CN111176794B - 一种容器管理方法、装置及可读存储介质 - Google Patents

一种容器管理方法、装置及可读存储介质 Download PDF

Info

Publication number
CN111176794B
CN111176794B CN202010004817.1A CN202010004817A CN111176794B CN 111176794 B CN111176794 B CN 111176794B CN 202010004817 A CN202010004817 A CN 202010004817A CN 111176794 B CN111176794 B CN 111176794B
Authority
CN
China
Prior art keywords
container
target user
identification information
login
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010004817.1A
Other languages
English (en)
Other versions
CN111176794A (zh
Inventor
陈钦波
王超
袁丽娜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010004817.1A priority Critical patent/CN111176794B/zh
Publication of CN111176794A publication Critical patent/CN111176794A/zh
Application granted granted Critical
Publication of CN111176794B publication Critical patent/CN111176794B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明实施例提供了一种容器管理方法、装置及可读存储介质,其中一种容器管理方法包括:在确定目标用户具有跳板机登录权限的情况下,请求服务器生成该目标用户的第一登录票据。在跳板机接收到服务器发送的第一登录票据的情况下,获取目标用户输入的包括目标容器的容器标识信息的容器登录指令,进一步地,根据该容器标识信息从服务器查询目标容器所在的运营机的运营机标识信息,进而可以向运营机发送容器登录请求,其中,容器登录请求用于指示运营机在对目标用户的标识信息和第一登录票据验证通过后,建立目标容器与目标用户对应的终端设备之间的通信连接。采用这样的容器管理方法,可以提升容器登录时的便捷度和安全性。

Description

一种容器管理方法、装置及可读存储介质
技术领域
本发明涉及计算机应用领域,尤其涉及一种容器管理方法、装置及可读存储介质。
背景技术
Docker是一个开源的应用容器引擎,让开发者可以打包应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux或Windows机器上,也可以实现虚拟化。业务程序以Docker的容器方式部署在运营机后,由于容器的IP地址通常对外不可见,没办法直接登录进去。
传统的Docker容器登录需要先登录部署该Docker容器的运营机后,再执行容器登录命令进入Docker容器。但通常一个运营机上部署着多个Docker容器,则该运营机登录权限开放给多个业务,存在很大的安全隐患;并且由于登录Docker容器必须知道运营机的IP地址,而Docker可能迁移,Docker迁移后不知道运营机的IP地址造成Docker容器登录不便。
可见,如何提供一种便捷、安全的容器管理方法是一个亟待解决的问题。
发明内容
本发明实施例提供了一种容器管理方法、装置及可读存储介质,采用这样的容器管理方法,可以提升容器登录时的便捷度和安全性。
第一方面,本发明实施例提供了一种容器管理方法,所述方法应用于跳板机,所述方法包括:
在确定目标用户具备跳板机登录权限的情况下,请求服务器生成所述目标用户的第一登录票据;
在接收到所述服务器发送的所述第一登录票据的情况下,获取所述目标用户输入的容器登录指令,所述容器登录指令包括目标容器的容器标识信息;
根据所述容器标识信息从所述服务器查询所述目标容器所在的运营机的运营机标识信息;
根据所述运营机标识信息向所述运营机发送容器登录请求,所述容器登录请求包括所述目标用户的标识信息、所述目标容器的容器标识信息和所述第一登录票据,其中,所述容器登录请求用于指示所述运营机在对所述目标用户的标识信息和所述第一登录票据验证通过后,建立所述目标容器与所述目标用户对应的终端设备之间的通信连接。
第二方面,本发明实施例提供了一种容器管理方法,所述方法应用于运营机,所述方法包括:
接收跳板机发送的目标用户的容器登录请求,所述容器登录请求中包括所述目标用户的标识信息、目标容器的容器标识信息和第一登录票据;
在确定所述目标用户具备运营机登录权限的情况下,向服务器发送第二身份验证请求,所述第二身份验证请求包括所述目标用户的标识信息和第一登录票据,所述第二身份验证请求用于请求所述服务器在对所述目标用户的标识信息和所述第一登录票据验证通过后,生成所述目标用户的第二登录票据;
在接收到所述服务器发送的所述第二登录票据的情况下,根据所述目标容器的容器标识信息建立所述目标容器与所述目标用户对应的终端设备之间的通信连接,并将所述目标用户的标识信息写入所述目标容器。
第三方面,本发明实施例提供了一种容器管理方法,所述方法包括:
跳板机在确定目标用户具备跳板机登录权限的情况下,请求服务器生成所述目标用户的第一登录票据;
所述服务器在生成所述第一登录票据之后,向所述跳板机发送所述第一登录票据;
所述跳板机在接收到所述第一登录票据的情况下,获取所述目标用户输入的容器登录指令,所述容器登录指令包括目标容器的容器标识信息,并根据所述容器标识信息从所述服务器查询所述目标容器所在的运营机的运营机标识信息;
所述服务器在查询到所述运营机标识信息之后,向所述跳板机发送所述运营机标识信息;
所述跳板机根据所述运营机标识信息向所述运营机发送容器登录请求,所述容器登录请求包括所述目标用户的标识信息、所述目标容器的容器标识信息和所述第一登录票据;
所述运营机在确定所述目标用户具备运营机登录权限的情况下,请求所述服务器对所述目标用户的标识信息和所述第一登录票据进行验证;
所述服务器在对所述目标用户的标识信息和所述第一登录票据验证通过后,生成所述目标用户的第二登录票据,并向所述运营机发送所述第二登录票据;
所述运营机在接收到所述第二登录票据的情况下,根据所述目标容器的容器标识信息建立所述目标容器与所述目标用户对应的终端设备之间的通信连接,并将所述目标用户的标识信息写入所述目标容器。
第四方面,本发明实施例提供了一种容器管理转置,所述装置配置于跳板机,所述装置包括:
数据发送模块,用于在确定目标用户具备跳板机登录权限的情况下,请求服务器生成所述目标用户的第一登录票据;
数据接收模块,用于在接收到所述服务器发送的所述第一登录票据的情况下,获取所述目标用户输入的容器登录指令,所述容器登录指令包括目标容器的容器标识信息;
所述数据发送模块,还用于根据所述容器标识信息从所述服务器查询所述目标容器所在的运营机的运营机标识信息;
所述数据发送模块,还用于根据所述运营机标识信息向所述运营机发送容器登录请求,所述容器登录请求包括所述目标用户的标识信息、所述目标容器的容器标识信息和所述第一登录票据,其中,所述容器登录请求用于指示所述运营机在对所述目标用户的标识信息和所述第一登录票据验证通过后,建立所述目标容器与所述目标用户对应的终端设备之间的通信连接。
可选的,所述数据接收模块,还用于接收目标用户对应的终端设备发送的跳板机登录请求,所述跳板机登录请求包括目标用户的标识信息;
所述容器管理装置中还包括数据处理模块;
所述数据处理模块,用于基于所述目标用户的标识信息确定所述目标用户是否具有跳板机登录权限;若允许登录的用户的标识信息列表中包含所述目标用户的标识信息,则确定所述目标用户具备跳板机登录权限。
可选的,所述数据发送模块,还用于在确定所述目标用户具备跳板机登录权限的情况下,向所述服务器发送第一身份验证请求,所述第一身份验证请求包括所述目标用户的标识信息和令牌密钥,所述第一身份验证请求用于请求所述服务器在对所述目标用户的标识信息和所述令牌密钥验证通过后,生成所述目标用户的第一登录票据。
第五方面,本发明实施例提供了一种容器管理装置,所述装置配置于运营机,所述装置包括:
数据接收模块,用于接收跳板机发送的目标用户的容器登录请求,所述容器登录请求中包括所述目标用户的标识信息、目标容器的容器标识信息和第一登录票据;
数据发送模块,用于在确定所述目标用户具备运营机登录权限的情况下,向服务器发送第二身份验证请求,所述第二身份验证请求包括所述目标用户的标识信息和第一登录票据,所述第二身份验证请求用于请求所述服务器在对所述目标用户的标识信息和所述第一登录票据验证通过后,生成所述目标用户的第二登录票据;
数据处理模块,用于在接收到所述服务器发送的所述第二登录票据的情况下,根据所述目标容器的容器标识信息建立所述目标容器与所述目标用户对应的终端设备之间的通信连接,并将所述目标用户的标识信息写入所述目标容器。
可选的,所述数据处理模块,还用于基于所述目标用户的标识信息确定所述目标用户是否具有运营机登录权限;若允许登录的用户的标识信息列表中包含所述目标用户的标识信息,则确定所述目标用户具备运营机登录权限。
可选的,所述数据接收模块,还用于通过所述目标容器接收所述目标用户输入的操作指令;获取所述目标用户的标识信息对应的操作权限数据;
所述数据处理模块,还用于在利用所述操作权限数据对所述目标用户输入的操作指令验证通过的情况下,调用所述目标容器执行所述目标用户输入的操作指令,所述操作权限数据包括所述目标用户对于所述目标容器具备操作权限的操作指令集合。
可选的,所述数据接收模块,还用于获取所述目标用户对所述目标容器的操作行为数据;
所述数据处理模块,还用于根据所述操作行为数据、所述目标用户的标识信息和所述目标容器的容器标识信息生成操作日志;
所述数据发送模块,还用于向所述服务器发送所述操作日志,以使得所述服务器存储所述操作日志。
第六方面,本发明实施例提供了一种跳板机,所述跳板机包括输入设备和输出设备,所述跳板机还包括处理器,适于实现一条或多条第一指令,所述一条或多条第一指令适于由所述处理器加载并执行:
在确定目标用户具备跳板机登录权限的情况下,请求服务器生成所述目标用户的第一登录票据;在接收到所述服务器发送的所述第一登录票据的情况下,获取所述目标用户输入的容器登录指令,所述容器登录指令包括目标容器的容器标识信息;根据所述容器标识信息从所述服务器查询所述目标容器所在的运营机的运营机标识信息;根据所述运营机标识信息向所述运营机发送容器登录请求,所述容器登录请求包括所述目标用户的标识信息、所述目标容器的容器标识信息和所述第一登录票据,其中,所述容器登录请求用于指示所述运营机在对所述目标用户的标识信息和所述第一登录票据验证通过后,建立所述目标容器与所述目标用户对应的终端设备之间的通信连接。
可选的,所述处理器,还用于接收目标用户对应的终端设备发送的跳板机登录请求,所述跳板机登录请求包括目标用户的标识信息;基于所述目标用户的标识信息确定所述目标用户是否具有跳板机登录权限;若允许登录的用户的标识信息列表中包含所述目标用户的标识信息,则确定所述目标用户具备跳板机登录权限。
可选的,所述处理器,还用于在确定所述目标用户具备跳板机登录权限的情况下,向所述服务器发送第一身份验证请求,所述第一身份验证请求包括所述目标用户的标识信息和令牌密钥,所述第一身份验证请求用于请求所述服务器在对所述目标用户的标识信息和所述令牌密钥验证通过后,生成所述目标用户的第一登录票据。
第七方面,本发明实施例提供了一种运营机,所述运营机包括输入设备和输出设备,所述运营机还包括处理器,适于实现一条或多条第一指令,所述一条或多条第一指令适于由所述处理器加载并执行:
接收跳板机发送的目标用户的容器登录请求,所述容器登录请求中包括所述目标用户的标识信息、目标容器的容器标识信息和第一登录票据;在确定所述目标用户具备运营机登录权限的情况下,向服务器发送第二身份验证请求,所述第二身份验证请求包括所述目标用户的标识信息和第一登录票据,所述第二身份验证请求用于请求所述服务器在对所述目标用户的标识信息和所述第一登录票据验证通过后,生成所述目标用户的第二登录票据;在接收到所述服务器发送的所述第二登录票据的情况下,根据所述目标容器的容器标识信息建立所述目标容器与所述目标用户对应的终端设备之间的通信连接,并将所述目标用户的标识信息写入所述目标容器。
可选的,所述处理器,还用于基于所述目标用户的标识信息确定所述目标用户是否具有运营机登录权限;若允许登录的用户的标识信息列表中包含所述目标用户的标识信息,则确定所述目标用户具备运营机登录权限。
可选的,所述处理器,还用于通过所述目标容器接收所述目标用户输入的操作指令;获取所述目标用户的标识信息对应的操作权限数据;在利用所述操作权限数据对所述目标用户输入的操作指令验证通过的情况下,调用所述目标容器执行所述目标用户输入的操作指令,所述操作权限数据包括所述目标用户对于所述目标容器具备操作权限的操作指令集合。
可选的,所述处理器,还用于获取所述目标用户对所述目标容器的操作行为数据;根据所述操作行为数据、所述目标用户的标识信息和所述目标容器的容器标识信息生成操作日志;向所述服务器发送所述操作日志,以使得所述服务器存储所述操作日志。
第九方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序,所述计算机程序被处理器执行以实现上述第一方面或第二方面所述的容器管理方法。
本申请实施例中,跳板机在确定目标用户具有跳板机登录权限的情况下,请求服务器生成该目标用户的第一登录票据。在跳板机接收到服务器发送的第一登录票据的情况下,获取目标用户输入的包括目标容器的容器标识信息的容器登录指令,进一步地,跳板机根据该容器标识信息从服务器查询目标容器所在的运营机的运营机标识信息,进而,跳板机可以根据上述运营机标识信息向运营机发送容器登录请求,容器登录请求包括目标用户的标识信息、目标容器的容器标识信息和第一登录票据,其中,容器登录请求用于指示运营机在对目标用户的标识信息和第一登录票据验证通过后,建立目标容器与目标用户对应的终端设备之间的通信连接。采用这样的容器管理方法,可以提升容器管理中容器登录过程中的便捷度和安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种容器管理系统的架构示意图;
图2是本发明实施例提供的一种容器管理方法的流程示意图;
图3a是本发明实施例提供的一种输入容器标识信息的方法示意图;
图3b是本发明实施例提供的一种输入用户操作权限数据的方法示意图;
图3c是本发明实施例提供的一种输入容器登录指令的方法示意图;
图4是本发明实施例提供的另一种容器管理方法的流程示意图;
图5是本发明实施例提供的一种操作指令的输入方法示意图;
图6a是本发明实施例提供的一种客户端的架构示意图;
图6b是本发明实施例提供的一种启用LDAP验证方式的示意图;
图7是本发明实施例提供的又一种容器管理方法的流程示意图;
图8是本发明实施例提供的一种容器管理装置示意图;
图9是本发明实施例提供的另一种容器管理装置示意图;
图10是本发明实施例提供的一种跳板机的结构示意图;
图11是本发明实施例提供的一种运营机的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参见图1,是本发明实施例提供的一种容器管理系统的架构示意图,该容器管理系统包括10权限申请框架与11容器登录框架。
10权限申请框架,包括用户对应的第一终端设备,系统管理员对应的第二终端设备,网络站点和服务器。其中,各个设备的功能可以概括为:
网络站点:用户可以通过第一终端设备在网络站点上进行权限申请,该权限申请可以包括Docker容器权限申请、跳板机登录权限申请和运营机登录权限申请;系统管理员可以通过第二终端设备在网络站点上对用户提交的权限申请进行审批;用户还可以通过第一终端设备在网络站点上查看各权限申请的审批进度。
服务器:存储用户的操作权限数据,并将用户的操作权限数据发送至11容器登录框架中的跳板机和运营机。
用户通过第一终端设备输入容器权限申请信息,第一终端将该容器权限申请信息上传至网络站点,网络站点接收该容器权限申请信息,并向系统管理员对应的第二终端设备发送针对该容器权限申请信息的提示信息,该提示信息用于通知系统管理员对该容器权限申请信息进行审批。系统管理员通过第二终端设备将针对容器权限申请信息对的审批结果上传至网络站点,由网络站点将该审批结果对应的针对该容器的用户的操作权限数据发送至服务器,其中,用户的操作权限数据具体可以包括该权限申请的针对容器和该用户可以使用的操作指令集合,操作指令集合具体包括至少一条配置好的sudo命令。以使服务器存储该用户的操作权限数据,并根据该用户的操作权限数据对权限执行主体(11容器登录框架中的跳板机和运营机)发送该用户的操作权限数据。
11容器登录框架,包括跳板机、运营机和服务器,其中,各个设备的功能可以概括为:
跳板机:接收用户的跳板机登录请求;接收服务器发送的允许登录跳板机的用户的标识信息列表;验证用户登录跳板机的权限;向服务器转发用户的身份验证请求;向运营机发送容器登录请求。
运营机:接收服务器发送的允许登录运营机的用户的标识信息列表;验证用户登录运营机的权限;向服务器转发用户的身份验证请求;根据跳板机发送的容器登录请求建立用户与容器之间的通信连接;采集用户在容器上的操作行为日志;维护运营机与容器的关联关系并上传至服务器。
服务器:向跳板机发送允许登录跳板机的用户的标识信息列表;向运营机发送允许登录运营机的用户的标识信息列表;对用户的身份验证进行验证;存储用户在容器上的操作行为日志;接收并存储运营机与容器的关联关系;通过容器标识信息查询该容器所在的运营机的运营机标识信息。
在11容器登录框架中,用户通过SSH(Secure Shell,安全外壳协议)命令向跳板机发送携带用户信息的跳板机登录指令,跳板机针对该用户信息确定目标用户具有跳板机登录权限的情况下,请求服务器生成该目标用户的第一登录票据。在跳板机接收到服务器发送的第一登录票据的情况下,获取目标用户输入的包括目标容器的容器标识信息的容器登录指令,进一步地,跳板机可以根据该容器标识信息从服务器查询目标容器所在的运营机的运营机标识信息,进而,跳板机可以根据上述运营机标识信息向运营机发送容器登录请求,该容器登录请求包括目标用户的标识信息、目标容器的容器标识信息和第一登录票据,其中,容器登录请求用于指示运营机在对目标用户的标识信息和第一登录票据验证通过后,建立目标容器与目标用户对应的终端设备之间的通信连接。采用这样的容器管理方法,可以提升容器登录过程中的便捷度和安全性。
其中,该终端设备和网络站点包括但不限于手机、平板电脑、笔记本电脑和台式电脑等设备。跳板机(又称堡垒机),是一类可作为跳板批量操作远程设备的网络设备,是系统管理员或运维人员常用的操作平台之一,该跳板机包括但不限于笔记本电脑、台式电脑等设备、后端服务器和服务器集群等设备。运营机是用于部署Docker容器的物理机,包括但不限于笔记本电脑、台式电脑等设备、后端服务器和服务器集群等设备。
请参见图2,是本发明实施例提供的一种容器管理方法的流程示意图,该方法可由跳板机执行,该容器管理方法包括如下步骤:
S201:跳板机在确定目标用户具有跳板机登录权限的情况下,请求服务器生成该目标用户的第一登录票据。
用户进入目标网络站点通过输入身份证信息或是姓名中的一种或多种进行实名注册,获得用户的标识信息,其中,该用户的标识信息与用户一一对应,用户可以使用该用户的标识信息登录该目标网络站点后,输入容器权限申请信息,该容器权限申请信息包括用户的标识信息、容器标识信息和该容器标识信息对应容器的用户操作权限数据。其中,容器标识信息可以是容器的标识码(Identity document,ID)、容器的互联网协议地址(Internet Protocol,IP)或是容器的名称等,在此不做具体限制。用户操作权限数据包括用户的身份信息(例如运维人员、开发人员、游客登录等)对应的操作权限数据和该操作权限数据对应的有效时间。目标网络站点对该目标用户提交的容器权限申请信息进行存储,并交由系统管理员针对该容器权限申请信息进行审批。
若系统管理员通过目标网络站点对该容器权限申请信息审批通过,则目标网络站点将审批结果上传至服务器中。由服务器存储该审批结果,并根据该审批结果以轻量级目录访问(Lightweight Directory Access Protocol,LDAP)协议支持的数据格式向跳板机发送该目标用户的跳板机登录权限,还可以向运营机发送该目标用户的运营机登录权限和针对上述容器标识信息对应的容器的用户操作权限数据,以使运营机对该用户操作权限数据与该容器标识信息进行关联存储。
若系统管理员通过目标网络站点对该容器权限申请信息审批不通过,则目标网络站点将该审批结果反馈至该目标用户对应的终端设备。通过这样的方式,以便于系统可以根据不同用户的身份信息进行权限的精细化管理及安全审计。
示例性地,目标用户使用该目标用户的标识信息登录该目标网络站点后,输入容器权限申请信息的操作界面如图所示,图3a示意了一种输入容器标识信息的方法,用户可以选择容器标识信息为容器ID,用户可以在信息输入框中批量输入对要申请容器权限的容器ID。图3b示意了一种输入容器标识信息对应容器的用户操作权限数据的方法,用户可以选择需要申请容器的Sudo权限模板和选择针对该申请容器Sudo权限模板的有效期。其中Sudo权限模板包括运维权限模板、仅登录权限模板、miliaotest-sudo-template1权限模板和miliaotest-sudo-template2权限模板等,其中各个Sudo权限模板对应预先由容器登录系统的开发人员预先配置的sudo权限操作命令,可以根据实际应用场景对各个Sudo权限模板中的sudo权限操作命令进行增删改操作。
可选地,目标用户打开采用SSH协议的登录软件,输入跳板机IP和目标用户的标识信息,由SSH的登录软件根据该目标用户的标识信息实时生成令牌密码并发送至目标用户注册时该目标用户的标识信息关联的联系方式上告知目标用户该令牌密码,使得用户输入该令牌密码。该SSH软件在接收到目标用户输入的包含跳板机IP、目标用户的标识信息和令牌密码的跳板机登录请求后,将该跳板机登录请求发送至该跳板机IP对应的跳板机。
在一个实施例中,跳板机接收目标用户对应的终端设备发送的跳板机登录请求,该跳板机登录请求包括目标用户的标识信息,进一步地,跳板机可以基于目标用户的标识信息确定该目标用户是否具有跳板机登录权限。若允许登录的用户的标识信息列表中包含该目标用户的标识信息,则确定该目标用户具备跳板机登录权限。
其中,允许登录的用户的标识信息列表中包括允许登录该跳板机的用户的标识信息。系统管理员对用户的跳板机登录权限审批通过后,服务器将该用户的标识信息写入跳板机中,建立得到该允许登录的用户的标识信息列表。
可选地,跳板机在确定该目标用户具备跳板机登录权限的情况下,向服务器发送第一身份验证请求,其中该第一身份验证请求包括目标用户的标识信息和令牌密钥,该第一验证请求用于请求该服务器在对目标用户的标识信息和令牌密钥验证通过后,生成所述目标用户的第一登录票据。其中,上述令牌密钥可以为具有预设有效时长的动态变化密码,该预设有效时长由开发人员根据实验数据测算得到,后期可根据实际情况进行调整。
S202:跳板机在接收到服务器发送的第一登录票据的情况下,获取目标用户输入的容器登录指令,容器登录指令包括目标容器的容器标识信息。
跳板机接收目标用户可以通过SSH协议命令输入容器登录指令,例如,图3c为目标用户通过SSH协议命令的扩展命令sshx输入容器登录指令的示方法意图。
S203:跳板机根据该容器标识信息从服务器查询目标容器所在的运营机的运营机标识信息。
跳板机通过将该容器标识信息传给服务器,服务器获取容器与运营机之间的关系表,并基于该容器标识信息和该容器与运营机之间的关系表查询该目标容器所在运营机的运营机标识信息,其中,该运营机标识信息可以是运营机IP地址、运营机ID或运营机名称中的一种。若查询到目标容器所在的运营机的运营机标识信息,则跳板机保留该运营机的运营机标识信息。若未查询到该目标容器所在的运营机的运营机标识信息,则跳板机提示用户错误。其中,容器与运营机之间的关系表包括了容器标识信息与该容器所在运营机的运营机标识信息的对应关系,例如表1所示为针对运营机1的容器与运营机之间的关系表。
表1
运营机1标识信息
容器1标识信息
容器2标识信息
容器3标识信息
可选地,运营机可以以预设时间长度采集部署在该运营机上容器的容器标识信息并上传至服务器,服务器根据该采集的容器标识信息定期更新容器与运营机之间的关系表。其中,预设时间长度可以根据具体实现场景进行调整,对此不做具体限制。
S204:跳板机根据上述运营机标识信息向运营机发送容器登录请求,容器登录请求包括目标用户的标识信息、目标容器的容器标识信息和第一登录票据,其中,容器登录请求用于指示运营机在对目标用户的标识信息和第一登录票据验证通过后,建立目标容器与目标用户对应的终端设备之间的通信连接。
跳板机根据上述运营机标识信息,可以通过SSH协议命令打开虚拟终端连接该运营机标识信息对应的运营机,并基于该目标容器的容器标识信息指示运营机建立目标容器与目标用户对应的终端设备之间的通信连接。
本申请实施例中,跳板机在确定目标用户具有跳板机登录权限的情况下,请求服务器生成该目标用户的第一登录票据。在跳板机接收到服务器发送的第一登录票据的情况下,获取目标用户输入的包括目标容器的容器标识信息的容器登录指令,进一步地,跳板机根据该容器标识信息从服务器查询目标容器所在的运营机的运营机标识信息,进而,跳板机可以根据上述运营机标识信息向运营机发送容器登录请求,容器登录请求包括目标用户的标识信息、目标容器的容器标识信息和第一登录票据,其中,容器登录请求用于指示运营机在对目标用户的标识信息和第一登录票据验证通过后,建立目标容器与目标用户对应的终端设备之间的通信连接。采用这样的容器管理方法,可以提升容器管理中容器登录过程中的便捷度和安全性。
请参见图4,是本发明实施例提供的另一种容器管理方法的流程示意图,该方法可由运营机执行,该容器管理方法包括如下步骤:
S401:运营机接收跳板机发送的目标用户的容器登录请求,该容器登录请求中包括目标容器的容器标识信息、目标用户的标识信息和第一登录票据。
其中,该容器标识信息可以是容器的ID、容器的IP或是容器的名称等,在此不做具体限制。目标用户的标识信息由用户实名认证注册后生成,以便可以针对用户的身份信息进行实名审计和具体的操作权限数据的管理。第一登录票据是跳板机确认该目标用户具有跳板机登录权限的情况下,向服务器发送针对用户的标识信息和令牌密钥的第一身份验证请求通过后,服务器生成的目标用户的第一登录票据。
S402:运营机在确定目标用户具有运营机登录权限的情况下,向服务器发送第二身份验证请求,其中,该第二身份验证请求包括目标用户的标识信息和第一登录票据,该第二身份验证请求用于请求服务器在对该目标用户的标识信息和第一登录票据验证通过后,生成目标用户的第二登录票据。
运营机根据目标用户的用户标识信息确定出目标用户具有该运营机登录权限后向服务器发送第二身份验证请求,服务器验证目标用户的标识信息和第一登录票据是否携带有同一目标用户的标识信息,若是,则服务器生成目标用户的第二登录票据。
在一个实施例中,运营机接收跳板机发送的容器登录请求之后,基于该目标用户的标识信息确定该目标用户是否具有运营机登录权限。若允许登录的用户的标识信息列表中包含该目标用户的标识信息,则确定该目标用户具备运营机登录权限。其中,允许登录的用户的标识信息列表中包括允许登录该运营机的用户的标识信息。系统管理员对用户的运营机登录权限审批通过后,服务器将该用户的标识信息写入运营机中,建立得到该允许登录的用户的标识信息列表。
S403:运营机在接收到服务器发送的第二登录票据的情况下,根据目标容器的容器标识信息建立目标容器与目标用户对应的终端设备之间的通信连接,并将该目标用户的标识信息写入目标容器。
运营机接收该第二登录票据,从容器登录请求中获得目标容器的容器标识信息,将目标用户的标识信息写入到目标容器中,并将跳板机通过SSH协议命令打开的虚拟终端连接至该目标容器,建立目标容器与目标用户对应的终端设备之间的通信连接。
在一个实施例中,运营机通过目标容器接收目标用户输入的操作指令,进一步地,运营机可以获取该目标用户的标识信息对应的操作权限数据,在利用该操作权限数据对目标用户输入的操作指令验证通过的情况下,调用该目标容器执行目标用户输入的操作指令。其中,该操作权限数据包括目标用户对于该目标容器具备操作权限的操作指令集合。
在一个实施例中,在目标用户成功登录目标容器后,运营机接收到目标用户输入的操作指令时,查询目标用户输入的操作指令是否包含在目标用户对于该目标容器具备操作权限的操作指令集合中,若包含,则可以确定对该操作指令的操作权限验证通过,并执行该目标用户的操作指令,从而对容器的操作权限实现了细粒度的管控,使得登录容器的用户账号只能使用其具有的权限以内的操作指令,允许用户操作的命令不会超过申请权限时所配置的命令,以确保容器内的使用安全。
示例性地,图5示意了一种操作指令的输入方法,若用户需要执行登录Docker容器后的操作权限数据的命令,需要在该操作命令前面加入sudo标识符,如51框所示,52框表明了该条操作指令的执行状态为已完成。
在一个实施例中,运营机获取目标用户对目标容器的操作行为数据,并根据该操作行为数据、目标用户的标识信息和目标容器的容器标识信息生成操作日志,进一步地,运营机向该服务器发送该操作日志,以使得服务器存储该操作日志。由于目标用户的标识信息是由用户实名认证后获得的,从而可以对容器上的操作指令进行实名审计,使操作日志均可回溯,提升该容器管理方法的安全性。
可选地,运营机上部署有客户端,用于接收服务器发送的LDAP协议格式的用户权限数据,以及采集运营机上的操作日志转发至服务器。如图6a所示为一种客户端的架构示意图,该客户端nss-pam-ldap组件构成,用于连接LDAP服务器做身份认证。nss-pam-ldapd组件是一个名字服务交互模块和使用LDAP服务器的嵌入式模块(PluggableAuthentication Module,PAM),该组件可以使用LDAP服务器上的帐号、组、主机名、别名和网络组等数据,并通过LDAP服务器进行认证。nss-pam-ldap组件主要由三部分构成:NSS模块、PAM模块及NSLCD进程。其中,NSS模块:NSS模块是连接客户端ldap组件的实现,让系统识别ldap中的用户和群组。PAM模块:基于LDAP认证的PAM模块。该nss-pam-ldap组件支持用LDAP里的影子口令验证用户NSLCD进程:连接LDAP服务器,将来自NSS模块及PAM模块的请求信息转接至LDAP服务器。
示意性地,名字服务切换配置(name service switch configuration,)文件/etc/nsswitch.conf规定了查找特定类型信息的途径和顺序。当需要提供nsswitch.conf文件所描述的信息时,系统将检查含有适当info字段的配置行。并按照从左向右的顺序开始执行配置行中指定的方法。在默认情况下,如果找到特定类型信息,系统将停止搜索。如果没有指定系统下一步动作,那么当某个方法未能返回结果时,系统就会尝试下一个动作。其中,如图6b所示,一种安装了客户端的/etc/nsswitch.conf后,启用LDAP验证方式的示意图。
本申请实施例中,运营机接收跳板机发送的目标用户的容器登录请求,该容器登录请求中包括目标容器的容器标识信息、目标用户的标识信息和第一登录票据,进一步地,运营机在确定目标用户具有运营机登录权限的情况下,向服务器发送第二身份验证请求,其中,该第二身份验证请求包括目标用户的标识信息和第一登录票据,该第二身份验证请求用于请求服务器在对该目标用户的标识信息和第一登录票据验证通过后,生成目标用户的第二登录票据。进而,运营机在接收到服务器发送的第二登录票据的情况下,根据目标容器的容器标识信息建立目标容器与目标用户对应的终端设备之间的通信连接,并将该目标用户的标识信息写入目标容器。采用这样的容器管理方法,可以提升容器登录过程中的便捷度和安全性,还能将容器权限根据用户的身份信息进行细粒度的管控,提升容器权限管理中的安全性。
请参见图7,是本发明实施例提供的又一种容器管理方法的流程示意图,该方法从交互的角度进行阐述,该容器管理方法包括如下步骤:
S701:跳板机在确定目标用户具有跳板机登录权限的情况下,请求服务器生成该目标用户的第一登录票据。
S702:服务器在生成第一登录票据之后,向该跳板机发送该第一登录票据。
S703:跳板机在接收到该第一登录票据的情况下,获取该目标用户输入的容器登录指令该容器登录指令包括目标容器的容器标识信息,并根据该容器标识信息从服务器查询该目标容器所在的运营机的运营机标识信息。
S704:服务器在查询到运营机标识信息之后,向跳板机发送运营机标识信息。
S705:跳板机根据该运营机标识信息向运营机发送容器登录请求,该容器登录请求包括目标用户的标识信息、目标容器的容器标识信息和第一登录票据。
S706:运营机在确定目标用户具备运营机登录权限的情况下,请求服务器对目标用户的标识信息和第一登录票据进行验证。
S707:服务器在对目标用户的标识信息和第一登录票据验证通过后,生成目标用户的第二登录票据,并向运营机发送第二登录票据。
S708:运营机在接收到第二登录票据的情况下,根据目标容器的容器标识信息建立目标容器与目标用户对应的终端设备之间的通信连接,并将目标用户的标识信息写入所述目标容器。
其中,步骤S701-S708的具体实现过程可以参见前述实施例的相关实现过程,此处不再进行赘述。
在本申请实施例中,跳板机在确定目标用户具有跳板机登录权限的情况下,请求服务器生成该目标用户的第一登录票据。服务器在生成第一登录票据之后,向该跳板机发送该第一登录票据。跳板机在接收到该第一登录票据的情况下,获取该目标用户输入的容器登录指令该容器登录指令包括目标容器的容器标识信息,并根据该容器标识信息从服务器查询该目标容器所在的运营机的运营机标识信息。服务器在查询到运营机标识信息之后,向跳板机发送运营机标识信息。跳板机根据该运营机标识信息向运营机发送容器登录请求,该容器登录请求包括目标用户的标识信息、目标容器的容器标识信息和第一登录票据。运营机在确定目标用户具备运营机登录权限的情况下,请求服务器对目标用户的标识信息和第一登录票据进行验证。服务器在对目标用户的标识信息和第一登录票据验证通过后,生成目标用户的第二登录票据,并向运营机发送第二登录票据。运营机在接收到第二登录票据的情况下,根据目标容器的容器标识信息建立目标容器与目标用户对应的终端设备之间的通信连接,并将目标用户的标识信息写入所述目标容器。采用这样的容器管理方法,可以提升容器登录过程中的便捷度和安全性。
基于上述方法实施例的描述,本发明实施例还提出了一种容器管理装置示意图,所述装置配置于跳板机。请参见图8所示,该容器管理装置包括如下模块:
数据发送模块80,用于在确定目标用户具备跳板机登录权限的情况下,请求服务器生成所述目标用户的第一登录票据;
数据接收模块81,用于在接收到所述服务器发送的所述第一登录票据的情况下,获取所述目标用户输入的容器登录指令,所述容器登录指令包括目标容器的容器标识信息;
所述数据发送模块80,还用于根据所述容器标识信息从所述服务器查询所述目标容器所在的运营机的运营机标识信息;
所述数据发送模块80,还用于根据所述运营机标识信息向所述运营机发送容器登录请求,所述容器登录请求包括所述目标用户的标识信息、所述目标容器的容器标识信息和所述第一登录票据,其中,所述容器登录请求用于指示所述运营机在对所述目标用户的标识信息和所述第一登录票据验证通过后,建立所述目标容器与所述目标用户对应的终端设备之间的通信连接。
在一个实施例中,所述数据接收模块81,还用于接收目标用户对应的终端设备发送的跳板机登录请求,所述跳板机登录请求包括目标用户的标识信息;所述容器管理装置中还应该包括数据处理模块82,用于基于所述目标用户的标识信息确定所述目标用户是否具有跳板机登录权限;若允许登录的用户的标识信息列表中包含所述目标用户的标识信息,则确定所述目标用户具备跳板机登录权限。
在一个实施例中,所述数据发送模块80,还用于在确定所述目标用户具备跳板机登录权限的情况下,向所述服务器发送第一身份验证请求,所述第一身份验证请求包括所述目标用户的标识信息和令牌密钥,所述第一身份验证请求用于请求所述服务器在对所述目标用户的标识信息和所述令牌密钥验证通过后,生成所述目标用户的第一登录票据。
需要说明的是,本发明实施例所描述的容器管理装置的各模块的功能可根据图2或图7所述实施例中的方法具体实现,其具体实现过程可以参照图2或图7方法实施例的相关描述,此处不再赘述。
基于上述方法实施例的描述,本发明实施例还提出了一种容器管理装置示意图,所述装置配置于运营机。请参见图9所示,该容器管理装置包括如下模块:
数据接收模块90,用于接收跳板机发送的目标用户的容器登录请求,所述容器登录请求中包括所述目标用户的标识信息、目标容器的容器标识信息和第一登录票据;
数据发送模块91,用于在确定所述目标用户具备运营机登录权限的情况下,向服务器发送第二身份验证请求,所述第二身份验证请求包括所述目标用户的标识信息和第一登录票据,所述第二身份验证请求用于请求所述服务器在对所述目标用户的标识信息和所述第一登录票据验证通过后,生成所述目标用户的第二登录票据;
数据处理模块92,用于在接收到所述服务器发送的所述第二登录票据的情况下,根据所述目标容器的容器标识信息建立所述目标容器与所述目标用户对应的终端设备之间的通信连接,并将所述目标用户的标识信息写入所述目标容器。
在一个实施例中,所述数据处理模块92,还用于基于所述目标用户的标识信息确定所述目标用户是否具有运营机登录权限;若允许登录的用户的标识信息列表中包含所述目标用户的标识信息,则确定所述目标用户具备运营机登录权限。
在一个实施例中,所述数据接收模块90,还用于通过所述目标容器接收所述目标用户输入的操作指令;获取所述目标用户的标识信息对应的操作权限数据;在利用所述操作权限数据对所述目标用户输入的操作指令验证通过的情况下,所述数据处理模块92,还用于调用所述目标容器执行所述目标用户输入的操作指令,所述操作权限数据包括所述目标用户对于所述目标容器具备操作权限的操作指令集合。
在一个实施例中,所述数据接收模块90,还用于获取所述目标用户对所述目标容器的操作行为数据;所述数据处理模块92,还用于根据所述操作行为数据、所述目标用户的标识信息和所述目标容器的容器标识信息生成操作日志;所述数据发送模块91,还用于向所述服务器发送所述操作日志,以使得所述服务器存储所述操作日志。
需要说明的是,本发明实施例所描述的容器管理装置的各模块的功能可根据图4或图7所述实施例中的方法具体实现,其具体实现过程可以参照图4或图7方法实施例的相关描述,此处不再赘述。
基于上述方法实施例以及装置项实施例的描述,本发明实施例还提供一种跳板机。请参见图10该跳板机可至少包括处理器1001、输入设备1002、输出设备1003以及存储器1004;其中,处理器1001、输入设备1002、输出设备1003以及存储器1004可通过总线或者其它连接方式进行连接。所述存储器1004用于存储计算机程序,所述计算机程序包括程序指令,所述处理器1001用于执行所述存储器1004存储的程序指令。处理器1001(或称CPU(Central Processing Unit,中央处理器))是跳板机的计算核心以及控制核心,其适于实现一条或多条第一指令,具体适于加载并执行一条或多条指令从而实现上述内窥镜的导航控制方法实施例中的相应方法流程或相应功能。其中,处理器1001被配置调用所述程序指令执行:在确定目标用户具备跳板机登录权限的情况下,请求服务器生成所述目标用户的第一登录票据;在接收到所述服务器发送的所述第一登录票据的情况下,获取所述目标用户输入的容器登录指令,所述容器登录指令包括目标容器的容器标识信息;根据所述容器标识信息从所述服务器查询所述目标容器所在的运营机的运营机标识信息;根据所述运营机标识信息向所述运营机发送容器登录请求,所述容器登录请求包括所述目标用户的标识信息、所述目标容器的容器标识信息和所述第一登录票据,其中,所述容器登录请求用于指示所述运营机在对所述目标用户的标识信息和所述第一登录票据验证通过后,建立所述目标容器与所述目标用户对应的终端设备之间的通信连接。
在一个实施例中,所述处理器1001,还用于接收目标用户对应的终端设备发送的跳板机登录请求,所述跳板机登录请求包括目标用户的标识信息;基于所述目标用户的标识信息确定所述目标用户是否具有跳板机登录权限;若允许登录的用户的标识信息列表中包含所述目标用户的标识信息,则确定所述目标用户具备跳板机登录权限。
在一个实施例中,所述处理器1001,还用于在确定所述目标用户具备跳板机登录权限的情况下,向所述服务器发送第一身份验证请求,所述第一身份验证请求包括所述目标用户的标识信息和令牌密钥,所述第一身份验证请求用于请求所述服务器在对所述目标用户的标识信息和所述令牌密钥验证通过后,生成所述目标用户的第一登录票据。
应当理解,在本发明实施例中,所称处理器1001可以是中央处理单元(CentralProcessing Unit,CPU),该处理器1001还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立a硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
该存储器1004可以包括只读存储器和随机存取存储器,并向处理器1001提供指令和数据。存储器1004的一部分还可以包括非易失性随机存取存储器。例如,存储器1004还可以存储设备类型的信息。该输入设备1002可以包括触控板、指纹采传感器(用于采集用户的指纹信息)、麦克风、实体键盘等,输出设备1003可以包括显示器(LCD等)、扬声器等。
具体实现中,本发明实施例中所描述的处理器1001、存储器1004、输入设备1002和输出设备1003可执行本发明实施例提供的图2或图7所述的方法实施例所描述的实现方式,也可执行本发明实施例图8所描述的容器管理装置的实现方法,在此不再赘述。
基于上述方法实施例以及装置项实施例的描述,本发明实施例还提供一种运营机。请参见图11该运营机可至少包括处理器1101、输入设备1102、输出设备1103以及存储器1104;其中,处理器1101、输入设备1102、输出设备1103以及存储器1104可通过总线或者其它连接方式进行连接。所述存储器1104用于存储计算机程序,所述计算机程序包括程序指令,所述处理器1101用于执行所述存储器1104存储的程序指令。处理器1101(或称CPU(Central Processing Unit,中央处理器))是运营机的计算核心以及控制核心,其适于实现一条或多条第一指令,具体适于加载并执行一条或多条指令从而实现上述内窥镜的导航控制方法实施例中的相应方法流程或相应功能。其中,处理器1101被配置调用所述程序指令执行:接收跳板机发送的目标用户的容器登录请求,所述容器登录请求中包括所述目标用户的标识信息、目标容器的容器标识信息和第一登录票据;在确定所述目标用户具备运营机登录权限的情况下,向服务器发送第二身份验证请求,所述第二身份验证请求包括所述目标用户的标识信息和第一登录票据,所述第二身份验证请求用于请求所述服务器在对所述目标用户的标识信息和所述第一登录票据验证通过后,生成所述目标用户的第二登录票据;在接收到所述服务器发送的所述第二登录票据的情况下,根据所述目标容器的容器标识信息建立所述目标容器与所述目标用户对应的终端设备之间的通信连接,并将所述目标用户的标识信息写入所述目标容器。
在一个实施例中,所述处理器1101,还用于基于所述目标用户的标识信息确定所述目标用户是否具有运营机登录权限;若允许登录的用户的标识信息列表中包含所述目标用户的标识信息,则确定所述目标用户具备运营机登录权限。
在一个实施例中,所述处理器1101,还用于通过所述目标容器接收所述目标用户输入的操作指令;获取所述目标用户的标识信息对应的操作权限数据;在利用所述操作权限数据对所述目标用户输入的操作指令验证通过的情况下,调用所述目标容器执行所述目标用户输入的操作指令,所述操作权限数据包括所述目标用户对于所述目标容器具备操作权限的操作指令集合。
在一个实施例中,所述处理器1101,还用于获取所述目标用户对所述目标容器的操作行为数据;根据所述操作行为数据、所述目标用户的标识信息和所述目标容器的容器标识信息生成操作日志;向所述服务器发送所述操作日志,以使得所述服务器存储所述操作日志。
应当理解,在本发明实施例中,所称处理器1101可以是中央处理单元(CentralProcessing Unit,CPU),该处理器1101还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立a硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
该存储器1104可以包括只读存储器和随机存取存储器,并向处理器1101提供指令和数据。存储器1104的一部分还可以包括非易失性随机存取存储器。例如,存储器1104还可以存储设备类型的信息。该输入设备1102可以包括触控板、指纹采传感器(用于采集用户的指纹信息)、麦克风、实体键盘等,输出设备1103可以包括显示器(LCD等)、扬声器等。
具体实现中,本发明实施例中所描述的处理器1101、存储器1104、输入设备1102和输出设备1103可执行本发明实施例提供的图4或图7所述的方法实施例所描述的实现方式,也可执行本发明实施例图9所描述的容器管理装置的实现方法,在此不再赘述。
在本发明的另一实施例中提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器执行时实现本发明实施例提供的图2、图4或图7所述的方法实施所描述的实现方式,所述计算机可读存储介质可以是前述任一实施例所述的终端设备或内窥镜的内部存储单元,例如终端设备或内窥镜的硬盘或内存。所述计算机可读存储介质也可以是所述终端设备或内窥镜的外部存储设备,例如所述终端设备或内窥镜上配备的插接式硬盘,智能存储卡(Smart MediaCard,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述计算机可读存储介质还可以既包括所述终端设备的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取可读存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。
其中,所述的可读存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。

Claims (10)

1.一种容器管理方法,其特征在于,所述方法应用于跳板机,所述方法包括:
在确定目标用户具备跳板机登录权限的情况下,请求服务器生成所述目标用户的第一登录票据;
在接收到所述服务器发送的所述第一登录票据的情况下,获取所述目标用户输入的容器登录指令,所述容器登录指令包括目标容器的容器标识信息;
根据所述容器标识信息从所述服务器查询所述目标容器所在的运营机的运营机标识信息;其中,所述服务器存储有容器与运营机之间的对应关系表,所述对应关系表由所述服务器根据所述运营机按照预设时间长度采集的部署在该运营机上的容器的容器标识进行更新;
根据所述运营机标识信息向所述运营机发送容器登录请求,所述容器登录请求包括所述目标用户的标识信息、所述目标容器的容器标识信息和所述第一登录票据,其中,所述容器登录请求用于指示所述运营机在确定所述目标用户具备运营机登录权限的情况下,请求所述服务器在对所述目标用户的标识信息和所述第一登录票据验证通过后,生成所述目标用户的第二登录票据,并在接收到所述服务器发送的所述第二登录票据的情况下,根据所述目标容器的容器标识信息建立所述目标容器与所述目标用户对应的终端设备之间的通信连接。
2.根据权利要求1所述方法,其特征在于,所述在确定目标用户具备跳板机登录权限的情况下之前,所述方法还包括:
接收目标用户对应的终端设备发送的跳板机登录请求,所述跳板机登录请求包括目标用户的标识信息;
基于所述目标用户的标识信息确定所述目标用户是否具有跳板机登录权限;
若允许登录的用户的标识信息列表中包含所述目标用户的标识信息,则确定所述目标用户具备跳板机登录权限。
3.根据权利要求1或2所述方法,其特征在于,所述在确定目标用户具备跳板机登录权限的情况下,请求服务器生成所述目标用户的第一登录票据,包括:
在确定所述目标用户具备跳板机登录权限的情况下,向所述服务器发送第一身份验证请求,所述第一身份验证请求包括所述目标用户的标识信息和令牌密钥,所述第一身份验证请求用于请求所述服务器在对所述目标用户的标识信息和所述令牌密钥验证通过后,生成所述目标用户的第一登录票据。
4.一种容器管理方法,其特征在于,所述方法应用于运营机,所述方法包括:
按照预设时间长度采集部署在所述运营机上的容器的容器标识;
向服务器发送所述部署在所述运营机上的容器的容器标识,以使得所述服务器根据所述部署在所述运营机上的容器的容器标识对存储的容器与运营机之间的对应关系表进行更新;其中,所述对应关系表用于跳板机在收到目标用户的容器登录指令时,根据所述容器登录指令包括的目标容器的容器标识信息从所述服务器查询所述目标容器所在的运营机的运营机标识信息;
接收所述跳板机根据所述运营机标识信息发送的所述目标用户的容器登录请求,所述容器登录请求中包括所述目标用户的标识信息、所述目标容器的容器标识信息和第一登录票据;其中,所述第一登录票据是由所述跳板机在确定所述目标用户具备跳板机登录权限的情况下,请求所述服务器生成的;
在确定所述目标用户具备运营机登录权限的情况下,向所述服务器发送第二身份验证请求,所述第二身份验证请求包括所述目标用户的标识信息和第一登录票据,所述第二身份验证请求用于请求所述服务器在对所述目标用户的标识信息和所述第一登录票据验证通过后,生成所述目标用户的第二登录票据;
在接收到所述服务器发送的所述第二登录票据的情况下,根据所述目标容器的容器标识信息建立所述目标容器与所述目标用户对应的终端设备之间的通信连接,并将所述目标用户的标识信息写入所述目标容器。
5.根据权利要求4所述方法,其特征在于,所述接收跳板机发送的目标用户的容器登录请求之后,所述在确定所述目标用户具备运营机登录权限的情况下之前,所述方法还包括:
基于所述目标用户的标识信息确定所述目标用户是否具有运营机登录权限;
若允许登录的用户的标识信息列表中包含所述目标用户的标识信息,则确定所述目标用户具备运营机登录权限。
6.根据权利要求4或5所述方法,其特征在于,所述根据所述目标容器的容器标识信息建立所述目标容器与所述目标用户对应的终端设备之间的通信连接,并将所述目标用户的标识信息写入所述目标容器之后,所述方法还包括:
通过所述目标容器接收所述目标用户输入的操作指令;
获取所述目标用户的标识信息对应的操作权限数据;
在利用所述操作权限数据对所述目标用户输入的操作指令验证通过的情况下,调用所述目标容器执行所述目标用户输入的操作指令,所述操作权限数据包括所述目标用户对于所述目标容器具备操作权限的操作指令集合。
7.根据权利要求6所述方法,其特征在于,所述根据所述目标容器的容器标识信息建立所述目标容器与所述目标用户对应的终端设备之间的通信连接,并将所述目标用户的标识信息写入所述目标容器之后,所述方法还包括:
获取所述目标用户对所述目标容器的操作行为数据;
根据所述操作行为数据、所述目标用户的标识信息和所述目标容器的容器标识信息生成操作日志;
向所述服务器发送所述操作日志,以使得所述服务器存储所述操作日志。
8.一种容器管理方法,其特征在于,所述方法包括:
运营机按照预设时间长度采集部署在所述运营机上的容器的容器标识;
所述运营机向服务器发送所述部署在所述运营机上的容器的容器标识;
所述服务器根据所述部署在所述运营机上的容器的容器标识对存储的容器与运营机之间的对应关系表进行更新;
跳板机在确定目标用户具备跳板机登录权限的情况下,请求所述服务器生成所述目标用户的第一登录票据;
所述服务器在生成所述第一登录票据之后,向所述跳板机发送所述第一登录票据;
所述跳板机在接收到所述第一登录票据的情况下,获取所述目标用户输入的容器登录指令,所述容器登录指令包括目标容器的容器标识信息,并根据所述容器标识信息从所述服务器查询所述目标容器所在的运营机的运营机标识信息;
所述服务器在从存储的所述对应关系表中查询到所述运营机标识信息之后,向所述跳板机发送所述运营机标识信息;
所述跳板机根据所述运营机标识信息向所述运营机发送容器登录请求,所述容器登录请求包括所述目标用户的标识信息、所述目标容器的容器标识信息和所述第一登录票据;
所述运营机在确定所述目标用户具备运营机登录权限的情况下,请求所述服务器对所述目标用户的标识信息和所述第一登录票据进行验证;
所述服务器在对所述目标用户的标识信息和所述第一登录票据验证通过后,生成所述目标用户的第二登录票据,并向所述运营机发送所述第二登录票据;
所述运营机在接收到所述第二登录票据的情况下,根据所述目标容器的容器标识信息建立所述目标容器与所述目标用户对应的终端设备之间的通信连接,并将所述目标用户的标识信息写入所述目标容器。
9.一种容器管理装置,其特征在于,所述容器管理装置包括用于实现权利要求1-3任意一项所述方法或者权利要求4-7任意一项所述方法的模块。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机程序,所述计算机程序被处理器执行以实现权利要求1-7任意一项所述方法。
CN202010004817.1A 2020-01-02 2020-01-02 一种容器管理方法、装置及可读存储介质 Active CN111176794B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010004817.1A CN111176794B (zh) 2020-01-02 2020-01-02 一种容器管理方法、装置及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010004817.1A CN111176794B (zh) 2020-01-02 2020-01-02 一种容器管理方法、装置及可读存储介质

Publications (2)

Publication Number Publication Date
CN111176794A CN111176794A (zh) 2020-05-19
CN111176794B true CN111176794B (zh) 2024-05-14

Family

ID=70649262

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010004817.1A Active CN111176794B (zh) 2020-01-02 2020-01-02 一种容器管理方法、装置及可读存储介质

Country Status (1)

Country Link
CN (1) CN111176794B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111428208B (zh) * 2020-06-09 2020-10-30 北京信安世纪科技股份有限公司 一种应用软件授权方法、装置及存储介质
CN112187747A (zh) * 2020-09-15 2021-01-05 中信银行股份有限公司 一种远程容器登录方法、装置及电子设备
CN112350870A (zh) * 2020-11-11 2021-02-09 杭州飞致云信息科技有限公司 容器集群系统的运维安全审计方法和装置
CN112583815B (zh) * 2020-12-07 2024-02-02 腾讯科技(深圳)有限公司 一种操作指令管理方法、装置
CN113065108B (zh) * 2021-04-16 2022-05-17 支付宝(杭州)信息技术有限公司 用户权限的管理、应用运行方法及装置
CN113434257A (zh) * 2021-07-07 2021-09-24 曙光信息产业(北京)有限公司 一种Docker的操作方法、装置、服务器和存储介质
CN114257436B (zh) * 2021-12-16 2024-02-09 杭州乒乓智能技术有限公司 适用于堡垒机的访问安全管理方法、系统、电子设备和可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8271528B1 (en) * 2008-07-25 2012-09-18 United Services Automobile Association (Usaa) Database for access control center
CN102821161A (zh) * 2012-08-24 2012-12-12 北京神州绿盟信息安全科技股份有限公司 一种网络安全审计方法、装置及系统
CN104486346A (zh) * 2014-12-19 2015-04-01 北京奇艺世纪科技有限公司 一种跳板机系统
CN106899544A (zh) * 2015-12-17 2017-06-27 腾讯科技(深圳)有限公司 基于Docker的容器登录方法、装置和系统
CN109120620A (zh) * 2018-08-17 2019-01-01 成都品果科技有限公司 一种服务器管理方法及系统
CN110414208A (zh) * 2019-07-25 2019-11-05 中国工商银行股份有限公司 登录验证方法、装置、计算设备以及介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8271528B1 (en) * 2008-07-25 2012-09-18 United Services Automobile Association (Usaa) Database for access control center
CN102821161A (zh) * 2012-08-24 2012-12-12 北京神州绿盟信息安全科技股份有限公司 一种网络安全审计方法、装置及系统
CN104486346A (zh) * 2014-12-19 2015-04-01 北京奇艺世纪科技有限公司 一种跳板机系统
CN106899544A (zh) * 2015-12-17 2017-06-27 腾讯科技(深圳)有限公司 基于Docker的容器登录方法、装置和系统
CN109120620A (zh) * 2018-08-17 2019-01-01 成都品果科技有限公司 一种服务器管理方法及系统
CN110414208A (zh) * 2019-07-25 2019-11-05 中国工商银行股份有限公司 登录验证方法、装置、计算设备以及介质

Also Published As

Publication number Publication date
CN111176794A (zh) 2020-05-19

Similar Documents

Publication Publication Date Title
CN111176794B (zh) 一种容器管理方法、装置及可读存储介质
CN109068179B (zh) 一种多平台直播方法、计算机装置及计算机可读存储介质
CN108632253B (zh) 基于移动终端的客户数据安全访问方法及装置
EP2550595B1 (en) System and method for remote maintenance of multiple clients in an electronic network using virtualization and attestation.
CN111311251B (zh) 绑定处理方法、装置及设备
CN110365684B (zh) 应用集群的访问控制方法、装置和电子设备
CN110691085B (zh) 登录方法、装置、密码管理系统及计算机可读介质
WO2016173199A1 (zh) 一种移动应用单点登录方法及装置
CN110069909B (zh) 一种免密登录第三方系统的方法及装置
CN112491776B (zh) 安全认证方法及相关设备
JP2020077353A (ja) 認証及び承認方法並びに認証サーバー
CN113938886B (zh) 身份认证平台测试方法、装置、设备及存储介质
KR20220019834A (ko) 디바이스로의 보안 자격증명 전송을 인증하는 방법 및 시스템
CN111241523B (zh) 认证处理方法、装置、设备和存储介质
CN113765655A (zh) 访问控制方法、装置、设备及存储介质
CN114139135B (zh) 设备登录管理方法、装置及存储介质
US9455972B1 (en) Provisioning a mobile device with a security application on the fly
JP2017102842A (ja) 本人認証システム、本人認証用情報出力システム、認証サーバー、本人認証方法、本人認証用情報出力方法及びプログラム
US10250778B2 (en) Distributed smart card reader for multifunction printer
CN111355583B (zh) 一种业务提供系统、方法、装置、电子设备及存储介质
CN103747423A (zh) 一种终端应用的注册方法、装置和系统
US20230063417A1 (en) System and method for forwarding authentication requests to a nearby authenticator
CN112543194B (zh) 移动终端登录方法、装置、计算机设备和存储介质
CN117134927A (zh) 一种基于Kong网关的登录校验方法及相关设备
JP2023521901A (ja) ユーザ識別子および署名収集を利用したモバイルアプリケーション偽造・変造探知方法、コンピュータプログラム、コンピュータ読み取り可能な記録媒体およびコンピュータ装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant