摘要：在2017年云棲大會?北京峰會的大數(shù)據(jù)專場中，來自阿里云的高級技術(shù)專家李雪峰帶來了主題為《金融級別大數(shù)據(jù)平臺的多租戶隔離實踐》的演講。在分享中，李雪峰首先介紹了基于傳統(tǒng)IaaS單租戶架構(gòu)做隔離時面臨的問題；然后，他重點分享了MaxCompute PaaS層面的多租戶的架構(gòu)以及MaxCompute在安全隔離方面的具體實踐。?

點此查看原文：http://click.aliyun.com/m/42755/

在2017年云棲大會?北京峰會的大數(shù)據(jù)專場中，來自阿里云的高級技術(shù)專家李雪峰帶來了主題為《金融級別大數(shù)據(jù)平臺的多租戶隔離實踐》的演講。在分享中，李雪峰首先介紹了基于傳統(tǒng)IaaS單租戶架構(gòu)做隔離時面臨的問題；然后，他重點分享了MaxCompute PaaS層面的多租戶的架構(gòu)以及MaxCompute在安全隔離方面的具體實踐。

IaaS單租戶大數(shù)據(jù)產(chǎn)品架構(gòu)

基于IaaS單租戶大數(shù)據(jù)產(chǎn)品架構(gòu)如上圖所示，架構(gòu)底層通常利用HDFS2實現(xiàn)；基于HDFS2之上搭建Hadoop Yarn或MESOS等資源管控平臺；在其之上再實現(xiàn)具體的計算模型，如MR、Hive、HBASE以及Spark等。在這類生態(tài)環(huán)境中，IaaS平臺通常作為同一租戶存在，當用戶產(chǎn)生新需求時，通過IaaS平臺申請一批集群（虛機），再這些集群上部署相應(yīng)的開源產(chǎn)品。從隔離的角度出發(fā)，這種生態(tài)面臨以下問題：

首先，IaaS單租戶大數(shù)據(jù)產(chǎn)品架構(gòu)在實際使用時存在一定的邏輯問題。使用者進行數(shù)據(jù)分析時，需要了解使用的每種產(chǎn)品的具體邏輯，例如運行SQL時，需要理解Hive的邏輯，使用Spark時，需要學習spark的相關(guān)知識。當使用產(chǎn)品數(shù)量較少時，使用成本還能夠得到有效控制；當需要多種產(chǎn)品相互協(xié)助使用時，學習成本便成幾何倍數(shù)增加。并且，通常兩款不同的開源產(chǎn)品之間的邏輯模型相互間無法識別，當遇到鑒權(quán)等問題時，邏輯問題更加突出。

其次，每一種開源產(chǎn)品在運行級別上都有其自身的優(yōu)先級定義。在使用同一種開源產(chǎn)品時，任務(wù)的優(yōu)先級會按照開源產(chǎn)品自身的優(yōu)先級體系進行運行，高優(yōu)先級的任務(wù)會比低優(yōu)先級的任務(wù)得到更多的資源，運行的時長也會得到更好地保障。當同時使用多款開源產(chǎn)品時，基于IaaS單租戶大數(shù)據(jù)產(chǎn)品架構(gòu)無法做到運行優(yōu)先級的全局最優(yōu)化。

最后，上述這些開源產(chǎn)品通常會提供用戶自定義邏輯，例如MR或Hive提供的UDF。當用戶自定義的代碼在大數(shù)據(jù)產(chǎn)品內(nèi)運行時，會造成一定的安全風險。例如，Hadoop Yarn在運行用戶自定義代碼時，僅僅使用比較簡單的Linux Container機制進行隔離。使用這種機制運行隔離時，用戶的代碼邏輯和Hadoop自身進程是運行在同一個內(nèi)核（kernel）下的，也就是說如果這部分用戶代碼邏輯包含的攻擊程序能夠影響機器kernel，則在同一個內(nèi)核下運行的大數(shù)據(jù)產(chǎn)品進程也會隨之受到影響。通常情況下，大數(shù)據(jù)產(chǎn)品的一個Job會根據(jù)數(shù)據(jù)分片的大小同時運行在集群的大部分機器、甚至所有機器上。這種情況下，安全的風險便放大至整個集群。一種極端的情況是：當利用一個內(nèi)核的漏洞攻擊一臺機器成功時，當所提交的Job分片足夠大時，可能會使得整個計算集群癱瘓。

在認識到上述問題之后，MaxCompute通過獨立自研整體系統(tǒng)架構(gòu)，提供了PaaS層面的多租戶能力。

MaxCompute PaaS多租戶架構(gòu)

上圖是MaxCompute PaaS多租戶架構(gòu)示意圖。從圖中可以看出，MaxCompute運行在飛天操作系統(tǒng)上，依賴于飛天伏羲模塊提供統(tǒng)一資源管控；依賴于飛天盤古模塊提供統(tǒng)一存儲；依賴于飛天女媧模塊提供一致性服務(wù)。MaxCompute通過提供同一套計算引擎為上層提供了多種計算形態(tài)，包括SQL、MR、圖計算、PAI、準實時等。

目前，這套計算引擎已經(jīng)為金融用戶在公共云上提供了相應(yīng)的計算能力。

在解決MaxCompute多租戶這一問題時，主要是從三個角度入手：

一是邏輯隔離。從租戶的角度出發(fā)，每個租戶都有自己獨立的邏輯模型，擁有自己獨立的資源以及基于相同的邏輯模型實現(xiàn)的統(tǒng)一授權(quán)模型。

二是資源隔離。對于不同租戶的任務(wù)，在MaxCompute運行時，能夠?qū)崿F(xiàn)統(tǒng)一的、全局最優(yōu)的任務(wù)調(diào)度能力以及資源隔離能力。

三是運行隔離機制。目前，MaxCompute提供了用戶自定義邏輯的功能（如Python UDF），為用戶自定義邏輯在MaxCompute上運行提供了一套完善的運行隔離機制。

下面來具體分析下MaxCompute提供的這三種隔離機制。

MaxCompute 邏輯隔離

目前，對于同一個MaxCompute實例，無論其運行在多少個物理集群上，都能在邏輯層提供統(tǒng)一的租戶體系。對于這套租戶體系，同一個租戶的數(shù)據(jù)資源視圖和權(quán)限管理模型是唯一的，并與租戶模型綁定。在實際使用中，MaxCompute上的租戶對應(yīng)于MaxCompute的Project，其中Project包含租戶所有的資源、屬性以及權(quán)限等信息。

如上圖所示，Project由屬性（Properties）、主題（Subject）、實體（Object）三部分組成。其中屬性包括Quota、Owner、Payment Account、Region等信息；在Project內(nèi)部所有的授權(quán)訪問都需要以User ID為主題，基于這些主題，MaxCompute提供了角色模型用于實現(xiàn)授權(quán)聚集；上文所提到的計算模型（MR、Hive等）要操作的資源最終都落腳于Project中的某一實體上，例如SQL模型對應(yīng)于Table實體、UDF對應(yīng)Function實體。

基于以上提供的邏輯模型，MaxCompute提供了一套完整的鑒權(quán)、授權(quán)機制用于管控權(quán)限。首先，所有權(quán)限均來源于Project Ower，作為Project的所有者，它擁有該Project內(nèi)的全部權(quán)限，任何用戶使用該Project進行計算時，首先需要Project Owner對其進行授權(quán)（具體實現(xiàn)是利用GTANT語句）；當該用戶訪問Project時，它會以User ID的身份進行讀寫表、創(chuàng)建函數(shù)、添加刪除資源等操作；這些操作被真正執(zhí)行之前，會通過統(tǒng)一的ACL邏輯對當前User ID是否具有相應(yīng)的權(quán)限進行判斷。

上圖給出了MaxCompute對不同類型對象支持的操作方式，更多詳細操作說明請參考官方文檔。

MaxCompute 資源隔離

MaxCompute 的計算引擎依賴于飛天操作系統(tǒng)提供資源運行、隔離能力。

如上圖所示，當不同任務(wù)Job-0、Job-n 提交到飛天伏羲模塊時，伏羲的調(diào)度系統(tǒng)會根據(jù)不用用戶的運行級別來分配任務(wù)的運行級別，這與上文提到的Project中的屬性相對應(yīng)。伏羲模塊將不同的任務(wù)Job-0、Job-n轉(zhuǎn)化為伏羲任務(wù)；然后調(diào)度到計算集群的節(jié)點上；最終在計算集群上，同一個server上會同時運行多個租戶的任務(wù)，這些任務(wù)均以伏羲Worker形態(tài)運行。

對于其中的一臺機器，當該機器上的伏羲引擎收到Worker Plan后，它會根據(jù)Worker所對應(yīng)用戶的quota值去配置當前這臺機器上的Cgroup的參數(shù)。這樣一來，就保證不同用戶提交的Job最終在物理機上運行的Cgroup配置參數(shù)不同。目前，MaxCompute依賴于Linux Kernel提供的Cgroup能力來規(guī)劃某個特定進程在物理機上所得的CPU、Memory等資源。

MaxCompute 運行隔離

最后來分析下MaxCompute為了安全運行用戶自定義邏輯所提供的運行隔離機制。當伏羲運行用戶自定義代碼邏輯時，它會拉取一個隔離的環(huán)境，把用戶的代碼運行在隔離的進程中。該進程對與伏羲而言與其他進程無差別，但其運行環(huán)境是在隔離系統(tǒng)中；也就說對于伏羲而言，這個進程是普通的進程，但對于untrusted code進程是隔離的。

運行隔離又可以分為進程隔離、設(shè)備隔離和網(wǎng)絡(luò)隔離。

進程隔離

在進程隔離方面，對于單個進程而言，如果是運行的untrusted code（有可能包括惡意攻擊的代碼）進程，有可能會對計算平臺造成損害。針對這一問題，MaxCompute提供了多層隔離嵌套方案以便規(guī)避這種潛在的安全風險。在最內(nèi)部，MaxCompute提供了語言級沙箱，包括java sandbox和python sandbox，這種語言級別的沙箱為用戶代碼提供了最內(nèi)層的隔離，例如java UDF 目前可以做到限制加載具體的類，python UDF可以做到函數(shù)級別的限制；外面一層，MaxCompute提供了進程隔離，它依賴于當前Linux Kernel提供的內(nèi)核機制實現(xiàn)進程的隔離，使用的內(nèi)核機制包括namespace、cgroup 、secomp-bpf等；最外側(cè)，MaxCompute實現(xiàn)了一層輕量級的虛擬化，它的實現(xiàn)原理是通過深度定制Linux Kernel以及一個最小化的Hypervisor，進而提供非常輕量級的虛擬機（建立時間僅為幾百毫秒）。這樣一來，untrusted code最終會以hypervisor方式運行在物理機；也就是說，對于伏羲而言，它看到的僅僅是hypervisor的進程，但對于untrusted code，它看到的是一套隔離環(huán)境。

設(shè)備隔離

除此之外，MaxCompute也為用戶自定義代碼提供了硬件加速能力，例如PAI是支持直接GPU訪問。目前，MaxCompute通過PCIE passthrough方式將GPU卡直接passthrough到VM內(nèi)部，允許guest進程直接通過PCIE總線以及guest kernel 內(nèi)的GPU driver來訪問GPU。

這種VM通過PCIE總線訪問GPU的實現(xiàn)方式相較于在物理機直接訪問GPU，性能相近；另一方面，在物理機上無需安裝GPU driver，規(guī)避掉了GPU driver對平臺穩(wěn)定性和可靠性影響。

網(wǎng)絡(luò)隔離

在某些產(chǎn)品上，MaxComputer為用戶代碼邏輯提供了網(wǎng)絡(luò)隔離能力。在伏羲拉起的VM之間實現(xiàn)了一層虛擬網(wǎng)絡(luò)。這些VM可以通過虛擬網(wǎng)絡(luò)進行直接通信，這也為在VM內(nèi)部運行一些開源代碼提供了良好的兼容性。同時，從上圖可以看到，用戶自定義的代碼邏輯并不是直接訪問物理網(wǎng)絡(luò)的；而伏羲拉起的tursted code包括MaxCompute框架上的代碼是通過物理網(wǎng)絡(luò)進行通信的，這種做法保證了MaxCompute框架在通信上的低時延。

掃碼獲取更多資訊：