CN106845183A - 一种应用容器引擎管理方法及系统 - Google Patents
一种应用容器引擎管理方法及系统 Download PDFInfo
- Publication number
- CN106845183A CN106845183A CN201710054703.6A CN201710054703A CN106845183A CN 106845183 A CN106845183 A CN 106845183A CN 201710054703 A CN201710054703 A CN 201710054703A CN 106845183 A CN106845183 A CN 106845183A
- Authority
- CN
- China
- Prior art keywords
- user
- application container
- container engine
- grade
- operating right
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种应用容器引擎管理方法及系统,包括:在接收到应用容器引擎客户端发送的用户登录请求时,根据所述用户的登录信息识别所述用户的等级;在接收到所述应用容器引擎客户端发送的用户操作指令时,根据所述用户的等级,为所述用户提供与其等级相匹配的应用容器操作权限。本发明应用容器引擎管理方法及系统,对用户划分不同等级,并针对不同等级用户设置不同的操作权限,根据登录用户的等级,为登录用户提供相应的应用容器操作权限,因此并不是每一用户具有所有的操作权限。与现有方法相比可提高应用容器引擎使用的安全性。
Description
技术领域
本发明涉及软件应用开发技术领域,特别是涉及一种应用容器引擎管理方法及系统。
背景技术
Docker是一种开源的应用容器引擎,现有技术中,其操作用户的管理方式是类root权限用户,即操作用户具有系统的所有权限,进行相关操作。但这种管理方式存在如下缺陷:若某一用户使用不当,会对其它容器甚至主机安全造成威胁;又或者,若某一用户对镜像库安全性能不了解,拉取了有病毒镜像,会直接威胁到Docker使用,甚至造成主机信息的泄露或者系统崩溃。可见,现有应用容器引擎对操作用户的管理方式使应用容器引擎的安全性低。
发明内容
本发明的目的是提供一种应用容器引擎管理方法及系统,与现有技术相比,可提高应用容器引擎使用的安全性。
为实现上述目的,本发明提供如下技术方案:
一种应用容器引擎管理方法,包括:
在接收到应用容器引擎客户端发送的用户登录请求时,根据所述用户的登录信息识别所述用户的等级;
在接收到所述应用容器引擎客户端发送的用户操作指令时,根据所述用户的等级,为所述用户提供与其等级相匹配的应用容器操作权限。
可选地,用户的等级分为第一等级用户、第二等级用户和第三等级用户,第一等级用户、第二等级用户和第三等级用户的操作权限范围依次减小。
可选地,所述第一等级用户的操作权限为:可操作系统内的所有容器;
所述第二等级用户的操作权限为:可操作非特权的容器;
所述第三等级用户的操作权限为:可开启或者停止容器。
可选地,通过统一接口接收各应用容器引擎客户端发送的用户登录请求以及用户操作指令。
可选地,还包括:设定用户的等级,并相应设置该用户的应用容器操作权限。
一种应用容器引擎管理系统,包括:
登录模块,用于在接收到应用容器引擎客户端发送的用户登录请求时,根据所述用户的登录信息识别所述用户的等级;
权限管理模块,用于在接收到所述应用容器引擎客户端发送的用户操作指令时,根据所述用户的等级,为所述用户提供与其等级相匹配的应用容器操作权限。
可选地,用户的等级分为第一等级用户、第二等级用户和第三等级用户,第一等级用户、第二等级用户和第三等级用户的操作权限范围依次减小。
可选地,所述第一等级用户的操作权限为:可操作系统内的所有容器;
所述第二等级用户的操作权限为:可操作非特权的容器;
所述第三等级用户的操作权限为:可开启或者停止容器。
可选地,还包括接口,通过所述接口接收各应用容器引擎客户端发送的用户登录请求以及用户操作指令。
可选地,还包括:
用户权限设定模块,用于设定用户的等级,并相应设置该用户的应用容器操作权限。
由上述技术方案可知,本发明所提供的应用容器引擎管理方法及系统,在接收到应用容器引擎客户端发送的用户登录请求时,根据用户的登录信息识别所述用户的等级;应用容器引擎客户端发送用户的操作指令,在接收到所述应用容器引擎客户端发送的用户操作指令时,根据所述用户的等级,为所述用户提供与其等级相匹配的应用容器操作权限。
本发明应用容器引擎管理方法及系统,对用户划分不同等级,并针对不同等级用户设置不同的操作权限,根据登录用户的等级,为登录用户提供相应的应用容器操作权限,因此并不是每一用户具有所有的操作权限。与现有方法相比可提高应用容器引擎使用的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种应用容器引擎管理方法的示意图;
图2为本发明实施例提供的一种应用容器引擎管理系统的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
请参考图1,本发明实施例提供的一种应用容器引擎管理方法,包括步骤:
S10::在接收到应用容器引擎客户端发送的用户登录请求时,根据所述用户的登录信息识别所述用户的等级。
本方法中,将应用容器引擎操作用户划分管理等级。用户在通过应用容器引擎(Docker)客户端登录应用容器引擎(Docker)服务器进行操作时,通过客户端向应用容器引擎服务器发送登录请求,根据用户的登录信息识别出所述用户的等级。
将应用容器引擎操作用户划分多个不同管理等级,各等级具有不同的操作权限范围,用户等级的数量可以灵活设置。示例性的,在一种具体实施方式中,可以将用户的等级分为第一等级用户、第二等级用户和第三等级用户,其中第一等级用户、第二等级用户和第三等级用户的操作权限范围依次减小。
S11:在接收到所述应用容器引擎客户端发送的用户操作指令时,根据所述用户的等级,为所述用户提供与其等级相匹配的应用容器操作权限。
用户登录后,在应用容器引擎中进行操作时,通过客户端向服务器发送操作指令。在接收到用户的操作指令时根据所述用户的等级,为所述用户提供与其等级相匹配的应用容器操作权限,所述用户只能进行其权限范围内的操作,对于其权限范围外的操作不能进行。
示例性的,若将用户的等级划分为第一等级用户、第二等级用户和第三等级用户,可设置第一等级用户的操作权限为:可操作系统内的所有容器;所述第二等级用户的操作权限为:可操作非特权的容器;所述第三等级用户的操作权限为:可开启或者停止容器。
对于第一等级用户,可认为是超级管理员,可运行所有容器,包括对容器的创建、删除以及开启运行或者停止运行等操作,并且赋予容器最大的权限。对于第二等级用户,可认为是一般管理员,可创建非特权容器,对非特权容器进行创建、删除以及开启运行或者停止运行等操作。对于第三等级用户,可认为是普通管理员,只能对容器进行开启运行、停止运行等操作。
另外,本实施例应用容器引擎管理方法中,通过统一接口接收各应用容器引擎客户端发送的用户登录请求以及用户操作指令。
进一步的,本实施例方法,还包括:设定用户的等级,并相应设置该用户的应用容器操作权限。操作用户在进行注册时,可设定等级,并相应设置操作权限。
可以看出,本实施例应用容器引擎管理方法,对用户划分不同等级,并针对不同等级用户设置不同的操作权限,根据登录用户的等级,为登录用户提供相应的应用容器操作权限,因此并不是每一用户具有所有的操作权限。与现有方法相比可提高应用容器引擎使用的安全性。
现有技术中,在应用容器引擎应用中,有通过禁止非root权限用户的/run/docker、socket接口的访问来加强安全性,但是这种方式首先管理不够灵活,缺乏安全性。而本实施例应用容器引擎管理方法通过对用户的分层授权管理,实现了应用容器引擎使用的灵活安全管理,提升管理的灵活性,提高管理系统的安全性。
相应的,请参考图2,本发明实施例还提供一种应用容器引擎管理系统,包括:
登录模块20,用于在接收到应用容器引擎客户端发送的用户登录请求时,根据所述用户的登录信息识别所述用户的等级;
权限管理模块21,用于在接收到所述应用容器引擎客户端发送的用户操作指令时,根据所述用户的等级,为所述用户提供与其等级相匹配的应用容器操作权限。
本实施例应用容器引擎管理系统,包括登录模块和权限管理模块,在接收到应用容器引擎客户端发送的用户登录请求时,根据用户的登录信息识别所述用户的等级;应用容器引擎客户端发送用户的操作指令,在接收到所述应用容器引擎客户端发送的用户操作指令时,根据所述用户的等级,为所述用户提供与其等级相匹配的应用容器操作权限。
本实施例应用容器引擎管理系统,对用户划分不同等级,并针对不同等级用户设置不同的操作权限,根据登录用户的等级,为登录用户提供相应的应用容器操作权限,因此并不是每一用户具有所有的操作权限。与现有方法相比可提高应用容器引擎使用的安全性。
本实施例应用容器引擎管理系统中,将应用容器引擎操作用户划分管理等级。用户在通过应用容器引擎(Docker)客户端登录应用容器引擎(Docker)服务器进行操作时,通过客户端向应用容器引擎服务器发送登录请求,通过登录模块20根据用户的登录信息识别出所述用户的等级。
将应用容器引擎操作用户划分多个不同管理等级,各等级具有不同的操作权限范围,用户等级的数量可以灵活设置。示例性的,在一种具体实施方式中,可以将用户的等级分为第一等级用户、第二等级用户和第三等级用户,其中第一等级用户、第二等级用户和第三等级用户的操作权限范围依次减小。
用户登录后,在应用容器引擎中进行操作时,通过客户端向服务器发送操作指令。权限管理模块21在接收到用户的操作指令时根据所述用户的等级,为所述用户提供与其等级相匹配的应用容器操作权限,所述用户只能进行其权限范围内的操作,对于其权限范围外的操作不能进行。
示例性的,若将用户的等级划分为第一等级用户、第二等级用户和第三等级用户,可设置第一等级用户的操作权限为:可操作系统内的所有容器;所述第二等级用户的操作权限为:可操作非特权的容器;所述第三等级用户的操作权限为:可开启或者停止容器。
本实施例系统中,还包括接口,通过所述接口接收各应用容器引擎客户端发送的用户登录请求以及用户操作指令。
进一步的,本实施例系统还包括用户权限设定模块,用于设定用户的等级,并相应设置该用户的应用容器操作权限。操作用户可通过用户权限设定模块设定等级,并相应设置操作权限。
以上对本发明所提供的一种应用容器引擎管理方法及系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种应用容器引擎管理方法,其特征在于,包括:
在接收到应用容器引擎客户端发送的用户登录请求时,根据所述用户的登录信息识别所述用户的等级;
在接收到所述应用容器引擎客户端发送的用户操作指令时,根据所述用户的等级,为所述用户提供与其等级相匹配的应用容器操作权限。
2.根据权利要求1所述的应用容器引擎管理方法,其特征在于,用户的等级分为第一等级用户、第二等级用户和第三等级用户,第一等级用户、第二等级用户和第三等级用户的操作权限范围依次减小。
3.根据权利要求2所述的应用容器引擎管理方法,其特征在于,
所述第一等级用户的操作权限为:可操作系统内的所有容器;
所述第二等级用户的操作权限为:可操作非特权的容器;
所述第三等级用户的操作权限为:可开启或者停止容器。
4.根据权利要求1-3任一项所述的应用容器引擎管理方法,其特征在于,通过统一接口接收各应用容器引擎客户端发送的用户登录请求以及用户操作指令。
5.根据权利要求1-3任一项所述的应用容器引擎管理方法,其特征在于,还包括:设定用户的等级,并相应设置该用户的应用容器操作权限。
6.一种应用容器引擎管理系统,其特征在于,包括:
登录模块,用于在接收到应用容器引擎客户端发送的用户登录请求时,根据所述用户的登录信息识别所述用户的等级;
权限管理模块,用于在接收到所述应用容器引擎客户端发送的用户操作指令时,根据所述用户的等级,为所述用户提供与其等级相匹配的应用容器操作权限。
7.根据权利要求6所述的应用容器引擎管理系统,其特征在于,用户的等级分为第一等级用户、第二等级用户和第三等级用户,第一等级用户、第二等级用户和第三等级用户的操作权限范围依次减小。
8.根据权利要求7所述的应用容器引擎管理系统,其特征在于,
所述第一等级用户的操作权限为:可操作系统内的所有容器;
所述第二等级用户的操作权限为:可操作非特权的容器;
所述第三等级用户的操作权限为:可开启或者停止容器。
9.根据权利要求6-8任一项所述的应用容器引擎管理系统,其特征在于,还包括接口,通过所述接口接收各应用容器引擎客户端发送的用户登录请求以及用户操作指令。
10.根据权利要求6-8任一项所述的应用容器引擎管理系统,其特征在于,还包括:
用户权限设定模块,用于设定用户的等级,并相应设置该用户的应用容器操作权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710054703.6A CN106845183A (zh) | 2017-01-24 | 2017-01-24 | 一种应用容器引擎管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710054703.6A CN106845183A (zh) | 2017-01-24 | 2017-01-24 | 一种应用容器引擎管理方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106845183A true CN106845183A (zh) | 2017-06-13 |
Family
ID=59119819
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710054703.6A Pending CN106845183A (zh) | 2017-01-24 | 2017-01-24 | 一种应用容器引擎管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106845183A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107766707A (zh) * | 2017-10-16 | 2018-03-06 | 郑州云海信息技术有限公司 | 在应用容器引擎中响应用户请求的方法和装置 |
| WO2018077169A1 (zh) * | 2016-10-31 | 2018-05-03 | 中兴通讯股份有限公司 | 镜像仓库授权、访问、管理方法、服务器和客户端 |
| CN110134494A (zh) * | 2019-05-17 | 2019-08-16 | 四川长虹电器股份有限公司 | 一种基于Docker容器的容器自动化管理方法 |
| CN110784446A (zh) * | 2019-09-18 | 2020-02-11 | 平安科技(深圳)有限公司 | 基于用户权限的云资源获取方法、装置及计算机设备 |
| CN112751679A (zh) * | 2019-10-30 | 2021-05-04 | 腾讯科技(深圳)有限公司 | 即时通讯消息处理方法、终端及服务器 |
| WO2023103992A1 (zh) * | 2021-12-07 | 2023-06-15 | 中兴通讯股份有限公司 | 容器运行方法、装置、电子设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101178757A (zh) * | 2007-11-23 | 2008-05-14 | 珠海博睿科技有限公司 | 一种权限管理的方法及装置 |
| CN105160269A (zh) * | 2015-08-13 | 2015-12-16 | 浪潮电子信息产业股份有限公司 | 一种Docker容器内数据的访问方法及装置 |
| CN106293875A (zh) * | 2016-08-04 | 2017-01-04 | 中国联合网络通信集团有限公司 | 一种Docker容器的创建方法和创建系统 |
-
2017
- 2017-01-24 CN CN201710054703.6A patent/CN106845183A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101178757A (zh) * | 2007-11-23 | 2008-05-14 | 珠海博睿科技有限公司 | 一种权限管理的方法及装置 |
| CN105160269A (zh) * | 2015-08-13 | 2015-12-16 | 浪潮电子信息产业股份有限公司 | 一种Docker容器内数据的访问方法及装置 |
| CN106293875A (zh) * | 2016-08-04 | 2017-01-04 | 中国联合网络通信集团有限公司 | 一种Docker容器的创建方法和创建系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018077169A1 (zh) * | 2016-10-31 | 2018-05-03 | 中兴通讯股份有限公司 | 镜像仓库授权、访问、管理方法、服务器和客户端 |
| CN107766707A (zh) * | 2017-10-16 | 2018-03-06 | 郑州云海信息技术有限公司 | 在应用容器引擎中响应用户请求的方法和装置 |
| CN107766707B (zh) * | 2017-10-16 | 2020-02-04 | 苏州浪潮智能科技有限公司 | 在应用容器引擎中响应用户请求的方法和装置 |
| CN110134494A (zh) * | 2019-05-17 | 2019-08-16 | 四川长虹电器股份有限公司 | 一种基于Docker容器的容器自动化管理方法 |
| CN110784446A (zh) * | 2019-09-18 | 2020-02-11 | 平安科技(深圳)有限公司 | 基于用户权限的云资源获取方法、装置及计算机设备 |
| WO2021051878A1 (zh) * | 2019-09-18 | 2021-03-25 | 平安科技(深圳)有限公司 | 基于用户权限的云资源获取方法、装置及计算机设备 |
| CN110784446B (zh) * | 2019-09-18 | 2022-03-08 | 平安科技(深圳)有限公司 | 基于用户权限的云资源获取方法、装置及计算机设备 |
| CN112751679A (zh) * | 2019-10-30 | 2021-05-04 | 腾讯科技(深圳)有限公司 | 即时通讯消息处理方法、终端及服务器 |
| WO2023103992A1 (zh) * | 2021-12-07 | 2023-06-15 | 中兴通讯股份有限公司 | 容器运行方法、装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106845183A (zh) | 一种应用容器引擎管理方法及系统 | |
| US8056114B2 (en) | Implementing access control policies across dissimilar access control platforms | |
| US9053302B2 (en) | Obligation system for enterprise environments | |
| US8381306B2 (en) | Translating role-based access control policy to resource authorization policy | |
| US7921452B2 (en) | Defining consistent access control policies | |
| CN102299915B (zh) | 基于网络层声明的访问控制 | |
| US20090205018A1 (en) | Method and system for the specification and enforcement of arbitrary attribute-based access control policies | |
| US20140189781A1 (en) | Mobile enterprise server and client device interaction | |
| CN109413065A (zh) | 一种基于容器的集群安全管理方法 | |
| CN110661831B (zh) | 一种基于可信第三方的大数据试验场安全初始化方法 | |
| CN108289098B (zh) | 分布式文件系统的权限管理方法和装置、服务器、介质 | |
| CN107634951A (zh) | Docker容器安全管理方法、系统、设备及存储介质 | |
| US20030014386A1 (en) | Account management module database interface | |
| CN113360862A (zh) | 统一身份认证系统、方法、电子设备及存储介质 | |
| CN109344603A (zh) | 一种统一登录系统 | |
| CN110245499B (zh) | Web应用权限管理方法及系统 | |
| WO2016026320A1 (zh) | 访问控制方法及装置 | |
| DE112011102224B4 (de) | Identitätsvermittlung zwischen Client- und Server-Anwendungen | |
| CN107707573A (zh) | 数据访问方法及其装置与计算机装置及其可读存储介质 | |
| CN106341369A (zh) | 安全控制方法及装置 | |
| CN106506565A (zh) | 一种远程命令执行方法及设备 | |
| US8495730B2 (en) | Dynamically constructed capability for enforcing object access order | |
| US8819231B2 (en) | Domain based management of partitions and resource groups | |
| CN106933605A (zh) | 一种智能的进程识别控制方法和系统 | |
| CN102446258B (zh) | 一种附件权限类型扩展的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170613 |
|
| RJ01 | Rejection of invention patent application after publication |