CN115022021B - 一种访问k8s方法、系统、设备及计算机可读存储介质 - Google Patents
一种访问k8s方法、系统、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN115022021B CN115022021B CN202210608872.0A CN202210608872A CN115022021B CN 115022021 B CN115022021 B CN 115022021B CN 202210608872 A CN202210608872 A CN 202210608872A CN 115022021 B CN115022021 B CN 115022021B
- Authority
- CN
- China
- Prior art keywords
- token
- access
- user
- target user
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 238000012795 verification Methods 0.000 claims abstract description 76
- 238000004590 computer program Methods 0.000 claims description 35
- 238000004458 analytical method Methods 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 5
- 230000000875 corresponding effect Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了访问k8s方法、系统、设备及计算机可读存储介质,涉及k8s访问,应用于k8s,获取目标用户对k8s的访问信息;对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息;基于权限控制信息确定目标用户的访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。本申请中,k8s中预先存储有权限控制信息,这样,k8s只需基于权限控制信息便可以确定目标用户的访问权限,最后按照访问信息,基于访问权限进行访问操作,便可以得到与权限控制信息相匹配的访问结果,实现了k8s借助权限控制信息来安全处理用户的访问信息,此外,便于对k8s中的权限进行管控,便捷性好。
Description
技术领域
本申请涉及k8s访问技术领域,更具体地说,涉及一种访问k8s方法、系统、设备及计算机可读存储介质。
背景技术
Kubernetes(简称k8s)是一个可移植、可扩展的开源平台,用于管理容器化的工作负载和服务,方便进行声明式配置和自动化。Kubernetes拥有一个庞大且快速增长的生态系统,其服务、支持和工具的使用范围广泛。
在生产环境中,大型公司根据自己的需要搭建私有云,对服务器等资源进行统一管理成为一种常见的方式,在这种方式下,往往将服务器搭建出k8s和容器环境,然后再纳入云管平台的统一管理,这种方式能够满足自动化的开发,运维需要。云管平台云管平台管理员将集群的所有资源分为多个VDC(虚拟数据中心),并为每个实际的业务部门分配一个到多个VDC。普通用户在VDC内创建应用,并可根据实际需要对VDC所需要的资源进行扩容或者所用。这种方式下在云管平台云管平台进行统一资源分发时,对普通用户来说屏蔽掉复杂的底层操作,具有很高的易用性。但是当在系统发生错误时,由于云管平台屏蔽掉了底层的具体信息,用户没有办法直接接触到底层的资源和报错信息,难以对错误进行及时有效的处理;另外,对于一些专家用户,其可能对于k8s十分精通,希望直接对k8s集群进行操作,云管平台也难以满足他们对底层资源的控制。
为了解决云管平台无法为用户提供标准k8s接口的能力,现有的解决方案是为用户提供X509证书签发的kubeconfig,但是X509证书没有很好的注销方案,当一个人离职之后没有办法注销其证书,他就依然可以使用该证书访问系统。目前有两种解决方案但都不是很完善,一种是轮换证书,但是需要把所有的证书重新签发一边;一种是设置有效期,但是有效期过短需要频繁的更换证书,过长则依然存在难以注销的问题。
综上所述,如何提高用户访问k8s的安全性及便捷性是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种k8s访问方法,其能在一定程度上解决如何提高用户访问k8s的安全性及便捷性的技术问题。本申请还提供了一种k8s访问系统、电子设备及计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种访问k8s方法,应用于k8s,包括:
获取目标用户对所述k8s的访问信息;
对所述目标用户进行安全验证,若验证通过,则获取存储在所述k8s中的权限控制信息;
基于所述权限控制信息确定所述目标用户的访问权限;
按照所述访问信息,基于所述访问权限进行访问操作,得到访问结果。
优选的,所述对所述目标用户进行安全验证,包括:
获取所述目标用户的id token;
获取签发所述id token的证书;
基于所述证书对所述id token的签名字段进行解析,若解析正确则对所述idtoken的有效期进行验证;
若所述id token有效,则解析所述id token得到用户鉴权信息,并确定所述目标用户通过所述安全验证。
优选的,所述获取所述目标用户的id token,包括:
获取client-go发送的访问请求认证头部,所述访问请求认证头部包括所述client-go验证接收到的所述id token有效后、对所述id token进行封装后生成的认证头部;
对所述访问请求认证头部进行解析,得到所述id token。
优选的,所述解析所述id token得到用户鉴权信息,包括:
解析所述id token得到用户名和用户组字段;
将所述用户名和所述用户组字段作为所述用户鉴权信息;
所述基于所述权限控制信息确定所述目标用户的访问权限,包括:
基于所述用户鉴权信息对所述权限控制信息进行查询,得到所述访问权限。
优选的,所述获取所述目标用户的id token,包括:
获取所述目标用户的所述id token,所述id token包括基于OIDC协议生成的idtoken。
优选的,所述获取目标用户对所述k8s的访问信息之前,还包括:
获取所述k8s连接的云管平台设置的所述权限控制信息;
基于RBAC模型存储所述权限控制信息。
优选的,所述基于RBAC模型存储所述权限控制信息之后,还包括:
获取所述云管平台发送的权限更新信息;
基于所述权限更新信息更新所述权限控制信息。
一种访问k8s系统,应用于k8s,包括:
第一获取模块,用于获取目标用户对所述k8s的访问信息;
第一验证模块,用于对所述目标用户进行安全验证,若验证通过,则获取存储在所述k8s中的权限控制信息;
第一确定模块,用于基于所述权限控制信息确定所述目标用户的访问权限;
第一处理模块,用于按照所述访问信息,基于所述访问权限进行访问操作,得到访问结果。
一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一所述访问k8s方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器时实现如上任一所述访问k8s方法的步骤。
本申请提供的一种访问k8s方法,应用于k8s,获取目标用户对k8s的访问信息;对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息;基于权限控制信息确定目标用户的访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。本申请中,k8s获取目标用户对k8s的访问信息之后,对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息,也即k8s中预先存储有权限控制信息,这样,k8s只需基于权限控制信息便可以确定目标用户的访问权限,最后按照访问信息,基于访问权限进行访问操作,便可以得到与权限控制信息相匹配的访问结果,实现了k8s借助权限控制信息来安全处理用户的访问信息,此外,整个过程无需设置证书,只需对权限控制信息进行更改,便可以控制k8s中用户的相应访问权限,便于对k8s中的权限进行管控。本申请提供的一种k8s访问系统、电子设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种访问k8s方法的第一流程图;
图2为本申请实施例提供的一种访问k8s方法的第二流程图;
图3为本申请实施例提供的一种访问k8s方法的第三流程图;
图4为本申请中访问k8s方法的整体流程图;
图5为本申请实施例提供的一种访问k8s方法的第四流程图;
图6为本申请实施例提供的一种访问k8s方法的第五流程图;
图7为本申请实施例提供的一种访问k8s方法的第六流程图;
图8为本申请实施例提供的一种访问k8s方法的结构示意图;
图9为本申请实施例提供的一种电子设备的结构示意图;
图10为本申请实施例提供的一种电子设备的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
Kubernetes(简称k8s)是一个可移植、可扩展的开源平台,用于管理容器化的工作负载和服务,方便进行声明式配置和自动化。Kubernetes拥有一个庞大且快速增长的生态系统,其服务、支持和工具的使用范围广泛。在生产环境中,大型公司根据自己的需要搭建私有云,对服务器等资源进行统一管理成为一种常见的方式,在这种方式下,往往将服务器搭建出k8s和容器环境,然后再纳入云管平台的统一管理,这种方式能够满足自动化的开发,运维需要。云管平台云管平台管理员将集群的所有资源分为多个VDC(虚拟数据中心),并为每个实际的业务部门分配一个到多个VDC。普通用户在VDC内创建应用,并可根据实际需要对VDC所需要的资源进行扩容或者所用。这种方式下在云管平台云管平台进行统一资源分发时,对普通用户来说屏蔽掉复杂的底层操作,具有很高的易用性。但是当在系统发生错误时,由于云管平台屏蔽掉了底层的具体信息,用户没有办法直接接触到底层的资源和报错信息,难以对错误进行及时有效的处理;另外,对于一些专家用户,其可能对于k8s十分精通,希望直接对k8s集群进行操作,云管平台也难以满足他们对底层资源的控制。
为了解决云管平台无法为用户提供标准k8s接口的能力,现有的解决方案是为用户提供X509证书签发的kubeconfig,但是X509证书没有很好的注销方案,当一个人离职之后没有办法注销其证书,他就依然可以使用该证书访问系统。目前有两种解决方案但都不是很完善,一种是轮换证书,但是需要把所有的证书重新签发一边;一种是设置有效期,但是有效期过短需要频繁的更换证书,过长则依然存在难以注销的问题。为了解决此技术问题,本申请提供了一种访问k8s方法、系统、电子设备及计算机可读存储介质。
请参阅图1,图1为本申请实施例提供的一种访问k8s方法的第一流程图。
本申请实施例提供的一种访问k8s方法,应用于k8s,可以包括以下步骤:
步骤S101:获取目标用户对k8s的访问信息。
实际应用中,k8s可以先获取目标用户对k8s的访问信息,访问信息的内容、类型等可以根据实际需要确定,本申请在此不做具体限定。
具体应用场景中,目标用户可以借助自身的客户端,比如手机、电脑等,将访问信息发送给k8s等,本申请在此不做具体限定。
步骤S102:对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息。
实际应用中,k8s在获取目标用户对k8s的访问信息之后,可以先对目标用户进行安全验证,若验证通过,则可以获取存储在k8s中的权限控制信息,以便后续基于权限控制信息来对访问信息进行处理。
需要说的是,k8s对目标用户进行安全验证的过程可以根据实际需要来确定,比如k8s可以向目标用户的绑定客户端发送验证码,并实时接收验证码,若接收到的验证码与自身生成的验证码一致,则通过对目标用户的安全验证等,当然也可以有其他对目标用户进行安全性验证的方式,本申请在此不做具体限定。
步骤S103:基于权限控制信息确定目标用户的访问权限。
实际应用中,k8s在获取存储在k8s中的权限控制信息之后,便可以基于权限控制信息确定目标用户的访问权限,以便根据目标用户的访问权限来对目标用户的访问信息进行相应处理。
需要说明的是,权限控制信息用于记录各个用户的相应访问权限,其类型及结构等可以根据实际需要来确定,比如权限控制信息可以以键值对的形式来保存目标用户的访问权限等,本申请在此不做具体限定。
步骤S104:按照访问信息,基于访问权限进行访问操作,得到访问结果。
实际应用中,k8s在基于权限控制信息确定目标用户的访问权限之后,便可以按照访问信息,基于访问权限进行访问操作,得到对应的访问结果,比如访问信息要求访问目标信息,且访问权限表征目标用户具有访问目标信息的权限,则可以将目标信息作为访问结果,相应的,若访问权限表征目标用户不具有访问目标信息的权限,则可以拒绝操作,并返回错误等,本申请在此不做具体限定。
本申请提供的一种访问k8s方法,应用于k8s,获取目标用户对k8s的访问信息;对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息;基于权限控制信息确定目标用户的访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。本申请中,k8s获取目标用户对k8s的访问信息之后,对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息,也即k8s中预先存储有权限控制信息,这样,k8s只需基于权限控制信息便可以确定目标用户的访问权限,最后按照访问信息,基于访问权限进行访问操作,便可以得到与权限控制信息相匹配的访问结果,实现了k8s借助权限控制信息来安全处理用户的访问信息,此外,整个过程无需设置证书,只需对权限控制信息进行更改,便可以控制k8s中用户的相应访问权限,便于对k8s中的权限进行管控。
请参阅图2,图2为本申请实施例提供的一种访问k8s方法的第二流程图。
本申请实施例提供的一种访问k8s方法,应用于k8s,可以包括以下步骤:
步骤S201:获取目标用户对k8s的访问信息。
步骤S202:获取目标用户的id token。
实际应用中,k8s在对目标用户进行安全验证的过程中,可以借助id token来快速对目标用户进行安全验证,此时,k8s可以获取目标用户的id token。
需要说的是,本申请中的id token的格式可以为一种JWT,其是OIDC(OpenIDConnect)协议中定义的用户身份的凭证,起到判定用户身份的作用,携带有判定用户身份、权限等一系列信息。还需说的是,JWT全称是JSON Web Token,其内容分为三部分,header:包括JWT的编码信息等内容,Payload:用户的信息以及自定义的内容,Signature:对前两部分的签名,目的是防止JWT内容被篡改;此外,本申请中的OIDC是一套基于OAuth 2.0的认证+授权协议,用于用户身份认证,将用户数据安全地暴露给第三方,换言之,本申请中的idtoken可以基于OIDC协议生成,相应的,k8s在获取目标用户的id token的过程中,可以获取目标用户的id token,id token包括基于OIDC协议生成的id token。
具体应用场景中,在基于OIDC协议生成id token的过程中,可以借助云管平台来生成id token,具体的,用户可以先登录云管平台,并点击获取kubeconfig按钮;云管平台要求用户为要生成kubeconfig的用户输入用户名和密码;云管平台根据用户名和密码向第三方用户管理系统,如keycloak,请求token,第三方用户管理系统根据用户名和密码生成对应的token,比如id token和refresh token,并返回给云管平台;云管平台根据token为用户组装kubeconfig并返回给用户客户端,以便用户借助客户端获知自身的token信息等。需要说的是,在此过程中生成的refresh token指的是OIDC协议中定义的用户登陆状态凭证,当id token过期后,用户可使用refresh token向OIDC协议重新申请一个id token,而不必重新输入用户名、密码。
步骤S203:获取签发id token的证书。
实际应用中,k8s在获取目标用户的id token之后,便可以获取签发id token的证书,以便后续基于该证书对id token进行安全验证,进而对目标用户进行安全验证。
具体应用场景中,可以对k8s中的apiserver的启动参数进行更改,比如通过部署job,借助job自动对apiserver的启动参数进行更改等,以使apiserver可以和第三方用户管理系统,如keycloak,进行交互,以此来获取相应的证书等。需要说明的是,本申请中所涉及的Job指的是k8s提供的一种任务类型,负责批量处理短暂的一次性任务,即仅执行一次的任务。
步骤S204:基于证书对id token的签名字段进行解析,若解析正确则对id token的有效期进行验证。
步骤S205:若id token有效,则解析id token得到用户鉴权信息,并确定目标用户通过安全验证,获取存储在k8s中的权限控制信息。
实际应用中,k8s在获取签发id token的证书之后,便可以基于证书对id token的签名字段进行解析,若解析正确则对id token的有效期进行验证,若id token有效,则解析id token得到用户鉴权信息,并确定目标用户通过安全验证。
需要说明的是,k8s基于证书对id token的签名字段进行解析的过程可以参阅现有技术,本申请在此不做具体限定。
步骤S206:基于权限控制信息确定目标用户的访问权限。
步骤S207:按照访问信息,基于访问权限进行访问操作,得到访问结果。
请参阅图3和图4,图3为本申请实施例提供的一种访问k8s方法的第三流程图,图4为本申请中访问k8s方法的整体流程图。
本申请实施例提供的一种访问k8s方法,应用于k8s,可以包括以下步骤:
步骤S301:获取目标用户对k8s的访问信息。
步骤S302:获取client-go发送的访问请求认证头部,访问请求认证头部包括client-go验证接收到的id token有效后、对id token进行封装后生成的认证头部;对访问请求认证头部进行解析,得到id token。
实际应用场景中,k8s在获取目标用户的id token的过程中,可以获取client-go发送的访问请求认证头部,访问请求认证头部包括client-go验证接收到的id token有效后、对id token进行封装后生成的认证头部;对访问请求认证头部进行解析,得到idtoken。也即k8s可以借助client-go来安全获取目标用户的id token,以便后续对访问过程进行安全管控。
具体应用场景中,client-go向k8s发送id token的过程可以如下:client-go接收用户客户端传输的id token,检查idtoken是否有效,如果无效则使用refresh token向第三方用户管理系统,如keycloak申请刷新id token,刷新失败则报错误,用户需要重新向云管平台申请kubeconfig;如果有效,则client-go将id token封装到用户请求认证头部,发送到k8s。
步骤S303:获取签发id token的证书。
步骤S304:基于证书对id token的签名字段进行解析,若解析正确则对id token的有效期进行验证。
步骤S305:若id token有效,则解析id token得到用户鉴权信息,并确定目标用户通过安全验证,获取存储在k8s中的权限控制信息。
步骤S306:基于权限控制信息确定目标用户的访问权限。
步骤S307:按照访问信息,基于访问权限进行访问操作,得到访问结果。
请参阅图5,图5为本申请实施例提供的一种访问k8s方法的第四流程图。
本申请实施例提供的一种访问k8s方法,应用于k8s,可以包括以下步骤:
步骤S501:获取目标用户对k8s的访问信息。
步骤S502:获取目标用户的id token。
步骤S503:获取签发id token的证书。
步骤S504:基于证书对id token的签名字段进行解析,若解析正确则对id token的有效期进行验证。
步骤S505:若id token有效,则解析id token得到用户名和用户组字段;将用户名和用户组字段作为用户鉴权信息,并确定目标用户通过安全验证,获取存储在k8s中的权限控制信息。
步骤S506:基于用户鉴权信息对权限控制信息进行查询,得到访问权限。
实际应用中,为了快速确定访问权限,可以设置用户鉴权信息由用户名和用户组字段组成,则k8s在解析id token得到用户鉴权信息的过程中,可以解析id token得到用户名和用户组字段,将用户名和用户组字段作为用户鉴权信息;相应的,在基于权限控制信息确定目标用户的访问权限的过程中,可以基于用户鉴权信息对权限控制信息进行查询,快速得到访问权限。
步骤S507:按照访问信息,基于访问权限进行访问操作,得到访问结果。
请参阅图6,图6为本申请实施例提供的一种访问k8s方法的第五流程图。
本申请实施例提供的一种访问k8s方法,应用于k8s,可以包括以下步骤:
步骤S601:获取k8s连接的云管平台设置的权限控制信息。
步骤S602:基于RBAC模型存储权限控制信息。
实际应用中,为了k8s快速、方便的存储权限控制信息,k8s在获取目标用户对k8s的访问信息之前,还可以获取k8s连接的云管平台设置的权限控制信息;基于RBAC模型存储权限控制信息。
需要说的是,本申请中所涉及的RBAC指的是k8s支持的一种权限授予工具。
步骤S603:获取目标用户对k8s的访问信息。
步骤S604:对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息。
步骤S605:基于权限控制信息确定目标用户的访问权限。
步骤S606:按照访问信息,基于访问权限进行访问操作,得到访问结果。
请参阅图7,图7为本申请实施例提供的一种访问k8s方法的第六流程图。
本申请实施例提供的一种访问k8s方法,应用于k8s,可以包括以下步骤:
步骤S701:获取k8s连接的云管平台设置的权限控制信息。
步骤S702:基于RBAC模型存储权限控制信息。
步骤S703:获取云管平台发送的权限更新信息。
步骤S704:基于权限更新信息更新权限控制信息。
实际应用场景中,云管平台传输权限控制信息给k8s进行存储后,还存在用户根据实际需要对权限控制信息进行更新的情况,此时,为了同步k8s与云管平台间的权限控制信息,以便准确进行访问管控,k8s在基于RBAC模型存储权限控制信息之后,还可以获取云管平台发送的权限更新信息;基于权限更新信息更新权限控制信息。
需要说的是,权限更新信息的类型可以根据具体应用场景来确定,比如权限更新信息可以包括创建、删除、更改等,本申请在此不做具体限定。
步骤S705:获取目标用户对k8s的访问信息。
步骤S706:对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息。
步骤S707:基于权限控制信息确定目标用户的访问权限。
步骤S708:按照访问信息,基于访问权限进行访问操作,得到访问结果。
请参阅图8,图8为本申请实施例提供的一种访问k8s方法的结构示意图。
本申请实施例提供的一种访问k8s系统,应用于k8s,可以包括:
第一获取模块101,用于获取目标用户对k8s的访问信息;
第一验证模块102,用于对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息;
第一确定模块103,用于基于权限控制信息确定目标用户的访问权限;
第一处理模块104,用于按照访问信息,基于访问权限进行访问操作,得到访问结果。
本申请实施例提供的一种访问k8s系统,应用于k8s,第一验证模块可以包括:
第一获取子模块,用于获取目标用户的id token;
第二获取子模块,用于获取签发id token的证书;
第一解析模块,用于基于证书对id token的签名字段进行解析,若解析正确则对id token的有效期进行验证;
第二解析模块,用于若id token有效,则解析id token得到用户鉴权信息,并确定目标用户通过安全验证。
本申请实施例提供的一种访问k8s系统,应用于k8s,第一获取子模块可以包括:
第一获取单元,用于获取client-go发送的访问请求认证头部,访问请求认证头部包括client-go验证接收到的id token有效后、对id token进行封装后生成的认证头部;
第一解析单元,用于对访问请求认证头部进行解析,得到id token。
本申请实施例提供的一种访问k8s系统,应用于k8s,第二解析模块可以包括:
第二解析单元,用于解析id token得到用户名和用户组字段;
第一设置单元,用于将用户名和用户组字段作为用户鉴权信息;
第二解析模块可以包括:
第一查询单元,用于基于用户鉴权信息对权限控制信息进行查询,得到访问权限。
本申请实施例提供的一种访问k8s系统,应用于k8s,第一获取子模块可以包括:
第二获取单元,用于获取目标用户的id token,id token包括基于OIDC协议生成的id token。
本申请实施例提供的一种访问k8s系统,应用于k8s,还可以包括:
第二获取模块,用于第一获取模块获取目标用户对k8s的访问信息之前,获取k8s连接的云管平台设置的权限控制信息;
第一存储模块,用于基于RBAC模型存储权限控制信息。
本申请实施例提供的一种访问k8s系统,应用于k8s,还可以包括:
第三获取模块,用于第一存储模块基于RBAC模型存储权限控制信息之后,获取云管平台发送的权限更新信息;
第一更新模块,用于基于权限更新信息更新权限控制信息。
本申请还提供了一种电子设备及计算机可读存储介质,其均具有本申请实施例提供的一种访问k8s方法具有的对应效果。请参阅图9,图9为本申请实施例提供的一种电子设备的结构示意图。
本申请实施例提供的一种电子设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:
获取目标用户对k8s的访问信息;
对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息;
基于权限控制信息确定目标用户的访问权限;
按照访问信息,基于访问权限进行访问操作,得到访问结果。
本申请实施例提供的一种电子设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:对目标用户进行安全验证,包括:获取目标用户对k8s的访问信息;获取目标用户的id token;获取签发id token的证书;基于证书对id token的签名字段进行解析,若解析正确则对id token的有效期进行验证;若id token有效,则解析id token得到用户鉴权信息,并确定目标用户通过安全验证,获取存储在k8s中的权限控制信息;基于权限控制信息确定目标用户的访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。
本申请实施例提供的一种电子设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:获取目标用户对k8s的访问信息;获取client-go发送的访问请求认证头部,访问请求认证头部包括client-go验证接收到的id token有效后、对id token进行封装后生成的认证头部;对访问请求认证头部进行解析,得到id token;获取签发id token的证书;基于证书对id token的签名字段进行解析,若解析正确则对id token的有效期进行验证;若id token有效,则解析id token得到用户鉴权信息,并确定目标用户通过安全验证,获取存储在k8s中的权限控制信息;基于权限控制信息确定目标用户的访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。
本申请实施例提供的一种电子设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:获取目标用户对k8s的访问信息;获取目标用户的id token;获取签发id token的证书;基于证书对id token的签名字段进行解析,若解析正确则对id token的有效期进行验证;若id token有效,则解析idtoken得到用户名和用户组字段;将用户名和用户组字段作为用户鉴权信息,并确定目标用户通过安全验证,获取存储在k8s中的权限控制信息;基于用户鉴权信息对权限控制信息进行查询,得到访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。
本申请实施例提供的一种电子设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:对目标用户进行安全验证,包括:获取目标用户对k8s的访问信息;获取目标用户的id token,id token包括基于OIDC协议生成的id token;获取签发id token的证书;基于证书对id token的签名字段进行解析,若解析正确则对id token的有效期进行验证;若id token有效,则解析id token得到用户鉴权信息,并确定目标用户通过安全验证,获取存储在k8s中的权限控制信息;基于权限控制信息确定目标用户的访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。
本申请实施例提供的一种电子设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:获取k8s连接的云管平台设置的权限控制信息;基于RBAC模型存储权限控制信息;获取目标用户对k8s的访问信息;对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息;基于权限控制信息确定目标用户的访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。
本申请实施例提供的一种电子设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:获取k8s连接的云管平台设置的权限控制信息;基于RBAC模型存储权限控制信息;获取云管平台发送的权限更新信息;基于权限更新信息更新权限控制信息;获取目标用户对k8s的访问信息;对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息;基于权限控制信息确定目标用户的访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。
请参阅图10,本申请实施例提供的另一种电子设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现电子设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:
获取目标用户对k8s的访问信息;
对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息;
基于权限控制信息确定目标用户的访问权限;
按照访问信息,基于访问权限进行访问操作,得到访问结果。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:对目标用户进行安全验证,包括:获取目标用户对k8s的访问信息;获取目标用户的id token;获取签发id token的证书;基于证书对id token的签名字段进行解析,若解析正确则对id token的有效期进行验证;若idtoken有效,则解析id token得到用户鉴权信息,并确定目标用户通过安全验证,获取存储在k8s中的权限控制信息;基于权限控制信息确定目标用户的访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:获取目标用户对k8s的访问信息;获取client-go发送的访问请求认证头部,访问请求认证头部包括client-go验证接收到的idtoken有效后、对id token进行封装后生成的认证头部;对访问请求认证头部进行解析,得到id token;获取签发id token的证书;基于证书对id token的签名字段进行解析,若解析正确则对id token的有效期进行验证;若id token有效,则解析id token得到用户鉴权信息,并确定目标用户通过安全验证,获取存储在k8s中的权限控制信息;基于权限控制信息确定目标用户的访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:获取目标用户对k8s的访问信息;获取目标用户的id token;获取签发id token的证书;基于证书对id token的签名字段进行解析,若解析正确则对id token的有效期进行验证;若id token有效,则解析id token得到用户名和用户组字段;将用户名和用户组字段作为用户鉴权信息,并确定目标用户通过安全验证,获取存储在k8s中的权限控制信息;基于用户鉴权信息对权限控制信息进行查询,得到访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:对目标用户进行安全验证,包括:获取目标用户对k8s的访问信息;获取目标用户的id token,id token包括基于OIDC协议生成的id token;获取签发id token的证书;基于证书对id token的签名字段进行解析,若解析正确则对id token的有效期进行验证;若id token有效,则解析id token得到用户鉴权信息,并确定目标用户通过安全验证,获取存储在k8s中的权限控制信息;基于权限控制信息确定目标用户的访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:获取k8s连接的云管平台设置的权限控制信息;基于RBAC模型存储权限控制信息;获取目标用户对k8s的访问信息;对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息;基于权限控制信息确定目标用户的访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:获取k8s连接的云管平台设置的权限控制信息;基于RBAC模型存储权限控制信息;获取云管平台发送的权限更新信息;基于权限更新信息更新权限控制信息;获取目标用户对k8s的访问信息;对目标用户进行安全验证,若验证通过,则获取存储在k8s中的权限控制信息;基于权限控制信息确定目标用户的访问权限;按照访问信息,基于访问权限进行访问操作,得到访问结果。
本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本申请实施例提供的一种k8s访问系统、电子设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的k8s访问方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种访问k8s方法,其特征在于,应用于k8s,包括:
获取目标用户对所述k8s的访问信息;
对所述目标用户进行安全验证,若验证通过,则获取存储在所述k8s中的权限控制信息;
基于所述权限控制信息确定所述目标用户的访问权限;
按照所述访问信息,基于所述访问权限进行访问操作,得到访问结果;
其中,所述对所述目标用户进行安全验证,包括:
获取所述目标用户的id token,所述id token包括基于OIDC协议生成的id token;
获取签发所述id token的证书;
基于所述证书对所述id token的签名字段进行解析,若解析正确则对所述id token的有效期进行验证;
若所述id token有效,则解析所述id token得到用户鉴权信息,并确定所述目标用户通过所述安全验证;
其中,基于所述OIDC协议生成所述id token的过程包括:在所述目标用户登录云管平台并点击获取kubeconfig按钮后,所述云管平台指示所述目标用户为要生成kubeconfig的用户输入用户名和密码,所述云管平台根据所述用户名和所述密码向第三方用户管理系统请求token,所述云管平台接收所述第三方用户管理系统根据用户名和密码生成对应的token,所述token包括所述id token和refresh token;所述云管平台根据所述token为所述目标用户组装kubeconfig并返回给用户客户端,以便所述目标用户借助所述用户客户端获知自身的token信息。
2.根据权利要求1所述的方法,其特征在于,所述获取所述目标用户的id token,包括:
获取client-go发送的访问请求认证头部,所述访问请求认证头部包括所述client-go验证接收到的所述id token有效后、对所述id token进行封装后生成的认证头部;
对所述访问请求认证头部进行解析,得到所述id token。
3.根据权利要求1所述的方法,其特征在于,所述解析所述id token得到用户鉴权信息,包括:
解析所述id token得到用户名和用户组字段;
将所述用户名和所述用户组字段作为所述用户鉴权信息;
所述基于所述权限控制信息确定所述目标用户的访问权限,包括:
基于所述用户鉴权信息对所述权限控制信息进行查询,得到所述访问权限。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述获取目标用户对所述k8s的访问信息之前,还包括:
获取所述k8s连接的云管平台设置的所述权限控制信息;
基于RBAC模型存储所述权限控制信息。
5.根据权利要求4所述的方法,其特征在于,所述基于RBAC模型存储所述权限控制信息之后,还包括:
获取所述云管平台发送的权限更新信息;
基于所述权限更新信息更新所述权限控制信息。
6.一种访问k8s系统,其特征在于,应用于k8s,包括:
第一获取模块,用于获取目标用户对所述k8s的访问信息;
第一验证模块,用于对所述目标用户进行安全验证,若验证通过,则获取存储在所述k8s中的权限控制信息;
第一确定模块,用于基于所述权限控制信息确定所述目标用户的访问权限;
第一处理模块,用于按照所述访问信息,基于所述访问权限进行访问操作,得到访问结果;
其中,所述第一验证模块包括:
第一获取子模块,用于获取所述目标用户的id token,所述id token包括基于OIDC协议生成的id token;
第二获取子模块,用于获取签发所述id token的证书;
第一解析模块,用于基于所述证书对所述id token的签名字段进行解析,若解析正确则对所述id token的有效期进行验证;
第二解析模块,用于若所述id token有效,则解析所述id token得到用户鉴权信息,并确定所述目标用户通过所述安全验证;
其中,基于所述OIDC协议生成所述id token的过程包括:在所述目标用户登录云管平台并点击获取kubeconfig按钮后,所述云管平台指示所述目标用户为要生成kubeconfig的用户输入用户名和密码,所述云管平台根据所述用户名和所述密码向第三方用户管理系统请求token,所述云管平台接收所述第三方用户管理系统根据用户名和密码生成对应的token,所述token包括所述id token和refresh token;所述云管平台根据所述token为所述目标用户组装kubeconfig并返回给用户客户端,以便所述目标用户借助所述用户客户端获知自身的token信息。
7.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述访问k8s方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器时实现如权利要求1至5任一项所述访问k8s方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210608872.0A CN115022021B (zh) | 2022-05-31 | 2022-05-31 | 一种访问k8s方法、系统、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210608872.0A CN115022021B (zh) | 2022-05-31 | 2022-05-31 | 一种访问k8s方法、系统、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115022021A CN115022021A (zh) | 2022-09-06 |
| CN115022021B true CN115022021B (zh) | 2024-04-26 |
Family
ID=83071688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210608872.0A Active CN115022021B (zh) | 2022-05-31 | 2022-05-31 | 一种访问k8s方法、系统、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115022021B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108108223A (zh) * | 2017-11-30 | 2018-06-01 | 国网浙江省电力公司信息通信分公司 | 基于Kubernetes的容器管理平台 |
| CN111061432A (zh) * | 2019-12-06 | 2020-04-24 | 北京浪潮数据技术有限公司 | 一种业务迁移方法、装置、设备及可读存储介质 |
| CN111935110A (zh) * | 2020-07-24 | 2020-11-13 | 北京金山云网络技术有限公司 | 一种对租户访问容器实例的权限的控制方法和装置 |
| CN113239397A (zh) * | 2021-05-11 | 2021-08-10 | 鸬鹚科技(深圳)有限公司 | 信息访问方法、装置、计算机设备及介质 |
| CN113608842A (zh) * | 2021-09-30 | 2021-11-05 | 苏州浪潮智能科技有限公司 | 一种容器集群和组件的管理方法、装置、系统及存储介质 |
| KR102322312B1 (ko) * | 2021-05-24 | 2021-11-05 | 나무기술 주식회사 | 쿠버네티스 RBAC(Role Based Access Control)를 이용한 컨테이너 보안 관리 시스템 |
| CN113676336A (zh) * | 2021-10-22 | 2021-11-19 | 深圳市明源云采购科技有限公司 | 微服务访问代理方法、设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3466028B1 (en) * | 2016-06-06 | 2021-09-08 | Illumina, Inc. | Tenant-aware distributed application authentication |
-
2022
- 2022-05-31 CN CN202210608872.0A patent/CN115022021B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108108223A (zh) * | 2017-11-30 | 2018-06-01 | 国网浙江省电力公司信息通信分公司 | 基于Kubernetes的容器管理平台 |
| CN111061432A (zh) * | 2019-12-06 | 2020-04-24 | 北京浪潮数据技术有限公司 | 一种业务迁移方法、装置、设备及可读存储介质 |
| CN111935110A (zh) * | 2020-07-24 | 2020-11-13 | 北京金山云网络技术有限公司 | 一种对租户访问容器实例的权限的控制方法和装置 |
| CN113239397A (zh) * | 2021-05-11 | 2021-08-10 | 鸬鹚科技(深圳)有限公司 | 信息访问方法、装置、计算机设备及介质 |
| KR102322312B1 (ko) * | 2021-05-24 | 2021-11-05 | 나무기술 주식회사 | 쿠버네티스 RBAC(Role Based Access Control)를 이용한 컨테이너 보안 관리 시스템 |
| CN113608842A (zh) * | 2021-09-30 | 2021-11-05 | 苏州浪潮智能科技有限公司 | 一种容器集群和组件的管理方法、装置、系统及存储介质 |
| CN113676336A (zh) * | 2021-10-22 | 2021-11-19 | 深圳市明源云采购科技有限公司 | 微服务访问代理方法、设备及存储介质 |
Non-Patent Citations (6)
| Title |
|---|
| Kubernetes容器云平台多租户方案研究与设计;黄丹池;何震苇;严丽云;林园致;杨新章;;电信科学(第09期);全文 * |
| T-DSES: A Blockchain-powered Trusted Decentralized Service Eco-System;X. Wu et al;Journal of Web Engineering ( Volume: 20, Issue: 8, November 2021);20211130;全文 * |
| 基于Kubernetes的私有容器云平台多租户模型的研究与设计;邓芷秋;中国知网硕士电子期刊(第2022年第05期);全文 * |
| 基于Kubernetes的高可用容器云的设计与实现;张春辉;中国知网硕士电子期刊(第2022年第01期);45-55 * |
| 基于OpenStack构建云计算基础架构平台的研究;杨健;牛晨旭;;电脑知识与技术;20180715(第20期);全文 * |
| 基于微服务的自动化测试云平台的设计与实现;杨梁;中国知网硕士电子期刊;20210515(第2021年第05期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115022021A (zh) | 2022-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11750609B2 (en) | Dynamic computing resource access authorization | |
| US8561152B2 (en) | Target-based access check independent of access request | |
| US8839234B1 (en) | System and method for automated configuration of software installation package | |
| JP3415456B2 (ja) | ネットワークシステム及びコマンド使用権限制御方法ならびに制御プログラムを格納した記憶媒体 | |
| CN105530246B (zh) | 虚拟机管理的方法、装置和系统 | |
| US8347378B2 (en) | Authentication for computer system management | |
| CN106411857B (zh) | 一种基于虚拟隔离机制的私有云gis服务访问控制方法 | |
| EP2039111B1 (en) | System and method for tracking the security enforcement in a grid system | |
| US8254579B1 (en) | Cryptographic key distribution using a trusted computing platform | |
| CA3120582A1 (en) | Dual factor authentication with active directory and one time password token combination | |
| CN110324338B (zh) | 数据交互方法、装置、堡垒机与计算机可读存储介质 | |
| US20210409218A1 (en) | Access control for short-lived resource principals | |
| US20140355034A1 (en) | Image forming apparatus, server device, information processing method, and computer-readable storage medium | |
| CN108092945B (zh) | 访问权限的确定方法和装置、终端 | |
| WO2018119589A1 (zh) | 账户管理方法、装置及账户管理系统 | |
| US20210409219A1 (en) | Access control for long-lived resource principals | |
| JP2023530802A (ja) | クラスタアクセス方法、クラスタアクセス装置、電子機器、コンピュータ可読記憶媒体およびコンピュータプログラム | |
| US11811679B2 (en) | Stacked identities for resource principals | |
| US8332642B2 (en) | Monitor portal, monitor system, terminal and computer readable medium thereof | |
| US9135460B2 (en) | Techniques to store secret information for global data centers | |
| CN112039851A (zh) | 服务器登录方法、系统及装置 | |
| CN110691089A (zh) | 一种应用于云服务的认证方法、计算机设备及存储介质 | |
| CN115022021B (zh) | 一种访问k8s方法、系统、设备及计算机可读存储介质 | |
| CN109040066B (zh) | 一种云安全管理平台与云安全产品的对接方法及装置 | |
| US11411813B2 (en) | Single user device staging |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |