一种基于容器的物联网IaaS服务实现方法与流程

本发明涉及物联网网关多租户环境构建技术领域，具体地说是一种基于容器的物联网iaas服务实现方法。

背景技术：

随着物联网的发展，各种物联网框架层出不穷，物联网也同云平台结合，形成了云平台上的iot服务，但是现有的iot服务框架均定位在通信层、数据层和处理层上，南向网络边界一般是在平台的数据网关，南向数据边界一般是在终端智能设备的sdk里。iot网关不在云的网络范围内，也不在云的管理范围内。一般iot网关由接入厂商部署，因为iot网关数量较大，部署跨越的地理区域也较大，所以部署困难，施工周期也较长，维护也较困难。而且不同的业务需要不同的接入厂商来做这个事情，这样就造成了不同的业务有不同的iot网关，造成了重复建设和资源的浪费。

技术实现要素：

本发明的技术任务是解决现有技术的不足，针对现有物联网网关存在重复建设和资源浪费的问题，提供一种基于容器的物联网iaas服务实现方法，在物联网中的物联网网关上实现多租户环境，并对接云数据中心的多租户环境，使云的边界到达物联网网关，使一套物联网网关适应不同的租户、不同的业务场景，可以同时运行不同的应用程序而互相不影响。

本发明解决其技术问题所采用的技术方案是：

一种基于容器的物联网iaas服务实现方法，该方法使用容器技术构建物联网网关多租户的计算环境，使用虚拟交换机技术实现多租户的网络环境，多租户的计算环境和网络环境构成了物联网网关内的多租户环境，并且通过vxlan技术使相同租户的云数据中心环境和物联网网关内环境互联互通，在云数据中心和物联网网关之间的异构underlay网络上实现同构的overlay网络，实现将一套物联网终端和云数据中心资源同时交付给不同的物联网应用，最终实现物联网iaas服务。

构建物联网网关内的多租户环境的过程包括：

1）租户将自己的数据采集应用，按照规则制作容器的应用模板；

2）在云数据中心的管理平台上查看可以部署容器应用的物联网网关列表，然后选定需要部署应用容器的物联网网关；

3）通过联网网网关上的虚拟交换机ovs进程打上租户vtep标签，经过vpn进程将这些带有租户vtep标签的数据包在vpn隧道中传播，在云数据中心通过vpn设备终止vpn隧道，通过虚拟交换机ovs解开租户vtep标签，从而建立了一条构建在vpn隧道上的多租户网络通道；

4）云数据中心将镜像推送到联网网网关，由minion进程为让此应用创建1个pod，并相应创建一个容器实例，调度一个租户的ip地址，绑定到这个容器的网卡上。

在上述陈述中，所涉及规则包括容器使用的操作系统版本、控制gpio库的方式，编译的目标指令集。

在上述陈述中，在构建多租户网络通道之前，云数据中心首先监测需要部署应用容器的物联网网关上是否存在此租户的网络环境。

在上述陈述中，通过建立的构建在vpn隧道上的租户网络通道，物联网网关上的多租户对应云数据中心的多租户，从而构建相互隔离的网络传输通道。

在上述陈述中，通过lxc协议和cgroup来构建的容器实例，隔离容器间的计算资源，从而达到在同一个iot网关上运行的多租户资源隔离。

在上述陈述中，在云数据中心环境和物联网网关内环境互联互通时：

1）pod中的容器实例中的应用代码从gpio相应的传感器上读取实时数据；

2）容器中的应用代码，通过构建好的租户网络通道将实时数据上传到云数据中心租户的服务里，此时，物联网网关和租户在云上的服务是ip可达的。

物联网网络包含多个物联网网关，同一租户且运行于不同物联网网关的容器与云数据中心的iaas服务、paas服务处在相同的overlay网络。

在物联网网关的underlay网络边界外侧应用ca服务，使用非对称加密技术加密在underlay网络上流转的数据，实现物联网网关和云数据中心的端到端加密。

所涉及物联网网关接入云数据中心的边界路由器，所涉及边界路由器的前端设置边界防火墙，边界防火墙仅允许特定ip、特定端口、特定协议通行，杜绝从某个物联网网关被控制带来的入侵，良好的保证了入侵的不扩散。

本发明的一种基于容器的物联网iaas服务实现方法与现有技术相比所产生的有益效果是：

1）本发明在物联网网关上使用容器技术，并配合软件定义网络的vxlan技术实现物联网网关多租户的overlay网络，进行多租户的网络资源隔离，使用隧道技术对接云数据中心的overlay网络，从而在云数据中心和物联网网关之间的异构underlay网络上实现同构的overlay网络，使云的边界从数据中心边缘扩展到了采集端，扩展到了物联网的智能网关，使一套物联网网关适应不同的租户、不同的业务场景，可以同时运行不同的应用程序而互相不影响，这样物联网网关就由云运营商统一部署，避免重复建设、资源浪费，而且极大的缩短了物联网应用的建设周期。

附图说明

附图1是本发明的连接框图；

附图2是本发明的两个物联网网关与云数据中心对接的连接框图。

具体实施方式

下面结合附图，对本发明的一种基于容器的物联网iaas服务实现方法作以下详细说明。

实施例一：

参考附图1，本发明提供一种基于容器的物联网iaas服务实现方法，该方法使用容器技术构建物联网网关多租户的计算环境，使用虚拟交换机技术实现多租户的网络环境，多租户的计算环境和网络环境构成了物联网网关内的多租户环境，并且通过vxlan技术使相同租户的云数据中心环境和物联网网关内环境互联互通，在云数据中心和物联网网关之间的异构underlay网络上实现同构的overlay网络，实现将一套物联网终端和云数据中心资源同时交付给不同的物联网应用，最终实现物联网iaas服务。

参考附图1，构建物联网网关内的多租户环境的过程包括：

1）租户将自己的数据采集应用，按照规则制作容器的应用模板；

2）在云数据中心的管理平台上查看可以部署容器应用的物联网网关列表，然后选定需要部署应用容器的物联网网关；

3）通过联网网网关上的虚拟交换机ovs进程打上租户vtep标签，经过vpn进程将这些带有租户vtep标签的数据包在vpn隧道中传播，在云数据中心通过vpn设备终止vpn隧道，通过虚拟交换机ovs解开租户vtep标签，从而建立了一条构建在vpn隧道上的多租户网络通道；

4）云数据中心将镜像推送到联网网网关，由minion进程为让此应用创建1个pod，并相应创建一个容器实例，调度一个租户的ip地址，绑定到这个容器的网卡上。

所涉及规则包括容器使用的操作系统版本、控制gpio库的方式，编译的目标指令集。

在构建多租户网络通道之前，云数据中心首先监测需要部署应用容器的物联网网关上是否存在此租户的网络环境。

通过建立的构建在vpn隧道上的租户网络通道，物联网网关上的多租户对应云数据中心的多租户，从而构建相互隔离的网络传输通道。

通过lxc协议和cgroup来构建的容器实例，隔离容器间的计算资源，从而达到在同一个iot网关上运行的多租户资源隔离。

参考附图1，在云数据中心环境和物联网网关内环境互联互通时：

1）pod中的容器实例中的应用代码从gpio相应的传感器上读取实时数据；

2）容器中的应用代码，通过构建好的租户网络通道将实时数据上传到云数据中心租户的服务里，此时，物联网网关和租户在云上的服务是ip可达的。

物联网网络包含多个物联网网关，同一租户且运行于不同物联网网关的容器与云数据中心的iaas服务、paas服务处在相同的overlay网络，附图2以两个物联网网关与云数据中心对接为例。

在物联网网关的underlay网络边界外侧应用ca服务，使用非对称加密技术加密在underlay网络上流转的数据，实现物联网网关和云数据中心的端到端加密。

参考附图1，所涉及物联网网关接入云数据中心的边界路由器，所涉及边界路由器的前端设置边界防火墙，边界防火墙仅允许特定ip、特定端口、特定协议通行，杜绝从某个物联网网关被控制带来的入侵，良好的保证了入侵的不扩散。

需要补充的是，pod1、pod2、pod3是连接到物联网网关中虚拟交换机ovs上的多个docker容器。pod1、pod2、pod3是按照标签进行分隔的，这样可以为不同的租户1、租户2、租户3启动不同的业务应用，控制着不同的gpio端口，从而连接着不同的传感器或者控制器。minion的主要责任是与部署在云数据中心内的kubernetes控制器通信，并负责管理pod。

结合附图1、2，以温度传感器为例，温度传感器通过gpio直接连接至容器内部的操作系统栈上，数据在容器中做简单的处理后，在overlay网络上，通过虚拟交换机ovs构建的vxlan隧道到达云数据中心的租户私有应用上；在underlay网络上，数据则要通过加密控制器加密、vpn隧道、解密控制器解密、边界防火墙过滤、边界路由器、云数据中心虚拟交换机ovs到达租户网络内，然后再借助云数据中心的云服务进行数据清洗、处理、存储和展示。

上述具体实施方式仅是本发明的具体个案，本发明的专利保护范围包括但不限于上述具体实施方式，任何符合本发明的一种基于容器的物联网iaas服务实现方法的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换，皆应落入本发明的专利保护范围。