【技术实现步骤摘要】
本专利技术属于网络技术与安全,尤其涉及一种k8s集群资源的使用权限管理方法。
技术介绍
1、多个属于不同厂商的用户在合作开发部署应用,需要在同一个k8s集群部署各自的应用,各厂商用户希望应用是根据实际需要部署的,有些要求在同个命名空间,有些要求在不同命名空间,有些要求不同厂商的应用部署在不同物理节点,避免因共享磁盘、网卡等硬件而相互影响。
2、k8s提供了一些现成的资源管理及隔离能力,来满足上述需求,例如通过使用命名空间进行逻辑资源管理及隔离,或者利用rbac进行控制层面的隔离,但这无法满足各用户的应用部署在不同物理节点的需求,当各应用共享物理节点资源时,无法避免会有相互影响,需要结合其它控制手段进行资源隔离;另一个途径是给负载设置节点亲和性,使负载发布到指定节点,但这要求各用户之间严格管理负载及分配节点,来确保不会发布到其它节点,另外这需要需要k8s管理员给节点打标签,普通用户在无k8s管理权限的情况下,这种协作非常低效。
3、在这种情况下,用户希望有一种有效的k8s集群资源管理方法。
技术实现思路
1、本专利技术所要解决的技术问题是针对
技术介绍
的不足提供了一种k8s集群资源的使用权限管理方法;可满足不同厂商用户之间对资源权限的管理需求,通过对命名空间的使用权限管理,可独占命名空间或授权共享命名空间,通过节点组的使用权限管理,能独占节点或授权共享节点,同时简化了k8s管理员、用户的操作,提供便利、减少操作失误。
2、本专利技术为解决上述技术问题
3、一种k8s集群资源的使用权限管理方法,具体包含命名空间授权、k8s节点授权两种层面的管理,利用rsa算法对命名空间、k8s节点生成一种自定义资源crd形式的使用权限,里面包含了密钥、关联对象信息,并利用一种安装在k8s中的拦截器拦截负载发布请求,进行权限校验,拦截非法发布行为。
4、作为本专利技术一种k8s集群资源的使用权限管理方法的进一步优选方案,所述命名空间授权的管理与使用流程,具体包含如下步骤:
5、步骤a1,按常规方式创建命名空间,当前无权限控制;
6、步骤a2,申请命名空间的使用权限,利用rsa算法生成命名空间关联的公钥、密钥,以一种crd实例形式保存在k8s,返回用户公钥;crd为自定义资源;
7、步骤a3,在命名空间发布负载,利用公钥,根据命名空间、负载名,生成验证密码,在负载注解annotations上携带该密码,拦截器会拦截负载发布请求,检查到该命名空间存在使用权限crd对象,根据该使用权限crd资源对象中的密钥,解密负载携带的密码,验证是否有权限,若验证不通过,无法发布负载。
8、作为本专利技术一种k8s集群资源的使用权限管理方法的进一步优选方案,在步骤a2中,申请命名空间的使用权限,利用rsa算法生成命名空间关联的公钥、密钥,以一种crd实例形式保存在k8s,申请后用户得到公钥,用户根据公钥生成发布负载时的验证密码。
9、作为本专利技术一种k8s集群资源的使用权限管理方法的进一步优选方案,拥有此命名空间使用公钥的用户,才有权限使用此命名空间发布负载;通过授权使用公钥给不同用户,使不同用户可共享使用同一个命名空间。
10、作为本专利技术一种k8s集群资源的使用权限管理方法的进一步优选方案,其他用户由于没有命名空间的使用公钥,若发布负载到命名空间,拦截器会拦截到负载发布请求,由于在负载注解annotations上未携带密码或密码错误,被拒绝发布。
11、作为本专利技术一种k8s集群资源的使用权限管理方法的进一步优选方案,所述k8s节点授权的管理与使用流程,具体包含如下步骤:
12、步骤b1,创建一个称为节点组的crd对象,可对节点组添加节点、移除节点;
13、步骤b2,申请节点组的使用权限,利用rsa算法生成节点组关联的公钥、密钥,以一种crd实例形式保存在k8s,申请后用户得到公钥,用户根据公钥生成发布负载时的验证密码;
14、步骤b3,在发布负载时,需要利用公钥,根据节点组名、负载名,生成验证密码,在负载注解annotations上携带该密码、节点组名,拦截器会拦截负载的调度请求,判断当前节点是否存在关联的节点组使用权限crd资源对象,若没有则通过调度,有则根据节点组使用权限crd资源对象中的密钥,解密负载携带的密码,验证是否有权限,若验证不通过,无法调度负载到节点组上的节点,调度到其它节点。
15、作为本专利技术一种k8s集群资源的使用权限管理方法的进一步优选方案,拥有此节点组使用公钥的用户,才有权限发布负载到该节点组上的节点。
16、作为本专利技术一种k8s集群资源的使用权限管理方法的进一步优选方案,通过授权使用公钥给不同用户,使不同用户可共享使用同一个节点组。
17、作为本专利技术一种k8s集群资源的使用权限管理方法的进一步优选方案,其他用户由于没有节点组的使用公钥,若发布负载调度到这里面的节点,拦截器会拦截到负载发布请求,由于在负载注解annotations上未携带密码或密码错误,会被拒绝调度到这些节点。
18、作为本专利技术一种k8s集群资源的使用权限管理方法的进一步优选方案,对命名空间的权限管理,类似与k8s自带的rbac方式,提供了一种命名空间控制层面的权限控制,并不完全能控制对节点资源的使用,结合节点授权管理可进一步对节点资源的精细授权管理。
19、本专利技术采用以上技术方案与现有技术相比,具有以下技术效果:
20、1、本专利技术提出一种对命名空间、k8s节点使用权限的管理方法,利用rsa算法对命名空间、k8s节点生成使用公钥、密钥,通过在发布负载注释上携带加密密码,利用一种预置安装在k8s中的拦截器拦截负载发布请求、调度请求,进行解密、权限校验,拦截非法发布行为,达到控制层面与资源层面的权限管理,保护用户的资源不被非法占用;
21、2、本文介绍一种k8s集群资源的使用权限管理方法,可满足不同厂商用户之间对资源权限的管理需求,通过对命名空间的使用权限管理,可独占命名空间或授权共享命名空间,通过节点组的使用权限管理,能独占节点或授权共享节点,同时简化了k8s管理员、用户的操作,提供便利、减少操作失误。
本文档来自技高网...【技术保护点】
1.一种K8S集群资源的使用权限管理方法,其特征在于:具体包含命名空间授权、K8S节点授权两种层面的管理,利用RSA算法对命名空间、K8S节点生成一种自定义资源CRD形式的使用权限,里面包含了密钥、关联对象信息,并利用一种安装在K8S中的拦截器拦截负载发布请求,进行权限校验,拦截非法发布行为。
2.根据权利要求1所述的一种K8S集群资源的使用权限管理方法,其特征在于:所述命名空间授权的管理与使用流程,具体包含如下步骤:
3.根据权利要求2所述的一种K8S集群资源的使用权限管理方法,其特征在于:在步骤A2中,申请命名空间的使用权限,利用RSA算法生成命名空间关联的公钥、密钥,以一种CRD实例形式保存在K8S,申请后用户得到公钥,用户根据公钥生成发布负载时的验证密码。
4.根据权利要求2所述的一种K8S集群资源的使用权限管理方法,其特征在于:拥有此命名空间使用公钥的用户,才有权限使用此命名空间发布负载;通过授权使用公钥给不同用户,使不同用户可共享使用同一个命名空间。
5.根据权利要求2所述的一种K8S集群资源的使用权限管理方法,其特征在
6.根据权利要求1所述的一种K8S集群资源的使用权限管理方法,其特征在于:所述K8S节点授权的管理与使用流程,具体包含如下步骤:
7.根据权利要求5所述的一种K8S集群资源的使用权限管理方法,其特征在于:拥有此节点组使用公钥的用户,才有权限发布负载到该节点组上的节点。
8.根据权利要求7所述的一种K8S集群资源的使用权限管理方法,其特征在于:通过授权使用公钥给不同用户,使不同用户可共享使用同一个节点组。
9.根据权利要求5所述的一种K8S集群资源的使用权限管理方法,其特征在于:其他用户由于没有节点组的使用公钥,若发布负载调度到这里面的节点,拦截器会拦截到负载发布请求,由于在负载注解annotations上未携带密码或密码错误,会被拒绝调度到这些节点。
10.根据权利要求5所述的一种K8S集群资源的使用权限管理方法,其特征在于:对命名空间的权限管理,类似与K8S自带的RBAC方式,提供了一种命名空间控制层面的权限控制,并不完全能控制对节点资源的使用,结合节点授权管理可进一步对节点资源的精细授权管理。
...【技术特征摘要】
1.一种k8s集群资源的使用权限管理方法,其特征在于:具体包含命名空间授权、k8s节点授权两种层面的管理,利用rsa算法对命名空间、k8s节点生成一种自定义资源crd形式的使用权限,里面包含了密钥、关联对象信息,并利用一种安装在k8s中的拦截器拦截负载发布请求,进行权限校验,拦截非法发布行为。
2.根据权利要求1所述的一种k8s集群资源的使用权限管理方法,其特征在于:所述命名空间授权的管理与使用流程,具体包含如下步骤:
3.根据权利要求2所述的一种k8s集群资源的使用权限管理方法,其特征在于:在步骤a2中,申请命名空间的使用权限,利用rsa算法生成命名空间关联的公钥、密钥,以一种crd实例形式保存在k8s,申请后用户得到公钥,用户根据公钥生成发布负载时的验证密码。
4.根据权利要求2所述的一种k8s集群资源的使用权限管理方法,其特征在于:拥有此命名空间使用公钥的用户,才有权限使用此命名空间发布负载;通过授权使用公钥给不同用户,使不同用户可共享使用同一个命名空间。
5.根据权利要求2所述的一种k8s集群资源的使用权限管理方法,其特征在于:其他用户由于没有命名空间的使用公钥,若发布负载到命名空间,拦截器会...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。