CN114707179B - 集群系统的资源授权方法、装置、介质及电子设备 - Google Patents

集群系统的资源授权方法、装置、介质及电子设备 Download PDF

Info

Publication number
CN114707179B
CN114707179B CN202210329221.8A CN202210329221A CN114707179B CN 114707179 B CN114707179 B CN 114707179B CN 202210329221 A CN202210329221 A CN 202210329221A CN 114707179 B CN114707179 B CN 114707179B
Authority
CN
China
Prior art keywords
namespace
authorization
resource
list
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210329221.8A
Other languages
English (en)
Other versions
CN114707179A (zh
Inventor
陈南飞
王旸
蒋驰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mingyang Industrial Technology Research Institute Shenyang Co ltd
Original Assignee
Mingyang Industrial Technology Research Institute Shenyang Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mingyang Industrial Technology Research Institute Shenyang Co ltd filed Critical Mingyang Industrial Technology Research Institute Shenyang Co ltd
Priority to CN202210329221.8A priority Critical patent/CN114707179B/zh
Publication of CN114707179A publication Critical patent/CN114707179A/zh
Application granted granted Critical
Publication of CN114707179B publication Critical patent/CN114707179B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Abstract

本申请的实施例提供了一种集群系统的资源授权方法、装置、计算机可读介质及电子设备。所述集群系统包括至少一个命名空间,所述命名空间中包括至少一种资源,所述方法包括:定义针对所述集群系统中资源的操作权限;获取命名空间列表,所述空间列表中包括一个或者多个待进行资源授权的命名空间;创建授权配置模块,并基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。本申请提供的技术方案在一定程度上简化资源授权的操作,从而提高集群系统配置和维护的便利性。

Description

集群系统的资源授权方法、装置、介质及电子设备
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种集群系统的资源授权方法、装置、计算机可读介质及电子设备。
背景技术
在集群系统命名空间中存在各种各样的资源,在现有技术下,特定主体只能根据授权才能读取命名空间中的资源,不能访问其他命名空间中的资源。若需为特定主体授予多个命名空间中资源的读访问权限,则对于各个命名空间,都必须分别针对各个命名空间执行授权操作,此授权方式配置起来较为繁琐。如果涉及的命名空间数量较多,那么授权配置量会非常大,不易于配置和维护。
基于此,本领域技术人员急需一种集群系统的资源授权方法,以求在一定程度上简化资源授权的操作,从而提高集群系统配置和维护的便利性。
发明内容
本申请的实施例提供了一种集群系统的资源授权方法、装置、计算机程序产品或计算机程序、计算机可读介质及电子设备,进而至少在一定程度上简化资源授权的操作,从而提高集群系统配置和维护的便利性。
本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
根据本申请实施例的一个方面,提供了一种集群系统的资源授权方法,所述集群系统包括至少一个命名空间,所述命名空间中包括至少一种资源,所述方法包括:定义针对所述集群系统中资源的操作权限;获取命名空间列表,所述空间列表中包括一个或者多个待进行资源授权的命名空间;创建授权配置模块,并基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。
在本申请的一些实施例中,所述操作权限包括访问权限、创建权限、删除权限、获取权限、修复权限、更新权限、监听权限、以及绑定权限中的至少一个。
在本申请的一些实施例中,所述创建授权配置模块,包括:通过所述集群系统的自定义资源模块创建所述授权配置模块。
在本申请的一些实施例中,所述基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体,包括:创建与所述授权配置模块对应的授权控制模块;通过所述授权控制模块将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。
在本申请的一些实施例中,所述通过所述授权控制模块将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体,包括:针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块在所述目标命名空间中定义所述操作权限;针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块在所述目标命名空间中创建授权配置子模块;针对所述命名空间列表中的每一个目标命名空间,基于所述授权配置子模块,将所述目标命名空间的资源的操作权限授予给所述目标主体。
在本申请的一些实施例中,所述方法还包括:通过所述授权控制模块删除所述目标主体在所述命名空间列表中各个命名空间的资源的操作权限。
在本申请的一些实施例中,所述通过所述授权控制模块删除所述目标主体在所述命名空间列表中各个命名空间的资源的操作权限,包括:针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块删除在所述目标命名空间中定义的所述操作权限;针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块删除在所述目标命名空间中创建的授权配置子模块;
根据本申请的一个方面,提供了一种集群系统的资源授权装置,所述集群系统包括至少一个命名空间,所述命名空间中包括至少一种资源,所述装置包括:定义单元,被用于定义针对所述集群系统中资源的操作权限;获取单元,被用于获取命名空间列表,所述空间列表中包括一个或者多个待进行资源授权的命名空间;创建单元,被用于创建授权配置模块,并基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。
根据本申请的一个方面,提供了一种计算机可读介质,其特征在于,所述计算机可读介质中存储有至少一条程序代码,所述至少一条程序代码由处理器加载并执行以实现如所述的集群系统的资源授权方法所执行的操作。
根据本申请的一个方面,提供了一种电子设备,其特征在于,所述电子设备包括一个或多个处理器和一个或多个存储器,所述一个或多个存储器中存储有至少一条程序代码,所述至少一条程序代码由所述一个或多个处理器加载并执行以实现如所述的集群系统的资源授权方法所执行的操作。
基于上述方案,本申请至少具备以下优点或进步之处:
在本申请的一些实施例所提供的技术方案中,通过定义针对全集群系统的资源操作权限,再自定义得到授权配置模块,通过授权配置模块将待进行授权的命名空间的资源操作权限授予目标主体,由此可以实现同时将多个命名空间内的资源操作权限同时授予同一个目标主体,而其中仅涉及授权配置模块和资源操作权限,可以有效简化集群系统的授权操作,还能提高集群系统配置和维护的便利性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
在附图中:
图1示出了可以应用本申请实施例的技术方案的示例性系统架构的示意图;
图2示出了根据本申请一个实施例的集群系统的资源授权方法的流程图;
图3示出了根据本申请一个实施例的集群系统的资源授权方法的流程图;
图4示出了根据本申请一个实施例的集群系统的资源授权方法的流程图;
图5示出了根据本申请一个实施例的集群系统的资源授权方法的流程图;
图6示出了根据本申请的一个实施例的集群系统的资源授权装置的简图;
图7示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本申请将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
需要说明的是:在本文中提及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
请参阅图1。
图1示出了可以应用本申请实施例的技术方案的示例性系统架构的示意图。
如图1所示,所述集群系统可以包括多个命名空间,在各个命名空间中可以包括多个资源。例如集群系统101,可以包括命名空间102和命名空间103。进一步的,命名空间102中配置有资源104和资源105。
在本申请的一个实施例中,所述集群系统可以是Kubernetes集群系统,即K8S集群系统,其中,K8S集群系统包括至少一个命名空间。K8S集群系统可以看作一个高度可用的计算机集群,这些计算机连接起来作为一个单元工作。K8S集群系统中的抽象允许将容器化应用程序部署到集群,即为K8S集群系统中的POD,同时POD可以为本申请所述的资源,而无需将它们专门绑定到某个计算机上。
需要说明的是,本申请提出的实施例可以用到云场景中,例如云计算,云计算(cloud computing)是一种计算模式,它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展。通过建立云计算资源池(简称云平台,一般称为IaaS(Infrastructure as aService,基础设施即服务)平台,在资源池中部署多种类型的虚拟资源,供外部客户选择使用。云计算资源池中主要包括:计算设备(为虚拟化机器,包含操作系统)、存储设备、网络设备。
以下对本申请实施例的技术方案的实现细节进行详细阐述:
请参阅图2。
图2示出了根据本申请一个实施例的集群系统的资源授权方法的流程图,所述集群系统包括至少一个命名空间,所述命名空间中包括至少一种资源,其特征在于,所述方法可以包括步骤S201-S203,具体步骤如下:
步骤S201,定义针对所述集群系统中资源的操作权限。
步骤S202,获取命名空间列表,所述空间列表中包括一个或者多个待进行资源授权的命名空间。
步骤S203,创建授权配置模块,并基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。
在本申请中,所述集群系统可以为K8S集群系统,K8S集群系统可以包括多个命名空间,而各个命名空间中可以包括多个POD,在POD中可以装载多个容器,POD中的容器可以看作虚拟机,用户可以将应用装载于容器中,从而将各个应用隔离,使得各个应用均拥有稳定的运行环境。
在本申请中,所述资源可以为K8S集群系统的POD,K8S集群系统可以使用RBAC,即Role Based Access Control,基于角色的访问控制,实现授权。从而允许管理员通过Kubernetes API动态进行授权配置。在K8S集群系统中,一个角色包含一套表示一组权限的规则,角色可以由ClusterRole对象进行定义。在本实施例中,所述操作权限可以包括访问权限、创建权限、删除权限、获取权限、修复权限、更新权限、监听权限、以及绑定权限中的至少一个。ClusterRole可以用于定义针对整个K8S集群系统中某一种资源的操作权限。
以下示例描述了在K8S集群系统中的一个ClusterRole对象,用于授予所有命名空间中pod资源的读访问权限:
在本实施例中,所述创建授权配置模块的方法可以包括:通过所述集群系统的自定义资源模块创建所述授权配置模块。
在本申请中,所述授权配置模块可以为K8S集群系统中通过CRD,即CustomResourceDefinition进行定义的自定义资源。CustomResourceDefinition为K8S集群系统中的自定义资源定义模块,能够用于定义新的自定义资源,从而创建一种新的资源。
自定义资源是对K8S api的扩展,并且能够通过api动态注册和删除。自定义资源被注册后,用户就可以使用kubectl来访问它们。
CRD是一个内建的API,用来创建自定义资源。部署一个CRD到集群中,kube-apiserver会帮助你安装好路由和提供自定义资源的一般服务端实现。也就是意味着用户不再需要编写服务端代码,只需要创建一个CRD,然后根据CRD创建自定义资源的具体实例即可。
在本申请中,可以将所述授权配置模块命名为UnionRoleBinding,用于同时在多个命名空间中将资源操作权限授予目标主体。在本申请中,所述目标主体可以包括用户、用户组、以及服务账号。
以下示例描述了在K8S集群系统中的一个UnionRoleBinding对象,用于将命名空间default、ns1、ns2、ns3中pod资源的读访问权限授予服务账号sa1:
请参阅图3。
图3示出了根据本申请一个实施例的集群系统的资源授权方法的流程图,所述基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体的方法可以包括步骤S301-S302:
步骤S301,创建与所述授权配置模块对应的授权控制模块;
步骤S302,通过所述授权控制模块将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。
在本申请中,在K8S集群系统中,可通过kubectl命令创建与删除多个授权配置模块。授权配置模块被创建以后,将会存入Etcd。因此需要添加针对所述授权配置模块的授权控制模块,用于监听Etcd中的授权配置模块,即监听Etcd中UnionRoleBinding对象,可以实际执行将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体的操作。
请参阅图4。
图4示出了根据本申请一个实施例的集群系统的资源授权方法的流程图,所述通过所述授权控制模块将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体可以包括步骤S401-S403:
步骤S401,针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块在所述目标命名空间中定义所述操作权限。
步骤S402,针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块在所述目标命名空间中创建授权配置子模块。
步骤S403,针对所述命名空间列表中的每一个目标命名空间,基于所述授权配置子模块,将所述目标命名空间的资源的操作权限授予给所述目标主体。
在本申请中,可以通过所述授权控制模块监听Etcd中UnionRoleBinding对象,实际执行将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体的操作。所述授权控制模块在监听到Etcd中UnionRoleBinding对象发生创建动作时,通过在各个命名空间按照Role授权规则分别创建Role和Rolebinding对象,其中各个命名空间中的Rolebinding对象即本申请所述的授权配置子模块。
以下示例描述了当通过kubectl命令创建UnionRoleBinding对象时,所述授权控制模块的具体处理方式:
(1)获取命名空间列表,分别为default、ns1、ns2、ns3;
(2)在ns1命名空间中创建Role对象r1,授予对ns1命名空间中的pod资源的读访问权限,r1对象如下所示:
(3)在ns1命名空间中创建RoleBinding对象rb1,将r1角色授予服务账号sa1,这一授权将允许服务账号sa1从ns1命名空间中读取pod资源,rb1对象如下所示:
(4)分别在default、ns2、ns3命名空间中,类似执行上述操作,最终将四个命名空间内的POD的读访问权限授予服务账号sa1。
在本申请的一个实施例中,所述方法还可以包括:通过所述授权控制模块删除所述目标主体在所述命名空间列表中各个命名空间的资源的操作权限。
在本申请中,在K8S集群系统中,可通过kubectl命令删除多个授权配置模块。因此需要添加针对所述授权配置模块的授权控制模块,用于监听Etcd中授权配置模块,即监听Etcd中UnionRoleBinding对象,从而可以实际执行删除所述目标主体在所述命名空间列表中各个命名空间的资源的操作权限的操作。
请参阅图5。
图5示出了根据本申请一个实施例的集群系统的资源授权方法的流程图,所述通过所述授权控制模块删除所述目标主体在所述命名空间列表中各个命名空间的资源的操作权限的方法可以包括步骤S501-S502:
步骤S501,针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块删除在所述目标命名空间中定义的所述操作权限。
步骤S502,针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块删除在所述目标命名空间中创建的授权配置子模块。
例如,当需要删除UnionRoleBinding对象:
(1)获取命名空间列表,分别为default、ns1、ns2、ns3;
(2)在ns1命名空间中删除RoleBinding对象rb1;
(3)在ns1命名空间中删除Role对象r1;
(4)分别在default、ns2、ns3命名空间中,重复上述操作。
接下来将结合附图,对本申请的一个装置实施例进行说明。
请参阅图6。
图6示出了根据本申请的一个实施例的集群系统的资源授权装置的简图,所述集群系统包括至少一个命名空间,所述命名空间中包括至少一种资源,其特征在于,所述集群系统的资源授权装置600可以包括:定义单元601、获取单元602、以及创建单元603。
其中,所述集群系统的资源授权装置600具体配置可以为:定义单元601,被用于定义针对所述集群系统中资源的操作权限;获取单元602,被用于获取命名空间列表,所述空间列表中包括一个或者多个待进行资源授权的命名空间;创建单元603,被用于创建授权配置模块,并基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。
请参阅图7。
图7示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
需要说明的是,图7示出的电子设备的计算机系统700仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(Central Processing Unit,CPU)701,其可以根据存储在只读存储器(Read-Only Memory,ROM)702中的程序或者从储存部分708加载到随机访问存储器(Random Access Memory,RAM)703中的程序而执行各种适当的动作和处理,例如执行上述实施例中所述的方法。在RAM 703中,还存储有系统操作所需的各种程序和数据。CPU 701、ROM702以及RAM 703通过总线704彼此相连。输入/输出(Input/Output,I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分707;包括硬盘等的储存部分708;以及包括诸如LAN(Local Area Network,局域网)卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入储存部分708。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
作为另一方面,本申请还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例中所述的集群系统的资源授权方法。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现上述实施例中所述的集群系统的资源授权方法。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本申请实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的实施方式后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims (8)

1.一种集群系统的资源授权方法,所述集群系统包括至少一个命名空间,所述命名空间中包括至少一种资源,其特征在于,所述方法包括:
定义针对所述集群系统中资源的操作权限;
获取命名空间列表,所述空间列表中包括一个或者多个待进行资源授权的命名空间;
创建授权配置模块,并基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体;
其中,所述基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体,包括:
创建与所述授权配置模块对应的授权控制模块;
通过所述授权控制模块将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体;
其中,通过所述授权控制模块将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体,包括:
针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块在所述目标命名空间中定义所述操作权限;
针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块在所述目标命名空间中创建授权配置子模块;
针对所述命名空间列表中的每一个目标命名空间,基于所述授权配置子模块,将所述目标命名空间的资源的操作权限授予给所述目标主体;
其中,将所述授权配置模块命名为UnionRoleBinding对象,当所述授权控制模块监听到Etcd中的UnionRoleBinding对象发生创建动作时,执行将所述命名空间列表中各个命名空间的资源的操作权限同时授予给所述目标主体的操作。
2.根据权利要求1所述的方法,其特征在于,所述操作权限包括访问权限、创建权限、删除权限、获取权限、修复权限、更新权限、监听权限、以及绑定权限中的至少一个。
3.根据权利要求1所述的方法,其特征在于,所述创建授权配置模块,包括:
通过所述集群系统的自定义资源模块创建所述授权配置模块。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
通过所述授权控制模块删除所述目标主体在所述命名空间列表中各个命名空间的资源的操作权限。
5.根据权利要求4所述的方法,其特征在于,所述通过所述授权控制模块删除所述目标主体在所述命名空间列表中各个命名空间的资源的操作权限,包括:
针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块删除在所述目标命名空间中定义的所述操作权限;
针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块删除在所述目标命名空间中创建的授权配置子模块。
6.一种集群系统的资源授权装置,用于实现如权利要求1所述的集群系统的资源授权方法,所述集群系统包括至少一个命名空间,所述命名空间中包括至少一种资源,其特征在于,所述装置包括:
定义单元,被用于定义针对所述集群系统中资源的操作权限;
获取单元,被用于获取命名空间列表,所述空间列表中包括一个或者多个待进行资源授权的命名空间;
创建单元,被用于创建授权配置模块,并基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。
7.一种计算机可读介质,其特征在于,所述计算机可读介质中存储有至少一条程序代码,所述至少一条程序代码由处理器加载并执行以实现如权利要求1至5任一项所述的集群系统的资源授权方法所执行的操作。
8.一种电子设备,其特征在于,所述电子设备包括一个或多个处理器和一个或多个存储器,所述一个或多个存储器中存储有至少一条程序代码,所述至少一条程序代码由所述一个或多个处理器加载并执行以实现如权利要求1至5任一项所述的集群系统的资源授权方法所执行的操作。
CN202210329221.8A 2022-03-31 2022-03-31 集群系统的资源授权方法、装置、介质及电子设备 Active CN114707179B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210329221.8A CN114707179B (zh) 2022-03-31 2022-03-31 集群系统的资源授权方法、装置、介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210329221.8A CN114707179B (zh) 2022-03-31 2022-03-31 集群系统的资源授权方法、装置、介质及电子设备

Publications (2)

Publication Number Publication Date
CN114707179A CN114707179A (zh) 2022-07-05
CN114707179B true CN114707179B (zh) 2023-11-17

Family

ID=82169829

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210329221.8A Active CN114707179B (zh) 2022-03-31 2022-03-31 集群系统的资源授权方法、装置、介质及电子设备

Country Status (1)

Country Link
CN (1) CN114707179B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109474632A (zh) * 2018-12-28 2019-03-15 优刻得科技股份有限公司 对用户进行认证和权限管理的方法、装置、系统和介质
CN110990150A (zh) * 2019-11-15 2020-04-10 北京浪潮数据技术有限公司 容器云平台的租户管理方法、系统、电子设备及存储介质
CN112438040A (zh) * 2019-07-01 2021-03-02 思杰系统有限公司 用于使用命名空间访问计算资源的系统和方法
CN112468539A (zh) * 2020-11-06 2021-03-09 苏州浪潮智能科技有限公司 一种k8s集群用户资源调用的方法、装置、设备及可读介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11593172B2 (en) * 2020-04-02 2023-02-28 Vmware, Inc. Namespaces as units of management in a clustered and virtualized computer system
US11494509B2 (en) * 2020-06-19 2022-11-08 Salesforce.Com, Inc. Controlling just in time access to a cluster

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109474632A (zh) * 2018-12-28 2019-03-15 优刻得科技股份有限公司 对用户进行认证和权限管理的方法、装置、系统和介质
CN112438040A (zh) * 2019-07-01 2021-03-02 思杰系统有限公司 用于使用命名空间访问计算资源的系统和方法
CN110990150A (zh) * 2019-11-15 2020-04-10 北京浪潮数据技术有限公司 容器云平台的租户管理方法、系统、电子设备及存储介质
CN112468539A (zh) * 2020-11-06 2021-03-09 苏州浪潮智能科技有限公司 一种k8s集群用户资源调用的方法、装置、设备及可读介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
马永亮 著.《kubernetes 进阶实战》(第二版).机械工业出版社,2021,362-365. *

Also Published As

Publication number Publication date
CN114707179A (zh) 2022-07-05

Similar Documents

Publication Publication Date Title
CN107835181B (zh) 服务器集群的权限管理方法、装置、介质和电子设备
US11153316B2 (en) Locked-down cluster
US20140067864A1 (en) File access for applications deployed in a cloud environment
WO2022116813A1 (en) Container-based cryptography hardware security module management
CN113544646B (zh) 安全存储隔离
CN113922995A (zh) 一种云桌面共享方法、装置、存储介质及电子设备
CN114595467A (zh) 针对数据中心对象的多阶段保护
CN114721821A (zh) 集群系统的资源管理方法、装置、介质及电子设备
CN112635034A (zh) 一种业务权限系统、权限分配方法、电子设备及存储介质
CN114707179B (zh) 集群系统的资源授权方法、装置、介质及电子设备
CN112270003A (zh) 一种多业务动态配置数据源方法、平台及电子设备
CN114051029B (zh) 授权方法、授权装置、电子设备和存储介质
CN115442129A (zh) 一种管理集群访问权限的方法、装置和系统
CN113282890B (zh) 资源授权方法、装置、电子设备及存储介质
US11558387B2 (en) Validation of approver identifiers in a cloud computing environment
CN112437123B (zh) 资源管理方法、装置、计算机系统、可读存储介质
US11494239B2 (en) Method for allocating computing resources, electronic device, and computer program product
US11277434B2 (en) Reducing attack surface by selectively collocating applications on host computers
CN114095200A (zh) 资源访问权限管理方法、装置、电子设备及介质
CN113946816A (zh) 基于云服务的鉴权方法、装置、电子设备和存储介质
CN115878296B (zh) 一种资源管理方法、装置、电子设备及可读存储介质
CN112860422A (zh) 用于作业处理的方法、设备和计算机程序产品
CN113239377B (zh) 权限控制方法、装置、设备以及存储介质
US20220253542A1 (en) Orchestration of administrative unit management
US11016874B2 (en) Updating taint tags based on runtime behavior profiles

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant