集群资源的处理方法、装置及电子设备与流程

1.本技术涉及云计算技术领域，具体而言，涉及一种集群资源的处理方法、装置及电子设备。


背景技术：

2.目前，随着云原生技术不断地发展和落实，企业将多个应用容器化后部署在kubernetes集群内已成为十分普遍的技术路线，进而云上业务的安全稳定运行也越来越受到关注。kubernetes集群的原生技术提供了基于角色的访问控制(role-based access control，rbac)的资源权限管控机制，通过定义角色(role)、集群角色(cluster role)、角色绑定(role binding)、集群角色绑定(cluster role binding)等资源配置kubernetes集群资源的管理权限。但由于现有技术中kubernetes提供的基于角色的访问控制的管控粒度较粗，即基于角色的访问控制只能控制到命名空间(namespace)下的一个资源类型(例如，namespace1下的所有deployment资源)，无法精确到命名空间下特定的资源(例如，namespace1下的单个deployment资源)。另外，基于角色的访问控制需要基于提前定义好的角色(role)、集群角色(cluster role)、角色绑定(role binding)、集群角色绑定(cluster role binding)等资源，以其为规则进行资源权限管控。当集群情况发生变化时，无法动态调节资源权限管控规则，导致基于角色的访问控制的灵活性较低，降低了技术人员的工作效率。
3.针对相关技术中采用基于角色的访问控制只能限制命名空间下的一类资源的访问，无法精确地限制命名空间下的单个资源的访问，导致对单个资源进行访问限制的准确度较低的问题，目前尚未提出有效的解决方案。


技术实现要素：

4.本技术的主要目的在于提供一种集群资源的处理方法、装置及电子设备，以解决相关技术中采用基于角色的访问控制只能限制命名空间下的一类资源的访问，无法精确地限制命名空间下的单个资源的访问，导致对单个资源进行访问限制的准确度较低的问题。
5.为了实现上述目的，根据本技术的一个方面，提供了一种集群资源的处理方法，该方法包括：确定资源锁的生效规则，其中，所述资源锁用于保护目标集群中的资源，所述生效规则用于限制所述资源锁保护资源的资源范围，其中，所述资源范围中包括至少一个资源；若检测到所述目标集群接收到资源处理请求，则确定所述资源处理请求中待处理的目标资源；判断所述目标资源是否在所述生效规则限制的资源范围内；若所述目标资源在所述生效规则限制的资源范围内，则限制所述资源处理请求对所述目标资源进行处理。
6.进一步地，确定资源锁的生效规则包括：获取所述资源锁所保护的资源的目标命名空间和目标标签，以及所述资源锁限制对被保护的资源进行的目标操作；基于k8s的自定义资源功能，创建自定义资源对象，其中，所述自定义资源对象至少包括：所述目标命名空间、所述目标操作和所述目标标签；依据所述自定义资源对象确定所述生效规则。
7.进一步地，判断所述目标资源是否在所述生效规则限制的资源范围内包括：判断所述目标资源所在的命名空间是否属于所述生效规则中的所述目标命名空间；若所述目标资源所在的命名空间属于所述目标命名空间，则判断所述目标资源的标签是否属于所述生效规则中的所述目标标签；若所述目标资源的标签属于所述目标标签，则判断所述资源处理请求对所述目标资源进行的操作是否属于所述生效规则中的所述目标操作；若所述资源处理请求对所述目标资源进行的操作属于所述目标操作，则确定所述目标资源属于所述生效规则所保护的资源。
8.进一步地，若所述目标资源在所述生效规则限制的资源范围内，则限制所述资源处理请求对所述目标资源进行处理包括：限制所述资源处理请求对所述目标资源进行处理；依据所述资源处理请求生成告警事件，并上传所述告警事件。
9.进一步地，在确定资源锁的生效规则之后，所述方法还包括：确定指示所述资源锁生效或失效的目标事件，并将所述目标事件添加至所述生效规则中；若在所述目标集群检测到第一事件生成，则依据更新后的生效规则判断所述第一事件是否属于所述目标事件；若所述第一事件属于所述目标事件，则依据所述第一事件对所述资源锁进行处理。
10.进一步地，确定指示所述资源锁生效或失效的目标事件，并将所述目标事件添加至所述生效规则中包括：获取指示所述资源锁生效的目标生效事件和指示所述资源锁失效的目标失效事件；将所述目标生效事件和所述目标失效事件确定为所述目标事件；将所述目标事件添加至所述生效规则中。
11.进一步地，确定资源锁的生效规则还包括：将所述目标命名空间、所述目标操作、所述目标标签、所述目标生效事件和所述目标失效事件写入静态文件中，得到目标文件；依据所述目标文件的内容确定所述生效规则。
12.进一步地，在判断所述目标资源是否在所述生效规则限制的资源范围内之后，所述方法还包括：若所述目标资源不在所述生效规则限制的资源范围内，则依据所述资源处理请求对所述目标资源进行处理。
13.为了实现上述目的，根据本技术的另一方面，提供了一种集群资源的处理装置，该装置包括：第一确定单元，用于确定资源锁的生效规则，其中，所述资源锁用于保护目标集群中的资源，所述生效规则用于限制所述资源锁保护资源的资源范围，其中，所述资源范围中包括至少一个资源；第二确定单元，用于若检测到所述目标集群接收到资源处理请求，则确定所述资源处理请求中待处理的目标资源；第一判断单元，用于判断所述目标资源是否在所述生效规则限制的资源范围内；第一处理单元，用于若所述目标资源在所述生效规则限制的资源范围内，则限制所述资源处理请求对所述目标资源进行处理。
14.进一步地，所述第一确定单元包括：第一获取子单元，用于获取所述资源锁所保护的资源的目标命名空间和目标标签，以及所述资源锁限制对被保护的资源进行的目标操作；创建子单元，用于基于k8s的自定义资源功能，创建自定义资源对象，其中，所述自定义资源对象至少包括：所述目标命名空间、所述目标操作和所述目标标签；第一确定子单元，用于依据所述自定义资源对象确定所述生效规则。
15.进一步地，所述第一判断单元包括：第一判断子单元，用于判断所述目标资源所在的命名空间是否属于所述生效规则中的所述目标命名空间；第二判断子单元，用于若所述目标资源所在的命名空间属于所述目标命名空间，则判断所述目标资源的标签是否属于所
述生效规则中的所述目标标签；第三判断子单元，用于若所述目标资源的标签属于所述目标标签，则判断所述资源处理请求对所述目标资源进行的操作是否属于所述生效规则中的所述目标操作；第二确定子单元，用于若所述资源处理请求对所述目标资源进行的操作属于所述目标操作，则确定所述目标资源属于所述生效规则所保护的资源。
16.进一步地，所述第一处理单元包括：第一处理子单元，用于限制所述资源处理请求对所述目标资源进行处理；生成子单元，用于依据所述资源处理请求生成告警事件，并上传所述告警事件。
17.进一步地，所述装置还包括：第三确定单元，用于在确定资源锁的生效规则之后，确定指示所述资源锁生效或失效的目标事件，并将所述目标事件添加至所述生效规则中；第二判断单元，用于若在所述目标集群检测到第一事件生成，则依据更新后的生效规则判断所述第一事件是否属于所述目标事件；第二处理单元，用于若所述第一事件属于所述目标事件，则依据所述第一事件对所述资源锁进行处理。
18.进一步地，所述第三确定单元包括：第二处理子单元，用于获取指示所述资源锁生效的目标生效事件和指示所述资源锁失效的目标失效事件；第三确定子单元，用于将所述目标生效事件和所述目标失效事件确定为所述目标事件；添加子单元，用于将所述目标事件添加至所述生效规则中。
19.进一步地，所述第一确定单元还包括：第二获取子单元，用于将所述目标命名空间、所述目标操作、所述目标标签、所述目标生效事件和所述目标失效事件写入静态文件中，得到目标文件；第四确定子单元，用于依据所述目标文件的内容确定所述生效规则。
20.进一步地，所述装置还包括：第三处理单元，用于在判断所述目标资源是否在所述生效规则限制的资源范围内之后，若所述目标资源不在所述生效规则限制的资源范围内，则依据所述资源处理请求对所述目标资源进行处理。
21.为了实现上述目的，根据本技术的一个方面，提供了一种电子设备，包括一个或多个处理器和存储器，存储器用于存储一个或多个程序，其中，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现上述任意一项所述集群资源的处理方法。
22.通过本技术，采用以下步骤：确定资源锁的生效规则，其中，所述资源锁用于保护目标集群中的资源，所述生效规则用于限制所述资源锁保护资源的资源范围，其中，所述资源范围中包括至少一个资源；若检测到所述目标集群接收到资源处理请求，则确定所述资源处理请求中待处理的目标资源；判断所述目标资源是否在所述生效规则限制的资源范围内；若所述目标资源在所述生效规则限制的资源范围内，则限制所述资源处理请求对所述目标资源进行处理，解决了相关技术中采用基于角色的访问控制只能限制命名空间下的一类资源的访问，无法精确地限制命名空间下的单个资源的访问，导致对单个资源进行访问限制的准确度较低的问题。通过资源锁保护资源的资源范围确定生效规则，能够依据生效规则判断集群接收到的资源处理请求中待处理的目标资源是否处于被保护资源的资源范围内，并依据判断结果处理该资源处理请求，达到了提高资源锁的保护范围的准确度的效果。
附图说明
23.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实
施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
24.图1是根据本技术实施例一提供的集群资源的处理方法的流程图；
25.图2是根据本技术实施例一提供的可选的集群资源的处理方法的示意图一；
26.图3是根据本技术实施例一提供的可选的集群资源的处理方法的示意图二；
27.图4是根据本技术实施例一提供的可选的集群资源的处理方法的示意图三；
28.图5是根据本技术实施例二提供的集群资源的处理装置的示意图；
29.图6是根据本技术实施例五提供的集群资源的处理电子设备的示意图。
具体实施方式
30.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
31.需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息、集群中的用户数据等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据、请求的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒绝。
32.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
33.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
34.实施例一
35.下面结合优选的实施步骤对本发明进行说明，图1是根据本技术实施例一提供的集群资源的处理方法的流程图，如图1所示，该方法包括如下步骤：
36.步骤s101，确定资源锁的生效规则，其中，资源锁用于保护目标集群中的资源，生效规则用于限制资源锁保护资源的资源范围，其中，资源范围中包括至少一个资源。
37.在本实施例一中，资源锁用于阻止对集群中的资源进行修改或删除的操作。若一个资源应用了资源锁，必须先删除该锁，才能对该资源进行删除或修改操作。但现有技术中采用资源锁保护集群中的资源时，只能保护集群中的一类资源，无法精确地对集群中特定的资源进行保护。所以，在本实施例一中，为了精确地对集群中特定的资源进行保护，需要确定资源锁的生效规则，即确定资源锁保护资源的保护范围，其中，资源锁的保护范围内至少存在一个资源。
38.步骤s102，若检测到目标集群接收到资源处理请求，则确定资源处理请求中待处
理的目标资源。
39.在本实施例一中，资源处理请求表示对资源进行删除或更新操作的资源请求。在接收到资源处理请求后，需要确定该资源处理请求中待处理的目标资源，以便后续依据目标资源和生效规则判断是否执行该资源处理请求。
40.步骤s103，判断目标资源是否在生效规则限制的资源范围内。
41.在本实施例一中，依据生效规则保护的资源范围，判断目标资源进行是否在被保护的资源范围内。具体地，集群接收到删除集群namespace1下的deployment1资源的资源处理请求时，需要判断deployment1资源是否属于生效规则所保护的资源，后续依据判断结果对该资源处理请求进行处理。
42.步骤s104，若目标资源在生效规则限制的资源范围内，则限制资源处理请求对目标资源进行处理。
43.具体地，集群接收到删除集群namespace1下的deployment1资源的资源处理请求时，若deployment1资源属于生效规则所保护的资源，则拒绝该资源处理请求，即不删除deployment1资源；若deployment1资源不属于生效规则所保护的资源，则执行该资源处理请求，即删除namespace1下的deployment1资源。
44.综上所述，本技术实施例一提供的集群资源的处理方法，通过确定资源锁的生效规则，其中，资源锁用于保护目标集群中的资源，生效规则用于限制资源锁保护资源的资源范围，其中，资源范围中包括至少一个资源；若检测到目标集群接收到资源处理请求，则确定资源处理请求中待处理的目标资源；判断目标资源是否在生效规则限制的资源范围内；若目标资源在生效规则限制的资源范围内，则限制资源处理请求对目标资源进行处理，解决了相关技术中采用基于角色的访问控制只能限制命名空间下的一类资源的访问，无法精确地限制命名空间下的单个资源的访问，导致对单个资源进行访问限制的准确度较低的问题。通过资源锁保护资源的资源范围确定生效规则，能够依据生效规则判断集群接收到的资源处理请求中待处理的目标资源是否处于被保护资源的资源范围内，并依据判断结果处理该资源处理请求，达到了提高资源锁的保护范围的准确度的效果。
45.可选地，在本技术实施例一提供的集群资源的处理方法中，确定资源锁的生效规则包括：获取资源锁所保护的资源的目标命名空间和目标标签，以及资源锁限制对被保护的资源进行的目标操作；基于k8s的自定义资源功能，创建自定义资源对象，其中，自定义资源对象至少包括：目标命名空间、目标操作和目标标签；依据自定义资源对象确定生效规则。
46.在本实施例一中，通过在生效规则中配置目标命名空间、目标操作和目标标签来限制被保护资源的资源范围。生效规则包含的内容可以如表一所示，“namespace”字段表示被保护的资源所在的命名空间(即目标命名空间)，“操作控制项”字段表示资源锁限制对被保护的资源进行的操作(即目标操作)，“匹配标签”字段表示资源锁作用的资源对象所具备的标签(即目标标签，与k8s中资源对象的“label”字段相对应)。在确定资源锁保护资源的目标命名空间、目标操作和目标标签之后，通过k8s的自定义资源(custom resource definition，crd)功能，创建自定义资源对象，并将目标命名空间、目标操作和目标标签添加至该自定义资源对象中，以便后续依据该自定义资源对象对集群接收到的资源处理请求进行处理。
47.表一生效规则的内容
[0048][0049]
通过获取用于限制被保护资源的资源范围的目标命名空间、目标操作和目标标签，并采用k8s的自定义资源功能创建自定义资源对象，能够使资源锁的保护范围精确地控制在特定的资源范围内，达到了提高资源锁控制资源的准确度的效果。
[0050]
可选地，在本技术实施例一提供的集群资源的处理方法中，判断目标资源是否在生效规则限制的资源范围内包括：判断目标资源所在的命名空间是否属于生效规则中的目标命名空间；若目标资源所在的命名空间属于目标命名空间，则判断目标资源的标签是否属于生效规则中的目标标签；若目标资源的标签属于目标标签，则判断资源处理请求对目标资源进行的操作是否属于生效规则中的目标操作；若资源处理请求对目标资源进行的操作属于目标操作，则确定目标资源属于生效规则所保护的资源。
[0051]
在本实施例一中，在接收到资源处理请求，并确定该资源处理请求中待处理的目标资源之后，依据生效规则对目标资源进行判断，以确定目标资源是否处于生效规则限制的资源范围内。具体地，图2是本方案对资源处理请求进行处理的流程的示意图。如图2所示，首先，在接收到资源处理请求之后，判断资源处理请求中待处理的目标资源是否属于生效规则中设置的目标命名空间。然后，若目标资源属于生效规则中设置的目标命名空间，则判断目标资源的标签是否属于生效规则中设置的目标标签；若目标资源不属于生效规则中设置的目标命名空间，则确认目标资源不属于资源锁保护的资源。接着，若目标资源的标签与生效规则中设置的目标标签相匹配，则判断资源处理请求对目标资源进行的操作是否属于生效规则中的目标操作；若目标资源的标签与生效规则中设置的目标标签不匹配，则确认目标资源不属于资源锁保护的资源。最后，若资源处理请求对目标资源进行的操作属于生效规则中的目标操作，则确定资源处理请求中待处理的目标资源属于生效规则所保护的资源；若资源处理请求对目标资源进行的操作不属于生效规则中的目标操作，则确认目标资源不属于资源锁保护的资源。另外，可以将图2所示的对资源处理请求进行处理的流程封装至一个进程中，称为资源锁控制器，并将资源锁控制器以容器的形式部署在k8s集群内，以便资源锁控制器通过实时读取集群中的生效规则对集群接收到的资源处理请求进行处理，达到保护集群资源的效果。
[0052]
通过在生效规则中设置的目标命名空间、目标操作和目标标签，并依据生效规则判断资源处理请求中待处理的目标资源是否属于资源锁保护资源的资源范围内，实现了对集群中资源进行精确地控制，改进了资源锁无法精确地对集群资源中的单个资源或特定资源进行控制的问题，达到了提高资源锁控制资源的准确度的效果。
[0053]
可选地，在本技术实施例一提供的集群资源的处理方法中，若目标资源在生效规则限制的资源范围内，则限制资源处理请求对目标资源进行处理包括：限制资源处理请求对目标资源进行处理；依据资源处理请求生成告警事件，并上传告警事件。
[0054]
具体地，假设资源处理请求x请求删除资源deployment y，在确认资源deployment y在资源锁保护资源的资源范围内，则拒绝执行资源处理请求x中删除资源deployment y的请求，生成资源处理请求x删除资源deployment y的告警事件，并向告警服务上报该告警事件。通过对资源处理请求中意图变更资源锁保护资源的操作进行限制，能够对生效规则保护范围内的资源进行保护，避免了对保护范围内的资源进行误操作，达到了提高资源锁控制资源的准确度的效果。另外，通过生成告警事件，能够依据告警事件明确意图修改被保护资源的应用程序或进程，以便后续依据告警事件修改资源锁的状态(即生效状态和失效状态)，以及对意图修改被保护资源的应用程序或进程进行优化。
[0055]
可选地，在本技术实施例一提供的集群资源的处理方法中，在确定资源锁的生效规则之后，上述的方法还包括：确定指示资源锁生效或失效的目标事件，并将目标事件添加至生效规则中；若在目标集群检测到第一事件生成，则依据更新后的生效规则判断第一事件是否属于目标事件；若第一事件属于目标事件，则依据第一事件对资源锁进行处理。
[0056]
现有技术中基于角色的访问控制需要依据预设配置限制对资源锁保护的资源进行访问，即只能静态地限制资源处理请求对资源的访问。若集群的资源情况发生变化，需要修改资源锁中的信息，只能修改资源锁的文件并重启集群，导致技术人员无法动态地调节资源锁的状态。
[0057]
在本实施例一中，目标事件用于指示资源锁处于生效的状态或处于失效的状态。此外，目标事件也包括拒绝资源处理请求后生成的告警事件。图3是本方案依据集群中的事件对资源锁进行处理的流程的示意图。如图3所示，首先，需要确定指示资源锁生效或失效的目标事件，并将目标事件添加至生效规则中，实时读取更新后的生效规则。然后，监听集群中发生的事件，并依据更新后的生效规则判断集群中生成的事件是否属于目标事件。最后，若集群中生成的事件属于更新后的生效规则中的目标事件，则依据更新后的生效规则对资源锁进行处理，即生效或失效该资源锁；若集群中生成的事件不属于更新后的生效规则中的目标事件，则不对资源锁进行处理。
[0058]
通过获取用于指示资源锁生效或失效的目标事件，并依据目标事件控制资源锁生效或失效，避免了现有技术中通过重启集群修改资源锁的状态，导致集群中正在运行的程序被打断带来的影响，达到了依据实际情况动态地调节资源锁的状态的效果。
[0059]
可选地，在本技术实施例一提供的集群资源的处理方法中，确定指示资源锁生效或失效的目标事件，并将目标事件添加至生效规则中包括：获取指示资源锁生效的目标生效事件和指示资源锁失效的目标失效事件；将目标生效事件和目标失效事件确定为目标事件；将目标事件添加至生效规则中。
[0060]
在本实施例一中，目标生效事件用于指示将资源锁的状态切换为生效状态，目标失效事件用于指示将资源锁的状态切换为失效状态。为了依据生效规则限制资源锁所保护的资源范围，以及动态地调整资源锁的状态，首先需要确定目标事件(即目标生效事件和目标失效事件)，并将目标事件添加至生效规则中。更新后的生效规则可以如表二所示。
[0061]
表二更新后的生效规则
[0062][0063]
具体地，假设令资源锁失效的目标失效事件为内存使用率超过90％，令资源锁生效的目标生效事件为内存使用率小于80％，则将内存使用率超过90％和内存使用率小于80％添加至生效规则中。通过确定控制资源锁生效或失效的目标事件，并将目标事件添加至生效规则中，能够依据生效规则精确地对集群中的资源锁进行控制，进而能够依据生效规则精确地对集群中的资源进行控制，达到了依据实际情况动态地调节资源锁的状态的效果。
[0064]
可选地，在本技术实施例一提供的集群资源的处理方法中，确定资源锁的生效规则还包括：将目标命名空间、目标操作、目标标签、目标生效事件和目标失效事件写入静态文件中，得到目标文件；依据目标文件的内容确定生效规则。
[0065]
在本实施例一中，还可以将资源锁对应的目标命名空间、目标操作、目标标签、目标生效事件和目标失效事件写入静态文件中，得到目标文件，并依据目标文件中的内容确定资源锁对应的生效规则，以便后续通过读取目标文件的内容控制资源锁。通过将资源锁对应的目标命名空间、目标操作、目标标签、目标生效事件和目标失效事件写入目标文件中，能够通过目标文件便捷地修改资源锁保护资源的资源范围，以及修改控制资源锁处于生效或失效的状态的目标事件，实现了快捷方便地读取或编写资源锁对应的生效规则，达到了简化编辑生效规则的过程的效果。
[0066]
可选地，在本技术实施例一提供的集群资源的处理方法中，在判断目标资源是否在生效规则限制的资源范围内之后，上述的方法还包括：若目标资源不在生效规则限制的资源范围内，则依据资源处理请求对目标资源进行处理。
[0067]
在本实施例一中，若经过判断确认目标资源不属于生效规则保护资源的资源范围，则对目标资源执行资源处理请求中待执行的操作，以响应该资源处理请求。通过资源锁对应的生效规则，判断资源处理请求中待处理的目标资源是否属于资源锁保护资源的资源范围，并依据判断结果对资源处理请求进行处理，避免了对集群中被保护的资源进行误操作，达到了提高资源锁控制资源的准确度的效果。
[0068]
可选地，在本实施例一中，本方案对资源锁进行处理的流程可以如图4所示。用户可配置集群中的生效规则，资源锁控制器依据生效规则保护集群中的资源。同时，资源锁控制器在接收到变更资源锁保护资源的请求后，生成告警事件并上传告警服务。集群中出现
告警事件后，资源锁控制器可以依据告警事件对资源锁进行处理，以对集群中的资源进行处理。
[0069]
需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
[0070]
实施例二
[0071]
本技术实施例二还提供了一种集群资源的处理装置，需要说明的是，本技术实施例二的集群资源的处理装置可以用于执行本技术实施例一所提供的用于集群资源的处理方法。以下对本技术实施例二提供的集群资源的处理装置进行介绍。
[0072]
图5是根据本技术实施例二的集群资源的处理装置的示意图。如图5所示，该装置包括：第一确定单元501、第二确定单元502、第一判断单元503和第一处理单元504。
[0073]
具体地，第一确定单元501，用于确定资源锁的生效规则，其中，资源锁用于保护目标集群中的资源，生效规则用于限制资源锁保护资源的资源范围，其中，资源范围中包括至少一个资源。
[0074]
第二确定单元502，用于若检测到目标集群接收到资源处理请求，则确定资源处理请求中待处理的目标资源。
[0075]
第一判断单元503，用于判断目标资源是否在生效规则限制的资源范围内。
[0076]
第一处理单元504，用于若目标资源在生效规则限制的资源范围内，则限制资源处理请求对目标资源进行处理。
[0077]
本技术实施例二提供的集群资源的处理装置，通过第一确定单元501确定资源锁的生效规则，其中，资源锁用于保护目标集群中的资源，生效规则用于限制资源锁保护资源的资源范围，其中，资源范围中包括至少一个资源；第二确定单元502若检测到目标集群接收到资源处理请求，则确定资源处理请求中待处理的目标资源；第一判断单元503判断目标资源是否在生效规则限制的资源范围内；第一处理单元504若目标资源在生效规则限制的资源范围内，则限制资源处理请求对目标资源进行处理，解决了相关技术中采用基于角色的访问控制只能限制命名空间下的一类资源的访问，无法精确地限制命名空间下的单个资源的访问，导致对单个资源进行访问限制的准确度较低的问题。通过资源锁保护资源的资源范围确定生效规则，能够依据生效规则判断集群接收到的资源处理请求中待处理的目标资源是否处于被保护资源的资源范围内，并依据判断结果处理该资源处理请求，达到了提高资源锁的保护范围的准确度的效果。
[0078]
可选地，在本技术实施例二提供的集群资源的处理装置中，上述的第一确定单元501包括：第一获取子单元，用于获取资源锁所保护的资源的目标命名空间和目标标签，以及资源锁限制对被保护的资源进行的目标操作；创建子单元，用于基于k8s的自定义资源功能，创建自定义资源对象，其中，自定义资源对象至少包括：目标命名空间、目标操作和目标标签；第一确定子单元，用于依据自定义资源对象确定生效规则。
[0079]
可选地，在本技术实施例二提供的集群资源的处理装置中，上述的第一判断单元503包括：第一判断子单元，用于判断目标资源所在的命名空间是否属于生效规则中的目标命名空间；第二判断子单元，用于若目标资源所在的命名空间属于目标命名空间，则判断目标资源的标签是否属于生效规则中的目标标签；第三判断子单元，用于若目标资源的标签
属于目标标签，则判断资源处理请求对目标资源进行的操作是否属于生效规则中的目标操作；第二确定子单元，用于若资源处理请求对目标资源进行的操作属于目标操作，则确定目标资源属于生效规则所保护的资源。
[0080]
可选地，在本技术实施例二提供的集群资源的处理装置中，上述的第一处理单元504包括：第一处理子单元，用于限制资源处理请求对目标资源进行处理；生成子单元，用于依据资源处理请求生成告警事件，并上传告警事件。
[0081]
可选地，在本技术实施例二提供的集群资源的处理装置中，上述的装置还包括：第三确定单元，用于在确定资源锁的生效规则之后，确定指示资源锁生效或失效的目标事件，并将目标事件添加至生效规则中；第二判断单元，用于若在目标集群检测到第一事件生成，则依据更新后的生效规则判断第一事件是否属于目标事件；第二处理单元，用于若第一事件属于目标事件，则依据第一事件对资源锁进行处理。
[0082]
可选地，在本技术实施例二提供的集群资源的处理装置中，上述的第三确定单元包括：第二处理子单元，用于获取指示资源锁生效的目标生效事件和指示资源锁失效的目标失效事件；第三确定子单元，用于将目标生效事件和目标失效事件确定为目标事件；添加子单元，用于将目标事件添加至生效规则中。
[0083]
可选地，在本技术实施例二提供的集群资源的处理装置中，上述的第一确定单元501还包括：第二获取子单元，用于将目标命名空间、目标操作、目标标签、目标生效事件和目标失效事件写入静态文件中，得到目标文件；第四确定子单元，用于依据目标文件的内容确定生效规则。
[0084]
可选地，在本技术实施例二提供的集群资源的处理装置中，上述的装置还包括：第三处理单元，用于在判断目标资源是否在生效规则限制的资源范围内之后，若目标资源不在生效规则限制的资源范围内，则依据资源处理请求对目标资源进行处理。
[0085]
所述集群资源的处理装置包括处理器和存储器，上述的第一确定单元501、第二确定单元502、第一判断单元503和第一处理单元504等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
[0086]
处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来提高资源锁的保护范围的准确度。
[0087]
存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
[0088]
本发明实施例三提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现集群资源的处理方法。
[0089]
本发明实施例四提供了一种处理器，处理器用于运行程序，其中，程序运行时执行集群资源的处理方法。
[0090]
如图6所示，本发明实施例五提供了一种电子设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：通过确定资源锁的生效规则，其中，资源锁用于保护目标集群中的资源，生效规则用于限制资源锁保护资源的资源范围，其中，资源范围中包括至少一个资源；若检测到目标集群接收到资源处理请求，则确定资源处理请求中待处理的目标资源；判断目标资源是否在生效规则限制的资
源范围内；若目标资源在生效规则限制的资源范围内，则限制资源处理请求对目标资源进行处理。
[0091]
处理器执行程序时还实现以下步骤：确定资源锁的生效规则包括：获取资源锁所保护的资源的目标命名空间和目标标签，以及资源锁限制对被保护的资源进行的目标操作；基于k8s的自定义资源功能，创建自定义资源对象，其中，自定义资源对象至少包括：目标命名空间、目标操作和目标标签；依据自定义资源对象确定生效规则。
[0092]
处理器执行程序时还实现以下步骤：判断目标资源是否在生效规则限制的资源范围内包括：判断目标资源所在的命名空间是否属于生效规则中的目标命名空间；若目标资源所在的命名空间属于目标命名空间，则判断目标资源的标签是否属于生效规则中的目标标签；若目标资源的标签属于目标标签，则判断资源处理请求对目标资源进行的操作是否属于生效规则中的目标操作；若资源处理请求对目标资源进行的操作属于目标操作，则确定目标资源属于生效规则所保护的资源。
[0093]
处理器执行程序时还实现以下步骤：若目标资源在生效规则限制的资源范围内，则限制资源处理请求对目标资源进行处理包括：限制资源处理请求对目标资源进行处理；依据资源处理请求生成告警事件，并上传告警事件。
[0094]
处理器执行程序时还实现以下步骤：在确定资源锁的生效规则之后，上述的方法还包括：确定指示资源锁生效或失效的目标事件，并将目标事件添加至生效规则中；若在目标集群检测到第一事件生成，则依据更新后的生效规则判断第一事件是否属于目标事件；若第一事件属于目标事件，则依据第一事件对资源锁进行处理。
[0095]
处理器执行程序时还实现以下步骤：确定指示资源锁生效或失效的目标事件，并将目标事件添加至生效规则中包括：获取指示资源锁生效的目标生效事件和指示资源锁失效的目标失效事件；将目标生效事件和目标失效事件确定为目标事件；将目标事件添加至生效规则中。
[0096]
处理器执行程序时还实现以下步骤：确定资源锁的生效规则还包括：将目标命名空间、目标操作、目标标签、目标生效事件和目标失效事件写入静态文件中，得到目标文件；依据目标文件的内容确定生效规则。
[0097]
处理器执行程序时还实现以下步骤：在判断目标资源是否在生效规则限制的资源范围内之后，上述的方法还包括：若目标资源不在生效规则限制的资源范围内，则依据资源处理请求对目标资源进行处理。
[0098]
本文中的设备可以是服务器、pc、pad、手机等。
[0099]
本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：通过确定资源锁的生效规则，其中，资源锁用于保护目标集群中的资源，生效规则用于限制资源锁保护资源的资源范围，其中，资源范围中包括至少一个资源；若检测到目标集群接收到资源处理请求，则确定资源处理请求中待处理的目标资源；判断目标资源是否在生效规则限制的资源范围内；若目标资源在生效规则限制的资源范围内，则限制资源处理请求对目标资源进行处理。
[0100]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：确定资源锁的生效规则包括：获取资源锁所保护的资源的目标命名空间和目标标签，以及资源锁限制对被保护的资源进行的目标操作；基于k8s的自定义资源功能，创建自定义资源对象，
其中，自定义资源对象至少包括：目标命名空间、目标操作和目标标签；依据自定义资源对象确定生效规则。
[0101]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：判断目标资源是否在生效规则限制的资源范围内包括：判断目标资源所在的命名空间是否属于生效规则中的目标命名空间；若目标资源所在的命名空间属于目标命名空间，则判断目标资源的标签是否属于生效规则中的目标标签；若目标资源的标签属于目标标签，则判断资源处理请求对目标资源进行的操作是否属于生效规则中的目标操作；若资源处理请求对目标资源进行的操作属于目标操作，则确定目标资源属于生效规则所保护的资源。
[0102]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：若目标资源在生效规则限制的资源范围内，则限制资源处理请求对目标资源进行处理包括：限制资源处理请求对目标资源进行处理；依据资源处理请求生成告警事件，并上传告警事件。
[0103]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：在确定资源锁的生效规则之后，上述的方法还包括：确定指示资源锁生效或失效的目标事件，并将目标事件添加至生效规则中；若在目标集群检测到第一事件生成，则依据更新后的生效规则判断第一事件是否属于目标事件；若第一事件属于目标事件，则依据第一事件对资源锁进行处理。
[0104]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：确定指示资源锁生效或失效的目标事件，并将目标事件添加至生效规则中包括：获取指示资源锁生效的目标生效事件和指示资源锁失效的目标失效事件；将目标生效事件和目标失效事件确定为目标事件；将目标事件添加至生效规则中。
[0105]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：确定资源锁的生效规则还包括：将目标命名空间、目标操作、目标标签、目标生效事件和目标失效事件写入静态文件中，得到目标文件；依据目标文件的内容确定生效规则。
[0106]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：在判断目标资源是否在生效规则限制的资源范围内之后，上述的方法还包括：若目标资源不在生效规则限制的资源范围内，则依据资源处理请求对目标资源进行处理。
[0107]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0108]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0109]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指
令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0110]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0111]
在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
[0112]
存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
[0113]
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
[0114]
还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0115]
本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0116]
以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。

技术特征：
1.一种集群资源的处理方法，其特征在于，包括：确定资源锁的生效规则，其中，所述资源锁用于保护目标集群中的资源，所述生效规则用于限制所述资源锁保护资源的资源范围，其中，所述资源范围中包括至少一个资源；若检测到所述目标集群接收到资源处理请求，则确定所述资源处理请求中待处理的目标资源；判断所述目标资源是否在所述生效规则限制的资源范围内；若所述目标资源在所述生效规则限制的资源范围内，则限制所述资源处理请求对所述目标资源进行处理。2.根据权利要求1所述的方法，其特征在于，确定资源锁的生效规则包括：获取所述资源锁所保护的资源的目标命名空间和目标标签，以及所述资源锁限制对被保护的资源进行的目标操作；基于k8s的自定义资源功能，创建自定义资源对象，其中，所述自定义资源对象至少包括：所述目标命名空间、所述目标操作和所述目标标签；依据所述自定义资源对象确定所述生效规则。3.根据权利要求2所述的方法，其特征在于，判断所述目标资源是否在所述生效规则限制的资源范围内包括：判断所述目标资源所在的命名空间是否属于所述生效规则中的所述目标命名空间；若所述目标资源所在的命名空间属于所述目标命名空间，则判断所述目标资源的标签是否属于所述生效规则中的所述目标标签；若所述目标资源的标签属于所述目标标签，则判断所述资源处理请求对所述目标资源进行的操作是否属于所述生效规则中的所述目标操作；若所述资源处理请求对所述目标资源进行的操作属于所述目标操作，则确定所述目标资源属于所述生效规则所保护的资源。4.根据权利要求1所述的方法，其特征在于，若所述目标资源在所述生效规则限制的资源范围内，则限制所述资源处理请求对所述目标资源进行处理包括：限制所述资源处理请求对所述目标资源进行处理；依据所述资源处理请求生成告警事件，并上传所述告警事件。5.根据权利要求2所述的方法，其特征在于，在确定资源锁的生效规则之后，所述方法还包括：确定指示所述资源锁生效或失效的目标事件，并将所述目标事件添加至所述生效规则中；若在所述目标集群检测到第一事件生成，则依据更新后的生效规则判断所述第一事件是否属于所述目标事件；若所述第一事件属于所述目标事件，则依据所述第一事件对所述资源锁进行处理。6.根据权利要求5所述的方法，其特征在于，确定指示所述资源锁生效或失效的目标事件，并将所述目标事件添加至所述生效规则中包括：获取指示所述资源锁生效的目标生效事件和指示所述资源锁失效的目标失效事件；将所述目标生效事件和所述目标失效事件确定为所述目标事件；将所述目标事件添加至所述生效规则中。
7.根据权利要求6所述的方法，其特征在于，确定资源锁的生效规则还包括：将所述目标命名空间、所述目标操作、所述目标标签、所述目标生效事件和所述目标失效事件写入静态文件中，得到目标文件；依据所述目标文件的内容确定所述生效规则。8.根据权利要求1所述的方法，其特征在于，在判断所述目标资源是否在所述生效规则限制的资源范围内之后，所述方法还包括：若所述目标资源不在所述生效规则限制的资源范围内，则依据所述资源处理请求对所述目标资源进行处理。9.一种集群资源的处理装置，其特征在于，包括：第一确定单元，用于确定资源锁的生效规则，其中，所述资源锁用于保护目标集群中的资源，所述生效规则用于限制所述资源锁保护资源的资源范围，其中，所述资源范围中包括至少一个资源；第二确定单元，用于若检测到所述目标集群接收到资源处理请求，则确定所述资源处理请求中待处理的目标资源；第一判断单元，用于判断所述目标资源是否在所述生效规则限制的资源范围内；第一处理单元，用于若所述目标资源在所述生效规则限制的资源范围内，则限制所述资源处理请求对所述目标资源进行处理。10.一种电子设备，其特征在于，包括一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现权利要求1至8中任意一项所述的集群资源的处理方法。

技术总结
本申请公开了一种集群资源的处理方法、装置及电子设备，该方法应用于云计算技术领域，该方法包括：确定资源锁的生效规则；若检测到目标集群接收到资源处理请求，则确定资源处理请求中待处理的目标资源；判断目标资源是否在生效规则限制的资源范围内；若目标资源在生效规则限制的资源范围内，则限制资源处理请求对目标资源进行处理。通过本申请，解决了相关技术中采用基于角色的访问控制只能限制命名空间下的一类资源的访问，无法精确地限制命名空间下的单个资源的访问，导致对单个资源进行访问限制的准确度较低的问题。问限制的准确度较低的问题。问限制的准确度较低的问题。


技术研发人员：陈锦涛
受保护的技术使用者：中国工商银行股份有限公司
技术研发日：2023.04.13
技术公布日：2023/7/28