Nothing Special   »   [go: up one dir, main page]

CN115442129A - 一种管理集群访问权限的方法、装置和系统 - Google Patents

一种管理集群访问权限的方法、装置和系统 Download PDF

Info

Publication number
CN115442129A
CN115442129A CN202211064945.0A CN202211064945A CN115442129A CN 115442129 A CN115442129 A CN 115442129A CN 202211064945 A CN202211064945 A CN 202211064945A CN 115442129 A CN115442129 A CN 115442129A
Authority
CN
China
Prior art keywords
cluster
access
authority
access authority
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211064945.0A
Other languages
English (en)
Inventor
王琨
赵建星
樊建刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jingdong Technology Information Technology Co Ltd
Original Assignee
Jingdong Technology Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jingdong Technology Information Technology Co Ltd filed Critical Jingdong Technology Information Technology Co Ltd
Priority to CN202211064945.0A priority Critical patent/CN115442129A/zh
Publication of CN115442129A publication Critical patent/CN115442129A/zh
Priority to PCT/CN2023/089635 priority patent/WO2024045646A1/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种管理集群访问权限的方法、装置和系统,涉及云计算技术领域。该方法的一具体实施方式包括:自动获取多个集群中所管理的第一集群的访问权限策略;并获取访问权限策略包含的第一集群与关联的一个或多个第二集群之间的访问权限信息;在监听到所述一个或多个第二集群的资源发生变更的情况下,自动更新所述访问权限策略包含的所述访问权限信息;以利用更新后的访问权限信息动态地管理多个集群。本发明实施例的方法克服了现有方法管理集群访问权限的灵活性较差的问题,提高了管理集群访问权限的实时性和效率。

Description

一种管理集群访问权限的方法、装置和系统
技术领域
本发明涉及云计算技术领域,尤其涉及一种管理集群访问权限的方法、装置和系统。
背景技术
随着互联网应用系统的复杂度的增加,通常可以利用多个集群之间的数据交互以提高互联网应用系统的数据处理能力,根据应用的业务场景,在处理集群之间的数据交互时往往需要管理集群之间的访问权限。
目前处理集群之间的访问权限的方法为技术人员为每个需要交互的集群根据设定的交互访问权限(例如黑白名单)分别配置;在集群发生与访问权限关联的资源变更的情况下,需要技术人员手工变更访问权限;现有的方法存在管理集群访问权限的灵活性较差,管理集群访问权限的实时性较差、效率较低的问题。
发明内容
有鉴于此,本发明实施例提供一种管理集群访问权限的方法、装置和系统,能够自动获取多个集群中所管理的第一集群的访问权限策略;并获取访问权限策略包含的第一集群与关联的一个或多个第二集群之间的访问权限信息;在监听到所述一个或多个第二集群的资源发生变更的情况下,自动更新所述访问权限策略包含的所述访问权限信息;以利用更新后的访问权限信息动态地管理多个集群。本发明实施例的方法克服了现有方法管理集群访问权限的灵活性较差的问题,提高了管理集群访问权限的实时性和效率。
为实现上述目的,根据本发明实施例的一个方面,提供了一种管理集群访问权限的方法,其特征在于,包括:获取第一集群的访问权限策略;所述访问权限策略包含第一集群与其关联的一个或多个第二集群之间的访问权限信息;在监听到关联的任意一个第二集群的资源发生变更的情况下,根据所述第二集群的资源的变更结果,更新所述访问权限策略包含的对应于所述第二集群的访问权限信息;利用更新后的访问权限策略,管理所述第一集群与关联的所述第二集群之间的访问权限。
可选地,所述管理集群访问权限的方法,进一步包括:在监听到所述第一集群的资源发生变更的情况下,根据所述第一集群资源的变更结果,更新所述访问权限策略包含的对应于所述第一集群的所述访问权限信息;利用更新后的访问权限策略管理所述第一集群与关联的所述第二集群之间的访问权限。
可选地,所述更新所述访问权限策略包含的对应于所述第二集群的访问权限信息,包括:为对应于所述第二集群的访问权限信息添加包含所述第二集群的集群标识的注解;以通过所述注解包含的集群标识指示第二集群发生资源变更的情况,以在所述第一集群访问所述第二集群的情况下,通过所述访问权限策略结合所述注解,限定所述第一集群访问所述第二集群的访问权限。
可选地,所述获取第一集群的访问权限策略,包括:获取所述第一集群的配置信息;根据所述配置信息,确定与所述第一集群关联的一个或多个第二集群的集群信息;获取所述第一集群与一个或多个所述第二集群之间的预设访问权限信息,基于预设访问权限信息所述生成所述第一集群的所述访问权限策略。
可选地,所述获取所述第一集群与一个或多个所述第二集群之间的预设访问权限信息,包括:从预设的配置文件中解析出所述预设访问权限信息,和/或,从所述第一集群包含的自定义权限数据中解析出所述预设访问权限信息,其中,所述自定义权限数据基于集群原生权限数据扩展得到。
可选地,所述管理集群访问权限的方法,进一步包括:所述第一集群包含权限控制器;利用所述权限控制器执行获取所述第一集群的访问权限策略、以及更新所述访问权限策略的步骤。
可选地,所述管理集群访问权限的方法,进一步包括:利用所述权限控制器为其所归属的第一集群启动第一控制器以及第二控制器;利用所述第一控制器监听所述第一集群的资源变更情况;利用所述第二控制器监听所述第一集群关联的一个或多个所述第二集群的资源变更情况。
为实现上述目的,根据本发明实施例的第二方面,提供了一种管理集群访问权限的装置,包括:获取策略模块、变更权限模块和管理权限模块;其中,
所述获取策略模块,用于获取第一集群的访问权限策略;所述访问权限策略包含第一集群与其关联的一个或多个第二集群之间的访问权限信息;
所述变更权限模块,用于在监听到关联的任意一个第二集群的资源发生变更的情况下,根据所述第二集群的资源的变更结果,更新所述访问权限策略包含的对应于所述第二集群的访问权限信息;
所述管理权限模块,用于利用更新后的访问权限策略,管理所述第一集群与关联的所述第二集群之间的访问权限。
可选地,所述管理集群访问权限的装置,进一步用于:在监听到所述第一集群的资源发生变更的情况下,根据所述第一集群资源的变更结果,更新所述访问权限策略包含的对应于所述第一集群的所述访问权限信息;利用更新后的访问权限策略管理所述第一集群与关联的所述第二集群之间的访问权限。
可选地,所述管理集群访问权限的装置,用于更新所述访问权限策略包含的对应于所述第二集群的访问权限信息,包括:为对应于所述第二集群的访问权限信息添加包含所述第二集群的集群标识的注解;以通过所述注解包含的集群标识指示第二集群发生资源变更的情况,以在所述第一集群访问所述第二集群的情况下,通过所述访问权限策略结合所述注解,限定所述第一集群访问所述第二集群的访问权限。
可选地,所述管理集群访问权限的装置,用于获取第一集群的访问权限策略,包括:获取所述第一集群的配置信息;根据所述配置信息,确定与所述第一集群关联的一个或多个第二集群的集群信息;获取所述第一集群与一个或多个所述第二集群之间的预设访问权限信息,基于预设访问权限信息所述生成所述第一集群的所述访问权限策略。
可选地,所述管理集群访问权限的装置,用于获取所述第一集群与一个或多个所述第二集群之间的预设访问权限信息,包括:从预设的配置文件中解析出所述预设访问权限信息,和/或,从所述第一集群包含的自定义权限数据中解析出所述预设访问权限信息,其中,所述自定义权限数据基于集群原生权限数据扩展得到。
可选地,所述管理集群访问权限的装置,进一步用于:所述第一集群包含权限控制器;利用所述权限控制器执行获取所述第一集群的访问权限策略、以及更新所述访问权限策略的步骤。
可选地,所述管理集群访问权限的装置,进一步用于:利用所述权限控制器为其所归属的第一集群启动第一控制器以及第二控制器;利用所述第一控制器监听所述第一集群的资源变更情况;利用所述第二控制器监听所述第一集群关联的一个或多个所述第二集群的资源变更情况。
为实现上述目的,根据本发明实施例的第三方面,提供了一种管理集群访问权限的装置,包括:获取策略模块、变更权限模块和管理权限模块;其中,
所述获取策略模块,用于获取第一集群的访问权限策略;所述访问权限策略包含第一集群与其关联的一个或多个第二集群之间的访问权限信息;
所述变更权限模块,用于在监听到所述第一集群的资源发生变更的情况下,根据所述第一集群资源的变更结果,更新所述访问权限策略包含的对应于所述第一集群的所述访问权限信息;
所述管理权限模块,用于利用更新后的访问权限策略管理所述第一集群与关联的所述第二集群之间的访问权限。
为实现上述目的,根据本发明实施例的第四方面,提供了一种管理集群访问权限的系统,其特征在于,包括:多个通信连接的集群;其中,一个或多个所述集群中配置有第二方面所述的管理集群访问权限的装置或第三方面所述的管理集群访问权限的装置。
为实现上述目的,根据本发明实施例的第五方面,提供了一种管理集群访问权限的电子设备,其特征在于,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上述管理集群访问权限的方法中任一所述的方法。
为实现上述目的,根据本发明实施例的第六方面,提供了一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如上述管理集群访问权限的方法中任一所述的方法。
上述发明中的一个实施例具有如下优点或有益效果:能够自动获取多个集群中所管理的第一集群的访问权限策略;并获取访问权限策略包含的第一集群与关联的一个或多个第二集群之间的访问权限信息;在监听到所述一个或多个第二集群的资源发生变更的情况下,自动更新所述访问权限策略包含的所述访问权限信息;以利用更新后的访问权限信息动态地管理多个集群。本发明实施例的方法克服了现有方法管理集群访问权限的灵活性较差的问题,提高了管理集群访问权限的实时性和效率。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是本发明一个实施例提供的一种管理集群访问权限的方法的流程示意图;
图2是本发明一个实施例提供的一种所管理的集群结构的示意图;
图3是本发明一个实施例提供的一种用于管理集群访问权限的流程示意图;
图4是本发明一个实施例提供的一种管理集群访问权限的装置的结构示意图;
图5是本发明一个实施例提供的一种管理集群访问权限的系统的结构示意图;
图6是本发明实施例可以应用于其中的示例性系统架构图;
图7是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
如图1所示,本发明实施例提供了一种管理集群访问权限的方法,该方法可以包括以下步骤:
步骤S101:获取第一集群的访问权限策略;所述访问权限策略包含第一集群与其关联的一个或多个第二集群之间的访问权限信息;
具体地,本发明的一个实施例中,管理集群访问权限的方法可以用于所管理的多个集群中的任意一个集群,图2示出了多个具有数据交互的集群:集群1、集群2…集群N;如图2所示,针对集群1,集群1与集群2、集群3、集群4具有关联关系(例如进行数据交互、或者数据同步等);则在第一集群为集群1的情况下,集群2、集群3、集群4为与集群1关联的多个第二集群;类似地,针对集群2,集群2与集群1、集群4具有关联关系,则在第一集群为集群2的情况下,集群1、集群4为与集群2关联的多个第二集群。
进一步地,获取第一集群的访问权限策略;其中,访问权限策略为多个集群之间的节点资源的交互访问权限的策略,以kubernetes集群为例,在一个kubernetes集群中,每个节点pod具有独立的IP地址,根据业务场景,多个kubernetes集群之间的pod可以互相访问以实现数据的交互;通常在数据交互时,针对一个集群,往往需要对允许(或禁止)访问和/或允许(或禁止)被访问的其他集群的访问权限进行管理,即设置第一集群的访问权限策略。
进一步地,获取第一集群的访问权限策略,包括:获取所述第一集群的配置信息;根据所述配置信息,确定与所述第一集群关联的一个或多个第二集群的集群信息;获取所述第一集群与一个或多个所述第二集群之间的预设访问权限信息,基于预设访问权限信息所述生成所述第一集群的所述访问权限策略。其中,通过获取的第一集群的配置信息,可以确定与第一集群关联的各个第二集群的集群信息;例如,第一集群为kubernetes集群1,获取kubernetes集群1自身的配置文件kubeconfig,并获取与kubernetes集群1相关联的多个其他集群对应的配置文件kubeconfig;针对第一集群,通过自身的配置文件和其他集群的配置文件,可以解析出于与第一集群相关联的各个第二集群,例如解析出kubernetes集群1与kubernetes集群2、kubernetes集群3具有通信连接和数据交互,则确定第一集群kubernetes集群1相关联的第二集群包括kubernetes集群2、kubernetes集群3等;进一步地,获取所述第一集群与一个或多个所述第二集群之间的预设访问权限信息,基于预设访问权限信息所述生成所述第一集群的所述访问权限策略。其中,预设访问权限信息可以从研发人员为第一集群配置的配置文件中解析得到;以及/或者从第一集群自定义权限数据解析所得到;具体地,访问权限信息可以包含:访问方向:访问其他集群或被其他集群访问(Ingress和/或Egress)、针对访问方向设置的允许访问的IP地址段(包括IP地址关联的一个或多个端口号)、或者禁止访问的IP地址段(包括IP地址关联的一个或多个端口号)、允许(或禁止)访问的资源标识(例如命名空间标识、节点资源标识等)、访问所使用的通信协议、节点类型、节点角色、节点白名单等;预设的配置文件可以为包含各个类型的访问权限信息的文件(例如,文本文件、数据库文件等);进一步地,第一集群包含的自定义权限数据基于集群原生权限数据扩展得到;以kubernetes集群为例,自定义权限数据可以基于kubernetes集群原生的NetworkPolicy配置进行扩展所得到,例如:设置CRD(CustomResourceDefinition)类型的自定义权限数据NewNpSpec,NewNpSpec通过扩展NpSpec得到,其中NpSpec为原生权限数据;原生权限数据的具体信息设置于v1.NetworkPolicy中,例如:可以在v1.NetworkPolicy中设置一个或多个pod在Egress方向可以访问哪些IP+Port对应的节点,或者在Ingress方向可以被哪些IP+Port对应的节点访问。其中,NewNpSpec扩展NpSpec的数据示例如下所示:
type NewNpSpec struct{//NewNpSpec代表自定义权限数据
ClusterList[]string`json:"clusterlist…"`//ClusterList代表多个集群的列表,具体的列表数据可以从json格式的数据中获取;
NpSpec v1.NetworkPolicy`json:"npspec…"`//NpSpec代表原生权限数据,具体的权限数据可以从json格式的数据中获取}
即,获取所述第一集群与一个或多个所述第二集群之间的预设访问权限信息,包括:从预设的配置文件中解析出所述预设访问权限信息,和/或,从所述第一集群包含的自定义权限数据中解析出所述预设访问权限信息,其中,所述自定义权限数据基于集群原生权限数据扩展得到。
进一步地,基于预设访问权限信息所述生成所述第一集群的所述访问权限策略。可以理解的是,访问权限策略包含具体的访问权限信息。
步骤S102:在监听到关联的任意一个第二集群的资源发生变更的情况下,根据所述第二集群的资源的变更结果,更新所述访问权限策略包含的对应于所述第二集群的访问权限信息。
具体地,可以利用第一集群包含的控制器(例如:controller1)按照设定规则(例如:设定时间间隔、业务触发等)监听与第一集群相关的一个或多个第二集群的资源是否发生变更,其中资源发生变更例如为:节点资源增加、节点资源更新、节点资源删除、命名空间资源变更等,在判断出发生变更的情况下,根据变更的变更结果,更新与变更结果相关的访问权限信息,即更新相关所述访问权限策略包含的对应于所述第二集群的访问权限信息;例如:集群1监听到集群2删除节点1,同时节点1在访问权限信息中为集群1禁止访问的节点,则可以对应地更新访问权限信息(例如删除针对节点1的访问权限信息)。以kubernetes集群为例,在监听到任意一个或多个第二集群的资源变更后,可以根据自定义权限数据中定义的访问权限信息,动态筛选和更新第一集群关联的NetworkPolicy中Ingress、Egress(访问方向)的ipBlock字段(访问权限信息包含的IP地址段),从而达到更新访问权限策略包含的对应于所述第二集群的访问权限信息的技术效果。
进一步地,第一集群监听到关联的任意一个第二集群的资源发生变更的情况,和/或监听自身的资源变更情况,即第一集群监听自身包含的各个资源(例如:命名空间资源、节点资源等)的变更情况,具体地,可以利用第一集群包含的控制器(例如:controller2)按照设定规则(例如:设定时间间隔、业务触发等)监听与第一集群相关的资源变更情况,在判断出发生变更的情况下,根据变更的变更结果,更新与变更结果相关的访问权限信息,并利用更新后的访问权限策略管理所述第一集群与关联的所述第二集群之间的访问权限。即,在监听到所述第一集群的资源发生变更的情况下,根据所述第一集群资源的变更结果,更新所述访问权限策略包含的对应于所述第一集群的所述访问权限信息;利用更新后的访问权限策略管理所述第一集群与关联的所述第二集群之间的访问权限。
进一步优选地,更新所述访问权限策略包含的对应于所述第二集群的访问权限信息,包括:为对应于所述第二集群的访问权限信息添加包含所述第二集群的集群标识的注解;以通过所述注解包含的集群标识指示第二集群发生资源变更的情况,以在所述第一集群访问所述第二集群的情况下,通过所述访问权限策略结合所述注解,限定所述第一集群访问所述第二集群的访问权限。具体地,在为第一集群更新访问权限策略包含的对应于所述第二集群的访问权限信息时,可以添加注解以标识发生资源变更的第二集群,或者自身集群;其中,例如第二集群是集群2,集群标识是“cluster2”,则可以添加针对“cluster2”的key-value格式的注解,例如key为newnpfrom,value是cluster2;类似地,在需要针对第一集群自身的资源变更而更新所述访问权限策略包含的所述访问权限信息的情况下,可以添加key-value格式的注解,例如key为newnpfrom,value是第一集群的集群标识,例如为cluster1。可以理解的是,通过访问权限策略结合添加的注解,可以获取根据第一集群、以及第一集群相关联的一个或多个第二集群中的任意集群由于发生资源变更而更新第一集群的访问权限策略的历史记录;提高了管理访问权限策略的准确性和效率。
步骤S103:利用更新后的访问权限策略,管理所述第一集群与关联的所述第二集群之间的访问权限。
具体地,第一集群利用访问权限策略管理所述第一集群与关联的所述第二集群之间的访问权限,例如:以kubernete集群为例,可以在访问权限策略包含的v1.NetworkPolicy中设置一个或多个pod节点在Egress方向可以访问哪些IP+Port对应的节点(即访问权限),或者在Ingress方向可以被哪些IP+Port对应的节点访问(即访问权限)。进一步地,第一集群可以通过访问权限策略与集群包含的业务服务器apiserver进行交互,并通过网络插件(例如calico、kube-router、cilium等)访问对应的数据层,以实现访问权限的管理。
如图3所示,本发明实施例提供了一种管理集群访问权限的方法,该方法可以包括以下步骤:
步骤S301:集群对应的权限控制器初始化,获取配置信息。
具体地,第一集群包含权限控制器,可以理解的是,应用本发明的方法的实施例所管理的多个集群中每个集群都包含权限控制器。即,所述第一集群包含权限控制器;利用所述权限控制器执行获取所述第一集群的访问权限策略、以及更新所述访问权限策略的步骤。
进一步地,可以为各个集群安装部署权限控制器npcontroller;权限控制器npcontroller可以运行于其归属的集群的任一节点服务器中;也可以运行于独立于各个集群之外的服务器中。
优选地,可以利用npcontroller在初始化的阶段获取第一集群的配置信息,配置信息例如包括第一集群配置文件(例如第一集群的kubeconfig文件)以及管理的其他集群(包括一个或多个第二集群)的第二集群配置文件(例如第二集群的kubeconfig文件),同时权限控制器还用于同多个集群的apiserver进行交互。
进一步地,可以利用权限控制器npcontroller在监听到任意一个第二集群的资源发生变更的情况下,执行更新访问策略的步骤。
步骤S302:利用所述第一控制器监听所述第一集群的资源变更情况。具体地,利用所述权限控制器为其所归属的第一集群启动第一控制器以及第二控制器。
步骤S303:利用所述第二控制器监听所述第一集群关联的一个或多个所述第二集群的资源变更情况。
即,利用所述权限控制器为其所归属的第一集群启动第一控制器以及第二控制器;利用所述第一控制器监听所述第一集群的资源变更情况;利用所述第二控制器监听所述第一集群关联的一个或多个所述第二集群的资源变更情况。
其中步骤S302、步骤S303的顺序仅为示例,步骤S302、步骤S303的操作的顺序可以为任意一个步骤在先、或者同时执行。
步骤S304:根据所述第二集群的资源的变更结果,更新所述访问权限策略包含的对应于所述第二集群的访问权限信息。
即,利用所述权限控制器执行获取所述第一集群的访问权限策略、在监听所述第二集群的资源变更后更新所述访问权限策略的步骤。
数据层可以利用采用插件(例如:calico、kube-router、cilium等插件)动态监听npcontroller对本集群(即第一集群)NetworkPolicy资源的更改,自动下发对应的数据层规则,以根据数据层规则从数据层面实现集群访问权限的管理。
如图4所示,本发明实施例提供了一种管理集群访问权限的装置400,包括:获取策略模块401、变更权限模块402和管理权限模块403;其中,
所述获取策略模块401,用于获取第一集群的访问权限策略;所述访问权限策略包含第一集群与其关联的一个或多个第二集群之间的访问权限信息;
所述变更权限模块402,用于在监听到关联的任意一个第二集群的资源发生变更的情况下,根据所述第二集群的资源的变更结果,更新所述访问权限策略包含的对应于所述第二集群的访问权限信息;
所述管理权限模块403,用于利用更新后的访问权限策略,管理所述第一集群与关联的所述第二集群之间的访问权限。
可选地,所述变更权限模块402在监听到所述第一集群的资源发生变更的情况下,根据所述第一集群资源的变更结果,更新所述访问权限策略包含的对应于所述第一集群的所述访问权限信息;所述管理权限模块403利用更新后的访问权限策略管理所述第一集群与关联的所述第二集群之间的访问权限。
如图5所示,本发明实施例提供了一种管理集群访问权限的系统500,包括:多个通过通信连接的集群;其中,一个或多个所述集群中配置有管理集群访问权限的装置400;
其中,所述管理集群访问权限的装置400包含的变更权限模块402,用于在监听到关联的任意一个第二集群的资源发生变更的情况下,根据所述第二集群的资源的变更结果,更新所述访问权限策略包含的对应于所述第二集群的访问权限信息;或者,用于在监听到所述第一集群的资源发生变更的情况下,根据所述第一集群资源的变更结果,更新所述访问权限策略包含的对应于所述第一集群的所述访问权限信息。
本发明实施例还提供了一种管理集群访问权限的电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述任一实施例提供的方法。
本发明实施例还提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现上述任一实施例提供的方法。
图6示出了可以应用本发明实施例的管理集群访问权限的方法或管理集群访问权限的装置的示例性系统架构600。
如图6所示,系统架构600可以包括终端设备601、602、603,网络604和服务器605。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备601、602、603通过网络604与服务器605交互,以接收或发送消息等。终端设备601、602、603上可以安装有各种客户端应用,例如电子商城客户端应用、网页浏览器应用、搜索类应用、即时通信工具和邮箱客户端等。
终端设备601、602、603可以是具有显示屏并且支持各种客户端应用的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器605可以是提供各种服务的服务器,例如对用户利用终端设备601、602、603所使用的客户端应用提供支持的后台管理服务器。集群可以包含一个或多个服务器605;后台管理服务器可以对接收到的业务请求进行处理,并将业务的数据反馈给终端设备。
需要说明的是,本发明实施例所提供的管理集群访问权限的方法一般由服务器605执行,相应地,管理集群访问权限的装置一般设置于服务器605中。
应该理解,图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图7,其示出了适于用来实现本发明实施例的终端设备的计算机系统700的结构示意图。图7示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块和/或单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块和/或单元也可以设置在处理器中,例如,可以描述为:一种处理器包括获取策略模块、变更权限模块和管理权限模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,获取策略模块还可以被描述为“获取第一集群的访问权限策略的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:获取第一集群的访问权限策略;所述访问权限策略包含第一集群与其关联的一个或多个第二集群之间的访问权限信息;在监听到关联的任意一个第二集群的资源发生变更的情况下,根据所述第二集群的资源的变更结果,更新所述访问权限策略包含的对应于所述第二集群的访问权限信息;利用更新后的访问权限策略,管理所述第一集群与关联的所述第二集群之间的访问权限。
本发明的实施例,能够自动获取多个集群中所管理的第一集群的访问权限策略;并获取访问权限策略包含的第一集群与关联的一个或多个第二集群之间的访问权限信息;在监听到所述一个或多个第二集群的资源发生变更的情况下,自动更新所述访问权限策略包含的所述访问权限信息;以利用更新后的访问权限信息动态地管理多个集群。本发明实施例的方法克服了现有方法管理集群访问权限的灵活性较差的问题,提高了管理集群访问权限的实时性和效率。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

Claims (12)

1.一种管理集群访问权限的方法,其特征在于,包括:
获取第一集群的访问权限策略;所述访问权限策略包含第一集群与其关联的一个或多个第二集群之间的访问权限信息;
在监听到关联的任意一个第二集群的资源发生变更的情况下,根据所述第二集群的资源的变更结果,更新所述访问权限策略包含的对应于所述第二集群的访问权限信息;
利用更新后的访问权限策略,管理所述第一集群与关联的所述第二集群之间的访问权限。
2.根据权利要求1所述的方法,其特征在于,进一步包括:
在监听到所述第一集群的资源发生变更的情况下,根据所述第一集群资源的变更结果,更新所述访问权限策略包含的对应于所述第一集群的所述访问权限信息;
利用更新后的访问权限策略管理所述第一集群与关联的所述第二集群之间的访问权限。
3.根据权利要求1所述的方法,其特征在于,
更新所述访问权限策略包含的对应于所述第二集群的访问权限信息,包括:
为对应于所述第二集群的访问权限信息添加包含所述第二集群的集群标识的注解;以通过所述注解包含的集群标识指示第二集群发生资源变更的情况,以在所述第一集群访问所述第二集群的情况下,通过所述访问权限策略结合所述注解,限定所述第一集群访问所述第二集群的访问权限。
4.根据权利要求1所述的方法,其特征在于,
获取第一集群的访问权限策略,包括:
获取所述第一集群的配置信息;根据所述配置信息,确定与所述第一集群关联的一个或多个第二集群的集群信息;
获取所述第一集群与一个或多个所述第二集群之间的预设访问权限信息,基于预设访问权限信息所述生成所述第一集群的所述访问权限策略。
5.根据权利要求4所述的方法,其特征在于,
获取所述第一集群与一个或多个所述第二集群之间的预设访问权限信息,包括:
从预设的配置文件中解析出所述预设访问权限信息,和/或,
从所述第一集群包含的自定义权限数据中解析出所述预设访问权限信息,其中,所述自定义权限数据基于集群原生权限数据扩展得到。
6.根据权利要求1所述的方法,其特征在于,进一步包括:
所述第一集群包含权限控制器;
利用所述权限控制器执行获取所述第一集群的访问权限策略、以及更新所述访问权限策略的步骤。
7.根据权利要求6所述的方法,其特征在于,进一步包括:
利用所述权限控制器为其所归属的第一集群启动第一控制器以及第二控制器;
利用所述第一控制器监听所述第一集群的资源变更情况;利用所述第二控制器监听所述第一集群关联的一个或多个所述第二集群的资源变更情况。
8.一种管理集群访问权限的装置,其特征在于,包括:获取策略模块、变更权限模块和管理权限模块;其中,
所述获取策略模块,用于获取第一集群的访问权限策略;所述访问权限策略包含第一集群与其关联的一个或多个第二集群之间的访问权限信息;
所述变更权限模块,用于在监听到关联的任意一个第二集群的资源发生变更的情况下,根据所述第二集群的资源的变更结果,更新所述访问权限策略包含的对应于所述第二集群的访问权限信息;
所述管理权限模块,用于利用更新后的访问权限策略,管理所述第一集群与关联的所述第二集群之间的访问权限。
9.根据权利要求8所述的装置,其特征在于,进一步包括:
通过所述变更权限模块在监听到所述第一集群的资源发生变更的情况下,根据所述第一集群资源的变更结果,更新所述访问权限策略包含的对应于所述第一集群的所述访问权限信息;
通过所述管理权限模块利用更新后的访问权限策略管理所述第一集群与关联的所述第二集群之间的访问权限。
10.一种管理集群访问权限的系统,其特征在于,包括:多个通信连接的集群;其中,一个或多个所述集群中配置有权利要求8所述的管理集群访问权限的装置或权利要求9所述的管理集群访问权限的装置。
11.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
12.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-7中任一所述的方法。
CN202211064945.0A 2022-09-01 2022-09-01 一种管理集群访问权限的方法、装置和系统 Pending CN115442129A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202211064945.0A CN115442129A (zh) 2022-09-01 2022-09-01 一种管理集群访问权限的方法、装置和系统
PCT/CN2023/089635 WO2024045646A1 (zh) 2022-09-01 2023-04-21 管理集群访问权限的方法、装置和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211064945.0A CN115442129A (zh) 2022-09-01 2022-09-01 一种管理集群访问权限的方法、装置和系统

Publications (1)

Publication Number Publication Date
CN115442129A true CN115442129A (zh) 2022-12-06

Family

ID=84245586

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211064945.0A Pending CN115442129A (zh) 2022-09-01 2022-09-01 一种管理集群访问权限的方法、装置和系统

Country Status (2)

Country Link
CN (1) CN115442129A (zh)
WO (1) WO2024045646A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024045646A1 (zh) * 2022-09-01 2024-03-07 京东科技信息技术有限公司 管理集群访问权限的方法、装置和系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090014507A (ko) * 2007-08-06 2009-02-11 (주)이스트소프트 웹사이트 주소 검증 시스템 및 주소 검증 방법
CN109829314A (zh) * 2019-03-06 2019-05-31 南京航空航天大学 一种危机事件驱动的自适应访问控制方法
CN113112248A (zh) * 2021-05-20 2021-07-13 北京明略昭辉科技有限公司 一种项目管理方法、系统、电子设备及存储介质
CN114707179A (zh) * 2022-03-31 2022-07-05 明阳产业技术研究院(沈阳)有限公司 集群系统的资源授权方法、装置、介质及电子设备

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112019475B (zh) * 2019-05-28 2021-12-21 阿里巴巴集团控股有限公司 无服务器架构下的资源访问方法、设备、系统及存储介质
US11115421B2 (en) * 2019-06-26 2021-09-07 Accenture Global Solutions Limited Security monitoring platform for managing access rights associated with cloud applications
CN113986459A (zh) * 2021-10-21 2022-01-28 浪潮电子信息产业股份有限公司 一种容器访问的控制方法、系统、电子设备及存储介质
CN114490000A (zh) * 2022-02-17 2022-05-13 北京百度网讯科技有限公司 任务处理方法、装置、设备及存储介质
CN114884838B (zh) * 2022-05-20 2023-05-12 远景智能国际私人投资有限公司 Kubernetes组件的监控方法及服务器
CN115442129A (zh) * 2022-09-01 2022-12-06 京东科技信息技术有限公司 一种管理集群访问权限的方法、装置和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090014507A (ko) * 2007-08-06 2009-02-11 (주)이스트소프트 웹사이트 주소 검증 시스템 및 주소 검증 방법
CN109829314A (zh) * 2019-03-06 2019-05-31 南京航空航天大学 一种危机事件驱动的自适应访问控制方法
CN113112248A (zh) * 2021-05-20 2021-07-13 北京明略昭辉科技有限公司 一种项目管理方法、系统、电子设备及存储介质
CN114707179A (zh) * 2022-03-31 2022-07-05 明阳产业技术研究院(沈阳)有限公司 集群系统的资源授权方法、装置、介质及电子设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024045646A1 (zh) * 2022-09-01 2024-03-07 京东科技信息技术有限公司 管理集群访问权限的方法、装置和系统

Also Published As

Publication number Publication date
WO2024045646A1 (zh) 2024-03-07

Similar Documents

Publication Publication Date Title
CN113495921B (zh) 一种数据库集群的路由方法和装置
CN108712332B (zh) 一种通信方法、系统和装置
CN107800565B (zh) 巡检方法、装置、系统、计算机设备和存储介质
CN112860451A (zh) 一种基于SaaS的多租户数据处理方法和装置
CN109245908B (zh) 一种主从集群切换的方法和装置
CN110909521A (zh) 在线文档信息的同步处理方法、装置及电子设备
CN111460129A (zh) 标识生成的方法、装置、电子设备和存储介质
CN111478781B (zh) 一种消息广播的方法和装置
CN110609656B (zh) 存储管理方法、电子设备和计算机程序产品
CN110795328A (zh) 一种接口测试方法和装置
US10129204B2 (en) Network client ID from external management host via management network
CN113079098B (zh) 路由更新的方法、装置、设备和计算机可读介质
CN115442129A (zh) 一种管理集群访问权限的方法、装置和系统
CN113050890B (zh) 一种数据迁移方法和装置
CN113541987A (zh) 一种更新配置数据的方法和装置
CN114070889B (zh) 配置方法、流量转发方法、设备、存储介质及程序产品
CN113127430A (zh) 镜像信息处理方法、装置、计算机可读介质及电子设备
CN115480877A (zh) 多集群环境下应用服务的对外暴露方法和装置
CN113722007B (zh) Vpn分支设备的配置方法、装置及系统
CN116737662A (zh) 业务数据处理的方法、装置、电子设备和存储介质
US11494239B2 (en) Method for allocating computing resources, electronic device, and computer program product
CN112463616A (zh) 一种面向Kubernetes容器平台的混沌测试方法和装置
CN112099841A (zh) 一种生成配置文件的方法和系统
CN113556370A (zh) 一种服务调用方法和装置
CN112882741A (zh) 一种应用管理系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination