本申請公開了訪問k8s方法、系統、設備及計算機可讀存儲介質，涉及k8s訪問，應用于k8s，獲取目標用戶對k8s的訪問信息；對目標用戶進行安全驗證，若驗證通過，則獲取存儲在k8s中的權限控制信息；基于權限控制信息確定目標用戶的訪問權限；按照訪問信息，基于訪問權限進行訪問操作，得到訪問結果。本申請中，k8s中預先存儲有權限控制信息，這樣，k8s只需基于權限控制信息便可以確定目標用戶的訪問權限，最后按照訪問信息，基于訪問權限進行訪問操作，便可以得到與權限控制信息相匹配的訪問結果，實現了k8s借助權限控制信息來安全處理用戶的訪問信息，此外，便于對k8s中的權限進行管控，便捷性好。

技術領域

本申請涉及k8s訪問技術領域，更具體地說，涉及一種訪問k8s方法、系統、設備及計算機可讀存儲介質。

背景技術

Kubernetes(簡稱k8s)是一個可移植、可擴展的開源平臺，用于管理容器化的工作負載和服務，方便進行聲明式配置和自動化。Kubernetes擁有一個龐大且快速增長的生態系統，其服務、支持和工具的使用范圍廣泛。

在生產環境中，大型公司根據自己的需要搭建私有云，對服務器等資源進行統一管理成為一種常見的方式，在這種方式下，往往將服務器搭建出k8s和容器環境，然后再納入云管平臺的統一管理，這種方式能夠滿足自動化的開發，運維需要。云管平臺云管平臺管理員將集群的所有資源分為多個VDC(虛擬數據中心)，并為每個實際的業務部門分配一個到多個VDC。普通用戶在VDC內創建應用，并可根據實際需要對VDC所需要的資源進行擴容或者所用。這種方式下在云管平臺云管平臺進行統一資源分發時，對普通用戶來說屏蔽掉復雜的底層操作,具有很高的易用性。但是當在系統發生錯誤時，由于云管平臺屏蔽掉了底層的具體信息，用戶沒有辦法直接接觸到底層的資源和報錯信息，難以對錯誤進行及時有效的處理；另外，對于一些專家用戶，其可能對于k8s十分精通，希望直接對k8s集群進行操作，云管平臺也難以滿足他們對底層資源的控制。

為了解決云管平臺無法為用戶提供標準k8s接口的能力，現有的解決方案是為用戶提供X509證書簽發的kubeconfig，但是X509證書沒有很好的注銷方案，當一個人離職之后沒有辦法注銷其證書，他就依然可以使用該證書訪問系統。目前有兩種解決方案但都不是很完善，一種是輪換證書，但是需要把所有的證書重新簽發一邊；一種是設置有效期，但是有效期過短需要頻繁的更換證書，過長則依然存在難以注銷的問題。

綜上所述，如何提高用戶訪問k8s的安全性及便捷性是目前本領域技術人員亟待解決的問題。

發明內容

本申請的目的是提供一種k8s訪問方法，其能在一定程度上解決如何提高用戶訪問k8s的安全性及便捷性的技術問題。本申請還提供了一種k8s訪問系統、電子設備及計算機可讀存儲介質。

為了實現上述目的，本申請提供如下技術方案：

一種訪問k8s方法，應用于k8s，包括：

獲取目標用戶對所述k8s的訪問信息；

對所述目標用戶進行安全驗證，若驗證通過，則獲取存儲在所述k8s中的權限控制信息；

基于所述權限控制信息確定所述目標用戶的訪問權限；

按照所述訪問信息，基于所述訪問權限進行訪問操作，得到訪問結果。

優選的，所述對所述目標用戶進行安全驗證，包括：

獲取所述目標用戶的id token；

獲取簽發所述id token的證書；

基于所述證書對所述id token的簽名字段進行解析，若解析正確則對所述idtoken的有效期進行驗證；

若所述id token有效，則解析所述id token得到用戶鑒權信息，并確定所述目標用戶通過所述安全驗證。