【技术实现步骤摘要】
本申请涉及数据处理,尤其涉及一种基于k8s搭建的容器云平台的授权方法、装置及设备。
技术介绍
1、kubernetes简称k8s,是一个开源的用于管理云平台中多个主机上的容器化的应用,k8s的目标是让部署容器化的应用简单并且高效,k8s提供了应用部署,规划,更新,维护等功能。利用k8s能自动化管理容器化的工作负载和服务,解决多主机间容器的管理问题。目前原生的k8s无法提供多集群管理,仅能够对单个集群进行权限管理,以保证集群的安全性。然而,目前k8s存在大量的多集群使用需求,当通过多集群管理平台进行多集群管理时,无法对多个集群访问和资源操作进行权限管理,存在安全风险。
2、因此,如何对基于k8s搭建的容器云平台的多个集群的访问和资源操作进行权限管理是亟需解决的问题。
技术实现思路
1、本申请提供一种基于k8s搭建的容器云平台的授权方法、装置及设备,用以解决如何对基于k8s搭建的容器云平台的多个集群的访问和资源操作进行权限管理的技术问题。
2、第一方面,本申请提供一种基于k8s搭建的容器云平台的授权方法,所述容器云平台包括至少两个集群,所述方法包括:
3、获取待授权的第一用户的标识,以及,所述第一用户的资源授权信息;所述资源授权信息包括集群标识、命名空间标识、以及、资源操作类型集合;
4、根据所述第一用户的标识、所述集群标识、所述命名空间标识、以及、所述资源操作类型集合,确定所述第一用户的第一授权自定义资源;
5、根据所述第一
6、可选的,所述根据所述第一用户的标识、所述集群标识、所述命名空间标识、以及、所述资源操作类型集合,确定所述第一用户的第一授权自定义资源,包括:
7、获取预设资源操作配置资源集合,每个预设资源操作配置资源中包括至少一个资源操作类型集合;
8、判断所述预设资源操作配置资源集合中是否包括与所述资源操作类型集合对应的目标预设资源操作配置资源;
9、若包括,则获取所述目标预设资源操作配置资源的标识;
10、根据所述第一用户的标识、所述集群标识、所述命名空间标识、以及、所述目标预设资源操作配置资源的标识,确定所述第一用户的第一授权自定义资源。
11、可选的,若所述预设资源操作配置资源集合中不包括与所述资源操作类型集合对应的目标预设资源操作配置资源,包括:
12、根据所述资源操作类型集合,确定所述资源操作的目标资源对象;
13、根据所述集群标识、所述资源操作类型集合、所述目标资源对象,获取第二授权自定义资源;
14、根据所述第二授权自定义资源,新建所述目标预设资源操作配置资源。
15、可选的,若所述预设资源操作配置资源集合中不包括与所述资源操作类型集合对应的目标预设资源操作配置资源,包括:
16、获取所述资源操作类型集合中包括的目标资源操作类型;
17、根据所述目标资源操作类型,以及,所述预设资源操作配置资源集合,确定与所述目标资源操作类型对应的目标预设资源操作配置资源。
18、可选的,还包括:
19、获取第二用户的资源操作请求,所述资源操作请求中包括所述第二用户的用户证书、资源操作对象、资源操作类型;
20、根据所述第二用户的用户证书,对所述第二用户进行鉴权;
21、若所述用户证书鉴权通过,则根据所述第二用户的用户证书中包括的第二用户的标识,确定所述第二用户的资源操作权限信息;
22、根据所述资源操作对象、资源操作类型、以及、所述第二用户的资源操作权限信息,对所述资源操作请求进行鉴权;
23、若所述资源操作鉴权通过,则根据所述资源操作对象,将所述资源操作请求代理至所述资源操作对象所在的集群进行资源操作。
24、可选的,在所述根据所述资源操作对象,将所述资源操作请求代理至所述资源操作对象所在的集群进行资源操作之前,还包括:
25、从所述资源操作请求中获取集群操作类型,所述集群操作类型包括单集群操作、多集群操作;
26、若所述集群操作类型为单集群操作,则将所述资源操作请求代理至单集群控制组件,以对第一目标集群进行资源操作;
27、若所述集群操作类型为多集群操作,则将所述资源操作请求代理至多集群控制组件,以对多个第二目标集群进行资源操作。
28、可选的,还包括:
29、记录所述用户证书鉴权的结果、和/或、所述资源操作鉴权的结果,以及,所述第二用户的资源操作;
30、若所述用户证书鉴权失败、或、所述资源操作鉴权失败、或、所述第二用户的资源操作存在异常操作事件,则输出告警信息。
31、第二方面,本申请提供一种基于k8s搭建的容器云平台的授权装置,所述容器云平台包括至少两个集群,所述装置包括:
32、获取模块,用于获取待授权的第一用户的标识,以及,所述第一用户的资源授权信息;所述资源授权信息包括集群标识、命名空间标识、以及、资源操作类型集合;
33、处理模块,用于根据所述第一用户的标识、所述集群标识、所述命名空间标识、以及、所述资源操作类型集合,确定所述第一用户的第一授权自定义资源;
34、控制模块,用于根据所述第一授权自定义资源授权所述第一用户的资源操作权限,并存储所述资源操作权限信息。
35、第三方面,本申请提供一种电子设备,包括:处理器、通信接口,以及存储器;所述处理器分别与所述通信接口和所述存储器通信连接;
36、所述存储器存储计算机执行指令;
37、所述通信接口与外部设备进行通信交互;
38、所述处理器执行所述存储器存储的计算机执行指令,以实现如第一方面中任一项所述的方法。
39、第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如第一方面中任一项所述的基于k8s搭建的容器云平台的授权方法。
40、第五方面,本申请提供一种计算机程序产品,所述计算机程序产品被处理器执行时用于实现如第一方面中任一项所述的基于k8s搭建的容器云平台的授权方法。
41、本申请提供的基于k8s搭建的容器云平台的授权方法、装置及设备,通过获取待授权的第一用户的标识,以及,该第一用户的资源授权信息,根据第一用户的标识、集群标识、命名空间标识、以及、资源操作类型集合,确定该第一用户的第一授权自定义资源,根据第一授权自定义资源授权第一用户的资源操作权限,并存储资源操作权限信息,实现了对基于k8s的容器云平台的多集群管理平台对用户的访问和资源操作权限进行限制的功能,从而提高了容器云平台的安全性。
本文档来自技高网...【技术保护点】
1.一种基于k8s搭建的容器云平台的授权方法,其特征在于,所述容器云平台包括至少两个集群,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一用户的标识、所述集群标识、所述命名空间标识、以及、所述资源操作类型集合,确定所述第一用户的第一授权自定义资源,包括:
3.根据权利要求2所述的方法,其特征在于,若所述预设资源操作配置资源集合中不包括与所述资源操作类型集合对应的目标预设资源操作配置资源,包括:
4.根据权利要求2所述的方法,其特征在于,若所述预设资源操作配置资源集合中不包括与所述资源操作类型集合对应的目标预设资源操作配置资源,包括:
5.根据权利要求1-4任一项所述的方法,其特征在于,还包括:
6.根据权利要求5所述的方法,其特征在于,在所述根据所述资源操作对象,将所述资源操作请求代理至所述资源操作对象所在的集群进行资源操作之前,还包括:
7.根据权利要求6所述的方法,其特征在于,还包括:
8.一种基于k8s搭建的容器云平台的授权装置,其特征在于,所述容器云平台包括至少两
9.一种电子设备,其特征在于,包括:处理器,通信接口以及存储器,所述处理器分别与所述通信接口和所述存储器通信连接;
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质中存储有计算机执行指令,该计算机执行指令被处理器执行时用于实现如权利要求1至7任一项该的方法。
...【技术特征摘要】
1.一种基于k8s搭建的容器云平台的授权方法,其特征在于,所述容器云平台包括至少两个集群,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一用户的标识、所述集群标识、所述命名空间标识、以及、所述资源操作类型集合,确定所述第一用户的第一授权自定义资源,包括:
3.根据权利要求2所述的方法,其特征在于,若所述预设资源操作配置资源集合中不包括与所述资源操作类型集合对应的目标预设资源操作配置资源,包括:
4.根据权利要求2所述的方法,其特征在于,若所述预设资源操作配置资源集合中不包括与所述资源操作类型集合对应的目标预设资源操作配置资源,包括:
5.根据权利要求1-4任一项所述的方法,其特...
【专利技术属性】
技术研发人员:龚庆祥,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。