CN115242526A - Kubernetes集群管理面板的登录方法和装置 - Google Patents
Kubernetes集群管理面板的登录方法和装置 Download PDFInfo
- Publication number
- CN115242526A CN115242526A CN202210887779.8A CN202210887779A CN115242526A CN 115242526 A CN115242526 A CN 115242526A CN 202210887779 A CN202210887779 A CN 202210887779A CN 115242526 A CN115242526 A CN 115242526A
- Authority
- CN
- China
- Prior art keywords
- user
- login
- server
- kubernets cluster
- login request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000004891 communication Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 7
- 238000007726 management method Methods 0.000 description 31
- 239000003795 chemical substances by application Substances 0.000 description 17
- 238000010586 diagram Methods 0.000 description 13
- 238000004590 computer program Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000013475 authorization Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000000178 monomer Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请涉及计算机技术领域,具体而言,涉及一种Kubernetes集群管理面板的登录方法和装置,所述Kubernetes集群管理面板用于管理Kubernetes集群,所述方法应用于windows server系统,所述方法包括:接收AD用户的登录请求,获取所述登录请求中的用户标识以及用户密码;通过AD代理模块读取AD服务器中的用户信息数据,根据所述用户信息数据、所述用户标识、以及所述用户密码判断所述登录请求的合法性;如果所述登录请求合法,则允许所述AD用户通过所述用户标识对应的服务账号登录至所述Kubernetes集群管理面板。本申请提供的技术方案在一定程度上能够扩展Kubernetes集群管理面板的登录方式。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种Kubernetes集群管理面板的登录方法和装置。
背景技术
随着容器领域的技术不断成熟,越来越多的传统单体应用被改造为容器进行部署,Kubernetes作为容器编排领域内的佼佼者受到越来越多的关注。其中,针对Kubernetes的认证与授权功能是非常重要的一项。目前现有技术中,通常采用临时令牌Token或者使用证书Kubeconfig两种方式来实现Kubernetes集群管理面板登录,但是现有的登录方法存在很多问题,例如登录凭证不易牢记、不便携带,登录凭证容易丢失,比较容易造成用户信息安全隐患。
基于此,本领域技术人员急需一种Kubernetes集群管理面板的登录方法,从而扩展Kubernetes集群管理面板的登录方式。
发明内容
本申请的实施例提供了一种Kubernetes集群管理面板的登录方法和装置,进而至少在一定程度上能够扩展Kubernetes集群管理面板的登录方式。
本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
根据本申请实施例的一个方面,提供了一种Kubernetes集群管理面板的登录方法,所述Kubernetes集群管理面板用于管理Kubernetes集群,所述方法应用于windowsserver系统,所述方法包括:接收AD用户的登录请求,获取所述登录请求中的用户标识以及用户密码;通过AD代理模块读取AD服务器中的用户信息数据,根据所述用户信息数据、所述用户标识、以及所述用户密码判断所述登录请求的合法性;如果所述登录请求合法,则允许所述AD用户通过所述用户标识对应的服务账号登录至所述Kubernetes集群管理面板。
在本申请的一些实施例中,接收AD用户的登录请求之前,所述方法还包括:在所述Kubernetes集群中添加Restful API登录接口,所述Restful API登录接口用于接收AD用户的登录请求。
在本申请的一些实施例中,在通过AD代理模块读取AD服务器中的用户信息数据之前,所述方法还包括:在所述Kubernetes集群中添加AD代理模块;对所述AD代理模块进行配置,以使得所述AD代理模块连接于AD服务器。
在本申请的一些实施例中,所述对所述AD代理模块进行配置,包括:根据所述AD服务器地址、所述AD代理模块与所述AD服务器之间的通讯协议、所述AD代理模块与所述AD服务器之间的通讯端口、以及所述AD服务器的根域名,对所述AD代理模块进行配置。
在本申请的一些实施例中,所述根据所述用户信息数据、所述用户标识、以及所述用户密码判断所述登录请求的合法性,包括:根据所述用户信息数据和所述用户标识,判断所述AD用户和所述AD服务器的从属性;如果判断所述AD用户属于所述AD服务器,则向所述AD服务器发送请求,查询所述用户标识和所述用户密码的匹配度;如果所述用户标识和所述用户密码相匹配,则判断所述登录请求合法。
在本申请的一些实施例中,基于前述方案,在判断所述AD用户和所述AD服务器的从属性之后,所述方法还包括:如果判断所述AD用户不属于所述AD服务器,则判断所述登录请求不合法,并向所述AD用户发送登录失败的信息。
在本申请的一些实施例中,基于前述方案,在查询所述用户标识和所述用户密码的匹配度之后,所述方法还包括:如果所述用户标识和所述用户密码不匹配,则判断所述登录请求不合法,并向所述AD用户发送登录失败的信息。
在本申请的一些实施例中,在允许所述AD用户通过所述用户标识对应的服务账号登录至所述Kubernetes集群管理面板之前,所述方法还包括:在所述Kubernetes集群中创建与所述用户标识对应的服务账号。
在本申请的一些实施例中,基于前述方案,在所述Kubernetes集群中创建与所述用户标识对应的服务账号之后,所述方法还包括:在所述Kubernetes集群中,为所述用户标识对应的服务账号授予针对所述Kubernetes集群的资源的至少一种访问权限。
根据本申请的一个方面,提供了一种Kubernetes集群管理面板的登录装置,所述Kubernetes集群管理面板用于管理Kubernetes集群,所述装置包括:接收单元,被用于接收AD用户的登录请求,获取所述登录请求中的用户标识以及用户密码;读取单元,被用于通过AD代理模块读取AD服务器中的用户信息数据,根据所述用户信息数据、所述用户标识、以及所述用户密码判断所述登录请求的合法性;登录单元,被用于如果所述登录请求合法,则允许所述AD用户通过所述用户标识对应的服务账号登录至所述Kubernetes集群管理面板。
基于上述方案,本申请至少具备以下优点或进步之处:
在本申请的一些实施例所提供的技术方案中,通过接收AD用户的登录请求,再判断所述登录请求的合法性,使得AD用户可以通过所述用户标识对应的服务账号登录至所述Kubernetes集群管理面板,本申请在一定程度上扩展了Kubernetes集群的登录方式,降低信息安全隐患,还能够使得AD用户可以直接接入Kubernetes集群,有效提高AD用户使用Kubernetes集群的便利程度。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
在附图中:
图1示出了根据本申请一个实施例的Kubernetes集群管理面板的登录方法的流程图;
图2示出了根据本申请一个实施例的Kubernetes集群管理面板的登录方法的流程图;
图3示出了根据本申请一个实施例的Kubernetes集群管理面板的登录方法的流程图;
图4示出了根据本申请一个实施例的AD认证器判断登录请求合法性的流程图;
图5示出了根据本申请的一个实施例的Kubernetes集群管理面板的登录装置示意图;
图6示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本申请将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
需要说明的是:在本文中提及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
需要说明的是,本申请提出的实施例可以用到云场景中,例如云计算,云计算(cloud computing)是一种计算模式,它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展。通过建立云计算资源池(简称云平台,一般称为IaaS(Infrastructure as aService,基础设施即服务)平台,在资源池中部署多种类型的虚拟资源,供外部客户选择使用。云计算资源池中主要包括:计算设备(为虚拟化机器,包含操作系统)、存储设备、网络设备。
需要说明的是,本申请有涉及Dashboard,即Kubernetes集群的可视化管理面板的技术内容。用户可以使用Dashboard将容器应用部署到Kubernetes集群中,也可以对容器应用排错,还能管理集群本身及其附属资源,还可以使用Dashboard获取运行在集群中的应用的概览信息,也可以创建或者修改Kubernetes资源(如Deployment,Job,DaemonSet等等)。
需要说明的是,本申请还涉及有AD活动目录(Active Directory)的技术内容,AD是面向Windows Standard Server、Windows Enterprise Server以及Windows DatacenterServer的目录服务。(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。)Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
以下对本申请实施例的技术方案的实现细节进行详细阐述:
请参阅图1。
图1示出了根据本申请一个实施例的Kubernetes集群管理面板的登录方法的流程图,如图1所示,所述方法可以包括步骤S101-S103:
步骤S101,接收AD用户的登录请求,获取所述登录请求中的用户标识以及用户密码。
步骤S102,通过AD代理模块读取AD服务器中的用户信息数据,根据所述用户信息数据、所述用户标识、以及所述用户密码判断所述登录请求的合法性。
步骤S103,如果所述登录请求合法,则允许所述AD用户通过所述用户标识对应的服务账号登录至所述Kubernetes集群管理面板。
在本申请中,通过接收AD用户的登录请求,再判断所述登录请求的合法性,使得AD用户可以通过所述用户标识对应的服务账号登录至所述Kubernetes集群管理面板,本申请在一定程度上扩展了Kubernetes集群的登录方式,降低信息安全隐患,还能够使得AD用户可以直接接入Kubernetes集群,有效提高AD用户使用Kubernetes集群的便利程度。
在本申请中,在接收AD用户的登录请求,可以在所述Kubernetes集群中添加Restful API登录接口,所述Restful API登录接口用于接收AD用户的登录请求。
在本申请中,AD用户使用Restful API登录接口登录Dashboard时,必须提供该用户在AD中的唯一标识,比如UID(User ID)、DN(Distinguished Name)等,也可以是其他在AD中可以唯一标识用户的信息。同时,在AD用户使用Restful API登录接口登录Dashboard时,还必须提供该用户在AD中的登录密码。
在本申请中,Restful API登录接口可以为AD用户提供restful api访问端点,并且将AD用户数据持久化到Kubernetes集群的etcd server中。
请参阅图2。
图2示出了根据本申请一个实施例的Kubernetes集群管理面板的登录方法的流程图,如图2所示,通过AD代理模块读取AD服务器中的用户信息数据之前,所述方法可以包括步骤S201-S202:
步骤S201,在所述Kubernetes集群中添加AD代理模块。
步骤S202,对所述AD代理模块进行配置,以使得所述AD代理模块连接于AD服务器。
在本申请中,可以根据所述AD服务器地址、所述AD代理模块与所述AD服务器之间的通讯协议、所述AD代理模块与所述AD服务器之间的通讯端口、以及所述AD服务器的根域名,对所述AD代理模块进行配置。
在本申请中,可以通过完成配置后的AD代理模块访问AD服务器,再通过对应AD服务器的管理员用户标识以及用户密码读取AD服务器中各个用户对应的用户标识和用户密码,为后续验证登录请求的合法性提供对比数据。
在本申请中,AD代理模块还可以维护各个AD用户的用户标识,自动为各个用户创建对应的服务账号:AD代理模块周期性地(比如每天凌晨一点)或者手动方式触发,从AD服务器获取所有用户的用户标识。然后,对于每一个AD用户,均根据该用户的用户标识,在Kubernetes集群中为该用户创建一个与之进行一一绑定的服务帐户(Service Account)。例如,可以在服务账号的metadata.labels中指定,也可以将AD用户的用户标识作为服务账号的名称。AD代理模块在维护AD所有用户的唯一用户标识时,对于每一个AD用户,若在Kubernetes集群中已存在与该AD用户一一绑定的服务帐户,则不必重新为该用户创建服务帐户。同时,若在Kubernetes集群中已存在与某AD用户一一绑定的服务帐户,但该AD用户在AD服务器中已被删除,则也必须在Kubernetes集群中将该服务帐户予以删除。
在本申请中,AD代理模块还可以根据登录接口中携带的用户标识,来判定该用户是否是有效的AD用户:首先,AD代理模块根据AD用户的用户标识,在Kubernetes集群中检索是否存在与该用户一一绑定的服务帐户。若存在,则该用户是有效的AD用户。其次,若在Kubernetes集群中不存在与该用户一一绑定的服务帐户,则AD代理模块向AD服务器发送请求,查询AD服务器中是否存在该用户。若查询结果表示AD服务器中存在该用户,则该用户是有效的AD用户,并在Kubernetes集群中为该用户创建一个与之一一绑定的服务帐户。否则,该用户是非法的AD用户。
请参阅图3。
图3示出了根据本申请一个实施例的Kubernetes集群管理面板的登录方法的流程图,如图3所示,所述根据所述用户信息数据、所述用户标识、以及所述用户密码判断所述登录请求的合法性的方法可以包括步骤S301-S303:
步骤S301,根据所述用户信息数据和所述用户标识,判断所述AD用户和所述AD服务器的从属性。
步骤S302,如果判断所述AD用户属于所述AD服务器,则向所述AD服务器发送请求,查询所述用户标识和所述用户密码的匹配度。
步骤S303,如果所述用户标识和所述用户密码相匹配,则判断所述登录请求合法。
在本申请中,可以在Kubernetes集群中添加AD认证器,AD认证器可以根据所述用户信息数据、所述用户标识、以及所述用户密码判断所述登录请求的合法性,从而使得AD用户可以根据用户标识与用户密码来登录Kubernetes Dashboard。
请参阅图4。
图4示出了根据本申请一个实施例的AD认证器判断登录请求合法性的流程图,如图4所示,判断流程可以包括以下步骤:
先执行步骤S401:根据所述用户信息数据和所述用户标识,通过比对用户信息数据中是否存在用户标识,判断所述AD用户和所述AD服务器的从属性。
如果判断所述AD用户属于所述AD服务器,则执行步骤S402:向所述AD服务器发送请求,查询所述用户标识和所述用户密码的匹配度。
如果判断所述AD用户不属于所述AD服务器,则执行步骤S403:判断所述登录请求不合法,并向所述AD用户发送登录失败的信息。
在执行完步骤S402后,如果所述用户标识和所述用户密码相匹配,则执行步骤S404:判断所述登录请求合法。从而允许所述AD用户通过所述用户标识对应的服务账号登录至所述Kubernetes集群管理面板。
在执行完步骤S402后,如果所述用户标识和所述用户密码不匹配,则执行步骤S405:判断所述登录请求不合法,并向所述AD用户发送登录失败的信息。
在本申请中,除了通过AD代理模块自动创建服务账号之外,也可以在允许所述AD用户通过所述用户标识对应的服务账号登录至所述Kubernetes集群管理面板之前,在所述Kubernetes集群中创建与所述用户标识对应的服务账号,同时为所述用户标识对应的服务账号授予针对所述Kubernetes集群的资源的至少一种访问权限。
在本申请中,可以在Kubernetes集群中添加AD授权模块,用于为AD用户授予Kubernetes资源的访问权限。AD授权模块的工作流程如下所示。
(1)按照实际授权需求,为AD用户创建ClusterRole(或Role)对象,通过这些对象来定义Kubernetes资源的访问权限。
(2)为AD用户创建ClusterRoleBinding(或RoleBinding)对象,将与AD用户绑定的服务帐户和ClusterRole(或Role)对象进行关联,从而实现将ClusterRole(或Role)对象所定义的资源访问权限,授予与AD用户绑定的服务帐户,进而实现AD用户的授权。
例如,在本申请的一个实施例中,可以默认为AD管理员用户授予Kubernetes集群内所有资源的读写权限。假定在Kubernetes集群中与AD管理员用户绑定的服务帐户为admin,隶属于AD-system命名空间。
首先,需要为AD管理员用户创建一个ClusterRole对象,描述如下。
其次,需要为AD管理员用户创建一个ClusterRoleBinding对象,描述如下。
通过创建上述两个资源对象,即可为AD管理员用户授予Kubernetes集群内所有资源的读写权限。
接下来将结合附图,对本申请的一个装置实施例进行说明。
请参阅图5。
图5示出了根据本申请的一个实施例的Kubernetes集群管理面板的登录装置示意图,所述装置500可以包括:接收单元501、读取单元502、以及登录单元503。
其中,Kubernetes集群管理面板的登录装置的具体配置可以为:接收单元501,被用于接收AD用户的登录请求,获取所述登录请求中的用户标识以及用户密码;读取单元502,被用于通过AD代理模块读取AD服务器中的用户信息数据,根据所述用户信息数据、所述用户标识、以及所述用户密码判断所述登录请求的合法性;登录单元503,被用于如果所述登录请求合法,则允许所述AD用户通过所述用户标识对应的服务账号登录至所述Kubernetes集群管理面板。
接下来请参阅图6。
图6示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
需要说明的是,图6示出的电子设备的计算机系统600仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图6所示,计算机系统600包括中央处理单元(Central Processing Unit,CPU)601,其可以根据存储在只读存储器(Read-Only Memory,ROM)602中的程序或者从储存部分608加载到随机访问存储器(Random Access Memory,RAM)603中的程序而执行各种适当的动作和处理,例如执行上述实施例中所述的方法。在RAM 603中,还存储有系统操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(Input/Output,I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分607;包括硬盘等的储存部分608;以及包括诸如LAN(Local Area Network,局域网)卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入储存部分608。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
作为另一方面,本申请还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例中所述的Kubernetes集群管理面板的登录方法。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现上述实施例中所述的Kubernetes集群管理面板的登录方法。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本申请实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的实施方式后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (10)
1.一种Kubernetes集群管理面板的登录方法,所述Kubernetes集群管理面板用于管理Kubernetes集群,其特征在于,所述方法应用于windows server系统,所述方法包括:
接收AD用户的登录请求,获取所述登录请求中的用户标识以及用户密码;
通过AD代理模块读取AD服务器中的用户信息数据,根据所述用户信息数据、所述用户标识、以及所述用户密码判断所述登录请求的合法性;
如果所述登录请求合法,则允许所述AD用户通过所述用户标识对应的服务账号登录至所述Kubernetes集群管理面板。
2.根据权利要求1所述的方法,其特征在于,在接收AD用户的登录请求之前,所述方法还包括:
在所述Kubernetes集群中添加Restful API登录接口,所述Restful API登录接口用于接收AD用户的登录请求。
3.根据权利要求1所述的方法,其特征在于,在通过AD代理模块读取AD服务器中的用户信息数据之前,所述方法还包括:
在所述Kubernetes集群中添加AD代理模块;
对所述AD代理模块进行配置,以使得所述AD代理模块连接于AD服务器。
4.根据权利要求3所述的方法,其特征在于,所述对所述AD代理模块进行配置,包括:
根据所述AD服务器地址、所述AD代理模块与所述AD服务器之间的通讯协议、所述AD代理模块与所述AD服务器之间的通讯端口、以及所述AD服务器的根域名,对所述AD代理模块进行配置。
5.根据权利要求1所述的方法,其特征在于,所述根据所述用户信息数据、所述用户标识、以及所述用户密码判断所述登录请求的合法性,包括:
根据所述用户信息数据和所述用户标识,判断所述AD用户和所述AD服务器的从属性;
如果判断所述AD用户属于所述AD服务器,则向所述AD服务器发送请求,查询所述用户标识和所述用户密码的匹配度;
如果所述用户标识和所述用户密码相匹配,则判断所述登录请求合法。
6.根据权利要求5所述的方法,其特征在于,在判断所述AD用户和所述AD服务器的从属性之后,所述方法还包括:
如果判断所述AD用户不属于所述AD服务器,则判断所述登录请求不合法,并向所述AD用户发送登录失败的信息。
7.根据权利要求5所述的方法,其特征在于,在查询所述用户标识和所述用户密码的匹配度之后,所述方法还包括:
如果所述用户标识和所述用户密码不匹配,则判断所述登录请求不合法,并向所述AD用户发送登录失败的信息。
8.根据权利要求1所述的方法,其特征在于,在允许所述AD用户通过所述用户标识对应的服务账号登录至所述Kubernetes集群管理面板之前,所述方法还包括:
在所述Kubernetes集群中创建与所述用户标识对应的服务账号。
9.根据权利要求8所述的方法,其特征在于,在所述Kubernetes集群中创建与所述用户标识对应的服务账号之后,所述方法还包括:
在所述Kubernetes集群中,为所述用户标识对应的服务账号授予针对所述Kubernetes集群的资源的至少一种访问权限。
10.一种Kubernetes集群管理面板的登录装置,所述Kubernetes集群管理面板用于管理Kubernetes集群,其特征在于,所述装置包括:
接收单元,被用于接收AD用户的登录请求,获取所述登录请求中的用户标识以及用户密码;
读取单元,被用于通过AD代理模块读取AD服务器中的用户信息数据,根据所述用户信息数据、所述用户标识、以及所述用户密码判断所述登录请求的合法性;
登录单元,被用于如果所述登录请求合法,则允许所述AD用户通过所述用户标识对应的服务账号登录至所述Kubernetes集群管理面板。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210887779.8A CN115242526A (zh) | 2022-07-26 | 2022-07-26 | Kubernetes集群管理面板的登录方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210887779.8A CN115242526A (zh) | 2022-07-26 | 2022-07-26 | Kubernetes集群管理面板的登录方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115242526A true CN115242526A (zh) | 2022-10-25 |
Family
ID=83675386
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210887779.8A Pending CN115242526A (zh) | 2022-07-26 | 2022-07-26 | Kubernetes集群管理面板的登录方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115242526A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109474632A (zh) * | 2018-12-28 | 2019-03-15 | 优刻得科技股份有限公司 | 对用户进行认证和权限管理的方法、装置、系统和介质 |
US20200250009A1 (en) * | 2019-02-01 | 2020-08-06 | Virtustream Ip Holding Company Llc | Partner enablement services for managed service automation |
CN111831269A (zh) * | 2020-07-21 | 2020-10-27 | 腾讯科技(深圳)有限公司 | 一种应用开发系统、运行方法、设备及存储介质 |
CN111897623A (zh) * | 2020-06-11 | 2020-11-06 | 新浪网技术(中国)有限公司 | 一种集群管理方法、装置、设备及存储介质 |
US20220200998A1 (en) * | 2020-12-17 | 2022-06-23 | Hewlett Packard Enterprise Development Lp | Management of user authentication between enterprise-level authentication protocol and cloud-native authentication protocol |
-
2022
- 2022-07-26 CN CN202210887779.8A patent/CN115242526A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109474632A (zh) * | 2018-12-28 | 2019-03-15 | 优刻得科技股份有限公司 | 对用户进行认证和权限管理的方法、装置、系统和介质 |
US20200250009A1 (en) * | 2019-02-01 | 2020-08-06 | Virtustream Ip Holding Company Llc | Partner enablement services for managed service automation |
CN111897623A (zh) * | 2020-06-11 | 2020-11-06 | 新浪网技术(中国)有限公司 | 一种集群管理方法、装置、设备及存储介质 |
CN111831269A (zh) * | 2020-07-21 | 2020-10-27 | 腾讯科技(深圳)有限公司 | 一种应用开发系统、运行方法、设备及存储介质 |
US20220200998A1 (en) * | 2020-12-17 | 2022-06-23 | Hewlett Packard Enterprise Development Lp | Management of user authentication between enterprise-level authentication protocol and cloud-native authentication protocol |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109598117A (zh) | 权限管理方法、装置、电子设备及存储介质 | |
US11102214B2 (en) | Directory access sharing across web services accounts | |
CN108289098B (zh) | 分布式文件系统的权限管理方法和装置、服务器、介质 | |
CN110417863B (zh) | 生成身份识别码的方法和装置、身份认证的方法和装置 | |
US8918862B2 (en) | Managing access to storage media | |
US20110321152A1 (en) | Trusted intermediary for network layer claims-enabled access control | |
US8108907B2 (en) | Authentication of user database access | |
US20230370265A1 (en) | Method, Apparatus and Device for Constructing Token for Cloud Platform Resource Access Control | |
US20110321130A1 (en) | Network layer claims based access control | |
US9210159B2 (en) | Information processing system, information processing device, and authentication method | |
CN105225072B (zh) | 一种多应用系统的访问管理方法及系统 | |
US20170041504A1 (en) | Service providing system, information processing apparatus, program, and method for generating service usage information | |
EP3552135B1 (en) | Integrated consent system | |
CN115698998A (zh) | 使用远程主体对象针对外部身份的安全资源授权 | |
US20110083177A1 (en) | Software license management | |
US10333778B2 (en) | Multiuser device staging | |
CN109726041B (zh) | 恢复虚拟机磁盘中的文件的方法、设备和计算机可读介质 | |
CN111062028A (zh) | 权限管理方法及装置、存储介质、电子设备 | |
CN113271296A (zh) | 一种登录权限管理的方法和装置 | |
CN110691089A (zh) | 一种应用于云服务的认证方法、计算机设备及存储介质 | |
CN112905990A (zh) | 一种访问方法、客户端、服务端及访问系统 | |
CN115422526B (zh) | 角色权限管理方法、设备及存储介质 | |
CN110298165B (zh) | 安全访问共享内存的方法、装置以及认证代理 | |
CN115278671A (zh) | 网元鉴权方法、装置、存储介质和电子设备 | |
CN115242526A (zh) | Kubernetes集群管理面板的登录方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20221025 |