1.本技术涉及计算机技术领域,具体而言,涉及一种集群系统的资源授权方法、装置、计算机可读介质及电子设备。
背景技术:2.在集群系统命名空间中存在各种各样的资源,在现有技术下,特定主体只能根据授权才能读取命名空间中的资源,不能访问其他命名空间中的资源。若需为特定主体授予多个命名空间中资源的读访问权限,则对于各个命名空间,都必须分别针对各个命名空间执行授权操作,此授权方式配置起来较为繁琐。如果涉及的命名空间数量较多,那么授权配置量会非常大,不易于配置和维护。
3.基于此,本领域技术人员急需一种集群系统的资源授权方法,以求在一定程度上简化资源授权的操作,从而提高集群系统配置和维护的便利性。
技术实现要素:4.本技术的实施例提供了一种集群系统的资源授权方法、装置、计算机程序产品或计算机程序、计算机可读介质及电子设备,进而至少在一定程度上简化资源授权的操作,从而提高集群系统配置和维护的便利性。
5.本技术的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本技术的实践而习得。
6.根据本技术实施例的一个方面,提供了一种集群系统的资源授权方法,所述集群系统包括至少一个命名空间,所述命名空间中包括至少一种资源,所述方法包括:定义针对所述集群系统中资源的操作权限;获取命名空间列表,所述空间列表中包括一个或者多个待进行资源授权的命名空间;创建授权配置模块,并基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。
7.在本技术的一些实施例中,所述操作权限包括访问权限、创建权限、删除权限、获取权限、修复权限、更新权限、监听权限、以及绑定权限中的至少一个。
8.在本技术的一些实施例中,所述创建授权配置模块,包括:通过所述集群系统的自定义资源模块创建所述授权配置模块。
9.在本技术的一些实施例中,所述基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体,包括:创建与所述授权配置模块对应的授权控制模块;通过所述授权控制模块将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。
10.在本技术的一些实施例中,所述通过所述授权控制模块将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体,包括:针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块在所述目标命名空间中定义所述操作权限;针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块在所述目标命名空
间中创建授权配置子模块;针对所述命名空间列表中的每一个目标命名空间,基于所述授权配置子模块,将所述目标命名空间的资源的操作权限授予给所述目标主体。
11.在本技术的一些实施例中,所述方法还包括:通过所述授权控制模块删除所述目标主体在所述命名空间列表中各个命名空间的资源的操作权限。
12.在本技术的一些实施例中,所述通过所述授权控制模块删除所述目标主体在所述命名空间列表中各个命名空间的资源的操作权限,包括:针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块删除在所述目标命名空间中定义的所述操作权限;针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块删除在所述目标命名空间中创建的授权配置子模块;
13.根据本技术的一个方面,提供了一种集群系统的资源授权装置,所述集群系统包括至少一个命名空间,所述命名空间中包括至少一种资源,所述装置包括:定义单元,被用于定义针对所述集群系统中资源的操作权限;获取单元,被用于获取命名空间列表,所述空间列表中包括一个或者多个待进行资源授权的命名空间;创建单元,被用于创建授权配置模块,并基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。
14.根据本技术的一个方面,提供了一种计算机可读介质,其特征在于,所述计算机可读介质中存储有至少一条程序代码,所述至少一条程序代码由处理器加载并执行以实现如所述的集群系统的资源授权方法所执行的操作。
15.根据本技术的一个方面,提供了一种电子设备,其特征在于,所述电子设备包括一个或多个处理器和一个或多个存储器,所述一个或多个存储器中存储有至少一条程序代码,所述至少一条程序代码由所述一个或多个处理器加载并执行以实现如所述的集群系统的资源授权方法所执行的操作。
16.基于上述方案,本技术至少具备以下优点或进步之处:
17.在本技术的一些实施例所提供的技术方案中,通过定义针对全集群系统的资源操作权限,再自定义得到授权配置模块,通过授权配置模块将待进行授权的命名空间的资源操作权限授予目标主体,由此可以实现同时将多个命名空间内的资源操作权限同时授予同一个目标主体,而其中仅涉及授权配置模块和资源操作权限,可以有效简化集群系统的授权操作,还能提高集群系统配置和维护的便利性。
18.应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本技术。
附图说明
19.此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本技术的实施例,并与说明书一起用于解释本技术的原理。
20.显而易见地,下面描述中的附图仅仅是本技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
21.在附图中:
22.图1示出了可以应用本技术实施例的技术方案的示例性系统架构的示意图;
23.图2示出了根据本技术一个实施例的集群系统的资源授权方法的流程图;
service,基础设施即服务)平台,在资源池中部署多种类型的虚拟资源,供外部客户选择使用。云计算资源池中主要包括:计算设备(为虚拟化机器,包含操作系统)、存储设备、网络设备。
39.以下对本技术实施例的技术方案的实现细节进行详细阐述:
40.请参阅图2。
41.图2示出了根据本技术一个实施例的集群系统的资源授权方法的流程图,所述集群系统包括至少一个命名空间,所述命名空间中包括至少一种资源,其特征在于,所述方法可以包括步骤s201-s203,具体步骤如下:
42.步骤s201,定义针对所述集群系统中资源的操作权限。
43.步骤s202,获取命名空间列表,所述空间列表中包括一个或者多个待进行资源授权的命名空间。
44.步骤s203,创建授权配置模块,并基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。
45.在本技术中,所述集群系统可以为k8s集群系统,k8s集群系统可以包括多个命名空间,而各个命名空间中可以包括多个pod,在pod中可以装载多个容器,pod中的容器可以看作虚拟机,用户可以将应用装载于容器中,从而将各个应用隔离,使得各个应用均拥有稳定的运行环境。
46.在本技术中,所述资源可以为k8s集群系统的pod,k8s集群系统可以使用rbac,即role based access control,基于角色的访问控制,实现授权。从而允许管理员通过kubernetes api动态进行授权配置。在k8s集群系统中,一个角色包含一套表示一组权限的规则,角色可以由clusterrole对象进行定义。在本实施例中,所述操作权限可以包括访问权限、创建权限、删除权限、获取权限、修复权限、更新权限、监听权限、以及绑定权限中的至少一个。clusterrole可以用于定义针对整个k8s集群系统中某一种资源的操作权限。
47.以下示例描述了在k8s集群系统中的一个clusterrole对象,用于授予所有命名空间中pod资源的读访问权限:
[0048][0049]
在本实施例中,所述创建授权配置模块的方法可以包括:通过所述集群系统的自定义资源模块创建所述授权配置模块。
[0050]
在本技术中,所述授权配置模块可以为k8s集群系统中通过crd,即customresourcedefinition进行定义的自定义资源。customresourcedefinition为k8s集群系统中的自定义资源定义模块,能够用于定义新的自定义资源,从而创建一种新的资源。
[0051]
自定义资源是对k8s api的扩展,并且能够通过api动态注册和删除。自定义资源被注册后,用户就可以使用kubectl来访问它们。
[0052]
crd是一个内建的api,用来创建自定义资源。部署一个crd到集群中,kube-apiserver会帮助你安装好路由和提供自定义资源的一般服务端实现。也就是意味着用户不再需要编写服务端代码,只需要创建一个crd,然后根据crd创建自定义资源的具体实例即可。
[0053]
在本技术中,可以将所述授权配置模块命名为unionrolebinding,用于同时在多个命名空间中将资源操作权限授予目标主体。在本技术中,所述目标主体可以包括用户、用户组、以及服务账号。
[0054]
以下示例描述了在k8s集群系统中的一个unionrolebinding对象,用于将命名空间default、ns1、ns2、ns3中pod资源的读访问权限授予服务账号sa1:
[0055][0056][0057]
请参阅图3。
[0058]
图3示出了根据本技术一个实施例的集群系统的资源授权方法的流程图,所述基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体的方法可以包括步骤s301-s302:
[0059]
步骤s301,创建与所述授权配置模块对应的授权控制模块;
[0060]
步骤s302,通过所述授权控制模块将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。
[0061]
在本技术中,在k8s集群系统中,可通过kubectl命令创建与删除多个授权配置模块。授权配置模块被创建以后,将会存入etcd。因此需要添加针对所述授权配置模块的授权控制模块,用于监听etcd中的授权配置模块,即监听etcd中unionrolebinding对象,可以实际执行将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体的操作。
[0062]
请参阅图4。
[0063]
图4示出了根据本技术一个实施例的集群系统的资源授权方法的流程图,所述通过所述授权控制模块将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体可以包括步骤s401-s403:
[0064]
步骤s401,针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块在所述目标命名空间中定义所述操作权限。
[0065]
步骤s402,针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块在所述目标命名空间中创建授权配置子模块。
[0066]
步骤s403,针对所述命名空间列表中的每一个目标命名空间,基于所述授权配置子模块,将所述目标命名空间的资源的操作权限授予给所述目标主体。
[0067]
在本技术中,可以通过所述授权控制模块监听etcd中unionrolebinding对象,实际执行将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体的操作。所述授权控制模块在监听到etcd中unionrolebinding对象发生创建动作时,通过在各个命名空间按照role授权规则分别创建role和rolebinding对象,其中各个命名空间中的rolebinding对象即本技术所述的授权配置子模块。
[0068]
以下示例描述了当通过kubectl命令创建unionrolebinding对象时,所述授权控制模块的具体处理方式:
[0069]
(1)获取命名空间列表,分别为default、ns1、ns2、ns3;
[0070]
(2)在ns1命名空间中创建role对象r1,授予对ns1命名空间中的pod资源的读访问权限,r1对象如下所示:
[0071][0072]
(3)在ns1命名空间中创建rolebinding对象rb1,将r1角色授予服务账号sa1,这一授权将允许服务账号sa1从ns1命名空间中读取pod资源,rb1对象如下所示:
[0073][0074]
(4)分别在default、ns2、ns3命名空间中,类似执行上述操作,最终将四个命名空间内的pod的读访问权限授予服务账号sa1。
[0075]
在本技术的一个实施例中,所述方法还可以包括:通过所述授权控制模块删除所述目标主体在所述命名空间列表中各个命名空间的资源的操作权限。
[0076]
在本技术中,在k8s集群系统中,可通过kubectl命令删除多个授权配置模块。因此需要添加针对所述授权配置模块的授权控制模块,用于监听etcd中授权配置模块,即监听etcd中unionrolebinding对象,从而可以实际执行删除所述目标主体在所述命名空间列表中各个命名空间的资源的操作权限的操作。
[0077]
请参阅图5。
[0078]
图5示出了根据本技术一个实施例的集群系统的资源授权方法的流程图,所述通过所述授权控制模块删除所述目标主体在所述命名空间列表中各个命名空间的资源的操作权限的方法可以包括步骤s501-s502:
[0079]
步骤s501,针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块删除在所述目标命名空间中定义的所述操作权限。
[0080]
步骤s502,针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块删除在所述目标命名空间中创建的授权配置子模块。
[0081]
例如,当需要删除unionrolebinding对象:
[0082]
(1)获取命名空间列表,分别为default、ns1、ns2、ns3;
[0083]
(2)在ns1命名空间中删除rolebinding对象rb1;
[0084]
(3)在ns1命名空间中删除role对象r1;
[0085]
(4)分别在default、ns2、ns3命名空间中,重复上述操作。
[0086]
接下来将结合附图,对本技术的一个装置实施例进行说明。
[0087]
请参阅图6。
[0088]
图6示出了根据本技术的一个实施例的集群系统的资源授权装置的简图,所述集群系统包括至少一个命名空间,所述命名空间中包括至少一种资源,其特征在于,所述集群系统的资源授权装置600可以包括:定义单元601、获取单元602、以及创建单元603。
[0089]
其中,所述集群系统的资源授权装置600具体配置可以为:定义单元601,被用于定义针对所述集群系统中资源的操作权限;获取单元602,被用于获取命名空间列表,所述空间列表中包括一个或者多个待进行资源授权的命名空间;创建单元603,被用于创建授权配置模块,并基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。
[0090]
请参阅图7。
[0091]
图7示出了适于用来实现本技术实施例的电子设备的计算机系统的结构示意图。
[0092]
需要说明的是,图7示出的电子设备的计算机系统700仅是一个示例,不应对本技术实施例的功能和使用范围带来任何限制。
[0093]
如图7所示,计算机系统700包括中央处理单元(central processing unit,cpu)701,其可以根据存储在只读存储器(read-only memory,rom)702中的程序或者从储存部分708加载到随机访问存储器(random access memory,ram)703中的程序而执行各种适当的动作和处理,例如执行上述实施例中所述的方法。在ram 703中,还存储有系统操作所需的各种程序和数据。cpu 701、rom702以及ram 703通过总线704彼此相连。输入/输出(input/output,i/o)接口705也连接至总线704。
[0094]
以下部件连接至i/o接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(cathode ray tube,crt)、液晶显示器(liquid crystal display,lcd)等以及扬声器等的输出部分707;包括硬盘等的储存部分708;以及包括诸如lan(local area network,局域网)卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至i/o接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入储存部分708。
[0095]
特别地,根据本技术的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本技术的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(cpu)701执行时,执行本技术的系统中限定的各种功能。
[0096]
需要说明的是,本技术实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(erasable programmable read only memory,eprom)、闪存、光纤、便携式紧凑磁盘只读存储器(compact disc read-only memory,cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中,计算机可读存储介质可以是任何包含或存储程序
的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本技术中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
[0097]
附图中的流程图和框图,图示了按照本技术各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
[0098]
描述于本技术实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
[0099]
作为另一方面,本技术还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例中所述的集群系统的资源授权方法。
[0100]
作为另一方面,本技术还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现上述实施例中所述的集群系统的资源授权方法。
[0101]
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本技术的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
[0102]
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本技术实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是cd-rom,u盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本技术实施方式的方法。
[0103]
本领域技术人员在考虑说明书及实践这里公开的实施方式后,将容易想到本技术
的其它实施方案。本技术旨在涵盖本技术的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本技术的一般性原理并包括本技术未公开的本技术领域中的公知常识或惯用技术手段。
[0104]
应当理解的是,本技术并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本技术的范围仅由所附的权利要求来限制。
技术特征:1.一种集群系统的资源授权方法,所述集群系统包括至少一个命名空间,所述命名空间中包括至少一种资源,其特征在于,所述方法包括:定义针对所述集群系统中资源的操作权限;获取命名空间列表,所述空间列表中包括一个或者多个待进行资源授权的命名空间;创建授权配置模块,并基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。2.根据权利要求1所述的方法,其特征在于,所述操作权限包括访问权限、创建权限、删除权限、获取权限、修复权限、更新权限、监听权限、以及绑定权限中的至少一个。3.根据权利要求1所述的方法,其特征在于,所述创建授权配置模块,包括:通过所述集群系统的自定义资源模块创建所述授权配置模块。4.根据权利要求1所述的方法,其特征在于,所述基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体,包括:创建与所述授权配置模块对应的授权控制模块;通过所述授权控制模块将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。5.根据权利要求4所述的方法,其特征在于,所述通过所述授权控制模块将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体,包括:针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块在所述目标命名空间中定义所述操作权限;针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块在所述目标命名空间中创建授权配置子模块;针对所述命名空间列表中的每一个目标命名空间,基于所述授权配置子模块,将所述目标命名空间的资源的操作权限授予给所述目标主体。6.根据权利要求5所述的方法,其特征在于,所述方法还包括:通过所述授权控制模块删除所述目标主体在所述命名空间列表中各个命名空间的资源的操作权限。7.根据权利要求6所述的方法,其特征在于,所述通过所述授权控制模块删除所述目标主体在所述命名空间列表中各个命名空间的资源的操作权限,包括:针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块删除在所述目标命名空间中定义的所述操作权限;针对所述命名空间列表中的每一个目标命名空间,通过所述授权控制模块删除在所述目标命名空间中创建的授权配置子模块。8.一种集群系统的资源授权装置,所述集群系统包括至少一个命名空间,所述命名空间中包括至少一种资源,其特征在于,所述装置包括:定义单元,被用于定义针对所述集群系统中资源的操作权限;获取单元,被用于获取命名空间列表,所述空间列表中包括一个或者多个待进行资源授权的命名空间;创建单元,被用于创建授权配置模块,并基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。
9.一种计算机可读介质,其特征在于,所述计算机可读介质中存储有至少一条程序代码,所述至少一条程序代码由处理器加载并执行以实现如权利要求1至7任一项所述的集群系统的资源授权方法所执行的操作。10.一种电子设备,其特征在于,所述电子设备包括一个或多个处理器和一个或多个存储器,所述一个或多个存储器中存储有至少一条程序代码,所述至少一条程序代码由所述一个或多个处理器加载并执行以实现如权利要求1至7任一项所述的集群系统的资源授权方法所执行的操作。
技术总结本申请的实施例提供了一种集群系统的资源授权方法、装置、计算机可读介质及电子设备。所述集群系统包括至少一个命名空间,所述命名空间中包括至少一种资源,所述方法包括:定义针对所述集群系统中资源的操作权限;获取命名空间列表,所述空间列表中包括一个或者多个待进行资源授权的命名空间;创建授权配置模块,并基于所述授权配置模块,将所述命名空间列表中各个命名空间的资源的操作权限同时授予给目标主体。本申请提供的技术方案在一定程度上简化资源授权的操作,从而提高集群系统配置和维护的便利性。维护的便利性。维护的便利性。
技术研发人员:陈南飞 王旸 蒋驰
受保护的技术使用者:明阳产业技术研究院(沈阳)有限公司
技术研发日:2022.03.31
技术公布日:2022/7/5
