CN118473679A - 一种基于云原生的密码服务高可用集群系统及实现方法 - Google Patents

一种基于云原生的密码服务高可用集群系统及实现方法 Download PDF

Info

Publication number
CN118473679A
CN118473679A CN202410939015.8A CN202410939015A CN118473679A CN 118473679 A CN118473679 A CN 118473679A CN 202410939015 A CN202410939015 A CN 202410939015A CN 118473679 A CN118473679 A CN 118473679A
Authority
CN
China
Prior art keywords
component
service
node
scheduling
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410939015.8A
Other languages
English (en)
Inventor
张丘虎
杨凌云
刘志宇
袁荣辉
范力
郑雲午
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yinxin Shuan Chengdu Technology Co ltd
Original Assignee
Yinxin Shuan Chengdu Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yinxin Shuan Chengdu Technology Co ltd filed Critical Yinxin Shuan Chengdu Technology Co ltd
Priority to CN202410939015.8A priority Critical patent/CN118473679A/zh
Publication of CN118473679A publication Critical patent/CN118473679A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开一种基于云原生的密码服务高可用集群系统及实现方法,所述系统包括控制平台组件、执行节点组件和数据平面组件;控制平台组件,用于接收和处理租赁密码服务请求,向执行节点组件发送执行密码服务指令;执行节点组件,用于接收执行密码服务指令,并调用数据平面组件实现密码服务;数据平面组件,用于执行执行节点组件的指令,通过部署的密码服务实例完成密码服务;基于多个主节点实现密码服务管理高可用;基于多个工作节点实现密码服务调用高可用。本发明达到的有益效果是:解决了密码服务管理的高可用问题,还解决密码服务调用服务节点动态扩展、缩减的问题,提升了大规模服务调用场景下密码服务的容错能力和稳定性。

Description

一种基于云原生的密码服务高可用集群系统及实现方法
技术领域
本发明涉及密码技术领域,特别是一种基于云原生的密码服务高可用集群系统及实现方法。
背景技术
近年来,随着云计算技术应用到社会生产生活的方方面面,大量业务应用逐步迁移上云,传统安全技术也在向云计算发展。密码技术作为支撑网络安全的核心技术,也正在向云密码服务转变。
常见的密码服务高可用集群方案有两种:
一种是基于云平台IaaS资源部署,将密码服务实例部署在多个容器中实现高可用;一种是基于独立机器部署方式,依赖于Keepalived等外部软件实现高可用负载均衡。
基于云平台IaaS资源部署多个密码服务实例的方式,密码服务部署在确定的VPC内,服务节点数量固定,不能随业务量自动变化,集群扩缩容需手动配置。同时,密码服务启停也需要登录VM执行命令行实现。基于独立机器部署,通过外部软件实现高可用的方式,服务节点数量也只能通过修改配置文件进行调整,不具备动态扩展、缩减服务节点的能力,且面临大规模的服务调用场景有一定局限性。
综上,常见的密码服务高可用集群方案都不具备动态扩展、缩减服务节点的能力,无法满足业务量自动变化场景密码服务需求,以及在密码服务启停操作层面,也存在一些难度和不便。同时,以上两种方式都只解决了服务调用阶段的高可用,未实现服务管理阶段的高可用。
发明内容
本发明的目的在于克服现有技术的缺点,提供一种基于云原生的密码服务高可用集群系统及实现方法,解决了密码服务管理阶段的高可用问题,而且解决密码服务调用阶段服务节点动态扩展、缩减的问题,提升了大规模服务调用场景下密码服务的容错能力和稳定性,保障云上密码服务高可用。
本发明提出一种基于云原生的密码服务高可用集群系统,包括:控制平台组件、执行节点组件和数据平面组件;
所述控制平台组件,用于接收和处理租赁密码服务请求,向执行节点组件发送执行密码服务指令;
所述执行节点组件,用于接收执行密码服务指令,并调用数据平面组件实现密码服务;
所述数据平面组件,用于接收执行节点组件的调用,通过部署的密码服务实例完成密码服务;
所述密码服务包括密钥的生成、密文的解密和明文的加密。
进一步地,所述控制平台组件包括多个主节点,所述主节点包括:
管理控制器组件,用于处理密码服务集群的自动化运维任务;
控制入口服务组件,用于接收租赁密码服务请求,调用存储组件获取集群中各节点的配置信息和状态;
调度器组件,用于实现租赁密码服务请求的分发策略的创建和执行;
存储组件,用于分布式键值存储,以及存储密码服务集群中各节点的配置信息和执行节点组件的状态。
进一步地,所述数据平台组件包括多个工作节点,所述工作节点包括:
代理组件,用于与存储组件通信,向存储组件发送工作节点的状态;
服务进程组件,用于维护在工作节点上的转发流量,实现密码服务的负载均衡。
进一步地,所述数据平面组件包括调度主组件和调度副本组件,
所述调度主组件,用于实现密码服务实例的部署,接收工作节点的调用完成密码服务;
所述调度副本组件,用于实现密码服务实例的部署,接收工作节点的调用完成密码服务;
在调用时,工作节点优先调用调度主组件;当调度主组件不可用时,工作节点调用调度副本组件。
本发明还提出一种基于云原生的密码服务高可用集群实现方法,包括:
基于kubernetes部署密码服务主集群节点;
部署与密码服务主集群节点完全一致的备集群节点;
在主集群节点和备集群节点分别部署DRBD,启动DRBD,即可实现主集群节点与备集群节点的数据同步。
进一步地,所述基于kubernetes部署密码服务主集群节点,具体包括:
部署主节点,用于接收和处理租赁密码服务请求,向工作节点发送执行密码服务指令;
部署多个工作节点,用于接收并执行主节点发送的密码服务指令,并调用调度组件实现密码服务;
在工作节点内部署多个调度组件,用于实现密码服务实例的部署,接收工作节点的调用完成密码服务。
进一步地,所述主节点设置多个,所述多个工作节点采用不同的IP地址,多个工作节点的IP地址关联到同一个域名下。
进一步地,所述多个主节点之间独立运行;多个工作节点之间独立运行;多个调度组件之间独立运行。
进一步地,所述调度组件包括调度主组件和调度副本组件,
所述调度主组件,用于实现密码服务实例的部署,接收工作节点的调用完成密码服务;所述调度副本组件,用于实现密码服务实例的部署,接收工作节点的调用完成密码服务;
在调用时,工作节点优先调用调度主组件;当调度主组件不可用时,工作节点调用调度副本组件。
本发明具有以下优点:
(1)本发明提供部署密码服务集群,同时实现了密码服务管理阶段和密码服务调用阶段的高可用,全方位保障密码服务高可用;
(2)本发明在密码服务集群中通过多个主节点组成控制平台组件,多个主节点之间独立运行,实现密码服务管理高可用;当控制平台组件接收到租赁密码服务请求后,当一个 主节点故障时,其他主节点仍然可以提供服务支撑完成对密码服务实例(调度组件)的管理;
(3)本发明通过设置多个工作组件,多个工作节点之间独立运行,工作节点采用不同的IP地址,但工作节点IP地址都会关联到同一个域名下,当某一个工作节点出现故障时,不影响其他工作节点的运行,保证密码服务工作节点的高可用性。
(4)本发明通过在一个工作节点中部署多个调度组件,每个工作节点中的密码服务实例均被部署在对应的调度组件中,并通过负载实现密码服务调度;即使其中一个调度组件发生故障,其他Pod中的实例仍然可以继续运行,从而保证了整个密码服务的可用性不受影响
(5)本发明在调度组件中设置调度副本组件,根据需求动态改变调度副本组件的数量实现资源的最大可能利用。
附图说明
图1 为本发明的示意图。
具体实施方式
下面结合附图对本发明做进一步的描述,但本发明的保护范围不局限于以下所述。
需要说明的是,“左”、“右”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,或者是本领域技术人员惯常理解的方位或位置关系,这类术语仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征和技术方案可以相互组合。
实施例一
如图1所示,本实施方式提出的一种基于云原生的密码服务高可用集群系统,
密码服务高可用集群系统包括控制平台组件、执行节点组件和数据平面组件;密码服务高可用集群系统用于管理云管平台和密码服务管理平台;
控制平台组件,用于接收和处理租赁密码服务请求,向执行节点组件发送执行密码服务指令;执行节点组件,用于接收执行密码服务指令,并调用数据平面组件实现密码服务;数据平面组件,用于接收执行节点组件的调用,通过部署的密码服务实例完成密码服务;密码服务包括密钥的生成、密文的解密和明文的加密;
当租赁密码服务请求首次发生,会在数据平面组件生成密钥,并返回密文和密钥到云管平台和密码服务管理平台;当下一次租赁密码服务请求发出时,上传的是密文和密钥则在数据平面组件内进行密文的解密,返回密文的明文到密码服务管理平台;当下一次租赁密码服务请求发出时,上传的是密钥和明文则在数据平面组件内进行明文的加密,返回明文的密文到密码服务管理平台。
控制平台组件包括多个主节点,执行节点组件包括多个工作节点,数据平面组件包括调度主组件和调度副本组件,在工作时,控制平台组件接收到租赁密码服务请求,将通过负载均衡器将租赁密码服务请求根据当前系统资源分配到其中的一个主节点中,避免因为单个主节点异常而导致密码服务管理单点故障,时刻为用户提供密码服务;
主节点接收到租赁密码服务请求后,会向下查询工作节点的状态,选择状态正常的工作节点,若均正常则负载均衡器任意分配请求工作节点,分配完成后主节点向工作节点发送执行密码服务指令;当工作节点接收到执行密码服务指令后,调用调度主组件进行密码服务;若调度主组件出现故障,则自动调用调度副本组件进行密码服务;调度主组件调用后,通过已经部署在内部的密码服务实例中进行加解密处理或者生成密钥处理;
在其中,若所有主节点故障时,自动启用工作节点自洽,即自动进入执行节点组件;执行节点组件中的多个工作节点之间独立运行,工作节点采用不同的IP地址,但工作节点IP地址都会关联到同一个域名下,当某一个工作节点出现故障时,不影响其他工作节点的运行,保证密码服务工作节点的高可用性。
在一个工作节点中部署多个调度组件,每个工作节点中的密码服务实例均被部署在对应的调度组件中,并通过负载实现密码服务调度;
多个调度组件的运行互不影响,当其中一个发生故障时,其他调度组件中的实例依旧可用继续工作,从而保证了整个密码服务的可用性不受影响密码服务实例,提供密码服务实例的备份冗余功能,保证密码服务实例的高可用;
且当所有调度组件故障时,将通过控制平台组件中的主节点启动新的调度组件继承原来调度组件的职责,在工作节点当中采用密码SDK进行加解密的离线计算。
在一些具体实施例中,主节点包括:管理控制器组件、控制入口服务组件、调度器组件和存储组件;管理控制器组件,用于处理密码服务集群的自动化运维任务;控制入口服务组件,用于接收租赁密码服务请求,调用存储组件获取集群中各节点的配置信息和状态;调度器组件,用于实现租赁密码服务请求的分发策略的创建和执行;存储组件,用于分布式键值存储,用于存储密码服务集群中各节点的配置信息和工作节点的状态。
工作节点包括:代理组件和服务进程组件;代理组件,用于与存储组件通信,向存储组件发送工作节点的状态;服务进程组件,用于维护在工作节点上的转发流量,实现密码服务的负载均衡。
在工作时,实现密码服务管理高可用包括:
密码服务集群获取租赁密码服务请求;
密码服务集群通过负载均衡器将租赁密码服务请求发送到控制平台组件;
控制平台组件接收到请求后将到控制入口服务组件中处理,控制入口服务组件向存储组件进行查询获取密码服务节点配置信息和状态;
查询到工作节点的状态为正常后,调度器组件调用执行节点组件中的一个工作节点;由此完成密码服务管理高可用。
在工作时,实现密码服务调用高可用通过在执行节点组件设置多个工作节点,在数据平面组件设置多个调度组件;工作节点可调用任一个调度组件,使得调度组件执行加解密服务完成密码;通过多个工作节点之间独立运行,工作节点采用不同的IP地址,但工作节点IP地址都会关联到同一个域名下;某一个工作节点出现故障时,不影响其他工作节点的运行;其中一个调度组件发生故障,其他调度组件中的密码服务实例仍然可以继续运行;
通过此类的多层备份处理,从而保证了整个密码服务不受影响,实现调用高可用。
且调度组件的数量可根据需求动态扩展、缩减,在调度组件设置调度主组件和调度副本组件;控制平面组件中的控制入口服务组件持续采集所有调度组件的指标数据;通过控制入口服务组件的API获取这些数据,基于平台定义的扩缩容规则(比如基于CPU使用率、内存使用率或者其他用户定义的指标)进行计算,得到目标调度副本组件的数量;当目标调度副本组件的数量与当前副本数量不同时,就调整Pod的副本数量,完成扩缩容操作
在密码服务集群的整个运行过程中,管理控制器组件负责处理密码服务的自动运维任务。
本发明还提出一种基于云原生的密码服务高可用集群实现方法,包括:
基于kubernetes部署密码服务主集群节点;
部署与密码服务主集群节点完全一致的备集群节点。
在一些优选案例中,基于kubernetes部署密码服务主集群节点,具体包括:
部署主节点,用于接收和处理租赁密码服务请求,向工作节点发送执行密码服务指令;
部署多个工作节点,用于接收并执行主节点发送的密码服务指令,并调用调度组件实现密码服务;
在工作节点内部署多个调度组件,用于实现密码服务实例的部署,接收工作节点的调用完成密码服务。
在一些优选案例中,多个主节点之间独立运行;多个工作节点之间独立运行;多个调度组件之间独立运行。多个工作节点采用不同的IP地址,多个工作节点的IP地址关联到同一个域名下。
在其中,若所有主节点故障时,自动启用工作节点自洽,即自动进入执行节点组件;执行节点组件中的多个工作节点之间独立运行,工作节点采用不同的IP地址,但工作节点IP地址都会关联到同一个域名下,当某一个工作节点出现故障时,不影响其他工作节点的运行,保证密码服务工作节点的高可用性。
在一个工作节点中部署多个调度组件,每个工作节点中的密码服务实例均被部署在对应的调度组件中,并通过负载实现密码服务调度;
多个调度组件的运行互不影响,当其中一个发生故障时,其他调度组件中的实例依旧可用继续工作,从而保证了整个密码服务的可用性不受影响密码服务实例,提供密码服务实例的备份冗余功能,保证密码服务实例的高可用;
且当所有调度组件故障时,将通过控制平台组件中的主节点启动新的调度组件继承原来调度组件的职责,在工作节点当中采用密码SDK进行加解密的离线计算。
上述实施例仅表达了较为优选的实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。

Claims (9)

1.一种基于云原生的密码服务高可用集群系统,其特征在于,包括:控制平台组件、执行节点组件和数据平面组件;
所述控制平台组件,用于接收和处理租赁密码服务请求,向执行节点组件发送执行密码服务指令;
所述执行节点组件,用于接收执行密码服务指令,并调用数据平面组件实现密码服务;
所述数据平面组件,用于执行执行节点组件的指令,通过部署的密码服务实例完成密码服务;
所述密码服务包括密钥的生成、密文的解密和明文的加密。
2.根据权利要求1所述一种基于云原生的密码服务高可用集群系统,其特征在于:所述控制平台组件包括多个主节点,所述主节点包括:
管理控制器组件,用于处理密码服务集群的自动化运维任务;
控制入口服务组件,用于接收租赁密码服务请求,调用存储组件获取集群中各节点的配置信息和状态;
调度器组件,用于实现租赁密码服务请求的分发策略的创建和执行;
存储组件,用于分布式键值存储,以及存储密码服务集群中各节点的配置信息和执行节点组件的状态。
3.根据权利要求1所述一种基于云原生的密码服务高可用集群系统,其特征在于:所述执行节点组件包括多个工作节点,所述工作节点包括:
代理组件,用于与存储组件通信,向存储组件发送工作节点的状态;
服务进程组件,用于维护在工作节点上的转发流量,实现密码服务的负载均衡。
4.根据权利要求3所述一种基于云原生的密码服务高可用集群系统,其特征在于:所述数据平面组件包括调度主组件和调度副本组件,
所述调度主组件,用于实现密码服务实例的部署,接收工作节点的调用完成密码服务;
所述调度副本组件,用于实现密码服务实例的部署,接收工作节点的调用完成密码服务;
在调用时,工作节点优先调用调度主组件;当调度主组件不可用时,工作节点调用调度副本组件。
5.一种基于云原生的密码服务高可用集群实现方法,其特征在于,包括:
基于kubernetes部署密码服务主集群节点;
部署与密码服务主集群节点完全一致的备集群节点。
6.根据权利要求5所述的一种基于云原生的密码服务高可用集群实现方法,其特征在于:所述基于kubernetes部署密码服务主集群节点,具体包括:
部署主节点,所述主节点用于接收和处理租赁密码服务请求,向工作节点发送执行密码服务指令;
部署多个工作节点,所述工作节点用于接收并执行主节点发送的密码服务指令,并调用调度组件实现密码服务;
在工作节点内部署多个调度组件,所述调度组件用于实现密码服务实例的部署,接收工作节点的调用完成密码服务。
7.根据权利要求6所述一种基于云原生的密码服务高可用集群实现方法,其特征在于:所述主节点设置多个,所述多个主节点之间独立运行;多个工作节点之间独立运行;多个调度组件之间独立运行。
8.根据权利要求7所述一种基于云原生的密码服务高可用集群实现方法,其特征在于:所述多个工作节点采用不同的IP地址,多个工作节点的IP地址关联到同一个域名下。
9.根据权利要求8所述一种基于云原生的密码服务高可用集群实现方法,其特征在于:所述调度组件包括调度主组件和调度副本组件;
所述调度主组件,用于实现密码服务实例的部署,接收工作节点的调用完成密码服务;
所述调度副本组件,用于实现密码服务实例的部署,接收工作节点的调用完成密码服务;
在调用时,工作节点优先调用调度主组件;当调度主组件不可用时,工作节点调用调度副本组件。
CN202410939015.8A 2024-07-15 2024-07-15 一种基于云原生的密码服务高可用集群系统及实现方法 Pending CN118473679A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410939015.8A CN118473679A (zh) 2024-07-15 2024-07-15 一种基于云原生的密码服务高可用集群系统及实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410939015.8A CN118473679A (zh) 2024-07-15 2024-07-15 一种基于云原生的密码服务高可用集群系统及实现方法

Publications (1)

Publication Number Publication Date
CN118473679A true CN118473679A (zh) 2024-08-09

Family

ID=92165480

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410939015.8A Pending CN118473679A (zh) 2024-07-15 2024-07-15 一种基于云原生的密码服务高可用集群系统及实现方法

Country Status (1)

Country Link
CN (1) CN118473679A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108063813A (zh) * 2017-12-15 2018-05-22 华中农业大学 一种集群环境下密码服务网络并行化的方法与系统
CN116107704A (zh) * 2023-04-17 2023-05-12 北京邮电大学 区块链BaaS和多联盟部署方法、数据存储访问方法及装置
CN118250077A (zh) * 2024-04-15 2024-06-25 山东浪潮数字商业科技有限公司 一种可自动伸缩的无侵入式的数据加解密方法及装置
CN118300788A (zh) * 2024-05-28 2024-07-05 中电科网络安全科技股份有限公司 一种密码中间件、方法、设备及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108063813A (zh) * 2017-12-15 2018-05-22 华中农业大学 一种集群环境下密码服务网络并行化的方法与系统
CN116107704A (zh) * 2023-04-17 2023-05-12 北京邮电大学 区块链BaaS和多联盟部署方法、数据存储访问方法及装置
CN118250077A (zh) * 2024-04-15 2024-06-25 山东浪潮数字商业科技有限公司 一种可自动伸缩的无侵入式的数据加解密方法及装置
CN118300788A (zh) * 2024-05-28 2024-07-05 中电科网络安全科技股份有限公司 一种密码中间件、方法、设备及存储介质

Similar Documents

Publication Publication Date Title
US11553034B2 (en) Server computer management system for supporting highly available virtual desktops of multiple different tenants
JP7461471B2 (ja) クロス・クラウド・オペレーションのためのクラウド・サービス
CN111290712B (zh) 块设备创建方法、装置、云计算管理系统及存储介质
CN112291298B (zh) 异构系统的数据传输方法、装置、计算机设备和存储介质
CN111130835A (zh) 数据中心双活系统、切换方法、装置、设备及介质
EP3442201B1 (en) Cloud platform construction method and cloud platform
CN110061855B (zh) 一种业务处理方法、系统和装置
US10761869B2 (en) Cloud platform construction method and cloud platform storing image files in storage backend cluster according to image file type
CN104158707A (zh) 一种检测并处理集群脑裂的方法和装置
CN112732491B (zh) 数据处理系统、基于数据处理系统的业务数据处理方法
CN115086330A (zh) 跨集群负载均衡系统
CN113467873A (zh) 虚拟机的调度方法、装置、电子设备及存储介质
CN114338670B (zh) 一种边缘云平台和具有其的网联交通三级云控平台
CN108366087B (zh) 一种基于分布式文件系统的iscsi服务实现方法和装置
CN117850968A (zh) 一种指定numa节点实现虚拟机迁移的方法、装置及系统
WO1997049034A1 (fr) Systeme de prise en charge de taches
CN117201278A (zh) 一种实现信创环境云原生应用主备容灾高可用场景的方法
US8982902B1 (en) Backup server architecture in a VoIP system
CN112073499A (zh) 一种多机型云物理服务器的动态服务方法
CN105307130A (zh) 一种资源分配方法及系统
CN118473679A (zh) 一种基于云原生的密码服务高可用集群系统及实现方法
CN111200518A (zh) 一种基于paxos算法的去中心化HPC计算集群管理方法及系统
CN102868594B (zh) 一种消息处理方法和装置
CN109257201B (zh) 一种License的发送方法和装置
CN109788007B (zh) 一种基于两地三中心的云平台及其通信方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination