[发明专利]一种容器服务用户认证方法

说明书

本发明特别涉及一种容器服务用户认证方法。该容器服务用户认证方法，用户访问keycloak集群换取令牌token；将令牌token放在页眉header中，访问容器服务后台应用程序编程接口API；容器服务对用户进行认证，若未能通过认证则拒绝用户访问；配置相关集群，对用户进行认证并限制可访问APIServer资源。该容器服务用户认证方法，不仅可以有效的对容器服务的访问权限进行管理，管理用户可访问的后台API，还能够管理用户可访问的kubernetes集群内部资源，进而保障了数据安全。

技术领域

本发明涉及容器服务用户认证技术领域，特别涉及一种容器服务用户认证方法。

背景技术

kubernetes，简称K8s，是用8代替8个字符“ubernete”而成的缩写。是一个开源的，用于管理云平台中多个主机上的容器化的应用。Kubernetes的目标是让部署容器化的应用简单并且高效(powerful)，Kubernetes提供了应用部署，规划，更新，维护的一种机制。

传统的应用部署方式是通过插件或脚本来安装应用。这样做的缺点是应用的运行、配置、管理、所有生存周期将与当前操作系统绑定，这样做并不利于应用的升级更新/回滚等操作，当然也可以通过创建虚拟机的方式来实现某些功能，但是虚拟机非常重，并不利于可移植性。

新的方式是通过部署容器方式实现，每个容器之间互相隔离，每个容器有自己的文件系统，容器之间进程不会相互影响，能区分计算资源。相对于虚拟机，容器能快速部署，由于容器与底层设施、机器文件系统解耦的，所以它能在不同云、不同版本操作系统间进行迁移。

容器占用资源少、部署快，每个应用可以被打包成一个容器镜像，每个应用与容器间成一对一关系也使容器有更大优势。使用容器可以在build或release的阶段，为应用创建容器镜像，因为每个应用不需要与其余的应用堆栈组合，也不依赖于生产环境基础结构，这使得从研发到测试、生产能提供一致环境。类似地，容器比虚拟机轻量、更“透明”，这更便于监控和管理。

kubernetes是一个先进的容器编排系统，而容器服务具备创建删除kubernetes集群等集群管理功能。作为一个针对应用访问的开源的系统，keycloak具有以下核心概念：

a)users：可以登陆系统的实体，可以拥有一些相关属性；

b)groups：一个组的用户；

c)realms：域，realm下有一批用户，各个域之间是相互独立的，只能管理自己下面的用户；

d)clients：客户端，client可以请求keycloak对用户进行认证，也可以作为应用或者服务请求认证；

e)roles：角色，可以赋给用户；

f)user role mapping：用户与角色的映射关系，决定用户的访问资源权限。

近些年来，随着云计算、云服务的发展，容器技术得到了较为广泛的应用，而作为先进的容器编排系统，kubernetes也得到了越来越多的重视，而容器服务中对于用户的认证与权限设置则成为了一个重要的问题。

基于此，本发明提出了一种容器服务用户认证方法，基于keycloak实现了容器服务的用户认证，与相关权限设置。

发明内容

本发明为了弥补现有技术的缺陷，提供了一种简单高效的容器服务用户认证方法。

本发明是通过如下技术方案实现的：

一种容器服务用户认证方法，其特征在于，包括以下步骤：

A)用户访问keycloak集群换取令牌token；