[发明专利]K8S鉴权方法、相关设备及存储介质

说明书

本申请实施例公开了一种K8S鉴权方法、相关设备及存储介质。方法应用于K8S集群中的控制器，控制器包括RBAC鉴权组件、接口服务组件以及webhook鉴权组件，当RBAC鉴权组件对用户访问请求进行鉴权后，将生成的第一访问请求发送给接口服务组件，然后接口服务组件将第一访问请求转换为回调鉴权请求，并将回调鉴权请求发送至webhook鉴权组件，其中，回调鉴权请求包括目标资源标识以及目标用户标识；然后，webhook鉴权组件根据预设的目标名单集合以及目标用户标识，修改回调鉴权请求中的鉴权状态字段，得到第二访问请求，目标名单集合为与目标资源标识对应的候选名单集合；最后，webhook鉴权组件向接口服务组件返回第二访问请求。通过本申请可以提高K8S鉴权的灵活性。

技术领域

本申请涉及互联网技术领域，尤其涉及一种K8S鉴权方法、相关设备及存储介质。

背景技术

Kubernetes(简称K8S)是一个可移植、可扩展的开源平台，用于管理容器化的工作负载和服务，方便进行声明式配置和自动化。

用户在使用K8S鉴权的时候一般都是使用K8S默认的基于角色的权限访问控制(Role-Based Access Control，RBAC)鉴权方式。

而RBAC鉴权方式只能基于白名单进行鉴权，且内设的白名单不能修改，可见，K8S鉴权的灵活性还有待提高。

发明内容

本申请实施例提供了一种K8S鉴权方法、相关设备及存储介质，可以提高K8S鉴权的灵活性。

第一方面，本申请实施例提供了一种K8S鉴权方法，所述方法应用于K8S集群中的控制器，所述控制器包括RBAC鉴权组件、接口服务组件以及webhook鉴权组件，所述方法包括：

当所述接口服务组件接收到所述RBAC鉴权组件发送的第一访问请求时，将所述第一访问请求转换为回调鉴权请求，并将所述回调鉴权请求发送至所述webhook鉴权组件，所述回调鉴权请求包括目标资源标识以及目标用户标识，所述第一访问请求为所述RBAC鉴权组件对用户访问请求进行鉴权后生成的访问请求；

所述webhook鉴权组件根据预设的目标名单集合以及所述目标用户标识，修改所述回调鉴权请求中的鉴权状态字段，得到第二访问请求，所述目标名单集合为与所述目标资源标识对应的候选名单集合；

所述webhook鉴权组件向所述接口服务组件返回所述第二访问请求。

在一些实施例中，所述当所述接口服务组件接收到所述RBAC鉴权组件发送的第一访问请求时，将所述第一访问请求转换为回调鉴权请求之前，所述方法还包括：

所述RBAC鉴权组件接收所述用户访问请求，所述用户访问请求包括所述目标资源标识以及所述目标用户标识；

所述RBAC鉴权组件根据预设的用户标识与资源标识集合的对应关系确定所述目标用户标识是否与所述目标资源标识对应，得到鉴权结果；

所述RBAC鉴权组件根据所述鉴权结果修改所述用户访问请求，得到所述第一访问请求，并发送所述第一访问请求至所述接口服务组件。

第二方面，本申请实施例还提供了一种控制器，所述控制器位于K8S集群中，所述控制器包括RBAC鉴权组件、接口服务组件以及webhook鉴权组件，其中：

所述RBAC鉴权组件，用于向所述接口服务组件发送第一访问请求，所述第一访问请求为所述RBAC鉴权组件对用户访问请求进行鉴权后生成的访问请求；

所述接口服务组件，用于当接收到所述第一访问请求时，将所述第一访问请求转换为回调鉴权请求，并将所述回调鉴权请求发送至所述webhook鉴权组件，所述回调鉴权请求包括目标资源标识以及目标用户标识；