[发明专利]权限管理方法、装置、电子设备及介质

说明书

本发明提供一种权限管理方法、装置、电子设备及介质，该权限管理方法包括：创建K8s管理组织，对K8s管理组织进行监听，得到K8s管理组织的资源信息；根据资源信息对创建用户的证书、签名及配置；对签名执行审批，根据审批结果对配置映射至配置表；根据配置表，设置用户的访问控制权限；根据访问控制权限为用户分配对应的用户命名空间。本发明的有益效果为：只需要根据现有组织创建相应的K8s管理组织，对kubernetes无入侵，并且将证书保存到configmap中提供UI平台和用户在后台命令使用；保存了集群用户信息在K8s管理组织，可通过此资源信息得到用户及项目信息；屏蔽了对集群的学习成本，只需对需要的用户体系在编排文件中阐述即可得到；提高了权限认证效率和安全性。

技术领域

本发明涉及计算机技术领域，尤其涉及一种权限管理方法、装置、电子设备及介质。

背景技术

kubernetes提供的原生的用户账户和用户组创建和RBAC认证权限去控制不同用户对集群的操作影响。现通常方案是创建证书，然后通过kubectl提供的config插件去进行一系列命令得到用户证书，最后创建RBAC，为用户赋予权限。

云下需要将用户对集群的影响严格把控，不然可能因为误操作或未限制操作，导致集群崩溃，发生不可估量的事故。例如对于同一个项目，对于运维和开发两个用户群体(用户组)所需的项目权限范围是不同的，对于一个统一集群平台中，不同组织所需的集群资源管理权限范围也是不同的。

发明内容

本发明实施例的主要目的在于提出一种权限管理方法、装置、电子设备及介质，提高了权限认证效率和安全性。

本发明的一方面提供了一种权限管理方法，其特征在于，包括：创建K8s管理组织，对所述K8s管理组织进行监听，得到所述K8s管理组织的资源信息；根据所述资源信息对创建用户的证书、签名及配置；对所述签名执行审批，根据审批结果对所述配置映射至配置表；根据所述配置表，设置用户的访问控制权限；根据所述访问控制权限为用户分配对应的用户命名空间。

根据所述的权限管理方法，其中创建K8s管理组织，对所述K8s管理组织进行监听，得到所述K8s管理组织的资源信息包括：通过kubernetes的Informer-Listener机制，监听所述K8s管理组织的所述资源信息，其中所述资源信息内容包括组织名称和项目列表。

根据所述的权限管理方法，其中根据所述资源信息对创建用户的证书、签名及配置包括：检测所述K8s管理组织是否存在所述证书，对存在所述证书所述K8s管理组织执行更新，或者，对未存在所述证书的所述K8s管理组织依次创建证书、签名及配置。

根据所述的权限管理方法，其中对未存在所述证书的所述K8s管理组织依次创建证书、签名及配置包括：读取所述K8s管理组织的根证书，调用x509方法，生成所述K8s管理组织的用户客户端的所述证书；通过Kubernetes提供的SDK创建Kubernetes集群证书资源的所述签名及证书的所述配置，所述证书为集群认证证书。

根据所述的权限管理方法，其中对所述签名执行审批包括：通过kubernetes的Informer-Listener机制，监听所述签名的资源创建，并根据预设审批规则，对所述签名执行进行自动审批，读取集群客户端的所述证书并写入所述配置，所述预设审批规则用于表征所述签名是否满足逻辑规范。

根据所述的权限管理方法，其中根据审批结果对所述配置映射至配置表包括：通过kubernetes的SDK，创建配置表类型资源，将所述配置保存于所述配置表中，所述配置表支持查询和导出。

根据所述的权限管理方法，其中根据所述配置表，设置用户的访问控制权限；根据所述访问控制权限为用户分配对应的用户命名空间包括：通过RoleBinding对用户授予Role权限，所述Role权限用于表征用户的集群权限，所述集群权限用于表征用户对所述命名空间的管理权限，通过用户的所述证书对所述命名空间执行管理。