(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210608872.0 (22)申请日 2022.05.31 (71)申请人 广东浪潮智慧计算 技术有限公司 地址 510620 广东省广州市天河区黄埔大 道西平云 路163号A塔9层自编01单 元 (72)发明人 刘立近　杨勇　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 吕鑫 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种访问k8s方法、 系统、 设备及计算机可读 存储介质 (57)摘要 本申请公开了访问k8s方法、 系统、 设备及计 算机可读 存储介质， 涉及k8s访问， 应用于k8s， 获 取目标用户对k8s的访问信息； 对目标用户进行 安全验证， 若验证通过， 则获取存储在k8s中的权 限控制信息； 基于权限控制信息确定目标用户的 访问权限； 按照访问信息， 基于访问权 限进行访 问操作， 得到访 问结果。 本申请中， k8s中预先存 储有权限控制信息， 这样， k8s只需基于权限控制 信息便可以确定目标用户的访问权限， 最后按照 访问信息， 基于访问权限进行访问操作， 便可 以 得到与权限控制信息相匹配的访问结果， 实现了 k8s借助权限控制信息来安全处理用户的访问信 息， 此外， 便于对k8s中的权限进行管控， 便捷性 好。 权利要求书2页 说明书12页 附图9页 CN 115022021 A 2022.09.06 CN 115022021 A 1.一种访问k8s方法， 其特 征在于， 应用于k8s， 包括： 获取目标用户对所述 k8s的访问信息； 对所述目标用户进行安全验证， 若验证通过， 则获取存储在所述k8s中的权限控制信 息； 基于所述权限控制信息确定所述目标用户的访问权限； 按照所述访问信息， 基于所述访问权限进行访问操作， 得到访问结果。 2.根据权利要求1所述的方法， 其特 征在于， 所述对所述目标用户进行安全 验证， 包括： 获取所述目标用户的id  token； 获取签发所述 id token的证书； 基于所述证书对所述id  token的签名字段进行解析， 若解析正确则对所述id  token的 有效期进行验证； 若所述id  token有效， 则解析所述id  token得到用户鉴权信息， 并确定所述目标用户 通过所述安全验证。 3.根据权利要求2所述的方法， 其特 征在于， 所述获取 所述目标用户的id  token， 包括： 获取client ‑go发送的访问请求认证头部， 所述访问请求认证头部包括所述client ‑go 验证接收到的所述 id token有效后、 对所述 id token进行封装后生成的认证头 部； 对所述访问请求认证头 部进行解析， 得到所述 id token。 4.根据权利要求2所述的方法， 其特征在于， 所述解析所述id  token得到用户鉴权信 息， 包括： 解析所述id token得到用户名和用户组字段； 将所述用户名和所述用户组字段作为所述用户鉴权信息； 所述基于所述权限控制信息确定所述目标用户的访问权限， 包括： 基于所述用户鉴权信息对所述权限控制信息进行查询， 得到所述访问权限。 5.根据权利要求2所述的方法， 其特 征在于， 所述获取 所述目标用户的id  token， 包括： 获取所述目标用户的所述id  token， 所述id  token包括基于OIDC协议生成的id   token。 6.根据权利要求1至5任一项所述的方法， 其特征在于， 所述获取目标用户对所述k8s的 访问信息之前， 还 包括： 获取所述k8s连接的云管平台设置的所述权限控制信息； 基于RBAC模型存 储所述权限控制信息 。 7.根据权利要求6所述的方法， 其特征在于， 所述基于RBAC模型存储所述权限控制信息 之后， 还包括： 获取所述云管平台发送的权限更新信息； 基于所述权限更新信息更新所述权限控制信息 。 8.一种访问k8s系统， 其特 征在于， 应用于k8s， 包括： 第一获取模块， 用于获取目标用户对所述 k8s的访问信息； 第一验证模块， 用于对所述目标用户进行安全验证， 若验证通过， 则获取存储在所述 k8s中的权限控制信息； 第一确定模块， 用于基于所述权限控制信息确定所述目标用户的访问权限；权　利　要　求　书 1/2 页 2 CN 115022021 A 2第一处理模块， 用于按照所述访问信 息， 基于所述访问权限进行访问操作， 得到访问结 果。 9.一种电子设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至7任一项所述访问k8s方法的 步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质中存储有计算机 程序， 所述计算机程序被处 理器时实现如权利要求1至7任一项所述访问k8s方法的步骤。权　利　要　求　书 2/2 页 3 CN 115022021 A 3