本申請涉及一種對租戶訪問容器實例的權限的控制方法和裝置，應用于容器集群中的容器管理平臺，其中，容器集群還包括多個容器實例，多個容器實例屬于至少兩個不同的租戶，不同租戶的容器實例部署在不同的網絡空間中以彼此隔離，該方法包括：接收目標租戶的容器創建請求；為目標租戶在容器集群中創建目標用戶帳戶；創建目標用戶賬戶對應的認證證書；生成目標用戶帳戶對應的目標配置文件，其中，目標配置文件用于使用容器管理平臺提供的管理工具對目標租戶在容器集群中創建的容器實例進行操作，目標配置文件中記錄了目標租戶和認證證書的證書信息。本申請解決了相關技術中租戶對容器實例進行訪問和管理的靈活性較差的技術問題。

技術領域

本申請涉及計算機領域，尤其涉及一種對租戶訪問容器實例的權限的控制方法和裝置。

背景技術

在公有云計算場景中，傳統的，容器服務是以容器集群為單位向租戶提供，容器集群包含容器管理平臺。租戶可以基于容器管理平臺(例如kubernetes)生態的各種工具(例如kubectl客戶端，kubernetes client library等)，創建容器實例，在容器實例中部署自己的應用程序，并根據需要對容器實例進行增刪改查等管理操作。在這種場景下，不同租戶之間的網絡隔離策略是集群級別的，即一個租戶只能訪問自己的容器集群，不能訪問別的租戶的容器集群，而同一個租戶的容器集群中，各個容器實例彼此之前無需隔離。

現有一種新的提供容器服務的方式，不再以容器集群為單位，而是以單個容器實例為單位向租戶提供服務。相對于傳統方式，新方式能夠使得租戶無需維護容器管理平臺，而是不同的租戶的容器實例均在同一個容器集群內，由云計算廠商來維護一個統一的容器管理平臺。在這種場景下，不同租戶之間的網絡隔離策略是容器實例級別的(即租戶只能訪問自己的容器實例，而不能訪問別的租戶的容器實例)，因此在租戶訪問容器實例時，需要對租戶的權限進行控制。

在新場景下，相關技術中的權限控制方案為：通過控制臺或封裝openAPI進行訪問控制管理。具體為：對容器管理平臺的操作接口二次封裝為OpenAPI，租戶調用OpenAPI來實現對容器實例的訪問，在openAPI側進行對租戶權限的管理控制。但是這種方式會導致租戶不能利用容器管理平臺生態中的各種工具來管理容器實例，只能通過二次封裝后的OpenAPI，導致租戶對容器實例進行訪問和管理的靈活性較差。

發明內容

本申請提供了一種對租戶訪問容器實例的權限的控制方法和裝置，以至少解決相關技術中租戶對容器實例進行訪問和管理的靈活性較差的技術問題。

根據本申請實施例的一個方面，提供了一種對租戶訪問容器實例的權限的控制方法，應用于容器集群中的容器管理平臺，其中，所述容器集群還包括多個容器實例，所述多個容器實例屬于至少兩個不同的租戶，不同租戶的容器實例部署在不同的網絡空間中以彼此隔離，所述方法包括：

接收目標租戶的容器創建請求，其中，所述容器創建請求用于請求在容器集群中創建容器實例；

為所述目標租戶在所述容器集群中創建目標用戶帳戶，其中，所述目標用戶賬戶指定了所述目標租戶在所述容器集群中的目標訪問權限；

創建所述目標用戶賬戶對應的認證證書，其中，所述認證證書用于對所述目標租戶的身份進行認證；

生成所述目標用戶帳戶對應的目標配置文件，其中，所述目標配置文件用于使用所述容器管理平臺提供的管理工具對所述目標租戶在所述容器集群中創建的容器實例進行操作，所述目標配置文件中記錄了所述目標租戶和所述認證證書的證書信息。

可選地，為所述目標租戶在所述容器集群中創建目標用戶帳戶包括：

在所述容器集群中為所述目標租戶創建目標命名空間，其中，所述目標命名空間用于創建所述目標租戶的容器實例；

獲取所述目標租戶對應的所述目標訪問權限，其中，所述目標訪問權限用于指示允許所述目標租戶訪問所述目標命名空間以及允許所述目標租戶訪問的資源；