本發明特別涉及一種容器服務用戶認證方法。該容器服務用戶認證方法，用戶訪問keycloak集群換取令牌token；將令牌token放在頁眉header中，訪問容器服務后臺應用程序編程接口API；容器服務對用戶進行認證，若未能通過認證則拒絕用戶訪問；配置相關集群，對用戶進行認證并限制可訪問APIServer資源。該容器服務用戶認證方法，不僅可以有效的對容器服務的訪問權限進行管理，管理用戶可訪問的后臺API，還能夠管理用戶可訪問的kubernetes集群內部資源，進而保障了數據安全。

技術領域

本發明涉及容器服務用戶認證技術領域，特別涉及一種容器服務用戶認證方法。

背景技術

kubernetes，簡稱K8s，是用8代替8個字符“ubernete”而成的縮寫。是一個開源的，用于管理云平臺中多個主機上的容器化的應用。Kubernetes的目標是讓部署容器化的應用簡單并且高效(powerful)，Kubernetes提供了應用部署，規劃，更新，維護的一種機制。

傳統的應用部署方式是通過插件或腳本來安裝應用。這樣做的缺點是應用的運行、配置、管理、所有生存周期將與當前操作系統綁定，這樣做并不利于應用的升級更新/回滾等操作，當然也可以通過創建虛擬機的方式來實現某些功能，但是虛擬機非常重，并不利于可移植性。

新的方式是通過部署容器方式實現，每個容器之間互相隔離，每個容器有自己的文件系統，容器之間進程不會相互影響，能區分計算資源。相對于虛擬機，容器能快速部署，由于容器與底層設施、機器文件系統解耦的，所以它能在不同云、不同版本操作系統間進行遷移。

容器占用資源少、部署快，每個應用可以被打包成一個容器鏡像，每個應用與容器間成一對一關系也使容器有更大優勢。使用容器可以在build或release的階段，為應用創建容器鏡像，因為每個應用不需要與其余的應用堆棧組合，也不依賴于生產環境基礎結構，這使得從研發到測試、生產能提供一致環境。類似地，容器比虛擬機輕量、更“透明”，這更便于監控和管理。

kubernetes是一個先進的容器編排系統，而容器服務具備創建刪除kubernetes集群等集群管理功能。作為一個針對應用訪問的開源的系統，keycloak具有以下核心概念：

a)users：可以登陸系統的實體，可以擁有一些相關屬性；

b)groups：一個組的用戶；

c)realms：域，realm下有一批用戶，各個域之間是相互獨立的，只能管理自己下面的用戶；

d)clients：客戶端，client可以請求keycloak對用戶進行認證，也可以作為應用或者服務請求認證；

e)roles：角色，可以賦給用戶；

f)user role mapping：用戶與角色的映射關系，決定用戶的訪問資源權限。

近些年來，隨著云計算、云服務的發展，容器技術得到了較為廣泛的應用，而作為先進的容器編排系統，kubernetes也得到了越來越多的重視，而容器服務中對于用戶的認證與權限設置則成為了一個重要的問題。

基于此，本發明提出了一種容器服務用戶認證方法，基于keycloak實現了容器服務的用戶認證，與相關權限設置。

發明內容

本發明為了彌補現有技術的缺陷，提供了一種簡單高效的容器服務用戶認證方法。

本發明是通過如下技術方案實現的：

一種容器服務用戶認證方法，其特征在于，包括以下步驟：

A)用戶訪問keycloak集群換取令牌token；