CN113810468B - K8s架构下网关分发请求的方法、系统、设备和存储介质 - Google Patents
K8s架构下网关分发请求的方法、系统、设备和存储介质 Download PDFInfo
- Publication number
- CN113810468B CN113810468B CN202110932730.5A CN202110932730A CN113810468B CN 113810468 B CN113810468 B CN 113810468B CN 202110932730 A CN202110932730 A CN 202110932730A CN 113810468 B CN113810468 B CN 113810468B
- Authority
- CN
- China
- Prior art keywords
- request
- gateway
- service
- token
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000004044 response Effects 0.000 claims abstract description 36
- 238000012795 verification Methods 0.000 claims abstract description 11
- 238000004590 computer program Methods 0.000 claims description 7
- 206010033799 Paralysis Diseases 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008602 contraction Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种K8s架构下网关分发请求的方法、系统、设备和存储介质,方法包括:在k8s集群中部署网关服务和数据库服务,向认证成功的用户发送令牌,并将所述令牌的信息写入所述数据库服务中;响应于接收到请求,判断所述请求中的令牌是否存在于所述数据库服务中且在有效期内;响应于所述请求中的令牌存在于所述数据库中且在有效期内,检验所述请求中的接口数据的签名是否正确;以及响应于所述请求中的接口数据的签名正确,将所述请求转发到后端服务。本发明基于k8s实现了分布式网关集群,避免因单点问题导致整个业务系统瘫痪,利用数据库服务,实现对接口令牌的离线校验,减少了业务系统的压力。
Description
技术领域
本领域涉及网关领域,更具体地,特别是指一种K8s架构下网关分发请求的方法、系统、设备和存储介质。
背景技术
业务系统通常通过网关对外提供服务,进而隐藏后端真实的服务。进一步,网关不仅具有请求分发的功能,还需要保证整个系统的安全性,能够有效抵御恶意攻击。为了提高系统的稳定性,解决单点问题,往往对网关进行集群部署,对于请求到网关的分发以及分布式网关的请求的安全校验是需要解决的问题。
发明内容
有鉴于此,本发明实施例的目的在于提出一种K8s架构下网关分发请求的方法、系统、计算机设备及计算机可读存储介质,本发明基于k8s的DeamonSet资源,实现了分布式网关集群,并利用ingress拦截所有的请求,并基于负载均衡算法转发到后端的网关节点,进一步,利用部署的redis服务集群,实现接口token的离线校验,减轻系统认证服务的压力,并且,利用接口签名数据和时间戳,对短时间内的相同请求,直接返回缓存数据,进一步减轻后端服务的压力。
基于上述目的,本发明实施例的一方面提供了一种K8s架构下网关分发请求的方法,包括如下步骤:在k8s集群中部署网关服务和数据库服务,向认证成功的用户发送令牌,并将所述令牌的信息写入所述数据库服务中;响应于接收到请求,判断所述请求中的令牌是否存在于所述数据库服务中且在有效期内;响应于所述请求中的令牌存在于所述数据库中且在有效期内,检验所述请求中的接口数据的签名是否正确;以及响应于所述请求中的接口数据的签名正确,将所述请求转发到后端服务。
在一些实施方式中,所述在k8s集群中部署网关服务和数据库服务包括:在k8s集群的每个物理节点上都配置至少一个网关pod,并设置所述网关pod独立提供网关服务。
在一些实施方式中,方法还包括:创建入口资源以拦截所有请求,并通过负载均衡算法将拦截到的请求转发到所述网关服务。
在一些实施方式中,所述将所述请求转发到后端服务包括:获取所述请求的时间戳,并基于所述时间戳判断所述数据库服务中是否存在与所述请求相同的第一请求;以及响应于所述数据库服务中不存在与所述请求相同的第一请求,将所述请求转发到后端服务。
本发明实施例的另一方面,提供了一种K8s架构下网关分发请求的系统,包括:部署模块,配置用于在k8s集群中部署网关服务和数据库服务,向认证成功的用户发送令牌,并将所述令牌的信息写入所述数据库服务中;判断模块,配置用于响应于接收到请求,判断所述请求中的令牌是否存在于所述数据库服务中且在有效期内;检验模块,配置用于响应于所述请求中的令牌存在于所述数据库中且在有效期内,检验所述请求中的接口数据的签名是否正确;以及转发模块,配置用于响应于所述请求中的接口数据的签名正确,将所述请求转发到后端服务。
在一些实施方式中,所述部署模块配置用于:在k8s集群的每个物理节点上都配置至少一个网关pod,并设置所述网关pod独立提供网关服务。
在一些实施方式中,系统还包括拦截模块,配置用于:创建入口资源以拦截所有请求,并通过负载均衡算法将拦截到的请求转发到所述网关服务。
在一些实施方式中,所述转发模块配置用于:获取所述请求的时间戳,并基于所述时间戳判断所述数据库服务中是否存在与所述请求相同的第一请求;以及响应于所述数据库服务中不存在与所述请求相同的第一请求,将所述请求转发到后端服务。
本发明实施例的又一方面,还提供了一种计算机设备,包括:至少一个处理器;以及存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现如上方法的步骤。
本发明实施例的再一方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有被处理器执行时实现如上方法步骤的计算机程序。
本发明具有以下有益技术效果:基于k8s的DeamonSet资源,实现了分布式网关集群,并利用ingress拦截所有的请求,并基于负载均衡算法转发到后端的网关节点,进一步,利用部署的redis服务集群,实现接口token的离线校验,减轻系统认证服务的压力,并且,利用接口签名数据和时间戳,对短时间内的相同请求,直接返回缓存数据,进一步减轻后端服务的压力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明提供的K8s架构下网关分发请求的方法的实施例的示意图;
图2为本发明提供的K8s架构下网关分发请求的系统的实施例的示意图;
图3为本发明提供的K8s架构下网关分发请求的计算机设备的实施例的硬件结构示意图;
图4为本发明提供的K8s架构下网关分发请求的计算机存储介质的实施例的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
本发明实施例的第一个方面,提出了一种K8s架构下网关分发请求的方法的实施例。图1示出的是本发明提供的K8s架构下网关分发请求的方法的实施例的示意图。如图1所示,本发明实施例包括如下步骤:
S1、在k8s集群中部署网关服务和数据库服务,向认证成功的用户发送令牌,并将所述令牌的信息写入所述数据库服务中;
S2、响应于接收到请求,判断所述请求中的令牌是否存在于所述数据库服务中且在有效期内;
S3、响应于所述请求中的令牌存在于所述数据库中且在有效期内,检验所述请求中的接口数据的签名是否正确;以及
S4、响应于所述请求中的接口数据的签名正确,将所述请求转发到后端服务。
本实施例主要用于k8s架构下,实现分布式安全网关部署方案,防止因单个网关无法提供服务时,导致整个系统无法提供服务,并能防止IP(Internet Protocol,互联网协议)伪造和请求重放攻击。Kubernetes简称k8s,是容器化微服务的重要工具,基于Docker(容器)构建一个容器的调度服务,提供资源调度、均衡容灾、服务注册、动态扩缩容等功能套件,是一种基于容器的云平台。Pod是k8s调度的最小颗粒,是单纯的容器。Pod是一个可以被创建、销毁、调度、管理的最小的部署单元,pod中可以包括一个或一组容器。
在k8s集群中部署网关服务和数据库服务,向认证成功的用户发送令牌,并将所述令牌的信息写入所述数据库服务中。
在一些实施方式中,所述在k8s集群中部署网关服务和数据库服务包括:在k8s集群的每个物理节点上都配置至少一个网关pod,并设置所述网关pod独立提供网关服务。
在k8s集群中,利用DeamonSet部署网关服务,确保在所有的物理节点上都运行有一个网关pod,并能独立的对外提供gateway(网关)服务。DaemonSet守护进程简称DS,适用于在所有节点或部分节点运行一个daemon守护进程,如监控安装部署的网络插件kube-flannel和kube-proxy,DaemonSet具有如下特点:DaemonSet确保所有节点运行一个Pod副本;通过标签选择器或者节点亲和性指定节点运行一个Pod副本;新增节点会自动在节点增加一个Pod;移除节点时垃圾回收机制会自动清理Pod。
在一些实施方式中,方法还包括:创建入口资源以拦截所有请求,并通过负载均衡算法将拦截到的请求转发到所述网关服务。
创建ingress(入口)资源,用于拦截所有请求,并通过负载均衡算法,将请求转发到gateway服务。配置Nginx(一款反向代理网页服务器)的proxy_set_header X-Forwarded-For参数,防止伪造请求header(标题)中的X-Forwarded-For;X-Forwarded-For简称XFF头,它代表客户端,也就是HTTP(Hyper Text Transfer Protocol,超文本传输协议)的请求端真实的IP,只有在通过了HTTP代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下:X-Forwarded-For:client1,proxy1,proxy2。Header部分主要是两部分内容,一个是Token(令牌)的类型,另一个是使用的算法。
响应于接收到请求,判断所述请求中的令牌是否存在于所述数据库服务中且在有效期内。
部署redis集群服务,用于存储有效期内的请求数据和用户token信息。用户认证成功后,系统颁发token,并将token信息写入到redis服务中,此后所有的请求需要携带有效的token访问系统。Redis是一个开源的使用ANSIC语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value(键-值)数据库,并提供多种语言的API(ApplicationProgramming Interface,应用程序接口)。redis是一个key-value存储系统,和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set--有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。
在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别是redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件,并且在此基础上实现了master-slave(主从)同步。Redis支持主从同步,数据可以从主服务器向任意数量的从服务器上同步,从服务器可以是关联其他从服务器的主服务器。这使得Redis可执行单层树复制,存盘可以有意无意的对数据进行写操作。由于完全实现了发布/订阅机制,使得从数据库在任何地方同步树时,可订阅一个频道并接收主服务器完整的消息发布记录。同步对读取操作的可扩展性和数据冗余很有帮助。
在有效期内,网关对接口的token做离线校验,即如果token存在于redis中,且在有效期内,则认为是有效token,否则请求认证服务,校验token的有效性,如果有效,则将结果更新到redis中,如果无效,则请求被拒绝。
响应于所述请求中的令牌存在于所述数据库中且在有效期内,检验所述请求中的接口数据的签名是否正确。所有的请求,基于时间戳做接口签名,由网关对接口签名进行验证,并对请求数据进行存储。
响应于所述请求中的接口数据的签名正确,将所述请求转发到后端服务。
在一些实施方式中,所述将所述请求转发到后端服务包括:获取所述请求的时间戳,并基于所述时间戳判断所述数据库服务中是否存在与所述请求相同的第一请求;以及响应于所述数据库服务中不存在与所述请求相同的第一请求,将所述请求转发到后端服务。token验证成功后,网关对接口数据进行验签,验签成功,则获取请求的时间戳,在设置时间内,如果redis中存在相同请求,则直接返回redis中的请求返回值,否则转发到后端服务,并将成功返回的值,写入到redis中。
本实施例基于k8s的DeamonSet资源,实现了分布式网关集群,并利用ingress拦截所有的请求,并基于负载均衡算法转发到后端的网关节点,进一步,利用部署的redis服务集群,实现接口token的离线校验,减轻系统认证服务的压力,并且,利用接口签名数据和时间戳,对短时间内的相同请求,直接返回缓存数据,进一步减轻后端服务的压力。
需要特别指出的是,上述K8s架构下网关分发请求的方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于K8s架构下网关分发请求的方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在实施例之上。
基于上述目的,本发明实施例的第二个方面,提出了一种K8s架构下网关分发请求的系统。如图2所示,系统200包括如下模块:部署模块,配置用于在k8s集群中部署网关服务和数据库服务,向认证成功的用户发送令牌,并将所述令牌的信息写入所述数据库服务中;判断模块,配置用于响应于接收到请求,判断所述请求中的令牌是否存在于所述数据库服务中且在有效期内;检验模块,配置用于响应于所述请求中的令牌存在于所述数据库中且在有效期内,检验所述请求中的接口数据的签名是否正确;以及转发模块,配置用于响应于所述请求中的接口数据的签名正确,将所述请求转发到后端服务。
在一些实施方式中,所述部署模块配置用于:在k8s集群的每个物理节点上都配置至少一个网关pod,并设置所述网关pod独立提供网关服务。
在一些实施方式中,系统还包括拦截模块,配置用于:创建入口资源以拦截所有请求,并通过负载均衡算法将拦截到的请求转发到所述网关服务。
在一些实施方式中,所述转发模块配置用于:获取所述请求的时间戳,并基于所述时间戳判断所述数据库服务中是否存在与所述请求相同的第一请求;以及响应于所述数据库服务中不存在与所述请求相同的第一请求,将所述请求转发到后端服务。
本实施例基于k8s的DeamonSet资源,实现了分布式网关集群,并利用ingress拦截所有的请求,并基于负载均衡算法转发到后端的网关节点,进一步,利用部署的redis服务集群,实现接口token的离线校验,减轻系统认证服务的压力,并且,利用接口签名数据和时间戳,对短时间内的相同请求,直接返回缓存数据,进一步减轻后端服务的压力。
基于上述目的,本发明实施例的第三个方面,提出了一种计算机设备,包括:至少一个处理器;以及存储器,存储器存储有可在处理器上运行的计算机指令,指令由处理器执行以实现如下步骤:S1、在k8s集群中部署网关服务和数据库服务,向认证成功的用户发送令牌,并将所述令牌的信息写入所述数据库服务中;S2、响应于接收到请求,判断所述请求中的令牌是否存在于所述数据库服务中且在有效期内;S3、响应于所述请求中的令牌存在于所述数据库中且在有效期内,检验所述请求中的接口数据的签名是否正确;以及S4、响应于所述请求中的接口数据的签名正确,将所述请求转发到后端服务。
在一些实施方式中,所述在k8s集群中部署网关服务和数据库服务包括:在k8s集群的每个物理节点上都配置至少一个网关pod,并设置所述网关pod独立提供网关服务。在k8s集群中,利用DeamonSet部署网关服务,确保在所有的物理节点上都运行有一个网关pod,并能独立的对外提供网关服务。
在一些实施方式中,步骤还包括:创建入口资源以拦截所有请求,并通过负载均衡算法将拦截到的请求转发到所述网关服务。创建ingress资源,用于拦截所有请求,并通过负载均衡算法,将请求转发到网关服务
在一些实施方式中,所述将所述请求转发到后端服务包括:获取所述请求的时间戳,并基于所述时间戳判断所述数据库服务中是否存在与所述请求相同的第一请求;以及响应于所述数据库服务中不存在与所述请求相同的第一请求,将所述请求转发到后端服务。
在有效期内,网关对接口的token做离线校验,即如果token存在于redis中,且在有效期内,则认为是有效token,否则请求认证服务,校验token的有效性,如果有效,则将结果更新到redis中,如果无效,则请求被拒绝;token验证成功后,网关对接口数据进行验签,验签成功,则获取请求的时间戳,在设置时间内,如果redis中存在相同请求,则直接返回redis中的请求返回值,否则转发到后端服务,并将成功返回的值,写入到redis中。
如图3所示,为本发明提供的上述K8s架构下网关分发请求的计算机设备的一个实施例的硬件结构示意图。
以如图3所示的装置为例,在该装置中包括一个处理器301以及一个存储器302。
处理器301和存储器302可以通过总线或者其他方式连接,图3中以通过总线连接为例。
存储器302作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的K8s架构下网关分发请求的方法对应的程序指令/模块。处理器301通过运行存储在存储器302中的非易失性软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的K8s架构下网关分发请求的方法。
K8s架构下网关分发请求的方法包括如下步骤:在k8s集群中部署网关服务和数据库服务,向认证成功的用户发送令牌,并将所述令牌的信息写入所述数据库服务中;响应于接收到请求,判断所述请求中的令牌是否存在于所述数据库服务中且在有效期内;响应于所述请求中的令牌存在于所述数据库中且在有效期内,检验所述请求中的接口数据的签名是否正确;以及响应于所述请求中的接口数据的签名正确,将所述请求转发到后端服务。
在一些实施方式中,所述在k8s集群中部署网关服务和数据库服务包括:在k8s集群的每个物理节点上都配置至少一个网关pod,并设置所述网关pod独立提供网关服务。
在一些实施方式中,方法还包括:创建入口资源以拦截所有请求,并通过负载均衡算法将拦截到的请求转发到所述网关服务。
在一些实施方式中,所述将所述请求转发到后端服务包括:获取所述请求的时间戳,并基于所述时间戳判断所述数据库服务中是否存在与所述请求相同的第一请求;以及响应于所述数据库服务中不存在与所述请求相同的第一请求,将所述请求转发到后端服务。
存储器302可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据K8s架构下网关分发请求的方法的使用所创建的数据等。此外,存储器302可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器302可选包括相对于处理器301远程设置的存储器,这些远程存储器可以通过网络连接至本地模块。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个K8s架构下网关分发请求的方法对应的计算机指令303存储在存储器302中,当被处理器301执行时,执行上述任意方法实施例中的K8s架构下网关分发请求的方法。
执行上述K8s架构下网关分发请求的方法的计算机设备的任何一个实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
本发明还提供了一种计算机可读存储介质,计算机可读存储介质存储有被处理器执行时执行如上K8s架构下网关分发请求的方法的计算机程序。
K8s架构下网关分发请求的方法,包括如下步骤:在k8s集群中部署网关服务和数据库服务,向认证成功的用户发送令牌,并将所述令牌的信息写入所述数据库服务中;响应于接收到请求,判断所述请求中的令牌是否存在于所述数据库服务中且在有效期内;响应于所述请求中的令牌存在于所述数据库中且在有效期内,检验所述请求中的接口数据的签名是否正确;以及响应于所述请求中的接口数据的签名正确,将所述请求转发到后端服务。
在一些实施方式中,所述在k8s集群中部署网关服务和数据库服务包括:在k8s集群的每个物理节点上都配置至少一个网关pod,并设置所述网关pod独立提供网关服务。
在一些实施方式中,方法还包括:创建入口资源以拦截所有请求,并通过负载均衡算法将拦截到的请求转发到所述网关服务。
在一些实施方式中,所述将所述请求转发到后端服务包括:获取所述请求的时间戳,并基于所述时间戳判断所述数据库服务中是否存在与所述请求相同的第一请求;以及响应于所述数据库服务中不存在与所述请求相同的第一请求,将所述请求转发到后端服务。
如图4所示,为本发明提供的上述K8s架构下网关分发请求的计算机存储介质的一个实施例的示意图。以如图4所示的计算机存储介质为例,计算机可读存储介质401存储有被处理器执行时执行如上方法的计算机程序402。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,K8s架构下网关分发请求的方法的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,程序的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (8)
1.一种K8s架构下网关分发请求的方法,其特征在于,包括如下步骤:
在k8s集群中部署网关服务和数据库服务,向认证成功的用户发送令牌,并将所述令牌的信息写入所述数据库服务中;
响应于接收到请求,判断所述请求中的令牌是否存在于所述数据库服务中且在有效期内;
响应于所述请求中的令牌存在于所述数据库中且在有效期内,检验所述请求中的接口数据的签名是否正确;以及
响应于所述请求中的接口数据的签名正确,将所述请求转发到后端服务,
其中在有效期内,网关对接口的令牌离线校验,在令牌验证成功后,网关对接口数据进行验签,验签成功后获取所述请求的时间戳,并基于所述时间戳判断所述数据库服务中是否存在与所述请求相同的第一请求;
响应于所述数据库服务中存在与所述请求相同的第一请求,直接返回缓存数据;
响应于所述数据库服务中不存在与所述请求相同的第一请求,将所述请求转发到后端服务。
2.根据权利要求1所述的方法,其特征在于,所述在k8s集群中部署网关服务和数据库服务包括:
在k8s集群的每个物理节点上都配置至少一个网关pod,并设置所述网关pod独立提供网关服务。
3.根据权利要求1所述的方法,其特征在于,方法还包括:
创建入口资源以拦截所有请求,并通过负载均衡算法将拦截到的请求转发到所述网关服务。
4.一种k8s架构下网关分发请求的系统,其特征在于,包括:
部署模块,配置用于在k8s集群中部署网关服务和数据库服务,向认证成功的用户发送令牌,并将所述令牌的信息写入所述数据库服务中;
判断模块,配置用于响应于接收到请求,判断所述请求中的令牌是否存在于所述数据库服务中且在有效期内;
检验模块,配置用于响应于所述请求中的令牌存在于所述数据库中且在有效期内,检验所述请求中的接口数据的签名是否正确;以及
转发模块,配置用于响应于所述请求中的接口数据的签名正确,将所述请求转发到后端服务,
其中在有效期内,网关对接口的令牌离线校验,在令牌验证成功后,网关对接口数据进行验签,验签成功后获取所述请求的时间戳,并基于所述时间戳判断所述数据库服务中是否存在与所述请求相同的第一请求;
响应于所述数据库服务中存在与所述请求相同的第一请求,直接返回缓存数据;
响应于所述数据库服务中不存在与所述请求相同的第一请求,将所述请求转发到后端服务。
5.根据权利要求4所述的系统,其特征在于,所述部署模块配置用于:
在k8s集群的每个物理节点上都配置至少一个网关pod,并设置所述网关pod独立提供网关服务。
6.根据权利要求4所述的系统,其特征在于,系统还包括拦截模块,配置用于:
创建入口资源以拦截所有请求,并通过负载均衡算法将拦截到的请求转发到所述网关服务。
7.一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现权利要求1-3任意一项所述方法的步骤。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-3任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110932730.5A CN113810468B (zh) | 2021-08-13 | 2021-08-13 | K8s架构下网关分发请求的方法、系统、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110932730.5A CN113810468B (zh) | 2021-08-13 | 2021-08-13 | K8s架构下网关分发请求的方法、系统、设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113810468A CN113810468A (zh) | 2021-12-17 |
| CN113810468B true CN113810468B (zh) | 2023-04-18 |
Family
ID=78942892
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110932730.5A Active CN113810468B (zh) | 2021-08-13 | 2021-08-13 | K8s架构下网关分发请求的方法、系统、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113810468B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115834705B (zh) * | 2022-11-09 | 2024-05-24 | 迈普通信技术股份有限公司 | 认证服务分配方法、节点集群及计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104219272A (zh) * | 2013-06-05 | 2014-12-17 | 腾讯科技(深圳)有限公司 | 缓存更新方法、终端和系统 |
| CN110086822A (zh) * | 2019-05-07 | 2019-08-02 | 北京智芯微电子科技有限公司 | 面向微服务架构的统一身份认证策略的实现方法及系统 |
| CN111090449A (zh) * | 2018-10-24 | 2020-05-01 | 北京金山云网络技术有限公司 | Api服务的访问方法、装置及电子设备 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8527774B2 (en) * | 2009-05-28 | 2013-09-03 | Kaazing Corporation | System and methods for providing stateless security management for web applications using non-HTTP communications protocols |
| CN101938502B (zh) * | 2009-07-14 | 2013-03-27 | 北京邮电大学 | 一种服务器集群系统及负载均衡方法 |
| CN108418872A (zh) * | 2018-02-12 | 2018-08-17 | 千禧神骅科技(成都)有限公司 | 一种易扩展多终端的负载均衡高的互联网专车平台系统 |
| CN109936565A (zh) * | 2019-01-28 | 2019-06-25 | 平安科技(深圳)有限公司 | 登录多个服务集群的方法、装置、计算机设备及存储介质 |
| CN110781476A (zh) * | 2019-10-15 | 2020-02-11 | 南京南瑞信息通信科技有限公司 | 一种柔性微服务安全访问控制方法及系统 |
| CN110995702B (zh) * | 2019-12-02 | 2021-09-21 | 杭州安恒信息技术股份有限公司 | 一种基于分布式微服务的用户认证方法 |
| CN110809011B (zh) * | 2020-01-08 | 2020-06-19 | 医渡云(北京)技术有限公司 | 访问控制方法及系统、存储介质 |
| CN111865920B (zh) * | 2020-06-18 | 2022-06-10 | 庞茂林 | 一种网关认证和身份鉴权的平台及其方法 |
| CN112187724B (zh) * | 2020-09-03 | 2023-03-21 | 北京金山云网络技术有限公司 | 访问控制方法、装置、网关、客户端和安全令牌服务 |
| CN112788036B (zh) * | 2021-01-13 | 2022-12-27 | 中国人民财产保险股份有限公司 | 身份验证方法及装置 |
| CN112910915A (zh) * | 2021-02-19 | 2021-06-04 | 北京中宇万通科技股份有限公司 | 可信连接认证方法、装置、设备和计算机可读存储介质 |
| CN113225394B (zh) * | 2021-04-30 | 2022-07-15 | 中核武汉核电运行技术股份有限公司 | 一种基于容器集群的api网关管理系统 |
-
2021
- 2021-08-13 CN CN202110932730.5A patent/CN113810468B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104219272A (zh) * | 2013-06-05 | 2014-12-17 | 腾讯科技(深圳)有限公司 | 缓存更新方法、终端和系统 |
| CN111090449A (zh) * | 2018-10-24 | 2020-05-01 | 北京金山云网络技术有限公司 | Api服务的访问方法、装置及电子设备 |
| CN110086822A (zh) * | 2019-05-07 | 2019-08-02 | 北京智芯微电子科技有限公司 | 面向微服务架构的统一身份认证策略的实现方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113810468A (zh) | 2021-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2019302940B2 (en) | Implementing a blockchain-based web service | |
| Haeberlen et al. | PeerReview: Practical accountability for distributed systems | |
| JP2021508876A (ja) | 高性能分散型記録システムにおける同時トランザクション処理 | |
| JP2021508877A (ja) | 高性能分散型記録システム | |
| JP2022508247A (ja) | 信頼度ベースのコンセンサスを伴う高性能分散型記録システム | |
| Ali et al. | Blockstack: A new decentralized internet | |
| CN112149105A (zh) | 数据处理系统、方法、相关设备及存储介质 | |
| JP5805934B2 (ja) | Urlを利用した分散コントロール方法及び装置 | |
| BR102012010346A2 (pt) | Servidor de assinatura de extensão de segurança de sistema de nome de domínio (dnssec) e método de criptografar informações de sistema de nome de domínio (dns) utilizando o mesmo | |
| CN112035422B (zh) | 基于ipfs的分布式实时数据同步方法、节点设备及系统 | |
| CN109151092B (zh) | 一种域名解析方法 | |
| US20150188999A1 (en) | System and method to extend the capabilities of a web browser to improve the web application performance | |
| CN113472794B (zh) | 基于微服务的多应用系统权限统一管理方法和存储介质 | |
| CN112653757B (zh) | 文件管理系统、方法及设备 | |
| JP2014524204A (ja) | キーバリューストレージに対するデータの保存および読み出しを行う方法およびシステム | |
| CN111831458A (zh) | 一种高并发高解耦数据处理方法及数据中台系统 | |
| CN111448557A (zh) | 利用网络节点传播信息 | |
| CN113810468B (zh) | K8s架构下网关分发请求的方法、系统、设备和存储介质 | |
| Thompson et al. | Ndn-cnl: A hierarchical namespace api for named data networking | |
| US11030220B2 (en) | Global table management operations for multi-region replicated tables | |
| Roos | Identity management on the blockchain | |
| CN114201362A (zh) | 基于Prometheus的企业级高可用监控系统及实现方法 | |
| Ali et al. | Blockstack technical whitepaper | |
| CN117407437A (zh) | 一种基于区块链的数据处理方法、设备以及可读存储介质 | |
| US20180109563A1 (en) | Hub and Agent Communication Through a Firewall |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |