行管理，所述管理包括对租户的增加、删除、停用和禁用，不同租户之间用户信息隔离；

3)权限管理：由租户管理员进行用户权限管理，限定各租户之间业务数据无法互访；租户内各用户权限不可超出应用系统超级管理员分配范围；

4)基础数据配置：在基础数据配置方面，按租户进行管理，租户管理员负责本租户范围内基础数据配置工作，除全局不可更改配置，由应用系统超级管理员统一设定，其他基础数据配置工作下放至租户侧，由租户管理员管理，同时，开放全局基础配置，由系统超级管理员管理；并梳理需要全局展示的数据，开放系统相关管理员查看、统计权限，支撑全局管理需求；

5)资源分配：在资源使用方面，各租户针对自身租户空间的计算、内存、存储资源进行分配；

6)实现多租户数据库实例对接：应用系统调用数据库时，带入的会话信息包含租户ID，由此关联至租户对应数据库实例的表对象；

7)外部系统对接满足多租户：对于应用系统需与外部系统对接时，根据对接系统数据调用的实际需求，明确API中调用数据中是否包含租户标识，并能够支撑多租户调用需求；

8)共用数据库系统：数据库系统层面，为支撑多租户需求，按照共用数据库系统的逻辑对数据库系统进行改造。

进一步地，所述步骤8)对数据库系统进行改造，具体包括如下步骤：

1)不同租户数据存放至不同数据库实例中，不同数据库实例数据存储至不同存储路径，实现租户数据的安全隔离；

2)不同数据库实例开放租户管理员相关配置、维护权限，在资源占用方面，满足不同租户资源使用的隔离且面向租户实现管理。

采用上述方案本发明取得有益效果如下：本发明私有云多租户共用应用系统改造方法,使得改造后的应用系统能支撑多租户的安全接入，各租户数据的安全隔离，能够更高效的利用资源、更低的成本，提供全局统一的管理界面，满足全局管理、统计分析需求；资源利用率高，本方法复用应用系统、数据库系统，使得计算、存储、网络、安全资源得到更高的利用率；运行维护压力、建设成本低，通过一套应用满足多租户需求，降低了维护运行成本、采购成本、部署成本；相比各租户共用应用服务和数据库服务模式，本方法提供更高的安全隔离性，能够满足租户自服务需求，具有更高的安全隔离性，本方法从应用系统至数据库系统，从基础配置至核心数据进行租户隔离，提供更高的安全性；能够满足租户自服务需求，各租户提供独立的管理空间，满足各租户独立维护基础配置、应用服务资源分配、数据库服务日常维护等自服务需求，实现应用系统多租户接入，在原有应用系统架构不变的情况下，提出安全改造方法，满足租户自服务需求，实现核心数据的安全隔离；针对集团企业系统架构复杂、改造成本高的问题，本方法结合实际情况，在低改造成本的基础上提出可行方法；此外，改造方法针对应用系统整体架构变动小，改造工作量及时间可控；本方法在安全隔离的基础上，使得应用系统资源使用率最大化，支撑多租户接入，满足多租户实际需求提供支撑，提供多租户自服务、自管理界面，提高租户对于本租户范围内的配置、权限、功能的独立管理力度。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。

图1为本发明一种私有云多租户共用应用系统改造方法的应用系统架构框图。

具体实施方式

下面将对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图1所示一种私有云多租户共用应用系统改造方法，具体为将应用系统的架构改造为共用应用服务、独立数据库服务的架构，包括以下步骤：

1)功能模块支持多租户：应用系统的各模块支持多租户的使用和维护，满足多租户对于功能模块的要求；

2)用户管理：用户归属于某一租户，应用系统存在超级管理员，每一租户都存在独立用户管理员，由租户管理员针对租户内各用户进行管理，所述管理包括对租户的增加、删除、停用和禁用，不同租户之间用户信息隔离；

3)权限管理：由租户管理员进行用户权限管理，限定各租户之间业务数据无法互访；租户内各用户权限不可超出应用系统超级管理员分配范围；

4)基础数据配置：在基础数据配置方面，按租户进行管理，租户管理员负责本租户范围内基础数据配置工作，除全局不可更改配置，由应用系统超级管理员统一设定，其他基础数据配置工作下放至租户侧，由租户管理员管理，同时，开放全局基础配置，由系统超级管理员管理；并梳理需要全局展示的数据，开放系统相关管理员查看、统计权限，支撑全局管理需求；

5)资源分配：在资源使用方面，各租户针对自身租户空间的计算、内存、存储资源进行分配；

6)实现多租户数据库实例对接：应用系统调用数据库时，带入的会话信息包含租户ID，由此关联至租户对应数据库实例的表对象；

7)外部系统对接满足多租户：对于应用系统需与外部系统对接时，根据对接系统数据调用的实际需求，明确API中调用数据中是否包含租户标识，并能够支撑多租户调用需求；

8)共用数据库系统：数据库系统层面，为支撑多租户需求，按照共用数据库系统的逻辑对数据库系统进行改造。

其中，所述步骤8)对数据库系统进行改造，具体包括如下步骤：

1)不同租户数据存放至不同数据库实例中，不同数据库实例数据存储至不同存储路径，实现租户数据的安全隔离；

2)不同数据库实例开放租户管理员相关配置、维护权限，在资源占用方面，满足不同租户资源使用的隔离且面向租户实现管理。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书内容所作的等效结构或等效流程变换，或直接或间接运用在其它相关的技术领域，均同理包括在本发明的专利保护范围内。