CN115037626B - 一种策略管理方法、装置、系统及电子设备 - Google Patents

Abstract

本说明书一个或多个实施例公开了一种策略管理方法、装置、系统及电子设备，该方案可以对不同服务系统的策略请求的接收和转换，并以Rego声明式提前定义策略配置，并维护在预设规则库中，这样，就可以在提前定义好策略配置的情况下，基于接收策略申请方发送的策略请求中携带的请求参数和对象数据，对从预设规则库中获取的全量规则进行筛选，得到初步策略，然后，对所述初步策略和所述策略请求中对象数据进行预处理，封装为与OPA输入标准匹配的策略，实现与OPA的对接，并在OPA中执行该策略，最后，将执行结果返回给所述策略申请方。

Description

一种策略管理方法、装置、系统及电子设备

技术领域

本文件涉及云计算技术领域，尤其涉及一种策略管理方法、装置、系统及电子设备。

背景技术

云计算是一种新兴的商业计算模型，它是由分布式计算、并行处理、网格计算逐步发展而来的.云计算平台也称为云平台，是指基于硬件资源和软件资源的服务，提供计算、网络和存储能力。

以混合云平台即服务(Platform as a Service，PaaS)平台为例，PaaS是一个基于主流的容器技术(例如Docker及Kubernetes)构建的云平台，通过统一应用管理、异构资源管理和智能运维等关键能力，支撑PaaS产品，在混合云多版本形态和异构基础设施下的统一交付运维。随着各类云产品中云需求的增加，各类云产品的用户自定义资源以及目录名称等不断增加，策略中心提供了能够对各类资源关系进行逻辑判断的控制能力。

然而，现有的策略管理大多只能针对Pod等特定资源请求策略，支持简单静态策略规则定义，缺乏对多种资源对象以及场景的集中策略管理，适配性、扩展性较差。

发明内容

本说明书一个或多个实施例的目的是提供一种策略管理方法、装置、系统和电子设备，以通过设置的API服务端口和Rego声明式实现策略管理的可修改编程能力，且可灵活扩展定义多种策略，支持复杂动态策略及规则定义，并集中对多种资源进行统一管理，提升适配性。

为解决上述技术问题，本说明书一个或多个实施例是这样实现的：

第一方面，提出了一种策略管理方法，包括：

接收策略申请方基于至少一个资源对象的策略需求事件而触发生成的策略请求，所述策略请求至少携带对象数据和请求参数；

从预设规则库中获取预设规则，并基于所述策略请求中携带的请求参数和对象数据，对所述预设规则进行筛选，得到初步策略，其中，所述预设规则库中至少存储有：校验型策略、修改型策略以及生成型策略，且每种类型策略包含一个或多个不同的策略，每个策略包含一个或多个不同的规则；

对所述初步策略和所述策略请求中对象数据进行预处理，封装为与OPA输入标准匹配的策略，并执行所述策略；

将执行结果返回给所述策略申请方。

第二方面，提出了一种策略管理装置，包括：

接收模块，用于基于本地API服务端口接收策略申请方基于至少一个资源对象的策略需求事件而触发生成的策略请求，所述策略请求至少携带对象数据和请求参数；

策略匹配模块，用于从预设规则库中获取全量规则，并基于所述策略请求中携带的请求参数和对象数据，对所述预设规则进行筛选，匹配得到初步策略，其中，所述预设规则库中至少存储有：校验型策略、修改型策略以及生成型策略，且每种类型策略包含一个或多个不同的策略，每个策略包含一个或多个不同的规则；

策略处理模块，用于对所述初步策略和所述策略请求中对象数据进行预处理，封装为与OPA输入标准匹配的策略，并执行所述策略；

发送模块，用于将执行结果返回给所述策略申请方。

第三方面，提出了一种策略管理系统，包括：云服务系统，以及执行第一方面所述策略管理方法的策略管理装置；

所述云服务系统基于本地API端口与所述策略管理装置的API服务端口进行信息交互，以向策略管理装置请求相匹配的策略并通过所述API服务端口回调执行结果。

第四方面，提出了一种策略管理系统，包括：云服务系统，所述云服务系统以外的其它服务系统，以及执行第一方面所述策略管理方法的策略管理装置；

所述云服务系统基于本地API端口与所述策略管理装置的API服务端口进行信息交互，以向策略管理装置请求相匹配的策略并通过所述API服务端口回调执行结果；

所述其它服务系统基于本地API端口与所述策略管理装置的API服务端口进行信息交互，以向策略管理装置请求相匹配的策略并通过所述API服务端口返回执行结果。

第五方面，提出了一种电子设备，包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行第一方面所述策略管理方法。

第六方面，提出了一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行第一方面所述策略管理方法。

由以上本说明书一个或多个实施例提供的技术方案可见，通过对不同服务系统的策略请求的接收和转换，并以Rego声明式提前定义策略配置，并维护在预设规则库中，这样，就可以在提前定义好策略配置的情况下，基于本地API服务端口接收策略申请方发送的策略请求中携带的请求参数和对象数据，对从预设规则库中获取的预设规则进行筛选，得到初步策略，然后，对所述初步策略和所述策略请求中对象数据进行预处理，封装为与OPA输入标准匹配的策略，实现与OPA的对接，并在OPA中执行该策略，最后，将执行结果返回给所述策略申请方。由于该策略管理引擎所管理的预设规则库中的策略及规则是基于Rego声明式方式实现，且可动态调整，因此，具有灵活复杂的编排能力，进而，预设规则库中策略及规则更多样化，为策略申请方筛选出的策略更精准匹配。而且，可以为不同服务系统提供策略管理服务，提升在多种服务系统中的适配性、扩展性。

附图说明

为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将对一个或多个实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本说明书实施例提供的策略管理系统架构示意图之一。

图2是本说明书实施例提供的策略管理系统架构示意图之二。

图3是本说明书的一个实施例提供的APE和K8s云服务平台结合构建的策略管理系统的架构示意图。

图4是本说明书的一个实施例提供的策略配置以代码模板定义的示意图。

图5是本说明书的一个实施例提供的预设规则库的结构示意图。

图6a是本说明书的一个实施例提供的策略管理方法的步骤示意图。

图6b是本说明书的一个实施例提供的基于策略管理系统的策略管理流程示意图。

图7是本说明书的一个实施例提供的策略管理装置的结构示意图。

图8是本说明书的一个实施例提供的电子设备的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书一个或多个实施例中的附图，对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述，显然，所描述的一个或多个实施例只是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的一个或多个实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本文件的保护范围。

如背景技术所言，随着各类云产品中云需求的增加，各类云产品的用户自定义资源以及目录名称等不断增加，策略中心提供了能够对各类资源关系进行逻辑判断的控制能力。现有的策略管理可以包含Kubernetes(以下简称为K8s)原生策略管理、GateKeeper(一种通用的策略管理工具)策略管理以及其它策略管理(例如，利用K-Rail、Kyverno实现的策略管理)。

其中，K8s原生策略管理已有的技术为Pod安全策略(Pod Security Policy，PSP)、镜像拉取策略(Image Pull Policy)等；只是这类策略只针对Pod实施，如需扩展到其他资源对象或者场景需要逐一配置，缺乏集中管理及通用扩展；而且，由于资源稳定性不佳，策略管理的适配性并不友好。GateKeeper策略管理中，校验策略基于开放策略代理(OpenPolicy Agent，OPA)引擎中的限制框架(Constraint Framework)实现，较为复杂，且学习成本高，不支持生成策略，修改策略也并不成熟，并且修改策略和校验策略的实现方式没有统一，采用的是独立实现机制；而且，策略评估过程涉及到的多个策略对象的协同，关系复杂。由此，目前针对云服务系统的策略管理引擎或多或少均存在以上管理不佳及管理受限等问题。

鉴于此，本说明书实施例提出了一种新的策略管理方案，其发明构思为：通过对不同服务系统的策略请求的接收和转换，并以Rego声明式提前定义策略配置，并维护在预设规则库中，这样，就可以在提前定义好策略配置的情况下，基于本地API服务端口接收策略申请方发送的策略请求中携带的请求参数和对象数据，对从预设规则库中获取的预设规则进行筛选，得到初步策略，然后，对所述初步策略和所述策略请求中对象数据进行预处理，封装为与OPA输入标准匹配的策略，实现与OPA的对接，并在OPA中执行该策略，最后，将执行结果返回给所述策略申请方。由于该策略管理引擎所管理的预设规则库中的策略及规则是基于Rego声明式方式实现，且可动态调整，因此，具有灵活复杂的编排能力，进而，预设规则库中策略及规则更多样化，为策略申请方筛选出的策略更精准匹配。而且，可以为不同服务系统提供策略管理服务，提升在多种服务系统中的适配性、扩展性。

参照图1所示，为本说明书实施例提供的策略管理系统架构示意图。该策略管理系统可以包括：云服务系统102和策略管理引擎104；其中，云服务系统102可以基于本地API端口与所述策略管理引擎104的API服务端口进行信息交互，以向策略管理引擎104请求相匹配的策略并通过所述API服务端口回调执行结果。

应理解，本说明书实施例中所涉及的云服务系统可以是基础设施即服务(Iaas平台)，平台即服务(PaaS平台)，软件即服务(SaaS平台)；以云服务系统是PaaS平台为例，该PaaS平台可以是基于K8s开源平台实现编排，也可以是基于其它例如：OpenShift、AWS EKS、Docker Swarm等编排工具。而本说明书以Kubernetes为例进行详述，其它编排工具的实现可参考以下方案结合编排工具本身的特性进行细微调整。

其实，该策略管理引擎104可以作为云服务系统102的一部分模块存在，即该策略管理引擎104也可以是基于与云服务系统102相同的编排工具编排得到的云平台的一部分。

参照图2所示，为本说明书实施例提供的策略管理系统架构另一示意图。该策略管理系统可以包括：云服务系统102，所述云服务系统102以外的其它服务系统106，以及策略管理引擎104；其中，其他服务系统106可以是非云或云服务系统，具体可通过外部其他服务系统106的持续集成发布部署CICD接口、API接口等实现与策略管理引擎104的信息交互。

所述云服务系统102基于本地API端口与所述策略管理引擎104的API服务端口进行信息交互，以向策略管理引擎104请求相匹配的策略并通过所述API服务端口回调执行结果；所述其它服务系统106基于本地API端口或其他端口与所述策略管理引擎的API服务端口进行信息交互，以向策略管理引擎104请求相匹配的策略并通过所述API服务端口返回执行结果。

其实，图1和图2的结构都可以实现对策略管理的灵活编排部署，区别在于图1仅可以针对云服务系统102内部的资源提供策略服务，而图2可以对云服务系统102内部的资源以及外部的其他服务系统106的各类服务需求提供策略服务，相比而言，图2所示的策略管理系统的适用性更为广泛灵活。

下面，参照图3所示，以策略管理引擎(ArK Policy Engine，APE)为基于K8s构建的云服务系统提供策略管理服务为例进行介绍。图3是APE和K8s云服务平台结合构建的策略管理系统的架构示意图。

在本说明书实施例中，APE可以包括：API服务端口302、策略预处理器304、策略生成器306以及策略控制器308；此外，还包括集群数据缓存器310以及规则缓存器312。

其中，API服务端口302内部可同时实现两种API对外接口，如图3所示，一种是网页服务通用的网页服务子端口3022，该网页服务子端口3022具体可以是RESTFul API接口，提供给K8s外的服务使用；另一种是准入回调子端口3024，是K8s提供的一种扩展接口规范，用于接受K8s API接口准入请求并对其进行处理的HTTPS回调机制。

应理解，在本说明书实施例中，可以在K8s云服务平台定义所需的策略配置，参照图3所示，提供了三种类型的策略配置，分别是校验策略(Validating Policy)、修改策略(Mutating Policy)和生成策略(Generating Policy)，其中，校验策略用于对K8s资源对象进行各类验证，修改策略用于对K8s资源对象进行修改，生成策略用于生成新的K8s资源对象。

进一步，参照图4所示，通过策略配置的代码模板示出了三种策略配置的定义细节内容。其中，策略配置中通过kind字段指定使用的策略类型，如图4所示，可以从ValidatingPolicy、Mutating Policy、Generating Policy三种类型中选择其一作为该策略的类型；name可以是自定义的策略名称或ID。spec中disable字段作为该策略的开启或关闭开关，trigger表示触发方式，目前包含两种触发方式，分别是外部触发器externalRequest和内部触发器webhookRequest，这两种触发器分别对应API服务端口302中两种API对外接口。rules是策略中规则列表，一个策略配置中可以定义多个规则，每个规则下定义有：规则名称name、权重weight、以及基于规则细粒度的disable开关(即该disable开关是用于控制规则是否开启)。应理解，spec.disable(策略开关)优先级比该开关(规则开关)优先级要高，且会覆盖规则开关结果；template是一个规则模板，matchPolicy、objectSelector、namespaceSelector分别是GVK(Group Version Kind，K8s对象类型唯一标识符)数据、对象选择器、名称选择器。importData和ownerReferencesImport是K8集群资源对象导入配置，其中，importData可以主动导入对应的GVK所有对象信息，ownerReferncesImport则可以根据设置的规则，被动导入一些资源数据，例如，如果设置为true表示可以导入一个对象的父资源，这些导入的集群数据可以在规则中引用，如果设置为false，则无法导入，默认不处理。requestData是指集群外部的数据也可以导入到规则中引用，同时增加了dataSchema用于校验集群外部的数据格式，data是用rego定义的策略规则的具体数据内容。

这里需要说明的是，在APE引擎内部的策略控制器308中，可以进一步部署有配置组装模块3082、集群数据导入模块3084以及规则缓存维护模块3086。

其中，配置组装模块3082用于从校验策略配置和校验策略配置中分别提取MatchPolicy字段的信息，将这些信息进行组装，生成标准的K8s校验回调配置和修改回调配置，提交K8s云服务平台，这些配置可以用于指示K8s云服务平台执行APE回调接口以实现回调操作。需要说明的是，由于生成策略是本说明书实施例新引入的，而当前的K8s云服务平台还未开发有针对生成策略的回调配置模块，因此，这里并未从生成策略配置中提取MatchPolicy字段的信息进行配置组装。

集群数据导入模块3084用于从策略配置中提取importData字段的信息和ownerReferencesImport字段的信息，并通过New接口在APE的集群数据缓存库中创建一个缓存实体存，或者，通过Destroy接口在APE的集群数据缓存库内销毁一个缓存实体。其中，该APE的集群数据缓存库中缓存的集群对象是用K8s库中提供的标准监听机制ListAndWatch方式缓存导入的集群对象。

规则缓存维护模块3086用于解析策略配置中每个策略配置的元数据信息，并在APE的内存中维护一个高性能、按权重排序的预设规则库，该预设规则库中至少存储有：校验型策略、修改型策略以及生成型策略，且每种类型策略包含一个或多个不同的策略，每个策略包含一个或多个不同的规则。具体结构如图5所示，包含三部分：权重排序列表、策略图表以及规则数据列表。

其中，权重排序列表(SortedIndex)是一个按权重排序的列表，该权重排序列表中的权重按照权重大小排序，权重越大优先级越高，权重越小优先级越低；或者，权重越小优先级越高，权重越大优先级越低；而每个规则的权重大小的取值可以随机设置。

策略图表(PolicyMap)是一个由策略名称(PolicyName)对应规则集合rules的哈希表，可以通过PolicyName字段在该策略图表中快速查询到该策略所有的rules，应理解，每个策略图表中可以包含多个不同的策略，例如PN1、PN2、PN3，其中，PN1可以包含权重为1的规则RN1、权重为1的规则RN2以及权重为11的规则RN3；PN2可以包含权重为5的规则RN4、权重为99的规则RN5；PN3可以包含权重为30的规则RN6、权重为1的规则RN7以及权重为11的规则RN8。不同策略可以包含相同的规则，即同一规则可以出现在不同的策略里，且权重可以不同。此外，需要说明的是，在该策略图表中，每个策略中的规则下，存储的是规则的元数据ruleMeta，而不是规则的数据ruleData。

规则数据列表(Data)是一个按照权重索引的哈希表，key就是权重，哈希表中key对应数据是一个ruleData列表，ruleData包含完整的rule信息和PolicyName等字段内容。

由于策略图表中有些规则可能重复出现在不同的策略中，因此，在查询规则数据时，如果依赖策略图表进行查找，需要遍历每个策略中的每个规则，查询效率低。而规则数据列表中以权重作为索引的规则列表，规则并不是复用的，因此并不存在重复遍历的情况，而且可以根据匹配出的规则的权重，在对应权重下进行规则数据的查找遍历，减少遍历查询次数，提升查询效率。由此，预设规则库可以用于后续模块处理规则时能高效实现规则的查询操作。APE中预设规则库会根据策略类型不同，维护不同策略的缓存，从而可以减低实现复杂度，还可以提升查询效率。

一种可实现的方案，所述预设规则库中，不同类型策略分别以不同列表和图表独立维护，或者，统一以相同的列表和图表共同维护。

接下来，结合图3所示的系统架构对本说明书实施例提出的策略管理方法进行介绍。参照图6a所示，为本说明书实施例提供的策略管理方法的步骤示意图，应理解，该策略管理方法的执行主体可以是策略管理引擎APE，该策略管理方法可以包括以下步骤：

步骤602：接收策略申请方基于至少一个资源对象的策略需求事件而触发生成的策略请求，所述策略请求至少携带对象数据和请求参数。

考虑到APE引擎的本地API服务端口中包含准入回调子端口和网页服务子端口，则当策略申请方为云服务系统时，则可以基于本地API服务端口中的准入回调子端口，接收云服务系统基于本地至少一个资源对象的策略需求事件而触发生成的策略请求；当策略申请方为其他服务系统时，则可以基于本地API服务端口中的网页服务子端口，接收其它服务系统基于本地至少一个资源对象的策略需求事件而触发生成的策略请求。

在本说明书实施例中，云服务系统发生的策略需求事件可以包括：Pod的更新，其他资源的订阅，创建或删除或修改资源对象等。其他服务系统发生的策略需求事件可以包括：登录服务、认证服务或鉴权服务等。

以校验策略需求为例，可以包括：scheme校验，比如name长度、字段类型、字段格式检查等；风险拦截，比如K8s对象命名空间不能变迁，K8s对象关键内容禁止修改和删除；集群网络策略管理，比如节点访问策略、SSH访问策略等；权限管控，比如用户、组权限管理等。

以修改策略需求为例，可以包括：在不同应用场景下，支持产品管控混部策略控制；根据超卖比设置Pod超卖资源；设置K8s镜像拉取策略；K8s资源拓扑关系信息管理等。

以生成策略需求为例，可以包括：创建新的资源对象等。

在本说明书实施例中，策略请求中携带的对象数据可以是所请求的策略的需求方，该对象数据的数据形式不限，一般可以为json格式。策略请求中携带的请求参数可以是与请求的策略关联的数据，例如，策略名称以及其他附加信息。其中，该对象数据和请求参数可协同为筛选过滤策略提供依据。

步骤604：从预设规则库中获取预设规则，并基于所述策略请求中携带的请求参数和对象数据，对所述预设规则进行筛选，得到初步策略。

应理解，这里的预设规则可以是预设规则库当前包含的全量规则。其中，所述预设规则库中至少存储有：校验型策略、修改型策略以及生成型策略，且每种类型策略包含一个或多个不同的策略，每个策略包含一个或多个不同的规则。所述预设规则库中每个规则设置有代表该规则在所属策略中执行优先级的权重。

一种可实现的方案，步骤604可以具体执行为从预设规则库中获取全量规则；基于所述策略请求中携带的请求参数和对象数据，依次遍历所述全量规则分别进行规则名称、对象以及GVK过滤，筛选出本次请求的策略所包含的规则；将筛选出的规则按照对应的权重进行优先级排序，得到初步策略。

步骤606：对所述初步策略和所述策略请求中对象数据进行预处理，封装为与OPA输入标准匹配的策略，并执行所述策略。

在本说明书实施例中，由于得到的初步策略并不是基于OPA匹配出的，而是从预设规则库中的全量规则中筛选出来的，因此，并不能被既有的OPA直接接收并处理。因此，在执行策略之前，可以基于所述初步策略和所述策略请求中对象数据，依次建立请求数据、输入数据以及结构数据；根据建立的请求数据、输入数据以及结构数据，封装得到与OPA输入标准匹配的策略；其中，请求数据是携带在策略请求中用于辅助匹配策略的附加数据，输入数据是与初步策略一起输入数据预处理器的对象数据，结构数据是构建Rego策略相关的数据结构对象。之后，可以调用OPA提供的标准评估接口对策略进行评估执行。

其实，在基于所述初步策略和所述策略请求中对象数据，依次建立请求数据、输入数据以及结构数据之前，还可以从所述集群数据缓存库中获取当前缓存的集群数据；根据获取的集群数据，对所述策略请求中对象数据对应的资源对象进行冲突比对，并在比对结果为不冲突的情况下触发执行基于所述初步策略和所述策略请求中对象数据，依次建立请求数据、输入数据以及结构数据的操作。

步骤608：将执行结果返回给所述策略申请方。

如果策略申请方为云服务系统，则将执行结果通过所述API服务端口中的准入回调子端口，回调给所述云服务系统。如果策略申请方为其他服务系统，则将执行结果通过所述API服务端口中的网页服务子端口，返回给所述其它服务系统。

下面，通过图6b所示的策略管理系统原理示意图，对整个策略管理流程进行完整说明。

步骤①，策略控制器监听到K8s平台侧进行策略配置。

无论是针对校验策略、修改策略还是生成策略中的哪类策略进行配置调整，都可以被APE引擎侧的策略控制器监听到。这里的配置调整包括：新增、修改、删除中的一种或多种操作。

步骤②，策略控制器中的配置组装模块从策略配置中提取MatchPolicy字段信息进行组装并上传给K8s平台进行相应回调配置。

步骤③，策略控制器中的规则缓存维护模块从策略配置中解析元数据信息，以在APE引擎的内存中维护预设规则库。

这里的维护可以包括删除或新增策略和/或规则。其中，该预设规则库的结构以及维护方式已在上面介绍，此处不再赘述。

步骤④，策略控制器中的集群导入模块从策略配置中提取importData字段和ownerReferencesImport字段信息，并通过New或Destroy接口在APE的集群数据缓存中创建或销毁一个缓存实体。

步骤⑤，集群数据缓存利用K8s平台提供的标准ListAndWatch方式缓存导入其他集群对象。

至此，步骤①-步骤⑤完成了策略管理的基本配置定义，后续可以基于已配置的数据完成策略请求-响应。

由图6b可知，在APE的API服务端口中，部署有两个分别对接外部和K8s内部的子端口：网页服务子端口和准入回调子端口。

步骤⑥，通过网页服务子端口接收外部的其他服务系统发送的策略请求；或者，通过准入回调子端口接收内部的K8s平台发送的策略请求。

步骤⑦，API服务端口根据策略请求中携带的信息，触发策略预处理器进行策略查询。

具体地，可以先通过策略抓取模块从预设规则库中获取全量规则；然后，分别经过策略过滤模块中的名称标签选择器的过滤、对象标签选择器的过程以及GVK匹配器的过滤，筛选出查询到的所有规则；接着，使用策略分类模块对查询到的规则进行权重的排序，得到按照权重排序的规则列表，即得到初始策略。

步骤⑧，将查询到的初始策略以及策略请求中的对象数据输入到策略生成器，进行策略的预处理。

策略生成器可以包含数据预处理器和OPA引擎，其中，数据预处理器可以根据策略请求中的对象数据，决策是否从集群数据缓存中获取集群数据信息。换言之，如果策略请求中有对该集群数据的感知请求，那么，会在对象数据中体现，数据预处理器可以触发集群数据抓取模块获取集群数据信息，以便于使用已有的集群数据对发起策略请求的对象进行冲突验证。同时，除了进行冲突验证，还可以根据集群数据实现环境感知、资源感知以及内存感知等。

应理解，在本说明书实施例中，集群数据信息的获取并不是必要操作，因此可以作为可选步骤存在。

数据预处理器会分别基于请求数据生成模块、输入数据生成模块以及结构数据生成模块，依次生成请求数据、输入数据以及结构数据，并把这些数据封装为与OPA引擎输入标准匹配的策略。至此策略的预处理完成。

步骤⑨，将预处理得到的策略送入APE引擎，进行评估和执行。

步骤⑩，将执行结果返回给API服务端口。

步骤API服务端口对执行结果进行响应结构的封装；通过准入回调子端口回调给所述云服务系统，或者，通过网页服务子端口返回给所述其它服务系统。

这样，一次完整的基于策略请求-响应的实现的策略管理完成。在实际的策略管理实例中，当策略配置完成后，可以不用每次执行步骤①-⑥，可以在发生策略事件(增加、删除、修改、查询)时才更新步骤①-步骤⑥的配置。

由此可见，APE方案基于Rego声明式数据查询语言实现可编程能力，可以支持复杂策略定义。APE通过一个简单的对象定义即可实现对一个策略完整的声明，同时验证策略、修改策略以及生成策略统一基于Rego技术，支持灵活的可编程的多种定义规则能力。而且支持多种触发执行模式，同时支持K8s集群内回调触发方式和集群外RESTFul API触发方式，此外，支持基于权重定义优先级策略的编排能力，支持复杂动态策略及规则定义，并集中对多种资源进行统一管理，提升适配性和扩展性。

参照图7所示，为本说明书实施例提供的策略管理装置，应理解，该策略管理装置700可以是图3所示的APE，即策略引擎；该策略管理装置700的适配性较高，可以为各类云服务系统或非云服务系统等提供策略请求服务。该装置700可以包括：

接收模块702，用于接收策略申请方基于至少一个资源对象的策略需求事件而触发生成的策略请求，所述策略请求至少携带对象数据和请求参数；

策略匹配模块704，用于从预设规则库中获取预设规则，并基于所述策略请求中携带的请求参数和对象数据，对所述预设规则进行筛选，匹配得到初步策略，其中，所述预设规则库中至少存储有：校验型策略、修改型策略以及生成型策略，且每种类型策略包含一个或多个不同的策略，每个策略包含一个或多个不同的规则；

策略处理模块706，用于对所述初步策略和所述策略请求中对象数据进行预处理，封装为与OPA输入标准匹配的策略，并执行所述策略；

发送模块708，用于将执行结果返回给所述策略申请方。

可选地，作为一个实施例，所述预设规则库基于以下方式生成：

在策略控制器监测到所述策略申请方基于策略配置变化而触发生成的策略事件时，规则缓存维护模块从所述策略申请方的策略配置中提取配置信息，生成并维护一个预设规则库；其中，所述策略配置包括：校验型策略配置、修改型策略配置以及生成型策略配置，所述预设规则库包含权重排序列表、策略图表以及规则数据列表。

在本说明书实施例的一种具体实现方式中，所述预设规则库中，不同类型策略分别以不同列表和图表独立维护，或者，统一以相同的列表和图表共同维护。

在本说明书实施例的再一种具体实现方式中，在策略控制器监测到所述策略申请方基于策略配置变化而触发生成的策略事件时，配置组装模块从所述策略配置的校验型策略配置和修改型策略配置中提取GVK信息；对提取到的GVK信息进行组装，分别得到校验回调配置和修改回调配置，并上传至所述策略申请方。

在本说明书实施例的再一种具体实现方式中，所述策略申请方为云服务系统；

则所述接收模块在接收策略申请方基于至少一个资源对象的策略需求事件而触发生成的策略请求时，具体用于基于本地API服务端口中的准入回调子端口，接收云服务系统基于本地至少一个资源对象的策略需求事件而触发生成的策略请求；以及，

所述发送模块在将执行结果返回给所述策略申请方时，具体用于将执行结果通过所述API服务端口中的准入回调子端口，回调给所述云服务系统。

在本说明书实施例的再一种具体实现方式中，所述API服务端口还包含网页服务子端口，所述策略申请方为所述云服务系统以外的其它服务系统；

则所述接收模块在接收策略申请方基于至少一个资源对象的策略需求事件而触发生成的策略请求时，具体用于基于本地API服务端口中的网页服务子端口，接收其它服务系统基于本地至少一个资源对象的策略需求事件而触发生成的策略请求；以及，

所述发送模块在将执行结果返回给所述策略申请方时，具体用于将执行结果通过所述API服务端口中的网页服务子端口，返回给所述其它服务系统。

在本说明书实施例的再一种具体实现方式中，所述预设规则库中每个规则设置有代表该规则在所属策略中执行优先级的权重；

所述策略匹配模块在从预设规则库中获取全量规则，并基于所述策略请求中携带的请求参数和对象数据，对所述全量规则进行过滤，得到初步策略时，具体用于从预设规则库中获取全量规则；基于所述策略请求中携带的请求参数和对象数据，依次遍历所述全量规则分别进行规则名称、对象以及GVK过滤，筛选出本次请求的策略所包含的规则；将筛选出的规则按照对应的权重进行优先级排序，得到初步策略。

在本说明书实施例的再一种具体实现方式中，所述策略处理模块在对所述初步策略和所述策略请求中对象数据进行预处理，封装为与OPA输入标准匹配的策略时，具体用于基于所述初步策略和所述策略请求中对象数据，依次建立请求数据、输入数据以及结构数据；根据建立的请求数据、输入数据以及结构数据，封装得到与OPA输入标准匹配的策略。

在本说明书实施例的再一种具体实现方式中，在策略控制器监测到所述策略申请方基于策略配置变化而触发生成的策略事件时，集群数据导入模块从所述策略配置中提取集群资源导入配置信息；通过设定接口在本地的集群数据缓存库中创建或销毁对应的集群数据；其中，所述集群数据缓存库中缓存的集群对象还通过作为策略申请方的云服务系统的监听机制获取并导入。

在本说明书实施例的再一种具体实现方式中，所述策略管理装置还包括：集群数据抓取模块，用于在所述策略处理模块基于所述初步策略和所述策略请求中对象数据，依次建立请求数据、输入数据以及结构数据之前，从所述集群数据缓存库中获取当前缓存的集群数据；根据获取的集群数据，对所述策略请求中对象数据对应的资源对象进行冲突比对，并在比对结果为不冲突的情况下触发执行基于所述初步策略和所述策略请求中对象数据，依次建立请求数据、输入数据以及结构数据的操作。

通过对不同服务系统的策略请求的接收和转换，并以Rego声明式提前定义策略配置，并维护在预设规则库中，这样，就可以在提前定义好策略配置的情况下，基于本地API服务端口接收策略申请方发送的策略请求中携带的请求参数和对象数据，对从预设规则库中获取的预设规则进行筛选，得到初步策略，然后，对所述初步策略和所述策略请求中对象数据进行预处理，封装为与OPA输入标准匹配的策略，实现与OPA的对接，并在OPA中执行该策略，最后，将执行结果返回给所述策略申请方。由于该策略管理引擎所管理的预设规则库中的策略及规则是基于Rego声明式方式实现，且可动态调整，因此，具有灵活复杂的编排能力，进而，预设规则库中策略及规则更多样化，为策略申请方筛选出的策略更精准匹配。而且，可以通过API服务端口为不同服务系统提供策略管理服务，提升在多种服务系统中的适配性、扩展性。

图8是本说明书的一个实施例电子设备的结构示意图。请参考图8，在硬件层面，该电子设备包括处理器，可选地还包括内部总线、网络接口、存储器。其中，存储器可能包含内存，例如高速随机存取存储器(Random-Access Memory，RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少1个磁盘存储器等。当然，该电子设备还可能包括其他服务所需要的硬件。

处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是ISA(Industry Standard Architecture，工业标准体系结构)总线、PCI(PeripheralComponent Interconnect，外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture，扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

存储器，用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。

处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成策略管理装置。处理器，执行存储器所存放的程序，并具体用于执行以下操作：

接收策略申请方基于至少一个资源对象的策略需求事件而触发生成的策略请求，所述策略请求至少携带对象数据和请求参数；从预设规则库中获取预设规则，并基于所述策略请求中携带的请求参数和对象数据，对所述预设规则进行筛选，得到初步策略，其中，所述预设规则库中至少存储有：校验型策略、修改型策略以及生成型策略，且每种类型策略包含一个或多个不同的策略，每个策略包含一个或多个不同的规则；对所述初步策略和所述策略请求中对象数据进行预处理，封装为与OPA输入标准匹配的策略，并执行所述策略；将执行结果返回给所述策略申请方。

上述如本说明书图6a-6b所示实施例揭示的装置执行的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本说明书一个或多个实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本说明书一个或多个实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

该电子设备还可执行图6a-6b的方法，并实现相应装置在图6a-6b所示实施例的功能，本说明书实施例在此不再赘述。

当然，除了软件实现方式之外，本说明书实施例的电子设备并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。

本说明书实施例还提出了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行图6a-6b所示实施例的方法，并具体用于执行以下方法：

接收策略申请方基于至少一个资源对象的策略需求事件而触发生成的策略请求，所述策略请求至少携带对象数据和请求参数；从预设规则库中获取预设规则，并基于所述策略请求中携带的请求参数和对象数据，对所述预设规则进行筛选，得到初步策略，其中，所述预设规则库中至少存储有：校验型策略、修改型策略以及生成型策略，且每种类型策略包含一个或多个不同的策略，每个策略包含一个或多个不同的规则；对所述初步策略和所述策略请求中对象数据进行预处理，封装为与OPA输入标准匹配的策略，并执行所述策略；将执行结果返回给所述策略申请方。

总之，以上所述仅为本说明书的较佳实施例而已，并非用于限定本说明书的保护范围。凡在本说明书的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本说明书的保护范围之内。

上述一个或多个实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

Claims (14)

1.一种策略管理方法，包括：

接收策略申请方基于至少一个资源对象的策略需求事件而触发生成的策略请求，所述策略请求至少携带对象数据和请求参数；

从预设规则库中获取预设规则，并基于所述策略请求中携带的请求参数和对象数据，对所述预设规则进行筛选，得到初步策略，其中，所述预设规则库中至少存储有：校验型策略、修改型策略以及生成型策略，且每种类型策略包含一个或多个不同的策略，每个策略包含一个或多个不同的规则；

对所述初步策略和所述策略请求中对象数据进行预处理，封装为与开放策略代理OPA输入标准匹配的策略，并执行所述策略；

将执行结果返回给所述策略申请方。

2.如权利要求1所述的策略管理方法，所述预设规则库基于以下方式生成：

在监测到所述策略申请方基于策略配置变化而触发生成的策略事件时，从所述策略申请方的策略配置中提取配置信息，生成并维护一个预设规则库；

其中，所述策略配置包括：校验型策略配置、修改型策略配置以及生成型策略配置，所述预设规则库包含权重排序列表、策略图表以及规则数据列表。

3.如权利要求2所述的策略管理方法，所述预设规则库中，不同类型策略分别以不同列表和图表独立维护，或者，统一以相同的列表和图表共同维护。

4.如权利要求2所述的策略管理方法，在监测到所述策略申请方基于策略配置变化而触发生成的策略事件时，所述方法还包括：

从所述策略配置的校验型策略配置和修改型策略配置中提取对象类型唯一标识符GVK信息；

对提取到的GVK信息进行组装，分别得到校验回调配置和修改回调配置，并上传至所述策略申请方。

5.如权利要求1-4任一项所述的策略管理方法，所述策略申请方为云服务系统；

则接收策略申请方基于至少一个资源对象的策略需求事件而触发生成的策略请求，包括：

基于本地API服务端口中的准入回调子端口，接收云服务系统基于本地至少一个资源对象的策略需求事件而触发生成的策略请求；

将执行结果返回给所述策略申请方，包括：

将执行结果通过所述API服务端口中的准入回调子端口，回调给所述云服务系统。

6.如权利要求5所述的策略管理方法，所述API服务端口还包含网页服务子端口，所述策略申请方为所述云服务系统以外的其它服务系统；

则接收策略申请方基于至少一个资源对象的策略需求事件而触发生成的策略请求，包括：

基于本地API服务端口中的网页服务子端口，接收其它服务系统基于本地至少一个资源对象的策略需求事件而触发生成的策略请求；

将执行结果返回给所述策略申请方，包括：

将执行结果通过所述API服务端口中的网页服务子端口，返回给所述其它服务系统。

7.如权利要求1-4任一项所述的策略管理方法，所述预设规则库中每个规则设置有代表该规则在所属策略中执行优先级的权重；

从预设规则库中获取预设规则，并基于所述策略请求中携带的请求参数和对象数据，对所述预设规则进行筛选，得到初步策略，包括：

从预设规则库中获取当前全量规则；

基于所述策略请求中携带的请求参数和对象数据，依次遍历所述全量规则分别进行规则名称、对象以及对象类型唯一标识符GVK过滤，筛选出本次请求的策略所包含的规则；

将筛选出的规则按照对应的权重进行优先级排序，得到初步策略。

8.如权利要求2-4任一项所述的策略管理方法，对所述初步策略和所述策略请求中对象数据进行预处理，封装为与OPA输入标准匹配的策略，包括：

基于所述初步策略和所述策略请求中对象数据，依次建立请求数据、输入数据以及结构数据；

根据建立的请求数据、输入数据以及结构数据，封装得到与OPA输入标准匹配的策略。

9.如权利要求8所述的策略管理方法，在监测到所述策略申请方基于策略配置变化而触发生成的策略事件时，所述方法还包括：

从所述策略配置中提取集群资源导入配置信息；

通过设定接口在本地的集群数据缓存库中创建或销毁对应的集群数据；

其中，所述集群数据缓存库中缓存的集群对象还通过作为策略申请方的云服务系统的监听机制获取并导入。

10.如权利要求9所述的策略管理方法，在基于所述初步策略和所述策略请求中对象数据，依次建立请求数据、输入数据以及结构数据之前，所述方法还包括：

从所述集群数据缓存库中获取当前缓存的集群数据；

根据获取的集群数据，对所述策略请求中对象数据对应的资源对象进行冲突比对，并在比对结果为不冲突的情况下触发执行基于所述初步策略和所述策略请求中对象数据，依次建立请求数据、输入数据以及结构数据的操作。

11.一种策略管理装置，包括：

接收模块，用于接收策略申请方基于至少一个资源对象的策略需求事件而触发生成的策略请求，所述策略请求至少携带对象数据和请求参数；

策略匹配模块，用于从预设规则库中获取预设规则，并基于所述策略请求中携带的请求参数和对象数据，对所述预设规则进行筛选，匹配得到初步策略，其中，所述预设规则库中至少存储有：校验型策略、修改型策略以及生成型策略，且每种类型策略包含一个或多个不同的策略，每个策略包含一个或多个不同的规则；

策略处理模块，用于对所述初步策略和所述策略请求中对象数据进行预处理，封装为与开放策略代理OPA输入标准匹配的策略，并执行所述策略；

发送模块，用于将执行结果返回给所述策略申请方。

12.一种策略管理系统，包括：云服务系统，以及执行权利要求1-10任一项所述策略管理方法的策略管理装置；

所述云服务系统基于本地API端口与所述策略管理装置的API服务端口进行信息交互，以向策略管理装置请求相匹配的策略并通过所述API服务端口回调执行结果。

13.一种电子设备，包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行权利要求1-10任一项所述的策略管理方法。

14.一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行权利要求1-10任一项所述的策略管理方法。