CN114051029A - 授权方法、授权装置、电子设备和存储介质 - Google Patents
授权方法、授权装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN114051029A CN114051029A CN202111325035.9A CN202111325035A CN114051029A CN 114051029 A CN114051029 A CN 114051029A CN 202111325035 A CN202111325035 A CN 202111325035A CN 114051029 A CN114051029 A CN 114051029A
- Authority
- CN
- China
- Prior art keywords
- permission
- service cluster
- cluster
- information
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本公开提供了一种授权方法、授权装置、电子设备和存储介质,涉及计算机技术领域,具体为集群技术领域。所述授权方法包括:响应于接收到来自对象的权限请求,创建与所述权限请求相对应的权限数据,所述权限数据包括要申请的至少一个权限和与所述至少一个权限相对应的至少一个业务集群的信息;以及读取所述权限数据并根据读取的权限数据将所述至少一个权限下发到所述至少一个业务集群,使得通过所述至少一个业务集群创建所述至少一个权限。
Description
技术领域
本公开涉及计算机技术领域,具体为集群技术领域,更具体涉及一种授权方法、授权装置、电子设备和存储介质。
背景技术
相比于单集群,多集群可承载更多的业务,以应对逐渐增加的业务需求。另外,业务在单集群中的高可用性难以保证,从而产生了在多个可用区域部署多集群的需求。随着多集群的应用逐渐增多,对于多集群的管理变得越来越重要。
发明内容
本公开提供了一种授权方法、授权装置、电子设备和存储介质。
根据本公开的一方面,提供了一种授权方法,包括:
响应于接收到来自对象的权限请求,创建与所述权限请求相对应的权限数据,所述权限数据包括要申请的至少一个权限和与所述至少一个权限相对应的至少一个业务集群的信息;以及
读取所述权限数据并根据读取的权限数据将所述至少一个权限下发到所述至少一个业务集群,使得通过所述至少一个业务集群创建所述至少一个权限。
根据本公开的另一方面,提供了一种授权装置,包括:
创建模块,被配置为响应于接收到来自对象的权限请求,创建与所述权限请求相对应的权限数据,所述权限数据包括要申请的至少一个权限和与所述至少一个权限相对应的至少一个业务集群的信息;以及
下发模块,被配置为读取所述权限数据并根据读取的权限数据将所述至少一个权限下发到所述至少一个业务集群,使得通过所述至少一个业务集群创建所述至少一个权限。
根据本公开的另一方面,提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本公开中所描述的授权方法。
根据本公开的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使计算机执行本公开中所描述的授权方法。
根据本公开的另一方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现本公开中所描述的授权方法。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是根据本公开实施例的授权方法的示意性流程图;
图2是根据本公开实施例的管控集群和业务集群之间的授权操作的示例的示意图;
图3是根据本公开实施例的管控集群和业务集群之间的注册操作的示例的示意图;
图4是根据本公开实施例的管控集群和业务集群之间的访问操作的示例的示意图;
图5是根据本公开实施例的授权装置的示意性框图;以及
图6是根据本公开实施例的电子设备的示意性框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
在多集群场景下,一般地,通过单集群模式或多集群模式来实现用户对各个集群的授权和访问控制。在单集群模式下,分别对多集群中的单个集群进行授权,并通过访问每个集群的入口来实现对相应集群的访问。在多集群模式下,在中控集群实现一套权限控制系统,并且中控集群拥有所有业务集群的管理员权限,以通过中控集群对各个业务集群进行访问。也就是说,中控集群对各个业务集群的权限进行验证并以管理员权限对各个业务集群进行访问。
随着集群数量的增加,对集群的管理变得更加困难和复杂。在单集群模式下,需要对每个集群进行授权,并保存每个集群的授权凭证和集群入口。当集群数量较大时,管理成本很高。在多集群模式下,中控集群保存所有业务集群的管理员权限,如果发生权限泄露,则可能发生所有业务集群的管理员权限集中泄露的情况。
Kubernetes(简称为K8s)是一种广泛使用的用于容器编排的管理工具,提供了关于应用部署、规划、更新和维护的机制。随着K8s的普及,其使用和规模越来越大。但是,K8s单集群规模有限,通常在5000节点以下,难以满足业务增长需求,由此,对K8s多集群的应用逐渐增加。然而,在多集群场景下,特别地,在如上所述的多集群模式下,需要在中控集群研发和部署兼容K8s权限体系的权限系统,这种方式成本巨大也不灵活。
本公开提供了在多集群场景下对多个集群的授权和访问控制,使用K8s的标准鉴权方式,而不需要建立新的权限管控系统。具体地,在本公开的技术方案中,部署管控集群(或主集群)和业务集群(或从集群),在管控集群中设置中心服务器(Hub Server),并在业务集群中设置代理服务器(Agent Server)。由此,本公开的技术方案采用Hub-Agent方式进行权限管理。
此外,在本公开的示例性实施例中,管控集群和各业务集群都包括或注册到K8s的组件ApiServer(简称为kube-ApiServer),该组件提供资源操作的唯一入口,提供认证、授权、访问控制、API注册和发现等机制,并且可以管理集群元信息并提供修改元信息的入口。另外,kube-ApiServer用于暴露K8s API,任何的资源请求/调用操作都是通过kube-ApiServer提供的接口进行的。因此,根据本公开实施例的多集群权限管理技术方案,对外暴露标准的K8s接口,使得用户可以通过原生的K8s接口对各个业务集群进行访问,从而降低用户的学习成本。
下面将参考附图对根据本公开实施例的多集群权限管理技术方案进行详细描述。贯穿附图,可以用相同或相似的附图标记表示相同或相似的元件、组件、操作或步骤。
图1是根据本公开实施例的授权方法的示意性流程图。
如图1所示,根据本公开实施例的授权方法100可以包括以下步骤。
在步骤S110,响应于接收到来自对象(或用户)的权限请求(或权限申请),创建与权限请求相对应的权限数据,其中权限数据包括要申请的至少一个权限和与至少一个权限相对应的至少一个业务集群的信息。
在步骤S120,读取权限数据并根据读取的权限数据将至少一个权限下发到至少一个业务集群,使得通过至少一个业务集群创建至少一个权限。
下面将参照图2详细描述根据本公开实施例的管控集群和业务集群之间的授权操作的示例。
图2是根据本公开实施例的管控集群和业务集群之间的授权操作的示例的示意图。
如图2所示,管控集群210的kube-ApiServer可以接收用户(或对象)提交的权限请求(或权限申请),并且创建对应于权限请求的权限数据。
根据本公开的实施例,用户可以向管控集群提交权限请求以申请一个或多个业务集群的权限。例如,用户可以申请业务集群220的权限A,可以申请业务集群230的权限B,或者可以同时申请业务集群220的权限A和业务集群230的权限B。此外,权限A和权限B可以分别为多个权限。换言之,用户可以同时申请不同业务集群的不同权限。然而,本公开不限于此。例如,用户可以同时申请不同业务集群的一些相同权限。
此外,根据本公开的实施例,用户可以在权限请求中指定其想要申请的权限以及权限要作用于的业务集群的范围,使得管控集群可以基于权限请求来创建包括用户想要申请的指定权限和与指定权限相对应的业务集群的信息在内的权限数据。
根据本公开的实施例,管控集群210的Hub Server可以读取所创建的权限数据并根据读取的权限数据将相应权限下发到相应业务集群以通过相应业务集群创建相应权限。例如,管控集群210可以将权限A下发到业务集群220,并将权限B下发到业务集群230。
作为示例,管控集群的Hub Server可以以aggregatorServer(聚合服务器)的方式注册到kube-ApiServer,并且Hub Server可以在监听到发生权限数据创建时读取权限数据并根据读取的权限数据向各业务集群下发权限。
此外,根据本公开的实施例,业务集群220的Agent Server可以接收管控集群210下发的相应权限,并且业务集群220的kube-ApiServer可以创建相应权限。例如,业务集群220可以接收并创建权限A。
同样地,业务集群230的Agent Server可以接收管控集群210下发的相应权限,并且业务集群230的kube-ApiServer可以创建相应权限。例如,业务集群230可以接收并创建权限B。
在本公开的示例性实施例中,权限可以是K8s中的基于角色的访问控制(RBAC)权限,其是K8s的默认权限。在RBAC权限的情况下,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。角色集合中的每一种角色对应于一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有该角色的所有操作权限。使用RBAC权限可以简化用户权限管理并减少系统开销。
然而,本公开不限于此,例如,权限可以是RBAC权限以外的K8s所支持的其他类型的权限。
此外,各业务集群(例如,220和230)可以分别存储所创建的权限以用于后续访问过程。
因此,所有申请的权限(例如,RBAC权限)都存储在业务集群自身当中,而管控集群不保存任何业务集群的权限信息,由此,防止或降低所有业务集群的权限集中泄露的风险。同时,管控集群不具备业务集群的管理员权限,从而降低了权限泄露带来的风险。
图3是根据本公开实施例的管控集群和业务集群之间的注册操作的示例的示意图。
如图3所示,业务集群310的Agent Server可以例如在启动时向管控集群330发起注册请求并上报其元信息。换言之,业务集群310的元信息可以与注册请求一起从业务集群310发送到管控集群330,使得管控集群330可以保存业务集群310的元信息。
根据示例,该元信息可以包括业务集群的静态信息(例如,版本)和动态信息(例如,集群健康状态)。
根据本公开的实施例,管控集群330的Hub Server可以接收并审批业务集群310发起的注册请求以注册业务集群310的信息,并且与业务集群310建立连接。作为示例,在业务集群310和管控集群330之间建立的连接可以是websocket连接。然而,本公开不限于此。例如,该连接可以是其他类型的持续性连接。
根据一个示例,业务集群可以通过建立的例如websocket连接向管控集群定期地上报其元信息(例如,其健康状态信息)。
同样地,业务集群320的Agent Server可以在启动时向管控集群330发起注册请求并上报其元信息,使得管控集群330可以保存业务集群320的元信息。管控集群330的HubServer可以接收并审批业务集群320发起的注册请求以注册业务集群320的信息,并且与业务集群320建立连接。作为示例,在业务集群320和管控集群330之间建立的连接可以是websocket连接。然而,本公开不限于此。例如,该连接可以是其他类型的持续性连接。
如上所述,管控集群可以接受业务集群的注册,并保存业务集群的元信息。此外,管控集群还可以维护与业务集群的连接(例如,websocket连接),以便于用户后续通过该连接访问业务集群。
此外,根据示例,管控集群的Hub Server可以根据用户申请的权限数据和业务集群的元信息向各业务集群下发权限(例如,RBAC权限)。
图4是根据本公开实施例的管控集群和业务集群之间的访问操作的示例的示意图。
如图4所示,管控集群410的kube-ApiServer可以接收用户提交的访问请求并将访问请求转发到Hub Server。根据本公开的实施例,用户可以使用管控集群的授权凭证(token)和权限证书(CA)来访问管控集群,并且向管控集群提交对一个或多个业务集群的访问请求,该访问请求可以包括用户想要访问的业务集群的信息和与业务集群相关的权限名称。在RBAC权限的情况下,包括在访问请求中的权限名称可以是角色名称。在这种情况下,用户所提交的请求的示例可以是例如以下形式:/api/{APIGroup}/{APIVersion}/connections/{ClusterName}/roles/{roleName}/api。
根据本公开的实施例,管控集群410的Hub Server可以将包括权限名称或角色名称的访问请求转发到各业务集群,例如,业务集群420和430。
根据本公开的实施例,业务集群420的Agent Server可以接收管控集群410的HubServer转发的包括权限名称或角色名称的访问请求,并且根据包括在访问请求中的权限名称或角色名称在业务集群420中查询相应的权限(例如,关于权限的token),同时查询业务集群420的CA。然后,Agent Server可以将查询到的权限(例如,token)和CA发送给业务集群420的kube-ApiServer。
业务集群420的kube-ApiServer可以使用查询到的权限(例如,token)和CA对业务集群420进行访问。根据本公开的示例性实施例,业务集群420可以使用查询到的token和CA创建特定连接,以根据与token相对应的权限来访问业务集群420的资源。
同样地,业务集群430的Agent Server可以接收管控集群410的Hub Server转发的包括权限名称或角色名称的访问请求,并且根据包括在访问请求中的权限名称或角色名称在业务集群430中查询相应的权限(例如,关于权限的token),同时查询业务集群430的CA。然后,Agent Server可以将查询到的权限(例如,token)和CA发送给业务集群430的kube-ApiServer。
业务集群430的kube-ApiServer可以使用查询到的权限(例如,token)和CA对业务集群430进行访问。根据本公开的示例性实施例,业务集群430可以使用查询到的token和CA创建特定连接,以根据与token相对应的权限来访问业务集群430的资源。
因此,根据本公开实施例的多集群权限管理技术方案可以通过使用管控集群的授权凭证(token)和权限证书(CA)以及所申请的业务集群的权限名称或角色名称来实现对多个业务集群的访问,从而为业务集群的访问提供统一的访问入口。
虽然以上为了便于描述而在图2至图4中仅示出了两个业务集群,但是本公开不限于此。例如,可以根据需求设置或部署三个或更多个业务集群。
图5是根据本公开实施例的授权装置的示意性框图。以上参考图1至图4进行的描述也适用于图5,因此,为了简洁起见,将省略重复描述。
如图5所示,根据本公开实施例的授权装置500可以包括创建模块510和下发模块520。
根据本公开的实施例,创建模块510可以被配置为响应于接收到来自对象或用户的权限请求,创建与权限请求相对应的权限数据。在本公开的实施例中,权限数据可以包括要申请的至少一个权限和与至少一个权限相对应的至少一个业务集群的信息。作为示例,创建模块510可以是例如管控集群的kube-ApiServer。
此外,根据本公开的实施例,下发模块520可以被配置为读取权限数据并根据读取的权限数据将至少一个权限下发到至少一个业务集群,使得通过至少一个业务集群创建至少一个权限。作为示例,下发模块520可以是例如管控集群的Hub Server。
另外,授权装置500还可以包括注册模块,其被配置为响应于接收到来自至少一个业务集群的注册请求而注册该至少一个业务集群的信息。根据本公开的示例,注册请求可以包括至少一个业务集群的元信息,并且该元信息可以包括至少一个业务集群的静态信息(例如,版本)和动态信息(例如,集群健康状态)。
另外,授权装置500还可以包括转发模块,其被配置为响应于接收到来自用户的访问请求而将访问请求转发到要访问的业务集群以根据指定权限来访问业务集群。根据本公开的示例,访问请求可以包括业务集群的信息和与指定权限相对应的权限名称或角色名称。作为示例,转发模块可以是例如管控集群的Hub Server。
如上所述,根据本公开的实施例的授权方法和授权装置提供了在多集群场景下对多个集群的授权和访问控制,使用K8s的标准鉴权方式,而不需要建立新的权限管控系统。此外,根据本公开的实施例,管控集群可以批量对业务集群进行授权,因此,通过提交一次权限申请可以实现对多个业务集群的访问。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图6示出了可以用来实施本公开的实施例的示例电子设备600的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图6所示,设备600包括计算单元601,其可以根据存储在只读存储器(ROM)602中的计算机程序或者从存储单元608加载到随机访问存储器(RAM)603中的计算机程序,来执行各种适当的动作和处理。在RAM 603中,还可存储设备600操作所需的各种程序和数据。计算单元601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
设备600中的多个部件连接至I/O接口605,包括:输入单元606,例如键盘、鼠标等;输出单元607,例如各种类型的显示器、扬声器等;存储单元608,例如磁盘、光盘等;以及通信单元609,例如网卡、调制解调器、无线通信收发机等。通信单元609允许设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元601执行上文所描述的各个方法和处理,例如由上述装置500执行的方法和处理。例如,在一些实施例中,这些方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元608。在一些实施例中,计算机程序的部分或者全部可以经由ROM 602和/或通信单元609而被载入和/或安装到设备600上。当计算机程序加载到RAM 603并由计算单元601执行时,可以执行上文描述的授权方法100的一个或多个步骤。备选地,在其他实施例中,计算单元601可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行上述方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器远离彼此并且可以通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (13)
1.一种授权方法,包括:
响应于接收到来自对象的权限请求,创建与所述权限请求相对应的权限数据,所述权限数据包括要申请的至少一个权限和与所述至少一个权限相对应的至少一个业务集群的信息;以及
读取所述权限数据并根据读取的权限数据将所述至少一个权限下发到所述至少一个业务集群,使得通过所述至少一个业务集群创建所述至少一个权限。
2.根据权利要求1所述的授权方法,还包括:
响应于接收到来自所述至少一个业务集群的注册请求,注册所述至少一个业务集群的信息。
3.根据权利要求2所述的授权方法,其中,所述注册请求包括所述至少一个业务集群的元信息,所述元信息包括所述至少一个业务集群的静态信息和动态信息。
4.根据权利要求1所述的授权方法,还包括:
响应于接收到来自所述对象的访问请求,将所述访问请求转发到要访问的业务集群以根据指定权限来访问所述业务集群,
其中,所述访问请求包括所述业务集群的信息和与所述指定权限相对应的权限名称。
5.根据权利要求1-4中任一项所述的授权方法,其中,所述权限是基于角色的访问控制RBAC权限。
6.一种授权装置,包括:
创建模块,被配置为响应于接收到来自对象的权限请求,创建与所述权限请求相对应的权限数据,所述权限数据包括要申请的至少一个权限和与所述至少一个权限相对应的至少一个业务集群的信息;以及
下发模块,被配置为读取所述权限数据并根据读取的权限数据将所述至少一个权限下发到所述至少一个业务集群,使得通过所述至少一个业务集群创建所述至少一个权限。
7.根据权利要求6所述的授权装置,还包括:
注册模块,被配置为响应于接收到来自所述至少一个业务集群的注册请求,注册所述至少一个业务集群的信息。
8.根据权利要求7所述的授权装置,其中,所述注册请求包括所述至少一个业务集群的元信息,所述元信息包括所述至少一个业务集群的静态信息和动态信息。
9.根据权利要求6所述的授权装置,还包括:
转发模块,被配置为响应于接收到来自所述对象的访问请求,将所述访问请求转发到要访问的业务集群以根据指定权限来访问所述业务集群,
其中,所述访问请求包括所述业务集群的信息和与所述指定权限相对应的权限名称。
10.根据权利要求6-9中任一项所述的授权装置,其中,所述权限是基于角色的访问控制RBAC权限。
11.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行根据权利要求1-5中任一项所述的授权方法。
12.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使计算机执行根据权利要求1-5中任一项所述的授权方法。
13.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1-5中任一项所述的授权方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111325035.9A CN114051029B (zh) | 2021-11-10 | 2021-11-10 | 授权方法、授权装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111325035.9A CN114051029B (zh) | 2021-11-10 | 2021-11-10 | 授权方法、授权装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114051029A true CN114051029A (zh) | 2022-02-15 |
| CN114051029B CN114051029B (zh) | 2023-07-18 |
Family
ID=80207947
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111325035.9A Active CN114051029B (zh) | 2021-11-10 | 2021-11-10 | 授权方法、授权装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114051029B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174177A (zh) * | 2022-06-27 | 2022-10-11 | 广东美云智数科技有限公司 | 权限管理方法、装置、电子设备、存储介质和程序产品 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080071804A1 (en) * | 2006-09-15 | 2008-03-20 | International Business Machines Corporation | File system access control between multiple clusters |
| CN108881108A (zh) * | 2017-05-09 | 2018-11-23 | 北京京东尚科信息技术有限公司 | 权限管理的方法和装置 |
| CN109474632A (zh) * | 2018-12-28 | 2019-03-15 | 优刻得科技股份有限公司 | 对用户进行认证和权限管理的方法、装置、系统和介质 |
| CN109788037A (zh) * | 2018-12-24 | 2019-05-21 | 北京旷视科技有限公司 | 集群管理方法、装置、系统及计算机存储介质 |
| CN110909379A (zh) * | 2019-11-08 | 2020-03-24 | 浪潮电子信息产业股份有限公司 | 一种存储集群的权限确定方法、装置、设备及存储介质 |
| CN110990150A (zh) * | 2019-11-15 | 2020-04-10 | 北京浪潮数据技术有限公司 | 容器云平台的租户管理方法、系统、电子设备及存储介质 |
| CN111597024A (zh) * | 2020-05-14 | 2020-08-28 | 科东(广州)软件科技有限公司 | 跨域集群处理方法、装置、电子设备及存储介质 |
| CN111897623A (zh) * | 2020-06-11 | 2020-11-06 | 新浪网技术(中国)有限公司 | 一种集群管理方法、装置、设备及存储介质 |
| US20210084048A1 (en) * | 2019-09-18 | 2021-03-18 | International Business Machines Corporation | Cognitive Access Control Policy Management in a Multi-Cluster Container Orchestration Environment |
| CN112688983A (zh) * | 2019-10-18 | 2021-04-20 | 顺丰科技有限公司 | 代理权限管理装置、终端设备及存储介质 |
| CN112948861A (zh) * | 2021-03-09 | 2021-06-11 | 浪潮云信息技术股份公司 | 基于微服务的元数据权限管理方法及装置 |
| CN113495921A (zh) * | 2020-04-02 | 2021-10-12 | 北京京东振世信息技术有限公司 | 一种数据库集群的路由方法和装置 |
-
2021
- 2021-11-10 CN CN202111325035.9A patent/CN114051029B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080071804A1 (en) * | 2006-09-15 | 2008-03-20 | International Business Machines Corporation | File system access control between multiple clusters |
| CN108881108A (zh) * | 2017-05-09 | 2018-11-23 | 北京京东尚科信息技术有限公司 | 权限管理的方法和装置 |
| CN109788037A (zh) * | 2018-12-24 | 2019-05-21 | 北京旷视科技有限公司 | 集群管理方法、装置、系统及计算机存储介质 |
| CN109474632A (zh) * | 2018-12-28 | 2019-03-15 | 优刻得科技股份有限公司 | 对用户进行认证和权限管理的方法、装置、系统和介质 |
| US20210084048A1 (en) * | 2019-09-18 | 2021-03-18 | International Business Machines Corporation | Cognitive Access Control Policy Management in a Multi-Cluster Container Orchestration Environment |
| CN112688983A (zh) * | 2019-10-18 | 2021-04-20 | 顺丰科技有限公司 | 代理权限管理装置、终端设备及存储介质 |
| CN110909379A (zh) * | 2019-11-08 | 2020-03-24 | 浪潮电子信息产业股份有限公司 | 一种存储集群的权限确定方法、装置、设备及存储介质 |
| CN110990150A (zh) * | 2019-11-15 | 2020-04-10 | 北京浪潮数据技术有限公司 | 容器云平台的租户管理方法、系统、电子设备及存储介质 |
| CN113495921A (zh) * | 2020-04-02 | 2021-10-12 | 北京京东振世信息技术有限公司 | 一种数据库集群的路由方法和装置 |
| CN111597024A (zh) * | 2020-05-14 | 2020-08-28 | 科东(广州)软件科技有限公司 | 跨域集群处理方法、装置、电子设备及存储介质 |
| CN111897623A (zh) * | 2020-06-11 | 2020-11-06 | 新浪网技术(中国)有限公司 | 一种集群管理方法、装置、设备及存储介质 |
| CN112948861A (zh) * | 2021-03-09 | 2021-06-11 | 浪潮云信息技术股份公司 | 基于微服务的元数据权限管理方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 路川;胡欣杰;纪锋;: "基于角色访问控制的协同办公系统设计与实现", 计算机技术与发展, no. 03 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174177A (zh) * | 2022-06-27 | 2022-10-11 | 广东美云智数科技有限公司 | 权限管理方法、装置、电子设备、存储介质和程序产品 |
| CN115174177B (zh) * | 2022-06-27 | 2023-06-30 | 广东美云智数科技有限公司 | 权限管理方法、装置、电子设备、存储介质和程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114051029B (zh) | 2023-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9548897B2 (en) | Network entity registry for network entity handles included in network traffic policies enforced for a provider network | |
| CN113495921B (zh) | 一种数据库集群的路由方法和装置 | |
| CN108965242B (zh) | 基于角色的控制的方法、系统及计算机可读存储介质 | |
| WO2018119589A1 (zh) | 账户管理方法、装置及账户管理系统 | |
| CN112650576A (zh) | 资源调度方法、装置、设备、存储介质及计算机程序产品 | |
| US10721236B1 (en) | Method, apparatus and computer program product for providing security via user clustering | |
| CN114051029B (zh) | 授权方法、授权装置、电子设备和存储介质 | |
| CN113010238A (zh) | 一种微应用调用接口的权限确定方法、装置和系统 | |
| WO2024045646A1 (zh) | 管理集群访问权限的方法、装置和系统 | |
| CN117170784A (zh) | 菜单及其页面的渲染方法、装置和电子设备 | |
| US20140259090A1 (en) | Storage Object Distribution System with Dynamic Policy Controls | |
| CN113946816A (zh) | 基于云服务的鉴权方法、装置、电子设备和存储介质 | |
| CN115438333A (zh) | 一种权限分配的方法和装置 | |
| US11163537B1 (en) | Tiered application pattern | |
| CN114528140A (zh) | 一种业务降级的方法和装置 | |
| CN114780165A (zh) | 基于消息队列的应用服务配置热加载方法及相关设备 | |
| CN109213815B (zh) | 控制执行次数的方法、装置、服务器终端以及可读介质 | |
| CN111147470A (zh) | 账号授权的方法、装置及电子设备 | |
| US20220253542A1 (en) | Orchestration of administrative unit management | |
| CN114707179B (zh) | 集群系统的资源授权方法、装置、介质及电子设备 | |
| CN110262756B (zh) | 用于缓存数据的方法和装置 | |
| US20240143352A1 (en) | Unified Management Interface | |
| CN114745164B (zh) | 一种业务处理方法、装置、电子设备及计算机可读介质 | |
| CN113239377B (zh) | 权限控制方法、装置、设备以及存储介质 | |
| US11418818B1 (en) | System for controlling storage of response data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |