[发明专利]一种Kubernetes Pod通信加密方法

说明书

一种Kubernetes Pod通信加密方法，该方法适用于基于Kubernetes的容器平台，在应用程序的Pod中加入HAProxy容器，采用HAProxy容器对应用程序的通信进行加密。本发明使用HAProxy容器，对基于Kubernetes的容器云平台中的Pod进行通信加密，通信过程中通过数字证书进行身份认证，不法人员无法通过安全认证，从而提高了网络的安全性；本发明是统一、灵活和通用的Kubernetes Pod通信加密方法，适用于基于Kubernetes的容器平台中所有的Pod。

技术领域

本发明涉及通信加密领域，更具体地，涉及一种Kubernetes Pod通信加密方法。

背景技术

基于Kubernetes的容器云平台的安全和隐私问题是一个重要方面的问题。Kubernetes中的所有容器和Pod都需要相互交互才能完成工作，应用程序的访问和数据传输的暴露是最为常见的安全威胁。如何确保Kubernetes中应用程序的通信安全成为了一个重要问题。在实践中，基于微服务的应用程序被容器化并作为Pod部署在Kubernetes集群上。因此，需要对Kubernetes Pod进行通信加密。目前主要采用的方法是使用服务网格，服务网格提供了基于策略的身份验证，可以在两个服务之间建立双向的TLS配置，以实现服务之间(service-to-service)的安全加密通信，和最终用户的身份验证。

但是，服务网格是复杂且高度自治的技术，这在很大程度上限制了它们对Kubernetes上“greenfield”应用程序的适用性。并且，服务网格的孤立性限制了安全性。

发明内容

本发明的目的是针对服务网格的孤立性限制了安全性的问题，提出一种Kubernetes Pod通信加密方法。本发明的目的在于提供一种Kubernetes Pod通信加密方法。这种Pod的加密方法可以为企业提供了一种有效的模式来保护基于Kubernetes的容器云上应用程序内外部通信安全，它无需内部硬件或者庞大预算即可集成安全服务，进而达到保护应用程序通信安全的目的。与服务网格不同，该方法是一种简单、灵活、通用的Kubernetes Pod通信加密方法。该方法对加密之后的Pod性能影响较小。

本发明的技术方案是：

本发明提供一种Kubernetes Pod通信加密方法，该方法适用于基于Kubernetes的容器平台，在应用程序的Pod中加入HAProxy容器，采用HAProxy容器对应用程序的通信进行加密。

进一步地，它包括以下步骤：

S1、在应用程序的yaml文件中加入HAProxy容器代码，使得HAProxy容器加入到应用程序的Pod中；

S2、设置HAProxy容器开放的端口；

S3、根据需求配置haproxy.cfg文件，存放在Kubernetes的容器平台的Configmap资源中，通过Configmap配置应用程序Pod中HAProxy容器；

S4、采用任一通信模块进行通信时，利用HAProxy容器监听所选通信模块的端口，对端口进行代理转发，并且开启HAProxy SSL终止证书对通信模块的传输流量进行加密。

进一步地，通信过程中通过数字证书进行身份认证。

本发明的有益效果：

本发明使用HAProxy容器，对基于Kubernetes的容器云平台中的Pod进行通信加密，通信过程中通过数字证书进行身份认证，不法人员无法通过安全认证，从而提高了网络的安全性。

本发明的方法能够保护基于Kubernetes的容器云平台上应用程序内外部通信安全，无需内部硬件或者庞大预算即可集成安全服务，进而达到保护应用程序通信安全的目的。