[發(fā)明專利]容器集群訪問權(quán)限的控制方法及系統(tǒng)有效
| 申請?zhí)枺?/td> | 202010171726.7 | 申請日: | 2020-03-12 |
| 公開(公告)號: | CN111404923B | 公開(公告)日: | 2022-07-19 |
| 發(fā)明(設(shè)計)人: | 趙琦 | 申請(專利權(quán))人: | 北京金山云網(wǎng)絡(luò)技術(shù)有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L12/46 |
| 代理公司: | 北京博遵律師事務(wù)所 11761 | 代理人: | 馬佑平 |
| 地址: | 100085 北京市*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 容器 集群 訪問 權(quán)限 控制 方法 系統(tǒng) | ||
本發(fā)明公開了一種容器集群訪問權(quán)限的控制方法及系統(tǒng)。其中,方法包括:密鑰管理模塊獲取用戶的用戶信息和用戶可訪問服務(wù)接口的列表,每隔預(yù)定時間將用戶信息和列表發(fā)送至認(rèn)證模塊,獲取認(rèn)證模塊基于用戶信息和列表生成的臨時訪問密鑰,將臨時訪問密鑰保存至用戶的Kubernetes集群中,用戶的Kubernetes集群處于用戶的VPC網(wǎng)絡(luò)環(huán)境中;在用戶的Kubernetes集群接收到資源操作請求時,將臨時訪問密鑰添加至資源操作請求中,并將包含有臨時訪問密鑰的資源操作請求發(fā)送至資源管理系統(tǒng);資源管理系統(tǒng)與用戶的Kubernetes集群處于不同的VPC網(wǎng)絡(luò)環(huán)境。本實施例中,處于用戶的VPC網(wǎng)絡(luò)環(huán)境的Kubernetes集群有訪問權(quán)限,可根據(jù)該訪問權(quán)限與資源管理系統(tǒng)交互,同時還可實現(xiàn)防止非法用戶獲取到用戶的訪問權(quán)限。
技術(shù)領(lǐng)域
本發(fā)明涉及通信技術(shù)領(lǐng)域,更具體地,涉及一種容器集群訪問權(quán)限的控制方法及一種容器集群訪問權(quán)限的控制系統(tǒng)。
背景技術(shù)
云計算是一種按使用量付費的商業(yè)模式。這種模式為用戶提供便捷、按需的網(wǎng)絡(luò)訪問和可配置的資源池(包括計算、存儲及網(wǎng)絡(luò)資源),用戶部署在資源池上的應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計算力、存儲空間和信息服務(wù)。
Kubernetes集群作為一種容器管理工具,包括主節(jié)點和分別與主節(jié)點通信連接的多個計算節(jié)點,其中,主節(jié)點用于管理和控制多個計算節(jié)點。
在云計算服務(wù)模式下,為了實現(xiàn)不同用戶之間的隔離,用戶創(chuàng)建的Kubernetes集群通常運行在用戶的VPC(Virtual Private Cloud,虛擬私有云)網(wǎng)絡(luò)環(huán)境內(nèi),而用戶的VPC網(wǎng)絡(luò)環(huán)境中的Kubernetes集群中的一些底層服務(wù),例如Cloud Provider,需要與云計算服務(wù)提供商的其他內(nèi)部系統(tǒng)(例如:資源管理系統(tǒng)OpenAPI)進行交互,以獲取容器和/或計算節(jié)點所需資源。而云計算服務(wù)提供商的其他內(nèi)部系統(tǒng)通常和用戶的Kubernetes集群處于不同的VPC網(wǎng)絡(luò)環(huán)境中。
且現(xiàn)有技術(shù)中,云計算服務(wù)提供商為了保護和控制資源,在每個用戶VPC網(wǎng)絡(luò)環(huán)境內(nèi)的容器引擎向資源管理系統(tǒng)OpenAPI發(fā)送訪問請求時,資源管理系統(tǒng)OpenAPI需要驗證該用戶的每個訪問請求的權(quán)限。因為不同的用戶都需要被資源管理系統(tǒng)OpenAPI驗證身份,因此,有些不法用戶如果在此環(huán)節(jié)設(shè)置非法流程將有可能盜取其他用戶的密鑰。
因此,如何能夠?qū)崿F(xiàn)處于用戶VPC網(wǎng)絡(luò)環(huán)境中的Kubernetes集群能夠與處于不同VPC的資源管理系統(tǒng)OpenAPI交互的同時,實現(xiàn)防止一個不法用戶獲取到用戶的訪問權(quán)限成為亟待解決的技術(shù)問題。
發(fā)明內(nèi)容
本發(fā)明的一個目的是提供一種用于控制容器集群訪問權(quán)限的新技術(shù)方案。
根據(jù)本發(fā)明的第一方面,提供了一種容器集群訪問權(quán)限的控制方法,包括:
密鑰管理模塊獲取用戶的用戶信息和所述用戶可訪問服務(wù)接口的列表;
所述密鑰管理模塊每隔預(yù)定時間將所述用戶信息和所述列表發(fā)送至認(rèn)證模塊;
所述密鑰管理模塊獲取所述認(rèn)證模塊基于所述用戶信息和列表生成的臨時訪問密鑰;
所述密鑰管理模塊將所述臨時訪問密鑰保存至所述用戶的Kubernetes集群中,其中,所述用戶的Kubernetes集群處于所述用戶的虛擬私有云VPC網(wǎng)絡(luò)環(huán)境中;
在所述用戶的Kubernetes集群接收到資源操作請求時,將所述臨時訪問密鑰添加至所述資源操作請求中,并將包含有臨時訪問密鑰的資源操作請求發(fā)送至資源管理系統(tǒng);其中,所述資源管理系統(tǒng)與所述用戶的Kubernetes集群處于不同的虛擬私有云VPC網(wǎng)絡(luò)環(huán)境。
在一個實施例中,所述密鑰管理模塊獲取所述用戶可訪問服務(wù)接口的列表的步驟,包括:
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京金山云網(wǎng)絡(luò)技術(shù)有限公司,未經(jīng)北京金山云網(wǎng)絡(luò)技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010171726.7/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 一種集群調(diào)度呼叫業(yè)務(wù)中主叫終端信息顯示方法
- 更新網(wǎng)絡(luò)流量管理設(shè)備同時維持有效性
- 與集群調(diào)度系統(tǒng)進行通信的方法、群集接入網(wǎng)關(guān)及系統(tǒng)
- 一種管理集群通信系統(tǒng)資源的方法
- 基于Kubernetes和OpenStack容器云平臺多集群構(gòu)建方法、介質(zhì)、設(shè)備
- 一種容災(zāi)系統(tǒng)、容災(zāi)處理方法、監(jiān)控節(jié)點和備份集群
- 一種ETCD集群恢復(fù)方法、系統(tǒng)、設(shè)備及計算機介質(zhì)
- 混合云場景下保證可用集群數(shù)量的方法、裝置及系統(tǒng)
- 一種集群拓撲更新方法、系統(tǒng)、設(shè)備及計算機存儲介質(zhì)
- 集群切換方法、集群切換裝置、電子設(shè)備及可讀存儲介質(zhì)
- 存儲器訪問調(diào)度裝置、調(diào)度方法與存儲器訪問控制系統(tǒng)
- 一種限制用戶訪問的方法和裝置
- 一種訪問信息提供方法及系統(tǒng)
- 數(shù)據(jù)訪問權(quán)限的控制方法及裝置
- 基于智能家居系統(tǒng)的訪問授權(quán)方法、裝置及設(shè)備
- 網(wǎng)站訪問請求的動態(tài)調(diào)度方法及裝置
- 基于訪問頻率的監(jiān)測方法、裝置、設(shè)備和計算機存儲介質(zhì)
- 訪問憑證驗證方法、裝置、計算機設(shè)備及存儲介質(zhì)
- 一種應(yīng)用訪問控制方法、系統(tǒng)和介質(zhì)
- 異常訪問行為的檢測方法、裝置、電子設(shè)備及存儲介質(zhì)
