本發(fā)明涉及容器鏡像領(lǐng)域，具體提供了一種基于容器鏡像權(quán)限細(xì)粒度分配方法，增加鏡像授權(quán)和鏡像共享功能，所述鏡像授權(quán)指主賬號(hào)將鏡像權(quán)限賦給了賬號(hào)，子賬號(hào)為管理權(quán)限時(shí)可同組其他子賬號(hào)授權(quán)；所述鏡像共享指主賬號(hào)將鏡像共享給平臺(tái)其它主賬號(hào)使用。與現(xiàn)有技術(shù)相比，本發(fā)明可以更好的滿足租戶的需求，面對(duì)租戶和團(tuán)隊(duì)多部門(mén)的協(xié)作以及資源鏡像更加安全。

技術(shù)領(lǐng)域

本發(fā)明涉及容器鏡像領(lǐng)域，具體提供一種基于容器鏡像權(quán)限細(xì)粒度分配方法。

背景技術(shù)

隨著容器技術(shù)的快速發(fā)展，基于容器技術(shù)搭建的公有云平臺(tái)在容器云的基礎(chǔ)上逐步實(shí)現(xiàn)了租戶側(cè)的功能需求的多元化，以提供給研發(fā)各團(tuán)隊(duì)?wèi)?yīng)用托管、應(yīng)用開(kāi)發(fā)和應(yīng)用運(yùn)維的能力，同時(shí)實(shí)現(xiàn)研發(fā)流水線鏡像一致性的同步機(jī)制，實(shí)現(xiàn)應(yīng)用的彈性伸縮，灰度發(fā)布、持續(xù)集成、程序交付的敏捷流程，實(shí)現(xiàn)運(yùn)維自動(dòng)化等能力。

但是隨著業(yè)務(wù)的不斷發(fā)展，現(xiàn)有基于云原生倉(cāng)庫(kù)的組件的設(shè)計(jì)難以滿租戶的需求，特別是面對(duì)多租戶和團(tuán)隊(duì)多部門(mén)的協(xié)作以及資源鏡像安全問(wèn)題。

發(fā)明內(nèi)容

本發(fā)明是針對(duì)上述現(xiàn)有技術(shù)的不足，提供一種實(shí)用性強(qiáng)的基于容器鏡像權(quán)限細(xì)粒度分配方法。

本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是：

一種基于容器鏡像權(quán)限細(xì)粒度分配方法，增加鏡像授權(quán)和鏡像共享功能，所述鏡像授權(quán)指主賬號(hào)將鏡像權(quán)限賦給了賬號(hào)，子賬號(hào)為管理權(quán)限時(shí)可同組其他子賬號(hào)授權(quán)；

所述鏡像共享指主賬號(hào)將鏡像共享給平臺(tái)其它主賬號(hào)使用。

進(jìn)一步的，所述鏡像授權(quán)的流程為：

選擇鏡像到選擇用戶到選擇權(quán)限到確認(rèn)授權(quán)到查看權(quán)限，最后至修改權(quán)限，修改權(quán)限后至選擇用戶后重新開(kāi)始；

在查看權(quán)限中也可刪除權(quán)限。

進(jìn)一步的，所述鏡像共享的流程為：

選擇鏡像到設(shè)置共享用戶賬號(hào)到設(shè)置有效期是否永久有效到輸入備注信息到設(shè)置共享權(quán)限到確認(rèn)之后進(jìn)行查詢和刪除，在進(jìn)行查詢中進(jìn)行修改，修改后從設(shè)置共享用戶賬號(hào)重新開(kāi)始。

作為優(yōu)選，在子賬號(hào)鏡像中權(quán)限級(jí)別不能低于項(xiàng)目權(quán)限級(jí)別。

進(jìn)一步的，cir服務(wù)端提供tokenApi接口，數(shù)據(jù)庫(kù)增加鏡像用戶授權(quán)關(guān)系表，docker客戶端請(qǐng)求到registry,得到token地址后再對(duì)token服務(wù)發(fā)送請(qǐng)求，token服務(wù)會(huì)根據(jù)鏡像信息和用戶信息來(lái)驗(yàn)證該鏡像是否有相應(yīng)的權(quán)限，

如果有權(quán)限就將鏡像信息和push和pull操作進(jìn)行編碼，生成token返回給docker客戶端，docker客戶端根據(jù)token再對(duì)registry發(fā)出請(qǐng)求進(jìn)行鏡像push和pull操作。

進(jìn)一步的，賬號(hào)下設(shè)兩個(gè)子用戶user1和user2，ser1把自己的鏡像project/test授權(quán)給user2使用；

其中，鏡像權(quán)限小于等于權(quán)限，不允許將多個(gè)子用戶的公有項(xiàng)目下面的鏡像彼此授權(quán)。

進(jìn)一步的，基于cir-api項(xiàng)目：

取的user1對(duì)project/test的權(quán)限信息，user1對(duì)鏡像project/test的權(quán)限進(jìn)行判定，編輯訪客權(quán)限，若不能授權(quán)，則授權(quán)失??；

對(duì)于管理權(quán)限，user2對(duì)project的項(xiàng)目權(quán)限判定，若未賦過(guò)權(quán)限，則添加user2對(duì)project的項(xiàng)目權(quán)限；已賦過(guò)權(quán)限，則添加user2對(duì)project/test權(quán)限。

進(jìn)一步的，基于修改harbor：

獲取user1對(duì)project/test的權(quán)限信息，user1對(duì)鏡像project/test的權(quán)限進(jìn)行判定，編輯訪客權(quán)限，若不能授權(quán)，則授權(quán)失敗；