用于自动配置用于容器应用的最小云服务访问权限的技术的制作方法

背景技术：

1、基础设施和平台即服务云提供商支持集成认证。特别地，托管在云提供商的基础设施上的客户工作负载可以使用它们被托管在其上的计算实例的身份进行认证。这个模型可以允许客户构建安全的工作负载。如果没有它，将要求客户在每次创建实例时用凭证引导其实例或在实例上运行的应用，并确保此类凭证被云服务识别出。

2、客户访问规则可以限制计算实例或节点对某些服务或客户数据的访问，以防止所有容器对云基础设施具有相同级别的访问。为云服务建立连接性的现有系统常常可能使用过于宽松的许可规则，其中所有容器都对云基础设施具有相同级别的访问权。

技术实现思路

1、本公开的某些实施例可以提供用于管理对基于云的服务的访问的方法、系统和计算机可读存储介质。本公开描述了在容器和云服务之间调解请求以便提供足够级别的访问控制的系统和技术。所公开的技术组合了云协调器的内部认证以识别容器调用者和云服务认证以认证对云服务进行的调用。在一些示例中，系统上运行的各个容器可能无法直接访问元数据服务或实例凭证。代替地，容器可以通过请求转发器组件来发送请求。该组件建立容器身份并核实特定容器是否有权与目标服务(例如，云服务)通信。请求转发器组件使用实例凭证来认证对目标服务的调用。可以以防止容器访问元数据服务的方式来配置计算实例。该技术有效地防止容器中的过程使用计算实例凭证。计算实例是虚拟处理器、云中的计算节点，或者甚至是裸机处理器(例如，物理硬件计算机)的示例。

2、当容器被初始化时，容器编排器可以向其提供凭证。容器编排器除了替换节点、将容器替换为节点等之外，还可以使用凭证来识别容器。这个过程可以采取不同的形式。在一些情况下，该过程将导致凭证被存储在容器的文件系统上。根据本公开的一方面，在容器中执行的过程旨在调用云服务。该过程可以将对云服务的请求定向到请求转发器。该请求可以包括容器凭证。请求转发器可以接收请求并通过将容器凭证发送到容器编排器来确定容器的身份。请求转发器可以查阅系统上存储的一个或多个策略来核实是否允许容器访问目标云服务。请求转发器可以从元数据服务获得实例凭证。请求转发器可以将包括计算实例凭证的请求发送到目标云服务。云服务可以对照一个或多个存储的云策略核实该请求，以核实在容器中运行的实例是否被允许访问所请求的云服务。

3、具体而言，容器可以执行可以请求访问云资源的一个或多个应用。例如，资源可以被用于创建虚拟机、或访问序列或数据对象、或管理密钥管理系统中的密钥、或将数据存储在数据库中。云基础设施系统可以包括自己的集成访问管理机制。在访问管理系统中，可以向主体授予访问权。虽然在技术上有可能为每个容器创建主体，但该技术将需要包括授予对每个容器的访问权。这种技术难以大规模复制，因为它要求供应凭证并划分这些容器。这个问题只能使用计算节点来解决。计算节点有自己的第一类身份，并且可以授予对这些节点的访问权。因此，这些机器作为主体能够执行这些种类的动作。

4、假设存在需要单独存储的两条数据，所公开的技术允许容器的隔离。例如，一个容器可以存储第一条数据，并且第二容器可以存储第二条数据。理想情况下，容器永远不会托管在同一机器上。以这种方式，如果一个容器中或容器隔离中存在违反或漏洞，那么该漏洞不会提供对其它容器中其它数据的访问。

5、在一些方面，一种方法包括：(例如，从发送者)接收对于访问一个或多个云服务的一个或多个请求；将所述一个或多个请求存储在请求日志中；(例如，从不同发送者或相同发送者)接收适用于云服务访问权限的一个或多个访问规则；聚合请求日志的所述一个或多个请求以确定针对容器的访问要求，该容器被配置为存储一个或多个应用；生成定义容器和所述一个或多个云服务的访问的容器访问策略，该容器访问策略至少部分地基于所聚合的一个或多个请求以及所述一个或多个访问规则；将容器访问策略存储在存储器中；以及将容器访问策略发送到生产环境中的计算实例的请求转发器，该请求转发器访问容器访问策略以授予容器对所述一个或多个云服务的访问权限。

6、在一些方面，生成节点访问策略，该节点访问策略指定用于向计算实例组授予节点上的一个或多个容器的组合访问权的访问策略；以及将容器访问策略存储在存储器中。

7、在一些方面，该方法包括授予与指派给所述节点的所述一个或多个容器的组合访问权等同的访问许可。

8、在一些方面，该方法包括将具有多个计算实例的计算实例分区成节点组，节点中的每个节点具有不同的访问权；以及至少部分地基于节点访问策略将一个或多个容器指派给具有足够访问权的节点。

9、在一些方面，节点访问权是预先确定的并且每个节点内的容器访问权是动态配置的。

10、在一些方面，该方法包括测试云系统的访问要求；至少部分地基于请求日志中的条目来检测特定应用访问所述一个或多个云服务的故障；以及改变计算实例的许可来修复所述故障。

11、在一些方面，该方法包括将生产环境中的每个容器类型的请求转发器设置为许可模式，该许可模式授予存储在容器中的所述一个或多个应用对所述一个或多个云服务的访问权；从请求转发器接收所述一个或多个请求；以及根据所述一个或多个请求的数量超过阈值要求，将请求转发器切换到限制模式，该限制模式至少部分地基于容器访问策略授予所述一个或多个应用对所述一个或多个云服务的访问权，将请求转发器切换到限制模式，该限制模式至少部分地基于容器访问策略授予所述一个或多个应用对所述一个或多个云服务的访问权。

12、在一些方面，一种存储用于配置容器应用的云服务访问权限的指令集的非暂态计算机可读介质包括：一个或多个指令，该一个或多个指令在由计算机系统的一个或多个处理器执行时，使得计算机系统：(例如，从发送者)接收对于访问一个或多个云服务的一个或多个请求；将所述一个或多个请求存储在请求日志中；(例如，从不同发送者或相同发送者)接收适用于云服务访问权限的一个或多个访问规则；聚合请求日志的所述一个或多个请求以确定针对容器的访问要求，该容器被配置为存储一个或多个应用；生成定义容器和所述一个或多个云服务的访问的容器访问策略，该容器访问策略至少部分地基于所聚合的一个或多个请求以及所述一个或多个访问规则；将容器访问策略存储在存储器中；以及将容器访问策略发送到生产环境中的计算实例的请求转发器，该请求转发器访问容器访问策略以授予容器对所述一个或多个云服务的访问权限。

13、在一些方面，一个或多个指令还使得计算机系统：生成节点访问策略，该节点访问策略指定用于向计算实例组授予节点上的一个或多个容器的组合访问权的访问策略；以及将容器访问策略存储在存储器中。

14、在一些方面，一个或多个指令还使得计算机系统：授予与指派给所述节点的所述一个或多个容器的组合访问权等同的访问许可。

15、在一些方面，一个或多个指令还使得计算机系统：将具有多个计算实例的计算实例分区成节点组，节点中的每个节点具有不同的访问权；以及至少部分地基于节点访问策略将一个或多个容器指派给具有足够访问权的节点。

16、在一些方面，节点访问权是预先确定的并且每个节点内的容器访问权是动态配置的。

17、在一些方面，一个或多个指令还使得计算机系统：测试云系统的访问要求；至少部分地基于请求日志中的条目来检测特定应用访问所述一个或多个云服务的故障；以及改变计算实例的许可来修复所述故障。

18、在一些方面，一个或多个指令还使得计算机系统：将生产环境中的每个容器类型的请求转发器设置为许可模式，该许可模式授予存储在容器中的所述一个或多个应用对所述一个或多个云服务的访问权；从请求转发器接收所述一个或多个请求；以及根据所述一个或多个请求的数量超过阈值要求，将请求转发器切换到限制模式，该限制模式至少部分地基于容器访问策略授予所述一个或多个应用对所述一个或多个云服务的访问权。

19、在一些方面，一种计算机系统包括：一个或多个存储器；以及一个或多个处理器，通信地耦合到一个或多个存储器，被配置为执行用于配置用于容器应用的云服务访问权的操作，该操作包括：(例如，从发送者)接收对于访问一个或多个云服务的一个或多个请求；将所述一个或多个请求存储在请求日志中；(例如，从不同发送者或相同发送者)接收适用于云服务访问权限的一个或多个访问规则；聚合请求日志的所述一个或多个请求以确定针对容器的访问要求，该容器被配置为存储一个或多个应用；生成定义容器和所述一个或多个云服务的访问的容器访问策略，该容器访问策略至少部分地基于所聚合的一个或多个请求以及所述一个或多个访问规则；将容器访问策略存储在存储器中；以及将容器访问策略发送到生产环境中的计算实例的请求转发器，该请求转发器访问容器访问策略以授予容器对所述一个或多个云服务的访问权限。

20、在一些方面，一个或多个处理器还被配置为执行包括以下的操作：生成节点访问策略，该节点访问策略指定用于向计算实例组授予节点上的一个或多个容器的组合访问权的访问策略；以及将容器访问策略存储在存储器中。

21、在一些方面，一个或多个处理器还被配置为执行包括以下的操作：授予与指派给所述节点的所述一个或多个容器的组合访问权等同的访问许可。

22、在一些方面，一个或多个处理器还被配置为执行包括以下的操作：将具有多个计算实例的计算实例分区成节点组，节点中的每个节点具有不同的访问权；以及至少部分地基于节点访问策略将一个或多个容器指派给具有足够访问权的节点。

23、在一些方面，节点访问权是预先确定的并且每个节点内的容器访问权是动态配置的。

24、在一些方面，一个或多个处理器还被配置为执行包括以下的操作：测试云系统的访问要求；至少部分地基于请求日志中的条目来检测特定应用访问所述一个或多个云服务的故障；以及改变计算实例的许可来修复所述故障。

25、参考本说明书的其余部分(包括附图和权利要求)将实现所公开的实施例的其它特征和优点。下面关于附图来详细描述本公开的进一步特征和优点以及各种示例的结构和操作。在附图中，相似的附图标记可以指示完全相同或功能相似的元件。

26、下面详细描述这些和其它实施例。例如，其它实施例针对与本文描述的方法相关联的系统、设备和计算机可读介质。

27、参考以下具体实施方式和附图可以获得对于本公开的实施例的性质和优点的更好的理解。