本申請(qǐng)涉及信息，尤其涉及一種多集群容器終端的訪問控制方法、平臺(tái)及計(jì)算機(jī)可讀介質(zhì)。

背景技術(shù)：

1、在現(xiàn)代企業(yè)的it架構(gòu)中，容器化和微服務(wù)架構(gòu)的廣泛采用導(dǎo)致了對(duì)多集群kubernetes環(huán)境的需求急劇增加。多集群環(huán)境允許組織跨地理位置部署和管理應(yīng)用，提高可用性和靈活性，同時(shí)實(shí)現(xiàn)負(fù)載均衡和故障隔離。然而，這也帶來了對(duì)于訪問控制和安全管理的新挑戰(zhàn)，尤其是在操作容器終端方面，需要有效管理跨集群的訪問權(quán)限，以確保安全性和合規(guī)性。

2、現(xiàn)有的kubernetes多集群環(huán)境下，對(duì)于容器終端的訪問控制往往需要用戶登錄到每個(gè)kubernetes業(yè)務(wù)集群的管理節(jié)點(diǎn)，或者登錄到每個(gè)容器所在的計(jì)算節(jié)點(diǎn)使用容器管理工具。用戶在進(jìn)行訪問控制的過程中，需要用戶自己根據(jù)自身的訪問權(quán)限登錄相應(yīng)的管理節(jié)點(diǎn)或者計(jì)算節(jié)點(diǎn)，并且登錄過程中需要使用各個(gè)節(jié)點(diǎn)對(duì)應(yīng)的密碼，因此整個(gè)訪問控制過程較為繁瑣，無法提供直觀、統(tǒng)一的訪問控制入口，對(duì)于訪問用戶的專業(yè)性要求較高，易用性不足。

技術(shù)實(shí)現(xiàn)思路

1、本申請(qǐng)的一個(gè)目的是提供一種多集群容器終端的訪問控制方法、平臺(tái)及計(jì)算機(jī)可讀介質(zhì)。

2、為實(shí)現(xiàn)上述目的，本申請(qǐng)?zhí)峁┝艘环N多集群容器終端的訪問控制方法，所述方法包括：

3、在用戶登錄時(shí)進(jìn)行認(rèn)證鑒權(quán)，確定所述用戶對(duì)應(yīng)的權(quán)限信息，所述權(quán)限信息包括用戶對(duì)第一kubernetes業(yè)務(wù)集群中的第一容器所具有的訪問控制權(quán)限；

4、展示關(guān)于所述第一kubernetes業(yè)務(wù)集群中的第一容器的容器信息；

5、在獲取到用戶的訪問控制操作時(shí)，查詢第二kubernetes業(yè)務(wù)集群的kubeconfig文件，其中，所述第二kubernetes業(yè)務(wù)集群為所述第一kubernetes業(yè)務(wù)集群中的一個(gè)，且由所述用戶的訪問控制操作指定；

6、通過所述kubeconfig文件向接口服務(wù)組件發(fā)起對(duì)應(yīng)于所述訪問控制操作的訪問控制請(qǐng)求，以使所述接口服務(wù)組件控制第二容器執(zhí)行相應(yīng)的操作指令，并返回執(zhí)行結(jié)果，其中，所述第二容器為所述第二kubernetes業(yè)務(wù)集群中的容器，且由所述訪問控制請(qǐng)求指定；

7、向用戶展示的所述執(zhí)行結(jié)果。

8、進(jìn)一步地，通過所述kubeconfig文件向接口服務(wù)組件發(fā)起對(duì)應(yīng)于所述訪問控制操作的訪問控制請(qǐng)求，包括：

9、若所述第二kubernetes業(yè)務(wù)集群的kubeconfig文件的證書存在，且所述kubeconfig文件的證書未過期，通過所述kubeconfig文件向接口服務(wù)組件發(fā)起對(duì)應(yīng)于所述訪問控制操作的訪問控制請(qǐng)求。

10、進(jìn)一步地，所述方法還包括：

11、若所述第二kubernetes業(yè)務(wù)集群的kubeconfig文件的證書不存在，或者所述kubeconfig文件的證書過期，利用超管用戶權(quán)限請(qǐng)求接口服務(wù)組件進(jìn)行新證書的簽發(fā)，并使用簽發(fā)的新證書組裝成新的kubeconfig文件；

12、通過新的kubeconfig文件向接口服務(wù)組件發(fā)起對(duì)應(yīng)于所述訪問控制操作的訪問控制請(qǐng)求。

13、進(jìn)一步地，展示關(guān)于所述第一kubernetes業(yè)務(wù)集群中的第一容器的容器信息，包括：

14、向用戶展示關(guān)于所述第一容器的容器信息的交互界面，所述交互界面提供訪問控制操作的交互入口，以使用戶通過所述交互界面提供的交互入口輸入訪問控制操作。

15、進(jìn)一步地，通過所述kubeconfig文件向接口服務(wù)組件發(fā)起對(duì)應(yīng)于所述訪問控制操作的訪問控制請(qǐng)求，以使所述接口服務(wù)組件控制第二容器執(zhí)行相應(yīng)的操作指令，并返回執(zhí)行結(jié)果，其中，所述第二容器為所述第二kubernetes業(yè)務(wù)集群中的容器，且由所述訪問控制請(qǐng)求指定，包括：

16、通過所述kubeconfig文件向接口服務(wù)組件發(fā)起對(duì)應(yīng)于所述訪問控制操作的訪問控制請(qǐng)求，以使所述接口服務(wù)組件在接收到所述訪問控制請(qǐng)求后，將其轉(zhuǎn)發(fā)給第二容器對(duì)應(yīng)的kubelet進(jìn)程，由所述kubelet進(jìn)程對(duì)第二容器執(zhí)行相應(yīng)的操作指令，并返回執(zhí)行結(jié)果。

17、進(jìn)一步地，所述訪問控制請(qǐng)求和執(zhí)行結(jié)果通過websocket連接進(jìn)行傳輸。

18、進(jìn)一步地，所述方法還包括：

19、預(yù)先為所述用戶配置對(duì)應(yīng)的權(quán)限信息。

20、進(jìn)一步地，預(yù)先為所述用戶配置對(duì)應(yīng)的權(quán)限信息，包括：

21、配置預(yù)設(shè)的項(xiàng)目組，所述項(xiàng)目組包括了對(duì)第一kubernetes業(yè)務(wù)集群中的第一容器的訪問控制權(quán)限；

22、將所述用戶添加至所述項(xiàng)目組中，并配置對(duì)應(yīng)的讀寫角色，以使所述用戶獲得對(duì)應(yīng)的權(quán)限信息。

23、基于本申請(qǐng)的另一方面，還提供了一種用于多集群容器終端訪問控制的云原生管理平臺(tái)，該平臺(tái)包括用于存儲(chǔ)計(jì)算機(jī)程序指令的存儲(chǔ)器和用于執(zhí)行計(jì)算機(jī)程序指令的處理器，其中，當(dāng)該計(jì)算機(jī)程序指令被該處理器執(zhí)行時(shí)，觸發(fā)所述設(shè)備執(zhí)行所述多集群容器終端的訪問控制方法。

24、本申請(qǐng)實(shí)施例還提供了一種計(jì)算機(jī)可讀介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序指令，所述計(jì)算機(jī)程序指令可被處理器執(zhí)行以實(shí)現(xiàn)所述多集群容器終端的訪問控制方法。

25、與現(xiàn)有技術(shù)相比，本申請(qǐng)?zhí)峁┝艘环N多集群容器終端的訪問控制方案，所述方案可以在用戶登錄時(shí)進(jìn)行認(rèn)證鑒權(quán)，確定所述用戶對(duì)應(yīng)的權(quán)限信息，其中，所述權(quán)限信息包括用戶對(duì)第一kubernetes業(yè)務(wù)集群中的第一容器所具有的訪問控制權(quán)限，由此可以向用戶展示關(guān)于所述第一kubernetes業(yè)務(wù)集群中的第一容器的容器信息，以便于用戶能夠通過統(tǒng)一的界面對(duì)分布于不同集群中的容器終端進(jìn)行便捷的訪問控制。在獲取到用戶的訪問控制操作時(shí)，查詢第二kubernetes業(yè)務(wù)集群的kubeconfig文件，然后通過所述kubeconfig文件向接口服務(wù)組件發(fā)起對(duì)應(yīng)于所述訪問控制操作的訪問控制請(qǐng)求，以使所述接口服務(wù)組件控制第二容器執(zhí)行相應(yīng)的操作指令，并返回并展示執(zhí)行結(jié)果。由此，本方案可以提供一個(gè)直觀的管理界面，便于用戶通過該界面來查看容器終端當(dāng)前的狀態(tài)，同時(shí)可以利用預(yù)先配置的權(quán)限信息以及用戶輸入的訪問控制操作，自動(dòng)獲取本次訪問控制所需要的kubeconfig文件，并利用該kubeconfig文件向特定集群下的特定容器發(fā)起訪問控制請(qǐng)求，從而有效的跨集群管理訪問控制權(quán)限，并實(shí)現(xiàn)便捷、統(tǒng)一的訪問控制，易用性更好，對(duì)于用戶的專業(yè)性要求更低。

技術(shù)特征：

1.一種多集群容器終端的訪問控制方法，其特征在于，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，通過所述kubeconfig文件向接口服務(wù)組件發(fā)起對(duì)應(yīng)于所述訪問控制操作的訪問控制請(qǐng)求，包括：

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述方法還包括：

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，展示關(guān)于所述第一kubernetes業(yè)務(wù)集群中的第一容器的容器信息，包括：

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，通過所述kubeconfig文件向接口服務(wù)組件發(fā)起對(duì)應(yīng)于所述訪問控制操作的訪問控制請(qǐng)求，以使所述接口服務(wù)組件控制第二容器執(zhí)行相應(yīng)的操作指令，并返回執(zhí)行結(jié)果，其中，所述第二容器為所述第二kubernetes業(yè)務(wù)集群中的容器，且由所述訪問控制請(qǐng)求指定，包括：

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述訪問控制請(qǐng)求和執(zhí)行結(jié)果通過websocket連接進(jìn)行傳輸。

7.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述方法還包括：

8.根據(jù)權(quán)利要求7所述的方法，其特征在于，預(yù)先為所述用戶配置對(duì)應(yīng)的權(quán)限信息，包括：

9.一種用于多集群容器終端訪問控制的云原生管理平臺(tái)，該平臺(tái)包括用于存儲(chǔ)計(jì)算機(jī)程序指令的存儲(chǔ)器和用于執(zhí)行計(jì)算機(jī)程序指令的處理器，其中，當(dāng)該計(jì)算機(jī)程序指令被該處理器執(zhí)行時(shí)，觸發(fā)所述平臺(tái)執(zhí)行權(quán)利要求1至8中任一項(xiàng)所述的方法。

10.一種計(jì)算機(jī)可讀介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序指令，所述計(jì)算機(jī)程序指令可被處理器執(zhí)行以實(shí)現(xiàn)如權(quán)利要求1至8中任一項(xiàng)所述的方法。

技術(shù)總結(jié)
本申請(qǐng)?zhí)峁┝艘环N多集群容器終端的訪問控制方法、平臺(tái)及計(jì)算機(jī)可讀介質(zhì)，該方案可以提供一個(gè)直觀的管理界面，便于用戶通過該界面來查看容器終端當(dāng)前的狀態(tài)，同時(shí)可以利用預(yù)先配置的權(quán)限信息以及用戶輸入的訪問控制操作，自動(dòng)獲取本次訪問控制所需要的kubeconfig文件，并利用該kubeconfig文件向特定集群下的特定容器發(fā)起訪問控制請(qǐng)求，從而有效的跨集群管理訪問控制權(quán)限，并實(shí)現(xiàn)便捷、統(tǒng)一的訪問控制，易用性更好，對(duì)于用戶的專業(yè)性要求更低。

技術(shù)研發(fā)人員：謝家意
受保護(hù)的技術(shù)使用者：上海云軸科技股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/9