CN117318970A - 安全通道建立方法、系统及存储介质 - Google Patents
安全通道建立方法、系统及存储介质 Download PDFInfo
- Publication number
- CN117318970A CN117318970A CN202210719482.0A CN202210719482A CN117318970A CN 117318970 A CN117318970 A CN 117318970A CN 202210719482 A CN202210719482 A CN 202210719482A CN 117318970 A CN117318970 A CN 117318970A
- Authority
- CN
- China
- Prior art keywords
- container cluster
- container
- orchestrator
- information
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 239000002071 nanotube Substances 0.000 claims abstract description 18
- 238000004590 computer program Methods 0.000 claims description 7
- 230000000977 initiatory effect Effects 0.000 claims description 2
- 238000004891 communication Methods 0.000 abstract description 14
- 238000010586 diagram Methods 0.000 description 15
- 238000007726 management method Methods 0.000 description 12
- 238000012795 verification Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000008676 import Effects 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例公开了安全通道建立方法、系统及存储介质,所述方法包括:获取创建容器集群的请求信息;容器集群管理器校验请求信息,生成容器集群的安全证明信息;创建临时加密云盘,并写入安全证明信息和编排器的安全证书;绑定临时加密云盘到容器集群的控制节点上,启动容器集群;根据安全证明信息和安全证书,建立容器集群管理器与容器集群之间的安全通道;编排器纳管容器集群,建立编排器与容器集群之间的安全通道。本申请实施例的方案能够在创建容器集群时建立容器集群管理器与容器集群、编排器与容器集群之间的安全通道,提高容器集群管理的自动化,减少人工干预,保证编排器、容器集群管理器和容器集群三者之间通信的安全性。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种安全通道建立方法、系统及存储介质。
背景技术
随着微服务的盛行,使用应用容器引擎(Docker)作为微服务应用部署环境也越来越普及。伴随容器数量的不断增加,需要使用容器集群管理器(Container ClusterManager,CCM)对容器集群(Container Information Model,CIM)进行生命周期管理。编排器(Orchestrator)和容器集群管理器之间通过接口通信配合完成对容器集群的管理,在各个模块之间建立安全通道保证数据传输的安全成为容器集群管理面临的一大问题。尤其是在容器集群系统越来越复杂的情况下,编排器、容器集群管理器和容器集群之间的通信安全越来越重要。
由于容器集群管理器会根据业务需要动态创建容器集群,即容器集群管理器可能管理多个容器集群,无法通过手工导入证书的方式建立容器集群管理器与容器集群、编排器与容器集群之间的安全通道。因此,目前编排器在调用容器集群管理器创建容器集群时,容器集群管理器与容器集群之间不存在安全通道,进而无法使用超文本传输安全协议(Hyper Text Transfer Protocol over SecureSocket Layer,HTTPS)等加密安全通道传递容器集群需要使用的证书和秘钥;而在容器集群创建之后,编排器和容器集群之间也没有基于安全传输层协议(Transport Layer Security,TLS)双向认证的安全通道。目前,缺少上述安全通道会使编排器、容器集群管理器和容器集群之间的通信面临各种安全风险。
发明内容
本申请实施例提供一种安全通道建立方法、电子设备及存储介质,能够在创建容器集群时建立容器集群管理器与容器集群、编排器与容器集群之间的安全通道,提高容器集群管理的自动化,减少人工干预,保证编排器、容器集群管理器和容器集群三者之间通信的安全性。
第一方面,本申请实施例提供一种安全通道建立方法,应用于网络单元,所述网络单元包括编排器、容器集群管理器和容器集群,所述方法包括:获取创建所述容器集群的请求信息;所述容器集群管理器校验所述请求信息,生成所述容器集群的安全证明信息;创建临时加密云盘,并写入所述安全证明信息和所述编排器的安全证书;绑定所述临时加密云盘到所述容器集群的控制节点上,启动所述容器集群;根据所述安全证明信息和所述安全证书,建立所述容器集群管理器与所述容器集群之间的安全通道;所述编排器纳管所述容器集群,建立所述编排器与所述容器集群之间的安全通道。
第二方面,本申请实施例提供一种电子设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现本发明实施例提供的安全通道建立方法。
第三方面,本申请实施例提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,实现本申请实施例提供的安全通道建立方法。
本申请实施例,通过获取创建所述容器集群的请求信息;所述容器集群管理器校验所述请求信息,生成所述容器集群的安全证明信息;创建临时加密云盘,并写入所述安全证明信息和所述编排器的安全证书;绑定所述临时加密云盘到所述容器集群的控制节点上,启动所述容器集群;根据所述安全证明信息和所述安全证书,建立所述容器集群管理器与所述容器集群之间的安全通道;所述编排器纳管所述容器集群,建立所述编排器与所述容器集群之间的安全通道。本申请实施例的方案能够在创建容器集群时建立容器集群管理器与容器集群、编排器与容器集群之间的安全通道,提高容器集群管理的自动化,减少人工干预,保证编排器、容器集群管理器和容器集群三者之间通信的安全性。
附图说明
图1是本申请实施例提供的一种安全通道建立方法的流程示意图;
图2是图1中步骤S1000的另一实施例的具体实现过程示意图;
图3是图1中步骤S2000的另一实施例的具体实现过程示意图;
图4是图1中步骤S3000的另一实施例的具体实现过程示意图;
图5是图1中步骤S4000的另一实施例的具体实现过程示意图;
图6是图1中步骤S5000的另一实施例的具体实现过程示意图;
图7是图6中步骤S5000的另一实施例的具体实现过程示意图;
图8是图1中步骤S6000的另一实施例的具体实现过程示意图;
图9是本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
应了解,在本申请实施例的描述中,如果有描述到“第一”、“第二”等只是用于区分技术特征为目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示单独存在A、同时存在A和B、单独存在B的情况。其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项”及其类似表达,是指的这些项中的任意组合,包括单项或复数项的任意组合。例如,a,b和c中的至少一项可以表示:a,b,c,a和b,a和c,b和c或a和b和c,其中a,b,c可以是单个,也可以是多个。
此外,下面所描述的本申请各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本申请实施例涉及的安全通道建立方法,是基于虚拟化资源编排和容器集群管理建立编排器、容器集群管理器和容器集群之间的安全通道,通过容器集群管理器校验请求信息,生成容器集群的安全证明信息;创建临时加密云盘,并写入安全证明信息和编排器的安全证书;绑定临时加密云盘到容器集群的控制节点上,启动容器集群;根据安全证明信息和安全证书,建立容器集群管理器与容器集群之间的安全通道;编排器纳管容器集群,建立编排器与容器集群之间的安全通道,以便于快速地建立编排器、容器集群管理器和容器集群之间的安全通道,提高容器集群管理的自动化,减少人工干预,保证编排器、容器集群管理器和容器集群三者之间通信的安全性。
为了保证编排器、容器集群管理器和容器集群三者之间通信的安全性,现有的安全通道建立方法为:对多个容器集群进行安全策略规则配置,通过调用网络策略控制器对多个容器集群的安全策略配置模式进行选择,向容器集群管理器发送规则注入请求;容器集群管理器接收到规则注入请求后,对网络策略控制器发送的安全请求发编写的安全策略文件中包含的安全策略规则进行规则校验。这种方式无法动态地建立编排器、容器集群管理器和容器集群之间的安全通道,容器集群管理器和容器集群只能按照预设的安全规则进行信息交互,无法根据实际运行情况进行灵活调整,在系统运行中往往需要人工进行干预,影响了编排器、容器集群管理器和容器集群三者之间通信的安全性。
基于以上,本申请实施例提供一种安全通道建立方法、系统及计算机可读存储介质,通过获取创建容器集群的请求信息;容器集群管理器校验请求信息,生成容器集群的安全证明信息;创建临时加密云盘,并写入安全证明信息和编排器的安全证书;绑定临时加密云盘到容器集群的控制节点上,启动容器集群;根据安全证明信息和安全证书,建立容器集群管理器与容器集群之间的安全通道;编排器纳管容器集群,建立编排器与容器集群之间的安全通道。本申请实施例的方案能够在创建容器集群时建立容器集群管理器与容器集群、编排器与容器集群之间的安全通道,提高容器集群管理的自动化,减少人工干预,保证编排器、容器集群管理器和容器集群三者之间通信的安全性。
请参见图1,图1示出了本申请实施例提供的一种安全通道建立方法的流程。如图1所示,本申请实施例的安全通道建立方法包括以下步骤:
S1000,获取创建容器集群的请求信息。
可以理解的是,编排器通过手动的方式导入容器集群管理器的自签名认证中心(Certification Authority,CA)证书,容器集群管理器也通过手动的方式导入编排器的自签名CA证书。网络单元能够在网上通过CA证书来识别对方的身份,示例性的,CA证书是一个经证书授权中心数字签名的包含公布密钥拥有者信息以及公布密钥的文件。因此,最简单的证书包含一个公布密钥、名称以及证书授权中心的数字签名。常用的密钥包括一个公布的密钥和一个私有的密钥即一组密钥对,当信息使用公钥加密并通过网络传输到目标网络单元后,目标网络单元必需使用对应的私钥才能解密使用,进而建立安全通道。通过CA证书能有效地提高微服务应用过程中数据传输的安全性,为用户业务提供更高安全保证。
可以理解的是,虽然编排器和容器集群管理器间已经建立安全通道,但容器集群并没有创建与编排器和容器集群管理器之间的安全通道。由于系统在运行过程中,容器集群管理器会根据业务需要动态创建容器集群,示例性的,容器集群管理器可能同时管理多个容器集群。因此,无法通过手动的方式提前导入CA证书来建立容器集群与编排器、容器集群管理器之间的安全通道。
可以理解的是,在微服务应用部署环境中,随着应用需求的增加,需要对容器集群进行创建,以保证满足系统需求。此时,需要根据创建容器集群的请求信息,确定需要创建的容器集群的类型和数量,进而通过编排器向容器集群管理器发起创建容器集群的请求。
请参见图2,图2示出了上述步骤S1000的另一实施例的具体实现过程示意图。如图2所示,本申请实施例的安全通道建立方法包括以下步骤:
S1100,编排器获取用户创建容器集群的请求信息。
可以理解的是,在微服务应用部署环境中,当应用服务的性能无法得到满足时,用户会向编排器发送创建容器集群的请求信息,以满足应用服务的性能需求。通过编排器获取用户创建容器集群的请求信息,能完整地收集各个用户发出的请求信息,并快速地把请求信息传送到响应单元,提高微服务应用的响应速度。
S1200,根据请求信息向容器集群管理器发起创建容器集群的请求。
可以理解的是,编排器获取用户创建容器集群的请求信息后,向容器集群管理器发起创建容器集群的请求。由于编排器和容器集群管理器间已经建立安全通道,因此,编排器能通过安全通道把创建容器集群的请求信息进行汇集处理和加密处理后发送给容器集群管理器。由于通过安全通道进行信息传输,有效保证了编排器与容器集群管理器之间数据传输的保密性和安全性,容器集群管理器接收到加密信息后进行解密和校验处理。
S2000,容器集群管理器校验请求信息,生成容器集群的安全证明信息。
可以理解的是,容器集群管理器在创建容器集群前,需要对编排器发送过来的请求信息进行校验,以保证待创建的容器集群符合当前的微服务应用部署环境。检验完成后,容器集群管理器还需要对待创建的容器集群分配与自身CA证书一致的安全证明信息,以保证容器集群管理器与待创建的容器集群之间保持证书的一致性。
请参见图3,图3示出了上述步骤S2000的另一实施例的具体实现过程示意图。如图3所示,步骤S2000至少包括以下步骤:
S2100,容器集群管理器校验请求信息的合法性,其中,请求信息包括集群名称、集群属性、用户名称和用户密码。
可以理解的是,创建容器集群的请求信息包括但不限于集群名称、集群属性、用户名称和用户密码等信息。容器集群管理器在收到请求信息后,需要对请求信息进行验证,示例性的,请求创建的集群名称与现有的集群名称是否重复,请求创建的集群属性是否符合当前微服务应用环境的要求,用户名称和用户密码与现有的验证信息是否一致等。经过容器集群管理器的校验处理,有效避免创建的容器集群与现有的容器集群发生冲突,影响微服务应用的正常运作。
S2200,容器集群管理器根据请求信息,生成容器集群的安全证明信息,其中,安全证明信息包括容器证书和私钥文件。
可以理解的是,当创建容器集群的请求信息通过容器集群管理器验证后,使用容器集群管理器自身的CA证书,生成容器集群需要的安全证明信息。示例性的,安全证明信息包括容器证书和私钥文件,因此,当信息使用私钥文件加密并通过网络在容器集群和容器集群管理器之间传送时,接收信息的一端使用对应的私钥才能解密使用,进而为建立容器集群和容器集群管理器之间安全通道打下基础。可以理解的是,根据容器集群管理器自身的CA证书,生成容器集群需要的安全证明信息属于现有技术,此处不再赘述。
S2300,获取容器集群的序号信息。
可以理解的是,在完成请求信息的校验和安全证明信息的生成后,为了方便容器集群管理器对容器集群进行管理,需要获取容器集群的序号信息。可以理解的是,容器集群的序号信息作为微服务应用环境中唯一的标识,为了以适应不同的场景、需求以及性能要求,需要对容器集群的序号信息进行统计和记录,以便于对系统中现有的容器集群进行排序、遍历、分类等处理。可以理解的是,获取容器集群的序号信息能通过容器集群管理器直接读取容器集群的参数信息的方式来进行,属于现有技术,此处不再赘述。
S2400,发送序号信息至编排器。
可以理解的是,在容器集群管理器获取容器集群的序号信息后,为了便于编排器纳管新建的容器集群,需要编排器掌握容器集群的序号信息。因此,通过容器集群管理器和编排器之间的安全通道,能把序号信息加密发送至编排器。可以理解的是,容器集群管理器通过安全通道发送序号信息至编排器,属于现有技术,此处不再赘述。
S3000,创建临时加密云盘,并写入安全证明信息和编排器的安全证书。
可以理解的是,在获取安全证明信息后,需要把容器集群需要的安全证明信息和编排器的安全证书进行安全存放,以避免证明信息发生丢失或者被篡改的情况。示例性的,通过微服务应用环境中自带的加密云盘,能快速、稳定地存储安全证明信息和编排器的安全证书,以便于容器集群和容器集群管理器进行解密和读取证明信息。
请参见图4,图4示出了上述步骤S3000的另一实施例的具体实现过程示意图。如图4所示,步骤S3000至少包括以下步骤:
S3100,通过虚拟化基础设施管理器(Virtualized Infrastructure Manager,VIM)创建临时加密云盘。
可以理解的是,VIM主要负责基础设施层硬件资源和虚拟化资源的管理、监控和故障上报,面向上层的虚拟化网络功能管理(Virtualized Network Function Manager,VNFM)提供虚拟化资源池。VIM通过C1接口与硬件资源交互,实现VLAN、VXLAN划分,对被管理云化系统所使用的存储局域网络(IP Storage Area Network,IP-SAN)、交换机、路由器、防火墙、负载均衡器、机框风扇、电源、物理服务器在内的硬件资源的状态进行管理和监控。因此,容器集群管理器能向VIM申请创建临时加密云盘。
可以理解的是,在微服务应用部署环境中,当业务因为安全需求或法规合规要求等原因,需要对存储在云盘上的数据进行加密保护时,您可以在容器集群中使用云盘加密功能,无需构建、维护和保护自己的密钥管理基础设施,即可保护数据的隐私性和自主性临时加密云盘。为了保存安全证明信息和编排器的安全证书,可以通过创建临时加密云盘进行加密存储,以保证信息的安全性。示例性的,容器集群管理器能通过其他组件例如第三方组件,创建其他类型的存储空间来保存安全证明信息和编排器的安全证书,此处不作限定。可以理解的是,容器集群管理器向VIM申请创建临时加密云盘保存信息是现有技术,此处不再赘述。
S3200,将容器证书、私钥文件和编排器的安全证书存储在临时加密云盘内。
可以理解的是,创建临时加密云盘后,能通过容器集群管理器把容器证书、私钥文件和编排器的安全证书写入临时加密云盘内,以便于容器集群管理器能快速、精准地从临时加密云盘内提取相关加密信息,也保证了容器证书、私钥文件和编排器的安全证书的安全性,避免发生信息被恶意修改、删除的情况。
S4000,绑定临时加密云盘到容器集群的控制节点上,启动容器集群。
可以理解的是,在微服务应用部署环境中,当容器集群管理器向VIM申请容器集群的资源时,把存储着容器证书、私钥文件和编排器的安全证书的临时加密云盘绑定到容器集群的控制节点上,示例性的,把临时加密云盘中的容器证书、私钥文件和编排器的安全证书的路径注入到容器集群的控制节点中,使容器集群在启动前能快速、准确地获取对应的安全证明信息。
请参见图5,图5示出了上述步骤S4000的另一实施例的具体实现过程示意图。如图5所示,步骤S4000至少包括以下步骤:
S4100,向容器集群注入容器证书、私钥文件和编排器的安全证书的路径。
可以理解的是,为了能快速获取容器证书、私钥文件和编排器的安全证书,需要把上述证书在临时加密云盘中的路径位置写入到容器集群内,容器集群通过容器集群管理器和VIM就能快速、精准地获取相关的证书文件,不仅避免容器集群存储证书文件造成占用资料的浪费,还保证了证书文件的稳定性和安全性。
S4200,绑定存储有安全证明信息和安全证书的临时加密云盘到容器集群的控制节点上。
可以理解的是,绑定临时加密云盘到容器集群的控制节点上,有利于容器集群能快速地根据业务需求通过与之绑定的临时加密云盘内储存的证书文件,避免容器集群发生无法读取证书文件的情况,影响容器集群与容器集群管理器之间安全通道的建立。
S4300,启动容器集群。
可以理解的是,在确定待启动的容器集群绑定存储有安全证明信息和安全证书的临时加密云盘后,通过容器集群管理器启动容器集群。由于容器集群管理器会根据不断变化的运行环境作出反应,并且在任务运行失败的时候重新对任务进行调度,通过新增容器集群以提高效率。示例性的,在启动容器集群时应避免将一个容器集群固定在同一个服务器上,以满足容器集群管理器需要把一系列的任务以跨主机的形式进行分配或者按一定的顺序来排列,以此来减少容器集群运行时发生故障的可能性。
S5000,根据安全证明信息和安全证书,建立容器集群管理器与容器集群之间的安全通道。
可以理解的是,在容器集群绑定存有容器集群管理器的容器证书、私钥文件的临时加密云盘,通过CA证书的认证就能建立容器集群与容器集群管理器之间安全通道。由上述步骤可知,容器集群在启动前绑定存储有安全证明信息和安全证书的临时加密云盘,因此,容器集群能根据容器证书、私钥文件和编排器的安全证书的路径,动态地查找出与容器集群管理器一致的CA证书,并进行认证和信息加密传输,建立容器集群管理器与容器集群之间安全通道。
请参见图6,图6示出了上述步骤S5000的另一实施例的具体实现过程示意图。如图6所示,步骤S5000至少包括以下步骤:
S5100,加载容器证书、私钥文件和编排器的安全证书。
可以理解的是,在微服务应用部署环境中,当容器集群的控制节点启动时,会根据容器证书、私钥文件和编排器的安全证书的路径,加载对应的证书文件,以便于容器集群与容器集群管理器建立加密通信通道。其中,在不同的应用场景中,CA证书的加载和认证属于现有技术,此处不再赘述。
S5200,建立容器集群管理器与容器集群之间的安全通道。
可以理解的是,由上述步骤S1000可知,通过容器集群管理器自身的CA证书,以及容器集群中与容器集群管理器一致的容器证书、私钥文件,当信息使用公钥加密并通过网络在容器集群管理器与容器集群之间传输时,接收单元必需使用对应的私钥才能解密使用,进而建立安全通道,其具体过程与上述编排器和容器集群管理器之间安全通道的建立一致,此处不再赘述。
请参见图7,图7示出了上述步骤S5000的另一实施例的具体实现过程示意图。如图7所示,步骤S5000至少还包括以下步骤:
S5300,根据序号信息,编排器对容器集群进行轮询,获取容器集群的状态信息和资源信息。
可以理解的是,通过容器集群的唯一标识序号信息,编排器能对容器集群进行快速的轮询,获取容器集群的状态信息和资源信息,以便于编排器判断容器集群创建完成后是否正常运作。示例性的,容器集群的状态信息和资源信息包括但不仅限于容器集群的资源占用率、容器集群与容器集群管理器之间的连接状态、容器集群与容器集群之间的连接状态等。
S5400,根据状态信息和资源信息,判断容器集群是否创建完成。
可以理解的是,通过读取容器集群的状态信息和资源信息,跟预设的阈值进行对比,判断出容器集群是否创建完成。示例性的,当前容器集群的资源占用率在阈值范围内,比如30%,当前容器集群与容器集群管理器之间、容器集群与容器集群之间的连接状态稳定,即可判定容器集群创建完成,容器集群与容器集群管理器之间建立起安全通道。
S5500,在容器集群创建完成的情况下,解绑容器集群与临时加密云盘。
可以理解的是,在容器集群创建完成的情况下,容器集群与容器集群管理器之间建立起安全通道,且容器集群运行正常,当前容器集群创建后其状态信息和资源信息满足微服务应用运行条件。此时,容器集群不再需要通过临时加密云盘获取容器证书和私钥文件,解绑容器集群与临时加密云盘能释放容器集群占用的临时加密云盘,也有效地降低容器集群的资源占用率,提高微服务应用的运行效率。
S5600,删除临时加密云盘。
可以理解的是,由上述步骤S5200可知,容器集群管理器与容器集群之间使用加密云盘的方式传递容器证书和私钥文件后,建立起安全通道。此时,容器集群不再需要临时加密云盘指向容器证书、私钥文件和编排器的安全证书的路径,因此删除临时加密云盘,能避免新增资源占用,提高微服务应用的运行效率。
请参见图8,图8示出了上述步骤S6000的另一实施例的具体实现过程示意图。如图8所示,步骤S6000至少包括以下步骤:
S6100,根据序号信息,编排器纳管容器集群。
可以理解的是,与上述步骤S5300一致,根据序号信息,编排器遍历并纳管容器集群。可以理解的是,由于用户可能需要同时对多个容器集群进行管理,因此,为了方便编排器管理容器集群,一般可以使用纳管服务器(Cluster-Server)对容器集群进行纳管处理,示例性的,能通过纳管服务器方便地监控多个容器集群的运行状态,或者在容器集群中创建容器,又或者对容器集群进行关机、重启、挂起等处理。通过纳管容器集群,建立起编排器与容器集群之间的连接关系。
可以理解的是,编排器使用容器集群的统一资源定位符(Uniform ResourceLocator,URL)、用户名称、用户密码以及容器集群的容器证书,实现自动纳管容器集群,避免人工干预编排器管理和控制容器集群的情况。同样的,编排器通过纳管服务器对容器集群进行纳管操作,属于现有技术,此处不再赘述。
S6200,根据编排器的安全证书,建立编排器与容器集群之间的安全通道。
可以理解的是,由于编排器的安全证书与容器集群的容器证书一致,因此,能自动建立起编排器与容器集群之间的安全通道,其过程如上步骤S1000一致,此处不再赘述。
可以理解的是,编排器、容器集群管理器和容器集群之间均建立起安全通道,数据传输和信息交互均能通过安全通道实现,不仅保证了编排器、容器集群管理器和容器集群三者之间通信的安全性,还有效地提高容器集群管理的自动化,减少人工干预,提高微服务应用部署的自动化程度。
图9示出了本申请实施例提供的电子设备700。该电子设备700包括但不限于:
存储器701,用于存储程序;
处理器702,用于执行存储器701存储的程序,当处理器702执行存储器701存储的程序时,处理器702用于执行上述的安全通道建立方法。
处理器702和存储器701可以通过总线或者其他方式连接。
存储器701作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序,如本申请任意实施例描述的安全通道建立方法。处理器702通过运行存储在存储器701中的非暂态软件程序以及指令,从而实现上述的安全通道建立方法。
存储器701可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储执行上述的安全通道建立方法。此外,存储器701可以包括高速随机存取存储器,还可以包括非暂态存储器,比如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器701可选包括相对于处理器702远程设置的存储器,这些远程存储器可以通过网络连接至该处理器702。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
实现上述的安全通道建立方法所需的非暂态软件程序以及指令存储在存储器701中,当被一个或者多个处理器702执行时,执行本申请任意实施例提供的安全通道建立方法。
本申请实施例还提供了一种存储介质,存储有计算机可执行指令,计算机可执行指令用于执行上述的安全通道建立方法。
在一实施例中,该存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个控制处理器702执行,比如,被上述电子设备700中的一个处理器702执行,可使得上述一个或多个处理器702执行本申请任意实施例提供的安全通道建立方法。
以上所描述的实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包括计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
Claims (12)
1.一种安全通道建立方法,应用于网络单元,所述网络单元包括编排器、容器集群管理器和容器集群,所述方法包括:
获取创建所述容器集群的请求信息;
所述容器集群管理器校验所述请求信息,生成所述容器集群的安全证明信息;
创建临时加密云盘,并写入所述安全证明信息和所述编排器的安全证书;
绑定所述临时加密云盘到所述容器集群的控制节点上,启动所述容器集群;
根据所述安全证明信息和所述安全证书,建立所述容器集群管理器与所述容器集群之间的安全通道;
所述编排器纳管所述容器集群,建立所述编排器与所述容器集群之间的安全通道。
2.根据权利要求1所述的方法,其特征在于,所述获取创建所述容器集群的请求信息,包括:
所述编排器获取用户创建所述容器集群的请求信息;
根据所述请求信息向所述容器集群管理器发起创建所述容器集群的请求。
3.根据权利要求2所述的方法,其特征在于,所述容器集群管理器校验所述请求信息,生成所述容器集群的安全证明信息,包括:
所述容器集群管理器校验所述请求信息的合法性,其中,所述请求信息包括集群名称、集群属性、用户名称和用户密码;
所述容器集群管理器根据所述请求信息,生成所述容器集群的安全证明信息,其中,所述安全证明信息包括容器证书和私钥文件。
4.根据权利要求3所述的方法,其特征在于,所述创建临时加密云盘,并写入所述安全证明信息和所述编排器的安全证书,包括:
通过虚拟化基础设施管理器创建所述临时加密云盘;
将所述容器证书、所述私钥文件和所述编排器的安全证书存储在所述临时加密云盘内。
5.根据权利要求3所述的方法,其特征在于,所述绑定所述临时加密云盘到所述容器集群的控制节点上,启动所述容器集群,包括:
向所述容器集群注入所述容器证书、所述私钥文件和所述编排器的安全证书的路径;
绑定存储有所述安全证明信息和所述安全证书的所述临时加密云盘到所述容器集群的控制节点上;
启动所述容器集群。
6.根据权利要求3所述的方法,其特征在于,所述根据所述安全证明信息和所述安全证书,建立所述容器集群管理器与所述容器集群之间的安全通道,包括:
加载所述容器证书、所述私钥文件和所述编排器的安全证书;
建立所述容器集群管理器与所述容器集群之间的安全通道。
7.根据权利要求1所述的方法,其特征在于,所述容器集群管理器校验所述请求信息,生成安全证明信息,还包括:
获取所述容器集群的序号信息;
发送所述序号信息至所述编排器。
8.根据权利要求7所述的方法,其特征在于,所述编排器纳管所述容器集群,建立所述编排器与所述容器集群之间的安全通道之前,还包括:
根据所述序号信息,所述编排器对所述容器集群进行轮询,获取所述容器集群的状态信息和资源信息;
根据所述状态信息和所述资源信息,判断所述容器集群是否创建完成。
9.根据权利要求8所述的方法,其特征在于,所述根据所述状态信息和所述资源信息,判断所述容器集群是否创建完成之后,还包括:
在所述容器集群创建完成的情况下,解绑所述容器集群与所述临时加密云盘;
删除所述临时加密云盘。
10.根据权利要求7所述的方法,其特征在于,所述编排器纳管所述容器集群,建立所述编排器与所述容器集群之间的安全通道,包括:
根据所述序号信息,所述编排器纳管所述容器集群;
根据所述编排器的安全证书,建立所述编排器与所述容器集群之间的安全通道。
11.一种电子设备,其特征在于,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1至10任意一项所述的安全通道建立方法。
12.一种计算机可读存储介质,其特征在于,存储有计算机程序,所述计算机程序被处理器执行时,实现如权利要求1至10任意一项所述的安全通道建立方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210719482.0A CN117318970A (zh) | 2022-06-23 | 2022-06-23 | 安全通道建立方法、系统及存储介质 |
| PCT/CN2023/090632 WO2023246287A1 (zh) | 2022-06-23 | 2023-04-25 | 安全通道建立方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210719482.0A CN117318970A (zh) | 2022-06-23 | 2022-06-23 | 安全通道建立方法、系统及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117318970A true CN117318970A (zh) | 2023-12-29 |
Family
ID=89235923
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210719482.0A Pending CN117318970A (zh) | 2022-06-23 | 2022-06-23 | 安全通道建立方法、系统及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN117318970A (zh) |
| WO (1) | WO2023246287A1 (zh) |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3133789B1 (en) * | 2014-05-08 | 2019-01-30 | Huawei Technologies Co., Ltd. | Certificate acquisition method and device |
| CN108028827B (zh) * | 2015-10-21 | 2020-09-29 | 华为技术有限公司 | 网络功能虚拟化架构中证书的管理方法及装置 |
| WO2018040095A1 (zh) * | 2016-09-05 | 2018-03-08 | 华为技术有限公司 | 一种生成安全凭证的方法和设备 |
| CN108111469B (zh) * | 2016-11-24 | 2020-06-02 | 阿里巴巴集团控股有限公司 | 一种在集群中建立安全通道的方法和装置 |
| CN112688904A (zh) * | 2019-10-18 | 2021-04-20 | 中兴通讯股份有限公司 | 一种安全通道建立方法、电子设备及存储介质 |
| CN111212071B (zh) * | 2019-12-31 | 2022-04-01 | 奇安信科技集团股份有限公司 | 信息处理方法及其装置、电子设备和介质 |
| CN112148429B (zh) * | 2020-09-22 | 2024-05-28 | 江苏银承网络科技股份有限公司 | 用于管理容器编排引擎集群的信息处理方法及装置 |
-
2022
- 2022-06-23 CN CN202210719482.0A patent/CN117318970A/zh active Pending
-
2023
- 2023-04-25 WO PCT/CN2023/090632 patent/WO2023246287A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023246287A1 (zh) | 2023-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10084790B2 (en) | Peer to peer enterprise file sharing | |
| US10432592B2 (en) | Password encryption for hybrid cloud services | |
| CN107579958B (zh) | 数据管理方法、装置及系统 | |
| US9021113B2 (en) | Inter-service sharing of content between users from different social networks | |
| US9867051B2 (en) | System and method of verifying integrity of software | |
| EP2954448B1 (en) | Provisioning sensitive data into third party network-enabled devices | |
| US10411903B2 (en) | Information security realizing method and system based on digital certificate | |
| US10659441B2 (en) | Dynamically managing, from a centralized service, valid cipher suites allowed for secured sessions | |
| US20150381374A1 (en) | Handling of Digital Certificates | |
| US9584508B2 (en) | Peer to peer enterprise file sharing | |
| US9871778B1 (en) | Secure authentication to provide mobile access to shared network resources | |
| US9571288B2 (en) | Peer to peer enterprise file sharing | |
| CN107111510B (zh) | 一种针对vnf包进行操作的方法及装置 | |
| CN110247758B (zh) | 密码管理的方法、装置及密码管理器 | |
| WO2016165505A1 (zh) | 连接控制方法及装置 | |
| CN108289074B (zh) | 用户账号登录方法及装置 | |
| CN111131216A (zh) | 文件加密、解密方法及装置 | |
| WO2023072817A1 (en) | Control of access to computing resources implemented in isolated environments | |
| US20230267226A1 (en) | Blockchain-based operations | |
| CN117318970A (zh) | 安全通道建立方法、系统及存储介质 | |
| JP2024510461A (ja) | 接続回復力のある多要素認証 | |
| Basu et al. | A framework for blockchain-based verification of integrity and authenticity | |
| CN112583777B (zh) | 用户登录的实现方法及装置 | |
| CN110392033B (zh) | 一种密码管理方法及装置 | |
| CN115118427A (zh) | 区块链系统的数据传输方法、装置、设备以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |