[发明专利]一种单个容器证书管理方法、装置、存储介质、电子设备在审
申请号: | 202211681936.6 | 申请日: | 2022-12-27 |
公开(公告)号: | CN115729680A | 公开(公告)日: | 2023-03-03 |
发明(设计)人: | 彭世柱;林位宁;蔡岳阳 | 申请(专利权)人: | 天翼云科技有限公司 |
主分类号: | G06F9/455 | 分类号: | G06F9/455;G06F21/64 |
代理公司: | 浙江千克知识产权代理有限公司 33246 | 代理人: | 汪丹琪 |
地址: | 100007 北京市东城区青*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 单个 容器 证书 管理 方法 装置 存储 介质 电子设备 | ||
本发明属于Kubernetes容器云技术领域,具体涉及一种单个容器证书管理方法、装置、存储介质、电子设备。方法包括步骤:kube‑apiserver根据Pod的标签判断其是否需要配置证书,若需要则为该Pod添加init容器;证书创建回收服务为该Pod创建包含该Pod的IP的证书签名请求,并将证书签名请求保存至为该Pod创建的Secret中;证书签名服务根据证书签名请求为该Pod的证书进行签名,并把签名的证书保存至Secret中;init容器监听到该Pod的证书签名后,将签名后证书下载至该Pod的指定目录中,init容器结束退出;业务容器从指定目录使用该签名后证书进行启动。本发明为单个Pod管理证书提出架构思路,加强集群内容器通信的安全性,且证书管理完全自动化与动态化。
技术领域
本发明属于Kubernetes容器云技术领域,具体涉及一种单个容器证书管理方法、装置、存储介质、电子设备。
背景技术
Kubernetes是一种容器编排工具,它支持多种类型的工作负载,如Deployment、Daemonset等。同一个工作负载所管理的若干Pod,共用工作负载的配置,所以这些Pod大都是等价的。
Kubernetes提供了一种watch机制(监听机制),通过watch接口,程序可以监听某种类型资源特定对象的写操作(比如create、update、delete)。当该类型资源的特定对象有写操作时,监听程序(一般叫controller)就会收到这个资源对象的一个事件,基于该事件,监听程序可以进行一些自定义的操作。比如kube-controller-manager就是多个controller的集合,当它监听到有Deployment对象被创建时,便会创建Deployment对象中指定个数的Pod对象。
Kubernetes支持两种类型的webhook,一种是validating-webhook,一种是mutating-webhook。Mutating-webhook可以是用户自定义的一个服务。当kube-apiserver收到资源对象(比如Pod)的创建请求时,如果资源对象的注解或标签匹配上Mutating-webhook的定义,那么kube-apiserver就会调用对应的Mutating-webhook服务。Mutating-webhook服务可以对资源对象的yaml编排文件进行修改(mutate),比如增删改查一些内容,然后返回给kube-apiserver。最后,kube-apiserver再将此资源对象的编排文件持久化到etcd中。
当前技术中,Kubernetes本身可以管理自己组件(kube-apiserver等)的证书;开源的cert-manager可以管理以应用为单位的证书,即一组Pod通过Ingress对外暴露时,cert-manager可以为Ingress对象创建、签署证书。但是目前没有技术方案可以为单个的Pod容器管理证书。
例如公开号为CN112511504A的中国发明专利,其公开了一种Kubernetes Pod通信加密方法,该方法适用于基于Kubernetes的容器平台,在应用程序的Pod中加入HAProxy容器,采用HAProxy容器对应用程序的通信进行加密。本发明使用HAProxy容器,对基于Kubernetes的容器云平台中的Pod进行通信加密,通信过程中通过数字证书进行身份认证,不法人员无法通过安全认证,从而提高了网络的安全性;本发明是统一、灵活和通用的Kubernetes Pod通信加密方法,适用于基于Kubernetes的容器平台中所有的Pod。可见其仍未针对单个Pod制作证书。
但是在一些实际的场景中,我们又必须为单个Pod配置证书。比如,我们在Kubernetes上部署监控系统时,一般以Daemoset运行NodeExporter,然后Prometheus从每个节点上NodeExporter容器采集数据;为了NodeExporter的敏感监控数据不被其他程序所能访问,我们一般需要给它配置basic认证与https;所以这时我们就需要为每个NodeExporter容器配置证书。
发明内容
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于天翼云科技有限公司,未经天翼云科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202211681936.6/2.html,转载请声明来源钻瓜专利网。