一种应用容器引擎管理方法及系统与流程

本发明涉及软件应用开发技术领域，特别是涉及一种应用容器引擎管理方法及系统。

背景技术：

Docker是一种开源的应用容器引擎，现有技术中，其操作用户的管理方式是类root权限用户，即操作用户具有系统的所有权限，进行相关操作。但这种管理方式存在如下缺陷：若某一用户使用不当，会对其它容器甚至主机安全造成威胁；又或者，若某一用户对镜像库安全性能不了解，拉取了有病毒镜像，会直接威胁到Docker使用，甚至造成主机信息的泄露或者系统崩溃。可见，现有应用容器引擎对操作用户的管理方式使应用容器引擎的安全性低。

技术实现要素：

本发明的目的是提供一种应用容器引擎管理方法及系统，与现有技术相比，可提高应用容器引擎使用的安全性。

为实现上述目的，本发明提供如下技术方案：

一种应用容器引擎管理方法，包括：

在接收到应用容器引擎客户端发送的用户登录请求时，根据所述用户的登录信息识别所述用户的等级；

在接收到所述应用容器引擎客户端发送的用户操作指令时，根据所述用户的等级，为所述用户提供与其等级相匹配的应用容器操作权限。

可选地，用户的等级分为第一等级用户、第二等级用户和第三等级用户，第一等级用户、第二等级用户和第三等级用户的操作权限范围依次减小。

可选地，所述第一等级用户的操作权限为：可操作系统内的所有容器；

所述第二等级用户的操作权限为：可操作非特权的容器；

所述第三等级用户的操作权限为：可开启或者停止容器。

可选地，通过统一接口接收各应用容器引擎客户端发送的用户登录请求以及用户操作指令。

可选地，还包括：设定用户的等级，并相应设置该用户的应用容器操作权限。

一种应用容器引擎管理系统，包括：

登录模块，用于在接收到应用容器引擎客户端发送的用户登录请求时，根据所述用户的登录信息识别所述用户的等级；

权限管理模块，用于在接收到所述应用容器引擎客户端发送的用户操作指令时，根据所述用户的等级，为所述用户提供与其等级相匹配的应用容器操作权限。

可选地，用户的等级分为第一等级用户、第二等级用户和第三等级用户，第一等级用户、第二等级用户和第三等级用户的操作权限范围依次减小。

可选地，所述第一等级用户的操作权限为：可操作系统内的所有容器；

所述第二等级用户的操作权限为：可操作非特权的容器；

所述第三等级用户的操作权限为：可开启或者停止容器。

可选地，还包括接口，通过所述接口接收各应用容器引擎客户端发送的用户登录请求以及用户操作指令。

可选地，还包括：

用户权限设定模块，用于设定用户的等级，并相应设置该用户的应用容器操作权限。

由上述技术方案可知，本发明所提供的应用容器引擎管理方法及系统，在接收到应用容器引擎客户端发送的用户登录请求时，根据用户的登录信息识别所述用户的等级；应用容器引擎客户端发送用户的操作指令，在接收到所述应用容器引擎客户端发送的用户操作指令时，根据所述用户的等级，为所述用户提供与其等级相匹配的应用容器操作权限。

本发明应用容器引擎管理方法及系统，对用户划分不同等级，并针对不同等级用户设置不同的操作权限，根据登录用户的等级，为登录用户提供相应的应用容器操作权限，因此并不是每一用户具有所有的操作权限。与现有方法相比可提高应用容器引擎使用的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种应用容器引擎管理方法的示意图；

图2为本发明实施例提供的一种应用容器引擎管理系统的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

请参考图1，本发明实施例提供的一种应用容器引擎管理方法，包括步骤：

S10:：在接收到应用容器引擎客户端发送的用户登录请求时，根据所述用户的登录信息识别所述用户的等级。

本方法中，将应用容器引擎操作用户划分管理等级。用户在通过应用容器引擎(Docker)客户端登录应用容器引擎(Docker)服务器进行操作时，通过客户端向应用容器引擎服务器发送登录请求，根据用户的登录信息识别出所述用户的等级。

将应用容器引擎操作用户划分多个不同管理等级，各等级具有不同的操作权限范围，用户等级的数量可以灵活设置。示例性的，在一种具体实施方式中，可以将用户的等级分为第一等级用户、第二等级用户和第三等级用户，其中第一等级用户、第二等级用户和第三等级用户的操作权限范围依次减小。

S11：在接收到所述应用容器引擎客户端发送的用户操作指令时，根据所述用户的等级，为所述用户提供与其等级相匹配的应用容器操作权限。

用户登录后，在应用容器引擎中进行操作时，通过客户端向服务器发送操作指令。在接收到用户的操作指令时根据所述用户的等级，为所述用户提供与其等级相匹配的应用容器操作权限，所述用户只能进行其权限范围内的操作，对于其权限范围外的操作不能进行。

示例性的，若将用户的等级划分为第一等级用户、第二等级用户和第三等级用户，可设置第一等级用户的操作权限为：可操作系统内的所有容器；所述第二等级用户的操作权限为：可操作非特权的容器；所述第三等级用户的操作权限为：可开启或者停止容器。

对于第一等级用户，可认为是超级管理员，可运行所有容器，包括对容器的创建、删除以及开启运行或者停止运行等操作，并且赋予容器最大的权限。对于第二等级用户，可认为是一般管理员，可创建非特权容器，对非特权容器进行创建、删除以及开启运行或者停止运行等操作。对于第三等级用户，可认为是普通管理员，只能对容器进行开启运行、停止运行等操作。

另外，本实施例应用容器引擎管理方法中，通过统一接口接收各应用容器引擎客户端发送的用户登录请求以及用户操作指令。

进一步的，本实施例方法，还包括：设定用户的等级，并相应设置该用户的应用容器操作权限。操作用户在进行注册时，可设定等级，并相应设置操作权限。

可以看出，本实施例应用容器引擎管理方法，对用户划分不同等级，并针对不同等级用户设置不同的操作权限，根据登录用户的等级，为登录用户提供相应的应用容器操作权限，因此并不是每一用户具有所有的操作权限。与现有方法相比可提高应用容器引擎使用的安全性。

现有技术中，在应用容器引擎应用中，有通过禁止非root权限用户的/run/docker、socket接口的访问来加强安全性，但是这种方式首先管理不够灵活，缺乏安全性。而本实施例应用容器引擎管理方法通过对用户的分层授权管理，实现了应用容器引擎使用的灵活安全管理，提升管理的灵活性，提高管理系统的安全性。

相应的，请参考图2，本发明实施例还提供一种应用容器引擎管理系统，包括：

登录模块20，用于在接收到应用容器引擎客户端发送的用户登录请求时，根据所述用户的登录信息识别所述用户的等级；

权限管理模块21，用于在接收到所述应用容器引擎客户端发送的用户操作指令时，根据所述用户的等级，为所述用户提供与其等级相匹配的应用容器操作权限。

本实施例应用容器引擎管理系统，包括登录模块和权限管理模块，在接收到应用容器引擎客户端发送的用户登录请求时，根据用户的登录信息识别所述用户的等级；应用容器引擎客户端发送用户的操作指令，在接收到所述应用容器引擎客户端发送的用户操作指令时，根据所述用户的等级，为所述用户提供与其等级相匹配的应用容器操作权限。

本实施例应用容器引擎管理系统，对用户划分不同等级，并针对不同等级用户设置不同的操作权限，根据登录用户的等级，为登录用户提供相应的应用容器操作权限，因此并不是每一用户具有所有的操作权限。与现有方法相比可提高应用容器引擎使用的安全性。

本实施例应用容器引擎管理系统中，将应用容器引擎操作用户划分管理等级。用户在通过应用容器引擎(Docker)客户端登录应用容器引擎(Docker)服务器进行操作时，通过客户端向应用容器引擎服务器发送登录请求，通过登录模块20根据用户的登录信息识别出所述用户的等级。

将应用容器引擎操作用户划分多个不同管理等级，各等级具有不同的操作权限范围，用户等级的数量可以灵活设置。示例性的，在一种具体实施方式中，可以将用户的等级分为第一等级用户、第二等级用户和第三等级用户，其中第一等级用户、第二等级用户和第三等级用户的操作权限范围依次减小。

用户登录后，在应用容器引擎中进行操作时，通过客户端向服务器发送操作指令。权限管理模块21在接收到用户的操作指令时根据所述用户的等级，为所述用户提供与其等级相匹配的应用容器操作权限，所述用户只能进行其权限范围内的操作，对于其权限范围外的操作不能进行。

示例性的，若将用户的等级划分为第一等级用户、第二等级用户和第三等级用户，可设置第一等级用户的操作权限为：可操作系统内的所有容器；所述第二等级用户的操作权限为：可操作非特权的容器；所述第三等级用户的操作权限为：可开启或者停止容器。

本实施例系统中，还包括接口，通过所述接口接收各应用容器引擎客户端发送的用户登录请求以及用户操作指令。

进一步的，本实施例系统还包括用户权限设定模块，用于设定用户的等级，并相应设置该用户的应用容器操作权限。操作用户可通过用户权限设定模块设定等级，并相应设置操作权限。

以上对本发明所提供的一种应用容器引擎管理方法及系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。