本发明专利技术公开了一种容器集群访问权限的控制方法及系统。其中,方法包括:密钥管理模块获取用户的用户信息和用户可访问服务接口的列表,每隔预定时间将用户信息和列表发送至认证模块,获取认证模块基于用户信息和列表生成的临时访问密钥,将临时访问密钥保存至用户的Kubernetes集群中,用户的Kubernetes集群处于用户的VPC网络环境中;在用户的Kubernetes集群接收到资源操作请求时,将临时访问密钥添加至资源操作请求中,并将包含有临时访问密钥的资源操作请求发送至资源管理系统;资源管理系统与用户的Kubernetes集群处于不同的VPC网络环境。本实施例中,处于用户的VPC网络环境的Kubernetes集群有访问权限,可根据该访问权限与资源管理系统交互,同时还可实现防止非法用户获取到用户的访问权限。
【技术实现步骤摘要】
容器集群访问权限的控制方法及系统
本专利技术涉及通信
,更具体地,涉及一种容器集群访问权限的控制方法及一种容器集群访问权限的控制系统。
技术介绍
云计算是一种按使用量付费的商业模式。这种模式为用户提供便捷、按需的网络访问和可配置的资源池(包括计算、存储及网络资源),用户部署在资源池上的应用系统能够根据需要获取计算力、存储空间和信息服务。Kubernetes集群作为一种容器管理工具,包括主节点和分别与主节点通信连接的多个计算节点,其中,主节点用于管理和控制多个计算节点。在云计算服务模式下,为了实现不同用户之间的隔离,用户创建的Kubernetes集群通常运行在用户的VPC(VirtualPrivateCloud,虚拟私有云)网络环境内,而用户的VPC网络环境中的Kubernetes集群中的一些底层服务,例如CloudProvider,需要与云计算服务提供商的其他内部系统(例如:资源管理系统OpenAPI)进行交互,以获取容器和/或计算节点所需资源。而云计算服务提供商的其他内部系统通常和用户的Kubernetes集群处于不同的VPC网络环境中。且现有技术中,云计算服务提供商为了保护和控制资源,在每个用户VPC网络环境内的容器引擎向资源管理系统OpenAPI发送访问请求时,资源管理系统OpenAPI需要验证该用户的每个访问请求的权限。因为不同的用户都需要被资源管理系统OpenAPI验证身份,因此,有些不法用户如果在此环节设置非法流程将有可能盗取其他用户的密钥。因此,如何能够实现处于用户VPC网络环境中的Kubernetes集群能够与处于不同VPC的资源管理系统OpenAPI交互的同时,实现防止一个不法用户获取到用户的访问权限成为亟待解决的技术问题。
技术实现思路
本专利技术的一个目的是提供一种用于控制容器集群访问权限的新技术方案。根据本专利技术的第一方面,提供了一种容器集群访问权限的控制方法,包括:密钥管理模块获取用户的用户信息和所述用户可访问服务接口的列表;所述密钥管理模块每隔预定时间将所述用户信息和所述列表发送至认证模块;所述密钥管理模块获取所述认证模块基于所述用户信息和列表生成的临时访问密钥;所述密钥管理模块将所述临时访问密钥保存至所述用户的Kubernetes集群中,其中,所述用户的Kubernetes集群处于所述用户的虚拟私有云VPC网络环境中;在所述用户的Kubernetes集群接收到资源操作请求时,将所述临时访问密钥添加至所述资源操作请求中,并将包含有临时访问密钥的资源操作请求发送至资源管理系统;其中,所述资源管理系统与所述用户的Kubernetes集群处于不同的虚拟私有云VPC网络环境。在一个实施例中,所述密钥管理模块获取所述用户可访问服务接口的列表的步骤,包括:所述密钥管理模块获取用户的用户信息,并向容器引擎控制模块输出与所述用户信息匹配的可访问服务接口的列表;其中,所述容器引擎控制模块中提供有用于输入确认指令的输入接口,所述确认指令表征所述用户授权所述用户的Kubernetes集群访问所述列表中的服务接口;以及,在检测到所述容器引擎控制模块接收到所述输入接口输入所述确认指令的情况下,获取所述用户可访问服务接口的列表。在一个实施例中,所述列表中包括的可访问服务接口为:主机服务接口、网络服务接口、存储服务接口中的任意一个。在一个实施例中,所述密钥管理模块将所述临时访问密钥保存至所述用户的Kubernetes集群中,包括:密钥管理模块将所述临时访问密钥保存至所述用户的Kubernetes集群的资源对象中。在一个实施例中,所述资源对象为configmap或secrets。在一个实施例中,所述方法还包括:Kubernetes集群接收所述用户输入的资源操作命令,并根据接收到的所述资源操作命令,生成所述资源操作请求。在一个实施例中,所述方法还包括:在所述用户的Kubernetes集群满足扩缩容条件的情况下,所述用户的Kubernetes集群根据所述扩缩容条件对应的扩缩容策略生成所述资源操作请求。在一个实施例中,所述将包含有临时访问密钥的资源操作请求发送至资源管理系统,包括:所述用户的Kubernetes集群识别所述资源操作请求的所请求的资源类型;所述资源类型包括计算资源类、网络资源类、存储资源类;将包含有临时访问密钥的资源操作请求发送至资源管理系统的与所述资源类型对应的服务接口。根据本专利技术的第二方面,提供了一种容器集群访问权限的控制系统,包括:密钥管理模块,用于获取用户的用户信息和所述用户可访问服务接口的列表;每隔预定时间将所述用户信息和列表发送至认证模块;获取所述认证模块基于所述用户信息和列表生成的临时访问密钥;将所述临时访问密钥保存至所述用户的Kubernetes集群中,其中,所述用户的Kubernetes集群处于所述用户的虚拟私有云VPC网络环境中;所述用户的Kubernetes集群,用于在接收到资源操作请求时,将所述临时访问密钥添加至所述资源操作请求中,并将包含有临时访问密钥的资源操作请求发送至资源管理系统;其中,所述资源管理系统与所述用户的Kubernetes集群处于不同的虚拟私有云VPC网络环境。在一个实施例中,所述密钥管理模块,具体用于:提供用于输入确认指令的指令输入接口,其中,所述确认指令表征所述用户授权所述用户的Kubernetes集群访问所述列表中的服务接口;所述密钥管理模块在接收到通过所述指令输入接口输入的所述确认指令的情况下,获取用户的用户信息和所述用户可访问服务接口的列表。在本实施例中,密钥管理模块每隔预定时间将获取到的用户信息和列表发送至认证模块,以由认证模块基于用户信息和列表生成对应的临时访问密钥。密钥管理模块获取认证模块生成的临时访问密钥,并将临时访问密钥保存至用户的Kubernetes集群中。在用户的Kubernetes集群接收到资源操作请求时,Kubernetes集群将临时访问密钥添加至资源操作请求中,并将包含有临时访问密钥的资源操作请求发送至资源管理系统。这样,由于Kubernetes向资源管理系统发送的资源操作请求中包含有资源管理系统认可的临时访问密钥,因此,处于用户VPC网络环境中的Kubernetes集群拥有访问权限,可根据该访问权限与处于不同VPC的资源管理系统交互。同时,由于临时访问密钥具有有效期,即临时访问密钥定期作废并更新,因此,即使不法用户获取了用户的临时访问密钥,获取到的临时访问密钥也会作废,这使得不法用户丧失访问权限,而无法对资源管理系统中属于用户的资源进行访问,这避免了不法用户获取到用户的有效的访问权限,提高了资源管理系统中用户资源的安全性。另外,由于临时访问密钥是基于用户的用户信息生成的,因此,用户只可访问资源管理系统中属于自己的资源,而无法访问资源管理系统中其他租户的资源,这保证了资源管理系统中其他用户的资源的安全性。通本文档来自技高网...
【技术保护点】
1.一种容器集群访问权限的控制方法,其特征在于,包括:/n密钥管理模块获取用户的用户信息和所述用户可访问服务接口的列表;/n所述密钥管理模块每隔预定时间将所述用户信息和所述列表发送至认证模块;/n所述密钥管理模块获取所述认证模块基于所述用户信息和列表生成的临时访问密钥;/n所述密钥管理模块将所述临时访问密钥保存至所述用户的Kubernetes集群中,其中,所述用户的Kubernetes集群处于所述用户的虚拟私有云VPC网络环境中;/n在所述用户的Kubernetes集群接收到资源操作请求时,将所述临时访问密钥添加至所述资源操作请求中,并将包含有临时访问密钥的资源操作请求发送至资源管理系统;其中,所述资源管理系统与所述用户的Kubernetes集群处于不同的虚拟私有云VPC网络环境。/n
【技术特征摘要】
1.一种容器集群访问权限的控制方法,其特征在于,包括:
密钥管理模块获取用户的用户信息和所述用户可访问服务接口的列表;
所述密钥管理模块每隔预定时间将所述用户信息和所述列表发送至认证模块;
所述密钥管理模块获取所述认证模块基于所述用户信息和列表生成的临时访问密钥;
所述密钥管理模块将所述临时访问密钥保存至所述用户的Kubernetes集群中,其中,所述用户的Kubernetes集群处于所述用户的虚拟私有云VPC网络环境中;
在所述用户的Kubernetes集群接收到资源操作请求时,将所述临时访问密钥添加至所述资源操作请求中,并将包含有临时访问密钥的资源操作请求发送至资源管理系统;其中,所述资源管理系统与所述用户的Kubernetes集群处于不同的虚拟私有云VPC网络环境。
2.根据权利要求1所述的方法,其特征在于,所述密钥管理模块获取所述用户可访问服务接口的列表的步骤,包括:
所述密钥管理模块获取用户的用户信息,并向容器引擎控制模块输出与所述用户信息匹配的可访问服务接口的列表;其中,所述容器引擎控制模块中提供有用于输入确认指令的输入接口,所述确认指令表征所述用户授权所述用户的Kubernetes集群访问所述列表中的服务接口;以及,
在检测到所述容器引擎控制模块接收到所述输入接口输入所述确认指令的情况下,获取所述用户可访问服务接口的列表。
3.根据权利要求1所述的方法,其特征在于,所述列表中包括的可访问服务接口为:主机服务接口、网络服务接口、存储服务接口中的任意一个。
4.根据权利要求1所述的方法,其特征在于,所述密钥管理模块将所述临时访问密钥保存至所述用户的Kubernetes集群中,包括:
密钥管理模块将所述临时访问密钥保存至所述用户的Kubernetes集群的资源对象中。
5.根据权利要求4所述的方法,其特征在于,所述资源对象为configmap或secrets。
6.根据权利要求1所述的方...
【专利技术属性】
技术研发人员:赵琦,
申请(专利权)人:北京金山云网络技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。