多租户和统一管理
概览
随着现代数据平台跨团队、跨业务单元扩展,支持多租户、确保数据隔离性与治理并简化跨联邦集群的管理变得尤为重要。
本文档提供了一份参考架构及功能清单,用于在多租户环境中实现安全、隔离且易于管理的 Alluxio 集群部署。
关键特性
1. 认证与授权
支持与企业身份提供商(如 OKTA)的集成。
通过身份验证后,用户会获得安全 token(JWT),并随请求传递。
由策略引擎(如 OPA ‑ Open Policy Agent)执行细粒度访问控制,可基于自定义规则评估每个请求。
2. 租户隔离
缓存管理隔离
按租户配置缓存(TTL、配额、驱逐策略)
独立运维控制
3. 集群联邦
当部署包含多个集群时,提供统一管理功能:
监控
许可证管理
运维管理
确保即使扩展至数十个/数百个集群时仍可管理。
架构概览
示意图说明:采用API网关作为核心组件,统一处理跨Alluxio集群的认证授权。用户通过管理控制台或认证服务器获取 token, API网关验证后路由至对应集群coordinator。网关集成策略引擎 (OPA)进行访问决策,支持定向集群请求与组播操作。管理控制台提供集中式仪表盘,通过网关接口监控和管理所有集群。
组件
1. 管理控制台
提供可视化集群管理界面
展示跨集群监控数据
通过认证服务器验证用户身份
与API网关交互执行操作
2. API 网关
所有请求的统一入口
路由请求至对应集群
集成认证和授权功能
工作流示例:缓存 TTL 更新
用户认证
用户在管理控制台或认证服务器(如 OKTA)登录
认证成功后获得 JWT token
请求提交
用户向 API 网关发送请求,内容包括:
获得的 JWT token
期望的 TTL 值
目标租户信息
访问控制检查
API 网关验证 token 有效性。
策略引擎(OPA)校验用户是否有权限:
修改缓存设置
访问指定租户资源
执行请求
若授权通过,API 网关将请求转发至:
特定集群 coordinator(单集群操作)
所有相关coordinator(多集群操作)
Coordinator 将变更应用至 worker节点
更新配置持久化保存
认证与授权
认证
初期采用 OKTA 进行统一身份认证。用户登录并通过验证后,OKTA 会为 API 网关生成 JSON Web Token (JWT)。JWT为编码的JSON对象,包含用户声明信息(如角色/组标识符)。
授权
授权机制确保用户仅能访问其被允许访问的资源。系统采用 Open Policy Agent (OPA) 作为策略引擎来执行访问控制。OPA 采用声明式语言 Rego 编写细粒度、上下文感知的策略,通过其决策 API 判断请求是否允许执行。
多租户
用户角色访问控制提供Alluxio 系统内部用户访问与权限管理。可创建不同的用户角色,并为每个角色配置特定的访问层级和权限,确保用户仅能访问其被授权的资源。
集群联邦
关于在多可用区环境中如何搭建与管理 Alluxio 集群,请参见 多可用区(Multi‑AZ)章节。
许可证管理
当集群数量较多时,可进行集中式许可证管理与下发与执行。详情请参见许可证章节。
Last updated