权限管理方法、装置、存储介质及电子设备与流程

本技术涉及计算机，具体涉及一种权限管理方法、装置、存储介质及电子设备。

背景技术：

1、应用等可以进行容器化改造集成到容器编排引擎(k8s)集群供相关用户访问，为了访问安全等通常需要配置访问权限。

2、容器编排引擎(k8s)集群虽然自带了基于角色(rbac)的鉴权支持，但是，目前主流容器管理平台rancher以及kubesphere等多容器编排引擎(k8s)集群管理方案中，通常需要研发人员提出权限配置申请，运维人员根据需求设计并通过复杂操作为用户配置集群权限，在集群数量增加的情况下通常需要花费大量的时间一一为各个用户增加权限，配置权限的流程较为复杂，在研发团队和应用数量众多的场景下，更是无法满足自动为研发人员赋予不同应用权限的细粒度授权需求，在生产中不能满足合理的权限隔离需求，运维和研发人员会浪费大量的时间在权限分配的沟通和操作中。

3、因此，目前的方式下，容器编排引擎(k8s)集群的权限管理存在流程复杂度高、无法满足自动为研发人员赋予不同应用权限的细粒度授权需求、在生产中不能满足合理的权限隔离需求且管理效率较低的问题。

技术实现思路

1、本技术实施例提供一种方案，可以实现容器编排引擎(k8s)集群的权限管理整体流程复杂度低，可以有效满足自动为研发人员赋予不同应用权限的细粒度授权需求，在生产中能够满足合理的权限隔离需求，且整体权限管理效率有效提升。

2、本技术实施例提供以下技术方案：

3、根据本技术的一个实施例，一种权限管理方法，其包括：响应于用户的权限配置指令，向应用管理平台发送所述用户的权限数据获取请求；接收所述应用管理平台响应所述权限数据获取请求返回的所述用户关联的应用权限数据；将所述应用权限数据发送至权限管理平台，以使得所述权限管理平台通过比较所述应用权限数据与集群权限数据在各容器编排引擎集群中进行权限变更，所述集群权限数据为所述用户在各容器编排引擎集群中的权限数据；接收所述权限管理平台返回的所述用户有权限的容器编排引擎集群对应的集群权限文件。

4、在本技术的一些实施例中，所述方法还包括：响应于针对待变更应用的权限变更指令，生成权限变更请求，所述权限变更请求中携带所述待变更应用对应的权限变更信息；向所述权限管理平台发送所述权限变更请求，以使得所述权限管理平台将所述权限变更请求转发至各所述容器编排引擎集群，其中，各所述容器编排引擎集群根据所述权限变更信息更新所述待变更应用对应的成员权限。

5、在本技术的一些实施例中，所述方法还包括：响应于预定应用部署成功，向所述应用管理平台获取所述预定应用对应的成员权限数据，所述成员权限数据为在所述预定应用部署之前添加至所述应用管理平台的；向所述权限管理平台发送所述成员权限数据，以使得所述权限管理平台将所述成员权限数据转发至各所述容器编排引擎集群，其中，各所述容器编排引擎集群根据所述成员权限数据更新所述预定应用对应的成员权限。

6、在本技术的一些实施例中，在所述将所述应用权限数据发送至权限管理平台之前，所述方法还包括：响应于策略选择指令，从所述应用管理平台获取所述应用权限数据的变更策略信息；所述将所述应用权限数据发送至权限管理平台，以使得所述权限管理平台通过比较所述应用权限数据与集群权限数据在各容器编排引擎集群中进行权限变更，包括：将所述应用权限数据与所述变更策略信息发送至所述权限管理平台，以使得所述权限管理平台根据所述变更策略信息，通过比较所述应用权限数据与集群权限数据在各容器编排引擎集群中进行权限变更。

7、在本技术的一些实施例中，所述响应于策略选择指令，从所述应用管理平台获取所述应用权限数据的变更策略信息，包括：展示策略选择界面，所述策略选择界面用于展示所述应用管理平台中变更策略；响应于所述策略选择界面中触发策略获取指令，从所述应用管理平台获取所述策略选择界面中选定的变更策略对应的变更策略信息。

8、在本技术的一些实施例中，所述将所述应用权限数据发送至权限管理平台，以使得所述权限管理平台通过比较所述应用权限数据与集群权限数据在各容器编排引擎集群中进行权限变更，包括：获取集群过滤名单；将所述应用权限数据及所述集群过滤名单发送至权限管理平台，以使得所述权限管理平台通过比较所述应用权限数据与集群权限数据，在未出现在所述集群过滤名单中的各容器编排引擎集群中进行权限变更。

9、在本技术的一些实施例中，所述方法还包括：向目标容器编排引擎集群发送访问请求，所述访问请求中携带所述目标容器编排引擎集群对应的集群权限文件；接收所述目标容器编排引擎集群返回的访问结果，所述访问结果为所述目标容器编排引擎集群验证所述访问请求中集群权限文件后返回的。

10、根据本技术的一个实施例，一种权限管理装置，所述装置包括：数据请求模块，用于响应于用户的权限配置指令，向应用管理平台发送所述用户的权限数据获取请求；数据接收模块，用于接收所述应用管理平台响应所述权限数据获取请求返回的所述用户关联的应用权限数据；变更请求模块，用于将所述应用权限数据发送至权限管理平台，以使得所述权限管理平台通过比较所述应用权限数据与集群权限数据在各容器编排引擎集群中进行权限变更，所述集群权限数据为所述用户在各容器编排引擎集群中的权限数据；权限获得模块，用于接收所述权限管理平台返回的所述用户有权限的容器编排引擎集群对应的集群权限文件。

11、在本技术的一些实施例中，所述装置还包括权限变更模块，用于：响应于针对待变更应用的权限变更指令，生成权限变更请求，所述权限变更请求中携带所述待变更应用对应的权限变更信息；向所述权限管理平台发送所述权限变更请求，以使得所述权限管理平台将所述权限变更请求转发至各所述容器编排引擎集群，其中，各所述容器编排引擎集群根据所述权限变更信息更新所述待变更应用对应的成员权限。

12、在本技术的一些实施例中，所述装置还包括部署变更模块，用于：响应于预定应用部署成功，向所述应用管理平台获取所述预定应用对应的成员权限数据，所述成员权限数据为在所述预定应用部署之前添加至所述应用管理平台的；向所述权限管理平台发送所述成员权限数据，以使得所述权限管理平台将所述成员权限数据转发至各所述容器编排引擎集群，其中，各所述容器编排引擎集群根据所述成员权限数据更新所述预定应用对应的成员权限。

13、在本技术的一些实施例中，在所述将所述应用权限数据发送至权限管理平台之前，所述装置还包括策略获取模块，用于：响应于策略选择指令，从所述应用管理平台获取所述应用权限数据的变更策略信息；所述变更请求模块，用于：将所述应用权限数据与所述变更策略信息发送至所述权限管理平台，以使得所述权限管理平台根据所述变更策略信息，通过比较所述应用权限数据与集群权限数据在各容器编排引擎集群中进行权限变更。

14、在本技术的一些实施例中，所述策略获取模块，用于：展示策略选择界面，所述策略选择界面用于展示所述应用管理平台中变更策略；响应于所述策略选择界面中触发策略获取指令，从所述应用管理平台获取所述策略选择界面中选定的变更策略对应的变更策略信息。

15、在本技术的一些实施例中，所述变更请求模块，用于：获取集群过滤名单；将所述应用权限数据及所述集群过滤名单发送至权限管理平台，以使得所述权限管理平台通过比较所述应用权限数据与集群权限数据，在未出现在所述集群过滤名单中的各容器编排引擎集群中进行权限变更。

16、在本技术的一些实施例中，所述装置还包括访问模块，用于：向目标容器编排引擎集群发送访问请求，所述访问请求中携带所述目标容器编排引擎集群对应的集群权限文件；接收所述目标容器编排引擎集群返回的访问结果，所述访问结果为所述目标容器编排引擎集群验证所述访问请求中集群权限文件后返回的。

17、根据本技术的另一实施例，一种存储介质，其上存储有计算机程序，当所述计算机程序被计算机的处理器执行时，使计算机执行本技术实施例所述的方法。

18、根据本技术的另一实施例，一种电子设备可以包括：存储器，存储有计算机程序；处理器，读取存储器存储的计算机程序，以执行本技术实施例所述的方法。

19、根据本技术的另一实施例，一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行本技术实施例所述的各种可选实现方式中提供的方法。

20、本技术实施例中，响应于用户的权限配置指令，向应用管理平台发送所述用户的权限数据获取请求；接收所述应用管理平台响应所述权限数据获取请求返回的所述用户关联的应用权限数据；将所述应用权限数据发送至权限管理平台，以使得所述权限管理平台通过比较所述应用权限数据与集群权限数据在各容器编排引擎集群中进行权限变更，所述集群权限数据为所述用户在各容器编排引擎集群中的权限数据；接收所述权限管理平台返回的所述用户有权限的容器编排引擎集群对应的集群权限文件。

21、以这种方式，在各容器编排引擎集群的基础上，开发提供应用管理平台和权限管理平台两个平台，以研发人员为例的用户仅需触发权限配置指令，即可触发与应用管理平台和权限管理平台的自动交互，最终由权限管理平台通过比较应用权限数据与集群权限数据在各容器编排引擎集群中进行权限变更，且通过比较的方式可以实现准确细粒度地权限变更，容器编排引擎(k8s)集群的权限管理整体流程复杂度低、可以有效满足自动为研发人员赋予不同应用权限的细粒度授权需求，在生产中能够满足合理的权限隔离需求，且整体权限管理效率有效提升。