[发明专利]一种基于kubernetes的业务权限架构

说明书

本发明提供了一种基于kubernetes的业务权限架构，包括应用端、服务端、基础服务和kubernetes；所述应用端包括应用端组/角色/用户架构，所述服务端包括服务端组/服务帐户架构；所述基础服务包括LDAP服务和keycloak应用；所述kubernetes用于构建基础服务；所述应用端部署在所述kubernetes上，并基于组/角色/用户架构进行权限设计。本发明的有益效果是：能够统一企业内部账号、角色、权限的维护管理工作，将内部所有应用系统进行了统一的组织和维护工作，从而能够对鉴权的处理流程进行相关的控制和干预；降低了企业内部账号权限体系的管理复杂度。

技术领域

本发明涉及权限管理技术领域，具体为一种基于kubernetes的业务权限架构。

背景技术

经典的权限管理模型，通常是将账户体系按照RBAC(角色-Base-Access-Control)方式进行设计，维护账号，组，角色，资源之间的关系，其中角色(角色)是权限的集合，每个角色最少包括一个权限，一个用户可以有多个角色，每个用户最少扮演一种角色，一个角色有多个用户，用户和角色是多对多的关系。

标准RBAC权限模型由4个子模型组成，分别是基本模型RBAC0(Core RBAC)、角色分级模型RBAC1(Hierarchal RBAC)、角色限制模型RBAC2(Constraint RBAC)和统一模型RBAC3(Combines RBAC)

RBAC0定义了能构成一个RBAC控制系统的最小的元素集合,RBAC0是最基础也是最核心的模型，由五部分组成：用户(用户)、角色(角色)、许可(Permission)、会话(Session)、操作(operations OPS)。

RBAC1引入角色间的继承关系，角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序关系，允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一个树结构。

RBAC2模型中添加了责任分离关系。责任分离包括静态责任分离和动态责任分离。约束与用户-角色-权限关系一起决定了RBAC2模型中用户的访问许可。

RBAC3是RBAC1与RBAC2的合集，所以RBAC3是既有角色分层又有约束的一种综合授权模型。

在Kubernetes内部RBAC鉴权机制使用rbac.authorization.k8s.io API组来驱动鉴权决定，通过Kubernetes API进行动态策略的配置。

Kubernetes的RBAC API声明了四种kubernetes对象：角色、集群角色、角色Binding和集群角色Binding。其中角色或集群角色中包含一组代表相关权限的规则。这些权限是纯粹累加的(不存在拒绝某操作的规则)。角色总是用来在某个名字空间内设置访问权限。

与之相对，集群角色则是一个集群作用域的资源。这两种资源的名字不同(角色和集群角色)是因为Kubernetes对象要么是名字空间作用域的，要么是集群作用域的，不可两者兼具。

而对于部署到kubernetes上的应用和服务，目前只能是基于kubernetes内部这种RBAC进行设置，基于kubernetes内部的RBAC模型进行实现，而对于在kubernetes容器化架构中，部署到其上面的应用、服务，目前则没有一种统一的权限架构模型进行管理，导致每个应用、服务都需要单独进行管理。

发明内容

本发明的目的在于提供一种基于kubernetes的业务权限架构，能够结合LDAP和kubernetes的应用和服务上提供多种方式的验证方式，对鉴权的处理流程能够进行相关的控制和干预，降低了企业内部账号权限体系的管理复杂度。