CN109474632A - 对用户进行认证和权限管理的方法、装置、系统和介质 - Google Patents
对用户进行认证和权限管理的方法、装置、系统和介质 Download PDFInfo
- Publication number
- CN109474632A CN109474632A CN201811618919.1A CN201811618919A CN109474632A CN 109474632 A CN109474632 A CN 109474632A CN 201811618919 A CN201811618919 A CN 201811618919A CN 109474632 A CN109474632 A CN 109474632A
- Authority
- CN
- China
- Prior art keywords
- user
- container management
- cluster
- management cluster
- service account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供用于使容器管理集群对用户进行认证和权限管理的方法、管理装置、系统和介质,该方法包括:注册步骤,将注册请求发送给容器管理集群,并存储容器管理集群为用户创建的服务账号和认证信息;登录步骤,响应于登录请求,取出用户的认证信息,容器管理集群根据认证信息来认证用户是否登录成功;授权步骤,在确定用户登录成功后,为用户的授权请求创建一个或多个项目,并存储容器管理集群创建的命名空间,将用户的服务账号和空间发送给容器管理集群进行授权;鉴权步骤,响应于操作请求,取出与操作请求中的项目分别一一对应的命名空间,容器管理集群基于对服务账号和命名空间的授权结果,对操作请求进行鉴权。
Description
技术领域
本发明涉及对用户进行认证和权限管理的方法、装置、系统和介质。
背景技术
随着容器技术的发展,作为容器管理系统的Kubernetes(k8s)逐渐进入人们的视线。Kubernetes可以帮助使用者快速建立容器管理服务平台。
Kubernetes是Google公司推出并开源的一套分布式容器管理系统,提供了容器的托管、编排以及部署、网络、服务发现等功能。Apiserver(应用程序接口服务器)是Kubernetes对外提供管理入口,用户通过命令行工具kubectl或者web页面Dashboard与Apiserver交互,实现Kubernets的管理和配置。
为了安全,访问Kubernetes的用户一般要经过认证和权限管理,准入控制后才能执行API(应用程序接口)操作。Kubernets把用户分为两类:一类是用户账号(useraccount),另一类是由Kubernetes管理的服务账号(service account)。用户账号一般由外部独立服务管理,管理员分发私钥,用户信息存储等。Kubernetes没有代表普通用户账号的对象,无法通过API调用集群中添加的普通用户。服务账号是由Kubernetes管理的账号,它们被绑定到特定的命名空间(namespace),由apiserver自动创建,或通过调用apiserver进行创建。经由服务账号,实现与apiserver之间的交互。
Openshift是一个基于kubernetes和Docker的PASS平台,支持用户认证和权限管理,Openshift实现了单集群的多租户管理,但是不支持跨多个Kubernetes集群的多租户管理。
Rancher是一个开源的Kubernetes管理平台,但是Rancher针对某个集群的用户,用户的项目不支持跨集群。
Kubernetes本身也提供的四种认证方法,每一种认证方法,可以直接使用,但都需要用户自己管理自己的证书、token等,用户和命名空间之间的关系,也需要用户自己维护,为用户增加了负担。
发明内容
本发明提供了一种用于使容器管理集群对用户进行认证和权限管理的方法,该方法包括:
注册步骤,将所述用户的注册请求发送给所述容器管理集群,并存储所述容器管理集群为所述用户创建的服务账号和认证信息;
登录步骤,响应于所述用户的登录请求,取出所述用户的所述认证信息,所述容器管理集群根据所述认证信息来认证所述用户是否登录成功;
授权步骤,在确定所述用户登录成功后,为所述用户的授权请求创建一个或多个项目,并存储所述容器管理集群为所述一个或多个项目分别一一创建的一个或多个命名空间,将所述用户的所述服务账号和所述一个或多个命名空间发送给所述容器管理集群进行授权;
鉴权步骤,响应于所述用户的操作请求,取出与所述操作请求中的至少一个项目分别一一对应的至少一个命名空间,所述容器管理集群基于对所述服务账号和所述至少一个命名空间的授权结果,对所述操作请求进行鉴权。
其中,在所述授权步骤中,所述容器管理集群进行授权是指为所述服务账号授予在所述容器管理集群中的所述一个或多个命名空间的权限。
其中,在所述鉴权步骤中,所述容器管理集群基于对所述服务账号和所述至少一个命名空间的授权结果是指所述容器管理集群判断是否为所述服务账号分别授予了所述至少一个命名空间的权限;
其中,当判断出为所述服务账号授予了所述至少一个命名空间中部分或全部命名空间的权限时,允许所述用户对所述部分或全部命名空间进行所述操作请求,否则拒绝所述用户对所述部分或全部命名空间进行所述操作请求。
其中,所述容器管理集群可以是多个,所述用户可以是多个;
其中,每个所述容器管理集群为每个所述用户创建各自的服务账号和各自的认证信息,每个所述容器管理集群为每个所述用户的服务账号授予在每个所述容器管理集群中的所述一个或多个命名空间的权限。
本发明还提供一种用于使容器管理集群对用户进行认证和权限管理的管理装置,该装置包括存储单元,并进一步包括:
注册单元,将所述用户的注册请求发送给所述容器管理集群,并将所述容器管理集群为所述用户创建的服务账号和认证信息存储在所述存储单元中;
登录单元,响应于所述用户的登录请求,从所述存储单元取出所述用户的所述认证信息,所述容器管理集群根据所述认证信息来认证所述用户是否登录成功;
授权单元,在确定所述用户登录成功后,为所述用户的授权请求创建一个或多个项目,并将所述容器管理集群为所述一个或多个项目分别一一创建的一个或多个命名空间存储在所述存储单元中,将所述用户的所述服务账号和所述一个或多个命名空间发送给所述容器管理集群进行授权;
鉴权单元,响应于所述用户的操作请求,从所述存储单元取出与所述操作请求中的至少一个项目分别一一对应的至少一个命名空间,所述容器管理集群基于对所述服务账号和所述至少一个命名空间的授权结果,对所述操作请求进行鉴权。
本发明还提供一种用于使容器管理集群对用户进行认证和权限管理的系统,该系统包括:一个或多个容器管理集群以及管理装置,
其中,所述一个或多个容器管理集群经由所述管理装置对一个或多个用户进行认证和权限管理。
本发明还提供一种非易失性存储介质,在所述非易失性存储介质上存储有用于使容器管理集群对用户进行认证和权限管理的程序,所述程序被计算机执行以实现服务扩缩容的方法,所述程序包括:
注册指令,将所述用户的注册请求发送给所述容器管理集群,并存储所述容器管理集群为所述用户创建的服务账号和认证信息;
登录指令,响应于所述用户的登录请求,取出所述用户的所述认证信息,所述容器管理集群根据所述认证信息来认证所述用户是否登录成功;
授权指令,在确定所述用户登录成功后,为所述用户的授权请求创建一个或多个项目,并存储所述容器管理集群为所述一个或多个项目分别一一创建的一个或多个命名空间,将所述用户的所述服务账号和所述一个或多个命名空间发送给所述容器管理集群进行授权;
鉴权指令,响应于所述用户的操作请求,取出与所述操作请求中的至少一个项目分别一一对应的至少一个命名空间,所述容器管理集群基于对所述服务账号和所述至少一个命名空间的授权结果,对所述操作请求进行鉴权。
本发明中,通过管理单元,不同的容器管理集群可以对不同的用户进行认证和权限管理,便于管理用户的服务账号、认证信息以及命名空间的对应关系,确保用户之间互不干扰,因此可以方便有效地确保每个用户安全地登录并对集群中授权的命名空间进行操作。
附图说明
图1是根据本发明实施例的用于使容器管理集群对用户进行认证和权限管理的系统的结构图;
图2是图1所示的系统中的管理装置和容器管理集群的结构图;
图3是根据本发明实施例的用于使容器管理集群对用户进行认证和权限管理的方法的流程图。
具体实施方式
下面结合附图,对本发明的实施例进行详细说明。
图1是根据本发明实施例的用于使容器管理集群对用户进行认证和权限管理的系统1的结构图。如图1所示,该系统1包括管理装置10以及一个或多个容器管理集群11a、11b。图1中仅仅显示了两个容器管理集群11a、11b,但是可以有任意个容器管理集群,而不受限制。下文中,除非特别说明,容器管理集群11a、11b被统称为集群11。每个集群11经由管理装置10对一个或多个不同的用户进行认证和权限管理。
图2是图1所示的系统1中的管理装置10和集群11的结构图。如图2所示,管理装置10包括注册单元101、登录单元102、授权单元103、鉴权单元104以及存储单元105。集群11包括应用程序接口服务器111(以下简称为“接口服务器111“)、输入单元112、认证控制单元113、权限控制单元114。本例中,该集群11例如是k8s管理的集群,接口服务器111例如是该集群中的apiserver,输入单元112例如是该集群中的Dashboard。
图3是根据本发明实施例的用于使容器管理集群对用户进行认证和权限管理的方法的流程图。下面结合图2、图3进行详细说明。
在注册步骤S31中,注册单元101将用户的注册请求发送给集群11,并将集群11为用户创建的服务账号和认证信息存储在存储单元105中。
例如,当用户user1发出了注册请求,注册单元101将该注册请求发送给集群11中的接口服务器111,接口服务器111为user1创建对应的服务账号和认证信息。注册单元101获取user1的服务账号和认证信息,并存储在存储单元105中。
user1经过该注册步骤,可以在不同的集群11上进行注册,并获取user1在每个集群11上对应的服务账号和认证信息。同样,其他用户也可以在不同的集群11上获取各自在每个集群上对应的服务账号和认证信息。
例如,存储单元105中存储了user1在集群11a中的SA1a和token 1a,user2在集群11a中的SA2a和token2a,user1在集群11b中的SA1b和token 1b,user2在集群11b中的SA2b和token2b等等,如下表1所示。
表1
| 用户名 | 服务账号 | 认证信息 |
| user1 | SA1a | token1a |
| User2 | SA2a | token2a |
| user1 | SA1b | token1b |
| User2 | SA2b | token2b |
在登录步骤S32,登录单元102响应于用户的登录请求,从存储单元105取出用户的认证信息,集群11根据认证信息来认证用户是否登录成功。
在user1经过上述注册步骤之后,当需要登录集群11a时,发出登录请求,该登录请求包括用户名(user1)以及要登录的集群名(例如11a)。登录单元102响应于该登录请求,从表1中取出user1在集群11a中的认证信息(token1a)。token1a例如被user1输入该输入单元112,并且经由接口服务器111,token1a被发送给认证控制单元113,由认证控制单元113来判断user1是否登录成功。当判断出登录不成功时,则通过输入单元112提示user1登录失败(即,认证失败),如果判断出登录成功,则通过输入单元112提示user1登录成功(即,认证成功)。认证控制单元113的认证(判断)方式和现有的相同,这里不再详述。
通过登录步骤S32,不同的用户可以通过各自在不同集群上的不同token,登录到不同的集群11上。也就是说,如果user1未在集群11b上进行注册,即usre1在集群11b上没有对应的token1b,那么user1无法登录到集群11b上。
通过注册步骤S31和登录步骤S32,每个集群11可以对不同的用户实现认证,即确定不同的用户是否被允许登录每个集群11。
在登录单元102确定用户成功登录集群11后,在授权步骤S33,授权单元103为用户的授权请求创建一个或多个项目,并将集群11为一个或多个项目分别一一创建的一个或多个命名空间存储在存储单元105中,将用户的服务账号和一个或多个命名空间发送给集群11进行授权。
例如,在user1成功登录了集群11a后,user1发出了授权请求,授权单元103为该授权请求创建例如两个项目proj1和proj2,并将这两个项目proj1和proj2发送给集群11a中的接口服务器111。接口服务器111为proj1和proj2分别创建集群11a中的命名空间NS1和NS2,并将命名空间NS1和NS2返回给授权单元103。授权单元103将与user1的proj1和proj2对应的NS1和NS2存储在存储单元105中。
类似地,当user1登录集群11b之后,发出授权请求,授权单元103为该授权请求创建例如项目proj3,并将这项目proj3发送给集群11b中的接口服务器111。该接口服务器111为proj3创建集群11b中的命名空间NS3,并将命名空间NS3返回给授权单元103。授权单元103将与user1的proj3对应的NS3存储在存储单元105中。
类似地,user2的例如proj4可以分别在集群11a、集群11b中被分配对应的命名空间NS4。
例如,此时存储单元105中存储了用户user1、user2各自与集群11a、集群11b对应的服务账号、认证信息、项目名称、命名空间,如表2所示。表2仅仅用于示例,还可以包括其他用户各自对应的信息。
表2
| 用户名 | 服务账号 | 认证信息 | 项目名称 | 命名空间 |
| user1 | SA1a | token1a | proj1 | NS1 |
| user1 | SA1a | token1a | Proj2 | NS2 |
| user2 | SA2a | token2a | Proj4 | NS4 |
| user1 | SA1b | token1b | Proj3 | NS3 |
| User2 | SA2b | token2b | Proj4 | NS4 |
授权单元103将user1的服务账号SA1a和命名空间NS1、NS2经由集群11a中的接口服务器111发送给权限控制单元114进行授权。这里,授权是指为服务账号SA1a(即,对应的用户user1)授予在集群11a中的命名空间NS1、NS2的权限,也就是说,集群11a中的权限控制单元114为user1授予命名空间NS1的权限,并且为user1授予命名空间NS2的权限。权限控制单元114的具体授权方式和现有的相同,这里不再详述。
其中,由于每个命名空间与用户的每个项目对应,因此,为服务账号(即,对应的用户)授予命名空间的权限就是为服务账号(即,对应的用户)的每个项目授予对应的命名空间的权限。
类似地,例如对于user2的授权请求,集群11a中的权限控制单元114可以为user2授予NS4的权限,集群11b中的权限控制单元114也可以为user2授予NS4的权限。
此时,集群11a中的权限控制单元114存储了用户的服务账号以及对应的命名空间,例如表3所示:
表3
| 服务账号 | 命名空间 |
| SA1a | NS1 |
| SA1a | NS2 |
| SA2a | NS4 |
按照同样的方式,集群11b中的权限控制单元114也存储了用户的服务账号以及对应的命名空间,例如表4所示:
表4
| 服务账号 | 命名空间 |
| SA1b | NS3 |
| SA2b | NS4 |
经过授权步骤S33,不同的集群可以为登录成功的每个用户授予不同命名空间的权限。之后,当用户需要对某个集群进行操作时,先按照登录步骤S32进行登录,并在成功登录该集群后,进入鉴权步骤S34。
在鉴权步骤S34,鉴权单元104响应于用户的操作请求,从存储单元105取出与操作请求中的至少一个项目分别一一对应的至少一个命名空间,容器管理集群11基于对服务账号和至少一个命名空间的授权结果,对操作请求进行鉴权。
例如,user1发出了对于集群11a的操作请求,该操作请求中包括proj1和proj3。鉴权单元104响应于该操作请求,根据存储单元105中的上述表2,取出与user1的proj1和proj3分别一一对应的NS1和NS3。
SA1a、NS1和NS3可以经由接口服务器111被发送给集群11a中的权限控制单元114。例如,NS1和NS3经由集群11a中的输入单元112被输入,另外,在如上所述的登录步骤S32中,token1a已被输入该输入单元112,且token1a包含了SA1a,所以,经由接口服务器111,输入单元112把SA1a、NS1和NS3发送给权限控制单元114。
集群11a中的权限控制单元114基于对服务账号user1和命名空间NS1、NS3的授权结果,对操作请求进行鉴权。具体的,权限控制单元114判断是否为user1授予了命名空间NS1、NS3的权限。根据上述表3,集群11a中的权限控制单元114判断出为user1授予了NS1的权限,那么允许用户user1对集群11a中的命名空间NS1进行proj1的操作。另一方面,权限控制单元114判断出没有为user1授予NS3的权限,那么就拒绝用户user1对集群11a中的命名空间NS3进行proj3的操作。
其中,如表2所示,NS1对应于user1的proj1,NS3对应于user1的proj3。集群11a允许user1的操作请求中的项目proj1,并拒绝了user1的操作请求中的项目proj3。
类似地,当用户user2登录集群11a并发出操作请求后,按照上述鉴权步骤S34,集群11a可以允许或拒绝操作请求中的某个项目。并且类似地,任一个用户登录任一个集群11并发出操作请求后,该集群都可以按照上述鉴权步骤允许或拒绝操作请求中的某个项目。
通过授权步骤S33和鉴权步骤S34,每个集群11可以对不同的用户实现权限管理,即,确定不同的用户可以对集群中的哪些命名空间进行操作。
可以理解的是,每个用户在各个集群11上只需注册一次,之后便可以通过认证信息随时登录集群11。在经过授权步骤后,每当用户登录集群并需要对该集群进行操作时,集群可以根据授权结果来确定允许或拒绝用户的操作。
本发明还提供一种非易失性存储介质,在所述非易失性存储介质上存储有用于使容器管理集群对用户进行认证和权限管理的程序,所述程序被计算机执行以实现服务扩缩容的方法,所述程序包括:
注册指令,将所述用户的注册请求发送给所述容器管理集群,并存储所述容器管理集群为所述用户创建的服务账号和认证信息;
登录指令,响应于所述用户的登录请求,取出所述用户的所述认证信息,所述容器管理集群根据所述认证信息来认证所述用户是否登录成功;
授权指令,在确定所述用户登录成功后,为所述用户的授权请求创建一个或多个项目,并存储所述容器管理集群为所述一个或多个项目分别一一创建的一个或多个命名空间,将所述用户的所述服务账号和所述一个或多个命名空间发送给所述容器管理集群进行授权;
鉴权指令,响应于所述用户的操作请求,取出与所述操作请求中的至少一个项目分别一一对应的至少一个命名空间,所述容器管理集群基于对所述服务账号和所述至少一个命名空间的授权结果,对所述操作请求进行鉴权。
本发明中,通过管理单元10,不同的容器管理集群11可以对不同的用户进行认证和权限管理,便于管理用户的服务账号、认证信息以及命名空间的对应关系,确保用户之间互不干扰,因此可以方便有效地确保每个用户安全地登录并对集群中授权的命名空间进行操作。
虽然经过对本发明结合具体实施例进行描述,对于本领域的技术技术人员而言,根据上文的叙述后作出的许多替代、修改与变化将是显而易见。因此,当这样的替代、修改和变化落入附后的权利要求的精神和范围之内时,应该被包括在本发明中。
Claims (10)
1.一种用于使容器管理集群对用户进行认证和权限管理的方法,其特征在于,所述方法包括:
注册步骤,将所述用户的注册请求发送给所述容器管理集群,并存储所述容器管理集群为所述用户创建的服务账号和认证信息;
登录步骤,响应于所述用户的登录请求,取出所述用户的所述认证信息,所述容器管理集群根据所述认证信息来认证所述用户是否登录成功;
授权步骤,在确定所述用户登录成功后,为所述用户的授权请求创建一个或多个项目,并存储所述容器管理集群为所述一个或多个项目分别一一创建的一个或多个命名空间,将所述用户的所述服务账号和所述一个或多个命名空间发送给所述容器管理集群进行授权;
鉴权步骤,响应于所述用户的操作请求,取出与所述操作请求中的至少一个项目分别一一对应的至少一个命名空间,所述容器管理集群基于对所述服务账号和所述至少一个命名空间的授权结果,对所述操作请求进行鉴权。
2.如权利要求1所述的方法,其特征在于,在所述授权步骤中,所述容器管理集群进行授权是指为所述服务账号授予在所述容器管理集群中的所述一个或多个命名空间的权限。
3.如权利要求2所述的方法,其特征在于,在所述鉴权步骤中,所述容器管理集群基于对所述服务账号和所述至少一个命名空间的授权结果是指所述容器管理集群判断是否为所述服务账号分别授予了所述至少一个命名空间的权限;
其中,当判断出为所述服务账号授予了所述至少一个命名空间中部分或全部命名空间的权限时,允许所述用户对所述部分或全部命名空间进行所述操作请求,否则拒绝所述用户对所述部分或全部命名空间进行所述操作请求。
4.如权利要求2或3所述的方法,其特征在于,所述容器管理集群可以是多个,所述用户可以是多个;
其中,每个所述容器管理集群为每个所述用户创建各自的服务账号和各自的认证信息,每个所述容器管理集群为每个所述用户的服务账号授予在每个所述容器管理集群中的所述一个或多个命名空间的权限。
5.一种用于使容器管理集群对用户进行认证和权限管理的管理装置,其特征在于,所述装置包括存储单元,并进一步包括:
注册单元,将所述用户的注册请求发送给所述容器管理集群,并将所述容器管理集群为所述用户创建的服务账号和认证信息存储在所述存储单元中;
登录单元,响应于所述用户的登录请求,从所述存储单元取出所述用户的所述认证信息,所述容器管理集群根据所述认证信息来认证所述用户是否登录成功;
授权单元,在确定所述用户登录成功后,为所述用户的授权请求创建一个或多个项目,并将所述容器管理集群为所述一个或多个项目分别一一创建的一个或多个命名空间存储在所述存储单元中,将所述用户的所述服务账号和所述一个或多个命名空间发送给所述容器管理集群进行授权;
鉴权单元,响应于所述用户的操作请求,从所述存储单元取出与所述操作请求中的至少一个项目分别一一对应的至少一个命名空间,所述容器管理集群基于对所述服务账号和所述至少一个命名空间的授权结果,对所述操作请求进行鉴权。
6.如权利要求5所述的管理装置,其特征在于,所述容器管理集群进行授权是指为所述服务账号授予在所述容器管理集群中的所述一个或多个命名空间的权限。
7.如权利要求6所述的管理装置,其特征在于,所述容器管理集群基于对所述服务账号和所述至少一个命名空间的授权结果是指所述容器管理集群判断是否为所述服务账号分别授予了所述至少一个命名空间的权限;
其中,当判断出为所述服务账号授予了所述至少一个命名空间中部分或全部命名空间的权限时,允许所述用户对所述部分或全部命名空间进行所述操作请求,否则拒绝所述用户对所述部分或全部命名空间进行所述操作请求。
8.如权利要求5或6所述的管理装置,其特征在于,所述容器管理集群可以是多个,所述用户可以是多个;
其中,每个所述容器管理集群为每个所述用户创建各自的服务账号和各自的认证信息,每个所述容器管理集群为每个所述用户的服务账号授予在每个所述容器管理集群中的所述一个或多个命名空间的权限。
9.一种用于使容器管理集群对用户进行认证和权限管理的系统,其特征在于,所述系统包括:一个或多个容器管理集群以及如权利要求5-8中任一项所述的管理装置,其中,所述一个或多个容器管理集群经由所述管理装置对一个或多个用户进行认证和权限管理。
10.一种非易失性存储介质,在所述非易失性存储介质上存储有用于使容器管理集群对用户进行认证和权限管理的程序,所述程序被计算机执行以实现服务扩缩容的方法,其特征在于,所述程序包括:
注册指令,将所述用户的注册请求发送给所述容器管理集群,并存储所述容器管理集群为所述用户创建的服务账号和认证信息;
登录指令,响应于所述用户的登录请求,取出所述用户的所述认证信息,所述容器管理集群根据所述认证信息来认证所述用户是否登录成功;
授权指令,在确定所述用户登录成功后,为所述用户的授权请求创建一个或多个项目,并存储所述容器管理集群为所述一个或多个项目分别一一创建的一个或多个命名空间,将所述用户的所述服务账号和所述一个或多个命名空间发送给所述容器管理集群进行授权;
鉴权指令,响应于所述用户的操作请求,取出与所述操作请求中的至少一个项目分别一一对应的至少一个命名空间,所述容器管理集群基于对所述服务账号和所述至少一个命名空间的授权结果,对所述操作请求进行鉴权。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811618919.1A CN109474632B (zh) | 2018-12-28 | 2018-12-28 | 对用户进行认证和权限管理的方法、装置、系统和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811618919.1A CN109474632B (zh) | 2018-12-28 | 2018-12-28 | 对用户进行认证和权限管理的方法、装置、系统和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109474632A true CN109474632A (zh) | 2019-03-15 |
| CN109474632B CN109474632B (zh) | 2021-05-28 |
Family
ID=65676841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811618919.1A Active CN109474632B (zh) | 2018-12-28 | 2018-12-28 | 对用户进行认证和权限管理的方法、装置、系统和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109474632B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110175077A (zh) * | 2019-05-27 | 2019-08-27 | 浪潮云信息技术有限公司 | 一种基于命令管理容器资源的方法及系统 |
| CN110198318A (zh) * | 2019-06-03 | 2019-09-03 | 浪潮云信息技术有限公司 | 一种容器服务用户认证方法 |
| CN110909379A (zh) * | 2019-11-08 | 2020-03-24 | 浪潮电子信息产业股份有限公司 | 一种存储集群的权限确定方法、装置、设备及存储介质 |
| CN113515731A (zh) * | 2021-04-12 | 2021-10-19 | 北京明朝万达科技股份有限公司 | 一种应用程序运行方法及装置 |
| CN114051029A (zh) * | 2021-11-10 | 2022-02-15 | 北京百度网讯科技有限公司 | 授权方法、授权装置、电子设备和存储介质 |
| CN114185642A (zh) * | 2021-11-12 | 2022-03-15 | 联奕科技股份有限公司 | 一种基于容器管理平台的智慧校园开发方法及系统 |
| CN114707179A (zh) * | 2022-03-31 | 2022-07-05 | 明阳产业技术研究院(沈阳)有限公司 | 集群系统的资源授权方法、装置、介质及电子设备 |
| CN115242526A (zh) * | 2022-07-26 | 2022-10-25 | 明阳产业技术研究院(沈阳)有限公司 | Kubernetes集群管理面板的登录方法和装置 |
| CN115242528A (zh) * | 2022-07-26 | 2022-10-25 | 明阳产业技术研究院(沈阳)有限公司 | Kubernetes集群管理面板的登录方法 |
| CN115242527A (zh) * | 2022-07-26 | 2022-10-25 | 明阳产业技术研究院(沈阳)有限公司 | Kubernetes集群管理面板的登录方法和装置 |
| CN116723057A (zh) * | 2023-08-09 | 2023-09-08 | 上海凯翔信息科技有限公司 | 一种云端nas多账号存储系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106331045A (zh) * | 2015-07-02 | 2017-01-11 | 北京京东尚科信息技术有限公司 | 实现Docker镜像服务的方法和系统 |
| CN106953847A (zh) * | 2017-02-27 | 2017-07-14 | 江苏徐工信息技术股份有限公司 | 一种基于thrift的大数据跨平台实时处理方法 |
| CN107493344A (zh) * | 2017-08-29 | 2017-12-19 | 郑州云海信息技术有限公司 | 一种Web访问Docker容器的方法及系统 |
| US20180062928A1 (en) * | 2016-08-28 | 2018-03-01 | Vmware, Inc. | Methods and systems that collect and manage latency data in an automated resource-exchange system |
| CN108108223A (zh) * | 2017-11-30 | 2018-06-01 | 国网浙江省电力公司信息通信分公司 | 基于Kubernetes的容器管理平台 |
-
2018
- 2018-12-28 CN CN201811618919.1A patent/CN109474632B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106331045A (zh) * | 2015-07-02 | 2017-01-11 | 北京京东尚科信息技术有限公司 | 实现Docker镜像服务的方法和系统 |
| US20180062928A1 (en) * | 2016-08-28 | 2018-03-01 | Vmware, Inc. | Methods and systems that collect and manage latency data in an automated resource-exchange system |
| CN106953847A (zh) * | 2017-02-27 | 2017-07-14 | 江苏徐工信息技术股份有限公司 | 一种基于thrift的大数据跨平台实时处理方法 |
| CN107493344A (zh) * | 2017-08-29 | 2017-12-19 | 郑州云海信息技术有限公司 | 一种Web访问Docker容器的方法及系统 |
| CN108108223A (zh) * | 2017-11-30 | 2018-06-01 | 国网浙江省电力公司信息通信分公司 | 基于Kubernetes的容器管理平台 |
Non-Patent Citations (2)
| Title |
|---|
| 阿里: "《阿里云容器服务用户指南》", 《百度》 * |
| 颜志翔: "《Helium容器云平台的权限和存储管理模块的设计与实现》", 《中国优秀硕士论文辑》 * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110175077A (zh) * | 2019-05-27 | 2019-08-27 | 浪潮云信息技术有限公司 | 一种基于命令管理容器资源的方法及系统 |
| CN110198318A (zh) * | 2019-06-03 | 2019-09-03 | 浪潮云信息技术有限公司 | 一种容器服务用户认证方法 |
| CN110909379B (zh) * | 2019-11-08 | 2022-03-22 | 浪潮电子信息产业股份有限公司 | 一种存储集群的权限确定方法、装置、设备及存储介质 |
| CN110909379A (zh) * | 2019-11-08 | 2020-03-24 | 浪潮电子信息产业股份有限公司 | 一种存储集群的权限确定方法、装置、设备及存储介质 |
| CN113515731A (zh) * | 2021-04-12 | 2021-10-19 | 北京明朝万达科技股份有限公司 | 一种应用程序运行方法及装置 |
| CN114051029A (zh) * | 2021-11-10 | 2022-02-15 | 北京百度网讯科技有限公司 | 授权方法、授权装置、电子设备和存储介质 |
| CN114185642A (zh) * | 2021-11-12 | 2022-03-15 | 联奕科技股份有限公司 | 一种基于容器管理平台的智慧校园开发方法及系统 |
| CN114185642B (zh) * | 2021-11-12 | 2023-11-17 | 联奕科技股份有限公司 | 一种基于容器管理平台的智慧校园开发方法及系统 |
| CN114707179A (zh) * | 2022-03-31 | 2022-07-05 | 明阳产业技术研究院(沈阳)有限公司 | 集群系统的资源授权方法、装置、介质及电子设备 |
| CN114707179B (zh) * | 2022-03-31 | 2023-11-17 | 明阳产业技术研究院(沈阳)有限公司 | 集群系统的资源授权方法、装置、介质及电子设备 |
| CN115242526A (zh) * | 2022-07-26 | 2022-10-25 | 明阳产业技术研究院(沈阳)有限公司 | Kubernetes集群管理面板的登录方法和装置 |
| CN115242528A (zh) * | 2022-07-26 | 2022-10-25 | 明阳产业技术研究院(沈阳)有限公司 | Kubernetes集群管理面板的登录方法 |
| CN115242527A (zh) * | 2022-07-26 | 2022-10-25 | 明阳产业技术研究院(沈阳)有限公司 | Kubernetes集群管理面板的登录方法和装置 |
| CN116723057A (zh) * | 2023-08-09 | 2023-09-08 | 上海凯翔信息科技有限公司 | 一种云端nas多账号存储系统 |
| CN116723057B (zh) * | 2023-08-09 | 2023-11-10 | 上海凯翔信息科技有限公司 | 一种云端nas多账号存储系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109474632B (zh) | 2021-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109474632A (zh) | 对用户进行认证和权限管理的方法、装置、系统和介质 | |
| US10673985B2 (en) | Router-host logging | |
| JP5787640B2 (ja) | 認証システムおよび認証方法およびプログラム | |
| JP5930847B2 (ja) | サーバーシステムおよび制御方法およびプログラム | |
| JP6141076B2 (ja) | システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム | |
| US9473533B2 (en) | Secure mobile framework | |
| JP6265733B2 (ja) | 権限管理サーバー及び権限管理方法 | |
| JP6124687B2 (ja) | 画像形成装置、サーバー装置、情報処理方法及びプログラム | |
| US8613051B2 (en) | System and method for COPPA compliance for online education | |
| CN107104931A (zh) | 一种访问控制方法及平台 | |
| EP3374852B1 (en) | Authorized areas of authentication | |
| CN103516514B (zh) | 账号访问权限的设定方法以及操控器 | |
| CN103986734B (zh) | 一种适用于高安全性业务系统的鉴权管理方法和系统 | |
| US20090126007A1 (en) | Identity management suite | |
| CN109740333A (zh) | 集成系统和子系统的权限管理方法、服务器及存储介质 | |
| CN101572603A (zh) | 分布式环境中的组成服务的统一访问控制系统及方法 | |
| CN110086783A (zh) | 一种多账户管理的方法、装置、电子设备及存储介质 | |
| JP2009258820A (ja) | アカウント管理システム、アカウント管理装置、アカウント管理方法 | |
| CN108156115B (zh) | 一种部门间数据共享方法 | |
| KR20120033819A (ko) | 사용자 단말 장치 및 그 서비스 제공 방법 | |
| CN111865943A (zh) | 一种基于微服务的多层级租户鉴权方法及装置 | |
| CN110971566A (zh) | 帐户统一管理方法、系统及计算机可读存储介质 | |
| CN101378329B (zh) | 分布式业务运营支撑系统和分布式业务的实现方法 | |
| CN111898149A (zh) | 一种多组织机构的用户管理系统和方法 | |
| US20090094463A1 (en) | Double Authentication for Controlling Disruptive Operations on Storage Resources |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |