CN111885123B - 一种跨K8s目标服务访问通道的构建方法及装置 - Google Patents
一种跨K8s目标服务访问通道的构建方法及装置 Download PDFInfo
- Publication number
- CN111885123B CN111885123B CN202010642541.XA CN202010642541A CN111885123B CN 111885123 B CN111885123 B CN 111885123B CN 202010642541 A CN202010642541 A CN 202010642541A CN 111885123 B CN111885123 B CN 111885123B
- Authority
- CN
- China
- Prior art keywords
- service
- cluster
- target service
- resource
- address information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000010276 construction Methods 0.000 title claims description 4
- 238000000034 method Methods 0.000 claims abstract description 40
- 238000012544 monitoring process Methods 0.000 claims abstract description 12
- 238000004590 computer program Methods 0.000 claims description 9
- 238000013507 mapping Methods 0.000 claims description 7
- 230000002457 bidirectional effect Effects 0.000 claims description 6
- 230000000694 effects Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- OTZZZISTDGMMMX-UHFFFAOYSA-N 2-(3,5-dimethylpyrazol-1-yl)-n,n-bis[2-(3,5-dimethylpyrazol-1-yl)ethyl]ethanamine Chemical compound N1=C(C)C=C(C)N1CCN(CCN1C(=CC(C)=N1)C)CCN1C(C)=CC(C)=N1 OTZZZISTDGMMMX-UHFFFAOYSA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007711 solidification Methods 0.000 description 1
- 230000008023 solidification Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5058—Service discovery by the service manager
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/2876—Pairs of inter-processing entities at each side of the network, e.g. split proxies
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种跨K8s目标服务访问通道的构建方法及装置,其中,方法包括:监听第一集群中是否创建目标服务对应的第一service资源;当监听到第一service资源创建时,在第二集群中创建目标服务对应的第二service资源;其中,第二service资源中存储有第一集群的地址信息;根据第二service资源,触发在第二集群对应的域名系统中添加目标服务对应的资源记录,获得跨集群访问目标服务的通道。本发明保证了访问集群服务的安全性,同时具有较高的扩展性。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种跨K8s目标服务访问通道的构建方法及装置。
背景技术
在云计算环境中,单一的K8s(Kubernetes)集群由于其提供的计算能力和扩展能力有限且复杂度较低,逐渐无法满足云计算的需求。也难以为复杂的租户环境提供规划能力。因此,单一K8s集群环境逐渐演化为多K8s集群环境。在多K8s集群中则会出现程序访问其他集群中服务的需求,但K8s集群并未提供这种功能。目前的处理方式是,将服务通过机器节点IP(Internet Protocol,网际互连协议)和端口的形式暴露。当服务地址或端口变更时,客户端程序也需要更改代码进行配置,扩展性差。此外当创建大量服务时不仅会占用大量机器端口资源,而且直接暴露的方式安全隐患很大。
因此,目前的多K8s集群之间的相互访问存在着安全性低,扩展性差的缺点。
发明内容
鉴于上述问题,本发明提出了一种跨K8s目标服务访问通道的构建方法及装置,保证了访问集群服务的安全性,同时具有较高的扩展性。
第一方面,本申请通过本申请的一实施例提供如下技术方案:
一种跨K8s目标服务访问通道的构建方法,包括:
监听第一集群中是否创建目标服务对应的第一service资源;
当监听到所述第一service资源创建时,在第二集群中创建所述目标服务对应的第二service资源;其中,所述第二service资源中存储有所述第一集群的地址信息;
根据所述第二service资源,触发在所述第二集群对应的域名系统中添加所述目标服务对应的资源记录,获得跨集群访问所述目标服务的通道;其中,所述资源记录包括所述目标服务的名称与所述地址信息的对应关系。
可选的,所述监听到所述第一service资源创建之后,还包括:
通过所述第一集群的边缘节点,并使用反向代理将所述目标服务进行暴露。
可选的,所述获得跨集群访问所述目标服务的通道之后,还包括:在所述第二集群中对所述目标服务进行访问控制;所述在所述第二集群中对所述目标服务进行访问控制,包括:
在所述第二集群中通过所述域名系统将所述目标服务的名称映射为地址信息;
根据所述地址信息,对所述目标服务进行访问。
可选的,所述根据所述地址信息,对所述目标服务进行访问,包括:
根据所述地址信息,生成访问数据流;
劫持所述访问数据流,并对所述第一集群与所述第二集群进行双向认证;
在认证通过后对所述访问数据流进行加密,获得加密数据流;
根据所述加密数据流,向所述第一集群访问所述目标服务。
第二方面,基于同一发明构思,本申请通过本申请的一实施例提供如下技术方案:
一种跨K8s目标服务访问通道的构建装置,包括:
第一服务部署模块,用于监听第一集群中是否创建目标服务对应的第一service资源;
第二服务部署模块,用于当监听到所述第一service资源创建时,在第二集群中创建所述目标服务对应的第二service资源;其中,所述第二service资源中存储有所述第一集群的地址信息;
服务发现模块,用于根据所述第二service资源,触发在所述第二集群对应的域名系统中添加所述目标服务对应的资源记录,获得跨集群访问所述目标服务的通道;其中,所述资源记录包括所述目标服务的名称与所述地址信息的对应关系。
可选的,还包括:第三服务部署模块,用于在监听到所述第一service资源创建之后,通过所述第一集群的边缘节点,并使用反向代理将所述目标服务进行暴露。
可选的,还包括服务代理模块,用于在获得跨集群访问所述目标服务的通道之后,在所述第二集群中对所述目标服务进行访问控制;所述服务代理模块具体用于:
在所述第二集群中通过所述域名系统将所述目标服务的名称映射为地址信息;根据所述地址信息,对所述目标服务进行访问。
第二方面,基于同一发明构思,本申请通过本申请的一实施例提供如下技术方案:
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一方面中任一项所述方法的步骤。
本发明实施例提供的一种跨K8s目标服务访问通道的构建方法及装置,通过监听第一集群中是否创建目标服务对应的第一service资源;当监听到第一service资源创建时,在第二集群中创建目标服务对应的第二service资源;其中,第二service资源中存储有第一集群的地址信息;根据第二service资源,触发在第二集群对应的域名系统中添加目标服务对应的资源记录,获得跨集群访问目标服务的通道;资源记录包括目标服务的名称与地址信息的对应关系。这样在第二集群中的程序需要访问第一集群中的目标服务时,就可以基于目标服务的名称,并通过域名系统对目标服务进行访问,保证了访问的安全性;同时,由于该访问的通道是通过第一service资源、第二service资源以及域名系统组成,在目标服务的地址信息或端口改变时,第二集群中只需要进行第二service资源以及域名系统的配置,不需要进行客户端程序的代码修改,具有较高的扩展性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明第一实施例提供的一种跨K8s目标服务访问通道的构建方法的流程图;
图2示出了本发明第一实施例提供的一种跨K8s目标服务访问通道的构建方法的访问验证原理示意图;
图3示出了本发明第二实施例提供的一种跨K8s目标服务访问通道的构建装置的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本方案的方法和装置则可以自动识别发现服务并通过边缘节点使用反向代理将服务暴露,其他服务可以通过域名跨集群访问,实现了将服务端与客户端配置解耦,且通过透明的双向认证实现安全访问,此外也不会过多的占用集群节点的端口资源。
第一实施例
请参见图1,示出了本发明第一实施例提供的一种跨K8s目标服务访问通道的构建方法的流程图。
该方法包括:
步骤S10:监听第一集群中是否创建目标服务对应的第一service资源;
步骤S20:当监听到所述第一service资源创建时,在第二集群中创建所述目标服务对应的第二service资源;其中,所述第二service资源中存储有所述第一集群的地址信息;
步骤S30:根据所述第二service资源,触发在所述第二集群对应的域名系统中添加所述目标服务对应的资源记录,获得跨集群访问所述目标服务的通道。
在步骤S10中,第一集群为新建目标服务的集群,当第一集群中新创建一个目标服务时,会进行该目标服务对应的第一service资源创建。通过第一service资源以使目标服务进行暴露。也就是说,当监听到第一service资源创建时,就说明该第一集群中新创建有目标服务,通过该第一service资源就可将该目标服务进行暴露。
第一service资源为K8s集群原生的服务资源,其中保存有目标服务的名称,服务对应的地址信息及端口等信息等;用于将请求路由至后端服务。目标服务的名称可包括服务名和/或域名。
本实施例中,在监听到所述第一service资源创建之后,还包括:通过第一集群的边缘节点,并使用反向代理将目标服务进行暴露。具体的,将目标服务的访问入口固化在某一个或几个边缘节点中,实现对访问流量的统一管理,也不会过多的占用第一集群的节点的端口资源;同时使用反向代理将目标服务进暴露,可增强目标服务被调用的安全性。其中,固化表示将反向代理部署在边缘节点中,当有请求访问目标服务时,必须先访问边缘节点的反向代理,再由反向代理将请求转发至后端目标服务。例如,通过Ingress用户可以实现使用nginx(反向代理服务器)等反向代理负载均衡器实现对外暴露服务;具体的,由Ingress Controller(监视器)通过不断地跟kubernetes API进行交互,实时的感知后端service、pod(k8s集群中的最小单元)等资源的变化,比如pod,service等资源增加或减少等。当得到这些变化信息后,Ingress Controller再Ingress生成配置,然后更新反向代理负载均衡器,并刷新其配置,达到服务发现的作用。其中,Ingress可理解为规则定义;比如说某个域名对应某个service,当某个域名的请求进来时转发给某个service;这个规则将与Ingress Controller结合,然后Ingress Controller将其动态写入到负载均衡器配置中,从而实现整体的服务发现和负载均衡。
在步骤S20中,第二集群为泛指第一集群之外的集群,该第二集群中不含有上述的目标服务。在本实施例中第二集群的数量可为一个或多个。
第二service资源为第二集群中的K8s原生服务资源,其中保存有第一集群的地址信息及端口信息、目标服务的名称等信息,用于向第二集群中的应用提供服务访问地址。
在步骤S30中,触发表示对第二service资源的建立进行监听,当监听到第二service资源创建之后说明在第二集群中需要构建访问通道,此时需要在第二集群的域名系统中添加对应的资源记录,该资源记录用于将目标服务的域名或名称映射为对应的地址信息。
在本实施例中,域名系统即为DNS(Domain Name System,域名系统服务协议);地址信息可为IP地址(Internet Protocol,网际互连协议)、MAC地址(Media Access ControlAddress,直译为媒体存取控制位址)等。由于域名系统中存储有关于目标服务的资源记录,当通过域名系统映射确定目标服务的地址信息后,在第二集群中的客户端程序通过地址信息就可便捷的访问第一集群中的目标服务。客户端程序为需要访问目标服务的程序。当在目标服务的地址信息发生变更时,在第二集群中只需要进行域名系统的配置。不需要对客户端程序进行代码的修改和程序的重新配置,本实施例方案扩展性强。
在步骤S30之后,本实施例方法还包括:使用本实施例构建的访问目标服务的通道进行访问目标服务时需要遵循设定的安全规则。即,在第二集群中对目标服务进行访问控制,包括:在第二集群中通过域名系统将所述目标服务的名称映射为地址信息;具体来讲在第二集群中通过域名解析服务,将目标服务的名称映射为地址信息;根据地址信息,对目标服务进行访问。这样保证了客户端程序不会直接知道目标服务的地址,保证目标服务的安全访问,避免暴露风险。
具体的,通过地址信息就可定位到对应的第一集群。进一步的,当应用程序使用服务的名称访问目标服务时,应用程序会依赖DNS服务对服务的名称进行解析,得到服务的名称对应的第一集群的IP地址及端口,由此可定位到第一集群。当请求到达第一集群的反向代理后,反向代理会根据请求携带的服务的名称将请求进行路由转发至第一集群中的目标服务,实现访问第一集群中目标服务的目的。
进一步的,本实施例中还通过对访问目标服务的数据流进行劫持加密,提高访问数据流的安全性。具体的,首先根据地址信息,生成访问数据流;数据流中包含目标访问地址、服务的名称以及请求参数。请求参数的形式不作限制,例如可采用http(超文本传输协议)等现有的请求方式。然后,劫持访问数据流,并对第一集群与所述第二集群进行双向认证,双向认证的方式可为透明的mtls(Mutual Transport Layer Security,相互传输层安全协议)认证;本实施例中劫持数据流也可采用现有的劫持方式,不作限制;在认证通过后对访问数据流进行加密,获得加密数据流;加密的方式例如,3DES(TDEA,Triple DataEncryption Algorithm,三重数据加密算法)、Base64、HMAC(Hash-based MessageAuthentication Code,哈希运算消息认证码)、SHA256、等等,不作限制。最后,根据加密数据流,向第一集群访问所述目标服务,在第一集群中对数据流进行解密后,通过host代理到目标服务。
如图2所示,图2中示出了本实施例中目标服务的访问验证流程。具体的,在第二集群中的客户端需要访问目标服务时,通过客户端发出访问请求,DNS解析出对应的地址信息,然后通过一服务代理模块进行mtls双向认证,然后在认证完成后对目标服务进行访问。
本实施例提供的一种跨K8s目标服务访问通道的构建方法,通过监听第一集群中是否创建目标服务对应的第一service资源;当监听到第一service资源创建时,在第二集群中创建目标服务对应的第二service资源;其中,第二service资源中存储有第一集群的地址信息;根据第二service资源,触发在第二集群对应的域名系统中添加目标服务对应的资源记录,获得跨集群访问目标服务的通道,资源记录包括目标服务的名称与地址信息的对应关系。这样在第二集群中的程序需要访问第一集群中的目标服务时,就可以基于目标服务的名称或域名,并通过域名系统对目标服务进行访问,保证了访问的安全性;同时,由于该访问的通道是通过第一service资源、第二service资源以及域名系统组成,在目标服务的地址信息或端口改变时,第二集群中只需要进行第二service资源以及域名系统的配置,不需要进行客户端程序的代码修改,具有较高的扩展性。
第二实施例
请参阅图3,基于同一发明构思,本发明第二实施例提供了一种跨K8s目标服务访问通道的构建装置300。
所述装置包括:
第一服务部署模块301,用于监听第一集群中是否创建目标服务对应的第一service资源;
第二服务部署模块302,用于当监听到所述第一service资源创建时,在第二集群中创建所述目标服务对应的第二service资源;其中,所述第二service资源中存储有所述第一集群的地址信息;
服务发现模块303,用于根据所述第二service资源,触发在所述第二集群对应的域名系统中添加所述目标服务对应的资源记录,获得跨集群访问所述目标服务的通道;其中,所述资源记录包括所述目标服务的名称与所述地址信息的对应关系。
作为一种可选的实施方式,还包括:第三服务部署模块304,用于在监听到所述第一service资源创建之后,通过所述第一集群的边缘节点,并使用反向代理将所述目标服务进行暴露。
作为一种可选的实施方式,还包括服务代理模块305,用于在获得跨集群访问所述目标服务的通道之后,在所述第二集群中对所述目标服务进行访问控制;所述服务代理模块具体用于:
在所述第二集群中通过所述域名系统将所述目标服务的名称映射为地址信息;根据所述地址信息,对所述目标服务进行访问。
需要说明的是,本发明实施例所提供的一种跨K8s目标服务访问通道的构建装置300,其具体实现及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
第三实施例
另外,基于同一发明构思,本发明第三实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一实施例中任一所述方法的步骤。
需要说明的是,本发明实施例所提供的计算机可读存储介质的具体实现及产生的技术效果和前述方法实施例相同,为简要描述,本实施例未提及之处可参考前述方法实施例中相应内容。
本发明提供的装置集成的功能模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例的方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网关、代理服务器、系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (8)
1.一种跨K8s目标服务访问通道的构建方法,其特征在于,包括:
监听第一集群中是否创建目标服务对应的第一service资源;
当监听到所述第一service资源创建时,在第二集群中创建所述目标服务对应的第二service资源;其中,所述第二service资源中存储有所述第一集群的地址信息;
根据所述第二service资源,触发在所述第二集群对应的域名系统中添加所述目标服务对应的资源记录,获得跨集群访问所述目标服务的通道;其中,所述资源记录包括所述目标服务的名称与所述地址信息的对应关系。
2.根据权利要求1所述的方法,其特征在于,所述监听到所述第一service资源创建之后,还包括:
通过所述第一集群的边缘节点,并使用反向代理将所述目标服务进行暴露。
3.根据权利要求1所述的方法,其特征在于,所述获得跨集群访问所述目标服务的通道之后,还包括:在所述第二集群中对所述目标服务进行访问控制;所述在所述第二集群中对所述目标服务进行访问控制,包括:
在所述第二集群中通过所述域名系统将所述目标服务的名称映射为地址信息;
根据所述地址信息,对所述目标服务进行访问。
4.根据权利要求3所述的方法,其特征在于,所述根据所述地址信息,对所述目标服务进行访问,包括:
根据所述地址信息,生成访问数据流;
劫持所述访问数据流,并对所述第一集群与所述第二集群进行双向认证;
在认证通过后对所述访问数据流进行加密,获得加密数据流;
根据所述加密数据流,向所述第一集群访问所述目标服务。
5.一种跨K8s目标服务访问通道的构建装置,其特征在于,包括:
第一服务部署模块,用于监听第一集群中是否创建目标服务对应的第一service资源;
第二服务部署模块,用于当监听到所述第一service资源创建时,在第二集群中创建所述目标服务对应的第二service资源;其中,所述第二service资源中存储有所述第一集群的地址信息;
服务发现模块,用于根据所述第二service资源,触发在所述第二集群对应的域名系统中添加所述目标服务对应的资源记录,获得跨集群访问所述目标服务的通道;其中,所述资源记录包括所述目标服务的名称与所述地址信息的对应关系。
6.根据权利要求5所述的装置,其特征在于,还包括:第三服务部署模块,用于在监听到所述第一service资源创建之后,通过所述第一集群的边缘节点,并使用反向代理将所述目标服务进行暴露。
7.根据权利要求6所述的装置,其特征在于,还包括服务代理模块,用于在获得跨集群访问所述目标服务的通道之后,在所述第二集群中对所述目标服务进行访问控制;所述服务代理模块具体用于:
在所述第二集群中通过所述域名系统将所述目标服务的名称映射为地址信息;根据所述地址信息,对所述目标服务进行访问。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-4中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010642541.XA CN111885123B (zh) | 2020-07-06 | 2020-07-06 | 一种跨K8s目标服务访问通道的构建方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010642541.XA CN111885123B (zh) | 2020-07-06 | 2020-07-06 | 一种跨K8s目标服务访问通道的构建方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111885123A CN111885123A (zh) | 2020-11-03 |
| CN111885123B true CN111885123B (zh) | 2022-06-03 |
Family
ID=73150002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010642541.XA Active CN111885123B (zh) | 2020-07-06 | 2020-07-06 | 一种跨K8s目标服务访问通道的构建方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111885123B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113746887A (zh) * | 2020-11-05 | 2021-12-03 | 北京沃东天骏信息技术有限公司 | 一种跨集群数据请求处理方法、设备及存储介质 |
| CN113067860B (zh) * | 2021-03-16 | 2022-11-11 | 北京百度网讯科技有限公司 | 用于同步信息的方法、装置、设备、介质和产品 |
| CN113032105B (zh) * | 2021-04-20 | 2023-11-17 | 金蝶软件(中国)有限公司 | 一种Kubernetes集群访问控制方法、系统及相关设备 |
| CN113572831B (zh) * | 2021-07-21 | 2024-03-15 | 重庆星环人工智能科技研究院有限公司 | Kubernetes集群间的通信方法、计算机设备及介质 |
| US11481243B1 (en) | 2021-08-25 | 2022-10-25 | International Business Machines Corporation | Service access across Kubernetes clusters |
| CN114040020A (zh) * | 2021-10-08 | 2022-02-11 | 杭州隆埠科技有限公司 | 跨集群服务调用的方法及系统 |
| CN113835846B (zh) * | 2021-11-26 | 2022-04-08 | 深圳市明源云科技有限公司 | k8s集群的创建方法、装置及计算机可读存储介质 |
| CN114785761B (zh) * | 2022-03-22 | 2023-07-18 | 杭州指令集智能科技有限公司 | 物联网操作系统中一种先进的k8s集群互相通信方法 |
| CN114691125B (zh) * | 2022-04-01 | 2023-05-23 | 上海道客网络科技有限公司 | 一种应用资源映射转换的方法、系统、介质和电子设备 |
| CN114938394B (zh) * | 2022-04-13 | 2024-05-17 | 京东科技信息技术有限公司 | 跨集群网络控制方法、装置、设备及存储介质 |
| CN115086312A (zh) * | 2022-05-10 | 2022-09-20 | 兴业银行股份有限公司 | 实现kubernetes服务跨集群通信的方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016146023A1 (zh) * | 2015-03-19 | 2016-09-22 | 阿里巴巴集团控股有限公司 | 分布式计算系统和方法 |
| CN107508795A (zh) * | 2017-07-26 | 2017-12-22 | 中国联合网络通信集团有限公司 | 跨容器集群的访问处理装置及方法 |
| CN110120979A (zh) * | 2019-05-20 | 2019-08-13 | 华为技术有限公司 | 一种调度方法、装置及相关设备 |
-
2020
- 2020-07-06 CN CN202010642541.XA patent/CN111885123B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016146023A1 (zh) * | 2015-03-19 | 2016-09-22 | 阿里巴巴集团控股有限公司 | 分布式计算系统和方法 |
| CN106034160A (zh) * | 2015-03-19 | 2016-10-19 | 阿里巴巴集团控股有限公司 | 分布式计算系统和方法 |
| CN107508795A (zh) * | 2017-07-26 | 2017-12-22 | 中国联合网络通信集团有限公司 | 跨容器集群的访问处理装置及方法 |
| CN110120979A (zh) * | 2019-05-20 | 2019-08-13 | 华为技术有限公司 | 一种调度方法、装置及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111885123A (zh) | 2020-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111885123B (zh) | 一种跨K8s目标服务访问通道的构建方法及装置 | |
| JP7203444B2 (ja) | 代替サーバ名を使用する相互トランスポート層セキュリティを選択的に提供すること | |
| JP7053732B2 (ja) | 仮想ネットワーク検証サービス | |
| US10116625B2 (en) | Systems and methods for secure containerization | |
| JP6403800B2 (ja) | エンタープライズ・ベース・ネットワーク及びマルチテナント・ネットワーク間でのアプリケーションの移行 | |
| JP2020129800A (ja) | 仮想ネットワークインタフェースオブジェクト | |
| US8578003B2 (en) | Providing access to configurable private computer networks | |
| CN114008994B (zh) | 一种代理服务器接收从客户端到网络服务器的请求和与所述请求相对应的从所述网络服务器到所述客户端的响应的方法及系统 | |
| US10938924B1 (en) | Systems and methods related to executing transactions in a hybrid cloud environment | |
| US20120290695A1 (en) | Distributed Policy Service | |
| CN114025021B (zh) | 一种跨Kubernetes集群的通信方法、系统、介质和电子设备 | |
| CN108243079B (zh) | 一种基于vpc进行网络访问的方法与设备 | |
| US10333901B1 (en) | Policy based data aggregation | |
| US10178068B2 (en) | Translating network attributes of packets in a multi-tenant environment | |
| EP3788755A1 (en) | Accessing cloud resources using private network addresses | |
| CA2943561C (en) | Serving approved resources | |
| CN115037551B (zh) | 连接权限控制方法、装置、电子设备及存储介质 | |
| CN106648838B (zh) | 一种资源池管理的配置方法及装置 | |
| US11151551B2 (en) | Systems and methods related to executing transactions in a hybrid cloud environment | |
| US9781019B1 (en) | Systems and methods for managing network communication | |
| CN111818081B (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
| CN116158057A (zh) | 用于增强用户隐私的系统和方法 | |
| CN117081800A (zh) | 零信任体系访问b/s应用的代理方法和系统 | |
| CN109451094B (zh) | 一种获取源站ip地址方法、系统、电子设备和介质 | |
| CN113966604A (zh) | web应用封装器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |