(19)中华人民共和国国家知识产权局
(12)发明专利说明书 | ||
(10)申请公布号 CN 112861116 A (43)申请公布日 2021.05.28 | ||
(21)申请号 CN202110146859.3
(22)申请日 2021.02.03
(71)申请人 浪潮云信息技术股份公司
地址 250100 山东省济南市高新区浪潮路1036号浪潮科技园S01号楼
(72)发明人 刘可新 唐晓东 蔡卫卫
(74)专利代理机构 37100 济南信达专利事务所有限公司
代理人 冯春连
(51)Int.CI
G06F21/46(20130101)
正则匹配法律条文 G06F9/455(20060101)
权利要求说明书 说明书 幅图 |
(54)发明名称
一种基于sidecar模式实现密码动态加载的方法及工具 | |
(57)摘要
本发明公开一种基于sidecar模式实现密码动态加载的方法及工具,涉及kubernetes集技术领域,其实现内容包括:在Secret‑manager中预先配置需要生成密码密钥的内容,部署kubernetes集时,通过Secret‑manager中预先配置的内容生成kubernetes集需要的所有密码,并加密后存储在预先指定的密码存储目录下;在应用侧和服务侧部署统一的Secret‑manager,Secret‑manager部署应用pod,并自动生成预设的密码管理策略及角;使用secret‑inject服务以sidecar模式将Secret‑manager注入进应用pod,并挂载到应用pod预先指定的目录中;应用pod启动时,读取挂载路径中密码文件的密码信息,并携带该密码访问密码使用服务。本发明可以减少运维人员配置的工作量、降低人工配置出错的几率,可以提高密码使用过程中的安全指数,降低密码泄露的风险。 | |
法律状态
法律状态公告日 | 法律状态信息 | 法律状态 |
2021-05-28 | 公开 | 公开 |
2021-06-15 | 实质审查的生效 | 实质审查的生效 |
2022-12-27 | 授权 | 发明专利权授予 |
权 利 要 求 说 明 书
1.一种基于sidecar模式实现密码动态加载的方法,其特征在于,其实现过程包括:
在Secret-manager中预先配置需要生成密码密钥的内容,部署kubernetes集时,通过Secret-manager中预先配置的内容生成kubernetes集需要的所有密码,并加密后存储在预先指定的密码存储目录下;
在应用侧和服务侧部署统一的Secret-manager,Secret-manager部署应用pod,并自动生成预设的密码管理策略及角,其中,密码管理策略指定了包含的可访问的目录列表及对其的读写权限,角信息包含角名称及其关联的密码管理策略列表;
使用secret-inject服务以sidecar模式将Secret-manager注入进应用pod,并挂载到应用pod预先指定的目录中;
应用pod启动时,读取挂载路径中密码文件的密码信息,并携带该密码访问密码使用服务。
2.根据权利要求1所述的一种基于sidecar模式实现密码动态加载的方法,其特征在于,Secret-manager根据预先配置的内容生成kubernetes集需要的所有密码,并将生成的密码提供给与之生成相对应的密码使用服务。
3.根据权利要求1所述的一种基于sidecar模式实现密码动态加载的方法,其特征在于,Secret-manager中定义了一系列的策略policy,每个policy可以预先指定多个密码存储目录,并使用正则表达式匹配密码和密码存储目录。
4.根据权利要求1所述的一种基于sidecar模式实现密码动态加载的方法,其特征在于,在应用侧和服务侧初次部署统一的Secret-manager时,需要首先进行密码初始化,随后再部署应用pod。
5.根据权利要求1所述的一种基于sidecar模式实现密码动态加载的方法,其特征在于,Secret-manager中预设了多个角,角与密码管理策略相关联,密码使用者拥有某个角后,即可访问与该角相关联密码管理策略所对应的密码存储目录。
6.根据权利要求5所述的一种基于sidecar模式实现密码动态加载的方法,其特征在于,角与密码管理策略可以是一对一关联或者一对多关联。
7.一种基于sidecar模式实现密码动态加载的工具,其特征在于,基于kubernetes集,其实现框架包括secret-manager和secret-inject,其中,
Secret-manager中预先配置有需要生成密码密钥的内容,
secret-inject用于以sidecar模式将Secret-manager注入进应用pod,并挂载到应用pod预先指定的目录中;
部署kubernetes集时,
首先,基于Secret-manager中预先配置的内容生成kubernetes集需要的所有密码,并加密后存储在预先指定的密码存储目录下,
随后,在应用侧和服务侧部署统一的Secret-manager,Secret-manager在应用侧和服务侧分别部署应用pod,并自动生成预设的密码管理策略及角,其中,密码管理策略指定了包含的可访问的目录列表及对其的读写权限,角信息包含角名称及其关联的密码管理策略列表,
最后,启动应用pod,读取挂载路径中密码文件的密码信息,并携带该密码访问密码使用服务。
8.根据权利要求7所述的一种基于sidecar模式实现密码动态加载的工具,其特征在于,Secret-manager根据预先配置的内容生成kubernetes集需要的所有密码,并将生成的密码提供给与之生成相对应的密码使用服务。
9.根据权利要求7所述的一种基于sidecar模式实现密码动态加载的工具,其特征在于,Secret-manager中定义了一系列的策略policy,每个policy可以预先指定多个密码存储目录,并使用正则表达式匹配密码和密码存储目录;
Secret-manager中预设了多个角,角与密码管理策略相关联,密码使用者拥有某个角后,即可访问与该角相关联密码管理策略所对应的密码存储目录。
10.根据权利要求7所述的一种基于sidecar模式实现密码动态加载的工具,其特征在于,在应用侧和服务侧初次
部署统一的Secret-manager时,需要首先进行密码初始化,随后再部署应用pod。
说 明 书
<p>技术领域
本发明涉及kubernetes集技术领域,具体的说是一种基于sidecar模式实现密码动态加载的方法及工具。
背景技术
随着系统复杂度不断增加,kubernetes集内部的应用不断增多,需要管理的密码密钥信息也随之增多。而且,随着应用的不断扩充,以及新环境的部署,都需要运维人员手动管理密码密钥,这就大大增加了运维人员的工作量。
另外,在管理密码密钥的过程中,明文的配置导致密码密钥泄露的风险也不断增大,具有很大的安全隐患。
发明内容
本发明针对kubernetes集部署时的密码配置问题,提供一种基于sidecar模式实现密码动态加载的方法及工
具。
首先,本发明提供一种基于sidecar模式实现密码动态加载的方法,解决上述技术问题采用的技术方案如下:
一种基于sidecar模式实现密码动态加载的方法,其实现过程包括:
在Secret-manager中预先配置需要生成密码密钥的内容,部署kubernetes集时,通过Secret-manager中预先配置的内容生成kubernetes集需要的所有密码,并加密后存储在预先指定的密码存储目录下;
在应用侧和服务侧部署统一的Secret-manager,Secret-manager部署应用pod,并自动生成预设的密码管理策略及角,其中,密码管理策略指定了包含的可访问的目录列表及对其的读写权限,角信息包含角名称及其关联的密码管理策略列表;
使用secret-inject服务以sidecar模式将Secret-manager注入进应用pod,并挂载到应用pod预先指定的目录中;
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论